在已經結束披露的《2010年企業內控自我評價報告》中,上市公司交出了一份幾乎毫無瑕疵的報告,這不免讓人感到這種內控報告有些流于形式。如何才能讓內控建設真正為企業所用,并且讓內部控制報告成為企業與監管者、投資人溝通的橋梁,近日,《中國會計報》專訪了中國管理科學研究院內部控制與風險管理研究所主任、中國企業內部控制與風險管理網專家組副主任王煒。
《中國會計報》:您認為應該如何引導企業在內控報告中更多的披露問題,而不是一味追求做一份毫無瑕疵的報告?王煒:要解決企業在內部控制自我評價報告中呈現的問題,首先要解決三個問題:我們為什么要做內部控制?如何監督和檢查內部控制?怎樣建立完善的內部控制?我國的內部控制與美國、日本、德國有顯著的不同,在根本上,我國內部控制的目的不僅是對所有股民、中小股東負責,更是通過內部控制對上市的國有企業進行有效監管。
基于此,做好內部控制建設勢在必行,而且,還需建立起以四種力量為核心完善內部控制監督的機制。
一是自身的力量。上市公司實施嚴格的內部控制自我檢查監督程序,公開內部控制細致準確的檢查標準、評價方法,甚至對審計機構和監管部門公開重要的工作文件和底稿。二是中介機構的力量。對于上市公司的內部控制,專業審計機構必須嚴格按照審計指引中的標準進行檢查,對所有工作文件和底稿進行檢查,并提交相應的審計報告。三是監管的力量。監管機構應規定更具體、嚴格的監管機構披露標準,有權對上市公司內部控制進行檢查,有 權對專業審計機構進行檢查,并有權對內部控制自我評價報告中信息存在嚴重問題的上市公司及沒有進行嚴格審計的審計機構進行處罰。四是社會的力量。公眾有權對上市公司內控自我評價報告披露的信息進行質疑,監管機構應建立一個質疑信息收集通道,對重要和有依據的質疑,監管機構有責任要求上市公司做出回應,并向全社會披露。
《中國會計報》:應該如何更好地編制企業內部控制自我評價報告,讓這份報告真正為企業所用、投資者所用、監管者所用?王煒:要想從根本解決問題,自然需要上市公司實施更完善的內部控制,需要企業從外部風險評價機制或模型、企業價值評價體系、治理結構體系、內部控制制度體系、內部控制流程體系、企業文化體系六大體系來完善內控的建設。
從編制報告的角度,在理順企業內部控制并遵循配套指引的要求的基礎上,我建議企業在撰寫內部控制自我評價報告時,最好能夠包括以下內容:一是真實性聲明。
二是內部控制環境,包括:戰略、企業文化、社會責任等。內部控制實現的前提是擁有合理的治理結構,通過嚴格的治理結構,徹底根除少數人操縱公司的可能 性。包括:董事會中外部董事超過2/3,董事會中必須有一定比例企業員工,企業員工董事和外部董事的任命應獨立于控股股東并受到監管機構的監管;監事會成員完全獨立于董事會,并有足夠的時間在企業內部辦公,審計委員會和主要內部審計負責人必須由外部董事或監事會任命:應披露包括企業、控股子公司和參股公司,企業外部合作伙伴,企業經營的外部環境;還需要披露企業實施內部控制的部門(職責范圍)。
三是內部控制主要工作內容及參照依據:應單獨披露的工作內容至少包括企業的戰略、財務、人力資源、社會責任,可以綜合也可以單獨披露的內容包括采購、銷售、工程、擔保、合同監管等多項實際活動。參照依據應既包括監管機構的文件也包括企業制訂的各項具體管理制度,企業必須披露企業各項自身管理制度中與《規范》和《配套指引》相對應的關鍵制度細則。其中,報告內容分類里,控制活動包括:財務、采購、銷售、工程項目、擔保、資金、資產等;控制手段包括:預算、合同、信息管理等。
四是內部控制評價方法:對以上披露的所有工作內容,企業必須披露所依據的監管要求和評價方法,包括主要控制手段(不相容職務分離等)、主要評價方法(有效控制的認定等)、對于風險的評價方法(敏感性分析等)。
五是內部控制缺陷披露及改進進展:開展嚴格的內部控制后,企業發現的內部控制缺陷,并根據缺陷制訂的改進方法,具體實施的進展情況,下一步工作計劃等。
六是內部控制有效性論述與下年度工作計劃:部分內部控制缺陷不代表整體內部控制無效,對內部控制的有效性進行準確的論述,根據以往的工作進展提出下一年度內部控制的主要內容(包括對下一年度各種潛在風險的預測和應對方案)。
