企业内部控制基本规范新变化与新要求李敏第一部分新的企业内部控制体系3新的企业内部控制文件已经发布2006年7月15日,财政部、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会,同时设立了由86位专家组成的内部控制咨询委员会。2006年11月8日,企业内部控制标准委员会发布了《企业内部控制规范——基本规范》和17个具体规范的征求意见稿。2008年6月28日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》,其目的是为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益。4征求意见正在抓紧进行财办会[2008]7号发出“关于征求《企业内部控制评价指引》、《企业内部控制应用指引》和《企业内部控制鉴证指引》意见的通知”。2008年12月31日、2009年1月8日、2009年1月16日又分别以财会便[2008]60号、财会便[2009]4号、财会便[2009]6号发出关于征求内部控制应用指引或企业内部控制评价指引意见的通知。5企业内部控制基本规范企业内部控制应用指引内部控制评估报告企业内部控制评价企业内部控制鉴证企业内部控制现状具有中国特色的企业内部控制体系6人需要体检是为了防范疾病与自我保健,企业进行体检是为了防范风险与可持续发展。《基本规范》和《应用指引》是企业体检标准;《评价指引》是企业进行“自我体检”——应当具有自觉性和持续性;《鉴证指引》属于“外部体检”——应当更具有专业性和公正性。企业内控规范是为企业构筑防范风险“防火墙”。企业应以管控风险求稳健扩张。企业风险管理最核心的目标是要促进企业健康、稳定、可持续发展。7我国建立企业内部控制体系基本目标总结我国经验,借鉴国际惯例,有效利用国际国内资源,充分发挥各方面积极作用,通过三到五年的努力,基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系,以及以监管部门为主导、各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的内部控制实施体系,推动公司、企业和其他非营利组织完善治理结构和内部约束机制,不断提高经营管理水平和可持续发展能力。第二部分内部控制发展与国际趋同9一、内部控制初始阶段——内部牵制法从20世纪初到20世纪40年代以前内部牵制的三大要素与四个重点职责分工会计记账人员轮换实物牵制机械牵制体制牵制簿记牵制内部牵制10二、内部控制建设阶段——制度二分法20世纪40年代至80年代之间,内部控制划分为会计控制和管理控制,内部控制的内涵开始扩张与延伸。美国《证券交易法》首先使用“内部会计控制”作为根除经济危机中虚假会计信息泛滥的根本措施之一。内部会计控制作为企业内部控制的核心内容开始引起管理当局的高度关注。11三、内部控制发展阶段——结构三分法20世纪80年代之后至90年代,内部控制由偏重研究具体的控制程序和方法发展成为对内部控制系统的全方位研究,其突出的变化和重要成果是日益重视对控制环境的研究。在结构上由控制环境、会计制度和控制程序三个要素组成。控制环境作为内部控制的外部因素来看待,而是将其视为内部控制的一个组成部分。突出会计制度控制作用,规定各项经济业务的确认、归集、分类、分析、登记和编报的方法等。12四、内部控制整体框架阶段——要素五分法1992年,美国“反对虚假财务报告委员会”下属的由美国会计学会(AAA)、注册会计师协会(AICPA)、国际内部审计协会(IIA)、财务经理协会(FEI)和管理会计学会(IMA)等组织参与的发起组织成立了美国科索委员会(简称COSO),并提交了一分举世瞩目的研究报告《内部控制——整体框架》(也称《内部控制综合框架》),该报告在1994年进行了增补。13COSO报告的主要内容内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。重大突破:一是强调风险评估在内部控制中的重要作用;二是强调信息与沟通是强化内部控制的重要途径;三是强调对内部控制系统本身的监控是内部控制发挥作用的关键环节。14三个层面、三个目标和五个要素组成内部控制框架作业层面规法守遵靠可表报效效率果内部环境风险评估控制活动信息与沟通监控公司层面部门层面15五、内部控制与风险管理阶段——要素八分法从20世纪90年代末以来,对于内部控制与风险管理研究的标志性成果,是科索委员会于2004年9月29日发布的研究报告——《企业风险管理——整合框架》(又称《企业风险管理综合框架》)。该研究报告将内部控制上升至全面风险管理的高度来认识,描述的企业风险管理的重要构成要素、原则与概念。该框架集中关注风险管理,为董事会与管理层识别风险、规避陷阱、把握机遇、增加股东价值提供了清晰的指南。16企业风险管理与内部控制公司报标目略战子公司等分支机构信息沟通监控控制活动标目法合标目告目经营标风险反应风险评估事项识别内部环境目标制定业务部门17内部控制八要素与内部控制五要素之间的关系内部环境目标制定事项识别风险评估风险应对控制活动信息沟通监控内部环境风险评估控制活动信息沟通监控18失控案例不断爆光,风险管理警钟常鸣1994年德国MGRM集团高息筹资投资石油期货损失13亿美元;1994年美国加州橘郡财务长雪铁龙以政府名义筹资,投资票据亏损18亿美元导致橘郡政府破产;1995年里森私设账外账,投资日经期货指数损失14亿美元,直接导致巴林银行破产;1996年住友商事有色金属业务部长滨中泰男违反公司规定,从事铜的非法交易长达10年,造成了18亿美元的亏损;2001年的美国安然能源公司因虚假经营、虚构利润、隐瞒亏损而导致破产,从而引发作为世界“五大”之一的安达信会计师事务所的终结。2002年世界通信公司被揭露涉嫌虚报巨额利润,仅2001年到2002年第一季度,世界通信公司凭空捏造出38.52亿美元利润……2008年法国兴业银行交易员凯维埃尔在未经授权的情况下违规操作给银行造成了近50亿欧元的损失……19经济全球化与风险社会1、经济全球化大大增加了风险的来源。风险在扩散的过程中,彼此间还可能产生互动关系,产生新的风险源,增强风险的后果。2、经济全球化放大了风险的影响和潜在后果。一是相互依存的加深提高了风险后果承担者的数量;二是发达的现代通讯技术使更多的人意识到风险的潜在后果,也容易因为信息的不完整导致过度恐慌。3、经济全球化推动了全球风险意识或文化的形成。风险社会中的风险是“文明的风险”,面对共同的风险,人类有了基本的整体性共识。4、经济全球化呼唤着并推动着风险治理机制的变革。20现代企业内部控制发展的重要启示1、反舞弊成为加强内部控制的内在需求2、市场经济越发展,企业内部控制更重要3、实施风险管理是内部控制的发展趋势4、风险控制是防范经营失败的重中之重失控导致失败是市场竞争中企业面临的最大风险之一。强调风险管理与内部控制的融合,是一种思维创新。融合好,可以和谐共赢。第三部分我国内部控制发展与特色22我国内部控制建设发展历程1978年9月12日国务院颁布《会计人员职权条例》,提出“总会计师会签”制度1984年4月24日财政部发布《会计人员工作规则》,要求建立会计人员岗位责任制,提出出纳人员不相容职务分离的规范要求1985年1月21日通过的《中华人民共和国会计法》重申会计人员岗位责任制的要求1996年6月17日财政部发布《会计基础工作规范》,要求建立与健全包括内部牵制制度在内的会计管理制度1999年10月31日修订后的《中华人民共和国会计法》明确要求各单位应当建立、健全内部会计监督制度2001年6月22日起财政部陆续发布《内部会计控制规范》2008年6月28日发布《企业内部控制基本规范》23一、商业银行内部控制是我国企业内部控制的重点1997年5月,中国人民银行就印发了《加强金融机构内部控制的指导原则》(银发[1997]199号)。1997年10月,中华人民共和国财政部与中国人民银行共同发出了《进一步加强银行会计内部控制和管理的若干规定》。242002年9月,制定了《商业银行内部控制指引》(中国人民银行公告第19号)。该指引明确指出:“内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制……应当包括以下要素:(1)内部控制环境(2)风险识别与评估(3)内部控制措施(4)信息交流与反馈(5)监督评价与纠正。”2005年2月1日,《商业银行内部控制评价试行办法》开始施行。2007年6月,银监会又重新修订《商业银行内部控制指引》25二、上市公司内部控制是我国企业内部控制的关注点2001年1月,中国证券监督管理委员会发布《证券公司内部控制指引》。2001年10月,中国证监会又发出了《关于做好证券公司内部控制评审工作的通知》(证监机构字[2001]202号)。262006年7月1日施行《上海证券交易所上市公司内部控制指引》认为:“内部控制是指上市公司为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理层及全体员工共同参与的一项活动。”该指引将内控要素细分为:(1)目标设定(2)内部环境(3)风险确认(4)风险评估(5)风险管理策略选择(6)控制活动(7)信息沟通(8)检查监督8个基本要素。2006年7月又发布了《证券公司融资融券业务试点内部控制指引》等文件。27三、注册会计师审计服务对加强企业内部控制具有审核与指导作用1997年1月1日起实施《独立审计具体准则第9号——内部控制与审计风险》。2002年2月中国注册会计师协会发布了《内部控制审核指导意见》(会协[2002]41号)。282007年1月1日起实施《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》,该准则认为:“内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序……包括下列要素:(1)控制环境(2)风险评估过程(3)信息系统与沟通(4)控制活动(5)对控制的监督。”29四、企业内部控制应当以内部会计控制为核心2001年起,财政部为了促进各单位内部会计控制的建立与健全,加强内部会计监督,维护社会主义市场经济秩序,发布《内部会计控制规范》。内部会计控制是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。30《内部会计控制规范》《内部会计控制规范——基本规范(试行)》《内部会计控制规范——货币资金(试行)》《内部会计控制规范——采购与付款(试行)》《内部会计控制规范——销售与收款(试行)》《内部会计控制规范——工程项目(试行)》《内部会计控制规范——担保(试行)》《内部会计控制规范——对外投资(试行)》《内部会计控制规范——成本费用(征求意见稿)》《内部会计控制规范——预算(征求意见稿)》……第四部分《基本规范》重点解读32一、《基本规范》的重要地位《基本规范》自2009年7月1日起实施《基本规范》全文共七章五十条:总则、内部环境、风险评估、控制活动、信息与沟通、内部监督、附则我国第一部全面规范企业内部控制的规章制度我国企业建立和实施内部控制的基础框架是统领应用指引、评价指引与鉴证指引的标准开创了中国企业内部控制体系的新局面是指导我国企业如何加强内部控制的最基本也是最主要的法律文本。33一、《基本规范》的重要地位《基本规范》既有类似萨班斯法案的强制力,又有与科索报告一样对内控实务的示范作用,既对中国企业建立内控制度提出了强制性要求,又为千差万别的中国企业建立健全内控制度提供了基本框