王晔
风险并非一个负面的概念。
风险管控的最终目的也并非束缚公司管理层的手脚,阻碍企业发展。在COSO企业风险管理模型中,风险评估和管理是贯穿企业战略发展的关键支撑要素。
归根结底,任何企业的管理经营活动,本质上都是在管理风险。
无论是传统型还是科创型企业,针对自身不同的风险偏好,都应当建立与之相适应的管控机制和能力。例如,当外部经济环境遭遇挑战时,那些拥有较高风险偏好、且具有较强风险管控能力的企业,反而将迎来宝贵的战略机遇期。
就企业本身而言,科创型企业研发能力强,业务成长性高,但往往成立时间短、运营经验少、经营风险高。
从公司治理和内部控制的视角看,这类企业固有风险水平偏高,风险控制能力又通常是其短板,因此本身的风险敞口就比较大,更是迫切需要提升自身的风险控制能力。
从企业所处的外部环境来看也是如此。科创板上市标准虽然淡化财务指标的限制,降低市场准入门槛,但建立更加全面深入的信息披露规则体系。监管者只对信息披露进行审核,不对发行人的盈利能力和投资价值做出更多判断;同时还压严压实了中介机构的责任,督促保荐人及其他证券服务机构勤勉尽责,提高信息披露质量。
这一背景下,科创板发行人的透明度将极大提升,风险控制能力方面的缺陷更加难以掩饰,并很可能影响市场对其投资价值的判断。
Theranos的启示
缺乏对风险全面、到位的认识,所谓的公司治理和内部控制,均为无源之水、无本之木。2018年出版的《BadBlood》(《滴血成金》)一书,向世人揭示了曾经的硅谷创业明星、超级独角兽Theranos长达十五年的骗局。
从公司治理与内部控制的视角,Theranos的陨落可谓看点颇多:
薄弱的控制环境:硅谷创新文化的负面效应,“Fake it until you make it”,治理层和管理层未能坚守底线和创新的初心,为了追逐短期利益,放任了治理结构的日益混乱。难以胜任的治理层:董事会中缺乏具备专业生化医疗健康领域经验的人士,面对造假不具备足够的问责能力。
人为割裂的信息与沟通:创始人以保护知识产权和商业机密为由,强迫员工签署苛刻的保密协议,并在不同层级、部门、团队之间制造信息“隔离墙”,通过技术手段监控员工,从而达到割裂信息正常流动和沟通的目的。
科创型企业最大的挑战,无疑来自公司治理层,对所面临风险的认知以及风险偏好的设定。相比传统企业,科创型企业的特征很鲜明。
首先,与创新相伴的固有风险水平较高,集中体现为新技术研发、新业务模式的探索,以及不断试错、快速迭代的发展模式。其次,科创型企业往往具有较高的数字化水平,其运营高度依赖信息系统和各类数字化技术,甚至其经营成果也以海量、多维度的数字化形式体现。第三,科创型企业普遍具有扁平化的内部组织架构,团队精干且高度专业化,但往往尚未构建体系化的公司治理与内部控制机制,且突出体现为相关组织架构的缺失和人才梯队建设的薄弱,特别是掌握复杂信息系统审计及大数据分析能力的人才。
对投资者而言,如何根据信息披露对科创型企业形成全面的认识,进而对其做出正确的估值判断,将是一项颇具挑战的命题。
科创企业内控的着力点
鉴于科创型企业的特点,我们建议重点关注以下公司治理和内部控制挑战:
- 专业职能和管理职能的视角有所不同,因此在企业发展路径的决策中可能产生争议乃至冲突。
- 公司治理结构和治理安排应当发挥积极作用,管控分歧,并保证企业战略方向的正确性。
- 科创型企业成长迅速,但规模效应的支撑需要在企业内部搭建科学合理的授权体系,并保证决策过程的规范和透明。
这对于科创型企业的创始团队来说,尤其具有借鉴意义,而前提仍是高质量的、且与企业发展相匹配的公司治理和内部控制体系。
创新型业务的开展,需要与之配套的业务流程和内部控制体系建设的同步跟进。其意义在于,既能保证企业运营的稳定,又能保证会计核算与会计处理的正确性。
研发支出是科创企业特色的会计处理的集中体现。围绕研发支出,应当构建完善的内部控制体系,如明确研发支出的开支范围、标准、审批程序以及研发支出资本化的起始时点、依据、内部控制流程。
同时,应按照研发项目设立台账归集核算研发支出。发行人应审慎制定研发支出资本化的标准,并在报告期内保持一致。
建设符合科创型企业特点的内部控制体系,可以从以下四个方面着手。
首先是顶层设计。内部控制所处的环境以及公司治理层和管理层对内部控制及其重要性的态度、认识和措施,共同决定了科创型企业内部控制体系建设的基调。
其次,构建技术支撑体系是必要的保障。科创型企业往往数字化程度很高,脱离数据谈内部控制将是空中楼阁。内部控制体系的建设,必须依赖数字化的技术支撑体系,与业务紧密结合,风控关口前移,争取在业务前端就识别并把控住风险。
通过数字化的持续监控,整合内控、审计、监察、财务、业务的力量,借助技术支撑平台能力,将过去的各自为战,整合为体系化作战,从抽样核查到整体核查,从数据分析到数据挖掘,形成新工作模式,建立可视化程度高、响应及时的内部控制技术支撑体系。
第三,重视人才队伍建设。基于科创型企业的特点,内部控制体系建设需要多样化的人才队伍。除传统业务、财务、审计背景以外的人才,还应配备技术人员、产品经理、业务运营、信息安全专家等专业人才,以便更有针对性地帮助企业识别风险、应对风险,结合具体业务场景或特征将内部控制落地,避免空谈。
最后,科创板的制度设计强化了第三方中介机构的作用,除了尽职调查义务和核查把关责任外,还加强了持续责任。
权责的界限
注册制作为科创板最大的制度红利,需要注意,注册制并不等于不审核。
市场并不担心审核的严格,而担心审核的标准模糊和难以预期。监管部门应当精心设计审核机构的职责与分工,审核的流程并明确时间表预期。
值得注意的是,监管部门应根据科创板推进的实际情况,借鉴海外资本市场成熟经验,特别是以我们的实际国情为基础,不断对审核职责、分工、流程、预期进行持续优化。
对于企业上市后的持续监管,以美国为例,证券交易委员会(SEC)作为美国证券行业的最高监管机构,在国会立法的授权下,能够主动对其认为存在违反《联邦证券法》的行为启动调查,调查的对象涉及任何与证券交易相关的主体,例如上市公司、证券经纪机构、投资机构等。
根据《萨班斯-奥克斯利法案》要求而设立的公众公司会计监督委员会(PCAOB)则主要针对上市公司的审计机构的执业质量进行监督和常态化的检查,确保第三方独立审计机构的执业操守和执业行为符合法律及相关专业标准的要求。
值得注意的是,就管辖权而言,即便是注册地址或实际经营主要在海外的上市公司,美国的监管机构也会通过寻求跨境监管合作的方式,行使监管问责权力。另外,特别调查和常态化的检查中涉及高度专业性的领域,均会引入独立第三方的专业机构力量作为必要的补充。
引入举报激励机制也是监管部门可以充分利用的监管工具之一。
以美国为例,依据《检举人保护法》、《欺诈(检举)给付请求法》等法律规范,证券交易委员会建立了成熟的检举人保护和激励机制,实行“比例加幅度调节”等奖励方式,以鼓励检举揭发行为。
截至目前,证券交易委员会已累计向61位举报人颁发了约3.76亿美元的奖金。这些奖金全部来自于国会设立的投资者保护基金,基金的资金则来自于违反《联邦证券法》的罚没款。
此外,海外资本市场还存在各类专业调查机构。他们精于研究上市公司与行业,往往能够发现并提示上市公司的各类造假与业绩粉饰行为。此类机构的存在,也可以视为市场力量对监管力量的有机补充。
最监管部门还应当在科技方面加大投入,利用数字化手段提升监管能力。
以美国为例,证券交易委员会着力打造了两大系统,分别是MIDAS(Market Information Data Analytics System)和NEAT plus(National Exam Analyt-ics Tool),整合了上市公司的数据和金融市场的交易数据;再通过算法模型,高效识别上市公司各类造假行为,以及金融市场的违法交易活动。
(作者系普华永道风险与控制服务中国内地及香港电信、媒体与技术行业主管合伙人;本文有删节,可扫描二维码阅读全文)
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
