解读《企业内部控制基本规范》.doc

财政部副部长王军解读企业内部控制基本规范制定背景1999年，修订后的会计法第1次以法律的形式对建立健全内部控制提出原则要求，财政部随即连续制定发布了内部会计控制规范基本规范等7项内部会计控制规范，审计署、国资委、证监会、银监会、保监会以及上海、深圳证券交易所等也从不同角度对加强内部控制提出明确要求。然而，随着市场经济的发展和企业环境的变化，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向风险控制发展；同时，各部门之间的内控要求也有待于进一步协调，以便为进行内部控制自我评估和外部评价提供统一标准。另外，在全球化背景下，越来越多的国家意识到，强化企业内部控制系统将有助于防止和管理风险、提高运营的效率和效果、确保财务报告的可靠性、提高企业战略目标的能力并维护投资者的合法权益。2002年7月美国国会通过的萨班斯奥克斯利法案也对目前国际上各国企业内控建设产生积极影响。在基本规范发布前，尽管我国一些海外上市的企业已经开始按照国际准则进行企业内部控制体系建设，但我国企业内部控制体系建设总体处于起步阶段，国内一直没有统一的内控规范。近年来，在境内外上市的中国企业陆续建立并实施各具特色的内控制度，但由于缺乏统一的基本规范，存在内控监管要求政出多门、企业无所适从的状况。在国内资本市场中，由于没有统一的企业内部控制规范，加上一些上市公司内部控制意识淡薄，也出现了一些企业内部控制失效甚至舞弊的案件，损害了投资者利益，在市场上造成了恶劣影响。此外，由于企业内部控制不规范而使银行产生大量不良贷款的现象也屡见不鲜。针对这些问题，财政部会同有关部门于2006年7月15日发起成立具有广泛代表性的企业内部控制标准委员会，研究推动企业内部控制规范体系建设问题。2007年3月2日，企业内部控制标准委员会公布企业内部控制规范基本规范和17项具体规范的征求意见稿。2008年6月28日，基本规范正式发布。此次基本规范的印发，标志着企业内部控制规范体系建设取得重大突破。重大突破基本规范共7章50条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。基本规范坚持立足我国国情、借鉴国际惯例，确立了我国企业建立和实施内部控制的基础框架，并取得了重大突破。一是科学界定内部控制的内涵。强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，有利于树立全面、全员、全过程控制的理念。二是准确定位内部控制的目标。要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上，着力促进企业实现发展战略。三是合理确定内部控制的原则。要求企业在建立和实施内部控制全过程中贯彻全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。四是统筹构建内部控制的要素，有机融合世界主要经济体加强内部控制的做法经验，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。五是开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制，要求企业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系；国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查；明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计，出具审计报告。专家解读企业内部控制基本规范一、基本规范制定和出台的背景安然、世通等财务舞弊和会计造假案件的发生，严重冲击了美国乃至国际资本市场的正常秩序，内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。为此，许多国家通过立法强化企业内部控制，如美国的萨班斯一奥克利法案等，内部控制日益成为企业进入资本市场的“入门证”和“通行证”，我国境外上市企业纷纷花巨资聘请海外机构设计内部控制制度，以适应上市地的监管要求。经济的健康发展迫切呼唤加强内部控制。内部控制作为公司治理的关键环节和经营管理的重要举措，在企业发展壮大中具有举足轻重的作用，但从现实情况看，许多企业管理松弛、内控弱化、风险频发，资产流失、营私舞弊、损失浪费等问题还比较突出，为了引导企业进一步加强内部控制，1999年修订的会计法，第一次以法律的形式对建立健全内部控制提出原则要求，财政部随即连续制定发布了内部会计控制规范基本规范等7项内部会计控制规范。但是，随着市场经济的发展和企业环境的变化，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向风险控制发展；同时，各部门之间的内控要求也有待于进一步协调，以便为进行内部控制自我评估和外部评价提供统一标准。所以，研究、制定一套具有统一性、公认性和科学性的企业内部控制规范，是国内外多种因素共同作用、共同影响的结果。二、基本规范内容及特点解析基本规范至少有如下四个特点：（一）科学界定内部控制的内涵，强调“全员控制”基本规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，是一种全面、全员、全过程控制的理念。内部控制通过明确企业内部各成员的职责，以及制定各种交易规则，保护距离企业较远一方的正当利益，同时对交易另一方进行监督，最大限度维护企业内部交易的公正和公平，内部控制系统通过对组织内部的资产专用性交易制定日常交易管理制度，减少博弈数量和频率，大大降低企业内部的交易费用。有效的内部控制是所有要素投入主体之间经济利益博弈的必然选择。基本规范认为，企业的每个管理主体就是控制主体，经营者对企业的管理是宏观层次的资源配置，管理者对其所负责部门的管理也是资源配置，员工则是在其岗位上直接操持一定的资源并实现对资源的控制，员工是最基本的管理者，是直接对资源进行控制的主体，而且是企业内部控制的最终落脚点。所以员工也就成为控制主体之一，每一个员工必须最大善意地使用自己直接控制的资源，保护企业财产和资源的安全，如实报告各种相关信息。从组织的全体来看，至下而上的全员控制有助于改善内部信息不对称，由此受益的不仅仅是一般员工；对管理者的不同层次来说，同样也可以减少信息不对称造成的控制困难。因此可以说“人人都是控制者”。（二）准确定位内部控制的目标，既适合我国国情又具有前瞻性基本规范要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上，着力促进企业实现发展战略。基本规范从组织最根本的目标出发，充分考虑投资者、债权人、管理者的要求，以提高企业战略管理和自我引导能力为目的，判断现有的内部控制方法、控制对象与控制目标是否相容，及其之间存在的对应关系，这些目标的不同层面，每个层面作用的特定控制要素，相应的配套措施；考虑了哪些目标层面的可控性更强，哪些目标层面受其他系统的影响更多等；具有循序渐进、适合国情的特点。基本规范目标最终定位于企业发展战略的实现，发展战略的实现需要进行战略思维，这就需要考虑：企业对其前景做了哪些瞻望；使命是什么，核心竞争力是什么；有哪些机遇可以利用；怎样运用新技术加强竞争力；需要考虑哪些相关的经济因素；从竞争中能期望什么；从监管环境中能获取哪些好处；能否通过合并、合资及合作等方式取得战略优势等。（三）统筹构建内部控制的要素，有机融合国际先进经验基本规范构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。这个框架主要有以下两方面特点：1、该框架有效整合了公司治理结构、内部控制与风险管理的关系，将三者归结为风险控制基本规范也凸显了风险管理与内部控制的密切联系，规定企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估；应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度；应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险；应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略；应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制；应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。所以，内部控制本质上是解决组织内部代理问题、实现组织目标的一种内部风险控制机制。当然，内部控制不同于风险管理，风险管理的首要工作是风险计划，风险控制是在风险计划既定的前提下所开展的各种控制活动；风险控制除了包括内部风险控制之外，还包括外部风险控制。综上所述，无论是内部控制、公司治理还是风险管理，都是为了控制企业可能面临的各种风险而产生的，伴随企业由自然人企业向公司制企业过渡，企业的组织层次发生变化，相应的风险控制也由员工层次向经理层、董事会以至股东大会转换，风险控制也由内部控制发展为公司治理；在企业较高层次，其主要的职责是经营决策，所以公司治理更多地关注决策理性，也就是决策非理性的风险；早期企业面临的主要风险是财物侵吞和信息欺诈风险，风险控制的主要任务是保证财产安全和信息真实，而现代企业财物的安全控制体系和信息体系不断地建立健全，企业面临的主要风险已转变为市场竞争风险，所以风险控制就更加关注战略风险和经营风险。从这个意义出发内部控制、公司治理、风险管理都属于企业管理的范畴，都是为了进行风险控制。2、基本规范的内部控制五要素框架体现了“价值创造导向”（1）风险识别与应对作为价值驱动因素被纳入框架，风险分担和风险承受等概念在价值导向型内部控制框架中的意义重大。基本规范规定，企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。风险偏好是企业在向相关者提供价值的过程中所愿意承受的风险水平，通常与企业战略相关联，是与企业经营目标（增长）和财务目标（报酬）相平衡的可接受风险。企业在制定内部控制战略目标时，应该确定和选择一个与战略目标相一致的风险偏好。风险承受是相对于目标的实现而言所能接受的偏离程度，风险承受能够被计量，为了捕捉商业机会，需要管理者积极地面对风险，愿意并有技巧地接受风险。这其中涵盖了与价值创造活动有关的政策、程序和方法。（2）信息与沟通要素被价值导向框架继续沿用了，信息范围的界定与控制目标是一致的，从价值创造的视角看，信息的范围包括了来自内部和外部的所有与管理相关的财务与非财务的信息，并且都是建立在对之有效分析的基础上。框架还特别强调了与利益相关者的信息沟通。基本规范在描述信息及沟通要素时，关注了管理信息系统的作用，因为有效的信息及沟通要借助于一体化的、共享的信息平台。同时还规定企业应当建立反舞弊机制、举报投诉制度和举报人保护制度。（3）基本规范的框架强调了绩效评价与激励，这是对控制标准（包括所制定的目标和预算、风险承受水平等）的实施结果在信息传递与反馈基础上进行的评价，并根据评价结果进行奖励或惩罚。绩效评价是衡量控制目标的实现程度，体现以结果为导向的管理。绩效评价是综合性的，既有财务指标又有非财务指标，并与控制目标相结合；基本规范规定的激励内容是宽泛的，既包括物质激励又包括非物质激励，其中重要是职务激励。（4）内部监督程序的设计和运行也必须本着达到既定目标的原则。基本规范规定，企业应根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。首先，企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。企业应结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。其次，基本规范对内部审计提出了更高的要求：对内部控制的有效性进行监督检查；内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。这拓展了内部审计的责权、保证了企业全面风险管理体系的正常运行、建立了风险管理的后续评价和持续改进机制。（四）基本规范提出了切实可行的内部控制实施机制基本规范建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制，要求企业实行内部控制自我评价制度，披露年度自我评价报告，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系；国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查；明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计，出具审计报告。这充分体现了基本规范在实施过程中适当的引入了信息机制和声誉机制、强化检查监督机制，落实内控责任主体和严格问责和实施严厉的奖惩机制的特点。三、基本规范满足了不同主体对内部控制的需求，形成了内部控制的理论结构注册会计师、企业管理者、企业的投资者和潜在的投资者、外部监管者以及更多的利益相关者如供应商代理商债权人等不仅关注企业的财务报表，更关注企业的经营运作，他们也就自然产生了对内部控制的需求，基本规范的发布满足了他们对内部控制的需求。注册会计师是内部控制理论研究的发起者和推动者，他们主要是为了提高审计的效率，降低审计的成本，关注企业的内部控制中与财务报表审计有关的部分；企业管理者是企业的实际经营者，他们需要一整套有效控制所辖资源的制度、程序和方法，以