時間:2023-03-10 15:03:32
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇內部控制基本規范范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
2008年6月28日,財政部、證監會、審計署、銀監會、保監會在北京聯合召開企業內部控制基本規范會,會議了《企業內部控制基本規范》(以下簡稱《基本規范》),自2009年7月1日起先在上市公司范圍內施行,鼓勵非上市的其他大中型企業執行。
《基本規范》在企業內控體系中處于最高層次,起統馭作用,描繪了企業建立與實施內控體系必須建立的框架結構,規定了內部控制的定義、目標、原則、要素等基本要求,是制定應用指引、評價指引、鑒證指引和企業內部控制制度的基本依據。《基本規范》的頒布實施,必將對我國企業及資本市場的發展產生深遠影響。
內控是為了企業的生存發展而存在的,是促成企業目標實現的一種重要方法和手段,內部控制的目的是在合理的范圍內保證企業基本目標的實現。盈利是企業生存和發展的基礎,如果不能盈利,就連自身的生存都難保證,其他目標更無從談起。企業要想實現盈利,就必須控制風險,必須建立有效的內控體系。企業要改善現有的管理水平,就必須借助于內控體系,完善的內控體系是促進管理落實的手段,可以促進企業實現發展目標。
同時,健全有效的內部控制,有利于提高財務信息質量,提升財務報告的有效性,這對于保證投資者對高質量財務信息的需求,體現資本市場“公開、公平、公正”的原則,保護投資者合法權益具有至關重要的意義;有利于上市公司遵守國家法律、法規、規章及其他相關規定,堵塞管理漏洞,保障公司資產的安全,有效提高公司風險防范能力,減少乃至避免舞弊事件的發生;有利于提高經營效率和效益,提升企業經營管理水平、盈利能力和持續發展能力,增強公司競爭力,從而提高上市公司質量,最大限度地回報股東和社會。
面對國際市場日趨激烈的經濟競爭環境,我國企業要“走出去”,進入國際產業和資本市場投資,必須苦練內功、強化內控、防范風險,這樣才能立于不敗之地。可以說,企業內控體系的建立與實施,為我國企業“走出去”提供了“安全網”和“防火墻”。
實施《基本規范》對企業提出了諸多要求。
在以人為本的現代化企業管理中,員工的地位日趨重要,員工也越來越看重工作的環境,特別是軟環境,比如:企業文化、管理理念、管理層是否關注員工的工作和日常生活以及員工的職業生涯發展等。另一方面,制度再周全也不可能凡事都規范到位,制度可以規定員工出工,但無法規定員工出力。因此,企業管理控制的核心是企業中的人及活動,只有提高了人的主觀能動性,才能加強內部控制實施效果。
企業文化作為一種無形的精神力量與源泉,影響著企業員工的思維方式和行為活動。優秀的企業文化可以促進企業發展,防止企業衰敗;不良的企業文化也可能阻礙企業發展,甚至導致企業倒閉。因此,企業必須培養自身的優良文化,將企業文化與內控制度的建立有機的結合起來,從而更好地推動企業發展。
職業道德屬于非法律性質的道德范疇,不履行職業道德并不一定違法,但是職業人如不履行職業道德,必將遭到淘汰。公司應提供職業道德方面的指導,使所有員工在日常或特定的環境下能保持正常的判斷;制定公司的行為準則,并傳達給全體員工,將員工不誠實和不講道德標準的動機與機會降到最低。職業道德有許多范疇,不同崗位的人員職業道德不一定相同,《國際會計職業道德準則》中對會計從業人員提出8條準則,內容包括:廉正、客觀、獨立、保密、技術標準、業務能力、工作勝任、道德自律。我國《會計法》第39條也規定會計人員應當遵守職業道德,提高業務素質。提高員工的職業道德特別是財務人員的職業道德將有助于企業內控制度的建立與實施。
企業內部控制體系的構建是一項重大而復雜的系統工程,在這個過程中我們要牢牢把握住正確的發展方向,實施過程中應注意以下幾方面。
1.立足國情、符合實際
內部控制構建的基本前提是要從我國實際國情出發,符合我國法制意識、制度基礎、風險理念、經營風格等方面特點,扎根于我國經濟、社會、法律、文化環境和企業實踐。我國在建立完善社會主義市場經濟體制過程中,形成了有別于資本主義市場經濟的成熟經驗和做法。因此,我國的內部控制體系的建設應當更多地消化總結自身的成功經驗,與國家有關法律法規相協調,與國家經濟發展戰略相協調,與企業經營管理實踐相協調。只有做到立足國情,符合實際才能具有強大的生命力,才能發揮應有的積極作用。
2.把握方向、注意動態
2008年6月28日,財政部、證監會、審計署、銀監會、保監會在北京聯合召開企業內部控制基本規范會,會議了《企業內部控制基本規范》(以下簡稱《基本規范》),自2009年7月1日起先在上市公司范圍內施行,鼓勵非上市的其他大中型企業執行。
《基本規范》在企業內控體系中處于最高層次,起統馭作用,描繪了企業建立與實施內控體系必須建立的框架結構,規定了內部控制的定義、目標、原則、要素等基本要求,是制定應用指引、評價指引、鑒證指引和企業內部控制制度的基本依據。《基本規范》的頒布實施,必將對我國企業及資本市場的發展產生深遠影響。
內控是為了企業的生存發展而存在的,是促成企業目標實現的一種重要方法和手段,內部控制的目的是在合理的范圍內保證企業基本目標的實現。盈利是企業生存和發展的基礎,如果不能盈利,就連自身的生存都難保證,其他目標更無從談起。企業要想實現盈利,就必須控制風險,必須建立有效的內控體系。企業要改善現有的管理水平,就必須借助于內控體系,完善的內控體系是促進管理落實的手段,可以促進企業實現發展目標。
同時,健全有效的內部控制,有利于提高財務信息質量,提升財務報告的有效性,這對于保證投資者對高質量財務信息的需求,體現資本市場“公開、公平、公正”的原則,保護投資者合法權益具有至關重要的意義;有利于上市公司遵守國家法律、法規、規章及其他相關規定,堵塞管理漏洞,保障公司資產的安全,有效提高公司風險防范能力,減少乃至避免舞弊事件的發生;有利于提高經營效率和效益,提升企業經營管理水平、盈利能力和持續發展能力,增強公司競爭力,從而提高上市公司質量,最大限度地回報股東和社會。
面對國際市場日趨激烈的經濟競爭環境,我國企業要“走出去”,進入國際產業和資本市場投資,必須苦練內功、強化內控、防范風險,這樣才能立于不敗之地。可以說,企業內控體系的建立與實施,為我國企業“走出去”提供了“安全網”和“防火墻”。
實施《基本規范》對企業提出了諸多要求。
在以人為本的現代化企業管理中,員工的地位日趨重要,員工也越來越看重工作的環境,特別是軟環境,比如:企業文化、管理理念、管理層是否關注員工的工作和日常生活以及員工的職業生涯發展等。另一方面,制度再周全也不可能凡事都規范到位,制度可以規定員工出工,但無法規定員工出力。因此,企業管理控制的核心是企業中的人及活動,只有提高了人的主觀能動性,才能加強內部控制實施效果。
企業文化作為一種無形的精神力量與源泉,影響著企業員工的思維方式和行為活動。優秀的企業文化可以促進企業發展,防止企業衰敗;不良的企業文化也可能阻礙企業發展,甚至導致企業倒閉。因此,企業必須培養自身的優良文化,將企業文化與內控制度的建立有機的結合起來,從而更好地推動企業發展。
職業道德屬于非法律性質的道德范疇,不履行職業道德并不一定違法,但是職業人如不履行職業道德,必將遭到淘汰。公司應提供職業道德方面的指導,使所有員工在日常或特定的環境下能保持正常的判斷;制定公司的行為準則,并傳達給全體員工,將員工不誠實和不講道德標準的動機與機會降到最低。職業道德有許多范疇,不同崗位的人員職業道德不一定相同,《國際會計職業道德準則》中對會計從業人員提出8條準則,內容包括:廉正、客觀、獨立、保密、技術標準、業務能力、工作勝任、道德自律。我國《會計法》第39條也規定會計人員應當遵守職業道德,提高業務素質。提高員工的職業道德特別是財務人員的職業道德將有助于企業內控制度的建立與實施。
企業內部控制體系的構建是一項重大而復雜的系統工程,在這個過程中我們要牢牢把握住正確的發展方向,實施過程中應注意以下幾方面。
摘 要】企業內部控制體系的構建是一項重大而復雜的系統工程,在這個過程中我們要牢牢把握住正確的發展方向,實施過程中應注意以下幾方面:一是立足國情、符合實際。二是把握方向、注意動態。三是穩步推進、逐步發展。
【關鍵詞】企業內部控制 基本規范
2008年6月28日,財政部、證監會、審計署、銀監會、保監會在北京聯合召開企業內部控制基本規范會,會議了《企業內部控制基本規范》(以下簡稱《基本規范》),自2009年7月1日起先在上市公司范圍內施行,鼓勵非上市的其他大中型企業執行。
《基本規范》在企業內控體系中處于最高層次,起統馭作用,描繪了企業建立與實施內控體系必須建立的框架結構,規定了內部控制的定義、目標、原則、要素等基本要求,是制定應用指引、評價指引、鑒證指引和企業內部控制制度的基本依據。《基本規范》的頒布實施,必將對我國企業及資本市場的發展產生深遠影響。
內控是為了企業的生存發展而存在的,是促成企業目標實現的一種重要方法和手段,內部控制的目的是在合理的范圍內保證企業基本目標的實現。盈利是企業生存和發展的基礎,如果不能盈利,就連自身的生存都難保證,其他目標更無從談起。企業要想實現盈利,就必須控制風險,必須建立有效的內控體系。企業要改善現有的管理水平,就必須借助于內控體系,完善的內控體系是促進管理落實的手段,可以促進企業實現發展目標。
同時,健全有效的內部控制,有利于提高財務信息質量,提升財務報告的有效性,這對于保證投資者對高質量財務信息的需求,體現資本市場“公開、公平、公正”的原則,保護投資者合法權益具有至關重要的意義;有利于上市公司遵守國家法律、法規、規章及其他相關規定,堵塞管理漏洞,保障公司資產的安全,有效提高公司風險防范能力,減少乃至避免舞弊事件的發生;有利于提高經營效率和效益,提升企業經營管理水平、盈利能力和持續發展能力,增強公司競爭力,從而提高上市公司質量,最大限度地回報股東和社會。
面對國際市場日趨激烈的經濟競爭環境,我國企業要“走出去”,進入國際產業和資本市場投資,必須苦練內功、強化內控、防范風險,這樣才能立于不敗之地。可以說,企業內控體系的建立與實施,為我國企業“走出去”提供了“安全網”和“防火墻”。
《企業內部控制基本規范》從制度上對企業特別是上市公司實施內控提供了政策依據,有利于企業與國際接軌,提高國際競爭力,并增強投資者信心。然而,由于現在企業的公司結構治理、內部控制管理,存在諸多問題,需要加以分析找到完善的方法。
一、公司治理與內部控制的相互關系
公司治理是內部控制系統得以運行的條件,又是內部控制有效運行的保證,公司治理機制有效,才能保證不同層次控制目標一致性;內部控制是現代公司內部管理的重要組成部分,健全有效的內部控制制度是實現公司經營目標的有利保障。從心全業內部控制基本規褂可以看出,內部控制是公司治理中關于生產經營方面的延伸和具體化,內部控制的內容統一于公司治理的內容。公司治理是內部控制的制度環境,內部控制能否有效運行,與公司治理是否完善有很大關系。只有在完善的公司治理環境中,好的內部控制系統才能真正發揮作用,提高經營效益和效果,并保證財務報告及管理信息的真實、可靠和完整。企業各利益相關主體依據可靠的會計信息對企業的董事和經理層的業績做出恰當的評價,從而又推動公司治理的不斷完善。
二、我國企業基于公司治理的內部控制現況
我國內部控制目標過于簡單往往單從經營角度出發而很少從治理層面來考慮,因而其更多的是關注合規經營目標,而很少關注經營效率目標,其目標僅僅局限于查錯防弊、會計資料的合法和保證業務的有效進行,而并沒有把戰略性考慮、營運的效率和效果等包含在內。
我國內部控制的研究范圍一般只考慮經營層面上的內部控制,而很少關注治理層面上的內部控制。內部控制研究組織、研究人員主要是會計、審計組織和部門,目的主要是為了在財務審計時提高審計效率,其范圍更多的是放在對企業一般員工和中層管理者以及企業各種物質資源的管理控制上,很少把對高層管理人員的控制納人整個控制系統。
所謂“內部人控制”就是一個企業由不擁有股權或者擁有很少份額的內部人一一經理人員事實上或依法掌握了企業的剩余控制權〔甚至剩余索取權),其直接后果是管理當局以犧牲股東的利益來獲取自身利益的最大化。在我國內部人控制正是數十年放權讓利的后果,內部人控制的必然結果是相當比例的實際利潤以工資、獎金、福利和其他形式變成了管理人員和職工(特別是高管理人員)的額外收人,被記人了企業成本。
三、心色業內部控制基本規褂對公司內部治理的積極影響
(一)明確了保障資產安全的目標
相對于提高經營效率與效果的目標,遵守法律法規、保障資產安全是內部控制的根本,而對于我國大部分的上市公司而言,應將這兩個目標作為完善內部治理的主要目標,只有真正做到了這兩點,才能夠去談如何提高經營效率與效果。通過對現金、固定資產、無形資產以及企業衍生工具等方面的內容加以規定,基本規范對公司資產管理提出了更嚴格和更透明的要求,將企業資產的安全性置于重要地位有利于提高上市公司資產質量。
(二)進一步完善了企業治理結構
作為聯系所有者與經營者的紐帶,董事會對公司內部控制的建立、完善和有效運行負責:
1.加強了董事會獨立性。使童事會獨立于公司控股股東與內部經營者,限制董事會成員與高級經理層交叉任職,避免管理層控制董事會的局面。
2.完善了獨立董事制度。通過董事會這一內部機構適當外部化,引人外部獨立董事,提高董事會整體素質,以期對內部人形成一定的監督制約力量,最大限度地維護所有股東權益。
3.建立專門委員會。以獨立董事為主體的專門委員會包括審計委員會、薪酬委員會、提名委員會、投資委員會等,可以充分利用獨立董事們所具備的專家知識為企業決策提供科學建議及合理的控制。
4.提高了監事會的監控能力,有助于公司治理效率的整體提高。
(三)強化了流程控制與權限管理
在基本規范中,健全的治理結構、科學的內部機構設置和權責分配是建立并實施內部控制的基本前提,是影響、制約內部環境的重要因素。基本規范反映出了對管理機構的設置以及相關人員和相關業務的設計應遵循內部牽制原則。例如,在貨幣資金企業內部控制具體規范中,提出了貨幣資金業務的不相容崗位。同時在經濟行為的合法性控制上,內部控制規范針對具體的業務提出了具體的內部控制措施,例如,在采購與付款企業內部控制具體規范征求意見稿中規范了請購與審批行為的控制、采購與驗收行為的控制以及付款行為的控制。合法的經濟行為是保證企業正常運營的源頭,強化流程控制和權限管理使各層次職權明確,有利于培養公司企業文化,優化內部治理環境和效果。
(四)增加了上市公司財務信息的真實性
基本規范加強對會計信息的內部控制,將企業內部控制規范分為三類:第一類是對與企業財務報表項目相關的、可能會對財務報告真實可靠性產生較大影響的經濟業務事項提出具體要求的控制規范;第二類是與財務報表編報相關的控制規范,包括財務報告編制、公允價值、關聯交易、信息披露等;第三類是為實現有效的財務報告內部控制所必需的事前、事中和事后制度支持的控制規范,包括預算控制、人力資源控制、計算機信息系統控制、審計監督控制等。從這一說明來看,企業內部控制規范主要是對財務報告的控制。因此,抓住了財務報告內部控制這條主線,在一定程度上也就抓住了企業經營管理與內部控制的重心和主體;同時,保證財務報告真實可靠,是企業的法定責任,是維護社會公眾利益的基礎環節,加強對企業財務報告的內部控制,對提高會計信息質量具有十分積極的作用。
(五)明確了公司業績評價體系與激勵機制的重要性
為了引導企業加強對人力資源的管理,優化企業內部控制環境,基本規范對崗位職責和人力資源計劃、招聘、培訓、離職、考核、薪酬等一系列有關人事的活動和程序進行了規范,有利于上市公司建立合理的人力資源政策。人力資源政策則是解決委托一問題的關鍵。上市公司經理人員薪酬與業績不相關,人力資源沒有得到應有的重視也是公司內部治理需要解決的迫切問題。基本規范有利于建立市場化、動態化、長期性的激勵機制,防止管理人員尋租及企業員工舞弊。使經理人員管理目標盡可能朝公司整體利益方向發展。對異質性人力資本的企業家和稀缺性管理經驗的技術人才,給予股票期權是發揮證券市場的激勵約束功能促進公司治理的一種重要手段。
四、加強內部控制促進公司治理的策略
(一)改善法人治理結構,優化內部控制環境
法人治理結構在很大程度上影響著企業的健康運行和企業目標的實現,并且會對企業內部控制體系的建立與完善產生影響。企業應從完善法人治理結構人手,充分發揮股東會、董事會、監事會的職能;改善股權結構,解決我國企業股權過度集中帶來的問題;完善企業內部制衡機制和內部激勵機制;增強內部審計部門的獨立性,充分發揮其監督評價職能。在改進法人治理結構的同時,還應加強對企業高管人員的培訓,使企業管理層樹立正確的經營理念和較強的風險管理意識;加強對企業員工的職業道德建設。通過這些基礎性工作,優化企業內部控制環境,以保證企業內部控制制度的順利實施。
(二)推進全面預算管理
全面預算管理實質上是完善法人治理結構的客觀要求和具體體現,是現代財務管理的重要標志,內部控制的一個重要方面。預算可以保證公司經營目標的實現,提高經營活動的效率與效果。同時,預算也是現代企業制度下規范公司治理結構的制度保證之一。公司應積極推進全面預算管理;一是全面預算管理要與公司戰略結合。在戰略預算的基礎上制定年度預算,然后分解預算目標到各責任主體,實施預算并監督預算的執行,最后進行預算考評并以此制定薪酬計劃;二是重新整合組織結構,將其劃分為戰略層、經營層、作業層,進行目標落實和全面預算;三是建立預算決策機構,即在董事會下設預算管理委員會。
(三)建立有效的激勵與約束機制
2008年6月28日我國五部委(財政部、證監會、審計署、銀監會、保監會)聯合出臺《企業內部控制基本規范》(以下簡稱《基本規范》),明確“自2009年7月1日起在上市公司范圍內施行,鼓勵非上市的大中型企業執行”。同時,該《基本規范》作為我國企業未來內部控制建設的基本框架,在內控具體操作層面提出了《內部控制手冊》這一概念,即“企業應當通過編制《內部控制手冊》(以下簡稱《手冊》),使全體員工掌握內部機構設置、崗位職責、業務流程等情況,明確權責分配,正確行使職權”。然而,究竟什么是內部控制手冊?它的基本質量要求是什么?它與企業現有的其他管理體系的差異在哪里?企業應當如何編制?這些問題在《基本規范》中并沒有給出詳盡的說明,實務界對此也存在較大的爭議。本文試圖通過對《基本規范》相關規定的分析,結合COSO框架以及部分大型企業的內控經驗,對《手冊》相關問題進行分析和闡述。
二、《內部控制手冊》目標及質量要求
根據《基本規范》對《手冊》的要求,不難發現:首先,《手冊》是在企業內部控制的范疇內提出的,其自身應該成為企業內部控制制度設計及實踐的組成部分;其次,《手冊》的內容集中于機構設置、崗位職責、流程、權責分配等內容,一方面與經營操作相關,另一方面與企業內控所關注的經營層面的主要風險相關;再者,《手冊》所面對的使用對象是公司的全體員工,因而可操作性應是需要考慮的重要因素;最后,《手冊》還應對公司的內部審計部門起到工作指導的作用,以便于公司了解自身的整體經營風險并方便審計部門對業務環節的具體操作進行審計。據此,本文提出《手冊》的編制目標及質量要求如下表:
表1 《內部控制手冊》目標與質量要求
三、《內部控制手冊》與企業其他管理制度體系的關聯
對所有的企業來說,其自身在以往的經營活動中往往已制定了一些規章制度,并對企業經營過程中可能出現的風險進行了制度上的防范。另有一些企業,出于自身的管理規范的需求或外部的市場需求,申請了以ISO體系為代表的標準認證,并在此基礎上制定了整套與之配套的制度規范。然而,本文認為《手冊》與上述管理體系(符合或者不符合外部標準)存在聯系的同時,也存在明顯差異,主要體現在以下幾個方面:
(一)編制目標差異
企業制定的管理制度往往是出于日常經營的需要,功能在于為特定的操作人員提供具體的工作指引。ISO管理體系是從產品質量的角度出發,關注如何編制制度以保證企業生產出高品質產品。ISO管理體系更多的關注企業產品質量風險,對于經營層面的整體風險關注的甚少。
與上述目標相對應,《手冊》從企業內部控制的角度出發,借助COSO框架下的風險管理的理念,對企業經營的整體風險進行關注和防范。其強調“企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果、促進企業實現發展戰略”。
(二)編制框架差異
在現階段,大量企業在制定管理制度時,往往是一種事后的亡羊補牢式的修訂,這種制度的制定常常缺乏邏輯架構和整體框架,因而難以全面應對各類風險。ISO之類的管理體系從產品質量管理的角度制定了一套完整的制度框架,但是由于缺少考慮企業經營層面的其它風險,尤其是生產循環之外的內部控制的關注。
《手冊》以COSO的框架為編制的依據,在編制過程中一貫地強調對企業經營層面的所有風險的識別、分析、評估和控制,尤其強調表單和書面證據的重要性,以突出企業內部控制實施的可復核性,因而可以為內審部門提供一套有效的工作指南。
表2 《內部控制手冊》與其它管理體系的差異
雖然《手冊》與以往的企業管理制度體系關鍵的不同在于理念的出發點上,但本質上他們還是存在著極為緊密的內在聯系。《手冊》并不是憑空制定的又一套新的制度,而是對現有制度體系的整合和提升,是從風險管理的視角對企業原有制度體系和業務流程的再梳理。
然而考慮到企業原有的制度體系在風險管理上的系統性和規范性的不同,《手冊》在編制過程中,按照是否對原有制度進行改進,可以將《手冊》劃分為具有制度創造功能和不具備制度創造功能兩個類別。如果賦予《手冊》制度創造的功能,則《手冊》中提出的控制要求即具備相關應的強制性,即如果原有制度框架未涉及此類要求,則通過《手冊》制定該要求;如果不賦予《手冊》制度創造功能,則《手冊》的主要作用在于提煉、歸納以及整合其他相關制度中的控制要求,自身并不提出新的制度要求。《手冊》不同定位,可能會導致企業面臨不同類型的制度協調問題。具體如下表:
表3 《內部控制手冊》定位與制度協調
四、《內部控制手冊》的內容構成
結合內部控制基本要求及質量特征,《手冊》應梳理業務流程,找出業務循環的主要風險點和控制目標,并明確相對應的關鍵控制活動和基本的不相容職務分離的要求。同時通過對特定循環的流程分析,將關鍵控制活動對應到具體的崗位和管理制度,最后《手冊》還要為內部審計提供必要的工作指引。基于這樣的認識,針對特定流程,《手冊》構成如下表所示:
表4 《內部控制手冊》構成
五、《內部控制手冊》的編制框架與典型步驟
結合前文對《手冊》性質以及需要具備的內容的分析,以及憑借我們給企業提供的內控服務的經驗,本文提出如下的《手冊》制定的框架:
圖4 《內部控制手冊》編制框架
注:實線表示實際編制流程;虛線表示內在邏輯關系;虛線框表示邏輯范圍。
本文認為,在大多數情況下,《手冊》的編制可以分為4大步驟。
第一步:業務循環劃分。企業應根據各自行業及所涉及業務的具體特點,將自身的運營活動劃分為若干個主要業務循環,通常情況下,主要業務循環包括以下內容:(1)銷貨及收款環節;(2)采購及付款環節;(3)生產環節;(4)固定資產管理環節;(5)貨幣資金管理環節;(6)關聯交易環節;(7)擔保與融資環節;(8)投資環節;(9)研發環節;(10)人事管理環節;(11)信息管理環節。
因不同的業務特點的企業,其主要的業務循環所包含的內容不盡相同,故企業可以借鑒五部委即將頒布的《企業內部控制具體規范》的要求進行業務循環的劃分。
第二步:流程風險分析。在明確了企(下轉P8頁)(上接P6頁)業的具體業務循環后,針對每個具體業務循環需畫出詳細的業務流程圖,并結合企業的現有制度分析該流程存在的主要風險點及相應的控制措施。改階段內容主要包括:流程的控制目標、關鍵控制活動、主要涉及的崗位職責、相關的表單流轉等。
圖1 內控環境構建流程
合理的公司治理結構既是內控環境的組成部分,又是內控體系得以順利實現的基礎,所以上市公司首先應該明確自己的戰略目標,根據戰略目標規范治理結構,對現有組織結構、部門職責進行全方位的梳理,同時還要按照五部委的《內控規范》設立相應的內控部門及部門職責。其次,上市公司還應在上述基礎上對公司所有的規章制度進行查缺補漏,整合成符合公司實際需求的制度體系。
二、建立內部控制系統
世界上不存在兩個完全相同的企業,即便是同一行業中的兩個企業,銷售同類型的產品,都會在運營管理中體現出不同的文化特色、管理風格,這就決定了每個企業一定會有自己所特有的內控環境,因而其內部控制系統也一定是各有差異、各具特色。
企業內部控制的主要目標是為了經營合規合法、運作高效率、控制風險。為此,構建企業內部控制系統應該是一個長期、動態持續的過程,一般可以分為以下幾階段:
1.對企業風險進行系統評估。
圖2 企業風險評估體系
風險評估是被國內企業最容易忽視的環節,而實際上,這個環節卻是建立企業內控體系的一個至關重要的前提。企業應當基于所處行業的特色和企業自身的業務特征,利用專業的評估工具對企業的內外風險進行量化的分析,對風險可能發生的頻率和后果賦值,計量風險的嚴重程度,同時設定企業對風險的容忍限度,對診斷出的所有風險進行排序,隨后建立相應的風險數據庫及風險應對策略。
2.建立書面的內部管理手冊。
圖3 企業內部管理手冊建立流程
在前述建立的風險數據庫的前提下,企業的任務是對應于上述風險數據庫對企業整個運營管理流程進行分類,針對具體業務流程(明細程度可能根據企業的控制目標具體界定)確定關鍵崗位、職責表,描述關鍵控制點及相關的關鍵控制活動,分析不相容職務表(詳見“立信銳思――如何企業內部管理手冊”)。
企業的內部管理手冊應該是系統的、可操作的,所以在內部管理手冊的最后應當有相應控制活動的對應內審程序及職責表,以便于企業持續的監督,也就是在內控設計有效的基礎上確保執行的有效性。
3.對企業內部管理手冊的執行進行持續監督。
在以往的國有上市公司內控失敗的案例中,很多企業已經制訂了防范風險的控制制度,這些制度設計雖不能避免所有的風險,但至少可以保證不會導致企業破產清算,難以持續經營。他們的失敗不在于缺乏制度,而在于缺乏監督,致使制度形同虛設,舞弊肆虐、管理完全失效。
企業在建立了內部管理手冊以后,由專門的、職責獨立的內審部門負責日常的監督,并及時直接地向企業內部控制委員會匯報、實施有效控制。
對企業來說,僅實施日常監督是不夠的,內部控制委員會還要制定專項監督制度,對企業的非經常性項目進行不定期的監督,以防止預想之外的風險發生。
4.根據企業的外部環境及內部業務的變化對內控體系進行動態更新。
企業在業務發展的過程中會發生大小各異的內部變化,小到低層員工的變動,大到經營模式的變化,這些變動累積到一定程度會導致原有的風險手冊和內控管理手冊不再符合企業的實際,特別是2008年全球金融危機,企業面臨著及其嚴酷的競爭環境,該環境加劇了企業風險的可變性。因此,企業的內控體系也應該是一個動態更新的過程。
這個動態更新的過程即可以是漸進式的(當內外部變化不是非常劇烈時),也可以急進的、全新式的(當內外部發生的革命性的變化時)。
規范公司內部控制制度的執行和評價報告制度是公司首次執行公司內部控制評價報告制度最困難的一件任務。首次執行大規模的動態更新對于許多公司來說,并不是一件易事。
我們建議企業在首次建立內控體系或重大動態更新時選擇第三方的權威中介機構,既可以借助其專業知識為企業量身定做內控體系,也可以通過培訓方式培養企業自身的內控理念和意識。
三、對外披露:內控自我評估及內控鑒證
1.內控自我評估。
企業根據國家有關法律、行政法規或者有關監管規則的規定提交并披露(以財務報告為主的)內部控制自我評估報告時,還應當在該報告中披露以下內容:
(1)聲明企業董事會對建立健全和有效實施內部控制負責,并履行了指導和監督職責,能夠保證財務報告的真實可靠和資產的安全完整。
(2)聲明已經遵循有關的標準和程序對內部控制設計與運行的健全性、合理性和有效性進行了自我評估。
(3)對開展內部控制自我評估所涉及的范圍和內容進行簡要描述。
(4)聲明通過內部控制自我評估,可以合理保證本企業的內部控制不存在重大缺陷。
(5)如果在自我評估過程中發現內部控制存在重大缺陷,應當披露有關的重大缺陷及其影響,并專項說明擬采取的改進措施。
(6)保證除了已披露的內部控制重大缺陷之外,不存在其他重大缺陷。
(7)自資產負債表日至內部控制自我評估報告報出日之間(以下簡稱報告期內)如果內部控制的設計與運行發生重大變化的,應當說明重大變化情況及其影響。
(8)依法及時披露的內部控制自我評估報告,經董事會審議批準后公布。
目前,我國企業一般都有自己的內部控制方式,但大多數缺乏系統的內部控制制度和主動的風險識別與評估機制,內部控制措施零散、間斷,監督檢查環節不到位等。面對經濟發展的全球化,為了適應國內經濟發展的需求,2008年6月28日,由財政部、證監會、審計署、銀監會和保監會聯合了《企業內部控制基本規范》。新規范借鑒COSO框架,根據我國國情及企業特點制定的,是保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效益,促進企業實現發展戰略的基本規范。該規范已于2009年7月1日起先在上市公司范圍內施行,對其他企業的內部控制起到很好的示范作用,在企業中實施《企業內部控制基本規范》對企業的長遠發展起著舉足輕重的作用。
風險在現今社會無處不在,對于企業而言風險有外部環境風險及內部環境風險。外部環境風險有市場環境、政策法規、金融、政治等外在的風險。而內部風險由企業的經營活動的優劣決定的,有資金、采購、存貨、銷售、費用、人力資源等因素和環節引發的風險。內部風險具有可控性,但控制的質量如何,直接影響到企業的生存與發展。如在采購控制中的一個案例:一家涉外星級國際酒店,在未經公開招標的情況下,即與奧爾公司簽訂了價值為150萬美元的代購合同。依照合同規定,奧爾公司必須提供瑞士某著名珠寶公司生產的水晶燈,并由奧爾公司向該酒店出具該公司的驗證證明書,其中200萬元人民幣為支付給奧爾公司的費。然而,交易發生后,奧爾公司并未向國際酒店出據有關水晶燈的任何品質鑒定資料,國際酒店也未辦理必要的查驗手續。這樣高價的水晶燈在安裝兩個月后,失去了原來的光澤,變得灰蒙蒙的,部分連接金屬燈桿出現了銹斑,甚至有些燈珠破裂脫落,剛開業兩個月的國際級酒店名譽蒙受重創,成為同行的笑柄。經查實,這筆交易都是由王副總經理一人操縱的,從簽訂合同到驗收入庫再到支付貨款都是由他一個人說了算,而他之所以會這樣做,正是因為收受了奧爾公司的巨額好處費。這樣的一筆交易毀了整個企業,這里面的教訓是深刻和發人深省的。一筆采購業務,特別是金額較大的業務通常涉及采購計劃的編制、物資的請購、訂貨或采購、驗收入庫、貨款結算等。因此,應當針對各個具體環節的活動,建立完整的采購程序、方法和規范,并嚴格依照執行。只有這樣,才能防止舞弊,保證企業經營活動的正常進行。
根據這個案例涉及的環節應做如下控制:
首先,要做到職務分離,采取集體措施。諸如采購申請必須由生產、銷售部門提出,具體采購業務由采購部門完成,而貨物的驗收又應該由其他部門進行。付款審批人和付款執行人不能同時辦理尋求商和索價業務。付款的審批通常經過驗貨或驗單后執行(預付款除外),以保證貨物的價格、質量、規格等符合標準。
其次,要做好入庫驗收控制。應根據購貨單及合同規定的質量、規格、數量以及有關質量鑒定書等技術資料核查收到的貨物,只有兩者相符時才予以接受;對于所有已收到的貨物,應定期完整填寫收貨報告,將貨物編號并登記明細賬簿,對驗收中所出現的問題要及時向有關部門反映;貨物入庫和移交時,經辦人之間應有明確的職責分工,要對所有可能接觸貨物的途徑加以控制,以防調換、損壞和失竊。
最后,還必須做好貨款支付控制。發票價格、運費、稅費等必須與合同符合無誤,憑證齊全后才可辦理結算、支付貨款,如有部分退貨,則注意要從原發票中扣除后再辦理結算;除了向不能轉賬支付和不足轉賬金額的單位、個人支付現金外,貨款一般應辦理轉賬。
中圖分類號:F713.50文獻標志碼:A文章編號:1673-291X(2009)29-0192-03
企業內部控制的完善和執行情況日益成為人們關注的議題。在國內,“中航油”、“銀廣廈”等多起舞弊案件都是與企業內部控制的缺失有關。德勤華永會計師事務所有限公司最新《中國上市公司內部控制調查分析報告》的調查結果顯示,大多數企業在內部控制實施方面仍然存在一定的盲目性。中國上市公司約58.82%的企業為應對金融危機而指定了專門的部門落實風險管理和內控工作,但是,僅有23.53%的企業將內控工作的重點從書面制度轉變為具體實施;僅約17.65%的企業進行了內部控制評價。可見,內部控制問題已成為上市公司的軟肋。2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合了《企業內部控制基本規范》,該規范融合了COSO 風險管理的先進經驗,又具有中國的特色,被世人贊譽其為“中國版的薩班斯法案”。那么,基本規范是否能解決上市公司的問題成為了時下理論界、實務界關注的焦點。
一、企業內部控制規范與COSO企業風險管理的不同
(一)內涵、目標不同
2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合的《企業內部控制基本規范》,為中國企業首次構建了一個企業內部控制的標準框架。它所指的內部控制,是指由企業董事會(或者由企業章程規定的經理、廠長辦公會等類似的決策、治理機構,以下簡稱董事會)、管理層和全體員工共同實施的、旨在合理保證實現以下基本目標的一系列控制活動:(1)企業戰略;(2)經營的效率和效果;(3)財務報告及管理信息的真實、可靠和完整;(4)資產的安全完整;(5)遵循國家法律法規和有關監管要求。
2004年9月,COSO委員會在內部控制框架概念的基礎上,提出了企業風險管理(Enterprise Risk Management,ERM)的概念,使內部控制的研究發展到一個新的階段。COSO在ERM框架報告中指出企業風險管理是一個過程,它是由一個主體的董事會、管理當局和其他人員實現的,應用于戰略制定并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險已使其在該主體的風險容量之內,為主體目標的實現提供合理保證。ERM框架對內部控制明確了以下內容:(1)是一個過程;(2)被人影響;(3)應用于戰略制定;(4)貫穿整個企業的所有層級和單位;(5)旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險;(6)合理保證;(7)為了實現各類目標。ERM框架提出,要力求實現四類目標:戰略目標、經營目標、報告目標和合規目標。
(二)基本要素不同
1.企業內部控制規范考慮以下基本要素:
(1)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。
(2)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素并采取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。
(3)控制措施。控制措施是根據風險評估結果、結合風險應對策略所采取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批準控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
(4)信息與溝通。信息與溝通是及時、準確、完整地收集與企業經營管理相關的各種信息,并使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。信息與溝通主要包括信息的收集機制及在企業內部和與企業外部有關方面的溝通機制等。
(5)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告并作出相應處理的過程,是實施內部控制的重要保證。監督檢查主要包括對建立并執行內部控制的整體情況進行持續性監督檢查,對內部控制的某一方面或者某些方面進行專項監督檢查,以及提交相應的檢查報告,提出有針對性的改進措施等。
2.COSO企業風險管理包括八個相互關聯的構成要素。它們來源于管理當局經營企業的方式,并與管理過程整合在一起。這些構成要素是:
(1)內部環境。內部環境其他所有風險管理要素的基礎,為其他要素提供規則和結構,也為ERM的其他組成因素提供了框架。其別是管理當局的風險偏好,決定了公司對可能出現的預料之外的事件的態度,管理當局和董事會必須明確戰略及其執行過程中的風險和回報。
(2)目標設定。必須先有目標,管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取適當的程序去設定目標,確保所選定的目標支持和切合該主體的使命,并且與它的風險容量相符。
(3)事項識別。在對企業目標、戰略和計劃以及對企業所處的內部和外部環境都有深刻了解的基礎上,管理層必須識別影響主體目標實現的內部和外部事項,區分風險和機會。
(4)風險評估。一般用可能性(概率)和影響結果兩個維度度量風險,前者是一定的負面影響事件發生的可能性;后者是假設事件發生,對經營、財務報告以及戰略產生影響的可能結果,風險評估的過程中根據不同的情況,采用定性、定量以及相結合的方法,若可以獲取充足的數據,一般采用定量的評估方法;若潛在的可能性及影響結果都較小,或者無法獲得數據,則一般采取定性的評估方法。
(5)風險應對。企業對每一個重要的風險及其對應的回報進行評價和平衡,結果取決于成本效益分析以及企業的風險偏好。而平衡的反應包括接受、規避或緩和這些風險,后者又包括風險分離、風險轉換或者減少(包括通過控制活動)等形式。風險反應是企業風險管理的整體重要組成部分。
(6)控制活動。控制活動是管理當局設計的政策和程序,為執行特定的風險緩和反應提供合理保證。控制活動包括在整個組織中使用的批準、授權、注銷、確認、觀察、查證以及對經營業績復核、資產安全、職責分離等方法。制訂和執行政策與程序以幫助確保風險應對得以有效實施。
(7)信息與溝通。風險辨別、評估、反應和控制活動在組織的各個水平層次上產生有關風險的信息,與財務信息一樣,風險信息必須以一定的形式和框架進行交流,使員工、管理層以及董事履行各自的責任。風險評估的信息系統可以產生定期或“例外基礎”的報告,報告使用趨勢指標、業績矩陣及運營或財務成果的形式,這些報告能夠引導出及時的決策。在公司層次,必須對各種數據和信息流進行加工,形成關于公司風險組合輪廓的統一觀點,以利于交流。
(8)監控。企業風險管理并不是一個嚴格的順次過程,一個構成要素并不是僅僅影響接下來的那個構成要素。它是一個多方向的、反復的過程,在這個過程中幾乎每一個構成要素都能夠、也的確會影響其他構成要素。
(三)管理人員對實現企業目標的職責
1.企業內部控制基本規范對管理人員的職責規定如下:
(1)企業董事會應當充分認識自身對企業內部控制所承擔的責任,加強對本企業內部控制建立和實施情況的指導和監督;
(2)董事長(或者法定代表人、代表企業行使職權的主要負責人,以下簡稱董事長)對本企業內部控制的建立健全和有效實施負責;
(3)經理(或者總裁、廠長,以下簡稱經理)根據法定職權、企業章程和董事會的授權,負責組織領導本企業內部控制的日常運行;
(4)總會計師(或者財務總監、分管財務會計工作的負責人,以下簡稱總會計師)在董事長和經理的領導下,主要負責與財務報告的真實可靠、資產的安全完整密切相關的內部控制的建立健全與有效執行。
2.COSO企業風險管理將各級人員的職責分成三個層次:
(1)董事會,監控企業風險管理,獲知并批準企業設定的風險偏好,與企業高層管理人員討論企業風險管理的狀態,獲知企業所面臨的重大風險、管理層擬采取的行動以及管理層確保風險管理有效性的方式,董事會還要從內部審計人員、外部審計人員和其他人員那里獲取相關信息;
(2)高層管理人員,首席執行官或總裁應對ERM 負總責,各部門經理應認同企業的風險管理理念,按企業設定的風險偏好和風險容忍度管理本部門事務。首席執行官或總裁集各部門經理對企業風險管理的能力和有效性進行初步評估,以決定是否有必要對其繼續進行更深入的評價;
(3)企業基層職員,有責任按照企業已確立的指令和協議實施風險管理。
二、企業內部控制基本規范的貢獻
從基本規范與COSO風險管理的比較,可以看出基本規范既吸收了COSO報告的精華,又具有一定的中國特色:
1.提高了內部控制規范的地位。新規范既有類似薩班斯法案的強制力,又有與科索報告一樣對內控實務的示范作用;既對中國企業建立內控制度提出了強制性要求,又為千差萬別的中國企業建立健全內控制度提供了基本框架;既吸收了內控的國際先進理念,又充分體現了中國內部控制的現實環境要求。有專家認為,這一規范的出臺,是中國企業按國際化標準嚴格自律的宣言書,更是中國企業參與國際競爭,逐步接受并自覺遵循市場經濟游戲規則,不斷完善企業制度、細化管理的內在要求。世人贊譽其為“中國版的薩班斯法案”。
2.統一了我國企業內部控制規范。在美國,COSO框架是美國企業以及在美國上市的外國公司的內部控制建設的標準,而在我國,長期以來內部控制規范正出多門,現實中,至少存在包括證監會、財政部、國資委、人民銀行、證券交易所等部門或主管單位的關于內部控制或風險管理的規范文件。盡管有關監管部門在實際中采用了COSO的標準,但都比較局限。2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合的《企業內部控制基本規范》是廣泛征求各監管部門意見基礎制定的,統一了我國企業內部控制規范的標準,使企業可在統一的框架內建立有效的內部控制監督體系,同時為外部監管公司內部治理的設計、實施、監督、評估等奠定了基礎。
3.科學界定內部控制的內涵,強調“全員控制”。基本規范強調內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程,是一種全面、全員、全過程控制的理念。
4.準確定位內部控制的目標。舊規范的目標定位,基本上是處于內部控制目標層次的最低級,只包括:保證會計資料真實、完整;保護單位資產的安全、完整;確保國家有關法律法規和單位規章制度的貫徹執行。基本規范前瞻性提出企業在保證經營管理合法合規、資產安全、財務報告及相關信息真實完整、提高經營效率和效果的基礎上,著力促進企業實現發展戰略。本次的修訂既強調了COSO全面風險管理的四大目標,又增加了對資產的安全完整的要求。這充分體現我國順應國際內部控制和風險管理日益融合的趨勢。
5.統籌構建內部控制的要素。舊規范的范圍過于狹窄,主要集中于會計領域。《會計法》、《內部會計控制規范》等法律法規主要是從會計控制的角度來規范內部控制;獨立審計準則中的定位也是著重于企業的會計責任方面。而本次修訂的基本規范有機融合COSO全面風險管理的做法,構建了以內部環境為重要基礎、以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證,相互聯系、相互促進的五要素內部控制框架。
6.明確界定各控制主體職責。內部控制的有效執行有賴于全員參與,而只有企業內每個人均清楚地知道自己所擁有的責任和權力,才能認真履行自己的職責,提高內部控制的執行力度。新規范所界定的內部控制主體有四層:一是董事會,二是監事會,三是經理層,四是全體員工。董事會是加強企業內部控制的第一責任人;監事會負有對董事、經理執行公司職務時違反法律、法規或者公司章程的行為進行監督的權利,在監督投資者決策行為的同時切實履行監督投資者對經營者的監管職能的落實情況;經理層直接對企業的經營管理活動負責,尤其是企業總經理(首席執行官)承擔重要責任;全體員工在實現內部控制中承擔相應職責并發揮積極作用。
7.創新了體系。除基本規范之外,財政部還起草了17項具體規范,并將繼續起草若干具體規范和應用指南;與此同時,還將研究、制定評價標準和配套實施辦法,形成全方位、立體性推進內控體系建設的局面。我國的企業內控體系,將是一個層次分明、內容完整、銜接有序、整體互動的有機統一體。
8.強化了內部風險管理。舊規范只是強調通過風險預警、風險識別、風險評估、風險分析、風險報告等措施,對財務風險和經營風險進行全面防范和控制,而基本規范更強化了在目標設定環節就要考慮風險因素,這一條和COSO的風險管理是吻合的。
9.提出了切實可行的內部控制實施機制。基本規范建立了以企業為主體、以政府監管為促進、以中介機構審計為重要組成部分的內部控制實施機制,要求企業實行內部控制自我評價制度,并將各責任單位和全體員工實施內部控制的情況納入績效考評體系;國務院有關監管部門有權對企業建立并實施內部控制的情況進行監督檢查;明確企業可以依法委托會計師事務所對本企業內部控制的有效性進行審計,出具審計報告。這充分體現了基本規范在實施過程中適當的引入了信息機制和聲譽機制、強化檢查監督機制,落實內控責任主體和嚴格問責和實施嚴厲的獎懲機制的特點。
三、企業內部控制基本規范實施的難點
企業內部控制規范在執行中還存在很多困難:
1.基本規范的要素中沒有體現事項識別的重要性
事項可能會帶來負面影響,也可能帶來正面影響,帶來正面影響往往意味著機會,而機會對于企業目標的實現是有重要作用的。基本規范只強調了風險的識別,而對于機會則沒有關注。
一、薩班斯法案的主要內容
美國布什政府出臺的《2002年公眾會計改革和投資者保護法案》,簡稱《薩班斯法案》,它的主要內容涉及加強上市公司董事及高層管理人員的責任、要求上市公司設立審計委員會、強化上市公司財務信息披露義務、加大對違法行為處罰的力度等。法案第302款要求公司首席執行官和財務總監對財務報告“完全符合證券交易法,以及在所有重大方面公允地反映了財務狀況和經營成果”予以簽字保證。法案第404款要求公眾公司年度報告中應包含內部控制報告,強調公司管理層有責任建立和維護內部控制系統并保證相應控制程序的充分有效以及對最近財政年度末的內部控制體系和控制程序有效性做出評價,并要求獨立審計師對公司高管層做出的內部控制評價出具鑒證報告。
二、我國內部控制的現狀和問題
我國政府從20世紀90年代后期才開始重視企業內部控制。1996年12月財政部《獨立審計具體準則第9號――內部控制和審計風險》(于1997年1月1日施行)。1997年5月,中國人民銀行頒布第一個關于內部控制的行政規定《加強金融機構內部控制的指導原則》。1999年10月修改后的《會計法》提出各單位應當建立、健全本單位內部會計監督制度。證監會2000年底要求商業銀行應建立健全內部控制制度,并就其內部控制制度的完整性、合理性和有效性做出說明,還應聘請會計師事務所進行評價,以內部控制評價報告的形式做出報告。財政部2001年6月頒布了《內部會計控制規范――基本規范(試行)》和《內部會計控制規范――貨幣資金(試行)》。證監會2001年要求公司監事會在監事會對公司依法運作情況發表獨立意見時,應包含公司是否建立完善的內部控制等內容。上交所2006年度的《上市公司內部控制指引》指出,公司在內部控制檢查中如發現內部控制存在重大缺陷或存在重大風險,公司董事會應向本所報告該事項,經認定,公司董事會應及時公告。公司董事會應披露年度內部控制自我評估報告,并披露會計師事務所對內部控制自我評估報告的核實評價意見。深交所2006年9月28日《上市公司內部控制指引》,要求深市主板上市公司自2006年9月28日至2007年6月30日期間建立起完備的內部控制制度,并從2007年年報開始,按照要求披露內控制度制定和實施情況。2006年7月15日,財政部發起成立企業內部控制標準委員會,研究推進企業內部控制規范體系建設問題。2008年6月28日,財政部、證監會、審計署、銀監會、保監會聯合了《企業內部控制基本規范》,標志著企業內部控制規范體系建設取得重大突破。基本規范原來計劃安排在2009年7月1日起先在上市公司范圍內施行,鼓勵非上市的其他大中型企業執行。但是由于上市公司目前的內部現狀使得執行起來難度比較大,被迫推遲到2010年1月1日,出具內控自我評價報告則可以推遲2010年年底。
目前,我國關于內部控制的法律法規如《會計法》、《內部會計控制規范》等已經頒布,但是這些法規在實踐中由于缺乏相應的監督機制,內部控制的規定如同一紙空文,企業并沒有將其付諸到實踐中,造成許多單位的內部控制形同虛設,無助于提高企業財務報表的可靠性。從而,我國企業的內部控制相對于一些跨國公司而言,顯得有的薄弱,很多公司的內部控制完全是按照管理層的決定,從而導致我國企業內部控制存在一系列問題,主要問題如下:
(一)控制環境管理混亂
我國企業普遍缺乏標準的內部控制環境,大多數企業盡管建立了內部控制機制,但缺乏規范和完整的內控標準,從而導致內控環境管理存在很多混亂之處。
(二)風險管理意識淡薄
我國企業最近幾年屢屢在資本市場上折臂,從而導致了巨額的虧損,而這些企業問題的出現或多或少的與企業缺乏必要的內部控制有關,公司的經營失敗主要原因是無視制度的存在,不按制度行事,沒有對資本市場上的風險有充分的認識。
(三)內部審計薄弱
內部審計作為公司內部控制重要的一環,扮演著非常重要的作用,然而我國企業的內部審計部門勢單力薄,內部審計從業人員的獨立性也遭到質疑,很多企業的內部審計人員工作并不是向審計委員會直接匯報,而是向管理層匯報,從而使得企業內部審計的職能并沒有得到應有的發揮。
由此可見,我國內部控制信息披露的現狀是流于形式,還沒有能夠真正揭示出上市公司的內部控制缺陷,難以起到提高財務報告質量、提升公司治理水平、保護中小投資者等作用。
三、薩班斯法案對我國執行《企業內部控制基本規范》影響的思考
企業內部控制規范體系的實施給不少企業帶來脫胎換骨的影響,意味著中國企業內控規范體系建設正在向國際標準靠攏。通過對美國上市公司執行薩班斯法案的成功實踐進行研究后發現,《薩班斯-奧克斯利法案》中最難操作、最復雜、耗費成本最高的條款是404條款,即管理層對內部控制評價。統計資料顯示,大型美國公司僅在“404合規工作”第一年建立內部控制系統的平均成本就高達430萬美元,成本包括:內部人員35000工時的投入、130萬美元的外部顧問和軟件費用,以及150萬美元的額外審計費用。這是許多企業對建立內部控制體系望而生畏的重要原因之一。因此,我國上市公司在內部控制基本規范的執行中可從以下方面入手:
(一)盡早啟動內部控制建設的計劃。根據經驗,1年半的時間對一個企業實施有效的內部控制相當緊迫,越早啟動,意味著越少的成本投入。
(二)建立內部控制建設的工作團隊。按照基本規范的要求,明確董事會、監事會以及各級管理層在內部控制中的責任,規范審計委員會以及內部審計職能的獨立性。同時建立以高級管理層為領導的基本工作團隊,確保內部控制的設計、監督、實施相互分離,相互牽制。
(三)開展內部培訓,培養和建立自己的內部控制專業人才隊伍,解決本企業內部控制體系設計與執行,建立流程管理信息系統和開展內部控制有效性自我評估價與外部審計的人才需求。
(四)企業內控建設團隊應從重要性、風險發生的可能性等指標出發,從企業(集團)整體的角度,全面梳理企業風險領域,確定對企業整體而言的高風險領域。從重點領域著手,再推廣到整體的范圍。
(五)關注內部控制基本規范指引的建設與更新。企業一方面要關注現有政策內的明確要求(如證券交易所內控指引中提出的關注領域)一方面需要時刻關注指引內容的變化與要求。在某種情況下,對政策要求的誤判,可能會直接造成企業成本的增加,甚至浪費。
參考文獻:
[1]胡向麗,鐘亮.薩班斯法案對我國內部控制建設的啟示[J].華東科技大學學報,2007(2).
[2]李芳.薩班斯法案404條款的執行與啟示[J].中國注冊會計師,2006(7).
[3]閻達五,楊有紅.內部控制框架的構建[J].會計研究,2001(2).
關鍵詞 內部控制 基本規范 建筑行業 風險 內部審計
2008年6月28日,財政部、證監會等五部委聯合《企業內部控制基本規范》(以下簡稱“基本規范”),這是我國內控標準體系建設的可貴創新與重大突破。基本規范在立足我國國情并借鑒國際慣例的基礎上,確立了我國企業建立和實施內部控制的基本框架,構筑起了中國企業經營風險的“防火墻”,標志著我國企業用以規范發展、規避風險的內部控制指南已初步建立。目前,基本規范即將實施,特定行業實施時應關注哪些方面,存在的問題,實施的效果如何等將是下一步深入貫徹基本規范需要研究的問題。本文僅從建筑行業入手探討實施基本規范的相關問題。
一、基本規范的適用性
基本規范在立足我國國情并借鑒國際慣例的基礎上,明確提出企業建立與實施有效的內部控制,應當包括以下五要素:內部環境,風險評估,控制活動,信息與溝通,內部監督。統籌構建了以內部環境為重要基礎、以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證,相互聯系、相互促進的內部控制框架。這些內部控制要素具有普遍適用性,適用于各種行業的企業。其中,內部環境、風險評估、信息與溝通、內部監督要素基本是具備通用性的,任何企業建立內部控制都應當遵循;控制活動要素的具體內容需要根風險評估的結果確定,基本規范只能給出普遍性、概括性的指南。
同時,基本規范確立了企業建立與實施內部控制應當遵循的五項原則:全面性原則、重要性原則、制衡性原則、適應性原則及成本效益原則。指出內部控制應當貫穿決策、執行和監督全過程,覆蓋企業及其所屬單位的各種業務和事項,并在全面控制的基礎上,關注重要業務事項和高風險領域。內部控制應當與企業經營規模、業務范圍、競爭狀況和風險水平等相適應,并隨著情況的變化及時加以調整。因此,基本規范的實施不是生搬硬套,而是要根據特定行業、特定企業的實際情況建立與之相適應的內部控制。
綜上,基本規范為企業建立完善內部控制提供了有力的指導,但具體實施過程中需要企業認真分析行業特征、企業實際情況、外部環境等因素,將基本規范具體化、本地化,制定適合的內部控制實施方案,這樣才能達到加強和規范企業內部控制,提高企業經營管理水平和風險防范能力,促進企業可持續發展的目標。
二、建筑行業實施基本規范的必要性
由于建筑產品生產周期長,涉及面較廣,因此建筑行業有別于其他制造行業,其特性有以下幾點:
(一)政策敏感性
建筑業發展與宏觀經濟形勢具有高度相關性。建筑行業的發展方向、發展速度、經營環境以及運行機制明顯的受國家宏觀政策的調控。國家關于建筑業的政策調整、變化較多,政策波動性較大,因此,建筑業應該時刻關注國家政策的變化與調整,以及時調整企業的經營策略。
(二)高風險性
由于建筑產品交易方式以及生產方式的特殊性,建筑業具有較大的經營風險。建筑市場交易屬于期貨交易,即建筑產品的交易過程在生產之前開始。這種生產和交易的分離,決定了建筑市場中的交易一出現就應該是一種信用交易方式,而信用交易方式必然面臨著信用風險。
(三)成本具有不確定性
建筑工程最終產品的生產過程是最為復雜的產品生產過程,建造成本隨著宏觀經濟環境等因素改變而變化,因此造成其成本難以控制,存在較大不確定性。
當前國內建筑市場競爭日趨激烈,建筑企業所處的經濟環境復雜多變,經營過程中各種不確定因素增加,使施工項目微利化趨勢越來越明顯,各種風險進一步增大和復雜化。建立健全內部控制系統是建筑企業自身的管理需求,通過建立權責明確、管理科學的企業內部組織結構,形成科學的企業內部治理機制,建立有效的風險控制系統來有效防范風險,堵塞漏洞,消除隱患,保證企業各項財產物資的安全和完整,提高經濟效益。
但由于建筑企業管理水平參差不齊、管理鏈條較長、基層人員素質較低、建筑項目情況各異等因素影響,建筑行業建立完善的內部控制系統具有較大難度,目前行業內各企業的內部控制有效性程度也存在較大差別。實施基本規范有利于規范建筑行業的內部控制要素,統一內部控制流程,完善內部控制體系。
三、建筑行業的風險分析及內部控制關鍵環節
建筑行業的風險主要包括以下幾個方面:
(一)戰略風險
戰略風險是指戰略目標不能實現的可能性,建筑行業戰略風險主要有以下四項:
(l)戰略規劃與執行管理風險。由于對國家投資政策分析不準確,對政府和民間投資宏觀未能合理預計,對未來影響企業的有關因素分析和判斷把握不夠充分,從而帶來企業的總體戰略選擇環節的失誤風險。
(2) 產業戰略選擇和調整的主要風險。包括:產業拓展風險,如從房建領域向基礎設施領域進行跨專業拓展;進行多元化戰略調險,如向建材生產和房地產開發拓展,以及建筑業向制造業或服務業方向實現多元化戰略調整。
(3)企業并購所帶來的管理風險。如合并、收購同行業企業,或收購、并購其他行業企業的行為;進行重大的經營區域調整等等。
(4)公司組織結構調整和改制等行為帶來的風險。公司組織結構變革、公司的預算調研、測算、分解、執行和考核、重大事項的決策等等,這些帶有方向性或給公司帶有重大影響的戰略性調整,具有很大風險。
(二)經營風險
經營風險是在日常生產經營活動過程中,影響具體目標實現的風險。建筑企業經營風險主要包括營銷風險及項目管理風險。
(l)營銷風險:市場調研與分析、項目信息跟蹤、項目投標許可與入圍、投標報價、合同談判、工程結算等環節的風險。
市場調研分析包括調查工程項目所在地政治、經濟、社會風俗、自然環境、稅收等法律及政策規定,還應了解勞動力、設備、材料的市場價格和變化規律,分析市場的潛力與前景。
合同談判主要是通過簽約前談判明確雙方的責任及風險分擔,以爭取合理的合同條件減輕風險。
投標報價需要根據自身因素、業主因素、競爭對手情況和項目情況綜合考慮后報出投標價。如在此過程中對某一環節未充分考慮,企業可能將面臨極大的風險。
(2)項目管理風險:采購管理、存貨管理、施工過程管理、安全控制、質量控制、工程結算管理等方面的風險。
工程項目作為施工企業效益的源頭,是企業風險最為集中的地方。由于工程項目存在建設周期長、投資數額大、工序繁多等固有特點,各種不可預見因素多,風險相應增加,并貫穿于工程項目施工全過程。
鑒于建筑工程材料消耗和設備購置占總造價的比重很大,所以工程能否獲利的關鍵點之一是采購環節。因建筑材料價格波動很大,因而不能只看目前的報價,要盡可能對過去和未來的材料價格趨勢作出判斷,以及時采取應對措施,減少材格上漲帶來的負面影響。
(三)財務風險
財務風險包括收入、成本、費用及利潤管理,現金流量,相關資產管理,投、融資管理,相關債務和凈資產管理,信息披露與財務報告等方面的風險。一般認為財務風險管理應從資本結構著眼,通過對營運過程和投資等環節進行詳細分析加以確定,必須著重突出對高風險項目、重要管理部位和資金流通等環節進行重點關注和管理。就建筑企業而言,采購、工程款收付、應收賬款的處理和投資活動是財務風險管理的重點,較為常見的風險有甲方未按期支付工程進度款,造成資金緊張;甲方拖延結算,使應收工程款遲遲不能回收等。
(四)法律風險
法律風險主要包括印鑒、合同、訴訟事務管理等方面的風險。建筑工程時間跨度普遍較長,從簽約到完工再到結算付清款項,歷經十年八載也并非方夜譚。甲方拖欠施工企業,施工企業拖欠分包或材料款,容易造成多角債務關系。此外長期欠款還牽涉到法律訴訟時效的問題,如果在此期間經辦人調離崗位,繼任人不清晰,又沒有一套嚴謹的制度約束,則欠款有可能無法追回。
針對上述風險,建筑企業建立內部控制的重點在于完善以下控制活動:重大投資決策、工程投標與合同建立、項目策劃與成本預算、項目履約管理、資金鏈管理、安全與質量管理、項目成本管理與費用控制、印章保管與使用等。
公司治理機制也是內部控制重點。其重點是建立完善股東大會、董事會、監事會、經理層之間的制衡機制,切實完善公司治理、建立有效的經理層的考核和激勵機制,規范企業并購、重大投資、產業戰略調整、經營結構調整等重大決策流程。
四、內部審計如何協助企業實施基本規范
基本規范對內部審計也給予了足夠的重視,規定:“企業應當在董事會下設立審計委員會。審計委員會負責審查企業內部控制,監督內部控制的有效實施和內部控制自我評價情況,協調內部控制審計及其他相關事宜等。審計委員會負責人應具備相應的獨立性、良好的職業操守和專業勝任能力。”審計委員會成為必設機構,權力得到擴大。要求企業應當在董事會下設立審計委員會,并保證內部審計機構設置、人員配備和工作的獨立性;內審機構對監督檢查中發現的內部控制重大缺陷,有權直接向董事會及其審計委員會、監事會報告。內部審計工作的職責不僅包括審計會計賬目,更重要的是檢查、評價內控制度是否完善和各職能部門履行職能的效率,并向企業最高管理部門報告內控制度的執行結果,從而保證內控制度更加完善和嚴密。在實際工作中,內部審計可以通過以下兩方面職能協助企業實施基本規范:
一方面,內部審計是內部控制的重要環節,它是對內部控制的檢查和再控制。通過內部審計人員經常和定期的審計活動,評估內部控制的有效性,達到消除隱患、改進管理、提高效益的目標,以消除影響內部控制的各種因素,它是落實內部控制的一個重要保證。一個完整的內部控制系統,必須要有內部審計來監督執行,以及時發現問題,糾正偏差,修訂并完善制度。
另一方面,內部審計可以發揮咨詢職能,為企業風險評估、控制活動構建等方面提供專業支持,確立企業的高風險領域,提出風險應對措施建議,供管理層參考,從而起到協助企業完善內部控制的作用。
參考文獻:
[1]2008.企業內部控制基本規范.
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 18. 021
[中圖分類號] F239.45 [文獻標識碼] A [文章編號] 1673 - 0194(2012)18- 0037- 03
1 新舊企業內部控制基本規范的比較
2008年財政部、證監會、審計署、銀監會和保監會聯合了《企業內部控制基本規范》(以下簡稱“新基本規范”)。這是繼2000年財政部的《內部會計控制規范——基本規范(試行)》(以下簡稱“舊基本規范”)以來,我國在會計、審計領域的又一重大變革。新基本規范為上市公司加強內部控制建設提供了基礎性和權威性的借鑒,必將有利于提高上市公司經營管理水平和風險防范能力,促進資本市場持續健康發展。同時也為我國中小企業長久持續發展指明了方向,加強企業內部管理是企業長盛不衰的法寶,中小企業在條件具備的情況下應嚴格管理,完善內部控制。
1.1 企業內部控制定位及所體現的理念
舊基本規范涉及的內部控制是指內部會計控制,在具體范圍上,主要涵蓋的是內部會計控制,同時也兼顧與會計相關的控制。對內部控制中的大部分管理控制因其與會計不相關而被排除在舊基本規范之外。舊基本規范的框架結構也是圍繞內部會計控制應遵循的目標、原則、內容、方法、監督、檢查等邏輯思路來構建的。因此,傳統的“內部控制制度二分法”(將內部控制劃分為內部會計控制和內部管理控制)思想主導了舊基本規范對內部控制的定位和規范。
新基本規范雖然以財務報告內部控制為核心,以內部控制機制為規范重點,但是定位卻是企業的全面內部控制。新基本規范還借鑒了COSO(The Committee of Sponsoring Organizations)的框架,根據我國的具體國情進行了較大的調整和改革。尤其是對全面風險管理理念的關注,幾乎體現在新基本規范的所有方面。
1.2 企業內部控制規范的力度
在制定主體上,舊基本規范是由財政部制定的,而新基本規范是由財政部會同證監會、審計署、銀監會和保監會聯合制定并的,新基本規范更具代表性和權威性,更有利于其有效的實施。在適用范圍上,舊基本規范適用于我國境內所有的國家機關、社會團體、公司、事業單位和其他經濟組織,而新基本規范則適用于中國境內設立的大中型企業,小企業和其他單位也可以參照新基本規范建立并實施內部控制。新基本規范在上市公司范圍內施行的同時,明確鼓勵非上市的大中型企業參照執行。
新基本規范要求上市公司對內部控制的有效性進行自我評價,披露年度自我評價報告,并可聘用具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計。
此外,為了確保外部審計等監督措施能夠得以順利實施,新基本規范指出“企業應當以書面或者其他適當的形式,妥善保存內部控制建立與實施過程中的相關記錄或者資料,確保內部控制建立與實施過程的可驗證性”。
而舊基本規范除了規定各單位應當根據國家有關法律法規和規范本身,結合部門或系統的內部會計控制規定,建立適合本單位業務特點和管理要求的內部會計控制制度并組織實施,除此之外,沒有特別要求單位本身對內部控制的有效性進行自我評價并出具內部控制的自我評價報告。
2 中外企業內部控制基本規范的比較
COSO的《企業風險管理——整合框架》繼承了COSO于1992年的《內部控制——整合框架》的五要素框架,并在此基礎上將其發展成為八要素框架,與《企業內部控制基本規范》一樣,都涵蓋了五要素框架,即內部環境、風險評估、控制活動、信息與溝通以及內部監督(《企業風險管理——整合框架》稱之為“監控”)。
2.1 形式差異
在借鑒國外的內部控制框架的同時,新的《企業內部控制基本規范》也有自己的創新,它根據我國的實際情況,在五要素的基礎上做出了較大的調整,這樣在內容上得到更大的充實,在表達形式上也就更符合我國法規特點、文化傳統和語言習慣,使得國外提出的較為宏觀、抽象的內部控制理念轉變為了具有針對性、實用性的內部控制規定。這樣一來,兩個文件在控制活動、信息與溝通和內部監督方面的規定就基本相同了。
2.2 本質差異
一 企業內部控制基本規范及三個指引的介紹
2008年6月28日,財政部、審計署、證監會、銀監會聯合頒布了《企業內部控制基本規范》(以下簡稱《基本規范》),該法規文件被稱為“中國版的薩班斯法案”’。正式官方文件于2008年5月22日以通知形式下發“關于印發《企業內部控制基本規范》的通知財會[200817號”。理解《基本規范》時也需要考慮《通知》中相關要求。為配合《基本規范》的實施,財政部還頒布了三個指引性文件,即《企業內部控制評價指引》、《企業內部控制應用指引》、《企業內部控制鑒證指引》,并公開征集意見。以下將對《基本規范》和三個《指引》作簡單介紹。
(一)《基本規范》主要內容介紹
《基本規范》包括七章、50條條款。第一章規定了規范的范圍、適用性以及企業開展年度評價的要求。第二章至第六章規定了企業內部控制需要考慮的重要因素,包括:內部環境、風險評估、控制活動、信息與溝通和內部監督。第七章規定了規范的生效日期,并指出規范的配套辦法將由相關部門另行制定。《基本規范》的主要內容包括:
(1)生效日期:自2009年7月1日起實施(基本規范第五十條)。
(2)適用范圍:適用于中華人民共和國境內設立的大中型企業(基本規范第二條)。
(3)內部控制的定義及要素:基本規范中定義的內部控制要素與COSO委員會1992年的內部控制整體框架的整體框架基本一致。并融合了COS02004年的企業風險管理整合框架的概念。因此,《基本規范》包含COSO上述兩個公告的重要原則。另外,基本規范中定義的內部控制包含全部控制要素,其范圍比sox中規定的“財務報告相關的內部控制”更為廣泛。
(3)內部控制職責:董事會負責內部控制的建立健全和有效實施,監事會對內部控制的建立和實施進行監督。經理層負責組織領導企業內部控制的日常運行(基本規范第十二條)。
(4)管理層年度自我評價:通知中要求執行基本規范的上市公司,應當對本公司內部控制的有效性進行自我評價,披露年度自我評價報告。
(5)執行時需考慮的事項:《基本規范》鼓勵運用信息技術和自動控制來加強企業內部控制(基本規范第七條),并要求企業建立內部控制實施的激勵約束機制,將各責任單位和全體員工實施內部控制的情況納入績效考評體系,促進內部控制的有效實施(基本規范第八條)。
(6)審計意見: 《基本規范》中未強制企業獲取內部控制有效性的審計意見,因而管理層可以考慮是否進行外部審計。接收委托從事內部控制審計的會計師事務所,應根據本規范和其他配套辦法等法規,對內部控制的有效性進行審計(基本規范第十條)。
(二)三個《指引》的概要
為配合《基本規范》的實施,財政部同時頒布了三個《指引》,并公開征集意見,其概要如下:
《企業內部控制評價指引》:由財政部制定,用于指導企業管理層對內部控制有效性進行年度評價,包括內部控制的評價程序、方法、缺陷認定和評價報告等。
《企業內部控制應用指引》:由財政部制定,用于指導企業管理層實施內部控制。該指引設置了22個獨立文件,包含具體的運營流程和內部控制要素。
《企業內部控制鑒證指引》:由中國注冊會計師協會制定,主要用于指導接受企業委托從事內部控制審計的會計師事務所,從事企業內部控制有效性鑒證業務的方法、程序和要求等。
二 我國目前內部控制規范體系建設中存在問題
(一)企業對內部控制的內涵認識不清
企業普遍認為內部控制就是內部控制制度,是企業用以防止發生錯誤和舞弊或者是用以應付有關部門及主管單位檢查而制定的各項規章制度。在內部控制實際運行過程中,企業往往認為有關的職責分工、審批授權制度就是內部控制制度;完成有關部門或主管單位所要求的內部控制制度制定工作,就是實施了企業內部控制,對內部控制只注重制度建設而不重視制度執行,缺乏對內部控制實際執行效果的考核與評價。而按照COSO的ICIF框架對于內部控制的定義:企業內部控制是受企業董事會、管理當局和其他員工的影響,目的在于實現經營效果和效率、財務報告的可靠性、遵循適當的法規等目標而提供合理保證的一種過程,應由控制環境、風險評估、控制活動、信息與溝通、監督五個方面的內容構成。COSO框架強調內部控制是為了保證企業目標的實現而實施的控制過程,要圍繞五個要素來構建內部控制框架,是一項比較復雜的系統工程。
(二)企業內部控制的相關規范重疊復雜,缺乏統一性
我國原有的企業內部控制評估標準主要依據財政部于2001年6月頒布的《內部會計控制規范基本規范(試行)》以及按業務環節設置的《貨幣資金》(2001)、《采購及付款》(2003)、《銷售及收款》(2003)等7個具體規范來設計。其他的還有證監會于2006年頒布的《上市公司內部控制指引》、《首次公開發行股票并上市管理辦法》(中國證監會第32號);國資委于2006年頒布《中央企業財務內部控制評價工作指引(2006年度試點用)》;上交所于2006年6月頒布《上海證券交易所上市公司內部控制指引》,到目前為止尚未正式強制執行;深交所于2006年9月頒布《深圳證券交易所上市公司內部控制指引》,2007年7月1號生效,到目前為止尚未正式強制執行;保監會于2007年4月頒布《保險公司風險管理指引(試行)》;銀監會于2007年7月頒布《商業銀行內部控制指引》,以指導商業銀行內部控制管理。可見,我國不同的政府管理機構各自頒布不同的內部控制的指導原則、指引、規范,這些不同的內部控制規范形式多樣、標準不一,增大了內部控制規范之間的協調成本,也不利于構建統一的企業內部控制規范體系。
(三)忽視內部控制環境建設
按照COSO的ICIF框架,控制環境是內部控制框架體系的第一要素,被視為其他控制要素的基礎。按照ICIF框架的定義,內部控制環境是指一個企業的基調和氛圍,對內部控制形成外部約束,并直接影響企業員工的控制意識。控制環境因素主要包括管理層的經營理念和經營風格,企業員工的道德價值觀和工作勝任能力,管理當局的授權和職責分工方法,人力資源的組織與開發,董事會的關注和指導力度等。控制環境是內部控制能否生效的重要因素之一,控制環境的失效必然會直接導致內部控制的失效。由于我國企業普遍存在著大股東或關鍵人控制問題,內部控制環境未得到應有的重視,很多企業還未開展內部控制環境建設,如公司治理方面存在嚴重缺陷,管理層關鍵人凌駕于規章制度之上,內審部門無法肩負起監督職責等。而《證券公司內部控制指
引》、《商業銀行內部控制指引》、《上市公司內部控制指引》等雖然都將控制環境列為內部控制規范的要素之一,但也僅僅是對COSO的ICIF框架內容的簡單移植。要使內部控制環境在內部控制體系中得到完善,并發揮內部控制環境應有的作用,還需從改進公司治理、更新管理層經營理念、加強員工職業道德教育等基礎工作做起。
(四)內部控制的控制環境之公司治理結構還有待于完善
正如前面所述,公司治理是內部控制的環境要素之一,是內部控制的基礎與依據,完善的公司治理有助于企業建立了良好的內部控制環境。可見,公司治理結構是內部控制能否發揮作用的關鍵因素之一,很大程度上將影響內部控制的有效性。我國由于歷史和制度原因,還存在著國有股一股獨大、內部人控制、監事會形同虛設、內審人員不能依照規章發揮和履行監督職能等公司治理方面的嚴重缺陷。這些因素必將削弱我國企業內部控制制度的有效性。
(五)內部控制法律框架尚未正式形成,目前正處于起步階段
從上述已有的內部控制的法律規范以及即將實施的法律規范來看,普遍存在立法層次低、內容分散、缺乏銜接和完整性等特點,而內部控制理論框架的研究也是最近幾年興起,學者對內部控制的內涵、目標等因素的爭論較多,尚未形成統一的認識和成熟的理論。
三 完善我國內部控制規范體系的幾點建議
(一)提高企業對內部控制的認識和理解,營造良好的內部控制氛圍
要同宣傳新會計準則、新稅法那樣,對內部控制進行廣泛宣傳和推介,改變目前人們普遍將內部控制看做是一項制度性建設的錯誤觀念,使企業管理層和廣大員工充分認識到內部控制的包含企業經營活動各個環節的控制過程和活動,是一項復雜的系統工程。只有提高企業管理層和員工對內部控制的認識和理解,才能形成一個良好的內部控制氛圍,從而促進內部控制規范的建設和實施。
(二)統一內部控制規范,建立統一的內部控制框架體系
為了改變我國內部控制規范建設中各自為政的現狀,建議由財政部牽頭,由企業內部控制標準委員會具體負責,對現有財政部、證監會、中國人民銀行、國資委、上海證券交易所、深圳證券交易所等部門和機構制訂出臺的內部控制方面的規范、制度、指引等進行重新梳理和整合,統一內部控制的概念、目標、要素、原則、程序、評價標準等基本內容,制定出適用范圍寬泛的內部控制整體框架,作為各類企業內部控制體系建設的參照標準。各部門或機構在履行其各自管理職能時,可以對管轄范圍內的企業提出內部控制建設方面的具體要求,但建設內部控制所依據的規范框架應該是統一的。此次財政部、審計署、證監會、銀監會聯合頒布了《企業內部控制基本規范》,正是為統一內部控制規范,建立統一的內部控制框架體系奠定了堅實的基礎。
(三)完善法人治理結構,優化內部控制環境
