周茂华 李 斌
【摘 要】 本文通过对比《企业内部控制基本规范》从征求意见稿到发布稿的变化,及《企业内部控制具体规范》(征求意见稿)到《企业内部控制应用指引》(征求意见稿)的变化,以深入了解规范制订的意图,掌握内控规范的要义,从而更好地加以应用。
【关键词】 企业内部控制; 基本规范; 应用指引; 风险控制
“三鹿事件”在全国乃至全球闹得沸沸扬扬。日前,其出售方案已经敲定,一个全国“最大”的奶粉生产企业就此轰然倒地。人们反思社会诚信的缺失,反思食品、药品安全监督的无力,反思上报制度的官僚等等,不一而足,然而内观企业管理,三鹿事件已经成为内控失效的经典案例。如何引以为鉴,建立和实施有效的内部控制、防范风险,是每一个企业必须高度重视的课题。
2008年6月28日我国发布了《企业内部控制基本规范》(以下简称“内控基本规范”)。同时为了配合《企业内部控制基本规范》的施行,有关部门还草拟了《企业内部控制评价指引》(征求意见稿)、《企业内部控制应用指引》(征求意见稿)和《企业内部控制鉴证指引》(征求意见稿)并公开征求意见。逐步建立起了一套以基本规范为统领,以评价指引、应用指引和内部控制鉴证指引等配套办法为补充的内控标准体系。拓展了原来仅包括基本规范、具体规范和应用指南的内控规范体系结构的设想。而“内控基本规范”从征求意见、修改到定稿、发布,历时为起草制定阶段的2倍。可见管理当局之谨慎。
笔者发现,“内控基本规范”从征求意见稿到发布稿有着不小的变化;《企业内部控制应用指引》(征求意见稿)则系原《内部控制具体规范》(征求意见稿)变身而来,也有一定的修订。
一、《企业内部控制基本规范》的变化
总体上,结构和文字都更加精简,删去了描述性的语言和显累赘的章节条款,同时又增加了部分内容,使各项要求更趋专业化。
(一)结构精简
征求意见稿分为七章:总则、内部环境、风险评估、控制措施、信息与沟通、监督检查、组织实施及附则。其中第二章又分五节:治理结构、内部机构设置与权责分配、企业文化、人力资源政策、内部审计机制和反舞弊机制。最终发布稿删掉了“组织实施及附则”一章,只在总则中保留了相关的一条内容。“控制措施”一章修改为“控制活动”,“监督检查”一章修改为“内部监督”。第二章不再分节,内容有所调整。
(二)文字精炼
大幅删减描述性文字或合并同类问题,由原来的82条减为50条,仅“内部环境”一章就减少了12条。
如原第二十六条和第二十九条共357个字,简并为第十五条149个字。一方面原第二十六条和原第二十九条第1、2、4款,简并为第十五条第1款,语言大为简练。另一方面,第十五条第2款修改了原第二十九条第3款关于内部审计监督的内容,明确了对“内部控制的有效性”进行监督,与总则第五条第5项增加的“内部控制缺陷”的概念相呼应,并按照“工作程序”进行报告。对重大内部控制缺陷的报告对象增加了“监事会”,赋予监事会真正的监督权。
(三)内容增减,突出重点
1.删减的主要内容。(1)无需在内控基本规范中规范的内容。如原第十六条企业文化的概念不需要在内控基本规范中介绍。相应的原第十七条至二十一条与企业文化相关的内容简并为一条。类似的还有原第三章中对风险、风险评估、目标设定等的定义,也都予以删减。(2)需要在内控规范中说明,但不需在基本规范中列示过细的内容。如前述删掉“组织实施”一章计10条内容,原第六十条企业外部沟通应重点关注的六个方面,原第六十八条内部控制自我评估报告需披露的7项内容等等。(3)调整概念。如原第六条建立和实施内控的原则,删掉合法性和有效性原则。原第四章控制措施中,删掉“内部报告控制”、“信息技术控制”,将“授权控制”、“审核批准控制”并为“授权审批控制”,“职责分工控制”改为“不相容职务分离控制”,“经济活动分析控制”改为“运营分析控制”等。
2.增加的内容。(1)适用范围。原稿第三条规定,“本规范适用于大型企业、上市公司和其他涉及重大公众利益的企业”。公布稿第二条规定,“适用于大中型企业,小企业和其他单位可参照实行”。把中型企业纳入必须实施的范围内。原第四条列示了5条内控目标,要求“有义务对外提供财务报告的企业,应当确保财务报告及管理信息的真实、可靠和完整,具备条件的,还应同时实现其他控制目标”。公布稿将此款删掉,在第十二条明确:“企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作”。明确内部控制不再是有条件才需做的工作。(2)政府监督。总则中新增了第九条,“国务院有关部门可以对企业建立与实施内部控制的情况进行监督检查”。基本规范公布前银监会、证交所等部门都已出台了各自的内控指引,此次作为全国统一的内控基本规范,首次明确了政府的监督检查权并在一定程度上协调了各部门的关系。(3)独立审计。上市公司被要求对内控的有效性进行自我评价,披露年度评价报告,并进行审计。规范新增了第十条,会计师事务所对企业内部控制的有效性进行审计,出具审计报告。为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内控审计服务。因此,基本规范及配套办法,不仅是企业实施内控的依据,还是政府和会计师事务所监督检查的依据。(4)公司治理相关内容。征求意见稿在总则中介绍的是董事长、经理和总会计师的职责,而公布稿调整到“内部环境”一章,增加了第十一至十三条,明确要求建立规范的公司治理结构和议事规则,包括股东大会、董事会、监事会和经理层的权责;董事会负责内控的建立和实施;董事会下设审计委员会负责审查,协调内控审计等事宜。(5)更明确的各项制度或标准。第八条,建立内控实施的激励约束机制,将各责任单位和全体员工纳入绩效考评体系。第十九条,建立法律顾问制度和重大法律纠纷案件备案制度。第二十一条开展风险评估,应确定相应的风险承受度。第三十条,企业应编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任。第三十二条建立财产日常管理制度和定期清查制度。第三十三条实施全面预算管理制度。第三十四条建立运营情况分析制度。新增第三十七条,建立重大风险预警机制和突发事件应急处理机制。第三十八条建立信息与沟通制度。第四十二条建立反舞弊机制。第四十三条建立举报投诉制度和举报人保护制度。第四十四条制定内部控制监督制度。第四十五条制定内部控制缺陷认定标准。新增第四十七条,妥善保存内控建立与实施过程中的记录或资料,确保其可验证性。
显然,内控基本规范从征求意见稿到正式公布稿历经了一个“锐化”过程,并旨在通过这种“锐化”使得内部控制制度具有一定的强制性,达到防范风险的目的。首先,内控基本规范明确要求企业应当建立内部控制制度,这是无条件的,而不是视有条件与否才实施的,并明确指出了内控制度必须包含哪些必要的内容、应该达到什么样的标准。其次,政府的监督是促使企业,尤其是大中型国有企业建立健全内部控制制度的有力推动,并且从国家层面来看这本身就是一种国家“内控”行为(相对于企业内控),体现了强制性。再次,利用中介机构的专业能力指导和促进企业建立健全内控制度的意图很强,这也显示了国家对于企业尽快建立健全内部控制制度的迫切希望。
二、《企业内部控制应用指引》(征求意见稿)的变化
总体上,内容结构更趋完善,文字增减不及基本规范变化大,部分内容修改细化,用词更趋严谨。
总体内容结构上。此次征求意见的《企业内部控制应用指引》(以下简称应用指引),共22项,将原征求意见的17项具体规范中的2项合并为1项,新拟定了6项应用指引。合并的是,将“财务报告编报”和“信息披露”具体规范合并为“财务报告编报和披露”应用指引。增加的是无形资产、业务外包、衍生工具、企业并购、关联交易和内部审计应用指引,使应用指引体系的总体内容结构趋于完善。如与原具体规范的内容结构及具体项目的设想比较,在财务报表项目、财务报表编报和制度支持三大块中,应用指引仅各剩余一项未制定完成(分别是资产减值、公允价值和中介机构聘用)。
具体指引名称。“货币资金”改为“资金”,“采购与付款”改为“采购”,“销售与收款”改为“销售”,“对外投资”改为“长期股权投资”,“合同”改为“合同协议”,“计算机信息系统”改为“信息系统一般控制”。同时,工程项目、长期股权投资的概念都有所扩展,内涵更加明确。
各项指引内容上。(1)对比原具体规范征求意见稿,每一项指引在总则中都增加了“第三条 企业至少应当关注涉及××××的下列风险:……”,很明显地突出了对于各项业务的风险管理。第四条“关键方面或关键环节的控制”内容也相应有调整。其他条款变化不大,稍有修改或细化。(2)在原条款基础上进一步细化。如应用指引《资金》第十六条,原具体规范规定:“企业应当加强对银行对账单的稽核和管理。出纳人员一般不得同时从事银行对账单的获取、银行存款余额调节表的编制等工作”。应用指引增加:“确需出纳人员办理上述工作的,应当指定其他人员定期进行审核、监督”。同一指引最后一款,“按规定需要由有关负责人签字或盖章的经济业务与事项,必须严格履行签字或盖章手续”,增加“用章必须履行相关的审批手续并进行登记”。这都是工作中容易忽视的事项,而一旦出现问题又影响巨大,应用指引进一步细化了相关程序要求,增强了可操作性。(3)修改完善的。如应用指引《采购》第十七条,原具体规范仅规定,财会部门办理付款业务时应严格审核。而应用指引明确了相关部门的职责和付款的程序:首先由采购部门审核,并提交付款申请,财务部门复核后,提交权利机构审批,再办理付款。应用指引《合同协议》第六条,原具体规范要求,建立“合同授权委托代理制度”,合同由董事长或代理人签章。而应用指引改为建立“合同协议订立权限分级授予制度”,合同协议由法定代表人或其授权的人签章。应用指引中《财务报告编报和披露》由原两个具体规范合并而来,文字与内容有较大减并,突出了“控制”,而不是如何编制报表或披露信息。其他指引之文字或条款精简的不再一一赘述。
很明显,应用指引脱胎于具体规范,更注重的是风险提示和可操作性。就像母亲手把手教儿女走路一样,应用指引无时不刻在提醒企业内控应该怎么“走”,会面临什么样的“风险”。这是个很重要的步骤,可见国家对于企业内控管理的重视。这也正是中国内控基本规范借鉴美国SOX法案而又较之更具有可操作性的所在。
“三鹿事件”只是一个企业内控机制不健全的缩影。实际上,我们国家改革开放发展到今天,已经为企业内部控制中存在的问题付出了太多的学费。比如2004年相继爆发的中航油、中储粮事件,早已暴露出我们在内部控制管理上的缺失,并为此付出了沉重的经济代价。而“三鹿事件”则在经济代价之外还付出了巨大的社会代价。试想,如果他能在快速扩张的同时重视内部的治理;如果他能在2004年“大头娃娃”、2005年“早产奶”事发后及时汲取教训,而不是仅仅“摆平”舆论;如果在2008年9月东窗事发前能比照内控规范,认真整改,尤其是一些关键的风险控制点,如“重大风险预警机制和突发事件应急处理机制”,那么事件就远不会发展到今天的地步。
管中窥豹,从《企业内部控制基本规范》及应用指引在征询意见前后的变化,可以看到,《企业内部控制基本规范》及应用指引通过删减描述性语言、增减必要条款、修改完善内容,夯实了制度基础,突出了企业的风险控制这一重点,旨在建立以企业为主体、政府监督和独立审计并重的内控机制,意在控制和防范风险、保证信息质量、提高管理效率、维护企业乃至国家的经济利益。
【参考文献】
[1] 企业内部控制规范起草说明.
[2] 企业内部控制规范——基本规范(征求意见稿).
[3] 企业内部控制基本规范.
[4] 秦立东.内控出鞘.新理财,2008,(6).
[5] 企业内部控制具体规范(征求意见稿).
[6] 企业内部控制应用指引(征求意见稿).
[7] 汪靖中.三鹿:企业内控失效的典型案例.中国会计报,2008,(9).