《企业内部控制基本规范》解读

《企业内部控制基本规范》解读马正凯*[1（集美大学工商管理学院会计系福建厦门361021）【摘要】《企业内部控制基本规范》的出台对于维持和促进我国资本市场的生机和活力具有重要意义，本文阐述了《企业内部控制基本规范》制定和出台的背景，结合基本规范的内容，重点探讨了基本规范的四个特点；认为基本规范满足了不同主体对内部控制的需求，形成了内部控制的理论结构；最后从制度变迁的角度和对后续问题的关注谈了三点思考。【关键词】内部控制；基本规范；特点2008年6月28日，财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范发布会，会议发布了《企业内部控制基本规范》（以下简称“基本规范”），自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。基本规范的制定发布，是我国继新企业会计准则、审计准则发布实施之后，在会计审计领域的又一重大改革，是我国资本市场发展中的一件大事；基本规范为上市公司加强内部控制建设提供了基础性、权威性的指引，必将有利于提高上市公司经营管理水平和风险防范能力，有利于资本市场的持续健康发展。一、基本规范制定和出台的背景安然、世通等财务舞弊和会计造假案件的发生，严重冲击了美国乃至国际资本市场的正常秩序，内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。为此，许多国家通过立法强化企业内部控制，如美国的《萨班斯一奥克利法案》等，内部控制日益成为企业进入资本市场的“入门证”和“通行证”，我国境外上市企业纷纷花巨资聘请海外机构设计内部控制制度，以适应上市地的监管要求。经济的健康发展迫切呼唤加强内部控制。内部控制作为公司治理的关键环节和经营管理的重要举措，在企业发展壮大中具有举足轻重的作用，但从现实情况看，许多企业管理松弛、内控弱化、风险频发，资产流失、营私舞弊、损失浪费等问题还比较突出，为了引导企业进一步加强内部控制，1999年修订的《会计法》，第一次以法律的形式对建立健全内部控制提出原则要求，财政部随即连续制定发布了《内部会计控制规范——基本规范》等7项内部会计控制规范。但是，随着市场经济的发展和企业环境的变化，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向风险控制发展；同时，各部门之间的内控要求也有待于进一步协调，以便为进行内部控制自我评估和外部评价提供统一标准。所以，研究、制定一套具有统一性、公认性和科学性的企业内部控制规范，是国内外多种因素共同作用、共同影响的结果。二、基本规范的内容及特点解析基本规范共七章五十条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。基本规范坚持立足我国国情、借鉴国际惯例，确立了我国企业建立和实施内部控制的基础框架，并取得了重大突破。下表是基本规范与COSO报告[a]和ERM框架[b]在内部控制定义、目标和要素三个方面的对比，从中可以看出，我国内部控制标准体系建设在先进理念和技术方法上紧紧与国际发展趋势相协调，又做到了借鉴、吸收、整合、为我所用，符合我国企业的管理理念、业务流程、思维模式和市场环境。表2-1：基本规范与COSO报告、ERM框架对比表对比项目企业内部控制基本规范COSO报告ERM框架定义由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程内部控制是一个受到董事会、经理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证(1)是一个过程；(2)被人影响；(3)应用于战略制定；(4)贯穿整个企业的所有层级和单位；(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险；(6)合理保证；(7)为了实现各类目标。目标合理保证企业经营管理合法合规资产安全财务报告及相关信息真实完整经营的效果和效率财务报告的可靠性法律法规的遵循战略目标、经营目标、报告目标和遵循性目标将报告目标扩展为企业所有对提高经营效率和效果促进企业实现发展战略性内和对外的报告ERM的终极目标为增加利益相关者的价值要素内部环境、风险评估、控制活动、信息与沟通、内部监督控制环境、风险评估、控制活动、信息和沟通、监督内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控完善的内部控制规范有助于约束并统一市场主体的行为选择，减少舞弊和欺诈、建立安全的市场秩序、实现社会和谐、经济持续发展，我国的内部控制基本规范能否起到上述作用，关键取决于这个基本规范本身的特点，笔者通过分析基本规范的内容，认为基本规范至少有如下四个特点：（一）科学界定了内部控制的内涵，强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，是一种全面、全员、全过程控制的理念，笔者认为基本规范本身特别强调了“全员控制”。COSO报告第一次明确地阐述了内部控制的制定与实施的责任问题，认为不仅仅是管理人员、内部审计或董事会，组织中的每一个人都对内部控制负有责任，而明确规范各层次人员的职责是公司管理与公司治理的“黏合剂”，ERM框架也明确规范了董事会、管理层、公司风险管理执行官、财务执行官、内部审计人员及公司成员等对风险管理的责任。企业是不同理性主体之间的一组契约，不同的主体可能有不同的偏好、资本、技能、信息和禀赋，理性的主体参与到企业的契约中，向企业贡献自己的资源，以试图从企业的运营中获得回报。这组契约治理着企业发生的各种交易，使得其企业内部发生的交易费用低于由市场组织这些交易时所发生的交易费用，但由于现实世界的复杂性、经济人的有限理性和机会主义的影响，这组契约通常又是不完备的，为了在取得低交易成本收益的同时弥补企业契约的不完备性，就需要在企业内部存在一个控制机制，来弥补企业契约的不完备性，以保证企业的正常运作和发展，这可视为企业内部控制的本质（刘明辉，张宜霞；2002）。内部控制通过明确企业内部各成员的职责，以及制定各种交易规则，保护距离企业较远一方的正当利益，同时对交易另一方进行监督，最大限度维护企业内部交易的公正和公平，内部控制系统通过对组织内部的资产专用性交易制定日常交易管理制度，减少博弈数量和频率，大大降低企业内部的交易费用。有效的内部控制是所有要素投入主体之间经济利益博弈的必然选择。基本规范认为，企业的每个管理主体就是控制主体，经营者对企业的管理是宏观层次的资源配置，管理者对其所负责部门的管理也是资源配置，员工则是在其岗位上直接操持一定的资源并实现对资源的控制，员工是最基本的管理者，是直接对资源进行控制的主体，而且是企业内部控制的最终落脚点。所以员工也就成为控制主体之一，每一个员工必须最大善意地使用自己直接控制的资源，保护企业财产和资源的安全，如实报告各种相关信息。从组织的全体来看，至下而上的全员控制有助于改善内部信息不对称，由此受益的不仅仅是一般员工；对管理者的不同层次来说，同样也可以减少信息不对称造成的控制困难。因此可以说“人人都是控制者”。（二）准确定位了内部控制的目标，要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上，着力促进企业实现发展战略。笔者认为这组目标循序渐进，既适合我国国情又具有前瞻性。在COSO报告之前，内部控制目标具体表现为经营效率和效果、报告的可靠性和资产的安全性。COSO报告认为，资产的安全性目标主要从属于经营与报告目标。不断出现的企业舞弊与失败案件表明，经营活动的合法合规性显然是组织目标实现的前提，组织内部必须要有相应的控制程序，确保组织行为不违背相关的法律和规制，以避免违法违规给利益相关者的价值带来损害。COSO报告因此发展了合规性风险控制目标，并将资产实物风险控制目标融入经营风险控制和报告风险控制目标。ERM框架针对COSO报告对企业战略管理方面关注不够的缺陷，目标制定中增加了“战略目标”，使企业在追求短期利益的同时，从战略高度关注企业的长远目标和可持续发展。该目标的层次比COSO报告的三个目标更高。基本规范从组织最根本的目标出发，又充分考虑投资者、债权人、管理者的要求从系统的要求出发,以提高企业战略管理和自我引导能力为目的，判断现有的内部控制方法、控制对象与控制目标是否相容，它们之间存在的对应关系，这些目标的不同层面，每个层面作用的特定控制要素，相应的配套措施；考虑了哪些目标层面的可控性更强，哪些目标层面受其他系统的影响更多等；具有循序渐进、适合国情的特点。基本规范目标最终定位于企业的发展战略的实现，发展战略的实现需要进行战略思维，这就需要考虑：企业对其前景做了哪些瞻望；使命是什么，核心竞争力是什么；有哪些机遇可以利用；怎样运用新技术加强竞争力；需要考虑哪些相关的经济因素；从竞争中能期望什么；从监管环境中能获取哪些好处；能否通过来取合并、合资及合作等方式取得战略优势等等，正如史蒂文·鲁特认为，保持使企业发现、利用机遇的能力和保持企业的反应能力——对意外风险与机遇的反应和适应能力，以及根据不确切的信息做出决定的能力，这对企业的持续经营能力以及其能否取得成功至关重要，因为这种控制显得更有意义，董事会和高级管理人员应将更多的时间和精力花费在利用机遇方而，而利用机遇也正是那些前景瞻望、战略规划、战术、行动、创新方案、项目和目标所要达到的主要目的。（三）统筹构建内部控制的要素，有机融合国际上的先进经验，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。笔者认为这个框架主要有如下两方面特点：1、该框架有效的整合了公司治理结构、内部控制与风险管理的关系，将三者最终归结为风险控制目前我国内部控制存在的突出问题在于：尽管制定了看似完善的内部控制，由于公司治理结构存在缺陷，对公司实际控制人缺乏必要制约，管理层任意超越内部控制，最终导致内部控制成为一纸空文；在战略及经营目标实现方面的风险控制严重缺失。很多案例折射出我国企业内部控制的现状和对内部控制认识的差距，近年来国内外发生的一系列重大内部控制和风险管理失败的案例为我国企业敲响了警钟：完善公司治理，建立风险导向的内部控制，提高内部控制的效率和效果已刻不容缓。基本规范第十一条就规定：企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。公司治理结构是内部环境的重要因素，同时还明确规定了董事会和审计委员会对内部控制的职责。阎达五(2001)就认为公司治理是内部环境的要素之一，而风险管理包含内部控制；黄世忠(2001)提出，如果不强化公司治理结构的基础建设，要建立、健全内部控制以确保会计信息的真实、完整只能是奢谈。公司如果不强化治理结构的基础建设，就很难有效地进行风险管理。实际上公司治理不完善或无效，本身就是一种风险。公司治理的目标是要保证各层次的受托者不得背离委托者，这里的背离包括侵吞财物、信息欺诈；另一目标也是要保证各层次的受托者理性地决策，这里的理性决策首先要求受托者不得逆向选择，也要求在识别企业各种风险的基础上做出正确的战略选择和经营决策。所以不难看出，企业内部控制的目标拓展和控制层次提升的趋势与公司治理的目标和治理层次具有几乎完全拟合的特征，公司治理本质上仍然是为了控制风险，只是这种风险控制是基于新出现的公司组织层次，以及这些层次所要进行的行为选择所决定的。ERM框架指出内部控制是企业风险管理的有机组成部分，企业风险管理包含内部控制，并形成一个更为广泛的管理概念和工具框架直接凸显风险管理。对风险的控制不仅面向过去，而且也面向未来，使得风险管理不仅贯穿于作业层次，也贯穿于管理层次；不仅贯穿于战术层次，也贯穿于战略层次；不仅贯穿于执行层次，也贯穿于决策层次；是涉及到企业全要素、全过程、全层次的风险控制。基本规范也凸显了风险管理与内部控制的密切联系，规定企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估；应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度；应当采用定性与定量相结合的方法