关于完善企业内部控制评价体系的思考

来源:财务与会计 作者:夏鹏 人气: 发布时间:2022-10-31
摘要:内部控制评价在企业内部控制体系建设和运行过程中发挥着十分重要的作用,通过对企业内部控制体系建设和运行过程进行追踪反馈,检验内部控制体系建设和实施成果,发现内部控制...

  自2006年国务院国资委发布《中央企业全面风险管理指引》,2008年财政部等五部委联合发布《企业内部控制基本规范》及2010年发布《企业内部控制应用指引》等相关配套指引以来,企业内部控制建设已成为企业防范经营风险、提升管理水平的重要抓手,各企业尤其是国有企业和上市公司内部控制体系的建立和完善,使得企业内部控制实现了从无到有、从有到优的跨越和发展。国务院国资委于2019年印发《关于加强中央企业内部控制体系建设与监督工作的实施意见》、2020年印发《关于做好2021年中央企业内部控制体系建设与监督工作有关事项的通知》后,国有企业开始了风险管理体系、内部控制体系、合规管理体系“三合一”建设工作,企业内部控制体系建设向着“一体化”方向纵深发展,为企业实现高质量发展进一步夯实了管理基础。

  内部控制评价在企业内部控制体系建设和运行过程中发挥着十分重要的作用,通过对企业内部控制体系建设和运行过程进行追踪反馈,检验内部控制体系建设和实施成果,发现内部控制体系存在的设计和运行缺陷,分析造成缺陷的原因,推动缺陷整改,促进内部控制体系不断优化和持续有效。内部控制评价作为国有企业一项例行性工作,每年集团下级企业都要向集团总部、集团总部要向国资委报送内部控制评价报告,上市公司还要公开披露内部控制评价报告和内部控制审计报告,但在企业内部控制评价过程中,还存在一些影响内部控制评价质量和效果的问题,需要加以研究解决。

  一、企业内部控制评价的依据

  企业内部控制评价的依据主要包括《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》(以下简称《指引》),以及上级主管部门、企业的内部控制管理相关制度,企业内部控制管理手册和企业内部控制流程文档。其中,《指引》是指导企业进行内部控制评价工作的主要纲领性文件。

  根据《指引》,企业内部控制评价“是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程”。内部控制的有效性分为设计有效性和运行有效性。设计有效性是指“为实现控制目标所必需的内部控制程序都存在并且设计恰当”,通俗地说,就是做到“应有尽有”“有即恰当”;运行有效性是指“在内部控制设计有效的前提下,内部控制能够按照设计的内部控制程序正确地执行”,通俗地说,就是做到“有规必依”“依则合辙”。

  内部控制评价的目的是对企业内部控制的有效性进行评价,从而达到以评促改、以评促用的效果。以评促改是指通过内部控制评价,发现内部控制在设计方面存在的缺陷,促进企业内部控制体系不断完善;以评促用是指通过内部控制评价,发现内部控制在运行方面存在的缺陷,促进各部门严格执行内部控制,不断提高企业经营管理水平和风险防范能力。

  内部控制评价的核心在于对内部控制缺陷的认定。《指引》按照内部控制缺陷成因或来源,将内部控制缺陷分为设计缺陷和运行缺陷。设计缺陷是指因缺少为实现控制目标所必须的控制,或者现有控制设计不当而产生的缺陷。因为该缺陷的存在,即使内部控制体系正常运行,也难以实现控制目标。运行缺陷是指设计合理且适当的内部控制由于运行不当而产生的缺陷,包括未按设计的方式或意图运行、运行的时间或频率不当、没有得到一贯有效运行、由不恰当的人员执行、执行人员缺乏必要授权等。由于该缺陷的存在,致使内部控制体系运行之后,也不能有效地实现控制目标。

  内部控制缺陷在层级上可分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是指“一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标”;重要缺陷是指“一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标”;一般缺陷是指“除重大缺陷、重要缺陷之外的其他缺陷”。

  企业内部控制评价的成品是内部控制评价报告。在内部控制评价报告中,除了描述内部控制评价的依据、范围、程序和方法,内部控制缺陷认定情况及整改措施外,还要形成内部控制是否有效的结论。如果企业内部控制不存在重大缺陷,就认定企业内部控制有效;否则就认定企业内部控制无效。

  对于上市公司来说,除了上述依据外,还应按照《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》(以下简称《规则》)开展内部控制评价工作。《规则》按照影响内部控制目标的具体表现形式,将内部控制缺陷分为财务报告内部控制缺陷和非财务报告内部控制缺陷。财务报告内部控制缺陷是指不能合理保证财务报告可靠性的内部控制缺陷;非财务报告内部控制缺陷是指虽不直接影响财务报告可靠性,但对除财务报告可靠性以外的其他内部控制目标产生不利影响的内部控制缺陷。《规则》还提供了年度内部控制评价披露参考格式,作为上市公司年度内部控制评价报告的统一编制模板。

  二、企业内部控制评价体系存在的问题

  (一)评价结果缺乏可比性

  尽管缺陷认定标准中有定量的部分,但总体来说,目前企业内部控制评价仍是一种定性评价,只能得出企业内部控制有效或无效的结论,而不能比较同一企业不同时期或不同企业同一时期内部控制水平的高低。如不同时期内部控制评价结论同样都是有效的企业,其内部控制水平有无变化?同一时期内部控制评价结论同为有效的不同企业内部控制水平有无差别?目前的内部控制评价体系无法得出可比的结论,原因在于缺乏定量评价。

  (二)缺陷认定标准缺乏一致性

  《指引》未明确内部控制缺陷认定标准如何确定,由企业根据《企业内部控制基本规范》及其配套指引自行设计;《规则》将内部控制缺陷认定标准分为定量标准和定性标准。因此,对于定量标准,不同企业关于认定指标的选择和不同层级缺陷之间的数量边界都不一样;对于定性标准,不同企业在指标选择和表述方式上差异较大。表1归纳了不同上市公司财务报告内部控制缺陷认定的定量标准,在定量标准中既有比例标准,也有金额标准;在比例标准中,既有“营收的一定比例”“利润的一定比例”,也有“总资产的一定比例”“净资产的一定比例”等,或者几者兼而有之。可以看出,不同企业关于内部控制缺陷认定的定量标准各不相同,定性标准更是“五花八门”,由此造成同一事项在有的企业可能是重大缺陷,在有的企业可能只是重要缺陷或一般缺陷,影响了内部控制评价结果的科学性和公平性。

  (三)评价程序缺乏规范性

  《指引》第三章对于企业内部控制评价程序作了提纲挈领式的规定:“内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节”,并简要描述了评价工作方案的内容、评价工作组的职责、现场测试的方法;《指引》第四章阐述了内部控制缺陷的分类、分级,并提出了编制内部控制缺陷认定汇总表的要求;《指引》第五章提出:“内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露”。但上述规定仍缺乏对于内部控制评价程序全面、详细、系统的操作指引,很多方面需要企业自行完善、补充,造成实际工作中各企业操作不一。《规则》则基本上没有内部控制评价程序的相关内容。

  (四)评价报告缺乏统一性

  不同的企业,特别是上市公司和非上市公司,由于内部控制评价的依据有所不同,因而在内部控制评价报告的内容、要素和格式上也有所不同。

  《指引》规定:“内部控制评价报告至少应该披露如下内容:1.董事会对内部控制报告真实性的声明;2.内部控制评价工作的总体情况;3.内部控制评价的依据;4.内部控制评价的范围;5.内部控制评价的程序和方法;6.内部控制缺陷及其认定情况;7.内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;8.内部控制有效性的结论”。《规则》规定:“公司年度内部控制评价报告应包括如下要素:1.标题;2.收件人;3.引言段;4.重要声明;5.内部控制评价结论;6.内部控制评价工作情况;7.其他内部控制相关重大事项说明”。

  两相对照,《规则》除了格式上更规范外,内容上比《指引》简单。除少数上市公司按照《指引》要求披露内部控制评价报告外,多数上市公司都是按照《规则》要求披露内部控制评价报告,有的上市公司图省事,只按照《规则》的最低要求披露,导致上市公司内部控制评价报告比较概括、笼统,反而不如非上市公司详尽和具体,不能全面反映公司内部控制建立和运行的实际情况和风险控制水平。非上市公司一般按照《指引》的分类,将内部控制缺陷分为设计缺陷和运行缺陷;上市公司一般按照《规则》的分类将内部控制缺陷分为财务报告内部控制缺陷和非财务报告内部控制缺陷,更有甚者,一些上市公司内部控制评价报告中仅有内部控制有效的结论,而缺少缺陷分析及整改情况这些重要内容,由此造成不同企业内部控制评价报告披露格式和内容不一。

  (五)评价存在形式主义倾向

  一些企业虽然成立了内部控制评价领导小组,但小组只是“挂名”,在内部控制评价过程中并未实质性地发挥组织、领导、协调作用,实际评价工作由审计部等主责部门“唱独角戏”,未形成联调联动机制。

  另外,企业内部控制评价方式单一,大都是自评价,少有聘请第三方进行评价的。即使是上市公司,也都是以自评价报告为基础,内部控制审计更多地是对企业内部控制自评价的复核。长此以往,内部控制评价就会流于形式,其应有的功能和作用反而退居其次了。

  (六)评价报告的应用不够

  有的企业不重视对企业内部控制失效或发生缺陷的原因、性质和影响进行分析,也不重视缺陷的整改,更没有将内部控制评价结果与企业绩效考核和奖惩挂钩,不能正本清源、举一反三,也不能惩前毖后、治病救人,造成“年年整改年年犯,年年缺陷一个样”的情况,内部控制评价报告的有用性不能充分发挥。

  三、完善企业内部控制评价体系的建议

  (一)建立内部控制定量评价体系,提高评价结果的可比性

  企业应借鉴财政部、国务院国资委关于企业综合绩效评价的成功经验,探索内部控制定量评价的思路,设计类似“百分制”的企业内部控制评价体系,具体涉及评价指标的确定、评价指标权重设定、评分标准的制定等,实现企业内部控制评价结果的量化反映,从而使企业内部控制评价的结果具有可比性。例如,同样是内部控制评价结论为有效的企业,90分比70分的内部控制水平应显著为高;上年60分、本年80分的企业内部控制水平应有显著进步。定量评价体系的设计比较复杂,工作量较大,需要开发相关评价软件,对企业的信息化水平要求较高,建议由财政部、国务院国资委、证监会等政府相关部门统一或牵头组织设计、开发。

  (二)建立内部控制缺陷认定标准体系,增强评价结果的科学性

  企业制定内部控制缺陷认定标准,首先应摆脱主观性以及“以结果论英雄”的片面认识,建立内部控制设计或运行情况与企业内部控制缺陷之间的因果关系,做到客观公正、可验证、有说服力。应跟踪企业内部控制设计和执行的全过程,区分内部控制五要素,全面检查企业各项业务活动及其相应的业务流程。在内部控制体系设计的有效性方面,根据国家相关规定和企业经营管理需要,判断相关控制是否“应有尽有”“有即恰当”,没有的或不恰当的即为缺陷;在企业内部控制运行的有效性方面,观察控制在各业务流程的执行情况,是否做到“有规必依”“依则合辙”,没有执行或没有正确执行的即为缺陷。

  在定量认定标准上,总体原则是:内部控制缺陷可能导致或已经导致的损失与利润表相关的,应以营业收入或利润指标衡量;内部控制缺陷可能导致或已经导致的损失与资产管理相关的,应以资产总额或净资产总额指标衡量。在此原则的基础上,再根据企业所处行业、规模等要素对缺陷层级标准予以明确化、精细化。建议由政府相关部门统一或牵头组织,根据行业、企业规模等制定可以统一操作的定量认定标准。

  在定性认定标准上,要全面考虑影响企业战略目标实现、制约经营效益和效率提升、造成财务报表错报、威胁资金资产安全以及违法违规行为等可能造成企业偏离控制目标的事项,并结合企业管理层的风险偏好和对风险的容忍程度,选择和关键控制点密切相关的认定指标。建议政府相关部门统一或牵头组织,在调查研究的基础上,制定重大缺陷、重要缺陷、一般缺陷的认定标准,这些标准应当基本囊括所有可能的选项,以供企业根据各自的实际情况对应选择。

  (三)建立内部控制评价程序指引,增强评价过程的规范性

  企业应根据所处行业、规模大小、运行风险情况、组织结构的复杂程度、业务和流程的具体情况等,设计规范的内部控制评价程序手册。内部控制评价程序主要分为如下三个阶段:

  第一阶段:内部控制评价准备阶段,主要任务为确定工作方案、组织与人员筹备、建立沟通协调机制、资料收集与研读、评价表设计等。具体包括:(1)制定、沟通、确认内部控制评价工作方案;(2)组成内部控制评价工作组;(3)企业报送各部门、各下级企业内部控制评价现场检查工作联系人,建立沟通协调机制;(4)收集内部控制评价所需基础资料;(5)根据评价工作组内部分工研读相关资料;(6)评价工作组设计编制评价表、抽样资料清单等。

  第二阶段:内部控制评价实施阶段,由评价工作组依据评价工作方案所确定的内容与程序进行现场检查。具体包括:(1)取得并审阅被评价部门或下级企业主要业务流程和流程控制描述,以及内部控制制度、程序文件等相关资料,初步评价内部控制情况;(2)综合运用询问、观察、检查、穿行测试等方法,充分收集被评价部门或下级企业内部控制设计和运行是否有效的证据;(3)在评价过程中实时关注企业现有内部控制流程信息化的上线以及运行情况;(4)评价人员根据评价实施情况编制评价工作底稿;(5)评价工作组内部研讨,对评价工作底稿进行质量复核和完善;(6)评价工作组就评价工作底稿分别与主责部门和相关部门沟通确认。

  第三阶段:内部控制评价报告编制阶段,评价工作组以汇总的评价工作结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,编制内部控制评价报告。具体包括:

  1.综合分析。评价工作组汇总评价结果,对现场初步认定的内部控制缺陷进行全面复核、分类汇总,对缺陷的成因、性质、影响、表现形式及风险程度进行定量或定性的综合分析。分析的内容包括但不限于以下几方面:(1)根据评价工作方案及实施情况判定现场评价范围是否完整,有无重大遗漏;(2)全面复核或抽查评价工作底稿,检查评价程序是否完整、评价方法和样本量是否符合评价质量要求、评价工作记录是否清晰、评价工作底稿是否规范等;(3)判定现场评价结论是否恰当,是否有充分可靠的评价证据作为支撑。

  2.报告编制。评价工作组应以汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地编制内部控制评价报告。其中最基础的资料是工作方案、工作组的构成及分工、样本选择范围、评价表、抽样资料清单、评价工作底稿、内部控制缺陷认定汇总表等,需要设计统一的标准和模板。表2为内部控制缺陷认定汇总表简单示例,其中对于内部控制缺陷类别,应综合《指引》和《规则》的规定分别列示设计缺陷、运行缺陷和财务报告内部控制缺陷、非财务报告内部控制缺陷两个类别。

  (四)统一内部控制评价报告,保证不同企业披露格式和内容的一致性

  应综合《指引》和《规则》的规定,对企业内部控制评价报告格式和内容统一规定如下:标题;收件人;引言段;重要声明;内部控制评价工作的总体情况;内部控制评价的依据;内部控制评价的范围;内部控制评价的程序和方法;内部控制缺陷及其认定情况;内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;内部控制有效性的结论;其他内部控制相关重大事项说明。

  其中,对于内部控制缺陷,应就设计缺陷和运行缺陷、财务报告内部控制缺陷、非财务报告内部控制缺陷分别说明。这样可以统一企业内部控制评价报告的披露格式和内容,为内部控制评价报告的使用者提供有关企业内部控制设计和运行全面、具体、详细的信息,以便对企业内部控制现状作出更加准确的了解和判断。

  (五)改进内部控制评价组织形式和评价方式,避免形式主义倾向

  企业应强化内部控制评价的组织领导和协调联动。领导小组要切实担起职责,把握好内部控制评价的大局和方向,定期听取工作汇报,及时对内部控制评价工作提供指导和支持,协调解决内部控制评价过程出现的问题,推动内部控制评价真正落到实处,做出成效。除主责部门外,评价工作组还要广泛吸收企业内部相关部门和下级企业熟悉情况、业务能力强的骨干参加,形成部门联动、上下联动机制。

  企业应尽可能丰富内部控制评价的方式,对于集团型企业,除了每年各级的自评价外,集团总部可以定期组织对下级企业的抽样评价,或者组织下级企业之间进行交叉评价,或者聘请中介机构对下级企业进行抽样评价;各级国资委可以对于所辖一级企业或者一级企业下属二级、三级企业组织抽样评价,抽样评价可以每年轮换进行,若干年内实现全覆盖;还可将集团型企业或各级国资委组织的评价、中介机构的第三方独立评价与企业自评价进行对比,以检验企业自评价的实施水平;上市公司也可以在自评价的基础上,聘请年报审计所以外的中介机构进行内部控制评价,以对自评价进行校验,并为内部控制审计提供支持。

  (六)重视内部控制评价报告的应用,提升评价的有用性

  一是要对各年内部控制评价过程中发现的内部控制缺陷进行汇总对比,看是否有重复项,解决“前整后犯”的问题;二是要分析内部控制缺陷是设计缺陷还是运行缺陷,以及缺陷产生的实际过程,解决“为什么犯”的问题;三是要将内部控制评价报告在全企业范围内进行通报,做到众所周知,以举一反三,解决“别人整、自己犯”的问题;四是要全面落实、限期进行内部控制缺陷整改,持续跟踪缺陷整改进展,直到所有缺陷都得到完善,以解决“重评轻改”的问题;五是要对导致内部控制产生缺陷或者造成错报或和资产损失的相关责任人视情况进行奖惩,以解决“犯与不犯一个样”的问题;六是要将评价结果与企业绩效评价挂钩,在企业绩效评价体系中对其赋予一定比例的分值,以解决“做好做坏一个样”的问题。