会计监管之本:公司内部控制的监管
来源:
2005-06-07
普通
一、问题的提出
(一)国内外重大财务舞弊案挑战公司的内部控制
1.国外安然公司事件
2001年12月2日,作为美国500强公司排名第七的美国能源业巨头安然公司正式向纽约联邦地方法院申请破产。安然事件引发了全世界一系列深层次、广泛的讨论。从表面上看安然公司的破产失败与其财务舞弊有着直接的关系,但从深层分析,与公司治理结构的不合理和内部控制实施中的缺陷和问题更有直接关系。安然公司正是利用了公司治理结构最薄弱的环节和内部控制上的缺陷,而且走得太远,才导致破产的。除了公司发生的重大财务造假问题外,许多专家学者都普遍认为,正是由于安然公司内部控制上的缺陷,诱发了财务舞弊,进而加剧导致了安然的破产。
国际上大量事实已证明,舞弊案件的出现与公司内部控制未能发挥应有的作用存在直接关系,这使人们不得不把关注的焦点从企业外部环境转向企业的内部控制机制方面,认为外部环境是外因,有效的内部控制机制是内因。因此,在全球范围内要求加强对公司内部控制的监管呼声日盛,人们逐渐地认识到,会计监管的第一要务是对内部控制的监管。
2. 国内公司财务造假事件
我国股市中虚假财务报告也时有发生,琼民源、郑百文、黎明股份、红光实业、银广夏等一系列会计造假案无不折射出内部控制问题。银广夏案件的天津广夏公司,就是由李有强一人担任董事长兼总经理,大大削弱了内部控制中的公司治理制度的相互制衡机制。高层管理人员交叉任职,董事会和总经理班子人员重叠,这种交叉任职的后果是董事会与总经理班子之间权责不清,制衡力度锐减。李有强大权独揽,常常集控制权、执行权和监督权于一身,并有较大的任意性,使内部控制中的公司治理制度难以奏效。
德隆系崩盘不仅牵连上市公司20余家,且市值超过200亿。江苏琼花事件同样造成新生中小板流通市值损失一度超过5.42亿,在一定程度上也是因为这些企业的内部控制形同虚设。
郑州亚细亚内部控制失败案例也使我们记忆犹新,该商场1989年5 月开业,1990年收入达1.86亿,1995年收入达4.8亿,引来当时全国30 个省市的200多家企业领导参观,李鹏、朱镕基、李岚清等国家领导甚至也都参观过。但是由于在经营中控制环境失效,风险意识差,没有适当的控制活动,内部监督不力,信息沟通不畅,该公司于1998年8月15日关门。
(二)内部控制与财务造假
对于一个企业而言,要解决的管理上的基本问题可归纳为两个,一是激励问题,二是约束问题。这两个问题都与控制有着密切的联系。在管理活动中只有计划、组织和领导是远远不够的。人是容易犯错误的,即使大多数的人都具有良好的动机和意图,而少数别有用心的人更难免弄虚作假的行为。所以,要保证实现经营目标,就要检验进行的或已完成的工作是否同所拟定的计划、发出的指示和确定的原则相符合。旨在发现、纠正和防止错误,这就是控制。内部控制是公司的管理层建立的,为了保证财产的安全完整、信息披露的准确性和可靠性、提高企业的经营效率以及促进企业贯彻既定的经营方针,所设计的总体规划及所采用的与总体规划相适应的一切方法、程序和措施。内部控制是公司治理结构的有机组成部分,是完善公司治理结构的可靠保证。
有史以来的财务造假案的具体目的复杂多样,但归纳起来可形成两个主要的驱动,一是个人贪欲的驱动,二是粉饰公司业绩的驱动。在我国的企事业单位中,个人贪污犯罪的方式和手段各有不同。但是,所有的犯罪事实中有一个共同点是他们通过会计造假来实施犯罪,而会计造假的环境支持是单位内部控制的漏洞或失效。他们利用单位内部控制的漏洞和缺陷,大肆贪污、挪用公款,给国家和企业造成了重大经济损失。
国内外一系列的公司财务造假案的共同目的是为了粉饰公司业绩。出于这种目的的财务造假与公司内部控制的关系可从两个方面分析:
1.采取违反财务报告的内部会计控制的做法进行会计造假,虚构财务数据,达到粉饰公司业绩的目的。公司财务报告的内部会计控制的漏洞为会计造假的成功提供了可乘之机。世通公司就是利用公司财务报告的内部会计控制的漏洞进行会计造假,虚构了近100亿美元的利润。公司在2001年前三个季度对外披露的资本支出中,有20亿美元既未纳入2001年度的资本支出预算,也未获得任何授权批准,严重违反了内部控制。公司内部审计人员还查出了一笔既没有原始凭证支持,也没有授权签字的5亿美元的电脑费用。可见,公司财务报告的内部会计控制上的漏洞和失效,是许多公司财务舞弊频频得手的重要因素。
2.公司忽视风险管理与控制,一旦遭受风险时,便萌生了通过财务造假来维系公司业绩的动机。大量的研究已经表明,当公司业绩不佳或下滑的时候,公司更容易滋生会计造假的邪念。而大多数公司业绩不佳或下滑的主要原因是不重视内部控制中的风险评估与管理。国内外发生财务造假案的许多公司董事会和管理层都缺乏对公司风险管理活动的控制和评价,当风险来临时会措手不及、无力抵御,难以用真实的业绩来支撑高位的股价,因此铤而走险选择会计造假。在内部控制中的风险管理与财务造假的关系中,呈现出一种特殊的形式:公司忽视风险管理-风险来临时业绩下滑-进行会计造假粉饰业绩-造假行为被查出、曝光-遭到法律诉讼-破产解散。
上述分析表明,无论会计造假的目的如何,会计造假与内部控制都产生了一种必然的联系,因此,强化对公司财务报告的内部会计控制和风险评估与管理的监管势在必行。
二、安然事件前后美国对公司内部控制的监管
安然事件发生之前的较长一段时间内,从上世纪70年代末以来,美国各界就一直在争论公司在年度报告中是否必须提供内部控制报告以及独立审计师是否需要对内部控制报告进行评价和鉴证。由于存在一系列的争论,因此在《萨班斯——奥克斯莱法案》出台之前,虽然美国的个别法律对小部分金融机构要求提供内部控制报告,并经独立审计师的审计,但对大多数公司没有要求对财务报告的内部控制有效性单独披露和报告。在现有的独立审计的一般公认审计准则中,要求审计师通过执行审计程序,了解与财务报表审计有关的内部控制,以便计划审计工作。审计师除了通过内部控制的测试来获得有效性的证据并使用这些证据来调查个别金融机构外,很少单独提供内部控制有效性的报告。
安然事件发生后,包括注册会计师在内的会计监管问题引起了美国各方面的空前关注,其中最引人注目的就是2002年7月25日美国国会通过的《萨班斯——奥克斯莱法案》(以下简称《法案》)。该《法案》提出了很多加强监管方面的要求,本文只关注与公司内部控制有关的监管内容。在《法案》的404条款内部控制的管理评估中,要求上市公司在报告年度向证券交易委员会提交关于财务报告的内部控制报告,同时必须附有管理当局声明,说明管理层负有建立和维护财务报告的内部控制结构和程序充分有效的责任,并提供管理当局对公司财务报告的内部控制有效性的评估。上市公司的审计师必须对管理层的内部控制评估报告进行测试和评价,并出具评价报告和鉴证。《法案》404条款的这些要求实际上给以往的争论划上了一个句号,对美国现有的上市公司财务报告和注册会计师的审计报告内容产生了重要影响。
为配合《法案》规定的上市公司提交关于财务报告的内部控制报告以及审计师必须对管理层的内部控制评估报告进行审计的要求,美国证券交易委员会(SEC)在规则中,对上市公司财务报告的内部控制报告的内容进行了具体的规定。包括:①管理当局建立和维护适当企业财务呈报内部控制的责任报告;②管理当局用于评价企业财务呈报内部控制有效性的方法框架的报告;③管理当局对到最近财政年末为止的企业财务呈报内部控制的有效性的评价;④一个声明,即会计师事务所已经对管理当局的财务呈报内部控制有效性评价意见的鉴证报告(陈汉文等,2005)。2004年美国上市公司会计监管委员会(PCAOB)也发布了第2号审计准则,以满足404条款的要求。在第2号审计准则中,PCAOB就有关财务报告的内部控制审计的目标,审计的程序、方法和具体步骤,审计证据的搜集,审计判断,审计意见的发表和财务报告的内部控制审计与财务报表审计的关系等,作出了具体的规定。
安然、世通等重大财务舞弊案件的曝光,引起了人们对内部控制中风险管理与评估的关注。2004年,COSO提出了内部控制新的概念体系,即《企业风险管理框架》。这一框架中包括了风险管理的定义;企业风险管理的8个构成要素,即内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息交流和监督;4个风险管理目标,即战略目标、经营目标、报告目标和合法性目标。加强对内部控制中的风险管理的监管不仅有利于遏止财务造假行为,也有利于促进上市公司的持续发展,促进资本市场健康发展。
三、我国实施内部控制监管的问题和对策
对公司的会计监管涉及到很多方面,但从以上的分析中可以看出,无论是财务造假还是公司衰败,无不导因于内部控制的缺陷和失效。内部控制是实现公司的管理目标和经营目标的一整套支持系统。如果系统紊乱或不起作用,目标无从谈起。因此内部控制的监管是公司会计监管的核心和基础,是公司会计监管之本。
在我国,上世纪90年代起,政府才开始加大对企业内部控制的推动作用。1997年中国人民银行颁布了《加强金融机构内部控制的指导原则》,这是我国第一个关于内部控制的行政规定。1996 年12月财政部发布《独立审计具体准则第9号-内部控制和审计风险》,提出审查内部控制的规定。中国证监会2000年11月发布的《公开发行证券公司信息披露编报规则》要求公开发行证券的商业银行、保险公司、证券公司应建立健全内部控制制度,并在招股说明书正文中专设一部分,对其内部控制制度的完整性、合理性和有效性作出说明。1999年10月颁布的《会计法》,明确提出各单位应当建立、健全本单位内部会计监督制度,这是我国第一部体现内部控制要求的法律。2001年6月财政部发布了《内部会计控制规范—基本规范(试行)》和《内部会计控制规范—货币资金(试行)》,随后又发布了采购付款、销售收款、在建过程、对外投资和担保等多项内部会计控制规范,对内部会计控制作出了专门的具体的规定。2001年中国证监会还颁布实施了《证券公司内部控制指引》。上述我国对企业内部控制监管的法规、制度相当不完善,主要表现在:一是对内部控制规范的要求明确,但缺乏对企业的内部控制评价、监督和检查等监管方面的具体措施;二是对内部控制监管的企业范围还比较窄,如证监会的规定只涉及到公开发行证券的金融机构。这种状况致使相当一部分企业的内部控制不存在或形同虚设。因此,必须有效实施对企业内部控制的监管,借鉴国际经验,故提出以下对策:
(一)企业内部监管
笔者认为,在内部控制监管实践中,来自企业内部的监管举足轻重,是重中之重。因为,第一,客观存在的外部人士与内部人士的信息不对称,会导致监管效果和监管质量的差异;第二,外部监管由于环境和条件所限,其监管行为往往发生在事后,而内部监管可以在事中进行监管;第三,内部监管实质上是一种自我监管,整个的监管都是建立在自我监管的基础之上的,没有一个有效的自我监管机制,整个监管无从谈起。众所周知的美国世通公司的100多亿利润的会计造假案,既不是注册会计师,也不是政府监管部门,而是公司的内部审计人员发现和揭露的,内部监管的重要性可见一斑。国内外对企业内部控制实施内部监管的具体执行机构都是内部审计部门。
我国企业的内部审计现状存在很多问题,比较突出的主要问题是:
1.内部审计机构设置不健全或形同虚设的现象比较普遍存在。长沙内部审计协会的一份调查显示:该市已开展内部审计工作的单位中,仅有32%的单位设立了健全的内部审计机构,还有不少单位没有设立内部审计机构,根本没有开展内部审计工作,甚至包括一些上市公司。
2.内部审计的独立性和权威性较弱,内部审计的作用大打折扣。多年来内部审计较弱的独立性和较低的权威性问题一直是阻碍内部审计产生良好效应的根本障碍。我国企业内部审计机构的设置基本上延用的是行政模式,内部审计部门与财务部门及其他职能部门平级,甚至隶属于财务部门,也有的由分管财务的副总经理或总会计师直接领导。由于内部审计的地位低下,使内部审计的独立性、内部审计职能的充分履行和内部审计目标的实现都受到了严重影响。常常是内部审计人员提出的合理的审计建议,不能被采纳或应用,甚至得不到审计回复。
3.内部审计各项职能的履行存在偏失。内部审计的职能应该包括监督、评价和服务。但长期以来,我国内部审计部门对各项职能的协调不够,在强调和偏重于某项职能时,会忽略其他的内部审计职能。近年来,不少企业偏重于服务职能而忽略了内部控制的监督和评价,对企业风险管理的评估在许多企业的内部审计中几乎是空白。
针对上述问题,为了加强企业内部审计工作,解决企业内部控制的自我监管问题,建议采取以下必要的措施:
1. 应强制要求所有企业必须建立内部审计机构或设置专职的内部审计人员。美国新的纽约股票交易规则要求,所有纳斯达克上市的公司必须有内部审计部门。我国应在有关的法律和法规中作出相应规定。
2.内部审计机构必须由审计委员会直接领导,并向董事会和审计委员会报告工作。审计委员会决定内部审计主管的聘用和解聘,以增强内部审计的独立性和权威性。
3.内部审计部门应加强对企业内部控制的评审。国家审计署在2003年3月发布的《审计署关于内部审计工作的规定》中,明确规定了内部审计的职责之一是对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审。内部审计在履行其职能时,应加强对企业内部控制的评审,定期对内部控制设计和实施的有效性进行评估,并提出评估报告。
4.内部审计部门应有效开展对内部控制中的风险评估的评审
风险评估,是指组织管理层对影响组织目标实现的不确定性事件的评估。风险评估是组织内部控制的要素之一,也是组织风险管理过程的组成内容。建立、健全风险评估机制并使之有效运行是组织管理层的责任。内部审计机构和人员应当充分了解组织的风险评估工作,审查和评价其充分性和有效性,以协助组织管理层进行有效的风险管理活动。在完成风险评估过程的评价之后,内部审计应当对组织管理层是否根据风险评估结果采取适当的风险应对措施进行进一步的评价。内部审计人员应向组织适当管理层报告对风险评估的审查和评价结果。对风险评估的审查和评价结果一般包括在内部控制审计报告中。
5.强化公司审计委员会制度,改变目前对建立审计委员会的非强制性要求,将建立审计委员会的要求写进公司法。
(二)企业外部监管
1.政府监管
我国政府对企业的会计监管主要是国家证券管理部门和国家财政部门。中国证监会和证券交易所的监管对象是上市公司,监管范围是公司治理和信息披露。我国现行的公司治理准则和信息披露制度中,有关对内部控制的监管要求所见无几。现实中很多上市公司的定期报告中都很少提及内部控制实施和公司风险管理的评估情况。虽然在定期报告中增加了“管理层讨论与分析部分”,只是要求公司管理层对报告期内发生和将要发生的重大事项对公司经营成果和财务状况的影响进行讨论与分析。但是,没有对所有上市公司就其内部控制实施情况提出集中、明确和普遍的评价要求。为加强财务报告的内部控制,从机制上遏制财务舞弊,应修订上市公司年度报告披露准则,要求上市公司在年度报告中增加公司内部控制报告,并要求注册会计师提供公司内部控制评审报告。公司内部控制报告应不仅限于财务报告方面的控制,也应包括风险管理与评估的控制。
财政部的监管对象是所有企业,监管范围是会计核算与会计监督。虽然目前的《会计法》明确要求企业要建立、健全内部会计监督制度,并且财政部已经发布了一系列内部会计控制规范,但对内部控制监管并无具体措施和要求。在国务院发布的《企业财务会计报告条例》中,对企业的半年和年度财务报告要求提供会计报表附注和财务情况说明书,但其中都没有涉及到企业内部控制情况的说明。可见我国目前在财务报告体系中对企业内部控制的监管措施仍然是苍白无力。应在财务报告的构成内容上要求企业在年度财务报告中增加内部控制报告,尤其是关于财务报告的内部控制报告,并要求凡是企业财务报告须经注册会计师审计的,同时要求注册会计师对企业内部控制报告进行审计。
2.社会监管
社会对企业的会计监管主要来自于注册会计师的独立审计。在我国的独立审计具体准则中有单独的内部控制审计准则,但是准则中对内部控制的测试是基于会计报表审计的需要。通过对内部控制的符合性测试,来确定实质性测试的性质、时间和范围。准则中对内部控制测试的要求并不是强制和必须的,而是注册会计师根据企业内部控制情况作出选择的。正是在现行审计准则的规定下,相当一部分会计师事务所和注册会计师忽略或者不进行企业内部控制的测试和评审,在年度审计报告之外也不提供或者很少提供管理建议书。即使进行内部控制的测试,也仅仅涉及到企业整个内部控制的个别环节和个别部分。美国的PCAOB为配合《法案》规定的上市公司审计师必须对管理层的内部控制评估报告进行审计的要求,发布了新的审计准则,提出了对公司财务报告的内部控制报告进行审计的具体规定,这是值得我国借鉴的。应修订我国的独立审计准则,从注册会计师负有对公司内部控制监管责任的角度出发,来制定内部控制审计的独立审计准则,发挥社会监管的作用。
总之,在制度层面的监管上,内部控制的监管是整个会计监管的基础和核心,是会计监管的根本。我们应加强对内部控制监管的理论和实践问题的研究,为建立健全一套完善的会计监管理论与方法体系而努力。
(一)国内外重大财务舞弊案挑战公司的内部控制
1.国外安然公司事件
2001年12月2日,作为美国500强公司排名第七的美国能源业巨头安然公司正式向纽约联邦地方法院申请破产。安然事件引发了全世界一系列深层次、广泛的讨论。从表面上看安然公司的破产失败与其财务舞弊有着直接的关系,但从深层分析,与公司治理结构的不合理和内部控制实施中的缺陷和问题更有直接关系。安然公司正是利用了公司治理结构最薄弱的环节和内部控制上的缺陷,而且走得太远,才导致破产的。除了公司发生的重大财务造假问题外,许多专家学者都普遍认为,正是由于安然公司内部控制上的缺陷,诱发了财务舞弊,进而加剧导致了安然的破产。
国际上大量事实已证明,舞弊案件的出现与公司内部控制未能发挥应有的作用存在直接关系,这使人们不得不把关注的焦点从企业外部环境转向企业的内部控制机制方面,认为外部环境是外因,有效的内部控制机制是内因。因此,在全球范围内要求加强对公司内部控制的监管呼声日盛,人们逐渐地认识到,会计监管的第一要务是对内部控制的监管。
2. 国内公司财务造假事件
我国股市中虚假财务报告也时有发生,琼民源、郑百文、黎明股份、红光实业、银广夏等一系列会计造假案无不折射出内部控制问题。银广夏案件的天津广夏公司,就是由李有强一人担任董事长兼总经理,大大削弱了内部控制中的公司治理制度的相互制衡机制。高层管理人员交叉任职,董事会和总经理班子人员重叠,这种交叉任职的后果是董事会与总经理班子之间权责不清,制衡力度锐减。李有强大权独揽,常常集控制权、执行权和监督权于一身,并有较大的任意性,使内部控制中的公司治理制度难以奏效。
德隆系崩盘不仅牵连上市公司20余家,且市值超过200亿。江苏琼花事件同样造成新生中小板流通市值损失一度超过5.42亿,在一定程度上也是因为这些企业的内部控制形同虚设。
郑州亚细亚内部控制失败案例也使我们记忆犹新,该商场1989年5 月开业,1990年收入达1.86亿,1995年收入达4.8亿,引来当时全国30 个省市的200多家企业领导参观,李鹏、朱镕基、李岚清等国家领导甚至也都参观过。但是由于在经营中控制环境失效,风险意识差,没有适当的控制活动,内部监督不力,信息沟通不畅,该公司于1998年8月15日关门。
(二)内部控制与财务造假
对于一个企业而言,要解决的管理上的基本问题可归纳为两个,一是激励问题,二是约束问题。这两个问题都与控制有着密切的联系。在管理活动中只有计划、组织和领导是远远不够的。人是容易犯错误的,即使大多数的人都具有良好的动机和意图,而少数别有用心的人更难免弄虚作假的行为。所以,要保证实现经营目标,就要检验进行的或已完成的工作是否同所拟定的计划、发出的指示和确定的原则相符合。旨在发现、纠正和防止错误,这就是控制。内部控制是公司的管理层建立的,为了保证财产的安全完整、信息披露的准确性和可靠性、提高企业的经营效率以及促进企业贯彻既定的经营方针,所设计的总体规划及所采用的与总体规划相适应的一切方法、程序和措施。内部控制是公司治理结构的有机组成部分,是完善公司治理结构的可靠保证。
有史以来的财务造假案的具体目的复杂多样,但归纳起来可形成两个主要的驱动,一是个人贪欲的驱动,二是粉饰公司业绩的驱动。在我国的企事业单位中,个人贪污犯罪的方式和手段各有不同。但是,所有的犯罪事实中有一个共同点是他们通过会计造假来实施犯罪,而会计造假的环境支持是单位内部控制的漏洞或失效。他们利用单位内部控制的漏洞和缺陷,大肆贪污、挪用公款,给国家和企业造成了重大经济损失。
国内外一系列的公司财务造假案的共同目的是为了粉饰公司业绩。出于这种目的的财务造假与公司内部控制的关系可从两个方面分析:
1.采取违反财务报告的内部会计控制的做法进行会计造假,虚构财务数据,达到粉饰公司业绩的目的。公司财务报告的内部会计控制的漏洞为会计造假的成功提供了可乘之机。世通公司就是利用公司财务报告的内部会计控制的漏洞进行会计造假,虚构了近100亿美元的利润。公司在2001年前三个季度对外披露的资本支出中,有20亿美元既未纳入2001年度的资本支出预算,也未获得任何授权批准,严重违反了内部控制。公司内部审计人员还查出了一笔既没有原始凭证支持,也没有授权签字的5亿美元的电脑费用。可见,公司财务报告的内部会计控制上的漏洞和失效,是许多公司财务舞弊频频得手的重要因素。
2.公司忽视风险管理与控制,一旦遭受风险时,便萌生了通过财务造假来维系公司业绩的动机。大量的研究已经表明,当公司业绩不佳或下滑的时候,公司更容易滋生会计造假的邪念。而大多数公司业绩不佳或下滑的主要原因是不重视内部控制中的风险评估与管理。国内外发生财务造假案的许多公司董事会和管理层都缺乏对公司风险管理活动的控制和评价,当风险来临时会措手不及、无力抵御,难以用真实的业绩来支撑高位的股价,因此铤而走险选择会计造假。在内部控制中的风险管理与财务造假的关系中,呈现出一种特殊的形式:公司忽视风险管理-风险来临时业绩下滑-进行会计造假粉饰业绩-造假行为被查出、曝光-遭到法律诉讼-破产解散。
上述分析表明,无论会计造假的目的如何,会计造假与内部控制都产生了一种必然的联系,因此,强化对公司财务报告的内部会计控制和风险评估与管理的监管势在必行。
二、安然事件前后美国对公司内部控制的监管
安然事件发生之前的较长一段时间内,从上世纪70年代末以来,美国各界就一直在争论公司在年度报告中是否必须提供内部控制报告以及独立审计师是否需要对内部控制报告进行评价和鉴证。由于存在一系列的争论,因此在《萨班斯——奥克斯莱法案》出台之前,虽然美国的个别法律对小部分金融机构要求提供内部控制报告,并经独立审计师的审计,但对大多数公司没有要求对财务报告的内部控制有效性单独披露和报告。在现有的独立审计的一般公认审计准则中,要求审计师通过执行审计程序,了解与财务报表审计有关的内部控制,以便计划审计工作。审计师除了通过内部控制的测试来获得有效性的证据并使用这些证据来调查个别金融机构外,很少单独提供内部控制有效性的报告。
安然事件发生后,包括注册会计师在内的会计监管问题引起了美国各方面的空前关注,其中最引人注目的就是2002年7月25日美国国会通过的《萨班斯——奥克斯莱法案》(以下简称《法案》)。该《法案》提出了很多加强监管方面的要求,本文只关注与公司内部控制有关的监管内容。在《法案》的404条款内部控制的管理评估中,要求上市公司在报告年度向证券交易委员会提交关于财务报告的内部控制报告,同时必须附有管理当局声明,说明管理层负有建立和维护财务报告的内部控制结构和程序充分有效的责任,并提供管理当局对公司财务报告的内部控制有效性的评估。上市公司的审计师必须对管理层的内部控制评估报告进行测试和评价,并出具评价报告和鉴证。《法案》404条款的这些要求实际上给以往的争论划上了一个句号,对美国现有的上市公司财务报告和注册会计师的审计报告内容产生了重要影响。
为配合《法案》规定的上市公司提交关于财务报告的内部控制报告以及审计师必须对管理层的内部控制评估报告进行审计的要求,美国证券交易委员会(SEC)在规则中,对上市公司财务报告的内部控制报告的内容进行了具体的规定。包括:①管理当局建立和维护适当企业财务呈报内部控制的责任报告;②管理当局用于评价企业财务呈报内部控制有效性的方法框架的报告;③管理当局对到最近财政年末为止的企业财务呈报内部控制的有效性的评价;④一个声明,即会计师事务所已经对管理当局的财务呈报内部控制有效性评价意见的鉴证报告(陈汉文等,2005)。2004年美国上市公司会计监管委员会(PCAOB)也发布了第2号审计准则,以满足404条款的要求。在第2号审计准则中,PCAOB就有关财务报告的内部控制审计的目标,审计的程序、方法和具体步骤,审计证据的搜集,审计判断,审计意见的发表和财务报告的内部控制审计与财务报表审计的关系等,作出了具体的规定。
安然、世通等重大财务舞弊案件的曝光,引起了人们对内部控制中风险管理与评估的关注。2004年,COSO提出了内部控制新的概念体系,即《企业风险管理框架》。这一框架中包括了风险管理的定义;企业风险管理的8个构成要素,即内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息交流和监督;4个风险管理目标,即战略目标、经营目标、报告目标和合法性目标。加强对内部控制中的风险管理的监管不仅有利于遏止财务造假行为,也有利于促进上市公司的持续发展,促进资本市场健康发展。
三、我国实施内部控制监管的问题和对策
对公司的会计监管涉及到很多方面,但从以上的分析中可以看出,无论是财务造假还是公司衰败,无不导因于内部控制的缺陷和失效。内部控制是实现公司的管理目标和经营目标的一整套支持系统。如果系统紊乱或不起作用,目标无从谈起。因此内部控制的监管是公司会计监管的核心和基础,是公司会计监管之本。
在我国,上世纪90年代起,政府才开始加大对企业内部控制的推动作用。1997年中国人民银行颁布了《加强金融机构内部控制的指导原则》,这是我国第一个关于内部控制的行政规定。1996 年12月财政部发布《独立审计具体准则第9号-内部控制和审计风险》,提出审查内部控制的规定。中国证监会2000年11月发布的《公开发行证券公司信息披露编报规则》要求公开发行证券的商业银行、保险公司、证券公司应建立健全内部控制制度,并在招股说明书正文中专设一部分,对其内部控制制度的完整性、合理性和有效性作出说明。1999年10月颁布的《会计法》,明确提出各单位应当建立、健全本单位内部会计监督制度,这是我国第一部体现内部控制要求的法律。2001年6月财政部发布了《内部会计控制规范—基本规范(试行)》和《内部会计控制规范—货币资金(试行)》,随后又发布了采购付款、销售收款、在建过程、对外投资和担保等多项内部会计控制规范,对内部会计控制作出了专门的具体的规定。2001年中国证监会还颁布实施了《证券公司内部控制指引》。上述我国对企业内部控制监管的法规、制度相当不完善,主要表现在:一是对内部控制规范的要求明确,但缺乏对企业的内部控制评价、监督和检查等监管方面的具体措施;二是对内部控制监管的企业范围还比较窄,如证监会的规定只涉及到公开发行证券的金融机构。这种状况致使相当一部分企业的内部控制不存在或形同虚设。因此,必须有效实施对企业内部控制的监管,借鉴国际经验,故提出以下对策:
(一)企业内部监管
笔者认为,在内部控制监管实践中,来自企业内部的监管举足轻重,是重中之重。因为,第一,客观存在的外部人士与内部人士的信息不对称,会导致监管效果和监管质量的差异;第二,外部监管由于环境和条件所限,其监管行为往往发生在事后,而内部监管可以在事中进行监管;第三,内部监管实质上是一种自我监管,整个的监管都是建立在自我监管的基础之上的,没有一个有效的自我监管机制,整个监管无从谈起。众所周知的美国世通公司的100多亿利润的会计造假案,既不是注册会计师,也不是政府监管部门,而是公司的内部审计人员发现和揭露的,内部监管的重要性可见一斑。国内外对企业内部控制实施内部监管的具体执行机构都是内部审计部门。
我国企业的内部审计现状存在很多问题,比较突出的主要问题是:
1.内部审计机构设置不健全或形同虚设的现象比较普遍存在。长沙内部审计协会的一份调查显示:该市已开展内部审计工作的单位中,仅有32%的单位设立了健全的内部审计机构,还有不少单位没有设立内部审计机构,根本没有开展内部审计工作,甚至包括一些上市公司。
2.内部审计的独立性和权威性较弱,内部审计的作用大打折扣。多年来内部审计较弱的独立性和较低的权威性问题一直是阻碍内部审计产生良好效应的根本障碍。我国企业内部审计机构的设置基本上延用的是行政模式,内部审计部门与财务部门及其他职能部门平级,甚至隶属于财务部门,也有的由分管财务的副总经理或总会计师直接领导。由于内部审计的地位低下,使内部审计的独立性、内部审计职能的充分履行和内部审计目标的实现都受到了严重影响。常常是内部审计人员提出的合理的审计建议,不能被采纳或应用,甚至得不到审计回复。
3.内部审计各项职能的履行存在偏失。内部审计的职能应该包括监督、评价和服务。但长期以来,我国内部审计部门对各项职能的协调不够,在强调和偏重于某项职能时,会忽略其他的内部审计职能。近年来,不少企业偏重于服务职能而忽略了内部控制的监督和评价,对企业风险管理的评估在许多企业的内部审计中几乎是空白。
针对上述问题,为了加强企业内部审计工作,解决企业内部控制的自我监管问题,建议采取以下必要的措施:
1. 应强制要求所有企业必须建立内部审计机构或设置专职的内部审计人员。美国新的纽约股票交易规则要求,所有纳斯达克上市的公司必须有内部审计部门。我国应在有关的法律和法规中作出相应规定。
2.内部审计机构必须由审计委员会直接领导,并向董事会和审计委员会报告工作。审计委员会决定内部审计主管的聘用和解聘,以增强内部审计的独立性和权威性。
3.内部审计部门应加强对企业内部控制的评审。国家审计署在2003年3月发布的《审计署关于内部审计工作的规定》中,明确规定了内部审计的职责之一是对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审。内部审计在履行其职能时,应加强对企业内部控制的评审,定期对内部控制设计和实施的有效性进行评估,并提出评估报告。
4.内部审计部门应有效开展对内部控制中的风险评估的评审
风险评估,是指组织管理层对影响组织目标实现的不确定性事件的评估。风险评估是组织内部控制的要素之一,也是组织风险管理过程的组成内容。建立、健全风险评估机制并使之有效运行是组织管理层的责任。内部审计机构和人员应当充分了解组织的风险评估工作,审查和评价其充分性和有效性,以协助组织管理层进行有效的风险管理活动。在完成风险评估过程的评价之后,内部审计应当对组织管理层是否根据风险评估结果采取适当的风险应对措施进行进一步的评价。内部审计人员应向组织适当管理层报告对风险评估的审查和评价结果。对风险评估的审查和评价结果一般包括在内部控制审计报告中。
5.强化公司审计委员会制度,改变目前对建立审计委员会的非强制性要求,将建立审计委员会的要求写进公司法。
(二)企业外部监管
1.政府监管
我国政府对企业的会计监管主要是国家证券管理部门和国家财政部门。中国证监会和证券交易所的监管对象是上市公司,监管范围是公司治理和信息披露。我国现行的公司治理准则和信息披露制度中,有关对内部控制的监管要求所见无几。现实中很多上市公司的定期报告中都很少提及内部控制实施和公司风险管理的评估情况。虽然在定期报告中增加了“管理层讨论与分析部分”,只是要求公司管理层对报告期内发生和将要发生的重大事项对公司经营成果和财务状况的影响进行讨论与分析。但是,没有对所有上市公司就其内部控制实施情况提出集中、明确和普遍的评价要求。为加强财务报告的内部控制,从机制上遏制财务舞弊,应修订上市公司年度报告披露准则,要求上市公司在年度报告中增加公司内部控制报告,并要求注册会计师提供公司内部控制评审报告。公司内部控制报告应不仅限于财务报告方面的控制,也应包括风险管理与评估的控制。
财政部的监管对象是所有企业,监管范围是会计核算与会计监督。虽然目前的《会计法》明确要求企业要建立、健全内部会计监督制度,并且财政部已经发布了一系列内部会计控制规范,但对内部控制监管并无具体措施和要求。在国务院发布的《企业财务会计报告条例》中,对企业的半年和年度财务报告要求提供会计报表附注和财务情况说明书,但其中都没有涉及到企业内部控制情况的说明。可见我国目前在财务报告体系中对企业内部控制的监管措施仍然是苍白无力。应在财务报告的构成内容上要求企业在年度财务报告中增加内部控制报告,尤其是关于财务报告的内部控制报告,并要求凡是企业财务报告须经注册会计师审计的,同时要求注册会计师对企业内部控制报告进行审计。
2.社会监管
社会对企业的会计监管主要来自于注册会计师的独立审计。在我国的独立审计具体准则中有单独的内部控制审计准则,但是准则中对内部控制的测试是基于会计报表审计的需要。通过对内部控制的符合性测试,来确定实质性测试的性质、时间和范围。准则中对内部控制测试的要求并不是强制和必须的,而是注册会计师根据企业内部控制情况作出选择的。正是在现行审计准则的规定下,相当一部分会计师事务所和注册会计师忽略或者不进行企业内部控制的测试和评审,在年度审计报告之外也不提供或者很少提供管理建议书。即使进行内部控制的测试,也仅仅涉及到企业整个内部控制的个别环节和个别部分。美国的PCAOB为配合《法案》规定的上市公司审计师必须对管理层的内部控制评估报告进行审计的要求,发布了新的审计准则,提出了对公司财务报告的内部控制报告进行审计的具体规定,这是值得我国借鉴的。应修订我国的独立审计准则,从注册会计师负有对公司内部控制监管责任的角度出发,来制定内部控制审计的独立审计准则,发挥社会监管的作用。
总之,在制度层面的监管上,内部控制的监管是整个会计监管的基础和核心,是会计监管的根本。我们应加强对内部控制监管的理论和实践问题的研究,为建立健全一套完善的会计监管理论与方法体系而努力。