内控合规管理报告篇1
关键词:内部报告体系;业财融合;涉财风险
中图分类号:F275文献标识码:a文章编号:1001-828X(2013)01-0-02
一、内部报告体系建立的背景
随着会计信息系统的发展与完善,人们将会计分为对内的管理会计和对外的财务会计,与之相对应的会计报告被分为外部报告和内部报告。其中外部报告是企业对外提供的财务会计报告,内部报告是企业对内提供的管理报告,内部报告的服务对象为企业的内部管理者。内部报告通常被定义为企业根据其内部管理需要编制,并在企业内部传递,为董事会、管理者和其他员工所使用,为企业经营提供预测、决策、控制和评价等信息的报告。
企业财务信息的准确性,有赖于前端业务执行的合规性。然而,随着经营压力的增大,部分地市公司在宏观经济下行及行业竞争不利变化下,收入增长趋缓,成本空间缩小,但粗放式的管理方式尚未改变,刚性成本扩张难以控制。从而造成财务集中后地市公司财务权利和责任的不对等,出现下属地市公司运用不对称信息来操控业绩以达成Kpi目标的现象。同时,业务部门在签订合同或者办理业务的时候,对于财务政策规定的要求和严肃性缺乏足够认识,可能为公司运营及财务管理带来隐患和潜在风险。因此,要确保财务信息的准确性,必须将财务视角延伸至业务前端,面向业财融合建立发现、预警、整改机制。
对于国有企业尤其是央企来说,由于内部控制自防范国有资产流失中的重要性,内部报告更加偏重于风险控制问题的报告和解决。而作为集中化核算的财务共享中心,由于存在对下属地市公司财务审核及业务稽核的特殊地位,在发现内部控制中存在的问题、防范财务风险方面发挥着重要的作用,从而成为内部报告的主体。
为此,国企尤其是央企在对外定期报告的基础上,通过财务集中监控和业财数据整合,构建内部管理报告体系,面向管理层、地市公司、业务部门、员工等针对性的财务管理信息,有利于提升业务部门的财务风险意识,促进国有资产的保值增值和高效运用。
二、内部报告体系的内容
面向业财融合和价值管理的内部报告体系是以内部控制为主的报告体系。企业内部控制从目标角度可分为实现经营活动有效性控制、会计信息相关可靠性控制和遵循相关法规的控制。在这三种控制中,经营活动有效性控制属于内部管理控制,会计信息相关可靠性控制属于内部会计控制,遵循相关法规的控制属于法规控制。从内部控制目标看,企业决策与控制所需要的相关和可靠的会计信息,本身就包括对外报告信息和内部报告信息;要实现企业战略目标、经营目标和作业目标,关键在于内部经营管理决策,而内部报告信息的相关与可靠程度将决定这些内部决策与控制目标的实现。从内部控制要素看,报告信息都是必要和关键的要素,编制控制报告是进行内部控制的中心任务,而内部报告又是控制报告的有机组成部分。
业财融合不仅要求财务集中在发挥会计监督职能过程中与业务部门紧密协作、沟通,对发现的问题及时传递至业务部门整改,更是业务和财务协同处理跨部门、跨地市的风险问题,有效推动风险问题的整改和解决。价值管理是指以财务集中核算人员为风险管理的主体,以价值异常变动为风险的着眼点,以价值保障为风险管理的目的,以企业价值最大化作为业财融合防范风险的基础。
以风险管控为目标的内部报告体系在完善的财务集中风险控制机制下形成。财务集中风险控制机制是指对涉财风险问题的财务集中监控发现、预警整改、报告巩固的流程和制度体系,明确了业务部门和财务部门在涉财风险问题防范及治理中的责任和行为。
(一)风险问题发现机制
随着财务集中的全面完成,中国移动广东公司财务共享中心以“核算零缺陷”为目标,逐步将视野转向业务规范管理和业财风险的防范,强化会计管理和会计监督职能。
从2010年开始,财务共享中心构建会计发现机制,将在核算过程中发现的有关的财务问题及业务风险汇编成《会计发现》简报,并提出整改措施,由内控管理人员定期检查地市公司整改情况,形成对核算质量管理、业财风险管理的闭环。
具体实施如下:
1.风险问题发现机制,借助财务集中管理平台,集中核算人员在进行账务审核时,对支出的合同安排内容是否合理合法、合同支付额度是否合规,业务模式是否符合财务规定等进行有效监控。通过与业务计费和收费系统集成的营收款稽核系统,对具体业务的应收、实收差异进行稽核,对合作模式及合同的合理性进行审核,从而发现业务设计的不合规风险点。核算人员在发现风险问题后,分析不合规风险问题的性质、违规情况及可能存在的风险,从而形成条目式会计发现备忘。
2.会计发现简报通报制度,内部报告小组负责整理收集核算人员提交的会计发现备忘,并对备忘中记录的会计发现点进行审核确认问题是否属实,讨论确定后汇编成《会计发现》简报,向全省各地市、中心财务一把手通报,以形成风险管控信息共享机制和警示。
通过以上措施,一方面发挥了集中核算人员的会计管理和会计监督作用,提升核算对业务管控的价值;另一方面通过通报形式形成风险警示、信息共享,地市公司有则改之、无则加勉,从而以点带面消除风险隐患。
(二)风险问题预警整改机制
为促进省、市公司对涉财风险问题的及时协同整改、解决,财务部制定了《财务会计问题预警办法》,对财务会计问题的预警—整改—反馈机制进行规范,以有效防范公司运营风险,确保公司可持续发展。
预警分为黄、橙、红、黑四个级别。财务会计问题出现时即予以黄色预警;问题发生单位对财务会计问题特定时间内不响应或整改不力,将自动进行预警升级。根据预警级别,省公司向市公司发送点对点短信进行报告,并发送省公司相关专业部门。预警级别越高,所发送短信的领导级别也越高,从地市财务、专业部门经理到地市公司总经理,省公司分管领导到省公司总经理。
在接收到省公司的财务会计问题预警后,地市公司及时开展相关工作,发生问题的业务部门与所在财务部门协同处理,最终从根本上消除会计风险问题。在问题处理和整改完成后,责任单位(市公司)应及时向省公司提交财务会计问题预警整改处理结果报告。省公司预警工作组评估后解除问题预警。
必要时,由内控人员对地市公司的问题发现及整改情况进行重点巡检,对于会计发现问题遗漏未整改或者整改不力的情况敦促其深入落实执行。
针对本部各部门的风险问题,可通过督办机制来强化问题整改执行力,将风险问题的描述以及性质、金额、整改措施、整改日期等纳入督办,各部门于次月内部报告会议之前反馈督办情况,从而保证了业务部门风险问题的整改。
(三)涉财内部报告机制
财务共享中心为更好地加强本部部门层面的业财信息沟通,进一步推动业财融合,促进发现问题的解决与整改,可建立“涉财内部报告会制度”,定期组织召开本部部门层面涉财内部管理报告会。
会议由财务部编写报告材料,内容主要是近期财务集中监控及财务管理中发现的风险事项,近期重要涉财事项解读及工作安排。会议邀请涉财内部报告中的风险事项相关的部门的分管公司领导、部门领导及业务骨干参加。与会业务部门对报告内容进行充分的讨论,对有关风险问题防范及整改措施、如何强化市公司执行力等问题提出建设性的意见。会议后,形成会议纪要,与内部报告汇报材料一同,形成一期涉财内部报告进行,由相关部门跟进风险事项的整改。
通过涉财内部报告会这个平台,财务部宣传财务政策,扩大财务影响,建立良好的理财环境,树立财务权威的窗口。针对与会部门的涉财信息需求,财务部应做好信息沟通传达、服务支撑工作,获得相关部门的配合支持。
三、内部报告的类型及成效
内部报告体系面向业财融合,支撑公司价值管理,在财务集中平台上充分发挥会计监督职能,对不合规的涉财业务风险进行记录、报告和整改,有效强化涉财业务合规性风险管控,强化业务人员的涉财风险意识,提高业务部门对财务风险问题的认识和风险管控的自觉性,与业务部门建立业财伙伴关系,提升业财合作的和谐氛围。
中国移动广东公司在上述涉财风险问题的发现、预警、整改、报告机制下,针对公司运营管理战略支撑的热点和财务风险管控的重点,先后形成了公司运营管理分析报告、全称本管理信息报告、酬金监控报告、收入分成类结算报告、资金全方位监控报告、库存管理报告、投资一体化专项报告、一站式财务服务报告等内部报告,取得了良好的成效。
经营分析报告对公司经营战略的执行进行监控,为公司的战略制定提供决策参考,促进公司整体持续稳健发展。
全成本管理信息报告以全成本管理信息共享,搭建业财联动的桥梁,助力管理会计核算体系的实现。
酬金监控专项报告,实现酬金预提模板的统一,建立闭环式全在线酬金管理模式,确保酬金管理的准确性、及时性和完整性。
收入类结算内部报告的实施,有效防范结算人为失误的风险,杜绝了重复付款的可能;大大提高工作效率,将付款周期从45天缩短至30天内,账务处理人工耗时减少了50%以上。
资金全方位监控报告借助财务集中监控系统,对省市公司银行资金、营收资金进行一体化、可视化监控管理,保障公司资金的安全和高效增值。
库存管理报告实施后,累计完成库存闲置物资处置约6828万元,占总额2.03亿的33%。全省总体库龄超6个月库存物资比例达到20%以下。
投资一体化实施后,2011年转资率达到70.8%,完成集团公司下达的转资率目标。2011年工程建设进度及转资效率加快,较以前年度同期转资率大幅提升。
三位一体的一站式财务服务得到员工的肯定,财务服务满意度水平逐年提升,从96%提升到99%。
公司将在此基础上,推动内部报告机制的常态化运作和报告体系的全方位覆盖,加强督办整改执行力,发挥内部报告体系对公司的价值保障和价值筹划功能。
面向业财融合和价值管理的内部报告体系有着明确的管理机制和报告机制,重点在于防范企业的资源运用的违规、低效、信息失真等风险,强化省市之间的财务治理和不对称信息下的财务监控,对于国企尤其是央企集团对下属省市公司的管控有着积极的借鉴意义。
参考文献:
[1]刘艳艳.基于价值创造的内部报告体系研究[D].东北财经大学硕士论文.
[2]张先治.企业内部报告及其应用领域[J].财务与会计,2008.
[3]张先治,刘媛媛.企业内部报告框架构建研究[J].会计研究,2010.
内控合规管理报告篇2
【关键词】美国财务报告内部控制;信息披露;启示
安然等公司的会计丑闻促使美国国会痛下决心,最终通过了旨在打击上市公司会计舞弊,保障财务报告质量的《萨班斯法案》。《萨班斯法案》最重要的内容之一就是强制要求符合批报规则的公司对外披露内部控制信息。尽管1991年美国联邦存款保险改进法(FCiCia)曾经要求资产超过5亿美元的金融公司披露内部控制信息,但是像《萨班斯法案》这样要求如此大范围的公司公开披露内部控制信息在美国历史尚属首次。
《萨班斯法案》的影响迅速遍及整个世界。依据欧洲公司治理研究所(europeancorporategovernanceinstitute)的
调查,截至2004年末,已有26个欧洲国家颁布治理法或提议依照《萨班斯法案》强制公司披露内部控制信息。日本国会也于2007年颁布金融工具交易法(financialinstrumentsandexchangelaw),规定所有上市公司在2008年4月1日之后的年报中提供内部控制评估报告。
上市公司披露内部控制信息已经是大势所趋。《萨班斯法案》以及美国财务报告内部控制(internalControlover
FinancialReporting,后文简称iCFR)信息披露相关规则对我国内部控制信息披露政策的制定具有重要借鉴意义。国内已有学者开始这方面的研究。但这些文献主要集中于2002年《萨班斯法案》和2003年美国证券监督委员会(后文简称SeC)最终规则的研究,而在此之后美国内部控制新条款又不断推出,以前的部分规则也发生了较大改变。本文从iCFR新概念的推出入手,重点讨论时至今日美国上市公司iCFR的规则演变,希望对我国上市公司内部控制信息披露政策的制定提供有益的借鉴。
一、iCFR新概念的提出
自20世纪初以来,内部控制的含义不断演化。20世纪初到1936年,内部控制的目的主要是为了保障资产,尤其是现金,不被员工挪用和偷盗。1936年,aiCpa在《注册会计师财务报表检验》(examinationofFinancialstatementbypublicaccountants)公告中将内部控制定义为:“组织所采
用的用以保障现金和其它资产安全以及检查员工账簿记录准确性的方法和手段”。这一定义体现了内部控制的内部检查(internalcheck)功能。1949年,aiCpa程序委员会一份特别报告将内部控制的定义扩展为:“企业所采用的用以保障资产安全、检查会计数据准确性与可靠性、促进经营效率以及鼓励遵守管理政策的组织计划和所有相关方法”。至此,经营效率和管理政策的遵循开始进入内部控制的讨论话题。1958年审计程序公告Sap29将内部控制分成两个主要部分,即内部管理控制和内部会计控制。从此,内部控制的这两种要素逐渐被会计行业所关注。
1985年,一个重要的民间组织全国反舞弊财务报告委员会(俗称treadway委员会)成立,两年后了一个报告建议其发起组织(CommitteeofSponsoringorganizationofthetreadwayCommission,后文简称CoSo)努力整合各种内部控制概念和定义。最终,CoSo于1992年了著名的《内部控制――整体框架》报告。CoSo整体框架将内部控制定义为:“内部控制是一个受到董事会、经理层和其他人员影响的,为合理保证经营效率与效果、财务报告的可靠性、法律法规的遵循性而设计的过程。”CoSo报告影响重大。经营效率与效果、财务报告质量和法律法规遵循的内部控制三要素观逐步为行业所接受。
由此可见,内部控制的含义已经发生了重大改变。内部控制的内容已经远不局限于财务报告的范畴。然而,《萨班斯法案》要求公司对外披露的是旨在保障财务报告质量的
内部控制信息,法案多次提到“财务报告内部控制结构和程序(internalcontrolstructureandproceduresforfinancial
reporting)”的表述(如第404款(a)条),强调的是内部控制的财务报告要素。
但是,内部控制结构(internalcontrolstructure)又与当时广为接受的内部控制含义,即包括经营效率性和有效性、财务报告的可靠性以及遵守相关法律和规则等要素非常相近。为了突出《萨班斯法案》的财务报告要素精神,SeC在2003年最终准则中正式启用“财务报告内部控制”的表述。
最终规则中将iCFR定义为:“由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的,受到公司的董事会、管理层和其他人员影响的,为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计原则提供合理保证的控制程序”,具体控制政策和程序包括:(1)保持详细程度合理的会计记录,准确公允地反映资产的交易和处置情况;(2)为下列事项提供合理的保证:公司对发生的交易进行必要的记录,从而使财务报表的编制满足公认会计原则的要求,公司所有的收支活动经过公司管理层和董事的合理授权;(3)为防止或及时发现公司
资产未经授权的取得、使用和处置提供合理保证,这种未经授权的取得、使用和处置资产的行为可能对财务报表产生重要影响。
与CoSo报告中对内部控制的定义相比,SeC的iCFR是CoSo内部控制的子集。SeC在最终规则中对iCFR的定义仅包含了与财务报告可靠性目标相关的部分,而省略
了经营活动效率与效果的目标,遵循相关法律法规目标中
也仅保留了诸如证券交易委员会财务报告要求这类与财务报表编制直接相关的法律法规。
二、iCFR信息披露
(一)披露方式
自愿披露还是强制披露在美国一直广受争议。早在1979年和1988年,SeC就曾两次提议要求上市公司对外披露内部会计控制信息,但都遭到了强烈反对而搁置一边。CoSo在1992年的《内部控制――整体框架》报告中提出同样建议,认为公司管理层应该定期对企业内部控制的设计和执行情况进行评价,并出具报告对外披露。尽管美国联邦存款保险改进法FDiCia在1991年开始强制要求资产超过5亿美元的金融机构披露内部控制报告,但是内部控制信息在一般上市公司始终是自愿披露。
《萨班斯法案》改变了这一现状。安然等公司的会计丑
闻最终导致了美国国会改变自愿披露方式的决心。2002年,国会最终通过了《萨班斯法案》,正式提出公司披露内部控制信息的强制要求。法案第404款明确规定,除了投资公司以外所有依据1934年证券交易法13(a)、15(b)编制年度报告的公司都应该在年度报告中出具一份内部控制报告,并责成SeC制定具体规则。2003年6月5日,SeC了最终规则,规定了上市公司执行《萨班斯法案》内部控制信息披露要求的具体内容。至此,内部控制信息披露由自愿披露方式正式转变为强制披露方式。
(二)披露内容
SeC2003年的最终规则将“财务报告内部控制结构和
程序”的表述修改为“财务报告内部控制”,要求管理层年度iCFR报告包括:(1)声明管理层有责任建立和保持充分的
财务报告内部控制;(2)声明已经确认用于评估财务报告内部控制有效性的标准框架;(3)对财务报告内部控制的评
估;(4)声明负责审计公司财务报表的会计师事务所对管理层所作的财务报告内部控制效率评估已经进行了验证并公布了验证报告。
但是,仅仅过去三年,SeC对披露内容作了重要修改:负责公司报表审计的外部审计师不必对管理层作出的iCFR评估报告进行验证,而只需就公司iCFR进行独立评估和报告。之所以进行修改,是因为SeC发现,由于2003年最终规则要求管理层所作的iCFR评估报告须经外部审计师的验证,因此,过去的三年中许多公司的管理层在iCFR的设计和评估时不得不参照审计准则aS2执行,而审计准则aS2是上市公司会计监督委员会(publicCompanyaccountingoversightBoard,后文简称pCaoB)用以指导注册会计师进行外部审计而制定的,所涉及的内部控制审计部分要求对公司整个经营效率进行评估,这显然超出iCFR的评估要求,因此大大增加了公司自我评估的成本。为了与SeC保持一致,pCaoB也在2007年的审计准则aS5中作了同样的修改。
(三)iCFR评价依据
是否指定亦或制定统一的评价标准以及如何制定适合所有公司的iCFR评价标准是2003年最终规则出台后SeC的重点议题。2003年SeC的最终规则认为没有必要制定统一的iCFR评价标准,也没有指定现有的某个内部控制框架作为这种统一标准,只是提出“CoSo的整体框架是合适的框架之一”。
然而这种做法却引来了实务界尤其是小公司方面的较大批评,因为,他们在实际的评估过程中发现,CoSo整体框架“对小公司实务操作性不强,似乎更适合大公司的评估要求”。SeC也意识到,尽管CoSo整体框架确定了内部控制系统的要素和目标,但该框架并没有提出便于管理层评估iCFR有效性的具体方法。因此,是否制定指导所有公司
评价iCFR的评估指引重新提上了议事日程。为了确定制定指引的必要性,SeC分别于2005年4月和2006年4月先后两次举行利益相关各方参与的圆桌会议,与会代表大都认为有必要制定指引。
SeC终于在2007年6月20日了期盼已久的评估指引――管理层财务报告内部控制报告指引。该指引的核心内容是,提出了一种管理层据以进行自上而下(top-down)、基于风险(risk-based)的财务报告内部控制评估方法。指引同时指出,该评估方法只是符合1934年证券交易法13a-15(c)和15d-15(c)规则要求的评估方法之一,指引并没有否认CoSo内部控制整体框架以及其它内部控制框架的评估作用。因此,公司仍然可以从SeC2007年指引和其它内部控制框架中选择适合的评估标准。
SeC的指引是针对现有框架难以适合小公司的评估需要提出来的。SeC的指引提出的是一种基于原则导向的评估指引,它允许不同规模的公司结合自身特征拟定合适的具体评估过程和程序,这样大大减少了小公司的评估成本。尽管该指引符合了规模不同公司的评估需要,但是原则导向的可操作性还有待实践的检验。
(四)iCFR报告验证
《萨班斯法案》和SeC2003年最终准则都要求:(1)管理层对公司iCFR有效性进行自我评估;(2)注册会计师对管理层所作的iCFR有效性评估报告进行验证。pCaoB在的审计准则aS2中也同样要求审计师对管理层所作的iCFR有效性评估报告进行验证。但是SeC在2007年的指引中修改了这一要求,指出审计师不必验证管理层所作的iCFR有效性评估报告,而只是单独就公司iCFR有效性独立观点。同样,pCaoB在2007年的替代前期准则aS2的新准则aS5中也作了类似修改。
(五)执行时间
自2003年最终规则指定上市公司执行iCFR披露规则以来,SeC几度延缓上市公司执行时间。SeC在2003年最终规则中要求:依据交易法12b-a在2004年6月15日之后属于“加速编报公司”(acceleratedFiler)的必须在该日期之后结束的第一个财政年度年报中提供管理层iCFR报告;依据交易法12b-a在2004年6月15日之后属于非加速编报公司,包括外国私人发行公司(Foreignprivate
issuer),必须在2005年4月15日或之后结束的财政年度年报中遵循iCFR的披露要求。然而实际执行的情况并不理想,许多公司尤其是小公司反映,在如此短的时间内很难配备胜任的人员设置和评估iCFR。而且执行iCFR披露迅速增加了公司成本,这也影响了披露要求的顺利执行。鉴于此,SeC将两类公司执行披露时间分别延迟到2004年11月15日和2006年7月15日。此后不久又给予流通市值少于700百万的accelerated公司另外45天的宽限,2005年9月,SeC再次放宽了nonaccelerated公司及外国公司的期限,将执行披露期限延长至2007年7月15日之后的年度报告。
三、对我国的启示
我国涉及内部控制的信息披露文件主要是招股说明书和定期报告。2006年5月新修订的《公开发行证券的公司信息披露内容与格式准则第1号――招股说明书》第六十九
条规定,发行人应披露公司管理层对内部控制完整性、合理性及有效性的自我评估意见以及注册会计师对公司内部控制的鉴证意见。2005年修订的《公开发行证券的公司信息披露内容与格式准则第2号年度报告的内容与格式》第三十九条要求,监事会应该对公司是否建立完善的内部控制制度,公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为发表独立意见。可见,我国只是在招股说明书中要求上市公司提供管理层内部控制评估报告和相应的审计师验证报告,而在对投资者更为重要的年度报告中并没有如此要求,只是要求监事会发表内部控制是否完善的独立意见。
然而,本文并不支持我国近阶段年度报告要求上市公司披露内部控制信息。强制内部控制信息披露决不可操之过急。首先,美国CoFR信息披露的实施并不是一帆风顺。从2003年SeC规则决定放弃制定指引到2007年指引的最终推出,从2002年《萨班斯法案》和2003年SeC规则要求审计师对管理层iCFR评估报告进行验证到2007年SeC指引取消这一要求,以及SeC规定公司执行iCFR信息披露的时间的一再延迟,美国CoFR信息披露的执行遇到了巨大的阻力,时至今日诸如重大控制弱点(materialweakness)的
认定等关键问题仍在争论之中。其次,依据iCFR信息披露的一般要求,一些内控程序需要管理层的主观判断,这对管理层的业务能力和职业道德提出了较高要求,同时也需要一个完善的公司治理环境。而我国股改还未完全结束,许多公司治理结构还不完善,一些公司规模不大,是否能承受披露带来的成本?所有这些都是政策制定者需要慎重考虑的问题。
【参考文献】
[1]周勤业,王啸.美国内部控制信息披露的发展及其借鉴[J].会计研究,2005,(2):24-31.
[2]朱荣恩,应唯和袁敏.美国财务报告内部控制评价的发展及对我国的启示[J].会计研究,2003,(8):48-53.
内控合规管理报告篇3
内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。内部控制是实现企业目标的手段,建立并维持有效的内部控制制度是管理当局的责任。由于内部控制的重要性,投资者逐渐要求了解公司内部控制的状况,在此情况下,内部控制信息披露应运而生。
内部控制信息披露建立在董事会和管理当局对内部控制评价的基础上。为了了解内部控制的设计是否适当、执行是否有效,企业管理当局或内部审计机构应定期根据一定的标准对本单位内部控制设计和执行的有效性进行评估,管理当局对内部控制进行自我评估后应提出一个提供给外部信息使用者的报告,这就是内部控制信息披露。内部控制信息披露对于投资者了解公司内部控制的状况非常重要。
一、美国的上市公司内部控制信息披露:从自愿到强制
在美国,内部控制信息披露经历了由自愿披露到强制披露的发展历程。在1979年到1988年,美国证券交易委员会(SeC)曾两次试图要求强制提供内部控制报告,由于遭到反对,SeC并没有要求上市公司强制提供内部控制报告。在1990年,美国众议院通过了一项立法提案,强制要求公开上市公司提供内部控制报告。因为在参议院未能通过,该建议没有成为一项法律。所以美国长期以来,内部控制报告基本上处于信息的自愿披露阶段。但这一时期仍有较多的公司自愿在财务报告中提供内部控制报告。1993年对2221家公司年报的研究表明,有742家提供了内部控制报告,占33.4%。由此可见,美国公司有较强的自愿提供内部控制报告以向外部投资者传递公司质量的信号的动力。
2001年,美国发生了安然事件,随后,又爆发了一连串会计丑闻。2002年7月30日,布什总统签署了国会以压倒多数通过的《萨班斯-奥克斯利》法案(Sarbanesoxleyact)。《萨班斯法案》代表了一个新的资本市场监管时代的到来。美国总统布什在法案通过当天就宣称,该法案是“有关美国商业实践的影响最为深远的改革”,也有学者称它可能成为自1933年证券法通过以来美国证券法律制度所经历的最大调整之一。从内部控制信息的披露角度来说,《萨班斯法案》在以下几个方面做出了规定:
(一)将上市公司的内部控制信息纳入强制信息披露的范围之内。上市公司应在年度报告中包含内部控制报告,阐明管理当局应当为财务报告的目的建立和维护内部控制的结构流程,并对内部控制系统的有效性进行自我评价。
(二)内部控制信息的披露需要由注册会计师出具验证报告。注册会计师应当对管理当局的自我评价进行测试并出具报告,报告内容包括:实施内部控制测试中的发现;内部控制系统是否充分合理的保存会计记录,以便能公允地反映资产交易和处置的情况,保证交易记录符合公认会计准则,以及保证公司一切收支活动完全符合管理层和董事会的授权;对实施测试中发现的内部控制重大缺陷和任何违规行为进行描述。
(三)强化了上市公司关键管理人员对财务报表的可靠性和内部控制的责任。首席执行官、首席财务官及类似职能人员必须在财务报告上签字;签字人必须向公司的外部审计师和公司审计委员会报告内部控制中的重大缺陷,以及管理当局或其他能影响内控系统的员工的任何舞弊情况;签字人必须在定期报告中说明内部控制是否存在重大缺陷,如存在缺陷的相应挽救措施及期后事项等。
由此可见,美国已经要求公众公司的管理当局对内部控制作出有关保证,并提供经注册会计师验证的内部控制报告。对于内部控制信息,美国已经从自愿披露转入强制披露阶段。
二、我国上市公司内部控制信息披露的要求和现状
(一)商业银行、证券公司内部控制信息披露
中国证监会的《公开发行证券公司信息披露编报规则》第7号《商业银行年度报告内容与格式特别规定》、第8号《证券公司年度报告内容与格式特别规定》规定,商业银行、证券公司在年度报告中应对内部控制制度的完整性、合理性与有效性作出说明。还应委托所聘请的会计师事务所对其内部控制制度,尤其是风险管理系统的完整性、合理性与有效性进行评价,提出改进建议,并出具评价报告。评价报告随年度报告一并报送中国证监会和证券交易所。所聘请的会计师事务所指出以上三性是存在严重缺陷的,董事会应对此予以说明,监事会应就董事会所作的说明明确表示意见,并分别予以披露。《公开发行证券公司信息披露的内容与格式准则第2号――年度报告的内容与格式(2003年修订稿)》第四十三条规定,年度报告中,监事会应对“公司决策程序是否合法,是否建立完善的内部控制制度,公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为”发表独立意见。
由此可见,目前,我国对商业银行、证券公司的内部控制信息披露的要求是最严格的。但是,现行规定仅要求会计师事务所对上述公司内部控制制度的完整性、合理性与有效性进行评价,提出改进建议并出具评价报告,并没有要求对管理当局内部控制信息披露的真实性发表意见。评价报告只要求随年度报告一并报送中国证监会和证券交易所,并不要求对外提供。
(二)一般性上市公司内部控制信息披露
1.虽然证监会2001年修订的《公开发行证券的公司信息披露内容与格式准则第2号――年度报告的内容与格式》规定,上市公司监事会应就公司内部控制制度是否完善发表意见,但是仅要求披露“是否建立完善的内部控制制度”,而并未要求公司披露建立内部控制的详细信息以及监事会的评价,这容易造成披露的形式化。对于年报摘要,允许公司监事会在认为已建立完善的内部控制制度的条件下免于披露,这在一定程度上为上市公司减少相关信息的披露和逃避责任提供了机会。
2.缺乏对内部控制报告格式和具体内容的详细规定。这不仅使上市公司在披露时无所适从,导致上市公司信息披露不规范,而且使得一些上市公司应付了事,不披露详细的信息。
3.内部控制信息披露主要依赖于监事会报告,而没有规定董事会对内部控制信息披露的责任。监事会并非内部控制的责任主体,他们发表意见仅仅是对董事会和管理当局是否建立内部控制制度的一种监督。而建立并维持有效的内部控制制度,是董事会和管理当局的责任。董事会和经理对本企业的内部控制最熟悉,最有能力对其进行评价,因此内部控制信息披露的主体应该是董事会,监事会在内部控制信息披露方面所负责任的性质与董事会应有所不同。
4.没有要求注册会计师对公司的内部控制信息披露发表意见,从而难以保证内部控制信息的可信度。
2003年在沪深两市公开发行a股的上市公司共有1146家。1146家上市公司中,大约有80%左右披露了内部控制信息。其中,5家上市银行(深发展、民生银行、浦东发展、招商银行、华夏银行)全部披露了有关信息,对3年度财务报告分析发现五家银行由于有特殊披露要求,其披露内容也相对较为详细,主要包括:(1)年度报告当中专设一节“公司治理结构”,说明公司的信息披露及透明度、独立董事及履行职责情况、对高层管理人员的考评及激励机制等;(2)董事会报告对内控制度有效性评价及认定的基本情况,并专设“内部控制制度的完整性、合理性与有效性的说明”一段内容,从公司组织架构、公司内部管理规章制度等方面较全面地分析了本行的内部控制制度;(3)监事会报告中披露了公司建立的内部控制制度完整、合理、有效;(4)会计师事务所出具的内部控制审核报告。在披露内部控制信息的一般性上市公司中,大多数只披露了“本公司建立了完善的内部控制制度”或类似的话,而没有关于内部控制具体制度等内容。由此可见,我国上市公司内部控制信息披露基本上仅仅是一种形式,缺乏对内部控制信息披露格式和具体内容的详细规定。这不仅造成上市公司披露时无所适从,导致上市公司信息披露很不规范,而且使得一些上市公司应付了事,不披露详细的信息。
三、我国上市公司内部控制信息披露的完善与发展
针对我国上市公司内部控制信息披露存在的问题,我们可从美国《萨班斯-奥克斯利》法案的实施得到一些启示,从以下几点改进和完善内部控制信息披露。
(一)健全和完善内部控制信息披露的规范体系
1.要求所有上市公司董事会在年度报告中披露内部控制的有关信息,同时要求监事会和由独立董事组成的审计委员会发表对内部控制进行评价的意见。为了防止内部控制信息披露的形式化,可以借鉴美国的做法,要求管理当局提供单独的内部控制报告。
2.证监会应当对内部控制信息披露的具体内容和格式作出详细规定,以规范上市公司的披露行为,加强制度的可操作性。内部控制报告应表明:董事会和管理当局对内部控制的责任;公司已经按照标准设计并颁布实施内部控制制度;声明公司已按照有关的标准、程序对内部控制设计和执行的有效性进行了评估,没有发现重大缺陷(如果评估后发现存在重大缺陷,应指出该项缺陷及管理当局对此采取的相关措施);声明企业的内部控制有效(或除上述缺陷以外内部控制有效),不会发生对公司财务报告的可靠性和对公司资产的安全性、完整性有重大不利影响的情况。在符合成本效益原则的前提下,内部控制报告还应当对企业的基本内部控制制度进行简要的描述,以便信息使用者对其进行评价。
(二)应把强制性内部控制信息披露制度作为我国的主导性制度
因为强制性信息披露制度是兼顾效率与公平的结果,强制性信息披露的支持者们一直以效率与公平作为评价强制性信息披露合理性的基础。经验数据有力地证明了强制性信息披露的运用减少了价值的偏离,可防止欺诈、保护投资者信心与利益,增强了资本市场配置的效率。
(三)加强对内部控制信息披露的监管,加大对造假的处罚力度
内部控制信息对于投资者而言是一项重要的决策依据。对于上市公司不按规定披露有关内部控制的情况,包括不披露内部控制信息、披露虚假的信息或者隐瞒内部控制存在的不足,应当予以惩处。
内控合规管理报告篇4
许明波(1971-),男,安徽无为人,武汉大学经济与管理学院博士研究生
摘要:萨班斯法案及相关配套监管规则的出台,标志着美国资本市场会计监管进入一个新的时代。准政府监管模式、强化会计责任追究、确认新CoSo框架、实施财务报告内部控制有效性评价等,是美国新会计监管框架的基本要素。美国会计监管体系的改进,对我国建立健全会计监管体系有重要的借鉴意义。本文就如何建立符合中国国情,又保持与国际趋同的会计监管体系提出了相关建议。
关键词:会计监管 要素 启示
2001年底发生的安然事件等一系列财务丑闻,暴露了美国资本市场会计监管体系的严重缺陷。美国国会众议院于2002年出台了《公司与审计的责任、义务和透明度法案》,后来相继又出台了《上市公司会计改革与投资者保护法案》,称《萨班斯一奥克斯利法案》(简称“萨班斯法案”)。法案的出台标志着美国资本市场会计监管进入一个新的时代。
一、美国新会计监管框架的要素
(一)确立以准政府监管模式为主导萨班斯法案要求设立新的独立的“上市公司会计监管委员会(publicCompanyaccountingoversightBoard,pCaoB)”,以取代原隶属于美国注册会计师协会(aiCpa)的pCaoB,作为会计监管的准政府机构,接受SeC的监管,全面负责监管会计师行业,享有监管、调查和处罚的权力,这标志着美国会计监管模式由行业自律监管向准政府监管模式转变。美国会计监管经历了漫长的历程,1929~1933年的经济危机使人们在反思之后,充分认识到会计舞弊、监管不力是导致经济危机的主要原因,并于1934年率先制定了世界会计史上体现监管者意志的会计准则。为了恢复投资者的信心和达到监管的目的,美国成立了证券交易委员会(SeC),作为负责监管的政府专门机构。20世纪70年代,美国出现了一系列重大审计失败案件,美国国会参众两院对会计监管模式提出了两种改革方案:一种是专门成立一个政府部门,负责监管注册会计师行业;另一种是建立适当的注册会计师行业自律监管制度。在这种情况下,美国注册会计师协会(aiCpa)向国会提出实行自律性监管的请求,其主要的目的是避免政府部门对行业监管的过度介入。请求在国会通过后,aiCpa于1977年设立了“上市公司会计监管委员会”(pCaoB),建立了一整套自律监管机制,对注册会计师的独立性和审计质量实施监管,美国国会和SeC也认同了这种行业自律制度中的标志性的组织。实践证明,美国的pCaoB在会计监管中发挥了一定的作用。但欺诈性财务报告仍然时有出现,美国注册会计师协会等组织成立了全国反欺诈性财务报告委员会并提交了报告,该委员会认为欺诈性财务报告与企业较差的内部控制有关,需进一步对内部控制进行研究。2001年安然事件的爆发,更加暴露出美国以pCaoB为代表的自律监管制度的严重缺陷和漏洞。为此,美国政府迅速采取了一系列的改革措施。美国众议院于2002年,以压倒多数通过了《公司与审计的责任、义务和透明度》的强化会计监管的法案。该法案的主要内容是:修改原有的《证券交易法》,要求建立独立的“上市公司会计监管组织”;强制公司披露那些通过关联交易转移债务的表外会计信息:为了达到监管的作用,禁止审计公司对同一公司同时提供审计和非审计服务。2002年,美国国会两院又通过了《2002年公众公司会计改革和投资者保护法案》,这些法案将从法律制度上对美国会计监管制度产生重大影响,并预示着美国多年来以pCaoB为代表的行业自律监管制度将被一种新的监管方式所取代,即准政府监管模式。
(二)强化会计责任追究制 萨班斯法案规定美国上市公司的首席执行官(Ceo)和财务总监(CFo)在其年度和中期财务报表中必须签名并认证,要求Ceo和CFo对呈报给SeC的财务报告“完全符合证券交易法,以及在所有重大方面公允地反映了财务状况和经营成果”予以保证。财务报告不允许含有任何导致其财务报表误导公众的重大错误或遗漏,强制要求公司高级财务人员遵循职业道德规则,如果将来发现有问题,Ceo或CFo个人将对公司财务报表承担严重的民事甚至刑事责任。在美国这样一个以判例法为主体的法律框架内,1933年的《证券法》、1934年的《证券交易法》就已经开始用成文法的体例对资本市场进行约束,但萨班斯法案前所未有地将公司高管和会计从业人员的法律责任用成文法的方式明确加以限定,表明美国会计监管进入法律监管时代。
(三)确立以新CoSo框架为财务报告内部控制基本标准 萨班斯法案要求公司管理层和外部审计师,每年在年报中就公司财务报告的内部控制(internalControloverFinancialReporting,iCoFR)有效性分别作出评价和报告,还要求外部审计师对于公司管理层评估过程以及内部控制系统进行相应的检查并出具正式意见。2003年SeC33-8138号规则公告对财务报告内部控制作了明确定义,“财务报告内部控制是指由公司的首席执行官、首席财务官或公司行使类似职权的人员设计或监管,受到公司董事会、管理层和其他人员影响,为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计原则的合理保证控制程序”,具体包括以下控制政策和程序:一是,保持详细程度合理的会计记录,准确公允地反映资产的交易和处置情况;二是,公司对发生的交易进行必要的记录,从而使财务报表的编制满足公认会计原则的要求,公司所有的收支活动都要经过公司管理层和董事的合理授权;三是,为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证,这种未经授权的取得、使用和处置资产的行为可能对财务报表产生重要影响。2004年,新pCaoB了其第2号审计标准:“与财务报表审计相关的针对财务报告内部控制的审计”,并经SeC批准。该标准关注对财务报告内部控制的审计工作,以及这项工作与财务报表审计的关系问题。这项综合的审计会产生两份审计意见:一份是针对财务报告的内部控制,另一份是针对财务报表。对内部控制的审计涉及以下内容:评价管理层用于开展其内部控制有效性评估的过程;评价内部控制设计和运转的效果;形成对财务报告的内部控制是否有效的意见。各种迹象表明,SeC已承认了1992年发起人组织委员会(CoSo)公布的《内部控制一综合框架》(也称CoSo框架)。CoSo框架包括控制环境、风险评估、控制活动、信息和沟通、监控五个组成部分。2004年,根据萨班斯法案有关规定,CoSo委员会了《企业风险管理综合框架》(eRm),称作新CoSo框架。该框架由内部环境、目标设定、事件识别、风险评估、风险反馈、控制活动、信息与沟通、监控八个部分组成,表明新CoSo框架于2004年正式成为美国财务报告内部控制的公认标准。
(四)实施财务报告内部控制有效性评价 萨班斯法案404条款的规定引起了监管机构和职业界的广泛关注,SeC和aiCpa积极行动起来,分别提出了自己的规则公告、征求意见稿。2003年,SeC第33-8138号规则公告,主要内容是:首先,修订1934年
证券交易法的相关内容。该内部控制报告的内容必须包括:管理层签署申明,由其负责建立和维护充分的公司财务报告内部控制;公司在最近会计年度终了时,应对财务报告内部控制的有效性进行评估;说明管理层进行公司财务报告内部控制有效性评估时采用的框架;提供申明表明对公司财务报表进行审计的会计师事务所,已经对公司管理层的财务报告内部控制评估报告提供了鉴证报告。其次,要求上市公司填报“会计师事务所鉴证报告(RegisteredpublicaccountingFirmsattestationReport,RpaFaR)”,并作为年报的一部分予以公布。再次,要求管理层对公司季度内出现的对公司财务报告内部控制具有重要影响,或可能具有重要影响的任何财务报告内部控制变更进行评价。2003年,美国注册会计师协会(aiCpa)“财务报告内部控制审计”的征求意见稿,主要内容:一是,上市公司审计包括财务报表审计和财务报告内部控制有效性审计两个部分;独立审计师需要对审计工作进行计划,对公司的内部控制进行了解,对控制的设计有效性和执行有效性进行评价,进而发表审计意见。二是,对内部控制缺陷进行了定义。征求意见稿中将内部控制缺陷分为“设计缺陷”和“执行缺陷”,前者主要是指公司的控制结构和程序不完整,遗漏了一些必要的控制,或者现存的控制设计不合理,导致即使控制按照设计执行了,但无法达到控制的目标。后者则是指一项控制虽然设计合理,但没有得到有效的执行,或者执行控制的员工没有得到合理的授权或具有资质,从而导致控制不能得到有效的执行。三是,按严重程度将内部控制缺陷的其分为重大控制缺陷和主要控制弱点两类。重大控制缺陷,是指可能对公司管理层发表的申明中关于保证交易的发生、记账、过账、报告财务数据和财务报表保持一致的能力产生不利影响的内部控制缺陷;主要控制弱点是指在内部控制的组成部分的一个或多个方面存在重大控制缺陷,造成公司的内部控制不能及时地防止或发现财务报表中实质性的错误表述的风险降低到一个较低的水平。四是,对财务报告内部控制评价发表无保留意见的限制条件做了规定。如公司内部控制中存在未更正的主要控制弱点,独立审计师不能发表财务报告内部控制有效的无保留意见,而应该根据主要控制弱点的性质,发表保留意见或仅对意见。根据征求意见稿的观点,财务报表中存在实质性错误表述,公司没有发现,而外部审计师发现了,则表明公司的内部控制中存在主要控制弱点。
二、美国会计监管对我国资本市场会计监管的启示
(一)建立以政府监管为主导,以行业自律为补充的会计监管模式 安然等案件暴露出美国自律监管制度的严重缺陷和漏洞。实践证明这种只强调会计行业自律的做法,实际上是对注册会计师的一种放纵。由此可以认识到,在当今这样一个极其复杂的多方博弈的资本市场中,仅依靠行业自律性组织来进行会计监管是不够的。会计制度和准则完全由民间机制制定,其权威性必然遭到削弱,其监管实施的效率也较低下,尤其缺乏制定机构的独立性。因此,根据我国资本市场环境和监管要求,建议构建以政府监管为主导,以行业自律管理为补充的会计监管体系。财政部、审计署、证券监督委员会与注册会计师协会之间没有依附关系和利益关系,地位独立,并且有法定的权威性和强制力,具有其他组织无法比拟的优势,可由其承担会计监管的主要职能,履行各项监管职责,使其监管更具权威性,以保证资本市场的健康发展。
(二)健全会计监管的法规体系,强化对公司高管人员行为约束和责任追究 从我国目前会计监管的法律体系看,存在部门立法,职能分割,有关措施缺乏细则,存在遗漏和抵触现象,形式不规范,体例不统一,致使监管部门很难对会计违法行为定性。从会计监管的力度上,我国现行的会计监管体系存在着许多不足,如我国至今未出台《民事责任赔偿法》,从目前对会计信息披露违规案件的查处情况看,主要是以行政处罚为主,处罚基本上体现在追究主要责任人的刑事责任上。在财产责任方面一般表现为对当事人的违法所得全部由国家罚没,但却没有对投资者的民事赔偿责任予以规定。虽然《证券法》规定了民事赔偿责任优先承担的原则,但在司法实践中由于现有的法律缺乏适当的诉讼机制,致使投资者的损失实际上得不到赔偿。即使在刑事责任和行政责任方面,处罚力度同样显得不够。根据美国的经验教训,对公司高管人员用法律约束其行为是非常必要的。但我国目前的相关配套法律还不完善,还没有将高管人员真正置于民事责任的约束之下,单靠行政处罚既不具威慑力,也不能触及高层管理者的切身利益。而美国在这方面就有较为切实可行的民事赔偿的相关配套法律,可以借鉴美国的做法,从根本上约束高层管理人员的一些不法行为,使会计监管的目标得以顺利实现。
内控合规管理报告篇5
作为注册会计师鉴证业务的重要组成内容,美国内部控制鉴证制度的确立是证券监管机构、公共会计公司、上市公司和社会公众等相关利益主体长期博弈的结果。
20世纪70、80年代,美国经济开始出现“滞胀”现象。公众公司尤其是上市公司出现的舞弊财务报告、公司管理层(如非法政治捐赠)和破产倒闭等事件,迫使联邦政府监管机构、企业界、学术界和社会公众开始重新反思公司治理和内部控制问题。1977年,美国国会通过《反国外贿赂法案》,规定所有向证券交易委员会(SeC)注册的企业应针对交易和资产建立符合成本效益原则的内部会计控制。美国国会也对公众公司建立并维持适当的内部控制表示强烈关注,直接导致全美反欺诈财务报告委员会的成立(nCFR或称为thetreadwayCommission)。1987年10月,treadway委员会发表研究报告,建议所有上市公司应当在年度财务报告中附列有管理层签名的内部控制报告(mRiC)。treadway委员会认为,mRiC具有两方面的积极作用:(1)首席执行官和(或)首席财务官的签名可能促使其关注在财务报告和内部控制方面的责任;(2)传递最高管理层建立并维持适当内部控制的承诺。但是,treadway委员会并不要求注册会计师对mRiC提供鉴证。美国注册会计师协会(aiCpa)下属的公共监督委员会(poB)认为,在mRiC之前进行评估可能有助于改善企业内部控制系统。aiCpa在1993年白皮书中指出,内部控制系统是防止欺诈财务报告的主要防线,投资者应当获得关于内部控制系统的独立评估。1994年,aiCpa主席建议,公司管理层应当对内部控制的有效性发表报告,且注册会计师对管理层报告提供评估。1990年,美国众议院举行听证会,就强制性提供mRiC提出立法建议草案。但是,该草案在1991年被参议院否决而未能成为正式法律。
在国会和社会公众的压力下,SeC分别于1980年和1989年在条例S-X303项及其修订中要求在管理当局讨论与分析(mD&a)中披露内部控制。但是,上市公司反对提供mRiC,认为这将增加其运营成本,不符合1977年《反国外贿赂法案》确立的成本效益原则。此外,SeC内部在对待mRiC方面也存在较大分歧。例如,两任首席会计师Schuetze和Burton对mRiC的作用认识不一。因此,SeC并没有强制规定上司公司应当提交管理层关于内部控制的报告,上市公司在提交mRiC方面更多表现为自愿性,且披露的内容较为广泛。mcmullen、Raghunandan和Rama(1996)归纳指出,在2221家上市公司中,提供mRiC的只占33.41%,且披露最多的三项内容(80%以上)分别是审计委员会开展的活动、合理保证的含义和保障资产安全的措施。只有7.4%的上市公司表示在年末内部控制是有效的。
在不存在强制性mRiC的情况下,为了减轻可能遭遇的法律责任,注册会计师不存在对内部控制提供鉴证的压力和必要性。例如,莫茨和夏拉夫(1990)认为,内部控制本身是一个极为广泛的命题。内部控制评价不过是对不可估量的事物进行的犯难的、主观的衡量。因此,独立审计人员承担审查和评价内部控制的责任是非常危险的。但是,他们也指出,对内部控制进行检查和评价是良好审计计划中必不可少的,也是审计人员能为其委托人服务的重要领域。在传统风险导向审计模型下,注册会计师主要利用复合性测试的评价结果来确定实质性测试的性质、事件和范围。
经济社会对信息需求的迅速变化导致注册会计师服务的性质、范围和领域不断扩展。随着资本市场尤其是衍生市场的发展,财务信息和非财务信息的披露都显得十分重要,注册会计师逐渐成为全球资本市场经济决策信息的主要提供者。在非审计业务迅速发展的背景下,aiCpa依据CoSo报告先后多项与内部控制直接相关的审计准则和鉴证准则,其中审计准则主要包括SaSno78(1996年)和SaSno94(2001年),鉴证准则主要是SSaeno10(合并SSaeno1-9而成)(2001年)。其中,SSaeno9要求注册会计师不再针对管理层报告而直接针对内部控制的有效性提交报告。
2001年12月,美国发生以安然和世通公司财务舞弊为代表的一系列事件,沉重地打击了资本市场的信心。为了重振资本市场和保护投资者,2002年7月,美国国会通过《萨班斯――奥克斯利法案》(Sarbanes-oxleyactof2002)。法案涉及内部控制的主要条款分别是103、302和404节,其最显著之处在于正式以法律的形式要求上市公司管理层在年度报告中包括内部控制报告,由担任年报审计的会计公司按照公众公司会计监督委员会(pCaoB)或认可的准则进行测试和评价,并出具评价报告,且上述评价过程不应当作为一项单独的业务。为了更好地实施第404节的要求,2002年10月,SeC关于管理层财务报告内部控制书面声明的征求意见稿,并于2003年8月14日正式生效。最终规则的主要内容有:(1)适用1934年《证券交易法》的公司(除注册投资公司外),应当在年度报告中包括一份管理层关于财务报告内部控制的报告,且注册公共会计公司出具的鉴证报告是年度报告的组成内容;(2)管理层对季度内发生的、对财务报告内部控制存在重大影响或可能重大影响的任何财务报告内部控制变动进行评价;(3)对《1934年证券交易法》和《1940年投资公司法》的相应规则和表格进行修订,以满足302节书面证明的要求,并根据《萨班斯――奥克斯利法案》302节和906节的要求在定期报告中提供书面证明。在会计职业界,2003年3月,aiCpa财务报告内部控制审计征求意见稿,对注册会计师财务报告内部控制实施现场审计和出具报告作出明确要求。此外,一些大型会计公司(如毕马威)也纷纷对财务报告内部控制评价提出具体的操作建议。2004年3月,pCaoB根据《萨班斯――奥克斯利法案》404节的要求,制定第2号审计准则《与财务报表审计协同进行的财务报告内部控制审计》(以下简称aSno2),对注册会计师在针对财务报表审计的同时如何开展财务报告内部控制审计提出明确要求。
《萨班斯――奥克斯利法案》和SeC相应规则的,标志着美国财务报告内部控制审计正式超越检查业务范围,成为财务报告制度的重要组成部分。
我国内部控制鉴证制度及其存在的主要问题
在我国注册会计师审计准则中,内部控制强弱一直是注册会计师确定实质性测试程序的重要依据。2006年2月,财政部《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》,全面地借鉴了CoSo报告的内容,对控制测试的性质、时间和范围作出规定。在内部控制鉴证制度方面,2002年2月,中国注册会计师协会《内部控制审核指导意见》(以下简称《意见》),对注册会计师接受委托,就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见制定规范,从而正式确立了我国的内部控制鉴证制度。
随着证券市场的发展,我国的内部控制鉴证制度日益不能适应推动公司管理层切实履行经管和受托责任、保护投资者利益和提高审计效率、效果的需要,且不能实现与国际惯例接轨。这些缺陷主要表现在:
1.内部控制评价规范的法律级次低。《公司法》和《证券法》没有明确要求公司建立有效的内部控制及其鉴证制度。目前,证监会主要通过规范性文件的形式要求进行内部控制评价,如《公开发行证券的公司信息披露编报规则》和《公开发行证券的公司信息披露内容与格式准则》。此外,2006年,上海和深圳证券交易所分别《上市公司内部控制指引》,要求从2006年年度报告起披露管理层关于内部控制的自我评价报告,并由会计师事务所发表评价意见。
2.内部控制鉴证制度强制力弱。目前,对内部控制评价仅限于首发和增发环节,对于在定期报告中披露内部控制没有强制性要求。
3.缺乏统一的内部控制鉴证标准。与美国内部控制审计相比,我国现阶段尚不存在权威且公认的内部控制理论框架,这导致内部控制评价缺乏科学、统一的标准。虽然证监会要求发行人在首发和增发时注册会计师对内部控制的合理性、完整性和有效性进行评价,并出具评价报告。但是,这些规范并没有明确注册会计师判断“三性”的标准。目前,我国上市公司中对内部控制评价倾向于对内部会计控制的评价。
4.缺乏科学、合理的内部控制鉴证规范。与aSno2相比,《意见》主要存在下列四个方面的显著缺陷:(1)范围较小。《意见》将范围确定为与会计报表相关的内部控制,而aSno2强调财务报告内部控制。(2)保证程度较低。《意见》将注册会计师提供的内部控制鉴证界定为审核。从性质上看,类似于aiCpa在SSae中提出的检查。aSno2将内部控制鉴证界定为一项与财务报表审计协同进行的审计活动,是一种整体性审计。(3)缺乏明确的评价标准。《意见》没有提及实施内部控制审计所依据的具体标准,导致难以判断内部控制是否有效。aSno2规定,CoSo报告为管理层评价财务报告内部控制有效性提供了适当和可用的标准。(4)缺乏切实可行的评价程序。《意见》要求注册会计师遵循三个程序,aSno2对注册会计师如何开展财务报告内部控制审计作出详细的规定。
此外,报告名称也存在不一致现象。例如,兴业银行首次发行股票招股意向书中针对同一份报告出现了三个不同措辞:内部控制鉴证报告、内部控制评价报告和内部控制审核报告。
完善我国内部控制鉴证业务的若干建议
1.通过法律法规的形式确立内部控制鉴证制度
针对相关内部控制鉴证制度法律级次较低的现状,应当在借鉴国外立法和实践经验的基础上,尽快制定强制实行内部控制鉴证的法律法规,或者在相关法律法规如《公司法》和《证券法》中等对管理层报告财务报告内部控制,以及会计师事务所针对管理层关于财务报告内部控制有效性评价实施鉴证等提出明确要求。
2.建立财务报告内部控制鉴证业务的执业规范
通过《意见》与aSno2比较,可以发现前者在效力和内容等方面存在缺陷,需要进一步修订。具体来说,应当考虑三方面的主要问题:一是《意见》在中国注册会计师审计准则框架中的地位问题,建议直接作为受《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的其他鉴证业务》制约的一项其他鉴证业务准则;二是在内容上参照aSno2进一步补充和完善,可以考虑按照现代风险导向审计的思路来完善所需实施的审计程序,包括从总体层次和具体认定层次来分别采取不同的应对措施;三是内部控制是一个十分广泛的命题,建议在修订时将鉴证对象确定为与财务报表审计协同进行的财务报告内部控制。
3.建立财务报告内部控制鉴证业务的评价标准
财务报告内部控制鉴证业务属于历史财务信息审计或审阅业务之外的其他鉴证业务。正如在开展历史财务信息审计或审阅业务需要依据会计准则和相关会计制度,在开展财务报告内部控制时,审计师同样也需要一定的判断标准。在美国,aSno2明确将CoSo报告作为判断财务报告内部控制有效性的框架。在我国,虽然财政部从2001年先后《内部会计控制规范――基本规范》和许多具体控制规范。但是,这些规范在形式上属于内部会计控制标准,且较为散乱,难以满足财务报告内部控制鉴证业务的需要。因此,作为会计法的执行主体,财政部应当尽快适应我国国情和市场经济发展需要的内部控制标准,为开展内部控制鉴证业务提供标准。
4.建立具有可操作性的内部控制评价指南,为管理层评价财务报告内部控制的有效性提供指引
内控合规管理报告篇6
财政部曾于2001年11月了《独立审计实务公告第×号——内部控制审核(征求意见稿)》,后又在2002年2月以中国注册会计师协会《内部控制审核指导意见》的形式予以。导致这一变动的主要原因在于,在准则项目的征求意见过程中,会计理论界、实务界以及有关政府部门对内部控制鉴证服务的性质、对象、内容、范围等存在着许多重大争议。本文综述了《内部控制审核(征求意见稿)》在征求意见过程中存在的主要争议,并提出有关探讨。我们认为,关于内部控制鉴证服务的许多争议不仅涉及到我国会计服务市场和会计服务行业的发展问题,在更深层次上也反映出我国会计界对内部控制理论体系的认识上还存在着不少差异。对有关争议的探讨有助于我们进一步思考在我国会计服务市场开展内部控制鉴证服务的一系列问题,也为会计界研究内部控制理论及实务提供了新的角度。
关于内部控制鉴证服务性质的界定
独立审计准则制订部门对内部控制鉴证服务的潜在定性形成于《独立审计准则实务公告第2号——管理建议书》(于1997年1月1日起施行),在总则部分已经把“管理建议书”和专门接受委托的内部控制鉴证服务进行了区分,表现为“注册会计师接受委托,对内部控制专门进行审核,并提出管理建议,不适用本公告”。中国证监会对内部控制鉴证服务的性质界定也有一个变化过程,从最早的“管理建议书”变化到“内部控制评价报告”或“内部控制评审报告”。于是,独立审计准则制订部门对涉及内部控制的专门性鉴证业务的规范既有别于独立审计准则框架中的“管理建议书”,同时在制订《内部控制审核(征求意见稿)》时又和中国证监会最初提出的内部控制“管理建议书”的要求存在规则制订时间上的差异。因为《内部控制审核(征求意见稿)》的立项起草工作从2000年底开始,当时关注的是证监会对“内部控制评价报告”的新要求。由于在我国现有的独立审计准则框架下无法对“评价”进行明确的性质界定,同时考虑到证监会提出的内部控制评价涉及到对“内部控制制度的完整性、合理性和有效性”发表意见,而独立审计准则制订部门又早已存在对内控鉴证服务的潜在定性,因此我们认为,我国在规则制订初始便将内部控制鉴证服务界定为“审核”。
根据美国的会计服务框架,审核(examination)与审计的区别通常在于对象不同。例如,审核对象可以是未来的会计信息(即盈利预测审核)或内部控制结构。但审核在取证范围上同样是广泛的,保证程度为高水平,意见表述形式为积极式,在报告的分发使用方面也是没有限制的(arens和Loebbecke,1997)。正是由于这种认识,使得对内部控制鉴证服务的定性从一开始就非常沉重,加之要对“内部控制制度的完整性、合理性和有效性”发表意见,因此我国在征求意见稿的形成以及征求意见过程中对注册会计师的审核责任尤为敏感。会计理论界和实务界纷纷指出:一方面,在公司治理结构远未具备一定基础的环境下,注册会计师从事该项业务风险过大,且成本极高,责任过重;另一方面,在我国企业内部控制规范尚未充分建立的情况下,注册会计师执行此项业务缺乏必要的尺度和标准。相应地,征求意见稿对内部控制的保证程度、意见表述形式以及报告的分发使用方面也是争议不断。
在这种争议之下,我们查阅了美国证券交易委员会(SeC)要求注册会计师提交的内部控制报告。以美国注册会计师协会制订的证券公司审计与会计指南为依据,我们发现:其保证程度较低,并以消极保证的方式进行表述,同时对报告的分发和使用做出了严格的限制。以下是从一份向SeC提交的内部控制报告示例中的有关摘节:
“……我们对内部控制的考虑未必已披露出按照美国注册会计师协会所制定标准属于重大缺陷的所有内部控制事项。……在包括确保证券资产安全的控制措施在内的内部控制方面,我们没有发现按照上述界定所指的重大缺陷。”
“本报告仅供贵公司董事会、管理当局、美国证券交易委员会、[指定的自律组织]以及其他遵照1934年美国证券交易法17a-5条(g)款对已登记证券经纪与交易商进行监管的监管机构使用。本报告并不希望、也不应被除了上述特定主体以外的其他任何方面使用。”
从上述示例中我们可以感受到,美国证券监管部门对注册会计师提交的内部控制报告并未施加很重的压力和责任。显然这与SeC对内部控制报告的需求目标有关。由此可见,关于内部控制鉴证服务的定性争议,关键在于我们有必要了解报告需求者和使用者的政策制订初衷。从最早的“管理建议书”形式要求考虑,或许监管者希望借助于内部控制评价报告的形式发现公司存在的一系列问题。这也启发我们在对内部控制鉴证服务进行定性时,可以采取“审核”以外的、其他性质的业务报告类型,在合理保护会计服务行业发展的前提下提供能够满足报告使用者需求的有效供给。当然,这个问题一方面涉及到我国独立审计准则框架的重构,另一方面也有待于各有关方面的共同探讨和协调。
内部控制评价与会计报表审计中对内部控制的考虑之间的关系
在会计报表审计过程中,注册会计师往往需要了解被审计单位的内部控制,并运用控制测试评价控制风险,最终确定检查风险的大小和重要性水平的高低,实施相应的实质性测试。在此过程中,对内部控制作出评价的目的主要是合理确证会计报表不存在重大错报漏报。那么这种目的与内部控制评价报告中涉及到的内控评价是否一致呢?从目前监管部门对内部控制的评价要求来看,并不仅仅局限在财务报告的可靠性目标上,往往还涉及到确保经营效果和效率以及遵循适当的法规等目标。因此《内部控制审核(征求意见稿)》将审核范围限定在“与会计报表相关的内部控制”上的做法,即使在形式上也与证券监管部门的需求之间存在较大分歧。
现在的问题是,如果我国证券监管部门将内部控制的评价要求限定在财务报告的可靠性目标上,那么“内部控制评价报告中涉及到的内控评价”与“会计报表审计中对内部控制的考虑”这两者能否实现目标上的统一?在《内部控制审核(征求意见稿)》征求意见过程中,许多观点认为这两者的目标是不一致的,即内部控制评价中内部控制是“结果”,而在会计报表审计中对内部控制的考虑是“手段”。但是我们在参考了SeC要求注册会计师提交的内部控制报告之后发现:美国证券监管部门对这两者之间的关系是统一的,因此其对内部控制报告的需求目的似乎与我国会计界及有关政策制订部门的理解存在一定差异。以下为一份向SeC提交的内部控制报告中有关段落的示例:
“在计划并实施对X公司(以下称”贵公司“)20X1年度(会计期末为12月31日)的合并会计报表审计过程中,我们考虑了贵公司包括确保证券资产安全的控制措施在内的内部控制情况,目的是为了在对合并会计报表发表审计意见时合理确定审计程序,而不是对内部控制提供可信性保证。”
根据这段表述,美国证券监管部门要求注册会计师提供内部控制报告的目的显然在于强化注册会计师在执行会计报表审计过程中对内部控制的考虑,这两者的目标是一致并相互加强的。另一个明显的例证是,在SeC的内部控制报告示例中,有以下说明:
“如果注册会计师披露了存在重大缺陷的情况,报告应当对注册会计师所关注到的缺陷做出描述,并指明这些缺陷将不会影响针对会计报表做出的审计报告。”
上述报告示例中的措辞体现出SeC要求的、注册会计师将内部控制评价与其会计报表审计相联系的协调性。我们认为,SeC的这种政策取向有助于明确内部控制鉴证服务的性质和作用,即这种内控评价报告是为了注册会计师在对会计报表发表审计意见时合理确定审计程序,而不是对内部控制提供可信性保证,因此对我国证券监管部门具有积极的借鉴意义。
首先,能够有效促使注册会计师在会计报表审计过程中进一步地(或实质性地)关注被审计单位的会计相关控制及其对会计报表的潜在影响,在一定程度上提高会计信息质量。其次,便于我国内部控制评价标准的协调与形成。第三,能够在注册会计师擅长的领域内发挥其作用。SeC的这种观点对于独立审计准则制订部门同样具有一定的启示。根据《独立审计准则实务公告第2号——管理建议书》,管理建议书是指注册会计师针对审计过程中注意到的、可能导致被审计单位会计报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议。将该界定与SeC要求注册会计师提供的内部控制报告格式与内容进行比较,我们认为并不存在原则性的差异,因此提出可以考虑对《独立审计准则实务公告第2号——管理建议书》的有关内容做出适当修订。
关于内部控制“完整性、合理性和有效性”含义的界定
我国会计界对内部控制的性质、内容、结构体系等的讨论在近年来开展得尤为热烈,在探讨证监会提出的内部控制“完整性、合理性和有效性”问题上则争论得更加激烈。首先,何为内部控制的“完整性”?有没有一套适用于各种组织形式的会计主体的完整内控?这是征求意见稿讨论过程中存在的一个重大争议。事实上,不同组织形式的会计主体之所以需要内部控制,是为了实现该主体的特定控制目标,各主体的控制目标差异往往导致内部控制具体做法的差异,此外,内部控制还应建立在成本效益原则的基础上,因此并不存在完美无缺的内部控制(吴水澎、陈汉文、邵贤弟,2000a)。还有相当一部分观点提出,即使是同一个会计主体,对于不同的管理者,由于其管理风格和管理水平的不同,内部控制所发挥的作用也是存在差异的,相应地,评价内部控制的“完整性”就显得缺乏必要了。
其次,内部控制的“合理性”和“有效性”一般指内部控制设计上的合理性和执行的有效性。对这一点的争议主要在于设计合理与执行有效的标准是什么。财政部已于2001年6月了《内部会计控制规范——基本规范(试行)》和《内部会计控制规范——货币资金(试行)》,而根据财政部内部会计控制建设的总体思路,这只是内部会计控制规范的开始(刘玉廷,2001),我国企业的内部会计控制规范体系尚待在未来若干年内逐步建立。同时我们还注意到,即使在证监会于2001年1月的《证券公司内部控制指引》中也没有对内部控制的“完整性、合理性和有效性”做出明确的界定。除了内部控制评价标准上的不完备性,被评价单位采用的内部控制标准由谁制订,财政部、中国证监会或其他有关部门,同样是一个重大问题。
鉴于以上问题在目前阶段尚难以解决,我们认为,可考虑待我国基本建立起适应我国经济发展要求的内部会计控制规范体系后,由有关方面共同探讨、协调,以便确定公认、合理的内部控制评价标准。
关于内部控制评价的内容
内部控制的评价是否限于会计相关控制,还是扩展到内部控制的各个环节?根据证监会在《证券公司内部控制指引》中的提法,公司内部控制的主要内容包括:环境控制、业务控制、资金管理控制、会计系统控制、电子信息系统控制、内部稽核控制等。显然,这些内容中已经包含了会计相关控制以外的其他控制,如环境控制中的治理结构控制、管理思想控制、员工素质控制等。而财政部的《内部会计控制规范》在定位上采用了“以单位内部会计控制为主,同时兼顾与会计相关的控制”的意见,并不包括组织结构控制和人员素质控制等内容。相应地,在内部控制评价内容上采用财政部的标准与采用证监会的标准存在一定的差异。会计理论界和实务界普遍认为,以我国注册会计师行业目前的执业水平而言,将内部控制评价范围限定在会计相关控制方面还是合理的,如果要对会计控制以外的其他控制做出评价,则有必要考虑自身的胜任能力和法律责任。因此,征求意见稿在总则部分强调了对“与会计报表相关的内部控制”进行审核。这一点显然与目前证监会的要求存在一定距离,也构成了一项主要争议。
关于内部控制评价的时点与时段之争
内部控制的评价应针对某一时点还是某一时间段(期间)?相当一部分观点认为,内部控制是持续运行的,不存在仅在某一时点上有效的内部控制,评价某一时点上的内控没有任何意义。也有一部分观点认为,在一般情况下,对内部控制的评价应当反映出在评价当日那个时点上的内部控制运行状况,但作出该时点内控是否执行有效的结论并不意味着仅仅考察该时点,而是需要考察一个合理期间内的内部控制运行情况。如果注册会计师在面对特定委托要求其对一定期间的内控做出评价时,也可以接受委托,但应当评估有关风险和成本因素。吴水澎等(2000b)认为,应“对企业内部控制进行整个年度的审计与报告”,理由是某一时点有效的内部控制不能保证年度财务报告的可靠性或企业在整个经营期间内守法经营。潘秀丽(2001)认为,“对内部控制评价的期间,应当与注册会计师所审计的、且准备公布的会计报告所覆盖的期间的最近一个会计年度为准。”arens和Loebbecke(1997)指出,内部控制鉴证服务的时间范围应由管理当局和注册会计师共同商定,同时应考虑有关监管部门的要求。在目前中国证监会有关规定中,我们没有发现对评价涉及的时间范围所做出的要求。
内控合规管理报告篇7
公司治理和内部控制发展史上的三大报告
历史上看,英国内部控制的发展离不开公司治理研究的推动。20世纪80-90年代,英国的公司治理像今天的美国一样,面临着巨大的信任危机。面对创造性会计(creativeaccounting)的泛滥、公司经营的失败和连续不断的丑闻、董事薪酬激增以及企业短期行为主义猖獗等一系列公司治理问题,社会公众、监管机构的不满情绪日益升温。这一阶段也就成为英国公司治理问题研究的一个高峰期,各种专门委员会纷纷成立,并了各自的研究报告,其中比较著名的有卡德伯利报告(CadburyReport,1992)、拉特曼报告(RuttermanReport,1994)、格林伯利报告(CreenburyReport,1995)和哈姆佩尔报告(HampelReport,1998)。在吸收这些研究成果的基础上,1998年最终形成了公司治理委员会综合准则(CombinedCodeofthecommitteeonCorporateGovernance)。综合准则很快就被伦敦证券交易所认可,成为交易所上市规则的补充,要求所有英国上市公司强制性遵守。这些研究成果从理论和实践两个方面,极大地推动了英国公司治理和内部控制的发展,尤其是卡德伯利报告、哈姆佩尔报告,以及作为综合准则指南的特恩布尔报告(turnbullReport,1999),堪称英国公司治理和内部控制研究历史上的三大里程牌。
一、卡德伯利报告
卡德伯利报告从财务角度研究公司治理,同时将内部控制置于公司治理的框架之下。其实,1985年“公司法”S.221条款就规定,董事对公司保持充分的会计记录负责,为满足上述要求,在现实中董事必须建立公司财务管理方面的内部控制制度,包括设计程序使舞弊风险最小化。也就是说,1985年的“公司法”已经对董事确保适当的内部控制制度提出了含蓄的要求。
卡德伯利报告进一步认为,有效的内部控制是公司有效管理的一个重要方面。因此建议董事们应发表一个声明,对公司内部控制的有效性进行详细描述,外部审计师对其声明进行复核(review)和报告,同时规定在董事会认可声明之前,审计委员会应对公司的内部控制声明进行复核。该报告还认为,内部审计有助于确保内部控制的有效性,内部审计的日常监督是内部控制的整体组成部分,会计师职业应在以下方面起到领导作用:(1)开发用以评估有效性的一整套标准;(2)开发董事会报告形式的具体指南;(3)开发审计师用以相关审计程序和报告格式的具体指南。
卡德伯利报告在许多方面开创了英国公司治理历史的先河,它明确要求建立审计委员会、实行独立董事制度,同时将内部控制作为公司治理的组成部分。尽管报告尚存在许多局限性,但它所确认的公司治理的许多原则一直沿用至今。
二、哈姆佩尔报告
哈姆佩尔报告将内部控制的目的定位于保护资产的安全、保持正确的财务会计记录、保证公司内部使用和向外部提供的财务信息的可靠性,同时鼓励董事对内部控制的各个方面进行复核,包括确保高效经营、遵守法律法规方面的控制。哈姆佩尔报告认为,很难将财务控制与其他控制区分开来,并坚信董事及管理人员对控制的各个方面进行复核具有重要意义,内部控制不应仅局限于公司治理的财务方面。该报告全面赞同卡德伯利报告将内部控制视为有效管理的重要方面的观点,并认为董事会应该对内部控制进行复核以强调相关控制目标,这些目标包括对企业风险评估和反映、财务管理、遵守法律法规、保护资产安全以及使舞弊风险最小化等方面。
尽管哈姆佩尔报告所提出的准则,将公司治理向前推进了一步,但并未满足普遍的要求,其主要的批评意见集中于该报告的内容缺乏新意、委员会主要由既得利益者组成、有关原则难以付诸实施、责任不够明确等。当时贸易与工业部的负责人玛格丽特·贝凯特就认为,报告在受托责任与透明度方面仍有不足。
三、特恩布尔报告
卡德伯利报告和哈姆佩尔报告都程度不同地对公司内部控制提出了要求,作为集大成者的综合准则在“最佳实务准则(BestpracticeCode)”中对内部控制提出了综合性和原则性的规定。尽管综合准则要求公司董事会应建立健全内部控制,但是该准则并未就如何构建“健全的内部控制”提供详细的指南。因此,英格兰和威尔士特许会计师协会(iCaew)与伦敦证券交易所达成一致,为上市公司执行准则中与内部控制相关的要求提供具体指南。1999年iCaew组成的以尼格尔·特恩布尔(nigelturnbull)为主席的十人工作小组公布了《内部控制:综合准则董事指南》,即特恩布尔报告。作为指导企业构建内部控制的指南,该报告的意义在于,它为公司及董事会提供了具体的、颇具可行性的内部控制指引。其主要内容是:
董事会对公司的内部控制负责,应制定正确的内部控制政策,并寻求日常的保证,使内部控制系统有效发挥作用,还应进一步确认内部控制在风险管理方面是有效的。在决定内部控制政策,并在此基础上评估特定环境下内部控制的构成时,董事会应对以下问题进行深入思考:(1)公司面临风险的性质和程度;(2)公司可承受风险的程度和类型;(3)风险发生的可能性;(4)公司减少事故的能力及对已发生风险的影响;(5)实施特殊风险控制的成本,以及从相关风险管理中获取的利益。
执行风险控制政策是管理层的职责,在履行其职责的过程中,管理层应确认、评价公司所面临的风险,并执行董事会所设计、运行的内部控制政策。公司员工有义务将内部控制作为实现其责任目标的组成部分,他们应集体具备必要的知识、技能、信息和授权,以建立、运行和监督公司内部控制系统。这要求对公司及其目标,所处的产业和市场以及面临的风险有深入的理解。
合理的内部控制要素包括政策、程序、任务、行为以及公司的其他方面,这些要素结合在一起,对影响公司目标实现的重大的商业性、业务性、财务性和遵循性风险做出正确反应,以提高公司经营的效率和效果。其中包括避免资产的不当使用、损失或舞弊,并保证已对负债进行了确认和管理。
公司的内部控制应反映组织结构在内的控制环境,包括:(1)控制活动;(2)信息和沟通程序;(3)持续性监督程序。特恩布尔报告指出了健全的内部控制所应具备的基本特征:(1)它根植于公司的经营之中,形成公司文化的一部分。换言之,它不仅仅是为了取悦监管者而进行的年度例行检查;(2)针对公司面临的不断变化的风险,具有快速反应的能力;(3)具有对管理中存在的缺陷或失败进行快速报告的能力,并且能及时地采取纠正措施。
对内部控制有效性进行复核是董事会职责的必备部分。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应限定对内部控制复核的过程,包括一年中复核的范围、收到报告的频率以及年度评估的程序等,这也将为公司年报和记录中的内部控制声明提供适当的支持。
内部控制发展的若干趋势
一、对内部控制有效性进行报告的要求日趋减弱
卡德伯利报告建议,董事应就内部控制的有效性进行报告,并要求审计师对董事会报告进行复核。由此产生了一系列问题,其中之一就是审计师应向谁进行报告、是否应将其复核报告公开。在向社会公众提供公开报告方面,有效性要求使董事会和审计师均感到很困惑,因为那将意味着内部控制将为避免错误或舞弊提供“绝对保证”,而事实上没有一个内部控制系统能够完全避免人为错误。如果由于非故意原因导致错误陈述或遗漏,董事或审计师将因为其确认的有效性而承担法律责任。power(1997)的研究发现,当内部控制及其有效性的概念仍处于模糊状态时,董事会及会计师均不愿做出这样的声明。
与卡德伯利报告形成鲜明对比的是,哈姆佩尔报告鼓励而非要求董事就内部控制的有效性作出判断,并对卡德伯利准则中的第4.5条款进行了修改,将原来的“董事应就公司内部控制的有效性进行报告”,修改为“董事应对公司内部控制进行报告”,删除了“有效性”一词。哈姆佩尔报告建议,在董事会报告中明确董事在内部控制方面的责任,说明内部控制仅能为避免重大的错误或遗漏提供“合理”保证,描述公司为提供有效的财务控制而建立的主要程序,并确认董事已经就系统的有效性进行了复核。哈姆佩尔报告认为,审计师不必向社会公众公布其对董事会报告的审查结果。这样做会在董事会与审计师之间建立更为有效的沟通渠道,使得最佳实务在报告的范围和性质方面不断进步。
而特恩布尔报告则规定,董事会应对公司内部控制的有效性进行复核,总结进行复核所使用的程序,并在年度报告或记录中披露用于解决内部控制重大问题的方法和过程,董事会至少还应披露用于确认、评估和管理重要风险的持续性监督程序。特恩布尔报告还鼓励董事会在年报中提供额外的信息,以帮助信息使用者理解公司的风险管理程序和内部控制。由此可见,英国对有关公司内部控制的报告和披露方面的要求并未放松,但对内部控制有效性进行报告的规定却日趋减弱。
内控合规管理报告篇8
2008年6月财政部等五部委颁布了《企业内部控制基本规范》,2010年4月又出台了企业内部控制配套指引,这标志着我国内部控制理论框架已经形成。与此同时,自2012年开始,上交所和深交所的a股上市公司也正式被要求披露企业内部控制自我评价报告和出具内部控制审计报告,至此,我国企业内部控制理论框架在实践上迈出了关键的一步。但追溯内部控制理论形成和披露要求与实践的过程,可发现其规范并不是一蹴而就。随着资本市场的发展,自1996年起我国就陆续出台了与内部控制相关的准则、指导、规范、方法和指引,并逐渐实现了与国外最新的理论框架接轨。在这一过程中,企业自身立足资本市场的内在要求是推动内部控制披露实践发展的直接动力;宏观监管部门的管理需求是一股强大的助推力;独立审计则站在内部控制披露实践的最前沿不断摸索,促进了企业内在要求与宏观管理需求的匹配。尽管在内部控制披露理论与实践方面已取得了里程碑式的成果,但根据文献梳理,国内有关上市公司内部控制信息披露的研究还不存在一个系统的脉络,未能形成综合性的理论和实践发展过程的构架。目前为止,我国企业内部控制信息披露大致经历了“自愿阶段-局部强制-整体强制”三个阶段,这三个阶段分别遵循着不同的理论规定,展示出了不同的实践效果。
二、自愿披露阶段
该阶段还停留在内部会计控制水平,未明确提出内部控制信息披露的概念,但独立审计的实践已经意识到了内部控制信息对于公司财务信息质量保证的重要性。
(一)相关政策梳理我国无论是理论界还是实务界对于内部控制概念的理解均始于“内部会计控制”。这一阶段现代内部控制框架和体系尚未建立,内部控制信息披露无强制规定,且内部控制信息隶属于会计信息,并未被单独分离。文件规定中,比较明确的是1996年财政部颁布的《独立审计具体准则第9号——内部控制与审计风险》,其中规定:“注册会计师应当将研究、评价内部控制和评估审计风险的过程及结果记录于审计工作底稿并将审计过程中注意到的内部控制重大缺陷,告知被审计单位管理当局。必要时,可出具管理建议书。”此时的内部控制信息披露仅仅是独立审计主要业务——财务报告审计的有限扩展,甚至不能算作严格的公开披露概念。2001年财政部颁发《内部会计控制规范——基本规范(试行)》才真正提出建议单位聘请中介机构或相关专业人员对本单位内部会计控制的建立健全及有效实施进行评价。接受委托者应对委托单位内部会计控制中的重大缺陷提出书面报告。但此时的建议中所涉及的评价主体仅仅是企业外部的中介机构或相关专业人士而非企业内部相关部门或责任主体。
(二)上市公司执行情况由于这一阶段披露理论的不完善,披露实践也显得非常随意。陕西秦川机械发展有限公司率先公开第一份单独的内部控制自我评估报告(以下简称“自评报告”)。随后,福建福发、安泰科技、新野纺织等公司也公开披露了自我评估报告,然而当时自愿披露的公司比例极低。并且报告只是简单地介绍了公司内部控制的目标、基本原则和笼统的内部控制制度内容,而对于公司内部控制的质量只是简单地概括为“符合我国有关法规和证券监管部门的要求,具有合理性、合法性和有效性”,并未详细地介绍内部控制具体事项的落实情况。报告的篇幅短小,质量较为粗糙,无统一文件理论依据。披露流于形式,并不能给各利益相关者提供有用的信息。
三、局部强制阶段
2000年之后,资本市场发展对企业内部控制信息披露提出了现实的要求,一些特殊行业(如金融行业)自身对内部控制有着天然的要求,这些行业率先在披露实践上做了有益的探索,企业内部信息披露开始步入局部强制阶段。
(一)相关文件梳理这一阶段,我国对内部控制信息披露做出了明确的规定,但由于处于政策制定的初期探索阶段,其必要性及适用性有待实践的进一步检验,因而表现为“局部性”规定。局部性体现在:“局部行业”,即商业银行、证券公司、保险公司等金融机构;“局部报告”,即强制性说明只重点体现在新股招股说明书方面;“局部环节”,即在局部重点环节(如上市公司的ipo环节)中对内部控制的信息强制披露;“局部情况”,即公司只需在内部控制存在缺陷的情况下披露信息,若监事会认为公司决策程序合法,内部控制制度健全,公司董事、经理执行公司职务时合法合规,无损害公司利益的行为,内部控制信息可免于披露。文件梳理显示,相关规定的机构大多为银监会和证监会(如表1)。银监会的职责主要在于对银行业金融机构的业务活动及其风险状况进行非现场监管,而证监会的主要职能在于建立统一的证券期货监管体系,按规定对证券期货监管机构实行垂直管理。相关规定旨在对监管对象进行纲领性的规范及其行为的约束。由于规范性文件的普遍约束力,监管对象的执行率一般较高,但具体的执行效果并不能得到有效的保障。
(二)上市公司实践研究李宜(2009)通过分析沪市上市公司2001-2005年年报内控状况的透明度,发现在年报中披露内控信息的沪市上市公司每年均超过75%,合规披露的每年均超过70%。李妍等(2006)统计了沪市2001年4月至2003年12月共172家首发新股公司的情况,其中83.7%按准则第11号文件第五十九条的规定进行了披露。此阶段大多数公司管理层对内部控制的认识尚不明确和统一,距离公认的评价标准和规定的披露要求甚远,内控评价的表述风格各异,缺乏完整性及系统性,格式千差万别,存在一定的选择性和随意性。但报告的内容有了明显的深入与扩展,内控制度更加完善,可执行性增强,并且增加了对落实情况的介绍,对于各利益相关者而言,具有一定的实际参考价值。
四、整体强制阶段
该阶段自评报告内容从侧重于对内控制度的描述转变为围绕五要素对公司各重大事项控制情况的介绍、公司各部门具体执行内控计划的时间与事项安排、内部控制存在的缺陷及改进情况甚至还包括结合自身行业特点的风险控制的方法和手段。可以看出,随着实施深度的推进,企业对内部控制信息披露作用的认识越来越深刻,上市公司开始正视自身内控体系的缺陷,并通过制度完善来为目标达成提供合理保证,主动优化自己的报告,以传递给投资者更多有关企业利好的信号,从而吸引优质资源,提高公司的投资资本回报率,使自身不断发展壮大。
(一)相关政策梳理2005年11月,《国务院批转证监会〈关于提高上市公司质量意见〉的通知》颁布,对上市公司内部控制信息披露提出了新的要求;随即,2006年上海证券交易所和深圳证券交易所分别《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,这两个指引均要求上市公司在年报中披露内部控制制度的制定和实施情况,并将内部控制自我评价报告和注册会计师评价意见与公司年度报告同时对外披露。《上交所指引》中规定“如发现内部控制存在重大缺陷或风险,应及时向董事会报告”,《深交所指引》补充“公司监事会和独立董事应对此报告发表意见”、“公司董事会、监事会应针对注册会计师对公司内部控制有效性表示异议的涉及事项作出专项说明”的规定。至此,我国上市公司内部控制信息披露进入了强制披露阶段。2007年,深交所要求中小企业板上市公司建立自查机制,内部控制的监察范围逐步扩大。通过企业内部控制标准委员会的不断努力,2008年和2010年,五部委先后正式了《企业内部控制基本规范》和《企业内部控制配套指引》。前者规定“企业应结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告;接受企业委托从事内部控制审计的会计师事务所应对企业内部控制有效性进行审计,出具审计报告”。后者规定企业“及时编制内部控制评价报告,经董事会或类似权力机构批准后对外披露或报送相关部门”。两份文件标志着我国企业内部控制规范体系日益健全和完善,至此,内部控制从“政出多门”走向了统一。见表2。
上交所和深交所是上市公司最直接的监管机构,根据内部控制信息披露的具体实践,2008年至2012年各自连续了《关于做好上市公司年度工作报告的通知》,其中反映了内部控制信息披露的各项要求,见表3。从表3可以看出,无论是上交所还是深交所的上市公司都经历了从内控自评报告的强制披露到内控审计报告的自愿披露再到内控审计报告的强制披露的过程,并且强制披露的主体范围都在不断扩大。由于证券交易所是上市公司的交易组织机构,对其交易行为直接进行监督,因此其规定虽不及监管部门所制定规定的约束力强,但往往对于上市公司具有更现实的操作指导作用。
(二)上市公司执行情况据迪博企业风险管理技术有限公司2008年至2013年《上市公司内部控制白皮书》的数据统计显示,沪深两市上市公司2007年至2012年内控自评报告披露总比例分别为43.39%、67.17%、62.85%、76.86、78.80%和90.04%。这表明,随着披露规范的完善,披露内部控制自评报告的上市公司比例总体呈现上升趋势,且由于《企业内部控制配套指引》的强制规定,2012年这一比例更是高达90.04%,较前一年相比迅速增长11.24%。并且从披露的报告质量来看,内容详尽程度、措辞的严谨性明显改观,而在格式的统一性和内容的可读性上也均有所提高。有些公司甚至开始在内控报告中根据所在行业的特点及自身的实际情况披露个性化的风险类别,并结合其业务特点详细介绍其风险防范措施。尽管这样的高质量内控报告在整体中仍属于少数,但仍能一定程度上反映出上市公司在内控报告披露方面的不断进步。目前仍存在报告内容形式化、信息披露不全面、缺陷描述避重就轻甚至含糊用词以混淆视听等问题,披露内容和格式也有待进一步统一。多数公司没有明确的判断内控缺陷的定性和定量标准,并且披露内控重大和重要缺陷的比例过低,不符合国内上市公司内控质量的真实情况。
五、结论
通过对我国企业内部控制信息披露演进的梳理,可发现:从文件规定来看,强制披露的企业范围从部分金融机构扩展到绝大多数上市公司;披露的形式从作为新股招股说明书或年报中的一部分到独立的自评报告、中小企业规则落实自查表;披露的内容从无具体规定到详细规定了至少应当披露的事项;披露的责任主体从不明确到强调董事会、监事会及独立董事的责任。从实践情况来看,整体披露上市公司数量逐年增加,披露内容越来越具体,质量不断提高,从最初的形式化被动披露到主动完善报告信息,都显示了相关各方对内部控制信息披露的认识越来越深刻。未来我国内部控制信息披露的规定会越来越严格,强制披露的企业范围会逐年扩大;而针对目前披露内容不统一,实质性有用信息不多的情况,今后将会明确具体的披露内容,增强上市公司内控信息的可比性,进一步提高披露信息的可读性与实用性。对于目前缺陷认定缺乏合理统一标准的情况,笔者认为,可以借鉴日本的经验,规定统一的认定标准,如内部控制可能导致的财务错报超过合并税前收益的一定比例为重大缺陷,或者以净资产等指标的相对比例作为认定标准。而针对于内部控制信息披露的责任问题,今后董事会、监事会和独立董事的法律责任将会越来越明确,将会建立以国家法律制裁、监管部门行政处罚、交易所垂直监管三者有机结合的责任追究体系,使虚假披露责任主体付出昂贵的代价,使内控能够得以“物尽其用”,切实提高上市公司质量。各公司将从“要我披露”转变为“我要披露”(徐明磊,2012)。随着内控信息披露体系的逐步成熟,监管机构将把工作重点从规范的制定转移到规定的贯彻落实:缩短报告的编制时间,以提供给投资者更及时、准确的信息,同时也有利于公司自身及时发现缺陷并进行整改;给予公司更多相关指导以帮助其能真正获得内控所带来的好处,建立积极严谨披露与发展壮大的良性循环。
参考文献:
[1]李宜:《上市公司年报内部控制信息披露状况研究——来自沪深a股上市公司的经验证据》,《北方工业大学学报》2009年第2期。
[2]李妍:《招股说明书内部控制信息披露现状剖析——以我国沪市数据为例》,《广州大学学报》(社会科学版)2006年第2期。
内控合规管理报告篇9
一、新内部控制规范目标
新内部控制规范的目标体现为企业战略;经营的效率和效果;财务报告及管理信息的真实、可靠和完整;资产的安全完整;遵循国家法律法规和有关监管要求等,并提出“有义务对外提供财务报告的企业,应当确保财务报告及管理信息的真实、可靠和完整,具备条件的,还应同时实现其他控制目标”。
旧内部控制规范的目标主要围绕会计控制展开的一系列目标制定,强调报告目标和合规性目标。而新内部控制规范则主要强调围绕经营管理和风险控制,并将内部控制上升到企业战略的高度,其中心目标是“确保财务报告及管理信息的真实、可靠和完整”,在突出重点的情况下,具体内部控制规范和指南着重就影响财务报告真实可靠的重要业务及事项进行了规范,引导企业建立健全以财务报告内部控制为核心的内部控制机制。由旧内部控制规范的报告目标、合规性目标扩展到新内部控制规范的战略目标和经营目标,体现了将关注企业长远发展、可持续发展、规避风险作为企业内部控制的基本目标。
二、新内部控制规范基本原则
新内部控制规范的基本原则有合法性原则,即内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求;全面性原则,即内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节;重要性原则,即强调内部控制应当针对重要业务与事项、高风险领域与环节采取更为严格的控制措施;有效性原则,即内部控制应当能够为内部控制目标的实现提供合理保证;制衡性原则,即要求企业的机构、岗位设置和权责分配应体现权责分明和有利于相互制约、相互监督,履行内部控制监督检查职责的部门应当具有良好的独立性,任何人不得拥有凌驾于内部控制之上的特殊权力;适应性原则,即内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善;成本效益原则,即内部控制应当在保证有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
新内部控制规范的基本原则在涉及旧内部控制规范原则的基础上,突出强调以下内容:一是重点关注重要业务与事项、高风险领域与环节的控制措施;二是强调监督检查职责部门应当具有良好的独立性;三是任何人不得拥有凌驾于内部控制之上的特殊权力。
三、新内部控制规范基本结构及内容
新内部控制规范的基本结构如下:第一章总则;第二章内部环境,包括治理结构、内部机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等;第三章风险评估,包括目标设定、风险识别、风险分析、风险应对等内容;第四章控制措施;第五章信息与沟通;第六章监督检查;第七章组织实施;第八章附则。
新内部控制规范具体内容包括:(1)内部环境。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。(2)风险评估。风险评估主要包括目标设定、风险识别、风险分析和风险应对。(3)控制措施。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。(4)信息与沟通。信息与沟通主要包括信息的收集机制以及企业内部与企业外部有关方面的沟通机制等。(5)监督检查。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。新内部控制规范在结构上和内容上重点突出和强调公司治理、内部环境、风险控制等内容的扩展。
四、新内部控制规范方法
旧内部控制规范的方法主要包括不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制、财产保全控制、风险控制、内部报告控制、电子信息技术控制等。新内部控制规范的方法则主要是建立在内部环境和风险基础上,确保企业内部控制目标得以实现的方法和手段,所体现的内部控制措施主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。具体内容如下:
第一,职责分工控制。旧内部控制规范方法中的不相容职务相互分离控制要求单位按照不相容职务相分离的原则,合理设置会计及相关工作岗位,明确职责权限,形成相互制衡的机制。不相容职务主要包括授权批准、业务经办、会计记录、财产保管、稽核检查等职务。新内部控制规范方法中的职责分工控制要求根据企业目标和职能任务,按照科学、精简、高效的原则,合理设置职能部门和工作岗位,明确各部门、各岗位的职责权限,形成各司其职、各负其责、便于考核、相互制约的工作机制。企业在确定职责分工的过程中,应当充分考虑不相容职务相互分离的制衡要求。不相容职务通常包括授权、批准、业务经办、会计记录、财产保管、稽核检查等。
第二,授权控制。旧内部控制规范方法中的授权批准控制要求单位明确规定涉及会计以及相关工作的授权批准的范围、权限、程序、责任等内容,单位内部各级管理层必须在授权范围内行使职权和承担责任,经办人员也必须在授权范围内办理业务。新内部控制规范方法中的授权控制要求企业根据职责分工,明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。企业内部各级管理人员必须在授权范围内行使职权和承担责任,业务经办人员必须在授权范围内办理业务。新内部控制规范方法中的审核批准控制要求企业各部门、各岗位按照规定的授权和程序,对相关经济业务和事项的真实性、合规性、合理性以及有关资料的完整性进行复核与审查,通过签署意见并签字(签章),做出批准、不予批准或者其他处理的决定。
第三,财产保护控制。旧内部控制规范中的财产保全控制要求单位限制未经授权的人员对财产的直接接触,采取定期盘点、财产记录、账实核对、财产保险等措施,确保各项财产的安全完
整。新内部控制规范中的财产保护控制要求企业限制未经授权的人员对财产的直接接触和处置,采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施,确保财产的安全完整。
第四,会计系统控制。旧内部控制规范中的会计系统控制要求单位依据《会计法》和国家统一的会计制度,制定适合本单位的会计制度,明确会计凭证、会计账簿和财务会计报告的处理程序,建立和完善会计档案保管和会计工作交接办法,实行会计人员岗位责任制,充分发挥会计的监督职能。新内部控制规范中的会计系统控制要求企业依据《会计法》以及国家统一的会计制度制定适合本企业的会计制度,明确会计凭证、会计账簿和财务报告以及相关信息披露的处理程序,规范会计政策的选用标准和审批程序,建立、完善会计档案保管和会计工作交接办法,实行会计人员岗位责任制,充分发挥会计的监督职能,确保企业财务报告真实、可靠和完整。
第五,内部报告控制。旧内部控制规范的内部报告控制要求单位建立和完善内部报告制度,全面反映经济活动情况,及时提供业务活动中的重要信息,增强内部管理的时效性和针对性。新内部控制规范的内部报告控制要求企业建立和完善内部报告制度,明确相关信息的收集、分析、报告和处理程序,及时提供业务活动中的重要信息,全面反映经济活动情况,增强内部管理的时效性和针对性。内部报告方式通常包括例行报告、实时报告、专题报告、综合报告等。
第六,经济活动分析控制和绩效考评控制。新内部控制规范的经济活动分析控制要求企业综合运用生产、购销、投资、财务等方面的信息,利用比较分析、比率分析、因素分析、趋势分析等方法,定期对企业经营管理活动进行分析,发现存在的问题,查找原因并提出改进意见和应对措施。新内部控制规范中的绩效考评控制要求企业科学设置业绩考核指标体系,对照预算指标、盈利水平、投资回报率、安全生产目标等方面的业绩指标,对各部门和员工当期业绩进行考核和评价,兑现奖惩,强化对各部门和员工的激励与约束。
第七,电子信息技术控制和信息系统控制。新内部控制规范中的电子信息技术控制要求运用电子信息技术手段建立内部会计控制系统,减少和消除人为操纵因素,确保内部会计控制的有效实施;同时要求加强对财务会计电子信息系统开发与维护、数据输入与输出、文件储存与保管、网络安全等方面的控制。新内部控制规范中的信息系统控制要求企业结合实际情况和计算机信息技术应用程度,建立与本企业经营管理业务相适应的信息化控制流程,提高业务处理效率,减少和消除人为操纵因素,同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全、有效运用。
五、新内部控制规范其他内容
一是内部控制规范实施的责任主体。旧内部控制规范指出由单位负责人对本单位内部会计控制的建立健全及有效实施负责。新内部控制规范则指出企业董事会应当充分认识自身对企业内部控制所承担的责任,加强对本企业内部控制建立和实施情况的指导和监督,并规定董事长(或者法定代表人、代表企业行使职权的主要负责人,以下简称董事长)对本企业内部控制的建立健全和有效实施负责;经理(或者总裁、厂长,以下简称经理)根据法定职权、企业章程和董事会的授权,负责组织领导本企业内部控制的日常运行;总会计师(或者财务总监、分管财务会计工作的负责人,以下简称总会计师)在董事长和经理的领导下,主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全和有效执行。内部控制的责任主体向上扩展到治理层(董事会),向下扩展到其他员工。
内控合规管理报告篇10
关键词:财务报告内部控制美日经验借鉴
一、美国财务报告内部控制(iCoFR)评价
(一)iCoFR评价披露方式:由自愿转为强制。美国早在1934年就强制要求企业建立和保持内部控制体系,为企业财务报告准确性和资产的安全性提供合理保障。1934年《证券交易法》是美国第一次对内部控制进行的立法。1977年美国国会通过的《反国外贿赂法》中有关会计条款就要求在美国上市的公司保持适当的内部控制系统,它极大提高了公司内部控制的地位。1979年和1988年SeC也曾两次提议上市公司应对外披露内部会计控制信息,但因大、小公司质疑其执行成本过高遭到有关各方强烈反对而被搁置。之后,CoSo在1992年了《内部控制――总体框架》,提出公司管理层应定期对企业内部控制的合理性及执行的有效性进行评价并对外出具报告,但当时内部控制信息始终是自愿披露的。因此,美国iCoFR由直接披露向强制披露的过程一直受到各方的争议。
安然事件以及之后一系列财务丑闻的爆发,使企业监管层认识到有效的内部控制对于保证财务报告可靠性的重要作用。在这一背景下,2002年美国国会最终通过了《萨克斯―奥克斯利法案》(简称SoX法案),该法案的302节和404节要求公司管理当局评价和报告公司的财务报告内部控制,独立审计师对公司iCoFR的评价进行鉴证。2003年6月5日SeC了最终规则,规定了上市公司执行SoX法案内部控制信息要求的具体内容。随后,美国成立了公众公司会计监督委员会(简称pCaoB),该委员会先后制定了审计准则第2号和第5号来规范和指导审计师的审计行为。至此,美国上市公司内部控制信息披露由自愿披露正式转变为强制披露方式。
(二)iCoFR评价内容:由公司全部经营效率转为与财务报告相关。根据SoX法案的302节“公司财务报告的责任”和404节“管理层对内部控制的评价”以及SeC的相关规定,美国上市公司iCoFR评价与报告应该包括两部分内容:一是公司管理层对iCoFR有效性进行评价,并向公司审计委员会和对外发报告;二是注册会计师对管理层iCoFR有效性评价发表鉴证意见。美国的做法是基于监管成本以及监管效力等因素的考虑,故监管层目前只选择了对iCoFR的披露进行管制,对内部控制的其他方面则更多地采用自愿的形式,这突出了iCoFR的重要性,避免了内部控制披露要求的面面俱到,而实际执行时却流于形式,所以iCoFR评价内容具有明显的针对性和可操作性。
(三)iCoFR评价的执行成本:中小企业难以承受。SoX法案以及相关的根本性立法给美国公众公司和投资者带来了很大的利益,它对于投资者起到了重要的保护作用,是最为有效的威慑舞弊的防范措施。但它曾遭到美国包括大、小公司的利益集团的空前反对。他们认为执行404节和302节造成大量的执行成本。按照2003年6月SeC最终规则的估计,上市公司执行404节的平均成本在91000美元左右。国际财务执行官协会(Fei)研究发现,第一年404节执行成本支出在310-810万美元之间,第二年上市公司执行成本仍然高达380万美元。设计和维护流程文件、测试关键控制和注册会计师鉴证被认为是执行成本中最高的前三位(美国parveenp.Gupta,2006),与第一年实施SoX的成本相比,第二年执行SoX的各种成本大幅下降。此外还有以下潜在因素对注册会计师评价iCoFR的成本有较大影响:(1)缺少SeC或其他专业组织制定的实务指南。(2)详细评价法导致成本高、效率低。(3)注册会计师和公司管理层执行团队合作不佳以及受成本效益原则的困扰。为了进一步落实SoX法案,美国SeC和pCaoB采取了多项措施,以设法降低内部控制评价制度的成本和增进其执行效果。比如,推迟小企业及外国大企业404节的实施时间,针对小企业开发了《小企业内部控制框架》,制定第5号审计准则以取代第2号审计准则,精简审计程序,使用整合审计的工作成果等。
二、日本财务报告内部控制评价
(一)日本iCoFR评价依据:两个层次。日本iCoFR评价依据包括两个层次:法律法规层次――2006年6月日本议会通过的《金融商品交易法》;技术规范层次――2007年2月日本企业会计审计会正式的《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定(意见书)》和同时颁布的《财务报告内部控制评价与审计准则》(简称为评价与审计准则),以及《财务报告内部控制评价与审计实施准则》(简称为实施准则),要求上市公司自2008年4月1日以后开始进行会计年度iCoFR的评价与审计。以上法规共同为企业管理层以及公认会计师对iCoFR评价提供指导。日本内部控制评价与审计准则主要由三部分组成:内部控制基本框架、财务报告内部控制评价及报告和财务报告内部控制的审计。“财务报告内部控制评价及报告”和“财务报告内部控制的审计”分别阐述了管理层对财务报告内部控制的有效性评价和注册会计师进行审计的思路。
(二)日本iCoFR的基本框架――超越CoSo框架。在借鉴美国SoX法案主要内容的基础上,日本在意见书中规定了全新的内部控制框架,提出了建立内部控制的四个目标和六个基本要素。四目标:除了CoSo报告中包括的提高业务活动的效率性、财务报告的可靠性与经营活动的合法性三个目标外,还增加了“资产保全”目标。内部控制的基本要素,除了吸收美国CoSo报告中的关于控制环境、风险评估、控制活动、信息与沟通和监控被多数国家认可的五要素以外,考虑到随着it环境变化发展,it渗透企业以及信息系统反馈与iCoFR制度密切相关,日本增加了“对it的应付”这一新的基本要素。it的应对在内部控制框架中体现了日本信息技术的飞跃发展对组织产生的深刻影响。it内部控制是日本内部控制框架的重要特征。在管理层评估内部控制有效性时,日本与美国都是采用自上而下基于风险导向的方法。但与美国不同的是,日本意见书实施准则规定:由管理层评估使用it的控制是评估业务水平控制的重要内容。实施准则包括:使用it内部控制的评价、评价范围的决定、评价单位的认定及使用it的内部控制的构建状况和运行状况有效性的评价四方面。
(三)日本iCoFR评价――与财务报告审计相关联。具体体现在:(1)iCoFR评价与财务报表审计协同进行。两个审计过程可由同一个注册会计师执行,并且可互相利用对方的审计证据。这样可以缩小测试范围,减少审计工作量和降低执行成本。(2)主要评价与财务报告相关的内部控制。内部控制是一个非常广泛的概念,日本审计准则的内部控制评价范围只与财务报告相关,这与美国相同。日本准则同时对公认会计师进行iCoFR的评价范围做了要求,其内容主要包括管理层对内部控制评价范围的适当性、评价范围所选择方法的合理性、内部控制有效性评价适当性以及内部控制重大缺陷的报告适当性等几部分。(3)内部控制评价报告原则上可与财务报表审计合并编制。所以日本财务报告内部控制评价执行标准是与财务报告审计相关联的。日本以上的做法也是基于成本效益原则的考虑。
三、美日经验对我国的借鉴
美国的财务报告内部控制体系较为成熟,而日本的经济和人文环境与我国较为相似,美、日两国iCoFR评价经验对于我国上市公司如何实施iCoFR评价具有重要的借鉴意义。
(一)关注it的应对。2008年6月我国五部委联合了《企业内部控制基本规范》,表明我国在内部控制评价和审计中取得了重大成就。但基本规范中提出的我国内部控制五要素中不包括内部控制it的应对,这不得不说是一个缺憾。目前it环境迅速发展,it已渗透到企业经济业务的各方面,组织的业务内容在很大程度上依赖信息技术,组织信息系统与it高度结合,如果离开了it信息技术上市公司将无法进行业务活动。上市公司各项业务活动对it的应对已成为公司实现内部控制目标必不可少的内容,因此我国应借鉴日本的做法,将it的应对作为内部控制的基本要素之一,及时制订与it内部控制相关的iCoFR评价和审计的具体措施。
(二)通过法律形式对我国iCoFR的有效性评价进行强制性规定并严加监管。我国开展内部控制评价和审计工作时间不长,取得了一定的成就,企业内控重视程度、经营管理水平、风险防范与应对能力都有显著提高,但也存在不少问题。截至2012年12月1日,沪、深交易所共有2492家上市公司,其中2244家披露了内部控制评价报告,占比90.64%,还有9.36%没披露;有2236家上市公司未披露内控缺陷,占比99.64%,8家上市公司内控存在重大缺陷。内部控制审计情况:2012年共有1532家上市公司披露了内部控制审计报告,占比仅为61.48%,其中内控审计结论为标准无保留意见的为1506家,占98.%,非标准意见的是26家,占1.7%。从中可以看出,目前还有不少上市公司未披露iCoFR评价和审计的情况,公司财务报告的可靠性无法得到保证。所以我国有必要借鉴美国的做法,通过法律形式对iCoFR的有效性评价进行强制性规定。为了更好地推动内控规范体系的落地,应针对不同行业以及企业现实需求,研究特殊行业运作特点、共性风险和行之有效的控制措施,及时制定和行业实务指南。针对目前有些公司内控缺陷认定的随意性,监管部门应研究制定内控缺陷认定指南。在修改《会计法》、《证券法》等相关法律法规时增加内部控制相关条款,提升内控要求的法律层次,进一步明确企业及相关中介机构对内控的责任。要建立健全考试和培训制度,将内控的规范知识纳入到会计从业和专业技术职称考试以及继续教育的内容中,培育壮大内控专业技术队伍人才。财政部、证监会及派出机构要加大监管资源的投入,形成合力,加大对有关企业、会计师事务所和咨询机构实施规范体系的监督检查力度,坚决查处内控评价工作走过场、缺陷认定不客观、评价结论不适当和内控信息披露不充分的违规违法行为。
(三)明确内部控制评价范围和审计方法与财务报告相关且协同整合。根据前面的论述可知,第一,目前美国和日本的内部控制评价与财务报告相关,这样可突出重点和降低高昂的评价费用以降低内控评价的工作阻力,使公司内控评价工作得以顺利开展。第二,美国第5号审计准则明确指出,审计人员在进行财务报告审计的同时进行iCoFR的审计,并提出了整合审计理念,日本在相关准则中也明确要求内部控制审计和财务报告审计两个过程协同进行,并且可以由同一家会计师事务所的同一注册会计师进行,因为它们程序关联,目标一致,相互补充。而我国《企业内部控制应用指引》和《企业内部控制评价指引》规定企业内部控制评价范围是全面的评价,与其相适应的鉴证必然是全面的。由于企业内部控制具有复杂性和多样性,注册会计师对被审计单位内部控制进行全面了解和评价是非常困难的。另外,我国《企业内部控制审计指引》规定注册会计师可以进行内部控制审计,也可将内部控制审计与财务报告审计整合进行。这与美国和日本的相关规定不同。所以建议我国应借鉴日、美两国的做法,将我国企业内部控制的评价范围和方法明确为与财务报告相关且协同整合进行。这样不仅可以充分利用审计资源,而且还可以大大降低iCoFR评价成本,提高iCoFR的评价质量和效率。S
参考文献:
1.朱荣恩,应唯,袁敏.美国财务报告内部控制评价的发展及对我国的启示[J].会计研究,2003,(08).
2.财务部会计司,证监会会计部.我国上市公司2012年实施企业内部控制规范体系情况分析报告[J].财务与会计,2013,(11).
3.孙国光,莫冬燕.《萨班斯―奥克斯利法案》内部控制对财务报告可靠性起到保证作用了吗?[J].财经问题研究,2012,(03).