企业内部控制标准体系的构建,本文主要内容关键词为:内部控制论文,体系论文,标准论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
内部控制是一个古老而又年轻的话题,随着我国社会主义市场经济的不断发展和经济全球化趋势的日益加深,加强企业内部控制制度建设正成为大势所趋、潮流所向。加强企业内部控制标准体系建设,无论是从我国社会经济发展的宏观层面,还是从企业发展的微观个体层面,都具有十分重要的意义。
一、内部控制标准体系建设模式的国际比较
加快健全我国内部控制标准体系,必须要立足我国实际,借鉴国外经验,要深入研究主要发达国家深化内部控制体系建设的组织模式和运作机制,加强对国外先进制度和经验的吸收和借鉴,综合考虑我国的法律、政策和人文环境,做到实践探索与理论指导、控制标准与法律规范相配套,切实将汲取的国际经验和成果转化为推动我国企业内部控制标准体系建设的有益实践。
(一)内部控制标准框架制定主体的比较
美国的COSO报告是由COSO委员会制定的。美国注册会计师协会(AICPA)、美国会计学会(AAA)、全国会计师协会(NAA,现为管理会计师协会,IMA),内部审计师协会(IIA)和财务执行官协会(FEI)等五个职业会计团体成立了赞助组织委员会(COSO),专门对内部控制相关问题进行研究。英国的《Turnbull报告》是由伦敦股票交易所委托英国特许会计师协会(ICAEW)成立,以Turnbull先生为主席,由董事长、总经理、财务经理、部门经理、外部审计人员、企业员工以及大学教授组成的委员会制定并发布的[1]。日本的《财务报告内部控制评价与审计准则》是由日本金融厅下属机构——日本企业会计审议委员会发布的。因此,内部控制框架的制定主体基本上都是民间机构,各国和地区的会计师协会在其中扮演了极其重要的角色。而日本则是由政府管理机构直接或委托专门的工作组织来制定并发布。
(二)内部控制标准框架基本模式比较
目前,世界上最具有代表性的内部控制标准框架模式有美国模式和英国模式两种。美国2002年的SOX法案以及SEC的规则对公司的内部控制提出了严格的要求。美国模式属于规则导向型的内部控制模式,它对内部控制提出了非常具体的要求,并且对如何满足这些要求进行详细的规定。美国模式的前提假设是,如果通过内部控制的评价和报告暴露出管理层不能履行对内部控制的责任,那么,管理层就会受到董事会、市场和监管部门的惩罚。而英国有一个相对完整的内部控制法律框架,包括公司法、上市注册规则、联合规则和Turnbull指南[1]。公司法、上市注册规则、联合规则对上市公司内部控制的要求都是原则性的,Turnbull指南是对如何实施这些原则性要求的指导原则。因此,英国模式属于原则导向型的内部控制模式,它给出了一个很宽泛的内部控制,对公司内部控制的要求非常原则性,并没有就如何实施给出很具体的规定。
(三)内部控制概念的比较
美国在COSO报告中将内部控制定义为一个过程,“内部控制是由董事、管理层和其他人员在公司内进行的,旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。”这是一个比较权威的定义,其他很多国家都借鉴或引用了这一概念。而日本则将内部控制看做是一组程序,是为达到经营的有效和效率、财务报告的可靠性、营业活动遵循相关法令以及资产保全等四个目标而提供合理保证,内含于业务活动之中,由组织内部所有人员实施的程序。
(四)内部控制目标的比较
在1994年COSO报告《内部控制——基本框架》中,内部控制有三个目标:经营的效果和效率、财务报告的可靠性和法律法规的遵循性。2004年的ERM整体框架中提出了一类新的目标——战略目标,该目标的层次比其他三个目标更高[2]。与COSO报告的框架相比,英国内部控制的目标是保障股东投资与资产的安全,在分类上尽管相似,但更倾向于保护股东的利益,更强调了风险的观点。而日本内部控制的目标包括:经营的有效和效率、财务报告的可靠性、营业活动遵循相关法令、资产保全等四项目标。相对于美国的COSO报告,日本内部控制目标增加了资本保全性目标。
(五)内部控制构成要素的比较
1994年COSO报告《内部控制——基本框架》中,提出了五个要素:控制环境、风险评估、控制活动、信息和沟通、监督。2004年的ERM框架对这五个要素进行了深化和拓展,新增了三个风险管理要素:目标设定、事项识别、风险反应。关于控制要素,《Turnbull报告》提出了“四要素”论,即控制环境、控制活动、信息与沟通、监督检查四部分。日本的内部控制由控制环境、风险评估与应对、控制活动、信息与沟通、监控以及信息技术应对等六个基本要素构成,内部控制基本要素中增加了信息技术的应对这一要素。
(六)内部控制信息披露的比较
世界各国和地区都非常重视内部控制的披露,但在是否对内部控制有效性进行评价上有所区别,英国不要求对内部控制的有效性进行评价,而美国、日本则要求对内部控制,特别是财务报告内部控制有效性进行评价。美国的法律特别重视公司的信息披露,SOX法案的404条款明确了管理层对内部控制的评价;SEC在SOX法案之后提出了“财务报告内部控制”的概念,它针对与财务报告可靠性有关的内部控制提出强制性披露。英国要求董事会发表对内部控制的声明,1994年Cadbury委员会在其发布的名为《内部控制和财务报告》的报告中要求,公司的董事会公布一份有关其内部财务控制制度的声明,它鼓励但不要求董事会对内部财务控制制度的有效性发表意见;根据英国内部控制框架《Turnbull报告》,董事会需要发布对内部控制的声明。在日本,企业会计协会下属的内部控制委员会2005年出台了关于内部控制的相关建议性文件,文件中明确规定管理层在年底前对公司层面和过程层面的内部控制进行评价,并提交关于财务报告内部控制有效性的报告。
(七)外部审计师责任的比较
对内部控制外部审计师的责任主要有三个层次,最高的是美国,其次是日本,最弱的是英国。在美国内部控制框架下,审计师要在审计财务报表的同时对公司的财务报告内部控制进行审计,既要评价管理层对内部控制的评价,又要对内部控制的有效性发表意见[3]。在日本,外部审计监管主要是针对与财务报告有关的内部控制,在管理当局对财务报告内部控制有效性进行评价并对外出具评价报告的基础上,由外部公认会计师对该评估报告出具意见,即日本公认会计师只被要求提供间接报告。在英国内部控制框架下,审计师只是对董事会的内部控制声明进行审查,并不需要对公司内部控制系统的有效性出具报告。英国没有扩展外部审计师有关公司内部控制声明的责任。
总体而言,西方发达国家内部控制体系内容比较详细、充实,且相当严谨,实施成效明显。尤其是自COSO报告发布以来,美国内部控制整体框架就成为世界各国研究和建立内部控制的权威性文件,在整个内部控制的发展过程中发挥着重要作用。欧盟及欧洲主要发达国家也各自制定了适合自身国情的内部控制体系,并在提高企业管理水平,降低风险,提高效益等方面取得了成功。发达国家在内部控制理论研究和创造性实践过程中,提出了许多新的观念,取得了重要研究成果和宝贵经验,为我国内部控制标准体系建设提供了有益借鉴与启示。
二、我国企业内部控制标准体系建设存在的主要问题
通过对国外内控标准体系建设模式的比较研究,尤其是借鉴美国、英国、日本等较为成熟的内控标准体系建设经验,可以发现,标准制度建设、评价制度建设和内部控制立法是一个国家内控标准体系建设的三大支柱和主要任务。我国内控标准体系于20世纪80年代开始起步,在近二十年间取得了长足的发展,已经初步形成一套具有中国特色的内控标准体系雏形,但也存在一些问题。
(一)内部控制标准制度建设根基扎实,但标准尚未统一
首先,内部会计控制标准为内控标准体系建设奠定了良好基础。1999修订的《会计法》,第一次以法律形式对建立健全内部控制提出原则要求,财政部随即连续制定发布了《内部会计控制规范——基本规范》等7项内部会计控制规范,成为国内迄今为止最为普及的内部会计控制标准。但是,随着市场经济的发展和企业环境的变化,单纯依赖会计控制已难以应对企业面临的风险,会计控制标准必须向全面的业务控制、风险控制标准发展。其次,有关监管部门制定的控制标准不统一,执行存在一定难度。国内有关监管部门在出台内控监管评价规则的同时,原则性地提出了针对上市公司、中央企业、商业银行、证券公司、保险公司、寿险公司等特定企业的内控标准,但未具体化到操作层面。对于一些具有多重身份的企业,如上市央企、上市国有商业银行等,在执行内控监管评价规则时,需要同时满足不同身份的控制标准要求,这既增加了企业负担,又大大提高了监管成本。
(二)企业信息与沟通机制不健全,影响了内部控制的执行效力
信息与沟通是企业执行内部控制制度的主要载体或手段。政府出台内部控制相关法律、法规与规范,以及企业据此设计和运行的现有的内部控制政策程序的合理性、有效性存在的问题,都要通过信息与沟通在企业各级之间传递,从而合理保证政府出台与企业设计和实施内部控制的政策和程序的合理性与有效性,对存在的问题进行分析,并设计和实施有效的政策和程序加以整改。一个良好的信息系统要能够合理保证组织中的每个人均清楚地知道其所承担的责任,以及与之相关的权力与利益。但是,目前政府出台的内部控制相关法律、法规与规范和企业制订的内部控制政策与程序,没有足够重视这一点。在缺乏有效的信息反馈与沟通机制时,内部控制制度设计的合理性和实际执行的有效性及其存在的问题无法得到及时的反馈与沟通,导致内部控制制度形同虚设。存在这种现象的原因主要有两个方面:一是按职能、事业部等设置企业的组织机构,缺乏有效沟通机制等阻碍了信息的有效传递与沟通。企业应当建立健全信息传递和反馈机制,以合理保证企业控制政策与程序的贯彻实施。二是我国大部分企业信息管理系统较为落后,信息系统的好坏直接影响到企业内部控制的效率和效果。企业应建立一个信息管理系统,以处理来自企业内、外部的信息。
(三)内部控制制度执行不力,外部监督乏力
现在国内企业有一种普遍的偏差认识,认为内部控制不能直接产生经济价值,其效益往往需要较长周期才能体现,而且需要企业增设岗位,制定大量规章制度,增加业务环节和办事程序,从而大大增加了企业的成本。这一认知的直接后果就是企业的内部控制制度往往流于形式,有制度不执行,有执行不评价,有评价不合理。我国大部分企业的内控实践表明,内部控制监督部门在履行内部控制监督职责时,没有将内部控制监督结果与被监控单位及个人的绩效考核情况进行有机的结合,使监督工作失去效率性与权威性。监督部门编制检查报告的及时性、准确性和针对性还有待进一步加强和改进,对于发现的内控缺陷未能及时进行整改,也没有对整改进展和结果进行跟进和跟踪检查,往往是只有检查没有结果。内部控制制度在企业内部执行不力,有很大一部分原因应当归咎于外部监督的缺失。一是政府监督的功能交叉、标准不一,加之分散管理、缺乏沟通,未能形成有效的合力;二是外部监督没有按照设定的目标顺利进行,再加上个别市场黑幕交易,导致政府监督弱化,对企业内部控制存在问题更是不追究、不处罚;三是企业内部控制审计机构(通常是会计师事务所)不规范的执业环境和不正当的竞争方式,使其内部控制审计质量备受质疑,“经济警察”的作用无法得到有效发挥。
(四)内部控制评价制度建设开始起步,相关配套措施有待完善
近年来,审计署、国资委、证监会、银监会、保监会以及上海、深圳证券交易所等从行业监管角度对加强内部控制提出明确要求,陆续发布特定行业内部控制评价办法。在过去一段时间内,中国证监会和两家交易所借鉴国外尤其是美国的做法,开始推动国内上市公司实行内部控制自我评估制度和注册会计师审计自我评估报告制度。但是,由于缺乏相应的内部控制标准,造成企业在进行内部控制自我评估时无所适从,也导致注册会计师在进行内控审计评价时难以入手。
三、我国企业内部控制标准体系基本框架的构建
(一)构建我国企业内部控制标准体系的基本原则
研究、制定企业内部控制标准体系,是一项政策性、专业性、社会性都很强的工作,需要把握好以下基本原则:
1.立足国情,借鉴国外实践成果
随着经济全球化,内部控制制度已日益成为企业进入资本市场的“准入证”和“通行证”。西方发达国家内部控制体系内容比较详细、充实,且相当严谨,实施成效明显。但目前国际上尚未形成统一、权威、各国普遍认可的企业内部控制制度,各国都在积极探索,不断修订完善,并相互借鉴和创新。自美国《萨班斯——奥克斯利法案》出台后,世界许多国家都开始研究制订本国的内部控制制度。对美国的《萨班斯——奥克斯利法案》,各国并不是简单的照单全收,而是结合本国实际,从维护和完善本国资本市场利益的角度,确定对企业内部控制的要求程度;但在制定内部控制框架参考体系中,却充分借鉴和吸收了美国COSO报告基本内容。发达国家内部控制体系与规范有其先进性、科学性和合理性,既不能简单排斥,也不能简单移植,应当结合本国实际合理吸收。建议应当广泛开展国内外内部控制方面的研究,加强国际交流合作,合理借鉴和吸收国外先进做法和经验,洋为中用,少走弯路,制定和完善我国企业内部控制标准体系。
2.突出重点,解决问题
经过多年的发展,内部控制涉及的领域已非常广泛,覆盖公司层面、业务层面的几乎所有活动,远远突破原来的内部牵制、会计控制的范围。但作为由政府部门制定的企业内部控制标准体系,如果一开始就面面俱到、事无巨细,可能事倍功半,难于操作。只有选择现阶段企业存在的突出问题和市场经济难以解决的问题加以规定,才能做到重点突出,才能取得突破,并带动其他方面逐步规范起来。因此,在倡导有条件的企业根据市场自由竞争的需要建立全面内部控制和全面风险管理的同时,根据多数企业的意见,借鉴国际有关做法,提出对有义务对外披露财务报告的企业,至少需确保财务报告的真实可靠。现阶段应当侧重规范企业管理行为,保障财务会计信息与资产的安全,提高对外披露的财务报告真实性。从长远来看,内部控制制度的目标应从保障财务信息的真实与资产安全,向促进企业贯彻落实战略、提高运营效率等方面延伸,逐步实现与国际惯例的完全趋同。
3.遵循成本效益原则,注重实施成本
内部控制要建立在成本与效益原则的基础上。内部控制并不是要消除任何滥用职权的可能性,而是要建立一种能防范滥用职权的机制。因此,没有无成本的内部控制,也不存在完美无缺的内部控制。COSO报告认为,不论内部控制制度的设计及执行多么完美,内部控制都只能为管理阶层及董事会提供实现企业目标的合理保证。欧盟许多国家既吸收美国内部控制的合理部分,又非常注重企业内部控制建设的成本与效益。因此,我们在设计内部控制标准体系时,不能只考虑理论上尽善尽美,还必须考虑其是否合理和适用,从而达到效益与成本的均衡。我国企业内部控制基础较为薄弱,强制要求企业统一按照基本规范、系列具体指南等要求建立内部控制制度,会大大增加企业的负担。应当充分考虑企业的接受程度和承受能力,考虑实施成本,由企业根据实际情况,本着成本效益原则,科学合理地构建并实施企业内部控制制度。现阶段,应当大力宣传普及内部控制先进理念和方法,重点引导企业重视和加强内部控制标准建设。
4.循序渐进,分步实施
企业的内部控制是一个不断发展和不断完善的过程,是受管理体制、管理观念和管理习惯影响的结果。制定和设计企业内部控制制度,是一个系统工程,涉及企业业务流程再造,机构与人员的重新整合需要投入大量的人、财、物力。这不是哪一个部门能够独立完成的,也不是仅靠外部力量推动就能达到效果的。因此,我国企业内部控制建设,必须切合企业自身的情况,不可能一开始就要求做到面面俱到,需要循序渐进,分步骤、分层次地进行。我国企业千差万别,其内部控制基础参差不齐,不能一蹴而就。我国上市公司和国有大中型企业涉及资本市场的稳定和公众利益,且管理基础较好,人员素质较高,建立本企业的内部控制制度,既有外部要求,也有内在的动力。因此,建议当前要以我国上市公司、金融企业和国有大型企业为重点,率先执行基本规范和具体指引。要结合财务会计报告审计工作,探索建立内部控制自我评估、强化披露机制和注册会计师专项审计制度,硬化制度要求,强化监管服务。
(二)构建我国企业内部控制标准体系的总体设想
立足构建我国企业内部控制标准体系的基本原则,为妥善处理好内部控制标准体系制定过程中的若干关系,企业内部控制标准体系框架至少应涵盖以下几方面的内容:内部控制目标、内部控制范围、内部控制标准、内部控制评价以及内部控制报告,并应当在财政部联合有关部门制定的《企业内部控制规范》中予以确立。
1.内部控制的目标在于帮助企业适当地管理和控制风险[4]
世界各国有关内部控制具体目标的差异主要体现为“三目标”、“四目标”和“五目标”,但在对内部控制终极目标的认识上,各国却已经形成了共识,即内部控制是企业风险管理的工具,旨在帮助企业适当地管理和控制风险,而非消除风险。一套健全的内部控制有助于保护投资者的利益和企业的资产,促进经营的效率和效果,有助于确保可靠的内部和外部报告,有助于遵守法律和规章制度,最终实现对企业风险的合理控制。注重风险防范,以风险为本的内部控制,是当今世界各国的共识。而我国企业对风险管理的方法和技术重视不够,对风险的认识停留在表面上,更没有建立起完善的基于风险的内部控制框架,致使企业风险得不到有效控制。为此,我国现阶段应致力于建立基于风险管理目标的内部控制基本框架,将内部控制的具体目标、基本原则、要素标准等整合为一个有机的整体,突出基本框架中的风险观点。
2.内部控制标准的设计应当以原则导向为主,同时兼顾最高标准和最低标准
内部控制标准是指对内部控制各组成要素应当达到的水平或程度做出具体规定,如权责应当如何分配、审计委员会应当如何设置等等。内部控制标准设计是构建内部控制基本框架过程中的核心部分,主要涉及两个问题:第一,内部控制标准应当是原则导向还是规则导向;第二,内部控制标准应当设计为最高标准还是最低标准。
在会计准则的制定上一直以来就存在规则导向与原则导向之争,在制定内部控制标准时也存在这一问题。目前世界各国在构建内部控制基本框架过程中,普遍选择原则导向的设计思路,我国在这点上可以与国际趋同,着重对内部控制各组成要素做出原则性规定,对其中较为抽象的、国内企业较难理解的要素可在原则性规定的基础上,适当增加规则性表述。我国在构建内部控制基本框架过程中,应当熟练掌握原则导向和规则导向的技巧,尽力提升内部控制基本框架的含金量和可接受度。
最高标准和最低标准是内部控制设计过程中遇到的第二个难题。西方国家目前偏向于设计内部控制的最高标准,即所谓的“高级的内部控制要求”。我们理解,高标准给予企业一个较高等级的标杆,可以鼓励和刺激企业向高水平的风险管理和内部控制迈进。但与此同时,高标准也有一定的风险,内部控制标准设计过高,一般企业无法做到,很可能导致标准设计流于形式。鉴于此,内部控制标准设计应当同时兼顾最高标准和最低标准,对于那些国际上通行的、对提升企业经营管理水平确有帮助的内控做法,应当设计出最高标准,要求企业向高标准靠拢,提升管理水平和参与国际竞争的能力;对于那些国家法律法规有明确规定的、企业必须要遵循的业务或事项,宜设计为满足法律规定的最低标准,并且要求企业必须做到,从而维护法律的严肃性,帮助企业有效规避违规风险。
3.现阶段内部控制评价应当以企业内部评价为主,外部评价为辅[2]
内部控制评价是企业内部控制基本框架中的重要环节,包括内部评价和外部评价。一般认为,只有当内部控制失效,严重影响投资者和社会公众利益时,外部评价才是必要的。在内部控制法律监管较松的国家,如英国、法国,内部控制评价以企业内部评价为主,主要由董事会或管理层定期对本单位的内部控制有效性进行评价并出具相应的董事会声明或管理层声明,以帮助外部投资者或监管部门了解本单位的内部控制水平。在这些国家,外部评价仅是内部评价的辅助工具,主要对内部评价的结果进行复核。而在内部控制法律监管较严的国家,如美国,外部评价成为内部控制评价主要方式,包括注册会计师对内部控制自我评估结果的审计评价和注册会计师对企业内部控制有效性的独立审计评价。外部评价无疑在力度和惩罚措施上都远远高于内部评价,但相应的也会带来高昂的评价成本,因此需要谨慎地权衡外部评价成本和可能带来的效益。
我国目前的内部控制法律监管环境较为宽松,且内部控制建设刚刚起步,对企业应更多采用疏导和鼓励政策,而非实施强制和惩罚措施。因此,现阶段我国内部控制评价仍应以内部评价为主,要求企业董事会至少每年对内部控制系统的有效性进行一次审查,并向股东大会报告。董事会内部评价应当涵盖所有重要的控制,包括财务、经营和遵从控制以及风险管理系统的运行效果。如有必要,企业可以聘请外部审计师对本单位的内部控制有效性进行评价,但审计师的评价工作不应代替企业董事会自身对内部控制的责任。至于何时实施外部评价为主的内部控制评价制度,则应取决于我国资本市场的发育程度和外部利益相关者的实际需要。
4.财务控制是内部控制的重要组成部分,但不是内部控制的全部
有效的财务控制是内部控制的一个重要构成要素,它能帮助企业规避财务风险,有助于确保企业内部和外部财务报告信息的可靠性,有助于保护企业资产,防止和发现舞弊。但是,财务控制并非企业内部控制的全部,在某些情形下甚至不是企业内部控制的绝对重点。在基于风险管理的内部控制理念中,有效的内部控制应当能够帮助企业对重要的商业风险、经营风险、遵循风险和其他实现企业目标的风险做出适当的反应,而不仅仅是对财务风险做出反应。为此,我国内部控制基本框架的构建应当涵盖企业所有重大的风险事项,不宜突出强调对财务报告风险的控制。对于有财务报告对外披露义务的企业,则应要求其在全面内部控制的基本框架下,至少应当满足财务报告内部控制的目标。
5.内部控制报告包括内部报告和对外披露,对外披露的主要目的是帮助投资者和社会公众理解企业的风险管理过程和内部控制水平[5]
内部报告是指企业管理层及时将内部控制实施情况报告董事会,由董事会进行复核并出具声明。内部报告有两个目的:一是促使董事会及时了解企业的内部控制水平和主要缺陷及其处理情况;二是明确董事会对内部控制的最终责任。董事会出具的内部控制声明应当作为年度报告的一部分予以对外披露,披露的内容一般包括:企业存在一个识别、评价和管理所有重要风险的内部控制制度和程序;内部控制制度和程序在本年度以及年度报告批准日为止安排得当;内部控制制度和程序由董事会定期审查,并与内部控制基本框架规定的内部控制标准一致。
标签:内部控制论文; 财务报告论文; 企业内部控制评价指引论文; 内控体系建设论文; 内控管理论文; 内部控制缺陷论文; 管理控制论文; 目标成本论文; 沟通管理论文; 管理风险论文; 风险成本论文; 风险内控论文; 管理成本论文; 风险评价论文; 过程管理论文; 有效市场论文; 董事会论文; coso论文;