图4内部控制目标披露分布情况
4.内部控制评价的依据
2011年是境内外同时上市公司首次执行企业内控规范体系,开展内控评价工作对一些企业来说还比较陌生。财政部等五部委于2010年发布的《企业内部控制配套指引》为上市公司开展内控评价工作提供了重要指导。67家公司在其内部控制评价报告中以不同的形式披露了内部控制评价的依据,包括所依据的内部规章以及外部法律法规等。由于不同公司在内控评价工作中依据的公司内部控制评价手册等内部规章有所不同,因此本部分“内部控制评价的依据”是指公司开展内控评价工作所依据的外部法律法规等文件。
67家公司内控自评报告中,遵循的评价依据可以划分为三个方面:有关法律法规规定、规范性文件和交易所监管规则和其他自律性规定。其中,法律法规包括:《公司法》、《证券法》、美国《萨班斯法案》等;规范性文件包括:财政部等五部委《企业内部控制基本规范》、《企业内部控制配套指引》、证监会《上市公司治理准则》、保监会《保险公司内部控制基本准则》、银监会《商业银行内部控制指引》;交易所监管规则和其他自律性规定,包括:深交所《上市公司内部控制指引》、上交所《上市公司内部控制指引》、香港联合交易所《上市规则》、香港会计师公会《内部监控与风险管理的基本架构》等。
67家公司全部披露《企业内部控制基本规范》是内部控制评价的依据,其中61家公司披露其内部控制评价工作的依据是《企业内部控制基本规范》及其配套指引。这61家公司中,包括具体的以评价指引或应用指引为依据的公司。
67家公司中,有14家上市公司(不包括没有详细列举所依据的其他法律法规和规章制度名称的公司)在内控评价报告中披露的内控评价工作依据不仅包括《企业内部控制基本规范》及其配套指引,还包括其他法律法规或者规范性文件,占67家公司的20.9%。这14家公司中,有7家公司评价依据还包括上海证券交易所发布的《上市公司内部控制指引》;有2家公司评价依据还包括《商业银行内部控制指引》、《公司法》、《证券法》、SOX法案;有1家公司评价依据还包括深圳证券交易所发布的《上市公司内部控制指引》。此外,14家公司披露的评价依据还包括证监会《上市公司信息披露管理办法》、香港联交所《企业管治常规守则》、上交所《上市公司2011年年度报告工作备忘录第一号内控报告的编制、审议和披露》、证监会《关于做好上市公司内部控制规范试点有关工作的通知》、香港会计师公会《内部监控与风险管理的基本架构》、《香港联合交易所有限公司证券上市规则》、《关于做好北京辖区上市公司内控规范实施工作的通知》等。
5.具体负责组织实施内控评价工作的部门
董事会负责建立健全并有效实施内部控制,在董事会及其下属专业委员会的授权下,由具体的部门或者组织负责内部控制评价的具体实施工作。
具体来说,在内部控制评价工作的开展中,可以将具体负责组织实施内控评价工作的部门、牵头部门进行如下划分:
(1)完全由审计部门作为负责部门开展内控评价工作的公司有26家,占比39%;
(2)以审计部门作为主要负责部门,联合其他业务部门开展内控评价工作的公司共有14家,占比21%;
(3)完全由内控或风险部门负责内控评价工作的公司有5家,占比7%;
(4)由内控评价工作小组开展评价工作的公司有4家,占比6%;
(5)由多个业务部门联合开展内控评价工作的公司有11家,占比16%;
(6)完全由稽核部开展内控评价工作的公司有1家,占比2%;
(7)未披露开展内控评价部门的公司有6家,占比9%。
分布情况见图5。
图5内控评价工作组织实施部门统计分布情况
虽然67家公司负责组织实施内控评价工作的部门存在较大的差异,但是内控评价工作开展的组织形式相似度较高。由于评价工作涉及的工作面较广、业务或者事项较多,需要多部门配合,上市公司大多在具体负责部门的组织下,按照《企业内部控制基本规范》及《企业内部控制评价指引》的要求,由来自其他部门的业务骨干组成内控评价工作小组,开展内部控制评价工作。
6.聘请外部咨询机构协助公司开展内控建设、内控评价情况
内控评价是一项较为专业性、复杂性的工作,涉及的范围广、事项多,开展内控评价工作的公司可以根据自身的需要,选择具有一定资质的中介咨询机构协助公司开展评价工作。
67家公司中,有25家公司在内控评价报告中披露聘请外部咨询机构协助公司开展内控评价、内控建设咨询,占比37%;有9家公司在内控评价报告中披露未聘请外部咨询机构参与内控评价,占比14%;有33家公司在内控评价报告中并未披露公司是否聘请外部咨询机构,占比49%。具体分布情况见图6。
图6聘请外部咨询机构情况
67家公司中,披露聘请外部咨询机构协助开展内控建设、内控评价等的共有25家[1],除1家公司同时聘请两家咨询机构为公司提供内控评估工作技术支持,其它24家公司均只聘请1家公司协助开展内控建设工作或者内控评价工作。其中有11家公司聘请的咨询机构为中外合作、外资咨询机构,有12家公司聘请的咨询机构为内资咨询机构,有3家公司并未披露咨询机构具体名称,具体分布情况见图7。
图7咨询机构分布情况
7.内部控制五要素披露情况
企业开展内控建设应该以内部控制五要素——内部环境、风险评估、控制活动、信息与沟通、内部监督为核心。67家公司披露的内控评价报告中,对内控五要素的披露方式、内容等均有些差别。
(1)控制环境
控制环境是企业实施内部控制的基础,《企业内部控制应用指引》中控制环境类指引包括组织架构、发展战略、人力资源、社会责任和企业文化等指引。从67家公司披露的情况来看,组织架构、发展战略、人力资源、社会责任和企业文化是企业开展内控环境建设的核心。具体信息如表6。
表6内控环境分类统计表
控制环境 | 数量 | 占比 |
组织架构 | 44 | 65.7% |
发展战略 | 39 | 58.2% |
人力资源 | 49 | 73.1% |
社会责任 | 40 | 59.7% |
企业文化 | 42 | 62.7% |
注:该表格中占比均为披露某一项控制活动的企业数量占所有67家企业数量的比例。
(2)控制活动
67家公司内控自评报告存在差异最大的是控制活动要素的披露内容。《企业内部控制配套指引》中以下9项内容涉及控制活动要素:资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包和财务报告。67家公司对控制活动的具体披露情况如表7。
表7控制活动分类统计表
控制活动 | 数量 | 占比 |
资金活动 | 48 | 71.6% |
采购业务 | 44 | 65.7% |
资产管理 | 46 | 68.7% |
销售业务 | 43 | 64.2% |
研究与开发 | 38 | 56.7% |
工程项目 | 39 | 58.2% |
担保业务 | 32 | 47.8% |
业务外包 | 29 | 43.3% |
财务报告 | 48 | 71.6% |
注:该表格中占比均为披露某一项控制活动的企业数量占所有67家企业数量的比例。
根据企业实际披露情况,本报告增加了非金融类企业7项内容,银行业12项内容和保险业1项内容,并根据以上内容进行了进一步统计。
非金融类企业中,有些控制活动如对外投资、关联交易、生产与成本管理等被多次披露,这些控制活动通常是对一些行业或某一规模的企业非常重要的内容,其他活动如反舞弊、安全管理、质量管理等披露较少,具体信息如表8。
表8其它控制活动分类统计表
控制活动 | 数量 | 占比 |
对外投资 | 20 | 35.7% |
生产与成本管理 | 19 | 33.9% |
关联交易 | 16 | 28.6% |
税务管理 | 11 | 19.6% |
反舞弊 | 9 | 16.1% |
安全管理 | 7 | 12.5% |
质量管理 | 4 | 7.14% |
注:金融保险类企业有11家,非金融保险类企业56家。本表中占比均表示披露某项控制活动的公司占56家公司的比例。
银行业企业根据服务种类和面临风险方面的特点,通常会将最重要的风险领域作为内控的重点,例如:信贷业务控制、零售业务控制或资金业务控制作为内控的重要活动,具体信息如表9。
表9金融业控制活动分类统计表
控制活动 | 数量 | 占比 |
信贷业务控制 | 2 | 25% |
资金业务控制 | 2 | 25% |
零售业务控制 | 2 | 25% |
会计业务控制 | 1 | 12.5% |
现金业务控制 | 1 | 12.5% |
公司业务 | 1 | 12.5% |
中间业务 | 1 | 12.5% |
信用卡业务 | 1 | 12.5% |
托管业务 | 1 | 12.5% |
国际业务 | 1 | 12.5% |
电子渠道业务 | 1 | 12.5% |
金融创新 | 1 | 12.5% |
注:银行类企业有8家,本表格中占比均为披露某项控制活动的企业占8家银行的比例。
保险业由于行业特殊,在内控自评报告中,将精算管理作为内控的重要控制活动。
(3)信息与沟通
67份报告中,披露信息与沟通情况的企业共29家,占总数量的43.3%。如中联重科(000157)从信息传递、信息系统控制、反舞弊程序三个方面披露信息与沟通工作;南京熊猫(600775)则从内部信息沟通和外部信息沟通两方面披露信息与沟通工作;而部分公司则是简单描述,如“公司建立了较为完备的信息与沟通体系,内部控制相关信息的收集、处理和传递程序规范、运行顺畅,沟通及时有效,促进了内部控制的有效运行”。
(4)风险评估
风险的识别与评估是内控自评工作中的一个重要环节,在67份报告中,披露风险评估情况的企业共33家,占总数量的49.3%。从披露的情况来看,在风险识别中,战略风险、财务风险、市场风险、运营风险、合规风险及舞弊风险是大多数企业特别关注的风险类型;银行业则主要按业务类型对风险进行划分,如招商银行(600036)将风险划分为信用风险、流动性和市场风险、操作风险和声誉风险、合规风险、关联交易风险等。
(5)内部监督
在67份报告中,披露内部监督情况的企业共34家,占总数量的50.7%。从披露的内部监督的情况来看,可以发现,诸多企业已经形成了以监事会、董事会及其下属审计委员会、审计部门为主的三级内控监督体系。《企业内部控制基本规范》要求有条件的企业设置专门的内控机构,但是从67家公司披露的情况来看,很少有企业在评价报告中披露设置专门的内控机构。当前主要的监督职责基本上都由内部审计监督完成,即审计部门接受董事会或其下属审计委员会委托,对日常生产经营活动实施审计检查。
8.内控自评采用的测试方法
67份内控自评报告中,披露内控测试方法的企业共56家,所采用的方法主要是以下六种基本方法:个别访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样。此外,少数企业用到制度审阅法、信息系统取证法等方法,但数量很少,具体信息如表10。
表10内控评价采用的测试方法分布情况
测试方法 | 数量 | 占比 |
个别访谈 | 51 | 91.1% |
抽样 | 46 | 82.1% |
实地查验 | 45 | 80.4% |
问卷调查 | 39 | 69.6% |
穿行测试 | 38 | 67.9% |
比较分析 | 36 | 64.3% |
专题讨论 | 35 | 62.5% |
其他方法 | 12 | 21.4% |
注:本表格中占百分比是指,每项测试方法使用的企业数量与56家之间的比值,而不是67家。
9.内控缺陷认定标准披露情况
内部控制缺陷认定标准的确立是内控评价中的基础性和关键性问题,对于确定内控缺陷,进而对内控缺陷进行整改都有着非常重要的影响。《企业内部控制基本规范》和《企业内部控制评价指引》要求上市公司根据自身情况和关注的重点,确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。
67家公司中,13家上市公司未披露公司是否制定内控缺陷认定标准,54家公司以不同形式、不同程度披露了公司存在内控缺陷认定标准。在这54家公司中,有22家公司披露其制定了内控缺陷认定标准,但是没有详细描述内控缺陷认定标准的具体情况;有32家公司详细描述了公司内控缺陷认定标准,其中有27家公司披露了定量与定性相结合的内控缺陷认定标准,有3家公司披露了定性认定标准,有2家公司披露了定量认定标准。具体如表11。
表11内控缺陷认定标准披露情况统计分析表
披露情况 | 数量 | 占比 |
一、未披露是否制定认定标准 | 13 | 19.40% |
二、披露内控缺陷认定标准 | 54 | 80.60% |
1.提及制定标准,未详细描述具体标准 | 22 | 40.74% |
2.定性与定量结合制定标准 | 27 | 50.00% |
3.定性标准 | 3 | 5.56% |
4.定量标准 | 2 | 3.70% |
注:是否披露内控缺陷认定标准所占比例均为该类企业的数量占67家公司的比例;披露内控缺陷内控标准的三类情况所占比例均为每类公司数量占57家公司的比例。
企业披露的内控缺陷认定标准中,以披露重大内控缺陷认定标准为主。多数公司对重大内控缺陷的认定标准分为定量标准和定性标准两个方面。重大内控缺陷认定的定量标准一般是以某一财务报表指标作为计算基础,以该指标的一定比例作为衡量重要与否的标准,如:营业收入潜在错报≥营业收入总额的0.5%、利润总额潜在错报≥利润总额的5%、所有者权益潜在错报≥所有者权益总额的0.5%等等。
重大内控缺陷的定性标准差异较大,除“董事、监事和高级管理人员舞弊;注册会计师发现当期财务报告存在重大错报而内部控制在运行过程中未能发现该错报;审计委员会和内部审计机构对内部控制的监督无效”这几项在《企业内部控制审计指引》中提及的可能存在重大缺陷的迹象外,还包括如:重要业务缺乏制度控制或制度系统性失效;重要职权和岗位分工中没有体现不相容职务相分离的要求;企业战略、投资、募集资金等重大决策、重大事项、重大人事任免及大额资金的管理程度不科学并造成严重损失;以前年度评价过程中曾经有过舞弊或错误导致重大错报的经历,公司没有在合理的时间内改正所发现的重大缺陷和重要缺陷;不采取任何行动导致潜在错报或造成经济损失、经营目标无法实现的可能性不大;不采取任何行动导致潜在错报或造成经济损失、经营目标无法实现的可能性极大;对存在的问题不采取任何行动有较大的可能导致严重的偏离控制目标的行为;会计人员不具备应有素质以完成财务报表编制工作;控制环境无效等。
尤其值得关注的是,只有东方航空在制定内控缺陷认定标准的同时,制定了公司整体内控有效性判断标准,明确了缺陷类型及数量与内部控制有效性结论的关系,具体如下:
(1)是否存在重大内控缺陷,如“是”则整体内控无效,“否”则整体内控有效;
(2)是否存在3个以上重要缺陷,如“是”则整体内控无效,“否”则整体内控有效。
10.具体内控缺陷披露情况
内部控制缺陷披露是公司内部控制评价报告非常重要的组成部分,通过披露公司在自我评价过程发现的内部控制缺陷,尤其是内部控制重大缺陷和内部控制重要缺陷,一方面可以使投资者对公司的内部控制整体状况及公司运行状况有比较好的把握,另一方面能够督促公司对存在的缺陷进行整改,进而促进公司内控体系的不断优化,为促进企业的健康发展提供基础。
67家公司中,披露公司在报告期内存在内部控制缺陷的有49家,未报告公司存在内控缺陷的有18家。49家披露存在内控缺陷的公司,主要包括以下4种情形:披露公司内控缺陷的个数与内控缺陷内容;仅披露公司内控缺陷的个数;仅披露公司内控缺陷内容;既不披露内控缺陷个数,也不披露公司内控缺陷内容,仅提及公司存在内控缺陷(一般缺陷或重要缺陷),具体情况如表12。
表12内控缺陷披露情况
以何种形式披露内控缺陷 | 家数 | 占比 |
披露缺陷个数与缺陷内容 | 6 | 9.0% |
仅披露缺陷的个数 | 9 | 13.4% |
仅披露缺陷的内容 | 9 | 13.4% |
仅提及公司存在缺陷 | 25 | 37.3% |
合计 | 49 | 73.1% |
注:本表格中占比均为以某一形式进行披露的企业家数占67家公司的比例。
披露公司存在缺陷的49家公司中,仅有1家公司披露其存在1个重大缺陷;2家公司分别披露其存在7个重要缺陷和1个重要缺陷;其余公司均仅披露存在一般缺陷,且缺陷的个数差异较大,个别公司披露多达1000余个,少则只有1个。
通过对49家公司披露的内控缺陷进行分析,可以发现目前披露的内控缺陷主要包括以下几种类型:
(1)设计缺陷和运行(执行)缺陷。如设计缺陷(主要是制度建设方面的问题)和执行缺陷(主要指不按制度流程操作的问题),个别公司的机构设置存在重复、交叉或缺失的情况,有待进一步明确职能定位,划清岗位职责权限;个别子、分公司合同执行情况检查力度不够,合同台账摘要登记不明细。
(2)公司层面缺陷和业务控制层面缺陷。如某公司将缺陷划分为公司层面和业务层面,公司层面存在的问题包括:企业业务层面内部控制的自我评价没有形成完整的工作底稿,只有最终的问题汇总表,未严格按照企业内部控制评价指引要求开展内部控制评价工作;业务层面存在的问题如收入确认存在截止性差异问题等。
(3)信息系统控制(IT)方面的缺陷。如信息系统中应收应付模型有待改进、相应的控制工具(如计算机系统)需要进一步完备、系统用户及权限管理工作有待进一步完善等等。
(4)按公司的经济活动、业务事项进行划分的缺陷。如某银行披露其负债业务方面,需进一步夯实客户基础,努力拓宽存款吸纳渠道,稳定均衡增长,降低存贷比;信贷业务方面,应进一步增强信贷业务客户群风险的识别和控制能力,加强对贷款实际用途的识别和监控,增强银行资金与民间融资的隔离控制,加强贴现票据验票工作;个人金融和中间业务方面,需进一步加强理财产品销售管理工作,完善特色业务和新业务的管理细则,优化代理业务管理流程等。
(5)与财务报告相关的缺陷和与非财务报告相关的内控缺陷。如财务报告内部控制缺陷中会计基础工作方面,表现为存货盘查时个别月份没有签名记录、个别内部固定资产转移台账变更记录的及时性以及员工离职软件系统及时与实际记录核对等;非财务报告内部控制缺陷,表现在公司对外购软件的管理、企业文化建设的完善等。
披露内控缺陷的具体内容见附表。
11.内控缺陷整改披露情况
67家公司中,有49家公司以不同形式披露公司存在内控缺陷,其中44家公司提出了整改计划、整改措施或者要求对缺陷进行整改,5家公司并未提出相应的整改方案或者措施。44家提出内控缺陷整改方案、计划或者措施的公司,在内控评价报告中对整改方案、计划或者措施的描述不尽相同,有的公司表述非常简单;有的公司则将每一类缺陷对应的指引、整改措施详细列出,如中新药业(600329)在内控评价报告中列示了排在前三位的缺陷及其整改措施,首先对缺陷进行描述,再确定缺陷类型,进而将其对应指引,最后提出具体的整改措施。
12.内部控制有效性描述方式分析
根据《企业内部控制规范体系实施中相关问题解释第1号》中有关内部控制评价报告格式要求,对内部控制设计与运行的有效性进行评价后,确认内部控制不存在重大缺陷的,应表述为“报告期内,公司对纳入评价范围的业务与事项均已建立了内部控制,并得以有效执行,达到了公司内部控制的目标,不存在重大缺陷”。
证监会《上市公司实施企业内部控制规范体系监管问题解答2012第1期》对内部控制评价报告格式提出要求:如果不存在重大缺陷,自评报告可采用正面描述的方式直接作出内部控制有效的结论,即“董事会已按照《企业内部控制基本规范》及评价指引的要求对财务报告内部控制进行了评价,并认为其在XXXX年XX月XX日(基准日)有效”。
67家公司披露的内部控制有效性结论中,上述两种方式的表述均存在,另有部分公司表示“未发现重大缺陷”。
我们认为,从文字表述的角度分析,“未发现重大缺陷”与“不存在重大缺陷”或“财务报告内部控制有效”相比,是一种消极的确认方式,所代表的确认程度较低。
(二)内部控制审计报告分析
《企业内部控制审计指引》中规范了内部控制审计报告的格式和内容,包括以下五部分内容:企业对内部控制的责任、注册会计师的责任、内部控制的固有局限性、财务报告内部控制审计意见、非财务报告内部控制的重大缺陷。67份内控审计报告内容与审计指引提供的格式要求基本一致,仅存在部分细节上的差异。
1.67份内控审计报告中表述与审计指引提供的格式要求一致的方面
(1)内部控制审计的依据
财政部等五部委于2010年发布《企业内部控制审计指引》,中国注册会计师协会也于2011年发布《企业内部控制审计指引实施意见》等文件对注册会计师开展内控审计提出要求。67份内控审计报告中提及的审计依据无一例外都是:《企业内部控制审计指引》及中国注册会计师执业准则的相关要求。
(2)内部控制审计意见类型及描述方式
67份内控审计报告中,除新华制药(000756)被出具否定意见外,其他66份内控审计报告均被出具无保留审计意见。
66份标准内部控制审计报告中有关财务报告内部控制审计意见一般表述为“我们认为,贵公司(××公司)按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制”,与审计指引提供的格式要求一致。
被出具了否定意见的新华制药(000756)的审计意见中,注册会计师认为,由于存在重大缺陷及其对实现控制目标的影响,新华制药于2011年12月31日未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。另外,根据格式要求,会计师在内控报告中增加了“导致否定意见的事项”段,列举了新华制药存在的两个方面的重大缺陷的内容,并对管理层采取的措施以及内控审计报告对年度财务报表审计的影响给出了相关说明。
(3)发表审计意见的对象
67份内控审计报告均在“注册会计师的责任”部分进行了说明,明确注册会计师的责任是在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。
2.67份内控审计报告中表述与审计指引提供的格式要求不一致的方面
(1)对于是否关注到公司与非财务报告相关部分存在重大缺陷
67家公司披露的内部控制审计报告均未披露关注到公司与非财务报告相关的内部控制重大缺陷,其中65份内部控制报告在披露时直接省略了第五部分“非财务报告内部控制的重大缺陷”的内容,而由天职国际会计师事务所有限公司出具的中海集运(601866)的内控审计报告、大信会计师事务有限公司出具的洛阳玻璃(600876)的内控审计报告则包含这部分内容,具体描述如“在内部控制审计过程中,我们未注意到中海集运的非财务报告内部控制存在重大缺陷”。
(2)发表审计意见针对的时间
根据内部控制审计报告的格式要求,注册会计师在内部控制审计报告第一段已经明确了其发表内部控制审计意见是针对报告基准日时点,即“按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了XX公司2011年12月31日的财务报告内部控制的有效性”,但并没有要求在审计意见段再次强调基准日时点的概念,而是表述为“我们认为,XX公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。”
67份内控审计报告中,所有报告均按格式要求在第一段即明确了针对报告基准日发表审计意见的原则,但部分审计报告在审计意见段再次强调了这个原则,即表述为:我们认为,XX公司于2011年12月31日按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
三、存在的问题
总体上看,67家公司2011年执行企业内控规范体系情况良好。这些公司在内控建设过程中,在组织机构的设立、资源的保障、内控建设路径的选择、内控建设的方式方法等方面均为国内主板上市公司和其他企业的内控建设提供了宝贵的经验。但也应注意到,从现在看来,多数境内外同时上市公司的内控建设成果不是完全依靠2011年一年来实现的,其中相当一部分公司为适应境外资本市场的监管要求,几年前即已着手进行内部控制建设,内控建设经历了一个逐步摸索、从量变到质变的过程;另一方面,境内外同时上市公司的管理基础、运行方式与国内主板公司和其他企业也有一定程度的不同,相比之下,前者的管理基础更为完善、内部运行更为规范,其推进内控建设的难度也更小一些。国内主板上市公司和其他企业在借鉴这些先行企业所取得经验的同时,应充分考虑到这些差别。
结合境内外同时上市公司上述内控评价报告和内控审计报告分析结果,以及财政部、证监会在日常监管工作中了解到的一些实施试点企业内控规范体系的企业的情况,企业内控规范体系在实施过程中仍然存在一些问题。
(一)企业内控规范体系实施过程中存在的问题
1.企业内部对内部控制的认识有待提升
企业内部控制规范体系的推动实施,更多地应源自企业的内生需求,外部的监管要求只是起到推动作用。从了解的情况看,部分公司对内部控制的认识仍停留在查漏补缺、应对监管的层面,没有意识到建立健全内控体系对防范风险、促进管理可能起到的有益作用,因而在内控建设过程中缺乏动力,导致企业内各层级人员在内控建设中局限于满足“合规”要求,不求完善;有些公司虽然成立了内部控制小组或委派内审部、内控部或财务部牵头负责内部控制相关工作,但是在内控建设初期对应投入的资源及相关保障仍缺乏有效认知;还有一些公司将内部控制体系建设和评价工作作为一项阶段性运动,控制要求形式化,未树立将内部控制要求与日常管理工作相结合的理念,对内控的认识和理解程度有待提升。
2.内控专业人才缺乏成为制约企业内控建设的瓶颈
内部控制建设是一项系统性工程,需要既了解所处行业特点、公司的整体运营情况及面临的风险,又熟悉内控建设的基本方式方法、信息技术及财务报告基本概念等方面情况的综合性人才。从部分公司的内控建设实践来看,人才缺乏已成为制约推进内控建设的瓶颈。很多内控部门负责人及实际工作人员是在“边建边学边摸索”,虽然在推进内控建设的过程逐步积累起一定的经验,但常会因此而走许多弯路。一些企业虽然建立了很好的在企业内部培养内控人才的机制,但毕竟人才的培养需要一个过程。这一问题随着2012年沪深交易所主板公司全面实施企业内部控制规范体系会愈加突出。
3.企业内部控制建设及评价仍需要方法上的指导
内控基本规范及18项应用指引针对内控建设的重要领域作出了原则性的规定,但公司在建设内控过程中仍面临一些困惑:一方面部分公司对以风险评估为基础的内控建设方法还较为陌生;另一方面应用指引是根据制造型企业特点总结提炼出的一般性指引,并没有兼顾不同行业特点,公司在建立内控过程中需要找到自身生产经营活动与应用指引的契合点。另外,对大部分公司来说,内部控制的自我评价也是一项全新的过程。评价指引针对内控评价的基本原则和程序提出了要求,但并未提供一套完整的方法体系。上述因素的存在导致不同公司建立内控的方式方法差异较大,深入程度及侧重点也各不相同,一定程度上影响了实施的效果。
4.内控评价报告信息有效性有待提升
67家公司披露的2011年内控评价报告中,已有公司开始根据所在行业特点及自身实际情况披露个性化的风险类别及防范措施。如有的银行类上市公司披露了所面临的市场风险、信用风险、流动性风险、操作风险、合规风险,并结合业务类别详细介绍了风险控制的方法和手段。但仍有部分公司在评价报告中披露的信息与自身生产经营特点和业务运行模式结合不足,公式化倾向较为明显,部分公司出于展示良好形象和工作成果的考虑,对内控要素、内控建设过程和成果进行了详细描述,而对于投资者真正希望了解的信息如存在的缺陷、未来的改进措施等则着墨较少,内控评价报告及相关信息披露传达的信息有效性有待提升。
(二)中介机构在内控咨询及审计过程中存在的问题
1.内控咨询中存在的问题
(1)咨询机构人员素质、服务质量参差不齐
目前,提供内控咨询业务的机构包括会计师事务所、管理咨询机构、信息技术企业和其他类型机构四类。一些大型会计师事务所在执行在美上市公司内控咨询过程中积累了较为丰富的内控咨询服务经验。除会计师事务所以外,其他一些综合性管理咨询机构、信息技术企业等也为上市公司提供内控咨询服务,但因侧重点、执业经验及优势领域的不同,某些情况下与监管要求有一定的差距。一些专业性不强、胜任能力不够、服务不到位和低价咨询机构的存在,影响了内控咨询服务市场的健康发展,并对企业内控建设工作产生不良影响。
(2)咨询服务针对性不强,与企业管理结合度不够
企业在内控建设过程中聘请咨询中介机构,其目的主要是获取方法上的指导和与所处行业相符合的实践经验。从实际情况看,一些咨询服务机构大都提供标准化内控建设模板,很少能够提供真正反映企业所处行业和管理特点的契合性服务。另外,有些咨询机构在项目执行过程中派出人员数量不足,核心负责人投入精力有限,业务团队对公司管理细节的了解不够深入,难以保证协助公司建设完成符合实际管理需要的内控体系。
2.内控审计中存在的问题
(1)对内控审计业务重视程度有待提升,技术标准及培训需进一步加强
2011年是企业内控规范体系开始实施的第一年,会计师事务所面临着如何尽快掌握内控审计技术方法、以风险为导向做好内控审计工作的问题。从对部分内控审计项目的调研情况看,不同会计师事务所在内控审计执业能力方面存在较大差别。部分事务所在组织机构、内控技术方法、内控审计人才储备等方面做了很多努力,能够较好地适应内控审计业务带来的挑战,但也有些会计师事务所对内控审计业务重视程度不够,技术准备不充分,存在“等”、“靠”思想,在开拓内控审计业务、钻研内控审计技术方法方面缺乏主动性。加之内控审计技术标准出台时间较晚,一些事务所在结合审计标准制定内部内控审计技术规范时较为仓促,其执业规范的完备程度、内控审计质量复核体系及对员工的培训方面均有待进一步加强。
(2)内控审计团队人员结构有待完善,信息系统审计力量不足
从部分审计项目情况看,一些会计师事务所信息系统审计团队建设还处于起步阶段,信息系统审计力量不足,内部控制审计中信息系统审计程序实施不够充分。相对比的是,绝大部分上市公司及其他企业有着较高程度的管理信息化水平。内控审计中,实施充分的信息系统控制审计是形成有效内控审计结论的重要组成部分。随着主板公司今年开始全面实施企业内部控制体系所带来的审计需求的扩大,会计师事务所在进一步加强内控审计能力建设的过程中,调整和完善审计团队结构,对包括信息系统在内的一些重要控制领域进行审计是当务之急。
四、有关建议
自2012年1月1日起,企业内部控制规范体系将扩大到在沪深两市主板上市公司施行。2012年5月,国资委联合财政部发布了《关于加快构建中央企业内部控制规范体系有关事项的通知》。至此,内部控制建设与实施正在上市公司以及国有大中型企业全面开展。结合前述对2011年境内外同时上市公司及试点实施内控规范体系企业内控建设、内控评价、内控审计情况以及存在问题的分析,为更好地推动内控的建设与实施工作,提升我国企业内控水平,以下从标准制定及监管、企业、内控咨询及审计机构等层面提出建议。
(一)标准制定及监管层面
2011年企业内控规范体系实施中存在的问题,有些是由于标准不够明确产生的,有些则是企业在执行中理解上存在偏差或执行不到位产生的。为促进内控建设,有必要从配套的法律法规、具体实施标准等方面进行进一步完善:
1.推动相关法律法规的修订和完善,提升内控法律地位、强化监督检查和惩戒。现阶段我国内控建设的推动更多的是依靠财政部、证监会等行政部门的力量,相较于美国等国家,我国在法律层面并没有专门对内控建立的责任、义务加以规定的条款,也没有相关惩戒规定。建议推动修订和完善相关法律法规,增加有关企业建立健全内控体系的条款,明确企业内控建设的责任,对内控违法惩戒作出相应规定,并对会计师事务所和注册会计师出具内控审计报告的法律责任予以明确。
2.统一标准,协调处理现有规范不一致之处。针对现行规范体系中关于内控和风险管理、内控信息披露的不同要求,有必要对各部门现行的相关规章、文件进行梳理,协调处理相互间不协调之处,厘清内控建设与其他风险管理手段之间的关系,统一内控信息披露的内容,降低企业的遵循成本和执行难度。
3.制定出台行业操作指南及内控缺陷认定的通行做法。针对企业的实际情况和现实需求,相关监管部门应着手对一些典型行业进行调查,了解这些行业的具体运作特点、共性风险和行之有效的控制措施,并在此基础上制定发布分行业的内控操作指南和内控缺陷认定的通行做法,为企业开展内控建设和内控评价工作提供更加具有参考价值和指导意义的标准。
4.研究探索内控人才培养机制。针对内控实施过程中人才严重缺乏的问题,财政部等相关部门有必要组织力量研究探索内控人才的培养和认证机制,在企业现行自主培养内控人才的基础上,推动和加强全社会范围内内控人才的培养,促进企业内控建设水平和管理水平的提升。
(二)企业层面
内控实施和建设的主体是企业,成败与否取决于企业在建设内控过程中能否注重实效,并与自身管理相结合。总结先行企业的经验和不足,在进一步推进内控规范体系实施的过程中,企业应注重解决以下几个方面问题:
1.提高认识,加强组织领导和资源配备。内控建设是“一把手工程”,企业高层领导应提高对内控工作的重视程度,在内控建设过程中身体力行地推动。与此同时,要积极建立健全内控实施组织体系、配备适当的资源,包括内控领导机构和日常管理常设机构等,并明确各个管理层次的内控职责和权限,为企业内控建设提供强有力的组织保障。
2.合理利用外部力量,注重内控建设与企业自身情况的结合。企业在内控建设过程中,可以适当借助外部咨询机构协助开展工作,但应避免过于依赖外部机构。外部经验只能适当借鉴,不能完全照搬。在利用外部资源的过程中,应注重内外相互配合,加强沟通和交流,着力对本企业人才的培养和使用,使内控建设着眼于企业实际。
3.注重实效,摸索内控建设规律的同时逐步实现内控水平的提升。企业在内控建设过程中要结合自身实际,循序渐进,分步骤、分层次,有重点地开展内控建设和评价,将内控建设的各项工作落到实处,并且在不断的内控实践中摸索内控建设的规律。企业应注重内控建设的实效,避免因为赶进度而使内控建设流于形式,企业内有关部门应结合企业管理实际确定内控实施的时间表。
4.注重内控评价体系的建立,增强评价工作的科学性。企业应在结合自身实际的基础上,建立健全内控评价工作的组织和方法体系,并充分利用内控建立运行过程中内部监督的结果,确保内控评价工作由独立性较强的部门承担,或建立由高级管理层领导的独立内控自评机构,并在逐步的内控运行和评价过程中加以调整和完善。
5.推进信息化建设,促进内控手段固化和落地。随着内控建设的不断推进,信息化应成为内控体系建设的一项基础性工作,也是内控体系建设成果得以固化、常态化、规范化的重要技术保障。企业应立足实际,结合行业性质和业务特点,推进内控管理制度化、制度流程化、流程信息化,有效完善内控管理系统,促进企业管理水平整体提高。
(三)内控咨询及审计机构层面
内控建设与实施,离不开中介机构作用的发挥。结合前期一些中介机构在提供内控咨询和审计服务中存在的问题,相关中介机构应从以下几方面着力改进:
1.建设一流团队,提供优质服务。随着主板上市公司和越来越多的企业开始实施企业内控规范体系,市场对内控咨询和审计服务的需求将进一步扩大。有关咨询机构要积极培养核心力量,研究学习最新内控知识,跟踪我国内控建设推进实施的最新进展,提升内控咨询的水平;广大会计师事务所应借此机会内强素质、外树形象,积极组织学习培训、优化业务结构,精心组建专业团队、提升内控审计的质量。
2.保持独立性,提升执业质量。会计师事务所开展内控审计和内控咨询服务,应处理好内控咨询和内控审计的关系,保持独立性。同一家事务所不能同时为一家企业提供内控咨询和内控审计服务,内控咨询机构在为企业提供咨询服务的过程中,应妥善处理内控建设咨询和内控评价咨询之间的关系。
3.维持合理的收费水平,避免低价竞争。内控咨询和审计市场的健康发展取决于相关市场参与主体的共同努力。有关中介机构应加强自律,从自身出发,克服短期行为,避免通过无原则地降低收费来招揽客户。
附表:内控缺陷披露汇总表
(报告执笔和审稿人:杨敏、贾文勤、欧阳宗书、胡兴国、焦晓宁、路子尧、韩冰、王洪华、李静、司婉玲、王永超、王炜)
附表
内控缺陷披露汇总表
序号 | 公司简称 | 缺陷类型 | 缺陷内容 |
1 | 晨鸣纸业 | 1、子公司武汉晨鸣1月份物资采购发票一笔入账不及时问题; 2、子公司齐河晨鸣部分发货通知单未加盖销售处发货专用章,管理不规范; 3、子公司武汉晨鸣9月份氧脱车间中浓浆泵设备调拨未办理《设备调迁通知单》,管理不规范。 | |
2 | 东北电气 | (一)内部控制设计缺陷 1、“相关制度不存在”和“相关制度不完整”类缺陷; 2、“相关制度不符合业务实际情况”类缺陷。 (二)内部控制运行缺陷 “未按制度要求执行”类缺陷 | |
3 | 新华制药 | 一项重大缺陷 | 子公司山东新华医药贸易有限公司(以下简称医贸公司)对客户授信额度过大导致较大经济损失: 1、医贸公司内部控制制度缺少多头授信的明确规定,在实际执行中,医贸公司的鲁中分公司、工业销售部门、商业销售部门分别向同一客户授信,造成授信额度过大; 2、医贸公司内部控制制度规定对客户授信额度不大于客户注册资本,但实际业务中对部分客户授信却超出其注册资本。同时,医贸公司也存在未授信的发货情况。 |
4 | 山东墨龙 | 一般缺陷 | (一)公司治理方面 1、公司未设立战略委员会; 2、公司尚缺《全面预算管理制度》。 (二)日常检查方面 1、合同检查方面:存在供货拖期现象、先进货后补合同现象和完成合同不能及时归档现象。 2、质量体系方面 (1)淬火炉加热区温度不均匀,未满足工艺要求,不符合《生产和服务控制程序》5.1.2.4条款规定; (2)管科钢坯库钢坯存放混乱,不同规格、不同材质、不同炉号钢坯放在一个料架上,甚至交叉存放,没有按要求分类存放,不符合《产品防护控制程序》5.2.2.a条款规定; (3)设备带病运行、跑冒滴漏现象存在; (4)车检维修区氧气乙炔混放,存在安全隐患。 (三)安全检查方面 发现现场存在安全隐患、浪费现象时有发生、现场卫生整理不及时等等,违反了《生产现场监督管理规定》。 |
5 | 中海发展 | 非财务报告相关的内部控制缺陷 | 个别部门岗位制度更新不够及时,个别单位的供应商评价机制有待改进,信息化管理的相关制度有待完善。 |
6 | 兖州煤业 | 非财务报告相关的内部控制一般缺陷 | (一)公司层面存在的问题 1、企业业务层面内部控制的自我评价没有形成完整的工作底稿,只有最终的问题汇总表,未严格按照企业内部控制评价指引要求开展内部控制评价工作; 2、公司进行的利率掉期业务每月按照银行提供的《利率掉期重估数据》重新评估交易性金融负债的公允价值,直接以该数据确认金融工具的公允价值变动损益,公司不再单独评估其公允价值的合理性。 (二)公司业务控制层面存在的问题 1、收入确认存在截止性差异问题; 2、部分投资项目未能完全按照公司内控规范要求在实施投资前进行尽职调查、可行性研究论证、编制收购资产预案或股权投资议案。 (三)公司信息技术(IT)管理方面存在的问题 1、公司内部审计部门缺少专业IT人员,信息技术内部审计制度不完善; 2、由于硬件资源不足,年度内缺少数据备份数据恢复测试。 |
7 | 中新药业 | 一般缺陷 | 1、公司下属个别企业存在采购部/销售部、经济运行部、质检部的职责分工及运行中不相容职务相分离、权责分明与制衡的原则未完全有效实现,具体表现在: (1)在采购/销售过程中涉及的供应商评估准入、客户信用评估、合同谈判及系统信息维护过程中相应部门的参与和监督力度不足; (2)存在个别业务人员超越质检环节,从未经质量检验评估且确认合格的供货商进货,导致入库原材料存在质量风险。 2、公司总部对于投资项目的管理目前限于立项和验收,对于项目建设运营过程的跟踪管理力度不足。 3、反舞弊程序欠缺专项制度。目前公司主要依靠纪委进行反舞弊管理。纪委的工作主要是以党员干部廉政管理为主,与对上市公司要求的保护投资人利益的反舞弊工作有所差异。 |
8 | 广船国际 | 一般缺陷 | 本报告期末发现的内部控制一般缺陷,例如财务报告内部控制缺陷中会计基础工作方面,表现在物资对存货盘查时个别月份没有签名记录、个别内部固定资产转移台账变更记录的及时性以及员工离职软件系统及时与实际记录核对等。非财务报告内部控制缺陷,表现在公司对外购软件的管理、企业文化建设的完善等。 |
9 | 四川成渝 | 一般缺陷 | 一般缺陷(包括设计缺陷和执行缺陷),主要是: 1、个别公司的机构设置存在重复、交叉或缺失的情况,有待进一步明确职能定位,划清岗位职责权限。 2、个别公司规章制度修订不及时,未根据内、外部环境的变化及时修订、完善相关制度,如道路养护的分类管理。 3、公司《内部控制手册》(2011年版)没有涵盖相对重要的业务流程,如BOT、BT业务、质量检测业务;个别业务过程、风险及控制措施的描述与实际情况存在差异。 4、个别子、分公司会计基础工作有待改进,如:银行存款余额调节表审签不完整;资产盘点不及时、不完整。 5、个别施工企业虽然在报告年度内按完工百分比法确认了收入、成本,但在月份、季度核算中,有个别施工项目未能严格按执行完工百分比法确认收入、成本。 6、个别子、分公司合同执行情况检查力度不够,合同台账摘要登记不明细。 |
10 | 交通银行 | 内部控制个别方面还有待进一步完善和提高 | 1、负债业务方面,需进一步夯实客户基础,努力拓宽存款吸纳渠道,稳定均衡增长,降低存贷比; 2、信贷业务方面,应进一步增强信贷业务客户群风险的识别和控制能力,加强对贷款实际用途的识别和监控,增强银行资金与民间融资的隔离控制,加强贴现票据验票工作; 3、个人金融和中间业务方面,需进一步加强理财产品销售管理工作,完善特色业务和新业务的管理细则,优化代理业。 |
11 | 中国中铁 | 一般缺陷 | 1、在项目招投标中进一步优化项目评审工作,加强立项、投标及合同等前期评审,特别是境外项目,要重点关注政治、法律、汇率等风险; 2、进一步完善物资管理,加大集中采购力度,降低采购成本; 3、进一步加强劳务协作队伍选用、管理,严格资质审核,强化过程管控; 4、进一步优化人力资源管理,加强培训,进一步提升员工业务水平; 5、加快推进全面预算管理,强化项目预算,提高精细化管理水平; 6、进一步优化信息系统建设,强化信息化的支撑作用; 7、进一步加强安全意识,强化质量管控,防止安全事故,提高工程质量水平。 |
12 | 中国人寿 | 总公司及个别分公司在软件需求评审、桌面设备管理、保单回执核销、销售人员管理、银邮代理协议管理和系统权限管理等环节存在执行不到位的问题。 | |
13 | 中国南车 | 与非财务报告相关的内部控制缺陷 | 尚未全面开展IT审计活动;部分子公司存在采购合同评审、工作计划审批等控制活动缺乏可验证的记录或记录不完善的现象。 |
14 | 大连港 | 设计缺陷主要是制度建设方面的问题;执行缺陷主主要是不按制度流程操作的问题。 | |
15 | 中煤能源 | 一般缺陷 | 个别所属企业人力资源的激励约束机制不健全、物资采购中退货管理不明确、新增部门的业务流程不完善、信息系统中应收应付模块有待改进。 |
[1]注:合计总数为26家咨询机构,是因为67家公司中有1家公司同时聘请一家内资咨询机构与1家外资咨询机构为公司提供内控建设、评价等服务。图7中占比均为咨询机构分布占26家的比例。
