我国企业内部控制体系的评价和改进
他山之石,可以攻玉。美国早在2002年发布的SOX法案中就已经将内部控制提升到法律规范的高度。法案的404条款明确规定,上市公司的管理层必须在年度报告中提交财务报告内部控制的评价报告,对财务报告内部控制有效性进行评价和改进;与此同时上市公司的独立审计师需要对管理层的评价进行鉴证,并对财务报告内部控制有效性发表审计意见。该条款也被看作是SOX法案中执行成本最高的条款之一。从美国的实践我们可以总结出一些有价值的经验,并对我国企业内部控制体系的评价和改进起到借鉴作用。
第一节 美国财务报告内部控制的借鉴与启示
尽管404条款的执行所带来的高昂成本受到美国市场参与者的广泛批评,但上市公司因执行财务报告内部控制的好处也是显而易见的,例如管理层对内部控制的责任更加明确;提高了公司治理水平;增加了对经营和操作风险的了解,提高了企业的风险管理水平并使企业的价值得到提升;增加了信息披露的透明性和及时性,从而提高了投资者的信心;改进企业流程;降低了资本成本等等。这一系列的好处的达成,需要监管者、上市公司、外部审计师等参与各方共同的努力。
一、推出前,COSO理论已经深入人心
按照美国证监会2003年6月发布的最终规则,美国上市公司中的加速编报公司执行404条款的时间为2004年11月15日,也就是说美国上市公司中那些规模较大的公司仅有1年左右的时间来满足相关的法律监管要求。但由于美国著名的反虚假财务报告委员会下属的发起组织委员会(COSO)早在1992年就推出了《内部控制——整体框架》的研究报告,帮助企业建立健全内部控制框架以实现企业目标,因此很多规模较大的上市公司并没有感到手足无措,原因在于相关的监管准则中将COSO理论框架作为基准加以采用,而这个基准已经得到理论和实务的广泛认同。也就是说在财务报告内部控制的法律要求提出之前,很多公司已经按照COSO理论框架对实践进行了指导,即使部分上市公司没有采纳这个框架,也可以通过适当的培训迅速熟悉、掌握内部控制的基本要求,将“理论指导实践”的思想发挥到极致。
二、推出时,各项制度配套实施
2002年的SOX法案中仅仅对财务报告内部控制要求提出了原则性的规定,也就是说上市公司年报中需要管理层提交一份财务报告内部控制的评价报告,外部审计师对管理层提交的报告进行鉴证。但要将此项要求落到实处,显然需要很多的配套措施,例如SEC于2003年6月推出了最终规则,对上市公司的管理层财务报告内部控制要求作出了明细的规定,包括相关的术语定义、执行的基本要求、相关的成本费用估计等等;公众公司会计监管委员会(PCAOB)于2004年3月通过第2号审计准则,为审计师对财务报告内部控制发表鉴证意见提供指南和帮助。在配套措施推出的过程中,监管部门还通过召开圆桌会议、听证会、公开征求意见等方式广泛吸纳市场参与各方的意见和建议,使得相关措施在内容、可执行性等方面尽量完善,尽量减少执行过程中可能面临的障碍。
三、推出后,及时总结反馈
监管部门在推出相关的法律要求和配套措施后并非一劳永逸,而是继续关注并及时总结反馈,对监管要求作出适当的调整,例如在执行的第一年,SEC发现一些公司无法满足既定的执行日期要求,因此在2004年11月30日规定规模较小的加速编报公司(通常是市值在7亿美元以下的公司)推迟45天执行法案的要求;此后又根据上市公司规模的大小以及执行的难度多次推迟非加速编报公司、外国私募公司的执行时间要求,如2005年3月2日将非加速编报公司和外国私募公司的执行日从2005年7月15日推迟1年至2006年7月15日,2005年9月22日将执行日期再次推迟1年至2007年7月15日;2006年8月9日进一步推迟国内和外国非加速编报公司内部控制报告要求的执行日期,即从原来的2007年7月15日推迟至2007年12月15日。根据第33-8760号公告,一家非加速编报公司在2007年12月15日之前的财政年度不需要提供财务报告内部控制管理层报告,如果证监会没有发布额外的指南来帮助管理层就如何及时完成其财务报告内部控制评价,将考虑是否需要进一步推迟执行日期。而在2008年12月15日之前非加速编报公司不需要提供审计师对财务报告内部控制的鉴证报告。在考虑了对AS2的修订中包含在非加速编报公司第一年执行404(a)款要求的年报中的管理层报告仅仅是“装饰性”的而非真正的“填报”。外国私募发行方填报的格式20-F或40-F中是加速编报公司(而非规模较大的加速编报公司)的管理层报告同样考虑装饰性的而非填报,仅要求此类发行方提供管理层报告。那些在第一年根据SEC规则执行的仅提供管理层报告的公司,必须在年报中表明报告没有包括审计师的鉴证报告,公司聘请的注册会计师事务所没有对管理层的公司财务报告内部控制报告进行鉴证。证监会同时对原有的规则进行了修订,为新上市的公众公司提供了一个过渡期,即在这些公司除非被要求在以前财政年度已经填报了年报,或者已经向证监会提交了以前财政年度的财务报告,否则不会正式受到证监会财务报告内部控制要求的约束。新上市的公司同样需要在第一份年报中包含一份声明,即年报没有包含管理层对公司财务报告内部控制的评价,也没有得到审计师的鉴证。
除此之外,SEC和PCAOB还多次组织圆桌会议,要求公司、审计师、董事会成员、投资者以及其他人员对执行404条款中遇到的问题进行反馈,并根据反馈意见的要求增加额外的执行指南,同时对已经发布的第2号审计准则进行修订。对小规模公司而言,证监会成立了小公众公司咨询委员会,对小规模公司执行404条款要求可能产生的潜在影响进行研究,美国的政府责任办公室也发布了一份报告,要求证监会考虑在小公众公司执行SOX法案中面临的一些问题和采取的关键原则。2007年5月24日,PCAOB通过了第5号审计准则,将财务报告内部控制审计与财务报表审计很好地融合起来,以提高工作效率并减轻上市公司的负担。同时证监会还批准了解释指南,帮助公众公司管理层执行财务报告内部控制的评估工作以提高工作效率和执行水平,新的指南旨在将公司管理层的精力集中在那些最好保护财务报表的重大风险的内部控制之上,同时规定新上市的公司可暂不执行404条款的要求,使得新上市公司能够更集中于首次公开发行的工作上。
应该说美国在财务报告内部控制的执行要求方面,无论是推出前的理论基础、还是执行中的配套措施以及执行后的及时反馈,都作了大量的工作,尤其是针对市场的反馈作了很多总结、改良工作,为我国推行内部控制规范提供了良好的借鉴。下表列示了美国监管部门针对404条款采取的一系列措施。
表1 404条款相关的监管反馈及变更情况
日期 原因 规则/公告 加速编报公司 非加速编报公司 外国私募公司
2003.6.5 最终规则
33-8238 2004年6月15日 2005.4.15
2004.2.24 PCAOB2004年6月发布了AS2,推迟是为了让公司审计师有时间来执行AS2 33-8392 2004.11.15 2005.7.15
2004.3.9 Auditing Standard No.2: An Audit of Internal Control Over Financial Reporting Performed in Conjunction With an Audit of Financial Statements.
2004.11.30 SEC发现一些公司无法满足执行日期的要求,因此规定在满足特定条件的情况下,规模较小的加速编报公司(通常是市值在7亿美元以下的公司)推迟45天执行。
2005.3.2 让COSO委员会就内部控制框架如何运用于小公司提供更多的指导 33-8545 未改变 2006.7.15
2005.9.22 COSO已经开始建立小公司的指南来帮助小公司运用COSO框架,此外该推迟也受到证监会小公众公司咨询委员会的要求 33-8618 未改变 国内和外国非加速编报公司执行日期推迟至2007.7.15
2006.4.23 证监会小公众公司咨询委员会向证监会提交了最终报告,包含了设计解决内部控制报告要求对小公众公司潜在影响的建议,要求在特定情况下应减少小公众公司对404条款的执行要求,直到已经建立了一个考虑了此类公司的特征和需求的评价财务报告内部控制的框架
2006.4 美国的政府责任办公室(GAO)发布了一份《萨班斯法案,在解决小公众公司执行问题中需要考虑的关键原则》的报告,要求证监会考虑当前是否存在指南,尤其是对管理层评估的指南?这些指南是否是充分的,或需要一些额外的行动来帮助公司遵循财务报告内部控制要求。报告显示,管理层执行和评价努力很大程度上是AS2推动的,因为管理层没有一个类似详细程度的指南来帮助其执行内部控制要求和评价过程。此外报告还要求证监会与PCAOB合作,以使得404条款的相关审计准则和指南与其它适用于管理层财务报告内部控制评价的指南的一致性。
2006.5.10 证监会与PCAOB发起一个圆桌会议,要求公司、审计师、董事会成员、投资者和其他人员反馈加速编报公司在第2年执行财务报告内部控制要求的情况。很多反馈意见提出需要增加额外的管理层指南是游泳的,尤其对小公众公司而言,并表达了对PCAOBAS2审计准则修订的支持。
2006年5月17日,证监会和PCAOB各自宣布了将要采纳的一系列的行动,来改善404条款的执行情况,具体包括:发布概念公告,要求大家对未来证监会发布的帮助管理层来进行一个从上到小的、风险基础的评估指南应该包含的事项进行评论;考虑来自COSO的额外指南;对AS2进行修订;通过PCAOB的调查和委员会对PCAOB的会计师事务所调查项目的监控来强化审计师的效率;建立或帮助建立一个审计师对小公众公司的执行指南;继续开展PCAOB的小企业环境下审计的论坛;进一步延迟非加速编报公司的内控报告要求执行日期。
2006.8.9
33-8760 进一步推迟国内和外国非加速编报公司的内控报告要求执行日期,填报年报的公司中大约44%的国内公司是非加速编报公司,估计外国私募公司中受到证券交易法约束的,大约有38%是非加速编报公司,建议推迟5个月至2007年12月15日;同时对那些满足证券交易法规定的外国加速编报公司(非大规模加速编报公司)在第一次提交管理层报告后1年执行审计师鉴证的要求。
2007.5.24 PCAOB, Auditing Standard No.5: An Audit of Internal Control Over Financial Reporting That is Integrated With an Audit of Financial Statements.
2007.5.23 美国证监会批准了解释指南,帮助公众公司管理层执行财务报告内部控制的评估工作,以提高SOX法案404条款的执行水平。新的指南旨在将公司管理层集中在那些最好保护财务报表的重大风险的内部控制上,减少管理层程序的不确定性。
新的提案 非加速编报公司(国内和外国)执行404(a)的日期为2007年12月15日或以后结束的财政年度,执行404(b)的日期则推迟到2008年12月15日及以后。
外国加速编报公司,404(a)的执行日为2006年7月15日;404(b)的执行日为2007年7月15日
外国规模较大的加速编报公司,404(a)、(b)的执行日为2006年7月15日;
第二节 我国企业内部控制体系的评价和改进
企业内部控制是否科学、合理、有效,将直接决定内部控制的生命力。在实务中既有外部审计师的独立鉴证,又有内部审计的持续监督和评价,而管理层的自我评价报告也将在一定程度上揭示企业现有内部控制存在的缺陷及完善计划,这些制度安排在一定程度上为内部控制的建立健全和持续改进奠定了基础。自2006年起,我国证监会、证交所先后在年报工作的通知中将内部控制信息的披露作为一项重要的内容进行强调,并鼓励上市公司披露内控自我评价报告和事务所的核实评价意见,这也为我们了解内部控制的实务进展提供了素材。但从实际披露的情况看,无论是内部控制自我评估报告的格式和内容,还是事务所的核实评价意见,都存在着不尽如人意的地方。
一、我国企业内部控制体系的评价概况
(一)背景——我国监管部门对内部控制信息披露提出新要求
考虑到内部控制在实现企业经营的效率效果、财务报告的可靠性、法律法规的遵从性等方面发挥的积极作用,我国监管部门借鉴海外资本市场的先进经验,对上市公司的内控信息披露提出了新的要求。
1、证监会
中国证监会在“关于做好上市公司2007年年度报告及相关工作通知”中明确要求,上市公司2007年年报中全面披露公司内部控制建立健全情况,包括建立健全内部控制的工作计划及其实施情况、内部控制检查监督部门的设置和人员到位情况、董事会对内部控制有关工作的安排、相关的责任追究机制,并鼓励央企控股、金融类及其它有条件的上市公司在披露2007年年报的同时披露董事会对内部控制的自我评估报告和审计机构对自我评估报告的核实评价意见。(证监公司字[2007]235号)
2、上交所
上交所在“关于做好上市公司2007年年度报告工作的通知”中第11条要求,上市公司应当根据中国证监会和本所相关要求,结合公司内部控制制度的建设情况,在2007年年报全文的“重要事项”部分,说明公司内部控制制度建立健全的情况,并鼓励有条件的上市公司同时披露董事会对公司内部控制的自我评估报告和审计机构对自我评估报告的核实评价意见。
3、深交所
深交所在“关于做好上市公司2007年年度报告工作的通知”中第13条要求公司应当按照《上市公司内部控制指引》的要求,对公司内部控制的有效性进行审议评估,作出内部控制自我评价。自我评价结果可以在年报全文“公司治理结构”一节中披露,也可以单独形成自我评价报告与年报同时对外披露。公司监事会和独立董事应对公司内部控制自我评价发表意见,同时鼓励有条件的公司聘请审计机构就公司财务报告内部控制情况出具评价意见。公司内部控制自我评价应当包括但不限于以下内容:1、综述;2;重点控制活动;3问题及整改计划;4、对公司内部控制情况进行总体评价。
(二)现实——上市公司内控信息披露及审计核实评价诸多问题
1、基本情况
我们选取了截至2008年4月30日在巨潮资讯网(www.cninfo.com.cn)上公布年报的1328家上市公司作为样本,剔除报表无法阅读的公司(600203),实际可观测值为1327家公司,其中深市480家、沪市847家。
(1)披露内部控制建立健全或自我评价信息的上市公司概况
在1327个上市公司样本中,有1280家上市公司披露了内部控制信息,具体情况参见表2。
表2:上市公司2007年内部控制信息披露情况概览
披露 未披露 合计
家数 占比 家数 占比
深市 453 94% 27 6% 480
沪市 827 98% 20 2% 847
合计 1280 96% 47 4 1327
从表中可以看出,两市合计96%的上市公司都在年报中(或单独)披露了内部控制方面的信息(其中深市、沪市分别有30家和4家公司单独或声称单独披露内部控制自我评价报告) 。
尽管深、沪两市分别有27家和20家上市公司未在年报中单设一节讨论内部控制建立健全情况,但部分公司仍通过其他方式提及了内部控制,如SST华塑(000509)在监事会意见中认为,公司的内部控制应进一步加强;而襄阳轴承(000678)同样在监事会报告中说明,公司逐步建立和完善了内部控制制度;新都酒店(000033)主要是结合公司治理结构的自查及证监局的整改建议讨论内部控制,认为公司内部控制需要完善,类似的还有中科三环(000970)、安泰科技(000969)、S*ST中辽(000638);中联重科(000157)虽未详细披露,但有关内控的信息则提请投资者详见第三届董事会第八次会议资料之议案十三。也有部分公司按照香港的管治报告披露相关信息,因此未对内部控制建立健全单独说明,如宁沪高速(600377)、皖通高速(600012)、南京熊猫(600775)、中国铝业(601600)等。
值得说明的是,有个别公司由于持续经营等问题也影响到了内部控制信息的披露,如S*ST鑫安(000719)指出,因公司生产经营活动全部停止,原制定的各项内部控制制度失去了执行和评价的基础;S*ST盛润(000030)披露,因公司失去主营业务,生产处于停滞,内部控制失去了执行评价的基础,报告期内按照实际情况不断修改制度,并结合上市公司治理专项活动检查公司内部控制的实施情况。类似的还有SST湖科(600892)等。
(2)独立董事、监事会意见
中国证监会2001年颁布(2004年修订)的《公开发行证券公司信息披露内容与格式准则第2号——年度报告的内容与格式》中明确规定:公司的监事会在监事会对公司依法运作情况发表独立意见时,应包含公司是否建立完善的内部控制等内容。而深交所在“关于做好上市公司2007年年度报告工作的通知”中要求,公司监事会和独立董事应对公司内部控制自我评价发表意见。基于此我们对深交所披露内控信息的上市公司进行了分析,结果发现深市披露内部控制建立健全/自我评估报告的453家上市公司中,有76家未在年报中披露独立董事和监事会对内部控制的意见,还有部分上市公司仅披露独立董事意见而无监事会意见,如深振业A(000006)、金融街(000402)、S*ST东泰(000506)、深圳能源(000027)、深国商(000056)等。也就是说在深交所上市的上市公司中有大约20%的主体未严格遵守年报通知的要求。
有趣的是尽管上交所并未在年报通知中要求公司的监事会和独立董事对内部控制建立健全情况单独发表意见,沪市中仍有一些公司在公司治理结构一节中披露了独立董事、监事会对公司内部控制的意见,如香江控股(600162)、标准股份(600302)、亿利科技(600277)、海通证券(600837)等。这表明在内控信息披露实务中,因两家交易所的规定不同而在监事会、独立董事意见方面存在系统性差异。
(3)内部控制审计核实评价概况
我们对披露内控审核意见的上市公司按证监会的行业分类进行了整理,结果发现在175家披露内控审核意见的上市公司中,制造业的披露家数最多,达91家;而传播和文化产业的披露家数最少,为0家。具体情况参见表3。
值得说明的是,从披露内控审核意见的上市公司占所处行业上市公司总数的比例看,金融保险业的上市公司表现最好,有35.71%的公司在公布2007年年报的同时披露了注册会计师对管理层内控评价报告的审计意见。我们认为这与金融保险业的监管推动密不可分,早在1997年中国人民银行就发布了《加强金融机构内部控制的指导原则》,1999年保监会发布了《保险公司内部控制制度建设指导原则》;此后证监会2001年发布的《证券公司内部控制指引》、关于做好证券公司内部控制评审工作的通知,2002年中国人民银行发布的《商业银行内部控制指引》(银监会2007年进行了修订),上述规范使得金融保险业上市公司有法可依,并经过多年的实践已经驾轻就熟。
表3:2007年年报中披露内部控制核实评价的上市公司情况一览
行业 披露家数 占所处行业上市公司家数的比例
制造业 91 9.13%
批发和零售贸易 12 12.63%
房地产业 11 14.47%
交通运输、仓储业 10 13.70%
金融保险业 10 35.71%
信息技术 9 8.57%
农林牧渔 7 17.07%
电力、煤气及水的生产和供应业 7 10.60%
采掘业 5 13.51%
建筑业 5 13.89%
综合类 5 6.67%
社会服务业 3 5.66%
传播和文化产业 0 0
合 计 175 ——
2、我国上市公司内部控制存在的问题
(1)披露名称不统一
在已经披露内部控制信息的上市公司中,常见的披露名称是“内部控制建立健全情况”、“内部控制自我评估报告”,但由于两者均由管理层或董事会提供,因此经常出现内部控制建立健全情况下包含内部控制自我评估结论,或内部控制自我评估报告中包含内控建立健全情况或相关工作的内容。此外也有部分公司采用了“内部控制情况”(*ST丹化,000498)、“内控自查情况”(创智科技,000787)、“报告期内公司建立健全了内控”(汇通集团,000415)、“内部控制有效性的自我评价”(深圳能源,000027)、“内部控制的完整性、合理性及有效性”(民生银行,600016)、“内控完整性、合理性与有效性的说明”(浦发银行,600000)、“加强内控和风险管理建设,建立信息披露管理体系”(中煤能源,601898)等。
(2)披露位置不一致
上交所在通知中要求上市公司在“重要事项”中披露内部控制建立健全的情况;深交所要求上市公司在“公司治理结构”中披露内部控制的信息,或者单独披露。从实际执行情况看,有34家上市公司选择了单独披露内部控制自我评估报告的形式,与年报一起发布在巨潮网上;绝大部分选择在年报中披露内部控制相关信息,但披露的位置却并未严格遵守交易所的通知规定。如皖通高速(600012)在香港管治报告中的“监控机制”一节中对内部控制进行概述;中国太保(601601)在内部控制建立健全和风险管理状况中说明内部控制的相关信息;中国平安(601318)和S上石化(600688)在年报附件中单设一节披露内部控制自我评估报告和事务所的审核意见等等。此外,在管理层讨论分析下讨论内部审计与公司治理(招商银行,600036)、在内部控制自我评估报告中直接披露事务所的意见(S*ST美雅,000529)、在内部控制的监督中披露事务所的意见(S天一科,000908)也与一般的信息披露有所不同。
(3)披露内容不规范
由于上海证交所、深圳证交所颁布的《上市公司内部控制指引》本身存在差异,因此两市的上市公司在年报中所披露的内部控制建立健全情况、内部控制自我评估报告具有系统性的差异,例如深交所的上市公司在披露内部控制自我评估报告时,大都从概述、重点控制活动、存在问题及整改计划、总体评价四个方面展开;而上交所的上市公司在自我评估报告中则涵盖公司基本情况、内部控制的目标和原则、主要内容、内控制度的实施情况以及自我评估等内容,更多的公司从法人治理制度、生产经营制度、财务管理制度、信息披露制度展开。
相比较而言,深交所因在“关于做好上市公司2007年年度报告工作的通知”对披露的格式和内容做出了明确的规定,所以绝大多数公司的披露框架具有统一性。尽管如此,仍有部分公司未严格遵守通知的要求,四部分内容仅披露了2~3个,如兰州黄河(000929)仅有综述和总体评价两部分内容;模塑科技(000700)、*ST大水(000673)缺“问题及整改计划”的内容;鞍钢股份(000898)、浪潮信息(000977)缺“问题及整改计划”、“总体评价”两部分内容等。也有公司没有按照四部分内容展开自我评价,而仅以综述的方式来说明内部控制的建立健全情况,如威孚高科(000581)、雷伊B(200168)、朝华集团(000688)、汇源通信(000586)等。
上交所因未严格规范上市公司2007年内部控制信息披露的内容和格式,所以实务中有关内控信息披露的内容更是五花八门,除了大部分的公司以寥寥数语概述内部控制的建立健全外,那些相对详细披露内部控制信息的上市公司所披露的内容包括:基本的工作措施;主要的内部控制制度;各业务环节的控制措施;内部控制的建设、执行和监督等。在内部控制要素的阐述上有六要素[如中化国际(600500)从内部环境、目标设定、风险评估、控制活动、信息与沟通、监督等方面阐述内控信息];五要素(如国药股份(600511)在内控结构上采用了控制环境、风险评估、控制活动、信息与沟通和监控);三要素(如龙元建设(600491)在内控建立健全中阐述了内控系统、会计系统、控制程序);二要素(如上海电力(600021)列示了管理控制方法、会计系统组织形式和控制等内容);还有个别公司直接采用了深交所规定的披露格式,从综述、重点控制活动、问题及整改计划、总体评价四个方面对内部控制进行自我评价(如SST新智,600503)等。
(4)自我评价主体不明确
尽管深交所和上交所都在2006年各自颁布的《上市公司内部控制指引》中明确要求,董事会形成自我评估报告,也就是说内控信息的披露主体应为董事会。但在实施的过程中,自我评估的主体却出现了不同的表述方式。较普遍的陈述是在自我评价报告的“总体评价”中以“董事会认为”,开头,对公司内部控制的合理性、完整性和有效性作出结论,如S南建材(000906);但也有公司以“公司认为”作为自我评价的意见段开头(如东方卫星,600118),还有公司将内控自我评价报告的主体定为“公司管理层”(如新大洲A,000571)。
(5)审核意见差异大
由于本年度是否披露会计师事务所对内部控制自我评价报告的意见是上市公司自愿的行为,因此两市仅有176家上市公司披露了审计师对管理层自我评价报告的审核意见,但从披露的格式和内容上看,各上市公司有显著的差异。
①审核意见的名称不一致
很多会计师事务所采用“内部控制审核意见”来发表对内部控制自我评估报告的意见,但也有部分公司采用“鉴证报告”、“核实评价意见”、“专项报告”的名称。显然,采用不同的名称,直接影响到审核报告的措辞、审核依据、审核意见的表述方式等内容。
②审核依据不同
有依据中注协发布的《内部控制审核指导意见》来出具意见的;也有按照注册会计师其它鉴证业务准则第3101号《历史财务信息审计或审阅意外的鉴证业务》开展工作的;还有根据3101号准则结合内部控制审核指导意见来评价的;安泰集团(600408)的内控审核意见中所依据的准则居然是独立审计具体准则第九号——内部控制与审计风险。
③意见发表方式有差异
最常见的是以积极方式发表审核意见,如“我们认为,贵公司按照基本规范标准和交易所指引于2007年12月31日在所有重大方面保持了与财务报表相关的有效的内部控制”,但也有部分上市公司采用了消极方式出具审核意见,如S上石化(600688)的审核意见段采用“未发现自我评估报告中与财务报告编制相关的内控评价内容与我们审计贵公司上述财务报表的审计发现存在重大不一致”的表述方式;一汽四环(600742)使用“未发现报告中的自我评价在所有重大方面存在不一致的情况”来作为意见的结束语。
④发表意见的对象不统一
从已发布的注册会计师审核意见看,有针对公司内部控制的(如安泰集团,600408),有针对公司与财务报告相关的内部控制的(如锡业股份,000960),有针对自我评价报告的(华联股份,000882)。此外在所发表的内部控制审核意见是对2007年度的(西安饮食,000721),还是截至2007年12月31日(宗申动力,001696)这一时点的也存在差异。
二、我国企业内部控制体系的改进建议
1、强调内部环境的改善
从美国ICFR出台的背景看,是一系列的公司财务丑闻直接导致了SOX法案的出台。近来发生的高层面的会计丑闻以及CEO的犯罪显示,有效的ICFR最终依赖于CEO的诚信以及组织内部的诚信文化。这些是内部环境的主要构成部分,通常被表述为“高层基调”(tone at the top)。近来的一份有关内部控制发展和趋同的国际评论指出,高层基调的重要性以及组织文化和道德框架对内部控制系统的成功执行非常关键 。
因此好的内部控制不应该仅仅局限在防止下一个公司舞弊事件的发生,更为重要的是它能够将一个组织纳入到正常的轨道上运行,通过恰当地强调道德准则的重要性,给员工进行内部控制职责方面的培训,并创建一个良好的高层基调,为员工提供合适的角色。控制环境是内部控制和风险管理的基础,涉及到内部控制的各个方面,涵盖价值取向、诚信道德观、胜任能力、管理哲学和经营风格等,是良好内部控制的起点,因此应强化这方面的工作。
2、分步实施,区别对待
在美国实施404条款的过程中,SEC将上市公司分为加速编报公司和非加速编报公司,对两类公司提出了不同的实施时点要求,同时对外国私募公司、小规模企业也提出了分步实施的要求,甚至是IPO的公司在上市之年也豁免了ICFR的相关要求,从而走出了一条分步实施、分类监管的道路,在有效降低上市公司的实施成本、减少实施ICFR的不确定性等方面取得了宝贵的经验。
从我国2007年年报披露情况看,一些持续经营出现问题的公司在内部控制建立健全等信息的披露上出现了问题,原因在于公司处于变动之中,无论是业务活动还是管理层、治理层的构成都会发生很大的改变,原有的内部控制失去了评价的依据和意义,因此对此类公司可考虑豁免部分披露要求。此外,针对一些规模较小的公司,也可以借鉴国外的经验加以区别对待,而对那些发行可分离交易债券、进行股票融资等上市公司已经在融资过程中披露了内控自我评估报告和审核报告的,则可以根据时间的长短、内部控制重大变更的情况等考虑减轻披露要求。
3、尽快推出内部控制规范指导实务
从美国实施财务报告内部控制的经验看,美国的监管部门先后批准了管理层实施指南、注册会计师审计准则等规范,从而帮助上市公司更好地执行相关法案的要求,因此无论是上市公司的管理层编制财务报告内部控制说明书,还是独立审计师发表审计鉴证意见都有据可查。
我国上市公司早期在年报中披露的内部控制信息是零散的,自2006年以来才结合上市公司内部控制指引和中央企业全面风险管理指引的要求对内部控制的框架、内容、披露格式等逐步走向规范。但从2007年年报披露情况看,上市公司对内部控制的理论框架、实际内容等方面仍然存在着巨大的差异,如内部控制的要素数量、内部控制自我评估报告的覆盖范围等。这就要求监管部门应进一步加强合作、沟通,在理论研究和实务应用方面找到一个基本的框架来帮助上市公司执行内部控制的建立健全工作。财政部早在2006年就成立了内部控制标准委员会,并于2007年3月发布了一个基本规范、十七个具体规范的征求意见稿。我们相信随着这些规范的逐步推出,上市公司的内部控制工作将得到更好的规范和实质性的提升。
4、尽快颁布实施内部控制鉴证业务准则
从2007年上市公司披露的内部控制审核意见看,注册会计师在执业中面临着很大的差异和困惑。近年来我国的内部控制理论和实务已经取得了很大的进展,2002年中注协的内部控制审核指导意见已经落后于实践的发展,而2006年颁布实施的新审计准则中也没有针对内部控制出台具体的鉴证准则,这就导致注册会计师在执行内部控制审核业务中缺乏有效的依据,甚至对“针对内部控制所发表的意见”这项年报审计业务究竟是审核业务还是鉴证业务都出现了不同的看法。从美国看,注册会计师针对公众公司财务报告内部控制所发表的意见属于鉴证业务,而公众公司会计监管委员会已经先后颁布了第二号、第五号审计准则来规范此项业务,这也给我们提供了很好的经验。因此监管部门应尽快颁布内部控制相关的执业准则,帮助注册会计师应对实务中面临的问题和挑战。
5、保持内部控制的简单化
简单的往往也是最有效的。道德经中所述的“道生一、一生二、二生三、三生万物”具有很强的现实意义。现在很多企业都在忙着“万物”,数以万计的流程图、控制程序让管理层疲于奔命却收效甚微,很大原因在于那些细枝末节的东西往往与财务报告重大错报风险并不相关,美国上市公司每年超过1/8的财务报表重述事件,让监管层开始注意到简化会计准则要求的重要性;而内部控制建立健全更是一件与职业判断紧密相连的工作,保持简单、掌握基本的“道”才是根本所在。因此企业在实施内部控制的过程中,应从基本的控制做起,万丈高楼平地起,通过内控的文档化建立健全,公司守则、存货记录、股票期权计划、薪酬一揽子计划、利润分配计划等等逐步完善,建立信息披露委员会、特殊项目委员会、内控项目小组;组成管理委员会,决定内部审计师的角色和功能;与外部审计师进行咨询;与高层管理者、披露委员会、审计委员会以及董事会进行讨论;决定信息技术在内控中的地位和角色;对项目组进行培训,制定工作计划和项目预算,选择适当的内控框架和评价技术等等。
具体的内控流程则可以参照企业风险管理框架的内容加以实施,例如首先建立目标和识别风险,包括企业的目标、具体业务目标等,风险则关注经营、财务等多方面;其次确定项目的范围,包括识别重要的区域、重要的账户以及关键的业务流程;再次建立恰当的控制活动,主要是针对所识别出的业务流程、账户、财务报表认定、目标、风险等采取的措施,包括会计政策、非常规交易和事项、信息技术、舞弊等带来的风险和应对措施等;最后对内部控制进行测试和评价,包括持续的改进和及时的弥补。
6、强调财务报告重大错报风险
我国2006年颁发的新审计准则体系,全面引入了风险导向审计的思想,即将财务报告重大错报风险的评估作为审计资源分配的重要依据。作为内部控制的主要目标,合理保证财务报告的真实、可靠自然而然将重大错报风险作为关注的重点。美国的ICFR实施过程中同样强调风险评估的重要性,例如SEC的指南和PCAOB的审计准则中都要求,为避免财务报告重大错报风险,会计人员应对GAAP有一个充分的了解,熟悉潜在的业务交易和处理活动,包括要求用来生成、授权、记录和处理交易的计算机技术的角色。管理层在评估错报风险时,应考虑企业进行舞弊行为的可能性,以及此类风险敞口是否会导致财务报表的重大错报。对评价舞弊风险 所要求的控制活动与公司的规模、复杂性以及财务报告环境等密切相关。
在评价财务报告重大错报风险时,管理层考虑的要素包括交易、账户余额以及其他支撑信息,而存在重大错报程度较高的区域包括:在决定所记录金额时涉及判断的;有舞弊嫌疑的;有复杂会计要求的;潜在交易的性质和数量与以前相比发生变化的;对环境因素变化敏感的,如技术的、经济发展等因素。
涉及到关联方交易、关键会计政策、以及相关的关键会计估计的财务报告要素,通常应评估为较高错报风险。当与这些财务报告要素相关的控制归因于管理层凌驾的风险,涉及到重要的判断或是复杂的,通常被评价为较高的ICFR风险。此外,如果某项控制的运行要求很多的重要判断,则比那些要求较少判断的非复杂控制风险高。
7、关注公司层面的内部控制
无论是SEC(2007)提出的管理层解释指南,还是PCAOB(2004、2007)颁布的审计准则,都明确要求ICFR的测试和评价采用“从上到下”的方法,即首先关注公司层面的控制,然后转向重要的账户、交易程序,最后才是单个程序、交易或运用层次的控制。这种方法的好处是能够帮助审计师和管理层避免将过多的精力和时间放在了解那些对财务报表重大错报可能性不会产生影响的程序或控制上。
因此,在内部控制的设计、执行、测试和改进过程中,对公司层面的内部控制投入更多的时间和精力,是审计师和管理层执行ICFR的起点。具体而言,公司层面的内部控制主要包括:控制环境要素中的有关控制,如高层的基调、组织结构、胜任能力、人力资源政策和程序等;管理层风险评估程序;集中式的业务处理和控制,如服务环境的分享;监控其他控制的措施,包括内部审计部门的活动、审计委员会以及自我评估项目等;以及期末财务报告程序。由于公司层面的内部控制在所有COSO框架的五个要素中都发挥作用,通常会对业务流程、交易或运用层次的控制产生重大的影响,因此,管理层和审计师应首先关注公司层面的内部控制,在对其进行测试和评价的基础上,制定业务流程、交易和运用层次的控制测试战略。
8、维护持续的监控
良好的内部控制能够为公司的管理层和董事会顺利实现组织的目标提供合理保证。而这需要企业内部具有一个监控机制来对内部控制系统的质量进行评价,以确保其持续有效。监控的措施主要是由恰当的员工在恰当的时间对内部控制的设计和运行进行评价,并针对识别出的问题采取必要的措施,例如通过持续监控和单独评价使得管理层对内部控制的构成要素是否持续发挥作用得出结论;所识别的内部控制缺陷或弱点应及时向有关责任部门(包括管理层和治理层)进行沟通,并采取必要的更正或弥补措施。
COSO(2007)提出了三个影响监控效率效果的主要因素,分别是监控所处的控制环境;组织将有效的监控程序放在优先的位置并投入与潜在风险水平相适应的资源的能力;组织的沟通结构以及将监控结果(包括控制弱点)向恰当人员及时报告的能力。一个企业所需的监控范围依赖于组织的规模和复杂性、组织经营业务的性质、所执行监控活动的目的以及为满足组织目标所实施的潜在控制的相对重要性。因此企业在内部控制的设计和执行过程中,应维护持续的监控,合理保证内部控制有关要素按照设计的目标持续有效地发挥作用,一方面良好的监控能够为管理层和董事会提供有关信息,帮助他们了解内部控制系统是否持续按照所设计的目标有效运行,并根据监控所报告的结果采取必要的措施;另一方面,监控通过对那些负责控制的员工绩效的评价,让其时刻意识到自己所负责的控制活动是否有效是受到监控的,从而让执行良好的控制活动得以保持和不断提高。
