加强和完善企业内部控制制度,已成为当前理论界和实务界最为关注的话题之一。朱熔基总理去年在考察上海国家会计学院时指出:实行社会主义市场经济,需制定“游戏规则”并按 “游戏规则”办事,需培养大批高素质的会计人才。“不做假帐”是每个会计人员最基本的职业道德和行为准则。研究内部控制 (尤其内部会计控制),对于改善我国企业的内部控制现状,保证会计信息的质量,完善公司治理和信息披露制度,保护投资者的合法权益并保证资本市场的有效运行有着非常重要的意义。本文拟对我国内部控制规范建设的现状进行分析,继而提出相应的建议。
一、我国内部控制规范的现状
所谓内部控制,是在内部牵制的基础上,由企业管理人员在经营管理实践中创造、并经审计人员理论总结而逐步完善的自我监督和自行调整体系。COSO报告中把内部控制定义为:内部控制是由企业董事会、管理当局和其他员工实施的,为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循等目标的达成而提供合理保证的过程。其构成要素来源于管理层经营企业的方式,并与管理的过程相结合。其整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督等五项要素构成。与其相对应的内部控制可以分为经营控制、财务报告控制和遵循控制。为保证这几种控制的有效落实,相应的规范制定成为必要。
自90年代起,我国政府开始加大对企业内部控制的推行。1997年5月,中国人民银行颁布《加强金融机构内部控制的指导原则》,这是我国第一个关于内部控制的行政规定。1996年12月财政部发布《独立审计具体准则第9号——内部控制和审计风险》(于1997年1月1日施行),要求注册会计师审查企业的内部控制。并对内部控制的定义、内部控制的内容(包括控制环境、会计系统和控制程序)等作出了规定。199年中国证监会发布 《关于上市公司做好各项资产减值准备等有关事项的通知》,要求上市公司本着审慎经营、有效防范化解资产损失风险的原则责成相关部门拟定 (或修订)内部控制制度,监事会对内部控制制度制定的情况进行监督。1997年颁布,并于1996年7月实施的《会计法》是我国第一部体现内部会计控制要求的法律,该法在第二十七条明确提出:各单位应当建立、健全本单位内部会计监督制度,单位内部会计监督制度应当符合下列要求:记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确,并相互分离、相互制约;重夫对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确。财产清查的范围、期限和组织程序应当明确;对会计资料定期进行内部审计的办法和程序应当明确。作为《会计法》的配套法规之一,财政部于2001年6月22日,颁布了《内部会计控制规范——基本规范 (试行)》和《内部会计控制规范——货币资金 (试行)》。与以往内部控制规范相比,该法规呈现如下特点:
1.以单位 (企业)自身为出发点。《内部会计控制规范》出台以前的相关法规,其对企业内部控制要求基本上是从其行业相关角度,而非从企业自身角度出发。《独立审计具体准则第9号——内部控制和审计风险》是从制度基础审计的角度来要求对企业的内部控制进行评价。中国证监会 《关于上市公司做好各项资产减值准备等有关事项的通知》与《公开发行证券公司信息披露编报规则》等法规是从信息披露的角度来对企业的内部控制予以要求。而《内部会计控制规范》是从企业自身的角度,即从加强企业管理,完善单位内部会计控制,改进企业经营方式的角度为出发点来对企业的内部控制予以要求的。从内部控制的产生来看,它是由企业管理人员在经营管理实践中产生并在实践中完成其主体内容构造的。
2.目标定位明确具体。控制目标的定位是内部控制存在及存在形式的根本所在,也是建立内部控制框架体系以及进行内部控制设计、评价和考核的原则指导与参照。在我国提出《内部会计控制规范》之前,《独立审计具体准则第9号——内部控制和审计风险》将内部控制定义为:是指被审计单位为了保证业务活动约有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制包括控制环境、会计系统和控制程序。审计准则对要求进行评价的内部控制的限定处于内部控制理论发展的内部控制结构阶段。COSO委员会在其报告中对内部控制的目标定位为:为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循性。COSO委员会报告对内部控制的目标包括的范围更为宽泛,尤其是取得经营的效率效果,企业达到这一目标需涉及与此有关的社会的各个方面,特别是与企业经营有关的社会文化等“软环境”,同时也涉及到确定经营效果的考核和经营业绩的评价指标体系问题。《内部会计控制规范——基本规范 (试行)和《内部会计控制规范——货币资金 (试行》,对单位内部会计控制的建设以及内部会计监督等作了相应的定位。该规定对内部控制的定位以内部会计控制为主,同时兼顾与会计相关的控制。
3.基本构成直接以内容而非要素形式存在。COSO报告中关于内部控制的内容构成是要素式的,由控制环境、风险评估、控制活动、信息与沟通、监督等五大要素组成。《内部会计控制规范》的构成并未以要素的形式存在,而是直接列出了内部控制的内容,这些内容包括:货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制,并且每一条款都将制定相应的具体规范。《内部会计控制规范——基本规范试行》中的突出部分是强调了建立风险控制系统,强化风险管理,确保单位各项业务活动的健康运行,对风险控制系统的建立作为独立的内部控制的条款加以强调。第二十四条规定:风险控制要求单位树立风险意识,针对各个风险控制点,建立有效的风险管理系统,通过风险预警、风险识别、风险评估、风险分析、风险报告等措施,对财务风险和经营风险进行全面防范和控制。并且在每一具体业务的控制条款中都增加了有关防范风险的要求。强调风险控制,强化风险管理,与我国当前企业在运转过程中忽视风险控制,造成巨大隐患甚至损失有关,适合当前的现实需要,也能够在很大程度上促进国有企业的改革和公司治理结构的完善。
4.内部控制条款有利于以业务循环进行设置。企业内部控制的设置,需要考虑企业自身的经营特点来进行,同时应当兼顾可操作性和控制成本的合理性。《内部会计控制基本规范》第七条第 (三)款中要求:“内部会计控制应当涵盖单位内部涉及会计工作的各项经济业务及相关岗位,并应针对业务处理过程中的关键控制点,落实到决策、执行、监督、反馈等各个环节”。而《内部会计控制规范——货币资金 (试行)》作为内部控制规范的具体规范,依照其规定的相应程序,可按照业务循环设置相应的流程图式,在各个环节上设立互相制约的职能岗位,确定其中的关键控制点,来进行内部控制。借鉴COSO报告和我国台湾地区的做法,按照业务循环来进行内部控制的设置,可以避免按业务项目设置内部控制产生的缺陷,且对不同业务性质的企业更具有普遍性的指导意义。
二、关于我国内部控制规范建设的几点思考
上述内部控制规范的制定与出台,对于改善我企业内部控制的现状;提高审计效率,保证审计质量;完善信息披露制度以及保证资本市场的有效运行有着非常重要的意义。但从目前情况来看,无论是在内部控制规范的制定方面,还是在己制定规范的执行方面,都还存在一些需改进的方面:
1.关于内部控制规范体系的思考。目前内部控制规范还缺乏一个成型的体系。首先在内容层次上,虽已制定了以上几部法律与规范,但从完整性来看,还远末达到社会主义市场经济对内部控制规范体系完整性的要求。目前《内部会计控制规范》的基本规范和货币资金的具体规范己颁布实施,其它的具体规范也将陆续出台。全部内容完成后,将在内部会计控制方面形成一个较完整的规范体系;但也应看到,在操作性层次上,尚有相当艰巨的任务目前许多规范的诸多内容是非常原则性的,在现实中的可操作性相对较差。规范的缺失与失效都会影响规范的有效性。
2.关于内部控制规范目标定位的思考。目标定位是一部规范对其规范对象战略高度的确定。内部控制规范制定的目标定位是内部控制的根本所在。只有目标定位明确了,相应地内容范围才能够确定,设置方式以及评价指标体系的建立也才能有所参照与依据。目前我国内部控制的目标定位与COSO报告相对完整的定位相比还有较大的距离。COSO报告将内部控制的目标定位于:财务报告的可靠性、经营的效率效果以及法律法规的遵循性。我国内部控制的定位主要还是局限于保证业务活动的有效进行,防错纠弊,会计资料的真实、合法与资产的安全和完整方面。这种目标定位的相对低调与我国现实的经济发展和企业状况确实相符合。但从长远来看,随着经济的不断发展和企业状况的不断改善,目标定位应有相应的提高。不仅仅需要借鉴国际上有关内部控制的目标定位,同时也需考虑中国国情,立足于中国企业的现实,从改善中国企业现状和完善公司治理的角度出发,应既遵循适当的前瞻性与发展性,同时又有立足于现实的稳定性与可操作性,从而给中国的内部控制规范以一个适当的目标定位。
3.关于内部控制规范内容范围的思考。内部控制理论在西方经过近一个世纪的发展,成熟于COSO报告的五大要素,即控制环境、风险评估、控制活动、信息与沟通以及监督。这是西方成熟市场经济以及发达资本市场条件下企业内部控制需考虑的要件。我国内部控制的内容范围与COSO报告相比,还有相当的距离。内部控制规范的内容主要集中于会计领域。《会计法》《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重于企业的会计责任方面。随着社会主义市场经济的进一步发展,处于社会主义市场经济初级阶段的中国企业内部控制的内容范围的确定是一个需考虑的问题。企业作为市场经济的主体,权利与义务在逐步规范中执行并到位,其在社会经济生活中将发挥越来越大的作用,相应的与企业内部控制相关的内容在范围上也会越来越宽泛。企业的外围环境,文化理念,经营哲学等控制环境因素与风险因素都应纳入企业内部控制的范围来予以考虑。我们的观点是,既不能不顾中国现实照搬成熟市场经济条件下国外企业内部控制的要素理论,也不能局限于中国现有的内部控制规范的内容范围。以中国现有的有关内部控制法规的内容来看,作为企业外部条件的控制环境与风险评估部分相对较弱,在今后内部控制规范的制定中需加以强调。
4.关于内部控制设置方式的思考。一般来说,一定的内部控制设置方式往往与内部控制的基本构成联系在一起。内容条款也能决定相应的设置方式。在内部控制的设置方式上,可以借鉴COSO报告和我国台湾地区的做法,按业务循环来设计。在今后各项具体规范的制定过程中,条款的制定可考虑便于按规范流程及重点控制环节来进行内部控制的设置。
5.关于内部控制评价规范的思考。内部控制评价是对内部控制执行有效性的检测。对企业内部控制进行评价,应该执行那些评价程序、遵循什么样的评价标准,是否需建立内部控制的评价准则,用什么样的评价形式等等都是需考虑的因素。如果需要注册会计师对企业内部控制的评价承担相应的法律责任,在什么情况下承担责任、承担什么责任等,这些都是需要谨慎解决的问题。目前我国内部控制的评价体系尚未建立,已制定和出台的内部控制规范,这方面的内容尚未作为主要部分以予重视。而只有建立一套完善的、符合实际的,具有可操作性的评价指标体系,内部控制制度在实践中才具有现实的可运行性与有效性。