时间:2022-05-12 15:34:03
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇内部控制基本规范,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
2008年6月28日,财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范会,会议了《企业内部控制基本规范》(以下简称《基本规范》),自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。
《基本规范》在企业内控体系中处于最高层次,起统驭作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素等基本要求,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据。《基本规范》的颁布实施,必将对我国企业及资本市场的发展产生深远影响。
内控是为了企业的生存发展而存在的,是促成企业目标实现的一种重要方法和手段,内部控制的目的是在合理的范围内保证企业基本目标的实现。盈利是企业生存和发展的基础,如果不能盈利,就连自身的生存都难保证,其他目标更无从谈起。企业要想实现盈利,就必须控制风险,必须建立有效的内控体系。企业要改善现有的管理水平,就必须借助于内控体系,完善的内控体系是促进管理落实的手段,可以促进企业实现发展目标。
同时,健全有效的内部控制,有利于提高财务信息质量,提升财务报告的有效性,这对于保证投资者对高质量财务信息的需求,体现资本市场“公开、公平、公正”的原则,保护投资者合法权益具有至关重要的意义;有利于上市公司遵守国家法律、法规、规章及其他相关规定,堵塞管理漏洞,保障公司资产的安全,有效提高公司风险防范能力,减少乃至避免舞弊事件的发生;有利于提高经营效率和效益,提升企业经营管理水平、盈利能力和持续发展能力,增强公司竞争力,从而提高上市公司质量,最大限度地回报股东和社会。
面对国际市场日趋激烈的经济竞争环境,我国企业要“走出去”,进入国际产业和资本市场投资,必须苦练内功、强化内控、防范风险,这样才能立于不败之地。可以说,企业内控体系的建立与实施,为我国企业“走出去”提供了“安全网”和“防火墙”。
实施《基本规范》对企业提出了诸多要求。
在以人为本的现代化企业管理中,员工的地位日趋重要,员工也越来越看重工作的环境,特别是软环境,比如:企业文化、管理理念、管理层是否关注员工的工作和日常生活以及员工的职业生涯发展等。另一方面,制度再周全也不可能凡事都规范到位,制度可以规定员工出工,但无法规定员工出力。因此,企业管理控制的核心是企业中的人及活动,只有提高了人的主观能动性,才能加强内部控制实施效果。
企业文化作为一种无形的精神力量与源泉,影响着企业员工的思维方式和行为活动。优秀的企业文化可以促进企业发展,防止企业衰败;不良的企业文化也可能阻碍企业发展,甚至导致企业倒闭。因此,企业必须培养自身的优良文化,将企业文化与内控制度的建立有机的结合起来,从而更好地推动企业发展。
职业道德属于非法律性质的道德范畴,不履行职业道德并不一定违法,但是职业人如不履行职业道德,必将遭到淘汰。公司应提供职业道德方面的指导,使所有员工在日常或特定的环境下能保持正常的判断;制定公司的行为准则,并传达给全体员工,将员工不诚实和不讲道德标准的动机与机会降到最低。职业道德有许多范畴,不同岗位的人员职业道德不一定相同,《国际会计职业道德准则》中对会计从业人员提出8条准则,内容包括:廉正、客观、独立、保密、技术标准、业务能力、工作胜任、道德自律。我国《会计法》第39条也规定会计人员应当遵守职业道德,提高业务素质。提高员工的职业道德特别是财务人员的职业道德将有助于企业内控制度的建立与实施。
企业内部控制体系的构建是一项重大而复杂的系统工程,在这个过程中我们要牢牢把握住正确的发展方向,实施过程中应注意以下几方面。
1.立足国情、符合实际
内部控制构建的基本前提是要从我国实际国情出发,符合我国法制意识、制度基础、风险理念、经营风格等方面特点,扎根于我国经济、社会、法律、文化环境和企业实践。我国在建立完善社会主义市场经济体制过程中,形成了有别于资本主义市场经济的成熟经验和做法。因此,我国的内部控制体系的建设应当更多地消化总结自身的成功经验,与国家有关法律法规相协调,与国家经济发展战略相协调,与企业经营管理实践相协调。只有做到立足国情,符合实际才能具有强大的生命力,才能发挥应有的积极作用。
2.把握方向、注意动态
从内部控制的发展历程来看,内部控制的发展趋势是从简单、零散的低层次阶段向完整、系统的高层阶段发展,包括的内容、涉及的范围和层面越来越多,内容越来越丰富。目前,内部控制发展的思想不再是简单的机构、业务流程上的监督、制衡,而是注重风险管理。在实务方面,推行财务报告内部控制必然是今后国际发展大势所趋。内部控制不是静止不变的,而是一个动态变化的系统。
关键词:企业内部控制 局限性 实施
2010年4月国家财政部等五部委联合的《企业内部控制配套指引》,将于2011年1月1日起首先在境内外同时上市的公司施行。该配套指引连同此前的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。如何保证内部控制制度有效执行的问题,摆在了实务界和理论界面前。
一、目前内部控制存在的局限性
完善的内部控制制度,能有效地防止错误与舞弊的发生,提高效率和效益。而我国企业内部控制规范体系虽是一套比较完善和严格的管理程序与制度,但却仍存在着以下局限性。
(一)不相容职务分离控制薄弱。许多企业受企业规模和所有制形式的限制,企业管理人员更多的是凭借经验工作,没有周密措施对员工进行科学管理和监督,更没有考虑不相容职务分离控制管理。有些企业虽然有较好的职务设置,但执行效果不好,企业的会计人员工作责任心不强,使不相容职务控制流于形式。另外,在实际工作中,如不相容职务上的有关人员相互串通勾结,则失去了不同职务相互制约的基本前提。
(二)高层管理人员的违规操作。企业内部控制制度作为管理工具,最终都是靠人来执行的,如果高层管理人员违规操作,那么再严密的内部控制,也不可能产生应有的效果。尤其是企业高管人员的决策更是起决定作用的。决策出了问题,贯彻决策人意图的内部控制也就失去了应有的控制效能。
(三)受成本因素的制约。内部控制并不能直接创造利润,它的最大效益是保持企业的持续经营能力,而这种作用短期之内很难凸显。如果内部控制的执行导致企业管理成本过高,就会削弱内部控制效能的充分发挥。健全的内部控制涉及的控制环节多,也会影响企业生产经营活动的效率。因此,在设计和实施内部控制时,企业必然要考虑控制成本与控制效果之比。
二、保证规范实施效果的措施
(一)改善法人治理结构。企业应从完善法人治理结构人手,充分发挥股东会、董事会、监事会的职能;改善股权结构,解决我国企业股权过度集中带来的问题,完善企业内部制衡机制和内部激励机制,增强内部审计部门的独立性,充分发挥其监督评价职能。
(二)建立有效的工作团队。从企业内部控制的实践来看,内部控制是否有效,主要取决于员工队伍的综合素质和道德水平的高低。因此,应加强对企业高管人员的培训,使企业管理层树立正确的经营理念和较强的风险管理意识等一系列措施,确保公司经营目标和员工个人发展的实现,为公司的可持续发展奠定基础。
(三)完善不相容职务的设置和管理。不相容职务相互分离控制:建立岗位责任制度,通过权力、职责的划分,防止差错及舞弊行为的发生;按照合理设置分工、科学划分职责权限、贯彻不相容职务相分离及每个人的工作能自动检查另一个人或更多人工作的原则,形成相互制衡机制。
【关键词】萨班斯;企业内部控制基本规范;思考
一、萨班斯法案的主要内容
美国布什政府出台的《2002年公众会计改革和投资者保护法案》,简称《萨班斯法案》,它的主要内容涉及加强上市公司董事及高层管理人员的责任、要求上市公司设立审计委员会、强化上市公司财务信息披露义务、加大对违法行为处罚的力度等。法案第302款要求公司首席执行官和财务总监对财务报告“完全符合证券交易法,以及在所有重大方面公允地反映了财务状况和经营成果”予以签字保证。法案第404款要求公众公司年度报告中应包含内部控制报告,强调公司管理层有责任建立和维护内部控制系统并保证相应控制程序的充分有效以及对最近财政年度末的内部控制体系和控制程序有效性做出评价,并要求独立审计师对公司高管层做出的内部控制评价出具鉴证报告。
二、我国内部控制的现状和问题
我国政府从20世纪90年代后期才开始重视企业内部控制。1996年12月财政部《独立审计具体准则第9号――内部控制和审计风险》(于1997年1月1日施行)。1997年5月,中国人民银行颁布第一个关于内部控制的行政规定《加强金融机构内部控制的指导原则》。1999年10月修改后的《会计法》提出各单位应当建立、健全本单位内部会计监督制度。证监会2000年底要求商业银行应建立健全内部控制制度,并就其内部控制制度的完整性、合理性和有效性做出说明,还应聘请会计师事务所进行评价,以内部控制评价报告的形式做出报告。财政部2001年6月颁布了《内部会计控制规范――基本规范(试行)》和《内部会计控制规范――货币资金(试行)》。证监会2001年要求公司监事会在监事会对公司依法运作情况发表独立意见时,应包含公司是否建立完善的内部控制等内容。上交所2006年度的《上市公司内部控制指引》指出,公司在内部控制检查中如发现内部控制存在重大缺陷或存在重大风险,公司董事会应向本所报告该事项,经认定,公司董事会应及时公告。公司董事会应披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。深交所2006年9月28日《上市公司内部控制指引》,要求深市主板上市公司自2006年9月28日至2007年6月30日期间建立起完备的内部控制制度,并从2007年年报开始,按照要求披露内控制度制定和实施情况。2006年7月15日,财政部发起成立企业内部控制标准委员会,研究推进企业内部控制规范体系建设问题。2008年6月28日,财政部、证监会、审计署、银监会、保监会联合了《企业内部控制基本规范》,标志着企业内部控制规范体系建设取得重大突破。基本规范原来计划安排在2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。但是由于上市公司目前的内部现状使得执行起来难度比较大,被迫推迟到2010年1月1日,出具内控自我评价报告则可以推迟2010年年底。
目前,我国关于内部控制的法律法规如《会计法》、《内部会计控制规范》等已经颁布,但是这些法规在实践中由于缺乏相应的监督机制,内部控制的规定如同一纸空文,企业并没有将其付诸到实践中,造成许多单位的内部控制形同虚设,无助于提高企业财务报表的可靠性。从而,我国企业的内部控制相对于一些跨国公司而言,显得有的薄弱,很多公司的内部控制完全是按照管理层的决定,从而导致我国企业内部控制存在一系列问题,主要问题如下:
(一)控制环境管理混乱
我国企业普遍缺乏标准的内部控制环境,大多数企业尽管建立了内部控制机制,但缺乏规范和完整的内控标准,从而导致内控环境管理存在很多混乱之处。
(二)风险管理意识淡薄
我国企业最近几年屡屡在资本市场上折臂,从而导致了巨额的亏损,而这些企业问题的出现或多或少的与企业缺乏必要的内部控制有关,公司的经营失败主要原因是无视制度的存在,不按制度行事,没有对资本市场上的风险有充分的认识。
(三)内部审计薄弱
内部审计作为公司内部控制重要的一环,扮演着非常重要的作用,然而我国企业的内部审计部门势单力薄,内部审计从业人员的独立性也遭到质疑,很多企业的内部审计人员工作并不是向审计委员会直接汇报,而是向管理层汇报,从而使得企业内部审计的职能并没有得到应有的发挥。
由此可见,我国内部控制信息披露的现状是流于形式,还没有能够真正揭示出上市公司的内部控制缺陷,难以起到提高财务报告质量、提升公司治理水平、保护中小投资者等作用。
三、萨班斯法案对我国执行《企业内部控制基本规范》影响的思考
企业内部控制规范体系的实施给不少企业带来脱胎换骨的影响,意味着中国企业内控规范体系建设正在向国际标准靠拢。通过对美国上市公司执行萨班斯法案的成功实践进行研究后发现,《萨班斯-奥克斯利法案》中最难操作、最复杂、耗费成本最高的条款是404条款,即管理层对内部控制评价。统计资料显示,大型美国公司仅在“404合规工作”第一年建立内部控制系统的平均成本就高达430万美元,成本包括:内部人员35000工时的投入、130万美元的外部顾问和软件费用,以及150万美元的额外审计费用。这是许多企业对建立内部控制体系望而生畏的重要原因之一。因此,我国上市公司在内部控制基本规范的执行中可从以下方面入手:
(一)尽早启动内部控制建设的计划。根据经验,1年半的时间对一个企业实施有效的内部控制相当紧迫,越早启动,意味着越少的成本投入。
(二)建立内部控制建设的工作团队。按照基本规范的要求,明确董事会、监事会以及各级管理层在内部控制中的责任,规范审计委员会以及内部审计职能的独立性。同时建立以高级管理层为领导的基本工作团队,确保内部控制的设计、监督、实施相互分离,相互牵制。
(三)开展内部培训,培养和建立自己的内部控制专业人才队伍,解决本企业内部控制体系设计与执行,建立流程管理信息系统和开展内部控制有效性自我评估价与外部审计的人才需求。
(四)企业内控建设团队应从重要性、风险发生的可能性等指标出发,从企业(集团)整体的角度,全面梳理企业风险领域,确定对企业整体而言的高风险领域。从重点领域着手,再推广到整体的范围。
(五)关注内部控制基本规范指引的建设与更新。企业一方面要关注现有政策内的明确要求(如证券交易所内控指引中提出的关注领域)一方面需要时刻关注指引内容的变化与要求。在某种情况下,对政策要求的误判,可能会直接造成企业成本的增加,甚至浪费。
参考文献:
[1]胡向丽,钟亮.萨班斯法案对我国内部控制建设的启示[J].华东科技大学学报,2007(2).
[2]李芳.萨班斯法案404条款的执行与启示[J].中国注册会计师,2006(7).
[3]阎达五,杨有红.内部控制框架的构建[J].会计研究,2001(2).
[4]刘华.萨班斯法案对我国的启示[J].法制与社会,2006(9).
根据财政部等五部委的要求,《企业内部控制基本规范》(财会[2008]7号)及其配套指引已于2011年1月1日起在境内外同时上市的69家公司实施。同时,财政部、证监会又选择了200多家在境内主板上市的公司进行试点。实施一年总体进展顺利,但也存在一定问题。为推动《企业内部控制基本规范》及其配套指引的顺利实施,现对有关问题解释如下:
1.如何把握企业内部控制规范体系的强制性与指导性的关系?
答:在实施试点中,一些企业反映,《企业内部控制基本规范》及其配套指引的规定是否需要逐条执行。
《企业内部控制基本规范》是内部控制建设与实施应该遵循的基本原则和总体要求,具有强制性,纳入实施范围的企业应当遵照执行。《企业内部控制配套指引》(财会[2010]11号,包括18个应用指引、1个评价指引和1个审计指引)是对《企业内部控制基本规范》相关规定的进一步补充和说明,具有指导性和示范性,纳入实施范围的企业可以结合所在行业要求和企业自身特点,参照配套指引的规定开展内部控制建设与实施工作。
2.已经完全按照境外监管机构要求建设与实施内部控制的境内外同时上市的公司,是否需要执行我国的企业内部控制规范体系?
答:目前,许多国家和地区对公众公司内部控制都有相关的规定和要求。我国企业内部控制规范体系在充分借鉴国际上先进经验和做法的同时,更多地适应了我国国情,尤其是充分考虑了我国目前法律法规体系、公司治理结构、企业管理体制、风险管控实务等具体情况,提出了内部控制的目标、原则、要素等,且不局限于财务报告内部控制,更多突出全面内部控制的要求。因此,境内外同时上市的公司应当在满足境外监管机构要求的基础上,对照我国企业内部控制规范体系,特别是应当围绕《企业内部控制基本规范》提出的内部控制五目标,对相关控制措施进行适当调整或补充完善。
3.企业按照企业内部控制规范体系建设与实施内部控制,是否还需要遵守我国行业主管部门和市场监管部门对内部控制的有关要求?
答:《企业内部控制基本规范》及其配套指引是对不同行业、各类企业提出的一般性要求,具有普适性。行业主管或监管部门对所辖企业的内部控制管理规定,是不同行业内部控制的特殊要求,也是《企业内部控制基本规范》的重要补充。企业应当按照《企业内部控制基本规范》及其配套指引规定和行业管理、市场监管的要求,建设与实施内部控制。
4.如何协调好内部控制与风险管理的关系?
答:《企业内部控制基本规范》及其配套指引,充分吸收了全面风险管理的理念和方法,强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险,促进企业实现发展战略,风险管理的目标也是促进企业实现发展战略,二者都要求将风险控制在可承受范围之内。因此,内部控制与风险管理二者不是对立的,而是协调统一的整体。
在实际工作中,一些企业的内部控制和风险管理工作由不同机构负责。对此,企业可以对有关机构和业务进行整合,从工作内容、目标、要求以及具体工作执行的方法、程序等方面,将内部控制建设和风险管理工作有机结合起来,避免职能交叉、资源浪费、重复劳动,降低企业管理成本,提高工作效率和效果。
5.对于《企业内部控制配套指引》尚未规范的领域,应如何处理?
答:由于企业所面临的客观环境和自身的经营管理活动比较复杂,目前的《企业内部控制配套指引》仅对企业常见的、一般性生产经营过程的主要方面和环节进行了规范。在建设与实施内部控制的过程中,对于《企业内部控制配套指引》尚未规范的业务领域,企业应当遵循《企业内部控制基本规范》的原则和要求,按照内部控制建设与实施的基本原理和一般方法,从企业经营目标出发,识别和评估相关风险,梳理关键业务流程,根据风险评估的结果,制定和执行相应控制措施。
6.如何权衡内部控制的实施成本与预期效益?
答:企业按照《企业内部控制基本规范》及其配套指引的要求建设与实施内部控制,必然需要支付一定的成本,可能会发生内部控制制度和流程的设计与实施费用、聘请专业机构提供咨询服务费用、建立融入内部控制要求的信息系统费用、聘请会计师事务所开展内部控制审计费用,等等。建设与实施内部控制应当从提高企业长期效益出发,从促进企业可持续发展出发,将内部控制作为一项常规性工作,贯穿于企业管理之中,加大投入。同时,应当按照重要性原则,关注重要业务事项和高风险领域,抓住关键风险控制点。集团性企业可以采取分类试点、逐步推广的方式,选择下属不同类型的企业试点,形成范本,减少重复建设。
聘请会计师事务所开展内部控制审计是建设与实施内部控制的重要环节,是检验内部控制有效性的重要手段和有力保证。内部控制审计费用是企业实施内部控制规范体系应当承担的成本,企业应安排相应经费确保审计工作的及时、有效开展。内部控制审计是一项区别于财务报告审计的独立业务,企业应就该项业务与会计师事务所签订单独的业务约定书。同时,企业也应权衡审计成本与审计效益,在业务约定书中明确有关费用标准,并对会计师事务所审计资源的投入和审计质量提出明确要求。
7.如何协调好内部控制与其他管理体系的关系?
答:内部控制贯穿于整个企业管理,与其他管理体系相辅相成、密不可分,是企业管理的重要组成部分。企业现有管理体系的设计、运行以及审核认证需要遵循已经的国家标准或行业标准。这些标准与企业内部控制规范体系的原则和要求并不矛盾。在实际工作中,个别企业的内部控制体系建设与管理体系运行发生冲突,原因可能是企业采用的方式方法出现了偏差,如简单照搬内部控制应用指引的规定,没有考虑企业的实际情况,为控制而控制,导致控制设计不合理,出现控制过度或控制冗余;也可能是企业经营管理部门对内部控制的重要性认识不足,不愿意受到更多的牵制和监督,从而以影响经营效率和目标为借口,拒绝必要的内部控制;等等。对此,企业应当立足管理现状,全面梳理各项管理制度和管理体系,从管理体制、机制以及落实各级权利责任等方面,将内部控制的要求融入各项管理体系中,形成内部控制的长效机制,使内部控制真正为经营管理服务;应当从总体目标出发,通过培训教育提高企业经营管理人员对内部控制的理解和认识,将内部控制的要求纳入绩效考核体系以加强执行;可以利用信息技术固化业务流程,提高业务处理效率和信息共享水平,从而尽可能减少内部控制与其他经营管理体系的冲突。
8.企业如何确定内部控制缺陷的认定标准?
答:查找并纠正企业内部控制设计和运行中的缺陷,是开展企业内部控制评价的一项重要工作,是不断完善企业内部控制的重要手段。由于企业所处行业、经营规模、发展阶段、风险偏好等存在差异,《企业内部控制基本规范》及其配套指引没有对内部控制缺陷的认定标准进行统一规定。企业可以根据《企业内部基本规范》及其配套指引,结合企业规模、行业特征、风险水平等因素,研究确定适合本企业的内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。企业确定的内部控制缺陷标准应当从定性和定量的角度综合考虑,并保持相对稳定。通过不断的实践,总结经验,形成一套行之有效的内部控制缺陷认定方法。
企业在开展内部控制监督检查中,对发现的内部控制缺陷,应当及时分析缺陷性质和产生原因,并提出整改方案,采取适当形式向董事会、监事会或者管理层报告。对于重大缺陷,企业应当在内部控制评价报告中进行披露。
财政部将会同证监会、审计署、银监会、保监会等有关部门,根据首次执行和试点情况,分行业、分类型总结企业的内部控制缺陷认定标准,供参考。
9.实施《企业内部控制基本规范》及其配套指引的企业,是否需要设置专门的内部控制机构?
答:根据《企业内部控制基本规范》的规定,企业董事会负责内部控制的建立健全和有效实施。为便于董事会履行好企业内部控制规范体系的设计、建立、运行与改进方面的职责,董事会应当指定专门委员会负责指导内部控制建设与实施工作。一般情况下企业应当成立专门机构负责组织协调内部控制的建立实施及日常工作。
对于少数企业受制于岗位编制、专业人员等条件限制,目前尚不具备成立专门的内部控制管理机构的,可暂将内部控制管理职能划归现有机构。随着企业内部控制建设的持续深入和相关条件的不断成熟,企业应考虑成立专门机构,保证有足够的资源支持和协调内部控制工作的开展,确保内部控制工作的相对独立性。
10.如何编制和披露企业内部控制评价报告?
企业内部控制评价是企业董事会对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。开展内部控制评价,可以及时发现和纠正企业内部控制建设与实施中存在的问题,并持续自我完善。企业可以独立开展内部控制评价工作,也可以委托不承担本企业内部控制审计的中介机构协助开展内部控制评价工作。
目前,我国上市公司内部控制信息披露状况不容乐观,从沪、深两市上市公司2012年年报来看,仍有少数公司对其内部控制信息没有做任何形式的披露;虽然大多数公司随年报披露了内部控制信息,但披露内容、评价标准及报告格式不统一。鉴于此,笔者从上交所的《上海证券交易所上市公司内部控制指引》(本文简称“沪指引”)、深交所的《深圳证券交易所上市公司内部控制指引》(以下简称“深指引”)、以及财政部联合证监会、审计署、银监会与保监会等所共同的《企业内部控制基本规范》(本文简称“基本规范”)及其由《企业内部控制评价指引》、《企业内部控制审计指引》与《企业内部控制应用指引》组成的《企业内部控制配套指引》(本文简称“配套指引”)着手,对以上不同规范从内部控制内涵及责任人、内部控制自我评价规范、内部控制信息披露三方面进行对比研究,从而为我国上市公司内部控制制度的设计与执行提供依据,也为财政部、证监会等政府监管部门进一步完善内部控制法律法规、提高对上市公司监管的效率与效果提供一定的参考。
二、上市公司内部控制内涵及责任人对比研究
(一)内部控制内涵 对关于内部控制的内涵,“沪指引”有如下规定:“内部控制是一种制度安排,上市公司进行该种制度安排的最终目的是为保证公司战略目标的实现,而对涉及到公司整体战略层面上与具体经营层面上已经存在的与潜在的风险予以管理与防范,该项制度安排参与的主体囊括了上市公司高层管理者、董事会及其全体员工。”“深指引”对内部控制的内涵的理解是:“内部控制是一个为实现一系列目标(合法合规目标、提高效益目标、资产安全目标、披露真实目标)而提供合理保证的过程,参与这一过程的主体包括上市公司高层管理者、董事会、监事会及其他有关人员。”“基本规范”提出:“内部控制是一项实现合理保证企业控制目标(经营管理合法合规、提高经营效率与效果、保障资产安全、促进企业实现发展战略、财务报告及相关信息真实完整)的过程,参与主体为企业高层管理者、董事会、监事会及其全体员工。”对比“沪指引”、“深指引”与“基本规范”关于内部控制的内涵可以总结出以下不同:首先,根本区别是性质不同。“深指引”与“基本规范”认为内部控制是一个过程,而“沪指引”则认为内部控是一种制度安排;其次,目的不一致。“深指引”与“基本规范”认为内部控制是为实现一系列目标而提供的合理保证,但通过对比可以发现两者为内部控制所限定的一系列目标仍存在一些差异,“深指引”是为了实现合法合规目标、提高效益目标、资产安全目标、披露真实目标,而“基本规范”是为了实现经营管理合法合规、提高经营效率与效果、保障资产安全、促进企业实现发展战略、财务报告及相关信息真实完整目标,相比之下,“沪指引”是从“最终”目的层面站在更高的角度上对内部控制目标进行了阐释,表达也较为概括与简捷,即:“保证公司战略目标的实现”;最后,参与主体的不同,“深指引”认为内部控制的参与主体仅涉及到上市公司高层管理者、董事会、监事会及其他有关人员,而“沪指引”与“基本规范”则认为参与的主体是上市公司全体人员,范围明显较广。
(二)内部控制责任人 “沪指引”和“深指引”都明确指出内部控制的责任人为公司董事会规定“上市公司董事会应对公司内部控制制度的设计与执行负责”,“沪指引”更是强调“保证内部控制相关信息披露内容的真实、准确、完整是董事会及其全体成员的责任”。应当注意的是,虽然“基本规范”没有从字面上指明内部控制的具体责任人,一直只称“企业”,但在“配套指引”中的《企业内部控制评价指引》提到“内部控制评价报告的真实性应当由企业董事会负责”,《企业内部控制审计指引》也规定“企业董事会应当对内部控制的建立健全与有效实施,评价内部控制的有效性负责”。
三、上市公司内部控制自我评价规范对比研究
(一)内部控制自我评价涉及的基本因素 COSO(Committee of Sponsoring Organization)委员会于1992年9月了《内部控制整合框架》(COSO-IC),即著名的COSO报告,该报告可谓是集内部控制理论研究与实践应用于一体,内容丰富、体系完善,在其后得到了广泛的传播,被世界众多国家的专家学者所接受并被应用到内部控制制定与实施中,在业内倍受推崇,已然成为最具有权威性的现代内部控制体系框架。“沪指引”在对COSO-IC的内部控制8要素框架进行借鉴的基础上进行了一定的改造,如将COSO-IC中的“事项识别与风险应对”改为“风险确认与风险管理策略选择”。而“深指引”则是对COSO-IC的全面风险管理8要素框架进行了完全的借鉴。“沪指引”与“深指引”只是说明了要素的涵义,却没有对每项要素所包含的内容进行阐释。“基本规范”在形式虽然上与COSO-IC的5要素框架相类似,但在实质上体现的却是全面风险管理8要素框架思想。“基本规范”将COSO-IC的5要素框架中的“控制环境”改造为“内部环境”,它在实质上囊括了8要素框架中的“内部环境”与“目标设定”两要素,“风险评估”相当于8要素框架中的“风险识别”、“风险评估”、“风险应对”。同时,“基本规范”不仅说明了5项要素的涵义,还对每项要素所包含的内容进行了详细的阐释。
(二)内部控制自我评价所需的控制手段 企业在实施内部控制过程中,必须采用一定的措施与方法,以完成制定的控制目标,这些措施与方法的总和即为控制手段。内部控制的控制手段包括企业整体层面与具体业务层面:企业整体层面的控制手段包括信息系统、内部信息传递、合同管理、全面预算等,而具体业务层面的控制手段包括预算控制、会计系统控制、授权审批控制、财产保护控制、绩效考评控制、运营分析控制与不相容职务分离控制等。“基本规范”以具体业务层面的控制手段为主,“配套指引”从企业整体控制措施的适用条件、范围、目的、实施过程中各环节可能面临的风险及其相应的抵御措施进行了详细的规范。“沪指引”关于控制手段的内容主要体现在“专项风险的内部控制”部分,但仅对具体业务层面的控制手段进行了说明。“深指引”不仅在“重点控制活动”部分对具体业务层面的控制手段进行了介绍,还对企业整体层面的控制手段提出了明确的要求:“上市公司应在设立完善的控制框架基础上对各层级之间的控制程序进行规划与制定,从而为董事会及高级管理人员下达的指令能够被高效的执行提供保证。”
(三)内部控制自我评价中的风险管理思想 “沪指引”对风险管理的介绍较为简略,对很多类型的风险只是略述,仅对金融衍生品交易与控股子公司的风险在“专项风险的内部控制”部分作了较为详细的阐释。“深指引”与“沪指引”相似,它只在整体上进行了笼统的说明:“上市公司为持续监督、及时发现、准确评估、合理控制公司所面临的包括市场风险、财务风险、经营风险、道德风险、政策法规风险等在内的各种风险,应建立一套完整的风险评价系统。”“基本规范”不仅对企业所面临的各项内部与外部风险的识别、分析与规避从整体进行了提纲挈领式的说明,而且9项具体的指引将风险管理的思想嵌入到每个控制点之中,更符合企业内部控制的实际,深刻体现了全面风险管理的思想。
(四)内部控制自我评价对检查监督的说明 内部控制的一项基本要素即为检查监督,企业可以通过检查监督自行监测内部控制的运行状况。但是,对于检查监督的主体、目的、方法等方面“沪指引”、“深指引”与“基本规范”却有不同的说明。首先,关于检查监督的主体,“沪指引”认为应是公司的董事会,“深指引”认为应是董事会专门设定的内部审计部门,如审计委员会等,“基本规范”认为董事会或其下属的审计委员会均可。其次,关于检查监督的目的,“沪指引”为监测、发现与纠正内部控制制度所存在的缺陷与问题,“深指引”为发现内部控制的异常事项与所存在的缺陷,评估内部控制执行的效果与效率,在此基础上提出相应的改进建议;“基本规范”对检查监督的目的从日常监督与专项监督两方面进行了说明。最后,关于检查监督的方法,“沪指引”认为的检查监督的方法包括了程序与方法两方面的内容,“深指引”未对检查监督的方法进行规定,虽然“基本规范”也未对检查监督的方法进行规定,但“配套指引”对内部控制检查监督的方法进行了明确的说明,指出内部控制评价程序包括:建立评价小组、制定评价方案、现场测试、发现控制缺陷、汇总评价结果、编制评价报告等环节,在对被评价实施具体的现场测试时,可以运用询问、观察、检查、穿行测试等方法。
四、上市公司内部控制信息披露对比研究
(一)不定期内部控制信息披露 “沪指引”要求:“上市公司一旦发现本公司的内部控制存在潜在风险或重大缺陷,董事会应在第一时间向上交所报告,经上交所认定,董事会应及时针对内部控制重大缺陷的表现、后果、责任的承担以及补救措施对外公告。”“深指引”规定:“上市公司内部审计部门负责对内部控制的执行情况进行检查监督,一旦发现存在重大异常,应及时向董事会与监事会报告。董事会应就公司内部控制存在的重大缺陷与相应的应对方法及时对外披露。”“基本规范”及其“配套指引”均没有对不定期内部控制信息披露的主体与内容进行规定。
(二)定期内部控制信息披露 定期内部控制信息披露是指与上市公司年报同时披露的内部控制评价报告。“沪指引”没有涉及内部控制评价报告的格式与时间,只是对其应披露的内容作出了如下规定:“上市公司与年度报告一同披露的内部控制评价报告至少应包括内部控制的制定与执行情况、内部控制的检查监督状况、内部控制所存在的重大缺陷以及相应的应对策略、本年度内部控制计划的完成情况;下一年度关于内部控制制度的相关完善措施等”,“沪指引”还要求上市公司应随年报一起披露注册会计师对内部控制评价报告的审核意见。“深指引”也没有对内部控制评价报告的格式进行规定,关于内容的要求是:“上市公司在会计年度结束后四个月内的内部控制评价报告应包括:内部控制的制定和执行情况、内部控制是否存在缺陷、内部控制活动的自查与监督状况、内部控制缺陷的应对措施、本年度对上一年度的内部控制的改进等。”“深指引”与“沪指引”一样,也要求上市公司应随年报一起披露注册会计师对内部控制评价报告的审核意见,并规定了四个月(在会计年度结束后)的期限,即对内部控制评价报告及其注册会计师审核报告披露的期限作出了规定。“基本规范”认为内部控制评价报告的内容应囊括到以下要素:内部环境、控制活动、信息与沟通、风险评估、内部监督,同时还应披露对内部控制检查监督的过程、所发现的重大缺陷、重大缺陷的应对措施等。“基本规范”也对披露的时间作出了规定:“企业内部控制评价报告、企业的内部控制审计报告应以12月31日作为基准日,在此之后的四个月内同时披露”,这在时间上与“深指引”的要求是相同的。特别需要指出的是,在“配套指引”的参考格式中,对内部控制评价报告的格式作出了说明,即应包括标题、管理层声明、报告受众、评价标准、披露内容、结论、报告编制单位及签名、报告日期等因素。
五、结论
本文通过对比分析,发现上交所、深交所与财政部关于内部控制所的规范在整体上是一致的,但是诸多细节上略有差异。笔者认为,其原因主要有:一是我国上市公司内部控制制度起步较晚,在内部控制的本质、原因、起点、程序等问题上学术界尚未达成统一的共识;二是随着我国经济的发展与资本市场的不断完善,广大投资者对上市公司风险控制的制度设计与信息披露的要求越来越高,不同部门的规范时间不同,规范的对象也不同,内容难免会不同;三是以上部门在政策制定与执行过程中缺乏交流与沟通。上述三个政策执行后,我国上市公司内部控制的制度制定与信息披露实践并不乐观,三个部门的法规内容相互联系但又不完全相同,造成同一个上市公司可能要同时受多个内部控制规范的限定,无法在对公司内部控制进行评价时确定统一的评价依据,对上市公司内部控制制度的制定、执行的效率与效果会产生严重的不良影响。
【摘 要】 合理划分《企业内部控制应用指引》的层次,有助于分层次研究各项应用指引与内部控制要素的关系,厘清各项应用指引在风险控制中所发挥的不同作用。本文从应用指引与内部控制要素的关系以及应用指引与各类风险的关系两个维度,将应用指引划分为三个层次,直观地揭示了各层次应用指引与《企业内部控制基本规范》所界定的内部控制要素的关联,刻画了各层次应用指引应重点关注的风险类型。
【关键词】 内部控制; 应用指引; 层次划分
为了贯彻实施《企业内部控制基本规范》,财政部起草了《企业内部控制应用指引(征求意见稿)》(以下简称应用指引),从而形成了包括《企业内部控制基本规范》、《应用指引》、《企业内部控制评价指引》和《企业内部控制鉴证指引》在内的较完整的企业内部控制规范体系。应用指引的层次划分,旨在研究企业内部控制规范体系的层次结构,理顺该体系内部各部分之间的内在逻辑和相互关系;明确各应用指引与《企业内部控制基本规范》所界定的内部控制要素的内在联系;厘清各项应用指引在内部控制中的功能作用、控制范围和控制重点,最大限度地减少《企业内部控制基本规范》的应用盲区;有助于企业在贯彻实施《企业内部控制基本规范》时,更好地界定各部门的职责权限;结合不同层次应用指引的执行情况,便于有针对性地开展企业落实内部控制规范情况的内部评价和外部检查,并采取针对性更强的优化措施。
《企业内部控制基本规范》明确了内部控制的五要素,即:控制环境、风险评估、控制活动、信息与沟通、内部监督。从控制功能上看,内部控制又以风险防范为核心,而风险可以划分为企业层面的风险、业务层面的风险和报告层面的风险,与此相对应的风险类别可以分别表述为系统风险、经营风险和报告风险。因此,应用指引的层次划分可考虑两个维度的因素:一个维度是各应用指引与控制要素的关联程度;另一个维度是各应用指引的控制功能与三种风险类别的关联程度。按这两个维度进行交叉分类,可将应用指引划分为三个层次:第一个层次,是企业层次的应用指引,主要包括组织架构及权责分配(总分公司)、母子公司、社会责任和人力资源管理等。这一层次,主要与控制环境、风险评估和控制活动三要素相对应,其控制重点是企业层面的风险,注重企业内、外部环境的适应性和协调性。第二个层次,是业务层次的应用指引,包括除第一层次和第三层次以外的所有应用指引项目,对应的控制要素主要包括风险评估、控制活动、信息与沟通三要素。这一层次的控制与业务流程和控制过程相结合,重点控制企业业务层面的经营风险。第三个层次,是报告层次的应用指引,主要包括内部报告与信息系统、对外报告、内部审计和业绩考核等应用指引项目。这一层次对应的主要控制要素包括控制活动、信息与沟通、内部监督三要素,重点关注企业报告层面的风险。具体划分情况见立方图1。
图2中的各项应用指引所对应的内部控制要素,以深色区域表示某项应用指引与对应的内部控制要素关联程度较高,以浅色区域表示该项应用指引与对应的内部控制要素有一定的关联度。这种划分反映了各项应用指引与各内部控制要素均有一定联系,但关联程度有所不同。深色部分是相关应用指引所涉及的内部控制要素的核心部分,突出相关应用指引的控制重心,厘清应用指引与控制要素的关系,界定了各应用指引的控制范围,表明不同应用指引之间相互联系的边界,揭示了不同应用指引之间相互衔接的缝隙,形成应用指引之间的自然耦合和分工协同关系。这样的划分,不但没有割裂相关应用指引的关联关系,而且使应用指引与《企业内部控制基本规范》的衔接更加连贯、顺畅,也使应用指引各组成部分的相互关系更加清晰、明了,防范风险的侧重点更具针对性。
【主要参考文献】
[1] 企业内部控制基本规范.
[2] 企业内部控制应用指引(征求意见稿).
[3] 企业内部控制应用指引项目讨论稿.
内部控制是一种持续的管理活动,贯彻于决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项,实现全过程、全员性控制。为了检查监督内部控制的建立和有效运行,强化企业监督、防范企业风险,仅仅进行内部控制评价和注册会计师内部控制审计远远不能满足企业管理的现实需求,企业自身还要动态、不定期、有针对性和突击性地开展内部控制审计,以便向最高管理当局及时提供内部控制建立、运行的实际状况,查找内部控制缺陷和风险隐患,发现管理的薄弱环节,提出整改建议,促进企业持续、稳定、健康发展。
但是,《企业内部控制基本规范》及配套指引只是从外部监管的角度规范企业内部控制评价和注册会计师内部控制审计,对企业自身开展的内部控制审计并没有作具体规范,企业究竟是遵守《企业内部控制基本规范》及配套指引还是遵守《企业内部审计准则》,目前没有一个明确的说法。因此,企业自身到底如何开展内部控制审计,笔者认为可以从以下方面着手。
1 企业要根据《企业内部审计准则》的要求开展内部控制审计
企业自身开展的内部控制审计,是指由企业内部审计部门对企业内部控制设计和运行的有效性进行审计,是内部审计的一种业务类型,也是一种持续的过程审计,具有前瞻性、时效性、预防性和突击性的特点,是对内部控制的再控制。因此,既然是内部审计,就应该遵守《企业内部审计准则》,并根据《企业内部审计准则》的规定来计划和实施审计工作,出具审计报告。
2 企业要从深入业务的角度开展内部控制审计
业务活动是企业规章制度的有效载体,没有业务活动的支撑,任何规章制度都只是无本之木,都是一纸空文,《企业内部控制基本规范》及配套指引的有效实施,也应该深深扎根于企业的业务活动。而企业自身开展内部控制审计,是出于企业内部管理的需要,是为加强动态监管和管理层决策服务的,监管和决策的效果最终是通过业务活动来体现,因此,企业开展内部控制审计必须深入到业务,通过对业务活动的审查来评价内部控制设计和运行的有效性,用业务数据来说明内部控制运行情况,是一种非常有说服力的审计证据。
3 企业开展内部控制审计应该和内部控制评价有机结合
虽然企业内部控制审计和内部控制评价目的不同、责任和实施主体以及报送要求均不同,但是两者在许多方面还是有许多共同点,企业内部控制审计应该在以下方面和内部控制评价有机结合起来:
1)企业内部控制审计应该和内部控制评价一样关注企业层面和业务层面的内部控制,企业层面和业务层面是企业的两个方面,是企业的有机结合,无论是企业对内部控制审计还是进行内部控制评价,缺少其中任何一方面的内容其结果都是不完整的,都是不合要求和充满风险的。
2)企业应该结合运用审核、观察、询问、函证及分析性复核等内部审计方法和个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样及比较分析等内部控制评价方法,来获取充分、相关、可靠的审计证据,以支持审计结论和建议。
3)企业内部控制审计应该使用和内部控制自我评价相一致的缺陷认定标准。
4 企业内部控制审计可借鉴的程序和方法
一、《指引》、《基本规范》、COSO新旧报告主要内容比较
《指引》、《基本规范》、COSO新旧报告的主要内容见表1所示。
第一,定义上的比较分析。从定义上看,四者都强调了内部控制或风险管理是一个过程,而且是一个持续改进的过程,是实现目的的手段而非目的本身;都是为企业目标的实现提供“合理而非绝对”的保证。参与主体方面,《基本规范》与COSO两报告都要求 “企业董事会、管理层以及其他人员共同实施”,这既明确了参与主体,也强调了“全员控制”。而《指引》在全面风险管理定义中虽未直接指明主体,但《指引》第四十二条指出:企业应建立健全风险管理组织体系,主要包括规范的公司法人治理结构、风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。可以看出,《指引》中的全面风险管理也是“全员性”的,董事会、管理高层、各职能部门、企业员工均要全员参与。
第二,目标上的比较分析。《指引》中未涉及企业目标,但提出了风险管理的五个总体目标:确保将风险控制在与总体目标相适应并可承受的范围内;确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;确保企业遵守有关法律法规;确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
《基本规范》提出了由五个目标构成的完整目标体系,其中战略目标是内部控制最终的目的和最根本的目标。COSO新报告在原来三目标的基础上增加了战略目标,这意味着风险管理不仅仅应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。另外,COSO新报告还将报告拓展到“内部的和外部的”“财务的和非财务的报告”,该目标涵盖了企业的所有报告。
第三,要素上的比较分析。《指引》没有直接引入要素概念,仅从全面风险管理内容看,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统五个方面。《基本规范》的五要素是借鉴COSO旧报告的五要素,并根据我国实际情况作了一些调整。如《基本规范》将控制环境和监督要素限定为内部环境和内部监督,突出了内部控制的“内部”特征;在风险评估引入了风险承受度,明确了风险识别、风险分析、风险应对策略;把控制活动界定为控制措施,并提出了具体的控制措施,更具可操作性;在信息与沟通要素中加入了反舞弊机制。当然,我国《基本规范》中存在着要素划分不够清晰的问题,如将内部审计作为内部环境的构成部分,而又规定内部审计在内部监督中的职责权限,同一个内容出现在了两个不同的要素之中。与此类似,机构设置、治理结构、权责分配和人力资源政策也同时具有内部环境和控制活动的特征。COSO新报告在原有旧报告的基础上新增了三个风险管理要素――目标设定、事项识别和风险应对。另外,COSO新报告对相关要素的内涵进行了扩展。
第四,风险管理理念上的比较分析。在风险管理理念上,COSO旧报告中的内部控制强调的是对单个风险或业务单元的风险进行管理,而《指引》和《基本规范》都有风险组合观的思想,其中,《指引》还明确界定了风险偏好的概念,并定义了风险承受度。
COSO 新报告明确提出了风险组合观,要求企业管理者以风险组合的观点看待风险、从企业整体层面上总体把握风险。针对企业目标实现过程中所面临的风险,COSO新报告对企业风险管理提出了风险偏好和风险容忍度两个概念。
可见,我国《基本规范》科学地界定了内部控制的内涵,准确定位了内部控制的目标,统筹构建了内部控制的要素,同时也吸收了COSO新报告的精神实质,在一定程度上强调了内部控制与风险管理的统一,在所有重大方面基本与美国COSO报告保持一致,同时在某些地方也体现了中国特色。从内部控制与风险管理整合的角度看,《基本规范》与《指引》有很强的关联性,而相关概念和规范内容又不尽相同,两者未进行有效的统一协调,因此势必会增加国有企业实施《指引》和《基本规范》的难度和成本,影响企业实施效果。而美国COSO成功地将内部控制融入到企业风险管理之中,新报告基本涵盖了旧报告的所有合理内容。
二、我国内部控制体系建设建议
第一,积极借鉴外部经验。欧美国家,特别是美国,无论是在内部控制理论上,还是在内部控制规范化建设方面,都比我国起步要早,已经研究和制定出了一系列的规范。因此,学习和借鉴国外先进的内部控制规范是我国内控建设过程中的一个必要阶段。但我国企业在法治意识、制度基础、风险理念、经营风格等方面与欧美企业存在较大差异,因此照抄照搬的内控规范可能不适合我国国情。我国的内部控制规范比较接近于美国模式,即采用的是规则导向型的内部控制。但是,美国模式有一个前提,即:如果通过内部控制的评价和报告暴露出管理层不能履行对内部控制的责任,那么管理层会受到董事会、市场和监管部门的惩罚。但是,我国对管理层的责任追究机制远没有美国有效,因此这个前提在我国目前的情况下还没法成立,如果直接效仿美国模式,将很难看到基本规范实施的效果。所以,我国的内部控制规范可以适当采取原则导向和规则导向相结合的方式,以原则为基础,以规则为指导。
第二,加快内部控制规范创新。《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点,提供的仅仅是个原则性的框架,这就造成我国企业在具体实施的过程中面临难题――企业应当如何结合自身情况实施内部控制?所以,我国应进一步制定保护基本规范顺利实施的细则,包括企业如何有效地执行规范、如何准确评价本企业内部控制状况、中介机构如何客观评价内部控制的有效性并出具审计报告等。另外,对于《基本规范》中存在的某些问题,如:要素划分不够清晰,对内部控制整体的关注不够等,应进一步得到规范。
第三,对内部控制和风险管理进行整合。虽然新颁布的《基本规范》与《指引》有很强的关联性,但两者未进行有效的统一协调,这一问题有待迫切解决。正是因为有风险才需要控制,控制的最终目的是为了降低风险,所以,应尽快将内部控制与风险管理进行有效整合,以减少企业实施成本和监管成本。
财政部于2011年9月9日印发了《会计改革与发展“十二五”规划纲要》(以下简称规划纲要),其中,第六项第7条明确“全面推进事业单位会计改革。根据推进事业单位改革、促进事业单位健康发展的需要,借鉴国际经验,结合医院、高校会计改革成果,全面修订事业单位会计准则和事业单位会计制度,整合事业单位行业会计制度”;第七项第11条明确“构建行政事业单位内部控制规范体系”。作为规划纲要上述两项的前行之举,高校新会计制度方面,财政部以满足预算管理、资产管理、财务管理、绩效评价等方面会计信息需求为目的,于2009年8月印发了《高等学校会计制度》(征求意见稿),经向社会广泛征求意见后,拟于2012年1月1日实施;内部控制方面,财政部等五部委分别于2008年5月和2010年4月先后了《企业内部控制基本规范》和《企业内部控制配套指引》,从而共同构建了中国企业内部控制规范体系。在以上两方面基础上,作为内部控制规范体系在全社会范围内的推进,构建高校新会计制度实施环境下基于高校运行管理特点的事业单位内部控制规范体系已成为当前紧迫的任务之一。就具体如何构建的问题,本文试图通过当前高校资金运行状况并结合内外部基础条件变化进行分析。
二、高校会计制度的主要改革点
由于最新的高等学校会计制度尚未正式颁布,目前仅从《高等学校会计制度》(征求意见稿)与现制度比较,发现改革点主要包括以下内容:
(一)会计核算基础 由现行的除经营业务外一般采用收付实现制,改为采用修正的权责发生制。“修正”的涵义,是指原则上采用权责发生制,对于某些特定业务如政府拨款、捐赠收入、奖励支出、赞助支出等仍偏向于采用收付实现制。即可理解为,除特定的业务外,一般采用权责发生制。
(二)会计核算主体 主要表现为将现行独立于高校事业核算之外的基建会计统一纳入高校会计主体大账中。
(三)固定资产核算 由现行的只反映原值,不计提折旧,改为设置累计折旧账户用来计提固定资产折旧,反映其净值。相似地,无形资产核算,由现行的仅反映无形资产原价扣除摊销后的净额,但不设置累计摊销账户,改为同时设置累计摊销账户,以反映其净值。
(四)增加与公共财政相关的会计核算内容 即新增了与国库集中支付、政府收支分类、部门预算等公共财政改革相关的会计核算内容。
(五)预算管理方面 由现行设置专用于预算管理的科目,改为平行设置财务会计科目与预算会计科目。
(六)会计科目设置 由现行一般不可减少或合并会计科目,改为可根据实际情况自行增设、减少或合并某些会计科目。
(七)调整、扩大了财务报表的相关项目与范围 即由现行的包括资产负债表、收入支出表、附表及收支情况说明书,改为包括资产负债表、收入费用表、预算收支表、基建投资表以及报表附注,同时对年度和中期财务报表作了规定。
(八)会计要素 由现行五要素“资产、负债、净资产、收入、支出”,改为“资产、负债、净资产、收入、费用”。即将其中要素之一“支出”变为了“费用”,其含义的变迁也体现了高校新财务制度由“收付实现制”向“权责发生制(修正的)”的本质改变。
由以上各方面可看出,新的高校会计制度(征求意见稿)从总体上看,与企业会计制度具有趋同性,即使包含预算管理及公共财政因素,也只是将其在修正的权责发生制基础之外作为特定的业务进行处理。因此,针对高校会计制度往权责发生制方向发展的新基础,其对高校内部管理的适应性方面也提出了新要求,具体表现就是构建高校内部控制规范体系。
三、高校内部控制规范体系构建的基础条件
对高校内部控制规范体系构建起支撑作用的基础条件体现在多方面,本文仅对高校当前形势下新出现的几个方面,做出分析和阐述:
(一)规划纲要明确 在规划纲要中,明确提出构建行政事业单位内部控制规范体系。目前,从内部控制规范体系在全社会相关领域推进步骤看,第一阶段是《企业内部控制基本规范》和《企业内部控制配套指引》先后出台并首先在主板上市公司实施,其后择机在中小板和创业板上市公司施行并鼓励非上市大中型企业提前执行;第二阶段是拟构建行政事业单位内部控制规范体系,这在规划纲要第11条得到明确;第三阶段即是规划纲要第13条所指出的,不断完善企业内部控制规范体系,会同相关部门研究拟订金融、保险、证券行业的内部控制规范体系。以上各阶段从设计层面分析,对事业性各领域的细分,虽未在规划纲要中明确提出,但高校作为国家事业体制的重要组成部分,有其显著的运行特点,因此在事业单位内部控制规范体系构建成熟的基础上,针对高校特定类型做出规范细分或指引也是必然的。
(二)高校运行客观要求 高校运行的资金面主要有两种:事业经费和科研经费,前者来源于财政资金和政策收费,后者来源于纵向课题和横向课题。此外还有部分以自筹为主的经营性资金在运行。所有资金的运行随着高校新会计制度的实施,都将使其使用中的责任与风险更明确、具体,并且面临着绩效考评的要求。而高校现实的运行环境中,普遍存在着与内控内在要求及财务管理不相适应的地方。对于这些问题如何解决,其实在现已推出并实施的《企业内部控制基本规范》中有关“会计系统控制”、“财产保护控制”、“授权审批控制”、“绩效考评控制”、“预算控制”等控制活动中能找到答案,或者对其根据高校事业性特点、管理及资金运行特征变通性借鉴。
(三)最新资源支持 当前关于加强非营利组织包括高校内部控制的呼吁有很多,阐述实施高校内控必要性及采取有关措施的学术文章及见解也不少,但总体来看,所反映内容基本上显得较为宽泛、松散,难以找出针对性较强的主线脉络。其中即使有些思路较为清晰完整的,也能从其面貌看出是以财政部2001年的《内部会计控制规范——基本规范(试行)》作为蓝本以高校名义做出的阐述。当然,这也有一定的合理性。一方面,该版内控规范具有通用性,适用对象为国家机关、团体、企事业单位;另一方面,从新近财政部等六部委推出的2008版《企业内部控制基本规范》和2010版《企业内部控制配套指引》观察,其关于内部控制原则和控制活动的阐述,本质上也汲取了2001版通用规范中的精华,同时根据现时期企业经营管理目标和环境的变化等方面作了有针对地、系统性地扩充和规划。
不过,在当前条件下,再以2001版“内控试行规范”作为高校内控体系构建的基本依据有其局限性,首先,该版内控规范着眼于会计控制,而在组织结构控制和具体业务控制方面显得欠缺或空泛;其次,即使着眼于会计控制,由于高校面临基于修正的权责发生制下的新会计制度的推出,其总体会计环境将发生重大变化,如果不面对高校做出会计控制方面的新的针对性强的规范或指引,将会使高校内控规范体系构建不实、不稳。因此,本文认为目前构建高校内部控制规范体系最可资借鉴的蓝本或重要参照,正是2008版《企业内部控制基本规范》和2010版《企业内部控制配套指引》,尽管其名义是“企业”性的。
四、高校内部控制规范体系构建
关于高校内部控制规范体系的构建,从程序上推测,应当是在“规划纲要”第11条所指出的“行政事业单位内部控制规范体系”构建之后,以其为基础,制定以事业单位分领域(高校领域)内控规范体系的形式出现,或以其“配套指引”之一的形式,或直接以高校领域的内控实施方案的形式出现。无论何种方式,高校内部控制规范体系的构建均应从以下方面进行考量:
(一)以《企业内部控制基本规范》及其配套指引为核心参考
以新近推出的2008版《企业内部控制基本规范》及2010版《企业内部控制配套指引》作为高校内部控制规范体系构建的核心参考,虽然新规范及其指引最先在上市公司推行,是企业性的指导,但值得重视的是,在对《企业内部控制基本规范》及《企业内部控制配套指引》的掌握上,财政主管部门对高校等事业单位的高层财务人员与对企业高层财务人员的要求是一致的,因此,掌握了《企业内部控制基本规范》及其配套指引的精神,也就基本上掌握了内部控制规范体系在高校等事业单位构建的脉路。
(二)高校内控规范体系内容设定 基于上述理由,以参照最新企业内部控制规范体系框架内容为总出发点,从立足高校社会职责,综合其事业性、经营性兼顾的运营管理特点,并以修正的权责发生制下的高校会计制度的会计控制要求重要考量,进行修正、取舍,按现行企业内控基本规范构架,大致可从如下几方面进行设定:
(1)内部控制目标。将现行企业内控中关于内部控制五目标的描述的内容实质予以保留,只是个别目标在措辞及所指对象上进行完善,即将“合理保证企业经营管理合法合规”改为“合理保证高校事业运营管理合法合规及方针政策”,将“提高经营效率和效果”改为“提高事业运营效率和效果”,将“促进企业实现发展战略”改为“促进高校实现事业发展,满足社会需要”。此外,特别考量到高校财政资金的国家主体性,其内控目标增加一条为“有效预防违法违纪腐败行为的发生”。
(2)内部控制原则。考虑到高校虽然在资金上主要具有国家财政资金的特性,但在运营管理上具有相当程度的企业化倾向(以能够适用修正的权责发生制为证),并且实际也有一定范围的企业化经营部分,因此可将现行企业内控中关于内部控制的五项原则,即“全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则”的设定及描述予以全部采用,并暂时不作是否增加其他新的内控原则的考虑。
(3)内部控制要素。一是内部环境。高校内控规范可根据高教自身特点,主要设定为“组织结构、事业发展、教育资源、高校文化、社会责任”等方面,其中“组织结构”因受高校为国家事业组织性质影响较大,内控发挥程度有限,因此在当前或许只适合做一种组织原则的界定,而其他几个方面则应充分发挥内控规范的调节作用。此外,为营造高校良好的内部控制环境,针对高校特性,可从组织维度、部门维度、作业维度做立体设计与规划。二是风险评估。现行企业内控规范中关于风险评估的内容有:目标设定、风险识别、风险分析、风险应对。因其理念及技术操作策略较为成熟,可移植于高校内控规范体系构建关于内部控制要素的考虑中,只是具体内容须针对高校运行定的风险及对象做出相同于或不同于企业风险对象的认识与控制。三是控制活动。在高校采用修正的权责发生制会计制度下,其所体现的会计系统控制、财产保护控制、预算控制的内容与企业内控已经具有一定的趋同性,同时运营分析控制、绩效考评控制也能较好地契合各类资金、经费运行下相关主管部门、资金提供方对高校运行目标的考察和评价。此外,有关“重大风险预警机制”和“突发事件应急处理机制”的提出,对当前愈来愈社会化运行的高校而言,是使其面对严峻、复杂的公共环境局面,从内部控制活动角度进行突破的一种良好方式。关于高校内控具体的业务层面的控制,在对现有支出类科目按收付实现制、权责发生制标识、划分,并进行相应会计处理的改进与调整的基础上,可按资金活动控制、采购业务控制、资产管理控制、业务收入控制、科研与成果转化控制、工程项目控制、担保业务控制、业务外包控制、财务报告控制等方面不同的经费性质及运行情况,以关键点控制法为基础进行设定。
(4)信息与沟通。现行企业内控规范中关于信息与沟通的内容有:信息质量、沟通制度、信息系统、反舞弊机制等方面,同时在相应的配套指引——应用指引中,以“全面预算、合同管理、内部信息传递和信息系统”等四项内容作了具体描述。以上这些完整的管控设定及描述,对高校内控规范体系的信息与沟通方面也有同样的要求,并基本适用于高校。同时高校应当继续完善的是,有关“全面预算”的管控措施还应当考虑到高校资金体系中资金来源的多样性和资金使用的差异性;有关“反舞弊机制”方面应结合前述高校内部控制目标之一的“有效预防违法违纪腐败行为的发生”的总要求设定相应的管控措施。
(5)内部监督。现行企业内部控制规范体系中按日常监督和专项监督进行了业务性的划分,并同时以相应的配套指引――评价指引方式对其内容作了详尽的描述。高校在这方面可适当借鉴。同时考虑到高校事业性较强的特性,在内部控制规范体系全面实施前,其内部控制工作机制相对较弱,而内部审计机构设置及工作机制一般已有稳定的基础,因此,在具体的内部监督及内控自我评价方面应进行有针对性设定,即以前文所述各项内控规范设定为基础,对高校内部控制评价的内容、组织、缺陷认定、评价报告及披露与报送等制定具体措施方案,以为高校内部控制规范体系的全面设计与运行提供监督保障。
一、我国上市公司的内部控制存在的主要问题
21世纪是一个经济全球化的时代,身处国际市场的中国也深受国际大环境的影响。随着中国入世后过渡期的结束,中国将兑现入世承诺,取消“保护”措施。没有了“保护”,我国的上市公司将面临更加激烈的竞争。相比国外企业,我国企业在内控制度上还存在着很多问题。主要表现在以下两个方面:
一是对内部控制认识不足。目前我国一些企业的领导对内部控制认识不足, 认为内部控制束缚了自己的手脚,不重视内部控制制度的建设。
二是公司治理结构不规范、监督机制不健全。很多公司内部董事长、总经理由一人担任,这样,董事会难以发挥监督经理人员的作用,监事会形同虚设,难以有效发挥其监督职能。很多企业监督评审主要依靠内审部门来实现,而有些企业的内审部门隶属于财务部门,与财务部同属一人领导,内部审计在形式上就缺乏应有的独立性,内部控制制度不能有效运行。
虽然逐步进入国际市场是我国上市公司发展的大趋势,但就目前而言,国内政策的变化仍然是影响我国上市公司内部控制制度变化的主要方面。从政府方面分析,上市公司的治理目前仍以政府为主导,通过政府颁布的法规规范公司内部控制。从上市公司自身方面,在我国上市公司模式运营的若干年里,由于内部控制的缺失,出现了很多上市公司的财务欺诈事件。这些事件无论从数量上还是严重程度上都不比美国企业所出现的问题轻,严重损害了我国企业的国际形象。
二、中美内部控制理论的对比分析
(一)形成机制上的比较
西方发达国家的主要做法是广泛吸收社会各界参与制定准则,在程序上提高透明度,贯彻民主化决策原则。例如,美国COSO报告就是由多个专业团体发起组织的COSO委员会提出的。与发达国家相比,我国的内部控制规范在形成机制上则极具“中国特色”,主要表现在:政府有关经济管理职能部门参与制定过程;专家和教授的影响较大;最终定稿采取的是征求意见而非民主投票的方式。
(二)性质上的比较
美国内部控制规范是非官方的职业自律组织负责制定和的,其性质相当于职业界的自我管理和自我规范,是一种自律性的标准。我国内部会计控制规范的主要制定者为财政部会计司、证监会和中注协等,是一种兼有自律和他律双重性质的标准。
从形成机制及性质的比较可以看出:政治环境决定会计服务的对象。政治环境的差异,使得美国政府并不直接制定相关控制规范,而是交给民间机构或组织来完成;而我国的内部控制规范则由政府制定颁布。另外,我国处于内部控制规范建设的快速发展时期,只能先借鉴国外先进成果制定出具有指导性的规定,然后再根据外部环境的变化、企业业务职能的调整和管理要求的提高,进行修订和完善。
(三)目标的比较
2000年,我国财政部的《内部会计控制规范――基本规范(试行)》(以下称基本规范)所设定的内部会计控制应达到的基本目标为:规范单位会计行为,保证会计资料真实、完整;堵塞漏洞、消除隐患,防止并及时发现、纠正错误及舞弊行为,保护单位资产的安全、完整;确保国家有关法律法规和单位内部规章制度的贯彻执行。这与美国早期以审计为背景的内部控制目标极为接近,而与COSO企业风险管理框架、加拿大COCO报告、MBNQA以及IIA 内控准则的目标都相差甚远。以审计为背景的内部控制目标,其实质是为解除审计责任服务的。强大的机构投资者们对公司施加的压力日渐增长,使得内部控制对公司目标以及公司治理的其他方面的关注比对财务报告舞弊的关注更为重要。因此,与社会经济的发展要求相比,我国内部控制目标层次相对还比较低,对上市公司的规范及约束力相对较弱。
1992年的COSO报告提出内控制度的首要目标是为了合理确保经营的效果和效率以及保证财务报告的可靠性和遵循相应的法律法规这两个传统的内控目标。相对于早期的内控制度只强调财务报告的可靠性和合规性两个目标而言,有了进一步的拓展。2004年的COSO报告即企业风险管理(ERM)框架中细化了内部控制的定义和相关目标。在内部控制的定义中明确指出内部控制可以实现各类目标,各类目标不仅包括以前所提到的3个目标,而且还应当实现企业的战略目标。战略目标是企业最高层次的目标,指导和制约战术目标。企业所有的活动应该围绕战略目标的实现而进行,内部控制的建立和实施也不例外。如果企业在战略制定方面出现了真空,企业的战术就会迷失方向,企业的损失会更大。
(四)基本构成形式和设置方式的比较
基本规范中第3章第8条中确认我国内部会计控制的9项内容主要包括:货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制。
COSO认为内部控制是风险管理的一部分,因此该委员会又在《内部控制――整体框架》的基础上出台了《企业风险管理(ERM)框架》,指出内部会计控制的8个组成要素是:内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监督,为企业风险管理和概念体系方面提供了应用指南。
按照COSO风险管理框架,内部控制由8大基本要素构成,各要素贯穿在企业整个管理过程之中。2004年出台的COSO风险管理框架最大的变化,就是将企业内部控制更名为企业风险管理。风险管理框架建议更加透彻地看待风险管理,即从固有风险和残存风险的角度来分析风险。另外,COSO风险管理框架要求董事会与管理层将精力主要放在可能产生重大风险的环节上,而不是所有细小的环节上。将风险管理作为内部控制的最重要内容,这是一个革命性的变化。
我国的内部会计控制基本规范并没有明确内部控制的构成要素,而是直接按照业务项目列出了内部会计控制的9项内容,强调企业的内部会计控制,明确提出了企业应该如何对9项内容进行有效的控制。相对于COSO风险管理框架而言,我国的内部控制规范更加侧重于企业内部会计控制的实施细节,两者的差异十分明显。
三、新形势下我国上市公司实施内部控制的建议
(一)建立联合委员会,制定内部控制规范
我国上市公司的发展还不成熟,存在的问题和不足远多于美国等西方国家的上市公司,所以需要通过政府加以规范的地方还很多。因此,从我国现实出发,可考虑高层次的强制执行的具有法律效力的内控规范体系,或是将内部控制规范嵌入相关法律体系,把它作为有关法律的基础或标准。可以借鉴美国COSO委员会由多部门联合制定的经验,由财政部牵头,会同证监会等部门共同组成专门小组,制定一个有权威性的、理论严谨、内容广泛,兼有可操作性的公司内部控制规范。在条件成熟时,还可以由国务院《公司内部控制条例》,将内控规范嵌入法律体系。制定上可参考美国COSO报告和2004年新修订的《企业风险管理框架》,主要对企业可能存在的运作和财务风险建立原则性的管理控制规范。
(二)完善公司内部董事会构建机制,将监事会做实
在以董事会为核心的内部控制框架中,董事会下包括审计委员会在内的专业委员会以及经理层下属的审计部,在对内部控制制度运行过程的监督和效果评价方面的作用越来越明显。但是,监事会对处于内部控制核心地位的董事会的监督却长期弱化。这一问题的解决有赖于监事会监督功能的强化,切实执行监事会对董事会及高级管理人员的监督职能。
总结近几年公司控制结构变迁的特点, 针对大股东一股独大或公司最终控制人试图通过一致行动、差额投票权、多重塔式持股、交叉持股等手段控制公司而可能出现侵犯中小股东权益、损害公司长远利益的现象,应优化董事提名机制、董事会形成机制以及董事责任追究与问责机制,使董事会成员独立于经理层,为董事会成为内部控制框架的制定者、监督者和最高执行者,发挥董事会在内部控制中的核心作用提供权责划分的保证。
(三)按业务循环来规范内部会计控制的内容
目前按9个项目来界定内部会计控制的内容,是从简单的形式上来界定的,应改为企业经营流程控制。COSO的经验值得借鉴:先分为进货、营运、出货、营销及销售、售后服务等5个基本价值链作业;再将价值链作业分为管理、人力资源、研究开发、采购4个基础作业;管理细分为企业治理管理、外部关系管理、行政管理服务、信息技术管理、风险管理、法律事务管理、企划、财务管理等子作业;进而将财务管理划分为货币资金、应收账款处理等多个控制作业点,各作业点再制定相应的控制子目标、合适的风险控制。把各层次可操作的控制作业面组成环环相扣的有耦合作用的控制体系,较好地避免了按项目制定造成重复的麻烦。
(四)在实践中总结发展内部控制理论,建立具有中国特色的内部控制理论
随着社会主义市场经济的建立和逐步完善,市场竞争的日趋激烈,为了增强企业在改革浪潮中的竞争实力,提高企业的经济效益,要求企业必须强化企业的内部控制。1999年修订的《会计法》十分强调企业内部控制制度的建设问题,但其操作性较差,财政部制定的基本规范、《内部会计控制规范――货币资金(试行)》等5个规范,应在实践中逐步完善并进一步系统化。
值得一提的是,财政部于2007年3月下发了关于印发《企业内部控制规范――基本规范》和17项具体规范(征求意见稿)的通知。征求意见稿在借鉴了以美国COSO报告为代表的国外内部控制框架的基础上,根据我国国情进行了较大调整和改进。如果这些规范能够得以顺利实施的话,将会使我国上市公司内部控制制度的发展得到一次质的飞跃。
(一)内部控制与会计信息规范
内部控制是由内部的牵制发展而来的。最早提及内部控制的职业文献是1929年美国会计师协会和联邦储备委员会(FRB)修订的《会计报表的验证》(Verification of Financial Statements)。最早定义内部控制的是1936年在上述基础上再次修订的《独立公共会计师对会计报表的审查》(Examination of Financial Statements by Independent Public Accountants)。它将内部控制定义为,“为了保护公司现金和其他资产的安全、检查账簿记录准确性而在公司内部采用的各种手段和方法”。具有权威的COSO委员会这样描述内部控制:内部控制是由企业董事会、经理阶层和其他员工实施的,为运营的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。由此可见,保证资产安全和会计信息真实是内部控制发展的主线。
长期以来,我们所提及的会计信息,大多是指财务会计信息,也即会计准则所规范的企业对外会计信息,更简化而直接的说,就是指资产负债表、损益表、现金流量表以及相关法律规定的会计报表(如税法规定的应交税金明细表等),充其量包含到对这3张报表形成过程进行评判的审计报告。在一定的情况下,对这3张报表的分析报告也属这一范畴。从我们对会计信息真实公允进行判定的结果来看,我们关注的是会计核算的结果,且把会计信息局限在对外提供的3张报表之中,忽视了会计信息形成的源头。而真正的、可怕的失真就是来自会计信息源头——经济业务或活动的虚拟和伪造。内部控制的提出,使我们开始关注到会计信息范围和源头。注册会计师为了解除审计责任,减少审计风险,逐步深入地注意到在企业一般“作业”层面上的信息及其产生过程。可见,企业经营管理中的“作业”也是注册会计师审计风险产生的源头。如此,注册会计师要完成审计责任,降低审计成本,减少审计风险,必须将一部分自己无法履行的信息真实性的责任分解给企业管理当局即董事会及经理层。从而在社会公众、小股东和政府的帮助下构筑了“内部控制”,并使董事会成为内部控制的核心。
其实,董事会成为内部控制的核心是理所当然。因为,内部控制的主要目标就是验证财务报告的可靠性和保护资产安全,这也是作为股东代表和企业管理当局的董事会的责任。同时,实施内部控制,提升企业素质,提高股东收益,也正是董事会所企望的利益所在。
回顾内部控制的历史可以看出,内部控制是由内部的牵制发展而来的,内部牵制思想产生于古埃及的国库管理。再看现在,对内部控制的关注不仅是注册会计师、企业管理当局,更有政府监管部门。在我国,1997年了《加强金融机构内部控制的指导原则》,2001年了《证券公司内部控制指引》,财政部2001年颁布了《内部会计控制基本规范》等,无不表明,内部控制已成为政府有关部门进行企业经济监管的一项重要措施。
根据上述分析,笔者认为,保证资产安全和会计信息真实是内部控制的主要目标,而对会计信息的真实性,我们一直依靠会计核算及会计信息内部的勾稽关系或逻辑关系来维系的。我们通过制定会计准则来规范对外会计信息,且把会计信息真实的责任局限在会计师及注册会计师范围内。事实证明,这样做很难保证会计信息中的掩盖与欺诈。现在,提出内部控制强调的是从会计信息源头(即经济业务、会计事项)的真实性和责任性的控制,让企业管理当局、企业的所有者和经营者与会计师(注册会计师)一起承担会计信息真实性的责任,这样的控制将会是有效的。同样,对会计信息真实的保证措施必然是制定相关规范。目前,对外信息的规范已经趋于成熟和完善。虽然出现了这样那样的失真与欺诈现象(不可否认世界各国的这方面的准则是合适的),但究此原因,人们已清楚地认识到,企业管理当局在会计信息方面责任不清及诚信缺失是主要的原因。因此,通过对“内部”(其实是指未规范的会计信息,详见下文的解释)会计信息的规范,从而达到对会计信息全面规范,迫使企业管理当局对会计信息真实的责任“回归”,是必要和紧迫的。美国“安然事件”之后,布什总统提出了10点计划,紧紧围绕:(1)为投资者提供更好的信息;(2)使公司官员负有更大的责任;(3)发展一个更强有力的和更独立的审计系统三大核心原则,其关键就是在使公司官员对会计信息的真实负有更大的责任,因为,只有公司管理当局对此具有责任,才能从“根本”上保证会计信息的真实。
(二)会计信息的全面规范
长期以来,会计界一直沿袭“会计是财务会计和管理会计两大部分组成的”之观点,并认为财务会计提供对外(或外部)会计信息;管理会计提供对内《或内部》会计信息,即专为企业管理者服务的信息。然而,我们对企业会计工作现状稍作考察,不难发现财务会计与管理会计在程序上、方法上乃至理论上是难以准确而清晰界定的,更别说会计信息上的如此武断的划分。有谁能肯定对内信息仅由管理会计提供的?比如说前述的企业成本、费用这个对内信息就是财务会计核算的方法、程序及观点而提供的;再比如,会计的凭证、账簿资料一般不对外提供,但它们所记载的信息都是由财务会计的理论、方法和程序所决定的。更不容否认的是,对外会计信息都能对外了,自然也就对内了,已为企业内部所用了,你还能说它是对外信息吗?因此,我们认为,对会计信息这样的划分和认识是不正确的,是一种想象,是一种误解。借用习惯的“对内会计信息”说法,我们觉得对内或内部会计信息涵盖了企业会计系统所提供的所有会计信息。会计信息首先是对内的,然后才是有选择的(按照会计准则的要求)对外的。也就是说,如果坚持采用“对外”和“对内”的传统名词,对外会计信息只是内部会计信息的一部分而已。据此可以看出,内部会计信息的质量决定着对外会计信息的质量。我们认为,会计信息可以根据规范状况,将其分为已规范的会计信息和未规范的会计信息。同时我们也强调,对外会计信息出现了“失真”等现象,主要是因为会计信息没有被全面规范。那部分未被规范的(很多人认为无需规范的)“内部”会计信息,是指那些无需对外陈述或无需详细对外陈述的会计信息。这类会计信息因为都不对外,最易于被掩盖和造假。因此,我们认为有必要对企业会计信息实施全面规范,将那些至今尚未规范的会计信息全都加以规范。只有将所谓的“内部”会计信息规范严格,才能保证对外会计信息真实和充分。据此,我们可以说,会计信息只有“对外会计信息”的说法,而无“对内(内部)会计信息”的说法,因为从某种意义上说传统的“内部”会计信息就是所有会计信息。
所谓会计信息全面规范,就是对企业所有会计信息形成的全员(全体企业人员)、全过程(从源头到结果)、全方位(业务、职责乃至程序、方法)进行的规范。笔者认为,现在所谓对内部会计信息的规范就是实现对企业会计信息的全面规范,将那些至今尚未规范的会计信息全都加以规范。只有这样,才能保证对外会计信息真实和充分。
对未规范的会计信息的规范是内部控制的政策和基础,也是内部控制的有效保障,当然这部分会计信息规范必须符合内部控制的规律和要求,相对于对外会计信息规范在目标、程序乃至要求等方面有很大的不同,具有一定的“内部”特征:(1)在目标上,这类规范必须以内部控制目标为基本的目标和标准;(2)在制定程序上,这类规范的基本规范应由财政部或相关机构制定,而具体规范和制度应由企业依据基本规范自行制定;(3)在要求上,主要的标准是“有”还是“没有”制度或条例,“符合”还是“不符合”《会计准则》和《会计制度》,具体规范“遵循”还是“不遵循”基本规范;(4)注册会计师对内部控制制度的审计结论,主要是定性的陈述而非定量的说明,以表达企业规范是否达到内部控制的目标和要求。
我们认为,这部分会计信息在原有会计核算的基础上,将更加注重会计监督。会计控制程序和制度方面,除了具备真实性、相关性、一致性、明晰性、可比性、重要性和谨慎性等会计信息一般原则要求以外,还有一些特殊的原则:(1)内外一致原则,即对外那部分会计信息必须与原有会计信息相一致,不得粉饰与调整;(2)与控制环境相协调的原则,即这部分会计信息的生成、报告等程序和方法要根据企业自身的条件及管理水平相协调,并使之达到有效控制的目标;(3)保密性原则,即这部分会计信息由于揭示企业内部管理动态,涉及大量的商业秘密,必须依照相关法规进行不同等级的保密;(4)授权控制原则,即这部分会计信息因散布在企业的不同部门、不同环节上,会计信息必须为各部门各层次组织所提供和控制;(5)职位不相容原则,即在信息生成、报告及控制(监督)过程中,分设岗位及人员互相牵制完成职责,以免权利过于集中而出现失真;(6)针对性原则,这部分会计信息可以通过“再加工”,针对企业管理或内部控制中的局部问题和典型问题,提供专题信息报告(含分析报告)。据此,我们结合内部控制的要求,提出关于未规范的(即不对外的)会计信息规范的粗略框架。
关于内部控制及内部会计控制的研究表明:内部会计信息规范已将会计规范是从仅对会计行为的规范拓展到对企业管理行为的规范。会计的历史告诉我们,会计源于管理,又为管理所用,会计是企业管理活动的一个重要组成部分。在我们研究内部控制相关问题时更深切地感到,会计与企业管理的这种“血缘”关系难以分割。据此,笔者觉得,在研究企业内部控制以及内部会计信息规范时,还需要从以下几点着手:
(1)企业目标是企业经营管理的最高目标,它统领着内部控制目标以及内部会计信息规范(内部会计控制)的目标。相应的,内部控制(内部会计控制)目标服从于企业的目标。在研究中不容忽视。
(2)内部控制的第一要素是控制环境,而控制环境的认识和分析,必然运用现代经济学和管理学的最新理论。因此,我们必须将经济学、管理学的理论和方法运用于内部控制研究,才能使内部控制更有效。我们不仅要重视内部控制研究前提的客观性(指符合中国国情),更要重视引用理论的实用性(即可行性)。
一、我国企业内部控制规范的制定原则
企业内部控制规范的制定是一项社会性、专业性很强的工作,其制定主要依据以下几个原则。
.从实际出发,结合企业实情
内部控制是一种系统的制度安排,制定的时候充分考虑了我国的政治、经济、文化和社会环境,根据我国企业的实际情况,在对以往制度进行改革的同时参考国际相关制度,形成了企业内部控制规范的模本。整体看来,《内部控制基本规范》与我国企业所处的具体环境相适应,与我国的法律法规相协调,力求最大限度地弘扬我国企业经营管理的实践经验。
.突出重点,注重实效
企业的内部控制制度涉及经营管理的各个环节、各个方面,涵盖了企业日常经营的各项业务。因此,内控基本规范在保证企业财务报告完整真实及企业资产安全的基础上,着重对那些影响财务报告真实性、完整性,影响资产安全性的事项和业务进行了规范,引导企业建立健全以财务报告内部控制为核心的内控机制,并对企业建立全面控制体系提出了要求。
.对企业具有引导性
内控基本规范的制定是为企业的业务活动提供一个规范准则,如准则要求企业的记账人员与会计事项的经办人、审批人的职权应当明确,相互分离、相互制约;重大对外投资、资金调度、资产处理和其他重要经济业务事项的决策和执行应设立相互监督、相互制约的机制等,这些准则是企业建立健全内部控制制度的参照标准,其对企业具有引导性,在考虑企业的个性、实际情况和可接受水平,通过一系列可供选择的方案,引导和鼓励企业加强相应的控制。
二、企业内部控制规范的主要内容
.内部控制的目标
内部控制在基本规范中的定义为:“由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程”。其目标涵盖五个方面:第一,合理保证企业经营管理合法合规;第二,合理保证企业会计信息的真实完整和企业财务报告的真实可靠;第三,合理保证企业资产安全;第四,提高企业的经营效率和效果;第五,促进企业实现发展战略。
.内部控制的实施体系和要素
建立健全内部控制制度应遵循全面性、重要性、制衡性、适应性和成本效益性等五项基本原则。内部控制的实施体系主要包括三个方面的要求:第一,以法制为推动;第二,以企业实施为主体,规范地落实有关法律法规,制定本企业内部控制制度并组织实施;第三,以政府监管和社会评价为保障。政府有关部门应对企业内部控制的情况进行监督检查,会计师事务所应对企业内控的有效性进行审计,并出具内控审计报告。
基本规范提出了内部控制的五大要素,即内部环境、风险评估、控制活动、信息与沟通、内部监督。该五大要素要求企业设立专门的机构负责内部控制的实施,并结合企业的实际情况,及时地进行风险评估。同时,建立内控自我评价制度和内控记录制度对内控的实施情况进行监督。
三、内部控制规范的制度解析
基本规范自2009年7月1日起先在上市公司范围内施行,并鼓励非上市的其他大中型企业执行。这个被称为“中国版SOX”的规范,被无数人寄予了期望,未来5年内,基本规范的实施将对中国的上市公司和大型企业的规范化运作带来实质性推动。这是我国继实施与国际接轨的企业会计准则和审计准则之后,在会计审计领域推出的又一与国际接轨的重大改革。这部规范的推出,意味着中国企业内部控制规范体系建设正在向国际标准靠拢。
这套适用于中国企业的内部控制体系,其基本规范借鉴了COSO报告五要素框架和风险管理八要素框架;具体规范以财务报告内部控制为主线,对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项以及与财务报表编报相关的业务活动提出具体的控制规范,并对为实现有效的财务报告内部控制的事前、事中和事后制度支持提出控制要求。企业的内部控制应该贯穿于企业经营活动的决策、执行和监督的始终,涵盖企业各种业务和事项。企业每一项经营活动,从工作的效率性及风险的控制性来讲,都应强调过程控制,包括宏观上公司治理结构的确立、机构设置及权责分配、人力资源政策、企业文化等,也包括微观上企业股东会和董事会的决策程序,经理层及员工的执行程序和要求,监事会、内部审计委员会的监督程序,员工奖励计划,以及违反公司内部控制体系的罚则等等。
四、完善企业内部控制规范的建议
按照内控理论,并且结合我国当前企业内部控制中存在的主要问题,完善现代企业内部控制体系可以从以下五个方面入手。
.完善企业的控制环境
任何企业的控制活动都依赖于一定的控制环境中,控制环境的好坏,直接影响到企业内部控制的执行与企业经营目标的实现。控制环境的要素有价值观、控制目标、组织机构、员工能力、激励与诱导机制、人事政策和规章制度等。
企业可以从以下三个方面着手改善内部控制环境:(1)明确内部控制主体和控制目标。实施内部控制的主体是企业,控制目标是为了保证企业财务报表的真实,减少企业资产的流失,只有明确了企业的控制主体及其控制目标,才能实施有效控制。(2)加快现代企业产权制度改革。建立产权明晰、权责清楚、管理科学、政企分开的现代企业制度。(3)引进先进的管理控制方法。例如,制定企业各项管理制度、编制各项计划、业绩与计划考评、调查与纠正偏离期望值的差异等,这些方法对于不同复杂程度和不同规模的企业十分重要。(4)实施积极的人事政策。要培养和引进一批具有高素质的人才队伍,培养全体员工良好的价值观、道德观和控制意识,从而形成一个特定的企业文化氛围。
.进行全面的风险评估
随着高新技术的发展和世界经济一体化的趋势,企业的生存压力越来越大,兼并收购、破产重组、关联方交易时有发生,电子商务、金融衍生产品等使人应接不暇。企业竞争环境的变化使经营风险增大,企业必须设立全面的风险管理机制,以识别企业的风险因素,如资产风险、内外环境风险、经营活动风险、信息系统风险等,并确定各风险因素的重要程度,评估各风险因素得分,防范因风险过大而导致的破产。
.设立良好的控制活动
企业的控制活动应贯穿于企业的各个阶层和各个部门,只有全员参与,才能使内部控制的目标有效落实。内部控制活动涵盖了经营活动的复查、业务活动的批准和授权、保证对资产记录的接触和使用的安全、独立稽核等。企业在制定控制活动时,需要抓住关键控制点。例如,企业的采购循环活动应注意请购单、采购单、订购单等的授权与审批,要注意对采购的单价、数量、质量等的审核。
.加强信息流动和沟通
信息交流和沟通是指向企业内部各级主管部门、企业外的有关部门人员以及其他相关人员要及时提供信息,通过信息交流与沟通,使企业内部员工能够清楚地了解到当前企业的内部控制制度实施情况,明确各部门、各人员所承担的责任,并及时交换员工在执行控制过程中出现的问题及企业经营活动中所需要的信息,以减少由于信息不对称导致的企业经营成本和社会监督成本的提高。
