标题 | 我国企业内部控制自我评价报告信息披露研究 |
范文 | 张慧 为稳定安然、世通等事件造成的资本市场混乱,美国于2002年开始强制要求上市公司披露内部控制自我评价报告。自2008年起,我国相继颁布了《企业内部控制基本规范》、《企业内部控制指引》等文件,逐步完善了企业内部控制法制化体系,并要求境内外同时上市的67家公司作为试点单位在2011年做好财务报告内部控制的建设、自我评价和审计工作,并披露内部控制自我评价报告。 一、目前企业内部控制评价中存在的分歧 通过对67家试点单位内控自评报告进行描述性统计,研究发现在以下三方面还存在分歧: (一)对财务报告内部控制还是全面内部控制进行评价 《企业内部控制基本规范》中所称内部控制是包括企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果和促进企业实现发展战略这五个全方位目标的,而《企业内部控制审计指引》第四条规定“注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加‘非财务报告内部控制重大缺陷描述段予以披露。”可见,我国现阶段的内控审计是一种介于“全面内控”与“财务报告内控”之间的中间状态,是以财务报告内部控制为主体,同时兼顾非财务报告内部控制的审计制度。 在这种制度规定下,各企业的评价范围也不相一致,根据统计数据,67家试点单位虽都披露了公司内部控制的目标,但其中43家以内控五目标作为公司内部控制的目标,占64.18%,24家以财务报告内部控制作为公司内部控制的目标,占35.82%。 (二)对特定时点还是特定时期的内部控制进行评价 目前,国内外普遍要求对特定基准日的内部控制进行评价,《企业内部控制评价指引》第二十六条要求企业“以12月31日为特定基准日对内部控制有效性进行评价”。但在67家自评报告中,有46家出现了“对公司截至2011年12月31日的内部控制设计与运行的有效性进行了自我评价”的语句,占68.66%,10家出现了“截止2011年12月31日,本公司内部控制制度健全且执行有效”的语句,占14.93%,统计表明,目前多数企业在实务中对评价时间的界定与相关规定存在分歧。 (三)披露简式还是详式的内部控制自我评价报告 目前,美国对外披露的内部控制评价报告都是标准化简式的—管理层用标准化的语句简单陈述管理层的责任、评价框架、有效性评估、自评报告审计情况。在我国制度规定要求下,我国企业披露的内部控制评价报告多是详式的—在67家试点单位中有61家披露详式的自评报告,占91.04%。 二、对完善我国企业内部控制自我评价信息披露的建议 (一)关于内部控制评价范围的确定 1.扩大评价范围的优点 出于对报告义务和成本负担的考虑,目前国内外普遍将评价范围限定为财务报告内部控制。但随着内部控制理论从内部牵制发展到内部控制框架,内部控制的目标已从最初的对会计账项的控制发展到对企业经营管理全方位、全过程的管控,其目标不仅包括财务报告的可靠性,还有经营效率与效果、相关法律法规的遵循性。为使内部控制评价达到完善内部控制体系的作用,避免对非财务报告内部控制的忽视,内部控制评价的范围自然应与内部控制目标的范围相一致。 拓宽内部控制评价的范围不仅可以使包括投资者在内的企业外界各利益相关者更多的了解公司治理与管理规范化程度、企业抗风险能力,更大程度满足投资者的信息需求,增强投资者信心;也可使企业通过全面检测和反省内部控制设计与运行的情况来持续提高内部控制系统与控制环境的藕合度,不断消除内部控制缺陷,增强企业抗风险的能力。 2.对财务内控进行全面评价,对全面内控进行部分评价 目前,对财务报告内部控制进行评价,可以参照对会计工作相关岗位分离、监督复核的规范要求,以财务指标作为评价的量化标准,还可以财务报表的审计意见为参考,在操作上可行且易行。但由于企业的内外部环境各不相同和管理的艺术性,如何对包括内部环境、风险评估、控制活动、信息与沟通、内部监督这五要素在内的内部控制体系建立评价标准是一个难题,例如对企业文化、组织架构等内部环境因素难以建立客观、统一的评价标准,企业在实际评估过程中也难以对企业文化进行评估。但并非所有非财务报告内部控制都难以评价,例如对采购、销售流程的规范性可通过审查业务审批文件进行评价。所以,应对财务内控进行全面评价、对全面内控进行部分评价。 (二)关于内部控制评价时间的界定 1.对特定时点进行评价的逻辑谬误 内部控制是持续不断的管理过程,整个过程的合规、高效影响到财务报表的质量、企业经营的效率和效果、对法律法规的遵循,内部控制评价也是为了保证这一过程的合规、高效,其评价的时间范围自然也应是整个时期。 对特定时点的内控进行评价是值得商榷的:(1)对特定时点内控进行评价的有效性值得怀疑:特定时点的内部控制是一种固定的状态(结果),对这一状态(结果)的评价不受其前期过程的规范、高效程度的影响,即若企业一笔销售业务的审批流程存在问题,但在特定基础日只对销售业绩进行评价是无法发现审批流程中的缺陷,或企业为粉饰中期财务信息进行会计造假,但在特定基准日进行了差错更正,则特定基准日的内部控制仍然有效;(2)对特定基准日内控进行评价的评价范围及证据获得也有待商议:对特定基准日的内部控制有效性进行评价,其所指的内部控制是指企业的所有控制点的内部控制还是特定基准日发生、涉及到的控制点的内部控制?如果是指所有控制点的内部控制,那只能获取以前时点相同控制点内部控制有效性的证据,但依赖以前时点相同控制点内控有效性的证据只能证明那一点内控的有效性,并不能合理递延证明以后时点相同控制点的内控也有效。如果是指特定基准日所涉及到的控制点的内部控制,那其评价的范围极其狭窄,恐怕只是所要求的内部控制内容的冰山一角,而我们不能以偏概全的以某一控制点内控的有效性证明其他控制点的内控也有效。所以,对特定时点的内控进行评价,本就是一个逻辑谬论,更不提其评价的信息价值。 2.对特定时期的内控进行评价 由于对特定时点的内部控制进行评价,其有效性难以得到保证,所以对企业内部控制评价的时间界定应以特定基准日为截止日期,但评价的范围仍应是整个时期。 审计一开始就是对行为或过程的鉴证,对特定时期的内部控制有效性发表意见,其实质是审计在高层次上的回归,只有对特定时期的内部控制有效性进行评价,才能保证内部控制评价的质量,避免给予企业推免责任的空间,才能保证企业经营、管理全方位、全过程的合规、高效及内部控制目标的实现。 (三)关于自评报告的详简程度 1.对自评报告详略的权衡 披露详式的自评报告,虽可以让投资者获得更多公司内控建设与维护、公司治理与管理规范化程度、抗风险能力的信息,而且与简式报告相比,详式的报告本身可以对内部控制有效性的结论给予证据支持,给投资者带来一种可靠感,从而降低融资成本。但由于个体的能力水平的不同和主体上的差异,面对详式自评报告繁冗的信息和各企业不相一致的报告格式可能会影响获取有效信息的效率和效果,所以内部控制自评报告的信息价值含量并不取决于报告的详简,而是报告是否清晰披露了核心信息—董事会对报告内容真实、准确和完整的责任,内控评价框架及对内部控制有效性的判定。 2.披露标准化简式的自评报告 为保证企业的自评报告清晰、准确的提供了核心信息,并出于对信息披露成本的考虑,可要求企业披露标准化的简式报告。首先,自评报告需要明确其责任主体;其次,需披露内部控制评价框架;最后,要对企业内部控制的有效性做出判定。根据统计数据,目前在内部控制评价框架方面对缺陷认定的定量标准披露有待提高,在67家公司中只有20家公司同时披露了财务报告内控缺陷定量标准和非财务报告内控缺陷定量标准,占29.85%;在内部控制有效性判定方面,企业披露动机不足,在67家公司中只有1家公司披露存在重大缺陷,在另外66家公司中,有27家没有明确提及是否存在非重大缺陷,占40.91%,39家披露存在非重大缺陷,占59.09%,其中有19家具体列示了存在的非重大缺陷,10家披露了具体的缺陷整改方案。针对这一现状,可提出以下两点标准化要求: 第一,披露内部控制缺陷认定的定性与定量标准。定性标准是综合考虑内控缺陷的性质、产生的原因、发生频率、受影响事项的重要性、负面影响发生的可能性及其严重程度等因素,定量标准要包括偏离目标的程度和偏离目标的可能性两个角度,也要包括财务报告相关的内部控制缺陷和非财务报告相关的内部控制缺陷两个层面。目前对偏离目标的程度,多以税前利润、财务报告的重要性水平、资产总额、收入的一定百分比或直接财产损失金额作为衡量标准。对偏离目标的可能性,目前国内外都缺乏相关制度规范。王惠芳(2011)提出,可以借鉴我国《或有事项会计准则》的规定:对一项或有事项是否确认为预计负债主要考虑其发生可能性,其中“很可能”为发生概率大于50%但小于或等于95%;“可能”为大于5%但小于或等于50%;“极小可能”为大于0但小于或等于5%。内控缺陷的三个层次也可以据此确定。 第二,设计缺陷披露表格。设计缺陷披露表格,可避免企业在缺陷披露中的语言不详、模棱两可的回避情况。在设计的表格中明确要求企业填写是否存在重大缺陷、重要缺陷和一般缺陷,存在的缺陷具体是什么、属于财务报告缺陷还是非财务报告缺陷,是否采取整改措施、整改措施的内容。这样可以简单明了的披露企业的缺陷情况。 |
随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。