企業(yè)內部控制基本規(guī)范與COSO企業(yè)風險管理之比較

姜 毅

摘要:2008年6月28日財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布的《企業(yè)內部控制基本規(guī)范》,既融合了COSO風險管理的先進經(jīng)驗,又具有中國的特色。COSO在ERM框架報告中指出,企業(yè)風險管理是一個過程,它是由一個主體的董事會、管理當局和其他人員實現(xiàn)的,應用于戰(zhàn)略制定并貫穿于企業(yè)之中,旨在識別可能會影響主體的潛在事項,管理風險已使其在該主體的風險容量之內,為主體目標的實現(xiàn)提供合理保證。

關鍵詞:企業(yè);內部控制;COSO風險管理;基本規(guī)范

中圖分類號:F713.50文獻標志碼:A文章編號:1673-291X(2009)29-0192-03

企業(yè)內部控制的完善和執(zhí)行情況日益成為人們關注的議題。在國內,“中航油”、“銀廣廈”等多起舞弊案件都是與企業(yè)內部控制的缺失有關。德勤華永會計師事務所有限公司最新《中國上市公司內部控制調查分析報告》的調查結果顯示,大多數(shù)企業(yè)在內部控制實施方面仍然存在一定的盲目性。中國上市公司約58.82%的企業(yè)為應對金融危機而指定了專門的部門落實風險管理和內控工作,但是,僅有23.53%的企業(yè)將內控工作的重點從書面制度轉變?yōu)榫唧w實施;僅約17.65%的企業(yè)進行了內部控制評價。可見,內部控制問題已成為上市公司的軟肋。2008年6月28日財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內部控制基本規(guī)范》,該規(guī)范融合了COSO 風險管理的先進經(jīng)驗,又具有中國的特色,被世人贊譽其為“中國版的薩班斯法案”。那么,基本規(guī)范是否能解決上市公司的問題成為了時下理論界、實務界關注的焦點。

一、企業(yè)內部控制規(guī)范與COSO企業(yè)風險管理的不同

(一)內涵、目標不同

2008年6月28日財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布的《企業(yè)內部控制基本規(guī)范》,為中國企業(yè)首次構建了一個企業(yè)內部控制的標準框架。它所指的內部控制,是指由企業(yè)董事會(或者由企業(yè)章程規(guī)定的經(jīng)理、廠長辦公會等類似的決策、治理機構,以下簡稱董事會)、管理層和全體員工共同實施的、旨在合理保證實現(xiàn)以下基本目標的一系列控制活動:(1)企業(yè)戰(zhàn)略;(2)經(jīng)營的效率和效果;(3)財務報告及管理信息的真實、可靠和完整;(4)資產(chǎn)的安全完整;(5)遵循國家法律法規(guī)和有關監(jiān)管要求。

2004年9月,COSO委員會在內部控制框架概念的基礎上,提出了企業(yè)風險管理(Enterprise Risk Management,ERM)的概念,使內部控制的研究發(fā)展到一個新的階段。COSO在ERM框架報告中指出企業(yè)風險管理是一個過程,它是由一個主體的董事會、管理當局和其他人員實現(xiàn)的,應用于戰(zhàn)略制定并貫穿于企業(yè)之中,旨在識別可能會影響主體的潛在事項,管理風險已使其在該主體的風險容量之內,為主體目標的實現(xiàn)提供合理保證。ERM框架對內部控制明確了以下內容:(1)是一個過程;(2)被人影響;(3)應用于戰(zhàn)略制定;(4)貫穿整個企業(yè)的所有層級和單位;(5)旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險;(6)合理保證;(7)為了實現(xiàn)各類目標。ERM框架提出,要力求實現(xiàn)四類目標:戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。

(二)基本要素不同

1.企業(yè)內部控制規(guī)范考慮以下基本要素:

(1)內部環(huán)境。內部環(huán)境是影響、制約企業(yè)內部控制建立與執(zhí)行的各種內部因素的總稱,是實施內部控制的基礎。內部環(huán)境主要包括治理結構、組織機構設置與權責分配、企業(yè)文化、人力資源政策、內部審計機構設置、反舞弊機制等。

(2)風險評估。風險評估是及時識別、科學分析和評價影響企業(yè)內部控制目標實現(xiàn)的各種不確定因素并采取應對策略的過程,是實施內部控制的重要環(huán)節(jié)。風險評估主要包括目標設定、風險識別、風險分析和風險應對。

(3)控制措施?？刂拼胧┦歉鶕?jù)風險評估結果、結合風險應對策略所采取的確保企業(yè)內部控制目標得以實現(xiàn)的方法和手段,是實施內部控制的具體方式?？刂拼胧┙Y合企業(yè)具體業(yè)務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批準控制、預算控制、財產(chǎn)保護控制、會計系統(tǒng)控制、內部報告控制、經(jīng)濟活動分析控制、績效考評控制、信息技術控制等。

(4)信息與溝通。信息與溝通是及時、準確、完整地收集與企業(yè)經(jīng)營管理相關的各種信息,并使這些信息以適當?shù)姆绞皆谄髽I(yè)有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。信息與溝通主要包括信息的收集機制及在企業(yè)內部和與企業(yè)外部有關方面的溝通機制等。

(5)監(jiān)督檢查。監(jiān)督檢查是企業(yè)對其內部控制的健全性、合理性和有效性進行監(jiān)督檢查與評估,形成書面報告并作出相應處理的過程,是實施內部控制的重要保證。監(jiān)督檢查主要包括對建立并執(zhí)行內部控制的整體情況進行持續(xù)性監(jiān)督檢查,對內部控制的某一方面或者某些方面進行專項監(jiān)督檢查,以及提交相應的檢查報告,提出有針對性的改進措施等。

2.COSO企業(yè)風險管理包括八個相互關聯(lián)的構成要素。它們來源于管理當局經(jīng)營企業(yè)的方式,并與管理過程整合在一起。這些構成要素是:

(1)內部環(huán)境。內部環(huán)境其他所有風險管理要素的基礎,為其他要素提供規(guī)則和結構,也為ERM的其他組成因素提供了框架。其中特別是管理當局的風險偏好,決定了公司對可能出現(xiàn)的預料之外的事件的態(tài)度,管理當局和董事會必須明確戰(zhàn)略及其執(zhí)行過程中的風險和回報。

(2)目標設定。必須先有目標,管理當局才能識別影響目標實現(xiàn)的潛在事項。企業(yè)風險管理確保管理當局采取適當?shù)某绦蛉ピO定目標,確保所選定的目標支持和切合該主體的使命,并且與它的風險容量相符。

(3)事項識別。在對企業(yè)目標、戰(zhàn)略和計劃以及對企業(yè)所處的內部和外部環(huán)境都有深刻了解的基礎上,管理層必須識別影響主體目標實現(xiàn)的內部和外部事項,區(qū)分風險和機會。

(4)風險評估。一般用可能性(概率)和影響結果兩個維度度量風險,前者是一定的負面影響事件發(fā)生的可能性;后者是假設事件發(fā)生,對經(jīng)營、財務報告以及戰(zhàn)略產(chǎn)生影響的可能結果,風險評估的過程中根據(jù)不同的情況,采用定性、定量以及相結合的方法,若可以獲取充足的數(shù)據(jù),一般采用定量的評估方法;若潛在的可能性及影響結果都較小,或者無法獲得數(shù)據(jù),則一般采取定性的評估方法。

(5)風險應對。企業(yè)對每一個重要的風險及其對應的回報進行評價和平衡,結果取決于成本效益分析以及企業(yè)的風險偏好。而平衡的反應包括接受、規(guī)避或緩和這些風險,后者又包括風險分離、風險轉換或者減少(包括通過控制活動)等形式。風險反應是企業(yè)風險管理的整體重要組成部分。

(6)控制活動?？刂苹顒邮枪芾懋斁衷O計的政策和程序,為執(zhí)行特定的風險緩和反應提供合理保證?？刂苹顒影ㄔ谡麄€組織中使用的批準、授權、注銷、確認、觀察、查證以及對經(jīng)營業(yè)績復核、資產(chǎn)安全、職責分離等方法。制訂和執(zhí)行政策與程序以幫助確保風險應對得以有效實施。

(7)信息與溝通。風險辨別、評估、反應和控制活動在組織的各個水平層次上產(chǎn)生有關風險的信息,與財務信息一樣,風險信息必須以一定的形式和框架進行交流,使員工、管理層以及董事履行各自的責任。風險評估的信息系統(tǒng)可以產(chǎn)生定期或“例外基礎”的報告,報告使用趨勢指標、業(yè)績矩陣及運營或財務成果的形式,這些報告能夠引導出及時的決策。在公司層次,必須對各種數(shù)據(jù)和信息流進行加工,形成關于公司風險組合輪廓的統(tǒng)一觀點,以利于交流。

(8)監(jiān)控。企業(yè)風險管理并不是一個嚴格的順次過程,一個構成要素并不是僅僅影響接下來的那個構成要素。它是一個多方向的、反復的過程,在這個過程中幾乎每一個構成要素都能夠、也的確會影響其他構成要素。

(三)管理人員對實現(xiàn)企業(yè)目標的職責

1.企業(yè)內部控制基本規(guī)范對管理人員的職責規(guī)定如下:

(1)企業(yè)董事會應當充分認識自身對企業(yè)內部控制所承擔的責任,加強對本企業(yè)內部控制建立和實施情況的指導和監(jiān)督;

(2)董事長(或者法定代表人、代表企業(yè)行使職權的主要負責人,以下簡稱董事長)對本企業(yè)內部控制的建立健全和有效實施負責;

(3)經(jīng)理(或者總裁、廠長,以下簡稱經(jīng)理)根據(jù)法定職權、企業(yè)章程和董事會的授權,負責組織領導本企業(yè)內部控制的日常運行;

(4)總會計師(或者財務總監(jiān)、分管財務會計工作的負責人,以下簡稱總會計師)在董事長和經(jīng)理的領導下,主要負責與財務報告的真實可靠、資產(chǎn)的安全完整密切相關的內部控制的建立健全與有效執(zhí)行。

2.COSO企業(yè)風險管理將各級人員的職責分成三個層次:

(1)董事會,監(jiān)控企業(yè)風險管理,獲知并批準企業(yè)設定的風險偏好,與企業(yè)高層管理人員討論企業(yè)風險管理的狀態(tài),獲知企業(yè)所面臨的重大風險、管理層擬采取的行動以及管理層確保風險管理有效性的方式,董事會還要從內部審計人員、外部審計人員和其他人員那里獲取相關信息;

(2)高層管理人員,首席執(zhí)行官或總裁應對ERM 負總責,各部門經(jīng)理應認同企業(yè)的風險管理理念,按企業(yè)設定的風險偏好和風險容忍度管理本部門事務。首席執(zhí)行官或總裁應召集各部門經(jīng)理對企業(yè)風險管理的能力和有效性進行初步評估,以決定是否有必要對其繼續(xù)進行更深入的評價;

(3)企業(yè)基層職員,有責任按照企業(yè)已確立的指令和協(xié)議實施風險管理。

二、企業(yè)內部控制基本規(guī)范的貢獻

從基本規(guī)范與COSO風險管理的比較,可以看出基本規(guī)范既吸收了COSO報告的精華,又具有一定的中國特色:

1.提高了內部控制規(guī)范的地位。新規(guī)范既有類似薩班斯法案的強制力,又有與科索報告一樣對內控實務的示范作用;既對中國企業(yè)建立內控制度提出了強制性要求,又為千差萬別的中國企業(yè)建立健全內控制度提供了基本框架;既吸收了內控的國際先進理念,又充分體現(xiàn)了中國內部控制的現(xiàn)實環(huán)境要求。有專家認為,這一規(guī)范的出臺,是中國企業(yè)按國際化標準嚴格自律的宣言書,更是中國企業(yè)參與國際競爭,逐步接受并自覺遵循市場經(jīng)濟游戲規(guī)則,不斷完善企業(yè)制度、細化管理的內在要求。世人贊譽其為“中國版的薩班斯法案”。

2.統(tǒng)一了我國企業(yè)內部控制規(guī)范。在美國,COSO框架是美國企業(yè)以及在美國上市的外國公司的內部控制建設的標準,而在我國,長期以來內部控制規(guī)范正出多門,現(xiàn)實中,至少存在包括證監(jiān)會、財政部、國資委、人民銀行、證券交易所等部門或主管單位發(fā)布的關于內部控制或風險管理的規(guī)范文件。盡管有關監(jiān)管部門在實際中采用了COSO的標準,但都比較局限。2008年6月28日財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布的《企業(yè)內部控制基本規(guī)范》是廣泛征求各監(jiān)管部門意見基礎制定的,統(tǒng)一了我國企業(yè)內部控制規(guī)范的標準,使企業(yè)可在統(tǒng)一的框架內建立有效的內部控制監(jiān)督體系,同時為外部監(jiān)管公司內部治理的設計、實施、監(jiān)督、評估等奠定了基礎。

3.科學界定內部控制的內涵,強調“全員控制”?；疽?guī)范強調內部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程,是一種全面、全員、全過程控制的理念。

4.準確定位內部控制的目標。舊規(guī)范的目標定位,基本上是處于內部控制目標層次的最低級,只包括:保證會計資料真實、完整;保護單位資產(chǎn)的安全、完整;確保國家有關法律法規(guī)和單位規(guī)章制度的貫徹執(zhí)行?；疽?guī)范前瞻性提出企業(yè)在保證經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務報告及相關信息真實完整、提高經(jīng)營效率和效果的基礎上,著力促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。本次的修訂既強調了COSO全面風險管理的四大目標,又增加了對資產(chǎn)的安全完整的要求。這充分體現(xiàn)我國順應國際內部控制和風險管理日益融合的趨勢。

5.統(tǒng)籌構建內部控制的要素。舊規(guī)范的范圍過于狹窄,主要集中于會計領域?！稌嫹ā贰ⅰ秲炔繒嬁刂埔?guī)范》等法律法規(guī)主要是從會計控制的角度來規(guī)范內部控制;獨立審計準則中的定位也是著重于企業(yè)的會計責任方面。而本次修訂的基本規(guī)范有機融合COSO全面風險管理的做法,構建了以內部環(huán)境為重要基礎、以風險評估為重要環(huán)節(jié)、以控制活動為重要手段、以信息與溝通為重要條件、以內部監(jiān)督為重要保證,相互聯(lián)系、相互促進的五要素內部控制框架。

6.明確界定各控制主體職責。內部控制的有效執(zhí)行有賴于全員參與,而只有企業(yè)內每個人均清楚地知道自己所擁有的責任和權力,才能認真履行自己的職責,提高內部控制的執(zhí)行力度。新規(guī)范所界定的內部控制主體有四層:一是董事會,二是監(jiān)事會,三是經(jīng)理層,四是全體員工。董事會是加強企業(yè)內部控制的第一責任人;監(jiān)事會負有對董事、經(jīng)理執(zhí)行公司職務時違反法律、法規(guī)或者公司章程的行為進行監(jiān)督的權利,在監(jiān)督投資者決策行為的同時切實履行監(jiān)督投資者對經(jīng)營者的監(jiān)管職能的落實情況;經(jīng)理層直接對企業(yè)的經(jīng)營管理活動負責,尤其是企業(yè)總經(jīng)理(首席執(zhí)行官)承擔重要責任;全體員工在實現(xiàn)內部控制中承擔相應職責并發(fā)揮積極作用。

7.創(chuàng)新了體系。除基本規(guī)范之外,財政部還起草了17項具體規(guī)范,并將繼續(xù)起草若干具體規(guī)范和應用指南;與此同時,還將研究、制定評價標準和配套實施辦法,形成全方位、立體性推進內控體系建設的局面。我國的企業(yè)內控體系,將是一個層次分明、內容完整、銜接有序、整體互動的有機統(tǒng)一體。

8.強化了內部風險管理。舊規(guī)范只是強調通過風險預警、風險識別、風險評估、風險分析、風險報告等措施,對財務風險和經(jīng)營風險進行全面防范和控制,而基本規(guī)范更強化了在目標設定環(huán)節(jié)就要考慮風險因素,這一條和COSO的風險管理是吻合的。

9.提出了切實可行的內部控制實施機制?；疽?guī)范建立了以企業(yè)為主體、以政府監(jiān)管為促進、以中介機構審計為重要組成部分的內部控制實施機制,要求企業(yè)實行內部控制自我評價制度,并將各責任單位和全體員工實施內部控制的情況納入績效考評體系;國務院有關監(jiān)管部門有權對企業(yè)建立并實施內部控制的情況進行監(jiān)督檢查;明確企業(yè)可以依法委托會計師事務所對本企業(yè)內部控制的有效性進行審計,出具審計報告。這充分體現(xiàn)了基本規(guī)范在實施過程中適當?shù)囊肓诵畔C制和聲譽機制、強化檢查監(jiān)督機制,落實內控責任主體和嚴格問責和實施嚴厲的獎懲機制的特點。

三、企業(yè)內部控制基本規(guī)范實施的難點

企業(yè)內部控制規(guī)范在執(zhí)行中還存在很多困難:

1.基本規(guī)范的要素中沒有體現(xiàn)事項識別的重要性

事項可能會帶來負面影響,也可能帶來正面影響,帶來正面影響往往意味著機會,而機會對于企業(yè)目標的實現(xiàn)是有重要作用的?；疽?guī)范只強調了風險的識別,而對于機會則沒有關注。

2.沒有強調對高層的監(jiān)控

企業(yè)董事會、監(jiān)事會是內部控制的主體。從控制的層次看,董事會、監(jiān)事會為高層,經(jīng)理為中層,職能部門和員工為低層,這三個層次都應納入內部控制的范圍。但實施的難點在于高層控制不可能由企業(yè)內部的主體來完成,企業(yè)內部主要是對中低層的控制,對高層的控制應當由外部控制主體如股東、政府等來完成。但是,外部控制主體往往因信息不對稱或其他原因,經(jīng)常出現(xiàn)監(jiān)控不力的問題。

3.企業(yè)內部控制基本規(guī)范與企業(yè)風險管理指引的協(xié)調還存在問題。世界上內部控制與風險管理已逐漸融合,把內部控制與風險管理試為同一事件。2004年,COSO發(fā)布的《企業(yè)風險管理—整合框架》,在該框架附件C中明確:內部控制是企業(yè)風險管理的一個不可或缺的部分,風險管理框架繼承包含了內部控制框架的主體內容。而在我國的實際工作中,還存在《企業(yè)內部控制基本規(guī)范》和《中央企業(yè)風險管理指引》如何統(tǒng)一協(xié)調的問題。當然,強調風險管理與內部控制的融合,并不是風險管理要代替內部控制,實際上兩者是并存的。企業(yè)肯定需要建立內部控制,來應對阻止企業(yè)進步的風險。否則,被控制所遏制的風險將可能發(fā)生。