前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的对内部控制的理解主题范文,仅供参考,欢迎阅读并收藏。
【关键词】 公司治理结构; 内部控制; 有效性
中图分类号:F271.5 文献标识码:A 文章编号:1004-5937(2014)08-0042-04
一、引言
公司治理结构指由所有者、董事会、监事会和高级执行人员组成的一种组织结构。其中的董事会、监事会和高级执行人员分别履行公司的战略决策职能、监督职能和日常经营决策职能。良好的公司治理结构,可以解决企业各方的利益分配问题,同时对公司能否高效运转、是否具有竞争力起决定性的作用。关于内部控制有效性的研究,美国起步较早,1992年美国COSO委员会提出的《内部控制——整合框架》,认为有效性体现在企业经营目标得以实现、财务报告的真实可靠性以及相关的法律法规得到遵循。此外,2002年美国国会通过的《萨班斯—奥克斯利法案》已在世界各国得到了普遍的认可和应用。与国外相比,国内学者廖涓池(2012)认为只有同时满足内部设计的有效性和内部执行的有效性才能认为企业的内部控制是有效的。也就是说内部控制有效性包括设计有效性和执行有效性,只有这两个因素都发挥很好的效果时,内部控制有效性才能发挥更好的作用。
目前,我国大多关于公司治理结构的研究只偏重于对内部控制的影响,而忽略了其最终要落实在有效性上(许飞,2012)。本文的不同之处是以内部控制有效性为研究对象,分析公司治理结构(主要包括董事会、监事会、独立董事、股东和经营者)对其产生的影响。另外,目前国内的大多数研究都是选取公司治理结构中的个别因素来分析其对内部控制目标的影响,而较全面地分析公司治理结构也只是针对内部控制而非内部控制的有效性(张先治等,2010)。于是,本研究以期通过全面分析公司治理结构对内部控制有效性的影响,进而使企业建立良好的运营模式。同时,丰富公司治理结构对内部控制有效性影响的研究。
二、理论分析与研究假设
根据目前国内外关于公司治理结构与内部控制相关问题的研究情况,本研究选取公司治理结构中董事会和监事会的会议次数、独立董事的比例和管理层持股比例三个因素作为自变量。因为这三个变量从董事、监事和管理者三个角度描述了公司治理结构,较好地代表了公司治理的决策职能、监督职能和激励职能。结合现有研究成果,本文主要从以下几个方面提出研究假设,并进行实证分析。
首先,董事会和监事会的会议次数反映了董事会对企业经营状况的关心程度,一般来说,董事会和监事会的会议频率越高,说明董事和监事越关心企业的发展,从而有利于企业内部控制有效性的充分发挥。Nikos Vafeas(1999)通过对1990—1994年期间307家企业数据的分析得出,在董事会会议次数异常增加后,公司当年的运营绩效得到改善。据此,本研究认为,董事会和监事会的会议次数与公司内部控制有效性呈正相关关系。由此提出假设1。
假设1:董事会和监事会的会议次数与内部控制有效性正相关。
其次,独立董事代表公司所有者行使监督管理的职能,所以企业在高管中聘任独立董事的比例可以在一定程度上反映其对自身经营管理的客观程度。同时,也反映了企业对监督管理的重视程度。Goh(2009)研究发现独立董事的比例越高,其对内部控制缺陷的补救就会越及时。所以本研究认为,独立董事的比例与内部控制有效性呈正相关关系。由此提出假设2。
假设2:独立董事的比例与内部控制有效性正相关。
同时,企业的经营管理人员作为公司治理结构中的一个重要组成部分,对内部控制的有效实施负有重要的责任。朱荣恩等(2003)认为管理层是内部控制的重要执行主体,对内部控制制度能否有效实施起主导作用。企业的经营目标最终能否实现在很大程度上要依靠管理者对下层员工的督促和对上层股东的执行效率,而股权作为一种有效的激励手段可以使管理者更好地为实现公司长远发展目标努力。所以本研究认为,管理层持股比例与内部控制有效性呈正相关关系。由此提出假设3。
假设3:管理层持股比例与内部控制有效性正 相关。
上市公司的总资产规模往往会影响到其对内部控制的投入成本,所以公司规模的大小与内部控制有效性就会存在一定的关联关系。如Doyle(2007)研究发现,披露内部控制缺陷的公司规模一般较小。此外,企业的营业利润增长率可以反映企业营业利润的增减变动情况,营业利润增长率越高说明企业的盈利能力越强。借鉴李育红(2011)关于此研究的观点“企业的营业利润增长率越高则对内部控制的关注程度越高”。据此,本文将公司规模和公司的成长性引为控制变量,即:
公司规模=LN(公司总资产)
公司成长性=公司营业利润增长率
三、研究设计
(一)样本选取和数据来源
本研究以上海证券交易所A股公司2012年年报中的财务数据为样本,并且剔除资料缺失数据和样本极端值数据,共取得258个研究样本,所用的数据均来自国泰安数据库。
(二)变量的选取和定义
本研究变量包括内部控制有效性变量、公司治理结构变量和控制变量三个部分。其中,关于内部控制有效性的变量依据美国反欺骗性财务报告委员会(COSO)对内部控制的定义“内部控制是由企业董事会、经理层和其他员工实施的,用来为经营效果和效率、财务报告的可靠性、遵守适用的法律法规三类目标的实现提供合理保证的一个过程”。从上述定义中能够看出内部控制的有效性主要是从经营效率、财务报告和法律法规三个目标进行度量的。所以我们用总资产净利率、公司财务报表审计意见类型和是否收到证交所和证监会的处罚等几个因素定义内部控制的有效性。各变量具体的定义见表1。
(三)描述性统计
本研究共取得上海证券交易所上市交易的258个A股公司财务数据作为研究样本。其中,总资产净利率的均值为4.84%。上市公司财务报告获得标准无保留意见为214家,占上市公司总数的82.9%。2012年没有被上交所、证监会处理或公开谴责的上市公司共208家,占上市公司总数的80.6%。在本研究中发现,我国上市公司董事会的会议次数明显多于监事会的会议次数,且各家公司的董监两会会议合计数差异较大,从5到29分布不等。上市公司独立董事人数占董事总人数不低于1/3的有257家,占上市公司总数的99.6%。管理层持股数不为0的企业共计186家,占上市公司总数的72.09%。对上市公司年末总资产取自然对数,其标准差为1.63,说明所选取的样本数据较为分散,能更好地体现出公司规模对内部控制有效性的影响程度。公司的营业利润增长率均值为0.098,说明所选取的样本数据大部分是正增长,有较好的发展前景。具体结果见表2。
四、实证结果及分析
(一)公司治理结构对公司经营性目标的影响
为验证公司治理结构对公司经营性目标的影响,现建立如下多元回归模型:
其中,ROA为因变量,表示上市公司内部控制有效性的经营性目标,b1—b5为各自变量的回归系数,C为常数项,?孜为随机误差项。本研究通过SPSS17.0对样本数据进行回归分析,回归分析结果见表3中ROA一列。
从表3多元线性回归结果可以得出:首先,董监两会的会议次数在5%的置信水平上与公司的经营性目标呈显著正相关,说明董事会和监事会的召开对内部控制有效性有积极的促进作用。其次,管理层的持股比例对内部控制的经营性目标有显著的促进作用,说明管理者和所有者两职兼任更有利于内部控制目标的实现。另外,公司的成长性在5%的置信水平上与公司的经营目标呈显著正相关,说明公司营业利润增长率越高,内部控制有效性越能充分发挥。
(二)公司治理结构对财务报告可靠性的影响
为验证公司治理结构对财务报告可靠性的影响,建立如下的Logistic回归模型:
其中,Reliability为虚拟因变量,表示上市公司财务报告的可靠性目标,回归结果见表3中Reliability一列。
从表3Logistic回归结果可以得出:首先,董监两会的会议合计数在5%的置信水平上与企业财务报告的可靠性呈显著正相关,说明公司董事会和监事会的会议次数越多,企业财务报表越真实可靠。其次,公司总资产的规模在5%的置信水平上与企业财务报告的可靠性呈显著正相关,说明企业的资产规模越大,越能为内部控制的有效实施提供保障。另外,独立董事和管理层的持股比例对实现财务报告的真实性目标作用不明显。
(三)公司治理结构对公司合规性目标的影响
为验证公司治理结构对公司合规性目标的影响,建立如下Logistic回归模型:
其中,Legitimacy为虚拟因变量,表示上市公司的合规性目标,回归结果见表3中Legitimacy一列。
从表3Logistic回归结果可以得出:首先,董监两会的会议次数在5%的置信水平上与公司的合规性目标呈显著正相关,说明董事会和监事会的会议次数越多,企业内部控制的合规性目标越能更好地实现。其次,管理层的持股数在5%的置信水平上与公司合规性目标呈显著正相关,说明管理层的持股比例对内部控制的合规性目标有积极的促进作用。同时,总资产的规模在5%的置信水平上与公司合规性目标呈显著正相关,说明公司规模越大越能为内部控制有效性的合规性目标提供保障。
五、研究结论
经过上述的回归分析和实证研究,本文得出以下结论:(1)通过对公司治理结构的研究发现,其对内部控制的有效性有一定的影响作用。其中董监两会的会议次数对内部控制的有效性影响较为显著,说明董事会和监事会的召开真正地发挥了监督和战略决策的职能,为公司的正常运转提供保障。(2)管理层的持股比例对内部控制的经营性目标和合规性目标有显著影响,说明公司管理层的持股数量对其自身有一定的激励作用,能更好地热衷于企业的经营绩效,同时也可以在一定程度上减少受到上交所和证监会处罚的可能性。(3)从回归结果来看,独立董事对上市公司经营性目标、可靠性目标和合规性目标的影响都不大,甚至出现消极的作用,说明独立董事未发挥出其应有的监督作用,这一点与以往学者(薄澜等,2012)的研究也相符。(4)总体而言,本研究所选择的两个控制变量(总资产的规模和公司成长性)在一定程度上能保证上市公司内部控制有效性的充分发挥,但影响程度不显著。其中总资产规模对可靠性和合规性目标影响较大,公司成长性对经营性目标影响较大,所以公司在这两个变量都同时满足的情况下才能保证内部控制的有效实施。
同时,根据上述研究结论,笔者认为,为了实现内部控制的有效性,可以从以下几个方面完善公司治理结构:(1)适当增加上市公司管理层人员的持股比例,充分调动其对公司经营决策的积极性;(2)提高董事会和监事会的会议质量,充分发挥其对上市公司日常经营管理、财务报表的真实性和法律法规遵守情况的监管作用;(3)对于独立董事要保证其独立性,从客观角度提高企业生产经营活动的效率。由于公司治理结构包含很多方面,本文在自变量选择环节只选择了主要方面中具有代表性的因素进行研究,选择替代指标的代表性不够全面,其余因素对内部控制有效性的影响还需要进一步研究。
【参考文献】
[1] 廖涓池.企业内部控制有效性分析[J].财经界,2012(4):108.
[2] 许飞.公司治理结构下的内部控制研究[J].现代商贸工业,2012(2):182-183.
[3] 张先治,戴文涛.公司治理结构对内部控制影响程度的实证分析[J].财经问题研究,2010(7):89-95.
[4] 吴楠,张飞雁,张培培.董事会行为与企业经营绩效关系研究——以电力行业上市公司为例[J].西部金融,2013(2):78-81.
[5] Goh B W.Audit Committees,Boards of Directors and Remediation of Material Weaknesses in Internal Control[J]. Contemporary Accounting Research,2009(2):549-579.
[6] Doyle J,Ge W,McVay S.Determinants of Weaknesses in Internal Control over Financial Reporting [J]. Journal of Accounting & Economics,2007(44):193-223.
[7] 李育红.公司治理结构对内部控制有效性的影响[J].中国注册会计师,2011(3):75-80.
论文摘要:2010年4月,财政部等五部委联合了《企业内部控制配套指引》,它标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系已基本建成。本文以辽宁省上市公司为例,从实证角度探究了公司治理结构对内部控制的影响.
一、样本的选择和数据来源
本文选取了辽宁省在沪深两市上市的公司进行实证研究,并对初始样本进行了进一步筛选,最终从其中二十家上市公司获取最近五年的研究数据,总样本量共100个。
二、定义变量
内部控制效果(NBKZ):内部控制效果较好取1;否则取。
第一大股东持股比例(DYD):第一大股东持股数/,总股本
股权集中度(GQJZ):第一大股东持股数/第二、三大股东持股数之和
董事会规模(DSGM)董事会成员总数
独立董事比例(DDBL):独立董事人数/董事会成员总数
持股董事比例(DSCG):持股董事人数/董事会总人数
董事会议会频率(DSYH)董事会年会议次数
董事长兼任总经理(JR):如果董事长兼总经理,取1;否则取0
“四委”设立个数(SW):根据设立个数分别取值4,3,2,1,0
监事会规模(JSGM):监事会成员总数
持股监事比例((JSCG):持股监事人数/监事会总人数
监事会议会频率(CJSYH):监事会年会议次数
高管人员薪酬(GGXC):报酬最高的前三位高管人员的年度薪酬总额高管人员持股比例(GGCG):高管人员持股数/总股公司规模(GM)总资产的自然对数行业差异(HY):按照CSRC行业分类引入7个哑变量,分别赋值1-7
三、内部控制效果的评价依据
会计师事务所出具的内部控制审计报告
《企业内部控制配套指引》的《审计指引》中指出:注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。在本次研究中,将注册会计师出具的对上市公司内部控制审计的书面报告作为衡量内部控制效果的主要依据。
董事会出具的内部控制自我评价报告
《企业内部控制配套指引》的《评价指引》中指出:企业应当围绕内部控制的五要素确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价,出具相应的评价报告;企业董事会应当对内部控制评价报告的真实性负责。如果上市公司设计和实施的内部控制是有效的,它在内部控制自我评价报告中就会真实、完整地披露有关信息,否则说明该上市公司还没有建立起完备的内部控制体系。
基于对以上两方面因素的综合分析,本文对每个样本公司内部控制的效果加以区分并相应地赋值。如果该样本公司的内部控制效果较好,则赋值为1,反之赋值为0.
四、构建模型
以代表内部控制效果的变量作为被解释变量,以代表公司治理结构的变量作为解释变量,以公司规模和行业差异作为控制变量,构造多变量模型如下:
E;,表示回归残差。)
五、Pearson相关性分析
关键词:企业管理经济危机内部控制风险管理
中图分类号:F270 文献标识码:A
文章编号:1004-4914(2010)11-249-02
在经济全球化的今天,企业要做好风险管理的工作,以使提高经济效益、减少损失,就要使内部控制制度更加健全,实施更加有效。不仅要深刻地认识和了解风险管理和内部控制的联系和区别,更重要的是还要抓好内部控制,内部控制是风险管理的关键所在。
一、我国企业在风险管理中内部控制存在的问题
1.企业管理者对内部控制的认识和理解不足。目前,在我国企业中基本都建立了内部控制制度,但有些企业的内部控制制度的制定缺乏科学的指导;有的企业管理者认为内部控制就是各项工作制度和业务规章的汇总,建立了企业规章制度就等于做好了内部控制。有的甚至认为风险管理仅仅是公司高层的事情,与自己无关。还有一些管理人员风险管理观念淡薄、重经营轻管理。所以要建立一套科学有效内部控制制度及风险管理机制,应提高企业管理者对这方面的认识。
此外,企业比较重视传统意义上的内部控制风险,从而忽视了对传统内部控制之外的风险的控制和衡量。例如,外部重大不利事项,外部经济、技术条件的变化,法律变化等风险游离于内部控制之外。企业若加强对这些风险的控制,就会为企业创造一个更好的内外部发展空间,减少更多风险。
2.企业内部控制制度不完善。对内部控制制度建设不重视,内部控制难以发挥作用。一些企业机构设置不断变化,对分支机构的管理授权不清。没有将不相容职务分离;一些企业在制定内部控制制度时大多注重企业的财务目标,忽略企业的经营风险;企业过于追求利润最大化,没有站在企业可持续发展的角度上去看待问题;没有充分考虑企业内部控制的环境,很大程度上缺乏内部控制的环境。对内部控制制度的制定具有片面性,内部控制制度没有形成一个完整的体系;对内部控制制度的制定没有形成制度制定、制度执行和制度执行结果的考核,三者设有构成一个统一的有机整体。
3.内部控制执行效果不理想,缺乏风险管理。企业的内部控制制度形同虚设,执行力度不够。许多企业的监督部门的工作不认真执行,完全是过于形式,根本无法发挥应有的作用;各部门管理责任划分不明确,没有建立相应的风险管理机制。一旦发生风险损失,则各部门或人员之间相互推卸责任;一些企业采取事后管理的传统内部控制方法,把内部控制置之度外,缺乏对重大风险预警机制及突发事件应急处理机制,等发现问题再补救。
长期以来,企业管理者业绩考核往往以利润为指标,评价方式不具有多样性,往往忽视对内部控制的综合评价。缺乏完美的风险管理机制及组织架构。管理者在内部控制中起着关键性作用,没有相应的组织或机构进行监督制约随时面临着失控的局面,内部控制制度不能有效运行,不能降低潜在的风险。由于内部控制无法发挥对高层管理者的制约作用,而企业往往会因为缺乏对公司高层管理者的有效控制和监管而带来风险。许多企业的内部控制在实施的过程中仍存在许多问题,尤其在我国企业改制以后,强调放权让利,内部人控制现象严重,未达到内部权力制衡的效果。
二、我国企业在风险管理中内部控制存在问题的成因分析
1.风险管理意识差,缺乏风险管理机制。就我国企业的当前情况来看,企业的风险的认识和理解并没有提到应有的高度。尤其是企业的管理者,由于受计划经济条件下卖方市场的影响,缺乏有效的风险管理机--制。由于当前社会经济环境的变化。企业间竞争越来越激烈,企业财务风险、经营风险等不断提高。
2.内部控制制度不健全,缺乏控制力。我国企业内部控制活动中最大的一个薄弱环节就是考核奖惩机制不够健全、有效。计划不如变化快,由于没有认真地去考核、去检查,而只是搞形式,其执行效果不理想。一个完善的制度,在没有有效控制、考核的情况下,都很难发挥出它应有的作用。由于管理体制和管理方式的问题,我国企业内部控制的监督很薄弱,管理控制的方法不先进,内部审计机构没有起到应有的作用。
3.制约内部控制的法制大环境尚未形成,降低了内部控制实施的效果。由于我国法制不健全、产权责任不明确、人员素质低等原因还没有真正形成有法可依、执法必严、违法必究的大环境。因此,在一个企业也就很难形成有章必循,违章必究的局面。
此外,我国内部控制未形成常态,对于风险管理还处于理论研究阶段,尚未构成内部控制工作的长效机制。管理理念、管理方法等不能适应新经济条件下形势发展的需要。
三、完善我国企业在风险管理中内部控制的对策
1.加强管理者对内部控制的认识和理解,健全风险管理机制。现代企业管理面临的环境越来越复杂,必须加强企业自身风险意识,健全风险管理机制。企业管理者要重视内部控制,不断的组织学习有关内部控制的知识。尽快在体制上明确企业管理层风险管理方面的责任,加强对内、外部所有风险的总体研究和控制。要加强内部控制的认识和理解,企业还要将重大问题由管理者按照程序集体研究决定,以便增强员工对内部控制的认识。使内控制度的执行落实到实际,从而推进企业内控制度的完善,提高企业风险防范水平。
一般的认为,对内部控制的了解和描述应该采用“交易循环法”。此法下,对内部控制的了解是将企业业务分成若干业务循环,再了解各循环内的内部控制并进行相应的了解记录。所谓交易循环法也称切块审计法,是指将密切相关的交易种类或帐户余额划分为同一块,作为一个业务循环来组织安排审计工作的。将这种方法在了解内部控制上,其实质就是将内部控制系统划分成若干业务循环子系统,然后再针对每一业务循环子系统进行内部控制的了解和描述。然而,我国已颁布的《独立审计准则》则要求注册会计师从“内部控制结构”入手去了解和描述被审计单位的内部控制。例如,《独立审计具体准则第9号——内部控制与审计风险》第十三条、第十四条和第十五条分别规定了注册会计师应当从控制环境、会计系统和控制程序等三个方面充分了解被审计单位的内部控制。独立审计准则的这种规定无疑是告诉人们,在审计实务中应将内部控制系统划分成控制环境、会计系统和控制程序三个子系统,并且,内部控制的了解、描述也应该分别按这三个子系统进行。这样,我们的审计理论之中就出现了这样的情况:内部控制了解、描述的业务循环法与内部控制了解、描述的结构法是两种方法还是一种方法?如果是两种方法,那么,哪一种方法更?如果两种方法都科学,为什么《准则》强调要求注册会计师只能采取“结构分析法”?如果是一种方法,又如何理解对内部控制同时按照两个标志(业务循环、结构要素)所作的划分?显然给职业界的人士带来了极大的困惑。
一、“两种方法”的理解
把对内部控制了解、描述的业务循环法与结构分析法作为两种方法看待,理解上并无困难。因为无论是业务循环法还是结构分析法都是对同一事物(内部控制)所作的不同划分。审计实务中,人们不可能在一次审计中对同一被审计单位的内部控制作重复的了解、描述:要么按照业务循环来进行,要么按照内部控制结构来进行,这是“两种方法”的基本观点。单独对“两种方法”中的任何一种方法所进行的理解、阐述,都不会产生太大的。真正的问题在于一旦把它们和理论的或实务的有关方面联系起来,其所引起的矛盾和冲突就会凸现。
把业务循环法作为了解内部控制的一种方法,无疑是对内部控制结构分析理论的一种排斥。因为在这种方法下,内部控制按结构分析理论划分的内部控制结构要素将会变得毫无实际意义,失去了应用价值的结构分析理论充其量也只能是供理论家们孤芳自赏的一种“纯理论”。
把结构分析法作为了解内部控制的一种方法,无疑可以将内部控制的结构分析理论应用得淋漓尽致。但这样一来,却与其后的审计程序(符合性测试、实质性测试)发生了矛盾和冲突。现代审计理论认为按照业务循环进行实质性测试是一种科学的审计方法,为了与实质性测试的业务循环法相匹配,符合性测试也应该按照业务循环来进行。了解、描述内部控制是符合性测试的基础,如果内部控制按照控制环境、会计系统和控制程序进行了解和描述,符合性测试必然会失去按照业务循环来进行的条件。把业务循环法和结构分析法作为两种方法看待,存在种种矛盾,因此,“两种方法”的理解并不科学、合理。
二、“一种方法”的理解
“一种方法”最可能的理解是对内部控制按业务循环法、结构分析法递进划分后再进行了解、描述。所谓把内部控制按业务循环法、结构分析法进行递过划分,也就是认为被审计单位的内部控制首先可以按照业务循环进行划分,划分后的每一业务循环都包含控制环境、会计系统和控制程序三个要素。因此,对被审计单位内部控制的了解和描述实际上只要从每一业务循环入手,分别对每一业务循环中的控制环境、会计系统和控制程序进行了解和描述就可以了。例如,有的就认为“了解收入循环的内部控制结构时,应分别对控制环境、会计系统和控制程序要素进行考虑。”
“一种方法”的这种理解,表面上看可以有效地解决“两种方法”所产生的矛盾和冲突,但仔细考虑之下,“一种方法”的这种理解依然存在着问题。内部控制结构分析理论把内部控制按照其结构划分成三个要素,每个要素都是单独作为一个完整的子系统加以考虑的。其中控制环境、会计系统这两个要素,人们应该将其作为两个完整的系统加以研究、评价才能收到较好的效果,尤其控制环境这个要素是针对整个企业而言的,如果将其分裂开来,纳入每一业务循环之中,认为每一业务循环中都应包含着可能是不同的控制环境这一要素,这不仅有违结构分析理论的本意,而且于理也不通。这一点,我们可以通过对控制环境所包含的考察找到答案。结构分析理论认为,一个企业的控制环境应由以下部分构成:(l)经营管理的观念、方式和风格;(2)组织结构;(3)董事会;(4)授权和分配责任的方法;(5)管理控制方法;(6)内部控制;(7)人事政策和实务;(8)外部。很明显,控制环境的这些构成内容只能是针对整个企业而言,不能将其分配到每一业务循环之中。因此,上述“一种方法”的考虑显然也不能成立。 三、一种合理的解释
业务循环、结构理论都有其合理的内核,在对被审计单位内部控制了解和描述的过程中,必须积极地吸收业务循环理论、结构分析理论两者的合理内核才能产生一种的了解内部控制的。这种科学的方法不是将业务循环理论与结构分析理论简单地组合,而是有机地融合。其具体思路是:
1.对被审计单位的控制环境、系统进行整体的了解和描述。例如有的就认为“有关控制环境和会计系统的问卷通常可用于整个客户”。通过对控制环境的了解应能满足注册会计师评价被审计单位管理当局对内部控制及其重要性的态度、认识和措施的要求。通过对会计系统的了解,注册会计师应能识别和理解以下事项:(1)被审计单位交易和事项的主要类别;(2)各类主要交易和事项的发生过程;(3)重要的会计凭证、帐簿记录以及会计报表帐目;(4)重大交易和事项的会计处理过程。
一、对计算机会计内部控制的再认识
西方对计算机会计内部控制的研究大概始于70年代,美国执业会计师协会(AICPA)和EDP审计人员协会从1974年开始先后发表了一系列研究报告或相关的审计准则,国际会计师联合会(IFAC)也在80年代制订了几个有关计算机审计的准则。这些文告或准则一方面肯定了计算机处理对内部控制的影响,强调加强内部控制及其审计的必要性;另一方面则比较一致地将内部控制分为一般控制和控制两大类,并据此制定了一套EDP控制标准。
我国财政部1994年的《会计核算软件基本功能规范》,集中在输入、处理、输出和安全四个方面对会计软件提出规范性要求,实质上涉及的都是内部控制的问题,即会计软件系统所应该实现的控制。而首次涉及计算机会计系统内部控制的审计法规则是1999年7月1日生效的《独立审计具体准则第20号-计算机信息系统环境下的审计》。
显然世界各国审计机关对计算机处理环境的内部控制问题都有相当的重视,进行了非常深入的研究。既肯定了计算机处理环境对内部控制的影响,又研究了加强控制的措施,还探讨了审计内部控制的方法。但是,事物总是的,随着计算机技术的日新月异,尤其是商务和财务的出现,前述的这些研究已经显得苍白。我们认为,当前对内部控制的研究存在三个问题:一是对广域网络环境下会计系统的内部控制缺乏研究,二是对内部控制的分类欠,三是不少控制措施以及对内部控制的符合性测试方法脱离实际。下面将就这些问题展开讨论。
二、网络会计给内部控制提出了新课题
网络财务战略一经提出就获得的普遍认同,成为业界关注的焦点,引发人们对网络环境下财务与管理的思考。网络财务的最闪光之处是通过Internet实现多种远程处理和支持电子商务,而这恰恰给会计内部控制出了难题。
我们知道,电子商务和远程处理必然要求会计系统的进一步开放与数据共享,而开放与共享将增加安全控制的难度,信息安全、资金安全都将成为内部控制的焦点。安全威胁既来自企业内部工作漫不经心的员工,也来自心怀不满的职员、外部黑客以及竞争对手。因为网上交易公开化程度较高,操作人员和信息使用者干预系统的机会增大,再加上使用的是公用通讯线路,系统面临的安全隐患也必然增多,从而增大企业经营的风险。例如,不法之徒可能利用网络及安全管理的漏洞窥探用户口令或电子账号,冒充合法用户作案,篡改数据库内容以窃取资产;利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏会计信息系统,甚至摧毁网络节点;此外,由于电子商务处理业务的原始记录以电子凭证的方式存在和传递,不法之徒通过改变电子货币账单、银行结算单等,就有可能转移财产的所有权。
有鉴于此,网络财务必须实现以下控制目标:
1、对远程操作的控制,即实现对远程记账、报账、查账、制表、审计以及网上报税等操作的安全控制。
2、对网上支付的控制,即保证支付信息的机密、支付过程的完整、交易双方的合法身份以及互操作性,实现安全支付。
3、对电子凭证的控制,即控制电子凭证的正确收发、真伪确认、安全传递和格式转换等问题。
以上控制既涉及技术层面,也涉及政府立法和企业内部的制度建设。在技术上要采用公开密匙加密、电子数字签名、电子信封、电子证书等技术,加强对网上输入、输出和传输信息的合法性、正确性控制,在企业内部网与外部公共网之间建立防火墙,对外部访问实行多层认证。在上建立电子商务法律法规,规范网上交易、支付、核算行为,并制定网络财务准则和相应的内部控制制度。没有网络安全,就没有网络财务。
三、关于内部控制的分类
美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第20号以及我国《独立审计具体准则第20号》,都把计算机会计内部控制分为一般控制(General controls)和应用控制(Application controls)两大类,并将前者定义为:(1)电子数据处理的组织和操作的计划;(2)对系统或程序的设计、开发和变动的记录、审核、测试和批准;(3)由制造商在设备内部所设置的控制;(4)对接触设备和数据文件的控制;(5)对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。
但是,我们认为这种分类方法从其名称和内涵来看,都有值得商榷的地方。
1、定义缺乏逻辑性
分类是一种手段,目的是便于人们对事物的理解或认识,但这种分类方法并未达到这个目的。首先从其名称来看,分类标准不明确,甚至可以说用的不是同一个标准。因为人们往往习惯于将“一般”来区别“特殊”,而将“应用”与“基础”、“”或“系统”等概念相对应。所以将问题分为“一般”和“应用”在逻辑上是不清晰的,实际上不少问题既是“一般”问题,又属“应用”范畴。
2、两类控制的内涵不明
分类标准的模糊性带来控制内涵不明,到底哪些方面的控制属于一般控制,哪些属于应用控制,人们只能根据强加于人的“定义”来理解。两类控制常常交叉,例如数据输入既因涉及输入而属于应用控制,又因涉及组织和操作而属于一般控制的范畴。又如,对输出资料的保管、操作权限的识别这样一些控制措施,到底属于一般控制还是属于应用控制,人们从字面上就很难区别。此外有些还把对经济业务的完整性、有效性、合理性的审查和控制,作为数据处理控制的内容,使控制措施的归属变得更为含混不清。
3、企业控制的任务不明确
这种分类方法混淆了执行控制的主体,即两类控制中人们难以明确哪些是企业应该做的,哪些是软件开发商的责任。我们知道在手工会计中内部控制都是通过人来执行的,但在计算机会计中除了人这个执行控制的主体之外,许多内部控制方法却要通过计算机系统尤其是会计软件才能实现。例如,应用控制中的输入控制,既包括了用规章制度约束操作人员以保证输入数据的正确,又要靠系统自身的容错功能来识别和纠正输入数据的错误,前者是制度问题而后者则是计算机程序问题。在输出控制中也存在类似的问题,对输出的权限和完整控制应该是软件系统的责任,而输出资料的确认和保管则是会计人员的责任。
我们认为内部控制的分类既要概念清晰,又要区分控制的主体,以便明确责任,为此,建议将内部控制分为管理制度控制和程序系统控制两大类。其中程序系统指机软硬件系统,主要是系统和软件。程序系统控制主要是靠软件本身功能来实现的内部控制机制,以实现系统的自我保护,主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。程序系统控制的责任者是软件开发部门,用户不应负有责任。而管理制度控制一般是以管理制度的形式实行的,主要包括组织、操作、维护和资料保管等方面。我们也可以进一步将管理制度控制分为环境控制(或基础控制)和操作控制(或控制)两类,组织、维护和资料保管都属于环境控制的范畴。显然制度的制订和执行与计算机程序系统无关,而是会计软件使用单位的责任。这种分类法的优点是分类标准明确,容易理解,而且实现控制的措施和控制的主体是一致的,责任分明,方面容易清楚自己应该怎么办。
四、关于内部控制措施及审计
我们接触到的几乎所有教科书或,不仅将内部控制分为一般控制和应用控制,而且演绎和解释具体控制措施以及内部控制的审计时往往脱离实际,形式繁琐,又不突出控制重点,主要存在以下:
1、无法实现或不合理的控制措施
在对内部控制措施的罗列中,有许多是无法实现或者是不合理的要求。例如,要求在会计软件中“安装一个联机审机控制器,用来收集审计人员感兴趣的资料”,要求在程序中设置断点以控制“主文件金额数、记录计数、前一程序指令序号”,“每一个操作运行结束后应有一份打印输出”,通过使用“双重运算、逆运算法”检查错误等等,都是不合理的甚至根本就无法实现的措施。又如对会计软件系统的开发控制和审计是否合理,也是值得商榷的。
2、无需过问的控制措施
有许多控制措施是计算机系统的最基本的功能,并非为会计所设置,审计人员是无需过问的。例如,硬件的冗余检验、奇偶校验、回声检验,操作系统的错误处置、程序保护、文件保护,这些控制都是计算机系统所必备的功能,不应该将它们纳入会计内部控制的范畴,也不应该成为审计的。其实对许多系统保护措施审计人员也无从了解,更谈不上审计。
3、对内部控制的审计内容繁琐
许多文献对内部控制审计方法的介绍不仅内容空洞繁琐,而且空谈许多无法实现的审计方法,严重脱离实际,使审计人员不得要领,抓不住审计的重点。例如,对系统软件的测试是完全没有必要的,因为系统软件一般都比较可靠,而且不会对会计软件系统的安全造成威胁。此外,对会计软件的测试方法中许多方法从技术上看是不可行的,从成本效益原则上看也是不合算的。例如,程序流程图检验法、程序代码检查法都要求审计人员去阅读程序代码以确定会计软件的控制措施是否满足,这确实是一种天方夜谭的设想。又如所谓图示法要求“利用监督程序来测定被测试程序中哪些指令执行过,哪些指令未曾动用”,也是很不现实的方法。
鉴于以上原因,我们认为当前应该全面检讨内部控制的措施一方面通过制订《会计软件基本功能规范》进一步明确会计软件公司的责任,规范会计软件产品的程序系统在数据输入、处理、输出、传输和安全保护的控制功能;另一方面则应通过制订会计基础工作规范,明确推行会计电算化的单位的控制责任,规范必要和切实可行的控制措施。
关键词:施工企业;内部控制;问题
中图分类号:f243.3文献标志码:a文章编号:1673-291x(2009)29-0150-02
一、施工企业内部控制的涵义及重要意义
1.内部控制的涵义
内部控制的历史源远流长,可以追溯到远古文明时期对公共资金的管理,在古埃及、古希腊、古罗马的历史中都有发现,我国在《周礼》中也有记述,但真正进行深入研究还是20世纪的事。而现代意义的内部控制则是在20世纪40年代以后才逐步建立起来的,它起源于西方,其最初形式是内部牵制,随着社会经济的发展和企业管理水平的提高,由内部牵制逐渐发展到比较完整的内部控制。推动其发展的因素主要来自组织的演进和环境的变化,其内容是随着企业对内强化管理,对外满足社会需要而不断丰富和发展的。内部控制是现代企业管理的一项重要内容,无论什么时候,内部控制和公司治理都是任何企业组织结构的重要组成部分,是企业良好运行的保障。施工企业自然也不例外。关于内部控制的涵义,不同的组织在不同时期有着不同理解。我们这里给出美国coso委员会对内部控制所下的定义:“内部控制是由董事会、管理层和员工共同设计并实施的,旨在为实现组织目标(主要包括经营的效率与效果、财务报告的可靠性、法律法规的遵循性等)提供合理保证的过程。”
2.施工企业内部控制的重要意义
随着改革开放的不断深入和市场经济体制逐步建立,以及经济全球化、金融一体化进程的加快,建筑企业面临着越来越激烈的市场竞争。作为传统的劳动密集型企业,建筑施工企业随着工程量清单报价的施行,其盈利空间不断变窄,加之带资施工、工程让利,对施工企业的管理提出了更高的要求,给施工企业生存和发展带来巨大的挑战。要想谋求生存和发展,施工企业必须不断进行各种创新,需要缩短与国际管理先进企业的距离,将企业的各项管理逐步纳入标准化管理,不断增强施工企业在国内外市场上的竞争力,使企业保持可持续发展。内部控制在建筑施工企业经营管理中具有重要的作用:
(1)内部控制是规范建筑施工企业的经营行为的需要
在竞争环境变得日趋激烈的大背景下,为了确保能够实现经营目标,施工企业很容易采取非正常的手段,进而出现不规范经营的问题。内部控制制度的健全和完善,可以有效地监督和控制建筑施工企业内部的任何部门、任何环节,可以及时反映所发生的各类问题,及时纠正,从而对于法律法规和国家方针政策得到有效的执行起重要保障作用。规范的企业经营行为有利于建立良好的施工环境,从而促进整个施工过程的顺利完成。
(2)内部控制是建筑施工企业防范经营风险的需要
施工企业在生产经营过程中,内部控制作为企业经营管理的中枢环节,是防范企业风险最为行之有效的一种手段,可以对各类风险进行有效的预防和控制。通过有效评估施工企业的各种风险,控制企业内部经营风险的薄弱环节,把企业的各种风险消灭在萌芽之中,是建筑施工企业防范风险的最佳方法。
(3)内部控制是提高员工队伍的素质的需要
建立健全施工企业的内部控制制度,从制度上规范员工行为,使机会主义和道德风险发生的概率大大降低,客观上有助于建设员工的职业道德。健全内部控制制度也对员工的团队精神、专业胜任能力提出了新的要求,从而不断激励员工,使其素质不断提高。
(4)内部控制是提高经济效益,保证企业经营健康发展的需要
有效内部控制的健全,把施工企业各个部门及其工作紧密地结合在一起,从而使各部门密切配合,充分发挥整体的作用,实现企业的效用最大化,以顺利达到企业的经营目标。另外,严密的考核与监督,使工作实绩得到真实反映,合理的奖惩制度再加以配合,便能使员工的工作热情及潜能得到最大程度的激发,从而提高整个施工企业的经营效率。
二、施工企业内部控制存在的问题
1.对内部控制认识不到位,不够重视
长期以来,施工企业普遍存在重技术轻管理、重生产轻经营的思想,很多企业对内部控制的重要性还没有清醒的意识,对内部控制的概念和作用还存有很多误解。有些施工企业把内部控制片面地理解为内部会计控制、内部资产安全控制、内部成本控制等等,对内部控制的含义缺乏全面理解。更有甚者,有的员工认为,内部控制就是做做样子罢了,只是为了应付股东或上级的要求而制定的条条框框,内部控制的意识严重缺乏。
2.内部控制制度不够健全完善
首先是没有形成一个完整的内部控制体系,内控制度政出多门。由于建筑施工企业缺乏专门制定内部控制制度的机构,企业内部的各个职能部门去制定各项控制制度。由于各个职能部门考虑问题的角度不同,同时各个职能部门之间缺乏深入的协调配合和沟通,许多规章制度之间相互冲突,难以发挥有效的控制作用。如市场开发部门只考虑任务承揽数量,而对于工程质量、项目的资金状况、工期等考虑较少,有时虽然工程任务有了,但项目没有效益,甚至赔钱。其次,有效的责任制约追究制度没有建立起来,对违规违纪行为不能进行有效的处罚。
3.尚未建立有效的价格风险评价机制
随着建筑业计价体制的改革,建筑产品由过去的定额计价方式逐步改为工程量清单计价方式。在工程量清单计价方式下,工程量的风险仍然由业主承担,但价格风险则由承包商承担。投标时,由各个承包商自行报价,承包商所报价格一旦中标,则该价格为结算价格,作为工程结算的依据,一般不能再调整价格,除非双方另有约定。由于当前建筑市场不完善,竞争激烈、恶意竞争以及“低价中标”的招投标游戏规则,都不能使企业按企业定额客观报价,为了争取中标,不惜压低报价,承担更大的价格风险。因此,企业应建立价格风险评价机制,来规避低报价中标所带来的效益风险。
4.对内部控制缺乏科学有效的监督评价和纠正体系
企业设置的审计部门只是作为公司的一个职能部门,不但人员偏少,而且素质也不高,这样的审计部门即便能够查出项目上存在的问题,但对存在于领导层面的问题就无从下手了。此外,内部审计多以事后检查和合规性为主,不能有效检查和评估内部控制系统的运行情况,不能及时发现和修改制度上的缺陷,也不能进行经常性的监督检查。另一个方面纠正制度缺陷和违规行为的措施缺乏,不能严格处理发现的问题,致使错误屡查屡犯,应有的内控效果达不到。
三、优化施工企业内部控制的几点建议
1.提高施工企业对内部控制重要性的认识,营造良好的内控环境氛围
作为现代企业管理的重要组成部分的内部控制,是一种科学的管理活动。它对保护资产的完整和安全,保证业务活动的有效进行,保证会计资料的真实、完整,控制经营风险,确保经营目标的实现具有重要的作用。施工企业必须不断深化认识,将内部控制上升到决定企业生存和发展的战略高度来认识。分期分批组织职工学习内部控制基本理论,营造一种学习内部控制理论、关注内部控制的良好氛围,给企业加强内部控制提供良好的内部环境。
2.建立良好的信息沟通系统,提高企业内部控制效果
良好的信息沟通系统使企业管理者可以得到内容及时、正确、全面的信息,这样就能及时掌握到企业整体的营运状况,然后就能对有关部门和人员之间进行有效沟通,如目前大型企业的会计核算基本上脱离了手工操作的账务处理过程,许多企业内部控制的很大一部分也实现了计算机化,这既节省时间提高了工作效率,又减少了人为因素对内部控制效果的影响。因此要特别注意开发与引进先进的企业财务与管理软件,逐步建立高质量的内部控制信息沟通系统,提高企业内部控制效果。
3.健全内部控制制度、加强内部审计和做好事后监督
首先,要事先主动采取措施,尽可能地减少偏差,当实际值与目标值偏离时,及时分析原因,采取相应措施。其次,加强事后监督工作。相应职务的专业岗位必须在会计部门内部设立,要让工作能力全面、责任心强的人员担任此职,并纳入规范化、程序化管理,使财务部门的负责人及时了解监督的过程和结果。
4.加强重大经济活动内部控制,降低风险
摘要:内部控制一直是学术界研究的重点,随着理论的发展和完善,内部控制制度也越来越高效,尽管国内外学者从不同角度对内部控制有效性做了大量的研究,追求有效的内部控制,但对于内部控制有效性至今没有一个统一的定义。本文对近年来国内外有关内部控制有效性的文献进行了总结和综述,归纳了内部控制有效性的概念界定、影响内部控制有效性的相关因素、评价内部控制有效性的方法手段。最后,在文献综述的基础上,提出对我国内部控制研究的建议和启示。
关键词 :内部控制;文献综述;有效性
1992年美国COSO委员会了《内部控制—整合框架》首次以文字的方式将内部控制的有效性的重要作用体现在了内部控制的定义当中。我国五部委在2008年颁布了《企业内部控制基本规范》,该规范首次建立了我国内部控制的标准框架,填补了我国在该领域的空白,于2011 年强制对216 家试点公司和68 家上市公司实施,引起了社会各界对内部控制有效性的广泛关注。国外学者早在20 年前就已经着手对内部控制的研究,并取得了很多成果,而我国内部控制体系还处于建设阶段,对于内部控制的实务与理论研究尚处于初步阶段,因此借鉴国外经验结合我国国情进行研究具有重大的意义,近年来研究的热点主要集中在三个方面:一是内部控制有效性概念的理论研究;二是关于内部控制有效性的影响因素的研究;三是针对内部控制有效性的评价方法的研究。
一、内部控制有效性的概念
任何理论的发展都是以概念的界定为基础的,COSO 报告将内部控制有效定义为企业管理经营过程中由全体员工参与的动态自我评估系统,内部控制的有效性则体现在如果内部控制能够合理保障企业经营目标的实现;财务会计报告及管理信息真实可靠;企业活动遵循法律法规,则内部控制就被认为是有效的。加拿大的控制基准委员会(COCO)的定义更为简单,如果内部控制能够为企业的经营目标提供合理保证,那么这个内部控制就是有效的,以这一定义来看,有效的内部控制就是能够为实现内控目标提供合理保证的内部控制,这与我国五部委最新的《内部控制评价指引》所给的定义十分相似,“内部控制有效性就是指企业建立的内部控制体系在实施过程中能够为企业控制目标提供合理保障。毕马威(KPMG)1999 年在其《内部控制- 实务指南》中指出:内部控制有效性包含了内控设计的有效性和内控执行的有效性两个方面,企业需要一个持续的监督过程来保证其内部控制有效性,也就是说只有上述的两个方面同时有效时内部控制才是有效的,反之则其有效性大大下降乃至丧失。McMullen et al(1996)提出内部控制的有效性决定了财务报告的可靠性。TommieSingleton(2002)认同了上述结论,他的研究指出企业必须建立有效的内部控制环境,同时,为了保证企业经营目标能够实现,必须要有一套完善的监督和报告机制。
先前研究已经发现,有效的内部控制能够提高企业审计质量和降低审计费用(Doyle et al.,2007; Hogan andWilkins.,2008 等)、提高企业财务报告可靠性(Li.,2011等)、降低盈余管理水平( Carter et al.,2009 等)、减少企业融资成本(Kim et al.,2011 等)、减少管理者的冒险行为和企业风险( Bargeronet al.,2010)、提升企业的经营效率和价值(汪.,2012;周守华.,2013)等。
陈汉文(2008) 认为内部控制从来都不是独立存在的,它服务于企业目标,派生于企业的经营管理中,有效的内部控制和内部控制的有效性是两个紧密相关却又不相同的概念,有效的内部控制被定义为企业目标提供合理保障的内部控制,而内部控制的有效性被他定义为内部控制为实现企业经营目标所提供的相关保障的程度或水平,并且将内部控制有效性的程度量化为一个0-100%的范围,内部控制体系中每一个要素都相互影响,从而对内部控制有效性产生影响。
王海林(2009)指出,目前对内部控制有效性的评价大多集中在对内控实施结果的评价存在着不足,他认为评价内部控制有效性应该包括对内部控制实施结果和实施过程的评价。
张颖(2010)根据COSO 委员会的《企业风险管理整合框架》结合我国企业实际情况,通过问卷调查实证分析发现内控有效性源于内控目标的实现,其对内部控制有效性的定义为:内部控制对合规目标,战略目标、经营目标、报告目标实现所提供的保障程度。与刘健(2013)所提出的观点相似,他归纳出内部控制的目标有五点:提高经营效率效果、保证经营合法合规性、促进企业实现发展战略、保证资产安全、保证财务报告可靠性、内部控制的有效性源于内部控制目标的实现。因此,内部控制的有效性是指内部控制对内部控制目标的实现所提供的保障程度。也就是说为实现目标提供保障的程度越高,内控就越有效,反之,则无效。刘迎(2013)所理解的内控有效性分为两个方面:一是公司的政策和措施是否与国家法律法规冲突。二是能否满足内部控制过程设计的合理性和完整性以及可操作性,并能发挥作用实现企业内部控制目标,以达到提高企业运营效率和效益,为公司提供可靠的财务报表的目标。内部控制有效性必须要把握住内部控制五大因素合理的设置和管理,才能真正的保证企业内部控制的有效性。
通过对上述观点的理解,结合我国实际情况,内部控制应该同时包括:控制过程和结果的有效性,因此;本文将内部控制有效性定义为:在合理设计内控制度的前提下,以持续监督为基础,内部控制对完成内部控制计划和实现内部控制目标所提供的保障水平或程度。内部控制的有效性包括三层含义:①法律法规的遵循性;②内控制度与内控目标的一致性;③内控目标实现的效率。
二、影响内部控制有效性的相关因素
通过对先前研究文献的梳理我们把内部控制有效性的影响因素主要分为以下三大部分:
1.与报告有关的因素
萨班斯法案要求,公司年度或季度报告中要对内部控制的有效性进行评价和报告,这也说明内部控制报告的重要性。Thompson(1992),Noordin(1997),MichaelG. Alles(2003)从内部控制五要素出发分别提出对内控有效性的评价是为了企业的利益而防范错弊,在保证组织目标实现的基础上关注风险控制、监督和资源配置。他们认为有效的内部控制应该在保证组织目标实现的基础上更加关注对风险的控制、对过程的监督和对资源的配置,对于内部控制有效性的评价不仅仅要注重业绩、战略、结构、动机以及激励的效果,还应该包括互动、边界明晰以及信任。Hermanson(2000)认为内部控制有效性与内部控制信息的披露有密切关系,他发现越是自愿披露内部控制报告的公司,其内部控制有效性越好,正是这种联系使公司的内部控制在一定程度上得以改进。
Collins、Kinney(2005)认为,相较于一般公司而言,披露内部控制存在缺陷的公司,在资金管理、存货储存等方面操作上更加复杂。由于内部控制的披露能加强报告使用者对公司财务质量的信任度,所以自愿披露内部控制报告能使本公司的内部控制质量在同行业中更能赢得使用者青睐。赵建凤(2013)指出内部控制有效性披露后会产生一些负面影响,如资本成本、股价等,造成一些公司不愿披露内部控制缺陷,但由于存在潜在的诉讼风险,管理层又不得不披露内部控制缺陷,这使得在法律法规不够健全,资本市场不够完善的国家。内部控制披露的真实性存在质疑。因此评价内部控制有效性时不能仅仅只看公司的内部控制自我评述报告,还应通过更多客观的信息来综合评价。
2.与股权结构相关的因素
股权结构决定了所有与股份制企业有关的契约关系,不同的股权结构会造成公司不同的权利分配格局,因此,股权集中制、实际控制人性质、审计委员会性质、董事会和监事会等相关因素都会影响内部控制的有效性。Hoitash(2009)通过研究董事会特征和审计委员会与内部控制有效性的关系,他发现董事会总体水平质量与内部控制有效性呈正相关关系。Krishnan(2005)发现审计员的财务知识水平和审计委员会的独立性与内部控制的有效性呈正相关,减少内部控制问题的发生。张先治(2010)通过问卷调查研究发现公司股权集中度和国有控股程度与内部控制有效性呈负相关。程晓陵(2008)通过研究我国一千多家上市公司的公司治理结构对内部控制有效性的影响发现股东年终大会出席率、监事会和董事会规模、董事长是否兼任总经理、公司控股是否国有、设立审计委员会、管理层的德价值观念和诚信、管理者的风险偏好、管理层对员工胜任工作能力的关注度对内部控制有效性有显著的影响,同时发现第一大股东的控制力和监事会与董事会会议频率对内部控制有效性没有显著的影响。张颖(2010)通过问卷调查和实证研究分析我国上市公司内部控制有效性的影响因素发现:企业的资产规模、发展阶段、管理的集权化程度、财务状况、企业文化、道德价值观、管理层诚信是影响内部控制有效性的重要因素。刘亚丽(2011)通过对我国上市公司内部控制信息披露情况进行研究后,发现在控制了盈利能力、成长性和经营复杂性等特征后发现,之前未成立审计委员会和董事长总经理同一个任职的公司内部控制的有效性较差。郝诗萱(2013)认为“人”是保障内部控制有效运行的基础,而领导者作为公司的特殊人群,其权力对内部控制有效性存在影响,通过实证研究发现,除强制权与内部控制有效性呈不显著的负相关关系外,崇拜权、专家权、合法权和奖赏权与内部控制有效性均呈正相关。吴益兵(2009)指出股权集中度、股东性质以及机构投资者的持股率等指标都会影响公司内部控制有效性。股权过于集中会影响内控的质量,降低了内部控制的有效性。
3.与公司自身条件相关的因素
对于公司自身条件是否会对内部控制有效性产生影响,国内外都做过相关研究,但是却没有达成一致的结论。Kinney(1989)认为公司规模的大小会影响公司内部控制的强弱,朱荣恩(2004)等通过对一百多家企业的问卷调查发现:规模较大的企业的内部控制效果明显优于小规模的企业。张颖(2010)认为公司规模与内部控制有效性呈正相关。吴益兵(2009)指出公司的成长性、盈利能力、规模、经营活动的复杂程度是内部控制有效性的影响因素。深圳市迪博公司的研究报告提到:总体来说,上市时间与公司的内部控制水平负相关,即上市时间越长其内控水平越差。这与Doyle (2007)的结论相反,Doyle认为内部控制质量与上市时间正相关,因为上市时间越长的公司就越能认识到内部控制中存在的缺陷并且进行修正。公司的财务状况也与内部控制的有效性有关,Doyle(2006)和Franklin(2007)都认为公司的财务状况与公司的内控有效性成正比,因为如果一个公司内部控制存在漏洞,其盈利能力都不会很高。
三、评价内部控制有效性的方法
国内外对内部控制评价有一个共同的观点:企业必须对内部控制制度设计和实施的有效性进行评价。外部评价必须包括对管理层内部控制报告及其责任的评价。企业建立了内部控制制度并不意味着内控制度在企业的实际工作中能够有效地贯彻执行,美国证劵交易委员会(SEC)规定:对内部控制的评价必须能够既能评价内部控制制度的设计又能评价内控制度实施的有效性。COCO 委员会在1999 年的《评估控制指南》根据评价的标准设计出了一套内部控制评价体系,对内部控制进行评价。我国财务报告编报规则要求公开发行的证券公司、商业银行以及保险公司在其招股说明书中说明内控制度的有效性、合理性和完整性,同时要求注册会计师对公司进行风险管理和内控制度的有效性、合理性和完整性,进行评估和报告,但是没有明确给出具体条款,现阶段我国尚未对内控评价的内容做出明确的规定,还有待完善。
现阶段对内部控制有效性的评价主要基于定性和定量两种方法,通过定性分析对内部控制有效性评价的方向和框架进行构建,然后,在定性的基础上,运用数据和指标对其进行进一步的评价,从而确定企业内部控制的有效性,国内外对内部控制有效性评价的定性和定量的方法主要有以下几种:
1.定性方法
国外对内部控制有效性评价的定性研究主要基于COSO 提出的企业内部控制整体框架中的三大目标和五要素。国内对内部控制有效性评价的定性研究,主要集中在制度设计与执行的有效性上。吴水澎(2000)从评审最新角度提出了CSA(内部控制自我评估)。张宜霞(2008)认为定性评价方法主要有风险基础评价法和详细评价法两种。详细评价法就是以国际认证权威机构所设计的内控框架为参照物,根据内部控制要素是否存在评价内部控制设计的有效性,测试内部控制制度实施的有效性,找出内控缺陷,判断是否存在重大漏洞,最后综合运行和设计结果对内部控制有效性做出总体评价,这种方法简易直接,在企业日常评价和内部控制建设初期运用较多,但是因为模式和要素固定存在着一定的缺陷,容易出现成本高而效率低和结论不可靠等问题。鉴于上述原因,学术理论家又提出了风险基础评价法,现代企业一般使用风险基础评价法,风险基础评价法从另一种思路出发,不是从控制到风险,而是从风险到控制。首先,对评估对象的相关目标实现的风险进行评估。第二,确认企业应对相关目标实现的风险的内部控制是否存在;其设计是否有效。第三,找出内部控制运行有效性的证据,并且评价现有的内控制度是否有效实施。最后,对内控缺陷进行评估,判断是否构成重大漏洞,评价内部控制的有效性。相比于详细评价法,风险基础评价法有明显优势,具有更广泛的灵活性、适用性和针对性,提高效益同时降低了成本。但是由于风险基础评价法在评估和识别应对风险是需要更加专业的判别能力,就对公司的管理层和审计人员提出了更高的要求。
2.定量方法
与国外相比,我国在内部控制缺陷数据披露方面相对不足,因此,国内大量文献都是研究内部控制指数构建,通过建立内部控制指数的方式来定量分析上市内部控制质量,在进行定量分析之前,首先要明确指标的选取。选择科学合理的指标有着重要的意义,内部控制有效性指标的选取应该从企业的运营目标和结构出发,将企业的各项工作加以量化,不同类型的工作应该有不同的评价标准,在确认评价指标以后,就要选取数据模型对相关指标进行分析来定量分析内部控制的有效性,国内外学者对内控有效性定量评价常用的方法主要有、层次分析法、模糊综合评价法和IC-CMM模型法等。我们在表1 中列举了主要的评价方法并对其进行了比较:从这些方法的对比可以归纳出内部控制有效性的评价体系正在逐渐完善,但是仍然存在很多缺陷,我国学者在国外研究的基础上不断探索新的评价方法。在当前错综复杂的情况下,运用单一的指标和模型已经难以对内控有效性进行有效评价,未来的研究发展将趋向于运用综合指标和综合评价体系对内部控制有效性进行评价。
四、结论
从上述文献回顾看来,我国学术界借鉴了国外先进经验,结合我国国情来对内部控制有效性的研究已经初具成果,但是由于起步较晚,与发达国家相比还是有一定的差距,存在着重理论、轻实践和研究不够深入等缺陷,大部分通过对国外理论模型借鉴,提出的评价方法都有很大的局限性,缺乏实证性的文献。当前我国企业发展非常迅速,但是却没有建立起自身规模优势,缺乏完整的财务控制机制,企业的内控方法零散,没有形成完善的体系。因此我国学者的研究应该更具有针对性、实用性和集中性,更多的结合我国国情。现对我国未来的研究提出三个建议:
1.开阔思路
多借鉴国内外成功经验和先进方法,加强对比研究,提高评价的针对性。
2.重视对内部环境要素的评价
回顾先前的研究忽略了内部环境和非财务部门的评价,建议今后的研究将领域扩宽到非财务领域。
3.研究方法的创新
鉴于现阶段研究的发展情况,未来的研究方向趋于由风险导向的内部控制评价方法,由于此方法对管理层和审计员的要求很高,如何提高企业管理人员的判别能力、提高内部控制执行效率、加强监控制度和外部评价、如何通过全面的风险管理来加强企业内部控制的有效性,是我们未来的研究趋势和方向。
同时,我国企业的内部控制信息披露和内部控制体制建设还面临着许多问题和挑战,为此,本文提出如下政策建议:
1.加强法制建设,提升内部控制水平
目前,发达国家已经将内部控制建设纳入法律,而我国还处于规章制度层面,不能保证内部控制切实实施,政府机构应该借鉴国外经验(例如美国萨班斯法案)加强内部控制的法制建设,加大违法违规的惩治力度。
2.统一完善内部控制的信息披露制度。
目前审计上市公司内部控制有效性的制度标准不统一导致内部控制评价报告和内部控制审计报告披露格式混乱,因此,政府应对内部控制规范进行改革,为上市公司全面实施统一的企业内部控制规范体系。
参考文献:
[1]COSO, Enterprise risk Management-Integrated Framework,December,2004.
[2]财政部会计司.企业内部控制规范讲解[M],第1版,北京:经济科学出版社,2010.
[3]陈汉文,张宜霞.企业内部控制的有效性及其评价方法[J].审计研究,2008 (3).
[4]张颖等.我国企业内部控制有效性及其影响因素的调查与分析[J].审计研究, 2010,(1).
[5]王海林.价值链内部控制模型研究[J].会计研究,2006,(2).
[6]Andrew J.Leone :Factors related to internal control disclosure:A discussion of Ashbaugh,Collins,and Kinney andDoyle&McVay,Journal of Accounting and Economics.2007,(44).[7]Udi Hoitash,Rani Hoitash,Jean C.Bedard.Corporate Governanceand Internal Control over Financial Reporting:A Comparisonof Regulatory Regimes Accounting Review, May2009, Vol. 84Issue 3.
[8]张先治,戴文涛.中国企业内部控制评价系统研究[J].审计研究,2011,(1).
[9]程晓陵,王怀明.公司治理结构对内部控制有效性的影响[J].审计研究,2008,(4).
[10]郝诗萱.领导者权力对内部控制有效性影响研究[D].山西财经大学.2013:1-59.
[11]王希金.商业银行价值创造导向型内部控制评价体系研究[J].中央财经大学学报,2009,(4).
[12]姚靠华,蒋玲玲.基于AHP的内部控制评价案例索引结构设计[J].会计之友,2007,(2).
一、企业高层要通晓内部控制的本质特征,保证自身行为符合内部控制的要求
企业高层是企业团队的领头人,只有这个层次上的人员真正认识、领会到内部控制的本质特征,才可能按照内部控制规范的要求行事,才可能以自己的行为和示范来感召和带动全体员工,才可能在全局系统地推动内部控制的建设和实施。
1、企业高层对内部控制的认识有待提高
德勤从2007年开始,连续三年对中国上市公司内部控制实施状况进行调查分析,相应的调查报告。他们在《中国上市公司内部控制调查分析报告(2009)》中指出,2008年调查报告中浮出的几个突出老问题依然没有得到实质性的改善,比如,内部控制达不到预期效果,执行力不足等。他们认为这些问题的存在,主要源于企业管理层对内部控制的了解和认识不够深刻和准确,而且由于增加了成本费用却得不到应有的收益,更进一步导致管理者不能正确客观地认识内部控制的作用。监管严格、运行规范、管理上乘的上市公司尚且如此,可以推断,其他企业的管理层对内部控制的认识和理解也不会好到哪里去。
企业管理层、尤其是企业高层对内部控制的认识和理解不尽相同,有的远未达到理性高度,没有真正领会到它的本质特征,无法形成良好的控制意识,无法把自己的行为纳入内部控制的轨道之中,无法在企业内部形成持久而强劲的内部控制建设驱动力,这种状况下很难发挥出内部控制的作用。
2、内部控制过程是一系列的人为过程
内部控制是一个由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制要由企业全体员工的一言一行来完成,企业中的每个人都是控制者,又都是被控制者,不能有人游离于内部控制之外。
作为被控制者,要树立自觉接受监督和控制的意识,把接受控制看作是一种义务。自觉接受控制,普通员工并不会有什么疑义或难以接受。从基层到高层,权力越来越大,但不能因为拥有较大权力而不接受控制,成为特殊员工。由于社会环境等的影响,一些企业的董事长、总经理、副总经理等高层管理人员,嘴里可能说得十分好听,在心里可能过不了这个关,尤其是面对个人利益与企业利益发生矛盾时更可能经不起考验。内部控制从高层做起,要求高层管理者首先要认识到自己也是被控制者,与普通员工没有两样,所作所为一定要符合内部控制的要求,而且更要以身作则,率先垂范,引导企业事事、时时按内部控制规范运作。
现实中,一些企业高层高高在上,根本不接受监督和控制,把内部控制当作束缚自己的桎梏,把内部控制看作是“手电筒”、“看家狗”,只让它照别人、不照自己,只让它咬别人、不咬自己,总是凌驾于内部控制之上。这样的企业高层不可能领导企业走向成功,特权思想必然产生特权行为,上行下效,长此以往,控制定然虚化,目标定然落空,这是内部控制的一个先天缺陷。此外,多么有效的内部控制,也控制不了人们决策上的失误、工作中的疏忽和渎职以及两个或更多人的串通舞弊,这些也属于内部控制的固有局限。
作为控制者,每个人都需要从其岗位职责出发,充分认识到其中包含着的控制因素,肩负起控制责任,在具体的经营管理活动中将控制职责落到实处。同样,从基层到高层,权力由小至大,但不能因为权力有限、怕得罪人而放弃自己的控制职责,也不能因为大权在握而、为所欲为。为了领导和推动内部控制建设,充分发挥内部控制的作用企业高层人员必须要深刻理解内部控制的精髓和特点。德勤的调查表明,企业更加重视流程层面的控制活动,对内部控制重要基础的治理结构重视不够,这也反映出企业管理层对内部控制的认识还不够到位,中国企业传统的“重管理轻治理”的现象依然没有得到实质性的改善。工欲善其事,必先利其器。内部控制之“利”不容置疑,但认识不透彻,理解不到位,大“利”化小,小“利”化了,到头来不了了之。
3、内部控制是嵌入企业经营管理并与其一同进行的过程
内部控制是管理过程中的一部分,COSO在分析内部控制与管理活动的差异时,列举了以下的管理活动:企业层次目标的设定,战略规划,确立控制环境因素,活动层次目标的设定,风险识别和分析,风险管理,实施控制活动,信息识别获取和沟通,监控以及矫正措施等。而只有其中的确立控制环境因素、风险识别和分析、实施控制活动、信息识别获取和沟通、监控属于内部控制范畴。
管理学历来都把控制视为管理的一项重要职能,管理实践也是如此。内部控制建设并不是在现有的经营管理体系之外另起炉灶,而是将控制理念、方法和手段等嵌入到企业的组织结构和经营管理全部活动之中,贯穿到企业规划、决策、执行和监督等所有的管理职能和环节之中,形成一种融合有完善内部控制手段的崭新经营管理体系。因而,内部控制不是管理的替代物,也不是管理之外的增加物,而是提高管理效果的利器。
正是由于将控制嵌入企业的基本经营管理活动,所以不会因为全面实施内部控制而增加过多的程序和成本。这意味着,建立健全内部控制,需要对企业现有的治理结构、组织机构设置及权责分配、内部审计、人力资源政策、企业文化等各个方面、各个环节进行全面而系统的梳理,以便有机地完成控制措施的嵌入。
要认识到这些特征,需要开展全面的内部控制培训,尤其是针对企业高层的培训,意义重大,影响深远,不可或缺。
二、企业高层要重视内部控制的建设实施,保证企业行为符合内部控制的要求
企业高层应当着力完善公司治理结构,处理好股东与内部人的关系,为内部控制奠定坚实基础,着力分析现有的组织结构,有机地嵌入控制机制,使内部控制成为经营管理活动的内在成分。这样才可以保证企业经营管理合法台规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
1、通过公司治理结构来统一不同层次的目标
经济人假说以及现实生活告诉我们,利己行为在不同环境里不同程度地存在着、发生着。在现代企业制度下,由于所有权与控制权分离,所有者和管理者之间形成一种委托关系,管理者为实现自身目标的最大化,可能背离、损害所有者的目标,公司治理结构因此而产生和发展。按照经济合作与发展组织(OECD)
在《公司治理原则》中的界定,公司治理结构是一个涉及公司的经理层、董事会、股东和其他利益相关者之间的一整套关系体系,通过这个体系来确立公司目标决定实现目标的措施和绩效监控,对董事会和经理层提供适当的激励,促使各个层次追求符合公司和股东利益的目标并有利于有效的监督。
公司治理结构具体表现为股东会、董事会,监事会和经理层职责分配和制衡关系的制度安排。股东会是公司的权力机构,一般具有选举董事和监事、进行重大决策以及审议批准公司年度财务预算方案、决算方案和利润分配方案等法定职责。与其他治理结构因素不同的是,股东会是以会议形式存在的非常设机构。董事会对股东会负责,主要职责是制定战略、进行重大决策、聘任经理并对经营管理活动进行监督。监事会也对股东会负责,监督董事、经理层。经理层负责组织实施股东会、董事会决议事项,主持企业的生产经营管理工作。有效或理想的公司治理结构能够确保这些层次各司其职,在激励和制约的双重作用下,共同实现股东利益的最大化。
完善公司治理结构,需要把董事会建立成真正独立行使权力和承担责任的核心机构,增加独立董事的比重,减少或禁止董事兼任高级管理人员,消除内部人控制,都是有效的举措。
2、内部控制包含公司治理结构并以其为基础
控制思想的产生远远早于公司治理结构,随着现代企业制度的形成,公司治理结构出现,并成为解决所有权与控制权分离、经营者背离所有者目标的一种普遍制度形式。
在内部控制的发展和完善过程中,公司治理结构为解决管理者凌驾提供了一种可能,至少可以说,有效的公司治理可以减轻管理者凌驾的程度。更由于公司治理结构针对的目标人群是企业高层,而企业高层在建立健全和有效实施内部控制方面发挥着无以替代的重要作用,所以把公司治理结构纳入内部控制在理论上和实践中都具有积极意义。
COSO的《内部控制――整合框架》和《企业风险管理――整合框架》都在内部环境因素中讨论到了公司治理结构中的一些实质性内容,比如最高管理层的价值观和诚信、董事会的作用等。我国的《企业内部控制基本规范》在这方面使用了公司治理结构概念,第五条明确提到“内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计,人力资源政策、企业文化等”,第二章则对内部环境中的治理结构进行了更为具体的规范。第十一条规定“企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。”第十二条规定“董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。”第十三条规定“企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。”
这种阐述和规范,在内部控制理论上进行了新的概括,带来了新的突破。内部环境不仅是内部控制的一个构成因素,还是内部控制所有其他构成要素的基础,为其他要素提供着约束和结构。内部环境中首当其冲的是公司治理结构,因而逻辑地看,内部控制包含着公司治理结构,而且内部控制依赖于公司治理结构这一重要基础。在实践上的意义是,这份文件十分明确地界定了企业高层在内部控制建设和实施中的职责和权限,有利于企业高层据以组织开展、推动落实相应的各项工作。
3、把内部职责落实到企业横向及纵向的每一处
组织结构是企、业中正式确定的使工作任务得以分解、组合和协调的框架体系。在横向上组织结构表现为不同的部门或不同的价值链成分,如不同的职能部门、不同的产品部门、不同的区域部门等,由此产生部门之间的传递与承接、沟通与配合、监督与被监督等关系。一些企业的财务部门常常受到其他职能部门的埋怨、指责,在一定程度上反映r其他部门对会计监督、控制作用的淡漠、反感乃至规避。这类问题,不是某一职能部门能够单独解决的,需要企业高层来统筹安排、系统设计,比如可以在董事会之下设立内部控制委员会或风险管理委员会来具体负责组织协调内部控制的建立实施及日常工作。
【关键词】 内部控制 内部控制缺陷 信息披露
国内外财务舞弊案件的频频发生,使得内部控制在近年来倍受重视。我国监管部门先后通过相关法律规范要求企业建立健全内部控制。2008年5月,财政部、证监会、审计署、银监会、保监会联合颁布了《企业内部控制基本规范》,要求企业对内部控制的有效性进行自我评价,并出具内部控制自我评价报告,我国的内部控制信息也从自愿性披露进入强制性披露阶段。之后,2010年4月,五部委的《企业内部控制配套指引》及2011年1月上交所的《内部控制评价报告格式指引及审核底稿》都进一步为内部控制信息的披露提供了依据。企业内部控制缺陷信息的披露作为内控信息系统的核心内容,直接影响了投资者、债权人等利益相关者对企业内部控制制度建立与运行状况的了解,内部控制缺陷信息的披露也逐渐引起了理论界与实务界的关注。由于我国内部控制缺陷信息的披露刚刚起步,披露状况并不容乐观,完善内控缺陷信息的披露也就成为亟待解决的问题。研究我国内控缺陷信息披露的现状和存在问题的成因,寻求改善披露状况的措施具有重要的理论和现实意义。
一、内部控制缺陷的内涵
企业进行内部控制构建的过程,就是结合自身的内外部环境确定内部控制目标,根据目标制定内部控制制度,并且遵循内控的设计实施内部控制。在这个过程中,内部控制的设计存在漏洞或设计得不合理,以及执行者没有按照事先制定的制度运行都有可能使得企业偏离内部控制的目标,降低企业的抗风险能力,产生内部控制缺陷。
根据我国《企业内部控制评价指引》的规定,企业对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。对内部控制最常见的分类是根据成因以及影响程度进行认定的,从成因上看,内部控制缺陷可以分为设计缺陷和运行缺陷。例如,不相容职务未很好分离,关键性岗位缺乏制衡,在具体的实务中,授权、执行、记录和监督职务分离不彻底就属于内部控制设计上的缺陷;员工对自身职责权限不明确导致工作的失误就属于运行缺陷。从影响程度划分,可以分为重大缺陷、重要缺陷和一般缺陷。
内部控制缺陷信息是内部控制信息披露中的核心内容,它能够使企业发现自身内部控制的缺陷。企业能够通过披露内部控制缺陷信息,在内部控制评价过程中自查自纠,寻找内控制度设计存在的漏洞;并且能够动态地监控内部控制运行的状况,及时发现偏离内控目标的各种问题。同时,内控缺陷信息的披露也能够让投资者衡量企业的投资风险,作出正确的决策选择。
二、内部控制缺陷信息披露的现状
1、内部控制缺陷标准难以认定
对内部控制缺陷的认定是企业进行内部控制评价的基础,而当前的内控规范对内部控制缺陷的界定比较模糊,使得企业在实际操作中缺乏明确的依据,带来一定的困难。例如,《企业内部控制基本规范》赋予了企业自主确定内控缺陷认定标准的权利,但并未具体明确解释什么是内控缺陷。《中国注册会计师审计准则第1153号――向治理层和管理层通报内部控制缺陷(征求意见稿)》弥补了内部控制缺陷定义的空白,对内部控制缺陷进行了简单的定义,但也没有对内控缺陷内容和表现形式展开进行介绍。《企业内部控制评价指引》中对内部控制缺陷也进行了初步认定,按其影响程度分为重大缺陷、重要缺陷和一般缺陷,但划分标准过于含糊。总之,无论是定性还是定量上,对内控缺陷的认定仍缺乏可供操作的依据,内控缺陷的内容和格式都还缺乏具体的规定,在我国企业内部控制信息披露处于起步期的特定阶段,在内部控制人员素质还有待提高的情况下,这无疑增加了内控缺陷披露的难度,进而直接影响到内控缺陷披露质量。
2、管理层缺乏披露内部控制缺陷信息的动机
内部控制缺陷信息并非利好消息,披露带来的收益小于成本,管理层也就缺乏披露内部控制缺陷信息的动力。一方面,存在内控缺陷即企业内部控制设计或运行存在不完善之处,披露内控缺陷信息会传递出企业存在不确定的风险。在内部控制自我评价中,管理层倾向于披露对企业有利的内控信息,而避免内控缺陷信息的披露。另一方面,管理层在考虑是否披露内控缺陷信息时,会考虑披露的成本。披露内控缺陷的成本主要包括内部控制缺陷的记录、评估、报告、审计以及诉讼成本等。如果披露的成本较大,企业的管理层会选择不披露或只是简单地披露内控缺陷信息。
3、内部控制缺陷信息披露流于形式
内部控制信息披露直接反映了企业内部控制的构建水平,而就整体披露状况而言,内控信息含量还是偏低,并未真实体现企业客观情况。不少企业在内部控制自我评价报告中对内控缺陷的问题避重就轻,信息披露具有较强的随意性,不披露或很少披露内控缺陷信息。例如,有的企业的整个内控自我评价报告就只简单介绍了本企业内控制度以及结合本公司情况介绍了内部控制五要素的基本状况,大多是套话,没有涉及实质性的内容。内控缺陷信息披露在很大程度上流于形式,披露内容不充分,披露的信息无论是数量还是质量都难以令人满意,最终导致企业披露的内控缺陷信息缺乏可信度。当前的内控缺陷的披露状况还难以为利益相关者提供有利信息。
三、完善我国内部控制缺陷信息披露的建议
1、统一内部控制缺陷的评价标准
当前我国的内部控制评价体系还是比较薄弱的,对于内部控制缺陷相关的法规并未给予明确的内涵界定,分类标准的可操作性也不强。这不仅给内控缺陷信息披露带来了一定的困难,也给信息使用者带来了一定的难度。相关部门还应制定更为详尽和更具操作性的规定,以统一内部控制缺陷的评价标准。对于内部控制缺陷的评价可以采用定性分析与定量分析结合的方法。定性分析是通过文字来对缺陷的情形进行描述,这要求相关部门对内控缺陷的内容和情形进行详细地列举,以供企业参考。例如,可以按照内部控制各构成要素可能存在的内控缺陷进行示范性的罗列,当企业的经营过程中出现类似的情形时即可认定为内控缺陷。定量分析是通过事件出现的概率来对内控缺陷进行认定。例如,可以通过费用总额、利润或者总收入的百分比来区分内控缺陷的程度。通过对内控缺陷评价标准的统一,使内控缺陷的披露有章可循,减少主观判断带来的误差,增强内控缺陷信息的有用性。
2、完善内部控制缺陷信息的披露细则
一系列内部控制法律法规的出台体现了我国对内部控制的监管也逐步地走向成熟,但相关规定的漏洞却不能忽视。内控缺陷信息披露相关细则的缺失使得企业缺乏参照的标准,也有可能降低企业披露内控缺陷的动力,企业内控缺陷披露流于形式与此也不无关系。例如,《企业内部控制基本规范》只规定了企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定内部控制自我评价的方式、范围、程序和频率,对内控缺陷的对外披露没有作具体要求;而《企业内部控制配套指引》中虽然提及了内部控制缺陷的披露,但披露内容和格式并没有详细的规定,缺乏统一的披露标准,致使内控缺陷披露缺乏规范性和可操作性。同样,上交所的《内部控制评价报告格式指引及审核底稿》,给出了具体的参照格式,其中也提到了如存在重大缺陷要进行说明,并披露整改的措施,但内部控制评价报告格式仍然过于简单。由此,只有监管部门对内控缺陷信息披露的规定进一步完善,实现具体化和规范化,才能为企业提供更可行的披露依据,也使企业的内控缺陷信息具有横向可比性。
3、加强相关部门对内部控制缺陷信息披露的监管
内部控制评价报告能够对外传导企业内部控制的有效性信息,但当前其并未成为利益相关者的重要决策依据,原因之一就是评价报告的核心内容――内部控制缺陷信息的隐瞒和误报,这种违规行为直接影响了整个内控评价报告的信息质量。因此,监管部门应该对企业的内部控制自我评价报告进行严格的监督,并检查注册会计师的内部控制鉴证报告。同时,监管部门也要完善责任追究制度,制定明确的惩处规定,严惩违规披露行为;对因故意行为造成利益相关者重大误读及实际损失的,必要时引入民事赔偿诉讼法律机制,切实保护各利益相关者的利益。只有提高企业违规违法成本,加大监管和处罚力度,才能强化内部控制缺陷信息披露相关规定的权威性,提高公众对内控缺陷信息的认可。
4、明确内部控制评价的责任主体
我国的《企业内部控制评价指引》规定企业董事会应当对内部控制评价报告的真实性负责,也即内部控制的评价主体是董事会,责任主体也是董事会。《企业内部控制鉴证指引(征求意见稿)》中指出注册会计师应当向管理层获取书面声明,管理层声明内容应当包括管理层认可其对建立和保持有效内部控制的责任,即企业的管理层要对内部控制的有效性发表声明。可见,我国相关的规定都要求企业的董事会和管理层要对内部控制的合理性、有效性负责,但并没有明确规定他们的责任所在。因此,应将内部控制信息披露的责任落实到具体的责任主体上,并制定严格的责任处罚制度,才能确保内部控制信息披露得到应有的重视,从而保证内部控制缺陷信息披露的真实、有效。
5、提高内控评价人员素质
内部控制体系的构建与评价都有赖于内控人员的良好专业能力与素质。例如,要评价是否已识别和处理了的企业经营过程中潜在的各项风险,企业的管理层和内控评价人员要具备内部控制和风险管理方面扎实的专业知识和能力,才能准确地判断是否还存在未发现或未解决的重大风险,并进行有效的内控评价。并且,了解必要的专业知识能够更好地理解内部控制构建及评价的意义。此外,内控评价人员良好的专业素养也能够提高内控缺陷信息的披露水平。具备公正的立场和良好的职业道德水平,才能及时准确地评价内控缺陷,不隐瞒或披露虚假的内控缺陷信息。因此,企业要不断提高内部控制评价人员的素质,以达到提高内部控制评价效果的目的。一方面,在选拔人才的过程中要采取任人唯贤的机制;另一方面,加强内控人员队伍建设,对管理层和内控评价人员的专业理论知识、业务技能、价值观等方面进行考核,并定期进行定期培训,不断提高他们的业务水平和综合素质。
【参考文献】
[1] 田高良、齐保垒、李留闯:基于财务报告的内部控制缺陷披露影响因素研究[J].南开管理评论,2010(4).