On June 28th, 2008, China released its first fundamental internal controls regulations and held the first internal controls summit. 中華人民共和國於2008年6月28日,由財政部、證券監督管理委員會、審計署、銀行業監督管理委員會以及保險監督管理委員會召開企業內部控制基本規範發布會及第一屆的企業內部控制高層論壇,在會議中發布了「企業內部控制基本規範」,此規範的根據法源是中國的公司法、證券法以及會計法。 「企業內部控制基本規範」的內容與COSO所提出的內部控制研究報告有相當高的一致性,普遍認為此依規範的發布有助於中國與國際接軌,一方面可以為中國的企業築起一道防範企業弊案的防火牆,更有助於中國的企業走出中國,擠身國際企業之林,是中國企業內部控制制度規範的一個重大突破。 「企業內部控制基本規範」預計於2009年7月1日起於中國的上市企業範圍內施行,並且也鼓勵非上市企業的中大型企業執行本規範的規定1。在這個基本規範當中除了提出與COSO報告雷同的內部控制定義、三大目標2與五大要素3之外,比較特殊的地方是這個規範還提出了內部控制的幾個大原則,本書將在接下來的部份簡單介紹一下這些原則。更重要的部份是,我們要把「企業內部控制基本規範」拿來與美國的沙賓法案做個比較,看看中國與美國在內部控制規範的部份是否有相同的規定。 一、「企業內部控制基本規範」第四條提出的內部控制五大原則 (一)全面性原則 全面性原則所要表達的是,內部控制應該貫穿企業內部的所有流程,包括決策、執行監督等各種大小作業程序,而且還必須要涵蓋企業以及其所屬單位的所有業務及事項。 (二)重要性原則 全面性原則告訴我們內部控制必須全面存在於企業內的各種層級、單位、及事物,而重要性原則是在全面建立內部控制制度的基礎之上,去著重關注企業內重要的業務或是容易出差錯的高風險地帶。比如說財務報告的製作流程可能就是一個我們需要徹以執行內控的領域。 (三)制衡性原則 我們在設計企業內部的控制制度的時候,很重要的一個觀念就是要在各個內部單位的治理結構、機構設置、權責分配及作業流程等方面設計出相互制約、牽制的機制,同時並顧及到營運的效率,這就是制衡性原則。 (四)適應性原則 每一個企業的內部控制制度都不該是完全相同的,因為它們必須視每個企業不同的經營規模、風險高低、競爭狀況、業務範圍等來設計出合適的機制,當然也必須隨時因應各種外在、內在條件的改變來調整,適應性原則就是表達了內部控制的此種特徵。 (五)成本效益原則 成本效益原則是告訴我們,不管採取何種內部控制制度,我們都必須審慎評估實施的成本以及實施後能夠獲的效益。俗話說「殺雞焉用牛刀」,是否每一家企業都必須建立龐大的內部稽核單位或是引進動輒數百萬的企業資源管理系統?內部控制的建立必須要能夠用合理的成本支出來達到相當的內控效果,才是一個好的內部控制制度,如果說一個企業的內部控制制度反而會拖累本來的業務成效,那真的就是本末倒置了。 二、內部控制制度自我評估報告 根據「企業內部控制基本規範」第46條規定,企業應該要結合其企業內部監督的情況,定期對於其內部控制制度的有效性進行評估,並且出具報告。此要求與美國沙賓法案第404條有異曲同工之妙,皆要求企業應該要提出內部控制制度的評估報告,促使企業建立適當的內部控制制度。 三、內部控制制度建立及實施過程資料之保存 文件的管理對於企業來說是很重要的,這一點在「企業內部基本規範」中再度獲得證實了,在本規範的第47條規定到,企業應當以書面或其他適當的形式來妥善保存企業建立與實施內部控制過程當中的相關記錄或資料,確保內部控制建立與實施的可驗證性。我們可以這樣理解,建立與實施內部控制過程中的資料都要妥善保存,而且內部控制涵蓋的範圍又廣泛包含整個企業,換句話說,就是整個企業內的文件都必須要有妥善的管理制度才行。 中國大陸在文件方面是課予企業妥善保管的責任,而前述美國沙賓法案第802條則是對於竄改文件紀錄的人給予嚴厲懲罰,兩條規定雖然內容規定有一些出入,但是不難看出兩者對於企業內的文件的重視程度。 四、舉報人投訴及舉報人保護制度 所謂的舉報人投訴及保護,其實就是我們所說的檢舉人投訴及保護(美國稱之為吹哨者,前已提及),企業運作如果發生舞弊或是錯誤,通常最先發現或得知的人一定是企業內部的人,也就是企業的員工,若能及早發現錯誤就可以即時防止弊案。另外,內部人提供的線索、企業內的文件也都是非常珍貴的事後調查資料。