从企业内部制约走看企业全面风险管理
本站原创 引子: 2010年4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部制约配套指引》(下称“配套指引”)。该配套指引连同2008年5月发布的《企业内部制约基本规范》,共同构建了中国企业内部制约规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。同时,鼓励非上市大中型企业提前施行。施行企业内部制约规范体系的企业,必须对本企业内部制约的有效性进行自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部制约的有效性进行审计,出具审计报告。政府监管部门将对相关企业施行内部制约规范体系的情况进行监督检查。企业内控基本规范和配套指引被称为中国的“萨班斯法案”和“科索报告”,这标志着我国将从企业内部制约走向全面风险管理。
《企业内部制约基本规范》确定了企业内部制约的5个目标、5个原则、5个要素,总计50个项目,由5个部门签发。
《企业内部制约配套指引》由21项应用指引(此次发布18项,涉及银行、证券和保险等业务的3项指引暂未发布)、《企业内部制约评价指引》和《企业内部制约审计指引》组成。其中,应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部制约所提供的指引,在配套指引乃至整个内部制约规范体系中占据主体地位;企业内部制约评价指引是为企业管理层对本企业内部制约有效性进行自我评价提供的指引;企业内部制约审计指引是为注册会计师和会计师事务所执行内部制约审计业务的执业准则。三者之间既相互独立,又相互联系,形成一个有机整体。
我国企业内部制约体系框架结构如图1所示。
该报告指出,内部制约是由企业董事会、管理层以及其他员工(三个层面)为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。同时指出,内部制约包括内部环境、风险评估、制约活动、信息与沟通、监控等五个相互关联的要素。这“三个层面”、“三个目标”和“五个要素”构成内部制约的整体框架(如图2所示)。
COSO《内部制约——整体框架》强调风险评估在内部制约中的重要作用以及强调对内部制约系统本身的监控是内部制约发挥作用的关键环节。
鉴于COSO《内部制约——整体框架》发布后的到美国审计计总署和证券交易委员会(SEC)等的认可和产生的广泛影响,1995年美国注册会计师协会(AICPA)发布《审计准则公告第78号》,全面接受COSO报告。
2002年7月美国国会通过《萨班斯法案》即《2002年公众公司跨及革新和投资保护法》(Sarbanes Oxley Act of 2002)的简称。《萨班斯法案》的颁布对内部制约的研究也产生了广泛而深刻的印象。其302条款规定,上市公司的CEO和CFO要在对外披露的财务报告中声明对建立和维护本公司的内部制约负责;CEO和CFO要对本公司内部制约的有效性进行评估,并向外部审计师说明器存在的重大缺陷和不足。同时,其404条款规定,上市公司应在年度报告中增加对内部制约的报告内容;该报告应当声明公司管理层对建立和维护财务报告内部制约的责任,以及管理层对公司内部制约有效性的评估意见;公司的外部审计师应当依据上市公司会计监管委员会制定的审计准则,对管理层提交的内部制约评估意见进行再评价,并出具评价报告。
2003年3月美国审计准则委员会颁布了《审计准则——在财务报告审计过程中对于财务呈报相关的企业内部制约的审计》和《鉴证业务准则公告——对与财务呈报相关的企业内部制约的报告》,为《萨班斯法案》要求的外部审计业务提供指导。
《萨班斯法案》对通过强化企业内部制约系统,从而防范和管理风险,维护投资者的合法权益产生了积极而深远的影响。
2003年7月,COSO发布了《企业风险管理——整合框架》的征求意见稿,并于2004年9月发布正式最终文本。这标志着从企业内部制约走向企业风险管理。当管理层通过制定战略和目标,力求实现增长和酬劳目标以及相关的风险之间的最优平衡,并且在追求所在主体的目标的过程中高效率和有效地调配资源时,价值得以最大化。
企业风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险承受能力之内,并为主体目标的实现提供合理保证。企业风险管理处理影响价值创造或保持的风险和机会。企业风险管理框架的四个目标和八个要素。企业风险管理框架力求实现主体的以下目标:战略(strategic ) 目标——高层次目标,与使命相关联并支撑其使命;经营(operations)目标——有效和高效率地利用其资源;报告(reporting)目标——报告的可靠性;合规(compliance )目标——符合适用的法律和法规。企业风险管理包括八个相互关联的构成要素。它们来源于管理层经营企业的方式,并与管理过程整合在一起。这些构成要素是:内部环境、目标设定、事项识别、风险评估、风险应对、制约活动、信息与沟通、监控。企业风险管理的目标与构成要素的关系如图3所示。
从我国内部制约体系框架结构来看,我国的企业内部制约在形式上借鉴了COSO内部制约的框架,在内容上体现了COSO企业风险管理的实质。
一、我国企业内部制约体系的框架结构
《企业内部制约基本规范》和《企业内部制约配套指引》初步建立起了具有中国特色的中国企业内部制约体系的框架结构。《企业内部制约基本规范》确定了企业内部制约的5个目标、5个原则、5个要素,总计50个项目,由5个部门签发。
《企业内部制约配套指引》由21项应用指引(此次发布18项,涉及银行、证券和保险等业务的3项指引暂未发布)、《企业内部制约评价指引》和《企业内部制约审计指引》组成。其中,应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部制约所提供的指引,在配套指引乃至整个内部制约规范体系中占据主体地位;企业内部制约评价指引是为企业管理层对本企业内部制约有效性进行自我评价提供的指引;企业内部制约审计指引是为注册会计师和会计师事务所执行内部制约审计业务的执业准则。三者之间既相互独立,又相互联系,形成一个有机整体。
我国企业内部制约体系框架结构如图1所示。
二、COSO《内部制约——整体框架》与《企业风险管理——整合框架》
《内部制约——整体框架》是美国科索委员会COSCO(Committee of Sponsoring Organizations) 在1992年发布的、并于1994年做出局部修正的已经成为世界通行的内部制约权威研究报告。该报告指出,内部制约是由企业董事会、管理层以及其他员工(三个层面)为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。同时指出,内部制约包括内部环境、风险评估、制约活动、信息与沟通、监控等五个相互关联的要素。这“三个层面”、“三个目标”和“五个要素”构成内部制约的整体框架(如图2所示)。
COSO《内部制约——整体框架》强调风险评估在内部制约中的重要作用以及强调对内部制约系统本身的监控是内部制约发挥作用的关键环节。
鉴于COSO《内部制约——整体框架》发布后的到美国审计计总署和证券交易委员会(SEC)等的认可和产生的广泛影响,1995年美国注册会计师协会(AICPA)发布《审计准则公告第78号》,全面接受COSO报告。
2002年7月美国国会通过《萨班斯法案》即《2002年公众公司跨及革新和投资保护法》(Sarbanes Oxley Act of 2002)的简称。《萨班斯法案》的颁布对内部制约的研究也产生了广泛而深刻的印象。其302条款规定,上市公司的CEO和CFO要在对外披露的财务报告中声明对建立和维护本公司的内部制约负责;CEO和CFO要对本公司内部制约的有效性进行评估,并向外部审计师说明器存在的重大缺陷和不足。同时,其404条款规定,上市公司应在年度报告中增加对内部制约的报告内容;该报告应当声明公司管理层对建立和维护财务报告内部制约的责任,以及管理层对公司内部制约有效性的评估意见;公司的外部审计师应当依据上市公司会计监管委员会制定的审计准则,对管理层提交的内部制约评估意见进行再评价,并出具评价报告。
2003年3月美国审计准则委员会颁布了《审计准则——在财务报告审计过程中对于财务呈报相关的企业内部制约的审计》和《鉴证业务准则公告——对与财务呈报相关的企业内部制约的报告》,为《萨班斯法案》要求的外部审计业务提供指导。
《萨班斯法案》对通过强化企业内部制约系统,从而防范和管理风险,维护投资者的合法权益产生了积极而深远的影响。
2003年7月,COSO发布了《企业风险管理——整合框架》的征求意见稿,并于2004年9月发布正式最终文本。这标志着从企业内部制约走向企业风险管理。当管理层通过制定战略和目标,力求实现增长和酬劳目标以及相关的风险之间的最优平衡,并且在追求所在主体的目标的过程中高效率和有效地调配资源时,价值得以最大化。
企业风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险承受能力之内,并为主体目标的实现提供合理保证。企业风险管理处理影响价值创造或保持的风险和机会。企业风险管理框架的四个目标和八个要素。企业风险管理框架力求实现主体的以下目标:战略(strategic ) 目标——高层次目标,与使命相关联并支撑其使命;经营(operations)目标——有效和高效率地利用其资源;报告(reporting)目标——报告的可靠性;合规(compliance )目标——符合适用的法律和法规。企业风险管理包括八个相互关联的构成要素。它们来源于管理层经营企业的方式,并与管理过程整合在一起。这些构成要素是:内部环境、目标设定、事项识别、风险评估、风险应对、制约活动、信息与沟通、监控。企业风险管理的目标与构成要素的关系如图3所示。
三、从企业内部制约走向全面风险管理
从以上COSO的两份报告来看,无论是目标的类别还是构成要素,企业风险管理包涵了企业内部制约。从目标来看,《企业风险管理——整合框架》较之《内部制约——整体框架》增加了另一类目标,即战略目标,它处于比其他目标更高的层次。战略目标来自于一个主体的使命或愿景,因而经营、报告、和合规目标必须与其相协调。企业风险管理应用在战略制订以及朝着实现其他三类目标迈进的过程中。而《企业风险管理——整合框架》的报告目标较之《内部制约——整体框架》财务报告目标,范围从财务报表拓展为不仅包含更加广泛的财务信息,而且还包含非财务信息。从构成要素来看,企业风险管理框架拓展了内部制约框架的风险评估要素,创造了四个构成要素——目标设定(他在内部制约中是先决条件)、事项识别、风险评估和风险应对。总之,内部制约被涵盖在企业风险管理之内,是其不可分割的一部分。企业风险管理比内部制约更广泛,拓展和细化了内部制约。从我国内部制约体系框架结构来看,我国的企业内部制约在形式上借鉴了COSO内部制约的框架,在内容上体现了COSO企业风险管理的实质。