中國《企業內部控制基本規范》、2013COSO內部控制框架及國際IR框架對比分析

滕俊楠

【摘要】為了加強企業內部控制規范，不同的國家制定了各自的準則，本文主要研究的是中國《企業內部控制基本規范》（財會[2008]7號）、2013COSO內部控制框架及國際IR框架（2013），這三個報告的相同點和區別，從不同的角度進行對比分析。【關鍵詞】中國《企業內部控制基本規范》（財會[2008]7號）；2013COSO內部控制框架；國際IR框架（2013）；對比分析

我國為了加強和規范企業內部控制，提高企業經營管理水平和風險防范能力，促進企業可持續發展，維護社會主義市場經濟秩序和社會公眾利益，根據中國家有關法律法規，財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制基本規范》（財會[2008]7號）。在美國加強企業內部控制規范用的是美國反虛假財務報告委員會發布的《內部控制整合框架》2013COSO內部控制框架是，在2013年對COSO委員會發布《內部控制整合框架》（COSO-IC）進行了增補，簡稱（2013）COSO報告。在國際上，則通用國際IR框架，它是由國際綜合報告委員會制定的，國際綜合報告委員會制定（IIRC）是一個由監管機構、投資者、公司、標準制訂者、會計專業人士和非政府組織（NGO）組成的全球聯盟。為了加強企業內部控制規范，不同的國家各自制定了準則，本文主要研究的是中國《企業內部控制基本規范》（財會[2008]7號）、2013COSO內部控制框架及國際IR框架（2013），這三個報告的相同點和區別，進行對比分析。

1我國《企業內部控制基本規范》

1.1目標

內部控制的目標，要求企業在保證經營管理合法合規、資產安全、財務報告及相關信息真實完整、提高經營效率和效果的基礎上，著力促進企業實現發展戰略。

1.2原則13要素

均參見中國《企業內部控制基本規范》（財會[2008]7號）

2 2013COSO內部控制框架

2.1目標

框架提供了三個類型的目標，使得組織可以關注于內部控制的不同方面：運營目標——組織運營的效果和效率，包括運營和財務績效目標，資產安全不受損失。報告目標——內、外部的財務和非財務報告的可靠性、及時性、透明度，以及其他監管者、公認的標準制定機構和組織政策所要求的方面。遵循目標一遵守對組織適用的法律法規。

2.2原則

框架確立了十七項原則代表了與每個控制要素相關的基本概念。因為這些原則直接從控制要素中提煉，一個組織可以直接應用全部這些原則來實施內部控制。這些原則都可以應用于運營、報告和遵循三類目標。這些每個控制要素內的原則如下。

2.2.1控制環境

（1）組織對正直和道德等價值觀做出承諾。

（2）董事會獨立于管理層，并對內部控制的推進與成效加以監督控制。

（3）管理層圍繞其目標，在治理層監督下，建立健全組織架構、匯報條線、合理的授權與責任等機制。

（4）組織對吸引、開發和保留與認同組織目標的人才做出承諾。

（5）組織根據其目標，使員工各自擔負起內部控制的相關責任。

2.2.2風險評估

（1）就識別和評估與其目標相關的風險，組織做出清晰的目標設定。

（2）組織對影響其目標實現的風險進行全范圍的識別和分析，并以此為基礎來決定風險應如何進行管理。

（3）組織在風險評估過程中，考慮潛在的舞弊行為。

（4）組織識別和評估對內部控制體系可能造成較大影響的改變。

2.2.3控制活動

（1）組織選擇并開展控制活動，將風險對其目標實現的影響降到可接受水平。

（2）對（信息）技術，組織選擇并開展一般控制以支持其目標的實現。

（3）組織通過合理的政策制度和保證這些政策制度切實執行的流程程序，來實施控制活動。

2.2.4信息與溝通

（1）組織獲取或生成，并使用相關、有質量的信息來支持內部控制發揮作用。

（2）組織在其內部溝通傳遞包括內部控制的目標和責任在內的必要信息以支持內部控制發揮作用。

（3）組織與外部相關方就影響內部控制發揮作用的事宜進行溝通。

2.2.5監督活動

（1）組織選擇、推動并實施持續且（或）獨立的評估以確認內部控制的要素是存在且正常運轉的。

（2）組織在相應的時間范圍內，評價內部控制的缺陷，并視情況與那些應采取正確行動的相關方（如：高級管理層，董事會）溝通。

2.3要素

參見2013COSO內部控制框架

3國際IR框架

3.1目標

《框架》的目標在于制定一套指導原則和內容元素，這些原則和元素統馭綜合報告的整體內容。同時，框架解釋這些原則和元素依據的基礎概念。目標是在靈活性和規定之間達到適當平衡，認可在各個不同機構的個體情形之間存在很大差異，但同時又使各個機構之間具有充分的可比性，以滿足相關的信息需求。

3.2原則3.3內容元素（本文元素等同要素）

均參見國際IR框架（2013）

4比較分析

4.1目標比較

我國《企業內部控制基本規范》與2013COSO內部控制框架，兩者的目標大體一致。2013COSO內部控制框架中運管目標、報告目標、遵循目標都能與我國《企業內部控制基本規范》的目標一一對應。2013COSSO報告指出，內部控制是為實現以下三類目標提供合理保證：經營的效率和效果、財務報告的可靠性、適用法律法規的遵循性。我國《企業內部控制基本規范》指出內部控制旨在實現以下五類目標：企業戰略：經營的效率和效果：財務報告及管理信息的真實、完整：資產安全：遵循國家法律法規和有關監管要求。可知，《基本規范》借鑒了2013COSO報告的目標，同時考慮到我國國有大型企業比重大、國有資產流失嚴重的國情，增加了資產安全目標：為應對未來外部環境變化給企業帶來的風險，增加企業發展戰略的目標。這是我國內部控制規范對COSO報告的補充。而國際IR框架強調制定一套指導原則和內容元素，這些原則和元素統馭綜合報告的整體內容。同時，框架解釋這些原則和元素依據的基礎概念。目標是在靈活性和規定之間達到適當平衡，認可在各個不同機構的個體情形之間存在很大差異，但同時又使各個機構之間具有充分的可比性，以滿足相關的信息需求。

4.2原則比較

2013COSO內部控制框架確立了十七項原則。首先，明確列示了用以支持內部控制五大要素的原則。其次，明確了目標設定在內部控制中的作用。第三，反映了科技日益深入的相關性。第四，更深入地討論了有關治理的理念。第五，擴大了報告目標類別（范疇）。第六，加強了對反舞弊預期的考慮。最后，更加關注非財務目標。而與我國《企業內部控制基本規范》最重大的區別，就是它明確地列出了17項總體原則（2.2），這些原則代表著與每個內部控制要素相關的基本概念，可確保五大內控要素以及整個內部控制系統的有效運行。我國《企業內部控制基本規范》最重大的區別，就是國際IR框架原則明確地列出了7項總體原則（A注重戰略和面向未來、B信息連通性、C利益相關者關系、D重要性、E簡練、F可靠性和完整性、G一致性和可比性）與我國《企業內部控制基本規范》的5項原則（全面性、重要性、制衡性、適應性和成本效益原則），相差甚大。首先，明確列示了用以注重戰略和面向未來的導向性原則。其次，明確了信息連通性、簡練、一致性和可比性的原則。第三，反映了利益相關者關系原則。第四，更深入地對可靠性和完整性原則的要求。

2013COSO內部控制框架確立了十七項原則代表了與每個控制要素相關的基本概念。控制環境包括5項原則，如2.2.1所述：其中（1）（2）（3）體現我國《企業內部控制基本規范》的制衡性原則、全面性原則。風險評估包括4項原則，如2.2.2所述：其中（6）（7）（8）（9）體現我國《企業內部控制基本規范》的適應性原則。控制活動包括3項原則，如2.2.3所述：其中（10）（11）（12）體現我國《企業內部控制基本規范》的適應性原則。信息與溝通包括3項原則，如2.2.4所述：其中（13）（14）（15）體現我國《企業內部控制基本規范》的適應性原則。監督活動包括2項原則，如2.2.5所述：其中（16）（17）體現我國《企業內部控制基本規范》的重要性原則。我國《企業內部控制基本規范》的成本效益原則在2013COS0內部控制框架的17項原則沒有得到體現。

4.3要素比較

我國《企業內部控制基本規范》與2013COSO內部控制框架，兩者的要素大體一致。2013COSO報告認為，為實現內部控制的有效性，需要五個要素的支持：控制環境、風險評估、控制活動、信息和溝通及監督。我國《企業內部控制基本規范》在形式上借鑒了2013COSO報告五要素框架，但同時進行了充實和豐富，在內容上體現了內部控制和風險管理日益融合、風險導向成為內部控制未來發展方向的趨勢。我國《企業內部控制基本規范》最重大的區別，就是國際IR框架明確地列出了8個內容要素（A機構概述和外部環境、B治理、C商業模式、D風險和機遇、E戰略和資源配置、F績效、G前景展望、H編制和列報基礎。）與我國《企業內部控制基本規范》的5個要素（內部環境、風險評估、控制活動、信息與溝通、內部監督），相差甚大。首先，明確機構概述和外部環境作為一個元素。其次，明確了治理、商業模式、風險和機遇、戰略和資源配置元素。第三，反映了前景展望、績效也是重要的元素。第四，更深入地對探討編制和列報基礎要素。

4.4內部控制的責任主體比較

在2013COSO報告下，管理層對內部控制負主要責任，不但要向董事會下屬的審計委員會報告，還要評估內部控制的有效性并對外發布內部控制報告。我國的《企業內部控制基本規范》對內部控制的主要責任主體的責任分別進行規定：事會負責內部控制的建立健全和有效實施：監事會對董事會建立與實施內部控制進行監督：經理層負責組織領導企業內部控制的日常運行。在2013COSO報告中，內部控制的責任主體主要是管理層而我國《企業內部控制基本規范》卻強調了董事會對內部控制的重要責任，而且更加明確地規定各責任主體對內部控制的責任，使治理層和管理層的責任分工更加明確。

4.5內部控制的外部審計比較

在2013COSO報告下，審計師要在審計財務報表的同時對公司的財務報告內部控制進行審計，既要評價管理層對內部控制的評價，又要對內部控制的有效性發表意見。在我國，執行《企業內部控制基本規范》的上市公司，應當對本公司內部控制的有效性進行自我評價，披露年度自我評價報告，同時應當聘請具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計并出具審計報告。可見，我國《企業內部控制基本規范》和2013COSO報告都強制要求對內部控制進行外部審計。