引言
自1934年美國《證券交易法》首次使用內部會計控制一詞開始,西方許多組織和研究者對內部控制的概念、功能做了詳盡的研究,審計和監管部門相繼出臺了諸多內控規范,內控制度在理論和實務中均有了很大的發展,內控制度體系日趨完善,內控目標日益明確,其組織層級觀念也愈加分明。
應該說,各西方國家對內部控制的重視,反應了其通過內部控制的規范化、制度化實現監管部門或企業自身所訂立目標的愿望。而這些目標的實現取決于以下兩個方面:
1. 內控制度設計是否完整和合理?
2. 企業內控制度是否得到有效的執行?
如果說合理和完整的內控制度設計及有效執行是保證監管部門或企業自身訂立的內控目標得以實現的必要條件,這一條件客觀上需要有一套體系來對內控制度的設計有效性和執行有效性作出評價,也即應找到一種合理的評價體系來對企業的內控制度進行評價,對其進行等級界定,并借此來達到規范企業內控制度建設的目的。
自內部控制產生之后,內部控制評價也隨之出現,中西方均有研究者對此進行研究。而由于安然事件,美國出臺的《薩班斯法案》對內部控制評價提出了進一步的明確要求后,引發了美國SEC、注冊會計師協會以及各會計師事務所、企業對內部控制評價的空前重視。但不容忽視的一點是,此類研究大都和審計結合在一起,認為審計時需要對企業的內部控制做出評價,企業應該將內部控制評價在報告中披露等。而對企業自身或者監管部門采用何種標準和方法來評價企業已經構建的內控制度的設計有效性和執行有效性,以及如何實施這種評價等問題,一直沒有引起相應的關注。
我國對內部控制評價的關注始于20世紀80年代末,但其時的內部控制評價大都流于形式。90年代后期,我國政府開始重視內控評價的規范化建設,審計署、財政部、證監會、銀監會等組織均出臺了關于內部控制評價方面的規范。應該說,這些規范對于推動企業加強內部控制建設起到了相當大的作用,但不容忽視的問題是:
1. 各監管部門對如何具體實施內部控制評價,如采用何種評價標準進行評價、評價的內容是什么?采用何種評價方法等尚缺乏明確的規定。
2. 相當多的企業或個人對內部控制評價缺乏應有的了解,對內部控制評價的一些核心和基本問題如“為什么要評價”、“評價什么”、“如何評價”、“評價結果如何體現”缺乏清晰的認識。
3. 對各個企業之間,其各自的內部控制體系的有效性和完整性究竟如何,無法進行相互比較。
我們認為,構建一套規范和完整的內控評價體系對于企業和監管部門而言均至關重要,缺乏評價體系的內控制度,其作用會大打折扣。值得欣喜的是,我國目前有一些企業針對自身制定的內控制度,嘗試構建了內控評價體系。其構建的內控評價體系可能并不完整,其標準可能尚有待進一步修正,但無論如何其所做的嘗試已經可以為其他企業或監管部門構建內控評價體系提供來自企業實踐的證據。其經驗對于我國企業構建內部控制評價體系具有一定的指導作用。因而,我們認為,有必要對這些企業內控評價體系的經驗加以總結,并整理成文,以期對理論界和實務界有所裨益。
基于此目的,我們對在1999年就已建立了一套完整的內控制度,在2002年又構建了一套相對完整的內控審計評分系統的亞新科汽車零部件公司展開調查,并與亞新科聯合組成課題組,對“亞新科內控評價體系”應用問題進行現場研究。我們選取了亞新科工業技術公司下屬的亞新科NVH汽車零部件(安徽)子公司(以下簡稱“亞新科安徽子公司”)作為調查對象,于2004年6月和2005年6月兩次對其展開實地調查和測試研究。本文就是這次現場研究的結果。
亞新科內部控制評價體系
(一)亞新科企業概況
1.亞新科工業技術有限公司
亞新科工業技術有限公司(原名亞洲戰略投資公司)是一家總部設在北京的外資企業。公司從1993年開始進入中國運營,累計現金總投資額約5億美元。公司經過10多年發展,目前在國內已擁有17家獨資和控股合資企業,在美國有二家獨資公司;公司員工總數達到2.5萬人,是目前國內最大的專業汽車零部件制造集團之一。
亞新科工業技術公司的發展戰略是以中國作為其發展的中心,面向國際市場。其經營戰略目標是在其所有的產品領域內被公認為世界的領導者。這一發展戰略與其他大型跨國公司在中國的投資項目完全不同。其他大型跨國公司通常只是將亞洲或中國作為其全球發展戰略的一部分,如美國的通用汽車、德爾福汽車零部件公司等。因為這一重大差異,亞新科公司高層從1999年起確定了公司獨特的經營戰略,即建立一個真正的全球性公司。其獨特之處在于它能夠將中國與世界的精華融為一體,創建世界一流的汽車零部件公司。
亞新科作為一家純外商投資企業,在其發展過程中,和眾多外商一樣,自1993年進入中國以來,由于不熟悉中國國情和當地文化歷史背景而遇到許多挫折。1999年,公司股東和高層及時根據中國實際經營環境的變化,果斷決定將公司從過去的純投資型企業轉變為基于技術領先的集團化經營管理型企業。公司積極采用各種現代企業管理手段,強化了對所屬企業的經營管理指導和服務,公司業績穩步上升,發展前景光明。
2.亞新科安徽子公司
亞新科安徽子公司是由亞新科工業技術公司在安徽寧國投資的外商獨資企業,現有員工3000余人,是亞新科零部件集團重要的成員之一。公司在總經理領導下分設行政人事部、財務部、銷售部、信用管理部、采購部、物流部、信息工程部、投資部。行政人事部除了負責日常行政事務、招聘、考核、薪酬外,還負責公司內部控制管理、保安、法律事務等。信用管理部負責客戶資信調查、日常銷售業務信用審核等,其余部門業務和一般生產企業基本相同。
亞新科安徽子公司下設模具廠、橡塑制品廠、煉膠廠和液壓工具廠四個分廠。公司主要產品是汽車、摩托車、家電、工業工程等行業配套用的橡塑件、模具、各式修車工具產品和五金產品。目前密封件產品年生產能力已達4億件,千斤頂產品達300萬臺。橡塑產品的生產均通過ISO9002、 QS9000、VDA6.1、ISO/TS16949質量管理體系的認證,并已通過ISO14001環境管理體系的認證,液壓千斤頂類產品的生產已通過ISO9001:2000版質量管理體系的認證。亞新科安徽子公司已經成為博世、日立、松下、三菱、德爾福、Dana、Honeywell 、DRA、Maytag等世界一流公司的供應商,產品遠銷歐美、東南亞等國家和地區。本文將通過亞新科總部對安徽子公司的審計過程介紹亞新科的內控評分審計系統。
(二)亞新科工業技術公司內部控制評價體系的設計思路
1999年,亞新科建立了一套完整的內控制度即《亞新科集團內控管理程序》(AMP),共3分冊88個項目。每個項目基本上由五部分組成,即目的、要求、職責圖、文件與記錄、參考資料。
2002年,作為《亞新科內控管理程序》的配套項目,為了對企業內控制度和管理風險進行有效評價,以便量化反映各下屬企業的實際內控管理情況,使內控制度更好地發揮功效,亞新科總部又建立了內控評價體系。該評價體系是根據企業的主要業務循環并結合內控五要素對經營風險防范的相關要求,依據國家相關的法律法規、亞新科集團內控管理程序(AMP)建立的。2004年,為了使內控評價體系更具操作性及直觀性,亞新科總部對內控評價體系進行了進一步修訂。其目的是保證2004年度內控審計活動能夠更加科學和客觀,進一步真實反映企業的實際內控管理狀況,并使評分審計結果能夠更加精確地反映各企業間的內控管理水平差異。
具體而言,亞新科的內控評價體系是通過建立一套內控審計評分系統來實施的,即通過一定的審計方法對內控項目進行審計,對每一個內控項目按5要素進行分類,將審計中發現的問題歸到每一個內控項目,再按照一定的評分方法得出內控的總體得分情況,以反映企業內控管理水平和管理風險的高低。亞新科工業技術公司內控評價體系的設計方法如下:
1.內控審計評價范圍和內容
在進行內控審計時,亞新科根據本單位及下屬企業實際的業務內容并結合內控管理對經營風險防范的相關要求,確定內控審計的評價范圍是企業構建的全套內控制度,并將上文提及的88個內控項目按照大類劃分為13個業務循環,即綜合項目、環保與職工健康安全、內部控制、信用管理、財務報告、銷售&收款、采購&付款、生產&物流、法律事務、IT安全、安全保衛、投資管理、人力資源。
內控審計評價的內容是對內控制度的執行有效性進行評價。針對這一目標,對每一個項目首先按照內部控制的5要素(即控制環境、風險評估、控制活動、信息與交流、監督檢查)進行分解,然后再將每一個要素分解為具體的評分內容,采用具體的內控審計方法對其進行評價。具體而言,對一個內控項目的審計評價內容主要包括該項管理業務的管理程序建設、人員培訓、風險評估、實際風險控制活動的開展情況、文檔資料的收集保管、與其他部門的交流等方面,力爭全面涵蓋該項業務中可能存在的主要風險控制點。
2.內控審計評價標準和方法
在對內控制度進行評價時,確定適當的評價標準非常重要。實務中有幾種內控評價標準模式被采用。一種是COSO報告中的5個要素標準,即將內控項目按COSO5個要素進行細分,再按照COSO中每一要素的必要條款確定評價標準;第二種是采用一般標準和具體標準作為評價標準,其中的一般標準主要指內控制度的完整、合理和有效性,而具體標準又可以劃分為要素標準和作業標準;第三種模式是結果評價標準和過程評價標準,其中結果評價標準主要是考核內控目標的達到程度,而過程評價標準主要指內控執行過程中的有效程度如何。亞新科在選用內控評價標準時,采用的是以COSO報告的5個要素所要求具備的基本條款作為評價標準。
在對內控項目進行審計時,以現場抽樣調查為主,輔以訪談、計算核實、觀察、檢查等手段。實際工作時將根據具體的審計項目和內容確定。
3.內控審計評分標準
在確定內控審計評分標準和方法時,考慮到內控評價需要定期進行,并且與前期評價相關,亞新科首先確定整體內控審計評分由三部分構成:基本項目、以前審計中發現問題糾正情況、本次審計中發現的新問題及審計師綜合印象。然后再按照每一部分的具體內容確定相應的評分標準和方法
第一部分:基本項目(該部分滿分為70分)
基本項目內審評分是指內控審計人員依據內控審計項目評分和各項目權重加權得出的審計分,是評分審計的主體。由于內控審計項目中各個具體評分內容所包含的風險不同,對每一個具體評分內容,將根據其風險大小分為高、中、低三級;同時為了體現不同風險等級問題分值的區別,使高風險問題在整個項目值中占較大比例,低風險問題占較小比例,給每個風險等級賦予了一個權重,分別設為 5, 3, l.權重間距越大,不同風險等級問題的區別會體現的越明顯。這樣每一個具體的評分內容的分數將根據該審計項目的總分及其風險等級來確定(即按權重分配,當審計內容增加時,在總分內容一定的情況下,會自動減少每一項審計內容的分值分配情況)。
為有效凸顯企業管理水平,將企業的每個具體評分項目所對應的業務完成程度分為5級。如表1.
表1 具體評分項目業務完成程度分級
|
完成程度 |
具體含義 |
|
100% |
全部完成(或做到)。程序非常完善,完全按程序實施 |
|
75% |
完成(或做到大部分,或基本完成(做到)。有程序,但不很完善;基本照程序實施 |
|
50% |
完成(或做到)一部分。包括有一定的程序,但程序極不完善,也未完全按程序實施 |
|
20% |
完成程度很低,大部分風險未能得到有效控制。沒有書面程序,但有一定的習慣做法;完全憑習慣或主管領導指示辦事。有少量的風險控制意識 |
|
0% |
完全未做,與該業務相關風險沒有任何防范措施。沒有書面程序,也沒有具有控制意識的習慣做法;辦事隨意,各行其是,根本沒有風險控制意識 |
每個審計項目的得分=∑(該審計項目中每個評分項目的權重×完成程度)
基本項目得分=∑審計項目分值×70%
第二部分:以前審計中發現問題糾正情況得分(該部分滿分為20分)
這是為了跟蹤運營公司及時解決已經發現的內控薄弱環節情況而進行的評價,該項得分和內控薄弱環節跟蹤改進完成程度直接相關。
第二部分項目得分=20%×已經改進完成的問題數/上年審計師提出的薄弱問題數
第三部分:外部審計師管理建議落實情況(該部分滿分為10分)
該部分是指企業的外部審計師在進行年度審計后針對企業存在的管理風險提出的改進建議。這些管理建議是否得到了被審計企業的重視并被貫徹落實的情況需要進行檢查評價。
第三部分項目得分的計算公式如下:
第三部分項目得分=10%×已經完成整改數/上年度外部審計師提出的整改數
需要明確的一點是,基本項目得分、以前審計中發現問題糾正情況得分、外部審計師管理建議整改得分三個部分的得分分別占總分的70%,20%,10%。在按照上述做法得到每個部分的分值之后,三個部分得分總和即為各運營公司的內控得分。
4.內控評價等級評定
在采用一定的內控審計方法和內控評分方法得到總體內控得分后,需要對企業的內控制度進行一個總體評價。亞新科內控評分審計采用的是百分制,審計等級按五級確定,如表2所示。
表2 審計等級
|
級別 |
分值 |
優良程度 |
|
第一級 |
90分以上 |
優 |
|
第二級 |
71一89分 |
良好 |
|
第三級 |
60一70分 |
合格但不足 |
|
第四級 |
40一59分 |
不合格 |
|
第五級 |
40分以下 |
差或極差 |
如果內控審計后得到的內控得分是90分以上,則可以認為該企業的內控執行有效性評價結果為優;如果得分是71-89分之間,則可以認為該企業的內控執行有效性評價結果為良好,其余結果可依此類推。
(三)亞新科公司內控評分審計系統具體操作
以下我們就以亞新科工業技術公司對安徽子公司進行的評分審計為例,說明其內控審計評分系統的具體操作過程。
1.按照內控項目進行分類,確定每一個內控基本項目的分值
如前所述,亞新科工業技術公司的內控項目可以劃分為13個業務循環,也可以稱為基本項目。在內控評價體系的設計過程中,考慮到每個業務循環的風險等級和重要性不同,企業可以按照風險等級,賦予每個業務循環以不同權重。其具體權重劃分如表3所示。
表3 內控項目與權重表
|
內控制度項目 |
目標值(權重) |
|
綜合項目 |
5.00 |
|
環保與職工健康安全 |
5.00 |
|
內部控制 |
5.00 |
|
信用管理 |
5.00 |
|
財務報告 |
20.00 |
|
銷售&收款 |
12.00 |
|
采購&付款 |
10.00 |
|
生產&物流 |
8.00 |
|
信息安全 |
5.00 |
|
法律事務 |
5.00 |
|
安全保衛 |
5.00 |
|
投資管理 |
10.00 |
|
人力資源 |
5.00 |
|
小 計 |
100.00 |
2.明確內控評價標準、評價方法和權重
對于內控基本項目的評價按照COSO報告中的內部控制5要素(即控制環境、風險評估、控制活動、信息與交流、監督檢查)展開,再將每一要素按照關鍵控制點拆分成更為具體的內控評價指標或標準進行評價,明確其風險等級評價方法以及權重。我們以銷售&收款項目評價為例(如圖表4所示)。
表4 內控項目評價標準表
|
內控項目 |
內控要素 |
內控評價項目 |
風險等級 |
評價方法 |
權重 |
| 銷售管理 | 控制環境 | 公司是否建立了與亞新科內控管理程序相一致的銷售管理程序? | M | 詢問檢查 | 3 |
| 是否對全體銷售人員進行了必要的銷售管理程序培訓? | M | 詢問檢查 | 3 | ||
| 公司是否與所有銷售人員簽訂了保密協議書? | M | 檢查 | 3 | ||
| 是否有完整的駐外銷售分支機構管理程序? | H | 詢問檢查 | 5 | ||
| 風險評估 | 銷售部是否對本部門存在的高風險領域進行過評估?對相應的高風險領域是否提出了相應的控制辦法? | H | 詢問檢查 | 5 | |
| 控制活動 | 公司是否定期編制各類銷售計劃? | M | 詢問檢查 | 3 | |
| 是否對所有重要客戶定期進行信用調查? | H | 詢問檢查 | 5 | ||
| 銷售合同的簽訂是否經過評審并按授權獲得了相應的批準? | M | 詢問檢查 | 3 | ||
| 銷售人員是否定期與客戶對賬?對重要客戶是否每月至少對賬一次?與財務賬的對賬差異是否能得到及時處理? | H | 詢問檢查 | 5 | ||
| 銷售人員是否不準收取客戶現金付款? | H | 詢問測試 | 5 | ||
| 銷售部門是否不直接控制公司的外埠倉庫? | M | 詢問 | 3 | ||
| 是否與財務、內控人員共同對寄存客戶方的產品進行定期盤點? | H | 詢問 | 5 | ||
| 所有銷售發貨是否都經過信用部和財務部批準? | M | 詢問檢查 | 3 | ||
| 發貨單是否嚴格根據客戶采購合同或采購定單簽發? | M | 檢查測試 | 3 | ||
| 公司以貨抵款交易是否嚴格按照內部審批控制程序執行? | H | 詢問檢查 | 5 | ||
| 銷售折扣和降價銷售是否嚴格按照內部授權審批進行? | H | 檢查 | 5 | ||
| 銷售人員是否嚴格按照有關規定登記工作日志? | M | 檢查 | 3 | ||
| 銷售人員部分或全部收入是否與銷售回款、銷售額等有關指標掛鉤? | M | 詢問檢查 | 3 | ||
| 是否定期對銷售人員進行利益沖突調查? | M | 詢問檢查 | 3 | ||
| 信息與溝通 | 銷售資料的管理是否符合公司檔案管理規定并及時歸檔? | H | 詢問檢查 | 5 | |
| 公司銷售部是否定期與財務、物流等部門進行應收賬款等核對? | H | 詢問檢查 | 5 | ||
| 銷售退貨是否有完整的記錄? | M | 檢查 | 3 | ||
| 銷售分支機構或銷售分部掌握的公司客戶檔案是否及時得到更新并歸入母公司客戶檔案內? | M | 詢問檢查 | 3 | ||
| 銷售人員是否按公司要求建立銷售臺帳? | M | 詢問檢查 | 3 | ||
| 監督與檢查 | 內控部、財務部是否定期派人對銷售部及駐外銷售分支機構進行業務檢查? | H | 詢問檢查 | 5 | |
| 公司是否對銷售計劃的準確性進行考核? | L | 檢查 | 1 | ||
| 公司內控經理和財務部是否按期對銷售部及駐外銷售機構的工作進行檢查監督? | M | 詢問檢查 | 3 |
4. 根據基本項目得分、以前評價中發現問題糾正情況得分、本次評價中發現的新問題及外部審計師管理建議整改得分三項綜合得出內控評分數額如表5.
表3 亞新科安徽子公司內控審計評分表
|
內控制度 |
目標值 |
實際值 |
比率 |
| 1.基本項目 | |||
| 綜合項目 | 5.00 | 4.79 | 95.76 |
| 環保與職工健康安全 | 5.00 | 2.85 | 56.92 |
| 內部控制 | 5.00 | 5.00 | 100.00 |
| 信用管理 | 5.00 | 4.04 | 80.73 |
| 財務報告 | 20.00 | 18.73 | 93.67 |
| 銷售&收款 | 12.00 | 10.53 | 87.73 |
| 采購&付款 | 10.00 | 9.13 | 91.33 |
| 生產&物流 | 8.00 | 7.01 | 87.64 |
| 信息安全 | 5.00 | 4.95 | 98.93 |
| 法律事務 | 5.00 | 3.88 | 77.63 |
| 安全保衛 | 5.00 | 4.30 | 85.98 |
| 投資管理 | 10.00 | 8.75 | 87.50 |
| 人力資源 | 5.00 | 4.90 | 97.92 |
| 小 計 | 100.00 | 88.85 | 88.85 |
| 基本項目實際權重及得分 | 70% | 62.19 | |
| 2.以前測試中發現問題的糾正情況得分 | 20% | 13.01 | |
| 3.外部審計師管理建議整改得分 | 10% | 5.62 | |
| 小 計 | 100% | 80.83 |
亞新科內控評價體系的啟示
亞新科內控評價體系是亞新科從自身實際需要出發對構建內部控制評價系統所做的積極嘗試。在內控評價的內容、范圍、方法以及如何設計和實施內控評分系統和等級評定方法等方面,為其他企業提供了可供借鑒且具有可操作性的范例。該評價體系固然還有不足之處,但總體而言,是“出于COSO而勝于COSO”,創造性地將COSO報告所提出的原理付諸于實踐,拓寬了內控制度的視野,豐富了我國內控制度的知識。在對亞新科內控評價體系研究的過程中,我們深深感到以下幾點特別值得注意:
(一)正確界定內部控制評價的目標
從中西方內控評價的發展史中我們可以看出,原有的內控評價目標大都從審計角度出發考核企業所制定和執行的內控制度能否達到可靠性、合法合規性、經營效率和效果。而在具體執行中,其側重點更是關注于可靠性和合法合規性,至于經營效率和效果在內控評價中受到的關注程度歷來較少。
COSO委員會在《企業風險管理控制框架》中將內控目標界定為四類:戰略目標、經營目標、報告目標以及合規目標。已經遠遠超出以往的內控規范。企業也日益認識到構建內部控制體系的目標,不但是要滿足監管部門對于信息提供和披露方面的需求,更重要的是,內控制度要有助于企業戰略目標企業經營的效果和效率的實現。應該說,內控制度的立足點之一是要通過制度化規范標準的構建,來規范企業員工的行為,加強行為理性,提高企業的經濟效益。由此立論,內部控制評價的目標應該是從內部控制的目標出發,來對內部控制的設計和執行進行評價,考核內部控制所規定的目標實現與否。在具體界定內部控制評價目標時,不同的評價主體可能對內部控制評價的目標界定也不同,如監管部門推動實施的內控評價,其目標可能更多地關注內控制度所達到的報告目標和合規目標;而企業自身進行的內控評價,其目標就不應局限于報告目標和合規目標,還應該包括內控對企業戰略目標和經營目標實現的作用程度。
(二)內控評價體系應以風險管理理念為基準
COSO在《企業風險管理控制框架》中將風險明確定義為“對企業戰略目標實現產生負面影響的事件”,而全面風險管理則是在8個要素的基礎上建立的4項目標和一套由董事會、管理當局和其他組織成員制定、實施并對該4項目標產生積極影響的程序。除此之外,該框架還引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法,可以在概率統計的基礎上,合理地確保企業的發展戰略與風險偏好相一致,增長、風險與回報相聯系,從而實現全面風險管理的四項目標。
在構建內控評價體系的過程中,應該以風險管理理念為基準。風險管理成為組織管理的關鍵所在。內控評價的重點應該是確認風險及測試管理風險的方法,在風險導向的內控評價中,分析、確認、揭示關鍵性的經營風險,在評價標準、指標和權重的選擇上均要把握風險管理理念,這才是內控評價的焦點。
(三)內控評價體系應選取科學合理的標準
制定內部控制評價標準是進行內部控制評價的依據和前提。缺乏科學合理的評價標準而進行的內部控制評價,其結果可能不能真實反映企業內部控制的健全和有效與否。在對內部控制進行評價時,首先必須確定的是采用何種評價標準對內控整體乃至具體的內控項目進行評價。
我們認為,考慮到內部控制的戰略目標、經營目標和合法合規性目標,內部控制的評價標準可以選用結果評價標準和過程評價標準。結果評價標準就是要考核內控目標的實現程度,是基于內控目標而建立的一系列結果考核指標。過程評價標準的制定可以按照內控項目來進行,按照風險管理思想,根據風險管理框架中的8個要素來設定控制標準。
(四)規范內部控制評價的內容
自內部控制產生以來,內部控制的內容就一直飽受爭議。從最初的內部牽制,發展到內部控制結構,再到COSO報告的整體框架以及后來的風險管理框架,內控的范圍好似有日益擴大的趨勢。由此產生的一個問題便是,內部控制評價是限于會計相關控制,還是稍大擴展到內部控制的各個環節?
應該指出,我國各部門出臺的內控制度對內控制度范圍的界定有所差異。如證監會發布的《證券公司內部控制指引》認為,公司內部控制不但包含了會計相關控制,還包含了會計相關控制以外的其他控制,如環境控制中的治理結構控制、管理思想控制、員工素質控制等。而財政部發布的《內部會計控制規范》則是定位于“以單位內部會計控制為主,同時兼顧與會計相關的控制”,其重點是關注于內部會計控制,并不包括組織結構控制和人員素質控制等控制環境的內容。而中注協、審計署等相關部門對內部控制的規定與上述證監會和財政部的規定又存在一定差異。相應地由于各部門所規定的內部控制范圍存在差異,在內部控制評價的內容上自然也會存在差異。
本文認為,界定內部控制評價的內容應是從評價主體和評價目標出發。如果內部控制評價是出于監管部門的硬性要求,由外部中介機構進行,考慮到我國注冊會計師行業目前的執業水平,將內部控制評價范圍限定在會計相關控制方面較為合理。而如果是企業自身對構建的內部控制制度作出評價,則應該考慮其構建內控制度的經營、會計和戰略目標,評價的內容就不僅應該包括會計控制,而還應該包括公司治理、業務和流程控制等方面的內容。
本文是在于增彪教授與亞新科內控評價系統合作研究項目成果基礎上完成的。參加項目的除本文作者之外,還有胡洋(清華大學MBA)、王璽(清華大學MBA)、龔道道(清華大學本科生)等。本篇作者于增彪系清華大學教授,麻蔚冰系亞新科工業技術公司內控部總監,王競達系清華大學博士生/首都經貿大學副教授。
(以下部分為背景材料)
內部控制評價理論和實務的發展
(一)西方內控評價理論和實務的發展
在內部控制評價理論和實務的發展方面,美國一直走在世界前列。最初美國的獨立審計的業務范圍主要側重于財務鑒證方面,從20世紀80年代開始,獨立審計的范圍開始擴展為包含內部控制評價在內的管理鑒證。而隨著安然、世通等一系列會計案件的出現,美國對內部控制評價的重視程度則更為加強。
1.20世紀80年代,美國審計準則委員會將獨立審計的業務范圍從財務鑒證擴展到包括內部控制評價在內的管理鑒證,在《獨立審計準則》第20號、30號和60號中均對內控評價或鑒定作出了規定(《審計準則公告第20號——對內部控制重大缺陷的傳達》要求會計師向管理當局、董事會或其下屬的審計委員會傳達企業內部會計控制的重大缺陷;《審計準則公告第30號——內部會計控制的報告》指出,注冊會計師可以受理以下三種鑒證委托業務并簽發報告:特定企業內部控制結構的有效性;根據主管機關預先確定的標準對企業的整體或部分控制結構進行評價;根據整體或部分控制結構簽發特殊目的報告。《審計準則公告第60號——審計師對關注到的內部控制結構相關事項的傳達》要求審計師對審計過程中一切引起審計師注意的,并按其判斷應向董事會所屬審計委員會傳達的內部控制事項進行評價)。1993年,審計準則委員會先后發布了《鑒證準則》第1號、第2號和第3號(1993年,審計準則委員會將1986年發布的鑒證準則及其他幾份準則匯編成《鑒證業務準則第一號――鑒證準則》(GAAS No.1)。同年,審計準則委員會還先后頒布了《鑒證業務準則第2號——與企業財務報告相關內部控制的報告》(GAAS No.2)和《鑒證業務準則第3號——符合性鑒證》(GAAS No.3)),規定注冊會計師可以受聘對企業管理當局的內部控制認定進行評價和出具報告(注冊會計師提供的服務有二:一是審查和報告管理當局對其財務報告關于內部控制制度效果所作的認定;二是執行商定的與內部控制效果有關的其他程序。對內部控制進行認定的關鍵是確定適當的標準,控制標準可以是美國注冊會計師協會頒布的公告,COSO報告或者主管機關簽發的按照適當程序處理的控制標準。(在1979和1988年,美國證券交易委員會曾兩次試圖要求強制提供內部控制報告,由于遭到反對,美國證券交易委員會并沒有要求上市公司強制提供內部控制報告、但這一時期仍有較多的公司自愿在財務報告中提供內部控制報告)。
2.1992年,美國Treadway委員會下屬的COSO委員會提出了《內部控制——整體框架》,并于1994年進行了修訂。COSO報告定義了內部控制的5個要素,其中的監控就是指評價內部控制質量的進程,即對內部控制運行及改進活動進行評價。監控通常由內部審計部門或人事部門執行,他們定期或不定期地對內部控制的設計和執行情況進行檢查和評價,并提出改進意見,以保證內部控制按設計執行并隨環境的變化而改進。
3.2002年7月,美國國會通過的《薩班斯——奧克斯法案》第一次對財務報告內部控制有效性提出了明確要求。該法案涉及內部控制評價的條款主要有:(1)第103款規定,審計師在對企業的內部控制進行評估時,需要評價公司的內部控制政策和程序的完整性、記錄的合理性以及授權等。(2)第302號條款規定,公司提交的年度或季度報告中應該含有對內部控制有效性的評價以及審計委員會報告發現的內部控制設計或運行中的所有重大控制缺陷以及重要控制要點。(3)第404款規定,管理層需要對財務報告的內部控制進行報告。同時審計師應該對管理層的評價進行認證和報告。404條款的規定使法律界和職業界對內部控制評價的關注進一步加強。
4.SEC(在1979和1988年,美國證券交易委員會曾兩次試圖要求強制提供內部控制報告,由于遭到反對,美國證券交易委員會并沒有要求上市公司強制提供內部控制報告、但這一時期仍有較多的公司自愿在財務報告中提供內部控制報告。)于2002年10月22日發布第33-8138號提案,并于2003年6月5日頒布最終規則,對內部控制以及評價作出規定。主要內容有:(1)修訂1934年證券交易法的相關內容,要求上市投資公司之外的公司在年報中提供管理層對公司財務報告內部控制的報告(該內部控制報告的內容必須包括:管理層簽署聲明,由其負責建立和維護充分的公司財務報告內部控制有效性評估時采用的框架;提供一份聲明,表明對公司財務報表進行審計的注冊會計師事務所已經對公司管理層的財務報告內部控制評估提供鑒證報告)。(2)要求在年報中披露 “注冊會計師事務所鑒證報告”(3)要求管理層對財務報告內部控制變更進行評價等。
5.美國注冊會計師協會于2003年3月18日發布財務報告內部控制審計的征求意見稿,規定公眾公司審計包括財務報表審計和財務報告內部控制有效性審計兩個部分。獨立審計師需要對控制的設計有效性和執行有效性進行評價,進而發表審計意見。根據內部缺陷的嚴重程度將其分為重大控制缺陷和重要控制弱點兩類(重大控制缺陷是指可能對公司管理層發表的聲明中關于保證交易的發生、記賬、國報告財務數據和財務報表保持一致的能力產生不利影響的內部控制缺陷。重要控制弱點是指在內部控制的組成部分的一個或多個方面存在重大控制缺陷,造成公司的內部控制不能將及時防止或發現財務報表中實質性的錯誤表述的風險降低到一個較低的水平。)。
6. 各注冊會計師事務所提出根據404條款進行財務報告內部控制評價的操作指引,對會計報告內部控制有效性評價提出了具體的操作建議,對管理層評估財務報告內部控制的程序(認為管理層對內部控制的評估可以分為四個步驟來完成,即計劃、設計有效性評價、執行有效性評價、評估和報告)提供了建議,界定了管理當局的責任 (認為管理層必須承擔公司內部控制有效性的責任,并運用恰當的控制標準(如COSO標準)來評價公司內部控制的有效性,對形成的評估結果有足夠的證據支持,同時簽署一份關于公司內部控制有效性的書面聲明。)并明確了審計師對財務報告內部控制有效性審核程序的構成要素。
其他西方國家在內部控制評價方面也取得了一定的成果,但從各國報告和準則的具體內容來看,目前,在內部控制評價的整體框架上基本都是借鑒美國的研究成果,如內部控制的定義、組成要素、內部控制自我評價結果、管理當局的報告書以及會計師的審查報告等。在此不一一贅述。
(二)我國內控評價理論和實務的發展
建國以后,我國各單位大都建立了以賬戶核對和職務分工為主要內容的牽制制度,各單位中或多或少地都存在一些內部會計牽制制度。但總的來看,這些制度比較零散、不系統,而且很多未能真正執行而流于形式,致使單位內部管理低效,控制弱化。
20世紀80年代末至90年代初,隨著內部控制的發展,內部控制評價開始受到專業人員的關注和使用,但內部控制評價仍停留在對內部管理制度執行的一般了解上,內部控制評價還只是起輔助作用,有的甚至流于形式。此時的內部控制評價只是作為一種審計方式,其目的是在了解、測試與會計報表相關的內部控制的基礎上評估其控制風險,據以確定實質性測試的性質、時間和范圍,還沒有作為一項專項鑒證業務而使用,企業自身也沒有對內部控制評價產生關注。
20世紀90年代后期開始,我國政府才開始積極推進內部控制評價的規范化建設。
(1) 1997年1月,審計署頒布的《獨立審計準則實務公告第2號——管理建議書》中把“管理建議書”和專門接收委托的內部鑒證服務進行了區分,這表明我國已開始重視內部控制的評價和鑒證。
(2) 2001年11月,財政部發布《獨立審計實務公告第X號——內部控制審核(征求意見稿)》,后又在2002年2月以中國注冊會計師協會《內部控制審核指導意見》的形式予以發布。《意見》對內部控制審核進行了定義(定義為“注冊會計師接受委托,就被審核單位管理當局對特定日期與會計報表相關的內部控制有效性的認定進行審核,并發表審計意見。”),并且對各方責任進行了界定,指出建立健全內部控制并保持其有效性,是被審核單位管理當局的責任;了解、測試和評價內部控制并出具審核報告,是注冊會計師的責任。并明確了內部控制審核報告分為四種類型:無保留意見、保留意見、否定意見和拒絕表示意見。
(3) 2000年3月證監會發布《公開發行證券公司信息披露編報規則》,要求商業銀行,保險公司、證券公司建立內部控制制度,并對內部控制制度的完整性、合理性和有效性做出說明。同時要求注則會計師對其內部控制制度的完整性、合理性和有效性進行評價,提出改進建議,以內部控制評價報告的形式做出報告,并且對內部控制評價報告的披露作出了規定。2001年10月,中國證監會發布《關于做好證券公司內部控制評價工作的通知》,要求證券公司、商業銀行應加強內部控制的稽核、檢查與完善,聘請會計師事務所對公司內部控制的完整性、合理性與有效性進行評價,提出改進意見,并出具評價報告。
(4) 2004年12月,針對近年來國內商業銀行頻繁發生重大金融案件,商業銀行自身免疫力還不高,內部控制仍存在嚴重缺陷的現狀,銀監會發布了《商業銀行內部控制評價試行辦法》,旨在通過建立一套對商業銀行內部控制評價的框架和方法,規范和加強商業銀行內部控制的評價,督促其進一步建立內部控制體系,健全內部控制機制,形成風險管理的長效機制。
可見,我國正在逐步建立起規范的內部控制評價體系,既有中介機構從審計的角度對企業內部控制的規范,又有監管部門從信息披露的角度對企業內部控制評價的規范,也有反映加強企業內部管理要求的規范;既要求中介機構對企業內部控制作出評價,也要求企業自身作出評價。但總體而言,我國內部控制制度和評價規范的建設起步較晚,已出臺的相關規范還有許多不完善之處,如內部控制評價的內容和范圍不明確、各部門制定的相關內部控制規范和評價內容互相沖突、缺少統一科學的內部控制評價標準等。
