浅析《内部控制基本规范》

1、浅析企业内部控制基本规范摘要 财政部、证监会、审计署、银监会、保监会2008年6月28日联合发布了我国第一部企业内部控制基本规范，并从不同的侧面分析企业内部控制基本规范如何保证企业内部控制的合规、合法合有效性。关键词：内部控制 基本规范 合规 合法 有效 财政部、证监会、审计署、银监会、保监会2008年6月28日联合发布了我国第一部企业内部控制基本规范，这是中国会计审计领域的又一重大改革举措。 一、企业内部控制基本规范内容简介企业内部控制基本规范共七章五十条，第一章总则：明确了制定企业内部控制基本规范的目的是为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维

2、护社会主义市场经济秩序和社会公众利益，依据中华人民共和国公司法、中华人民共和国证券法、中华人民共和国会计法和其他有关法律法规、制定本规范。适用范围是适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。内部控制的定义是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发发展战略。遵循全面性、重要性、制衡性、适应性、成本效益五大原则，内部控制内容包括控制环境、控制评价、控制活

3、动、信息与沟通、监督五大要素，运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除认为操纵因素。同时将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。发挥内部监督检查和外部审计的作用，达到企业内部控制设计有效，执行有力。第二章内部环境：从公司的治理结构、组织结构、岗位职责、内部审计、企业文化、职业道德、反舞弊、人力资源政策等控制环境组成要素，规范企业和员工行为，依法决策、依法办事、依法监督。第三章风险评估：识别内部风险应注意的五个因素和识别外部风险应注意的六个因素入手，采用定性与定

4、量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。第四章控制活动：结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制

5、、运营分析控制和绩效考评制等。第五章信息与沟通（三十八条至）：识别、风险可承受度一、企业内部控制基本规范与COSO-IC和COSO-ERM的关系？我国内部控制概念基本借鉴了COSO报告的理论研究成果，即：以1992年“COSO内部控制整合框架”（COSO-IC）五要素为框架，适当体现了2004年“企业风险管理整合框架”（COSO-ERM）中提出的八要素理念。（一）从目标上看，我国的内部控制概念提出了：1.    企业战略；2.    经营的效率和效果；3.    财务报告及管理信息的真实、可靠和完整；4.

6、    资产的安全完整；5.    遵守国家法律法规和有关监管要求等五项基本目标。（二）同时结合我国企业管理实际，有一些创新：1、内容创新：根据我国的实际情况作了较大调整，在表达方式上符合我国法规特点、文化传统和语言习惯，比如：强调企业内外对内部控制的投入和监管力度；强调信息的外部沟通；强化反舞弊机制与信息与沟通相结合；在内部监督和公司治理结构方面更好地与国际接轨。2、体系创新：除基本规范之外，还起草了企业内部控制应用指引，企业内部控制评价指引和企业内部控制鉴证指引，形成一个层次分明、内容完整、衔接有序、整体互动的有机统一体。二、企业

7、内部控制基本规范（C-SOX）与SOX在执行范围、执行深度、执行力度和执行成本等方面的异同？1.     执行范围1)      SOX法案仅是针对财务报告相关的内部控制（ICFR），即COSO报告里面的报告目标；2)      财政部企业内部控制基本规范则涵盖了COSO内部控制框架和企业风险管理框架的目标，包括：企业战略；经营的效率和效果；财务报告及管理信息的真实、可靠和完整；资产的安全完整；遵守国家法律法规和有关监管要求。2.

8、60;    执行深度1)      从时间上来看，内部控制是西方在现代经济的基础上发展起来的，而我国的内部控制工作刚刚起步，基本是学习模仿西方的做法。2)      例如：美国在70年代水门事件后通过海外反腐败法（FCPA），内部会计控制已经成为法律要求；COSO委员会在1992年和2004年分别发布了内部控制与企业风险管理框架，是这方面全球领导者；2002年颁布的SOX法案，更是将内部控制推向一个高峰。3)   

9、   从实践上来看，SOX主要针对财务报告相关的内部控制，而财政部内部控制基本规范涵盖的内容更广泛更深入。3.     执行力度1)      SOX法案是“法律”，是美国国会通过且对在美上市公司都有约束力的。而财政部企业内部控制基本规范只是一个“部门法规”，法律效力和约束力远不及SOX；2)      SOX法案号称自上世纪30年代以来，是美国监管最严苛的法律，对于违背SOX的处罚极其严厉。而财政部内部控

10、制基本规范没有规定具体处罚内容，很可能造成有法不依，违法不究，执法不严的情况。 4.     执行成本1)      当前SOX法案颇具争议的主要原因是“执行成本高昂”，企业叫苦不迭，甚至影响到了美国资本市场的竞争力；2)      而财政部企业内部控制基本规范规定 2009年7月1日开始执行，目前还没有相关成本数据可以参照；3)      财政部在起草企业内部控制基

11、本规范时就已经考虑到企业的接受程度和承受能力，必须考虑企业的实施成本，认为在现阶段，应当在宣传普及内部控制先进理念和方法的基础上，重点引导企业加强以财务报告内部控制为主线的相关标准建设，降低合规成本；4） SOX在美国成熟的公司执行成本多高居不下，我国总体内部控制薄弱，具体的成本需要结合执行的力度、深度、效果等因素考虑。三、企业内部控制基本规范监管合规和有效合规的异同1.     监管合规和有效合规的概念不同a)       监管合规，顾名思义，就是形式合规，就是通过外部认证，即第三方，根据标准

12、鉴证企业是否达到法规要求。b)       有效合规，顾名思义，就是实质合规，即判断一个企业在实质上是否达到了立法宗旨的要求。2.     监管合规，是一种“手段”，是通过一定标准和程序来检验企业是否达到法定要求。咨询公司擅长干这个活。但是可能因为标准和程序本身的缺陷、理解的差异、鉴证机构对具体企业的认识程度等原因，监管合规不一定确保企业有效合规。可以通过SOX法案审计，但后来又暴露出舞弊丑闻的例子也不鲜见。3.     有效合规，是企业追求的“目标”。有

13、效合规可以把监管合规作为基础，要真正优化改善企业管理运作，需要超越监管合规。作为着眼于保护社会公众利益的证券监管机构，不论是美国的SEC还是中国的证监会，最关注的当然是与证券市场正常运转密切相关的公司财务信息披露质量，因为财务信息披露影响到投资人（包括现实投资人和潜在投资人）、其他利益相关者的决策行为和后果；而对于公司的现实投资人、经营决策者、管理层以及员工来讲，实现透明可靠的财务报告只是内部控制的初步的基本目标。更何况，上市公司以至公众公司，只是全社会中所有企业中的一小部分。对于更多的非上市、非公众企业来说，内部控制的目标当然就更不仅仅限于透明可靠的财务信息了。4.  &

14、#160;  如是观之，既使得到了外部审核和评价的肯定意见，达到监管合规，并不意味着公司内部控制机制就一定是令人满意的！更为重要的内部控制目标，在于公司战略目标，有效率和有效益的经营、循规守法和保护企业财产安全。四、从审计视角如何评价财政部企业内部控制基本规范的合规要求？财政部发布的“企业内部控制规范起草说明”认为，目前内部控制涉及的领域已非常广泛，覆盖公司层面、业务层面的几乎所有活动，作为一个需要鉴证的合规要求，必要具备鉴证可操作性。因此，根据多数企业的意见，借鉴国际有关做法，提出对有义务对外提供财务报告的企业（上市公司），至少须确保财务报告的真实可靠，并着重就影响财务报告真实可靠

15、的重要业务与事项进行了规范，引导企业建立健全以财务报告内部控制为核心的内部控制机制。第一，企业的经营管理活动，归根结底要通过财务报告来反映，抓住了财务报告内部控制这条主线，在一定程度上也抓住了企业经营管理与内部控制的重心和主体； 第二，保证财务报告真实可靠，是企业（特别是上市公司）的法定责任，是维护社会公众利益的基础环节，强化财务报告内部控制机制建设，是提升企业市场形象与诚信度、维护社会公众利益的基本要求； 第三，从政府监管和资本市场监管的角度看，即使是当今世界最发达的国家，也将财务报告内部控制作为企业管理层内部控制自我评估和注册会计师评价的主体，因为满足了财务报告内部控制

16、的要求，能够合理保证企业财务会计信息披露的真实公允，能够有效维护社会公众利益、促进资本市场健康稳定发展。据财政部会计司介绍，该基本规范一大突破是科学界定了内部控制的内涵，强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，有利于树立全面、全员、全过程控制的理念。基本规范强调，内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 该基本规范还有机融合世界主要经济体加强内部控制的做法经验，提出了企业建立与实施有效内部控制的要素，即构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。 此外，该基本规范还开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制，要求企业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系；国务院有关监管部门有