内部控制自我评价

2019-03-17

  怎样写内控自我评价?

  一般情况下,根据自我评价报告内容和内控体系实际建设情况,外部审计机构对于企业的内部控制体系会出具三种意见的某一种:

  达到内控要求:同意评价报告意见;

  有重大缺陷:否定意见;

  有范围限制:撤消业务约定,或无法表示意见。

  上述意见并非仅凭借企业出具的自我评价报告,还需要依据:

  内部控制文档(内控管理手册+管理制度汇编目录);

  内控控制程序相关审计结果(如果有);

  内控控制程序测试结果;

  实质性业务活动过程文件;

  企业内部评估自查结果(如果有)。

  问询会是一种方式,但不作为审计底稿的依据。因此,一份内控自我评价报告的意义确实没有多大,虽然是自我评估的表达,但能否让外部审计机构接受,他们信还是不信需要有其他依据的。如果实际的内控体系只是一套文件,外部审计机构很难出具第一种意见,如果真出具了,对于广大的中小投资者也是很不负责任的行为。

  如果一个企业在内部控制体系建设过程中确实建立了标准和规范并予以实施,那在撰写内控自我评价报告的时候可以有所侧重。常规意义上,一份标准的内控自我评价报告包括(不同企业根据实际情况有所删减或强调):

  内控整体情况综述(包括对整体内控情况评述、组织机构、制度建设和内控职能部门建立和运行情况的描述);

  内部控制有效性评估(包括经营环境控制情况评述,重点内部控制活动和重点业务活动内部控制情况描述,问题及整改计划以及综合评价)

  内容不复杂,主要是针对报告期间(一般是1.1-12.31)内部控制建设情况及内部控制体系应用的有效性进行自我评估。做的好企业,在撰写自我评价报告前,会考虑通过内部审计部门或由内控职能部门主导完成企业内部控制的自我评估检查。同时,对于集团型企业来说还是检查和评价各分支机构内控执行情况,并进行评价和绩效考核的方法。整体情况评价是看企业在报告期间内有否出现重大风险,是否进行了重大调整,对于调整部分内部控制是如何做的。对于业务活动部分,除了结合企业内部控制应用规范中要求逐一检查的内容外,主要是针对企业内控管理手册中各个控制点的控制情况进行了解并挑出确实卓有成效的部分进行详细描述。无论怎样,内控的意义是防止出现重大管理问题,督促企业进行规范运作,如果报告期间内企业已经出现了重大问题,内控评价报告怎样写都无法得到外审出具的第一种意见。

  正如,重视风险管理和内部控制的企业会将内部控制作为规范企业运作和防范风险的手段,不重视的企业,会将内控做成只有一纸文书的应付差事。即使企业什么都没做,写出内控自我评价报告也是完全可能的,毕竟没有企业是没有任何规章制度规范,在完全失控的状态去管理的。

  公司内部控制自我评价

  在以企业为纽带的博弈各方中,内部控制自我评价和审计师对内控的鉴证能够释放企业内部控制有效性的信息,使得投资者得以对管理层内部控制行动和自身的投资风险做出判断。XX年沪深两个交易所分别颁布了针对上市公司的《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,本文主要对沪市862家通过指定报纸和网站披露了XX年度报告的上市公司其内部控制自我评价情况进行统计,分析内部控制自我评价产生的效果和存在的问题,并提出针对性建议。本文分为四个部分:第一部分阐述评价依据,第二、三部分通过对披露内控自我评价的公司和未披露内控自我评价的公司从四个维度进行数据分析,分析内控自我评价的效果及存在的问题,最后一部分提出相应建议。

  一、评价依据

  内部控制自我评价是由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证程度。尽管XX年报披露内部控制自我评价报告和审计师审计报告时统一的内部控制基本规范尚未出台,但无论是财政部XX年颁布的《内部会计控制基本规范》,还是上海证券交易所的《上市公司内部控制指引》,遵循法律法规和企业内部公司章程及董事会议事规则等内部制度、合法授权使用和处置资产、财务报告及相关信息真实可靠都是内部控制要求达到的基本目标。因此,披露内部控制自我评价报告的公司,大都将财政部的《内部会计控制基本规范》,或是上海证券交易所的《上市公司内部控制指引》作为评价的依据。

  二、数据分析

  对包括投资者在内的企业外界各利益相关者而言,披露内部控制自我评价的信息是了解企业公司治理与管理规范化程度、企业抗风险能力,增强投资者信心的措施;对企业管理层而言,内部控制自我评价过程,能够使企业通过检测和反省内部控制设计与运行来持续提高内控系统与控制环境的藕合度,不断消除内部控制缺陷,增强企业抗风险的能力、消除不利于内控目标实现的不确定性因素。

  按照《内部会计控制基本规范》和《上市公司内部控制指引》,一个内部控制系统有效运行的企业,至少要做到企业经营中严格执行国家的法律法规和公司章程等内部规章、按合理的授权使用和处置资产、严格按会计准则和上市公司信息披露要求对外提供真实可靠的财务报表。已披露内部控制自我评价的企业在内控自我评价过程中应该能够基于上述三个目标识别和认定内部控制的设计风险、运行风险以及设计或运行无效而导致错误或舞弊的风险,从而为上述三个目标的实现提供合理保证。尽管完善的内部控制系统能同时为实现包括战略实施、管理效率与效果在内的五个目标提供合理保证,但证券监管机构和交易所的监管、注册会计师的财务报表审计基本上是基于上述三个目标进行的。有效的内控系统应该能够规避不利于上述目标实现的因素。因此,我们将上市公司未受到证监会的处罚和交易所的谴责、对外发布的财务报表未出现会计差错、财务报告审计意见为标准无保留意见作为衡量内部控制质量的指标。

  三、存在的问题

  根据我们对沪市862家上市公司XX年报中内部控制信息披露状况的统计分析,可以发现,自愿披露内部控制自我评估报告的公司虽然比XX年有所提高,但占比仍然比较低,上市公司主动披露内部控制自我评价的意愿不强。但将披露自我评估报告与未披露自我评估报告的公司进行对比,我们发现,两类公司在财务报告的可靠性、资金管理与资产使用的合规性、经营合法性方面均有显著不同。我们的统计数据表明,就以上三个内部控制目标而言,披露自我评估报告的公司其内部控制有效性更强。

  尽管内部控制自我评价能够大大提高内控有效性,但上市公司披露内控自我评价报告的公司数量却很少、比例很低,我们认为,原因可能有以下几个:

  1.评价依据缺乏统一性

  从理论上讲,企业内部控制自我评价要围绕五大目标进行,分别评价其设计有效性和执行有效性。但是,以五大目标、五大要素为核心内容的标准版的内部控制框架《企业内部控制基本规范》XX年5月颁布且于XX年7月1日起实施。尽管XX年沪深两市分别出台的《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》存在着导向和详细程度的差别,但都要求上市公司按照有关规定建立内部控制系统[1]。在此之前的内控有关规定有国务院国资委颁布的《中央企业全面风险管理指引》、银监会颁布的《商业银行内部控制指引》、证监会颁布的《证券公司内部控制指引》、财政部颁布的《内部会计控制基本规范》等。这些法规的执行范围相互交叉,法规的内容相互联系但又不完全相同,同一个公司可能同时适用不只一个内部控制规范。政出多门给上市公司传递这样一种信息:内部控制自我评价是上市公司努力的方向,但企业目前并不具备按具有高度认同感的框架进行内部控制自我评价的政策环境。这种认识上的困扰以及政策缺位势必转换为执行过程中的阻力,在对公司内部控制进行评价时缺乏统一的评价依据,难以出具评估报告。

  2.自我评价意识不强

  从内部控制的制度环境来看,截止XX年为止,我国对上市公司内部控制自我评估报告的披露仍是以鼓励为主,并不是强制性的要求。强制性规定与鼓励性要求对披露主体的约束类似于法律和道德对人的约束,强制性规定是基本的要求,是“底线”,跌破底线将承担的违约成本较高,具体体现为来自于监管部门的处罚甚至法律的制裁,以及由此引发的来自于证券市场的负面影响;而鼓励性要求属于“较高”层次的要求,未达到要求并不会有来自于法规强制性的制裁或处罚。这使得大部分上市公司对内部控制有关规定采取的是从宽执行而非从严执行,对内部控制自我评估对提高公司治理透明度和树立投资者信心的功能认识不强,导致主动执行的意识不强。

  3.评价成本过高

  美国颁布萨班斯——奥克斯利法案(sarbanes-oxley acts,简称soa)后,社会各界对其具体执行存在许多争议,其中以执行成本为甚。XX年sec曾对404条款执行成本初步估计:“所有上市公司年信息揭示成本最多为4950万美元,每家公司年报和季报平均增加5小时额外工时”。XX年8月,sec修正其估计:执行404条款年度总成本约为 12.4亿美元,平均每家公司9.1万美元,新增383工时。但随后的调查显示,该条款执行成本远超过此预计(黄京菁,XX)。因此,内部控制自我评价的成本在执行中是一个不容忽视的问题。如果内部控制评价的执行成本过高,导致内部控制设计和执行的总成本超出其所避免的潜在风险损失与形成的控制效果之和,则这一内部控制是低效率甚至无效率的。

  为此,我们对中国有色金属建设股份有限公司(以下简称中色股份)内部控制自我评价情况进行了实地调查。中色股份内部控制自我评价是由董事会、监事会、董事会秘书办公室、财务部和审计部在分工与协调基础上进行的。董事会总体负责内部控制的评价,监事会对内部控制自我评价过程实施监督,董事会秘书办公室负责组织内部控制自我评价并进行评价中的协调工作,审计委员会按董事会要求落实内部控制自我评价,并就相应事宜与审计部沟通。审计部按规定的程度与方法进行内控评价,财务部协助审计部做好对本部及下属各单位的内控评价工作。按照公司《内部控制制度》以及其他相关制度的要求,公司主要对以下内容进行评价:1.公司内部控制制度的建立健全及有效性,是否存在缺陷;2.公司内部控制制度重点关注的控制活动,其中尤以第二项评价工作为重。公司在每财年结束后,由董事会制定基本的评价计划,然后由审计委员会、董事会秘书办公室会同财务部和审计部共同进行具体的评价事宜。并在评价工作结束后出具评价报告,先呈交经理办公会最后呈交董事会。在具体的评价工作中,目前公司更多地依靠内部审计部门的内部审计工作和该部门出具的内部审计报告,来得出关于公司内部控制情况的结论。从该公司内部控制自我评价的流程可以看出,虽然内部控制评价的机构设置完整,职责分工明确,但在实际操作中,内部控制评价结论的得出更多依赖内部审计报告,究其原因,更多是出于成本而非技术上的考虑。这与其他相关研究(如,李明辉等,XX;戴彦,XX)的结论是一致的。

  另一方面,截止XX年我国尚未建立权威性的框架作为构建、评估指引,因此在公司的实践中缺乏可操作性的评估指南,从而大大提高自我评估的成本,这限制了管理层自我评估的积极性。

  四、相关建议

  《企业内部控制基本规范》以及即将颁布的《内部控制评价指引》为内部控制的构建、自我评价提供了框架,同时也提供了企业内部控制自我评价的标准、程序和方法方面的指导,再加上企业多年来积累的内部控制实践,从监管的角度看,已经具备在上市公司强制实施内部控制自我评价的条件,要求上市公司在年度报告中强制披露内部控制自我评价报告是必然的选择。在前文对我国企业内部控制自我评价现状的数据统计及结果分析基础上,我们认为,当前在推行强制性评价和披露的前提下,应从以下三方面完善内部控制自我评价机制。

  1.评价目标的选择应强调强制性与鼓励性相统一

  控制目标是据以评价企业在特定领域控制程序是否存在设计缺陷与运行缺陷的依据。《内部控制评价指引》(征求意见稿)第四条的规定以及第八条中关于年度评价的界定无疑是正确的[2]。但是给予企业太大的内控评价目标选择会造成评价报告的不可比,甚至使投资者无法从报告中获取有关公司内部控制质量和抗风险能力的基本信息。建议上市公司内部控制自我评价至少应基于财务报告及相关信息真实完整目标、资产安全目标、合法合规目标三个目标进行,同时鼓励上市公司在做好上述三个目标的内控评价的基础上进行战略目标、经营管理的效率和效果目标的评价。在复杂环境下经营的企业,投资者对投资行为的选择,不仅仅基于财务数据和相关信息做出投资回报和投资风险的判断,还要基于对公司内部控制系统设计与运行质量的分析来判断企业的抗风险能力。企业的风险来自于两个方面:一是来自于违背外部强制性规定,包括合规性、财务报告及相关信息的真实可靠、资产的安全;二是来自于内部管理系统的适应性,包括战略定位与实施手段、管理的效率与经营的效果。规避第一类风险是基本的风险应对策略,第二类风险只能相机采用规避、接受、降低、分担的应对策略。避免第一类风险的发生是企业管理的“底线”且第一类风险的类别及控制程度具有较强的刚性、上市公司必须具有较扎实的基础,围绕上述三个目标的内部控制自我评价报告无论是对于注册会计师的鉴证、还是投资者的判断都有较客观的尺度。另外,对于第一类风险,无论是企业董事会或管理当局的评估,还是注册会计师的鉴证或是投资者的判断,成本都相对较低。第二类风险的具体形式以及应对措施较多地依赖管理当局的经营理念和风险偏好,无论是评价标准的选择,还是鉴证与判断标准的确立都存在较大的主观性,如果要求注册会计师对第二类风险的评估也超出了注册会计师的执业能力和法律责任。鉴于此,针对第二类风险的内部控制自我评价不宜采取强制性规定,至少目前不具备强制性评价的基础。

  2.细化有效性标准,提高标准的可操作性

  《内部控制评价指引》(征求意见稿)明确指出,内部控制评价是对内部控制有效性进行评价,有效性包括对内部控制设计有效性和运行有效性。同时,第十条对设计有效性和运行有效性进行了定义[3]。我们认为,对于设计有效性的定义本身是比较严谨的,因为只有所有的五个要素都必须得到满足,才能得出基于一个目标或多个目标的内控系统是有效的结论。但是,该定义过于理论化和泛化,在实务中可能难以把握其确切含义。为此,我们建议将设计有效性定义为:具备胜任能力和相应权力的人按照既定设计来运行控制程序能够实现控制目标,若存在下列情况之一,则可认为存在设计缺陷:(1)实现某一控制目标所必须的控制程序具有一项或若干项缺陷;(2)实现某一控制目标所必须的控制程序设计不当,以至于即使该项控制按照设计运行也不能实现控制目标。

  3.将经济性纳入评价标准,强调有效性与经济性的统一

  经济性是指在为内部控制有效性提供合理保证的前提下尽可能降低运行成本。企业的本质在于盈利,无论是控制哪一类的风险,控制的最终目的都是利用受约束的资源为创造最大化的价值奠定基础或直接服务于价值创造。事实上,在风险评估基础上进行的控制关键点识别和控制流程设计都是权衡成本与效益后的理性选择。

  经济性与有效性存在密切联系,忽视经济性的有效性本身背离了内部控制的宗旨。从美国《40位代表人物对萨班斯法案404条款的评论和分类》中可以看出,以美国联邦储备局前任主席格林斯潘和投资家巴菲特为首的19位代表(47.5%)对404条款持完全反对态度,反对理由是404条款因监管过度导致执行成本太高[4]。在风险识别的基础上进行风险分析是确定控制措施的前提,风险分析的过程本身是权衡风险严重性(风险发生后损失程度)以及发生的可能性(该风险发生的概率)、据以识别关键依存因素和重要控制节点的过程。为目标实现提供绝对保证的内部控制系统并非最优的控制系统,经济性或成本效益原则允许内部控制系统存在一定水平的剩余风险,并通过危机处理以及管理层干预来应对剩余风险。

  经济性评价是评价设计的内部控制系统是否体现了运行过程的经济性,主要评价在为控制目标实现提供合理保证的前提下是否存在可以省略的节点,例如,对优质客户提供贷款采用与对普通客户提供贷款相同的风险控制程序则是不经济的。经济性评价应关注:(1)所有的审批程序是否都是必须的,简化某一环节的审批是否对控制目标的实现造成实质性影响;(2)每一牵制是否都是按照不相容职务分离的要求设置的,是否存在满足这一要求下的过度牵制;(3)为各岗位配备的员工是否恰如其分地胜任本职工作,既应关注因不具备胜任能力而导致控制失效,也应关注因能力过剩导致不必要的成本支出上升。

来源:
m.diyifanwen.com/fanwen/ziwopingjia/2678621.htm

1/5