内部控制.docx
《内部控制.docx》由会员分享,可在线阅读,更多相关《内部控制.docx(7页珍藏版)》请在冰豆网上搜索。
内部控制
浅述中国与国际间在内部控制框架方面的差距
——以萨班斯法案为主的美国为例
摘要:
2002年美国颁布了专门针对上市公司会计丑闻的萨班斯法案,该法案在对美国上市的所有公司产生了深远的影响,同时也正改变了美国的内部控制框架体系,本文试图通过分析中国在内部控制方面的现状以及解读萨班斯法案,从而找寻我国同美国在此方面的差距和可以借鉴学习的经验。
关键词:
内部控制;萨班斯法案;经验
1、内部控制框架的概念和结构
国际上比较有名的内控模式有英国的Cadbury、美国的COSO和加拿大的COCO,它们从不同的角度剖析公司的经营管理活动,为营造良好的内控框架提供了一系列的趋于一致的政策和建议,其中尤以COSO模式从理论到操作方法上阐述了一整套完整的内控框架,是目前国际上最为权威的内控框架。
1992年,由美国会计学会、注册会计师协会、美国内部审计师协会、财务经理人员协会和管理会计师学会等组织成立的专门研究内部控制问题的COSO委员会发布《内部控制-整体框架》报告(下称COSO报告),并在1994年进行了增补。
COSO报告指出,内部控制是由公司董事会、管理层和其他员工实施的,为实现经营的效果性和效率性、财务报告的可靠性以及适用法律、法规的遵循性等目标提供合理保证的一个过程。
内部控制的根本目的是防范风险。
在COSO内部控制框架中,管理层需要履行的职责包括5个步骤或要素:
控制环境、风险评估、控制活动、信息与交流和监测。
COSO将内部控制要素以一个金字塔结构提出,其中控制环境作为金字塔的最底部,风险评估和控制活动位于上一层次,信息和沟通接近顶部,监督处于最顶端[1]。
1、控制环境:
控制环境作为内部控制整体框架中所有构成要素的基础,为内部控制提供了前提和结构。
其特征是先明确定义机构的目标和政策,再以战略计划和预算过程进行支持;然后,清晰定义利于划分职责和汇报路径的组织结构,确立基于合理年度风险评估的风险接受政策;最后,向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性,同时,高级领导层需对文件控制系统作出承诺。
控制环境决定了企业的基调,直接影响企业员工的控制意识。
2、风险评估:
风险评估“确定和分析目标实现过程中的风险,并为决定如何对风险进行管理提供基础”。
在风险评估过程中,管理层识别并分析实现其目标过程中所面临的风险,从而制定决定如何管理风险的制度基础。
管理层应该在审计师开始审计之前,识别那些重大的风险,并基于这些风险发生的可能性和影响采取措施缓和这些风险。
随后,审计师对这一风险评估过程进行评价。
3、控制活动:
控制活动是指确保管理层的指令得以实现的机制,包括那些被识别能够缓和风险的活动。
控制活动存在于组织的所有层面及组织所有的功能中,如核准、授权、验证、调节、复核经营绩效、保障资产安全、职务分工及信息系统等。
4、信息与沟通:
信息是指员工能够获得其工作中所需要的信息,是确保员工履行职责的必要条件。
沟通是各级人员接收最高管理层关于控制责任的指令方式和他们对待内部控制的严肃程度,包括信息向上的、向下的、横向的、在组织内外自由的流动。
在企业运行和目标实现过程中,组织的各个层面都需要一系列包括来自企业内部和企业外部的财务和运营信息。
信息系统对战略行动提供支持,并融入到经营活动中。
5、监督:
监督是由实时评价内部控制执行质量的程序组成的,这一程序包括持续监督、独立评价,或者是二者的综合。
独立评价的范围和频率取决于所评估的风险程度,内部控制系统需要被监督,监督能够确保内部控制的有效运行。
控制的监督要素包括经理人员日常的监督,审计师和其他群体定期的审核以及经理人员用以揭示和纠正已知的缺陷与不足的程序。
监督可以用来保证其他控制的运行。
2、我国内部控制存在问题之探析
目前,我国对内部控制理论的研究和实践与国外相比,无论在广度还是在深度上都有较大差距,最主要的问题在于还没有形成一套系统的理论,无法对实践提供系统、规范的指导。
我国内部控制主要存在以下问题:
2.1没有统一的、权威性的内部控制定义。
我国至今尚未形成一个比较权威的内部控制定义,企业界、司法界、会计界等不同行业与部门对内部控制的理解不一,因此在有关的法律法规中对内部控制的提法很不统一。
财政部在发布的《内部会计控制规范基本规范(试行)》,只是定义了什么是内部会计控制,至于什么是内部控制,其具体定义、构成及内容等都未予以明确说明。
而中国注册会计师协会发布的《独立审计具体准则第9号--内部控制与审计风险》,则将内部控制定义为“被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。
”虽然也偏于以内部会计控制为主,但与财政部规定的内部会计控制概念也不完全一致。
会计法中有会计监督的内容,但它们被归入单位内部会计监督制度的范畴。
此外,证监会、国家审计署、中组部、中纪委等部门以及各类组织的相关文件中所提到的内部控制概念虽然在内容上有所交叉,但都只侧重于内部控制的某一个方面,无论在字面上,还是在意义上都缺乏一致性,没有形成如COSO报告内容比较完整统一的内部控制概念,不可避免地带来认识上和实践上的混乱。
我国理论界对内部控制的认识更多的是还停留在内部牵制、内部会计控制或内部控制结构阶段,还没有能从管理的角度对内部控制进行整体把握,因而对内部控制的理解带有片面性[2]。
2.2现有的内部控制目标未能体现企业各个利益相关者的要求,内部控制目标单一,缺乏多元性。
我国长期以来,内部控制一般是作为企业的内部事务,由企业管理当局来制定和实施。
管理当局自然更多考虑本企业的利益,对财务报告的可靠性和国家法律法规的遵循性关注相对较少。
企业作为国民经济的一个细胞,往往有众多的利益相关者,主要有所有者、经营者、政府部门、材料供应商等,它们对内部控制都会提出保障自身利益的要求。
从这个角度讲,内部控制不仅是企业自身发展的需要,也是企业的一种社会责任和义务。
在我国,企业内部控制更多是为了满足自身追逐利益的要求,而常常忽略自己那份应尽的社会责任。
2.3对内部控制的执行缺乏有效的监管,导致我国内部控制脆弱不堪,甚至形同虚设。
内部控制是一套自行检查、制约和调整内部业务活动的自律系统,因此,对自律系统的监督是必不可少的。
监督分内部监督和外部监督。
内部监督一般由内部审计部门担任,但由于内部审计部门独立性较差,影响了它对这一职能的发挥。
外部监督具体包括司法监督、社会监督(主要是注册会计师的外部审计监督)和媒体舆论监督。
但由于外部监督资源稀缺,监管不力,致使企业失去执行内部控制所需的外在公平性,直接遏制了企业执行内部控制的积极性。
遵纪守法、保证会计资料的真实、完整等相关的内部控制反而会给企业带来不利的影响,因此,许多企业无视国家的法律法规,甚至弃基本的内部控制制度于不顾,对内部控制内容进行利益选择,形成内部控制成为内部人的控制的现象。
2.4对内部控制固有的局限性还未引起足够的重视。
企业倒闭、破产或不能正常经营,外界常把原因归结于内部控制设计上的缺陷,这虽然没有错,但忽视了内部控制失效的另一个重要原因,即内部控制固有的局限性如果没有得到较好的控制,也会直接导致内部控制的失效。
COSO报告指出,内部控制决不是包治百病的灵丹妙药,再完善的内部控制也不能解决企业存在的所有问题和困难,具体包括以下四大问题:
(1)不能解决管理阶层人员素质问题;
(2)不能左右政府政策或经营环境;(3)不能绝对保证企业完成经营目标;(4)不能绝对保证企业决策中不出现失误。
其中局限性之一,即内部控制不能解决管理阶层人员素质问题在现阶段尤为突出。
企业管理当局,特别是单位主要负责人的道德品行素质几乎决定了一个企业的命运。
3、萨班斯法案加强了对公司内控系统的要求
美国世通公司造假案件和安然、安达信事件震惊了整个世界,美国政府认为这是公司上下串通、内外勾结的严重结果,所以要出一部管理到上下内外的法案,上至公司最高管理层,下至一线员工,内指公司内部,外含会计师事务所、律师事务所等中介机构。
法案为预防和有效避免上下串通、内外勾结,首先明确了最高管理层要负刑事责任,建立独立称职的董事会审计委员会,以及内控系统的完善和落实;其次要求增强审计师的独立性、律师的责任等,特别是成立了上市公司会计监察委员会(PublicCompanyAccountingOversightBoard,简称PCAOB),在SEC指导下独立行使监管职能;再者是重刑惩治犯罪行为,加强了SEC的权利和资源,并加强了财务信息披露的要求。
综观整个法案,最主要的是对公司内控系统的要求,主要体现在302条和404条。
法案对公司内控系统不但规定严厉,而且实施要求和指南还在陆续出台,如SEC于2003年6月5日根据法案的要求颁布了404条的细化条例,PCAOB于2004年3月9日发布第2号审计准则,对公司管理层提出了更明确的要求[3]。
法案是对美国1934年证券交易法的继承和发扬,对公司内控系统出台了更详细规定,主要要求:
1.CE0和CFO已向公司的外部独立审计师和审计委员会披露了内控系统的设计或运作中存在的所有重要不足,以及内控系统中存在的重大缺陷,披露了由公司管理层及在内控中发挥一定作用的其他雇员的任何欺骗行为。
2.CEO和CFO已在公司年报中说明,公司的内控系统或对内控系统可能有重大影响的因素是否有重要改变,对该制度重要不足之处和重大缺陷已经采取的任何修正措施。
3.鉴于上述年报中CE0和CFO书面声明的规定,CEO和CFO在签署该年报声明前,必须完成以下工作:
参与设计、建立公司的内控系统并监督其实施,及时向外部审计师和公司审计委员会披露内控在设计和运作方面存在的重大不足和缺陷,以及涉及管理层或在内控系统中发挥重要作用的雇员的任何欺骗行为,及时采取修正内控系统不足和缺陷的有效措施,亲自参加对内控系统有效性的评估。
4.公司年报必须包括关于内控系统的报告,公司在2004年6月15日后的年度报告、小规模企业和在美上市的外国企业(foreignprivateissuer)在2005年4月15日后的年报适用该规定。
SEC依据该法案规定,公司的内控系统应能保证其财务报表符合有关会计准则的要求,因此该系统必须确保公司的各项交易活动均经过适当授权,确保公司财产受到保护,避免未经批准或其他不当使用公司财产的情况发生,确保公司从事的交易活动的记录和报告符合有关要求。
“财务报告内控体系的管理层报告书”的最终条例由SEC于2003年6月5日公布,特别要求公司的年报必须载有公司内控系统的管理层报告书,该报告书的内容必须包括管理层为公司设立和维持足够的内控系统的责任陈述,管理层就公司最近财政年度结束时内控系统的有效性做出评估,及管理层为评估公司内控系统的有效性而采用的评估架构陈述。
2004年3月9日,PCAOB发布第2号审计准则,对法案上述内控系统要求做了进一步细化和补充,并针对公司管理层提出了新的要求,主要体现在下文的第5点和第6点。
5.公司管理层需要进行如下内控评估方面的工作:
确认需要测试的控制措施,包括对所有重要财务报表科目及信息披露的相关会计认定所采取的控制措施;评估由于控制措施失效而导致会计报表错记的可能性及错记的严重性,以及其他控制措施实现相同控制目标的程度;确认应纳入评估范围的具体公司地址或业务单元;对所有会计报表重要科目及信息披露的相关会计认定所实施的控制措施在设计及实践方面的有效性进行评估;确认在内控系统中所发现的不足是否会构成重大缺陷或实质性漏洞;就主要发现的内控系统不足与相关方面进行沟通,及评估这些主要发现是否与评估结果相一致。
6.公司管理层所需保留的内控系统的记录:
针对与财务报表中所有重要科目及信息披露相关的所有报表认定而进行的内控设计;重要交易的启动、授权、记录、处理和报告过程的相关信息;有关交易流程的充分信息,是否“充分”的衡量标准为能够据以确认可能由于过失或舞弊行为而发生重大错记的环节;用于避免或发现舞弊行为的控制措施;期末财务报告流程控制;资产保护控制措施以及管理层对内控的测试和评估结果。
法案重刑惩治犯罪行为。
如规定,CEO和CFO明知其书面声明是失实的,罚款可达100万美元,监禁可至10年;故意做虚假书面声明的,罚款可达500万美元,监禁可至25年。
另外,法案将对证券欺诈行为提起诉讼的诉讼时效从违法行为发生后的3年延长至5年。
法案的严厉惩治措施引起了全球范围内的广泛关注,在美上市的各国公司纷纷根据法案的要求构建和完善内控系统。
4、美国在内部控制建设方面的经验
4.1注重构建多层次、配套性的法律制度支撑体系。
从美国的做法和情况看,由国会制定萨奥法案,并通过其对建立、评估和披露财务报告内部控制提出原则性要求,同时授权有关部门制定具体实施规则;美国证交会依据法律授权制定相应规则或者批准公众公司会计监管委员会制定的审计准则;上市公司依照法律规定和证交会规则提交财务报告内部控制自我评估年度报告,同时就披露控制与程序提交季度报告;独立审计师根据财务报告内部控制审计准则实施审计工作,并提出审计报告。
自此,国会法律、部门规则、审计准则、内控标准等形成了一个相互衔接和支持的有机体系,为内部控制的实施奠定了较好法制基础。
从前已述及的英国、日本等国的情况看,也大体相似。
值得肯定的是,围绕内部控制体系建设与实施问题,我国近年来也一直在进行着类似努力。
尽管相关的条例仍处于征求意见阶段,但与美国相类似的内控法制框架已基本成型,即由《公司法》、《上市公司监管条例》等对建立健全内控制度和内部控制评估、审计制度做出原则性规定,由有关监管部门根据法律授权制定具体实施规则,由注册会计师根据相应审计准则实施审计。
与美国等西方国家有所不同的是,在内控评估标准的确定上,我国目前尚无太大可能采用像科索框架一样的由民间组织制定的内控标准,理性和务实的做法,是将由财政部会同多个部门共同研究制定的企业内部控制规范体系作为评估标准。
通过该种制度安排,将使我国内控体系建设进一步走上规范化道路[4]。
4.2注重借助研究咨询机构的力量。
对美国而言,最显著的是调动科索委员会等机构的积极性,实现双赢和多赢。
比如,在美国证交会等面临小企业如何更好、更经济地执行404条款的压力时,科索委员会及时出台了针对小企业的财务报告内控指引;同样地,当上市公司急需监管部门对管理层自我评估提供更多指导、更好地协调自我评估与监控时,科索委员会迅速选择格兰特·桑顿公司承担监控项目研究任务,并于2007年9月发布了讨论文稿。
借助社会研究咨询机构的力量推动内控实施,一方面缓解了监管部门的压力,另一方面也强化了社会研究咨询机构的权威,实现了互利共赢。
从我国的现实情况看,尽管还没有像科索委员会一样具有较高声誉和较大影响的内部控制研究民间组织,但逐步培育、壮大类似的研究咨询机构无疑是一种发展方向,这是符合社会主义市场经济条件下进一步发展社会中介和服务组织的基本取向的。
在逐步实现这一目标的过程中,监管部门可以有意识地吸收一部分专业基础扎实、服务声誉良好的研究咨询机构参与部分规则制定和课题研究等工作,一方面是借助“外脑”提高工作质量和效率,另一方面也为扶持、壮大研究咨询机构创造条件。
4.3注重加强对上市公司的指导。
比如,制定并及时修订了管理层内控指引,使得管理层开展内控评估日益有章可循,减少了盲目性;又如,通过研究咨询机构发布有关指引,引导管理层明确相关控制责任。
我国实施上市公司内部控制管理层自我评估已经步入初步实施阶段,但是,对上市公司管理层评估的相关指引、引导还有待进一步建立和完善。
我们应当在总结部分海外上市企业先行一步经验的基础上,结合我国各类企业的不同情况,坚持区别对待、分类指导的原则,有针对性地加强政策指导和操作指引工作。
4.4注重建设会计审计与内部控制智力库。
美国各大会计公司、会计职业组织和学术团体,通过建立会计研究经理、合规周刊等业界平台,为执行新会计审计准则,包括与内控评估有关的准则、知识、技巧、信息等提供了强大技术支持;同时,会计审计职业界已经形成强大的支持服务网络,任何新准则、新规则的出台,都有专门机构、人员迅速进行相关标注、比对、链接,使所有生效的准则始终保持一个既反映动态变化、又跟踪发展历史,同时揭示演进原因的有机体系。
不少美国会计审计执业人员说,面对数量众多的准则,他们很难一一背得住、记得下来,更谈不上样样都精通,但是他们有两大优势可以解决这一问题:
第一是有高智能、综合型、复合型的领军人才支持,往往表现为某一方面的权威合伙人,他可以解答大家的疑问;第二就是通过技术服务平台,想查阅哪方面的问题,从法律、规则、准则,到问题解答、专家指引、参考案例,都可以找得到、用得上。
当前我国正在大力推进会计国际化发展战略,目标之一是培育一批具有国际竞争力的会计师事务所。
从美国的情况看,一个真正成熟的会计师事务所,首要的是要有雄厚的人才与技术支撑。
这或可启示我国的会计师事务所,在重视开拓客户资源的同时,还得加倍重视开发人才资源和技术资源,这对事务所发展如内控咨询服务一类的高端性、高附加值业务尤为重要。
4.5注重加强对会计中介机构内控评估的监督检查。
从美国当前的做法看,对会计师事务所执行内控审计业务的检查,主要是由公众公司会计监管委员会组织进行的。
这一检查工作是十分严肃的。
在公众公司会计监管委员会实施检查之前,事务所内部往往要组织自查,自查工作一般是由不同地区的不同执业人员交互进行的,尺度把握也较为严格。
在公众公司会计监管委员会检查期间,有关合伙人、项目经理等均不得出差,随时准备接受询问或者做好其他配合工作。
检查工作结束后,公众公司会计监管委员会要发布公开报告,说明检查情况和结论,重点说明检查中暴露出来的问题。
各会计师事务所十分重视检查指出的问题,通常会在有关的业务培训中反复强调,告诫审计师尽力避免类似问题的出现。
严格的检查机制,促进了会计师事务所不断提高内控评估质量与效率,同时也使有关方面及时掌握了制度执行中存在的各种问题,为进一步改进和完善相关制度提供了支持。
同时,公众公司会计监管委员会的检查,并不替代或者免除美国注册会计师协会对会计师事务所组织的检查,也不替代或者免除会计师事务所之间的同业互查。
可以预见,在我国推行上市公司内部控制外部评估,主要是会计师事务所审计的初期,难免会出现这样那样的问题。
在此情况下,借鉴美国做法、严格对会计师事务所执业质量的检查是可取的。
4.6注重通过建立各种形式的论坛广泛听取意见、交流经验。
在美国,针对小企业建立并实施内部控制的若干问题,证交会、公众公司会计监管委员会分别建立了专门的常设咨询委员会和小企业审计论坛,定期组织小企业及其审计师等讨论、交流包括内控问题在内的各种问题,在监管者、企业和审计师之间搭建了良好的沟通平台。
在欧洲,欧盟委员会2004年10月设立了欧洲公司治理论坛,通过定期的高层会议来鼓励不同国家公司治理规则的协调和趋同。
该论坛在2005年1月举行首次会议,预计每年开会一次或两次,与会人士包括来自欧盟成员国、监管者、发行人、投资者以及其他市场参与者和学术界的代表。
许多企业建议应当尽快举办诸如上市公司风险管理与内部控制之类的高层论坛,希望籍此为监管部门宣介监管规则、上市公司交流管理经验、中外同行进行观点碰撞等提供一个平台。
在此基础上,可以探索发布中国内部控制年度报告等文献资料,真实记录我国监管部门、企业界等加强内部控制建设的做法、成效、不足和典型案例等,为企业和各有关方面提供一面对照、反思的“镜子”[5]。
4.7注重树立法规制度权威并狠抓法规制度培训。
不难发现,当地社会的法制观念确实比较深入、会计审计职业落实法制要求的行动也较为扎实。
试举两例:
第一,尽管围绕财务报告内部控制审计的有关问题争论热烈,甚至利用各种场合、机会、力量表达各自的主张、争取他人的支持,但是,只要相关法规制度没有通过必要的法律程序做出修订,有关各方还是中规中矩地在执行,没有因为存在不同意见、看法而放弃履行法律规定的义务,这在某种程度上好比美国大街上的消防车,尽管喇叭声响时常燥烈得有些令人心烦,但只要这种声音响起,附近路面的人和车都自觉在第一时间原地停下来等待消防车先行通过,这就是一种深入人心的守法意识。
第二,会计师事务所等会计审计职业组织,高度重视员工执业技能培训。
著名国际会计公司的培训既是为了降低执业风险,也是为了提高服务质量;既有较强的计划性,又有根据新规则、准则立即组织培训的机动性;既有面向不同领域、不同层级人员的针对性,也有诸如行为准则、着装规矩等共同要求;既有提纲挈领的一般介绍,又有针对初入门者从基本概念、常用术语到工具使用等手把手的教导;既有气氛轻松的随时插话、提问、讲解甚至小礼品激励,又有规范、严格的考勤和学习效果测试。
我国在法规制度执行中存在的问题,有相当部分是法规制度的严肃性没有得到很好维护的问题,过多的变通与较小的违法成本,成为有令不行、有禁不止的重要原因,这是我们需要认真思考和切实加以解决的问题。
再从培训工作看,尽管会计审计组织自觉加强业务培训的情况有了很大改善,但差距依然较大。
参考文献:
[1]宋媛.《萨班斯—奥克斯利法案》对我国企业内部控制的影响及启示[D].西南财经大学,2007
[2]王吉,张敏.我国内部控制现状探析[J].管理世界,2006第8期:
183-184
[3]吕洪涵,吕廷杰.萨班斯法案下公司内部控制系统构建及评审探讨[J].北京邮电大学学报:
社会科学版,2004,6(4):
43-47
[4]王宏.基于国际视野与科学发展的我国内部控制框架体系研究[D].西南财经大学,2008
[5]阎达五,杨有红.内部控制框架的构建[J].会计研究,2001,2:
9-15
升级会员 