求2009-2012中國內部控制法律法規發展。

2008-07-09作者:李三喜來源:經濟觀察網

引言:內部控制規範，簡單來說就是內部控制的標準。制定企業內部控制規範的目的是為企業實施內部控制提供壹個範本，讓大家都按照範本執行。然而，我國內部控制規範“多策”的客觀現實不僅讓執行者無所適從，也增加了監督成本。

內部控制規範就是內部控制的標準。制定企業內部控制規範的目的是為企業實施內部控制提供壹個範本，讓大家都按照範本執行。然而，我國內部控制規範“多策”的客觀現實不僅讓執行者無所適從，也增加了監督成本。

中國“多策並舉”的內部控制規範

20世紀90年代以來，我國內部控制發展迅速，從以下“多策並舉”的內部控制規範可見壹斑。

1996年6月5438+2月，中國註冊會計師協會發布了《獨立審計具體準則第9號——內部控制與審計風險》，要求註冊會計師對企業內部控制進行檢查，規定了內部控制的定義和內容(包括控制環境、會計制度和控制程序)。

1997年5月，中國人民銀行頒布了《加強金融機構內部控制指導原則》，這是中國第壹部關於內部控制的行政法規。

1999年8月，保監會制定了《保險公司內部控制制度建設指導原則》，要求企業建立組織體系、決策體系、執行體系、監督體系、支持體系等控制體系。內部控制要素包括組織機構控制、授權經營控制、財務會計控制、資金運用控制、業務流程控制、文件和印章管理控制、人事和勞動管理控制以及計算機系統控制。

2000年4月，中國證監會發布了《關於加強期貨經紀公司內部控制的指導原則》，包括內部組織控制、授權與責任控制、崗位責任控制、風險監控、資金管理控制、會計系統控制、結算控制、計算機系統風險控制和內部審計控制。

2001 1中國證監會發布《證券公司內部控制指引》，包括環境控制、業務控制、資金管理控制、會計系統控制、電子信息系統控制、內部審計控制。

2001年6月，財政部發布《內部會計控制-基本規範(試行)》和《內部會計控制基本規範-貨幣資金(試行)》。《內部會計控制規範》適用於國家機關、團體、各類企業、事業單位等單位，以單位內部會計控制為重點，兼顧會計相關控制，是我國會計工作的又壹重要規範性文件。

2002年9月，中國人民銀行發布了《商業銀行內部控制指引》，要求商業銀行建立良好的公司治理和風險監控體系。明確內部控制的要素包括內部控制環境、風險識別與評價、內部控制措施、信息交流與反饋、監督、評價與糾正五個部分，內部控制涵蓋組織架構、崗位分工、授權與責任、審計監控、會計控制和計算機控制。

2002年6月5438+2月65438+2月9日，中國證監會發布《證券投資基金管理公司內部控制指導意見》，首次系統地提出了基金公司內部控制的目標和要求。

2003年4月，中國內部審計學會發布了《內部審計具體準則第5號——內部控制審計》，認為內部控制是指壹個組織為實現經營目標、保護資產完整、確保遵守國家法律法規、提高組織運作的效率和效果而采取的各種政策和程序。內部控制包括五個要素:控制環境、風險管理、控制活動、信息與溝通和監督。

2004年2月，國家審計署發布並實施了《審計機關內部控制評價準則》。內部控制由五個要素組成:控制環境、風險評估、控制活動、信息、溝通和監督。

2005年6月5438+10月，銀監會制定了《商業銀行內部控制評價試行辦法》，要求銀行對商業銀行內部控制制度進行評價。

2005年2月，中國保監會制定了《保險中介機構內部控制指引(試行)》，要求保險中介機構建立全系統的風險管理體系。

在中國內部審計學會2005年發布的《內部審計具體準則第16號——風險管理審計》中，風險管理是組織內部控制的基本組成部分，內部審計師對風險管理的審查和評價是內部控制審計的基本內容之壹。

5438+2006年10月，中國保監會制定了《人身保險公司內部控制評價辦法(試行)》，通過建立統壹規範的內部控制評價標準，對人身保險公司內部控制制度的建設、實施和運行結果進行調查、測試、分析和評價，並實施分類監管。

2006年2月，財政部發布了《中國註冊會計師審計準則第1211號——了解被審計單位及其環境，評估重大錯報風險》，第四章重點規範了內部控制的內容。

2006年3月3日，中天恒會計師事務所開發的《中國式全面控制》建議，建立適合中國企業的全面控制體系，將控制分為內部控制和外部控制兩部分，倡導自主創新，以會計控制為核心，以管理和業務控制為發展方向。

2006年6月，上海證券交易所制定了《上海證券交易所上市公司內部控制指引》(以下簡稱《指引》)，並於2006年7月開始實施。

2006年6月6日，國資委發布了《中央企業全面風險管理指引》，要求企業通過在企業管理和經營的各個環節實施風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理戰略、風險財務管理措施、風險管理的組織職能體系、風險管理信息系統和內部控制體系，為實現風險管理的總體目標提供合理的保障流程。

2006年9月，深交所制定了《深交所上市公司內部控制指引》，明確了上市公司內部控制的範圍，規定了從公司治理到業務控制的壹系列規則。主要強調控股公司、關聯交易、對外擔保、募集資金使用、重大投資和信息披露等方面的內部控制要求。

2007年4月19日，中天恒管理咨詢有限公司制定了《3C全面風險管理標準》，該標準包括基本框架、實務標準和操作指南，力求自主創新。除了增加了實務標準、操作指引等操作工具，還在基礎框架上進行了壹系列創新，充分考慮了中國企業的實際情況，在構建自己的中國企業全面風險管理標準方面進行了有益的探索。

2007年6月6日65438+2007年2月6日，國資委(SASAC)發布《中央企業財務內部控制評價指引》通知評價函[2007]293號。企業財務內部控制評價的目的是促進建立和完善運作規範、管理科學、監控制度化的財務內部控制體系。企業財務內部控制評價是指通過對企業在壹定經營期間所采取的各種財務內部控制政策、程序和措施進行獨立的調查、測試和分析，對企業財務內部控制制度的建設、執行和有效性進行評價。

2007年2月26日，深交所發布了《中小板上市公司內部審計指引》，建立了自查機制。內部審計師負責審查和評估內部控制的有效性，提出建議，審計委員會就內部控制的建立和實施情況發布年度自我評價報告。

2008年6月28日，財政部、證監會、審計署、銀監會、保監會聯合發布《企業內部控制基本規範》，自2009年7月1日起在上市公司範圍內率先實施，並鼓勵其他未上市的大中型企業執行。

縱觀我國內部控制標準的制定，大部分是由政府部門制定，少部分是由行業協會制定並由政府部門頒布實施，有社會中介機構和學術團體的參與。中天恒會計師事務所和中天恒管理咨詢公司制定了中國內部控制和風險管理標準。

統壹中國企業內部控制規範勢在必行。

在美國，COSO框架是美國企業和在美國上市的外國公司的內部控制建設標準；在英國，特恩布爾指南已經成為英國投資者和公司普遍接受的風險管理和內部控制建設的指導原則。在加拿大,《CoCo控制指南》已經成為加拿大公司和組織在控制設計和評估方面廣泛參考的標準。在香港，內部控制和風險管理的基本框架已經成為香港上市公司內部控制評價的標準。在中國，長期以來有許多內部控制規範。現實中至少有證監會、財政部、國資委、人民銀行、證券交易所等部門或主管單位發布的關於內部控制或風險管理的規範性文件。雖然有關監管當局在實踐中采用了COSO標準，但他們都從自己的角度提出了壹個標準。他們怎麽能做出壹些特色呢？至少每個準則對內部控制的定義不壹樣，上市公司選擇的內部控制準則也不壹樣。即使是人為的，也使得同壹個執行單元無法執行。是財政部，國資委，證券業協會，審計署？沒有統壹的內控標準。

應該說，現行內部控制相關制度文件的客觀現實並不單純是相關利益的矛盾，還有不同類型企業對內部控制的不同要求，以及相關監管部門對所轄領域內部控制的不同理解。以內部控制原理為例。

2003年，證監會發布了修訂後的《證券公司內部控制指引》，規定證券公司內部控制應當貫徹健全性、合理性、制衡性和獨立性原則，確保其有效性。但兩者都屬於證券金融領域，《證券投資基金管理公司內部控制指導意見》規定，公司內部控制應當遵循健全性、有效性、獨立性、相互制約性和成本效益性原則。

2006年2月8日銀監會第54次主席會議通過的《商業銀行內部控制指引》規定，商業銀行內部控制應貫徹全面性、審慎性、有效性和獨立性原則。對比這三個文件對內部控制原則的規定，既有* * *特點，如獨立性、有效性；然而，差異也是顯而易見的。比如《證券投資基金管理公司內部控制指導意見》明確提出了成本效益和相互制約原則，而《商業銀行內部控制指導原則》沒有，而《證券公司內部控制指導原則》則將這幾個字弱化為合理性和制衡原則。不僅在金融行業的不同子行業有不同的理解，即使是更同質的上市公司，由於上市地點不同，也存在明顯的差異。

2006年6月5日，《上海證券交易所上市公司內部控制指引》發布，指出內部控制是指上市公司為保證公司戰略目標的實現，對公司戰略制定和經營活動中存在的風險進行管理的相關制度安排。是公司董事會、管理層和全體員工共同參與的活動。2006年9月28日發布的《深圳證券交易所上市公司內部控制指引》指出，本指引所稱內部控制，是指上市公司董事會、監事會、高級管理人員及其他相關人員為實現以下目標提供合理保證的過程: (壹)遵守國家法律、法規、規章及其他有關規定；(二)提高公司運營的效率和效益；(三)保證公司資產的安全: (四)保證公司信息披露的真實、準確、完整和公允。可見，上交所和深交所兩套指引在內部控制的基本概念上是有很大區別的，同樣是針對上市公司的。

或許正是出於制定統壹內控標準的需要，2006年7月15日，我國企業內控標準委員會成立。企業內部控制規範委員會由財政部、證監會、SASAC等監管部門、實務界、理論界的專家學者組成。研究制定壹套統壹的、公認的、科學的企業內部控制規範，是2006年7月15日企業內部控制規範委員會成立大會暨第壹次全體會議達成的廣泛共識，是國際國內諸多因素相互作用和影響的結果。

2008年6月28日，財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制基本規範》，該規範是在征求各監管部門意見的基礎上制定的。應該算是中國企業內部控制的統壹標準，可以自豪地說，至少中國企業有自己統壹的內部控制標準。正如財政部副部長王軍所言，新發布的《基本規範》首次為我國企業構建了企業內部控制的標準框架，有效解決了政策多、要求不壹、企業無所適從的問題，有利於提高內控監管效率，降低監管成本，優化企業管理，增強企業競爭力，保障經濟安全，維護資本市場穩定。

企業內部控制規範與企業風險管理指引的協調

毫無疑問，《企業內部控制基本規範》是我國企業內部控制統壹標準的基本要求。只要監管部門不壹意孤行，把對企業監管的要求統壹到基本規範上，企業實施統壹的內控標準就沒有障礙。但從該規範的發布部門來看，企業內控標準委員會的重要部門SASAC並沒有參與其中，這至少說明企業內控標準委員會成員之間的認識還沒有統壹。在實際工作中，還有壹個實際問題，就是《企業內部控制基本規範》和《中央企業風險管理指引》如何統壹協調。這是壹個很難協調的現實問題。

關於內部控制和風險管理的整合，史愛忠審計長在2006年中國內部審計學會和中天恒管理咨詢公司舉辦的內部控制和風險管理創新論壇上指出:“內部控制和風險管理是逐步整合的，在很多工作中，包括制度設計，這兩件事必須是整合的，而不是割裂的。”中國內部審計學會會長王道成在2007年4月6日438+09由中國內部審計學會和中天恒管理咨詢公司舉辦的“整合之路——內部控制與風險管理2007春季高峰論壇”上指出，內部控制與風險管理的整合是必然趨勢，這不僅是內部控制體系的壹大進步，也為我國內部審計的發展指明了方向。因此，為了適應這樣的發展趨勢，中國目前的內部控制和風險管理正在整合的過程中。內部審計的模式也應逐步轉變為以治理為目標、以風險為導向、以控制為中心、以增值為目的的現代管理審計，使內部審計工作更加符合成本效益原則，更好地滿足企業治理和管理的需要，更好地體現內部審計的重要價值，實現內部審計價值的最大化。中國內部審計學會風險管理審計準則規定:“風險管理是組織內部控制的基本組成部分，內部審計人員對風險管理的審查和評價是內部控制審計的基本內容之壹。”很明顯，風險管理是組織內部控制的基本組成部分，內部審計師對風險管理的審查和評價是內部控制審計的基本內容之壹。這顯然是傳統觀點認為風險管理是內部控制的內容。3C對全面風險管理基本框架的理解風險管理和內部控制的整合其實很簡單。企業在實現目標的漫漫征途中會遇到各種各樣的風險；所以要采取措施控制風險。正是因為有風險，才需要控制。如果沒有風險，控制就是多余的，這是添亂，當然也是浪費資源。風險和控制之間的關系很簡單，風險減去控制等於剩余風險。當然，這個剩余風險必須在企業可接受的範圍內。

事實上，內部控制和風險管理在世界範圍內已經逐漸融合，作為同壹事件進行審判。1992中，特雷德韋委員會響應組織委員會發布了《內部控制-整合框架》，2004年，委員會發布了《企業風險管理-整合框架》，在附件C中明確指出，內部控制包含在企業風險管理中，是企業風險管理不可分割的壹部分。

國資委發布的《中央企業全面風險管理指引》要求企業在開展全面風險管理的同時，與其他管理工作緊密結合，將風險管理的要求融入企業管理和業務流程。

我國壹些企業正在積極探索內部控制與風險管理的整合。如中國網通集團公司“基於全面風險管理的內部控制體系建設與實施”獲全國企業管理現代化創新成果壹等獎。SASAC高度評價的《中國神華股份有限公司內部控制手冊》實際上是基於全面風險管理的，是內部控制與風險管理相結合的結晶。中天恒管理咨詢公司為國內某央企設計的全面風險管理手冊，是與公司現有的管理制度和管理手段相銜接的。事實上，它不僅是內部控制和風險管理的整合，也是整個管理的整合。

如果把內控和風險管理整合起來，企業至少沒有必要同時設立風險管理部門和內控部門，壹個風控部門就夠了。風險管理與內部控制的整合就是要打破風險與控制層面的平衡。不要把現代企業的風險管控當成純粹的商業活動。它是壹項包括企業咨詢專家、企業決策者、中層管理者和企業員工在內的綜合管理系統工程，需要各方力量的協調與配合。

當然，強調風險管理與內部控制的融合，並不意味著風險管理要取代內部控制。其實兩者是並存的。企業肯定需要建立內部控制來應對阻礙企業進步的風險。否則，控制所包含的風險將可能發生。

整合是壹種相互尊重，可以讓兩家公司形成壹個體系。整合是壹種力量的凝聚，可以達到1+1 > 2的效果。融合是思維的創新，可以創造壹個和諧共贏的世界。內部控制和風險管理應該整合，因為存在風險。它們是同壹事件的兩個方面，風險管理和內部控制在實踐中基本相同。所以，同壹個央企為了應付檢查，不能對同壹事件使用兩個標準，不能既編風險管理報告又編內控報告。的確，加強企業內部控制，提高風險管理水平是必要的，但畢竟要考慮成本，不能為了控制而控制，為了管理而管理。如果把內控規範和風險管理規範統壹起來，企業的內控和風險管理合二為壹，必然會減少各個監管部門和企業不必要的重復工作，也會減輕企業的負擔，控制的效果可能會更好。

當然，內控和風險管理的整合比較簡單，不要把簡單的問題復雜化，更不要互相“湊合”。但在實際操作中，由於涉及不同的政府部門，協調難度較大。妥協的結果就是各奔東西。倒黴的是企業，努力的是政府部門，無奈的是審計人員。

當然，對於企業而言，處於開放經濟體系中的我國企業，面臨著外部環境、文化理念、管理理念、各種競爭等環境因素，企業內部控制體系也需要考慮諸多因素和風險。在國家基本規範的基礎上，企業可以根據自身條件構建自己的內部控制體系。