自从2002年美国国会出台了规范资本市场行为的《萨班斯法案》以后,加强上市企业内部控制正在形成一种国际趋势,英国、香港和上海、深圳四家证券交易所,均先后出台了类似的上市企业内部控制守则。本文通过概括内部控制实践和理论发展状况,展示了企业内部控制从合规型内控发展到管理型内控,并正向全面风险管理转变的趋势;通过比较萨班斯法案和四家交易所内部控制规则,进一步加深了对典型合规型内控的理解;并通过分析国资委《中央企业全面风险管理指引》,探讨了国资委内部控制标准的基本要素;针对企业所面对的这些宏观内部控制规则,我们基于长期以来发展的对国有企业情况的深刻理解,归纳总结了当前大型国有企业内部控制的六大特点,并依据我们在国内外内部控制体系建设方面的经验,为大型国有企业提出了构建有效的内部控制体系的科尔尼金字塔模型和一整套详细的内控体系建设方案。
一、内部控制实践和理论已经从合规型内控发展到管理型内控,并正向全面风险管理转变的趋势
企业内部控制的萌芽可以追溯到人类社会发展早期,古罗马时期就采取“双人记帐制度”,我国西周时期也出现了周礼审计制度,这些都是内部控制的雏形。20世纪初,随着西方资本主义经济的快速发展,企业内部控制实践经历了四个发展阶段(见表1),从20世纪初单纯的财务会计控制,到20世纪40年代增加了关注经营效率的管理控制,到70年代进一步增加了控制环境的考虑,形成了内部控制架构,随着政府监管力度的加强,进而在20世纪80年代发展到三位一体的会计控制、管理控制和合规控制。
.JPG)
八十年代以来,虚假财务报表时有发生。为此,美国成立了“反虚假财务报告委员会”,下设专门致力于内部控制研究的“发起组织委员会”,简称COSO,促进了现代内部控制理论的发展。COSO于1992年提出了题为“企业内部控制——整体框架”的研究报告,内部控制整体框架包括控制环境、风险评估、控制活动、信息沟通和持续监控等五大要素。内部控制被定义为一套由董事会、管理层及其他人员来建立和执行,为实现企业目标提供合理保证的体系,通过它将实现:经营效率或效果的提高、可靠的财务分析和报告、法律法规和制度的遵从。审计准则委员会于1995年全面接受了COSO报告的观点,并自1997年1月起生效。
2004年,COSO在“企业内部控制——整体框架”的基础上,进一步提出了 “企业风险管理——整体框架”,增加了与风险管理相关的目标设定、事项识别和风险应三大要素。
目标设定:即在制定战略和运营目标的过程中,企业应该根据自身风险偏好,充分考量所涉及的各项重大风险的影响;
事项识别:即通过一定的方法和步骤去有效地识别出公司层面及业务领域中的各种风险,确定可能影响战略和运营目标实现的风险事项;
风险应对:指企业根据自身条件和外部环境,围绕企业发展战略、风险偏好和承受度来选择风险承担、风险规避、风险转移、风险降低等相应的风险管理总体策略,并确定执行策略所需的组织体系、负责人和资源安排。
图1显示了COSO框架中内部控制与全面风险管理、内外部审计、以及企业管理之间的层级包含关系。总体而言,风险管理涵盖内部控制,内部控制涵盖内外部审计,而企业管理则是一个更大的范畴。具体来讲,内、外部 审计是内控中持续监控的一部分,是萨班斯法案履行政府市场监管职能,对企业财务报告进行合规型内控的领域。内部控制则是为实现企业经营、报告和合规目标提供合理保证的体系;一些证劵交易所如香港联交所的管治常规虽然涉及风险管理的要求,但仍然是围绕既定企业总体经营目标的实现,所开展的狭义风险管理。而“风险管理”则是要求企业作为市场经营主体,在充分考虑内、外部风险及其变化的复杂条件下,制定切实可行的战略和运营目标,并通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,建立健全全面风险管理体系,确保战略和运营目标的实现。换句话说,就是无论企业周边环境如何变化,企业都应该开展全面风险管理,达成审慎制定的企业战略和运营目标,实现企业价值最大化。国资委最近出台的的《中央企业全面风险管理指引》,超越了一般合规型内控的要求,是国资委作为国有企业的出资人,为确保国有资产的保值和增值应该要求的。对《中央企业全面风险管理指引》中的一些细节,我们将在下一部分做进一步探讨。
.JPG)
综上所述,企业内部控制实践已经从20世纪初单纯的会计控制,通过增加对经营效率和控制环境的关注,以及随着政府监管力度的加强,在20世纪80年代发展到三位一体的会计控制、管理控制和合规控制。在内部控制理论的发展上,内部控制理论已经从当初的内、外部审计发展到内部控制,进而在本世纪初开始了全面风险管理。对一个企业而言,其21世纪的内部控制体系建设相应可以分为三个递进的阶段,即满足外部监管的合规型内控,企业自发提高经营效率效果的管理型内控,为增加股东价值而考虑企业风险管理的全面风险管理体系(如图2)。
• 合规型内控:以满足国家政策法规(如萨班斯法案)、证监会行业法规(如美国证监委审计师规则2)和证卷交易所守则(如香港联交所管治常规)为特点,强调财务分析和报告的可靠性和遵从各项法律法规和制度。
• 管理型内控:要求企业在企业管理的各个环节和经营过程中建立健全内控管理体系,将内控活动融入日常经营活动,执行和评价内部控制体系的有效性,降低不确定因素对经营目标实现的影响,从而实现企业既定的总体经营目标。
• 全面风险管理:则是要求企业作为市场经营主体,在充分考虑内、外部风险及其变化的复杂条件下,制定切实可行的战略和运营目标,并建立健全全面风险管理体系,通过在企业管理的各个环节和经营过程中执行风险管理流程,培育良好的风险管理文化,确保企业实现其即基本又终极的目标——确保股东价值最大化。
目前大部分企业都以努力建设能够通过外部监管要求的合规型内控为第一要义,甚至有的企业认为满足萨班斯这些规则要求的内部控制便是建立了非常完善的内部控制体系,把内部控制的初级目标当成终极目标来追求。国资委站在出资人的角度,跳出了这一迷阵,随着其《中央企业全面风险管理指引》在中央企业中的认真贯彻和实施,将企业从被动的合规型内控向主动的管理型内控跃进,实现国务院委托监督管理国有资产,确保国有资产保值、增值的重任。
