摘要:本文试将美国颁布的有关企业内部控制与风险管理的《萨班斯法案》和COSO《企业风险管理综合框架》与中国目前正在制定的《企业内部控制规范》作为对象,比较中美内部控制的制定背景、要素、目标及基本框架等,得出中国内控与美国比较完善的内控体系差距较大,中国内部控制的发展任重而道远;而《企业内部控制规范》会使中国企业内部控制规范趋同于国际发展潮流,会增强我国在内部控制国际协调的影响力和话语权。
关键词:内部控制 《萨班斯法案》
COSO《企业风险管理综合框架》 《企业内部控制规范》
一、 引言
内部控制是企业的一项重要制度安排,是一种特殊形式的管理制度。它对内防避兴利、保护资产,对外为注册会计师及政府提高审计效率提供有效途径。而经济全球化、科技日新月异和竞争的白热化等引发的不确定性使风险管理成为企业管理的重要组成部分。尤其是21世纪初美国安然、世通等一些大型公司财务丑闻的出现,促使美国甚至世界重新审视公司内部控制及企业风险管理。2002年美国的《萨班斯法案》和2004年COSO《企业风险管理综合框架》的发布,是国际上有关内部控制和风险管理的最新进展。在我国,虽然在1999年修订的《会计法》中就以法律的形式对建立内部控制提出原则要求,随后财政部连续发布《内部会计控制-基本规范》等7项内部会计控制规范,但仍缺少一套系统的企业内部控制体系,当今市场经济的快速发展和企业环境的变化迫切要求会计控制向风险控制发展,于是在国际国内多种因素共同作用下,我国财政部于2004年底开始起草制定《企业内部控制规范》,该规范是中国版(《萨班斯法案》与COSO《企业风险管理综合框架》结合体)的内控规范,是我国的内部控制体系。本文就是以《萨班斯法案》和COSO《企业风险管理综合框架》与我国正在制定的《企业内部控制规范》为对象,将中美内控从不同的角度加以比较分析。
二、美国《萨班斯法案》及COSO《企业风险管理综合框架》与我国的《企业内部控制规范》制定背景之比较
1、美国《萨班斯法案》及COSO《企业风险管理综合框架》的制定背景
进入21世纪以来,以安然、世通等公司为代表的一些美国大型公司,因财务信息造假等行为而相继倒闭破产,导致美国资本市场诚信危机,彻底击破了美国号称是最完善资本市场的神话,在世界引起了极大反响。为了恢复投资者对证券市场及政府经济政策的信心和进一步规范资本市场的运行,以保证经济健康持续的发展,美国国会以前所未有的速度,于2002年7月25日通过了《萨班斯-奥克斯利法案》(简称之《萨班斯法案》) 。该法案中的最大举措是设立公众公司会计监督委员会,该法案改革力度之大,影响范围之广,以至于布什总统认为该法案是自罗斯福总统以来美国商业界影响最为深远的改革法案。
2004年9月COSO《企业风险管理综合框架》也是在美国爆发的这一系列财务丑闻事件的背景下,为了强化风险意识,加强企业风险管理,建立企业风险管理体制而颁布的。在实践中,由于经济全球化、科技发展和竞争激烈等所引发的不确定性,使得风险无处不在、无时不有, 从而也使风险管理成为企业管理的重要组成部分。同时,财务丑闻和经济案件的出现使得随后出现的法律、法规、各种各样准则和制度都在强调公司内部控制和风险管理, COSO委员会顺应了这一历史潮流, 在1992年《内部控制整体框架》(亦称COSO法案)的基础上, 于2004年9月29日发布了《企业风险管理综合框架》( ERM ), 也被称为新COSO法案。
2、我国的《企业内部控制规范》制定背景
我国内控体系建设始于2004年底,2005年7月至2006年6月,初步勾勒出了企业内部控制基本规范的原则框架,并于2006年7月开始全面起草征求意见稿。同月,财政部发起设立了企业内部控制标准委员会,中国注册会计师协会发起成立了会计师事务所内部治理指导委员会。我国之所以加快制定《企业内部控制规范》,是国际国内多种因素共同促进的结果。
首先,国际资本市场大力强化内部控制,美国财务舞弊和会计造假案件的发生,严重冲击了美国乃至国际资本市场的正常秩序。为了规范资本市场,促进其健康发展,许多国家通过立法强化企业内部控制,内部控制日益成为企业进入资本市场的“入门证”和“通行证”。其次,经济健康发展迫切呼唤加强内部控制。内部控制作为公司治理的关键环节和经营管理的重要举措,在企业发展壮大中具有举足轻重的作用。但从现实情况看,我国企业内控控制环境较差,许多企业管理松弛、内控弱化、风险频发,资产流失、营私舞弊、损失浪费等问题比较突出,上市公司内部控制信息披露存在各种缺陷,很大程度上流于形式,无实质内容,严重阻碍了资本市场的健康发展。而在当前市场经济的迅猛发展和企业环境日新月异的背景下,单纯依赖会计控制已难以应对企业面对的市场风险,会计控制必须要向风险控制发展。同时,国务院领导高度重视内部控制制度建设,多次作出批示,同意由财政部牵头,联合证监会及国资委,研究制定一套完整公认的企业内部控制指引,同时多部门和组织及个人的积极参与,为构建我国企业内部控制标准体系提供了组织和机制保障。综合以上多种因素的影响,我国制定内部控制体系的时机基本成熟,一套完善的企业内部控制体系呼之欲出。
三、中美内部控制要素差异之比较
1、美国内部控制要素
早在20世纪90年代美国发布的《内部控制-整体框架》报告中就提出了内部控制由五要素组成,即:控制环境、风险评估、控制活动、信息与交流、监控。而《萨班斯法案》和新COSO法案是在内部控制和风险管理方面的最新进展,新COSO法案将内部控制与风险管理相互融合,使内部控制理论向前迈了一大步,将企业风险管理的要素在对COSO报告五要素改进的基础上,提出内部环境、目标设定、事件识别、评估风险、应对风险、控制活动、信息与沟通、监督这八大要素。这八大要素不是对先前五要素的否定,而是对五要素的提炼、升华。八个要素关系密切,内部环境是企业风险管理的基础,为企业风险管理所有其他要素的运行提供了平台和组织结构;企业目标的制定,则是风险管理的起点,是其他步骤的躯动力量;在企业目标己定的前提下,企业需要对影响目标的风险进行事件识别, 进而对识别事件进行风险评估,风险评估驱动风险反应,影响控制活动;信息与沟通和监督贯穿于企业风险管理的整个过程,并对前面的各个组成要素进行修正。可以看出,企业风险管理不只是一个直线的过程,而是一个多元化的相互作用、环环相扣的过程。或者说, 几乎任何组成部分都能够并将会影响另一个部分。企业风险管理的八大要素所体现的是一个动态的过程, 是一个有机整体。
2、我国内部控制要素
我国在对内部控制规范起草过程中一直基于这样的考虑,认为内控基本框架好比会计要素一样,都存在国际趋同问题,借鉴国际上较为成熟的内控框架能使我们一开始就站在一个较高的起点上,并为我国境外上市公司,特别是在美上市的内控监管要求提供有益参考。因此在设定内控要素是五要素还是八要素上,结合我国的国情,基本规范在形式上借鉴了美国COSO报告的五要素框架,而在内容上体现了风险管理八要素框架的实质,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。
四、中美内部控制基本框架之比较
1、美国内部控制基本框架
《萨班斯法案》在结构上共分为11章。第1至第6章主要涉及对会计职业及公司行为的监管,主要内容有: 1、建立一个独立的“公众公司会计监督委员会”,对上市公司审计进行监管;2、通过合伙人强制轮换制度等来提高审计的独立性;3、对公司高管人员的行为进行限定以及改善公司治理结构等措施,以增进公司报告的责任;4、加强公司财务报告的披露;5、通过增加拨款和雇员等来提高SEC的执法能力等等。余下的第8至第11章,主要是提高了对公司高管及白领犯罪的刑事责任。其中一个严厉的要求是,为强化公司高管层对财务报告的责任,要求公司的高管必须对财务报告的真实性进行宣誓,并就提供不实财务报告设定了10年或20年的刑事责任。在该法案中,要求最严、执行成本最高的条款是其中的404 条款。404 条款要求首席执行官和首席财务官,对上市公司的财务呈报内部控制的有效性进行评估并报告。这一报告包含在公司按年度递交给证券交易委员会的年报中。也就是上市公司年报中,必须包括有关财务呈报内部控制的三个内容: 一是管理当局对企业财务呈报内部控制的年度报告。二是会计师事务所的审计报告, 包含提供审计人员对管理当局财务呈报内部控制评价意见的审计报告。三是财务呈报内部控制的变动,即对于任何重大地影响、或可以合理预期将会重大地影响企业财务呈报内部控制的任何变动,都应予以披露。
《企业风险管理综合框架》总共分为两部分: 第一部分包括“基本框架”和经理人员要览。基本框架定义了企业风险管理,并描述了原则和概念,为企业和其他组织中的各级管理人员提供用来评价和增进企业风险管理有效性指南;经理人员要览则是一个指导首席执行官、其他高级管理人员、董事会和监管者的高度概括性文件。第二部分是应用技术,举列说明在应用框架的各个要素过程中的有用技术。COSO委员会提出,企业风险管理是企业董事会、管理层和其他员工共同参与的一个过程。它用于企业的战略制定和企业各个部门和各项经营活动,用于确认可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。
2、我国内部控制体系基本框架
我国的控制标准体系经过比较研究和征求意见,初步认定主要包括基本规范、具体规范和应用指南三部分。基本规范规定内部控制的基本目标、基本要素、基本原则和总体要求,是制定具体规范和应用指南的基本依据,在内控标准体系中起统驭作用。在结构上共分七章,包括总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。《企业内部控制基本规范》已由五部委于2008年6月28日联合发布,并将于2009年7月1日首先在上市公司范围内施行,并鼓励非上市的其他大中型企业执行。具体规范是根据基本规范,对企业办理具体业务与事项从内部控制角度作出的具体规定,其涉及财务报告内部控制和其他方面的控制(如对符合企业经营目标的控制),具体规范的设计主要以财务报告内部控制为主线,初步拟定为26项,其中,17项已起草完成并对外公开征求意见,9项正在起草过程中。应用指南是根据基本规范和相关具体规范制定的详细解释和说明,主要是为某些特殊行业、特殊企业、特定内控程序提供操作性强的指引。
五、中美内部控制目标差异之比较
1、美国内部控制目标
明确的目标是企业风险管理的前提,美国内部控制的目标体系主要包括战略目标、经营目标、报告目标和合法性目标四大目标。战略目标属高层目标, 主要是为了统一与实现企业的使命与愿景;经营目标指企业资源使用的效果与效率, 也是内部控制的首要目标;报告方面的目标是指企业报告的可靠性,包括内部报告与外部报告,涉及财务信息与非财务信息;合法性目标指企业对法律法规的遵循。
2、我国内部控制目标
我国正起草制定的《企业内部控制规范》确立的基本目标是以财务报告内部控制为主线,建立一套内部控制制度体系和内部控制实施体系相配套的企业内控系统。财政部准备会同有关部门,在三到五年的时间内基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系,以及以监管部门为主导、各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的内部控制实施体系,以推动公司、企业和其他非盈利组织完善治理结构和内部约束机制,从而不断提高经营管理水平和可持续发展能力。内控基本目标具体体现在以下五个方面:企业战略;经营的效率和效果;财务报告及管理信息的真实、可靠和完整;资产的安全完整和遵循国家法律法规和有关监管要求。
由于目前我国企业在法制意识、制度基础、风险理念、经营风格等方面与欧美企业还存在较大差异,把内部控制作为贯穿企业经营管理与风险控制全过程的系统工程来建设仍处于探索、起步阶段,因此我国企业的内控建设不能一蹴而就,要有一个逐步适应、分步实施和不断完善的过程,故在目标设定上也是一个循循渐进的过程。在目前情况下,我国倡导有条件的企业根据市场自由竞争的需要建立全面内部控制和全面风险管理,而对有义务对外提供财务报告的企业,至少须确保财务报告的真实可靠,企业应建立健全以财务报告内部控制为核心的内控机制。
六、结语
将中美内部控制从不同的角度对比分析后,不难看出,我国内部控制的发展尚不成熟,仍处于探索起步阶段,与美国完善的内部控制制度差距较大。即使是现阶段正在制定的旨在将内部控制贯穿于企业经营管理与风险管理全过程的《企业内部控制规范》,仍然是在借鉴了国外先进的内部控制框架的基础上发展而来的,至于该规范正式实施后对完善企业内部控制、加强企业风险管理以及健全中国资本市场等方面所起的作用还需进一步研究,我国企业内部控制的理论探讨及实际应用还有很长的路要走。不过值得肯定的是,《企业内部控制规范》是我国充分认识到企业内部控制和企业风险管理的重要后,借鉴国际上比较成熟的内控框架,并结合我国企业的具体情况而起草制定的具有中国特色的COSO法案,这不仅使我国企业内部控制规范与国际发展潮流保持了协调,又能增强我国在内部控制国际协调与趋同中的影响力和话语权。相信在《萨班斯法案》所带来的强大国际影响力和COSO委员会的风险管理综合框架的重要启示和借鉴作用下,我国的《企业内部控制规范》会使企业内部控制有一个质的提高,会使企业风险管理有一个新的突破。
参考文献:
1、 吴水澎 “萨班斯法案、COSO风险管理综合框架及其启示”
《学术问题研究》 2006年2期
2、 财政部 《企业内部控制规范(征求意见稿)》 2006年
3、 财政部 《企业内部控制基本规范》 2008年6月
4、《企业风险管理-整体框架》 东北财经大学方红星教授译
5、 王海锋 “对萨班斯-奥克斯利法案及COSO框架下内控的思考”
《财会审计》 2005年7月
6、 吴水澎 陈汉文 邵贤弟 “企业内部控制理论的发展与启示”
《会计研究》 2000年5月
7、 The Committee of Sponsoring Organization of the Treadway Commission
“Interna Control-Integrated Framework” 1992
