论文部分内容阅读
摘 要:作为萨班斯法案(SOX)最为重要的条款之一,404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。在企业内部控制缺陷信息的识别及评价方面,美国公众公司会计监管委员会(PCAOB)在其发布的第2号审计准则(AS2)中提出的规则导向与详细评价为其提供了重要的框架参考。本文参照国资委拟定的《财务内部控制评价》中的缺陷认定步骤以及AICPA(2004)发布的《控制例外和缺陷的评价框架》,总结内控缺陷识别的评价标准,拟完成一套普适性的缺陷识别框架,为完善企业内部控制体系做出贡献。
关键词:例外事项;内控缺陷;识别框架
中图分类号:F275 文献标识码:A 文章编号:1006-4117(2011)12-0209-02
一、文献回顾及研究切入点
2002年萨班斯法案(SOX)的出台,美国上市公司内部控制制度发生了重大变革。我国紧跟SOX的脚步,并在美国COSO委员会发布的《内部控制-整体框架》(COSO-IC)基础上,于2008年发布《企业内部控制基本规范》,指出内部控制缺陷包括设计缺陷和运行缺陷。涂燕等(2004)在《刍议我国内部控制的缺陷及完善》从内控的演变过程入手,分析了我国内控环境、风险评估、信息与沟通和监督方面存在的缺陷;林朝华等(2006)在《CSA:内部控制系统评价的新观念和新方法》中介绍了国际流行的内控评审的最新理念:内控的自我评估(CSA)克服了以往内控评审仅仅由审计师执行的缺陷,让管理者与操作员工参与自己所涉及的内控评估中,CSA成为21世纪组织检查与评价内控的主流。梳理与内部控制缺陷有关的已有研究成果,我们不难发现,国内已有的文献主要侧重于对于企业内部控制缺陷的理论分析和个案研究(如中航油案例分析、民生银行实质性内部控制缺陷分析等),并没有形成普适性的研究结论和上市公司通用的内控缺陷认定框架。因此本文根据2004年AICPA发布了控制例外和缺陷的评价框架,以内控缺陷识别的定性与定量标准为突破口,对内控缺陷的识别做出了具体的框架设计。
二、内控缺陷定义与例外事项
内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计与执行的政策及程序。内部控制缺陷是内部控制过程中存在的缺点或不足,这种缺点或不足使得内部控制无法为控制目标的实现提供合理保证。内部控制例外是指企业在进行内部控制有效性测试中产生的例外事项,所有的例外事项都必须按照定量与定性而对标准进行评估,判断是否其构成一个控制缺陷。这样我们就可以针对管理层或者外部审计师在对上市公司评估过程中发现的例外事项进行识别,根据设定的定性与定量分析标准,将例外事项是否构成内控缺陷的过程设计成一套框架体系。
三、内控缺陷的评价标准
根据《企业内部控制基本规范》中关于内部控制缺陷的认定规范,将内控缺陷分为设计缺陷和运行缺陷。当某项控制的设计或执行不能使管理层或员工在正常行使其职责过程中及时防止或发现控制目标偏离时,表明存在财务内部控制设计和执行缺陷。设计缺陷是指缺少实现内部控制目标必需的某项控制措施,或者现有内部控制的设计不适当,导致即使内部控制按照设计执行,通常也无法实现内部控制目标;执行缺陷是指设计适当的内部控制没有按设计执行,或者执行内部控制的相关人员缺乏必要的授权或不具备实施有效控制的资格。缺陷认定主要从内控的五大要素开展,然后再汇总进行整体控制缺陷认定;不同要素控制缺陷类型的具体认定标准不同,但方法基本一致,即定量分析或定性判断;评估标准的选择来自于实务中的经验,与实践紧密结合,提高指标的有用性。
(一)定性判断。对例外事项进行“质”的评价,要求评估人员运用归纳和分析等方法对例外事项从性质方面进行评价;在评估一个缺陷或缺陷汇总的严重性时,应当考虑一个足够知情的、有胜任能力的、并且客观的专业人员是否会认为此控制缺陷(或缺陷汇总)可能导致企业严重偏离财务控制目标,即构成重大缺陷。如果存在产生控制目标偏离的风险相当高的情况,此项控制缺陷或缺陷汇总应当被视为重大缺陷。某些情况(如重大审计调整、重述以前年度已公布的财务报告)可能并不是由控制缺陷本身导致的。这些情况通常包含了特有的事项和环境,并且受客观因素的影响。例如:当公司管理层已经建立了合理的方式使用会计准则,而且相关控制的设计合理、执行有效,则可以合理地认为控制并没有失效。但当发生重大审计调整、重述以前年度已公布的财务报告时,通常不能认为内部控制依然有效,必须基于企业特有的事实和环境进行慎重考虑,并且进行仔细地评估和咨询。对于定性判断的标准,举例如下表:
(二)定量分析。对例外事项进行“量”的评价,要求评估人员从例外事项可能引起的年报以及中报的潜在错报、漏报入手,从数量方面对其进行界定;对于定量分类标准,选取上市公司关于企业重大风险指标的标准偏差率(经验数据),通过对比标准偏差率和实际偏差率来对缺陷进行识别。在内部控制有效性测试中,管理层或审计师识别的错误暗示着一个控制缺陷的存在,即报表错报隐藏着缺陷,已知的或者有可能发生的无关紧要的错报至少是一个一般缺陷,已知的或者有可能发生的大于不重大的错报是重要缺陷的强烈指标,已知的或者有可能发生的重大错报至少是一个重要缺陷或是重大缺陷(实质性漏洞)的强烈指标。所以这就为我们进行定量化指标选取提供了依据,即选取占利润的一定百分比对错报进行划分,这样就可以对缺陷的识别提供了前提。定量判断视上市公司自身情况而定,如银行业的资本充足率偏差:
定 量 分 析 标 准
以我国上市银行为例,选取资本充足率指标偏离程度对内控缺陷进行识别。最新达成的《巴塞尔协议III》规定全球范围内的银行在一定期限内的资本充足率维持8%不变,各大银行在各个时期资本充足率会上下浮动,本表将资本充足率下降的标准偏差设为3%,如果资本充足率下降的实际偏差大于3%,那将意味着银行抵御风险的能力下降,从而通过这一例外事项间接反映了银行内部控制的不完善,从而识别缺陷。
四、内控缺陷的识别框架
对例外事项的评估框架:
Box1.对例外事项原因与频率的彻底了解对评估此例外是否构成控制缺陷是相当重要的。评价是否达到控制目标应考虑一下因素:1、定性因素(参考定性分类标准);2、有关控制在执行中日常事项的偏差率(参考定量分类标准);3、这个例外事项是否可导致财务报表错报。
Box2.若控制目标没有达到,那么通过额外的测试能否得出这一偏差在整个样本中不具有代表性,如,如果例外事项得出了一个不容忽视的偏差率,那么说明控制目标起初未实现,在一个允许有一定偏差的测试中,如果实际偏差大于设定的偏差,那么说明控制目标就是没有实现。
Box3.没有实现控制目标后有两种选择:1、如果例外事项和其导致的偏差不具有代表性,而是一些抽样误差造成的,评估人员可追加抽取不少于首次数量的样本,检查是存在例外事项,即进行延伸测试和重新评估。2、如果其具有代表性,那么这一例外实行将被认定为控制缺陷。内部控制缺陷的识别在我国处于起步阶段,缺陷识别评价标准的确立、完善和业内外人士的共识需要一段时间,不可能简单概括,一蹴而就,本文具体以银行业为例,初步探讨了内控缺陷的识别框架,将例外事项的评估步骤概括性的展现出来,但是对于包括银行在内的各大上市公司的适用还需要经过反复的斟酌与研究,锲而不舍的坚持将有助于缩短这一进程。
作者单位:首都经济贸易大学会计学院
参考文献:
[1]高一斌,王宏.对加快推进内部会计控制建设若干问题的思考[J].会计研究.2005,2.
关键词:例外事项;内控缺陷;识别框架
中图分类号:F275 文献标识码:A 文章编号:1006-4117(2011)12-0209-02
一、文献回顾及研究切入点
2002年萨班斯法案(SOX)的出台,美国上市公司内部控制制度发生了重大变革。我国紧跟SOX的脚步,并在美国COSO委员会发布的《内部控制-整体框架》(COSO-IC)基础上,于2008年发布《企业内部控制基本规范》,指出内部控制缺陷包括设计缺陷和运行缺陷。涂燕等(2004)在《刍议我国内部控制的缺陷及完善》从内控的演变过程入手,分析了我国内控环境、风险评估、信息与沟通和监督方面存在的缺陷;林朝华等(2006)在《CSA:内部控制系统评价的新观念和新方法》中介绍了国际流行的内控评审的最新理念:内控的自我评估(CSA)克服了以往内控评审仅仅由审计师执行的缺陷,让管理者与操作员工参与自己所涉及的内控评估中,CSA成为21世纪组织检查与评价内控的主流。梳理与内部控制缺陷有关的已有研究成果,我们不难发现,国内已有的文献主要侧重于对于企业内部控制缺陷的理论分析和个案研究(如中航油案例分析、民生银行实质性内部控制缺陷分析等),并没有形成普适性的研究结论和上市公司通用的内控缺陷认定框架。因此本文根据2004年AICPA发布了控制例外和缺陷的评价框架,以内控缺陷识别的定性与定量标准为突破口,对内控缺陷的识别做出了具体的框架设计。
二、内控缺陷定义与例外事项
内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计与执行的政策及程序。内部控制缺陷是内部控制过程中存在的缺点或不足,这种缺点或不足使得内部控制无法为控制目标的实现提供合理保证。内部控制例外是指企业在进行内部控制有效性测试中产生的例外事项,所有的例外事项都必须按照定量与定性而对标准进行评估,判断是否其构成一个控制缺陷。这样我们就可以针对管理层或者外部审计师在对上市公司评估过程中发现的例外事项进行识别,根据设定的定性与定量分析标准,将例外事项是否构成内控缺陷的过程设计成一套框架体系。
三、内控缺陷的评价标准
根据《企业内部控制基本规范》中关于内部控制缺陷的认定规范,将内控缺陷分为设计缺陷和运行缺陷。当某项控制的设计或执行不能使管理层或员工在正常行使其职责过程中及时防止或发现控制目标偏离时,表明存在财务内部控制设计和执行缺陷。设计缺陷是指缺少实现内部控制目标必需的某项控制措施,或者现有内部控制的设计不适当,导致即使内部控制按照设计执行,通常也无法实现内部控制目标;执行缺陷是指设计适当的内部控制没有按设计执行,或者执行内部控制的相关人员缺乏必要的授权或不具备实施有效控制的资格。缺陷认定主要从内控的五大要素开展,然后再汇总进行整体控制缺陷认定;不同要素控制缺陷类型的具体认定标准不同,但方法基本一致,即定量分析或定性判断;评估标准的选择来自于实务中的经验,与实践紧密结合,提高指标的有用性。
(一)定性判断。对例外事项进行“质”的评价,要求评估人员运用归纳和分析等方法对例外事项从性质方面进行评价;在评估一个缺陷或缺陷汇总的严重性时,应当考虑一个足够知情的、有胜任能力的、并且客观的专业人员是否会认为此控制缺陷(或缺陷汇总)可能导致企业严重偏离财务控制目标,即构成重大缺陷。如果存在产生控制目标偏离的风险相当高的情况,此项控制缺陷或缺陷汇总应当被视为重大缺陷。某些情况(如重大审计调整、重述以前年度已公布的财务报告)可能并不是由控制缺陷本身导致的。这些情况通常包含了特有的事项和环境,并且受客观因素的影响。例如:当公司管理层已经建立了合理的方式使用会计准则,而且相关控制的设计合理、执行有效,则可以合理地认为控制并没有失效。但当发生重大审计调整、重述以前年度已公布的财务报告时,通常不能认为内部控制依然有效,必须基于企业特有的事实和环境进行慎重考虑,并且进行仔细地评估和咨询。对于定性判断的标准,举例如下表:
(二)定量分析。对例外事项进行“量”的评价,要求评估人员从例外事项可能引起的年报以及中报的潜在错报、漏报入手,从数量方面对其进行界定;对于定量分类标准,选取上市公司关于企业重大风险指标的标准偏差率(经验数据),通过对比标准偏差率和实际偏差率来对缺陷进行识别。在内部控制有效性测试中,管理层或审计师识别的错误暗示着一个控制缺陷的存在,即报表错报隐藏着缺陷,已知的或者有可能发生的无关紧要的错报至少是一个一般缺陷,已知的或者有可能发生的大于不重大的错报是重要缺陷的强烈指标,已知的或者有可能发生的重大错报至少是一个重要缺陷或是重大缺陷(实质性漏洞)的强烈指标。所以这就为我们进行定量化指标选取提供了依据,即选取占利润的一定百分比对错报进行划分,这样就可以对缺陷的识别提供了前提。定量判断视上市公司自身情况而定,如银行业的资本充足率偏差:
定 量 分 析 标 准
以我国上市银行为例,选取资本充足率指标偏离程度对内控缺陷进行识别。最新达成的《巴塞尔协议III》规定全球范围内的银行在一定期限内的资本充足率维持8%不变,各大银行在各个时期资本充足率会上下浮动,本表将资本充足率下降的标准偏差设为3%,如果资本充足率下降的实际偏差大于3%,那将意味着银行抵御风险的能力下降,从而通过这一例外事项间接反映了银行内部控制的不完善,从而识别缺陷。
四、内控缺陷的识别框架
对例外事项的评估框架:
Box1.对例外事项原因与频率的彻底了解对评估此例外是否构成控制缺陷是相当重要的。评价是否达到控制目标应考虑一下因素:1、定性因素(参考定性分类标准);2、有关控制在执行中日常事项的偏差率(参考定量分类标准);3、这个例外事项是否可导致财务报表错报。
Box2.若控制目标没有达到,那么通过额外的测试能否得出这一偏差在整个样本中不具有代表性,如,如果例外事项得出了一个不容忽视的偏差率,那么说明控制目标起初未实现,在一个允许有一定偏差的测试中,如果实际偏差大于设定的偏差,那么说明控制目标就是没有实现。
Box3.没有实现控制目标后有两种选择:1、如果例外事项和其导致的偏差不具有代表性,而是一些抽样误差造成的,评估人员可追加抽取不少于首次数量的样本,检查是存在例外事项,即进行延伸测试和重新评估。2、如果其具有代表性,那么这一例外实行将被认定为控制缺陷。内部控制缺陷的识别在我国处于起步阶段,缺陷识别评价标准的确立、完善和业内外人士的共识需要一段时间,不可能简单概括,一蹴而就,本文具体以银行业为例,初步探讨了内控缺陷的识别框架,将例外事项的评估步骤概括性的展现出来,但是对于包括银行在内的各大上市公司的适用还需要经过反复的斟酌与研究,锲而不舍的坚持将有助于缩短这一进程。
作者单位:首都经济贸易大学会计学院
参考文献:
[1]高一斌,王宏.对加快推进内部会计控制建设若干问题的思考[J].会计研究.2005,2.