王 恒

（安徽财经大学，安徽 蚌埠 233041）

企业内部控制监督检查制度的国内外对比研究

王 恒

（安徽财经大学，安徽 蚌埠 233041）

文章对国内和国外的企业内部控制监督检查制度进行比较。国外的资料来源是COSO委员会于2009年1月发布的《监督内部控制系统的指南》，国内的资料来源是《企业内部控制基本规范》及其应用指引、评价指引和鉴证指引的征求意见稿。文章比较了两者的监督基础、设计和执行监督程序、评估和报告结果等方面，指出了两者在监督检查方面分别存在的问题，并提出相关建议。

内部控制；监督检查制度；监督要素；企业

在全球金融危机愈演愈烈的背景下，上市公司面临的经营和投资市场风险日益加大，不断有公司因巨额亏损而破产倒闭的事件发生。这些事件让市场和监管部门意识到企业内部控制有效性的缺失将会带来巨大灾难和损失，同时反映了许多企业并没有充分利用内部控制的监督要素来促进内部控制的有效运行，从而极大推动了全球市场监管部门对公司内部控制系统监督问题的进一步关注。在此背景下，COSO委员会于2009年1月发布了《监督内部控制系统的指南》。

目前，我国还未针对监督要素出台专门的应用指引，主要是在《企业内部控制基本规范》中对内部监督要素做出相关规定，同时在具体的应用指引的征求意见稿中也分散地体现了一部分监督的思想。下面，把COSO发布的内部控制系统监督指南和我国《企业内部控制基本规范》及应用指引、评价指引和鉴证指引的征求意见稿的有关监督检查的内容进行分析并比较。

一、总体比较

监督指南专门针对监督要素，旨在提高监督的效果和效率，从监督的作用、监督的流程(包括监督基础、监督程序、评估和报告结果)，以及其它影响监督要素的因素等方面，对监督要素进行了一个系统、全面而又具体的阐述。同时配之以实例，使用者能更好地利用监督要素。[1]而我国在《企业内部控制基本规范》（以下简称规范）中的相关规定还停留在原则层面，仅指出了监督的主体、类型、报告要求等，但对于如何具体操作并没有详细说明。而且《规范》并未强调如何提高监督的效率。[2]

另外，内部控制评价是监督的一个重要内容，根据《规范》，企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。《企业内部控制评价指引》(征求意见稿)对内部控制评价的原则和内容、程序和方法以及评价报告的内容进行了阐述，但该评价指引所指的内部控制评价是“企业董事会(或类似决策机构)或其授权机构，对内部控制设计与运行的有效性进行综合评估的过程”。“企业内部控制评价报告应当报企业经理层审核、董事会审定后公布”。可见，《规范》和《评价指引》中所指的内部控制评价是要以董事会为主体的定期的全面评价，其评价报告是一种对外报告，未能涵盖监督要素中所指的所有报告。而监督最重要的作用是服务于企业内部管理，在日常监督中所实施的自我检查、自我评价以及内部报告对于企业而言更为重要，但《规范》和《评价指引》并未对此做出详细说明。[3]

二、具体比较

1.监督基础

监督指南强调高层对监督的重视、有效的组织结构以及对内部控制有效性基准的理解。《规范》在内部环境部分强调了董事会、监事会、审计委员会以及内部审计的监督职能，同时对他们的独立性和专业胜任能力提出了要求，类似于监督指南中提出的评估者所应具备的特征，但并未专门强调高层重视监督的意义和表达方式。[4]

在我国目前已有的相应规定中，基本都是将监督执行主体定位于董事会、监事会、审计委员会以及内部审计部门。然而，监督可能发生在组织中的各个层级。正如监督指南中指出的“正如其他的控制要素，监督可以在不同的层级上运行”。在某种程度上，内部控制是组织中每个人的责任，因此，每个人都负有一定的监督职责。企业内的每个人都在运用内部控制制度所涉及的资讯，或采取一些影响控制的其他行动;对于营运中所产生的问题、违背行为准则或其他政策，或不法行为的资讯，每个人都担负着向上报告的责任。全员参与可使各责任主体及时了解在其职责范围内存在的缺陷以及可能导致的后果，然后采取行动改进这种状况。所以每个人的工作说明书中均应有一个明述或暗示的部分说明该责任。

“对内部控制有效性基准的理解”是监督指南的一个新提法，其实质是对内部控制的设计及是否有效的理解，随着各种因素的变化，这种理解也要及时更新。对内部控制有效性基准的理解是进行监督的前提，是监督人员首先要做的工作，也是监督人员胜任能力的一个体现，但在《规范》中未对此做出强调。

2.设计和执行监督程序

为提高监督的效率，监督指南强调在设计监督程序时，要考虑风险评估的结果，所选择的监督程序应该能提供充分且适当的信息，以说明应对重大风险的关键控制在有效运行，确保某一目标的实现，而不是盲目地对所有的控制都进行监督。在没有考虑控制活动所要应对的风险水平或它们所提供的支持数量的情况下，对一系列的控制活动进行监督，效果和效率都很低。[5]而在我国的《规范》中，仅指出专项监督的范围和频率要考虑风险评估结果，“应当根据风险评估结果以及日常监督的有效性等予以确定”。而并未指出在日常监督中，同样应考虑风险评估的结果。《评价指引》中也指出内部控制评价要遵循的原则之一是重要性原则，即“在全面评价的基础上关注重要高风险领域”，体现这一思想。因此，应将这一思想扩展到整个监督领域。

例如，如果企业增加了一个新的销售渠道，采用不同的订单录入程序，监督者就要确认是否恰当设计和执行了新的程序(即变化管理)，对新录入的订单执行更细致的观察，或者选择更多的订单来进行核查，从而有效的识别变化。变化管理程序可以使监督者把注意力集中在由于变化引起的高风险领域，使得通过改变监督程序的类型、时间和范围以提高整体效果。

在执行监督程序时，监督指南强调“当风险和信息的可得性值得用持续监督，在可行的情况下，组织应该考虑更多地使用持续监督”。但从《规范》来看，并未强调日常监督的重要性和必要性，仅简要地指出‘日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查”。日常监督的有效性是设计专项监督的一个考虑因素，若不能从日常监督中获得有价值的信息，那么就增加了专项监督的范围和频率的需要。对日常监督的有效使用是提高监督整体效果和效率的一个重要途径。日常监督可以及时地发现内部控制设计和执行中存在的问题并加以纠正，确保内部控制持续有效地运行。而按照目前我国相关的规定，极易使企业忽视日常监督的重要作用，而主要依靠每年一次的年末评估，对于监督要素来说，这样的年末评估是远远不够的，无法达到及时发现控制缺陷的效果。

监督指南指出对外报告要求的存在会影响对有说服力的信息的判断，进而影响监督程序的选择。企业监督的结果能多大程度上被外部使用者所信赖和利用，体现了企业监督程序的价值大小。尽管从企业内部来说，某些监督程序可以满足企业内部管理的需要，但由于客观性不足等原因，外部使用者不信赖该监督结果，而重新执行评估，增加了成本，降低了监督的效率。因此，在决定监督程序时，要考虑对外报告的要求，这是提高监督效率，降低对外报告成本的一个重要途径。但在我国的相关规定中并未体现这一思想。

3.评估和报告结果

在内部报告方面，监督指南强调将识别的控制缺陷进行排序，并根据监督的目的和缺陷的严重程度确定报告的对象，并考虑了涉嫌欺诈的情况。“在正常情况下，应该将控制缺陷报告给直接负责该控制运行的人和至少高一级别的有监督职责的管理层；在某些情况下，缺陷可能严重到需要与董事会讨论；在涉嫌欺诈的情况下，可能不报告给直接负责控制运行的人，而是报告给高一级别的管理层”。《规范》规定：对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。可见，监督指南的规定比较具体，体现了实质性的内容，具有可操作性，而我国的规定有些含糊，除非企业在他们的监督制度中对报告程序进行了进一步说明，某种类型、程度的缺陷该报告到哪一层级，否则“向董事会、监事会或者经理层报告”具有选择性，不利于操作。

在对外报告方面，监督指南强调应充分利用监督的结果来支持对内部控制有效性的评估，而避免“增加多余的、常常是没必要的程序来评估控制—对于这些控制，管理层通过现有的监督已经能得到足够支持了”。《规范》指出:企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。即企业在进行全面的自我评价时，要考虑日常监督和专项监督的情况。而仅仅强调考虑是不够的，还应该加以利用。如果企业在日常的监督或专项监督中能够有充分的证据说明某些控制是持续有效运行的，那么，在进行自我评价时，企业完全可以利用这些监督结果来支持他们的结论，而不必重新进行测试，从而提高了整个自我评价的效率，降低对外报告成本。

4.其它考虑因素

监督指南中还提到了其它有关监督要素的因素:

（l）对外包服务方的内部控制进行监督。当组织利用外部团体来提供某些特定服务时，应将与该服务有关的内部控制纳入本组织的监督范围，监督指南还提出了一些提高监督效率的方法。但在我国的相关法规中，未考虑到这一情况。

（2）利用信息技术来加强监督。组织可以通过利用控制监督工具和流程管理工具来提高监督的效率和效果，并指出了具体的应用方法。在《规范》中，并未提到信息技术在监督中的使用，而在《信息系统应用指引》(征求意见稿)中强调“企业建立与实施内部控制，应当利用现代管理手段，开发信息系统，优化管理流程，减少人为操纵因素，不断提高内部控制效能”。但并未专门强调在监督方面的利用。

（3）文档记录的正式性和水平。监督指南指出规模不同的组织对文档的需求有所不同，而当存在外部报告的需要时，正式的文档是提高监督效率的一种符合成本效益原则的方法。而《规范》指出“企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性”。可见，二者所关注的重点不同，监督指南从对内部控制监督要素之应用性发展:基于风险导向的理论模型及其借鉴文档的需求出发，来确定文档的正式程度，落脚点仍是要提高效率；而《规范》强调要保存记录，并未对记录的要求做出说明，未考虑到成本和效益问题。

（4）组织的规模和复杂性对监督的影响。监督指南指出许多因素会影响组织监督的类型、时间和范围，两个特别值得关注的因素是组织的规模和复杂性。例如，大型组织中的最高级评估者由于没有接近控制的运行，执行更多地是对其他监督程序的监督。而小型组织中的最高级评估者执行较多的是对实际内部控制的监督，但管理层的客观性可能会受损，因此增加了由董事会或审计委员会执行监督的重要性。而在《规范》中仅提到“内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等因素自行确定”。并未提到在执行其它内部监督时应考虑的因素。而任何一个监督计划，如果要保持有效和高效，必须认识到影响监督的变量，必要时能够适应它们。

三、案例分析

为了对中美两国企业在内部控制监督检查方面的具体做法有更好的了解，本文选取花旗银行和招商银行2007年度的有关内部控制的报告为例进行对比分析。

1.花旗银行内部控制信息披露有关监督检查的内容

花旗银行2007年年度报告中关于内部控制信息披露的主要部分是:《财务报告内部控制管理层报告》和《独立注册的公共会计师事务所就财务报告内部控制的报告》。可是说，前者是内部报告，后者是对外报告。

《财务报告内部控制管理层报告》主要内容有:（l）管理层维护全面控制体系的目的是保证交易都在授权下进行，保证资产安全及财务报告的可靠性，有效的信息与沟通，以及绩效监督；（2）管理层开展公司2007年12月31日时点上的有关财务报告内部控制的有效性评价，评价是依据COSO的内部控制综合框架加以规范和应用的；（3）公司财务报告内部控制有效性得到了毕马威会计师事务所的审计，事务所出具无保留意见的审核报告。最后由总裁，CEO，CFO签名。

花旗银行的《独立注册的公共会计师事务所就财务报告内部控制的报告》是无保留意见的内部控制审计报告。主要内容有:（l）会计师事务所依据COSO公布的“内部控制——整体框架”对委托公司在2007年12月31日时点上管理层做出的保持了有效的财务报告内部控制进行评价；（2）依照美国上市公司会计监管委员会的准则判断被审单位是否在所有重大方面保持了有效的内部控制。事务所的审计包括了解财务报告内部控制，评价管理者的自我评估，测试和评价内部控制的设计及其运行的有效性，以及结合实际情况认为必要的其它审计程序并相信审计为后面发表的意见提供了合理保证；（3）公司在财务报告内部控制方面主要的方针和措施；（4）会计师事务所认为花旗银行内部控制是有效的，管理层对内部控制的评价也是有效的，最后表示无任何保留意见。

2.招商银行内部控制信息披露有关监督检查的内容

招商银行2007年年度报告在第六节公司治理中专设一小节对内控制度完整性、合理性和有效性做出说明。主要内容有:（1）公司按照相关法律法规的要求建立了内部控制制度。“公司已按照相关法律法规的要求，建立了以股东大会、董事会、监事会、高级经理层等机构为主体的组织结构，实现所有权与经营权、管理权与监督权既相互分离、又相互制衡的运行机制。同时，以防范风险和审慎经营为宗旨，在信贷风险管理、资金业务管理、财会管理、人力资源管理、信息系统管理、分行业务运作管理、反洗钱管理及内部稽核和监察保卫方面，建立了系统完整的管理规章制度，基本覆盖了公司各项业务过程和操作环节。按照充分性、合规性、有效性和适宜性原则，公司管理层定期对内部控制状况进行评市，以确保各项内部控制制度的贯彻执行，并满足经营管理的需要。”（2）公司内部控制体现较好的完整性、合理性和有效性。“公司目前的内部控制制度在强化管理监督及约束机制、规范业务行为、有效防范和化解风险、保护资产安全等方面体现了较好的完整性、合理性和有效性，能够对公司经营目标的实现和各项业务的稳定发展以及国家法律法规的贯彻执行提供合理的保证，能够对编制真实、公允的2007年度财务报表提供合理的保证。公司将随着国家法律法规的逐步健全、自身发展和管理的日益深化，持续提高内部控制的完整性、合理性和有效性”。（3）经会计师事务所的审查，内部控制在“三性”方面不存在缺陷。“经本公司董事会、审计师毕马威华振会计师事务所和毕马威会计师事务所审查，未发现公司内部控制制度在完整性，合理性与有效性方面存在重大缺陷”。

3.两家银行的比较

首先，内部控制评价及信息披露主体不同，花旗银行的内部控制评价及信息披露主体有管理层，总裁，CEO，CFO，招商银行的内部控制评价及信息披露主体是董事会。其次，两者在内容上有差异。从报告中可以看出，花旗银行建立了内部控制体系，日常监督完备，内部控制评价重点关注高风险领域，对外报告对对内报告的有效性做出评价。招商银行也建立了内部控制制度，但对内部控制的监督检查方面重视不够，没有提到监督的效率问题。

综上所述，根据我国目前内控规范体系的建设现状，建议相关部门应尽快出台《企业内部控制监督指引》，借鉴监督指南中提出的有效和高效监督的原则，并根据我国企业的具体情况，对内部监督从基础的建设、程序的选择以及报告等方面进行全面、系统的阐述，对企业真正起到有效的指导作用，促进企业内部控制的建设。

［1］The Committee of Sponsoring Organizations of the Treadway Commission:Guidance on Monitoring Internal Control Systems[Z].NewYork，Jan2009，http://www.coso.org.

［2］五部委.企业内部控制基本规范[Z].财会〔2008]7号.

［3］财政部.企业内部控制评价指引(征求意见稿)[Z].财会便[2009]7号.

［4］财政部.企业内部控制鉴证指引(征求意见稿)[Z].财办会「2008]7号.

［5］(美)COSO.内部控制——整合框架[M].方红星译.东北财经大学出版社，2008.

F272.9

A

1672-0547（2010）05-0050-03

2010-05-27

王 恒（1987-），女，江苏盱眙人，安徽财经大学会计学专业硕士研究生。