引言
自1934年美国《证券交易法》首次使用内部会计控制一词开始,西方许多组织和研究者对内部控制的概念、功能做了详尽的研究,审计和监管部门相继出台了诸多内控规范,内控制度在理论和实务中均有了很大的发展,内控制度体系日趋完善,内控目标日益明确,其组织层级观念也愈加分明。
应该说,各西方国家对内部控制的重视,反应了其通过内部控制的规范化、制度化实现监管部门或企业自身所订立目标的愿望。而这些目标的实现取决于以下两个方面:
1. 内控制度设计是否完整和合理?
2. 企业内控制度是否得到有效的执行?
如果说合理和完整的内控制度设计及有效执行是保证监管部门或企业自身订立的内控目标得以实现的必要条件,这一条件客观上需要有一套体系来对内控制度的设计有效性和执行有效性作出评价,也即应找到一种合理的评价体系来对企业的内控制度进行评价,对其进行等级界定,并借此来达到规范企业内控制度建设的目的。
自内部控制产生之后,内部控制评价也随之出现,中西方均有研究者对此进行研究。而由于安然事件,美国出台的《萨班斯法案》对内部控制评价提出了进一步的明确要求后,引发了美国SEC、注册会计师协会以及各会计师事务所、企业对内部控制评价的空前重视。但不容忽视的一点是,此类研究大都和审计结合在一起,认为审计时需要对企业的内部控制做出评价,企业应该将内部控制评价在报告中披露等。而对企业自身或者监管部门采用何种标准和方法来评价企业已经构建的内控制度的设计有效性和执行有效性,以及如何实施这种评价等问题,一直没有引起相应的关注。
我国对内部控制评价的关注始于20世纪80年代末,但其时的内部控制评价大都流于形式。90年代后期,我国政府开始重视内控评价的规范化建设,审计署、财政部、证监会、银监会等组织均出台了关于内部控制评价方面的规范。应该说,这些规范对于推动企业加强内部控制建设起到了相当大的作用,但不容忽视的问题是:
1. 各监管部门对如何具体实施内部控制评价,如采用何种评价标准进行评价、评价的内容是什么?采用何种评价方法等尚缺乏明确的规定。
2. 相当多的企业或个人对内部控制评价缺乏应有的了解,对内部控制评价的一些核心和基本问题如“为什么要评价”、“评价什么”、“如何评价”、“评价结果如何体现”缺乏清晰的认识。
3. 对各个企业之间,其各自的内部控制体系的有效性和完整性究竟如何,无法进行相互比较。
我们认为,构建一套规范和完整的内控评价体系对于企业和监管部门而言均至关重要,缺乏评价体系的内控制度,其作用会大打折扣。值得欣喜的是,我国目前有一些企业针对自身制定的内控制度,尝试构建了内控评价体系。其构建的内控评价体系可能并不完整,其标准可能尚有待进一步修正,但无论如何其所做的尝试已经可以为其他企业或监管部门构建内控评价体系提供来自企业实践的证据。其经验对于我国企业构建内部控制评价体系具有一定的指导作用。因而,我们认为,有必要对这些企业内控评价体系的经验加以总结,并整理成文,以期对理论界和实务界有所裨益。
基于此目的,我们对在1999年就已建立了一套完整的内控制度,在2002年又构建了一套相对完整的内控审计评分系统的亚新科汽车零部件公司展开调查,并与亚新科联合组成课题组,对“亚新科内控评价体系”应用问题进行现场研究。我们选取了亚新科工业技术公司下属的亚新科NVH汽车零部件(安徽)子公司(以下简称“亚新科安徽子公司”)作为调查对象,于2004年6月和2005年6月两次对其展开实地调查和测试研究。本文就是这次现场研究的结果。
亚新科内部控制评价体系
(一)亚新科企业概况
1.亚新科工业技术有限公司
亚新科工业技术有限公司(原名亚洲战略投资公司)是一家总部设在北京的外资企业。公司从1993年开始进入中国运营,累计现金总投资额约5亿美元。公司经过10多年发展,目前在国内已拥有17家独资和控股合资企业,在美国有二家独资公司;公司员工总数达到2.5万人,是目前国内最大的专业汽车零部件制造集团之一。
亚新科工业技术公司的发展战略是以中国作为其发展的中心,面向国际市场。其经营战略目标是在其所有的产品领域内被公认为世界的领导者。这一发展战略与其他大型跨国公司在中国的投资项目完全不同。其他大型跨国公司通常只是将亚洲或中国作为其全球发展战略的一部分,如美国的通用汽车、德尔福汽车零部件公司等。因为这一重大差异,亚新科公司高层从1999年起确定了公司独特的经营战略,即建立一个真正的全球性公司。其独特之处在于它能够将中国与世界的精华融为一体,创建世界一流的汽车零部件公司。
亚新科作为一家纯外商投资企业,在其发展过程中,和众多外商一样,自1993年进入中国以来,由于不熟悉中国国情和当地文化历史背景而遇到许多挫折。1999年,公司股东和高层及时根据中国实际经营环境的变化,果断决定将公司从过去的纯投资型企业转变为基于技术领先的集团化经营管理型企业。公司积极采用各种现代企业管理手段,强化了对所属企业的经营管理指导和服务,公司业绩稳步上升,发展前景光明。
2.亚新科安徽子公司
亚新科安徽子公司是由亚新科工业技术公司在安徽宁国投资的外商独资企业,现有员工3000余人,是亚新科零部件集团重要的成员之一。公司在总经理领导下分设行政人事部、财务部、销售部、信用管理部、采购部、物流部、信息工程部、投资部。行政人事部除了负责日常行政事务、招聘、考核、薪酬外,还负责公司内部控制管理、保安、法律事务等。信用管理部负责客户资信调查、日常销售业务信用审核等,其余部门业务和一般生产企业基本相同。
亚新科安徽子公司下设模具厂、橡塑制品厂、炼胶厂和液压工具厂四个分厂。公司主要产品是汽车、摩托车、家电、工业工程等行业配套用的橡塑件、模具、各式修车工具产品和五金产品。目前密封件产品年生产能力已达4亿件,千斤顶产品达300万台。橡塑产品的生产均通过ISO9002、 QS9000、VDA6.1、ISO/TS16949质量管理体系的认证,并已通过ISO14001环境管理体系的认证,液压千斤顶类产品的生产已通过ISO9001:2000版质量管理体系的认证。亚新科安徽子公司已经成为博世、日立、松下、三菱、德尔福、Dana、Honeywell 、DRA、Maytag等世界一流公司的供应商,产品远销欧美、东南亚等国家和地区。本文将通过亚新科总部对安徽子公司的审计过程介绍亚新科的内控评分审计系统。
(二)亚新科工业技术公司内部控制评价体系的设计思路
1999年,亚新科建立了一套完整的内控制度即《亚新科集团内控管理程序》(AMP),共3分册88个项目。每个项目基本上由五部分组成,即目的、要求、职责图、文件与记录、参考资料。
2002年,作为《亚新科内控管理程序》的配套项目,为了对企业内控制度和管理风险进行有效评价,以便量化反映各下属企业的实际内控管理情况,使内控制度更好地发挥功效,亚新科总部又建立了内控评价体系。该评价体系是根据企业的主要业务循环并结合内控五要素对经营风险防范的相关要求,依据国家相关的法律法规、亚新科集团内控管理程序(AMP)建立的。2004年,为了使内控评价体系更具操作性及直观性,亚新科总部对内控评价体系进行了进一步修订。其目的是保证2004年度内控审计活动能够更加科学和客观,进一步真实反映企业的实际内控管理状况,并使评分审计结果能够更加精确地反映各企业间的内控管理水平差异。
具体而言,亚新科的内控评价体系是通过建立一套内控审计评分系统来实施的,即通过一定的审计方法对内控项目进行审计,对每一个内控项目按5要素进行分类,将审计中发现的问题归到每一个内控项目,再按照一定的评分方法得出内控的总体得分情况,以反映企业内控管理水平和管理风险的高低。亚新科工业技术公司内控评价体系的设计方法如下:
1.内控审计评价范围和内容
在进行内控审计时,亚新科根据本单位及下属企业实际的业务内容并结合内控管理对经营风险防范的相关要求,确定内控审计的评价范围是企业构建的全套内控制度,并将上文提及的88个内控项目按照大类划分为13个业务循环,即综合项目、环保与职工健康安全、内部控制、信用管理、财务报告、销售&收款、采购&付款、生产&物流、法律事务、IT安全、安全保卫、投资管理、人力资源。
内控审计评价的内容是对内控制度的执行有效性进行评价。针对这一目标,对每一个项目首先按照内部控制的5要素(即控制环境、风险评估、控制活动、信息与交流、监督检查)进行分解,然后再将每一个要素分解为具体的评分内容,采用具体的内控审计方法对其进行评价。具体而言,对一个内控项目的审计评价内容主要包括该项管理业务的管理程序建设、人员培训、风险评估、实际风险控制活动的开展情况、文档资料的收集保管、与其他部门的交流等方面,力争全面涵盖该项业务中可能存在的主要风险控制点。
2.内控审计评价标准和方法
在对内控制度进行评价时,确定适当的评价标准非常重要。实务中有几种内控评价标准模式被采用。一种是COSO报告中的5个要素标准,即将内控项目按COSO5个要素进行细分,再按照COSO中每一要素的必要条款确定评价标准;第二种是采用一般标准和具体标准作为评价标准,其中的一般标准主要指内控制度的完整、合理和有效性,而具体标准又可以划分为要素标准和作业标准;第三种模式是结果评价标准和过程评价标准,其中结果评价标准主要是考核内控目标的达到程度,而过程评价标准主要指内控执行过程中的有效程度如何。亚新科在选用内控评价标准时,采用的是以COSO报告的5个要素所要求具备的基本条款作为评价标准。
在对内控项目进行审计时,以现场抽样调查为主,辅以访谈、计算核实、观察、检查等手段。实际工作时将根据具体的审计项目和内容确定。
3.内控审计评分标准
在确定内控审计评分标准和方法时,考虑到内控评价需要定期进行,并且与前期评价相关,亚新科首先确定整体内控审计评分由三部分构成:基本项目、以前审计中发现问题纠正情况、本次审计中发现的新问题及审计师综合印象。然后再按照每一部分的具体内容确定相应的评分标准和方法
第一部分:基本项目(该部分满分为70分)
基本项目内审评分是指内控审计人员依据内控审计项目评分和各项目权重加权得出的审计分,是评分审计的主体。由于内控审计项目中各个具体评分内容所包含的风险不同,对每一个具体评分内容,将根据其风险大小分为高、中、低三级;同时为了体现不同风险等级问题分值的区别,使高风险问题在整个项目值中占较大比例,低风险问题占较小比例,给每个风险等级赋予了一个权重,分别设为 5, 3, l.权重间距越大,不同风险等级问题的区别会体现的越明显。这样每一个具体的评分内容的分数将根据该审计项目的总分及其风险等级来确定(即按权重分配,当审计内容增加时,在总分内容一定的情况下,会自动减少每一项审计内容的分值分配情况)。
为有效凸显企业管理水平,将企业的每个具体评分项目所对应的业务完成程度分为5级。如表1.
表1 具体评分项目业务完成程度分级
|
完成程度 |
具体含义 |
|
100% |
全部完成(或做到)。程序非常完善,完全按程序实施 |
|
75% |
完成(或做到大部分,或基本完成(做到)。有程序,但不很完善;基本照程序实施 |
|
50% |
完成(或做到)一部分。包括有一定的程序,但程序极不完善,也未完全按程序实施 |
|
20% |
完成程度很低,大部分风险未能得到有效控制。没有书面程序,但有一定的习惯做法;完全凭习惯或主管领导指示办事。有少量的风险控制意识 |
|
0% |
完全未做,与该业务相关风险没有任何防范措施。没有书面程序,也没有具有控制意识的习惯做法;办事随意,各行其是,根本没有风险控制意识 |
每个审计项目的得分=∑(该审计项目中每个评分项目的权重×完成程度)
基本项目得分=∑审计项目分值×70%
第二部分:以前审计中发现问题纠正情况得分(该部分满分为20分)
这是为了跟踪运营公司及时解决已经发现的内控薄弱环节情况而进行的评价,该项得分和内控薄弱环节跟踪改进完成程度直接相关。
第二部分项目得分=20%×已经改进完成的问题数/上年审计师提出的薄弱问题数
第三部分:外部审计师管理建议落实情况(该部分满分为10分)
该部分是指企业的外部审计师在进行年度审计后针对企业存在的管理风险提出的改进建议。这些管理建议是否得到了被审计企业的重视并被贯彻落实的情况需要进行检查评价。
第三部分项目得分的计算公式如下:
第三部分项目得分=10%×已经完成整改数/上年度外部审计师提出的整改数
需要明确的一点是,基本项目得分、以前审计中发现问题纠正情况得分、外部审计师管理建议整改得分三个部分的得分分别占总分的70%,20%,10%。在按照上述做法得到每个部分的分值之后,三个部分得分总和即为各运营公司的内控得分。
4.内控评价等级评定
在采用一定的内控审计方法和内控评分方法得到总体内控得分后,需要对企业的内控制度进行一个总体评价。亚新科内控评分审计采用的是百分制,审计等级按五级确定,如表2所示。
表2 审计等级
|
级别 |
分值 |
优良程度 |
|
第一级 |
90分以上 |
优 |
|
第二级 |
71一89分 |
良好 |
|
第三级 |
60一70分 |
合格但不足 |
|
第四级 |
40一59分 |
不合格 |
|
第五级 |
40分以下 |
差或极差 |
如果内控审计后得到的内控得分是90分以上,则可以认为该企业的内控执行有效性评价结果为优;如果得分是71-89分之间,则可以认为该企业的内控执行有效性评价结果为良好,其余结果可依此类推。
(三)亚新科公司内控评分审计系统具体操作
以下我们就以亚新科工业技术公司对安徽子公司进行的评分审计为例,说明其内控审计评分系统的具体操作过程。
1.按照内控项目进行分类,确定每一个内控基本项目的分值
如前所述,亚新科工业技术公司的内控项目可以划分为13个业务循环,也可以称为基本项目。在内控评价体系的设计过程中,考虑到每个业务循环的风险等级和重要性不同,企业可以按照风险等级,赋予每个业务循环以不同权重。其具体权重划分如表3所示。
表3 内控项目与权重表
|
内控制度项目 |
目标值(权重) |
|
综合项目 |
5.00 |
|
环保与职工健康安全 |
5.00 |
|
内部控制 |
5.00 |
|
信用管理 |
5.00 |
|
财务报告 |
20.00 |
|
销售&收款 |
12.00 |
|
采购&付款 |
10.00 |
|
生产&物流 |
8.00 |
|
信息安全 |
5.00 |
|
法律事务 |
5.00 |
|
安全保卫 |
5.00 |
|
投资管理 |
10.00 |
|
人力资源 |
5.00 |
|
小 计 |
100.00 |
2.明确内控评价标准、评价方法和权重
对于内控基本项目的评价按照COSO报告中的内部控制5要素(即控制环境、风险评估、控制活动、信息与交流、监督检查)展开,再将每一要素按照关键控制点拆分成更为具体的内控评价指标或标准进行评价,明确其风险等级评价方法以及权重。我们以销售&收款项目评价为例(如图表4所示)。
表4 内控项目评价标准表
|
内控项目 |
内控要素 |
内控评价项目 |
风险等级 |
评价方法 |
权重 |
| 销售管理 | 控制环境 | 公司是否建立了与亚新科内控管理程序相一致的销售管理程序? | M | 询问检查 | 3 |
| 是否对全体销售人员进行了必要的销售管理程序培训? | M | 询问检查 | 3 | ||
| 公司是否与所有销售人员签订了保密协议书? | M | 检查 | 3 | ||
| 是否有完整的驻外销售分支机构管理程序? | H | 询问检查 | 5 | ||
| 风险评估 | 销售部是否对本部门存在的高风险领域进行过评估?对相应的高风险领域是否提出了相应的控制办法? | H | 询问检查 | 5 | |
| 控制活动 | 公司是否定期编制各类销售计划? | M | 询问检查 | 3 | |
| 是否对所有重要客户定期进行信用调查? | H | 询问检查 | 5 | ||
| 销售合同的签订是否经过评审并按授权获得了相应的批准? | M | 询问检查 | 3 | ||
| 销售人员是否定期与客户对账?对重要客户是否每月至少对账一次?与财务账的对账差异是否能得到及时处理? | H | 询问检查 | 5 | ||
| 销售人员是否不准收取客户现金付款? | H | 询问测试 | 5 | ||
| 销售部门是否不直接控制公司的外埠仓库? | M | 询问 | 3 | ||
| 是否与财务、内控人员共同对寄存客户方的产品进行定期盘点? | H | 询问 | 5 | ||
| 所有销售发货是否都经过信用部和财务部批准? | M | 询问检查 | 3 | ||
| 发货单是否严格根据客户采购合同或采购定单签发? | M | 检查测试 | 3 | ||
| 公司以货抵款交易是否严格按照内部审批控制程序执行? | H | 询问检查 | 5 | ||
| 销售折扣和降价销售是否严格按照内部授权审批进行? | H | 检查 | 5 | ||
| 销售人员是否严格按照有关规定登记工作日志? | M | 检查 | 3 | ||
| 销售人员部分或全部收入是否与销售回款、销售额等有关指标挂钩? | M | 询问检查 | 3 | ||
| 是否定期对销售人员进行利益冲突调查? | M | 询问检查 | 3 | ||
| 信息与沟通 | 销售资料的管理是否符合公司档案管理规定并及时归档? | H | 询问检查 | 5 | |
| 公司销售部是否定期与财务、物流等部门进行应收账款等核对? | H | 询问检查 | 5 | ||
| 销售退货是否有完整的记录? | M | 检查 | 3 | ||
| 销售分支机构或销售分部掌握的公司客户档案是否及时得到更新并归入母公司客户档案内? | M | 询问检查 | 3 | ||
| 销售人员是否按公司要求建立销售台帐? | M | 询问检查 | 3 | ||
| 监督与检查 | 内控部、财务部是否定期派人对销售部及驻外销售分支机构进行业务检查? | H | 询问检查 | 5 | |
| 公司是否对销售计划的准确性进行考核? | L | 检查 | 1 | ||
| 公司内控经理和财务部是否按期对销售部及驻外销售机构的工作进行检查监督? | M | 询问检查 | 3 |
4. 根据基本项目得分、以前评价中发现问题纠正情况得分、本次评价中发现的新问题及外部审计师管理建议整改得分三项综合得出内控评分数额如表5.
表3 亚新科安徽子公司内控审计评分表
|
内控制度 |
目标值 |
实际值 |
比率 |
| 1.基本项目 | |||
| 综合项目 | 5.00 | 4.79 | 95.76 |
| 环保与职工健康安全 | 5.00 | 2.85 | 56.92 |
| 内部控制 | 5.00 | 5.00 | 100.00 |
| 信用管理 | 5.00 | 4.04 | 80.73 |
| 财务报告 | 20.00 | 18.73 | 93.67 |
| 销售&收款 | 12.00 | 10.53 | 87.73 |
| 采购&付款 | 10.00 | 9.13 | 91.33 |
| 生产&物流 | 8.00 | 7.01 | 87.64 |
| 信息安全 | 5.00 | 4.95 | 98.93 |
| 法律事务 | 5.00 | 3.88 | 77.63 |
| 安全保卫 | 5.00 | 4.30 | 85.98 |
| 投资管理 | 10.00 | 8.75 | 87.50 |
| 人力资源 | 5.00 | 4.90 | 97.92 |
| 小 计 | 100.00 | 88.85 | 88.85 |
| 基本项目实际权重及得分 | 70% | 62.19 | |
| 2.以前测试中发现问题的纠正情况得分 | 20% | 13.01 | |
| 3.外部审计师管理建议整改得分 | 10% | 5.62 | |
| 小 计 | 100% | 80.83 |
亚新科内控评价体系的启示
亚新科内控评价体系是亚新科从自身实际需要出发对构建内部控制评价系统所做的积极尝试。在内控评价的内容、范围、方法以及如何设计和实施内控评分系统和等级评定方法等方面,为其他企业提供了可供借鉴且具有可操作性的范例。该评价体系固然还有不足之处,但总体而言,是“出于COSO而胜于COSO”,创造性地将COSO报告所提出的原理付诸于实践,拓宽了内控制度的视野,丰富了我国内控制度的知识。在对亚新科内控评价体系研究的过程中,我们深深感到以下几点特别值得注意:
(一)正确界定内部控制评价的目标
从中西方内控评价的发展史中我们可以看出,原有的内控评价目标大都从审计角度出发考核企业所制定和执行的内控制度能否达到可靠性、合法合规性、经营效率和效果。而在具体执行中,其侧重点更是关注于可靠性和合法合规性,至于经营效率和效果在内控评价中受到的关注程度历来较少。
COSO委员会在《企业风险管理控制框架》中将内控目标界定为四类:战略目标、经营目标、报告目标以及合规目标。已经远远超出以往的内控规范。企业也日益认识到构建内部控制体系的目标,不但是要满足监管部门对于信息提供和披露方面的需求,更重要的是,内控制度要有助于企业战略目标企业经营的效果和效率的实现。应该说,内控制度的立足点之一是要通过制度化规范标准的构建,来规范企业员工的行为,加强行为理性,提高企业的经济效益。由此立论,内部控制评价的目标应该是从内部控制的目标出发,来对内部控制的设计和执行进行评价,考核内部控制所规定的目标实现与否。在具体界定内部控制评价目标时,不同的评价主体可能对内部控制评价的目标界定也不同,如监管部门推动实施的内控评价,其目标可能更多地关注内控制度所达到的报告目标和合规目标;而企业自身进行的内控评价,其目标就不应局限于报告目标和合规目标,还应该包括内控对企业战略目标和经营目标实现的作用程度。
(二)内控评价体系应以风险管理理念为基准
COSO在《企业风险管理控制框架》中将风险明确定义为“对企业战略目标实现产生负面影响的事件”,而全面风险管理则是在8个要素的基础上建立的4项目标和一套由董事会、管理当局和其他组织成员制定、实施并对该4项目标产生积极影响的程序。除此之外,该框架还引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,可以在概率统计的基础上,合理地确保企业的发展战略与风险偏好相一致,增长、风险与回报相联系,从而实现全面风险管理的四项目标。
在构建内控评价体系的过程中,应该以风险管理理念为基准。风险管理成为组织管理的关键所在。内控评价的重点应该是确认风险及测试管理风险的方法,在风险导向的内控评价中,分析、确认、揭示关键性的经营风险,在评价标准、指标和权重的选择上均要把握风险管理理念,这才是内控评价的焦点。
(三)内控评价体系应选取科学合理的标准
制定内部控制评价标准是进行内部控制评价的依据和前提。缺乏科学合理的评价标准而进行的内部控制评价,其结果可能不能真实反映企业内部控制的健全和有效与否。在对内部控制进行评价时,首先必须确定的是采用何种评价标准对内控整体乃至具体的内控项目进行评价。
我们认为,考虑到内部控制的战略目标、经营目标和合法合规性目标,内部控制的评价标准可以选用结果评价标准和过程评价标准。结果评价标准就是要考核内控目标的实现程度,是基于内控目标而建立的一系列结果考核指标。过程评价标准的制定可以按照内控项目来进行,按照风险管理思想,根据风险管理框架中的8个要素来设定控制标准。
(四)规范内部控制评价的内容
自内部控制产生以来,内部控制的内容就一直饱受争议。从最初的内部牵制,发展到内部控制结构,再到COSO报告的整体框架以及后来的风险管理框架,内控的范围好似有日益扩大的趋势。由此产生的一个问题便是,内部控制评价是限于会计相关控制,还是稍大扩展到内部控制的各个环节?
应该指出,我国各部门出台的内控制度对内控制度范围的界定有所差异。如证监会发布的《证券公司内部控制指引》认为,公司内部控制不但包含了会计相关控制,还包含了会计相关控制以外的其他控制,如环境控制中的治理结构控制、管理思想控制、员工素质控制等。而财政部发布的《内部会计控制规范》则是定位于“以单位内部会计控制为主,同时兼顾与会计相关的控制”,其重点是关注于内部会计控制,并不包括组织结构控制和人员素质控制等控制环境的内容。而中注协、审计署等相关部门对内部控制的规定与上述证监会和财政部的规定又存在一定差异。相应地由于各部门所规定的内部控制范围存在差异,在内部控制评价的内容上自然也会存在差异。
本文认为,界定内部控制评价的内容应是从评价主体和评价目标出发。如果内部控制评价是出于监管部门的硬性要求,由外部中介机构进行,考虑到我国注册会计师行业目前的执业水平,将内部控制评价范围限定在会计相关控制方面较为合理。而如果是企业自身对构建的内部控制制度作出评价,则应该考虑其构建内控制度的经营、会计和战略目标,评价的内容就不仅应该包括会计控制,而还应该包括公司治理、业务和流程控制等方面的内容。
本文是在于增彪教授与亚新科内控评价系统合作研究项目成果基础上完成的。参加项目的除本文作者之外,还有胡洋(清华大学MBA)、王玺(清华大学MBA)、龚道道(清华大学本科生)等。本篇作者于增彪系清华大学教授,麻蔚冰系亚新科工业技术公司内控部总监,王竞达系清华大学博士生/首都经贸大学副教授。
(以下部分为背景材料)
内部控制评价理论和实务的发展
(一)西方内控评价理论和实务的发展
在内部控制评价理论和实务的发展方面,美国一直走在世界前列。最初美国的独立审计的业务范围主要侧重于财务鉴证方面,从20世纪80年代开始,独立审计的范围开始扩展为包含内部控制评价在内的管理鉴证。而随着安然、世通等一系列会计案件的出现,美国对内部控制评价的重视程度则更为加强。
1.20世纪80年代,美国审计准则委员会将独立审计的业务范围从财务鉴证扩展到包括内部控制评价在内的管理鉴证,在《独立审计准则》第20号、30号和60号中均对内控评价或鉴定作出了规定(《审计准则公告第20号——对内部控制重大缺陷的传达》要求会计师向管理当局、董事会或其下属的审计委员会传达企业内部会计控制的重大缺陷;《审计准则公告第30号——内部会计控制的报告》指出,注册会计师可以受理以下三种鉴证委托业务并签发报告:特定企业内部控制结构的有效性;根据主管机关预先确定的标准对企业的整体或部分控制结构进行评价;根据整体或部分控制结构签发特殊目的报告。《审计准则公告第60号——审计师对关注到的内部控制结构相关事项的传达》要求审计师对审计过程中一切引起审计师注意的,并按其判断应向董事会所属审计委员会传达的内部控制事项进行评价)。1993年,审计准则委员会先后发布了《鉴证准则》第1号、第2号和第3号(1993年,审计准则委员会将1986年发布的鉴证准则及其他几份准则汇编成《鉴证业务准则第一号――鉴证准则》(GAAS No.1)。同年,审计准则委员会还先后颁布了《鉴证业务准则第2号——与企业财务报告相关内部控制的报告》(GAAS No.2)和《鉴证业务准则第3号——符合性鉴证》(GAAS No.3)),规定注册会计师可以受聘对企业管理当局的内部控制认定进行评价和出具报告(注册会计师提供的服务有二:一是审查和报告管理当局对其财务报告关于内部控制制度效果所作的认定;二是执行商定的与内部控制效果有关的其他程序。对内部控制进行认定的关键是确定适当的标准,控制标准可以是美国注册会计师协会颁布的公告,COSO报告或者主管机关签发的按照适当程序处理的控制标准。(在1979和1988年,美国证券交易委员会曾两次试图要求强制提供内部控制报告,由于遭到反对,美国证券交易委员会并没有要求上市公司强制提供内部控制报告、但这一时期仍有较多的公司自愿在财务报告中提供内部控制报告)。
2.1992年,美国Treadway委员会下属的COSO委员会提出了《内部控制——整体框架》,并于1994年进行了修订。COSO报告定义了内部控制的5个要素,其中的监控就是指评价内部控制质量的进程,即对内部控制运行及改进活动进行评价。监控通常由内部审计部门或人事部门执行,他们定期或不定期地对内部控制的设计和执行情况进行检查和评价,并提出改进意见,以保证内部控制按设计执行并随环境的变化而改进。
3.2002年7月,美国国会通过的《萨班斯——奥克斯法案》第一次对财务报告内部控制有效性提出了明确要求。该法案涉及内部控制评价的条款主要有:(1)第103款规定,审计师在对企业的内部控制进行评估时,需要评价公司的内部控制政策和程序的完整性、记录的合理性以及授权等。(2)第302号条款规定,公司提交的年度或季度报告中应该含有对内部控制有效性的评价以及审计委员会报告发现的内部控制设计或运行中的所有重大控制缺陷以及重要控制要点。(3)第404款规定,管理层需要对财务报告的内部控制进行报告。同时审计师应该对管理层的评价进行认证和报告。404条款的规定使法律界和职业界对内部控制评价的关注进一步加强。
4.SEC(在1979和1988年,美国证券交易委员会曾两次试图要求强制提供内部控制报告,由于遭到反对,美国证券交易委员会并没有要求上市公司强制提供内部控制报告、但这一时期仍有较多的公司自愿在财务报告中提供内部控制报告。)于2002年10月22日发布第33-8138号提案,并于2003年6月5日颁布最终规则,对内部控制以及评价作出规定。主要内容有:(1)修订1934年证券交易法的相关内容,要求上市投资公司之外的公司在年报中提供管理层对公司财务报告内部控制的报告(该内部控制报告的内容必须包括:管理层签署声明,由其负责建立和维护充分的公司财务报告内部控制有效性评估时采用的框架;提供一份声明,表明对公司财务报表进行审计的注册会计师事务所已经对公司管理层的财务报告内部控制评估提供鉴证报告)。(2)要求在年报中披露 “注册会计师事务所鉴证报告”(3)要求管理层对财务报告内部控制变更进行评价等。
5.美国注册会计师协会于2003年3月18日发布财务报告内部控制审计的征求意见稿,规定公众公司审计包括财务报表审计和财务报告内部控制有效性审计两个部分。独立审计师需要对控制的设计有效性和执行有效性进行评价,进而发表审计意见。根据内部缺陷的严重程度将其分为重大控制缺陷和重要控制弱点两类(重大控制缺陷是指可能对公司管理层发表的声明中关于保证交易的发生、记账、国报告财务数据和财务报表保持一致的能力产生不利影响的内部控制缺陷。重要控制弱点是指在内部控制的组成部分的一个或多个方面存在重大控制缺陷,造成公司的内部控制不能将及时防止或发现财务报表中实质性的错误表述的风险降低到一个较低的水平。)。
6. 各注册会计师事务所提出根据404条款进行财务报告内部控制评价的操作指引,对会计报告内部控制有效性评价提出了具体的操作建议,对管理层评估财务报告内部控制的程序(认为管理层对内部控制的评估可以分为四个步骤来完成,即计划、设计有效性评价、执行有效性评价、评估和报告)提供了建议,界定了管理当局的责任 (认为管理层必须承担公司内部控制有效性的责任,并运用恰当的控制标准(如COSO标准)来评价公司内部控制的有效性,对形成的评估结果有足够的证据支持,同时签署一份关于公司内部控制有效性的书面声明。)并明确了审计师对财务报告内部控制有效性审核程序的构成要素。
其他西方国家在内部控制评价方面也取得了一定的成果,但从各国报告和准则的具体内容来看,目前,在内部控制评价的整体框架上基本都是借鉴美国的研究成果,如内部控制的定义、组成要素、内部控制自我评价结果、管理当局的报告书以及会计师的审查报告等。在此不一一赘述。
(二)我国内控评价理论和实务的发展
建国以后,我国各单位大都建立了以账户核对和职务分工为主要内容的牵制制度,各单位中或多或少地都存在一些内部会计牵制制度。但总的来看,这些制度比较零散、不系统,而且很多未能真正执行而流于形式,致使单位内部管理低效,控制弱化。
20世纪80年代末至90年代初,随着内部控制的发展,内部控制评价开始受到专业人员的关注和使用,但内部控制评价仍停留在对内部管理制度执行的一般了解上,内部控制评价还只是起辅助作用,有的甚至流于形式。此时的内部控制评价只是作为一种审计方式,其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险,据以确定实质性测试的性质、时间和范围,还没有作为一项专项鉴证业务而使用,企业自身也没有对内部控制评价产生关注。
20世纪90年代后期开始,我国政府才开始积极推进内部控制评价的规范化建设。
(1) 1997年1月,审计署颁布的《独立审计准则实务公告第2号——管理建议书》中把“管理建议书”和专门接收委托的内部鉴证服务进行了区分,这表明我国已开始重视内部控制的评价和鉴证。
(2) 2001年11月,财政部发布《独立审计实务公告第X号——内部控制审核(征求意见稿)》,后又在2002年2月以中国注册会计师协会《内部控制审核指导意见》的形式予以发布。《意见》对内部控制审核进行了定义(定义为“注册会计师接受委托,就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审计意见。”),并且对各方责任进行了界定,指出建立健全内部控制并保持其有效性,是被审核单位管理当局的责任;了解、测试和评价内部控制并出具审核报告,是注册会计师的责任。并明确了内部控制审核报告分为四种类型:无保留意见、保留意见、否定意见和拒绝表示意见。
(3) 2000年3月证监会发布《公开发行证券公司信息披露编报规则》,要求商业银行,保险公司、证券公司建立内部控制制度,并对内部控制制度的完整性、合理性和有效性做出说明。同时要求注则会计师对其内部控制制度的完整性、合理性和有效性进行评价,提出改进建议,以内部控制评价报告的形式做出报告,并且对内部控制评价报告的披露作出了规定。2001年10月,中国证监会发布《关于做好证券公司内部控制评价工作的通知》,要求证券公司、商业银行应加强内部控制的稽核、检查与完善,聘请会计师事务所对公司内部控制的完整性、合理性与有效性进行评价,提出改进意见,并出具评价报告。
(4) 2004年12月,针对近年来国内商业银行频繁发生重大金融案件,商业银行自身免疫力还不高,内部控制仍存在严重缺陷的现状,银监会发布了《商业银行内部控制评价试行办法》,旨在通过建立一套对商业银行内部控制评价的框架和方法,规范和加强商业银行内部控制的评价,督促其进一步建立内部控制体系,健全内部控制机制,形成风险管理的长效机制。
可见,我国正在逐步建立起规范的内部控制评价体系,既有中介机构从审计的角度对企业内部控制的规范,又有监管部门从信息披露的角度对企业内部控制评价的规范,也有反映加强企业内部管理要求的规范;既要求中介机构对企业内部控制作出评价,也要求企业自身作出评价。但总体而言,我国内部控制制度和评价规范的建设起步较晚,已出台的相关规范还有许多不完善之处,如内部控制评价的内容和范围不明确、各部门制定的相关内部控制规范和评价内容互相冲突、缺少统一科学的内部控制评价标准等。
