内部控制重大缺陷 审查与认定 肖文强 2014.4
主要内容 1.内部控制相关研究成果 2.内部控制缺陷实质 3.内部控制缺陷认定的一般程序 4.内部控制缺陷识别 5.严重性缺陷评估 6.内部控制缺陷最终认定
一、内部控制相关研究成果
(一)COSO(全国虚假财务报告委员会的发起人委员会)2004年发布的《企业风险管理——整合框架》(国内也有译作《全面风险管理框架》) 1.COSO的全面风险管理框架是建立在内部控制框架基础上的,COSO框架中明确地指出全面风险管理体系框架包括内控,将之作为一个子系统。 2.内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。
(二)国有资产监督管理委员会2006年6月发布的《中央企业全面风险管理指引》 1.第四条所称全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
2.第六条所称内部控制系统,指围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。
(三)2008年5月23日,财政部、证监会、审计署、银监会和保监会联合颁布了《企业内部控制基本规范》(财会〔2008〕7号) 1.基本规范坚持立足我国国情,在充分借鉴国际上权威的“COSO内部控制框架”基础上形成的,确立了我国企业建立和实施内部控制的基础框架,体现了我国制定内部控制规范中所坚持的“借鉴国际、超越创新”的思想。 2.重大突破主要表现在科学界定内部控制的内涵,准确定位内部控制的目标,合理确定内部控制的原则,统筹构建内部控制的要素、开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制。
(四)2010年4月26日,五部委又联合发布了18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》 1.自2011年1月1日起首先在境内外同时上市的公司施行,2012年实施范围扩大到国有控股主板上市公司。 2.该配套指引连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。
(五)国务院国有资产监督管理委员会、财政部关于加快构建中央企业内部控制体系有关事项的通知(国资发评价[2012]68号) 1.集团层面要成立专门的内部控制工作领导机构,负责内部控制工作的组织协调;设立专职机构或确定牵头部门,配备专职工作人员,具体负责内部控制体系建设与实施工作;建立相关部门共同参与的跨部门联动工作机制,明确分工,落实责任,共同推进,并做好对子企业内部控制建设的组织指导工作;按照内部控制建设与监督评价职责相分离的原则,明确内部审计或相关部门负责组织内部控制评价工作。
2.各中央企业应当自2013年起,于每年5月31日前向国资委报送内部控制评价报告,同时抄送派驻本企业监事会 3.监督检查中发现内部控制存在重大缺陷的,将根据其性质或影响程度在业绩考核中给予扣分或降级处理;对于因内部控制缺陷造成资产损失的,按照《中央企业资产损失责任追究暂行办法》(国资委令第20号)的有关规定,追究相关责任人的责任;对于在监督检查中发现的重大缺陷,企业在自我评价和审计工作中未充分揭示或未及时报告的,将追究内部控制评价部门和外部中介机构的责任
(六)财政部2012年11月发布《行政事业单位内部控制》(试行)从2014年1月1日实施 1.推动高效廉洁服务性政府、推高单位办事能力、推进规范化财政预算管理 2.单位层面内控要求建立集体研究、专家论证、技术咨询向结合的议事决策机制 3.业务层面内控要求预算业务、收支业务、采购业务、资产管理、建设项目、合同管理等实施全方面控制
4.“中国式”内控起航(中国会计报2013年6月26日第1版):防腐主要从两个方面入手:一是“不易”;二是“不能”,内部控制正是要从根本上解决这两个问题。 5.内控规范:反“四风”的利器(中国财经报2013年8月22日第1版)“把权力关进制度的笼子里”、集中解决“形式主义、官僚主义、享乐主义和奢靡之风问题” 得控则强,失控则弱,无控则乱!
(七)财政部发布内控报告 1.2013年8月30日,财政部发布上市公司2012年实施企业内部控制规范体系情况分析报告,报告公布的数据显示,2012年,共有2244家上市公司披露了内部控制评价报告,占沪、深交易所2492家上市公司的比例为90.05%。 2.在2244家披露内部控制评价报告的上市公司中,有8家上市公司披露存在内部控制重大缺陷,分别为:佛山照明、西王食品、山东如意、海联讯、*ST长油、长春经开、北大荒、中材国际,披露比例为0.36%。
3. 在2244家披露内部控制评价报告的上市公司中,2241家上市公司的内部控制评价结论为有效,占比99 3.在2244家披露内部控制评价报告的上市公司中,2241家上市公司的内部控制评价结论为有效,占比99.87%;3家上市公司的内部控制评价结论为无效,分别为:北大荒、万福生科、海联讯,占比0.13%。 4.2012年,共有1532家上市公司披露了内部控制审计报告,占沪、深交易所2492家上市公司的比例为61.48%。其中,内部控制审计结论为标准无保留意见的上市公司为1506家,占比98.30%;非标意见共26家,其中带强调事项段的无保留意见为22家,占比1.44%,否定意见为4家,分别是:北大荒、贵糖股份、天津磁卡、海联讯,占比0.26%。
5.纳入实施范围的853家上市公司集中在中央及地方国有控股企业,具有规模较大、经营业绩较好等特征。经统计,853家公司2012年年末总资产为1,103,652亿元,平均总资产为1,294亿元;853家公司的2012年度总的净利润为17,882亿元;平均净利润为21亿元。 6.853家公司2012年度营业总收入为202,974亿元,占我国2012年国内生产总值519,322亿元的39%。
7. 2012年,纳入实施范围的853家上市公司全部披露内部控制评价报告,其中852家公司的内部控制评价结论为有效,占比99 7.2012年,纳入实施范围的853家上市公司全部披露内部控制评价报告,其中852家公司的内部控制评价结论为有效,占比99.88%,1家公司(北大荒)的内部控制评价结论为无效,占比0.12%。 8.在纳入实施范围的853家上市公司中,575家披露了内部控制缺陷认定标准,占比67.41%;278家未披露内部控制缺陷认定标准,占比32.59%。
9. 2012年,纳入实施范围上市公司内部控制缺陷披露情况如表7所示:245家披露了内部控制缺陷,占比28 9.2012年,纳入实施范围上市公司内部控制缺陷披露情况如表7所示:245家披露了内部控制缺陷,占比28.72%;608家未披露内部控制缺陷,占比71.28%。 10.2012年,纳入实施范围上市公司内部控制缺陷分等级披露情况如下:4家(次)上市公司披露了内部控制重大缺陷,总共存在 15个重大缺陷;22家(次)上市公司披露了内部控制重要缺陷,总共存在223个重要缺陷;243家(次)上市公司披露内部控制一般缺陷,总共存在2359个一般缺陷。
11. 2012年,在纳入实施范围的853家上市公司中,有382家公司披露聘请了内部控制咨询机构,占比44 11.2012年,在纳入实施范围的853家上市公司中,有382家公司披露聘请了内部控制咨询机构,占比44.78%;471家公司未披露是否聘请内部控制咨询机构,占比55.22%。 12.2012年,纳入实施范围的853家上市公司全部披露内部控制审计报告,其中831家上市公司的内部控制审计意见为标准无保留意见,占比97.42%;3家上市公司因存在财务报告内控重大缺陷被注册会计师出具否定意见,占比0.35%;19家上市公司的内部控制审计意见为带强调事项段的无保留意见,占比2.23%;非标准内控审计报告共22份,占比2.58%。
13.在纳入实施范围的853家上市公司中,除3家被出具否定意见的上市公司存在财务报告内部控制重大缺陷外,还有6家上市公司被注册会计师披露了非财务报告内部控制重大缺陷 14.2012年,纳入实施范围的853家上市公司中,除20家公司(具体名单如表14所示)单独实施内部控制审计外,其余833家公司均采取内部控制审计和财务报表审计相互整合的形式。这表明,整合审计是目前上市公司内部控制审计的主流方式。
15.企业内部控制规范体系实施取得的成效 (1)企业内部控制体系建设中取得的成效:实施企业对内部控制的重视程度普遍提高、实施企业经营管理水平有效提升、实施企业风险防范与应对能力显著提高 (2)企业内部控制评价工作中取得的成效:内部控制评价工作趋于规范并体现企业特色、完善自我监督程序,形成内部控制评价长效工作机制、披露内控评价报告的公司数量稳步上升报告信息量增大可读性增强 (3)内部控制审计工作中取得的成效:内部控制审计执业趋于规范,审计监督的作用逐渐凸显、披露内控审计报告的公司数量逐步上升,报告质量逐年提高
二、内部控制缺陷的实质
(一)内控缺陷性质 1.内部控制缺陷是内部控制过程存在的缺点或不足,这种缺点或不足使得内部控制无法为控制目标的实现提供合理保证。 2.内部控制检查正是要找出内控的缺陷,不断提高为内控目标实现提供合理保证的程度。 3.正如COSO对控制缺陷下的定义:“已经察觉的、潜在的或实际的缺点,抑或通过强化措施能够带来目标实现更大可能性的机会。”
(二)内部控制缺陷的认定基础 1.理想化的、没有任何瑕疵的内部控制是不存在的,判断内部控制是否存在缺陷的标准不是仅仅看控制系统是否存在缺点或不足,而是看这种缺点或不足是否阻碍其为控制目标的实现提供合理保证。 2.无论是内控评价还是内控审计,对内控缺陷的认定都应该基于目标导向来进行内部控制缺陷的识别和评估。
3.目标 保证经营管理合法合规 保护资产安全 确保财务报告及相关信息真实完整 有效提高经营效率和效果 满足管理提升要求,促进实现发展战略目标
(三)内部控制缺陷与局限性的关系 1.内控未能实现目标的原因分为两大类:内控缺陷和内控局限性。 2.内部控制局限性 COSO报告指出:“内部控制体系无论设计和运行多么好,都只能对主体目标的实现向管理层和董事会提供合理(而非绝对)的保证。目标实现的可能性受到所有内部控制体系都存在的固有局限的影响。”
COSO列举了内控局限性的典型表现:决策过程中可能出现错误判断、执行过程中可能出现的错误或过失;因勾结串通或管理层越权而失效;制约于控制带来的收益与执行控制成本之间的权衡。 备注: 未能设计或不完善 设计未能执行或不到位 执行一贯有效
3.内部控制缺陷和内部控制局限性这两个概念既有本质区别,但又密切联系、容易混淆。 无论是将内控的局限性误当内控缺陷进行认定和揭露,还是误将缺陷作为局限性来忽略,都将导致控过程偏离控制目标并可能导致内部控制有效性信息的虚假揭露。 为保证内控缺陷识别和评估的科学性,有必要厘清内部控制缺陷和内部控制局限性的共性与区别。
内部控制缺陷和内部控制局限性的共性表现为: (1)两者都以目标为判断的准绳,内部控制缺陷表现在不能为控制目标的实现提供合理保证,而内部控制局限性体现在能够为控制目标的实现提供合理保证但不能为控制目标的实现提供绝对保证; (2)它们都产生于内部控制设计和运行两个环节; (3)尽管内部控制包括预防性控制和发现性控制,但它对蓄意策划的合谋和管理层越权行为而言是无能为力的,这既是内部控制的固有局限性,也是内部控制最严重的运行缺陷; (4)衡量缺陷和局限性的标准不是看是否实际发生偏离目标,而是看是否具有合理可能性。
内部控制缺陷和内部控制局限性的区别在于: (1)内部控制缺陷是内部控制设计者在设计过程中未意识到缺点,以及内部控制执行过程中不按设计意图运行而产生运行结果偏差的可能;内部控制局限性则是设计者在设计过程中事先预留的风险敞口,以及运行过程中按照设计意图运行也无法实现控制目标的可能; (2)由于内部控制存在着局限性,内控只能为控制目标的实现提供合理保证,而不是绝对保证;内部控制缺陷的存在使得内部控制过程无法为控制目标的实现提供合理保证; (3)内部控制存在着因合谋和越权而失效的可能,这表现为内部控制的局限性,但某一控制过程存着合谋或越权的迹象,则表现为内部控制的缺陷。
三、内部控制缺陷认定的一般程序 内部控制缺陷认定一般程序其实是一个过程,这一过程通常包括建立标准、缺陷识别、严重程度评估、最终认定四个环节。 (一)建立内控缺陷认定标准 企业内控缺陷具体认定标准的设定基于风险偏好和风险容忍度。无论是中国的内控规范还是美国的内控框架,都将控制系统运行结果偏离控制目标的程度作为评估缺陷严重程度的标准,即内控偏离控制目标的程度越大显示缺陷越严重。《评价指引》同时指出,重大缺陷、重要缺陷和一般缺陷的具体认定标准由企业自行确定。当然,缺陷认定标准可能因具体目标的变化做出相应的调整。
(二)识别内控缺陷 识别内控缺陷的主要工作是,将敞口风险与对应岗位或层级的风险容忍度相对比。 其中,风险容忍度与内部控制的预期目标相对应,敞口风险则与内部控制的实际效果相关联。 需要核查的敞口风险有两类:因内部控制不健全导致的纯粹敞口风险;因内部控制有效性的欠缺导致的剩余风险。 核查敞口风险也同样涉及组织的各个层级。与风险容忍度分解不同的是,敞口风险的核查应当采取基于风险组合观的“自下而上”的方式。缺陷的具体识别检查方法在下一部分予以介绍。
(三)评估缺陷严重程度。 1.《评价指引》和《审计指引》根据缺陷导致企业偏离控制目标的可能性大小将缺陷分为重大缺陷、重要缺陷和一般缺陷,将“可能导致企业严重偏离控制目标”的缺陷界定为重大缺陷、将“严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标” 的缺陷界定为重要缺陷;将“除重大缺陷、重要缺陷之外的其他缺陷”界定为一般缺陷。
2.美国公众公司会计监督委员会的审计准则第2号将内部控制缺陷分为三个等级,依次为:一般缺陷、重要缺陷、重大缺陷。 一般缺陷是指内部控制的设计或运行不能使管理层和员工在正常的履行自己的职责过程中及时地阻止或发现财务报告的错报。 重要缺陷是一个或多个一般缺陷的组合,其会影响到公司按照公认会计原则对财务数据可靠地予以初始化、授权、记录、处理或报告,以至于公司年报或中报很有可能存在重要的错报而未被阻止或发现。 重大缺陷是一个或多个重要缺陷的组合,其很可能导致中期和年度财务报告存在重大错报而未能被阻止或发现。
重大缺陷是内部控制缺陷中最严重的一类,由于其很可能造成财务报表的重大错报,严重影响财务报表的可靠性,因而是报表使用者最为关注的内部控制缺陷 对内部控制重大缺陷概念的理解是对该缺陷进行认定以及评价内部控制有效性的关键,而认定的核心问题是判断如何构成重大缺陷。
如果某项内控缺陷极有可能导致财务报表错报,且该错报的性质是重大的,则该项内控缺陷就可以认定是重大缺陷。 确定内部控制缺陷是否属于重大缺陷可以沿两维角度来考量,即用坐标轴来表示,如图所示,横轴代表错报的可能性,纵轴代表潜在错报的重要程度,阴影部分代表内部控制存在重大缺陷的情形。 如果某项内控缺陷极有可能导致财务报表错报,且该错报的性质是重大的,则该项内控缺陷就可以认定是重大缺陷。 重要性 重大缺陷 可能性
该审计准则第2号列示出了一些能够表明内部控制存在重大缺陷的迹象,根据这些迹象可以判断内部控制缺陷的严重程度,从而确定企业内部控制是否存在重大缺陷。这些迹象包括: 重述前期已经公布的财务报告以反映对错报的纠正;独立的审计人员发现当期财务报告存在重大错报而该错报未能被公司与财务报告相关的内控所发现;审计委员会对财务报告以及与财务报告相关的内部控制的监督是无效的;规模大或业务复杂的公司其内部审计或风险评估职能无效;处于受严格管制行业的复杂性企业缺乏恰当的遵从管制的职能;发现高管不同程度的舞弊行为;控制环境无效等。
内部控制重大缺陷分类
(4)缺陷的最终认定 不同层级的管理部门和人员拥有的缺陷认定权限不同 内部控制缺陷认定的过程可以归纳为:将目标未实现的、或可能未实现的差异(即敞口风险)在不同层级范围内予以汇总,考察敞口风险是否低于所属层级的可容忍水平。如果超出可容忍水平,则依据既定的缺陷认定标准判断缺陷的严重程度。在缺陷认定的基础上,管理部门还应当采取行之有效的应对措施以修正和弥补控制缺陷,并且按照法规的要求对内控缺陷加以报告。
四、内部控制缺陷识别 想要认定内部控制缺陷,必须考虑检查内部控制的技术手段问题,还需清楚检查手段依赖的基础。 内部控制缺陷中,有些缺陷仅表现为控制过程偏离控制目标的可能但并未造成现时的危害;而还有些缺陷则表现为控制系统已发生偏离控制目标的现实。 对这两种缺陷类型的识别应分别采用以下方法:测试识别和迹象识别。
1.测试识别 测试识别是指采用控制过程技术分析、控制测试、实质性测试等手段识别内部控制的设计缺陷和运行缺陷。 (1)设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当、即使正常运行也难以实现控制目标。如果管理层和员工遵循内控政策和程序进行交易和事项的处理,也不能为内控目标的实现提供合理保证,这类缺陷归为设计缺陷。设计缺陷应该从以下两个角度识别:缺失和设计不当。 缺失指缺少某一方面的内部控制政策或程序,设计不当指虽然针对某一交易或事项制定了内部控制政策和程序,但采用了不正确的控制手段或者由于控制政策或程序未能涵盖影响控制目标实现的所有风险。
(2)运行缺陷指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。运行缺陷需要通过对内控执行过程的穿行测试来发现。例如,某笔资金使用需经总经理签字授权后方可使用,但企业因急需使用资金为由在先使用的情况下再追补总经理审批手续,则可判断资金授权审批控制存在运行缺陷;再比如,测试中发现财会人员对会计准则缺乏准确的理解则有理由认定财务报告内部控制存在运行缺陷,财务报表存在错报的可能。
2.迹象识别 迹象识别指通过所发现的已背离内部控制目标的迹象识别内部控制的设计缺陷和运行缺陷。迹象识别实际上基于内部控制的运行结果对内部控制有效性的判断。严重背离内控目标的迹象发生本身表明现有的内部控制无法为控制目标的实现提供合理保证。 表明内控缺陷的迹象包括(但不限于): (1)管理层的舞弊行为,内控系统未能发现或虽已发现但不能给予有效的制止; (2)因决策过程违规、违法使用资金受到监管部门的处罚或责令整改; (3)审计委员会或者外部审计师发现财务报表存在错报;
(4)企业资产出现贪污、挪用等行为; (5)某个业务领域频繁地发生相似的重大诉讼案件。 以上内控缺陷的迹象尽管能够直接判断缺陷的严重程度,但并不能直接告诉缺陷所处的环节。因此,企业应以迹象为突破口测试内控的设计与运行情况,进行缺陷定位。
五、严重性缺陷评估 有两个问题需要解决: 一是内部控制缺陷认定评估标准是什么的问题 二是内控缺陷按其影响程度不同可分为重大缺陷、重要缺陷和一般缺陷。而内部控制缺陷的三个水平处于连续的状态中,究竟应该在哪里“划线”的问题
1.以偏离目标的可能性和偏离目标的程度作为衡量缺陷严重性的标准 根据迹象识别出的缺陷可直接根据目标偏离度判断其严重程度,对处于潜在风险期的缺陷可以从偏离目标的可能性 评价方法可以是定性分析,也可以是定量分析。
定性分析是直接用文字描述偏离目标的可能性和偏离目标的程度,如“极低”、“低”、“中等”、“高”、“极高”等。 定性指标可以利用技术方法转化成为定量指标,定量分析是用数值衡量偏离目标的可能性(如概率)和偏离目标的程度(如可能的损失额或损失额占净利润的百分比、可能的错报额或错报额占资产的百分比)。
《基本规范》和《配套指引》赋予了企业在内部控制缺陷严重程度判断中的自由裁量权(合法合理地进行自由选择的权力),允许企业在判断缺陷是否重大时考虑自身实际情况和所处特定环境。 这里的具体情况主要指企业的行业特征、风险偏好和可容忍风险度。当可容忍风险以目标的形式分解到各部门、各岗位,成为判断缺陷是否存在以及缺陷严重程度的标准之后,对目标偏离的可能性和偏离的程度就反映了缺陷的严重程度。 表1例举了企业可采取的内控缺陷严重程度评估标准。
表1中诸如1%、3%、5%以及10%这样的偏离值的选择,为我们给出的示例,企业自身具有自由量裁权。 内控缺陷严重程度评估标准参考表
2.充分考虑缺陷组合和替代性控制 (1)关注和分析缺陷组合风险。缺陷与偏离目标可能性之间不仅存在着一一对应关系,还存在着缺陷组合的风险叠加效应。例如,在其他控制环节严密的情况下,由出纳核对银行日记账和银行对账单是一个重要的缺陷,但是,如果同时与银行印鉴管理不严、支票管理漏洞相组合,则构成重大缺陷。 (2)替代性控制(补偿性控制)的作用。替代性控制是其他正式或非正式的控制对某一控制缺陷的遏制或弥补。
六、内部控制缺陷最终认定 前面讲到的缺陷识别和严重性评估很大程度上属于技术层面的问题,但缺陷的最终认定则属于管理层面的问题。 1.企业应该建立内部控制缺陷分级授权最终认定的制度以及纠偏责任落实机制。缺陷认定与负责采取纠偏措施两者间要权责对应。不同严重程度的缺陷由于风险、控制层次、纠偏难度(纠偏所涉及的部门或动用的资源)存在着差别,需要由企业的不同层级来认定和承担纠偏责任。对于认定的属于运行环节的缺陷,应通过加强监督、提高执行力度的方法解决;属于设计环节的缺陷,应在采取纠正措施的同时,着手修订内控设计。缺陷严重程度、认定机构及纠偏措施间对应关系如下表(表2)如示:
表2内控缺陷严重程度、认定机构及纠偏措施间的对应关系
2.内部控制缺陷的应对指缺陷发现的后续处理,它是内部控制体系优化工作的重要组成部分。 事后对缺陷的总结、追溯缺陷致因是对管理体系各个控制环节的反馈,并对后期的调整修订、总体控制能力的提升起到决定性作用。 无论怎样看待缺陷整改行为的归属,当认定的缺陷已经足够严重时,就应当采取相应的整改措施。内部控制缺陷的弥补措施和修正措施是有差别的。 弥补措施是指利用B措施对A措施不力的影响进行消除,A措施和B措施间具有互补性。修正措施是指,A措施存在问题,则采取A’措施来替代A措施,A与A’之间是替代关系。
3.整改责任管理 内控评价部门主要通过内控缺陷的现场测试和缺陷汇总分析,对一般缺陷加以认定并负责相应的纠偏行动。 经理层负责组织领导企业内部控制的日常运行,在缺陷认定方面体现为缺陷认定工作的组织、对一般缺陷和非一般缺陷(包括重要缺陷和重大缺陷)的甄别,以及重要缺陷的纠偏。 由于董事会负责内部控制的建立健全和有效实施,需要对内部控制的有效性进行全面评价、形成评价结论、出具评价报告。因此,董事会主要关注的是:内部控制缺陷是否构成了受托于股东的经济责任履行的重大障碍,即重大缺陷应当由董事会予以最终认定。
谢谢