王春山,李雪淳
(东北财经大学 会计学院/内部控制与风险管理研究中心,辽宁 大连 116025)
中日企业内部控制准则的比较
王春山,李雪淳
(东北财经大学 会计学院/内部控制与风险管理研究中心,辽宁 大连 116025)
在美国2002年颁布SOX法案后,同是亚洲国家的中国和日本都在参考美国COSO整体框架和内部控制报告制度的基础上制定了本国的企业内部控制准则。中日两国都没有完全照搬美国的做法,在准则的体系和内容上有各自的变化。中日两国准则相比,既有相似之处,也有各自的特色,主要区别在于中国比较注重内部控制的广度与深度,而日本比较多地考虑了如何降低内部控制执行成本。
财务报告内部控制;内部控制基本框架;内部控制评价;内部控制审计
在美国,为了明确企业管理者责任,确保财务报表披露的可靠性,于2002年颁布了SOX法案,强化了企业内部控制报告制度。此后,受美国影响许多国家开始通过立法和制定准则来强化企业内部控制,内部控制逐渐成为企业进入资本市场的必备因素。为了适应这种新形势的需要,2006年7月由财政部牵头,会同证监会、审计署、银监会、保监会等部门发起成立了我国企业内部控制标准委员会,组织开展了我国企业内部控制准则的制定工作,并于2008年5月发布了《企业内部控制基本规范》,2010年4月发布了《企业内部控制配套指引》。该项基本规范和配套指引共同构成了我国现阶段的企业内部控制准则体系,将从2011年1月1日起先在境内外同时上市的企业施行,从2012年1月1日起在上海、深圳证券交易所主板上市的企业施行,其后择机在中小板和创业板上市企业施行,同时鼓励非上市大中型企业提前施行。
日本和中国一样,也是在美国SOX法案的影响下开始重视企业内部控制报告制度。日本金融厅企业会计审议会于2005年1月下设了内部控制分会,开始了内部控制准则的制定工作,并于2007年2月发布了《有关财务报告的内部控制评价与审计准则以及有关财务报告的内部控制评价与审计实施准则的制定(意见书)》(以下简称“内部控制报告准则”)。支持该项准则的法律《金融工具交易法》的制定工作也在同时进行,并于2006年6月公布,2008年4月1日以后开始的营业年度起施行。《金融工具交易法》第24条阐述了有关企业内部控制报告的规定,要求上市企业及其他政令要求的企业,为了确保合并财务报表及其他信息的适当性,应构建、调整并自行评价有关财务报告的内部控制状况,必须在每个营业年度提交经由注册会计师审计的企业内部控制报告。该法律为实施内部控制报告准则提供了直接的法律依据,而内部控制报告准则提供了内部控制评价的方法、报告的内容与格式及其审计等方面的具体规定。
如上所述,我国和日本都是在美国SOX法案的影响下参考美国的COSO整体框架和内部控制报告制度来制定适合本国的内部控制准则的。尽管我国和日本都在参考美国,但笔者在解读两国内部控制准则中发现,无论在准则体系构成方面还是在内容规定方面,两国之间仍然存在若干各自的特点。下面首先对两国内部控制准则的构成和主要规定加以整理归纳,然后对两国准则的特点进行比较,以期在对照中加深对我国企业内部控制准则精髓的理解,为不断完善我国内部控制准则提供参考。
我国的企业内部控制准则体系由《企业内部控制基本规范》和《企业内部控制配套指引》两部分构成,前者规定了内部控制的基本目标、基本要素、基本原则和总体要求,对后者起指导和统驭的作用;后者是为实现前者的目标和原则要求的应用指南。配套指引又分为《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》3项。应用指引旨在指导管理层建立健全本企业内部控制体系;评价指引旨在指导管理层对本企业内部控制有效性进行自我评价;审计指引旨在指导注册会计师和会计师事务所执行内部控制审计业务。上述基本规范和配套指引,既相互独立又相互联系,共同构成了我国企业内部控制准则体系的有机整体。该准则体系基本接受了美国COSO整体框架的想法和做法,但又在许多方面兼顾了我国社会主义市场经济的基本国情,具有自己的特色。
我国的《企业内部控制基本规范》是在借鉴美国COSO内部控制整体框架的基础上,根据我国的特殊国情制定的。在行文的形式上借鉴了COSO报告五要素框架,而在内容上尽量体现了风险管理八要素框架的内涵和先进的理念。这样做一方面是因为COSO框架被国际社会广泛认可,另一方面也是为了准则的国际趋同,有利于我国企业在境外上市。
在基本规范中,将内部控制定义为“是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”而将内部控制目标规定为“合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”指出内部控制的要素包括内部环境、风险评估、信息与沟通、控制活动、内部监督5项。要求建立与实施内部控制应当遵循全面性、重要性、制衡性、适应性、成本效益原则。其中,我国的内部控制目标比COSO报告的3个目标更加多元,增加了“资产安全”和“促进企业实现发展战略”两个目标。
1.2.1 内部控制应用指引涵盖的内容
2010年4月发布的《企业内部控制应用指引》,包括①组织架构、②发展战略、③人力资源、④社会责任、⑤企业文化、⑥资金活动、⑦采购业务、⑧资产管理、⑨销售业务、⑩研究与开发、○11工程项目、○12担保业务、○13业务外包、○14财务报告、○15全面预算、○16合同管理、○17内部信息传递、○18信息系统18项指引(涉及银行、证券和保险等业务的3项指引暂未发布)。这18项指引又可以归纳为①~⑤内部环境类指引、⑥~○14控制活动类指引、○15~○18控制手段三大类。这些应用指引基本涵盖了企业机构设置、管理理念、文化意识、人财物的管理技术及信息手段等各个方面。在每一项指引中都明确列示了该项业务中需要重点关注的风险,针对各个业务环节提出了规避风险和纠正内控缺陷的措施。
1.2.2 内部控制评价指引的主要规定
内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。我国内部控制评价的内容不仅包括对有关财务报告的内部控制有效性进行自我评价,还包括对非财务报告内部控制有效性进行评价。企业可以授权内部控制评价部门(包括内部审计机构或外部专门机构)负责内部控制评价的具体组织实施工作。但是,为企业提供内部控制审计服务的会计师事务所不得同时为同一企业提供内部控制评价服务。内部控制评价部门应当拟订评价工作方案,明确评价范围、人员组成、费用预算等相关内容,报经董事会或其授权机构审批后实施。内部控制评价部门应当根据经批准的评价方案,组成内部控制评价工作组。内部控制评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加,但其成员对本部门的内部控制评价工作应当回避。内部控制缺陷按其影响程度区分为重大缺陷、重要缺陷和一般缺陷。
1.2.3 内部控制审计指引的主要规定
内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行的审计。注册会计师不仅应当对财务报告内部控制的有效性发表审计意见,对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,也要在其出具的内部控制审计报告中予以披露。
内部控制审计可以单独进行,也可以与财务报表审计整合进行。应当按照自上而下的方法,即先对企业层面的控制实施审计工作,然后再对业务层面的控制实施审计工作。注册会计师在对企业内部控制自我评价工作进行评估时,要对是否可以利用企业内部审计人员和其他相关人员的工作以及可利用的程度进行判断,如果能够利用被审计单位内部审计人员等的工作,则可以相应减少本应由注册会计师执行的工作。
内部控制缺陷按其成因区分为设计缺陷和运行缺陷,按其影响程度区分为重大缺陷、重要缺陷和一般缺陷。注册会计师应当评价其所识别出的各项内部控制缺陷的严重程度,以此确定这些缺陷单独或组合起来是否构成重大缺陷。注册会计师应当在出具内部控制审计报告之前将审计过程中发现的所有控制缺陷与企业进行沟通,对其中的重大缺陷和重要缺陷应以书面形式与董事会和经理层沟通。审计意见分为无保留意见、带强调意见段的无保留意见、否定意见和无法表示意见4种。
日本的企业内部控制准则,全称为“有关财务报告的内部控制评价与审计准则”,在日本简称为“内部控制报告准则”。所谓“有关财务报告的内部控制”,是指以确保财务报告可靠性为目的的内部控制。该准则分为《有关财务报告的内部控制评价与审计准则》和《有关财务报告的内部控制评价与审计实施准则》两个层次。实施准则是对其上一个层次的准则的解释和补充说明,除了个别细节部分实施准则对准则略有追加和变更外,基本内容与准则保持一致。准则和实施准则都分别由“内部控制的基本框架”、“有关财务报告的内部控制评价与报告”和“有关财务报告的内部控制审计”3个部分构成。日本在制定内部控制报告准则过程中,兼顾了国际协调、本国国情、时代变化3个方面,与以往的美国COSO整体框架和PCAOB制定的审计准则相比,其构成和内容都有自己的特色。
日本内部控制报告准则的“内部控制的基本框架”部分,相当于美国COSO的内部控制整体框架,内容包括内部控制的定义、基本要素、内部控制的局限、相关人员的职能与责任。鉴于1992年美国COSO发表的整体框架报告在国际上被普遍接受,并且已经成为国际上展开关于内部控制问题讨论的基础,日本出于国际协调的考虑,基本上接受了COSO报告的想法。同时,为了维护本国长期以来监事或审计委员会对企业资产状况所拥有的调查权利和地位,适应COSO报告公布以后IT技术及其应用飞跃发展的时代变化,日本对于内部控制的目标,在COSO报告的3个目标之外增加了“资产的保全”,在COSO报告的5个基本要素之外增加了“IT对应”。因此,在日本的内部控制基本框架中,对内部控制做了如下的定义:“内部控制,一般是指为合理保证实现经营的有效性和效率性、财务报告的可靠性、经营活动相关法律等的遵守以及资产的保全四个目标,而被纳入经营活动之中并由组织内部所有人员来实施的过程,它由控制环境、风险评估与应对、控制活动、信息与沟通、监督(监视活动)以及IT(信息技术)应对六项基本要素构成。”
在上述定义提出的4个目标和6项基本要素中,除“资产的保全”和“IT应对”外,其他目标和基本要素的解释都与COSO报告基本相同,这里不再赘述。所谓资产的保全,强调管理者应对出资者等提供给企业的资产负有保全的责任,资产取得、使用及处置应当在正当的手续及批准下进行。所谓IT应对,是指在企业的业务越来越多地依赖于IT的背景下,应在组织管理所涉及的范围内预先制定适当的政策和手续,积极应对IT环境,有效且高效地使用IT,以确保内部控制其他基本要素更有效地发挥功能。
在日本内部控制报告准则的“有关财务报告的内部控制评价与报告”部分和“有关财务报告的内部控制审计”部分,分别表述了管理者如何对内部控制有效性进行自我评价和报告的规定、与注册会计师如何对管理者所做的内部控制有效性自我评价进行审计和如何编制内部控制审计报告的规定。
准则该部分规定,管理者应当自行评价其内部控制是否有效并向外部报告其评价结果。内部控制有效是指该内部控制依据适当的内部控制框架构建和运行,不存在重要缺陷。内部控制的不完备分为“不完备”和“重要缺陷”两类,所谓重要缺陷是指很可能对财务报告产生重要影响的内部控制的不完备。对于已经发现的重要缺陷,如果在期末日之前已经得到纠正,可以认定其内部控制为有效。
内部控制有效性评价,原则上要求在合并财务报告基础上进行。关于评价范围,对于财务报表上列示和披露的项目、形成财务报告基础的交易或事项、主要业务流程等事项,应当根据其在金额和性质上对财务报告可靠性产生影响的重要程度来合理确定。对于缺乏重要性的会计科目、子公司或关联公司或导致对内部控制的一部分不能实施充分评价手续的不得已的事由,可以在充分掌握其对财务报告产生影响的基础上,将其排除在评价范围之外。在评价方法上,应当首先对全公司性内部控制进行评价,然后再对有关业务流程的内部控制进行评价。全公司性内部控制评价,是指对全公司性内部控制的构建和运行状况以及该状况对有关业务流程内部控制产生影响的程度进行评价。有关业务流程内部控制评价,是指管理者根据全公司性内部控制评价结果,在对属于内部控制评价范围内的业务流程进行分析的基础上,选择对财务报告可靠性产生重要影响的控制要点并对在该要点上内部控制基本要素是否发挥作用所进行的评价。
管理者应当通过编制内部控制报告来反映其内部控制有效性评价的结论。其评价结论分为4种:①有关财务报告的内部控制有效;②虽然评价手续的一部分未能实施,但有关财务报告的内部控制有效;③存在重要缺陷,有关财务报告的内部控制为非有效;④因未能实施重要的评价手续,不发表有关财务报告的内部控制评价结论。
对于管理者在内部控制报告中表明的内部控制有效性评价结论,外部审计人员要根据自身取得的审计证据判断其是否适当。在审计人员的安排上,考虑到内部控制审计过程中所取得的审计证据和财务报表审计过程中所取得的审计证据有时可以相互利用,原则上要求进行内部控制审计的审计人员应当是承担该企业财务报表审计的同一审计人员,内部控制审计应当与财务报表审计一并进行。这里所说的同一审计人员不仅指同一审计事务所,并且要求是同一执行审计业务的人员。内部控制审计报告原则上也应当与财务报表审计的审计报告一并编制。审计意见分为无限定适当意见、附有除外事项的有限定适当意见、不适当意见、不表示意见4种。
通过以上对中日企业内部控制准则的构成和主要规定的归纳整理可以清楚地看到,虽然两国的准则都是在参考美国的COSO整体框架和内部控制审计准则等的基础上制定的,但是两国都没有采取完全照搬的方式,而是充分借鉴了美国的经验教训,考虑了本国的国情,进行了各自的改进。其结果中日两国的准则在体系构成和主要内容规定上,既有相同之处,也有不同之处。
(1)在中国和日本,内部控制基本框架和内部控制评价的规定,都包括在企业内部控制准则体系当中。在美国,COSO整体框架不属于准则,也没有制定内部控制评价与报告的具体准则,其内部控制实务主要依据PCAOB制定的审计准则。
(2)在中国和日本,内部控制目标都比COSO报告的3个目标更加多元,都增加了“资产安全”目标。
(1)内部控制缺陷的分类不同。日本准则在有关财务报告的内部控制评价与报告部分中根据对财务报告产生重要影响的可能性大小,将内部控制的缺陷分为“重要缺陷”和“不完备”两级;而我国与美国的分类相同,分为重大缺陷、重要缺陷和一般缺陷3级。
(2)内部控制有效性评价的财务报告基础不同。日本要求内部控制有效性评价原则上要在合并财务报告基础上进行。
(3)内部控制审计的直接对象不同。日本准则的内部控制审计部分中规定的审计,是对管理者实施的内部控制评价进行审计,也就是为审计管理者所做的评价结果而实施审计手续和取得审计证据没有采用美国那种直接审计业务的做法。日本准则规定这种不采用直接审计法的目的是为了讲究效率,避免高成本。在这一点上,我国与美国相同。
(4)内部控制评价与审计的范围不同。在我国,内部控制评价的内容不仅包括对有关财务报告的内部控制有效性进行自我评价,还包括对非财务报告内部控制有效性进行评价。注册会计师审计的范围应当覆盖企业内部控制整体而不限于财务报告内部控制。
(5)自上而下方法使用的场合不同。在日本,这种方法用于企业管理者对内部控制进行自我评价的场合。采用这种方法,管理者应首先在合并财务报告基础上对全公司性内部控制进行评价,然后再根据对全公司性内部控制评价的结果,着眼于与有关财务报告重大虚假记载相关联的风险,在必要的范围内对有关业务流程的内部控制进行评价,从而缩小评价范围,达到降低成本的目的。
(6)对整合审计的要求不同。在日本,原则上要求内部控制审计与财务报表审计一并实施,内部控制审计报告与财务报表审计报告一并编制,并且内部控制审计应由承担财务报表审计的同一审计人员实施。这种做法除了便于内部控制审计中所取得的审计证据和财务报表审计中所取得的审计证据在两种审计中相互使用外,也是为了提高内部控制审计效果和效率。
观察这些不同点可以发现,日本采用不同做法的目的是为了降低内部控制的评价和审计执行成本。相比之下,我国的内部控制规范在降低执行成本方面还有继续探讨的余地。反过来看,日本的内部控制准则也可能存在过分看重执行成本而忽视执行效果的问题。截至2009年7月31日,在日本金融厅的有价证券报告等信息电子披露系统上,披露了2673家以2009年3月31日为年度结算日的企业的内部控制报告。从这些报告看,内部控制审计意见非常尊重管理者自我评价的结论。在2671家需要内部控制审计的企业中,对于管理者认为“有效”和“非有效”的2662家企业中,除1家不表示意见外,其余企业的内部控制审计报告的意见均为“无限定适当意见”,就是说,“有效”结论也“无限定适当”,“非有效”结论也“无限定适当”。对于9家管理者自己表明因未能实施重要的评价手续而不能表示内部控制评价结论的企业,审计报告的结论也都为“不表示意见”。这组数据在一定意义上也许说明了日本采取直接对管理者的内部控制评价进行审计而不采取直接审计业务的弱点。
[1] 财政部,证监会,审计署,银监会,保监会.企业内部控制基本规范[EB/OL].[2008 -05 -22].http://www.casc.gov.cn/nkbz/nkxw/200807/t20080715_752160.htm.
[2] 财政部,证监会,审计署,银监会,保监会.企业内部控制应用指引,企业内部控制评价指引,企业内部控制审计指引(简称企业内部控制配套指引)[EB/OL].[2010-04-15].http://www.hbcz.gov.cn/420502/lm1/lm2/lm210/lm2102/2010-07 -13 -301517.shtml.
[3] 刘玉庭.全面提升企业经营管理水平的重要举措——企业内部控制配套指引解读[J].会计研究,2010(5):3-16.
[4] 刘玉庭,王宏.提高企业内部控制有效性的重要制度安排[J].会计研究,2010(7):3 -10.
[5] 日本金融庁企業会計審議会.財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)[EB/OL].[2007 - 02 - 15].www.fsa.go.jp/singi/singi_kigyou/tosin/20070215.pdf.
[6] 八田進二,都正二など.内部統制報告基準および実施基準の重要ポイント[J].企業会計,2007(4):18-53.
[7] 橋本尚.基準·実施基準の考え方及び内部統制の基本的枠組み[J].企業会計,2007(5):26 -34.
[8] 住田清芽.金融商品取引法に基づく内部統制評価及び監査の一年目の結果について[J].企業会計,2009(9):18-25.
[9] 日本財務会計基準機構.調査レポートシリーズNo.4“内部統制報告書等の開示状況及び開示事例”[M].东京:オフィス·ワン有限会社,2009.
Comparison on the internal control rules of enterprises between China and Japan
WANG Chun-shan,LI Xue-chun
(Accountancy College/Center for Internal Control and Risk Management Research,Dongbei University of Finance and Economics,Dalian 116025,China)
After the 2002 enactment of SOX Act of the United States,two Asian countries,China and Japan,on the basis of the U.S.COSO overall framework and internal control reporting system,decide their internal control guidelines of domestic enterprises.China and Japan are not copying the American practice.They have some changes on content and the guidelines of the system.Comparing the rules of China and Japan,we find both countries have the similarities as well as their own characteristics.The main difference is that China pays more attention to the breadth and depth of internal control,while Japan gives more consideration on how to reduce implementation costs.
internal control over financial reporting;internal control framework;internal control evaluation;internal control audit
F239.2
A
1009-3907(2010)11-0015-04
2010-09-26
辽宁省教育厅社会科学项目(2008JD13)
王春山(1962-),男,辽宁大连人,副教授,博士,主要从事会计学研究。
责任编辑:沈 玲