二、企业内部控制规范体系实施取得的成效
企业内部控制规范体系发布实施以来,财政部、证监会等部门精心组织、周密安排,密切跟踪内部控制规范实施过程中反映出来的各种突出问题,采取多种措施积极推动我国上市公司和国有大中型企业施行企业内部控制规范体系;各实施企业高度重视、严格实施,组建工作机构、编制实施方案、梳理业务流程、优化信息系统、实施自我评价并配合完成内部控制审计;有关咨询机构和会计师事务所强化服务、规范执业,协助企业建立健全合规并具有自身特色的内部控制体系,对公司财务报告内部控制有效性发表审计意见,有效发挥了中介机构的重要作用。总体来看,企业内部控制规范体系运行平稳、执行有效,实施范围不断扩大,全面提升了企业的经营管理水平及风险防范和应对能力,并为进一步提高财务信息披露质量发挥了重要积极作用。企业内部控制规范体系实施取得的成效具体表现在以下几个方面:
(一)企业内部控制体系建设中取得的成效
1.实施企业对内部控制的重视程度普遍提高 总体来看,各实施企业普遍重视内部控制体系建设与实施工作,将其视为提升企业管理水平的工作平台及有利契机,纷纷成立内部控制专门机构,指定或抽调业务骨干,建立责任明确、沟通顺畅、配合联动的工作推进保障机制,从而确保优质高效地完成企业内部控制规范体系实施工作。比如,有些企业将内部控制纳入公司治理层、高管层工作例会固定议题,持续关注工作进展并解决重要问题;有些企业高管层要求自身及中层、骨干人员全程参与企业内控体系建设与实施工作,使其深刻理解内部控制的实质并与本职工作紧密结合;还有些企业高管层根据自身实际,提高内控评价频率并将内控工作与绩效考核挂钩,有效推动了企业内部控制规范体系实施工作。 2.实施企业经营管理水平有效提升 实施企业依据《企业内部控制基本规范》及配套指引要求,根据自身管理实际,全面系统梳理在公司治理、组织架构、职责分工、权限设置、风险评估、流程设计、制度执行、信息与沟通、内部监督等方面的薄弱环节,针对薄弱环节查漏补缺。在职责分配上,厘清职责分工、防范推诿扯皮;在重要业务流程梳理上,理顺各流程关键环节,减少流程断点,实现流程闭环,提高工作效率;在人才培训上,加强培训与实践操作,培养内控专业人才;在系统建设上,将内控要求逐步融入信息系统,提高工作效率与效果,最终形成一套职责更明晰、流程更高效、制度更规范、执行更有力的内部控制体系,全面提升了实施企业的经营管理水平。 3.实施企业风险防范与应对能力显著提高 在企业内部控制规范体系实施过程中,各实施企业贯彻以“风险为导向”的工作思路,紧密围绕公司战略目标,全面系统地识别可能存在的各类风险,建立科学的风险分析与评估程序,根据风险发生可能性和影响程度评定风险等级,针对识别出的各类风险,明确责任部门,确定应对措施,使风险管控措施融入日常管理工作中,并强化全体员工风险管理意识,形成恰当的风险文化,全面提升企业风险防范与应对能力。有些企业将风险因素与部门、具体岗位进行对接,实现了风险管控的落地;还有些企业针对重要风险明确了关键风险指标,逐步实现量化数据的预警,同时制定风险防范与应对预案,有效防范了企业各类风险的发生。
(二)企业内部控制评价工作中取得的成效
1.内部控制评价工作趋于规范并体现企业特色 2012年,越来越多的实施企业能够按照《企业内部控制基本规范》及《企业内部控制评价指引》要求,认真、规范开展了内控测试、缺陷认定以及出具评价报告等工作并逐步体现企业自身特色。有些企业结合自身所处行业特点、管理薄弱环节以及当年管理的高风险领域合理确定内部控制评价范围,有针对性检查内部控制实施效果;有些企业在程序、资源配备等方面将内控评价与公司已有的监督检查活动(例如ISO体系审计等)进行充分、有效整合,在保证评价独立性及合规要求的基础上,实现企业成本与效益的平衡优化。 2.完善自我监督程序,形成内部控制评价长效工作机制 为保证内控实施效果,2012年多数实施企业建立健全了内控评价制度,从制度层面上明确了评价工作责任部门、工作程序与具体要求等内容,并加强内部控制日常监督和专项监督,形成了覆盖全面、重点突出,持续自我监督与完善的评价工作长效机制,不断检查内部控制体系中存在的问题并加以持续改进,使企业内部控制体系的运行形成良性循环,管理水平不断提升。 3.披露内控评价报告的公司数量稳步上升,报告信息量增大、可读性增强 从披露数量来看,2008年至2012年,披露内部控制评价报告的上市公司从1076家增加至2244家,披露比例也从67%增加至90%(具体数据见图2),披露绝对数以及比例均呈较大幅度上升趋势。
图22008—2012年内部控制评价报告披露基本情况
从披露内容来看,内控评价报告所包含的信息愈来愈丰富。有些企业结合宏观经济发展及行业特点,披露报告年度企业重大风险及应对措施;有些企业披露内控缺陷情况,既按照缺陷等级区分一般缺陷、重要缺陷、重大缺陷,也按照缺陷性质区分财务报告内控缺陷与非财务报告内控缺陷,从而实现对内控缺陷更为精细、全面的审视和改进;还有些企业披露了下一年度内控工作计划及安排,增加了内部控制评价报告的可读性,为报告使用者提供了更多可供参考的信息。
(三)内部控制审计工作中取得的成效
1.内部控制审计执业趋于规范,审计监督的作用逐渐凸显 从审计准则执行来看,2012年越来越多的注册会计师能够按照《企业内部控制审计指引》及相关执业准则的要求,认真制订审计计划,合理确定审计范围与重点审计领域,严格实施控制有效性测试,有效识别、评价内控缺陷,形成恰当审计意见,如实出具内控审计报告。 从审计成效来看,2012年更多的注册会计师在审计过程中,保持应有的职业怀疑态度,勤勉尽责执业,努力发现上市公司存在的财务报告内部控制缺陷,充分关注、披露非财务报告内部控制缺陷,并提出针对性的改进建议。同时,通过周密安排内控审计实施时间,为上市公司预留足够的缺陷整改时间,及时跟进整改进展,通过及时有效的整改促进上市公司内控水平的不断提高。 2.披露内控审计报告的公司数量逐步上升,报告质量逐年提高 从披露数量方面看,2008年至2012年,聘请会计师事务所对内部控制有效性进行审计并出具审计报告的上市公司数量从316家增加至1532家,出具报告比例也从20%增加至62%(具体数据见图3),披露绝对数以及比例均有较大幅度上升。
图32008—2012年内部控制审计报告披露基本情况
从内控审计结果方面看,2012年,在853家纳入实施范围的上市公司中,因存在财务报告内控重大缺陷而被注册会计师认定公司内部控制无效的公司有3家;被注册会计师认定存在财务报告内控重大缺陷或非财务报告内控重大缺陷的公司有8家;被注册会计师出具了带强调事项段的无保留意见内部控制审计报告的上市公司有19家。非标准内控审计报告共22份,占比2.58%,较去年非标准内控审计报告占比1.49%有所增加。非标准内控审计报告数量和比例的提高,以及内控审计报告意见“差异化”趋势在一定程度上反映了当前我国上市公司实施内控规范的现状和水平,内控审计报告的监督效能进一步提升。
三、企业内部控制规范体系实施中存在的主要问题
总体上看,2012年企业内部控制规范体系实施工作取得了一定的成效,但在具体实施过程中,政府监管部门、实施企业、中介机构等相关责任主体仍在不同程度上存在可以改进、提升的空间。为更加全面地了解企业内部控制规范体系实施现状,总结分析存在的主要问题,本报告通过对上市公司公开披露的内部控制评价报告、内部控制审计报告和年度报告中内控信息披露的分析,并结合财政部和证监会在日常监管工作中掌握的信息,梳理、总结出以下企业内控规范体系实施中存在的主要问题。
(一)相关责任主体在企业内部控制规范体系实施中存在的问题
一是政府监管部门在内控标准体系完善、内控规范宣传培训、内控规范实施监管等方面的工作仍需要加强。 我国现行企业内部控制应用指引操作性和实务性有待加强,特殊行业的应用指引缺失。内控缺陷认定标准及缺陷认定程序不明确、指导性不强,内控缺陷认定的客观性、合理性很难保证。上市公司披露的内控评价报告格式与内容标准不一、差异较大,需要根据当前监管工作的重点进一步明确内控评价报告披露监管要求,统一实务的做法。内控规范体系的宣传工作仍需加强,需要创新宣传方式,拓宽宣传渠道,进一步扩大内控规范的宣传力度、广度和深度。内控规范的培训范围尚不能全面覆盖实施企业、咨询与审计机构,内控规范的培训对象主要面向企业高管层及内控部门,尚未拓展到各级业务骨干人员,内控规范的培训内容仍需要进一步精细化,需强化对最佳内控管理实务、行业风险分析及应对的培训。内控规范体系实施的监管工作仍需加强,应在总结我国企业内部控制规范体系建设与实施经验的基础上,紧密跟踪、及时督导企业规范实施内控规范体系,监控相关审计机构的内部控制审计工作,并通过对内控规范实施和内控审计执业质量的后续检查,不断强化内控规范体系实施的监管工作,加大监督检查和处罚力度,促进有关企业和中介机构更加深入有效实施企业内部控制规范体系。 二是部分企业对内部控制的认识及重视程度仍存不足,内控规范体系与已有管理体系的融合、内控体系的持续提升优化仍需深化,内控评价工作存在走过场现象。 在内控规范体系实施过程中,仍存在部分企业的董事会、高管对内部控制的认识及重视程度不够,仍将内控规范的实施简单定位于满足监管要求,甚至仍习惯凌驾于内部控制之上。部分企业内控体系与已有管理体系的融合仍需深化,存在将内控规范的要求与原有管理体系完全割裂,出现“两张皮”现象,或与原有管理制度出现交叉重复,既浪费了资源,也降低了效率。部分企业重要领域的内控提升优化工作有待提高,虽已制定了基本的内控制度,但在推动内控体系实施方面力度不足,内控缺陷整改侧重管理制度完善,不重视后续运行的监督和信息化手段的运用。部分企业存在内控评价范围不全面、重点不突出、缺陷认定标准不恰当、缺陷认定随意性强、评价结论不客观等评价工作“走过场”的现象。 三是有些中介机构专业胜任能力不足、执业质量不高、低价竞争、独立性等问题突出。部分内控咨询机构、内控审计机构对内控规范体系理解不深、掌握不牢,行业知识匮乏,专业胜任能力不足。部分咨询机构对实施企业所处行业以及企业经营管理的现状了解不够深入,咨询服务存在模式化、生搬硬套的现象。审计机构存在风险评估流于形式,现场审计时间仓促,审计程序实施不足,审计结论依据不充分,内控缺陷认定不客观,质量控制复核不到位,工作底稿记录不完整等问题,内控审计执业质量不高。部分内控咨询和内控审计机构无原则降低服务收费,以明显低价赢取服务项目,项目实施中又迫于成本压力,资源投入不足,降低服务标准,严重影响了内控咨询、内控审计服务质量。内控审计机构独立性有待加强,部分审计机构与咨询机构构成网络关系,甚至存在咨询人员与审计人员的交叉,违反了独立性原则以及“不能同时为一家企业提供内控咨询和内控审计服务”的监管要求,给审计质量带来潜在威胁。
(二)内部控制信息披露存在的问题
1.上市公司内部控制评价报告披露存在的问题 一是内部控制评价范围披露不够充分,评价范围不够恰当。许多上市公司披露的内控评价范围为“涵盖了公司及下属子公司的各种业务及事项”,但未披露纳入评价范围单位占公司总资产比例或占公司收入比例,无法评判评价范围的充分性。有些上市公司未开展相应的风险评估工作,无法准确判断需要纳入评价“高风险领域”的范围,造成确定评价范围时主观性较强。部分上市公司虽披露了纳入评价范围的单位,但没有包括特殊业务类型的重要子公司,评价范围的充分性不够。有些公司采取“两年或三年内轮换一遍”的方法确定每年纳入评价范围的重要单位或业务,但由于未披露纳入评价范围单位的比例,无法确定评价范围是否充分、适当。 二是内部控制缺陷认定标准不够科学。部分上市公司未按要求披露内控缺陷具体认定标准,或披露的缺陷认定标准“模式化”,简单引用内控评价指引中有关缺陷分类的定义。披露内控缺陷具体认定标准的上市公司,其披露的内控缺陷认定标准不恰当、不适用,千差万别、可比性差,且未严格按照其披露的缺陷认定标准进行缺陷认定。有些公司将《企业内部控制审计指引实施意见》中列举的表明财务报告内控可能存在重大缺陷的迹象直接认定为存在财务报告内控重大缺陷,而公司实际发生重大会计差错更正,但并未认定其财务报告内控存在重大缺陷;有的公司将控制环境差、内部审计职能和风险评估职能无效等表明公司可能存在内控重大缺陷的迹象作为重要缺陷的认定标准披露;不少上市公司以已发生错报金额或已发生直接损失金额作为内控缺陷的定量标准,没有考虑潜在错报或潜在损失金额的影响;有的公司设定总资产、净资产、营业收入、利润总额等多重缺陷认定定量指标,但未指明具体如何应用这些指标;有些公司将所发现的多个内部控制缺陷作为个体分别进行认定,而未对影响同一控制目标的多个控制缺陷合并后综合衡量其潜在影响程度,从而影响评价结论的恰当性。 三是内控缺陷的披露不够充分,对内控缺陷整改的理解不当。部分上市公司对内控缺陷的披露偏重缺陷事件本身,缺乏对缺陷性质及其对内控影响的披露;部分上市公司对内控缺陷分类披露含糊不清,或有意回避对缺陷严重程度分类的披露,既未区分财务报告内控缺陷和非财务报告内控缺陷,也未区分重大、重要或一般缺陷;部分上市公司对内控缺陷整改的理解不当,认为内控评价发现的错报已得到纠正或已补充完善相关签字手续,或在评价报告出具日之前完成整改,即认为内控缺陷整改完成,并得出内部控制有效的结论。 四是内部控制评价报告格式与内容差异较大,评价结论表述不规范。纳入实施范围的上市公司分别遵循财政部、证监会和上交所发布的内部控制评价报告格式指引编制和披露内控评价报告,披露的内控评价报告在格式和内容上存在较大差异,降低了内控信息披露的可比性和有效性,不利于报告使用者对上市公司内控规范体系实施情况进行分析评价。一些上市公司的内控评价结论表述不规范,评价结论含糊不清;相当数量的上市公司未以积极的方式表述评价意见,而是以“未发现”重大缺陷的消极意见代替“不存在”重大缺陷的积极评价意见。部分上市公司将内控评价结论集中在内控制度建设上,重制度设计评价,轻内控执行评价;有些上市公司披露了非财务报告内控重大缺陷,但在形成内控有效性的结论时进行了“技术处理”,参照内部控制审计意见的表述方式,将评价结论限定在财务报告内控有效性上,以规避非财务报告内控重大缺陷对内控有效性评价结论的影响。 2.上市公司内部控制审计报告披露存在的问题 一是审计意见的客观性、恰当性有待进一步提高。2012年度有3家上市公司被出具了否定意见的内部控制审计报告,与2011年度1家否定意见审计报告相比,总量虽有所增加,但否定意见占比却由2011年度的1.5%下降为2012年度的0.35%。否定意见内控审计报告总体比例偏低,并不必然表明其他多数上市公司不存在内控的重大缺陷。少数注册会计师出具的内控审计结论有失客观性,审计意见类型不当,有19家上市公司被出具了带强调事项段内控审计意见,个别审计意见存在以带强调事项段审计意见代替其他类型非标内控审计意见的嫌疑。不少带强调事项段内控审计报告披露上市公司的持续经营问题、内控缺陷问题以及内控审计范围问题,但未披露其对内控的影响,强调事项的性质也与内控审计指引及其实施意见中定义的强调事项不符。个别内控审计报告将财务报告内控重大缺陷作为非财务报告内控重大缺陷披露,存在规避出具否定意见的嫌疑。此外,部分带强调事项段内控审计报告披露的强调事项为部分子公司未完成工商注销登记手续、在建工程产权瑕疵等问题,存在滥用强调事项段的嫌疑。 二是内控缺陷的性质及影响披露不够充分、准确。部分注册会计师出具的非标内控审计意见未按照《企业内部控制审计指引》及其实施意见的要求披露内控缺陷的性质及其影响。部分否定意见内控审计报告未披露重大缺陷对财务报告内控的影响程度,未披露否定意见内控审计报告对财务报表审计意见的影响。非财务报告内控重大缺陷的披露笼统、含糊,未按要求披露缺陷的性质及其对实现相关控制目标的影响程度。 三是内控审计报告结论及相关信息披露与内控评价报告不一致,但未予以说明。被出具否定意见内控审计报告的3家公司中,除北大荒的内部控制评价报告承认存在重大缺陷外,其余2家公司的内部控制评价报告均否认其内部控制存在重大缺陷,仍认为财务报告内部控制有效或整体内部控制有效。但其中1家公司的内控审计报告并没有指出与被审计单位就重大缺陷认定结论的差异以及与内控评价报告相关披露的差异,仍披露为“公司的管理层已识别出上述重大缺陷,并包含在公司内控评价报告中”,作出与事实不一致的披露。如有的内部控制审计报告中披露上市公司存在非财务报告内控的重大缺陷,而该公司内控评价报告的评价结论为内控不存在重大缺陷,注册会计师未能按照《企业内部控制审计指引》及其实施意见的要求,在内控审计报告中增加强调事项段,披露其审计报告与公司内部控制评价报告对重大缺陷认定和披露不一致这一事实。
四、进一步推动企业内部控制规范体系实施的有关建议
根据前述对2012年我国企业内部控制规范体系实施情况以及存在问题的分析,为更好地推动企业内部控制规范体系建设与实施工作,进一步提升我国企业内部控制水平,下面从政府监管部门、企业、内控审计及咨询机构等层面提出相关建议。 (一)政府监管部门层面 一是完善统一内部控制有关技术标准,提升内控要求的法律层级。为更好推动内控规范体系的落地,应针对不同行业情况、企业实际情况和现实需求,研究一些典型行业业务运作的特点、共性风险和行之有效的控制措施,制定发布分行业的内控操作指南,为有关企业实施内控规范体系提供借鉴和参考。针对内控缺陷认定的随意性,应研究制定内控缺陷认定的更多实务指引。研究修订内控审计报告内容与格式的可行性,提高内控审计报告信息的有效性。统筹协调相关监管机构,进一步明确当前市场环境下内控评价报告披露内容与格式的监管要求,并在修订和完善《会计法》、《证券法》等相关法律法规时,增加有关内部控制的条款,提升内控要求的法律层级,进一步明确企业及相关中介机构对内部控制的责任。 二是加强内部控制宣传、培训和正确的舆论引导。加强对企业内部控制规范体系的宣传与培训,为全面贯彻实施企业内部控制规范体系营造良好的外部环境。建立健全考试和培训制度,将内控规范知识纳入会计从业人员及其他专业技术职称、职业资格考试的内容及继续教育内容,培育壮大内部控制专业技术队伍。此外,建议在全社会范围内形成关于内控控制包括内控缺陷信息披露在内的正确、客观的舆论导向,从而为企业充分、客观、规范地披露内部控制信息创造良好的舆论氛围。 三是加强对企业内部控制规范体系实施的引导,进一步加大监管力度。财政部、证监会及其派出机构,应加大监管资源投入,发挥合力监管优势,加大对有关企业、会计师事务所、咨询机构实施内控规范体系的监督检查力度。相关监管部门应当加强对企业实施内控规范体系的工作指导,引导实施企业选聘具有丰富从业经验和良好专业胜任能力的内控咨询机构开展内部控制建设和咨询工作,加大对企业内部控制评价工作和内控信息披露工作的监督检查力度,坚决查处内控评价工作走过场,缺陷认定不客观,评价结论不恰当,内控信息披露不充分、不适当的违法违规行为。不断强化对内控审计机构执业质量的监管,加大对审计机构的监督检查力度,及时、果断查处并公开曝光违反内控审计执业准则和职业道德守则的相关审计机构和人员,加大对低价恶性竞争中介机构的监管检查力度,以此促进内控审计执业质量的提升和企业内控规范体系的有效实施。 (二)企业层面 一是加强内控环境建设,明确内部控制职责与工作重点。实施企业应加强内部控制环境建设,营造内控实施的良好内部环境,始终将内控体系的建设与实施作为“一把手工程”抓紧抓实,明确内控建设、评价、审计等部门及其职责,并给予充足的人员配备,为内控规范体系实施提供强有力的组织保障。同时,结合企业年度工作计划,设定年度内控工作重点,使之能有计划、有步骤地持续深入地开展内控相关工作,充分发挥内部控制为企业发展保驾护航的作用。 二是建立内部控制长效运行机制,促进内控体系“做实”、“落地”。各实施企业应当认真总结2012年实施内控规范体系的经验与不足,进一步开展内控更新优化、日常培训、专项监督、定期评价及缺陷整改等工作,建立健全内控相关的考核评价机制,确保内控运行机制的良性运转。同时,在2012年工作的基础上,更加深入开展内部控制体系与已有管理体系的深度融合、重点流程的优化、内部控制的信息化等工作,不断提高内部控制的作用和效率效果。 三是完善内部控制评价程序,加强评价工作的监督,提升内控信息披露水平与质量。各实施企业应根据监管要求,结合企业实际,科学合理地确定内控评价范围,覆盖企业所有重要方面;调动具有专业胜任能力人员,高效审慎地开展内控评价工作,充分揭示内控缺陷问题并限期整改;依据企业风险及缺陷影响程度,科学规范地细化内控缺陷评价标准,如实认定内控缺陷;加强对评价工作的监控,认真履行相关审批程序;按照监管要求,严格遵循内控评价报告内容与格式要求,客观全面地作好内控评价信息披露工作,向报告使用者提供更多有效的公司内部控制信息。 (三)内控审计及咨询机构方面 一是完善技术方法,培养专业人才,提升专业服务能力。审计机构应当按照《企业内部控制审计指引》及其实施意见的要求制定更加明晰的内控审计方法和实务指引,明确、统一内控缺陷的认定步骤和认定标准,通过强化内控审计的专业技术培训,培养储备内控审计的专业人才,并通过强化执业过程监控督导和质量控制复核,切实提升内控审计执业质量。咨询机构应尽快制定和执行规范、统一的咨询服务专业实务标准,认真履行严格的咨询服务质量控制程序,规范工作底稿记录和归档要求;提供内控咨询服务时,应将监管要求和上市公司的管理现状与特点充分结合,切实提供贴合企业实际的内控建设方案。 二是公平合理收费,维护市场秩序,恪守独立性要求。内控审计、咨询机构应当根据企业规模、服务内容等因素做好项目成本预算以及人员配备计划,在确保项目质量的前提下,与企业合理协商有关费用,公平合理收费,坚决杜绝低价恶性竞争现象。各中介机构应坚持客观公正原则,恪守职业道德,严格遵守独立性要求,对于违背独立性原则以及“不能同时为一家企业提供内控咨询和审计服务”监管要求的内控审计业务,应主动坚决拒绝承接,切实维护公平竞争的市场秩序。 (报告执笔和审稿人:杨敏、贾文勤、欧阳宗书、李筱强、胡兴国、邱昱芳、夏文贤、米传军、李静、徐振、谢安、顾玲、崔志娟、胡为民、阳尧) [1]如上市公司既属于境内外同时上市公司,又属于国有控股上市公司,则将其归为境内外同时上市公司。
|