APP下载

企业内部控制评价报告质量提升策略研究

2014-09-19

商业会计 2014年3期
关键词:报告质量评价

(哈尔滨金融学院 黑龙江哈尔滨150030)

一、引言

2010年我国《企业内部控制评价指引》对企业内部控制评价工作及其报告制度进行了规范,该指引与同期发布的《企业内部控制审计指引》共同构成企业贯彻内部控制规范体系的保障措施。与内部控制审计侧重财务报告相关控制的关注不同,企业内部控制评价则兼顾了财务报告内部控制与非财务报告内部控制,意即涵盖了内部控制所有重大方面和事项。从这个意义上看,内部控制评价工作的成果也即内部控制评价报告,其包含的信息数量要明显优于内部控制审计报告,具有许多内部控制审计报告不可替代的利用价值。随着对外披露内部控制评价报告的企业的日益增加,以及我国企业内部控制评价工作的纵深发展,企业内部控制评价报告对企业投资者、债权人及其他利害关系人的经济决策必将越来越重要,该报告正在和必将成为他们了解和监督企业受托经济责任履行情况的主要依据之一。

本文研究的是企业内部控制评价报告的质量及提升问题,目的是为内部控制评价工作纵深发展探索方向和策略。本文在内容上分成四个部分阐述,第一部分是引言,说明本文研究的问题及意义;第二部分是内部控制评价报告质量衡量标准的基本构想,第三部分是来自上市企业内部控制评价报告质量的实证情况分析,第四部分是内部控制评价报告质量发展策略。

二、内部控制评价报告质量衡量标准的构想

内部控制评价报告的质量应站在内部控制评价报告信息使用者角度来考虑。企业内部控制评价报告信息使用者主要包括企业投资者、债权人、经营管理者及其他各类利益相关者,这一范畴与企业财务报告信息使用者基本相同。对于企业内部管理层来说,其编制的内部控制评价报告只是其内部控制评价工作成果的信息载体之一,相关信息载体还包括内部简报、工作文件、部门工作总结等。因此,他们对内部控制评价报告质量的要求主要在报告格式等技术性要求层面。相反,来自企业管理层以外的投资者、债权人等,他们对企业内部控制评价报告质量方面的要求主要在报告内容等非技术要求层面,特别是要求企业能够真实和全面反映那些能够对内部控制目标产生影响的所有重大和重要控制缺陷,概括起来就是对可信度与信息价值的要求。这种要求与财务报告信息质量要求中的可靠性与相关性不谋而合。

所谓内部控制评价报告的可信度,是指包括内部控制评价范围、程序、控制缺陷的认定、内部控制设计和运行有效性结论等诸多方面的可信度。一般看来,这一可信度主要受企业动机、意愿和外部监管等因素影响,主要表现为对外披露虚假信息或不完整信息。而且,内部控制信息相对于财务报告信息,由于其可验证性相对较弱,因而其可信度普遍缺乏保证。

所谓内部控制评价报告的信息价值,是指与该报告内容相关的所有信息的可利用价值总和。一般看来,这一信息价值主要受报告规范、管理层执行规范水平、信息可读性和易理解性等因素影响,主要表现为对外披露模糊信息、矛盾信息或误导信息。相对于财务报告信息,由于其涉及范围广且多采用文字描述方法,因而其信息价值弹性较大。

内部控制评价报告质量的可信度与信息价值这两个衡量标准同等重要。其中可信度是基础,若评价范围、程序、控制缺陷的认定、内部控制设计和运行有效性结论等方面的披露失信于内部控制报告使用者,该报告就会失去存在的基础;信息价值是重要特征,若报告规范不清、管理层执行规范不严格、对信息可读性和易理解性没有重视,该报告就会背离其宗旨。内部控制评价报告质量的两个衡量标准关系可如下图所示。

三、来自上市企业内部控制评价报告质量的实证情况分析

我国财政部于2013年8月份发布了2012年上市公司内部控制实施情况。根据该这份报告,2012年,共有2 244家上市公司对外披露内部控制评价报告,存在的问题主要包括:一是内部控制评价范围披露不够充分,评价范围不够恰当;二是内部控制缺陷认定标准不够科学;三是内控缺陷的披露不够充分,对内控缺陷整改的理解不当;四是内部控制评价报告格式与内容差异较大,评价结论表述不规范。笔者将这份报告中列举的具体事件及可能对报告质量形成的影响或风险列示如右侧表。

总结上述具体事件可以发现,当前上市公司内部控制评价报告主要集中于评价范围确定、控制缺陷认定及信息披露环节,这些问题不同程度涉及信息价值与可信度方面的风险。由于当前直接针对企业内部控制评价报告可信度的证实还缺乏有效方法和依据,因此,财政部主要是就上市公司违背《内部控制评价指引》的可视现象和做法进行搜集和分析。然而事实上,作为内部控制评价报告绝大多数使用者群体,更为期待的是这些现象背后的更深层次的可信度,以及建立在可信度基础上的较高水平的信息价值。

四、内部控制评价报告质量发展策略

我国现行《企业内部控制评价指引》对企业内部控制价工作过程和结果均提出了诸多要求,今后还应从内部控制评价报告可信度与信息价值两个方面做进一步的改进和提高,以满足日益发展的内部控制评价报告使用者的决策需求。

(一)提升可信度的策略

应从改进和加强外力干预的主导思想出发,依托日趋提高的“违规成本”威慑,逐步影响和改变企业内部控制评价工作动机、意愿。为此应采取的主要措施有:

一是加快与内部控制规范贯彻实施有关法制化进程。财政部在《我国上市公司2012年实施企业内部控制规范体系情况分析报告》中,提出今后应“进一步明确当前市场环境下内控评价报告披露内容与格式的监管要求,并在修订和完善《会计法》、《证券法》等相关法律法规时,增加有关内部控制的条款,提升内控要求的法律层级,进一步明确企业及相关中介机构对内部控制的责任。”下一步这条措施尚需得到立法机关的足够重视,只有早日形成 “内部控制评价报告的虚假披露属于违法行为,应予追求其相应法律责任”的公众意识,才能为企业内部控制评价报告可信度提升带来持久推动力。

二是推动企业切实构建起与内部控制评价可信度相关的制约机制。当前除了不断强化企业监事会、内部审计委员会对内部控制评价结论和报告阶段的参与度之外,还应努力创造条件在企业实施少数股东就内部控制评价有关事项开展质询的工作机制。所谓质询,本意是人大代表就国家机关工作中的违规和失职行为依法向有关部门提出质询,其程度上要比询问严厉的多。在我国,少数股东权益的维护问题在制度建设层面还有很大空间。政府监管者应努力创造条件,将维护上市公司少数股东知情权与提升内部控制评价工作透明度结合起来,用少数股东知情权的恰当保护来推动上市公司内部控制评价工作透明度,进而提升内部控制评价报告质量。例如可规定上市公司少数股东在上市公司对外披露其内部控制评价报告后的20个工作日内,可以就少数股东所关心的内部控制评价过程和结果有关问题,以书面形式回复少数股东的质询。

(二)提升信息价值的策略

只有建立和实施明确和严格的信息加工标准,作为内部控制评价工作成果的内部控制评价报告才有其普遍应用价值,且内部控制信息与内部控制报告使用者的需求相关程度越高,这种信息的价值越大。为此应采取的主要措施有:

一是进一步明确内部控制评价主体及其责任。根据我国《企业内部控制评价指引》,“执行内部控制评价主体是内部审计部门或专门的内部控制评价部门”,根据财政部《内部控制规范体系实施中相关问题解释第1号》规定,“企业可以独立开展内部控制评价工作,也可以委托不承担本企业内部控制审计的中介机构协助开展内部控制评价工作。”上述规定给企业选择内部控制评价主体提供了较高自由度,而企业往往出于成本效益原则,以内部审计部门的日常作业的累加来替代全面内控评价,较少委托社会中介参与企业内控评价,或者有意将内控评价做成“多元协作”局面。这些局面既无益于统一评价工作技术标准,又无法考核评价者的工作责任。因此,政府监管者有必要对内部控制评价主体资格、工作责任、评价工作时间,以及社会中介应予参与的重要业务单位和事项控制的评价作出更加明确的规定,坚决杜绝拿内部审计部门的日常工作来简单替代全面性的内部控制评价工作。

二是严格和细化内部控制评价程序。尽管《企业内部控制审计指引》中规定了制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果和编报评价报告等与内部控制评价工作相关的程序,以及个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,但并没有对这些程序所应留下的记录等轨迹提出具体规定以及违背此类规定的惩戒措施。这种情况易导致企业随意简化评价程序、任意减少现场测试等情形。因此政府监管者下步可根据纳入实施范围的企业情况,分级分类规定内部控制现场评价工作技术标准,并积极配合外部审计师实施内部控制评审。

三是深化和完善内部控制缺陷认定和对外披露。当前内部控制报告偏离标准的事件,使用者的共性需求较集中体现在企业内部控制重大缺陷和重要缺陷的识别和应对方面,因为此类缺陷和应对信息利于识别和判断企业能否实现其内部控制目标,进而识别能否对经营效率和效果乃致发展战略产生重要影响。财政部在《我国上市公司2012年实施企业内部控制规范体系情况分析报告》中,对上市公司内部控制缺陷标准制定、重大缺陷界定、重大缺陷披露给予了充分关注,并列举出企业执行相关工作标准出现偏差等诸多问题,这一系列问题的存在严重影响了内部控制评价报告的质量。要扭转这一局面,光靠企业自省是不够的,政府监管者应联合相关主管部门、行业协会组织及高等院校,派出内部控制工作促进小组深入企业持续开展内部控制缺陷认定和对外披露有关工作的指导、监督和重要控制政策和标准的复核工作,力图通过来自监管层的积极支持促进企业内部控制执行工作标准能力方面的质的提高。与此同时,应鼓励企业结合自身情况持续降低对内部控制缺陷的容忍度,使越来越多的控制缺陷逐步纳入重大缺陷和重要缺陷的视野,避免此类看似“小微的缺陷”从萌芽发展成巨大。

四是积极推动企业开展内部控制评价报告预披露,在信息可读性和易理解性等方面做出新的努力。根据《企业内部控制评价指引》规定,“企业应当以12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。”为提升内部控制评价报告信息价值,政府监管者应出台相应措施,鼓励企业对其重要业务单位或重要风险领域的内部控制评价情况第一时间(可不局限于特定基准日限制)向外界披露,暂将此类信息披露作为全面性的内部控制评价报告的预披露。这种做法不仅提升了内部控制评价信息的时效性,而且有利于调动企业加快重大和重要控制缺陷整改的进度,因为在预披露制度下,对控制缺陷的更早关注机制作用下,问题整改进程会获得更强的推动力。

猜你喜欢

报告质量评价
二年级下册期末质量检测(一)
报告
2006—2016年度C—NCAP评价结果
2006—2015年度C—NCAP评价结果(3)
2006—2015年度C—NCAP评价结果(2)
2006—2015年度C—NCAP评价结果
报告
报告
睡个好觉