前言:中文期刊网精心挑选了内部控制自评报告范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
内部控制自评报告范文1
【关键词】 上市银行; 内部控制; 自我评价; 信息披露
一、引言
内部控制自我评价是目前我国上市公司的法定责任,按规定实施内部控制自我评价是上市公司审计监管的必然要求,同时也是有效防范风险,提高经营管理效率的重要方法。
中国人民银行早在2002年4月就颁布了《商业银行内部控制指引》,2008年6月,财政部同证监会、审计署、银监会和保监会五部门联合了《企业内部控制基本规范》,2010年4月,五部委又联合了《企业内部控制配套指引》。该配套指引包括《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,至此,我国基本建立了内部控制制度体系,而内部控制信息披露也由自愿性披露变为了强制性披露。这一规范明确要求上市公司应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。
良好的内部控制信息披露不仅提升财务报告决策的有用性,而且还影响利益相关者的利益。商业银行内部控制制度的基本建立是否意味着上市商业银行具有高质量的内部控制信息披露呢?本文选取了16家上市银行2009—2011年内部控制信息披露情况进行分析,通过比较《内部控制评价指引》出台前后上市商业银行实施内部控制自我评价的总体状况、具体内容、评价依据等方面的变化,来检验相关法律法规的实施效果和力度,找出上市商业银行内部控制信息披露存在的问题,并提出相应的改进建议。
二、我国上市商业银行内部控制自我评价现状分析
(一)报告披露的总体状况
截至目前,我国共有16家上市商业银行,涵盖了银行的主要类别,包括5家国有商业银行(工、农、建、中、交)、3家城市商业银行(北京、南京、宁波)和8家股份制银行(民生、浦发、平安(深发)、招商、兴业、华夏、中信、光大)。近三年上市商业银行内部控制自我评价的总体披露情况如表1。
2009年我国上市商业银行共有14家,均披露了相关内部控制自我评价信息,但其中只有2家(深发和宁波)正式了内部控制自我评价报告;出具外部审核意见和内部审核意见的银行数量也仅为2家和1家,其他12家仅在年报中简要说明了内部控制自我评价信息。2010年和2011年,16家上市商业银行均正式了内部控制自我评价报告,大多请专业机构进行了审核并出具评价意见报告。但出具监事会或独立董事会意见的银行仍然较少。由此看出,在《内部控制评价指引出台》之前,我国上市商业银行自愿披露内部控制评价报告的积极性普遍不高。从2010年开始,正式内部控制自我评价报告已成为一种必然趋势。披露状态得到极大改善,但仍然缺乏要求监事会或独立董事出具相关意见的意识。
(二)报告内容的具体分析
2009年有14家上市商业银行,2010年、2011年分别有16家上市商业银行,正式公布了内部控制自我评价报告共34份,具体内容如表2。
在责任主体方面,2009年正式内部控制自我评价报告的银行仅为深圳发展银行和宁波银行。宁波银行表述是将董事会作为决策层,并没有明确说明内部控制自我评价的责任主体,深发展的报告中也没有相关责任主体的表述内容。而2010年有13家银行明确说明了以董事会作为内部控制评价的责任主体,直至2011年,16家上市银行均明确表明了以董事会为责任主体。
在评价范围和评价依据方面,2009年明确披露内部控制评价范围和依据的银行分别有10家和13家,2010年增加到14家披露了内部控制评价范围、16家全部披露了内部控制评价依据,到2011年15家披露了内部控制评价范围、16家全部披露内部控制评价依据。
在评价程序和方法方面,2009年各大银行均未披露具体的内部控制自我评价程序和方法,2010年也仅有1家银行对此进行了披露,至2011年,披露的银行增加到13家,占比为81.3%,说明在2010年内部控制评价指引颁布之后,各大银行开始尝试采用具体的评价程序和方法,并对此进行了披露,但仍有部分银行缺乏对此的披露。
《企业内部控制基本规范》及配套指引明确指出各企业的内部控制应当包括五大要素:(1)内部环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)内部监督。上市商业银行的内部控制自我评价也理应按这五个基本要素进行评价。2011年具体披露了五要素的银行数由2010年的8家增加到了11家,各大银行虽然在内部控制自我评价具体内容上越来越趋向于统一按照基本规范的要求,但仍有部分银行没有对内部控制五要素进行披露。
在董事会对内部控制真实性声明方面,2009年仅有10家银行披露了相关信息,2010年有14家银行对董事会声明作了相应表述,2011年所有上市银行均发表董事会声明。
在缺陷认定方面,2009年各银行均未详细披露各项缺陷及认定情况,2010年仅有2家披露了缺陷认定情况,2011年上升到13家,仍有部分银行未对其具体缺陷认定情况进行说明。
首先,从总体上来看,自2010年内部控制评价指引出台之后,各上市银行对内部控制自我评价报告的披露内容更加完善、详细和具体,并表现出越来越统一的趋势。从近三年的自我评价报告对比可以发现,2009年和2010年各银行的内部控制自我评价报告内容不尽相同,有的对五要素进行了详尽的披露,而有的根本没有提及。至2011年,各大银行出具的报告内容表现出逐渐统一的趋势,大部分报告中完整地包括了责任主体、评价范围、评价依据、评价程序及方法、董事会声明、缺陷认定等。
其次,各银行内部控制自我评价报告的格式越来越规范。在2010年披露的16家报告中,仅有4家报告的格式具有可比性;在2011年披露的16家报告中,仅有8家报告是严格按照《内部控制评价指引》的要求来披露相关评价信息,即分别按照董事会声明、评价工作的总体情况、评价范围、程序和方法、内部控制措施、缺陷及认定、整改情况、有效性认定这8个部分进行说明,并附有相关签章及日期。
此外,16家银行披露的内部控制评价报告中无一例外都得出了内部控制设计和运行有效的结论,虽然有少数银行提到存在一些缺陷,但由于认为构成实质影响而没有详细披露。可以看出,上市商业银行在自愿披露内部控制评价信息时,都会尽可能选择对其有利的信息进行披露,且大多内部控制评价报告流于形式,缺乏实质性内容。
(三)内部控制评价依据的比较
如何去判断一个企业的内部控制是否有效,在关键控制点是否存在重大风险或者控制缺陷,是内部控制自我评价依据应该考虑的事情。如何合理、准确、全面地去判断一个企业的内部控制是否健全有效,需要一个恰当的依据。目前我国上市商业银行进行内部控制自我评价依据的标准众多。如图1所示。
其中:A表示《内部控制基本规范》;B表示《商业银行内部控制评价指引》;C表示《内部控制评价指引》;D表示《上交所、深交所内部控制指引》;E表示其他相关法规。
从图1看出,各银行的内部控制自评依据众多,导致内部控制的自我评价工作以及出具的报告更是千差万别,缺乏统一的标准。这样,一方面会使得上市银行出具的内部控制自我评价报告缺乏横向可比性;另一方面,不同评价依据对企业内部控制的关键控制点认定会有所区别,由此可能导致同一个企业的内部控制运用不同的评价依据会产生不同的评价结论。在统计中甚至还发现个别银行没有说明其具体的评价依据,这也影响了其内控自评报告的可信赖性。
三、存在问题的成因分析
通过对近三年我国上市商业银行的内部控制自我评价报告的比较分析可以发现,2010年作为一个分水岭,在此之前,大部分银行并没有独立公布内部控制自我评价报告,而是作为年度财务报告的一部分进行披露,且大部分内部控制自评报告名称不一致,缺乏较为统一的格式和规范,评价内容较为单一,各银行均未披露自评工作的程序和方法,也没有对相应的缺陷认定进行描述。此外,评价工作依据的法律法规众多,缺乏较为统一的标准。
(一)上市商业银行自愿如实披露评价信息的动力不足
一方面,根据《评价指引》的规定,上市商业银行应该积极主动出具符合规定的内部控制评价报告,并如实描述存在的相关内部控制缺陷,同时提出切实可行的整改措施,但是从上面的近三年各银行出具的内部控制自我评价报告来看,当前各银行都尽可能选择对其有利的信息进行披露,普遍得出了其内部控制设计和运行有效的结论,报告明显缺乏实质性价值。同时,其提出的整改措施大多数情况下只是为了满足证监会和证券交易所的要求,流于形式,缺乏实际执行效用。另一方面,在评价内容上,很多银行都只是将前一年的报告进行简单更新,明显表现出比披露财务信息更加缺乏自愿性和主动性。
(二)各上市商业银行间内部控制自我评价信息缺乏可比性
1.评价依据不统一
内部控制评价依据是判断内部控制是否存在不足和缺陷的标准,评价依据的选择对自我评价报告的结论的形成具有直接影响。从近三年各上市银行的自评报告情况来看,其对评价的法律依据的选择仍然存在很大差异。
2.评价内容不统一
颁布《内部控制评价指引》的目的之一就是要建立一个统一的标准,便于各企业统一实施内部控制自我评价工作,为各利益相关者作出决策提供准确及时的内部控制信息。但通过上面分析内容来看,虽然《内部控制评价指引》出台已有三年,但各银行的评价内容仍然表现出明显的差异。2011年未披露评价程序和方法的银行占比为18.8%,未按照五要素标准进行披露的银行占比为31.25%,未披露相应整改措施的银行比例更是高达75%。这种披露状况明显与《评价指引》的规定相去甚远,导致当前银行间的内部控制自我评价信息缺乏可比性,利益相关者很难据此判断其内部控制的真实状况。
3.报告格式不规范
目前我国上市商业银行内部控制自我评价报告的随意性比较大,报告名称不统一,披露形式不一致,有的详细按照各点分类说明,有的简略地以几段话进行概括说明,既有参照《评价指引》的要求进行全面披露,也有按照自己特有的评价体系进行说明。各银行内部控制自我评价报告格式的混乱必然加剧了内部信息可比性的缺乏。
(三)内部控制自我评价的有效性缺乏实质性关注
《评价指引》要求各企业及时准确地对内部控制情况进行评价的最终目的一方面是为了根据已发现的不足和缺陷持续改进,提高企业经营管理效率;另一方面为外部利益相关者投资决策等提供及时可靠的依据。通过以上的比较分析可以发现,上市银行内部控制自我评价的有效性即评价结果的利用效率缺乏内外部的持续关注。
从内部来看,各银行普遍选择迎合监管部门形式上的披露形式为主,极少或不披露其缺陷,且纵观各银行的整改措施基本上都缺乏实践意义的建议,导致内部控制自我评价与整改措施脱节,缺乏整改与完善的长效机制,大大降低了内部控制自我评价的有效性。2011年仅有3家银行在其内部控制评价报告中披露如何有效利用内部控制评价过程与评价结果,因而其内部管理层首先对内部控制自我评价的效果缺乏实质上的关注。从外部市场来看,包括机构投资者、个人投资者、债权人等在内的各方利益相关者由于受其自身知识结构与周围大环境的影响,对内部控制评价信息是否真实有效的需求远远小于对财务指标业绩的需求。
(四)对上市商业银行内部控制的内外部监管不够充分
从银行内部来说,监事会及其下设机构是对内部控制及其信息披露负有监督责任的职能部门,而在当前情况下,监事会实际上往往只是简单地评价了内部控制的三性,2011年只有1家银行单独出具了监事会和独立董事会对内部控制评价的意见,监事会和独立董事的内部监督职能未能充分发挥;从外部市场监管来说,强有力的外部监管力度可以在很大程度上保证公司所披露信息的真实性,促使公司提高所披露的内部控制信息质量,但在我国当前状况下,各银行的内部控制自我评价工作流于形式的背后充分反映了市场监管中存在的问题。到目前为止,关于违反内部控制信息规定行为的处理各监管部门也没有给予明确的规定。
四、相应的对策及建议
内部控制自我评价在我国还处于起步阶段,企业对其运用还处于探索时期,加之内部控制自我评价存在固有缺陷,企业在运用过程中暴露出很多问题。根据前文第三部分对现存问题的分析,以及第四部分实证检验中对内部控制自我评价报告有效性水平影响因素的回归分析,本文提出以下建议:
(一)完善相关制度规定,统一内部控制评价标准
涉及上市商业银行内部控制评价的规定很多,诸如《商业银行内部控制指引》、《内部控制基本规范》、《内部控制评价指引》、《上交所内部控制指引》和《深交所内部控制指引》等等,但对内部控制各个方面的规定都不尽一致。这种不一致一方面会造成上市公司选择上的困扰;另一方面上市公司可能会根据其自身的情况,选择对自己有利的规定来评价披露内部控制实施情况,而规避一些不利的披露规定,不利于投资者对企业内部控制状况真实全面地了解,而且,这种多选择的情况必然导致企业出具的内部控制自我评价报告形式与内容也各不相同,缺乏可比性。利益相关者尤其是其中的投资者将无法判定企业内部控制质量的真实性,从而不利于投资的有效决策。因此,应该进一步完善各项法规制度规定,统一评价标准,建立一套适合我国资本市场的内部控制信息披露指标评价体系。
(二)完善内部控制信息系统,建立有效的内控考核机制
为了内部控制信息披露各项工作的顺利开展,各上市银行应尽快完善内部控制信息系统。内部控制是一系列的过程,贯穿了银行业务的整个过程,随着业务的日益复杂化,加上信息技术的飞速发展,内部控制的目标和范围都发生了巨大的变化,上市银行要充分利用现代化的信息处理程序,加强信息的收集、加工和处理过程,使银行的各项业务都能得到信息系统的充分支持。同时,银行还要建立一套合理有效的激励考核机制,严格考核,奖惩分明,为内控能有效地实施建立一个良好的环境。
(三)明确和加强董事会、监事会对内部控制自我评价报告实质上的责任
从公司治理结构来看,董事会是决策和评价机构,经理层是执行机构,监事会是监督机构,核心是董事会、经理层和监事会的定位、分工和职权划分问题。尽管在《上市公司内部控制评价指引》中规定公司监事会和独立董事对内部控制自我评价报告发表意见,且董事会及其全体成员是企业内部控制的责任主体,对内部控制制度的建立、实施、监督完善负责,应保证内部控制自我评价报告披露信息的真实完整。长期以来,上市商业银行在实施内部控制自我评价的过程中,对内部控制责任主体的概念实际上比较模糊,呈现出各种不同的责任主体。此外,董事会、监事会的勤勉程度也没有像预期理论那样与内部控制自我评价质量呈正相关,这些都表明当前我国上市商业银行的董事会、监事会或类似机构对内部控制自我评价质量并没有负担起应有的实质上的责任。
(四)规范缺陷及改进措施的披露,加强信息与沟通机制建设
信息与沟通是准确、及时、完整地收集与企业相关的经营管理信息,在企业各级层次之间进行有效传递的过程,是良好内部控制的重要条件。信息与沟通主要包括信息的收集机制以及在企业内部与企业外部有关方面的沟通机制等。一个良好的信息系统可以帮助实现准确流畅的信息与沟通,提高内部控制的效率和效果。企业不仅要建立向下的沟通渠道,还应该有向上的、横向的以及对外界的信息沟通渠道。
内部控制缺陷信息,往往是上市公司独自掌握而投资者不了解的信息,并且这部分信息投资者很难从其他途径获得,主要依赖于上市公司的公开披露,对于我国上市商业银行来说,披露真实完整的内部控制缺陷及整改信息,有助于投资者和其他利益相关者作出正确决策,稳定和提升投资者的信心,应当受到高度重视。
具体来说,一方面,银行内部应该提高对内部控制自我评价结果实质上的关注,除了披露内部控制缺陷及相应整改意见外,还应提及其固有缺陷,提升报告的严谨性与有效性;另一方面,进一步完善相关法律法规,继续细化内部控制缺陷分级的具体标准,同时应尽量进行定量衡量。只有将强制性的外部监管与自身的重视双向结合,建立稳固的内部控制整改与完善的长效机制,才能真正达到内部控制自我评价的实施目的。
【参考文献】
[1] COSO.Internal Control-Integrated Framework[S].1992.
[2] COSO.Enterprise Risk Management-Integrated Frame
-work[S].2004.
[3] Jeffrey Doyle,Weili Ge,Sarah McVay.Determinant of weakness on internal control over financial reporting[J].Working Paper,SSRN,2006.
[4] Jayanthi Krishnan,Audit Committee Quality financial expertise and Internal ontrol:An mpirical Analysis[J]. The Accounting Review,2008:649-675.
[5] 朱荣恩,应唯,袁敏.美国财务报告内部控制评价的发展对我国的启示[J].会计研究,2003(8):48-53.
[6] 林朝华,唐予华.CSA:内部控制评价的新观念和新方法[J].上海会计,2003(l).
[7] 陈自力,李尊卫.离差最大化在商业银行内部控制评价中的应用[J].重庆大学学报,2005(10).
[8] 王立勇.内部控制系统评价的定量分析模型[J].财经研究,2004(9).
[9] 李军训,陈静.上市公司内部控制评价指标体系的构建及应用[J].西安财经学院学报,2010(2):55-56.
[10] 财政部,证监会,审计署,银监会,保监会.企业内部控制基本规范[S].2008.
[11] 陈汉文,张宜霞.企业内部控制的有效性及其评价方法[J].审计研究,2008(3).
内部控制自评报告范文2
[关键词]上市公司 内部控制 报告 改进
我国财政部、证监会、审计署、银监会、保监会等五部委于2008年6月28日正式颁布了《企业内部控制基本规范》(以下简称新规范),标志着我国内部控制制度建设取得了突破性进展,内部控制自我评价报告制度在我国资本市场的正式开始。新规范要求2009年7月1日起在上市公司范围内首先施行。执行该规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有相应资格的会计师事务所对内部控制的有效性进行审计。
新规范的颁布与正式实施,要求上市公司披露年度自我评价报告,不仅有利于我国资本市场的发展;有利于上市公司改善经营管理,建立健全有效的内部控制制度;有利于为上市公司的投资者、债权人、监管机构及其他利益相关者提供公司的更为全面而可靠的信息,保护利益相关者的权益,同时还可以保证国家法规得以贯彻实施。总之,上市公司内部控制自我评价报告关系到整个社会的经济秩序和国家、企业、公众的利益。
一、上市公司内部控制自我评价报告的重要性
上市公司对内部控制制度进行自我评价,并对外披露内部控制自我评价报告,有助于优化公司内部控制并保证财务报告的质量,其重要性至少包括:
1. 内部控制自我评价报告是公司吸引投资者的重要因素。
根据美国史丹佛大学及密歇根大学教授所做的实证研究,愿意主动提供信息的公司,可以吸引更多的投资者成为公司的股东。随着资本市场的逐渐成熟,投资者已开始重视公司治理和投资者权益的保护。鉴于目前我国上市公司会计信息失真问题比较严重,以致投资者对上市公司披露的年度财务报表缺乏信心,因而他们只能根据年度自我评价报告等附加信息去了解公司的内部控制的设计、执行及整改的情况,通过年度自我评价报告来测评财务报告质量,作出投资决策。所以,主动披露年度自我评价报告的公司可以吸引更多的投资者。
2. 内部控制自我评价报告是公司改进内控系统的重要推动力量。
建立和维护内部控制,定期对公司的内部控制设计、执行的情况进行自我评价,并将评价结果用年度自我评价报告对外披露,不仅是每个公司的义务和责任,而且也是增强外部信息使用者对财务报告质量的信心的有效方法。内部控制自我评价报告就像公司内控系统的一面镜子,反映出来的是公司内控系统的全貌。管理者出于减轻自身责任以及公司长远利益的考虑,不得不真正关注内部控制的建立和执行情况,不断对控制活动的各环节进行检查、反馈与整改,以健全与完善公司的内部控制,以使经鉴证的年度自我评价报告里没有关于公司内部控制系统薄弱环节以及内控缺陷的描述,使公众对公司资产安全放心。
3. 内部控制自我评价报告有助于形成良好的企业文化。
内部控制自我评价报告是一个由公司内部审计人员、经理和相关员工共同实施的对公司内控系统的各个环节进行评价的结果。在评价过程中,内部审计人员和被评价单位的经理与相关员工一起进行讨论,通过与会人员开诚布公、积极地发言,主动地开展批评与自我批评,不仅彼此之间建立相互信任的关系,还可以形成民主而有效的企业文化,使企业朝民主化管理方向发展,营造出浓厚的民主氛围,从而形成巨大的向心力和凝聚力。同时,还可以提高全体人员的内部控制意识和法治意识,使他们自觉遵纪守法地工作。
二、上市公司内部控制自我评价报告现状
1. 研究目标
新规范已经颁布一年多了,现在上市公司执行内部控制自我评价并披露年度自我评价报告的情况如何?都存在哪些问题?为研究这些情况,随机选取90家上市公司为样本,通过研究样本公司披露的年度自我评价报告的情况,以期对我国上市公司2008年度内部控制自我评价报告的情况窥豹一斑。
2. 样本选取
本文分析的样本是90家上市公司(其中沪市44家,深市46家)。样本信息主要来源于巨潮资讯网、上海证券交易所和深圳证券交易所所在的官方网站披露的内部控制自我评价报告的相关信息。为了使研究更加全面,还考查了上市公司在上述3个网站公开披露的其他资料,采用归纳、比较、统计等各种分析方法对相关信息进行分析和加工。本文按上证所和深证所的行业分类随机选取各行业上市公司额的5%作为该行业的样本,四舍五入后不足1家的,为样本的全面代表性,取1家作为该行业的样本。虽然样本数量不多,但涵盖了全部行业,故此次分析大致可反映上市公司2008年度内部控制自我评价报告的现状。
3. 上市公司内部控制自我评价报告现状
虽然新规范是2009年7月1日才正式施行,但在已披露年度自我评价报告的64家样本公司中,55.6%的沪市上市公司和6.5%的深市上市公司已开始按照新规范的要求编制年度自我评价报告,其中深市的天威视讯披露的篇幅较长,详细披露了公司的基本情况、内部控制基本目标、基本原则、五方面要素、实施情况、整改情况、改进和完善措施、自我评价结论等等,还披露了监事会、独立董事对报告决议和证券公司对报告的保荐意见。沪深两市上市公司2008年度自我评价报告现状如下:
(1) 缺乏自愿披露内部控制自我评价报告的动力。作为内部控制自我评价报告统一法规基石的新规范虽然早在08年已经颁布并且该规范强制上市公司披露内部控制自我评价报告,但该规范却是在去年7月才施行的,而此前上证所制定的《上市公司内部控制指引》,没有强制要求对外披露内部控制自我评价报告,在调查对象中有高达59.1%的沪市上市公司(非上证所在09年年初文件要求必须披露内控报告的三类上市公司)没有对外披露年度自我评价报告。
(2) 出具内部控制自我评价报告的责任主体的认识不足。从调查统计的结果来看,对于出具内部控制自我评价报告的责任主体这个问题我国上市公司的认识非常欠缺,存在“董事会”、“董事会审计委员会”、“xx公司”甚至没署明责任主体等等多种形式。此外, 98.9%的上市公司所披露的年度自我评价报告没有负责人签字。上市公司对出具年度自我评价报告的责任主体认识不清,年度自我评价报告一旦出事,搞不清楚谁该由负责,会降低公众对公司年度自我评价报告的可信赖程度,影响投资者对公司的信心。
(3) 内部控制自我评价报告的格式极其混乱。由于现存内部控制自我评价报告的相关法规并没有对报告规定统一格式,这就使得上市公司出具的自我评价报告的格式比较随意,可谓五花八门,如报告名称一项有“xx公司内部控制自我评价报告”、“xx公司董事会关于公司2008年度内部控制自我评价报告”、“xx公司董事会审计委员会关于xx公司2008年内部控制自我评价报告”等等形式;报告内容一项,由于对年度自我评价报告须披露的内容缺乏详细的规定,而且对披露形式缺乏统一要求,使上市公司在报告里披露的内容和格式上存在较大的可选择性,每家上市公司都按照自己对相关法规的理解和对公司有利方面去编制报告。
(4) 公司对内部控制自我评价报告不够重视。只要表现在两个方面:1、监事会和独立董事对年度自我评价报告的核实评价不够重视,形同虚设。调查对象中,沪市上市公司仅有13.6%是以监事会决议或者包含在年度报告里的形式对年度自我评价报告进行评价,4.5%的上市公司监事会是以单独报告形式进行评价,沪市仅1家上市公司独立董事对年度自我评价报告进了评价,而且是以包含在年度报告里的形式;而37%深市上市公司独立董事没有对公司内控报告进行评价。2、公司在其内制报告披露方面执行乏力。以沪市上市公司为例,虽然97.7%上市公司在内部控制设计方面都设置有董事会专业委员会负责公司的内部控制自我评价,却有高达59.1%的上市公司没有披露年度自我评价报告。
(5) 对内控报告进行审核鉴证的意识不强而且形式多样。由于现存内部控制自我评价报告的相关法规只是鼓励上市公司聘请审计机构对内部控制自我评价报告进行进行核实评价,因此,对内控报告进行审核鉴证并披露是属于自愿性的。研究发现,在样本公司中,仅有23.3%上市公司聘请了审计机构对公司的内控报告进行了审核评价并对外披露。其中,45.5%是以鉴证报告的形式,22.7%是采用会计师事务所评价意见,31.8%是属于由证券公司出具内控报告核查意见,由此可见我国上市公司对内控报告进行审核鉴证并披露的意识不强而且还没有统一的审核评价报告格式。
三、改进上市公司内部控制自我评价报告的措施
1. 加强引导,使公司管理当局认识到内部控制自我评价报告的重要性
政府一方面应该加大对内控自我评价报告相关法律法规的宣传力度,加强对上市公司负责内控自我评价的人员的教育培训,使他们在组织进行内控自我评价和出具报告方面更为专业,同时也可以使管理当局充分认识到年度自我评价报告的重要性。另一方面应该借鉴欧美国家在内控自我评价方面的经验,引进内部控制自我评价专业考试,参照CPA考试模式,有计划分步骤地发展我国本土的内控自我评价专业考试,对负责公司内控自我评价的人员实行持证上岗,并要形成制度,对持证人员加强后续教育。此外,注册会计师协会还应该增加CPA考试科目《公司战略与风险管理》中内控报告方面的学习考核内容以及CPA在后续教育中内控报告审核鉴证方面培训内容,以提高我国CPA在内控报告审核鉴证方面的专业胜任能力。
为什么全部样本公司都设置了审计委员等专门的内控监管机构,还有高达59.1%的样本公司没有披露内部控制自我评价报告,而且还有不少上市公司出现会计差错呢?关键在于上市公司对内部控制自我评价及出具报告机制的建设不够重视,审计委员会等公司内控监管机构缺乏独立性,对公司内控制度的监管乏力。因此,上市公司应该加强对审计委员会等内控监管机构的建设,通过人员的严格遴选和制定公司章程两个方面保证审计委员会的独立性,充分发挥其对公司日常运作活动的监督作用。
2. 明确内部控制自我评价报告各相关方的法律责任,加大处罚力度
明确各方的法律责任,实行问责机制,制定对各种违法违规编制和披露内部控制自我评价报告行为进行处罚的法律法规,有区别地对失职或违规的不同情况分别追究行政责任、民事责任、甚至刑事责任,这对于保证内部控制自我评价报告的质量及完善其制度建设至关重要。由于公司日常的经营管理主要由董事会负责,参照美国《SOX法案》中要求在美上市的公司CEO和CFO必须对公司披露的信息真实性负法律责任的规定,应该规定内部控制自我评价报告的出具由董事长、总经理、财务经理签字或盖章,并有保证报告内容真实文字记载,可以促使董事长和经理对内部控制自我评价报告的披露更加谨慎,使其负起保证报告质量的责任;目前无论是证监会的《指导意见》还是《上市公司治理准则》,都没有关于监事会和独立董事法律责任的具体规定,不明确监事会和独立董事的法律责任,难使他们尽心地履行对年度自我评价报告进行核实评价的职责,故应在法律法规中进一步明确监事会和独立董事的法律责任。监事会和独立董事对年度自我评价报告的核实评价应该以独立报告的形式而且要参加核实评价的全体监事和独立董事签字或盖章后才可以对外进行披露。对失职的监督,要坚决追究其法律责任,可以促使监事会和独立董事认真履行其监督的职责,对年度自我评价报告不再是公式化地发表意见或不作核实评价。
3. 制定详细规定,规范内部控制自我评价报告的出具和鉴证
五部委在内部控制自我评价报告方面监管政出多门,管理混乱,存在监管盲区,这是年度自我评价报告之所不被上市公司重视的原因之一。借鉴美国由科索委员会制定内控标准并取得一定成效的经验,建议授权由2006年已经成立的企业内部控制标准委员会对内部控制自我评价报告披露的具体内容和格式做出详细规定,以规范上市公司的披露行为,加强制度的可操作性。首先要明确公司出具内控报告的责任主体。根据新规范,公司出具内控报告的责任主体应明确规定为董事会。其次,应该细化规定内控自我评价报告中应该披露的具体内容。没有明确规定,就会造成某些公司在出具年度自我评价报告时避重就轻,只是简单地描述一下,非常理论化,总体自我评价都是良好的,这也是造成我国上市公司违规和经营失败事件屡有发生的原因之一。最后,应该规范内部控制自我评价报告的鉴证。聘请独立第三方对上市公司内控报告进行审核评价是保证上市公司内控报告制度有效执行的重要条件之一,而且出具鉴证报告可以提高公众对年度自我评价报告的信心,应强制要求上市公司对年度自我评估报告进行鉴证报告。此外,由于会计师事务所作为独立第三方不仅可以对上市公司年度自我评价报告起着中介监督的作用,可以用自己的专业水平去保证经鉴证的年度自我评价报告的质量,还与新规范要求相符合,所以应该规定上市公司的年度自我评价报告的鉴定报告统一由会计师事务所出具。
参考文献:
[1] 杨有红.陈凌云.2007年沪市公司内部控制自我评价研究[J].会计研究.2009(6)
[2] 赵兴莉.新规范下上市公司内部控制评价报告架构[J],中国农业会计, 2009(5)
[3] 陈淑蓉.我国上市公司内部控制信息披露的现状分析―基于内部控制报告的构想[J],会计之友,2007(12)
[4] 赵锡尧. 对美国内部控制评价与报告体系的思考与借鉴[J]. 黑龙江对外经贸.2007(11)
内部控制自评报告范文3
【关键词】内蒙古上市公司;内部控制;自我评价;报告披露
一、引言
随着社会环境的变化,企业的发展壮大,相关法规的陆续出台,企业自身、投资者、社会公众、政府、监管部门等相关方对企业内部控制自我评价报告及内部控制鉴证报告等表外信息的披露需求不断增加,企业内部控制制度的建立、运行、评价及报告披露越来越重要。
二、内蒙古上市公司基本情况概述及研究样本选取
截至2011年年底,境内上市公司共有22个,按上市交易所划分,在深圳证券交易所上市的有7个,上海证券交易所上市的有15个;按上市板块划分,则主板19个,深圳中小企业板1个,深圳创业板2个。
2011中国统计年鉴显示,内蒙古至2010年底对煤矿开采及洗选业的投资达528.4亿元,占国家对煤矿开采及洗选业投资总额的4%,仅次于山西(929.5亿元);对电力、热力及燃气的生产和供应业投资为1277.7亿元,居全国之首,占全国对电力、热力及燃气的生产和供应业投资总额的10%。
上市公司的性质体现了资源导向型经济发展战略,在22个上市公司中,有3个是煤炭采选业,按截至2011年底的资产总额从大到小排列分别为:伊泰B股、露天煤矿、平庄能源。在区内上市公司行业划分中,煤炭采选业占比13.64%,仅次于生物、化学原料制品制造业。
鉴于中国自2006年起开始出台《上市公司内部控制指引》等规范,为了对比有效,文章剔除在2006年之前上市的四个公司,选取剩余的18个上市公司为研究样本。这18个公司的股票简称分别是:包钢稀土(600111)、包钢股份(600010)、伊利股份(600887)、金宇集团(600201)、华资实业(600191)、ST明科(600091)、北方股份(600262)、内蒙华电(600863)、亿利能源(600277)、鄂尔多斯&鄂资B股(600295)、兰太实业(600328)、北方创业(600967)、西水股份(600291)、伊泰B股(900948);深圳证券交易所上市的公司有:平庄能源(000780)、兴业矿业(000426)、四海股份(000611)、远兴能源(000683)。
三、样本公司内部控制自我评价实践现状及影响因素分析
上交所和深交所于2006年相继出台了《上市公司内部控制指引》,并分别于2006年7月1日和2007年7月1日起施行。《上市公司内部控制指引》要求上市公司对其内部控制有效性进行自我评价,并随年度报告一起披露内部控制自我评价报告。
今年(2012年)是境内各上市公司全面实施内部控制规范体系的第一年,要求执行本规范体系的上市公司披露内部控制自我评价报告及鉴证报告。对样本公司2006-2011年内控自评情况统计得到表1。
1.内部控制自我评价报告披露情况统计及原因分析
内蒙古上市公司自2006年起,其内部控制自我评价报告的披露情况从数量上看呈逐年上升趋势,但2009年突然大幅度增加,分析原因是2009年1月1日《企业内部控制基本规范》开始生效。但因尚不成熟,具体操作方案尚不完备,而2010年出台的配套指引又给予企业2年的过渡期,所以直到本研究止,披露内部控制自我评价报告的样本公司始终未逾50%。
2.内部控制鉴证报告披露情况统计及原因分析
无论是《上市公司内部控制指引》,还是《企业内部控制基本规范》及其配套指引都要求上市公司要报送或披露注册会计师对企业内控自评报告的鉴证意见,即披露内部控制鉴证报告[1]。样本公司对相关规定的遵循情况亦如表1所示。
2006年没有一个公司披露内部控制自我评价报告和鉴证报告,因为那时,上海证券交易所刚刚推出《上海证券交易所上市公司内部控制指引》。自2007年起,随着披露内控自评报告公司的增加,披露内控鉴证报告的公司也相应增多,但增幅小于披露内控自评报告的公司的增幅。
从以上统计描述可知,披露内控自评报告,尤其是聘请外部机构对内部控制进行审核的上市公司在数量上屈指可数。原因有二,一是内控规范体系尚不完善,可不披露;二是企业内控基础薄弱,不能披露。
3.内部控制自评报告的格式问题及原因分析
在披露的内控自评报告名称方面,各上市公司不十分一样,最常见的自评报告名称是:①上市公司全称+年度+内部控制评价报告;②上市公司全称+年度+内部控制自我评价报告。此外,还有命名为“关于2011年度内部控制的自我评价报告”、“关于2011年12月31日与财务报表相关的内部控制的自评报告”或“上市公司全称+内部控制自我评价报告”。而鉴证报告名称也有区别,如“内部控制鉴证报告”、“内部控制审计报告”。
由于缺乏具体的操作标准,造成企业实际执行规范进行内部控制自我评价时无所适从,上市公司内部控制及其自我评价的信息披露更是参差不齐,缺乏统一规范的格式[2]。
四、改善样本公司内部控制自我评价现状的建议
内部控制自评报告范文4
关键词:上市公司;内部控制;规范
中图分类号:F208 文献标识码:A 文章编号:1672-3309(2008)08-0046-03
当前,我国经济正处于一个高速发展的阶段,资本市场瞬息变化,因此,加强对内部控制信息的披露就显得尤为重要。按照COSO报告,内部控制就是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成提供合理保证的过程。
一、我国内部控制信息披露的规范
中国注册会计师协会在1996年颁布的《独立审计准则第9号――内部控制与审计风险》第一次提出内部控制的概念,指明内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序,内部控制包括控制环境、会计系统和控制程序。但是该内部控制定义范围狭小,仅仅站在内部会计控制和注册会计师对财务报表审计的角度出发。此后内部控制的定义一直处于不断的发展和修正过程中。
我国最早涉及内部控制信息披露的规范主要散见于证监会的各项公开发行证券的公司信息披露内容与格式准则,具体要求体现在招股说明书、增发申请材料及年度报告中。主要有:(1)中国证监会2000年底颁布的《公开发行证券的公司信息披露编报规则》第7号、第8号, 规定商业银行和证券公司在其年报中出具对内部控制的有效性、完整性和合理性的自评报告,并委托所聘请的会计师事务所对其内部控制制度,尤其是风险管理系统的完整性、合理性及有效性进行评价, 提出改进建议,并出具评价报告。(2)中国证监会2001年3月颁布的《公开发行证券的公司信息披露内容与格式准则第1号――招股说明书》,规定发行人应披露公司管理层对内部控制制度完整性、合理性及有效性的自我评估意见。注册会计师指出以上“三性”存在重大缺陷的,应披露并说明改进措施。2001年4月颁布的《公开发行证券的公司信息披露内容与格式准则第11号――上市公司发行新股招股说明书》,要求发行人应披露管理层对内部控制制度的完整性、合理性及有效性的自我评估意见,同时应披露注册会计师关于发行人内部控制评价报告的结论性意见。(3)证监会2001年制定、2004年修订的《公开发行证券的公司信息披露内容与格式准则第2号――年度报告》,规定年度报告中,监事会应对“公司决策程序是否合法,是否建立完善的内部控制制度,公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为”发表独立意见。(4)证监会2006年5月《首次公开发行股票并上市管理办法》,规定“发行人的内部控制在所有重大方面是有效的,并由注册会计师出具无保留结论的内部控制鉴证报告”。这是我国首次对上市公司内部控制提出具体的要求。
2006年,为加强上市公司内部控制,促进上市公司规范运作和健康发展,保护投资者合法权益,上交所、深交所分别于2006年6月、9月颁布,分别于当年7月、次年7月实施的《上市公司内部控制指引》,两个证交所都明确规定在其交易所上市的公司都应提供内部控制报告自评报告。该指引是我国第一次出台的指导上市公司建立健全内控制度的文件。
二、我国内控信息披露规范的缺陷与不足
(一)内部控制概念界定混乱
无论是处于同一层次的上海证券交易所(以下简称上交所)和深圳证券交易所(以下简称深交所),还是处于不同层次的证监会和证交所,关于内部控制都有不同的定义。上交所从公司长远战略的角度出发,规定内部控制为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。深交所对内部控制的定义则参照了COSO委员会对内部控制的规定,认为内部控制需满足以下几个目标:(1)遵守国家法律、法规、规章及其他相关规定;(2)提高公司经营的效益及效率;(3)保障公司资产的安全;(4)确保公司信息披露的真实、准确、完整和公平。证监会对内部控制的定义则一直没有完整的标准,在其颁布的《公开发行证券的公司信息披露内容和格式准则》中也没有详细规定。关于内部控制概念的不同,很大程度上是因为还没有一套完整、系统的法规对其予以正式化、标准化,而且现行的各个法规相互之间也缺少衔接。
(二)缺乏对内部控制监督主体的统一规定
证监会并没有明确指明监督主体,而只是指出由监事会对本公司是否建立完善的内部控制发表独立意见。深交所规定,由公司内部审计部门负责监督内部控制制度的执行情况,并将检查监督情况形成内部审计报告报送董事会和列席监事。而上交所则将内部控制的监督权赋予专门职能部门,并规定该专门职能部门在年度和半年度结束后向董事会提交内部控制检查监督报告。那么根据这一规定,该专门职能部门可以是审计部门,也可以由各个公司根据本公司的特点和组织结构设置。经过比较,我们可以发现,监督主体不同,那么每个监督主体所参照的标准、所执行的程序及最后所形成的结论都不同,这势必会影响到投资者对上市公司内控报告的比较分析。
(三)对CPA审计的规定各不相同
证监会只对特殊行业以及具有特殊目的的上市公司的内部控制是否需CPA审计提出了硬性规定,主要表现在:要求商业银行、保险公司、证券公司应委托会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价,提出改进建议,并提出内部控制评价报告。发行新股的上市公司需要在其再融资的申报材料中披露注册会计师关于发行人内部控制评价报告的结论性意见。深交所则要求其所有主板上市公司(不含中小企业板上市公司)的CPA在对公司进行年度审计时,应参照有关主管部门的规定,就公司财务报告内部控制情况出具评价意见。而上交所没有要求CPA对公司财务报告内部控制情况做出评价意见,仅仅要求会计师事务所参照有关主管部门的规定,出具对内部控制自我评估报告的核实评价意见。并且,在这两所证券交易所的规定中都没有明确指明CPA在审计过程中应参照的标准,而仅仅以一句“参照有关主管部门”简单带过。注册会计师的执业标准的不完备使内部控制审核意见从内容到格式各不相同,内部控制信息披露质量缺乏有效保证,使得信息使用者感到无所适从。
(四)对内控信息披露的自评主体界定模糊
证监会对于一般上市公司要求监事会在其监事会报告中披露对公司是否建立了完善的内部控制制度发表独立意见。对于具有融资目的的公司,证监会要求的责任主体是发行人,要求发行人对公司内部控制制度的完整性、有效性和合理性发表评估意见。而在对商业银行、证券公司和保险公司的规定中,没有明确指明责任主体,只是要求上市公司对本公司的内部控制制度做出说明。深交所和上交所的内部控制指引中,都明确规定了内控信息自评的主体是董事会。
(五)对内部控制的评价缺乏统一标准
现行的规范制度中,证监会和证交所都没有提出对内部控制完整性、有效性和合理性的具体评价标准,只有由审计准则委员会的独立审计准则第9号《企业内部控制与审计风险》和新修订的《会计法》提到了内部控制相关内容,但立足点和出发点分别是从报表审计的角度和企业会计控制角度进行规范。由于缺乏对内部控制的完整性、合理性及有效性进行判别的可操作性的标准,使得CPA审计陷入难题中,而且其出具的审计意见报告也缺乏可比性。
三、改进我国现行内部控制信息披露规范的建议
(一)宏观上,理顺我国现行内控信息法规的层次关系,建立一个自上而下、由抽象到具体的内部控制信息披露的规范体系
该规范体系的第一层次应是由国家立法机关在《公司法》、《证券法》和《会计法》中以法律的形式规范内部控制的定义,并明确各企业应建立健全的内部控制体系。第二层次是由财政部联合证监会、保监会、银监会和审计署制定一套以规范企业信息披露为主要目标的企业内部控制标准体系。该标准体系的建立将为各个行业的内部控制评价提供一个具体的、可操作的标准,并且也为CPA审计上市公司的内部控制自我评价报告提供了可参考的标准。财政部于2006年7月联合证监会、国资委、审计署、银监会、保监会等部门成立了企业内部控制标准委员会,我们相信该委员会将在其推出的《企业内部控制基本规范》中做到这一点。第三层次是证监会规定各上市公司应对“狭义内部控制报告”即财务信息内部控制报告进行强制性披露,而对“狭义内部控制报告”之外的经营和遵循法律内部控制报告采用自愿性披露。对于强制性披露的财务信息内部控制报告应明确披露内容和披露格式。第四层次是证券交易所对本所上市交易的公司提供具体的规则指引。2006年,上交所和深交所分别推出了适应本所特色的《内部控制指引》,但是两所的指引存在一些不协调、不融洽的地方,因此本文建议可以在上述3个层次制定的规范内稍做改动,达到各个法规实务操作的衔接。
(二)微观上,针对我国现行内控信息披露规范的不足加以改进,使之满足各个层次信息使用者的需求
1.明确内部控制概念
根据内部控制的范围,可将内部控制划分为“广义的内部控制”和“狭义的内部控制”。狭义的内部控制与公司财务报告质量和会计信息质量相关,而广义的内部控制则包括对财务信息质量、经营效率、遵循法规和其他风险管理的控制。由于内部控制的外延已经扩大到了公司整体的控制,投资者不仅仅满足于得到有关企业财务报告可靠的信息,还希望了解企业整体控制环境和实际运作情况。但考虑到成本效益原则以及CPA内部控制审计标准的不完善,在此,我们可以要求上市公司必须披露财务信息内部控制报告即狭义内部控制自评报告,与此同时,鼓励上市公司自愿披露广义内部控制自评报告。待时机成熟之时,可以要求上市公司强制披露广义内部控制自评报告。
2.明确内部控制监督主体
实务中上市公司内部控制监督一般是由内部审计部门执行,但是内部审计部门往往是从财务报告是否可靠的角度出发,无法涵盖我们广义内部控制概念。因此建议可以采用上交所的做法,在公司内部成立专门的内控监督职能部门,该职能部门人员的认定可以由董事会予以指定,并且范围应该扩大,不仅仅局限于内部审计部门。
3.明确对CPA审计的要求
为了保证内部控制信息披露的真实性,应当要求注册会计师对由董事会所出具的内控信息自评报告加以验证并出具审核或鉴证报告,该鉴证或审核报告应与内控信息自评报告一同对外公布。而且在内部控制审核中,CPA的执业标准并不完备,这使内部控制审核意见从内容到格式各不相同。因此,应由审计准则委员会联合各个行业制定一套切实可行的执业标准。
4.明确内部控制的责任主体
监管部门应当修订内部控制信息披露规范,增加明确主体责任的相关条款或对主体责任的描述具体化。现行《公司法》中规定,董事会可以决定公司内部管理机构的设置、制定公司的基本管理制度,所以我们建议公司内部控制的建设应当由董事会负责,并由董事会对外披露内部控制自评报告。
5.明确内部控制信息披露的内容和格式
监管部门应当对披露内部控制信息的内容与格式做出统一规定,以减少上市公司在内部控制信息披露上存在的选择性和随意性。同时,投资者可以对上市公司的内部控制信息进行比较分析,也有利于降低投资者获取信息的成本。证监会可以明确规定财务信息内部控制报告的固定格式,其基本内容至少应该包括:(1)表明管理层对财务信息内部控制的责任;(2)评估内部控制的标准;(3)内部控制系统中任何重要薄弱环节及其处理情况。
参考文献:
[1] 李明辉、何海、马夕奎.我国上市公司内部控制信息披露状况的分析.审计研究[J].2003,(01).
[2] 陈合.如何完善上市公司内部控制信息披露[J].财会月刊,2005,(19).
内部控制自评报告范文5
【关键词】上市银行;内部控制;实质性漏洞;信息披露
1.引言
2008年爆发的全球金融危机,使得金融机构的风险管理成为了人们关注的焦点。其中上市银行掌握着国家的金融命脉,承担着一国金融安全与稳定的重任,因此人们非常关注它的内部控制与风险管理。上市银行内部控制及其实质性漏洞信息的披露,有利于促进管理层发现内部控制存在的缺陷,从而有利于股东等利益相关者了解其内部控制情况,进而对其决策作出正确的判断。因此,对上市银行内部控制信息披露状况进行研究,尤其是对内部控制中的实质性漏洞进行研究,具有重要的理论及现实意义。本文以招商银行为案例,研究其公开披露的实质性漏洞现状。
2.实质性漏洞的概念及其类型
PCAOB的审计准则将“实质性漏洞”定义为“如果一项或若干项缺陷有能致使年度或中期财务报表存在重大错报而不能有效预防或及时察觉的合理可能时,该缺陷就构成实质性漏洞(material weakness)”。与传统理论中的重大缺陷相比,实质性漏洞更强调对内部控制体系稳定性的影响程度,从某种意义上说,实质性漏洞是更为重要的重大缺陷,而且实质性漏洞表现形式多样,每种形式的实质性漏洞中又包含着不同的缺陷形式。
关于实质性漏洞的类型,本文借鉴Ge和McVay(2005)的研究思路并将上市银行漏洞划分为九大类型:账户特定式、培训、期末报告与会计政策、收入确认、职责划分与授权、对账、子公司特定式、高级管理层及技术问题。
3.招商银行内部控制实质性漏洞现状分析
3.1 内部控制信息披露状况分析
由于2000-2010年资本市场对上市公司内控信息的披露规定经历了波段起伏的变化,上市公司内控信息分布比较零散。故本文采取手工统计的方式对招商银行自上市以来8份年度报告中的“公司治理结构”、“股东大会情况简介”、“董事会报告”、“监事会报告”、“重要事项”、“报表附注”以及“附件”等部分披露的内控信息状况进行了统计分析。
3.1.1 内控信息的详略程度
本文对以上8个部分披露的内部控制信息情况采取5级量表进行测量,其中“0”表示没有披露与内部控制有关的信息;“l”表示公司只用一句话概括说明内部控制情况,即只有“本公司内部控制制度合理、完整、有效”或类似语句;“2”表示公司对有关内部控制信息做出简单说明;“3”表示公司对内部控制建立健全的工作计划、董事会对内部控制有关工作的安排、内部控制检查监督部门的设置及运行情况等至少一项做出较为详细说明的情况;“4”表示公司对内部控制的建立健全情况做了详细的说明,包括对内部控制制度体系的构成、对关键领域采取的内部控制措施、公司对内部控制的完善计划及拟采取措施等;
招商银行上市以来的内部控制信息披露情况如表1所示:
表1 招商银行的内部控制信息披露情况
披露
位置 公司
治理 股东大会简介 董事会报告 监事会报告 重要事项 报表附注 内控自评 内控专项说明 审计意见
2002年 2 0 4 1 0 2 4 4 1
2003年 2 0 4 1 0 2 0 0 1
2004年 2 0 4 1 0 2 0 0 1
2005年 2 0 4 1 0 2 0 0 1
2006年 2 0 4 1 0 2 0 0 1
2007年 3 0 2 1 0 2 0 0 1
2008年 3 0 2 1 0 2 4 4 1
2009年 3 0 2 1 0 2 4 4 1
注:内部控制制度说明以及内控自评报告中披露的内控信息都包含在“内控自评”。
会计师事务所对内控出具的报告名称不一致,在2002年出具的报告叫《内部控制评价及评价报告》,而在2008年、2009年出具的报告叫《关于的专项说明》。本文将此类报告统称为“内控专项说明”,并将有关的统计于“内控专项说明”栏中。
注册会计师的审核意见,“1”表示标准无保留意见,“0”表示其他类型审计意见。
内部控制自评报告范文6
2008年6月财政部等五部委颁布了《企业内部控制基本规范》,2010年4月又出台了企业内部控制配套指引,这标志着我国内部控制理论框架已经形成。与此同时,自2012年开始,上交所和深交所的A股上市公司也正式被要求披露企业内部控制自我评价报告和出具内部控制审计报告,至此,我国企业内部控制理论框架在实践上迈出了关键的一步。但追溯内部控制理论形成和披露要求与实践的过程,可发现其规范并不是一蹴而就。随着资本市场的发展,自1996年起我国就陆续出台了与内部控制相关的准则、指导、规范、方法和指引,并逐渐实现了与国外最新的理论框架接轨。在这一过程中,企业自身立足资本市场的内在要求是推动内部控制披露实践发展的直接动力;宏观监管部门的管理需求是一股强大的助推力;独立审计则站在内部控制披露实践的最前沿不断摸索,促进了企业内在要求与宏观管理需求的匹配。尽管在内部控制披露理论与实践方面已取得了里程碑式的成果,但根据文献梳理,国内有关上市公司内部控制信息披露的研究还不存在一个系统的脉络,未能形成综合性的理论和实践发展过程的构架。目前为止,我国企业内部控制信息披露大致经历了“自愿阶段-局部强制-整体强制”三个阶段,这三个阶段分别遵循着不同的理论规定,展示出了不同的实践效果。
二、自愿披露阶段
该阶段还停留在内部会计控制水平,未明确提出内部控制信息披露的概念,但独立审计的实践已经意识到了内部控制信息对于公司财务信息质量保证的重要性。
(一)相关政策梳理 我国无论是理论界还是实务界对于内部控制概念的理解均始于“内部会计控制”。这一阶段现代内部控制框架和体系尚未建立,内部控制信息披露无强制规定,且内部控制信息隶属于会计信息,并未被单独分离。文件规定中,比较明确的是1996年财政部颁布的《独立审计具体准则第9号――内部控制与审计风险》,其中规定:“注册会计师应当将研究、评价内部控制和评估审计风险的过程及结果记录于审计工作底稿并将审计过程中注意到的内部控制重大缺陷,告知被审计单位管理当局。必要时,可出具管理建议书。”此时的内部控制信息披露仅仅是独立审计主要业务――财务报告审计的有限扩展,甚至不能算作严格的公开披露概念。2001年财政部颁发《内部会计控制规范――基本规范(试行)》才真正提出建议单位聘请中介机构或相关专业人员对本单位内部会计控制的建立健全及有效实施进行评价。接受委托者应对委托单位内部会计控制中的重大缺陷提出书面报告。但此时的建议中所涉及的评价主体仅仅是企业外部的中介机构或相关专业人士而非企业内部相关部门或责任主体。
(二)上市公司执行情况 由于这一阶段披露理论的不完善,披露实践也显得非常随意。陕西秦川机械发展有限公司率先公开第一份单独的内部控制自我评估报告(以下简称“自评报告”)。随后,福建福发、安泰科技、新野纺织等公司也公开披露了自我评估报告,然而当时自愿披露的公司比例极低。并且报告只是简单地介绍了公司内部控制的目标、基本原则和笼统的内部控制制度内容,而对于公司内部控制的质量只是简单地概括为“符合我国有关法规和证券监管部门的要求,具有合理性、合法性和有效性”,并未详细地介绍内部控制具体事项的落实情况。报告的篇幅短小,质量较为粗糙,无统一文件理论依据。披露流于形式,并不能给各利益相关者提供有用的信息。
三、局部强制阶段
2000年之后,资本市场发展对企业内部控制信息披露提出了现实的要求,一些特殊行业(如金融行业)自身对内部控制有着天然的要求,这些行业率先在披露实践上做了有益的探索,企业内部信息披露开始步入局部强制阶段。
(一)相关文件梳理 这一阶段,我国对内部控制信息披露做出了明确的规定,但由于处于政策制定的初期探索阶段,其必要性及适用性有待实践的进一步检验,因而表现为“局部性”规定。局部性体现在:“局部行业”,即商业银行、证券公司、保险公司等金融机构;“局部报告”,即强制性说明只重点体现在新股招股说明书方面;“局部环节”,即在局部重点环节(如上市公司的IPO环节)中对内部控制的信息强制披露;“局部情况”,即公司只需在内部控制存在缺陷的情况下披露信息,若监事会认为公司决策程序合法,内部控制制度健全,公司董事、经理执行公司职务时合法合规,无损害公司利益的行为,内部控制信息可免于披露。文件梳理显示,相关规定的机构大多为银监会和证监会(如表1)。银监会的职责主要在于对银行业金融机构的业务活动及其风险状况进行非现场监管,而证监会的主要职能在于建立统一的证券期货监管体系,按规定对证券期货监管机构实行垂直管理。相关规定旨在对监管对象进行纲领性的规范及其行为的约束。由于规范性文件的普遍约束力,监管对象的执行率一般较高,但具体的执行效果并不能得到有效的保障。
(二)上市公司实践研究 李宜(2009)通过分析沪市上市公司2001-2005年年报内控状况的透明度,发现在年报中披露内控信息的沪市上市公司每年均超过75%,合规披露的每年均超过70%。李妍等(2006)统计了沪市2001年4月至2003年12月共172家首发新股公司的情况,其中83.7% 按准则第11号文件第五十九条的规定进行了披露。此阶段大多数公司管理层对内部控制的认识尚不明确和统一,距离公认的评价标准和规定的披露要求甚远,内控评价的表述风格各异,缺乏完整性及系统性,格式千差万别,存在一定的选择性和随意性。但报告的内容有了明显的深入与扩展,内控制度更加完善,可执行性增强,并且增加了对落实情况的介绍,对于各利益相关者而言,具有一定的实际参考价值。
四、整体强制阶段
该阶段自评报告内容从侧重于对内控制度的描述转变为围绕五要素对公司各重大事项控制情况的介绍、公司各部门具体执行内控计划的时间与事项安排、内部控制存在的缺陷及改进情况甚至还包括结合自身行业特点的风险控制的方法和手段。可以看出,随着实施深度的推进,企业对内部控制信息披露作用的认识越来越深刻,上市公司开始正视自身内控体系的缺陷,并通过制度完善来为目标达成提供合理保证,主动优化自己的报告,以传递给投资者更多有关企业利好的信号,从而吸引优质资源,提高公司的投资资本回报率,使自身不断发展壮大。
(一)相关政策梳理 2005年11月,《国务院批转证监会〈关于提高上市公司质量意见〉的通知》颁布,对上市公司内部控制信息披露提出了新的要求;随即,2006年上海证券交易所和深圳证券交易所分别《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,这两个指引均要求上市公司在年报中披露内部控制制度的制定和实施情况,并将内部控制自我评价报告和注册会计师评价意见与公司年度报告同时对外披露。《上交所指引》中规定“如发现内部控制存在重大缺陷或风险,应及时向董事会报告”,《深交所指引》补充“公司监事会和独立董事应对此报告发表意见”、“公司董事会、监事会应针对注册会计师对公司内部控制有效性表示异议的涉及事项作出专项说明”的规定。至此,我国上市公司内部控制信息披露进入了强制披露阶段。2007年,深交所要求中小企业板上市公司建立自查机制,内部控制的监察范围逐步扩大。通过企业内部控制标准委员会的不断努力,2008年和2010年,五部委先后正式了《企业内部控制基本规范》和《企业内部控制配套指引》。前者规定“企业应结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告;接受企业委托从事内部控制审计的会计师事务所应对企业内部控制有效性进行审计,出具审计报告”。后者规定企业“及时编制内部控制评价报告,经董事会或类似权力机构批准后对外披露或报送相关部门”。两份文件标志着我国企业内部控制规范体系日益健全和完善,至此,内部控制从“政出多门”走向了统一。见表2。
上交所和深交所是上市公司最直接的监管机构,根据内部控制信息披露的具体实践,2008年至2012年各自连续了《关于做好上市公司年度工作报告的通知》,其中反映了内部控制信息披露的各项要求,见表3。从表3可以看出,无论是上交所还是深交所的上市公司都经历了从内控自评报告的强制披露到内控审计报告的自愿披露再到内控审计报告的强制披露的过程,并且强制披露的主体范围都在不断扩大。由于证券交易所是上市公司的交易组织机构,对其交易行为直接进行监督,因此其规定虽不及监管部门所制定规定的约束力强,但往往对于上市公司具有更现实的操作指导作用。
(二)上市公司执行情况 据迪博企业风险管理技术有限公司2008年至2013年《上市公司内部控制白皮书》的数据统计显示,沪深两市上市公司2007年至2012年内控自评报告披露总比例分别为43.39%、67.17%、62.85%、76.86、78.80%和90.04%。这表明,随着披露规范的完善,披露内部控制自评报告的上市公司比例总体呈现上升趋势,且由于《企业内部控制配套指引》的强制规定,2012年这一比例更是高达90.04%,较前一年相比迅速增长11.24%。并且从披露的报告质量来看,内容详尽程度、措辞的严谨性明显改观,而在格式的统一性和内容的可读性上也均有所提高。有些公司甚至开始在内控报告中根据所在行业的特点及自身的实际情况披露个性化的风险类别,并结合其业务特点详细介绍其风险防范措施。尽管这样的高质量内控报告在整体中仍属于少数,但仍能一定程度上反映出上市公司在内控报告披露方面的不断进步。目前仍存在报告内容形式化、信息披露不全面、缺陷描述避重就轻甚至含糊用词以混淆视听等问题,披露内容和格式也有待进一步统一。多数公司没有明确的判断内控缺陷的定性和定量标准,并且披露内控重大和重要缺陷的比例过低,不符合国内上市公司内控质量的真实情况。
五、结论
通过对我国企业内部控制信息披露演进的梳理,可发现:从文件规定来看,强制披露的企业范围从部分金融机构扩展到绝大多数上市公司;披露的形式从作为新股招股说明书或年报中的一部分到独立的自评报告、中小企业规则落实自查表;披露的内容从无具体规定到详细规定了至少应当披露的事项;披露的责任主体从不明确到强调董事会、监事会及独立董事的责任。从实践情况来看,整体披露上市公司数量逐年增加,披露内容越来越具体,质量不断提高,从最初的形式化被动披露到主动完善报告信息,都显示了相关各方对内部控制信息披露的认识越来越深刻。未来我国内部控制信息披露的规定会越来越严格,强制披露的企业范围会逐年扩大;而针对目前披露内容不统一,实质性有用信息不多的情况,今后将会明确具体的披露内容,增强上市公司内控信息的可比性,进一步提高披露信息的可读性与实用性。对于目前缺陷认定缺乏合理统一标准的情况,笔者认为,可以借鉴日本的经验,规定统一的认定标准,如内部控制可能导致的财务错报超过合并税前收益的一定比例为重大缺陷,或者以净资产等指标的相对比例作为认定标准。而针对于内部控制信息披露的责任问题,今后董事会、监事会和独立董事的法律责任将会越来越明确,将会建立以国家法律制裁、监管部门行政处罚、交易所垂直监管三者有机结合的责任追究体系,使虚假披露责任主体付出昂贵的代价,使内控能够得以“物尽其用”,切实提高上市公司质量。各公司将从“要我披露”转变为“我要披露”(徐明磊,2012)。随着内控信息披露体系的逐步成熟,监管机构将把工作重点从规范的制定转移到规定的贯彻落实:缩短报告的编制时间,以提供给投资者更及时、准确的信息,同时也有利于公司自身及时发现缺陷并进行整改;给予公司更多相关指导以帮助其能真正获得内控所带来的好处,建立积极严谨披露与发展壮大的良性循环。
参考文献:
[1]李宜:《上市公司年报内部控制信息披露状况研究――来自沪深A股上市公司的经验证据》,《北方工业大学学报》2009年第2期。
[2]李妍:《招股说明书内部控制信息披露现状剖析――以我国沪市数据为例》,《广州大学学报》(社会科学版)2006年第2期。
