内部控制历史沿革及企业应对策略
时间:2020-10-13 07:59:05 来源:达达文档网 本文已影响 人 
2008年6月28日财政部等五部委联合发文公布我国第一部《企业内部控制基本规范》,2009年7月1日上市公司施行,鼓励非上市的其他大中型企业参照执行。要求对本公司内部控制自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。这一规定的颁布,加上此前沪深证交所和国资委推出的内部控制各项规定,都要求由企业内部控制由政府相关部门监管,内部控制监管外部化已基本完成。那么,国际上的内部控制是如何发展的,我国内部控制制度又是如何逐步完善的呢?企业如何面对日益加强的内部控制监管呢?本文就此进行分析。
一、国际内部控制历史沿革及分析
内部控制框架的发展,不能不说是一种幸运或是悲哀。目前说得最多的还是美国的内部控制发展,尽管世界上其他国家比较权威的内部控制如加拿大的COCO、英国的Turnbull、南非的King和其他一些国家的权威的框架,但是占主流或主导地位的还是美国的COSO。不管你是否承认,回顾这段历史,主要还是以美国的内部控制发展为主,也许这就是所谓的美国软实力的体现吧。执经济之牛耳的美国一直蚕食着世界人们的思想与头脑,应当反对这种垄断,但是确实太难了。
随着认识的不断深化,内部控制的发展经由积少至多发展脉络,即从内部牵制到内部控制制度(二要素)、内部控制结构(三要素)、内部控制整合框架(五要素),最新变更为“企业风险管理整合框架(八要素)”。这主要是美国一直主导世界范围内的内部控制建设与发展。这里引述的也主要是美国的内部控制发展史。
内部控制的最早标志,可追溯至早期苏美尔文化(公元前3600年到公元前3200)中。当时,审核人员在账簿旁边标上小标记,表明完成查账。古埃及的“两个官吏审核税收”、古代波斯的“政府记录官”、希腊雅典的“财务披露”、古罗马的“内部牵制制度”、我国西周的“分权控制方法”、“九府出纳制度”、“交互考核制度”都说明内部控制历史的源远流长。
现代内部控制分为萌芽、发展、形成和成熟四个阶段:
(1)萌芽阶段——内部牵制(Internal Check)。20世纪初,人们将控制视为预防性的,如享利·法约尔认为“在一个企业中,控制在于检验每一件事情是否同所拟定的计划、发出的指示和确定的原则相符合,旨在发现、纠正和防止重犯错误”。控制成为管理人员的助手。1912年审计学家蒙哥马利在编写的《审计——理论与实践》中提出:“一个人不能完全支配账户,另一个人也不能独立地加以控制的制度,某位职员的业务与另一位职员的业务必须是相互弥补、相互牵制的关系,即必须进行组织上的责任分工和业务的交叉检查或交叉控制,以便相互牵制,防止发生错误或舞弊”。
(2)发展阶段——内部控制制度(Internal Control System)。1934年美国《证券交易法》首次提出“内部会计控制”。1936年美国会计师协会的《独立职业会计师对财务报表的检查》中,提出:“内部牵制和控制这一术语是指为了保护公司现金和其他资产,检查簿记事务的正确性,而在公司组织内部采用的手段和方法”。将内部牵制和内部控制区分开来。1939年美国会计师协会发布的《审计程序的扩展》中第一次使用了“内部控制”这一术语。1949年美国会计师协会第一次正式公布了内部控制的定义,《内部控制——调整组织的各种要素及其对管理当局和独立职业会计师的重要性》,将内部控制订义为:“包括企业内部采用的机构计划和所有有关的调整方法和调整措施,旨在保护企业资产、检查会计数据的准确性和可靠性,提高经营效率,促使有关人员遵循既定的管理方针。”但是该定义过于宽泛,将内部控制包括所有的内部控制,审计师认为责任过于重大,不准备接受该定义。为此,会计师协会建议将内部控制分为“会计控制”和“业务控制”两部分。审计人员主要负责会计控制。1958年AICPA颁布的《独立审计人员评价企业内部控制的范围》中提到:“企业内部控制制度分为内部会计控制(Internal Accounting Control)和内部管理控制(Internal Administrative Control)”。
1970年日本会计研究学会提出经营者为维护资产的安全完整,确保会计记录的正确性和可靠性,以及对经营活动进行综合的计划、协调和评定而制订的制度、组织、方法和程序的总称。1976年加拿大特许会计师协会提出:“内部控制由组织体制的设计和企业管理人员制订的所有协调制度所组成,就其实用方面而论是为了取得确定的管理目标,促进企业的业务有秩序和有效率地进行,保证资产的安全、会计记录的可靠和及时地提供准确的财务资料。”
(3)形成阶段——内部控制结构(Internal Control Structure)。1988年AICPA公布的《审计准则公告第55号》中提出,“内部控制包括控制环境(Control Environment)、会计制度(Accounting System)、控制程序(Control Procedure)。”期间,1981年国际会计师联合会提出:“内部控制系统包括组织体制的设计和经济实体所采用的方法和程序,是为了达到既定的管理目标而有序和有效率地进行的经营活动。”
(4)成熟阶段——内部控制框架(Internal Control Integrated Framework)。1992、1994年COSO《内部控制——整体框架》,提出了五要素,即控制环境(Control Environment)、风险评估(Risk Appraisal)、控制活动(Control Activity)、信息与沟通(Information and Communication)和监控(Monitoring)。1950年代以来,CPA诉讼案件上升,SEC重申和强调CPA对揭露欺诈的职责,社会公众也有如此期待。审计技术局限性及财务报告舞弊复杂性,现有的审计程序和方法可能无法保证查出重大舞弊行为。70年代中期,在对“水门事件”调查中,发现美国不少大公司进行违法的国内捐款,甚至贿赂外国政府官员,引起立法和政府部门关注。国会于1979年通过《反国外贿赂法(FCPA)》,规定了与会计及内部控制有关的条款。不久美国SEC发布了《管理层对内部会计控制的报告书》,强制公司对其内部会计控制提出报告书。
1985年美国注册会计师协会AICPA、美国会计学会AAA、财务经理人协会FEI、内部审计师协会IIA、管理会计师协会IMA联合创建了反虚假财务报告委员会(前任SEC委员Treadway担任主席,即Treadway委员会),探讨财务报告中的舞弊原因。1987年该委员会提交著名的研究报告,提出诸多颇具价值性的建议。两年后,该委员会建议,其赞助机构成立COSO(Committee of Sponsoring Organization)委员会。1992年9月发布《内部整合框架COSO-IC》,1994年增补。马上得到美国审计总署(GAO)的认可,AICPA全面接受其内容,1995年发布的《审计准则公告第78号》中吸收。
1998年巴塞尔银行监管委员会提出了银行内部控制评价的13条原则。
经由2001年的“安然事件”和2002年的“世通公司舞弊案件”,美国SEC出台旨在加强公司内部控制的《萨班斯法案》,其中404条款“最终细则”要求,上市公司必须对内部控制制度进行自我评价,并同时在年报中公布经由事务所审计的内部控制评价报告。同时提到,COSO框架可以作为评估企业内部控制的标准,并参照这一框架给出了“财务报告内部控制”的定义,美国学术界也全力拥护COSO。为了适应1991年美国颁布的联邦存款保险公司修正法案(FDICIA),美国许多银行也已采用了COSO。如果管理层不想采用COSO,他们必须选择其他框架,其他国家包括加拿大的COCO、英国的Turnbull、南非的King和其他一些国家的权威的框架。不管管理层采用哪一种框架,它都必须符合SEC的标准。如果公司选用COSO之外的框架,管理层应当把它选择的框架与COSO作图示对照,证明包含了COSO的关键构件。这样当外部审计者及其他各方对使用COSO以外的框架有异议时,可以用图示说明。
2002年颁布的《萨班斯法案》要求上市公司全面关注风险,加强风险管理,这客观上推动了内部控制整体框架的发展。与此同时,COSO委员会也意识到《内部控制整体框架》自身存在一些问题,如过分注重财务报告,没有从企业全局与战略的高度来关注企业风险。2003年7月COSO委员会根据《萨班斯法案》要求,颁布了“企业风险管理整合框架”的讨论稿,该讨论稿是在《内部控制整合框架》的基础上扩展而来的。2004年9月正式颁布(COSO-ERM)。
2006年6月COSO委员会针对较小公司(但也可适用于大公司),就如何利用整合架构来设计和执行符合成本效益的内部控制,发布了《财务报告的内部控制——小型公开发行公司指引》,协助管理阶层建立及维持有效的内部控制,也可协助管理层针对政府主管机关的评估指引,更有效率地评估内部控制的有效性。但是这份报告并未取代,也没有修改整合架构,主要是关于怎样使用整合架构的指引。共分三册:第1册为管理层摘要,为公司董事会和高管理阶层提供一份执行摘要。第2册为小企业内部控制的概要说明,包括公司特征的描述,怎么影响内部控制以及面临的挑战,如何使用此架构。第3册包含评估工具,帮助管理层评估内部控制。
从上可见,国际上的内部控制有几个特点:一是发展要素经由简至繁、由少到多、由点到面这样一个循序发展过程;二是美国在世界近代内部控制发展史上,占有绝对的主导地位;三是目前的内部控制制度较多体现了成熟市场经济条件下的要求,对中国这样转型经济考虑较少。
二、中国内部控制规范沿革及分析
我国内部控制规范历史较短,基本上可以归为引介、吸收和消化、洋为中用。
1999年修订的《会计法》,第一次以法律的形式对建立健全内部控制提出原则要求。
2001年后财政部连续制定发布了《内部会计控制规范——基本规范》等7项内部会计控制规范。
审计署、国资委、证监会、银监会、保监会以及上海、深圳证券交易所等也从不同角度对加强内部控制提出明确要求。
2004年底,国务院领导同志就强化企业内部控制问题作出重要批示;2005年6月在财政部等上报《关于借鉴〈萨班斯法案〉完善我国上市公司内部控制制度的报告》;温总理批示,同意“由财政部牵头,联合证监会及国资委,积极研究制定一套完整公认的企业内部控制指引”;2006年7月15日财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会;草拟了《企业内部控制规范——基本规范》和17项具体规范(征求意见稿)。具体规范涉及财务报告内部控制和其他方面的控制(如对符合企业经营目标的控制)。目前,具体规范的设计主要以财务报告内部控制为主线,初步拟定为26项。其中,17项已起草完成并对外公开征求意见;9项正在抓紧研究起草之中。具体规范分三类:第一类是对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项提出具体要求的控制规范。第二类是与财务报表编报相关的控制规范,包括财务报告编制、公允价值、关联交易、信息披露等。第三类是为实现有效的财务报告内部控制所必需的事前、事中和事后制度支持的控制规范,包括预算控制、人力资源控制、计算机信息系统控制、审计监督控制等。
2008年6月28日,由财政部等五部委颁布了我国第一部《企业内部控制基本规范》。基本规范融合世界主要经济体加强内部控制的做法经验,提出了建立与实施内部控制的要素,即构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证。
从上可见,我国内部控制体现了三个特点:第一,我国的内部控制发展经由引进、消化和吸收,并逐渐形成自己的特色;第二,对企业内部控制监控由放任不管,到逐步加强,直至全面加强监管;第三,内部控制体系经由政府相关部门的努力,由简单到复杂,由零散到规范,逐步完善。
三、企业应对策略
内部控制标准的出台,无疑会使企业面临着如何抉择,以使自身利益最大化的问题。一是直面内部控制标准。内部控制标准的推出已经无法改变,作为中国企业,必须执行,这是一个企业作为社会公民的应尽义务。所以,以积极的心态迎接这种挑战。二是未雨绸缪,成立专门机构或专门人员制定企业的内部控制制度。我国在美国上市企业已经先行一步,已经制定并执行了《萨班斯法案》,一些企业尽管没有在美国上市,也已经按照类似标准,自觉制定了自己的内部控制标准。一旦内部控制标准开始执行,就将很快适应新的形势。三是正确认识内部控制标准及相关制度。尽管上面分析了诸多内部控制属企业内部管理权限问题,但是真正良好的内部控制制度是有利于企业完善公司治理结构,为提高企业效益服务的。所以,不应把内部控制制度的执行当作负担,而是作为一个改善企业业绩的契机,这样反而会真正提升企业的管理水平和经济效益。四是对于中小企业而言,如果执行内部控制标准过高,可以考虑将其业务外包,由民间审计或其他中间机构提供服务,尽可能减少成本。
(作者单位:北京理工大学管理与经济学院)
