美国的《萨班斯——奥克斯利法案》及美国证券交易委员会(SEC)和纽约证券交易所(NYSE)随后制定的规则和管制,对于上市公司的治理、内部控制提出了更加严格的要求和限制,作为公司有效控制基石的董事会、高层管理者、外部审计师与内部审计师,必将承担更重要的职责。
中国保险业是外国投资者最为关注的行业之一,中国人寿海外上市曾是2003年全球最大的IPO项目,中国人保和中国平安也都在海外成功上市,就是有力的证明。如何完善内部控制,如何强化内部控制的基石,是中资保险公司健康走向世界的必修课。
一、公司内部控制是一个永恒的话题
2002年7月25日,美国国会通过了《2002年萨班斯——奥克斯利法案》(也称《2002年公众公司会计改革和投资者保护法案》,以下简称《法案》)。2002年7月30日,该《法案》经美国总统布什签署后,正式成为法律并生效。该法案的出台是针对美国有史以来最大的能源交易商——安然公司造假事件,以及其后又接连发生的施乐、世通等大公司会计造假案而制定的。根据安然事件反映出来的严重问题以及经济发展水平和社会环境的巨大变化,《法案》不仅对《证券法》(1933)和《证券交易法》(1934)这两部证券监管的重要法律做了修改和补充,而且还对会计行业的监督、审计独立性、财务信息披露、公司责任、证券分析师行为、证券交易委员会的权利和责任等诸多方面做了新的规定。在这些新规定当中,要求管理层报告公司对财务报告的内部控制、并要求外部审计师证实管理层报告的准确性最为引人注目。使内部控制再次成为人们关注的焦点。
《法案》的第302节要求CEO和CFO就他们的内部控制系统进行报告,并在提交给SEC的财务报表上签字——依此作为保证,因此,这部法律将迫使高级执行主管确保其内部控制系统的适当性;而《法案》第404节要求公司:(1)陈述管理层建立和保持适当的内部控制结构和财务报告程序的责任;(2)在上市公司的财政年度末,对内部控制结构和财务报告程序的效果的评估。《法案》的第404节以及103节,指导公众公司会计监督委员会(PCAOB)制定用以管理外部审计师的证实工作,并就管理层对内部控制的有效性的评估进行报告的行业标准。
2004年3月9日,PCAOB发布了其第2号审计标准:“与财务报表审计相关的针对财务报告的内部控制的审计”,并于2004年6月18日经SEC批准。该标准关注对财务报告的内部控制的审计工作,以及这项工作与财务报表审计的关系问题。这项综合的审计会产生两份审计意见:一份针对财务报告的内部控制,另一份针对财务报表。对内部控制的审计涉及以下内容:评价管理层用于开展其内部控制有效性评估的过程;评价内部控制设计和运转的效果;形成对财务报告的内部控制是否有效的意见。该标准的出台,将对构成有效公司治理基石的董事会、管理层、外部审计师与内部审计师产生深远的影响。正如PCAOB主席WilliamJ.McDonoush所称,“该标准是委员会采用的最为重要、意义最为深远的审计标准。过去,内部控制仅是管理者考虑的事情,而现在审计师们要对内部控制进行详细的测试和检查。这一过程将对投资者起到重要的保护作用,因为稳固的内部控制是抵御不当行为的头道防护线,是最为有效地威慑舞弊的防范措施”。
PCAOB的工作对于规范化的内部控制设计、实施、监督、评估与不断改进是有重大进步意义的,它使许多美国公司的各层管理者能在一个统一的框架内有效履行其内部控制的职责,并为会计师行业对内部控制的评估提供了一个基础。更为重要的是,该标准将力促公司建立有效的内部控制监督体系,这为有效的公司治理奠定了良好的基础。毕竟,内部控制监督过程需要审计委员会、高层管理者、外部审计师和内部审计师的共同参与。
PCAOB相信,为获取可靠的财务报表,机构必须保持内部控制的运转,以便了解各项记录的准确性,各项交易和资产的处理的公允反映情况,并对各项交易记录的充分性提供保证,且收支工作都经管理层和领导者授权。这样,就能根据一般公认会计原则(GAAP)编制财务报表。内部控制的运转还能确保上述步骤的运转,以防止或发现对财务报表产生重大影响的资产的盗用、未经授权使用或处置情形。简言之,如果公司管理层能证明其对簿记工作实施了适当的内部控制,用于编制准确财务报表的账簿和记录是充分的,并遵守了公司资产的使用规则,投资者就会对公司财务报表的可靠性更为信任。
《法案》将代表一个新的资本市场监管时代的到来,对公司内部控制、会计、审计发展的意义尤为重要。随着中国保险业对外国同业的全面开放,中资保险公司已置身于世界市场一体之中,对具有重大影响力的《法案》决不能视而不见。我们应该认真学习和研究《法案》,从中吸收营养,为完善中资保险公司的内部控制提供有用借鉴。
二、COSO框架应该成为中资保险公司完善公司内部控制的标准
第2号审计标准依据COSO制定的内部控制框架制订,在“管理层用于开展其评估的框架”一节中,明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架,来评估公司财务报告内部控制的有效性。在美国,为管理层的评估目标提供的适宜框架就是COSO框架。
COSO是一个由IIA和AICPA在内的众多组织组成的联盟,它开发出内部控制综合框架模型,称作COSO框架。SEC对PCAOB发布的第2号审计标准的认同,从一个侧面承认了COSO框架,表明COSO框架已正式成为内部控制的标准。在这样的背景下,要完善公司的内部控制,准确理解COSO界定的内部控制的目标、内容、概念是一项最基础的工作。
(一)内部控制的目标
通常情况下,对于组织来说,内部控制的目的是保证实现以下组织目标。
组织运行的效果与效率。所谓效果,就是组织实现组织目标的程度;所谓效率,就是指一定的资源投入所带来的产出量。
财务报告的可靠性和完整性。财务报告是综合反映组织经营效果和效率的文件,同时也是组织风险控制的重要依据。财务报告的不真实、不完整往往是组织的重要风险之源。
符合相关的法律法规和合同。违反法律法规和合同,既可能给组织带来较高的违法或违约成本,更可能隐含着对组织资产或股东利益更严重的危害。
(二)内部控制的内容
内部控制主要由控制环境、风险评价、控制活动、信息和沟通及监督5个部分组成。
控制环境,指影响组织实行内部控制的各种因素,其中包括组织特征、产品与服务构成、组织文化、领导风格、法律制度、管理层对内部控制的认识和组织信息管理系统等。这些因素都直接或间接地对内部控制的推行、效果或效率产生正面或负面影响。
风险评价,指对风险的真实性、风险可能造成的损失、防范风险可能采取的有效措施、这些措施可能产生的效果和风险发生后将产生的内外部影响进行分析和评价。
控制活动,是对可能发生或已经发生的风险采取应对措施,纠正偏差,使组织的运行朝着既定目标发展,其中包括相关的政策和程序。
信息沟通,内部控制涉及到组织的各个环节和各个方面,为了获得充分准确的信息、控制措施得到充分响应、风险评估客观公正,广泛的信息来源和相关人员之间的充分沟通与理解是内部控制中十分重要的工作环节。
监督,整个内部控制过程,包括风险评价和控制措施,本身都必须处于有效的监控之中,并根据具体情况进行及时的动态调整,以提高内部控制的准确性、有效性和控制效率。
(三)对内部控制概念的理解
对内部控制可以从3个方面来理解:
内部控制是动态过程。内部控制是一个过程,是实现目标的手段,而不是结果本身。组织目标是由组织的宗旨决定的。它包括具体目标和实现目标的效率。内部控制是防止那些可能影响组织目标有效率地实现的风险因素造成实际损失、或者使损失降低到最低限度的,贯穿于组织各项活动中的一系列行为或措施。环境影响内部控制,内部控制随环境变化而变化。
内部控制受人员沟通程度的影响。内部控制受到组织内各层次人员的影响,而不仅仅是简单地制定出一本制度手册或规章。单纯的规章制度只是一种机械的控制措施。组织虽然按照规章制度来运行,但人是具有个人目标、个人情感的能动性个体,他们可以在很大程度上影响规章制度的实施效率和效果。他们的行为可能受到其个人利益的驱使,也可能受其误解或抵触情绪的驱使。因此,内部控制必须建立在充分沟通的基础上。
内部控制提供的是合理保证。对管理层或董事会而言,内部控制提供的只是合理的保证,而不是绝对的保证。内部控制措施,无论设计的多么完美、运行的多么好,组织目标实现的可能性受到内部控制制度所固有局限性影响。内部控制也仅能为董事会和管理部门实现组织目标提供合理的保证。
第2号审计标准认为,COSO框架能确认出内部控制的运营效率和效果、财务报告的可靠性、遵守适用的法律和规章三大主要目标,而这三大目标都会对财务报告产生重大的影响,是关于财务报告的内部控制的组成部分。此外,标准将控制环境、风险评估、控制活动、信息和沟通、监控作为框架的五大组成要素,服务于上述三大目标。
事实上,当今世界另外几个主流内部控制框架如加拿大的CoCo、英国的Cadbury报告、国际内部审计师协会(11A)的SAC、信息系统审计与控制协会(1SACA)的Cobit都与COSO框架紧密相关。我国有关部门制定的内部控制标准,包括证监会发布的“证券公司内部控制指引(2003)”、中国人民银行发布的“商业银行内部控制指引(2002)”、中国内部审计协会发布的“内部审计准则——内部控制(2003)”,其核心目标也与COSO框架一脉相承。
总之,无论COSO框架,还是PCAOB的努力,有一点是非常明确的,就是要在公司内部建立一个基本的控制框架,作为管理层评估财务报告内部控制的基准。这也是公司发展到一定程度在管理方面的必然要求,它受公司治理、价值创造、风险和机会、管制、企业文化、技术发展及受托责任等各方面的影响。我们应该从COSO的框架中吸收合理的内核、应从中汲取经验,这会有助于中资保险公司管理层次的提升,执行能力的到位。毕竟,我们正面临一个国际化的舞台,在一些标准、框架的执行上应与全球主流框架保持一致,这样才有沟通的可能,有平等对话的可能,有进一步发展的可能。
三、加强公司内部审计工作有益于完善公司内部控制
内部控制的设计是否适当、执行是否有效,必须依据一定的标准进行评价,这个标准就是COSO中论述的内部控制的五个要素整体层次和/或作业层次的评价标准。对于内部控制评估应由谁来完成,对此COSO和Cadbury报告中的观点都认为,首先应由企业管理当局(或其指定人,如内部审计机构)定期对本单位内部控制设计的有效性进行评估,提出评估报告,然后再由注册会计师对其加以审核,提出内部控制审查报告。《法案》也做出同样的规定。由此可见,公司内部审计在对公司内部控制评估中的重要性。在颁布《法案》的过程中,由于IIA的积极参与,使得内部审计的作用与职责在法案中得以充分体现。
《法案》和美国证券交易委员会的有关指南,要求上市公司的高层管理人员对提交的财务报告提供保证,因此执行管理层是控制环境和财务资料的负责人。外部审计师为财务报告作公证,他要向财务报告使用者保证报告中的资料是按照公认会计准则公允地反映了组织的财务状况。至于内部审计师则负责向审计委员会或其它委员会保证,组织为编制财务报告所设置的内部控制制度是有效的。内部审计执行主管要经常及时地与审计委员会沟通;审计委员会要评价内部审计执行主管报告的全面性和充分性。
内部审计是一种独立、客观的保证活动与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。
(一)要注重发挥审计委员会的作用
《法案》要求所有在美国上市的公司都必须设立审计委员会,并确定其主要职责是:讨论每一年度和季度的财务报表并提出质询;评估公司对外发布的所有盈利信息和分析性预测;讨论公司的风险评估和管理政策;负责公司内部审计机构的建立及运行;接受并处理本公司会计、内部控制或审计方面的投诉;负责聘请会计师事务所,决定支付其费用并监督其工作,受聘的会计师事务所应直接向审计委员会报告;有权聘用独立的法律顾问、其它咨询顾问。同时,法案对公众公司高级管理人员在公司治理及财务信息披露方面的责任和权利进行了细化,要求首席执行官(CEO)和首席财务官(CFO)对公司所提交财务报表的真实性和准确性提供书面保证,并要阐明公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任。
(二)要遵守国际内部审计师协会的属性标准
内部审计活动是在一种多样的法律和文化环境下进行的;在目标、规模与结构都各不相同的机构内开展的;而且是由该机构内部或外部的人员进行操作的,并且不同国家有不同的法律和习惯,这些差异对不同环境下的内部审计实务都会产生影响。为此,国际内部审计师协会制定了统一的《内部审计实务标准》,用以说明内部审计实务的基本原则以及评价内部审计工作依据的标准、指导内部审计活动的开展,并为促进不同的、具有增值性的内部审计活动提供一个框架,从而帮助组织改善经营与工作。其作用在于让外部人员认同内部审计师所履行的审计工作是专业性的,即当一项内部审计工作遵守了该标准时,才能被外部认同为专业性的内部审计工作。
《内部审计实务标准》由属性标准、工作标准及实务公告三部分组成。属性标准通用于各行各业,主要说明内部审计机构的特点和对人员的要求,内部审计章程、独立性和客观性是其重要内容;工作标准通用于各行各业,阐述了内部审计工作的性质,并提出了衡量内部审计活动质量的准绳;实务公告适用于特定类型的审计活动,它是属性标准和工作标准在特定类型审计活动中的具体表现。
特别应该注意的是,国际内部审计师协会于2003年在风险管理、控制和治理程序方面发布了几个实务公告,其中,实务公告2120.A1—4(财务报告过程审计),与实务公告2060—2(内部审计机构与审计委员会的关系)、2120A1—1(对控制过程的评价和报告)、2120A1—3(内部审计在季度财务报告、信息披露和管理当局承诺函中的作用)有密切的联系。这3个公告分别讨论内部审计与审计委员会的关系,内部审计如何评价组织的内部控制制度并形成审计意见,以及内部审计在贯彻美国《法案》和美国证券交易委员会相关指南中应起的作用。本公告则进一步讨论内部审计师与董事会、审计委员会、高级管理层和外部审计师在财务报告过程中的关系。
(三)要发挥内部审计执行主管的作用
内部审计执行主管在财务报告过程中应将财务报告过程审计列入年度工作计划,并分配适当的资源外,更重要的工作在于评价内部控制的有效性和提出有效的建议。
评价内部控制的有效性,应主要从几个方面人手:
1.组织是否有浓厚的道德文化环境。董事和高级管理人员是否以身作则遵守组织的道德行为规范;组织的道德行为规范是否通过培训使全体员工了解,并成为组织道德文化的倡导者和执行者;财务报告有无不实的表述和舞弊。
2.组织怎样进行风险管理。组织有无风险管理程序、是否有效;高级管理层是否依靠整个组织来控制风险;管理层是否开诚布公地与董事会讨论主要风险。
3.组织的控制制度是否有效。组织对财务报告过程的控制是否全面、是否包括收集资料、编制财务报表及其附注,以及规定要披露的和自主披露的事项;高级管理层和相关管理层是否声明对控制有效性承担责任;组织的财务报告或财务披露是否反映出高级管理层、董事会或组织事故不断;整个组织是否有良好的沟通渠道和报告制度;控制制度被视为促进目标实现的积极因素,还是绊脚石;雇用的人员是否合格、是否经过充分的培训、解决问题是否及时和有效。
4.组织是否有有效的监督。董事会是否独立于管理当局,没有利益冲突,信息灵通,对存在的问题及时进行了调查;内部审计是否得到高级管理层和审计委员会的支持;内部审计师和外部审计师是否与高级管理层和审计委员会进行开诚布公的沟通和私人接触;各级管理人员是否对控制过程进行监督;对外购审计过程是否进行了监督。
关于采取有效措施确保财务报告的可靠性和完整性,主要有:
1.在财务报告方面。给外部审计师提供与业务相关的资料;与外部审计师协调审计计划、范围和工作安排;与外部审计师分享审计信息;与外部审计师和审计委员会沟通会计政策和政策决策;与审计委员会、外部审计师和高级管理层一起审查财务报告和披露事项;评价财务报告质量,包括向法规机构提交的财务报告;评价组织内部控制的充分性和有效性,尤其是对财务报告过程的控制;监督管理当局遵守组织道德行为规范,为组织树立良好榜样,与员工、董事会和外部股东进行公开和真诚的沟通。
2.在组织治理方面。审查与遵守法律、法规、规章、道德有关的公司相关政策;审查与组织风险和治理相关的未决诉讼或法律诉讼;提供有关员工利益冲突、不正当行为、舞弊和道德规范的管理程序和报告制度执行结果的资料。
3.在公司控制方面。审查管理当局提交的公司经营和财务活动信息的可靠性和完整性;对关键会计控制政策进行分析,将其与最佳实务比较,对有疑问的交易进行审查;评价据以编制经营和财务报告的估计和假设是否合理;确保包含在披露或说明中的估计和假设与公司的实际相一致;评价会计处理程序,包括编制、审核、批准和过帐的程序;评价会计控制的充分性。
从内部控制、会计、内部审计的角度考虑,《法案》是《1933证券法》和《1934证券交易法》后又一部重要的法律。它不仅会对美国而且会对世界各国内部控制、会计、内部审计、公司治理、证券市场监管,乃至整个经济的发展产生重大而深远的影响。准备在国际保险市场上占据一席之地的中资保险公司,必须对此引起高度重视。