- 上市公司内部控制评价实务
- 赵立新 程绪兰 胡为民
- 2962字
- 2018-12-27 10:48:29
1.1 内部控制评价的概念及理论
1.1.1 内部控制评价的概念及作用
内部控制评价是指企业董事会或类似决策机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。简单来说,内部控制评价就是对企业现有的内部控制系统的设计、实施及运行的结果进行调查、测试、分析、评价,并得出相应的报告的活动。它是企业内部控制体系中的一个重要的系统性活动,通过“评价—反馈—再评价”的过程促进企业内部控制的有效实施与持续改善。
内部控制评价与内部控制审计共同构成内部控制的评价体系,缺一不可,并与内部控制的建立、实施一起构成有机循环。对于企业来说,内部控制评价与内部控制审计是不能相互替代的,两者之间的关系和会计责任与审计责任的区分保持一致,评价内部控制的有效性是企业董事会的责任,而在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。企业在实施内部控制评价时,不能利用注册会计师执行的审计程序及其结果作为自我评价的基础;但注册会计师进行内部控制审计时,则需了解和参考企业内部控制评价的过程、方法和结论。有效的内部控制评价主要有以下作用。
1.内部控制评价有助于上市公司自我完善内部控制体系
内部控制评价是企业内部控制持续改进过程中的一个重要信息反馈渠道,通过评价、反馈、再评价,可以对内部控制程序与政策设计的健全性和执行的有效性做出合理判断,进一步发现内部控制的缺陷并有针对性地克服,及时堵塞管理漏洞,防范偏离目标的各种风险,持续促进企业内部控制体系的自我完善。
2.内部控制评价有助于上市公司提升自身市场形象和公众认可度,实现长远、健康的发展
内部控制评价在企业管理中发挥着巨大作用,能够充分、有效地保证组织的竞争能力。通过内部控制评价报告的定期披露,还能够及时将企业的风险管理水平、内部控制状况及与此相关的发展战略、竞争优势、可持续发展能力等信息公布于众,使企业树立诚信、透明、负责任的良好社会形象,有利于增强投资者、债权人及其他利益相关者的信任度和认可度,为企业创造更有利的外部环境,促进企业长远、健康的发展。
3.内部控制评价有助于实现上市公司与政府监管部门的协调互动
政府监管部门有权对上市公司内部控制建立与实施的有效性进行监督检查。实施内部控制评价,能够使企业通过自查尽早排查风险、发现问题,并积极整改落实,从而有利于企业在配合政府监管部门的监督检查中赢得主动,并借助政府监管成果进一步改进自身内部控制实施工作,促进自我评价与政府监管的协调互动。
1.1.2 内部控制评价理论
1.COSO模型
COSO是Treadway委员会的发起组织(Committee of Sponsoring Organization of the Treadway Commission)的英文简称,1985年由美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)和管理会计学会(IMA)五个机构组成。1992年,该委员会发布了《内部控制——整合框架》报告。该报告能够指导企业如何在管理过程中进行内部控制评价。它提出了内部控制结构概念并将其分为控制环境、风险评估、控制活动、信息与沟通和监督。在COSO的内部控制框架下,内部控制评价不仅有助于企业文化的塑造,而且有助于识别风险、建立风险防范和控制机制,将风险的影响降到最低,以确保企业目标的实现。2004年9月,COSO又发布了《企业风险管理——整合框架》,从内容和范围上对原来的五要素框架进行了深化和拓展,增加了一个“战略目标”,提出了“风险组合观、风险偏好和风险容忍度”三个新概念,并增加了三个风险管理要素“目标设定、事项识别、风险反应”,将企业管理和控制的重心移至风险管理,从而确立了八要素的风险管理框架。目前,COSO所提出的内部控制和风险管理理论已在世界范围内得到广泛的认可,成为内部控制领域最具权威的理论之一。
2.COCO模型
COCO模型是由加拿大特许会计师协会(CICA)负责的控制标准委员会(Criteria of Control Board,COCO)在COSO模型的基础上改编的符合内部审计的宗旨。COCO是专门对控制系统的设计、评估和报告进行研究并发布指南。与COSO相比,COCO指南是一种更为广泛的概念化方法,它将“内部控制”的概念扩展到“控制”,认为控制是一个企业中的要素集合体,包括资源、系统、过程、文化、结构和任务等,这些要素结合在一起,支持达成该企业的目标。根据COCO模型,控制的基本要素包括目标、承诺、能力、学习与监督,这四个基本要素通过“行动”连接成一个循环,并以此为出发点制定了有效控制的20个规范标准。COCO认为这些标准使得评估具体内部控制目标变得更有针对性。
3.Turnbull报告
Turnbull(特恩布尔)报告是1999年由英格兰和威尔士特许会计师协会(ICAEW)在伦敦证券交易所的要求下制定并发布的,全称为《内部控制:联合规范的管理层报告》(Guidance for Directors on the Combined Code)。该报告把风险管理、内部控制和商业目标联系起来,指出:风险管理是企业每个人的责任;董事会应当在获得信息和做出承诺的基础上仔细检查公司制度的有效性,并在遇到风险时做出快速反应;强调了内部审计的职能,以确保公司经营目标的实现。Turnbull报告将内部控制视为一个系统,与COSO框架相比,Turnbull报告所指的内部控制的目标是保障股东投资与公司资产的安全。该报告于2005年又做了一些局部修改,其中最重要的一项修改与披露有关。修改后的Turnbull报告要求董事会在年度报告中证实已经采取了必要的措施或者正在采取措施,用来纠正他们对内部控制有效性检查过程中定义的重大错误和缺陷,同时披露那些有助于股东理解公司的风险管理过程和内部控制主要特征的必需信息。
4.内部控制“五要素”模型
内部控制“五要素”模型是我国财政部、证监会、审计署、银监会、保监会五部委于2008年6月联合提出的,涵盖了内部环境、风险评估、控制活动、信息与沟通、内部监督五个基本要素。这五个要素相辅相成、综合作用,共同构成企业的内部控制体系,也为我国企业实施内部控制评价提供了指导和依据。其中,内部环境是实施内部控制的重要基础,风险评估是实施内部控制的重要环节,控制活动是实施内部控制的重要手段,信息与沟通是实施内部控制的必要条件,内部监督则是持续改进和提升内部控制的重要保证。从本质上说,内部控制“五要素”模型在形式上借鉴了COSO的五要素框架,但在内容上却体现了八要素的特征,并融入了中国的基本国情。
5.其他模型
除上述模型外,巴塞尔、澳大利亚、日本、中国香港、法国等也都先后提出了不同的内部控制及其评价的相关模型。其中,巴塞尔协议是巴塞尔银行监管委员会自1975年成立以来所颁布的各项监管原则的统称,是国际上规范银行内部控制、提高银行经营效率的核心体系;澳大利亚—新西兰风险管理标准(AS/NZS4360)则是澳大利亚和新西兰于1995年发布的联合标准,是世界上第一个国家风险管理标准;COBIT模型是国际信息系统审计与控制协会(ISAC)于1996年根据电子数据处理审计基金会(ISAC的前身)出版的《控制目标》中的工具修订而来的,即《信息与相关技术的控制目标》,它是一个适应IT治理需要和确保信息与信息系统完整性的控制模型和框架,已在全球得到了广泛应用;此外,还有日本在2007年发布的《财务报告内部控制的管理层评价与审计准则》和《财务报告内部控制的管理层评价与审计准则实施指引》,美国注册会计师协会(AICPA)和加拿大特许会计师协会(CICA)发展出的SysTrust模型及其升级版本Trust Services,中国香港会计师公会于2005 年颁布的《内部监控与风险管理的基本架构》,法国的《金融安全法》、SAC和e SAC报告等,都为企业内部控制评价提供了适当的评价标准,推动了内部控制评价理论的发展。