王新(平顶山煤业(集团)公司十一矿,河南平顶山467000)
摘要:我国《企业内部控制基本规范》出台后,为企业建立和实施内部控制提供了基本的法律依据。但是,由于规范框架只是原则性的,其在执行中尚存在很多问题,亟待研究解决。本文从制度建设和制度实施两个层面系统地分析了内部控制在实施过程中存在的问题,并提出了若干对策和建议。
关键词:内部控制;萨班斯法案;风险管理
中图分类号:F272文献标识码:A文章编号:1673-0992(2010)09A-0148-02
2001年底,美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光,诚信危机震撼着美国及全球。为了提高公众对美国金融市场和政府经济政策的信心,2002年7月30日,美国国会通过了《萨班斯——奥斯利法案》。法案突出了“以法治市”的理念,大幅度提高了对会计舞弊的处罚力度和对公司管理层及白领犯罪的刑事责任,同时强化了管理层内部控制的责任和义务。为了给公众公司提供一套遵从该法案的标准,2004年9月,美国COSO发布了《企业风险管理——整体框架》(ERM)。框架在内涵界定、目标体系、构成要素等方面对1993年的COSO《内部控制——整体框架》的内部控制概念进行了拓展和延伸。COSO希望通过新框架能够成为组织董事会和管理者的一个有用工具,用来衡量组织的管理团队处理风险的能力,并希望框架能够成为衡量组织风险管理是否有效的一个标准。
2008年6月28日,我国财政部、证监会、审计署、银监会、保监会于联合发布了《企业内部控制基本规范》,该规范原计划于2009年7月1日起先在上市公司范围内施行,并鼓励非上市的其他大中型企业执行。规范要求企业必须对其内部控制进行评估,并与财务报告一起定期发布内控报告。企业内部控制基本规范的发布,为企业防范风险舞弊建立了一道“防火墙”,为促进资本市场健康稳定发展筑起了一道“安全网”。但是,由于该规范框架只是原则性的,在执行中存在很多问题,亟待研究解决。
一、企业内部控制建立和实施现状及问题
自2007年以来,德勤对我国上市公司内部控制实施情况连续进行了三年的跟踪调查,调查结果显示,近几年中国的监管机构不断完善与内部控制相关的制度和法规,旨在提高中国企业的管理水平及增强其对建立健全内控机制的意识,中国上市公司对内部控制监管要求的意识和了解有所增强。但是,大多数企业并没有相应地加大其对实施内部控制机制的投入。
(一)对内部控制重要性的认识在提高,但不少企业对内部控制的的认识仍然停留在成本控制层次
2009年德勤《中国上市公司内部控制调查分析报告》显示:100%的企业普遍认识到加强内部控制有助于企业防范风险,并且能够为其正常运营提供合理保证;2008年披露内部控制评价报告的353家上交所上市公司中,有27%(95家)是自觉披露的,说明我国上市公司披露内部控制的意愿在不断增强。
但是,2009年德勤《中国上市公司内部控制调查分析报告》调查结果又显示:有29.41%的企业认为加强内控有助于企业监控并降低成本,一些被访者表示,实施内控在一定程度上增加了工作量,但并未收到提升效率的作用,反而提高了成本和费用。由此可知,企业管理层对于内部控制作用的认识并不全面。
(二)内部控制进展较快,尽管达标率仍然较低
2007年德勤《中国上市公司内部控制现状的调查》结果显示:只有25%的上市公司认为其自身现有的内控体系能够完全满足监管的的要求。2008年德勤《上市公司的内部控制意识与就绪度》调查显示:44%的受访公司称已经建立了良好的内部控制机制,比2007年的25%提高了19个百分点,但是仍有超过半数(56%)的受访公司尚未建立内部控制机制或者其内部控制机制仍未完善。
(三)内部控制的完善程度在不断提高,尽管整体完善程度仍然比较低下
2008年德勤《上市公司的内部控制意识与就绪度》调查显示:44%的受访公司称已经建立了良好的内部控制机制,比2007年的25%提高了19个百分点,但是仍有超过半数(56%)的受访公司尚未建立内部控制机制或者其内部控制机制仍未完善,说明建立起与风险管理需要相适应的内部控制,大部分企业还有较长的路要走。
(四)企业对内部控制的监督机制乏力,而且进展非常缓慢
2007年德勤《中国上市公司内部控制现状的调查》结果显示:72%的受访上市公司认为公司本身没有一个有效而持续监控内部控制的机制。2008年德勤《上市公司的内部控制意识与就绪度》调查显示:72%的受访公司认为他们没有持续监督内部控制的有效机制,调查结果与2007年调查结果相同,说明中国上市公司内部控制监督机制与上年相比没有任何进展。2009年德勤《中国上市公司内部控制调查分析报告》显示:只有23.53%的企业增加了内部控制检查的频率,仅约17.65%的企业落实了内部控制考核工作。
(五)内部控制投入力度不大,执行效果没有达到预期目的
2008年德勤《上市公司的内部控制意识与就绪度》调查显示:有57%的受访公司认为管理层的意识不到位,不能有力支持和倡导内部控制工作;2009年德勤《中国上市公司内部控制调查分析报告》显示:约58.82%的企业为应对金融危机而指定了专门的部门落实风险管理和内控工作,但是,仅有23.53%的企业将内控工作的重点从书面制度转变为实施;仅有5.88%的企业拟组织内部控制负责人参加专业内控培训;约52.94%的企业认为,缺乏与内控相关的信息系统;约58.82%的企业认为,内控制度的执行效果没有达到预期目的;41.18%的企业认为内控制度执行不力。
二、实施企业内部控制制度的对策
(一)加强内部控制要素建设
企业内部控制是一个由多要素构成的框架,包括控制环境、风险评估、控制活动、信息与沟通、对控制的监督等,其中的每一个要素缺失,都会导致整个系统无效。所以,企业应当按照系统的观念来建立和执行内部控制,应当使各个要素保持均衡。但是,由于控制环境是其他内部控制要素的基础,所以,在现阶段要特别加强企业内部控制环境建设。COSO《企业内部控制——整体框架》认为,控制环境是一种氛围和条件,它决定着其他控制要素作用的发挥,并影响到企业经营目标及整体战略目标的实现。《风险管理——整体框架》把控制环境扩展为内部环境。把风险文化、操守和价值观、管理方法和经营模式、职责和权限的分配等纳入到控制环境之中,明确了一些看似不可控却与企业的生存发展息息相关的因素。
(二)制定切实可行的内部控制实施战略
我国绝大多数企业的内部控制尚处于内部控制结构阶段,还没有实施企业会计准则,内部控制和会计信息都没有充分反映风险内容;公司治理、组织结构、企业文化、人力资源政策和业务流程等等,都没有体现风险管理的要求。因此,要想把现有的内部控制提升到风险管理框架层次,还必须实现两次跨越,第一步是先规范会计行为,第二步是全面规范企业经营行为。为此,实施内部控制只能采取“渐进”的方式,否则内部控制环境跟不上,人员素质更跟不上。我国境外上市公司为达到美国内控监管要求而付出的“巨大成本”提醒我们,实施内部控制不能操之过急。甚至态度强硬的COSO主席也承认,ERM框架在组织里的运行是渐进式的。鉴于上述原因,当前我国企业在实施内部控制的时候,应当重点加强以财务报告内部控制为主线的相关控制标准建设,首先实现财务报告控制目标,待会计信息系统达到内部控制的要求后,再创造条件实现其他控制目标。
所以,现阶段的内部控制应立足资本市场监管需要,以会计活动控制为主线,引导企业加强财务报告的内部控制,重点解决我国企业会计信息失真问题。
(三)制定切实可行的内部控制实施步骤
内部控制是一系统个庞大的系统工程,必须从制度和流程两个层面,对企业战略、流程、人员、技术和知识进行整合,以提升企业整体风险管理能力。
(一)基础制度修订
企业的业务活动和内部控制活动是在一定的法规框架下进行的。为此,企业应当重视基础性制度建设,如人事制度、采购制度、财务报告制度等,为建立人力资源管理、采购业务、财务报告等业务流程和内部控制文本提供法律依据。
(二)再造业务流程,建立业务流程文本
业务流程由业务环节构成,风险产生于业务环节。业务流程的每一个环节都有风险,都需要进行风险管理。所以,流程再造是识别风险、确定关键控制、建立关键控制程序等风险管理的基础。为此,应当按照风险管理的要求,对现有管理流程和业务流程进行梳理、修改、补充和整合,并形成书面的文档,并以此作为风险管理的依据。
(三)识别关键控制,并建立风险管理文本
风险管理文本是内部控制运行的依据,也是内外部审计测试和评价内部控制的依据。风险管理文档记录的只是业务流程中的关键风险和关键控制程序,因为审计师只关注重大的风险和关键控制程序。例如,判断一笔交易时是否是在受控的状态下完成的,取决于是否附有相关的证据和文字记录。在美国上市的中国公司为应对“萨班斯法案”的最后期限要求所做的大量工作之一,就是完善业务流程、控制条例等文本资料。
参考文献:
[1]袁蓉君,德勤.中国仅两成上市公司落实内控制度.金融时报,2009,6,30.
[2]单羽青.上市公司内部控制实施障碍仍未消除.中国经济时报报导,2008,7,2.
[3]蒋义宏.会计信息失真的现状成因与对策研究.北京:中国财政经济出版社,2002