从会计内控到企业内控

【摘要】 文章梳理我国企业内部控制体系长达8年的制定与发展历程,感慨于从会计内控到企业内控观念与认识的不断发展与完善,以期对业界了解这一过程,进而理解与掌握新企业内控规范体系有所帮助。

【关键词】 会计; 企业; 内控

我国企业内部控制体系从2001年出台的企业内部会计控制基本规范开始,至今已8年多,企业内部控制体系的历次修正与不断完善,体现了我国业界对内控的不断认识与发展的过程,笔者目睹这一过程并参与历次征求意见稿的征求意见,有感于这一与8年抗战同样漫长的企业内部控制体系制定与发展的艰辛历程,现将这一过程梳理列示,望能对业界了解这一过程进而理解与掌握新企业内控规范体系有所帮助。

一、2001年内部会计控制规范――以资产负债表项目控制为主线

从2001年6月22日财政部印发《内部会计控制规范――基本规范(试行)》及《内部会计控制规范――货币资金(试行)》的通知(财会字〔2001〕41号)以后,财政部陆续了内部会计控制规范――采购与付款、销售与收款、工程项目、担保、对外投资等5个会计内控规范,另外成本费用、预算两个会计内控规范征求意见稿。

原《内部会计控制规范――基本规范(试行)》包括六章,具体结构包括总则、内部会计控制的目标和原则、内部会计控制的内容、内部会计控制的方法、内部会计控制的检查、附则。

2001年的内部会计控制规范体系以资产负债表项目控制为主线,其内容涉及货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制,具体控制规范的排列顺序基本上按照资产负债表项目顺序排列。

内部会计控制规范的适用范围为所有单位即“适用于国家机关、社会团体、公司、企业、事业单位和其他经济组织(以下统称单位)。”

因企业与国家机关、社会团体、事业单位和其他经济组织在业务流程上有很大的不同,甚至是完全不同,其内控很难规定一致,该会计内控体系执行起来也出现困难。且内部控制覆盖企业所有业务层面,已远远突破会计控制的范围,因此,研究制定一套具有统一性、公认性和科学性的企业内部控制规范以引导企业内控建设已迫在眉睫,财政部会计司于2007年企业内部控制规范征求意见稿。

二、2007年企业内部控制规范――以财务报告内部控制为主线

2007年,财政部企业内部控制规范――基本规范(征求意见稿)以及17个企业内部控制具体规范(征求意见稿)(财会便〔2007〕7号)及其起草说明,2007年的企业内部控制规范的结构框架为:基本规范共分8章,包括总则、内部环境、风险评估、控制措施、信息与沟通、监督检查、组织实施和附则。

其适用范围仅限于企业,即“适用于中华人民共和国境内的大型企业、上市公司和其他涉及重大公众利益的企业(以下简称企业)”、“中小企业和其他有关单位可以参照本规范和具体规范建立健全本单位的内部控制。”

具体规范涉及财务报告内部控制和其他方面的控制(如对符合企业经营目标的控制)。具体规范的设计主要以财务报告内部控制为主线,原初步拟定为26项。其中,17项已在2007年对外公开征求意见;另9项尚未有征求意见稿。这些具体规范,可以概括分为以下三类:

第一类是17个财务报表项目相关规范,即对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项提出具体要求的控制规范;已出台征求意见稿的有12项,包括:货币资金、采购与付款、存货、对外投资、工程项目、固定资产、销售与收款、筹资、成本费用、担保、合同、对子公司的控制。

尚未出台征求意见稿的有5项,包括:资产减值、衍生工具、无形资产、企业合并与分立、服务外包。

第二类是4个与财务报表填报相关的规范,即与财务报表编报相关的控制规范,包括财务报告编制、公允价值、关联交易、信息披露等;其中,财务报告编制、信息披露两个规范已征求意见,公允价值、关联交易两个规范尚未出台征求意见稿。

第三类是5个内控的制度支持相关的规范,即为实现有效的财务报告内部控制所必需的事前、事中和事后制度支持的控制规范,包括预算控制、人力资源控制、计算机信息系统控制、审计监督控制等。其中,预算、人力资源、计算机信息系统3个规范已征求意见,内部审计、中介机构聘用两个规范尚未出台征求意见稿。

2007年的企业内部控制规范体系的主导思想已由内部会计控制扩展为企业内部控制,控制的核心是围绕财务报告设定,控制项目以相关财务报表项目控制为主线,其具体控制规范的排列顺序也是基本上按照资产负债、利润表等的项目顺序排列,但控制范围较2001年已大大扩展,同时考虑了财务报表编制的相关规范及制度支持,形成较为完备的财务报告内部控制体系,该内控体系已考虑了为2006年的《企业会计准则》的执行设置制度环境。但该体系仍然未能跳出会计内控的思维,特别是具体项目控制仍然采用财务报表相关项目顺序及名称,给人的感觉还是为会计信息的真实完整而设定的控制,执行规范是企业会计部门的事,尚未能体现企业内控的真正目的。另外,对具体项目的控制仍然以“规范”的形式,具有强制性,而各企业各业务流程千差万别,很难要求企业执行统一的控制规范,征求意见稿出台后,企业反响较大。

三、2008年的企业内部控制规范体系――以防范风险和控制舞弊为中心

2008年,财政部、证监会、审计署、银监会、保监会联合《企业内部控制基本规范》的通知(财会[2008]7号),基本规范内容包括:总则、内部环境、风险评估、控制活动、信息与沟通、内部监督、附则共七章,将原“控制措施”改为“控制活动”,将“组织实施”不再单列为一章,而并入其他相关章节,更为科学合理,因为组织实施存在于每个控制环节中,而非独立存在的部分。

其适用范围为大中型企业,即“适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。”适用范围较2007年更广,与《企业会计准则》的执行范围一致,是大中型企业执行《企业会计准则》的环境支撑。

2008年财政部征求企业内部控制评价指引、应用指引鉴证指引意见的通知(财办会[2008]7号),将原“内部控制具体规范”改为“企业内部控制应用指引”,原初步设定的“中介机构聘用规范”被“企业内部控制鉴证指引”所替代,同时增加《企业内部控制评价指引》。

2009年初,财政部会计司又陆续了:征求组织架构等5项内部控制应用指引意见的通知(财会便[2009]2号),新增了组织架构、发展战略、人力资源、企业文化、社会责任等5项内控应用指引;征求组织架构等10项内部控制应用指引意见的通知(财会便[2009]4号),在上文新增组织架构、发展战略等5个应用指引项目基础上修改并再次征求意见,又调整修改了资金、采购、资产、销售、研发等5个应用指引并征求意见;征求企业内部控制评价指引及工程项目等5项内部控制应用指引意见的通知(财会便[2009]7号),调整修改了企业内部控制评价指引和工程项目、全面预算、合同、内部报告、信息系统等5个应用指引。从“规范”到“指引”,说明各企业具体情况不一,以指引即指导性条款引导企业建立健全内部控制制度,提法更为科学合理。

这样,中国企业内控框架分为:基本规范统领下的《企业内部控制应用指引》,以及《企业内部控制评价指引》和《企业内部控制鉴证指引》。

企业内部控制应用指引共有26个,同样可以概括分为以下三类:

第一类是16个财务报表项目相关内控指引,包括:资金、采购、资产、长期股权投资、工程项目、销售、研发、筹资、成本费用、担保、合同、对子公司的控制、衍生工具、企业并购、业务外包、全面预算。

第二类是两个与财务报表填报相关内控指引,包括财务报告编制与披露、关联交易。

第三类是8个内控的制度支持相关的指引,包括:人力资源政策、信息系统一般控制、内部审计,新增组织架构、发展战略、人力资源、企业文化、社会责任等。

2007年到2008年内控体系的主要变化为:从原设定的26项内控规范到新的26项内控指引,删除第一类与报表项目相关的内控――资产减值,删除第二类与财务报表填报相关的内控――公允价值,将第一类存货、固定资产、无形资产3个应用指引合并为“资产”;将第二类与财务报表填报相关的内控――信息披露合并到“财务报告编制”中,为“财务报告编制与披露”,第三类制度支持中“中介机构聘用”整体脱离内控应用指引,单列为“内控鉴证指引”,同时新增组织架构、发展战略、人力资源、企业文化、社会责任等5个应用指引。整个内控体系结构显得更为合理、有效,内控体系内容、控制层面更为完整、科学。

笔者认为,删除“资产减值”,是因其内附于各项资产的控制中,无法单列;删除“公允价值”,是因其是会计要素的计量属性,内附于各经济业务事项中,也难以单列;而财务报表编制就是为披露服务的,编制与披露难以绝对分开,故合并。会计中介的鉴证即对企业内控制度有效执行的评价已不属于企业内控的范畴,而是站在企业以外的角度对企业内控进行的评价,设立于企业内部控制体系之外更为科学。从会计内控到企业内控,适用范围缩小了,但控制范围扩大了,不再提及以监管部门为主导,对企业的具体业务环节的控制以“指引”的形式为企业提供指导性条款,企业可根据实际需要参考“应用指引”设定内控制度,不再硬性规定企业必须执行。

2008年内控体系体现了如下亮点:一是内控体系整体框架更加完整科学;二是内控体系从“具体规范”到“指引”提法更加科学合理;三是内控体系适用范围设定更为科学合理;四是企业内控具体应用指引涵盖企业业务与事项设定更加科学合理;五是企业内控具体应用指引强调企业关注相关业务风险及关键控制环节的控制。

企业内控指引为企业建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系提供标准性的指引,基本规范、评价指引、内控应用指引、内控鉴证指引建立了以各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、企业内部评价、政府监管和社会评价相结合的内部控制实施体系。但是,26个具体应用指引的内控体系还是留有会计的痕迹,尚未能完全摆脱内控以会计部门为主导的意识,如何使企业管理层更加重视,形成以企业管理层为主导推动的内控体系,是业界关心的也是内控体系制定者们关心的。尽管新的内控应用指引尚未出台,但是,从中国会计学会组织的内控培训,财政部会计司的内控讲解中得知,即将出台的内控指引已完全考虑了这个问题。

四、即将出台的内控体系――以企业业务流程为出发点,以防范风险和控制舞弊为中心(见图1)

从财政部会计司的内控讲解中得知,即将出台的内控体系在基本规范统驭下,有评价指引、应用指引及审计指引三大类,原来的鉴证指引改为审计指引,原来的26项应用指引改为18项,且考虑的顺序为企业资源的流向,以企业业务流程为出发点,包括资金流、物流、信息流及内控环境。具体构架如下:

第一部分:18个业务配套应用指引。

1.资金流1项――资金活动(把原来资金、筹资、长期股权投资合并)。

2.物流9项――采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、外包业务、合同管理、全面预算,取消原成本费用、对子公司的控制、企业并购、衍生工具四项。

3.信息流3项――财务报告、信息系统、内部信息传递(新增),取消关联交易。

4.内控环境5项――发展战略、社会责任、人力资源、企业文化、组织架构,取消原人力资源政策,内部审计两项。

第二部分:1个评价指引。

第三部分:1个审计指引(原鉴证指引)。

该内控体系完全突出了主体控制,从企业业务流程出发,构建了企业资金流、物流、信息流及其所包含业务的关键控制点及控制方法,结构更加清晰,突出了由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的全过程控制。

笔者认为,该体系对生产过程的控制特别是成本费用的控制没有涵盖在物流的控制里,似有欠缺,另外,对内控五要素之一“内部监督”的控制也未能体现,如果将原2008版的内控体系支持指引里的内部审计指引改为内部监督指引,作为内控环境的一个项目,可能内控体系将更为完善、可行。

中国内控体系的构建与不断完善的过程,体现了我国业界对企业内部控制的认识逐步深入的一个过程,内控体系制定者――财政部会计司及其内控咨询专家们花费了巨大的心血。逐步完善中国企业的内控体系,这是一个宏大的工程。我国的企业内部控制体系,是在总结我国企业管理实践经验、借鉴国际先进成果的基础上形成的,为大中型企业建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系提供了很好的指引,是企业建立健全并有效实施内控制度的标准指南,是我国当前应对国际金融危机的重要举措,是实施新企业会计准则的可靠保障,对促进企业可持续发展将发挥巨大作用。