内控制度自查报告(精选8篇)
时间:2023-08-29
时间:2023-08-29
关键词:企业 内部审计 质量
内部审计是企业管理的一个重要组成部分,其在管理中所起的作用也日益凸现,有关内部审计的质量控制引起越来越多的关注,如何有效地开展内部审计质量控制,值得我们深思。笔者所在单位为中国航空工业集团公司所属的一家大型国有企业,近年来大力推行精细化管理,审计人员以此为契机,在提高内部审计质量方面进行了大胆的创新与实践,取得了一定成效。
一、抓好审前准备,提高规范化程度
凡事预则立,不预则废。充分的准备工作有助于审计人员有计划、有步骤、有目的、有重点地开展审计项目。然而,与目前发展相对较为规范的审计实施相比,审前准备工作重视不足、审计资料填报模板不规范、审前调查不充分以及审计报告质量评估标准不健全等现象还较为常见。笔者所在公司通过报签《审计立项书》、更新审计资料填报模板、编制《审计访谈提纲》、审计方案采用集体研讨的形式、健全审计项目质量自我评估标准等一系列工作,审前准备环节的工作规范程度大幅提升,现已基本固化成一套完整的审前准备流程,为审计实施和后续审计的开展打下基础,具体做法如下:
一是报签《审计立项书》。按照审计任务来源,编制《审计立项书》,明确审计内容,报董事长签批后作为审计实施依据之一,增强被审计单位对审计项目的重视程度。
二是更新审计资料填报模板。结合所属单位各自不同的组织结构、业务性质、核算模式,细化更新了以前年度编制的审计资料填报模板,形成现有的更具有针对性和适用性的《生产单位审计表格模板》和《子公司审计表格模板》。如在适用于生产单位的填报模板中取消“银行存款余额调节表”,增加“建立的各项管理制度和业务流程目录”;适用于子公司的模板中增加“长期投资及收益表”、“企业年度工作报告”。同时,为每张表编制了填写说明,对表格之间的勾稽关系加以解释,方便被审计单位人员填报,使收集的审计资料可以突出被审计单位自身特点,更具有相关性和针对性。
三是编制《审计访谈提纲》。通过对被审计单位填报资料的了解,由审计组长结合审计目标、审计范围,针对不同单位、不同人员、有侧重点地编制《审计访谈提纲》,指导审计人员在开展审前走访调查时,尽可能地收集到全面、充分、相关和有用的财务、非财务信息,从而进一步确定重点审计领域、评估审计风险和重要性水平。
四是审计方案集体研讨常规化。根据审前调查走访收集到的信息,审计组长编制审计实施方案,组织项目组成员集体研究讨论,集思广益,征询采纳各成员意见后对实施方案进行补充完善,提升其合理性和可行性,同时采用这种方式便于项目组成员熟悉审计内容,保证现场审计有序开展。
五是建立审计项目质量自我评估标准。完善《审计项目质量自我评估标准》。将审计项目分为审前准备、审计实施、审计报告三个阶段,每个阶段再分别细化为9个、14个、18个小项目,对每个小项目按照其重要性水平赋予相应分值权重,由全体审计人员进行打分之后汇总得出最终成绩,客观、公正、合理地对审计项目质量进行评价,以此来促进其质量的提高。
二、做实审计实施,降低审计风险
审计实施是审计项目的主体和重点部分,关系到审计报告的最终质量和审计风险的高低。目前,大多数企业审计实施阶段还存在符合性测试力度较小、现场审计工作主要依靠审计人员的个人经验等缺陷。笔者结合所在公司实践,认为有重点地抓好以下三方面的工作,有利于提高审计质量。
一是抓好审计证据质量控制。按照内部审计准则的要求,审计证据要符合相关性、充分性和可靠性原则。审计证据的获取须全面、客观地反映问题本质,揭示问题的内在联系,而不能仅凭个人爱好或主观判断;审计证据的获得应当合理合法,真正涉及问题的本质;审计证据的数量必须充分,足以反映审计事项的客观事实。审计证据的获取步骤一般分三步:一是事前收集;二是事中获取,向被审单位及相关部门直接索取有关证明材料,现场审阅,抽查有关资料,实地盘点,实地调查、现场观察、分析比较等方法;三是证据鉴定,筛选有价值的证据。笔者所在公司在提高审计证据也采取了一些积极手段,尤其突出事前和鉴定环节,找准获取审计证据的关键和方向,在实施时加大证据获取和审核的力度,项目组负责人对审计证据进行实时审核,若发现审计证据不符合要求的,应当责成审计人员重新取证。
二是要加大内部控制符合性测试力度。随着企业的不断发展,内部审计正在从传统审计向管理审计转变,更加关注内控与风险,挖掘管理深层次问题,去“读懂数字背后的故事”。内控符合性测试作为审计的一种手段,是实现这种转变的重要抓手。通过内控符合性测试与评价,可以揭露内部控制的薄弱环节和失控部位,从而达到改善企业管理,确定审计重点和范围的目的。符合性测试的范围越大,所能提供的有关政策或程序执行有效性的证据就越充分。为确保审计效果,笔者所在公司对内控测试的流程进行了梳理,测试前审计人员掌握制度,梳理测试重点,明确测试的流程和方法;测试过程中,通过查看台账、抽查单据记录、调查走访、现场实测、流程分析、交流沟通等方式进行,对发现的问题缺陷与相关业务人员、部门领导进行沟通确认、反复论证,在取得有效证据和结果后才下结论,以保证测试客观性、可行性,杜绝“走过场”。
三是推行三级复核审计工作底稿。审计工作底稿的“三级复核”指审计工作底稿完成之后,由审计组成员之间、审计组组长、业务处长分别进行复核,认真审查各审计事项的判断是否准确,核查审计工作底稿所附证据是否符合合法性、相关性、充分性原则。各级复核人员明确其具体复核的内容和承担的责任,实现层层把关、级级负责,确保每一个审计项目的每一个环节始终都处于适当层次的控制之中。审计工作底稿的复核是对审计工作底稿中所列审计事项及结论与审计证据是否相互支持的核对,从而可以合理保证审计意见的准确性,降低审计风险,提高审计质量。
三、狠抓审计报告时效性,提高信息有用性
审计报告是审计项目的最终结果,是审计人员向管理层等传递信息的主要载体,如果审计报告的时效性能够增强,就会大大提高内部审计在公司治理效果及增加企业价值等方面的作用。在当今互联网时代,寻找一个问题的答案只需几秒,而内部审计可能需要几个月,甚至几年才能得到一个想要的答案。如果审计报告出具的时间过长,提供的信息早已过时,没有任何意义,内部审计人员一定要及时完成审计工作,在合理的时间提供审计报告,而要做到这一点,审计过程中的每个环节都必须经过重新设计:一是制定计划,没有计划的审计就如同“没有地图的旅行”;二是现场审计中要避免“过度审计”;三是形成审计报告。最具有挑战性的是编制审计报告。审计报告是内部审计工作成果的集中体现,是整个审计过程质量控制的重要和关键环节,笔者所在单位在提高审计报告时效性方面的主要做法如下:
集体讨论审计报告,缩短审计报告周期。审计报告出具的流程在企业里一般是由审计报告初稿完成后,由项目组长、处(室)部门负责人逐级对报告进行复核,由于审核人员看问题的角度和层次不同,造成报告反复修改,审计报告出具时间较长,影响了审计报告出具的时效性。为保证审计报告质量,审计部门优化审计报告出具流程,报告在项目组定稿后,提交由审计人员、业务处长、部门领导共同参与的集体研讨,采用头脑风暴法,快速统一思想,将三级复核流程优化,不但减少了报告修改时间,审计报告的完整性、审计结论的准确性以及审计整改建议的科学性和可操作性也有所提高。项目组长根据审计项目组成员的工作底稿,整理、汇总取得的审计证据,做出合理、恰当的判断,提出审计整改建议,出具审计报告并通过项目组成员讨论后定稿。实行审计报告集体讨论,能有效降低审计报告反复修改的时间,压缩出具报告的时间,提高了审计报告的时效性。
四、重视后续审计,巩固审计成果
后续审计是审计工作的终结阶段,也是落实审计成果的关键环节,有助于督促被审计单位有效履行整改职责,促进审计成果的利用,促进被审计单位管理水平、风险防范能力的进一步提高。同时,其在提高审计质量、维护审计工作严肃性、降低审计风险、保证审计成果的延续性和规范性等方面也有重要意义。现实审计中由于对后续审计重要性的认识不够,以及审计项目多、审计力量不足等一些客观原因,重审计、轻后续的现象较为普遍,后续审计的组织方式、操作程序和审计内容随意性大、后续审计成效不明显,这在一定程度上影响了审计作用的发挥。笔者所在单位针对这种情况进行了改进,具体做法如下:
一是优化后续审计流程。为解决后续审计时间相对于整改落实节点相对滞后以及后续审计与前期审计流程分离等方面的问题,审计人员对原有审计回访流程进行了优化,增加被审计单位上报整改计划环节,由审计部门审核后报董事长签批后下发,明确时间节点、责任人等。
二是提高审计回访频次,跟踪回访被审计单位整改情况。对被审计单位存在问题整改情况进行跟踪回访和持续关注,确保审计成果转化,促进公司风险管理、内部控制和治理机制的完善。建立《审计项目过程控制记录表》,根据被审计单位上报的整改计划,按月对发现问题整改项数进行统计,实施动态管理,对已到整改时间节点的审计发现问题实行“拉条挂账”,安排人员进行“一事一访”,促进问题及时整改归零。每月对整改情况进行跟踪、记录,每季度对审计回访结果进行汇总整理,及时出具审计回访报告,促使审计发现问题能够按节点高质量完成整改,确保审计发现问题及时归零,有效巩固前期审计成果。
通过对后续审计流程化、制度化,以及审计回访频次的提高,审计发现问题整改率有了显著提高,有效提高了审计项目的整体质量。
实施内部审计质量控制,是内部审计生存发展的根基,是内部审计的“生命线”和“事业线”,没有质量保证的内部审计不但会失去服务对象,而且会失去自身存在的价值。提高企业内部审计质量是一项系统工程,涉及审计资源计划管理、审计方案质量控制、审计项目现场管理、审计报告质量控制、后续审计质量管理等方方面面,也是一个动态的、连续的过程,包括事前的调查、计划,事中的实施,事后的报告、检查等环节,这些环节既相互衔接,又相互交叉,其中任何一个环节的疏忽都将影响整个内部审计的质量。通过上述分析,笔者认为抓准、抓好内部审计每个环节的关键控制点对提升审计质量尤其重要,只有不断提高内部审计质量,才能充分发挥内部审计在企业治理和风险控制等方面的作用。
一、董事会应成为上市公司内部控制和公司治理的交叉点
公司治理与公司内部控制之间是相辅相成、相互促进的关系,良好的内部控制制度是上市公司实现公司治理目标的重要保证,但如果缺乏良好的公司治理,内部控制将成为无源之水、无本之木。《指引》的出台,使董事会成为上市公司内部控制和公司治理的交叉点,有利于促进我国上市公司治理结构的完善,强化上市公司内部控制建设,整体提高上市公司质量。
(一)董事会在内部控制中的作用 《指引》指出,在上市公司内部控制建立和实施中起核心作用的是董事会。具体表现在,董事会应对上市公司内部控制制度的建立、实施及其检查评价负责,董事会及其全体成员应保证内部控制相关信息披露的真实性、准确性和完整性;董事会应通过对内部控制制度的检查监督,发现内部控制制度是否存在缺陷,实施过程中是否存在问题,并及时予以改进,确保内部控制制度制度的有效实施;董事会应对内部控制检查监督工作予以指导,并审阅、检查监督部门提交的内部控制检查监督工作报告;上市公司在内部控制检查监督中如发现内部控制存在重大缺陷或重大风险,应及时向董事会报告,经上海证券交易所认定后,董事会应及时公告;董事会应根据内部控制检查监督工作报告及相关信息评价上市公司内部控制的建立和实施情况,形成内部控制自我评估报告;董事会应在披露年度财务报告的同时,披露年度内部控制自我评估报告和会计师事务所对内部控制自我评估报告的核实评价意见等。
(二)董事会在公司治理中的作用 公司治理是解决委托—问题的一整套制度安排。上市公司存在两层委托—关系,即股东大会与董事会之间的委托—关系、董事会与管理层之间的委托—关系。公司治理的目的是实现科学决策、高效经营和有效控制。企业的成功很大程度上取决于董事的能力和董事会的效率,上市公司治理应重视发挥董事会的功能与作用,使企业沿着正确的方向运行。内部控制是渗透企业各方面、各环节,融合企业人、财、物管理的系统工程,公司治理规范必须对内部控制的构建提出基本要求,从公司治理角度为董事会在公司内部控制中的核心地位提供保证。通过实施内部控制,完善治理结构,规范权力运行,强化监督约束,有力地提高上市公司会计信息质量、提升营运效率、保证资产安全、促进企业战略目标的实现。
二、内部审计在内部控制检查监督中的核心作用
《指引》对上市公司内部控制检查监督的规定主要包括:(1)应对内部控制制度的落实情况进行定期和不定期的检查。董事会及管理层应通过内部控制制度的检查监督,发现内部控制制度存在的缺陷,并及时采取改进措施,确保内部控制制度的有效实施。(2)应根据自身组织架构和行业特点设置专门的内部控制检查监督部门。内部控制检查监督部门负责人的任免由董事会决定,并直接向董事会报告工作,其他内部控制检查监督人员配备则根据相关规定以及公司的实际情况确定。(3)应制定内部控制检查监督办法。该办法至少包括如下内容:董事会或相关机构对内部控制检查监督的授权;公司各部门及下属机构对内部控制检查监督的配合义务;内部控制检查监督的项目、时间、程序及方法;内部控制检查监督工作报告的方式;内部控制检查监督工作相关责任的划分;内部控制检查监督工作的激励制度。(4)应根据自身经营特点制定年度内部控制检查监督计划,并作为评价内部控制运行情况的依据。应将收购和出售资产、关联交易、从事衍生品交易、提供财务资助、为他人提供担保、募集资金使用、委托理财等重大事项作为内部控制检查监督计划的必备事项。(5)检查监督部门应在年度和半年度结束后向董事会提交内部控制检查监督工作报告。公司董事会可根据公司经营特点,制定内部控制检查监督工作报告的内容与格式要求。(6)董事会应对内部控制检查监督工作进行指导,并审阅检查监督部门提交的内部控制检查监督工作报告。公司董事会下设审计委员会的,可由审计委员会具体负责上述工作。(7)检查监督工作人员对于检查中发现的内部控制缺陷及实施中存在的问题,应在内部控制检查监督工作报告中据实反映,并在向董事会报告后进行追踪,以及时采取适当的改进措施。公司可将所发现的内部控制缺陷及实施中存在的问题列为各部门绩效考核的重要项目。(8)检查监督部门的工作资料,包括内部控制检查监督工作报告、工作底稿及相关资料,保存时间应不少于10年。
内部控制检查监督的根本目的是帮助上市公司完善内部管理,具有很强的个性化特征,需要结合上市公司业务特点及组织结构特点确定内部控制检查部门的设置。内部控制检察监督部门的设置必须考虑经济性原则,同时还应体现内部控制检查监督工作的质量与效率。笔者建议,以内部审计部门作为专职内部控制检查监督部门,由内部审计人员担任专职内部控制检查监督工作,对内部控制的效率与效果作出评价,并对内部控制中存在的问题提出具体的改进建议,以减轻对企业的潜在威胁。
为了有效地开展工作,内部审计人员在工作过程中所必需的所有记录、信息将不受任何限制。根据我国《上市公司治理准则》,在董事会下设内部审计委员会、薪酬委员会等专业委员会,使董事会具备决策和监管所需要的精力和能力。内部审计部门隶属于内部审计委员会,直接向内部审计委员会报告。内部审计委员会对内部审计部门的工作计划、审计结果等进行复核,对内部审计部门的工作效率和效果进行评价。这有利于提高内部审计部门的独立性和权威性,使其工作范围不受管理当局的限制,并确保其审计结果受到足够的重视,充分发挥内部审计部门在内部控制检查监督中的核心作用。
三、注册会计师需提高其执业水平
《指引》鼓励上市公司聘请中介机构协助建立内部控制制度,要求董事会在披露年度内部控制自我评估报告的同时,应披露会计师事务所对其内部控制自我评估报告的核实评价意见。为了更好地发挥我国注册会计师在执行内部控制自我评估报告的核实评价中的作用,注册会计师需提高其执业水平。
(一)向客户提供内部控制建议应以不影响其独立性为原则 有观点认为,注册会计师必须与客户保持一定的距离,以保持其独立性。笔者认为,向客户提供有关决策方面的建议与为客户作出决策存在着清晰的不同。注册会计师能够也应该向其客户提供会计及内部控制方面的建议。1993年,美国审计准则委员会颁布的《鉴证业务准则第2号——与企业财务报告相关内部控制的报告》(gaas no、2)也没有在注册会计师与客户之间竖起一道墙。因为拒绝向客户提供内部控制方面的建议,既不利于客户利益,也不利于公众利益。长期以来,注册会计师一直在为上市公司提供会计和内部控制方面的建议。
(二)应将财务报告审计和内部控制审计结合起来 内部控制报告审计最终将成为年度财务报告审计过程中的固定内容,注册会计师应将财务报告审计和内部控制审计结合起来,研究内部控制审计和财务报告审计相互支持的方法,降低审计成本,提高审计质量。例如,在确定财务报告审计程序的性质、审计范围和审计时间时,两种审计相互结合能够使注册会计师对内部控制测试结果更加信赖。
(三)适当运用职业判断对内部控制进行测试 内部控制报告审计对我国注册会计师来说是一项新业务,有些注册会计师不太愿意应用职业判断对内部控制进行测试,这会使审计计划与特定客户财务报告中独特的风险和问题失去联系,使注册会计师成为审计程序的奴隶,注册会计师会因为在对寻找重大缺陷没有实质性帮助的控制测试上花费过多的时间而增加审计成本。提高内部控制报告审计的效率与效果,要求注册会计师适当运用职业判断,而不是采用机械的方式。即内部控制报告审计以风险审计为基础,在实施财务报表内部控制报告审计过程中,注册会计师应有所侧重。注册会计师应合理运用职业判断来决定对内部控制的审计程度,应开展哪些必要的测试来确定上市公司内部控制的有效性,获取有关上市公司内部控制系统能合理确保财务报表不包含重大差错的证据。
四、政府有关部门应不断完善内部控制标准体系
自1996年起,我国政府有关部门陆续出台了一系列有关企业内部控制方面的法规。从法律法规所涉及的内容深度和广度来看,我国内部控制方面的法律法规正不断成熟完善。但从《指引》的具体实施来看,还需要实施细则来完善其可操作性。如《指引》指出,会计师事务所应参照主管部门有关规定,对上市公司内部控制自我评估报告进行核实评价。但迄今为止,我国还缺乏一套统一、公认的企业内部控制标准,使上市公司内部控制自我评估、注册会计师内部控制审计都缺乏明确的标准。
【关键词】 内部控制; 检查监督; 有效性; 内部控制评价
监督检查在coso内部控制框架报告中是构成内部控制的五个要素之一。虽然这份于1992年的报告指出了监督检查能够帮助企业保持内部控制的有效性,但正如委员会主席larry e、 rittenberg所说,很多企业在实际运用coso内部控制框架理论过程中,没有充分利用监督检查这一要素①。
2007年9月,coso委员会了《内部控制系统监督检查指南》讨论文件(guidance on monitoring internal control system,下文将其简称为《指南》),旨在提高对有效监督检查的理解,推动其应用,以改进内部控制系统的有效性。正式文件计划于2008年年中。
《指南》得到的反响并不很热烈,在肯定其积极意义之后,反馈意见更多的是问题和担心,如:pwc认为《指南》对监督检查一些概念的解释可能会产生混乱,应注意与coso1992年和2006年的报告完全一致,而且从术语、概念和原理上应与sec和pcaob的管理层和审计师评价指南一致,当前业界最为关心的还是财务报告内部控制有效性的评价,《指南》应在这方面提供帮助等等。德勤也有类似担心。
笔者认为,《指南》作为一个“后来者”,面临上述疑问是正常的。但作为监督检查这一基本内部控制要素的应用指南,不仅将在提高内部控制有效性上发挥作用,也将因其推动建立内部控制评价的基础,对外部监管方面具有不可低估的意义。
一、主要内容介绍
(一)总结了有效监督检查的两个原则
1、持续监督检查和/或单独评估应能使管理层了解内部控制的各要素是否随时间继续有效。
2、内部控制缺陷应被查出并及时传达到负责纠正的人员和管理层,如有必要应报告董事会。
这两个原则已经体现在1992年的《coso框架报告》和2006年的《小企业财务报告内部控制指南》之中②,《指南》的目的是进一步推动对有效监督检查概念的理解,使各类组织充分认识和发挥监督检查要素的作用。
(二)归纳分析了影响监督检查有效性的主要因素
三个因素影响监督检查的有效性:1、监督检查开展的控制环境;2、根据风险水平采用有效监督检查程序和分配监督检查资源的能力;3、向适当人员及时报告包括控制缺陷在内的监督检查结果的能力。
《指南》对三个要素进行了展开分析,详细阐述了为保证监督检查有效每个方面应有的要求或应达到的标准。一是控制环境方面的要求:首先,管理当局应对监督检查高度重视;其次,监督检查人员应专业胜任、公正并被适当授权。二是根据风险水平采用有效监督检查程序和分配监督检查资源的能力。影响监督检查计划的因素有:组织规模与复杂性、经营活动的特性(如是否经常变化、是否容易发生舞弊等)、监督检查的目的(如内部管理需要还是满足外部监管法规的要求)、控制活动对达成组织目标的重要性等。应基于风险评估的结果进行优先级排序,分配资源,采取相应的监督检查方式。有效的监督检查应收集并分析充分适当的信息,形成具有说服力的关于内部控制有效性的结论。三是向适当人员及时报告包括控制缺陷在内的监督检查结果的能力。
发现的控制缺陷必须及时通报到控制运行的责任人及其直接上级,以保证及时采取纠正措施。向其它方面报告的对象和报告频次取决于相关控制的重要性和检查出问题的严重性。应根据风险可能带来的损失及发生的可能性来评估控制缺陷的严重性,并有具备适当独立性的人员参与。
(三)不仅适用于财务报告内部控制目标,也适用于其它内部控制目标
适当设计并执行的监督检查工作可为满足外部披露等监管要求提供支持。
二、意义分析
《指南》具有以下方面的重大意义:
(一)加强对监督检查要素的理解、应用,推动提高内部控制有效性
内部控制的难点在于保持其有效性,这也从屡屡发生的因内控失效而给企业带来巨大损失案上得到印证。这种挑战也是任何一家管理先进的国际企业所面临的,如2008年1月24日刚爆出的法国socgen银行(法国第二大银行)72亿美元损失的失控交易案。
不断发生在这些国际知名企业身上的内控“重磅炸弹”给了人们更深层面的警示:即使建立了一整套详细的内部控制制度、配备了庞大的风险管理团队,内部控制可能仍不是有效的。
coso委员会1992年《内部控制框架报告》和2006年《小型上市公司财务报告内部控制指南》引入并从原则上阐释了监督检查的角色和作用,但在指导应用方面还不够。《指南》分析了有效监督检查的各构成要素,并提供了具体应用的原则和方法,因而能够改变其目前未得到充分利用的状况,极大地推动这一关键内部控制要素的广泛应用。
监督检查要素作用的发挥对我国现阶段企业内部控制状况的提高尤其重要。有效的检查监督能够:1、曝光不执行制度的行为,督促制度的有效执行和完善。2、在控制缺陷造成重大损失之前发现并及时改进。
控制缺陷的存在具有一定客观性,有两个原因:内部控制设计者的认识局限性;环境或业务的变化带来新的风险或使原有控制活动失效。但动态地来看,控制缺陷一开始带来重大损失的可能性很小,这是因为认识局限性普遍存在,可以利用漏洞的人员没认识到漏洞的存在,或虽然认识到,但需要时间酝酿准备。公司文化对舞弊也有不同程度的抑制作用。这还与企业发展阶段有关。高速成长的企业员工面临较大发展空间,从事舞弊的可能性要低。但必须清醒意识到,随时间的推延,控制缺陷被利用的可能性将显著增加。
假定内部控制检查者与可能利用控制缺陷人员对内部控制的认识大体同步,或虽然认识较晚但期间受其他因素作用,尚未造成重大损失,此时检查评估将可以发现控制缺陷并予以解决,避免重大损失的发生。
这是一个弱假定,管理基础好的企业有着强的内部控制建设专业队伍,企业文化对员工也有较强的影响力。但这一假定比较符合当前我国现实:企业内部控制缺陷大量存在,正被不法人员利用或已达被利用的边缘。有效发挥检查监督要素的作用,做实检查监督对我国企业尤其紧迫。
(二)为内部控制的外部监管提供支撑
上世纪九十年代爆出的安然、世通等巨型公司倒闭案,促使美国于2002年颁布了sox法案,强制要求上市公司企业管理当局报告内部控制系统的有效性,并要求从事财务报表审计的注册会计师就管理当局的报告出具审计意见。美国的做法在世界范围引起强烈反响,各国纷纷探讨效仿美国这一做法的可行性。但几年过去,从目前来看,这种对企业的强制要求并没有在世界范围推广开来,直接原因是强制披露内部控制有效性被认为将大大加重企业负担,审计风险也显著增加。欧盟经过广泛讨论,认为内部控制应关注全方位的风险,而不应局限于财务报告目标上。我国目前也处于讨论探索阶段。
如何降低内部控制有效性评价的成本也是美国面临的难题,sox法案正式执行后美国相关各方不断采取措施以图解决这一矛盾,如pcaob于2007年5月颁布as5,对审计准则进行了重大修订;coso于2006年了小企业财务报告内部控制指南;sec于2007年6月了管理层关于财务报告内部控制有效性的评价报告指南等等。
之所以出现企业在披露内部控制有效性时成本过大的问题,原因在于内部控制系统的监督检查没有规范化,缺乏平时积累。《指南》从以下方面为建立系统规范的监督检查机制提供了指导:
1、根据控制目标的重要性和控制的强弱状况,区别监督检查的主体(自己、同事、上级或/和内部审计)、方式(持续监督或/和单独评估)以及频次。
2、根据监督检查结果的重要性确定报告的对象,但控制缺陷必须通报到控制责任人及其直接上级,以及时改进。
3、层层监督。下级组织的监督检查活动是上级组织监督检查的对象,董事会及其审计委员会对企业管理当局的监督检查活动实施监督检查。
4、文档积累。根据内部管理需要和外部披露要求对监督检查的过程和结果进行存档。
《指南》还提供了从公司总体层面保持内部控制系统有效性的动态监督检查方法,如图1所示:
企业首先需要形成有效的控制基点,如没有就需要对现行内部控制的设计和运行进行系统的自我评估,改进存在问题;然后通过变化识别和变化管理,改进因内外部因素变化而失效的控制,对新产生的风险实施管理,形成新的控制基点。企业需要进行阶段性单独评估来确信新控制基点的有效性。
遵循以上原则和方法,企业可以对内部控制实施持续有效的监督检查,在保持和持续改进内部控制有效性的同时,也可以容易地满足外部监管要求,如对外披露内部控制有效性。
《指南》之所以反应并不十分强烈,主要原因是美国相关方面已颁布了一系列法规或指南,如pcaob的as5、sec的管理当局评价指南等,《指南》作为“后来者”,需求性自然会减小;另一方面,有关概念的一致性确实是《指南》当前需面对的现实环境。
我国还没有就内部控制有效性向企业提出强制披露要求,注册会计师也没有相关审计的法定责任,相关的法规和标准尚处于论证过程之中。对企业内部控制实施外部监督是完善公司治理、促进公司改进管理的有益手段,广大投资人越来越强烈的需求也反映了这一趋势。《指南》将推动企业在各层级建立起系统有效的监督检查,为外部监管的开展打下坚实基础。
三、建议
《指南》中控制环境是影响监督检查有效性的三个要素之一,具体分为管理当局对监督检查的重视以及监督检查人员专业胜任、公正并被适当授权两方面。笔者认为,控制环境不仅仅影响监督检查的有效性,它甚至是监督检查能够有效发挥作用的前提条件。除《指南》中所述两方面,下列控制环境要素也十分重要:
(一)内部控制责任的落实
有两个方面要求:1、各级管理人员对所负责业务内部控制的有效性负责。部门负责人因而有较强的动力对所负责的内部控制实施自我评估,对其下属部门或人员内部控制职责履行情况实施检查监督。2、每个制度或流程都有其负责人(owner),对流程的有效执行和改进负责。这一点对横跨多个部门的流程尤其重要,防止“铁路警察”情形的出现。明确的责任分解为检查监督提供了有效发挥作用的环境。检查出问题后找不到明确的责任部门或责任人将极大削弱其应有作用,是检查监督者的最大尴尬。
(二)有奖有罚的激励机制
问题暴露出来后,及时解决问题,找出其产生的根本原因,并从流程或机制上改进应是日常工作必需的要求。同时应对相关人员责任的履行情况有奖有罚。处罚原则有:违规而造成公司损失者应有处罚;一项制度或流程存在严重执行问题而其owner未及时应对,该owner应有处罚;员工违规或未充分履行职责时,其直接上级甚至更高层上级也应因监管责任而接受调查。
公司应鼓励员工发现问题、纠正问题和改进流程。发现自身问题并及时改正,未给公司造成损失应免于处罚,而且这种行为应受到鼓励;对发现流程漏洞并主动跟踪解决的员工,应根据为公司带来的利益而进行奖励。
【主要参考文献】
[1] 赵锡尧、基于美英内部控制评价与报告体系比较的思考与借鉴、审计月刊,2007年5月、
[2] 潘秀丽、内部控制信息披露中相关主体责任界定的现状及改进、中国注册会计师,2006年9月、
[3] 陈关亭,张少华、论上市公司内部控制的披露及其审核、审计研究,2003年6月、
[4] 李爽,吴溪、内部控制鉴证服务的若干争议与探讨、中国注册会计师,2003年5月、
[5] coso、 internal control - integrated framework (executive summary)、 1992、
[6] coso、 guidance on monitoring internal control systemdiscussion document, sep、 2007、
[7] coso、 internal control over financial reporting —guidance for smaller public panies、2006、
[8] pcaob release no、 2007-005 may 24,2007,auditing standard no、 5 an audit of internal control over financial reporting、
[9] discussion document ments by pwc on guidance on monitoring internal control system discussion document、
[10] discussion document ments by deloitte on guidance on monitoring internal control system discussion document、
关键词:控制自我评估 内部审计 注册会计师 内部控制报告 政府监督
企业内部控制是企业为了达到某种或某些目的,针对企业内部各生产要素和各项经济业务活动而采取的一系列具有控制能力的方法、措施和程序并予以规范化、系统化的一整套严密的控制制度。要确保这套制度能够被切实地执行且执行的效果良好,并能够随时适应新情况,内部控制就必须被监督。监督就是随着时间的推移评估制度执行情况的过程。为了进一步防范企业内部控制在设计和执行中可能面临的风险,就必须从企业内部和企业外部两方面建立监督机制。
建立“三道防线”,加强对内部控制的监督
企业作为内部控制的制定者、执行者和受益者,首先需要对自身的内部控制进行监督。在监督过程中,三道防线的建设是不可缺少的。
建立经营管理部门的“控制自我评估”机制
作为企业的经营管理部门,首先要重视内控,并将其视为本身的基本职责,而不应把内容丰富的内控工作统统推给审计或稽核部门。
在加强对企业内部控制监督建设上,要借鉴国外成功企业的先进管理经验,建立企业管理部门的“控制自我评估”(CSA)机制。这个机制就是要求企业的经营管理部门要不定期或定期地对企业的内部控制系统进行评估,评估企业内部控制的有效性及实施的效率、效果,以期能更好地达成内部控制的目标。这是对企业内部控制设计和执行情况进行监督的第一道防线。
强化企业财会部门的后台监督
这是化解企业内部控制设计和执行风险的第二道防线。财会部门及其管理人员负有履行后台监督的重要职责,企业每一项业务的收付和债权债务的发生都会在帐面上反映出来,这本身就是一种监督;会计人员在会计核算中注重反映的真实、准确和完整,并有责任以会计资料为依据,控制企业经济活动按预定目标进行,并报告所发现的违法违规的财务事件;财务主管在帐务汇总和财务报表分析后也可以发现经营管理活动中的种种问题,促使企业遵守国家法律和政策,加强经济核算,提高经济效益。财会部门不仅要把第一道防线上遗漏的大量问题尽力查找出来,而且要从管理会计的角度,在更深层次和更大范围内发现问题,研究对策,预测风险。不过目前,一些财会部门忙于一般性的会计核算,加上种种原因造成责任心不强,尚未充分发挥会计监督的职能和管理会计的职能。
强化企业内部审计,实现“再监督”
这是防范风险的第三道防线。内部审计是一种独立的、客观公正的、并能够提出指导性建议的行为,以使企业能够创造更多的价值,并提高其运作能力。它通过采用一套系统严谨的方法对风险进行估量,并提高风险管理、控制与监督的有效性,最终帮助企业达到预期的目标。尽管从监督职能的角度来看,内审部门的工作量应大大少于经营管理部门的自我评估检查和财会部门的管理监督,但由于内审部门的独立性和应有的权威性,加上其组织系统的垂直性,赋予了该部门特殊的重要职能:即内部审计部门的职能除了审核企业会计帐目之外,还包括稽查、评价内部控制是否完善和企业内部各组织机构执行指定职能的效率,并向企业最高管理层提出建议和报告。我们可以把内审部门在内部控制中的监督职能视为一个反馈装置,负责对其受控对象的信息输入进行采集、量化和比较,再产生控制信号并转化为控制力作用于受控对象,使其按照既定的目标运行。也可以说,内部审计部门的监督职能在于提供对一个单位的内部控制加以系统地检查和评估,提交审计报告,其中包括对各种经营活动无偏见的、公正的、实事求是的分析和经过证实以后而应采取改进行动的合理建议,以协助各级管理部门有效地履行其职责。
与此同时,内部审计部门和内部审计师还应帮助企业进行“软控制”环境的营造。“软控制”环境的营造主要围绕现代管理与监督理念、企业伦理道德与企业文化以及企业最高管理境界――“无为而治”来进行,提高控制与监督的层次。达到“内部审计师的使用将从简单的‘我们实施审计’向‘我们帮助创建一些制度和理念,以期达到组织成功所需要的内部控制水平’的方向发展”。
以社会力量加强对企业内部控制的监督
在发挥企业内部监督作用的同时,还需要利用社会力量对企业内部控制进行监督。
注册会计师对企业内部控制的监督
注册会计师对企业内部控制的监督是社会监督最主要的形式,这种监督形式是通过注册会计师对企业内部控制的审计、评价实现的。在进行评审之前,注册会计师应当依据国家有关内部控制的规范,制定对企业内部控制实施审核的工作计划,以确定内部控制测试和评价的程序和范围。根据已制定的审核计划,注册会计师按以下程序展开对企业内部控制的评审监督:
调查、了解企业的内部控制 调查了解企业的内部控制是进行内部控制评审时必须实施的首要环节。作为评审人员,只有在通过询问、查阅、了解等方式对企业内部控制有了概括印象的基础上,才能进一步展开评审内部控制的程序。在对内部控制调查了解时,评审人员应将企业的经济业务划分为若干业务循环,针对每一业务循环的关键控制点,进行重点调查,以合理保证发现内部控制中潜在的薄弱点,促进内部控制更健全完善。对于调查了解到的情况,评审人员可运用文字叙述备忘录、问卷、流程图等方法记录于审计工作底稿中,为形成恰当的结论提供依据。
对内部控制进行符合性测试 对企业内部控制调查了解的目的主要是摸清企业内部控制是如何设计的,而至于这种设计是否合理,其运行是否有效,其执行是否有力,注册会计师需要对内部控制进行符合性测试。符合性测试是在了解内部控制的基础上,搜集必要的证据,以确定内部控制设计和执行的有效性。注册会计师应从内部控制设计和内部控制执行两个方面进行测试。设计测试主要测试被评审单位的控制政策和程序的设计是否合理、适当,能否防止或发现和纠正重大的错报或漏报;执行测试主要测试被评审单位的控制制度是否真正发挥作用,被评审单位的控制制度设计得再好,如不严格执行,也不能减少财务上错报漏报的发生。
对内部控制进行评价 通过对企业内部控制的测试,注册会计师应对其作出严格的评价。一是要评价内部控制的有效性。通过对内部控制的符合性测试,可以评价被审单位的内部控制的设计和贯彻执行情况。如果设计和执行的有效,那么会计信息的可靠性程度就高,因而也可相应地减少审计程序,减少审计工作量。相反,如果执行无效,则会计信息的可靠性程度就差,相应地也应加大审计程序。二是要评价内部控制的风险水平。评审人员在对被审单位内部控制设计的适当性和执行的有效性进行评审后,应进一步对被审单位内部控制的风险水平作出评价。对内部控制风险水平的评价通常可分为高、中、低三个等级,分别代表内部控制未能防止或查出财务报表中包含的错误,而导致审计结论偏离客观事实的可能性大于40%、在10%和40%之间、低于10%。与内部控制风险水平高低相对的是内部控制的可信赖程度。一般来讲,风险水平越高,可信赖程度越低;风险水平越低,可信赖程度越高。
对企业内部控制的有效性和风险水平进行评估后,注册会计师应进一步审核被审单位的会计信息及有关的经济信息的真实性、正确性,将审核的结果作为审计证据,并据以作出有关的审计结论。通过注册会计师一系列的评审并作出的审计结论,帮助和督促企业设计更好的内部控制并执行。
企业外部信息使用者对内部控制的监督
内部控制报告是指企业管理者依据内部控制有效性的评价标准,对企业内部控制的设计和执行的有效性进行评估后,将结果提供给外部信息使用者,以满足利害关系人对管理信息的需求的报告。
企业提供内部控制报告的目的在于向外部信息使用者表明企业的内部控制是否有效。外部信息使用者之所以关心企业的内部控制,是因为他们作为资源提供者将资源提供给企业,委托企业进行经营管理,他们希望企业管理者能尽职尽责地完成受托责任,保证资产的安全与完整,并定期报告受托责任的履行情况。如果企业没有健全的内部控制或内控制度失效,则会导致企业的资产受到损失,使资源提供者蒙受损失。通过内部控制报告,信息使用者可以在一定程度上了解企业的管理控制是否有效,了解其投入的资源是否安全。所以,通过企业提供的内部控制报告,外部信息使用者可以加强对企业内部控制的监督,这将有助于改善企业的内部控制系统,减少管理舞弊和财务报告操纵,也保护外部信息使用者自身的利益。
加强政府的监督
内部控制的产生及发展,总是与一个国家或地区的社会生产力水平相适应的。从某种意义上说,企业内部控制也是国家宏观控制的组成部分。建立良好的社会主义市场经济秩序,企业内部控制是基础,但政府及其职能部门的管理、监督、控制也决不可少,对于国有企业来讲,政府的监督尤为重要。
推进企业内部控制的建设并加强对其监督是市场经济国家通行的做法。20世纪70年代到80年代,美国政府就通过法案加强企业的内部控制,如《反国外行贿法案》(FCPA);在80年代出现一些企业财务舞弊案件后,成立了Treadway委员会(反对虚假财务报告委员会),该委员会的《内部控制――整体框架》在内部控制发展史上有着重要的影响。
当前,我国的国民经济出现了前所未有的增长速度,综合国力大大增强,但出现了在新旧体制转换过程中的复杂现象,腐败现象呈“高发”态势,这不仅与企业内部控制执行不利有关,也与政府及其职能部门监管不力有关。因此,政府要以法律为手段,加强宏观控制,打击和遏制经济犯罪,促进社会主义市场经济的健康发展。以企业内部会计控制为例,政府要强化《会计法》、《内部会计控制规范》等法律法规的执行和检查监督,尤其是要加强对大型国有企业和上市公司的内部控制的监督。《会计法》第33条规定,财政、审计、税务、人民银行、证券监管、保险监管等部门应依照有关法律、行政法规规定的职责,对有关单位的会计资料实施监督检查。通过这种治本式的监督检查,确保国有资产的完整和增值,进而强化企业内部控制,提高企业管理水平,提高企业的竞争力。
参考资料:
1、王世定,《企业内部控制制度设计》,企业管理出版社,2001
2、杨有红,《企业内部控制框架》,浙江人民出版社,2001
3、程欣荣,如何进行内部控制制度审计,《会计之友》,2001(9)
关键词:上市公司;内部控制审计;内部控制审计报告
中图分类号:F239 文献标识码:A
收录日期:2015年1月28日
一、内部控制审计报告的意见类型
根据五部委《企业内部控制审计指引》以及中注协《企业内部控制审计指引实施意见》要求,内部控制审计报告意见类型分为四种,即“无保留意见”、“带强调事项段的无保留意见”、“否定意见”和“无法表示意见”。各项意见的具体含义是:
“无保留意见”:在基准日,被审计单位按照适用的内部控制标准的要求,在所有重大方面保持了有效的内部控制。注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。
“带强调事项段的无保留意见”:内部控制虽然不存在重大缺陷,但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意,注册会计师应当在内部控制审计报告中增加强调事项段予以说明。该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对内部控制发表的审计意见。
“否定意见”:如果认为内部控制存在一项或多项重大缺陷,除非审计范围受到限制,注册会计师应当对内部控制发表否定意见。
“无法表示意见”:注册会计师只有实施了必要的审计程序,才能对内部控制的有效性发表意见。如果审计范围受到限制,注册会计师应当解除业务约定书或出具无法表示意见的内部控制审计报告。
“无保留意见”审计报告也称为“标准审计报告”,其他意见的审计报告均称为“非标准审计报告”。取得标准审计报告是每一家上市公司的追求目标。
二、2012年度上市公司内部控制审计总体情况
2012年度我国上市公司首次全面实施《企业内部控制基本规范》及其配套指引。2014年1~4月期间,47家证券资格会计师事务所为949家上市公司出具了内部控制审计报告,具体情况见表1。相比2011年只有67家公司的情况,在数量上有很大幅度的提升,内部控制审计将会越来越受到重视。(表1)
三、24份非标准审计意见原因解析
2012年度被出具了非标准审计意见报告的24家上市公司中,4家为否定意见,20家为带强调事项段的无保留意见。
(一)“否定意见”审计报告原因解析
1、黑龙江北大荒农业股份有限公司(以下简称北大荒)。北大荒被出具“否定意见”的原因经分析主要有以下几点:(1)该公司及其子公司的管理层逾越管理权限审批使用资金,且没有对子公司实施有效控制;(2)该公司与其部分子公司在公司治理方面,存在着组织架构不健全或者部分组织机构并未有效运作问题;(3)未能依据有关规章准确有效地进行资产减值测试、定期核对往来款项、依法取得涉税凭证和准确计缴税金等;(4)重大信息内部报告制度未能有效执行,导致未能及时识别出需履行信息披露义务的事项和未能及时履行信息披露义务。
北大荒《内部控制自我评价报告》中提到,公司治理结构有待进一步完善,有关披露的重大、重要缺陷主要包括发展战略缺失、岗位职责不明确、大额资金运作审批操作不规范、信息披露不及时等方面。结合《内部控制审计报告》与《内部控制自我评价报告》不难发现,北大荒在内部控制的设计、运行两个层面均存有重大缺陷。具体来说,设计层面的重大缺陷主要集中在不相容职责分离、全面预算和制度建设方面;运行层面的重大缺陷主要集中在授权审批、治理架构、信息沟通和制度执行方面。
2、天津环球磁卡股份有限公司(以下简称天津磁卡)。天津磁卡被出具“否定意见”的原因经分析主要有以下几点:(1)未能有效执行按月对账制度,导致往来账户长期、经常出现差异却未被发现,且在结账环节,并未合理确定本期应计提的坏账准备;(2)未建立投资业务的会计系统控制,因此未能及时、准确地确认投资收益及合理计提减值准备;(3)未组织固定资产盘点即进行了年度财务决算,存货盘点结果也未及时进行账务处理;(4)销售业务会计处理不规范,存在未发货而提前确认收入、未确认成本的情况,以及已发货、满足收入确认条件而未确认收入成本的情况;(5)未建立期末财务报告流程控制制度,未见管理层及治理层人员对期末报告流程进行监控,缺乏财务报表的复核及审批控制,重要子公司历年的审计调整事项均未做账务处理。
根据《内部控制审计报告》可以发现,天津磁卡设计层面的缺陷主要集中在会计控制、制度建设和资产清查方面;运行层面的缺陷主要集中在制度执行方面。天津磁卡《内部控制自我评价报告》中认为,其在财报相关的内部控制上是有效的。同时,虽然披露了部分内控缺陷,包括资产盘点、往来账核对、投资业务的会计系统控制问题,但仍未说明具体的内控缺陷认定标准,也没有说明上述缺陷的重要性程度,是重大缺陷、重要缺陷还是一般缺陷。
3、广西贵糖(集团)股份有限公司(以下简称贵糖股份)。贵糖股份被出具“否定意见”的原因经分析主要是成本核算基础薄弱:
部分暂估入账的大宗原材料缺少原始凭证(如没有入库单或入库单信息不完整),影响该存货的发出成本结转与期末计价的正确性。导致该公司2012年度未审计财务报表的本期和前期数据中“营业成本”、“应付账款”、“存货”等项目存在重大会计差错。
在该公司内部控制自评报告中并未认同这一结论。贵糖股份认为,这仅仅是由于公司和事务所在原材料核算办法上存在认识差异,公司跨会计年度采购原料,之前的核算方法是行业普遍存在的,先前的会计事务所也未对此提出重大异议,因此才在本次自查中问题。
4、深圳海联讯科技股份有限公司(以下简称海联讯)。海联讯被出具“否定意见”的原因经分析主要有以下两点:(1)因涉嫌违反证券法律法规被中国证券监督管理委员会立案调查;(2)因重大前期差错更正了已经的2009年、2010年、2011年三个年度的财务报表。海联讯在《内部控制自我评价报告》中指出,公司未能有效执行内控制度,对于存在重大缺陷、与财务报表准确性相关的内控制度地执行,需作整改。
(二)“带强调事项段的无保留意见”审计报告原因解析。在20份(上海三毛、江淮汽车、ST宜纸、上海机电、凤凰光学、恒源煤电、深天地A、大地传媒、南京医药、ST狮头、*ST长油、康达尔、*ST凤凰、海南椰岛、天路、国通管业、香梨股份、工大高新、马钢股份等)带强调事项段的无保留意见内部控制审计报告中,有一些强调事项是对内部控制审计范围进行附加说明,有一些是对公司重大或突发事项进行特别公告,因此,强调事项并不完全是由内部控制缺陷所带来的。与内部控制缺陷相关的强调事项可以归为以下几类:1、不相容职责未得到充分有效地分离,这主要是由于组织结构和岗位设置的不健全性造成的;2、制度规定不够明确,这主要体现在部分关键业务和流程方面;3、内部控制管理过程中部分重要资料有所缺失;4、内部控制制度没有得到有效执行;5、部分业务的会计处理与企业会计准则的要求不符。
四、24份非标准审计意见中关于内控缺陷的分析
(一)设计缺陷与运行缺陷
1、2012度内部控制审计报告披露出来的重大缺陷,按照设计层面、运行层面进行分类,设计类缺陷为14个,运行类缺陷为10个,占总数的百分比分别为58%和42%,各企业管理层应予以关注,从而有的放矢地完善本企业的内部控制。
2、企业制度和流程的缺失会带来设计有效性缺陷,使得相关风险不能得到有效控制,无法达成控制目标,必然会对企业带来不利影响。设计有效性缺陷重于运行有效性缺陷,它应是企业关注的重点。对制度、流程进行不断地梳理完善,设计有效性缺陷的比例将会不断下降。
3、运行性缺陷,一方面是由于内部控制的局限性(如联合舞弊、管理层逾权、疏忽大意等)造成的;另一方面是则是由于缺乏有效的内部监督机制造成的。即使企业不存在设计有效性缺陷,也应建立健全内部监督机制确保企业制度及流程的有效运行,以防运行性缺陷可能导致的重大风险。内部监督机制包括日常对各个业务职能部门或管理层工作过程及结果的监控,也包括定期组织的内控自评及内部审计。
(二)缺陷内容分析。2012度内部控制审计报告披露出来的重大缺陷按照缺陷类型可以分为会计控制、不相容职责、全面预算、制度建设、授权审批、治理架构、信息沟通不畅、制度执行、资产清查9个方面。即在各种类型的控制活动中均有可能存在重大缺陷,任意一类控制活动失效均可能导致非标准的内部控制审计意见出现重大缺陷。
但内部控制审计报告披露出来的与制度相关的缺陷有9个,占总体的38%,比例最高。因此,加强制度建设,监督及强化制度执行是完善内部控制的重要措施。首先,企业应当确保既有的制度和流程是规范的、可执行的。其次,企业应该对其进行至少每年一次的梳理,根据经济业务的变化,适时增加新制度、作废不适宜制度、关注制度是否被有效执行。
需要说明的是,各类控制活动均有潜在的风险,企业在内部控制体系的建立与完善过程中,应当综合考量,可以有所侧重,但不可有所忽略。
五、内部控制审计报告质量有待提高
对比上述企业披露的《财务审计报告》和《内部控制审计报告》,发现已披露的内控缺陷主要集中在与财务报告高度相关的领域。出现这种情况的原因主要由于部分会计师事务缺乏内部控制审计经验,内部控制审计范围的选取还仅局限在与财务报告高度相关的领域,甚或是直接与具体的经济损失或财报差错相关,使得多数企业财务审计与内控审计相互整合。
应当注意的是,根据《企业内部控制基本规范》及其配套指引的定义,重大内控缺陷除已产生了经济损失或财报差错的缺陷外,还包括可能会造成潜在损失或错报,以及对企业声誉、安全等定性指标造成损害的缺陷。随着会计师事务所审计经验的不断积累,相信这方面的工作缺失将会得到明显改善。
主要参考文献:
[1]李晓红、2012年度上市公司非标准内部控制审计报告分析[J]、中国总会计师,2013、9、
一、美国跨国银行内部监管的原则与制度
(一)美国企业内部控制的一般原理、原则
美国是现代内部控制理念的发源地,早在1949年,美国注册会计师协会(AICPA)的一个工作程序委员会就出版了一份关于确立企业内部控制理念的特别报告。该报告指出,内部控制制度是企业用以保护资产、检查会计资料的可靠性和准确性,提高经营效率,强化遵守既定管理政策的组织计划、协调方法与措施。该报告强调,注册会计师应对企业的预算控制、成本控制、经营报告、统计分析和控制文化承担外部审计的职责,很大程度上是以会计师的外部审计责任取代企业的内部控制责任。
这种以外部审计为主的方式引起很大的争议,以外部审计责任代替企业自身的内部监管责任容易造成企业放任自流的“搭便车”现象,助长企业的冒险经营与舞弊风险,而且也加重了注册会计师的审计责任和法律责任,也难以广泛适用于对内部风险防范有较高要求的金融机构。为此,1973年美国注册会计师协会第54号审计报告,对内部控制责任作了划分,将内部控制分为内部会计控制和内部管理控制。内部会计控制制度包括与组织机构实施、财产保护、财务会计记录可靠性有关的各种措施,由注册会计师负责实施控制;内部管理制度包括组织机构的设计、管理部门决策和业务运作的程序与记录等,主要由企业管理层负责监控,只有当内部管理控制对财务报表可靠性有重大影响时,会计师才有义务去核查管理控制。第54号审计报告所确定的内部控制原则,已为美国商业界包括银行业所普遍采纳,成为美国企业内部控制的基本准则之一。
1992年,由美国“反对虚假财务报告委员会”(National Commission on Fraudulent Financial Reporting)下属的一个专业委员会“赞助机构委员会”(the Committee of Sponsoring Organizations,以下简称COSO)了题为《内部控制――统一的框架结构》(Internal Control——Integrated Framework)的研究报告,对内部控制的基本要素作了系统阐述。该报告认为,完整的内部控制应包括五个基本要素:
1、控制环境(control environment)。控制环境是指对建立、加强或削弱特定政策或程序有影响的各种因素,包括企业诚信和道德价值观、员工的信念与能力、董事会和审计委员会的功能、管理哲学和经营风格、组织结构、授权和责任的划分、人力资源政策及其执行等多方面的内容。
2、风险评估(risk assessment)。辨识和分析风险是一种必须常抓不懈、持续反复的过程,企业管理人员的重要职责之一就是正确识别和评估经营中所面临的各种风险,并采取一切必要的措施降低风险。
3、控制活动(control activities)。除了控制环境的“软环境”之外,企业还需建立控制风险的一系列“硬制度”,来保障企业经营目标的顺利实现。这些控制活动包括:业务和经营活动的授权、组织系统内有利益冲突职务的分离、实物控制、资产或财务记录的专人管理等。
4、信息与沟通(information and munication)。为了实现其经营业绩和风险控制的目标,企业必须识别、处理和交流来自内外的各种信息。COSO报告强调,完备的信息处理系统是实现内部控制目标的重要保障,信息系统不仅处理企业内部产生的经营信息,而且也处理来自企业外部的各类经济、法律或行政信息。
5、监督(monitoring)。监督是由适当的人员,在充分有效的制度保障下,评估内部控制绩效的过程。监督活动分为持续监控和个别评估两类,前者是一种日常例行监督程序,是对业务管理层日常内部控制效果的监控和评价;后者是一种特别监察,一般是对出现严重异常或存在危机隐患的业务或部门进行的专门审查。
COSO内部控制框架虽是对一般企业的概括要求,但却得到了美国银行监管者和银行业的普遍响应。1993年,美国联邦存款保险公司批准了对1991年《联邦存款保险公司改进法》第12条的修正案,要求银行就其内部控制状况定期向美国联邦存款保险公司和美联储报告,并鼓励以COSO内控框架作为报告的格式。1998年巴塞尔委员会的《银行组织内部控制体系框架》很大程度上也借鉴了美国COSO内控框架的原则规定。
(二)美国银行内部控制制度与实践
美国银行业在长期的经营实践中,摸索出一套行之有效的内部控制管理策略和运作原则,一些著名银行如花旗银行、美洲银行、纽约银行的内控制度与实践在跨国银行业中有着良好的口碑。概况而言,美国银行业的内部控制具有如下一些特色:
1、独立、集中、权威的内部监管体系
美国跨国银行在全球范围内的业务活动非常活跃,分支机构遍布世界各地,为了更好地实现对银行系统内各组织各机构的有效监控,美国的跨国银行大多建立了强势的内部监管体系。这种强势的内部监管体系有如下三个特征:
第一、稽核权由银行总行统一行使,分行没有稽核部门。分行的稽核由总行根据分行业务的权重派出若干稽核主任,分别负责区域分行的稽核。以花旗银行为例,花旗银行在亚太地区的分支机构统一由亚太地区稽核分部负责稽核,亚太地区稽核人员又分驻香港、新加坡、悉尼、马尼拉四个办事处,四个办事处各有管辖范围,如花旗银行中国范围内的业务就由香港稽核办事处负责。
第二、内部审计独立。银行的行政和日常管理层无权干预内部审计体系的运作,并有如下切实的制度保障:银行副总裁兼任首席审计师,直接向董事会负责并报告工作;稽核人员选任独立,稽核人员由总行稽核部门直接从各业务部门中优先筛选;财务独立,稽核部门有独立的财务预算,不受业务部门干预;稽核人员的待遇从优,不低于实权业务部门。
第三、稽核部门分工精细,人员充足。稽核部门内部机构根据职能、业务、区域等不同标准划分,部门众多。如花旗银行的稽核总部除首席审计师外,下设调查部、业务审计部、辅助管理部、监督检查部、审计培训部、现场检查部,在现场检查部下又根据业务和区域分设北美一部(负责资金、证券审计)、北美二部(负责零售业务审计)、北美三部(负责衍生工具审计)、亚太部、拉美部、欧洲一部和欧洲二部等部门。美国主要银行的稽核人员占其员工总额的比重相当高,2000年的统计数据表明花旗银行稽核人员575人,占总员工数的0、58%,美洲银行稽核人员350人,占员工总数0、44%,纽约银行稽核人员170人,占员工总数1、4%、[16]
2、统一、严密的稽核依据
美国跨国银行要求各业务部门必须针对本部门业务的特点制定统一规范的业务规章或守则,这些规章或守则必须经董事会或专门的风险管理委员会审核同意。部门规章或守则有两个作用:一方面可以成为员工管理和教育的规范,新员工入行伊始就必须熟稔业务规则,明确自己的责、权、利,遵守守则情况成为员工考核奖惩的重要依据;另一方面,这些守则也是稽核部门内部监管的依据,稽核部门在检查中发现业务部门不遵守规章或规章本身有漏洞,可以向业务部门提出建议,要求其限期改正或完善。
3、注重非现场稽核方法
与其它企业一样,跨国银行是营利性经济组织,以利润最大化为经营目标,在风险管理和内部稽核问题上同样面临着成本与收益的比较问题。美国银行强调稽核工作不应干扰银行业务部门的正常运作,不鼓励大量采用现场检查方式,提倡开放式、自律型的非现场检查。以花旗银行为例,其稽核部门在确定稽核任务与稽核目标后,一般提前两周向稽核对象发出通知,要求报送相关的稽核材料。稽核人员通过计算机系统接纳和审核业务账册和资料,只有在账册无法说明问题时才考虑进行必要的现场检查。
美国银行注重非现场检查方式,主要有三个方面的考虑:第一,在先进网络技术和信息系统的支持下,非现场检查有充分的硬件保障,不易产生会计信息失真问题;第二,与现场检查相比,非现场检查节约人力物力,又不干扰业务部门的正常运作,检查成本较小;第三,美国银行管理层认为,封闭型、突击式的现场检查虽然有助于发现问题,但却是以丧失业务人员信任作为代价的,非现场检查采用开放式、互动型的稽核方式,有助于培养稽核部门与业务部门的互信意识,对业务部门的自我控制具有良好的催化作用。因此,美国跨国银行中除纽约银行等少数银行外,均不再将突击型的现场检查作为主要的稽核方式。
4、资产风险管理的“六C”法则
美国跨国银行通过评估资产的盈利性、安全性和流动性来控制资产风险,提高银行经营的稳健性。对一般资产业务的风险评估必须贯彻“六C”法则,即必须考虑如下六个因素:
(1)品质(character):银行必须确保客户对借款等业务有良性意愿和明确的偿还意向,这一点主要是通过考察客户既往的金融信用记录来评价的。
(2)能力(capacity):银行必须确信客户有从事业务的权能,签约时有合法的缔约能力,并对客户履约的能力有客观的评估。
(3)资本(capital):银行必须对客户的有形资产净值进行分析,确保客户有能力提供充足的现金流来偿还贷款或履行合同。
(4)抵押品(collateral):如果客户提供抵押品作为履约担保,银行必须明确知悉抵押品的质量与价值。
(5)环境(circumstance):银行必须就对客户日常业务、产业、抵押品等有直接影响的因素做出客观评估,实际上是考察影响客户履约的外在因素。
(6)控制(control):主要是对业务的持续进行合法性与合规性的评估和控制,例如研究法律的修订是否会影响业务的合法性,贷款业务是否符合监管机构的资本充足性要求等。
从上述特征可以看出,美国的跨国银行对内部稽核工作是相当重视的,从人力、物力、制度等方面均给予充分保障。这种强势稽核体制对银行经营的安全性与稳健性有着至关重要的作用,近十年来美国跨国银行业没有出现大的危机,美国跨国银行奉行的强力内控制度功不可没。但也有学者认为,强势内控制度的确有助于风险的预防和控制,但投入大量稽核人员用于内部监管工作必然对银行的整体盈利产生影响,此外,过于依仗非现场检查的监管方式难以发现深层次的问题,尤其在业务部门有意隐瞒的情况下,非现场检查难免流于形式。
(三)美国跨国银行的内部控制评估
内部控制评估是外部审计师或监管机构对银行内部控制体系进行调查、了解、审计、评价的一系列活动过程的总称。内部控制本身是对银行风险的监视和管理,内部控制评价则是对内控机制有效性的监督,实质上是对风险管理的二次监督,通过内部控制审查和评价,可以使审计人员和监管机构了解银行财务会计的可信程度,并为监管机构进行银行监管提供线索。
美国对银行内部控制评估工作相当重视,美国注册会计师协会《现场审计工作准则》(the Auditing Standards of Fieldwork)第2条明确规定:“(审计师)对现行的内部控制结构进行充分的研究和评估,以此作为制定审计计划,确定审计性质、时间安排以及测试范围的基础”。美国是少数几个以法律强制银行披露经独立审计的内部控制评估报告的国家之一,其《联邦存款保险公司改进法》要求所有资产超过1、5亿美元的银行和储蓄机构,应定期公布经独立审计师审计的内部控制评估报告。
美国审计部门对银行内部控制体系的评估,有一套相当成熟的程序,主要分为以下三个步骤:
1、对银行内部控制体系的审查评价
这是内部控制体系评估最重要的一环,可细分为如下四个程序:[17]
(1)初评。在正式评估内部控制体系之前,审计师应先审阅银行上一年度审计报告、银行各种规章、制度和指南,向管理人员询问,现场检查银行工作情况,以便对银行的控制环境、风险管理、信息交流等有一个总体印象。
(2)描述。审计师必须对内部控制的初评结果加以详尽描述,编成工作底稿归入审计档案,描述可以采用多种方法:
文字叙述法(written narratives):即以书面文字的形式阐述银行现有的内部控制制度。一般按照不同业务和业务环节,说明各业务、环节的特征、经办人员、控制措施与方法、财务记录的编制要求和保存方法等,同时还必须说明内部控制措施的效能和可能存在的问题。文字叙述法的优点是简便、灵活、适用面广,常用于经营规模小、内部控制制度简单的银行,但文字描述法不能直观地反映较为复杂的内部控制系统,不适宜对经营网点多、业务复杂的跨国银行进行描述。
系统流程图法(system flowchart):即用流程图解的方式描述各业务环节的处理程序、财务记录的编制、处理、传递与保存。优质的流程图还能直观地显示各项业务的职责分工、授权、批准和复核验证等控制程序和功能。作为图示描述法,系统流程图法具有文字叙述法不可比拟的优势:它可以较为直观地反映较为复杂的内部控制结构,具有直观、明了、清晰、完整的优点,还可以根据业务和内部控制的变化及时加以更新。但系统流程图对编制者的要求较高,审计师编制时必须面面俱到,考虑周详,否则流程图无法反映内部控制的全貌,容易令人费解或招致误解,此外流程图仅能反映内部控制结构的现状,不能明确揭示有关内部控制系统的实际执行情况及其缺陷。
调查表(questionnaire):是一种预先设计的标准化调查问卷,以便了解银行内部控制及其实际功能。调查表分别针对各主要业务和环节的内部控制措施列出一系列问题,备好正面答案和负面答案(有时还有中性答案),交由银行业务人员进行问卷调查。调查表有统计学原理作为依据,较为科学合理,实施起来也较为便利,但答题人的主观心理对问卷结论有着直接影响,且调查表只能分别反映各经营环节或业务活动的内部控制情况,不足以概括银行内部控制体系的全貌。
三种调查描述法各有其优劣,需要根据特定银行的内部控制情况加以选择适用,有时,为了全面客观地反映银行的内部控制运作情况,审计师将三种方法兼施并用,以求达到更为准确真实的描述结果。
(3)验证。通过从银行业务中抽取某一样本业务,从其处理始点审视至终点,借以判断银行的业务控制是否完善,审计师对银行内控机制的初评和描述是否客观全面。
(4)评估。美国的内控机制评估是相当有特色的,审计部门将内部控制风险分为三个层次:
固有风险(inherent risk):指银行因业务性质本身具有发生错误或弊病的可能。
控制风险(control risk):是指银行内部控制未能防止银行业务出现弊病或错漏的可能,控制风险越大,说明银行的内部控制越薄弱,发生风险的可能性越大。
察觉风险(detection risk):是指那些内部控制机制和审计部门均未能有效察觉业务出现错漏或舞弊的可能性。
审计部门根据科学的加权公式,测算出上述风险在内部控制风险中的权重,并据此对银行内部控制机制做出客观的评价。
2、内部控制测试
内部控制测试是对初步评价结果的校验,在整个内部控制评估过程中有着重要的作用:对于内部控制不完善,内部控制风险较大的银行,内部控制测试可以检验其内部控制问题严重的程度,确定内部控制失灵的关键环节,为今后的整改提供重点和思路;对于内部控制完备、风险较小的银行,内部控制测试可以再次验证银行的内控水平,避免有隐藏的内部控制缺漏。
由于跨国银行业务活动纷繁复杂,审计师不可能面面俱到地进行复查,只能以样本抽查的形式进行测试。内部控制测试一般在银行会计年度终了之前进行,这样有助于及早发现银行内部控制的问题,建议监管当局进行整改,保证银行会计记录的真实性和可靠性。测试之后,审计部门会形成最终的内部控制评估报告,对银行内部控制风险进行评价,并分析其内部控制的薄弱环节,确定今后的审计计划与程序。
3、报告银行高级管理层和监管当局
根据美国的审计准则,审计师不对银行内部控制的有效性负责,但其对审计调查过程中发现的重大内部控制缺陷,属于审计准则中的“可报告事项”(reportable conditions),应及时通报银行董事会或高级管理层,或依据金融监管法规的要求,将重大内部控制缺陷报告监管当局。
审计师向银行高级管理层通报审计结果,须采用专门的文书“致管理层函”(management letter),并通过专门的渠道直接呈交银行董事会、董事长或审计委员会。之所以做出这样审慎的安排,是为了防止审计结论被搁置或篡改,以利于银行高级管理层及早针对内控问题做出妥善安排,避免内控危机的发生。审计师发现银行内部控制的重大问题时,必须尽快报知高级管理层或监管机构,如因审计师的瞒报或拖延给银行造成损失,审计师必须承担相应的法律责任。
二、英国跨国银行内部监管的制度与实践
(一)英国公司内部控制的一般原理、原则
英国的内部控制研究发端于20世纪80、90年代,当时英国的实业界就像今天的华尔街一样,假帐盛行,因控制失灵导致的公司经营失败层出不穷,公众公司面临着严重的信任危机。英国会计界为此成立了多个专门委员会,进行公司内部控制和治理结构改革的专题研究,并形成了多份研究报告,其中最有影响的是1992年的《卡德伯利报告》(Cadbury Report)、1998年的《哈姆佩尔报告》(Hampel Report)和1999年的《特恩布尔报告》(Turnbull Report),它们也被称为是英国公司治理和内部控制研究史上的三大里程碑。
1、1992年《卡德伯利报告》
为了防范和控制公司内部的财会舞弊风险,1985年英国《公司法令》第221条要求公司董事和董事会必须对公司财务会计记录的真实性、准确性和完整性负责。但法律并没有提供董事和董事会监督约束公司财务会计记录的具体制度设计,《卡德伯利报告》的则在一定程度上解决了这个问题。
《卡德伯利报告》认为,有效的内部控制是公司治理结构的重要一环,为避免董事会和董事串通一气,合舞弊,《卡德伯利报告》创设了“内外双重审计”的制度。“内外双重审计”的制度设计为在董事会向公众或监管机构出具正式的内部控制评估报告之前,该报告必须经内部审计师和外部审计师的双重审核。这样,就最大限度地避免了董事会、董事甚至内部审计人员串通舞弊的可能性。
《卡德伯利报告》在许多方面开创了英国公司治理和内部控制的先河:如要求在董事会下设专门的审计委员会;实行独立董事制度;强化内部审计在公司治理和内部风险控制中的作用,等等。其中一些制度和原则,还沿用至今。
2、1998年《哈姆佩尔报告》
《哈姆佩尔报告》明确指出,内部控制的目标在于保护资产的安全,保持正确的财务会计记录,保证公司内部使用和向外部提供的财务信息的准确性。报告将内部控制的范围由原先的财务控制扩展到全面的业务控制,并重申了董事会和董事的风险管理职责。
由于《卡德伯利报告》对董事会和审计师的核查报告责任要求得过于严苛,要求内部控制机制必须为舞弊和错误提供“绝对担保”,董事会和审计师必须为内部控制机制的有效性承担法律责任。因此,实践中董事会和审计师均有所顾虑,对内部控制的有效性往往作有意模糊或保留的声明。《哈姆佩尔报告》对此作了改进,不再要求董事会和董事对内部控制的有效性承担绝对的担保责任,而仅对内部控制的有效性作“合理保证”,即排除了在董事会和董事均恪尽职守的情况下仍不能发现的一些内控失灵问题,如操作性失误、系统性风险等等。
3、1999年《特恩布尔报告》
为督促公开发行公司建立内部控制制度,使其营运及财务资讯透明化,以强化其经营风险之控管,并藉此达成提升公司营运效果及效率、保障公司资产安全及维护股东权益之目的,证券暨期货管理委员会(以下简称证期会)订定内控准则,供公开发行公司于建立内部控制制度有所遵循。内控准则共五章,计四十五条。其重点如下:
(一)第一章总则,包括四项条文,分别订明:
(1)内控准则订定之法令依据。
(2)内控准则使用范围。
(3)公开发行公司内部控制制度之目的。
(4)公开发行公司应订定书面之内部控制制度,并应充分考量独立董事之意见,以强化公司治理。
(二)第二章内部控制制度之设计及执行,包括五项条文,分别订明:
(1)公司订定内部控制制度时,应考量整体营运活动。
(2)公司于设计内部控制制度时应综合考量内部控制制度之组成要素。
(3)公开发行公司之内部控制制度得以交易循环区分控制作业。
(4)公开发行公司建立之内部控制制度,除交易循环外,尚应建立各项管理控制作业。
(5)使用电脑化资讯系统处理者应建立之控制作业。
(三)第三章内部控制制度之检查,包括下列三节:
1、第一节内部稽核,包括十一项条文,分别订明:
(1)内部稽核的目的。
(2)内部稽核单位之设置位阶及内部稽核人员之适任条件,及稽核单位主管之任免程序。
(3)公开发行公司所订定稽核实施细则之范畴。
(4)公开发行公司应事先拟订年度稽核计划,据以检查及评估公司之内部控制制度,及应将重大财务业务行为之控制作业,列为每年年度稽核计划之稽核项目。
(5)公开发行公司之内部稽核报告应据实揭露缺失及异常事项,确实陈核及追踪,并列为各部门绩效考核之重要项目。
(6)公司应将稽核报告及追踪报告迅速交付予监察人查阅,及内部稽核人员及监察人应尽之职责,以发挥内部稽核之效果及强化公司治理。
(7)公开发行公司稽核人员应具超然独立立场及其行为规范。
(8)公开发行公司内部稽核人员应依证期会规定持续进修。
(9)公开发行公司应定期透过证券交易所或证券柜台买卖中心以网际网路资讯系统申报稽核人员名册。
(10)公开发行公司应定期以网际网路资讯系统申报次一年度稽核计划及上一年度之年度稽核计划执行情形。
(11)公开发行公司应定期以网际网路资讯系统申报上一年度之内部控制缺失及异常事项改善情形。
2、第二节自行检查及内部控制制度声明书,包括四项条文,分别订明:
(1)自行检查之目的及范围。
(2)自行检查内部控制制度之作业程序。
(3)公开发行公司自行检查内部控制制度评估结果之分类。
(4)公开发行及首次办理股票公开发行之公司应每年自行检查内部控制制度,作成内部控制制度声明书报证期会备查,并对投资人揭露。
3、第三节会计师专案审查,包括十三项条文,分别订明:
(1)会计师执行公开发行公司内部控制制度专案审查应依内控准则规定办理,内控准则未规定者,应依一般公认审计准则办理。
(2)会计师专案审查之目的。
(3)得受托专案审查公开发行公司内部控制制度之会计师需符合之资格条件。
(4)会计师执行公开发行公司内部控制制度专案审查之范围。
(5)公开发行公司内部控制制度专案审查所应涵盖之期间。
(6)会计师执行公开发行公司内部控制制度专案审查,应遵循之审查准则。
(7)会计师执行公开发行公司内部控制制度专案审查之程序。
(8)会计师审查受查公司出具之内部控制制度声明书所声明之事项之审查意见种类。
(9)会计师表示审查意见外,如欲强调某一重大事项时之做法(应单独以说明段于审查报告详述)。
(10)会计师未取得受查公司针对相关内部控制制度之声明书者,应出具审查报告之格式及内容。
(11)会计师外勤工作完成日为出具审查报告日期。
(12)会计师应对审查公开发行公司内部控制制度所发现之缺失出具内部控制建议书。
(13)会计师受托执行首次办理股票公开发行公司之内部控制制度专案审查之办理依据及所应涵盖之期间,及会计师应另针对首次办理股票公开发行之公司取得或处分资产、从事衍生性商品交易、资金贷与他人、为他人背书或提供保证订定相关作业程序表示意见(以单独一段文字,于审查报告中作适当之说明)。
(四)第四章对子公司之监理,包括四项条文,分别订明:
在我国目前资本市场还不够成熟的情况下,投资者不仅需要了解经注册会计师审计的几张传统会计报表,还需了解投资公司更多的信息,特别是以内部控制报告为载体的公司内部控制的信息。这是由内部控制和会计报表的关系决定的,因为会计报表披露的信息是否真实、正确决定于内部控制的有无和强弱。目前对内部控制报告应由谁提供有两种观点:一种观点认为应由注册会计师在提供会计报表审计报告的同时提供内部控制评估报告;另有人认为应由企业管理当局对外披露内部控制报告。笔者认为,内部控制报告应由企业管理当局提供。
第一,会计师事务所对上市公司会计报表进行审计,他们所关心的仅仅是与会计报表项目有关的控制,或者说仅仅关心公司内部会计控制,不太关心公司内部管理控制。就目前会计报表审计而言,注册会计师尽管关心公司内部会计控制,但他们也仅为对会计报表项目进行实质性测试做好准备,没有出具公司内部控制的评审报告。再者,由于审计成本、审计时间等多方面限制,注册会计师不可能在对公司的全部内部控制进行评审后,再出具公司内部控制的评审报告。
第二,内部控制评审报告如果由注册会计师出具,从某种意义上讲,也不符合内部控制原理。注册会计师在对会计报表审计的全过程中,他们仅仅把对内部控制的了解、调查、评价作为一种手段,一种方法来运用,其目的在于确定会计报表实质性测试审查的重点、范围和方法,如果注册会计师在出具会计报表审计报告的同时,再出具内部控制评审报告,就存在着违反职责分离的内部控制原则,即违反处理某一事项不能由某一单位或某一人从始至终包办到底的原则。因此,公司内部控制评审报告,应由会计师事务所以外的组织出具,可将该报告与会计报表审计报告同时向社会公布。
第三,投资者和潜在投资者在阅读经注册会计师审计后的会计报表时,非常关心会计报表中有关指标,尤其注意每股收益。而每股收益是否真实、正确,仅与内部会计控制有关。每股收益的多少,如何提高每股收益水平,则不仅是内部会计控制的问题,而是有关公司整个内部控制的问题。就目前情况看,这些问题是注册会计师所不能解决的。要解决这个问题,只有靠上市公司自己健全、完善和有效执行内部控制,每股收益水平才会满足投资者要求。因此,注册会计师对公司的内部控制,仅能对会计控制进行调查、了解,而对管理控制进行调查了解,则存在一定困难。而解决这个问题的最好方法是由上市公司的内部审计机构对其公司整个内部控制进行评价,并出具内部控制评审报告。
二、内部控制报告应披露的内容
上市公司的管理当局在对其内部控制进行自我评价后,则可出具报告,向投资者宣布其内部控制不存在重大缺陷或除某些方面外,不存在重大缺陷。内部控制报告应包括:
1、表明管理当局对内部控制的责任。管理当局应在内部控制报告中明确声明建立、健全、实施和维护企业的内部控制制度是管理当局的责任,内部控制的目标在于合理保证财务报告的可靠性、经营的效果和效率,符合适用的法律、法规。
2、企业已经确定内部控制的设计和实施是否有效的标准,并按照标准设计并颁布实施内部控制制度。如宣布“本公司已根据《内部控制基本规范》规定的原则、标准,制定并颁布实施内部控制制度”。内部控制可分为会计控制和管理控制,前者的目的是保护企业资产,检查会计数据的准确性和可靠性,后者的目的是提高经营效率,促使有关人员遵守既定的管理方针。我国目前只制定了内部会计控制规范。但是,由于内部会计控制和内部管理控制很难绝对地划清界限,所以,内部控制报告的范围不能仅仅局限于内部会计控制,还应包括内部管理控制。因此,在内部控制报告中不仅应指出建立内部会计控制制度,还应包括有无有效的内部管理控制制度,但这应建立在成本效益和重要性原则之上。
3、声明本公司已按有关标准、程序对本企业的内部控制的设计和执行的有效性进行了评估,发现无重大缺陷。如果发现重大缺陷,应指出该缺陷。
4、声明公司内部控制有效,不会发生对公司财务报告的可靠性和对公司财产的安全、完整有重大不利影响的情况。如发现某些缺陷,应指出这些缺陷,并声明,相信除上述情况外,公司内部控制有效。
5、承认内部控制具有固有限制。存在由于错误或舞弊而导致错报发生和未被发现的可能性,因此,只能对财务报告的编制及企业资产的安全和完整提供合理保证。并且,随着环境和情况的变化内部控制制度的有效性可能发生变化,对内部控制制度的遵循程度可能会降低。根据内部控制制度评价结果推测未来内部控制有效性具有一定风险。
6、管理层签名,包括董事长、总经理、财务总监等,以表示对内部控制和控制报告负责。
三、内部控制报告的作用
1、内部控制报告可以提高管理当局内部控制的意识,从而重视企业内部控制。内部控制报告必须由总经理和财务总监签名。总经理签名将提高其对财务报告和内部控制的责任感,类似地,财务总监的签名将强调他们对财务报告的作用和责任。
2、内部控制报告表明了企业高级管理人员对内部控制的义务,从而传递出企业控制环境的信号。控制环境是内部控制的一项重要要素,对财务报告的可靠性有着极其重大影响。是否提供内部控制报告在一定程度上反映了管理当局对内部控制的重视程度,也反映了其管理哲学。
下一篇:个人工作自查报告(精选8篇)
热门推荐