财务报告内部控制范文

时间:2023-11-08 17:17:40

导语:如何才能写好一篇财务报告内部控制,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

财务报告内部控制

篇1

内部控制包括公司层面的内部控制和业务层面的内部控制。公司层面内部控制包括董事会、监事会、经理层之间明确的权限划分和职责定位。

对于2004年中航油(新加坡)公司航油期货巨亏55亿美元,最近中信泰富外币合约巨亏155亿港元这两个事件,事实上公司治理层面内部控制缺陷是重要原因。长期以来,我国许多企业虽然具体业务的控制流程优化程度较高,但公司层面内控存在严重缺陷,影响了内控整体效果。

例如,不相容制度分离控制要求企业经济事项的决策、执行和监督相分离,董事会依法行使企业的经营决策权,经理层主持企业的生产经营管理工作,但现实中存在着董事会对经理层实质性控制力较弱的现象;而在监督体系中,监事会、审计委员会往往各自为政,没有形成有效的监督合力。

中国公司治理机制有其特殊性(如中国的国有企业有党委而西方国家没有、中国企业有监事会而英美国家没有)因此在公司层面内部控制方面,我国从发达国家可借鉴的经验较少,更需要创新精神和务实态度。笔者认为应注意做好以下几项工作:

正确处理党委与董事会的关系

对国有企业而言,党管干部的原则和党的监督保障职能必须得到充分发挥,而公司法赋予董事会任命经理层的权利和生产经营决策权。因此在公司层面内部控制构建中,应明确规定凡同时属于董事会和党委管理权限的事项,应经党委审议通过后,再按有关的控制程序提交董事会决策。

董事会决策支持系统构建

尽管董事会拥有生产经营决策权,但实际上企业生产经营中的提案许多是由经理层提出后由董事会决策通过的。经理层处于生产经营的一线,董事会成员中有一部分并非执行董事,而是独立董事或外部董事,这类董事来自于不同的行业,并且不参与企业的日常经营活动。董事会与经理层存在着行业知识和信息不对称,无论是批准还是否决经理层的提案都缺乏充分的知识和信息支持,因此企业必须重视董事会决策支持系统的构建。

第一,除根据相关规定建立提名委员会、薪酬与考核委员会、审计委员会外,企业还应根据自身特点建立起相应的专业委员会,为董事会科学决策提供依据。例如,为保证投资项目符合企业的发展战略,企业可以建立战略委员会。高科技企业可以设立科学技术委员会;市场竞争激烈的产业可以设置市场营销委员会。

同时,企业可以通过决策控制流程设计保证决策程序的科学性。例如对于经理层提交的投资项目,首先应由战略委员会进行项目与企业战略拟合度论证;科学技术委员会和市场营销委员会分别进行技术先进性和市场适用性论证,审计委员会对可行性报告中的财务数据进行验证。只有这些委员会均通过此项目的可行性分析,才可提交董事会表决。只有这样,才能强化董事会对经理层的控制,保证决策的科学性。另外,董事长为外部董事的情况下,可以考虑建立执行委员会以保证董事会决议的切实贯彻实施。

第二,建立有效的信息沟通渠道,确保决策控制系统发挥应有作用。通过制度规范信息传递,做到企业信息对董事会,尤其是外部董事的充分公开,保证外部董事享有与其他非外部董事同等的知情权,外部董事有权从经理层及其他部门直接获取决策与控制所需的充分信息;注重董事会会前与外部董事的沟通,例如专题汇报或专题实地调研,提高董事会会议质量与决策效率。

再造监事会、审计委员会、审计部三者关系

篇2

一、财务报告内部控制审计的内涵

所谓财务报告内部控制审计,是针对资本市场会计信息真实性与质量较差这一问题,为了保护投资者权益而提出的一种概念,其不仅是对企业财务内部控制与内部审计的延伸,更能够有效的解决我国当下上市公司中常常出现的财务舞弊问题,所以说上市公司的财务报告内部控制审计有着很强的现实意义。在具体的财务报告内部控制审计工作中,就是确认、评价企业内部控制有效性的过程。

二、财务报告内部控制审计的目标

上文中提到了财务报告内部控制审计的内涵,在下文中将就其目标进行具体论述。财务报告内部控制审计的目标是对公司在特定时点的财务报告内部控制的有效性发表审计意见。为实现财务报告内部控制审计的目标,注册会计师需要通过以下几点保证目标的实现。

(一)证据获取

想要较好的进行上市公司的财务报告内部控制审计,注册会计师就必须掌握并了解公司内部控制设计是否合理与执行是否有效的证据。在具体的相关证据获取中,注册会计师需要通过询问、检查、观察、执行替代程序等手段进行相关证据的获取,为财务报告内部控制审计目标的实现提供有利依据[2]。

(二)财务报表审计

注册会计师对财务报表进行审计时,是对财务报表是否不存在重大错报获取的一种合理保证,其同时包括着对由于舞弊或错误导致的财务报表重大错报进行的风险评估。在进行风险评估时,注册会计师还要考虑与财务报表编制和公允列报相关的内部控制,因此在财务报告内部控制审计工作中,注册会计师的财务报表审计工作,不仅关系着财务报表的合法性与公允性,更关系着整个审计工作的顺利进行,因此需要对其予以格外重视。

(三)审计思路

在具体的财务报告内部控制审计工作中,为了保证相关审计工作的顺利进行,相关注册会计师必须拥有清晰地审计思路,并切实的按照“财务报表初步了解-识别企业内部控制-进行相关账户、列表认定-了解错报来源-执行拟测试控制”这一思路进行具体的设计工作,以此保证财务报告内部控制审计工作功能的正常发挥。

三、加强上市公司财务报告内部控制审计的相关策略

上文中我们了解了财务报告内部控制审计的内涵与目标,在下文中笔者将结合自身工作经验,对加强上市公司财务报告内部控制审计的相关策略进行具体分析,希望能够以此提高我国上市公司财务报告内部控制审计工作的效率与质量。

(一)优化上市公司内部控制系统环境

想要加强上市公司财务报告内部控制审计工作,优化相关上市公司内部控制系统环境是一种较为不错的方法。在我国当下的上市公司财务报告内部审计工作中,内部控制不完善与公司治理制度的效率缺乏是其主要面对的问题,而通过优化上市公司内部控制的系统环境,就能有效的对其予以解决。在具体的上市公司内部控制系统环境的优化中,相关上市公司应通过公司治理结构的完善进行具体的公司内部控制环境的完善,以此保证上市公司内部控制的有效运行,保证上市公司财务报告内部控制审计工作的顺利展开[3]。

(二)明确内部控制评价规范

想要加强上市公司财务报告内部控制审计工作,明确相关上市公司内部控制评价规范,是一种较为有效的方式。在2008年我国财政部了《企业内部控制规范-基本规范》,这一规范的提出为我国上市公司财务报告内部控制审计工作的展开提供了有力依据。虽然这一规范自身还存在着一定不完善之处,但这一规范的出现对我国上市公司财务报告内部控制审计工作的相关发展仍旧发挥了极为重要的作用。在具体的评价规范执行中,相关注册会计师需要依照该规范中提供的相关标准,结合具体审计工作实际,进行具体的上市公司财务报告内部控制审计的操作与执行。除了相关规范外,我国财政部还颁布过企业内部控制评价指引等内容的相关条例,这些对于我国上市公司财务报告内部控制审计工作来说,都能够起到一定的促进作用[4]。

(三)优化财务报告内部控制审计

在进行上市公司财务报告内部控制审计的优化中,注册会计师需要从两个方面进行具体的优化工作。一方面,需要在财务报告内部控制审计中采用风险导向审计模式进行具体工作的展开;另一方面,需要将财务报表审计与内部控制审计进行有机结合,只有这样才能切实提高我国上市公司财务报告内部控制审计工作的相关效率。

篇3

教育部人文社会科学重点研究基地重大项目“中国上市公司内部控制评价与指数研究”(项目编号:10JJD630003) 中图分类号:F233 文献标识码:A 文章编号:1002-5812(2015)21-0009-03

摘要:随着企业经济管理的向前发展,内部控制显得愈发重要。本文在《企业内部控制应用指引》框架基础上,把制造企业的核心内部控制分为了财务报告核心内部控制与非财务报告核心内部控制,并对其核心控制环节进行了探讨。

关键词:制造企业 财务报告核心内部控制 非财务报告核心内部控制 控制环节

一、引言

为了促进企业建立、实施和评价内部控制,规范会计师事务所内部控制审计行为,根据国家法律法规和《企业内部控制基本规范》,财政部会同证监会、审计署、银监会、保监会制定了一系列内部控制配套指引,包括《企业内部控制应用指引》(以下简称《应用指引》)、《企业内部控制评价指引》(以下简称《评价指引》)和《企业内部控制审计指引》(以下简称《审计指引》),自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大至在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。同时,鼓励非上市大中型企业提前执行。执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对其财务报告内部控制的有效性进行审计并出具审计报告。我国财政部等五部委颁布的《内部控制应用指引》包括18个应用指引,分别规范了从组织架构到信息系统的相关内控具体要求。本文在结合《应用指引》框架的基础上,把制造企业核心内部控制划分为财务报告核心内部控制和非财务报告核心内部控制,并详细分类阐述了各核心控制环节的控制原则。

二、企业核心内部控制:财务报告核心内部控制与非财务报告核心内部控制

1992年,COSO委员会提出《内部控制――整体框架》,1994年进行了增补。COSO委员会指出,内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。具体包括:控制环境,风险评估,控制活动,信息和沟通,监督。

我国的《企业内部控制基本规范》(以下简称《基本规范》)指出,内部控制是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。在2010年由五部委联合颁布的内部控制配套指引之一的《审计指引》中多次出现“财务报告内部控制”“非财务报告内部控制”这样的术语。《审计指引》总则第四条规定,“注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加‘非财务报告内部控制重大缺陷描述段’予以披露。”本文对制造企业的核心内部控制采用了上述分类进行讨论,即将制造企业的核心内部控制分为财务报告核心内部控制与非财务报告核心内部控制两类。

《应用指引》由18个指引构成,有的涉及财务报告内部控制,有的涉及非财务报告内部控制,本文在《应用指引》的框架基础上,筛选出制造企业的核心内部控制,并分别财务报告核心内部控制与非财务报告核心内部控制阐述二者各自的治理原则,希望可以对制造企业内部控制的建设有所启示。

三、制造企业财务报告核心内部控制:八个核心控制环节

结合《应用指引》的框架基础,可以将制造企业财务报告核心内部控制聚焦在8个方面,分别是采购控制、生产控制、销售控制、研究与开发控制、资金活动控制、资产管理控制、会计信息系统和监督控制。

(一)采购控制。根据《应用指引第7号――采购》规定,采购是指购买物资(或接受劳务)及支付款项等相关活动。采购环节主要涉及编制需求及采购计划、请购、选择供应商、确定采购价格、签订采购合同、验收、退货、付款、会计控制等环节。采购环节的控制原则是:第一,选拔诚信、胜任的人员组成采购部门的成员;第二,设置相应的不相容职务,以把控好采购物资的质量和价格;第三,对自请购、审批、采购、验收、付款等整个流程进行完整的记录;第四,对采购部门的工作定期独立稽核。

(二)生产控制。生产是指自原材料投入制造至产品制成经验收进入产成品库房的之间的过程,主要涉及原料及燃料的耗费、生产工序的开展、考勤的记录、产品质量、数量的验收等。在企业内部控制应用指引中并未专门就生产形成单独的指引,而是在社会责任、采购业务、业务外包、全面预算等应用指引中作了零星的介绍。生产环节的控制原则是:第一,对产品质量的严格把控,包括原材料质量控制、生产过程中的在产品质量控制以及产成品入库后的产成品质量控制等多环节质量控制。第二,是对生产效率的注重与稳步提升。生产效率的提高除了需要严格按照制造企业的生产流程与标准严格执行以保证生产高效以外,还需要紧密关注本行业现代科技发展动态,及时引入科技新成果以更高效生产优质产品。

(三)销售控制。根据《应用指引第9号――销售》规定,销售是指企业出售商品(或提供劳务)及收取款项等相关活动。销售环节主要涉及销售、发货、收款、信用管理等环节。销售环节的控制原则是:第一,选拔诚信、胜任的人员组成销售部门的成员;第二,监督销售奖励制度的落实执行与反馈改进;第三,监察与控制产品的销售对象应是资信优良的单位;第四,在签订合同前重视合同的审核,在签订合同之后重视合同的执行;第五,严保销售款项的落实,紧抓应收款项的催收,划清与追究相关责任人的责任;第六,对资信评价、销售、发货、收款等整个流程进行完整的记录;第七,对销售部门的工作定期独立稽核。

(四)研究与开发控制。根据《应用指引第10号――研究与开发》规定,研究与开发是指企业为获取新产品、新技术、新工艺等所开展的各种研发活动。对于制造企业来说,研究与开发是企业生存的重要命脉,是企业可持续发展的源泉。因此,一些大型有实力的制造企业都非常重视研究与开发。这一环节主要涉及立项、研究、开发、核算、保护等环节。研究与开发环节的控制原则是:第一,立项需要经过谨慎充分论证;第二,研究开发需要对研究、开发加强管理,注重研究过程的“高效”“可控”,促使研究成果转化从而早日进入市场;第三,研发阶段的核算需要依据企业会计准则做出相应会计职业判断,核算清楚;第四,研发成果的保护方面需要建立保护制度,加强保护措施。

(五)资金活动控制。根据《应用指引第6号――资金活动》规定,资金活动是指企业筹资、投资和资金营运等活动的总称。筹资环节的核心内部控制有两个方面:一是筹资决策之前的对筹资成本及还款风险的分析评估;二是筹资之后对还款风险的随时追踪与控制,务必将这一环节的风险控制在企业自身可承受的范围之内。投资环节的核心内部控制则需要做到项目的申请与论证相分离,项目的论证与决策相分离,这样做的目的是对投资项目的可行性进行充分分析论证,保障投资决策的正确性。对于资金运营环节,企业需要注意提高资金周转的速度、资金使用的效率,注意收支平衡,并保持足够的日常周转资金。

(六)资产管理控制。根据《应用指引第8号――资产》规定,资产是指企业拥有或控制的存货、固定资产和无形资产。存货的管理主要涉及取得、验收入库、使用、保管、盘点处置等环节。固定资产的管理主要涉及取得、使用、维修保养、清理处置、投保、抵押等环节。无形资产主要涉及取得、使用、维护与更新等环节。上述三类资产管理控制原则是:周转合理、科学,避免浪费、流失资源,即用好、管好企业的资产。具体说来,第一,对于存货管理在数量方面需要注重存货收、发过程的严密性、记录的正确性,对存货的质量需要定期进行检查以便保证原料合格并及时清理腐败变质与不合格的原料;第二,对于固定资产需要注重定期的维修、减值测试与及时清理,以降低不必要的资金占用,同时有利于固定资产更新资金的来源;第三,对于无形资产需要注意其尚可使用年限,在定期作减值测试的同时需要考虑是否、何时、如何更新现有无形资产。

(七)会计信息系统控制。财务报告内部控制的信息系统,主要涉及会计信息系统。会计信息系统的核心内部控制,主要涉及开发、运行、维护等环节,需要注意的是运行的高效率、数据的安全。其中,数据的安全包括访问权限的设置与执行,数据的保密与备份,网络安全的维护等。会计信息系统控制原则是:第一,设计和执行保障财务报告数据正确安全的信息传递与存储的相应制度;第二,做好信息系统的维护和系统面临严重问题下的预案。

(八)监督控制。监督是指为保证财务报告的可靠性,对上述核心内部控制执行情况所实施的监督活动,一般由审计委员会领导下的内部审计机构负责实施。这一核心内部控制需要做好:第一,对上述财务报告核心内部控制的执行进行定期检查和监督;第二,对监督过程中发现的内部控制制度与执行不合理之处向审计委员会等类似机构及时汇报并积极研究改善的途径,做好制度的修补和改进工作。

四、制造企业非财务报告核心内部控制:七个核心控制环节

结合《应用指引》的框架基础,可以把制造企业非财务报告核心内部控制分为七个方面,分别是:组织架构控制、发展战略控制、人力资源控制、社会责任控制、企业文化控制、信息系统控制以及监督控制。

(一)组织架构控制。根据《应用指引第1号――组织架构》规定,组织架构是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。组织架构这一环节对于整个企业来讲如同建造房屋,一般首先要搭稳房屋的架构,需要注意的就是合法、合理、制衡。合法是指企业的组织架构要符合国家相关法律规范,合理是指各部门权力分配要适当,制衡是指各个权力部门除了可以实施权力,还得有其他部门牵制它、监督它,否则,不受监督的权力是可怕的,必然滋生腐败。

(二)发展战略控制。根据《应用指引第2号――发展战略》规定,发展战略是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的长远发展目标与战略规划。企业发展战略控制需要重视审计委员会领导的内部审计,内部审计需要开展经营审计,对企业发展战略的制定、实施与调整纳入到内部审计的审计范围中去。

(三)人力资源控制。根据《应用指引第3号――人力资源》规定,人力资源是指企业组织生产经营活动而录(任)用的各种人员,包括董事、监事、高级管理人员和全体员工。任何内部控制最终必定需要落实到“人”。内部控制从设计、执行以及执行之后的反馈、修正与补充无一不是与人紧密相关联的,甚至可以说,内部控制设计与执行的效率高低、效果如何,成功与失败均与“人”这个主体密不可分。吴水澎、陈汉文等(2000)提出,“所有的内部控制都是针对‘人’而设立和实施的,企业内部会因此形成一种控制精神和控制观念,直接影响到企业的控制效率和效果。”由此可见,对人的重视务必提高到重中之重的位置上来。人力资源内部控制需要做好三个方面:第一,选拔人才以德为先。人才招聘阶段选拔品重才高的员工,“遵循德才兼备,以德为先和公开、公平、公正的原则”,这为企业的发展和内部控制的有效实施起到最根本与最重要的保障性作用。第二,合理使用与培养人才。对于人才,要根据其特点安排在适合其长处发挥的岗位上,使得人尽其才,才尽其用,为企业创造价值。企业在使用人才的同时还须及时为人才“充电”,即培养专业人才,使得人才与岗位需求相符合,提高工作的质量。第三,科学考核与激励人才。在人才聘用之后,若要其持续为企业创造价值,需要采用科学合理的考核政策和激励手段来使其保持良好的状态。做到重德、尽才、激励三个方面,即可把握住人力资源核心内部控制。

(四)社会责任控制。根据《应用指引第4号――社会责任》规定,社会责任是指企业在经营发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量(含服务,下同)、环境保护、资源节约、促进就业、员工权益保护等。制造企业的生存与发展与社会责任内涵的领域息息相关。制造企业在经营发展的过程中需要养成社会责任意识,明确自身应当履行的社会职责和义务,将其写入企业内部控制手册,定期检查企业自身社会责任的履行情况,形成社会责任报告,以持续反映、监督、改进自身履行社会责任的情况。

(五)企业文化控制。根据《应用指引第5号――企业文化》规定,企业文化是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神,以及在此基础上形成的行为规范的总称。企业文化是一种“软控制”,它的建立需要企业花费时间、努力去积极营造属于自己独特的文化氛围,逐渐提炼和强化特有的文化精神,引导员工认同并保持这种文化理念和精神,这种“软控制”属于精神层面,既是企业这个主体的精神,也属于企业员工的精神领域,好的企业文化使得员工与企业共同成长与发展。若把企业比作一条大船,企业文化就如同船上的队长要求船员们喊的口号,它代表着一种宗旨,一种标准,它能使企业的员工如同龙舟划手一般,一个方向,合力用劲,共同努力帮助自己的企业“驶向”既定的目标。对于企业文化内部控制,重点需要把握:提炼和培育积极向上的、优秀的企业文化;将企业文化融入全体员工内心。做到这一点不仅需要花费时间,更需要企业的各级管理人员为普通员工们树立榜样,身体力行,使得每一个员工都认同并用企业文化指导自己的工作。

(六)信息系统控制。根据《应用指引第18号――信息系统》规定,信息系统是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。对内部控制搭建信息化管理平台是企业得以跨向管理现代化的一个标志性举措,在当今信息化时代,管理要实现高效、快捷、信息的快速传递与更新是不可或缺的。内部控制信息化管理平台的建设和管理须注意:第一,内部控制信息系统保持良好运行,更新至先进水平;第二,信息传递和使用的安全;第三,信息系统倘若出现严重问题时的应对方案的预备。这三点可以使企业在内控管理方式和手段上保持先进、高效与安全,同时通过预设的方案应对可能面临的风险,从而做到采用现代化手段管理和发展企业。

(七)监督控制

监督是指对上述非财务报告核心内部控制的执行情况进行的监督活动。这一核心内部控制需要做好:第一,对非财务报告核心内部控制的执行进行定期检查和监督;第二,对监督过程中发现的内部控制制度与执行不合理之处向审计委员会等类似机构及时汇报并积极研究改善的途径,做好制度的修补和改进工作。

参考文献:

1.吴水澎,陈汉文,邵贤弟.企业内部控制理论的发展与启示[J].会计研究,2000,(5)

2.白华,高立.财务报告内部控制:一个悖论[J].会计研究,2011,(3)

作者简介:

篇4

【摘要】本文主要讲述了美国《萨班斯――奥克利法》中创立的公共公司监督委员会PCAOB对财务报告内部控制审计准则实施中应注意的问题。

一、PCAOB财务报告内部控制审计准则的颁布

2001年安然事件及其随后的一系列公司经营失败事件严重地损害了事发公司相关利益者的利益,极大程度地撼动了世人对美国资本市场稳定性和公允性的信念。为了应对这一严重后果,美国国会于2002年7月30日颁布了由其总统签字的《萨班斯――奥克利法案》(下称“法案”)。内部控制的失败,特别是财务报告内部控制的失败是法案中国会最关注的、予以处理的问题,因此法案404(a)条款要求公司管理当局评估和报告公司的财务报告内部控制;法案404(b)条款要求公司的独立审计师对公司管理当局的财务报告内部控制的评估进行鉴证,并报告其鉴证结果。法案还为监督公司独立审计师创立了一个新的委员会――公共公司会计监督委员会(PCAOB),并责成其制定法规将公司执行主管、公司董事、律师和会计师的责任法规化。

法案103(a)(2)(A)和404(b)条款指令PCAOB建立职业准则指导独立审计师的鉴证。因此,自PCAOB成立起,就对上市公司管理当局的财务报告内部控制评估事宜倾注了极大的关注和努力。在2003年4月,PCAOB采用原有的职业准则作为该委员会的临时准则,包括一个指导审计师鉴证内部控制的准则。为了更好地关注法案要求和评估现有的临时准则,PCAOB在2003年7月29日召开了公开讨论会,讨论和听取与财务报告内部控制报告和鉴证有关事宜的问题与观点,与会人员有上市公司、会计师事务所、投资机构和监管组织的代表。根据会议结果,综合各方代表的意见与建议,PCAOB认为PCAOB所确立的原有内部控制鉴证准则并不能充分完成有效履行法案404(b)条款之要求,PCAOB自身也不能适当解除法案103条款下的准则制定义务。因此,PCAOB在2003年10月7日制定了一个题为“连同财务报表审计的财务报告内部控制审计”的准则征求意见稿,在准则征求意见期间,PCAOB一共收到来自审计师、投资者、内部审计师、发起人、监管者和其他人等的193份评论。在综合分析与考虑所收到的评论和履行法案的规定要求后,PCAOB于2004年4月9日正式了审计准则No.2准则“连同财务报表审计的财务报告内部控制审计”。要求被证券交易法12b-2所认定为加速递交的公司会计年度结束于2004年12月31日或之后的就要遵循萨班斯法案404条款规定的内部控制报告和披露。(其他公司直至会计年度结束于2005年12月31日或之后才遵循内部控制报告和披露的规定。)因此,受聘于审计加速递交人会计年度结束于2004年12月31日或之后财务报表的独立审计师也要求审计和报告公司同期会计年度的财务报告内部控制。

二、PCAOB财务报告内部控制审计准则实施中要注意的问题

自PCAOB审计准则No.2准则“连同财务报表审计的财务报告内部控制审计”颁布实施以来,历时虽不久,但是所反映出来的问题却很多,以下只是从审计师遵守该准则执行具体业务的视角,简单讨论了审计师为了更好地遵守准则完成所聘业务应该注意的问题。

(一)努力整合财务报告内部控制审计与财务报表审计

法案404(b)要求公司外部审计师对其管理当局的财务报告内部控制评估予以鉴证并报告, PCAOB的审计准则No.2要求审计师对管理当局财务报告内部控制的评估进行审计并报告审计结果。根据PCAOB的观点,审计师对管理当局财务报告内部控制有效性评估报告的鉴证业务与财务报告内部控制审计是一样的,检查管理当局财务报告内部控制评估的鉴证业务所要求的工作与财务报告内部控制审计所要求的工作也是一样的。财务报告内部控制审计的目标是审计师就管理当局对财务报告内部控制有效性的评估报告是否在所有重大方面公允表达表示意见,财务报表审计的目标是审计师就被审单位的财务报表是否在所有重大方面公允表达表示其专业意见。为了取得公允、可靠的财务报表,内部控制必须设计良好的以监督记录准确、公允反映交易和公司资产的处置;内部控制必须能够为交易记录足以遵守GAAP编制财务报表、现金收支只有在管理当局或董事会授权才能处理提供合理保证;内部控制必须确保设计好控制能够预防或侦查盗窃、未授权使用或处置对财务报表有重大影响的资产等等。换而言之,如果公司管理当局能够证明他们运用充分的内部控制簿记,为编制准确的财务报表准备了充分的簿记和记录,坚持了关于使用公司资产的规则等,则投资者对公司的财务报表将会有更大的信心。正因为这样,法案404条款才要求公司管理当局评估和报告其财务报告内部控制,并要求公司独立审计师对管理当局的评估表示鉴证意见,也就是说,为利益相关者和社会公众依赖管理当局对公司财务报告内部控制的表达提供一个独立理由。可见,无论是财务报表审计,还是财务报告内部控制审计,其终极目标是一样的。为此,404(b)条款要求不能将审计师对管理当局财务报告内部控制的鉴证视为一个孤立的业务。

更重要的是,这二者所涉工作之间的关系是你中有我、我中有你、互为影响、紧密联系的。整合财务报表审计和财务报告内部控制审计,就是通过同一过程同时实现两种审计的目标。财务报表审计中,准则要求审计师必须获得对被审单位内部控制的了解,并对之进行风险评估,以确定随后需要进一步执行的审计程序。而遵守404条款的公司审计师就不仅仅是获得内部控制的了解,而且要检查内部控制设计和运行的有效性,并就其有效性表示意见。可见,这两种审计不仅终极目标是一致的,而且其间过程也是血肉相容的,努力整合它们可以降低审计成本,提升整个审计过程的有效性。如财务报告内部控制审计中审计师对内部控制的检查,可以通过财务报表审计的结果得以证实;另外,在财务报告内部控制审计过程中得到的审计结果和结论又可以帮助审计师更好地计划和执行那些设计来确定财务报表是否公允表达的审计程序。二者相互补充、互为强化,更好地改善了公司财务报告内部控制以及财务报表的审计质量。

在现有的审计实务中,由于种种原因,一些审计师未能充分整合这两种审计,事实证明这不仅浪费审计资源,还将危及整体审计质量,甚至有很大可能错过那些能够识别和根除处于萌芽状态的会计或报告问题。

(二)重视并努力提高职业判断能力

本质上说, PCAOB的审计准则No.2与其他审计准则并无多大差异,也在准则中规定了相对具体的审计方案。遵循这一准则,审计师也能够量体裁衣地编制足以应对审计客户性质和复杂性的审计计划,其前提就是审计师要充分运用自己的职业判断能力。但是,现有的审计相关实务所反映出来的是:有很大一部分审计师所使用的是一种“以一应万”的、与具体问题和具体客户财务报表过程风险无多大关联的标准化式的“清单驱动”审计计划。这种计划编制模式,最终的结果是导致审计费用增加,审计资源配置不科学。如安排项目小组中的助理人员花很多的时间去测试细节处理层次的控制;这种计划很少调查可能识别财务报告问题的重大控制薄弱点等等。这种计划最终将使得审计质量未能取得预期效果。

财务报告内部控制审计的目标是针对被审单位管理当局的财务报告内部控制评估报告是否在所有重大方面公允表达表示意见。审计师为了完成这一目标应该获得公司内部控制系统合理保证财务报表不含有重大错报的证据,在这一过程中充斥着对审计师职业判断的要求。例如审计师不仅需要运用职业判断确定如何将审计准则No.2应用于不同行业、不同规模的审计客户,还要运用其职业判断将其审计工作集中于由于错误或舞弊可能存在的更高错报风险的领域;又如,要确定财务报告内部控制设计和运行的有效性,审计师应该运用其职业判断确定内部控制缺失、重大缺失、重大薄弱点,审计师在评价财务报告内部控制缺失时,必须以合理的方式运用其职业判断,这种评价可能要适当考虑质量和数量因素。特别是,质量分析应该分解为缺失的性质、原因、所设计的控制支持的相关财务报表认定、对主要控制环境的影响以及其他弥补控制是否有效。

一个新的工作领域,审计师不仅面临着一个学习的过程,而且要面对前所未有的困难与挑战。尽管财务报告内部控制审计与财务报表审计血肉交融,但是财务报告内部控制审计对审计师职业判断的要求要高得多,且目前还有点让人无所适从之感。为了更好地履行财务报告内部控制审计这一职责,审计师应该充分重视并尽可能地提升自己的专业判断能力。

(三)强调方法的适用性和风险评估的作用

审计向来不是一种机械核对活动,财务报告内部控制审计也一样。一个好的、富有成效的财务报告内部控制审计方式应该是重视不同被审单位的具体风险,将审计资源科学地配置于最高风险领域,避免对重大账户和相关控制一视同仁而无视相对应的风险。因此,在财务报告内部控制审计中,要强调方法的适用性和风险评估的作用。为此,审计准则No.2设计了一种自上而下的风险导向测试策略方法。也就是说,准则要求审计师首先将注意力集中于公司层面的控制;然后是重大账户,这将引导审计师关注重大处理过程;最后,关注过程中、交易或应用层次的具体控制。每一步获得的了解都将指导审计师关注下一控制层次内的高风险领域。

审计师应用自上而下、风险导向的方法确定重大账户和相关的重大过程以及有关的认定。这种方法的自然结果是审计师能够对高风险领域予以更大的关注和资源。应用这种自上而下的方法,要求审计师以合理的方式运用其积累的知识、经验和判断去确认存在财务报表可能存在重大错报的重大风险领域,然后,进一步确认与此相关的控制、设计适当的程序测试这些控制。在确认重大账户和有关重大过程以确定其审计程序时,审计师一般既要考虑数量因素也要考虑质量因素。质量因素包括与不同账户及其相关过程有关的风险,除了考虑质量因素以外,审计师还要建立用于确认内部控制测试范围内的重大账户的数量限阈。审计师应该考虑与已识别的每一重大账户有关的整体风险以确定他们是否应该改变具体控制之控制测试的性质、时间和范围。这样审计师就可以排除那些不需进一步考虑的含有重大错报之概率只有极小概率的账户,使得其对低风险领域予以更少的关注,进而能够进一步降低成本,同时增加审计效果。审计师要是选择另一种无用的方法就有可能要承担审计成本增加、质量降低的风险。如从最低层开始就增加了使自己陷入最终结果对实现预防或侦查财务报表重大错报的基本目标无任何意义的测试之中,进而导致增加一些不必要的成本。

作为其风险评估的一部分,审计师还应该考虑公司层面控制的强度,以确定对这些控制所作的测试结果是否改变测试的性质、时间和范围。虽然审计师不仅仅依赖公司层面控制的测试,但公司层面控制强可以使得审计师做更少的工作,否则,他们将要执行更多的测试或要更大范围地依赖别人的工作。

(四)充分利用他人的工作

审计师自上而下地应用审计准则No.2,并适当地评估风险将能自然地识别那些需要利用他人工作既遵守准则要求又是最有效的审计方式的领域。在这些领域重复执行测试或其他审计工作可能使得审计成本不必要地增加,审计质量也没有得到相应的提高。

篇5

「关键词财务报告;内部控制;有效性

上市公司经营失败、公司舞弊的指控以及财务报表的重新编报(Financial statement Restatements)(2),都将注意力集中在财务报告内部控制(Internal Control over Financial Reporting)的充分性上来。如何建立健全有效的财务报告内部控制制度,管理层如何对财务报告的内部控制有效性进行评价,以及外部审计师在财务报告的内部控制有效性审核中的作用就成了最紧迫的理论问题之一。本文从《萨班斯—奥克斯利法案》的最新规定出发,对我国财务报告内部控制评价提出自己的看法。

一、美国财务报告内部控制的新概念

内部控制概念的演变大致可划分为内部牵制、内部控制、内部控制结构和内部控制整体框架四个历史阶段。最初的内部控制定义可以追溯到美国注册会计师协会审计程序委员会1958年的《第29号审计程序公告》,其中,将内部控制分为内部会计控制和内部管理控制两个部分,并将内部会计控制与保护资产的安全完整和财务记录的可靠性直接联系在一起,具体的措施有交易授权与批准制度、资产的实物控制、从事财务记录和审核与从事经营或财产保管职务分离的控制。1972年,《第54号审计程序公告》对内部会计控制进行了重新定义,认为内部会计控制是组织计划以及关于保护资产安全完整和财务记录有效性的程序和记录,并对下列事项提供合理的保证:交易经过合理的授权进行;公司对交易进行了必要的纪录,以确保财务报表的编制与公认会计原则保持一致;资产的使用和处置经过管理层的适当授权;在合理期间内,对现存资产与资产的会计记录之间的任何差异采取了恰当的行动。

1992年,COSO委员会对内部控制进行了深入的研究。根据COSO委员会1992年提出的《内部控制-整体框架》报告中的定义,内部控制是受公司董事会、管理层和其他人员影响的,为达到经营活动的效率效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。1995年,美国注册会计师协会审计准则委员会在其的《第78号审计准则公告》中,接受了COSO报告对内部控制的定义。

美国证券交易委员(SEC)在2002年的33-8138号提案中首次对财务报告内部控制进行了诠释,该提案认为,财务报告内部控制的目的是确保公司设计的控制程序能为下列事项提供合理的保证:公司的业务活动经过合理的授权;保护公司的资产避免未经授权或不恰当的使用;公司的业务活动被恰当的记录并报告,从而保证上市公司的财务报表符合公认会计原则的编报要求。该定义符合美国注册会计师协会审计准则公告319条款的规定,并与《萨班斯——奥克斯利法案》103条款中的内部控制定义保持一致。

根据SEC2003年6月正式的最终规则中的定义,财务报告内部控制是指由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的,受到公司的董事会、管理层和其他人员影响的,为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计原则提供合理保证的控制程序,具体包括以下控制政策和程序:

1.保持详细程度合理的会计记录,准确公允地反映资产的交易和处置情况;

2.为下列事项提供合理的保证:公司对发生的交易进行必要的纪录,从而使财务报表的编制满足公认会计原则的要求;公司所有的收支活动经过公司管理层和董事的合理授权;

3.为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证,这种未经授权的取得、使用和处置资产的行为可能对财务报表产生重要影响。

定义中的1、2两点与《萨班斯—奥克斯利法案》103条款中要求注册会计师事务所在审计或鉴证报告中进行内部控制评价的内容保持一致,第3点则是针对公司资产的使用和处置提出的,表明保护资产的安全完整是财务报告内部控制的有机组成部分。

与COS0报告中对内部控制的定义相比,SEC在最终规则中对财务报告内部控制的定义仅包含了与财务报告可靠性目标相关的部分,而省略了经营活动的效率效果的目标,遵循相关法律法规目标中也仅保留了诸如证券交易委员会财务报告要求这类与财务报表编制直接相关的法律法规。这个定义与《证券交易法》第13(b)(2)(B)款对内部会计控制的描述保持一致。

二、美国财务报告内部控制评价的最新进展

20世纪70年代以来,管理层对内部控制有效性是否进行报告曾引起广泛的争论,但直到《萨班斯—奥克斯利法案》颁布之前,还没有形成统一的规范。实务中仅有美国联合存款保险局(Federal Deposit Insurance Corporation)对加入保险的总资产超过5亿美元的金融机构要求提供管理层内部控制有效性的报告。2002年7月,国会通过的《萨班斯—奥克斯利法案》第一次对财务报告内部控制的有效性提出了明确的要求。该法案涉及内部控制的条款主要有:

1.第103款规定,对管理层财务报告内部控制评估的审计师报告,需要评价公司的内部控制政策和程序是否包括详细程度合理的纪录,以准确公允地反映公司的资产交易和处置情况;内部控制是否合理保证公司对发生的交易活动进行了必要的纪录,以满足财务报告编制符合公认会计原则的要求;是否合理保证公司的管理层和董事会对公司的收支活动进行了合理授权。

篇6

【关键词】 内部控制 内部控制审计 矛盾

一、内部控制审计目标与范围矛盾的产生背景

财政部等五部委于2008年7月联合的《企业内部控制基本规范》将内部控制定义为:内部控制是由企业董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。该定义下的内部控制属于企业整体的内部控制,从与财务报告的相关性上可将其分为财务报告内部控制和非财务报告内部控制两部分。财务报告内部控制,是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制;非财务报告内部控制,是指除财务报告内部控制之外的其他控制,通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制。

2010年4月,财政部等五部委再次联合了《企业内部控制配套指引》,其中的《企业内部控制审计指引》(以下简称《指引》)总则第二条指出:内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。可见,《指引》所规定的内部控制审计目标是企业整体内部控制的有效性,注册会计师要对整体内部控制的有效性发表审计意见,承担责任。但《指引》总则第四条进一步指出:注册会计师应当对财务报告内部控制有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。这一规定将注册会计师的审计范围缩小到了财务报告内部控制和“注意到的非财务报告内部控制”。在《指引》所附的各类型审计报告参考格式中,非财务报告内部控制重大缺陷描述段有如下阐述:我们并不对××公司的非财务报告内部控制发表意见或提供保证,本段内容不影响对财务报告内部控制有效性发表的审计意见。这样,注册会计师对非财务报告内部控制不承担任何责任,注册会计师的实际审计范围就仅局限于财务报告内部控制。因此,内部控制审计目标与范围存在矛盾,即目标是企业整体内部控制的有效性,而范围却只是财务报告内部控制。

二、内部控制审计目标与范围矛盾的产生原因

对于矛盾产生的原因,中注协曾给出过解释,主要包括以下几点:一是考虑到注册会计师的胜任能力,对非财务报告内部控制的审计超出了注册会计师的技能、知识和经验,恐怕难以胜任;二是考虑到成本效益的约束,将审计范围扩展到企业整体内部控制将大大增加审计成本;三是目前国内国际尚未形成对非财务报告内部控制有效性进行评价的标准,在判断上存在较大的主观因素,结果缺乏可比性。从中我们可以分析出,没有将非财务报告内部控制纳入审计范围只是当前还存在一些困难,客观条件还没有完全具备,实属“无可奈何”。

但是,将内部控制审计的范围局限于财务报告内部控制还是绝不能令人满意的,最主要的问题在于这与《企业内部控制基本规范》制定和实施的初衷是相悖的。《企业内部控制基本规范》在总则第一条中提到:为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,制定本规范。因此,《企业内部控制基本规范》的制定和实施要达到以下三个层面的目标:一是宏观层面,完善现代企业制度,促进我国经济健康运行,走可持续发展道路;二是中观层面,规范资本市场秩序,保护投资者合法权益;三是微观层面,防范企业经营风险,提高企业管理水平和经营效益。上述三个层面的目标具有相同的重要性,都具有重大意义。在这三个层面中,与财务报告内部控制联系最紧密的是第二个层面,有效的财务报告内部控制有利于提高财务信息的质量,真实反映企业生产经营活动的实际情况,从而向资本市场提供更可靠的信息,满足信息使用者的需求。对于其他两个层面,非财务报告内部控制发挥的作用会更大一些。《指引》属于《企业内部控制基本规范》的配套指引,是根据《企业内部控制基本规范》制定的。《指引》将审计范围仅限定在财务报告内部控制,使其只能在促进企业财务报告内部控制的发展和完善方面发挥作用。这种限定仅顾及了《企业内部控制基本规范》三个目标中一个目标的实现而忽略了其他两个目标,正所谓“皮之不存,毛将附焉”,片面的审计范围与《企业内部控制基本规范》的初衷是相悖的,将内部控制的审计范围扩展到企业整体的内部控制势在必行。

三、解决内部控制审计目标与范围矛盾的思路

篇7

内部控制审计和财务报表审计的经济学分析审计报告是一种特殊的公共产品,报告使用者不需要付出任何代价就可以使用,因此不便采用供需模型进行分析,基于此我们仅分析注册会计师与被审计单位之间的关系(假设审计市场是自由竞争市场,被审计单位均有良好的内部控制系统)。注册会计师靠提供审计服务来获得收入,为市场上该业务的供给方,被审计单位通过聘请注册会计师进行审计而获得最终产品审计报告,支付审计费用,为市场上该业务的需求方。假设不存在财务报告内部控制审计而只有财务报表审计时的供需《内部控制审计指引》规定,被审计单位在接受财务报表审计的同时可以接受财务报表内部控制审计,由于由同一家事务所进行两种审计的成本必然小于两家事务所分别审计的情况,所以整合审计是必然趋势。整合审计时,注册会计师在财务报表审计报告之外需要增加一份关于财务报告内部控制的审计报告,付出了更多的成本,承担了更大的风险,必然要提高审计费用。由于审计成本增大,同样的审计费用,在整合审计时,注册会计师将提供更少的审计报告,所以供给曲线向左较小范围的移动。与此同时,由于注册会计师提供了更多的服务,从源头到最终产品都合理保证了财务报告信息质量,因此被审计单位披露财务报表审计报告的同时披露财务报告内部控制审计报告就向投资者、债权人等利益相关者传递了其经营管理有效、公司发展前景较好等消息,所以被审计单位更愿意接受注册会计师的审计,此时需求曲线应向右进行较大范围的移动。同时提供两种审计报告市场的审计费用和审计报告的供需曲线的交点为A′,A′B′C′的面积为审计报告市场的总剩余,所以整合审计增加了审计市场的总剩余。点A′在点A的右边,说明审计报告的供需量增加了。

二、整合财务报告内部控制审计和财务报表审计可行性分析

注册会计师在执行审计业务的过程中必须保持超然的独立,客观公正地对审计对象发表意见。财务报表审计是最常见的审计业务,财务报表审计从两权分离开始发展到现在,已经趋于成熟。而财务报告内部控制审计是近期才兴起的业务,是指会计师事务所接受委托,对特定日期企业与财务报告相关的内部控制的有效性发表审计意见。虽然二者在范围、方法、程序等多个方面是有所区别的,但财务报告内部控制审计实质上是“脱胎”于财务报表审计的,二者在诸多方面是有共同之处的,因此财务报表审计的工作经验可以用于执行内部控制审计过程中。这样才能解决目前内部控制审计执行过程中的成本过高的问题。但是目前对整合审计的具体操作方法准则并没有明确规定,只是原则性的指导。二者的相通之处,正是整合的关键之处,全面深入了解这些联系,才能最大限度发挥整合审计的作用。

三、整合财务报告内部控制审计和财务报表审计实施

困境财务报告内部控制审计在职业判断力和专业胜任能力等各方面对注册会计师都有更高的要求。财务报告内部控制在表现形式上并非单纯的财务数据,而是具体的业务活动,是多个动态过程的集合。因此要对该过程予以审计,并实现预期的目标是有相当难度的。在财务报告内控审计中,会限制一些被强制执行的实质性程序,其原本在财务报表审计中对于应对重大错报风险起到实质作用的。在财务报告内部控制审计中可以执行的程序种类比较有限,所以对注册会计师的职业判断要求很高。例如,在编制审计计划时,由于公司财务报告内部控制与公司的具体经营性质、规模等方面都有极大的关系,格式化的审计计划在该业务上是行不通的,需要高度的具体问题具体分析,只能这样才有可能识别出财务报告内控中的重大缺陷。并且此后每次审计,注册会计师一般都要编制新的计划,因为内部控制或者内控的环境在这个过程中可能发生了变化。此外,依据《审计指引》规定,注册会计师需要对内部控制以及公司管理层编制的内控自评报告提供双保险的鉴证意见。虽然指引只要求注册会计师对与财务报告相关的内部控制的设计和执行情况进行审计,但是对那些可能存在重大缺陷的非财务报告内部控制,也要保持关注。对于相当领域的内部控制,如生产安全的内控、产品质量的内控等方面,多数情况下是在注册会计师知识、技能以及工作经验之外的,此时其他相关领域专家的配合鉴证就是必不可少。另外,有的控制从表面看来与财务报告无关,但细入分析,这些控制之间都有千丝万缕的联系。因此,指引的意见实质上加大了注册会计师的责任,要求其能够合理保证企业所有的内部控制的有效性。

四、整合财务报告内部控制审计和财务报表审计推进策略

(一)将财务报告内部控制审计和财务报表审计的计划整合

对于财务报告内部控制审计与财务报表审计,准则允许分而审之,也可以由一家会计师事务所审计。但是,《审计指引》建议将二者整合进行。从成本效益的原则,本文也建议应该由同一家事务所同时进行。因此,项目组成员在进行财务报表审计的同时,可以对财务报告内部控制予以并行审计。财务报表审计安排方面可细分为总体审计策略与具体审计计划的制定。财务报告内部控制审计中,根据对企业基本环境和情况的了解,制定审计计划,确定工作范围、审计的责任和资源的分配。对于上述两者,审计计划的制定都是首要的。同时在过程中,都被着重要求了对于被审计单位的行业状况、以及相关内控等重大事项的了解。在制定整合审计计划初期,注册会计师应就某些事项在内部控制与财务报表方面有无重大影响以及会以何种方式影响审计工作做出判断和评估。同时,在进行内部控制审计工作时,注册会计师还应重点识别、评估财务报表审计中的舞弊风险。因为被审计单位舞弊风险比较高的话,那么内部控制极有可能被舞弊所规避,而没有得到有效执行,这样可能导致内部控制的重大缺陷。风险导向的审计思想贯穿在审计计划之中。财务报表审计中,审计计划是一个贯穿审计过程始终的指导性思想,会随着注册会计师对被审计单位的了解而不断得到修正,如果项目组成员实施审计的过程中发现财务报表存在重大错报,注册会计师应当考虑其对内部控制的影响,决定是否需要修改审计计划。

(二)将财务报告内部控制审计和财务报表审计的过程

整合对于具体的风险评估程序,财务报表审计与财务报告内部控制审计在被审计单位内部控制的了解与评价方面是有明显差异的。注册会计师应当考虑在评估有可能引发财务报表错报风险时,深入了解企业内控整体风险,确认业务层面有关的流程和控制。并在此时对企业层面内控予以评价。与财务报表审计相同,在财务报告内部控制审计过程的始终都应当贯穿风险评估的理念及思路。在风险评估程序完成之后,财务报表审计要求注册会计师就被审计单位的内部控制予以初步评价。如果预期内控是有效的或者仅靠实质性程序不能获取认定层次充分适当的审计证据,那么注册会计师需进一步对其实施控制测试。财务报表审计过程中获取的有关控制执行状况的证据可以在内控审计方面予以进一步利用,但要对财务报告内部控制的有效性进行合理保证需要更加充分、适当的审计证据,因而单凭财务报表审计过程中控制测试期间所取得的证据是绝对不够的。注册会计师对内部控制进行进一步的审计也是非常必须的,进一步审计的过程可以在实质性程序之后实施。

(三)将财务报告内部控制审计和财务报表审计的结果

篇8

【关键词】内部控制;缺陷;认定

2008年6月,我国了《企业内部控制基本规范》。为了配合该《基本规范》的有效施行,2010年4月,在《基本规范》的基础上我国又了包括《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》在内的《企业内部控制配套指引》。上述法规的和实施表明我国企业内部控制规范体系已经基本建成。

一、内部控制缺陷识别与认定中存在的问题

(一)内控缺陷与内控局限性的区分存在误区

内控缺陷和内控局限性的共同点在于两者都是只能为控制目标的实现提供合理而非绝对的保证。内控缺陷与内控局限性的本质区别在于,内控缺陷是指内部控制在设计的过程中对重要控制措施设计不合理,以及内部控制在执行的过程中不按照设计意图运行而产生运行结果偏差的可能;内部控制局限性则是指设计者在设计过程中不能事先预见各种可能性而预留的风险敞口,以及运行的过程中即使按照设计意图运行也不能实现控制目标的可能。虽然内控缺陷和内控局限性之间存在着本质的区别,但是在具体的事件中要将两者区分开却非常地困难。例如,由于判断失误、串通或共谋导致的控制目标的偏离是应当作为内控局限予以规避,还是作为内控缺陷予以认定和披露呢?我国《企业内部控制评价指引》对于内控缺陷的认定标准要求企业自行确定,并没有提到内部控制局限性。《企业内部控制审计指引》中虽然提到了内部控制局限性,却没有给出明确的判断标准。这显然给了企业机会主义选择空间,企业很有可能在披露内控缺陷信息的时候选择对自己有利的披露方式,将管理层越权、串通或共谋等超越内部控制的故意行为认定为内控局限性,从而得出内控有效性的结论。

(二)内部控制缺陷重要性程度划分标准不明确

内控缺陷按照其影响程度不同分为重大缺陷、重要缺陷和一般缺陷。重大缺陷,是指一个或多个组合可能导致企业严重偏离控制目标;重要缺陷,是指严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标;其他的就属于一般缺陷。显然,这只是对内控缺陷严重程度的一种描述性说明,并不具有实际操作性。这种含糊的规定加之企业缺乏先例可循,直接导致企业内控缺陷的认定困难和披露质量不高等问题。

(三)财务报告以及非财务报告内部控制缺陷未加以划分

《企业内部控制基本规范》指出:“内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”由此可以看出它提出的是公司整体层面的内部控制缺陷。但是,却没有对财务报告内部控制和非财务报告内部控制进行区分,财务报告内部控制和非财务报告内部控制由于控制目标、控制方法及应对措施不相同,其控制缺陷的认定一定不相同,有必要对二者进行区分。

(四)企业和会计师事务所对基于内控缺陷出具的内控有效性评价报告范围不一致

对于内部控制缺陷的认定范围,我国《企业内部控制评价指引》则要求企业从公司层面认定内部控制缺陷,除了需要对财务报告的内控缺陷进行认定外,还需要将非财务报告内控缺陷纳入了内部控制评价范围。然而《企业内部控制审计指引》却要求注册会计师在评价企业内部控制时要对财务报告和非财务报告内控缺陷进行区分,对于财务报告内部控制的有效性发表审计意见,对于非财务报告内部控制的有效性并不发表审计意见,而是规定对发现的非财务报告的重大缺陷,需要在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。显然,企业所出具的内部控制自评报告是针对企业整体层面的,是对企业整体的内部控制有效性进行的评价,而注册会计师所出具内控审计意见则仅是针对财务报告内部控制的有效性进行评价。这样至少在形式上两份内控有效性评价报告的范围就不一致。

二、合理识别和认定内部控制缺陷的对策

(一)内控缺陷识别和认定应采用原则与规则相结合的制定思路

如上所述,对于内控缺陷的认定标准,关键在于其是否导致了控制目标的偏离。因为企业自身经营特点的不同,企业内控缺陷的具体认定标准是由企业根据自身情况来自己确定的。这种原则性的规定虽然考虑到了企业的实际情形,但是在实际操作中不仅难度非常大,而且给企业提供了操纵空间,将会增加其利己主义倾向。由于企业趋利避害的本能会导致企业在原则性规定的情况下,即使存在内部控制重大缺陷,也会选择对其不进行披露。比如前文所提到的内部控制缺陷和内部控制局限性,在实务中难以完全区分开来,相关指引又没有明确的说明,这极有可能导致企业将重大内部控制缺陷轻描淡写地认定为内控局限。因此,有必要对于目前的一些国内企业中还具有普遍性的严重影响内控有效性的行为,比如管理层越权、串通或共谋等行为,在现阶段以规则的方式将其明确认定为内部控制缺陷而非内部控制局限性,减少企业自由选择的空间。

(二)统一企业和会计师事务所对内控有效性评价的范围

如前所述,我国要求注册会计师分别对企业财务报告内部控制缺陷和非财务报告内部控制缺陷进行认定,这既是考虑了注册会计师的专业特长,也使得对内部控制有效性的评价相对完整。那么企业也应当分别从财务报告和非财务报告内部控制缺陷方面进行同样的划分,这不仅可以使企业在平时对内部控制的自我评估报告中更加严格和谨慎,而且也可以使企业和注册会计师在对内部控制的自我评股报告和审计报告中有更好的沟通和交流,最终使得两者所提供的内部控制的自我评股报告更加协调一致以及具有权威性。同时,应当尽量明确财务报告内控缺陷和非财务报告内控缺陷的范围,这样企业和注册会计师在实际工作中就能遵循同样的标准,据此得出的内控报告信息就更具有可比性和一致性。

(三)采用定性化或定量化标准对内控缺陷进行认定划分

对于财务报告内部控制缺陷,因其会直接导致财务报告,仅

通过定性分析是远远不够的,应采取定性和定量结合的标准进行认定。借鉴我国《注册会计师审计准则第1221号——重要性》从性质和数量两个方面确定重要性水平,对内部控制缺陷的认定也可以从性质和数量两个方面进行。

1)定性分析标准:内部控制缺陷的性质。某些缺陷可能从数量方面看并不是很重要,但从其性质方面考虑,却可能是非常重要的。因此,评估人员应首先分析内控缺陷的性质,比如涉及违法及舞弊行为、影响合同履行等内部控制缺陷。本文借鉴注册会计师对重要性和特别风险的确定标准认为,具有以下特征的缺陷,应当被认定为重大缺陷:控制环境是无效的;发现公司管理层存在的任何程度的舞弊行为;导致违反法律法规的内控缺陷;管理层一直以来都不愿意纠正的内部控制缺陷;与高度主观判断和主观估计相关的内控缺陷。

2)定量分析标准:内部控制缺陷的数量。对财务报告的内控缺陷应该用量化标准来认定。本文认为可以适当借鉴我国或有事项会计准则规定,按照发生的概率对发生的可能性进行划分。即重大缺陷设定为一项控制缺陷造成公司合并税前利润错报率大于5%且发生的可能性大于50%的内控缺陷;一般缺陷设定为造成公司合并税前利润错报率小于5%且发生的可能性小于或等于50%的内控缺陷;其他情况则划分为重要缺陷。

相对于财务报告内部控制缺陷而言,非财务报告内控缺陷影响的不仅是财务报告错报,还包括整个企业的效率、效益和经营合规性等问题,很难用定量的方法进行认定。因此可以采用定性的标准进行认定。如关键控制点认定法,即明确各种关键业务,如果这些业务出现缺陷,就可以认定为重大内控缺陷,其他则为非重大缺陷。

总之,我们需要不断完善内控缺陷的识别与认定的相关的规范,使得我们能够对内控缺陷进行充分的披露,并且能够为广大的未来信息使用者提供有价值的信息。

参考文献:

[1]财政部会计司.企业内部控制规范讲解[M].北京:经济科学出版社,2010.

篇9

【关键词】 内部控制; 盈余管理; 财务报告; 质量

一、引言

上市公司的各方利益相关者总是希望会计能通过财务报告反映一个会计主体的“价值”,因为他们关心一个主体当前拥有的财富是多少,并据以预测未来。但是,美国最新的IASB/FASB认为:“通过财务报告并不试图表示一个主体的‘价值’(value),不过它可以提供信息,去帮助现在的和潜在的投资人、贷款人和其他债权人估计报告主体的价值”①。由于会计充满了历史成本、公允价值、资产减值等类似的估计和判断,所以说,财务报告做不到,也不企图做到去反映主体的“当前价值”。既然是使用者利用财务报告的信息对企业价值进行“评估”,那就未必保证准确、可信了。所以,利益相关者如果要获取更多的用于判断和决策的综合估值信息,并分辨和剔除盈余管理可能产生的噪音和干扰,那么,研究上市公司内部控制的实施与披露也就显得非常重要了。

美国的会计学家斯科特(William.K.Scott)从“信息观”角度阐释了盈余管理的内涵,他认为,盈余管理是在会计准则允许的范围内,通过对会计政策的选择使经营者自身利益或企业市场价值达到最大化的行为。具体可以理解为:企业管理当局实际经营效果和经济预期差距较大时,为了维护公司股价的长期稳定上升,为了实现社会资源对于本公司的有利配置(含股权融资和债务融资),或者为了自身的聘任和薪酬,对财务报告进行粉饰。

相反,内部控制的一项重要目标就是合理保证财务报告及其相关信息的真实完整。美国的Treadway委员会认为,内控不健全是导致财务报告失真的重要原因②,虽然他们当时没有对导致内部控制不健全的因素进行更深层次挖掘,但足以表明,对于财务报告质量而言,盈余管理和内部控制是两股截然不同的力量。

上市公司会计信息问题集中的焦点是财务报告的质量与可靠性。财务报告形成的背后,有着利益各方相互博弈的背景。各利益相关者之间的矛盾关系推动着盈余管理和内部控制对财务报告发生作用,两股力量从不同的方向和角度,对财务报告的质量表达不断地进行着修正。现阶段,我国资本市场中的财务报告质量堪忧,许多公司为上市,为保股权再融资资格等,粉饰财务报告,美化财务状况,夸大经营业绩,种种情况,不一而足。

二、委托人与人之间的矛盾

会计信息是联接委托人和人之间的纽带。通过财务报告,委托人可以了解人对经营责任的履行情况,小股东可以以用脚投票的方式来影响管理当局的未来发展。同时,委托人需要根据会计信息(如净利润、净资产收益率等)来设置激励机制,但委托人所接收到的会计信息信号有可能是含有噪音的,所看到的经营情况与真实业绩可能是有差距的。虽然委托人总是希望看到的会计信息是真实的、可靠的,但根据成本效益原则,去验证管理当局是否进行了过度的、不适当的(或者说是不利于委托人的)盈余管理和财务操纵,成本是相当高的。严格的内部控制程序可以限制会计处理上的故意行为(盈余管理)以及非故意行为(计量的失误、估计的误差等),所以说,有效的内部控制系统是高质量财务报告的基石。为了确保信号的低噪音,为了判断并缩小期望差距,委托人往往通过强化内部控制来减少风险发生的不确定性。一方面,盈余管理对财务报告进行粉饰和加工;另一方面,内部控制对财务报告进行监控和纠正,财务报告的质量可以说是得控则优,失控则劣,无控则乱。因此,委托人需要从财务报告的生产过程入手,强化内部控制。值得注意的是,盈余管理所采用的会计工具和构造的交易事项是在会计准则允许下进行的,有些会计行为内部控制也许会发现,但无法去过滤。

应该说,内部控制的严格有效执行为财务报告质量的保证提供了先决条件,能在一定范围内减少会计信息失真发生的可能性。1992—1994年美国颁布的COSO框架是当今世界最有影响的内控框架体系,其所叙述的五要素有控制环境、风险评估、控制活动、信息与沟通、监控,无一不影响着财务报告的质量。内部控制剔除了过度的盈余管理,并将盈余管理的手段减少和规范,最终发出对市场有利的信号,使合理的股价能更好地反映出公司的前景,使公司的市场价值最大化,从而实现市场资源的最优配置。所以说,在委托人与人矛盾下,内部控制的制定和监督权掌握在委托人手中,委托人自然会好好利用,使内部控制的作用发挥得淋漓尽致。

从委托人防止人隐藏不利消息、盈余操纵角度而言,财务报告是一种双方博弈的结果,财务报告形成及反馈的传导机制如图1所示。

如图1所示,由于利益分歧产生的矛盾,为防止人进行过度的盈余管理,促使委托人去强化内部控制。内部控制在实现保证资产安全等目标的同时,会抑制和过滤盈余管理等故意性会计行为。由此产生出的财务报告质量是比较可靠的,是被市场所认可和接受的。市场监管机构面对市场的压力较弱,进一步表现为对内部控制的扶持较弱,对盈余管理的抑制较弱。

三、市场监管机构与上市公司的矛盾

(一)盈余管理的新动向

在现阶段,中国资本市场中的控股股东蚕食上市公司、向下盈余管理的新动向不容忽视。随着中国会计准则与国际准则的逐步接轨以及中国证券监管机制的不断完善,不少诞生于90年代的初级、拙劣的盈余管理手段已悄然退出了历史舞台。但是,伴随着中央政府在国企改革方面的大胆尝试,特别是“国退民进”战略的逐步实施,中国证券市场日益凸显出另一种典型的、具有中国特色的盈余管理新动机,那就是大股东(特别是民营性质的大股东)为获得“所有权控制收益”而实施的“利益输出”(Tunneling)行为,也有学者形象地将其称为“隧道挖掘”行为③。相比整体上市的西方资本市场,对拥有“拆分上市”、“捆绑上市”、“股权分置”等特色的中国上市公司而言,大股东为了切身利益而“掏空”上市公司的盈余管理动机尤其强烈。大股东为了肆无忌惮地将上市公司当作自动提款机,占有、转移大量资金以及为了无限制地要求上市公司为其贷款行为提供担保,势必将盈余管理的会计行为作为实现上述动机的“救命稻草”。

李增泉等(2004)以我国A股上市公司2000—2003年的关联交易数据为基础,研究控股股东对上市公司资金的占用情况。他们发现资金占用比例与第一大股东持股比例之间存在先上升后下降的非线性关系(随着持股比例的增加,大股东与上市公司出现“利益协同”效应)。姜国华和岳衡(2005)考察了1996—2002年期间大股东占用上市公司资金的数据,发现大股东资金占用最多的公司投资组合在未来一年中的超额投资回报为-3.12%,这有力地说明大股东通过盈余管理占用上市公司资金导致上市公司价值的损失,直接后果就是流通股股东财富的灰飞烟灭。

(二)内部控制作用的弱化

我国市场中,“一股独大”的现象比比皆是。控股股东操纵上市公司的股东大会、董事会、监事会,由此产生的(或者说是派出的)人集控制权、执行权、监督权于一身,内部控制系统形同虚设,内控系统完全变成了“内部人”控制的系统。

管理当局在委托人的鼓励和默许下,从他们共同利益的角度出发,有进行盈余管理甚至财务操纵的动机。内部控制的源头出了问题,其危害性不容小觑。会计人员受制于董事会和管理当局,就难免会生产出与真实发生偏离的财务报告,去误导外部的信息使用者。如果委托人指使或鼓励管理当局在财务报告中传达有关与公司长期盈利潜力不符的信息,那么市场得到的财务报告肯定是质量堪忧。由于信息不对称,或者说信息交流障碍巨大,外部的信息使用者发现验证财务报告质量的成本很高,盈余管理和操纵下的财务报告信息质量有待商榷。那些有可能被财务报告误导的外部信息使用者毫无办法。

我国证监会发现这一状况后,在2007年规定上市公司必须对其内部控制进行披露,但道高一尺,魔高一丈,结果收效甚微。因为良好的内部控制披露带来的信号会向市场传递利好的结果,从这个角度而言,上市公司会尽量去披露内部控制,正常情况下这种披露可以为企业的股价、形象、招商引资服务。但在当前内部控制的监管制度背景下,由于股东与管理者当局的合谋,信号传递发生了扭曲。短暂的利益一致会让内部控制披露与盈余管理同时成为信号传递的工具。王奇杰(2011)对2007—2009年江苏省A股上市公司所作的实证研究发现:即使是内部控制有严重缺陷的公司,在未改善内部控制之前也可能披露“内部控制健全、合理、执行有效”的自我评价报告,并可能“设法”获得外部审计师或保荐人的无保留核实意见,致使内部控制披露信息失真。盈余管理凭借会计准则合法的外衣,在内部控制的眼皮底下,从事着不断掏空上市公司等危害他人利益的勾当,财务报告失真,只好由证监会来“外部控制”。由此可见,对保护中小投资者的市场监管环境建设,在中国,还有很长的一段路要走。

(三)上市公司与市场监管的矛盾分析

我国市场监管机构于2007年提出上市公司必须对内部控制进行披露,就是因为盈余管理的力量压制住了内部控制,从而使财务报告质量下滑。那么,为了维持股票市场的正常运行,只有通过市场的外部监管来保证财务报告的质量。然而,为什么盈余管理会克制住内部控制,而使其失效呢?是因为委托人和人的利益合谋,此时,委托人与人之间的矛盾已蜕变为次要矛盾。上市公司与市场中的其他利益相关者(市场中潜在的股东、债权人、流通股股民)之间的矛盾上升为主要矛盾。广大股民希望财务报告质量是有保证的,希望内控的实施和披露是严格和真实的,此时,证监会作为各利益相关者的代言人,被市场压力推到了矛盾前台。在上市公司和市场监管矛盾关系中,财务报告形成及反馈的传导机制如图2所示。

如图2所示,由于委托人和人的利益合谋,在委托人的默许和鼓励下,推动人进行更深层次的盈余管理,此时的内部控制对于盈余管理的故意行为是无效的。由此产生出的财务报告质量可靠性低,不被市场所认可和接受。市场监管机构面对市场的压力较大,表现为对内部控制的扶持增强,对盈余管理的抑制增强。

四、结束语

基于股东与管理当局利益分歧矛盾的委托理论,曾是传统理论的焦点。只要建立一种与激励兼容的制度安排去强化内部控制,就可以充分抑制盈余管理,保证财务报告的质量,从而实现市场中各利益相关者的利益。

但在现阶段的中国,更主要的是控股股东伙同管理当局对市场的中小股东和债权人等之间的矛盾。这种矛盾会不断侵蚀上市公司的价值,严重损害他人利益,是市场所不允许的。资本市场是一种多元利益主体的博弈,我国资本市场中的主要矛盾与国外不同,防止“一股独大”、“委代合谋”成为重中之重。中国证监会于2001年8月了《关于在上市公司建立独立董事制度的指导意见》,要求上市公司建立独立董事制度。但管理当局并非真的想让监督内部控制等会计行为,多数形同虚设。市场监管机构必须重新设计和优化相应的股权制衡制度,促使上市公司低效的内部控制真正发挥作用,把盈余管理和操纵控制在一定的范围之内,合理保证财务报告的质量,还原会计信息的本来面貌,使市场不至于错估,曲解上市公司的价值。政府更要加快向有效资本市场的深入转变,促使主次矛盾变更,不断降低市场投资的风险和交易成本。

【参考文献】

[1] FASB.2010.Concepts Statements No.8.

[2] COSO.1992 and 1994. Internal Control-Integrated Framework.

[3] 李增泉,孙铮,王志伟.“掏空”与所有权安排——来自我国上市公司大股东资金占用的经验证据[J].会计研究,2004(12).

篇10

中国保险业是外国投资者最为关注的行业之一,中国人寿海外上市曾是2003年全球最大的IPO项目,中国人保和中国平安也都在海外成功上市,就是有力的证明。如何完善内部控制,如何强化内部控制的基石,是中资保险公司健康走向世界的必修课。

一、公司内部控制是一个永恒的话题

2002年7月25日,美国国会通过了《2002年萨班斯——奥克斯利法案》(也称《2002年公众公司会计改革和投资者保护法案》,以下简称《法案》)。2002年7月30日,该《法案》经美国总统布什签署后,正式成为法律并生效。该法案的出台是针对美国有史以来最大的能源交易商——安然公司造假事件,以及其后又接连发生的施乐、世通等大公司会计造假案而制定的。根据安然事件反映出来的严重问题以及经济发展水平和社会环境的巨大变化,《法案》不仅对《证券法》(1933)和《证券交易法》(1934)这两部证券监管的重要法律做了修改和补充,而且还对会计行业的监督、审计独立性、财务信息披露、公司责任、证券分析师行为、证券交易委员会的权利和责任等诸多方面做了新的规定。在这些新规定当中,要求管理层报告公司对财务报告的内部控制、并要求外部审计师证实管理层报告的准确性最为引人注目。使内部控制再次成为人们关注的焦点。

《法案》的第302节要求CEO和CFO就他们的内部控制系统进行报告,并在提交给SEC的财务报表上签字——依此作为保证,因此,这部法律将迫使高级执行主管确保其内部控制系统的适当性;而《法案》第404节要求公司:(1)陈述管理层建立和保持适当的内部控制结构和财务报告程序的责任;(2)在上市公司的财政年度末,对内部控制结构和财务报告程序的效果的评估。《法案》的第404节以及103节,指导公众公司会计监督委员会(PCAOB)制定用以管理外部审计师的证实工作,并就管理层对内部控制的有效性的评估进行报告的行业标准。

2004年3月9日,PCAOB了其第2号审计标准:“与财务报表审计相关的针对财务报告的内部控制的审计”,并于2004年6月18日经SEC批准。该标准关注对财务报告的内部控制的审计工作,以及这项工作与财务报表审计的关系问题。这项综合的审计会产生两份审计意见:一份针对财务报告的内部控制,另一份针对财务报表。对内部控制的审计涉及以下内容:评价管理层用于开展其内部控制有效性评估的过程;评价内部控制设计和运转的效果;形成对财务报告的内部控制是否有效的意见。该标准的出台,将对构成有效公司治理基石的董事会、管理层、外部审计师与内部审计师产生深远的影响。正如PCAOB主席WilliamJ.McDonoush所称,“该标准是委员会采用的最为重要、意义最为深远的审计标准。过去,内部控制仅是管理者考虑的事情,而现在审计师们要对内部控制进行详细的测试和检查。这一过程将对投资者起到重要的保护作用,因为稳固的内部控制是抵御不当行为的头道防护线,是最为有效地威慑舞弊的防范措施”。

PCAOB的工作对于规范化的内部控制设计、实施、监督、评估与不断改进是有重大进步意义的,它使许多美国公司的各层管理者能在一个统一的框架内有效履行其内部控制的职责,并为会计师行业对内部控制的评估提供了一个基础。更为重要的是,该标准将力促公司建立有效的内部控制监督体系,这为有效的公司治理奠定了良好的基础。毕竟,内部控制监督过程需要审计委员会、高层管理者、外部审计师和内部审计师的共同参与。

PCAOB相信,为获取可靠的财务报表,机构必须保持内部控制的运转,以便了解各项记录的准确性,各项交易和资产的处理的公允反映情况,并对各项交易记录的充分性提供保证,且收支工作都经管理层和领导者授权。这样,就能根据一般公认会计原则(GAAP)编制财务报表。内部控制的运转还能确保上述步骤的运转,以防止或发现对财务报表产生重大影响的资产的盗用、未经授权使用或处置情形。简言之,如果公司管理层能证明其对簿记工作实施了适当的内部控制,用于编制准确财务报表的账簿和记录是充分的,并遵守了公司资产的使用规则,投资者就会对公司财务报表的可靠性更为信任。

《法案》将代表一个新的资本市场监管时代的到来,对公司内部控制、会计、审计发展的意义尤为重要。随着中国保险业对外国同业的全面开放,中资保险公司已置身于世界市场一体之中,对具有重大影响力的《法案》决不能视而不见。我们应该认真学习和研究《法案》,从中吸收营养,为完善中资保险公司的内部控制提供有用借鉴。

二、COSO框架应该成为中资保险公司完善公司内部控制的标准

第2号审计标准依据COSO制定的内部控制框架制订,在“管理层用于开展其评估的框架”一节中,明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架,来评估公司财务报告内部控制的有效性。在美国,为管理层的评估目标提供的适宜框架就是COSO框架。

COSO是一个由IIA和AICPA在内的众多组织组成的联盟,它开发出内部控制综合框架模型,称作COSO框架。SEC对PCAOB的第2号审计标准的认同,从一个侧面承认了COSO框架,表明COSO框架已正式成为内部控制的标准。在这样的背景下,要完善公司的内部控制,准确理解COSO界定的内部控制的目标、内容、概念是一项最基础的工作。

(一)内部控制的目标

通常情况下,对于组织来说,内部控制的目的是保证实现以下组织目标。

组织运行的效果与效率。所谓效果,就是组织实现组织目标的程度;所谓效率,就是指一定的资源投入所带来的产出量。

财务报告的可靠性和完整性。财务报告是综合反映组织经营效果和效率的文件,同时也是组织风险控制的重要依据。财务报告的不真实、不完整往往是组织的重要风险之源。

符合相关的法律法规和合同。违反法律法规和合同,既可能给组织带来较高的违法或违约成本,更可能隐含着对组织资产或股东利益更严重的危害。

(二)内部控制的内容

内部控制主要由控制环境、风险评价、控制活动、信息和沟通及监督5个部分组成。

控制环境,指影响组织实行内部控制的各种因素,其中包括组织特征、产品与服务构成、组织文化、领导风格、法律制度、管理层对内部控制的认识和组织信息管理系统等。这些因素都直接或间接地对内部控制的推行、效果或效率产生正面或负面影响。

风险评价,指对风险的真实性、风险可能造成的损失、防范风险可能采取的有效措施、这些措施可能产生的效果和风险发生后将产生的内外部影响进行分析和评价。

控制活动,是对可能发生或已经发生的风险采取应对措施,纠正偏差,使组织的运行朝着既定目标发展,其中包括相关的政策和程序。

信息沟通,内部控制涉及到组织的各个环节和各个方面,为了获得充分准确的信息、控制措施得到充分响应、风险评估客观公正,广泛的信息来源和相关人员之间的充分沟通与理解是内部控制中十分重要的工作环节。

监督,整个内部控制过程,包括风险评价和控制措施,本身都必须处于有效的监控之中,并根据具体情况进行及时的动态调整,以提高内部控制的准确性、有效性和控制效率。

(三)对内部控制概念的理解

对内部控制可以从3个方面来理解:

内部控制是动态过程。内部控制是一个过程,是实现目标的手段,而不是结果本身。组织目标是由组织的宗旨决定的。它包括具体目标和实现目标的效率。内部控制是防止那些可能影响组织目标有效率地实现的风险因素造成实际损失、或者使损失降低到最低限度的,贯穿于组织各项活动中的一系列行为或措施。环境影响内部控制,内部控制随环境变化而变化。

内部控制受人员沟通程度的影响。内部控制受到组织内各层次人员的影响,而不仅仅是简单地制定出一本制度手册或规章。单纯的规章制度只是一种机械的控制措施。组织虽然按照规章制度来运行,但人是具有个人目标、个人情感的能动性个体,他们可以在很大程度上影响规章制度的实施效率和效果。他们的行为可能受到其个人利益的驱使,也可能受其误解或抵触情绪的驱使。因此,内部控制必须建立在充分沟通的基础上。

内部控制提供的是合理保证。对管理层或董事会而言,内部控制提供的只是合理的保证,而不是绝对的保证。内部控制措施,无论设计的多么完美、运行的多么好,组织目标实现的可能性受到内部控制制度所固有局限性影响。内部控制也仅能为董事会和管理部门实现组织目标提供合理的保证。

第2号审计标准认为,COSO框架能确认出内部控制的运营效率和效果、财务报告的可靠性、遵守适用的法律和规章三大主要目标,而这三大目标都会对财务报告产生重大的影响,是关于财务报告的内部控制的组成部分。此外,标准将控制环境、风险评估、控制活动、信息和沟通、监控作为框架的五大组成要素,服务于上述三大目标。

事实上,当今世界另外几个主流内部控制框架如加拿大的CoCo、英国的Cadbury报告、国际内部审计师协会(11A)的SAC、信息系统审计与控制协会(1SACA)的Cobit都与COSO框架紧密相关。我国有关部门制定的内部控制标准,包括证监会的“证券公司内部控制指引(2003)”、中国人民银行的“商业银行内部控制指引(2002)”、中国内部审计协会的“内部审计准则——内部控制(2003)”,其核心目标也与COSO框架一脉相承。

总之,无论COSO框架,还是PCAOB的努力,有一点是非常明确的,就是要在公司内部建立一个基本的控制框架,作为管理层评估财务报告内部控制的基准。这也是公司发展到一定程度在管理方面的必然要求,它受公司治理、价值创造、风险和机会、管制、企业文化、技术发展及受托责任等各方面的影响。我们应该从COSO的框架中吸收合理的内核、应从中汲取经验,这会有助于中资保险公司管理层次的提升,执行能力的到位。毕竟,我们正面临一个国际化的舞台,在一些标准、框架的执行上应与全球主流框架保持一致,这样才有沟通的可能,有平等对话的可能,有进一步发展的可能。

三、加强公司内部审计工作有益于完善公司内部控制

内部控制的设计是否适当、执行是否有效,必须依据一定的标准进行评价,这个标准就是COSO中论述的内部控制的五个要素整体层次和/或作业层次的评价标准。对于内部控制评估应由谁来完成,对此COSO和Cadbury报告中的观点都认为,首先应由企业管理当局(或其指定人,如内部审计机构)定期对本单位内部控制设计的有效性进行评估,提出评估报告,然后再由注册会计师对其加以审核,提出内部控制审查报告。《法案》也做出同样的规定。由此可见,公司内部审计在对公司内部控制评估中的重要性。在颁布《法案》的过程中,由于IIA的积极参与,使得内部审计的作用与职责在法案中得以充分体现。

《法案》和美国证券交易委员会的有关指南,要求上市公司的高层管理人员对提交的财务报告提供保证,因此执行管理层是控制环境和财务资料的负责人。外部审计师为财务报告作公证,他要向财务报告使用者保证报告中的资料是按照公认会计准则公允地反映了组织的财务状况。至于内部审计师则负责向审计委员会或其它委员会保证,组织为编制财务报告所设置的内部控制制度是有效的。内部审计执行主管要经常及时地与审计委员会沟通;审计委员会要评价内部审计执行主管报告的全面性和充分性。

内部审计是一种独立、客观的保证活动与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。

(一)要注重发挥审计委员会的作用

《法案》要求所有在美国上市的公司都必须设立审计委员会,并确定其主要职责是:讨论每一年度和季度的财务报表并提出质询;评估公司对外的所有盈利信息和分析性预测;讨论公司的风险评估和管理政策;负责公司内部审计机构的建立及运行;接受并处理本公司会计、内部控制或审计方面的投诉;负责聘请会计师事务所,决定支付其费用并监督其工作,受聘的会计师事务所应直接向审计委员会报告;有权聘用独立的法律顾问、其它咨询顾问。同时,法案对公众公司高级管理人员在公司治理及财务信息披露方面的责任和权利进行了细化,要求首席执行官(CEO)和首席财务官(CFO)对公司所提交财务报表的真实性和准确性提供书面保证,并要阐明公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任。

(二)要遵守国际内部审计师协会的属性标准

内部审计活动是在一种多样的法律和文化环境下进行的;在目标、规模与结构都各不相同的机构内开展的;而且是由该机构内部或外部的人员进行操作的,并且不同国家有不同的法律和习惯,这些差异对不同环境下的内部审计实务都会产生影响。为此,国际内部审计师协会制定了统一的《内部审计实务标准》,用以说明内部审计实务的基本原则以及评价内部审计工作依据的标准、指导内部审计活动的开展,并为促进不同的、具有增值性的内部审计活动提供一个框架,从而帮助组织改善经营与工作。其作用在于让外部人员认同内部审计师所履行的审计工作是专业性的,即当一项内部审计工作遵守了该标准时,才能被外部认同为专业性的内部审计工作。

《内部审计实务标准》由属性标准、工作标准及实务公告三部分组成。属性标准通用于各行各业,主要说明内部审计机构的特点和对人员的要求,内部审计章程、独立性和客观性是其重要内容;工作标准通用于各行各业,阐述了内部审计工作的性质,并提出了衡量内部审计活动质量的准绳;实务公告适用于特定类型的审计活动,它是属性标准和工作标准在特定类型审计活动中的具体表现。

特别应该注意的是,国际内部审计师协会于2003年在风险管理、控制和治理程序方面了几个实务公告,其中,实务公告2120.A1—4(财务报告过程审计),与实务公告2060—2(内部审计机构与审计委员会的关系)、2120A1—1(对控制过程的评价和报告)、2120A1—3(内部审计在季度财务报告、信息披露和管理当局承诺函中的作用)有密切的联系。这3个公告分别讨论内部审计与审计委员会的关系,内部审计如何评价组织的内部控制制度并形成审计意见,以及内部审计在贯彻美国《法案》和美国证券交易委员会相关指南中应起的作用。本公告则进一步讨论内部审计师与董事会、审计委员会、高级管理层和外部审计师在财务报告过程中的关系。

(三)要发挥内部审计执行主管的作用

内部审计执行主管在财务报告过程中应将财务报告过程审计列入年度工作计划,并分配适当的资源外,更重要的工作在于评价内部控制的有效性和提出有效的建议。

评价内部控制的有效性,应主要从几个方面人手:

1.组织是否有浓厚的道德文化环境。董事和高级管理人员是否以身作则遵守组织的道德行为规范;组织的道德行为规范是否通过培训使全体员工了解,并成为组织道德文化的倡导者和执行者;财务报告有无不实的表述和舞弊。

2.组织怎样进行风险管理。组织有无风险管理程序、是否有效;高级管理层是否依靠整个组织来控制风险;管理层是否开诚布公地与董事会讨论主要风险。

3.组织的控制制度是否有效。组织对财务报告过程的控制是否全面、是否包括收集资料、编制财务报表及其附注,以及规定要披露的和自主披露的事项;高级管理层和相关管理层是否声明对控制有效性承担责任;组织的财务报告或财务披露是否反映出高级管理层、董事会或组织事故不断;整个组织是否有良好的沟通渠道和报告制度;控制制度被视为促进目标实现的积极因素,还是绊脚石;雇用的人员是否合格、是否经过充分的培训、解决问题是否及时和有效。

4.组织是否有有效的监督。董事会是否独立于管理当局,没有利益冲突,信息灵通,对存在的问题及时进行了调查;内部审计是否得到高级管理层和审计委员会的支持;内部审计师和外部审计师是否与高级管理层和审计委员会进行开诚布公的沟通和私人接触;各级管理人员是否对控制过程进行监督;对外购审计过程是否进行了监督。

关于采取有效措施确保财务报告的可靠性和完整性,主要有:

1.在财务报告方面。给外部审计师提供与业务相关的资料;与外部审计师协调审计计划、范围和工作安排;与外部审计师分享审计信息;与外部审计师和审计委员会沟通会计政策和政策决策;与审计委员会、外部审计师和高级管理层一起审查财务报告和披露事项;评价财务报告质量,包括向法规机构提交的财务报告;评价组织内部控制的充分性和有效性,尤其是对财务报告过程的控制;监督管理当局遵守组织道德行为规范,为组织树立良好榜样,与员工、董事会和外部股东进行公开和真诚的沟通。

2.在组织治理方面。审查与遵守法律、法规、规章、道德有关的公司相关政策;审查与组织风险和治理相关的未决诉讼或法律诉讼;提供有关员工利益冲突、不正当行为、舞弊和道德规范的管理程序和报告制度执行结果的资料。