时间:2023-03-02 15:08:25
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇风险自评报告范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
杨文斌认为,一直以来,防范和化解金融风险都是各国金融监管机关近几年来的工作重点,实施严格的风险控制制度,有利于提高保险行业的稳健性,促进金融市场的公平竞争,保护被保险人利益,进一步为保险业的做大做强奠定基础。制定并《指引》,有利于进一步提高国内保险资金运用的专业化管理水平,保证保险资金运用能够按照安全和健全的方式运作,强化保险资金运用的稳健性;有利于加强从业人员的风险意识,促进保险公司建立强有力的风险控制机制和激励约束机制;同时为进一步拓宽保险资金投资渠道做好充分准备。
作为平安保险集团的首席投资执行官,杨文斌指出,长期以来,中国平安一直高度重视保险资金运用的专业化管理,始终坚持“规范经营、严格管理、稳健发展”的经营方针,实施保险资金运作“安全性、流动性、效益性”的经营原则,贯彻“对客户负责、对员工负责、对股东负责、对社会负责”的经营理念,不断完善保险资金运用管理模式,积极引进全球先进的投资管理手段和国际一流的保险投资人才,构建全方位的风险管控体系,实现了资产规模和效益的同步增长,确保了保险资金长期稳定的保值、增值,连续几年取得了较为理想的投资业绩,在同业中始终名列前茅。
杨文斌介绍说,中国平安自1999年正式成立资产营运中心将保险资金进行集中管理和专业化运作以来,一直致力于建立一套既具有国际领先水平又能满足平安未来发展的、成熟的风险管理体系。目前,中国平安的风险管理体系主要包括三个部分:投资决策机制、风险管理系统和内部管理制度。中国平安的投资管理共分三个层次,第一个层次为集团董事会,第二个层次为集团投资管理委员会、集团风险管理委员会,第三个层次为集团资产营运中心,同时在资产营运中心内设有专门的部门和岗位从事风险管理工作。这种投资管理组织模式的设立一方面有利于简化投资管理流程,保证投资策略执行的一贯性、完整性、及时性和信息传输的充分性、即时性;另一方面则有利于消除系统性风险,使内部监督和反馈机制可以有效运行。
主题:有效防范 明确责任
内容:
根据信息传播原理,信息的传播过程由四个要素构成,即传播者、传播内容、传播媒介、受传者。缺少其中的任何一个都无法完成传播活动。内控自评报告的传播也存在这四个要素。
(一)传播者 根据财政部等五部委于2010年的《企业内部控制评价指引》(以下简称《评价指引》),内部控制评价是指企业董事会或类似权利机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。因此,内控自评报告应该由企业董事会或类似权利机构做出。
(二)传播内容 《评价指引》第二十二条规定了内部控制评价报告至少应当披露的内容,包括董事会对内部控制报告真实性的声明等八个项目。同时《评价指引》第二十一条规定了报告应当分内部环境、风险评估、控制活动、信息与沟通和内部监督等要素进行设计。因此,内部控制评价报告应包括上述所有内容。
(三)传播媒介 证监会指定的上市公司信息披露报纸有《证券时报》、《中国证券报》、《上海证券报》等,指定信息披露网站有巨潮资讯网等。上市公司都能按照规定选择适当的传播媒介披露内控自我评价报告。
(四)受传者 一般而言,上市公司对外披露的信息是公开的,内控自评报告也不例外。所以,内控自评报告的受传者为社会公众。另一方面,传播媒介决定了公众可以以低成本获得公司对外披露的内控自评报告,这使所有需要公司内控自评报告的人都能成为受传者。
通过上述对内控自评报告传播的分析,可以看出内控信息是否顺利地从传播者传达到受传者的关键要素是传播者和传播内容。是否由适当的传播者制作内控自评报告关系到其可信度,由公司管理层做出的内控自评报告就如同球员兼裁判给出的得分一样不能令人信服。而传播内容则会影响内控自评报告传递信息的可利用度,泛泛而谈、没有任何本公司特有内容的报告对于投资者和监管机构而言都没有太多价值。
二、内部控制自我评价报告现状分析
制造业是上市公司中数量最多、最有代表性的行业,笔者选择我国A股制造业进行分析并从巨潮资讯网下载内控自评报告和其他相关信息。在2012年1月1日之前上市的1430家公司中,有1112家对外披露了内部控制自我评价报告,282家未披露,另外36家是已经退市的公司。从1430家公司中随机抽取200家,有158家对外披露了内控自评报告,35家未披露(全部来自沪市主板,其中32家单独披露了《内部控制规范实施工作方案》说明公司的内部控制还在建设中,1家公司在年报中披露了其内控仍在建设中,2家未查到未披露内控自评报告的原因),7家已退市。针对上述对外披露了内控自评报告的158家公司,笔者首先分析内控自评报告的披露者和内容,其中内容分为《评价指引》第二十二条规定的八个项目和内部控制五要素两方面;然后将样本按照上市板块进行分类,分为深市主板、中小板、创业板和沪市主板四组,进行横向比较分析。
(一)内控自评报告的披露者 内控自评报告的署名即是报告的披露者,需要对报告的真实性承担责任。通过对158份自评报告的署名进行统计(见表1),可知,审计部由于只是审计委员会下属的一个部门,级别较低,不能代表整个董事会对内控自我评价报告的认可;而署名为公司名称则没有指明由公司哪个机构出具内控自我评价报告;报告也不可能由董事长一个人负责。因此,署名为公司董事会、董事长签名和公司董事会以及公司董事会审计委员会这三类署名符合《评价指引》的要求,占73.42%;而署名为审计部、董事长签名和公司名称、公司名称以及无署名这四类是不符合要求的,占26.58%。由此可见,并不是所有上市公司都已明确由公司内哪个机构负责内部控制的评价工作并出具内控自我评价报告,而这对于报告的可信度是至关重要的。
(二)《评价指引》第二十二条规定的八个项目 《评价指引》第二十二条规定的内控自评报告中至少应当披露的八个项目分别为:董事会对内部控制报告真实性的声明;内部控制评价工作的总体情况;内部控制评价的依据;内部控制评价的范围;内部控制评价的程序和方法;内部控制缺陷及其认定情况;内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;内部控制有效性的结论。通过对158家上市公司内控自评报告的内容进行统计,董事会声明、内部控制评价的依据、范围、程序和方法以及有效性的结论比较明确,有披露的公司都会以单独列示的方式说明;而内部控制评价工作的总体情况、内部控制缺陷及其认定情况和整改情况则并非有所披露的公司都是单独列示的。在统计过程中,对有所提及后三项的都算作有披露,而不是仅针对单独列示才算披露。统计结果如表2所示。从表2可以看出,在内控自评报告中,多数公司都披露了评价工作总体情况和内部控制有效性的结论;而评价的依据、范围、程序和方法则较少有公司披露。因此,作为公司的外部信息需求者,要想仅凭内控自评报告全面地了解公司内部控制评价工作如何开展是有难度的。另一方面,更加细化的数据同样值得关注。在上述87家提及内部控制缺陷及其认定情况的公司中,仅有40家说明了具体的内控缺陷;107家提及内部控制缺陷的整改情况及重大缺陷拟采取的整改措施的公司中,仅36家说明了当年的整改情况,还有94家写的是未来拟采取的整改措施。这说明愿意公开披露自身内控缺陷和为完善内控而采取的措施的公司仍是少数。
(三)内部控制五要素 内部控制五要素能全面地概括企业内部控制制度的设计情况和执行情况,是内控自我评价具体化的对象。笔者对五要素的披露进行统计,统计的标准也是有所提及即算作进行了披露,而不是是否单独列示五要素的情况。统计结果如表3所示。
从表3可以看出,超过60%的公司对内部控制五要素都有所提及。但相对而言,提及控制活动的公司较多,达到了91.14%,而提及风险评估和信息与沟通的公司较少。公司对于不同要素的理解程度和重视程度是不一样的。大部分公司会重点说明控制活动。同时,控制活动的内容较为统一,通常包括关联交易、对外担保、重大投资、信息披露等重大事项的内部控制和不相容职务分离、授权审批、会计系统、资产接触与记录使用、预算控制等日常行为的内部控制。对于控制环境,不同的公司披露的详细程度不同。超过90%的公司提及了治理结构与内控制度,同时有89.87%的公司提到了内部审计部。但是能清楚地说明内控工作在不同的组织机构之间如何分工的较少:仅有59.49%的公司提及了内审部的独立性,说明内审部直接对董事会负责。能详细说明发展战略、人力资源、社会责任和企业文化的则更少,约为42.41%。然而,风险评估、信息与沟通和监督三个要素往往只是点到为止,不够具体和详细。这三个要素的内容也较为散乱。在风险评估中,既有公司说明如何进行风险评估,如采用定期评估还是不定期评估,由哪个机构执行风险评估等,也有公司直接在此部分列出了公司面临的风险,如产品风险、市场风险等。信息与沟通和监督两个要素也存在类似现象。散乱的内容降低了不同公司的内控自评报告之间的可比性,降低了报告的利用价值。
(四)按上市板块进行分类的横向比较 将158家公司分为深市主板、中小板、创业板和沪市主板四组进行上述三项统计,结果如表4、表5、表6所示。
从总体上看,表4、表5和表6并没有反映出在内控自评报告中披露的内容因上市板块的不同有明显区别:从《评价指引》第二十二条规定的八个项目的披露上看,深市主板和沪市主板略好于中小板和创业板;但从内部控制五要素的披露上看,中小板和创业板又略好于深市主板和沪市主板。具体而言,分上市板块进行分析可发现以下几个问题:(1)沪市主板的公司披露内控自评报告的自愿性较差。被随机抽样抽中但没有披露内控自评报告的35家上市公司全部来自沪市主板,这能看出沪市主板披露报告的自愿性较差。而统计数据显示沪市主板中的公司在披露内控自评报告时多会写明董事会对内部控制报告真实性的声明。这可以作为解释其自愿性较差的一个原因,即沪市主板公司的董事会更深刻地认识到披露了报告就应该为其真实性作保证,为了自身承担更少的责任,那么在没有强制规定需要披露之时还是不披露为好。同时,在沪市主板公司的报告署名上,符合规定的比例也较另三个板块低,这也可能是上市公司董事会为减轻自身责任而采取的手段之一。(2)中小板和创业板的公司在内控评价工作不合规范的可能性较主板更大。较少披露内控评价工作的依据、范围、程序和方法是普遍存在的问题。但从表5可以看出,在中小板和创业板中披露这三个项目的比例明显低于主板。因此,外部信息需求者无从知晓中小板和创业板中的公司如何评价内部控制的可能性更大,更无法保证公司的内控评价全面、合理、有序地开展。(3)深市主板的公司对除控制活动以外的四个要素重视程度不够。从表6可以看出,深市主板对内部控制活动披露的比例高于90%,但对于其他四个要素的披露均低于50%,差距较大。但这种情况没有出现在其他三个板块中:披露控制活动的比例最高,但与其他要素的差距不是很大;没有任何一个要素的披露比例低于50%。通过横向比较可以看出深市主板公司对控制环境、风险评估、信息与沟通和内部监督四个要素的披露不足,反映出在实际内部控制评价工作中对四个要素的重视程度不够。
三、内部控制自我评价报告披露建议
针对我国上市公司内部控制自我评价报告的披露现状,可从以下几个方面加以改进:
(一)重视内控自评报告披露 无论是内控自评报告的披露自愿性较差还是报告不符合规范的要求,反映出的根本问题是上市公司还没有认识到内部控制的重要性和内部控制自我评价的重要性。我国内部控制在企业中的发展多是在强制性规范的作用下形成的,而不是企业自发形成的。虽然目前关于内部控制的文献很多,但在实践中,内部控制制度设计合理和执行有效而使公司有良好发展的案例和反面案例并没有深入人心。部分公司对待内控自我评价报告的态度消极,将其看作是不得不提交的报告而不是落实内控自我评价之后形成的结果。只有通过案例教育等手段,让公司真真切切地体会到内控的重要性,才能将公司对待内控自我评价的态度由消极转为积极,让自评报告从强制性披露转为监管下的自愿性披露。内控自评报告是一份反映公司内部控制制度设计和执行情况的报告。如果公司对内部控制知识有深刻的理解,那么无论是自评报告的署名还是是否应该披露某些内容等问题都能迎刃而解。但不同公司内控自评报告的质量参差不齐,可见部分公司并没有掌握内控知识并认真执行相关规范,以至于撰写报告时无话可说或是只能“借鉴”其他公司的报告。
(二)加强政府监管 政府除了制定相关规范外,还要鼓励公司详细披露自身的内控及其评价情况:对内控及其评价工作做得到位的公司予以奖励,同时对应付了事的公司进行处罚。然而在现有的规定中,仍存在不合理之处:《深圳证券交易所上市公司信息披露工作考核办法(2011年修订)》第十八条规定:公司披露的年度内部控制自我评价报告显示最近一个会计年度内部控制存在重大缺陷的,其信息披露工作考核结果评为C。笔者认为作为监管机构的深交所不应把内控自评报告中是否披露重大缺陷作为考核标准。这样的规定只会让公司消极对待发现的重大缺陷,而不是披露它并完善自身内部控制,同时可能导致公司为了获得较好的信息披露工作考核评级而隐瞒已发现的内控重大缺陷。深交所应该将信息披露是否符合公司实际情况作为考核标准,如已发现重大缺陷却将其描述为一般缺陷的公司考评结果为C。
(三)规范内控自评报告内容 目前,上市公司较少有能将《评价指引》第二十二条规定的八个项目和第二十一条规定的五要素同时清楚地披露在一份报告中的,更不用说在不同公司之间进行对比了。因此,统一内控自评报告的内容框架意义重大。笔者认为,《评价指引》第二十二条是针对内部控制自我评价工作的;而第二十一条是针对内部控制的基本情况的,是内控自评工作的对象,可以单独作为一个项目融入到自评报告中。因此,内控自评报告可以由以下九个部分组成:(1)董事会对内部控制报告真实性的声明:包括董事会对内控自评报告承担的责任等;(2)内部控制评价工作的总体情况:包括内控评价工作执行的时间、评价针对的期间、执行者、是否聘请中介机构等;(3)内部控制评价的依据:包括法律法规和企业内部规章制度;(4)内部控制评价的范围;(5)内部控制评价的程序和方法;(6)内部控制基本情况:包括内控环境、风险评估、控制活动、信息与沟通、内部监督五个要素。其中内控环境包括组织架构、发展战略、人力资源、社会责任和企业文化等;控制活动包括重大事项的控制和日常事项的控制。风险评估、信息与沟通和内部监督应说明公司如何保证面临的风险均被识别、内外部信息及时、准确地被传递到适当的人员和内控缺陷均及时被发现并采取适当的整改措施;(7)内部控制缺陷及其认定情况:包括公司内控缺陷认定标准和认定结果;(8)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施:包括在评价期间已采取的措施和未来准备采取的措施;(9)内部控制有效性的结论:包括董事会对内控有效性的认定;如未单独披露监事会和独立董事对内控有效性的意见,也应在此部分一同披露。
国际金融公司于2002年入股南京银行后,在激活并提高南京银行公司治理水平上发挥了重要的先导作用。当时,国际金融公司的股份为15%,南京银行也成为当时外资占比最高的国内银行。
国际金融公司提倡“好的公司应该有好的董事会”的理念,强化了南京银行的内控建设、风险建设和发展规划的建设,同时完善了内部管理机构。可以说,通过“引资引智”,南京银行领导层认识到了完善公司治理机制的重要性,并根据自身发展状况切实予以加强。
南京银行是启动IPO较早的城市商业银行,要想成功发行上市,最重要的一条是治理要规范。这一时期,南京银行董事会切实将完善公司治理建设列为工作的重中之重,公司治理水平有了质的突破。
此外,这段时期,南京银行还引进了战略投资者法国巴黎银行,发行了次级债券,可以说,南京银行的公司治理较好地体现了职责明确、分权制衡、规范运作、科学合理的公司治理要求。
2007年上市后,公司治理也开始由形备到神似的变化。
在建立激励约束机制上,按照财政部的要求和银监会的《商业银行稳健薪酬指引》,修订了《高级管理人员考评和薪酬激励管理办法》,增加了风险指标的考核和部分薪酬延期支付制度,使考核更加全面、科学、有效。在具体考核上,则实行民主测评、董事考评以及监事会综合评价相结合的方式,实现对高级管理人员履职的科学考评,较好地做到了个人业绩与公司可持续发展的有机统一。
提高公司治理水平在于细节
规范与完善内控程序。主要表现在有较为全面的制度和程序,而且不折不扣地执行。比如,在董事的提名上,董事会对董事人选的原则是用能人,而不是“花瓶”,这点在独立董事的提名程序中体现得特别明显。董事会提名及薪酬委员会有搜寻、初审独立董事人选的工作职责。该委员会按照任职条件的规定,严格对独立董事候选人进行形式和实质审核。形式上的审核主要是对提供资料的完整性和真实性进行审查;而实质审核非常重要,主要是通过多方渠道对其履职的能力和品行进行深入了解,力求能够体现“专业和专注”的履职要求,而且初审的原则是“不求名气,只求合适”,以真正提高南京银行的公司治理水平为目标。
注重董事会软环境建设。一般来说,董事会只关注议案的表决情况和决策的效率,而不太关心董事提出的各式各样与公司治理紧密相关的问题。但南京银行董事会认为,公司治理的不断提高就是在于细节,所以对董事无论是在各类会议中、实地调研中还是与经营层沟通中提出的好的建议和方法,都及时归总并强化落实,具体到相关责任人和完成时间,并定期在董事会上进行反馈,使董事感到自己的建议得到了尊重和重视。比如:针对今年上半年南京银行一位外籍董事提出的注重同业资产风险、表外资产中的理财产品风险的建议,董事会立即让经营层予以调查落实,经营层迅速展开专项管理工作,并及时向董事会风险管理委员会进行了详细的书面报告,并在下次董事会会议上向全体董事会成员做了通报。正是这些点点滴滴的良性循环,在潜移默化中提升了公司治理水平,也提高了董事履职的主动性和积极性。
创新风险管控举措。在风险管理上,南京银行先后制定并完善了七大风险管理政策和相适应的风险管理程序、流程。尤其是今年,南京银行认真执行“三办法一指引”,积极进行地方政府融资平台贷款的“解包还原”,严格房地产贷款风险管理,有效开展“内控和案防制度执行年”活动,提升了公司治理效果。同时,完善了风险条线的组织架构,设立了经营层内部控制和风险管理委员会,设立了风险管理部、授信审批部、资产保全部,理顺了风险作业机制;按照银监会的“六项机制”要求,建立了小企业金融部,并按照“两个不低于”强化了对小企业的经营和管理;建立了金融市场部、会计结算部和营运管理部,强化了市场风险和操作风险的管理。
在发展战略上,南京银行建立了三年发展规划,科学指导全行的经营方向和经营目标,并按照自身实际状况建立了发展规划年度回溯评价机制,提高了发展规划执行的合理性和可行性,保证了南京银行的可持续发展。
在资本管理方面,南京银行制定了《资本管理办法》、《资本充足率管理办法》和《三年资本规划》,强化了对资本的规模、风险和持续补充等方面的管理,逐步在资产负债配比、经济资本考核和小企业专营等方面加以运用,同时,通过对年度投资参股计划和分支机构发展计划进行资本量化分析,保证了对资本实行长效管理。
010年以来,随着我国企业内部控制理论框架的逐渐成熟,其实践环节也显得日趋重要。其中,作为利益相关者了解企业经营效率和效果的重要途径,包括企业自评报告和外部审计报告的内部控制报告的披露质量备受关注。作为上市公司的直接监管机构,上交所和深交所就此开展了大量工作。然而,尽管两所多次颁布文件规范上市公司的内部控制报告披露工作,但并未针对报告披露质量提出明确的量化标准。为此,近年来众多学者致力于从多种角度对影响内控报告披露质量的因素进行分析,并通过构建评价指标体系来评判报告质量。这些研究表明,市场管理者出于宏观监管的需要,企业基于实现长久立足于资本市场的内在要求,外部投资者为了获得财务真实可靠的报告信息,都追求高质量的内控报告信息披露。鉴于此,本文依据市场管理者制定的上市公司信息披露质量考核标准,借鉴有关学者的指标分析方法,从市场管理者的视角构建我国上市公司内部控制报告信息披露质量分析指标。
一、文献综述与质量分析指标建立
(一)文献综述
2004年推出的COSO报告为上市公司内部控制质量体系提供了一套标准化体系,但该体系主要采用定性方法而难以进行定量衡量,并不适用于我国现行的市场经济,因而国内学者对如何衡量内控报告信息披露质量进行了大量探讨。韩传模、刘彬(2012)认为学术界研究信息披露质量主要采用两类方法:一是直接采用权威机构的评分;二是学者根据自身搜集的数据给予的评分。戴文涛、李维安(2013)从一个“局外人”如政府监管机构或外部非营利性机构的角度对企业内部控制状况实施了全面、综合、定量化评价。宋洪琦、魏建(2011)指出影响上市公司信息披露质量的评价指标,既有定性指标,又有定量指标,只有将定性指标和定量指标有机的结合才能实现真正的综合测度。孟强、苏本知、赫红(2008)认为内部控制的评价方法应从内部检查、外部监督、注册会计师的评价三方面进行。另一些学者则引入信息传播学相关理念,形成内部控制信息披露质量评价的理论基础,构建评价的指标体系与方法,以此来衡量上市公司的内部控制信息披露质量,如刘玉、邓德强(2011)等。综上可以看出,学者们在内控报告信息披露质量的研究中对质量测度方法予以了重点关注。本文拟选取一个新的外部监督者视角,即从证券市场管理者的角度,参考现有相关文件,构建一套内控报告信息披露定性与定量的质量分析指标。
(二)基于证券市场管理者角度构建内控报告披露质量分析指标
为了保证上市公司内部控制信息披露质量,深交所和上交所颁布了一系列规定与考核措施。证券交易所作为证券市场最直接的管理者,辅助五部委组织和监督上市公司的市场交易行为,肩负着规范上市公司内部控制报告及提高内控报告信息披露质量的任务。
深交所2001年《深圳证券交易所上市公司信息披露工作考核办法》(以下简称《考核办法》),对上市公司信息披露实施考评。从信息披露的及时性、准确性、完整性、合法性四方面划分评价等级,同时考虑上市公司所受奖惩情况及与深交所的工作配合情况而综合形成最终考评结果,并将上市公司信息披露质量从高到低划分为A、B、C、D 四个等级。2013年4月深交所对该《考核办法》进行修订,增加了真实性和公平性两项指标,并详细指出不能评价为A的情形和必须评价为C和D的情形。此后,2013年10月上交所也正式《上海证券交易所上市公司信息披露工作评价办法(试行)》,重点关注上市公司信息披露的真实性、准确性、完整性、及时性和公平性,通过定量计分和定性评价将上市公司分为A、B、C、D四大监管类别,分别为信息披露优秀类、良好类、合格类及不合格类公司。从深交所对考核办法的修改及上交所试行的评价办法来看,两所均赋予了信息披露的真实性及准确性重要地位。
因此,本文结合上交所和深交所颁布的信息披露质量考核办法,选取其共同的五项评价指标进行内控报告披露质量评级。具体定义如下:(1)真实性。是否聘请外部审计机构对公司的内控自评报告信息披露进行鉴证及外部审计机构的声誉等级。本文将四大会计师事务所定义为第一等级,其他会计师事务所定义为第二等级,未聘请会计师事务所定义为第三等级。(2)准确性。内部控制缺陷及风险的衡量,即是否在自评报告中披露对内部缺陷的定性及定量的衡量和对公司各种风险的阐述与预防、应对措施。(3)完整性。是否按照内控自评报告书写规范要求出具至少应当披露的8大内容,即董事会对内部控制报告真实性的声明,内部控制评价工作的总体情况,内部控制评价的依据、范围、程序和方法,内部控制缺陷及其认定情况,内部控制缺陷的整改情况及重大缺陷拟采取的整改措施及内部控制有效性的结论。(4)及时性。《企业内部评价指引》(以下简称“指引”)第二十六条规定,“企业应当以12月31日作为年度内部控制评价报告的基准日,内部控制评价报告应于基准日后4个月内报出”。为对样本加以区分,本文以10日为一个间隔期对及时性做出划分。(5)公平性。《指引》就上市公司如何保证公平信息披露提出了几点原则性要求,如信息披露要平等对待所有投资者;发生未公开重大信息泄漏或股票交易异常时,应第一时间报告交易所并立即公告等,本文据此定义公平性。
从上交所和深交所颁布的信息披露考核办法中各评价指标的排序可以看出,真实性、准确性、完整性、及时性和公平性的重要性由高到低,由此本文为上述五个指标设定了等差权重,公差为5%。每个指标设定满分为20分,总计100分,并为细分项目设定了相应的分值。具体评价指标体系详见下页表1。评价测算分数公式为E=ΣW×Xi;评级标准为:85至100分评定为A级,70至85分评定为B级,55至70分评定为C级,55分以下评定为D级。
二、上市公司内控报告信息披露质量分析
(一)样本选取
本文以沪深两市主板以及深市部分中小板上市公司作为研究样本,基于研究设计的要求进行了适当比例的筛选,即制造业为总样本的1%,其他行业为总样本的10%,最终得到100个研究样本。其中沪市主板49家,包括制造业5家,其他行业44家;深市主板27家,包括制造业2家,其他行业25家;深市中小板24家,包括制造业6家,其他行业18家。
(二)总体披露质量
对100家样本公司的内控报告信息披露质量使用本文上述质量评价方法打分并评级,得到总体质量情况的分布,具体如下页表2所示。
从表2可以发现,2011年评价为C级的样本居多,而2012年评价为B级的样本居多。2011年上市公司内控报告信息披露质量等级向上累积频数分布为22、67、95、100;2012年的则为10、35、79、100。从总体来看,样本公司的内控报告信息披露质量有了明显的提升。其中,沪市主板高分变动最大,评价为A级的公司由2011年的4家变为2012年的16家,相应比例由8.1%变为32.7%;评价为B级的公司增加5家,占2012年总体的49.0%。深市主板评价为A级的公司增加4家,评价为B级的公司增加9家,深市中小板总体变动不大,略有改善。从年度数据的变化可见上交所和深交所对内控报告规范化的实施具有实际指导意义,证券市场管理者能引导上市公司在理解规范理论的基础上更加高效率地实施内部控制。
(三)对真实性和准确性指标的进一步分析
在此基础上本文进一步分析真实性和准确性两项加和权重为55%的指标,这是由于其对总体质量的评价结果具有较大影响,因此细化而深入的分析能为评价内控报告信息披露质量提供强有力的补充。
1.真实性指标。从证券市场管理者在《指引》中规定上市公司聘请外部审计机构或更换外部审计机构对企业进行审计以加强企业内控建设的行为可见,外部审计机构对上市公司内控报告信息的披露质量的鉴证作用与市场管理者对上市公司内部控制监管的目的相契合。外部审计机构对证券市场管理者评价内控自评报告信息披露质量有辅助作用。本文将内控审计报告披露质量划分为以下两等,若由“四大”出具则为优,若由一般会计师事务所出具则为良,具体如表3所示。
可以发现,样本公司未聘请会计师事务所的数量由2011年的51家减至2012年的33家,聘请“四大”的总数不变,说明新加入的“四大”之外的会计师事务所增加了18家。其中,深市主板“未聘请”比例由2011年的70.4%降至2013年的37.0%,沪市主板“未聘请”比例由2011年的20.4%降至2012年的4.1%,沪市主板总体状况明显优于深市主板,深市中小板“未聘请”比例较高且两年来几乎没有变化。从总体情况来看,上市公司聘请外部审计机构的数量仍有提高空间,证券市场管理者需加强对上市公司聘请会计师事务所进行内控自评报告鉴证监督的工作力度。
2.准确性指标。内控缺陷的准确认定作为内部控制有效性评价的核心,影响着内控自评报告信息披露的质量。近年来,越来越多的国内学者试图对企业内控缺陷认定做出系统研究,并建议在内控自评报告中披露内部控制缺陷定性和定量的认定与分析,与此同时,上市公司也逐渐开始加强此方面的工作。王惠芳(2011)认为内控缺陷的认定是内部控制评价和鉴定中最基础的问题。若上市公司能加强内控缺陷的认定、有效管理企业内部缺陷,并减少实质性漏洞或重大缺陷发生的可能性则对企业内部控制有良好效益,从而提高内控自评报告信息披露的质量。
笔者选取内控缺陷的相关控制作为内控自评报告信息披露质量分析的关键,并将其定义为制定了内控缺陷定性、定量的认定标准或采取了有效预防措施应对内部缺陷,同时增加是否设立包括内部审计部门在内的内控小组考核项,以对内控缺陷的相关控制展开补充,更细致地研究两年样本内控自评报告信息披露质量及内部控制情况,具体如下页表4所示。
由表4可知,样本内控缺陷的相关控制比例增幅较大,由2011年的41%增至2012年的77%,设立内控小组的上市公司增加了8家,比例由64%增至72%。在这两项考核中,2011年沪市主板的情况较之深市主板与中小板都显现劣势,2012年沪市主板的情况有较大改善,略逊色于深市主板,且明显优于几乎未有改善的深市中小板。这不仅说明证券市场管理者对上市公司内部控制的相关规范起了一定作用,更说明上市公司对其内部控制治理的自愿意识有所提高。证券市场管理者应继续鼓励上市公司使其提高对内控缺陷的管理与控制,使得市场整体内部控制水平稳步提升。
风险管理是企业提高核心竞争力的重要手段,而风险评估作为美国COSO委员会提出的内控五要素之一,更是内部控制质量衡量的决定性因素之一。这部分内容是否在内控自评报告中得以准确详尽披露对披露质量有重要的影响,因此证券市场管理者应将上市公司是否在内控自评报告中披露对公司各种风险的评估、预防及应对措施作为另一披露质量关键考核点。
笔者提取出较有代表性的另一个细化考核项风险控制,审查上市公司内控自评报告是否有风险评估与控制的相关披露,如对运营风险、财务风险、流动风险等风险的认定及预防应对措施。内控自评报告风险控制的披露情况具体如表5所示。统计样本显示,2012年上市公司在内控自评报告中披露风险控制的比例有所增加,其中上交所样本公司增加了4家;而深市中小板仅增加1家,主板未有变动;2011、2012两年在自评报告中披露“风险控制”的样本公司比例,深市中小板最高,主板次之,而沪市主板情况最不尽如人意。上市公司虽然对内控缺陷的披露意识有所提高,但是对风险控制的观念仍有待加强。
三、结论与建议
本文基于证券市场管理者的角度,以2011年及2012年沪市主板和深市主板及中小板上市公司为研究对象,通过构建内控报告信息披露质量评价指标体系对100家样本公司内控报告信息披露质量进行实证研究。研究表明,2012年内控报告信息披露质量高于2011年,且沪市的质量高于深市;沪市绝大部分上市公司两年来皆聘请外部审计机构对其自评报告进行了审计或鉴证,而深市2011年只有较少数公司做到了这一点,2012情况略有好转;外部审计机构多为国内事务所,“四大”常被聘请作为外部咨询机构协助上市公司开展内部控制。
基于此,笔者提出三点建议:(1)证券市场管理者应加强对上市公司内控报告信息披露质量的监管工作,同时制定更加细化的衡定指标以引导上市公司开展实践。上交所和深交所要肩负起有效考评内控报告信息披露质量的重任,必须建立起强制性信息披露制度及定性、定量考核标准,在加强外部监管的同时,要求所披露内容必须经注册会计师审计。(2)证券市场管理者及企业都应提高对内控缺陷认定及控制与风险评估及控制的关注度。对内控缺陷和风险管理实施适度的监督检查,是市场管理者评价内部控制有效性、企业避免内控流于形式并及时改进的必要持续措施。上市公司的内控缺陷和风险越少或越能被有效控制,则越能保证内部控制的有效性,从而提供高质量的内控报告。(3)证券市场管理者应督促企业聘请外部审计机构对内控自评报告进行审计或鉴证。聘请会计师事务所且所聘事务所信用等级越高,内控自评报告信息披露的质量也越高,会计师的审计工作有助于确保内控有效性,也可为市场管理者进行内控报告信息披露质量评级提供辅助依据。X
参考文献:
1.戴文涛,李维安.企业内部控制综合评价模型与沪市上市公司内部控制质量研究[J].管理评论,2013,(1).
2.方红星,孙,金韵韵.公司特征、外部审计与内部控制信息的资源披露――基于沪市上市公司2003-2005年年报的经验研究[J].会计研究,2009,(10).
3.葛建军.基于风险视角的企业内控缺陷浅探[J].国际商务财会,2012,(12).
一、企业风险管理框架介绍
1 企业风险管理的定义。2003年7月美国COSO(全美反舞弊性财务报告委员会发起组织)委员会的《企业风险管理框架》征求意见稿中对其定义“企业风险管理是4"由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。这是一个广义的风险管理定义,适用于各种类型的组织、行业和部门。
2 COSO企业风险管理框架的内容。对于许多企业来说,没有一个普遍认同的关于风险以及风险管理的定义,也缺乏一个概述风险管理运作程序的全面框架,这使得董事会成员和管理层之间进行风险交流变得异常困难。在这背景下,制定框架有着强烈的驱动力。为了顺应企业的呼声和要求,2003年7月美国COSO委员会颁布了企业风险管理框架的讨论稿。讨论稿描述了企业风险管理框架包括四类目标:战略目标、经营目标、报告目标、合规性目标。要素:内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
二、以风险导向的内部审计
内部审计是在一个组织内部建立的一种独立的评价活动,并作为对该组织的活动进行审查和评价的一种服务。内部审计的目的是协助该组织的管理成员有效地履行他们的职责。内部审计的发展趋势是有财务审计到财务审计与管理审计并重。
现在国内外的审计都推行风险导向审计。审计风险模式为:审计风险=重大错报风险×检查风险。在审计过程中,审计师需要实施审计程序,评估重大错报风险,并依据重大错报风险的评估水平确定并实施进一步的审计程序,以便把检查风险降低到一个可以接受的低水平。
站在企业立场的内部审计师更多的把风险导向审计中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险,所以内部审计领域的风险导向审计是以影响企业经营目标实现的经营风险为依据确定审计项目,以企业进行的所有降低风险的活动为测试重点,评价风险降低的充分性和有效性,并提出恰当的降低风险的建议的一种审计方法。
三、内部审计与企业风险管理的关系
内部审计即是企业风险管理(内部控制)的一个组成部分,又是企业风险管理(内部控制)的一种特殊形式。
企业风险管理体系包括要素,其中监控又分为持续监控与个别评价。持续监控的对象是除监控外的七大要素,持续监控的主体是各直接进行风险管理的业务部门。个别评价的对象是除监控外的七大要素和持续监控。个别评价的主题是内部审计部门和业务部门,并且应该以内部审计部门为主,因为业务部门主要负责持续监控,长时间从一个角度看问题容易产生偏差,由内部审计部门介入,能有效地纠正这种偏差。作为个别评价的内部审计是企业风险管理的一部分,评价除自身以外的企业风险管理体系的全部内容。
四、内部审计中企业风险管理框架的应用
在企业风险管理体系中,内部审计是对企业风险管理有效性的评价。本文试图建立一个风险管理评价体系,以方便地指导内部审计对风险管理体系的评价工作,加强全企业范围内对风险的识别与控制,完善风险管理体系。
1 评价的目的。内部审计对企业风险管理有效性评价的目的在于完善企业风险管理体系,更好地控制风险、增加价值。需要注意的是,评价本身不是目的,评价过程中内审人员与各部门的沟通以及评价后相应改进措施比评价本身更为重要。
2 评价的内容。内部审计人员对企业风险管理的评价可分为总体和业务两个层面进行,评价的内容就是企业风险管理框架中的八要素。
3 评价的方法。评价的方法有很多,有很多不同的评价方法和工具,包括一览表、问券以及流程图技术等。这里介绍2种模式。(1)风险管理自评。风险管理自评的方法就是要求审计人员与被审计部门管理人员组成一个小组,对本部门风险管理的恰当性和有效性进行评估,然后根据评估提出审计报告,由管理者实施。对于内部审计而言,风险管理自评可以让管理部门了解到对风险管理的责任,同时还可以提高审计的效率和效果,减少审计人员的工作量,节省审计时间。(2)风险管理矩阵法。风险管理矩阵法是审计人员根据企业经常目标、风险与控制之间的联系,为确保审计建议能针对重要的风险而建立的一张工作表。
该表包含了下列信息:明确企业的经营目标,审计人员对被审计事项的初步了解,根据初步了解的情况识别风险因素,衡量风险的重要程度,采取适当的控制措施,审计人员的评价和结论。
内部审计人员通常在测试的最后阶段来做这个矩阵,其优点是清楚地反映出对每一目标的测试和评价,有助于关注重要风险。
PCAOB的审计准则将“实质性漏洞”定义为:“如果一项或若干项缺陷有能致使年度或中期财务报表存在重大错报而不能有效预防或及时察觉的合理可能时,该缺陷就构成实质性漏洞(material weakness)”。
关于实质性漏洞的类型,本文借鉴Ge和McVay(2005)的研究思路并将上市银行漏洞划分为九大类型,为了便于读者理解实质性漏洞的概念及其具体表现形式,本文列举了每一类型实质性漏洞缺陷的表现形式(具体见表1)。
二 浦发银行内控实质性漏洞信息披露状况分析
(一)内控信息披露状况分析
由于2000-2010年资本市场对上市公司内控信息的披露规定经历了波段起伏的变化,故上市公司内控信息分布比较零散。本文采取手工统计的方式对浦发银行自上市以来10份年度报告中的“银行业务信息与数据”、“公司治理结构”、“股东大会情况简介”、“董事会报告”,“监事会报告”、“重要事项”、“报表附注”以及“附件”等部分披露的内控信息状况进行统计分析。
1 内控信息披露的分布状况
2006年6月5日《上海证监交易所上市公司内部控制指引》(简称《上交所指引》)的出台旨在引导上市公司定期披露内控信息以增强公司信息透明度以及提高内控信息披露的可靠性来增强公司抵御风险的能力,进而提升公司的价值。但考虑到时间上的仓促以及高额的执行成本,上交所于2006年12月29日了《关于做好上市公司2006年年度报告工作的通知》,强制要求上市公司在披露的年报中的“重要事项”部分披露内控信息。本文对以上8个部分内控披露状况。按照5级量表进行衡量,具体含义见表2。
浦发银行自上市以来的内控信息披露状况如表3所示。
从表3可以看出启浦发银行上市之初,披露的公司年报中对于银行业务信息与数据披露较为简单,主要是摘录近几年的关键会计数据以及财务指标、对境内外的审计差异予以解释说明,几乎没有涉及到内控方面的信息。从2001~2006年公布的年报可以看出,虽然2001年年报中新增了一项特别提示,可视为对内控信息的补充,但是很显然这一举措只是出于公司刚上市,迎合监管的需要而采取的补救措施,并非本意上建立完善内控机制,随着2006年6月5日《上交所指引》的与实施,公司对控的建立完善给予了充分的重视,表现在年报编排体例上发生了重大变化,将以往年报中披露的会计数据与业务数据部分分拆为主要会计数据指标与银行业务信息与数据两部分,第一部分实质上与以往年报披露的会计数据与业务数据相似,但第二部分则更偏向于对银行各类风险的大致介绍和管理情况,表述中多处提及内控字句,其中更有一段内容是对公司的内控制度的完整性、合理性与有效性的说明。“公司治理结构”从无到有,主要披露了公司治理结构,对内控信息的描述比较简单,格式相对固定;“董事会报告”比较详尽地披露了公司内控信息,从2000-2006年的年报中,我们发现这一部分涵盖了公司可能面临的各类风险以及应对措施、公司对不良贷款的分类以及管理情况等,但自2007年披露的年报开始,“董事会报告”部分对内控相关信息的描述显然减少了,更多介绍了新年度公司面临的挑战与机遇、新的经营目标以及为达到目标拟采取的主要措施。笔者认为公司此举凸显了董事会的职能,一方面,董事会对于内控体系的建立和完善负有不可推卸的责任,但另一方面,董事会更应该站在一个新的高度为公司发展制定战略计划,而对于风险的防范内控的建立等职能可以授权给其下属的审计委员会以及其他部门,“监事会报告”非常笼统地披露了公司的内控信息,说明监事会对于内控重要性认识不足,形式主义严重,“报表附注’简要披露了对金融资产的使用以及管理情况、各类风险应对措施等,公司的内控“三性”说明书以及内控自我评价报告详细说明了内控体系的建立与完善、公司下一年度内控有关工作计划,其中我们发现自2008年起年报披露的内控自评报告对于内控信息的披露更加规范,借鉴了《企业内控基本规范》规定的五要素来分项介绍,会计师事务所在2000年,2001年出具的“内控评价报告”中提及对公司内控关键领域审核,而在2007年,2008年,2009年的“内控审核报告”中,按照《内部会计控制规范一基本规范(试行)》的有关标准对公司管理层披露的自评报告进行了审核并发表了意见,“股东大会情况”与“重要事项”部分自银行上市以来从未披露与内控相关的信息。
2 内控信息披露的连续性
根据表3我们注意到公司并非每年都披露内控信息报告,2000年、2001年的年报中公司披露了内控“三性”说明书,而在2002―2006年报中虽然其他部分披露了与内控相关的信息,但是井未披露内控自评报告,从2007年的年报起公司又开始披露内控自评报告,内控信息的披露作为一项既定的制度安排,理应得到连续的执行,可是为什么在2002-2006年的年报中未披露类似的报告?证监会于2000年12月21日了《第7号编报规则》,其中第六条明确要求商业银行应对内控制度的完整性、合理性与有效性作出说明,并委托所聘请的会计师事务所对其内控制度进行评价,出具评价报告。浦发银行于1999年11月上市交易,可能是为了给监管机构和广大投资者留下良好的印象,公司在年报中主动披露了内控“三性”说明书及审核报告,公司在披露2001年的年报时正值证监会了关于内控信息披露的最新规定,基于避免遭受违规所带来的严厉处罚以及继续树立公司良好形象的考虑,公司继续选择披露内控“三性”说明书及审核报告。之后虽然证监会与银监会陆续出台丁关于内控信息披露的规定,但可能由于该项制度还不完善及对高执行成本的顾忌,浦发银行出于自利的动机停止了披露行为。2006年6月上交所颁布了《上市公司内控指引》,要求董事会对内控的建立和实施情况作出评价,并随年度报告一起披露内控自评报告及注册会计师的审核意见。但浦发银行公布的2006年年报中仍未披露内控的自评报告及审核意见,这大概是浦发银行主观上认为指引是非强制性的,即使违规也不会遭受谴责,对该指引的可行性持观望态度。2006年7月Ⅱ5日,财政部会同有关部门成立了企业内部控制标准委
员会,旨在构建内控标准体系,推动企业完善治理结构和内部约束机制,考虑到监管部门的系列举措以及违约成本的不断加大。浦发银行自2008年起积极披露内控自评报告及审核意见。由浦发银行披露内控信息的时间分布我们可以发现,要使内控制度在上市公司得到连贯执行,就应该对上市公司内控自评报告采用强制披露与分部走相结合的做法,而对于内控审核报告应采用强制性披露与鼓励性披露相结合的做法(杨有红,汪薇,2008)。
(二)实质性漏洞披露状况分析
实质性漏洞作为特别风险理应受到银行的关注,我们根据表1对实质性漏洞概念的明确以及类型的划分,通过对浦发银行公布的内控“三性”说明书内控自评报告以及审核报告进行研究,对披露的内控“缺陷”进行鉴别,来识别内控实质性漏洞(见表4)。
1 实质性漏洞数量分析
由表4我们发现浦发银行在2000年与2001年的年报中分别披露了4项实质性漏洞,而在2007年的年报中隐约披露了一项实质性漏洞,2008年与2009年则大量披露了实质性漏洞。由此可见,实质性漏洞披露的数量呈现越来越多的趋势,似乎表明浦发银行面临的内控问题越来越突出。2006年6月上交所《上市公司内控指引》后,浦发银行随后公布的2007年年报中的自评报告中虽然对公司内控建设做了大量的陈述,但是未见公司明确披露内控建设中遇到的难题。而2008年以及2009年的年报显示浦发银行的内控建设并非如2007年年报披露的如此无懈可击,多家分行因为业务违规处理遭受了相关部门的处罚,信息系统运行与维护存在问题,而管理者在向外部市场披露相关信息时,有很强的利己主义倾向(何进日,武丽,2006),而且鉴于指引刚不久,需要一个过渡期,很多上市银行当时并未有足够的能力构建起标准的内控体系,监管机构处罚力度并不会非常大,所以公司在2007年的年报中井未明确披露实质性漏洞。而到了2008年,2009年的年报中,由于违规行为遭到了相关部门的处罚,公司意识到了内控不完善给自身带来的危害,才披露了一系列实质性漏洞。因此我们可以推测浦发银行的内控问题由来已久,只是因为我国相关法规不完善,违规成本比较低,所以并未披露实质性漏洞。但随着监管力度的不断加大,违规成本越来越高,上市银行才开始致力于内控体系的建设与完善,积极披露实质性漏洞。
2 实质性漏洞披露载体与类型分析
浦发银行实质性漏洞的载体主要有内控“三性”说明书内控自评报告,其中,内控“三性”说明书披露了8项实质性漏洞,内控自评报告披露了12项。从实质性漏洞信息披露所占披露载体整体篇幅而言,占了较小的比例,这从侧面反映出公司有避重就轻、多报喜少报忧之嫌,责任方对于出现的内控实质性漏洞问题有所重视。但重视程度不够。内控审核报告作为对内控“三性”说明书和自评报告的审核报告,只是遵照固定的格式对这两者发表了意见,没有指出公司内控的实质性漏洞。由此可见,公司董事会对内控信息披露表明了积极主动的态度,努力改进内控中存在的实质性漏洞,而事务所对内控信息披露的审核却似流于形式,笔者推测注册会计师披露内控审核报告中未披露实质性漏洞有几大可能性:第一,注册会计师面对巨大的经济利益诱惑,存在与管理层合谋的动机,与上市公司勾结以虚假信息欺骗投资者(何进日,武丽,2006),第二,注册会计师自身存在专业胜任能力不足的问题,不能胜任内控审核业务;第三,注册会计师缺乏勤勉尽责的职业态度。从2008~2009年披露的内控审核报告可以发现,在公司自评报告已经披露实质性漏洞的情况下,事务所依然出具无保留意见,可推测出注册会计师缺乏勤勉尽责的态度,对内控审核的重要性认识不足。虽然财务报告内控审核的对象有其特殊性,对注册会计师的要求不能太高(张龙平,陈作习,2009),但是笔者认为注册会计师应注重自身业务能力的提高,以更好应对新业务带来的挑战,特别是配套指引的颁布,为注册会计师实施内控审计提供了方向及具体标准,故更应以勤勉尽责的态度对待新业务。
由表4我们发现浦发银行一共披露了表1中九类实质性漏洞的七类,占漏洞总类的77.78%。其中职责划分与授权这一类达到了7项,2000年、2001年的内控“三性”说明书中各披露了2项,2008年的内控自评报告中披露了3项。可见职责划分与授权是最为常见的缺陷,这在银行业中是普遍存在的,也与我国银行业竞争激烈的现状相关,一些银行以“存款第一”为衡量银行工作业绩的唯一标准,重业务轻管理,致使分支机构网点对雇员的违规操作熟视无睹,结果酿成了一系列的恶性案件。技术问题、培训、子公司特定式与高级管理层是另外比较常见的缺陷,其中高级管理层这一项分别出现在2000年与2001年的内控“三性”说明书中各一次,2007―2009年未再出现过,这说明随着内控重要性的不断提升,公司高级管理层逐渐认识到内控制度建设与运行的急迫性,井表明了加强内控体系建设的决心与态度,也付出了巨大的努力。技术问题分别出现在了2000年、2001年、2008年的报告中,说明构建规范的内控体系对于上市公司而言确实是一个巨大的挑战。需要公司付出高昂的设计成本以及曰后的运行与维护成本。培训问题一方面与银行之间竞争过度导致大量招聘人员而培训不到位有关,另一方面在于内控体系的实施与完善需要公司各级员工的参与。这需要公司不仅重视内控体系的设计与建立,更应该重视执行人的专业理解能力与操作能力,应加强内控文化理念的推广及实施全员培训体系。子公司特定式主要反映了分支银行对信用风险的控制力度不够,期末报告与会计政策与账户特定式都出现在了2009年的报告中,这在以前的年度中均未出现过,反映出公司的内控缺陷存在多样性、扩散性的特征,需要公司对内控体系进行完整的排查,扫除一切可能存在的漏洞,浦发银行对于披露的实质性漏洞提出了相应的整改措施及达标时间表,反映出公司内部良好的内控环境与高管坚决的执行力。
三 结论与政策建议
经过研究我们发现:内控“三性”说明书内控自评报告及内控审核报告是披露公司内控状况的主要载体,而内控实质性漏洞的披露主要集中于内控“三性”说明书及内控自评报告中,董事会承担了维持完善内控系统的责任,而监事会和审计师对内控信息的监督流于形式,公司年报没有完整连续的披露公司内控信息,在特定年份未披露内控报告,存在应付监管机构、避免遭受处罚之嫌。在《企业内控基本规范》颁布后,公司披露的自评报告遵循基本规范中规定的基本要素分类进行披露。形成了较为固定的披露模式内控实质性漏洞主要与职责划分与授权、技术问题、培训子公司特定式与高级管理层有
关,实质性漏洞信息的披露并非公司的自愿行为,而是在遭到监管部门的处罚后被迫披露的。
鉴于此,笔者对完善内控实质性漏洞信息披露作出如下几点建议:
县支行属于政策传导末端,政策敏感性不强,风险意识和制度观念相对淡薄;县支行人员少,财务组织机构简单,财务内控难以做到相互制约;县支行财会人员素质不高,老龄化严重,知识储备更新缓慢,跟不上现行财务工作的迅速发展,会计财务核算操作存在随意性可能。同时,因接受的外部监管相对较少,容易造成在制度执行上打折扣,为财务风险的发生埋下隐患。因此给予在人民银行县支行中开展完善的财务风险评估工作。
二、县支行财务风险评估的指标体系及评估方式
(一)县支行财务风险评估的指标体系
基于县支行自身业务的特点和客观环境因素,其存在的财务风险主要是后五类风险(不可量化风险),财务风险评估指标体系如下:
人民银行县支行财务风险评估指标体系
(二)县支行财务风险评估的操作方式
1.自评估阶段。由辖内各县支行根据财务工作实际,对照环境控制、财务状况及风险管理三方面评估内容,每年在上半年定期开展本单位财务风险评估工作。各县支行完成自评报告后上报市中心支行,自评报告包含评估工作开展情况,风险识别、分析、处置等内容。
2.审核与评估阶段。市中心支行在各县支行上报的自评估报告的基础上,由会计财务部门、内审部门以及外聘专家(必要时)组成评审小组,结合现场检查和非现场监管情况,对辖内县(市)支行财务风险控制情况进行评估,根据得分情况,确定风险评估等级。
三、县支行财务风险评估中存在的主要风险及原因
(一)现行财务管理机制与当前严格的财经纪律存在差距,导致道德、操作风险潜在发生
由于历史的、体制的原因,县支行财务管理仍存在一定的差距,主要体现在:一是风险防范意识相对淡薄。由于绝大多数县支行多年未发生案件,都不同程度存在对风险案件防范的重要性有所忽视,存在侥幸心理和麻痹思想;二是人员数量和素质达不到内控制度要求。长期以来,因种种原因导致县支行会计财务部门的人员数量和素质得不到提高,呈现人员紧张、年龄老化、综合素质不高等现象。部分人员缺少主动掌握各项规章制度、操作规程的积极性,缺乏风险防范意识和能力。
(二)制度建设滞后和业务迅速发展不同步,导致操作风险潜在发生
目前,人民银行财务会计的主要法规是财政部2000年1月1日颁布实施的《中国人民银行财务制度》,经过十五年的快速发展,人民银行的管理和服务职能不论从范围、方式或深度等方面都发生了比较大的变化,经历了预算会计科目的的多次变化和预算体制的改革,制度中包括预算管理、预算科目的核算等许多内容已经不适应财务综合管理系统的需求和人民银行的业务实际,制度建设已严重滞后于业务发展的需要,制度的约束力在逐渐下降。现行集中采购的主要法规是人总行2007年制定的《中国人民集中采购操作规程》,随着2014年人总行集中采购管理系统的上线运行,相应的规章制度跟不上,缺乏《集中采购管理系统业务处理办法》或者类似的制度,缺少相应的约束力。
(三)“财权和事权”未分离的财务操作模式,导致监管风险潜在发生
当前大部分县支行,仍一直沿用县支行成立以来的财务操作模式,即费用支出的使用权和审批权均在办公室,这种模式未能做到“财权和事权”相分离,不利于财务风险控制,不适应当前形势要求。由于办公室一般不配备会计专业人员,没有很好掌握会计专业知识和有关财经制度,费用凭证到了营业室会计人员记账时发现问题,木已成舟,无法改变。会计部门只是被动的记账,起不到事前监督的作用,给财务收支工作的合规性带来一定的风险。
四、对策与建议
(一)强化风险意识,提高风险防控水平
县支行领导要高度重视财务管理工作,要把财务管理工作摆上重要议事日程,作为当前一项重要工作来抓,经常听取财务形势分析并提出加强管理的措施,注重会计财务人员配备,支持会计财务部门大胆管理,对违反管理规定的严格追究责任。此外还应加强对财务人员的培训,真正落实财务人员的岗前培训,以及新业务、新制度、新办法、新程序执行和推广应用前的培训工作,使财务人员真正做到持证上岗,规范操作,进一步提高业务操作水平,把操作风险降到最低。
(二)强化制度建设,提高制度的可操作性
根据有关要求和实际需要,进一步健全操作规程和部门规章制度,加强资金核算、资产管理、岗位设置等方面的配套制度建设、提高制度的刚性和系统性,建议人总行及时修订《人民银行财务制度》、《中国人民银行集中采购操作规程》等制度办法,特别是对于一些制度未规定或未明确规定其列支渠道的费用,需尽快界定,使之更严密、更完善。
(三)改变财务操作模式,建立财务风险防控机制
按照财权、事权分离的原则,改变县支行现行的财务操作模式,将县支行出纳岗位从办公室调整到会计部门,直接由会计部门管理,实现财务报销事前监督,并进一步修订和完善相关规章制度,规范操作流程,建立有效的财务风险防控机制,切实防范财务风险。2015年温州市中支辖内永嘉支行已对旧财务操作模式进行改革试点,撰写《基层央行财权、事权分离的改革实践探索》文章,取得了初步成效,得到了上级行的认可。
五、成效
(一)提高思想认识,有效增强风险防控能力
我市中心支行通过对县(市)支行财务风险评估活动,使各县支行领导提高对财务风险防控工作的重要性、必要性的认识,把财务管理工作摆上重要议事日程,重视财务管理工作,支持会计财务人员配备,对本单位的财务工作总体把关。通过财务风险评估活动,提高财务人员风险防范的意识和能力,形成人人自觉遵章守制的良好氛围,强化了财务内控制约机制。
(二)识别风险内容,有针对性消除财务风险隐患
企业价值评估风险可以定义为:在评估业务或事项中,由于评估机构或人员对企业价值做了不准确或错误的判断给相关人员带来损失或需承担相应责任的各种风险。根据此定义可以将企业价值评估风险分为以下四种:
(一)来自被评估方的风险
来自被评估方的风险主要有以下三种:(1)道德风险。被评估企业为了提高企业自身价值,获得相关利益,通过提供虚假材料、隐瞒对企业不利事项来使评估机构高估企业价值。(2)客观风险。这种风险是由于被评估企业规模较大、行业特殊、无形资产较多等客观因素,导致评估难度加大,评估准确性难以保证。(3)被评估企业信息不清带来的风险。这种风险通常是由于被评估企业提供的资料有误、缺损,特殊机器设备资料难以获得以及资产权属不清等原因引发的风险。
(二)来自评估方的风险
来自评估方的风险主要有以下三种:(1)道德风险。与被评估方一样,评估方同样会产生道德风险,为了获得更多的评估费用、收受好处或者评估方与被评估方有亲属关系等,评估方可能高估或低估被评估企业的价值。(2)组织风险。组织风险主要是指评估机构组织管理人员时产生的风险。评估机构人员管理能力不足、管理制度存在缺陷、缺乏经验等都可能致使评估机构在项目组织、控制环节存在风险。(3)操作风险。评估人员在评估过程中方法选择不恰当、计算错误、数据遗漏以及在操作中缺乏必要的评估程序,没有按照相应的法律法规、行业准则操作,评估技术手段落后,不适用当前评估业务阶段等,这些都会使评估结果不符合实际。操作风险很大程度上与评估人员专业胜任能力相关,企业价值评估在方法选择、参数选取上,要依赖评估人员的专业判断,如果评估人员专业能力不足,也会带来很大的风险。
(三)来自评估环境的风险
来自评估环境的风险主要有以下四种:(1)法律风险。企业价值评估在我国发展时间不长,相关的法律法规还不是很完善,评估人员在工作中缺乏法律依据。很多企业评估相关法律法规不适用当前我国的经济发展状况,与现实脱节,很难有效指导当前的评估工作。(2)市场风险。市场环境不佳,经济不稳定,行业间的不正当竞争以及市场信息缺乏等都有可能使评估结果出现错误。(3)行业自身发育不良产生的风险。我国企业价值评估起步晚,在理论方面,主要是借鉴西方理论研究成果,缺乏实践性。西方学者经过不断探索,已取得了显著的成果,为企业价值评估理论的发展做出了很大的贡献,但从整体来看,企业价值评估理论并不完善,实践中还存在很多有待解决的问题。另一方面,西方经济环境与我国经济环境有很大不同,其理论成果不一定能完全适应我国情况。(4)监管风险。监管不到位,行业就会出现不正当竞争,导致评估机构只注重自身经济利益,忽视工作质量。另外,监管方对企业价值评估行业以及评估机构监管不足,政府对评估的过多干预都会使评估结果背离实际情况。
(四)其他风险
其他风险主要表现为评估报告使用风险和关联风险两种。(1)评估报告使用风险。评估报告具有时效性,如果评估报告超过使用时效则不能客观地反映企业价值,会产生风险。另一方面,评估报告根据评估目的不同会有不同类型,使用错误类型的评估报告同样会产生风险。除此之外,评估报告使用者还应考虑后续事项对评估结果的影响。(2)关联风险。有时,评估项目过大,需要几家评估机构合作完成项目,其他评估机构出现问题也会引发本机构产生风险。
二、企业价值评估风险控制策略
(一)完善相关法律法规,加强行业监管
相比西方发达国家,我国在企业价值评估立法方面还有很多不足,由此导致评估机构受利益驱逐,利用法律漏洞,获得非法利益。因此,我国应尽快完善企业价值评估相关法律法规,使企业价值评估工作有法可依,让企业价值评估行业规范化、法制化。我国评估机构监管部门应定期对评估机构资质进行评审,评估机构根据评定资质等级接受业务,不得接受超越资质范围的业务。要发挥政府职能,加强行业监管,对企业价值评估机构工作的质量进行监督,但要注意,政府在其中只是起到监督和导向作用,不得干预正常的企业价值评估工作。
(二)重视企业价值评估行业规范建设
目前,我国评估机构数量众多,规模大小各异,在实际业务操作中,评估业务执行标准也不尽相同,不可避免地会出现一些行业混乱现象。为了保证评估业务的科学性和客观性,应重视企业价值评估行业规范建设,建立一套完整的企业价值评估管理体系,规范评估标准、评估程序及评估报告的制作,从而减少人为主观影响评估结果。要不断完善评估准则,将评估准则作为重要指导。只有行业规范统一了,评估结果才有可比性。要建立并完善企业价值评估机构的进入与退出机制,保证企业价值评估行业有序发展。
(三)建立企业价值评估风险管理机制
企业价值评估机构应建立风险管理机制,风险管理机制一般包括三个方面:(1)风险预测。在评估机构接受评估项目前,对该项目进行可行性分析论证,发现项目面临的风险,并预测风险发生的概率及可能造成的损失。(2)风险控制。通过制定相应的控制措施,在风险可能发生的环节加强控制与管理,从而减少风险的发生。(3)风险管理。评估机构应通过评定风险控制的效果、建立风险责任制、奖罚制度、明确评估人员责任、提高评估人员风险规避意识等措施来最大限度地降低企业价值评估中的风险。
(四)提高评估人员综合素质
企业价值评估工作的质量与评估人员的综合素质密不可分。目前,我国企业价值评估执业人员素质参差不齐,整体来看,还有待提高。评估人员综合素质主要包括两个方面:道德素质和专业技术素质。道德素质要求评估人员遵纪守法,保持客观公正,不受任何个人和组织的影响,做出正确的评估结果。同时,评估工作很多时候要依赖评估人员的专业判断,专业技术素质对评估人员做出正确的专业判断至关重要。专业技术素质要求评估人员充分理解企业价值评估准则,熟悉企业价值评估的技术方法。根据评估人员综合素质要求,评估机构应做好以下工作:第一,提高评估人员风险意识,在工作中提高警惕。第二,在聘用评估人员时,应对其进行充分考核,考察其专业技术能力是否符合要求,对专业技术不合格的人员坚决不聘用,这样可以避免评估人员由于专业素质不高带来的风险。第三,要重视评估人员后续教育,企业价值评估是一个不断发展的行业,评估人员要进行后续教育才能应对不断出现的新问题,评估人员不仅要重视理论学习,还要注重实践操作,不同机构部门应加强交流,促进发展,共同进步。第四,提高评估人员道德素质,加强评估机构道德建设工作。
(五)改善企业价值评估信息质量状况
建设“三位一体”的管控机制
在内部控制治理架构与体系方面,中国平安董事会对内部控制的有效性负最终责任。中国平安董事会是一个依托本土优势并践行国际化公司治理标准的董事会,现有19名董事中,有3名独立非执行董事及5名非执行董事来自海外,这些海外董事均为金融、保险、财务、法律等专业领域的资深人士,负责内部控制的建立健全和有效实施,董事会下设审计与风险管理委员会,负责监督、审查公司内部控制的有效实施和内部控制评价情况,协调内部控制审计及其他相关事宜。
中国平安集团设立内控管理中心,包括合规部、风险管理部、稽核监察部;各专业公司层面设立相应的合规、风险管理、稽核监察职能部门。公司持续优化内部控制体系,在公司副总经理兼首席稽核执行官叶素兰(其作为首席稽核执行官根据《审计与风险管理委员会工作细则》直接向董事长、董事会审计与风险管理委员会报告工作,以确保独立性)的统筹协调与管理指导下,不断加强“合规管理、风险管理、稽核监察”三个模块职能的分工与协作,强化工作衔接与信息共享以及“事前、事中、事后”的三位一体风险管控机制。叶素兰向《董事会》表示,“三位一体”指三个专业部门在风险管控中分工、配合与协作,强化事前、事中、事后风险管控。其中,合规部门主要履行“风险事前策划应对”,风险管理部门主要履行“风险事中监测控制”,稽核监察部门主要履行“风险事后监督报告”。业务部门是风险管控的第一道防线,中国平安通过建立内控评价与考核问责,将内部控制与日常经营管理融合,嵌入业务和流程,确立内部控制的核心驱动力,将风险管控尽可能前置。合规部门和风险管理部门是第二道防线,稽核监察部门是第三道防线。
针对综合金融可能存在的关联交易、风险转移、资本重复计算等风险,中国平安通过建立完善严格的“法人防火墙”、“财务防火墙”、“交易防火墙”和“信息防火墙”等防火墙制度,将单一/累积风险控制在远低于集团可接受的水平范围内。
值得一提的是,平安一直致力于建立一个以国际领先综合金融服务集团为目标,与自身业务特点相结合的全面风险管理体系。其通过完善的组织架构、规范的管理流程、定量与定性相结合的风险管理技术方法,进行风险的识别、评估和控制,支持业务决策,促进集团有效益可持续健康发展。
中国平安总经理任汇川对《董事会》感慨道:“风控体系非常独立和严格,集团强调法规+1,之所以能放心也是因为有这套体系。”
完善内控评价机制
内控评价机制方面,中国平安确立了以内控评价方法论为基础,覆盖全部业务部门进行内控自我评价,风险管理部门进行内控风险评估,稽核监察部门成立专门的评价小组进行内控独立评价,外部审计师对公司内控状况进行审计的内控评价机制。
中国平安的内部控制评价工作严格遵循相关外部监管规定及公司内部控制评价办法规定的程序执行。由公司合规部牵头,会同各业务及相关管理部门进行管理层内控自评,由公司稽核监察部实施内控稽核独立评价,相关责任部门根据内控缺陷及整改建议制定并执行整改计划。中国平安不断完善管理层内控自评和内控稽核独立评价流程,通过加强项目管理、过程管理、质量复核、固化项目方法和程序、评价结果分类等内容,规范管理层内控自评和内控稽核独立评价工作的开展。公司通过内部控制系统平台,完成内部控制评价的发起、测试、汇总、复核、审批、整改追踪、结果分析等工作。管理层内控自评和内控稽核独立评价过程中,公司通过访谈、资料收集与研讨、专题研讨、与行业最佳实践对比、培训等方式,收集、确认、分析相关信息,确定与实现公司整体控制目标相关的风险,并在此基础上辨识与细化相对应的控制活动,然后针对控制活动进行穿行测试和运行有效性测试,获取充分、相关、可靠的证据对内部控制的有效性进行评价,并书面记录工作底稿。从定量和定性等方面进行衡量,判断是否构成内部控制缺陷,对发现的内部控制缺陷,督促相关单位或部门进行整改,并对整改结果进行核查和确认。
中国平安外部审计师安永华明会计师事务所对其财务报告内部控制发表的审计意见认为,于2011年12月31日中国平安按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
打造信赖工程
自从国际的金融危机爆发以后,先进国家和地区对金融制度和经济结构不断进行着重大的调整,各个国都在加大科研创新,纷纷将新材料、新能源、新技术作为新一轮产业发展重点,抢占经济发展的制高点。随着经济环境日趋复杂,公司的经营活动面临着更多的不确定性。所以建立全面风险管理和内控体系,成为了我国国有上市公司的工作重点。
一、全面风险管理和内部控制体系的关系和意义
1.全面风险管理的发展历程和目标
后危机时代的中国企业面临着来自方方面面的危机,2004年中航油新加坡公司风险管理失败事件后,2006年6月国资委颁布了《中央企业全面风险管理指引》,对开展全面风险管理工作作出了明确规定,并要求报送年度风险管理报告。全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。
2.内部控制的发展历程和目标
2001年12月,美国最大的能源公司--安然公司突然申请破产保护,暴露出美国上市公司治理结构和外部监督的缺失,美国加速通过了《萨班斯法案》,要求建立公司建立内部控制体系。2008年和2010年,中国五部委联合了《企业内部控制基本规范》和《企业内部控制配套指引》后,中国证监会强力推进上市公司内控建设。
3.全面风险管理和内部控制的关系
全面风险管理和内部控制目标是一致的。内部控制的目标是防范和控制风险并促进企业实现发展战略,风险管理也是为了促进企业实现发展战略,要求将风险控制在可承受范围之内。两者之间不是对立的,而是协调、统一的整体。
全面风险管理和内部控制内容互相包容。内部控制是一类控制风险的措施,是一种风险治理的解决方案,旨在最小化风险。因此,全面风险管理和内部控制管理内容是相互包容的。
4.全面风险管理和内控体系建设的意义
积极开展全面风险管理和内控体系的建设,发挥好审计部在风险管理工作中的第三道防线,进行风险监督,对公司持续健康发展有举重轻重的作用。为了更好的开展全面风险管理和内控制度的建设工作,并落实到日常管理工作中。公司应将全面风险管理和内部控制相结合,在现有体系基础上融入风险管理的要素,建立健全全面风险管理和内控体系。
二、全面风险管理和内控体系建设的治理结构
公司治理是公司全面风险管理和内部控制的核心,良好的公司治理是提高公司经营管理效率的基本要素。全面风险和内部控制体系作为公司为履行管理目标,建立了规则、政策和程序,与公司管理及公司治理密不可分。
1.全面风险管理和内控治理机构的一致性
公司治理是现代公司在决策、激励、监督约束方面的制度、原则,涉及利益相关者之间在权力与责任方面的分配、制衡以及效率经营与科学决策。在《中央企业全面风险管理指引》与《企业内部控制基本规范》中均规定,企业应建立并健全公司的治理结构,明确责权限,形成有效科学职责分工制衡机制。全面风险管理与内控控制体系组织结构共同包括:股东大会、董事会、监事会、审计委员会、内部审计机构等。
2.全面风险管理和内控治理机构的差异性
虽然全面风险体系和内部控制体系在治理机构中存在着很多的一致性,但仍存在部分差异。
全面风险体系治理结构还包括:风险管理委员会、风险管理部门等。内部控制体系治理结构还包括:经理层、内部控制管理机构
三、企业开展全面风险管理和内控体系建设实践
1.全面风险管理体系建设
公司已初步建立了相关内部控制体系,但随着公司的快速发展,以及公司经营管理水平的不断提高的需要,内控体系也应作相应调整和补充完善,对此开展了全面风险管理和内控体系建设。
(1)全面风险管理和内控体系框架
为了加强公司全面风险管理工作,建立健全全面风险管理和内控体系,根据境内外相关法律法规,结合公司实际,制定了《全面风险管理手册》。明确了风险管理的组织机构和管理流程,形成风险管理长效机制。
(2)全面风险管理和内控体系建设的流程与操作
风险管理流程分为四个主要流程:风险辨识评估流程、重大风险管控流程、风险管理监控与改进流程、风险管理总结与报告流程。风险管理各主要流程存在着紧密的内在关联性,且各工作流程呈递进关系。
2.内控自评价持续完善
全面风险管理和内控体系建设是一个持续改进的过程,建立是最开始的一部分内容,对建立的全面风险管理和内控体系建设和执行情况进行评价更是促进体系改善的有效手段;制度执行又是体系建设最关键的环节,建立再好的体系,不执行也是无效的。公司对全面风险管理和内控体系运行的有效性进行定期及不定期检查,开展全面风险管理和内控自评价审计。
(1)全面风险和内部控制管理测试评价
全面风险和内部控制管理测试评价包括:全面风险管理和内部控制健全性检查评价、全面风险管理和内部控制有效性测试、全面风险管理和内部控制实质性测试、全面风险管理和内部控制合理科学性综合评价。
(2)全面风险管理和内部控制管理缺陷判定
内控制度审计评价应对内部控制进行综合的判断,按其严重程度分为重大缺陷、重要缺陷和一般缺陷。被审计单位应建立内部控制缺陷的整改机制,明确内部各管理层级和单位整改职责分工,确保内部控制设计和运行中的重大风险和主要问题得到及时解决和有效控制。
(3)出具全面风险管理和内控自评价报告
出具内控审计报告,书写审计结论,向公司管理层报告内控审计结果。审计报告主要内容包括:审查和评价内部控制管理的目的、范围、依据、主要实施程序的描述;对内部控制管理的评价;审计结论;对改善内部控制管理的建议。
(4)全面风险管理和内控自评价审计整改
按照PDCA方法,加强过程审计,通过制定审计计划、按照方案实施审计,针对审计发现问题,制定整改措施,形成闭环。将各类审计结果转化为审计成果,有效维护体系运转。
四、全面风险管理和内控体系建设效果
通过全面风险管理与内控体系的建立,加强了公司风险管理与内控的有效融合。全面风险管理体系建设是在已有内控体系的基础上,导入风险管理的概念,经过辩识、评估等一系列科学系统的方法,建立的风险与内控体系。内控体系重点在于防范与规避风险;全面风险管理体系更强调在防范与规避的基础上,有效利用风险创造更大价值。内控体系更强调执行层面;全面风险管理体系更关注企业全局。建设过程中更加强调:全面风险管理体系建设与内控体系深度融合。
五、全面风险管理和内控体系建设存在的问题
全面风险管理和内控体系建设工作,涉及面广,参与人员多。在企业经营工作繁重的情况下,即要按照计划进度完成工作,又要保证体系建设质量,是体系建设中的重要环节。
六、全面风险管理和内控体系建设建议
加强组织领导。体系建设负责人要高度重视、统筹安排此项工作。制定具体落实方案,将任务落实到位。
参考文献:
[1]蒲育军.浅析风险导向审计在国有商业银行的应用[J].中国内部审计,2010(127),48-51.
[2]邝满维.内部审计在企业内部控制评价中的应用研究[J].中国内部审计,2010(127),40-43.
