解读《企业内部控制基本规范》

1、财政部副部长王军企业内部控制基本规范解读设置背景1999年，修订后的会计法首次以法律的形式提出了建立和完善内部控制的原则要求。财政部立即制定并发布了7项内部会计控制标准，包括内部会计控制规范基本规范。审计署、sasac、中国证监会、中国银监会、中国保监会和沪深交易所也从不同角度对加强内部控制提出了明确要求。然而，随着市场经济的发展和企业环境的变化，单纯依靠会计控制难以应对企业面临的市场风险，会计控制必须向风险控制发展；同时，需要进一步协调各部门之间的内部控制要求，为内部控制自我评价和外部评价提供统一的标准。此外，在全球化背景下，越来越多的国家认识到，加强企业内部控制制度有助于防范和管理风险，提

2、高经营效率和效益，保证财务报告的可靠性，提高企业实现战略目标的能力，维护投资者的合法权益。美国国会于2002年7月通过的萨班斯奥克斯利法案号法案也对国际企业的内部控制建设产生了积极的影响。在基本规范发布之前，虽然我国一些海外上市企业已经开始按照国际标准建立内部控制制度，但我国企业内部控制制度建设总体上还处于起步阶段，国内还没有统一的内部控制规范。近年来，国内外上市的中国企业相继建立并实施了各具特色的内部控制制度。但是，由于缺乏统一的基本规范，存在内部控制监督需要多个政府部门参与，企业处于亏损状态的情况。在国内资本市场上，由于缺乏统一的内部控制规范，一些上市公司内部控制意识薄弱，也出现了一些企业

3、内部控制失败甚至舞弊的案例，损害了投资者的利益，在市场上造成了不良影响。此外，由于内部控制不规范，银行产生大量不良贷款的情况并不少见。为解决这些问题，财政部会同有关部门于2006年7月15日发起成立了具有广泛代表性的企业内部控制标准委员会，研究和推进企业内部控制标准体系建设。2007年3月2日，企业内部控制标准委员会发布了企业内部控制规范基本规范和17个具体规范的征求意见稿。2008年6月28日，基本规范正式发布。该基本标准的发布标志着企业内部控制标准体系建设的重大突破。重大突破基本规范共有7章50条，每一章都是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和补充规定。基本规范坚持

4、中国国情，借鉴国际惯例，确立了中国企业内部控制建立和实施的基本框架，并取得了重大突破。首先，科学界定内部控制的内涵。强调内部控制是董事会、监事会、经理层和全体员工为实现控制目标而实施的过程，有利于树立全面、全员、全过程控制的理念。二是准确定位内部控制的目标。要求企业在确保经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效益的基础上，努力推动企业实现发展战略。第三，合理确定内部控制原则。要求企业在建立和实施内部控制的全过程中贯彻全面性、重要性、均衡性、适应性和成本效益原则。四是全面构建内部控制要素，强化内部控制的经验五是建立了以企业为主体、政府监管为促进、中介机构审计为重要

5、内容的内部控制实施机制，要求企业实施内部控制自我评价制度，并将各责任单位和全体员工实施的内部控制纳入绩效考核体系；国务院有关监管部门有权对企业内部控制的建立和实施进行监督检查；显然，企业可以委托会计师事务所对其内部控制的有效性进行审计，并出具审计报告。专家解读企业内部控制基本规范一、基本规范制定和颁布的背景安然、世通等财务欺诈和会计欺诈案件的发生，严重影响了美国乃至世界资本市场的正常秩序。内部控制缺陷是导致企业经营失败并最终冒风险欺骗投资者和公众的重要原因。因此，许多国家通过立法加强内部控制，如美国的萨班斯一奥克利法案。内部控制日益成为企业进入资本市场的“准入卡”和“通行证”。在华境外上市公司

6、花费巨资聘请境外机构设计内部控制制度，以满足上市地的监管要求。经济的健康发展迫切要求加强内部控制。内部控制作为公司治理的关键环节和重要的管理手段，对企业的发展和壮大起着重要的作用。然而，从现实来看，许多企业存在管理松散、内部控制弱化、风险频发、资产流失、营私舞弊、流失浪费等突出问题。为了引导企业进一步加强内部控制，1999年修订的会计法首次以法律的形式提出了建立和完善内部控制的原则要求，财政部立即连续制定，但随着市场经济的发展和企业环境的变化，单纯依靠会计控制难以应对企业面临的市场风险，会计控制必须向风险控制发展；同时，需要进一步协调各部门之间的内部控制要求，为内部控制自我评价和外部评价提供统

7、一的标准。因此，研究和制定一套统一的、公认的、科学的内部控制规范是国内外诸多因素共同作用和影响的结果。二、基本规范内容及特征分析基本规范至少有以下四个特征：(1)科学界定内部控制的内涵，强调“全员控制”的基本规范强调内部控制是企业董事会、监事会、经理层和全体员工以实现控制目标为目标而实施的过程，是一个全面、全员、全过程的控制理念。内部控制通过明确企业内部各成员的责任和制定各种交易规则来保护远离企业的一方的合法利益，同时监督交易中的另一方，从而最大限度地实现内部交易的公平和公正。内部控制系统为组织内的特定资产交易建立日常交易管理系统，从而减少游戏的次数和频率，大大降低企业内的交易成本。有效的内部

8、控制是各要素投入主体之间经济利益博弈的必然选择。根据基本规范，企业的每一个管理主体都是控制主体，企业的管理者管理是宏观层面的资源配置，主管部门的管理者管理也是资源配置，员工直接管理一定的资源并在岗位上进行控制。员工是最基层的管理者，是直接控制资源的主体，是企业内部控制的最终落脚点。因此，员工成为控制主体之一，每个员工都必须真诚地使用自己直接控制的资源，保护企业财产和资源的安全，并如实报告各种相关信息。从整个组织的角度来看，(2)准确定位内部控制目标，既适合中国国情，又具有前瞻性的基本规范。要求企业在确保经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效益的基础上，努力推动

9、企业实现发展战略。基本规范从组织最根本的目标出发，充分考虑投资者、债权人和管理者的要求，旨在提高企业的战略管理和自我导向能力。判断现有的内部控制方法、控制对象和控制目标是否相容，它们之间的对应关系，这些目标的不同层次，每一层次的具体控制要素，以及相应的配套措施；考虑哪些目标水平更可控，哪些目标水平受其他系统影响更大；它具有渐进和适合国情的特点。基本规范的最终目标在于实现企业发展战略，而发展战略的实现需要战略思维，这需要考虑：企业对自己的前景有什么期望；什么是使命，什么是核心竞争力；可以利用哪些机会；如何利用新技术增强竞争力；需要考虑哪些相关的经济因素；竞争能带来什么；监管环境能带来什么好处；是

10、否通过并购、合资、合作等方式获得战略优势。(3)协调内部控制要素建设，有机整合国际先进经验和基本规范，构建以内部环境为重要基础、风险评估为重要环节、控制活动为重要手段、信息沟通为重要条件、内部监督为重要保障的五要素内部控制框架，相互关联、相互促进。该框架主要有以下两个特点：1 .该框架有效地整合了公司治理结构、内部控制和风险管理之间的关系，并归结为风险控制基本规范还强调风险管理与内部控制的密切关系，规定企业应按照设定的控制目标全面系统地收集相关信息，并根据实际情况及时进行风险评估；应准确识别与控制目标实现相关的内部风险和外部风险，并确定相应的风险承受能力。根据风险发生的可能性及其影响程度，采用

11、定性和定量的方法对识别出的风险进行分析和排序，确定控制风险的重点和重点；根据风险分析结果，结合风险承受能力，权衡风险和收益，确定风险应对策略；应综合运用风险规避、风险降低、风险分担和风险容忍度等风险应对策略，实现风险的有效控制；结合不同发展阶段和业务发展，不断收集风险变化相关信息，进行风险识别和风险分析，及时调整风险应对策略。因此，内部控制本质上是一种解决内部代理问题和实现组织目标的内部风险控制机制。当然，内部控制不同于风险管理。风险管理的首要工作是风险规划，而风险控制是在既定风险规划的前提下进行的各种控制活动；除内部风险控制外，风险控制还包括外部风险控制。综上所述，无论是内部控制、公司治理还

12、是风险管理，它都是为了控制企业可能面临的各种风险而产生的。随着自然人企业向法人企业的转变，企业的组织层面发生了变化，相应的风险控制也从员工层面向经理层、董事会甚至股东大会转变，风险控制也从内部控制向公司治理发展。在更高层次的企业中，他们的主要责任是做出经营决策，因此公司治理更注重决策的合理性，即非理性决策的风险；早期企业面临的主要风险是财产侵占和信息欺诈，风险控制的主要任务是确保财产安全和信息真实性。然而，现代企业财产安全控制体系和信息系统不断建立和完善，企业面临的主要风险已经转变为市场竞争风险，风险控制更加注重战略风险和操作风险。从这个意义上说，内部控制、公司治理和风险管理都属于企业管理的范

13、畴，都是为了风险控制。2.内部控制基本规范的五要素框架体现了“价值创造取向”(1)风险识别和应对作为价值驱动因素包含在框架中，风险分担和风险容忍度的概念在价值导向的内部控制框架中具有重要意义。根据基本规定，企业应合理分析和准确把握董事、经理等高级管理人员和关键岗位员工的风险偏好，并采取相应的控制措施，避免因个人风险偏好而造成重大损失。风险偏好是企业在向利益相关者提供价值的过程中愿意承担的风险水平，它通常与企业战略相关联，是一种与业务目标(增长)和财务目标(回报)相平衡的可接受的风险。企业在制定内部控制战略目标时，应确定并选择与战略目标相一致的风险偏好。风险容忍度是对目标实现的可接受的偏离，是可

14、以衡量的。为了抓住商机，管理者需要积极面对风险，愿意并善于接受风险。这包括与价值创造活动相关的政策、程序和方法。(2)价值导向框架延续了信息和沟通的要素，信息范围的定义与控制目标一致。从价值创造的角度来看，信息的范围包括来自内部和外部的所有与管理相关的财务和非财务信息，它们都基于有效的分析。该框架还特别强调与利益攸关方的信息交流。在描述信息和通信的要素时，基本规范注重管理信息系统的功能，因为有效的信息和通信依赖于一个集成和共享的信息平台。同时，还规定企业应建立反欺诈机制、举报投诉制度和举报人保护制度。(3)基本规范框架强调绩效评价和激励，即评价控制标准的实施结果(包括既定目标和预算、风险承受水

15、平等)。)的基础上进行信息传递和反馈，并根据评价结果进行奖惩。绩效评价是衡量控制目标的实现程度，体现结果导向管理。绩效评价是全面的，既有财务指标又有非财务指标，并与控制目标相结合；基本规范中规定的激励内容是广泛的，包括物质激励和非物质激励，其中最重要的是工作激励。(4)内部监督程序的设计和运作也必须基于实现既定目标的原则。根据基本规范，企业应根据本规范及其配套措施制定内部控制和监督制度，明确内部审计机构(或其他授权监督机构)和其他内部机构在内部监督中的职责和权力，规范内部监督的程序、方法和要求。首先，企业应该制定企业应根据内部监督情况，定期对内部控制的有效性进行自我评价，并出具内部控制自我评价

16、报告。其次，基本规范对内部审计提出了更高的要求：监督和检查内部控制的有效性；内部审计机构应当按照企业内部审计程序报告监督检查中发现的内部控制缺陷；监督检查中发现的内部控制重大缺陷，有权直接向董事会、审计委员会和监事会报告。这扩大了内部审计的职责和权限，保证了企业全面风险管理体系的正常运行，建立了风险管理的后续评估和持续改进机制。(四)基本规范提出了切实可行的内部控制实施机制基本规范建立了以企业为主体、政府监管为促进、中介审计为重要组成部分的内部控制实施机制。要求企业实施内部控制自我评价制度，披露年度自我评价报告，并将各责任单位和全体员工的内部控制执行情况纳入绩效评价体系；国务院有关监管部门有权

17、对企业内部控制的建立和实施进行监督检查；显然，企业可以委托会计师事务所对其内部控制的有效性进行审计，并出具审计报告。这充分体现了在实施基本规范中引入信息机制和声誉机制、强化检查监督机制、落实内部控制责任主体、严格责任追究和严格奖惩机制的特点。第三，基本规范满足不同主体对内部控制的需求，形成内部控制的理论结构注册会计师、企业管理者、企业投资者和潜在投资者、外部监管者以及供应商、代理人和债权人等更多的利益相关者，不仅关注企业的财务报表，也更加关注企业的经营状况。他们自然需要内部控制，基本规范的发布满足了他们对内部控制的需求。注册会计师是内部控制理论研究的倡导者和推动者。主要目的是提高审计效率，降低审计成本，重视企业内部控制中与财务报表审计相关的部