怎樣寫內(nèi)控自我評價?
一般情況下,根據(jù)自我評價報告內(nèi)容和內(nèi)控體系實際建設情況,外部審計機構對于企業(yè)的內(nèi)部控制體系會出具三種意見的某一種:
達到內(nèi)控要求:同意評價報告意見;
有重大缺陷:否定意見;
有范圍限制:撤消業(yè)務約定,或無法表示意見。
上述意見并非僅憑借企業(yè)出具的自我評價報告,還需要依據(jù):
內(nèi)部控制文檔(內(nèi)控管理手冊+管理制度匯編目錄);
內(nèi)控控制程序相關審計結果(如果有);
內(nèi)控控制程序測試結果;
實質(zhì)性業(yè)務活動過程文件;
企業(yè)內(nèi)部評估自查結果(如果有)。
問詢會是一種方式,但不作為審計底稿的依據(jù)。因此,一份內(nèi)控自我評價報告的意義確實沒有多大,雖然是自我評估的表達,但能否讓外部審計機構接受,他們信還是不信需要有其他依據(jù)的。如果實際的內(nèi)控體系只是一套文件,外部審計機構很難出具第一種意見,如果真出具了,對于廣大的中小投資者也是很不負責任的行為。
如果一個企業(yè)在內(nèi)部控制體系建設過程中確實建立了標準和規(guī)范并予以實施,那在撰寫內(nèi)控自我評價報告的時候可以有所側(cè)重。常規(guī)意義上,一份標準的內(nèi)控自我評價報告包括(不同企業(yè)根據(jù)實際情況有所刪減或強調(diào)):
內(nèi)控整體情況綜述(包括對整體內(nèi)控情況評述、組織機構、制度建設和內(nèi)控職能部門建立和運行情況的描述);
內(nèi)部控制有效性評估(包括經(jīng)營環(huán)境控制情況評述,重點內(nèi)部控制活動和重點業(yè)務活動內(nèi)部控制情況描述,問題及整改計劃以及綜合評價)
內(nèi)容不復雜,主要是針對報告期間(一般是1.1-12.31)內(nèi)部控制建設情況及內(nèi)部控制體系應用的有效性進行自我評估。做的好企業(yè),在撰寫自我評價報告前,會考慮通過內(nèi)部審計部門或由內(nèi)控職能部門主導完成企業(yè)內(nèi)部控制的自我評估檢查。同時,對于集團型企業(yè)來說還是檢查和評價各分支機構內(nèi)控執(zhí)行情況,并進行評價和績效考核的方法。整體情況評價是看企業(yè)在報告期間內(nèi)有否出現(xiàn)重大風險,是否進行了重大調(diào)整,對于調(diào)整部分內(nèi)部控制是如何做的。對于業(yè)務活動部分,除了結合企業(yè)內(nèi)部控制應用規(guī)范中要求逐一檢查的內(nèi)容外,主要是針對企業(yè)內(nèi)控管理手冊中各個控制點的控制情況進行了解并挑出確實卓有成效的部分進行詳細描述。無論怎樣,內(nèi)控的意義是防止出現(xiàn)重大管理問題,督促企業(yè)進行規(guī)范運作,如果報告期間內(nèi)企業(yè)已經(jīng)出現(xiàn)了重大問題,內(nèi)控評價報告怎樣寫都無法得到外審出具的第一種意見。
正如,重視風險管理和內(nèi)部控制的企業(yè)會將內(nèi)部控制作為規(guī)范企業(yè)運作和防范風險的手段,不重視的企業(yè),會將內(nèi)控做成只有一紙文書的應付差事。即使企業(yè)什么都沒做,寫出內(nèi)控自我評價報告也是完全可能的,畢竟沒有企業(yè)是沒有任何規(guī)章制度規(guī)范,在完全失控的狀態(tài)去管理的。
公司內(nèi)部控制自我評價
在以企業(yè)為紐帶的博弈各方中,內(nèi)部控制自我評價和審計師對內(nèi)控的鑒證能夠釋放企業(yè)內(nèi)部控制有效性的信息,使得投資者得以對管理層內(nèi)部控制行動和自身的投資風險做出判斷。2006年滬深兩個交易所分別頒布了針對上市公司的《上海證券交易所上市公司內(nèi)部控制指引》和《深圳證券交易所上市公司內(nèi)部控制指引》,本文主要對滬市862家通過指定報紙和網(wǎng)站披露了2007年年度報告的上市公司其內(nèi)部控制自我評價情況進行統(tǒng)計,分析內(nèi)部控制自我評價產(chǎn)生的效果和存在的問題,并提出針對性建議。本文分為四個部分:第一部分闡述評價依據(jù),第二、三部分通過對披露內(nèi)控自我評價的公司和未披露內(nèi)控自我評價的公司從四個維度進行數(shù)據(jù)分析,分析內(nèi)控自我評價的效果及存在的問題,最后一部分提出相應建議。
一、評價依據(jù)
內(nèi)部控制自我評價是由企業(yè)董事會和管理層實施的,對企業(yè)內(nèi)部控制有效性進行評價,形成評價結論,出具評價報告的過程。內(nèi)部控制有效性是指企業(yè)建立與實施內(nèi)部控制能夠為控制目標的實現(xiàn)提供合理的保證程度。盡管2007年年報披露內(nèi)部控制自我評價報告和審計師審計報告時統(tǒng)一的內(nèi)部控制基本規(guī)范尚未出臺,但無論是財政部2001年頒布的《內(nèi)部會計控制基本規(guī)范》,還是上海證券交易所的《上市公司內(nèi)部控制指引》,遵循法律法規(guī)和企業(yè)內(nèi)部公司章程及董事會議事規(guī)則等內(nèi)部制度、合法授權使用和處置資產(chǎn)、財務報告及相關信息真實可靠都是內(nèi)部控制要求達到的基本目標。因此,披露內(nèi)部控制自我評價報告的公司,大都將財政部的《內(nèi)部會計控制基本規(guī)范》,或是上海證券交易所的《上市公司內(nèi)部控制指引》作為評價的依據(jù)。
二、數(shù)據(jù)分析
對包括投資者在內(nèi)的企業(yè)外界各利益相關者而言,披露內(nèi)部控制自我評價的信息是了解企業(yè)公司治理與管理規(guī)范化程度、企業(yè)抗風險能力,增強投資者信心的措施;對企業(yè)管理層而言,內(nèi)部控制自我評價過程,能夠使企業(yè)通過檢測和反省內(nèi)部控制設計與運行來持續(xù)提高內(nèi)控系統(tǒng)與控制環(huán)境的藕合度,不斷消除內(nèi)部控制缺陷,增強企業(yè)抗風險的能力、消除不利于內(nèi)控目標實現(xiàn)的不確定性因素。
按照《內(nèi)部會計控制基本規(guī)范》和《上市公司內(nèi)部控制指引》,一個內(nèi)部控制系統(tǒng)有效運行的企業(yè),至少要做到企業(yè)經(jīng)營中嚴格執(zhí)行國家的法律法規(guī)和公司章程等內(nèi)部規(guī)章、按合理的授權使用和處置資產(chǎn)、嚴格按會計準則和上市公司信息披露要求對外提供真實可靠的財務報表。已披露內(nèi)部控制自我評價的企業(yè)在內(nèi)控自我評價過程中應該能夠基于上述三個目標識別和認定內(nèi)部控制的設計風險、運行風險以及設計或運行無效而導致錯誤或舞弊的風險,從而為上述三個目標的實現(xiàn)提供合理保證。盡管完善的內(nèi)部控制系統(tǒng)能同時為實現(xiàn)包括戰(zhàn)略實施、管理效率與效果在內(nèi)的五個目標提供合理保證,但證券監(jiān)管機構和交易所的監(jiān)管、注冊會計師的財務報表審計基本上是基于上述三個目標進行的。有效的內(nèi)控系統(tǒng)應該能夠規(guī)避不利于上述目標實現(xiàn)的因素。因此,我們將上市公司未受到證監(jiān)會的處罰和交易所的譴責、對外發(fā)布的財務報表未出現(xiàn)會計差錯、財務報告審計意見為標準無保留意見作為衡量內(nèi)部控制質(zhì)量的指標。
三、存在的問題
根據(jù)我們對滬市862家上市公司2007年年報中內(nèi)部控制信息披露狀況的統(tǒng)計分析,可以發(fā)現(xiàn),自愿披露內(nèi)部控制自我評估報告的公司雖然比2006年有所提高,但占比仍然比較低,上市公司主動披露內(nèi)部控制自我評價的意愿不強。但將披露自我評估報告與未披露自我評估報告的公司進行對比,我們發(fā)現(xiàn),兩類公司在財務報告的可靠性、資金管理與資產(chǎn)使用的合規(guī)性、經(jīng)營合法性方面均有顯著不同。我們的統(tǒng)計數(shù)據(jù)表明,就以上三個內(nèi)部控制目標而言,披露自我評估報告的公司其內(nèi)部控制有效性更強。