我国内部控制规范建设存在的问题及解决对策
为了遏制财务舞弊等行为,各国政府都在着手研究制定相关法规,以强化对本国企业经营行为的监管,促进企业建立完善的内部控制体系,以防范财务舞弊行为的发生。我国对于企业内部控制的研究起步较晚,内部控制规范体系的建设也相对滞后,近两年在政府和相关部门充分重视和大力推广下,我国现行企业内部控制规范体系建设取得了较大的成绩,但也仍然存在着一些亟待解决的问题。本文就此进行了比较深入的分析,并提出进一步改进的建议。
一、我国企业内部控制规范建设的现状我国企业内部控制规范建设正在经历着循序渐进、逐步完善的发展过程,这些规范建设主要是由政府、证券监督管理部门和行业监管机构等制定的有关法律、法规、指引。
根据制定部门以及适用范围,可划分为以下四个层次:
第一层次是适用于所有企业的基础性规范。包括中国注册会计师协会1996年发布的《独立审计具体准则第9号——内部控制与审计风险》,财政部2001年至2004年先后发布的《内部会计控制规范——基本规范》,《内部会计控制规范——货币资金》、《内部会计控制规范——采购与货款》、《内部会计控制规范——销售与收款》、《内部会计控制规范——担保》、《内部会计控制规范——对外投资》、《内部会计控制规范——工程项目》等具体会计控制规范性文件。财政部的这些文件多是针对企业的内部会计控制,旨在指导企业构建一个由组织结构、职务分离、业务程序、处理规程等因素组成的会计控制系统,还不是真正意义上的由内部控制目标及要素构成的、涉及企业所有经营活动及行为的内部控制规范。
第二层次是上市公司监管机构中国证监会发布的有关规则。包括中国证监会2001年和2002年分别发布《证券公司内部控制指引》、《证券投资基金管理公司内部控制指导意见》,2006年发布《首次公开发行股票并上市管理办法》。在《首次公开发行股票并上市管理办法》中规定:首次公开发行股票的发行人的内部控制在所有重大方面必须是有效的,并须由注册会计师出具无保留结论的内部控制鉴证报告。深圳证券交易所和上海证券交易所则紧随其后,迅速出台了《深圳证券交易所上市公司内部控制指引(征求意见稿)》和《上海证券交易所上市公司内部控制指引》。中国证监会和沪深交易所发布的上述指引,无论在内部控制概念的界定、控制目标的设定,还是内部控制要素的确定上,都全面反映了COSO的ICIF框架内容的精髓。
第三层次是各行业监管机构发布的内部控制规范方面的文件。如中国人民银行2002年颁布的《商业银行内部控制指引》,较为完整地借鉴了COSO的内部控制框架,确立的内部控制五要素与COSO内部的五要素完全相同,即包括控制环境、风险识别与评估、控制活动与措施、信息沟通与反馈、监督与评价。《商业银行内部控制指引》的内部控制目标和基本原则等内容充分吸收了1998年巴赛尔银行监管委员会发布的《银行金融机构内部控制系统的框架》中的核心内容。
第四层次是国资委针对中央企业颁布的内部控制框架指引。2006年,国资委颁布《中央企业全面风险管理指引》。该《指引》以《公司法》、《企业国有资产监督管理暂行条例》为依据,全面吸收了美国COSO于2004年发布的《企业风险管理——整合框架》(ERM框架)和英国风险管理标准等国际最新企业风险控制研究成果和成熟经验。2004年美国COSO发布的ERM框架是对1994年修订的内部控制框架体系(ICIF框架)的改进和拓展,标志着内部控制规范体系从内部控制向风险管理转型。国资委以ERM框架为参照制定发布的《中央企业全面风险管理指引》,丰富了我国内部控制规范体系的内容,标志着我国企业内部控制规范建设工作取得了突破性进展。
在各部门和监管机构根据其管理权限范围发布相关内部控制指引的同时,国家有关部门及行业管理机构也成立了专门委员会,开始进行内部控制规范方面的研究、建设和推广工作。2006年7月,财政部发起成立了企业内部控制标准委员会,中国注册会计师协会也发起成立了会计师事务所内部治理指导委员会。这些专业委员会的成立,标志着我国内部控制体系建设已经迈入一个新的发展阶段。
二、我国企业内部控制规范建设中存在的问题
虽然我国近年来在内部控制规范建设方面做了许多扎实有效的工作,并取得了较大的成绩,但与国际先进、成熟的内部控制规范体系相比较,仍然存在着不小的差距和一些亟待解决的问题。
(一)企业对内部控制的内涵认识不清。企业普遍认为内部控制就是内部控制制度,是企业用以防止发生错误和舞弊、或者是用以应付有关部门及主管单位检查而制定的各项规章制度。在内部控制实际运行过程中,企业往往认为有关的职责分工、审批授权制度就是内部控制制度;完成有关部门或主管单位所要求的内部控制制度制定工作,就是实施了企业内部控制(潘秀丽,2005),对内部控制只注重制度建设而不重视制度执行,缺乏对内部控制实际执行效果的考核与评价。而按照COSO的ICIF框架对于内部控制的定义:企业内部控制是受企业董事会、管理当局和其他员工的影响,目的在于实现经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程,应由控制环境、风险评估、控制活动、信息与沟通、监督五个方面的内容构成。COSO框架强调内部控制是为了保证企业目标的实现而实施的控制过程,要围绕五要素来构建内部控制框架,是一项比较复杂的系统工程。
(二)企业内部控制的相关规范制度亟待整合。由于管理体制方面的原因,我国有关内部控制的指导原则、指引、规范出自不同的政府部门或机构,如《内部会计控制规范》、《中央企业全面风险管理指引》、《证券公司内部控制指引》、《证券投资基金管理公司内部控制指导意见》、《商业银行内部控制指引》、《上市公司内部控制指引》等一系列规范性文件分别出自财政部、国资委、中国证监会、中国人民银行、深圳证券交易所、上海证券交易所等部门。政出多门造成这些规范形式多样、标准不一,对内部控制概念的界定、控制目标的确立、应遵循的控制原则、内部控制要素的构成等重要内容均有不同的解释和规定。这既增大了内部控制规范的制定成本,又增大了各内部控制规范之间的协调成本。而且,由于没有专门机构统一负责内部控制规范建设,已经制定的内部控制规范也无法在全国范围内迅速而有效地推进,失去了其应有的价值。
(三)忽视内部控制环境建设。按照COSO的ICIF框架,控制环境是内部控制框架体系的第一要素,被视为其他控制要素的基础。按照ICIF框架的定义,内部控制环境是指一个企业的基调和氛围,对内部控制形成外部约束,并直接影响企业员工的控制意识。控制环境因素主要包括管理层的经营理念和经营风格,企业员工的道德价值观和工作胜任能力,管理当局的授权和职责分工方法,人力资源的组织与开发,董事会的关注和指导力度等。控制环境是内部控制能否生效的重要因素之一,控制环境的失效必然会直接导致内部控制的失效。由于我国企业普遍存在着大股东或关键人控制问题,内部控制环境未得到应有的重视,很多企业还未开展内部控制环境建设,如公司治理方面存在严重缺陷,管理层关键人凌驾于规章制度之上,内审部门无法肩负起监督职责等。而《证券公司内部控制指引》、《商业银行内部控制指引》、《上市公司内部控制指引》等虽然都将控制环境列为内部控制规范的要素之一,但也仅仅是对COSO的ICIF框架内容的简单移植。要使内部控制环境在内部控制体系中得到完善,并发挥内部控制环境应有的作用,还需从改进公司治理、更新管理层经营理念、加强员工职业道德教育等基础工作做起。
(四)内部控制规范体系不完善。企业风险管理框架必须建立在完善的内部控制框架基础之上,否则就谈不上风险管理体系框架的完善。美国COSO于2004年发布的《企业风险管理——整合框架》(ERM框架)文件中,专门阐述了ERM框架与COSO于1994年修订后发布的《内部控制——整合框架》(ICIF框架)之间的关系:内部控制被涵盖在企业风险管理之内,是其不可分割的一部分。企业风险管理拓展了内部控制的风险评估要素,将风险评估要素进一步细分为目标设定、事项识别、风险评估和风险对策等,比内部控制内容更广泛,更加关注风险。而且,COSO在ERM框架中声明,虽然ERM框架涵盖并拓展了ICIF框架的主体内容,但并不意味着可以替代ICIF框架,ICIF框架仍然有效,仍然是符合SOA法案规定建立内部控制框架体系的依据。我国内部控制规范尚未成完整的系统,国资委出台的《中央企业全面风险管理指引》虽然在内容上广泛吸取了国际上的最新研究成果和成熟经验,并具有一定的前瞻性,但在目前我国内部控制相对薄弱的现实环境下,其实施缺乏可依赖的坚实基础,显得有些突兀,难以获得理想的效果。
三、改进企业内部控制规范的建议鉴于我国企业内部控制规范建设中存在的问题和我国的现实状况,笔者建议从以下几方面入手,加快我国内部控制规法建设:
(一)提高企业对内部控制的认识和理解,营造良好的内部控制氛围。要象宣传新会计准则、新税法那样,对内部控制进行广泛宣传和推介,改变目前人们普遍将内部控制看作是一项制度性建设的错误观念,使企业管理层和广大员工充分认识到内部控制的包含企业经营活动各个环节的控制过程和活动,是一项复杂的系统工程。只有提高企业管理层和员工对内部控制的认识和理解,才能形成一个良好的内部控制氛围,从而促进内部控制规范的建设和实施。
(二)整合现有内部控制规范,建立统一的内部控制框架体系。为了改变我国内部控制规范建设中各自为政的现状,建议由财政部牵头,由企业内部控制标准委员会具体负责,对现有财政部、证监会、中国人民银行、国资委、上海证券交易所、深圳证券交易所等部门和机构制定出台的内部控制方面的规范、制度、指引等进行重新梳理和整合,统一内部控制的概念、目标、要素、原则、程序、评价标准等基本内容,制定出适用范围宽泛的内部控制整体框架,作为各类企业内部控制体系建设的参照标准。各部门或机构在履行其各自管理职能时,可以对管辖范围内的企业提出内部控制建设方面的具体要求,但建设内部控制所依据的规范框架应该是统一的。
(三)改善法人治理结构,优化内部控制环境。法人治理结构在很大程度上影响着企业的健康运行和企业目标的实现,并且会对企业内部控制体系的建立与完善产生影响。企业应从完善法人治理结构入手,充分发挥股东会、董事会、监事会的职能;改善股权结构,解决我国企业股权过度集中带来的问题;完善企业内部制衡机制和内部激励机制;增强内部审计部门的独立性,充分发挥其监督评价职能。在改进法人治理结构的同时,还应加强对企业高管人员的培训,使企业管理层树立正确的经营理念和较强的风险管理意识;加强对企业员工的职业道德建设。通过这些基础性工作,优化企业内部控制环境,以保证企业内部控制制度的顺利实施。
(四)建立和完善企业内部控制规范体系。虽然以美国为代表的西方发达国家的企业已经开始将内部控制的重点逐渐转向风险管理,但从我国目前的现状来看,建立和完善统一的内部控制规范框架仍然是我国内部控制建设的第一要务。完善的内部控制体系框架是企业实施内部控制、防范企业风险的基础,只有打下坚实的基础,才能够保证企业内部控制的顺利实施和全面风险管理的有效推进。
参考文献:
[1]中国人民银行:《商业银行内部控制指引》,中国人民银行公告[2002]第19号。
[2]中国证监会:《证券公司内部控制指引》,证监机构字[2003]260号。
[3]国务院国资委:《中央企业全面风险管理指引》,国资发改革[2006]108号。
[4]上海证券交易所:《上海证券交易所上市公司内部控制指引》,《中国证券报》2006年6月5日。
[5]深圳证券交易所:《深圳证券交易所上市公司内部控制指引》,《中国证券报》2006年9月28日。
[6][美]COSO:《企业风险管理——整合框架》,东北财经大学出版社2005年版。
[7]中国石油天然气股份有限公司内部控制项目建设委员会:《COSO内部控制框架与内部控制要素评价工具》