一、自查情况
加强社会保险经办机构内部控制工作,是确保社会保险基金安全的本质要求,也是规范经办机构各种行为,实施自动防错、查错和纠错,实现自我约束、自我控制的重要手段。为切实做好这项工作,我局从社会保险工作制度化、规范化、科学化出发,形成了一套事事有复核、人人有监督,行之有效、科学规范的社保工作内控制度和业务流程,建立对社保基金事前、事中、事后全过程的监督机制。
1、合理设置岗位,明确责任分工,建立内部制衡机制
根据工作需要,按照不相容岗位不能一人兼任的原则,设置了财务、业务、稽核和待遇审批等部门。在各部门内部再进行岗位细分,财务部门要求会计与出纳分设,业务部门要求设立业务受理、复核、系统管理员等岗位,待遇审批部门要求设立受理、复核岗位,建立岗位责任制度,形成责任明确,相互制约的内部制衡机制。
突出加强对资金结算过程的监督。一是靠财务部门内部的监督,出纳经手的每一笔资金收付业务必须经另一财务人员复核,每天下班前,另一财务人员对出纳当天收缴的社会保险费存入开户银行的情况要再次进行复核;二是靠对账制度来约束,每天、每月、全年都要进行对账,业务部门每天开出的票据与财务部门实际收到的资金核对一致,不一致的查明原因及时解决,月份、年度终了,财务和业务部门分别由不同的人员核对月份和年度发生额,确保月发生额与当期日发生额累计数核对一致;三是靠内部稽核来监督,充分发挥稽核部门职能作用,采取定期检查和不定期抽查的方式,对社保基金的运行进行稽核,提出稽核意见和改进建议,促进内控制度的不断完善。形成了对社保基金全方位、全过程的监督。
2、工作程序化、规范化,建立组织严密、可操作性强的工作流程和业务规范
按照既高效、便捷又安全、严密的原则,建立涵盖社保基金从进口到出口,涉及财务、业务、待遇、稽核等各部门的。要求加大复核、审核、稽核作用,强化内部控制功能,最终达到一个人不能办理社保业务的要求。
参保单位到业务部门办理缴费基数调整、社保待遇调整等业务,受理人审核后,必须经复核人复核,并经稽核部门稽核后,方能办理;业务经办人每月都要对社会保险待遇本月发放情况与上月发放情况进行对比分析,并经复核人、业务负责人、财务负责人复核,稽核部门稽核,局领导审核后转财务部门办理支付。财务部门出纳收取社会保险费、拨付社保待遇必须经另一财务人员复核;财务专用章和个人名章由两人分开管理;安排专人从源头抓好社会保险费专用收款票据的管理;每月与开户银行和财政部门对账,财务负责人对对账情况进行复核。待遇审批部门应建立档案联合审查制度,审批社保待遇必须经四人审核小组共同审查档案,经稽核部门稽核后,报局领导召开办公会审批。
3、加强内部稽核,确保各项规范和流程得到贯彻落实
有了好的规范和流程是做好工作的基础,但把规范和流程贯彻落实好则是关键所在。根据社会保险政策法规,对照《内部社会保险业务规范和流程》,采取定期检查和不定期抽查的方法,对财务部门、业务部门、待遇审批部门执行社保政策和工作流程情况进行稽核。稽核完毕后,向单位领导汇报、分析稽核发现的问题,并提出改进意见,向被稽核部门反馈稽核情况,促进社会保险管理水平的不断提高。
4、建立工作流程运行分析制度
社会保险工作政策性强,制度不断发展完善,必须根据出现的新情况、新问题不断修订完善。我局从自身工作实际出发,在已有的业务规范、工作流程基础上,应建立工作流程运行分析制度,主要领导亲自抓。定期召开会议,财务、业务、稽核、信息网络技术人员等相关人员参加,工作人员结合工作分工,对当期工作流程运行情况进行分析,逐条梳理,对发现的不能适应当前工作的流程,及时进行修改,从而保证了工作流程的严密性和适用性。
5、加强队伍建设,提高社保基金管理能力
社会保险干部队伍是社保基金的直接管理者,其整体素质高低,直接影响着社保基金管理的质量。结合我局工作实际,将定期组织人员进行培训,进行适当的岗位交流,熟悉社保基金从入口到出口的业务流程,加深对社保政策的理解。平时要注重利用反面教材开展警示教育,通过分析经济案件犯罪心理、犯罪过程,加深对经济犯罪危害性的认识,保持警钟长鸣,使每一位工作人员都成为政治过硬、业务熟练、一专多能、廉洁勤政的工作能手。
二、存在问题
社保经办机构内部控制尚处于初级发展阶 段,对于社保经办机构,内部控制可以说是一个新的课题,部分人对内部控制的重要性认识程度不高。内部控制与长期形成的习惯和思维定势必然会有冲突,形成各种各样的矛盾和问题,内部控制建设需要解决好这些矛盾和问题。
1、控制执行人与控制对象之间的矛盾
控制执行人即社保经办机构的稽核部门及稽核人员,控制对象是社保经办机构业务经办人员(包括负有审批职责的人员)、参保单位等。这方面的矛盾表现在:当社保经办机构和经办人员以习惯思维处理业务分工和办理各项社会保险业务,处理和办理的方式、方法和结果不符合内部控制的要求时,由于稽核人员按工作职责进行纠正、要求整改而产生的对立和冲突。如缴费基数核定,大多数社保经办机构和经办人员仍然沿袭参保单位申报多少即核定多少。因此而产生错核、漏核,产生少报、瞒报,这种核定方式违反了《经办业务规程》的规定和上级文件的要求。又如社会保险待遇支付环节的审核,内部控制要求严格覆行审核职责,不仅要核查待遇审批表、养老金发放名册,还必须核查相关的支付依据和计算过程,以控制经办环节的舞弊和失误。但现实中审核、复核、签批流于形式,经办环节出现的失误得不到及时发现和纠正的现象依然存在。另外,参保单位瞒报缴费基数、人数,少缴社会保险费,或是恶意欠费,也属于控制执行人与控制对象的矛盾。解决这类矛盾需要刚性的法律支持,但是社保经办机构仅有稽核检查权,没有行政处罚权,纠正的难度大,这又形成了矛盾的另一方面。
2、专业人员不足的客观现实与实际需求之间的矛盾
内部控制要求科学合理设置岗位、不相容岗位分离;要求部分岗位专职、不得兼任和包办风险控制岗位的工作;要求岗位与岗位之间要形成必要的相互制约关系,这是社会保险发展的必然要求。也就是说,社保经办机构需要足够的人员编制,能够合理地设置岗位,配置人员,才能满足内部控制基本的条件。而目前我县专业人员不足又是客观存在的现实。因此,内部控制建设还必须解决好这个问题。
三、加强社保经办机构内部控制建设的建议
1、加大执法力度。根据劳动保障部颁发的《社会保险稽核办法》的规定,社会保险经办机构是稽核的责任人,所以我们社保机构必须运用该《办法》赋予的权力,加大宣传力度,鼓励职工来监督企业申报缴费基数,让他们知道企业少报、瞒报的后果。加大执法力度,真正有效遏制瞒报、冒领等违规行为。
2、加快制度规范。建议尽快建立社会保险稽核工作规范,从制度上、程序上、处罚上进一步规范社会保险稽核行为,使社会保险经办机构的稽核行为规范化,切实做到依法稽核、依法处罚。同时,建议劳动保障行政部门授权社保机构对稽核中发现的问题行使行政处罚。
3、健全和完善内部控制制度。内部控制制度必须在工作实践中不断补充、修改完善,以保持其时效性。就我州目前的情况来说,除了按实际情况的变化修改、补充现有的内控制度外,还应增加部分内控制度。一是建立不相容岗位分离制度,明确规定哪些岗位是不相容岗位,要严格分离。哪些岗位要专职,不得兼职。哪些职位不得兼任和包办其他职位的工作。二是建立审批制度,规定哪部分业务必须经过审批,哪些职位的人员承担审核、复核、审批的职责。经办人员必须提供哪些资料给审核、复核、审批人,审核、复核、审批人必须核查哪些资料后才能签字。三是建立执行内控奖惩制度,规定部门和个人定期对执行内控制度情况进行自查和自评,稽核部门定期开展内控执行情况检查,并综合自查自评和检查情况作出评价。执行内控制度好的部门和个人给予奖励。执行内控制度差,或是业务操作违反内控制度规定,造成社保基金损失的,视情节给予戒勉谈话、通报批评、责令追回损失、赔偿、警告、记过等处分,直至追究刑事责任。
一、董事会应成为上市公司内部控制和公司治理的交叉点
公司治理与公司内部控制之间是相辅相成、相互促进的关系,良好的内部控制制度是上市公司实现公司治理目标的重要保证,但如果缺乏良好的公司治理,内部控制将成为无源之水、无本之木。《指引》的出台,使董事会成为上市公司内部控制和公司治理的交叉点,有利于促进我国上市公司治理结构的完善,强化上市公司内部控制建设,整体提高上市公司质量。
(一)董事会在内部控制中的作用 《指引》指出,在上市公司内部控制建立和实施中起核心作用的是董事会。具体表现在,董事会应对上市公司内部控制制度的建立、实施及其检查评价负责,董事会及其全体成员应保证内部控制相关信息披露的真实性、准确性和完整性;董事会应通过对内部控制制度的检查监督,发现内部控制制度是否存在缺陷,实施过程中是否存在问题,并及时予以改进,确保内部控制制度制度的有效实施;董事会应对内部控制检查监督工作予以指导,并审阅、检查监督部门提交的内部控制检查监督工作报告;上市公司在内部控制检查监督中如发现内部控制存在重大缺陷或重大风险,应及时向董事会报告,经上海证券交易所认定后,董事会应及时发布公告;董事会应根据内部控制检查监督工作报告及相关信息评价上市公司内部控制的建立和实施情况,形成内部控制自我评估报告;董事会应在披露年度财务报告的同时,披露年度内部控制自我评估报告和会计师事务所对内部控制自我评估报告的核实评价意见等。
(二)董事会在公司治理中的作用 公司治理是解决委托—代理问题的一整套制度安排。上市公司存在两层委托—代理关系,即股东大会与董事会之间的委托—代理关系、董事会与管理层之间的委托—代理关系。公司治理的目的是实现科学决策、高效经营和有效控制。企业的成功很大程度上取决于董事的能力和董事会的效率,上市公司治理应重视发挥董事会的功能与作用,使企业沿着正确的方向运行。内部控制是渗透企业各方面、各环节,融合企业人、财、物管理的系统工程,公司治理规范必须对内部控制的构建提出基本要求,从公司治理角度为董事会在公司内部控制中的核心地位提供保证。通过实施内部控制,完善治理结构,规范权力运行,强化监督约束,有力地提高上市公司会计信息质量、提升营运效率、保证资产安全、促进企业战略目标的实现。
二、内部审计在内部控制检查监督中的核心作用
《指引》对上市公司内部控制检查监督的规定主要包括:(1)应对内部控制制度的落实情况进行定期和不定期的检查。董事会及管理层应通过内部控制制度的检查监督,发现内部控制制度存在的缺陷,并及时采取改进措施,确保内部控制制度的有效实施。(2)应根据自身组织架构和行业特点设置专门的内部控制检查监督部门。内部控制检查监督部门负责人的任免由董事会决定,并直接向董事会报告工作,其他内部控制检查监督人员配备则根据相关规定以及公司的实际情况确定。(3)应制定内部控制检查监督办法。该办法至少包括如下内容:董事会或相关机构对内部控制检查监督的授权;公司各部门及下属机构对内部控制检查监督的配合义务;内部控制检查监督的项目、时间、程序及方法;内部控制检查监督工作报告的方式;内部控制检查监督工作相关责任的划分;内部控制检查监督工作的激励制度。(4)应根据自身经营特点制定年度内部控制检查监督计划,并作为评价内部控制运行情况的依据。应将收购和出售资产、关联交易、从事衍生品交易、提供财务资助、为他人提供担保、募集资金使用、委托理财等重大事项作为内部控制检查监督计划的必备事项。(5)检查监督部门应在年度和半年度结束后向董事会提交内部控制检查监督工作报告。公司董事会可根据公司经营特点,制定内部控制检查监督工作报告的内容与格式要求。(6)董事会应对内部控制检查监督工作进行指导,并审阅检查监督部门提交的内部控制检查监督工作报告。公司董事会下设审计委员会的,可由审计委员会具体负责上述工作。(7)检查监督工作人员对于检查中发现的内部控制缺陷及实施中存在的问题,应在内部控制检查监督工作报告中据实反映,并在向董事会报告后进行追踪,以及时采取适当的改进措施。公司可将所发现的内部控制缺陷及实施中存在的问题列为各部门绩效考核的重要项目。(8)检查监督部门的工作资料,包括内部控制检查监督工作报告、工作底稿及相关资料,保存时间应不少于10年。
内部控制检查监督的根本目的是帮助上市公司完善内部管理,具有很强的个性化特征,需要结合上市公司业务特点及组织结构特点确定内部控制检查部门的设置。内部控制检察监督部门的设置必须考虑经济性原则,同时还应体现内部控制检查监督工作的质量与效率。笔者建议,以内部审计部门作为专职内部控制检查监督部门,由内部审计人员担任专职内部控制检查监督工作,对内部控制的效率与效果作出评价,并对内部控制中存在的问题提出具体的改进建议,以减轻对企业的潜在威胁。
为了有效地开展工作,内部审计人员在工作过程中所必需的所有记录、信息将不受任何限制。根据我国《上市公司治理准则》,在董事会下设内部审计委员会、薪酬委员会等专业委员会,使董事会具备决策和监管所需要的精力和能力。内部审计部门隶属于内部审计委员会,直接向内部审计委员会报告。内部审计委员会对内部审计部门的工作计划、审计结果等进行复核,对内部审计部门的工作效率和效果进行评价。这有利于提高内部审计部门的独立性和权威性,使其工作范围不受管理当局的限制,并确保其审计结果受到足够的重视,充分发挥内部审计部门在内部控制检查监督中的核心作用。
三、注册会计师需提高其执业水平
《指引》鼓励上市公司聘请中介机构协助建立内部控制制度,要求董事会在披露年度内部控制自我评估报告的同时,应披露会计师事务所对其内部控制自我评估报告的核实评价意见。为了更好地发挥我国注册会计师在执行内部控制自我评估报告的核实评价中的作用,注册会计师需提高其执业水平。
(一)向客户提供内部控制建议应以不影响其独立性为原则 有观点认为,注册会计师必须与客户保持一定的距离,以保持其独立性。笔者认为,向客户提供有关决策方面的建议与为客户作出决策存在着清晰的不同。注册会计师能够也应该向其客户提供会计及内部控制方面的建议。1993年,美国审计准则委员会颁布的《鉴证业务准则第2号——与企业财务报告相关内部控制的报告》(gaas no.2)也没有在注册会计师与客户之间竖起一道墙。因为拒绝向客户提供内部控制方面的建议,既不利于客户利益,也不利于公众利益。长期以来,注册会计师一直在为上市公司提供会计和内部控制方面的建议。
(二)应将财务报告审计和内部控制审计结合起来 内部控制报告审计最终将成为年度财务报告审计过程中的固定内容,注册会计师应将财务报告审计和内部控制审计结合起来,研究内部控制审计和财务报告审计相互支持的方法,降低审计成本,提高审计质量。例如,在确定财务报告审计程序的性质、审计范围和审计时间时,两种审计相互结合能够使注册会计师对内部控制测试结果更加信赖。
(三)适当运用职业判断对内部控制进行测试 内部控制报告审计对我国注册会计师来说是一项新业务,有些注册会计师不太愿意应用职业判断对内部控制进行测试,这会使审计计划与特定客户财务报告中独特的风险和问题失去联系,使注册会计师成为审计程序的奴隶,注册会计师会因为在对寻找重大缺陷没有实质性帮助的控制测试上花费过多的时间而增加审计成本。提高内部控制报告审计的效率与效果,要求注册会计师适当运用职业判断,而不是采用机械的方式。即内部控制报告审计以风险审计为基础,在实施财务报表内部控制报告审计过程中,注册会计师应有所侧重。注册会计师应合理运用职业判断来决定对内部控制的审计程度,应开展哪些必要的测试来确定上市公司内部控制的有效性,获取有关上市公司内部控制系统能合理确保财务报表不包含重大差错的证据。
四、政府有关部门应不断完善内部控制标准体系
自1996年起,我国政府有关部门陆续出台了一系列有关企业内部控制方面的法规。从法律法规所涉及的内容深度和广度来看,我国内部控制方面的法律法规正不断成熟完善。但从《指引》的具体实施来看,还需要实施细则来完善其可操作性。如《指引》指出,会计师事务所应参照主管部门有关规定,对上市公司内部控制自我评估报告进行核实评价。但迄今为止,我国还缺乏一套统一、公认的企业内部控制标准,使上市公司内部控制自我评估、注册会计师内部控制审计都缺乏明确的标准。
一、美国跨国银行内部监管的原则与制度
(一)美国企业内部控制的一般原理、原则
美国是现代内部控制理念的发源地,早在1949年,美国注册会计师协会(AICPA)的一个工作程序委员会就出版了一份关于确立企业内部控制理念的特别报告。该报告指出,内部控制制度是企业用以保护资产、检查会计资料的可靠性和准确性,提高经营效率,强化遵守既定管理政策的组织计划、协调方法与措施。该报告强调,注册会计师应对企业的预算控制、成本控制、经营报告、统计分析和控制文化承担外部审计的职责,很大程度上是以会计师的外部审计责任取代企业的内部控制责任。
这种以外部审计为主的方式引起很大的争议,以外部审计责任代替企业自身的内部监管责任容易造成企业放任自流的“搭便车”现象,助长企业的冒险经营与舞弊风险,而且也加重了注册会计师的审计责任和法律责任,也难以广泛适用于对内部风险防范有较高要求的金融机构。为此,1973年美国注册会计师协会发布第54号审计报告,对内部控制责任作了划分,将内部控制分为内部会计控制和内部管理控制。内部会计控制制度包括与组织机构实施、财产保护、财务会计记录可靠性有关的各种措施,由注册会计师负责实施控制;内部管理制度包括组织机构的设计、管理部门决策和业务运作的程序与记录等,主要由企业管理层负责监控,只有当内部管理控制对财务报表可靠性有重大影响时,会计师才有义务去核查管理控制。第54号审计报告所确定的内部控制原则,已为美国商业界包括银行业所普遍采纳,成为美国企业内部控制的基本准则之一。
1992年,由美国“反对虚假财务报告委员会”(National Commission on Fraudulent Financial Reporting)下属的一个专业委员会“赞助机构委员会”(the Committee of Sponsoring Organizations,以下简称COSO)发布了题为《内部控制――统一的框架结构》(Internal Control——Integrated Framework)的研究报告,对内部控制的基本要素作了系统阐述。该报告认为,完整的内部控制应包括五个基本要素:
1、控制环境(control environment)。控制环境是指对建立、加强或削弱特定政策或程序有影响的各种因素,包括企业诚信和道德价值观、员工的信念与能力、董事会和审计委员会的功能、管理哲学和经营风格、组织结构、授权和责任的划分、人力资源政策及其执行等多方面的内容。
2、风险评估(risk assessment)。辨识和分析风险是一种必须常抓不懈、持续反复的过程,企业管理人员的重要职责之一就是正确识别和评估经营中所面临的各种风险,并采取一切必要的措施降低风险。
3、控制活动(control activities)。除了控制环境的“软环境”之外,企业还需建立控制风险的一系列“硬制度”,来保障企业经营目标的顺利实现。这些控制活动包括:业务和经营活动的授权、组织系统内有利益冲突职务的分离、实物控制、资产或财务记录的专人管理等。
4、信息与沟通(information and communication)。为了实现其经营业绩和风险控制的目标,企业必须识别、处理和交流来自内外的各种信息。COSO报告强调,完备的信息处理系统是实现内部控制目标的重要保障,信息系统不仅处理企业内部产生的经营信息,而且也处理来自企业外部的各类经济、法律或行政信息。
5、监督(monitoring)。监督是由适当的人员,在充分有效的制度保障下,评估内部控制绩效的过程。监督活动分为持续监控和个别评估两类,前者是一种日常例行监督程序,是对业务管理层日常内部控制效果的监控和评价;后者是一种特别监察,一般是对出现严重异常或存在危机隐患的业务或部门进行的专门审查。
COSO内部控制框架虽是对一般企业的概括要求,但却得到了美国银行监管者和银行业的普遍响应。1993年,美国联邦存款保险公司批准了对1991年《联邦存款保险公司改进法》第12条的修正案,要求银行就其内部控制状况定期向美国联邦存款保险公司和美联储报告,并鼓励以COSO内控框架作为报告的格式。1998年巴塞尔委员会发布的《银行组织内部控制体系框架》很大程度上也借鉴了美国COSO内控框架的原则规定。
(二)美国银行内部控制制度与实践
美国银行业在长期的经营实践中,摸索出一套行之有效的内部控制管理策略和运作原则,一些著名银行如花旗银行、美洲银行、纽约银行的内控制度与实践在跨国银行业中有着良好的口碑。概况而言,美国银行业的内部控制具有如下一些特色:
1、独立、集中、权威的内部监管体系
美国跨国银行在全球范围内的业务活动非常活跃,分支机构遍布世界各地,为了更好地实现对银行系统内各组织各机构的有效监控,美国的跨国银行大多建立了强势的内部监管体系。这种强势的内部监管体系有如下三个特征:
第一、稽核权由银行总行统一行使,分行没有稽核部门。分行的稽核由总行根据分行业务的权重派出若干稽核主任,分别负责区域分行的稽核。以花旗银行为例,花旗银行在亚太地区的分支机构统一由亚太地区稽核分部负责稽核,亚太地区稽核人员又分驻香港、新加坡、悉尼、马尼拉四个办事处,四个办事处各有管辖范围,如花旗银行中国范围内的业务就由香港稽核办事处负责。
第二、内部审计独立。银行的行政和日常管理层无权干预内部审计体系的运作,并有如下切实的制度保障:银行副总裁兼任首席审计师,直接向董事会负责并报告工作;稽核人员选任独立,稽核人员由总行稽核部门直接从各业务部门中优先筛选;财务独立,稽核部门有独立的财务预算,不受业务部门干预;稽核人员的待遇从优,不低于实权业务部门。
第三、稽核部门分工精细,人员充足。稽核部门内部机构根据职能、业务、区域等不同标准划分,部门众多。如花旗银行的稽核总部除首席审计师外,下设调查部、业务审计部、辅助管理部、监督检查部、审计培训部、现场检查部,在现场检查部下又根据业务和区域分设北美一部(负责资金、证券审计)、北美二部(负责零售业务审计)、北美三部(负责衍生工具审计)、亚太部、拉美部、欧洲一部和欧洲二部等部门。美国主要银行的稽核人员占其员工总额的比重相当高,2000年的统计数据表明花旗银行稽核人员575人,占总员工数的0.58%,美洲银行稽核人员350人,占员工总数0.44%,纽约银行稽核人员170人,占员工总数1.4%.[16]
2、统一、严密的稽核依据
美国跨国银行要求各业务部门必须针对本部门业务的特点制定统一规范的业务规章或守则,这些规章或守则必须经董事会或专门的风险管理委员会审核同意。部门规章或守则有两个作用:一方面可以成为员工管理和教育的规范,新员工入行伊始就必须熟稔业务规则,明确自己的责、权、利,遵守守则情况成为员工考核奖惩的重要依据;另一方面,这些守则也是稽核部门内部监管的依据,稽核部门在检查中发现业务部门不遵守规章或规章本身有漏洞,可以向业务部门提出建议,要求其限期改正或完善。
3、注重非现场稽核方法
与其它企业一样,跨国银行是营利性经济组织,以利润最大化为经营目标,在风险管理和内部稽核问题上同样面临着成本与收益的比较问题。美国银行强调稽核工作不应干扰银行业务部门的正常运作,不鼓励大量采用现场检查方式,提倡开放式、自律型的非现场检查。以花旗银行为例,其稽核部门在确定稽核任务与稽核目标后,一般提前两周向稽核对象发出通知,要求报送相关的稽核材料。稽核人员通过计算机系统接纳和审核业务账册和资料,只有在账册无法说明问题时才考虑进行必要的现场检查。
美国银行注重非现场检查方式,主要有三个方面的考虑:第一,在先进网络技术和信息系统的支持下,非现场检查有充分的硬件保障,不易产生会计信息失真问题;第二,与现场检查相比,非现场检查节约人力物力,又不干扰业务部门的正常运作,检查成本较小;第三,美国银行管理层认为,封闭型、突击式的现场检查虽然有助于发现问题,但却是以丧失业务人员信任作为代价的,非现场检查采用开放式、互动型的稽核方式,有助于培养稽核部门与业务部门的互信意识,对业务部门的自我控制具有良好的催化作用。因此,美国跨国银行中除纽约银行等少数银行外,均不再将突击型的现场检查作为主要的稽核方式。
4、资产风险管理的“六C”法则
美国跨国银行通过评估资产的盈利性、安全性和流动性来控制资产风险,提高银行经营的稳健性。对一般资产业务的风险评估必须贯彻“六C”法则,即必须考虑如下六个因素:
(1)品质(character):银行必须确保客户对借款等业务有良性意愿和明确的偿还意向,这一点主要是通过考察客户既往的金融信用记录来评价的。
(2)能力(capacity):银行必须确信客户有从事业务的权能,签约时有合法的缔约能力,并对客户履约的能力有客观的评估。
(3)资本(capital):银行必须对客户的有形资产净值进行分析,确保客户有能力提供充足的现金流来偿还贷款或履行合同。
(4)抵押品(collateral):如果客户提供抵押品作为履约担保,银行必须明确知悉抵押品的质量与价值。
(5)环境(circumstance):银行必须就对客户日常业务、产业、抵押品等有直接影响的因素做出客观评估,实际上是考察影响客户履约的外在因素。
(6)控制(control):主要是对业务的持续进行合法性与合规性的评估和控制,例如研究法律的修订是否会影响业务的合法性,贷款业务是否符合监管机构的资本充足性要求等。
从上述特征可以看出,美国的跨国银行对内部稽核工作是相当重视的,从人力、物力、制度等方面均给予充分保障。这种强势稽核体制对银行经营的安全性与稳健性有着至关重要的作用,近十年来美国跨国银行业没有出现大的危机,美国跨国银行奉行的强力内控制度功不可没。但也有学者认为,强势内控制度的确有助于风险的预防和控制,但投入大量稽核人员用于内部监管工作必然对银行的整体盈利产生影响,此外,过于依仗非现场检查的监管方式难以发现深层次的问题,尤其在业务部门有意隐瞒的情况下,非现场检查难免流于形式。
(三)美国跨国银行的内部控制评估
内部控制评估是外部审计师或监管机构对银行内部控制体系进行调查、了解、审计、评价的一系列活动过程的总称。内部控制本身是对银行风险的监视和管理,内部控制评价则是对内控机制有效性的监督,实质上是对风险管理的二次监督,通过内部控制审查和评价,可以使审计人员和监管机构了解银行财务会计的可信程度,并为监管机构进行银行监管提供线索。
美国对银行内部控制评估工作相当重视,美国注册会计师协会《现场审计工作准则》(the Auditing Standards of Fieldwork)第2条明确规定:“(审计师)对现行的内部控制结构进行充分的研究和评估,以此作为制定审计计划,确定审计性质、时间安排以及测试范围的基础”。美国是少数几个以法律强制银行披露经独立审计的内部控制评估报告的国家之一,其《联邦存款保险公司改进法》要求所有资产超过1.5亿美元的银行和储蓄机构,应定期公布经独立审计师审计的内部控制评估报告。
美国审计部门对银行内部控制体系的评估,有一套相当成熟的程序,主要分为以下三个步骤:
1、对银行内部控制体系的审查评价
这是内部控制体系评估最重要的一环,可细分为如下四个程序:[17]
(1)初评。在正式评估内部控制体系之前,审计师应先审阅银行上一年度审计报告、银行各种规章、制度和指南,向管理人员询问,现场检查银行工作情况,以便对银行的控制环境、风险管理、信息交流等有一个总体印象。
(2)描述。审计师必须对内部控制的初评结果加以详尽描述,编成工作底稿归入审计档案,描述可以采用多种方法:
文字叙述法(written narratives):即以书面文字的形式阐述银行现有的内部控制制度。一般按照不同业务和业务环节,说明各业务、环节的特征、经办人员、控制措施与方法、财务记录的编制要求和保存方法等,同时还必须说明内部控制措施的效能和可能存在的问题。文字叙述法的优点是简便、灵活、适用面广,常用于经营规模小、内部控制制度简单的银行,但文字描述法不能直观地反映较为复杂的内部控制系统,不适宜对经营网点多、业务复杂的跨国银行进行描述。
系统流程图法(system flowchart):即用流程图解的方式描述各业务环节的处理程序、财务记录的编制、处理、传递与保存。优质的流程图还能直观地显示各项业务的职责分工、授权、批准和复核验证等控制程序和功能。作为图示描述法,系统流程图法具有文字叙述法不可比拟的优势:它可以较为直观地反映较为复杂的内部控制结构,具有直观、明了、清晰、完整的优点,还可以根据业务和内部控制的变化及时加以更新。但系统流程图对编制者的要求较高,审计师编制时必须面面俱到,考虑周详,否则流程图无法反映内部控制的全貌,容易令人费解或招致误解,此外流程图仅能反映内部控制结构的现状,不能明确揭示有关内部控制系统的实际执行情况及其缺陷。
调查表(questionnaire):是一种预先设计的标准化调查问卷,以便了解银行内部控制及其实际功能。调查表分别针对各主要业务和环节的内部控制措施列出一系列问题,备好正面答案和负面答案(有时还有中性答案),交由银行业务人员进行问卷调查。调查表有统计学原理作为依据,较为科学合理,实施起来也较为便利,但答题人的主观心理对问卷结论有着直接影响,且调查表只能分别反映各经营环节或业务活动的内部控制情况,不足以概括银行内部控制体系的全貌。
三种调查描述法各有其优劣,需要根据特定银行的内部控制情况加以选择适用,有时,为了全面客观地反映银行的内部控制运作情况,审计师将三种方法兼施并用,以求达到更为准确真实的描述结果。
(3)验证。通过从银行业务中抽取某一样本业务,从其处理始点审视至终点,借以判断银行的业务控制是否完善,审计师对银行内控机制的初评和描述是否客观全面。
(4)评估。美国的内控机制评估是相当有特色的,审计部门将内部控制风险分为三个层次:
固有风险(inherent risk):指银行因业务性质本身具有发生错误或弊病的可能。
控制风险(control risk):是指银行内部控制未能防止银行业务出现弊病或错漏的可能,控制风险越大,说明银行的内部控制越薄弱,发生风险的可能性越大。
察觉风险(detection risk):是指那些内部控制机制和审计部门均未能有效察觉业务出现错漏或舞弊的可能性。
审计部门根据科学的加权公式,测算出上述风险在内部控制风险中的权重,并据此对银行内部控制机制做出客观的评价。
2、内部控制测试
内部控制测试是对初步评价结果的校验,在整个内部控制评估过程中有着重要的作用:对于内部控制不完善,内部控制风险较大的银行,内部控制测试可以检验其内部控制问题严重的程度,确定内部控制失灵的关键环节,为今后的整改提供重点和思路;对于内部控制完备、风险较小的银行,内部控制测试可以再次验证银行的内控水平,避免有隐藏的内部控制缺漏。
由于跨国银行业务活动纷繁复杂,审计师不可能面面俱到地进行复查,只能以样本抽查的形式进行测试。内部控制测试一般在银行会计年度终了之前进行,这样有助于及早发现银行内部控制的问题,建议监管当局进行整改,保证银行会计记录的真实性和可靠性。测试之后,审计部门会形成最终的内部控制评估报告,对银行内部控制风险进行评价,并分析其内部控制的薄弱环节,确定今后的审计计划与程序。
3、报告银行高级管理层和监管当局
根据美国的审计准则,审计师不对银行内部控制的有效性负责,但其对审计调查过程中发现的重大内部控制缺陷,属于审计准则中的“可报告事项”(reportable conditions),应及时通报银行董事会或高级管理层,或依据金融监管法规的要求,将重大内部控制缺陷报告监管当局。
审计师向银行高级管理层通报审计结果,须采用专门的文书“致管理层函”(management letter),并通过专门的渠道直接呈交银行董事会、董事长或审计委员会。之所以做出这样审慎的安排,是为了防止审计结论被搁置或篡改,以利于银行高级管理层及早针对内控问题做出妥善安排,避免内控危机的发生。审计师发现银行内部控制的重大问题时,必须尽快报知高级管理层或监管机构,如因审计师的瞒报或拖延给银行造成损失,审计师必须承担相应的法律责任。
二、英国跨国银行内部监管的制度与实践
(一)英国公司内部控制的一般原理、原则
英国的内部控制研究发端于20世纪80、90年代,当时英国的实业界就像今天的华尔街一样,假帐盛行,因控制失灵导致的公司经营失败层出不穷,公众公司面临着严重的信任危机。英国会计界为此成立了多个专门委员会,进行公司内部控制和治理结构改革的专题研究,并形成了多份研究报告,其中最有影响的是1992年发布的《卡德伯利报告》(Cadbury Report)、1998年发布的《哈姆佩尔报告》(Hampel Report)和1999年发布的《特恩布尔报告》(Turnbull Report),它们也被称为是英国公司治理和内部控制研究史上的三大里程碑。
1、1992年《卡德伯利报告》
为了防范和控制公司内部的财会舞弊风险,1985年英国《公司法令》第221条要求公司董事和董事会必须对公司财务会计记录的真实性、准确性和完整性负责。但法律并没有提供董事和董事会监督约束公司财务会计记录的具体制度设计,《卡德伯利报告》的发布则在一定程度上解决了这个问题。
《卡德伯利报告》认为,有效的内部控制是公司治理结构的重要一环,为避免董事会和董事串通一气,合舞弊,《卡德伯利报告》创设了“内外双重审计”的制度。“内外双重审计”的制度设计为在董事会向公众或监管机构出具正式的内部控制评估报告之前,该报告必须经内部审计师和外部审计师的双重审核。这样,就最大限度地避免了董事会、董事甚至内部审计人员串通舞弊的可能性。
《卡德伯利报告》在许多方面开创了英国公司治理和内部控制的先河:如要求在董事会下设专门的审计委员会;实行独立董事制度;强化内部审计在公司治理和内部风险控制中的作用,等等。其中一些制度和原则,还沿用至今。
2、1998年《哈姆佩尔报告》
《哈姆佩尔报告》明确指出,内部控制的目标在于保护资产的安全,保持正确的财务会计记录,保证公司内部使用和向外部提供的财务信息的准确性。报告将内部控制的范围由原先的财务控制扩展到全面的业务控制,并重申了董事会和董事的风险管理职责。
由于《卡德伯利报告》对董事会和审计师的核查报告责任要求得过于严苛,要求内部控制机制必须为舞弊和错误提供“绝对担保”,董事会和审计师必须为内部控制机制的有效性承担法律责任。因此,实践中董事会和审计师均有所顾虑,对内部控制的有效性往往作有意模糊或保留的声明。《哈姆佩尔报告》对此作了改进,不再要求董事会和董事对内部控制的有效性承担绝对的担保责任,而仅对内部控制的有效性作“合理保证”,即排除了在董事会和董事均恪尽职守的情况下仍不能发现的一些内控失灵问题,如操作性失误、系统性风险等等。
3、1999年《特恩布尔报告》
在我国目前资本市场还不够成熟的情况下,投资者不仅需要了解经注册会计师审计的几张传统会计报表,还需了解投资公司更多的信息,特别是以内部控制报告为载体的公司内部控制的信息。这是由内部控制和会计报表的关系决定的,因为会计报表披露的信息是否真实、正确决定于内部控制的有无和强弱。目前对内部控制报告应由谁提供有两种观点:一种观点认为应由注册会计师在提供会计报表审计报告的同时提供内部控制评估报告;另有人认为应由企业管理当局对外披露内部控制报告。笔者认为,内部控制报告应由企业管理当局提供。
第一,会计师事务所对上市公司会计报表进行审计,他们所关心的仅仅是与会计报表项目有关的控制,或者说仅仅关心公司内部会计控制,不太关心公司内部管理控制。就目前会计报表审计而言,注册会计师尽管关心公司内部会计控制,但他们也仅为对会计报表项目进行实质性测试做好准备,没有出具公司内部控制的评审报告。再者,由于审计成本、审计时间等多方面限制,注册会计师不可能在对公司的全部内部控制进行评审后,再出具公司内部控制的评审报告。
第二,内部控制评审报告如果由注册会计师出具,从某种意义上讲,也不符合内部控制原理。注册会计师在对会计报表审计的全过程中,他们仅仅把对内部控制的了解、调查、评价作为一种手段,一种方法来运用,其目的在于确定会计报表实质性测试审查的重点、范围和方法,如果注册会计师在出具会计报表审计报告的同时,再出具内部控制评审报告,就存在着违反职责分离的内部控制原则,即违反处理某一事项不能由某一单位或某一人从始至终包办到底的原则。因此,公司内部控制评审报告,应由会计师事务所以外的组织出具,可将该报告与会计报表审计报告同时向社会公布。
第三,投资者和潜在投资者在阅读经注册会计师审计后的会计报表时,非常关心会计报表中有关指标,尤其注意每股收益。而每股收益是否真实、正确,仅与内部会计控制有关。每股收益的多少,如何提高每股收益水平,则不仅是内部会计控制的问题,而是有关公司整个内部控制的问题。就目前情况看,这些问题是注册会计师所不能解决的。要解决这个问题,只有靠上市公司自己健全、完善和有效执行内部控制,每股收益水平才会满足投资者要求。因此,注册会计师对公司的内部控制,仅能对会计控制进行调查、了解,而对管理控制进行调查了解,则存在一定困难。而解决这个问题的最好方法是由上市公司的内部审计机构对其公司整个内部控制进行评价,并出具内部控制评审报告。
二、内部控制报告应披露的内容
上市公司的管理当局在对其内部控制进行自我评价后,则可出具报告,向投资者宣布其内部控制不存在重大缺陷或除某些方面外,不存在重大缺陷。内部控制报告应包括:
1、表明管理当局对内部控制的责任。管理当局应在内部控制报告中明确声明建立、健全、实施和维护企业的内部控制制度是管理当局的责任,内部控制的目标在于合理保证财务报告的可靠性、经营的效果和效率,符合适用的法律、法规。
2、企业已经确定内部控制的设计和实施是否有效的标准,并按照标准设计并颁布实施内部控制制度。如宣布“本公司已根据《内部控制基本规范》规定的原则、标准,制定并颁布实施内部控制制度”。内部控制可分为会计控制和管理控制,前者的目的是保护企业资产,检查会计数据的准确性和可靠性,后者的目的是提高经营效率,促使有关人员遵守既定的管理方针。我国目前只制定了内部会计控制规范。但是,由于内部会计控制和内部管理控制很难绝对地划清界限,所以,内部控制报告的范围不能仅仅局限于内部会计控制,还应包括内部管理控制。因此,在内部控制报告中不仅应指出建立内部会计控制制度,还应包括有无有效的内部管理控制制度,但这应建立在成本效益和重要性原则之上。
3、声明本公司已按有关标准、程序对本企业的内部控制的设计和执行的有效性进行了评估,发现无重大缺陷。如果发现重大缺陷,应指出该缺陷。
4、声明公司内部控制有效,不会发生对公司财务报告的可靠性和对公司财产的安全、完整有重大不利影响的情况。如发现某些缺陷,应指出这些缺陷,并声明,相信除上述情况外,公司内部控制有效。
5、承认内部控制具有固有限制。存在由于错误或舞弊而导致错报发生和未被发现的可能性,因此,只能对财务报告的编制及企业资产的安全和完整提供合理保证。并且,随着环境和情况的变化内部控制制度的有效性可能发生变化,对内部控制制度的遵循程度可能会降低。根据内部控制制度评价结果推测未来内部控制有效性具有一定风险。
6、管理层签名,包括董事长、总经理、财务总监等,以表示对内部控制和控制报告负责。
三、内部控制报告的作用
1、内部控制报告可以提高管理当局内部控制的意识,从而重视企业内部控制。内部控制报告必须由总经理和财务总监签名。总经理签名将提高其对财务报告和内部控制的责任感,类似地,财务总监的签名将强调他们对财务报告的作用和责任。
2、内部控制报告表明了企业高级管理人员对内部控制的义务,从而传递出企业控制环境的信号。控制环境是内部控制的一项重要要素,对财务报告的可靠性有着极其重大影响。是否提供内部控制报告在一定程度上反映了管理当局对内部控制的重视程度,也反映了其管理哲学。
[论文摘要] 如同对其他任一理论的理解一样,内部控制理论也是随着社会经济进步的需要而不断发展,不断完善的。,进入20世纪90年代以来,企业内部控制理论在世界范围的发展速度超过了以往任何阶段,最为显著的研究成果是理论界的coso报告和萨班思法案。在国内,对于内部控制理论的研究与实务知道的渴求也越来越迫切。本文试图解析这背后的原因,以便为内部控制理论和实务的发展提供有益的帮助。
一、全球财务舞弊案件频发
企业对外公布的财务报告是投资者、客户、政府监管机构、外部注册会计师、企业管理当局等利益相关者进行决策的重要依据。财务报告的信息质量与决策者的经济利益息息相关。但是无论国内还是国外,经济生活中都不同程度地存在着财务报告信息失真的情况,并且产生了严重的经济后果。
财务舞弊并不新鲜,作为一种故意错报财务数据,欺骗投资者和债权人的行为,财务报告舞弊(financial reporting fraud)始于18世纪20年代的英国。南海公司财务报告舞弊导致英国政府颁布《泡沫公司法》,并一度取消了股份有限公司这种公司形式。1929年~1933年席卷美国的经济危机使的整个证券市场濒临崩溃的边缘。会计史学家chatfield曾指出,松散的会计实务是市场崩溃和萧条的原因之一。尽管各国政府加强了对财务报告舞弊的监管和处罚力度,但是,从麦迪逊公司到安然公司,从琼民源到银广厦事件,国内外的财务报告舞弊案件仍是层出不穷。
尤其是自20世纪90年代以来,财务舞弊以及由此带来的损失空前严重,引起了相关部门和理论界的高度重视。据美国会计总署的估算,1995年舞弊和欺诈仅在医疗方面的耗费就达1000亿美元。1998年,毕马威国际会计师事务所(peat marwick)对舞弊问题进行了一次广泛调查,调查样本来自20个行业的5000家企业和组织,被调查对象包括单位的高级管理者、经营主管、财务经理、证券经理、内部审计人员和一般工作人员等。调查显示,1998年平均每起舞弊案金额为116000美元,百万美元以上的舞弊案也不少。美国布鲁金斯学会公布的一项研究报告也显示,仅安然和世通公司的造假丑闻就使美国2002年经济损失高达370亿至420亿美元。美国证券交易委员会委员保罗.阿特金斯坦言,由于接连发生的美国大公司财务欺诈丑闻,美国证券市场遭受重创,损失约5亿美元的市值,如果将损失分摊到全体美国人身上,每户美国家庭要承担6万美元。美国注册舞弊审查师协会2002年进行的调查显示,职业舞弊中,资产盗用发生的频率最高,达舞弊案件的85.7%,其次为贪污受贿和管理舞弊。在国内,财务报告信息失真的情况同样普遍存在。最近财务部发布的第9号会计信息质量抽查显示,在对152户企业2002年度会计信息质量抽查中,被抽查单位资产不实达88.88亿元、利润不实28.72亿元,其中资产不实比例在5%以上的占全部被查单位的15.13%,利润不实比例在10%以上的占全部被抽查单位的53.95%。
在美国之外,日益猖獗的财务舞弊行为,一方面使全球的投资者因此缺乏投资的安全感,,引起资本市场的巨大震动,严重的阻碍了经济的良性循环与发展;另一方面,各国政府、理论界发起了对财务舞弊案件频发展开了相关的研究,并出台相关政策、法规,以期遏制资本市场的舞弊行为。由于财务舞弊案件总是与财务报告造假有关,因此,由职业审计师发起的旨在规避其审计责任的对内部控制的研究逐渐深入。
二、萨班斯法案对企业完善内部控制的法律要求
从历史的角度来看,对内部控制理论的研究,可谓由来已久,但通过法律手段推进内部控制评价报告制度,则属于频发的财务舞弊案件所带来的理论与实务界相结合的制度创新。从国外看,安然、世通等财务舞弊案件的暴露,促使许多国家纷纷通过立法,加强上市公司会计监管和内部控制,比如,美国制定的《2002年上市公司会计改革和投资者保护法》第404条规定,上市公司要自行评估其内部控制有效性,揭示其内部风险控制中的重大弱点,并将评估结论写进公司年度财务报告。根据404条款的规定,美国本土的上市公司需要对2004年度的内部控制作出评估,在2005年3月15日前将评估结论纳入年度财务报告;已在美国上市的非美国本土公司,可以宽限一年,即从2005年开始评估,2006年6月30日前将评估结论写入年度财务报告中。
到目前为止,我国在美国上市的公司共有34家,这些企业都面临执行404条款的问题。与此同时,公司所聘请的审计师,要核实公司管理层作出的评估,并另行出具报告。从国内看,2001年10月,中国证监会发布了《关于做好证券公司内部控制评审工作的通知》,要求证券公司聘请有证券职业资格的会计师事务所对公司内部控制进行评价,并提交评价报告;中国证监会首席会计师张为国在2002年也曾指出,拟在3年~5年内借鉴美国《萨班斯-奥克斯利法案》中有关完善上市公司内部控制及其报告制度的做法。但是,推行上市公司内部控制评价制度,其基础是必须建立一套科学、统一的内部控制制度。目前,我国在这方面已经开始起步,如民生银行制定了《商业银行内部控制指引》,中国证监会制定了《证券公司内部控制指引》,对防范金融风险发挥了积极的作用,但由于这些制度具有较强的行业特征,适用面也比较窄,难以体现普遍性、统一性和公认性。随着中国加入世贸组织,要求各企业逐步建立符合国际化要求的管理体系,其基础,就是要建立现代化的内部控制体系。各企业的高层管理者希望了解内部控制理论与实践知识的要求,空前高涨,迫切需要科学、详尽、理论与实践并重、宜于操作、与国际接轨的内部控制建设理论的相关指南。
三、结论
为督促公开发行公司建立内部控制制度,使其营运及财务资讯透明化,以强化其经营风险之控管,并藉此达成提升公司营运效果及效率、保障公司资产安全及维护股东权益之目的,证券暨期货管理委员会(以下简称证期会)订定内控准则,供公开发行公司于建立内部控制制度有所遵循。内控准则共五章,计四十五条。其重点如下:
(一)第一章 总则,包括四项条文,分别订明:
(1)内控准则订定之法令依据。
(2)内控准则使用范围。
(3)公开发行公司内部控制制度之目的。
(4)公开发行公司应订定书面之内部控制制度,并应充分考量独立董事之意见,以强化公司治理。
(二)第二章 内部控制制度之设计及执行,包括五项条文,分别订明:
(1)公司订定内部控制制度时,应考量整体营运活动。
(2)公司于设计内部控制制度时应综合考量内部控制制度之组成要素。
(3)公开发行公司之内部控制制度得以交易循环区分控制作业。
(4)公开发行公司建立之内部控制制度,除交易循环外,尚应建立各项管理控制作业。
(5)使用电脑化资讯系统处理者应建立之控制作业。
(三)第三章 内部控制制度之检查,包括下列三节:
1、第一节 内部稽核,包括十一项条文,分别订明:
(1)内部稽核的目的。
(2)内部稽核单位之设置位阶及内部稽核人员之适任条件,及稽核单位主管之任免程序。
(3)公开发行公司所订定稽核实施细则之范畴。
(4)公开发行公司应事先拟订年度稽核计划,据以检查及评估公司之内部控制制度,及应将重大财务业务行为之控制作业,列为每年年度稽核计划之稽核项目。
(5)公开发行公司之内部稽核报告应据实揭露缺失及异常事项,确实陈核及追踪,并列为各部门绩效考核之重要项目。
(6)公司应将稽核报告及追踪报告迅速交付予监察人查阅,及内部稽核人员及监察人应尽之职责,以发挥内部稽核之效果及强化公司治理。
(7)公开发行公司稽核人员应具超然独立立场及其行为规范。
(8)公开发行公司内部稽核人员应依证期会规定持续进修。
(9)公开发行公司应定期透过证券交易所或证券柜台买卖中心以网际网路资讯系统申报稽核人员名册。
(10)公开发行公司应定期以网际网路资讯系统申报次一年度稽核计划及上一年度之年度稽核计划执行情形。
(11)公开发行公司应定期以网际网路资讯系统申报上一年度之内部控制缺失及异常事项改善情形。
2、第二节 自行检查及内部控制制度声明书,包括四项条文,分别订明:
(1)自行检查之目的及范围。
(2)自行检查内部控制制度之作业程序。
(3)公开发行公司自行检查内部控制制度评估结果之分类。
(4)公开发行及首次办理股票公开发行之公司应每年自行检查内部控制制度,作成内部控制制度声明书报证期会备查,并对投资人揭露。
3、第三节 会计师专案审查,包括十三项条文,分别订明:
(1)会计师执行公开发行公司内部控制制度专案审查应依内控准则规定办理,内控准则未规定者,应依一般公认审计准则办理。
(2)会计师专案审查之目的。
(3)得受托专案审查公开发行公司内部控制制度之会计师需符合之资格条件。
(4)会计师执行公开发行公司内部控制制度专案审查之范围。
(5)公开发行公司内部控制制度专案审查所应涵盖之期间。
(6)会计师执行公开发行公司内部控制制度专案审查,应遵循之审查准则。
(7)会计师执行公开发行公司内部控制制度专案审查之程序。
(8)会计师审查受查公司出具之内部控制制度声明书所声明之事项之审查意见种类。
(9)会计师表示审查意见外,如欲强调某一重大事项时之做法(应单独以说明段于审查报告详述)。
(10)会计师未取得受查公司针对相关内部控制制度之声明书者,应出具审查报告之格式及内容。
(11)会计师外勤工作完成日为出具审查报告日期。
(12)会计师应对审查公开发行公司内部控制制度所发现之缺失出具内部控制建议书。
(13)会计师受托执行首次办理股票公开发行公司之内部控制制度专案审查之办理依据及所应涵盖之期间,及会计师应另针对首次办理股票公开发行之公司取得或处分资产、从事衍生性商品交易、资金贷与他人、为他人背书或提供保证订定相关作业程序表示意见(以单独一段文字,于审查报告中作适当之说明)。
(四)第四章 对子公司之监理,包括四项条文,分别订明:
【关键词】 内部控制; 检查监督; 有效性; 内部控制评价
监督检查在coso内部控制框架报告中是构成内部控制的五个要素之一。虽然这份于1992年发布的报告指出了监督检查能够帮助企业保持内部控制的有效性,但正如委员会主席larry e. rittenberg所说,很多企业在实际运用coso内部控制框架理论过程中,没有充分利用监督检查这一要素①。
2007年9月,coso委员会发布了《内部控制系统监督检查指南》讨论文件(guidance on monitoring internal control system,下文将其简称为《指南》),旨在提高对有效监督检查的理解,推动其应用,以改进内部控制系统的有效性。正式文件计划于2008年年中发布。
《指南》得到的反响并不很热烈,在肯定其积极意义之后,反馈意见更多的是问题和担心,如:pwc认为《指南》对监督检查一些概念的解释可能会产生混乱,应注意与coso1992年和2006年的报告完全一致,而且从术语、概念和原理上应与sec和pcaob发布的管理层和审计师评价指南一致,当前业界最为关心的还是财务报告内部控制有效性的评价,《指南》应在这方面提供帮助等等。德勤也有类似担心。
笔者认为,《指南》作为一个“后来者”,面临上述疑问是正常的。但作为监督检查这一基本内部控制要素的应用指南,不仅将在提高内部控制有效性上发挥作用,也将因其推动建立内部控制评价的基础,对外部监管方面具有不可低估的意义。
一、主要内容介绍
(一)总结了有效监督检查的两个原则
1.持续监督检查和/或单独评估应能使管理层了解内部控制的各要素是否随时间继续有效。
2.内部控制缺陷应被查出并及时传达到负责纠正的人员和管理层,如有必要应报告董事会。
这两个原则已经体现在1992年的《coso框架报告》和2006年的《小企业财务报告内部控制指南》之中②,《指南》的目的是进一步推动对有效监督检查概念的理解,使各类组织充分认识和发挥监督检查要素的作用。
(二)归纳分析了影响监督检查有效性的主要因素
三个因素影响监督检查的有效性:1.监督检查开展的控制环境;2.根据风险水平采用有效监督检查程序和分配监督检查资源的能力;3.向适当人员及时报告包括控制缺陷在内的监督检查结果的能力。
《指南》对三个要素进行了展开分析,详细阐述了为保证监督检查有效每个方面应有的要求或应达到的标准。一是控制环境方面的要求:首先,管理当局应对监督检查高度重视;其次,监督检查人员应专业胜任、公正并被适当授权。二是根据风险水平采用有效监督检查程序和分配监督检查资源的能力。影响监督检查计划的因素有:组织规模与复杂性、经营活动的特性(如是否经常变化、是否容易发生舞弊等)、监督检查的目的(如内部管理需要还是满足外部监管法规的要求)、控制活动对达成组织目标的重要性等。应基于风险评估的结果进行优先级排序,分配资源,采取相应的监督检查方式。有效的监督检查应收集并分析充分适当的信息,形成具有说服力的关于内部控制有效性的结论。三是向适当人员及时报告包括控制缺陷在内的监督检查结果的能力。
发现的控制缺陷必须及时通报到控制运行的责任人及其直接上级,以保证及时采取纠正措施。向其它方面报告的对象和报告频次取决于相关控制的重要性和检查出问题的严重性。应根据风险可能带来的损失及发生的可能性来评估控制缺陷的严重性,并有具备适当独立性的人员参与。
(三)不仅适用于财务报告内部控制目标,也适用于其它内部控制目标
适当设计并执行的监督检查工作可为满足外部披露等监管要求提供支持。
二、意义分析
《指南》具有以下方面的重大意义:
(一)加强对监督检查要素的理解、应用,推动提高内部控制有效性
内部控制的难点在于保持其有效性,这也从屡屡发生的因内控失效而给企业带来巨大损失案上得到印证。这种挑战也是任何一家管理先进的国际企业所面临的,如2008年1月24日刚爆出的法国socgen银行(法国第二大银行)72亿美元损失的失控交易案。
不断发生在这些国际知名企业身上的内控“重磅炸弹”给了人们更深层面的警示:即使建立了一整套详细的内部控制制度、配备了庞大的风险管理团队,内部控制可能仍不是有效的。
coso委员会1992年《内部控制框架报告》和2006年《小型上市公司财务报告内部控制指南》引入并从原则上阐释了监督检查的角色和作用,但在指导应用方面还不够。《指南》分析了有效监督检查的各构成要素,并提供了具体应用的原则和方法,因而能够改变其目前未得到充分利用的状况,极大地推动这一关键内部控制要素的广泛应用。
监督检查要素作用的发挥对我国现阶段企业内部控制状况的提高尤其重要。有效的检查监督能够:1.曝光不执行制度的行为,督促制度的有效执行和完善。2.在控制缺陷造成重大损失之前发现并及时改进。
控制缺陷的存在具有一定客观性,有两个原因:内部控制设计者的认识局限性;环境或业务的变化带来新的风险或使原有控制活动失效。但动态地来看,控制缺陷一开始带来重大损失的可能性很小,这是因为认识局限性普遍存在,可以利用漏洞的人员没认识到漏洞的存在,或虽然认识到,但需要时间酝酿准备。公司文化对舞弊也有不同程度的抑制作用。这还与企业发展阶段有关。高速成长的企业员工面临较大发展空间,从事舞弊的可能性要低。但必须清醒意识到,随时间的推延,控制缺陷被利用的可能性将显著增加。
假定内部控制检查者与可能利用控制缺陷人员对内部控制的认识大体同步,或虽然认识较晚但期间受其他因素作用,尚未造成重大损失,此时检查评估将可以发现控制缺陷并予以解决,避免重大损失的发生。
这是一个弱假定,管理基础好的企业有着强的内部控制建设专业队伍,企业文化对员工也有较强的影响力。但这一假定比较符合当前我国现实:企业内部控制缺陷大量存在,正被不法人员利用或已达被利用的边缘。有效发挥检查监督要素的作用,做实检查监督对我国企业尤其紧迫。
(二)为内部控制的外部监管提供支撑
上世纪九十年代爆出的安然、世通等巨型公司倒闭案,促使美国于2002年颁布了sox法案,强制要求上市公司企业管理当局报告内部控制系统的有效性,并要求从事财务报表审计的注册会计师就管理当局的报告出具审计意见。美国的做法在世界范围引起强烈反响,各国纷纷探讨效仿美国这一做法的可行性。但几年过去,从目前来看,这种对企业的强制要求并没有在世界范围推广开来,直接原因是强制披露内部控制有效性被认为将大大加重企业负担,审计风险也显著增加。欧盟经过广泛讨论,认为内部控制应关注全方位的风险,而不应局限于财务报告目标上。我国目前也处于讨论探索阶段。
如何降低内部控制有效性评价的成本也是美国面临的难题,sox法案正式执行后美国相关各方不断采取措施以图解决这一矛盾,如pcaob于2007年5月颁布as5,对审计准则进行了重大修订;coso于2006年发布了小企业财务报告内部控制指南;sec于2007年6月发布了管理层关于财务报告内部控制有效性的评价报告指南等等。
之所以出现企业在披露内部控制有效性时成本过大的问题,原因在于内部控制系统的监督检查没有规范化,缺乏平时积累。《指南》从以下方面为建立系统规范的监督检查机制提供了指导:
1.根据控制目标的重要性和控制的强弱状况,区别监督检查的主体(自己、同事、上级或/和内部审计)、方式(持续监督或/和单独评估)以及频次。
2.根据监督检查结果的重要性确定报告的对象,但控制缺陷必须通报到控制责任人及其直接上级,以及时改进。
3.层层监督。下级组织的监督检查活动是上级组织监督检查的对象,董事会及其审计委员会对企业管理当局的监督检查活动实施监督检查。
4.文档积累。根据内部管理需要和外部披露要求对监督检查的过程和结果进行存档。
《指南》还提供了从公司总体层面保持内部控制系统有效性的动态监督检查方法,如图1所示:
企业首先需要形成有效的控制基点,如没有就需要对现行内部控制的设计和运行进行系统的自我评估,改进存在问题;然后通过变化识别和变化管理,改进因内外部因素变化而失效的控制,对新产生的风险实施管理,形成新的控制基点。企业需要进行阶段性单独评估来确信新控制基点的有效性。
遵循以上原则和方法,企业可以对内部控制实施持续有效的监督检查,在保持和持续改进内部控制有效性的同时,也可以容易地满足外部监管要求,如对外披露内部控制有效性。
《指南》之所以反应并不十分强烈,主要原因是美国相关方面已颁布了一系列法规或指南,如pcaob的as5、sec的管理当局评价指南等,《指南》作为“后来者”,需求性自然会减小;另一方面,有关概念的一致性确实是《指南》当前需面对的现实环境。
我国还没有就内部控制有效性向企业提出强制披露要求,注册会计师也没有相关审计的法定责任,相关的法规和标准尚处于论证过程之中。对企业内部控制实施外部监督是完善公司治理、促进公司改进管理的有益手段,广大投资人越来越强烈的需求也反映了这一趋势。《指南》将推动企业在各层级建立起系统有效的监督检查,为外部监管的开展打下坚实基础。
三、建议
《指南》中控制环境是影响监督检查有效性的三个要素之一,具体分为管理当局对监督检查的重视以及监督检查人员专业胜任、公正并被适当授权两方面。笔者认为,控制环境不仅仅影响监督检查的有效性,它甚至是监督检查能够有效发挥作用的前提条件。除《指南》中所述两方面,下列控制环境要素也十分重要:
(一)内部控制责任的落实
有两个方面要求:1.各级管理人员对所负责业务内部控制的有效性负责。部门负责人因而有较强的动力对所负责的内部控制实施自我评估,对其下属部门或人员内部控制职责履行情况实施检查监督。2.每个制度或流程都有其负责人(owner),对流程的有效执行和改进负责。这一点对横跨多个部门的流程尤其重要,防止“铁路警察”情形的出现。明确的责任分解为检查监督提供了有效发挥作用的环境。检查出问题后找不到明确的责任部门或责任人将极大削弱其应有作用,是检查监督者的最大尴尬。
(二)有奖有罚的激励机制
问题暴露出来后,及时解决问题,找出其产生的根本原因,并从流程或机制上改进应是日常工作必需的要求。同时应对相关人员责任的履行情况有奖有罚。处罚原则有:违规而造成公司损失者应有处罚;一项制度或流程存在严重执行问题而其owner未及时应对,该owner应有处罚;员工违规或未充分履行职责时,其直接上级甚至更高层上级也应因监管责任而接受调查。
公司应鼓励员工发现问题、纠正问题和改进流程。发现自身问题并及时改正,未给公司造成损失应免于处罚,而且这种行为应受到鼓励;对发现流程漏洞并主动跟踪解决的员工,应根据为公司带来的利益而进行奖励。
【主要参考文献】
[1] 赵锡尧.基于美英内部控制评价与报告体系比较的思考与借鉴.审计月刊,2007年5月.
[2] 潘秀丽.内部控制信息披露中相关主体责任界定的现状及改进.中国注册会计师,2006年9月.
[3] 陈关亭,张少华.论上市公司内部控制的披露及其审核.审计研究,2003年6月.
[4] 李爽,吴溪.内部控制鉴证服务的若干争议与探讨.中国注册会计师,2003年5月.
[5] coso. internal control - integrated framework (executive summary). 1992.
[6] coso. guidance on monitoring internal control systemdiscussion document, sep. 2007.
[7] coso. internal control over financial reporting —guidance for smaller public companies.2006.
[8] pcaob release no. 2007-005 may 24,2007,auditing standard no. 5 an audit of internal control over financial reporting.
[9] discussion document comments by pwc on guidance on monitoring internal control system discussion document.
[10] discussion document comments by deloitte on guidance on monitoring internal control system discussion document.
关键词:控制自我评估 内部审计 注册会计师 内部控制报告 政府监督
企业内部控制是企业为了达到某种或某些目的,针对企业内部各生产要素和各项经济业务活动而采取的一系列具有控制能力的方法、措施和程序并予以规范化、系统化的一整套严密的控制制度。要确保这套制度能够被切实地执行且执行的效果良好,并能够随时适应新情况,内部控制就必须被监督。监督就是随着时间的推移评估制度执行情况的过程。为了进一步防范企业内部控制在设计和执行中可能面临的风险,就必须从企业内部和企业外部两方面建立监督机制。
建立“三道防线”,加强对内部控制的监督
企业作为内部控制的制定者、执行者和受益者,首先需要对自身的内部控制进行监督。在监督过程中,三道防线的建设是不可缺少的。
建立经营管理部门的“控制自我评估”机制
作为企业的经营管理部门,首先要重视内控,并将其视为本身的基本职责,而不应把内容丰富的内控工作统统推给审计或稽核部门。
在加强对企业内部控制监督建设上,要借鉴国外成功企业的先进管理经验,建立企业管理部门的“控制自我评估”(CSA)机制。这个机制就是要求企业的经营管理部门要不定期或定期地对企业的内部控制系统进行评估,评估企业内部控制的有效性及实施的效率、效果,以期能更好地达成内部控制的目标。这是对企业内部控制设计和执行情况进行监督的第一道防线。
强化企业财会部门的后台监督
这是化解企业内部控制设计和执行风险的第二道防线。财会部门及其管理人员负有履行后台监督的重要职责,企业每一项业务的收付和债权债务的发生都会在帐面上反映出来,这本身就是一种监督;会计人员在会计核算中注重反映的真实、准确和完整,并有责任以会计资料为依据,控制企业经济活动按预定目标进行,并报告所发现的违法违规的财务事件;财务主管在帐务汇总和财务报表分析后也可以发现经营管理活动中的种种问题,促使企业遵守国家法律和政策,加强经济核算,提高经济效益。财会部门不仅要把第一道防线上遗漏的大量问题尽力查找出来,而且要从管理会计的角度,在更深层次和更大范围内发现问题,研究对策,预测风险。不过目前,一些财会部门忙于一般性的会计核算,加上种种原因造成责任心不强,尚未充分发挥会计监督的职能和管理会计的职能。
强化企业内部审计,实现“再监督”
这是防范风险的第三道防线。内部审计是一种独立的、客观公正的、并能够提出指导性建议的行为,以使企业能够创造更多的价值,并提高其运作能力。它通过采用一套系统严谨的方法对风险进行估量,并提高风险管理、控制与监督的有效性,最终帮助企业达到预期的目标。尽管从监督职能的角度来看,内审部门的工作量应大大少于经营管理部门的自我评估检查和财会部门的管理监督,但由于内审部门的独立性和应有的权威性,加上其组织系统的垂直性,赋予了该部门特殊的重要职能:即内部审计部门的职能除了审核企业会计帐目之外,还包括稽查、评价内部控制是否完善和企业内部各组织机构执行指定职能的效率,并向企业最高管理层提出建议和报告。我们可以把内审部门在内部控制中的监督职能视为一个反馈装置,负责对其受控对象的信息输入进行采集、量化和比较,再产生控制信号并转化为控制力作用于受控对象,使其按照既定的目标运行。也可以说,内部审计部门的监督职能在于提供对一个单位的内部控制加以系统地检查和评估,提交审计报告,其中包括对各种经营活动无偏见的、公正的、实事求是的分析和经过证实以后而应采取改进行动的合理建议,以协助各级管理部门有效地履行其职责。
与此同时,内部审计部门和内部审计师还应帮助企业进行“软控制”环境的营造。“软控制”环境的营造主要围绕现代管理与监督理念、企业伦理道德与企业文化以及企业最高管理境界――“无为而治”来进行,提高控制与监督的层次。达到“内部审计师的使用将从简单的‘我们实施审计’向‘我们帮助创建一些制度和理念,以期达到组织成功所需要的内部控制水平’的方向发展”。
以社会力量加强对企业内部控制的监督
在发挥企业内部监督作用的同时,还需要利用社会力量对企业内部控制进行监督。
注册会计师对企业内部控制的监督
注册会计师对企业内部控制的监督是社会监督最主要的形式,这种监督形式是通过注册会计师对企业内部控制的审计、评价实现的。在进行评审之前,注册会计师应当依据国家有关内部控制的规范,制定对企业内部控制实施审核的工作计划,以确定内部控制测试和评价的程序和范围。根据已制定的审核计划,注册会计师按以下程序展开对企业内部控制的评审监督:
调查、了解企业的内部控制 调查了解企业的内部控制是进行内部控制评审时必须实施的首要环节。作为评审人员,只有在通过询问、查阅、了解等方式对企业内部控制有了概括印象的基础上,才能进一步展开评审内部控制的程序。在对内部控制调查了解时,评审人员应将企业的经济业务划分为若干业务循环,针对每一业务循环的关键控制点,进行重点调查,以合理保证发现内部控制中潜在的薄弱点,促进内部控制更健全完善。对于调查了解到的情况,评审人员可运用文字叙述备忘录、问卷、流程图等方法记录于审计工作底稿中,为形成恰当的结论提供依据。
对内部控制进行符合性测试 对企业内部控制调查了解的目的主要是摸清企业内部控制是如何设计的,而至于这种设计是否合理,其运行是否有效,其执行是否有力,注册会计师需要对内部控制进行符合性测试。符合性测试是在了解内部控制的基础上,搜集必要的证据,以确定内部控制设计和执行的有效性。注册会计师应从内部控制设计和内部控制执行两个方面进行测试。设计测试主要测试被评审单位的控制政策和程序的设计是否合理、适当,能否防止或发现和纠正重大的错报或漏报;执行测试主要测试被评审单位的控制制度是否真正发挥作用,被评审单位的控制制度设计得再好,如不严格执行,也不能减少财务上错报漏报的发生。
对内部控制进行评价 通过对企业内部控制的测试,注册会计师应对其作出严格的评价。一是要评价内部控制的有效性。通过对内部控制的符合性测试,可以评价被审单位的内部控制的设计和贯彻执行情况。如果设计和执行的有效,那么会计信息的可靠性程度就高,因而也可相应地减少审计程序,减少审计工作量。相反,如果执行无效,则会计信息的可靠性程度就差,相应地也应加大审计程序。二是要评价内部控制的风险水平。评审人员在对被审单位内部控制设计的适当性和执行的有效性进行评审后,应进一步对被审单位内部控制的风险水平作出评价。对内部控制风险水平的评价通常可分为高、中、低三个等级,分别代表内部控制未能防止或查出财务报表中包含的错误,而导致审计结论偏离客观事实的可能性大于40%、在10%和40%之间、低于10%。与内部控制风险水平高低相对的是内部控制的可信赖程度。一般来讲,风险水平越高,可信赖程度越低;风险水平越低,可信赖程度越高。
对企业内部控制的有效性和风险水平进行评估后,注册会计师应进一步审核被审单位的会计信息及有关的经济信息的真实性、正确性,将审核的结果作为审计证据,并据以作出有关的审计结论。通过注册会计师一系列的评审并作出的审计结论,帮助和督促企业设计更好的内部控制并执行。
企业外部信息使用者对内部控制的监督
内部控制报告是指企业管理者依据内部控制有效性的评价标准,对企业内部控制的设计和执行的有效性进行评估后,将结果提供给外部信息使用者,以满足利害关系人对管理信息的需求的报告。
企业提供内部控制报告的目的在于向外部信息使用者表明企业的内部控制是否有效。外部信息使用者之所以关心企业的内部控制,是因为他们作为资源提供者将资源提供给企业,委托企业进行经营管理,他们希望企业管理者能尽职尽责地完成受托责任,保证资产的安全与完整,并定期报告受托责任的履行情况。如果企业没有健全的内部控制或内控制度失效,则会导致企业的资产受到损失,使资源提供者蒙受损失。通过内部控制报告,信息使用者可以在一定程度上了解企业的管理控制是否有效,了解其投入的资源是否安全。所以,通过企业提供的内部控制报告,外部信息使用者可以加强对企业内部控制的监督,这将有助于改善企业的内部控制系统,减少管理舞弊和财务报告操纵,也保护外部信息使用者自身的利益。
加强政府的监督
内部控制的产生及发展,总是与一个国家或地区的社会生产力水平相适应的。从某种意义上说,企业内部控制也是国家宏观控制的组成部分。建立良好的社会主义市场经济秩序,企业内部控制是基础,但政府及其职能部门的管理、监督、控制也决不可少,对于国有企业来讲,政府的监督尤为重要。
推进企业内部控制的建设并加强对其监督是市场经济国家通行的做法。20世纪70年代到80年代,美国政府就通过法案加强企业的内部控制,如《反国外行贿法案》(FCPA);在80年代出现一些企业财务舞弊案件后,成立了Treadway委员会(反对虚假财务报告委员会),该委员会的《内部控制――整体框架》在内部控制发展史上有着重要的影响。
当前,我国的国民经济出现了前所未有的增长速度,综合国力大大增强,但出现了在新旧体制转换过程中的复杂现象,腐败现象呈“高发”态势,这不仅与企业内部控制执行不利有关,也与政府及其职能部门监管不力有关。因此,政府要以法律为手段,加强宏观控制,打击和遏制经济犯罪,促进社会主义市场经济的健康发展。以企业内部会计控制为例,政府要强化《会计法》、《内部会计控制规范》等法律法规的执行和检查监督,尤其是要加强对大型国有企业和上市公司的内部控制的监督。《会计法》第33条规定,财政、审计、税务、人民银行、证券监管、保险监管等部门应依照有关法律、行政法规规定的职责,对有关单位的会计资料实施监督检查。通过这种治本式的监督检查,确保国有资产的完整和增值,进而强化企业内部控制,提高企业管理水平,提高企业的竞争力。
参考资料:
1.王世定,《企业内部控制制度设计》,企业管理出版社,2001
2.杨有红,《企业内部控制框架》,浙江人民出版社,2001
3.程欣荣,如何进行内部控制制度审计,《会计之友》,2001(9)
上海证券交易所(以下简称“上交所”)要求在上交所上市的“上证公司治理板块”样本公司、 发行境外上市外资股的公司及金融类公司,在 2009 年年报披露的同时,披露董事会对公司内部控制的自我评价报告(以下简称“内控报告”)。
为了解这些上市公司的内控报告情况,安永会计师事务所对在上交所上市的 267 家需要披露内控自我评估报告的上市公司做了调查分析,报告分析的截止日期为 2010 年 5 月 6 日。以下对内部 控制报告与披露情况进行概括分析。
内控报告分析
截至 2010 年 5 月 6 日,在强制披露董事会对内控我评估报告的 267 家上市公司中,未披露内控自我评估报告的有 1 家。在已披露内控自我评估报告的 266 家公司中,在年报中说明已聘请中介机构发表鉴证报告的有 139 家,占已披露内部控制自我评估报告的公司总数的 52%以上。
在内部控制评价范围方面,97%的企业披露了针对全面内部控制的自我评估报告,而 9 家企业 (3%)将内部控制自我评估的范围限定在财务报告内部控制方面,仅披露了针对与财务报告相关的内部控制。
在 266 家上市公司中,大部分企业是按照财政部《企业内部控制基本规范》规定的五项要素披露的,有 204 家(占已披露总数的 76.7%),按照《上海证券交易所上市公司内部控制指引》规定的 八项要素披露的有 5 家(占已披露总数的 1.9%),如图 1 所示。
企业对于内部控制有效性的结论也采用了不同的语言。报告结论按照《董事会关于公司内部控制的自我评估报告》格式指引(以下简称“格式指引”)的要求,披露为有效即“制度健全且执行有效”的有 146 家,占已披露总数的 55%;而 45%的企业采用了“基本有效”的提法或未对内部控制 是否有效做出结论。其中,披露为“制度基本健全、执行有效”的有 74 家,占已披露总数的 28%; 披露为“制度基本健全、执行基本有效”的有14 家,占已披露总数的 5%;未按照格式指引的要求明确有效或无效的有 32 家,占已披露总数的 12%。详见图 2 分析。
此外,报告中披露内控缺陷的有 3 家,约占已披露总数的 1%;未披露内控缺陷的有 263 家, 约占已披露总数的 99%。(见图2)
鉴证报告分析
调查显示,在注册会计师的内部控制鉴证方面也存在着一定的差异,52%的企业(139 家)披露了内部控制鉴证报告。其中,有 126 家披露了鉴证报告(占年报中说明已聘请中介机构发表鉴证 意见公司总数的 91%),有 13 家未披露中介机构的鉴证报告(占年报中说明已聘请中介机构发表鉴证意见公司总数的 9%)。然而,13 家未披露中介机构的鉴证报告的公司,在自我评估报告中提及鉴 证结论的有 9 家,另外 4 家在上交所网站未找到披露的鉴证报告及意见。详见如图 3 分析。
在年报中说明已聘请中介机构对内部控制自我评估报告发表鉴证意见的 139 家上市公司中,鉴 证报告明确控制有效的有 102 家(占披露公司总数的 73%),未明确有效意见的 33 家(占披露公司 总数的 24%),另外 4 家在上交所网站未找到披露的鉴证报告及意见,故无法判断其鉴证意见,详见如图 4 分析。
关键词:上市公司;内部控制审计;内部控制审计报告
中图分类号:F239 文献标识码:A
收录日期:2015年1月28日
一、内部控制审计报告的意见类型
根据五部委《企业内部控制审计指引》以及中注协《企业内部控制审计指引实施意见》要求,内部控制审计报告意见类型分为四种,即“无保留意见”、“带强调事项段的无保留意见”、“否定意见”和“无法表示意见”。各项意见的具体含义是:
“无保留意见”:在基准日,被审计单位按照适用的内部控制标准的要求,在所有重大方面保持了有效的内部控制。注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。
“带强调事项段的无保留意见”:内部控制虽然不存在重大缺陷,但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意,注册会计师应当在内部控制审计报告中增加强调事项段予以说明。该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对内部控制发表的审计意见。
“否定意见”:如果认为内部控制存在一项或多项重大缺陷,除非审计范围受到限制,注册会计师应当对内部控制发表否定意见。
“无法表示意见”:注册会计师只有实施了必要的审计程序,才能对内部控制的有效性发表意见。如果审计范围受到限制,注册会计师应当解除业务约定书或出具无法表示意见的内部控制审计报告。
“无保留意见”审计报告也称为“标准审计报告”,其他意见的审计报告均称为“非标准审计报告”。取得标准审计报告是每一家上市公司的追求目标。
二、2012年度上市公司内部控制审计总体情况
2012年度我国上市公司首次全面实施《企业内部控制基本规范》及其配套指引。2014年1~4月期间,47家证券资格会计师事务所为949家上市公司出具了内部控制审计报告,具体情况见表1。相比2011年只有67家公司的情况,在数量上有很大幅度的提升,内部控制审计将会越来越受到重视。(表1)
三、24份非标准审计意见原因解析
2012年度被出具了非标准审计意见报告的24家上市公司中,4家为否定意见,20家为带强调事项段的无保留意见。
(一)“否定意见”审计报告原因解析
1、黑龙江北大荒农业股份有限公司(以下简称北大荒)。北大荒被出具“否定意见”的原因经分析主要有以下几点:(1)该公司及其子公司的管理层逾越管理权限审批使用资金,且没有对子公司实施有效控制;(2)该公司与其部分子公司在公司治理方面,存在着组织架构不健全或者部分组织机构并未有效运作问题;(3)未能依据有关规章准确有效地进行资产减值测试、定期核对往来款项、依法取得涉税凭证和准确计缴税金等;(4)重大信息内部报告制度未能有效执行,导致未能及时识别出需履行信息披露义务的事项和未能及时履行信息披露义务。
北大荒《内部控制自我评价报告》中提到,公司治理结构有待进一步完善,有关披露的重大、重要缺陷主要包括发展战略缺失、岗位职责不明确、大额资金运作审批操作不规范、信息披露不及时等方面。结合《内部控制审计报告》与《内部控制自我评价报告》不难发现,北大荒在内部控制的设计、运行两个层面均存有重大缺陷。具体来说,设计层面的重大缺陷主要集中在不相容职责分离、全面预算和制度建设方面;运行层面的重大缺陷主要集中在授权审批、治理架构、信息沟通和制度执行方面。
2、天津环球磁卡股份有限公司(以下简称天津磁卡)。天津磁卡被出具“否定意见”的原因经分析主要有以下几点:(1)未能有效执行按月对账制度,导致往来账户长期、经常出现差异却未被发现,且在结账环节,并未合理确定本期应计提的坏账准备;(2)未建立投资业务的会计系统控制,因此未能及时、准确地确认投资收益及合理计提减值准备;(3)未组织固定资产盘点即进行了年度财务决算,存货盘点结果也未及时进行账务处理;(4)销售业务会计处理不规范,存在未发货而提前确认收入、未确认成本的情况,以及已发货、满足收入确认条件而未确认收入成本的情况;(5)未建立期末财务报告流程控制制度,未见管理层及治理层人员对期末报告流程进行监控,缺乏财务报表的复核及审批控制,重要子公司历年的审计调整事项均未做账务处理。
根据《内部控制审计报告》可以发现,天津磁卡设计层面的缺陷主要集中在会计控制、制度建设和资产清查方面;运行层面的缺陷主要集中在制度执行方面。天津磁卡《内部控制自我评价报告》中认为,其在财报相关的内部控制上是有效的。同时,虽然披露了部分内控缺陷,包括资产盘点、往来账核对、投资业务的会计系统控制问题,但仍未说明具体的内控缺陷认定标准,也没有说明上述缺陷的重要性程度,是重大缺陷、重要缺陷还是一般缺陷。
3、广西贵糖(集团)股份有限公司(以下简称贵糖股份)。贵糖股份被出具“否定意见”的原因经分析主要是成本核算基础薄弱:
部分暂估入账的大宗原材料缺少原始凭证(如没有入库单或入库单信息不完整),影响该存货的发出成本结转与期末计价的正确性。导致该公司2012年度未审计财务报表的本期和前期数据中“营业成本”、“应付账款”、“存货”等项目存在重大会计差错。
在该公司内部控制自评报告中并未认同这一结论。贵糖股份认为,这仅仅是由于公司和事务所在原材料核算办法上存在认识差异,公司跨会计年度采购原料,之前的核算方法是行业普遍存在的,先前的会计事务所也未对此提出重大异议,因此才在本次自查中问题。
4、深圳海联讯科技股份有限公司(以下简称海联讯)。海联讯被出具“否定意见”的原因经分析主要有以下两点:(1)因涉嫌违反证券法律法规被中国证券监督管理委员会立案调查;(2)因重大前期差错更正了已经的2009年、2010年、2011年三个年度的财务报表。海联讯在《内部控制自我评价报告》中指出,公司未能有效执行内控制度,对于存在重大缺陷、与财务报表准确性相关的内控制度地执行,需作整改。
(二)“带强调事项段的无保留意见”审计报告原因解析。在20份(上海三毛、江淮汽车、ST宜纸、上海机电、凤凰光学、恒源煤电、深天地A、大地传媒、南京医药、ST狮头、*ST长油、康达尔、*ST凤凰、海南椰岛、天路、国通管业、香梨股份、工大高新、马钢股份等)带强调事项段的无保留意见内部控制审计报告中,有一些强调事项是对内部控制审计范围进行附加说明,有一些是对公司重大或突发事项进行特别公告,因此,强调事项并不完全是由内部控制缺陷所带来的。与内部控制缺陷相关的强调事项可以归为以下几类:1、不相容职责未得到充分有效地分离,这主要是由于组织结构和岗位设置的不健全性造成的;2、制度规定不够明确,这主要体现在部分关键业务和流程方面;3、内部控制管理过程中部分重要资料有所缺失;4、内部控制制度没有得到有效执行;5、部分业务的会计处理与企业会计准则的要求不符。
四、24份非标准审计意见中关于内控缺陷的分析
(一)设计缺陷与运行缺陷
1、2012度内部控制审计报告披露出来的重大缺陷,按照设计层面、运行层面进行分类,设计类缺陷为14个,运行类缺陷为10个,占总数的百分比分别为58%和42%,各企业管理层应予以关注,从而有的放矢地完善本企业的内部控制。
2、企业制度和流程的缺失会带来设计有效性缺陷,使得相关风险不能得到有效控制,无法达成控制目标,必然会对企业带来不利影响。设计有效性缺陷重于运行有效性缺陷,它应是企业关注的重点。对制度、流程进行不断地梳理完善,设计有效性缺陷的比例将会不断下降。
3、运行性缺陷,一方面是由于内部控制的局限性(如联合舞弊、管理层逾权、疏忽大意等)造成的;另一方面是则是由于缺乏有效的内部监督机制造成的。即使企业不存在设计有效性缺陷,也应建立健全内部监督机制确保企业制度及流程的有效运行,以防运行性缺陷可能导致的重大风险。内部监督机制包括日常对各个业务职能部门或管理层工作过程及结果的监控,也包括定期组织的内控自评及内部审计。
(二)缺陷内容分析。2012度内部控制审计报告披露出来的重大缺陷按照缺陷类型可以分为会计控制、不相容职责、全面预算、制度建设、授权审批、治理架构、信息沟通不畅、制度执行、资产清查9个方面。即在各种类型的控制活动中均有可能存在重大缺陷,任意一类控制活动失效均可能导致非标准的内部控制审计意见出现重大缺陷。
但内部控制审计报告披露出来的与制度相关的缺陷有9个,占总体的38%,比例最高。因此,加强制度建设,监督及强化制度执行是完善内部控制的重要措施。首先,企业应当确保既有的制度和流程是规范的、可执行的。其次,企业应该对其进行至少每年一次的梳理,根据经济业务的变化,适时增加新制度、作废不适宜制度、关注制度是否被有效执行。
需要说明的是,各类控制活动均有潜在的风险,企业在内部控制体系的建立与完善过程中,应当综合考量,可以有所侧重,但不可有所忽略。
五、内部控制审计报告质量有待提高
对比上述企业披露的《财务审计报告》和《内部控制审计报告》,发现已披露的内控缺陷主要集中在与财务报告高度相关的领域。出现这种情况的原因主要由于部分会计师事务缺乏内部控制审计经验,内部控制审计范围的选取还仅局限在与财务报告高度相关的领域,甚或是直接与具体的经济损失或财报差错相关,使得多数企业财务审计与内控审计相互整合。
应当注意的是,根据《企业内部控制基本规范》及其配套指引的定义,重大内控缺陷除已产生了经济损失或财报差错的缺陷外,还包括可能会造成潜在损失或错报,以及对企业声誉、安全等定性指标造成损害的缺陷。随着会计师事务所审计经验的不断积累,相信这方面的工作缺失将会得到明显改善。
主要参考文献:
[1]李晓红.2012年度上市公司非标准内部控制审计报告分析[J].中国总会计师,2013.9.
抖音账号:文章写作知识屋 代写文章微信:13258028938 代写文章微信:13258028938