论中国企业内部控制评价制度的现实模式——基于112个企业案例的研究.docVIP

论中国企业内部控制评价制度的现实模式 ——基于112个企业案例的研究 [摘要] 本文试图使用文献式的案例研究方法,通过对近十年来中国出现重大问题的代表性企业案例样本的归纳与分析,借鉴国外研究的理论框架,总结了中国企业内部控制中较为突出的问题所在及其领域,对中国企业内部控制评价的要点及方法提出了务实性建议,并指出中国企业内部控制评价制度的建立,必须以对企业内部控制有关信息实行强制性披露为前提。 [关键词] 内部控制 评价 披露 案例研究 引言 2008年6月28日,财政部、证监会、审计署、银监会和保监会联合发布了《企业内部控制基本规范》; 2010年4月26日,上述有关部门又联合发布了企业内部控制配套指引,从而标志着中国企业内部控制法制化体系已初步形成,中国企业在内部控制制度建设方面取得了决定性成果。随着《基本规范》及其配套指引的颁发实施,社会各界对中国企业内部控制的实务发展及其现实效果寄予了很高期望,认为这是中国版萨班斯(SOX)法案,其规定的细化程度和与现实的贴近,远胜于美国萨班斯法案,对中国企业建立健全内控制度进而推进全面风险管理实践具有巨大的促进作用,可以为中国企业走向国际提供安全保障。但无可否认,《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点,如何从宏观上有效地促进并引导企业提高内控水平,还必须建立一系列规范统一、具体明确、简明实用的《企业内部控制评价制度》,借以督促企业尽快务实地建立健全并持续改进内部控制制度。但至目前,如何建立中国企业内部控制评价制度,理论与实务界仍有诸多不同的看法。本文专门探讨中国企业内部控制评价制度的基本框架及模式,期望为深化这一领域研究提供一些思考。 作者的基本观点是,《中国企业内部控制评价制度》采取何种制定模式并不重要,不论是政府主导,还是民间自律,或是政府与民间共同努力,其目的都是一样的,为了满足全社会范围内评价一个企业内控制度是否有效及其水平的需要。至于这种评价制度是否具有权威性,并不取决于由谁主导制订颁发,而取决于该制度是否真正地抓住了中国现阶段企业内控所应关注的问题及层面。 研究的基本问题与理论前提 本项研究试图对以下三个问题提出我们的看法。 内部控制评价的范围界定 放眼国际,有关内控评价的范围有两大口径。 财务报表内部控制口径 这是审计界公认的做法。也可以说是审计职业对内控评价制度的一大贡献。这种做法在全球范围内得到较大的认可,以至于震撼世界的美国SOX法案404条款,即“管理层对内部控制的评价”也置于“强化财务信息披露”要点之下,很显然,这种意义上的内部控制仅是为了保证财务信息披露质量而存在的。其后,根据SOX法案成立的PCAOB (美国公众公司会计监督委员会)在实施SOX法案302与404条款时,沿袭了内部控制即财务报告内部控制的说法,其制定的2号准则及其后补充修改的5号准则中,明确“内部控制评价就是对财务报告内部控制有效性作出评价”。美国证券委员会(SEC)在“最终规则”中,就内部控制为什么定义为“财务报告内部控制”作出了详尽说明,最终得出了这样一个不算严谨但可以理解的解释:“财务报告内部控制”这一术语是公司和审计师普遍使用的术语,在日常生活中,内部控制就是财务报告内部控制,也充分体现了SOX法案的立法目的。SEC一再申明,根据SOX法案404条款所引发的内部控制问题,仅是指财务报告内部控制,而不包含COSO定义中与公司经营和效率及公司遵守适用的法律法规有关的内容。历史地看,由于内部控制这一术语首先出自会计行业,尽管内部控制在实践中往往会超越公司会计职能,但事实上能说清楚的内部控制概念,可能只在会计行业内部,以至于可以认为,内部控制只是财务报告内部控制的简称,讲内部控制肯定针对财务报告而言,离开了财务报告领域,内部控制的概念难以成立。如此而言, COSO的内部控制定义似乎一开始只是存在于理论上的一个界定,在实践中至今未得以存在。 全面内部控制口径 这种理论源于著名的1992年COSO报告,完整的内部控制应涵盖“财务报告、经营业务及遵纪守法”三方面。如上所述,虽然COSO报告在内部控制领域已是一个里程碑式的文件,并得到理论界与实务界包括立法者们的普遍认可,但这种全口径企业内部控制制度未能在实践中形成成型的标准模式,因此可以认为COSO框架更多的是为人们引用,而远未应用。造成这种局面,可能与我们习惯地认为财务报告内部控制可以评价,而除此之外的内部控制尽管实践中很重要,但从社会层面统一评价却很难形成可比较和计量的标准直接相关。但是,现在看来这种说法和担心是难以服人的。撇开内控范畴,现有的管理实践也充分证明上述理由,即除财务报告以外的公司活动全社会难以统一评价的说法是不能成立的。例如,美国的国家质量奖(Malcolm