时间:2020-03-11 作者:原国英 张玉缺 张传财 (作者单位:东北财经大学中国内部控制研究中心 厦门大学嘉庚学院 东北财经大学会计学院)
[大]
[中]
[小]
摘要:
2008年,财政部等五部委共同制定了《企业内部控制基本规范》(简称《基本规范》),并率先在上市公司范围内施行,同时鼓励非上市的大中型企业执行。两年时间过去了,中央企业是否按照《基本规范》的要求,采取实质性措施健全完善了内部控制体系?现有的内部控制制度是否得到了有效运行?中央企业是否进行了有效的内控监督以发现内部控制缺陷并提出相应的改进计划?本文拟参照《基本规范》中有效内部控制的五要素,同时结合《深圳证券交易所上市公司内部控制指引》(简称《深指引》)、《上海证券交易所上市公司内部控制指引》(简称《沪指引》)对于内部控制的相关描述,以沪市、深市主板以及中小板中所有中央企业控股的上市公司(简称央企控股上市公司)的内部控制评价报告为样本,对其2009年的内部控制自我评价报告进行统计,分析央企控股上市公司内部控制的现状及存在的问题,并提出有针对性的建议。
一、央企控股上市公司内部控制自我评价报告披露情况
《基本规范》指出上市公司应在披露年报的同时提供内部控制自我评价报告,并聘请中介机构对内部控制进行鉴证,《深指引》、《沪指引》也提出了类似的要求。由于本文旨在通过内部控制自我评价报告发现央企...
2008年,财政部等五部委共同制定了《企业内部控制基本规范》(简称《基本规范》),并率先在上市公司范围内施行,同时鼓励非上市的大中型企业执行。两年时间过去了,中央企业是否按照《基本规范》的要求,采取实质性措施健全完善了内部控制体系?现有的内部控制制度是否得到了有效运行?中央企业是否进行了有效的内控监督以发现内部控制缺陷并提出相应的改进计划?本文拟参照《基本规范》中有效内部控制的五要素,同时结合《深圳证券交易所上市公司内部控制指引》(简称《深指引》)、《上海证券交易所上市公司内部控制指引》(简称《沪指引》)对于内部控制的相关描述,以沪市、深市主板以及中小板中所有中央企业控股的上市公司(简称央企控股上市公司)的内部控制评价报告为样本,对其2009年的内部控制自我评价报告进行统计,分析央企控股上市公司内部控制的现状及存在的问题,并提出有针对性的建议。
一、央企控股上市公司内部控制自我评价报告披露情况
《基本规范》指出上市公司应在披露年报的同时提供内部控制自我评价报告,并聘请中介机构对内部控制进行鉴证,《深指引》、《沪指引》也提出了类似的要求。由于本文旨在通过内部控制自我评价报告发现央企控股上市公司内控现存的问题,因此剔除掉了仅在年报中“公司治理结构”部分披露内部控制状况的公司。经统计,2009年披露内部控制自我评价报告的央企控股上市公司共有198家,其中有197家认为其结合自身实际特点和情况制定了能够合理保证公司资产安全、经营效率、信息可靠、合法合规及战略目标的健全或较健全的内控制度,占总数的99.5%;另有一家ST公司认为其内控制度距离《基本规范》的要求还很远,并在报告中披露正在努力建立健全内控制度。但仔细研究这些内部控制评价报告后可以发现,央企控股上市公司的内控制度运行状况并不乐观,仅有7.6%的公司能够在信息沟通畅通的良好内部环境里开展控制活动、风险识别与评估,并对报告期内的内控活动进行有效的内部监督,而绝大多数公司的内控制度并没有得到有效执行,这与自我评价意见形成了鲜明的对比,自我评价的真实性以及高管对内控的态度值得怀疑。
另外,央企控股上市公司中有69家未披露内部控制自我评价报告,并且都是来自于沪市,其主要原因是《沪指引》鼓励有条件的上市公司披露内部控制自我评价报告,而不是强制要求披露。可喜的是,大部分公司在报告期内开展了建立和完善内部控制的工作,如建立、修订和完善各项内控制度,开展自查、监督活动,加强对公司董事、监事及高管人员相关证券法规的培训和宣传,明确其维护上市公司资金安全和内控有效的法定义务与责任意识等。此外,一些公司还加强了对内部控制、全面风险管理、信息系统建设、内部审计等相关部门人员的培训工作,更好地完善了公司的内部控制建设,并且这些努力取得了一定成效。
二、央企控股上市公司内部控制存在的问题
1.内控责任不明确。内部环境的组成部分一般包括治理机构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。为了更具代表性地反映该要素在实际中的情况,本文只统计了内控责任情况。结果发现只有18.69%的央企控股上市公司能够对内部控制的责任进行明确划分,而81.31%的央企控股上市公司不能认识到高管对于内部控制的责任,有些公司将内控建立、完善、监督责任全部赋予董事会,从而缺乏制衡机制,有些公司虽能认识到董事会负责内部控制的建立健全和有效实施、经理层负责组织领导公司内部控制的日常运行,但却没有赋予监事会监督责任,更有甚者只提到“建立健全内部控制并保证其有效性是公司管理层的责任”,未提到董事会和监事会。责任不明的后果是,即便是建立了完善的内控制度,也不能在运营中得到有效执行,而失去制衡的监督将会使内部控制自我评价脱离实际。
2.企业风险意识不强。公司应当结合自身的发展情况和持续变化的经营环境,及时识别、评估与内控目标相关的内外部风险。但在报告期内47.98%的央企控股上市公司没有进行风险识别和评估活动,即便是开展了风险评估活动,其工作也不够细致,覆盖面不够全。这表明还有相当一部分公司的管理层没有认识到风险评估对于实现内控目标的重要性,难以接受和适应在市场经济环境下建立起来的以风险管理为导向的内部控制机制(张秀云,2009)。
3.企业控制活动不全面。控制活动应覆盖各个层面和部门,对于易发生控制失效的关键领域和部门应重点控制。统计发现,74.24%的央企控股上市公司的内部控制活动范围涵盖了销售及收款、采购及付款、固定资产管理、货币资金管理、信息披露等基本领域,68.69%的央企控股上市公司对重点风险进行了控制,而未能进行恰当重点控制的公司主要表现为未能建立相应的内控制度,或即使存在控制活动但却起不到应有的作用。
4.企业内部监督缺失。内部监督活动应由专门的独立部门负责,对于发现的内部控制缺陷应提出相关的改进建议或由负责实施内部控制的部门提出改进计划。统计发现,央企控股上市公司的该项活动大多流于形式,尽管有67.17%的公司在报告期内开展了内部监督活动,但能够实事求是地披露现存内部控制实质性缺陷的公司只有25.25%,另有50%的公司提出了改进计划。这说明央企控股上市公司已认识到了全面、规范、有效的内部控制能够为公司实现经营战略目标起到保驾护航的作用,但同时也说明这些公司普遍存在内部控制漏洞,只是表现形式不同,而能够客观承认并将其对外披露的则是少之又少。
5.会计师事务所出具鉴证意见不理想。内部控制自我评价和审计师对内控的鉴证能够释放企业内部控制有效的信息(杨有红等,2009)。央企控股上市公司的内部控制自我评价报告经注册会计师评价的情况差强人意,能够聘请会计师事务所对内部控制有效性出具鉴证意见或对内部控制有效性进行专项说明的公司仅有51.01%。结合央企控股上市公司内部控制自我评价的意见类型对其再进行分类,可以发现已建立完善、健全、有效的内部控制并经注册会计师鉴定的公司只有26.26%。这反映出央企控股上市公司对内部控制的认识还不够深入,内控制度并没有真正地嵌入公司的运营过程中,而评价体系也不够健全,以致无法发现真正的问题。
三、提高央企控股上市公司内部控制有效性的政策建议
尽管我国已颁布了一系列关于内部控制的政策法规,旨在规范、完善上市公司的内部控制机制,但从统计分析结果看,央企控股上市公司的内部控制执行状况远没有达到预期目标。笔者认为,央企控股上市公司应从以下几方面提高内部控制的有效性。
1.建立内部控制评价信息的应用机制。央企控股上市公司应意识到建立内部控制体系并进行内部控制评价并不是为了应付审计,而是为公司管理服务,所以公司应该关注如何将内部控制评价信息运用到内部控制系统完善、服务公司日常运营之中。此处的内部控制评价信息既包括公司自我评价过程中制作的工作底稿、自我评价报告,也包括外部审计出具的鉴证报告等,即公司可以得到的所有与其内部控制有关的信息。公司应建立一套有效的内部控制评价信息应用机制,包括内部控制评价信息运用的基本原则、相关部门的职责权限、评价结果的运用方式和运用反馈方式等。基层部门应按照相关内部控制评价信息完善本部门的相关内部控制系统要素,上级部门应定期组织检查通报,保证评价信息的运用落到实处。通过充分利用内部控制评价信息,一方面可以及时发现公司日常经营中存在的重大风险事项及管理控制隐患,及时加以改进,避免损失的发生,另一方面推广公司成功的内部控制经验及措施,可以促进其他部门内部控制的完善,并为企业管理决策提供有价值的信息,只有这样才能调动相关责任主体的积极性。
2.明确内部控制各相关方的法律责任,加大处罚力度。公司应结合自身业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。一般而言,董事会负责内部控制的建立健全和有效实施,监事会对董事会建立与实施内部控制进行监督,经理层负责组织领导公司内部控制的日常运行。央企控股上市公司可借鉴美国萨班斯法案的规定,内部控制自我评价报告的出具由董事长、总经理、财务经理签字或盖章后方可披露,使其负有保证报告质量的责任;同时监事会和独立董事也要对年度自我评价报告进行核实评价并签字或盖章,以促使监事会和独立董事认真履行其监督职责。
3.有效整合内部控制评价和风险管理,建立内部控制信息系统。央企控股上市公司应该考虑通过加强审计委员会与风险管理委员会的配合,强化内部控制评价和风险管理的结合,运用风险管理技术促进内部控制评价的科学性和有效性。同时,随着互联网技术的发展,与信息安全相关的防火墙的检测、安全诊断、信息技术认证以及ERP相关的审计技术不断涌现,央企控股上市公司可以将内部控制与信息系统相结合,建立适合公司实际情况的内部控制信息系统,有效地提高公司内部控制的质量与效率,为公司提供更多的增值服务。
4.规范内部控制自我评价的结论。现阶段内部控制自我评价结论的表述并不统一,造成报告使用者对公司内部控制健全程度的理解产生偏差。因此,相关部门应对内部控制自我评价的结论进行规范,统一表述。笔者认为,结论可分为健全、较健全和不健全三个档次,也可以进一步细分,并对每一档次科学设定评价标准。比如,完全符合内部控制自我评价报告要求,包含了所有项目且结合公司实际实施情况进行分析说明的定为健全;基本符合内部控制自我评价报告要求,包含了大部分项目且结合公司实际实施情况进行分析说明的定为较健全;符合内部控制自我评价报告要求,但只是照搬规则,没有实际内容的定为不健全等。(本文系辽宁省社会科学规划基金项目L09DJY062的阶段性成果)。■
责任编辑 陈利花
相关推荐