在美上市公司内部控制重大缺陷认定的会计选择
一、引言
《企业内部控制基本规范》及其配套指引已于2011年1月1日起首先在境内外同时上市的公司施行,并于2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行。按照规定,执行企业内部控制规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告;同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。因此,在2011年年度报告披露期间(2012年1—4月),我们将可以看到那些境内外同时上市的公司向境内投资者披露的内部控制自我评价报告,以及内部控制审计报告。
如何认定内部控制重大缺陷并进行披露,是我国上市公司执行《企业内部控制基本规范》面临的一个前所未有的挑战。内部控制重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。如果认定内部控制存在重大缺陷,将直接导致上市公司得出内部控制无效的结论。因此,如何认定内部控制重大缺陷的认定并进行披露至关重要。本文从上市公司角度,研究了《萨班斯—奥克斯利法案》实施初期在美上市公司财务报告内部控制重大缺陷的认定及披露情况,希望能对我国上市公司实施《企业内部控制基本规范》及其配套指引起到借鉴作用。
二、内部控制评价相关文献综述
朱荣恩等(2003)从美国《萨班斯—奥克斯利法案》404条款的要求出发,对财务报告内部控制有效性评价做了相关的解读,并在研究SEC提案和AICPA征求意见稿的基础上,结合两个会计师事务所提供的报告,提出了对我国财务报告内部控制有效性评价的启发和借鉴意义。王立勇(2004)运用可靠性理论和数理统计知识构建了一个内部控制系统评价的数学分析模型,利用该模型可计算程序的可靠度和系统可靠度,判断内部控制的效果。王煜宇等(2005)构建了五大类(内部控制环境、风险评估、内部会计控制、内部管理控制、监督控制)、35个具体指标组成的企业内部控制评价指标体系。于增彪等(2007)采用实地研究方法,详细探讨了亚新科安徽子公司如何设计和应用内控评价体系。陈汉文等(2008)分析了内部控制的有效性以及有效内部控制的内涵,认为评价企业内部控制的方法总体上可以分为详细评价法和风险基础法两种,风险基础法相对来说具有更高的成本效益和效率。张先治等(2011)基于我国企业的环境和企业内部控制基本规范配套指引的实施,结合国内外企业内部控制评价理论研究和实践状况,构建了我国企业内部控制评价系统,包括内部控制评价内涵、评价目的、评价模式、评价主体、评价客体、评价模型等。
以上学术界对内部控制评价的研究,采用的方法基本上是建立由多个评价指标体系构成、分别打分并设置一定权重、最后计算得出总的内部控制评价得分的方法。这和美国《萨班斯—奥克斯利法案》404条款要求进行的内部控制评估有很大的不同。按照后者的规定,要评估内部控制是否有重要缺陷、重大缺陷,如果发现一个重大缺陷,就不能认定内部控制有效。
国外关于内部控制重大缺陷的研究,主要集中于内部控制重大缺陷的分类、内部控制重大缺陷的影响因素,以及披露内部控制重大缺陷后的市场反应,等等。关于内部控制重大缺陷的分类,具有代表性的包括Doss(2004)、Ge等(2005)、Hammersley等(2008)等。关于内部控制重大缺陷的影响因素,具有代表性的为Doyle等(2007a,b),Ashbaugh-Skaife等(2007)等。关于内部控制重大缺陷披露后的市场反应,具有代表性的包括DeFranco等(2005)、Hammersley等(2008)等。上述研究为了解内部控制重大缺陷的认定和披露提供了有用的经验证据,对我国上市公司也有较强的借鉴意义。
三、样本选择与内部控制重大缺陷披露总体情况
(一)样本选择
本文的样本来自美国《Compliance Week》为跟踪《萨班斯—奥克斯利法案》302条款、404条款实施而发布的内部控制月度报告,这与DeFranco等(2005)、Doyle等(2007a,b)、Ge等(2005)、Ashbaugh-Skaife等(2007)的样本来源一致。《Compliance Week》月度报告整理、摘录了月度报告发布前一个月披露内部控制重大缺陷或重要缺陷的上市公司披露的内容。与前述其他研究文献不同的是,本文选择的期间为2003年11月至2005年7月,共873个样本公司。一些公司在此期间披露的季度报告中不止一次披露了内部控制缺陷,因此在上述873个样本出现的次数也就不止一次,我们只保留了这部分公司第一次披露的信息,因此剔除了107个样本。在剩下的样本中,一些公司披露的并非内部控制重大缺陷,而是重要缺陷或一般缺陷,或者所披露的重大缺陷在比较会计报表期间而非报告期间存在,本文把这部分184个样本也予以剔除。经过上述过程,共剩下582个样本。
(二)《萨班斯—奥克斯利法案》执行初期在美上市公司内部控制重大缺陷披露总体情况
针对选定的样本公司,本文逐一分析了其披露的内部控制重大缺陷,并进行了分类、整理①。
本文对样本公司披露的内部控制重大缺陷按照公司层面、账户或交易层面来分类,并将无法根据所提供的信息进行分类的重大缺陷单独作为一类。如Doss(2004)所述,穆迪评级公司将内部控制重大缺陷划分为公司层面的重大缺陷,以及账户或交易层面的重大缺陷。如果一个公司披露了公司层面的内部控制重大缺陷,则穆迪会召开评级会议,讨论该公司现行评级是否已经反映了刚刚披露的重大缺陷,如果已有评级未反映新近披露的重大缺陷,且公司没有积极的整改措施,则穆迪会考虑降低其评级。对于账户或交易层面的内部控制重大缺陷,穆迪一般不会采取降低评级的行动。这说明,相比账户或交易层面的重大缺陷,公司层面的重大缺陷要更严重一些。我国《企业内部控制审计指引》第10条也规定,注册会计师在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行。
公司层面内部控制重大缺陷涉及到COSO《内部控制——整合框架》中控制环境、风险评估、控制系统、信息和沟通、监督等要素的几乎所有内容,而账户或交易层面内部控制重大缺陷则涉及资产负债表和利润表的几乎所有项目。在控制层面内部控制重大缺陷中,人力资源、财务报告流程、监督出现的频率较高;而账户或交易层面,收入确认、所得税会计、存货、租赁等项目出现的频率较高。
需要说明的是,内部控制重大缺陷数量与其他研究的统计结果存在差异。例如,Ha
mmersley等(2008)以《Compliance Week》2003年11月到2005年1月披露内部控制缺陷的613家样本公司为基础,经过调整后共358家公司,这些公司披露的内部控制缺陷共815个。如果研究同一期间样本,本文统计的内部控制重大缺陷共340家公司、内部控制缺陷数量879个。本文认为,产生差异的主要原因,如下文所论述的那样,是本文将样本公司披露的内部控制重大缺陷中提及的、产生内部控制重大缺陷的公司层面内部控制缺陷,以及相互联系的内部控制缺陷,均视为重大缺陷。这些差异不影响本文的研究结论。
四、在美上市公司内部控制重大缺陷认定及披露分析
内部控制重大缺陷认定是内部控制评估的核心,也是难点所在。许多重大缺陷是根据内部控制审计准则指出的、表明公司内部控制可能存在重大缺陷的重要迹象来认定的;其他的则通过重大缺陷的定义来认定。
(一)根据表明公司内部控制可能存在重大缺陷的重要迹象来认定、披露
美国公众公司会计监督委员会(PCAOB)《第2号审计准则——与财务报表审计相结合的财务报告内部控制审计》第140段,以及取而代之的《第5号审计准则——与财务报表审计相结合的财务报告内部控制审计》第69段都提到了如下四种迹象:为反映对一个重大错报的更正而重述以前发布的财务报表,未审财务报表中的重大错报由审计师而非公司发现,发现与高级管理层有关的舞弊,审计委员会对公司的对外财务报告和财务报告内部控制的监督无效。上述前两种迹象,在认定内部控制是否存在重大缺陷时非常重要。只要存在这两种迹象,通常即可认定公司存在内部控制重大缺陷。其他两种迹象则较难用来直接认定。
1.为反映对一个重大错报的更正而重述以前发布的财务报表
之所以重述以前发布的财务报表,是因为前期财务报表中存在重大错报,而内部控制并未发现并及时更正。因此,会计报表重述成为判断财务报告内部控制存在重大缺陷的重要迹象之一。需要明确的是,财务报表重述本身不应构成一个内部控制重大缺陷,导致发生会计报表重述的事项才是内部控制重大缺陷。故本文的分类中并无该项。有86家样本公司发生了财务报表重述。一些公司披露了导致发生报表重述的事项。一些公司则并未说明导致发生报表重述的事项,只是笼统地进行说明。
由于财务报表使用者可以观察到公司是否发生了财务报表重述,因此,公司在内部控制评估中需要认真评估导致财务报表重述的、应被认定为重大缺陷的内部控制并予以披露。
2.未审财务报表中的重大错报由审计师而非公司发现
如果审计师在审计中发现当期财务报表中存在重大错报,而公司财务报告内部控制没有发现该项错报,则说明公司财务报告内部控制存在重大缺陷。
在《萨班斯—奥克斯利法案》实施前、上市公司无须披露财务报告内部控制评价报告时,如果财务报表中存在重大错报,无论是由审计师还是公司发现的,只要公司能在最终披露的财务报表中进行了调整,就不会影响审计师对财务报表的审计意见。而在《萨班斯—奥克斯利法案》实施后、上市公司须同时披露财务报表审计意见及内部控制评价和审计意见时,如果未审财务报表中的重大错报由审计师而非公司发现,虽然公司的财务报表在按照审计师的建议调整后可能被出具无保留意见,但公司的财务报告内部控制则因无法防范重大错报而应被认定为无效并被审计师出具否定意见。在此需要明确的是,未审财务报表中的重大错报由审计师而非公司发现本身不构成一个内部控制重大缺陷,无法发现错报的内部控制如关账程序等才是内部控制重大缺陷。因此,本文的分类对该项未作考虑。
有55家样本公司提到了审计师提出的审计调整。虽然财务报表使用者无法观察到公司是否发生了审计调整,但由于审计调整记录于审计师的工作底稿中,因此,那些发生了审计调整的公司应该评估与审计调整事项相联系的内部控制是否存在重大缺陷并予以说明。
3.发现与高级管理层有关的舞弊
美国《审计准则公告第99号——财务报表审计中对舞弊的考虑》将舞弊定义为,被审计单位的管理层、治理层、员工或第三方使用欺骗手段获取不当或非法利益的故意行为,包括对财务信息作出虚假报告导致的错报,以及侵占资产导致的错报。由于舞弊是一种故意行为,其产生的错报的危害可能非常大,因此,舞弊是财务报表内部控制存在重大缺陷的重要迹象。
样本公司中,披露舞弊信息的仅有6家:有4家公司披露其存在舞弊行为,有1家公司披露其违反了《反海外贿赂法》(FCPA),有2家公司披露其反舞弊机制不能有效运行,如舞弊举报热线不能有效运行。与前述两个迹象相比,披露的公司明显要少。一方面,这可能是舞弊一般比较隐蔽,较难识别;另一方面则可能是因为舞弊的后果非常严重,上市公司高层管理人员不会轻易冒险,舞弊现象确实比较少。此外,与前面两个迹象不同的是,舞弊既是内部控制存在重大缺陷的重要迹象,本身也构成内部控制重大缺陷。
4.审计委员会对公司的对外财务报告和财务报告内部控制的监督无效
有效的监督能够及时、有效地识别出控制失败或控制缺陷,并报告给那些对控制负责的员工或高层管理人员,以及时实施纠正措施。如果监督无效,就难以保证内部控制有效运行。正因为如此,COSO专门发布了《内部控制体系监督指南》。
如果监督是有效的,就应该能够及时识别出内部控制重大缺陷并督促整改。因此,严格地讲,除非监督职能有效地发挥作用并及时识别出了重大缺陷且督促整改,否则,所有披露了内部控制重大缺陷的公司的监督职能都是无效的。在此意义上,样本公司的披露并不严格。
财务报表的使用者无法直接观察到公司的监督职能是否有效。对于公司及其审计师而言,监督有效与否依赖于审计委员会、内部审计部门的自我评估,以及对其他监督手段存在和运行效果的评估。由于监督是内部控制的五要素之一,因此,监督无效既是内部控制存在重大缺陷的迹象之一,同时也构成内部控制重大缺陷。
(二)根据内部控制重大缺陷定义来认定、披露
无论是否存在表明内部控制可能存在重大缺陷的迹象,公司都须按照内部控制重大缺陷的定义来认定。以下将根据《Compliance Week》月度报告摘录的上市公司内部控制披露内容来进行分析。
1.企业层面内部控制重大缺陷的认定
账户或交易层面内部控制重大缺陷,在很大程度上是与之相关的
企业层面内部控制存在重大缺陷导致的。我们发现,只有部分公司在披露其账户或交易层面内部控制重大缺陷时,也同时披露了导致该重大缺陷的企业层面内部控制重大缺陷,许多公司则没有披露。以下是几种具有代表性的企业层面内部控制重大缺陷。
(1)缺乏熟悉公认会计原则的会计人员,或会计人员缺乏应有的会计专业知识,或因离职造成会计人员不足。存在该问题将导致:无法做到不相容职务相互分离;无法及时进行财务关账;无法处理非常规、复杂交易;无法及时复核相关账户;无法处理所得税等复杂会计问题,等。披露此重大缺陷的样本公司达111家。
(2)不相容职务相互分离存在重大缺陷。不相容职务是指那些如果由一个人担任,可能发生错误和舞弊行为,且可能掩盖其错误和弊端行为的职务。不相容职务相互分离原则要求每项经济业务都要经过两个或两个以上的部门或人员的处理,并受其监督和制约。否则,将直接导致一些账户或交易层面的内部控制出现重大缺陷。披露此重大缺陷的样本公司达42家。
(3)缺乏有效的监督。监督是内部控制五要素的重要组成部分。从某种意义上讲,无论是账户层面或交易层面的内部控制存在重大缺陷,还是企业层面的内部控制存在重大缺陷,都说明监督存在重大缺陷。也就是说,监督是无效的。披露此类重大缺陷的样本公司达59家。
2.相互联系的账户或交易层面内部控制重大缺陷及其披露
按照审计循环观点,任何重大差错一定涉及相互联系的两个或两个以上的账户。控制活动通常是按照业务循环来设计的。如果一个业务循环相关的内部控制存在重大缺陷,影响到的就不只是与该循环相关的某一个账户,而是两个或两个以上的账户。这样,在披露账户或交易层面内部控制重大缺陷时,除了披露导致该账户或交易重大缺陷的公司层面内部控制重大缺陷外,还应披露受该重大缺陷影响的所有账户或报表项目为宜。本文发现,相当数量的公司并未按此原则认定并披露,只披露了其中的一个账户,仅有部分公司披露了受账户或交易层面内部控制重大缺陷影响的所有账户。
3.几个一般或重要缺陷构成重大缺陷
两个以上的内部控制缺陷可能构成重大缺陷。从财务报表使用者的角度,我们无法判断构成重大缺陷的几个一般或重要缺陷的严重程度。而从披露的情况看,此类情形不是很多。样本中有14家公司披露若干缺陷构成了重大缺陷。
4.在披露内部控制重大缺陷时同时披露整改行动
如果在评估时发现了重大缺陷,但及时采取了有效的整改行动,且在披露时已经产生了明显的效果,则可以在很大程度上缓解投资者的顾虑,也不会对公司评级产生严重的负面影响(Doss,2004)。本文发现,大部分公司在披露内部控制重大缺陷时会同时披露其整改行动。
五、在美上市公司内部控制重大缺陷认定及披露对我国上市公司的借鉴
(一)重大缺陷的认定
我国《企业内部控制评价指引》并未规定重大缺陷、重要缺陷和一般缺陷的具体认定标准,而是由企业根据这几种缺陷的定义自行确定②,这无疑增加了企业认定内部控制重大缺陷的难度,可能导致一些重大缺陷无法被认定并披露。参照在美上市公司内部控制重大缺陷的认定,我们认为,我国上市公司可以借鉴我国《企业内部控制审计指引》第22条列出的表明内部控制可能存在重大缺陷的迹象来认定,同时根据内部控制重大缺陷的定义来认定。相比根据重大缺陷定义认定,根据表明内部控制可能存在重大缺陷的迹象认定,比较容易判断,操作性较强。如果监管部门能够根据国内外上市公司披露内部控制重大缺陷的情况提供更多表明存在内部控制重大缺陷的迹象,无疑有助于公司执行《企业内部控制基本规范》及其配套指引。以下对我国准则规定的几个重要迹象进行分析。
1.根据表明公司内部控制可能存在重大缺陷的重要迹象来认定
我国《企业内部控制审计指引》第22条列出的表明内部控制可能存在重大缺陷的迹象包括:注册会计师发现董事、监事和高级管理人员舞弊;企业更正已经公布的财务报表;注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效。
(1)注册会计师发现董事、监事和高级管理人员舞弊。如果注册会计师在财务报表审计中执行《中国注册会计师审计准则第1141号——财务报表审计中对舞弊的考虑》,或在内部控制审计中发现董事、监事和高级管理人员舞弊,则内部控制极有可能被认定存在重大缺陷。然而,正如该审计准则第六条所述的那样,“舞弊是一个宽泛的法律概念,本准则并不要求注册会计师对舞弊是否已经发生作出法律意义上的判定,只要求关注导致财务报表发生重大错报的舞弊”,注册会计师对舞弊的认定并非易事,只有当有确凿的证据表明董事、监事和高级管理人员舞弊时,注册会计师方可由此认定公司内部控制存在重大缺陷。本文认为,如果一家公司被证监会立案调查或行政处罚,或被司法机构认定存在违法犯罪,则通常表明公司存在舞弊行为。在此情形下,注册会计师应该认定该公司内部控制存在重大缺陷。
(2)企业更正已经公布的财务报表。近年来,我国上市公司重述前期发布的财务报表的情形频繁发生。根据我国《企业会计准则第28号——会计政策、会计估计变更和差错更正》,企业在当期发现、属于以前期间的会计差错,如果是重大会计差错,调整发现当期期初留存收益以及有关项目;对于比较会计报表期间的重大差错,则应当调整发生当期的净损益和相关项目。本文认为,参照样本公司的做法,我国上市公司因重大会计差错而更正已经公布的财务报表,应认定导致发生该重大差错的内部控制存在重大缺陷。
(3)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报。发生这种情形,以致注册会计师提出了审计调整建议且公司为了获得无保留意见只能接受该建议,是内部控制存在重大缺陷的最直接的迹象之一。按照此标准,一些公司财务关账之后被注册会计师发现具有重大错报,其内部控制应该被认定存在重大缺陷;而一些公司因财务人员缺乏必要的会计准则知识,一直依赖审计师代为编制财务关账流程中的重要会计分录,甚至代为编制合并财务报表,其内部控制也应该被认定存在重大缺陷。
(4)企业审计委员会和内部审计机构对内部控制的监督无效。由于我国《企业内部控
制应用指引》并未包括审计委员会和内部审计相关内容,因此,无论审计师还是公司,在评价审计委员会和内部审计机构对内部控制的监督是否有效时都面临较大的困难。
关于我国上市公司审计委员会监督有效性,虽不乏实证研究证据(王跃堂等,2006),但应评价哪些具体要素却缺乏客观的依据。可以参照一些在美国上市的中国公司执行《萨班斯—奥克斯利》法案404条款的做法,从如下十个方面进行评估:是否设立了审计委员会;审计委员会的成员构成是否具有独立性;审计委员会成员具有相应的学识和经验来履行其监督职责;审计委员会与财务主管、内外部审计师等相关方的沟通与联系;审计委员会是否能及时充分获取必要的信息来监督管理层的战略、经营、财务状况和经营成果,以及其他重大交易合同等;审计委员会评估敏感的信息、调查结果及不当或违法活动(例如:重大诉讼、政府机关的调查、侵吞公司资产、违反内部交易规定、违法支付等);是否就发现的问题,采取必要的行动,包括进行专项调查等;对定期财务报告的监督;对证监会、交易所规定的其他职责的履行情况;审计委员会的自我评估等。
关于内部审计监督的有效性,可以参考证券交易所制订的上市公司规范运作指引③中的相关规定来进行,但需要注意的是,这些规定中对内部审计的要求与国际内部审计师协会的要求还有较大的差距。参考陈武朝(2010)对美国《萨班斯—奥克斯利法案》404条款实施初期内部审计无效案例的研究结果,以及我国《企业内部控制基本规范》的相关规定,在实施《企业内部控制基本规范》时,应从独立性、胜任能力、任务和职责等三个方面评价内部审计是否有效。
如果认定审计委员会对内部控制的监督无效,或认定内部审计机构对内部控制的监督无效,则都应认定内部控制存在重大缺陷。
2.根据内部控制重大缺陷定义来认定、披露
参照在美上市公司的做法,无论是否存在表明内部控制可能存在重大缺陷的迹象,公司都须按照内部控制重大缺陷的定义来认定。由于该方法在很大程度上依赖内部控制评估人员的专业判断,因此不同公司对同一事项可能会得到完全不同的结论。借鉴在美上市公司重大缺陷认定,以下情形应考虑认定为内部控制重大缺陷:(1)缺乏熟悉公认会计原则的会计人员,或会计人员缺乏应有的会计专业知识,或因离职造成会计人员不足;(2)不相容职务相互分离存在重大缺陷;(3)缺乏及时、充分的复核及监督。此外,如果认定某个账户或交易层面内部控制存在重大缺陷,就应该考虑与之相关的企业层面内部控制是否存在重大缺陷,以及与之相联系的其他账户或交易层面内部控制是否存在重大缺陷;无论存在企业层面的内部控制重大缺陷,还是账户或交易层面的内部控制重大缺陷,都应考虑审计委员会及内部控制监督职能是否存在重大缺陷。
(二)重大缺陷的披露
我国上市公司在年度报告中如何披露内部控制评价信息,预计到2011年年报编制时才会有正式的规定出台。本文认为,重大缺陷披露应该体现重大缺陷认定的原因,即在披露任何一个重大缺陷时,都应该披露为什么存在该重大缺陷:有表明内部控制可能存在重大缺陷的重大迹象,还是满足内部控制重大缺陷的定义?在披露某个账户或交易层面内部控制的重大缺陷时,应披露审计委员会及内部审计监督可能存在的重大缺陷,与该账户或交易层面内部控制的重大缺陷相关的企业层面内部控制可能存在的重大缺陷,以及与之相联系的其他账户或交易层面内部控制可能存在的重大缺陷。应借鉴Hammersley等(2008)等的研究发现,披露内部控制重大缺陷的细节。特别需要注意的是,在披露内部控制重大缺陷同时应披露整改行动。
六、结论
本文研究了《萨班斯—奥克斯利法案》执行初期在美上市公司披露的财务报告内部控制重大缺陷的认定及披露,并结合我国的相关规定,分析了对我国上市公司执行《企业内部控制基本规范》及其配套指引的借鉴作用。
本文发现,在美上市公司的许多重大缺陷是根据内部控制审计准则指出的、表明公司内部控制可能存在重大缺陷的重要迹象来认定的;其他的则通过重大缺陷的定义来认定。披露的内部控制重大缺陷涉及COSO《内部控制—整合框架》五要素的几乎所有内容,以及资产负债表和利润表的几乎所有项目。仅有部分公司披露导致交易或账户层面重大缺陷的企业层面内部控制重大缺陷。同时,仅有部分公司披露受账户或交易层面内部控制重大缺陷影响的所有账户;相当数量的公司只披露其中的一个账户;绝大部分公司在披露内部控制重大缺陷时会同时披露其整改行动。
我国《企业内部控制评价指引》没有规定重大缺陷、重要缺陷和一般缺陷的具体认定标准,而是由企业根据这几种缺陷的定义自行确定。这无疑增加了企业认定内部控制重大缺陷的难度,可能导致一些重大缺陷无法被认定并披露。本文认为,我国上市公司可以借鉴我国《企业内部控制审计指引》列出的、表明内部控制可能存在重大缺陷的迹象来认定,同时根据内部控制重大缺陷的定义来认定。在披露时,应该体现重大缺陷认定的原因,即在披露任何一个重大缺陷时,都应该披露为什么存在该重大缺陷,以及与之相联系的其他内部控制可能存在的重大缺陷。此外,应注意披露内部控制重大缺陷的细节,且应同时披露整改行动。最后,对于监管机构而言,应总结实施中的经验和问题,尽早出台相关的规范,以规范《企业内部控制基本规范》及其配套指引的实施。
注释:
①限于篇幅,本文不再列示;如需索取请与作者联系。
②我国《企业内部控制评价指引》第17条规定:“重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的具体认定标准,由企业根据上述要求自行确定。”
③例如,深圳证券交易所制订的《深圳证券交易所主板上市公司规范运作指引》、《深圳证券交易所中小企业板上市公司规范运作指引》、《深圳证券交易所创业板上市公司规范运作指引》中对内部审计的职责都有要求。