企业内控新规构筑风险防火墙.docVIP

企业内控新规构筑风险防火墙《企业内部控制基本规范》旨在加强和规范企业内控，提高企业经营管理水平和风险防范能力 6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》（以下简称《规范》）。《规范》旨在加强和规范企业内控，提高企业经营管理水平和风险防范能力，其为企业构筑了一道风险防火墙。 《规范》要求，中国境内上市公司须自2009年7月1日起执行该规范，同时鼓励非上市公司的大中型企业参照执行。萨班斯法案对美国上市公司的内控规范作出了较为详细的规定，并确立了COSO（美国虚假财务报告委员会下属发起人委员会)于1992年制定的《内部控制框架》（以下简称COSO框架）作为对上市公司内控审计的审计标准。以下对《规范》与萨班斯法案下的内控规范体系进行一些比较分析，以期加深对《规范》的理解。 内控制度的改进与加强 萨班斯法案在其404条款中强制要求公众公司年报中应包含内控报告及其评价，并要求会计师事务所对公司管理层作出的评价出具鉴证报告。《规范》之前，我国仅在《首次公开发行股票并上市管理办法》第二十九条中要求拟公开发行股票并上市的公司的内控在所有重大方面是有效的，并由注册会计师出具了无保留结论的内控鉴证报告。除此之外，上市公司的定期财务报告制度中并没有要求对其内控状况作出报告，提供注册会计师出具的内控鉴证报告也没有成为对上市公司的强行性要求。《规范》要求执行该规范的上市公司，应当对本公司内控的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内控的有效性进行审计。这意味着设计和实施有效的内控成为了上市公司的一项法定义务。 可以看出，《规范》借鉴了萨班斯法，这对于保护公众投资者有重要的作用，投资者可以借助内控审计报告进一步判断公司财务信息的真实性。同时，注册会计师对管理层的内控报告的评价也揭示了管理层的品行，由此促使管理层认真地去执行《规范》。 内控制度控制要素分析 《规范》对内控的基本要素作了指引性的统一规定，基本与COSO框架一致，包括了控制环境、风险评估、控制活动、信息与沟通、内部监督这五个方面。 ● 控制环境 《规范》及COSO框架中所指的控制环境主要包括了公司的治理结构、机构设置及权责分配、内部审计、人力资源政策、企业内部的文化和诚信价值观念等。《规范》之前，我国在各种内控指导原则、意见或指引中对内控环境这一要素缺乏详细的规范。《规范》将内控环境作为内控框架的首要要素，认为其是企业内控体系得以真正发挥作用的关键，而对控制环境影响重大的一个因素就是企业治理层的参与程度。《规范》明确指出了董事会、监事会以及经理层在内控建立和完善过程中的职责:董事会负责内控的建立健全和有效实施，监事会对董事会建立与实施内控进行监督，经理层负责组织领导内控的日常运行。 《规范》还规定企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程，明确各自权责分配，正确行使职权。这将有助于形成全员参与的控制环境，体现了内控建设的全面性原则。 ● 控制活动 COSO框架下内控活动是指为确保管理层指示得以执行的政策和程序。包括了高层复核、指导并管理业务活动、资产保护即实物控制、信息核对、业绩指标分析、职责分离等具体活动和措施。《规范》对控制活动的定义是“企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内”。按照COSO 框架下的理解，控制活动旨在确保管理层指示得以执行，而《规范》认为控制活动旨在将风险降低到可承受范围内。笔者认为后者的表述更加恰当，因为一旦出现管理层凌驾于内控之上的情形时，旨在确保管理层指示得以执行的控制活动很可能无法发挥其控制风险的应有作用。 《规范》列举了控制活动的一般内容，包括:不相容职务分离、授权审批、会计系统控制、财产保护、预算控制、运营分析和绩效考评。这些列举同COSO框架基本一致。《规范》对这些控制活动的具体含义和设计要求都作出了比较详尽的描述，例如对于财产保护控制，《规范》详细描述了这一控制应包括财产日常管理和定期清查制度以及财产记录、实物保管、定期盘点、账实核对等具体措施。这对于指引企业建立起常用的、基本的控制措施作用很大。 《规范》对于控制活动的规定相较于COSO框架有两个创造性的发展。第一，《规范》强调了预算控制在控制活动中的重要性，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算对企业活动的约束。完善的预算管理可以降低企业经营活动的不可预见的程度，从而将经营风险降低到可接受的范围内。第二，《规范》提出了企业应当建立重大风险预警机制和制定突发事件应急预案。在复杂多变的经济环境下，这些控制措施对于提高企业应对突