内部控制与企业风险管理
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

第2章 导言

内部控制与风险管理的起源和发展

内部控制与风险管理的概念是在实践中逐步产生、发展和完善起来的。内部控制理论的发展大致可以分为内部牵制、内部控制制度、内部控制结构、内部控制整合框架及企业风险管理整合框架五个阶段。

在内部牵制阶段,内部控制的主要内容是账目间的相互核对,内部控制的主要方式是设立不兼容岗位,这在早期被认为是确保所有账目正确无误的一种理想控制方法。在内部控制制度阶段,内部控制以内部会计控制为核心,重点是建立健全的规章制度。在内部控制结构阶段,内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序,分为内控环境、会计制度和控制程序三个方面。内部控制整合框架阶段,就是在以上三个阶段的基础上,把内部控制要素整合成五个相互关联的部分,被称为内部控制的第四个阶段。第五个阶段是在内部控制整合框架五要素基础上的一次拓展,成为八个相互关联的整体;同时,内部控制与风险管理理念贯穿其中,所以这个整体被称为企业风险整合框架。

以上是内部控制产生的理论脉络,从外部环境看,内部控制的产生可以追溯到19世纪末20世纪初。

20世纪30年代的经济大萧条以后,美国各界纷纷致力于治理会计秩序和财务报告,美国证券交易委员会(SEC)的成立也推动着会计和审计实务朝着标准化方向发展。1949年,美国注册会计师协会(AICPA)出版了第一本审计学意义上的内部控制研究专著《内部控制——协作体系的要素及其对于管理层和独立公共会计师的重要性》,并首次给内部控制做了权威性的定义。

20世纪70年代中期,在对美国“水门事件”调查中,发现不少美国大公司进行违法的国内捐款,甚至贿赂外国政府官员,这使得立法机关与行政机关开始注意内部控制问题。针对调查的结果,美国国会于1979年通过了《反海外贿赂法》(FCPA)。FCPA除规定了有关反贿赂的条款外,还规定了与会计及内部控制有关的条款。此后不久,美国证券交易委员会发布了《管理阶层对内部会计控制的报告书》,强制公司对其内部会计控制提出报告书,因此美国许多机构都加强了对内部控制的研究并提出了许多建议。

1985年,由美国注册会计师协会、美国会计协会(AAA)、国际财务经理人协会(FEI)、国际内部审计师协会(IIA)、美国管理会计师协会(IMA)联合创建了反虚假财务报告委员会(通常称Treadway委员会),旨在探讨财务报告中产生舞弊的原因,并寻找解决之道。两年后,基于该委员会的建议,其赞助机构成立COSO(Committee of Sponsoring Organization)委员会,专门研究内部控制问题。1992年9月,COSO委员会发布了《内部控制整合框架》(简称COSO报告,1994年进行了增补),标志着内部控制进入第四个阶段,此阶段将内部控制分为控制环境、风险评估、控制活动、信息与沟通以及监督五大部分。由于COSO《内部控制整合框架》提出的内部控制理论和体系集内部控制理论和实践发展之大成,成为现代内部控制最具有权威性的框架,因此在业内备受推崇,在美国及全球得到广泛推广和应用。

2001年“安然事件”之后,美国又相继出现世通等一系列公司舞弊丑案,诚信危机极大地震撼着美国及国际社会,人们对美国式自由市场经济制度产生质疑,全球舆论的焦点集中于美国企业的假账丑闻。为了提高民众对美国金融市场、政府经济政策的信心,2002年7月30日,美国国会紧急出台了公司改革法案《萨班斯—奥克斯利法案》,要求所有在美国上市的公司必须建立和完善内控体系。该法案是1930年以来美国证券立法中最有影响的法案,它加重了公司主要管理者的法律责任,加强了对公司高级管理层的收入监管,对公司内部的审计委员会做出法律规范,强化了对公司外部审计的监管,加强了信息披露制度和其他有关公司监管的规定。

2003年8月,COSO委员会又发布了《企业风险管理整合框架》征求意见稿,在内部控制整体框架基础上提出了风险管理的框架,由此将内部控制的五个要素扩充为基于风险管理的八个要素,将内控为风险管理服务的理念发挥得淋漓尽致。2004年9月,COSO委员会发布了《企业风险管理整合框架》终稿,标志着内部控制进入了第五个阶段,此阶段将内部控制分为内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和沟通以及监督八个相互关联的部分。这是内部控制发展到风险管理层面的一个里程碑。随着全球经济波动和商业环境日趋复杂多变,2011年11月,COSO委员会发布了更新内部控制框架的草案,并于2013年5月发布了《COSO内部控制整合框架》正式版。新的COSO框架保留了内部控制的核心定义及其五大要素,并加入对相关概念的指引,同时还引入和更新实际案例,以更易于使用和应用。

除美国外,英国、法国、德国、日本等国家也先后开始了内部控制和风险管理研究。1995年由澳大利亚和新西兰联合制定的AS/NZS 4360明确定义了风险管理的标准程序,这就是我们通常说的澳新ERM标准,它标志着第一个国家风险管理标准的诞生。英国改善内部控制的努力可见诸于1999年问世的《公司治理综合法典》。加拿大也制定了自己的标准来改善内部控制,安大略证券委员会之Multi-lateral Instrument 52-109(与SOX302相似)和52-111(与SOX404相似)要求企业年报一同提交相关内部控制报告。欧盟2002年改革白皮书强调内部控制是企业各经理层的责任,并提出内部控制包括控制环境、业绩和风险管理、信息和沟通、控制活动、审计和评估五个方面。此外,国际银行业也在积极改善内部控制系统,2004年6月,“十国集团”发布了被称为“BaselⅡ”的资本充足性框架,这一框架于2006年生效。BaselⅡ第744节和第745节要求就内部控制架构进行独立检查,包括风险管理、建立监管内部政策合规性的方法,以及验证内部控制系统在保证企业有序和谨慎经营的程度;第751节和第752节要求企业对内部控制环境进行评估,包括信息报告流程和体系的质量、企业经营风险和活动之间的联系,以及企业管理当局应对风险的记录。各银行依据其风险情况和风险管理程序的应用程度以及内部控制来决定资本充足度。

内部控制与风险管理在我国的发展

中国在内部控制与风险管理方面的研究开始于20世纪80年代。我国系统的内控制度建设是在有了《会计法》之后。1999年修订的《会计法》第一次以法律的形式对建立健全内部控制提出原则要求,财政部随即连续制定发布了《内部会计控制规范——基本规范》等七项内部会计控制规范。但从更宽泛的管理意义上来说,真正将内部控制和风险管理形成法规,是受到美国“安然事件”和“世通公司财务欺诈案”及随后的《萨班斯法案》的影响。

同时,自2004年以来,随着中航油、中储棉、国储铜等企业一连串危机事件的相继爆发,监管当局更加充分地认识到加强内部控制和风险管理建设对我国企业尤其是上市公司的重要性,并陆续出台了一系列相关的政策性文件。2006年6月6日,国资委发布了《中央企业全面风险管理指引》。这是我国第一个全面风险管理的指导性文件,意味着中国走上了风险管理的中心舞台。2008年6月28日,财政部、证监会、审计署、银监会、保监会五部门联合发布了《企业内部控制基本规范》(以下简称《规范》)。《规范》原计划自2009年7月1日起先在上市公司范围内施行,后延至2010年1月1日,鼓励非上市公司的其他大中型企业自愿执行。《规范》的发布,标志着我国企业内部控制规范体系建设取得重大突破,有业内媒体甚至称之为中国版的《萨班斯法案》。2010年4月26日,财政部、证监会、审计署、银监会、保监会五部门又联合发布了《企业内部控制配套指引》,该指引的发布,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。

我国出台的相关政策性文件

1999年修订的《会计法》第一次以法律形式对建立健全内部控制提出原则要求,其第27条规定:各单位应当建立健全本单位内部会计监督制度。

自2001年开始,为落实《会计法》的精神,财政部连续制定发布了《内部会计控制规范——基本规范》等七项内部会计控制规范,即《基本规范(试行)》(2001)和涉及货币资金(2001)、采购与付款(2002)、销售与收款(2002)、工程项目(2003)、担保(2004)、对外投资(2004)的六个具体控制规范,同时印发了固定资产、存货、筹资、成本费用、预算等控制规范的征求意见稿。

2001年1月31日,证监会发布了《证券公司内部控制指引》,要求证券公司从内部控制机制和内部控制制度两个方面来规范自身的发展,有效防范和化解金融风险,维护证券市场的安全与稳定。

2002年9月7日,中国人民银行于2002年9月7日制定发布了《商业银行内部控制指引》,促进商业银行建立和健全内部控制体系,防范金融风险,保障银行体系安全稳健运行。

2003年12月,审计署发布第5号令《审计机关内部控制测评准则》(以下简称《准则》),提出建立健全内部控制并保证其有效实施是被审计单位的责任,审计人员的责任是对内部控制的健全性和有效性进行评价。

2005年11月,证监会发布了《关于提高上市公司质量意见》,明确提出上市公司要严格按照《公司法》等相关法律法规和现代企业制度的要求,完善股东大会、董事会、监事会制度,形成权力机构、决策机构和监督机构与经理层之间权责分明、各司其职、有效制衡、科学决策、协调运作的法人治理结构;同时要求上市公司加强内部控制制度建设,强化内部管理,对内部控制制度的完整性、合理性及其实施的有效性进行定期检查和评估,并通过外部审计对公司的内部控制制度以及公司的自我评估报告进行核实评价,通过自查和外部审计,及时发现内部控制制度的薄弱环节,认真整改,堵塞漏洞,有效提高风险防范能力。

2006年5月17日,中国证券监督管理委员会发布了《首次公开发行股票并上市管理办法》。该办法第29条规定“发行人的内部控制在所有重大方面是有效的,并由注册会计师出具无保留结论的内部控制鉴证报告”。这是中国首次对上市公司内部控制提出具体的要求。

2006年6月5日,上海证券交易所(以下简称“上交所”)出台了《上市公司内部控制指引》,要求上市公司建立内部控制体系,并于2006年7月1日全面执行。

2006年6月6日,国务院国有资产监督管理委员会(以下简称“国资委”)发布了《中央企业全面风险管理指引》。文件强调,企业全面风险管理是一项十分重要的工作,关系国有资产的保值、增值和企业的持续、健康、稳定发展。为了指导企业开展全面风险管理工作,进一步提高企业管理水平,增强企业竞争力,促进企业稳步发展,要求结合企业实际情况执行风险管理指引。

2006年9月28日,继上交所和国资委之后,深圳证券交易所(以下简称“深交所”)也出台了《上市公司内部控制指引》,敦促上市公司建立健全公司内部控制制度,并于2007年7月1日起正式执行。

2007年3月,证监会出台《关于开展加强上市公司治理专项活动有关事项的通知》,要求上市公司本着实事求是的原则,严格对照《公司法》、《证券法》等有关法律、行政法规以及《公司章程》、《董事会议事规则》等内部规章制度,对公司100个重要治理事项进行自查,其中涉及内部控制的自查有15项。同年,证监会发布《关于做好上市公司2007年年度报告及相关工作的通知》,提出上市公司应在2007年年报中全面披露公司内部控制建立健全的情况。

2007年6月,银监会重新修订了《商业银行内部控制指引》,明确规定除商业银行外,政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、农村资金互助社、金融资产管理公司、邮政储蓄机构、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他金融机构也需参照执行本指引。

2008年6月28日,财政部、审计署、证监会、银监会和保监会五部委联合发布了我国第一部《企业内部控制基本规范》。该规范借鉴了COSO委员会1992年内部控制五要素的框架和2004年风险管理八要素的实质,将内部控制分为内部环境、风险评估、控制活动、信息与沟通、内部监督五个相互关联的要素。此外,企业内部控制评价指引和22项内部控制指引,以及内部控制鉴证指引草案也一并公布,并公开征求意见。

2008年8月18日,国资委发布第20号令《中央企业资产损失责任追究暂行办法》。该办法第25条、第27条、第32~40条明确规定了中央企业领导人对企业内部控制失效应承担的责任和应受到的惩罚,并于2008年10月1日开始施行。

2009年,银监会先后发布《商业银行信息科技风险管理指引》、《商业银行声誉风险管理指引》、《商业银行流动性风险管理指引》以及《商业银行银行账户利率风险管理指引》,敦促商业银行重点加强信息科技、声誉及流动性风险的管理,全面提升风险管控能力,从而提高商业银行内部控制有效性。

2010年4月26日,财政部、证监会、审计署、银监会、保监会五部门再次联合发布了《企业内部控制配套指引》,要求执行内控规范的企业必须对本企业内控有效性进行评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告的有效性进行审计,出具审计报告。

2010年8月10日,根据《保险法》、《企业内部控制基本规范》等文件规定,保监会制定并发布了《保险公司内部控制基本准则》,以促进保险公司加强内部控制建设,提高保险公司风险防范能力和经营管理水平。

2011年10月11日,中国注册会计师协会发布了《企业内部控制审计指引实施意见》,为注册会计师更有效地执行企业内部控制审计业务提供了全方位的技术指引。

2011年11月7日,国资委针对中央企业发布了《关于2012年中央企业开展全面风险管理工作有关事项的通知》,要求中央企业切实加强对未来风险总体形势的研判,进一步健全风险评估常态化机制,真正做到全面风险管理与日常经营管理的深度融合,建立并完善全面风险管理报告制度。

2012年2月7日,上市公司监管部发布了《关于做好2012年上市公司建立健全内部控制规范体系监管工作的通知》,要求各证监局要以现场检查为抓手,敦促、跟踪和推进公司建立健全内部控制规范体系工作,加强信息披露监管,及时完成审核和分析工作,发挥体制优势,加强监管协作,将公司建立健全内控规范体系工作有机融入公司日常监管当中。

2012年2月23日,为推进《企业内部控制基本规范》及其配套指引的顺利实施,财政部发布了《关于印发企业内部控制规范体系实施中相关问题解释第1号的通知》,进一步明确了企业内控规范的实施范围,内部控制与风险管理的关系,权衡内部控制实施成本与预期效益的关系,以及协调好内部控制与其他管理体系的关系等问题。

2012年2月27日,中国保险监督管理委员会印发《人身保险公司年度全面风险管理报告框架》。该框架是在总结保险公司2011年提交的年度全面风险管理报告,借鉴国内外保险公司好的经验,结合中国人身保险行业实际的基础上,统一了全面风险管理报告必备的基本内容。

2012年5月7日,国资委发布《关于加快构建中央企业内部控制体系有关事项的通知》,要求无论是央企上市公司要分类分步建设与实施内部控制体系,力争用两年时间,在全部中央企业建立起规范的内部控制体系。2012年8月14日,财政部会同证监会联合发布《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》,要求所有主板上市公司自2012年起着手开展内控体系建设。其中,中央和地方国有控股主板公司应随2012年年报披露内部控制自我评价报告和审计报告;非国有控股主板公司(2011年12月31日总市值在50亿元以上,且2009年至2011年平均净利润在3000万元以上)随2013年年报披露;其他主板上市公司则为2014年。

2012年9月24日,财政部发布《关于印发企业内部控制规范体系实施中相关问题解释第2号的通知》,针对2012年境内主板上市公司内部控制规范体系实施中出现的新情况、新问题,如内控组织实施、内控实施的进度与重点、内控人才队伍培养、小型企业内控建设等,进行解释和明确,进一步有力推动了企业内部控制规范体系的实施。

这些都是监管层对中央企业及上市公司内部控制建设由提倡向明确要求转变的标志性事件。内部控制和风险管理体系是为满足企业生产经营管理的内在需要而产生的。上交所、深交所和国资委及财政部、证监会、审计署、银监会、保监会推出的一系列与内部控制和企业风险管理有关的指引和规范,无疑给央企和上市公司提供了具有操作性和实用性的指导,必将大力推动我国企业内部控制的健全和发展。

企业如何进行内部控制和风险管理建设

一般来说,企业进行内部控制和风险管理建设时,应该从以下三个方面来进行。

首先,明确内部控制和风险管理的目标。根据五部委的《企业内部控制基本规范》,内部控制的目标就是在保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、经营效率和效果提高的基础上,着力促进企业实现发展战略。

其次,完善内部控制和风险管理环境。这包括建立合理、有效的内部控制和风险管理组织体系,打造良好的风险管理文化,加强风险管理信息系统的建设等,为企业进行内部控制和风险管理打好基础。

最后,建立一套适合自身实际特点的内部控制和风险管理流程和方法。根据国资委《中央企业全面风险管理指引》,风险管理的基本流程包括收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监督和改进五个方面。

事实上,企业内部控制与风险管理建设是一项复杂的系统工程。在美国上市的企业为满足美国《萨班斯法案》关于内部控制的要求,常常需要耗费一年甚至几年的时间,且通常都是在中介机构的协助下进行的。监管当局显然已经意识到企业完善内部控制和风险管理的难度,并分别以不同的形式使企业尤其是上市公司做好实施内部控制和风险管理的预备工作,且在相应指引中建议企业在实施的过程中聘请中介机构协助。企业可以通过中介机构的培训和指导,尽快建立内部控制和风险管理体系,培育本企业内部控制和风险管理方面的专业人才,提高企业各级人员的风险意识。

本书是作者出版的《内部控制与企业风险管理:实务操作指南》(第3版)(简称《指南》)的姊妹篇。《指南》一书侧重于对内部控制与企业风险管理的基础知识、具体关注要点和操作程序的介绍和说明,是一本实用性很强的工具书;本书则侧重于对近年来国内外发生的具有典型意义的内部控制和风险管理失效案例进行分析和点评,旨在为中国的企业和企业家们敲响警钟,使其充分认识到内部控制和风险管理的重要性和紧迫性。