作为准备进入证券市场的拟上市企业,成为上市公司前后最大的区别是规范性,包括公司治理结构、生产经营、财务管理、内部控制、信息披露等,因为企业上市后必须要在阳光下经营,置公司行为于大庭广众之下,接受证劵机构的监管和其他各方的监督,规范运作成为强制性的要求。在企业上市过程中,规范性是上市审核的重点问题之一,尤其是财务规范性,是拟上市企业成否顺利迈入证券市场大门的“入场券”。
企业上市前,财务不规范的情形往往具有普遍性,而中小板、创业板等处于成长阶段的企业,不规范程度可能更为突出。企业财务不规范,既有主观方面的原因,也有客观因素影响。主观原因包括:具有强烈的避税意愿,对规范经营的重要性认识不足、管理及内部控制意识薄弱等。客观因素主要包括:企业在创业初期资金实力较为薄弱,生存环境恶劣、财务人员素质较低等。
不论是经营不规范,还是财务不规范,以及二者综合反映的原始财务报表与申报财务报表的差异情况,“罪魁祸首”是企业内部控制存在缺陷。会计审计准则、企业内部控制、政府监督,是促进资本市场健康发展的三大支柱。可见财务会计问题在企业上市过程中的重要性,三大支柱中两大支柱为财务问题。在美国注册会计师协会成立 50 周年之际,罗斯福总统曾经发去贺电说:“会计工作是世界上最受信赖、最重要的工作之一。有效的会计(内部控制)制度, 能够发现一个企业的弊端,可以为投资者节省巨额美元,它甚至能挽救一个企业。”
证券市场对上市公司内部控制向来十分重视,尤其是自从安然事件后,美国出台《2002 年公众公司会计改革和投资者保护法案》,又称“萨班斯法案”,即 SOX 法案,其中 404 条款提出了近乎苛刻的规定:在美上市企业,要建立内部控制体系,其中包括控制环境、风险评估、控制活动、信息沟通以及监督 5 个部分。内部控制活动的记录不仅要细化到像产品付款时间这样的细节,而且对重大缺陷都要予以披露。它明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责,要求公司年报中包括一份“内部控制报告”,该报告要明确指出公司管理层对建立和保持一套完整的、与财务报告相关的内部控制系统和程序所负有的责任,并要包含管理层在财务年度期末,对公司财务报告相关内部控制体系及程序的有效性的评估。一方面, 很多公司要建立新的控制、形成文件并向审计人员证实,而这些工作在以往并不全是必需的; 另一方面,很多以前可以自行完成的事务,不得不由外部的专业人士来进行(一般是聘用咨询师),或者雇用新的员工,如修订审计委员会章程、形成新档案的工作、修改财务披露的方法和指引等。
404 条款涵盖企业运营的各个领域,一旦投入实施,必将引起整个企业控管流程的改变。《萨班斯法案》的实施将导致审计及咨询成本的增加。404 条款要求发行人必须编制年度内部控制报告,内部控制报告必须要指明公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任,和包括发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。担任公司年报审计的会计公司应当对其进行测试和评价,并出具评价报告。
我国对上市公司内部控制的要求起步于 2000 年前后,最初是从银行、证券等金融类上市公司提出应当加强内部控制建设,开展自我评估,出具评价报告。2002 年中国注册会计师协会出台《内部控制审核指导意见》,上市公司的自评报告逐步纳入注册会计师的审核范围,以增强企业内控自评报告的可信度。2006 年证券市场 IPO 重启后,《首发办法》规定:“发行人内部控制制度健全且被有效执行,能够合理保证公司财务报告的可靠性、生产经营的合法性、营运的效率与效果,并由注册会计师出具无保留结论的内部控制鉴证报告”。这意义着拟上市企业内部控制存在重要缺陷将不符合发行上市条件。
能正确进行会计处理。“绿大地”IPO 及上市后的财务造假案中,总指挥为董事长何学葵、策划并执行者财务总监将凯西为何学葵亲信、负责资金调度的出纳主管赵海丽为何学葵亲戚、负责伪造合同的客户部负责人赵海艳为赵海丽姐姐,共同导演了一出企业上市的欺诈大案。这样的内部环境,根本无法确保财务报告的可靠性。
三是内部控制执行力较弱。内部控制侧重于执行的有效性,虽然多数企业建立了相当多的 内控制度,包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等,但很多规定是用于“应付”(上市),而不是真正用于“应用”, 内控执行流于形式比较严重,不能有效实现内控目标。例如,《内部控制应用指引》明确规定: 企业合同签署管理应当履行相应的决策程序,要对合同对方主体资格、合同内容是否存在重大 疏漏和欺诈进行研判,对于影响重大、涉及较高专业技术或法律关系复杂的合同,应当组织法律、技术、财会等专业人员参与谈判,必要时可聘请外部专业人员参与相关工作,以防止企业合法权益受到侵害。2011 年 8 月 17 日,发审委在审核青岛亨达股份有限公司首发上市申请材 料时,因该公司存在以下情形而未能通过上市审核:公司的内部控制制度存在缺陷或者未能得 到有效执行,例如公司在申报期存在未签署《房屋买卖合同》即向自然人预付购房款的情形。截至 2011 年 6 月底,该公司向自然人所购房产全部处于出租状态,公司尚未取得房产租赁人放弃在同等条件下优先购买所租房产的书面声明。公司能否取得该等房产的权属存在不确定性, 该等情形将可能导致公司的经营计划调整。
中国人处事善于“变通”,内部控制的严格要求,可能会因为“变通”而走样,甚至面目全非。 因此,内控执行力问题或许是中国多数企业的共性,《内部控制基本规范》能否顺利推行,还需要拭目以待。但无论如何,作为中国优秀企业代表的(拟)上市公司群体,应当为其他更多的企业做出表率,真正将内部控制作为促进企业经营管理上水平的有力武器。
四是内部控制手段较落后。制定合理的内部控制制度,是提高内控有效性的重要手段,如利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台,通过信息系统强化内部控制,有利于减少人为因素,提高控制的效率和效果。但这需要支付较高的成本,如大型美国公司仅在第一年建立内部控制系统的平均成本就高达 430 万美元,美国通用电气公司为达成 404 条款而完善内部控制系统的花费为 3000 万美元。我国企业规模小,投入不够,也有的企业也不愿意投入,使得内部控制的实施手段较为落后,拟上市的中小企业,建立ERP 系统的屈指可数。
内部控制是防范企业财务报告错误和舞弊行为的第一道防线,也是保证企业财务报告真实、完整的内在机制。监管机构在审核企业上市时,日益关注企业的内控是否存在缺陷。比如,以下情形通常会被认为内控薄弱,上市审核存在较大的风险:
1、重大的会计问题处理不当,将被认为与财务报告相关的内部控制存在重大缺陷。例如, 千禧之星珠宝珠宝股份有限公司在招股说明书(申报稿)中详细披露了加盟店管理的各项内容,并认为“经过多年发展,针对自营店和加盟店制定了一系列的制度和流程,并在实际管理中严格执行”。该公司和保荐机构在反馈意见回复中对申报期的收入构成进行了调整,将前次申报材料中的部分加盟店收入调整至批发收入。其中,2008 年至2010 年的加盟店收入分别调减2.45亿元、2.24 亿元和 2.59 亿元,相应金额调整至批发收入。该公司和保荐机构解释原因时称, 系部分加盟店未使用公司品牌开展经营或者同时经营其他品牌。发审委认为上述重大调整和解释说明导致无法判断该公司加盟店的内部控制制度在报告期内是否得以有效执行。
2、原始财务报表与申报财务报表差异反映营业收入、净利润及其他重要项目差异较大,,无论是何理由,均反映出企业财务基础工作较差,财务报告的可靠性存在问题。
3、现金确认收入的内部控制是审核重点。大量采用现金结算的行业,如农业、餐饮业、服务业等,现金管理、收入确认相关的内部控制非常重要,主要对于收入及成本确认的完整性难以判断,容易操纵业绩,如果无法解释财务指标的异常波动,可能会被认定为内控有缺陷。因此,对于现金结算较大的拟上市企业,在不影响客户关系和业务发展的情况下,尽可能改变结算方式。
4、非法票据融资等违规行为也可能被定义为内部控制薄弱。内控制度要求企业必须合规经营,申报期间内存在《首发办法》中明令禁止的违反相关法规的行为,从另一视角看是控制失效。
5、违反安全生产、环境保护等非财务方面的内控也可能失去上市机会。例如,安徽广信农化股份有限公司在 2010 年 1 月 9 日,公司甲基硫菌灵车间反应釜发生底阀堵料故障,因处置不当导致 3 名人员死亡;安徽省环保厅出具的《污染环境问题调查处理情况》中提到公司的东川岭、蔡家山厂区曾不同程度存在环境管理制度不完善、卫生防护距离内尚有部分居民未搬离等环境问题。因此,在 11 月 2 日上市审核中被认定为“无法判断公司在安全生产管理和环境保护方面的内部控制制度是否健全并且有效执行”遭到否决。
6、其他内控问题。如关联交易的决策程序不规范,超过规定金额的关联交易未履行独立董事、董事会或股东大会等决策程序。
既然内部控制对于拟上市企业而言如此重要,那就必须真抓实干,将内控的建设和执行落到实处。拟上市企业贯彻实施内控制度,应当树立正确的内控观:
1、内控有何作用?内控的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。即是一种有利于企业发展壮大的制度安排,并非捆住企业手脚的“锁链”。
2、谁需要内控?这存在较大争议,内控的责任主体首先是治理层还是管理层?作为上市公司而言,应当是股东需要内部控制,而董事会是股东的代言人,因此首先是董事会需要内部控制。但是,由于董事会人数有限,他需要将责任进行分解,分解到经理层,经理层进一步将内部内控责任分解到各部门。因此,内部控制实际上是责任(权利)分解的过程,企业的每个员工都是内控的一个环节。在这个过程中,如果能够将责任和权利对等起来,是完美的,如果将责权利挂钩则更加完美。缺乏内控,责权利不对等,内部控制执行力就差。内控应当是拟上市公司“我自己要做,并不是监管机构强迫才做,会计师事务所审计时说什么并不重要”,要把内部控制当做拟上市企业的“家规、家法”。
3、内控从谁做起?内控从领导做起,从顶层做起,尤其是首先从“一把手”做起。内部控制最核心的是控制“人”,就是对人的不信任,那么控制哪些人?内部控制一定要强调公司董事会被控制,首先是董事会成员被控,尤其是“一把手”要被控,否则内部控制很难执行, 因为大家都不想被控制。
4、内控与日常管理的关系?内部控制不能代替内部管理,内控是让管理更加有效,内控应当嵌入管理制度,确保管理畅通无阻地执行。内控应当成为管理的“抓手”。
5、内控与风险管理的关系?风险管理是内部控制的延伸,内控是风险管理的基础。不能把两者看成是两个东西。现在的内控并非局限于财务方面,而是以全面风险管理为导向的内控, 因此不局限于与财务相关。
拟上市企业内控是否有效,必须要经过注册会计师的审计。只有注册会计师出具了标准无保留意见的内控审计报告,才能提出上市申请。《企业内部控制基本规范》、《企业内部控制审计指引》和《企业内部控制审计指引实施意见》等企业内部控制制度,确立了我国企业内部控制审计制度,要求执行内部控制规范体系的企业,必须聘请会计师事务所对其财务报告内部控制有效性进行审计。注册会计师对企业内部控制有效性进行客观、独立的鉴证,不仅能够监督、推动企业将内部控制规范落到实处,促进企业加强内部控制规范建设,提升财务报告风险防范能力,同时也能够进一步提升企业信息披露的透明度,增强投资者对企业财务信息可靠性的信心,对保护投资者权益和社会公众利益具有重要作用。拟上市企业虽然暂时不全面实施内控制度及审计,但这仅是时间问题。
内控审计,也对注册会计师提出了新的挑战。对于注册会计师而言,这是一项新的法定业务。内控审计是独立于财务审计的业务,既存在联系,也存在显著的区别。内部控制审计和财务报告审计的联系,主要体现在以下五个方面:
一是两者的最终目的一致,虽然二者各有侧重,但最终目的均为提高财务信息质量,提高财务报告的可靠性,为利益相关者提供高质量的信息。
二是两者都采取风险导向审计模式,注册会计师首先实施风险评估程序,识别和评估重大缺陷(或错报)存在的风险。在此基础上,有针对性地采取应对措施,实施相应的审计程序。
三是两者都要了解和测试内部控制,并且对内部控制有效性的定义和评价方法相同,都可能用到询问、检查、观察、穿行测试、重新执行等方法和程序。
四是两者均要识别重点账户、重要交易类别等重点审计领域。注册会计师在财务报告审计中,需要评价这些重点账户和重要交易类别是否存在重大错报;在内部控制审计中,需要评价这些账户和交易是否被内部控制所覆盖。
五是两者确定的重要性水平相同。注册会计师在财务报告审计中确定重要性水平,旨在检查财务报告中是否存在重大错报;在财务报告内部控制审计中确定重要性水平,旨在检查财务报告内部控制是否存在重大缺陷。由于审计对象、判断标准相同,因此二者在审计中确定的重要性水平亦相同。
虽然内控审计与财务报告审计存在着多方面的联系,但财务报告审计是为了提高财务报告的可信赖程度,重在审计“结果”;而内部控制审计是对保证企业财务报告质量的内在机制的审计,重在审计“过程”。审计对象、重点等的不同,使得二者存在实质性差异,内部控制审计独立于财务报告审计。二者差异主要体现在五个方面:
首先,对内部控制了解和测试的目的不同。注册会计师在财务报告审计中评价内部控制的目的,是为了判断是否可以相应减少实质性程序的工作量,以及支持财务报告的审计意见类型; 在内部控制审计中评价内部控制的目的,则是为了对内部控制本身的有效性发表审计意见。
第二,内部控制测试范围存在区别。注册会计师在财务报告审计中,根据成本效益原则可能采取不同的审计策略,对于某些审计领域,可以绕过内部控制测试程序进行审计。而在内部控制审计中,注册会计师则不能绕过内部控制测试程序进行审计,注册会计师应当针对每一审计领域获取控制有效性的证据,以便对内部控制整体的有效性发表意见。
第三,内部控制测试结果所要达到的可靠程度不完全相同。在财务报告审计中,对控制测试的可靠性要求相对较低,注册会计师测试的样本量也有一定的弹性。在内部控制审计中,注册会计师则需要获取内部控制有效性的高度保证,因此对控制测试的可靠性要求较严,样本量选择相对弹性较小。
第四,两者对控制缺陷的评价要求不同。在财务报告审计中,注册会计师仅需将审计过程中识别出的内部控制缺陷区分为值得关注的内部控制缺陷和一般缺陷。而在内部控制审计中, 注册会计师需要对内部控制缺陷进行严格的评估,将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷。重大缺陷将影响到审计意见的类型。
第五,审计报告的内容不同。在财务报告审计中,注册会计师一般不对外报告内部控制的情况,除非内部控制影响到对财务报告发表的审计意见。在内部控制审计中,注册会计师应报告内部控制的有效性。
从以上五个方面可以看出,两者差异主要是具体目标、保证程度、评价要求、报告类型等属性上的实质性差异,这些决定了内部控制审计独立于财务报告审计。但在技术层面和实务工作中,两者审计模式、程序、方法等存在着相同之处,风险识别、评估、应对等大量工作内容相近,有很多的基础工作可以共享,在一项审计中发现的问题还可以为另一项审计提供线索和思路。因此,这两项审计工作完全可以整合进行,而由同一家事务所进行整合审计,不仅有利于提高审计效果和效率,降低审计成本,减少重复劳动,而且可以避免审计判断出现不一致的情形,降低企业聘请不同事务所实施审计的负担。
目前,美国《萨班斯—奥克斯利法案》和日本《金融商品交易法》均要求由出具财务报告审计报告的会计师事务所对企业财务报告内部控制进行审计,将企业内部控制审计定位在整合审计。美国的一项调查也显示,企业执行《萨班斯—奥克斯利法案》404 条款第二年的成本比第一年下降 46%,将两项审计工作更好地整合起来则是其中的一个主要原因。为此,我国《企业内部控制审计指引》也提倡将二者整合进行。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。