内部控制管理层和评价机构应当合理确定相关目标发生偏差的可容忍水平,从而对严重偏离的情形予以确定。企业判断和认定内部控制缺陷是否构成重大缺陷,应当考虑下列因素:影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷;针对同一细化控制目标所采取的不同控制活动之间的相互作用;针对同一细化控制目标是否存在其他补偿性控制活动。企业应当根据内部控制评价过程中发现的内部控制缺陷,督促相关单位或部门进行整改,并对整改结果进行核查和确认。对于为实现单个或整体控制目标而设计与运行的控制不存在重大缺陷的情形,企业应当认定针对这些整体控制目标的内部控制是有效的。对于为实现某一整体控制目标而设计与运行的控制存在一个或多个重大缺陷的情形,企业应当认定针对该项整体控制目标的内部控制是无效的。对于因业务流程外包等原因造成企业无法评价特定业务、特定流程的内部控制有效性的情形,内部控制评价机构应当充分考虑该项业务流程及其相关控制的重要性,确定其对整体控制目标有效性评价的影响。周勤业、吴益兵(2008)通过整理,将沪市上市公司披露的主要内部控制缺陷归纳为十类,笔者按照严重程度将其做了进一步分类。
程度情况重大缺陷公司内部控制制度设计不合理,难以执行公司管理层与员工内部控制意识薄弱公司对外投资无法得到有效控制不相容职责未充分分离严重缺陷公司内部控制制度与业务开展难以有效融合集团公司的分支机构难以在业务、财务和资产上得到有效的控制衍生金融产品投资的风险管理能力较差一般缺陷公司缺少内部控制的相关培训和辅导内部审核人员配置不足、工作广度和深度不够,无法执行有效的监督职能其中:“公司内部控制制度不完善”一类内容涵盖较广,需要具体分析。
需要指出的是,作为内部控制报告要素的监督与修正和作为内部控制要素的监控是有区别的。Root认为,作为内部控制要素的监控也包括董事定期对董事会机构和公司治理方法的效果进行自我评估Stephen J. Root.超越COSO:加强公司治理的内部控制[M].付涛,卢远瞩,黄翠竹译.北京:清华大学出版社,2004:14.。如前所述,董事会机构和公司治理属控制环境的范畴,控制环境又属假设层面,理想的控制环境是内部控制报告的基础和前提条件。如果连控制环境都存在缺陷的话,内部控制报告的质量就可想而知了。因而,笔者认为,作为内部控制报告要素的监督与修正只需对风险评估与控制活动的效果进行总结与评价即可。
如果缺陷发生在期中,在对应措施采取的期末日有所改善的话,就有可能不再采用“重大缺陷”的表述;相反,若发生在年度决算完毕之后的期末日,则改善这种情况就不存在,只能按“重大缺陷”加以表述。如前所述,由于授权审批方面存在重大缺陷,紫光古汉(000590)的注册会计师出具了否定意见的“内部控制专项报告”。
③ 内部控制缺陷披露的必要性
以宗法家庭为背景、以儒家伦理道德为核心的中国文化认为:“家丑不可外扬”。与此不同的是,美国有一种理念:“缺陷不是问题,每个人都有缺陷;隐瞒才是问题,千万不要隐瞒”。内部控制也是一样,当发现内部控制存在缺陷时,是披露出来还是隐瞒不报?实际上,许多企业赢得财务界的喝彩,正是由于坦率地承认不足和错误。上世纪90年代初期,大多数有关公司重组和大额注销的公告曾引起公司股票价格的暴涨夏恩·桑德.会计与控制理论[M].方红星,王鹏,李红霞译.大连:东北财经大学出版社,2000:48.。与之相反,日本丰田汽车恰恰因采取了隐瞒缺陷与否认事实的态度而折戟美国市场。
内部控制的缺陷披露是内部控制报告的重要内容,它一方面向投资者揭示了公司内部控制中存在的问题,另一方面也督促公司管理层对内部控制缺陷进行持续性改进,进而更好地保护投资者利益。同时,缺陷披露也是一种诚信精神的体现,修正方案完成情况的披露更显示了对投资者负责的态度。例如,在华夏证券公司华夏证券公司于1992年10月成立,注册资本为27亿余元,由中国工行、农行、中行、建行、人保五家金融机构作为主要发起人,联合其他41家大型企业共同组建。之后公司迅猛发展,曾一度拥有91家营业部和24家证券服务部,并成为第一家全国交易联网券商。但是,2005年12月,公司总资产为81.76亿元,负债为133.09亿元,所有者权益为-51.33亿元,被中国证监会和北京市政府责令停止证券业务活动,撤销证券业务许可证;2007年10月,公司总资产为38.18亿元,负债为89.86亿元,所有者权益为-51.68亿元,失去持续经营能力,无法清偿到期债务,公司申请破产;2008年4月,破产申请获证监会同意,公司正式宣告破产。,由于内部控制责任主体、政策和程序存在缺陷,导致公司难以形成持续的监督;又因为董事会弱化,不能对公司高管实施有效监督;公司高管滥用职权,对下层机构也不能形成有效监督,致使管理层凌驾于控制之上。此外,内部控制报告亦没有客观披露缺陷和落实整改计划。其内部控制报告甚至认为“华证稽核审计部按照公司内部控制制度的要求,对项目资料、信息隔离和保密情况实施了监控……在整个项目进行过程中没有内幕交易和操纵市场的行为发生”陈关亭,李 蓓.华夏证券公司的免疫缺陷综合症:内部控制严重失效[J].财务与会计(理财版),2009,(3):30~32.。由此可见,隐瞒带给华夏证券带来的是灭顶之灾。
(4)内部控制报告三要素之间的关系
有些学者认为,内部控制报告是建立在持续监督和定期评价基础之上的,所以,应该将监督和评价的信息以内部控制报告的形式及时地反馈给控制主体供其决策(蔡吉甫,2008)。实际上,内部控制报告不仅仅是将监督和评价的信息对外披露,而是将“风险评估→控制活动→监督与修正”过程的一系列信息对外进行披露,让投资者有一种“身临其境”的感觉。
从信息披露视角看,风险评估是内部控制报告的起点;控制活动是把风险控制在可承受的范围之内,是内部控制报告的核心;监督与修正是对风险评估与控制活动的总结与评价,三要素相互作用,勾勒出完整的内部控制过程。
需要指出的是,内部控制报告要素并不像财务报表要素那样,可以很清楚地区分为资产负债表要素(时点要素)与利润表要素(期间要素)。前者综合了时点要素与期间要素的特征,即“风险评估→控制活动→监督与修正”既是一个过程,也是一个结果(效果),这便为内部控制信息是动态信息与静态信息的混合体给出了很好的解释。
三、内部控制报告的内容
内部控制报告是内部控制信息披露的核心内容。内部控制报告的内容应围绕风险评估、控制活动、监督与修正三个报告要素展开。在此基础上,内部控制报告还包括综述与结论两部分。综述明确了内部控制建立、健全、执行的依据与管理层内部控制责任的声明。结论是管理层对内部控制存在固有缺陷的声明与内部控制在风险评估、控制活动、监督与修正等所有重大方面是否有效的总结。
COSO报告认为,内部控制是由董事、管理层及其他人员在公司内进行的,旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。“合理保证”是与“有限保证”相对应的一个概念,合理保证应在结论部分给出积极的表述,如“我们认为,本公司的内部控制在风险评估、控制活动、监督与修正等所有重大方面是有效的”;而有限保证应在结论部分给出消极的表述,如隆平高科(000998)的结论段中“公司内部控制制度在完整性、有效性、可行性等方面不存在重大缺陷”。既然内部控制是一种合理保证,管理层又自始至终地投入内部控制的设计与运行之中,它是最清楚自己的内部控制究竟怎么样的。因此,笔者认为,内部控制报告的结论应该呈现一种积极的态度,给投资者一个明确的交代。
§§§第三节内部控制自我评价意见
一、责任主体
评价者应当了解公司的各项活动和企业内部控制的各个构成要素;应当以管理当局的既定标准为依据来分析企业内部控制的设计和执行,以确定内部控制在为实现既定的目标提供合理保证。那么这个评价者是谁?ST博盈(000760)2009年度内部控制自我评价中包含了上市公司、董事会、独立董事与监事会在内的“四方”评价意见。Fama和Jensen(1983)认为,董事会是公司治理的核心,在公司治理体系的制衡架构中,董事会起着承上启下的枢纽作用。董事会是维护股东利益和监督管理者,其法定职责包括检查管理者提交内部控制报告的合理性、合法性及准确性。这是由美国式的公司治理结构决定的。
在我国,董事会中包括执行董事与非执行董事,执行董事与管理层往往很难划分清楚,本著对其未作区分,统称为管理层。你不会听到某一位导演说自己拍的片子如何如何糟糕,同理,你也无法看到管理层会愿意将它一手导演的内部控制系统评价为无效。而且,如果是董事会进行评价的话,就与内部控制报告中的结论部分并无二致。
从理论上讲,如果监事会直接向股东大会负责,其发表对内部控制的意见将具有较高的独立性。但是,在现实中,作为董事会一个制衡机构的监事会的主要职责被定位于检查公司的内部财务方面,或监督经理层的经营行为方面。其变成了董事会一个事实上的下属机构,主要原因是监事会主席和成员在聘任和报酬等方面实际受制于公司董事长或总经理。而且,在职能上与独立董事存在重叠现象上海证券交易所研究中心.中国公司治理报告(2005):民营上市公司治理[M].上海:复旦大学出版社,2005:113~114.。在国有控股公司中,部分监事会的成员同党委和工会相关联,对董事会还起到一定的监督作用。而民营公司的监事会则是完全的形同虚设,其成员的专业胜任能力也难以保证。李明辉等(2003)认为,监事会发表意见仅仅是对董事会和管理层是否建立内部控制制度的一种监督。因此,为了提高内部控制评价意见的信息含量,体现内部控制信息披露的中立性原则,笔者建议,由独立董事对内部控制报告发表评价意见。
监督制衡权力独立董事
(专门委员会)〖〗监事会聘用或解聘会计师事务所的提议权有有召开临时股东大会提请权有有独立聘用外部审计机构和咨询机构权有有重大关联交易认可权发表独立意见公开向股东征集投票权有无提名、任免董事有无聘任或解聘上市公司高管有无决定公司董事和高管的薪酬有无对公司董事、高管尽职情况的监督权有有
(但缺乏实际执行权)向证券监管机构和其他部门直接报告情况有有
(但缺乏实际执行权)二、内部控制自我评价意见的内容
宋京津(2009)研究显示,在464家深市A股非金融类上市公司中,192家公司的独立董事/监事会既对内部控制的有效性发表了独立意见,又对内部控制报告的质量发表了独立意见;12家上市公司的独立董事/监事会仅对公司内部控制的有效性发表了独立意见;12家上市公司的独立董事/监事会仅对公司内部控制报告的质量发表了独立意见。
笔者建议,独立董事应首先对公司内部控制情况进行评价,可由审计委员会授权内部审计部门具体实施。根据《评价指引》第三条中的“全面性原则”,评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项,也就是强调对内部控制的总体评价。在此基础上,再围绕风险评估、控制活动、监督与修正三大报告要素对内部控制报告的质量进行评价,也就是对内部控制报告的内容是否符合公司内部控制的实际情况进行判断。
独立董事的评价要客观、到位。例如,合加资源(000826)的独立董事对其内部控制报告的评价意见中有一句话:“公司对存在问题的揭示比较深刻,加强内部控制的努力方向也比较明确”。然而,在其内部控制报告的第三部分“问题及整改计划”中作了如下陈述:“A.持续加强对公司内部控制管理的检查,并进一步完善公司内控制度建设,确保公司内部控制制度能及时适应企业的发展和环境的变化。B.强调风险意识,加强风险评估、加强事前控制,针对重点风险控制环节更新和完善内控手段。C.公司虽成立了内部审计机构,但仍需要进一步完善相关制度和流程,加强内部审计管理,充分发挥审计部门的作用。2009年度,公司无中国证监会、交易所对公司作公开处分所涉及的内控问题。”这样轻描淡写的程式化陈述也算得上是“问题揭示深刻、努力方向明确”吗?
独立董事发表的评价意见可与内部控制报告合并披露,也可以附件形式单独披露,为了避免内部控制信息的过度分散,笔者建议合并披露。
§§§第四节内部控制鉴证报告
一、责任主体
如前所述,引入独立董事的评价与注册会计师的鉴证机制可以在一定程度上遏制或威慑不道德的行为发生,特别是有声誉的会计师事务所,如“Big4”的专家身份无形中成为上市公司内部控制信息披露可靠性的一个有力保证。宋京津(2009)研究显示,在464家深市A股非金融类上市公司中,大多数公司(79.7%)未聘请注册会计师就其内部控制自我评价报告出具鉴证报告。
二、内部控制鉴证报告的内容