企业内部控制1.docx
- 文档编号:5525160
- 上传时间:2022-12-18
- 格式:DOCX
- 页数:12
- 大小:31.93KB
企业内部控制1.docx
《企业内部控制1.docx》由会员分享,可在线阅读,更多相关《企业内部控制1.docx(12页珍藏版)》请在冰豆网上搜索。
企业内部控制1
一、内部控制与风险管理日益融合
学者们一般把内部控制的发展历程划分为五个不同的阶段:
内部牵制(internalcheck)阶段、内部控制制度(internalcontrolsystem)阶段、内部控制结构(internalcontrolstructure)阶段、内部控制整体框架(internalcontrolintegratedframework)阶段、风险管理整体框架(riskmanagementintegratedframework)阶段。
根据《柯氏会计辞典》(Kohler’sDictionaryforAccountant)的定义,内部牵制是指“以提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计”。
内部牵制的主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。
在经历了1929—1933年“大危机”之后,美国于1934年颁布《证券交易法》(SecuritiesExchangeActof1934),首次以法律的形式明确企业对建立和评价财务报告内部控制(internalcontroloverfinancialreporting)的责任。
随着抽样审计的推广,注册会计师行业对发展内部控制起到了重要的推动作用。
内部控制从早期较为简单的内部牵制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制制度体系。
美国注册会计师协会(AmericanInstituteofCertifiedPublicAccountants,AICPA)于1958年10月发布的第29号审计程序公告(StatementofAuditingProcedures,SAP)《独立审计人员评价内部控制的范围》(ScopeoftheIndependentAuditor’sReviewofInternalControl)[19]和1972年发布的第54号审计准则公告(SAS54)《审计师对内部控制的研究与评估》(TheAuditor’sStudyandEvaluationofInternalControl)中,将内部控制划分为会计控制(accountingcontrol)和管理控制(administrativecontrol)两个部分。
其中,会计控制是直接与资产保护和财务记录相关的控制,管理控制主要关注运营效率和执行管理政策。
内部控制发展到内部控制结构阶段的标志是AICPA在1988年发布的第55号审计准则公告(SAS55)《财务报表审计中对内部控制结构的考虑》(ConsiderationoftheInternalControlStructureinaFinancialStatementAudit)。
SAS55首次提出了“内部控制结构”的概念,指出内部控制结构包括三要素:
控制环境(controlenvironment)、会计系统(accountingsystem)和具体控制程序(specificcontrolprocedures)。
1985年,美国成立了“反虚假财务报告委员会”(NationalCommissiononFraudulentFinancialReporting,NCFR,即Treadway委员会)。
1992年,NCFR下属的“COSO委员会”(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,COSO)发布报告《内部控制:
整体框架》(InternalControl:
IntegratedFramework,IC框架),风险管理正式成为内部控制研究的核心要素。
受其影响,AICPA于1996年发布第78号审计准则公告(SAS78)《财务报表审计中对内部控制的考虑:
对55号审计准则公告的修订》(ConsiderationofInternalControlinaFinancialStatementAudit:
AnAmendmenttoSAS55),全面接受了COSO报告的观点;英格兰和威尔士特许会计师协会(InstituteofCharteredAccountantinEnglandandWales,ICAEW)下属的公司治理财务委员会(Cadbury委员会)于1994年11月发布的《内部控制和财务报告》(InternalControlandFinancialReporting,也称“Cadbury报告”)、ICAEW下属的公司内部控制工作小组(Turnbull小组)于1999年9月发布的《内部控制——关于联合规则的董事指南》(Internalcontrol:
GuidanceforDirectorsontheCombinedCode,也称“Turnbull指南”)、加拿大特许会计师协会(CICA)下属的控制标准委员会(CriteriaofControlBoard,CoCo)于1995年11月发布的《控制指南》(GuidanceonControl),都在很大程度上借鉴了1992版COSO报告的研究成果。
进入21世纪,尤其是在“安然事件”等财务欺诈案爆发后,内部控制研究的重点侧重于寻求企业内部管理需要与外部市场监管要求之间的均衡,财务报告内部控制再次成为评估的对象和关注的焦点。
2004年9月,COSO委员会发布报告《企业风险管理:
整体框架》(EnterpriseRiskManagement:
IntegratedFramework,ERM框架),标志着内部控制进入了“风险管理整体框架”阶段。
风险管理和内部控制开始相提并论、边界模糊,就像2004版COSO报告在序言中指出,“公司不仅可以借助ERM框架来满足它们内部控制的需要,还可以借此转向一个更加全面的风险管理过程”。
通过以上梳理内部控制的发展历程可以看出,内部控制与风险管理日益走向融合,它们在基本目标、实施主体、控制对象和控制程序上逐渐表现出高度的一致性。
王宏(2008)对内部控制与风险管理的关系进行了恰当的总结:
风险管理是着眼点,内部控制是着力点,二者相互联系、相互交织,实际上是相互补充、相互促进的关系。
二、美国的内部控制研究
1.审计准则中的内部控制概念
内部控制概念的发展是整个内部控制发展轨迹的缩影。
最早定义内部控制的是1936年美国会计师协会(AmericanInstituteofAccountants,AIA)的《独立公众会计师对财务报表的审查》(ExaminationofFinancialStatementsbyIndependentPublicAccountants),该报告将内部控制定义为“为了保护公司现金及其他资产的安全、检查账簿记录准确性而在公司内部采用的各种手段和方法”。
1949年AICPA审计程序委员会在《内部控制:
协调制度诸要素及其对管理当局和独立公众会计师的重要性》(Internalcontrol:
ElementsofCoordinatedSystemanditsImportancetoManagementandtheIndependentPublicAccountants)中,将内部控制定义为“为了保证财产的安全完整,检查会计资料的准确性和可靠性,提高企业的经营效率以及促进企业贯彻既定的经营方针,所设计的总体规划及所采用的与总体规划相适应的一切方法和措施”。
1958年,AICPA发布SAP29《独立审计人员评价内部控制的范围》,将内部控制划分为会计控制和管理控制两个部分,后经1972年SAS54《审计师对内部控制的研究与评估》予以完善。
其中,会计控制是直接与资产保护和财务记录相关的控制,包括所有旨在保护资产、确保会计记录的可靠性以及用来为下列事项提供合理保证的组织计划、程序和记录;管理控制(或称内部业务控制)主要关注运营效率和执行管理政策,包括统计分析、业绩报告、培训项目和质量控制程序等。
1988年,AICPA发布SAS55《财务报表审计中对内部控制结构的考虑》,以“内部控制结构”代替“内部控制”,认为企业的内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序,提出内部控制的三要素:
控制环境、会计系统和控制程序。
其中,控制环境反映管理当局对控制的态度和行为,包括管理哲学、经营风格、组织机构、董事会及审计委员会的职能、人力资源政策、确定权责的方法等;会计系统是指对各项经济业务确认、计量、记录、分析和编制报表的方法,包括鉴定和登记经济业务、对各项业务进行适当分类作为编制报表的依据、计量业务的货币价值、确定会计期间、在报表中恰当地表述有关内容等;具体控制程序是指所采用的控制政策和方法,包括对经济业务和活动的授权审批、明确员工的职责分工、充分而必要的凭证、账簿设置和记录、资产和相关记录的接触控制、对业务的独立审核等。
2.1992版COSO报告
1985年,由美国会计学会(AmericanAccountingAssociation,AAA)、美国注册会计师协会(AICPA)、内部审计师协会(InstituteofInternalAuditors,IIA)、财务经理协会(FinancialExecutiveInstitute,FEI)和管理会计学会(InstituteofManagementAccountants,IMA)等多个专业团体发起成立了美国“反虚假财务报告委员会”(NCFR,Treadway委员会),探讨包括内部控制不健全在内的产生虚假财务报告的原因。
1987年,NCFR要求所有上市公司在其年度报告中提供内部控制报告,披露公司管理层对内部控制有效性的评估。
1992年,NCFR下属的COSO委员会发布《内部控制:
整体框架》(InternalControl:
IntegratedFramework,IC框架)。
COSO报告分为四个部分:
实施概览(ExecutiveSummary)、框架(Framework)、对外报告(ReportingtoExternalParities)和评估工具(EvaluationTools),将内部控制定义为“由企业董事会、管理层和其他员工实施的,为保证财务报告的可靠性、经营的效率和效果以及现行法规的遵循等目标而达成的提供合理保证的过程”。
COSO报告指出:
内部控制是一个过程,是实现结果的方法而非结果本身;内部控制是由人来实施的,涉及组织内每个层级的人;内部控制为企业管理层和董事会提供合理的保证而非绝对保证;内部控制可以划分为一种或多种类别,这些类别既相互区分又相互交叠。
COSO报告提出了许多新的、有价值的观点,划分了内部控制的五要素:
控制环境(controlenvironment)、风险评估(riskassessment)、控制活动(controlactivity)、信息与沟通(informationandcommunication)和监督(monitoring)。
控制环境构成了一个单位的氛围(tone),风险评估通过识别(identification)、分析与实现目标相关的风险实施管理,控制活动是针对所确认的风险采取必要的措施,信息与沟通是确保认真履行控制职责的保证,监督是指评估控制系统质量的程序。
COSO报告首次将内部控制从原有的平面结构发展为立体框架,强调风险评估在内部控制中的重要作用,代表了当时国际上在该领域的最高研究水平,产生了重大的国际影响。
3.萨奥法案及其后续影响
2001年冬至2002年夏,“安然”和“世通”等财务欺诈案相继曝光,特别是安达信会计师事务所(ArthurAndersen)的卷入,震撼了全球资本市场。
美国证券监管机构、会计准则制定机构和会计职业团体对资本市场的监管进行了深刻反思。
2002年7月,美国国会颁布《2002年公众公司会计改革和投资者保护法案》(PublicCompanyAccountingReformandInvestorProtectionActof2002),即著名的《萨班斯—奥克斯利法案》(Sarbanes-OxleyAct,简称“萨奥法案”),在会计职业监管、公司治理和证券市场监管等方面进行了全面调整,强调公司管理层对建立和维护内部控制系统的责任;同时,组建公众公司会计监督委员会(PublicCompanyAccountingOversightBoard,PCAOB),其主要职责包括:
审计准则的制定、会计师事务所的注册、对CPA行业的监督、对审计失败事件的调查和处罚。
萨奥法案重申了对“财务报告内部控制”的有效性进行审计,涉及该问题的条款主要有302条款和404条款。
第302条款关于“公司对财务报告的责任”规定,公司的首席执行官或首席财务官(或履行类似职责的人员)按照1934年《证券交易法》的要求提交的年度报告或季度报告中应证明以下事实:
第一,签发报告的官员已经复核过该报告;第二,该官员应确认该报告不包含对某个重要事实的任何不真实的声明,也没有遗漏对某个重要事实必要的声明;第三,该报告在所有重要方面公允地反映了公司在报告期的财务状况和经营成果;第四,该官员应对建立和维持内部控制负责,评价报告发布前90天内内部控制的有效性,并在定期报告中披露该评估结果;第五,该官员已经向审计师和公司董事会的审计委员会(或履行相同职责的其他人员)披露了内部控制设计或运行上的所有重大缺陷和薄弱环节,及这些缺陷对公司记录、处理、汇总和报告财务数据的能力产生的负面影响,披露了管理层或其他在内部控制中发挥重要作用的人员的所有舞弊行为;第六,该官员已经在报告中指出内部控制或其他影响内部控制的因素在评估后是否发生重大变动,包括对重大缺陷或薄弱环节的改进措施。
第404条款关于“管理层对内部控制的评估”规定:
第一,作为一项强制性规则,公司提供的年度报告中均应包括一份内部控制报告,声明管理层对建立和维持适当的、基于财务报告目的的内部控制框架和程序的责任,基于最近的财政年度末对内部控制的有效性进行评估;第二,担任公司年报审计任务的会计公司应对管理层进行的内部控制评估进行测试和评价。
为了落实第404条款的要求,2004年3月9日,PCAOB发布第2号审计准则《与财务报表审计联合实施的财务报告内部控制审计》(AnAuditofInternalControloverFinancialReportingPerformedinConjunctionwithAnAuditofFinancialStatements),6月17日经SEC批准后实施。
但该准则过于繁杂,PCAOB对其实施情况并不满意,深受其累的上市公司也纷纷通过各种方式向SEC和PCAOB施加压力,指责404条款是“过度监管”的典型。
2002年至2004年间,美国372家公司因无法忍受如此严厉的监管和高昂的遵循成本而退市。
鉴于此,2006年12月15日,美国有关方面宣布推迟部分公司执行404条款的具体时间。
2007年5月23,SEC批准通过《针对财务报告内部控制的管理层报告的规则修订》(AmendmenttoRulesRegardingManagement’sReportsonInternalControlOverFinancialReporting),并随后发布《SEC对遵循1934年证券交易法13(a)或15(d)要求的针对财务报告内部控制的管理层报告的指引》(CommissionGuidanceRegardingManagement’sReportsonInternalControloverFinancialReportingunderSection13(a)or15(d)ofSecuritiesExchangeActof1934),于6月27日起实施。
作为对第2号审计准则的完善,2007年5月24日,PCAOB发布第5号审计准则《与财务报表审计相结合的财务报告内部控制审计》(AnAuditofInternalControloverFinancialReportingthatisIntegratedwithAnAuditofFinancialStatements),SEC于7月25日批准了该准则,于2007年11月15日起实施。
4.2004版COSO报告
2004年9月,Treadway委员会发布了全新的COSO报告《企业风险管理:
整体框架》(EnterpriseRiskManagement:
IntegratedFramework,ERM框架),ERM框架认为,企业风险管理是一个过程,受董事会、管理层和其他人员影响,在战略制定中用以确认可能影响企业的潜在事项和管理其风险偏好中的风险,提供关于实现企业目标的合理保证,内部控制是风险管理的一部分。
ERM框架提出了风险管理的四个目标:
战略目标、营运的效率效果目标(含资产保护目标)、财务报告的可靠性目标和法律规章的遵循性目标;增加了风险管理的三个要素:
“目标设定”(objectivesetting)、“事项识别”(eventidentification)、和风险应对(riskresponse),使基于1992版COSO报告中的“五要素”发展为“八要素”。
目标设定要求企业管理层采取恰当的程序去设定风险管理目标,确保所设定目标与主体的使命相衔接、与主体的风险容量相适应;事项识别即识别因包含风险或机会而可能对目标实现产生影响的潜在事项,包括经济因素、自然因素、政治因素、社会因素、技术革新因素等外部因素,以及组织结构、人员素质、业务流程、信息系统等内部因素;风险评估是指分析和辨认实现目标可能发生的负面风险,以形成对它们实施管理的依据;风险应对是指管理层在评估了相关风险的可能性和重要性,以及成本效益之后,选择一系列策略使剩余风险处于期望的风险容量以内。
为了帮助小型上市公司评估和报告其内部控制,2006年6月,COSO委员会发布《财务报告内部控制——对小型上市公司的指南》(InternalControloverFinancialReporting:
GuidanceforSmallerPublicCompanies),提出了小型上市公司建立内部控制的20条原则。
ERM框架是在1992版COSO报告(IC框架)基础上的发展和升华,第一,继承和强化了IC框架中的风险理念,从风险管理的目标维度和要素维度构建了一个风险管理的立体框架,并且提出,内部控制是风险管理的一部分;第二,将“控制环境”要素调整为“内部环境”更为严谨,因为控制环境包括了内部环境和外部环境两个方面,而外部环境并不在企业的可控制范围之内;第三,发展了风险管理要素,提高了ERM框架对企业风险管理实务的指导作用和可操作性。
三、其他国家和组织的内部控制研究
COSO报告产生了重大的国际影响,许多国家和组织在建立内部控制框架时都一定程度上借鉴了COSO的成果,其中加拿大的CoCo、英国的Cadbury和Turnbull等比较有代表性。
加拿大特许会计师协会(CICA)早期认为内部控制是“由组织体制的设计和企业管理人员制定的所有协调制度组成,以实现管理目标,促进业务有秩序、有效率地开展,保证资产安全、会计记录可靠并及时提供准确的财务资料”。
1995年11月,CICA所属的控制标准委员会(CoCo)发布报告《控制指南》(GuidanceonControl),将“内部控制”的概念扩展到“控制”,将其定义为“一个企业中的要素集合体,包括资源、系统、过程、文化、结构和任务等,这些要素结合在一起以达成该企业的目标”。
CoCo指南认为,控制包括四个基本要素:
目标(purpose)、承诺(commitment)、能力(capability)、监督和学习(monitoring&learning),并设定了各要素的评估标准共20项。
1994年11月,英格兰和威尔士特许会计师协会(ICAEW)下属的公司治理财务委员会(即Cadbury委员会)发布《内部控制和财务报告》(Cadbury报告),认为整个控制体系(包括财务控制和其他控制)是为了运营的效果和效率、内部财务控制和遵守法律法规提供合理保证。
1999年9月,ICAEW下属的公司内部控制工作小组(即Turnbull小组)发布《内部控制——关于联合规则的董事指南》(Turnbull指南),把风险管理、内部控制和商业目标相互联系起来,认为风险管理是整个企业全体人员的责任,董事会应当在获得信息和做出承诺的基础上检查相关制度的有效性,确保风险管理流程已经成为公司日常程序的组成部分,并能够在遇到风险时做出快速反应,同时加强内部审计或采取其他替代机制以确保公司经营目标的实现。
Turnbull小组在2004年修订Turnbull指南时提出了董事会在建立和评价内部控制系统的构成要素时应考虑的各种因素:
公司所面临风险的性质和程度、公司要承担的可接受风险的程度和种类、风险转化为现实的可能性、公司降低风险发生的能力,等等。
2005年10月,Turnbull小组发布《内部控制——关于联合规则的修订董事指南》(Internalcontrol:
RevisedGuidanceforDirectorsontheCombinedCode),认为内部控制系统包括公司的政策、过程、任务和行为等方面,反映了控制环境、控制活动、信息与沟通、以及监督内部控制系统持续有效性的过程。
1998年9月,巴塞尔银行监管委员会(BaselCommitteeonBankingSupervision,BCBS)发布《银行组织中内部控制系统的框架》(FrameworkfortheInternalControlSystemsinBankingOrganizations),认为银行内部控制“是董事会、高级管理人员和所有层次的职员实施的一个过程”,由管理人员监察与控制文化、风险评估、控制活动、信息与沟通、监控等五个要素组成,其目标包括营业目标(即营业的效率和效果)、信息目标(即财务信息和管理信息的可靠性和完整性)、合规目标(即适用法律法规的符合性),并提出了适应银行业内部控制的13条原则。
四、我国的内部控制研究
自1992年实行社会主义市场经济体制以来,尤其是2001年12月11日加入世界贸易组织(WorldTradeOrganization,WTO)以来,我国在内部控制理论研究和规范制定上逐步与国际接轨,取得了较为丰富的成果。
1.关于规范制定
1999年10月31日,第九届全国人民代表大会常务委员会第十二次会议通过修订的《会计法》,第一次以法律的形式对建立健全内部控制提出原则要求。
2000年6月22日,财政部发布《内部会计控制规范——基本规范(试行)》和《内部会计控制规范——货币资金(试行)》。
2000年11月,中国证监会发布《公开发行证券公司信息披露编报规则》,要求公开发行证券的商业银行、保险公司、证券公司建立健全内部控制制度,并在招股说明书正文中说明其内部控制制度的完整性、合理性和有效性,同时委托会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价,出具评价报告。
财政部于2001年至2004年间连续制定发布了《内部会计控制规范——基本规范》等规范,审计署、证监会、银监会以及上海、深圳证券交易所等也从不同角度对加强内部控制提出明确要求。
2006年7月15日,财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会(ChinaInternalControlStand
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业内部 控制