作者:吴勇毅
 
 
 
  西门子，这个世界上最大的电气工程和电子公司之一，在中国终于抵不住了。 

    8月底，西门子总部发言人安德里亚斯·施瓦伯证实，西门子中国确实存在不正当的商业行为。

    自2006年11月腐败案曝光以来，西门子在华陷入行贿丑闻的巨大漩涡，一直处在舆论的风口浪尖。据悉，西门子世界各地贿赂金额已经超过10亿欧元，从当初的通信扩展到电力、医疗技术等多个行业。目前，西门子在德、意、美、俄、中国等国的公司都卷入丑闻的漩涡中，西门子监事会主席、首席执行官相继辞职。

IT企业大案渐起 企业内控是祸端

    我们把近一两年IT企业商业贿赂、腐败事件进行回放——从中国朗讯商业贿赂事件到建行张恩照案件，再到上海CIO集体贪污，IT企业贿赂、腐败案件频频案发，同样令人警戒、惊心。

    业界人士分析说，目前导致国内信息化项目失败原因很多，其中与企业领导不重视有关，与当地政府和行业主管部门管理问题有关，但国内信息化项目失败，跟交易“吃回扣腐败”也很有关系。有些信息化专家也因此而叹息，信息化项目的腐败是中国信息化行业的悲哀。据一位干了10几年的ERP、OA销售经理透露，一个ERP项目，暗箱操作赚取的回扣金额可高达项目总额的10%—30%。

    随着我国IT业不断壮大，改制、并购加快加大，中外IT企业有关违法乱纪的大案接连不断，高管纷纷落马，从名牌IT企业到地方企业，从上市IT企业到中小IT企业，接连发生贿赂腐败、企业陷入舞弊重亏的漩涡。

    “西门子事件、朗讯事件、张恩照舞弊事件只不过是浮出水面的冰山一角而已，潜藏在水下的问题也许更多。”一位业内人士对媒体这样说。

    2006年底，国资委掀起了规模空前的央企、大企（包括电信等IT企业、）清产核资的“检查风暴”，结果显示，这些大企业资产损失共达3000多亿元。检查中暴露出来的问题，远超出了国资委的想象。

    2007年初，中央企业纪检监察工作会议总结说，企业领导人借投资商洽、项目招标、重组改制、产权交易、资本运营之机，转移、侵吞、贪污国有资产，造成国有资产重大流失和职工合法权益受损害，已经成为纪检监察工作中发现的主要问题。

    为何此类贿赂、贪污大案一再出现，甚至愈演愈烈，一案比一案大？资深专家指出，回顾中国经济界层出不穷的大案，尽管其舞弊、作案手法多种多样，但这和企业内控制度的缺失、紊乱有很大关系。正是由于这一制度的不完善、漏洞，不能很好地约束管理者和拥有权力者，也不能有效地来度量、规避和分散风险，造成贿赂贪污的频发、企业严重的亏空。

    因此一桩桩IT企业大案曝光之后，监管部门、专家学者和企业自身都开始将目光集中到企业的内部控制机制问题上。

IT企业内控何以变成“内空”？

    “内控”这字眼从未象今天这样被如此关注。

    什么是内控？

    《企业内部控制指引》规定，内部控制是指“企业为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制”。

    新修订的《会计法》第27条明确规定：“各单位应当建立、健全本单位内部会计监督制度”。单位内部会计监督制度是一个企业为了保护其资产的安全完整，保证其经营活动符合国家法律、法规和内部规章要求，提高经营管理效率，防止亏损，控制风险等目的，而在企业内部采取的一系列相互联系、相互制约的制度和方法。

    我国实行管理体制已经二十余年，积累了不少的内部管理经验，各企业基本业务的内部管理都有章可循，建立一定内控管理基础。但是国内IT企业内控制度的基础仍比较薄弱，相当一部分企业对建立内控制度重视不够，即使是一些上市的IT股份公司，有的并未建立健全内控制度，甚至有些企业对内控制度还存在很多误解，认为内部控制就是内部成本控制、内部资产安全控制等，或者以为内部控制就是手册、文件和制度的堆积等。

    更严重的是不少IT企业有章不循、执行不严，使内控制度流于形式，只是将已建立的一套内控制度“写在纸上，贴在墙上”了事，而不管具体执行情况如何；在经济业务处理过程中，遇到具体问题以强调灵活性为由而不按规定程序办理，使内控制度失去了应有的刚性和严肃性。

    最为令人担忧的是在我国的很多大中型IT企业单位中，虽然表面上都有一套健全的内部控制制度，然而在实际操作中领导们却常常还带有浓厚的计划经济下的经营作风，很多决策往往由领导一人说了算，或由领导直接委托下属进行处理，导致了员工对内部规范流程的忽视、漠视。

    目前一些号称建立现代化企业制度的IT股份公司、企业集团的内部控制监督体系主要由监事会、独立董事和内审部门这三大机构组成，但实践证明，这些企业内部控制监督也并不成功，监事会和独立董事属于战略层面，内审部门是战术层面，日常工作中他们之间关联甚少，控制分散与控制不足并存。

    在外部环境上，目前不少IT企业政出多门，职能重叠，产生诸多矛盾；在协同性上，属下机构各自为政，没有形成有机有效的整体体系，难于实现互补有效监督。

      所以当企业内控失控之时就易变成“内空”，浮云遮眼，藏污纳诟，贿赂、贪污甚行乃至直蛀空企业。

IT企业内控如何防“内空”？

     “内控失范猛于虎”。当务之急是如何进一步加强企业内控制度建设，并在此基础上更大创新、突破，使IT企业内控制度更好地发挥应有的作用。

    首先，内控制度有无成效取决于IT企业员工的控制意识和行为，而提高单位负责人自觉执行内控制度的意识显得尤为重要。今后在制定内部控制有关规定时，必须明确单位负责人应负的责任，形成集体领导决策，不能一人独大。只有这样，才能使企业由上而下共同执行内部控制的要求，使企业的内控制度真正发挥作用。

    其次，科学的内控制度，不仅要对IT企业经营管理的各个方面实行全方位的有效控制，而且要对企业经营管理的重要方面、重要环节实行重点控制，抓出成效。

    IT企业内部控制的重点有三：一是资金，对企业资金的筹集、使用、分配等实行严格控制，防止资金体外循环；二是成本费用，对企业的各项成本费用支出实施严格的监管，防止出现舞弊行为；三是权力使用，对企业各经营环节、经营活动操作者的权力实施有效监控，防止权力滥用。IT企业内控制度应当紧紧盯住关键控制点。这就需要企业对风险进行有效而全面的评估，在此基础上利用自身IT技术优势加强对关键控制点的控制，防止重大甚至灾难性风险的发生。

    再者，树立正确内部控制理念，防止资产高估和负债低估。IT企业管理者要树立正确内部控制理念，着重关注资产高估和负债低估的风险。企业要利用自身IT技术优势对有形的实物资产定期和不定期盘点程序来核实资产的存在性和完整性；对不具实物形态的资产和负债则定期通过询问、函证和对帐等方式验证查实，才能防患于未然。

    另外，增加舞弊发现概率，关键岗位应建立强制轮换制度。对IT企业来说，非常有必要对财务岗位、领导岗位建立强制轮换和带薪休假制度，一方面可提升领导、员工的工作能力，另一方面则是防范、发现舞弊的一项有效内控措施。

    制度建设是重要的，制度不严密，就会出现“牛栏关猫”的现象，但是有了制度，更要认真地执行制度，才能真正发挥制度的作用。否则，所谓的制度就是毫无意义的一纸空文,就是“纸老虎”。正如哲人培根所说:“没有执行的制度，比没有制度更可怕。”

    世界最严厉、最慎密、以内控闻名的美国“萨班斯法案”在立法之前言说：没有铁血的法律制度约束，在巨大利益面前，没有人会自觉履行经济责任。市场信用首先是法律信用、法律制约。

    如今世界各国越来越重视强化企业内部控制，我国企业内控制度体系的框架也已敲定，提上日程，我国政府开始重视内控评价的规范化建设。近两年是关于我国上市公司企业内控规范讨论最为热闹的时期，审计署、财政部、证监会、银监会等组织均出台了关于内部控制评价方面的规范。   

    2006年9月28日，深圳证券交易公布的一纸公文，引起了不少IT上市公司的震动。

    该文规定深市主板上市公司要限期建立完备的内部控制制度，均需按要求披露内控制度的制订和实施情况。2007年3月，国家会公布了《企业内部控制规范——基本规范》和17项具体规范(征求意见稿)。2007年7月1日《证券交易所上市公司内部控制指引》文件正式生效、实行，上市公司均需按要求披露内控制度的制订和实施情况，震动中国股市。中国内部审计协会会长王道成向媒体表示，2年之内中国就会有自己严厉完整的“萨班斯法案”。　　　　

    所有这一切都证明，尽管没有声势浩大的活动进入人们的视野，但“中国的萨班斯法案”在一波波紧锣密鼓地酝酿中，中国企业内控和风险管理的制度体系建设也由此进入最关键时刻。