摘要:内部控制评价是内部控制执行结果的反映,具有承前启后的重要作用。本文从上交所、证交所及财政部、证监会、审计署、银监会与保监会等所发布的内部控制评价规范出发,比较、分析了内部控制评价标准所规范的内部控制内涵、设计及施行、检查与监督及自我评价的披露等方面,从而为我国企业完善内部控制的制定和实施实践提供依据,也为我国监管机构完善内部控制法律法规、提高外部监管的效果和效率提供参考。
关键词:内部控制 评价规范
一、引言
内部控制作为公司治理的关键环节和经营管理的重要举措,在企业发展壮大中具有举足轻重的作用。但从现实情况看,许多企业管理松弛、内控弱化、风险频发,资产流失、营私舞弊、损失浪费等问题还比较突出;从2010年企业随年报披露的内部控制信息来看,有些企业没有披露其内部控制自我评价报告,有少数企业甚至对其内部控制信息没有以任何形式进行披露,而披露了内部控制信息的企业也存在披露的内控的内容不统一,评价的标准不统一,其内部控制自我评价报告的格式、评价的对象、评价结论的表述、评价结论的时效性等方面也存在不一致。鉴于此,本文从《上海证券交易所上市公司内部控制指引》(以下简称“沪指引”)、《深圳证券交易所上市公司内部控制指引》(以下简称“深指引”)、《企业内部控制基本规范》(以下简称“基本规范”)及其由《企业内部控制评价指引》、《企业内部控制应用指引》和《企业内部控制审计指引》组成的《企业内部控制配套指引》入手,比较、分析了三方内部控制评价标准所规范的内部控制内涵、设计及施行、检查与监督及自我评价的披露等几个方面,从而为我国企业完善内部控制的制定和实施实践提供依据,也为我国监管机构进一步完善内部控制法律法规、提高外部监管的效果和效率提供参考。“沪指引”从2006年7月1日施行,适用于在上海证券交易所上市的公司;“深指引”于2007年7月1日起施行,适用于深圳证券交易所主板上市的公司,但不含中小企业板上市公司;“基本规范”于2009年7月1日施行,适用于中华人民共和国境内设立的大中型企业,但是小企业和其他单位可以参照本规范建立与实施内部控制。基本规范的配套指引自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行,在此基础上,择机在中小板和创业板上市公司施行,并鼓励非上市大中型企业提前执行。从中可以看出,“基本规范”及其配套指引虽然施行时间最晚,但适用范围最广,而“沪指引”和“深指引”都仅适用于上市公司。
二、内部控制内涵比较研究
( 一 )内部控制的定义 “沪指引”所称内部控制是指,“上市公司为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排,是由公司董事会、管理层及全体员工共同参与的一项活动。”“深指引”所指内部控制为,“上市公司董事会、监事会、高级管理人员及其他有关人员为实现下列目标而提供合理保证的过程: 遵守国家法律、法规、规章及其他相关规定;提高公司经营的效益及效率;保障公司资产的安全;确保公司信息披露的真实、准确、完整和公平。”“基本规范”认为,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略等控制目标的过程。比较三方对内部控制的定义不难看出:(1)目的不一致。“沪指引”是为了保证公司战略目标的实现;“深指引”和“基本规范”是为了实现特定目标而提供的合理保证,但是两者所指的特定目标却存在些许差异,“深指引”是为了提高公司经营的效益及效率、确保公司信息披露的真实、准确、完整和公平,而基本规范却认为是提高经营效率和效果、合理保证财务报告及相关信息真实完整、促进企业实现发展战略。(2)性质不同。“沪指引”认为内部控制既是一项活动也是一种制度安排,而“深指引”和“基本规范”却认为内部控制是一个过程。(3)参与人的不同。“沪指引”和“基本规范”认为是全员参与,而“深指引”却认为只是“董事会、监事会、高级管理人员及其他有关人员”参与,范围明显不同。
( 二 )内部控制的责任人 “沪指引”和“深指引”都明确指出公司董事会应对公司内部控制制度的制定和有效执行负责,“沪指引”更是认为“董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。”虽然“基本规范”一直只称“企业”,没有指明具体的责任人,但在《企业内部控制评价指引》中有提到“企业董事会应当对内部控制评价报告的真实性负责”,在《企业内部控制审计指引》中也明确指出“建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任”。
三、内部控制自我评价规范比较研究
( 一 )建立内部控制自我评价规范应考虑的因素 “深指引”基本上完全借鉴了COSO全面风险管理8要素框架的思想,仅只是把COSO中的“风险应对”调整为“风险对策”,但是就此具体的解释而言,两者差别不大。“沪指引”也借鉴了COSO8要素框架的思想,但是却认为是“风险确认和风险管理策略选择”,而不是“事项识别和风险应对”。“风险确认”仅指考虑了风险,而“事件”识别不仅要识别“风险”也要识别“机会”; “风险对策”是一种风险控制措施,而“风险管理策略选择”却是一种风险管理策略,这有着较为本质的区别,“控制措施”显得较为被动,“管理策略”是主动行为。在对8项要素的解释上,“深指引”和“沪指引”都只是解释了要素的涵义,没有对该要素所包含的具体内容进行说明。“基本规范”在虽然在形式上借鉴了COSO 报告5要素框架,但却在内容上体现了风险管理8要素框架的实质。把原COSO 报告5要素框架中的“控制环境”修正为“内部环境”,却包含了8要素中“目标设定和内部环境” 的内容,其中的“风险评估”实际上包含了“风险识别、风险评估及风险应对”的内容。此外,“基本规范”还对各要素所包含的具体内容给出了较为详细的说明。不管是具体内容,还是内部控制体系,“基本规范”都进行了本质的创新。因此,三方规范对建立和实施内控制度时应考虑的因素本质上并没有不同,只是规范的详细程度不同。
( 二 )上市公司内部控制经营活动 “沪指引”认为上市公司内部控制通常应涵盖的主要经营活动环节有:销售及收款、采购和付款、生产环节、研发环节固定资产管理、资金管理(包括投资融资管理)、担保环节、研发环节、关联交易人力资源管理和信息系统管理等,并依次对所有环节涉及的具体经济业务活动进行了简要说明。该指引没有直接对重要控制活动给出分析,但是却以“专项风险的内部控制” 对控股子公司管理控制的内容及金融衍生品交易的控制活动应遵循的要求进行了详细阐述。“深指引”在公司内部控制通常应涵盖的主要经营活动环节上与“沪指引”没有大的区别,只是“沪指引”考虑了生产环节、研发环节和担保环节,“深指引”考虑了存货管理、财务报告、信息披露环节。与“沪指引”不同,“深指引”并没有对各项经营活动环节的具体内容进行说明,而是以“重点关注的控制活动”的形式对控股子公司的管理控制、关联交易、对外担保、募集资金的使用、重大投资、信息披露等控制活动,从遵循的原则、所涉及的各项具体控制活动等方面进行了详细的规范说明。此外,“沪指引”和“深指引”对除涵盖经营活动各环节的控制外的贯穿于经营活动各环节之中的各项管理制度,所指内容相同,表述上却存在差异。《内部控制应用指引》把公司内部控制通常应涵盖的主要经营活动环节和重要控制活动没有严格区分,一并按照企业内部控制原则和“五要素”框架,通过《内部控制应用指引》第6号到第14号规范了企业涉及的9项具体业务活动实施的控制,即资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告。9项应用指引分别从各项业务活动的内涵、所要达到的目标、每项业务活动各环节的经济业务活动及相应的控制点,从事各项经济业务活动所面临的风险及应采取的应对措施等方面进行了详细的规范。实际上,企业重要控制活动应贯穿于企业主要经营活动环节中,两者有着本质的不同,但却不能将两者严格割裂开来。“沪指引”简要阐述了企业内部控制应涵盖的主要经营活动环节,但却没有指出其中所面临的风险及采取的应对策略;“深指引”除了提到企业内部控制应涵盖的主要经营活动环节外,更是从遵循的原则及应达到的目标量方面分别详细阐述了6项企业应重点关注的控制活动,但是却没有指出其内涵和各业务活动各环节的经济业务活动及相应的控制点,更没有指出该项经济活动所面临的风险及应采取的应对措施;而9项内部控制指引却弥补了前面两者的不足,更在其中处处体现了内部控制“五要素”框架的思想。
( 三 )内部控制自我评价规范控制手段 控制手段是企业在实施内部控制的过程中为实现控制目标所采取的各项方法和措施的总和。一般来讲,内部控制的控制手段或措施有两类:一类是针对某项单一的控制活动或控制点,保证其有效性而一贯应采取的控制手段,如:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等;另一类往往针对的是企业整体业务或管理活动的控制,可以采用的控制手段有全面预算、合同管理、内部信息传递和信息系统等。“基本规范”结合各项控制手段的要求和企业在该项控制措施下应采取的具体控制措施,对前类控制措施进行了详细说明;《企业内部控制应用指引》的第15号至18对第二类指引从控制措施的适用范围、条件、目的、实施过程中各环节面临的风险及应采取的应对措施进行了详细的规范。“沪指引”没有单独就此进行明确规范,只是在“专项风险的内部控制”部分,结合具体内容给出了具体的控制措施。“深指引”除了在“重点控制活动”部分结合具体内容给出了具体的控制措施外,还明确指出“……建立相应的授权、检查和逐级问责制度,确保其在授权范围内履行职能;设立完善的控制架构,并制定各层级之间的控制程序,保证董事会及高级管理人员下达的指令能够被严格执行。”
( 四 )内部控制自我评价规范风险管理 “沪指引”仅指在“专项风险的内部控制”部分就控股子公司、金融衍生品交易的风险管理作了较为详细的界定,其他风险的内部控制只是一笔带过。“深指引”从整体上笼统进行了说明,“公司应建立完整的风险评估体系,对经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续监控,及时发现、评估公司面临的各类风险,并采取必要的控制措施。”“基本规范”不仅从整体上针对企业所面临的内部和外部风险的识别、分析和规避等方面进行了提纲挈领的说明,更是把风险管理的思想嵌入到9项控制活动类应用指引的每项控制活动的每个控制点,更符合实际,体现了全面风险管理的理念。
( 五 )内部控制自我评价规范监督 检查监督作为内部控制要素之一,是企业自行检查内部控制运行情况的重要举措。但是,“沪指引”、“深指引”及“基本规范”却对检查监督的目的、主体、方法、频率等方面进行了不同的规范。检查监督的目的。“沪指引” 发现内控制度是否存在缺陷和实施中是否存在问题,并及时予以改进;“深指引” 发现内部控制缺陷和异常事项,评估其执行的效果和效率,并及时提出改进建议;“基本规范”下分为日常监督和专项监督,日常监督是对企业建立与实施内部控制的情况进行常规、持续的监督检查,专项监督是对企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。检查监督的主体。“沪指引”下公司应确定专门职能部门负责日常检查监督,配备专门的检查监督人员,并且公司董事会应对内部控制的检查监督工作提供指导及审阅内部控制检查监督工作报告;“深指引” 认为应设立专门负责监督检查的内部审计部门;“基本规范” 下内部审计机构或经授权的其他监督机构都可以。检查监督的方法。“沪指引”所认为的内部控制检查监督的方法实际上是包含了检查监督程序及方法的一整套规章制度。“深指引”没有涉及到检查监督的方法问题。“基本规范”也没有对监督检查的方法进行规范,但“企业内部控制评价指引”中明确指出,内部控制评价程序一般包括:制定评价方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节,具体在对被评价单位进行现场测试时,可以综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法。
四、内部控制信息披露研究比较研究
( 一 )不定期内部控制信息披露 “沪指引”规定,公司在内部控制检查监督中发现内部控制存在重大缺陷或存在重大风险时,应及时向董事会报告,董事会应及时向上海证券交易所报告,经交易所认定,董事会应及时对外发布公告,披露说明内部控制出现缺陷的环节、后果、相关责任追究以及拟采取的补救措施。“深指引” 要求:“公司内部审计部门如发现公司存在重大异常情况,可能或已经遭受重大损失时,应立即报告公司董事会并抄报监事会。公司董事会应提出切实可行的解决措施,必要时应及时报告本所并公告。”“基本指引”只在“信息与沟通”部分笼统地谈到,没有说明是否对外披露以及披露的内容或以何种方式进行披露或报告的问题。
( 二 )定期内部控制信息披露 定期内部控制信息披露一般与年度财务报告的披露相联系,且以内部控制评价报告的形式进行披露。在此基础上,“沪指引”要求披露会计师事务所对内部控制自我评估报告的核实评价意见;“深指引”规定:“注册会计师在对公司进行年度审计时,应就公司财务报告内部控制情况出具评价意见,公司应于每个会计年度结束后四个月内将内部控制自我评价报告和注册会计师评价意见报送本所,与公司年度报告同时对外披露。”而“基本规范”要求,企业的内部控制审计报告应与内部控制评价报告同时对外披露或报送,且企业内部控制审计报告也应当同时对外披露或报送。。虽然如此,但三方规范却对内部控制披露信息内容上存在一些不同,而且所披露内部控制评价报告的格式、内容及披露时间等有不同的规定。内部控制评价报告的格式。“沪指引”和“深指引”均没有对内部控制自我评价报告的格式进行规范。只有“企业内部控制评价指引”以参考格式的形式对此进行了规范,认为内部控制评价报告应包括以下要素:标题、管理当局声明、收件人、评价依据、披露内容、评价结论、报告人单位及签名、报告日期等。内部控制评价报告的内容。“沪指引”规定的内容包括:内部控制的制定和运行情况;检查监督工作情况;内控制度及其实施过程中出现的重大风险及其处理情况;对本年度内部控制检查监督工作计划完成情况的评价;完善内控制度的有关措施;下一年度内部控制有关工作计划。“深指引”下的内容为:内部控制的制定和运行情况,是否存在缺陷;本指引重点关注的控制活动的自查和评估情况;内部控制缺陷和异常事项的改进措施(如适用);上一年度的内部控制缺陷及异常事项的改善进展情况(如适用);公司董事会和监事会针对注册会计师在进行年度审计时对内部控制有效性表示异议涉及的事项做出专项说明(如适用)。《企业内部控制评价指引》下,应分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对内部控制评价过程、缺陷认定、整改情况、有效性结论等相关内容作出披露。此外,如果内部控制评价报告基准日至内部控制评价报告发出日之间发生了影响内部控制有效性的因素,内部控制评价部门应根据其性质和影响程度对评价结论进行相应调整。显然,三者在内部控制自我评价的内容上存在相同点,但也有所不同。内部控制评价报告对外报出的时间。“沪指引”没有对内部控制评价报告的对外报出时间作出明确规定。“深指引”规定,应于每个会计年度结束后四个月内将内部控制自我评价报告报送本所,并对外披露。《企业内部控制评价指引》规定,以12月31日作为基准日,年度内部控制评价报告应于基准日后4个月内报出,这与“深指引”的规定本质上相同的。从上面的分析比较中,我们不难看出,《企业内部控制基本规范》及其配套指引无论是制度要求的口径和范围,还是具体要素和业务活动的内容及相互关系,较《上交所上市公司内部控制指引》、《深交所上市公司内部控制指引》都有了较大的改进。但是,上述规范都是基于现时条件下对内部控制执行有效性作出的评价,也没有对内部控制评价应采用何种方法作出系统规范的说明,而且,除了本文比较分析的规范外,因内部控制体系涉及内容广,如《内部会计控制规范――基本规范》(试行)、《关于加强上市公司治理专项活动有关事项的通知》、《深圳证券交易所主板上市公司规范运作指引》及《关于做好上市公司××年年度报告披露工作的通知》等也涉及到了对内部控制体系中某一方面内容的规范,容易形成评价和监管的多种标准。这些法规的执行范围相互交叉, 法规的内容相互联系但又不完全相同, 同一个公司可能同时适用不只一个内部控制规范。在对公司内部控制进行评价时缺乏统一的评价依据,不仅会影响企业内部控制的设计,也会影响运行效果和效率,自然其评价结论也会不具有比较性,这会影响外部投资者的决策,造成不同的经济后果。这样的现实,不仅降低了法规的实务操作性,也势必会转换为执行过程中的阻力。
*本文系湖北省科技厅项目“湖北省高新技术企业利用资本市场研究”(项目编号:2010DEA015-1)的阶段性成果
参考文献:
[1]上海证券交易所:《上海证券交易所上市公司内部控制指引》(2006年)。
[2]深圳证券交易所:《深圳证券交易所上市公司内部控制指引》(2007年)。
[3]财政部、证监会、审计署、、银监会、保监会:《企业内部控制基本规范》(2008年)。
[4]财政部、证监会、审计署、、银监会、保监会:《企业内部控制评价指引(2010年)。
[5]财政部、证监会、审计署、、银监会、保监会:《企业内部控制应用指引》(2010年)。
[6]财政部、证监会、审计署、、银监会、保监会:《企业内部控制审计指引》(2010年)。
[7]财政部:《解读》(2010年)。
( 编辑 聂慧丽 )