解读《企业内部控制基本规范》 中南财经政法大学会计学院宋丽梦 2008年6月28日,财政部、证监会、审H-署、银监 基本规范的法律依据,但是与《会计法》明确规定了统 会、保监会联合发布了《企业内部控制基本规范》(以下 一会计制度的地位(即《会计法》第八条“国家实行统一 简称基本规范)。基本规范自2009年7月1日起先在 的会计制度。国家统一的会计制度由国务院财政部门 上市公司范围内施行,鼓励非上市的其他大中型企业 根据本法制定并公布”)不同,《企业内部控制基本规 执行。毫无疑问,基本规范的发布对于大中型企业特别 范》的地位在《公司法》、《证券法》和《会计法》中并没有 是上市公司的内部控制制度建设,提高其经营管理水 得到明确的规定,上述三部法律中关于企业内部控制 平和JXt,险防范能力都有着重要意义。但也应认识到我 的规定几乎是空白的(仅有《会计法》对建立健全内部 国内部控制在规范体系建设和企业具体实施方面都任 控制提出了原则要求)。基本规范的强制性在于财会 重道远,基本规范的制定与执行也绝对不是一蹴而就 [2oo8]7号通知中指出“……财政部会同证监会、审计 的过程。本文就基本规范的法律地位、内容建设以及与 署、银监会、保监会制定了《企业内部控制基本规范》, 具体规范之间的关系谈谈自己的看法。 现予印发,自2009年7月1日起在上市公司范围内施 一、关于基本规范的法律地位 行.鼓励非上市的大中型企,Ak执行。执行本规范的上市 我国内部控制的理论与实务均受到《萨班斯—— 公司.应当对本公司内部控制的有效性进行自我评价, 奥克斯利法案》(S0X)和特雷威德委员会的发起组织 披露年度自我评价报告,并可聘请具有证券、期货业务 委员会(COSO)所发布系列报告的深远影响,而后者被 资格的会计师事务所对内部控制的有效性进行审H-。” 认为是内部控制理论的最权威成果。从基本规范中亦 在美国,与上市公司相关的内部控制法律规范体 可以看到C0So相关报告的影响.其中所采用的内部 系是这样构成的:《萨班斯——奥克斯利法案》中的部 控制五要素与CoS01992年发布的《内部控制——整 分条款(如404条款等)与上市公司的内部控制相关, 体框架》大致相当。但是从《企业内部控制基本规范》在 为了遵循该法案的内部控制报告要求,美国证券交易 我国法律法规体系中的地位来看,其与CoSo报告有 委员会(SEC)参考COSO的相关成果对内部控制进行 很大差异。 定义并制定了相关的规则(如S—K规则中的307条款 基本规范的第一章第一条:“根据《中华人民共和 等)以规范上市公司关于内部控制的报告,同时上市公 国公司法》、《中华人民共和国证券法》、《中华人民共和 司会计监管委员会(PCAOB)也参考COSO的相关报告 国会计法》和其他有关法律法规.制定本规范”表明了 成果制定了相关的审计准则。2004年7月.SEC批准 规范相比较,新的企业内部控制规范体系更加完善和 的因素、Nt,险评估程序等。第四章为控制措施,主要介 丰富。在组成层次上,新增了应用指南和解释公告,在 绍内部控制的方法。第五章为信息与沟通。主要介绍信 具体规范中增加了6项控制规范。当然,以后还可能有 息与沟通对于内部控制的重要性、内部信息与外部信 新的具体控制规范出现。这些都反映出我同经过几年 息、信息沟通的方式等。第六章检查监督。主要介绍内 的理论研究和实践探索,对于内部控制管理的认识已 部控制检查监督的方式、手段、时间,以及检查评估报 经比较成熟和全面。 告的内容等。第七章为组织实施,主要介绍实施方式、 基本控制规范的内容如何安排理论上是很有考究 与企Ak其他部,门之间的协调、外部有关部门对企业内 的。因为这个规范相比于其他的具体控制规范来说 主 部控制的检查等。第八章为附则,主要介绍实施日期、 要反映的是我们对于内部控制系统的理论认识深度和 解释权限等。 概括水平,相当于理论上的总纲。从征求意见稿来看, 从内容上看,基本控制规范体现了我国此次制定 其内容共有八章82条。其中,第一章为总则,主要表明 内部控制规范中所坚持的“借鉴围际、超越创新”的思 内部控制的目标、组成层次、适用范围,内部控制的原 想。基本规范在要素de.借鉴了CoSQ五要素的框架,同 则,内部控制的责任主体,内部控制的组成要素等。第 时5L吸收了风险管理八要素的精神实质,而且把组织 二章为内部环境,主要介绍内部控制与治理结构的关 实施和控制措施单独剔出来加以规范.具有一定的创 系、企,Xk文化、人力资源政策、内部审计机制、反舞弊机 新性。对于相关内容的阐释比较细致,与具体控制规范 制等。第三章为风险评估。主要介绍风险的概念、风险 衔接比较好,具有显著的规范意义。 维普资讯 http://www.cqvip.com
了PCAOB的第2号审计准则“协同财务报表审计31 ̄YF 展对财务报告的内部控制的审计”,该准则对于独立审 度试行)》、《上海证券交易所上市公司内部控制指引》、 《深圳证券交易所上市公司内部控制指引》、证监会发 计人员实施内部控制审计提供了权威性指南。 萨班斯一奥克斯利法案 布的《证券公司内部控制指引》、银监会发布的《商业银 行内部控制指引》和财政部原有的《内部会计控制规 范——基本规范》等之间的关系便可看出。而正因为 COSO报告并没有名义上的法律地位,这事实上保持 制定董事会指南并授权 公司 会计师 上市公司 会计监管 委员会 一了关于上市公司内部控制相关规范在法律上的严肃性 和稳定性,而同时又因为COSO报告的不断改进和进 步细化而保持了上市公司内部控制具体实施的灵活 样的余地,这不仅与基本规范的法律地位有关系,也与 基本规范的内容相关,具体将在下文进行分析。 性和不断进步,而我国基本规范的制定则没有保持这 披露控制 不审计 美国证券交易委员会 和程序的 季度报告 审计 内部控制 设定规则 年报 (PCA0B) 设定标准 图一美国上市公司内部控制法律规范体系 二、关于基:zls=规范gg-.j内容 我国企业内部控制标准委员会在《企业内部控制 规范起草说明》中提到:“我们在起草过程中合理借鉴 了以美国coso报告为代表的国外内部控制框架,并 根据我国国情进行了较大调整和改进。对国外内部控 事实上。著名的COSO报告名义上并不是美国与 上市公司相关的内部控制法律规范体系的构成部分, 而43Z_43Z_是发起组织委员会(COSO)的关于内部控制的 重要研究成果。但《内部控制——整体框架》也是权威 部门和组织最"g',qEl的评估内部控制效果的标准,美国 证券交易委员会(SEC)在制定相关规则以及PCAOB 制框架,尤其是coso框架的借鉴,主要体现在基本规 范中。基本规范在形式上借鉴了coso报告五要素框 架,同时在内容上体现了风险管理八要素框架的实质。 主要考虑是:内控基本框架。好比会计要素一样,都存 在国际趋同问题。借鉴国际上较为成熟的内控框架,能 够使我,f]一开始就站在一个较高的起点上,并为我国 境外上市公司,特别是在美上市公司符合上市地内控 监管要求提供有益参考。至于是五要素还是八要素,综 合考虑。五要素框架相对较成熟、较稳定,包括美国证 监会等推荐、参照的框架仍是五要素框架,同时,从长 远发展趋势看,也应适当体现八要素框架的先进理 念”。因此,所颁布的基本规范为七章,包括总则、内部 在制定第2号审计准则时都将CoSo报告作为重要基 础。CoSo内部控制框架是SEC唯一推荐使用的内部 控制框架,同时SOX404条款的“最终细则”也明确表 明CoSo内部控制框架可以作为评估企业内部控制的 标准。但CoSo报告在S0X相关细则、SEC相关规则 和PCA0B相关审计准则中的地位并非一开始就有的, 起初C0S0报告也并未得到广泛认同,1993年AICPA -F属的公众监督委员会(POB)就建议SEC要求在证券 交易所登记的公众公司的管理层在其年度财务报告 (向股东发布的年度报告)中包含一份与财务报告有关 的公司内部控制系统有效性的报告。其就是想将 CoSo的内部控制标准用-3=有效性的评b"r。但当时 环境、风险评估、控制活动、信息与沟通、内部监督和附 则。除了第一章总则对规范的适用范围、内部控制的定 SEC并没有采用这个建议。美国审计总署(GAo)也曾 义、应遵循的原则等作出相关规定外,其余部分基本围 绕内部控制五要素进行。 的确,CoSo风险管理八要素框架目的在于对管 对《内部控制——整体框架》的许多方面提出过批评, 并指责这个框架有严重缺陷,其内部控制定义中缺乏 保障资产的概念,还认为这个框架对内部控制重要性 的强调不够,丧失了改善内部控制监督和评估的机会。 由此看来,COSO报告名义上在美国上市公司内 理层识别并管理企业范围内的风险提供流程指南,该 框架无意取代或以别的方式修正以前的内部控制五要 素框架。内部控制包含在企业风险管理中,是企业风险 管理不可或缺的组成部分。在内部控制的相关概念上, 二者保持了一致与连贯。但是应该看到,从美国会计师 协会(AICPA)的审计程序委员会1958年发布的《审计 程序公告第29号——独立审计人员评价内部控制的 部控制法律规范体系中并不具备有什么法律地位,但 是在美国上市公司管理层关于财务报告的内部控制报 告中基本上都可以看到这样的语句:“……为了做出这 种评估,我们使用了由特雷德威委员会的发起组织委 员会(COSO)发布的《内部控制——整体框架》中所描 述的作为财务报告的有效内部控制的标准。”同时,在 SoX相关flit则、SEC相关规则和PCAoB相关审计准 范围》中两要素的划分,到1988年《审计准则公告第 55号——会计报表审计中对内部控制结构的关注》, 提出内部控制结构包括控制环境、会H-制度和控制程 序等三个要素,再到COSO内部控制整体框架的五要 素和企业风险管理框架的八要素,关于内部控制要素 的研究与实践本身就是一个不断发展和演进的过程。 则中CoSo报告也基本作为唯一推荐使用的内部控制 框架,这使得COSO报告在实质上具有很高的法律地 位。 反观我国的基本规范,虽然由财政部会同证监会、 审计署、银监会、保监会共同颁布,并且在财会[2o08]7 号通知中也指出自2009年7月1日起在上市公司范 结合经济学的理论来看,内部控制要素的具体内 容甚至COSO报告均是技术性的,而SOX则是制度性 的。在SoX之前,对于投资公众的保护主要着重于报 告结果即向公众提供公允、透明的财务结果.让其了解 这些结果的必要信息 而SoX规定除了财务结果之 围内施行,但是并没有法律规定其地位。由现行相关规 范如:《中央企业财务内部控制评价工作指引(2007年 _。 j 一 |_- 鬟 蓑 |蒋饕 维普资讯 http://www.cqvip.com 外.管理层还要分析并评价报告这些结果所采用的流 程和控制的质量,这个过程实质上就是一种制度的变 迁。按照新制度经济学的观点,制度变迁是经济增长的 真正动因,技术进步只不过是经济增长的表现形式而 已。制度有两层基本含义:其一,制度是行为规则,决定 着人们在经济发展过程中能够与不能够做什么事;其 二.制度是人们结成的各种经济、社会、政治等组织或 控制规范起草说明》中的规划,我国的企业内部控制规 范体系由基本规范、具体规范和应用指南构成。具体规 范的设计主要以财务报告内部控制为主线,初步拟定 为26项。其中,17项已起草完成并对外公开征求意 见;9项正在抓紧研究起草之中。这些具体规范,可以 概括分为以下三类:第一类是对与企业财务报表项目 相关的、可能会对财务报告真实可靠性产生较大影响 的经济业务事项提出具体要求的控制规范;第二类是 与财务报表编报相关的控制规范,包括财务报告编制、 公允价值、关联交易、信息披露等;第z-2 ̄是为实现有 效的财务报告内部控制所必需的事前、事中和事后制 度支持的控制规范,包括预算控制、人力资源控制、计 体制,决定着一切经济发展活动和各种经济关系展开 的框架。同时经济学家们也发现:在许多情况下,技术 进步的速度往往快于制度变迁的速度。正如3c文所述, sox作为一种制度安排具有法律上的严肃性和稳定 性,但与内部控制相关的技术又是不断发展的,因此又 必须保持企业内部控制具体实施的灵活性和不断进 步.技术性的C0S0报告则很好地担当了这个角色。 由此来分析我国基本规范的内容:第一章基本是 制度性的,而第二章至第六章则主要是技术性的,其可 能出现的问题就是:随着我国内部控制理论和实务的 不断发展,第二章至第六章的内容必须要作出相应调 算机信息系统控制、审计监督控制等(具体见图二)。 具体规范的制定是一项非常复杂和艰巨的212作, 因为内部控制活动在不同所有制形式、不同组织形式、 不同业务范围、不同规模的企业之间存在着很大的差 异性,而规范是以共同性为前提的,如果不存在充分的 共同性,则规范即使制定出来,在实践中也是无法实施 的。世界各国制定内部控制规范主要存在两种类型:一 是以美国COSO为代表在基本框架的基础上制定内部 控制具体规范;二是以加拿大和我国为代表的在具体 整,否则就无法反映与内部控制相关的技术进步。而频 繁调整是与一项基本规范的定位不相符和的。因此,基 本规范究竟定位于制度安排还是定位于技术应明确, 同时其内容应该与其定位相符合。 业务层次上制定内部控制具体规范。C0S0以应用技 A ̄-(Application Techniques)或指南(Guidance,如最新 发布的Guidance on Monitoring Internal Control Sys— 三、关于基本规范与具体规范的 关系 根据我国企业内部控制标准委员会在《企业内部 tems)为指导具体应用的主要形式,同时,其应用技术 或指南均紧 紧围绕《内部 控带 ——整 体框架》中的 五要素或《企 业风险管理 框架》中的/ 要素。我国是 直接对应会 计报表项目 和企业的业 务流程设立 和制定,而且 在这些条款 中都对岗位 设立和职责 分212、按业务 流程设计控 制环节、控制 项目的关键 控制环节或 风险控制要 点作出了比 较具体的规 定.同时也考 虑图二:我国内部控制4t-体规范的构成 了部分控 制要素的内 鞲| 琶 惫嚣 螽黎 3 ! :I l ll|_|- :t 维普资讯 http://www.cqvip.com
_ 对《企业内部控制基本规范》的几点思考 江西财经大学国际学院 涂 艳 《企业内部控制基本规范》是以规范企业信息披露 为主要目标的企业内部控制标准体系,旨在提高公司 财务报告的真实性和可靠性。《企业内部控制基本规 与此同时,《企业内部控制基本规范》的实施,将有利于 推动我国资本市场的持续健康发展。 一、《企业内部控制规范》的背景 范》的颁布,是我国继实施与国际趋同的企业会计准则 和审计准则之后,推出的又一与国际趋同的重大改革。 及现实意义 我国于1999年修订的《会计法》中,第一次以法律 容,如控制环境中的人力资源政策和内部审计。 其发布无疑对企业和资本市场的发展有着重要的积极 意义。理论界和实务界都应该积极行动起来,深入研究 不可否认.在我国企业内部控制水平良莠不齐、内 部控制基础十分薄弱的情况下,具体规范主要直接对 应会计报表项目和企业的业务流程,具有较强的针对 性、可操作性和可应用性,有利于我国企业树立规范的 内部控制意识和奠定扎实的内部控制基础。但也存在 我国内部控制规范体系,进一步制定和具体实施,以保 证其顺利贯彻实行。财政部副部长王军在基本规范发 布时也强调,下一阶段要重点抓好实施准备工作、宣传 培训、健全内控规范体系、建立内控标准体系、推进内 控国际趋同和发挥体系联动效应等六方面的212作。本 文认为应亟待加强以下几方面的212作: 一以下几个与基本规范不尽符合的缺陷:一是与基本规 范中的内部控制目标不符。基本规范第三条指出“内部 控制的目标是合理保证企业经营管理合法合规、资产 安全、财务报告及相关信息真实完整,提高经营效率和 效果,促进企业实现发展战略”。而大部分具体规范的 目的还在于查错防弊、保证财产安全和财务报告及相 关信息真实完整,很少有具体规范能与“提高经营效率 和效果,促进企业实现发展战略”相关。二是内容上的 不符合。我国《企业内部控制基本规范》、《中央企业财 务内部控制评价212作指引》、《上海证券交易所上市公 司内部控制指引》、《深圳证券交易所上市公司内部控 是如何低成本地推进内部控制规范体系在企业 (CEB,Corporate 的贯彻实施。美国公司执行委员会Exeeutlve Board)下属的CFo执行委员会(CF0 Exeeu— tive Board)2005年发布了一项概括遵循《萨班斯法案》 的真实成本和收益的报告表明:除非公司的高级经理 采取特别的手段来确保SOX404的遵循212作不会挤占 管理活动和研发投入,否则SOX404的要求就会对经 济增长和创造就业机会带来威胁。报告还明确地指出 由于执行SOX404,未来三年中将阻碍超过30万个212 制指引》、《证券公司内部控制指引》和《商业银行内部 控制指引》均以五要素或八要素作为主要内容。五要素 作为一种整体观点是对内部控制活动全面立体的划 分,其重要特征为单个要素是以非线性方式紧密联系 的,每个要素都和其他要素有关系,并且影响其他要素 发挥作用。而我国具体规范则以企业财务报表项目相 关、与财务报表编报相关和实现有效的财务报告内部 控制制度支持相关等作为具体规范的主要内容 其对 内部控制的划分是平面和线性的,因而导致划分项目 作岗位的创造以及导致GDP增速放慢近0.5%(当然, 报告也指出《萨班斯法案》对于重建“后安然时代”投资 者的信心起到了至关重要的作用。同时15%的公司发 现了内控流程中的实质性缺陷.这,gt味着SOX提升了 财务报告的可靠性)。因此,低成本地推进内部控制规 范体系在企业的贯彻实施对于内部控制规范体系能否 有效得到执行异常重要。而实际上,低成本实施却并非 一件易事,可能涵括了规范制定、人力资源、教育与培 训、TT技术(如内部控制软件等)和高效鉴证等诸多方 面的因素。 非常复杂(初步拟定为26项)且不全面。同时这也可能 导致企业的实施成本偏高。三是地位关系上的不符合 基本规范对于具体规范而言应该是统驭与指导.具体 规范对于基本规范而言应该是细化与具体化。而从目 二是进一步深入研究内部控制理论体系 COSO 报告的缺陷之一就在于缺乏严谨的概念结构和完整的 理论体系,我国在这方面的研究也较薄弱。但内部控制 理论体系的建设对于规范体系的建设犹如基石.不可 或缺。 前来看,基本规范与各具体规范的内容之间并不存在 直接的统驭和指导关系,这可能会导致企应用基本规 三是关于内部控制规范体系的科学制定问题。结 合前文所述问题,建议在基本规范统驭下增加“应用技 术”规范,以利于基本规范主要内容的贯彻实施。同时 范主要内容时遇到困难,还可能导致独立审计人员对 内部控制报告鉴证的困难。 四、总结 如上所述,基本规范虽然可能存在着诸多问题,但 当前还应加强内部控制鉴证业务规范的制定212作.否 则基本规范和具体规范的有效执行将无法得到保证
因篇幅问题不能全部显示,请点此查看更多更全内容