在上市公司年报监管暨内控工作会议
的培训讲义
财政部注册会计师处处长 王宏
2011年12月8日
我自己分管了10年的内控工作,利用这个机会向同志们报告一下自己一点点的初步体会。我在很多场合都讲,内控不是一个新鲜话题,更不是个新鲜事物。中国在几千年的历史长河当中,早就讲内控了。老外早就讲,中国西周时期的预算和内控是无与伦比的。我在很多场合也举一个小例子,东北的军阀张作霖文化水平不高,但是同样不排除他是一个内控高手。比如说张作霖签发银票很简单,别人给他送来一张银票,他取出自己的毛笔点一点朱砂,在银票上一杵一戳,即完成银票的签发流程。别人说大帅的做法这么简单啊,于是偷偷地想方设法搞了一张银票,拿出自己的毛笔照猫画虎,在朱砂里点一点,往银票上一戳,就想去蒙事,去支取银子,结果到了账房那儿不仅不给他银子,还派人把他拘押了起来。后来大家才发现大帅这么一个看似简单的签发动作实际上有很深的玄机,秘诀就在他这支毛笔不是普通毛笔,他偷偷地在毛笔里加了一根针,用毛笔往银票上一戳,银票上就有一小孔,账房跟他有多年的默契,每次拿到银票举起来对着光看一看,有没有这个小孔,有小孔说明用今天的行话来说是经过授权审批的,没有就是假冒伪劣的。我们说,为什么近十年来内控得到了这么高度的重视,这么多的部门:财政部、证监会、审计署、银监会、保监会、国资委来推动这个事,包括上市部、会计部的领导和我们一直在一个战壕里做这个事。应该说,大道理我不想讲,有关法律法规都把内控实施写进了条文里了,监管要求也不用说,财政部、证监会都有监管要求,两个交易所也有各自的监管要求。审计署从内控评价角度发了内控评价准则,银监会发了商业银行内控指引、内控评价指引,保监会发布了保险企业内控基本准则,中注协前些年也对当时那个阶段内控披露审阅问题发布了指引。所以说,法律要求、监管要求等等,大道理说为了会计信息质量,为了经济秩序,为了强化管理,我都不说了,我只说一个小道理,说一千道一万,强化上市公司内控,是企业自身的需求,防范风险,提高经营管理水平的内在需求。为什么说是内在需求,我给同志们报几个数,大家可能有一点直观的概念。有学者研究以企业的生命周期为例说明为什么要搞内控,学者研究得出世界五百强的平均寿命是44周岁,一般跨国公司的平均寿命是14周岁,我们中国企业的平均寿命是8.9岁,其中中国民营企业的平均寿命2.9岁,所以说我在和上市公司董事长、总经理包括50多个央企做过交流,我们说看看这些数据,特别对上市公司而言,讲得浅显一点,企业、上市公司要活下去,而且能够活得更好,必须抓内控,特别是在后金融危机时期,经营管理的外部环境、内部环境各种不确定性、市场不确定性、经济文化的不确定性,应当说有各种各样的风险,如何应对这些风险,我想这是强化内控的内在微观基础。对这部分我不展开讲,怎么说意义都不过分。
第二个汇报,企业内控规范体系究竟有哪些特点和创新。大家都知道2008年五部委联合发了基本规范,2010年又发布了3个配套指引,分为应用指引、评价指引和审计指引。应用指引主要结合企业经营管理事项比如说资金管理、采购管理、销售管理、投融资管理、业务外包管理、信息系统管理、人力资源管理等等,发布了若干应用指引,评价指引主要是给上市公司进行内控的自我评价,一个指导性的原则准则,审计指引主要是给会计师事务所如何进行内控审计,发布了一套准绳、指引。那么,这一套体系究竟有哪些变化,我自己把它总结了6个更加:
第一,更加注重全面风险控制。一是突破了原来会计控制的范畴。从2000年开始,根据第二次修订的会计法,财政部发布了一系列会计控制规范,应当说在实践中取得了积极的成效。但是也暴露出问题。一说是会计控制、财务控制,大家就觉得是总会计师、财务总监、财会部门的事情,因此得不到应有的重视,推动力度不够。所以实践中财会部门反映,这一套规范发布后不是说给我增加了舞台、地位,而是说增加了很多框框,很难搞下去,举步维艰。同志们可以看到,这次内控规范体系大大拓展了内控的范畴,大大拓展了财务控制或者会计控制,更多地转向全面风险控制,更多地与企业经营管理融合在一起。再比如说,也突破了以前内控就是流程控制的比较狭隘的观点。无论是中国颁布的内控规范和配套指引,还是美国的COSO,一系列当今最权威的内控框架都已经把内控拓展为五要素、甚至八要素的范畴,也就是说流程控制仅仅是其中一个要素——控制活动的组成部分,在这之外我们有内部环境、环境因素,有风险评估,有信息与沟通,有监控等等,若干并列的要素。如果我们把内控仅仅作为一个流程控制,那就完了。流程控制是很重要的基础,但不是全部,否则最后就是庸俗哲学,搞几大板,图画得密密麻麻,实践中一点用也没有。所以说,第一个,更加注重全面风险控制,不仅仅会计控制、财务控制,更不仅仅是流程控制。
第二,更加注重过程控制。这次发布的内控规范,过程观是其中的一个非常重要的理论基础,强调内部控制是一套过程,是一个过程。以前说内控是办法、是制度、是规章,是结果,有了根本性的变化。强调内控是个过程,实际上为我们提供了一个动态的理念,一个不断的提升、改善的理念。我经常举这么一个例子,拿出三五家上市公司的报表来看,可能这些公司的报表数据非常漂亮,我们来审查他们的报表,看上去可能数据都差不多,但是这些公司在资产质量、经营状况、盈利能力、核心竞争力、发展前景、管理水平等方面就真的一样,好比我们去餐馆吃饭,偶尔去一下四星级酒店,也经常去大排档,同样一盘菜可能都是热气腾腾,都是色香味俱全,好比这几家上市公司报表,看上去都差不多,但实际上一样吗?我们说可能存在很大差距,如海鲜的原料,加工的厨师,加工的卫生条件,都不一样。所以说,以前我们只看到这几张报表,只看到端上桌子来的这几盘菜,至于这些菜是谁炒的,用什么原料,在什么样的卫生条件下炒的,投资者、公众、监管部门可能并不完全清楚。通过实施内控我们两大制度安排,一是自我评价,二是外部审计,使大家不仅能看到结果,看到端上桌子的菜,而且可以看到结果是怎样生成,谁来生成,在什么样的保障机制下生成,所以说给我们提供一个基于过程控制的内控的一个动态控制的衡器、一个理念。
第三,更加注重企业层面控制。内控从大的方面讲两个层面:一个企业层面,一个业务层面,或者流程层面。企业层面包括内部环境,风险评估,包括信息与沟通,包括监控,等等,这些要素更加注重。内部环境,包括权责分配,高管经营理念、管理风格,人力资源安排,审计制度安排,等等。我毫不讳言,我对这套体系的建成,感觉到非常好。但是,这套体系能不能取得成功,有不有实际效果,我并不过分乐观。如果没有其他要素,没有企业层面要素的配合支持,如果不重视,很可能变成形式主义。特别是环境要素,特别是高管人员、董监高在内控当中作用的发挥,如果不在这方面有一个根本性的改变,包括我们的治理结构,很难。所以说,内控评价、审计一定要涉及这方面的内容。如果我们还局限在以前,从审计的角度,单纯讲财务报告内控,完了。当然,作为第一步,起步阶段,从审计的角度讲,财务报告内控是可以理解的,可以这么去试,但是从真正的企业管控的角度讲,财务报告内控绝对是死胡同,最后又会变成会计控制、财务控制,又会变成总会计师的单打独斗、孤军奋战,没用。
第四,更加注重缺陷的评价与披露。这次内控两大制度安排:自我评价和外部审计,重中之重是去查找、发现、认定、改进内控缺陷,包括重大缺陷、重要缺陷、一般缺陷。老外尤其是美国把重大缺陷又叫实质性漏洞。这个方面的改进核心是促进企业的执行力问题,也是内控监控要素中特别强调的问题。我说中国的企业是否缺内控、缺管理啊,不缺,就像老外、前两年世界银行评估中国的会计准则一样,有的老外提出一个观点,说中国相当一部分企业没有建账,没有账。我为他们感到一点点悲哀。我心里想,不是他们没有建账,而是不给你看账,还有企业存在多少套账的问题,不存在没有账的问题。同样的观点,我们的内控,不是我们没有内控,没有规章,没有制度,而是多年来我们的规章制度是空纸、是废纸。我和工农中建联系比较多,工农中建平均的管理制度有1500-2000项,不可谓不多,但是在一定程度上金融领域是违法违规、内控失效的重灾区。美国也一样,美国曾搞过十大行业内控水平调研,就整体水平而言,金融行业还是不错的,但是就研究的几家个体而言,几家金融企业排在所有抽样企业倒数第二位。中国的内控也是从金融领域起步,最初的部门规章是《关于加强金融机构内控的若干规定》,但这么多年过去了,我们的很多问题仍然没有得到有效解决,所以说,执行力问题永远是个大问题。我们讲内控缺陷从缺陷形成原因来讲可分为设计缺陷、运行缺陷,也就是执行缺陷。怎么样评价我们的缺陷、指出来缺陷的严重程度,然后有针对性的去改进,这也是内控规范体系的一个重大变化,重大的制度安排。
第五,更加注重规范制度的统一协调。既包括与国际的协调,也包括几个监管部门的协调,甚至也包括两个交易所的协调。应当以内控规范与配套指引发布为契机,大家都统一到这套规范体系上来。这套体系尽管是五部委发的,但是经过国务院批准同意之后发的。严格意义上讲,具有行政法规的性质。发布之前专门给国务院作了报告,国务院作了批示,然后五部委一起发的,应当成为大家实施内控的统一的基本准则。
第六,更加注重强制性审计。全球范围内的内控模式有三大模式,一是美国模式,基础是财务报告内控,说白了就是保证财务报告的真实、可靠为基础、为核心,要求管理者既有强制性的自我评价,又有强制性的外部审计。二是欧盟模式,制度基础是全面风险控制,不仅仅局限于财务报告,要求强制性自我评价、董事会披露,但不要求强制性的审计。三是中国模式,这是最严格的,制度基础是欧盟模式,但我们的制度安排和美国是一样的,既要求强制性的自我评价,又要求强制性的外部审计,注册会计师审计。这一制度安排的结果是在上市公司年报中必须增加两份报告:一是上市公司自身对内控有效性的自我评价报告,二是注册会计师对内控有效性的审计报告。这两个报告与财务报告是分开的。这两个报告的影响力可能远远大于财务报告。因为现阶段资本市场还处在机构投资者不强、散户投资者为主的时期,散户投资者只要不是文盲,基本能够读懂内控语言。
第三大问题,如何判断上市公司是在真正实施内控。即从监管部门角度看,如何判断上市公司是在真干还是假干。应至少抓住这几点:一是领导重视。一个感受,怎样体现领导重视,送大家两句话:大庆油田的标语——“单位好不好,关键看领导;班子行不行,首先看前两名”。这两句话对搞内控至关重要。主要领导董事长、总经理在内控建设当中是不是足够的重视、足够的支持,是不是亲自抓,很重要的判断。如其只是挂个名,最后抓的只是总会计师、财务总监的时候,悬。董事会、经理办公会有多少时候在讨论内控、抓管理,定了多少办法。二是舍得资源投入。在机构设置、人员配备、培训教育、制度建设、流程梳理等方面究竟做了哪些工作。中石油专门设了内控部,中石化在财务部设了内控处,深万科在每个机构设了内控专员,等等,是不是有一套人马,不管是独立的还是合二为一的,合署办公的机构,有没有在经费上、工作上、教育培训上真正下功夫,投入了多少资源,这是一定要衡量。因为,他是管理语言。英语是通用的国际语言,会计是通用的商业语言,内控是通用的管理语言。这是我们管理的核心、基础,有没有投入资源去干,如果光是开开会,讲两句话,没用。三是方案设计究竟怎样。不能照搬照抄十八项配套指引。企业千差万别,监管部门不可能穷其所尽,不可能包罗万象,抽取了各行各业可能相对的共同点,共性的业务,作了一些要求、规范和指导,但是基本的要求、规范指引都反复强调各个企业要结合实际情况去抓落实,否则完全是自欺欺人。必须结合自己的特点、自己的高风险领域、自己的重要业务,按照基本规范的原则、理念、基本要求去完善。如果是机械性、书面性的庸俗化,没有任何作用。我和注册会计师讲这个观点,对企业不要轻信,要了解企业实际情况,如对它的高风险领域、核心业务都不清楚,看他的几本东西,完全没有用。必须结合企业经营特点、核心业务、关键环节、高风险领域去判断,否则都是形式主义,都是蒙人的。四是内审定位。公司究竟怎样确立其内审,很重要。企业重大缺陷的判定基项或标准也好,三大方面,其中一大方面就来自于内审。它的内部审计究竟做得怎样,独立性如何,审计队伍的专业素养如何,工作开展如何。应当说这些年我们的内审整体上有了很大提高,但是不尽如人意。有的企业财务和审计还在一起,没有分开,独立性不行。董事会审计委员会作用发挥究竟如何,有学者研究得出两个三分之二的结论:一是三分之二的上市公司审计委员会在形式上都是不错的,像模像样;二是三分之二的审计委员会无效或基本无效。五是自我评价。企业在发布自我评价报告过程中包括发布报告之后,我们董事会对评价工作的参与、监督程度,董事会是不是亲自在抓,这是基本规范的要求。董事会对建立健全和有效实施内控负责。换句话说,内控的评价主体、责任主体是董事会,可不是总经理。董事会对内控评价报告的真实性、有效性负责。因此,董事会是不是真正在抓落实。其次,董事会批准日的评价和日常评价是不是有机结合,是不是我到年底找几个人突击一把,下基层晃一圈,弄个评价报告,与日常评价是不是相互支撑、呼应的,是一年就这一刷子,还是日常就一直在持续不断地在做监督、在做评价,基于日常评价的总结、概括。看看评价工作底稿一目了然。再如,改进状况如何。我们提出对重大缺陷至少要改进三个月,对改进情况要评估。有无整改到位,直接关系到我们评价意见的出具。
第四个问题,如何判断审计师是真审还是假审。美国做内控审计,核心两个方面:一是内控团队都是些什么人,内控审计和财务报告审计怎么结合,先做内控审计,摸底摸个遍,财务报告审计团队再进场。内控审计一定有一个IT团队、信息技术团队作支撑,在这一点中国还远远达不到。几个团队的支持很重要。二是作审计的诀窍最核心的两点:第一项目经理的配备,一定要选一个熟悉企业经营情况、经营管理特点的项目经理。第二强调项目团队持续性培训。从美国模式借鉴,六点判断标准:一是独立性,是不是真正独立审计。内控审计与财务报告审计统筹考虑,没有问题,但是做内控审计一定要和做内控咨询、内控评价严格分开。自己设计的内控,自己评自己、自己审自己,能行吗?二是审计范围把握是否准确。按五部委最初定位,内控评价、内控审计最初的理念要求,都是全面风险控制。但是在实践当中,主要是证监会的同志有顾虑,顾虑内控审计两个方面有难度:第一上市公司完善全面风险控制有一个过程,如果一下搞全面风险控制,无论是成本、自身具体管理能力、实际情况,可能难以一步到位;第二审计师的特长更多的还是在财务控制领域,如果一下子全面风险控制审计,审计师的风险比较高,执业的压力比较大。最后两部委达成默契,从现在开始起步的内控评价一定要更加关注全面风险控制,但是审计在现阶段更多地强调以财务报告内控为基础的审计。这两个口径是不一样的,评价的口径范围更宽,审计的范围相对窄,但是审计指引也强调要对审计发现的非财务报告内控的缺陷也要进行披露。三是审计程序。从业务承接、审计计划、审计工作执行到缺陷评估、报告到归档的全过程,一定要有充分适当的审计证据,证明审计程序是到位的。四是缺陷认定。最终审计报告、审计评价里面最核心的是重大缺陷,但凡认定一项重大缺陷,审计报告、审计评价意见结论就是否定意见。要把握发现的缺陷是否属重大缺陷,缺陷的影响范围有多大。企业如果没有缺陷就不是企业,但是要防止重大缺陷的发生。五是审计意见的协调性。内控重大缺陷不一定会带来财务报告的否定意见,但是财务报告审计中发现有重大问题一定可推导出内控有重大缺陷。财务报告内控有问题,不一定影响财务报告失真,如发现财务报告有缺陷,最后改了,把数据调整过来了,公布的时候按调整后的数据来公布,不能出否定意见。但是,如果我们的报表进行了重述,进行了重大更正,甚至财务报表就是否定意见,那我们的财务报告内控一定有重大缺陷。我们一定要观察内控审计和财务报告审计意见的协调性。六是审计收费。现在上市公司的审计收费太低。美国搞内控审计第一年收费平均440万美元,目前逐渐在下降,大概是280万美元左右,内控审计成本基本上是财务报告审计的1.5倍左右,这是美国的情况。美国的大中型企业平均的审计费用大概是每年350万美元,中国上市公司少的审计费用在10万元左右,还有若干家公司没有披露审计费用。审计行业收费是一个重大的瓶颈问题。低收费、恶性竞争一定保证不了审计质量,包括内控审计质量。如果哪家上市公司审计收费包括内控审计费用只有10-20万元的水平,你把他作为重点监管对象,没错。中石油搞内控审计的成本每年的大数是1.2亿元,中石化每年的大数是4500万元,都是给的四大。这有崇洋媚外的因素,反过来也说明我们的审计质量有问题。过低的审计收费一定有问题,只能是蒙人的。
本文来源:https://www.2haoxitong.net/k/doc/3c8789a7710abb68a98271fe910ef12d2af9a9b0.html
文档为doc格式