前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的公司内控审计报告主题范文,仅供参考,欢迎阅读并收藏。
【关键词】 内部控制; 审计报告; 描述性分析
自2011年1月1日起,境内外同时上市的公司要在披露年度报告的同时披露注册会计师出具的内部控制审计报告;在上海证券交易所、深圳证券交易所主板上市的公司自2012年起将全面实施内部控制审计。这种制度背景下,对内部控制审计相关的研究就显得十分重要。本文通过对2007—2009年沪市A股上市公司自愿披露的内部控制审计报告的描述性分析为强制性内部控制审计制度的设计和实施提供了理论和实践的参考。
一、内部控制审计报告披露的总体情况
2007—2009年,沪市上市公司中分别有126家、176家、201家公司披露了内部控制审计报告,分别占当年上市公司的14.8%、20.6%、23.3%。披露报告的公司数量逐年增加,表明上市公司对内部控制的信息披露越来越重视。2008年开始已经有超过五分之一的上市公司自愿披露了内部控制审计报告,为2011年在我国上市公司中开始逐步实施的强制性内部控制审计奠定了基础。大多数披露公司选择了连续在三个会计年度都披露内部控制审计报告。所有公司的内部控制审计报告与财务报表审计报告都分开出具,一同在年度报告中披露。
累计503家披露内部控制审计报告的公司中,除4家公司外,其他公司都聘请了同一家会计师事务所同时审计内部控制和财务报表,符合监管部门加强公司内部控制监管又不过度增加上市公司成本负担的意图。有3家公司的注册会计师出具了带强调事项段的内部控制审计报告,其余公司披露的内部控制审计报告都是无保留意见,即注册会计师认为公司在所有重大方面保持了有效的财务报告内部控制。因此,上市公司自愿披露内部控制审计报告符合信号传递理论,即通过自愿披露向投资者发送对企业有利的信号,表明其内部控制完善,进而会计信息更为可靠。
二、会计师事务所特征与内部控制审计报告的披露情况
表1报告了各年度聘请不同规模会计师事务所审计的公司披露内部控制审计报告的比例。可以看出,聘请国际四大审计的公司披露内部控制审计报告的比例最高,分别为20.7%、30%、35.4%;聘请国内十大(以每年中国注册会计师协会的会计师事务所的排名划分)审计的公司披露比例次之;聘请其他会计师事务所审计的公司披露内部控制审计报告的比例最低,为12%、17.3%、19.7%。从近年来上市公司内部控制审计的情况来看,不同规模的会计师事务所都积累了内部控制审计的经验,有利于今后内部控制审计在我国的顺利实施。
三、披露内部控制审计报告公司的特征分析
(一)财务状况
2007—2009年,披露内部控制审计报告公司的扣除非经常性损益后的每股收益以及每股经营现金流都显著高于未披露公司(见表2),两者存在显著的系统性差异(P
(二)公司风险
2007—2009年,分别有8家ST类公司(包括ST公司、*ST公司、S*ST公司、SST公司)披露了11份内部控制审计报告,披露比例显著低于非ST类公司(489家披露了内部控制审计报告)。披露内部控制审计报告的公司中94%为盈利公司,即经营管理水平差、财务状况异常以及企业面临风险高的公司难以维持有效的内部控制,披露内部控制审计报告的可能性低。值得关注的是,因大股东长期分歧给公司带来诸多问题而拆分上市的ST东北高速在2008年的年报中也作出“未发现公司内部控制机制和制度的完整性、合理性等方面存在重大缺陷”的自我评价并由注册会计师出具了消极保证的内部控制审计报告。表明在这一阶段内部控制审计报告的披露还因相关指引的不完善及监管的缺位存在着不规范。
(三)公司治理
内部控制与公司治理之间是紧密相关的。本文发现,在2007—2009年,披露内部控制审计报告的公司中超过半数(比例为58.4%、62.3%、58.5%)是上证公司治理板块公司,表明这些自愿披露内部控制审计报告的公司具有广泛认同的良好的公司治理基础。
四、披露内部控制审计报告公司的财务报告质量
实施内部控制审计的根本目的是为了提高上市公司的会计信息质量,本文比较了披露内部控制审计报告公司与未披露公司在财务报告质量(从财务报表审计意见类型和总应计利润的角度)上的差异,从而有助于分析上市公司聘请注册会计师实施内部控制审计的必要性。同时,公司的内部控制质量难以直接观测,而内部控制质量与财务报告质量紧密相关,两类公司的比较能从一定程度上反映注册会计师是否能真正识别内部控制有效的上市公司。分析结果表明,披露内部控制审计报告公司的财务报告更可靠。
(一)内部控制审计报告的披露与财务报表审计意见类型
按照《中国注册会计师执业准则》,当被审计单位的财务报表已经按照会计准则的规定编制,在所有重大方面公允反映了被审计单位的财务状况、经营成果和现金流量,并且注册会计师按照准则的规定计划和实施了审计工作,在审计过程中未受到限制的情况下,注册会计师应当发表无保留审计意见。非无保留意见的财务报表审计报告表明公司披露的财务报告在可靠性上存在风险,因此注册会计师发表的财务报表审计意见类型能够代表公司的财务报告质量。
根据表3,2007—2009年沪市分别有66家、67家、59家上市公司收到非标准财务报表审计意见。披露标准内部控制审计报告公司收到非标准财务报表审计意见的比例为0.8%、1.1%、0.99%,未披露公司收到非标准财务报表审计意见的比例为8.9%、9.6%、8.5%,前者在1%的显著性水平上低于后者。以上分析表明,企业建立有效的内部控制是实现财务报告可靠性的基础,内部控制有效的公司的会计信息质量更高。
(二)内部控制审计报告披露与公司总应计利润
公司的盈余包括应计利润和经营活动现金流两部分,应计利润是指当期没有现金的流入或流出,但按照权责发生制和配比原则应该计入当期损益的收入和费用。盈余中的现金流部分可操控性不强,公司一般主要利用会计政策的选择操纵应计利润。因此,较高的总应计利润(总应计利润等于净利润减去经营活动现金流并用公司总资产标准化以避免不同公司规模的影响)通常意味着会计信息的可靠性低。
由于盈余管理包括增加利润为目的的正向盈余管理和减少利润的负向盈余管理,因此,与以往研究相同,本文将总应计利润的绝对值作为盈余管理的变量。在2008年,披露内部控制审计报告公司总应计利润的均值为0.065,在1%的显著性水平上低于未披露公司。同样,2009年披露内部控制审计报告公司的总应计利润的均值(0.069)与未披露公司(0.08)也存在显著的差异。因此,从总应计看,披露标准内部控制审计报告的公司有更高的盈余质量。
五、研究结论及政策建议
近年来,内部控制审计在上市公司中越来越得到重视,自愿披露内部控制审计报告的公司数量逐年增加。尽管实践中相关制度规范的缺失导致内部控制审计报告的披露还存在着不规范之处,本文的分析发现披露内部控制审计报告公司的财务状况、公司风险、公司治理以及会计信息质量显著好于未披露公司,表明建立完善的内部控制,实施内部控制审计能够促进上市公司提高公司质量。
建立健全有效的内部控制是上市公司及资本市场持续健康发展的基础,也将给上市公司以及整个资本市场带来质的提高,这已经是人们的共识。内部控制审计是企业建立有效内部控制的重要制度保障,注册会计师以其独立的身份及专业能力能够更客观、更准确地剖析企业的内部控制缺陷,促进企业全面提高风险防范能力和经营管理水平(刘玉廷、王宏,2010)。对于即将实施的内部控制审计,还存在以下的具体困难:1.内部控制审计正式实施之初,注册会计师对内部控制整体有效性进行评价与测试的经验严重不足,在很大程度上会影响内部控制审计实施的效果。2.按照《企业内部控制审计指引》,内部控制缺陷与财务错报不存在必然的对应关系,对于目前未导致财务错报的重大缺陷,注册会计师要根据控制缺陷导致错报的可能性及潜在错报的金额大小判断控制缺陷的严重程度。因此,重大缺陷的判断在实践中难以把握,与财务报表审计相比,内部控制审计要更多地依赖注册会计师的职业判断作出定性分析,增加了内部控制审计的难度。
针对以上的研究发现和内部控制审计实施过程中面临的具体困难,本文针对内部控制审计的顺利实施向相关各方提出以下建议:
(一)政府部门角度的建议
1.重视内部控制审计实施的培训工作,让实施内部控制审计的从业人员能全面把握内部控制规范体系的内容。除了要求从业人员在理论方面提高外,还可以通过让他们学习交流部分会计师事务所审计在美国上市公司的内部控制的经验和实例,在实践中提升执业能力。
2.密切关注和跟踪内部控制审计的实施效果,保障内部控制审计制度的顺利实施。美国在实施内部控制审计的过程中,美国公众公司会计监督委员会(PCAOB)和美国证券交易委员会(SEC)一直都对实施情况密切跟踪,适时相应指南,提供具体指导,并对准则做出及时调整,完善审计方法,时至今日,上市公司对内部控制审计的争议逐渐减少,美国监管部门的做法对我们很有借鉴意义。
3.严格内部控制审计实施过程的监管,让内部控制审计切实发挥提高会计信息可靠性的作用。完善的制度建设和严格的监管将是内部控制审计制度成功实施的重要保证,应该通过建立完善配套的监管规则,加大对相关违规违法披露行为的稽查和处罚力度,提高监管的有效性和针对性,实现内部控制审计制度的规范化运作,保证资本市场的健康发展。
(二)上市公司角度的建议
上市公司应完善内部控制的设计与执行,及时发现、纠正重大缺陷。做到领导层重视、职工全员参与,实现全过程控制,健全适合本单位特点、符合成本效益原则的内部控制制度。
(三)投资者角度的建议
作为上市公司信息披露的主要需求者之一的投资者目前对于内部控制重要性的认识还不充分,仅由政府强制推行内部控制审计难以收到理想效果。社会公众应加深对内部控制信息披露重要性的理解,结合内部控制的信息披露来把握上市公司披露的盈余信息,当上市公司的内部控制存在重大缺陷时,其财务报告的可靠性会受到影响。投资者对内部控制信息披露的重视与监督可以避免注册会计师的内部控制审计工作走过场,促进上市公司通过内部控制审计真正发现存在的控制缺陷,减少财务报表重大错报。
【参考文献】
【关键词】AS5;内控审计指引;区别
一、两者的出台背景
(一)PCAOB审计准则第五号的出台背景
受2001年安然、世通等事件的影响,美国国会于2002年7月25日通过了SOX法案。为了保证其有效实施,SEC于2003年11月了《最终规则――管理层对财务报告内部控制的报告及其对定期披露的证明》。为了贯彻SOX法案和SEC的要求,PCAOB(美国公众公司会计监督委员会)于2004年了《第2号审计准则――与财务报表审计相协同进行的财务报告内部控制审计》(以下简称AS2),用以具体指导审计人员对公司管理层出具的内部控制评价报告的审计。自AS2实施以来,PCAOB的监督结果显示,AS2的部分条款不清晰或者与SEC的要求有差别,也有部分条款规定过细,不利于注册会计师的职业判断,或不适合小企业审计的要求。因此,2007年PCAOB又了《第5号审计准则――与财务报表审计相结合的财务报告内部控制审计》(以下简称AS5),以取代2004年的AS2。
(二)我国2010年审计指引出台背景
美国SOX法案出台以前,中国注册会计师协会从行业自律视角于2002年2月15日单独了《内部控制审核指导意见》。2008年6月,为了配合《基本规范》的施行,中注协又了《企业内部控制鉴证指引》(征求意见稿),旨在为注册会计师执行企业内部控制鉴证业务提供专业规范和指导。此征求意见稿将内部控制审计界定在“与财务报告相关的”内部控制,虽未能正式出台,但对内部控制审计制度建设所起的推动作用毋庸置疑。2010年4月《企业内部控制配套指引》(以下简称《配套指引》)的出台,我国已基本建立起内部控制规范体系。其中《企业内部控制审计指引》(以下简称《审计指引》)第二条规定,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
二、AS5与我国2010年的内控审计指引的区别
(一)关于审计范围
基于注册会计师风险规避和成本效益原则,美国只要求注册会计师关注财务报告内部控制审计。我国最初推动内部控制审计发展的是中注协,出于规范审计工作、规避审计风险的考虑,将内部控制审计范围限定在与财务报表相关的内部控制上。当政府相关部门出于保护投资者利益、维护证券市场秩序的需要开始重视内部控制审计制度时,内部控制审计范围被扩展至广义的管理视角下的内部控制。《审计指引》第四条规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。与要求企业完整而全面地贯彻实施《基本规范》相一致,《审计指引》规定注册会计师审计的范围不限于财务报告内部控制,而是覆盖整个企业的内部控制体系。但是,考虑到注册会计师在内部控制审计过程中的风险责任承担能力,该指引要求注册会计师针对企业财务报告内部控制有效性发表审计意见,而对相关审计过程中注意到的非财务报告内部控制重大缺陷,则要求其增加描述段予以披露。
(二)关于审计流程
内控指引认为审计流程包括:计划审计工作、实施审计工作、评价控制缺陷、完成审计工作、出具审计报告、记录审计工作。而AS5则认为审计流程是计划审计工作、使用从上至下的方法、测试控制、评估识别的缺陷、总结、内控报告、通过对比,我们可以看出,我国内控指引将使用从上至下的方法和控制测试放在实施审计工作中,而AS5单独列出,并详细地将使用从上至下的方法分为:确定公司层面的控制、确定重大项目、确定相关论断、确定主要交易类型和重大流程、选择控制进行测试。将控制测试分为:测试设计有效性、测试执行有效性、确定风险和证据的关系、未来年份审计的特殊考虑。此外,内控指引所说的完成审计工作其实也就包括了AS5在总结中规定:获取书面申明、形成审计意见、通报某些事项。
(三)关于审计方法
1.AS5认为整合审计是一项强制性要求,AS5规定必须由同一家会计师事务所对内部控制审计与财务报表审计整合进行。准则明确规定:财务报告内部控制审计应与财务报表审计整合。两个审计的目标虽然不同,但审计师必须计划并执行审计工作,以实现两个审计的目标。而我国《审计指引》第五条规定,注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行。当然,此处所指的“整合”,不包括注册会计师对同一家企业既做咨询又做审计的情形。《内控指引》第十条明确规定,为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。
2.AS5要求审计师重点关注公司内部控制中那些可能会导致财务报告中的重大错报不能被发现或预防的高风险领域。由于从上至下方法对审计的有效性具有积极的影响,第5号审计准则要求审计师在审计中,包括对重要的公司层面控制进行测试时使用该方法。并要求审计师在每一决策点的风险评估中采用从上至下的方法。对重要账目和相关论断的确定要求审计师应清楚存在的相关风险,以及风险如何影响其决策。指引要求注册会计师按照自上而下的方法实施审计工作,并将方法作为识别风险、选择拟测试控制的基本思路。同时,该指引强调,在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行。
(四)关于审计报告出具
1.标题。指引规定出具审计报告需要有标题、但是AS5强制规定必须包含“独立”一词的标题。
2.公司财务报表和财务报告内控报告是否合并。如何出具内部控制审计报告,是大多数注册会计师所关心的问题。与审计范围相对应,指引要求注册会计师出具的审计报告涉及财务报告内部控制和非财务报告内部控制两大方面。AS5审计师可以选择关于公司财务报表和财务报告内控的合并报告或单独报告。
3.报告类型。指引提供了四种内部控制审计报告参考格式,分别是:标准内部控制审计报告、带强调意见段的无保留意见内部控制审计报告、否定意见内部控制审计报告和无法表示意见审计报告。而AS5因为公司财务报表和财务报告内控报告是否合并而不同。
三、总结
本文通过比较了AS5和内控审计指引的区别,发现我国内控审计逐渐国际化,虽然有一些方面还不是完全与国际接轨,但是相比之前的规定,对进一步提升对我国上市公司的治理水平,同时也更好地保护投资者的利益,提高我国资本市场的国际竞争力具有进步意义。
参考文献
[1]邓美洁,吴国萍,美国内部控制审计制度及其对我国的启示[J].税务与经济,2011(4):69-72.
[2]刘玉廷.全面提升企业持续经营管理水平的重要举措――企业内部控制配套指引解读[J].会计研究,2010(5):5-18.
[3]《企业内部控制应用指引》.财政部,证监会,审计署,银监会,保监会联合,2010-4-15.
【关键词】 ST公司; 内部控制; 自我评价报告; 统计分析
中图分类号:F230 文献标识码:A 文章编号:1004-5937(2016)03-0040-04
一、引言
笔者选取常规数据来分析2014年内控评价报告披露的整体情况。
表1对2014年内部控制的整体披露情况进行了统计,并与2012年、2013年的整体披露情况进行了对比分析。由表1可知,2014年沪、深交易所A股上市公司共有2 586家,披露内控评价报告的有2 536家,占比98.1%;未披露的有50家,占比1.9%。在披露内控评价报告的2 536家公司中有2 522家公司的内控评价报告结论为整体有效,占比99.4%;14家公司的内控评价结论为无效或其他。在披露内控评价报告的2 536家公司中,有550家披露内控中存在的缺陷,占比21.8%,且有546家对披露的缺陷采取了整改措施。
从披露内控评价报告的占比数量上可见,自2012年财政部、证监会等五部委强制上市公司披露内控评价报告以来,披露的数量逐年上升,2013年披露占比为99.9%,几乎实现了全部上市公司均按照《企业内部控制评价指引》披露内控评价报告的要求。2012―2014年,随着企业内部控制规范体系的推进实施,上市公司内部控制评价结论呈现差异化的趋势,“非整体有效”结论的比例稍有上升。2012―2014年,大部分公司缺陷认定的类型为一般缺陷,且数量有所下降,重要缺陷的认定数量也有所下降,但是,重大缺陷的认定数量呈逐年上升的趋势。
此数据只反映了内控评价报告的整体表面情况,由于数据剔除了ST公司,且多数公司的经济状况良好,无论是从相同的心理状态或者实际的市场需求出发,各公司披露的整体情况非常相似。由此,更加不能体现内部控制各项指标的变化及其原因。
本文选取了2010―2014年间的企业内控评价报告数据,找出ST公司转换的时间点,分两种情况(一是正常ST/*ST;二是ST/*ST正常)讨论转换前、转换中及转换后三年间内控评价报告各部分披露的情况,从而找出产生前后披露变化的原因。
二、国内外内部控制评价相关文献回顾
内部控制最重要的关键在于评价,内部控制评价经历了由自愿披露到强制披露的过程。SOX法案颁布前,重大经济事件、战略制定实施、重要投资等因素都会导致内部控制风险的产生(Ashbaugh-Skaife et al.,2009),从而导致内部控制系统作用的下降。而不好的内部控制会给管理层带来不当挪用企业现金流量的机会(Lambert et al.,2007),最终导致内部控制失效。为了更清楚地了解企业内部控制的具体情况,敦促管理者对内部控制缺陷及时采取解决措施,美国于2004年针对上市公司开始实施最严厉的SOX法案。法案实施后,经营复杂(Ge and MeVay,2005)、规模小、财务状况差、成长性高的公司披露内部控制重大缺陷的概率更高(Doyle et al.,2007)。而且,不同特征的内部控制缺陷披露,信息含量也不同,信息含量决定于披露的内部控制缺陷的严重程度,不同程度内部控制缺陷的披露又造成不同的市场反应(France et al.,2005;Hammersley et al.,2011)。
我国自加入WTO后,会计准则规范等逐步与国际趋同,于2008年颁布《企业内部控制基本规范》,于2011年颁布《企业内部控制配套指引》。规范和指引的颁布标志着具有统一性、公认性和权威性的中国企业内部控制规范体系的形成(王军,2010)。通过对我国上市公司首次执行内部控制评价强制披露规范的信息披露情况进行分析显示:规模越大或财务状况越好的公司,其控制活动、信息与沟通两类指标的披露水平越高(李颖琦等,2011)。但是,内部控制缺陷的披露会使未来1到3年的销售增长率下降,对于披露公司层面缺陷、顾客群体多数以工业用户为主、拥有高研发强度的公司,销售增长率下降的速度更加显著(Nancy et al.,2014)。同时,内部控制评价报告的披露虽然可以降低资本成本(张然等,2012),但是并没有显著提高内部控制的效率(于忠泊和田高良,2009)。因此,为了提高内部控制的效率,应进一步研究内控评价报告披露质量低的原因及改进措施。
三、统计分析
(一)样本的选择与数据来源
本文以2010―2014年间的ST/*ST企业作为研究样本,截至2014年12月31日,由正常公司过渡到ST/*ST公司且披露内控评价报告的数量为97家;由ST/*ST公司过度到正常公司且披露内控评价报告的数量为216家。本文使用的内部控制评价相关数据来自样本公司在上交所、深交所、巨潮资讯等证监会指定网站披露的2010―2014年间的内控评价报告,其他数据来自国泰安数据库。
(二)统计结果与分析
表2显示:在2010―2014年间,由正常到被ST的所有A股上市公司共97家,其中披露的内控评价报告有效的为70家,只有002200*ST大地、002506ST超日和600145*ST国创三家企业的内控评价报告结论是无效的。统计年间内控审计报告出具否定意见的有4家,分别为2010年002200、2013年002506、2014年600145和2013年600598。出具无法表示意见的有2家,为2014年000594和600247。
表3显示:正常期间,披露一般缺陷的仅有19家,披露重要缺陷的仅有2家,披露重大缺陷的仍然仅有2家,未披露内控审计报告的有8家,未披露内控评价报告的有24家,除去本年未披露内控评价报告的公司,内控有效且不存在缺陷的公司占67.1%。未披露整改情况的有53家,占有效评价的75%。数据说明:ST公司在未被ST之前内控评价报告和缺陷的披露水平并不高,未披露整改情况的公司居多,说明公司对于一般缺陷的整改并不重视,但多个一般缺陷的组合可能构成重大或重要缺陷。
公告被ST/*ST当年,披露一般缺陷和重大缺陷的数量有所上升,且整改力度加大,全部完成整改的数量由7家上升至12家,未完成整改的数量明显下降,内控评价报告与内控审计报告的一致性情况明显好转。由于多数被ST的原因为连续两年亏损,故与财务报告相关的内部控制有效性下降,因此,未披露内控审计报告的数量由8家上升到10家。此数据说明两点问题:一是被ST/*ST当年,公司对各项披露情况更加认真,披露的评价结论更加谨慎;二是仅不足一年时间披露缺陷的数量明显上升,说明前一年公司确实不存在缺陷或者存在缺陷但并未如实披露,才会导致被ST后披露缺陷数量突增的情况。
被ST/*ST后,与公告当年比较显示,披露一般缺陷的数量明显降低,由24家降到21家;披露重大、重要缺陷的数量有所下降,同时,未披露内控评价报告和未披露整改情况的数量明显下降,分别由24家降至12家和由45家降至26家。说明ST公司希望通过较少的缺陷和加大整改力度来实现早日“摘帽”。
表4显示:在2010―2014年间,由ST到恢复正常的所有A股上市公司共216家,其中披露的内控评价报告有效的数量为119家,只有000892ST星美、600234*ST山水和600671ST天目三家企业的内控评价报告结论是无效的。统计年间内控审计报告出具否定意见的有3家,分别是2013年600800、2014年600234和2014年600671;内控审计报告出具无法表示意见的有2家,分别是2013年600076和2014年000892。
表5显示:从ST/*ST到恢复正常期间,内控评价报告与内控审计报告结论的一致性数量明显上升,而未披露内控评价报告和未披露整改情况两项指标数量明显下降,这充分说明了在转变期间内控评价报告的披露质量显著提升。但无论是一般缺陷还是重大、重要缺陷的披露数量,还是未披露内控审计报告的数量都在逐步上升,这也恰恰印证了表3所分析的,ST企业在ST期间出于急于“摘帽”的心理,从而尽可能少披露缺陷和加大整改力度来实现这一目标,但是,通过未披露内控审计报告数量的激增可以知晓,即便是在恢复正常状态后原ST企业的财务状况仍然没有好转。
四、我国上市公司完善内控评价报告的改进建议
(一)内控评价报告制定者需要转变心态
内部控制缺陷的披露对于顾客对公司能力的看法以及公司给予顾客荣誉等方面潜在的激励作用呈负向影响(Nancy和Rachel,2013)。他们将披露内控缺陷前与披露内控缺陷后的销售增长率作比较,发现公司在披露内控缺陷后销售增长率有所下降,对于那些披露公司层面内控缺陷、顾客群体多数以工业用户为主、拥有高研发能力的公司,销售增长率下降的速度更加显著。公司的内控评价报告披露高层也许正是知晓消费者这一心理,因而,在披露内控缺陷时采取了“避重就轻”原则,这也恰恰印证了本文数据分析的结果。但是,这种“避重就轻”的心态将直接导致内控评价报告失真的可能。
Nancy仅研究了前后1―3年间销售增长率的变化情况,因此,她的研究结论仅在1―3年的时间是成立的。而一家公司从发现缺陷到整改到利润恢复甚至增长的转变则需要更长的时间才能体现出来。在Nancy的研究中还发现,当公司对于披露的内控缺陷未及时采取整改措施时,销售增长率下降的速度更快;当公司及时采取整改措施时,下降的速度却是反转的。由此可见,披露缺陷并非是一件可怕的事,可怕的是未能正确对待缺陷,以及未能及时采取整改措施。
带有缺陷的内控评价报告虽不能释放企业内控有效性的信息,但可以引起管理层的高度重视,敦促管理层查找缺陷产生的原因,采取恰当的措施改进和完善内部控制系统,提高内部控制的有效性;同时,投资者可以清晰地了解该公司内控的薄弱环节,观察该公司未来几年整改后的发展进行理性投资。理性的投资者绝对不会因公司某一年所披露的缺陷而放弃对该公司的投资;相反,若该公司整改后的经济利润有所上升,投资者会对公司的未来前景更具有信心。只有这样的循环才是良性循环(图1)。既然我们无法在短时间内改变消费者的心理,那么,我们首先要摆正自己的心态。
(二)不同行业应分别就各行业重点业务内控情况进行披露
《企业内部控制评价指引》对于内控评价报告披露范围的描述只指出应当依据《企业内部控制基本规范》和《企业内部控制配套指引》中的18项具体指引,并结合公司自身内部控制设计与运行的实际情况确定,对于具体应披露的范围并未明确说明。
笔者通过随机阅读100份左右的公司内控评价报告发现,大多数公司只是照搬照抄18项指引的业务内容进行披露,并未结合公司实际,如南方黑芝麻、科大讯飞、三全食品、宝利来控股等。因此,建议在披露中以“纳入评价范围的主要业务和事项”加“重点关注业务领域”的形式进行阐述,并在后面的具体披露情况中就重点关注领域进行详细阐述,如零七股份、三元食品、海天调味等。
(三)内控评价报告中应增添的两项披露内容
一个企业拥有完善的内部控制制度,并非等于拥有有效的内部控制。由此,内控评价报告应更多地披露能判断内控有效的相关条款,从而有利于投资者更好地了解公司内部控制的运作状态。
1.披露向公司提供内控评价报告咨询业务的事务所
笔者了解到,多数公司在对自身内控进行评价的过程中往往需要向会计师事务所等相关专业机构咨询内控评价实务中的一些问题。而多数公司选择的咨询对象往往是为其出具内控审计报告的事务所。笔者分析原因可能有两个:第一,为了降低再次聘请其他事务所所增加的成本;第二,出具内控审计报告的事务所在评价与财务报告相关内部控制的过程中,对于企业的内部控制状况更加了解,便于及时给出正确的解决方案。但是,这样操作的结果使得内控评价报告失去了真正的价值。
内控评价报告对外披露的意义在于:第一,便于外部使用者进行投资决策,是投资者对资本市场维持信任的保证;第二,避免部分会计师事务所出于承揽审计业务和收取审计费用等目的,过分讨好企业,从而出具不实的财务审计报告。而目前的公司多数将财务报告和与财务报告相关的内控审计报告进行整合审计。因此,要披露向公司提供内控评价报告咨询的事务所,并与实施整合审计的事务所区分开来,才能实现内控评价报告披露的真正意义。
2.披露公司建立及更新内部控制系统的时间节点
笔者在参加项目的过程中发现:即便一家公司内控是在一两年间建立起来的,但是,依靠外界做起来的内控体系却表现得很完善,无论是制度的完整性亦或流程的合理性以及与实际的相符性,这些都会在设计中被考虑到,以备应对外界的检查,而一些存在缺陷的地方却不会体现在内控系统中。因此,便会出现这样一种奇怪的现象:外界评价的结论中,一切都是合法合理、合乎情理,但真实的经济效益却并不乐观,这其中的缘由恐怕只有公司管理人员最清楚,毕竟内控体系不是一朝一夕就能与实际磨合并发挥积极作用的。笔者认为,有必要披露该公司内部控制体系建立和更新的时间节点,从而有助于投资者判断其内控评价报告的真实程度。
【主要参考文献】
[1] 李颖琦,陈春华,俞俊利.我国上市公司内部控制评价信息披露:问题与改进――来自2011年内部控制评价报告的证据[J].会计研究,2013(8):62-68.
【摘要】2011年作为《企业内部控制基本规范》正式实施的第一年,是上市公司内部控制信息披露的里程碑,本文分析了2011年沪市公司内部控制自我评价报告信息披露的情况和内容,包括内部控制报告披露与财务报表重述和公司业绩关系的描述性统计分析,以及报告中重大缺陷的认定以及内部控制审计报告的披露等问题,并从问题分析中提出政策性建议。
【关键词】内部控制;自我评价;报告重述
一、引言
一个企业内部控制机制的好坏直接影响着一个公司的发展,美国率先出台了《公众公司会计改革和投资者保护法案》(简称sox法案),开始了上市公司内部控制信息强制性披露的序幕,加上后续一系列法案的颁布极大地促进了世界范围内内部控制信息披露的普及。企业内部控制信息披露是企业外界各利益相关者了解企业治理与规范化管理,风险应对能力的途径,对企业管理层而言,内部控制自我评价的过程也是公司检测和改善内部控制的重要途径。我国2008年财政部等五部委联合《企业内部控制基本规范》,也要求公司应对内部控制的有效性进行自我评价,披露自我评价报告,并可聘请会计师事务所对内部控制的有效性进行审计。2011年是《基本规范》正式实施的第一年。根据证监会的统一安排,上交所上市的“上证公司治理板块”样本公司、境内外同时上市的公司及金融类公司,作为第一批公司在2011年实施基本规范。
二、2011年沪市内控自评报告披露分析
(一)总体披露情况
根据沪市披露的数据,2011年沪市共有933家公司在年报“公司治理结构”章节中填报了公司内部控制建设的基本情况。933家公司中,427家披露了董事会内控报告,较之2010年的417家在绝对数上增加了10家,但在比例上减少了约1.5个百分点,与2009年的披露比例大体相当;其中,131家公司为自愿披露,绝对数与2010年(130家)和2009年(127家)基本持平,占比亦略有下降。427家公司中,258家公司聘请审计机构进行了内控审计(其中审计153家、审核105家),较之2010年的229家略有上升,其中自愿披露审计(审核)报告的公司为195家。以上数据表明,内控报告披露数量基本保持稳定,而且自愿披露内控报告的公司数量和自愿聘请审计机构对公司内控进行了核实评价的公司数量也都基本保持稳定,显示出上市公司对内控报告的披露越发谨慎。
(二)内部控制报告与公司经营业绩的关系
有效的内部控制应能合理保证企业经营活动的合法合规性,财务信息披露的真实可靠以及为经营生产的正常运行提供合理的保障。hermanson(2005)通过调查得出良好的内部控制能为公司的长远发展提供更好的保障。因为建立完善的内部控制,可以在企业运行的各个环节建立良好的控制机制和监督机制,进行不相容职务分离从而到减少舞弊,提高经营效率,最终将有利于公司经营业绩的提高。公司经营业绩提高以及有效的内部控制能提高投资者对该公司投资的信心,公司就会有更充足的资金来建设完善内部控制使其更有效合理完整,而达成内部控制与企业经营业绩的良性互动关系。由此可见,内部控制与公司经营业绩存在良性互动关系,进行自愿性内部控制信息披露的上市公司内部控制有效性水平高,其经营业绩水平也就较高。
在沪市2011年的内部控制评价报告及审计报告中可以分析出披露内部控制及内部控制审计报告的公司的业绩水平比整体水平明显高。首先,披露内控报告公司的2011年年报非标准无保留意见比例显著低于全部沪市公司:在披露内控报告的427家公司中,421家的2011年年报被出具标准无保留意见,非标准无保留意见比例为1.4%,大大低于全部公司的6.3%。其中,宁波富邦、st祥龙、吉恩镍业、太工天成、中国中冶被出具带强调事项段的无保留意见,仅莲花味精被出具保留意见。非标意见中,多数为持续经营能力存在疑问,仅莲花味精是因为前期涉嫌会计造假而被证监会调查,并已对其2009年年报进行差错更正。其次,披露内控报告公司的年报业绩水平高于全部沪市公司,披露内控报告的公司普遍业绩较好。其中亏损公司7家,占全部公司比例的1.6%左右,大大低于全部沪市公司8.3%的亏损比例。(2010年披露内控报告公司的亏损比例0.7%,低于全部沪市公司的6.1%)再者,分红水平高于总体水平,在自愿披露内控报告的131家公司中,进行现金分红的公司数为85家,占比为64.9%,高于2011年全部沪市公司的57.5%。(2010年自愿披露内控报告公司的现金分红比例为60.1%,高于全部沪市公司的54.9%)。
(三)内部控制自我评价报告与公司年报重述的关系
从图表中可以看出,在2011年的沪市933家上市公司中70家进行了报表重述,占总比7.5%,在进行报表重述的公司中披露内部控制报告的数量的占总的报告重述的数量比为13.11%且其中披露内部控制审计报告的公司有17家占70家报表重述的比例为24.3%,在56家做自我评估的公司中,明确表明自己存在缺陷的公司为6家占总报表重述公司的8.57%,且在披露的内部控制审计报告中只有一家的审计报告是加说明事项段的非标准审计意见,其他都为标准审计意见。
三、政策建议
我国《企业内部控制评价指引》没有规定重大缺陷、重要缺陷和一般缺陷的具体认定标准,而是由企业根据这几种缺陷的定义自行确定。这无疑增加了企业认定内部控制重大缺陷的难度,可能导致一些重大缺陷无法被认定并披露。应该更加明确上市公司内部控制自我评价的合理有效的方法,及内部控制自我评价的信息含量。相关部门应加强内部控制报告中有用信息的强制性披露,及内部控制信息的责任追究机制,适当的对一些重点企业可以进行内部控制报告及相应公司制度建设的检查,怎么样让内部控制报告反映企业真正的内部控制情况是内部控制信息披露的下一步攻关。
参考文献
[1]上海证券交易所资本市场研究所年报专题小组.沪市上市公司2011年内控自我评估报告披露情况分析[r].2012.
[2]杨有红,陈凌云.2007年沪市公司内部控制自我评价研究——数据分析与政策建议[j].会计研究,2009(6):58-64.
[3]周勤业,王啸.美国内部控制信息披露的发展及其借鉴[j].2005(2):24-31.
内部控制审计和财务报表审计的经济学分析审计报告是一种特殊的公共产品,报告使用者不需要付出任何代价就可以使用,因此不便采用供需模型进行分析,基于此我们仅分析注册会计师与被审计单位之间的关系(假设审计市场是自由竞争市场,被审计单位均有良好的内部控制系统)。注册会计师靠提供审计服务来获得收入,为市场上该业务的供给方,被审计单位通过聘请注册会计师进行审计而获得最终产品审计报告,支付审计费用,为市场上该业务的需求方。假设不存在财务报告内部控制审计而只有财务报表审计时的供需《内部控制审计指引》规定,被审计单位在接受财务报表审计的同时可以接受财务报表内部控制审计,由于由同一家事务所进行两种审计的成本必然小于两家事务所分别审计的情况,所以整合审计是必然趋势。整合审计时,注册会计师在财务报表审计报告之外需要增加一份关于财务报告内部控制的审计报告,付出了更多的成本,承担了更大的风险,必然要提高审计费用。由于审计成本增大,同样的审计费用,在整合审计时,注册会计师将提供更少的审计报告,所以供给曲线向左较小范围的移动。与此同时,由于注册会计师提供了更多的服务,从源头到最终产品都合理保证了财务报告信息质量,因此被审计单位披露财务报表审计报告的同时披露财务报告内部控制审计报告就向投资者、债权人等利益相关者传递了其经营管理有效、公司发展前景较好等消息,所以被审计单位更愿意接受注册会计师的审计,此时需求曲线应向右进行较大范围的移动。同时提供两种审计报告市场的审计费用和审计报告的供需曲线的交点为A′,A′B′C′的面积为审计报告市场的总剩余,所以整合审计增加了审计市场的总剩余。点A′在点A的右边,说明审计报告的供需量增加了。
二、整合财务报告内部控制审计和财务报表审计可行性分析
注册会计师在执行审计业务的过程中必须保持超然的独立,客观公正地对审计对象发表意见。财务报表审计是最常见的审计业务,财务报表审计从两权分离开始发展到现在,已经趋于成熟。而财务报告内部控制审计是近期才兴起的业务,是指会计师事务所接受委托,对特定日期企业与财务报告相关的内部控制的有效性发表审计意见。虽然二者在范围、方法、程序等多个方面是有所区别的,但财务报告内部控制审计实质上是“脱胎”于财务报表审计的,二者在诸多方面是有共同之处的,因此财务报表审计的工作经验可以用于执行内部控制审计过程中。这样才能解决目前内部控制审计执行过程中的成本过高的问题。但是目前对整合审计的具体操作方法准则并没有明确规定,只是原则性的指导。二者的相通之处,正是整合的关键之处,全面深入了解这些联系,才能最大限度发挥整合审计的作用。
三、整合财务报告内部控制审计和财务报表审计实施
困境财务报告内部控制审计在职业判断力和专业胜任能力等各方面对注册会计师都有更高的要求。财务报告内部控制在表现形式上并非单纯的财务数据,而是具体的业务活动,是多个动态过程的集合。因此要对该过程予以审计,并实现预期的目标是有相当难度的。在财务报告内控审计中,会限制一些被强制执行的实质性程序,其原本在财务报表审计中对于应对重大错报风险起到实质作用的。在财务报告内部控制审计中可以执行的程序种类比较有限,所以对注册会计师的职业判断要求很高。例如,在编制审计计划时,由于公司财务报告内部控制与公司的具体经营性质、规模等方面都有极大的关系,格式化的审计计划在该业务上是行不通的,需要高度的具体问题具体分析,只能这样才有可能识别出财务报告内控中的重大缺陷。并且此后每次审计,注册会计师一般都要编制新的计划,因为内部控制或者内控的环境在这个过程中可能发生了变化。此外,依据《审计指引》规定,注册会计师需要对内部控制以及公司管理层编制的内控自评报告提供双保险的鉴证意见。虽然指引只要求注册会计师对与财务报告相关的内部控制的设计和执行情况进行审计,但是对那些可能存在重大缺陷的非财务报告内部控制,也要保持关注。对于相当领域的内部控制,如生产安全的内控、产品质量的内控等方面,多数情况下是在注册会计师知识、技能以及工作经验之外的,此时其他相关领域专家的配合鉴证就是必不可少。另外,有的控制从表面看来与财务报告无关,但细入分析,这些控制之间都有千丝万缕的联系。因此,指引的意见实质上加大了注册会计师的责任,要求其能够合理保证企业所有的内部控制的有效性。
四、整合财务报告内部控制审计和财务报表审计推进策略
(一)将财务报告内部控制审计和财务报表审计的计划整合
对于财务报告内部控制审计与财务报表审计,准则允许分而审之,也可以由一家会计师事务所审计。但是,《审计指引》建议将二者整合进行。从成本效益的原则,本文也建议应该由同一家事务所同时进行。因此,项目组成员在进行财务报表审计的同时,可以对财务报告内部控制予以并行审计。财务报表审计安排方面可细分为总体审计策略与具体审计计划的制定。财务报告内部控制审计中,根据对企业基本环境和情况的了解,制定审计计划,确定工作范围、审计的责任和资源的分配。对于上述两者,审计计划的制定都是首要的。同时在过程中,都被着重要求了对于被审计单位的行业状况、以及相关内控等重大事项的了解。在制定整合审计计划初期,注册会计师应就某些事项在内部控制与财务报表方面有无重大影响以及会以何种方式影响审计工作做出判断和评估。同时,在进行内部控制审计工作时,注册会计师还应重点识别、评估财务报表审计中的舞弊风险。因为被审计单位舞弊风险比较高的话,那么内部控制极有可能被舞弊所规避,而没有得到有效执行,这样可能导致内部控制的重大缺陷。风险导向的审计思想贯穿在审计计划之中。财务报表审计中,审计计划是一个贯穿审计过程始终的指导性思想,会随着注册会计师对被审计单位的了解而不断得到修正,如果项目组成员实施审计的过程中发现财务报表存在重大错报,注册会计师应当考虑其对内部控制的影响,决定是否需要修改审计计划。
(二)将财务报告内部控制审计和财务报表审计的过程
整合对于具体的风险评估程序,财务报表审计与财务报告内部控制审计在被审计单位内部控制的了解与评价方面是有明显差异的。注册会计师应当考虑在评估有可能引发财务报表错报风险时,深入了解企业内控整体风险,确认业务层面有关的流程和控制。并在此时对企业层面内控予以评价。与财务报表审计相同,在财务报告内部控制审计过程的始终都应当贯穿风险评估的理念及思路。在风险评估程序完成之后,财务报表审计要求注册会计师就被审计单位的内部控制予以初步评价。如果预期内控是有效的或者仅靠实质性程序不能获取认定层次充分适当的审计证据,那么注册会计师需进一步对其实施控制测试。财务报表审计过程中获取的有关控制执行状况的证据可以在内控审计方面予以进一步利用,但要对财务报告内部控制的有效性进行合理保证需要更加充分、适当的审计证据,因而单凭财务报表审计过程中控制测试期间所取得的证据是绝对不够的。注册会计师对内部控制进行进一步的审计也是非常必须的,进一步审计的过程可以在实质性程序之后实施。
(三)将财务报告内部控制审计和财务报表审计的结果
对此,信永中和董事长张克在接受本刊记者专访时表示,“客观原因在于这两年航运企业全面亏损,巨额亏损的后面又没有新的资金补充进来,导致企业的持续经营可能会发生问题,所以我们给它发表了这样一个意见。”
“出这样的意见,可以想象来自企业领导层的抗力能有多大。”张克表示,“这么大的一个企业,你对它的持续经营能力表示怀疑,企业跟你拼命的心都有。”企业持续经营的能力被质疑,就意味着后面的融资、贷款都会出现问题,企业可能难以从银行得到贷款,而本来的贷款也会被抓紧收回。“同样可以想象事务所出这样一个报告对自身的压力也很大,”张克表示,企业会和事务所在出具审计报告的意见类型甚至文字上,都要争论。“一个字、一个词都要争,可以说,双方都很辛苦,面对的压力都很大。”
专业立场占上风
实际上,如果稍加留意去年的内控审计报告结果,很容易就会发现,信永中和当时处在舆论漩涡中。
在2011年的内控审计报告中,信永中和就因对新华制药出具资本市场上唯一一份否定意见的审计报告,在业界引起巨大反响。
“当时我们是在资本市场上唯一一家出具了一份否定意见报告的事务所。”张克表示。
“当然,我们在出具否定报告的时候,肯定会有一些困惑。”张克回忆当初,“用一个词总结当时的体会,就是‘纠结’。到底这一步走还是不走,这个压力还是有的,但是最后还是坚持职业操守,最后是对专业立场的坚持占了上风。”
“事实上,企业整体在公司治理及内部控制方面有较好的基础,是一家历史悠久的大型国企。”张克强调,“当时发现其子公司对外赊销资金额度过大,导致发生大额损失,属于偶发事项,但该缺陷对财务报表有重大影响,按内部控制审计的相关标准应该认定为重大缺陷。”
“由于内控审计标准没有其他类别的内部控制审计报告类型可供选择,因此我们对该上市公司的内部控制出具了否定意见的审计报告。”张克表示,由此也可以看出目前关于内控审计报告方面存在的一个主要问题是,“现在内控审计有两个方向的极端化,或者出具无保留的意见,或者出具否定意见,而中间的标准是空白,让事务所选择的空间有限,中间过渡的余地很小。”所以,“如果企业在某一方面、某一点上出了问题,那可能也只能出一个否定意见,”张克强调,遇到这样的事实,企业肯定难以接受。
作为资本市场第一家被出具否定意见的企业,特别是还被媒体热炒的情况下,“企业肯定是不情愿地接受这个结果,当时企业承受的压力也非常大,”张克表示,“从感情上来讲,虽然不忍心,但最终还是选择据理力争吧。”
在这个事件中,有业内人士表示,出具了否定意见,算有勇气的行为,应肯定。“有理性的人都会肯定我们这个选择,”张克表示,“证监会和中注协的相关负责人当时也把这件事作为一个正面的事例,对我们的选择均表示了赞赏和肯定。”
在当时各种争议中,有资深市场人士表示,“这预示着以股市为代表的名利场正在去背景化,走向专业人士更多话语权的模式,以提倡律师写招股书、强制内控报告及首份否定意见书为先声的变局正在拉开。在各种改革的版本中,一个律师、会计师、审计师、评估师掌握话语权更大的社会和资本市场组织结构,具有优势。”
“公信力,是会计师这个行业立足之根本,”张克具体解释,通常关于独立、客观以及公正等职业上的操守要求,最终都会凝聚在机构的公信力上面。“实际上,会计师机构提供的是给大众服务的产品,它的阅读者是成千上万的投资者以及监管机构等部门,”所以它提供的就不能是一个有误导性的、扭曲的产品,每个环节都要精工细作。否则就会完全成为一个橡皮图章。”张克表示,只有在公信力提升后,话语权也会随之提升,反之,话语权的提升对公信力来说也是一种促进,两者相互约束,相辅相成。
“这是一个正循环,”张克表示,“这是对一个行业的理想,而在会计师行业目前仍旧参差不齐的现状下,我们只能独善其身。”
此次出具否定意见的数量由2011年的1份增加到4份,“总体上是好事情吧,”张克表示。
内控审计评价标准的缺陷
“相比以往,企业内控水平总体上是提升的,我们的感受还是比较真切的,”张克表示。不过,948份内部控制审计报告中,非标准内部控制审计报告只有22份,这个数字多少让业界觉得“是个笑话”,也愈发引起了对内控报告“流于形式”的担忧。
事实上,内控本身是循序渐进、包涵很多层次的,在张克看来,目前内控审计的报告类型,已不太适合内控实践。“和财务审计报告中有明确的数字概念不同,内控本身更像平滑的曲线”,张克介绍道,“10个企业会有10个内控不同的程度,不能贸然认定哪一个是好的或坏的。也就是说,‘度’的问题不好拿捏,而现有的规范并没有给出一个足够的空间去评价企业不同层次的内控。”
“难道出了无保留意见企业的内控都做到完美无缺了吗?”张克提出了这样的一个问题。在他看来,没有一个企业能够保证其内控完美无缺、万无一失。“内控如果是用一种级别评价或者说状况评价,也许会更合适。”
张克建议,比如可以把内控的评价分为“优、良、中、差”,“甲、乙、丙、丁”或者“A、B、C、D、E”,这样出具报告也许会变得相对容易一些,除了可以更客观地反映一些企业内控的情况外,报告阅读者也可以得到一个很直观的概念。“现在对事务所来说,选择项太少了,所以如果企业不发生重大缺陷,大体上合规,就会全部得到‘无保留’的内控意见,但实际上,这些企业彼此也是有很大的层级差的。”
“从最新的结果可以看出,900多份报告都是无保留意见的,但在这900份里面,做得好的与做得一般的实际上差距是很明显的,而现在的内控报告并没有体现出这个情况来。即便按照现有的内控标准达到合格,很多也都是勉强合格或者说不太合格,只是在现有的报告类型的趋势下,变成合格的了。”
具体来讲,这样分级的一个更大的好处是可以有效地促进企业提升内控水平。比如一家企业今年获得了C级,那么明年就可能会争取成为B级或A级的内控报告。而如果按照现有的标准,900多个合格企业中,难以看出前100名和后100名的区别。“这样,后100名很容易就会不思进取。”
此外,对企业和内控的关系上,张克也有他独特的看法。在他看来,从本质上说,内控应该是企业发展到一定阶段、一定规模后的一种内在需要。“内控需要在所有企业都存在,但并不是所有规模的企业都需要去建立内控标准或者内控系统。”
内控建设耗时长,投入也比较大。“比如一个10个人、20个人的企业,就没有进行系统性的内控建设的硬性需要。所有的事情都尽在眼前,所有发生的事情老板都知道,他就不需要去建立一个内控系统。”
关键词:审计报告;内部控制;鉴证报告
中图分类号:F239.41文献标识码:A文章编号:16723198(2009)21017201
企业内部控制基本规范的颁布确立了我国企业建立和实施内部控制的基础框架,并取得了重大突破。该规范开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制。而内部控制鉴证报告这一内部控制信息披露的重要方式,由注册会计师作为外部独立第三方单独出具,已成为具有代表性比较权威的方式之一。
在我国内部控制制度研究起步较晚,从l996年末中注协《内部控制与审计风险》以来,陆续了基本规范、货币资金、工程项目等l0个控制规范(含试行);中国证券监督管理委员会于2001年了《证券公司内部控制指引》;国有资产监督管理委员会于2004年了《中央企业发展战略和规范管理办法》;上海证券交易所于2005年了《上市公司内部控制制度指引》等等。但在内部控制信息披露的过程中,并没有取得预期的效果。2008年6月28日,财政部、证监会、审计署、银监会、保监会五部门联合的《企业内部控制基本规范》,该基本规范科学界定了内部控制的内涵,提出了企业建立与实施有效内部控制的要素,同时要求执行该规范的上市公司应当对公司内部控制有效性进行自我评价,披露年度自我评价报告,可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计,出具审计报告(这里的审计报告实际上是内部控制鉴证报告)等等。企业内控基本规范的颁布体现出我国对企业内控的重视,从而内控鉴证报告的重要性也随之提升。这也意味着内部控制的有效性审计将作为一种常态出现在上市公司的年报中。此规范的出台可以说是我国企业内部控制规范体系建设道路上了一个新的里程碑。
但是与审计报告相比,两者既有相同之处又有差异,在具体工作中有一定程度的相互借鉴。在我国审计报告的发展相对比较成熟,国家也颁布了《注册会计师审计准则》进行了具体规范与约束。而内部控制鉴证是审计范围发展的提升,也是审计的一种。因此,在就内部控制鉴证出具鉴证报告时,应该考虑到它也是审计报告的一种,但是并非与审计报告完全相同,它们二者之间既有区别又有联系。
1 内部控制鉴证报告与审计报告的相同之处
收件人二者的收件人均为审计业务的委托人。
报告日期二者均规定报告日期是注册会计师完成外勤审计或鉴证的日期。
使用的专业术语二者均规定在引言段或范围段使用“审计(鉴证)了……”的专业术语,借以表明CPA签发的审计(或鉴证)报告不是复核或编表报告,而是一种保证程度极高的报告;在意见段使用“我们认为”、“在所有(或全部)重要方面均公允地反映……”等专业术语,以说明审计意见不是对事实的绝对保证。
审计(或鉴证)意见类型的规定二者均规定有四种意见类型.即无保留意见、保留意见、否定意见和拒绝表示意见。
签章的规定相同二者均要求由CPA签名、盖章,加盖会计师事务所公章,并标明会计师事务所的地址。
保证程度相同二者内部控制鉴证报告是审计报告的一种,都是注册会计师依据相关法规在执行了相关的审计程序或鉴证程序后所作出的一种合理保证。
除上述的形式方面的相同外,在审计过程中对内部控制了解的深度方面也具有一定的相同之处,二者均需了解与财务报告相关的内部控制,甚至某些时候审计报告就已经有了对内控鉴证的评价。另外,在对内部控制鉴证和财务报表合并出具审计报告时,二者也存在一定的相同之处。
2 内部控制鉴证报告与审计报告的差异分析
2.1 两者目标不同
内部控制鉴证报告的目标是一种合理保证,至少应包括以下几个方面:(1)对公司内部控制设计合理性及运行有效性作出准确评价;(2)内部控制与公司的现实发展阶段、所在行业要求的匹配程度作出准确评价;(3)合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守。而审计报告的目标是注册会计师通过执行审计工作,对财务报告的下列方面发表审计意见:(1)财务报表是否按照适用的会计准则和相关会计制度的规定编制;(2)财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。
2.2 两者的鉴证程序不同
鉴证程序不同鉴证程序主要有五个步骤: 1.了解企业的内部控制情况,并做出相应的记录。 2.初步评价内部控制的健全性。 3.实施控制测试程序,证实有关内部控制的设计和执行的效果。4.评价内部控制的强弱,评价控制风险,确定在内部控制薄弱的领域扩展审计程序,制定出实质性审计方案。5.撰写内部控制鉴证报告。
审计程序主要有四个步骤: 1.制定审计计划 2.实施风险评估程序; 3.实施控制测试和实质性程序 4.完成审计工作和编制审计报告。
2.3 两者的划分界限不同
内部控制鉴证报告虽然与审计报告的意见类型相似,但是划分的界限确截然不同。审计强调的是重大影响,而内部控制鉴证则强调的是重大缺陷。缺陷的严重性的标准:(1)公司的控制没有防止或发现一个账户余额或披露的错报是否存在合理可能性;(2)由这个缺陷或多个缺陷导致的潜在错报的大小。存在重大缺陷的迹象包括:(1)识别出与高级管理层有关的舞弊,无论重大与否;(2)为反映对一个重大错报的更正而重述以前的财务报表;(3)注册会计师识别出了当期财务报表中的一个重大错报,而当期的情形表明公司财务报告内部控制没有发现该项错报;(4)相关的监管部门对公司的对外财务报告和财务报告内部控制的监督无效。在评价一个缺陷或多个缺陷的联合的严重性时,注册会计师还应当确定细节的水平和保证程度,如果注册会计师确定,一个缺陷或多个缺陷的联合使谨慎的工作人员在处理其事物时不能断定他们合理保证对交易进行了必要的记录以允许按照企业会计准则和相关会计制度编制财务报表,那么,注册会计师也应当将这个缺陷或多个缺陷的联合视为重大缺陷的一个迹象。
2.4 两者的形式不同
内部控制鉴证报告有两种出具形式:(1)以独立报告的形式单独出具;(2)与审计报告合并出具;而审计报告只能以独立报告的形式单独出具 。
2.5 基本内容不同
内部控制鉴证报告的基本内容的固有限制段包括以下内容:(1)内部控制的固有限制;(2)根据内部控制评价结果推测未来内部控制有效性的风险。而审计报告则不存在这一内容。
在我国内部控制鉴证是审计领域的新兴课题,有许多的问题尚未解决。内部控制鉴证报告是内部控制鉴证的重要组成部分,其作用也在日益凸显,它可以为利益相关者提供增值信息,从而更有利于投资者做出决策;可以引起企业管理当局对内部控制的重视,进而提升内部控制水平;可以在一定程度上减少审计风险。通过对内部控制鉴证报告与审计报告的比较,我们可以看出两者的差异之处及不足之处。为此,在对内部控制鉴证报告进行研究时,可以适当借鉴审计报告的可取之处,从而促进内部控制鉴证报告的不断发展,不断完善。
参考文献
[1]李春慧.内部控制系统的要素分析[J].商业会计,2008,(12):3940.
[2]彭媛媛.中西方内部控制信息披露的比较与思考[J].审计与理财,2008,(9):5758.
[3]贺密柱.内部控制理论演进的中外比较及思考[J].财会通讯,2008,(1):101103.
[4]王梅,吴昊昊.会计、审计与内部控制发展历程[J].全国商情:经济理论研究,2007,(7):8586.
1规范体系对山东上市公司内控的影响
1.1对目标定位的影响基本规范对内控目标进行了定位,在一定程度上改变了以往目标定位过低的问题.通过对山东省上市公司的分析,我们发现这种目标的转变也在企业中循序推进,正在向着更高的层次发展.从表2可以看出,自规范体系出台以来,越来越多的公司根据规定,提高内控的目标定位,将内控融入到企业的发展战略中.2012年和2013年,企业披露的内控目标迅速提升,尤其是到2013年,多数公司的目标设定已经与基本规范相一致.但由于规范并没有对企业的内控目标的设定作出强制性要求,而且规范体系的实施范围也尚未扩展到中小版和创业板上市公司,尚有部分公司不能对内控明确定位,限制了其作用的发挥.
1.2对内控建设的影响
1.2.1内部环境良好的内部环境是企业进行有效内控建设的基础.基本规范对企业的治理结构、文化建设、员工素质的培养等都做出了相应的规定.从年报等信息看,2010年,山东上市公司都已按照要求建立了较为完整的内控组织结构,“三会一层”分工有别,只有少数公司在2010年因内部治理结构运作不规范而被责令整改.近几年各公司也在不断加强内部环境建设,完善公司治理结构,加强审计委员会对内控的审查和监督工作.从表3可以看出,山东省上市公司基本都设立了审计委员会.在2010年年报和内控自我评价报告中仅有两家公司明确披露尚未设立审计委员会,另有两家公司未披露其审计委员会的设立情况.2013年全部的山东上市公司均已明确设立内部审计委员会,对内控工作进行部署和监控.
1.2.2风险评估风险评估的结果会被运用到控制活动中,直接影响企业的控制措施.基本规范要求企业结合实际情况开展风险评估,识别内外部风险并进行有效控制.根据内控评价报告,山东省很多上市公司都规定了关键部门要落实风险评估与管理工作,组织风险分析,建立风险预警机制和处理预案,多数公司认为自身建立了较为完善的风险评估制度.2010到2012年,披露风险评估工作开展情况的公司数量和所占比例不断提高,披露的详细程度也有所增强,并开始对企业风险评估方法等内容进行专门培训.2013年,内控评价报告的内容发生变化,对内控要素的披露减少,对风险评估情况进行单独披露的公司数也相应减少,但有更多的公司在整体情况中对评估出的主要风险进行了说明.从数据对比中可以看出,山东省上市公司的风险管理意识正不断增强,对风险评估的披露工作也在持续完善.但同时也应看到,由于评价指引在内控建设的具体内容方面仅要求披露内控评价工作的总体情况,并没有对风险评估等具体要素的披露作出详细的要求,因此很多公司还存在对之认识不足,披露不详的问题.
1.2.3控制活动控制活动是内控的核心,基本规范要求企业采取措施进行风险控制,并明确了控制措施的一般内容.多数公司在报告信息中详细介绍了其各环节控制制度的建立和控制活动的开展情况,由于企业业务活动和面临环境的不同,各公司的内控活动差异较大,统计效果不明显,对该部分内容没有找到较好的统计原则来进行统计.但从报告信息可以看出山东省上市公司这几年都加强了内控活动,针对主要风险点采取了控制活动,在财务、产销、投筹资等方面完善制度,加强控制和管理.
1.2.4信息与沟通信息的沟通与共享对企业十分重要,基本规范要求企业运用现代技术加强信息的共享,确保信息及时沟通.山东多数上市公司采用了计算机信息技术,提高信息共享的效率,并制定电子信息系统控制制度,加大会计信息系统的开发与维护,确保信息安全.表5表示在内控评价报告中明确披露电子信息系统建立和信息系统安全控制情况的山东上市公司.数据表明,2010~2012年,将电子信息系统安全控制作为一项重要的控制程序进行披露的公司数不断增多,说明随着应用指引—信息系统的出台,信息系统的建立与维护,信息系统的安全问题受到更多的重视.同风险评估的披露情况一样,随着公司披露的内控评价报告内容的变化,2013年对信息系统建立和安全控制情况进行具体披露的公司数也有所减少,但大部分公司在整体情况中明确表示将信息系统纳入重点评价的业务范围.
1.2.5内部监督设立独立的内控监督部门并充分发挥其职责,是内控制度实施的可靠保证.规范体系规定企业要制定内控监督制度,对内控有效性进行自我评价.评价指引要求上市公司制定本企业的内控缺陷认定标准并进行披露,从表中可以看出,2010~2012年很少有公司在评价报告中披露缺陷认定标准,随着2012年内控规范体系在主板上市公司中的全面实施,制定并披露本企业的内控缺陷认定标准的公司数迅速增多,2013年内控缺陷认定标准成为评价报告的一项重要内容,绝大多数公司在报告中对本企业的定性和定量标准进行了详细说明除了内控审计部门的监督,独立董事、监事会等部门也对自我评价报告发表了意见,但缺乏实质性建议的情况并没有得到改善,这与我国规范中对一些监督制度主要强调其存在性,却忽略了实质效果有一定关系.
1.3对内控评价情况披露的影响
1.3.1内部评价评价指引要求企业根据其内控实际情况,制定具体的内控评价办法并进行披露.2010到2013年,大多数山东省上市公司都对企业的内控情况进行了评价,并以各种形式披露了评价报告和内控存在的缺陷.报告方式逐渐从以前的在年度报告中显示变为披露单独的内控评价报告,使信息披露更加详尽.从图1可以看出,在数量上,山东省单独披露自评报告的上市公司数在不断增多,从占当年上市公司总数的比例看,每年都有明显的增长.这与内控规范体系在我国实施的时间吻合,是受到了国家政策的影响.
1.3.2外部评价2012年8月,财政部通知要求上市公司分批在披露年报的同时,披露内部控制自我评价报告及内部控制审计报告,这意味着上市公司除了要对内控进行自我评价外还需要聘请注册会计师对其进行外部评价并出具报告。72010~2013山东上市公司披露的外部内控评价报告,无论是在数量上还是在占当年上市公司总数的比例上都在逐步提升,说明政策的导向给企业的内控活动带来很大的推动作用,企业内控的外部评价不断完善.外部评价报告的形式和规范程度也在发生变化.2010年和2011年以在年报的审计过程中出具的内控鉴证报告为主,仅供当年年报披露所用.2012~2013年正式的内控审计报告迅速增多,成为主体.审计报告不仅形式更加规范,内容的深度与广度也要高于普通的鉴证报告.这说明规范体系的实施也促进了山东上市公司内控外部审计报告的规范性建设.
2对策与建议
随着面临的环境越来越复杂,企业对内控标准也提出了更高要求,根据山东上市公司在实施内控规范过程中存在的问题,可以对我国内控规范和企业内控的建设提出一些建议.(1)注重内控的效率与实质性效果在山东上市公司内控规范实施的过程中存在一些只注重表面制度的建立,达不到实质控制的现象.从规范要求和企业的实例中可以看出,我国目前的内控体系在一些方面仅强调了制度的建立和存在性,却忽略了对这些制度实质性效果的要求,也在无形中降低了内控建设的工作效率.因此,我国必须总结实施过程中出现的问题,更加注重规范的实用性和灵活性,更好地引导企业的内控建设.(2)加强对内控信息披露的要求与监控我国虽然制定了企业内控的评价指引,但其中对内控信息披露的程序与内容的要求较为笼统,尤其是没有对内控要素的建设情况作出具体披露要求,仅要求披露内控评价工作的总体情况.从山东上市公司的情况看,各企业对内控建设情况披露的详细程度不一,部分上市公司在自我评价报告中对内控要素的披露信息较少,不能充分显示其内控工作的建设情况.这就要求我国应进一步完善内控信息披露程序,加强对内控建设情况披露的要求与监督.(3)提高规范体系的执行力度,继续扩展规范的实施范围从山东上市公司对规范体系的执行情况来看,由于其实施的历程较短,且强制实施的范围有限,尚有很多上市公司对其中的一些要求认识不足,没能及时调整企业的内控目标,完善内控建设,甚至还有一些企业没有及时公开披露其内控自我评价报告,因此,在实施规范体系的过程中,我国还需要继续加大规范体系的执行力度,扩展规范的实施范围.(4)加强企业文化和制度建设,减少舞弊空间从山东上市公司的内控报告情况看,企业较少披露反欺诈和舞弊的相关内容.我国企业的内控建设中对反欺诈相关内容重视程度较低,规范应加强对反欺诈内容的强调,使得企业更加关注舞弊风险.企业也应一方面从文化建设着手,以遵从诚信和道德价值观念为原则,降低舞弊发生的机会;另一方面,增强内部审计的独立性,从制度上预防舞弊.
3结束语
一、2013和2014年上市公司内部控制缺陷披露情况
我国企业内部控制规范体系包括《企业内部控制基本规范》及其配套指引,该体系自2011年开始逐步在上市公司推广,财政部、证监会2012年了《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》,全面部署内控规范体系实施的时间表,2012年在国有控股主板上市公司实行,2013年扩大到一定规模的国有控股主板上市公司,到2014年,除特殊情况外,主板上市公司应全部执行该规范体系,“在披露2014年公司年报的同时,披露董事会对公司内部控制的自我评价报告和注册会计师出具的财务报告内部控制审计报告。”在内部控制规范体系积极推进的过程中,上市公司提供了很多内部控制实践经验,也反映出很多值得探讨的问题。
笔者根据最近两年即2013和2014年的上市公司公开披露的年度内部控制评价报告、内部控制审计报告,以及财政部、证监会联合山东财经大学的《我国上市公司2013年实施企业内部控制规范体系情况分析报告》,中注协网站的2013年、2014年年报审计情况,通过归纳总结,发现在关联交易、内部审计、资金管理、赊销管理、会计确认方面出现内部控制缺陷的上市公司较多,见表1。
上表中列示了内部控制缺陷出现较多的方面,对应的上市公司证券名称、公司数量、出现该种内部控制缺陷的公司占所有披露内部控制缺陷的公司数量的比重,2013年和2014年所有披露内部控制缺陷的沪深两市上市公司分别为45家和49家。在上述5类内部控制缺陷中,其中“会计确认”由于不同公司业务性质的多样性,会计确认具体原则、条件会因每种业务不同而不同,需要具体情况具体分析,因此本文仅分析关联交易、内部审计、资金管理、赊销管理这四个方面的内部控制缺陷。另外,以下分析中用证券简称(2013)如上海家化(2013)代表2013年上海家化公司的内部控制情况,用证券简称(2014)代表2014年该公司的内部控制情况。
其实,对内部控制缺陷进行分类并对其进行分析,不仅对上市公司今后的内部控制完善有益,而且这些缺陷很可能也是大量的非上市公司存在的问题,因而非上市公司也应很好的借鉴上市公司的内部控制实施中的经验教训,使公司管理不断走向正规化。
二、主要内部控制缺陷分析
(一)关联交易管理
1.内部控制缺陷
上市公司中的关联方交易十分普遍,包括相互采购、销售、资金占用、提供担保等各种形式。关联方之间由于利益关系的存在,其交易的真实性、公允性受到外部投资者的格外关注。我国《企业会计准则第36号――关联方披露》中规定:“企业财务报表中应当披露所有关联方关系及其交易的相关信息。”这些相关信息主要包括发生关联交易的双方公司的名称、关联关系、交易的性质、金额、定价政策等。而根据《上市公司信息披露管理办法》,上市公司通过隐瞒关联关系或采取其他手段,规避信息披露、报告义务的,中国证监会按照《证券法》相关规定进行处罚。
2013年和2014年上市公司年度内部控制审计报告中,关联方和关联交易的识别、审批和披露问题比较突出,例如上海家化(2013),大有能源(2013)、深圳机场(2013)、四川双马(2013)、柳钢股份(2014)都存在未及时正确的识别出关联方及关联方交易,未及时披露的问题。多伦股份(2014)关联方之间的重大资金支付未履行审批程序,也未签署相关合同或协议。这些都反映出公司存在内部控制缺陷,即缺乏主动识别、获取及确认关联方信息的内部控制机制。
2.原因分析
(1)某些上市公司不能正确识别出关联方有主观和客观两方面原因。从主观原因看,上市公司有粉饰财务报表,或者为大股东、管理层等个别利益团体谋取利益从而损害其他利益相关者的可能。少数利益团体可能利用没有业务实质的关联方交易来转移资金,或者通过关联方销售、采购粉饰财务报表,对其他利益相关者造成损害。从客观原因看,虽然对于关联方的识别,即哪些公司和个人属于关联方的范畴,应如何披露,在《企业会计准则》、《上市公司信息披露管理办法》中有具体的规定,但是每个公司不同的特殊的经济业务和可能形成的间接关联关系有时相当复杂,相关法规无法穷举所有可能的情形。例如上述法规条文在列举了部分关联方情形之后,规定关联方“包括中国证监会、证券交易所或者上市公司根据实质重于形式的原则认定的其他与上市公司有特殊关系,可能或者已经造成上市公司对其利益倾斜的法人和自然人。”因此上市公司正确及时识别关联方并不是件易事,例如上海家化退休职工管理委员会与沪江日化厂之间的采购销售业务形成上海家化的关联方交易,而上海家化未能及时识别并披露。
(2)关联方之间的资金往来,有些有交易实质,有些是资金占用或提供担保,而资金占用和提供担保更容易存在审批程序缺失,合同签署程序缺失的内部控制缺陷。存在这类内控缺陷一是由于某些上市公司存在将募集资金不当转移的情况,另一方面,关联方之间的资金拆借、担保对于集团公司来说似乎是解决资金短缺,以低成本融通资金的有效方式,但是,由于关联方之间的密切关系,公司很可能忽视了审批、签合同这种内部控制。实践中也有很多公司虽然与关联方签了合同或协议,也没有按照法规规定严格履行关联交易的审议程序以及回避表决制度,如果没有合理的资金管控,很可能给公司带来财务风险,损害外部投资者的利益。
(二)内部监督
1.内部控制缺陷
我国《企业内部控制基本规范》中规定“企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。”“明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。”
2013年和2014年上市公司年度内部控制审计报告中反映了某些公司的内部监督独立性和有效性缺乏,例如亚星化学(2013)、中房地产(2013)的内部审计机构的独立性不足,没有完全独立于管理层,存在职责不清等问题。上海新梅(2014)内部审计部门不能对其整体内部控制做出有效的评价和监督。而ST生化(2014)甚至未设立内部审计机构。
2.原因分析
内部审计机构的设立和独立有效的开展工作是企业内部控制的一项重要措施,对企业的内部监督应该发挥重要作用。但是内部审计的独立性不足的现象即使在上市公司也仍然存在。这种独立性的不足一是表现在组织架构中,比如中房地产2013年内部控制审计报告中披露“公司内部审计工作由风险控制部负责,根据公司组织架构,风险控制部未完全独立于管理层,未受董事会下属审计委员会或监事会的直接监管。”内部审计部门不独立就必然形同虚设,不能起到监督的作用。组织架构属于企业的内部控制环境,整体环境的内部控制缺陷会影响整个财务报告信息的可靠性,也反映了公司高层对内部控制建设的态度。二是表现在内部审计部门不能发挥应有的作用,无法对企业经营进行有效监督。通过对公司内部的检查,能够防止、发现并纠正错误,预防风险,改进内部控制,完善企业生产经营,形成内部审计报告并提出有价值的管理建议,这样的内部审计工作才是有效的。某些企业的内审部门由于人员的专业素质、高层重视程度等原因不能形成规范严格的内审制度。如中房地产2013年内部控制审计报告中披露“内部审计人员配备不足,人员配备无法满足监督工作需要,公司内部审计工作归口于风险控制部管理,风险控制部还兼任法务工作,目前风险控制部门人员两名,两名职员全部是法律专业。内部审计机构对内部控制的监督缺乏有效性”。
(三)资金管理
1.内部控制缺陷
我国《企业内部控制应用指引》中对资金活动的管理提供规范指引,包括筹资、投资和营运资金管理。由于资金是公司十分重要同时也是高风险的资产,因此在控制活动层面,对资金的控制措施是否完善,是判断内部控制是否良好的一个基本方面。
但是在2013和2014年上市公司年度内部控制审计报告中却显示某些上市公司在资金的支付,银行存款余额调节表的编制等方面存在内控缺陷。例如五洲交通(2013)、ST博元(2014)、山水文化(2014)都存在资金支付无相应权限人员授权审批的情况,山水文化(2014)向交通银行股份有限公司青岛分行申请借款,内部无审批流程和手续,财务部门未及时入账。该笔借款支出时,未履行相应的审批程序,亦未按照借款合同约定的用途使用。南宁糖业(2013)存在现金支票和支票密码都为出纳一人保管的情况。京城机电(2013)的银行存款余额调节表无相应权限人员审核,ST国创(2014)存在部分银行账户未纳入财务报表,部分银行账户虽纳入财务报表但未编制余额调节表的情况。
2.原因分析
(1)资金支付的授权审批是公司内部控制的一项基本措施,这项内控缺陷反映出公司内部控制的薄弱。授权首先要做到职责分离,如执行资金支付的出纳和付款审批单上的批准者,以及进行账务处理的会计人员应没有缺位,互相监督,形成牵制。审批要做到根据权限履行审批职责,清楚知悉所审批的事项,并承担相应的责任。此项内控缺陷发生在高风险的资金领域,不排除公司人员存在舞弊的可能。
(2)银行存款余额调节表是否编制,是否有相应权限人员审核也是内部控制的一项基本措施。但是在企业实践中,银行存款余额调节表较多地存在三类问题,一是某些发生业务较少的银行账户不编制调节表,二是调节表没有人员审核,三是出纳编制调节表,且无人审核。这项内控缺陷可能源于高层人员忽视了编制调节表起到的监控作用。但实际上利用银行存款余额调节表掩盖挪用贪污公款的舞弊现象时有发生。如果能够真正做到会计编制调节表,财务主管认真审核,资金发生被盗、挪用的风险就会大大降低。
(四)赊销管理
1.内部控制缺陷
我国《企业内部控制应用指引》中对赊销应采取的内控措施提供了指导,“企业应当健全客户信用档案,关注重要客户资信变动情况,采取有效措施,防范信用风险。”“企业应当指定专人通过函证等方式,定期与客户核对应收账款、应收票据、预收账款等往来款项。”“企业应当加强应收款项坏账的管理。应收款项全部或部分无法收回的,应当查明原因,明确责任,并严格履行审批程序,按照国家统一的会计准则制度进行处理。”赊销的内部控制关系公司的销售业绩和资金回笼,对企业的经营业绩、现金流量和持续经营都有重要影响。
但在2013年和2014年上市公司年度内部控制审计报告中,此项内部控制发生缺陷的情况较多。例如冀东水泥(2013)的部分子公司与客户签订现款合同,但是实际执行中,却对客户实行赊销,且未补充任何审批手续的情况。西部矿业(2013)未完整履行授权审批程序即对部分客户进行授信并赊销销售。ST博元(2014)没有对客户引入赊销审批制度,无对客户资信等级进行评估的制度。安泰集团(2014)在客户未能按照约定按时支付销售价款的情况下,仍向客户销售货物,形成大额应收账款。皖江物流(2014)的子公司淮矿物流公司出现重大信用风险事项,对客户债权未能采取有效措施,出现重大坏账风险。ST博元(2014)没有严格执行每月与客户对账的制度。ST国创(2014)未制定对账制度,对应收账款、其他应收等往来科目未定期与对方公司核对。这些反映出公司在客户资信评估、应收账款管理等方面的内部控制存在缺陷。
2.原因分析
赊销对企业有两方面影响,一方面能扩大销售,增加利润,但另一方面赊销容易形成坏账,资金的回收需要企业进行有效的管理。如果一味追求销售业绩,对赊销业务管理不善,甚至会影响企业的持续经营,2000年的郑百文申请破产事件就是例证。在2013年和2014年上市公司年度内部控制审计报告中反映出的赊销内部控制问题主要有两类,一类是赊销审批程序缺失,另一类是无定期对账程序。