随着我国内部控制法规的实施,披露内部控制自我评价报告和会计师事务所内控鉴证报告的公司不断增加,2011年沪深两市2363家上市公司中,有1853家公司披露了内部控制自我评价报告,占样本总量的78.42%。其中仅有34家公司在自评报告中披露了内部控制缺陷,占披露总数的1.83%,这一比率远远低于美国的统计数据,美国同时期约有13.8%的公司披露内部控制缺陷。该统计结果固然能说明目前大多数上市公司已经建设了较为完善的内部控制体系,但近年来出现的一系列上市公司因内部控制薄弱而发生的产品质量问题、财务欺诈事件、环境污染事件等,反映出我国相当一部分上市公司的内部控制评价流于形式。鉴于此,笔者认为应在现有企业内控评价体系的基础上研究基于XBRL的企业内部控制认证体系。
一、企业内部控制认证的概念
所谓企业内部控制认证,即企业内部控制评价由独立的、具有权威性的机构组织专家实施,以提高内控认证的可信度。该机构应是一种非官方、非盈利性质的中介机构,专门从事企业内部控制的认证服务。根据我国实际情况,可先挂靠在财政部,然后随着我国市场化程度的提高,再与政府脱钩,成为独立的民间组织。认证机构实行会员制,其发起成员拟吸纳包括内部控制质量好的世界500强中的中国企业。该机构针对企业内部控制进行认证,致力于通过认证全面持久地改进企业内部控制质量。认证拟颁布与企业使命、远景、战略相联系的认证标准和专家评估团实地访问考察评估程序,并定期颁布新修改的标准,以适应企业内部控制认证的变化发展。
企业内部控制认证的理念应是“使命驱动”和“持续改进”。企业内部控制强调申请认证的企业要有符合自身情况和定位的使命及愿景。企业内部控制的各项工作都要以使命为向导,充分利用有限资源,驱动各项工作的开展和改善,实现企业使命。
二、内部控制认证、内部控制质量与企业使命的顺循环影响关系
以企业内部控制认证为核心,向前追溯可以发现企业内控认证是以企业使命为驱动,向后延伸可以发现其对提高内部控制质量有重要影响。三者形成了企业使命—企业内部控制认证—企业内部控制质量的三段式关系,每一个节点均对后一个节点有重要影响。与此同时,企业内部控制质量高低直接影响着企业使命的实现,从而使这一递进影响关系形成顺循环影响关系。
从时间角度分析,三维立体内部控制认证体系对企业价值链的每一个关键环节进行控制(事前、事中、事后),其目标是降低价值生成过程中的风险,增加企业的价值,实现企业的使命。而企业的使命最终将会进一步指导内部控制认证的实施与执行,三者构成了不可分割的有机体。从纵向角度分析,三维立体内部控制认证体系将公司的战略决策层(董事会)、战略执行层(管理层)、价值形成层(生产员工)紧密结合。以企业使命为目标,以降低风险为手段,全员参与的内部控制认证体系与内控质量、企业使命之间形成了天然的内在联系。从横向角度分析,企业的每一项经济活动都旨在实现企业的使命,内部控制认证体系宗旨是降低各项经济活动的潜在风险,企业使命引导了内部控制认证的实施,内部控制认证确保了企业使命的实现。
三、基于使命驱动的企业内部控制认证指标体系设计
(一)基于使命驱动的企业内部控制认证体系的构建原则
内部控制认证系统的建立是一个系统工程,根据我国企业内部控制实际情况,在三维立体内部控制网架构的基础上,构建基于使命驱动的内部控制评价系统,需坚持以下原则:
(1)一致性。企业内部控制认证的指标体系应与企业使命保持一致,企业的奋斗目标、可度量(可观测)目标应与企业使命、愿景一致。
(2)全面性。企业内部控制认证系统既要全面反映被测评对象的总体内部控制状况,又要具体反映内部环境、风险评估、控制活动、信息与沟通和内部监督等具体内控要素的基本情况;既要反映企业的内部控制现状,也要反映企业内部控制变化趋势。
(3)系统性。企业内部控制认证系统的构建应当从整体上考虑指标之间的相互关系,使内部控制指数指标既不重复、也不遗漏;指数指标应当遵从一定的逻辑关系,对指标进行合理的分层设计。
(4)重要性。企业内部控制认证系统应当在全面评价认证的基础上,关注被测评企业的重要业务单位、重大业务事项和高风险领域。
(5)可比性。企业内部控制认证系统既要全面反映企业的内部控制情况,又要适合不同企业间的对比;既要考虑到指标设计上的可比性,也要考虑到指标计算的可比性。
(6)定性与定量相结合。企业内部控制认证系统中,涉及到企业内部控制运行情况的各个方面,既要考虑到企业内部控制认证的主观性,又要使内部控制认证具有客观性、可度量(可观测)性。该认证系统构建时要将定性与定量两类指标充分结合,最终形成量化指标。
(二)基于使命驱动的企业内部控制认证指标体系的逻辑框架
目前世界上最为权威的内部控制标准体系是COSO《内部控制—整合框架》,其中提出内部控制包括五个相互关联的构成要素,即控制环境、风险评估、控制活动、信息与沟通和监控。五要素论优化了内部控制的结构与体系,整合了对内部控制的不同理解,构造了一个共识性的概念平台和框架,因此得到了SEC和PCAOB及其它国际机构的广泛认可和应用。我国发布的《企业内部控制基本规范》及其配套指引借鉴了COSO的内部控制五要素框架,并结合中国国情进行了创新,提出了内部控制的体系。为了顺利推动企业内部控制的认证工作,减轻认证企业的工作量,我们拟采用《企业内部控制评价指引》中确立的内部控制核心指标中的五个一级指标,作为我们整个内部控制认证系统的基本逻辑框架,我们将结合三维立体内控体系,基于企业使命重新设计二、三、四级指标。
(三)基于使命驱动的企业内部控制认证指标体系设计
根据内部控制认证系统设计原则和《企业内部控制评价指引》,结合我国上市公司内部控制基本情况,同时借鉴国内外已有的内部控制评价研究,确定了内部环境、风险评估、控制活动、信息与沟通、内部监督等5个一级评价指标,每一评价指标又由一系列细分的评价指标构成。对于5项一级指标,内部环境包含组织架构、发展战略、人力资源政策、社会责任、企业文化等二级指标和若干经过细化的三级指标和四级指标;风险评估包含目标设定、风险识别、风险分析和风险应对等二级指标和若干经过细化的三级指标和四级指标;控制活动包含不相容职责分离及授权审批控制、会计控制、财产安全控制、预算控制、运行分析控制、绩效控制、突发事件控制等二级指标和若干经过细化的三级指标和四级指标;信息与沟通包含信息收集、信息沟通(内部沟通、外部沟通、信息完整性、准确性和及时性)、信息系统、反舞弊等二级指标和若干经过细化的三级指标和四级指标;内部监督包含内部监督检查、内控缺陷、内部控制信息披露行为等二级指标和若干经过细化的三级指标和四级指标。
四、内部控制认证流程设计
内部控制的认证拟采用自愿性的原则,具体原因有如下几点:
第一,通过理论分析与检验,我们有理由认为,企业内部控制认证在保证内控质量、向市场传递信号等方面,均有别于内部控制自我评价。在保证内部控制质量方面,内部控制认证—内控质量—企业使命之间存在顺循环关系,在提高企业内部控制质量方面,内部控制认证不同于企业的自我评价,也有别于审计师的鉴定。根据信息经济学、管理经济学的信号传递理论,内部控制认证向市场传递的信号不存在二次信号失灵等诸多问题,提高了信息的决策有用性。企业根据自身的战略发展需要,自愿选择是否参与认证。
第二,内部控制认证的成本—效益没有得到实际检验。内部控制认证是一项新的研究课题,需要大量的补充检验。
第三,目前没有专门的制度和法规保障认证的执行,因此,内部控制的认证拟采用自愿性的原则。
五、建立基于XBRL的内部控制信息化平台
企业内部控制认证要真正发挥效用,就必须内控流程化、流程信息化。内部控制信息化就是指根据内部控制规范要求,将企业生产经营各个环节的流程、关键控制点等固化在信息系统中,使各单位内部控制规范制度的设计与运行更加有效。同时要求企业按照内部控制要素和统一规范化格式,编制内部控制评价认证报告,提供给投资者等报告使用者分析判断企业的可持续发展能力,从而作出相关决策。为此,业内专家需要充分研究圆通制科学工作原理,深入研究工作标准,加快内部控制信息化进程,建立基于内部控制评价报告的XBRL分类标准,结合企业内部控制规范体系的实施,尽快实施内部控制评价报告的XBRL分类标准的制定工作。通过制定实施这一分类标准,自动生成基于XBRL的内部控制评价认证报告,提高内部控制信息披露质量,满足不同使用者的需求。