从2012年开始,沪深两市主板上市公司必须进行内部控制评价并在年报中披露内部控制评价报告。尽管《企业内部控制评价指引》(以下简称《指引》)对内部控制评价做了全面的规范,上市公司在落实指引要求、做好内控年度评价过程中还需要着重做好以下几方面工作: 1、将内控评价与评价报告的披露作为企业的自觉行动。2012年前,上市公司内控评价和披露的行为来自于监管部门的引导而非来自于外部的监管压力。也就是说,这类公司将内控评价和信息披露作为自觉的行动,作为提升公司管控能力和管控水平的重要手段,同时通过内控评价和信息披露向社会传递公司高质量管控能力的信息。内控评价实践及相关的研究表明:自愿进行内部控制评价和信息披露的公司在经营合规性、
财务报表质量等方面均优于未进行内控自我评价和披露的公司(详见本人发表上《会计研究》2008年第3期和2009年第6期上的文章)。这说明内控评价和信息披露具有明显的效果。2012年是强制进行评价和信息披露的第一年,有些首次进行评价的公司自身可能没有认识到内控评价和信息披露的重要性,将内控评价和信息披露纯粹作为应付外部监管的一种手段,等需要发布年报时才草率应付。如果这样,内控评价和信息披露就很可能是走过场,失去其应有的价值。其实,监管规定不是空穴来风,而是对企业自发行动所形成的“最佳实践”的总结和推广。企业内部控制自我评价(CSA)是20世纪80年代加拿大海湾石油公司等企业自发总结出来的技术和方法,被国际内部
审计师协会(IIA)认同和推广,后被写入SOX法案和美国SEC的相关规定才成为对上市公司的强制性要求。所有的上市公司,尤其是以往未进行内部控制评价和信息披露的公司,一定要认真按《指引》的要求组织内部控制评价并发布评价报告,并将内控评价作为推动管控能力上台阶的契机,排查内部控制系统设计与运行中的缺陷,使内控评价对内、对外均产生良好的效益。 2、科学组织评价工作。内控评价是董事会对内部控制有效性进行的评价,董事会是内部控制评价的责任主体。从近几年上市公司内控评价的实践看,大部分公司的内部控制评价由审计部实施,审计部在实施现场评价、审核下属单位自评报告基础上编制评价报告。这种作法收到明显的效果,但为保证董事会对评价工作的统驭,有必要充实评价组成员并加强对评价工作的指导和协调。基本作法是:由董事会下属的审计委员会负责评价方案的审核和技术指导;董事会秘书办公室负责评价中的组织协调;评价工作组以审计人员为骨干并吸收其他有关部门人员加入,但在评价过程中实行有关人员的回避制。 3、制定具有可操作性的内部控制缺陷认定标准。《指引》将缺陷划分为重大缺陷、重要缺陷和一般缺陷并提出了原则性的认定标准。由于企业规模、行业特征、风险类型以及同类同等风险对不同企业影响度的差异,上市公司应结合本公司具体情况按指引要求从设计和运行两个角度建立重大缺陷、重要缺陷和一般缺陷认定的可操作性的具体标准,作为对已识别风险划分严重程度的依据。不同严重程度的缺陷由于在风险、控制层次、纠偏难度(纠偏所涉及的部门或动用的资源)等方面存在着差别,需要由企业的不同层级来认定,企业还应该建立内部控制缺陷分级授权认定制度以及纠偏责任落实制度。 4、提交内控评价报告的同时应提交管理建议书。进行内控评价并发布内部控制评价报告是
法规的强制性规定,《指引》主要规范内部控制评价过程以及对外发布的内部控制评价报告。但是,对企业自身而言,内控评价是企业内部控制持续优化的重要手段。企业在对外发布内部控制评价报告的同时,还应要求评价工作组通过管理建议书提出优化内控系统的建议:(1)对已认定的不同影响程度的缺陷提出初步纠正方案,作为不同层级管理部门制定纠偏措施的重要参考;(2)在保证内控系统有效性的前提下,按经济性要求优化内控系统,以降低内控系统的运行成本。(栏目:
财务审计报告/)
