论文部分内容阅读
摘要:本文通过对国内外内控规范与准则的比较,浅要论述在推行我国上市公司内部控制建设过程中,内部审计如何更好地发挥作用、提升有效性,提出思考与建议。
关键词:内部审计 问题 建议
2008年5月,为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,财政部会同证监会、审计署、银监会、保监会中央五部委联合印发《企业内部控制基本规范》的通知,要求该规范自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。财政部更以财会〔2008〕7号文予以规范。这是中国会计、审计领域的又一重大改革举措,标志着我国企业内部控制体系建设走上了法制化、规范化的轨道。
■一、中美内控法规的比较
(一)美国的相关内控管理制度
1.《萨班斯——奥克斯利法案》
2002年7月,美国总统布什签署了《萨班斯——奥克斯利法案》(以下简称SOX法案),对于上市公司建立并保持有效的内部控制作出了明确、具体的规定。其中404条款“管理层对内部控制的评估”,规定上市公司每份年度报告必须包括一份“内部控制报告”,该条款引用COSO内部控制框架,作为对公司内部控制有效性进行审核的专业标准。该条款提出的内部控制评审要求,目的在于通过加强内部控制来改进公司治理状况,最终加强公司的责任。
2.美国的COSO报告
COSO《内部控制——整合框架》以下简称COSO报告)是目前世界范围内影响最大、应用最广的一个内部控制评价标准,也是美国证券交易委员会(SEC)和美国公众会计监管委员会(PCAOB)推荐使用的标准。COSO内部控制框架的内容涵盖企业运营的各个领域,要求管理层必须记录、检查内部控制系统的有效性、提供足够的证据并对内部控制的有效性公开发表声明。COSO报告将内部控制的整体架构表达为五要素,分别是控制环境、风险评估、控制活动、信息沟通、监督。
3.内控评价准则
为了配合审计人员对管理当局财务呈报内部控制有效性评价的审计工作,2004年3月9日,美国公众公司会计监督委员会批准了它的第二号审计准则《财务报表审计中对内部控制的审计》。该准则提出财务呈报内部控制审计的目标是,对管理当局就企业财务呈报内部控制有效性的评价发表意见。该准则在对管理当局对财务报告内部控制评价的责任进行明晰的同时,还规定了管理当局评价内部控制有效性的程序。随后,在2007年6月发布五号准则,又对于缺陷、重大缺陷和实质性缺陷的定义予以修改和说明。
(二)中国的内部控制管理规范
中国的企业内部控制基本规范在美国的SOX法案的基础上,加入了本土化的元素。本次基本规范科学界定了内部控制的内涵,强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,这有利于树立全面、全员、全过程控制的理念,避免了单纯从某一局部、某一方面入手可能造成的局限和被动。除了基本规范,我国还颁布了17项具体规范,并将继续起草若干具体规范和应用指南。基本规范有机融合了世界主要经济体加强内部控制的经验做法,提出了企业建立与实施有效内部控制的五要素:内部环境、风险评估、控制活动、信息与沟通和内部监督。中国在吸收国外先进理念的同时,根据中国国情作了较大调整,将国外提出的较为宏观、抽象的内控理念转变为了针对性、实用性较强的内控规定,保持了鲜明的中国特色。目前,我国财政部会计司正对《企业内部控制评价指引》及工程项目等5项内控应用指引征求意见,具体的内控评价标准体系正在逐步制订和完善中。
■二、当前上市公司内控建设所面临的问题
(一)公司治理及内控体系建设尚待完善
一个健全的治理结构是建立在有效治理体系的四个主要条件的协同之上的,这四个主要条件是:董事会、执行管理层、外部审计和内部审计。有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段,是公司治理过程中不可缺少的组成部分。当前我国上市公司内部审计尚未与公司治理完全相结合,成为公司治理的有机部分。多年来,人们过多地关注内部审计的职能、范围、方法的发展与变化,却忽视了它在公司治理中的地位与作用,导致了二者关系的割裂:一方面,置内部审计机构与其他职能部门平行甚至处于隶属的地位,其独立性、客观性及权威性难以得到应有的保证;另一方面,内部审计的主要职责仍是“查错防弊”,而不是对公司管理作出分析、评价和提出管理建议。
德勤2008年的一项年度调查显示,中国上市公司对内部控制监管要求的意识和了解程度有所增强:尽管44%的受访公司称他们业已建立起了良好的内部控制机制,但仍有56%的受访公司并未建立内部控制体系或尚未完善。而在2007年的调查中,大多数受访上市公司的内控体系建设正处在初级阶段,仅有20%的上市公司认为自身现有的内部控制体系能够完全满足监管要求。需要说明的是,44%的比例主要来自被调查公司的自测,并未得到德勤的第三方审计,这个数字有乐观的成分存在。因此,中国上市公司的内控体系建设任重道远。
(二)企业内部控制、公司治理与风险管理的内容有待进一步理顺
现阶段,企业内部控制、公司治理、风险管理规范可以分为多个层次,从《内部会计控制规范》到《上市公司治理准则》,从《中央企业全面风险管理指引》到《企业内部控制基本规范》等。从实施的后果来看,管理者在企业内部控制建设上的努力在很大程度上是一种对监管者要求的遵循,而对企业自身经营管理的意义有限,也增加了上市公司内审工作的难度。三者在内在和外延均未形成统一,阻碍了内部控制、公司治理、风险管理理论和上市公司内审实务向更高、更深层次的发展。
(三)内部审计人员素质尚难满足公司内控管理的要求
上市公司内控基本规范的出台与实施,提升了上市公司内审工作的地位同时,也对上市公司内部审计产生了压力。规范的实施进一步表明了中国内审事业的职业化与国际趋同。内部审计人员中不少人仅熟悉财务会计业务,有相当一些人员不具备必要的学识及业务能力,不了解本单位的经营活动和内部控制,难以提高或保持其专业胜任能力。
■三、发挥内部审计在内控建设中有效性的思考
(一)构建良好的内审环境
良好的公司治理环境是整个内部控制的基础,其好坏直接影响到企业内部控制的贯彻执行和企业经营目标、整体战略目标的实现,更是有效开展内部控制评审工作的保障。
1.落实审计委员会的职能,确保内审工作充分授权
上市公司审计委员会作为董事会下属四大专业委员会之一,应当根据国家法律法规要求和企业授权,履行其对内审工作的指导职责。目前,上市公司内控建设中审计委员会的作用发挥较弱,也一定程度上影响了内审的监督与监控作用的发挥。
2.充分取得企业财会部门及企业管理部门的支持与配合
企业的监督可以分为持续性监督和内部审计定期的、相对独立的评估两部分。内部审计部门应建立以查为主的监督防线,通过独立控制测试来发现管理流程中的不足与风险,与业务、财务人员一起构筑起企业坚固的内控防线。
3.充分发挥中介、证券监管机构的监管作用,与外部监管形成合力
当前第三方对上市公司的内控评价报告鉴证都属非硬性规定。笔者建议,应将上市公司的内控建设工作作为常规工作,强制实施第三方鉴证。这一方面能推动中介对内控的研究与深入介入,同时也能引起上市公司管理层的高度重视,有利于与内审形成监管合力,共同推进上市公司的内控建设。
(二)以基本规范为基础、以风险控制为导向、以信息化建设为平台,加强内控体系建设
当前和今后的一个时期,上市公司内部审计应以基本规范为基础,积极参与内控制体系建设,促进内部控制体系逐步向全面风险管理体系升级和完善;以全面风险管理理念为指导,推进审计的重心由后评价控制逐步转向事前风险管理,促进企业识别和应对风险:组织业务部门、职能部门开展控制自我评估,使风险管理与控制成为企业全员的自觉行为,推动企业培育和普及内控文化基础建设;以开展信息化审计评价为手段,推动企业多层次的信息化系统建设;认真开展内审自身有效性评估,不断提高审计质量和水平,为企业内部控制的有效性提供机制保障。
(三)不断提高内审队伍的专业化水平
1.推动内审队伍的职业化
职业化是企业内部审计发展的必然趋势,作为内部审计机构和人员,要不断创新,按企业治理层的意图,紧紧围绕企业的生产经营活动,积极行使审计职能。
2.强化内审人员的专业素养
随着传统审计向现代审计的转型、专业化要求的国际趋同,对广大内审人员提出了很大的执业挑战。如何胜任日新月异的管理变化与要求,是摆在内审人员面前的现实问题。实践证明,参加CIA资格考试,有利于促进我国内审人员专业知识和技能的提高,有利于加快我国内部审计工作与国际惯例接轨的进程,推动上市公司内控建设。
(责任编辑:罗亦成)
关键词:内部审计 问题 建议
2008年5月,为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,财政部会同证监会、审计署、银监会、保监会中央五部委联合印发《企业内部控制基本规范》的通知,要求该规范自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。财政部更以财会〔2008〕7号文予以规范。这是中国会计、审计领域的又一重大改革举措,标志着我国企业内部控制体系建设走上了法制化、规范化的轨道。
■一、中美内控法规的比较
(一)美国的相关内控管理制度
1.《萨班斯——奥克斯利法案》
2002年7月,美国总统布什签署了《萨班斯——奥克斯利法案》(以下简称SOX法案),对于上市公司建立并保持有效的内部控制作出了明确、具体的规定。其中404条款“管理层对内部控制的评估”,规定上市公司每份年度报告必须包括一份“内部控制报告”,该条款引用COSO内部控制框架,作为对公司内部控制有效性进行审核的专业标准。该条款提出的内部控制评审要求,目的在于通过加强内部控制来改进公司治理状况,最终加强公司的责任。
2.美国的COSO报告
COSO《内部控制——整合框架》以下简称COSO报告)是目前世界范围内影响最大、应用最广的一个内部控制评价标准,也是美国证券交易委员会(SEC)和美国公众会计监管委员会(PCAOB)推荐使用的标准。COSO内部控制框架的内容涵盖企业运营的各个领域,要求管理层必须记录、检查内部控制系统的有效性、提供足够的证据并对内部控制的有效性公开发表声明。COSO报告将内部控制的整体架构表达为五要素,分别是控制环境、风险评估、控制活动、信息沟通、监督。
3.内控评价准则
为了配合审计人员对管理当局财务呈报内部控制有效性评价的审计工作,2004年3月9日,美国公众公司会计监督委员会批准了它的第二号审计准则《财务报表审计中对内部控制的审计》。该准则提出财务呈报内部控制审计的目标是,对管理当局就企业财务呈报内部控制有效性的评价发表意见。该准则在对管理当局对财务报告内部控制评价的责任进行明晰的同时,还规定了管理当局评价内部控制有效性的程序。随后,在2007年6月发布五号准则,又对于缺陷、重大缺陷和实质性缺陷的定义予以修改和说明。
(二)中国的内部控制管理规范
中国的企业内部控制基本规范在美国的SOX法案的基础上,加入了本土化的元素。本次基本规范科学界定了内部控制的内涵,强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,这有利于树立全面、全员、全过程控制的理念,避免了单纯从某一局部、某一方面入手可能造成的局限和被动。除了基本规范,我国还颁布了17项具体规范,并将继续起草若干具体规范和应用指南。基本规范有机融合了世界主要经济体加强内部控制的经验做法,提出了企业建立与实施有效内部控制的五要素:内部环境、风险评估、控制活动、信息与沟通和内部监督。中国在吸收国外先进理念的同时,根据中国国情作了较大调整,将国外提出的较为宏观、抽象的内控理念转变为了针对性、实用性较强的内控规定,保持了鲜明的中国特色。目前,我国财政部会计司正对《企业内部控制评价指引》及工程项目等5项内控应用指引征求意见,具体的内控评价标准体系正在逐步制订和完善中。
■二、当前上市公司内控建设所面临的问题
(一)公司治理及内控体系建设尚待完善
一个健全的治理结构是建立在有效治理体系的四个主要条件的协同之上的,这四个主要条件是:董事会、执行管理层、外部审计和内部审计。有效的内部审计是公司治理结构中形成权力制衡机制并促使其有效运行的重要手段,是公司治理过程中不可缺少的组成部分。当前我国上市公司内部审计尚未与公司治理完全相结合,成为公司治理的有机部分。多年来,人们过多地关注内部审计的职能、范围、方法的发展与变化,却忽视了它在公司治理中的地位与作用,导致了二者关系的割裂:一方面,置内部审计机构与其他职能部门平行甚至处于隶属的地位,其独立性、客观性及权威性难以得到应有的保证;另一方面,内部审计的主要职责仍是“查错防弊”,而不是对公司管理作出分析、评价和提出管理建议。
德勤2008年的一项年度调查显示,中国上市公司对内部控制监管要求的意识和了解程度有所增强:尽管44%的受访公司称他们业已建立起了良好的内部控制机制,但仍有56%的受访公司并未建立内部控制体系或尚未完善。而在2007年的调查中,大多数受访上市公司的内控体系建设正处在初级阶段,仅有20%的上市公司认为自身现有的内部控制体系能够完全满足监管要求。需要说明的是,44%的比例主要来自被调查公司的自测,并未得到德勤的第三方审计,这个数字有乐观的成分存在。因此,中国上市公司的内控体系建设任重道远。
(二)企业内部控制、公司治理与风险管理的内容有待进一步理顺
现阶段,企业内部控制、公司治理、风险管理规范可以分为多个层次,从《内部会计控制规范》到《上市公司治理准则》,从《中央企业全面风险管理指引》到《企业内部控制基本规范》等。从实施的后果来看,管理者在企业内部控制建设上的努力在很大程度上是一种对监管者要求的遵循,而对企业自身经营管理的意义有限,也增加了上市公司内审工作的难度。三者在内在和外延均未形成统一,阻碍了内部控制、公司治理、风险管理理论和上市公司内审实务向更高、更深层次的发展。
(三)内部审计人员素质尚难满足公司内控管理的要求
上市公司内控基本规范的出台与实施,提升了上市公司内审工作的地位同时,也对上市公司内部审计产生了压力。规范的实施进一步表明了中国内审事业的职业化与国际趋同。内部审计人员中不少人仅熟悉财务会计业务,有相当一些人员不具备必要的学识及业务能力,不了解本单位的经营活动和内部控制,难以提高或保持其专业胜任能力。
■三、发挥内部审计在内控建设中有效性的思考
(一)构建良好的内审环境
良好的公司治理环境是整个内部控制的基础,其好坏直接影响到企业内部控制的贯彻执行和企业经营目标、整体战略目标的实现,更是有效开展内部控制评审工作的保障。
1.落实审计委员会的职能,确保内审工作充分授权
上市公司审计委员会作为董事会下属四大专业委员会之一,应当根据国家法律法规要求和企业授权,履行其对内审工作的指导职责。目前,上市公司内控建设中审计委员会的作用发挥较弱,也一定程度上影响了内审的监督与监控作用的发挥。
2.充分取得企业财会部门及企业管理部门的支持与配合
企业的监督可以分为持续性监督和内部审计定期的、相对独立的评估两部分。内部审计部门应建立以查为主的监督防线,通过独立控制测试来发现管理流程中的不足与风险,与业务、财务人员一起构筑起企业坚固的内控防线。
3.充分发挥中介、证券监管机构的监管作用,与外部监管形成合力
当前第三方对上市公司的内控评价报告鉴证都属非硬性规定。笔者建议,应将上市公司的内控建设工作作为常规工作,强制实施第三方鉴证。这一方面能推动中介对内控的研究与深入介入,同时也能引起上市公司管理层的高度重视,有利于与内审形成监管合力,共同推进上市公司的内控建设。
(二)以基本规范为基础、以风险控制为导向、以信息化建设为平台,加强内控体系建设
当前和今后的一个时期,上市公司内部审计应以基本规范为基础,积极参与内控制体系建设,促进内部控制体系逐步向全面风险管理体系升级和完善;以全面风险管理理念为指导,推进审计的重心由后评价控制逐步转向事前风险管理,促进企业识别和应对风险:组织业务部门、职能部门开展控制自我评估,使风险管理与控制成为企业全员的自觉行为,推动企业培育和普及内控文化基础建设;以开展信息化审计评价为手段,推动企业多层次的信息化系统建设;认真开展内审自身有效性评估,不断提高审计质量和水平,为企业内部控制的有效性提供机制保障。
(三)不断提高内审队伍的专业化水平
1.推动内审队伍的职业化
职业化是企业内部审计发展的必然趋势,作为内部审计机构和人员,要不断创新,按企业治理层的意图,紧紧围绕企业的生产经营活动,积极行使审计职能。
2.强化内审人员的专业素养
随着传统审计向现代审计的转型、专业化要求的国际趋同,对广大内审人员提出了很大的执业挑战。如何胜任日新月异的管理变化与要求,是摆在内审人员面前的现实问题。实践证明,参加CIA资格考试,有利于促进我国内审人员专业知识和技能的提高,有利于加快我国内部审计工作与国际惯例接轨的进程,推动上市公司内控建设。
(责任编辑:罗亦成)