保险公司内部审计管理办法范文

时间:2023-07-03 17:54:04

导语:如何才能写好一篇保险公司内部审计管理办法,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

保险公司内部审计管理办法

篇1

(一)费用不真实

未据实列支各项业务及管理费用,主要通过虚构人员或虚增人员业绩套取工资费用和通过报销未真实发生的经济事项的票据套取费用,如虚列会议费、培训费、汽油费、业务推动费、办公费,宣传费等方式违规套取资金费用支付机构手续费或挪作他用。

(二)手续费及佣金不真实

主要体现在:一是虚设中介业务,私自套现手续费;通过设置其他科目,向不符合资质的机构或者个人支付手续费甚至超额支付手续费。二是通过虚挂人力套取资金的行为,未经系统进行计算直接佣金,间接佣金中的加扣款费用随意列支等现象。

(三)保费收入不真实

不能准确严格执行新会计准则及保费收入会计确认基本原则,保费收入会计科目不能真实完整反映保费收入实际状况。主要是通过虚挂应收保费挪用资金支付手续费、以注销保单方式冲销应收保费金额、撕单埋单、系统外出单等违规方式。

(四)虚挂应收保费

对于高额支付或者无法支付机构手续费时,因无多余的费用来承担或无法用合理的票据进行销账,有些公司通过机构直接在应收保费中坐扣手续费,而形成的应收保费,使得保险公司应收保费率居高不下,大部分都是以虚挂应收保费形成。

(五)赔款支出不真实

虚构保险事故制造虚假保险赔付案,或者故意扩大保险事故的损失范围以达到虚增保险案件赔付金额的目的来套取赔付租金,甚至将与保险赔付案件无关的费用(如:非正常查勘费)纳入赔款支出。更为恶劣的是与其他机构或者个人合谋制作虚假票价骗取保险赔付资金。

(六)未决赔款责任准备金数据不真实

保险公司为应对外部审计,人为调节未决赔款估损金额,来粉饰综合赔付率指标及利润指标,导致计提未决赔款责任准备金时存在数据不真实情况。

二、财务业务数据失真的主要原因

(一)管理模式较为粗放

保险公司在制订考核管理办法时往往对保费规模的考核赋予最高的计分权重,以保费论英雄,不计经营成本把规模做大,往往通过以高额手续费抢夺客源,但在实际操作中受手续费行业自律公约的限制,保险机构无法在账面支付此类超额手续费,只得以一些违规手段虚列费用、虚挂应收保费、虚增赔款形式套取资金暗中补贴。

(二)费用预算与实际脱节

各保险公司总部对分支公司管理细致程度不够,费用预算管理与分支公司的实际情况往往不一致,导致部分分支公司获得得费用开支金额超过实际需求,而部分分支公司的费用资金不够开支需要,形成苦乐不均的现象。费用预算超过实际需求的分支公司通过虚立名目报销费用;而费用紧张的分支公司甚至动起截留保费虚假赔付等非法手段。

(三)缺乏完善的管理监督体制

在费用和业绩考核管理方式比较粗放,缺乏完善的监督体系,使得公司内部控制的制度流于形式,履行守则的职责不足,内部财务监督乏力,未起到真正的管控作用。在财务管理方面,有的保险公司对基层机构的费用实行总额包干控制的政策,即按照业务量的费用比率下拨相应预算费用,而在实际经营中对费用的使用缺少有效的管理;在业绩考核方面,有的保险公司在考核基层机构业绩时,往往对保费规模达成率、应收保费率、综合费用率、综合赔付率等指标较为关注,而对基层机构在费用报销上往往只关注费用附件是否符合要求,未对事项的真实性、合理性等方面进行有效监督。

三、财务业务数据失真的治理建议

(一)监管层面

近年来,监管部门投入大量精力对保险公司开展财务业务数据真实性现场检查,虽取得了一定成效,但却未能得到根治。要从根本上解决财务业务不真实性问题,仍需加大监管力度,转变监管理念,实现标本兼治。

突出监管重点,将监管重点转向偿付能力、公司治理等关注行业健康、稳定发展的基础问题上来,以及解决销售误导、客户投诉等与消费者合法权益保护更加密切的问题。

取消保险行业手续费自律公约,放开手续费支付上限规定标准,中介手续费应据实全额列支,可通过对保险公司的盈利情况及偿付能力等作为监测指标进行管控。避免为支付超上限部分手续费引发一系列违规手段。

完善保险机构市场退出机制,对长期亏损、偿付能力不达标的保险公司实行淘汰制,从而提升保险公司成本管控能力。

加强行业合作。加大与工商、税务、审计、司法部门的合作,充分发挥各部门的专业监管优势,形成监管合力,达到事半功倍的效果。

加重处罚和追责力度,坚决对违规行为实行机构和个人双罚机制;同时加大对上级保险管理机构和高管的追责力度,强化管理责任,提高违规成本。

(二)总公司层面

从自查情况来看,财务业务不真实问题主要集中在基层机构,但根源确在总公司,需进一步强化总公司的管理责任,督促公司做好内控工作,切实防范风险隐患。

加大总公司改革转型的力度,优化考核机制。总公司重规模轻效益的价值取向直接导致基层机构在经营中财务业务数据不真实的主要原因,解决的根本在于转变经营思路,降低考核指标中保费规模的权重,提高业务品质、续继率、利润、内含价值、合规经营等经营指标权重为导向。

加强信息系统改造,建立稳定、高效、能够对业务提供全面功能支持的财务处理系统,实现财务业务数据无缝对接。同时强化费用使用的审批管理,尽量推广费控系统集中审核的建设,统一将费用审核权由系统自动提交到总公司审批。

加强总公司费用控制,改进费用管控模式。细化基层机构的费用预算指标,考虑市场的差异性,科学厘定公司管理政策,确保费用支付标准和流程合法合理。在日常财务管理工作中,通过对投入产出指标、预算执行指标、渠道利润指标、成本控制指标等监测指标加强成本事中控制,同时加强对基层机构费用监控,通过对列支办公费、汽油费、业务推动费、培训费、会议会、招待费、广告费等在合理性方面进行监控,在总体费用不超预算的前提下,明确费用之间是否可以调剂等。避免“以包代管”模式下,对费用类别关注少、监控少,带来不必要的监管风险和违规处罚成本。

完善内部审计制度。加强内部审计队伍建设,充分发挥内部审计部门的作用,加大在数据真实性方面的自查自纠力度。对检查发现的问题加强整改和问责力度,同时加强整改落实情况追踪机制。

(三)基层机构层面

加强自律,合规经营。加大对基层员工诚信建设,培育合规文化,做到知法、守法、合规经营,树立合规人人有责,倡导合规创造价值的理念,建立违法举报措施,营造自觉抵制数据不真实的氛围。

加强财务管理,遵守保险行业基础制度规范要求,严格执行财务相关制度规定,提高职业修养和综合业务素质。

篇2

中国人民银行

上世纪90年代,为防范金融风险,健全金融机构内部控制机制,中国人民银行总行制定了《加强金融机构内部控制的指导原则》,对金融机构内部控制的定义、目标、原则和内容等做出了规定,这是我国第一个关于内部控制的行政规定。2002年中国人民银行又对该指导原则进行了修改和完善,以进一步指导和促进中国商业银行建立更加有效和完善的内部控制制度,并相继下发了《商业银行信息披露暂行办法》、《股份制商业银行公司治理指引》、《股份制商业银行独立董事和外部监事制度指引》和《商业银行内部控制指引》。

其中,《商业银行信息披露暂行办法》要求商业银行加强信息披露,加强商业银行内部控制的评估与监督,对商业银行内部控制的检查与评估应贯穿到每一次现场检查中,成为现场检查的一部分。

《股份制商业银行公司治理指引》区分了股东大会、董事会、监事会的职能,规范了股东、董事、监事和行长的权利、义务和责任,同时对公司治理中的激励约束机制问题作了规定。通过确立股份制商业银行公司治理的基本框架,明晰权责,促进股份制商业银行完善公司治理。《股份制商业银行独立董事和外部监事制度指引》对股份制商业银行独立董事、外部监事的人数、产生、任职资格及其任职期间的权利、义务和责任予以较全面、具体的规定,使得股份制商业银行能够拥有具有高度独立性的董事、监事,有效发挥其监督作用,促进银行稳健经营。

《股份制商业银行公司治理指引》和《股份制商业银行独立董事和外部监事制度指引》在坚持公司治理一般原则的同时,强调以保护存款人利益为股份制商业银行公司治理的宗旨,体现出银行作为特殊的股份制公司的特性。其贯彻与实施有助于改善商业银行的公司治理,促进商业银行防范风险,有利于商业银行的稳健经营与可持续发展。

《商业银行内部控制指引》则较为完整地借鉴了COSO的内部控制框架,确立的内部控制五要素与COSO内部的五要素完全相同,即包括控制环境、风险识别与评估、控制活动与措施、信息沟通与反馈、监督与评价。其阐述的内部控制目标和基本原则等内容充分吸收了1998年巴赛尔银行监管委员会的《银行金融机构内部控制系统的框架》中的核心内容。其重要理念主要包括:无任何人、无任何经营活动能游离于内控体系之外的理念,任何人均应自觉遵循控制制度;内控优先的理念,一切新型业务应以防范风险、审慎经营为出发点,风险在前,收益在后;一切控制均有案可查的理念,保存控制记录,是回顾、检讨控制轨迹,甄别控制责任,传递控制信息,监督纠正控制错误的基础;内部控制监督、评价部门保持独立性的理念,按《控制指引》要求,审计部门应实行全行系统垂直领导,作为内部控制监督、评价部门,拥有直接向董事会、监事会和高级管理层报告的渠道。

证监会

作为证券公司、投资基金公司的监管机构,证监会十分重视内部控制制度建设。早在上世纪90年代中后期,东南亚发生金融危机后,证监会就开始着手认真研究并吸取其中的经验教训,对期货、证券和基金等金融企业的内部控制制度提出了严格要求,出一系列政策。

2001年初,证监会分别颁布了《公开发行证券的公司信息披露内容与格式准则第1号――招股说明书》和《公开发行证券的公司信息披露内容与格式准则第11号――上市公司发行新股招股说明书》,规定发行人应披露公司管理层对“三性”的自我评估意见和注册会计师关于发行人内部控制评价报告的结论性意见,注册会计师指出“三性”存在重大缺陷的应披露并说明改进措施。但上述两个规定主要是关于上市公司发行新股的信息披露,尚不是年度报告的信息披露要求。

2001年1月,证监会《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为。2001年底,了《公开发行证券的公司信息披露内容与格式准则第2号――年度报告》(分别于2002年、2003年、2004年和2005年修订),提出监事会应发表的独立意见包括“是否建立完善的内部控制制度”等,这是监管机构首次普遍规定上市公司披露相关内部控制信息,但从其要求来看,并无强制约束力。

2002年12月证监会《证券投资基金管理公司内部控制指导意见》,旨在规范基金销售机构的内部控制制度,对基金销售机构的控制原则、销售决策流程、销售业务执行流程、会计系统、信息系统、监察稽核等方面作了详细规定,有利于不同销售机构建立统一的规范制度,提高风险管理水平,保护基金投资人的合法权益。此外,对一些先前不为机构重视或存在真空的业务环节,如销售机构的决策程序、风险评估、授权控制、分支机构管理等都作了详尽的规定。

2006年证监会《首次公开发行股票并上市管理办法》,规定首次公开发行股票的发行人的内部控制在所有重大方面必须是有效的,并须由注册会计师出具无保留结论的内部控制鉴证报告。深圳证券交易所和上海证券交易所则紧随其后,迅速出台了《深圳证券交易所上市公司内部控制指引(征求意见稿)》和《上海证券交易所上市公司内部控制指引》。证监会和沪深交易所的上述指引,无论在内部控制概念的界定、控制目标的设定,还是内部控制要素的确定上,都全面反映了COSO的ICIF框架内容的精髓。

2006年6月30日,为指导证券公司建立健全融资融券业务试点的内部控制机制,证监会制定了《证券公司融资融券业务试点内部控制指引》,自2006年8月1日起施行。

2007年10月,为加强证券投资基金销售机构内部控制,促进基金销售机构诚信、合法、有效开展基金销售业务,保障基金投资人权益,根据《证券投资基金法》及《证券投资基金销售管理办法》(证监会令第20号)的有关规定,证监会制定了《证券投资基金销售机构内部控制指导意见》,自2008年1月1日起施行。

银监会

银监会成立后,也制定了商业银行内部控制规范。2004年2月银监会制定了《商业银行资本充足率管理办法》、《商业银行授信工作尽职指引》、《商业银行市场风险管理指引》等部门规章和规范性文件,对商业银行加强内部控制提出了新的要求。同年,先后了《商业银行内部控制评价试行办法》和《信托投资公司内部控制指引》(征求意见稿)。

《商业银行内部控制评价试行办法》旨在通过加强对商业银行内部控制的评价,督促商业银行进一步完善内部控制体系,从根本上建立风险管理的长效机制,保证商业银行安全稳健运行。该办法突出了内部控制体系的概念,强调内部控制是一种系统的制度安排,要求商业银行从零散的、静态的、被动的内部控制规章向建立系统的、动态的、主动的内部控制体系转变,要求商业银行向监管部门、社会、市场提供一套全面和可证实的内部控制体系,从而

使内部控制体系各组成要素间的联系更加清晰有序。

《信托投资公司内部控制指引》(征求意见稿)包括内部控制的基本要求和内部控制的主要内容,具体涉及信托业务、自营业务、其他业务、关联交易、信息披露、会计系统、信息系统、人力资源管理等方面的控制,从信托业自律的角度,对信托公司加强内部控制、增强自我约束能力提出具体要求。此外,该指引还附有内部控制各方面详细的量化和定性评价方法。

2007年7月,在人民银行的原有《商业银行内部控制指引》的基础上,银监会也了《商业银行内部控制指引》。与此前央行版《商业银行控制指引》相比,银监会的《商业银行控制指引》更加符合现代商业银行运作的特点。并明确,除商业银行外,政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、农村资金互助社、金融资产管理公司、邮政储蓄机构、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他金融机构也需参照执行该指引。

银监会版《商业银行控制指引》将商业银行内部控制细分为6个方面,包括授信的内部控制、资金业务的内部控制、存款和柜台业务的内部控制、中间业务的内部控制、会计的内部控制、计算机信息系统的内部控制等。与此前的央行版指引最大的不同,就在于重新划分了金融机构董、监事会、高管层各自在内部控制方面的职责。其中,董事会负责保证商业银行建立并实施充分而有效的内部控制体系;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保商业银行在法律和政策的框架内审慎经营,明确设定可接受的风险程度,确保高级管理层采取必要措施识别、计量、监测并控制风险;负责审批组织机构;负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。监事会负责监督董事会、高级管理层完善内部控制体系;负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。高级管理层负责制定内部控制政策,对内部控制体系的充分性与有效性进行监测和评估;负责执行董事会决策;负责建立识别、计量、监测并控制风险的程序和措施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行。

此外,该指引根据商业银行开展业务的特点明确规定:“商业银行应当建立全面、严密的压力测试程序,定期对突发的小概率事件,如市场价格发生剧烈变动,或者发生意外的政治、经济事件可能造成的潜在损失进行模拟和估计,以评估本行在极端不利情况下的亏损承受能力。”并要求,商业银行将压力测试的结果作为制定市场风险应急处理方案的重要依据,定期对应急处理方案进行审查和测试,不断更新和完善应急处理方案。对于最重要的授信管理,该指引明确要求商业银行应当建立严格的授信风险垂直管理体制,对授信实行统一管理。而此前仅要求下级机构服从上级机构风险管理部门的管理。

《商业银行控制指引》还要求,对于集团客户授信应当遵循统一、适度和预警的原则,合理确定对集团客户的总体授信额度,防止多头授信、过度授信和不适当分配授信额度。商业银行应当建立风险预警机制,对集团客户授信集中风险实行有效监控,防止集团客户通过多头开户、多头借款、多头互保等形式套取银行资金。

保监会

保监会在内部控制规范标准建设方面,也在进行积极的探索。1999年8月,为防范经营风险,建立健全保险公司内部控制制度,促进保险事业稳步、健康发展,保监会制定了《保险公司内部控制制度建设指导原则》,要求保险公司按照合法性、有效性、全面性、系统性、预防性和制衡性原则,建立起包括组织机构系统、决策系统、执行系统、监督系统、支持保障系统在内的科学、完善的内部控制体系,并把内部控制制度的建设和执行情况作为保险监管的一项重要内容。该指导原则对于推动保险公司加强内部控制建设起到了一定的作用,但由于缺乏相应的配套措施,公司落实情况不尽如人意。2006年1月,保监会制定了《寿险公司内部控制评价办法(试行)》,旨在规范和加强对寿险公司内部控制的评价,推动寿险公司加强内部控制建设,确保寿险公司稳健经营和持续健康发展。

国资委

2006年,国资委颁布《中央企业全面风险管理指引》。该指引以《公司法》、《企业国有资产监督管理暂行条例》为依据,全面吸收了美国COSO于2004年的《企业风险管理――整合框架》(ERM框架)和英国风险管理标准等国际最新企业风险控制研究成果和成熟经验。2004年美国COSO的ERM框架是对1994年修订的内部控制框架体系(ICIF框架)的改进和拓展,标志着内部控制规范体系从内部控制向风险管理转型。国资委以ERM框架为参照制定的《中央企业全面风险管理指引》,丰富了我国内部控制规范体系的内容,标志着我国企业内部控制规范建设工作取得了突破性进展。

行业协会

在各部门和监管机构根据其管理权限范围相关内部控制指引的同时,行业协会也在进行内部控制规范方面的研究、建设和推广工作。1996年12月中国注册会计师协会颁布《企业内部控制与审计风险》准则。该准则所称内部控制,是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程式。2002年,中国注册会计师协会颁布了《内部控制审核指导意见》,对内部控制的审核进行了指导,提出了注册会计师就被审计单位管理当局在特定日期对内部控制有效性的认定进行审核并发表审核意见的相关要求。

篇3

关键词:上市公司;内部控制;规范

中图分类号:F208 文献标识码:A 文章编号:1672-3309(2008)08-0046-03

当前,我国经济正处于一个高速发展的阶段,资本市场瞬息变化,因此,加强对内部控制信息的披露就显得尤为重要。按照COSO报告,内部控制就是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成提供合理保证的过程。

一、我国内部控制信息披露的规范

中国注册会计师协会在1996年颁布的《独立审计准则第9号――内部控制与审计风险》第一次提出内部控制的概念,指明内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序,内部控制包括控制环境、会计系统和控制程序。但是该内部控制定义范围狭小,仅仅站在内部会计控制和注册会计师对财务报表审计的角度出发。此后内部控制的定义一直处于不断的发展和修正过程中。

我国最早涉及内部控制信息披露的规范主要散见于证监会的各项公开发行证券的公司信息披露内容与格式准则,具体要求体现在招股说明书、增发申请材料及年度报告中。主要有:(1)中国证监会2000年底颁布的《公开发行证券的公司信息披露编报规则》第7号、第8号, 规定商业银行和证券公司在其年报中出具对内部控制的有效性、完整性和合理性的自评报告,并委托所聘请的会计师事务所对其内部控制制度,尤其是风险管理系统的完整性、合理性及有效性进行评价, 提出改进建议,并出具评价报告。(2)中国证监会2001年3月颁布的《公开发行证券的公司信息披露内容与格式准则第1号――招股说明书》,规定发行人应披露公司管理层对内部控制制度完整性、合理性及有效性的自我评估意见。注册会计师指出以上“三性”存在重大缺陷的,应披露并说明改进措施。2001年4月颁布的《公开发行证券的公司信息披露内容与格式准则第11号――上市公司发行新股招股说明书》,要求发行人应披露管理层对内部控制制度的完整性、合理性及有效性的自我评估意见,同时应披露注册会计师关于发行人内部控制评价报告的结论性意见。(3)证监会2001年制定、2004年修订的《公开发行证券的公司信息披露内容与格式准则第2号――年度报告》,规定年度报告中,监事会应对“公司决策程序是否合法,是否建立完善的内部控制制度,公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为”发表独立意见。(4)证监会2006年5月《首次公开发行股票并上市管理办法》,规定“发行人的内部控制在所有重大方面是有效的,并由注册会计师出具无保留结论的内部控制鉴证报告”。这是我国首次对上市公司内部控制提出具体的要求。

2006年,为加强上市公司内部控制,促进上市公司规范运作和健康发展,保护投资者合法权益,上交所、深交所分别于2006年6月、9月颁布,分别于当年7月、次年7月实施的《上市公司内部控制指引》,两个证交所都明确规定在其交易所上市的公司都应提供内部控制报告自评报告。该指引是我国第一次出台的指导上市公司建立健全内控制度的文件。

二、我国内控信息披露规范的缺陷与不足

(一)内部控制概念界定混乱

无论是处于同一层次的上海证券交易所(以下简称上交所)和深圳证券交易所(以下简称深交所),还是处于不同层次的证监会和证交所,关于内部控制都有不同的定义。上交所从公司长远战略的角度出发,规定内部控制为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。深交所对内部控制的定义则参照了COSO委员会对内部控制的规定,认为内部控制需满足以下几个目标:(1)遵守国家法律、法规、规章及其他相关规定;(2)提高公司经营的效益及效率;(3)保障公司资产的安全;(4)确保公司信息披露的真实、准确、完整和公平。证监会对内部控制的定义则一直没有完整的标准,在其颁布的《公开发行证券的公司信息披露内容和格式准则》中也没有详细规定。关于内部控制概念的不同,很大程度上是因为还没有一套完整、系统的法规对其予以正式化、标准化,而且现行的各个法规相互之间也缺少衔接。

(二)缺乏对内部控制监督主体的统一规定

证监会并没有明确指明监督主体,而只是指出由监事会对本公司是否建立完善的内部控制发表独立意见。深交所规定,由公司内部审计部门负责监督内部控制制度的执行情况,并将检查监督情况形成内部审计报告报送董事会和列席监事。而上交所则将内部控制的监督权赋予专门职能部门,并规定该专门职能部门在年度和半年度结束后向董事会提交内部控制检查监督报告。那么根据这一规定,该专门职能部门可以是审计部门,也可以由各个公司根据本公司的特点和组织结构设置。经过比较,我们可以发现,监督主体不同,那么每个监督主体所参照的标准、所执行的程序及最后所形成的结论都不同,这势必会影响到投资者对上市公司内控报告的比较分析。

(三)对CPA审计的规定各不相同

证监会只对特殊行业以及具有特殊目的的上市公司的内部控制是否需CPA审计提出了硬性规定,主要表现在:要求商业银行、保险公司、证券公司应委托会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价,提出改进建议,并提出内部控制评价报告。发行新股的上市公司需要在其再融资的申报材料中披露注册会计师关于发行人内部控制评价报告的结论性意见。深交所则要求其所有主板上市公司(不含中小企业板上市公司)的CPA在对公司进行年度审计时,应参照有关主管部门的规定,就公司财务报告内部控制情况出具评价意见。而上交所没有要求CPA对公司财务报告内部控制情况做出评价意见,仅仅要求会计师事务所参照有关主管部门的规定,出具对内部控制自我评估报告的核实评价意见。并且,在这两所证券交易所的规定中都没有明确指明CPA在审计过程中应参照的标准,而仅仅以一句“参照有关主管部门”简单带过。注册会计师的执业标准的不完备使内部控制审核意见从内容到格式各不相同,内部控制信息披露质量缺乏有效保证,使得信息使用者感到无所适从。

(四)对内控信息披露的自评主体界定模糊

证监会对于一般上市公司要求监事会在其监事会报告中披露对公司是否建立了完善的内部控制制度发表独立意见。对于具有融资目的的公司,证监会要求的责任主体是发行人,要求发行人对公司内部控制制度的完整性、有效性和合理性发表评估意见。而在对商业银行、证券公司和保险公司的规定中,没有明确指明责任主体,只是要求上市公司对本公司的内部控制制度做出说明。深交所和上交所的内部控制指引中,都明确规定了内控信息自评的主体是董事会。

(五)对内部控制的评价缺乏统一标准

现行的规范制度中,证监会和证交所都没有提出对内部控制完整性、有效性和合理性的具体评价标准,只有由审计准则委员会的独立审计准则第9号《企业内部控制与审计风险》和新修订的《会计法》提到了内部控制相关内容,但立足点和出发点分别是从报表审计的角度和企业会计控制角度进行规范。由于缺乏对内部控制的完整性、合理性及有效性进行判别的可操作性的标准,使得CPA审计陷入难题中,而且其出具的审计意见报告也缺乏可比性。

三、改进我国现行内部控制信息披露规范的建议

(一)宏观上,理顺我国现行内控信息法规的层次关系,建立一个自上而下、由抽象到具体的内部控制信息披露的规范体系

该规范体系的第一层次应是由国家立法机关在《公司法》、《证券法》和《会计法》中以法律的形式规范内部控制的定义,并明确各企业应建立健全的内部控制体系。第二层次是由财政部联合证监会、保监会、银监会和审计署制定一套以规范企业信息披露为主要目标的企业内部控制标准体系。该标准体系的建立将为各个行业的内部控制评价提供一个具体的、可操作的标准,并且也为CPA审计上市公司的内部控制自我评价报告提供了可参考的标准。财政部于2006年7月联合证监会、国资委、审计署、银监会、保监会等部门成立了企业内部控制标准委员会,我们相信该委员会将在其推出的《企业内部控制基本规范》中做到这一点。第三层次是证监会规定各上市公司应对“狭义内部控制报告”即财务信息内部控制报告进行强制性披露,而对“狭义内部控制报告”之外的经营和遵循法律内部控制报告采用自愿性披露。对于强制性披露的财务信息内部控制报告应明确披露内容和披露格式。第四层次是证券交易所对本所上市交易的公司提供具体的规则指引。2006年,上交所和深交所分别推出了适应本所特色的《内部控制指引》,但是两所的指引存在一些不协调、不融洽的地方,因此本文建议可以在上述3个层次制定的规范内稍做改动,达到各个法规实务操作的衔接。

(二)微观上,针对我国现行内控信息披露规范的不足加以改进,使之满足各个层次信息使用者的需求

1.明确内部控制概念

根据内部控制的范围,可将内部控制划分为“广义的内部控制”和“狭义的内部控制”。狭义的内部控制与公司财务报告质量和会计信息质量相关,而广义的内部控制则包括对财务信息质量、经营效率、遵循法规和其他风险管理的控制。由于内部控制的外延已经扩大到了公司整体的控制,投资者不仅仅满足于得到有关企业财务报告可靠的信息,还希望了解企业整体控制环境和实际运作情况。但考虑到成本效益原则以及CPA内部控制审计标准的不完善,在此,我们可以要求上市公司必须披露财务信息内部控制报告即狭义内部控制自评报告,与此同时,鼓励上市公司自愿披露广义内部控制自评报告。待时机成熟之时,可以要求上市公司强制披露广义内部控制自评报告。

2.明确内部控制监督主体

实务中上市公司内部控制监督一般是由内部审计部门执行,但是内部审计部门往往是从财务报告是否可靠的角度出发,无法涵盖我们广义内部控制概念。因此建议可以采用上交所的做法,在公司内部成立专门的内控监督职能部门,该职能部门人员的认定可以由董事会予以指定,并且范围应该扩大,不仅仅局限于内部审计部门。

3.明确对CPA审计的要求

为了保证内部控制信息披露的真实性,应当要求注册会计师对由董事会所出具的内控信息自评报告加以验证并出具审核或鉴证报告,该鉴证或审核报告应与内控信息自评报告一同对外公布。而且在内部控制审核中,CPA的执业标准并不完备,这使内部控制审核意见从内容到格式各不相同。因此,应由审计准则委员会联合各个行业制定一套切实可行的执业标准。

4.明确内部控制的责任主体

监管部门应当修订内部控制信息披露规范,增加明确主体责任的相关条款或对主体责任的描述具体化。现行《公司法》中规定,董事会可以决定公司内部管理机构的设置、制定公司的基本管理制度,所以我们建议公司内部控制的建设应当由董事会负责,并由董事会对外披露内部控制自评报告。

5.明确内部控制信息披露的内容和格式

监管部门应当对披露内部控制信息的内容与格式做出统一规定,以减少上市公司在内部控制信息披露上存在的选择性和随意性。同时,投资者可以对上市公司的内部控制信息进行比较分析,也有利于降低投资者获取信息的成本。证监会可以明确规定财务信息内部控制报告的固定格式,其基本内容至少应该包括:(1)表明管理层对财务信息内部控制的责任;(2)评估内部控制的标准;(3)内部控制系统中任何重要薄弱环节及其处理情况。

参考文献:

[1] 李明辉、何海、马夕奎.我国上市公司内部控制信息披露状况的分析.审计研究[J].2003,(01).

[2] 陈合.如何完善上市公司内部控制信息披露[J].财会月刊,2005,(19).

篇4

[关键词]内部控制 基本规范 控制环境

一 企业内部控制基本规范及三个指引的介绍

2008年6月28日,财政部、审计署、证监会、银监会联合颁布了《企业内部控制基本规范》(以下简称《基本规范》),该法规文件被称为“中国版的萨班斯法案”’。正式官方文件于2008年5月22日以通知形式下发“关于印发《企业内部控制基本规范》的通知财会[200817号”。理解《基本规范》时也需要考虑《通知》中相关要求。为配合《基本规范》的实施,财政部还颁布了三个指引性文件,即《企业内部控制评价指引》、《企业内部控制应用指引》、《企业内部控制鉴证指引》,并公开征集意见。以下将对《基本规范》和三个《指引》作简单介绍。

(一)《基本规范》主要内容介绍

《基本规范》包括七章、50条条款。第一章规定了规范的范围、适用性以及企业开展年度评价的要求。第二章至第六章规定了企业内部控制需要考虑的重要因素,包括:内部环境、风险评估、控制活动、信息与沟通和内部监督。第七章规定了规范的生效日期,并指出规范的配套办法将由相关部门另行制定。《基本规范》的主要内容包括:

(1)生效日期:自2009年7月1日起实施(基本规范第五十条)。

(2)适用范围:适用于中华人民共和国境内设立的大中型企业(基本规范第二条)。

(3)内部控制的定义及要素:基本规范中定义的内部控制要素与COSO委员会1992年的内部控制整体框架的整体框架基本一致。并融合了COS02004年的企业风险管理整合框架的概念。因此,《基本规范》包含COSO上述两个公告的重要原则。另外,基本规范中定义的内部控制包含全部控制要素,其范围比sox中规定的“财务报告相关的内部控制”更为广泛。

(3)内部控制职责:董事会负责内部控制的建立健全和有效实施,监事会对内部控制的建立和实施进行监督。经理层负责组织领导企业内部控制的日常运行(基本规范第十二条)。

(4)管理层年度自我评价:通知中要求执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告。

(5)执行时需考虑的事项:《基本规范》鼓励运用信息技术和自动控制来加强企业内部控制(基本规范第七条),并要求企业建立内部控制实施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施(基本规范第八条)。

(6)审计意见: 《基本规范》中未强制企业获取内部控制有效性的审计意见,因而管理层可以考虑是否进行外部审计。接收委托从事内部控制审计的会计师事务所,应根据本规范和其他配套办法等法规,对内部控制的有效性进行审计(基本规范第十条)。

(二)三个《指引》的概要

为配合《基本规范》的实施,财政部同时颁布了三个《指引》,并公开征集意见,其概要如下:

《企业内部控制评价指引》:由财政部制定,用于指导企业管理层对内部控制有效性进行年度评价,包括内部控制的评价程序、方法、缺陷认定和评价报告等。

《企业内部控制应用指引》:由财政部制定,用于指导企业管理层实施内部控制。该指引设置了22个独立文件,包含具体的运营流程和内部控制要素。

《企业内部控制鉴证指引》:由中国注册会计师协会制定,主要用于指导接受企业委托从事内部控制审计的会计师事务所,从事企业内部控制有效性鉴证业务的方法、程序和要求等。

二 我国目前内部控制规范体系建设中存在问题

(一)企业对内部控制的内涵认识不清

企业普遍认为内部控制就是内部控制制度,是企业用以防止发生错误和舞弊或者是用以应付有关部门及主管单位检查而制定的各项规章制度。在内部控制实际运行过程中,企业往往认为有关的职责分工、审批授权制度就是内部控制制度;完成有关部门或主管单位所要求的内部控制制度制定工作,就是实施了企业内部控制,对内部控制只注重制度建设而不重视制度执行,缺乏对内部控制实际执行效果的考核与评价。而按照COSO的ICIF框架对于内部控制的定义:企业内部控制是受企业董事会、管理当局和其他员工的影响,目的在于实现经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程,应由控制环境、风险评估、控制活动、信息与沟通、监督五个方面的内容构成。COSO框架强调内部控制是为了保证企业目标的实现而实施的控制过程,要围绕五个要素来构建内部控制框架,是一项比较复杂的系统工程。

(二)企业内部控制的相关规范重叠复杂,缺乏统一性

我国原有的企业内部控制评估标准主要依据财政部于2001年6月颁布的《内部会计控制规范基本规范(试行)》以及按业务环节设置的《货币资金》(2001)、《采购及付款》(2003)、《销售及收款》(2003)等7个具体规范来设计。其他的还有证监会于2006年颁布的《上市公司内部控制指引》、《首次公开发行股票并上市管理办法》(中国证监会第32号);国资委于2006年颁布《中央企业财务内部控制评价工作指引(2006年度试点用)》;上交所于2006年6月颁布《上海证券交易所上市公司内部控制指引》,到目前为止尚未正式强制执行;深交所于2006年9月颁布《深圳证券交易所上市公司内部控制指引》,2007年7月1号生效,到目前为止尚未正式强制执行;保监会于2007年4月颁布《保险公司风险管理指引(试行)》;银监会于2007年7月颁布《商业银行内部控制指引》,以指导商业银行内部控制管理。可见,我国不同的政府管理机构各自颁布不同的内部控制的指导原则、指引、规范,这些不同的内部控制规范形式多样、标准不一,增大了内部控制规范之间的协调成本,也不利于构建统一的企业内部控制规范体系。

(三)忽视内部控制环境建设

按照COSO的ICIF框架,控制环境是内部控制框架体系的第一要素,被视为其他控制要素的基础。按照ICIF框架的定义,内部控制环境是指一个企业的基调和氛围,对内部控制形成外部约束,并直接影响企业员工的控制意识。控制环境因素主要包括管理层的经营理念和经营风格,企业员工的道德价值观和工作胜任能力,管理当局的授权和职责分工方法,人力资源的组织与开发,董事会的关注和指导力度等。控制环境是内部控制能否生效的重要因素之一,控制环境的失效必然会直接导致内部控制的失效。由于我国企业普遍存在着大股东或关键人控制问题,内部控制环境未得到应有的重视,很多企业还未开展内部控制环境建设,如公司治理方面存在严重缺陷,管理层关键人凌驾于规章制度之上,内审部门无法肩负起监督职责等。而《证券公司内部控制指

引》、《商业银行内部控制指引》、《上市公司内部控制指引》等虽然都将控制环境列为内部控制规范的要素之一,但也仅仅是对COSO的ICIF框架内容的简单移植。要使内部控制环境在内部控制体系中得到完善,并发挥内部控制环境应有的作用,还需从改进公司治理、更新管理层经营理念、加强员工职业道德教育等基础工作做起。

(四)内部控制的控制环境之公司治理结构还有待于完善

正如前面所述,公司治理是内部控制的环境要素之一,是内部控制的基础与依据,完善的公司治理有助于企业建立了良好的内部控制环境。可见,公司治理结构是内部控制能否发挥作用的关键因素之一,很大程度上将影响内部控制的有效性。我国由于历史和制度原因,还存在着国有股一股独大、内部人控制、监事会形同虚设、内审人员不能依照规章发挥和履行监督职能等公司治理方面的严重缺陷。这些因素必将削弱我国企业内部控制制度的有效性。

(五)内部控制法律框架尚未正式形成,目前正处于起步阶段

从上述已有的内部控制的法律规范以及即将实施的法律规范来看,普遍存在立法层次低、内容分散、缺乏衔接和完整性等特点,而内部控制理论框架的研究也是最近几年兴起,学者对内部控制的内涵、目标等因素的争论较多,尚未形成统一的认识和成熟的理论。

三 完善我国内部控制规范体系的几点建议

(一)提高企业对内部控制的认识和理解,营造良好的内部控制氛围

要同宣传新会计准则、新税法那样,对内部控制进行广泛宣传和推介,改变目前人们普遍将内部控制看做是一项制度性建设的错误观念,使企业管理层和广大员工充分认识到内部控制的包含企业经营活动各个环节的控制过程和活动,是一项复杂的系统工程。只有提高企业管理层和员工对内部控制的认识和理解,才能形成一个良好的内部控制氛围,从而促进内部控制规范的建设和实施。

(二)统一内部控制规范,建立统一的内部控制框架体系

为了改变我国内部控制规范建设中各自为政的现状,建议由财政部牵头,由企业内部控制标准委员会具体负责,对现有财政部、证监会、中国人民银行、国资委、上海证券交易所、深圳证券交易所等部门和机构制订出台的内部控制方面的规范、制度、指引等进行重新梳理和整合,统一内部控制的概念、目标、要素、原则、程序、评价标准等基本内容,制定出适用范围宽泛的内部控制整体框架,作为各类企业内部控制体系建设的参照标准。各部门或机构在履行其各自管理职能时,可以对管辖范围内的企业提出内部控制建设方面的具体要求,但建设内部控制所依据的规范框架应该是统一的。此次财政部、审计署、证监会、银监会联合颁布了《企业内部控制基本规范》,正是为统一内部控制规范,建立统一的内部控制框架体系奠定了坚实的基础。

(三)完善法人治理结构,优化内部控制环境

法人治理结构在很大程度上影响着企业的健康运行和企业目标的实现,并且会对企业内部控制体系的建立与完善产生影响。企业应从完善法人治理结构人手,充分发挥股东会、董事会、监事会的职能;改善股权结构,解决我国企业股权过度集中带来的问题;完善企业内部制衡机制和内部激励机制;增强内部审计部门的独立性,充分发挥其监督评价职能。在改进法人治理结构的同时,还应加强对企业高管人员的培训,使企业管理层树立正确的经营理念和较强的风险管理意识;加强对企业员工的职业道德建设。通过这些基础性工作,优化企业内部控制环境,以保证企业内部控制制度的顺利实施。