社会调查报告是调查报告的一种,目的是调查了解社会经济发展的情况或某一现象,以引起公众和有关部门的重视,尽快得到及时妥善的处理、解决。社会调查报告调查的主要对象是公众关心的社会经济与发展问题,它注重真实、具体、典型的事例与数据,注重分析事情产生的背景、成因,意义或危害性,也可适当提出一些解决问题的合理建议。
二、社会调查报告的内容
本次社会调查报告内容必须结合专业内容进行选题、调查,同时也为毕业论文的撰写作前期的调查与收集工作。
三、社会调查的方法
1、普遍调查 2、重点调查3、典型调查 4、抽样调查
四、社会调查报告的基本结构
(一)标题:写明调查对象的名称及内容,如《关于下岗工人再就业问题调查》、《关于重庆市社治安问题的调查》。
(二)导语:此为社会调查的开头部分,也称前言、导言。此部分需写明社会调查的意图、性质、时间、地点、对象,以及调查的范围和采用的调查方法。
(三)主体:这是社会调查报告的核心部分,也称正文
1、情况部分:介绍调查所得到的基本情况,应注重具体事实、统计数据、文字应简明、准确,条理分明,也可兼用数字、表格、图示说明。
2、分析部分:重点分析所调查事情或现象的产生背景、原因、实质,条分析缕,有事这有依据,抓住问题的实质、规律,揭示出其重要意义或危害性,给人印象深刻,提醒世人或领导注意。
3、建议部分:在有力的分析下,根据实际情况,提出解决问题的建议,为有关部门恰当处理提供参考。
(四)结语:总结全文、深化主体、警策世人,也可在建议部分结束
五、社会调查报告的结构方式
(一)纵式结构:按照事情发生、发展的先后顺序安排材料,如果是针对某一件事情,通常可采用这种结构方式,如《某某贩卖毒品的犯罪调查》、《某某公司不正当广告炒作的调查》。
(二)横式结构:根据材料的内容、特点、性质的不同,进行分类处理,如果是针对某类社会现象,通常采用此种结构方式,如《关于中、小学实行强行补课的调查》、《关于独生子女问题的调查》,社会调查报告一般立足于某类社会现象,故这是常见的一种结构方法。
(三)纵横式结构:将上述两种方法结合起来,但应确定以某一种结构方式为主,另一种为辅。
六、社会调查报告的写作要求
(一)写作前目的明确,认真选择调查对象,认真选择调查对象,认真制定调查计划,计划内容包括:
1、确定调查对象(范围、程度),选择公众关心、有调查价值、自己也有能力驾驭的社会现象。
2、确定调查目的、调查项目、调查方法。
3、准备调查需用的工具(如照相机、笔记本、电脑等)、经费,安排好调查日程。
(二)认真进行调查,搜集有关资料,注意材料的准确性、典型性。
(三)整理分析调查到手的材料,进行分类、鉴别、筛选,去粗存精,去伪存真。
(四)撰写社会调查报告
1、确立自己的观点、看法,但必须在尊重事实的基础上进行理性判断。
2、实事求是,不夸张、不隐瞒实情,如实将调查到的情况写出来,注意突出重点,不必面面俱到。
【关键词】内部控制 控制框架 公司治理
在社会经济运行过程中,内部控制无疑是一个永恒的话题。在内部控制漫长的发展过程中,内部控制历经了萌芽、初步成型、发展、成熟、深化等诸多阶段,内部控制的概念、范围和内容也发生了重大变化。对内部控制发展脉络进行梳理,并在此基础上对内部控制的最新发展进行分析、总结和提炼,将有助于我们对包括内部控制检查与评价在内的内部控制要素的认识更加系统和深入,也有利于我国企业内部控制的实施。
内部控制的发展阶段
根据不同划分标准,内部控制的发展阶段可以有不同的划分。从内部控制发展的主要推动力角度,可以将内部控制的发展划分为如下阶段:基于企业内部管理的需要的阶段(20世纪40年代前)、基于审计的阶段(20世纪40年代至90年代初)、基于公司治理的阶段(20世纪90年代至今)。其中,基于审计的阶段和基于公司治理阶段又可根据内部控制的涵义和内容的变化细分为若干分阶段。上述阶段的划分列示如表1:
内部控制的最新发展:内部控制框架的深化
以COSO和COCO为代表的内部控制框架标志着内部控制理论已进入成熟和稳定发展的阶段。进入21世纪以来,为了更好地促进企业的内部控制建设,各国在内部控制框架理论的基础上对内部控制领域的文件和实务进行审视,并与时俱进地对内部控制框架进行了发展和深化,取得了丰硕的成果。归纳起来,主要成果如下:
以风险管理为导向的内部控制框架。在前述COSO和COCO内部控制框架中,风险的识别、评估及应对都是重要的内部控制要素或控制标准。随着经济发展,企业迫切需要一种控制框架来帮助企业对风险进行有效的控制和管理。
鉴于此背景,经过几年的研究和酝酿,2004年COSO委员会正式了《企业风险管理―整体框架》的报告(以下简称COSOERM)。与1992年COSO内部控制框架相比,COSOERM框架以风险管理为主线对内部控制框架作了进一步的发展,它的正式意味着,公司治理层对内部控制的构建及其效果的评价应当采取一种基于风险导向的方法。
加强对财务报告内部控制有效性评价的外部监管。反思丑闻产生的根源,内部控制失效无疑难辞其咎。为了重建投资者对美国上市公司及资本市场的信心,该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出了《萨班斯―奥克斯利法案》(简称萨奥法案,下同)。
针对公司内部控制失效进而导致管理层欺诈这一问题,法案专门做了相关规定,这些规定主要体现在三百零二条款和四百零四条款中。三百零二条款强化了公司管理层对财务报告的责任,主要内容有:要求公司首要官员及首席财务官在季度/年度报告中签字保证财务报告的可靠性和公允性,并承担包括刑事责任在内的法律责任;公司管理层对于内部控制的建立和维持负责,并对信息披露过程中控制的有效性进行评估;强调财务人员的正直和财务报告系统控制的完整性。四百零四条款则从法律上要求管理层必须对公司内部控制的有效性进行评价。
内部控制框架中的监督检查要素的进一步深化和CSA内部评估工具的兴起。针对公司丑闻事件所暴露出来的内部控制有效性欠缺的问题,COSO委员会也进行了反思和专门的对策研究。他们对内部控制框架中的监督检查要素进行了深化,于2007年了《内部控制监督检查指南》讨论稿。该指南明确了进行有效监督检查的两个基本原则,归纳分析了影响监督检查有效实施的三个主要影响因素,从机制建设层面和方法层面为有效实施内部控制检查提供了具体指引。
在对内部控制进行内部监督和评价的工具层面,一种新兴的内部控制评估方法,即内部控制自我评估(Control Self-Assessment,CSA)也得到了很大的发展。从本质上看,CSA是一个动态有机过程,它能够帮助公司股东识别出所面临的风险,适时监测处理风险的内控制度,以及评价或评估内控制度的适当性。CSA突出的作用和非凡的效果已得到理论界、企业界、审计界的认可,已成长为主流的审计和内部控制建设及评估的工具。
信息与相关技术的内部控制得到了重视和发展。当今社会已是信息社会,信息技术的应用已遍布企业经营和管理的环节,也是内部控制所要面对的一个控制环境。在COSO内部控制框架中,所有的组成要素,特别是风险评估、控制活动和信息与沟通,都要考虑信息技术的应用所带来的挑战和机遇。1996年,美国审计和控制基金会了名为《信息与相关技术的控制目标》(COBIT)的公告,该公告提供了一种能使管理者将控制要求、技术问题与业务风险联系起来的IT治理框架,对信息技术环境下内部控制的建设及评估提供了指导。2005年底了COBIT的第四版公告,强调法规的遵从性,帮助组织提升从IT获得的价值,使IT操作与商务运营相结合,并支持在IT治理方面的持续改进。
内部控制发展的启示
从内部控制的发展阶段的划分及其最新发展,可以得出如下启示:
公司治理(包括企业内部管理,下同)、独立审计和政府推动是推动内部控制发展的三驾马车。在这三个主要推动力中,公司治理的需要是内生的、持久的、根本的推动力。因此,内部控制的理论研究与实务开展应首先立足于提高公司治理、改进企业管理水平以更好的实现组织的目标和降低风险的需要,同时兼顾独立审计界降低审计成本、合理界定审计责任的需求,而政府在对内部控制进行立法要求时,应着眼于引导企业认识到组织的发展和目标实现需要一个良好的内部控制体系,进而能够自觉地结合企业的实际情况进行适合自身的内部控制体系建设;在具体立法条款设置时,宜采用原则导向,而非规则导向,因为过于具体的规则,将可能使企业将内部控制建设视为一项被动遵从的事项,而非是企业实现组织目标、谋求更好发展的一个必不可少的机制和过程。
关键词:LFA 目标层次 验证指标 验证方法 重要假设
逻辑框架法(Logical Framework Approach,简称LFA)是美国国际开发署(US-AID)开发并运用的一种项目设计、计划和评价工具,目前有2/3的国际组织把它作为援助项目的计划、管理和评价方法。在项目投资决策中使用LFA,把项目投资目标划分为宏观目标(Goal),具体目标(Objectives),产出效果(Outputs)和具体的投入活动(Input and activities)四个层次,辅之系统、规范的评价指标与验证方法体系,将项目的分析评价结果形成一个逻辑框架矩阵表(如表1),能够确保决策的科学有效。
LFA目标层次
逻辑框架汇总了项目实施活动的全部要素,并把项目划分为四个相互联系的目标层次,包括宏观目标、项目具体目标、项目产出效果目标和项目投入活动目标四个目标层次。
(一)宏观目标
宏观目标是宏观规划、政策和方针所指向的目标。它超越项目的范畴,是关于国家、地区、部门或投资组织的整体目标。根据科学发展观和构建和谐社会的要求,可以把我国所有项目的宏观目标定性为“构建和谐社会”。但是,由于项目的背景、建设条件、影响范围等因素各不相同,宏观层次目标又可以有多种具体的表达方式,如促进城市化进程,调整优化经济结构,转变经济增长方式,摆脱贫困状况,促进地区协调发展,促进产业升级换代,改善生产力布局等。宏观目标通常由国家或行业部门、地区选择确定。如果项目实施的影响面涉及全国,则由国家统一确定,如西部开发战略性项目的宏观目标,东中西部协调发展战略项目的宏观目标等,如果项目实施的影响面主要涉及行业部门或地区,则由行业部门或地区确定,如构建厦门市海湾型城市发展战略项目的宏观目标由厦门市具体确定,建设海峡西岸经济区战略项目的宏观目标由福建省等研究确定,促进行业技术升级换代的项目,其宏观目标由各行业论证确定。
宏观目标构成项目逻辑框架的最上层次,是项目具体目标选择的约束条件。
(二)具体目标
项目具体目标也称项目的直接目标,是项目所要达到的直接效果,即项目为目标受益群体带来的效果,如一个以摆脱贫困为宏观目标的项目,其直接目标可以体现为通过项目建设使多少人口摆脱贫困状况,一个以推进地区城市化进程为宏观目标的项目其具体目标可以表述为通过项目建设使多少农民转为市民,一个以产业结构调整为宏观目标的项目,其直接目标可以是通过该项目的建设使该地区的产业结构发生了怎样的变化等等,它是达到宏观目标的子目标之一,也是该项目投资者希望达到的目标,是用以评价某一项目最后取得成功的判断依据。这个层次的目标由项目的实施机构和独立的评价机构选择确定,目标的实现取决于外部环境和项目自身的因素。项目规划的使命就是要努力保证项目直接目标的实现,它为宏观目标的实现提供支持和保障。
(三)产出效果目标
项目产出效果目标是实现项目直接目标必须达到的结果,即项目的建设内容或具体的产出物,如港口、铁路、供电设施、学校、医院、钢材、木材、水泥等等。项目产出效果目标是确保项目直接目标实现的充分必要条件。例如一个以通过产业结构调整推进某地区城市化进程为宏观目标,以使5万农民转为城市居民为直接目标的建设项目的产出效果目标,应该具备使宏观和具体目标顺利实现的合适、必要和足够的产出效果,这可能包括一个一揽子的建设内容,具体的产出物可能包括:按城市建设规划要求建设一个或多个住宅小区,安置失地农民并避免出现“城中村”;配合产业结构调整建设一个或多个劳动密集型工厂或发展就业弹性大的服务业,解决转为市民的农民就业问题;相关配套的各种基础设施建设;对转为市民的农民进行培训,使其掌握相应的生产技能等等。
(四)投入活动目标
该层次是项目的具体实施过程及内容,主要包括资源和时间等的投入。它是为实现产出效果目标应开展的相应的投入活动。通常需将项目的产出效果目标与对应的投入活动逐一编号,列明时间顺序或优先顺序。例如上例所列举的四个产出效果目标,就需要有确保四个目标全面实现相应的土地、资金、物资、人员、技术等资源和保证目标如期实现的时间安排与配套措施。
以上四个层次的目标自下而上构成三个相互联系的垂直逻辑关系。即:
如果,保证一定资源的如期投入并进行科学的管理,那么,项目的投入活动可以顺利进行,预期的产出目标能够如期实现。如果项目的产出目标如期实现并确保外部条件能够落实,那么,项目的产出活动能够顺利进行,直接目标可以如期取得。如果项目的直接目标能够如期取得而且具备实施地区、行业或国家的发展规划的前提条件,那么项目的宏观目标能够实现。
逻辑框架中的“垂直逻辑”清晰的反映出项目目标层次的因果关系,但是仅仅对项目进行“垂直逻辑”分析,还不能满足对项目进行评价与决策的要求,也无法判断项目是否符合“和谐社会”目标的要求。因此,还需要对项目进行“水平逻辑”分析,目的是通过设计与“垂直逻辑”中的每个层次目标相对应的主要的验证指标、验证方法和重要假设条件,来衡量一个项目的资源和成果,并对四个层次的结果做具体的评价。“垂直逻辑”与“水平逻辑”共同构成项目的基本逻辑框架,见表1所示。依据逻辑框架表便可以对项目进行全面的分析、评价与决策。
LFA客观验证指标选择
(一)LFA验证指标应具备的基本条件
在运用逻辑框架法时,四个目标层次都需要有与之相对应的客观验证指标,包括数量、质量、时间和人员等,以检验各层次目标的结果及实现程度。验证指标的确定应该是客观且可以验证的,不能凭主观臆断。作为逻辑框架的验证指标应具备的基本条件包括:必须是清晰的量化指标,能够对目标实现程度进行测定和描述;必须针对项目的主要目的,体现项目的个性化要求,即主要验证指标因项目而异;验证指标与对应目标的关系明确合理,且是唯一的、单独的;验证指标必须是完整的、充分的、定位准确的;验证指标是客观的,不是人为可以改变的。
当然,项目的不同目标层次对验证指标也有各自不同的要求。
(二)LFA各目标层次验证指标特点
宏观目标客观验证指标具有概念性、非具体化及周期性的特点,它更侧重于价值判断,较多地使用一些间接的验证指标,并要求能够根据项目的具体特点尽量使用对项目具有针对性的量化指标。不同项目对和谐社会的贡献方式和贡献程度是不一样的,但是在“构建和谐社会”宏观目标约束下,“环境指标”是所有项目共同的验证指标,每个项目都要对项目所引起的环境问题进行全面的分析,将项目环境指标与国家确定公布的环境质量标准、污染物控制标准和总量控制标准进行比较,由此检验人是否与自然和谐。
具体目标、产出效果目标和投入活动目标相对于项目宏观目标可以统称为微观目标,其客观验证指标则要求使用具体的、定量化的指标,应具有可作业性和可验证性,而且,根据项目各层次目标之间存在的逻辑关系,通过对微观目标验证指标的检验,应该能够清晰的判断宏观目标的实现结果和实现程度。宏观目标处于项目逻辑框架的最上层,能够确保项目宏观目标实现的决策就是科学有效的决策。
LFA客观验证方法确定
逻辑框架方法要求设计一套验证指标以检验项目每个层次目标能否实现,并要求验证指标必须是客观且可以验证的。由于项目的验证指标与各目标层次一一对应,并体现出项目的个性。因此,验证方法也必然与验证指标一一对应,并且因项目而异,只有这样的检验方法才是科学可行的。根据逻辑框架的要求,作为指标检验标准的验证方法,可以是文件、书籍、资料,也可以是评价或分析报告。例如,要检验某项目“使本区居民人均收入水平提高5%”的宏观目标是否实现,可以通过收集分析“某地区国民经济和社会发展统计资料”和“项目实施效果分析报告”等方法要完成,要检验某项目“环境治理方案是否合理有效”可以采用审查“环境影响报告书”的方法,逻辑框架方法运用的验证方法不仅种类多,而且来源渠道十分广泛。但是,要作为验证方法必须具备两个基本条件。
具有权威性。指被用以检验指标客观性的文件、数据资料、报告、报表的来源必须是可靠的。它们可以是来自政府的官方文件(如经环保部门审批的“环境保护报告书”),可以是公正机构提供的调查研究报告(如由具有资质的工程咨询部门提供的“项目可行性研究报告”)也可以是政府有关部门提供的“统计资料”,或者是项目分析决策人员调查得到的数据和资料,如果是调查人员自行调查收集得到的资料,那么,调查人员在采用调查方法时应对取样规模、内容、统计标准等进行充分的考虑和安排。
具有项目的个性。每个项目的目标不同,各具特点。因此,在验证方法的选择上必须充分考虑项目的特殊性和具体的目标要求,验证方法要与验证指标相对应,做到验证方法与验证指标一一对应。必须明确,方法与指标一一对应,是指每个验证指标都要有相应的方法对其进行检验,而不是一种方法只能检验一个指标。事实上,一个指标可能有多种的检验方法,如检验某项目是否达到“年产3万台轧钢机”,既可以用项目的可行性研究报告进行检验,也可以根据项目的验收报告进行检验,还可以用项目后评价报告或项目实施效果分析报告或行业的统计资料等进行检验;一种检验方法同样可以用于检验多个指标,如项目的可行性研究报告既可用于检验项目的宏观目标是否实现,也可以用于检验项目的具体目标或产出目标是否可以实现,还可以用于检验项目的投入目标能否落实。
LFA重要假设和外部条件分析
1.标题
调查报告的标题有单标题和双标题两类。所谓单标题,就是一个标题。其中又有公文式标题和文章式标题两种。公文标题为“事由文种”构成,如《浙江省农村中学语文教学情况的调查报告》。文章式标题,如《××市的校办企业》;其二是标明作者通过调查所得到的观点的标题,如《调整教育政策,增加教育投入》。所谓双标题,就是两个标题,即一个正题、一个副题。如《为了造福子孙后代--××县封山育林调查报告》。
2.导语
导语又称引言。它是调查报告的前言,简洁明了地介绍有关调查的情况,或提出全文的引子,为正文写作做好铺垫。常见的导语有: ①简介式导语。对调查的课题、对象、时间、地点、方式、经过等作简明的介绍; ②概括式导语。对调查报告的内容(包括课题、对象、调查内容、调查结果和分析的结论等)作概括的说明; ③交代式导语。即对课题产生的由来作简明的介绍和说明。
3.正文
正文是调查报告的主体。它对调查得来的事实和有关材料进行叙述,对所做出的分析、综合进行议论,对调查研究的结果和结论进行说明。正文的结构有不同的框架。 ①根据逻辑关系安排材料的框架有:纵式结构、横式结构、纵横式结构。这三种结构,以纵横式结构常为人们采用。 ②按照内容表达的层次组成的框架有:“情况--成果--问题--建议”式结构,多用于反映基本情况的调查报告;“成果--具体做法--经验&rd
quo;式结构,多用于介绍经验的调查报告;“问题--原因--意见或建议”式结构,多用于揭露问题的调查报告;“事件过程--事件性质结论--处理意见”式结构,多用于揭示案件是非的调查报告。4.结尾
结尾的内容大多是调查者对问题的看法和建议,这是分析问题和解决问题的必然结果。调查报告的结尾方式主要有补充式、深化式、建议式、激发式等。5.落款
调查报告的落款要写明调查者单位名称和个人姓名,以及完稿时间。如果标题下面已注明调查者,则落款时可省略。
(二)社会实践调查报告的写作程序
一般来说,社会实践调查报告写作要经过以下五个程序:
1.确定主题
主题是调查报告的灵魂,对调查报告写作的成败具有决定性的意义。因此,确定主题要注意:
报告的主题应与调查主题一致;
【关键词】COSO内部控制框架内控体系
一、COSO新框架的发布
随着经济的全球化发展,信息化、网络化使企业的运营环境和商业模式发生了巨大变化,ERP、电子商务和网络财务得以推广。面临复杂多变的国内国际大环境,企业在管理上越来越注重风险管理和公司治理问题,相应地对内部控制的要求也越来越高,COSO(美国反虚假财务报告委员会下属的发起组织委员会)委员会20世纪90年布的内控框架已不能满足当今企业经营管理决策的需要。为此,COSO委员会在2010年启动了对1992版《内部控制——整合框架》的修订工作,并于2013年5月14日正式发布了《内部控制——整体框架》及其配套指南,主要包括《执行性纲要》《框架与附录》《评估内部控制系统有效性的说明性工具》《外部财务报告的内部控制:方法与案例汇总》4个文件。新框架在体系构成上沿用传统的立方体框架形式,在内容上除了考虑各种环境的变化,依然继承了旧框架中内部控制的基本概念及核心内容,并在此基础上结合内部控制五大要素,归纳、提炼出内控体系建设的基本原则、要素和工具。新版框架不但是对旧框架的升级提高,而且还融入了新的观念和思想,值得在内部控制建设和完善过程中学习和借鉴。
二、COSO新框架的优点
(一)注重原则导向,评价标准更加清晰
COSO委员会将1992年版本框架中已有的原则加以细化和提炼,在新框架中归纳出了17项基本原则和82个重点关注要素,17项原则分别与5个要素相关联,其中:和控制环境相关的有5项,和风险评估相关的有4项,和控制活动相关的有3项,和信息与沟通相关的有3项,和监控活动相关的有2项。每一项原则都由多个关注点所支持,这些关注点代表着原则的相关特点。各个要素和各项原则组合起来就构成了内部控制的准则,而各个关注点则为管理层提供指引,协助其评估内部控制的各个要素是否存在并发挥效用,是否在企业内控整个过程中共同运作。新的内部控制框架中,从目标到要素再到原则以及关注点,层层关联、相互协作,共同构成了内部控制系统框架。新版内控框架的这些原则和重要关注点与内部控制五大要素的有机结合,形成了内部控制的评价准则,使评价的标准更加清晰,从而有益于企业在内部控制实施中采用更加有力的内控措施,增强内部控制的效果。
(二)扩大了报告目标的范畴
旧版框架中的报告仅仅局限于对外财务报告,在内控目标设定过程中关注的是财务报告目标,主要目的在于确保编制出公开披露、可靠性强的财务报告,却忽视了内部报告和非财务报告。新框架则不同,它强调内部报告和非财务报告的重要性,从报告对象和报告内容这两个维度上进行扩展,使报告目标的范畴有所扩大。在报告对象上,既要面向外部投资者、债权人和监管部门,确保报告符合有关外部要求,又要面向内部董事会和经理层,满足企业经营管理决策的需要。在报告内容上,除了包括传统的财务报告,还涵盖了内控评价报告、资产使用报告、市场调查报告等非财务报告。如此看来,新框架不但将财务报告以外的其他外部报告,而且将财务和非财务报告在内的内部报告,统统都纳入报告范围,突出了非财务报告和内部报告的重要性。新框架对报告范畴的扩展与我国企业内控规范体系中对报告的有关规定基本相同。
(三)增加了反欺诈与反腐败的内容
与旧版框架相比,新框架包含了更多的关于反欺诈与反腐败的内容,并且把管理层评估欺诈风险作为内部控制的17项总体原则之一,进行详细阐述。这充分说明近年来发生的案例中与欺诈和腐败相关的事件越来越多,欺诈腐败风险已受到COSO委员会的高度重视,这与我国企业内部控制规范体系中的反腐思想是统一的。看来建立有效的内部控制对于企业尤其是国有企业管理者的权力约束具有重要作用,能够达到防微杜渐的效果。
(四)强调了人员自身判断的作用
相对于旧版框架,新框架强调了人员自身的“判断力”在内部控制中的重要作用,要求董事会、管理层和内审人员拥有“判断力”,认为在内控建设和评价过程中,更多地依赖于管理层的自身判断,而不是像以往那样要求严格,需要有证据的支持。如果管理层具有良好的“判断力”,就能使内部控制有效实施,帮助企业更好地经营管理。新版框架还突出了实质重于形式的思想,表现在内控建设过程中应注重与控制效率结合起来,管理层可以通过判断,将那些失效、冗余乃至完全无效的控制去除,建立适合企业自身特点的内部控制系统,而且可以通过建立评价机制对企业内部控制予以评价,同时管理层可以根据评价结果寻求提高内控效率的途径,提升控制的效率和效果。由此可见,建立和维护切实有效的内部控制系统,离不开高层领导良好的判断力。
三、 我国企业内部控制的现状
随着我国科技进步以及信息化进程的加快,内部控制问题越来越受到重视。继2008年6月28日《企业内部控制基本规范》颁布后,2010年4月26日,财政部、证监会、审计署、银监会和保监会共同发布了《企业内部控制配套指引》。《配套指引》与《基本规范》共同构成了我国内部控制规范体系。该体系的内容比较完整,但主要以原则规范为导向,是针对企业一般性的业务和重点环节制定了原则性的要求,没有能体现行业特点的具体业务。因此,我国目前的内控体系在内部控制执行方面提供了应用指导,这对于体制完善、管理成熟的企业作用较大,但对于其他企业来说缺乏系统性,还没有形成一个能够满足多方面需求的系统框架。
我们既要看到我国企业近年来在内部控制方面的进步,又要清醒地认识到存在的缺点和不足。如今我国大部分企业已建立了内部控制制度,内部控制体系建设取得一定成果,但由于人们对内部控制、公司治理等方面的认识还不够,尤其是在国有企业中,还存在风险意识淡薄,内控基础薄弱的问题。有的国企领导者受计划经济影响较深,认为企业的资产是国有的,在企业 经营管理过程中过度依赖于政府部门的扶持,缺乏企业经营的风险意识,这就影响企业内部控制体系的建立和执行效果。在实际操作过程中,一些企业没有强调控制的执行效果,使内部控制往往形同虚设,没有得到有效实施,这就造成内控制度建设与执行的脱节。还有的企业在制度设定方面没有全方位考虑行业特点及企业自身情况,使得建立的内控框架与企业发展模式不相适应。
四、基于COSO新框架的我国,企业内部控制的新举措
(一)强化内控意识,扩展内部控制的深度和广度
企业内部控制系统的建立和完善是企业传统管理方式的突破,需要观念上的彻底变革。有相当一部分国有企业领导者以为有国家作为后盾,就不考虑企业经营风险,也不关注企业未来的可持续发展,仅仅将目标锁定在企业的收入、利润和业绩考核上,内部控制意识非常淡薄;有的企业过于强调内部控制的成本,而忽视其带来的利益;还有的企业虽然重视了内部控制,但主要以“财务控制”为主体,内部控制的广度和深度却不够。造成以上现象的主要原因在于企业领导者没有意识到内部控制的重要性,“控制创造价值”的观念还没有深入人心。因此要增强国有企业内部控制,首先,应彻底转变观念,尤其是企业的领导者应充分认识到内部控制对于企业可持续发展的重要作用,加强内部控制的主动性。其次,要清楚地意识到内部控制不仅仅是财务控制,它涉及企业经营的方方面面。最后,理解内部控制的报告目标不仅仅是对外财务报告的合规性与可靠性,而且还包括其他非财务报告的披露,以及内部报告的报送。
(二)量身制作适合企业自身特点的内部控制系统,增加内控体系的可操作性
目前我国的内控体系,主要以基本规范和配套指引为主,是所有企业通用的内部控制技术标准,它不分行业、地区,也不分企业性质,这就需要企业在建立内部控制体系的过程中,结合自身经营特点和管理模式,在基本规范和配套指引的基础上进行变通和改进,制定适合企业的内部控制系统。企业内部控制系统一旦建立,就需要在经营管理过程中执行和完善,这样的内部控制才能发挥作用。然而,一些国有企业还存在内控制度建立与执行脱节的问题,为解决此问题,除了建立适合自身情况的内部控制系统,还要加强内部控制的执行力度,定期对内控制度的执行效果进行检查和监督,并进行内部控制自我评价。通过对内控系统的监督和评价,可以发现内部控制的缺陷与薄弱环节,从而促进内控制度的有效执行和完善。
(三)提高员工素质,培养更多内控专业人才
对于当前国有企业内控规范体系实施缓慢的问题,其中一个重要原因就是缺乏熟悉内部控制的专业技术人才。员工素质是内部控制得以有效实施的关键所在。尤其在新版COSO内控框架中,强调了管理层的判断力对于内部控制的建立和评价的重要作用。因此,为了改变现状,增强内部控制的执行力,就要加强内部控制的专业培训,重点培训企业管理人员和相关监督部门的工作人员,为国有企业培养更多的专业人才。
(四)融内部控制于管理创新中,实现管理与管控的整合
相当一部分国有企业内部控制建设跟不上企业发展步伐的一个重要原因就在于企业缺乏内控意识,进行内部控制的积极主动性不强。那么如何提升国有企业内部控制水平,使内部控制由“要我管控”转变为“我要管控”,由被动地执行制度转变为主动制订标准呢?除了转变观念,更重要的是要引入控制文化,使企业上上下下从上层领导到中层干部再到一般员工都有内控意识,共同参与到内部控制整个过程中。同时加强科学管理与创新,将企业内控体系的建设与创新管理相结合,通过构建内部控制体系,建立完善的公司治理结构、科学的运营管理体系和责任监督体系,使内部控制由单一的制度执行转变为体系的整体运转与文化引导,改变传统以结果管控为主的管理模式,更多地以过程管控为主,实现管理与管控的协同整合,从而使内部控制发挥最大效用。
综上所述,内控体系的建设与完善是一项长期而艰巨的系统工程,需要企业上下及相关职能部门的共同努力与合作。随着国有企业内控实施工作的不断深入,企业应当加强学习和转变观念,使内控意识深入人心,做到内部控制的全员、全面、全过程管理,进一步推动管理创新,通过管理与管控的协同整合,不断提升管理水平,有效防控经营风险,实现国有资产保值增值,最终促进国有企业持续、健康、稳定地发展。
参考文献
一、国外绩效审计报告框架综述
国外许多国家绩效审计发展较早,绩效审计报告已经形成了完备的框架体系。为了研究我国绩效审计报告框架体系,笔者主要从以下8个绩效审计发达的国家进行综述,以期对我国有所借鉴。
(一)美国绩效审计报告框架美国绩效审计报告的框架内容非常系统,主要包括十个方面:审计目标、范围和方法,其主要是为了使读者了解审计的目的、判断审计报告内容的价值,以及为达到目标所使用的方法;重大的审计成果,在可能时还包括审计结论。以使读者充分了解所报告的事项;纠正问题和改善经营活动的建议。审计人员通过审计,如果发现经营活动还有改善的潜力,报告中应当提出相应的建议;应说明一般公认政府审计准则的适用性及如不采用某种准则将对审计结果产生的可能影响;审计中发现的重大违法问题和滥用权力行为。当审计人员根据获得的证据断定重大的不合规时间或滥用行为发生时,他们应该报告有关信息;被审计单位的管理缺陷和其他重大缺陷。在绩效审计中,审计人员可以将管理控制中的重大缺陷确定为效益不佳的原因;被审计项目负责人对审计发现、结论、建议及纠正措施的看法。在编写报告时,加入被审计单位的看法能够显示他们解决问题的计划;被审计项目显著的成就。将被审计项目重大管理成就写入报告,有利于其他使用者了解情况;对将来需要审计的重大问题提出建议;如果禁止公开披露某些资料,审计人员可以在报告中说明未披露资料的性质及禁止纰漏的依据。
(二)加拿大绩效审计报告框架加拿大绩效审计报告框架内容包括:审计目的、审计时间、审计范围;审计准则;审计项目的概况,包括管理层的责任;审计标准及与管理层在审计标准方面存在的分歧;审计查出的主要问题;审计建议;被审计单位对审计报告的反馈意见;审计结论。
(三)英国绩效审计报告框架英国绩效审计手册提出绩效审计报告要全面反映审计工作的目标、工作过程与方法以及工作的成果,其内容主要包括:项目背景;被审计单位或项目的工作目标;被审计单位实现其目标的主要手段和措施;审计人员开展绩效审计情况的描述(包括审计的范围、内容和方法);审计发现的主要问题及原因分析;提出的审计建议。
(四)澳大利亚绩效审计报告框架澳大利亚联邦和州审计署的绩效审计报告,一般都不采用固定格式的简式报告,而是采用详细描述的繁式报告。绩效审计报告的结构,按照顺序依次是:标题页和呈送信;内容目录;缩写词语列表;摘要和建议;审计发现和结论;附录;索引等。绩效审计报告必须包括的内容有:审计目标及评价标准(或被审计事项应达到的成果);对被审计事项的背景描述;审计发现(附主要的审计证据);针对每一项审计发现或审计意见的被审计单位反馈意见;审计结论和审计建议。
(五)瑞典绩效审计报告框架瑞典审计局出具的绩效审计报告的格式和内容因审计项目的不同而不同,但基本结构大致相同,包括八个部分:审计情况概述;引言;审计安排;审计对象说明;审计发现问题;审计结论;审计建议和附件。
(六)德国绩效审计报告框架德国绩效审计报告对联邦审计院的工作有重要意义,已经成为联邦审计院履行工作义务的核心,其绩效审计报告框架内容主要包括以下六个部分:内容概要;确定的事实;对事实做出的评价;主管部门发表的意见;联邦审计院的最终评价;联邦审计院的建议和倡议。
(七)日本绩效审计报告框架日本绩效审计报告一般包括两大部分:报告会计检察院的审计方针和审计实施情况;报告审计发现,报告审计发现中又包括介绍审计发现的类别、报告审计发现内容和建议采取的改进措施、会计检察院对绩效审计发现问题发表意见。
(八)韩国绩效审计报告框架韩国绩效审计报告一般包括五项内容:项目背景;审计范围与方法;审计发现的主要问题;审计建议;对审计建议的反馈。
二、国外绩效审计报告框架评析
由以上综述可以看出,大多数国家绩效审计报告内容大致相同,几乎都包括:被审计单位的背景资料;审计的范围、目标、方法;对审计准则遵循情况的说明;审计发现的事实、结论和建议;被审计单位的反馈意见等,但又各具特色。
(一)美国美国国家审计署要求绩效审计报告的表述应:完整。报告中,为满足审计目标和证明报告事项正确的资料和背景必须完整;准确。审计报告中任何不准确之处都可能引起对整个报告的怀疑,且还可能损害审计机关的信誉,降低报告效果;客观。审计报告应该公正且不给人误导,防止夸大或过分强调效益中的缺陷;有说服力。审计结果应与审计目标相符,审计发现以具有说服力的方式表述,审计结论和建议与所陈述的事实有逻辑联系;明确。审计报告应通俗易懂,语言在业务允许情况下尽可能简练、明确。
(二)加拿大加拿大国家审计署对绩效审计报告的信息披露有着非常严格的要求与限制。由于审计报告不需遵循加拿大《信息披露法》,公众或第三人不能依据《信息披露法》要求获得审计工作底稿、审计报告草稿等具体详细的审计资料。此外,当审计人员可能被新闻媒体询问对一些与工作相关事情的观点或看法前,必须获得有关领导批准。如果审计人员违反了审计署的保密规定。将构成非常严重的事件,该事件还将报告给众议院。
(三)英国英国绩效审计报告中的审计建议没有强制性,被审计单位可以选择不执行审计建议,审计署只将报告提交议会并公开发表,并通过加强和被审计单位的合作来确保审计建议得到实施。审计署非常重视审计建议的质量,强调审计建议必须有前瞻性,全面性。
(四)澳大利亚澳大利亚审计署对审计报告征求意见的要求做出了详细的规定:对任何联邦机构及下属单位进行的绩效审计,在审计报告草稿完成后,应提高一份给被审计单位最高首长。对于国有独资企业及其下属单位进行的绩效审计,在审计报告初稿完成后,应提交一份给被审计单位相关人员。审计长可以将以上各种绩效审计报告初稿,提供给他认为需要阅读的机构或个人。
(五)瑞典瑞典审计署的实际操作中,绩效审计报告对审计发现问题、审计结论和审计建议的结论有两种安排方式:在列出一条审计发现问题后紧接着列出相应的审计结论和建议,然后在列出下一条审计发现问题、相应审计结论和建议。将审计发现问题、审计结论和审计建议分成三个独立的部分,分别表述。
(六)德国德国绩效审计报告有以下三个特征:将绩效审计报告列入年度报告。针对重大事项提交特别报告。特别报告使联邦审计院可以及时就重大审计结果向立法机关和联邦政府提交报
告。(3)提供咨询报告。
(七)日本日本的会计检查院一贯重视绩效审计,传统上对于“三E”中的经济问题,即浪费行为特别揭示。现在越来越重视利用项目评价手段开展绩效审计,考察项目的效果。在年度报告中,绩效审计占相当多的内容。
(八)韩国韩国监查院要求审计报告必须符合及时性、全面性、准确性、客观性等原则,并简明扼要,合乎逻辑。监查院应向社会公告审计结果。
三、国外绩效审计报告框架对我国的启示
笔者综合考虑国外大多数国家制定绩效审计报告框架的经验,且结合我国审计人员在具体操作中所遇到的情况,提出了制定我国绩效审计报告框架的建议。
(一)被审计事项基本情况被审计事项基本情况是说明与审计目标有关的被审计单位背景信息。主要包括以下几点:绩效审计对象的背景情况。简要介绍所审的政府、政府机关或项目的基本情况,包括法律地位、主要职责、工作范围、使用资源情况、组织构成、工作程序等;选择本项目进行绩效审计的原因。主要包括法律依据、审计的需要、现实和社会意义等;审计对象的基本情况。主要包括财政财务收支情况、预算执行情况、内部控制健全有效情况等;审计工作的时间、工作方法、依据的标准、评价的范围和主要评价内容;任范围。报告中要说明审计人员与被审计单位各自的责任是什么,以明确责任范围。
(二)审计实施情况审计实施情况包括审计的依据、审计的目标、范围和为达到审计目标而使用的方法、遵循审计准则的情况确认被审计对象的责任。报告使用者需要这些信息来理解审计的目的和审计工作性质,预期报告的内容,了解审计目标、范围和方法方面的重大限制。具体情况如下:审计的依据,即实施审计的法律、法规、规章的具体规定,政府交办的事项,或其他选项的依据;在报告审计目标时,应当采用清楚、具体和中立的表达方式,以避免未阐明的猜想;在报告审计范围时,审计人员可以说明为达到审计目的而开展工作的深度和范围;在对所使用的方法进行报告时,审计人员可以以充分详细的方式解释审计目标是怎样完成的;遵循审计准则的情况。审计人员必须明确指出审计工作是否遵循了政府审计准则;明确被审计对象的责任,以便报告客户了解审计的性质和局限性,同时避免风险。
(三)审计评价意见审计评价意见是审计人员根据不同的审计目标,以审计结果为基础,考虑可接受的审计风险、审计发现问题的重要性等因素,从真实性、合法性、效益性方面提出的评价意见。并且审计人员只对所审计的事项发表审计评价意见。对审计过程中未涉及、审计证据不适当或者不充分、评价依据或者标准不明确以及超越审计职责范围的事项,不发表审计评价意见。审计人员还可以通过提供与审计目标有关的可靠证据来报告审计结果。这些结果应有充分、可靠和相关的证据支持,可以促进充分理解被报告事项并且在恰当方面能够提供令人信服的、公允的表达方式。
(四)审计发现的主要问题审计发现的主要问题包括被审计单位违反国家规定的财政收支、财务收支行为的事实、定性以及违反的相关法律法规;影响绩效的重要问题的事实、原因、后果;相关内部控制重大缺陷以及舞弊、违法行为、违反合同条款或者拨款协议以及滥用行为。
(五)处理处罚意见及审计建议处理处罚意见是针对绩效审计过程中发现的具体违法违规问题及处理处罚意见。包括审计过程中查出的被审计单位违反国家法律、法规的财政收支、财务收支行为事实,处理和处罚决定及依据法律、法规做出有关移送处理的决定等。
(六)被审计单位的意见反馈在审计报告中还应包括征求被审计单位的意见,可以包括如下内容:被审计单位对审计报告的看法;审计组采纳被审计单位的意见,并对审计报告的修改情况;审计机关不同意被审计单位的理由。当被审计单位有不同意见时,审计人员要进行认真的核对和分析,应采纳合理的意见,且应及时调整报告。对于那些双方不能统一的意见,审计报告要分别反映双方的意见。
(七)被审计单位的整改情况被审计单位的整改情况主要是根据审计发现的问题及审计调查的建议进行改正的情况。
一、法国兴业行交易丑闻概况
据参考消息2008年1月26、30和31日报道,法国兴业银行从去年开始,31岁的电脑高手期货交易员热罗姆。凯维埃尔预计股市将出现上涨并投入超过个人授权许可的巨额资金进行交易。由于全球主要股市大幅下跌,导致在欧洲期货市场上的投资失误,造成了巨额损失。损失出现后,他通过修改银行电脑系统数据,编造交易掩盖其投资失误;他利用在监控交易的安全控制部门工作时获得的知识来逃避监管。他知道何时进行安全检查,实际上他就是他自己的监管者。维埃尔因违反信托合同、滥用计算机和造假已接受正式调查。凯维埃尔对调查人员说,他的一系列交易活动是从2005年他判断市场要走跌时开始的。这样一位资历较浅的人能掌握这么巨额的资金,其内部控制系统令人质疑,也引发了人们对兴业银行管理层信誉问题的新关注。在金融监管已经不断加强的今天,兴业银行的内部稽核制度何在?管理层的监管何在?风险控制何在?内部控制制度何在?
这不禁令人深思:为何欺诈再次发生,且愈演愈烈?自英国巴林银行非法交易案以来,金融监管已经加强,但在3年前,我国的中航油集团新加坡子公司在原油期货交易中亏损了5.5亿美元。现今法国的兴业银行的损失约70亿美元。事实上,期货交易本质上就是瞬息万变、极具风险性的。在加强法律监管的同时,如何加强内部控制系统的监督,化解或降低风险带来的损失?如何加强软控制?即用新的眼光重新认识内部控制已经成为各国政府和社会有关机构关注的内部控制研究的新课题。下面对去年法国和美国内部控制研究的状况及差异进行对比,分析法国兴业银行的内部控制存在的问题,探讨提高内部控制质量的新视野、新举措。
二、2007年法国与美国内部控制建设的主要成果及对比
(一)美国国际会计师联合会“基于风险观的内部控制”①
美国国际会计师联合会(ifac)②的专业会计师(paib)委员会于2007年8月了“基于风险观的内部控制”访谈文章。采访了10位高层资深的专业会计人员,主题包括:各类组织的风险的性质;如何建立一个关注驱动业绩和帮助战略目标实施的内部控制系统;提供有助于各个组织思考改善其内部控制方法的成功故事。其核心内容主要包括:
1.基于风险观是内部控制系统建设的关键所在
认为风险是阻碍我们实现战略目标的一切事情。风险管理和内部控制是同一枚硬币的两个方面。参加访谈的资深专业会计人员大多认为:强有力的内部控制系统对一个企业经营管理至关重要,是构成一个经营整体必不可少的一部分。内部控制帮助管理当局设计、实施和保持控制,内部审计则确保管理当局的指挥棒到位,保证所有状况都是适当的。内部审计必须得到董事会、审计委员会和高管当局的支持。内部审计经理要帮助管理当局理解所面临的各种风险,既有战略上的也有政治上的,要设法消除各种可预见的风险,并迅速及时地做出反应。cfo是内部控制效率的监管人。内部控制是一种责任,建立正确的政策和程序并确保持续地进行适当地监督,将有助于降低日常管理费用并巩固和增强已构筑的竞争优势。
2.观念的转变:对内部控制的谨慎依赖转变为主动的风险管理文化。
参加访谈的人员表明:尽管每个组织各不相同,但是风险管理本质上的东西已超越了不同的经营类型和风格的各类组织。企业风险管理之所以是成功的,是因为它真正增加了管理当局的风险意识,加深经理人员对风险的理解。但具体风险管理的方法和范围并不要求整齐划一,不是命令或指示,而是由每个经营公司自己做出选择。但最重要的问题是保持效果的同时要保持效率,使二者之间保持一个健康的紧张度。
现在内部控制必须由过去为了企业自身的缘故对内部控制谨慎的依赖转变为以企业风险管理和内部控制制度为目的、我们“能做”什么的一种文化。对于我们面临挑战和打算承担的各种风险进行适当的风险评估,能使我们做出明智的决策,有助于合理分配企业资源,实现可能的最好的效果。
3.要勇于面对内部控制系统存在的问题
内部控制的过程作为一个整体的过程,不只需要专业管理人员,也需要相关业务的风险管理人员与之配套,否则风险就会产生,而且不易引起人们的注意。如进行产品开发时,需要引进的不只是产品开发的人,而且也需要风险管理的人与之相配合。
内部控制系统面对的最大的挑战总是来自于职业雇员与技术雇员这些人。他们对其专注的业务、技术领域有一个强烈而长期的认同,而对于管理控制他们很快就变得厌倦。当这种情况出现时,他们就会毫不犹豫地绕过控制系统。工程师是这样,财务人员也是这样。出于他们自身的考虑,让他们重视这个系统是很困难的,但从他们工作的环境看,他们不得不把这个系统看作是有用的。这确实是一个难题。
4.内部控制系统对企业成功的影响
成功是把系统产生的可能性进行转换。风险管理和控制环境不是一种约束,而是一个可操作的概念。最终决定控制环境的成功是人的格调。如果花时间和金钱能确保招聘的新人是最合适的人力资源,那么控制系统的成本将会戏剧性地降低。
5. 从失败中学习经验和教训
缺乏适当的责任是系统失败的原因之一;另外,员工的变动可能对企业造成伤害,所以控制系统保护的不应只是物质资产,还要保护人力资产。员工的质量是非常重要的。投资于人并对其设立较高的期望和责任,会产生意想不到的效果,得到期望的“投资回报”。
(二)美国coso内部控制监督指南讨论稿
美国coso③于2007年9月17日了“内部控制系统监督指南”
(guidance on monitoring internal control systems,下面简称指南)的讨论稿,该指南更加充分地开发了coso的“内部控制——整体框架”的监督要素,适合各类组织改善其内部控制系统的质量。coso认为,各组织在按照coso的内部控制——整体框架适当地设计监督要素,发挥内部控制系统的功能时,通常未能充分利用监督要素或对此使用不当。该讨论稿旨在改进对有效的监督模块的理解,进一步阐明建立正确监督的原则,其目的是帮助各组织开发监督程序,更好地促进内部控制系统运行的效率和效果。该指南并不是如何监督的详细说明书,而是旨在帮助各类组织采取内部控制框架时应具有整体的监督观,确认对效果有关键影响的各个要素,通过监督识别具体的控制弱点
并对其减缓或消除。有效的内部控制系统的最终的目标是在管理影响组织目标的各种风险时,适当地追求机遇。监督是一种运用成本效益的方法为内部控制系统持续有效提供及时的信息。其主要内容如下。
⒈ 监督及其基本原理
监督是由适当的人员对控制的设计和运行所进行的恰当的、适时的评估,以及采取必要的行动。内部控制系统有助于各组织实现其目的和目标;使管理当局能够应对内部和外部环境的变化,提高效率,降低风险的损失,保证财务报告的可靠性以及法律法规的遵循④,但这有个前提:即当内部控制有效时,管理当局和董事会就能对实现一个组织的目的和目标起到合理的保证作用;反之,无论是管理当局还是董事会都不能对组织的目的和目标起到合理的保证作用。因而各个组织需要拥有一个随着时间的推移,适时地评估其内部控制系统的机制,这个机制就是监督⑤。
监督活动和控制活动既有区别又有联系。控制活动是有助于保证管理当局的指令得以贯彻的各种方针和程序,它有助于确保针对企业实现目标的各种风险采取行动。控制活动以各种功能、在整个组织上下、各个层面存在,它们包括诸如各种各样的审批、授权、核查、核对、对经营业绩的复核、资产的安全以及职责的分工等。有些监督活动也能起到控制活动的作用,反之亦然。一项活动或过程如果只是在适时地发现和更正各种错误的范围内,则属于控制活动。例如,审核一项例外报告。如果只是出于识别和更正那些与错误有关的例外,则属于控制活动;反之,如果对同样事项审核是出于进一步查明造成这些错误的可能的控制弱点的根本原因,并帮助改进控制活动,以防止其后的控制失败, 则属于监督活动。
coso在2006年小的公众公司财务报告内部控制指引⑥中提出了的20个基本原则,其中关于监督作了如下描述:
(1)持续的监督和(或)单独的评估使管理当局能够确定是否内部控制的各个要素随着时间的过去仍能持续地发挥功能。⑦其中持续的监督是指在正常的经营过程中,服务于监督内部控制效果的有关各种活动,包括正常的管理和监督活动;对比、调节以及其他日常活动。单独评估则尝试通过评估某一个特定时期或时点的控制,对控制运行的可靠性做出推断。单独评估能充分利用持续的监督中运用的所有的技术,不过单独评估运用的不多,而且经常用于控制运行中紧急的抽样调查。
(2)应该能够识别内部控制的各种弱点,并以一种适时的方式向能采取更正行动的各方负责人进行交流,必要的要报告给管理当局和董事会。
2. 高层对监督要有正确的基调
如果监督导致的对控制弱点的识别和更正在影响组织的目标实现之前就已采取,说明监督是有效的。有效的监督有助于保证和促进良好的内部控制的运行。无效的监督终将导致内部控制系统的崩溃。
各类组织要在高层建立正确的监督基调,表达整个组织对监督人、对内部控制重要性以及有关监督作用的期望。
3.影响监督的效率和效果的主要因素
(1)建立一个对实施监督有效的控制环境。具体包括:管理高层强调监督的重要性;有效的组织结构作为保证,任命具有适当的技术和威信的人执行监督作用。
(2)对监督程序进行优先排序。主要根据在管理和缓和风险方面控制的重要性来进行,从而抓住主要矛盾;并且应具有将监督资源在基本的风险层面恰当地进行分配的能力。
(3)建立交流结构,对监督的各种结果(包括控制的各种弱点),以适当和适时的方式向恰当的人报告,采取必要的更正行动。
4.监督者应具备的条件
监督者影响监督的效果。监督人决定监督什么、如何监督,以及对通过评估监督的信息得出关于控制效果的结论负责。无论企业规模大小,监督人为了设计和实施适当的监督程序,必须具有适当的技术、知识以及对控制所要减缓的风险的专业的理解。
5.监督结果交流的重要性
有效的监督与收集和分析适当的信息有关,有说服力的信息(persuasive information)帮助得出内部控制效果的结论。对已发现的控制的弱点要报告给负责控制运行的人,并且至少要向高一级的层次报告,从而使得适当的人能够对问题的严重性进行评估。适当地评估控制弱点的严重性,并及时的报告给可能进行更正的恰当层面,有助于保护组织并保持实现组织目标的能力。
(三)法国内部控制报告框架的主要内容
法国于2007年1月由法国金融监督管理局内部控制指引框架,一是为了统一各公司内部控制报告的披露内容,使之便于投资者理解;二是为上市公司提供一套比较实用的管理工具;三是为了应对coso报告。具体框架包括四个部分内容:
1.简介。对内部控制框架的主要内容等进行介绍。在这部分指出该框架主要是提出内部控制的一般原则,而不是要求强制执行的规定,更不是替代相关法律的规定;该框架主要是为了提高各上市公司董事会主席内部控制报告的可比性,以方便投资者阅读。
2.内部控制系统的构成。一般由五个部分组成:
(1)权责分明的组织架构系统;
(2)内部信息系统;
(3)风险确认与分析系统;
(4)恰当地控制运营过程及减少相关风险的活动;
(5)对内部控制程序的持续监督检查系统。
为了保证所有控制系统对实现公司目标是相关和恰当的,需要对所有内部控制系统进行监督和检查。一般而言,由管理部门实施这一检查,主要包括对所有已记录事故的分析,对控制活动执行效果以及内部审计人员的工作等进行监督检查。
3. 财务报告内部控制程序应用指南。这部分内容是整个内部控制指引框架的重点。它适用除银行保险业以外的其他行业的所有企业单个财务报表及集团公司的合并财务报表的编制,内容涉及到内部控制的所有控制要点。与财务信息的编制和处理相关的内部控制程序(即财务报告内部控制,以下称为“财务报告内部控制”),主要包括会计信息生成程序、财务报表的编制和与内部有关单位的沟通。财务报告内部控制的目的是保证:(1) 财务信息遵守了适用的准则;(2)高级管理人员或管理委员会对财务信息的生成能够正确地给予指导;(3)公司的资产得到保护;(4)尽可能发现欺诈和财务报告问题;(5)所收到的信息以及用于内部控制的信息是可靠的;(6)财务报表及其他提供给市场的信息是可靠的。
4.附录。包括有关财务报告的内部控制的问卷调查以及内部控制指引框架工作
组介绍等。
法国内部控制指引框架的特点如下:一是该框架是以财务报告内部控制程序为主,虽然内部控制指引框架不仅限于财务报告内部控制程序,并且框架控制范围与对外披露财务报表的范围相配套。二是内部控制报告由董事会主席签发,但对内部控制系统进行构建、指导和监督的则是管理层。管理层向董事会报告公司内部控制系统的主要情况。
(四)法国内部控制框架与美国coso框架、sox法案的比较。
基于上面的介绍,不难看出法国和美国的框架有共性的地方,但差异也较明显,总的来看,美国的模式由1992年整体框架,经过2006年的财务报告内部控制指引的补充以及2007年内部控制监督指南的深化,加之2002年sox法案的强硬规则以及随后不断的修改和调整,已经成为一种理想的和有效的模式,而法国的模式在有效性上会有所不及。二者的差别主要表现在:
1.适用范围不同。coso的内部控制整体框架适用于各种类型和规模的组织,而法国的财务报告内部控制程序应用指南则适用于除银行保险业以外的其他行业的所有企业单个财务报表及集团公司的合并财务报表的编制。法国兴业银行的交易丑闻无疑值得反思。
2.强制性不同。法国内部控制框架不是要求强制执行的规定,更不是替代相关法律的规定;而sox是在美国上市的大公司必须遵循的法规。从法国兴业银行的交易丑闻中难以看出其内部控制的作用。
3.对财务信息的内部控制程度的要求不同。法国内部控制指引框架对财务信息的内部控制程度的要求不如sox法案要求深入和详细。这尽管可以相对减少内部控制系统的启动和执行成本,但一旦发生巨额亏损,影响将不堪设想。
4.内部控制的监督人和组织安排不同。法国内部控制框架需要对所有内部控制系统进行监督和检查。一般而言,由管理部门实施这一检查。这与coso内部控制监督指南不同。它对于在高管层面以下进行的控制的监督,可由管理当局的人员或由他们任命的人员进行监督。然而对于直接由高管进行的控制,以及设计用于防止或检查高管越权的控制则不能由高管直接监督或直接报告,在这种情况下,监督应该由董事会(通常通过审计委员会或内部审计)进行。事实上,在两权分离的现实面前,证明董事会对管理当局的监督是必要的。
5.内部控制报告责任人不同。法国内部控制框架指引的规定是内部控制报告由董事会主席签发,但对内部控制系统进行构建、指导和监督的则是管理层。管理层向董事会报告公司内部控制系统的主要情况。显然这容易造成责任不明。sox法案的404节要求经理人员对保持“适当的财务报告内部控制和程序”负责,公司高管要证实财务报告的可靠性,要求公司的审计师对之进行鉴证。企业必须建立独立的审计委员会。显然这规定的重要性不言而喻。因为大多数公司丑闻与管理当局的参与或默许有关。法国兴业银行的欺诈丑闻中管理当局应该负何种责任值得深思。
三、 提高内部控制系统的质量必须关注监督和软控制
无论何种内部控制的框架,都是为了化解风险,抓住机遇,更好地实现内部控制的效果,否则内部控制就失去了存在的意义。
1.加强监督作用要寻找最适宜作监督工作的人。发挥监督作用就要求任命有胜任能力(competence)和不受个人感情影响(objective or objectivity)的客观性的人。能力指的是一个监督人对控制和有关的过程的知识,包括控制应该如何运行?构成控制弱点的是什么?客观性既与用于监督所产生的信息有关,又与监督人的品性有关。对具有客观性的人所提供的信息和(或)履行监督程序,无需担心有个人的倾向,他们也不会为了个人的利益或自保而操纵信息。同时配备恰当的组织结构,明确监督的责任。
一、法国兴业行交易丑闻概况
据参考消息2008年1月26、30和31日报道,法国兴业银行从去年开始,31岁的电脑高手期货交易员热罗姆。凯维埃尔预计股市将出现上涨并投入超过个人授权许可的巨额资金进行交易。由于全球主要股市大幅下跌,导致在欧洲期货市场上的投资失误,造成了巨额损失。损失出现后,他通过修改银行电脑系统数据,编造交易掩盖其投资失误;他利用在监控交易的安全控制部门工作时获得的知识来逃避监管。他知道何时进行安全检查,实际上他就是他自己的监管者。维埃尔因违反信托合同、滥用计算机和造假已接受正式调查。凯维埃尔对调查人员说,他的一系列交易活动是从2005年他判断市场要走跌时开始的。这样一位资历较浅的人能掌握这么巨额的资金,其内部控制系统令人质疑,也引发了人们对兴业银行管理层信誉问题的新关注。在金融监管已经不断加强的今天,兴业银行的内部稽核制度何在?管理层的监管何在?风险控制何在?内部控制制度何在?
这不禁令人深思:为何欺诈再次发生,且愈演愈烈?自英国巴林银行非法交易案以来,金融监管已经加强,但在3年前,我国的中航油集团新加坡子公司在原油期货交易中亏损了5.5亿美元。现今法国的兴业银行的损失约70亿美元。事实上,期货交易本质上就是瞬息万变、极具风险性的。在加强法律监管的同时,如何加强内部控制系统的监督,化解或降低风险带来的损失?如何加强软控制?即用新的眼光重新认识内部控制已经成为各国政府和社会有关机构关注的内部控制研究的新课题。下面对去年法国和美国内部控制研究的状况及差异进行对比,分析法国兴业银行的内部控制存在的问题,探讨提高内部控制质量的新视野、新举措。
二、2007年法国与美国内部控制建设的主要成果及对比
(一)美国国际会计师联合会发布“基于风险观的内部控制”①
美国国际会计师联合会(ifac)②的专业会计师(paib)委员会于2007年8月发布了“基于风险观的内部控制”访谈文章。采访了10位高层资深的专业会计人员,主题包括:各类组织的风险的性质;如何建立一个关注驱动业绩和帮助战略目标实施的内部控制系统;提供有助于各个组织思考改善其内部控制方法的成功故事。其核心内容主要包括:
1.基于风险观是内部控制系统建设的关键所在
认为风险是阻碍我们实现战略目标的一切事情。风险管理和内部控制是同一枚硬币的两个方面。参加访谈的资深专业会计人员大多认为:强有力的内部控制系统对一个企业经营管理至关重要,是构成一个经营整体必不可少的一部分。内部控制帮助管理当局设计、实施和保持控制,内部审计则确保管理当局的指挥棒到位,保证所有状况都是适当的。内部审计必须得到董事会、审计委员会和高管当局的支持。内部审计经理要帮助管理当局理解所面临的各种风险,既有战略上的也有政治上的,要设法消除各种可预见的风险,并迅速及时地做出反应。cfo是内部控制效率的监管人。内部控制是一种责任,建立正确的政策和程序并确保持续地进行适当地监督,将有助于降低日常管理费用并巩固和增强已构筑的竞争优势。
2.观念的转变:对内部控制的谨慎依赖转变为主动的风险管理文化。
参加访谈的人员表明:尽管每个组织各不相同,但是风险管理本质上的东西已超越了不同的经营类型和风格的各类组织。企业风险管理之所以是成功的,是因为它真正增加了管理当局的风险意识,加深经理人员对风险的理解。但具体风险管理的方法和范围并不要求整齐划一,不是命令或指示,而是由每个经营公司自己做出选择。但最重要的问题是保持效果的同时要保持效率,使二者之间保持一个健康的紧张度。
现在内部控制必须由过去为了企业自身的缘故对内部控制谨慎的依赖转变为以企业风险管理和内部控制制度为目的、我们“能做”什么的一种文化。对于我们面临挑战和打算承担的各种风险进行适当的风险评估,能使我们做出明智的决策,有助于合理分配企业资源,实现可能的最好的效果。
3.要勇于面对内部控制系统存在的问题
内部控制的过程作为一个整体的过程,不只需要专业管理人员,也需要相关业务的风险管理人员与之配套,否则风险就会产生,而且不易引起人们的注意。如进行产品开发时,需要引进的不只是产品开发的人,而且也需要风险管理的人与之相配合。
内部控制系统面对的最大的挑战总是来自于职业雇员与技术雇员这些人。他们对其专注的业务、技术领域有一个强烈而长期的认同,而对于管理控制他们很快就变得厌倦。当这种情况出现时,他们就会毫不犹豫地绕过控制系统。工程师是这样,财务人员也是这样。出于他们自身的考虑,让他们重视这个系统是很困难的,但从他们工作的环境看,他们不得不把这个系统看作是有用的。这确实是一个难题。
4.内部控制系统对企业成功的影响
成功是把系统产生的可能性进行转换。风险管理和控制环境不是一种约束,而是一个可操作的概念。最终决定控制环境的成功是人的格调。如果花时间和金钱能确保招聘的新人是最合适的人力资源,那么控制系统的成本将会戏剧性地降低。
5. 从失败中学习经验和教训
缺乏适当的责任是系统失败的原因之一;另外,员工的变动可能对企业造成伤害,所以控制系统保护的不应只是物质资产,还要保护人力资产。员工的质量是非常重要的。投资于人并对其设立较高的期望和责任,会产生意想不到的效果,得到期望的“投资回报”。
(二)美国coso发布内部控制监督指南讨论稿
美国coso③于2007年9月17日发布了“内部控制系统监督指南”
(guidance on monitoring internal control systems,下面简称指南)的讨论稿,该指南更加充分地开发了coso的“内部控制——整体框架”的监督要素,适合各类组织改善其内部控制系统的质量。coso认为,各组织在按照coso的内部控制——整体框架适当地设计监督要素,发挥内部控制系统的功能时,通常未能充分利用监督要素或对此使用不当。该讨论稿旨在改进对有效的监督模块的理解,进一步阐明建立正确监督的原则,其目的是帮助各组织开发监督程序,更好地促进内部控制系统运行的效率和效果。该指南并不是如何监督的详细说明书,而是旨在帮助各类组织采取内部控制框架时应具有整体的监督观,确认对效果有关键影响的各个要素,通过监督识别具体的控制弱点
并对其减缓或消除。有效的内部控制系统的最终的目标是在管理影响组织目标的各种风险时,适当地追求机遇。监督是一种运用成本效益的方法为内部控制系统持续有效提供及时的信息。其主要内容如下。
⒈ 监督及其基本原理
监督是由适当的人员对控制的设计和运行所进行的恰当的、适时的评估,以及采取必要的行动。内部控制系统有助于各组织实现其目的和目标;使管理当局能够应对内部和外部环境的变化,提高效率,降低风险的损失,保证财务报告的可靠性以及法律法规的遵循④,但这有个前提:即当内部控制有效时,管理当局和董事会就能对实现一个组织的目的和目标起到合理的保证作用;反之,无论是管理当局还是董事会都不能对组织的目的和目标起到合理的保证作用。因而各个组织需要拥有一个随着时间的推移,适时地评估其内部控制系统的机制,这个机制就是监督⑤。
监督活动和控制活动既有区别又有联系。控制活动是有助于保证管理当局的指令得以贯彻的各种方针和程序,它有助于确保针对企业实现目标的各种风险采取行动。控制活动以各种功能、在整个组织上下、各个层面存在,它们包括诸如各种各样的审批、授权、核查、核对、对经营业绩的复核、资产的安全以及职责的分工等。有些监督活动也能起到控制活动的作用,反之亦然。一项活动或过程如果只是在适时地发现和更正各种错误的范围内,则属于控制活动。例如,审核一项例外报告。如果只是出于识别和更正那些与错误有关的例外,则属于控制活动;反之,如果对同样事项审核是出于进一步查明造成这些错误的可能的控制弱点的根本原因,并帮助改进控制活动,以防止其后的控制失败, 则属于监督活动。
coso在2006年小的公众公司财务报告内部控制指引⑥中提出了的20个基本原则,其中关于监督作了如下描述:
(1)持续的监督和(或)单独的评估使管理当局能够确定是否内部控制的各个要素随着时间的过去仍能持续地发挥功能。⑦其中持续的监督是指在正常的经营过程中,服务于监督内部控制效果的有关各种活动,包括正常的管理和监督活动;对比、调节以及其他日常活动。单独评估则尝试通过评估某一个特定时期或时点的控制,对控制运行的可靠性做出推断。单独评估能充分利用持续的监督中运用的所有的技术,不过单独评估运用的不多,而且经常用于控制运行中紧急的抽样调查。
(2)应该能够识别内部控制的各种弱点,并以一种适时的方式向能采取更正行动的各方负责人进行交流,必要的要报告给管理当局和董事会。
2. 高层对监督要有正确的基调
如果监督导致的对控制弱点的识别和更正在影响组织的目标实现之前就已采取,说明监督是有效的。有效的监督有助于保证和促进良好的内部控制的运行。无效的监督终将导致内部控制系统的崩溃。
各类组织要在高层建立正确的监督基调,表达整个组织对监督人、对内部控制重要性以及有关监督作用的期望。
3.影响监督的效率和效果的主要因素
(1)建立一个对实施监督有效的控制环境。具体包括:管理高层强调监督的重要性;有效的组织结构作为保证,任命具有适当的技术和威信的人执行监督作用。
(2)对监督程序进行优先排序。主要根据在管理和缓和风险方面控制的重要性来进行,从而抓住主要矛盾;并且应具有将监督资源在基本的风险层面恰当地进行分配的能力。
(3)建立交流结构,对监督的各种结果(包括控制的各种弱点),以适当和适时的方式向恰当的人报告,采取必要的更正行动。
4.监督者应具备的条件
监督者影响监督的效果。监督人决定监督什么、如何监督,以及对通过评估监督的信息得出关于控制效果的结论负责。无论企业规模大小,监督人为了设计和实施适当的监督程序,必须具有适当的技术、知识以及对控制所要减缓的风险的专业的理解。
5.监督结果交流的重要性
有效的监督与收集和分析适当的信息有关,有说服力的信息(persuasive information)帮助得出内部控制效果的结论。对已发现的控制的弱点要报告给负责控制运行的人,并且至少要向高一级的层次报告,从而使得适当的人能够对问题的严重性进行评估。适当地评估控制弱点的严重性,并及时的报告给可能进行更正的恰当层面,有助于保护组织并保持实现组织目标的能力。
(三)法国内部控制报告框架的主要内容
法国于2007年1月由法国金融监督管理局发布内部控制指引框架,一是为了统一各公司内部控制报告的披露内容,使之便于投资者理解;二是为上市公司提供一套比较实用的管理工具;三是为了应对coso报告。具体框架包括四个部分内容:
1.简介。对内部控制框架的主要内容等进行介绍。在这部分指出该框架主要是提出内部控制的一般原则,而不是要求强制执行的规定,更不是替代相关法律的规定;该框架主要是为了提高各上市公司董事会主席内部控制报告的可比性,以方便投资者阅读。
2.内部控制系统的构成。一般由五个部分组成:
(1)权责分明的组织架构系统;
(2)内部信息发布系统;
(3)风险确认与分析系统;
(4)恰当地控制运营过程及减少相关风险的活动;
(5)对内部控制程序的持续监督检查系统。
为了保证所有控制系统对实现公司目标是相关和恰当的,需要对所有内部控制系统进行监督和检查。一般而言,由管理部门实施这一检查,主要包括对所有已记录事故的分析,对控制活动执行效果以及内部审计人员的工作等进行监督检查。
3. 财务报告内部控制程序应用指南。这部分内容是整个内部控制指引框架的重点。它适用除银行保险业以外的其他行业的所有企业单个财务报表及集团公司的合并财务报表的编制,内容涉及到内部控制的所有控制要点。与财务信息的编制和处理相关的内部控制程序(即财务报告内部控制,以下称为“财务报告内部控制”),主要包括会计信息生成程序、财务报表的编制和与内部有关单位的沟通。财务报告内部控制的目的是保证:(1) 财务信息遵守了适用的准则;(2)高级管理人员或管理委员会对财务信息的生成能够正确地给予指导;(3)公司的资产得到保护;(4)尽可能发现欺诈和财务报告问题;(5)所收到的信息以及用于内部控制的信息是可靠的;(6)财务报表及其他提供给市场的信息是可靠的。
4.附录。包括有关财务报告的内部控制的问卷调查以及内部控制指引框架工作
组介绍等。
法国内部控制指引框架的特点如下:一是该框架是以财务报告内部控制程序为主,虽然内部控制指引框架不仅限于财务报告内部控制程序,并且框架控制范围与对外披露财务报表的范围相配套。二是内部控制报告由董事会主席签发,但对内部控制系统进行构建、指导和监督的则是管理层。管理层向董事会报告公司内部控制系统的主要情况。
(四)法国内部控制框架与美国coso框架、sox法案的比较。
基于上面的介绍,不难看出法国和美国的框架有共性的地方,但差异也较明显,总的来看,美国的模式由1992年发布整体框架,经过2006年发布的财务报告内部控制指引的补充以及2007年内部控制监督指南的深化,加之2002年sox法案的强硬规则以及随后不断的修改和调整,已经成为一种理想的和有效的模式,而法国的模式在有效性上会有所不及。二者的差别主要表现在:
1.适用范围不同。coso的内部控制整体框架适用于各种类型和规模的组织,而法国的财务报告内部控制程序应用指南则适用于除银行保险业以外的其他行业的所有企业单个财务报表及集团公司的合并财务报表的编制。法国兴业银行的交易丑闻无疑值得反思。
2.强制性不同。法国内部控制框架不是要求强制执行的规定,更不是替代相关法律的规定;而sox是在美国上市的大公司必须遵循的法规。从法国兴业银行的交易丑闻中难以看出其内部控制的作用。
3.对财务信息的内部控制程度的要求不同。法国内部控制指引框架对财务信息的内部控制程度的要求不如sox法案要求深入和详细。这尽管可以相对减少内部控制系统的启动和执行成本,但一旦发生巨额亏损,影响将不堪设想。
4.内部控制的监督人和组织安排不同。法国内部控制框架需要对所有内部控制系统进行监督和检查。一般而言,由管理部门实施这一检查。这与coso内部控制监督指南不同。它对于在高管层面以下进行的控制的监督,可由管理当局的人员或由他们任命的人员进行监督。然而对于直接由高管进行的控制,以及设计用于防止或检查高管越权的控制则不能由高管直接监督或直接报告,在这种情况下,监督应该由董事会(通常通过审计委员会或内部审计)进行。事实上,在两权分离的现实面前,证明董事会对管理当局的监督是必要的。
5.内部控制报告责任人不同。法国内部控制框架指引的规定是内部控制报告由董事会主席签发,但对内部控制系统进行构建、指导和监督的则是管理层。管理层向董事会报告公司内部控制系统的主要情况。显然这容易造成责任不明。sox法案的404节要求经理人员对保持“适当的财务报告内部控制和程序”负责,公司高管要证实财务报告的可靠性,要求公司的审计师对之进行鉴证。企业必须建立独立的审计委员会。显然这规定的重要性不言而喻。因为大多数公司丑闻与管理当局的参与或默许有关。法国兴业银行的欺诈丑闻中管理当局应该负何种责任值得深思。
三、 提高内部控制系统的质量必须关注监督和软控制
无论何种内部控制的框架,都是为了化解风险,抓住机遇,更好地实现内部控制的效果,否则内部控制就失去了存在的意义。
1.加强监督作用要寻找最适宜作监督工作的人。发挥监督作用就要求任命有胜任能力(competence)和不受个人感情影响(objective or objectivity)的客观性的人。能力指的是一个监督人对控制和有关的过程的知识,包括控制应该如何运行?构成控制弱点的是什么?客观性既与用于监督所产生的信息有关,又与监督人的品性有关。对具有客观性的人所提供的信息和(或)履行监督程序,无需担心有个人的倾向,他们也不会为了个人的利益或自保而操纵信息。同时配备恰当的组织结构,明确监督的责任。
一、中美内部控制评价政策比较
(一)美国内部控制评价政策早在1978年,美国审计师责任委员会就建议公司管理当局应该提供报告,并出具具有独立审计师的证明。1987年,Treadway委员会在其报告中也提出了类似的建议。1992年COSO在《内部控制――整合架构》中提出了内部控制的框架,但未有力证明企业应该提供内部控制控制报告。2001年以来,为了治理会计信息失真,美国颁布了《萨班斯――奥克斯利法案》(简称“SOX法案”)。该法案第404节明确要求管理层对内部控制进行自评。SEC根据SOX法案和PCAOB的AS NO.2,规定注册会计师还要对上市公司财务报告内部控制进行审计评价,要求其对管理层财务报告内部控制有效性发表鉴证意见,以及对公司财务报告内部控制的有效性发表意见。关于内部控制评价标准,美国早有规定。2003年6月SEC就SOX法案第404节制定的“最终条例”明确表明COSO委员会的《内部控制――整合框架》可以作为评估企业内部控制的标准,SEC、PCAOB和AICPA在对审计标准的征求意见稿中多次提及《内部控制――整合框架》可以作为评估企业内部控制的标准。为了保证内部控制评价的真实性,美国PCAOB审计准则第二号(AS2)的第14条明确认可了COSO框架,其陈述如下:“在美国,COSO委员会了《内部控制――整合框架》报告,它为管理层的控制评价提供了合适和可行的框架。由于之一原因,本准则的绩效与报告指南是以COSO框架为基础的”。SEC于2003年8月14日修订了规则S-K,增加了第308条。依照第308条(1)b,PCAOB在AS2的第13款和第14款中这样规定:“管理层要把其对公司财务报告内部控制有效性的评价建立在公认框架的基础之上…在美国,Treadway委员会下属的发起人组织委员会(C0S0)出版了《内部控制――整合框架》。它通常被称为COSO报告,为管理层的内部控制评价提供了一个可以利用的适当的框架”。
(二)中国内部控制评价政策在我国,为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,2008年6月,财政部、国资委、证监会、审计署、保监会联合发表了《企业内部控制基本规范》。2010年4月26日,我国财政部了《企业内部控制配套指引》,包括《企业内部控制评价指引》和《企业内部控制应用指引》,其中,《企业内部控制评价指引》对我国内部控制评价工作进行了明确的规范。该指引明确指出“本指引所称内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程”。《企业内部控制基本规范》主要是在借鉴COSO报告的基础上,结合我国的具体情况进行了适当修改和完善,是我国企业内部控制评价的标准。虽然我国的《企业内部控制基本规范》是在借鉴了COSO报告的基础上形成的,但由于我国实际情况不同,而作了较大的调整,并在内容上进行充实,将国外的一些较为宏观、抽象的内部控制观点转变成具体的、实用性的内部控制规定。除基本规范之外,我国还颁布了17项具体规范,并颁布了若干具体规范和应用指南,全方位、立体性地推进内部控制体系的建设。
从评价主体来看,美国SOX法案提出了管理层要对内部控制进行评价,2003年SEC了若干指导管理层对内部控制评价的指南,对SOX法案的404节的执行起到了较好的促进作用。在美国,公司股权比较分散,股东难以对管理当局进行有效监控,董事长常身兼首席执行官,董事会的独立性很难保证,所以由管理层负责内部控制评价更为合理。在我国《企业内部控制评价指引》中规定企业董事会应当对内部控制评价报告的真实性负责。而在我国上市公司的股权结构下,董事会受到管理当局或大股东控制的现象比较严重,内部控制基础普遍薄弱,仅仅依靠评价指引的原则性规定很难有效落实内部控制评价的制度,需要推出更为详细具体的行动指南来指导内部控制评价工作的进行。中美内部控制评价政策比较结果如表1所示。
二、中美内部控制评价方法运用情况比较
(一)美国内部控制评价方法运用情况 美国公司管理层对财务报告内部控制的评价过程一般包括以下步骤:前期准备、项目规划、控制设计分析、控制测试、报告。PCAOB第2号审计准则要求审计师既要评价管理层的内部控制测试记录,又要执行为了整合审计的控制测试。 基于现实条件,通过查阅并总结相关资料,得出美国在内部控制评价方法的运用上流程图法、抽样法、穿行测试法叙述式、询问和观察、 重新执行和审查记录报告的方法使用的相对较多,而计算机辅助审计技术使用的相对较少。 此外,2007 年,SEC 了《管理层内部控制评价解释性指南》,该指南要求公司管理层采用自上而下、风险导向的内部控制评价方法,该方法是指从单位的最高层面开始的。 然后, 再识别组织中最为重要的账目和交易类型,以及针对这些账目和交易的控制目标,一旦确定了控制目标,就要识别这些适当的控制是否能达成控制目标。最后,是对这些控制进行测试和评价。通过查阅相关资料,总结美国内部控制评价使用的方法情况如表2所示。因自上而下风险导向的方法颁布使用的时间和所查阅资料年限的限制,该方法的实际使用情况与统计资料得出比例会有所差异。风险导向的审计为会计师事务所提供了一个引人注目的销售点,通过全面了解公司经营情况和各种经营风险,审计师就能够大大降低工作量。
(二)中国内部控制评价方法运用情况 我国《企业内部控制评价指引》规定:内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。为了进一步了解内部控制评价方法在我国单位实际工作中的运用情况,笔者将内部控制评价方法分为定性方法和定量方法,在北京地区部分大中型会计师事务所(如德勤)和一些上市公司的财务主管部门,就我国企业内部控制及其评价的基本情况和评价方法的使用情况进行了具体的问卷调查。通过162份问卷调查表的统计,得出以下结论:在调查的单位中有68.13%的单位在进行内部控制评价时偶尔使用定量方法,而有将近10.63%的单位不使用定量方法;在调查的单位中,定性方法使用较多的是问卷调查法、抽样法、分析性复核法、穿行测试法,而使用较少是引导会员法和详细评价法;在调查的单位中,定量方法使用相对较多的是经济数量分析法和层次分析法,而数据包络分析和人工神经网络法基本上没使用。对于我国定性和定量评价方法运用的选择情况如图1所示。中美内部控制评价方法运用情况的比较结果如表3所示。
三、中美内部控制评价方法运用结果分析
(一)美国内部控制评价方法运用结果 美国企业在进行内部控制评价时所使用的大部分方法,在中国也经常会使用到,现对中国企业使用较少的方法进行描述。叙述式(文字表述法)是对信息处理步骤和相关控制的简单描述。一方面,是沟通处理流程和控制信息的高效方法,将有助于引起对系统总体设计有效性评估的讨论。另一方面,叙述式的记录方法缺乏灵活性,有时很难重新设计方案以实现不同目标。矩阵表格,能高效地显示不同要素间的关系或联系,收集与沟通关于信息流程和控制信息的有效方式;能收集大量信息,并将其关联起来;相对容易维护和更新;具有扩展性和灵活性。缺点是较难“看出”总体的交易流程和评价控制设计的有效性;虽易于记录大量的细节,但会使矩阵表格内容繁杂、不易理解。管理层采用自上而下、风险导向的方法时,主要遵循以下评估程序:确定财务报告风险和控制,评估财务报告内部控制运行有效性的证据,评价在多个营业点生产和销售的企业的情况。IMA认为风险导向的评估中最主要的一条规则是避免风险和那些会断送评估的风险。在确定“合理的”可能风险时可采用如下技术:调查和观察,分析公司的特定历史,评价主体的经验,利用风险数据库,行业具体情景分析。
(二)中国内部控制评价方法的运用结果通过对北京地区部分大中型会计师事务所(如德勤)和一些上市公司进行的具体问卷调查,结果如表4所示。
在定性方法的运用情况中,通过统计分析,运用调查问卷法和抽样法的单位均为86.42%。调查问卷法,是指企业设置问卷调查表,分别对不同层次的员工进行问卷调查,根据调查结果对相关项目做出评价。统计结果显示,认为问卷调查法最大的优点是简便易行,节省审计时间,提高审计效率,该选项的选择数为117份。其次对于下述观点,被调查者的选择情况均达到45%以上:可对不同层次的员工进行问卷调查,可根据调查结果对相关项目作出评价;能对所调查的对象提供一个简括的说明,有利于审计人员做分析评价;调查表可由若干人分别回答,有助于保证调查效果。同时,有接近50%的数据显示,调查问卷法最大的缺陷是结论的正确性取决于调查表的设计水平。抽样法,是指企业针对具体的内部控制业务流程,按照业务发生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行的有效性做出评价。有63%以上的人员认为抽样法所得到的数据分析和解释都比较直观,在实务中的操作性强;同时也有50%的人员认为抽样法的随机性太大,但很少有人认为其操作性复杂。
在定性方法的运用情况中,通过统计分析,只有将近20%的单位运用引导会议法和详细评价法。引导会议法是指把管理当局和员工召集起来就特定的问题或过程进行面谈和讨论的一种方法。统计结果显示,被调查者认为引导会议法最大的缺点是在实务中的操作性不强,选择该项的有73份。虽然引导会议法的评价工作由组织的所有成员负责, 而不只是内部审计人员及管理层的事,同时也有人认为该方法可以收集到多种层次的工作组中有关内部控制的信息,评价的结果也能较好的运用于企业经营管理中,但也有不少人认为其操作复杂,需要借鉴更多的评价方法,才能将财务指标和非财务指标相结合,建立出多层次、全方面的内部控制体系。详细评价法, 是以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在评价内部控制的设计有效性,测试内部控制的运行有效性,最后综合设计和运行的评价对内部控制的有效性做出总体评价, 评估内部控制目标实现的风险,判断是否存在重大漏洞, 确定内部控制是否有效。有将近50%统计结果认为, 该方法在实务中操作性不强, 同时, 有不少人认为该方法可以测试内部控制的运行是否有效这一观点,而最关键的问题是如何对照企业内部控制框架或标准确定内部控制设计的有效性。
我国内部控制评价定量方法运用情况如表5所示。在定量方法的运用情况中,单位相对运用较高的方法是经济数量分析法和层次分析法,所占比例分别是35.8%和32.72%。一般的定性方法都具有很大的主观性和不精确性,而经济数量分析法将评价内部控制所带来的相关成本和利益联系起来,在对企业内部控制进行分析的基础上,建立一套能从总体上反映内部控制的评价指标体系。调查显示,有69份调查表认为该方法最大的优点是将定性指标定量化,减少评价过程中的主观性。层次分析法,是指将一个复杂的多目标决策问题作为一个系统,将目标分解为多个目标或准则,进而分解为多指标的若干层次,通过定性指标模糊量化方法算出层次单排序和总排序,以作为多指标、多方案优化决策的系统方法。和经济数量分析法类似,认为该方法能将定性指标定量化的调查表有77份,在运用过程中存在的主要问题是操作过程过于复杂,指标或方案太多。在定量方法的运用情况中,数据包络分析和人工神经网络法很少有单位运用,运用率均不到5%。究其原因,是这些方法本身产生的时间并不长,内部控制评价人员缺少对这些方法的了解;数据包络分析需要将指标权重转换为变量利用数学规划模型进行评价,操作相对复杂;人工神经网络法最大的问题是很难在各因素之间建立确定的关系模型。中美内部控制评价方法的运用结果如表6所示。
分析中美内部控制评价政策和评价方法运用情况,得出主要结论如下:在制度规定和方法运用上,中美差别并不大;但实际运行情况有较大的差距:美国对上市公司内部控制评价无论自评还是审计评价均要求严格,报告规范;中国上市公司内部控制自评中虽要求企业董事会应当对内部控制评价报告的真实性负责,但实际运用中随意性较大,不严肃,审计评价更是缺乏明确规定,缺少统一标准,评价过程中阻碍较大。
通过比较、分析中美内部控制评价政策与方法,得到如下方面的启示:(1)加强我国内部控制评价的措施。通过统计,虽然有不少单位认为在内部控制评价工作中,大部分企业评价顺利,但还是有单位认为有些企业高管人员不支持,评价工作困难。内部控制评价同样存在着评价内容不明确、评价主体及其定位不明确、缺乏统一的内部控制评价标准、评价中内部审计独立性不强、评价人员素质不高等问题。对此,建议采用以下解决对策:尽快制定统一的内部控制评价标准,重视管理层在执行内部控制及内部控制评价中的作用,完善公司治理结构以保障内部控制评价的有效运作,提高内部控制评价人员的执业素质,强化内部审计独立性,在内部控制评价中应更重视控制自我评价。 (2)内部控制评价政策的启示。由于在我国上市公司的股权结构下,董事会受到管理当局或大股东控制的现象比较严重,内部控制基础普遍薄弱,仅仅依靠评价指引的原则性规定很难有效落实内部控制评价的制度,因此,需要推出更为详细、具体的行动指南来指导内部控制评价工作的进行。借鉴SEC规定注册会计师要对财务报告内部控制进行审计,对管理层财务报告内部控制有效性发表鉴证意见以及对公司财务报告内部控制的有效性发表意见的做法,针对《企业内部控制评价指引》中只是表明企业可以授权内部审计部门或专门机构负责内部控制评价的具体组织实施工作的情况,我国应强制规定上市公司管理层出具财务报告,内部控制评价报告应由负责年终报表审计的注册会计师进行评审并出具鉴证报告,同时可以借鉴美国PCAOB和AICPA关于财务报告内部控制评价的相关规定,进一步加强内部控制评价的真实性。(3)定性与定量评价方法相结合,并逐步过渡到以定量评价为主。内部控制是一种动态的管理过程,需要通过多样化的内部控制评价手段,来提高内部控制水平。定性评价方法是针对上市公司内部控制制度的合法性、有效性、可操作性和经济合理性等方面进行文字描述和评价的方法。定量评价方法需要建立定量评价标准,通过内部控制制度评价的数学分析模型来评价上市公司内部控制制度的健全性和有效性。因为定性评价方法容易受到评价人员主观判断的影响,常常缺乏客观性,相反,定量评价则具有精确、科学、可比的特点,能为上市公司内部控制的实施效果作出较为客观的评价。因此,应将定性方法与定量方法结合起来进行评价,并逐步过渡到以定量评价为主。总之,应当遵循成本效益原则,优化评价考核内部控制的指标体系,使其具备科学性和可利用性,将定性指标定量化。
[本文系湖北省社科基金资助项目“基于风险视角的企业内部控制评价研究”(批号[2010]087)阶段性研究成果]
参考文献:
[1]财政部:《企业内部控制规范――基本规范》(2008)。
[2]财务部:《企业内部控制评价指引》(2010)。
[3]朱荣恩、应唯、袁敏:《美国财务报告内部控制评价的发展及对我国的启示》,《会计研究》2003年第8期。
[4]张宜霞:《美英上市公司内部控制评价与报告体系的比较研究》,中国会计学会财务成本分会2006年年会暨第19次理论研讨会论文集(上)。
[5]晓芳、张军:《美国内部控制评价制度体系的研究及启示》,《未来与发展》2010年第3期。
[6]邹树平:《美英内部控制评价与报告模式的比较分析及对我国的启示》,《贵州财经学院学报》2008年第2期。
[7]赵锡尧:《对美国内部控制评价与报告体系的思考与借鉴》,《黑龙江对外经贸》2007年第11期。
[8]树友林:《上市公司内部控制评价问题研究》,《商业研究》2008年第11期。
[9]周洁:《企业财务报告内部控制评价探析》,江西财经大学2008年硕士学位论文。
[10]赵扬:《在美上市公司财务报告内部控制流程评价定量分析方法研究》,北京化工大学2008年硕士学位论文。
[11]张宜霞、舒惠好:《内部控制国际比较研究》,中国财政经济出版社2006年版。
[12]Robert Moeller著,李海风、刘霄仑译:《布林克现代内部审计学》,中国时代经济出版社2005年版。
[13]Alvin A.Arens,Randal J.Elder,Mark S.Beasley著,谢盛纹译:《审计学一种整合方法》,中国人民大学出版社2009年版。
[14]Alvin A.Arens,Randal J.Elder,Mark S.Beasley著,张龙平、谢盛纹译:《审计与保证服务整合法》,东北财经大学出版社2005年版。
[15]O.Ray Whittington,Kurt Pany著,萧英达等译:《审计与其他保证服务》,机械工程出版社2003年版。
[16]Rick Hayes,Roger Dassan,Arnold Schilder,Philip Wallage著,来明敏等译:《审计学基于国家审计准则的视角》,机械工程出版社2006年版。
[17]审计署审计科研所译:《美国政府财务审计手册》,中国时代经济出版社2006年版。
[18]Larry F.Konrath著,耿建新等译:《审计学一项风险分析方法》,中国人民大学出版社2004年版。
[19](美)S・拉奥・瓦莱布哈内尼著,李海风、李媛媛等译:《内部审计活动在治理、风险和控制中的作用 实施内部审计业务》,电子工业出版社2009年版。
[20]Steve J.Root著,付涛、卢远瞩、黄翠竹译:《超越COSO加强公司治理的内部控制》,清华大学出版社2006年版。
[21]牛成:《COSO框架下的内部控制》,经济科学出版社2005年版。
[22]美国管理会计协会(IMA),张先治、袁克利主译:《财务报告内部控制与风险管理》,东北财经大学出版社2008年版。
[23]Treadway委员会发起组织委员会(COSO)制定,方红星译:《财务报告内部控制――较小型公众公司指南》,东北财经大学出版社2009年版。
[24]Edward F.Kearney等著,王光远等译:《联邦政府内部控制》,中国时代经济出版社2009年版。
[25]Treadway委员会发起组织委员会(COSO)制定,方红星主译:《内部控制:整合框架》,东北财经大学出版社2008年版。
[26]Alvin A.Arens,Randal J.Elder,Mark S.Beasley著,王英姿、杜英译:《审计学》,上海财经大学出版社2005年版。
[27](美)迈克尔・拉莫斯著,李海风主译:《如何遵循SOX404条款:评估内部控制的效果》,中国时代经济出版社2007年版。
[28]Robert Moller著,刘霄仑译:《SOA与内部审计新规则》,时代经济出版社2007年版。
