求我国 内部控制法规 2009年~2012年的发展

李三喜:我国企业内部控制规范的统一与协调

2008-07-09作者:李三喜 来源:经济观察网

导读: 内部控制规范,简单说就是内部控制的标准。制定企业内部控制规范,其目的就是为企业实施内部控制提供一种范本,让大家都按照范本去做、去执行。但我国内部控制规范“政出多门”的客观现实,不仅执行者无所适从的问题,而且也加大了监管成本。

内部控制规范,简单说就是内部控制的标准。制定企业内部控制规范,其目的就是为企业实施内部控制提供一种范本,让大家都按照范本去做、去执行。但我国内部控制规范“政出多门”的客观现实,不仅执行者无所适从的问题,而且也加大了监管成本。

“政出多门”的我国内部控制规范

20世纪90年代以来,我国内部控制取得了迅猛发展,从以下“政出多门”的我国内部控制规范就可略见一斑。

l996年12月中国注册会计师协会发布《独立审计具体准则第9号——内部控制和审计风险》,要求注册会计师审查企业的内部控制,并对内部控制的定义、内部控制的内容(包括控制环境、会计系统和控制程序)等作出了规定。

l997年5月,中国人民银行颁布《加强金融机构内部控制的指导原则》,这是我国第一个关于内部控制的行政规定。

1999年8月中国保险监督管理委员会制定了《保险公司内部控制制度建设指导原则》,要求企业建立组织机构系统、决策系统、执行系统、监督系统、支持保障系统等控制系统,内部控制要素包括组织机构控制、授权经营控制、财务会计控制、资金运用控制、业务流程控制、单证和印鉴管理控制、人事和劳动管理控制、计算机系统控制、稽核监督控制、信息反馈等。

2000年4月中国证监会发布《关于加强期货经纪公司内部控制的指导原则》,内部控制内容包括内部机构控制、授权分责控制、岗位责任控制、风险监控、资金管理控制、会计系统控制、结算控制、计算机系统风险控制、内部稽核控制等。

2001年1月中国证监会发布《证券公司内部控制指引》,内容包括环境控制、业务控制、资金管理控制、会计系统控制、电子信息系统控制、内部稽核控制等。

2001年6月财政部发布《内部会计控制——基本规范(试行)》和《内部会计控制基本规范——货币资金(试行)》,内部会计控制规范适用于国家机关团体、各类企业、事业等单位,以单位内部会计控制为主,同时兼顾与会计有关的控制,是我国会计工作中又一重要的规范性文件。

2002年9月中国人民银行出台了《商业银行内部控制指引》,要求商业银行建立良好的公司治理以及风险监控体系,明确内部控制的要素包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正5个部分,内部控制的内容涵盖组织机构、岗位分工、授权分责、稽核监控、会计控制、计算机控制等各个方面。

2002年12月19日中国证监会发布《证券投资基金管理公司企业内部控制指导意见》,首次系统地提出基金公司内部控制的目标和要求。

2003年4月中国内部审计协会发布的《内部审计具体准则第 5 号——内部控制审计》认为,内部控制是指组织内部为实现经营目标,保护资产完整,保证对国家法律法规的遵循,提高组织运营的效率及效果,而采取的各种政策和程序,内部控制包括控制环境、风险管理、控制活动、信息与沟通、监督等五个要素。

2004年2月审计署发布实施的《审计机关内部控制测评准则》,内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。

2005年1月中国银监会制定《商业银行内部控制评价试行办法》,要求银行对商业银行内部控制体系进行评价。

2005年2月中国保监会制定了《保险中介机构内部控制指引(试行)》,要求保险中介机构建立全系统的风险管理系统等。

2005年中国内部审计协会发布的《内部审计具体准则第16号——风险管理审计》,风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。

2006年1月中国保监会制定《寿险公司内部控制评价办法(试行)》,通过建立统一规范的内部控制评价标准,对寿险公司内部控制体系建设、实施和运行结果进行调查、测试、分析和评估,实施分类监管。

2006年2月财政部发布《中国注册会计师审计准则第1211号--了解被审计单位及其环境并评估重大错报风险》第四章重点规范了有关内部控制的内容。

2006年3月3日中天恒会计师事务所研发的《中国式全面控制》,建议建立适合中国企业特色的全面控制体系,把控制分为内部控制和外部控制两大部分,倡导自主创新,认为会计控制是核心,管理和业务控制是发展方向。

2006年6月上海证券交易所制定了《上海证券交易所上市公司内部控制指引》(以下简称《指引》),并于2006年7月1日开始实施。

2006年6月6日国资委出台《中央企业全面风险管理指引》,该指引要求企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立、健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证过程。

2006年9月深圳市证券交易所制定了《深圳证券交易所上市公司内部控制指引》,该类指引界定了上市公司内部控制的范围,规定了从公司治理到业务控制的一系列规则。主要强调了关于控股公司、关联交易、对外担保、募集资金的使用、重大投资以及信息披露等方面的内部控制要求。

2007年4月19日中天恒管理咨询公司研发的《3C全面风险管理标准》,内容包括基本框架、实务标准、操作指南,力求自主创新,除增加了实务标准、操作指南这些具有可操作性的工具之外,在基本框架方面进行了一系列的创新,充分考虑了中国企业的实际情况,在构建中国企业自己的全面风险管理标准方面进行了有益的探索。

2007年12月6日国资委关于印发《中央企业财务内部控制评价工作指引(2007年度试行)》的通知评价函〔2007〕293号,企业财务内部控制评价工作目的是促进企业内部建立健全运作规范化、管理科学化、监控制度化的财务内部控制体系。企业财务内部控制评价是指通过独立的调查、测试、分析企业在一定经营期间内所采取的各项财务内部控制政策、程序、措施,评价企业财务内部控制体系的建设、实施情况以及运行的有效程度。

2007年l2月26日,深交所发布的《中小企业板上市公司内部审计工作指引》,建立自查机制,由内审负责审查和评价内部控制的有效性,提建议,审计委员会对内控的建立和实施情况,出具年度内部控制自我评价报告。

2008年6月28日财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》,将于2009年7月1日起首先在上市公司范围内施行,并鼓励非上市的其他大中型企业执行。

纵观我国内部控制规范制定情况,大多是由政府主管部门制定的,小部分是由行业协会制订、政府主管部门发布实施的,社会中介机构和学术团体参与其中,中天恒会计师事务所和中天恒管理咨询公司研发出了中国式内部控制和风险管理标准。

统一我国企业内部控制规范势在必行

在美国,COSO框架是一个美国企业以及在美国上市的外国公司的内部控制建设标准;在英国,Turnbull指南已成为英国投资者和公司普遍接受的一个风险管理与内部控制建设的指导原则;在加拿大,CoCo控制指南已成为加拿大公司和组织进行控制设计和评价时广泛参考的一个标准;在香港,内部监控与风险管理基本架构已经成为在香港上市公司内部控制评价的一个标准。而在我国,长期以来内部控制规范正出多门,现实中,至少存在包括证监会、财政部、国资委、人民银行、证券交易所等部门或主管单位发布的关于内部控制或风险管理的规范文件。尽管有关监管部门在实际中采用了COSO的标准,但都各自角度出一个规范,怎么得搞出点特色,是少各规范中对内部控制的定义界定不尽相同,上市公司在披露内部控制信息时所选择的内部控制标准也存在差异,即使是人为特色,也弄得同一个执行单位无法执行,到底执行财政部的呢,还是执行国资委的,还是证券会和审计署的呢,没有一个统一的内部控制的标准,实务中执行者难执行,审计者难审计。

应该说,目前内部控制相关制度文件“政出多门”的客观现实,并非简简单单的相关利益的矛盾,其背后更有不同类型企业之于内部控制的不同要求,以及相关监管层对所辖领域内部控制的不同理解。以内部控制的原则为例。

2003年,证监会发布了修订后的《证券公司内部控制指引》,其中规定,证券公司内部控制应当贯彻健全、合理、制衡、独立的原则.确保内部控制有效。然而,同属于证券金融领域,《证券投资基金管理公司内部控制指导意见》中规定,公司内部控制应当遵循健全性原则、有效性原则、独立性原则、相互制约原则与成本效益原则。

至于2006年l2月8日银监会第54次主席会议通过的《商业银行内部控制指引》,其中则规定,商业银行内部控制应当贯彻全面、审慎、有效、独立的原则。对比这三个文件关于内部控制原则的规定,其中既有***性的地方,如独立性、有效性;但其中的差异也较为明显,如《证券投资基金管理公司内部控制指导意见》中明确提出了成本效益原则与相互制约原则,《商业银行内部控制指引》则未有明确提出,而《证券公司内部控制指引》中则将语词弱化为合理与制衡原则。不仅仅是同属金融行业的不同细分领域存在不同的理解,甚至于针对较为同质化的上市公司,由于上市地点的不同,相关差异也明显存在。

2006年6月5日,《上海证券交易所上市公司内部控制指引》发布,其中指出:内部控制是指上市公司为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理层及全体员工***同参与的一项活动。而2006年9月28日发布的《深圳证券交易所上市公司内部控制指引》,其中则指出,本指引所称内部控制是指上市公司董事会、监事会、高级管理人员及其他有关人员为实现下列目标而提供合理保证的过程:(一)遵守国家法律、法规、规章及其他相关规定;(二)提高公司经营的效益及效率;(三)保障公司资产的安全:(四)确保公司信息披露的真实、准确、完整和公平。可见,同样是针对上市公司,仅就内部控制的基础概念方面,上交所与深交所的两套指引就有着差异不小的理解。

或许正是为了制定一个统一的内部控制规范的需要,2006年7月15日,我国企业内部控制标准委员会成立了。企业内部控制标准委员会由财政部、证监会、国资委等来自监管部门、实务界、理论界的专家学者组成。研究、制定一套具有统一性、公认性和科学性的企业内部控制规范,是2006年7月15日企业内部控制标准委员会成立大会暨第一次全体会议达成的广泛***识,是国际国内多种因素***同作用、***同影响的结果。

2008年6月28日财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》是广泛征求各监管部门意见基础制定的,应该作为我国企业内部控制的统 一标准,我们终于可以自豪地说,至少中国企业有了自己统一的内部控制标准啦。正如财政部副部长王军介绍说,新发布的基本规范为中国企业首次构建了一个企业内部控制的标准框架,有效解决政出多门、要求不一、企业无所适从的问题,有利于提高内部控制监管效率、降低监管成本,有利于优化企业管理和增强企业竞争实力,有利于保障经济安全、维护资本市场稳定。

企业内部控制规范与企业风险管理指引的协调

《企业内部控制基本规范》作为我国企业内部控制的统一标准基本要求,这点肯定是没有疑问。只有各监管部门不各自为政,把对企业监管要求统一到基本规范上来,企业执行统一的企业内部控制标准就不会有障碍。但从该规范的发布部门看,企业内部控制标准委员会重要部门国资委未参与其中,这至少说明企业内部控制标准委员会成员之间的认识还没有统一。实际工作中,还有一个现实问题,就是《企业内部控制基本规范》和《中央企业风险管理指引》如何统一协调的问题。这是个很难协调的现实问题。

关于内部控制与风险管理的融合,石爱中审计长在2006年度中国内部审计协会和中天恒管理咨询公司举办的《内部控制与风险管理创新论坛》上就指出:“内部控制和风险管理逐渐融合,而且在很多工作中,包括在系统设计中这两个东西一定要融合,而不是分开的”。中国内部审计协会会长王道成在2007年4月19日中国内部审计协会与中天恒管理咨询公司举办的《融合之道--2007年度内部控制与风险管理春季高峰论坛》上指出,内部控制与风险管理走向融合,是一个必然的趋势,这不仅是内部控制体系向前迈进了一大步,也为我们内部审计的发展指明了方向,因此为了适应这样一种发展趋势,我国现行的内部控制体系有必要逐步地向全面风险管理体系升级和完善。内部审计的模式也应该逐步向以治理为目标、风险为导向、控制为中心、增值为目的的现代管理审计转型,使内部审计工作更加符合成本效益原则,更能够满足企业治理与管理的需要,更能体现内部审计的重要价值,实现内部审计价值的最大化。中国内部审计协会制定的风险管理审计准则规定:“风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。”明确了:风险管理是组织内部控制的基本组成部分,内部审计人员对风险管理的审查和评价是内部控制审计的基本内容之一。这显然是传统的把风险管理作为内部控制的内容的观点。3C全面风险管理基本框架的理解风险管理与内部控制的融合道理其实非常简单。企业在实现目标的漫长征程中,会遇到各种各样的风险;因此,就要采取措施控制风险。也正因为有风险才要控制,如果没有风险,控制就是多余的了,就是添乱,当然更是浪费资源。风险与控制的关系简单地说就是风险减去控制就等于剩余风险。当然,这个剩余风险一定要在企业可接受的水平范围内。

实际上,世界上内部控制与风险管理已逐渐融合了,把内部控制与风险管理试为同一事件。1992年,Treadway委员会的发起组织委员会(the Committee of Sponsoring Organizations of the Treadway Commission)发布了《内部控制——整合框架》,2004年,该委员会又发布了《企业风险管理—整合框架》,在该框架附件C中明确:内部控制被涵盖在企业风险管理之内,是其不可分割的一部分。

国资委颁布的《中央企业全面风险管理指引》要求企业在开展全面风险管理工作的同时,还要与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。

我国的有些企业都在积极探索内部控制与风险管理的融合之道,比如中国网通集团公司的“基于全面风险管理的内部控制体系构建与实施”获得全国企业管理现代化创新成果一等奖。备受国资委赞扬的中国神华股份公司的《内部控制手册》,实际上更是以全面风险管理为基础的,是内部控制与风险管理融合的结晶。中天恒管理咨询公司为我国某中央企业设计的《全面风险管理手册》,与公司现有管理体系和管理手段相衔接,实际上不仅仅是内部控制与风险管理的融合,而是整个管理的融合。

如果内部控制和风险管理融合后,企业至少没有必要既设立风险管理部,又设立内部控制部,设一个风险控制部就够用了。风险管理与内部控制融合,就是要打破风险和控制水平之间的平衡,不要把现代企业的风险管理和控制仅仅当成是一项纯粹的企业经营活动,它是一项包括了企业咨询专家、企业决策者、中层管理者以及企业员工在内的综合管理系统工程,需要各方面力量的协调和配合才能实现。

当然,强调风险管理与内部控制的融合,并不是风险管理要代替内部控制,实际上两者是并存的。企业肯定需要建立内部控制,来应对阻止企业进步的风险。否则,被控制所遏制的风险将可能发生。

融合是一种彼此的尊重,它可以让两个公司形成一个系统,融合是一种力量的凝聚,它可以实现1+1〉2的效果,融合是一种思维的创新,它可以创造一个和谐***赢的世界。内部控制与风险管理要融合,正因为有风险才需控制,两者是一个事件的两个方面,在实践中风险管理和内部控制工作基本上是一致的。因此,同样一个中央企业不能为了应付检查就同一事件用两个规范来做,不能既要编报风险管理报告,又要编制内部控制报告。的确,要加强企业内部控制,提升风险管理水平,但终究还是要考虑成本,不能为了控制而控制,为了管理而管理。如果把内部控制规范和风险管理规范统一了,企业内部控制和风险管理工作合二为一,必然会减少各监管部门和企业的不必要的重复劳动,也会减轻企业的负担,管控的效果或许会更好些。

当然,从道理上讲内部控制与风险管理融合是比较简单的,不要把简单问题复杂化,更不能相互“制造工作”。但在实际工作中,因涉及到不同的政府主管部门,协调就比较难了。一个妥协的结果就是各干各的,倒霉的是企业,辛苦的是政府主管部门,无奈的是审计师。

当然对企业来讲,处于不断开放经济体系中的中国企业,面临着外部环境、文化理念、管理层经营哲学、各种竞争等多方面的环境与因素,企业的内部控制体系也需将众多的因素与风险纳入到控制范围来予以考虑。在国家基本规范的基础,企业根据基本规范,可以结合自身情况构建适合本企业自身的内部控制体系。