在已经结束披露的《2010年企业内控自我评价报告》中,上市公司交出了一份几乎毫无瑕疵的报告,这不免让人感到这种内控报告有些流于形式。如何才能让内控建设真正为企业所用,并且让内部控制报告成为企业与监管者、投资人沟通的桥梁,近日,《中国会计报》专访了中国管理科学研究院内部控制与风险管理研究所主任、中国企业内部控制与风险管理网专家组副主任王炜。
《中国会计报》:您认为应该如何引导企业在内控报告中更多的披露问题,而不是一味追求做一份毫无瑕疵的报告?王炜:要解决企业在内部控制自我评价报告中呈现的问题,首先要解决三个问题:我们为什么要做内部控制?如何监督和检查内部控制?怎样建立完善的内部控制?我国的内部控制与美国、日本、德国有显著的不同,在根本上,我国内部控制的目的不仅是对所有股民、中小股东负责,更是通过内部控制对上市的国有企业进行有效监管。
基于此,做好内部控制建设势在必行,而且,还需建立起以四种力量为核心完善内部控制监督的机制。
一是自身的力量。上市公司实施严格的内部控制自我检查监督程序,公开内部控制细致准确的检查标准、评价方法,甚至对审计机构和监管部门公开重要的工作文件和底稿。二是中介机构的力量。对于上市公司的内部控制,专业审计机构必须严格按照审计指引中的标准进行检查,对所有工作文件和底稿进行检查,并提交相应的审计报告。三是监管的力量。监管机构应规定更具体、严格的监管机构披露标准,有权对上市公司内部控制进行检查,有 权对专业审计机构进行检查,并有权对内部控制自我评价报告中信息存在严重问题的上市公司及没有进行严格审计的审计机构进行处罚。四是社会的力量。公众有权对上市公司内控自我评价报告披露的信息进行质疑,监管机构应建立一个质疑信息收集通道,对重要和有依据的质疑,监管机构有责任要求上市公司做出回应,并向全社会披露。
《中国会计报》:应该如何更好地编制企业内部控制自我评价报告,让这份报告真正为企业所用、投资者所用、监管者所用?王炜:要想从根本解决问题,自然需要上市公司实施更完善的内部控制,需要企业从外部风险评价机制或模型、企业价值评价体系、治理结构体系、内部控制制度体系、内部控制流程体系、企业文化体系六大体系来完善内控的建设。
从编制报告的角度,在理顺企业内部控制并遵循配套指引的要求的基础上,我建议企业在撰写内部控制自我评价报告时,最好能够包括以下内容:一是真实性声明。
二是内部控制环境,包括:战略、企业文化、社会责任等。内部控制实现的前提是拥有合理的治理结构,通过严格的治理结构,彻底根除少数人操纵公司的可能 性。包括:董事会中外部董事超过2/3,董事会中必须有一定比例企业员工,企业员工董事和外部董事的任命应独立于控股股东并受到监管机构的监管;监事会成员完全独立于董事会,并有足够的时间在企业内部办公,审计委员会和主要内部审计负责人必须由外部董事或监事会任命:应披露包括企业、控股子公司和参股公司,企业外部合作伙伴,企业经营的外部环境;还需要披露企业实施内部控制的部门(职责范围)。
三是内部控制主要工作内容及参照依据:应单独披露的工作内容至少包括企业的战略、财务、人力资源、社会责任,可以综合也可以单独披露的内容包括采购、销售、工程、担保、合同监管等多项实际活动。参照依据应既包括监管机构的文件也包括企业制订的各项具体管理制度,企业必须披露企业各项自身管理制度中与《规范》和《配套指引》相对应的关键制度细则。其中,报告内容分类里,控制活动包括:财务、采购、销售、工程项目、担保、资金、资产等;控制手段包括:预算、合同、信息管理等。
四是内部控制评价方法:对以上披露的所有工作内容,企业必须披露所依据的监管要求和评价方法,包括主要控制手段(不相容职务分离等)、主要评价方法(有效控制的认定等)、对于风险的评价方法(敏感性分析等)。
五是内部控制缺陷披露及改进进展:开展严格的内部控制后,企业发现的内部控制缺陷,并根据缺陷制订的改进方法,具体实施的进展情况,下一步工作计划等。
六是内部控制有效性论述与下年度工作计划:部分内部控制缺陷不代表整体内部控制无效,对内部控制的有效性进行准确的论述,根据以往的工作进展提出下一年度内部控制的主要内容(包括对下一年度各种潜在风险的预测和应对方案)。