内部控制目标
在内部控制的目标定位上,《指引》第二条规定,上市公司内部控制制度的目标依次为控制公司风险、提高公司经营的效果与效率、增强公司信息披露的可靠性、确保公司行为合法合规,最终实现公司战略目标。上述目标的定位,吸取了COSO组织内部控制整体架构和企业风险管理两个文献的理论精华,体现出风险导向和绩效导向两大特点。风险导向内部控制是针对影响组织目标实现的风险做出迅速反应的方法,内部审计师与管理部门一起识别和评价经营风险,在收集资料、认识并评价风险的过程中,对组织经营面临的风险与改良时机产生深刻见解。风险和控制在实质上是“同一个硬币的两面(two sides of same coin)”的效应,正因为要减轻和规避风险,人们才设计内部控制系统。内部审计师在对内部控制进行分析和评价时,更为关注组织目标、战略和风险管理程序,更为强调内部控制在风险规避、风险转移和风险控制中发挥的作用。传统内部控制以交易事项和财务处理为重点,体现了内部控制查错防弊的目标。绩效导向内部控制,突出了内部控制从消极防弊发展到积极兴利,从强调防护性发展到强调效率性和效果性。风险导向和绩效导向的内部控制最终都服务于实现公司战略目标。
从我国相关的规定看,内部控制的目标定位主要还是局限于会计资料的真实、合法与资产的安全和完整以及查错防弊等方面。这种目标定位更多地考虑了我国经济发展和企业经营管理的实际情况,上市公司作为我国企业中的特殊群体,对内部控制具有更高的要求,内部控制不仅用以防弊,还要兴利和增值,《指引》在这方面前进了一大步。
内部控制主体
内部控制的主体,学术界和实务界已基本达成一致。例如,COSO组织在内部控制整体架构的定义中明确了内部控制的主体,认为内部控制“受企业董事会、管理当局和其他员工影响”。正是“人”的因素使内部控制发挥作用,良好的内部控制将责任赋予管理当局,他们负责设立内部控制目标,使控制机制和作业发挥作用,并对内部控制进行监督和评价,COSO组织同时也强调组织内所有人在内部控制中均发挥着重要作用。
针对上市公司内部控制的主体,《指引》第三条规定,“董事会应确保内部控制制度健全有效,董事会及其全体成员应保证内部控制制度相关信息披露内容的真实、准确、完整”。与内部控制整体架构和特恩布尔报告相比,《指引》仅把董事会作为内部控制主体,而忽略了另外两个同等重要的控制主体,这是《指引》的一大缺陷。以银鸽投资(600069)为例,其郑州分公司原负责人未经公司股东大会和董事会授权,连续三年对外提供委托理财资金分别共计2.74亿元、2.00亿元和2.70亿元,还以银鸽投资账内银行存款作保证,向银行借入资金后流入郑州分公司“账外账”进行股票炒作,该公司高管上述行为均给公司带来巨额损失。应该看到,在一个健全、有效的内部控制系统中,仅董事会发挥作用是远远不够的,若管理当局对董事会制定的风险管理和控制政策视而不见,一线员工拒不执行相关控制作业,甚至恶意践踏,无论设计多么完美的内部控制都将形同虚设,无法真正发挥作用。
内部审计职能
《指引》强制性要求上市公司应设立内部审计机构,配备专门的内部审计人员,负责内部控制稽核工作。长期以来,内部审计在许多上市公司内未得到应有的重视,各公司在机构设置和责任安排上也不尽相同。《指引》对内部审计机构设置和制度安排做出了统一规定,要求“内部审计部门对董事会负责,直接向董事会报告,内部审计部门负责人也应由董事会任免”,董事会下属审计委员会或风险管理委员应为内部审计工作提供“指导”。这些举措有利于提高内部审计部门在公司中的地位,提升内部审计人员和内部审计工作的独立性,扩大内部审计在公司中的影响力。
《指引》明确了内部审计的职能和工作重点,要求内部审计应将收购和出售资产、关联交易、从事衍生品交易、提供财务资助、为他人提供担保等重大事项作为内部审计工作的“必备事项”,进行重点审计。实践证明,这些领域正是蕴藏巨大风险,内部控制最容易失效的关键领域,涉足这些领域也为上市公司内部审计发展提供了一个崭新的平台,使之不再局限于传统的财务审计,而是介入到发展前景更为广阔的业务审计和综合审计领域。《指引》还规定,应把检查中发现的内部控制制度缺陷及实施中存在的问题,据实在稽核工作报告中反映,并应在向董事会报告后进行追踪,以确定相关部门是否及时采取适当的改善措施,这些要求内部审计人员不仅要发现问题,还要协助解决问题。
在报告机制上,《指引》做出了双重报告的制度安排,即内部审计同时向董事会和专门委员会提交报告。作为董事会的“眼睛和耳朵”,《指引》规定内部审计部门应至少每季度向董事会提交一次稽核工作报告,针对发现的重大缺陷和重大风险,应及时向董事会报告。此外,内部审计还应向董事会下属审计委员会或风险管理委员会提交内部控制制度检查核对表,审计委员会或风险管理委员亦应评价公司内部控制制度执行的情况,发表专项意见,并向董事会报告。这种双重报告制度安排,使董事会可以“兼听”,获取更多、更为全面的信息。
内部控制信息披露
现行的有关规定中,只要求上市公司提出融资申请时披露内部控制信息,对于形式和内容尚无统一要求。这直接导致内部控制信息“供给”出现混乱,也增加了信息使用者获取和分析信息的成本。
实践中,上市公司内部控制信息的披露形式五花八门,具体内容也不尽相同。例如大连金牛(000961)从控制环境、会计系统和控制程序三个层面对公司内部控制制度进行自我评价;辽源得亨(600699)则认为公司内部控制制度主要包括控制环境、会计系统和业务循环三方面,具体内容包括对组织结构、会计系统、担保、资金收付、销售采购、投资融资、固定资产管理、费用报销、员工服务等经济业务活动的控制。
《指引》明确规定了内部控制信息披露的内容和形式,这将有利于解决由于缺乏统一要求引发的信息披露混乱。《指引》规定上市公司应当在年报的“管理层讨论与分析”部分,具体内容包括:内部控制制度执行情况,包括内部控制的运行情况、稽核工作、风险处置、制度改进等内容,特别是内部控制制度检查核对表中存在异常的事项,应进行重点讨论和分析。
此外,在内部控制要素和内容方面,《指引》借鉴的是COSO组织企业风险管理的研究成果,认为内部控制由内部环境、目标设定、因素辨认、风险评估、风险反应、控制活动、信息沟通和监督等八要素组成。《指引》还专门针对销货及收款循环、采购及付款循环、生产循环、 固定资产循环、货币资金循环、关联交易循环、融资循环、投资循环、研发循环、人事管理循环以及附属子公司,衍生品交易两个特殊领域的内部控制做出了规定。
但同时,《指引》还存在两个明显的缺陷:一是未明确内部控制的性质。COSO组织认为内部控制是一个“过程”,是根植于经营过程的一个持续元素,内部控制不是一个事件,而是一系列的行动和作业,这些行动和作业发生在组织的持续经营过程之中,与企业经营管理过程相结合,而不是凌驾于企业的基本活动之上。内部控制应被视为企业运作系统的整体组成部分,而不是组织内部独立的系统,从这个意义上说,内部控制是组织基础设施的一部分,协助管理当局经营其组织,并在持续的基础上实现其目标。二是未明确内部控制的局限性。内部控制只提供合理保证,而非绝对保证。管理当局在成本效益的基础上设计和执行内部控制,无论内部控制设计和执行的情况有多好,都无法绝对保证可以实现组织的所有目标。控制之外的因素或对管理当局的影响都可以影响组织实现其目标的能力,例如人为错误、判断失误以及合谋行为均可影响机构的目标。(作者单位:福建省经济管理干部学院 厦门大学管理学院会计系)
