企业内控新规构筑风险防火墙
来源:用户上传
作者: 陈岱松 夏 敏 颜晓杰
《企业内部控制基本规范》旨在加强和规范企业内控,提高企业经营管理水平和风险防范能力
6月28日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称《规范》)。《规范》旨在加强和规范企业内控,提高企业经营管理水平和风险防范能力,其为企业构筑了一道风险防火墙。
《规范》要求,中国境内上市公司须自2009年7月1日起执行该规范,同时鼓励非上市公司的大中型企业参照执行。萨班斯法案对美国上市公司的内控规范作出了较为详细的规定,并确立了COSO(美国虚假财务报告委员会下属发起人委员会)于1992年制定的《内部控制框架》(以下简称COSO框架)作为对上市公司内控审计的审计标准。以下对《规范》与萨班斯法案下的内控规范体系进行一些比较分析,以期加深对《规范》的理解。
内控制度的改进与加强
萨班斯法案在其404条款中强制要求公众公司年报中应包含内控报告及其评价,并要求会计师事务所对公司管理层作出的评价出具鉴证报告。《规范》之前,我国仅在《首次公开发行股票并上市管理办法》第二十九条中要求拟公开发行股票并上市的公司的内控在所有重大方面是有效的,并由注册会计师出具了无保留结论的内控鉴证报告。除此之外,上市公司的定期财务报告制度中并没有要求对其内控状况作出报告,提供注册会计师出具的内控鉴证报告也没有成为对上市公司的强行性要求。《规范》要求执行该规范的上市公司,应当对本公司内控的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内控的有效性进行审计。这意味着设计和实施有效的内控成为了上市公司的一项法定义务。
可以看出,《规范》借鉴了萨班斯法,这对于保护公众投资者有重要的作用,投资者可以借助内控审计报告进一步判断公司财务信息的真实性。同时,注册会计师对管理层的内控报告的评价也揭示了管理层的品行,由此促使管理层认真地去执行《规范》。
内控制度控制要素分析
《规范》对内控的基本要素作了指引性的统一规定,基本与COSO框架一致,包括了控制环境、风险评估、控制活动、信息与沟通、内部监督这五个方面。
● 控制环境
《规范》及COSO框架中所指的控制环境主要包括了公司的治理结构、机构设置及权责分配、内部审计、人力资源政策、企业内部的文化和诚信价值观念等。《规范》之前,我国在各种内控指导原则、意见或指引中对内控环境这一要素缺乏详细的规范。《规范》将内控环境作为内控框架的首要要素,认为其是企业内控体系得以真正发挥作用的关键,而对控制环境影响重大的一个因素就是企业治理层的参与程度。《规范》明确指出了董事会、监事会以及经理层在内控建立和完善过程中的职责:董事会负责内控的建立健全和有效实施,监事会对董事会建立与实施内控进行监督,经理层负责组织领导内控的日常运行。
《规范》还规定企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程,明确各自权责分配,正确行使职权。这将有助于形成全员参与的控制环境,体现了内控建设的全面性原则。
● 控制活动
COSO框架下内控活动是指为确保管理层指示得以执行的政策和程序。包括了高层复核、指导并管理业务活动、资产保护即实物控制、信息核对、业绩指标分析、职责分离等具体活动和措施。《规范》对控制活动的定义是“企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内”。按照COSO 框架下的理解,控制活动旨在确保管理层指示得以执行,而《规范》认为控制活动旨在将风险降低到可承受范围内。笔者认为后者的表述更加恰当,因为一旦出现管理层凌驾于内控之上的情形时,旨在确保管理层指示得以执行的控制活动很可能无法发挥其控制风险的应有作用。
《规范》列举了控制活动的一般内容,包括:不相容职务分离、授权审批、会计系统控制、财产保护、预算控制、运营分析和绩效考评。这些列举同COSO框架基本一致。《规范》对这些控制活动的具体含义和设计要求都作出了比较详尽的描述,例如对于财产保护控制,《规范》详细描述了这一控制应包括财产日常管理和定期清查制度以及财产记录、实物保管、定期盘点、账实核对等具体措施。这对于指引企业建立起常用的、基本的控制措施作用很大。
《规范》对于控制活动的规定相较于COSO框架有两个创造性的发展。第一,《规范》强调了预算控制在控制活动中的重要性,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算对企业活动的约束。完善的预算管理可以降低企业经营活动的不可预见的程度,从而将经营风险降低到可接受的范围内。第二,《规范》提出了企业应当建立重大风险预警机制和制定突发事件应急预案。在复杂多变的经济环境下,这些控制措施对于提高企业应对突发情况和重大变化的能力有着积极的作用,能够有效地降低经营风险。
● 风险管理
内控要素方面的另一个主要构成就是风险管理。任何经济组织在经营活动中都会面临各种各样的的风险,风险对其生存能力和竞争能力产生影响。很多风险并不为经济组织所控制,但管理层应当确定可以承受的风险水平,识别这些风险并采取一定的应对措施。将风险评估纳入内控要素是COSO框架的创举,并且还提出了风险评估的过程即风险识别、风险分析和应对变化。从本质上说,内控制度是对企业经营活动过程中所遇到或可能遇到的各种风险或者说整体风险进行预测、估计和应对,以实现企业的战略与运营目标。这也就是COSO为何如此重视风险管理的根本原因。
《规范》明确地规定了企业的内控应当包括风险评估过程,即及时识别、系统分析经营活动中与实现内控目标相关的风险,合理确定风险应对策略。同时《规范》非常详细地列举了企业识别内部及外部风险时应当关注的各个方面,有效地指引企业对其经营活动中的各种风险进行全面评估。
● 信息沟通
为使内控相关信息能够被及时地搜集、处理和沟通,以促进内控的有效运行,《规范》提出完整的内控框架中应当包含有效的信息系统和沟通机制。《规范》中所称的信息包括了内部信息和外部信息。信息的沟通不仅发生在企业内部各管理级次、责任单位、业务环节之间,同时还发生在企业外部投资者、债权人、客户、供应商、中介机构和监管部门之间。《规范》要求所有重要的信息都应当及时传递给公司的治理层和管理层,这将有助于及时地发现、识别风险并尽早作出应对措施。
在企业经营管理的过程中,舞弊导致的风险难以识别,造成的后果相对较严重。因此《规范》特别强调了信息和沟通机制应当发挥反舞弊的作用,要求企业建立举报投诉制度和设置举报专线,并明确举报投诉的处理程序、办理时限和办结要求。
● 内部监督
为及时发现企业内控中的漏洞并进行改进和完善,《规范》要求企业建立起内控监督制度,包括日常的持续性监督检查以及针对内控某一或者某些方面进行有针对性的专项监督。对于监督过程中发现的内控缺陷,应当及时地向治理层和管理层报告,并分析缺陷的性质和原因,提出整改方案。
转载注明来源:https://www.xzbu.com/3/view-748728.htm
