最重要的是,基本规范在形式上借鉴了COSO报告内部控制5要素框架,同时在内容上体现了其风险管理8要素框架的实质,构建了以内部环境为重要基础、以风险评估为重要环节、以控制措施为重要手段、以信息沟通为重要条件、以内部监督为重要保证的5要素框架。上述要素相互联系、相互促进,构成一个统一的企业内部控制框架。内部控制就是一种风险管理机制。其中,风险评估的功能是识别、分析、评价风险,控制措施的功能是处理、防范化解风险,而内部监督则是对整个过程进行监控。巧妇难为无米之炊。要想识别、处理风险,就必须收集、传递、沟通、应用信息,就要进行信息沟通,为风险管理提供事实依据。上述要素密切相关,体现为风险的识别、处理、反馈。总之,风险管理是一个完整的过程。
风险管理、公司治理与内部控制
最近,财政部、证监会、审计署、银监会、保监会联合发布《企业内部控制基本规范》(征求意见稿)。基本规范从中国的实际出发,借鉴了美国COSO《内部控制统一框架》,确立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的实施机制。
据报道,该规范将于明年7月1日起首先在上市公司范围内实施,并鼓励非上市的其他大中型企业执行。基本规范的发布标志着中国内部控制制度建设取得了重大突破,并将对公司证券以及国有资产管理等相关制度产生深远影响。
一、定义、目标、要素
基本规范首先界定了内部控制的含义。根据该规范,内部控制是由董事会、管理层和全体员工共同实施的、旨在合理保证实现企业经营管理基本目标的一系列控制活动。
内部控制的目标包括:企业战略,经营的效率和结果,财务报告及管理信息的真实、可靠和完整,资产的安全完整,遵循国家法律法规和有关监管要求。
二、内部控制与风险管理
最重要的是,基本规范在形式上借鉴了COSO报告内部控制5要素框架,同时在内容上体现了其风险管理8要素框架的实质,构建了以内部环境为重要基础、以风险评估为重要环节、以控制措施为重要手段、以信息沟通为重要条件、以内部监督为重要保证的5要素框架。上述要素相互联系、相互促进,构成一个统一的企业内部控制框架。
企业所面临的环境是不确定的,企业家的基本职能是管理风险。无论从目的、目标,还是从要素来看,内部控制的根本功能是风险管理。
内部控制的目的是在合理的范围内保证企业基本目标的实现。盈利是企业生存和发展的基础。作为一种盈利性组织,企业的根本目标是盈利。如果不能盈利,就连自身的生存都难“保证”,其他目标无从谈起
天有不测风云。不确定性意味着,机会与风险并存。如果说机会代表盈利的可能,风险则代表亏损的可能。二者不过是一枚硬币的两面。风险种类很多,如宏观、市场、技术、金融、财务、法律等各种风险。有的风险可以保险,有的是不可保险的。在这种情况下,要想“保证”盈利,就必须管理风险。
内部控制就是一种风险管理机制。其中,风险评估的功能是识别、分析、评价风险,控制措施的功能是处理、防范、化解风险,而内部监督则是对整个过程进行监控。巧妇难为无米之炊。要想识别、处理风险,就必须收集、传递、沟通、应用信息,就要进行信息沟通为风险管理提供事实依据。上述要素密切相关,体现为风险的识别、处理、反馈。
总之,风险管理是一个完整的过程。在这个过程中,内部控制的各个要素分别处于不同阶段。其中,风险评估、信息沟通处于认识阶段;控制措施、内部监督处于实践阶段,而内部环境则构成制度基础。
三、内部控制与公司治理
公司治理是为了实现公司价值最大化,而在股东、董事、监事、高级管理人员之间进行权责分配,并在此基础上进行决策、监督。其中,权责分配属于关系要素;决策、监督则属于行为要素。无论从目的还是从要素来说,内部控制是公司治理的重要内容。
首先,内部控制的目的是合理保证公司基本目标的实现。这也正是公司治理的目的。其次内部环境要素的核心是权责分配,而权责分配既是公司治理的关系要素,也是内部控制的制度基础。第三,内部监督要素本身就是公司治理的行为要素,也是内部控制的重要保证。第四,内部控制的其它要素也与公司治理密切相关。从功能上讲,风险评估、控制措施、信息沟通属于风险管理的不同环节,而企业家的基本职能就是管理风险
需要强调的是,企业是内部控制的主体。无论在公司治理还是在内部控制中,董事和高级管理人员都发挥着至关重要的作用。根据基本规范,董事会以及董事长应当加强对本企业内部控制建立和实施情况的指导和监督,对本企业内部控制的建立健全和有效实施负责;经理负责组织领导本企业内部控制的日常运行;总会计师主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。上述规范的法律依据是公司法对上述人员职责和义务的有关规定。例如,公司法规定,董事、监事和高级管理人员应当遵守法律、行政法规和公司章程,对公司负有忠实义务和勤勉义务