时间:2023-03-10 15:03:32
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇内部控制基本规范范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
2008年6月28日,财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范会,会议了《企业内部控制基本规范》(以下简称《基本规范》),自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。
《基本规范》在企业内控体系中处于最高层次,起统驭作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素等基本要求,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据。《基本规范》的颁布实施,必将对我国企业及资本市场的发展产生深远影响。
内控是为了企业的生存发展而存在的,是促成企业目标实现的一种重要方法和手段,内部控制的目的是在合理的范围内保证企业基本目标的实现。盈利是企业生存和发展的基础,如果不能盈利,就连自身的生存都难保证,其他目标更无从谈起。企业要想实现盈利,就必须控制风险,必须建立有效的内控体系。企业要改善现有的管理水平,就必须借助于内控体系,完善的内控体系是促进管理落实的手段,可以促进企业实现发展目标。
同时,健全有效的内部控制,有利于提高财务信息质量,提升财务报告的有效性,这对于保证投资者对高质量财务信息的需求,体现资本市场“公开、公平、公正”的原则,保护投资者合法权益具有至关重要的意义;有利于上市公司遵守国家法律、法规、规章及其他相关规定,堵塞管理漏洞,保障公司资产的安全,有效提高公司风险防范能力,减少乃至避免舞弊事件的发生;有利于提高经营效率和效益,提升企业经营管理水平、盈利能力和持续发展能力,增强公司竞争力,从而提高上市公司质量,最大限度地回报股东和社会。
面对国际市场日趋激烈的经济竞争环境,我国企业要“走出去”,进入国际产业和资本市场投资,必须苦练内功、强化内控、防范风险,这样才能立于不败之地。可以说,企业内控体系的建立与实施,为我国企业“走出去”提供了“安全网”和“防火墙”。
实施《基本规范》对企业提出了诸多要求。
在以人为本的现代化企业管理中,员工的地位日趋重要,员工也越来越看重工作的环境,特别是软环境,比如:企业文化、管理理念、管理层是否关注员工的工作和日常生活以及员工的职业生涯发展等。另一方面,制度再周全也不可能凡事都规范到位,制度可以规定员工出工,但无法规定员工出力。因此,企业管理控制的核心是企业中的人及活动,只有提高了人的主观能动性,才能加强内部控制实施效果。
企业文化作为一种无形的精神力量与源泉,影响着企业员工的思维方式和行为活动。优秀的企业文化可以促进企业发展,防止企业衰败;不良的企业文化也可能阻碍企业发展,甚至导致企业倒闭。因此,企业必须培养自身的优良文化,将企业文化与内控制度的建立有机的结合起来,从而更好地推动企业发展。
职业道德属于非法律性质的道德范畴,不履行职业道德并不一定违法,但是职业人如不履行职业道德,必将遭到淘汰。公司应提供职业道德方面的指导,使所有员工在日常或特定的环境下能保持正常的判断;制定公司的行为准则,并传达给全体员工,将员工不诚实和不讲道德标准的动机与机会降到最低。职业道德有许多范畴,不同岗位的人员职业道德不一定相同,《国际会计职业道德准则》中对会计从业人员提出8条准则,内容包括:廉正、客观、独立、保密、技术标准、业务能力、工作胜任、道德自律。我国《会计法》第39条也规定会计人员应当遵守职业道德,提高业务素质。提高员工的职业道德特别是财务人员的职业道德将有助于企业内控制度的建立与实施。
企业内部控制体系的构建是一项重大而复杂的系统工程,在这个过程中我们要牢牢把握住正确的发展方向,实施过程中应注意以下几方面。
1.立足国情、符合实际
内部控制构建的基本前提是要从我国实际国情出发,符合我国法制意识、制度基础、风险理念、经营风格等方面特点,扎根于我国经济、社会、法律、文化环境和企业实践。我国在建立完善社会主义市场经济体制过程中,形成了有别于资本主义市场经济的成熟经验和做法。因此,我国的内部控制体系的建设应当更多地消化总结自身的成功经验,与国家有关法律法规相协调,与国家经济发展战略相协调,与企业经营管理实践相协调。只有做到立足国情,符合实际才能具有强大的生命力,才能发挥应有的积极作用。
2.把握方向、注意动态
2008年6月28日,财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范会,会议了《企业内部控制基本规范》(以下简称《基本规范》),自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。
《基本规范》在企业内控体系中处于最高层次,起统驭作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素等基本要求,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据。《基本规范》的颁布实施,必将对我国企业及资本市场的发展产生深远影响。
内控是为了企业的生存发展而存在的,是促成企业目标实现的一种重要方法和手段,内部控制的目的是在合理的范围内保证企业基本目标的实现。盈利是企业生存和发展的基础,如果不能盈利,就连自身的生存都难保证,其他目标更无从谈起。企业要想实现盈利,就必须控制风险,必须建立有效的内控体系。企业要改善现有的管理水平,就必须借助于内控体系,完善的内控体系是促进管理落实的手段,可以促进企业实现发展目标。
同时,健全有效的内部控制,有利于提高财务信息质量,提升财务报告的有效性,这对于保证投资者对高质量财务信息的需求,体现资本市场“公开、公平、公正”的原则,保护投资者合法权益具有至关重要的意义;有利于上市公司遵守国家法律、法规、规章及其他相关规定,堵塞管理漏洞,保障公司资产的安全,有效提高公司风险防范能力,减少乃至避免舞弊事件的发生;有利于提高经营效率和效益,提升企业经营管理水平、盈利能力和持续发展能力,增强公司竞争力,从而提高上市公司质量,最大限度地回报股东和社会。
面对国际市场日趋激烈的经济竞争环境,我国企业要“走出去”,进入国际产业和资本市场投资,必须苦练内功、强化内控、防范风险,这样才能立于不败之地。可以说,企业内控体系的建立与实施,为我国企业“走出去”提供了“安全网”和“防火墙”。
实施《基本规范》对企业提出了诸多要求。
在以人为本的现代化企业管理中,员工的地位日趋重要,员工也越来越看重工作的环境,特别是软环境,比如:企业文化、管理理念、管理层是否关注员工的工作和日常生活以及员工的职业生涯发展等。另一方面,制度再周全也不可能凡事都规范到位,制度可以规定员工出工,但无法规定员工出力。因此,企业管理控制的核心是企业中的人及活动,只有提高了人的主观能动性,才能加强内部控制实施效果。
企业文化作为一种无形的精神力量与源泉,影响着企业员工的思维方式和行为活动。优秀的企业文化可以促进企业发展,防止企业衰败;不良的企业文化也可能阻碍企业发展,甚至导致企业倒闭。因此,企业必须培养自身的优良文化,将企业文化与内控制度的建立有机的结合起来,从而更好地推动企业发展。
职业道德属于非法律性质的道德范畴,不履行职业道德并不一定违法,但是职业人如不履行职业道德,必将遭到淘汰。公司应提供职业道德方面的指导,使所有员工在日常或特定的环境下能保持正常的判断;制定公司的行为准则,并传达给全体员工,将员工不诚实和不讲道德标准的动机与机会降到最低。职业道德有许多范畴,不同岗位的人员职业道德不一定相同,《国际会计职业道德准则》中对会计从业人员提出8条准则,内容包括:廉正、客观、独立、保密、技术标准、业务能力、工作胜任、道德自律。我国《会计法》第39条也规定会计人员应当遵守职业道德,提高业务素质。提高员工的职业道德特别是财务人员的职业道德将有助于企业内控制度的建立与实施。
企业内部控制体系的构建是一项重大而复杂的系统工程,在这个过程中我们要牢牢把握住正确的发展方向,实施过程中应注意以下几方面。
摘 要】企业内部控制体系的构建是一项重大而复杂的系统工程,在这个过程中我们要牢牢把握住正确的发展方向,实施过程中应注意以下几方面:一是立足国情、符合实际。二是把握方向、注意动态。三是稳步推进、逐步发展。
【关键词】企业内部控制 基本规范
2008年6月28日,财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范会,会议了《企业内部控制基本规范》(以下简称《基本规范》),自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。
《基本规范》在企业内控体系中处于最高层次,起统驭作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素等基本要求,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据。《基本规范》的颁布实施,必将对我国企业及资本市场的发展产生深远影响。
内控是为了企业的生存发展而存在的,是促成企业目标实现的一种重要方法和手段,内部控制的目的是在合理的范围内保证企业基本目标的实现。盈利是企业生存和发展的基础,如果不能盈利,就连自身的生存都难保证,其他目标更无从谈起。企业要想实现盈利,就必须控制风险,必须建立有效的内控体系。企业要改善现有的管理水平,就必须借助于内控体系,完善的内控体系是促进管理落实的手段,可以促进企业实现发展目标。
同时,健全有效的内部控制,有利于提高财务信息质量,提升财务报告的有效性,这对于保证投资者对高质量财务信息的需求,体现资本市场“公开、公平、公正”的原则,保护投资者合法权益具有至关重要的意义;有利于上市公司遵守国家法律、法规、规章及其他相关规定,堵塞管理漏洞,保障公司资产的安全,有效提高公司风险防范能力,减少乃至避免舞弊事件的发生;有利于提高经营效率和效益,提升企业经营管理水平、盈利能力和持续发展能力,增强公司竞争力,从而提高上市公司质量,最大限度地回报股东和社会。
面对国际市场日趋激烈的经济竞争环境,我国企业要“走出去”,进入国际产业和资本市场投资,必须苦练内功、强化内控、防范风险,这样才能立于不败之地。可以说,企业内控体系的建立与实施,为我国企业“走出去”提供了“安全网”和“防火墙”。
《企业内部控制基本规范》从制度上对企业特别是上市公司实施内控提供了政策依据,有利于企业与国际接轨,提高国际竞争力,并增强投资者信心。然而,由于现在企业的公司结构治理、内部控制管理,存在诸多问题,需要加以分析找到完善的方法。
一、公司治理与内部控制的相互关系
公司治理是内部控制系统得以运行的条件,又是内部控制有效运行的保证,公司治理机制有效,才能保证不同层次控制目标一致性;内部控制是现代公司内部管理的重要组成部分,健全有效的内部控制制度是实现公司经营目标的有利保障。从心全业内部控制基本规褂可以看出,内部控制是公司治理中关于生产经营方面的延伸和具体化,内部控制的内容统一于公司治理的内容。公司治理是内部控制的制度环境,内部控制能否有效运行,与公司治理是否完善有很大关系。只有在完善的公司治理环境中,好的内部控制系统才能真正发挥作用,提高经营效益和效果,并保证财务报告及管理信息的真实、可靠和完整。企业各利益相关主体依据可靠的会计信息对企业的董事和经理层的业绩做出恰当的评价,从而又推动公司治理的不断完善。
二、我国企业基于公司治理的内部控制现况
我国内部控制目标过于简单往往单从经营角度出发而很少从治理层面来考虑,因而其更多的是关注合规经营目标,而很少关注经营效率目标,其目标仅仅局限于查错防弊、会计资料的合法和保证业务的有效进行,而并没有把战略性考虑、营运的效率和效果等包含在内。
我国内部控制的研究范围一般只考虑经营层面上的内部控制,而很少关注治理层面上的内部控制。内部控制研究组织、研究人员主要是会计、审计组织和部门,目的主要是为了在财务审计时提高审计效率,其范围更多的是放在对企业一般员工和中层管理者以及企业各种物质资源的管理控制上,很少把对高层管理人员的控制纳人整个控制系统。
所谓“内部人控制”就是一个企业由不拥有股权或者拥有很少份额的内部人一一经理人员事实上或依法掌握了企业的剩余控制权〔甚至剩余索取权),其直接后果是管理当局以牺牲股东的利益来获取自身利益的最大化。在我国内部人控制正是数十年放权让利的后果,内部人控制的必然结果是相当比例的实际利润以工资、奖金、福利和其他形式变成了管理人员和职工(特别是高管理人员)的额外收人,被记人了企业成本。
三、心色业内部控制基本规褂对公司内部治理的积极影响
(一)明确了保障资产安全的目标
相对于提高经营效率与效果的目标,遵守法律法规、保障资产安全是内部控制的根本,而对于我国大部分的上市公司而言,应将这两个目标作为完善内部治理的主要目标,只有真正做到了这两点,才能够去谈如何提高经营效率与效果。通过对现金、固定资产、无形资产以及企业衍生工具等方面的内容加以规定,基本规范对公司资产管理提出了更严格和更透明的要求,将企业资产的安全性置于重要地位有利于提高上市公司资产质量。
(二)进一步完善了企业治理结构
作为联系所有者与经营者的纽带,董事会对公司内部控制的建立、完善和有效运行负责:
1.加强了董事会独立性。使童事会独立于公司控股股东与内部经营者,限制董事会成员与高级经理层交叉任职,避免管理层控制董事会的局面。
2.完善了独立董事制度。通过董事会这一内部机构适当外部化,引人外部独立董事,提高董事会整体素质,以期对内部人形成一定的监督制约力量,最大限度地维护所有股东权益。
3.建立专门委员会。以独立董事为主体的专门委员会包括审计委员会、薪酬委员会、提名委员会、投资委员会等,可以充分利用独立董事们所具备的专家知识为企业决策提供科学建议及合理的控制。
4.提高了监事会的监控能力,有助于公司治理效率的整体提高。
(三)强化了流程控制与权限管理
在基本规范中,健全的治理结构、科学的内部机构设置和权责分配是建立并实施内部控制的基本前提,是影响、制约内部环境的重要因素。基本规范反映出了对管理机构的设置以及相关人员和相关业务的设计应遵循内部牵制原则。例如,在货币资金企业内部控制具体规范中,提出了货币资金业务的不相容岗位。同时在经济行为的合法性控制上,内部控制规范针对具体的业务提出了具体的内部控制措施,例如,在采购与付款企业内部控制具体规范征求意见稿中规范了请购与审批行为的控制、采购与验收行为的控制以及付款行为的控制。合法的经济行为是保证企业正常运营的源头,强化流程控制和权限管理使各层次职权明确,有利于培养公司企业文化,优化内部治理环境和效果。
(四)增加了上市公司财务信息的真实性
基本规范加强对会计信息的内部控制,将企业内部控制规范分为三类:第一类是对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项提出具体要求的控制规范;第二类是与财务报表编报相关的控制规范,包括财务报告编制、公允价值、关联交易、信息披露等;第三类是为实现有效的财务报告内部控制所必需的事前、事中和事后制度支持的控制规范,包括预算控制、人力资源控制、计算机信息系统控制、审计监督控制等。从这一说明来看,企业内部控制规范主要是对财务报告的控制。因此,抓住了财务报告内部控制这条主线,在一定程度上也就抓住了企业经营管理与内部控制的重心和主体;同时,保证财务报告真实可靠,是企业的法定责任,是维护社会公众利益的基础环节,加强对企业财务报告的内部控制,对提高会计信息质量具有十分积极的作用。
(五)明确了公司业绩评价体系与激励机制的重要性
为了引导企业加强对人力资源的管理,优化企业内部控制环境,基本规范对岗位职责和人力资源计划、招聘、培训、离职、考核、薪酬等一系列有关人事的活动和程序进行了规范,有利于上市公司建立合理的人力资源政策。人力资源政策则是解决委托一问题的关键。上市公司经理人员薪酬与业绩不相关,人力资源没有得到应有的重视也是公司内部治理需要解决的迫切问题。基本规范有利于建立市场化、动态化、长期性的激励机制,防止管理人员寻租及企业员工舞弊。使经理人员管理目标尽可能朝公司整体利益方向发展。对异质性人力资本的企业家和稀缺性管理经验的技术人才,给予股票期权是发挥证券市场的激励约束功能促进公司治理的一种重要手段。
四、加强内部控制促进公司治理的策略
(一)改善法人治理结构,优化内部控制环境
法人治理结构在很大程度上影响着企业的健康运行和企业目标的实现,并且会对企业内部控制体系的建立与完善产生影响。企业应从完善法人治理结构人手,充分发挥股东会、董事会、监事会的职能;改善股权结构,解决我国企业股权过度集中带来的问题;完善企业内部制衡机制和内部激励机制;增强内部审计部门的独立性,充分发挥其监督评价职能。在改进法人治理结构的同时,还应加强对企业高管人员的培训,使企业管理层树立正确的经营理念和较强的风险管理意识;加强对企业员工的职业道德建设。通过这些基础性工作,优化企业内部控制环境,以保证企业内部控制制度的顺利实施。
(二)推进全面预算管理
全面预算管理实质上是完善法人治理结构的客观要求和具体体现,是现代财务管理的重要标志,内部控制的一个重要方面。预算可以保证公司经营目标的实现,提高经营活动的效率与效果。同时,预算也是现代企业制度下规范公司治理结构的制度保证之一。公司应积极推进全面预算管理;一是全面预算管理要与公司战略结合。在战略预算的基础上制定年度预算,然后分解预算目标到各责任主体,实施预算并监督预算的执行,最后进行预算考评并以此制定薪酬计划;二是重新整合组织结构,将其划分为战略层、经营层、作业层,进行目标落实和全面预算;三是建立预算决策机构,即在董事会下设预算管理委员会。
(三)建立有效的激励与约束机制
2008年6月28日我国五部委(财政部、证监会、审计署、银监会、保监会)联合出台《企业内部控制基本规范》(以下简称《基本规范》),明确“自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行”。同时,该《基本规范》作为我国企业未来内部控制建设的基本框架,在内控具体操作层面提出了《内部控制手册》这一概念,即“企业应当通过编制《内部控制手册》(以下简称《手册》),使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权”。然而,究竟什么是内部控制手册?它的基本质量要求是什么?它与企业现有的其他管理体系的差异在哪里?企业应当如何编制?这些问题在《基本规范》中并没有给出详尽的说明,实务界对此也存在较大的争议。本文试图通过对《基本规范》相关规定的分析,结合COSO框架以及部分大型企业的内控经验,对《手册》相关问题进行分析和阐述。
二、《内部控制手册》目标及质量要求
根据《基本规范》对《手册》的要求,不难发现:首先,《手册》是在企业内部控制的范畴内提出的,其自身应该成为企业内部控制制度设计及实践的组成部分;其次,《手册》的内容集中于机构设置、岗位职责、流程、权责分配等内容,一方面与经营操作相关,另一方面与企业内控所关注的经营层面的主要风险相关;再者,《手册》所面对的使用对象是公司的全体员工,因而可操作性应是需要考虑的重要因素;最后,《手册》还应对公司的内部审计部门起到工作指导的作用,以便于公司了解自身的整体经营风险并方便审计部门对业务环节的具体操作进行审计。据此,本文提出《手册》的编制目标及质量要求如下表:
表1 《内部控制手册》目标与质量要求
三、《内部控制手册》与企业其他管理制度体系的关联
对所有的企业来说,其自身在以往的经营活动中往往已制定了一些规章制度,并对企业经营过程中可能出现的风险进行了制度上的防范。另有一些企业,出于自身的管理规范的需求或外部的市场需求,申请了以ISO体系为代表的标准认证,并在此基础上制定了整套与之配套的制度规范。然而,本文认为《手册》与上述管理体系(符合或者不符合外部标准)存在联系的同时,也存在明显差异,主要体现在以下几个方面:
(一)编制目标差异
企业制定的管理制度往往是出于日常经营的需要,功能在于为特定的操作人员提供具体的工作指引。ISO管理体系是从产品质量的角度出发,关注如何编制制度以保证企业生产出高品质产品。ISO管理体系更多的关注企业产品质量风险,对于经营层面的整体风险关注的甚少。
与上述目标相对应,《手册》从企业内部控制的角度出发,借助COSO框架下的风险管理的理念,对企业经营的整体风险进行关注和防范。其强调“企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果、促进企业实现发展战略”。
(二)编制框架差异
在现阶段,大量企业在制定管理制度时,往往是一种事后的亡羊补牢式的修订,这种制度的制定常常缺乏逻辑架构和整体框架,因而难以全面应对各类风险。ISO之类的管理体系从产品质量管理的角度制定了一套完整的制度框架,但是由于缺少考虑企业经营层面的其它风险,尤其是生产循环之外的内部控制的关注。
《手册》以COSO的框架为编制的依据,在编制过程中一贯地强调对企业经营层面的所有风险的识别、分析、评估和控制,尤其强调表单和书面证据的重要性,以突出企业内部控制实施的可复核性,因而可以为内审部门提供一套有效的工作指南。
表2 《内部控制手册》与其它管理体系的差异
虽然《手册》与以往的企业管理制度体系关键的不同在于理念的出发点上,但本质上他们还是存在着极为紧密的内在联系。《手册》并不是凭空制定的又一套新的制度,而是对现有制度体系的整合和提升,是从风险管理的视角对企业原有制度体系和业务流程的再梳理。
然而考虑到企业原有的制度体系在风险管理上的系统性和规范性的不同,《手册》在编制过程中,按照是否对原有制度进行改进,可以将《手册》划分为具有制度创造功能和不具备制度创造功能两个类别。如果赋予《手册》制度创造的功能,则《手册》中提出的控制要求即具备相关应的强制性,即如果原有制度框架未涉及此类要求,则通过《手册》制定该要求;如果不赋予《手册》制度创造功能,则《手册》的主要作用在于提炼、归纳以及整合其他相关制度中的控制要求,自身并不提出新的制度要求。《手册》不同定位,可能会导致企业面临不同类型的制度协调问题。具体如下表:
表3 《内部控制手册》定位与制度协调
四、《内部控制手册》的内容构成
结合内部控制基本要求及质量特征,《手册》应梳理业务流程,找出业务循环的主要风险点和控制目标,并明确相对应的关键控制活动和基本的不相容职务分离的要求。同时通过对特定循环的流程分析,将关键控制活动对应到具体的岗位和管理制度,最后《手册》还要为内部审计提供必要的工作指引。基于这样的认识,针对特定流程,《手册》构成如下表所示:
表4 《内部控制手册》构成
五、《内部控制手册》的编制框架与典型步骤
结合前文对《手册》性质以及需要具备的内容的分析,以及凭借我们给企业提供的内控服务的经验,本文提出如下的《手册》制定的框架:
图4 《内部控制手册》编制框架
注:实线表示实际编制流程;虚线表示内在逻辑关系;虚线框表示逻辑范围。
本文认为,在大多数情况下,《手册》的编制可以分为4大步骤。
第一步:业务循环划分。企业应根据各自行业及所涉及业务的具体特点,将自身的运营活动划分为若干个主要业务循环,通常情况下,主要业务循环包括以下内容:(1)销货及收款环节;(2)采购及付款环节;(3)生产环节;(4)固定资产管理环节;(5)货币资金管理环节;(6)关联交易环节;(7)担保与融资环节;(8)投资环节;(9)研发环节;(10)人事管理环节;(11)信息管理环节。
因不同的业务特点的企业,其主要的业务循环所包含的内容不尽相同,故企业可以借鉴五部委即将颁布的《企业内部控制具体规范》的要求进行业务循环的划分。
第二步:流程风险分析。在明确了企(下转P8页)(上接P6页)业的具体业务循环后,针对每个具体业务循环需画出详细的业务流程图,并结合企业的现有制度分析该流程存在的主要风险点及相应的控制措施。改阶段内容主要包括:流程的控制目标、关键控制活动、主要涉及的岗位职责、相关的表单流转等。
图1 内控环境构建流程
合理的公司治理结构既是内控环境的组成部分,又是内控体系得以顺利实现的基础,所以上市公司首先应该明确自己的战略目标,根据战略目标规范治理结构,对现有组织结构、部门职责进行全方位的梳理,同时还要按照五部委的《内控规范》设立相应的内控部门及部门职责。其次,上市公司还应在上述基础上对公司所有的规章制度进行查缺补漏,整合成符合公司实际需求的制度体系。
二、建立内部控制系统
世界上不存在两个完全相同的企业,即便是同一行业中的两个企业,销售同类型的产品,都会在运营管理中体现出不同的文化特色、管理风格,这就决定了每个企业一定会有自己所特有的内控环境,因而其内部控制系统也一定是各有差异、各具特色。
企业内部控制的主要目标是为了经营合规合法、运作高效率、控制风险。为此,构建企业内部控制系统应该是一个长期、动态持续的过程,一般可以分为以下几阶段:
1.对企业风险进行系统评估。
图2 企业风险评估体系
风险评估是被国内企业最容易忽视的环节,而实际上,这个环节却是建立企业内控体系的一个至关重要的前提。企业应当基于所处行业的特色和企业自身的业务特征,利用专业的评估工具对企业的内外风险进行量化的分析,对风险可能发生的频率和后果赋值,计量风险的严重程度,同时设定企业对风险的容忍限度,对诊断出的所有风险进行排序,随后建立相应的风险数据库及风险应对策略。
2.建立书面的内部管理手册。
图3 企业内部管理手册建立流程
在前述建立的风险数据库的前提下,企业的任务是对应于上述风险数据库对企业整个运营管理流程进行分类,针对具体业务流程(明细程度可能根据企业的控制目标具体界定)确定关键岗位、职责表,描述关键控制点及相关的关键控制活动,分析不相容职务表(详见“立信锐思――如何企业内部管理手册”)。
企业的内部管理手册应该是系统的、可操作的,所以在内部管理手册的最后应当有相应控制活动的对应内审程序及职责表,以便于企业持续的监督,也就是在内控设计有效的基础上确保执行的有效性。
3.对企业内部管理手册的执行进行持续监督。
在以往的国有上市公司内控失败的案例中,很多企业已经制订了防范风险的控制制度,这些制度设计虽不能避免所有的风险,但至少可以保证不会导致企业破产清算,难以持续经营。他们的失败不在于缺乏制度,而在于缺乏监督,致使制度形同虚设,舞弊肆虐、管理完全失效。
企业在建立了内部管理手册以后,由专门的、职责独立的内审部门负责日常的监督,并及时直接地向企业内部控制委员会汇报、实施有效控制。
对企业来说,仅实施日常监督是不够的,内部控制委员会还要制定专项监督制度,对企业的非经常性项目进行不定期的监督,以防止预想之外的风险发生。
4.根据企业的外部环境及内部业务的变化对内控体系进行动态更新。
企业在业务发展的过程中会发生大小各异的内部变化,小到低层员工的变动,大到经营模式的变化,这些变动累积到一定程度会导致原有的风险手册和内控管理手册不再符合企业的实际,特别是2008年全球金融危机,企业面临着及其严酷的竞争环境,该环境加剧了企业风险的可变性。因此,企业的内控体系也应该是一个动态更新的过程。
这个动态更新的过程即可以是渐进式的(当内外部变化不是非常剧烈时),也可以急进的、全新式的(当内外部发生的革命性的变化时)。
规范公司内部控制制度的执行和评价报告制度是公司首次执行公司内部控制评价报告制度最困难的一件任务。首次执行大规模的动态更新对于许多公司来说,并不是一件易事。
我们建议企业在首次建立内控体系或重大动态更新时选择第三方的权威中介机构,既可以借助其专业知识为企业量身定做内控体系,也可以通过培训方式培养企业自身的内控理念和意识。
三、对外披露:内控自我评估及内控鉴证
1.内控自我评估。
企业根据国家有关法律、行政法规或者有关监管规则的规定提交并披露(以财务报告为主的)内部控制自我评估报告时,还应当在该报告中披露以下内容:
(1)声明企业董事会对建立健全和有效实施内部控制负责,并履行了指导和监督职责,能够保证财务报告的真实可靠和资产的安全完整。
(2)声明已经遵循有关的标准和程序对内部控制设计与运行的健全性、合理性和有效性进行了自我评估。
(3)对开展内部控制自我评估所涉及的范围和内容进行简要描述。
(4)声明通过内部控制自我评估,可以合理保证本企业的内部控制不存在重大缺陷。
(5)如果在自我评估过程中发现内部控制存在重大缺陷,应当披露有关的重大缺陷及其影响,并专项说明拟采取的改进措施。
(6)保证除了已披露的内部控制重大缺陷之外,不存在其他重大缺陷。
(7)自资产负债表日至内部控制自我评估报告报出日之间(以下简称报告期内)如果内部控制的设计与运行发生重大变化的,应当说明重大变化情况及其影响。
(8)依法及时披露的内部控制自我评估报告,经董事会审议批准后公布。
目前,我国企业一般都有自己的内部控制方式,但大多数缺乏系统的内部控制制度和主动的风险识别与评估机制,内部控制措施零散、间断,监督检查环节不到位等。面对经济发展的全球化,为了适应国内经济发展的需求,2008年6月28日,由财政部、证监会、审计署、银监会和保监会联合了《企业内部控制基本规范》。新规范借鉴COSO框架,根据我国国情及企业特点制定的,是保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效益,促进企业实现发展战略的基本规范。该规范已于2009年7月1日起先在上市公司范围内施行,对其他企业的内部控制起到很好的示范作用,在企业中实施《企业内部控制基本规范》对企业的长远发展起着举足轻重的作用。
风险在现今社会无处不在,对于企业而言风险有外部环境风险及内部环境风险。外部环境风险有市场环境、政策法规、金融、政治等外在的风险。而内部风险由企业的经营活动的优劣决定的,有资金、采购、存货、销售、费用、人力资源等因素和环节引发的风险。内部风险具有可控性,但控制的质量如何,直接影响到企业的生存与发展。如在采购控制中的一个案例:一家涉外星级国际酒店,在未经公开招标的情况下,即与奥尔公司签订了价值为150万美元的代购合同。依照合同规定,奥尔公司必须提供瑞士某著名珠宝公司生产的水晶灯,并由奥尔公司向该酒店出具该公司的验证证明书,其中200万元人民币为支付给奥尔公司的费。然而,交易发生后,奥尔公司并未向国际酒店出据有关水晶灯的任何品质鉴定资料,国际酒店也未办理必要的查验手续。这样高价的水晶灯在安装两个月后,失去了原来的光泽,变得灰蒙蒙的,部分连接金属灯杆出现了锈斑,甚至有些灯珠破裂脱落,刚开业两个月的国际级酒店名誉蒙受重创,成为同行的笑柄。经查实,这笔交易都是由王副总经理一人操纵的,从签订合同到验收入库再到支付货款都是由他一个人说了算,而他之所以会这样做,正是因为收受了奥尔公司的巨额好处费。这样的一笔交易毁了整个企业,这里面的教训是深刻和发人深省的。一笔采购业务,特别是金额较大的业务通常涉及采购计划的编制、物资的请购、订货或采购、验收入库、货款结算等。因此,应当针对各个具体环节的活动,建立完整的采购程序、方法和规范,并严格依照执行。只有这样,才能防止舞弊,保证企业经营活动的正常进行。
根据这个案例涉及的环节应做如下控制:
首先,要做到职务分离,采取集体措施。诸如采购申请必须由生产、销售部门提出,具体采购业务由采购部门完成,而货物的验收又应该由其他部门进行。付款审批人和付款执行人不能同时办理寻求商和索价业务。付款的审批通常经过验货或验单后执行(预付款除外),以保证货物的价格、质量、规格等符合标准。
其次,要做好入库验收控制。应根据购货单及合同规定的质量、规格、数量以及有关质量鉴定书等技术资料核查收到的货物,只有两者相符时才予以接受;对于所有已收到的货物,应定期完整填写收货报告,将货物编号并登记明细账簿,对验收中所出现的问题要及时向有关部门反映;货物入库和移交时,经办人之间应有明确的职责分工,要对所有可能接触货物的途径加以控制,以防调换、损坏和失窃。
最后,还必须做好货款支付控制。发票价格、运费、税费等必须与合同符合无误,凭证齐全后才可办理结算、支付货款,如有部分退货,则注意要从原发票中扣除后再办理结算;除了向不能转账支付和不足转账金额的单位、个人支付现金外,货款一般应办理转账。
中图分类号:F713.50文献标志码:A文章编号:1673-291X(2009)29-0192-03
企业内部控制的完善和执行情况日益成为人们关注的议题。在国内,“中航油”、“银广厦”等多起舞弊案件都是与企业内部控制的缺失有关。德勤华永会计师事务所有限公司最新《中国上市公司内部控制调查分析报告》的调查结果显示,大多数企业在内部控制实施方面仍然存在一定的盲目性。中国上市公司约58.82%的企业为应对金融危机而指定了专门的部门落实风险管理和内控工作,但是,仅有23.53%的企业将内控工作的重点从书面制度转变为具体实施;仅约17.65%的企业进行了内部控制评价。可见,内部控制问题已成为上市公司的软肋。2008年6月28日财政部、证监会、审计署、银监会、保监会联合了《企业内部控制基本规范》,该规范融合了COSO 风险管理的先进经验,又具有中国的特色,被世人赞誉其为“中国版的萨班斯法案”。那么,基本规范是否能解决上市公司的问题成为了时下理论界、实务界关注的焦点。
一、企业内部控制规范与COSO企业风险管理的不同
(一)内涵、目标不同
2008年6月28日财政部、证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》,为中国企业首次构建了一个企业内部控制的标准框架。它所指的内部控制,是指由企业董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:(1)企业战略;(2)经营的效率和效果;(3)财务报告及管理信息的真实、可靠和完整;(4)资产的安全完整;(5)遵循国家法律法规和有关监管要求。
2004年9月,COSO委员会在内部控制框架概念的基础上,提出了企业风险管理(Enterprise Risk Management,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO在ERM框架报告中指出企业风险管理是一个过程,它是由一个主体的董事会、管理当局和其他人员实现的,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险已使其在该主体的风险容量之内,为主体目标的实现提供合理保证。ERM框架对内部控制明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。ERM框架提出,要力求实现四类目标:战略目标、经营目标、报告目标和合规目标。
(二)基本要素不同
1.企业内部控制规范考虑以下基本要素:
(1)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(2)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(3)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
(4)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。
(5)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告,提出有针对性的改进措施等。
2.COSO企业风险管理包括八个相互关联的构成要素。它们来源于管理当局经营企业的方式,并与管理过程整合在一起。这些构成要素是:
(1)内部环境。内部环境其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。
(2)目标设定。必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。
(3)事项识别。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,管理层必须识别影响主体目标实现的内部和外部事项,区分风险和机会。
(4)风险评估。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。
(5)风险应对。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。
(6)控制活动。控制活动是管理当局设计的政策和程序,为执行特定的风险缓和反应提供合理保证。控制活动包括在整个组织中使用的批准、授权、注销、确认、观察、查证以及对经营业绩复核、资产安全、职责分离等方法。制订和执行政策与程序以帮助确保风险应对得以有效实施。
(7)信息与沟通。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。
(8)监控。企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。
(三)管理人员对实现企业目标的职责
1.企业内部控制基本规范对管理人员的职责规定如下:
(1)企业董事会应当充分认识自身对企业内部控制所承担的责任,加强对本企业内部控制建立和实施情况的指导和监督;
(2)董事长(或者法定代表人、代表企业行使职权的主要负责人,以下简称董事长)对本企业内部控制的建立健全和有效实施负责;
(3)经理(或者总裁、厂长,以下简称经理)根据法定职权、企业章程和董事会的授权,负责组织领导本企业内部控制的日常运行;
(4)总会计师(或者财务总监、分管财务会计工作的负责人,以下简称总会计师)在董事长和经理的领导下,主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。
2.COSO企业风险管理将各级人员的职责分成三个层次:
(1)董事会,监控企业风险管理,获知并批准企业设定的风险偏好,与企业高层管理人员讨论企业风险管理的状态,获知企业所面临的重大风险、管理层拟采取的行动以及管理层确保风险管理有效性的方式,董事会还要从内部审计人员、外部审计人员和其他人员那里获取相关信息;
(2)高层管理人员,首席执行官或总裁应对ERM 负总责,各部门经理应认同企业的风险管理理念,按企业设定的风险偏好和风险容忍度管理本部门事务。首席执行官或总裁集各部门经理对企业风险管理的能力和有效性进行初步评估,以决定是否有必要对其继续进行更深入的评价;
(3)企业基层职员,有责任按照企业已确立的指令和协议实施风险管理。
二、企业内部控制基本规范的贡献
从基本规范与COSO风险管理的比较,可以看出基本规范既吸收了COSO报告的精华,又具有一定的中国特色:
1.提高了内部控制规范的地位。新规范既有类似萨班斯法案的强制力,又有与科索报告一样对内控实务的示范作用;既对中国企业建立内控制度提出了强制性要求,又为千差万别的中国企业建立健全内控制度提供了基本框架;既吸收了内控的国际先进理念,又充分体现了中国内部控制的现实环境要求。有专家认为,这一规范的出台,是中国企业按国际化标准严格自律的宣言书,更是中国企业参与国际竞争,逐步接受并自觉遵循市场经济游戏规则,不断完善企业制度、细化管理的内在要求。世人赞誉其为“中国版的萨班斯法案”。
2.统一了我国企业内部控制规范。在美国,COSO框架是美国企业以及在美国上市的外国公司的内部控制建设的标准,而在我国,长期以来内部控制规范正出多门,现实中,至少存在包括证监会、财政部、国资委、人民银行、证券交易所等部门或主管单位的关于内部控制或风险管理的规范文件。尽管有关监管部门在实际中采用了COSO的标准,但都比较局限。2008年6月28日财政部、证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》是广泛征求各监管部门意见基础制定的,统一了我国企业内部控制规范的标准,使企业可在统一的框架内建立有效的内部控制监督体系,同时为外部监管公司内部治理的设计、实施、监督、评估等奠定了基础。
3.科学界定内部控制的内涵,强调“全员控制”。基本规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,是一种全面、全员、全过程控制的理念。
4.准确定位内部控制的目标。旧规范的目标定位,基本上是处于内部控制目标层次的最低级,只包括:保证会计资料真实、完整;保护单位资产的安全、完整;确保国家有关法律法规和单位规章制度的贯彻执行。基本规范前瞻性提出企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略。本次的修订既强调了COSO全面风险管理的四大目标,又增加了对资产的安全完整的要求。这充分体现我国顺应国际内部控制和风险管理日益融合的趋势。
5.统筹构建内部控制的要素。旧规范的范围过于狭窄,主要集中于会计领域。《会计法》、《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重于企业的会计责任方面。而本次修订的基本规范有机融合COSO全面风险管理的做法,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。
6.明确界定各控制主体职责。内部控制的有效执行有赖于全员参与,而只有企业内每个人均清楚地知道自己所拥有的责任和权力,才能认真履行自己的职责,提高内部控制的执行力度。新规范所界定的内部控制主体有四层:一是董事会,二是监事会,三是经理层,四是全体员工。董事会是加强企业内部控制的第一责任人;监事会负有对董事、经理执行公司职务时违反法律、法规或者公司章程的行为进行监督的权利,在监督投资者决策行为的同时切实履行监督投资者对经营者的监管职能的落实情况;经理层直接对企业的经营管理活动负责,尤其是企业总经理(首席执行官)承担重要责任;全体员工在实现内部控制中承担相应职责并发挥积极作用。
7.创新了体系。除基本规范之外,财政部还起草了17项具体规范,并将继续起草若干具体规范和应用指南;与此同时,还将研究、制定评价标准和配套实施办法,形成全方位、立体性推进内控体系建设的局面。我国的企业内控体系,将是一个层次分明、内容完整、衔接有序、整体互动的有机统一体。
8.强化了内部风险管理。旧规范只是强调通过风险预警、风险识别、风险评估、风险分析、风险报告等措施,对财务风险和经营风险进行全面防范和控制,而基本规范更强化了在目标设定环节就要考虑风险因素,这一条和COSO的风险管理是吻合的。
9.提出了切实可行的内部控制实施机制。基本规范建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制,要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。这充分体现了基本规范在实施过程中适当的引入了信息机制和声誉机制、强化检查监督机制,落实内控责任主体和严格问责和实施严厉的奖惩机制的特点。
三、企业内部控制基本规范实施的难点
企业内部控制规范在执行中还存在很多困难:
1.基本规范的要素中没有体现事项识别的重要性
事项可能会带来负面影响,也可能带来正面影响,带来正面影响往往意味着机会,而机会对于企业目标的实现是有重要作用的。基本规范只强调了风险的识别,而对于机会则没有关注。
一、萨班斯法案的主要内容
美国布什政府出台的《2002年公众会计改革和投资者保护法案》,简称《萨班斯法案》,它的主要内容涉及加强上市公司董事及高层管理人员的责任、要求上市公司设立审计委员会、强化上市公司财务信息披露义务、加大对违法行为处罚的力度等。法案第302款要求公司首席执行官和财务总监对财务报告“完全符合证券交易法,以及在所有重大方面公允地反映了财务状况和经营成果”予以签字保证。法案第404款要求公众公司年度报告中应包含内部控制报告,强调公司管理层有责任建立和维护内部控制系统并保证相应控制程序的充分有效以及对最近财政年度末的内部控制体系和控制程序有效性做出评价,并要求独立审计师对公司高管层做出的内部控制评价出具鉴证报告。
二、我国内部控制的现状和问题
我国政府从20世纪90年代后期才开始重视企业内部控制。1996年12月财政部《独立审计具体准则第9号――内部控制和审计风险》(于1997年1月1日施行)。1997年5月,中国人民银行颁布第一个关于内部控制的行政规定《加强金融机构内部控制的指导原则》。1999年10月修改后的《会计法》提出各单位应当建立、健全本单位内部会计监督制度。证监会2000年底要求商业银行应建立健全内部控制制度,并就其内部控制制度的完整性、合理性和有效性做出说明,还应聘请会计师事务所进行评价,以内部控制评价报告的形式做出报告。财政部2001年6月颁布了《内部会计控制规范――基本规范(试行)》和《内部会计控制规范――货币资金(试行)》。证监会2001年要求公司监事会在监事会对公司依法运作情况发表独立意见时,应包含公司是否建立完善的内部控制等内容。上交所2006年度的《上市公司内部控制指引》指出,公司在内部控制检查中如发现内部控制存在重大缺陷或存在重大风险,公司董事会应向本所报告该事项,经认定,公司董事会应及时公告。公司董事会应披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。深交所2006年9月28日《上市公司内部控制指引》,要求深市主板上市公司自2006年9月28日至2007年6月30日期间建立起完备的内部控制制度,并从2007年年报开始,按照要求披露内控制度制定和实施情况。2006年7月15日,财政部发起成立企业内部控制标准委员会,研究推进企业内部控制规范体系建设问题。2008年6月28日,财政部、证监会、审计署、银监会、保监会联合了《企业内部控制基本规范》,标志着企业内部控制规范体系建设取得重大突破。基本规范原来计划安排在2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。但是由于上市公司目前的内部现状使得执行起来难度比较大,被迫推迟到2010年1月1日,出具内控自我评价报告则可以推迟2010年年底。
目前,我国关于内部控制的法律法规如《会计法》、《内部会计控制规范》等已经颁布,但是这些法规在实践中由于缺乏相应的监督机制,内部控制的规定如同一纸空文,企业并没有将其付诸到实践中,造成许多单位的内部控制形同虚设,无助于提高企业财务报表的可靠性。从而,我国企业的内部控制相对于一些跨国公司而言,显得有的薄弱,很多公司的内部控制完全是按照管理层的决定,从而导致我国企业内部控制存在一系列问题,主要问题如下:
(一)控制环境管理混乱
我国企业普遍缺乏标准的内部控制环境,大多数企业尽管建立了内部控制机制,但缺乏规范和完整的内控标准,从而导致内控环境管理存在很多混乱之处。
(二)风险管理意识淡薄
我国企业最近几年屡屡在资本市场上折臂,从而导致了巨额的亏损,而这些企业问题的出现或多或少的与企业缺乏必要的内部控制有关,公司的经营失败主要原因是无视制度的存在,不按制度行事,没有对资本市场上的风险有充分的认识。
(三)内部审计薄弱
内部审计作为公司内部控制重要的一环,扮演着非常重要的作用,然而我国企业的内部审计部门势单力薄,内部审计从业人员的独立性也遭到质疑,很多企业的内部审计人员工作并不是向审计委员会直接汇报,而是向管理层汇报,从而使得企业内部审计的职能并没有得到应有的发挥。
由此可见,我国内部控制信息披露的现状是流于形式,还没有能够真正揭示出上市公司的内部控制缺陷,难以起到提高财务报告质量、提升公司治理水平、保护中小投资者等作用。
三、萨班斯法案对我国执行《企业内部控制基本规范》影响的思考
企业内部控制规范体系的实施给不少企业带来脱胎换骨的影响,意味着中国企业内控规范体系建设正在向国际标准靠拢。通过对美国上市公司执行萨班斯法案的成功实践进行研究后发现,《萨班斯-奥克斯利法案》中最难操作、最复杂、耗费成本最高的条款是404条款,即管理层对内部控制评价。统计资料显示,大型美国公司仅在“404合规工作”第一年建立内部控制系统的平均成本就高达430万美元,成本包括:内部人员35000工时的投入、130万美元的外部顾问和软件费用,以及150万美元的额外审计费用。这是许多企业对建立内部控制体系望而生畏的重要原因之一。因此,我国上市公司在内部控制基本规范的执行中可从以下方面入手:
(一)尽早启动内部控制建设的计划。根据经验,1年半的时间对一个企业实施有效的内部控制相当紧迫,越早启动,意味着越少的成本投入。
(二)建立内部控制建设的工作团队。按照基本规范的要求,明确董事会、监事会以及各级管理层在内部控制中的责任,规范审计委员会以及内部审计职能的独立性。同时建立以高级管理层为领导的基本工作团队,确保内部控制的设计、监督、实施相互分离,相互牵制。
(三)开展内部培训,培养和建立自己的内部控制专业人才队伍,解决本企业内部控制体系设计与执行,建立流程管理信息系统和开展内部控制有效性自我评估价与外部审计的人才需求。
(四)企业内控建设团队应从重要性、风险发生的可能性等指标出发,从企业(集团)整体的角度,全面梳理企业风险领域,确定对企业整体而言的高风险领域。从重点领域着手,再推广到整体的范围。
(五)关注内部控制基本规范指引的建设与更新。企业一方面要关注现有政策内的明确要求(如证券交易所内控指引中提出的关注领域)一方面需要时刻关注指引内容的变化与要求。在某种情况下,对政策要求的误判,可能会直接造成企业成本的增加,甚至浪费。
参考文献:
[1]胡向丽,钟亮.萨班斯法案对我国内部控制建设的启示[J].华东科技大学学报,2007(2).
[2]李芳.萨班斯法案404条款的执行与启示[J].中国注册会计师,2006(7).
[3]阎达五,杨有红.内部控制框架的构建[J].会计研究,2001(2).
关键词 内部控制 基本规范 建筑行业 风险 内部审计
2008年6月28日,财政部、证监会等五部委联合《企业内部控制基本规范》(以下简称“基本规范”),这是我国内控标准体系建设的可贵创新与重大突破。基本规范在立足我国国情并借鉴国际惯例的基础上,确立了我国企业建立和实施内部控制的基本框架,构筑起了中国企业经营风险的“防火墙”,标志着我国企业用以规范发展、规避风险的内部控制指南已初步建立。目前,基本规范即将实施,特定行业实施时应关注哪些方面,存在的问题,实施的效果如何等将是下一步深入贯彻基本规范需要研究的问题。本文仅从建筑行业入手探讨实施基本规范的相关问题。
一、基本规范的适用性
基本规范在立足我国国情并借鉴国际惯例的基础上,明确提出企业建立与实施有效的内部控制,应当包括以下五要素:内部环境,风险评估,控制活动,信息与沟通,内部监督。统筹构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的内部控制框架。这些内部控制要素具有普遍适用性,适用于各种行业的企业。其中,内部环境、风险评估、信息与沟通、内部监督要素基本是具备通用性的,任何企业建立内部控制都应当遵循;控制活动要素的具体内容需要根风险评估的结果确定,基本规范只能给出普遍性、概括性的指南。
同时,基本规范确立了企业建立与实施内部控制应当遵循的五项原则:全面性原则、重要性原则、制衡性原则、适应性原则及成本效益原则。指出内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项,并在全面控制的基础上,关注重要业务事项和高风险领域。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。因此,基本规范的实施不是生搬硬套,而是要根据特定行业、特定企业的实际情况建立与之相适应的内部控制。
综上,基本规范为企业建立完善内部控制提供了有力的指导,但具体实施过程中需要企业认真分析行业特征、企业实际情况、外部环境等因素,将基本规范具体化、本地化,制定适合的内部控制实施方案,这样才能达到加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展的目标。
二、建筑行业实施基本规范的必要性
由于建筑产品生产周期长,涉及面较广,因此建筑行业有别于其他制造行业,其特性有以下几点:
(一)政策敏感性
建筑业发展与宏观经济形势具有高度相关性。建筑行业的发展方向、发展速度、经营环境以及运行机制明显的受国家宏观政策的调控。国家关于建筑业的政策调整、变化较多,政策波动性较大,因此,建筑业应该时刻关注国家政策的变化与调整,以及时调整企业的经营策略。
(二)高风险性
由于建筑产品交易方式以及生产方式的特殊性,建筑业具有较大的经营风险。建筑市场交易属于期货交易,即建筑产品的交易过程在生产之前开始。这种生产和交易的分离,决定了建筑市场中的交易一出现就应该是一种信用交易方式,而信用交易方式必然面临着信用风险。
(三)成本具有不确定性
建筑工程最终产品的生产过程是最为复杂的产品生产过程,建造成本随着宏观经济环境等因素改变而变化,因此造成其成本难以控制,存在较大不确定性。
当前国内建筑市场竞争日趋激烈,建筑企业所处的经济环境复杂多变,经营过程中各种不确定因素增加,使施工项目微利化趋势越来越明显,各种风险进一步增大和复杂化。建立健全内部控制系统是建筑企业自身的管理需求,通过建立权责明确、管理科学的企业内部组织结构,形成科学的企业内部治理机制,建立有效的风险控制系统来有效防范风险,堵塞漏洞,消除隐患,保证企业各项财产物资的安全和完整,提高经济效益。
但由于建筑企业管理水平参差不齐、管理链条较长、基层人员素质较低、建筑项目情况各异等因素影响,建筑行业建立完善的内部控制系统具有较大难度,目前行业内各企业的内部控制有效性程度也存在较大差别。实施基本规范有利于规范建筑行业的内部控制要素,统一内部控制流程,完善内部控制体系。
三、建筑行业的风险分析及内部控制关键环节
建筑行业的风险主要包括以下几个方面:
(一)战略风险
战略风险是指战略目标不能实现的可能性,建筑行业战略风险主要有以下四项:
(l)战略规划与执行管理风险。由于对国家投资政策分析不准确,对政府和民间投资宏观未能合理预计,对未来影响企业的有关因素分析和判断把握不够充分,从而带来企业的总体战略选择环节的失误风险。
(2) 产业战略选择和调整的主要风险。包括:产业拓展风险,如从房建领域向基础设施领域进行跨专业拓展;进行多元化战略调险,如向建材生产和房地产开发拓展,以及建筑业向制造业或服务业方向实现多元化战略调整。
(3)企业并购所带来的管理风险。如合并、收购同行业企业,或收购、并购其他行业企业的行为;进行重大的经营区域调整等等。
(4)公司组织结构调整和改制等行为带来的风险。公司组织结构变革、公司的预算调研、测算、分解、执行和考核、重大事项的决策等等,这些带有方向性或给公司带有重大影响的战略性调整,具有很大风险。
(二)经营风险
经营风险是在日常生产经营活动过程中,影响具体目标实现的风险。建筑企业经营风险主要包括营销风险及项目管理风险。
(l)营销风险:市场调研与分析、项目信息跟踪、项目投标许可与入围、投标报价、合同谈判、工程结算等环节的风险。
市场调研分析包括调查工程项目所在地政治、经济、社会风俗、自然环境、税收等法律及政策规定,还应了解劳动力、设备、材料的市场价格和变化规律,分析市场的潜力与前景。
合同谈判主要是通过签约前谈判明确双方的责任及风险分担,以争取合理的合同条件减轻风险。
投标报价需要根据自身因素、业主因素、竞争对手情况和项目情况综合考虑后报出投标价。如在此过程中对某一环节未充分考虑,企业可能将面临极大的风险。
(2)项目管理风险:采购管理、存货管理、施工过程管理、安全控制、质量控制、工程结算管理等方面的风险。
工程项目作为施工企业效益的源头,是企业风险最为集中的地方。由于工程项目存在建设周期长、投资数额大、工序繁多等固有特点,各种不可预见因素多,风险相应增加,并贯穿于工程项目施工全过程。
鉴于建筑工程材料消耗和设备购置占总造价的比重很大,所以工程能否获利的关键点之一是采购环节。因建筑材料价格波动很大,因而不能只看目前的报价,要尽可能对过去和未来的材料价格趋势作出判断,以及时采取应对措施,减少材格上涨带来的负面影响。
(三)财务风险
财务风险包括收入、成本、费用及利润管理,现金流量,相关资产管理,投、融资管理,相关债务和净资产管理,信息披露与财务报告等方面的风险。一般认为财务风险管理应从资本结构着眼,通过对营运过程和投资等环节进行详细分析加以确定,必须着重突出对高风险项目、重要管理部位和资金流通等环节进行重点关注和管理。就建筑企业而言,采购、工程款收付、应收账款的处理和投资活动是财务风险管理的重点,较为常见的风险有甲方未按期支付工程进度款,造成资金紧张;甲方拖延结算,使应收工程款迟迟不能回收等。
(四)法律风险
法律风险主要包括印鉴、合同、诉讼事务管理等方面的风险。建筑工程时间跨度普遍较长,从签约到完工再到结算付清款项,历经十年八载也并非方夜谭。甲方拖欠施工企业,施工企业拖欠分包或材料款,容易造成多角债务关系。此外长期欠款还牵涉到法律诉讼时效的问题,如果在此期间经办人调离岗位,继任人不清晰,又没有一套严谨的制度约束,则欠款有可能无法追回。
针对上述风险,建筑企业建立内部控制的重点在于完善以下控制活动:重大投资决策、工程投标与合同建立、项目策划与成本预算、项目履约管理、资金链管理、安全与质量管理、项目成本管理与费用控制、印章保管与使用等。
公司治理机制也是内部控制重点。其重点是建立完善股东大会、董事会、监事会、经理层之间的制衡机制,切实完善公司治理、建立有效的经理层的考核和激励机制,规范企业并购、重大投资、产业战略调整、经营结构调整等重大决策流程。
四、内部审计如何协助企业实施基本规范
基本规范对内部审计也给予了足够的重视,规定:“企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。审计委员会负责人应具备相应的独立性、良好的职业操守和专业胜任能力。”审计委员会成为必设机构,权力得到扩大。要求企业应当在董事会下设立审计委员会,并保证内部审计机构设置、人员配备和工作的独立性;内审机构对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。内部审计工作的职责不仅包括审计会计账目,更重要的是检查、评价内控制度是否完善和各职能部门履行职能的效率,并向企业最高管理部门报告内控制度的执行结果,从而保证内控制度更加完善和严密。在实际工作中,内部审计可以通过以下两方面职能协助企业实施基本规范:
一方面,内部审计是内部控制的重要环节,它是对内部控制的检查和再控制。通过内部审计人员经常和定期的审计活动,评估内部控制的有效性,达到消除隐患、改进管理、提高效益的目标,以消除影响内部控制的各种因素,它是落实内部控制的一个重要保证。一个完整的内部控制系统,必须要有内部审计来监督执行,以及时发现问题,纠正偏差,修订并完善制度。
另一方面,内部审计可以发挥咨询职能,为企业风险评估、控制活动构建等方面提供专业支持,确立企业的高风险领域,提出风险应对措施建议,供管理层参考,从而起到协助企业完善内部控制的作用。
参考文献:
[1]2008.企业内部控制基本规范.
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 18. 021
[中图分类号] F239.45 [文献标识码] A [文章编号] 1673 - 0194(2012)18- 0037- 03
1 新旧企业内部控制基本规范的比较
2008年财政部、证监会、审计署、银监会和保监会联合了《企业内部控制基本规范》(以下简称“新基本规范”)。这是继2000年财政部的《内部会计控制规范——基本规范(试行)》(以下简称“旧基本规范”)以来,我国在会计、审计领域的又一重大变革。新基本规范为上市公司加强内部控制建设提供了基础性和权威性的借鉴,必将有利于提高上市公司经营管理水平和风险防范能力,促进资本市场持续健康发展。同时也为我国中小企业长久持续发展指明了方向,加强企业内部管理是企业长盛不衰的法宝,中小企业在条件具备的情况下应严格管理,完善内部控制。
1.1 企业内部控制定位及所体现的理念
旧基本规范涉及的内部控制是指内部会计控制,在具体范围上,主要涵盖的是内部会计控制,同时也兼顾与会计相关的控制。对内部控制中的大部分管理控制因其与会计不相关而被排除在旧基本规范之外。旧基本规范的框架结构也是围绕内部会计控制应遵循的目标、原则、内容、方法、监督、检查等逻辑思路来构建的。因此,传统的“内部控制制度二分法”(将内部控制划分为内部会计控制和内部管理控制)思想主导了旧基本规范对内部控制的定位和规范。
新基本规范虽然以财务报告内部控制为核心,以内部控制机制为规范重点,但是定位却是企业的全面内部控制。新基本规范还借鉴了COSO(The Committee of Sponsoring Organizations)的框架,根据我国的具体国情进行了较大的调整和改革。尤其是对全面风险管理理念的关注,几乎体现在新基本规范的所有方面。
1.2 企业内部控制规范的力度
在制定主体上,旧基本规范是由财政部制定的,而新基本规范是由财政部会同证监会、审计署、银监会和保监会联合制定并的,新基本规范更具代表性和权威性,更有利于其有效的实施。在适用范围上,旧基本规范适用于我国境内所有的国家机关、社会团体、公司、事业单位和其他经济组织,而新基本规范则适用于中国境内设立的大中型企业,小企业和其他单位也可以参照新基本规范建立并实施内部控制。新基本规范在上市公司范围内施行的同时,明确鼓励非上市的大中型企业参照执行。
新基本规范要求上市公司对内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘用具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。
此外,为了确保外部审计等监督措施能够得以顺利实施,新基本规范指出“企业应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性”。
而旧基本规范除了规定各单位应当根据国家有关法律法规和规范本身,结合部门或系统的内部会计控制规定,建立适合本单位业务特点和管理要求的内部会计控制制度并组织实施,除此之外,没有特别要求单位本身对内部控制的有效性进行自我评价并出具内部控制的自我评价报告。
2 中外企业内部控制基本规范的比较
COSO的《企业风险管理——整合框架》继承了COSO于1992年的《内部控制——整合框架》的五要素框架,并在此基础上将其发展成为八要素框架,与《企业内部控制基本规范》一样,都涵盖了五要素框架,即内部环境、风险评估、控制活动、信息与沟通以及内部监督(《企业风险管理——整合框架》称之为“监控”)。
2.1 形式差异
在借鉴国外的内部控制框架的同时,新的《企业内部控制基本规范》也有自己的创新,它根据我国的实际情况,在五要素的基础上做出了较大的调整,这样在内容上得到更大的充实,在表达形式上也就更符合我国法规特点、文化传统和语言习惯,使得国外提出的较为宏观、抽象的内部控制理念转变为了具有针对性、实用性的内部控制规定。这样一来,两个文件在控制活动、信息与沟通和内部监督方面的规定就基本相同了。
2.2 本质差异
一 企业内部控制基本规范及三个指引的介绍
2008年6月28日,财政部、审计署、证监会、银监会联合颁布了《企业内部控制基本规范》(以下简称《基本规范》),该法规文件被称为“中国版的萨班斯法案”’。正式官方文件于2008年5月22日以通知形式下发“关于印发《企业内部控制基本规范》的通知财会[200817号”。理解《基本规范》时也需要考虑《通知》中相关要求。为配合《基本规范》的实施,财政部还颁布了三个指引性文件,即《企业内部控制评价指引》、《企业内部控制应用指引》、《企业内部控制鉴证指引》,并公开征集意见。以下将对《基本规范》和三个《指引》作简单介绍。
(一)《基本规范》主要内容介绍
《基本规范》包括七章、50条条款。第一章规定了规范的范围、适用性以及企业开展年度评价的要求。第二章至第六章规定了企业内部控制需要考虑的重要因素,包括:内部环境、风险评估、控制活动、信息与沟通和内部监督。第七章规定了规范的生效日期,并指出规范的配套办法将由相关部门另行制定。《基本规范》的主要内容包括:
(1)生效日期:自2009年7月1日起实施(基本规范第五十条)。
(2)适用范围:适用于中华人民共和国境内设立的大中型企业(基本规范第二条)。
(3)内部控制的定义及要素:基本规范中定义的内部控制要素与COSO委员会1992年的内部控制整体框架的整体框架基本一致。并融合了COS02004年的企业风险管理整合框架的概念。因此,《基本规范》包含COSO上述两个公告的重要原则。另外,基本规范中定义的内部控制包含全部控制要素,其范围比sox中规定的“财务报告相关的内部控制”更为广泛。
(3)内部控制职责:董事会负责内部控制的建立健全和有效实施,监事会对内部控制的建立和实施进行监督。经理层负责组织领导企业内部控制的日常运行(基本规范第十二条)。
(4)管理层年度自我评价:通知中要求执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告。
(5)执行时需考虑的事项:《基本规范》鼓励运用信息技术和自动控制来加强企业内部控制(基本规范第七条),并要求企业建立内部控制实施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施(基本规范第八条)。
(6)审计意见: 《基本规范》中未强制企业获取内部控制有效性的审计意见,因而管理层可以考虑是否进行外部审计。接收委托从事内部控制审计的会计师事务所,应根据本规范和其他配套办法等法规,对内部控制的有效性进行审计(基本规范第十条)。
(二)三个《指引》的概要
为配合《基本规范》的实施,财政部同时颁布了三个《指引》,并公开征集意见,其概要如下:
《企业内部控制评价指引》:由财政部制定,用于指导企业管理层对内部控制有效性进行年度评价,包括内部控制的评价程序、方法、缺陷认定和评价报告等。
《企业内部控制应用指引》:由财政部制定,用于指导企业管理层实施内部控制。该指引设置了22个独立文件,包含具体的运营流程和内部控制要素。
《企业内部控制鉴证指引》:由中国注册会计师协会制定,主要用于指导接受企业委托从事内部控制审计的会计师事务所,从事企业内部控制有效性鉴证业务的方法、程序和要求等。
二 我国目前内部控制规范体系建设中存在问题
(一)企业对内部控制的内涵认识不清
企业普遍认为内部控制就是内部控制制度,是企业用以防止发生错误和舞弊或者是用以应付有关部门及主管单位检查而制定的各项规章制度。在内部控制实际运行过程中,企业往往认为有关的职责分工、审批授权制度就是内部控制制度;完成有关部门或主管单位所要求的内部控制制度制定工作,就是实施了企业内部控制,对内部控制只注重制度建设而不重视制度执行,缺乏对内部控制实际执行效果的考核与评价。而按照COSO的ICIF框架对于内部控制的定义:企业内部控制是受企业董事会、管理当局和其他员工的影响,目的在于实现经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程,应由控制环境、风险评估、控制活动、信息与沟通、监督五个方面的内容构成。COSO框架强调内部控制是为了保证企业目标的实现而实施的控制过程,要围绕五个要素来构建内部控制框架,是一项比较复杂的系统工程。
(二)企业内部控制的相关规范重叠复杂,缺乏统一性
我国原有的企业内部控制评估标准主要依据财政部于2001年6月颁布的《内部会计控制规范基本规范(试行)》以及按业务环节设置的《货币资金》(2001)、《采购及付款》(2003)、《销售及收款》(2003)等7个具体规范来设计。其他的还有证监会于2006年颁布的《上市公司内部控制指引》、《首次公开发行股票并上市管理办法》(中国证监会第32号);国资委于2006年颁布《中央企业财务内部控制评价工作指引(2006年度试点用)》;上交所于2006年6月颁布《上海证券交易所上市公司内部控制指引》,到目前为止尚未正式强制执行;深交所于2006年9月颁布《深圳证券交易所上市公司内部控制指引》,2007年7月1号生效,到目前为止尚未正式强制执行;保监会于2007年4月颁布《保险公司风险管理指引(试行)》;银监会于2007年7月颁布《商业银行内部控制指引》,以指导商业银行内部控制管理。可见,我国不同的政府管理机构各自颁布不同的内部控制的指导原则、指引、规范,这些不同的内部控制规范形式多样、标准不一,增大了内部控制规范之间的协调成本,也不利于构建统一的企业内部控制规范体系。
(三)忽视内部控制环境建设
按照COSO的ICIF框架,控制环境是内部控制框架体系的第一要素,被视为其他控制要素的基础。按照ICIF框架的定义,内部控制环境是指一个企业的基调和氛围,对内部控制形成外部约束,并直接影响企业员工的控制意识。控制环境因素主要包括管理层的经营理念和经营风格,企业员工的道德价值观和工作胜任能力,管理当局的授权和职责分工方法,人力资源的组织与开发,董事会的关注和指导力度等。控制环境是内部控制能否生效的重要因素之一,控制环境的失效必然会直接导致内部控制的失效。由于我国企业普遍存在着大股东或关键人控制问题,内部控制环境未得到应有的重视,很多企业还未开展内部控制环境建设,如公司治理方面存在严重缺陷,管理层关键人凌驾于规章制度之上,内审部门无法肩负起监督职责等。而《证券公司内部控制指
引》、《商业银行内部控制指引》、《上市公司内部控制指引》等虽然都将控制环境列为内部控制规范的要素之一,但也仅仅是对COSO的ICIF框架内容的简单移植。要使内部控制环境在内部控制体系中得到完善,并发挥内部控制环境应有的作用,还需从改进公司治理、更新管理层经营理念、加强员工职业道德教育等基础工作做起。
(四)内部控制的控制环境之公司治理结构还有待于完善
正如前面所述,公司治理是内部控制的环境要素之一,是内部控制的基础与依据,完善的公司治理有助于企业建立了良好的内部控制环境。可见,公司治理结构是内部控制能否发挥作用的关键因素之一,很大程度上将影响内部控制的有效性。我国由于历史和制度原因,还存在着国有股一股独大、内部人控制、监事会形同虚设、内审人员不能依照规章发挥和履行监督职能等公司治理方面的严重缺陷。这些因素必将削弱我国企业内部控制制度的有效性。
(五)内部控制法律框架尚未正式形成,目前正处于起步阶段
从上述已有的内部控制的法律规范以及即将实施的法律规范来看,普遍存在立法层次低、内容分散、缺乏衔接和完整性等特点,而内部控制理论框架的研究也是最近几年兴起,学者对内部控制的内涵、目标等因素的争论较多,尚未形成统一的认识和成熟的理论。
三 完善我国内部控制规范体系的几点建议
(一)提高企业对内部控制的认识和理解,营造良好的内部控制氛围
要同宣传新会计准则、新税法那样,对内部控制进行广泛宣传和推介,改变目前人们普遍将内部控制看做是一项制度性建设的错误观念,使企业管理层和广大员工充分认识到内部控制的包含企业经营活动各个环节的控制过程和活动,是一项复杂的系统工程。只有提高企业管理层和员工对内部控制的认识和理解,才能形成一个良好的内部控制氛围,从而促进内部控制规范的建设和实施。
(二)统一内部控制规范,建立统一的内部控制框架体系
为了改变我国内部控制规范建设中各自为政的现状,建议由财政部牵头,由企业内部控制标准委员会具体负责,对现有财政部、证监会、中国人民银行、国资委、上海证券交易所、深圳证券交易所等部门和机构制订出台的内部控制方面的规范、制度、指引等进行重新梳理和整合,统一内部控制的概念、目标、要素、原则、程序、评价标准等基本内容,制定出适用范围宽泛的内部控制整体框架,作为各类企业内部控制体系建设的参照标准。各部门或机构在履行其各自管理职能时,可以对管辖范围内的企业提出内部控制建设方面的具体要求,但建设内部控制所依据的规范框架应该是统一的。此次财政部、审计署、证监会、银监会联合颁布了《企业内部控制基本规范》,正是为统一内部控制规范,建立统一的内部控制框架体系奠定了坚实的基础。
(三)完善法人治理结构,优化内部控制环境
