中外内部控制与风险管理理论与实务比较.docx

1、《中外内部控制与风险管理理论与实务比较》-—张玉 中外内部控制与风险管理理论与实务比较 国际内部控制协会中国合作伙伴首席代表 国际内部审计师协会沟通咨询委员会委员 张玉   ［摘 要]我们正处在内部控制和风险管理的理论与实务发生巨大变革的时代，需要明确今天的内部控制与过去的内部控制存在哪些继承与发展，内部控制与风险管理有哪些区别与融合.本文通过中外内部控制法规制度与职业标准比较，进而从内部控制目标、业务流程活动控制、总体层面合规性评估和注册内部控制师职业队伍建设四个方面对内部控制与风险管理实务进行比较，从而得出结论：今天的内部控制已不再是企业的内部行为，而是受到政府监

2、管机构的监管和投资大众普遍关注的透明度极高的公司治理行为,成为企业防范风险,实现既定目标的免疫系统。 ［关键词］内部控制；风险管理；企业内部基本规范；国际内部控制协会   历史是螺旋式向上发展的。我们正处在内部控制和风险管理的理论与实务发生巨大变革的时代，今天的内部控制与过去的内部控制存在哪些继承与发展，内部控制与风险管理有哪些区别与融合，这是许多研究内部控制的专家学者和实务工作者正在思考和力图求证的一个重要问题. 国际内部控制协会（Internal Control Institute，英文简称ICI）会长威廉E佩里先生（Willian E。 Perry ）在《国际注册内

3、部控制师通用知识与技能指南》致辞中指出：“全球从事内部控制相关工作的大多数人都没有受过现代内部控制定义的适当教育或训练。值得注意的是，大多数的审计师,无论是独立审计师还是内部审计师，接受过的只是内部控制财务定义方面的培训”.下面从法规制度、职业标准和实务两个方面，通过比较来发现新旧内部控制区别和中外内部控制与风险管理理论与实务方面的一些差异.   一、内部控制的法规制度与职业标准比较 (一)国际（以美国为代表）内部控制部分法规制度及职业标准（表1） 表 1     法规制度与职业标准名称 颁发机构与时间 与内控与风险管理相关的内容及意义 ⒈《反海外贿赂行为法》 美国

4、国会、1977年 该法案明确规定：内部控制不是会计部门的责任,而是美国公司董事会的责任。该法案确认的内部控制目标主要涉及授权、记录、使用资产和资产的会计责任四个领域① ⒉《内部控制——整合框架》 COSO、1992年 C0SO《内部控制--整合框架》构建了由三大目标和五项要素组成的内部控制框架。该框架的发布和广泛采用标志着内部控制从理论和实务走出审计范畴,从而成为企业整个管理体系的有机组成部分，该框架同时也为企业内部控制评价提供了指导 ⒊《企业风险管理--整合框架》 COSO、2004年9月 COSO《企业风险管理——整合框架》构建了由四大目标和八项要素组成的企业风险管理框架，实

5、现了内部控制5 要素与风险管理8 要素的有机结合，其重点是强化内部控制环境和风险应对问题 ⒋《萨班斯—-奥克斯利法案》 美国国会、2002年7月 《萨·奥法案》是1933年以来美国证券立法中影响最深远的法案。它通过加强上市公司财务信息披露的可靠性和内部控制的有效性，确保审计师的独立性以及改善公司治理结构来”重获投资者的信心”.成立新的监管机构一上市公司会计监督机构-上市公司会计监督委员会( PCAOB）加强对上市公司和独立审计师的监管 ⒌《财务报表审计相融合的内部控制审计》（简称第5号审计准则） PCAOB、2007年5月 指引审计师将审计重点放在最重要的内部控制事件的审计。要求审

6、计师重点关注公司内部控制中那些可能会导致财务报告中的重大错报不能被发现或预防的高风险领域,并沿用了第2号审计准则指南中强调的从上到下的审计方法 ⒍关于管理层报告财务报告内部控制的指引 美国证券交易委员会 （SEC） 2007年6月 为了对管理层有关财务报告内部控制的评价（evaluation）和评估（assessment）提供指引.该指引提出了一种万法，管理层可以据以对财务报告内部控制实施自上而下、以风险为基础的评价 ⒎《金融工具公允价值计量审计和利用专家工作的相关问题》 PCAOB、2007年12月 PCAOB 发布了审计实务提示（ Staff Audit Practice A

7、lert）第2 号《金融工具公允价值计量审计和利用专家工作的相关问题》.该提示是在美国次贷危机的背景下发布的，主要为了提醒注册会计师注意美国公允价值会计审计准则中的有关规定   (二)我国与内部控制相关的部分法规制度(表2） 表 2    法规与指引名称 颁布机构与时间 与内控与风险管理相关的内容 ⒈《证券公司内部控制指引》（修订发布） 中国证监会、2OO3年12 月 引导证券公司规范经营,完善证券公司内部控制机制,增强证券公司的自我约束能力,推动证券公司现代企业制度设，防范和化解金融风险 ⒉《证券公司融资融券业务试点内部控制指引》 中国证监会、2006年6月30

8、 日 指导证券公司建立健全融资融券业务试点的内部控制机制，防范与融资、融券业务有关的各类风险 ⒊《商业银行内部控制指引》 中国银监会、2007年7月3日 该指引首次提出要对内部控制进行全流程评价，将内部控制体系的五项要素有机地联系在一起 ⒋《银行业金融机构信息系统风险管理指引》和《商业银行操作风险管理指引》 中国银监会、2006 年、2007 年 银监会先后发布了《银行业金融机构信息系统风险管理指引》和《商业银行操作风险管理指引》,为银行业金融机构的操作风险管理提出系统性的要求和指导 ⒌《上海证券交易所上市公司内部控制指引》 上证交易所、2006年6月5日 该《指引》要求上

9、市公司应从2006年年度报告起披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见 ⒍《深圳证券交易所上市公司内部控制指引》 深交所、2006年9月28 日 加强上市公司内部控制，促进上市公司规范运作和健康发展,保护投资者合法权益。上市公司应当在扣O7年6月30日之前，建立健全公司内部控制制度 ⒎《中央企业全面风险管理指引》 国资委、2006年6月 从国有企业管理实践的内在需求以及国有资产出资人监管的角度出发，对中央企业开展风险管理工作的目标，全面风险管理体系建设的内容、流程以及工具和方法进行了详细阐述，并提出了明确的执行要求 ⒏《企业内部控制基本规范》 财政部等

10、五部委、2OO8年5 月 我国第一部加强和完善企业内部控制系统，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益的重要法规文件   （三）比较得出的结论 1。从法规制度的层次上看,国际与内部控制相关的立法层次较高,其中1977年的《反海外贿赂行为法》和2002年的《萨班斯一奥克斯利法案》是美国国会通过的法律；而我国与内部控制相关的法规层级大多是部门规章和行业主管部门发布的指引。 2。从法规制度的体系看，国际内部控制的法规制度和职业标准形成一个较为完整的体系，除国家立法外，监管机构如SEC、PCAOB 发布的审计准则

11、实务提示。美国的行业社团组织，例如，COSO发布框架性指导文件，增强企业和独立审计师执行内部控制法规的可操作性。我国与企业内部控制相关的法规制度还未形成一个完整的体系，未能从根本上解决内部控制法规如何落地和有效实施的问题. 3。从内部控制与风险管理融合的角度看，COSO的两个框架实现了内部控制5 要素与风险管理8 要素的有机结合，通过强化内部控制环境，明确企业内部控制系统的层级制度和相应责任，增强企业全员应对风险的主体意识，促使管理层在充满风险的环境中更有效的运营.美国证券交易委员会发布的《关于管理层报告财务报告内部控制的指引》为企业管理层对财务报告内部控制实施自上而下、以风险为基础的评价

12、提供一种方法.相比之下,我国国资委与财政部分别发布《中央企业全面风险管理指引》和《企业内部基本规范》，二者之间未进行有效整合。这种现象对企业增加了实施难度和系统设置的成本,不利于企业在设计内部控制系统的各项活动时,将内部控制与风险管理的具体要求有效地进行整合，因而也不利于内部控制系统有效地推行和持续监控. 4.从实务标准的可操作性看，美国行业主管机构和协会制定的实务标准时效性和可操作性较强，例如，在美国次贷危机的背景下，PCAOB发布了《金融工具公允价值计量审计和利用专家工作的相关问题》，提醒注册会计师注意美国公允价值会计审计准则中的有关规定。相比之下，我国企业内部控制建设缺乏操作性强的实

13、务标准、指南和框架。例如，上证所和深交所在2006 年分别发布了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,但由于缺乏具体评价指标体系,故披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见的上市公司数目远远低于深沪两市上市公司的总数. 二、内部控制与风险管理实务比较 与当年颁布《萨班斯-奥克斯利法案》在美国IT 业、审计与咨询业引发的狂热和持久的法规遵从效应截然不同的是我国的上市公司、IT业、审计及咨询业对《企业内部控制基本规范》的反应比较冷静，大多在观望和等待具体规范的出台。为何同样的命题,换了一个环境，效果反差如此巨大?其主要原

14、因是：这部《基本规范》的条款十分原则，缺乏可操作性.以下从内部控制的目标、业务流程活动控制、总体层面有效性评估、内部控制师职业队伍的建立四个方面进行比较,以便更好地了解中外内部控制与风险管理实务方面的差异。 (一）内部控制的目标 COSO《内部控制—整合框架》提出了运营、财务、合规三个方面的内部控制目标，COSO《企业风险管理一一整合框架》在上述三类目标的基础上增加了战略目标。在遵从COSO两个框架的目标方面，目前国际内部控制，实务涉及的企业运营活动的全过程，重点关注与公司治理密切相关的内部控制环境建设和加强风险管理，把控制环境作为内部控制的基础，以此解决以往的内部控制制度“控下不

15、控上"的缺陷。国际内部控制协会的评估方案框架明确指出：“如果控制环境很薄弱，系统控制和交易处理控制可信赖的程度就很低,评估师则需要现场作业期间实施更多的测试"②。 我国内部控制目标在实施过程中仍局限于财务目标和合规目标，这体现了规避审计风险的需求和政府监管导向。一方面,我国《企业内部控制具体规范》的重点是引导企业加强以财务报告内部控制为主线的相关标淮建设，主要强调硬性控制手段和措施。另一方面,自2008年开始，国资委选择部分中央企业开展编制企业风险报告,目的是希望通过定期的风险辨识、分析、评价等检测手段，对企业已经存在的各类风险，尤其是重大风险做到早发现、早化解。显然,在实施我国《企业内

16、部控制具体规范》和《中央企业全面风险管理指引》过程中,由于忽视了运营目标和战略目标，企业很难将内部控制目标与企业的经营管理和战略发展相结合,因而也难以调动企业完善内部控制系统建设的积极性. （二）业务流程活动控制 纵观我国《企业内部控制具体规范》，内部控制是按照一个一个业务环节确定关键控制点，设置相应的控制措施,内容涵盖固定资产、存货、货币资金、预算、合同、销售与收款、成本与费用、采购预付款、筹资、担保、对外投资、工程项目、对子公司的控制、计算机信息系统、人力资源政策、信息披露、财务报告编制、关联交易、资产减值、公允价值、企业合并与分立、衍生工具、中介机构聘用和3 项有关评价标准、实施

17、办法。这是控制在业务实施层面的细节体现，并且主要局限在财务会计控制的范畴。由于缺乏整体观，没有把内部控制视为业务流程活动管理的组成部分，因而难以形成一个整体的、动态的和可持续的内部控制系统. COSO的内部控制框架包括了控制环境、风险评估、控制活动、信息和沟通、监控五个相互关联的组成部分。由于企业的内部控制系统因所处行业、经营性质、规模、文化和管理方式的不同而明显不同，COSO 框架建立在用于理解业务活动和价值链分析的某个模式之上③,它没有为如何实现有效的内部控制提供解决方案或指明捷径。为了使企业在建立内部控制系统时，更好地梳理业务流程，国际内部控制协会在总结企业运营活动共性的基础上,以制

18、造型企业的业务循环为例，将业务流程活动控制分为支出周期、收入周期、生产/转化周期、融资周期和对外财务报告周期这五个循环系统，其中生产/转化周期是唯一一个生产企立和非生产企业的循环，见图1 国际内部控制协会评估方案框架④。 图 1 国际内部控制协会评估方案框架    显而易见,如果将我国《企业内部控制具体规范》26项内容分门别类地归入这五个周期的循环系统，再加上一个流程管周期⑤,企业内部控制系统业务层面的设计、流程描述、执行和评估都会更简便和清晰，并将随企业经营环境、具体业务和财务的流程变化及时进行更新。 （三）总体层面合规性评估 内部控制总体层面的合规性评估是向企业管理层提供关

19、于本企业内部控制有效性声明的依据。《萨·奥法案》最严历、最复杂、最富有争议的部分当属404条款.根据《萨·奥法案》404条款的规定，公司管理层应当承担建立和维护一个针对财务报告职能行之有效的内部控制程序的责任，上市公司必须在年中提供内部控制自评报告，而负责公司年度报表审计的会计师事务所应当就此出具内部控制评价报告。 在总体层面合规性方面,我国在美国上市公司的主要精力放在应对《萨·奥法案》404 条款的合规要求方面，重点是对财务报告系统内部控制有效性进行评估。 相比之下，美国上市公司总体层面的合规性评估的内容和范围远远超过我国企业。国际内部控制协会在内部控制衡量与报告中,要求对遵从《萨·奥

20、法案》遵从性的检查应从七个方面考虑内部控制系统对企业的影响⑥.这七个方面如下所示： ⑴改善公众对公司会计和财务报告的信任感; ⑵促使公司高级管理层对其行为更加负责； ⑶增强财务报告系统内部控制有效性； ⑷鼓励和支持自行检举者; ⑸保留必需的证据； ⑹增强董事会,尤其是审计委员会的监管职责； ⑺增强独立审计师的独立性。 （四）注册内部控制师职业队伍建设 企业内部控制渗透于整个组织的运营活动.内部控制系统建设涉及公司治理、风险管理、业务流程活动、信息系统流程、企业文化建设、监控等领域。目前，我国企业内部控制系的设计主要有三种形式：外包给四大会计师事务所；企业自行设计;自行设计与外

21、包相结合.由于第一种形式耗资巨大，导致合规性成本过高，因此，一些企业采用后两种形式开发设计内部控制系统。由于缺乏内部控制系统设计专业人才，目前内部控制系统的设计大多由内审人员牵头负责。这样做的缺陷是：内部控制系统的设计、执行和评估存在“运动员和裁判员角色分离”的原则，由内审人员设计和执行的内部控制框架，势必会遭遇其此后不能充当内部控制系统“评估员"，内部控制系统的维护和更新也超出其职责范围的尴尬局面。 2008年6月，COS0 发布了附加指南：监控内部控制系统指南（Guidance on Monitoring Internal Control Systems）。 COSO 在这一指南中指出

22、需要这样一个组织架构,既能考虑到管理层和董事会的监控作用，也必须使用具备适当能力、客观性和授权的“评估师”（evaluators).评估师可以是经过专门训练的专业人士(例如,内部审计师)，但他们应当独立于运营活动；或者是组织机构中作为日常工作职能各个领域的一部分人员，由他们负责监督流程，或某些控制措施的执行.评估师要求具备足够的专业技能，知识和权限，同时要对内部控制所管控的风险有足够的了解. “那么，谁将成为未来内部控制系统的评估师? 管理层如何才能确保建立和评估他们组织内部控制系统的适当性，并确认哪些个人能胜任工作?答案是聘用接受过内部控制专业组织良好教育、培训和‘认证'的职业人士”⑦国

23、际内部控制协会是《萨·奥法案》出台后在美国成立的专门致力于内部控制和公司治理的教育组织和智囊机构。该协会的国际注册内部控制师资格认证项目建立了全球内部控制职业人士最初的资格标准和职业胜任能力持续改进的要求，并在全球逐步推广国际注册内部控制师资格认证项目和内部控制咨询与评估活动。 国际注册内部控制师(Certified Internal Control Specialist, CICS／Certified Internal Control Professional, CICP） 与传统意义上的审计师、会计师、质量工程师、评估师的不同之处在于：前者的主要职责和工作范围包括：内部控制系统的开发、设

24、计与执行;风险管理与风险评估、缺陷管理和内部控制系统的衡量与报告。而后者不涉及内部控制系统的开发、设计与执行和缺陷管理这些领域。审计师、会计师、质量工程师以及评估师的主要任务是识别与确认企业经营管理活动、业务流程、会计处理以及财务报告与适用的法律法规、企业章程和既定的绩效与财务标准是否有任何不一致的地方，或是否存在违法违规行为、质量体系建设和维护等。开发、设计和实施内部控制战略与方法成为国际注册内部控制师的主要职责。 三、结论 综上所述，对篇首提出的问题的回答是：过去的内部控制建设是企业内部的行为，企业内部控制制度是否建立,建立后是否真正执行,以及在内部控制的业务流程活动、总体框架结构及

25、其有效性评估方面没有法律要求，也无须接受外部监管机构和独立审计师的检查监督。今天以风险控制为导向的内部控制系统从开发与设计、运行与维护、文档记录与监控，到对外披露的财务报告均应遵从法规要求和公认的COSO内部控制框架,企业要在其财务报告中披露内部控制自评报告,并接受独立审计师的检查监督。今天的内部控制已不再是企业的内部行为，而是受到政府监管机构的监管和投资大众普遍关注的通明度极高的公司治理行为，成为企业防范风险,实现既定目标的免疫系统。 注：( ①、②、④、⑤、⑥、⑦参见《国际注册内部控制师通用知识与技能指南》第124 页、第142页、第162页、第175页、第九章、序一;国际内部控制协会著，邱健庭、徐莉莉译，张玉审校，中国财经出版社，2009 年7 月出版. ③《如何遵循SOX404条款一一评估内部控制的效果》第54页,(美）迈克尔·拉莫斯著，李海风主译，张玉审校，中国时代经济出版社，2007年8 月。