我国企业内部控制规范建设正在经历着循序渐进、逐步完善的发展过程,这些规范建设主要是由政府、证券监督管理部门和行业监管机构等制定的有关法律、法规、指引。根据制定部门以及适用范围,可划分为以下四个层次:
第一层次是适用于所有企业的基础性规范。包括中国注册会计师协会1996年发布的《独立审计具体准则第9号——内部控制与审计风险》,财政部21年至24年先后发布的《内部会计控制规范——基本规范》,《内部会计控制规范——货币资金》、《内部会计控制规范——采购与货款》、《内部会计控制规范——销售与收款》、《内部会计控制规范——担保》、《内部会计控制规范——对外投资》、《内部会计控制规范——工程项目》等具体会计控制规范性文件。财政部的这些文件多是针对企业的内部会计控制,旨在指导企业构建一个由组织结构、职务分离、业务程序、处理规程等因素组成的会计控制系统,还不是真正意义上的由内部控制目标及要素构成的、涉及企业所有经营活动及行为的内部控制规范。
第二层次是上市公司监管机构中国证监会发布的有关规则。包括中国证监会21年和22年分别发布《证券公司内部控制指引》、《证券投资基金管理公司内部控制指导意见》,26年发布《首次公开发行股票并上市管理办法》。在《首次公开发行股票并上市管理办法》中规定:首次公开发行股票的发行人的内部控制在所有重大方面必须是有效的,并须由注册会计师出具无保留结论的内部控制鉴证报告。深圳证券交易所和上海证券交易所则紧随其后,迅速出台了《深圳证券交易所上市公司内部控制指引(征求意见稿)》和《上海证券交易所上市公司内部控制指引》。中国证监会和沪深交易所发布的上述指引,无论在内部控制概念的界定、控制目标的设定,还是内部控制要素的确定上,都全面反映了COSO的ICIF框架内容的精髓。
第三层次是各行业监管机构发布的内部控制规范方面的文件。如中国人民银行22年颁布的《商业银行内部控制指引》,较为完整地借鉴了COSO的内部控制框架,确立的内部控制五要素与COSO内部的五要素完全相同,即包括控制环境、风险识别与评估、控制活动与措施、信息沟通与反馈、监督与评价。《商业银行内部控制指引》的内部控制目标和基本原则等内容充分吸收了1998年巴赛尔银行监管委员会发布的《银行金融机构内部控制系统的框架》中的核心内容。
第四层次是国资委针对中央企业颁布的内部控制框架指引。26年,国资委颁布《中央企业全面风险管理指引》。该《指引》以《公司法》、《企业国有资产监督管理暂行条例》为依据,全面吸收了美国COSO于24年发布的《企业风险管理——整合框架》(ERM框架)和英国风险管理标准等国际最新企业风险控制研究成果和成熟经验。24年美国COSO发布的ERM框架是对1994年修订的内部控制框架体系(ICIF框架)的改进和拓展,标志着内部控制规范体系从内部控制向风险管理转型。国资委以ERM框架为参照制定发布的《中央企业全面风险管理指引》,丰富了我国内部控制规范体系的内容,标志着我国企业内部控制规范建设工作取得了突破性进展。
