总第 660 期
【作 者】
刘晓嫱
【作者单位】
(北京工商大学商学院 北京 100048)
【摘 要】
【摘要】本文基于内部控制视角,解读了我国内部控制实施情况的最新调查结果,并探讨了综合报告模式下的内部控制保证实施路径。
【关键词】内部控制 综合报告 注册会计师
国际综合报告委员会(IIRC)由可持续性会计项目、全球报告倡议组织(GRI)、国际会计师联合会等在2010年创立,成员包括来自全球会计公司、会计职业组织、联合国、证券委员会国际组织、国际货币基金组织、国际会计准则理事会、美国财务会计准则理事会的代表,以及来自政府、企业、投资者、非政府组织和学术机构的代表。IIRC致力于实现可持续发展报告和财务报告的整合。
财务报告是评估企业业绩的重要工具,内部控制报告和社会责任报告是对财务报告的重要补充。三者都是企业与利益相关者之间沟通的重要平台。中注协表示,未来一段时间内的行业重大事项,涉及IIRC推进建立可持续性会计框架和综合报告模式,以及中国的应对。在IIRC所倡导的打造统一的信息沟通平台的背景下,对于内部控制的理解不再局限于财务报告内部控制,而是综合报告过程的系统和控制。笔者认为,在综合报告模式下,如何实现内部控制信息的保证是值得关注的话题。
一、最新调查报告的解读
为及时全面了解我国企业内部控制建设的现状,分析内部控制规范体系在实施过程中存在的问题,财政部“企业内部控制规范体系实施与监管”课题组通过问卷调查的方式,对我国企业内控规范体系实施现状进行了调查研究。2012年调查结果显示,《企业内部控制基本规范》及配套指引较为有效,该规范及其配套指引得到了企业的认可,总体有效程度较高,从内控五个目标来看,具体有效程度情况各异:财务真实、合法合规、资产安全成为最具保证程度的目标,其次是实现战略的保证程度,同时也显示规范对企业经营效率效果的保证程度最低。
值得引起注意的是,内部控制规范体系在保证财务报告真实可靠目标方面的得分在几个分类中均得分最高,这在一定程度上印证了财务报告内部控制的有效性是监管机构要求的最低目标。不过如果从综合报告的角度分析,内部控制的服务目标重点不会仅仅体现在财务报告的真实性上,而是基于企业可持续发展框架下,内部控制在企业战略方面、公司治理和风险管理方面、社会责任的履行方面及财务报告等方面实现价值的动态平衡。即内部控制规范体系的实施与监管应该朝着综合报告及其保证的方向发展。
调查显示,接受调查的企业一致认为,财务部门是第一大内控归口部门,审计部门则被认为是第二大内控归口部门,大部分企业不能够明确回答内部控制的缺陷标准,能够较好回答的企业仍以财务缺陷为主。在综合报告模式下,应该成立专门的内控部门,统驭综合报告过程的系统和控制,内部控制的缺陷也将扩展到更广泛的领域,不再是以财务缺陷为主,而是基于可持续发展战略的目标偏移度来确定。应该明确的是,通过公正的实时的有关组织的治理、风险管理和包括财务、非财务领域的内部控制有效性的信息及其保证结果,组织和保证提供者的品牌和声誉将被提高。综合报告的实施,使得内部控制有效性的评价变得更加复杂和有价值。
二、综合报告模式下内部控制保证的实施路径
1. 定位内部控制保证涉及的范围。综合报告是以财务和非财务信息紧密相关的这样一个前提为基础,且财务和非财务信息的内部控制是具有内在联系的有机整体。综合报告模式下的内部控制是个广泛的概念,涉及确定报告的财务和非财务信息的内部工作流程和管理程序。
企业利益相关者有权了解财务信息和非财务信息的编制基础和报告的可靠性。综合报告中披露的内容是由有关财务信息和非财务信息的标准来确定的。企业经营模式日趋复杂化,企业组织结构日趋多样化,对企业经营和治理本身的透明度要求日益提高,外部监管日趋严格,这就要求企业采取一种灵活的、多维的治理和内部控制方法以及相应的报告路线。COSO新框架强化了公司治理的概念,拓展了报告目标的内涵,提高了对反舞弊的期望要求。仅仅评价和披露与财务报告有关的内部控制不能反映企业内部控制的整体情况,不利于信息使用者决策。因此,在综合报告模式下,内部控制的保证范围更广泛,涉及财务和非财务领域,把财务报告相关的内部控制过渡到公司整体的内部控制;更为重要的是,内部控制应在财务与非财务领域间去整合和协调,以避免相互冲突、重复或缺失。
2. 完善并细化内部控制保证的依据。2011年COSO新框架增加了内部控制的17项原则,如内部控制成本与收益的讨论、变化中的技术作用、大企业和小企业适用内部控制的对比以及内控缺陷等内容。COSO新框架对企业内部控制产生了重大影响,有助于企业有效建立、维护及运行内控体系,实现企业长期的经营目标。但是COSO框架没有改变内部控制核心定义及五要素,仍以原则为基础,管理人员在设计、使用及评估内部控制有效性时仍需作出判断。
内部控制评价标准是用来指导公司设计和执行相关内部控制的基本依据,也是评价内部控制健全和有效性的标准。IIRC下属的开放遵循和道德小组(OCEG)出版一套非常详细的标准被称为治理、风险管理和遵循(GRC)的胜任能力模型红皮书,旨在广泛应用于财务和非财务领域。
普华永道国际会计公司(PWC)认为,就其本身而言,GRC不是新的内容,内部控制治理、风险管理及合规每一方面一直以来都是企业及其领导关注的基本问题。但是GRC作为一个综合的概念应用在组织内是一个新兴的观念,它能够增加重大价值,并提供有竞争力的优势,即强调“综合GRC”。无论哪种内部控制的评价标准,都不应该简单地归结为通过或是失败,而是应该细化内部控制保证的依据,明确比较的基础,即远远超过了内部控制有效性要求的公司和勉强通过测试的公司应该差异化。
3. 建立非财务信息内部控制的保证标准。在任何报告框架下,保证提供者都应对财务和非财务信息的内部控制的可靠性进行评价,而且这种第三方核实的过程应该是标准化,以保证任何有关公司生成的信息都具有严谨性。这里重点强调的是形成对非财务信息内部控制的有效性进行保证的标准。综合报告模式下,需要建立相关保证准则,给非财务信息的保证提供者提供指南,告诉他们如何对非财务信息内部控制的有效性做出结论。缺乏确定的保证准则,外部保证提供者提供的有关非财务信息的保证声明的可靠性会受到质疑。美国公众公司会计监督委员会(PCAOB)审计准则第5号(AS5)和我国《内部控制审计指引》是专门为财务报告内部控制的审计设计的,它侧重于财务控制和财务报表审计。
对于报告非财务信息,GRI所提供的一套标准可能更加适合。GRI认为,总体而言,为使用GRI报告框架的报告提供外部保证,其质量决定因素主要在以下方面:一是由组织外部的团体或个人实施,他们必须具备胜任能力;二是实施的方式是系统的,以证据为基础,并按规定的程序进行;三是评估报告是否提供了合理的和平稳的业绩,考虑报表中数据的真实性以及整体内容的选择;四是利用团体或个人进行保证,他们没有受到不适当的限制,对报告达成并发表一个独立的和公正的结论;五是在达成结论的过程中要评估报告的编制者应用GRI报告框架的程度;六是以书面形式公布结果(意见或结论),并说明保证提供者和报告编制者的关系。总之,应尽快建立和不断完善非财务领域内部控制的保证业务标准和相关指南,以提升保证提供者在执行该项业务时的质量。
4. 提高综合报告保证的主体——注册会计师的执业能力。毕马威会计师事务所(KPMG)认为:在综合报告加快速度的趋势下,综合报告的保证将向利益相关者提供最有价值的保证信息,保证服务会随之增长。许多公司寻求有广泛的财务和商业背景的大型会计师事务所。它们可以利用其在分析财务数据方面丰富的专业知识,利用其在评估财务报告内部控制的专业能力来发展一个可持续发展报告的保证框架。财务报表的审计方法,可以被非财务计量审计加以借鉴。此外,注册会计师行业涉及到公司获取数据过程的测试,涉及数据的变化、分析和报告,涉及审查过程描述的准确性。
一般而言,不健康的企业往往表现出短视的企业规划,忽视风险管理,不完善的内部控制,有缺陷的执行程序和腐败的企业文化。遗憾的是,这样的迹象有时被注册会计师错过或被利益相关者忽略,没有认识到可持续发展指标的重要性。在综合报告模式下,会计师事务所更需要不断提高自身整体水平及员工素质。
5. 搭建多方面共同努力的平台。综合报告模式下的内部控制保证除了会计师事务所作为承担主体发挥作用外,其他有关方面应共同做出努力。首先,咨询公司在综合报告发展中发挥重要作用,特别是为中小企业遵循要求提供服务,如涉及空气中的污染物排放量时,它可能很困难直接测量这些信息或成本过高。其次,软件供应商和IT专家也将发挥重要作用,给公司配备数据管理系统,集合非财务信息并创建一个为保证目的的虚拟文件线索。在未来几年内,随着越来越多的政府和交易所过渡到XBRL,与这种报告语言的兼容性会变得越来越重要。COSO新框架也反映了对信息技术越来越大的依赖性。信息技术已经从原先处理大批交易的大型主机环境阶段发展至高度复杂化、非集中化、实时交易处理的移动应用环境阶段。技术发展的变化势必对内部控制实施带来影响。综合GRC不仅仅把企业在治理、风险、合规及其他话题结合起来,而且把不同的技术,如商务智能、实时应用程序和ERP系统结合起来。最后,随着内部控制范围的扩大,政府在内部控制的推动实施中扮演着重要的角色,政府和标准制定者一起努力,不断完善相关执业标准,减少保证提供者的专业责任风险。
主要参考文献
1. 中国会计学会.COSO修订内部控制框架,新增指导原则.会计最新动态,2012;9
2. 会计司.内部控制规范体系实施情况调查报告.会计最新动态,2012;9
3. 专访GRI首席执行官恩斯特 谈可持续发展报告与财报整合.21世纪经济报道,2011-10-18
