企业内部控制基本规范详解与实务:风险点识别+关键点把控+实操范本+案例详解
上QQ阅读APP看书,第一时间看更新

第1篇 企业内部控制概述

第1章 企业内部控制

1.1 国内外内部控制的发展

1.1.1 国外内部控制理论和实务的发展

人类自从有了社会分工,就有了群体活动,也就有了一定意义上的控制。早在公元前3000多年以前,内部控制的思想就已经在人们的日常经济生活中得以运用。内部控制的思想可以追溯到远古文明时期对公共资金的管理,在古埃及、古希腊、古罗马的历史陈迹与中国《周礼》的记述中均有出现。西方早期的议会制度以及我国的御史制度,亦属于内部控制的范畴。

20世纪40年代,内部控制作为完整的概念被首次提出。此后,内部控制理论不断完善,并逐渐被人们了解和接受。目前,人们对于企业内部控制的产生和发展历程的认识逐渐趋于一致,即认为内部控制的发展可以划分为5个阶段:内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整合框架阶段、企业风险管理整合框架阶段。内部控制概念的演变说明了人们对内部控制的动态性本质的深入认识。

1.1.1.1 内部牵制阶段

早在公元前3600年以前的美索不达米亚文明时期,就已经出现了内部控制的初级形式。例如,经手钱财者要为其支付的款项提供付款清单,并由另一记录员将这些清单汇总并写成报告。

15世纪末,随着资本主义经济的初步发展,内部牵制也发展到了一个新的阶段,以在意大利出现的复式记账方法为标志,内部牵制制度渐趋成熟。18世纪工业革命以后,企业规模逐渐扩大,公司制企业开始出现,特别是内部稽核制度因收效显著而为各大企业纷纷效仿。20世纪初期,因竞争激烈,一些企业逐步摸索出一些组织调节、制约和检查企业生产活动的方法。这些方法以查错防弊为目的,以职务分离和账目核对为手段,以钱、账、物等为主要针对事项。其中有关组织控制、职务分离控制的思想是现代内部控制理论的基础。

这一阶段,随着股份有限公司规模的迅速扩大以及企业所有权和经营权的逐渐分离,企业为了提高运营效率、防范错误,并用于两权分离中的信息不对称问题,美国的一些企业逐渐摸索出组织、调节、制约和检查企业生产经营活动的办法,特别是“内部牵制制度”。

关于内部牵制的概念,《会计师词典》指出:“内部牵制是指以提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计,其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。”

内部牵制的最初形式和基本形态是以职务分离控制为主要内容的流程设计,其目的比较单一,即保证财产物资的安全和完整,防止贪污、舞弊。尽管随着经济社会的发展,内部控制日益超越内部牵制的范畴,但内部牵制的基本理念在内部控制理论中仍然发挥着重要作用。

内部牵制阶段的不足之处在于人们还没有意识到内部控制的整体性,只强调内部牵制制度的简单运用,还不够系统和完善。作为一种管理制度,内部牵制基本上不涉及会计信息的真实性和工作效率的高低问题,因此其应用范围和管理作用都比较有限。到20世纪40年代末期,生产的社会化程度空前提高,股份有限公司迅速发展,市场竞争进一步加剧。西方国家纷纷以法律的形式要求企业披露会计信息。这对会计信息的真实性就提出了更高的要求。因此,传统的内部牵制制度已经无法满足企业管理和会计信息披露的需要,现代意义上的内部控制制度的产生已经成为一种必然。

1.1.1.2 内部控制制度阶段

20世纪40年代至70年代初,内部控制制度的概念在内部牵制思想的基础上产生。它是传统的内部牵制思想与古典管理理论相结合的产物,是在社会化大生产、企业规模扩大、新技术的应用,以及股份制公司形式出现等因素的推动下产生的。

1949年,美国注册会计师协会(American Institute of Certified Public Accountants, AICPA)所属的审计程序委员会发表了一份题为《内部控制:系统协调的要素及其对管理部门和独立公共会计师的重要性》的特别报告,首次正式提出了内部控制的权威性定义,即内部控制包括组织机构的设计和企业内部采取的所有互相协调的方法和措施,旨在保护资产、检查会计信息的准确性和可靠性、提高经营效率、促进既定管理政策的贯彻执行,从而形成了内部控制制度的基本思想。

由于该定义的含义过于宽泛,因此,AICPA于1953年在其颁布的《审计程序说明第19号》中,对内部控制定义进行正式修订,并将内部控制按照其特点分为会计控制和管理控制两个部分。1958年,审计程序委员会发布的第29号审计程序公报《独立审计人员评价内部控制的范围》,也将内部控制分为内部会计控制和内部管理控制,其中,前者涉及与财产安全和会计记录的准确性、可靠性有直接联系的所有方法和程序;后者主要是与贯彻管理方针和提高经营效率有关的所有方法和程序。由此,内部控制进入“制度二分法”,即“二要素阶段”。

1972年,美国审计准则委员会(Auditing Standards Board, ASB)在《审计准则公告第1号》中,重新并且更加明确地阐述了内部会计控制和内部管理控制的定义。内部管理控制包括(但不限于)组织规划及与管理当局进行经济业务授权的决策过程有关的程序和记录;内部会计控制包括(但不限于)组织规划、保护资产安全,以及与财务报表可靠性有关的程序和记录。

这一阶段的内部控制被正式纳入制度体系中,同时管理控制成为内部控制的一个重要组成部分。但在实践中,审计人员发现很难确切区分会计控制和管理控制,而且后者对前者其实有很大影响,无法在审计时完全将其忽略。

1.1.1.3 内部控制结构阶段

20世纪70年代后期,资本主义经济发展进入“滞胀”阶段,促使西方国家对内部控制的研究进一步深化,人们对内部控制的研究重点逐步从一般含义向具体内容转移。

1988年,AICPA发布《审计准则公告第55号》(SAS NO. 55),并规定从1990年1月起取代1972年发布的《审计准则公告第1号》。这个公告首次以“内部控制结构”的概念代替“内部控制制度”,明确“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”。该公告认为,内部控制结构由下列3个要素组成。

(1)控制环境

控制环境是指对建立、加强或削弱特定政策与程序的效率有重大影响的各种因素,包括:管理者的思想和经营作风;组织结构;董事会及其所属委员会,特别是审计委员会的职能;确定职权和责任的方法;管理者监控和检查工作时所使用的控制方法;影响企业业务的各种外部关系等。

(2)会计制度

会计制度是指为确认、归类、分析、登记和编报各项经济业务,明确资产与负债的管理责任而规定的各种方法,主要包括:对各项经济业务进行及时和适当的分类,以作为编制财务报表的依据;将各项经济业务按照适当的货币价值计价,以便列入财务报表;确定经济业务发生的日期,以便按照会计期间进行记录;在财务报表中恰当地表述经济业务并对有关的内容进行揭示。

(3)控制程序

控制程序是指企业为保证目标的实现而建立的政策和程序,主要包括:明确企业各个人员的职责分工;账簿和凭证的设置、记录与使用,以保证经济业务活动得到正确的记载;资产及记录的限制接触;已经登记的业务及其记录与复核等。

此时的内部控制融会计控制和管理控制于一体,从“制度二分法”阶段步入了“结构分析法”阶段,即“三要素阶段”。这是内部控制发展史上的一次重要改变。内部控制结构阶段对内部控制发展的贡献主要体现在两个方面。其一,首次将控制环境纳入内部控制的范畴。因为人们在管理实践中逐渐认识到,控制环境不应该是内部控制的外部因素,而应该作为内部控制的一个组成部分来考虑,尤其是管理层的风险意识及其对风险控制的态度,是充分有效的内部控制体系得以建立、运行的基础和有力保障。其二,不再区分会计控制和管理控制,而统一以要素来表述。因为人们发现会计控制和管理控制在实践中其实是相互联系、难以分割的。

1.1.1.4 内部控制整合框架阶段

COSO(The Committee of Sponsoring Organizations of the Treadway Commission)是Treadway 委员会下属的发起组织委员会的简称。Treadway委员会,即美国反虚假财务报告委员会,由于其首任主席的姓名而通常被称为Treadway委员会。该委员会由美国注册会计师协会(AICPA)、美国会计协会(American Accounting Association, AAA)、财务经理人协会(Financial Executives International, FEI)、内部审计师协会(Institute of Internal Auditors, IIA)、管理会计师协会(The Institute of Management Accountants, IMA)共5个组织于1985年发起设立。

1987年,Treadway委员会发布了一份报告,建议与发起组织委员会沟通协作,整合各种内部控制的概念和定义。1992年9月,COSO发布了著名的《内部控制——整合框架》(Internal Control-Integrated Framework)报告,并于1994年进行了修订。这一报告已经成为内部控制领域最为权威的文献之一。该报告系内部控制发展历程中的一座里程碑,其对内部控制的贡献可以用12个字概括:一个定义、三项目标、五个要素。

“一个定义”是指该报告对内部控制下了一个迄今为止最为权威的定义:“内部控制是一个受企业董事会、管理层及其他员工影响的,旨在为运营的效率和效果、财务报告的可靠性、相关法律法规的遵循等目标的实现提供合理保证的过程。”

“三项目标”是指内部控制具有3项目标,包括经营目标、报告目标和合规目标。由此可见,财务报告的可靠性并不再是内部控制唯一的目标。换言之,内部控制不等于会计控制。

“五个要素”是指该报告将内部控制的组成部分分为相互独立而又相互联系的5个要素:控制环境、风险评估、控制活动、信息与沟通、监控。

这5个要素的内涵及其在内部控制整体框架中的作用解释如下。

(1)控制环境

控制环境主要指企业内部的文化、价值观、组织结构、管理理念和风格等。这些因素是企业内部控制的基础,将对企业内部控制的运行及效果产生广泛而深远的影响。

(2)风险评估

风险评估是指识别和分析与实现目标相关的风险,并采取相应的行动措施加以控制。这一过程包括风险识别和风险分析两个部分。

(3)控制活动

控制活动是指企业对所确认的风险采取必要的措施,以保证企业目标得以实现的政策和程序。一般来说,与内部控制相关的控制活动包括职务分离、实物控制、信息处理、业绩评价等。

(4)信息与沟通

信息与沟通是指为了使管理者和其他员工能够更好地行使职权和完成任务,企业各个部门及员工之间必须沟通与交流相关的信息。这些信息既包括外部的信息,也包括内部的信息。

(5)监控

监控是指评价内部控制的质量,也就是评价内部控制制度的设计与执行情况,包括日常的监督活动和专项评价等。管理者通过定期或不定期地对内部控制的设计与执行情况进行检查和评估,与有关人员就内部控制有效与否进行交流,并提出整改意见,以保证内部控制制度随着环境的变化而不断改进。

同以往的内部控制理论相比,COSO的报告提出了许多有价值的新观点。

(1)明确对内部控制的“责任”

COSO的报告认为,不仅仅是管理部门、内部审计委员会或董事会,企业中的每一个人都对内部控制负有责任。

(2)强调内部控制应该与企业的运营过程相结合

内部控制是企业运营过程的一部分,要与运营过程结合在一起,而不是凌驾于企业的运营活动之上。

(3)强调内部控制是“动态过程”

内部控制是发现问题、解决问题,以及发现新问题、解决新问题的循环往复的过程。

(4)强调“人”的重要性

只有人才可能确定企业的目标,并设置内部控制的机制。反过来,内部控制也影响着人的行为。

(5)强调“软控制”的作用

软控制主要是指那些属于精神层面的事物,如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等。

(6)强调风险意识

管理阶层必须密切注意各层级的风险,并采取必要的管理措施防范风险。

(7)管理与控制的界限模糊

在COSO的报告中,控制已不再是管理的一部分,管理和控制的职能与界限已经模糊了。

(8)强调内部控制的分类及目标

COSO的报告将内部控制目标分为3类,即经营的效率和效果、财务报告的可靠性,以及法律法规的遵循。

由于COSO的报告集内部控制理论、体系集内部控制理论和实践发展之大成,因此其备受推崇,已经成为世界通行的内部控制权威标准,被各国审计准则制定机构、银行监管机构和其他方面的机构所采纳。

为应对新世纪、新阶段的内部控制建设工作,2013年5月,COSO发布了修订版的《内部控制——整合框架》(以下简称《新框架》),并提议于2014年12月15日以后用该框架代替1992年发布的框架。与1992年的框架相比,《新框架》保持不变的主要方面包括:内部控制的核心定义;内部控制仍然包括3个目标和5个要素;有效的内部控制必须具备5个要素;在设计、执行内部控制和评价其有效性的过程中,判断仍然具有重要作用。《新框架》发生重大变化的主要方面则包括:关注的商业和运营环境发生了变化;扩充了运营和报告目标;将支撑5个要素的基本概念提炼成原则;针对运营、合规和新增加的非财务报告目标提供了补充的方法和实例。

1.1.1.5 企业风险管理整合框架阶段

2001年12月,美国当时最大的能源公司之一——安然公司(后文简称AR公司),突然申请破产保护。此后,上市公司和证券市场的负面新闻不断,特别是2002年6月的STK公司会计方面的负面事件,“彻底打击了投资者对资本市场的信心”(美国国会报告,2002)。美国国会和政府通过加速制定新的法律加强对金融、会计、审计的监管,并于2002年7月30日出台了《2002年公众公司会计改革和投资者保护法案》,又叫《萨班斯-奥克斯利法案》(以下简称《萨班斯法案》,也称《SOX法案》)。《萨班斯法案》强调了公司内部控制的重要性,从管理者、内部审计及外部审计等几个层面对内部控制进行了具体规定,并设置了问责机制和相应的惩罚措施,成为继20世纪30年代美国经济危机以来,政府制定的涉及范围最广、处罚措施最严厉的公司法律。

其实,自1992年COSO的报告发布以来,理论界和实务界纷纷对该框架提出改进建议,认为其对风险强调不够,使内部控制无法与企业风险管理相结合。为此,在2001年,COSO开展了一个项目,委托普华永道(Price Waterhouse Coopers)开发一个有利于管理层评价和改进他们所在组织的企业风险管理方式的简便易行的框架。而后来安然、世通公司的负面新闻所催生的《萨班斯法案》更是凸显了开发一个更加注重企业风险管理框架的必要性和紧迫性。2004年9月,COSO在借鉴以往有关内部控制研究报告的基本思想的基础上,结合《萨班斯法案》在财务报告方面的具体要求,发表了新的研究报告——《企业风险管理——整合框架》(Enterprise Risk Management Framework,以下简称《ERM框架》)。

该框架指出,“全面风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”。这一阶段的显著变化是将内部控制上升至全面风险管理的高度来认识。

《ERM框架》提出了战略目标、经营目标、报告目标和合规目标4类目标,并指出风险管理包括8个相互关联的构成要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。在《ERM框架》中,内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一体系。同时,这份报告对内部控制要素的进一步细分和充实,使内部控制与风险管理日益融合,拓展了内部控制的范畴。

相对于《内部控制——整合框架》,《ERM框架》的创新在于以下4点。

第一,从目标上看,《ERM框架》不仅涵盖了内部控制框架中的经营性、财务报告可靠性和合法性3个目标,而且新提出了一个更具管理意义和更适用于管理层级的战略管理目标,同时还扩大了报告的范畴。关于战略管理目标,企业风险管理应贯穿战略目标的制定、分解和执行过程,从而为战略目标的实现提供合理保证。报告范畴的扩大表现在内部控制框架中的财务报告的可靠性目标只与公开披露的财务报表的可靠性相关,而《ERM框架》中的财务报告则覆盖了企业编制的所有报告。

第二,从内容上看,《ERM框架》除了包括内部控制框架中的5个要素外,还增加了目标设定、事项识别和风险应对3个管理要素。目标设定、事项识别、风险评估与风险应对4个要素环环相扣,共同构成了风险管理的完整过程。此外,《ERM框架》对原有要素也进行了深化和拓展,如引入了风险偏好和风险文化,将原有的“控制环境”改为“内部环境”。

第三,从概念上看,《ERM框架》提出了两个新概念——风险偏好和风险容忍度。风险偏好是指企业在实现其目标的过程中喜欢收益的波动性胜于收益的稳定性的态度。企业的风险偏好与企业的战略目标直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业管理者的风险偏好结合起来。风险容忍度是指在目标实现过程中企业对差异的可接受程度,是企业在风险偏好的基础上设定的。

第四,从观念上看,《ERM框架》提出了一个新的观念——风险组合观。企业风险管理要求企业管理者以风险组合的观念看待风险,对相关的风险进行识别并采取措施,使企业所承担的风险在风险容忍度的范围内。对企业中的每个单位而言,其风险可能在该单位的风险容忍度范围内,但从企业总体来看,总风险可能会超过企业总体的风险容忍度范围。因此,企业管理者应从企业整体的角度评估风险。

需要说明的是,《ERM框架》的产生虽然晚于内部控制框架,但是它并不是要完全替代内部控制框架。在企业管理实践中,内部控制是基础,风险管理只是建立在内部控制的基础之上、具有更高层次和综合意义的控制活动。如果没有良好的内部控制系统,所谓的风险管理只能是一句空话。

1.1.2 我国内部控制理论和实务的发展

1.1.2.1 起步阶段

改革开放以前,我国经历了很长的内部控制的空白期。之后,财务舞弊案阻碍了中国经济的发展。如何有效治理企业的财务舞弊、维持企业有效运营、保护广大投资者的利益和保障资本市场的健康发展,已经成为影响中国经济持续发展的问题。西方发达资本主义国家的经济发展也并非一帆风顺。国外的监管者和理论界将目光投向了内部控制,并取得了一定成效,其理论成果和实践经验都为我国内部控制制度的建立提供了有益借鉴。20世纪90年代以来,在借鉴其他国家和经济组织内部控制规范的基础上,我国内部控制规章制度从无到有,取得了迅猛发展。

1985年1月,我国颁布了《中华人民共和国会计法》(以下简称《会计法》),要求会计机构内部应当建立稽核制度,并规定出纳人员不得兼管稽核,会计档案保管和收入、费用、债权债务账目的登记工作。《会计法》对会计稽核的规定是我国首次在法律文件上对内部控制提出的明确要求。1999年颁布的新《会计法》是我国第一部体现内部会计控制要求的法律。该法将企业(单位)内部控制制度当作保障会计信息“真实和完整”的基本手段之一。《会计法》将会计监督写入法律当中,是在我国内部控制制度建设历程中的一次重大突破,也是当时我国在内部控制方面的最高法律规范。但因为《会计法》是法律,所以其规范的内容难免局限于内部会计控制的要求,没有涉及内部控制的全部内容。

关于内部会计控制的法规,除了《会计法》外,还包括一些行政部门颁布的规范。例如,中华人民共和国财政部(以下简称财政部)于1996年6月颁布了《会计基础工作规范》,对会计基础工作的管理、会计机构和会计人员、会计人员的职业道德、会计核算、会计监督、单位内部会计管理制度建设等问题作出了全面规范,其中,对会计监督的要求可以算作我国早期的企业内部控制制度。

1996年12月,中国注册会计师协会发布了第二批《中国注册会计师独立审计准则》,其中,《独立审计具体准则第8号——错误与舞弊》要求被审计单位建立内部控制;《独立审计具体准则第9号——内部控制与审计风险》对内部控制的定义和内容都有具体规定,并要求注册会计师从制度基础的角度审查企业的内部控制,对企业内部控制进行评价。《独立审计实务公告第2号——管理建议书》中指出,“注册会计师对审计过程中发现的内部控制重大缺陷应当告知被审计单位管理当局,必要时,可出具管理建议书”。

《中国注册会计师独立审计准则》中有关内部控制的描述和要求,既是注册会计师执业基准的一部分,又是企业内部控制工作的推动力。这种间接推动力提高了我国企业对内部控制的关注程度,促进了我国企业内部控制制度的初步建设。

1997年5月,我国专门针对内部控制的第一个行政规定出台。中国人民银行颁布了《加强金融机构内部控制的指导原则》,要求金融机构建立健全内部控制运行机制。金融机构的内部控制指导原则先于非金融机构的内部控制要求出台,向金融机构发出了这样的信号:中国对金融机构内部控制的要求要高于对非金融机构的要求。该指导原则对金融机构内部控制制度的建设意义重大,为我国金融机构的内部控制制度的建设和发展奠定了基础。

2000年11月,中国证券监督管理委员会(以下简称证监会)发布了《公开发行证券公司信息披露编报规则》,其中,《公开发行证券公司信息披露编报规则第7号——商业银行年度报告内容与格式特别规定》和《公开发行证券的公司信息披露编报规则第8号——证券公司年度报告内容与格式特别规定》要求公开发行证券的商业银行、保险公司、证券公司建立健全内部控制制度,并在招股说明书正文中说明内部控制制度的完整性、合理性和有效性。

2001年12月,证监会发布了《公开发行证券的公司信息披露内容与格式准则第2号——年度报告的内容与格式(2001年修订稿)》,要求监事会对公司(一般上市公司)是否建立了完善的内部控制制度发表独立意见,若监事会认为内部控制制度完善,则可免于披露。自此,内部控制信息成为企业信息披露的一部分。尽管在这一系列规则中,并未强制要求上市公司在所有情况下都披露内部控制信息,但内部控制信息在企业信息披露中已不再仅是会计监督和会计控制的信息,而是与企业风险管理完善程度相关的一个标志。同年1月,证监会发布了《证券公司内部控制指引》,要求所有的证券公司建立并完善内部控制机制和内部控制制度。该指引是对《加强金融机构内部控制的指导原则》的补充,对证券公司建立健全内部控制制度有着重大意义。

2001年6月,财政部发布了《内部会计控制规范——基本规范(试行)》和《内部会计控制规范——货币资金(试行)》,随后又相继发布了《内部会计控制规范——采购与付款(试行)》《内部会计控制规范——销售与收款(试行)》《内部会计控制规范——担保(征求意见稿)》《内部会计控制规范——工程项目(试行)》。这些规范明确了单位建立和完善内部会计控制体系的基本框架和要求,以及货币资金、采购与付款、销售与收款和工程项目等业务层面内部控制的要求。内部会计控制的一系列试行规范虽然以会计控制规范的形式出台,但是其涉及的内容并没有局限于会计领域,而是对采购、生产、销售、投资等诸多方面的内部控制进行了规范,为未来我国内部控制规范体系的形成提供了有益参考。

2002年2月,中国注册会计师协会发布了《内部控制审核指导意见》。该意见对内部控制审核进行了界定,并界定了被审核单位和注册会计师的责任,明确了内部控制审核业务的工作要求。

2002年9月,中国人民银行颁布了多达141条的《商业银行内部控制指引》,对商业银行内部控制的各方面做出了规定,将《加强金融机构内部控制的指导原则》中的内部控制原则加以简化。该指引替代了《加强金融机构内部控制的指导原则》,成为商业银行制定内部控制制度的“基本手册”。

2002年12月,证监会发布了《证券投资基金管理公司内部控制指导意见》。该意见对证券投资基金管理公司建立科学合理、控制严密、运行高效的内部控制体系及制定完善的内部控制制度提供了指导,保证了证券投资基金管理公司诚信、合法、有效地经营,保障了大多数基金持有人的利益。

1.1.2.2 建设阶段

2002年7月,美国国会出台了《萨班斯法案》。该法案中的404条款明确规定了管理层应承担设立并维持一个专门的内部控制机构的职责,并且要求上市公司必须在年度报告中提供内部控制报告和内部控制评价报告,上市公司管理层和注册会计师都需要评价企业的内部控制系统,注册会计师还要对公司管理层的评估过程及其内部控制系统评估结论进行相应的检查并出具正式意见。《萨班斯法案》不仅加强了对美国资本市场的金融、会计、审计方面的监管,还开启了在美国上市的公司全面建设内部控制制度的新阶段。同时,它也带动了世界各国的内部控制制度的发展。

我国积极引进和借鉴《萨班斯法案》及1992年COSO发布的《内部控制——整合框架》、2004年COSO发布的《企业风险管理——整合框架》,并在此带动下明显加快了内部控制制度建设的步伐,密集出台了相关的法规和文件,逐渐形成了内部控制制度的配套组织和保障机制。

2004年年底和2005年6月,中华人民共和国国务院(以下简称国务院)领导就强化我国企业内部控制问题做出重要批示,要求“由财政部牵头,联合有关部委,积极研究制定一套完整公认的企业内部控制指引”。

2005年10月,国务院批转了证监会发布的《关于提高上市公司质量的意见》,要求上市公司对内部控制制度的完整性、合理性及其实施的有效性进行定期检查和评估,同时要通过外部审计对公司的内部控制制度以及公司的自我评估报告进行核实和评价,并披露相关信息。

2006年1月,中国保险监督管理委员会(简称保监会)发布了《寿险公司内部控制评价办法(试行)》,并在附件中提供了《寿险公司内部控制评估表——法人机构》和《寿险公司内部控制评估表——分支机构》。此评价办法对寿险公司的内部控制评价提出了详尽的要求,并对内部控制缺陷的含义进行了界定。

2006年2月,财政部发布了《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》,对内部控制的内涵和要素做出了详细的说明。

2006年6月,上海证券交易所发布了《上海证券交易所上市公司内部控制指引》;同年9月,深圳证券交易所也发布了《深圳证券交易所上市公司内部控制指引》。两项指引对上市公司内部控制的框架、专项风险内部控制、内部控制工作的检查监督、信息披露等多项内容进行了界定,对上市公司保证企业内部控制制度的完整性、合理性和有效性进行了规定。

2006年6月,国务院国有资产监督管理委员会(以下简称国资委)发布了《中央企业全面风险管理指引》,对中央企业在全面风险管理的目标、原则、流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进,以及风险管理文化和风险管理信息系统等方面进行指导,并就企业对此指引的实施提出了明确要求。

2006年7月,受国务院委托,由财政部牵头,联合国资委、证监会、审计署(全称为中华人民共和国审计署)、银监会(全称为中国银行业监督管理委员会)、保监会发起成立了具有广泛代表性的企业内部控制标准委员会。该委员会曾研究制定“具有统一性、公认性和科学性的企业内部控制规范体系”。中国注册会计师协会也发起成立了会计师事务所内部治理指导委员会。在监管部门、大中型企业、行业组织和科研院所等机构领导和专家的积极参与和大力支持下,我国企业内部控制标准体系的保障机制和配套组织业已形成。

1.1.2.3 完善阶段

2008年,金融危机在全球蔓延,但我国并未因世界经济局势的动荡而放慢完善企业内部控制制度体系的步伐。

2008年5月22日,财政部会同证监会、审计署、银监会、保监会(以下简称五部委)联合发布了《企业内部控制基本规范》(以下简称《基本规范》),要求上市公司自2009年7月1日起执行,并且鼓励非上市大中型企业执行《基本规范》。该规范要求:执行本规范的上市公司应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。该规范既融合了国外内部控制制度的相关经验,又结合了我国的实际情况,具有我国自身的特色,标志着企业内部控制规范体系建设取得重大突破。

2010年4月15日,财政部会同证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》(以下简称《配套指引》),在境内外同时上市的公司自2011年1月1日起施行,在上海证券交易所、深圳证券交易所的主板上市公司自2012年1月1日起施行;在此基础上,择机在中小板和创业板上市公司施行;鼓励非上市大中型企业提前执行。《企业内部控制配套指引》连同之前发布的《企业内部控制基本规范》共同构成了我国企业内部控制规范体系。

《配套指引》由《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》(下文简称《评价指引》)和《企业内部控制审计指引》(以下简称《审计指引》)组成。18项应用指引不仅包括业务活动控制相关的实务指南,而且增加了对内部环境、风险评估、信息与沟通、内部监督等控制要素的操作性指引,涵盖了企业的组织架构、发展战略、人力资源、社会责任、企业文化等方面的内部控制,规范了企业的资金活动、采购业务、资产管理、销售业务、工程项目、担保业务、业务外包、合同管理等具体业务中内部控制的应用,还指导了企业财务报告、内部信息传递和信息系统等方面的内部控制行为。《内部控制评价指引》对企业内部控制评价的内容、程序,内部控制缺陷的认定和内部控制评价报告都进行了清晰的阐述,为企业内部控制评价提供了详尽的依据。《内部控制审计指引》对注册会计师执行企业内部控制审计业务进行了规范,并给出了内部控制审计报告的参考格式,使我国注册会计师在对企业内部控制进行审计时有章可循。

1.1.3 我国企业内部控制规范体系

《企业内部控制基本规范》及其配套指引的发布,标志着我国内部控制规范体系的基本形成,是我国内部控制体系建设的里程碑。

我国企业内部控制规范体系主要包括基本规范、配套指引、解释公告与操作指南3个层次(见图1-1)。其中,基本规范是内部控制规范体系的最高层次,属于总纲,起统驭作用;配套指引是内部控制规范体系的主要内容,是为促进企业建立、实施和评价内部控制,规范会计师事务所内部控制审计行为所提供的指引,包括应用指引、评价指引和审计指引3个方面;解释公告是就企业内部控制规范体系实施中普遍反映和亟待解决的问题进行的解释说明,是对内部控制规范体系的重要补充。

图1-1 我国企业内部控制规范体系

1.1.3.1 企业内部控制基本规范

财政部等五部委颁布《企业内部控制基本规范》的目的是加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益。基本规范确立了我国企业建立和实施内部控制的基本框架,是我国内部控制建设的纲领性文件,是制定配套指引、解释公告和操作指南的基本依据。

基本规范的特点可以概括为“四个五”,即“五个目标”“五个原则”“五个要素“五十条”。基本规范坚持立足我国国情、借鉴国际惯例,确立了我国企业建立和实施内部控制的基础框架,并在以下方面取得了重大突破。

(1)科学界定内部控制的内涵

强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,有利于树立全面、全员、全过程控制的理念。

(2)准确定位内部控制的目标

要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略目标。

(3)合理确定内部控制的原则

要求企业在建立和实施内部控制全过程中贯彻全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。

(4)统筹构建内部控制的要素

要求企业有机融合世界主要经济体加强内部控制的做法和经验,构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的5要素内部控制框架。

(5)开创性地建立内部控制实施机制

要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,并出具审计报告。

1.1.3.2 企业内部控制配套指引

《企业内部控制基本规范》为企业内部控制体系的建设勾勒了宏观的基本框架,但没有从具体要素的内涵和业务层面为企业提供具体指引。《企业内部控制配套指引》(以下简称配套指引)则弥补了这一空白,其能够促进企业建立、实施和评价内部控制,规范会计师事务所内部控制审计行为。配套指引在遵循基本规范的定义、目标、原则和要素的基础上为企业提供更清晰的指引和标准,是对基本规范的进一步补充和说明,具有指导性和示范性的作用。

配套指引由21项应用指引(已发布18项,涉及银行、证券和保险等业务的3项指引暂未发布)、《评价指引》和《审计指引》组成。其中,应用指引是对企业按照内部控制原则和内部控制5要素建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中占据主体地位;《评价指引》是为企业管理层对本企业内部控制有效性进行自我评价提供的指引;《审计指引》是注册会计师和会计师事务所执行内部控制审计业务的执业准则。三者之间既相互独立,又相互联系,形成一个有机整体。

(1)应用指引

应用指引可以划分为3类,即内部环境类指引、控制活动类指引和控制手段类指引。这3类指引基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。

内部环境是企业实施内部控制的基础,影响着企业全体员工的内控意识,全体员工实施控制活动和履行控制责任的态度、认识和行为。内部环境类指引有5项,包括组织架构、发展战略、人力资源、企业文化和社会责任等指引。

控制活动类指引是为企业对各项具体业务活动实施控制提供的指引。此类指引有9项,包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等指引。

控制手段类指引偏重于“工具”性质,往往涉及企业整体业务或管理。此类指引有4项,包括全面预算、合同管理、内部信息传递和信息系统等指引。

(2)《评价指引》

内部控制评价是指企业董事会或类似决策机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。在企业内部控制实务中,内部控制评价是极为重要的一环。它与日常监督共同构成了对内部控制制度本身的控制。《评价指引》的主要内容包括:实施内部控制评价应遵循的原则、内部控制评价的组织、内部控制评价的内容、内部控制评价的流程与方法、内部控制评价缺陷的认定、内部控制评价报告及其报送与披露。

(3)《审计指引》

内部控制审计是指会计师事务所接受委托,对从特定基准日起企业内部控制设计与运行的有效性进行审计。它是企业内部控制规范体系实施中被引入的强制性要求,既有利于促进企业健全内部控制体系,又能增强企业财务报告的可靠性。《审计指引》的主要内容包括完成审计工作:审计责任划分、审计范围、整合审计、计划审计工作、实施审计工作、评价控制缺陷、出具审计报告以及记录审计工作。

1.1.3.3 解释公告

解释公告是财政部会同证监会、审计署、银监会、保监会、国资委针对企业内部控制规范体系实施过程中出现的新情况和新问题的明确和解答,是政府监管机构对企业内部控制规范体系实施过程的监控和反馈;其发布目的是具体解释企业内部控制规范体系实施过程中出现的问题,及时对规范体系进行有益补充,形成政策制定者与政策实施者之间的良性互动,完成规范体系试点工作,从而推动其顺利实施。

(1)《企业内部控制规范体系实施中相关问题解释第1号》

《企业内部控制基本规范》及其配套指引于2011年1月1日在境内外同时上市的公司和部分在境内主板上市的公司实施和试点。在一年的具体执行过程中,纳入实施范围的企业反映了一些问题。为此,财政部等六部委对这些问题进行了研究,并征求了有关上市公司、咨询公司等单位的意见,在此基础上制定了《企业内部控制规范体系实施中相关问题解释第1号》(以下简称《解释公告1号》),并于2012年2月印发。

《解释公告1号》对企业内部控制规范体系实施中的10个重要问题进行了解释,具体包括规范体系的强制性与指导性的关系、规范体系的实施范围、规范体系与其他监管部门规定的关系、内部控制与风险管理的关系、规范体系的政策盲区、内部控制的成本与效益、内部控制与其他管理体系的关系、内部控制缺陷的认定标准、内部控制机构设置、内部控制评价报告等。

(2)《企业内部控制规范体系实施中相关问题解释第2号》

2012年以后,企业内部控制规范体系在我国境内主板上市公司开始正式实施,在实施过程中出现了一些新情况、新问题,部分企业还存在理解认识上的不到位和实际执行上的偏差。为了稳步推进规范体系的贯彻实施,财政部等六部委对这些新情况、新问题进行了认真研究,并征求了有关上市公司、咨询机构和有关部门的意见,制定了《企业内部控制规范体系实施中相关问题解释第2号》(以下简称《解释公告2号》),并于2012年9月印发。

《解释公告2号》对企业内部控制规范体系实施中的10个重要问题进行了解释,具体包括内部控制的组织实施工作、内部控制实施工作的进度与重点、内部控制人才队伍培养、集团企业内部控制评价、中介机构工作、内部控制评价组织形式、内部控制缺陷处理、会计师事务所工作、内部控制审计、小型企业的内部控制建设等。

1.1.3.4 操作指南

尽管《企业内部控制基本规范》为我国企业内部控制的建立和实施提供了基本框架,《企业内部控制配套指引》为我国企业内部控制实施过程中的具体业务控制提供了具体指引,但配套指引只是对一般生产型工业企业常见的18项业务的内部控制加以规范,而执行企业内部控制规范体系的企业数量众多,业务类型多样,且分布于各行业,规范体系在不同行业企业的具体落实仍需要具体操作指南加以规范和引导。因此,为了满足各类企业的个性化需求,对内部控制规范体系的建设方法、控制程序、实施步骤、考核办法进行行业内的具体规定,财政部启动了分行业的内部控制操作指南的编制工作,以期为各类企业建设实施内部控制规范体系提供经验借鉴和具体实务操作指导。

2013年12月28日,财政部根据《中华人民共和国公司法》《中华人民共和国会计法》《中华人民共和国证券法》《企业内部控制基本规范》《企业内部控制配套指引》等相关规定编制并发布了《石油石化行业内部控制操作指南》。选择石油石化行业作为编制操作指南的起点,基于两点考虑。一方面,石油石化行业关乎国家的能源安全,是国家的经济命脉。另一方面,中国石油、中国石化、中海油三大石油石化企业作为较早在境内外同时上市的公司,自21世纪初就按照美国《萨班斯法案》的要求,遵循COSO内控框架,建立了较为完善的内部控制体系,同时也是实施我国企业内部控制规范的首批企业,积累了应对境内外资本市场严格监管的丰富经验。

《石油石化行业内部控制操作指南》依据《企业内部控制基本规范》及其配套指引进行编制,在借鉴和吸收三大石油石化企业内控管理成果和具体经验做法的基础上,以内部控制五大要素为主线,以内部环境为基础,以风险评估为关键,以控制活动为重点,以信息与沟通为条件,以检查与评价为保证,以现代信息技术为手段,以内部控制缺陷原因分析及改进作为补充。该操作指南基本涵盖了三大石油石化企业上游、中游、下游的主要业务,分析提出了石油石化行业内部控制体系建设的原则、基本思路和方法,总结归纳了石油石化行业在公司层面和一般业务层面存在的具体风险和相应的控制措施,是具有石油石化行业特点的内部控制建设与实施的操作指南。该操作指南共分为7章,包括总论、内部环境建设、风险评估、主要业务控制活动、信息系统内部控制的应用与保障、信息与沟通、内部控制的检查与评价。

该操作指南属于具有指导性的操作手册,而非强制性要求。《石油石化行业内部控制操作指南》可以为石油石化行业内各类型企业开展内部控制体系建设与实施工作提供经验借鉴,也可为中介机构开展内部控制咨询、实施内部控制审计提供重要参考,还可为政府监管部门开展内部控制监督提供有益帮助。