学文网内部控制信息篇1
关键词:内部控制;信息披露;制度环境
中***分类号:C93
文献标识码:A
文章编号:1672-3198(2010)19-0047-02
1 内部控制信息披露的含义
内部控制信息披露是企业管理当局自愿或按照既定的披露要求将企业内部控制完整性、合理性和有效性评价的信息以公开报告的形式提供给利益相关者,供市场理性判断投资价值,以满足利益相关者合法权益的一种行为。李明辉等(2003)认为,从会计管制的角度看,上市公司内部控制信息披露的内容可分为强制性披露和自愿性披露。强制性披露是按照公认会计原则和其他法律、法规的要求,必须在财务报告中披露的内容。自愿性披露是企业自愿披露在公认会计原则和其他法律、法规所作的最低要求之外的内容。对于投资者而言,强制披露的信息与自愿披露的信息是相互补充的信息来源,内部控制信息的自愿性披露和强制性披露都是必须的,二者缺一不可。
2 内部控制信息披露的意义研究
内部控制信息披露可以提高企业管理当局内部控制的意识,促进管理当局完善内部控制,同时可以为外部信息使用者提供附加信息。具体意义如下:
2.1 内部控制信息披露是披露履行受托责任的一种信号传递
在现代企业制度下,所有权和经营权分离,管理当局承担了合理、有效管理与运营委托方所交付的资源的责任,必须保证企业资产的安全、完整,实现资产的保值增值,并以实现企业价值最大化为目标。委托方可以根据管理者的经营业绩做出继续原有契约,还是终止契约的决策。因此,管理当局有职责建立完善并有效执行的内部控制制度,通过内部控制信息披露,可以表明企业的内部控制是否有效。而对企业内部控制制度进行评估并披露评估结果,可以向证券市场投资者传递管理当局履行了受托责任这一信号。
2.2 内部控制信息披露可以提高企业财务报告的可靠性
良好的内部控制制度能够及时地发现舞弊,从而有效降低财务报告舞弊的负面影响。Hermanson(2000)以问卷调查的方式,考察了美国银行家、机构投资者、个人投资者、证券经纪人、公司董事、公司主管、分析师、注册会计师和内部审计师9类财务报表使用者对内部控制信息的需求,其调查结论为:(1)强烈肯定内部控制对企业管理和减少错弊的作用;(2)认为提供内部控制信息可以促使管理层改进内部控制、加强监督,审计师的验证则可进一步强化这一作用。
2.3 内部控制信息披露可以向外部使用者提供增量信息
内部控制报告,提供了额外的与决策有用的信息。通过内部控制报告,用户可以一定程度上了解企业管理控制是否有效。如果企业有着良好的控制制度,则企业的经营有序而有效,能够防范经营活动中的风险。反之,如果企业的内部控制混乱,则风险较大,用户在做出投资决策时就必须谨慎,因此,信息的外部使用者在进行决策时,除了根据反映公司财务状况、盈利状况等数量指标外,还较为关注内部控制的有效性和健全性。
2.4 披露上市公司内部控制评价报告可以降低成本
由于管理者行为导致的企业价值下降部分会以分红和其他报酬降低的形式强加给管理者,也就是成本最终将由管理者承担。为自身利益考虑,管理当局就有使监督成本保持最低的动机。因此,管理当局处于自身利益的考虑,需要设置内部控制制度,让委托人充分了解经理人员的努力程度,以降低委托人对管理报酬做出逆向调整的风险。因此,管理当局会定期对本企业的内部控制的设计和执行的有效性进行评估,并将结果提供给外部信息使用者。
3 国内外关于内部控制信息披露的研究成果
内部控制信息披露可以提高企业管理当局内部控制的意识,促进管理当局完善内部控制,同时可以为外部信息使用者提供附加信息。因此国内外对此进行了详尽的分析和研究。
3.1 国外研究成果
Fama等(1983)发现了***董事对公司自愿性信息披露的促进作用。Krishnan (2005)将SOX法案实施以前更换外部审计并披露了内部控制问题的公司样本与对***本进行比较,发现审计委员会***性强、具有财务会计专业人士的公司存在内部控制问题的可能性非常小。Ashbaugh-Skaife,Collins & Kinney(2007)研究了SOX强制审计之前的内部控制缺陷披露,发现披露内部控制缺陷的公司经营的业务更加复杂、近期有组织变革、会计风险更高、审计师辞聘现象更多,可用于内部控制的资源更少。
3.2 国内研究成果
李明辉、何海和马夕奎(2003)对我国2001年1147家A股上市公司内部控制信息披露状况进行了研究,发现除了4家商业银行和证券公司因中国证监会的特殊披露要求披露得较为详尽外,其它880家披露内部控制信息的上市公司中,大多数披露流于形式,且上市公司自愿性披露动机不强。王文华等(2006)认为,应该通过法律法规规定上市公司必须实行强制性内部控制信息披露,作为上市公司定期报告的重要组成部分,随同公司年度报告一起披露。吴曙霞(2007)研究发现,我国上市公司尚缺乏自愿披露内部控制状况以向外部投资者传递企业质量信号的动力。方红星、孙、金韵韵(2009)研究发现:我国上市公司自愿披露内部控制信息的总体水平较差,但在2003-2005年间有逐年增加的趋势;上市公司是否自愿披露内部控制信息与是否在海外交叉上市、是否聘请“四大”进行外部审计、资产总规模、资产净利率、***董事人数占董事总人数的百分比显著正相关,与外部审计意见类型显著负相关,与监事会规模、是否设立审计委员会以及样本年度正相关。
综合以上文献可以看出:国外对于内部控制信息披露的研究已经由自愿性披露演化为强制性披露,重点关注信息披露与上市公司经营状况和财务报告质量的关系。国内对公司内部控制信息披露的研究起步较晚,现阶段研究主要集中于对内部控制信息披露状况的研究,分析其存在问题,并提出相关改进措施。
4 完善中国上市公司内部控制信息披露的制度性建议
根据内部控制信息披露的国际比较,本文认为应该从完善上市公司内部控制信息披露环境和加强内部控制信息披露制度建设两大方面入手,进行内部控制信息披露规范化管理。因此本文建议:
4.1 完善内部控制信息披露的制度环境
4.1.1 树立投资者法律保护观
在内部控制信息披露中,不仅考虑大股东利益,而且应特别考虑中小投资者利益,树立保护中小投资者理念。首先,将中国上市公司内部控制信息披露相关规定,上升到法律层次,可以增补到《公司法》、《证券法》和《会计法》的有关章节中,也可以借鉴美国模式,单***法。其次,启动证券市场的民事赔偿机制,借鉴美国《SOX法案》经验,结合我国证券市场特点,加大违规披露内部控制信息处罚力度,以增加信息披露违规成本。第三,将目前分别由上交所和深交所分别颁布并实施的《内部控制指引》,整合后由中国证监会统一制定并监督实施。
4.1.2 发挥声誉机制对法律机制的补充与替代功能
声誉机制是一种成本更低的维持交易秩序的机制,对法律机制具有一定的替代性。目前声誉机制对上市公司内部控制信息披露的具有一定的约束力,特别是,在许多情况下,法律是无能为力的,只有声誉能起作用。资本市场是一个信息不对称的市场,声誉机制是维持证券交易和公司治理结构的一种不可或缺的机制。因此应该给上市公司一定的发挥空间,即内部控制信息应该以“强制性披露为主、自愿性披露为辅”的***府监管新思维。
4.1.3 强化市场机制的激励和约束作用
市场机制包括资本市场、控制权市场、经理市场、产品和要素市场和债权市场。在竞争性的产品市场上,公司为了获得相对于其竞争对手的比较优势,有充分动力通过信息披露向投资者传递公司未来前景看好的“信号”,以改善公司形象,突出公司的竞争优势来提升公司核心竞争力。因此,产品市场竞争力对公司是否披露内部控制信息的概率有正向影响。
4.2 完善内部控制信息披露制度
4.2.1 规范内部控制信息披露形式和格式
从内部控制报告的披露位置来看,上市公司或者在年报“公司治理结构”一节中予以披露;或者单独形成文件披露;或者以“内部控制制度建设和执行情况”的形式在公司治理结构章节中披露,冠以“内部控制自我评价报告”的标题;或者在监事会报告中披露。
4.2.2 规范内部控制信息披露内容
借鉴美国SEC规定,建议中国证监会统一内部控制信息披露内容,具体包括:(1)内部控制评价的目的和责任主体。明确内部控制的建立与实施的责任,可促使管理当局对内部控制的关注和重视;(2)内部控制评价的内容和所依据的标准。公司管理当局应该说明内部控制上市公司内部控制信息披露的内容和标准;(3)内部控制存在固有缺陷的声明。管理当局应该说明内部控制的存在固有缺陷;衡量重大缺陷严重偏离的定义,以及确定严重偏离的方法及相关责任人。(4)改进措施。披露所有在评估过程中发现的控制缺陷,以及针对这些缺陷的补救措施及补救措施的实施计划等。
4.2.3 规范内部控制信息披露责任主体
应将内部控制的责任落到实际掌握公司权力的人身上,即董事会或管理当局。董事会负责披露,监事会负责监督,会计师事务所等中介机构负责评估审核,董事长做为第一责任人,进一步强化上市公司董事会、监事会、高管人员以及董事会下设各个委员会、***董事等对公司内部控制方面相关信息披露的准确性、完整性、及时性、公平性等方面的责任,对虚假记载、重大遗漏以及误导性陈述等行为形成有效的法律约束机制。
4.2.4 规范内部控制信息披露审议程序和评价核实机构
研究发现,内部控制信息披露的审议程序和评价核实主体比较混乱。部分公司的内部控制报告仅由董事会审议后就予以披露,而未按沪深两市交易所《编制年报通知》的要求由监事会、***董事对内部控制报告发表意见;个别公司的内部控制报告甚至由审计委员会提出,董事会对其持何种意见也未见披露。建议上市公司董事会下设的专业委员会―审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,提交董事会、监事会表决,***董事发表意见,并协调内部控制审计及披露等相关事宜。
4.2.5 规范内部控制的评价标准,建立统一的评价方法体系
目前中国上市公司内部控制信息披露效率低下的一个很重要的原因,就是缺乏科学、有效的评价标准和方法体系。事实上企业实施内部控制评价,主要包括对内部控制设计有效性和运行有效性的评价。具体包括:第一,是否评估了企业内部所面临风险;第二,内部控制设计的方法是否适当;第三,内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理:第四,内部控制设计和运行的组织是否有效;第五,人员配备、职责分工和授权是否合理;第六,是否有内部控制自查计划并有效实施自查;第七,是否建立纠错与整改的机制;第八,评价期内是否出现过重大风险事故等。
参考文献
[1]Fama,E.and K.French.Industry Cost of Equity[J].Journal of Financial Economics,1997,(43).
内部控制信息篇2
关键词 :内部控制规范体系 强制性披露 内部控制评价报告
一、法规背景
内部控制信息披露是信息披露内容中的一个非常重要的组成部分。2008年之前,我国上市公司以行业、交易所颁布的指引为参照披露内部控制信息,内控信息披露处于各自为***的状态。2008年与2010年,以***等五部委联合颁布《企业内部控制基本规范》与《企业内部控制配套指引》为标志,具有统一性、公认性和权威性的中国企业内部控制规范体系正式形成(王***,2010)①。自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。同时,鼓励非上市大中型企业提前执行。执行企业内部控制规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。***府监管部门将对相关企业执行内部控制规范体系的情况进行监督检查。②这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措,也是我国应对国际金融危机的重要制度安排。
基于此,本文以深、沪交易所的A股上市公司为样本,对2013年内部控制体系与实施情况进行统计分析,并使用深、沪交易所A股上市公司2013年及2012年数据对内部控制规范体系情况进行对比。本文的贡献在于:第一,本文的研究对内部控制评价报告情况做出综合分析,希望为今后内部控制规范体系实施提供参考;第二,本文对我国企业内部控制规范体系实施情况以及存在问题提出相关建议,进一步提升我国企业内部控制水平。
二、样本与数据来源
根据***、证监会《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》③(财办会〔2012〕30号)要求:境内外同时上市公司、中央和地方国有控股主板上市公司,以及非国有控股主板上市公司,且于2011年12月31日公司总市值(证监会算法)在50亿元以上,同时2009年至2011年平均净利润在3000万元以上的,应在披露2013年公司年报的同时,披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。截止至2013年,沪、深交易所共有A股上市公司2468家,2014年1月至2014年4月30日上市的公司共48家,因此,本文以截止至2014年4月30日深、沪交易所2512家A股上市公司为样本,对上市公司内部控制体系与实施情况进行统计分析,并与2012年作对比对内部控制规范体系情况予以综合评价。本文所需的内部控制自我评价报告、财务重述数据来自深交所、上交所公开披露的相关内容和DIB数据库以及***和证监会在推动内部控制规范体系实施和日常监管工作中掌握的有关情况,并经过手工整理。披露报告以能否在深交所、上交所查找到为准。
三、内部控制评价报告披露整体情况
(一)、内部控制报告披露数量
2012年披露内控自我评价报告的公司有2223家,占比90.04%,246家未进行披露。截止至2014年4月30日,沪、深交易所共有2336家上市公司披露了内控评价报告,占所有样本公司总数的92.99%,176家未披露内控评价报告,占比7.01%。内控自评报告披露数量及比例均比2012年有所提高。而在2011年,上市公司内控制自评报告披露占比78.80%,在2011-2013年中,两市上市公司内部控制自我评价报告披露比例呈递增趋势。
(二)、内部控制报告内容披露数量情况
《企业内部控制评价指引》要求,上市公司在年度内部控制评价报告中应分别对内部控制有效性评价结论进行披露。而内控评价报告有效性大致可划分五类:整体有效、仅财务内控报告有效、仅非财务内控报告有效、整体无效、未出具结论。表1显示:2012年披露内部控制报告的公司中,有2219家结论为内部控制有效,占比99.82%,4家内部控制评价结论为无效,占比0.18%,2013年,在2336家披露了内控自评报告的上市公司中,2311家公司的结论为整体有效,98.93%,25家公司评价结论为其他,占比1.07%。从整体看,我国上市公司近几年内控质量和披露情况都很不错,披露内控自评报告的公司数量也在递增,和2012年相比,2013年内控自评整体有效比例下降,我国过于肯定自身内控体系的有效性的公司减少了,体现出上市公司对待内控有效性的态度比以前更客观、慎重。而不是盲目的自我感觉良好。但对存在的内部控制缺陷披露较少,说明上市公司信息披露还是缺乏深入的分析。
四、内部控制评价缺陷的披露情况
(一)、内部控制评价缺陷认定标准的披露情况
内部控制信息篇3
关键词:企业;内部控制制度;会计信息质量
中***分类号:F27文献标识码:A
随着我国经济的迅速发展,企业会计信息失真的现象不断出现,会计信息质量堪忧已是不争的事实。这种现象产生的原因是多方面的,而内部控制制度(以下简称“内控制度”)不完善是主要原因之一,因而需要健全内
控制度,以减少会计信息失真问题。
一、企业内控制度的含义和现状
内控制度是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的***策总称。由于我国由计划经济向市场经济转变过程的特殊性,过去人们对内控制度的认识比较片面,加上观念体制的限制,多数企业中仍存在以下问题:
(一)从企业会计文化讲,对内控制度在认识上存有偏差。进行有效控制的一个前提条件就是要制定内部控制的程序和标准,有成文的内控制度让企业员工了解相关的控制。但是,由于很多企业都没有建立健全的内控制度,或者虽然有一些企业建立了内控制度与措施,但由于制度不配套、不完善和不够合理、残缺不全,使内部控制不能够完全有效地实行,往往导致内控制度只是流于形式,会计信息不完整或不能反映真实情况。
(二)内控制度缺乏科学性和连贯性,难以发挥应有的功效。内控制度是一个单位的各级管理层为了保护其经济资源的安全、完整,确保经济和会计信息的正确可靠,协调经济行为、控制经济活动,利用单位内部分工而产生的相互制约、相互联系的内部监督体系。但是,我国很多企业的内控制度组织不健全,仅仅把加强内控制度等同于执行业务规章制度,而且把内控制度的整体割裂开来,偏重于以补救为主的事后控制,忽略了事前控制和事中控制,使整个制度不得以连贯,内控功能也随之不能发挥。
(三)内控制度的执行和监督、检查不力,考核、奖惩力度不够。目前,我国公司制的法人治理结构“行备而实不至”,董事会成员和经理成员高度重叠,公司董事会在很大程度上掌握在内部人手中,作为所有者代表的董事会,既不能充当所有者的“守护神”,又不能代表所有者对经营者进行监督。这种责权不分的公司治理结构,使健全和完善内控制度的收益主体不明确,而且内控制度的执行、检查流于形式,稽核的范围有限,以偏概全、以点代面,缺乏完善性和全面性,也缺乏委托方(注册会计师)对加强内控制度的监督。另外,此治理结构下的内控制度如空中楼阁,形同虚设,执行起来也缺乏一个奖惩制度。
(四)会计监督不力,内部审计作用未能有效发挥。单位内部会计管理制度是一项行之有效的内部监督管理制度,也是单位内部控制的重要组成部分。但是,很多单位的会计机构设置不合理,尤其是会计岗位的设置存有严重的问题,导致管理混乱,甚至串通舞弊;会计人员素质较低,账务处理不规范;缺乏必要的内部牵制制度,一个人说了算;很少进行财产清查工作,账实不符等。
一些企业领导对内部审计重视不够,或存在观念上的误解,导致内部审计工作难以开展;内部审计机构普遍人员缺乏,甚至有些企业不设立内部审计机构或实际上与财务部门重合;一些企业虽设置了内部审计机构,配备了人员,但因内部审计制度不健全、业务不规范、人员素质低,作用未能充分发挥,致使内部审计部门形同虚设。
二、会计信息质量的含义和现状
会计信息质量是指社会公认的会计主体提供的信息能满足会计报表使用者共同需要应具备的性质。
按照新修订的《企业会计准则》,对会计信息质量提出了八点要求:第一,真实、可靠与内容的完整,这是最基本的要求;第二,相关性,会计提供的信息应当有助于信息使用者对企业的情况做出评价和预测;第三,清晰性,即可理解性,能为不同层次的会计信息使用者理解与运用;第四,可比性,企业所提供的会计信息必须是不同企业能横向可比、同一企业不同时间纵向可比;第五,实质重于形式;第六,重要性,就是对于重要的经济业务应当分别核算;第七,谨慎性,不高估资产、收入,不低估负债和费用;第八,及时性,会计核算、报告应当及时进行,不得拖延。只有满足了以上条件的会计信息才是高质量的,才能为信息使用者带来正面的作用。
但是,近几年我国企业会计信息质量不断下滑,会计信息质量失真的状况越来越严重。比如,不断有机构对上市公司的信息披露质量进行问卷调查,大多数的调查结果都表明投资者对上市公司披露的财务数据信心不足,在当前投资者心目中,财务数据失真已到了非常严重的地步。会计信息的失真已经影响了投资者对会计信息的信任,对我国证券市场的发展产生了不利影响,同时也与完善市场经济体制、建立现代企业制度的发展目标不适应。
三、内控制度与会计信息质量的关系
(一)会计信息对内部控制的作用
1、会计信息是内部控制的一个基本和重要组成部分。国际上最具有影响力的内控制度框架是美国颁布的COSO框架,此框架概述了内控制度相互联系的五大要素:控制环境、风险评估、控制活动、信息与沟通、监督。会计信息作为内控制度的载体,在五要素中起着十分重要的作用,是内部控制的一个基本和重要组成部分。通过会计信息的存在与有效传递,影响到控制制度有效性的发挥。
2、会计信息是实现内部控制的重要工具。内控制度的一个重要组成部分是会计控制,会计控制本质上也是对经济信息的加工处理和使用过程。如果离开了会计信息的加工和处理使用过程,就无法反馈信息,更无法将其转换成内部控制的指令,无法实现企业的目标。例如,决策者可以通过经营业绩的信息,了解企业目标的实现情况,找出产生偏差的原因,并进而通过奖惩手段调整偏差,实现目标;所有者可以通过财务报告信息了解管理者经管责任的履行情况,通过用手或用脚投票的方式来决定和影响企业及管理者未来的发展,从而实现其所希望达成的目标。从这个意义上说,会计信息是实现控制的重要工具。
(二)内部控制对会计信息的作用
1、内部控制对会计信息的反馈作用。企业通过会计信息了解企业的经营情况,再采取措施实施控制,实现系统的自我调节和完善。内控制度通过这种反馈机制对会计信息进行过滤和整合,从而保证财务报告目标的实现。同样,会计信息只有通过控制系统才能发挥作用,离开了控制系统,信息的加工处理也就失去了意义。
2、内部控制对会计信息质量的保证作用。一方面内控制度能够提高会计信息质量的透明度,有效健全的内控制度有利于防止等犯罪行为,维护物资财产的安全完整,避免和纠正损失浪费等问题;另一方面内控制度有利于保证会计信息的真实性和正确性,建立有效健全的内控制度可以保证会计信息的采集、归类、记录和汇总真实,如实反映企业生产经营活动的情况,并及时发现和纠正各种错弊,从而保证会计信息的真实性和正确性。
综上所述,内控制度与会计信息总是相互作用、相互影响的。加强内控制度有助于提高会计信息质量,可以为会计信息质量保驾护航,会计信息的质量又可以反映出企业内控制度是否健全有效,促使管理者根据企业自身状况,制定出切实可行的内控制度体系,从内部控制目标的实现到内部控制要素的完善都落到实处。
四、完善内控制度,提高会计信息质量
必须建立和完善企业内控制度,有效防范和遏制企业内部不当行为的发生,防止产生虚假的会计信息;而有效地预防和遏制会计信息失真,提高会计信息质量,需要从以下方面进行有效的内部控制:
(一)加强企业文化建设。企业内控制度的建设和执行与企业文化建设密切相关。企业文化是一种企业的经营理念、经营制度依存于企业而存在的共同价值观念的组合,是将企业员工的思想观念、思维方式、行为方式进行的统一和融合,使员工自身价值的体现和企业发展目标的实现达到有机的结合。企业内控制度的贯彻执行有赖于企业文化建设的支持和维护,因为企业文化是培养诚信、忠于职守、乐于助人、刻苦钻研、勤勉尽责的一种制度约束。因此,在良好的企业文化基础上所建立的内控制度,必然会成为人们的行为规范,得到很好的贯彻执行,会有效地解决公司治理和会计信息失真的问题。
(二)完善企业内部控制环境
首先,完善公司治理结构,使董事会、监事会、经理层三者相互制衡。提高外部***董事的比重,增强董事会的***性,并代表股东监督、制约管理当局,最大限度地维护全体股东的利益,在一定程度上抵制与防范管理当局操纵财务报告,提供虚假财务信息的企***。此外,我国规定股份公司必须设立监事会,监事会应当***、有效地行使对董事、经理履行职务的监督。
其次,加强人力资源培训,提高人员素质。公司必须建立统一的人力资源***策,实行科学的聘用、培训、轮岗、考评、晋升、淘汰等人事管理制度,确保公司员工具备和保持正直、诚实、公正、廉洁的品质与应有的专业胜任能力。
最后,全体员工尤其是管理层应树立内部控制理念。内部控制是否有效,关键看企业员工有没有内部控制观念,特别是看管理层是否重视内控制度。只有全体员工都树立内控意识,自觉执行内控制度,才能防止包括财务欺诈在内的舞弊现象的发生。
(三)制定适合本单位实际的内控制度。企业应根据《内部会计控制规范》,结合企业自身情况,制定并执行企业的内控制度。
1、职责明确控制。企业应实行严格的职责划分和授权控制,使各部门、岗位、员工明确自己的职责,不相容职务应当严格分离;同时,企业还应当明确规定实物接触和保全制度、内部稽核制度。例如,设会计岗位和出纳岗位,明确岗位职责权限,做到会计、出纳相互分离、制约和监督。
2、授权批准控制。授权批准是指交易的发生应当适当的授权,不允许有未经授权或超出授权范围的交易。这样,就明确了管理当局及各阶层管理人员、职工的职责与权限,如果出现没有授权的经营活动,导致会计信息出现质量问题,相应的人应当承担责任。
3、会计系统控制。会计系统控制要求企业依据会计法和统一会计制度等法律法规和会计准则,制定适合本单位的财务、会计制度,明确财务处理程序和企业会计***策,保持充分的凭证和记录,建立会计凭证预先统一编号、审核、保管制度,实行会计人员岗位责任制和内部稽核制度,禁止会计人员越权处理会计事务。使经济业务和会计处理得以相互联系、相互制约,内部相互监督,从而防止错误发生,即使发生了错误,也易于自动检验和自动纠正,保证了会计信息的正确和完整。
(四)加强内部审计。内部审计是内部控制的一种特殊形式,是对其他内部控制的再控制,它可帮助管理当局监督其他控制***策和程序的有效性,为改进内部控制提供建设性意见,除了帮助提高经营效率外,还有助于减少会计信息失真,必须大力加强。内部审计部门应对企业的各种财务资料的可靠性和完整性、企业资产运用的经济有效性等进行审核。因此,内部审计机构作为对会计行为的再监督,不能隶属于会计机构,而是应该获得***于会计机构的地位;同时,还要完善内部审计制度,配备得力的审计人员,积极主动地开展内审工作。
(五)建立和完善披露机制及评价体系。企业为了提高内部控制意识、提高其信息质量,有必要在进行内部控制自我评估后,向社会公开披露其内部控制信息。与此同时,还要建立和完善内控制度评价体系。对企业来说,建立健全内控制度是一个渐进的过程,因此必须建立其内部控制评价体系,根据情况的变化和出现的问题对相应的内控制度做出及时修正或建立新的内控制度。
(作者单位:深圳市龙岗区国有资产监督管理办公室)
主要参考文献:
[1]张碧华,刘梦贵.提高会计信息质量的关键――内部控制的建设与完善[J].湖南财经高等专科学校学报,2005.6.
[2]和瑞玲.企业内部控制现状分析[J].河北企业,2007.2.
[3]吴联生.会计信息质量特征探讨[J].财经论丛,2003.3.
[4]龚杰,方时雄.企业内部控制――理论、方法与案例[M].浙江大学出版社,2006.
内部控制信息篇4
关键词:会计信息化;内部控制;制度
一、内部控制的意义
内部控制是企事业单位为了保护其财产不受损失,保证经营活动的合法性和会计记录的正确性,促进经营管理效率的提高以及贯彻企业的经营管理***策等目标而制定的组织机构方案、相关的方法与措施的总和。其目的在于保护企业财产,保证会计数据的正确性和可靠性,提高会计工作的效率并为坚持既定的经营方针提供保障。
内部控制分为会计控制和管理控制两部分。会计控制涉及会计工作和会计制度,它可以保护财产并提高会计数据的可靠性。管理控制包括管理组织、管理方法和规程,它与工作效率和经营方针的贯彻相联系。实际上,上述两种控制并不是孤立存在,而是相辅相成的。会计控制的某些方法可以用于管理控制,管理控制的某些方法也可以用于会计控制。
二、信息技术对内部控制的影响
信息技术对内部控制的影响信息技术是一把双刃剑,它既可以为企业的内部控制提供支持,也使企业内部控制的风险进一步增加。
(一)信息技术提高企业内部控制的效率和效果
1、数据处理的客观性与规范化。
财务会计软件是根据会计数据处理流程所编写的应用程序,而这些程序编写的主要依据,是国家的会计准则与会计制度,因此软件的制度遵行性就有了保证。在数据输入口设计中,目前我国的大部分软件在输入控制都提供了二次输入、屏幕对照检查、借贷金额平衡校验、机内凭证审核、自动转账凭证形成等方法,以保证输入数据的规范化。在数据处理设计方面,软件提供的自动登账、自动与人工辅助对账、自动结账等功能,这些自动处理功能无疑更能保证数据处理的客观公正性。
2、信息输出的及时性与准确性。
数据处理的实时化,保证了财务会计报表等信息的输出的及时性。手工环境下的会计报表必须要等到一个期间结束的若干天之后才可能编制出来的局面再也不复存在。代之而起的是,无论是结账之后,还是尚未结账之前,都可以要求系统输出会计报表,并在该报表的明显地方打上是否结账的标记。同时,由于会计报表的每一个项目,都可以根据事先定义的取数公式生成,这便避免了人为因素的干扰,只要保证公式定义的正确性,会计报表的生成的准确性也就可以达到。
3、提供信息深入分析的详细资料。
无论是内部审计,还是外部审计,都需要企业提供相关的数据。在手工环境下,这些资料的获取遇到许多困难,一是纸质资料的保管场所限制致使审计数据难以完整获取;二是纸质资料的查找必须支付更大的审计成本。而在电子环境下,企业人、财、物等数据都可以从数据库中获取,无论是近年的数据,还是跨越五年、十年的数据,都可以快速地获取。
(二)信息技术给内部控制带来的风险
1、应用程序或数据的错误带来的风险。
由于软件是由开发人员研制开发的,这样开发人员的能力、水平就决定着软件的质量,如果应用程序设计不当,或者开发人员有意将错误的程序植入程序之中,所设计的软件也就难以正确处理数据,同时,由于软件周而复始地运行,致使其所造成的错误可能延续很长时期。另外,计算机系统所接收的数据如果还未经审核,就很有可能存在错漏,此时,尽管软件运行无误,也会造成输出信息的失真。
2、未授权访问数据带来的风险。
对会计软件的会计凭证、账簿和会计报表的查询或者打印都应当经过授权方可进行。但由于软件本身的设置不善,或者黑客的攻击,都可能导致会计数据的保密性受到严重的威胁。特别应当注意的是,我国目前的重输入授权控制而轻输出授权控制的错误倾向,给企业单位的会计信息的安全埋下许多隐患。
3、信息技术人员的越轨行为。
程序员可能利用其参与应用程序的设计而熟知非法进入系统的口令,系统维护人员可能在维护期间超越其履行职责以外对数据实施非法修改,这些由于职能分割失误而致使数据受到损害的行为,都给会计信息系统带来极大的危害。
4、未经授权改变主文档的数据。
对会计核算软件而言,会计凭证档案文件、科目余额库文件以及会计报表的公式定义文件,都是直接关系会计信息可靠性的重要文档。如果这些主文档数据在未经授权下被非法修改,就可能导致财务会计报表的输出失真。
三、会计信息系统的安全控制
1、会计信息系统安全控制的网络化与全局性
随着信息化的发展,信息化风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。信息化风险的主要特征可以归纳为四点,即全球性、传染性、复杂性、隐蔽性。全球性的风险指的是像病毒这样的风险扩散起来往往是全球性的,而复杂性则是因为信息安全非常庞大、复杂。导致信息化的风险有很多因素,有信息化自身所具有的无疆界、低成本和开放性的特点,还有自然灾害、误操作和安全生产事故,以及病毒、蠕虫及网络攻击等外部因素。
由于信息化的会计信息系统将逐渐融入企业的管理信息系统之中,因此,无论是数据输入,还是数据处理,抑或是数据输出,会计信息系统都不可避免地要与企业管理信息系统实现“同源分流”。企业资源计划(ERP)的实施目标,就是要最大程度地使物流、资金流和信息流实现一体化管理,ERP软件的开发与应用,正在日益走向这一“三流一体”的目标,有鉴于此,会计信息系统的数据源只能来自于以整个企业为单位建立的数据仓库。
真正意义上的企业信息化,需要对企业业务流程进行重组,会计部门的业务流程重组当然也不能游离其外。而为适应企业信息化目标所构建的企业组织与机构,必然要打破原有的人员分工与职能分割的格局,面对新的组织形成,会计信息系统的安全控制也就不可能自行其是,而应融入整个企业的信息安全控制之中。面对信息化风险的加剧,企业应当积极发挥内部审计的监控作用,对正在运行的企业信息系统进行实时跟踪,一旦发现异常,内部审计系统应当及时发出警告信号。从长远来看,信息系统不仅是注册会计师审计的对象,也是内部审计系统应当关注的重点。
2、注重企业经济业务原始信息的安全控制
随着信息化的快速发展,事件驱动技术的应用可能使各种经济业务活动以事件形式加以组织与存储,并以统一的数据仓库加以集中与管理。这种改变以往以数据处理为中心的处理模式,使信息使用者仅在需要信息时才到数据仓库将相关数据“拉”出来即时加以处理的做法,改变了原先的会计凭证、账簿和报表的信息管理模式,企业信息的安全控制点必将前移,信息安全控制将以企业的数据仓库为重中之重。所有数据在进人数据仓库之前,都必须严格加以检测与审核,同时,必须加强对数据仓库日常的监控与备份管理,企业制定安全控制的管理制度与措施,也必须以数据仓库的管理为重点加以进行。
3、加强对主体系统的监控与管理
组织的稳定性直接表现在业务流程的稳定上。对于已经应用IT系统的企业而言,如何利用信息技术规范并优化业务流程正成为CIO关注的重要内容。一方面,IT系统是规范并优化业务流程的重要工具,另一方面,IT系统也是内控审计的对象。因此,中国本土企业的信息主管将更多地面对来自IT系统整合和合规性要求的双重挑战。
信息系统是由主体系统与客体系统组合而成。主体系统是指自然人,包括诸如软件的分析、设计与维护人员,硬件维修人员,还包括会计信息采集、传递、保管等有关人员。客体系统则是指用于经济信息加工、处理、存储、检索等活动的系统硬件、软件设施。客体系统是受主体系统控制的,是被动的、无意识的受控系统,而主体系统则是一个积极、能动和具有自创意识与反思的主动系统,它具有复杂的心理系统,首先表现在该系统是一个能讲话、有思维、会劳动的自然人所组成的社会系统。因而,在其运动过程中就必然伴随着大量的心理活动的发生。因此,无论是现在还是未来,主体系统都必须作为控制的重点。在未来的网络化环境中,加强对系统相关人员的管理与控制更为重要。无论是网络管理、服务器管理、客户端管理、数据备份与数据加密,都离不开人的设计与操作,而越来越复杂的企业信息系统,仍然应当坚持以主体系统为主的控制策略。
4、关注信息新技术的应用
关注信息新技术的应用,包括两个方面的内容,一方面是企业会计信息化不断的采用新技术;另一方面,则是密切注视、并积极应对不法分子利用信息新技术篡改、拦截、破坏企业的会计数据与信息。目前,计算机性能正在按摩尔定律的速度呈指数增长,在计算机技术的应用领域里,“攻击者”与“防守者”究竟是“魔高一尺,道高一丈”还是“魔高一丈,道高一尺”永远难以定论。因此我们不仅要密切关注新技术的应用,更应当掌握必要的控制技术,以保证会计信息的安全可靠。目前,利用生物统计技术鉴别操作者的身份,正越来越多地应用于会计信息系统之中。例如通过对操作者的手纹、声音的识别对操作者进行准人控制,无疑可进一步保证系统运行的安全性。(作者单位:江西省通用技术工程学校)
参考文献:
[1]徐艳杰.浅论内部控制与会计信息化[J].北方经贸.2010(02)
[2]杨辉.会计信息化与计算机技术[J].中国乡镇企业会计.2006(01)
内部控制信息篇5
关键词:信息化;信息化环境;内部控制
中***分类号:270.7文献标识码:A文章编号:1003-4161(2007)06-0117-03
1.引言
信息化环境主要是实现了信息化管理的一种环境,随着信息时代的到来与发展,计算机、网络、通讯等信息技术得到了快速发展,构筑起了数字化和网络化的活动环境。企业信息化主要是指信息技术在企业经济活动中被广泛采用,在技术层面的高度发展,在知识层面资源化。企业在生产、经营及其管理各项活动中充分利用现代信息技术和信息设备,辅以网络技术和网络设备以及自动控制技术和现代化通讯系统等手段对企业进行全方位、多角度、高效和安全的改造,信息资源的深入开发和广泛利用,实现企业生产过程的自动化、管理方式的网络化、决策支持的智能化、商务运营的电子化,不断提高生产、经营、管理、决策的效率和水平,进而提高企业经济效益和竞争力的过程[1]。
信息化改变了企业数据存取、保存、传递的方式和生产经营模式,提高了业务运转与管理的效率、业务流程的自动化以及信息的价值化。这也给在人类漫长历史中发挥巨大作用的内部控制带来了无限的机遇和巨大的挑战,在这样的环境下企业的内部控制重点和模式随之要发生相应的变化,如何构建信息化环境下的企业内部控制系统已成为目前亟待解决的问题。为此,本文试***从信息化环境对企业内部控制的影响着手,分析信息化环境下企业内部控制面临的机遇与挑战,探讨构建和实施信息化环境下的企业内部控制系统。
2.信息化环境下企业内部控制面临的机遇与挑战
2.1 信息技术的广泛应用提高了内部控制效率,增强了内部控制效果
信息流程和业务流程的有效整合,给提高企业内部控制效率,增强内部控制效果,带来了新的机会。信息系统下的内部控制与手工系统下的内部控制相比较,是范围扩大、控制程序灵活多样的综合性控制;是控制的重点职能部门和计算数据处理部门并重的全面控制;是人工控制和计算机自动控制相结合的多方位控制。
2.1.1 在信息化环境下,内部控制是基于一种人机结合的控制模式,许多控制程序,控制指标、控制方法被设置在计算机信息系统内部,大量的人工控制被信息系统的自动控制所取代,原先由多人分工协作的工作被信息技术重组后,只需要一个人就可以完成,这种变化导致企业组织、结构趋于扁平化,内部控制层次明显减少,岗位更加精简,责任更加明确,效率更加提高[2]。
2.1.2 信息技术的发展和广泛应用,有关经营决策的信息可以实现对经营决策过程及其影响的实时、充分、同步的反映,大大降低企业信息的不对称。信息与沟通已不再成为内部控制中难以解决的问题,此时,传统环境下企业所面临的风险可能依然存在但有所减少。
实施同步的信息反映,决定了信息化环境下的企业对经营决策过程的控制活动必然是一个实施同步的过程,这种同步控制活动在经营决策活动发生时就能有效地发现并纠正任何可能存在的问题。从控制角度看,事后定期的监督过程已经与控制活动融为一体,内部控制由单一控制变成了多层次、全方位的控制系统,从单纯的控制活动到控制的诸多要素(活动、环境、程序、风险、制度)的综合控制,从控制财务到企业整个资源的控制,从单纯硬性控制到硬性控制与软控制相结合,从控制现在到全过程控制[3]。
2.2 信息化环境下企业内部控制面临的挑战
信息化环境下企业将面临许多新的特殊风险,诸如信息系统规划建设的治理风险即IT治理风险、软件中内控机制的漏洞风险、系统运转的不稳定性风险、操作的人为风险等[4]。
信息化环境下企业内部控制具有人工控制与程序控制相结合的特点,这些程序化的内部控制的有效性取决于应用程序,如果程序发生差错或不起作用,由于人们对计算机信息系统的依赖性、***大意以及程序运行的重复性,使得失效控制长期不被发现,从而使系统在特定方面发生错误或违规行为的可能性较大。另外任何信息系统都存在着由于操作失误,硬件、软件、网络本身出现故障导致系统数据丢失甚至瘫痪的风险。同时应该看到,随着计算机使用范围的扩大,利用计算机进行的贪污、舞弊、诈骗等犯罪活动有所增加,这也增加了信息化环境下企业内部控制的难度与复杂性[5]。
3.建立和实施信息化环境下的企业内部控制系统
针对上述分析,企业在构建信息化环境下的内部控制系统时,应综合考虑各方面的因素。一方面,要利用信息系统进行控制,将传统环境下成熟的内部控制方法、思想融入系统中,并利用信息技术实施一些在传统环境中无法实施的控制手段和方法;另一方面,针对信息化环境下企业面临的新风险,实施对信息系统的控制。因此,建立和实施信息化环境下的企业内部控制系统应由三部分组成:一是建立和实施信息化环境下的企业信息系统,这必须是一个事件驱动型的系统,将传统内部控制手段和方法嵌入其中;二是为信息系统安全有效的运作,必须建立健全的信息系统内部控制制度;三是为了确保和审查内部控制制度的有效执行,必须开展对信息系统及其内部控制制度的审计,以最终建立和实施安全、可靠、高效的内部控制系统。
3.1 建立和实施信息化环境下的企业信息系统
在信息化环境下,以计算机、网络、通讯等信息技术为基础的信息系统已成为企业不可缺少的基础设施。信息系统不仅仅是计算机、通讯、网络及相关软件等技术部件的集成,它是数据、应用系统、技术、设施和人员的总和。它涉及到系统工程、信息技术和管理科学等多个学科,信息技术的日新月异、经济全球化和社会的复杂性使信息系统的建设与应用遇到巨大挑战。对企业而言,由于信息系统的建设涉及大量的投资,而且信息系统的质量关系到企业经营活动的效益,信息系统的风险控制成为企业所有者与管理者日益关注的重要问题。因此,在信息系统建设过程当中,应保证信息系统开发质量,避免信息系统建设风险。
在信息化环境下,企业必须建立一个事件驱动型的信息系统,并且业务控制的内嵌是关键和核心,因为信息系统既是内部控制的对象更是内部控制的重要工具和手段。由于信息技术使企业业务流程与信息流程融合在一起,业务流程控制与信息流程控制成为企业内部控制系统设计的重要内容。在企业流程控制的设计中,专业人员的首要任务是熟悉企业业务过程和信息过程以及它们之间的联系,并针对组织内部控制目标的要求,对业务流程和信息流程的各类风险进行评估,确定风险重要程度;其次为业务过程和信息过程制定规则和程序,作为控制策略的一部分,具体的规则依赖于企业的各种因素,如环境、组织规模、使用技术、员工素质等,并在此基础上建立作业的预算制度、作业操作制度、业绩评价制度、供应链绩效评价制度;最后依据风险的重要程度确定业务流程与信息流程的关键控制点、建立控制模型,设定控制参数与控制程序,并将其嵌入到信息系统中,形成人机结合,业务活动与信息处理集合的内部控制系统。这样,在企业经营过程中,信息系统就能动态跟踪业务活动的信息,自动监控这些活动所产生的数据是否在控制范围内,预测发展趋势,实施输出预警信号[2]。
3.2 建立有效、健全的信息系统内部控制制度
信息化环境下企业内部控制与企业信息系统的内部控制是共生和融合的,信息化环境下企业内部控制的有效性很大程度上有赖于信息系统的可靠性和有效性,所以研究企业内部控制体系的重心应是关注信息系统的内控机制的建设。
3.2.1 借鉴欧美发达国家已有信息系统管理控制标准与规范,建立信息系统内部控制制度
欧美发达国家对信息系统控制研究与实践起步较早,这些国家从20世纪80年代中期到现在,走过了“技术管理时期”、“多样化管理时期”和“专业管理时期”,所谓专业管理,即使除技术管理外,信息系统的功能管理和应用管理要以按照符合要求的标准或规范运行,这些标准与规范包括COBIT、ISO9000、CMM、ISO/IECI7799和ITIL等。
COBIT(Control Objectives For Information and Related Technology),译为“信息及相关技术的控制目标”,是由国际信息系统审计与控制协会(ISACA)出版,最早在1996年,现已第3版,目前已成为国际上公认的最先进、最权威的信息技术控制标准。COBIT将IT过程、IT资源及信息与组织的策略与目标联系起来,形成一个三维的体系结构。其中,IT准则维集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、有效性、可用性等方面来保证信息的安全性、可靠性、有效性;IT资源维主要包括人、应用系统、技术、设施及数据在内的信息相关的资源;IT过程维则在IT准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程[6]。COBIT覆盖整个信息系统的全部生命周期,涵盖了战略、战术与操作的所有层次,处于各个阶段的信息系统都可以参照应用,它所带来的益处是十分明显的,它使IT战略与组织战略紧密联系,在事业目标、信息系统、业务绩效目标之间维持平衡。它为IT过程提供管理控制结构化、模式化,为信息系统的安全、可靠、效用与效率达到预定目标提供了保障,并为信息系统的审计提供了指导和基础,使审计工作切实可行,审计结论更有说服力和影响力。
实践证明,企业应用这些标准与规范能极大地提高信息系统建设与应用水平,在我国尚未出台相应的信息系统控制标准与规范之前,COBIT对于我们建设信息系统的内部控制制度具有极大的指导作用。
3.2.2 加强管理层对建立有效的信息系统控制制度的重视
信息系统控制的有效性取决于管理层的重视程度,许多人认为信息系统控制是一个技术问题,应该由技术人员负责。事实上,信息系统控制以手工控制为主,需要企业的上下各级组织机构和各类员工的参与,需要制定并实施严格的规章制度。如果企业管理层不能够充分地认识信息技术的风险,不能给信息系统控制以足够的重视,那企业对信息系统控制的投资可能不足,而且不能动员所有员工来重视和参与信息系统控制,各种关于信息系统控制的规章制度的实行将会遇到极大的困难,进而影响信息系统控制的有效性。所以,进行有效的信息系统控制的首要前提是企业管理层的重视[7]。
3.3 对信息系统及其内部控制制度的审计
在企业对业务的传统控制活动逐渐被嵌入到信息系统后,业务控制的有效性依赖于信息系统的安全性、可靠性和有效性,而信息系统的安全性、可靠性和有效性取决于信息系统的控制及其执行是否健全有效。另外,在信息化环境下,许多控制程序、控制指标被设置在计算机信息系统内部,这就要求及时了解原来设置在信息系统内部的控制程序、控制参数是否过时,并针对企业经营环境变化情况,及时评估业务流程控制点的运行状态,重新调整或更改设置在信息系统的控制参数或程序。因此,信息化环境下企业除了需要建立健全信息系统控制之外,通过审计活动审查与评价信息系统的内部控制建设及其执行情况并提出审计建议也是确保信息系统安全、可靠、高效运行的重要措施。
根据审计主体的不同,信息系统审计可以分为内部审计和外部审计两类。内部审计是企业信息系统控制的重要组成部分,是指由企业内部审计机构执行的信息系统审计,是确保信息系统安全、可靠、有效的基本保证。外部审计是由***的外部信息系统审计人员执行的信息系统审计。在企业建设信息系统的初期,外部审计可以帮助企业迅速提高信息系统的安全性,而在企业信息系统的稳定运行期,外部审计也可以及时发现一些看起来十分普通但实际上非常危险的问题。
在实施内部审计时,有必要引入在西方发达国家企业内部控制管理领域被广泛运用的内部控制自我评价这一新兴的审计技术和方法。内部控制自我评价,简单来说就是公司不定期或定期地对自己内部控制系统进行评价,评价内部控制的有效性及其实施的效率效果,以期能更好地实现内部控制的目标[8]。它是一种自发的自我评估运营程序,把传统的只由内部审计人员从事的内控评价转移由公司各部门参与作业的人员亲自评估,帮助他们认识到内部控制不只是内部审计工作的责任,也不仅是高级管理层应关心的问题,相反,应该把它看做是组织所有成员的事。研究表明,实施内部控制自我评价的方法对于一个企业改进内部控制程序、业务经营程序以及控制风险等都有着积极的作用。
4.结束语
本文分析了信息化环境下企业内部控制面临的机遇与挑战,并就如何构建相应的内部控制体系进行了探讨。本文认为信息化环境是知识经济社会企业所共处的环境,这种环境已经形成而且影响会越来越显著,如何完善信息化环境下企业内控机制应是内部控制研究和法规建设在新时期的重要使命。目前正值我国建立内部控制标准、完善内部控制法律法规之际,趁此大好时机,加强信息化环境下企业内部控制研究,促使我国内控法规和指南的建设借鉴发达国家的成功经验和先进标准,促使在我国尽快建设和完善与信息化环境相适应的内部控制规范框架,大有裨益。
参考文献:
[1]王众托.企业信息化与管理变革[M].北京:中国人民大学出版社,2001.
[2]杨琦.信息技术对企业内部控制影响分析与对策[J].审计与经济研究,2005,(1).
[3]姚友胜.基于网络的企业内部控制及其要素特征[J].审计与经济研究,2004,(11).
[4]陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究,2007,(1).
[5]刘志远,刘洁.信息技术条件下的企业内部控制[J].会计研究,2001,(12).
[6]章铁生.信息技术条件下的内部控制规范:国际实践与启示[J].会计研究,2007,(7).
[7]杨周南.论会计管理信息化的ISCA模型[J].会计研究,2003,(10).
[8]张谏忠,吴轶伦.内部控制自我评价在宝钢的运用[J].会计研究,2005,(2).
[作者简介]张涛(1962-),男,江苏省无锡市人。 研究方向:财务决策与系统分析。
内部控制信息篇6
【关键词】 上市公司; 内部控制; 信息披露; 历程
一、引言
内部控制是防范企业财务报告错误和舞弊行为的重要防线,也是保证企业财务报告真实、完整的内在机制。美国安然、世通财务舞弊事件发生后,各国监管机构将监管重心从单纯注重财务报告本身的信息质量,转向财务报告本身信息质量与建立健全财务报告信息质量保证体系并重。为此,美国于2002年通过了强制性要求内部控制信息披露的《萨班斯—奥克斯利法案》。我国资本市场起步较晚,发展较不完善,相关的内控***策出台较迟。针对国际市场的内控变革,我国也出台了一系列***策指引,对上市公司的内部控制信息披露进行规范。但是,考虑到条件不成熟,未对所有的上市公司强制性实施。个别上市公司出于向市场传递利好信号的考虑,以便将自己同其他上市公司区分开来,进而对投资者的投资决策产生影响,对内部控制信息进行了自愿披露。
相较于国外强制性披露的执行效果,国内上市公司对于内部控制信息的披露质量参差不齐。无论是披露范围,还是披露内容以及披露的方式都呈现出较大的随意性。同时,在国内由于***策的侧重点不同,不同行业的内部控制信息披露质量也存在较大的差异。国家对于上市银行的内部控制信息披露要求更高,相关的***策指引更为细致。上市银行内部控制信息的披露质量略高于其他公司。对于金融类上市公司的内控信息披露状况,已有学者进行了案例研究,发现其内部控制信息的披露呈现出较为明显的形式主义(瞿旭等,2009)。
二、内部控制***策法规及相关研究
本文在研究设计中将上市公司内控信息披露历程划分为自愿披露与强制性披露两阶段,自愿性内控信息披露阶段是指2006年以前,强制性信息披露始于2006年,需要说明的是,这里所说的强制性仅仅指部分内控信息,例如,2006年以后上市公司至少需要在“重要事项”一节说明其内部控制建设情况。
(一)自愿披露阶段的内部控制法规及相关研究
在近来的研究中,有关内部控制的法规文件一般追溯至2000年,证监会要求商业银行在年度报告对内部控制建设进行说明。继而,2001年起,中国证监会要求一般上市公司的监事会对该公司是否建立了完善的内部控制制度发表***意见,若监事会认为内部控制完善,可以不对外披露。2003年3月证监会又针对上市银行内部控制信息披露做出了规定,明确了董事会对于内部控制的责任。2005年中国证监会要求上市公司定期对内部控制的完整性、合理性及实施的有效性进行检查和评估,并开始要求上市公司通过外部审计对公司的内部控制制度以及公司的自我评估报告进行核实评价,该年度内银监会还了商业银行内部控制评价办法。可以说,我国在2006年以前以及美国在2002年以前并未对内部控制信息披露做出强制性规定,内控信息披露系上市公司自选择的行为。那么具体实施效果如何呢?
我国2001年上市公司内部控制信息披露在很大程度上流于形式、缺少实质性内容,披露主体主要为监事会(李明辉等,2003)。张立民等(2003)研究表明,我国ST上市公司在2001年与2002年年报中披露的内部控制信息不少前后矛盾,且以说好话为主。2003年,上市公司大多披露了内部控制信息,但披露词句模糊,证监会的规定并没有得到很好执行(蔡吉甫,2005)。2003到2005年间,上交所上市公司内部控制信息有逐年增加的趋势,但总体水平较差(方红星等,2009)。
以上的研究主要是针对一般上市公司,那么对内部控制信息披露管制严格的金融类公司而言,其内部控制信息披露如何呢?上市银行2001到2006年间,在年报中披露的内部控制信息存在诸多问题(黄秋敏,2008),类似的,倪慧萍(2006)通过对上市银行年报的分析发现,上市银行未严格遵循内部控制信息的披露要求。
通过以上研究可以看出,2001至2005年间,上市公司的内部控制信息披露存在较多问题,披露主体多元化,披露内容形式化。为完善上市公司的内部控制信息披露,提高披露的信息含量,相关的研究针对披露中存在的问题提出了众多建设性的针对性极强的建议和意见。与此同时,2006年监管机构出台了相关的法规文件,对内部控制信息披露进行了更详细严格的规定,2006年被认为是内部控制信息披露具有转折性意义的一年。故众多学者将2006年以后的内部控制信息披露视为强制性披露的始点。
(二)强制性信息披露阶段的内部控制法规及相关研究
2006年,上交所与深交所分别于6月5日和9月28日了《上市公司内部控制指引》(以下简称《指引》),前者自2006年7月1日起生效,后者自2007年7月1日实施,两者皆要求上市公司披露董事会编制的内部控制自我评估报告以及会计师事务所对内部控制报告的核实评价意见。考虑到实施的仓促性以及我国上市公司内部控制建设的现状,上交所于2006年12月在《关于做好上市公司2006年年度报告的通知》中对《指引》做了补充,只要求上市公司在年报的“重要事项”部分披露内部控制信息,鼓励有条件的上市公司遵守《指引》的规定。2007年,***法制办公室、证监会以及深交所了对上市公司年报工作的条例与通知,其中都特别提到了有关内部控制信息披露的要求。2008年1月2日,在上交所的关于2007年年报工作的通知中,也涉及了关于内部控制信息披露的内容。尤其应引起注意的是,2008年6月28日***等五部委颁布了《企业内部控制基本规范》,自2009年7月1日率先在中国境内上市的公司执行。紧接着,2010年4月15日又出台了《企业内部控制配套指引》,自2011年起要求部分上市公司执行。
在相关的***策背景下,李享(2007)通过对上市公司2006年年报中披露的内部控制信息的分析发现,内部控制信息的披露并不理想,同时,2006年内部控制信息披露的强制性规定并未得到执行,信息披露动机不足,上市公司的内部控制自我评价以及会计师事务所的核实评价缺少统一的标准(杨有红等,2008)。2007年,总体来说,大约40%的上市公司披露了内部控制评价报告,然而,只有约12%的公司聘请了外部审计机构对公司的内部控制评价发表意见(张士强等,2009)。林斌等(2009)研究表明,其选取的2007年度沪深两市的研究样本中有约15%的上市公司自愿披露了鉴证报告,并且中央控股公司自愿披露鉴证报告的动机更强。在2006到2008年间,约有10%的上市公司首次执行了内部控制鉴证(张龙平等,2010)。对于内部控制缺陷的披露而言,2007年样本公司中有244份年报披露了公司的内部控制缺陷,占所有上市公司的比例约为18%;2008年样本公司中披露内部控制缺陷的有98家,占所有上市公司的比例约为7%(刘亚莉等,2011)。方红星和金玉娜(2011)研究发现,在其选取的2009年研究样本中,有28.28%的公司自愿披露了内部控制鉴证报告,其中分别有89.93%和10.07%的公司披露了合理保证的内部控制鉴证报告与有限保证的内部控制鉴证报告。
可以看出,自2006年以来,内部控制信息披露发生了转折性的变化。上市公司基本都能简单按照相关规定披露内部控制信息,在未强制要求披露内部控制自我评估报告以及内部控制鉴证报告的背景下,已有相当一部分上市公司出于信号传递的考虑,主动披露了内部控制自我评估报告以及内部控制鉴证报告。在披露的内部控制信息中,开始有意识地披露内部控制中存在的缺陷。然而,对于内部控制缺陷重要性的划分尚无具体的指导细则,在相关的研究中,很多学者将上市公司披露的内部控制问题一概归入内部控制重大缺陷,存在不合理的以偏概全现象。
三、内部控制信息披露历程的案例分析
(一)案例的选取
沱牌曲酒(股票代码:600702),于1996年在上海证券交易所上市,曾被评为“上海证券交易所治理样本公司”,率先披露了内部控制评价报告与内部控制鉴证报告;深发展(股票代码:000001),于1991年在深圳证券交易所上市,系早期上市以及金融类公司中较具代表性的上市公司;绿大地(股票代码:002200),于2007年在深圳证券交易所上市,曾一度因为上市造假,而被认为是继银广夏之后A股的一大污点。
本文所选取的样本公司,皆具有鲜明的代表性。案例公司不仅分布于不同的行业,而且在不同的时间上市,其时间段涵盖了股市的发展历程,而且见证了内部控制信息披露的足迹。此外,所选取的案例公司有明显的治理上的区别,尤其是作为上市公司典型代表的深发展,更是被给予***策厚望。本文试***踏着***策法规的足迹,一探上市公司内部控制信息披露的虚实。
(二)内部控制信息披露载体
1.自愿披露阶段的内控信息载体
证监会在2001年要求上市公司监事会对公司的内部控制发表***意见,但未作强制性规定。继而,在2003年又明确了董事会对内部控制的责任。2005年的法规文件开始对内部控制自我评估报告以及内部控制的核实评价报告作出要求,主要责任方依然是上市公司的董事会。
沱牌曲酒在2001年年报的“董事会报告”与“监事会报告”部分,对相关项目的内部控制进行了说明。在此后的2001—2005年度内,内部控制信息的披露仅出现在监事会报告中。
深发展在2001年与2002年在年报中的“监事会报告”以及专设的“内部控制的完整性、合理性与有效性的说明”部分涉及了公司的内部控制制度的说明,其中后者还包括了会计师事务所的内部控制审核报告。公司在2003年“董事会报告”、“监事会报告”以及“银行业务数据摘要”部分披露了内部控制信息,而在2004与2005年仅仅在“银行业务数据摘要”部分对公司内部控制制度进行了说明。
2.强制性披露阶段的内控信息载体
2006年上海证券交易所通知,明确要求上市公司应在“重要事项”部分说明内部控制的建设,鼓励有条件的上市公司同时披露内部控制评估报告以及会计师事务所对内部控制评价报告的核实评价意见。2008年,五部委颁布了《内部控制基本规范》,对内部控制的具体内涵做了详细说明,但未明确指出内部控制信息的披露载体。
沱牌曲酒在2006年年报中的“监事会报告”以及“重要事项”段提到了公司内部控制制度,2007年公司在“公司治理结构”段详细披露了内部控制建设,其中包括内部控制自我评估报告以及内部控制鉴证报告。沱牌曲酒2008年年报在“公司治理结构”段对内部控制进行了详细的描述,然而,该年度仅仅披露了内部控制自我评估报告,未聘请审计机构对公司的内部控制进行核实评价,2009年与2008年的差异在于又开始披露内部控制审核报告。沱牌曲酒2010年内控信息载体与往年的区别在于***于年报对外披露了内部控制鉴证报告。
深发展2006年年报中仅在“银行业务数据摘要”段提到了内部控制制度,从2007年年报起,公司年报中增设“内部控制报告自我评估报告”一节,对内部控制进行了详细的叙述,并在附件中公布了内部控制审核报告。深发展***于年报向外公布了2008年度内部控制自我评估报告,并在2008年年报“内部控制自我评价报告”段披露了相关的内部控制信息,该公司在2009年报“公司治理结构”一节中披露了内部控制自我评价并且***于年报进行了内部控制自我评估报告披露。深发展2010年内控信息载体与往年的不同之处在于该公司对外***公布了内部控制鉴证报告,而不是附属于年报,而且在“管理层讨论与分析”部分也提到了内部控制制度。
绿大地于2007年上市,由于其虚假上市行为而广受关注与议论,同时深陷诉讼泥潭。该公司在2007年年报“公司治理结构”以及“监事会报告”段对公司的内部控制进行了说明,此后,公司***于年报披露了2008年内部控制自我评价报告以及内部控制审核报告。2010年却仅仅披露了2009年的内部控制自我评价报告,2011年该公司又开始对外披露2010年的内部控制鉴证报告,并在2010年年报中的多处提到了公司的内部控制制度,披露的内容同样主要集中在“公司治理结构”一节。
综上所述,可以看出,上市公司内部控制信息披露的载体包括年报中的监事会报告、董事会报告、重要事项、管理层讨论与分析、公司治理结构、业务数据摘要以及内部控制自我评价报告和内部控制审核报告。从最初的多元化的披露到后来内部控制报告中的集中披露,表明内部控制信息披露制度的不断完善。
(三)内部控制信息披露的连续性
通过内部控制信息披露载体的分析可以看出,2004年沱牌曲酒没有在年报中说明任何内部控制的信息。该公司在2007年同时披露了内部控制自我评估报告与审核报告,而在2008年却仅仅披露了自评报告,2009年又复同时披露。
深发展在2003年中断了内部控制自评报告与内部控制审核报告的披露,直至2007年方又开始披露。2008到2010年期间则又中断了内部控制鉴证报告的披露。上市较晚的绿大地,其上市初期即比较重视对内部控制信息的披露,然而,仍然不能做到内部控制报告的连续披露,例如,该公司未披露2009年度的内部控制鉴证报告。
各上市公司恰恰在***策的拐点完整的按要求披露了内部控制信息,而后则消极对待。显然,上市公司披露内部控制信息迎合监管需求的意***不言自明。
(四)内部控制信息披露内容
2001年,沱牌曲酒在年报中指出了董事会对于各项资产计提及核销资产减值准备的内部控制责任,直至2005年,公司关于内部控制的陈述各年度基本相同。在2006年年报中,公司指出开始启动内部控制的相关工作,简单说明了公司内部控制的建设情况,但并未披露具体信息。2007年起,该公司在内部控制自我评估报告中对企业内部控制进行了全面的梳理,在年报中占据了较大的篇幅,是内部控制信息披露具有转折意义的一年。2008年,该公司根据《企业内部控制基本规范》的要求,较为详实地披露了内部控制信息。2008到2010年间,内部控制信息披露实质内容差别不大。
深发展于2001年便开始在其披露的内部控制信息中对内部控制各方面进行全面的梳理,并且由会计师事务所出具了内部控制审核报告,2002年与2001年基本相似。2003年该公司在年报中指出“内部控制不够完善,需要努力改善”,较往年信息量较少。2004到2006年期间,披露的内部控制信息仅为内部控制有效性的陈述。从2007年起,深发展内部控制信息披露的内容发生了转折性的变化,披露的内部控制信息开始涵盖企业的多方面。2008年在2007年基础上增加了***董事等对内部控制的评价意见。2009年与2010年内部控制信息披露内容稍有完善,变化不大。
绿大地不仅在2007年年报中对内部控制进行了说明,披露的内容主要是对企业内部控制建设的简要说明,同时,在披露的内部控制自我评价报告以及内部控制鉴证报告中,还提出了完善内部控制的措施,比较而言,该公司的内部控制信息披露状况较好。2008年较2007年披露的内控信息更具体,只是含糊的提到内控问题。2009年该公司按照《企业内部控制基本规范》的框架披露了内部控制信息,但上年存在的问题仍未解决。2007—2009年的内控鉴证报告皆未提及存在的内控问题。2010年绿大地在其年度报告以及内部控制自我评估报告中都对内部控制存在的问题进行了说明,并且会计师事务所在内部控制鉴证报告中明确指出该公司内部控制存在重大缺陷。
总之,顺着内控法规的征程,可以看到企业披露的内控信息日益详实,有些上市公司还主动披露了存在的问题以及完善的措施,使投资者在连篇累牍的内控建设信息中,也可以嗅出潜在的危机。但总体而言,实质性的内控信息有限,多为一般性的陈述。
四、结论及启示
循着内部控制***策法规的足迹,分析发现,伴随着内部控制相关***策法规的出台,上市公司内部控制信息的披露日益充分、完善,内部控制信息的载体日趋明确,内容基本符合相关规定。然而,在分析过程中可以看出,现阶段内部控制信息披露的***策效应明显,当***策时,上市公司会有针对性地做出反应,继而会消极对待。此外,内部控制的信息多是对企业内部控制建设的披露,而乏对企业内部控制问题的陈述。内部控制自评报告以及内部控制鉴证报告主要是对内部控制有效性的声明,只有在财务状况被发现以后才会披露相关内部控制问题。
近年来,内部控制的诸多研究中,把是否披露或是否详细披露相关内部控制信息作为内部控制质量的变量,通过案例分析可以发现,披露内部控制相关报告并不能完全代表内部控制质量的高低,首先,内部控制报告的披露不具有连续性,有的企业是为了表明自己对于内部控制***策法规的遵守,也许会在某一年度公布内部控制报告,在以后的年度出于成本或者其他的考虑便中断了内部控制报告的披露。其次,有些企业会通过披露内部控制报告来掩盖本企业内部控制存在的不足,相较于不披露内部控制带来的市场负面反应的代价而言,完整的披露内部控制报告的成本要小得多。
【参考文献】
[1] 瞿旭,李明,杨丹,叶建明.上市银行内部控制实质性漏洞披露现状研究——基于民生银行的案例分析[J].会计研究,2009(4):38-47.
[2] 李明辉,何海,马夕奎.我国上市公司内部控制信息披露状况的分析[J].审计研究,2003(1):38-43.
[3] 张立民,钱华,李敏仪.内部控制信息披露的现状与改进——来自我国ST上市公司的数据分析[J].审计研究,2003(5):10-15.
[4] 蔡吉甫.我国上市公司内部控制信息披露的实证研究[J].审计与经济研究,2005(2):85-88.
[5] 倪慧萍.上市银行内部控制披露状况研究[J].南京审计学院学报,2006(2):17-19.
[6] 李享.内部控制信息披露的现状与改进——基于2006年沪市公司年报的考察[J].财务与会计,2008(7):8-10.
[7] 杨有红,汪薇.2006年沪市公司内部控制信息披露研究[J].会计研究,2008(3):35-42.
[8] 张士强,张暖暖.我国上市公司内部控制现状与存在问题分析[J].审计与经济研究,2009(5):102-107.
[9] 林斌,饶静.上市公司为什么自愿披露内部控制鉴证报告?——基于信号传递理论的实证研究[J].会计研究,2009(2):45-52.
内部控制信息篇7
关键词:内部控制;信息披露;评价报告;现状;对策
中***分类号:F23 文献标识码:A
收录日期:2014年8月18日
随着市场经济的快速发展,各类财务舞弊事件不断涌现,引发社会对上市公司内部控制信息披露的广泛关注。
一、内部控制及内部控制信息披露
内部控制的概念经过了内部牵制、内部控制制度、内部控制结构、内部控制整体框架和风险管理五个阶段,包含控制范围、手段、目标三方面。起初内部控制的定义局限于确保资产安全上,因而普遍认为建立内部控制的目的是保护公司资产安全和会计记录真实上。后来,COSO报告将内部控制定义为由企业董事会、经理层和员工实施的提供合理保证的过程,目的是提高营运的效率和效果、提高财务报告的可靠性、提高相关法令的遵循性。企业的管理当局有责任建立并维持有效的内部控制制度,定期评估本单位内部控制设计和执行的有效性,从而导致产生内部控制信息披露。
内部控制信息披露是企业管理层依据内部控制检查监督工作报告,对本企业的内部控制完整性、有效性和合理性所进行的自我评价,生成内部控制自我评估报告,提供给外部信息使用者,连同对外披露的还包括***董事和监事会对此报告的***意见和注册会计师在进行年审时出具的内部控制评价意见。目前,我国的上市公司没有提供单独的内部控制报告,只是在董事会以及监事会报告中包含对于企业内部控制的评价。
二、内部控制信息披露相关理论
内部控制信息披露的目标满足信息使用者的需要。根据受托责任观,披露的会计信息要反映受托者责任的履行情况。决策有用观又告诉我们,投资者在证券市场中进行投资决策时,需要了解和掌握对其决策有用的信息,比如内部控制信息,通过了解企业的财务信息、内部控制信息等历史业绩,预测企业未来的发展前景。信息的使用者包括股东、债权人、潜在投资者、***府、董事会、管理层、员工、证券监管部门等。
内部控制信息的主体包括信息生成责任主体、信息披露责任主体、信息披露鉴证主体和信息使用主体。上市公司管理当局负有建立健全内部控制制度的责任和义务,最清楚企业内部控制的设计及运行情况,是内部控制信息生成责任主体,有义务保证内部控制信息的真实可靠。上市公司内部控制信息披露的责任主体包括董事会、监事会以及***董事。董事会负责全面评估企业内部控制的合理性和有效性并形成内部控制评估报告;***董事和监事会是上市公司的制衡机构,负有检查公司财务、监督管理层的义务,并且针对企业的内部控制信息发表***意见,因而董事会、监事会及***董事是上市公司内部控制信息披露的责任主体。注册会计师是上市公司的外部监督者,保持***性,在一定程度上保证内部控制信息真实。根据注册会计师审计准则的规定,注册会计师负责审核上市公司与财务报告相关的内部控制有效性,并发表评价意见,通过与上市公司管理当局沟通,提出改进意见。内部控制信息的外部使用者是内部控制信息的使用主体。内部控制信息外部使用者,也称为利益相关者,包括投资者、***府及监管部门、供应商和顾客等。投资者根据上市公司对外报送的财务报告以及内部控制信息分析投资行为,做出投资决策。***府和监管部门为了维护证券市场的经济秩序,需要定期检查上市公司的内部控制设计以及执行情况,防止上市公司披露虚假的会计信息,维护投资者、债权人等外部信息使用者的利益。供应商和顾客作为上市公司业务往来的对象,通过了解上市公司的内部控制信息掌握其生产经营情况。
上市公司内部控制信息披露的范围包括董事会对内部控制所做出的评价意见、***董事和监事会对内部控制评价报告所做出的***意见以及注册会计师对上市公司内部控制有效性所做出的评价意见。
目前,我国上市公司披露内部控制信息主要是上市公司出具内部控制自我评价报告,然后***董事、监事会发表***意见、注册会计师发表评价意见的方式进行披露。
三、上市公司内部控制信息披露现状
总的来说,目前我国的上市公司认识到内部控制设计、执行以及披露的重要性,披露情况较以前有了很大的改善,大部分上市公司都能够出具内部控制自我评估报告,少数公司***董事和监事会能够对董事会的评价信息发表***意见,也有上市公司出具内部控制审计报告。显然,对于内部控制信息,很少有上市公司能够做到全面披露。
(一)内部控制自我评价标准不一。2006年,深圳证券交易所和上海证券交易所分别了《内控指引》,成为我国上市公司年度报告中内部控制信息披露的主要依据。但是,两个《内控指引》并没有对上市公司内部控制自我评价时的评价标准给出统一的要求,所以上市公司对评价标准的选择不同,使得内部控制自我评价报告也存在很大差异。
(二)内部控制缺陷披露程度轻。虽然两个《内控指引》的颁布有利于上市公司建立健全企业的内部控制,提高公司治理水平,但是大多数上市公司提供的信息仅仅表明其建立健全了内部控制制度,却很少披露内部控制的建设情况、具体内容、公司的自我评价以及注册会计师的审核。在已经对外披露的内部控制自我评价报告中,没有按照内部控制五要素的框架进行披露,仅仅是详细叙述对公司有利的内控信息,基本不涉及不利消息。对于上市公司内部控制的缺陷,多数披露的公司仅仅是在报告中提及“未发现财务报告内部控制存在重大缺陷的情况”。事实上,结合我国目前的国情来看,上市公司内部控制的建设和管理水平整体比较落后,内部控制还有很多值得完善的地方。
(三)注册会计师忽视内控审计测试。目前,我国大部分上市公司没有聘请注册会计师针对内控有效性出具评价意见。从上市公司的实践情况,结合理论界和内控基本规范的要求,应该将内部控制鉴证定位在行为或过程审计,也就是说,注册会计师直接针对内控的有效性出具结论,作为直接报告业务。但是,目前我国只是鼓励上市公司对内控有效性审计并出具审计报告,实施范围没有普及所有上市公司,从而导致注册会计师在审计时缺乏对内控审计测试的重视,降低了内控信息披露的质量。
四、完善上市公司内部控制信息披露的对策
(一)完善内部控制法规制度。近年来,我国上市公司建立内控系统、进行内控自我评价的内部控制规范体系主要是内控基本规范和配套指引。健全内部控制信息披露,应该推进配套指引发挥作用,落实内部控制配套指引的实施进度。对内部控制信息披露的内容进行统一、具体的规定,要求上市公司在披露内部控制信息的时候,侧重揭示关于企业的实际、具体的情况,帮助投资者获取真正有用的信息。
(二)加强证监会和证券交易所的监管。目前,证监会和证券交易所是我国上市公司的直接监管主体。时至今日,证监会已经了很多的文件规范对上市公司进行监管,规范上市公司的信息披露,关键的问题是如何将制度落实到实处。监管部门不仅要引导上市公司加强内部控制制度的建设和完善,还应对其进行定期的检查和考评。对于隐瞒内部控制重大缺陷、披露虚假信息的上市公司,落实处罚、严惩不贷,根据违规行为的轻重,加强行***、民事甚至刑事责任的认定,提高内部控制信息披露的违规成本。
(三)企业自身加强对内控的管理。内部控制的建设和披露需要***府的主导,更需要上市公司完善公司的治理结构。股东、董事会、管理层组成的公司内部治理结构既是内控的实施者,也是内控信息的需求者,他们之间应该形成监督和制约机制。关于董事会,可以通过减少内部董事、增加***董事的方式调整董事会的机构,提高董事会的质量。管理层作为执行者,应该借助内部控制评价信息掌握内控制度中存在的问题进行改进,明确管理和评价的重点。监事会以及内部审计部门,要充分发挥监督职能,形成内部牵制,在执行完切实的检查后再发表评价意见,从而保证披露内控信息的真实性和可靠性。
主要参考文献:
[1]张伟利.完善上市公司内部控制披露的策略研究[J].会计之友,2013.4.
内部控制信息篇8
关键词:上市公司;内部控制;信息披露问题
目前,内部控制信息主要是企业内部完整性、有效性、合理性评价的信息,而披露内部控制信息则是企业根据有关要求,通过公开报告的方式来将内部信息呈现给利益相关者的行为。因此,上市公司进行内部控制信息的披露,不仅符合了证监会等相关部门制定的规定,也为市场理性判断投资价值提供了一定的依据,并满足了利益相关主体的合法权益。上市公司管理层将内部控制信息予以披露,释放出了企业履行受托责任的信号,一方面促进了上市公司财务报告可靠性和管理水平的提高,另一方面也有助于投资者制定出了科学、合理的投资决策,所以具有非常重要的现实意义和价值。另外,我国正在逐步落实上市公司内部控制的有关规定,尤其是对提高内部控制信息披露质量加强了研究。对此,本文针对上市公司内部控制信息披露问题产生的原因,论述了我国上市公司内部控制信息披露存在的问题,在此基础上探讨了优化上市公司内部控制信息披露质量的对策,以期为相关工作提供一定的建议。
一、上市公司内部控制信息披露产生的原因
对于上市公司内部控制信息披露产生的原因,可以理解为产生内部控制信息披露的理论基础。通常来说,内部就控制信息披露的理论基础包括三个方面,分别为委托理论、信号传递理论、信息不对称理论上,以下将具体分析。
1、委托理论
目前,股份公司一旦形成,将会分离企业的经营管理权与财产所有权,这种分离还会导致企业所有者与管理者构成“委托―”的经济责任关系。在这个理论框架的前提下,企业管理层就存在向企业委托人提供内部控制信息的职责。同时,如果公司成功上市的话,因为信息是需要公开的,所以存在与公司管理层没有直接受托关系的主体,也能够利用这些公开信息来制定决策。因此,基于委托理论的信息披露将会形成外溢效应。
2、信息不对称理论
根据信息经济学的相关理论,信息不对称可以理解为相互影响的交易双方之间发生了信息分布不均衡的情况。对于整个证券市场,信息不对称将造成资本市场配置效率的明显降低,并导致市场运行成本的加大。对此,为了在一定程度上降低信息不对称的影响,就需要企业管理层对决策有关的信息进行披露,而在以上需要披露的信息中,内部控制信息占有者非常重要的地位。
3、信号传递理论
依据信号传递理论,对于高质量的上市公司与低质量的上市公司,最明显的区别体现在信号的传递上,而证券市场也会对公司传递的信号做出积极反应。因此,就上市公司内部控制来说,对于部分内部控制有效性相对较高的企业,为了获得市场的积极反应,就必须加强内部控制信息披露的力度和透明度,以此与那些内部控制有效性不高的企业进行区分,进而推动着内部控制信息披露积极市场效应的形成与发展。
由于我国资本市场发展的历史相对较短,内部控制体系还存在着一定的漏洞与缺陷。因此,上市公司内部控制信息披露工作也出现了一个比较曲折的过程。对于上市公司来说,内部控制信息披露的有关规范相对较多。其中,中国证监会是规范的最早单位,这主要体现在上市公司年度报告和招股说明书的信息披露规范中。之后,我国深圳证交所和上海证交所也对上市公司内部控制信息披露制定了比较具体的规定;如今,2008年,***内部控制标准委员会出台了《企业内部控制基本规范》,并在2010年颁布了该规范的配套指引,在以上规范文件的陆续出台下,我国上市公司内部控制信息披露体系正在日益健全与完善。
二、我国上市公司内部控制信息披露中存在的问题
近年来,笔者对我国上市公司内部控制信息披露状况进行了观察,结合有关管理机构针对内部控制信息披露工作进行调研和统计资料。可以发现,目前我国上市公司内部控制信息披露还存在着不少问题。如果不能及时解决这些问题的话,不仅对上市公司利益相关主题决策的科学性带来不利影响,而且不利于我国资本市场的稳健运行。具体来说,我国上市公司内部控制信息披露问题体现在以下几个方面。
1、上市公司披露内部控制信息的动力不足
不能否认,相对于之前简单汇总和说明公司内部控制信息的情况,近年来上市公司无论是在内部控制信息披露的数量上,还是在质量上都出现了明显的改善。不过,上市公司的整体情况上,仍然只是少部分公司披露了“内部控制自我评估报告”,而且大部分上市公司笼统描述了公司年度报告中的“重要事项”、“公司治理”等项目,这种信息披露程度还无法满足资本市场的有效需求。另外,对于相关监管部门强制披露上的要求,不少上市公司并没有在年度报告中切实执行。以上种种问题表明了,上市公司缺乏自愿披露内部控制信息的动力。
2、上市公司内部控制自我评估报告可比性较差
相对于***内部控制标准委员会颁布的《内部控制评价指引》,上交所和深交所的“内部控制指引”不管是在形式上还是在内容上都具有一定程度的差异,这造成内部控制自我评估报告没有较高的可比性。比如上海证券交易所制定的规定,就鼓励上市公司披露注册会计师的内部控制审核报告,而深圳证券交易所则要求上市公司监事会,包括***董事发表内部控制自我评估报告的意见,这种情况造成大部分深圳证券交易所的上市公司仅仅对公司监事会和***董事的评估意见进行了披露,但是没有注册会计师内部控制审核报告,这会造成相关监管机构和投资者不能有效掌握上市公司的内部控制水平。
3、上市公司内部控制信息披露的责任主体混乱
目前,根据我国上市公司披露的内部控制报告等内容,可以发现上市公司在认定内部控制责任主体上存在一定的差异。由于上市公司在披露内部控制信息上存在着比较混乱的主体地位,这会造成内部控制责任不能得到切实执行,还可能造成内部控制信息披露工作形式化。在此基础上,上市公司内部控制设计和运行的目标将会难以实现,同时不利于对证券市场中投资主体利益的有效保护。
4、上市公司内部控制信息披露的质量相对较低
在我国证券市场中,上市公司内部控制报告的内容很少涉及到企业内部控制上存在的不足,而且对于大部分上市公司,都认为自身在内部控制上没有重大的缺陷。但是,这种报告背离了我国内部控制的整体建设状况和总体内控管理水平,具有报喜不报忧的倾向。虽然,一些上市公司在内部控制自我评估报告中或者上市公司年度报告中了一定程度的缺陷,但是在缺陷描述上往往含糊其辞,也即选择避重就轻的披露问题。同时,以上不具有实质性信息披露的报告却成为了符合规范性目标的工具,该情况不仅造成企业在执行战略决策的过程中无法融入内部控制,而且对投资者的长远利益造成了不小的损害。
5、上市公司内部控制评价标准不统一
在上市公司内部控制信息披露工作中,内部控制评价标准的不统一也是比较严重的问题。因为内部控制评价标准相对缺乏,造成上市公司在测评内部控制的有效性和完整性上具有相对较大的随意性和选择性,该情况导致内控信息的相关评价方法、程序等内容也具有模糊性和不完整性,这会造成内部控制信息披露质量的严重降低,尤其对上市公司及时发现并且纠正内部控制缺陷起到了阻碍作用。
三、提高上市公司内部控制信息披露质量的对策
经过以上对上市公司内部控制信息披露问题的分析,能够认识到上市公司内部控制系想你披露质量一方面影响到企业内部控制工作的改进与完善,另一方面,其内容和形式也会影响到资本市场中相关利益主体的投资行为。总体来说,我国上市公司内部控制信息披露中问题阻碍到上市公司内部控制建设工作的推进。为此,本文认为应当对上市公司治理结构进行优化,促进上市公司内部信息披露的规范性提高,引导资本市场提出高质量的内控信息要求,提升上市公司披露内控信息的动力,并强化相关监管工作。
1、完善上市公司的治理结构
对于上市公司内部控制信息的质量和效率,公司治理结构发挥着重要影响。公司治理结构是内控运行的环境和基础,对公司内部治理结构进行完善,可以为上市公司内部控制信息披露工作提供良好的基础。总的来说,我国上市公司在内部治理上还存在一定的不足,无法全面满足现代企业产权制度的有关要求。为此,首先要对现代产权制度予以健全,确定上市公司所有权与管理权分离后的委托―受托关系,为产权界定与保护构建良好的框架。同时,对公司的股权结构进行优化,完善合理的奖惩机制和制约体系,从而促进监事会和内部设计部门***性的提高,并为上市公司内控制度的运行奠定良好的基础,进而从根本上确保上市公司及时、真实地披露内控信息。
2、提高内部控制设计的灵活性和信息披露的规范性
因为上市公司在企业文化、业务流程、经营特征上具有一定差异,造成不同企业无法适用同一套内部控制体系,即便是在同一企业,不同那个时期的保证程度也不会相同。对此,必须促进上市公司内部控制设计的灵活性的提高,这要求上市公司在设计内部控制时做到因地制宜,以内部控制五要素框架作为基础,结合自身的特点,从而制定出针对性的制度;其次,灵活的内部控制体系建立在持续、科学的评价工作上,借助于科学的评价方法与工具,能够优化和改进上市公司内控运行中的问题。同时,内部控制信息披露的规范性是灵活性的重要前提,对信息披露工作进行规范,有助于内部控制体系的改进。对于内部控制信息披露的规范性,***府需要对内部控制信息的内容和形式进行监督指导,而上市公司则需要制定统一的标准,防止内部控制信息的纵向不可比。
3、利用机构投资者引导资本市场对内控信息的高质量要求
在资本市场中,信息使用者对于信息的需求直接影响到上市公司披露信息的质量,在机构投资者成为市场主力时,资本市场能够对内部控制信息提出高质量的要求。在我国资本市场不断健全的形势下,需要引入新的机构投资者,促进长期投资需求者的发展,进而利用机构投资者来引导资本市场对内控信息提出更高的要求。
4、提升上市公司披露内控信息的动力
目前,信息披露依据处在强制监管下,上市公司缺乏自愿披露内控信息的动力。对此,相关监管部门应当构建自愿性信息保险制度,包括科学的赔偿制度,为自愿性信息披露的质量提供保障。对于内控水平不高的公司,应当因势利导,推动资本市场的规范发展。此外,相关监管部门应当强化对上市公司内控信息披露工作的监督,并积极利用现代媒介,加大对上市公司违法违规行为的曝光,进而为我国内部控制制度建设创造良好的氛围。
结语
综上所述,本文分析了上市公司内部控制信息披露产生的原因,论述了我国上市公司内部控制信息披露中存在的问题,并提出了针对性的解决策略。总而言之,各个主体应当共同协作,推动上市公司内部控制信息披露体系的科学发展。(作者单位:吉林敖东集团力源制药股份有限公司)
参考文献:
[1]刘亚莉,马晓燕,胡志颖.上市公司内部控制缺陷的披露:基于治理特征的研究[J].审计与经济研究,2011(5).
内部控制信息篇9
中小企业内部控制要素分析
中小企业内部控制要素的整合必须借鉴国际通用的做法;基于内部环境构建企业的内部控制,借助风险评估手段、以信息与沟通为重要条件,控制企业经营管理活动,要素之间的互动与互补共同搭建起企业内部控制框架体系。提升***府监管的执行力,完善企业内部控制实施机制,将利益相关者各种行为纳入企业绩效考评体系,促进各要素形成一种合力。
(一)内部环境
内部环境是企业内部控制制度建立的基础要素,也是执行与校验企业内部控制机制的空间。企业的内部环境首先是研究公司内部组织结构的激励机制以及权力的相互制衡的治理结构,然后是着眼点在于解决委托-问题的机构设置及权责分配,完善内部审计机制,实施富有创新理念的人力资源管理***策。
(二)风险评估
风险评估是实施内部控制的中心环节,其基本内涵是剖析和界定实现目标可能发生的风险,企业必须首先制定与业务相关的目标,界定出企业可控与非可控风险。在充分识别各种潜在风险因素后,运用定性与定量交融的方法,依照风险发生的概率及其影响深度,对识别的风险进行分类、分等,确定风险控制的优先顺序。
(三)管控措施
管控措施是执行内部控制制度的策略和方法,是基于风险评估结果,遵循企业内部控制目标导向的具体方式和载体。内部控制的管控措施首先是严格执行不相容职务分离控制。不相容职务分离的核心是“内部牵制”,其次是程序授权审批应贯穿于企业在办理各项经济业务的全过程。再次是紧抓财产控制关键要点,妥善保管涉及资产的各种文件资料。
(四)信息传递与沟通
信息传递与沟通是有效实施企业内部控制的关键要素。企业在其经营过程中产生的大量信息,应依据经营管理的需要对这些信息进行识别、过滤、整合,提高信息的使用效率。信息的价值也必须借助传递和使用才能充分体现出来。企业应当将内部控制相关信息在企业内部各部门及有关人员之间进行沟通和反馈,实现企业内部控制流程与信息系统的有机融合。
(五)监督检查
监督检查是实施内部控制的重要保证,是企业对内部控制执行情况进行定期和不定期的监督检查,对于发现的内部控制问题进行及时纠正,以确保企业内部控制的有效性。内部监督一般通过日常监督和专项监督方式来完成。
会计信息化对中小企业内部控制要素的影响
在会计信息化环境下会计技术手段与会计职能范围都有很大革新与拓展。因而应深入分析会计信息化对中小企业内部控制要素的影响。
(一)会计信息化改变内部控制环境
会计信息化系统融合计算机及网络数据处理技术,遵循会计做帐流程,除了数据录入及参数设置外几乎不需人工干预。会计信息化革新了传统的内部控制方法与手段,保留了原有的手工时期基本账务处理流程,但增设了基于信息化平台的内控程序与操作要点。一般来讲,实施会计信息化的企业会计部门常常划分成会计信息收集组、会计信息处理组、决策分析组、系统维护组等。实施会计信息化后,企业的大部分内部控制功能迁移到以计算机流程化为基础的运作系统之中,人机交互控制系统逐步替代传统的人员控制系统。
(二)会计信息化拓展风险评估范围
企业在实施会计信息化系统后,衍生出企业业务流程风险、模块牵制风险和数据质量风险。这些风险都成为内控的关键要点,每一个关键要点失控都会产生牵一发而动全身的结果。实施会计信息化后,作为商业秘密的会计信息一旦被不法分子通过计算机病毒、口令字试探等手段窃取,有可能会使企业内部控制措施失效。因此,信息化是一把双刃剑,一方面提高了内部控制的效率,另一方面也提高了系统的控制风险,加大了风险评估的范围。
(三)会计信息化促使企业内部控制重点发生转移
会计信息化的实施扩大了企业内部控制的范围,传统手工内部牵制制度已经发展到对系统开发过程的控制、调用和修改程序的控制等。信息一体化的发展,更是加速了企业与外部的信息传递频率,以往清晰的内外分割日益淡化,内部会计控制的范围不断向延伸,进而加大了企业内部控制的难度。基于此,会计信息化条件下内部控制的重点将从岗位分离牵制向网络安全、共享数据和人机交互处理的控制等几个方面发生转移。
(四)会计信息化增加企业内部监管强度
会计信息化的无纸化与信息集成化特性,使得不法分子产出更多的造假冲动。因此,会计信息化对控制和监督手段相比传统手工阶段要求更高、难度更大。在会计信息化条件下,企业内部审计业务更多地是选择外包,内部审计外包加大信息资源安全性评估的难度。因此,实施会计信息化的企业,监督的范围和深度将会不断增大。会计信息化一方面使得监督效能大幅提升;另一方面却是同比例地增加监督难度。
会计信息化背景下中小企业内部控制体系优化路径
(一)推进企业内部信息资源共享
会计信息化后,企业业务系统与会计系统无缝对接,发生业务时,会计系统可以及时接收业务系统传递的数据,按照会计处理流程填制记账凭证、对账、记账。这一过程都是在系统内部自动完成,人为干预的可能性大大降低,确保企业业务数据与会计数据的一致性。信息化的企业要充分发挥信息化共享与集中的优势,随着社会经济一体化的发展,人们对信息的共享与集中提出了更高要求。因此,企业在推进信息化建设过程中,首先做好顶层设计,整体统筹规划,其次,制定企业内部信息资源共享实施细则,有效落实企业信息共享机制。
(二)企业内部牵制制度优化
企业会计内部牵制制度是企业内部控制制度的一个重要组成部分。企业要依据相应的法律规范建立有效的内部牵制制度,实现不相容岗位分离与约束机制。为此,实施会计信息化的公司应采取中立的组织结构,打破传统的垂直化组织体系,使决策组织与执行组织围绕工作任务形成一个闭循环的组织结构体系。使相关的组织都能有效参与公司主体业务的处理与协同。通过企业内部牵制制度的优化,规范前端信息采集、中端业务处理、末端信息传递。
(三)风险管理机制优化
风险管理机制优化首先是在对企业经营过程中的风险进行识别、估测、评估的基础上,优化整合各种风险管理技术,对风险实施有效的管控,从中归纳出共性的规律,挖掘管理系统的内在关联及运行机理,使企业能在降低的经济成本同时获得最大收益。实施信息化的企业可以建立业务过程风险库,风险自动识别与自动报警系统,以降低企业发生错误和舞弊的风险。同时,借助科学化的预算系统,理清集权与分权的关系,实现授权与制衡的融通交替,提高企业经营管理效能。事实表明,健全的预算管理能够大幅度提高企业内部控制的约束力,最终提升企业经济效益。
(四)内部监督管理机制优化
在会计信息化背景下,企业监督管理机制范围不再是停留在企业内部系统,更是拓展到外部网络系统。因此,企业内部监督管理机制应进一步规范与优化,将控制要点嵌入会计信息系统之中,从系统规划、运行、维护全过程的控制,企业对会计信息系统建设的每个环节都要进行有效的控制,保证系统中融入的控制功能正确地发挥作用。内部监督管理机制优化的目标是创造一个开放的、透明的管理制度,建立一个顺畅的内部沟通渠道,形成规范的、有章可循的管理制度。实施过程中可以建立完善业务部门的自我监督即管理监督、部门之间的监督即关联监督和监督部门的专职监督三个层次的内部循环监督工作系统,实现对财***资金运行全过程动态监督。通过改进预算编制方法、严控银行账户和资金拨付管理,加强对预算编制和执行的监督,同时通过外部专项检查,检测预算执行的真实性与准确性。
(五)外部监督体系优化
内部控制信息篇10
(一)会计信息系统的一般控制
(1)企业组织人事控制
企业会计信息系统内部控制的内容首先就是对企业组织人事的控制,会计部门负责记录企业的经济活动,因而在会计部门实施工作的过程中,通常都是利用计算机对经济活动的数据信息进行整理,达到企业经济管理的目的。同时由于经济活动参与者包括企业的其他部门,因而会计部门在对数据进行整理的过程中,有职责对企业组织人事进行控制,以便有效避免企业工作人员越权行为的发生。
(2)计算机硬件和计算机系统软件的控制
为了保障企业会计信息系统内部控制的实效性,企业相关部门应根据企业的发展方向和发展目前制定出一系列符合企业发展的计算机硬件和计算机系统软件的控制,进而在会计部门进行数据统计的过程中,有效避免计算机本身的故障影响到企业会计部门对数据信息的处理。同时,企业会计部门也应根据计算机硬件和计算机系统软件的特点构建相应的会计信息系统内部控制措施和方案,以便确保会计人员对计算机应用的规范化,并促使会计人员在工作过程中若遇到相关的计算机故障状况,可及时开启会计信息系统内部控制方案,进而降低计算机故障对企业会计信息系统管理的影响。
(二)会计信息系统的应用控制
(1)输入控制
会计信息系统的应用控制首先是对会计信息系统的输入控制,在输入控制中,企业会计人员可以采用如下两个方法:第一,是程序控制法,其要求会计人员在将信息输入到系统前,应对其金额和合法性等进行检验,从而达到会计信息系统输入控制的目的;第二,为了控制输入信息,会计人员应运用计算机系统中的检测功能,对数据信息进行核对,并及时修改部分错误的信息。
(2)处理控制
企业会计人员在对数据信息进行整理的过程中,很容易受到系统程序逻辑的影响而导致数据的最终结果出现偏差。对于此现象的发生,企业相关人员有必要对企业会计信息系统的处理进行相应的控制。首先在会计人员进行数据处理的过程中应对各项数据的来源实施追踪的策略,以便通过数据追踪可确保数据信息处理的准确性。其次,在企业会计人员处理相关数据信息的过程中,要对信息进行备份,避免计算机故障时,发生数据丢失的现象。
二、企业会计信息系统内部控制的影响因素
(一)外部影响因素
影响企业会计信息系统内部控制的外部影响因素主要有几下几个方面:第一,由于国家法规中详细规定了企业会计信息系统内部控制工作的内容,因而在企业的业务流程设计的过程中必须遵循相关的法规条文,致使其影响了企业会计信息系统内部控制的发展;第二,为了保障企业会计信息系统内部控制的安全,我国相关部门针对其设置了外部监管部门,进而对企业会计信息系统进行相应的控制。但是外部监管部门设立在保障了会计信息系统内部控制秩序以外,也同样限制了企业会计信息系统内部控制的进一步发展。第三,行业因素的影响也是企业会计信息系统内部控制的影响因素之一,例如,制造业等产业,由于其本身行业具有成本核算较为复杂的特点,因而促使其给企业会计信息系统内部控制工作带来了一定的挑战,因而会计人员很容易由于对某成本核算的疏漏而影响到了最终的数据信息的准确性。因此,制造业等成本核算较为复杂的企业,应采取相应的措施加强企业会计信息系统内部控制能力。
(二)内部影响因素
影响企业会计信息系统内部控制的内部影响因素首先就是企业领导的风格因素,若企业领导在管理的过程中,未实施正确的企业管理策略,那么企业会计人员在工作的过程中也将保持懒散的状态,进而促使会计信息系统内部控制达不到企业发展的要求。其次,会计人员的文化程度直接影响了企业会计信息系统内部控制的效果,因而在信息化时代下企业为了更好的发展,必须确保会计人员在提高会计人员记账水平的基础上,重视提高企业会计人员的财务分析能力。
三、结论