时间:2022-05-28 00:31:05
序论:在您撰写内部控制信息时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
一、河南省境内上市公司内部控制信息的披露情况
中国证监会网站显示,截至2007年7月31日,河南省共有境内上市公司34家,其中在上海证券交易所上市20家,深圳证券交易所主板上市10家,中小板上市4家。
(一)内部控制披露的总体情况
上市公司披露的内部控制相关信息散见于年报、公司治理自查报告和专项整改报告、章程等文件中。年报中包括公司对内部控制建设及运行状况的说明,内部控制自我评价报告及中介结构对自我评价报告的审核意见。章程中主要涉及到公司组织结构的设置、权利与责任的分配等控制环境相关要素内容。其它相关制度包括公司治理和具体经营事务管理制度两方面。公司治理方面的有股东大会、董事会、监事会议事规则,累积投票制度,董事选举规则,审计委员会等董事会下设委员会实施细则,独立董事、总经理、董事会秘书工作细则,控股股东行为规则,治理纲要,内部审计制度等。具体经营事务管理制度有内部控制制度、信息披露、重大信息内部报告、职务授权、激励机制、关联交易管理、对子公司的管理、对外投资、投资者关系管理、财务管理、对外担保、募集资金使用、接待和推广、新股认购管理等方面的规范制度。
从表1可以看出,河南省上市公司内部控制相关信息披露主要体现在公司治理方面,如公司章程、董事会议事规则、公司治理专项整改报告、公司治理自查报告、股东大会议事规则、监事会议事规则、独立董事工作细则、审计委员会工作细则等披露率都在50%以上,披露最多的是公司章程和董事会议事规则,共有31家公司对其进行了披露,但仍有中原环保、豫能控股、轴研科技3家上市公司未公开披露其章程;恒星科技、*ST安彩、太龙药业3家公司未披露其董事会议事规则。此外,披露率在50%以上的还有信息披露管理制度。这应该归功于2007年3月中国证监会开展的加强上市公司治理专项活动。其它经营事务的相关管理制度的披露较为零散,只有个别公司在个别方面分别作了披露,其中披露最多的是关联交易管理制度和对外担保管理办法,分别为8家和7家。
总的来说,河南省所有上市公司或多或少都对内部控制相关制度进行了披露,披露的内容范围较广,涉及33个方面,但主要都集中在公司治理方面;从披露的数量来看,各上市公司披露的内容从多到少呈均匀分布,其中中原高速披露了17个相关制度文件。
(二)对内部控制的理解
河南省上市公司对内部控制的理解还不尽一致。在深交所上市的中原环保和双汇发展对外公布了“内部控制制度”。内部控制是一个系统,“深交所”将其定义为一个过程,是嵌入各项具体经营业务过程的,而非一项具体制度。上市公司披露“内部控制制度”,会让人感到有些困惑:到底披露的是公司所有业务流程的控制程序文档,还是将内部控制理解成了一项专门工作,所披露的是对内部控制工作的组织安排。笔者对这两份内部控制制度进行了细致地分析。
中原环保的内部控制制度包括十二章,总则、内部控制机构及其职责,内部控制的原则、目标和要素,内部控制的基本要求,风险的内部控制,内部控制的实施,重要业务的控制活动,内部控制的检查和披露及附则。首先,总则第二条对内部控制的定义遵循了深交所的提法即为一项过程,紧接着第三条又做出了一个定义,“公司的内控制度是为保护公司资金、资产的安全与完整,确保各种信息资料可靠,促进公司各项经营活动有效实施,从而保证公司管理方针的贯彻执行而制定的各种业务操作程序、管理方法与控制措施的总称。”而后又补充道,“它是由公司董事会、管理层及全体员工共同参与的一项活动。”显然,公司将内部控制和内部控制制度作了不同的理解。在第二章“内部控制结构图”中显示,公司设立了“内部控制委员会”,直接对信息披露、财务工作组和综合业务工作负责,而审计委员会仅对法律审计部负责。这也显示了公司对现代企业公司治理结构的理解差异;按照中国证监会2002年所的“上市公司治理准则”第三章五十四条的规定,审计委员会应当对公司的内部控制审查、财务信息及其披露负责。在结构图后面的文字说明中,其又对审计委员会的职责按“上市公司治理准则”进行了说明。在该项制度中,把内部控制的检查和评估工作赋予了董事会,内控管理委员会被赋予了“对内控体系中存在的风险进行管理”的职能;而一般认为,对内部控制进行检查和评估应该是内部审计部门的职责,风险管理本身应为各级管理部门的应尽职责,内控管理委员会可以在各业务部门风险识别及风险应对过程中提供必要的帮助和指导。该项制度对内部控制的目标也同时在总则和第四章第七条做了不同的表述。第七到十一章重要业务的内部控制及第十二章内部控制的检查和披露则几乎是按照深交所的上市公司内部控制指引进行重述的。
双汇发展的内部控制制度则几乎完全对深交所上市公司内部控制指引进行了重述。
以上情况说明,上市公司在对公司治理、内部控制相关规则的理解上存在较大的差异,的一些规定与上市公司治理规则不尽相符。而指导上市公司建立健全本单位内部控制系统建设的政策性、指导性的规定——“上市公司内部控制指引”,则被理解成了具体的“模版”。这一方面由于我们国家以前没有一个关于内部控制的权威定义,这一点目前已得到解决;另一方面由于目前的“上市公司内部控制指引”缺乏可操作性和可理解性,致使上市公司在理解时出现差异。对内部控制的理解仅限于形式上,造成了信息资源的浪费,看起来好像上市公司很重视内部控制工作,披露了相关信息,事实上这些“避实就虚”的表面文章对于投资者等信息使用者没有任何价值可言。
(三)对内部控制的自我评价和外部机构的审核情况
共有12家上市公司在其2007年年报中披露了内部控制自我评价意见;其中有4家同时披露了中介机构对自我评价的审核意见,其中洛阳玻璃同时还在香港上市,境外机构对其出具了审核意见。另外,22家上市公司未按照“年报格式”的规定披露其内部控制自我评价意见和中介机构的审核意见,其中包括4家在中小企业板上市的公司。焦作万方虽无中介机构的评价意见,但有一个外部审计机构对其内部控制的说明,说明中仅提到了其内部控制符合了各项规制的要求。
未披露内部控制自我评价意见的公司中,大多在年报中对公司内部控制建立健全情况一笔带过,或做了简短描述如“建立了内部控制制度,产生了积极作用”等,其中较为典型的描述如:“……公司组织结构健全,设计基本合理,内部控制较为健全但不够系统。……鉴于当前公司内部控制体系尚不具备系统性、可操作和评估性,公司本期不披露董事会对公司内部控制的自我评估报告和审计机构的核实评价意见。”
郑州煤电、中孚实业和风神股份三家公司披露了中介机构对其内部控制自我评价报告的审核意见。前两家都是由北京兴华会计师事务所出具的,出具的意见是:“在所有重大方面有效的保持了按照财政部颁发的《内部会计控制规范——基本规范(试行)》及其具体规范建立的与财务报表相关的内部控制。”风神股份的审核意见是由亚太(集团)会计师事务所出具的,“……贵公司按照内部控制标准在所有重大方面保持了与会计报表编制相关的有效的内部控制。”另外,洛阳玻璃年报中披露了大量中介机构(信永中和〈香港〉)所提出的内部控制缺陷,其中涉及治理层面和业务层面的内容非常详细、具体。
通过调查分析发现,河南省上市公司年报中有关内部控制的披露大部分流于形式,语焉不详,模糊带过,甚至前后矛盾,有的评价太过绝对,使用“完整、有效,能够提供保证”等字眼。有些公司对其内部控制进行了自我评价,但并未披露自我评价的过程及频率,独立董事与监事对内控的自我评价流于形式。还有些公司对内部控制只字未提,如恒星科技。中介机构对公司内部控制自我评价的审核意见的结论表述也有所不同,境外机构的审核意见更为详细。对于审核中所遵循的内部控制标准,有的按“财政部内部会计控制规范”进行,如郑州煤电;有的按COSO模式,如洛阳玻璃;有的未明确透露,如风神股份。
二、对加强上市公司内部控制信息披露的建议
(一)对上市公司内部控制信息的形式和内容做出统一和明确的规定
各个公司内部控制的设计、执行及监督各有特色,其披露也各不相同,就河南省34家上市公司而言,它们关于内部控制制度的完整性、合理性与有效性的说明就各不相同。所以,证券监管部门应该对上市公司内部控制信息披露的形式和内容做出统一规范,这样既便于上市公司进行披露,可以明确的知道应该披露哪些内容、如何披露,提高公司披露的完整性,又便于投资者了解、评价公司的内部控制,同时还可以方便其他人员如研究部门对内部控制的相关信息进行采集和处理。证券监管部门可以制定法定披露条款和自选披露条款,以及采取图表形式,如果内部控制存在不完善的地方,还须指出其缺陷所在,从而方便投资者理解。
(二)加强内部控制理论研究,加快我国内部控制标准体系的建设
2007年,我国财政部联合四部委成立了“企业内部控制标准委员会”,并于2008年6月28日了《企业内部控制基本规范》,该规范从2009年7月1日起首先在上市公司范围开始实施。该规范统一了不同部门和单位在实务中对内部控制定义混乱的状态,具有很大的积极意义。但是该规范在具体操作层面却仍然缺乏指导意义,虽然在基本规范之后不久又了“企业内部控制应用指引(征求意见稿)”和“企业内部控制评价指引(征求意见稿)”,但从征求意见稿的内容来看,一些内容还不尽完善、可行。同样,中介机构在对内部控制发表审核意见时,实务中的做法各不相同,这些问题的解决都有待于相关标准的尽快出台。
(三)加强对内部控制信息披露的监管
内部控制的效果决定了上市公司财务信息的质量,所以内部控制信息对于投资者来说是一项重要的决策依据,证券监管部门应建立健全相关法规,加强对上市公司内部控制信息披露的监督和惩戒力度。对于上市公司拒不披露内部控制相关信息、不按规定的时间、形式披露内部控制相关信息以及披露虚假信息的行为应当进行严厉惩处,在处罚标准上可按同等性质的财务信息违法披露行为进行处理。
(四)鼓励上市公司自愿披露内部控制信息
与财务信息存在重大差别的是,内部控制信息对于不同的企业而言各有相异,COSO报告中也强调没有任何两家公司的内部控制系统是相同的,所以在除了制定规范规定上市公司所必须披露的内容之外,还应当鼓励企业自愿披露内部控制信息,这样也有利于建立良好的投资者关系。比如,可以引导相关机构进行内部控制、公司治理等方面的最佳年度公司的评选。自愿性内部控制信息披露是对强制性披露的补充和扩展,有关部门应因势利导,积极鼓励企业自愿披露内部控制相关信息,以满足信息使用者日益增加的信息需求。
防止会计信息失真是内部控制的一项基本目标。内部控制的基本目标包括三个方面,即财务报告目标、营运性目标和遵循性目标。实际上,人们最初建立内部控制制度的初衷就是为了防止舞弊现象的发生。通过内部控制,各部门和人员之间相互审查。核对和制衡,避免一个人控制一项交易的各个环节,可以防止员工的舞弊行为,也能减少虚假财务报告的发生。尽管现代内部控制的目标已经不仅仅局限于防止财务报告舞弊,而由防弊为主发展为以兴利为主。但是,保证财务报告的可靠性始终是内部控制的一项基本目标。
在现代企业制度下,所有权与经营权高度分离,资财提供者往往不亲自参与对企业的管理,而是将企业交托给专门的经理人员经营管理。这样,经理人员与股东等资源提供者之间便形成了委托关系。受托人必须如实地向资源提供者报告企业的财务状况和经营业绩,不得隐瞒、欺骗。管理当局应当对会计信息的真实性负责,如果披露虚假会计信息,管理当局应当承担相应的责任。当然,股东会聘请独立的第三者——注册会计师对管理当局提供的财务报表的真实性、公允性加以验证,并发表意见。但管理当局也应当建立完善的内部控制,保证交易的发生都经过了必要的授权,并进行了完整。连续、系统、真实的记录,按照会计准则和其他信息披露规范编制财务报告。这不仅仅是审计的需要,更主要是管理当局受托责任本身的需要。因此,合理地保证会计信息真实可靠是管理当局建立健全内部控制的一项重要目标。
1977年,美国了《反国外行贿法》,该法律明确了内部控制对预防和发现舞弊行为的作用。该法要求所有公开上市公司设计并保持内部控制系统,该系统应能充分为下列事项提供合理保证:(1)交易经管理当局授权;(2)交易被恰当地记录以使编制财务报表及保持资产的受托责任;(3)只有在管理当局授权之下才能接近资产;(4)现有资产应当与记录的受托责任相比较,并采取适当的行动处理任何差异。AICPA(1949)、COSO(1992)、内部审计师协会(IIA)、欧洲中央银行(ECB)以及我国内部控制基本规范等也都将保证财务报表的真实可靠作为内部控制的一项基本目标。
二、内部控制环境是影响会计信息质量的首要因素
1985年,由AICPA.美国审计总署(AAA)、FEI、IIA及管理会计师协会(IMA)共同赞助成立了全国舞弊性财务报告委员会,即Treadway委员会,该委员会所探讨的问题之一就是舞弊性财务报告产生的原因,其中包括内部控制不健全问题。Treadway委员会(1987)研究后认为,容易产生财务报告舞弊且舞弊不容易被察觉的情形有:(1)缺乏警觉地监督报告过程的董事会或审计委员会;(2)内部会计控制薄弱或不存在;(3)非经常性或复杂的交易;(4)需要管理当局主观判断的会计估计;(5)缺乏有效的内部审计机构,包括内部审计机构规模不大,限制审计范围。而如果公司道德氛围差则会加剧这些情形。据美国《内部审计》杂志上的一份调查报告表明,自1986年2月起至1990年11月止已发现的114例欺诈案件,多数与虚假会计信息及内部控制不健全有关(杜滨,李若山2000)。另外,据KPMC对美国3000家大中型公司的调查,舞弊有52%是通过内部控制发现的,有47%是通过内部审计检查发现的(允许多项选者)。可见,内部控制对于防止财务报告舞弊意义重大。
而企业的控制环境则是影响会计信息质量的首要因素。控制环境包括员工的诚实性和道德观、员工的胜任能力、管理当局的管理哲学和经营风格、董事会或审计委员会、组织结构、授予权利和责任的方式、人力资源政策和实施等。控制环境构成了一个单位的氛围。
管理当局的诚实性和管理哲学,是充分的公允披露、防止敌意隐藏不利消息或进行盈余操纵的保证。即使设立良好的内控也会因执行者的能力不足或道德败坏而达不到应有的效果。如果管理当局本身就缺乏诚实,那么就会对整个公司的道德观形成不利影响。Treadway委员会(1987)指出,高级管理人员的状态——公司环境或财务报告编制的文化是影响财务报告诚实性的最重要因素。尽管有一套书面的规定和程序,如果管理人员的状态松散,则更有可能发生财务报告舞弊现象。事实上,从会计信息失真的动因来看,关键往往不在于会计人员本身舞弊,而是由于企业管理当局从自身报酬、聘任等角度出发,有进行盈余管理甚至财务操纵、欺诈的动机。而由于制度的原因,会计人员往往受制于管理人员,不得不屈从于管理当局,提供虚假的会计信息,欺骗外部信息使用者。
管理当局对内部控制和财务报告的关注是防止出现虚报、漏报错误的重要方面。不论其他控制要素是否存在,管理部门缺乏诚实性或对内部控制不感兴趣,都会导致内部控制失效。管理当局对内部控制的支持有助于预防虚报、漏报错误的发生。因为管理当局的态度将影响到会计人员和其他部门的工作态度,如果管理当局对内部控制重视,企业内的其他人就会感觉到这一点,职工就会认真履行其职责,遵守既定的控制制度,财务报告的差错就会减少。反之,如果管理当局并不关心内部控制,并没有给予有效支持,那么员工就不会认真执行有关的内部控制制度。事实上,许多企业之所以管理混乱,就是因为企业领导对内部控制不重视,甚至自己随意破坏有关的内部控制。如Treadway委员会对119个1981-1986年间被SEC提讼的财务报告舞弊行为的研究发现,这些公司的管理当局经常能够越过内部控制系统。从我国的许多案例来看,内部控制失效、会计信息失真的症结点更是出现在权力居。因此,管理当局对内部控制的态度是决定内部控制是否有效的关键所在。
三、内部控制是防止会计信息失真的有力保证
导致会计信息失真的原因可分为两类:非故意和故意。非故意是指由于会计人员素质低下或过失等原因,导致在会计规范的范围内选用会计政策不当,而导致加工出来的会计信息不能如实反映企业的财务状况和经营业绩;故意则是会计人员在内部人的授意、胁迫之下,为了企业管理当局的私利,不遵守有关会计原则,故意提供虚假会计信息。内部控制的手段包括职责划分、授权批准、实物控制、会计系统控制。内部审计等。无论是故意性失真还是非故意性失真,上述控制手段都能在一定程度上起到减少或预防会计信息失真的作用。
要进行有效的控制,必须要有明确的职责划分,使各部门、岗位和员工都各负其责,相互制约。职责划分是内部控制的一个基本原则,主要解决不相容职务分离问题。所谓不相容职务是指那些由一个人担任,既可能发生错误和弊端又可掩盖其错误和弊端的职务。企业内部不相容职务主要有:授权批准职务、业务经办职务。财产保管职务、会计记录职务和审核监督职务。这些职务应由不同的人员来担任。更广意义上,职责划分包括两个层面:一是公司内部治理结构即股东大会、董事会、监事会、经理等之间的职责划分;二是经理领导的内部管理机构、岗位和人员之间的组织规划和职责划分。充分的职责分工是为了防止错误和舞弊。通过职责划分,各部门和人员之间相互审查、核对和制衡,避免一个人控制一项交易的各个环节,既可以防止员工的舞弊行为,也能减少虚假财务报告的发生。
授权批准是指交易的发生应当经过适当的授权,不允许有未经授权或超出授权范围的交易。这样,就明确了管理当局及各阶层管理人员、职工的职责与权限,如果出现没有授权的经营活动,导致会计信息失真,相应的人应当承担责任。
会计系统控制要求企业依据会计法和统一会计制度等法律法规和会计准则,制定适合本单位的财务会计制度,明确账务处理程序和企业的会计政策,保持充分的凭证和记录,建立会计凭证的预先统一编号、审核、保管制度,实行会计人员岗位责任制和内部稽核制度,禁止会计人员越权处理会计事务。由于在经济业务过程中采取了程序控制、手续控制和凭证编号、核对等措施,使经济业务和会计处理得以相互联系、相互制约,从而防止错误发生,即使发生了错误,也易于自动检验和自动纠正,保证了会计记录的正确和完整。
内部审计是内部控制的一种特殊形式,其目标在于“评价经济活动及其记录的真实性、合法性和有效性”(萧英达等2000)。内部审计部门应对企业的各种财务资料的可靠性和完整性、企业资产运用的经济有效性等进行审核。开展对审计委员会负责的内部审计有助于减少和发现故意性或非故意性的虚报、漏报错误,并能促使职工尽量减少错误。
从审计的角度来看,与财务报表中所包含的资料有关的管理当局的认定包括:存在或发生、完整性、权利和义务、估价或分摊、表达与披露。存在或发生是指在资产负债表上所有资产和权益均存在,收益表上的所有收入、费用、利润和损失发生在报表所反映的会计期间内。相对应的错误是“虚报错误”。完整性认定是指资产负债表上所列的所有资产和权益都存在且属于公司所有,收益表上所列示的收入、费用、利润和损失均发生在收益表所反映的会计期间内。相对应的错误是“漏报错误”。权利和义务的认定是指在资产负债表上所列示的所有资产均属公司的权利,所有负债均属公司的义务。估价或分摊是捐资产、负债等项目以恰当的金额列入财务报表。所谓表达与披露是指会计报表上的特定要素被恰当地加以分类、说明和披露。换一个角度,所谓会计信息失真,简单地说就是背离了这些认定,而运行有效的内部控制可以防止这些错误。如管理当局的诚实性及对财务报告的关注对于这五种认定都有着重大的影响。而完整的凭证、检查证据和批准手续,为检查和复核已发生的交易提供了一个有效的方法,可以预防和减少虚报错误、漏报错误、权利与义务方面的差错。有效的内部审计可以降低错误和编制虚假会计报表出现的可能性。
因此,莫茨和夏拉夫在其名著《审计理论结构》中将“令人满意的内部控制系统的存在能排除舞弊行为的或然性”作为审计的一项假设。TomLee在《企业审计》中也将“内部控制的存在可使会计信息避免重大的错误和舞弊”作为审计行为假设。而现代制度基础审计正是基于有效的内部控制可以减少财务报告舞弊这一前提之上。
四、我国会计信息质量与内部控制的现状
我国目前的会计信息质量堪忧。一些公司为了上市,不惜编造财务报表,美化公司的财务状况和经营业绩;而一旦上市以后,造假的动机依然存在,为了取得配股权,避免因为连续亏损达不到证监会的要求而被ST、PT乃至摘牌退市,上市公司往往长期隐瞒重大信息或提供虚假信息。最近,上海证券交易所、上海证券报、中国证券报、证券时报联合举行了一次上市公司信息披露质量问卷调查。调查表明,个人投资者认为上市公司披露的财务信息完全可信的占8.45%,基本可信的占26.98%,部分可信的占45.17%,认为基本不可信的占16.10%,完全不可信的占3.14%。对100家左右机构投资者的调查也表明,没有一家机构认为财务数据“完全可信”,认为“基本可信”的机构投资者有41家,占41.41%,认为“部分可信”的机构投资者有54家,占54.54%,认为“基本不可信”的机构投资者有3家,占3.03%,认为“完全不可信”的有1家,占1.01%。这显示,投资者对上市公司披露的财务数据信心不足。个人投资者与机构投资者相比,认为基本不可信或完全不可信的比例更高。表明在当前投资者心目中,财务数据的失真已到了非常严重的地步。会计信息失真已经影响了投资者对会计信息的信任,对我国的证券市场的发展产生了不利影响。
会计信息失真的原因是多方面的,既有社会和政治原因,也有经济原因;既有外部原因,如会计准则不完善、财政、证券监督不力、中介机构执业不规范与管理当局合谋等,但内因即企业法人治理结构不完善、内部控制混乱,同样不能忽视。
当前我国企业内部控制乏力主要表现在:
(1)公司治理结构不完善,内部人或控股股东控制现象严重,缺乏必要的约束。内部控制与内部公司治理是两个不同的概念,两者又有着紧密的联系。公司治理实际上是内部控制的环境,内部控制许多方面涉及到内部公司治理。建立有效的公司治理结构的宗旨就是,在股东大会、董事会、监事会和经理层之间合理配置权限、公平分配利益,以及明确各自职责,建立有效的激励、监督和制衡机制,从而实现公司的多元化目标。而内部控制是企业董事会及经理层为确保企业财产安全完整、提高会计信息质量、实现经营管理目标、完成受托责任,而建立和实施的一系列具有控制职能的措施和程序。因此,公司治理结构与内部控制的关系是密不可分的,公司治理结构是促使内部控制有效运行、保证内部控制功能发挥的前提和基础,是实行内部控制的制度环境;而内部控制在公司治理结构中担当的是内部管理监控系统的角色,是有利于企业受托者实现企业经营管理目标、完成受托责任的一种手段。
与西方国家股权结构极为分散的情况不同,我国存在较为严重的“一股独大”现象。一股独大的一个后果是,控股股东操纵上市公司的股东大会、董事会和监事会。同时,我国上市公司还有明显的内部人控制现象,关键人常常集控制权、执行权和监督权于一身,并有较大的任意权力。股东大会、董事会、监事会的职责分工不明,往往成为橡皮图章,形同虚设。在这种情况下,控股股东或少数关键人就能控制公司的财务报告。为了控股股东或管理当局的利益,就有可能进行盈余管理甚至操纵财务报告,提供虚假信息误导外部信息使用者。
股东大会有权审议批准公司的财务预决算,股东在股东大会上可以向董事会提出质询。公司有义务向股东提供真实、详细的信息,如果因提供了过期或虚假的信息导致股东作出错误的决策或股东利益受到损害,股东有权向信息提供的责任人即管理当局追究责任。因此,董事会有保证所提供会计信息的真实性的责任,但在我国,股东大会往往受到大股东的过度操纵,甚至受个别董事大股东操纵,中小股东往往不参加股东大会。这种情况下,股东大会对财务报告的约束就显得很弱。
董事会是所有者的代表,对经理有着监督、控制和评价的职责。但我国董事会很少有外部独立董事,董事会中绝大多数是控股股东的代表,而且绝大多数又是企业的管理者。一些公司的董事长甚至是不拿报酬的虚职,还有一些公司董事长与总经理两职合一。在此情况下,董事会失去了对经理的监督约束功能。
监事会是公司中专门从事监督的机构,负责对董事会和经理的行为进行监督,防止他们损害公司的利益。监事会监督职能的一个重要方面,就是检查公司的业务、财务及其他会计资料,以及核查提交给股东大会的资料,因此,健全的监事会能够减少管理当局的会计舞弊行为。而我国上市公司监事会,其成员也往往是企业内部人员,与被监督者往往是上下级关系,地位较差,对董事和经理的监督作用有限,加之专业知识的缺乏,结果往往流于形式,难以发挥作用,监事会实际上只是一个受到董事会控制的议事机构。
(2)对内部控制不重视,缺乏内部控制理念。长期以来,由于种种原因,我国企业对内部控制制度包括内部会计控制制度的作用普遍认识不足、重视不够。具体表现在:
未建立内部控制制度,或没有成文的内控制度,导致缺乏明确的控制程序和标准。进行有效控制的一个基本要求就是制定控制程序和标准,并使之成文化,让员工都了解相关的控制。而我国企业尤其是国有企业往往忽视内部控制制度的建立和宣传。
虽然建立了但很不健全,如较重视销环节的程序控制,但忽视内部控制结构的整体协调;较重视对实物的控制,而忽视对行为者的控制;经济往来中疏于管理,造成资产不清、债权债务不实;制定的内部控制制度没有从本单位实际情况出发,无法实行;等等。
虽然制定有内部控制制度,而且也较为全面,但仅仅停留在纸上而不执行、不落实,未能发挥有效作用来制约会计违法行为的发生。实践中,或企业领导自身不注重遵守有关控制规定,或对员工的违规情况一味宽容,缺乏强有力的惩罚措施,频频使用例外原则,导致内部控制制度的信任度和威慑力下降,导致控制制度失效。
(3)会计基础工作不规范。有的单位连必要的账都没有,或设立多本账,直接伪造、编造会计凭证、会计账簿。财务会计报告,以虚假业务资料进行核算,人为捏造、篡改会计数据,乱挤乱摊成本,虚报收入和利润;有的企业会计人员素质较低,账务处理极度混乱;有的单位内部管理混乱,缺乏必要的内部牵制制度,使得员工相互勾结;有的单位很少进行财产清查,账实不符,大量潜亏隐藏在库存中。
(4)内部审计的作用未能有效发挥。一些企业领导对内部审计重视不够,或存在观念上的误解,导致内部审计工作难做;企业内部审计机构普遍人员缺乏,甚至有些企业不设立内部审计机构或实际上与财务部门重合;一些企业虽设置了内部审计机构,配备了人员,但因内部审计制度不健全,业务不规范,人员素质低,作用未能充分发挥,内部审计部门形同虚设。
在外部监督和公司治理乏力的情况下,又缺乏必要的内部控制制度和健康积极的内部控制环境,财务报告处于控股股东或少数企业领导的绝对控制之下,会计信息的内在生成机制就存在问题,会计信息失真也就不足为怪了。
五、完善内部控制,提高信息质置
1.完善企业内部控制环境。
(1)完善公司治理结构,使董事会、监事会、经理三者相互制衡。
首先,提高外部独立董事的比重,增强董事会的独立性,但应避免使外部董事成为“花瓶”。作为独立的“仲裁者”,外部董事可以保持董事会的独立性,代表股东监督、制约管理当局及控股股东,防止管理当局及控股股东侵害股东利益,最大限度地维护所有股东的权益,降低成本。公司的财务报告要经过董事会的批准,当董事会中有一定比例的独立外部董事时,就能在一定程度上抵制与防范管理当局操纵财务报告、误导投资者的企图。COSO的报告《内部控制—整体框架》发现,舞弊公司的独立董事所占比例比不存在舞弊的公司要少,舞弊公司中独立董事的比例仅28%,而不存在舞弊的公司的相应比例为43%。而且,舞弊公司外部董事中灰色董事的比例要比非舞弊公司大,前者的对应比例为44%,后者的比例为34%。这一点也得到了经验研究的证实。BeaslyMarkS.(1996)采用Logit截面回归分析检验75个舞弊公司和75个非舞弊公司董事会组成的差异,发现,财务报告非舞弊的公司董事会外部董事的比重显著高于财务报告舞弊的公司。1994年美国注册会计师协会(AICPA)在《加强独立审计师的职业性》中提出改变董事会的组成以加强董事会的独立性,减少财务报告舞弊的发生。中国证监会于2001年8月了《关于在上市公司建立独立董事制度的指导意见》,要求上市公司建立独立董事制度。目前,已有许多上市公司聘请了独立董事,但是,一些公司聘请名人担任外部独立董事只为制造轰动效应,并非真想让外部董事监督公司的行为,外部董事有名无实。应当解决好外部董事的报酬、来源、工作时间、职责与约束、与监事会的分工等问题。
其次,在董事会下设立主要由外部董事组成的审计委员会。在美国上市公司中,董事会是监督公司经理及财务报告过程的重要主体。通常,董事会都将其监督财务报告的责任委托给独立董事占有多数席位的审计委员会。审计委员会作为一种加强公司内部控制的机制,在防止和发现财务报告欺诈方面扮演着重要的角色。其责任包括:在财务报告方面:复核年度已审财务报表;复核中期未审财务报表;复核其他财务报告;复核公布前的盈利数;复核公司会计原则(惯例)。在审计计划方面:讨论审计工作的范围与时间;讨论审计方法;讨论审计问题;核准或提名审计人员;建议或批准审计费。在内部控制方面:评价内部控制的充分性与有效性;评价员工欺诈的可能性;评价管理当局欺诈的可能性;评价电子数据处理系统(EDP)的有效性;评价公司的行为守则(武俊2000)。实践表明,审计委员会作为一种公司治理机制,在防止和发现财务报告舞弊方面扮演着极为重要的角色。如COSO的报告《内部控制—整体框架》发现,非舞弊公司中63%有审计委员会,舞弊公司中只有41%有审计委员会。Dechow,Sloan&Sweeney(1996)对利润操纵与企业治理结构之间的关系的研究也发现,有利润操纵的企业更有可能有管理层控制的董事会成员,更少有审计委员会。中国证监会的《中国上市公司治理准则(征求意见稿)》等文件中已提出设立审计委员会。
第三,完善监事会制度。我国规定股份公司必须设立监事会。在引进外部董事制度后,仍然应当继续发挥监事会的监督职能。监事会应当以财务监督为核心,应当保证监事会能独立、有效地行使对董事、经理履行职务的监督和对公司财务的监督和检查。为使其能够胜任财务监督等职责,监事应具有法律、财务。会计等方面的专业知识或工作经验。
(2)加强人力资源培训,提高人员素质。公司必须建立统一的人力资源政策,实行科学的聘用、培训、轮岗、考评、晋升、淘汰、薪酬等人事管理制度,确保公司员工具备和保持正直、诚实、公正、廉洁的品质与应有的专业胜任能力。特别应当加强高级管理人员的教育,使企业领导认识到保证会计信息真实性是企业领导的责任,同时也应当加强会计人员的职业道德教育和业务教育,使之不敢。不愿参与财务报告造假。
(3)全体员工尤其是管理层应树立内部控制理念。内部控制能否有效关键看企业员工有没有内部控制观念,特别是看管理层是否重视内部控制制度。只有全体员工都树立控制观念,自觉执行内部控制,才能防止包括财务报告舞弊在内的舞弊现象的发生。
2.制定适合本单位实际的内部控制制度。
企业应根据《内部会计控制规范》,结合企业自身情况,制定并公布企业的内部控制制度。
首先,企业应当实行严格的职责划分和授权控制,使各部门、岗位、员工明确自己的职责。不相容职务应当严格分离,同时,企业还应当明确规定实物接触和保护制度、内部稽核制度。
其次,制定各种作业程序、管理办法和工作目标,并订立明确的控制标准,定期进行考核,以便员工按照规定的标准正确处理各项业务,实现预定的目标。
第三,做好会计基础工作,完善企业的会计信息系统。规定企业的财务和会计制度,明确账务处理的权限,特别是在实行电算化条件下,更应加强职责划分,将不同功能工作分由几个不同的部门和人员来完成,以防止一个部门和人员可以操纵整个账务处理过程,并加强对有关数据文件的保护。同时还应当建立良好的信息沟通体系,使管理人员及时了解企业的运行、债权债务的管理等。
第四,作好宣传教育工作,使全体员工了解有关内部控制制度,只有了解有关控制,才能自觉遵守。
第五,内部控制制度不能只写在纸上,挂在墙上,而要落实到企业的日常生产经营活动的每一个环节中去。对那些违反内部控制的员工应当严格按照有关控制规定进行惩罚,以保证内部控制制度的严肃性。
3.加强内部审计。
内部审计是内部控制的一种特殊形式,是对其他内部控制的再控制,它可帮助管理当局监督其他控制政策和程序的有效性,为改进内部控制提供建设性意见。内部审计部门应对企业的各种财务资料的可靠性和完整性。企业资产运用的经济有效性等进行审核。因此,内部审计除了帮助提高经营效率外,还有助于减少会计信息失真。为了使内部审计能够充分发挥其作用,应当保持内部审计部门的相对独立性,内部审计机构应当向审计委员会报告工作。对于一般企业,也应当设立独立的内部审计机构,以保证会计信息的真实性。
4.管理当局进行内部控制评估和报告,并可考虑由注册会计师对内部控制进行评价。
关键词:内部控制;信息披露;制度环境
中图分类号:C93
文献标识码:A
文章编号:1672-3198(2010)19-0047-02
1 内部控制信息披露的含义
内部控制信息披露是企业管理当局自愿或按照既定的披露要求将企业内部控制完整性、合理性和有效性评价的信息以公开报告的形式提供给利益相关者,供市场理性判断投资价值,以满足利益相关者合法权益的一种行为。李明辉等(2003)认为,从会计管制的角度看,上市公司内部控制信息披露的内容可分为强制性披露和自愿性披露。强制性披露是按照公认会计原则和其他法律、法规的要求,必须在财务报告中披露的内容。自愿性披露是企业自愿披露在公认会计原则和其他法律、法规所作的最低要求之外的内容。对于投资者而言,强制披露的信息与自愿披露的信息是相互补充的信息来源,内部控制信息的自愿性披露和强制性披露都是必须的,二者缺一不可。
2 内部控制信息披露的意义研究
内部控制信息披露可以提高企业管理当局内部控制的意识,促进管理当局完善内部控制,同时可以为外部信息使用者提供附加信息。具体意义如下:
2.1 内部控制信息披露是披露履行受托责任的一种信号传递
在现代企业制度下,所有权和经营权分离,管理当局承担了合理、有效管理与运营委托方所交付的资源的责任,必须保证企业资产的安全、完整,实现资产的保值增值,并以实现企业价值最大化为目标。委托方可以根据管理者的经营业绩做出继续原有契约,还是终止契约的决策。因此,管理当局有职责建立完善并有效执行的内部控制制度,通过内部控制信息披露,可以表明企业的内部控制是否有效。而对企业内部控制制度进行评估并披露评估结果,可以向证券市场投资者传递管理当局履行了受托责任这一信号。
2.2 内部控制信息披露可以提高企业财务报告的可靠性
良好的内部控制制度能够及时地发现舞弊,从而有效降低财务报告舞弊的负面影响。Hermanson(2000)以问卷调查的方式,考察了美国银行家、机构投资者、个人投资者、证券经纪人、公司董事、公司主管、分析师、注册会计师和内部审计师9类财务报表使用者对内部控制信息的需求,其调查结论为:(1)强烈肯定内部控制对企业管理和减少错弊的作用;(2)认为提供内部控制信息可以促使管理层改进内部控制、加强监督,审计师的验证则可进一步强化这一作用。
2.3 内部控制信息披露可以向外部使用者提供增量信息
内部控制报告,提供了额外的与决策有用的信息。通过内部控制报告,用户可以一定程度上了解企业管理控制是否有效。如果企业有着良好的控制制度,则企业的经营有序而有效,能够防范经营活动中的风险。反之,如果企业的内部控制混乱,则风险较大,用户在做出投资决策时就必须谨慎,因此,信息的外部使用者在进行决策时,除了根据反映公司财务状况、盈利状况等数量指标外,还较为关注内部控制的有效性和健全性。
2.4 披露上市公司内部控制评价报告可以降低成本
由于管理者行为导致的企业价值下降部分会以分红和其他报酬降低的形式强加给管理者,也就是成本最终将由管理者承担。为自身利益考虑,管理当局就有使监督成本保持最低的动机。因此,管理当局处于自身利益的考虑,需要设置内部控制制度,让委托人充分了解经理人员的努力程度,以降低委托人对管理报酬做出逆向调整的风险。因此,管理当局会定期对本企业的内部控制的设计和执行的有效性进行评估,并将结果提供给外部信息使用者。
3 国内外关于内部控制信息披露的研究成果
内部控制信息披露可以提高企业管理当局内部控制的意识,促进管理当局完善内部控制,同时可以为外部信息使用者提供附加信息。因此国内外对此进行了详尽的分析和研究。
3.1 国外研究成果
Fama等(1983)发现了独立董事对公司自愿性信息披露的促进作用。Krishnan (2005)将SOX法案实施以前更换外部审计并披露了内部控制问题的公司样本与对比样本进行比较,发现审计委员会独立性强、具有财务会计专业人士的公司存在内部控制问题的可能性非常小。Ashbaugh-Skaife,Collins & Kinney(2007)研究了SOX强制审计之前的内部控制缺陷披露,发现披露内部控制缺陷的公司经营的业务更加复杂、近期有组织变革、会计风险更高、审计师辞聘现象更多,可用于内部控制的资源更少。
3.2 国内研究成果
李明辉、何海和马夕奎(2003)对我国2001年1147家A股上市公司内部控制信息披露状况进行了研究,发现除了4家商业银行和证券公司因中国证监会的特殊披露要求披露得较为详尽外,其它880家披露内部控制信息的上市公司中,大多数披露流于形式,且上市公司自愿性披露动机不强。王文华等(2006)认为,应该通过法律法规规定上市公司必须实行强制性内部控制信息披露,作为上市公司定期报告的重要组成部分,随同公司年度报告一起披露。吴曙霞(2007)研究发现,我国上市公司尚缺乏自愿披露内部控制状况以向外部投资者传递企业质量信号的动力。方红星、孙、金韵韵(2009)研究发现:我国上市公司自愿披露内部控制信息的总体水平较差,但在2003-2005年间有逐年增加的趋势;上市公司是否自愿披露内部控制信息与是否在海外交叉上市、是否聘请“四大”进行外部审计、资产总规模、资产净利率、独立董事人数占董事总人数的百分比显著正相关,与外部审计意见类型显著负相关,与监事会规模、是否设立审计委员会以及样本年度正相关。
综合以上文献可以看出:国外对于内部控制信息披露的研究已经由自愿性披露演化为强制性披露,重点关注信息披露与上市公司经营状况和财务报告质量的关系。国内对公司内部控制信息披露的研究起步较晚,现阶段研究主要集中于对内部控制信息披露状况的研究,分析其存在问题,并提出相关改进措施。
4 完善中国上市公司内部控制信息披露的制度性建议
根据内部控制信息披露的国际比较,本文认为应该从完善上市公司内部控制信息披露环境和加强内部控制信息披露制度建设两大方面入手,进行内部控制信息披露规范化管理。因此本文建议:
4.1 完善内部控制信息披露的制度环境
4.1.1 树立投资者法律保护观
在内部控制信息披露中,不仅考虑大股东利益,而且应特别考虑中小投资者利益,树立保护中小投资者理念。首先,将中国上市公司内部控制信息披露相关规定,上升到法律层次,可以增补到《公司法》、《证券法》和《会计法》的有关章节中,也可以借鉴美国模式,单独立法。其次,启动证券市场的民事赔偿机制,借鉴美国《SOX法案》经验,结合我国证券市场特点,加大违规披露内部控制信息处罚力度,以增加信息披露违规成本。第三,将目前分别由上交所和深交所分别颁布并实施的《内部控制指引》,整合后由中国证监会统一制定并监督实施。
4.1.2 发挥声誉机制对法律机制的补充与替代功能
声誉机制是一种成本更低的维持交易秩序的机制,对法律机制具有一定的替代性。目前声誉机制对上市公司内部控制信息披露的具有一定的约束力,特别是,在许多情况下,法律是无能为力的,只有声誉能起作用。资本市场是一个信息不对称的市场,声誉机制是维持证券交易和公司治理结构的一种不可或缺的机制。因此应该给上市公司一定的发挥空间,即内部控制信息应该以“强制性披露为主、自愿性披露为辅”的政府监管新思维。
4.1.3 强化市场机制的激励和约束作用
市场机制包括资本市场、控制权市场、经理市场、产品和要素市场和债权市场。在竞争性的产品市场上,公司为了获得相对于其竞争对手的比较优势,有充分动力通过信息披露向投资者传递公司未来前景看好的“信号”,以改善公司形象,突出公司的竞争优势来提升公司核心竞争力。因此,产品市场竞争力对公司是否披露内部控制信息的概率有正向影响。
4.2 完善内部控制信息披露制度
4.2.1 规范内部控制信息披露形式和格式
从内部控制报告的披露位置来看,上市公司或者在年报“公司治理结构”一节中予以披露;或者单独形成文件披露;或者以“内部控制制度建设和执行情况”的形式在公司治理结构章节中披露,冠以“内部控制自我评价报告”的标题;或者在监事会报告中披露。
4.2.2 规范内部控制信息披露内容
借鉴美国SEC规定,建议中国证监会统一内部控制信息披露内容,具体包括:(1)内部控制评价的目的和责任主体。明确内部控制的建立与实施的责任,可促使管理当局对内部控制的关注和重视;(2)内部控制评价的内容和所依据的标准。公司管理当局应该说明内部控制上市公司内部控制信息披露的内容和标准;(3)内部控制存在固有缺陷的声明。管理当局应该说明内部控制的存在固有缺陷;衡量重大缺陷严重偏离的定义,以及确定严重偏离的方法及相关责任人。(4)改进措施。披露所有在评估过程中发现的控制缺陷,以及针对这些缺陷的补救措施及补救措施的实施计划等。
4.2.3 规范内部控制信息披露责任主体
应将内部控制的责任落到实际掌握公司权力的人身上,即董事会或管理当局。董事会负责披露,监事会负责监督,会计师事务所等中介机构负责评估审核,董事长做为第一责任人,进一步强化上市公司董事会、监事会、高管人员以及董事会下设各个委员会、独立董事等对公司内部控制方面相关信息披露的准确性、完整性、及时性、公平性等方面的责任,对虚假记载、重大遗漏以及误导性陈述等行为形成有效的法律约束机制。
4.2.4 规范内部控制信息披露审议程序和评价核实机构
研究发现,内部控制信息披露的审议程序和评价核实主体比较混乱。部分公司的内部控制报告仅由董事会审议后就予以披露,而未按沪深两市交易所《编制年报通知》的要求由监事会、独立董事对内部控制报告发表意见;个别公司的内部控制报告甚至由审计委员会提出,董事会对其持何种意见也未见披露。建议上市公司董事会下设的专业委员会―审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,提交董事会、监事会表决,独立董事发表意见,并协调内部控制审计及披露等相关事宜。
4.2.5 规范内部控制的评价标准,建立统一的评价方法体系
目前中国上市公司内部控制信息披露效率低下的一个很重要的原因,就是缺乏科学、有效的评价标准和方法体系。事实上企业实施内部控制评价,主要包括对内部控制设计有效性和运行有效性的评价。具体包括:第一,是否评估了企业内部所面临风险;第二,内部控制设计的方法是否适当;第三,内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理:第四,内部控制设计和运行的组织是否有效;第五,人员配备、职责分工和授权是否合理;第六,是否有内部控制自查计划并有效实施自查;第七,是否建立纠错与整改的机制;第八,评价期内是否出现过重大风险事故等。
参考文献
[1]Fama,E.and K.French.Industry Cost of Equity[J].Journal of Financial Economics,1997,(43).
[关健词] 会计信息;内部控制;措施
[作者简介] 罗灿姬,广西壮族自治区疾病预防控制中心经济师,广西 南宁,530028
- [中图分类号] F23 [文献标识码] A [文章编号] 1007-7723(2012)02-0065-0003
一、 会计信息化的特点
与发达国家相比,我国会计信息化开展较晚,但发展较快,在20世纪90年代逐步推广和普及,多种财务软件和单位管理软件在实践中得到完善和提高。会计信息化的快速发展,在提升管理水平的同时对于增强综合能力也起到了重要的作用。会计信息化包括四层含义:一是依靠网络、通信以及数据库作为信息获取的手段。二是围绕信息提供实效性,对业务流程以及会计处理方式进行全面调整。三是能够实现对资金流、实物流的全过程管控。四是会计信息进一步扩大,在技术平台、业务流程以及管理体系等多个层面均有具体体现。会计信息化系统具有以下几个方面的特点和优势。
(一)具有流程简单化的特点
依托电脑的强大运算功能,会计信息化系统在处理会计凭证以及财务报告等过程中可以大大减少人工操作,简化手工操作的很多环节。在成本计算和计提折旧等较为复杂的运算业务处理时,会计信息化系统能够简单快速地完成相应的工作。和过去手工会计相比,会计信息化的技术和复杂性都大幅降低,相应的流程能够得到进一步简化。
(二)具有信息集成化的特点
会计信息化可以将所有数据集成在一个数据库中,实现对信息的实时获取、处理和报告。网络信息技术的高速发展,使协同开展财会业务成为可能,会计信息化系统不再是孤立的信息,越来越多的业务信息可以通过有效转化变为相应的会计信息,而相应的会计数据也呈现出集成化的发展态势。
(三)具有数据共享化的特点
会计信息化能够实现所有会计数据出自同一个系统内,管理者能及时获得相应动态财务信息,可以依托相应的财务软件,实现集中记账、远程审计、远程报账等功能,高效共享会计数据,能够使各项管理决策更加科学合理,使内部信息资源得到充分利用。
(四)具有反馈动态化的特点
在网络环境下数据信息录入、会计信息转化、电子货币划拨等工作均可以通过会计信息系统实现,能够节约大量手工录入会计账簿的时间;同时能够使会计核算由事后核算转变为实时核算,相应的核算反馈也由过去的静态反馈变为动态反馈,各项财务信息的和使用均实现动态化,依托财务软件,信息可以直接转化并反映在信息平台中。
二、 信息化环境下内部控制面临的问题
(一)在会计信息环境下相应的内部控制制度不够完善
有效的内部控制离不开完善的内部控制监督制度,建立健全内部控制监督制度有效预防会计信息的舞弊现象,及时纠正和制止工作中出现的错误,从而全面提高内部控制效率。在新的会计信息化环境下,内部控制的目标虽然没有任何改变,但因会计信息化本身的特点和工作方式变化较大,很多现存的制度和机制已无法适应发展的要求,加速建立健全会计信息环境下的内部控制制度和相应的管理机制显得迫在眉睫。
(二)在会计信息化环境下信息安全问题受到了更多挑战
在过去手工会计操作中,内部控制主要依托岗位职责和相关的财务管理制度,各项财务业务均有相应的记录,各种证、账、表全部手工录入。而实施会计信息化后,因为会计账务处理完全依靠财会软件来完成,过去传统的内部控制方式因为操作流程的改变已经失去了作用。如果管理不当,将造成会计信息安全性的漏洞,人为修改或删除财务数据的情况更易发生,由于所有操作均在网络上进行,将不易留下痕迹。财务数据的安全性问题是会计信息化环境中内部控制的一个重要的影响因素。因此,在会计信息化环境下,应进一步规范完善相应的管理制度,对网络安全、权限管理、硬件维护、数据备份等要建立与信息化相对应的管理制度和内部控制。在实施会计信息化后,内部控制的核心和关键也将发生根本性转变,过去的财务管理强调证实相符、账证相符、账账相符,而在会计信息化实施中,应将内部控制的重点转为数据输入控制、输出控制、网络安全管理等。
(三)会计信息化的实施在一定程度上增加了内部控制的难度
在传统的手工会计中所有的原始财务信息均记录在纸质的账簿和凭证上。业务经手的所有人员均会留下签名或盖章的痕迹,修改和伪造账簿、凭证很难做到不露痕迹。然而,在会计信息化中,所有信息均以电子方式记录在系统中,虽有些数据和信息存储在纸质介质中,用于凭证核对,但修改数据也比手工会计容易,在会计信息化中签字盖章等传统的证据操作无法实现,给伪造和篡改信息提供了可能。此外,在会计信息化系统中进行相关数据操作将不会留下痕迹,给预防和查处舞弊行为增加难度。
(四)会计信息化环境下身份识别和权限控制问题进一步凸显
在诸多内部控制手段中,授权控制是一种最基本的方式。在会计信息化系统中,传统的签名或盖章变成了授权文件和密码。一旦密码泄露,任何人均可以通过网络迅速进入系统,并能够非常方便、快速浏览和查找全部财务数据以及文件,造成无法弥补的损失和危害。会计信息化这一特点,使操作授权显得尤为重要。在会计信息化系统中,口令和密码存贮在计算机中,对于计算机网络技术高超的人员来说,破解密码潜入系统并非不可能。这些都给网络安全增加了风险。
(五)会计信息化推进过程中出现复合人才缺乏的新问题
伴随着会计信息化的逐步推广,对于既熟悉财务知识又精通计算机技术复合型人才需求更加迫切。会计信息化是网络信息技术和会计专业相结合的产物,对于相关人员的素质要求进一步提高,要求从业人员不仅具有扎实的会计知识,同时要熟悉和精通信息技术和网络知识。需要能够熟练操作网上支付、网上报税、网上采购等多项业务。然而当前这类财务信息化的专业人才还很少,高素质的复合人才极度缺乏,不仅制约了会计信息化的推进,而且对进一步完善内部控制工作增添了新问题。加速培养复合型人才,已经成为推进会计信息化工作、完善内部控制管理的当务之急。
三、 改进和完善信息化环境下内部控制的相关措施
(一)进一步完善管理制度
会计信息化环境下,应针对过去手工会计业务流程以及制度进行重新设计和制定,不仅改变和完善相应的业务流程,同时要对业务流程的关健点进行严密控制,抓好关键点和关键岗位、关键物品的控制,如管理负责人和财务负责人等关键人员职责权限管理。此外,对于重要的发票、银行票据、印鉴等关键物品的管理也应同样有效控制,加强对于现金、银行出纳、收支事项及凭证的核准等岗位的控制。会计信息化系统中不能由单个部门或某一个人独立完成关键业务的全过程,应建立科学、严密的内部控制体系。在适当授权、不相容职责分工、独立检查等管理的基础上,构建人与人、部门与部门之间的岗位责任管理制度。
应加速建立涵盖所有会计信息流程环节的操作管理制度,对会计数据录录入、传输、输出以及储存等各个阶段加强管理和管控。在确保基础会计数据的录入准确的基础上,对数据来源的真实性和可靠性进行控制,从会计数据录入开始,对所有环节进行认真审核,对原始凭证的真实性进行仔细核对,如果具备条件,可在会计信息化系统中引入防伪设置,确保录入阶段的数据安全和准确。在会计数据输出时,应严格进行口令管理和加密保护,对于打印输出的会计信息要加强核对,确保其完整性和正确性。在数据储存阶段,管理的重点应放在防止财务数据的篡改以及泄露上。应对所有操作管理人员进行严格的工作划分,明确管理范围和权限,对密码进行严格管理,操作过程应进行严格控制登记和记录,严禁未经授权的人员接触和操作会计信息化系统。上机操作日志应由专人负责管理,确保在出现数据篡改和泄露时能够及时准确发现线索和证据。
(二)全面加强数据准确性控制
数据的正确性是会计信息真实性的前提和基础,在会计信息化推进中,数据信息录入和准确性是关键,在各种财务数据录入前,应根据相关会计准则和会计制度进行认真核对,确保内容准确。对于重要信息的授权人和操作人等要有纸质书面记录。只有在保证所有数据正确无误的前提下,才能进行相应的业务处理。在工作中,还应定期由专门技术人员对系统软件的可靠性进行检查,确保核心数据库安全可靠,避免因软件漏洞引发的内部控制风险。应建立健全数据定期备份和自动备份制度,同时要对数据接触人员、接触时间、操作内容等进行详细记录。对所有备份数据要妥善保管,一旦系统出现故障可以通过备份数据对其进行最大程度的恢复,降低损失。
(三)加强网络病毒的预防管理
互联网开放性的特点使其存在着被侵入的可能性。当前网络病毒和木马病毒非常猖獗,给会计信息化系统的防护增加了难度。在具体管理中,应进一步增强网络病毒和木马病毒的防范意识,在选择财务软件时应选择正版软件,在可靠的操作系统下进行安装。在系统运行中,应对网络操作和存储操作进行严格规定,在系统中安装可靠的杀毒软件和病毒防火墙,并定期进行病毒查杀。对于外来软件和数据应进严格检查,会计信息化系统应做到专机专用,严禁在会计信息化系统中安装网络游戏等无关软件。具备条件的单位,应在系统中增加数据签名和密钥技术,多管齐下,确保系统不受到网络病毒的侵害。
(四)对系统硬件进行规范管理
由于会计信息化的信息资料均存贮在计算机数据库中,与传统的纸质存储比较,在提高了效率的同时,其管理风险也进一步加大。会计信息化的硬件设备具有容量大、数据集中、毁坏不可逆转等特点。在日常工作中,可能受到温度、湿度、短路、断电等多种因素的影响。为了防止发生硬件损坏,应在硬件管理上建立一套完善的管理制度,保证会计信息化系统良好的运行环境,经常对其电路进行检修,确保设备正常运转。此外,应对会计信息化机房加强管理,严禁无关人员进入,确保硬件设备不出现人为因素的损坏,防止操作不当造成硬件设备故障。
(一)企业的会计内部控制制度缺乏系统的管理,存在不全面的情况,最终使信息出现漏洞。在一些企业中,有些职能部门和职务存在不兼容的情况,但是没有进行明确的划分,实施分离;物资采购的审核部门和实际操作部门没有明确划分,仍混为一体;很多时候存在审批上的越权行为;会计方面的文件性资料存在保管不当的情形;对相关财产的报关机制不健全,致使企业资产产生流失。所有以上的情形都有可能对会计信息的准确性产生影响。
(二)公司在营运业务的管理上存在漏洞,财务上缺乏相对健全的组织机制。在计划经济体制下,管理者的角色所体现的是行政性质,想问题的出发点和企业运营方式都存在问题。这种思想在一些企业中还长期存在。管理者没有转变思想和观念,造成财务部门不严谨。为了达到某种目的,在思想存在问题的领导的指使下,制造假账,提供假报表。没有如实反映企业经营情况,却是根据需要私自做账。降低了信息的精确性,最终影响会计信息的质量。企业内部会计控制制度的建设情况直接影响信息的质量,二者密切相关。它是公司进行有效管理的先决条件。一个优质的公司管理架构可以通过内部控制机制进行反映,同时发挥实际作用。
(三)由于在监控上存在不力的情形,导致会计控制出现失效的局面,助长了虚假行为,难以得到有效控制。在财务领域,监督和控制的地位是相互压制。但是在一些企业内,内部审计属于一个平行的部门,缺乏独立性。这就导致不能有效控制企业内部的运行,力度有限,直接影响信息的质量。在这种部门设置下,一些管理者就会根据某种不正当的需要,指使会计人员做虚假账目。
(四)缺乏对风险的评估,意识薄弱,造成会计信息出现失真的情况。在企业内部,没有建立完善的风险评估系统,对企业在银行方面的信贷融资和对外投资产生极大影响。会计部门不能提供准确的信息给风控部门,在很大程度上妨碍了管理者的决策。臆想成分很大,给企业造成巨大的经济损失,同时也不利于树立良好的企业形象。为此,企业必须具有较强的风险意识,建立风控机制,这对企业会计内部控制行为具有较大的推动作用。
(五)对于从业人员的管理不当,人员专业素质有待提升。整个社会的法制性增强,在会计领域的法律法规也逐渐完善。相应的处理方式和手段更加新颖,标准也相应变化。如果业人员的个人专业素质较低,在处理数据的时候,放弃原则,致使会计信息失真。
(六)会计资料不属实,资料性质出现变形。会计信息的品质不高也就是虚假,提供不属实的账目。致使企业账目所反映的情况与事实不符。成本不能如实反映企业实际支出,导致盈亏不符,滋长现象。
二、加强企业内部会计控制的举措
(一)加强企业内部会计上的控制,健全相应制度。企业制定内部会计制度要以基本法规为理论基础,对会计相关职能部门的岗位进行规范的设置,确立明确的权限。对经营各个环节制定内部控制机制。一些不能混在一起的部门禁止在一起,实行分离管理。实现部门间的互相制约和监督。约束和监督会计人员的行为,防止越权行为的发生。确立经营目标,建立合适的激励机制,保障信息真实。
(二)进一步健全公司的管理架构,保障会计信息的真实、有效。加强会计控制是企业的内部需求,防止财务制度的管理仅停留在形式上。这主要需要注意两点:首先是能否得到社会的认可和信任;其次是否对企业的运营决策产生影响。很多企业负责人对此没有本质上的认识,不掌握现行的财务纪律和制度。为此,要建立严格的追责机制。增强法制意识和观念,将假信息切断在最源头。会计人员也要依法办事。
(三)增强风险意识,完善风控机制。对风险采取警示、分析和报告的分析形式,对其进行种类上的划分。对于筹资行为要进行结构上的设置,制定偿还计划和步骤。实现评估、监督和考核一体化,提供有效、详尽和准确的财务信息。谨慎进行相关投资。防止出现不可预料或者后果严重的投资项目。
(四)实施部门间的监督,强化监督制度。监督机制对于会计内部的审计有着重要的作用。审计部门对于财务和会计工作进行监控,属于独立的机构和部门。对企业高层负责。在有力的监督下,增强信息质量。
(五)采取多项措施加强财务人员的监督和控制,为良好的内部控制打下基础。聘请素质高、具有职业道德的人员,尽量减少由于人为原因造成的信息失误;加强对其业务知识的培训;注重会计人员资格的认证,必须具备相应的从业证书和职称。对他们进行相关的法制普及和道德教育,加大对违纪行为的惩罚力度,有效约束他们的行为,提高职业道德水平。
信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。从该定义可以看出,其审计内容及方法是通过对系统内部控制的审计,来判断和评价系统的安全性、完整性、效果和效率等方面。通常,信息系统内部控制可分为一般控制和应用控制。下面结合我们在失业保险基金、养老保险基金、公路养路费等多个审计项目中尝试信息系统内部控制审计的实践,就相关审计内容与方法谈一下肤浅的认识。
一、信息系统的一般控制及审计方法
信息系统的一般控制是指为合理保证信息系统安全、可靠的控制措施。包括组织控制、操作控制、系统开发和维护控制、硬件和系统软件控制、灾难恢复控制。目前,被审计对象一般是在日常运行的信息系统,因而,我们重点是对信息系统的组织控制、操作控制和灾难恢复控制进行审计,判断信息系统的安全性、可靠性。
1.组织控制。组织控制主要是通过不相容职责的分离来实现。审计内容包括:系统管理人员及操作人员是否有明确的管理制度及明确的职责权限、数据库管理人员是否不审批和处理经济业务、系统管理人员和操作人员是否不能接触有关应用程序文件、业务处理中不相容职能是否分离等。审计可以采用查阅被审单位相关内控制度和检查信息系统中操作用户权限表等方法。如在养路费审计项目中,使用该方法发现信息系统中部分用户的不相容的操作权限未予分离,征费员既有收费等征收管理的权限,又有车辆类型管理、费率设置、修改缴费标准等权限。
2.操作控制。操作控制是用来控制信息系统的操作,以保证信息系统仅用于经授权的用途和只有经授权的人员才能操作信息系统。审计内容包括:系统的操作日志设置及管理情况、操作人员是否经过授权、在人员岗位变更时,操作权限是否妥善地进行、密码保护措施等。审计可以采用检查操作用户权限与被审单位内控制度、现场观察实际操作用户和分析系统的操作日志等方法。如在养路费项目中,使用该方法发现存在操作人员使用其他用户进行操作信息系统的情况,操作控制不严,有3名协管员于2005年10月至2006年6月期间,擅自使用领导的用户名及密码先后8次私自减免5辆汽车养路费滞纳金。
3.灾难恢复控制。灾难恢复控制是在系统遭受无法抗拒的、突如其来的灾难时,为了将灾害的损失降低最小的程度所采取的措施。审计内容与方法主要是检查系统备份制度及执行情况、灾难发生后的应急恢复安排等。
二、信息系统的应用控制及审计方法
信息系统的应用控制是设计用来合理地保证系统在特定的应用方面能够正确地完成数据的记录、处理和报告功能,包括输入控制、处理控制和输出控制。通过对系统的应用控制功能审计,检查应用系统本身是否存在漏洞和功能缺陷,评价信息系统的可靠性、效果和效率等方面。
1.输入控制。输入控制确保输入数据的合法、准确和完整,包括:数据正确地存储、业务数据没有丢失、增加、重复和改变、错误的业务数据能够被拒绝、改正并及时地重新提交处理。审计可以采用以下方法检查系统输入控制。
(1)面谈法、观察法。审计人员采用与操作人员座谈、现场观察系统输入控制,可以初步了解系统输入控制情况。
(2)测试数据法。审计人员设计一些虚拟数据,提交系统进行处理,以测试系统输入控制是否存在。如在社保审计中,审计人员通过测试数据法,发现存在参保人员重复开户问题,系统输入控制不严,进而发现重复征收失业保险费、养老保险费等问题。
(3)数据验证法。主要是通过检查数据之间逻辑关系验证输入数据的正确性和保存数据的完整性,包括业务数据与财务数据对比验证和业务数据间主表与明细表核对。如在养路费审计中通过数据库主表与明细表数据的核对和检查,审计发现系统对部分业务数据保存不够完整和正确:部分养路费滞纳金减免记录在减免明细表中记录不完整、部分养路费缴费记录存在缴费总表与缴费明细表记录不符。又如在养老保险基金审计中通过对养老保险系统保存的地税征收的养老保险费数据与地税部门实际征收的数据比较核对,发现系统保存的地税征收的养老保险费不够正确和完整,原因在于地税部门没有提供标准格式的征收养老保险费情况的电子数据,社保部门通过手工将地税征收的养老保险费数据输入系统。
2.处理控制。处理控制确保系统按规定对数据进行处理,包括:能够对经济业务进行正常处理;业务数据在处理过程中没有丢失、增加、重复或不恰当的改变;处理中错误能够发现并得到及时更正。审计可以采用以下方法检查系统应用控制。
(1)抽样数据法。审计人员从被审单位抽样若干经济业务数据,检查信息系统处理结果是否正确,以确定系统控制是否有效的执行。如在被征地人员养老保障审计中,审计人员通过对不同类型参保人员个人账户计息情况抽样审核,发现部分个人账户计息不正确。
关键词:内部控制;会计;信息
建立企业内部控制制度的目的就在于发现、防止和纠正错误与舞弊,治理会计信息失真的问题。为实现内部控制完美无缺,企业在制定内部控制制度时要权衡利弊,实现经济性和有效性的有机统一。
一、会计信息失真的原因
1.利益驱动
我国的会计法规制度建设起步较晚,会计准则制定的滞后,这就为会计造假提供契机。一些企业单位为了维护自身利益,违背会计核算的真实性,编制虚假的财务报告。领导授意、指使、强令、串通编制假账躲避税收,无视国家法律法规,会计信息缺乏真实性。一些企业部分会计人员害怕领导打击报复,使产生的会计信息尽可能对领导有利,从而达到“官出数字”、“数字出官”的目的。可见,利益驱动是会计信息失真的最根本原因。
2.监督体系不完善
会计人员监督方面,会计人员隶属于单位领导,无独立性。在内审监督方面,内部审计地位不高,决定了内部审计的独立性和权威性受损。在社会审计监督方面,因执业人员水平和职业素质良莠不齐,恶性竞争造成迁就客户,常常屈从于委托单位的要求,甚至出具虚假验证报告等。可见,监督体系不完善为会计信息造假提供可乘之机,是会计信息失真的重要原因。
3.处罚不力
我国对企业造假的处罚较轻,对违反法规的打击力度偏弱,这就从客观上纵容了会计造假。企业违反会计法规带来的经济利益与低廉机会成本形成强烈反差,诱惑一些人置国家的法律法规于不顾,以身试法,它是我国会计造假泛滥的一个重要原因。可见,失信成本低成了会计信息失真的动力。
4.社会风气不正
经济学认为:人行为的理性与否取决于所处的环境,好环境使人产生更多的理,不好的环境使人产生较多的非理。在现代企业制度下,企业所有者对经营者的评价主要依靠会计信息,为了维护自身的利益,经营者必然提供与己有利的会计信息。这就为造假提供可能。一些造假者实现了他们的利益,造假之风盛行。提供虚假会计信息与社会风气有一定关联。
5.会计人员的业务素质不高
会计信息是会计人员对会计要素进行确认与计量中生成的,期间有很多对客观经济活动的一些不确定性因素进行估计、判断与推理的内容。会计人员是会计活动的主体,不同素质的会计人员进行的估计、判断与推理往往导致不同的结果,有些会计人员缺乏应有的职业道德,自觉抵制各种不正之风的能力不强,甚至为讨好领导,公开为企业领导违反财经纪律出谋划策。有些会计人员,业务素质不高,即使遵循了会计准则,常发生操作性、原理性错误。不可避免地使计量出的会计数据脱离实际情况,使会计信息失真。
二、加强内部控制,治理信息失真
如果一个企业的内部控制制度不健全或者缺乏,是很容易发生会计舞弊的。会计信息失真在很大程度上来源于社会人员的违规操作。因此,正确、及时地传递社会信息,真正满足信息使用者的决策需要,有效控制会计信息失真,既要放在会计人员的控制上,还要加强控制环境的建设。
1.建立健全会计职业道德教育体系
当企业利益与国家利益发生冲突时,作为员工的会计人员在单位领导的权力压制下,为了自身利益不得不维护本单位利益,从而提供虚假会计信息。当国家和社会公众利益与企业利益发生冲突时,会计人员必须将国家和公众利益作为会计职业道德的最高准则,坚持原则,诚信为本,不做假账,在社会上树立会计人员威严和神圣的形象。对会计人员职业道德情况建立检查、考核、评价和奖罚制度,建立道德行为档案,供全社会监督,使会计人员在履行职责中遵纪守法,廉洁奉公,不论遇到何种情况,都不能丧失原则,不图谋私利,并能自觉抵制会计造假行为的发生,促进会计职业道德水平和会计工作质量的不断提高。
2.加强会计人员的教育和培训
会计人员只有具备扎实的专业知识,才能发挥出较高的业务水平,才能从源头上保证会计信息的真实性。加强会计专业知识培训,抓好在职会计人员的后续教育,它是帮助会计人员更新会计知识,提高其专业技能的重要途径。只有熟悉会计处理程序和核算办法,精通会计法规和会计制度,才能准确判断会计事项,恰当进行会计处理。另外,为适应建立现代企业制度和与国际接轨的需要,还必须加强计算机及其他相关学科知识的培训,使财会工作由核算型向管理型、传统型向现代型、单一型向全面型转变。
3.建立健全企业内部控制制度
内部管理制度包括组织结构控制、授权批准控制、重大经济事项决策制度、人员素质控制等。内部控制是一种有效的控制机制,是对会计工作所形成的约束机制。若想从过程中进行严格控制,杜绝会计造假,就必须建立健全确保会计信息真实、完整的内部会计控制制度,形成会计信息生成过程中自我约束、相互牵制的防范性措施。同时建立健全内部管理控制制度,形成会计信息生成的控制环境。
三、结束语
内部控制是企业管理现代化的产物,是管理当局为实现经营目标而设计的自律系统。面对日趋激烈的市场竞争,保证会计信息的真实性是维持市场经济秩序、维护会计主体各方的合法权益、保证国民经济快速、健康发展的重要环节。企业要生存和发展,就必须强化企业的内部控制制度建设。确保会计信息的真实性、有效性与合法性,构建与社会主义市场经济相适应的会计管理与运行机制体制。解决会计信息失真问题,提高会计信息质量,是一项任重道远的工作,不可能一蹴而就,需要会计界人士和全社会的共同努力。
参考文献:
[1]原文涛:会计信息失真及其对会计行业的影响[J].人口与经济, 2011,(S1).
