企業內部控制基本規范與COSO企業風險管理之比較

姜 毅

摘要:2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合發布的《企業內部控制基本規范》,既融合了COSO風險管理的先進經驗,又具有中國的特色。COSO在ERM框架報告中指出,企業風險管理是一個過程,它是由一個主體的董事會、管理當局和其他人員實現的,應用于戰略制定并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險已使其在該主體的風險容量之內,為主體目標的實現提供合理保證。

關鍵詞:企業;內部控制;COSO風險管理;基本規范

中圖分類號:F713.50文獻標志碼:A文章編號:1673-291X(2009)29-0192-03

企業內部控制的完善和執行情況日益成為人們關注的議題。在國內,“中航油”、“銀廣廈”等多起舞弊案件都是與企業內部控制的缺失有關。德勤華永會計師事務所有限公司最新《中國上市公司內部控制調查分析報告》的調查結果顯示,大多數企業在內部控制實施方面仍然存在一定的盲目性。中國上市公司約58.82%的企業為應對金融危機而指定了專門的部門落實風險管理和內控工作,但是,僅有23.53%的企業將內控工作的重點從書面制度轉變為具體實施;僅約17.65%的企業進行了內部控制評價。可見,內部控制問題已成為上市公司的軟肋。2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制基本規范》,該規范融合了COSO 風險管理的先進經驗,又具有中國的特色,被世人贊譽其為“中國版的薩班斯法案”。那么,基本規范是否能解決上市公司的問題成為了時下理論界、實務界關注的焦點。

一、企業內部控制規范與COSO企業風險管理的不同

(一)內涵、目標不同

2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合發布的《企業內部控制基本規范》,為中國企業首次構建了一個企業內部控制的標準框架。它所指的內部控制,是指由企業董事會(或者由企業章程規定的經理、廠長辦公會等類似的決策、治理機構,以下簡稱董事會)、管理層和全體員工共同實施的、旨在合理保證實現以下基本目標的一系列控制活動:(1)企業戰略;(2)經營的效率和效果;(3)財務報告及管理信息的真實、可靠和完整;(4)資產的安全完整;(5)遵循國家法律法規和有關監管要求。

2004年9月,COSO委員會在內部控制框架概念的基礎上,提出了企業風險管理(Enterprise Risk Management,ERM)的概念,使內部控制的研究發展到一個新的階段。COSO在ERM框架報告中指出企業風險管理是一個過程,它是由一個主體的董事會、管理當局和其他人員實現的,應用于戰略制定并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險已使其在該主體的風險容量之內,為主體目標的實現提供合理保證。ERM框架對內部控制明確了以下內容:(1)是一個過程;(2)被人影響;(3)應用于戰略制定;(4)貫穿整個企業的所有層級和單位;(5)旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險;(6)合理保證;(7)為了實現各類目標。ERM框架提出,要力求實現四類目標:戰略目標、經營目標、報告目標和合規目標。

(二)基本要素不同

1.企業內部控制規范考慮以下基本要素:

(1)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。

(2)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素并采取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。

(3)控制措施。控制措施是根據風險評估結果、結合風險應對策略所采取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批準控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。

(4)信息與溝通。信息與溝通是及時、準確、完整地收集與企業經營管理相關的各種信息,并使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。信息與溝通主要包括信息的收集機制及在企業內部和與企業外部有關方面的溝通機制等。

(5)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告并作出相應處理的過程,是實施內部控制的重要保證。監督檢查主要包括對建立并執行內部控制的整體情況進行持續性監督檢查,對內部控制的某一方面或者某些方面進行專項監督檢查,以及提交相應的檢查報告,提出有針對性的改進措施等。

2.COSO企業風險管理包括八個相互關聯的構成要素。它們來源于管理當局經營企業的方式,并與管理過程整合在一起。這些構成要素是:

(1)內部環境。內部環境其他所有風險管理要素的基礎,為其他要素提供規則和結構,也為ERM的其他組成因素提供了框架。其中特別是管理當局的風險偏好,決定了公司對可能出現的預料之外的事件的態度,管理當局和董事會必須明確戰略及其執行過程中的風險和回報。

(2)目標設定。必須先有目標,管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取適當的程序去設定目標,確保所選定的目標支持和切合該主體的使命,并且與它的風險容量相符。

(3)事項識別。在對企業目標、戰略和計劃以及對企業所處的內部和外部環境都有深刻了解的基礎上,管理層必須識別影響主體目標實現的內部和外部事項,區分風險和機會。

(4)風險評估。一般用可能性(概率)和影響結果兩個維度度量風險,前者是一定的負面影響事件發生的可能性;后者是假設事件發生,對經營、財務報告以及戰略產生影響的可能結果,風險評估的過程中根據不同的情況,采用定性、定量以及相結合的方法,若可以獲取充足的數據,一般采用定量的評估方法;若潛在的可能性及影響結果都較小,或者無法獲得數據,則一般采取定性的評估方法。

(5)風險應對。企業對每一個重要的風險及其對應的回報進行評價和平衡,結果取決于成本效益分析以及企業的風險偏好。而平衡的反應包括接受、規避或緩和這些風險,后者又包括風險分離、風險轉換或者減少(包括通過控制活動)等形式。風險反應是企業風險管理的整體重要組成部分。

(6)控制活動。控制活動是管理當局設計的政策和程序,為執行特定的風險緩和反應提供合理保證。控制活動包括在整個組織中使用的批準、授權、注銷、確認、觀察、查證以及對經營業績復核、資產安全、職責分離等方法。制訂和執行政策與程序以幫助確保風險應對得以有效實施。

(7)信息與溝通。風險辨別、評估、反應和控制活動在組織的各個水平層次上產生有關風險的信息,與財務信息一樣,風險信息必須以一定的形式和框架進行交流,使員工、管理層以及董事履行各自的責任。風險評估的信息系統可以產生定期或“例外基礎”的報告,報告使用趨勢指標、業績矩陣及運營或財務成果的形式,這些報告能夠引導出及時的決策。在公司層次,必須對各種數據和信息流進行加工,形成關于公司風險組合輪廓的統一觀點,以利于交流。

(8)監控。企業風險管理并不是一個嚴格的順次過程,一個構成要素并不是僅僅影響接下來的那個構成要素。它是一個多方向的、反復的過程,在這個過程中幾乎每一個構成要素都能夠、也的確會影響其他構成要素。

(三)管理人員對實現企業目標的職責

1.企業內部控制基本規范對管理人員的職責規定如下:

(1)企業董事會應當充分認識自身對企業內部控制所承擔的責任,加強對本企業內部控制建立和實施情況的指導和監督;

(2)董事長(或者法定代表人、代表企業行使職權的主要負責人,以下簡稱董事長)對本企業內部控制的建立健全和有效實施負責;

(3)經理(或者總裁、廠長,以下簡稱經理)根據法定職權、企業章程和董事會的授權,負責組織領導本企業內部控制的日常運行;

(4)總會計師(或者財務總監、分管財務會計工作的負責人,以下簡稱總會計師)在董事長和經理的領導下,主要負責與財務報告的真實可靠、資產的安全完整密切相關的內部控制的建立健全與有效執行。

2.COSO企業風險管理將各級人員的職責分成三個層次:

(1)董事會,監控企業風險管理,獲知并批準企業設定的風險偏好,與企業高層管理人員討論企業風險管理的狀態,獲知企業所面臨的重大風險、管理層擬采取的行動以及管理層確保風險管理有效性的方式,董事會還要從內部審計人員、外部審計人員和其他人員那里獲取相關信息;

(2)高層管理人員,首席執行官或總裁應對ERM 負總責,各部門經理應認同企業的風險管理理念,按企業設定的風險偏好和風險容忍度管理本部門事務。首席執行官或總裁應召集各部門經理對企業風險管理的能力和有效性進行初步評估,以決定是否有必要對其繼續進行更深入的評價;

(3)企業基層職員,有責任按照企業已確立的指令和協議實施風險管理。

二、企業內部控制基本規范的貢獻

從基本規范與COSO風險管理的比較,可以看出基本規范既吸收了COSO報告的精華,又具有一定的中國特色:

1.提高了內部控制規范的地位。新規范既有類似薩班斯法案的強制力,又有與科索報告一樣對內控實務的示范作用;既對中國企業建立內控制度提出了強制性要求,又為千差萬別的中國企業建立健全內控制度提供了基本框架;既吸收了內控的國際先進理念,又充分體現了中國內部控制的現實環境要求。有專家認為,這一規范的出臺,是中國企業按國際化標準嚴格自律的宣言書,更是中國企業參與國際競爭,逐步接受并自覺遵循市場經濟游戲規則,不斷完善企業制度、細化管理的內在要求。世人贊譽其為“中國版的薩班斯法案”。

2.統一了我國企業內部控制規范。在美國,COSO框架是美國企業以及在美國上市的外國公司的內部控制建設的標準,而在我國,長期以來內部控制規范正出多門,現實中,至少存在包括證監會、財政部、國資委、人民銀行、證券交易所等部門或主管單位發布的關于內部控制或風險管理的規范文件。盡管有關監管部門在實際中采用了COSO的標準,但都比較局限。2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合發布的《企業內部控制基本規范》是廣泛征求各監管部門意見基礎制定的,統一了我國企業內部控制規范的標準,使企業可在統一的框架內建立有效的內部控制監督體系,同時為外部監管公司內部治理的設計、實施、監督、評估等奠定了基礎。

3.科學界定內部控制的內涵,強調“全員控制”。基本規范強調內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程,是一種全面、全員、全過程控制的理念。

4.準確定位內部控制的目標。舊規范的目標定位,基本上是處于內部控制目標層次的最低級,只包括:保證會計資料真實、完整;保護單位資產的安全、完整;確保國家有關法律法規和單位規章制度的貫徹執行。基本規范前瞻性提出企業在保證經營管理合法合規、資產安全、財務報告及相關信息真實完整、提高經營效率和效果的基礎上,著力促進企業實現發展戰略。本次的修訂既強調了COSO全面風險管理的四大目標,又增加了對資產的安全完整的要求。這充分體現我國順應國際內部控制和風險管理日益融合的趨勢。

5.統籌構建內部控制的要素。舊規范的范圍過于狹窄,主要集中于會計領域。《會計法》、《內部會計控制規范》等法律法規主要是從會計控制的角度來規范內部控制;獨立審計準則中的定位也是著重于企業的會計責任方面。而本次修訂的基本規范有機融合COSO全面風險管理的做法,構建了以內部環境為重要基礎、以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證,相互聯系、相互促進的五要素內部控制框架。

6.明確界定各控制主體職責。內部控制的有效執行有賴于全員參與,而只有企業內每個人均清楚地知道自己所擁有的責任和權力,才能認真履行自己的職責,提高內部控制的執行力度。新規范所界定的內部控制主體有四層:一是董事會,二是監事會,三是經理層,四是全體員工。董事會是加強企業內部控制的第一責任人;監事會負有對董事、經理執行公司職務時違反法律、法規或者公司章程的行為進行監督的權利,在監督投資者決策行為的同時切實履行監督投資者對經營者的監管職能的落實情況;經理層直接對企業的經營管理活動負責,尤其是企業總經理(首席執行官)承擔重要責任;全體員工在實現內部控制中承擔相應職責并發揮積極作用。

7.創新了體系。除基本規范之外,財政部還起草了17項具體規范,并將繼續起草若干具體規范和應用指南;與此同時,還將研究、制定評價標準和配套實施辦法,形成全方位、立體性推進內控體系建設的局面。我國的企業內控體系,將是一個層次分明、內容完整、銜接有序、整體互動的有機統一體。

8.強化了內部風險管理。舊規范只是強調通過風險預警、風險識別、風險評估、風險分析、風險報告等措施,對財務風險和經營風險進行全面防范和控制,而基本規范更強化了在目標設定環節就要考慮風險因素,這一條和COSO的風險管理是吻合的。

9.提出了切實可行的內部控制實施機制。基本規范建立了以企業為主體、以政府監管為促進、以中介機構審計為重要組成部分的內部控制實施機制,要求企業實行內部控制自我評價制度,并將各責任單位和全體員工實施內部控制的情況納入績效考評體系;國務院有關監管部門有權對企業建立并實施內部控制的情況進行監督檢查;明確企業可以依法委托會計師事務所對本企業內部控制的有效性進行審計,出具審計報告。這充分體現了基本規范在實施過程中適當的引入了信息機制和聲譽機制、強化檢查監督機制,落實內控責任主體和嚴格問責和實施嚴厲的獎懲機制的特點。

三、企業內部控制基本規范實施的難點

企業內部控制規范在執行中還存在很多困難:

1.基本規范的要素中沒有體現事項識別的重要性

事項可能會帶來負面影響,也可能帶來正面影響,帶來正面影響往往意味著機會,而機會對于企業目標的實現是有重要作用的。基本規范只強調了風險的識別,而對于機會則沒有關注。

2.沒有強調對高層的監控

企業董事會、監事會是內部控制的主體。從控制的層次看,董事會、監事會為高層,經理為中層,職能部門和員工為低層,這三個層次都應納入內部控制的范圍。但實施的難點在于高層控制不可能由企業內部的主體來完成,企業內部主要是對中低層的控制,對高層的控制應當由外部控制主體如股東、政府等來完成。但是,外部控制主體往往因信息不對稱或其他原因,經常出現監控不力的問題。

3.企業內部控制基本規范與企業風險管理指引的協調還存在問題。世界上內部控制與風險管理已逐漸融合,把內部控制與風險管理試為同一事件。2004年,COSO發布的《企業風險管理—整合框架》,在該框架附件C中明確:內部控制是企業風險管理的一個不可或缺的部分,風險管理框架繼承包含了內部控制框架的主體內容。而在我國的實際工作中,還存在《企業內部控制基本規范》和《中央企業風險管理指引》如何統一協調的問題。當然,強調風險管理與內部控制的融合,并不是風險管理要代替內部控制,實際上兩者是并存的。企業肯定需要建立內部控制,來應對阻止企業進步的風險。否則,被控制所遏制的風險將可能發生。