我國企業內部控制體系從2001年出臺的企業內部會計控制基本規范開始,至今已8年多,企業內部控制體系的歷次修正與不斷完善,體現了我國業界對內控的不斷認識與發展的過程,筆者目睹這一過程并參與歷次征求意見稿的征求意見,有感于這一與8年抗戰同樣漫長的企業內部控制體系制定與發展的艱辛歷程,現將這一過程梳理列示,望能對業界了解這一過程進而理解與掌握新企業內控規范體系有所幫助。
一、2001年內部會計控制規范——以資產負債表項目控制為主線
從2001年6月22日財政部印發《內部會計控制規范——基本規范(試行)》及《內部會計控制規范——貨幣資金(試行)》的通知(財會字〔2001〕41號)以后,財政部陸續發布了內部會計控制規范——采購與付款、銷售與收款、工程項目、擔保、對外投資等5個會計內控規范,另外發布成本費用、預算兩個會計內控規范征求意見稿。
原《內部會計控制規范——基本規范(試行)》包括六章,具體結構包括總則、內部會計控制的目標和原則、內部會計控制的內容、內部會計控制的方法、內部會計控制的檢查、附則。
2001年的內部會計控制規范體系以資產負債表項目控制為主線,其內容涉及貨幣資金、實物資產、對外投資、工程項目、采購與付款、籌資、銷售與收款、成本費用、擔保等經濟業務的會計控制,具體控制規范的排列順序基本上按照資產負債表項目順序排列。
內部會計控制規范的適用范圍為所有單位即“適用于國家機關、社會團體、公司、企業、事業單位和其他經濟組織(以下統稱單位)。”
因企業與國家機關、社會團體、事業單位和其他經濟組織在業務流程上有很大的不同,甚至是完全不同,其內控很難規定一致,該會計內控體系執行起來也出現困難。且內部控制覆蓋企業所有業務層面,已遠遠突破會計控制的范圍,因此,研究制定一套具有統一性、公認性和科學性的企業內部控制規范以引導企業內控建設已迫在眉睫,財政部會計司于2007年發布企業內部控制規范征求意見稿。
二、2007年企業內部控制規范——以財務報告內部控制為主線
2007年,財政部發布企業內部控制規范——基本規范(征求意見稿)以及17個企業內部控制具體規范(征求意見稿)(財會便〔2007〕7號)及其起草說明,2007年的企業內部控制規范的結構框架為:基本規范共分8章,包括總則、內部環境、風險評估、控制措施、信息與溝通、監督檢查、組織實施和附則。
其適用范圍僅限于企業,即“適用于中華人民共和國境內的大型企業、上市公司和其他涉及重大公眾利益的企業(以下簡稱企業)”、“中小企業和其他有關單位可以參照本規范和具體規范建立健全本單位的內部控制。”
具體規范涉及財務報告內部控制和其他方面的控制(如對符合企業經營目標的控制)。具體規范的設計主要以財務報告內部控制為主線,原初步擬定為26項。其中,17項已在2007年對外公開征求意見;另9項尚未有征求意見稿。這些具體規范,可以概括分為以下三類:
第一類是17個財務報表項目相關規范,即對與企業財務報表項目相關的、可能會對財務報告真實可靠性產生較大影響的經濟業務事項提出具體要求的控制規范;已出臺征求意見稿的有12項,包括:貨幣資金、采購與付款、存貨、對外投資、工程項目、固定資產、銷售與收款、籌資、成本費用、擔保、合同、對子公司的控制。
尚未出臺征求意見稿的有5項,包括:資產減值、衍生工具、無形資產、企業合并與分立、服務外包。
第二類是4個與財務報表填報相關的規范,即與財務報表編報相關的控制規范,包括財務報告編制、公允價值、關聯交易、信息披露等;其中,財務報告編制、信息披露兩個規范已征求意見,公允價值、關聯交易兩個規范尚未出臺征求意見稿。
第三類是5個內控的制度支持相關的規范,即為實現有效的財務報告內部控制所必需的事前、事中和事后制度支持的控制規范,包括預算控制、人力資源控制、計算機信息系統控制、審計監督控制等。其中,預算、人力資源、計算機信息系統3個規范已征求意見,內部審計、中介機構聘用兩個規范尚未出臺征求意見稿。
2007年的企業內部控制規范體系的主導思想已由內部會計控制擴展為企業內部控制,控制的核心是圍繞財務報告設定,控制項目以相關財務報表項目控制為主線,其具體控制規范的排列順序也是基本上按照資產負債、利潤表等的項目順序排列,但控制范圍較2001年已大大擴展,同時考慮了財務報表編制的相關規范及制度支持,形成較為完備的財務報告內部控制體系,該內控體系已考慮了為2006年發布的《企業會計準則》的執行設置制度環境。但該體系仍然未能跳出會計內控的思維,特別是具體項目控制仍然采用財務報表相關項目順序及名稱,給人的感覺還是為會計信息的真實完整而設定的控制,執行規范是企業會計部門的事,尚未能體現企業內控的真正目的。另外,對具體項目的控制仍然以“規范”的形式發布,具有強制性,而各企業各業務流程千差萬別,很難要求企業執行統一的控制規范,征求意見稿出臺后,企業反響較大。
三、2008年的企業內部控制規范體系——以防范風險和控制舞弊為中心
2008年,財政部、證監會、審計署、銀監會、保監會聯合發布《企業內部控制基本規范》的通知(財會[2008]7號),基本規范內容包括:總則、內部環境、風險評估、控制活動、信息與溝通、內部監督、附則共七章,將原“控制措施”改為“控制活動”,將“組織實施”不再單列為一章,而并入其他相關章節,更為科學合理,因為組織實施存在于每個控制環節中,而非獨立存在的部分。
其適用范圍為大中型企業,即“適用于中華人民共和國境內設立的大中型企業。小企業和其他單位可以參照本規范建立與實施內部控制。”適用范圍較2007年更廣,與《企業會計準則》的執行范圍一致,是大中型企業執行《企業會計準則》的環境支撐。
2008年財政部發布征求企業內部控制評價指引、應用指引鑒證指引意見的通知(財辦會[2008]7號),將原“內部控制具體規范”改為“企業內部控制應用指引”,原初步設定的“中介機構聘用規范”被“企業內部控制鑒證指引”所替代,同時增加《企業內部控制評價指引》。
2009年初,財政部會計司又陸續發布了:征求組織架構等5項內部控制應用指引意見的通知(財會便[2009]2號),新增了組織架構、發展戰略、人力資源、企業文化、社會責任等5項內控應用指引;征求組織架構等10項內部控制應用指引意見的通知(財會便[2009]4號),在上文新增組織架構、發展戰略等5個應用指引項目基礎上修改并再次征求意見,又調整修改了資金、采購、資產、銷售、研發等5個應用指引并征求意見;征求企業內部控制評價指引及工程項目等5項內部控制應用指引意見的通知(財會便[2009]7號),調整修改了企業內部控制評價指引和工程項目、全面預算、合同、內部報告、信息系統等5個應用指引。從“規范”到“指引”,說明各企業具體情況不一,以指引即指導性條款引導企業建立健全內部控制制度,提法更為科學合理。
這樣,中國企業內控框架分為:基本規范統領下的《企業內部控制應用指引》,以及《企業內部控制評價指引》和《企業內部控制鑒證指引》。
企業內部控制應用指引共有26個,同樣可以概括分為以下三類:
第一類是16個財務報表項目相關內控指引,包括:資金、采購、資產、長期股權投資、工程項目、銷售、研發、籌資、成本費用、擔保、合同、對子公司的控制、衍生工具、企業并購、業務外包、全面預算。
第二類是兩個與財務報表填報相關內控指引,包括財務報告編制與披露、關聯交易。
第三類是8個內控的制度支持相關的指引,包括:人力資源政策、信息系統一般控制、內部審計,新增組織架構、發展戰略、人力資源、企業文化、社會責任等。
2007年到2008年內控體系的主要變化為:從原設定的26項內控規范到新的26項內控指引,刪除第一類與報表項目相關的內控——資產減值,刪除第二類與財務報表填報相關的內控——公允價值,將第一類存貨、固定資產、無形資產3個應用指引合并為“資產”;將第二類與財務報表填報相關的內控——信息披露合并到“財務報告編制”中,為“財務報告編制與披露”,第三類制度支持中“中介機構聘用”整體脫離內控應用指引,單列為“內控鑒證指引”,同時新增組織架構、發展戰略、人力資源、企業文化、社會責任等5個應用指引。整個內控體系結構顯得更為合理、有效,內控體系內容、控制層面更為完整、科學。
筆者認為,刪除“資產減值”,是因其內附于各項資產的控制中,無法單列;刪除“公允價值”,是因其是會計要素的計量屬性,內附于各經濟業務事項中,也難以單列;而財務報表編制就是為披露服務的,編制與披露難以絕對分開,故合并。會計中介的鑒證即對企業內控制度有效執行的評價已不屬于企業內控的范疇,而是站在企業以外的角度對企業內控進行的評價,設立于企業內部控制體系之外更為科學。從會計內控到企業內控,適用范圍縮小了,但控制范圍擴大了,不再提及以監管部門為主導,對企業的具體業務環節的控制以“指引”的形式為企業提供指導性條款,企業可根據實際需要參考“應用指引”設定內控制度,不再硬性規定企業必須執行。
2008年內控體系體現了如下亮點:一是內控體系整體框架更加完整科學;二是內控體系從“具體規范”到“指引”提法更加科學合理;三是內控體系適用范圍設定更為科學合理;四是企業內控具體應用指引涵蓋企業業務與事項設定更加科學合理;五是企業內控具體應用指引強調企業關注相關業務風險及關鍵控制環節的控制。
企業內控指引為企業建立一套以防范風險和控制舞弊為中心、以控制標準和評價標準為主體的內部控制制度體系提供標準性的指引,基本規范、評價指引、內控應用指引、內控鑒證指引建立了以各單位具體實施為基礎、會計師事務所等中介機構咨詢服務為支撐、企業內部評價、政府監管和社會評價相結合的內部控制實施體系。但是,26個具體應用指引的內控體系還是留有會計的痕跡,尚未能完全擺脫內控以會計部門為主導的意識,如何使企業管理層更加重視,形成以企業管理層為主導推動的內控體系,是業界關心的也是內控體系制定者們關心的。盡管新的內控應用指引尚未出臺,但是,從中國會計學會組織的內控培訓,財政部會計司的內控講解中得知,即將出臺的內控指引已完全考慮了這個問題。
四、即將出臺的內控體系——以企業業務流程為出發點,以防范風險和控制舞弊為中心(見圖1)
從財政部會計司的內控講解中得知,即將出臺的內控體系在基本規范統馭下,有評價指引、應用指引及審計指引三大類,原來的鑒證指引改為審計指引,原來的26項應用指引改為18項,且考慮的順序為企業資源的流向,以企業業務流程為出發點,包括資金流、物流、信息流及內控環境。具體構架如下:
第一部分:18個業務配套應用指引。
1.資金流1項——資金活動(把原來資金、籌資、長期股權投資合并)。
2.物流9項——采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、外包業務、合同管理、全面預算,取消原成本費用、對子公司的控制、企業并購、衍生工具四項。
3.信息流3項——財務報告、信息系統、內部信息傳遞(新增),取消關聯交易。
4.內控環境5項——發展戰略、社會責任、人力資源、企業文化、組織架構,取消原人力資源政策,內部審計兩項。
第二部分:1個評價指引。
第三部分:1個審計指引(原鑒證指引)。
該內控體系完全突出了主體控制,從企業業務流程出發,構建了企業資金流、物流、信息流及其所包含業務的關鍵控制點及控制方法,結構更加清晰,突出了由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的全過程控制。
筆者認為,該體系對生產過程的控制特別是成本費用的控制沒有涵蓋在物流的控制里,似有欠缺,另外,對內控五要素之一“內部監督”的控制也未能體現,如果將原2008版的內控體系支持指引里的內部審計指引改為內部監督指引,作為內控環境的一個項目,可能內控體系將更為完善、可行。
中國內控體系的構建與不斷完善的過程,體現了我國業界對企業內部控制的認識逐步深入的一個過程,內控體系制定者——財政部會計司及其內控咨詢專家們花費了巨大的心血。逐步完善中國企業的內控體系,這是一個宏大的工程。我國的企業內部控制體系,是在總結我國企業管理實踐經驗、借鑒國際先進成果的基礎上形成的,為大中型企業建立一套以防范風險和控制舞弊為中心、以控制標準和評價標準為主體的內部控制制度體系提供了很好的指引,是企業建立健全并有效實施內控制度的標準指南,是我國當前應對國際金融危機的重要舉措,是實施新企業會計準則的可靠保障,對促進企業可持續發展將發揮巨大作用。
