从会计控制到管理控制指的是什么?
随着上市公司违规和舞弊案件浮出水面,内部控制再度成为投资者、监管层和媒体关注的焦点。人们越来越深刻地意识到,一家缺乏有效内部控制的上市公司,其风险无时、无处不在,随时都可能给投资者带来巨大损失。但长期以来,除了财政部颁布的《内部会计控制基本规范》外,我国尚没有针对上市公司的内部控制规范,上海证券交易所出台的《上市公司内部控制制度指引》(征求意见稿,以下简称“指引”)适时填补了这一空白。指引借鉴COSO组织内部控制整体架构(IC-IF)及企业风险管理(ERM)的先进理念和研究成果,使我国上市公司内部控制从传统会计控制过渡到管理控制阶段,实现了与国际先进理论接轨。该指引具有哪些特点...全部
随着上市公司违规和舞弊案件浮出水面,内部控制再度成为投资者、监管层和媒体关注的焦点。人们越来越深刻地意识到,一家缺乏有效内部控制的上市公司,其风险无时、无处不在,随时都可能给投资者带来巨大损失。
但长期以来,除了财政部颁布的《内部会计控制基本规范》外,我国尚没有针对上市公司的内部控制规范,上海证券交易所出台的《上市公司内部控制制度指引》(征求意见稿,以下简称“指引”)适时填补了这一空白。
指引借鉴COSO组织内部控制整体架构(IC-IF)及企业风险管理(ERM)的先进理念和研究成果,使我国上市公司内部控制从传统会计控制过渡到管理控制阶段,实现了与国际先进理论接轨。该指引具有哪些特点?存在哪些不足?以下将对指引内容进行全面解读和分析。
一、关于内部控制目标 内部控制目标的定位,反映了人们对内部控制认识不断深化的过程。1972年,美国审计准则委员会第1号审计准则公告(。1),把内部控制划分为会计控制和管理控制,内部会计控制的目标在于将保护资产安全完整,保证会计资料可靠性和准确性;内部管理控制的目标在于提高经营效率和保证管理部门所制定的各项政策得到贯彻执行。
1988年第55号审计准则公告(。55)提出了“内部控制结构”的概念,不再区分会计控制和管理控制,其目的是“合理保证企业实现特定目标”。1992年COSO组织的内部控制整体架构认为,内部控制的目标在于合理保证财务报告的可靠性、经营的效果性和效率性以及法律法规的遵循性,企业风险管理在内部控制整体架构的基础上更进一步,认为除了上述三个目标外,还应包括公司战略目标。
在内部控制的目标定位上,指引第二条规定,上市公司内部控制制度的目标依次为控制公司风险、提高公司经营的效果与效率、增强公司信息披露的可靠性、确保公司行为合法合规,最终实现公司战略目标。上述目标定位,吸取了COSO组织内部控制整体架构和企业风险管理两个文献的理论精华,体现出风险导向和绩效导向两大特点。
风险导向内部控制是针对影响组织目标实现的风险做出迅速反应的方法,内部审计师与管理部门一起识别和评价经营风险,在收集资料、认识并评价风险的过程中,对组织经营面临的风险与改良时机产生深刻见解。风险和控制在实质上是“同一个硬币的两面()”,出于减轻和规避风险的需要,人们才设计内部控制系统,不存在风险,也就无所谓内部控制,只有将内部控制与特定的风险因素联系在一起时,内部控制才显得尤为重要。
内部审计师在对内部控制进行分析和评价时,更为关注组织目标、战略和风险管理程序,更为强调内部控制在风险规避、风险转移和风险控制中发挥作用。传统内部控制以交易事项和财务处理为重点,体现了内部控制查错防弊的目标,绩效导向内部控制,突出了内部控制从消极防弊发展到积极兴利,从强调防护性发展到强调效率性和效果性。
风险导向和绩效导向的内部控制最终都服务于实现公司战略目标。 从我国相关的规定看,内部控制的目标定位主要还是局限于会计资料的真实、合法与资产的安全和完整以及查错防弊等方面。这种目标定位更多地考虑了我国经济发展和企业经营管理的实际情况,上市公司作为我国企业中的特殊群体,对内部控制具有更高的要求,内部控制不仅用以防弊,还要兴利和增值,指引在内部控制目标的设定上前进了一大步。
二、关于内部控制主体 关于内部控制的主体,学术界和实务界已基本达成一致。例如,COSO组织在内部控制整体架构的定义中明确了内部控制的主体,认为内部控制“受企业董事会、管理当局和其他员工影响”。
正是“人”的因素使内部控制发挥作用,良好的内部控制将责任赋予管理当局,他们负责设立内部控制目标,使控制机制和作业发挥作用,并对内部控制进行监督和评价,COSO组织同时也强调组织内所有人在内部控制中均发挥着重要作用。
伦敦证券交易所的特恩布尔报告()认为董事会、管理当局和员工在内部控制系统中负有不同的职责,其中董事会对公司内部控制系统整体负责,应制定适当的内部控制政策,寻求日常保证,使内部控制系统能有效发挥作用;管理当局负责执行董事会制定的风险和控制政策,应确认、评价公司所面临的风险,设计、运行和监督内部控制系统;公司员工有义务将内部控制作为其责任目标的组成部分,他们应具备必要的知识、技能、信息和权限,以建立、运行和监督公司内部控制系统。
董事会、管理当局和员工各司其职,相互协作,形成责任层次分明的统一体,管理当局对内部控制负有主要责任,但组织中的每个成员都对内部控制分担责任,从而使所有员工团结一致,而不是与管理当局对立。上述任何一个控制主体出现失误和过错,均可能导致公司整体内部控制系统失效。
针对上市公司内部控制的主体,指引做出了明确规定,指引第三条规定,“董事会应确保内部控制制度健全有效,董事会及其全体成员应保证内部控制制度相关信息披露内容的真实、准确、完整”。与内部控制整体架构和特恩布尔报告相比,指引仅把董事会作为内部控制主体,而忽略了另外两个同等重要的控制主体,这是指引的一大缺陷。
以银鸽投资()为例,其郑州分公司原负责人未经公司股东大会和董事会授权,分别于1999年、2000年和2001年1至5月对外提供委托理财资金共计2。74亿元、2。00亿元和2。70亿元,还以银鸽投资账内银行存款作保证,向银行借入资金后流入郑州分公司“账外账”进行股票炒作,该公司高管上述行为均给公司带来巨额损失。
应该看到,在一个健全、有效的内部控制系统中,仅董事会发挥作用是远远不够的,若管理当局对董事会制定的风险管理和控制政策视而不见,一线员工拒不执行相关控制作业,甚至恶意践踏,无论设计多么完美的内部控制都将形同虚设,无法真正发挥作用。
三、关于内部审计职能 从英国内部审计实践的演变看,卡德伯利报告()认为内部审计是对外部审计的补充,设立内部审计机构对内部控制进行监督是良好实务的组成部分,这种日常监督也是公司内部控制整体中的一部分,它有利于保持内部控制系统的有效性。
其后的哈姆佩尔报告()认为,没有必要对内部审计做出强制性规定,特恩布尔报告()关于内部审计的观点是,公司是否设立内部审计机构,取决于对公司规模、行为的多样性和复杂性、员工数量以及成本效益等因素的综合考虑。
指引强制性要求上市公司应设立内部审计机构,配备专门的内部审计人员,负责内部控制稽核工作。长期以来,内部审计在许多上市公司内未得到应有的重视,不少人抱有内部审计人员只是“简单地重复外部审计的工作”,只是审查“数豆子的人是否将豆子数得一粒不差”等类似的偏见。
各公司在机构设置和责任安排上也不尽相同,有的内部审计部门隶属于财务部门,向财务总监负责;有的隶属于高级管理层,向总经理负责;也有的隶属于董事会下的审计委员会,向审计委员会负责。指引对内部审计机构设置和制度安排做出了统一规定,要求“内部审计部门对董事会负责,直接向董事会报告,内部审计部门负责人也应由董事会任免”,董事会下属审计委员会或风险管理委员应为内部审计工作提供“指导”。
这些举措有利于提高内部审计部门在公司中的地位,提升内部审计人员和内部审计工作的独立性,扩大内部审计在公司中的影响力。 指引明确了内部审计的职能和工作重点,要求内部审计应将收购和出售资产、关联交易、从事衍生品交易、提供财务资助、为他人提供担保等重大事项作为内部审计工作的“必备事项”,进行重点审计。
实践证明,这些领域正是蕴藏巨大风险,内部控制最容易失效的关键领域,涉足这些领域也为上市公司内部审计发展提供了一个崭新的平台,使之不再局限于传统的财务审计,而是介入到发展前景更为广阔的业务审计和综合审计领域。
指引还规定应把检查中发现的内部控制制度缺陷及实施中存在的问题,据实在稽核工作报告中反映,并应在向董事会报告后进行追踪,以确定相关部门是否及时采取适当的改善措施,这些要求内部审计人员不仅要发现问题,还要协助解决问题。
在报告机制上,指引做出了双重报告的制度安排,即内部审计同时向董事会和专门委员会提交报告。作为董事会的“眼睛和耳朵”,指引规定内部审计部门应至少每季度向董事会提交一次稽核工作报告,针对发现的重大缺陷和重大风险,应及时向董事会报告。
此外,内部审计还应向董事会下属审计委员会或风险管理委员会提交内部控制制度检查核对表,审计委员会或风险管理委员亦应评价公司内部控制制度执行的情况,发表专项意见,并向董事会报告。这种双重报告制度安排,使董事会可以“兼听”,获取更多、更为全面的信息。
四、关于内部控制信息披露 现行有关规定中,只要求上市公司提出融资申请时披露内部控制信息,例如《公开发行证券的公司信息披露内容与格式准则第11号——上市公司发行新股招股说明书》第59条规定“发行人应披露管理层对内部控制制度的完整性、合理性及有效性的自我评估意见,同时应披露注册会计师关于发行人内部控制评价报告的结论性意见”。
对于日常内部控制信息披露的形式和内容尚无统一要求,上市公司应披露哪些内部控制信息、以何种形式披露都无章可循。这直接导致内部控制信息“供给”出现混乱,也增加了信息使用者获取和分析信息的成本。 实践中,上市公司内部控制信息的披露形式五花八门,有的公司在招股说明书对内部控制进行自我评估、有的公司发布独立的内部控制自我评估报告、也有的公司在年报的管理层陈述中披露。
各公司披露的具体内容也不尽相同,例如大连金牛()从控制环境、会计系统和控制程序三个层面对公司内部控制制度进行自我评价;辽源得亨(600699)则认为公司内部控制制度主要包括控制环境、会计系统和业务循环三方面,具体内容包括对组织结构、会计系统、担保、资金收付、销售采购、投资融资、固定资产管理、费用报销、员工服务等经济业务活动的控制。
指引明确规定了内部控制信息披露的内容和形式,这将有利于解决由于缺乏统一要求引发的信息披露混乱。指引规定上市公司应当在年报的“管理层讨论与分析”部分披露有关的内部控制信息。具体内容包括:内部控制制度执行情况,包括内部控制的运行情况、稽核工作、风险处置、制度改进等内容,特别是内部控制制度检查核对表中存在异常的事项,应进行重点讨论和分析。
在内部控制要素和内容方面,指引借鉴的是COSO组织企业风险管理的研究成果,认为内部控制由内部环境、目标设定、因素辨认、风险评估、风险反应、控制活动、信息沟通和监督等八要素组成,指引还专门针对销货及收款循环、采购及付款循环、生产循环、固定资产循环、货币资金循环、关联交易循环、融资循环、投资循环、研发循环、人事管理循环等十个业务循环以及附属子公司,衍生品交易两个特殊领域的内部控制做出了相关规定。
除了上述控制目标、控制主体、内部审计、信息披露等主要内容外,我们认为指引尚存在两大明显的缺陷: 第一,指引未明确内部控制的性质。COSO组织认为内部控制是一个“过程”,是根植于经营过程的一个持续元素,内部控制不是一个事件,而是一系列的行动和作业,这些行动和作业发生在组织的持续经营过程之中,与企业经营管理过程相结合,而不是凌驾于企业的基本活动之上。
内部控制应被视为企业运作系统的整体组成部分,而不是组织内部独立的系统,从这个意义上说,内部控制是组织基础设施的一部分,协助管理当局经营其组织,并在持续的基础上实现其目标。 第二,指引未明确内部控制的局限性。
内部控制只提供合理保证,而非绝对保证。管理当局在成本效益的基础上设计和执行内部控制,无论内部控制设计和执行的有情况多好,都无法绝对保证可以实现组织的所有目标。控制之外的因素或对管理当局的影响都可以影响组织实现其目标的能力,例如人为错误、判断失误以及合谋行为均可影响机构的目标。
收起
发表评论