2001年1月,中国证监会颁布《证券公司内部控制指引》,把内部控制分为内部控制机制和内部控制制度两部分。内部控制机制是公司的内部组织机制及其相互之间的运行制约关系;内部控制制度是公司为防范金融风险、保护资产的安全与完整,促进各项经营活动的有效实施而制定的各种业务操作程序、管理方法与控制措施。指出内部控制制度的建设必须涵盖公司经营管理的各个环节;内部控制的核心是风险控制。
2002年9月,中国人民银行又颁布了《商业银行内部控制指引》,指出“商业银行内部控制应该贯彻全面、审慎、有效、独立的原则”。并与2004年12月发布了《商业银行内部控制评价试行办法》,提出商业银行的内部控制评价应从充分性、合规性、有效性和适宜性四个方面进行。
2006年1月,保监会颁布了《寿险公司内部控制评价办法(试行)》、《寿险公司内部控制评估表――法人机构》和《寿险公司内部控制评估表――分支机构》。并定义了内部控制缺陷:当某个控制的设计或运行使管理层或公司员工在正常执行分派给他们的职责过程中,不能及时预防或者发现错误,即认为出现了内部控制缺陷,可分为一般的内部控制缺陷、重大缺陷和实质性漏洞,其中实质性漏洞最为严重。
(三)外部审计对企业的内部控制有较大的推动力
从注册会计师审计的角度看,最早的内部控制定义和内容出现在1996年12月颁布的《独立审计具体准则第9号――内部控制与审计风险》。它要求从制度基础审计的角度进行对企业内部控制评价;内部控制的内容包括控制环境、会计系统和控制程序。《独立审计师实务公告第2号――管理建议书》,指出注册会计师对审计过程中发现的内部控制重大缺陷应当告知被审计单位管理当局;必要时,可出具管理建议书。在最新的《中国注册会计师审计准则第1211号――了解被审计单位及其环境评估重大错报风险》中,第45条、第46条、第47条中分别表述了:注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型,考虑导致重大错报风险的因素,以及设计和实施进一步审计程序的性质、时间和范围。内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。内部控制包括下列要素:控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督。这表明注册会计师协会基本沿用了COSO的内部控制框架。
由于国有企业、金融机构、上市公司的年度财务审计是法定审计,加上内部控制可靠性与财务报告的可靠性的直接关系,外部审计对企业内部控制的关注,使国有企业、金融机构、上市公司对企业内部控制的重视度比较高,因而也极大促进了企业内部控制的快速发展。
但是,我国企业内部控制也存在一些不足:缺乏系统的内部控制观念;企业内部控制环境比较差;企业内部控制力度不够;企业内部控制的动力机制和监督机制弱化;支持企业内部控制的信息系统严重不足。
二、国有企业内部控制发展要求
(一)对内部控制的定位和要求越来越高
内部控制的发展动力来自于社会经济环境的变化以及企业利益相关者的需求,而这种需求对内部控制的定位和要求呈现出一种越来越高的趋势。由最初的差错防弊、保护资产到遵循相关法律法规、财务报告的可靠性、经营效率和效益、战略目标的实现等;相关利益者希望通过内部控制不但能够解决低层的、简单的业务问题,而且能够解决高层的、复杂的战略问题;不但要能够实现对风险的控制,而且希望实现对效率、效果的控制;不但要能够实现对一般员工的控制,而且要实现对管理层的控制。
