滕俊楠

【摘要】为了加强企业内部控制规范，不同的国家制定了各自的准则，本文主要研究的是中国《企业内部控制基本规范》（财会[2008]7号）、2013COSO内部控制框架及国际IR框架（2013），这三个报告的相同点和区别，从不同的角度进行对比分析。【关键词】中国《企业内部控制基本规范》（财会[2008]7号）；2013COSO内部控制框架；国际IR框架（2013）；对比分析

我国为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据中国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》（财会[2008]7号）。在美国加强企业内部控制规范用的是美国反虚假财务报告委员会发布的《内部控制整合框架》2013COSO內部控制框架是，在2013年对COSO委员会发布《内部控制整合框架》（COSO-IC）进行了增补，简称（2013）COSO报告。在国际上，则通用国际IR框架，它是由国际综合报告委员会制定的，国际综合报告委员会制定（IIRC）是一个由监管机构、投资者、公司、标准制订者、会计专业人士和非政府组织（NGO）组成的全球联盟。为了加强企业内部控制规范，不同的国家各自制定了准则，本文主要研究的是中国《企业内部控制基本规范》（财会[2008]7号）、2013COSO内部控制框架及国际IR框架（2013），这三个报告的相同点和区别，进行对比分析。

1我国《企业内部控制基本规范》

1.1目标

内部控制的目标，要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上，着力促进企业实现发展战略。

1.2原则13要素

均参见中国《企业内部控制基本规范》（财会[2008]7号）

2 2013COSO内部控制框架

2.1目标

框架提供了三个类型的目标，使得组织可以关注于内部控制的不同方面：运营目标——组织运营的效果和效率，包括运营和财务绩效目标，资产安全不受损失。报告目标——内、外部的财务和非财务报告的可靠性、及时性、透明度，以及其他监管者、公认的标准制定机构和组织政策所要求的方面。遵循目标一遵守对组织适用的法律法规。

2.2原则

框架确立了十七项原则代表了与每个控制要素相关的基本概念。因为这些原则直接从控制要素中提炼，一个组织可以直接应用全部这些原则来实施内部控制。这些原则都可以应用于运营、报告和遵循三类目标。这些每个控制要素内的原则如下。

2.2.1控制环境

（1）组织对正直和道德等价值观做出承诺。

（2）董事会独立于管理层，并对内部控制的推进与成效加以监督控制。

（3）管理层围绕其目标，在治理层监督下，建立健全组织架构、汇报条线、合理的授权与责任等机制。

（4）组织对吸引、开发和保留与认同组织目标的人才做出承诺。

（5）组织根据其目标，使员工各自担负起内部控制的相关责任。

2.2.2风险评估

（1）就识别和评估与其目标相关的风险，组织做出清晰的目标设定。

（2）组织对影响其目标实现的风险进行全范围的识别和分析，并以此为基础来决定风险应如何进行管理。

（3）组织在风险评估过程中，考虑潜在的舞弊行为。

（4）组织识别和评估对内部控制体系可能造成较大影响的改变。

2.2.3控制活动

（1）组织选择并开展控制活动，将风险对其目标实现的影响降到可接受水平。

（2）对（信息）技术，组织选择并开展一般控制以支持其目标的实现。

（3）组织通过合理的政策制度和保证这些政策制度切实执行的流程程序，来实施控制活动。

2.2.4信息与沟通

（1）组织获取或生成，并使用相关、有质量的信息来支持内部控制发挥作用。

（2）组织在其内部沟通传递包括内部控制的目标和责任在内的必要信息以支持内部控制发挥作用。

（3）组织与外部相关方就影响内部控制发挥作用的事宜进行沟通。

2.2.5监督活动

（1）组织选择、推动并实施持续且（或）独立的评估以确认内部控制的要素是存在且正常运转的。

（2）组织在相应的时间范围内，评价内部控制的缺陷，并视情况与那些应采取正确行动的相关方（如：高级管理层，董事会）沟通。

2.3要素

参见2013COSO内部控制框架

3国际IR框架

3.1目标

《框架》的目标在于制定一套指导原则和内容元素，这些原则和元素统驭综合报告的整体内容。同时，框架解释这些原则和元素依据的基础概念。目标是在灵活性和规定之间达到适当平衡，认可在各个不同机构的个体情形之间存在很大差异，但同时又使各个机构之间具有充分的可比性，以满足相关的信息需求。

3.2原则3.3内容元素（本文元素等同要素）

均参见国际IR框架（2013）

4比较分析

4.1目标比较

我国《企业内部控制基本规范》与2013COSO内部控制框架，两者的目标大体一致。2013COSO内部控制框架中运管目标、报告目标、遵循目标都能与我国《企业内部控制基本规范》的目标一一对应。2013COSSO报告指出，内部控制是为实现以下三类目标提供合理保证：经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性。我国《企业内部控制基本规范》指出内部控制旨在实现以下五类目标：企业战略：经营的效率和效果：财务报告及管理信息的真实、完整：资产安全：遵循国家法律法规和有关监管要求。可知，《基本规范》借鉴了2013COSO报告的目标，同时考虑到我国国有大型企业比重大、国有资产流失严重的国情，增加了资产安全目标：为应对未来外部环境变化给企业带来的风险，增加企业发展战略的目标。这是我国内部控制规范对COSO报告的补充。而国际IR框架强调制定一套指导原则和内容元素，这些原则和元素统驭综合报告的整体内容。同时，框架解释这些原则和元素依据的基础概念。目标是在灵活性和规定之间达到适当平衡，认可在各个不同机构的个体情形之间存在很大差异，但同时又使各个机构之间具有充分的可比性，以满足相关的信息需求。

4.2原则比较

2013COSO内部控制框架确立了十七项原则。首先，明确列示了用以支持内部控制五大要素的原则。其次，明确了目标设定在内部控制中的作用。第三，反映了科技日益深入的相关性。第四，更深入地讨论了有关治理的理念。第五，扩大了报告目标类别（范畴）。第六，加强了对反舞弊预期的考虑。最后，更加关注非财务目标。而与我国《企业内部控制基本规范》最重大的区别，就是它明确地列出了17项总体原则（2.2），这些原则代表着与每个内部控制要素相关的基本概念，可确保五大内控要素以及整個内部控制系统的有效运行。我国《企业内部控制基本规范》最重大的区别，就是国际IR框架原则明确地列出了7项总体原则（A注重战略和面向未来、B信息连通性、C利益相关者关系、D重要性、E简练、F可靠性和完整性、G一致性和可比性）与我国《企业内部控制基本规范》的5项原则（全面性、重要性、制衡性、适应性和成本效益原则），相差甚大。首先，明确列示了用以注重战略和面向未来的导向性原则。其次，明确了信息连通性、简练、一致性和可比性的原则。第三，反映了利益相关者关系原则。第四，更深入地对可靠性和完整性原则的要求。

2013COSO内部控制框架确立了十七项原则代表了与每个控制要素相关的基本概念。控制环境包括5项原则，如2.2.1所述：其中（1）（2）（3）体现我国《企业内部控制基本规范》的制衡性原则、全面性原则。风险评估包括4项原则，如2.2.2所述：其中（6）（7）（8）（9）体现我国《企业内部控制基本规范》的适应性原则。控制活动包括3项原则，如2.2.3所述：其中（10）（11）（12）体现我国《企业内部控制基本规范》的适应性原则。信息与沟通包括3项原则，如2.2.4所述：其中（13）（14）（15）体现我国《企业内部控制基本规范》的适应性原则。监督活动包括2项原则，如2.2.5所述：其中（16）（17）体现我国《企业内部控制基本规范》的重要性原则。我国《企业内部控制基本规范》的成本效益原则在2013COS0内部控制框架的17项原则没有得到体现。

4.3要素比较

我国《企业内部控制基本规范》与2013COSO内部控制框架，两者的要素大体一致。2013COSO报告认为，为实现内部控制的有效性，需要五个要素的支持：控制环境、风险评估、控制活动、信息和沟通及监督。我国《企业内部控制基本规范》在形式上借鉴了2013COSO报告五要素框架，但同时进行了充实和丰富，在内容上体现了内部控制和风险管理日益融合、风险导向成为内部控制未来发展方向的趋势。我国《企业内部控制基本规范》最重大的区别，就是国际IR框架明确地列出了8个内容要素（A机构概述和外部环境、B治理、C商业模式、D风险和机遇、E战略和资源配置、F绩效、G前景展望、H编制和列报基础。）与我国《企业内部控制基本规范》的5个要素（内部环境、风险评估、控制活动、信息与沟通、内部监督），相差甚大。首先，明确机构概述和外部环境作为一个元素。其次，明确了治理、商业模式、风险和机遇、战略和资源配置元素。第三，反映了前景展望、绩效也是重要的元素。第四，更深入地对探讨编制和列报基础要素。

4.4内部控制的责任主体比较

在2013COSO报告下，管理层对内部控制负主要责任，不但要向董事会下属的审计委员会报告，还要评估内部控制的有效性并对外发布内部控制报告。我国的《企业内部控制基本规范》对内部控制的主要责任主体的责任分别进行规定：事会负责内部控制的建立健全和有效实施：监事会对董事会建立与实施内部控制进行监督：经理层负责组织领导企业内部控制的日常运行。在2013COSO报告中，内部控制的责任主体主要是管理层而我国《企业内部控制基本规范》却强调了董事会对内部控制的重要责任，而且更加明确地规定各责任主体对内部控制的责任，使治理层和管理层的责任分工更加明确。

4.5内部控制的外部审计比较

在2013COSO报告下，审计师要在审计财务报表的同时对公司的财务报告内部控制进行审计，既要评价管理层对内部控制的评价，又要对内部控制的有效性发表意见。在我国，执行《企业内部控制基本规范》的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计并出具审计报告。可见，我国《企业内部控制基本规范》和2013COSO报告都强制要求对内部控制进行外部审计。