解读《企业内部控制基本规范》,本文主要内容关键词为:内部控制论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
2008年6月28日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称基本规范)。基本规范自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。毫无疑问,基本规范的发布对于大中型企业特别是上市公司的内部控制制度建设,提高其经营管理水平和风险防范能力都有着重要意义。但也应认识到我国内部控制在规范体系建设和企业具体实施方面都任重道远,基本规范的制定与执行也绝对不是一蹴而就的过程。本文就基本规范的法律地位、内容建设以及与具体规范之间的关系谈谈自己的看法。
一、关于基本规范的法律地位
我国内部控制的理论与实务均受到《萨班斯——奥克斯利法案》(SOX)和特雷威德委员会的发起组织委员会(COSO)所发布系列报告的深远影响,而后者被认为是内部控制理论的最权威成果。从基本规范中亦可以看到COSO相关报告的影响,其中所采用的内部控制五要素与COSO1992年发布的《内部控制——整体框架》大致相当。但是从《企业内部控制基本规范》在我国法律法规体系中的地位来看,其与COSO报告有很大差异。
基本规范的第一章第一条:“根据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规,制定本规范”表明了基本规范的法律依据,但是与《会计法》明确规定了统一会计制度的地位(即《会计法》第八条“国家实行统一的会计制度。国家统一的会计制度由国务院财政部门根据本法制定并公布”)不同,《企业内部控制基本规范》的地位在《公司法》、《证券法》和《会计法》中并没有得到明确的规定,上述三部法律中关于企业内部控制的规定几乎是空白的(仅有《会计法》对建立健全内部控制提出了原则要求)。基本规范的强制性在于财会[2008]7号通知中指出“……财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》,现予印发,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。”
在美国,与上市公司相关的内部控制法律规范体系是这样构成的:《萨班斯——奥克斯利法案》中的部分条款(如404条款等)与上市公司的内部控制相关,为了遵循该法案的内部控制报告要求,美国证券交易委员会(SEC)参考COSO的相关成果对内部控制进行定义并制定了相关的规则(如S-K规则中的307条款等)以规范上市公司关于内部控制的报告,同时上市公司会计监管委员会(PCAOB)也参考COSO的相关报告成果制定了相关的审计准则。2004年7月,SEC批准了PCAOB的第2号审计准则“协同财务报表审计来开展对财务报告的内部控制的审计”,该准则对于独立审计人员实施内部控制审计提供了权威性指南。
图一 美国上市公司内部控制法律规范体系
事实上,著名的COSO报告名义上并不是美国与上市公司相关的内部控制法律规范体系的构成部分,而仅仅是发起组织委员会(COSO)的关于内部控制的重要研究成果。但《内部控制——整体框架》也是权威部门和组织最常用的评估内部控制效果的标准,美国证券交易委员会(SEC)在制定相关规则以及PCAOB在制定第2号审计准则时都将COSO报告作为重要基础。COSO内部控制框架是SEC唯一推荐使用的内部控制框架,同时SOX404条款的“最终细则”也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。但COSO报告在SOX相关细则、SEC相关规则和PCAOB相关审计准则中的地位并非一开始就有的,起初COSO报告也并未得到广泛认同,1993年AICPA下属的公众监督委员会(POB)就建议SEC要求在证券交易所登记的公众公司的管理层在其年度财务报告(向股东发布的年度报告)中包含一份与财务报告有关的公司内部控制系统有效性的报告。其就是想将COSO的内部控制标准用于有效性的评价,但当时SEC并没有采用这个建议。美国审计总署(GAO)也曾对《内部控制——整体框架》的许多方面提出过批评,并指责这个框架有严重缺陷,其内部控制定义中缺乏保障资产的概念,还认为这个框架对内部控制重要性的强调不够,丧失了改善内部控制监督和评估的机会。
由此看来,COSO报告名义上在美国上市公司内部控制法律规范体系中并不具备有什么法律地位,但是在美国上市公司管理层关于财务报告的内部控制报告中基本上都可以看到这样的语句:“……为了做出这种评估,我们使用了由特雷德威委员会的发起组织委员会(COSO)发布的《内部控制——整体框架》中所描述的作为财务报告的有效内部控制的标准。”同时,在SOX相关细则、SEC相关规则和PCAOB相关审计准则中COSO报告也基本作为唯一推荐使用的内部控制框架,这使得COSO报告在实质上具有很高的法律地位。
反观我国的基本规范,虽然由财政部会同证监会、审计署、银监会、保监会共同颁布,并且在财会[2008]7号通知中也指出自2009年7月1日起在上市公司范围内施行,但是并没有法律规定其地位。由现行相关规范如:《中央企业财务内部控制评价工作指引(2007年度试行)》、《上海证券交易所上市公司内部控制指引》、《深圳证券交易所上市公司内部控制指引》、证监会发布的《证券公司内部控制指引》、银监会发布的《商业银行内部控制指引》和财政部原有的《内部会计控制规范——基本规范》等之间的关系便可看出。而正因为COSO报告并没有名义上的法律地位,这事实上保持了关于上市公司内部控制相关规范在法律上的严肃性和稳定性,而同时又因为COSO报告的不断改进和进一步细化而保持了上市公司内部控制具体实施的灵活性和不断进步,而我国基本规范的制定则没有保持这样的余地,这不仅与基本规范的法律地位有关系,也与基本规范的内容相关,具体将在下文进行分析。
二、关于基本规范的内容
我国企业内部控制标准委员会在《企业内部控制规范起草说明》中提到:“我们在起草过程中合理借鉴了以美国COSO报告为代表的国外内部控制框架,并根据我国国情进行了较大调整和改进。对国外内部控制框架,尤其是COSO框架的借鉴,主要体现在基本规范中。基本规范在形式上借鉴了COSO报告五要素框架,同时在内容上体现了风险管理八要素框架的实质。主要考虑是:内控基本框架,好比会计要素一样,都存在国际趋同问题,借鉴国际上较为成熟的内控框架,能够使我们一开始就站在一个较高的起点上,并为我国境外上市公司,特别是在美上市公司符合上市地内控监管要求提供有益参考。至于是五要素还是八要素,综合考虑,五要素框架相对较成熟、较稳定,包括美国证监会等推荐、参照的框架仍是五要素框架,同时,从长远发展趋势看,也应适当体现八要素框架的先进理念”。因此,所颁布的基本规范为七章,包括总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。除了第一章总则对规范的适用范围、内部控制的定义、应遵循的原则等作出相关规定外,其余部分基本围绕内部控制五要素进行。
的确,COSO风险管理八要素框架目的在于对管理层识别并管理企业范围内的风险提供流程指南,该框架无意取代或以别的方式修正以前的内部控制五要素框架。内部控制包含在企业风险管理中,是企业风险管理不可或缺的组成部分。在内部控制的相关概念上,二者保持了一致与连贯。但是应该看到,从美国会计师协会(AICPA)的审计程序委员会1958年发布的《审计程序公告第29号——独立审计人员评价内部控制的范围》中两要素的划分,到1988年《审计准则公告第55号——会计报表审计中对内部控制结构的关注》,提出内部控制结构包括控制环境、会计制度和控制程序等三个要素,再到COSO内部控制整体框架的五要素和企业风险管理框架的八要素,关于内部控制要素的研究与实践本身就是一个不断发展和演进的过程。
结合经济学的理论来看,内部控制要素的具体内容甚至COSO报告均是技术性的,而SOX则是制度性的。在SOX之前,对于投资公众的保护主要着重于报告结果即向公众提供公允、透明的财务结果,让其了解这些结果的必要信息。而SOX规定除了财务结果之外,管理层还要分析并评价报告这些结果所采用的流程和控制的质量,这个过程实质上就是一种制度的变迁。按照新制度经济学的观点,制度变迁是经济增长的真正动因,技术进步只不过是经济增长的表现形式而已。制度有两层基本含义:其一,制度是行为规则,决定着人们在经济发展过程中能够与不能够做什么事;其二,制度是人们结成的各种经济、社会、政治等组织或体制,决定着一切经济发展活动和各种经济关系展开的框架。同时经济学家们也发现:在许多情况下,技术进步的速度往往快于制度变迁的速度。正如上文所述,SOX作为一种制度安排具有法律上的严肃性和稳定性,但与内部控制相关的技术又是不断发展的,因此又必须保持企业内部控制具体实施的灵活性和不断进步,技术性的COSO报告则很好地担当了这个角色。
由此来分析我国基本规范的内容:第一章基本是制度性的,而第二章至第六章则主要是技术性的,其可能出现的问题就是:随着我国内部控制理论和实务的不断发展,第二章至第六章的内容必须要作出相应调整,否则就无法反映与内部控制相关的技术进步。而频繁调整是与一项基本规范的定位不相符合的。因此,基本规范究竟定位于制度安排还是定位于技术应明确,同时其内容应该与其定位相符合。
三、关于基本规范与具体规范的关系
根据我国企业内部控制标准委员会在《企业内部控制规范起草说明》中的规划,我国的企业内部控制规范体系由基本规范、具体规范和应用指南构成。具体规范的设计主要以财务报告内部控制为主线,初步拟定为26项。其中,17项已起草完成并对外公开征求意见;9项正在抓紧研究起草之中。这些具体规范,可以概括分为以下三类:第一类是对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项提出具体要求的控制规范;第二类是与财务报表编报相关的控制规范,包括财务报告编制、公允价值、关联交易、信息披露等;第三类是为实现有效的财务报告内部控制所必需的事前、事中和事后制度支持的控制规范,包括预算控制、人力资源控制、计算机信息系统控制、审计监督控制等(具体见图二)。
图二 我国内部控制具体规范的构成
具体规范的制定是一项非常复杂和艰巨的工作,因为内部控制活动在不同所有制形式、不同组织形式、不同业务范围、不同规模的企业之间存在着很大的差异性,而规范是以共同性为前提的,如果不存在充分的共同性,则规范即使制定出来,在实践中也是无法实施的。世界各国制定内部控制规范主要存在两种类型:一是以美国COSO为代表在基本框架的基础上制定内部控制具体规范;二是以加拿大和我国为代表的在具体业务层次上制定内部控制具体规范。COSO以应用技术(Application Techniques)或指南(Guidance,如最新发布的Guidance on Monitoring Internal Control Systems)为指导具体应用的主要形式,同时,其应用技术或指南均紧紧围绕《内部控制——整体框架》中的五要素或《企业风险管理框架》中的八要素。我国是直接对应会计报表项目和企业的业务流程设立和制定,而且在这些条款中都对岗位设立和职责分工、按业务流程设计控制环节、控制项目的关键控制环节或风险控制要点作出了比较具体的规定,同时也考虑了部分控制要素的内容,如控制环境中的人力资源政策和内部审计。
不可否认,在我国企业内部控制水平良莠不齐、内部控制基础十分薄弱的情况下,具体规范主要直接对应会计报表项目和企业的业务流程,具有较强的针对性、可操作性和可应用性,有利于我国企业树立规范的内部控制意识和奠定扎实的内部控制基础。但也存在以下几个与基本规范不尽符合的缺陷:一是与基本规范中的内部控制目标不符。基本规范第三条指出“内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略”。而大部分具体规范的目的还在于查错防弊、保证财产安全和财务报告及相关信息真实完整,很少有具体规范能与“提高经营效率和效果,促进企业实现发展战略”相关。二是内容上的不符合。我国《企业内部控制基本规范》、《中央企业财务内部控制评价工作指引》、《上海证券交易所上市公司内部控制指引》、《深圳证券交易所上市公司内部控制指引》、《证券公司内部控制指引》和《商业银行内部控制指引》均以五要素或八要素作为主要内容。五要素作为一种整体观点是对内部控制活动全面立体的划分,其重要特征为单个要素是以非线性方式紧密联系的,每个要素都和其他要素有关系,并且影响其他要素发挥作用。而我国具体规范则以企业财务报表项目相关、与财务报表编报相关和实现有效的财务报告内部控制制度支持相关等作为具体规范的主要内容。其对内部控制的划分是平面和线性的,因而导致划分项目非常复杂(初步拟定为26项)且不全面。同时这也可能导致企业的实施成本偏高。三是地位关系上的不符合。基本规范对于具体规范而言应该是统驭与指导,具体规范对于基本规范而言应该是细化与具体化。而从目前来看,基本规范与各具体规范的内容之间并不存在直接的统驭和指导关系,这可能会导致企应用基本规范主要内容时遇到困难,还可能导致独立审计人员对内部控制报告鉴证的困难。
四、总结
如上所述,基本规范虽然可能存在着诸多问题,但其发布无疑对企业和资本市场的发展有着重要的积极意义。理论界和实务界都应该积极行动起来,深入研究我国内部控制规范体系,进一步制定和具体实施,以保证其顺利贯彻实行。财政部副部长王军在基本规范发布时也强调,下一阶段要重点抓好实施准备工作、宣传培训、健全内控规范体系、建立内控标准体系、推进内控国际趋同和发挥体系联动效应等六方面的工作。本文认为应亟待加强以下几方面的工作:
一是如何低成本地推进内部控制规范体系在企业的贯彻实施。美国公司执行委员会(CEB,Corporate Executive Board)下属的CFO执行委员会(CFO Executive Board)2005年发布了一项概括遵循《萨班斯法案》的真实成本和收益的报告表明:除非公司的高级经理采取特别的手段来确保SOX404的遵循工作不会挤占管理活动和研发投入,否则SOX404的要求就会对经济增长和创造就业机会带来威胁。报告还明确地指出由于执行SOX404,未来三年中将阻碍超过30万个工作岗位的创造以及导致GDP增速放慢近0.5%(当然,报告也指出《萨班斯法案》对于重建“后安然时代”投资者的信心起到了至关重要的作用。同时15%的公司发现了内控流程中的实质性缺陷,这意味着SOX提升了财务报告的可靠性)。因此,低成本地推进内部控制规范体系在企业的贯彻实施对于内部控制规范体系能否有效得到执行异常重要。而实际上,低成本实施却并非一件易事,可能涵括了规范制定、人力资源、教育与培训、IT技术(如内部控制软件等)和高效鉴证等诸多方面的因素。
二是进一步深入研究内部控制理论体系。COSO报告的缺陷之一就在于缺乏严谨的概念结构和完整的理论体系,我国在这方面的研究也较薄弱。但内部控制理论体系的建设对于规范体系的建设犹如基石,不可或缺。
三是关于内部控制规范体系的科学制定问题。结合前文所述问题,建议在基本规范统驭下增加“应用技术”规范,以利于基本规范主要内容的贯彻实施。同时当前还应加强内部控制鉴证业务规范的制定工作,否则基本规范和具体规范的有效执行将无法得到保证。
标签:企业内部控制基本规范论文; 财务报告论文; coso论文; 企业内部控制评价指引论文; 内部控制目标论文; 内部控制缺陷论文; 法律制定论文; 财会论文; 法律论文; coso内部控制论文;