邱闽泉
国际财经界、会计界都对中国建成内控规范体系表示祝贺和钦佩,高度赞赏中国政府在内部控制标准建设方面取得的成就,认为该“企业内部控制配套指引”为企业战略、董事会职责、风险评估、员工薪酬、诚实守信、受托责任和审计等问题设定了良好实务标准,有助于企业管理当局防范经营和管理风险、提升公司治理水平,可以提高企业财务信息的可靠性,尤其重要的是,他们认为中国企业内控规范体系与国际通行的“萨班斯法案”和“科索报告”内部控制框架在所有主要方面保持了一致!通常所说的企业内部控制系统,其总目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险,子目标可分为经营效率与效果、财务报告可靠和遵纪守法三类子目标,以及控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。内部控制是一个不断发展、变化、完善的过程,它持续地流动于企业之中,并随着企业经营管理的新情况、新要求适时改进调整。内部控制是由单位中各个层级的人员共同实施,从单位负责人,到各个业务部门、职能部门的负责人,直到单位的每一个普通员工,都对企业内部控制负有责任。内部控制在形式上表现为一整套相互监督、相互制约、彼此联系的控制方法、措施和程序。这些方法、措施和程序有助于及时识别和处理风险,促进单位实现发展目标,提高经营管理水平、信息报告质量、资产管理水平和法律遵循能力。内部控制能够向单位管理层实现前述目标提供合理保证,但由于内部控制的局限性、管理层越权和串通舞弊等原因,难以保证一个单位必定成功。至于内部控制的“五要素”,五项控制要素不是内部控制过程中先后顺序上的一道道工序,而是一个多方向交叉的多维的反复的过程,其主要内容如下:1.内部控制环境(Control environment) :它包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向。内部控制环境影响员工的管理意识,是其他部分的基础。2.风险评估(risk assessment):是确认和分析实现目标过程中的相关风险,是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化,需建立一套机制来辨认和处理相应的风险。3.控制活动(control activities):是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。 4.信息和交流(information and communication):信息系统产生各种报告,包括经营、财务、守规等方面,使得对经营的控制成为可能。处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。5.监控(monitoring):监控在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层和董事会。2008年财政部、审计署、保监会、银监会下发了“企业内部控制基本规范”,对企业提高风险防范能力提出了明确的要求,并要求在2009年7月1日起,上市公司首先要执行,鼓励非上市的中型企业执行。2002年7月30日《萨班斯-奥克斯利法案》(“萨班斯法案”、“萨奥法案”)的颁布,标志着世界上最发达资本市场的监管者已经将内部控制体系的建立、维护、评价和报告看作是经营者的重要责任。中国发布的《企业内部控制基本规范》,标志着中国版的“萨奥法案”已正式启动。在此之前,我国企业内控的观念走过一个误区,开始政府认为内部控制是企业管理当局的事情,与政府无关,后来才转变了观念,由政府制定内控制度体系并发布了下列有关规范。(1)1991年,财政部发布《独立审计准则第9号-内部控制和审计风险》;(2)1997年,中国人民银行颁布《加强金融机构内部控制的指导原则》,这是我国第一个关于内部控制的行政法规;(3)2001年6月26日,财政部以财会41号文发布了《内部会计控制规范-基本规范》和《内部会计控制规范-货币资金》;(4)2002年,发布了《内部会计控制规范-采购与付款》和《内部会计控制规范-销售与收款》;2003年,发布了《内部会计控制规范-工程项目》和《内部会计控制规范-预算》;2004年,发布了《内部会计控制规范-对外投资》;2005年,发布了《内部会计控制规范-担保》;(5)2008年6月28日,财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制基本规范》,要求上市公司自2009年7月1日起执行,并鼓励其他非上市的大中型企业执行,确立了以企业为主体,以政府监督为促进,以中介机构审计为重要组成部分的实施机制。《企业内部控制基本规范》,是继2006年2月16日国家颁布企业会计准则、审计准则之后,国家五部委和国有资产管理部门合力推出的促进企业监督管理和资本市场发展的重大举措。《企业内部控制基本规范》的框架结构共7章50条,包括总则、内部环境、风险评估、控制措施、信息与沟通、监督检查和附则。基本规范总括起来是“5个5”,其中,第一个“5”:5部委联合发布,即财政部、证监会、审计署、银监会、保监会;第二个“5”:5个目标,即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略;第三个“5”: 5个原则,即全面性、重要性、制衡性、适应性、成本效益原则;第四个“5”:5个要素,即内部环境、风险评估、控制活动、信息与沟通、内部监督;最后一个“5”:5个核心章和50条。此次“企业内部控制配套指引”的发布,是以财政部会计司为主的各相关部门和各界人士近两年呕心沥血换来的成果。刘玉廷司长在接受《中国会计报》记者专访时介绍说(“中国会计报”2010年04月29日),“由财政部牵头,国资委、证监会、审计署、银监会、保监会多部门协同,于2006年成立了内控标准委员会,着手建立中国自己的内控体系。”“基本规范的‘5个5’搭建了我国企业内控体系的框架。”“我们汲取国际先进经验,但绝不是照搬,而是参考其先进之处,使之与中国实际相结合,成为我们真正需要的规范和指引。”至此,中国的“科索”(“COSO”)内部控制框架是改革开放三十多年来第一个建立起来的、基本完整的内部控制规范体系,包括企业内部控制基本规范和若干项具体规范(‘配套指引“),在企业内部控制要素上,我国基本采取五要素,包括内部环境、风险评估、控制措施、信息沟通、监督检查;在内部环境中把公司的治理、机构的设置、责权的分配作为其中的主要部分,也反映了企业的文化和人力资源的安排;考虑了内部审计的机制,也考虑了反舞弊机制。从内部控制和风险管理的关系来看,企业的全面风险管理是一个过程,这个过程受董事会、管理层和其他人员的影响,这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标;而内部控制是狭义的风险管理,其内容和内涵都包含在风险管理中。因此,企业必须加强企业风险管理与内部控制体系的研究,突破传统内部控制的局限性,以企业内部控制配套指引为契机,站在企业全面风险管理的角度建立内部控制体系,保障企业资源安全和经营效率。
如前所说,财政部五部门制定的企业内控配套指引实施时间表为:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上交所、深交所主板上市的公司施行。在此基础上,择机在中小板和创业板上市公司施行。同时,鼓励非上市大中型企业提前执行。显然财政部给上市公司等企业实施企业内控下达的这个“时间表”,将给上市公司等企业带来巨大的影响和压力,2011年1月1日——这意味着A+H股上市公司执行内控规范已经进入倒计时,2012年1月1日——这意味着留给我国A股主板上市公司的准备时间也不多了。据悉,下一步财政部将着力推进企业内部控制规范国际交流与合作,争取在内部控制建设所依据的规范、内部控制审计所遵循的准则及注册会计师相关业务监管要求等方面,建立互认机制,切实降低中国企业境外融资成本。这个成本不仅仅是通过会计师事务所对企业内控的审计在国际上具有的公信力而直接减少的大量审计费用,更是因此给企业带来的信任和信心所产生的无形收益——这正是会计所无法计量的。为进一步加强内部控制合规管理工作,全面落实财政部关于内部控制实施工作任务,提高内控管理水平,全国各地抓住有利时机推动内控规范实施,就内控实施和改进内控管理工作,确保依法合规经营,积极作出部署安排。本着“突出重点、抓住关键、积累经验、稳步推进”的原则,从本地区、本部门企业大小不一的实际情况考虑,区别对待作出积极稳妥的实施安排,有的主管部门还提出实施指导意见。大家都意识到,如果不顾企业实际和市场承受力仓促实施,很可能导致流于形式;而如果一味延后实施,就必然会坐失良机。中国会计学会年内将对下述人员进行内控培训并颁发培训证书:(1)上市公司及非上市大中型企业总会计师、总经理或副总经理、董事等高管人员,以及企业内部财会、业务、内审、风险控制等部门的负责人;(二)大中型会计师事务所所合伙人以及从事内控设计或审计工作的项目负责人;(三)相关政府部门监管人员。一般来说,企业内部控制体系主要可以分为事前防范,事中控制和事后监督三个环节。内部控制制度的重点是严格会计管理,设计合理有效的组织机构和职务分工,实施岗位责任分明的标准化业务处理程序。按其作用范围大体可以分为以下两个方面:(1)内部会计控制:内部会计控制其范围直接涉及会计事项各方面的业务,主要是指财会部门为了防止侵吞财物和其他违法行为的发生,以及保护企业财产的安全所制定的各种会计处理程序和控制措施。(2)内部管理控制:内部管理控制范围涉及企业生产、技术、经营、管理的各部门、各层次、各环节。其目的是为了提高企业管理水平,确保企业经营目标和有关方针、政策的贯彻执行。而内部控制的基本结构主要是内部控制环境、会计系统、控制程序三个方面。从事前防范的环节来说,首先,企业需要根据内部控制规范及指引,结合企业实际情况,建立一套严格的内控规章制度,包括《企业财务管理办法》、《企业预算管理暂行办法》、《资金计划管理办法》、《企业资金授权审批管理办法》等制度。其次,在制度的基础上,要合理设置职能部门,明确各部门的职责,各司其职,建立财务、业务等控制和职能分离体系。充分考虑不兼容职务和相互分离的制衡要求,各部门、各岗位形成相互制约、相互监督的格局。从事中控制环节来说,事中控制主要体现在安全性、完整性、合法性和效益性的控制,主要方法有:账实盘点控制、库存限额控制、实物隔离控制等。从事后监督环节来说,除事前防范,事中控制环节之外,事后监督也是必不可少的环节。如,在每个会计期间或每项重大经济活动完成之后,内部审计监督部门都应按照有效的监督程序,审计各项经济业务活动,及时发现内部控制的漏洞和薄弱环节;各职能部门也要将本部门在该会计期间或该项经济活动之后的资金、物流等变动状况的信息及时地反馈到资金等管理部门,及时发现资金等结构、比例是否与计划或预算相符,产品的赊销是否严格遵守信用政策,存货的控制是否与指标的一致,人、财、物的使用是否与计划或预算相符,产品的生产是否根据计划或预算合理安排等。目前,我国企业内部控制存在的主要问题,如:(1)出纳领取银行对账单、编制银行存款余额调节表;(2)领导“一只笔”审批,缺乏完善内控制度和流程保障;(3)过于依赖业务人员,企业资源掌握在个人手中,企业对业务开展失去控制;(4)内部控制制度文字描述性东西较多,清晰的流程图和配套表单较少;(5)内部控制制度“救火式”的较多,制度体系缺乏系统性和完整性,甚至政出多门,相互打架;(6)员工临时休假或出差时,缺乏明确的工作交接制度;(7)人员招聘时注重笔试和面试的考察,忽视背景调查;(8)关键岗位无强制轮换或带薪休假制度;(9)过分强调控制成本,经常将效率作为弱化或逾越内部控制的理由;(10)说一套,做一套,制度放空炮;(11)根据《上海证券交易所上市公司内部控制指引》的要求,绝大多数的沪市上市公司在2006年年报全文的“重要事项”部分披露了内部控制相关信息。但还存在以下问题:部分公司未按规定披露内部控制制度建设情况;对内部控制的认识深度不一致;信息含量相差较大;内部控制完善程度不一致。内部控制信息披露的强制规定未得到有效执行,上市公司的自愿性披露动机不强,内部控制自我评估和会计师事务所评价缺少统一的标准。影响我国上市公司内部控制信息披露的原因主要两点:首先是内部控制信息的需求不足。非流通股股东、流通股股东、债权人、中介机构和政府监管部门,这些主体对内部控制信息披露需求不足,是造成上市公司内部控制信息披露不理想的主要原因。其次是内部控制信息的供给动机不强。主要有三方面原因:一是成本效益原则;二是详细披露可能涉及公司的商业秘密,从而使公司处于竞争劣势地位;三是上市公司对内部控制存在一些错误的认识。等等。贯彻落实企业内部控制配套指引是一个渐进的过程,虽然有政府监管部门的强力推行,我们相信企业实施基本规范及配套指引必然会很快开展起来,但是这个过程也不可能是一帆风顺的,实施中遇到的困难一定也不少。随着内部控制规范与指引的出现,企业原有内控制度已不能适应,需要及时修改,这里有个衔接过程;其次,如果企业新内部控制制度制定得不合理,或过于理想化,或是缺乏保证制度执行的机制,如,一些单位对内部控制执行情况既没有检查监督,又没有相应的奖惩措施,内部控制制度成为一纸空文。第三,多数企业重经营轻管理,风险意识薄弱,对内部控制的重要性认识不够,存在着不少误区;第四,实施环境问题,我国多数企业法人治理结构不完善,内部人控制现象比较严重,实施内部控制的基础比较薄弱。第五,成本效益问题,构建适合本企业的内部控制体系必然增加企业成本。综上,各上市公司和相关大中型企业,如何切实抓紧建立健全本单位的内部控制制度体系并按规定要求稳步有效实施,财政部会计司刘玉廷司长提出了系统、全面的建议,我们宁愿在此转载该段文字:
“一是,公司董事会或类似机构对此应予高度重视,真正担当起建立健全和有效实施内部控制规范体系的责任;同时,组成专门领导班子,加强对公司内部控制建设工作的指导。二是,公司应当统筹规划,缜密安排,根据《企业内部控制基本规范》及《企业内部控制配套指引》规定,结合经营特点和管理要求,对现行内控制度和管理要求进行梳理优化,健全适合本单位实际的内部控制制度。三是,开展全员培训,在公司范围内掀起“人人学内控、人人讲内控、个个受约束”的良好氛围。公司应当积极参加财政部门、中国会计学会等部门或机构组织的正规培训,不参加社会上追逐盈利目的非正规内部控制规范培训活动。四是,加大对企业信息系统的改造或新建投入,充分运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对各类业务和事项的自动控制,减少或消除人为操纵因素。五是,在公司范围内选择管理基础较好的分(子)公司或业务单位等开展内部控制制度试点,发现并及时解决运行过程中存在的问题,总结经验,逐步推广到全公司范围。”
内控规范实施过程中要妥善处理好以下关系:一是处理好外部监管要求与内部管理需求的关系,强化公司内生动力;二是处理好注册会计师审计与公司自我评价的关系,着力建立通过自我评价和外部审计发现问题的机制;三是处理好以全面风险管理为基础的内控体系与财务报告内部控制的关系,通过加强内控管理提升公司报告信息质量。有些公司因缺乏自行设计内部控制的能力而采取委托中介机构设计企业内部控制制度的方式,但即使是专业的会计师事务所、咨询公司提供的内控制度也并不是完全没有问题。因此,采取外包方式的企业自身也应具备一些制度设计的知识,以便对外包后的风险进行有效的控制。另外,强化内部控制的责任,将内部控制建设的责任落实到人,并与业绩考核挂钩。建立内部控制信息平台,将内部控制嵌入企业管理流程,使内部控制、风险管理与企业日常管理真正融合起来。同时在内部建立完善的监督队伍,提升内控的信息化水平,在硬件上切实加强内控的建设。最后,要认真考虑内控的实施成本问题,在成本与效益之间找到平衡点。