從《企業內部控制基本規范》談我國企業如何完善內控制度

齊　軍

【摘 要】2008年6月28日,《企業內部控制基本規范》正式發布,并于2009年7月1日起首先在上市公司范圍內施行。本文在分析了基本規范取得的重大突破及與COSO、ERM報告的比較的基礎上,提出了我國企業構建內部控制規范體系的措施。

【關鍵詞】企業內部控制規范報告

《企業內部控制基本規范》的頒布,是我國繼實施與國際趨同的企業會計準則和審計準則之后,推出的又一與國際趨同的重大改革。新的內部控制基本規范使我國內部控制制度基本與國際標準協調,能夠解決上市公司在海外融資時,由于沒有健全的內部控制制度而花巨資聘請國外機構設計內控制度的問題。同時為我國企業首次構建了一個企業內部控制的標準框架,有效地解決了政出多門、要求不一、企業無所適從的問題。基本規范的發布實施將有利于提高公司的經營管理水平,強化企業的社會責任感和風險防范意識,增強企業的競爭力,保障經濟安全,維護資本市場穩定。

一、《企業內部控制基本規范》的印發,標志著我國企業內部控制規范體系建設取得了重大突破

主要表現在以下幾個方面。

1.對內部控制的內涵進行了科學界定,強調內部控制不只是企業管理層的事,也需要全體員工的共同參與和努力,旨在實現控制目標的過程,有利于樹立企業內部控制全面、全員、全過程控制的理念。

2.合理確定內部控制的原則,要求企業在建立與實施內部控制的過程中遵循全面性原則、制衡性原則、適應性原則和成本效益原則等,制定合理、完善的企業內部控制制度,并有效實施。

3.準確定位內部控制的目標,合理保證企業經營管理合法合規,保證企業資產安全、財務報告及相關信息的真實性和完整性,提高企業的經營效率,促進企業實現發展戰略。這一目標的確立既適合我國國情又具有前瞻性。

4.對內部控制的要素進行了統籌,五個要素相互關聯,構建了一套完整的內部控制框架。包括完善的內部環境、科學的風險評估、合理的控制措施、及時的信息溝通、有力的監督制約。

5.確立了以政府部門合力推進為主導、各單位組織實施為基礎、會計師事務所等中介機構提供服務為支持,自我評價、政府監管和社會評價有機結合的內部控制標準建設與實施模式。

二、《企業內部控制基本規范》與COSO、ERM報告的比較分析

1992年,美國COSO委員會發布了著名的《內部控制——集合框架》,并于1994年做出局部修正,已經成為世界通行的內部控制權威文獻,它劃分的五大要素對世界各國的公司治理和上市公司監管的影響很大。2004年10月,美國COSO委員會又發布了《企業風險管理——整合框架》的報告,將內部控制更新為八大要素。我國發布的《企業內部控制基本規范》與COSO報告和ERM報告在主要方面保持了一致,當然也存在著一些不同之處。

1.從目標上看,基本規范還增加了資產安全和促進企業實現發展戰略這兩個目標。而與ERM相比,基本規范除了包括ERM中規定的報告目標、經營目標、合法目標和戰略目標外,增加了資產安全目標。

2.從要素上看,基本規范所規定的內部控制的要素包括內部環境、風險評估、控制活動、信息與溝通、內部監督這五個要素,與COSO報告的五個要素大致相同,而與ERM相比卻有所不同。在內部監督方面,基本規范中的內部監督是對整個內部控制體系的建立和實施進行監督,而ERM中的“監控”主要是對企業風險管理進行監控,兩者監督的范圍有所不同。《企業內部控制基本規范》是在借鑒COSO報告和ERM報告的核心思想上,根據我國企業內部控制體系尚不健全的現實建立起來的。

三、我國企業應充分認識貫徹實施基本規范的重要性和緊迫性,從以下五個方面出發,構建有效的內部控制規范體系

1.內部環境

內部環境是企業實施內部控制的基礎,企業應當從以下幾個方面來創造良好的內部環境。首先,企業應當建立規范的公司治理結構和議事規則,明確各部門在財務工作中的權責,只有企業全員共同努力,才能使公司的內部控制制度落到實處。其次,應當成立專門的機構來具體負責組織協調內部控制的建立。另外,應該在董事會下設立審計委員會來負責審查企業內部控制的具體情況,監督內部控制是否切實在工作中實施,以及企業內部控制的自我評價情況等等。最后,企業應合理設置內部機構,明確職責權限、加強內部審計工作、加強企業文化建設和員工培訓,強化他們的風險意識和法制觀念。

2.風險評估

企業應當根據自身實際情況,設定內部控制目標,并持續不斷地收集相關信息,及時進行風險評估。在風險評估的過程中,準確判斷出與企業相關的內、外部風險,同時確定其風險承受度,進而采取對應的措施,制定風險嚴重程度的先后,順序有效降低風險程度;根據風險分析的結果,權衡風險與收益,確立合理、完善的風險應對策略;同時,在企業的經營情況發生變化時,應及時調整風險應對策略。

3.信息與溝通

信息與溝通能夠使企業及時、準確地收集、傳遞與內部控制相關的信息,確保信息在企業內部與外部之間進行有效溝通。企業應當建立合理的信息與溝通制度,明確內部控制相關信息的處理程序,同時對內部控制的相關信息進行篩選、整合,提高信息的有效性。企業還應建立反舞弊機制、舉報投訴制度等,使企業更加有效地掌握信息。

4.內部監督

內部監督指企業對內部控制的建立與實施情況進行監督檢查,評價內部控制的有效性,同時在監督的過程中,將發現的企業內部控制的不足之處及時向上反映并制定相應的對策,加以改進,努力完善企業內部控制制度。企業應當根據自身實際情況,制定相應的內部控制監督制度,明確各審計部門的職責權限,規范內部監督的程序、方法和要求。在對企業內控的監督過程中發現的不足,分析它的性質和產生的原因,提出改革措施并及時向上級據實反映。同時,企業應結合內部監督情況,定期對內部控制的有效性進行自我評價,出具內部控制自我評價報告。

企業內部控制規范體系建立后,必須立即組織實施,嚴格執行,不能流于形式。尤其是企業領導和中高級管理人員,在實施內部控制制度時,必須以身作則,身體力行,樹立嚴格執行制度的典范,以便帶領和影響全體員工共同執行。