美國COSO 委員會在1992年發布的《內部控制――整合框架》(1994 年進行了局部修正,以下簡稱COSO舊報告)被稱為內部控制理論發展史上的一個重要里程碑。但由于該框架缺乏對企業風險管理的足夠重視,COSO委員會在原有的內部控制框架的基礎上,結合《薩班斯法案》和美國證監會(SEC)規則等多方面要求,于2004年發布了 《企業風險管理――整合框架》(以下簡稱COSO新報告)。我國內部控制自20世紀90年代以來發展很快。2006年國資委發布了《中央企業全面風險管理指引》(以下簡稱《指引》),2008年財政部等五部委聯合發布了《企業內部控制基本規范》(以下簡稱《基本規范》)。《基本規范》的頒布,標志著中國企業內部控制規范體系取得重大突破。本文對《基本規范》、《指引》、COSO新舊報告進行了較為詳細的比較分析后,就建設企業內控體系提出了具體建議。
一、《指引》、《基本規范》、COSO新舊報告主要內容比較
《指引》、《基本規范》、COSO新舊報告的主要內容見表1所示。
第一,定義上的比較分析。從定義上看,四者都強調了內部控制或風險管理是一個過程,而且是一個持續改進的過程,是實現目的的手段而非目的本身;都是為企業目標的實現提供“合理而非絕對”的保證。參與主體方面,《基本規范》與COSO兩報告都要求 “企業董事會、管理層以及其他人員共同實施”,這既明確了參與主體,也強調了“全員控制”。而《指引》在全面風險管理定義中雖未直接指明主體,但《指引》第四十二條指出:企業應建立健全風險管理組織體系,主要包括規范的公司法人治理結構、風險管理職能部門、內部審計部門和法律事務部門以及其他有關職能部門、業務單位的組織領導機構及其職責。可以看出,《指引》中的全面風險管理也是“全員性”的,董事會、管理高層、各職能部門、企業員工均要全員參與。
第二,目標上的比較分析。《指引》中未涉及企業目標,但提出了風險管理的五個總體目標:確保將風險控制在與總體目標相適應并可承受的范圍內;確保內外部,尤其是企業與股東之間實現真實、可靠的信息溝通,包括編制和提供真實、可靠的財務報告;確保企業遵守有關法律法規;確保企業有關規章制度和為實現經營目標而采取重大措施的貫徹執行,保障經營管理的有效性,提高經營活動的效率和效果,降低實現經營目標的不確定性;確保企業建立針對各項重大風險發生后的危機處理計劃,保護企業不因災害性風險或人為失誤而遭受重大損失。
《基本規范》提出了由五個目標構成的完整目標體系,其中戰略目標是內部控制最終的目的和最根本的目標。COSO新報告在原來三目標的基礎上增加了戰略目標,這意味著風險管理不僅僅應用于實現企業其他三類目標的過程中,也應用于企業的戰略制定階段。另外,COSO新報告還將報告拓展到“內部的和外部的”“財務的和非財務的報告”,該目標涵蓋了企業的所有報告。
第三,要素上的比較分析。《指引》沒有直接引入要素概念,僅從全面風險管理內容看,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統五個方面。《基本規范》的五要素是借鑒COSO舊報告的五要素,并根據我國實際情況作了一些調整。如《基本規范》將控制環境和監督要素限定為內部環境和內部監督,突出了內部控制的“內部”特征;在風險評估引入了風險承受度,明確了風險識別、風險分析、風險應對策略;把控制活動界定為控制措施,并提出了具體的控制措施,更具可操作性;在信息與溝通要素中加入了反舞弊機制。當然,我國《基本規范》中存在著要素劃分不夠清晰的問題,如將內部審計作為內部環境的構成部分,而又規定內部審計在內部監督中的職責權限,同一個內容出現在了兩個不同的要素之中。與此類似,機構設置、治理結構、權責分配和人力資源政策也同時具有內部環境和控制活動的特征。COSO新報告在原有舊報告的基礎上新增了三個風險管理要素――目標設定、事項識別和風險應對。另外,COSO新報告對相關要素的內涵進行了擴展。
第四,風險管理理念上的比較分析。在風險管理理念上,COSO舊報告中的內部控制強調的是對單個風險或業務單元的風險進行管理,而《指引》和《基本規范》都有風險組合觀的思想,其中,《指引》還明確界定了風險偏好的概念,并定義了風險承受度。
COSO 新報告明確提出了風險組合觀,要求企業管理者以風險組合的觀點看待風險、從企業整體層面上總體把握風險。針對企業目標實現過程中所面臨的風險,COSO新報告對企業風險管理提出了風險偏好和風險容忍度兩個概念。
可見,我國《基本規范》科學地界定了內部控制的內涵,準確定位了內部控制的目標,統籌構建了內部控制的要素,同時也吸收了COSO新報告的精神實質,在一定程度上強調了內部控制與風險管理的統一,在所有重大方面基本與美國COSO報告保持一致,同時在某些地方也體現了中國特色。從內部控制與風險管理整合的角度看,《基本規范》與《指引》有很強的關聯性,而相關概念和規范內容又不盡相同,兩者未進行有效的統一協調,因此勢必會增加國有企業實施《指引》和《基本規范》的難度和成本,影響企業實施效果。而美國COSO成功地將內部控制融入到企業風險管理之中,新報告基本涵蓋了舊報告的所有合理內容。
二、我國內部控制體系建設建議
第一,積極借鑒外部經驗。歐美國家,特別是美國,無論是在內部控制理論上,還是在內部控制規范化建設方面,都比我國起步要早,已經研究和制定出了一系列的規范。因此,學習和借鑒國外先進的內部控制規范是我國內控建設過程中的一個必要階段。但我國企業在法治意識、制度基礎、風險理念、經營風格等方面與歐美企業存在較大差異,因此照抄照搬的內控規范可能不適合我國國情。我國的內部控制規范比較接近于美國模式,即采用的是規則導向型的內部控制。但是,美國模式有一個前提,即:如果通過內部控制的評價和報告暴露出管理層不能履行對內部控制的責任,那么管理層會受到董事會、市場和監管部門的懲罰。但是,我國對管理層的責任追究機制遠沒有美國有效,因此這個前提在我國目前的情況下還沒法成立,如果直接效仿美國模式,將很難看到基本規范實施的效果。所以,我國的內部控制規范可以適當采取原則導向和規則導向相結合的方式,以原則為基礎,以規則為指導。
第二,加快內部控制規范創新。《基本規范》及其配套指引只規定了中國企業建立內控制度的基本原則、目標、框架及主要控制環節和相應核心控制點,提供的僅僅是個原則性的框架,這就造成我國企業在具體實施的過程中面臨難題――企業應當如何結合自身情況實施內部控制?所以,我國應進一步制定保護基本規范順利實施的細則,包括企業如何有效地執行規范、如何準確評價本企業內部控制狀況、中介機構如何客觀評價內部控制的有效性并出具審計報告等。另外,對于《基本規范》中存在的某些問題,如:要素劃分不夠清晰,對內部控制整體的關注不夠等,應進一步得到規范。
第三,對內部控制和風險管理進行整合。雖然新頒布的《基本規范》與《指引》有很強的關聯性,但兩者未進行有效的統一協調,這一問題有待迫切解決。正是因為有風險才需要控制,控制的最終目的是為了降低風險,所以,應盡快將內部控制與風險管理進行有效整合,以減少企業實施成本和監管成本。
