中美主要内部控制规范比较分析

　美国COSO 委员会在1992年发布的《内部控制──整合框架》（1994 年进行了局部修正，以下简称COSO旧报告）被称为内部控制理论发展史上的一个重要里程碑。但由于该框架缺乏对企业风险管理的足够重视，COSO委员会在原有的内部控制框架的基础上，结合《萨班斯法案》和美国证监会（SEC）规则等多方面要求，于2004年发布了 《企业风险管理──整合框架》（以下简称COSO新报告）。我国内部控制自20世纪90年代以来发展很快。2006年国资委发布了《中央企业全面风险管理指引》（以下简称《指引》），2008年财政部等五部委联合发布了《企业内部控制基本规范》（以下简称《基本规范》）。《基本规范》的颁布，标志着中国企业内部控制规范体系取得重大突破。本文对《基本规范》、《指引》、COSO新旧报告进行了较为详细的比较分析后，就建设企业内控体系提出了具体建议。
　　一、《指引》、《基本规范》、COSO新旧报告主要内容比较
　　《指引》、《基本规范》、COSO新旧报告的主要内容见表1所示。
　　 论文检测天使-免费论文检测软件http://www.jiancetianshi.com
第一，定义上的比较分析。从定义上看，四者都强调了内部控制或风险管理是一个过程，而且是一个持续改进的过程，是实现目的的手段而非目的本身；都是为企业目标的实现提供“合理而非绝对”的保证。参与主体方面，《基本规范》与COSO两报告都要求 “企业董事会、管理层以及其他人员共同实施”，这既明确了参与主体，也强调了“全员控制”。而《指引》在全面风险管理定义中虽未直接指明主体，但《指引》第四十二条指出：企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构、风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。可以看出，《指引》中的全面风险管理也是“全员性”的，董事会、管理高层、各职能部门、企业员工均要全员参与。
　　第二，目标上的比较分析。《指引》中未涉及企业目标，但提出了风险管理的五个总体目标：确保将风险控制在与总体目标相适应并可承受的范围内；确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；确保企业遵守有关法律法规；确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。
　　《基本规范》提出了由五个目标构成的完整目标体系，其中战略目标是内部控制最终的目的和最根本的目标。COSO新报告在原来三目标的基础上增加了战略目标，这意味着风险管理不仅仅应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。另外，COSO新报告还将报告拓展到“内部的和外部的”“财务的和非财务的报告”，该目标涵盖了企业的所有报告。
　　第三，要素上的比较分析。《指引》没有直接引入要素概念，仅从全面风险管理内容看，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统五个方面。《基本规范》的五要素是借鉴COSO旧报告的五要素，并根据我国实际情况作了一些调整。如《基本规范》将控制环境和监督要素限定为内部环境和内部监督，突出了内部控制的“内部”特征；在风险评估引入了风险承受度，明确了风险识别、风险分析、风险应对策略；把控制活动界定为控制措施，并提出了具体的控制措施，更具可操作性；在信息与沟通要素中加入了反舞弊机制。当然，我国《基本规范》中存在着要素划分不够清晰的问题，如将内部审计作为内部环境的构成部分，而又规定内部审计在内部监督中的职责权限，同一个内容出现在了两个不同的要素之中。与此类似，机构设置、治理结构、权责分配和人力资源政策也同时具有内部环境和控制活动的特征。COSO新报告在原有旧报告的基础上新增了三个风险管理要素──目标设定、事项识别和风险应对。另外，COSO新报告对相关要素的内涵进行了扩展。
　　第四，风险管理理念上的比较分析。在风险管理理念上，COSO旧报告中的内部控制强调的是对单个风险或业务单元的风险进行管理，而《指引》和《基本规范》都有风险组合观的思想，其中，《指引》还明确界定了风险偏好的概念，并定义了风险承受度。
　　COSO 新报告明确提出了风险组合观，要求企业管理者以风险组合的观点看待风险、从企业整体层面上总体把握风险。针对企业目标实现过程中所面临的风险，COSO新报告对企业风险管理提出了风险偏好和风险容忍度两个概念。
　　可见，我国《基本规范》科学地界定了内部控制的内涵，准确定位了内部控制的目标，统筹构建了内部控制的要素，同时也吸收了COSO新报告的精神实质，在一定程度上强调了内部控制与风险管理的统一，在所有重大方面基本与美国COSO报告保持一致，同时在某些地方也体现了中国特色。从内部控制与风险管理整合的角度看，《基本规范》与《指引》有很强的关联性，而相关概念和规范内容又不尽相同，两者未进行有效的统一协调，因此势必会增加国有企业实施《指引》和《基本规范》的难度和成本，影响企业实施效果。而美国COSO成功地将内部控制融入到企业风险管理之中，新报告基本涵盖了旧报告的所有合理内容。
　　
　　论文检测天使-免费论文相似性查重http://www.jiancetianshi.com
[1]电大学习网.免费论文网[EB/OL]. /d/file/p/2024/0425/fontbr二、我国内部控制体系建设建议
　　 论文检测天使-免费论文检测软件http://www.jiancetianshi.com
第一，积极借鉴外部经验。欧美国家，特别是美国，无论是在内部控制理论上，还是在内部控制规范化建设方面，都比我国起步要早，已经研究和制定出了一系列的规范。因此，学习和借鉴国外先进的内部控制规范是我国内控建设过程中的一个必要阶段。但我国企业在法治意识、制度基础、风险理念、经营风格等方面与欧美企业存在较大差异，因此照抄照搬的内控规范可能不适合我国国情。我国的内部控制规范比较接近于美国模式，即采用的是规则导向型的内部控制。但是，美国模式有一个前提，即：如果通过内部控制的评价和报告暴露出管理层不能履行对内部控制的责任，那么管理层会受到董事会、市场和监管部门的惩罚。但是，我国对管理层的责任追究机制远没有美国有效，因此这个前提在我国目前的情况下还没法成立，如果直接效仿美国模式，将很难看到基本规范实施的效果。所以，我国的内部控制规范可以适当采取原则导向和规则导向相结合的方式，以原则为基础，以规则为指导。
　　第二，加快内部控制规范创新。《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点，提供的仅仅是个原则性的框架，这就造成我国企业在具体实施的过程中面临难题──企业应当如何结合自身情况实施内部控制？所以，我国应进一步制定保护基本规范顺利实施的细则，包括企业如何有效地执行规范、如何准确评价本企业内部控制状况、中介机构如何客观评价内部控制的有效性并出具审计报告等。另外，对于《基本规范》中存在的某些问题，如：要素划分不够清晰，对内部控制整体的关注不够等，应进一步得到规范。
　　第三，对内部控制和风险管理进行整合。虽然新颁布的《基本规范》与《指引》有很强的关联性，但两者未进行有效的统一协调，这一问题有待迫切解决。正是因为有风险才需要控制，控制的最终目的是为了降低风险，所以，应尽快将内部控制与风险管理进行有效整合，以减少企业实施成本和监管成本。