我国《
企业内部控制基本规范》与COSO报告之比较分析
1.内部控制的认识比较
COSO报告认为,内部控制是由
董事会、管理层和员工共同设计并实施的,旨在为实现组织目标提供合理保证的过程。COSO报告认为内部控制是一过程,是实现目标的手段,是与管理过程融合在一起的,是一个不断发现和解决问题的循环往复的动态过程。内部控制的有效性也只是这个“动态过程”中某个时点上的一种状态。我国《企业内部控制基本规范》所称内部控制,是由企业董事会、
监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
2.内部控制的目标比较
COSO报告指出,内部控制是为实现以下三类目标提供合理保证:经营的效率和效果、
财务报告的可靠性、适用
法律法规的遵循性。为应对未来外部环境变化给企业带来的风险,新COSO报告又增加了战略目标。我国《企业内部控制基本规范》指出内部控制旨在实现以下五类目标:
企业战略;经营的效率和效果;财务报告及管理信息的真实、完整;资产安全;遵循国家法律法规和有关监管要求。可知,《基本规范》借鉴了COSO报告的目标,同时考虑到我国国有大型企业比重大、国有资产流失严重的国情,增加了资产安全目标,这是我国内部控制规范对COSO报告的补充。
3.内部控制的构成要素比较
COSO报告认为,为实现内部控制的有效性,需要五个要素的支持:控制环境、
风险评估、控制活动、信息和沟通及监督。新COSO报告包含了八个构成要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。我国《企业内部控制基本规范》在形式上借鉴了COSO报告五要素框架,但同时进行了充实和丰富,在内容上体现了新COSO报告
风险管理的八要素框架的实质,即内部控制和风险管理日益融合、风险导向成为内部控制未来发展方向的趋势。
4.内部控制的责任主体比较
在COSO报告下,管理层对内部控制负主要责任,不但要向董事会下属的审计委员会报告,还要评估内部控制的有效性并对外发布内部控制报告。我国的《企业内部控制基本规范》对内部控制的主要责任主体的责任分别进行规定:事会负责内部控制的建立健全和有效实施;监事会对董事会建立与实施内部控制进行监督;经理层负责组织领导企业内部控制的日常运行。在COSO报告中,内部控制的责任主体主要是管理层而我国《企业内部控制基本规范》却强调了董事会对内部控制的重要责任,而且更加明确地规定各责任主体对内部控制的责任,使治理层和管理层的责任分工更加明确。
5.内部控制的外部审计比较
在COSO报告下,审计师要在审计
财务报表的同时对公司的财务报告内部控制进行审计,既要评价管理层对内部控制的评价,又要对内部控制的有效性发表意见。在我国,执行《企业内部控制基本规范》的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计并出具
审计报告。可见,我国《企业内部控制基本规范》和COSO 报告都强制要求对内部控制进行外部审计。
三、完善我国企业内部控制评价制度的建议
《基本规范》及配套指引主要是在借鉴COSO报告的基础上,结合我国的具体情况进行适当修改完善后形成的。《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点,如何从宏观上有效地促进并引导企业提高内控水平,还必须建立一系列规范统一、具体明确、简明实用的《企业内部控制评价制度》,借以督促企业尽快务实地建立健全并持续改进
内部控制制度。但至目前,如何建立中国企业内部控制评价制度,理论与实务界仍有诸多不同的看法。
本人认为应由证监会出台统一的内部控制指引,与《内部控制基本规范》相配合,以统一内部控制相关概念界定、内部控制评价目标、内部控制评价要素等。这些制度的协调统一是完善内部控制制度并使之有效运行的基础。在统一明确的制度指引下,上市公司能够通过建立健全内部控制评价体系,合理规避经营风险,保证资产安全,提高经营效率和效果。尽快统一内部控制自我评价制度和
注册会计师核实评价制度,降低注册会计师执业风险,合理保证注册会计师的利益。建议借鉴美国的经验,将核实评价的范围限定为与财务报告相关的内部控制评价。