解读《企业内部控制基本规范》

      2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称基本规范)。基本规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。毫无疑问，基本规范的发布对于大中型企业特别是上市公司的内部控制制度建设，提高其经营管理水平和风险防范能力都有着重要意义。但也应认识到我国内部控制在规范体系建设和企业具体实施方面都任重道远，基本规范的制定与执行也绝对不是一蹴而就的过程。本文就基本规范的法律地位、内容建设以及与具体规范之间的关系谈谈自己的看法。

      一、关于基本规范的法律地位

      我国内部控制的理论与实务均受到《萨班斯——奥克斯利法案》(SOX)和特雷威德委员会的发起组织委员会(COSO)所发布系列报告的深远影响，而后者被认为是内部控制理论的最权威成果。从基本规范中亦可以看到COSO相关报告的影响，其中所采用的内部控制五要素与COSO1992年发布的《内部控制——整体框架》大致相当。但是从《企业内部控制基本规范》在我国法律法规体系中的地位来看，其与COSO报告有很大差异。

      基本规范的第一章第一条：“根据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规，制定本规范”表明了基本规范的法律依据，但是与《会计法》明确规定了统一会计制度的地位(即《会计法》第八条“国家实行统一的会计制度。国家统一的会计制度由国务院财政部门根据本法制定并公布”)不同，《企业内部控制基本规范》的地位在《公司法》、《证券法》和《会计法》中并没有得到明确的规定，上述三部法律中关于企业内部控制的规定几乎是空白的(仅有《会计法》对建立健全内部控制提出了原则要求)。基本规范的强制性在于财会[2008]7号通知中指出“……财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。”

      在美国，与上市公司相关的内部控制法律规范体系是这样构成的：《萨班斯——奥克斯利法案》中的部分条款(如404条款等)与上市公司的内部控制相关，为了遵循该法案的内部控制报告要求，美国证券交易委员会(SEC)参考COSO的相关成果对内部控制进行定义并制定了相关的规则(如S-K规则中的307条款等)以规范上市公司关于内部控制的报告，同时上市公司会计监管委员会(PCAOB)也参考COSO的相关报告成果制定了相关的审计准则。2004年7月，SEC批准了PCAOB的第2号审计准则“协同财务报表审计来开展对财务报告的内部控制的审计”，该准则对于独立审计人员实施内部控制审计提供了权威性指南。

      

      图一 美国上市公司内部控制法律规范体系

      事实上，著名的COSO报告名义上并不是美国与上市公司相关的内部控制法律规范体系的构成部分，而仅仅是发起组织委员会(COSO)的关于内部控制的重要研究成果。但《内部控制——整体框架》也是权威部门和组织最常用的评估内部控制效果的标准，美国证券交易委员会(SEC)在制定相关规则以及PCAOB在制定第2号审计准则时都将COSO报告作为重要基础。COSO内部控制框架是SEC唯一推荐使用的内部控制框架，同时SOX404条款的“最终细则”也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。但COSO报告在SOX相关细则、SEC相关规则和PCAOB相关审计准则中的地位并非一开始就有的，起初COSO报告也并未得到广泛认同，1993年AICPA下属的公众监督委员会(POB)就建议SEC要求在证券交易所登记的公众公司的管理层在其年度财务报告(向股东发布的年度报告)中包含一份与财务报告有关的公司内部控制系统有效性的报告。其就是想将COSO的内部控制标准用于有效性的评价，但当时SEC并没有采用这个建议。美国审计总署(GAO)也曾对《内部控制——整体框架》的许多方面提出过批评，并指责这个框架有严重缺陷，其内部控制定义中缺乏保障资产的概念，还认为这个框架对内部控制重要性的强调不够，丧失了改善内部控制监督和评估的机会。

      由此看来，COSO报告名义上在美国上市公司内部控制法律规范体系中并不具备有什么法律地位，但是在美国上市公司管理层关于财务报告的内部控制报告中基本上都可以看到这样的语句：“……为了做出这种评估，我们使用了由特雷德威委员会的发起组织委员会(COSO)发布的《内部控制——整体框架》中所描述的作为财务报告的有效内部控制的标准。”同时，在SOX相关细则、SEC相关规则和PCAOB相关审计准则中COSO报告也基本作为唯一推荐使用的内部控制框架，这使得COSO报告在实质上具有很高的法律地位。

      反观我国的基本规范，虽然由财政部会同证监会、审计署、银监会、保监会共同颁布，并且在财会[2008]7号通知中也指出自2009年7月1日起在上市公司范围内施行，但是并没有法律规定其地位。由现行相关规范如：《中央企业财务内部控制评价工作指引(2007年度试行)》、《上海证券交易所上市公司内部控制指引》、《深圳证券交易所上市公司内部控制指引》、证监会发布的《证券公司内部控制指引》、银监会发布的《商业银行内部控制指引》和财政部原有的《内部会计控制规范——基本规范》等之间的关系便可看出。而正因为COSO报告并没有名义上的法律地位，这事实上保持了关于上市公司内部控制相关规范在法律上的严肃性和稳定性，而同时又因为COSO报告的不断改进和进一步细化而保持了上市公司内部控制具体实施的灵活性和不断进步，而我国基本规范的制定则没有保持这样的余地，这不仅与基本规范的法律地位有关系，也与基本规范的内容相关，具体将在下文进行分析。