【作 者】
晋晓琴(教授)
【作者单位】
(华北水利水电大学管理与经济学院,郑州 450046)
【摘 要】
【摘要】我国企业内部控制规范体系主要由四个层次构成,规范数量众多,但每个层次均存在一些问题,本文对其进行了详细剖析,并提出了相应的对策建议。
【关键词】企业内部控制;规范体系;层次
2002年,美国发布了《2002年公众公司会计改革与公司责任法》(SOX法案),并由此逐步构建了一套严格的企业内部控制规范体系。其他国家(如英国和加拿大)纷纷紧随其后,努力探索建设完整的企业内部控制规范体系。在国际内部控制迅速发展的背景下,我国企业内部控制规范体系建设也驶入了快车道,《企业内部控制基本规范》及其配套指引和内控解释的陆续出台,标志着我国统一的企业内部控制标准体系基本建成。本文通过对我国企业内部控制规范体系的分析,发现了其存在的一些问题,并提出相应的对策建议。
一、我国企业内部控制规范体系的层次及相关内容
目前,我国企业内部控制规范体系由以下层次构成:
1. 最高层次是法律。目前我国涉及企业内部控制的法律主要有九部。《审计法》(1994年)第二十九条规定:“对于依法属于审计机关审计监督对象的单位,应当按照国家有关规定建立健全内部审计制度;其内部审计工作应当接受审计机关的业务指导和监督”。《会计法》(1999年)第二十七条要求:“各单位应当建立、健全本单位内部会计监督制度”。《商业银行法》(2003年)第五十九条规定,商业银行应当建立、健全本行的风险管理和内部控制制度。《公司法》(2013年)提出了对股东会、董事会、监事会、经理等公司治理层的要求,而公司治理结构是企业内部控制环境的重要组成部分。《证券法》(2014年)第一百二十四条和第一百三十六条规定,设立证券公司应具备“完善的风险管理与内部控制制度” 、“证券公司应当建立健全内部控制制度”,此外,第一百六十一条还规定,“证券登记结算机构应当建立完善的风险管理系统”。《银行业监督管理法》(2006年)第二十一条指出:“银行业金融机构的审慎经营规则包括风险管理、内部控制、资本充足率、资产质量、损失准备金、风险集中、关联交易、资产流动性等内容,银行业金融机构应当严格遵守审慎经营规则”。《反洗钱法》(2006年)第九条、第十五条、第三十一条涉及内部控制,尤其是第十五条明确规定,金融机构应当建立健全反洗钱内部控制制度,金融机构的负责人应当对反洗钱内部控制制度的有效实施负责。《企业国有资产法》(2008年)第十七条规定,国家出资企业应当依法建立和完善法人治理结构,建立健全内部监督管理和风险控制制度。《证券投资基金法》(2012年)第九条、第十三条和第三十四条涉及内部控制,尤其是第十三条和第三十四条明确规定,设立管理公开募集基金的基金管理公司、担任基金托管人应当具备“完善的内部稽核监控制度和风险控制制度”。
2. 第二层次是行政法规。目前我国涉及内部控制的行政法规主要有六个。《总会计师条例》(1990年)中第五条规定:“总会计师组织领导本单位的财务管理、成本管理、预算管理、会计核算和会计监督等方面工作,参与本单位重要经济问题的分析和决策”。《企业财务会计报告条例》(2000年)第三章和第四章对财务会计报告的编制、对外提供如何进行内部控制做出了详细的规定,是制定《企业内部控制应用指引第14号——财务报告》的重要依据。《企业国有资产监督管理暂行条例》(2003年)第五章和第六章对企业国有资产的管理和监督做出了规定。《证券公司监督管理条例》(2008年)第四条、第十二条和第四条对证券公司的内部控制做出了规定。《审计法实施条例》(2010年)第二十六条规定,依法属于审计机关审计监督对象的单位的内部审计工作,应当接受审计机关的业务指导和监督。《金融资产管理公司条例》第二十五条规定,金融资产管理公司应当根据不良贷款的特点,制定经营方针和有关措施,完善内部治理结构,建立内部约束机制和激励机制。
3. 第三层次是部门规章和其他规范性文件。这一层次主要包括财政部和其他部门制定的规章和规范性文件,数量众多。财政部制定的和内部控制有关的规章和规范性文件较多,主要有:①《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》、《企业内部控制规范体系实施中相关问题解释第1号》和《企业内部控制规范体系实施中相关问题解释第2号》。这一层次在整个企业内部控制规范体系中居于主体地位。②《企业财务通则》(2006年)从企业财务管理体制、资金筹集、资产营运、成本控制、收益分配、重组清算、信息管理、财务监督等多方面对内部控制进行了阐述,很多条款和《企业内部控制应用指引》相同或相似;《金融企业财务规则》(2006年)主要从金融行业的特点出发,更强调金融行业特殊的财务风险控制。③《会计基础工作规范》对会计系统内部控制做出了全面详细的规定,是对《企业内部控制基本规范》的重要补充。④《内部会计控制规范——基本规范(试行)》(2001年)及其一系列具体规范,从单位自身角度出发,明确了单位建立内部会计控制体系的基本框架和要求,以及一些具体项目内部控制的要求。⑤《石油石化行业内部控制操作指南》(2013年)。这一系列规范大多强调内控以会计控制为主,同时兼顾与会计相关的控制。
其他部门制定的内部控制规章或规范性文件主要有:①中国人民银行发布的《商业银行内部控制指引》(2002年)、《金融机构反洗钱规定》(2006年);②国资委发布的《中央企业全面风险管理指引》(2006年)、《中央企业财务内部控制评价工作指引(2007年度试行)》、《中央企业境外国有资产监督管理暂行办法》(2011年);③审计署发布《审计署关于内部审计工作的规定》(2003年)和《国家审计准则》(2010年)。
4. 第四层次是各监管机构发布的规范。①银监会发布的主要有:《商业银行内部控制指引》(2014年)、《融资性担保公司内部控制指引》(2010年)、《商业银行公司治理指引》(2013年)、《商业银行市场风险管理指引》(2004年)、《银行业金融机构信息系统风险管理指引》(2006年)、《商业银行流动性风险管理指引》(2009年)等。②保监会发布的主要有:《寿险公司内部控制评价办法(试行)》(2006年)、《保险公司内部控制基本准则》(2010年)、《保险企业风险管理指引(试行)》(2007年)、《保险公司内部审计指引(试行)》(2007年)、《人身保险公司全面风险管理实施指引》(2010年)、《保险资金运用风险控制指引》(2004年)等。③证监会发布的主要有:《上市公司治理准则》(2001年)、《证券投资基金管理公司内部控制指导意见》(2002年)、《证监会关于加强期货经纪公司内部控制的指导原则》(2003年)、《证券公司内部控制指引》(2003年修订)、《证券公司融资融券业务试点内部控制指引》(2006年)、《关于提高上市公司质量的意见》(2005年)、《公开发行证券公司信息披露编报规则第7号和第8号》(2000年)、《首次公开发行股票并上市管理办法》(2006年)、《证券投资基金销售机构内部控制指导意见》(2007年)、《上市公司实施企业内部控制规范体系监管问题解答第1期》(2011年和2012年)、《证券公司治理准则》(2012年)、《公开发行证券的公司信息披露内容与格式准则第2号——年度报告的内容与格式》(2012年)、《公开发行证券的公司信息披露内容与格式准则第26号——商业银行信息披露特别规定》(2008年)、《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》(2014年)。
此外,还有上证所发布的《上海证券交易所上市公司内部控制指引》(2006年)和《上市公司2011年年度报告工作备忘录第一号内控报告的编制、审议和披露》(2012年);深交所发布的《深圳证券交易所上市公司内部控制指引》(2006年,已废止);中国内部审计协会发布的《第1101号——内部审计基本准则》(2013年)、《第2201号内部审计具体准则——内部控制审计》(2013年);中国注册会计师协会发布的《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》(2010年)、《中国注册会计师审计准则第1152号——向治理层和管理层通报内部控制缺陷》(2010年)、《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》(2010年)、《企业内部控制审计指引实施意见》(2011年)等。
二、我国企业内部控制规范体系存在的问题
(一)企业内部控制法律众多,但适用范围偏窄且缺失核心法律
与英美两国相比,我国涉及企业内部控制的法律数量不少,但仍存在一些问题:
1. 有的法律未明确提及内部控制。如《会计法》只是依据内部控制的原理,规定各单位应当建立、健全单位内部会计监督制度,并没有明确提出内部控制,且内部控制并不是只包括内部会计监督,内部会计监督制度只是内部控制制度的一个方面;《审计法》和《公司法》分别从审计监督、公司治理结构的角度对内部控制进行了相关规定,也未明确提到内部控制。
2. 大部分法律适用范围偏窄。九部内部控制法律中,《证券法》、《商业银行法》、《证券投资基金法》、《反洗钱法》和《银行业监督管理法》五部法律适用于金融机构、证券公司或基金管理公司等,可见我国对银行等金融机构的内部控制规范建设重视程度较高,而忽视了一般企业的内部控制规范建设。
3. 对内部控制概念的理解有待提高。《证券法》、《商业银行法》和《反洗钱法》尽管明确提到了内部控制,但对内部控制的理解停留在静态的制度层面,滞后于当前内部控制理论和实践的发展;《证券投资基金法》和《企业国有资产法》用的是“内部稽核监控制度(或内部监督管理)和风险控制制度”字眼,和全面的内部控制概念不匹配。4. 缺少内部控制核心法律,未明确内部控制的责任主体。美国企业内部控制核心法律是SOX法案,其第404款规定:管理层有责任建立和维护适当内部控制结构和财务报告程序,且必须在年度终了对公司内部控制结构和财务报告程序的有效性进行评价并出具报告;第302款规定:公司首席执行官和首席财务官应当对所提交的年度或季度报告签署书面证明,同时还要保证公司拥有完善的内部控制系统。此外,法案还明确了公司违反法案的法律责任。英国企业内部控制核心法律是《公司法》,它指出会计记录和财务报告是内部控制的重要方面,要建立健全内部财务控制,董事长负责披露真实、公允的财务信息,并接受外部审计。若公司没有遵循相关要求,董事会和管理层都会受到相应处罚。而规范我国公司组织行为的《公司法》对“内部控制”只字未提,这与其重要地位不符。
(二)直接涉及内部控制的行政法规较少,且各有侧重
前述六个行政法规中,除《证券公司监督管理条例》外,其他五个均没有直接涉及内部控制。如《总会计师条例》主要是强调总会计师在组织领导单位的财务管理、成本管理、预算管理、会计核算和会计监督等方面工作负有责任;《企业财务会计报告条例》主要强调的是企业财务报告内部控制;《企业国有资产监督管理暂行条例》主要强调对国有资产的监督管理,范围偏小;《审计法实施条例》侧重于审计监督,且其条款和《审计法》基本相同;《金融资产管理公司条例》主要是从内部治理结构角度对金融资产管理公司进行规定。
(三)第三、四层次的内部控制规范数量众多,政出多门,存在重复或不协调之处
由前文可知,第三、四层次的内部控制规范数量庞大,发布时间从1997年延续至今,出台规范的部门有数十个,每个部门制定的角度不同,因此存在问题在所难免。
1. 《企业内部控制基本规范》法律地位偏低,且缺乏处罚条款。美国《内部控制整体框架》虽是社会机构的研究成果,名义上不具有法律地位,但它得到了SOX法案和美国证交会(SEC)的认可,实质上具有很高的法律地位;另外,SOX法案有很严格和明确的处罚条例,它明确内部控制的责任人为企业的CEO和CFO,若违反该法案,企业管理层将被处以最高500万美元的罚金及最高20年的监禁,对企业的最高罚金为2 500万美元。而我国《企业内部控制基本规范》是财政部会同证监会、审计署、银监会、保监会共同制定,以财政部文件形式发布,属于规范性文件,法律层级较低,法律地位不高;此外,它规定了内部控制的责任主体为董事会,但没有规定董事会或企业违反规范会受到什么处罚。所有这些都会使《企业内部控制基本规范》的实施效果大打折扣。
2. 两部《商业银行内部控制指引》的问题。2002年中国人民银行出台了《商业银行内部控制指引》,对商业银行内部控制的概念、目标、原则、基本要求、具体环节的内部控制和内部控制的监督与纠正进行了规范;2007年银监会发布的《商业银行内部控制指引》,97%的条款和前者相同,仅仅在五个方面存在区别。如此高的重合率,银监会有必要出台这样的部门规章吗?2014年,银监会对其进行了修订,删掉了银行具体业务的章节和条款,只是提出原则性要求,增加了银行内控评价的要求和相关管理处罚。修订的优点是条款大幅度减少,更加重视内控的评价,但新的问题出现了:《商业银行内部控制指引》和《企业内部控制基本规范》都是原则性的条款,具体的内控措施则由谁来规范?二者之间的关系如何处理?
3. 对内部控制的概念看法不一。目前我国对内部控制的概念有三种看法,即静态论、动态论和动静态结合论。通过整理发现,我国各部门出台的现行有效的内部控制规范中,有十三部涉及了内部控制的概念,但其内部控制的概念基础不同。《内部会计控制规范——基本规范(试行)》、《证监会关于加强期货经纪公司内部控制的指导原则》、《证券公司内部控制指引》认为内部控制是“一系列控制方法、措施和程序”或“制度安排、组织体系和控制措施”,是静态论的体现;《企业内部控制基本规范》落脚点在“过程”, 是动态论的反映;其他九个规范认为内部控制是“机制和过程”、“系统” 或“相关制度安排和活动”,基础是动静态结合论。
4. 内部控制目标不尽相同。现行有效的内部控制规范中,有十三部描述了内部控制目标,但目标数量及内容各具特色。有三部规范提到的目标最少,只有三个,其中《证券投资基金销售机构内部控制指导意见》提出合规、经营目标和查错防弊、堵塞漏洞目标,《内部会计控制规范——基本规范(试行)》和《寿险公司内部控制评价办法(试行)》均提出可靠性、合规、资产安全目标。《证监会关于加强期货经纪公司内部控制的指导原则》提出的目标最多,有六个,其中三个目标和《证券投资基金销售机构内部控制指导意见》相同,另外新增“发展战略目标;建立科学的决策机制、执行机制和监督机制;建立有效的风险预警系统”目标。《企业内部控制基本规范》提出的五目标较权威,分别是合规、资产安全、报告、经营和发展战略,它融合了《内部控制整体框架》和《企业风险管理框架》的相关内容。其他九个规范也是五目标论,但均在《企业内部控制基本规范》提出的目标基础上进行了微调,如《保险公司内部控制基本准则》、《证券投资基金管理公司内部控制指导意见》的五目标和《企业内部控制基本规范》相同,但还融入了保险、证券行业特色并对五目标进行了较详细的解释;《商业银行内部控制指引》、《融资性担保公司内部控制指引》都无资产安全目标,但新增了“确保风险管理体系的有效性”目标;《上海证券交易所上市公司内部控制指引》也无资产安全目标,新增“内控制度的完整性、合理性及实施的有效性”目标;《中央企业全面风险管理指引》无资产安全和发展战略目标,但新增“确保将风险控制在与总体目标相适应并可承受的范围内;确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失”两个目标。
5. 内部控制要素不一致。纵观西方各国,无论是企业内部控制规范,还是政府部门内部控制规范,都采用了要素框架,主要有四要素说、五要素说、六要素说和八要素说,其中美国五要素说(内部环境、风险评估、控制活动、信息与沟通、监督)是主流观点。而我国各部门出台的内部控制规范对是否采用要素框架做法不一。
未采用要素框架的有五个规范,具体如下:①《保险公司内部控制基本准则》认为保险公司内部控制体系包括内部控制基础、内部控制程序、内部控制保证;②《证监会关于加强期货经纪公司内部控制的指导原则》认为内部控制制度包括内部控制机制和内部控制文本制度;③《证券投资基金销售机构内部控制指导意见》认为内部控制制度包括内部环境控制、业务流程控制、会计系统内部控制、信息技术内部控制和监察稽核控制等。④《中央企业全面风险管理指引》认为全面风险管理包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统五个方面。⑤《商业银行内部控制指引》未明确其内控要素,只是从内控职责、内控措施、内控保障、内控评价、内控监督五方面进行了规定。
采用美国五要素框架的规范最多,有六个,分别是《企业内部控制基本规范》、《融资性担保公司内部控制指引》、《商业银行内部控制指引》、《证券公司内部控制指引》、《证券投资基金管理公司内部控制指导意见》、《寿险公司内部控制评价办法(试行)》,不过五要素的名称略有差异。采用美国八要素框架的只有《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,分别是目标设定、内部环境、风险确认、风险评估、风险管理策略选择、控制活动、信息沟通、检查监督。
6. 各内部控制规范存在表述内容一致但名称不同的条款,容易造成混乱。如对企业进行自我评价之后形成的一个总结性报告,不同规范的名称不同:《企业内部控制基本规范》、《上海证券交易所上市公司内部控制指引》和《公开发行证券的公司信息披露内容与格式准则第2号——年度报告的内容与格式》(2012年)将其命名为“内部控制自我评价报告”;《企业内部控制评价指引》、《企业内部控制规范体系实施中相关问题解释第1号》和《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》(2014年)称其为“内部控制评价报告”;《保险公司内部控制基本准则》、《保险公司内部审计指引(试行)》和《寿险公司内部控制评价办法(试行)》称为“内部控制评估报告”;《上市公司实施企业内部控制规范体系监管问题解答第1期》(2011年)称其为“财务报告内部控制评价报告”;《上市公司2011年年度报告信息披露工作备忘录第一号:内控报告的编制、审议和披露》同时采用“内部控制自我评价报告”和“内部控制评价报告”两种说法。
再如内部控制五要素在不同的规范中名称不尽相同,具体统计如下表所示:
7. 各部门出台的规范中既有内部控制规范,又有风险管理规范,两者存在不协调之处。以《企业内部控制基本规范》和《中央企业全面风险管理指引》为例,从内部控制与风险管理整合的角度看,两者具有很强的关联性,但相关概念和规范内容又不完全相同,未进行有效的协调统一,增加了国有企业实施的难度和成本,也会影响企业的实施效果。
三、完善我国企业内部控制规范体系的对策和建议
(一)构建一套以《会计法》为核心的企业内部控制法律体系
我国内控法律众多,但缺少最核心的内控法律,因此当务之急是确定内控的核心法律。纵观我国九部内控法律,能成为核心法律的只有两部:《会计法》和《公司法》。按理说,作为规范我国公司组织行为的经济大法——《公司法》最有资格,但遗憾的是,2013年12月修订、从2014年3月1日起实施的《公司法》并未增加内部控制的内容,从法律实施稳定性来看,五年之内再次修订的可能性微乎其微。因此,唯一可选的只有《会计法》了。2014年7月,财政部召开了座谈会,就《会计法》的再次修订进行了研讨;此外,财政部会计司联合条法司成立了《会计法》修订工作领导小组,而且《会计法》修订工作已被列入2014年国务院立法工作计划调研类项目。
因此,此次我国《会计法》应借鉴美国SOX法案的成功经验,增加以下内容:明确企业应建立和实施有效的内部控制,强调企业建立内部控制的必要性;明确董事会在内部控制建设、实施方面的责任;明确公司管理层对建立、维护、评价公司内部控制负有的法律责任;明确会计师事务所和注册会计师出具内控审计报告的法律责任,建立内部控制强制审计评价制度;细化对内部控制责任主体的责任认定标准以及处罚标准,加大违法处罚力度,提高企业违规成本。同时,还要与时俱进,更新《商业银行法》、《反洗钱法》、《证券投资基金法》和《企业国有资产法》等法律对内部控制的认识,使之与内部控制理论的最新发展相一致。
(二)提高《企业内部控制基本规范》的法律地位
众所周知,《企业内部控制基本规范》是由财政部等五个部门联合发布的我国企业内部控制的统一标准,它连同2010年发布的《企业内部控制配套指引》共同构建了我国企业内部控制标准体系。《财政部会计司2013年工作要点》明确指出,“继续指导和推动有关上市公司和国有大中型企业有效实施内控规范体系”,这表明《企业内部控制基本规范》在企业内部控制规范体系中不可撼动的重要地位,是企业建立健全内部控制的纲领性文件,急需提高其法律约束力。因此建议相关部门在修订有关法律时,明确《企业内部控制基本规范》的法律地位,提高其法律效力。遗憾的是,刚刚修订的《公司法》、《证券法》都未涉及内部控制,即将修订的《会计法》应承担起该重任。
(三)更新内部控制的概念基础
由于《企业内部控制基本规范》和《行政事业单位内部控制规范(试行)》的出台,《内部会计控制规范——基本规范(试行)》及其一系列具体规范已名存实亡,因此建议对其尽快废止;《证监会关于加强期货经纪公司内部控制的指导原则》、《证券公司内部控制指引》采用的是静态论,有关部门应及时对其修订,采用动态论或动静态结合论的理论基础,或修订时直接在规范中表明采用《企业内部控制基本规范》的相关概念,如2013年新出台的《第2201号内部审计具体准则——内部控制审计》就是如此。
(四)整合各规范的内部控制目标
整合原则:以《企业内部控制基本规范》规定的内控目标为基础,结合各行业的具体特点来制定其内控目标。具体措施如下:
1. 尽管《保险公司内部控制基本准则》和《寿险公司内部控制评价办法(试行)》都是保监会发布的规范性文件,具有同等的法律效力,但由于前者是2011年新修订的,是保险业执行《企业内部控制基本规范》的实施细则;而后者出台于2006年,许多内容已经陈旧过时,因此应将其目标向《保险公司内部控制基本准则》的五目标靠拢。
2. 《证券投资基金销售机构内部控制指导意见》和《证监会关于加强期货经纪公司内部控制的指导原则》发布的时间都较早,目标偏离《企业内部控制基本规范》的幅度较大,已不适合目前证券行业、期货行业的实际发展状况,因此证监会应尽快对其进行修订或废止。
3. 《商业银行内部控制指引》、《融资性担保公司内部控制指引》、《证券公司内部控制指引》和《上海证券交易所上市公司内部控制指引》的目标和《企业内部控制基本规范》比较接近,不必修改。
(五)对未采用要素框架的规范分类采取措施
由于未采用要素框架的四个规范发布时间、发布内容等不同,因此建议分类采取措施:
1. 为避免频繁修改规范带来的负面影响,同时由于保险公司内部控制体系的三个组成部分也包含着内部控制五要素,因此2011年新修订的《保险公司内部控制基本准则》保持不变。
2. 对《证监会关于加强期货经纪公司内部控制的指导原则》和《证券投资基金销售机构内部控制指导意见》要尽早提上修订日程,采用《企业内部控制基本规范》的五要素框架。要素框架的优势在于:语言简练,内涵丰富;任何要素之间都可相互组合,形成不同形式的内控框架;要素是实现内控目标的必要条件,每一个目标都与所有的要素相关。并以《企业内部控制基本规范》为标准,统一各内控规范中内容相同但名称不同的条款,如对企业进行自我评价之后形成的一个总结性报告,统一称为“内部控制自我评价报告”或“内部控制评价报告”,内部控制五要素统一为:内部环境、风险评估、控制活动、信息与沟通、内部监督,避免无谓的歧义。
3. 对《中央企业全面风险管理指引》有两种处理方案:一是借鉴和吸收美国《企业风险管理框架》以及我国《企业内部控制基本规范》的合理内核,对其进行修订,明确采用要素框架,并将内部控制和风险管理进行有机融合;二是依据《公司法》等相关法律对《企业内部控制基本规范》法律地位的认可,废止《中央企业全面风险管理指引》,全面采用《企业内部控制基本规范》。
主要参考文献
李欣.保险公司内控问题与对策研究[J].经济研究导刊,2013(11).
刘玉廷.全面提升企业经营管理水平的重要举措[J].会计研究,2010(5).
【基金项目】2012年河南省教育厅科学技术研究重点项目“对我国企业内部控制规范体系的研究”(项目编号:12A630076);2014年河南省教育厅科学技术研究重点项目“河南省上市公司内部控制评价报告”(项目编号:14A790013)
