宋蔚蔚1 王和友2 廖曉艷1
(1、重慶工學院;2、武漢市中船重工712研究所)
2007年3月由財政部公布的《企業內部控制規范(征求意見稿)》(以下簡稱新規范)合理借鑒了以美國coso報告為代表的國外內部控制框架,并且根據我國國情進行了調整和改進,與我國企業所處的具體環境,國家有關法律法規,經營管理實踐相協調。規范的制定以風險控制為其思路引路,財務報告控制為主線,為企業進行內部控制的自我評估和外部評價提供統一標準。
一、基本面:結構與原則的變化
(一)結構 與2001年財政部頒布《內部會計控制——基本規范》(以下簡稱舊規范)相比,新規范不再稱每個規范為“內部會計控制規范”,而稱其為“內部控制規范”,這也標志著我國的內部控制制度已脫離了原來的“內部控制結構階段”,真正地進入了以COSO報告要素為主導的“內部控制整體框架階段”。
此次頒布的規范共有18個規范,其中基本規范1個,具體規范17個,包括:貨幣資金、采購與付款、存貨、對外投資、工程項目、固定資產、銷售、籌資、成本費用、擔保、合同、對子公司的設置、財務報告的編制、信息披露、預算、人力資源、計算機信息系統,同時財政部正在加緊研究和起草關聯交易、資產減值、公允價值、企業合并與分立、衍生工具、中介機構聘用等9項具體規范和有關評價標準、實施辦法。
新規范與舊規范相比,不但數量上有了擴展,其內容也更為廣泛和深入。舊規范主要立足于會計項目,而新規范主要由財務報表項目,財務報表編報以及制度支持等三個層次構成(圖1),增添了人力資源、計算機信息系統以及信息披露等內容。由此可以看出新規范除了強調業務循環,更強調風險控制的薄弱環節。
圖1
(二)原則 新規范規定,企業建立和實施內部控制應遵循合法性原則、全面性原則、重要性原則、有效性原則、制衡性原則、適應性原則、成本和效益原則等七條原則。和舊規范相比,增加了一條重要性原則,即內部控制應當在兼顧全面的基礎上突出重點,針對重要業務與事項、高風險領域與環節采取更為嚴格的控制措施,確保不存在重大缺陷。由此可以看出,新規范強調對高風險領域和重要事項區別看待,采用更加嚴格的措施。(1)“制衡性原則” 代替了舊規范中的“不相容職務相分離的原則”,強調企業的機構、崗位設置和權責分配應當科學合理并符合內部控制的基本要求,確保不同部門、崗位之間權責分明和有利于相互制約、相互監督。履行內部控制監督檢查職責的部門應當具有良好的獨立性。任何人不得擁有凌駕于內部控制之上的特殊權力。(2)修訂了對適應性原則的描述,即內部控制應當合理體現企業經營規模、業務范圍、業務特點、風險狀況以及所處具體環境等方面的要求,并隨著企業外部環境的變化、經營業務的調整、管理要求的提高等不斷改進和完善。此次新規范還專門制定了一項具體規范,即計算機信息系統,充分反映了其在會計財務電算化廣泛應用的環境下的適應性。
二、具體內容:目標、要素與風險
(一)目標 《獨立審計具體準則第9號——內部控制與審計風險》中內部控制的目標包括:保證業務活動按照適當的授權進行;保證所有的交易和事項以正確的金額,在恰當的會計期間及時記錄于適當的賬戶,使會計報表的編制符合會計準則的相關要求;保證對資產和記錄的接觸、處理均經過適當的授權;保證賬面資產與實存資產定期核對相符。《獨立審計具體準則第9號——內部控制與審計風險》的目標著重是從會計角度,更加強調內部控制保證相關會計處理過程的正確性和合理性。舊規范則說明了內部會計控制應達到的目標為:“規范單位會計行為,保證會計資料真實、完整;堵塞漏洞、消除隱患,防止并及時發現、糾正錯誤及舞弊行為,保護單位資產的安全完整;確保國家有關法律法規和單位內部規章制度的貫徹執行。”同樣是從會計的角度,但是從事后處理的角度出發,強調 “防錯和糾錯”。
新規范第4條對內部控制的目標也做出了詳細規定:“內部控制,是指由企業董事會、管理層和全體員工共同實施的、旨在合理保證實現以下基本目標的一系列控制活動:企業戰略;經營的效率和效果;財務報告及管理信息的真實、可靠和完整;資產的安全完整;遵循國家法律法規和有關監管要求。”由此可以看出,該目標參照了2004年美國頒布的《Enterprise Risk Management-Integrated Framework>》(簡稱ERM企業風險管理框架)目標的制定,ERM中包括內控的目標為戰略目標、經營目標、報告目標、合法目標,同時考慮了我國的國情(國有大型企業比重大,國有資產流失嚴重),加入了資產的安全和完整這一項。
合法目標是基礎,戰略目標、經營目標、資產的安全完整目標企業出于自身動力的要求會主動去實現,而唯有報告目標,在某種需要下可能發生扭曲和違背,所以新規范中還強調“有義務對外提供財務報告的企業,應當確保財務報告及管理信息的真實、可靠和完整,具備條件的,還應同時實現其他控制目標。”即將財務報告及信息的真實、可靠和完整放在首位。因為企業的經營管理活動要通過財務報告來反映,抓住了財務報告內部控制這條主線,在一定程度上也抓住了企業經營管理與內部控制的重心和主體,同時保證財務報告真實可靠,是企業的法定責任,是維護社會公眾利益的基礎環節,強化財務報告內部控制機制建設是提升企業市場形象與誠信度、維護社會公眾利益的基本要求。
(二)要素 1996年《獨立審計具體準則第9號——內部控制與審計風險》認為內部控制包括控制環境、會計系統和控制程序,并且對這三個要素所應采取的審計程序和影響因素分別進行了論述。注冊會計師審計準則第1211號對內部控制的要素分為:控制環境;風險評估;信息系統和溝通;控制活動;對控制的監督。相對于其征求意見稿中內部控制的要素(控制環境、被審計單位的風險評估過程、與財務報告相關的信息系統(包括相關的業務流程)和溝通、控制活動、對控制的監督)去掉了修飾和限定語,完全與COSO報告一致。
而新規范則規定:“企業內部控制涵蓋企業經營管理的各個層級、各個方面和各項業務環節。不同所有制形式、不同組織形式、不同行業、不同規模的企業可以結合實際情況,從不同的角度入手建立健全內部控制。但是,建立有效的內部控制,至少應當考慮以下基本要素:內部環境,風險評估,控制措施,信息與溝通,監督與檢查。”由此可以看出,新規范仍然參照1992年COSO報告的五要素,并沒有引入ERM的8要素,“至少應當考慮”為以后內部控制要素的擴展留有一定的余地。其中,對風險評估這個要素的定義為:“是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素并采取應對策略的過程,是實施內部控制的重要環節。”風險評估主要包括目標設定、風險識別、風險分析和風險應對。對風險評估要素的分解,實質上對應的就是ERM的風險評估要素的分解:目標制定,事項識別,風險評估,風險反映。內部環境要素則主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。其中的人力資源政策專門為一個具體規范,這是一個創新,也強調內部控制中“人”的重要性。另一方面,對于責任的承擔,為避免互相推諉的現象,規范也明確了責任:“企業董事會應當充分認識自身對企業內部控制所承擔的責任,加強對本企業內部控制建立和實施情況的指導和監督。董事長對本企業內部控制的建立健全和有效實施負責。經理根據法定職權、企業章程和董事會的授權,負責組織領導本企業內部控制的日常運行。總會計師在董事長和經理的領導下,主要負責與財務報告的真實可靠、資產的安全完整密切相關的內部控制的建立健全與有效執行。”
(三)風險要素 新規范將風險定義為對實現內部控制目標可能產生負面影響的不確定性因素。而ERM框架中的風險,則提出“事項”這一更加中性的概念,即源于內部或外部的影響目標實現的事故或事件。事項可能有負面影響,也可能有正面影響或者兩者兼而有之。風險是一個事項將會發生并給目標實現帶來負面影響的可能性。機會是一個事項將會發生并給目標帶來正面影響的可能性,帶有負面影響的事項阻礙價值創造,或破壞現有的價值,而機會支持價值創造和保持。新規范更加強調的是負面影響的事項,也提出其中應關注的風險因素。
應當關注的內部風險因素一般包括:高級管理人員職業操守、員工專業勝任能力、團隊精神等人員素質因素;經營方式、資產管理、業務流程設計、財務報告編制與信息披露等管理因素;財務狀況、經營成果、現金流量等基礎實力因素;研究開發、技術投入、信息技術運用等技術因素;營運安全、員工健康、環境污染等安全環保因素。
應當關注的外部風險因素一般包括:經濟形勢、產業政策、資源供給、利率調整、匯率變動、融資環境、市場競爭等經濟因素;法律法規、監管要求等法律因素;文化傳統、社會信用、教育基礎、消費者行為等社會因素;技術進步、工藝改進、電子商務等科技因素;自然災害、環境狀況等自然環境因素。
在風險應對措施中,也給出了具體內容,即企業應當根據風險分析情況,結合風險成因、企業整體風險承受能力和具體業務層次上的可接受風險水平,確定風險應對策略。風險應對策略一般包括風險回避、風險承擔、風險降低和風險分擔等。這與ERM框架中的風險應對策略完全一致(avoidance, reduction, sharing, acceptance)。企業對超出整體風險承受能力或者具體業務層次上的可接受風險水平的風險,應當實行風險回避。企業對在整體風險承受能力和具體業務層次上的可接受風險水平之內的風險,在權衡成本效益之后無意采取進一步控制措施的,可以實行風險承擔。企業對在整體風險承受能力和具體業務層次上的可接受風險水平之內的風險,在權衡成本效益之后愿意單獨采取進一步的控制措施以降低風險、提高收益或者減輕損失的,可以實行風險降低。企業對在整體風險承受能力和具體業務層次上的可接受風險水平之內的風險,在權衡成本效益之后愿意借助他人力量,采取包括業務分包、購買保險等進一步的控制措施以降低風險、提高收益或者減輕損失的,可以實行風險分擔。風險應對策略與企業的具體業務或者事項相聯系,不同的業務或事項可以采取不同的風險應對策略,同一業務或事項在不同的時期可以采取不同的風險應對策略,同一業務或事項在同一時期也可以綜合運用風險降低和風險分擔應對策略。
在新規范中盡管強調了風險因素、風險應對措施,但對內部控制風險管理的局限性少有論述,沒有考慮到內部控制失效的情況。人們在決策過程的判斷可能有紕漏,有關應對風險和建立控制決策需要考慮相關的成本和效益,類似簡單誤差或錯誤的個人缺失可能會導致故障的發生,控制可能會因為兩個或多個人員的串通而被規避,以及管理當局有能力凌駕于企業風險管理決策之上等.這些局限使得董事會和管理當局不可能就主體目標的實現形成絕對的保證,而只是合理的保證。
