企业自评报告(精选5篇)

  • 企业自评报告(精选5篇)已关闭评论
  • A+
所属分类:文学
摘要

安全生产管理制度是根据我国安全生产方针及有关政策和法规制定的,是企业和职工在生产活动中共同遵守的安全行为的规范和准则。 根据国家关于安全生产的有关法律、法规、方针、政策,我们制订了相关的“安全生产管理制度”和“安全技术操作规程”,建立健全…

企业自评报告(精选5篇)

企业自评报告范文第1篇

根据《龙岩市人民政府安全生产委员会关于进一步明确深入开展企业安全生产标准化建设有关工作的通知》(岩市安委〔2012〕6号)要求,为加强对企业的安全生产监督管理,提高安全生产的管理水平,福建天盛建设工程有限公司根据通知精神,组织专门人员成立了12年度安全生产评价小组,认真学习《施工企业安全生产评价标准》(JGJ/T77)-2010)和国家关于安全生产的法律、法规和规章,深刻理解和 掌握安全生产评价的实质、内容和要求,对公司的安全生产条件,安全生产业绩及相应的安全生产能力进行了全面详细的自我评价,现将评价情况汇报如下:

一、安全生产管理制度

安全生产管理制度是根据我国安全生产方针及有关政策和法规制定的,是企业和职工在生产活动中共同遵守的安全行为的规范和准则。 根据国家关于安全生产的有关法律、法规、方针、政策,我们制订了相关的“安全生产管理制度”和“安全技术操作规程”,建立健全了各级安全生产责任制和安全保证体系,并按照工程规模、地域、施工工期等因素配备专职或兼职安全管理人员,做到了制度健全、责任明确、分工细致、运行有效,并按照国家规定,对各工种配备应有的劳动保护用品,按需定期发放,以保证从业人员的安全操作,使其整个公司在安全生产方面有法可依,有章可循;公司为员工办理了意外伤害保险,对事故善后处理提前作好基础,对员工安心工作起到了定期检查相结合、全面检查与重点检查相结合、各级管理部门检查与企业自检相结合的三结合方针,在检查中严要求、高标准,确保各项制度的落实,把安全工作和创文明工地一起来抓,以预防为主,持生产过程中的全员、全

过程、全方位、全天候的“四全”动态跟踪管理,管生产的同时管安全,坚持“安全无事故”的管理目标,基本上做到了安全与质量的相互包涵和安全与生产的统一。 公司根据国务院颁布的《企业职工伤亡事故报告和处理规定》,结合公司实际,制定了“生产安全事故报告处理制度”,以防范事故发生、掌握事故情况、查明事故原因、分清事故责任、改进管理和技术措施。

二、 资质、机构和人员管理 积极的作用;

公司根据《建筑施工安全检查评分标准》和《企业职工奖惩条例》来严格考核、督促、检查制度,坚持定期检查与不根据《中华人民共和国安全生产法》等法规要求,公司设置了适合企业需要的安全生产管理机构和足够的专职安全管理人员,负责企业的日常安全生产工作。公司主要负责人、项目经理和安全生产管理人员均经过主管部门的培训考核,取得了《安全资格管理证书》,具备了相应的安全生产知识和管理能力。 在做好对各级管理人员安全教育的同时,对全体从业人员开展了三级教育和各项安全制度的学习,使上岗工作人员明确本岗位的安全制度和操作规程、真正认识到安全生产的重要性和必要性,懂得安全生产与文明生产的科学知识,牢固树立“安全第一”的思想,自觉的遵守各项安全生产法令和规章制度;对施工队长,工长、班组长定期轮训,考核,以提高政策水平,熟悉安全技术和劳动卫生业务知识,做好安全生产工作;对新工人经过公司、施工队、班组的三级教育,经考核合格后统许签发安全教育合格证,并要求持证进入生产岗位,对必须进行培训的工种,依照劳动部颁布的《特种作业人员安全技术培训考核大纲》定期进行培训,并取得相关证书后方可上岗,基本上保证了培训工作的全面性、系统性和连续性。在每班作业前,有班前安全讲话,下班后有安全总结座谈

会,总结经验教训。安全员跟班检查,对不安全因素,及时排除。对安全奖罚制度,一视同仁,严格执行。 为加强对安全设施所需材料、设备及防护用品的管理,公司对材料供应单位的资质、人员以及信誉、生产能力等方面制定了明确的规定,建立了合格供方名录。配电箱、安全网、安全带等安全防护用品必须采用省安全监督站的推荐产品。

三、 安全技术管理

公司根据相关规范要求要求及承接工程的种类、特征、自身管理水平等情况,对施工现场存在的危险源进行了识别,列出清单,并对危险源一一评价,将其中导致事故发生可能性较大并且事故发生会造成严重后果的危险源定义为重大危险源,针对这些重大危险源,编制了事故应急预案,建立了事故应急救援组织,最大限度的预防和减少可能造成的伤害。 施工组织设计是保证工程质量和施工安全的重要措施,为保证施工组织的编制和审批落到实处,公司建立了一套完善的编制审批制度。各项目部在编制施工组织设计时,基本能够根据工程的特点制定相应的安全技术措施,并能够严格按照施工组织设计进行施工,坚持安全技术措施交底制度,对于特定的安全技术措施,派专人认真组织落实 。

四、设备与设施管理

为减少因建筑施工机械设备所引发的各类伤亡事故,公司建立健全了机械设备的各项管理制度,切实加强建筑施工机械设备施工过程的安全管理,落实责任制,克服“重用轻养”,做好设备的维修,日常保养工作,加强设备使用全过程中的定期自查工作,消除隐患。对机械管理人员和机械操作人员严格上岗前的培训,特殊工程必须持证上岗,确保施工机械设备安全使用。 对

参与工程施工的所有工程机械设备,设立固定台帐,详细记录其使用、保养、维修情况,并设有专人进行定期检查保养,对于新购置的设备,经保养、试运行后方可启用,严格按工程机械管理制度进行运作,杜绝带病工作,保证了全部工程机械安全运转。对大型机械设备按照 《建筑施工附着井降脚手架管理暂行规定》 等有关规定结合实际贯彻落实,大型机械设备的拆装根据建筑起重机械设备的技术要求、施工现场环境、设备状况以及辅助起重设备条件和有关技术标准制定专项拆卸方案和技术措施,并由安装拆卸单位技术负责人签字。安装拆卸操作人员持证上岗,安装拆卸作业必须设置警戒区,由专业技术人员监护。安装完毕后严格按照技术规范的要求对建筑起重机械设备进行调试和检验,填写自检报告。

五、安全生产业绩

我公司在建设主管部门的指导帮助及有关职能部门的大力支持下,高举“安全生产”这面旗帜,认真贯彻上级关于安全生产一系列的重要指示,狠抓安全生产管理,安全生产工作取得一定成效。本公司自成立以来本着“安全第一,质量为本”的管理方针,把企业各项制度及措施落实到位,在生产过程中从未出现过安全质量事故。 通过自检,我们认为公司的安全管理体系符合《施工企业安全生产评价标准》(JGJ/T77)-2010)的要求,能满足企业安全生产的要求,评价等级为合格。

企业自评报告范文第2篇

(一)内部控制自评报告披露评价根据2012年信息服务业上市公司内部控制披露信息统计,自评报告披露情况如表4所示。深市主板、中小企业板和创业板的公司全部披露了自评报告,沪市则有80%的公司进行了披露,尚有20%的公司未披露。沪深两市123家信息服务业上市公司中,中央国有控股公司均披露了自评报告,地方国有控股公司有近一成的公司没有披露,非国有控股公司仅有近4%的公司没有披露。整体而言,信息服务业上市公司内部控制自评报告的披露状况较好,只有少数企业没有披露自评报告。

(二)内部控制审计报告披露评价表5列示了2012年信息服务业上市公司未披露内部控制审计报告的统计情况。沪市一半多的公司未披露内控审计报告,深市主板则仅有四成的企业披露了内控审计报告,中小板和创业板公司反而情况略好,为近四成的企业没有进行披露。中央国有控股企业三成多的企业没有披露内控审计报告,地方控股和非国有控股的上市公司近四成半的企业没有披露内部控制审计报告。平均起来,信息服务业上市公司近四成的企业没有披露内控审计报告。

(三)内部控制报告制度遵循状况评价根据评价依据,结合表6反映的信息,就内部控制自评报告而言,中央国有控股公司和深市上市公司均按财政部和证监会《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》以及深市《关于做好上市公司2012年年度报告工作的通知》要求,进行了披露。未遵循制度要求进行自评报告披露的,是沪市地方国有控股公司,有20%的该类公司没有进行披露。故信息服务业上市公司内部控制自评报告,对于强制披露的制度遵循来说,整体情况较好,未来需着重监管的环节在沪市地方国有控股公司。究其原因,深市自2007年即强制要求本所上市公司披露内控自评报告,沪市则一直为自愿披露状态,2011年才按财政部和证监会要求,分期分批强制要求规定范围内企业披露自评报告[6],由于强制披露时间较早,深市信息服务业上市公司自评报告强制披露的遵循情况要好于沪市上市公司。就内部控制审计报告强制披露的遵循情况看,沪市信息服务业上市公司中,中央国有控股公司40%未予以披露,地方国有控股公司披露状况要好。与此相反,深市信息服务业上市公司中,内部控制审计报告则是中央控股公司执行较好,地方国有控股公司执行状况更差。就自愿披露情况看,沪市和深市主板信息服务业非国有控股公司内控审计报告均为八成企业未披露,而深市中小企业板和创业板信息服务业非国有控股公司内控审计报告的披露状况反而更好。这说明对于深市信息服务业非主板非国有控股的上市公司,因其规模小以及非国有控股的劣势,更希望利用信号传递效应,自愿披露内控审计报告,增强投资者信心。[7]但值得注意的是,深市创业板信息服务业非国有控股上市公司中,有近5%的公司被出具的是非标内控审计报告,说明这类公司披露内控审计报告的意愿强烈,但与财务报告有关的内部控制建设执行情况尚有待加强。

二、内部控制自评报告披露信息评价

(一)评价指标由信息服务业上市公司内部控制自评报告披露状况表可知,从数量上看,该类公司披露情况较好,仅有沪市20%的公司未进行披露,即123家上市公司中仅5家公司没有披露。披露质量则需进一步分析评价。财政部会计司2010年曾《企业内部控制规范讲解》,构建了84个明细指标构成的内部控制评价核心指标体系,是到目前为止评价规范制定机构的唯一指标体系。[8]但考虑到截至2012年内部控制自评报告的披露,此指标体系不过执行两个会计年度,且是分类分批执行的,对于信息服务业上市公司而言,按强制披露要求执行此指标体系还是第一年,面对如此庞大的指标体系,要求初次披露的质量即为高水平的,显然难度较大。所以考虑到上市公司具体的可操作性,根据《企业内部控制规范讲解》继84项指标体系后所给出的内部控制评价报告范例,逐条分解,构建表7中所列示的8类17项指标构成的内部控制自评报告披露内容评价指标体系。另外,范例报告中,纳入评价范围的业务和事项囊括了《企业内部控制应用指引》的18项内容,对这些内容的披露,可以反映出公司内部控制健全性和有效性,因此表7右半部分列示了18项内控自评报告披露业务和事项的评价指标。表7所列的两部分35项指标即为信息服务业上市公司内部控制自评报告信息披露质量的评价指标体系。

(二)披露内容评价分析信息服务业2012年沪深两市123家上市公司内部控制自评报告披露信息,去除未披露自评报告的5家沪市上市公司以及星美联合何时能重置主营业务、恢复持续经营能力不明确,暂时无法按照《企业内部控制基本规范》和《企业内部控制配套指引》相关要求进行系统全面内部控制建设,因此去除该公司内部控制自评报告,以剩余117家上市公司内部控制自评报告为评价基础。对于信息服务业上市公司内部控制自评报告披露内容的17项评价指标,FW3描述纳入评价的业务和事项是否存在重大遗漏,报告中未予以描述的赋值为0,明确说明不存在重大遗漏的赋值为1;JL1明确给出内控是否有效的结论,未明确给出是否有效结论的赋值为0,明确给出内控有效的赋值为1;其余15项指标均是未披露赋值为0,披露赋值为1。信息服务业上市公司内控自评报告披露内容如表8所示。对于董事会声明和内部控制评价工作总体情况的披露,除内部控制目标外,均为沪市和深市主板披露状况明显好于中小企业板和创业板,国有控股上市公司的披露情况也明显好于非国有控股公司;评价依据的披露,差别不是十分明显,只是中小企业板和地方国有控股信息服务业上市公司披露状况略好。控制范围的披露,对于FW1列示前十大主要风险,无论从上市板块还是从控股股东性质分析,披露状况均不理想;FW2对于纳入评价范围的单位,沪市以及深市主板和国有控股公司披露状况更佳;FW3对于纳入评价范围的业务和事项是否存在重大遗漏,除沪市不到一半的公司明确说明不存在重大遗漏之外,其他类型公司均未明确给出结论。评价程序和方法的披露,趋势较明显,沪市和深市主板好于中小企业板和创业板,国有控股公司好于非国有控股公司。对于内控缺陷及整改的披露内容,缺陷标准的披露依然是沪市和深市主板好于中小企业板和创业板,国有控股公司好于非国有控股公司,对于一般缺陷和重大缺陷基本都是未予以披露;整改基本情况的披露是中小企业板略差,但是对于具体整改措施的披露,则是中小企业板和创业板好于深市主板,非国有控股公司好于国有控股公司。对于内控是否有效的结论,近八成的上市公司明确说明本公司内控有效。概况起来,信息服务业上市公司内控自评报告内容的披露,总体看是沪市和深市主板公司好于中小企业板和创业板,沪市与深市主板公司相比,则是沪市公司情况略好;国有控股公司好于非国有控股公司,中央国有控股公司和地方国有控股公司则没有较明显差异。这说明信息服务业上市公司中的中小企业板、创业板以及非国有控股公司在内部控制自评报告内容的披露上规范性不足。原因可能是这类企业规模较小,完备的内控制度的构建以及自评报告的出具能够获得的帮助有限,而实力更强的主板上市公司或国有控股上市公司,能更好地聘请咨询机构辅助或能够获得相关主管部门的帮助或培训,所以执行效果更好。但是对于具体整改措施的披露,中小企业板和创业板公司略好于主板公司,非国有控股公司略好于国有控股公司,说明这些企业还是有强烈的意愿健全内控制度,向资本市场传递正面信息。

(三)评价范围披露状况分析信息服务业上市公司内控自评报告披露业务和事项的评价,依然以117家信息服务业上市公司2012年内部控制自评报告为评价基础。18项评价指标,均是披露赋值为1,未披露赋值为0。从表9反映的信息可以看出,对于X1到X5这类反映公司内控环境事项的披露,组织架构、人力资源和企业文化的披露状况各类企业均较好,而对于发展战略和社会责任的披露,则是沪市和深市主板公司好于中小企业板和创业板公司,国有控股公司好于非国有控股公司。X6到X16这些反映企业具体控制活动业务的披露,资金活动、采购业务、资产管理、销售业务和担保业务的披露,几类企业披露情况均较好。研究与开发、工程项目、财务报告、全面预算和合同管理的披露,则是沪市和深市主板好于中小企业板和创业板,国有控股公司好于非国有控股公司。业务外包的披露,各类公司都进行了很少的披露,可能对于信息服务业上市公司而言,不是主要的业务内容。最后两项反映企业信息传递与沟通的指标,深市主板上市公司披露状况相对略差,其他类型的公司均有所披露。概况而言,信息服务业上市公司内控自评报告对于评价范围中业务和事项的披露,整体上沪市好于深市。原因可能是深市上市公司执行内控自评报告强制披露较早,且一直按照深交所的披露要求来出具,惯性使然,对于内控基本规范和配套指引的遵循情况,不如较晚执行强制披露但直接按照财政部和证监会要求出具自评报告的沪市上市公司。另外,发展战略、社会责任、研究与开发、工程项目、财务报告、全面预算和合同管理的披露,明显是沪市和深市主板好于中小企业板和创业板,国有控股公司好于非国有控股公司,说明对于中小企业、创业企业和非国有控股上市公司,这些方面内控制度的健全和完善,是未来需要重点加强的领域。

(四)评价指标披露状况评价分析信息服务业上市公司内部控制自评报告,披露内容与披露业务和事项各评价指标,整体披露情况如何?以117家信息服务业上市公司,2012年内控自评报告披露内容和披露业务与事项17项和18项评价指标数据为基础,应用SPSS20.0进行针对变量的层次聚类,聚类的树状结构图如图1和图2所示。对于信息服务业上市公司内部控制自评报告的披露内容,整体来说,披露较好的指标主要集中在描述内部控制目标、评价依据和内部控制是否有效三项指标;披露状况较差的指标主要集中在描述内控评价范围、程序和方法以及内控缺陷这三类指标,另外内部控制工作中董事会、监事会、经理层责任以及内部控制评价工作组织领导体制的描述,情况也是如此。可以说,除了明确表示公司内控有效的结论披露的较好外,涉及到责任认定,具体评价范围、程序和方法的说明,主要风险列示,评价范围是否有重大遗漏的结论,评价方法是否适当的结论,内部控制缺陷及整改的详细披露,这些较敏感的方面,整体披露状况并不理想。另一方面,就自评报告中评价范围涉及业务和事项的披露,状况较好的指标主要包括组织架构、人力资源、资产管理、资金活动、担保业务、采购业务、销售业务、内部信息与传递和企业文化;披露状况较差的指标主要包括发展战略、社会责任、业务外包、合同管理、工程项目、财务报告、研究与开发、全面预算和信息系统,这些应该是以后信息服务业上市公司内控制度的重点建设领域。

三、主要结论

企业自评报告范文第3篇

一、我国上市公司内部控制信息披露的现状

1.2006-2009年内部控制信息披露的整体状况。

深沪交易所从2006年开始要求上市公司披露内部控制自我评价报告和鉴证报告,但可虑到实施的衔接性,深沪交易所规定上市公司2006年年报也可在全文的”重要事项”部分披露内部控制信息。由于不是强制要求披露,而且是内部控制自我评价报告和鉴证报告披露的第一年,上市公司内部控制自我评价报告和鉴证报告披露的情况不多。如2006年,沪市只有77家上市公司披露了内部控制自我评价报告,占当年披露年报公司的9.1%,而内部控制鉴证报告只有35家披露,占当年披露年报公司的4.1%。

从2007年开始,由于证监会和深沪交易所对内部控制自我评价报告和内部控制鉴证报告的披露要求越来越严,内部控制自我评价报告和鉴证报告披露的情况逐年向好。以上海市场为例:披露内部控制自我评价报告的上市公司从2006年77家上升到2009的354家,披露率上升了34.2个百分点;而披露内部控制鉴证报告的上市公司从2006年35家上升到217家,披露率上升了20.7个百分点。

2.上市公司2009年内部控制自我评价报告和鉴证报告披露状况。

2009年底正常在深沪正常交易的上市公司有1297家(深圳452家,上海845家)其中深市由于深圳证券交易所2009年对深市上市公司披露内部控制自我评价报告作了强制性规定,因此深市上市公司全部452家都披露了内部控制自我评价报告,而沪市仍属于自愿披露,有378家上市公司披露了内部控制自我评价报告,披露率为43.1%。而内部控制鉴证报告两市均属于自愿披露,深市共102家上市公司披露了内部控制鉴证报告,披露率为22.6%,沪市共217家上市公司披露了内部控制鉴证报告,披露率为25.7%,沪市略好于深市。

2009年在主板上市交易的金融企业共30家,全部披露了内部控制自我评价报告,其中有29家披露了内部控制鉴证报告,只有1家 没有披露,从此情况看出,由于监管政策对金融行业的特殊要求,金融行业披露内部控制信息的情况良好。

2009年披露内部控制鉴证报告企业按行业分类的情况。制造业、房地产业、金融业分别占据披露行业的前三位,分别占比45.14%、9.4%和9.09%。其余行业的披露情况见下表:

在披露内部控制鉴证报告的公司中有8家ST公司也披露了内部控制鉴证报告,占比2.5%,正常状态的公司为311家,占比97.5%。

二、内部控制评价报告及鉴证报告中存在的问题

1.上市公司内部控制评价报告对内部控制缺陷信息的披露不充分。我国《企业内部控制基本规范》对内部控制缺陷、重大缺陷和实质性漏洞并没有作出具体的定义,直到2010年颁布的《企业内部控制评价指引》才对内部控制缺陷作出了具体定义。内部控制缺陷,按严重程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。具体到财务报告内部控制上,就是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表重大错报的一个或多个控制缺陷的组合。重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。《企业内部控制评价指引》要求经认定的内部控制缺陷必须在内部控制评价报告中予以披露,但由于《企业内部控制评价指引》2010年才颁布,因此我国上市公司内部控制自评价报告中对内部控制缺陷的识别、认定、披露基本处于探索阶段,上市公司内部控制评价报告对内部控制缺陷信息的披露很不充分,语焉不祥。有些上市公司的内部控制评价报告避重就轻,对公司存在的内部控制缺陷不主动披露,对上市公司受到的处罚也不在报告中披露。

2.内部控制鉴证报告存在两种不同的鉴证意见表达方式。一种是积极主动式,基本的表达方式是“我们认为, 在所有重大方面有效保持”如招商地产审计师事务所德勤华永会计师事务所签署的“我们认为,招商地产公司于2009 年12 月31 日在所有重大方面有效地保持了评估报告所述的按照财政部颁发的《企业内部控制基本规范》建立的与财务报表相关的内部控制。”。另一种是消极被动式,基本表达方式是“没有发现――存在重大差异”“未发现, _存在重大不一致”“未发现重大控制缺陷”等。如深万科的审计事务所毕马威华振会计师事务所签署的意见为“我们未发现,在所有重大方面,贵公司董事会编写的《内部控制自我评价报告》中与财务报表编制相关的内部控制评估内容与我们审计贵公司上述财务报表的审计发现存在不一致。”

3.是内部控制鉴证报告的名称不一致。如内部控制审计核实意见、内部控制核实评价意见、内部控制审核报告、内部控制专项鉴证报告以及关于《内部控制自我评价报告》的专项说明等等。如航天科技内部控制鉴证报告叫内部控制制度报告,南天信息、锡业股份为内部控制审核报告,安泰科技为内部控制专项报告,华北高速、紫光股份为内部控制自我评价报告的审核评价意见,而深万科的则为关于《内部控制自我评价报告》的专项说明。

三、建议

1.统一内部控制评价报告披露内部控制缺陷的内容,将披露内容格式化。从上市公司披露的内部控制评价报告来看,披露内容着重于对内部控制基本情况和内部控制程序的描述,而对上市公司中存在的内部控制缺陷没有主动披露,或者避重就轻,轻描淡写一笔带过。应当制订内部控制评价报告披露内部控制缺陷的统一标准,规定哪些类型的内部控制缺陷应当予以披露。

2.尽快出台分类内部控制缺陷的操作细则,便于将内部控制缺陷分类工作具体化。2010年颁布的《企业内部控制评价指引》对内部控制缺陷作出了具体定义,但这种定义相当笼统,在实际工作中难以操作,因此应尽快出台评估内部控制缺陷的操作细则,以指导上市公司内部控制缺陷的评估与披露。

3.规范内部控制鉴证报告形式与名称。内部控制鉴证报告在表述方式、名称不一致,会使报告使用者对内部控制鉴证报告的理解存在分歧,从而削弱内部控制鉴证报告的公信力,因此规范内部控制鉴证报告形式与名称有助于内部控制鉴证报告的权威性。

参考文献:

[1]黄秋敏:2008, 上市银行内部控制信息披露状况分析― 以2001-2006年度报告为研究对象, 《审计研究》第1期

企业自评报告范文第4篇

关键词:内部控制评价;内部控制审计;实施成本;信息技术的应对;评价与审计范围

中图分类号:F239.43 文献标识码:B

企业内部控制评价与审计规范源自于美国,安然、世通等财务欺诈案件使人们进一步认识到了内部控制的重要性,也加速了企业内部控制制度建设的进程。2002年,美国出台了《萨班斯―奥克斯利法案》(简称萨班斯法案),该法案在302节“公司对财务报告的责任”和404节“管理层对内部控制的评价”中,要求在美国证券交易委员会注册登记的企业,其管理层要对财务呈报内部控制的有效性进行评价并对外公开报告;同时要求注册会计师对管理层财务呈报内部控制进行鉴证和报告。美国证券交易委员会和公众公司会计监督委员会为内部控制的评价与审计制定了相关规则和指引。其他一些国家也纷纷借鉴美国的做法,先后加强和完善了对企业尤其是上市公司内部控制的规制,这其中就包括日本和中国。

2006年6月7日,日本国会通过《金融商品交易法》,其中以上市公司为对象,将管理层对财务报告内部控制进行评价并由注册会计师对其进行审计作为义务予以规定(内部控制报告制度),并要求在2008年4月1日开始起的会计年度执行[1]。依据《金融商品交易法》,日本企业会计审议会于2007年2月15日,审议了《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定(意见书)》,其公布的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》适用于自2008年4月1日以后开始的会计年度财务报告内部控制的评价与审计。

长期以来,中国多个部门对企业内部控制的建立与实施进行了规范,但并未形成统一体系。美国颁布实施萨班斯法案后,中国企业内部控制制度建设也进入了快速发展时期。2005年6月,国务院领导在财政部、国资委和证监会联合上报的《关于借鉴〈萨班斯法案〉完善我国上市公司内部控制的报告》上作出批示,同意“由财政部牵头、联合证监会及国资委,积极研究制定一套完整公认的企业内部控制指引”[2]。2006年7月15日,财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会。2008年6月28日,财政部会同中国证监会、国家审计署、中国银监会和中国保监会共同了《企业内部控制基本规范》,并要求自2009年7月1日起在上市公司范围内施行,同月,还了《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制鉴证指引》的征求意见稿。2010年4月15日,上述五部委制定了企业内部控制配套指引,具体包括《企业内部控制应用指引第1号――组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》,要求在境内外同时上市的公司自2011年1月1日起执行,在上海和深圳证券交易所主板上市的公司自2012 年1月1日起执行,在中小板和创业板上市的公司择机施行,并鼓励非上市大中型企业提前执行。执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对企业内部控制的有效性进行审计并出具审计报告。至此,统一的、融合国际先进经验的中国企业内部控制规范体系基本建成。

日本和中国的内部控制评价和审计规范都借鉴了美国的COSO报告①以及内部控制评价与审计规范,但规范的具体要求和内容还是存在显著的差异,本文以日本企业会计审议会的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》以及中国财政部等五部委联合的《企业内部控制基本规范》及企业内部控制配套指引为依据,首先从规范的框架结构、规范对象与范围、内部控制的目标和要素、内部控制缺陷的分类以及内部控制审计等方面对其差异进行比较分析,在此基础上进一步探讨日本内部控制评价和审计规范对完善我国内部控制报告制度的启示。

一、 中日企业内部控制评价与审计规范的框架结构、规范对象与范围不同

日本的企业内部控制评价与审计规范分为《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》两个层次,准则与实施准则内容相同,均包括“内部控制的基本框架”、“财务报告内部控制的评价与报告”、“财务报告内部控制的审计 ”三部分,实施准则只是对准则列示尽可能具体的指南。我国2008年由财政部等五部委联合颁布的内部控制评价与审计规范,其框架结构由一项基本规范、系列应用指引、评价指引、审计指引和企业内部控制制度三个层次构成[3]。第一个层次企业内部控制基本规范规定了内部控制的基本目标、基本要素、基本原则、和总体要求,是制定后两个层次规范内容的基本依据,在内部控制标准体系中起统驭作用;第二个层次包括企业内部控制应用指引 、企业内部控制评价指引、企业内部控制审计指引(分别简称应用指引 、评价指引、审计指引),其中应用指引是对企业按照内部控制基本规范建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中居主体地位;主要包括两方面内容:一是针对企业主要业务与事项的应用指引,二是针对特殊企业或行业的应用指引。具体可以划分为内部环境类指引、控制活动类指引、控制手段类指引三类,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。评价指引是为企业管理层对本企业进行内部控制自我评价提供的指引和要求,包括评价内容和标准、评价程序和方法、评价报告的出具和披露等。审计指引是会计师事务所执行内部控制审计业务的执业准则;第三个层次企业内部控制制度是各企业依据前两个层次的要求,并结合本企业经营特点和管理要求建立的本企业的内部控制制度。可以看出,两国的规范都包括了基本要求和实施指南,但比较而言,我国的内部控制规范体系按照内部控制的建立、评价、审计分别制定指南,尤其是针对企业主要业务与事项和特殊企业或行业制定的应用指南具有更强的指导作用。

日本的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》要求自2008年4月1日开始的会计年度在上市公司执行;中国的《企业内部控制基本规范》适用于境内设立的大中型企业,小企业和其他单位可以参照建立与实施内部控制,自2009年7月1日起首先在上市公司施行。企业内部控制配套指引虽然目前尚未规定针对非上市企业强制实施的时间表,但也鼓励非上市大中型企业提前执行。可见,中国《企业内部控制基本规范》所规范的对象要广于日本,不仅包括上市公司,也包括非上市企业。

日本的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》规范财务报告内部控制的评价与审计活动,所谓财务报告内部控制是指以确保财务报告的可靠性为目的的内部控制。我国的评价指引第五条规定:企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。第二十一条规定:内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。审计指引第三条指出:按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。第四条进一步指出:注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。由此可见,中国《企业内部控制基本规范》以及配套指引并不局限于财务报告内部控制,而是规范内部控制目标全过程的评价和鉴证活动。显然,比日本规范的范围要大得多。

二、中日企业内部控制的目标和要素不同

日本在《财务报告内部控制评价与审计准则》中将内部控制目标确定为四个:即经营的有效和效率、财务报告的可靠性、营业活动遵循相关法律以及资产保全。我国《企业内部控制基本规范》规定了五个目标:即合理保证企业经营管理合规合法、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略,比较而言,战略目标是日本内部控制评价与审计规范中没有提及的。

从内部控制要素来看,日本《财务报告内部控制评价与审计准则》将内部控制基本要素确定为六个方面:控制环境、风险的评估与应对、控制活动、信息与沟通、监控、信息技术的应对;中国《企业内部控制基本规范》确立的内部控制框架包括五个要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。尽管两国规范对于相关要素的表述有所不同,但前五个要素的内容大体相近,所不同的是日本的内部控制规范要比我国多一个要素――信息技术的应对。所谓信息技术的应对是指为实现组织的目标事先规定合理的政策及程序,根据这些政策及程序在业务实施中对组织内外的信息技术进行合理的应对,具体包括信息技术环境的应对与信息技术的利用和控制。日本内部控制规范制定机构认为:尽管美国的COSO报告未提及这一要素,但近些年,信息技术发生了飞跃性进展,组织的业务内容在很大程度上依赖于信息技术,组织的信息系统高度采用信息技术等的现状,使很多组织离开信息技术就不能进行业务活动。将信息技术的应对增加为基本要素,表明在信息技术深刻影响组织的状况下,在执行业务的过程之中,对组织内外的信息技术进行合理的应对,已经成为实现内部控制目标所不可或缺的[1]。

三、中日企业内部控制评价与审计规范对内部控制缺陷的分类不同

关于内部控制缺陷,中日内部控制规范都认为包括设计(构建)缺陷和运行缺陷,但对其划分的类别却不同。日本《财务报告内部控制评价与审计实施准则》基于对财务报告可靠性产生影响的程度,将内部控制的缺陷划分为“缺陷”和“重要缺陷”两类。我国内部控制评价指引根据内部控制缺陷影响整体控制目标实现的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷三类,比日本的划分更细。

四、中日内部控制审计规范的具体要求不同

从内部控制审计主体来看,日本《财务报告内部控制评价与审计准则》对内部控制审计主体有强制要求,规定内部控制审计由从事该企业财务报表审计的同一审计人员实施,这里的同一审计人员不仅要求同一会计师事务所,而且也要求是同一执行业务的合伙人。我国的审计指引第五条规定:注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行。可见,我国企业内部控制规范并未对内部控制审计主体作出强制性限制。

对于内部控制审计意见类型,日本财务报告内部控制评价与审计准则以及实施准则规定:内部控制审计报告意见可以分为无限定合理意见、附有除外事项的无限定合理意见、附有除外事项的有限定合理意见、内部控制报告内容不适当的意见和无法表示意见②。我国的审计指引将内部控制审计报告意见分为无保留意见、带强调事项段的无保留意见、否定审计意见和无法表示意见,两国所不同的是关于保留意见的规定。日本规定表述保留意见的条件是:因未能实施重要的审计手续而不能表明无限定合理意见的情况下,审计人员在判断其影响未达到对内部控制报告不能表明意见程度而不具有重要性时,必须表明附有除外事项的有限定合理意见。在这种情况下,必须在实施的审计的概要中记载未能实施的审计手续,在对内部控制报告的意见中记载该事项对财务报表审计产生的影响[1]。我国的审计指引第三十一条规定:如果注册会计师审计范围受到限制,应当解除业务约定或出具无法表示意见的内部控制审计报告,并不允许发表保留意见。如果财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,应当发表否定意见。上述规定表明,我国不允许注册会计师签发保留意见的内部控制审计报告,因为审计范围受到限制,难以确定财务报告内部控制的有效程度,因此,只要审计范围受到任何限制,就要出具无法表示意见的审计报告或选择解除业务约定。

中日两国关于内部控制审计报告的形式要求也不同。日本《财务报告内部控制评价与审计准则》规定:财务报告内部控制审计的目的在于对管理层编制的内部控制报告是否依据一般公认合理的内部控制评价准则,在所有要点上是否适当表明内部控制有效性的评价结论,将基于审计人员自身取得的审计证据进行判断的结果作为意见予以表明。同时规定:内部控制审计报告原则上与财务报表审计报告一并编制。我国的审计指引第二条指出:内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。第二十七条指出:注册会计师在完成内部控制审计工作后,应当出具内部控制审计报告,标准内部控制审计报告应当包括标题、收件人、财务报告内部控制审计意见段、非财务报告内部控制重大缺陷描述段等要素。尽管中日两国都要求对内部控制审计结果以报告的方式表明,但内部控制审计意见报告形式的差异十分明显。日本为了减小审计成本,没有采用审计人员直接对内部控制的构建和运行状况进行验证的形式,而是要求对管理层进行的财务报告内部控制有效性评价的结论予以审计并发表意见,也就是采用间接发表意见的形式。中国的规范要求对内部控制设计与运行的有效性进行审计,采用的是直接报告的形式,并且要求单独编制审计报告。两种报告形式比较而言,直接报告形式尽管成本负担大,但能够以独立的第三者的身份提供内部控制设计与运行有效性的结论,从而为信息使用者提供决策的依据。日本的间接报告形式从制度设计来看是希望降低成本,事实上,实际应用状况并不理想。注册会计师在执行审计时,为了验证经营者的评价是否合理,必须对企业内部控制的有效性进行检查, 因为只有在证明内部控制制度有效的基础上才能对经营者所做的内部控制评价是否合理做出结论。为此,要深入实际操作层次检查内部控制制度的存在,然后再抽取相关资料样本,从样本中留下的痕迹来验证内部控制运行是否有效[4]。可见,日本的间接报告形式远比制度设计所预想的审计工作要多。

五、日本内部控制评价与审计规范对我国的启示

(一)日本内部控制评价与审计规范关于实施成本的考虑对我国的启示

一项制度的创新可以促使交易成本降低,一项制度的实施自身也有执行成本,只有当制度的执行成本低于制度创新所节约的交易成本时,这项制度才会被人们自觉遵守。美国的内部控制报告制度就因为高昂的执行成本而饱受各方指责。根据萨班斯法案404条款以及美国证券交易委员会颁布的《最后规则》和美国上市公司会计监督委员会的第2号审计准则,上市公司须提交与财务报告有关内部控制有效性的管理当局报告和审计师对与财务报告有关的内部控制有效性的意见。实践表明,执行萨班斯法案404条款不仅直接成本高昂,间接(机会)成本对美国社会的影响更为深远[5]。为了进一步落实萨班斯法案,美国证券交易委员会和上市公司会计监督委员会采取了多项措施,以设法降低内部控制报告制度的执行成本,增进其执行效果,比如,推迟小企业及外国大企业执行404条款的时间,针对小企业开发了《小企业COSO内部控制框架》,制定第5号审计准则取代第2号审计准则,精简审计程序、使用整合审计的工作成果等[6]。

日本在制定内部控制评价与审计规范时,对美国内部控制报告制度的运行情况进行了深入调查,没有完全照搬其做法,而是充分考虑了其执行成本的问题。主要体现在:在审计范围上,只对财务报告内部控制进行评价和审计,将内部控制缺陷由三类简化为两类,对财务报告审计和内部控制审计实施整合审计并一起编制报告,对内部控制审计主体具有强制要求,允许内部控制审计人员与监事或审计委员会等监督部门之间进行合理的合作,适当利用内部审计人员的业务,以及采用对内部控制间接发表审计意见的形式等方面。日本的这些考虑对于我国有效实施内部控制报告制度具有重要的借鉴意义。

我国企业内部控制评价与审计规范将内部控制评价内容作为一项制度创新,要求不仅对财务报告内部控制有效性进行评价,还要对非财务报告内部控制有效性进行评价;注册会计师不仅要对财务报告内部控制的有效性发表审计意见,还要对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以描述,显然,评价与审计的成本会大于日本,此外,我国内部控制评价与审计规范中对审计主体的可选择性和对整合审计的非强制性要求也可能会加大内部控制报告制度的执行成本。我国企业内部控制评价与审计规范的出发点是希望突破单纯财务报告内部控制观念的束缚,更为全面地发挥内部控制的作用和效力,增强内部控制审计报告与自评报告的协调性,但在实施中执行成本是否能被企业所承受,还有待在实践中进一步检验和研究。事实上,从成本效益原则考虑,实施整合审计并合并编制报告,可以使企业更“经济”地委托审计,因为内部控制审计与财务报告审计的目的具有一致性,都是为了合理保证财务信息的可靠性,提高企业对外公布的财务信息的质量,我国内部控制审计与财务报告审计都实施风险导向的审计模式,通常情况下,两种审计都要实施风险评估程序和控制测试③,所获取的审计证据和结论可以相互参照,财务报告审计的实质性程序发现的错报可以为内部控制审计提供线索,是对内部控制审计程序的一种有益补充。同时由相同的注册会计师承担两种审计工作,可以加深对被审单位的了解,不仅有利于节约审计成本,而且能够控制审计风险,提高两种审计的质量。从各国的审计实践来看,目前没有任何实证证据表明由不同事务所分别承办这两种审计业务会更有效地实现二者的审计目标[7]。鉴于此,我国应当在内部控制审计规范中强制规定由相同的审计人员对同一客户的内部控制审计与财务报告审计实施整合审计,并合并编制报告。

(二)日本内部控制评价与审计规范中信息技术的应对要素对我国的启示

当今社会,信息技术(简称IT)的广泛应用对企业的经营管理产生了深刻的影响,也给企业的内部控制带来了巨大的冲击与挑战,传统的内部控制方式在信息技术的影响下发生了根本性的变革,原有的基于权力制约和岗位分置的内部控制逐步发展成为以信息流为基础的信息技术内部控制[8]。运用信息技术实施企业内部控制,同时加强对信息技术应用风险的控制,已是企业必须面对和解决的问题。早在1977年,国际内部审计师协会就了《系统可审计性与控制》的报告,旨在对信息系统与技术的控制提供一个合理的指导,这一报告被业界认为是第一个与IT业有关的内部控制框架。国际组织信息系统审计与控制协会在1996年制定了《信息与相关技术的控制目标》,为信息技术安全与控制实践以及信息技术审计提供了应用准则。2003年12月,信息系统审计与控制协会联合信息技术治理委员会共同了《服务萨班斯法案的信息技术控制目标》,帮助信息技术职业界理解管理层在内部控制有效性上的法定报告要求,同时指导信息技术业界如何帮助管理层符合这些要求[9]。日本充分考虑了信息技术环境的发展变化以及日本企业的实际情况,在内部控制框架中将信息技术的应对作为内部控制的一个基本要素,在实施准则中明确了在信息系统中使用信息技术的情况下,管理层对内部控制进行评价的具体措施,以及审计师对内部控制进行审计的具体措施。当前,尽管我国企业信息技术的应用还处于较低水平,但大中型企业尤其是上市公司的信息化建设水平相对较高且发展迅速,而这些单位正是我国内部控制规范的主要对象。目前我国适用的内部控制规范已经关注到了信息技术对内部控制的影响,《企业内部控制基本规范》第七条指出“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。”第二十二、四十一条也有涉及,同时,信息系统应用指引对企业信息系统的开发、运行与维护做出了规定,体现了对于信息技术对内部控制影响的重视,但这些规范只是强调了信息技术的一般控制和应用控制,并未形成融合信息技术的控制体系,也没有信息技术内部控制的评价和审计标准,因此,我国内部控制规范在未来的完善中应当借鉴日本的经验,增加在应用信息技术环境下内部控制的建立、评价与审计的具体标准与应用指南,在理论上也应当先期开展相关方面的研究。

(三)日本内部控制评价与审计规范中关于评价与审计范围对我国的启示

日本内部控制评价与审计规范将评价与审计范围确定为财务报告内部控制,与美国的规定是相同的,我国也应当将内部控制评价与审计的范围限定为财务报告内部控制,这不仅是因为评价与审计成本的问题,更重要的是因为评价与审计的目的所要求的[10]。从萨班斯法案要求符合批报规则的公司对外披露内部控制信息的最初动机来看,美国国会旨在通过强制实施内部控制报告制度,以打击上市公司财务舞弊,合理保证财务报告质量,也就是说,内部控制评价与审计制度出台的目的是为了进一步解决财务报告的可靠性问题,保证资本市场的秩序。财务报告是一种社会信息,是投资者等利益相关者据以决策的依据,实践表明,现有的财务报告与审计制度不能完全解决财务信息的可靠性问题,于是,人们从注重财务报告本身可靠性转向注重对保证财务报告可靠性机制的建设,即为了实现合理保证财务报告可靠性的目的,管理层要对财务报告内部控制的有效性进行评价,为了增强信息使用者对管理层财务报告内部控制自评报告的信任程度,注册会计师要对财务报告内部控制进行审计。因此,内部控制评价与审计是对财务报表审计的有益补充。投资者除了可获得财务报表审计报告外,还能获得内部控制审计报告,可通过内部控制审计报告的意见类型来辨别管理层内部控制信息披露的质量,了解其对财务报告信息披露的影响[11]。也就是说,只对财务报告相关的内部控制进行评价与审计就可以实现内部控制报告制度的目的,满足投资者等利益相关者的信息需求。这样既可以降低内部控制评价与审计的成本,又可以消除人们对于整体内部控制审计时过于扩大注册会计师审计责任范围以及超越注册会计师专业能力范围的担忧。

注释:

① COSO是Treadway委员会的发起组织委员会(Committee of Sponsoring Organizations)的英文简称,1992年,COSO的《内部控制――整合框架》报告也称为COSO报告(1994年进行了局部修改),COSO报告是内部控制领域最为权威的文献之一,已被美国和国际及一些国家审 计准则制定机构、银行监管机构所采用。

② 日本财务报告内部控制评价与审计准则规定:因审计范围的约束,未能实施重要的审计手续而不能取得对内部控制报告表明意见的合理的基础时,审计人员不得表明意见。在这种情况下,必须记载不能表明对内部控制报告的意见的内容及理由,本文将这种情况称为无法表示意见。

③ 根据我国审计准则的规定,在财务报表审计中,控制测试并非一定要实施,当注册会计师在评估认定层次重大错报风险时,预期控制的运行是有效的,或仅实施实质性程序并不能提供认定层次充分、适当的审计证据时需要实施控制测试。

参考文献:

[1] 日本企业会计审议会.日本内部控制评价与审计准则[M].李玉环,译.大连:东北财经大学出版社,2007:2,48,30.

[2] 于蒙.企业内部控制规范广泛征求意见[EB/OL].[2007-03-09].中国财经报网站: 省略/web/ckb/2007-03/09/content_337562.htm.

[3] 企业内部控制标准委员会秘书处.企业内部控制基本规范会暨首届企业内部控制高层论坛专辑[C].北京:中国财政经济出版社,2008:63,52-61.

[4] 张影.日本内部控制审计及其对中国的启示[J].上海立信会计学院学报,2010(4):

[5] 黄京菁.美国 SOA404条款执行成本引发争议的评述[J].会计研究,2005(9):86-89.

[6] 孟焰,张军.萨班斯法案 404 条款执行效果及借鉴[J].审计研究,2010(3):96-100.

[7] 谢晓燕,张龙平,李晓红.我国上市公司整合审计研究[J].会计研究,2009(9):88-95.

[8] 章铁生.信息技术条件下的内部控制规范:国际实践与启示[J].会计研究,2007(7): 29-35.

[9] 王宏.基于国际视野与科学发展的我国内部控制框架体系研究[D].西南财经大学硕士学位论文,2008:271-274.

企业自评报告范文第5篇

关键词:内部控制;评价;架构

中图分类号:F234 文献标识码:A 文章编号:1003-7217(2009)04-0048-04

一、引言

在上市公司中建立和推行内部控制制度,以增强公众公司对外披露财务报告信息的真实性和公允性,避免或减少公众公司财务造假,已得到众多发达国家和新兴经济体国家的广泛共识和积极推行。我国自2007年开始,要求境内上市公司建立企业内部控制制度并进行相关信息的公开披露。2008年6月,由财政部、证监会等五部门联合了《企业内部控制基本规范》,以及《企业内部控制评价指引》、《企业内部控制应用指引》的征求意见稿等配套性制度,并开始对上市公司内部控制进行评价和鉴证。《基本规范》的核心内容较多地吸收和借鉴了美国的COSO框架。同时,财政部截止2009年4月已的27项《企业内部控制引用指引》(征求意见稿)内容丰富全面,为企业内部控制制度建设提供了具体的参照标准。应该说,我国在上市公司内部控制的制度规范建设方面是较为科学和全面的,也是比较适合我国具体国情的。但是,上市公司参照这些规范建立的本公司内部控制制度设计是否科学合理?运行是否有效?则必须通过公司管理层自我评价和外部审计师审核鉴证后才能得出结论。而对于内部控制的评价和相关信息的披露,正是我国目前内控体系总体建设的薄弱环节,相关技术标准缺失,内控评价和报告体系的构建尚处探索阶段。财政部和中国注册会计师协会虽然分别了《企业内部控制评价指引》和《企业内部控制鉴证指引》的征求意见稿,但其内容仅仅是一些程序性或者原则性的规定,由于缺乏具体的操作性标准,造成实际执行过程中企业进行内部控制自我评价时无所适从,也导致注册会计师在进行内部控制审核鉴证时因缺乏相关标准而难以人手,上市公司内部控制的信息披露更是五花八门,缺乏统一的规范格式和内容。分析现状和问题,尽快建立我国上市公司内部控制评价与报告的框架体系,对于提高我国上市公司内部控制评价及披露工作的规范性和标准化,深入推进我国内部控制建设,具有非常重要的意义。

二、我国上市公司内部控制评价及披露的实施现状

沪深证券交易所于2006年先后出台了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,并规定上市公司分别于2007年1月和7月起开始执行,要求上市公司在公司层面、控股公司和附属公司层面以及公司各业务环节层面建立健全内部控制制度,并要求上市公司披露年度内部控制自我评估报告,会计师事务所对内部控制自我评价报告出具鉴证意见。实际执行的情况是:2007年沪市共有146家上市公司出具了公司内部控制报告,占沪市披露2007年年度报告上市公司总数的17%;在出具公司内部控制报告的146家公司中有139家公司披露了会计师事务所对公司内控报告的审核意见,占沪市披露2007年年度报告上市公司总数的16%。2007年深市主板上市公司共有449家公司按照要求披露了内部控制报告,占公司总数487家的92.4%;内部控制报告被审计机构出具审核意见的只有42家,占公司总数的8.6%。2007年深市中小板共有225家上市公司,其中221家公司披露了2007年年度报告,在披露年度报告的221家上市公司中,共有84家公司披露了内部控制自我评价报告,占披露年度报告公司总数的38.01%;内部控制报告被审计机构出具鉴证意见的共有54家,占披露年度报告公司总数的24.43%。

在沪深上市公司2007年年度报告中披露内部控制评价报告及审计机构的鉴证报告,是对于在上市公司推行建立内部控制体系的初步尝试,从实际执行结果分析,主要存在着两方面的问题:一是在各上市公司披露的内部控制评价报告中,普遍存在仅具有报告形式,而缺乏实质性内容;内部控制报告披露格式不统一,披露内容偏离要求,缺乏对关键内容的具体分析;内部控制制度有效性评价过于乐观,内部控制缺陷的分析和披露较少等问题。二是在审计机构出具的鉴证报告中,存在着审核意见类型单一,审核意见表达形式不规范,对内部控制报告的审核标准尺度不一、判定标准较为混乱等问题。形成上述问题的主要原因是:中国证监会和沪深交易所在开始推动国内上市公司实行内部控制自我评价制度和注册会计师审核鉴证时,只了一些原则性规定,而相关操作性的专业标准制订工作严重滞后,造成企业在进行内部控制自我评价及注册会计师进行内控审核鉴证时的随意和混乱,最终导致上市公司内部控制评价及鉴证工作流于形式。

三、我国上市公司内部控制评价与报告体系亟需改进的关键问题

内部控制有效性的评价与鉴证工作是推进整个企业内部控制体系建设的关键环节,是内部控制制度能否有效实施的关键要素。根据目前的实施现状,我国上市公司内部控制评价及披露工作在以下三个方面亟待改进:

(一)确定清晰的内部控制自我评价及报告的程序

美国对于其上市公司内部控制评价与报告的类型(管理层对财务报告内部控制评价的对内报告和对外报告、外部审计师对管理层的内部控制评价报告发表的鉴证意见以及对内部控制有效性发表的意见)和产生程序,在SEC的“最终规则”和PCA-OB的“审计准则第2号”中,有着清晰明确的规定。英国的做法较美国要简化一些,即外部审计师通常不单独出具对企业内部控制评价报告的审核鉴证报告,而是将鉴证性意见作为审计报告中一个说明段。但是,英国对于企业内部控制评价及报告的产生程序以及审核程序,在《联合规则》以及Tumbull指南等相关法律法规中进行了清晰明确的规定。而我国财政部的《企业内部控制基本规范》以及《企业内部控制评价指引》征求意见稿中,对于企业内部控制自我评价及报告程序的相关规定,没有进行集中和完整的描述。

明确内部控制评价及报告的工作步骤和程序,是实现内控评价规范化的首要任务,我国上市公司管理层进行的内部控制自我评价至少应包含以下主要工作程序,并且应该在《企业内部控制评价指引》专门章节中集中并完整地予以规定:(1)上市公司应当指定内部审计机构或其他机构(比如专设的内部控制管理部门)组织实施内部控制评价工作,开展内部控制评价,运用访谈、调查问卷、穿行测试、统计抽样等多种测试方法广泛收集公司内部控制设计和有效运行的证据,研究认定内部控制设计缺陷和

运行缺陷。在充分实施评价程序的基础上,根据收集到的相关证据,形成内部控制评价报告。(2)内审部门将内部控制评价报告提交公司管理层进行审核,并对测试评价过程中发现的内部控制设计缺陷和运行缺陷,组织相关部门进行对应整改。(3)经管理层审核修订后的内部控制评价报告,上报公司董事会进行审定。(4)经董事会审定后的内部控制评价报告作为对外正式披露的内部控制自我评价报告。

(二)尽快制订内部控制评价工具的相关准则

目前,财政部尚未出台有关内部控制评价工具方面的准则或专业指引,中国注册会计师协会于2008年6月28日的《企业内部控制鉴证指引》(征求意见稿)规定了内部控制鉴证的范围、程序、实施鉴证工作的测试内容、缺陷评估标准、鉴证报告格式等一般性要求,但缺少评价内部控制和鉴证内部控制的具体操作性工具。这就容易造成管理层不知道如何对公司内部控制进行测试评价,外部审计师也因无相关标准而难以确定测试结果对应的评价意见类型。COSO的《内部控制一整合框架》包括上下两卷,上卷为“整合框架”,下卷为“评价工具”。“评价工具”卷包括一套完整的可用于对企业内部控制体系进行评价的工具。评价工具具体包括:一套空白工具(blank tools),即列明具体测试内容和步骤的空白测试表单,并附有一个帮助汇总这些评价结果以便作出总体评价的工具;一个参考手册(ref-erenee manual),旨在帮助评价者完成“风险评估与控制活动工作表”,还提供了一个通用经营模式,作为参考手册安排结构的依据;已填写的工具(filledin tools),即针对一家假想的中型公司,例示如何完成评价工作,可以对类似规模的公司运用这些工具提供指引。评价工具可以用于任何规模的主体,可根据不同的主体和行业对相关的测试内容和步骤进行一些修改,但评价方法和记录技术都是一致的。这些评价工具既可以作为管理层进行内部控制评价时采用,也可以作为外部审计师用于对内部控制评价报告进行鉴证审核时采用。我国应尽快制定《内部控制评价工具指引》,只有建立起一套科学适用的内部控制评价工具,才能真正实现我国企业内部控制评价工作的统一化和标准化。

(三)建立完善内部控制评价信息披露责任机制

内部控制信息披露是上市公司内部控制流程中的最后一个环节,主要包括公司管理层出具的内部控制自我评价报告和外部审计机构出具的内部控制鉴证报告。也就是说,对于企业内部控制的评价实际是由公司管理层和外部审计师共同完成的,工作程序上也是相互衔接的,所以,确定管理层和外部审计师相互之间的责任是非常必要的。我国《企业内部控制评价指引》第三条第二款规定:“企业主要负责人应当对内部控制评价结论的真实性负责。”将企业内部控制自我评价的责任主体规定为“企业主要负责人”,是个模糊不确定的对象。《企业内部控制评价指引》第九条中虽然规定了企业可以委托中介机构协助管理层进行内部控制自我评价,但对于受托中介机构应承担的责任没有进行规定。

美英对于企业内部控制评价中涉及到的管理层和外部审计师相互之间的责任划分是非常明确的。按照SOX法案302节条款以及证券交易法规则的13a-14(a)或15d-14(a)的要求,上市公司管理层,特别是首席执行官和财务总监,必须要对其编制的内部控制评价报告内容的真实性和完整性负责。审计师可以帮助管理层建立内部控制,并且可以协助管理层进行内控有效性的测试评价。但是,管理层不能把其评价财务报告内部控制的责任转移给审计师,而且参与企业内部控制测试评价的中介机构和审计师不得同时为同一企业提供内部控制审计及鉴证服务。

根据我国目前的具体实际,借鉴美英的成熟经验,应该明确:我国上市公司管理层,特别是上市公司总经理和财务总监,必须要对其编制的内部控制评价报告内容的真实性和完整性负责。审计师可以帮助管理层建立内部控制,并且可以协助管理层进行内控有效性的测试评价,但是,审计师不能替代公司管理层承担内部控制评价应承担的责任,而且参与企业内部控制测试评价的中介机构和审计师不得同时为同一企业提供内部控制审计及鉴证服务。外部审计师要依据相关的专业准则,对上市公司管理层编制的内部控制自我评价报告进行审核鉴证,并发表鉴证意见,外部审计师应对出具的鉴证意见的公允性和完整性负责。

四、构建我国上市公司内部控制评价与报告体系的基本架构

通过分析现阶段我国上市公司内部控制评价与报告制度存在的问题,进一步厘清内部控制评价鉴证及相关信息披露的主体内容及其工作步骤,借鉴国际先进经验,根据财政部等五部委的《企业内部控制基本规范》、《企业内部控制评价指引》,以及中注协的《企业内部控制鉴证指引》(征求意见稿)的相关规定,可以梳理出我国上市公司内部控制评价与报告体系的基本架构,笔者认为应该包括以下主要内容:

(一)上市公司内部控制自我评价及报告

管理层对于内部控制的自我评价是内部控制评价工作的核心内容,通常应当指定内部审计机构或专设的内部控制管理部门组织实施内部控制评价工作,收集公司内部控制设计和有效运行的证据,研究认定内部控制设计缺陷和运行缺陷。在充分实施评价程序的基础上,根据收集到的相关证据,形成内部控制评价报告。内审部门完成的评价报告。经管理层和董事会的审核认定后,形成对外正式披露的内部控制自我评价报告。

(二)外部审计师对上市公司内部控制评价报告的审核鉴证

外部审计师接受委托后,对管理层出具的内部控制自我评价报告具有审核鉴证之责。外部审计师需要运用专业标准规定的多种测试方法,分别对企业层面控制和流程层面控制进行抽样测试,获取鉴证证据,评价企业控制缺陷,与企业管理层沟通鉴证过程中识别的所有重大缺陷。并依据管理层组织的整改结果,完成鉴证报告,在报告中清楚地表达对企业内部控制有效性的鉴证意见。

(三)内部控制评价及鉴证的信息披露

上市公司出具的内部控制自我评价报告,与外部审计机构出具的内部控制鉴证报告共同构成内部控制信息披露报告,将由上市公司在指定的媒介上予以公开披露。

(四)评价及报告体系的结构图示

综合上述对我国内部控制评价与报告体系具体内容的分析和梳理,我国上市公司内部控制评价与报告体系基本架构如图1所示。

上述架构将公司内部控制评价与报告工作划分为内部控制自我评价、外部审计师审核鉴证、内部控制报告披露等三部分。其中将内部控制自我评价和外部审计师审核鉴证,设计为两个平行且相互独立的业务流程,依据各自独立的审核测试程序,分别完成自我评价报告和审核鉴证报告。独立的业务流程可以明确划分出各自的责任,有利于保证管理层内部控制自我评价和外部审计师审核鉴证的工作过程和结果的客观公正;管理层内部控制自我评价报告和外部审计师鉴证报告的共同披露,则有助于公众对于上市公司内部控制有效性进行客观分析和相互印证。这种体系架构是对内部控制评价与报告体系应包含的主要内容、工作步骤及流程,以及最终工作结果的具体规定,科学的体系架构必将有助于提升我国内部控制评价与报告工作的规范化和标准化水平。

参考文献: [1]周勤业,吴益兵,上交所:沪市上市公司2007年内部控制报告分析[N],上海证券报,2008-12-01。

[2]陈天骥,深市主板上市公司内部控制披露情况分析[N],中国证券报,2008-06-06。

[3]许碧,中小板上市公司2007年报内部控制披露情况分析[N],中国证券报,2008-06-06。

[4]张宜霞,美英上市公司内部控制与报告体系的比较研究[c],2006年,中国会计学会财务成本分会2006年年会暨第19次理论研究会论文集(上),http://ierm.dufe.省略/fare/download/index,html。