关于企业内部管控建设的国际对比剖析 关于企业内部管控建设的国际对比剖析预读: 摘要:摘要:文章通过比较西方主要发达国家企业内部控制建设情况,分析了与我国企业内部控制的异同,总结了我国《企业内部控制基本规范》及配套指引的主要特点,并结合目前实际情况提出了进一步完善我国企业内部控制建设的合理建议.关键词:内部控制;制度建设;国际比较一、针对安然、世通等财务欺诈事件,美国国会2002年7月颁布了《萨班斯——奥克斯利法案》(简称SOX法案),该法案在内部控制及信息披露方面实施严刑峻法,对财务报告内部控制问题进行了严格规定.该做法得到了许多国家和地区的认同和仿效,开始实施类似的制度或修改相关法规.2008年5月和2010年4月,我国财政部等五部委联合发布了《企业内部控制基本规范》和《企业内部控制配套指引》.《基本规范》和《配套指引》的发布,标志着我国企业内部控制制度建设取得了重大进展,必将对促进我国企业及其他单位开展内部控制、防范风险、提高企业经营管理水平发挥积极作用.本文拟通过比较西方主要发达国家企业内部控制建设情况,分析与我国企业内部控制的异同,对我国内部控制建设情况进行总结,为进一步完善我国企业内部控制建设提出合理建议.二、西方主要发达国家企业内部控制建设情况1.美国企业内部控制建设情况.20世纪70年代水门事件后,美国国会通过了《反国外贿赂法》,该法案除有反贿赂的条款外,还规定了与会计及内部控制有关的条款.美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》.随后,在1980年、1982年、1984年先后颁布了审计准则公告第30号、第43号、第48号.财务经理人员协会(FEI)发布了《美国公司的内部控制:现状》.美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书.1985年,由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国防舞弊财务报告委员会,即tread-way委员会.Tread-way委员会旨在研究舞弊性财务报告产生的原因及其相关领域,其中包括内部控制不健全的问题.Tread-way委员会就内部控制问题提出了许多有价值的建议,并倡议建立一个专门研究内部控制问题的委员会.因此,Tread-way委员会的赞助机构成立了私人性质的COSO,其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员.1992年,COSO提出了《内部控制整体框架》报告(简称COSO报告),并在1994年进行了增补,其整体架构主要是控制环境、风险评估、控制活动、信息与沟通、监督等五项要素构成.2004年9月,COSO委员会对《内部控制—整体框架》再次进行了修改和完善,发布了《企业风险管理整体框架》,又被称为新COSO报告.该报告更加关注企业风险管理,从风险管理角度对内部控制进行了全新的诠释,指出内部控制主要关注如何有效防范和控制企业风险.与原COSO报告相比,它增加了“战略目标”,并将原来的五要素开展为八要素,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控.SOX法案作为近70年来最重要的财务法案,于2002年7月正式生效后,给美国资本市场的监管带来了一次前所未有的变革.在该法案的诸多新规定中,最引人注目的是要求管理层对内部控制系统的适当性和有效性进行报告,并要求外部审计师证实管理层报告的准确性.其中302条款要求CEO和CFO就他们的内部控制系统进行报告,并在提交给SEC的财务报表上签字;404条款对公司管理层提出要求,陈述建立和保持适当的内部控制结构和财务报告程序的责任,在财务年度末,要对内部控制结构和财务报告程序的效果进行评估,标志着美国内部控制根本思想从披露向实质性管制转变;103条款对审计师就管理层内部控制报告出具鉴证报告提出了具体要求.2.英国企业内部控制建设情况.英国关于企业内部控制的要求在法律、法规中都有体现,“普通法”规定董事长负有保护单位资产的责任;“公司法”认为会计记录和财务报告是内部控制的重要方面,董事长要负责披露真是公允的财务信息,并接受外部审计.伦敦股票交易所1998年1月发布了一部旨在规范公司治理的法律,即“联合准则”,其中三条涉及到公司内部控制.此外,伦敦股票交易所的“上市规则”中对披露内部控制情况作了相关规定.鉴于上市公司提出应有一个内部控制方面的具体操作性的规定,伦敦股票交易所委托英国特许会计师协会成立了以Turnbull先生为主席,由董事长、总经理、财务经理、部门经理、外部审计人员、企业员工以及大学教授组成的委员会,就如何帮助在英国上市的公司贯彻执行“上市规则”和“联合准则”中的建立健全内部控制的要求进行研究.该委员会1999年完成了一份系统的指导企业建立内部控制的报告,即《内部控制框架指南》.由于这个报告是在Turnbull先生领导下完成的,又称为《Turnbull报告》.《Turnbull》报告一经发布,便为财务报告理事会、伦敦证交所、上市公司、公司外部审计人员所接受并在各自工作中运用.2005年,《Turnbull报告》在保持基本原则不变的情况下进行了局部的修改,并于2005年10月颁布了修改后的《Turnbull报告》.《Turnbull报告》对分散在英国法律、法规中涉及内部控制的规定进行了归纳和整理,立足英国的法律环境和公司治理特点,建立了具有原则导向性、风险导向性、框架指引性的内部控制指南.3.日本企业内部控制建设情况.2006年6月7日,日本国会通过了被称之为日本版“萨班斯法案”的《金融商品交易法》,将对企业内部控制评价及审计的要求列入法律.此后,日本审计准则制定机构企业会计审议会于2007年2月15日正式发布了《财务报告内部控制的管理层评价与审计准则》以及《财务报告内部控制的管理层评价与审计准则实施指引》,该准则从2008年4月1日开始实施,为企业内部控制评价以及公认会计师对内部控制鉴证提供了技术规范和指导.三、各国内部控制制度与我国《企业内部控制基本规范》的比较1.内部控制的含义.COSO报告认为,内部控制是由董事会、管理层和员工共同设计并实施的,旨在为实现组织目标提供合理保证的过程.内部控制作为过程,其本身不是目的,而是实现目标的手段,内部控制的有效性也只是“过程”中某个时点上的一种状态.按照这种认识,内部控制不能再被片面曲解为机械的制度、规定,而是与管理过程融合在一起,是一个不断发现和解决问题的循环往复的动态过程.根据《Turnbull报告》,内部控制是一个旨在防止风险发生或将风险控制在可接受的低水平的系统.该系统包括公司的政策、过程、任务、行为和其他方面.健全的内部控制系统可以减少但不能消除决策中的拙劣判断的可能性、人为错误、雇员或其他人员蓄意绕过控制过程、管理层越过控制以及不可预知情况的发生.因此,健全的内部控制系统可以提供合理但不是绝对的保证.我国《企业内部控制基本规范》所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程.由此可以看出,各国内部控制制度对内部控制的定义有些差异:COSO报告和我国《企业内部控制基本规范》认为是一个过程,《Turnbull报告》认为是一个系统.尽管定义有些差异,但内部控制本质却是一致,都是为合理保证其控制目标的实现服务的.2.内部控制的目标.COSO报告指出,内部控制是为实现以下三类目标提供合理保证:经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性.第一类目标针对企业的基本业务目标,包括业绩和盈利目标以及资源的安全性;第二类目标关于编制可靠的公开发布的报表中的财务数据;第三类目标涉及企业对所适用的法规的遵循.新COSO报告又增加了战略目标.《Turnbull报告》认为内部控制要实现以下三类目标:对风险做出适当反应促进经营的效率和效果;提高会计信息质量,防止财务欺诈;遵循法律规章.《金融商品交易法》提出了内部控制的四个目标,除了国际通行的提高业务的有效性和效率性、财务报告的可信度、经营活动的合法性三个目标外,增加了“资产保全”目标.我国《企业内部控制基本规范》指出内部控制旨在实现以下五类目标:企业战略;经营的效率和效果;财务报告及管理信息的真实、完整;资产安全;遵循国家法律法规和有关监管要求.由于各国的内部控制评价标准都是借鉴COSO报告的基础上发展而来,《Turnbull报告》的三类目标基本和原COSO报告一致,《金融商品交易法》在保留COSO报告原有三个目标的同时增加了资产保全目标,而我国《企业内部控制基本规范》相比新COSO报告的四个目标增加了资产安全目标.COSO报告的三类子目标,基本上都属于维持企业当期经营的范畴,着眼点在于企业生存,没有站在企业战略高度关注未来发展,而发展和战略规划问题是企业所有问题的根本.所以新COSO报告加上企业战略的目标,更有利于企业应对未来外部环境变化带来的风险.3.内部控制的构成要素.COSO报告认为,为实现内部控制的有效性,需要五个要素的支持:控制环境、风险评估、控制活动、信息和沟通及监督.以上五项要素实际上内容广泛,相互关联.控制环境是其他控制成分的基础;在规划控制活动时,必须对企业可能面临的风险有细致的分析;风险评估和控制活动必须借助信息与沟通;内部控制的设计和执行必须受到有效的监控.新COSO报告包含了八个构成要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控.关于控制要素,《Turnbull报告》提出了“四要素”论,即控制环境、控制活动、信息与沟通、监督检查四部分.《金融商品交易法》列示了内部控制的六项基本要素,除了控制环境、风险评价、控制活动、信息沟通和监控等大多数国家认可的五项要素外,考虑到由于信息系统反馈与财务报告相关内部控制制度密切相关,加入了“信息技术反馈”这一新的基本要素.我国的《企业内部控制基本规范》在内部控制构成要素上,采用的是五要素,即内部环境、风险评估、控制措施、信息与沟通和监督检查.《Turnbull报告》与COSO报告相比,没有把风险评估列为单独的控制要素,因为其认为风险的评估贯穿内部控制的整个过程和所有层面,在某种意义上,内部控制等同于风险管理.由于COSO报告的五要素框架相对成熟、稳定,因此我国《企业内部控制基本规范》在形式上借鉴了COSO报告五要素框架,但同时进行了充实和丰富,在内容上体现了新COSO报告风险管理的八要素框架的实质,即内部控制和风险管理日益融合、风险导向成为内部控制未来发展方向的趋势.4.内部控制的责任主体.在COSO报告下,管理层对内部控制负主要责任,不但要向董事会下属的审计委员会报告,还要评估内部控制的有效性并对外发布内部控制报告.在《Turnbull报告》下,董事会负责审查内部控制的有效性,管理层有责任监督内部控制系统,并向董事会提交评价内部控制有效性的报告;董事会要审查管理层的内部控制报告,对内部控制进行年度评估,并在年度报告中发布内部控制声明.我国的《企业内部控制基本规范》对内部控制的主要责任主体的责任分别进行规定:事会负责内部控制的建立健全和有效实施;监事会对董事会建立与实施内部控制进行监督;经理层负责组织领导企业内部控制的日常运行.由上面的分析可以看出,在COSO报告中,内部控制的责任主体主要是管理层.虽然把董事会与内部控制联系起来,但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权,基本上把内部控制限定在CEO之下,而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够.而我国《企业内部控制基本规范》和《Turnbull报告》,都强调了董事会对内部控制的重要责任,并且与《Turnbull报告》相比,《企业内部控制基本规范》更加明确地规定各责任主体对内部控制的责任,使治理层和管理层的责任分工更加明确.5.内部控制的外部审计.在COSO报告下,审计师要在审计财务报表的同时对公司的财务报告内部控制进行审计,既要评价管理层对内部控制的评价,又要对内部控制的有效性发表意见.而在《T。