内控合规管理报告
内控合规管理报告范文第1篇
关键词:内部控制 内部控制报告 演进
企业内部控制理论演进
(一)内部控制的涵义演进
现代内部控制的发展源于两方面的动力:外部审计的飞速发展和企业内部管理的压力。早期使用的术语主要有两个:内部牵制和内部会计控制。内部牵制指致力于分离责任的技巧,而内部会计控制则是先由早期的会计师广泛使用的概念,其完全包含的内容并不清楚,所以当时内部经营控制和内部行政控制也得到了应用,指除内部会计控制之外的一切控制。内部控制的第一个定义见于美国注册会计师协会(AICPA)的一份研究报告:内部控制——一个协调的系统和它对管理层和独立会计师的重要性:内部控制由组织的计划和组织内部为保障资产、检查会计数据的准确性和可靠性、提高经营效率和鼓励坚持规定的经营政策而采取的所有协调方法和措施组成。
1973年审计程序委员会(Committee of CAP)的第一期审计标准声明(Statement of Auditing Standard,SAS)中,提出了会计控制和行政控制的概念。在1977年《外国贿赂行为法案》(Foreign Corrupt Practices Act,以下简称FCPA)中,内部控制借用了SAS 1号中会计控制和行政控制的定义。1988年AICPA下属的审计标准委员会(ASB)废除了会计控制和行政控制的提法,提出了内部控制三要素:控制环境、会计系统和控制程序。
在内部控制的历史变迁过程中,内部控制的具体概念及界限是模糊的。1985年成立的全美反欺骗财务报告委员会,即Treadway委员会于1987年提交的报告中指出了内部控制解释和概念多样性的存在,并且指出它所研究的欺骗性财务报告案例中,大约有50%是由于内部控制失效的缘故。为改变此种概念混乱的状况,于是Treadway委员会随后成立了COSO委员会(全国虚假财务报告委员会下属的发起人委员会)来制定内部控制指南,并于1992年了“内部控制—整体框架”。这是内部控制史上的第一次飞跃。COSO把内部控制定义为:内部控制是一个过程,由企业的董事会、管理层和其他人员完成,其目的是为了给以下类型的目标的完成提供合理的保证:经营的效果和效率;财务报告的可靠性;遵守法律和规章。整体框架下的内部控制包含五个部分:控制环境、风险评估、控制活动、信息和沟通、监督。1996年AICPA采纳了COSO的定义,认为内部控制是由企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性;经营的效果和效率;符合适用的法律和法规。
2003年美国证券交易委员会(SEC)认为内部控制是由公司的CEO、CFO或者公司行使类似职权的人员设计或监管的,受到公司的董事会、管理层和其他人员影响的,为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计原则(GAAP)提高合理保证的控制程序。
(二)内部控制报告的涵义演进
与内部控制概念相比,内部控制报告(Management Reporting on Internal Control,简称MRIC)的概念晚出现了几十年,其最初雏形见于审计师责任委员会,即科恩委员会(the Cohen Commission)1978年的报告中。该委员会建议管理当局应提供报告确认管理当局对财务报告的责任,并要求管理当局对控制系统进行评估。
Treadway委员会在其1987年的研究报告中提出了管理层报告的概念(Management Reports)。管理层报告必须承认管理当局对于财务报表和内部控制的责任,讨论他们履行责任的方式以及对公司内部控制有效性的评估意见。
COSO于1992年对内部控制报告进行了界定。COSO1992年的报告认为,内部控制报告是管理当局依据内部控制有效性的评价标准,对本企业的内部控制设计和执行的有效性进行评估后将结果提供给外部使用者的报告。
英国的Cadbury报告也提出了管理层报告的概念,建议由企业管理当局定期对本单位内部控制设计的有效性和执行的有效性进行评估,提出评估报告,然后再由注册会计师对其加以审核。
SEC于2003年8月的第33-8238号最终规则,首次对财务报告内部控制(Internal Control over Financial Reporting,以下简称ICFR)的涵义进行了明确定义。SEC认为,财务报告内部控制是一个由公司的首席执行官、首席财务官或类似职权的人设计或监管的,并受到公司董事会、管理层和其他人员影响的,为财务报告的可靠性和对外财务报表的编制符合公认会计原则提供合理保证的过程。
迄今为止,我国并没有对内部控制报告进行专门的概念界定。2006年上交所内部控制指引提出了内部控制自我评估报告,但没有对其进行明确定义,只从内部控制自我评估报告的内容方面进行了规定。从实践来看,我国公司也没有专门向外披露完整的内部控制报告。内部控制的信息披露散见于公司年度报告的“董事会报告”、“监事会报告”或者招股说明书的“公司治理”、“风险管理和内部控制”部分。所以,我国一般称为内部控制信息披露而非内部控制报告。
(三)内部控制报告的内容演进
内部控制报告编报框架一般涉及内部控制的内容、内部控制责任主体、内部控制有效性评价标准、注册会计师内控审计等问题。从前面的内容可以看出,对于内部控制报告的这些问题,一直以来都是极具争议性的。美国审计总署(GAO)认为,内部控制报告的内容不应仅限在财务报告内部控制,还应当包括某些营运效率效果控制、法规遵循控制,以便满足公众对于内部控制信息的需要,以便他们做出合理的决策。从范围上讲,完整意义上的内部控制报告内容和COSO1992年对于内部控制的定义比较一致。但多数反对者认为,这个报告的内容过于广泛,如果强制要求企业披露涵义如此广泛的内部控制,将会极大地增加披露公司的负担,不符合成本效益原则。
而ICFR内部控制报告认为,大多数机构赞同内部控制报告中只报告财务报告内部控制,譬如1977年的FCPA,SEC的旨在执行SOX404条款的最终规则。按照SEC2003年最终规则,财务报告内部控制的内容应涵盖以下四个方面:管理当局维持充分有效财务报告内部控制的责任;管理当局评估内部控制的框架;管理当局对最近一个财务年度财务报告内部控制有效性的评价;注册会计师对管理当局评价的审计报告。SEC采用了ICFR这个狭义术语,没有采用更为广泛的内部控制涵义。Treadway委员会于2004年10月修订ERM框架,特别强调董事会在企业风险管理方面的重要角色。
我国企业内部控制存在的问题
部分企业存在未制定内部会计制度的现象。一是因为我国在长期的计划经济体制下,国家实行按所有制和行业的统一会计管理体制,政府主管部门对企业内部的会计制度都要做出具体规定,企业必须遵照执行,很少有自主选择和制定内部会计制度的余地。二是部分企业直接以企业会计准则和行业的统一会计制度、企业财务通则以上级下发的各种文件作为企业内部会计制度,致使企业日常会计核算工作随意性过强,直接影响到会计信息的质量。三是许多企业的领导者并不懂相关的会计知识,对于内控的制定方面就既没有主观的意念也没有相关的专业技能。
普遍存在内部控制制度不健全、不完善的问题。内部控制制度是企业内部各职能部门、各有关工作人员之间,在处理经济业务过程中相互联系、相互制约的一种管理制度。而目前,很多企业在制定制度时,未能有效地贯彻内部控制制度,就无法确保管理部门制定的方针政策得到有效实施,无法保证各种管理信息的准确可靠和财产的安全完整。
有的企业不执行内部会计控制制度。一般来讲,有制度不执行比没有制度更可怕。没有制度必将引起投资者、监管者的关注,相关各方会督促企业完善内部会计控制制度,并监督执行;而有制度不执行的欺骗性更大,容易给企业发展造成潜在的隐患。
内容设计不全面,账务处理程序欠规范。财政部制定的《会计基础工作规范》明确规定,企业内部会计制度包括账务处理程序制度,其主要内容有:会计科目及其明细科目的设置和使用;会计凭证的格式、审核要求和传递程序;会计核算方法;会计账簿的设置;编制会计报表的种类和要求等。财政部、证监会、审计署、银监会、保监会联合《企业内部控制基本规范》(于2009年7月1日起实施),促使我国的内部控制信息披露走向强制性之路。
改进我国企业内部控制的对策
(一)执行科学的内部控制标准并加强全面风险管理
上市公司应根据上交所的内控指引或COSO2004年的《企业风险管理综合框架》,结合自身的实际情况,从内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息和沟通以及监督八个互动的方面来合理设计、执行、完善企业的内部控制,加强对企业全面风险的管理。目标设定是全面风险管理的起点,企业要按照企业战略目标的要求设定。在完成目标设定之下,公司应对影响目标设定的风险进行识别,而后相应地开展风险应对,从而设计合理的控制活动、信息和沟通,以及监督,以便贯穿整个风险管理过程。
(二)加强会计人员职业道德建设
控制的目的最终都必然表现在人的行为上。只要人的行为是合规的,对这种合理行为的控制就没有必要;反之,只要人的行为不合规,对不合理行为就必须加以控制。对人的管理在企业中的重要性,也说明了人的素质在企业发展中的重要性。因此,一个企业形成良好的文化氛围,其内部员工的素质也会有较大的提高,并形成良好的职业理想和敬业精神。
(三)强化控制环境意识
按照COSO的定义,控制环境包括企业的道德观、管理理念和经营风格、董事会和审计委员会、组织结构和权责分配以及人力资源政策等。企业文化的凝聚功能,使员工对企业的价值观、企业精神、企业目标等产生认同感,协调人际关系又使员工产生归属感。控制环境对企业内部控制的影响是巨大的。长期以来,我国企业只注重建设监管当局要求的内部控制,而普遍缺乏强化内部控制环境方面的建设。因此,上市公司,特别是公司的董事会和高管要转变观念,增强内部控制环境建设。
(四)强化内部审计职能以加强期末财务报告的风险控制
由于执行内部控制信息披露,因此内部审计部门的定位非常重要。我国很多上市公司都设有内部审计部门,但由于在董事会层面没有相应的专门负责检查监督的部门,很多公司的内部审计部门是向总经理、财务副总、财务总监汇报。这样的内部审计部门的独立性较差。因此,有必要在董事会下面设置专门的内部审计组织或者由其下的审计委员会负责内部审计事宜。此外,由于期末财务报告编制的流程设计对财务报告的可靠性具有相当重要的影响,上市公司应合理设计期末财务报告的流程,特别应注意一些重要控制弱点的识别和控制,以完善期末财务报告编制的风险控制,增强财务报告的可靠性。
参考文献
1.吴水澎,陈汉文,邵贤弟.论改进我国企业内部控制—由“亚细亚”失败引发的思考[J].会计研究,2000(9)
内控合规管理报告范文第2篇
[中心词汇]内部控制评价;SOX法案;内部控制指引;美国;中国
随着现代企业的开展、证券市场的兴盛,作弊案件也随之添加,从而内部控制评价逐渐成为学术界关注的焦点。内部控制评价包括上市公司的自我评价和注册会计师的核实评价两局部,我国与之相对应的制度树立尚处于起步阶段。如何针对国情,剖析自创美国的阅历,树立起一套严密的内部控制评价制度,并使之有效运转,是促使上市公司树立健全内部控制制度,规避运营风险,保证资产平安,提高运营效率和效果,进而维护投资人利益亟待处置的效果。
一、美国的内部控制评价制度及其影响
(一)美国的内部控制自我评价制度
随着安然等财务欺诈案的频频曝光,2002年7月美国出台了经典的《萨班斯-奥克斯利法案》(以下简称SOX法案),完毕了内部控制信息披露方式之争,标志着内部控制评价进入了强迫性阶段。SOX法案404条款要求管理层对与财务报告相关的内部控制停止自我评价出具报告,并要求公司内部审计人员对管理层的评价停止认证和报告。
为了落实SOX法案,美国证券买卖委员会(SEC)采取了举动,于2002年10月第33—8138号提案,并于2003年8月最终规则,规则除了投资公司之外的上市公司都应在年度报告中包括一份关于内部控制的报告,并规则了报告的内容和格式,同时要求在年报中披露“注册会计师鉴证报告”。SEC规则与财务报告牢靠性有关的内部控制信息必需强迫性披露。
COSO于2004年9月在《内部控制一全体框架》的基础上提出了《企业风险管理-全体框架》(Enter-priseRiskManagementFramework,以下简称ERM),进一步拓展了内部控制内涵,如引入风险的概念,并将内部控制目的中的“财务报告牢靠性”扩展到了“报告牢靠性”,添加了“战略目的”,将内部控制评价要素从原来的“五要素”添加到“八要素”,这些打破更有力推进了内部控制评价的开展。COSO报告对内部控制框架研讨曾经比拟成熟,是企业管理应局和注册会计师对内部控制有效性评价的基础,不时为企业界停止内部控制管理和内部控制树立提供自创。
可见,SOX法案就内部控制自我评价提出强迫性要求、SEC就评价载体——自评报告内容与格式做出规则、COSO从概念界定人手界定了内部控制的外延并将评价要素扩展到八个,标志着美国的内部控制自我评价制度日趋完善。三者相互协调,亲密配合,构建出操作性较强的内部控制自我评价体系。
(二)美国的内部控制核实评价制度
内部控制自我评价报告作为投资决策的依据必需经注册会计师的鉴证。为维护投资人权益,美国注册会计师协会(AICPA)于2003年3月18日财务报告内部控制审计征求意见稿,规则群众公司审计包括财务报表审计和财务报告内部控制有效性审计两个局部,独立审计师需求对内部控制的设计有效性和执行有效性停止评价,并宣布审计意见;假设公司内部控制存在未更正的重要控制弱点,注册会计师不得宣布财务报告内部控制有效的无保管意见。
作为照应,美国上市公司会计师监管委员会(PCAOB)于2004年《评价准绳第2号——与财务报表评价协同停止的对财务报告内部控制的评价》,要求审计人员评价管理应局运用于评价主体内部控制的顺序方法的牢靠性,复核和运用一些管理应局和内审人员以及其他人员对内部控制评价进程取得的测试结果,或自己停止测试,以构成独立意见。该准绳为上市公司管理层关于财务报告内部控制有效性评价和注册会计师师评价公司的财务报表制定了要求并提供指引。2007年,PCAOB又出具了新的要求:《评价准绳第5号——与财务报表评价相整合的财务报告内部控制评价》,要求评价人员对内部控制评价采用风险导向的评价方法,将审计资源集中于能够招致严重错报风险的范围。
可见,美国的核实评价制度与自我评价制度相照应,仅限于与财务报表评价协同的财务报告内部控制评价。外延的特别限定可降低注册会计师的风险,添加核实评价的可操作性。这为世界各国遏制信息披露作弊,维护证券市场次第和投资人权益举动指明了方向,因此惹起普遍的关注。
二、我国的内部控制评价制度及其效果
美国作为资本市场最兴旺的国度,因其资本市场规则的严谨而历来被各国自创和效仿。SOX法案的出台催生了我国际部控制强迫性制度的发生,也促进了注册会计师对内部控制自我评价停止核实鉴证规则的出台。
(一)我国际部控制自我评价制度
1、证券买卖所的规则。2006年以前,我国关于内部控制的评价制度源于《地下发行证券信息披露规则》、《地下发行证券的公司信息披露内容与格式准绳》、《证券公司年度报告内容与格式准绳》和《初次地下发行股票及上市管理方法》,主要对证券、保险、商业银行等金融行业的内部控制评价提出要求,大局部上市公司处于自愿性评价阶段。随着中国航油(新加坡)有限公司事情及其他证券市场作弊和违规事情的发作,内部控制强迫性评价要求日益剧烈。上海证券买卖所于2006年6月5日了《上海证券买卖所上市公司内部控制指引》(以下简称《上交所内控指引》),于2006年7月1日末尾执行。其中,第三十二条规则:“公司董事会应在年度报告披露的同时,披露年度内部控制自我评价报告,并披露会计师事务所对内部控制自我评价报告的核实评价意见。”第三十三条规则:“公司内部控制自我评价报告至少应包括如下内容:内部控制制度能否树立健全;内部控制制度能否有效实施;内部控制反省监视任务的状况;内部控制制度及其实施进程中出现的严重风险及其处置状况;对本年度内部控制反省监视任务方案完成状况的评价;完善内部控制制度的有关措施;下一年度内部控制有关任务方案。”该指引明白要求上市公司在年报外独自披露内部控制自评报告,比美国的SOX法案的规则还要严厉。《上交所内控指引》虽规则了评价内容,但披露本钱较高,操作性差。同年,深圳证券买卖所也于9月28日了《深圳证券买卖所上市公司内部控制指引》(以下简称《深交所内控指引》),于2007年的7月1日执行。其中,第六十二条规则:“公司董事会应依据公司内部审计报告,对公司内部控制状况停止审议评价,构成内部控制自我评价报告。公司监事会和独立董事应对此报揭宣布意见。自我评价报告至少应包括以下内容:对照本指引及有关规则,说明公司内部控制制度能否树立健全和有效运转,能否存在缺陷;说明本指引重点关注的控制活动的自查和评价状况;说明内部控制缺陷和异常事项的改良措施;说明上一年度的内部控制缺陷及异常事项的改善停顿状况。”该指引要求上市公司随年度报告披露内部控制自评报告,并就自评报告内容做出规则,其披露项目及陈列顺序与《上交所内控指引》基本相反。
2、内部控制规范委员会的规则。为了一致我国的内部控制的树立并完善企业管理结构和内部约束机制,2006年7月15日财政部等五部委成立了内部控制规范委员会,于200§年6月结合了《内部控制基本规范》以及《企业内部控制运用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》征求意见稿(以下简称“配套指引”)。基本规范明白了内部控制目的、准绳、要素等实际基础,三个配套指引处置操作性效果。经过一年多的征求意见,2008年6月28日《企业内部控制基本规范》正式,于2009年7月1日在上市公司范围内执行,现又推延至2010年1月1日执行。该规范第四十六条规则:“企业应结合内部监视状况,活期对内部控制的有效性停止自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、顺序和频率,由企业依据运营业务调整、运营环境变化、业务开展状况、实践风险水平等自行确定。”为控制评价规范的树立奠定了基础。
(二)我国际部控制核实评价制度
《上交所内控指引》第三十三条规则,“会计师事务所应参照主管部门有关规则对公司内部控制自我评价报告停止核实评价。”《深交所内控指引》第六十三条规则:“注册会计师在对公司停止年度审计时,应参照有关主管部门的规则,就公司财务报告内部控制状况出具评价意见。”以上两个指引提出了对内部控制自我评价报告出具核实评价报告的要求。
注册会计师对内部控制出具核实意见的依据是2002年9月中国注册会计师协会的《内部控制审核指点意见》(以下简称《指点意见》)。其第二条规则:“本意见所称内部控制审核,是指注册会计师接受委托,就被审核单位管理应局对特定日期与财务报表相关的内部控制有效性的认定停止审核,并宣布审核意见。”第二十九条规则:“注册会计师应当复核与评价审核证据,构成审核意见,出具审核报告。
财政部2006年公布的《中国注册会计师审计准绳第1121号——了解被审计单位及其环境并评价严重错报风险》(以下简称《第1121号准绳》),其中第四十五条规则:“注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型,思索招致严重错报风险的要素,以及设计和实施进一步审计顺序的性质、时间和范围。”第四十六条规则:“内部控制是被审计单位为了合理保证财务报告的牢靠性、运营的效率和效果以及对法律法规的遵守,由管理层、管理层和其他人员设计和执行的政策和顺序。’’第四十七条规则:“内部控制包括下列要素:控制环境;风险评价进程;信息管理系统与沟通;控制活动;对控制的监视。”
《指点意见》就注册会计师核实评价提出强迫性要求;《第1121号准绳》就评价内容做出规则,并界定了内部控制的概念及其要素。
(三)简明评述
美国的证券市场成熟,制度健全,其内部控制评价阅历了从自愿性到强迫性披露的进程,相关法规和制度曾经很丰厚和完善,各项制度协调分歧,相互配合。SOX法案刚刚出台,SEE、COSO、CICPA、PCAOB等部门都纷繁做出照应,支持SOX法案的落实,并在实际上与SOX法案坚持分歧。我国受美国际部控制评价制度开展的影响,出台了强迫性披露规则,末尾了内部控制评价规范的树立,出台了注册会计师核实评价规则。但是,面对我国社会各界,如公司管理层、注册会计师和投资人对内部控制认同度低;证券市场起步晚,时间短,全体规模小,结构不完善的理想,上述内部控制评价制度显然站位过高,接轨过快,曾经引发了内部控制评价和披露方式化,过于复杂,以及制度并未失掉有效执行等效果。笔者以为缘由如下:
1、评价规范滞后。美国的SOX法案出台后,SEE立刻制定了配套的评价规范。我国两个买卖所内部控制指引出台两年后才公布《内部控制基本规范》,三个配套指引尚在征求意见;就《内部控制基本规范》而言,原定2009年7月1日执行,现又推延至2010年1月1日起执行。评价规范的缺失使上市公司元所适从。
2、评价制度之间不协调。首先,《内部控制基本规范》、《上交所内控指引》、《深交所内控指引》及《内部控制审核指点意见》对内部控制概念界定、评价主体、自评报告审核主体各有不同的规则;内部控制要素等的规则,《内部控制基本规范》、《上交所内控指引》和《深交所内控指引》也各不相反;《上交所内控指引》和《深交所内控指引》要求注册会计师对内部控制自我评价报告停止鉴证,而《内部控制基本规范》却没有明白说明。其次,2006年《上交所内控指引》要求上市公司于2006年7月1日起执行强迫披露内部控制评价报告,但是在2008年1月《关于做好上市公司2007年年度报告任务的通知》中,只是鼓舞有条件的上市公司同时披露董事会对公司内部控制的自我评价报告和审计机构对自我评价报告的核实评价意见,两者前后矛盾。
3、注册会计师核实评价范围大,从业风险很难规避。美国的核实评价制度仅就与财务报告相关的内部控制做出核实评价,而我国在内部控制自我评价的相关制度中,把内部控制评价的范围界定为狭义的视角:包括了公司战略层面、运营层面、财务报告层面及恪违法律层面。而在注册会计师内部控制核实评价制度规则上与内部控制自我评价制度相对应,范围逾越了财务报告内部控制范围。假设依据本钱效益准绳,把关注的重点放在与财务报告相关的内部控制上,出具的鉴证报告将带来审计合规性与核实评价完整性的质疑,风险在所难免。
三、完善我国际部控制评价制度的意见
针对上述效果,笔者以为应采取以下措施完善我国际部控制评价制度。
第一,尽快出台并实施内部控制评价规范。目前上市公司内部控制自我评价报告披露方式多种多样,评价依据也存在差异,信息运用者不能识别内部控制状况的优劣,无法做出合理的判别。因此,现已的《内部控制基本规范》的三个配套指引的征求意见稿应尽快完善出台,规范自我评价报告,为投资者决策提供依据。
内控合规管理报告范文第3篇
【关键词】 内部控制;公司治理;信息披露;自我评价
针对国内财务舞弊、欺诈、内部人控制现象越来越严重的事实,近年来国内关于公司治理、内部控制和风险管理的法律规范适时颁布:1999年修订的《会计法》,第一次以法律的形式提出单位内部会计监督的要求,其本质是内部会计控制;2001年财政部先后制定颁布的《内部会计控制规范――基本规范》和一系列具体会计控制规范,是内部控制进入实务规范的转折;2001年证监会和国家经贸委联合公布《上市公司治理准则》,全面推动了我国上市公司治理结构的制度建设;2002年中国人民银行制定的《商业银行内部控制指引》,成为我国监管部门推动内部控制进程的有力工具;2006年国资委出台《中央企业全面风险管理指引》,提出具备条件的企业在董事会设立风险管理委员会,旨在避免类似于中航油巨亏等事件的重演;2006年财政部、国资委、证监会、审计署、银监会、保监会等部门共同发起成立企业内部控制标准委员会,并于2008年联合了《企业内部控制基本规范》,标志着我国企业内部控制规范建设取得了重大突破。由此可见,国内企业内部控制面临的主要问题不是内控制度的缺失。为了保证内部控制的有效运行,结合Treadway委员会于2004年底的《企业风险管理――综合框架》(简称ERM框架)和美国公众公司会计监督委员会(简称PCAOB)于2007年5月的原则导向的第5号审计准则提出几点建议。
一、保证公司治理与内部控制的有效对接和良性互动
关于公司治理与内部控制的关系,一直是一个没有清楚界定的问题。狭义的公司治理主要规定了公司的各个参与者的责任和权利分布,诸如董事会、经理层、股东和其他利益相关者,并且清楚地说明了决策公司事务所应遵循的规则和程序。公司治理通常包括内部治理机制和外部治理机制。内部治理机制主要包括董事会、股权结构、管理层激励计划以及审计委员会等。外部治理机制主要包括经理人才市场、公司控制权市场、产品市场竞争、资本市场、中介机构、外部审计、债权人的监控以及法律与信息披露制度等。
笔者认为内部公司治理与内部控制有着更为紧密的关系,不能人为地将二者机械地分割,二者之间的关系实际上是一种互为因果的关系。无论是在控制主体、控制手段、适用对象,还是在目标和内容上,内部公司治理与内部控制都有很多交叉点和共同点。内部控制一般由人设计,而人的目标函数与委托人的目标函数是不一致的,在公司运行中为了维护股东的地位和权利,公司治理规范中必须提出对内部控制构建的基本要求,从而保证内部控制的目标与公司治理目标的高度一致。健全的内部公司治理能够使得内部控制得到有效的运转,而良好运行的内部控制又能够促进内部公司治理的完善。从理论上看,内部公司治理主要解决的是所有者、董事会和经理层的制衡关系,是用来激励、约束和监督经营者的控制制度;而内部控制则主要是管理当局与其下属之间的管理控制关系,是面向较低层级的管理人员和员工的控制。通过将公司治理与内部控制进行有效对接以及二者的良性互动,可以实现对公司全方位和多层次的全面控制。也就是说,通过建立健全的内部公司治理机制可以解决对于董事会和总经理的约束、监督和激励问题,而通过建立运转良好的内部控制机制则可实现对总经理及其以下管理人员和员工的控制和激励问题。同时通过公司内部的岗位设置、人员配备、工作程序和行为手册的制订,解决业务报告系统中存在的机会主义行为。因此,只有建立公司治理与内部控制的有效对接和良性互动,才能保证内部控制和公司治理的有效运行,否则即使是设计良好、健全严密的内部控制制度也很难达到预期的控制成效。
事实上从内部控制发展的历程以及ERM框架来看,也体现了这一思想。1992年的COSO报告将公司内部控制的设计与评价权赋予公司经营者,当时并没有认识到股东大会和董事会对内部控制有效运行的重要性。将内部控制职责交给总经理或经营层的最大问题在于,内部控制可能会有效防止下层管理人员和员工的一些舞弊行为,但是无法监督和揭露公司高管的舞弊行为,而这恰恰是安然公司等事件的根源。中海油事件所暴露出来的也是这一问题,应该说中航油的危机是和总裁陈久霖的独断专行有着直接的关系。鉴于对1992年COSO报告的广泛批评,COSO报告在1994年进行了修订,将有关股东大会、董事会等公司治理的内容纳入控制环境的论述中。认为“一个客观、能动和富有调查精神的董事会,能够及时发现并纠正经理层违反内部控制的行为”。其后的ERM框架则特别强调董事会在公司风险管理方面的重要角色。
综上所述,公司的内部控制乃至风险管理制度要得到有效的贯彻实施,不仅包括其制度规范的建立,更重要的是应该得到有效的执行,而其有效执行离不开健全有效的公司治理机制及其与公司内部控制的对接和互动。
二、改善公司内部控制的信息披露
关于内部控制是否应该强制性对外披露及其披露内容一直存在争议,著名的COSO委员会及其报告《内部控制――综合框架》建议,由管理当局或其指定的人员(如内部审计人员)定期对公司内部控制的设计和执行情况进行评价,并出具评价报告,注册会计师对管理当局的内部控制报告出具审核意见,内部控制评价报告和注册会计师的验证报告一并对外披露。尽管如此,内部控制始终未成为信息披露的内容。安然、世通等会计丑闻发生以后,美国国会2002年通过了萨班斯法案(简称sox法案),正式提出公司必须强制性披露内部控制报告。该法案404条款规定,根据1934年证券交易法中13(a)或15(b)条编制的所有年报,必须包含内部控制报告,报告应当:(1)声明管理层对于建立和维护充分的财务报告内部控制的责任;(2)包含一个对于发行人公司最近会计年度末财务报告内部控制有效性的评价。同时,该条款要求注册会计师对管理层的财务报告内部控制评价的报告进行鉴证和发表审计意见。作为响应,SEC于2002年10月22日第33~8138号提案,并于2003年6月颁布最终的规则。根据该规则,除了投资公司之外的上市公司都应在年度报告中包括一份管理当局关于公司财务报告内部控制的报告,报告内容包括:管理当局的声明;管理当局评价财务报告有效性所依据的规则框架;管理当局对财务报告内部控制有效性的评价;表明注册会计师已经对本报告实施了审核,如公司内部控制存在的薄弱环节必须予以描述。
作为对sox法案404条款和SEC规则的配套,AICPA于2003年3月财务报告内部控制审计的征求意见稿。2004年12月,PCAOB正式的财务报告内部控制审计准则(即第2号审计准则,简称AS No.2)。在AS No.2中,包括财务报告内部控制的审计目标;财务报告内部控制的定义;管理当局指导评估的框架;财务报告内部控制的固有局限、合理确认;财务报告内部控制审计中管理当局的职责;财务报告内部控制审计中的重要性分析;财务报告内部控制审计中的舞弊分析;财务报告内部控制审计的执行、证据、报告、披露确认以及沟通和有效期间等。自AS NO.2颁布以来,历时虽不久,但是反映出了一些问题,比如实施成本过高等。2007年5月24日,PCAOB一致通过了以《第5号审计准则》(简称AS No.5)替代早前的、有争议的AS No.2。AS No.5在很大程度上改变了内部控制审计的思路,代表了管制者对那些不得不遵循sox404条款公司提出问题的合理回应,使得执行内部控制审计的成本有所降低,并且使对内部控制审计的操作和实施更为简便易行。
由此可见,通过建立对公司财务报告内部控制的强制披露和审计要求,必将对公司形成更大的震慑,从而增加公司内部控制的有效性,也可以增加公司内部控制报告的可靠性以及信息披露的可信度。与此同时,针对内部控制基础上的抽样审计和风险审计导向,也不会给注册会计师增加更多的成本和风险,这对我国可能具有积极的借鉴意义。从我国的现实情况来看,我国上市公司多数是原国有企业进行股份制改造而来的,大股东和国有股东的代表基本上控制了公司的董事会,流通股股东在董事会的代表性不足,从而造成公司的经营决策权集中于少数人手中。在这种内部公司治理不健全的情况下,控制环境就会相对比较薄弱,再加上我国外部公司治理机制还不完善,其结果将是公司高管可能凌驾于内部控制之上,从而造成高管舞弊案件无法遏制并层出不穷。在这种情况下,应充分考虑到我国公司内部控制构建情况参差不齐的现状,建立财务报告内部控制的强制性披露要求与披露内容可选择性相结合、强制性披露与鼓励性披露相结合的做法,并将内部控制的责任落实到具体的人――实际执掌公司大权的关键人和实际负责公司资产安全和财务可靠性的高级管理者,这将对有关人员形成强大的威慑作用,从而达到使内部控制有效运行的目标。
三、建立内部控制的自我评价体系
从中航油事件来看,可以发现公司如果仅仅建立一个形式上完备的内部控制制度,而没有有效的评价机制,就会导致内部控制制度得不到完善甚至无法有效运行。内部控制的自我评价,简单来说就是公司定期或不定期对自己所属子公司的内部控制系统进行评价,评价内部控制的有效性及其实施的效率效果,以期能更好地实现内部控制的目标。sox法案的颁布,以及SEC和PCAOB相继的财务报告内部控制报告的规则和审计规则,在全球形成了一股对内部控制进行自我评价的浪潮。内部控制自我评价的要点包括:关注业务流程和控制成效;由职能部门和业务部门进行;参与人员除了内审人员还包括业务流程的具体执行人员;用系统化的方法进行评价活动。国外从上世纪80年代起开始流行这种评价系统,国内从宝钢试点开始进行自我评价,应该说内部控制自我评价还是一种新兴的审计技术和方法,还有待改进和完善(如公司内部控制自我评估和会计师事务所的核实评价缺少事实上的统一标准),而且在具体运用中要结合我国的具体国情和公司的特殊情况。通过这种评价系统,必将提高公司的管理水平,实现内部控制的有效运行。
【参考文献】
[1] 李连华.公司治理结构与内部控制的链接与互动[J].会计研究,2005(02):64-69.
[2] 杨有红,胡燕.试论公司治理与内部控制的对接[J].会计研究,2004(10):14-18.
[3] 杨有红,汪薇.2006年沪市公司内部控制信息披露研究[J].会计研究,2008(03):35-42.
[4] 朱荣恩,应唯,袁敏.美国财务报告内部控制评价的发展及对我国的启示[J].会计研究,2003(08):48-53.
内控合规管理报告范文第4篇
财政部、证监会等五部委2008年《企业内部控制基本规范》,要求企业建立和完善内部控制。企业内部控制意义重大,其目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。企业健全内部控制,制定评价管理制度是一大关键。作为实施《企业内部控制基本规范》的先行者、中国上市公司董事会金圆桌奖“优秀董事会”得主,徐工集团工程机械股份有限公司高度重视内控,制定了完善的内部控制评价管理制度。
统一领导,分级管理
内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。企业应当在董事会下设立审计委员会,审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。
徐工机械的内部控制评价按照“统一领导,分级管理”的原则进行,即董事会负责领导、公司审计部门和公司内部控制日常管理办公室负责具体组织和实施、公司下属各分子公司负责本单位的内部控制评价工作。
据徐工机械内部控制评价管理制度:内部控制评价工作应形成工作底稿,详细记录公司执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等,工作底稿通过一系列评价表格来实现,对每个要素核心指标进行分解、评价,并最终汇总出评价结果。公司实施内部控制评价至少应遵循下列原则:(一)风险导向原则。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。(二)一致性原则。内部控制评价应当采用统一可比的评价方法和标准,保证评价结果的可比性。(三)公允性原则。内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。(四)独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。(五)成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。
科学确定标准
内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。实践中,一些企业漠视缺陷,出现了不少重大缺陷,后果严重包括相关责任^被监管处罚、承担刑事责任。根据企业内部控制规范体系对重大缺陷、重要缺陷和一股缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,徐工机械董事会研究确定了适用于本公司的、科学的内部控制缺陷具体认定标准。
缺陷评价分为定量和定性两方面。其中,徐工机械财务报告内部控制缺陷评价的定量标准如下。重大财务报告相关内控缺陷:该等缺陷可能导致的潜在错报金额占本公司上年度经审计的年度合并财务报告中资产总额0.25%、营业收入0.5%或税前利润5%及以上,为重大缺陷。重要财务报告相关内控缺陷:该等缺陷可能导致的潜在错报金额占本公司上年度经审计的年度合并财务报告中资产总额0.125%、营业收入0.25%或税前利润2.5%及以上,但小于重大财务报告相关内控缺陷定量标准的,为重要缺陷。一般财务报告相关内控缺陷:低于上述重要性水平的其他潜在错报金额。
财务报告内部控制缺陷评价的定性标准,如果发-现的缺陷符合以下任何一条,应当认定为财务报告内部控制重大缺陷:该缺陷涉及高级管理人员任何舞弊;该缺陷表明未设立内部监督机构或内部监督机构未履行基本职能;当期财务报告存在依据定量标准认定的重大错报,控制活动未能识别该错报,或需要更正已公布的财务报告。如果发现的缺陷符合以下任何一条,应当认定为财务报告内部控制重要缺陷:当期财务报告存在依据定量标准认定的重要错报,控制活动未能识别该错报,或需要更正已公布的财务报告;虽然未达到和超过该重要性水平,但从性质上看,仍应引起董事会和管理层重视的错报。除上述两种情况规定的缺陷外的其他财务报告内部控制缺陷应当认定为一般缺陷。
健全、有效
在徐工C械,公司所有内部控制评价活动都由董事会审计委员会统一负责监督。公司对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。公司应当就发现的内部控制缺陷提出整改建议,并在必要时报董事会(审计委员会)批准。公司管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。
内控合规管理报告范文第5篇
摘要:公司规模与上市公司是否自愿披露内部控制鉴证报告正相关,规模大的公司既有实力也有意愿披露更多信息。本文选取深市2010 年和2011 年披露年报的中小上市公司为研究对象,实证分析了中小板上市公司对外披露的内部控制鉴证报告的影响因素,结果显示:盈利能力与中小上市公司内控鉴证报告自愿披露与否正相关,上市年限、公司是否违规、股权集中度与内控鉴证报告自愿披露与否显著负相关,财务报告可靠性与上市公司是否披露内控鉴证报告无显著相关性。
关键词 :内部控制鉴证报告;影响因素;中小上市公司
一、问题提出
《企业内部控制基本规范》指出,企业应结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告,但未对中小上市公司作强制披露要求。我国学者从不同视角对内部控制进行了探讨,但大多将内部控制信息披露的形式、现状以及评价依据作为研究重点,而对内部控制鉴证报告影响因素的研究相对较少。深市A 股自愿披露内控鉴证报告的中小上市公司数量由2010年的285家增长到2011 年的409 家,披露比例由2010年的51.60%上升到2011年的73.83 %,中小上市公司为何自愿承担额外成本和法律风险去披露内控鉴证报告呢?
二、理论分析及研究假设
(一)理论分析
上市公司大多仅依照相关法规和监管机构的规定强制披露信息。但上市公司为保持竞争优势,除强制性信息披露外,还必须自愿披露更多相关信息。
信号传递理论认为,内控质量较高的上市公司往往会自愿性披露更多有关内部控制及相关财务信息,向资本市场传递有关公司质量的利好消息,使本公司有别于其他公司,以取得竞争优势,获取高额利润,降低公司的资本成本,提升企业价值。此外,根据理论,问题也可能使得上市公司更加倾向于自愿性披露内部控制信息。即当信息不对称问题和冲突较严重时,管理者将更倾向于自愿性披露更多内部控制信息。
(二)研究假设
根据现状分析的结论,结合国内外学者对自愿性信息披露的研究成果,我们提出以下假设。
假设1:公司是否披露内部控制鉴证报告与公司规模正相关。
公司所有者(委托人)与管理者(人)之间是委托关系,当人自身利益与公司利益矛盾时,人为追求自身利益往往会忽视公司利益而产生成本。当公司规模越大,其降低成本的动机就越强烈。在面临公众舆论、社会责任等压力时,为塑造良好市场形象,低成本,公司信息披露亦越详尽。
假设2:公司是否披露内部控制鉴证报告与公司盈利能力正相关。
上市公司是以获取利润最大化为经营目标的盈利性组织。内部控制能保证公司经营效率,可同公司经营目标形成良好互动。公司内部控制越完善,其经营效率就越有保证,盈利能力也越强;反之,公司的盈利能力越强,公司的经营效率越高,内部控制也越完善。公司内控质量越高,管理层越有将内控鉴证报告向资本市场传递的动机,获得广大投资者的支持和认可,引导优质资源流向本公司,提高经营效率。管理层对公司的内控质量有信心,也表明其对公司盈利能力有信心。
假设3:公司是否披露内部控制鉴证报告与公司上市年限负相关。
新上市的公司在IPO 阶段会面临更加严苛的监管披露要求,作为资本市场的“新手”为吸引资本市场投资者的目光,其对新规则可能更敏感,执行新规章的意愿也愈加强烈,更倾向于披露较多的内部控制信息。我国内部控制信息披露法规是一个逐步完善过程,信息的供需双方以及监管部门都在经历一个共同的学习历程。由于早期内控监管法规不尽完善,早期上市的公司大多未能建立起有效的内部控制制度,随着证券市场监管的不断规范和制度日趋完善,后上市的公司在内控制度建立方面也可能更具后发优势。
假设4:公司是否披露内部控制鉴证报告与公司是否违规负相关。
内部控制的目标之一是保证企业经营地合法合规。上市公司一旦发生了违规,则表明该公司在内部控制设计或运行环节存在缺陷,将面临证监会、证券交易所的处罚。根据信号传递理论,发生违规而受到证监会处罚的公司不会倾向于自愿披露内部控制鉴证报告。
假设5:公司是否披露内部控制鉴证报告与公司财务杠杆正相关。
财务杠杆将股东和债权人紧紧联系在一起,增加了财富从债权人向股东转移的可能性。当公司的财务杠杆比率较高时,其年报信息披露不仅要满足广大股东需求,亦要满足长期债权人希望从公司管理层处获得相关信息以保证他们没有违反或不尽职履行债券契约的特殊要求。上市公司认为,详尽的信息披露可以减少债权人投资的不确定性,增加债权人的投资信心。内部控制鉴报告在一定程度上能有效反应出公司运作和风险控制方面的重要信息,保证财务报告真实可靠。内部控制鉴证报告可作为利益相关者重大决策的参考信息,其披露有助于维系企业与债权人之间的关系。
假设6:公司是否披露内部控制鉴证报告与控股股东持股比例负相关。
股权集中度是指公司股权集中于一个或者几个大股东的数量特征,在一定程度上反应股东对公司的影响,反应大股东对公司内部控制建设的影响程度。公司股权集中度越高,股权越集中,控股股东越有可能拥有公司绝对控制权,控股股东很可能与管理层合谋,利用信息不对称来侵蚀中小股东的利益,公司管理层和股东往往不会主动为外部信息使用者披露内部控制信息,股权集中度与自愿披露水平负相关。
假设7:公司是否披露内部控制鉴证报告与公司财务报告可靠性正相关
内部控制的核心目标就是保证公司出具的财务报告可靠。内部控制与财务报告可靠性间有一定相关性,注册会计师如对公司财务报告出具了非标准无保留审计意见,则表明该公司的年度报告的真实性、公允性和可靠性或者其他方面或多或少遭受质疑,也在一定程度上反映出该公司内部控制制度设计和运行可能存在缺陷,将会降低其对外披露内部控制信息的动力。
三、研究设计
(一)变量定义
为检验中小上市公司自愿披露内部控制鉴证报告的影响因素,设计如表1的变量进行统计分析。
(二)模型构建
根据研究需要,因变量ICSAR 为虚拟变量,其取值为0 或1,以公司自身特征、公司治理结构和财务报告可靠性等为自变量,建立如下二项Logistic回归方程:
Ln(P(ICSAR=1)/[1-P(ICSAR=1)])=ΣβiXii +ε=β0+β1SIZE+β2EPS + β3AGE +β4VIOLIT + β5 LEV+β6SHA +β7SJYJ +ξ
其中:β0 为常数量;β1 ~ β7 为回归系数;ξ 为随机项
(三)数据来源及处理
本文选取深圳证券交易所2011 年披露年报的中小上市公司为研究对象,剔除ST、金融类、信息披露不规范和不完整的上市公司,共筛选出符合条件的中小上市公司554 家公司。公司内部控制鉴证报告来自于深圳证券交易所披露的定期报告,其余数据均来源于CSMAR 数据库。
四、实证分析
(一)描述性统计
从表2 可知,公司规模、上市年限、财务杠杆、股权集中度与上市公司是否自愿披露内部控制鉴证报告呈正相关;盈利能力则与上市公司是否自愿披露内部控制鉴证报告呈负相关;各变量均取得了与预期相同的结果,但T检验结果显示,除公司规模外,其余变量差异不明显。
(二)相关性分析
(三)Logistic 回归分析
因变量ICSAR 为二分变量,本文选择二项逻辑回归方法进行统计检验,结果如表5。
由表5 可知,模型的卡方值=57.35,在0.05 显著性水平下模型通过整体显著性检验;Nagelkerke R2=0.457,模型可以解释总体状况的45.7% , 模型拟合程度较好;EPS、SIZE、AGE 的P 值分别为0.000、0.019 和0.012, 显著性概率均小于0.05, 表明回归系数在0.05 置信水平上显著,但VIOLIT、LEV、SHA和SJYJ等未通过显著性检验;模型中各自变量的估计系数与预期符号一致。
五、研究结论
公司规模与上市公司是否自愿披露内部控制鉴证报告正相关,表明规模大的公司树立良好企业形象,有实力也有意愿披露内控鉴证报告。盈利能力与上市公司是否自愿披露内控鉴证报告显著正相关,即盈利性越强的上市公司更愿意自愿披露内部控制鉴证报告。上市年限与上市公司是否自愿披露内控鉴证报告显著负相关,即新上市公司自愿披露内控鉴证报告的动力强、水平高,这既是资本市场监管不断加强的体现,也表明新上市公司更乐于向市场传递积极的信号。公司是否违规与上市公司是否自愿披露内控鉴证报告显著负相关,即违规公司披露内控鉴证报告的可能性很小。股权集中度与上市公司是否自愿披露内控鉴证报告呈负相关关系,和预期的方向一致但相关性不显著,原因可能是我国资本市场尚不完善,公司股权集中度差别不显著。财务报告可靠性与上市公司是否披露内控鉴证报告正相关,同预期方向一致但相关性不显著,可能是上市公司是否会自愿披露内控鉴证报告既受我国资本市场不成熟、监管不到位影响,也取决于公司自身特征及其治理结构的合理性。
本文的局限性: 本文有一定的局限性,仅选取了中小上市公司作为研究样本, 未能全面反映我国上市公司的总体情况;仅从公司基本特征,公司治理结构与财务报告可靠性等三个角度研究了内部控制鉴证报告自愿性披露的影响因素,造成个别实证检验结果与理论假设不相符, 今后将使用大样本并从不同的视角进行深入研究来验证和完善。
参考文献:
[1]殷枫.公司治理结构和自愿性信息披露关系的实证研究[J].审计与经济研究2006(2):88-92.
[2]范德玲,刘春林,殷枫.上市公司自愿性信息披露的影响因素研究[J].经济管理,2004(20):69-75.
[3]王跃堂.会计政策选择的经济动机———基于沪深股市的实证研究[J].会计研究.2000 (12): 31-40.
[4]蔡吉甫.我国上市公司内部控制信息披露的实证研究[J].审计与经济研究(2005(2)85-88.
[5]林斌,饶静.上市公司为什么自愿性披露内部控制鉴证报告—————基于信号传递理论的实证研究[J].会计研究,2009(1).
[6]曹建新,詹长杰.上市公司内部控制信息自愿性披露动机研究[J].财会月刊,2010(35):7-10.
