我国企业内部控制规范体系的构成
2011年4月26日,财政部会同证监会、审计署、银监会、保监会在北京联合发布了《企业内部控制规范配套指引》。该配套指引由21项应用指引(此次发布了18项,涉及银行、证券、保险等业务的3项指引暂未发布)、《企业内部控制评价指引》与《企业内部控制审计指引》(两者以下合称为评价与审计指引)所组成,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行,并计划在上述施行公司的基础上,择机在中小板和创业板上市的公司中施行。同时,鼓励非上市大中型企业提前执行。
《企业内部控制规范配套指引》连同2008年5月发布的《企业内部控制基本规范》(自2009年7月1日在上市公司范围内施行,鼓励非上市大中型企业执行,以下简称为基本规范)共同构成了中国企业内部控制规范体系。如果说目前已在上市公司实施的《企业内部控制基本规范》还只是一个框架结构,主要界定内部控制的内涵、目标、要素,说明制定企业内部控制规范的目的、依据及该规范的适用范围,操作性指导还不强,还是一个方向性指南的话,那么,《企业内部控制规范配套指引》则是企业加强和改进内部控制具体的、具有操作性的指南。
二、对我国企业内部控制规范体系的评价
(一)对基本规范的评价
从基本规范来看,主要涉及到内部控制的基本理论问题,包括内部控制的本质、目标、原则、要素(对象)与方法。规范提出的内部控制五原则:全面性、重要性、制衡性、适应性、成本效益性原则具有重要指导意义。
在控制要素(对象)上,基本规范采用的是1994年COSO报告中的五要素观,而没有采用2004年风险管理框架的八要素观,是实事求是的做法。实际上,这也涉及到内部控制与风险管理的关系问题。内部控制主要体现在流程管理上。流程管理的内容主要包括两个方面:一是业务流程,即规定完成业务的先后顺序;二是管理流程,主要是对各风险管理点的标准。二者结合在一起才是真正的流程管理”。
对于五要素之间的关系,内部控制环境是基础(说明在什么样的环境下开展控制活动),风险评估是前提(说明要重点针对什么活动和在该活动的什么方面进行控制),控制活动是核心(说明对需要重点控制的活动或环节运用什么方法进行控制),信息与沟通是桥梁(以一定的方法对风险评估确定的应该控制的活动和环节开展控制,没有信息的支持是无法达成目标的),监督是保障(没有监督作为保障,控制的好坏在管理上没有区别,则无法达到控制的目标)。就内部控制的方法来说,应该涉及到全部五个要素,既有内部控制环境的评价、改进方法,也有风险评估、风险管理策略的选择方法;既有直接运用于控制活动的方法,也应有信息生产与沟通、监督的方法。
基本规范存在的不足主要体现在:1.在控制要素上仅提到内部监督,难以指导企业内部控制规范指引,也说明基本规范与指引有不相衔接的地方;2.对控制方法的说明不集中,仅在第28条较详细地阐述了控制活动的方法,对其他要素控制的方法很少说明,如风险评价的方法、信息生产与沟通的方法、监督的方法等;3.如何建立反舞弊机制问题放在信息与沟通要素部分不恰当,笔者认为这应该是内部监督的内容;4.对董事会、监事会、经理层、审计委员会、内部审计部门的职责划分不清。如第12条规定,董事会负责内部控制的建立健全和有效实施,监事会对董事会建立与实施内部控制进行监督,经理层负责组织领导内部控制的日常运行。但第13条又规定企业应在董事会下设立审计委员会,审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况(而在自我评价规范中又没有具体涉及到审计委员会),协调内部控制审计及其他相关事宜。从这些规定中可以看出,我国仍然没有处理好内部公司治理问题。
(二)对18项应用指引的评价
应用指引是对内部控制要素进行控制时的具体应用指南。从已公布的各项具体应用指引来看,重点突出了对风险的关注,这点值得肯定。已公布的18项应用指引都在总则部分说明了企业应关注的风险,这可看成企业风险评价的基础和指南。就其他四个方面的要素来看,内部控制环境涉及到组织架构、发展战略、人力资源、社会责任和企业文化5个具体指引。就控制活动来说,涉及到资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告9个具体指引,存在的主要问题是没有生产控制的内容。在过去的征求意见稿中有一个成本费用规范,现在也取消了。过去征求意见稿中没有全面预算规范,现在加了一个全面预算规范,笔者认为应将过去的成本费用规范与现在的全面预算规范结合起来。关于信息与沟通要素,涉及到内部信息传递和信息系统两个具体指引。此次公布的18项应用指引归为三大类,第一类为环境类指引,第二类为控制活动类指引,第三类为控制手段类指引,包括全面预算、合同管理、内部信息传递和信息系统4项。第三类作为方法也可以,但并没有和内部控制要素间的衔接。