引子: 2010年4月26日,財政部會同證監會、審計署、國資委、銀監會、保監會等部門在北京召開聯合發布會,隆重發布了《企業內部控制配套指引》(下稱“配套指引”)。該配套指引連同2008年5月發布的《企業內部控制基本規范》,共同構建了中國企業內部控制規范體系,自2011年1月1日起首先在境內外同時上市的公司施行,自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行;在此基礎上,擇機在中小板和創業板上市公司施行。同時,鼓勵非上市大中型企業提前施行。施行企業內部控制規范體系的企業,必須對本企業內部控制的有效性進行自我評價,披露年度自我評價報告,同時聘請會計師事務所對其財務報告內部控制的有效性進行審計,出具審計報告。政府監管部門將對相關企業施行內部控制規范體系的情況進行監督檢查。企業內控基本規范和配套指引被稱為中國的“薩班斯法案”和“科索報告”,這標志著我國將從企業內部控制走向全面風險管理。
一、 我國企業內部控制體系的框架結構
《企業內部控制基本規范》和《企業內部控制配套指引》初步建立起了具有中國特色的中國企業內部控制體系的框架結構。
《企業內部控制基本規范》確定了企業內部控制的5個目標、5個原則、5個要素,總計50個項目,由5個部門簽發。
《企業內部控制配套指引》由21項應用指引(此次發布18項,涉及銀行、證券和保險等業務的3項指引暫未發布)、《企業內部控制評價指引》和《企業內部控制審計指引》組成。其中,應用指引是對企業按照內控原則和內控“五要素”建立健全本企業內部控制所提供的指引,在配套指引乃至整個內部控制規范體系中占據主體地位;企業內部控制評價指引是為企業管理層對本企業內部控制有效性進行自我評價提供的指引;企業內部控制審計指引是為注冊會計師和會計師事務所執行內部控制審計業務的執業準則。三者之間既相互獨立,又相互聯系,形成一個有機整體。
我國企業內部控制體系框架結構如圖1所示。
二、COSO《內部控制——整體框架》與《企業風險管理——整合框架》
《內部控制——整體框架》是美國科索委員會COSCO(Committee of Sponsoring Organizations) 在1992年發布的、并于1994年做出局部修正的已經成為世界通行的內部控制權威研究報告。
該報告指出,內部控制是由企業董事會、管理層以及其他員工(三個層面)為達到財務報告的可靠性、經營活動的效率和效果、相關法律法規的遵循等三個目標而提供合理保證的過程。同時指出,內部控制包括內部環境、風險評估、控制活動、信息與溝通、監控等五個相互關聯的要素。這“三個層面”、“三個目標”和“五個要素”構成內部控制的整體框架(如圖2所示)。
COSO《內部控制——整體框架》強調風險評估在內部控制中的重要作用以及強調對內部控制系統本身的監控是內部控制發揮作用的關鍵環節。
鑒于COSO《內部控制——整體框架》發布后的到美國審計計總署和證券交易委員會(SEC)等的認可和產生的廣泛影響,1995年美國注冊會計師協會(AICPA)發布《審計準則公告第78號》,全面接受COSO報告。
2002年7月美國國會通過《薩班斯法案》即《2002年公眾公司跨及改革和投資保護法》(Sarbanes Oxley Act of 2002)的簡稱。《薩班斯法案》的頒布對內部控制的研究也產生了廣泛而深刻的印象。其302條款規定,上市公司的CEO和CFO要在對外披露的財務報告中聲明對建立和維護本公司的內部控制負責;CEO和CFO要對本公司內部控制的有效性進行評估,并向外部審計師說明器存在的重大缺陷和不足。同時,其404條款規定,上市公司應在年度報告中增加對內部控制的報告內容;該報告應當聲明公司管理層對建立和維護財務報告內部控制的責任,以及管理層對公司內部控制有效性的評估意見;公司的外部審計師應當依據上市公司會計監管委員會制定的審計準則,對管理層提交的內部控制評估意見進行再評價,并出具評價報告。
2003年3月美國審計準則委員會頒布了《審計準則——在財務報告審計過程中對于財務呈報相關的企業內部控制的審計》和《鑒證業務準則公告——對與財務呈報相關的企業內部控制的報告》,為《薩班斯法案》要求的外部審計業務提供指導。
《薩班斯法案》對通過強化企業內部控制系統,從而防范和管理風險,維護投資者的合法權益產生了積極而深遠的影響。
2003年7月,COSO發布了《企業風險管理——整合框架》的征求意見稿,并于2004年9月發布正式最終文本。這標志著從企業內部控制走向企業風險管理。當管理層通過制定戰略和目標,力求實現增長和報酬目標以及相關的風險之間的最優平衡,并且在追求所在主體的目標的過程中高效率和有效地調配資源時,價值得以最大化。
企業風險管理是一個過程,它由一個主體的董事會、管理層和其他人員實施,應用于戰略制訂并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險以使其在該主體的風險承受能力之內,并為主體目標的實現提供合理保證。企業風險管理處理影響價值創造或保持的風險和機會。企業風險管理框架的四個目標和八個要素。企業風險管理框架力求實現主體的以下目標:戰略(strategic ) 目標——高層次目標,與使命相關聯并支撐其使命;經營(operations)目標——有效和高效率地利用其資源;報告(reporting)目標——報告的可靠性;合規(compliance )目標——符合適用的法律和法規。企業風險管理包括八個相互關聯的構成要素。它們來源于管理層經營企業的方式,并與管理過程整合在一起。這些構成要素是:內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。企業風險管理的目標與構成要素的關系如圖3所示。
三、從企業內部控制走向全面風險管理
從以上COSO的兩份報告來看,無論是目標的類別還是構成要素,企業風險管理包涵了企業內部控制。從目標來看,《企業風險管理——整合框架》較之《內部控制——整體框架》增加了另一類目標,即戰略目標,它處于比其他目標更高的層次。戰略目標來自于一個主體的使命或愿景,因而經營、報告、和合規目標必須與其相協調。企業風險管理應用在戰略制訂以及朝著實現其他三類目標邁進的過程中。而《企業風險管理——整合框架》的報告目標較之《內部控制——整體框架》財務報告目標,范圍從財務報表拓展為不僅包含更加廣泛的財務信息,而且還包含非財務信息。從構成要素來看,企業風險管理框架拓展了內部控制框架的風險評估要素,創造了四個構成要素——目標設定(他在內部控制中是先決條件)、事項識別、風險評估和風險應對。總之,內部控制被涵蓋在企業風險管理之內,是其不可分割的一部分。企業風險管理比內部控制更廣泛,拓展和細化了內部控制。
從我國內部控制體系框架結構來看,我國的企業內部控制在形式上借鑒了COSO內部控制的框架,在內容上體現了COSO企業風險管理的實質。
