我国《企业内部控制基本规范》与美国SOX法案、COSO报告的分析比较

薰　ＩＩ　ＩＩＩｌＵｌＩＩＩＩ￥１１　黧　鳓　薰瓣　韩晓燕　自２００９年７月１日起，我国将首先在上市公　相关信息真实完整，提高经营效率和效果，促进企　司范围内施行《企业内部控制基本规范》（以下简称　业实现发展战略。内部控制只是对实现上述五项　基本规范），这是由财政部、证监会、审计署、银监　目标提供合理保证，即内部控制并不能为企业内　会、保监会联合发布的我国第一部企业内部控制　部控制目标的实现提供完全的保证，更不能提供　规范。基本规范的推出，意味着我国企业内部控制　绝对的保证。内部控制的这种合理保证，是由于内　规范体系建设正在向国际标准靠拢，也将为我国　部控制设计和实施所决定，更是由于内部控制自　企业走人国际资本市场创造更为便利的条件。　身存在的局限性所决定的，如内部控制可能会因　一、基本规范的基本内容　为两个或多个人员的串通使内部控制失效。　基本规范共七章五十条，包括总则、内部环　（四）内部控制的原则　境、风险评估、控制活动、信息与沟通、内部监督和　企业建立与实施内部控制，应当遵循下列原　附则。基本规范合理借鉴了国外内部控制的成熟　则：全面性原则、重要性原则、制衡性原则、适应性　经验，并根据我国的国情进行了较大调整和改进，　原则、成本效益原则。各个企业的经营活动千差万　对内部控制的内涵、目标、原则、要素以及实施机　别，企业不可能都使用统一的内部控制模式，也不　制等做出了具体规定。　可能完全照搬其他企业所建立和实施的有效内部　（一）适用范围　控制。因此，企业必须根据自身的实际情况，综合　基本规范适用于我国境内设立的大中型企　应用上述五项原则，兼顾各项原则，建立和实施自　业，小企业和其他单位可以参照此规范建立与实　身适用的内部控制制度。　施内部控制。　（五）内部控制的要素　（二）内部控制的内涵　基本规范规定内部控制的要素，包括内部环　基本规范科学界定了内部控制的内涵，指出　境、风险评估、控制活动、信息与沟通以及内部监　内部控制是由企业董事会、监事会、经理层和全体　督。这五项要素相互关联、相互促进，贯穿于企业　员工实施的、旨在实现控制目标的过程。该内涵强　管理过程始终。其中内部环境是内部控制构成要　调内部控制是一个全员参与实施的过程，并贯穿　素的重要基础，不仅对企业经营目标的确定、风险　于企业经营活动的决策、执行和监督的始终，涵盖　评估等存在着广泛的影响，而且影响着控制活动、　企业各种业务和事项。　信息与沟通以及内部监督。风险评估既是风险管　（三）内部控制的目标　理的基础，也是内部控制的关键环节。控制活动则　基本规范将内部控制的目标定位于：合理保　是对评估确定的风险所采取和实施的应对措施，　证企业经营管理合法合规、资产安全、财务报告及　是具体的控制手续和措施。信息与沟通则为内部　位业　计与　晨勇圈　控制的有效性提供保障。而内部监督则是通过持　估。该法案使内部控制再次成为人们关注的焦点。　续性的日常监督和专项监督，对企业实施内部控　（一）相同之处　制情况进行检查，发现内部存在的问题并提出改　我国此颁布的基本规范，与ＳＯＸ法案存在着　进，以提升其内部控制的有效性。　一些相同之处。　（六）运用信息技术加强内部控制　基本规范要求企业管理层投人大量的时间和　基本规范规定，企业应当运用信息技术加强　资源来确保内部控制的适当性和有效性，并提高　内部控制，建立与经营管理相适应的信息系统，促　企业财务报告和信息披露的质量。这与ＳＯＸ法案　进内部控制流程与信息系统的有机结合，实现对　的基本思想是一致。基本规范要求企业全员参与　业务事项的自动控制，减少或消除人为操纵因素。　内部控制，企业董事会、监事会、经理层以及普通　（七）内部控制的实施机制　员工在内部控制的建立和实施中承担不同的责　基本规范建立了以企业为主体、以政府监管　任。基本规范要求内部控制的自我评价和外部监　为促进、以中介机构审计为重要组成部分的内部　督相结合，即企业不仅需要对内部控制进行自我　控制实施机制。即企业实行内部控制自我评价制　评价，还应该委托会计师事务所对内部控制的有　度，并将各责任单位和全体员工实施内部控制的　效性进行外部审计并出具审计报告；而且国务院　情况纳入绩效考评体系；国务院有关监管部门有　有关部门还需要对企业建立与实施内部控制的情　权对企业建立并实施内部控制的情况进行监督检　况进行监督检查，这是我国首次在内部控制的监　查；企业可以依法委托会计师事务所对本企业内　督中引入政府监督。这都将确保内部控制的有效　部控制的有效性进行审计，并出具审计报告。这是　性和适当性。　’　我国首次在企业内部控制中，制度性地引人政府　另外，目前越来越多的企业依靠信息系统支　的监督检查环节，突出了政策的宏观引导性，而不　撑业务运作，信息系统在建立与运行有效的内部　是微观上具体操纵企业内部控制行为。　控制方面发挥着重要的作用。因此，基本规范借鉴　二、与美国ＳＯＸ法案的比较　ＳＯＸ法案，强调企业应当运用信息技术加强内部　针对安然、世通等财务欺诈事件，美国国会出　控制，建立与经营管理相适应的信息系统，促进内　台了（（２００２年公众公司会计改革和投资者保护法　部控制流程与信息系统的有机结合，实现对业务　案》，又称作（（２００２年萨班斯一奥克斯利法案》（简　和事项的自动控制，减少或消除人为操纵因素。　称ＳＯＸ法案）。２００２年７月３０日ＳＯＸ法案正式生　（二）改进之处　效。ＳＯＸ法案作为近７０年来最重要的财务法案，　基本规范并非完全照抄ＳＯＸ法案，而是根据　正给美国资本市场的监管体系带来了一次前所未　我国国情进行了改进。过分严格的制度会束缚企　有的重大变革。　业的手脚，限制其活力。由于规定苛刻，ＳＯＸ法案　在该法案的诸多新规定中，最引人注目的是，　也让上市公司不堪重负。美国财务经理协会调查　要求管理层对内部控制系统的适当性和有效性进　显示，上市公司因实施ＳＯＸ法案而增加的审计费　行报告，并要求外部审计师证实管理层报告的准　和初始费用平均在１３０万美元以上。由于高要求　确性。其中３０２条款要求ＣＥＯ和ＣＦＯ就他们的内　增加了上市公司的合规性成本，ＳＯＸ法案实施后，　部控制系统进行报告，并在提交给美国证券交易　很多企业为了规避遵从ＳＯＸ法案所带来的高昂执　委员会（ＳＥＣ）的财务报表上签字；４０４条款对公司　行成本，而不得已放弃了到美国ＩＰＯ的计划，而上　管理层提出要求，陈述建立和保持适当的内部控　市公司有的甚至退市。　制结构和财务报告程序的责任，在财务年度末，要　与ＳＯＸ法案相比，基本规范考虑我国企业内　对内部控制结构和财务报告程序的效果进行评　部控制建设很难一步到位以及企业的接受程度和　ｌ目　审　与会　承受能力。因此并未达到ＳＯＸ法案的严格程度，而　程。基本规范所称内部控制，是由企业董事会、监　事会、经理层和全体员工实施的、旨在实现控制目　标的过程。　可见。基本规范对内部控制的定义与ＣＯＳＯ　采取了渐进的方式。基本规范规定：“本规范适用　于中华人民共和国境内设立的大中型企业。小企　业和其他单位可以参照本规范建立与实施内部控　制。”并规定：“内部控制应当权衡实施成本与预期　报告保持一致，都强调内部控制是由一个企业的　效益，以适当的成本实现有效控制。”另外，为增加　企业灵活性，基本规范取消了征求意见稿中部分　关于内部审计机构的限制条款，如对内部审计人　员从业资格的要求等。这都体现了低成本稳步推　进的思路，因此基本规范的实施不会给企业带来　太大负担。　三、与美国ＣＯＳＯ报告的比较　１９９２年，美国反虚假财务报告委员会下属的　发起组织委员会（以下简称ＣＯＳＯ委员会）提出了　《内部控制整体框架》（以下简称ＣＯＳＯ报告），并　于１９９４年做出了修改。其整体架构主要是控制环　境、风险评估、控制活动、信息与沟通、监督等五项　要素构成。２００４年９月，ＣＯＳＯ委员会对《内部控　制整体框架》进行了改进和完善，发布了《企业风　险管理整体框架》，又被称为新ＣＯＳＯ报告。该报　告更加关注于企业风险管理，从风险管理角度对　内部控制进行了全新的诠释，指出内部控制主要　关注如何有效防范和控制企业风险。与原ＣＯＳＯ　报告相比，它增加了“战略目标”，并将原来的五要　素扩展为八要素，即目标设定、内部环境、风险确　认、风险评估、风险管理策略选择、控制活动、信息　沟通、检查监督。　（一）相同之处　我国企业内部控制规范体系的建设要与国际　惯例衔接，就必须研究、分析国外内部控制的成熟　实践，尤其要借鉴国际上较为成熟的内部控制框　架。因此，此颁布的基本规范合理借鉴了美国　ＣＯＳＯ报告。　１、内部控制的定义相同　ＣＯＳＯ报告中把内部控制定义为：内部控制是　由企业董事会、管理当局和其他员工实施的，为保　证财务报告的可靠性、经营的效率效果以及现行　法规的遵循等目标的达成而提供合理保证的过　董事会、管理层和其他人员共同实现的过程。　２、内部控制的目标相似　基本规范规定内部控制的目标是合理保证企　业经营管理合法合规、资产安全、财务报告及相关　信息真实完整，提高经营效率和效果，促进企业实　现发展战略。ＣＯＳＯ报告将内部控制的目标定位于　保证财务报告的可靠性、经营的效率效果以及现　行法规的遵循，新ＣＯＳＯ报告又增加了战略目标。　可见，基本规范与新ＣＯＳＯ报告相似，都包括　合法目标、报告目标、经营目标、战略目标。　３、内部控制的基本要素相同　基本规范确立了五项内部控制基本要素：内　部环境、风险评估、控制活动、信息与沟通、监督检　查。ＣＯＳＯ报告认为，为实现内部控制的有效性，需　要五个要素的支持：控制环境、风险评估、控制活　动、信息和沟通、监督；新ＣＯＳＯ报告则包含八个　构成要素：内部环境、目标设定、事件识别、风险评　估、风险反应、控制活动、信息与交流、监控。　由于ＣＯＳＯ报告的五要素框架相对成熟、稳　定，因此基本规范在形式上借鉴了ＣＯＳＯ报告的　五要素框架，但同时进行了充实和丰富，在内容上　体现了新ＣＯＳＯ报告风险管理的八要素框架的实　质，即内部控制和风险管理Ｅｔ益融合、风险导向成　为内部控制未来发展方向的趋势。　４、内部控制实施机制相同　基本规范借鉴ＣＯＳＯ报告，确立了以企业为　主体、以政府监管为促进、以中介机构审计为重要　组成部分的实施机制。即企业实行内部控制自我　评价制度，并将各责任单位和全体员工实施内部　控制的情况纳入绩效考评体系；国务院有关监管　部门有权对企业建立并实施内部控制的情况进行　监督检查；企业可以依法委托会计师事务所对本　企业内部控制的有效性进行审计，出具审计报告。　．　任业　计与　晨■圄　（二）创新之处　２、体系创新　我国企业内部控制规范的建设只有根植于我　除基本规范之外，财政部还起草了１７项具体　国国情，才能具有较强的适应力和生命力。因此，　规范，并将继续起草若干具体规范；与此同时，财　此次出台的基本规范把当前国际上一些先进理念　政部还起草企业内部控制评价指引、应用指引和　方法与我国企业实际情况相结合，进行了较大改　鉴证指引，我国将形成全方位、立体性推进内部控　进和创新，更适合我国企业。　制体系的建设。建设完善后，我国企业内部控制体　１、内容创新　系将是一个层次分明、内容完整、衔接有序、整体　基本规范中的五要素框架并未完全照抄照搬　互动的有机统一体，这一体系既与国际接轨同时　ＣＯＳＯ报告，而是根据我国的实际情况作了较大调　又综合考虑了我国国情。　整，并在内容上进行充实，在表达方式上符合我国　通过以上比较，不难发现基本规范既有类似　法规特点、文化传统和语言习惯，使ＣＯＳＯ报告提　ＳＯＸ法案的强制力，又有与ＣＯＳＯ报告一样的对　出的较为宏观、抽象的内部控制理念转变为了具　内部控制的示范作用，既吸收了内部控制的国际　有针对性、实用性的内部控制规定。　先进理念，又充分体现了我国内部控制的现实环　另外，基本规范除了借鉴新ＣＯＳＯ报告的目　境要求。我国内部控制不是一个新话题，因此加强　标，同时考虑我国的国情（国有大型企业比重大、国　企业内部控制建设并使之形成长效机制尤显重　有资产流失严重），新增了资产安全目标，这是我国　要。我国企业内部控制规范，对于改善企业内部控　内部控制规范对国外内部控制目标的补充。因为　制现状、提高企业核心竞争力、实现企业价值最大　从内部控制的起源来看，企业内部控制思想的产　化以及保证资本市场的有效运行意义深远。　生正是由于企业希望通过内部控制措施来保证资　产的安全完整。　（作者单位：山东广播电视大学）　试论内部控制评价标准钵系框架的建立　王会杰　在实际审计工作中，测试审计单位企业内部　如今日的公认会计原则一样。正如美国注册会计　控制，必须有一套客观可行的基本参照标准。这套　师协会所预想的，ＣＯＳＯ报告很快受到了广泛的认　标准不仅可为企业自我评估，改进其内部控制以　可，很多国家及各专业团体仿效ＣＯＳＯ对内部控制　及注册会计师发表评价意见提供依据，还可以为　进行了重新研究，并采纳其最新理念，发布了自己　各方人士的沟通与理解提供统一的基础。建立内　的文告，形成了自己的内部控制评价标准体系。　部控制标准体系已经成为一项国际惯例，最具影　我国很多学者对美国ＣＯＳＯ报告进行了全面　响力的当属美国ＣＯＳＯ委员会于１９９２年提出的　介绍和研究，并运用ＣＯＳＯ报告的标准与评价方　内部控制综合框架公告。美国注册会计师协会认　法，从控制环境、风险评估、控制活动、信息与沟　为该报告的提出，具有划时代的意义，其作用如同　通、监督五个方面对我国一些企业内部控制失败　早期的公认会计原则，其未来在管理界的地位也　案例进行系统分析，同时建议在ＣＯＳＯ报告的基础　ｌ口　伍业审　号会