我国企业内部控制规范体系研究.docx
8页
我国企业内部控制规范体系研究 ●陈永宏姚刚/文提要:2006年7月,财政部、审计署、证监会、保监会、银监会五部委联合成立中国企业内部控制标准委员会,并于2008年5月发布了《企业内部控制基本规范》2008年6月财政部公布《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制鉴证指引》(征求意见稿)结合此前的有关规范,我国内部控制规范体系逐步健全、趋于统一,为推行我国企业内部控制标准奠定了良好的制度基础本文对我国企业内部控制规范的发展规律进行了分析和评论,同时对我国上市公司适用的现行内部控制规范和要求进行解读一、我国企业内部控制规范体系的发展我国企业业内部控制规范的发展大致分为以下三个阶段:(一)1 995年以前的内部会计控制阶段这个时期的内部控制规范集中于内部会计控制方面,主要以法规、条例等形式体现,着重从法律的角度明确了企业内部会计控制巾的会计核算制度、会计人员的职责、权限以及会计人员的任免和奖惩等(二)1995年至2004年间的内部控制框架阶段,在这一时期,多个部门、行业监管机构和职业团体从监管角度发了各自的内部控制规范,但没有形成一个统一的内部控制规范层次体系。
三)2005年至今,内部控制进入强制实施和逐步统一阶段《上交所上市公司内部控制指引》、《深交所上市公司内部控制指引》、《中央企业全面风险管理指引》的发布,标志着内部控制在上市公司和央企进入了强制实施阶段企业内部控制标准委员会的成立,为建立健全我国企业内部控制标准体系提供政策指导和咨询服务,我国内部控制规范逐步进入了统·发展的轨道,、值得关注的是,为了加强对企业内部控制执行的监管,相关的监管机构还出具了内部控制评价的制度二、对我国内部控制规范体系发展规律的分析与评论(一)内部控制的内涵与目标不断发展内部控制的内涵最初仅仅局限于内部会计控制层面,随着各部门内控规范的纷纷出台,各类规范的内部控制定位各有侧重,有的侧重会计控制,有的侧重内部管理控制,有的侧重风险控制,没有形成一个广泛层面认可和接受的定位;同时具有明显的行业特色,基本上是针对所监管或某个行业而设定的2001年以后,随着《证券公司内部控制指引》、《上交所上市公司内部控制指引》、《深交所上市公司内部控制指引》和《企业内部控制基本规范》的颁布,内部控制的内涵逐步从企业内部会计控制、管理控制、风险控制扩展到全面风险管理阶段其中,主要借鉴了coso内部控制框架的五要素和cOs0全面风险管理八要素的先进成果。
内部控制的日标也由最初的互相牵制、防止舞弊,发展为保证资产安全完整,再发展为保证企业经营的效率效果、财务报告的可靠性和合规性,进而保证企业战略目标的实现二)内部控制的内容日益丰富,可以分为两个阶段:一是内部控制规范的内容经历从最初的会计稽核、岗位轮换、权限分配等,到规范财务体系中会计报表科目各要素的阶段这阶段的主要标志是2001年财政部发布的《内部会计控制规范——基本规范》和具体规范,主要包括了存货、担保、合同、预算、成本费用、对外投资、工程项目、固定资产、货币资金、对子公司的控制、计算机信息系统、筹资、信息披露、财务报告编制、人力资源政策、采购与付款和销售与收款等内容二是内部控制的内容从内部会计控制扩展到企业经营活动的全过程,其中既包括公司日常管理,还包括公司治理等控制环境的内容主要标志是《上交所上市公司内部控制指引》、《深交所上市公司内部控制指引》、《企业内部控制基本规范》及其配套指引这一阶段内部控制包括了企业业务循环的所有流程,同时还包括附属公司的控制、对金融衍生品的控制、信息系统总体控制、信息系统应用控制、安全环保和社会责任管理等尤其在公司治理等控制环境方面,包括了管理者风格、职业道德、董事会与审计委员会、人力资源政策、组织机构、权力和责任分配、反舞弊程序及其控制、经营活动分析、信访举报和违规处理机制、培训、业绩考核、信息披露、内部审计和风险评估等主题。
这些控制内容已经远远超过了传统内部控制的范畴三)内部控制手段更加完善在最初的内部会计牵制中,主要的控制手段是不相容岗位分离、授权、审批审核、记录控制、限制接触(如保管制度)等传统手段随着内部控制的发展,内部控制手段的完善主要表现在以下三个方面:一是完善内部控制思维方法,即按照风险导向的原则,以实现对公司整体层面和业务活动层面的控制二是充分利用信息技术,大力发展计算机系统控制三是大力引进外部第三方机构参与和实施内部控制,以解决内部人问题,主要表现在外部第三方对内部控制运行情况的独立评估二(四)内部控制的执行和信息披露要求越来越严格随着内部控制的推行,在上市公司推行内部控制强制标准并进行信息披露成为内部控制发展的一个重要里程碑如《上交所上市公司内部控制指引》规定:“公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见”;《深交所上市公司内部控制指引》要求:“上市公司应当于每个会计年度结束后四个月内将内部控制报告和注册会计师专项审核报告报送本所,并与年度报告全文同时在指定网站上披露”同时两家交易所每年还在年报工作通知中专门对信息披露的要求提出了具体要求和披露格式。
这无疑保证了上市公司内部控制有效推进和信息披露质量(尤其是非财务信息)五)内部控制实施领域始于金融行业,逐步扩展到上市公司,再推广到全社会从内部控制实施行业来看,证券、期货、保险、银行等金融行业无疑是走在最前列,而从推广的公司主体类型来看,上市公司无疑是最先实施的公司随着包括国有企业、上市公司、金融企业等适应监管需求的内部控制达标目的的实施,越来越多的民营企业、非盈利组织、机关事业单位也逐步认识到内部控制的重要性和有用性,纷纷加入内部控制建设和实施的行列,以期提高组织效率和经济效益三、我国上市公司内部控制适用规范和实施具体要求我国上市公司内部控制适用规范总体来说包括以下四个层次的规范体系:一是《企业内部控制基本规范》;二是《公开发行证券的公司信息披露内容与格式准则第2号<年度报告的内容与格式>(2007年修订)》、《上交所上市公司内部控制指引》、《深交所上市公司内部控制指引》;三是特殊类型上市公司特殊规定;四是交易所每年年报工作通知中对于内部控制具体报告格式的要求一)上交所上市公司内部控制实施要求1.总体要求上市公司在建立公司内部控制体系时,应按照目标设定、内部环境、风险确认、风险评估、风险管理策略选择、控制活动、信息沟通和监督检查八大基本要素,建立涵盖至少包括公司层面、公司下属部门及附属公司层面,以及公司各业务环节层面的内部控制体系。
值得关注的特殊方面,包括:一是信息与沟通的要求上交所规定公司使用计算机信息系统的,应建立信息管理的内部控制,至少应涵盖:信息处理部门与使用部门权责的划分;信息处理部门的功能及职责划分;系统开发及程序修改的控制;程序及资料的存取,数据处理的控制;档案、设备、信息的安全控制;在上交所网站及公司网站进行公开信息披露活动的控制二是专项风险内部控制要求包括:对附属公司的管理控制;金融衍生品的内部控制的要求;公司特有风险的内部控制要求;危机管理控制要求,制定危机管理控制制度2.管理层内部控制自我评估报告、外部审计师报告及信息披露要求在2008年年报信息披露上,上交所规定“上证公司治理板块”样本公司、发行境外上市外资股的公司及金融类公司,应在2008年年报披露的同时披露董事会对公司内部控制的自我评估报告上交所同时鼓励其他有[来自wW]条件的上市公司在2008年年报披露的同时披露内控报告公司内部控制自我评价报告至少应包括如下内容:内控制度是否健全;内控制度是否有效实施;内部控制检查监督工作的情况;内控制度及其实施过程中出现的重大风险及其处理情况;对本年度内部控制检查监督工作计划完成情况的评价;完善内控制度的有关措施;下一年度内部控制有关工作计划。
值得注意的是,对于上交所上市公司,外部审计师是针对管理层的内部控制自我评估报告发表核实评价意见,而不是针对上市公司内部控制本身,(二)深交所上市公司内部控制实施要求1.总体要求上市公司的内部控制应考虑以下八大要素:内部环境、目标设定、事项识别、风险评估、风险对策、控制活动、信息与沟通、检查监督,建立涵盖公司所有营运环节,包括但不限于:销售及收款、采购和费用及付款、固定资产管理、存货管理、资金管理(包括投资融资管理)、财务报告、信息披露、人力资源管理和信息系统管理等的内部控制体系:值得关注的特殊方面,包括:对控股子公司的管理控制;关联交易的内部控制;对外担保的内部控制;募集资金使用的内部控制;重大投资的内部控制要求;信息披露的内部控制要求2.管理层自我评估报告、外部审计师报告和信息披露的要求2008年年报信息披露要求:上市公司应当按照财政部、证监会等部门联合发布的《企业内部控制基本规范》和深交所《上市公司内部控制指引》的规定,参照公司内部控制自我评价披露要求,对公司内部控制的有效性进行审议评估,做出内部控制自我评价,并以单独报告的形式在披露年报的同时在指定网站对外披露、自我评价报告至少应包括以下内容:说明公司内部控制制度是否建立健全和有效运行,是否存在缺陷;说明重点关注的控制活动的自查和评估情况;说明内部控制缺陷和异常事项的改进措施;说明上一年度的内部控制缺陷及异常事项的改善进展情况;每个会计年度结束后四个月内将内部控制自我评价报告和注册会计师评价意见报送深交所,与公司年度报告同时对外披露。
对于深交所上市公司,外部审计师是针对上市公司内部控制本身发表鉴证意见,而不是针对管理层的内部控制自我评估报告三)特殊业务类型上市公司内部控制实施要求1.保险类上市公司内部控制实施的特殊要求《保险公司内部控制制度建设指导原则》规定:内部控制系统应包括组织机构系统、决策系统、执行系统、监督系统和支持保障系统保险公司应建立健全决策系统,包括:保险公司应建立决策咨询委员会、决策评估机制,保险公司应实行一级法人管理体制,建立统一授权经营制度保险公司应关注的行业特有业务的风险,包括:保险业务控制、资金运用控制和财务会计控制等2.证券类上市公司内部控制实施的特殊要求《证券公司内部控制指引》要求建立“三道防线”,包括:重要一线岗位双人、双职、双责为基础的第一道防线,并加强对单人单岗业务的监控;相关部门、相关岗位之间相互制衡、监督的第二道防线;独立的监督检查部门对各项业务、各部门、各分支机构、各岗位全面实施监控、检查和反馈的第三道防线证券公司应建立业务风险识别、评估和控制的完整体系,运用包括敏感性分析在内的多种手段,对信用风险、市场风险、流动性风险、操作风险、技术风险、政策法规风险和道德风险等进行持续监控,明确风险管理流程和风险化解方法。
业务层面特殊性包括:证券公司业务方面、分支机构控制、财务和会计系统控制、人力资源管理等强调对信息与沟通的重要性,尤其是对信息系统的关注证券公司应建立畅通、高效的信息交流渠道和重大事项报告制度;证券公司应建立信息系统的管理制度、操作流程、岗位手册和风险控制制度;证券公司应保证信息系统日志的完[来自wwW.lW5u.coM]备性3.银行类上市公司内部控制实施的特殊要求《商业银行内部控制指引》、《商业银行市场风险管理指引》和《商业银行并购贷款风险管理指引》等规范要求:建立完善的市场风险管理内部控制体系,主要从内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正五方面进行建设组织机构方面,商业银行必须设立独立的授信风险管理部门,商业银行应当建立涵盖各项业务、全行范围的风险管理系统,开发和运用风险量化评估的方法和模型,对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控本文系天职国际会计师事务所内部控制基础理论研究课题阶。
