Ⅰ 跪求我國內部控制規范進程
李三喜:我國企業內部控制規范的統一與協調
2008-07-09作者:李三喜 來源:經濟觀察網
導讀: 內部控制規范,簡單說就是內部控制的標准。制定企業內部控制規范,其目的就是為企業實施內部控制提供一種範本,讓大家都按照範本去做、去執行。但我國內部控制規范「政出多門」的客觀現實,不僅執行者無所適從的問題,而且也加大了監管成本。
內部控制規范,簡單說就是內部控制的標准。制定企業內部控制規范,其目的就是為企業實施內部控制提供一種範本,讓大家都按照範本去做、去執行。但我國內部控制規范「政出多門」的客觀現實,不僅執行者無所適從的問題,而且也加大了監管成本。
「政出多門」的我國內部控制規范
20世紀90年代以來,我國內部控製取得了迅猛發展,從以下「政出多門」的我國內部控制規范就可略見一斑。
l996年12月中國注冊會計師協會發布《獨立審計具體准則第9號——內部控制和審計風險》,要求注冊會計師審查企業的內部控制,並對內部控制的定義、內部控制的內容(包括控制環境、會計系統和控製程序)等作出了規定。
l997年5月,中國人民銀行頒布《加強金融機構內部控制的指導原則》,這是我國第一個關於內部控制的行政規定。
1999年8月中國保險監督管理委員會制定了《保險公司內部控制制度建設指導原則》,要求企業建立組織機構系統、決策系統、執行系統、監督系統、支持保障系統等控制系統,內部控制要素包括組織機構控制、授權經營控制、財務會計控制、資金運用控制、業務流程式控制制、單證和印鑒管理控制、人事和勞動管理控制、計算機系統控制、稽核監督控制、信息反饋等。
2000年4月中國證監會發布《關於加強期貨經紀公司內部控制的指導原則》,內部控制內容包括內部機構控制、授權分責控制、崗位責任控制、風險監控、資金管理控制、會計系統控制、結算控制、計算機系統風險控制、內部稽核控制等。
2001年1月中國證監會發布《證券公司內部控制指引》,內容包括環境控制、業務控制、資金管理控制、會計系統控制、電子信息系統控制、內部稽核控制等。
2001年6月財政部發布《內部會計控制——基本規范(試行)》和《內部會計控制基本規范——貨幣資金(試行)》,內部會計控制規范適用於國家機關團體、各類企業、事業等單位,以單位內部會計控制為主,同時兼顧與會計有關的控制,是我國會計工作中又一重要的規范性文件。
2002年9月中國人民銀行出台了《商業銀行內部控制指引》,要求商業銀行建立良好的公司治理以及風險監控體系,明確內部控制的要素包括內部控制環境、風險識別與評估、內部控制措施、信息交流與反饋、監督評價與糾正5個部分,內部控制的內容涵蓋組織機構、崗位分工、授權分責、稽核監控、會計控制、計算機控制等各個方面。
2002年12月19日中國證監會發布《證券投資基金管理公司企業內部控制指導意見》,首次系統地提出基金公司內部控制的目標和要求。
2003年4月中國內部審計協會發布的《內部審計具體准則第 5 號——內部控制審計》認為,內部控制是指組織內部為實現經營目標,保護資產完整,保證對國家法律法規的遵循,提高組織運營的效率及效果,而採取的各種政策和程序,內部控制包括控制環境、風險管理、控制活動、信息與溝通、監督等五個要素。
2004年2月審計署發布實施的《審計機關內部控制測評准則》,內部控制由控制環境、風險評估、控制活動、信息與溝通和監督五個要素組成。
2005年1月中國銀監會制定《商業銀行內部控制評價試行辦法》,要求銀行對商業銀行內部控制體系進行評價。
2005年2月中國保監會制定了《保險中介機構內部控制指引(試行)》,要求保險中介機構建立全系統的風險管理系統等。
2005年中國內部審計協會發布的《內部審計具體准則第16號——風險管理審計》,風險管理是組織內部控制的基本組成部分,內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之一。
2006年1月中國保監會制定《壽險公司內部控制評價辦法(試行)》,通過建立統一規范的內部控制評價標准,對壽險公司內部控制體系建設、實施和運行結果進行調查、測試、分析和評估,實施分類監管。
2006年2月財政部發布《中國注冊會計師審計准則第1211號--了解被審計單位及其環境並評估重大錯報風險》第四章重點規范了有關內部控制的內容。
2006年3月3日中天恆會計師事務所研發的《中國式全面控制》,建議建立適合中國企業特色的全面控制體系,把控制分為內部控制和外部控制兩大部分,倡導自主創新,認為會計控制是核心,管理和業務控制是發展方向。
2006年6月上海證券交易所制定了《上海證券交易所上市公司內部控制指引》(以下簡稱《指引》),並於2006年7月1日開始實施。
2006年6月6日國資委出台《中央企業全面風險管理指引》,該指引要求企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立、健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證過程。
2006年9月深圳市證券交易所制定了《深圳證券交易所上市公司內部控制指引》,該類指引界定了上市公司內部控制的范圍,規定了從公司治理到業務控制的一系列規則。主要強調了關於控股公司、關聯交易、對外擔保、募集資金的使用、重大投資以及信息披露等方面的內部控制要求。
2007年4月19日中天恆管理咨詢公司研發的《3C全面風險管理標准》,內容包括基本框架、實務標准、操作指南,力求自主創新,除增加了實務標准、操作指南這些具有可操作性的工具之外,在基本框架方面進行了一系列的創新,充分考慮了中國企業的實際情況,在構建中國企業自己的全面風險管理標准方面進行了有益的探索。
2007年12月6日國資委關於印發《中央企業財務內部控制評價工作指引(2007年度試行)》的通知評價函〔2007〕293號,企業財務內部控制評價工作目的是促進企業內部建立健全運作規范化、管理科學化、監控制度化的財務內部控制體系。企業財務內部控制評價是指通過獨立的調查、測試、分析企業在一定經營期間內所採取的各項財務內部控制政策、程序、措施,評價企業財務內部控制體系的建設、實施情況以及運行的有效程度。
2007年l2月26日,深交所發布的《中小企業板上市公司內部審計工作指引》,建立自查機制,由內審負責審查和評價內部控制的有效性,提建議,審計委員會對內控的建立和實施情況,出具年度內部控制自我評價報告。
2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合發布的《企業內部控制基本規范》,將於2009年7月1日起首先在上市公司范圍內施行,並鼓勵非上市的其他大中型企業執行。
縱觀我國內部控制規范制定情況,大多是由政府主管部門制定的,小部分是由行業協會制訂、政府主管部門發布實施的,社會中介機構和學術團體參與其中,中天恆會計師事務所和中天恆管理咨詢公司研發出了中國式內部控制和風險管理標准。
統一我國企業內部控制規范勢在必行
在美國,COSO框架是一個美國企業以及在美國上市的外國公司的內部控制建設標准;在英國,Turnbull指南已成為英國投資者和公司普遍接受的一個風險管理與內部控制建設的指導原則;在加拿大,CoCo控制指南已成為加拿大公司和組織進行控制設計和評價時廣泛參考的一個標准;在香港,內部監控與風險管理基本架構已經成為在香港上市公司內部控制評價的一個標准。而在我國,長期以來內部控制規范正出多門,現實中,至少存在包括證監會、財政部、國資委、人民銀行、證券交易所等部門或主管單位發布的關於內部控制或風險管理的規範文件。盡管有關監管部門在實際中採用了COSO的標准,但都各自角度出一個規范,怎麼得搞出點特色,是少各規范中對內部控制的定義界定不盡相同,上市公司在披露內部控制信息時所選擇的內部控制標准也存在差異,即使是人為特色,也弄得同一個執行單位無法執行,到底執行財政部的呢,還是執行國資委的,還是證券會和審計署的呢,沒有一個統一的內部控制的標准,實務中執行者難執行,審計者難審計。
應該說,目前內部控制相關制度文件「政出多門」的客觀現實,並非簡簡單單的相關利益的矛盾,其背後更有不同類型企業之於內部控制的不同要求,以及相關監管層對所轄領域內部控制的不同理解。以內部控制的原則為例。
2003年,證監會發布了修訂後的《證券公司內部控制指引》,其中規定,證券公司內部控制應當貫徹健全、合理、制衡、獨立的原則.確保內部控制有效。然而,同屬於證券金融領域,《證券投資基金管理公司內部控制指導意見》中規定,公司內部控制應當遵循健全性原則、有效性原則、獨立性原則、相互制約原則與成本效益原則。
至於2006年l2月8日銀監會第54次主席會議通過的《商業銀行內部控制指引》,其中則規定,商業銀行內部控制應當貫徹全面、審慎、有效、獨立的原則。對比這三個文件關於內部控制原則的規定,其中既有共性的地方,如獨立性、有效性;但其中的差異也較為明顯,如《證券投資基金管理公司內部控制指導意見》中明確提出了成本效益原則與相互制約原則,《商業銀行內部控制指引》則未有明確提出,而《證券公司內部控制指引》中則將語詞弱化為合理與制衡原則。不僅僅是同屬金融行業的不同細分領域存在不同的理解,甚至於針對較為同質化的上市公司,由於上市地點的不同,相關差異也明顯存在。
2006年6月5日,《上海證券交易所上市公司內部控制指引》發布,其中指出:內部控制是指上市公司為了保證公司戰略目標的實現,而對公司戰略制定和經營活動中存在的風險予以管理的相關制度安排。它是由公司董事會、管理層及全體員工共同參與的一項活動。而2006年9月28日發布的《深圳證券交易所上市公司內部控制指引》,其中則指出,本指引所稱內部控制是指上市公司董事會、監事會、高級管理人員及其他有關人員為實現下列目標而提供合理保證的過程:(一)遵守國家法律、法規、規章及其他相關規定;(二)提高公司經營的效益及效率;(三)保障公司資產的安全:(四)確保公司信息披露的真實、准確、完整和公平。可見,同樣是針對上市公司,僅就內部控制的基礎概念方面,上交所與深交所的兩套指引就有著差異不小的理解。
或許正是為了制定一個統一的內部控制規范的需要,2006年7月15日,我國企業內部控制標准委員會成立了。企業內部控制標准委員會由財政部、證監會、國資委等來自監管部門、實務界、理論界的專家學者組成。研究、制定一套具有統一性、公認性和科學性的企業內部控制規范,是2006年7月15日企業內部控制標准委員會成立大會暨第一次全體會議達成的廣泛共識,是國際國內多種因素共同作用、共同影響的結果。
2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合發布的《企業內部控制基本規范》是廣泛徵求各監管部門意見基礎制定的,應該作為我國企業內部控制的統 一標准,我們終於可以自豪地說,至少中國企業有了自己統一的內部控制標准啦。正如財政部副部長王軍介紹說,新發布的基本規范為中國企業首次構建了一個企業內部控制的標准框架,有效解決政出多門、要求不一、企業無所適從的問題,有利於提高內部控制監管效率、降低監管成本,有利於優化企業管理和增強企業競爭實力,有利於保障經濟安全、維護資本市場穩定。
企業內部控制規范與企業風險管理指引的協調
《企業內部控制基本規范》作為我國企業內部控制的統一標准基本要求,這點肯定是沒有疑問。只有各監管部門不各自為政,把對企業監管要求統一到基本規范上來,企業執行統一的企業內部控制標准就不會有障礙。但從該規范的發布部門看,企業內部控制標准委員會重要部門國資委未參與其中,這至少說明企業內部控制標准委員會成員之間的認識還沒有統一。實際工作中,還有一個現實問題,就是《企業內部控制基本規范》和《中央企業風險管理指引》如何統一協調的問題。這是個很難協調的現實問題。
關於內部控制與風險管理的融合,石愛中審計長在2006年度中國內部審計協會和中天恆管理咨詢公司舉辦的《內部控制與風險管理創新論壇》上就指出:「內部控制和風險管理逐漸融合,而且在很多工作中,包括在系統設計中這兩個東西一定要融合,而不是分開的」。中國內部審計協會會長王道成在2007年4月19日中國內部審計協會與中天恆管理咨詢公司舉辦的《融合之道--2007年度內部控制與風險管理春季高峰論壇》上指出,內部控制與風險管理走向融合,是一個必然的趨勢,這不僅是內部控制體系向前邁進了一大步,也為我們內部審計的發展指明了方向,因此為了適應這樣一種發展趨勢,我國現行的內部控制體系有必要逐步地向全面風險管理體系升級和完善。內部審計的模式也應該逐步向以治理為目標、風險為導向、控制為中心、增值為目的的現代管理審計轉型,使內部審計工作更加符合成本效益原則,更能夠滿足企業治理與管理的需要,更能體現內部審計的重要價值,實現內部審計價值的最大化。中國內部審計協會制定的風險管理審計准則規定:「風險管理是組織內部控制的基本組成部分,內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之一。」明確了:風險管理是組織內部控制的基本組成部分,內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之一。這顯然是傳統的把風險管理作為內部控制的內容的觀點。3C全面風險管理基本框架的理解風險管理與內部控制的融合道理其實非常簡單。企業在實現目標的漫長征程中,會遇到各種各樣的風險;因此,就要採取措施控制風險。也正因為有風險才要控制,如果沒有風險,控制就是多餘的了,就是添亂,當然更是浪費資源。風險與控制的關系簡單地說就是風險減去控制就等於剩餘風險。當然,這個剩餘風險一定要在企業可接受的水平范圍內。
實際上,世界上內部控制與風險管理已逐漸融合了,把內部控制與風險管理試為同一事件。1992年,Treadway委員會的發起組織委員會(the Committee of Sponsoring Organizations of the Treadway Commission)發布了《內部控制——整合框架》,2004年,該委員會又發布了《企業風險管理—整合框架》,在該框架附件C中明確:內部控制被涵蓋在企業風險管理之內,是其不可分割的一部分。
國資委頒布的《中央企業全面風險管理指引》要求企業在開展全面風險管理工作的同時,還要與其他管理工作緊密結合,把風險管理的各項要求融入企業管理和業務流程中。
我國的有些企業都在積極探索內部控制與風險管理的融合之道,比如中國網通集團公司的「基於全面風險管理的內部控制體系構建與實施」獲得全國企業管理現代化創新成果一等獎。備受國資委贊揚的中國神華股份公司的《內部控制手冊》,實際上更是以全面風險管理為基礎的,是內部控制與風險管理融合的結晶。中天恆管理咨詢公司為我國某中央企業設計的《全面風險管理手冊》,與公司現有管理體系和管理手段相銜接,實際上不僅僅是內部控制與風險管理的融合,而是整個管理的融合。
如果內部控制和風險管理融合後,企業至少沒有必要既設立風險管理部,又設立內部控制部,設一個風險控制部就夠用了。風險管理與內部控制融合,就是要打破風險和控制水平之間的平衡,不要把現代企業的風險管理和控制僅僅當成是一項純粹的企業經營活動,它是一項包括了企業咨詢專家、企業決策者、中層管理者以及企業員工在內的綜合管理系統工程,需要各方面力量的協調和配合才能實現。
當然,強調風險管理與內部控制的融合,並不是風險管理要代替內部控制,實際上兩者是並存的。企業肯定需要建立內部控制,來應對阻止企業進步的風險。否則,被控制所遏制的風險將可能發生。
融合是一種彼此的尊重,它可以讓兩個公司形成一個系統,融合是一種力量的凝聚,它可以實現1+1〉2的效果,融合是一種思維的創新,它可以創造一個和諧共贏的世界。內部控制與風險管理要融合,正因為有風險才需控制,兩者是一個事件的兩個方面,在實踐中風險管理和內部控制工作基本上是一致的。因此,同樣一個中央企業不能為了應付檢查就同一事件用兩個規范來做,不能既要編報風險管理報告,又要編制內部控制報告。的確,要加強企業內部控制,提升風險管理水平,但終究還是要考慮成本,不能為了控制而控制,為了管理而管理。如果把內部控制規范和風險管理規范統一了,企業內部控制和風險管理工作合二為一,必然會減少各監管部門和企業的不必要的重復勞動,也會減輕企業的負擔,管控的效果或許會更好些。
當然,從道理上講內部控制與風險管理融合是比較簡單的,不要把簡單問題復雜化,更不能相互「製造工作」。但在實際工作中,因涉及到不同的政府主管部門,協調就比較難了。一個妥協的結果就是各干各的,倒霉的是企業,辛苦的是政府主管部門,無奈的是審計師。
當然對企業來講,處於不斷開放經濟體系中的中國企業,面臨著外部環境、文化理念、管理層經營哲學、各種競爭等多方面的環境與因素,企業的內部控制體系也需將眾多的因素與風險納入到控制范圍來予以考慮。在國家基本規范的基礎,企業根據基本規范,可以結合自身情況構建適合本企業自身的內部控制體系。
Ⅱ 上海貫眾健康管理咨詢有限公司怎麼樣
簡介:上海貫眾健康管理咨詢有限公司成立於2015年7月,是一家為實體醫院提供互聯網解決方案的系統開發商;是一家協助醫院為患者開展診療和隨訪的平台運營商;是一家為個人、家庭以及企事業單位提供全程健康管理的互聯網服務商。
法定代表人:龐郁悅
成立時間:2015-07-06
注冊資本:250.8334萬人民幣
工商注冊號:310112001525426
企業類型:有限責任公司(自然人投資或控股)
公司地址:上海市徐匯區楓林路380號1603室
Ⅲ 求我國 內部控製法規 2009年~2012年的發展
李三喜:我國企業內部控制規范的統一與協調
2008-07-09作者:李三喜 來源:經濟觀察網
導讀: 內部控制規范,簡單說就是內部控制的標准。制定企業內部控制規范,其目的就是為企業實施內部控制提供一種範本,讓大家都按照範本去做、去執行。但我國內部控制規范「政出多門」的客觀現實,不僅執行者無所適從的問題,而且也加大了監管成本。
內部控制規范,簡單說就是內部控制的標准。制定企業內部控制規范,其目的就是為企業實施內部控制提供一種範本,讓大家都按照範本去做、去執行。但我國內部控制規范「政出多門」的客觀現實,不僅執行者無所適從的問題,而且也加大了監管成本。
「政出多門」的我國內部控制規范
20世紀90年代以來,我國內部控製取得了迅猛發展,從以下「政出多門」的我國內部控制規范就可略見一斑。
l996年12月中國注冊會計師協會發布《獨立審計具體准則第9號——內部控制和審計風險》,要求注冊會計師審查企業的內部控制,並對內部控制的定義、內部控制的內容(包括控制環境、會計系統和控製程序)等作出了規定。
l997年5月,中國人民銀行頒布《加強金融機構內部控制的指導原則》,這是我國第一個關於內部控制的行政規定。
1999年8月中國保險監督管理委員會制定了《保險公司內部控制制度建設指導原則》,要求企業建立組織機構系統、決策系統、執行系統、監督系統、支持保障系統等控制系統,內部控制要素包括組織機構控制、授權經營控制、財務會計控制、資金運用控制、業務流程式控制制、單證和印鑒管理控制、人事和勞動管理控制、計算機系統控制、稽核監督控制、信息反饋等。
2000年4月中國證監會發布《關於加強期貨經紀公司內部控制的指導原則》,內部控制內容包括內部機構控制、授權分責控制、崗位責任控制、風險監控、資金管理控制、會計系統控制、結算控制、計算機系統風險控制、內部稽核控制等。
2001年1月中國證監會發布《證券公司內部控制指引》,內容包括環境控制、業務控制、資金管理控制、會計系統控制、電子信息系統控制、內部稽核控制等。
2001年6月財政部發布《內部會計控制——基本規范(試行)》和《內部會計控制基本規范——貨幣資金(試行)》,內部會計控制規范適用於國家機關團體、各類企業、事業等單位,以單位內部會計控制為主,同時兼顧與會計有關的控制,是我國會計工作中又一重要的規范性文件。
2002年9月中國人民銀行出台了《商業銀行內部控制指引》,要求商業銀行建立良好的公司治理以及風險監控體系,明確內部控制的要素包括內部控制環境、風險識別與評估、內部控制措施、信息交流與反饋、監督評價與糾正5個部分,內部控制的內容涵蓋組織機構、崗位分工、授權分責、稽核監控、會計控制、計算機控制等各個方面。
2002年12月19日中國證監會發布《證券投資基金管理公司企業內部控制指導意見》,首次系統地提出基金公司內部控制的目標和要求。
2003年4月中國內部審計協會發布的《內部審計具體准則第 5 號——內部控制審計》認為,內部控制是指組織內部為實現經營目標,保護資產完整,保證對國家法律法規的遵循,提高組織運營的效率及效果,而採取的各種政策和程序,內部控制包括控制環境、風險管理、控制活動、信息與溝通、監督等五個要素。
2004年2月審計署發布實施的《審計機關內部控制測評准則》,內部控制由控制環境、風險評估、控制活動、信息與溝通和監督五個要素組成。
2005年1月中國銀監會制定《商業銀行內部控制評價試行辦法》,要求銀行對商業銀行內部控制體系進行評價。
2005年2月中國保監會制定了《保險中介機構內部控制指引(試行)》,要求保險中介機構建立全系統的風險管理系統等。
2005年中國內部審計協會發布的《內部審計具體准則第16號——風險管理審計》,風險管理是組織內部控制的基本組成部分,內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之一。
2006年1月中國保監會制定《壽險公司內部控制評價辦法(試行)》,通過建立統一規范的內部控制評價標准,對壽險公司內部控制體系建設、實施和運行結果進行調查、測試、分析和評估,實施分類監管。
2006年2月財政部發布《中國注冊會計師審計准則第1211號--了解被審計單位及其環境並評估重大錯報風險》第四章重點規范了有關內部控制的內容。
2006年3月3日中天恆會計師事務所研發的《中國式全面控制》,建議建立適合中國企業特色的全面控制體系,把控制分為內部控制和外部控制兩大部分,倡導自主創新,認為會計控制是核心,管理和業務控制是發展方向。
2006年6月上海證券交易所制定了《上海證券交易所上市公司內部控制指引》(以下簡稱《指引》),並於2006年7月1日開始實施。
2006年6月6日國資委出台《中央企業全面風險管理指引》,該指引要求企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立、健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證過程。
2006年9月深圳市證券交易所制定了《深圳證券交易所上市公司內部控制指引》,該類指引界定了上市公司內部控制的范圍,規定了從公司治理到業務控制的一系列規則。主要強調了關於控股公司、關聯交易、對外擔保、募集資金的使用、重大投資以及信息披露等方面的內部控制要求。
2007年4月19日中天恆管理咨詢公司研發的《3C全面風險管理標准》,內容包括基本框架、實務標准、操作指南,力求自主創新,除增加了實務標准、操作指南這些具有可操作性的工具之外,在基本框架方面進行了一系列的創新,充分考慮了中國企業的實際情況,在構建中國企業自己的全面風險管理標准方面進行了有益的探索。
2007年12月6日國資委關於印發《中央企業財務內部控制評價工作指引(2007年度試行)》的通知評價函〔2007〕293號,企業財務內部控制評價工作目的是促進企業內部建立健全運作規范化、管理科學化、監控制度化的財務內部控制體系。企業財務內部控制評價是指通過獨立的調查、測試、分析企業在一定經營期間內所採取的各項財務內部控制政策、程序、措施,評價企業財務內部控制體系的建設、實施情況以及運行的有效程度。
2007年l2月26日,深交所發布的《中小企業板上市公司內部審計工作指引》,建立自查機制,由內審負責審查和評價內部控制的有效性,提建議,審計委員會對內控的建立和實施情況,出具年度內部控制自我評價報告。
2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合發布的《企業內部控制基本規范》,將於2009年7月1日起首先在上市公司范圍內施行,並鼓勵非上市的其他大中型企業執行。
縱觀我國內部控制規范制定情況,大多是由政府主管部門制定的,小部分是由行業協會制訂、政府主管部門發布實施的,社會中介機構和學術團體參與其中,中天恆會計師事務所和中天恆管理咨詢公司研發出了中國式內部控制和風險管理標准。
統一我國企業內部控制規范勢在必行
在美國,COSO框架是一個美國企業以及在美國上市的外國公司的內部控制建設標准;在英國,Turnbull指南已成為英國投資者和公司普遍接受的一個風險管理與內部控制建設的指導原則;在加拿大,CoCo控制指南已成為加拿大公司和組織進行控制設計和評價時廣泛參考的一個標准;在香港,內部監控與風險管理基本架構已經成為在香港上市公司內部控制評價的一個標准。而在我國,長期以來內部控制規范正出多門,現實中,至少存在包括證監會、財政部、國資委、人民銀行、證券交易所等部門或主管單位發布的關於內部控制或風險管理的規範文件。盡管有關監管部門在實際中採用了COSO的標准,但都各自角度出一個規范,怎麼得搞出點特色,是少各規范中對內部控制的定義界定不盡相同,上市公司在披露內部控制信息時所選擇的內部控制標准也存在差異,即使是人為特色,也弄得同一個執行單位無法執行,到底執行財政部的呢,還是執行國資委的,還是證券會和審計署的呢,沒有一個統一的內部控制的標准,實務中執行者難執行,審計者難審計。
應該說,目前內部控制相關制度文件「政出多門」的客觀現實,並非簡簡單單的相關利益的矛盾,其背後更有不同類型企業之於內部控制的不同要求,以及相關監管層對所轄領域內部控制的不同理解。以內部控制的原則為例。
2003年,證監會發布了修訂後的《證券公司內部控制指引》,其中規定,證券公司內部控制應當貫徹健全、合理、制衡、獨立的原則.確保內部控制有效。然而,同屬於證券金融領域,《證券投資基金管理公司內部控制指導意見》中規定,公司內部控制應當遵循健全性原則、有效性原則、獨立性原則、相互制約原則與成本效益原則。
至於2006年l2月8日銀監會第54次主席會議通過的《商業銀行內部控制指引》,其中則規定,商業銀行內部控制應當貫徹全面、審慎、有效、獨立的原則。對比這三個文件關於內部控制原則的規定,其中既有共性的地方,如獨立性、有效性;但其中的差異也較為明顯,如《證券投資基金管理公司內部控制指導意見》中明確提出了成本效益原則與相互制約原則,《商業銀行內部控制指引》則未有明確提出,而《證券公司內部控制指引》中則將語詞弱化為合理與制衡原則。不僅僅是同屬金融行業的不同細分領域存在不同的理解,甚至於針對較為同質化的上市公司,由於上市地點的不同,相關差異也明顯存在。
2006年6月5日,《上海證券交易所上市公司內部控制指引》發布,其中指出:內部控制是指上市公司為了保證公司戰略目標的實現,而對公司戰略制定和經營活動中存在的風險予以管理的相關制度安排。它是由公司董事會、管理層及全體員工共同參與的一項活動。而2006年9月28日發布的《深圳證券交易所上市公司內部控制指引》,其中則指出,本指引所稱內部控制是指上市公司董事會、監事會、高級管理人員及其他有關人員為實現下列目標而提供合理保證的過程:(一)遵守國家法律、法規、規章及其他相關規定;(二)提高公司經營的效益及效率;(三)保障公司資產的安全:(四)確保公司信息披露的真實、准確、完整和公平。可見,同樣是針對上市公司,僅就內部控制的基礎概念方面,上交所與深交所的兩套指引就有著差異不小的理解。
或許正是為了制定一個統一的內部控制規范的需要,2006年7月15日,我國企業內部控制標准委員會成立了。企業內部控制標准委員會由財政部、證監會、國資委等來自監管部門、實務界、理論界的專家學者組成。研究、制定一套具有統一性、公認性和科學性的企業內部控制規范,是2006年7月15日企業內部控制標准委員會成立大會暨第一次全體會議達成的廣泛共識,是國際國內多種因素共同作用、共同影響的結果。
2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合發布的《企業內部控制基本規范》是廣泛徵求各監管部門意見基礎制定的,應該作為我國企業內部控制的統 一標准,我們終於可以自豪地說,至少中國企業有了自己統一的內部控制標准啦。正如財政部副部長王軍介紹說,新發布的基本規范為中國企業首次構建了一個企業內部控制的標准框架,有效解決政出多門、要求不一、企業無所適從的問題,有利於提高內部控制監管效率、降低監管成本,有利於優化企業管理和增強企業競爭實力,有利於保障經濟安全、維護資本市場穩定。
企業內部控制規范與企業風險管理指引的協調
《企業內部控制基本規范》作為我國企業內部控制的統一標准基本要求,這點肯定是沒有疑問。只有各監管部門不各自為政,把對企業監管要求統一到基本規范上來,企業執行統一的企業內部控制標准就不會有障礙。但從該規范的發布部門看,企業內部控制標准委員會重要部門國資委未參與其中,這至少說明企業內部控制標准委員會成員之間的認識還沒有統一。實際工作中,還有一個現實問題,就是《企業內部控制基本規范》和《中央企業風險管理指引》如何統一協調的問題。這是個很難協調的現實問題。
關於內部控制與風險管理的融合,石愛中審計長在2006年度中國內部審計協會和中天恆管理咨詢公司舉辦的《內部控制與風險管理創新論壇》上就指出:「內部控制和風險管理逐漸融合,而且在很多工作中,包括在系統設計中這兩個東西一定要融合,而不是分開的」。中國內部審計協會會長王道成在2007年4月19日中國內部審計協會與中天恆管理咨詢公司舉辦的《融合之道--2007年度內部控制與風險管理春季高峰論壇》上指出,內部控制與風險管理走向融合,是一個必然的趨勢,這不僅是內部控制體系向前邁進了一大步,也為我們內部審計的發展指明了方向,因此為了適應這樣一種發展趨勢,我國現行的內部控制體系有必要逐步地向全面風險管理體系升級和完善。內部審計的模式也應該逐步向以治理為目標、風險為導向、控制為中心、增值為目的的現代管理審計轉型,使內部審計工作更加符合成本效益原則,更能夠滿足企業治理與管理的需要,更能體現內部審計的重要價值,實現內部審計價值的最大化。中國內部審計協會制定的風險管理審計准則規定:「風險管理是組織內部控制的基本組成部分,內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之一。」明確了:風險管理是組織內部控制的基本組成部分,內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之一。這顯然是傳統的把風險管理作為內部控制的內容的觀點。3C全面風險管理基本框架的理解風險管理與內部控制的融合道理其實非常簡單。企業在實現目標的漫長征程中,會遇到各種各樣的風險;因此,就要採取措施控制風險。也正因為有風險才要控制,如果沒有風險,控制就是多餘的了,就是添亂,當然更是浪費資源。風險與控制的關系簡單地說就是風險減去控制就等於剩餘風險。當然,這個剩餘風險一定要在企業可接受的水平范圍內。
實際上,世界上內部控制與風險管理已逐漸融合了,把內部控制與風險管理試為同一事件。1992年,Treadway委員會的發起組織委員會(the Committee of Sponsoring Organizations of the Treadway Commission)發布了《內部控制——整合框架》,2004年,該委員會又發布了《企業風險管理—整合框架》,在該框架附件C中明確:內部控制被涵蓋在企業風險管理之內,是其不可分割的一部分。
國資委頒布的《中央企業全面風險管理指引》要求企業在開展全面風險管理工作的同時,還要與其他管理工作緊密結合,把風險管理的各項要求融入企業管理和業務流程中。
我國的有些企業都在積極探索內部控制與風險管理的融合之道,比如中國網通集團公司的「基於全面風險管理的內部控制體系構建與實施」獲得全國企業管理現代化創新成果一等獎。備受國資委贊揚的中國神華股份公司的《內部控制手冊》,實際上更是以全面風險管理為基礎的,是內部控制與風險管理融合的結晶。中天恆管理咨詢公司為我國某中央企業設計的《全面風險管理手冊》,與公司現有管理體系和管理手段相銜接,實際上不僅僅是內部控制與風險管理的融合,而是整個管理的融合。
如果內部控制和風險管理融合後,企業至少沒有必要既設立風險管理部,又設立內部控制部,設一個風險控制部就夠用了。風險管理與內部控制融合,就是要打破風險和控制水平之間的平衡,不要把現代企業的風險管理和控制僅僅當成是一項純粹的企業經營活動,它是一項包括了企業咨詢專家、企業決策者、中層管理者以及企業員工在內的綜合管理系統工程,需要各方面力量的協調和配合才能實現。
當然,強調風險管理與內部控制的融合,並不是風險管理要代替內部控制,實際上兩者是並存的。企業肯定需要建立內部控制,來應對阻止企業進步的風險。否則,被控制所遏制的風險將可能發生。
融合是一種彼此的尊重,它可以讓兩個公司形成一個系統,融合是一種力量的凝聚,它可以實現1+1〉2的效果,融合是一種思維的創新,它可以創造一個和諧共贏的世界。內部控制與風險管理要融合,正因為有風險才需控制,兩者是一個事件的兩個方面,在實踐中風險管理和內部控制工作基本上是一致的。因此,同樣一個中央企業不能為了應付檢查就同一事件用兩個規范來做,不能既要編報風險管理報告,又要編制內部控制報告。的確,要加強企業內部控制,提升風險管理水平,但終究還是要考慮成本,不能為了控制而控制,為了管理而管理。如果把內部控制規范和風險管理規范統一了,企業內部控制和風險管理工作合二為一,必然會減少各監管部門和企業的不必要的重復勞動,也會減輕企業的負擔,管控的效果或許會更好些。
當然,從道理上講內部控制與風險管理融合是比較簡單的,不要把簡單問題復雜化,更不能相互「製造工作」。但在實際工作中,因涉及到不同的政府主管部門,協調就比較難了。一個妥協的結果就是各干各的,倒霉的是企業,辛苦的是政府主管部門,無奈的是審計師。
當然對企業來講,處於不斷開放經濟體系中的中國企業,面臨著外部環境、文化理念、管理層經營哲學、各種競爭等多方面的環境與因素,企業的內部控制體系也需將眾多的因素與風險納入到控制范圍來予以考慮。在國家基本規范的基礎,企業根據基本規范,可以結合自身情況構建適合本企業自身的內部控制體系。