论文部分内容阅读
摘要:本文通过分析各监管主体近年来发布的各项指引对于《内部控制评价报告》的披露要求、分析近两年上交所上市公司《内部控制评价报告》的披露质量,展开对内部控制缺陷概念的讨论,研究内部控制缺陷识别与认定的标准,从而为企业有效识别与认定内部控制缺陷、提高《内部控制评价报告》的披露质量提供参考,为全面推进笔者所在的企业内部控制规范体系的建设工作奠定基础。
关键词:内部控制;重大缺陷;重要缺陷;信息披露
自2009年7月1日起,《企业内部控制基本规范》(以下简称“基本规范”)在上市公司范围内施行。2010年4月,五部委又联合发布了18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》(以下简称“企业内部控制配套指引”或“三项指引”),自2011年1月1日起在境内外同时上市的公司率先施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司全面施行。2012年,财政部相继下发了《关于印发企业内部控制规范体系实施中相关问题解释》第1号和第2号。由此可见,企业内部控制越来越被社会各界广泛重视,基本规范及三项指引的应用范围进一步拓宽。
一、《内部控制评价报告》的披露要求
《企业内部控制评价指引》(以下简称“评价指引”)第二十二条和2006年颁布的《上海证券交易所上市公司内部控制指引》(以下简称“上交所指引”)第三十三条对于上市公司《内部控制评价报告》均提出了披露要求。我们可以总结其异同点如下表所示:
表 评价指引与上交所指引
从上表可以看出,评价指引与上交所指引对于《内部控制评价报告》的关注重点有较大区别。但由于这两份指引在当前均不具有法律强制力,因此企业、尤其是上市公司在执行过程中的效果不尽如人意。
二、上市公司《内部控制评价报告》现状简析
笔者曾统计分析了2010年及2011年上交所上市公司的《内部控制评价报告》的披露质量。2010年,在上交所893家上市公司中,仅有3家上市公司披露了内控缺陷;有300家上市公司(占比33.6%)未披露内控缺陷认定、整改情况及重大缺陷整改措施等内容;另有509家上市公司(占比57.0%)未披露《内部控制评价报告》。2011年,在上交所948家上市公司中,仅有289家披露了《内部控制评价报告》,没有上市公司披露内控缺陷,披露质量有所下滑。
由此可见,上市公司执行企业内部控制配套指引的效果尚且不令人满意,为了更好地服务笔者所在的集团公司内部控制规范体系的建设工作,在此讨论内部控制确认认定标准具有较强的现实意义。
三、内部控制缺陷的相关定义
1.内部控制缺陷相关定义
与财务报告有关的内部控制,其设计或执行如果不能合理保证管理层或员工在履行其职责的过程中防止或及时发现财务报表中可能存在的错报,则被认为与财务报告有关的内部控制存在缺陷,可分为设计缺陷和运行缺陷。
根据重要性的原则,从管理层评估和披露与财务报告有关的内部控制有效性的角度,内部控制缺陷进一步划分为重大缺陷和重要缺陷。重大缺陷是与财务报告有关的内部控制一个或多个控制缺陷的组合,导致公司财务报表中的重大错报存在合理的可能性不被及时防止或发现。重要缺陷是一个或多个控制缺陷的组合,其严重程度要轻于重大缺陷,但足以引起公司财务报告监管者的重视。
基本规范和评价指引对于内控缺陷的认定采用了与美国上市公司会计监管委员会(PCAOB)于2007年6月发布的审计准则第五号(Auditing Standard No.5,以下简称AS5)相趋同的分类方法与概念,即在判断与财务报告有关的内部控制有效性时,严格区分了重大缺陷,在审计实务中为了区别于重要缺陷,另被译为“实质性漏洞”)和重要缺陷。
2.《企业内部控制审计指引实施意见》的规定内容
2011年10月,由中国注册会计师协会发布的《企业内部控制审计指引实施意见》(以下简称“实施意见”)中,对重大缺陷、重要缺陷的定义采用了AS5中的说法。同时,与AS5相类似的,《实施意见》给出了“可能存在重大缺陷的迹象”。该《实施意见》自2012年1月1日起施行,对内部控制配套指引进行了有效的补充和细化,同时对于注册会计师的审计实务又提供了具有可操作性的具体措施。
四、内部控制缺陷识别与评估的方法、程序和标准
企业内部控制体系包括三个层面的内部控制,即公司层面的内部控制、流程层面的内部控制与信息系统层面的内部控制。在每一层面中,都可能存在内部控制的设计缺陷和运行缺陷。不同层面控制缺陷类型的认定具体标准不同,但方法基本一致,即定量的分析方法和定性的迹象识别方法。
1.内部控制缺陷识别的方法
(1)定量的分析方法
指采用穿行测试、符合性测试等手段识别内部控制的设计缺陷和运行缺陷。
内部控制的设计缺陷,一般在于内部控制缺失及内部控制设计失当。内部控制缺失指缺少某一方面的内部控制手段或程序,例如:采购合同的谈判后直接由公司总经理审批并签订,合同文本未经过法律合规部门的审批,无法避免法律风险。内部控制设计失当指制订并执行了不适当不科学的控制手段或程序,例如:在前例中,采购合同文本需要经过法律合规部门的审批,但是担任法律合规岗位的工作人员不具备法律相关教育背景及从业经验。
设计缺陷主要通过与内部控制相关人员进行访谈、编制流程图等方式了解公司业务、寻找可能存在的风险点及现存的内控手段、执行穿行测试来发现。值得一提的是,对于设计缺陷,最为行之有效的识别与评估方法是寻找可能存在的风险点(WCGW),即通过了解公司业务,从财务报表项目相关认定(assertion)出发,寻找可能存在于业务处理流程中的风险点,继而评估现存的内部控制点是否完备、有效,分析评价重大内控设计缺陷。 运行缺陷指设计适当而合理的内部控制没有按照设计目的运行,或内部控制执行人没有获得必要授权或是缺乏足够的胜任能力以有效地实施相关控制。运行缺陷需要通过对内控执行过程的穿行测试和控制测试来发现。
(2)定性的风险迹象识别方法
风险迹象识别方法指通过已发现的背离内控目标的风险迹象识别内部控制的设计缺陷和运行缺陷。定性的风险迹象识别方法利用内部控制的实际运行结果而对内控有效性进行判断。发生严重背离内控目标的迹象,本身就已表明内控体系无法为控制目标的实现提供合理保证。例如:发现董事、监事和高级管理人员的任何舞弊。这些迹象直接揭露了内控缺陷的严重程度。企业应以这些迹象为指引,匹配定量的测试方法等手段进一步测试内控的设计与运行情况,具体寻找存在重大缺陷的内部控制环节。
2.内部控制缺陷认定的程序
经过实践证明,内部控制缺陷认定的程序可以用下图表示:
3.内部控制缺陷认定的标准
(1)定量分析方法
《基本规范》、三项指引及《实施意见》中均未对内控缺陷造成财务错报的“可能性”和“后果严重程度”进行量化。在《实施意见》中仅对于“后果严重程度”给出了两条定性标准:①控制不能防止或发现并纠正账户或列报发生错报的可能性的大小,可以确定重大缺陷是指一项内部控制缺陷导致财务报表错报的可能性大于50%。;②因一项或多项控制缺陷导致的潜在错报的金额大小。
在内部审计实践中,我们一般沿用2006年《企业会计准则第13号-或有事项》准则及《企业会计准则讲解(2010)》(财政部会计司)中对于可能性的定量解释,即“很可能”的发生概率大于50%但小于或等于95%;“可能”为大于5%但小于或等于50%;“极小可能”为大于0但小于或等于5%。因此,我们可以确定重大缺陷是指一项内部控制缺陷导致财务报表错报的可能性大于50%。对“后果严重程度”进行量化,同理可以沿用《中国注册会计师审计准则第1221号——重要性》及其指南中对于重要性的量化指标,即:①对以营利为目的的企业,来自经营性业务的税前利润或税后净利润的5%,或总收入的0.5%;②对非营利组织,费用总额或总收入的0.5%;③对共同基金公司,净资产的0.5%。
在注册会计师审计及内部审计实务中,常用来判定重要性水平的经验指标还包括:税前净利润的5%—10%,资产总额的0.5%—1%,营业收入的0.5%—1%。如一项内部控制缺陷造成上市公司合并净利润错报率大于5%,即可判定为重大缺陷,小于5%但大于1%的为重要缺陷,小于1%的为一般缺陷。
(2)定性分析方法
经过审计实务总结,与财务报告认定有关的内部控制重大缺陷与重要缺陷的迹象包括:①发现董事、监事和高级管理人员的舞弊行为;②上市公司重述以往年度的财务报表;③发现当期财务报表存在重大错报,而企业内部控制在运行过程中未能发现该错报;④审计委员会和内部审计机构对内部控制的监督无效;⑤因决策过程违规、违法而使用资金受到监管部门的处罚或责令整改;⑥企业资产出现贪污、挪用公款等行为;⑦内部审计职能无效、或风险评估职能无效;⑧重大缺陷在合理的期间没有得到整改。
此外,非财务报告认定相关的内部控制重大缺陷与重要缺陷的风险迹象还包括:①企业缺乏民主决策程序;②企业决策程序不科学;③违犯国家法律、法规,如环境污染;④管理人员或技术人员纷纷流失;⑤媒体负面新闻频现等。
参考文献:
[1]PCAOB,2007. Auditing Standard No.5,《An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements》。http://www.pcaob.org.
[2]财政部会计司. 《企业会计准则讲解(2010)》.
[3]王慧芳:《上市公司内部控制确认认定:困境破解机框架构建》. 审计研究2011年第2期.
[4]杨有红 李宇立:《内部控制缺陷认定与报告》.会计研究2011年第3期.
[5]朱海曦 王莉娜:《企业内部控制缺陷认定方法研究》.中国证券期货2011年第3期.
关键词:内部控制;重大缺陷;重要缺陷;信息披露
自2009年7月1日起,《企业内部控制基本规范》(以下简称“基本规范”)在上市公司范围内施行。2010年4月,五部委又联合发布了18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》(以下简称“企业内部控制配套指引”或“三项指引”),自2011年1月1日起在境内外同时上市的公司率先施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司全面施行。2012年,财政部相继下发了《关于印发企业内部控制规范体系实施中相关问题解释》第1号和第2号。由此可见,企业内部控制越来越被社会各界广泛重视,基本规范及三项指引的应用范围进一步拓宽。
一、《内部控制评价报告》的披露要求
《企业内部控制评价指引》(以下简称“评价指引”)第二十二条和2006年颁布的《上海证券交易所上市公司内部控制指引》(以下简称“上交所指引”)第三十三条对于上市公司《内部控制评价报告》均提出了披露要求。我们可以总结其异同点如下表所示:
表 评价指引与上交所指引
从上表可以看出,评价指引与上交所指引对于《内部控制评价报告》的关注重点有较大区别。但由于这两份指引在当前均不具有法律强制力,因此企业、尤其是上市公司在执行过程中的效果不尽如人意。
二、上市公司《内部控制评价报告》现状简析
笔者曾统计分析了2010年及2011年上交所上市公司的《内部控制评价报告》的披露质量。2010年,在上交所893家上市公司中,仅有3家上市公司披露了内控缺陷;有300家上市公司(占比33.6%)未披露内控缺陷认定、整改情况及重大缺陷整改措施等内容;另有509家上市公司(占比57.0%)未披露《内部控制评价报告》。2011年,在上交所948家上市公司中,仅有289家披露了《内部控制评价报告》,没有上市公司披露内控缺陷,披露质量有所下滑。
由此可见,上市公司执行企业内部控制配套指引的效果尚且不令人满意,为了更好地服务笔者所在的集团公司内部控制规范体系的建设工作,在此讨论内部控制确认认定标准具有较强的现实意义。
三、内部控制缺陷的相关定义
1.内部控制缺陷相关定义
与财务报告有关的内部控制,其设计或执行如果不能合理保证管理层或员工在履行其职责的过程中防止或及时发现财务报表中可能存在的错报,则被认为与财务报告有关的内部控制存在缺陷,可分为设计缺陷和运行缺陷。
根据重要性的原则,从管理层评估和披露与财务报告有关的内部控制有效性的角度,内部控制缺陷进一步划分为重大缺陷和重要缺陷。重大缺陷是与财务报告有关的内部控制一个或多个控制缺陷的组合,导致公司财务报表中的重大错报存在合理的可能性不被及时防止或发现。重要缺陷是一个或多个控制缺陷的组合,其严重程度要轻于重大缺陷,但足以引起公司财务报告监管者的重视。
基本规范和评价指引对于内控缺陷的认定采用了与美国上市公司会计监管委员会(PCAOB)于2007年6月发布的审计准则第五号(Auditing Standard No.5,以下简称AS5)相趋同的分类方法与概念,即在判断与财务报告有关的内部控制有效性时,严格区分了重大缺陷,在审计实务中为了区别于重要缺陷,另被译为“实质性漏洞”)和重要缺陷。
2.《企业内部控制审计指引实施意见》的规定内容
2011年10月,由中国注册会计师协会发布的《企业内部控制审计指引实施意见》(以下简称“实施意见”)中,对重大缺陷、重要缺陷的定义采用了AS5中的说法。同时,与AS5相类似的,《实施意见》给出了“可能存在重大缺陷的迹象”。该《实施意见》自2012年1月1日起施行,对内部控制配套指引进行了有效的补充和细化,同时对于注册会计师的审计实务又提供了具有可操作性的具体措施。
四、内部控制缺陷识别与评估的方法、程序和标准
企业内部控制体系包括三个层面的内部控制,即公司层面的内部控制、流程层面的内部控制与信息系统层面的内部控制。在每一层面中,都可能存在内部控制的设计缺陷和运行缺陷。不同层面控制缺陷类型的认定具体标准不同,但方法基本一致,即定量的分析方法和定性的迹象识别方法。
1.内部控制缺陷识别的方法
(1)定量的分析方法
指采用穿行测试、符合性测试等手段识别内部控制的设计缺陷和运行缺陷。
内部控制的设计缺陷,一般在于内部控制缺失及内部控制设计失当。内部控制缺失指缺少某一方面的内部控制手段或程序,例如:采购合同的谈判后直接由公司总经理审批并签订,合同文本未经过法律合规部门的审批,无法避免法律风险。内部控制设计失当指制订并执行了不适当不科学的控制手段或程序,例如:在前例中,采购合同文本需要经过法律合规部门的审批,但是担任法律合规岗位的工作人员不具备法律相关教育背景及从业经验。
设计缺陷主要通过与内部控制相关人员进行访谈、编制流程图等方式了解公司业务、寻找可能存在的风险点及现存的内控手段、执行穿行测试来发现。值得一提的是,对于设计缺陷,最为行之有效的识别与评估方法是寻找可能存在的风险点(WCGW),即通过了解公司业务,从财务报表项目相关认定(assertion)出发,寻找可能存在于业务处理流程中的风险点,继而评估现存的内部控制点是否完备、有效,分析评价重大内控设计缺陷。 运行缺陷指设计适当而合理的内部控制没有按照设计目的运行,或内部控制执行人没有获得必要授权或是缺乏足够的胜任能力以有效地实施相关控制。运行缺陷需要通过对内控执行过程的穿行测试和控制测试来发现。
(2)定性的风险迹象识别方法
风险迹象识别方法指通过已发现的背离内控目标的风险迹象识别内部控制的设计缺陷和运行缺陷。定性的风险迹象识别方法利用内部控制的实际运行结果而对内控有效性进行判断。发生严重背离内控目标的迹象,本身就已表明内控体系无法为控制目标的实现提供合理保证。例如:发现董事、监事和高级管理人员的任何舞弊。这些迹象直接揭露了内控缺陷的严重程度。企业应以这些迹象为指引,匹配定量的测试方法等手段进一步测试内控的设计与运行情况,具体寻找存在重大缺陷的内部控制环节。
2.内部控制缺陷认定的程序
经过实践证明,内部控制缺陷认定的程序可以用下图表示:
3.内部控制缺陷认定的标准
(1)定量分析方法
《基本规范》、三项指引及《实施意见》中均未对内控缺陷造成财务错报的“可能性”和“后果严重程度”进行量化。在《实施意见》中仅对于“后果严重程度”给出了两条定性标准:①控制不能防止或发现并纠正账户或列报发生错报的可能性的大小,可以确定重大缺陷是指一项内部控制缺陷导致财务报表错报的可能性大于50%。;②因一项或多项控制缺陷导致的潜在错报的金额大小。
在内部审计实践中,我们一般沿用2006年《企业会计准则第13号-或有事项》准则及《企业会计准则讲解(2010)》(财政部会计司)中对于可能性的定量解释,即“很可能”的发生概率大于50%但小于或等于95%;“可能”为大于5%但小于或等于50%;“极小可能”为大于0但小于或等于5%。因此,我们可以确定重大缺陷是指一项内部控制缺陷导致财务报表错报的可能性大于50%。对“后果严重程度”进行量化,同理可以沿用《中国注册会计师审计准则第1221号——重要性》及其指南中对于重要性的量化指标,即:①对以营利为目的的企业,来自经营性业务的税前利润或税后净利润的5%,或总收入的0.5%;②对非营利组织,费用总额或总收入的0.5%;③对共同基金公司,净资产的0.5%。
在注册会计师审计及内部审计实务中,常用来判定重要性水平的经验指标还包括:税前净利润的5%—10%,资产总额的0.5%—1%,营业收入的0.5%—1%。如一项内部控制缺陷造成上市公司合并净利润错报率大于5%,即可判定为重大缺陷,小于5%但大于1%的为重要缺陷,小于1%的为一般缺陷。
(2)定性分析方法
经过审计实务总结,与财务报告认定有关的内部控制重大缺陷与重要缺陷的迹象包括:①发现董事、监事和高级管理人员的舞弊行为;②上市公司重述以往年度的财务报表;③发现当期财务报表存在重大错报,而企业内部控制在运行过程中未能发现该错报;④审计委员会和内部审计机构对内部控制的监督无效;⑤因决策过程违规、违法而使用资金受到监管部门的处罚或责令整改;⑥企业资产出现贪污、挪用公款等行为;⑦内部审计职能无效、或风险评估职能无效;⑧重大缺陷在合理的期间没有得到整改。
此外,非财务报告认定相关的内部控制重大缺陷与重要缺陷的风险迹象还包括:①企业缺乏民主决策程序;②企业决策程序不科学;③违犯国家法律、法规,如环境污染;④管理人员或技术人员纷纷流失;⑤媒体负面新闻频现等。
参考文献:
[1]PCAOB,2007. Auditing Standard No.5,《An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements》。http://www.pcaob.org.
[2]财政部会计司. 《企业会计准则讲解(2010)》.
[3]王慧芳:《上市公司内部控制确认认定:困境破解机框架构建》. 审计研究2011年第2期.
[4]杨有红 李宇立:《内部控制缺陷认定与报告》.会计研究2011年第3期.
[5]朱海曦 王莉娜:《企业内部控制缺陷认定方法研究》.中国证券期货2011年第3期.