中外内部控制与风险管理理论与实务比较.docx

中外内部控制与风险管理理论与实务比较张玉 中外内部控制与风险管理理论与实务比较国际内部控制协会中国合作伙伴首席代表国际内部审计师协会沟通咨询委员会委员 张玉 摘 要我们正处在内部控制和风险管理的理论与实务发生巨大变革的时代，需要明确今天的内部控制与过去的内部控制存在哪些继承与发展，内部控制与风险管理有哪些区别与融合。本文通过中外内部控制法规制度与职业标准比较，进而从内部控制目标、业务流程活动控制、总体层面合规性评估和注册内部控制师职业队伍建设四个方面对内部控制与风险管理实务进行比较，从而得出结论：今天的内部控制已不再是企业的内部行为，而是受到政府监管机构的监管和投资大众普遍关注的透明度极高的公司治理行为，成为企业防范风险，实现既定目标的免疫系统。 关键词内部控制；风险管理；企业内部基本规范；国际内部控制协会 历史是螺旋式向上发展的。我们正处在内部控制和风险管理的理论与实务发生巨大变革的时代，今天的内部控制与过去的内部控制存在哪些继承与发展，内部控制与风险管理有哪些区别与融合，这是许多研究内部控制的专家学者和实务工作者正在思考和力图求证的一个重要问题。国际内部控制协会(Internal Control Institute，英文简称ICI)会长威廉E佩里先生(Willian E. Perry )在国际注册内部控制师通用知识与技能指南致辞中指出：“全球从事内部控制相关工作的大多数人都没有受过现代内部控制定义的适当教育或训练。值得注意的是，大多数的审计师，无论是独立审计师还是内部审计师，接受过的只是内部控制财务定义方面的培训”。下面从法规制度、职业标准和实务两个方面，通过比较来发现新旧内部控制区别和中外内部控制与风险管理理论与实务方面的一些差异。 一、内部控制的法规制度与职业标准比较(一)国际（以美国为代表)内部控制部分法规制度及职业标准（表1）表 1 法规制度与职业标准名称颁发机构与时间与内控与风险管理相关的内容及意义反海外贿赂行为法美国国会、1977年该法案明确规定：内部控制不是会计部门的责任，而是美国公司董事会的责任。该法案确认的内部控制目标主要涉及授权、记录、使用资产和资产的会计责任四个领域内部控制-整合框架COSO、1992年C0SO内部控制-整合框架构建了由三大目标和五项要素组成的内部控制框架。该框架的发布和广泛采用标志着内部控制从理论和实务走出审计范畴，从而成为企业整个管理体系的有机组成部分，该框架同时也为企业内部控制评价提供了指导企业风险管理-整合框架COSO、2004年9月COSO企业风险管理-整合框架构建了由四大目标和八项要素组成的企业风险管理框架，实现了内部控制5 要素与风险管理8 要素的有机结合，其重点是强化内部控制环境和风险应对问题萨班斯-奥克斯利法案美国国会、2002年7月萨奥法案是1933年以来美国证券立法中影响最深远的法案。它通过加强上市公司财务信息披露的可靠性和内部控制的有效性，确保审计师的独立性以及改善公司治理结构来重获投资者的信心。成立新的监管机构一上市公司会计监督机构-上市公司会计监督委员会( PCAOB）加强对上市公司和独立审计师的监管财务报表审计相融合的内部控制审计（简称第5号审计准则）PCAOB、2007年5月指引审计师将审计重点放在最重要的内部控制事件的审计。要求审计师重点关注公司内部控制中那些可能会导致财务报告中的重大错报不能被发现或预防的高风险领域，并沿用了第2号审计准则指南中强调的从上到下的审计方法关于管理层报告财务报告内部控制的指引美国证券交易委员会(SEC) 2007年6月为了对管理层有关财务报告内部控制的评价（evaluation）和评估（assessment）提供指引。该指引提出了一种万法，管理层可以据以对财务报告内部控制实施自上而下、以风险为基础的评价金融工具公允价值计量审计和利用专家工作的相关问题PCAOB、2007年12月PCAOB 发布了审计实务提示( Staff Audit Practice Alert)第2 号金融工具公允价值计量审计和利用专家工作的相关问题。该提示是在美国次贷危机的背景下发布的，主要为了提醒注册会计师注意美国公允价值会计审计准则中的有关规定 （二)我国与内部控制相关的部分法规制度(表2)表 2 法规与指引名称颁布机构与时间与内控与风险管理相关的内容证券公司内部控制指引（修订发布）中国证监会、2OO3年12 月引导证券公司规范经营，完善证券公司内部控制机制，增强证券公司的自我约束能力，推动证券公司现代企业制度设，防范和化解金融风险证券公司融资融券业务试点内部控制指引中国证监会、2006年6月30 日指导证券公司建立健全融资融券业务试点的内部控制机制，防范与融资、融券业务有关的各类风险商业银行内部控制指引中国银监会、2007年7月3日该指引首次提出要对内部控制进行全流程评价，将内部控制体系的五项要素有机地联系在一起银行业金融机构信息系统风险管理指引和商业银行操作风险管理指引中国银监会、2006 年、2007 年银监会先后发布了银行业金融机构信息系统风险管理指引和商业银行操作风险管理指引，为银行业金融机构的操作风险管理提出系统性的要求和指导上海证券交易所上市公司内部控制指引上证交易所、2006年6月5日该指引要求上市公司应从2006年年度报告起披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见深圳证券交易所上市公司内部控制指引深交所、2006年9月28 日加强上市公司内部控制，促进上市公司规范运作和健康发展，保护投资者合法权益。上市公司应当在扣O7年6月30日之前，建立健全公司内部控制制度中央企业全面风险管理指引国资委、2006年6月从国有企业管理实践的内在需求以及国有资产出资人监管的角度出发，对中央企业开展风险管理工作的目标，全面风险管理体系建设的内容、流程以及工具和方法进行了详细阐述，并提出了明确的执行要求企业内部控制基本规范财政部等五部委、2OO8年5 月我国第一部加强和完善企业内部控制系统，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益的重要法规文件 (三)比较得出的结论 1.从法规制度的层次上看，国际与内部控制相关的立法层次较高，其中1977年的反海外贿赂行为法和2002年的萨班斯一奥克斯利法案是美国国会通过的法律；而我国与内部控制相关的法规层级大多是部门规章和行业主管部门发布的指引。 2.从法规制度的体系看，国际内部控制的法规制度和职业标准形成一个较为完整的体系，除国家立法外，监管机构如SEC、PCAOB 发布的审计准则、实务提示。美国的行业社团组织，例如，COSO发布框架性指导文件，增强企业和独立审计师执行内部控制法规的可操作性。我国与企业内部控制相关的法规制度还未形成一个完整的体系，未能从根本上解决内部控制法规如何落地和有效实施的问题。3.从内部控制与风险管理融合的角度看，COSO的两个框架实现了内部控制5 要素与风险管理8 要素的有机结合，通过强化内部控制环境，明确企业内部控制系统的层级制度和相应责任，增强企业全员应对风险的主体意识，促使管理层在充满风险的环境中更有效的运营。美国证券交易委员会发布的关于管理层报告财务报告内部控制的指引为企业管理层对财务报告内部控制实施自上而下、以风险为基础的评价提供一种方法。相比之下，我国国资委与财政部分别发布中央企业全面风险管理指引和企业内部基本规范，二者之间未进行有效整合。这种现象对企业增加了实施难度和系统设置的成本，不利于企业在设计内部控制系统的各项活动时，将内部控制与风险管理的具体要求有效地进行整合，因而也不利于内部控制系统有效地推行和持续监控。 4.从实务标准的可操作性看，美国行业主管机构和协会制定的实务标准时效性和可操作性较强，例如，在美国次贷危机的背景下，PCAOB发布了金融工具公允价值计量审计和利用专家工作的相关问题，提醒注册会计师注意美国公允价值会计审计准则中的有关规定。相比之下，我国企业内部控制建设缺乏操作性强的实务标准、指南和框架。例如，上证所和深交所在2006 年分别发布了上海证券交易所上市公司内部控制指引和深圳证券交易所上市公司内部控制指引，但由于缺乏具体评价指标体系，故披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见的上市公司数目远远低于深沪两市上市公司的总数。 二、内部控制与风险管理实务比较 与当年颁布萨班斯-奥克斯利法案在美国IT 业、审计与咨询业引发的狂热和持久的法规遵从效应截然不同的是我国的上市公司、IT业、审计及咨询业对企业内部控制基本规范的反应比较冷静，大多在观望和等待具体规范的出台。为何同样的命题，换了一个环境，效果反差如此巨大？其主要原因是：这部基本规范的条款十分原则，缺乏可操作性。以下从内部控制的目标、业务流程活动控制、总体层面有效性评估、内部控制师职业队伍的建立四个方面进行比较，以便更好地了解中外内部控制与风险管理实务方面的差异。 (一)内部控制的目标 COSO内部控制整合框架提出了运营、财务、合规三个方面的内部控制目标，COSO企业风险管理一一整合框架在上述三类目标的基础上增加了战略目标。在遵从COSO两个框架的目标方面，目前国际内部控制，实务涉及的企业运营活动的全过程，重点关注与公司治理密切相关的内部控制环境建设和加强风险管理，把控制环境作为内部控制的基础，以此解决以往的内部控制制度“控下不控上”的缺陷。国际内部控制协会的评估方案框架明确指出：“如果控制环境很薄弱，系统控制和交易处理控制可信赖的程度就很低，评估师则需要现场作业期间实施更多的测试”。 我国内部控制目标在实施过程中仍局限于财务目标和合规目标，这体现了规避审计风险的需求和政府监管导向。一方面，我国企业内部控制具体规范的重点是引导企业加强以财务报告内部控制为主线的相关标淮建设，主要强调硬性控制手段和措施。另一方面，自2008年开始，国资委选择部分中央企业开展编制企业风险报告，目的是希望通过定期的风险辨识、分析、评价等检测手段，对企业已经存在的各类风险，尤其是重大风险做到早发现、早化解。显然，在实施我国企业内部控制具体规范和中央企业全面风险管理指引过程中，由于忽视了运营目标和战略目标，企业很难将内部控制目标与企业的经营管理和战略发展相结合，因而也难以调动企业完善内部控制系统建设的积极性。 (二)业务流程活动控制 纵观我国企业内部控制具体规范，内部控制是按照一个一个业务环节确定关键控制点，设置相应的控制措施，内容涵盖固定资产、存货、货币资金、预算、合同、销售与收款、成本与费用、采购预付款、筹资、担保、对外投资、工程项目、对子公司的控制、计算机信息系统、人力资源政策、信息披露、财务报告编制、关联交易、资产减值、公允价值、企业合并与分立、衍生工具、中介机构聘用和3 项有关评价标准、实施办法。这是控制在业务实施层面的细节体现，并且主要局限在财务会计控制的范畴。由于缺乏整体观，没有把内部控制视为业务流程活动管理的组成部分，因而难以形成一个整体的、动态的和可持续的内部控制系统。 COSO的内部控制框架包括了控制环境、风险评估、控制活动、信息和沟通、监控五个相互关联的组成部分。由于企业的内部控制系统因所处行业、经营性质、规模、文化和管理方式的不同而明显不同，COSO 框架建立在用于理解业务活动和价值链分析的某个模式之上，它没有为如何实现有效的内部控制提供解决方案或指明捷径。为了使企业在建立内部控制系统时，更好地梳理业务流程，国际内部控制协会在总结企业运营活动共性的基础上，以制造型企业的业务循环为例，将业务流程活动控制分为支出周期、收入周期、生产/转化周期、融资周期和对外财务报告周期这五个循环系统，其中生产/转化周期是唯一一个生产企立和非生产企业的循环，见图1 国际内部控制协会评估方案框架。图 1 国际内部控制协会评估方案框架 显而易见，如果将我国企业内部控制具体规范26项内容分门别类地归入这五个周期的循环系统，再加上一个流程管周期，企业内部控制系统业务层面的设计、流程描述、执行和评估都会更简便和清晰，并将随企业经营环境、具体业务和财务的流程变化及时进行更新。 (三)总体层面合规性评估内部控制总体层面的合规性评估是向企业管理层提供关于本企业内部控制有效性声明的依据。萨奥法案最严历、最复杂、最富有争议的部分当属404条款。根据萨奥法案404条款的规定，公司管理层应当承担建立和维护一个针对财务报告职能行之有效的内部控制程序的责任，上市公司必须在年中提供内部控制自评报告，而负责公司年度报表审计的会计师事务所应当就此出具内部控制评价报告。在总体层面合规性方面，我国在美国上市公司的主要精力放在应对萨奥法案404 条款的合规要求方面，重点是对财务报告系统内部控制有效性进行评估。 相比之下，美国上市公司总体层面的合规性评估的内容和范围远远超过我国企业。国际内部控制协会在内部控制衡量与报告中，要求对遵从萨奥法案遵从性的检查应从七个方面考虑内部控制系统对企业的影响。这七个方面如下所示：改善公众对公司会计和财务报告的信任感；促使公司高级管理层对其行为更加负责；增强财务报告系统内部控制有效性；鼓励和支持自行检举者；保留必需的证据；增强董事会，尤其是审计委员会的监管职责；增强独立审计师的独立性。(四)注册内部控制师职业队伍建设企业内部控制渗透于整个组织的运营活动。内部控制系统建设涉及公司治理、风险管理、业务流程活动、信息系统流程、企业文化建设、监控等领域。目前，我国企业内部控制系的设计主要有三种形式：外包给四大会计师事务所；企业自行设计；自行设计与外包相结合。由于第一种形式耗资巨大，导致合规性成本过高，因此，一些企业采用后两种形式开发设计内部控制系统。由于缺乏内部控制系统设计专业人才，目前内部控制系统的设计大多由内审人员牵头负责。这样做的缺陷是：内部控制系统的设计、执行和评估存在“运动员和裁判员角色分离”的原则，由内审人员设计和执行的内部控制框架，势必会遭遇其此后不能充当内部控制系统“评估员”，内部控制系统的维护和更新也超出其职责范围的尴尬局面。 2008年6月，COS0 发布了附加指南：监控内部控制系统指南(Guidance on Monitoring Internal Control Systems）。 COSO 在这一指南中指出，需要这样一个组织架构，既能考虑到管理层和董事会的监控作用，也必须使用具备适当能力、客观性和授权的“评估师”（evaluators）。评估师可以是经过专门训练的专业人士(例如，内部审计师)，但他们应当独立于运营活动；或者是组织机构中作为日常工作职能各个领域的一部分人员，由他们负责监督流程，或某些控制措施的执行。评估师要求具备足够的专业技能，知识和权限，同时要对内部控制所管控的风险有足够的了解。“那么，谁将成为未来内部控制系统的评估师? 管理层如何才能确保建立和评估他们组织内部控制系统的适当性，并确认哪些个人能胜任工作？答案是聘用接受过内部控制专业组织良好教育、培训和认证的职业人士”国际内部控制协会是萨奥法案出台后在美国成立的专门致力于内部控制和公司治理的教育组织和智囊机构。该协会的国际注册内部控制师资格认证项目建立了全球内部控制职业人士最初的资格标准和职业胜任能力持续改进的要求，并在全球逐步推广国际注册内部控制师资格认证项目和内部控制咨询与评估活动。国际注册内部控制师(Certified Internal Control Specialist, CICSCertified Internal Control Professional, CICP) 与传统意义上的审计师、会计师、质量工程师、评估师的不同