內(nèi)部控制自我評價
怎樣寫內(nèi)控自我評價?
一般情況下,根據(jù)自我評價報告內(nèi)容和內(nèi)控體系實際建設情況,外部審計機構(gòu)對于企業(yè)的內(nèi)部控制體系會出具三種意見的某一種:
達到內(nèi)控要求:同意評價報告意見;
有重大缺陷:否定意見;
有范圍限制:撤消業(yè)務約定,或無法表示意見。
上述意見并非僅憑借企業(yè)出具的自我評價報告,還需要依據(jù):
內(nèi)部控制文檔(內(nèi)控管理手冊+管理制度匯編目錄);
內(nèi)控控制程序相關(guān)審計結(jié)果(如果有);
內(nèi)控控制程序測試結(jié)果;
實質(zhì)性業(yè)務活動過程文件;
企業(yè)內(nèi)部評估自查結(jié)果(如果有)。
問詢會是一種方式,但不作為審計底稿的依據(jù)。因此,一份內(nèi)控自我評價報告的意義確實沒有多大,雖然是自我評估的表達,但能否讓外部審計機構(gòu)接受,他們信還是不信需要有其他依據(jù)的。如果實際的內(nèi)控體系只是一套文件,外部審計機構(gòu)很難出具第一種意見,如果真出具了,對于廣大的中小投資者也是很不負責任的行為。
如果一個企業(yè)在內(nèi)部控制體系建設過程中確實建立了標準和規(guī)范并予以實施,那在撰寫內(nèi)控自我評價報告的時候可以有所側(cè)重。常規(guī)意義上,一份標準的內(nèi)控自我評價報告包括(不同企業(yè)根據(jù)實際情況有所刪減或強調(diào)):
內(nèi)控整體情況綜述(包括對整體內(nèi)控情況評述、組織機構(gòu)、制度建設和內(nèi)控職能部門建立和運行情況的描述);
內(nèi)部控制有效性評估(包括經(jīng)營環(huán)境控制情況評述,重點內(nèi)部控制活動和重點業(yè)務活動內(nèi)部控制情況描述,問題及整改計劃以及綜合評價)
內(nèi)容不復雜,主要是針對報告期間(一般是1.1-12.31)內(nèi)部控制建設情況及內(nèi)部控制體系應用的有效性進行自我評估。做的好企業(yè),在撰寫自我評價報告前,會考慮通過內(nèi)部審計部門或由內(nèi)控職能部門主導完成企業(yè)內(nèi)部控制的自我評估檢查。同時,對于集團型企業(yè)來說還是檢查和評價各分支機構(gòu)內(nèi)控執(zhí)行情況,并進行評價和績效考核的方法。整體情況評價是看企業(yè)在報告期間內(nèi)有否出現(xiàn)重大風險,是否進行了重大調(diào)整,對于調(diào)整部分內(nèi)部控制是如何做的。對于業(yè)務活動部分,除了結(jié)合企業(yè)內(nèi)部控制應用規(guī)范中要求逐一檢查的內(nèi)容外,主要是針對企業(yè)內(nèi)控管理手冊中各個控制點的控制情況進行了解并挑出確實卓有成效的部分進行詳細描述。無論怎樣,內(nèi)控的意義是防止出現(xiàn)重大管理問題,督促企業(yè)進行規(guī)范運作,如果報告期間內(nèi)企業(yè)已經(jīng)出現(xiàn)了重大問題,內(nèi)控評價報告怎樣寫都無法得到外審出具的第一種意見。
正如,重視風險管理和內(nèi)部控制的企業(yè)會將內(nèi)部控制作為規(guī)范企業(yè)運作和防范風險的手段,不重視的企業(yè),會將內(nèi)控做成只有一紙文書的應付差事。即使企業(yè)什么都沒做,寫出內(nèi)控自我評價報告也是完全可能的,畢竟沒有企業(yè)是沒有任何規(guī)章制度規(guī)范,在完全失控的狀態(tài)去管理的。
公司內(nèi)部控制自我評價
在以企業(yè)為紐帶的博弈各方中,內(nèi)部控制自我評價和審計師對內(nèi)控的鑒證能夠釋放企業(yè)內(nèi)部控制有效性的信息,使得投資者得以對管理層內(nèi)部控制行動和自身的投資風險做出判斷。2006年滬深兩個交易所分別頒布了針對上市公司的《上海證券交易所上市公司內(nèi)部控制指引》和《深圳證券交易所上市公司內(nèi)部控制指引》,本文主要對滬市862家通過指定報紙和網(wǎng)站披露了2007年年度報告的上市公司其內(nèi)部控制自我評價情況進行統(tǒng)計,分析內(nèi)部控制自我評價產(chǎn)生的效果和存在的問題,并提出針對性建議。本文分為四個部分:第一部分闡述評價依據(jù),第二、三部分通過對披露內(nèi)控自我評價的公司和未披露內(nèi)控自我評價的公司從四個維度進行數(shù)據(jù)分析,分析內(nèi)控自我評價的效果及存在的問題,最后一部分提出相應建議。
一、評價依據(jù)
內(nèi)部控制自我評價是由企業(yè)董事會和管理層實施的,對企業(yè)內(nèi)部控制有效性進行評價,形成評價結(jié)論,出具評價報告的過程。內(nèi)部控制有效性是指企業(yè)建立與實施內(nèi)部控制能夠為控制目標的實現(xiàn)提供合理的保證程度。盡管2007年年報披露內(nèi)部控制自我評價報告和審計師審計報告時統(tǒng)一的內(nèi)部控制基本規(guī)范尚未出臺,但無論是財政部2001年頒布的《內(nèi)部會計控制基本規(guī)范》,還是上海證券交易所的《上市公司內(nèi)部控制指引》,遵循法律法規(guī)和企業(yè)內(nèi)部公司章程及董事會議事規(guī)則等內(nèi)部制度、合法授權(quán)使用和處置資產(chǎn)、財務報告及相關(guān)信息真實可靠都是內(nèi)部控制要求達到的基本目標。因此,披露內(nèi)部控制自我評價報告的公司,大都將財政部的《內(nèi)部會計控制基本規(guī)范》,或是上海證券交易所的《上市公司內(nèi)部控制指引》作為評價的依據(jù)。
二、數(shù)據(jù)分析
對包括投資者在內(nèi)的企業(yè)外界各利益相關(guān)者而言,披露內(nèi)部控制自我評價的信息是了解企業(yè)公司治理與管理規(guī)范化程度、企業(yè)抗風險能力,增強投資者信心的措施;對企業(yè)管理層而言,內(nèi)部控制自我評價過程,能夠使企業(yè)通過檢測和反省內(nèi)部控制設計與運行來持續(xù)提高內(nèi)控系統(tǒng)與控制環(huán)境的藕合度,不斷消除內(nèi)部控制缺陷,增強企業(yè)抗風險的能力、消除不利于內(nèi)控目標實現(xiàn)的不確定性因素。
按照《內(nèi)部會計控制基本規(guī)范》和《上市公司內(nèi)部控制指引》,一個內(nèi)部控制系統(tǒng)有效運行的企業(yè),至少要做到企業(yè)經(jīng)營中嚴格執(zhí)行國家的法律法規(guī)和公司章程等內(nèi)部規(guī)章、按合理的授權(quán)使用和處置資產(chǎn)、嚴格按會計準則和上市公司信息披露要求對外提供真實可靠的財務報表。已披露內(nèi)部控制自我評價的企業(yè)在內(nèi)控自我評價過程中應該能夠基于上述三個目標識別和認定內(nèi)部控制的設計風險、運行風險以及設計或運行無效而導致錯誤或舞弊的風險,從而為上述三個目標的實現(xiàn)提供合理保證。盡管完善的內(nèi)部控制系統(tǒng)能同時為實現(xiàn)包括戰(zhàn)略實施、管理效率與效果在內(nèi)的五個目標提供合理保證,但證券監(jiān)管機構(gòu)和交易所的監(jiān)管、注冊會計師的財務報表審計基本上是基于上述三個目標進行的。有效的內(nèi)控系統(tǒng)應該能夠規(guī)避不利于上述目標實現(xiàn)的因素。因此,我們將上市公司未受到證監(jiān)會的處罰和交易所的譴責、對外發(fā)布的財務報表未出現(xiàn)會計差錯、財務報告審計意見為標準無保留意見作為衡量內(nèi)部控制質(zhì)量的指標。
三、存在的問題
根據(jù)我們對滬市862家上市公司2007年年報中內(nèi)部控制信息披露狀況的統(tǒng)計分析,可以發(fā)現(xiàn),自愿披露內(nèi)部控制自我評估報告的公司雖然比2006年有所提高,但占比仍然比較低,上市公司主動披露內(nèi)部控制自我評價的意愿不強。但將披露自我評估報告與未披露自我評估報告的公司進行對比,我們發(fā)現(xiàn),兩類公司在財務報告的可靠性、資金管理與資產(chǎn)使用的合規(guī)性、經(jīng)營合法性方面均有顯著不同。我們的統(tǒng)計數(shù)據(jù)表明,就以上三個內(nèi)部控制目標而言,披露自我評估報告的公司其內(nèi)部控制有效性更強。
盡管內(nèi)部控制自我評價能夠大大提高內(nèi)控有效性,但上市公司披露內(nèi)控自我評價報告的公司數(shù)量卻很少、比例很低,我們認為,原因可能有以下幾個:
1.評價依據(jù)缺乏統(tǒng)一性
從理論上講,企業(yè)內(nèi)部控制自我評價要圍繞五大目標進行,分別評價其設計有效性和執(zhí)行有效性。但是,以五大目標、五大要素為核心內(nèi)容的標準版的內(nèi)部控制框架《企業(yè)內(nèi)部控制基本規(guī)范》2008年5月頒布且于2009年7月1日起實施。盡管2006年滬深兩市分別出臺的《上海證券交易所上市公司內(nèi)部控制指引》和《深圳證券交易所上市公司內(nèi)部控制指引》存在著導向和詳細程度的差別,但都要求上市公司按照有關(guān)規(guī)定建立內(nèi)部控制系統(tǒng)[1]。在此之前的內(nèi)控有關(guān)規(guī)定有國務院國資委頒布的《中央企業(yè)全面風險管理指引》、銀監(jiān)會頒布的《商業(yè)銀行內(nèi)部控制指引》、證監(jiān)會頒布的《證券公司內(nèi)部控制指引》、財政部頒布的《內(nèi)部會計控制基本規(guī)范》等。這些法規(guī)的執(zhí)行范圍相互交叉,法規(guī)的內(nèi)容相互聯(lián)系但又不完全相同,同一個公司可能同時適用不只一個內(nèi)部控制規(guī)范。政出多門給上市公司傳遞這樣一種信息:內(nèi)部控制自我評價是上市公司努力的方向,但企業(yè)目前并不具備按具有高度認同感的框架進行內(nèi)部控制自我評價的政策環(huán)境。這種認識上的困擾以及政策缺位勢必轉(zhuǎn)換為執(zhí)行過程中的阻力,在對公司內(nèi)部控制進行評價時缺乏統(tǒng)一的評價依據(jù),難以出具評估報告。
2.自我評價意識不強
從內(nèi)部控制的制度環(huán)境來看,截止2008年為止,我國對上市公司內(nèi)部控制自我評估報告的披露仍是以鼓勵為主,并不是強制性的要求。強制性規(guī)定與鼓勵性要求對披露主體的約束類似于法律和道德對人的約束,強制性規(guī)定是基本的要求,是“底線”,跌破底線將承擔的違約成本較高,具體體現(xiàn)為來自于監(jiān)管部門的處罰甚至法律的制裁,以及由此引發(fā)的來自于證券市場的負面影響;而鼓勵性要求屬于“較高”層次的要求,未達到要求并不會有來自于法規(guī)強制性的制裁或處罰。這使得大部分上市公司對內(nèi)部控制有關(guān)規(guī)定采取的是從寬執(zhí)行而非從嚴執(zhí)行,對內(nèi)部控制自我評估對提高公司治理透明度和樹立投資者信心的功能認識不強,導致主動執(zhí)行的意識不強。
3.評價成本過高
美國頒布薩班斯——奧克斯利法案(Sarbanes-Oxley Acts,簡稱SOA)后,社會各界對其具體執(zhí)行存在許多爭議,其中以執(zhí)行成本為甚。2002年SEC曾對404條款執(zhí)行成本初步估計:“所有上市公司年信息揭示成本最多為4950萬美元,每家公司年報和季報平均增加5小時額外工時”。2003年8月,SEC修正其估計:執(zhí)行404條款年度總成本約為 12.4億美元,平均每家公司9.1萬美元,新增383工時。但隨后的調(diào)查顯示,該條款執(zhí)行成本遠超過此預計(黃京菁,2005)。因此,內(nèi)部控制自我評價的成本在執(zhí)行中是一個不容忽視的問題。如果內(nèi)部控制評價的執(zhí)行成本過高,導致內(nèi)部控制設計和執(zhí)行的總成本超出其所避免的潛在風險損失與形成的控制效果之和,則這一內(nèi)部控制是低效率甚至無效率的。
為此,我們對中國有色金屬建設股份有限公司(以下簡稱中色股份)內(nèi)部控制自我評價情況進行了實地調(diào)查。中色股份內(nèi)部控制自我評價是由董事會、監(jiān)事會、董事會秘書辦公室、財務部和審計部在分工與協(xié)調(diào)基礎上進行的。董事會總體負責內(nèi)部控制的評價,監(jiān)事會對內(nèi)部控制自我評價過程實施監(jiān)督,董事會秘書辦公室負責組織內(nèi)部控制自我評價并進行評價中的協(xié)調(diào)工作,審計委員會按董事會要求落實內(nèi)部控制自我評價,并就相應事宜與審計部溝通。審計部按規(guī)定的程度與方法進行內(nèi)控評價,財務部協(xié)助審計部做好對本部及下屬各單位的內(nèi)控評價工作。按照公司《內(nèi)部控制制度》以及其他相關(guān)制度的要求,公司主要對以下內(nèi)容進行評價:1.公司內(nèi)部控制制度的建立健全及有效性,是否存在缺陷;2.公司內(nèi)部控制制度重點關(guān)注的控制活動,其中尤以第二項評價工作為重。公司在每財年結(jié)束后,由董事會制定基本的評價計劃,然后由審計委員會、董事會秘書辦公室會同財務部和審計部共同進行具體的評價事宜。并在評價工作結(jié)束后出具評價報告,先呈交經(jīng)理辦公會最后呈交董事會。在具體的評價工作中,目前公司更多地依靠內(nèi)部審計部門的內(nèi)部審計工作和該部門出具的內(nèi)部審計報告,來得出關(guān)于公司內(nèi)部控制情況的結(jié)論。從該公司內(nèi)部控制自我評價的流程可以看出,雖然內(nèi)部控制評價的機構(gòu)設置完整,職責分工明確,但在實際操作中,內(nèi)部控制評價結(jié)論的得出更多依賴內(nèi)部審計報告,究其原因,更多是出于成本而非技術(shù)上的考慮。這與其他相關(guān)研究(如,李明輝等,2003;戴彥,2006)的結(jié)論是一致的。
另一方面,截止2008年我國尚未建立權(quán)威性的框架作為構(gòu)建、評估指引,因此在公司的實踐中缺乏可操作性的評估指南,從而大大提高自我評估的成本,這限制了管理層自我評估的積極性。
四、相關(guān)建議
《企業(yè)內(nèi)部控制基本規(guī)范》以及即將頒布的《內(nèi)部控制評價指引》為內(nèi)部控制的構(gòu)建、自我評價提供了框架,同時也提供了企業(yè)內(nèi)部控制自我評價的標準、程序和方法方面的指導,再加上企業(yè)多年來積累的內(nèi)部控制實踐,從監(jiān)管的角度看,已經(jīng)具備在上市公司強制實施內(nèi)部控制自我評價的條件,要求上市公司在年度報告中強制披露內(nèi)部控制自我評價報告是必然的選擇。在前文對我國企業(yè)內(nèi)部控制自我評價現(xiàn)狀的數(shù)據(jù)統(tǒng)計及結(jié)果分析基礎上,我們認為,當前在推行強制性評價和披露的前提下,應從以下三方面完善內(nèi)部控制自我評價機制。
1.評價目標的選擇應強調(diào)強制性與鼓勵性相統(tǒng)一
控制目標是據(jù)以評價企業(yè)在特定領域控制程序是否存在設計缺陷與運行缺陷的依據(jù)!秲(nèi)部控制評價指引》(征求意見稿)第四條的規(guī)定以及第八條中關(guān)于年度評價的界定無疑是正確的[2]。但是給予企業(yè)太大的內(nèi)控評價目標選擇會造成評價報告的不可比,甚至使投資者無法從報告中獲取有關(guān)公司內(nèi)部控制質(zhì)量和抗風險能力的基本信息。建議上市公司內(nèi)部控制自我評價至少應基于財務報告及相關(guān)信息真實完整目標、資產(chǎn)安全目標、合法合規(guī)目標三個目標進行,同時鼓勵上市公司在做好上述三個目標的內(nèi)控評價的基礎上進行戰(zhàn)略目標、經(jīng)營管理的效率和效果目標的評價。在復雜環(huán)境下經(jīng)營的企業(yè),投資者對投資行為的選擇,不僅僅基于財務數(shù)據(jù)和相關(guān)信息做出投資回報和投資風險的判斷,還要基于對公司內(nèi)部控制系統(tǒng)設計與運行質(zhì)量的分析來判斷企業(yè)的抗風險能力。企業(yè)的風險來自于兩個方面:一是來自于違背外部強制性規(guī)定,包括合規(guī)性、財務報告及相關(guān)信息的真實可靠、資產(chǎn)的安全;二是來自于內(nèi)部管理系統(tǒng)的適應性,包括戰(zhàn)略定位與實施手段、管理的效率與經(jīng)營的效果。規(guī)避第一類風險是基本的風險應對策略,第二類風險只能相機采用規(guī)避、接受、降低、分擔的應對策略。避免第一類風險的發(fā)生是企業(yè)管理的“底線”且第一類風險的類別及控制程度具有較強的剛性、上市公司必須具有較扎實的基礎,圍繞上述三個目標的內(nèi)部控制自我評價報告無論是對于注冊會計師的鑒證、還是投資者的判斷都有較客觀的尺度。另外,對于第一類風險,無論是企業(yè)董事會或管理當局的評估,還是注冊會計師的鑒證或是投資者的判斷,成本都相對較低。第二類風險的具體形式以及應對措施較多地依賴管理當局的經(jīng)營理念和風險偏好,無論是評價標準的選擇,還是鑒證與判斷標準的確立都存在較大的主觀性,如果要求注冊會計師對第二類風險的評估也超出了注冊會計師的執(zhí)業(yè)能力和法律責任。鑒于此,針對第二類風險的內(nèi)部控制自我評價不宜采取強制性規(guī)定,至少目前不具備強制性評價的基礎。
2.細化有效性標準,提高標準的可操作性
《內(nèi)部控制評價指引》(征求意見稿)明確指出,內(nèi)部控制評價是對內(nèi)部控制有效性進行評價,有效性包括對內(nèi)部控制設計有效性和運行有效性。同時,第十條對設計有效性和運行有效性進行了定義[3]。我們認為,對于設計有效性的定義本身是比較嚴謹?shù),因為只有所有的五個要素都必須得到滿足,才能得出基于一個目標或多個目標的內(nèi)控系統(tǒng)是有效的結(jié)論。但是,該定義過于理論化和泛化,在實務中可能難以把握其確切含義。為此,我們建議將設計有效性定義為:具備勝任能力和相應權(quán)力的人按照既定設計來運行控制程序能夠?qū)崿F(xiàn)控制目標,若存在下列情況之一,則可認為存在設計缺陷:(1)實現(xiàn)某一控制目標所必須的控制程序具有一項或若干項缺陷;(2)實現(xiàn)某一控制目標所必須的控制程序設計不當,以至于即使該項控制按照設計運行也不能實現(xiàn)控制目標。
3.將經(jīng)濟性納入評價標準,強調(diào)有效性與經(jīng)濟性的統(tǒng)一
經(jīng)濟性是指在為內(nèi)部控制有效性提供合理保證的前提下盡可能降低運行成本。企業(yè)的本質(zhì)在于盈利,無論是控制哪一類的風險,控制的最終目的都是利用受約束的資源為創(chuàng)造最大化的價值奠定基礎或直接服務于價值創(chuàng)造。事實上,在風險評估基礎上進行的控制關(guān)鍵點識別和控制流程設計都是權(quán)衡成本與效益后的理性選擇。
經(jīng)濟性與有效性存在密切聯(lián)系,忽視經(jīng)濟性的有效性本身背離了內(nèi)部控制的宗旨。從美國《40位代表人物對薩班斯法案404條款的評論和分類》中可以看出,以美國聯(lián)邦儲備局前任主席格林斯潘和投資家巴菲特為首的19位代表(47.5%)對404條款持完全反對態(tài)度,反對理由是404條款因監(jiān)管過度導致執(zhí)行成本太高[4]。在風險識別的基礎上進行風險分析是確定控制措施的前提,風險分析的過程本身是權(quán)衡風險嚴重性(風險發(fā)生后損失程度)以及發(fā)生的可能性(該風險發(fā)生的概率)、據(jù)以識別關(guān)鍵依存因素和重要控制節(jié)點的過程。為目標實現(xiàn)提供絕對保證的內(nèi)部控制系統(tǒng)并非最優(yōu)的控制系統(tǒng),經(jīng)濟性或成本效益原則允許內(nèi)部控制系統(tǒng)存在一定水平的剩余風險,并通過危機處理以及管理層干預來應對剩余風險。
經(jīng)濟性評價是評價設計的內(nèi)部控制系統(tǒng)是否體現(xiàn)了運行過程的經(jīng)濟性,主要評價在為控制目標實現(xiàn)提供合理保證的前提下是否存在可以省略的節(jié)點,例如,對優(yōu)質(zhì)客戶提供貸款采用與對普通客戶提供貸款相同的風險控制程序則是不經(jīng)濟的。經(jīng)濟性評價應關(guān)注:(1)所有的審批程序是否都是必須的,簡化某一環(huán)節(jié)的審批是否對控制目標的實現(xiàn)造成實質(zhì)性影響;(2)每一牽制是否都是按照不相容職務分離的要求設置的,是否存在滿足這一要求下的過度牽制;(3)為各崗位配備的員工是否恰如其分地勝任本職工作,既應關(guān)注因不具備勝任能力而導致控制失效,也應關(guān)注因能力過剩導致不必要的成本支出上升。
【內(nèi)部控制自我評價】相關(guān)文章:
內(nèi)部控制自我評價03-27
內(nèi)部控制自我評價03-27
內(nèi)部控制自我評價9篇04-26
內(nèi)部控制自我評價(15篇)05-04
內(nèi)部控制自我評價10篇05-07
內(nèi)部控制自我評價15篇04-18
內(nèi)部控制自我評價9篇04-26
內(nèi)部控制自我評價(9篇)04-26
公司內(nèi)部控制自我評價報告02-17
內(nèi)部控制自我評價(通用11篇)09-23