我国应用和实施内部控制若干问题的思考研究.pdfVIP

我国应用和实施内部控制若干问题的思考 朱荣恩 上海财经人学，教授，博导 上海新世纪资信评估投资服务有限公司总裁 2008年6月，财政部、证监会、银监会、保监会和审计署等五部委共同发布r我国的《企业 内部控制基本规范》(。卜．称基本规范)，自2009年7月1日起在上市公司范围内实行，并鼓励1F上市 的人中型企业执行，这将极人推动内部控制在我国企业实施的范围和深度。但从我国的内部控制实 践看，上市公司对内部控制理论的理解，尤其是内部控制基本规范和相关指引的席用方面还存在着 一些误区。冈此有必要理清相应的关系，树立止确的理念，以更女，．地推进内部控制理论和实务的健 康发展。 一、正确认识内部控制五要素的内在联系 尽管不同的监管机构提出的内部控制框架略有差异，但在内部控制的要素方面，都不约而同地 借鉴了美国COSO委员会的框架体系，将控制(内部)环境、风险评估、控制活动、信息与沟通、 (内部)监督作为内部控制的最大基本要素加以阐述。但如何理解这五人要素之间的关系，五人要 素与内部控制的应用和实施具有怎样的关系等，在实务中仍然存住不同的观点。我国的财政部在《内 部控制基本规范》中尽管采用了五要素的基本框架，但并没有对五要素的相互关系进行专fJ的阐述 布、1994年增补的《内部控制——整体框架》中就已经用“金字塔”结构对五人要素的关系进行了 阐述，提出五个方面是相互联系、彼此融合，形成了一个完整的框架(参见图1)。朋一句话来概括 就是：控制(内部)环境是内部控制的基础，风险评估足内部控制的依据，控制活动是实现控制目 标的手段，信息沟通蜓U是载体，监控是内部控制目标的保证。 2 图2：内部控制框架 二、正确理解内部控制的要素、目标及实施主体的关系 理解基本规范内部控制的要素、目标及实施主体的关系，也就是说需要将内部控制的要素拓展 为结构、框架的层面上来。基本规范在阐述内部控制的定义时明确“内部控制是由企业董事会、监 事会、经理层和全体员下实施的、旨在实现控制目标的过程”，但如何将内部控制的要素、目标及实 施主体用一个整体框架的形式表现出来，对帮助使用者正确理解内部控制框架仍然具有重要的现实 意义。CoSo报告则是采用立方体的方式来实现这一目标的(参见图2)。 图2的优点就是向阅读者传递一个整体框架的概念，也就是说内部控制的要素、实施主体、目 标是相互融合的，任何一个目标的实现都需要所有的实施主体共同努力，都体现在每一个要素的构 成里。企业的任何一项活动，也应该与内部控制的目标和要素紧密融合。内部控制就是实施内部控 制主体为达剑内部控制目标而采取的一系列内部控制要素的过程。 三、正确理解内部控制与风险管理的关系 熟悉内部控制理论发展脉络的人都知道，早在2001年美国安然事件爆发之前，CoSO委员会就 已经设立了风险管理框架计划，由普华永道会计师事务所牵头，在考察各国实务界和理论界风险管 理研究成果的基础上，尝试建立一个风险管理的完整框架，为企业实施风险管理提供一个概念性的 指南和有用工具。此后的2004年9月CoSo颁布了新《企业风险管理——整体框架》的理论成果， 标(战略目标)、两个概念(风险偏好和风险容忍度)、三个要素(目标设定、事项识别、风险应对)， 但也正是这些新的内容，给理论和实务界带来更多的思考。从某种程度上看，风险管理框架的颁布 给企业管理带米了新的挑战和要求，尤其是中国这样内部控制建设相对落后的国家，监管部门在制 3 定实施相关的规范时，更多地借鉴了CoSo(2004)的最新研究成果；甚至在实务中出现了“风险 管理部门”、“风险管理师”等新的职能机构和职业，从而给内部控制的应用和实施带来了凼惑，有 人认为风险管理幕l内部控制是平行的、互不相容的两个概念，风险管理更为先进、是更高一个层次 的东两等等。 事实上，内部控制和风险管理是～脉相承的理论成果，很多理论界人士(包括酱华永道的项目 而Coso也在新的风险管理框架中明确指出，风险管理框架建立在内部控制框架的基础上，是对内 部控制框架的扩展；而内部控制则是企业风险管理必不可少的一部分。也就是说内部控制与风险管 理并非平行的关系，应该说内部控制是风险管理的一