时间:2020-03-19 作者:财政部会计司 证监会会计部
[大]
[中]
[小]
摘要:
2010年4月26日,财政部、证监会、审计署、银监会和保监会联合发布《企业内部控制配套指引》(下称《配套指引》),标志着融合国际先进经验、结合中国实际的企业内控规范体系基本建成。为确保企业内控规范体系顺利推进实施,财政部等五部委确定,企业内控规范体系自2011年1月1日起首先在境内外同时上市的公司施行。
按照要求,境内外同时上市公司在2011年会计年度结束后,应随年度报告一同披露企业内部控制评价报告以及内部控制审计报告。财政部、证监会作为推动上市公司实施企业内控规范体系的主管部门,一年多来采取多种措施推动内控实施,也密切关注、跟踪企业内控规范体系在不同公司的实际建立实施情况及其过程中反映的突出性问题。
为全面、深入了解境内外同时上市公司2011年实施企业内控规范体系的情况,总结经验、发现问题、查找不足,更好地推动企业内控规范体系在更大范围内实施,财政部会计司会同证监会会计部联合开展了对我国境内外同时上市公司2011年执行企业内控规范体系情况的分析工作,以期为我国上交所、深交所主板上市公司及其他类别企业实施企业内控规范体系提供借鉴。
一、基本情况
(一)样本选择与数据来源
本报告所指...
2010年4月26日,财政部、证监会、审计署、银监会和保监会联合发布《企业内部控制配套指引》(下称《配套指引》),标志着融合国际先进经验、结合中国实际的企业内控规范体系基本建成。为确保企业内控规范体系顺利推进实施,财政部等五部委确定,企业内控规范体系自2011年1月1日起首先在境内外同时上市的公司施行。
按照要求,境内外同时上市公司在2011年会计年度结束后,应随年度报告一同披露企业内部控制评价报告以及内部控制审计报告。财政部、证监会作为推动上市公司实施企业内控规范体系的主管部门,一年多来采取多种措施推动内控实施,也密切关注、跟踪企业内控规范体系在不同公司的实际建立实施情况及其过程中反映的突出性问题。
为全面、深入了解境内外同时上市公司2011年实施企业内控规范体系的情况,总结经验、发现问题、查找不足,更好地推动企业内控规范体系在更大范围内实施,财政部会计司会同证监会会计部联合开展了对我国境内外同时上市公司2011年执行企业内控规范体系情况的分析工作,以期为我国上交所、深交所主板上市公司及其他类别企业实施企业内控规范体系提供借鉴。
一、基本情况
(一)样本选择与数据来源
本报告所指境内外同时上市公司,是指既在我国境内资本市场上市,又在其他国家或地区证券市场上市的企业。境内外同时上市并非要求同步上市。按此标准,截至2010年12月31日,我国境内外同时上市的公司为67家。本文所用67家公司披露的内控评价报告、内部控制审计报告以及相关数据来自深交所、上交所网站以及WIND数据库和CSMAR数据库,并经手工整理。
(二)境内外同时上市公司特征分析
1.行业分布
境内外同时上市公司主要分布在制造业、交通运输业、金融保险业和采掘业,所占比例分别为40.3%、17.9%、16.4%、10.4%。制造业所占比例最大,其二级分类中,机械设备子行业所占比例最大,占所有境内外同时上市公司的19.4%;其次是金属非金属行业,占比10.4%。电力、建筑、信息技术所占比例均较小,分别为4.5%、4.5%、3.0%。房地产业和社会服务业都只有1家公司,分别是北辰实业和创业环保两家公司。由此可见,境内外同时上市公司主要集中在机械设备、交通运输、金融保险、采掘业和金属非金属业等关系国计民生的行业。
2.企业规模
67家公司2011年主营业务总收入为人民币121327亿元,约为我国2011年国内生产总值471564亿元的四分之一,可见67家公司在我国国民经济中的重要地位。
67家公司2011年主营业务收入全部超过人民币1亿元,为准确衡量67家公司的规模,按照2011年主营业务收入进行分类,主营业务收入少于10亿元的大中型企业共有3家,占比4.5%;10亿元至100亿元的大型企业共14家,占比20.9%;100亿元以上的特大型企业共50家,占比74.6%。
3.在其他交易所上市的情况
根据67家公司年报中披露的“公司基本情况”中有关公司上市信息或者股票简况等相关内容,67家公司中,除中新药业(600329)外,其他66家公司均在内地A股市场和香港H股市场上市。中新药业在境内A股市场和新加坡证券交易所市场上市,也有一些公司除在内地和香港上市外,还在美国和英国等证券市场上市。华能国际(600011)、中国石化(600028)等9家上市公司同时在纽约证券交易所上市;宁沪高速(600377)、中海油服(601808)等则在两地上市三地交易,即在香港和境内上市,同时也以一级美国存托凭证(ADR)进入美国市场进行交易;大唐发电(601991)H股股票同时在香港和伦敦上市,中国国航(601111)在香港和伦敦同时上市;中国石化则在境内、香港、伦敦以及纽约四地上市。
(三)境内外同时上市公司2011年年度财务报告、内控评价报告及内控审计报告的基本情况
1.2011年年度财务报告、内控评价报告以及内控审计报告情况
截至2012年4月30日,67家公司全部披露了2011年年度财务报告、内控评价报告以及内控审计报告。
67份年度财务报告中,被注册会计师出具标准无保留意见审计报告的有65份;被出具带强调事项段的无保留意见审计报告的有1份,为中国中冶(601618);被出具保留意见审计报告的有1份,为ST科龙(000921)。
67份内控评价报告中,66家公司对本公司的内控做出有效的结论;1家公司对本公司的内控做出无效的结论,即新华制药(000756)。新华制药在评价中发现报告期内存在一项重大缺陷,即子公司山东新华医药贸易有限公司对客户授信额度过大导致较大经济损失。因此,新华制药披露其在报告期内,公司未能按照《企业内部控制基本规范》(下称《基本规范》)和相关规定在所有重大方面保持有效的财务报告内部控制,即内控无效。
67份内控审计报告中,66家公司被出具标准无保留意见;新华制药被出具否定意见,其审计师在出具的内部控制审计报告中披露了新华制药内部控制存在的重大缺陷。
2.年报审计事务所、内控审计事务所情况分析
为67家公司提供年度财务报告审计的事务所共10家,其中“四大”会计师事务所(普华永道会计师事务所有限公司、德勤华永会计师事务所有限公司、安永华明会计师事务所、毕马威华振会计师事务所)审计的上市公司为48家,占全部67家公司的71.6%;国内其他会计师事务所审计的上市公司为19家,占全部67家公司的28.4%。
为67家公司提供内控审计的会计师事务所共12家,其中“四大”审计的上市公司为46家,占全部67家公司的68.7%;国内其他事务所审计的上市公司为21家,占全部67家公司的31.3%。
67家公司年度财务报告和内部控制经同一家会计师事务所审计的有64家,占全部67家公司的95.5%,只有潍柴动力(000338)、ST北人(600860)、中国铁建(601186)3家公司分别聘请不同的会计师事务所为公司提供年度财务报告审计服务和内控审计服务。
二、研究分析
(一)内部控制评价报告分析
67家公司所披露的67份内控评价报告在格式、内容等方面均存在较大差异,本报告将从以下12个方面进一步分析。
1.内部控制评价报告名称
财政部于2012年2月印发了《企业内部控制规范体系实施中相关问题解释第1号》(下称《内控实施解释1》),制定了企业内部控制评价报告的参考格式,其中对内控评价报告的名称表述为“XX公司20XX年度内部控制评价报告”。67家公司披露的内部控制评价报告从名称上来说,主要分为两类:一类名称如“XX公司2011年度内部控制评价报告”,这类报告有54份,占80.6%;另一类名称如“XX公司2011年度内部控制自我评价报告”,这类报告有13份,占19.4%。
2.内部控制责任主体认定
根据《基本规范》、《内控实施解释1》等文件的规定,建立健全并有效实施内部控制是公司董事会的责任;监事会对董事会建立与实施内部控制进行监督;经理层负责组织领导公司内部控制的日常运行。从公司内部控制责任主体认定和划分上来看,绝大部分公司对于内部控制责任主体的认定很清晰,仅有少数公司未在内控评价报告中披露相关信息。
3.内部控制目标
67家公司在内控评价报告中全部披露了公司内部控制的目标,从披露的具体内容看,可以分为以下两类:
(1)以财政部等五部委在《基本规范》中确定的内部控制五目标为公司内部控制目标的有43家。其中17家公司对内部控制目标的表述与《基本规范》相同,即合理保证企业经营管理合法合规、维护资产安全、保证财务报告及相关信息真实完整、提高经营效率效果、促进企业实现发展战略;有9家公司对内部控制五目标作了进一步阐述,如南京熊猫(600775)在五目标的基础上增加了“股东利益最优化”、中国铁建(601186)在五目标的基础上增加了“培育和提升全员内部控制与风险管理意识,形成良好的内部控制与风险管理文化”、中国铝业(601600)则在五目标的基础上增加了“建立和符合现代企业管理要求的公司法人治理结构”等。
(2)以财务报告相关内部控制目标作为公司内部控制目标的有24家公司。24家公司确定的财务报告相关内部控制的目标差别很小,大多表述如“保证财务报告信息真实完整和可靠、防范重大风险”,也没有提及经营的合法合规性、资产的安全等目标。
4.内部控制评价的依据
2011年是境内外同时上市公司首次执行企业内控规范体系,开展内控评价工作对一些企业来说还比较陌生。财政部等五部委于2010年发布的《配套指引》为上市公司开展内控评价工作提供了重要指导。67家公司在其内部控制评价报告中以不同的形式披露了内部控制评价的依据,包括所依据的内部规章以及外部法律法规等。由于不同公司在内控评价工作中依据的公司内部控制评价手册等内部规章有所不同,因此本部分“内部控制评价的依据”是指公司开展内控评价工作所依据的外部法律法规等文件。
67家公司内控自评报告中,遵循的评价依据可以划分为三个方面:有关法律法规规定、规范性文件和交易所监管规则和其他自律性规定。其中,法律法规包括《公司法》、《证券法》、美国《萨班斯法案》等;规范性文件包括财政部等五部委《基本规范》、《配套指引》、证监会《上市公司治理准则》、保监会《保险公司内部控制基本准则》、银监会《商业银行内部控制指引》;交易所监管规则和其他自律性规定包括深交所《上市公司内部控制指引》、上交所《上市公司内部控制指引》、香港联交所《上市规则》、香港会计师公会《内部监控与风险管理的基本架构》等。
67家公司全部披露《基本规范》是内部控制评价的依据,其中61家公司披露其内部控制评价工作的依据是《基本规范》及其配套指引。这61家公司中,包括具体的以评价指引或应用指引为依据的公司。
67家公司中,有14家上市公司(不包括没有详细列举所依据的其他法律法规和规章制度名称的公司)在内控评价报告中披露的内控评价工作依据不仅包括《基本规范》及其配套指引,还包括其他法律法规或者规范性文件,占67家公司的20.9%。这14家公司中,有7家公司评价依据还包括上交所发布的《上市公司内部控制指引》;有2家公司评价依据还包括《商业银行内部控制指引》、《公司法》、《证券法》、《萨班斯法案》;有1家公司评价依据还包括深交所发布的《上市公司内部控制指引》。此外,14家公司披露的评价依据还包括证监会《上市公司信息披露管理办法》、香港联交所《企业管治常规守则》、上交所《上市公司2011年年度报告工作备忘录第一号内控报告的编制、审议和披露》、证监会《关于做好上市公司内部控制规范试点有关工作的通知》、香港会计师公会《内部监控与风险管理的基本架构》、《香港联合交易所有限公司证券上市规则》、《关于做好北京辖区上市公司内控规范实施工作的通知》等。
5.具体负责组织实施内控评价工作的部门
董事会负责建立健全并有效实施内部控制,在董事会及其下属专业委员会的授权下,由具体的部门或者组织负责内部控制评价的具体实施工作。具体来说,在内部控制评价工作的开展中,可以将具体负责组织实施内控评价工作的部门、牵头部门进行如下划分:
(1)完全由审计部门作为负责部门开展内控评价工作的公司有26家,占比39%;
(2)以审计部门作为主要负责部门,联合其他业务部门开展内控评价工作的公司共有14家,占比21%;
(3)完全由内控或风险部门负责内控评价工作的公司有5家,占比7%;
(4)由内控评价工作小组开展评价工作的公司有4家,占比6%;
(5)由多个业务部门联合开展内控评价工作的公司有11家,占比16%;
(6)完全由稽核部开展内控评价工作的公司有1家,占比2%;
(7)未披露开展内控评价部门的公司有6家,占比9%。
虽然67家公司负责组织实施内控评价工作的部门存在较大的差异,但是内控评价工作开展的组织形式相似度较高。由于评价工作涉及的工作面较广、业务或者事项较多,需要多部门配合,上市公司大多在具体负责部门的组织下,按照《基本规范》及《企业内部控制评价指引》的要求,由来自其他部门的业务骨干组成内控评价工作小组,开展内部控制评价工作。
6.聘请外部咨询机构协助公司开展内控建设、内控评价情况
内控评价是一项较为专业性、复杂性的工作,涉及的范围广、事项多,开展内控评价工作的公司可以根据自身的需要,选择具有一定资质的中介咨询机构协助公司开展评价工作。
67家公司中,有25家公司在内控评价报告中披露聘请外部咨询机构协助公司开展内控评价、内控建设咨询,占比37%;有9家公司在内控评价报告中披露未聘请外部咨询机构参与内控评价,占比14%;有33家公司在内控评价报告中并未披露公司是否聘请外部咨询机构,占比49%。
67家公司中,披露聘请外部咨询机构协助开展内控建设、内控评价等的共有25家,除1家公司同时聘请两家咨询机构为公司提供内控评估工作技术支持,其他24家公司均只聘请1家公司协助开展内控建设工作或者内控评价工作。其中有11家公司聘请的咨询机构为中外合作、外资咨询机构,有12家公司聘请的咨询机构为内资咨询机构,有3家公司并未披露咨询机构具体名称。
7.内部控制五要素披露情况
企业开展内控建设应该以内部控制五要素——内部环境、风险评估、控制活动、信息与沟通、内部监督为核心。67家公司披露的内控评价报告中,对内控五要素的披露方式、内容等均有些差别。
(1)控制环境。控制环境是企业实施内部控制的基础,《企业内部控制应用指引》中控制环境类指引包括组织架构、发展战略、人力资源、社会责任和企业文化等指引。从67家公司披露的情况来看,组织架构、发展战略、人力资源、社会责任和企业文化是企业开展内控环境建设的核心。其中,披露组织架构的企业共44家,占比65.7%;披露发展战略的企业共39家,占比58.2%;披露人力资源的企业共49家,占比73.1%;披露社会责任的企业共40家,占比59.7%;披露企业文化的企业共42家,占比62.7%。
(2)控制活动。67家公司内控自评报告存在差异最大的是控制活动要素的披露内容。《配套指引》中以下9项内容涉及控制活动要素:资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包和财务报告。其中,披露资金活动的企业共48家,占比71.6%;披露采购业务的企业共44家,占比65.7%;披露资产管理的企业共46家,占比68.7%;披露销售业务的企业共43家,占比64.2%;披露研究与开发的企业共38家,占比56.7%;披露工程项目的企业共39家,占比58.2%;披露担保业务的企业共32家,占比47.8%;披露业务外包的企业共29家,占比43.3%;披露财务报告的企业共48家,占比71.6%。
根据企业实际披露情况,本报告增加了非金融类企业7项内容、银行业12项内容和保险业1项内容,并根据以上内容进行了进一步统计。非金融类企业中,有些控制活动如对外投资、关联交易、生产与成本管理等被多次披露,这些控制活动通常是对一些行业或某一规模的企业非常重要的内容,其他活动如反舞弊、安全管理、质量管理等披露较少。银行业根据服务种类和面临风险方面的特点,通常会将最重要的风险领域作为内控的重点,如信贷业务控制、零售业务控制或资金业务控制。保险业由于行业特殊,在内控自评报告中,将精算管理作为内控的重要控制活动。
(3)信息与沟通。67份报告中,披露信息与沟通情况的企业共29家,占总数量的43.3%。如中联重科(000157)从信息传递、信息系统控制、反舞弊程序三个方面披露信息与沟通工作;南京熊猫(600775)则从内部信息沟通和外部信息沟通两方面披露信息与沟通工作;部分公司则是简单描述,如“公司建立了较为完备的信息与沟通体系,内部控制相关信息的收集、处理和传递程序规范、运行顺畅,沟通及时有效,促进了内部控制的有效运行”。
(4)风险评估。风险的识别与评估是内控自评工作中的一个重要环节,在67份报告中,披露风险评估情况的企业共33家,占总数量的49.3%。从披露的情况来看,在风险识别中,战略风险、财务风险、市场风险、运营风险、合规风险及舞弊风险是大多数企业特别关注的风险类型;银行业则主要按业务类型对风险进行划分,如招商银行(600036)将风险划分为信用风险、流动性和市场风险、操作风险和声誉风险、合规风险、关联交易风险等。
(5)内部监督。在67份报告中,披露内部监督情况的企业共34家,占总数量的50.7%。从披露的内部监督的情况来看,诸多企业已经形成了以监事会、董事会及其下属审计委员会、审计部门为主的三级内控监督体系。《基本规范》要求有条件的企业设置专门的内控机构,但是从67家公司披露的情况来看,很少有企业在评价报告中披露设置专门的内控机构。当前主要的监督职责基本上都由内部审计监督完成,即审计部门接受董事会或其下属审计委员会委托,对日常生产经营活动实施审计检查。
8.内控自评采用的测试方法
67份内控自评报告中,披露内控测试方法的企业共56家,所采用的方法主要是以下六种基本方法:个别访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样。此外,少数企业用到制度审阅法、信息系统取证法等方法,但数量很少。
9.内控缺陷认定标准披露情况
内部控制缺陷认定标准的确立是内控评价中的基础性和关键性问题,对于确定内控缺陷,进而对内控缺陷进行整改都有着非常重要的影响。《基本规范》和《企业内部控制评价指引》要求上市公司根据自身情况和关注的重点,确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。
67家公司中,13家上市公司未披露公司是否制定内控缺陷认定标准,54家公司以不同形式、不同程度披露了公司存在内控缺陷认定标准。在这54家公司中,有22家公司披露其制定了内控缺陷认定标准,但是没有详细描述内控缺陷认定标准的具体情况;有32家公司详细描述了公司内控缺陷认定标准,其中有27家公司披露了定量与定性相结合的内控缺陷认定标准,有3家公司披露了定性认定标准,有2家公司披露了定量认定标准。
企业披露的内控缺陷认定标准中,以披露重大内控缺陷认定标准为主。多数公司对重大内控缺陷的认定标准分为定量标准和定性标准两个方面。重大内控缺陷认定的定量标准一般是以某一财务报表指标作为计算基础,以该指标的一定比例作为衡量重要与否的标准,如:营业收入潜在错报≥营业收入总额的0.5%、利润总额潜在错报≥利润总额的5%、所有者权益潜在错报≥所有者权益总额的0.5%等。
重大内控缺陷的定性标准差异较大,除“董事、监事和高级管理人员舞弊;注册会计师发现当期财务报告存在重大错报而内部控制在运行过程中未能发现该错报;审计委员会和内部审计机构对内部控制的监督无效”这几项在《企业内部控制审计指引》(下称《审计指引》)中提及的可能存在重大缺陷的迹象外,还包括如:重要业务缺乏制度控制或制度系统性失效;重要职权和岗位分工中没有体现不相容职务相分离的要求;企业战略、投资、募集资金等重大决策、重大事项、重大人事任免及大额资金的管理程度不科学并造成严重损失;以前年度评价过程中曾经有过舞弊或错误导致重大错报的经历,公司没有在合理的时间内改正所发现的重大缺陷和重要缺陷;不采取任何行动导致潜在错报或造成经济损失、经营目标无法实现的可能性不大;不采取任何行动导致潜在错报或造成经济损失、经营目标无法实现的可能性极大;对存在的问题不采取任何行动有较大的可能导致严重的偏离控制目标的行为;会计人员不具备应有素质以完成财务报表编制工作;控制环境无效等。
尤其值得关注的是,只有东方航空(600115)在制定内控缺陷认定标准的同时,制定了公司整体内控有效性判断标准,明确了缺陷类型及数量与内部控制有效性结论的关系,具体如下:
(1)是否存在重大内控缺陷,如“是”则整体内控无效,“否”则整体内控有效;
(2)是否存在3个以上重要缺陷,如“是”则整体内控无效,“否”则整体内控有效。
10.具体内控缺陷披露情况
内部控制缺陷披露是公司内部控制评价报告非常重要的组成部分,通过披露公司在自我评价过程发现的内部控制缺陷,尤其是内部控制重大缺陷和内部控制重要缺陷,一方面可以使投资者对公司的内部控制整体状况及公司运行状况有比较好的把握,另一方面能够督促公司对存在的缺陷进行整改,进而促进公司内控体系的不断优化,为促进企业的健康发展提供基础。
67家公司中,披露公司在报告期内存在内部控制缺陷的有49家,未报告公司存在内控缺陷的有18家。49家披露存在内控缺陷的公司,主要包括以下4种情形:披露公司内控缺陷的个数与内控缺陷内容(6家);仅披露公司内控缺陷的个数(9家);仅披露公司内控缺陷内容(9家);既不披露内控缺陷个数,也不披露公司内控缺陷内容,仅提及公司存在内控缺陷(一般缺陷或重要缺陷)(25家)。
披露公司存在缺陷的49家公司中,仅有1家公司披露其存在1个重大缺陷;2家公司分别披露其存在7个重要缺陷和1个重要缺陷;其余公司均仅披露存在一般缺陷,且缺陷的个数差异较大,个别公司披露多达1000余个,少则只有1个。
通过对49家公司披露的内控缺陷进行分析,可以发现目前披露的内控缺陷主要包括以下几种类型:
(1)设计缺陷和运行(执行)缺陷。如设计缺陷(主要是制度建设方面的问题)和执行缺陷(主要指不按制度流程操作的问题),个别公司的机构设置存在重复、交叉或缺失的情况,有待进一步明确职能定位,划清岗位职责权限;个别子、分公司合同执行情况检查力度不够,合同台账摘要登记不明细。
(2)公司层面缺陷和业务控制层面缺陷。如某公司将缺陷划分为公司层面和业务层面,公司层面存在的问题包括:企业业务层面内部控制的自我评价没有形成完整的工作底稿,只有最终的问题汇总表,未严格按照《企业内部控制评价指引》要求开展内部控制评价工作;业务层面存在的问题如收入确认存在截止性差异问题等。
(3)信息系统控制(IT)方面的缺陷。如信息系统中应收应付模型有待改进、相应的控制工具(如计算机系统)需要进一步完备、系统用户及权限管理工作有待进一步完善等。
(4)按公司的经济活动、业务事项进行划分的缺陷。如某银行披露其负债业务方面,需进一步夯实客户基础,努力拓宽存款吸纳渠道,稳定均衡增长,降低存贷比;信贷业务方面,应进一步增强信贷业务客户群风险的识别和控制能力,加强对贷款实际用途的识别和监控,增强银行资金与民间融资的隔离控制,加强贴现票据验票工作;个人金融和中间业务方面,需进一步加强理财产品销售管理工作,完善特色业务和新业务的管理细则,优化代理业务管理流程等。
(5)与财务报告相关的缺陷和与非财务报告相关的内控缺陷。如财务报告内部控制缺陷中会计基础工作方面,表现为存货盘查时个别月份没有签名记录、个别内部固定资产转移台账变更记录的及时性以及员工离职软件系统及时与实际记录核对等;非财务报告内部控制缺陷,表现在公司对外购软件的管理、企业文化建设的完善等。
11.内控缺陷整改披露情况
67家公司中,有49家公司以不同形式披露公司存在内控缺陷,其中44家公司提出了整改计划、整改措施或者要求对缺陷进行整改,5家公司并未提出相应的整改方案或者措施。44家提出内控缺陷整改方案、计划或者措施的公司,在内控评价报告中对整改方案、计划或者措施的描述不尽相同,有的公司表述非常简单;有的公司则将每一类缺陷对应的指引、整改措施详细列出,如中新药业在内控评价报告中列示了排在前三位的缺陷及其整改措施,首先对缺陷进行描述,再确定缺陷类型,进而将其对应指引,最后提出具体的整改措施。
12.内部控制有效性描述方式分析
根据《内控实施解释1》中有关内部控制评价报告格式要求,对内部控制设计与运行的有效性进行评价后,确认内部控制不存在重大缺陷的,应表述为“报告期内,公司对纳入评价范围的业务与事项均已建立了内部控制,并得以有效执行,达到了公司内部控制的目标,不存在重大缺陷”。
证监会《上市公司实施企业内部控制规范体系监管问题解答2012第1期》对内部控制评价报告格式提出要求:如果不存在重大缺陷,自评报告可采用正面描述的方式直接作出内部控制有效的结论,即“董事会已按照《基本规范》及评价指引的要求对财务报告内部控制进行了评价,并认为其在XXXX年XX月XX日(基准日)有效”。
67家公司披露的内部控制有效性结论中,上述两种方式的表述均存在,另有部分公司表示“未发现重大缺陷”。笔者认为,从文字表述的角度分析,“未发现重大缺陷”与“不存在重大缺陷”或“财务报告内部控制有效”相比,是一种消极的确认方式,所代表的确认程度较低。
(二)内部控制审计报告分析
《审计指引》中规范了内部控制审计报告的格式和内容,包括以下五部分内容:企业对内部控制的责任、注册会计师的责任、内部控制的固有局限性、财务报告内部控制审计意见、非财务报告内部控制的重大缺陷。67份内控审计报告内容与审计指引提供的格式要求基本一致,仅存在部分细节上的差异。
1.67份内控审计报告中表述与审计指引提供的格式要求一致的方面
(1)内部控制审计的依据。财政部等五部委于2010年发布《审计指引》,中国注册会计师协会也于2011年发布《企业内部控制审计指引实施意见》等文件对注册会计师开展内控审计提出要求。67份内控审计报告中提及的审计依据无一例外都是《审计指引》及中国注册会计师执业准则的相关要求。
(2)内部控制审计意见类型及描述方式。67份内控审计报告中,除新华制药被出具否定意见外,其他66份内控审计报告均被出具无保留审计意见。
66份标准内部控制审计报告中有关财务报告内部控制审计意见一般表述为“我们认为,贵公司(XX公司)按照《基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制”,与审计指引提供的格式要求一致。
被出具了否定意见的新华制药的审计意见中,注册会计师认为,由于存在重大缺陷及其对实现控制目标的影响,新华制药于2011年12月31日未能按照《基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。另外,根据格式要求,会计师在内控报告中增加了“导致否定意见的事项”段,列举了新华制药存在的两个方面的重大缺陷的内容,并对管理层采取的措施以及内控审计报告对年度财务报表审计的影响给出了相关说明。
(3)发表审计意见的对象。67份内控审计报告均在“注册会计师的责任”部分进行了说明,明确注册会计师的责任是在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。
2.67份内控审计报告中表述与审计指引提供的格式要求不一致的方面
(1)对于是否关注到公司与非财务报告相关部分存在重大缺陷。67家公司披露的内部控制审计报告均未披露关注到公司与非财务报告相关的内部控制重大缺陷,其中65份内部控制报告在披露时直接省略了第五部分“非财务报告内部控制的重大缺陷”的内容,而由天职国际会计师事务所有限公司出具的中海集运(601866)的内控审计报告、大信会计师事务所有限公司出具的洛阳玻璃(600876)的内控审计报告则包含这部分内容,具体描述如“在内部控制审计过程中,我们未注意到中海集运的非财务报告内部控制存在重大缺陷”。
(2)发表审计意见针对的时间。根据内部控制审计报告的格式要求,注册会计师在内部控制审计报告第一段已经明确了其发表内部控制审计意见是针对报告基准日时点,即“按照《审计指引》及中国注册会计师执业准则的相关要求,我们审计了XX公司2011年12月31日的财务报告内部控制的有效性”,但并没有要求在审计意见段再次强调基准日时点的概念,而是表述为“我们认为,XX公司按照《基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制”。
67份内控审计报告中,所有报告均按格式要求在第一段即明确了针对报告基准日发表审计意见的原则,但部分审计报告在审计意见段再次强调了这个原则,即表述为:我们认为,XX公司于2011年12月31日按照《基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
三、存在的问题
总体上看,67家公司2011年执行企业内控规范体系情况良好。这些公司在内控建设过程中,在组织机构的设立、资源的保障、内控建设路径的选择、内控建设的方式方法等方面均为国内主板上市公司和其他企业的内控建设提供了宝贵的经验。但也应注意到,从现在看来,多数境内外同时上市公司的内控建设成果不是完全依靠2011年一年来实现的,其中相当一部分公司为适应境外资本市场的监管要求,几年前即已着手进行内部控制建设,内控建设经历了一个逐步摸索、从量变到质变的过程;另一方面,境内外同时上市公司的管理基础、运行方式与国内主板公司和其他企业也有一定程度的不同,相比之下,前者的管理基础更为完善、内部运行更为规范,其推进内控建设的难度也更小一些。国内主板上市公司和其他企业在借鉴这些先行企业所取得经验的同时,应充分考虑到这些差别。
结合上述内控评价报告和内控审计报告分析结果,以及财政部、证监会在日常监管工作中了解到的一些实施试点企业情况,企业内控规范体系在实施过程中仍然存在一些问题。
(一)企业内控规范体系实施过程中存在的问题
1.企业内部对内部控制的认识有待提升
企业内部控制规范体系的推动实施,更多地应源自企业的内生需求,外部的监管要求只是起到推动作用。从了解的情况看,部分公司对内部控制的认识仍停留在查漏补缺、应对监管的层面,没有意识到建立健全内控体系对防范风险、促进管理可能起到的有益作用,因而在内控建设过程中缺乏动力,导致企业内各层级人员在内控建设中局限于满足“合规”要求,不求完善;有些公司虽然成立了内部控制小组或委派内审部、内控部或财务部牵头负责内部控制相关工作,但是在内控建设初期对应投入的资源及相关保障仍缺乏有效认知;还有一些公司将内部控制体系建设和评价工作作为一项阶段性运动,控制要求形式化,未树立将内部控制要求与日常管理工作相结合的理念,对内控的认识和理解程度有待提升。
2.内控专业人才缺乏成为制约企业内控建设的瓶颈
内部控制建设是一项系统性工程,需要既了解所处行业特点、公司的整体运营情况及面临的风险,又熟悉内控建设的基本方式方法、信息技术及财务报告基本概念等方面情况的综合性人才。从部分公司的内控建设实践来看,人才缺乏已成为制约推进内控建设的瓶颈。很多内控部门负责人及实际工作人员是在“边建边学边摸索”,虽然在推进内控建设的过程逐步积累起一定的经验,但常会因此而走许多弯路。一些企业虽然建立了很好的在企业内部培养内控人才的机制,但毕竟人才的培养需要一个过程。这一问题随着2012年沪深交易所主板公司全面实施企业内部控制规范体系会愈加突出。
3.企业内部控制建设及评价仍需要方法上的指导
内控基本规范及18项应用指引针对内控建设的重要领域作出了原则性的规定,但公司在建设内控过程中仍面临一些困惑:一方面部分公司对以风险评估为基础的内控建设方法还较为陌生;另一方面应用指引是根据制造型企业特点总结提炼出的一般性指引,并没有兼顾不同行业特点,公司在建立内控过程中需要找到自身生产经营活动与应用指引的契合点。另外,对大部分公司来说,内部控制的自我评价也是一项全新的过程。评价指引针对内控评价的基本原则和程序提出了要求,但并未提供一套完整的方法体系。上述因素的存在导致不同公司建立内控的方式方法差异较大,深入程度及侧重点也各不相同,一定程度上影响了实施的效果。
4.内控评价报告信息有效性有待提升
67家公司披露的2011年内控评价报告中,已有公司开始根据所在行业特点及自身实际情况披露个性化的风险类别及防范措施。如有的银行类上市公司披露了所面临的市场风险、信用风险、流动性风险、操作风险、合规风险,并结合业务类别详细介绍了风险控制的方法和手段。但仍有部分公司在评价报告中披露的信息与自身生产经营特点和业务运行模式结合不足,公式化倾向较为明显,部分公司出于展示良好形象和工作成果的考虑,对内控要素、内控建设过程和成果进行了详细描述,而对于投资者真正希望了解的信息如存在的缺陷、未来的改进措施等则着墨较少,内控评价报告及相关信息披露传达的信息有效性有待提升。
(二)中介机构在内控咨询及审计过程中存在的问题
1.内控咨询中存在的问题
(1)咨询机构人员素质、服务质量参差不齐。目前,提供内控咨询业务的机构包括会计师事务所、管理咨询机构、信息技术企业和其他类型机构四类。一些大型会计师事务所在执行在美上市公司内控咨询过程中积累了较为丰富的内控咨询服务经验。除会计师事务所以外,其他一些综合性管理咨询机构、信息技术企业等也为上市公司提供内控咨询服务,但因侧重点、执业经验及优势领域的不同,某些情况下与监管要求有一定的差距。一些专业性不强、胜任能力不够、服务不到位和低价咨询机构的存在,影响了内控咨询服务市场的健康发展,并对企业内控建设工作产生不良影响。
(2)咨询服务针对性不强,与企业管理结合度不够。企业在内控建设过程中聘请咨询中介机构,其目的主要是获取方法上的指导和与所处行业相符合的实践经验。从实际情况看,一些咨询服务机构大都提供标准化内控建设模板,很少能够提供真正反映企业所处行业和管理特点的契合性服务。另外,有些咨询机构在项目执行过程中派出人员数量不足,核心负责人投入精力有限,业务团队对公司管理细节的了解不够深入,难以保证协助公司建设完成符合实际管理需要的内控体系。
2.内控审计中存在的问题
(1)对内控审计业务重视程度有待提升,技术标准及培训需进一步加强。2011年是企业内控规范体系开始实施的第一年,会计师事务所面临着如何尽快掌握内控审计技术方法、以风险为导向做好内控审计工作的问题。从对部分内控审计项目的调研情况看,不同会计师事务所在内控审计执业能力方面存在较大差别。部分事务所在组织机构、内控技术方法、内控审计人才储备等方面做了很多努力,能够较好地适应内控审计业务带来的挑战,但也有些会计师事务所对内控审计业务重视程度不够,技术准备不充分,存在“等”、“靠”思想,在开拓内控审计业务、钻研内控审计技术方法方面缺乏主动性。加之内控审计技术标准出台时间较晚,一些事务所在结合审计标准制定内部内控审计技术规范时较为仓促,其执业规范的完备程度、内控审计质量复核体系及对员工的培训方面均有待进一步加强。
(2)内控审计团队人员结构有待完善,信息系统审计力量不足。从部分审计项目情况看,一些会计师事务所信息系统审计团队建设还处于起步阶段,信息系统审计力量不足,内部控制审计中信息系统审计程序实施不够充分。相对比的是,绝大部分上市公司及其他企业有着较高程度的管理信息化水平。内控审计中,实施充分的信息系统控制审计是形成有效内控审计结论的重要组成部分。随着主板公司今年开始全面实施企业内部控制体系所带来的审计需求的扩大,会计师事务所在进一步加强内控审计能力建设的过程中,调整和完善审计团队结构,对包括信息系统在内的一些重要控制领域进行审计是当务之急。
四、有关建议
自2012年1月1日起,企业内部控制规范体系将扩大到在沪深两市主板上市公司施行。2012年5月,国资委联合财政部发布了《关于加快构建中央企业内部控制规范体系有关事项的通知》(国资发评价[2012]68号)。至此,内部控制建设与实施正在上市公司以及国有大中型企业全面开展。结合前述情况及分析,为更好地推动内控建设与实施工作,提升我国企业内控水平,以下从标准制定及监管、企业、内控咨询及审计机构等层面提出建议。
(一)标准制定及监管层面
2011年企业内控规范体系实施中存在的问题,有些是由于标准不够明确产生的,有些则是企业在执行中理解上存在偏差或执行不到位产生的。为促进内控建设,有必要从配套的法律法规、具体实施标准等方面进行进一步完善:
1.推动相关法律法规的修订和完善,提升内控法律地位、强化监督检查和惩戒
现阶段我国内控建设的推动更多的是依靠财政部、证监会等行政部门的力量,相较于美国等国家,我国在法律层面并没有专门对内控建立的责任、义务加以规定的条款,也没有相关惩戒规定。建议推动修订和完善相关法律法规,增加有关企业建立健全内控体系的条款,明确企业内控建设的责任,对内控违法惩戒作出相应规定,并对会计师事务所和注册会计师出具内控审计报告的法律责任予以明确。
2.统一标准,协调处理现有规范不一致之处
针对现行规范体系中关于内控和风险管理、内控信息披露的不同要求,有必要对各部门现行的相关规章、文件进行梳理,协调处理相互间不一致之处,厘清内控建设与其他风险管理手段之间的关系,统一内控信息披露的内容,降低企业的遵循成本和执行难度。
3.制定出台行业操作指南及内控缺陷认定的通行做法
针对企业的实际情况和现实需求,相关监管部门应着手对一些典型行业进行调查,了解这些行业的具体运作特点、共性风险和行之有效的控制措施,并在此基础上制定发布分行业的内控操作指南和内控缺陷认定的通行做法,为企业开展内控建设和内控评价工作提供更加具有参考价值和指导意义的标准。
4.研究探索内控人才培养机制
针对内控实施过程中人才严重缺乏的问题,财政部等相关部门有必要组织力量研究探索内控人才的培养和认证机制,在企业现行自主培养内控人才的基础上,推动和加强全社会范围内内控人才的培养,促进企业内控建设水平和管理水平的提升。
(二)企业层面
内控实施和建设的主体是企业,成败与否取决于企业在建设内控过程中能否注重实效并与自身管理相结合。总结先行企业的经验和不足,在进一步推进内控规范体系实施的过程中,企业应注重解决以下几个方面问题:
1.提高认识,加强组织领导和资源配备
内控建设是“一把手工程”,企业高层领导应提高对内控工作的重视程度,在内控建设过程中身体力行地推动。与此同时,要积极建立健全内控实施组织体系、配备适当的资源,包括内控领导机构和日常管理常设机构等,并明确各个管理层次的内控职责和权限,为企业内控建设提供强有力的组织保障。
2.合理利用外部力量,注重内控建设与企业自身情况的结合
企业在内控建设过程中,可以适当借助外部咨询机构协助开展工作,但应避免过于依赖外部机构。外部经验只能适当借鉴,不能完全照搬。在利用外部资源的过程中,应注重内外相互配合,加强沟通和交流,着力对本企业人才的培养和使用,使内控建设着眼于企业实际。
3.注重实效,摸索内控建设规律的同时逐步实现内控水平的提升
企业在内控建设过程中要结合自身实际,循序渐进,分步骤、分层次,有重点地开展内控建设和评价,将内控建设的各项工作落到实处,并且在不断的内控实践中摸索内控建设的规律。企业应注重内控建设的实效,避免因为赶进度而使内控建设流于形式,企业内有关部门应结合企业管理实际确定内控实施的时间表。
4.注重内控评价体系的建立,增强评价工作的科学性
企业应在结合自身实际的基础上,建立健全内控评价工作的组织和方法体系,并充分利用内控建立运行过程中内部监督的结果,确保内控评价工作由独立性较强的部门承担,或建立由高级管理层领导的独立内控自评机构,并在逐步的内控运行和评价过程中加以调整和完善。
5.推进信息化建设,促进内控手段固化和落地
随着内控建设的不断推进,信息化应成为内控体系建设的一项基础性工作,也是内控体系建设成果得以固化、常态化、规范化的重要技术保障。企业应立足实际,结合行业性质和业务特点,推进内控管理制度化、制度流程化、流程信息化,有效完善内控管理系统,促进企业管理水平整体提高。
(三)内控咨询及审计机构层面
内控建设与实施,离不开中介机构作用的发挥。结合前期一些中介机构在提供内控咨询和审计服务中存在的问题,相关中介机构应从以下几方面着力改进:
1.建设一流团队,提供优质服务
随着主板上市公司和越来越多的企业开始实施企业内控规范体系,市场对内控咨询和审计服务的需求将进一步扩大。有关咨询机构要积极培养核心力量,研究学习最新内控知识,跟踪我国内控建设推进实施的最新进展,提升内控咨询的水平;广大会计师事务所应借此机会内强素质、外树形象,积极组织学习培训、优化业务结构,精心组建专业团队、提升内控审计的质量。
2.保持独立性,提升执业质量
会计师事务所开展内控审计和内控咨询服务,应处理好内控咨询和内控审计的关系,保持独立性。同一家事务所不能同时为一家企业提供内控咨询和内控审计服务,内控咨询机构在为企业提供咨询服务的过程中,应妥善处理内控建设咨询和内控评价咨询之间的关系。
3.维持合理的收费水平,避免低价竞争
内控咨询和审计市场的健康发展取决于相关市场参与主体的共同努力。有关中介机构应加强自律,从自身出发,克服短期行为,避免通过无原则地降低收费来招揽客户。■
(报告执笔和审稿人:杨敏、贾文勤、欧阳宗书、胡兴国、焦晓宁、路子尧、韩冰、王洪华、李静、司婉玲、王永超、王炜,本刊略有删节)
责任编辑 李卓
相关推荐