姜 毅

摘要:2008年6月28日财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》,既融合了COSO风险管理的先进经验,又具有中国的特色。COSO在ERM框架报告中指出,企业风险管理是一个过程,它是由一个主体的董事会、管理当局和其他人员实现的,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险已使其在该主体的风险容量之内,为主体目标的实现提供合理保证。

关键词:企业;内部控制;COSO风险管理;基本规范

中图分类号:F713.50文献标志码:A文章编号:1673-291X(2009)29-0192-03

企业内部控制的完善和执行情况日益成为人们关注的议题。在国内,“中航油”、“银广厦”等多起舞弊案件都是与企业内部控制的缺失有关。德勤华永会计师事务所有限公司最新《中国上市公司内部控制调查分析报告》的调查结果显示,大多数企业在内部控制实施方面仍然存在一定的盲目性。中国上市公司约58.82%的企业为应对金融危机而指定了专门的部门落实风险管理和内控工作,但是,仅有23.53%的企业将内控工作的重点从书面制度转变为具体实施;仅约17.65%的企业进行了内部控制评价。可见,内部控制问题已成为上市公司的软肋。2008年6月28日财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》,该规范融合了COSO 风险管理的先进经验,又具有中国的特色,被世人赞誉其为“中国版的萨班斯法案”。那么,基本规范是否能解决上市公司的问题成为了时下理论界、实务界关注的焦点。

一、企业内部控制规范与COSO企业风险管理的不同

(一)内涵、目标不同

2008年6月28日财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》,为中国企业首次构建了一个企业内部控制的标准框架。它所指的内部控制,是指由企业董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:(1)企业战略;(2)经营的效率和效果;(3)财务报告及管理信息的真实、可靠和完整;(4)资产的安全完整;(5)遵循国家法律法规和有关监管要求。

2004年9月,COSO委员会在内部控制框架概念的基础上,提出了企业风险管理(Enterprise Risk Management,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO在ERM框架报告中指出企业风险管理是一个过程,它是由一个主体的董事会、管理当局和其他人员实现的,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险已使其在该主体的风险容量之内,为主体目标的实现提供合理保证。ERM框架对内部控制明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。ERM框架提出,要力求实现四类目标:战略目标、经营目标、报告目标和合规目标。

(二)基本要素不同

1.企业内部控制规范考虑以下基本要素:

(1)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。

(2)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。

(3)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。

(4)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。

(5)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告,提出有针对性的改进措施等。

2.COSO企业风险管理包括八个相互关联的构成要素。它们来源于管理当局经营企业的方式,并与管理过程整合在一起。这些构成要素是:

(1)内部环境。内部环境其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其中特别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。

(2)目标设定。必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。

(3)事项识别。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,管理层必须识别影响主体目标实现的内部和外部事项,区分风险和机会。

(4)风险评估。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。

(5)风险应对。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括風险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。

(6)控制活动。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。制订和执行政策与程序以帮助确保风险应对得以有效实施。

(7)信息与沟通。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。

(8)监控。企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。

(三)管理人员对实现企业目标的职责

1.企业内部控制基本规范对管理人员的职责规定如下:

(1)企业董事会应当充分认识自身对企业内部控制所承担的责任,加强对本企业内部控制建立和实施情况的指导和监督;

(2)董事长(或者法定代表人、代表企业行使职权的主要负责人,以下简称董事长)对本企业内部控制的建立健全和有效实施负责;

(3)经理(或者总裁、厂长,以下简称经理)根据法定职权、企业章程和董事会的授权,负责组织领导本企业内部控制的日常运行;

(4)总会计师(或者财务总监、分管财务会计工作的负责人,以下简称总会计师)在董事长和经理的领导下,主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。

2.COSO企业风险管理将各级人员的职责分成三个层次:

(1)董事会,监控企业风险管理,获知并批准企业设定的风险偏好,与企业高层管理人员讨论企业风险管理的状态,获知企业所面临的重大风险、管理层拟采取的行动以及管理层确保风险管理有效性的方式,董事会还要从内部审计人员、外部审计人员和其他人员那里获取相关信息;

(2)高层管理人员,首席执行官或总裁应对ERM 负总责,各部门经理应认同企业的风险管理理念,按企业设定的风险偏好和风险容忍度管理本部门事务。首席执行官或总裁应召集各部门经理对企业风险管理的能力和有效性进行初步评估,以决定是否有必要对其继续进行更深入的评价;

(3)企业基层职员,有责任按照企业已确立的指令和协议实施风险管理。

二、企业内部控制基本规范的贡献

从基本规范与COSO风险管理的比较,可以看出基本规范既吸收了COSO报告的精华,又具有一定的中国特色:

1.提高了内部控制规范的地位。新规范既有类似萨班斯法案的强制力,又有与科索报告一样对内控实务的示范作用;既对中国企业建立内控制度提出了强制性要求,又为千差万别的中国企业建立健全内控制度提供了基本框架;既吸收了内控的国际先进理念,又充分体现了中国内部控制的现实环境要求。有专家认为,这一规范的出台,是中国企业按国际化标准严格自律的宣言书,更是中国企业参与国际竞争,逐步接受并自觉遵循市场经济游戏规则,不断完善企业制度、细化管理的内在要求。世人赞誉其为“中国版的萨班斯法案”。

2.统一了我国企业内部控制规范。在美国,COSO框架是美国企业以及在美国上市的外国公司的内部控制建设的标准,而在我国,长期以来内部控制规范正出多门,现实中,至少存在包括证监会、财政部、国资委、人民银行、证券交易所等部门或主管单位发布的关于内部控制或风险管理的规范文件。尽管有关监管部门在实际中采用了COSO的标准,但都比较局限。2008年6月28日财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》是广泛征求各监管部门意见基础制定的,统一了我国企业内部控制规范的标准,使企业可在统一的框架内建立有效的内部控制监督体系,同时为外部监管公司内部治理的设计、实施、监督、评估等奠定了基础。

3.科学界定内部控制的内涵,强调“全员控制”。基本规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,是一种全面、全员、全过程控制的理念。

4.准确定位内部控制的目标。旧规范的目标定位,基本上是处于内部控制目标层次的最低级,只包括:保证会计资料真实、完整;保护单位资产的安全、完整;确保国家有关法律法规和单位规章制度的贯彻执行。基本规范前瞻性提出企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略。本次的修订既强调了COSO全面风险管理的四大目标,又增加了对资产的安全完整的要求。这充分体现我国顺应国际内部控制和风险管理日益融合的趋势。

5.统筹构建内部控制的要素。旧规范的范围过于狭窄,主要集中于会计领域。《会计法》、《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重于企业的会计责任方面。而本次修订的基本规范有机融合COSO全面风险管理的做法,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。

6.明确界定各控制主体职责。内部控制的有效执行有赖于全员参与,而只有企业内每个人均清楚地知道自己所拥有的责任和权力,才能认真履行自己的职责,提高内部控制的执行力度。新规范所界定的内部控制主体有四层:一是董事会,二是监事会,三是经理层,四是全体员工。董事会是加强企业内部控制的第一责任人;监事会负有对董事、经理执行公司职务时违反法律、法规或者公司章程的行为进行监督的权利,在监督投资者决策行为的同时切实履行监督投资者对经营者的监管职能的落实情况;经理层直接对企业的经营管理活动负责,尤其是企业总经理(首席执行官)承担重要责任;全体员工在实现内部控制中承担相应职责并发挥积极作用。

7.创新了体系。除基本规范之外,财政部还起草了17项具体规范,并将继续起草若干具体规范和应用指南;与此同时,还将研究、制定评价标准和配套实施办法,形成全方位、立体性推进内控体系建设的局面。我国的企业内控体系,将是一个层次分明、内容完整、衔接有序、整体互动的有机统一体。

8.强化了内部风险管理。旧规范只是强调通过风险预警、风险识别、风险评估、风险分析、风险报告等措施,对财务风险和经营风险进行全面防范和控制,而基本规范更强化了在目标设定环节就要考虑风险因素,这一条和COSO的风险管理是吻合的。

9.提出了切实可行的内部控制实施机制。基本规范建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制,要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。这充分体现了基本规范在实施过程中适当的引入了信息机制和声誉机制、强化检查监督机制,落实内控责任主体和严格问责和实施严厉的奖惩机制的特点。

三、企业内部控制基本规范实施的难点

企业内部控制规范在执行中还存在很多困难:

1.基本规范的要素中没有体现事项识别的重要性

事项可能会带来负面影响,也可能带来正面影响,带来正面影响往往意味着机会,而机会对于企业目标的实现是有重要作用的。基本规范只强调了风险的识别,而对于机会则没有关注。

2.没有强调对高层的监控

企业董事会、监事会是内部控制的主体。从控制的层次看,董事会、监事会为高层,經理为中层,职能部门和员工为低层,这三个层次都应纳入内部控制的范围。但实施的难点在于高层控制不可能由企业内部的主体来完成,企业内部主要是对中低层的控制,对高层的控制应当由外部控制主体如股东、政府等来完成。但是,外部控制主体往往因信息不对称或其他原因,经常出现监控不力的问题。

3.企业内部控制基本规范与企业风险管理指引的协调还存在问题。世界上内部控制与风险管理已逐渐融合,把内部控制与风险管理试为同一事件。2004年,COSO发布的《企业风险管理—整合框架》,在该框架附件C中明确:内部控制是企业风险管理的一个不可或缺的部分,风险管理框架继承包含了内部控制框架的主体内容。而在我国的实际工作中,还存在《企业内部控制基本规范》和《中央企业风险管理指引》如何统一协调的问题。当然,强调风险管理与内部控制的融合,并不是风险管理要代替内部控制,实际上两者是并存的。企业肯定需要建立内部控制,来应对阻止企业进步的风险。否则,被控制所遏制的风险将可能发生。