Monday, 9. October 2006, 07:53:57
internal
十年前,COSO报告①在世界范围内为内部控制提供了比较一致的概念解释和评价标准,对提升内部控制研究和运用水准,对增强企业风险防范能力,产生了积极影响。COSO报告不仅在美国被广泛运用,在世界许多地方也被视为模板。时至今日,世界又发生了很大变化。特别是进入新世纪后,继网络泡沫和新经济遭挫之后,美国社会又出现“安然”、“施乐”和“世通”等特大恶性企业欺诈案件。这些欺诈案件虽然在具体操作手法上有高有低,但几乎与20世纪30年代臭名昭著的麦肯希罗宾逊(McKesson&Robbins)案件采用了同样的作案手段,即:通过关联交易、高估资产或隐瞒负债,操纵利润。惊恐之余,重新研究和诠释COSO报告,对于分析和规避恶性财务欺诈,对于完善内部控制研究和健全企业内部控制,具有重要的现实意义。
一、COSO报告的现实意义
COSO报告是在美国金融风险加剧,财务欺诈抬头,社会各界对内部控制和独立审计师寄予厚望的“危难”时刻,由五个职业会计团体联合并潜心研究近4年左右的时间才诞生的。COSO报告中蕴涵了许多崭新的理念和思想。这些理念和思想,不仅对过去,而且对现在甚至未来的企业管理、财会工作和独立审计都有着重要影响。笔者认为主要有以下几个方面:
●准确定位内部控制基本目标。COSO报告指出内部控制本身不是目的,而是实现目标的手段。内部控制目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险②。用中国话来说就是为企业的经营和管理工作“保驾护航”。
●提出三类目标、五项构成要素概念。COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。这些概念的提出,为评价内部控制系统提供了一套完整的标准,使COSO报告在理论和实际应用两个方面都较原来的内部控制学说有一个质的飞跃。
●提出内部控制是“过程③”,并由控制环境、风险评估、控制活动、信息与沟通和监测活动五项要素构成。五项控制要素不是内部控制过程中先后顺序上的一道道工序,而是一个多方向交叉的多维的反复的过程。COSO报告突出了内部控制过程中的复杂性和各控制要素之间有机的多维的联系与影响。
●强调“人”的重要性。COSO报告指出人和环境是推动企业发展的引擎④。内部控制是由人来设计和实施的,企业中的每位员工都受内部控制的影响,并通过自身的工作影响着他人的工作和整个内部控制系统。所以,要求所有员工都应清楚他们在企业、在内部控制系统中的位置和角色,并协调一致,才能推进内部控制的有效运转。
●认识到董事会在内部控制中的作用。COSO认为董事会与公司内部控制之间是有联系的,企业中一些行为需要董事会批准或授权。一个客观、能动和富有调查精神的董事会,能够及时发现并修正公司经理班子逾越内部控制的行炉⑤。
●强调内部控制系统系是“内置于”(built in)企业经营和管理过程中的一项基础设施(infrastructure),与管理活动的计划、执行和监控职能交织融合在一起,不是后天添加物(built on)⑥。同时内控系统应有应对不断变化的客观世界的机制。
二、COSO报告之缺陷
COSO报告是以职业会计师为主体队伍的研究成果,应用的现实特别是面对美国财务危机的现状,显示COSO报告在控制能力上的差距。COSO报告中主要值得商榷的问题有:
●没有充分认识到董事会对内部控制系统的至关重要性。虽然COSO报告把董事会与内部控制联系起来,但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权,基本上把内部控制限定在CEO之下,而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。这好比设计一幢大厦,只看到了地上部分,忽视了地下基础。
●COSO提倡的反映内部控制运行状态的“管理报告”的信息含量和可信性值得怀疑。首先,从正常逻辑上考虑,如果一个企业的内部控制存在问题,企业能够如实地公示社会吗?第二,管理报告对内部控制的评价只是基于某一时点状况而言的。根据COSO报告,企业不需披露在此时点之前存在的但已被发现和更正的内部控制缺陷⑦。第三,报告的范围仅限于与财务报告有关的内部控制,而财务报告只是经营结果的反映。笔者认为内部控制系统的评估和持续监测是绝对必需的,但COSO建议的这种评估和披露方式容易误导投资者。
●COSO报告中的“合理保证”、“成本效益”等词语,基本上是从会计上直接移植过来的,对于规避注册会计师法律责任是有好处的。但对社会用户来说,增添了许多猜疑和无奈。到底什么算是“合理保证”,如何做到“成本效益配比”,在实践中恐怕很难说清楚。内部控制评价应通过提高评价标准和评价过程的客观性和透明度增加科学性。
●把企业经营和管理中一些重要职能排斥在内部控制触角之外。COSO一方面指出内部控制与管理各功能(计划、执行和监控)交织在一起,是内置于企业经营活动之中的。另一方面却把目标设定、战略规划、核心竞争力培育、风险评估和管理等重要经营和管理活动排斥在内部控制系统之外⑧。
●基本目标与分类子目标之间存在差异。根据COSO报告,内部控制基本目标是促使企业实现经营目标,并减少经营过程中的风险,其中既涉及了企业生存,也关注了企业发展。发展和战略规划问题是企业所有问题的根本。而三类子目标,基本上都属于维持企业当期经营的范畴,着眼点在于企业生存,没有站在企业战略高度关注未来发展。另外,COSO报告将内部控制基本目标细分为三类特定目标的方法值得商榷。这种分类方法的缺陷在其与GAO就保护资产安全内部控制之讨论中,就表现出来了。COSO认为,保护资产安全内部控制属于经营效果效率目标的范畴,已经包括在经营效果效率内部控制之中,而GAO认为保护资产安全内部控制涉及到资产价值真实性的问题,对财务报告可靠性有重大影响,应该包括在财务报告内部控制之中。COSO也在报告中承认三类目标有时是重叠的⑨。
●评价内部控制有效性标准过于主观。根据COSO报告,内部控制有效性有赖于对内部控制三类目标或五个控制要素的实现程度。但评价标准基本上都是主观判断。其实,一个企业内部控制是否有效完全可以通过它客观的市场业绩体现出来,例如企业市场价值,客户满意度,持续获利能力增长情况等。
●内部控制系统中会计与审计的色彩太重,考虑企业现存的和微观的或规避风险的事情多,与业务平台和业务拓展关系不大,防范风险也是被动的,缺乏能动性。所以,至今还有许多公司认为内部控制只是财务主管和财会人员的事情。
三、启示
企业是多重契约关系的组合,而股东会与董事会、董事会与经理班子之间的委托代理关系是其中最基本的契约关系,因此企业内部控制中的“内部”就应从组建法人治理结构开始。建立健全董事会功能是企业最根本的内部控制。“安然”、“施乐”和“世通”特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。同时,由于企业与外部关系人的经济联系和契约关系,在现代企业中发挥着越来越重要的作用,企业内部控制中的“内部”有时还要延伸至企业法律边界以外,将独立审计师、供应商资源、客户信用与需求和政府监管纳入企业内部控制系统。“控制”与“反控制”是一对永恒的矛盾,企业内部控制的目的是追求企业持续“得到控制”,确保企业各类契约关系持续而有序地运行,确保企业有一个好的战略目标和管理团队,并按照既定目标持续高效地发展和增值,为企业各类契约当事人发现并创造价值。企业内部控制是企业与生俱来的,它内置于企业经营和管理过程之中,并与之紧密联系、水乳交融,是同一事物的不同层面,不可割舍。企业内部控制应是一个能动的驾御、监测和推动系统,它不仅要关心企业的现实生存,更应关注企业的未来发展;不但重视企业微观,同时也关心企业宏观;不只是简单的规避风险,更着眼于科学风险管理,重视通过业务发展减低风险;不仅要重视现行会计上已确认和计量的资产,更要关注人力资本、管理团队、核心竞争力、研发能力、客户资源、企业文化和品牌与商誉等软性资产在企业发展和控制活动中的重要作用,即在内部控制上要引入“全面资产”概念;不仅注重企业经理班子之下的内部控制,而且特别强调公司治理结构建设,强调企业法律边界以外可能对企业生存与发展有重大影响的各类要素。
Monday, 9. October 2006, 07:29:20
internal
关于发布《深圳证券交易所上市公司内部控制指引》的通知
各上市公司:
为加强上市公司内部控制,促进上市公司规范运作和健康发展,保护投资者合法权益,本所制定了《深圳证券交易所上市公司内部控制指引》(以下简称“《内控指引》”),现予以发布,并就有关实施事项通知如下:
1、上市公司应当认真学习《内控指引》,自本通知发布之日至2007年6月30日期间,建立健全公司内部控制制度。
2、《内控指引》自2007年7月1日起施行。
特此通知。
附件:《深圳证券交易所上市公司内部控制指引》
深圳证券交易所
2006年9月28日
深圳证券交易所上市公司内部控制指引
第一章总则
第一条为加强上市公司内部控制,促进上市公司规范运作和健康发展,保护投资者合法权益,根据《公司法》、《证券法》等法律、行政法规、部门规章和《深圳证券交易所股票上市规则》(以下简称“《上市规则》”)的规定,制定本指引。
第二条本指引所称内部控制是指上市公司(以下简称“公司”)董事会、监事会、高级管理人员及其他有关人员为实现下列目标而提供合理保证的过程:
(一)遵守国家法律、法规、规章及其他相关规定;
(二)提高公司经营的效益及效率;
(三)保障公司资产的安全;
(四)确保公司信息披露的真实、准确、完整和公平。
第三条公司应按照本指引的要求及有关主管部门的相关内部控制规定,根据自身经营特点和所处环境,制定内部控制制度。
公司董事会应对公司内部控制制度的制定和有效执行负责。
第四条本指引适用于其股票在本所主板上市的公司(不含中小企业板上市公司)。
第二章基本要求
第五条公司的内部控制应充分考虑以下要素:
(一)内部环境:指影响公司内部控制制度制定、运行及效果的各种综合因素,包括公司组织结构、企业文化、风险理念、经营风格、人事管理政策等。
(二)目标设定:公司管理层根据风险偏好设定公司战略目标,并在公司内层层分解和落实。
(三)事项识别:公司管理层对影响公司目标实现的内外事件进行识别,分清风险和机会。
(四)风险评估:公司管理层对影响其目标实现的内、外各种风险进行分析,考虑其可能性和影响程度,以便公司制定必要的对策。
(五)风险对策:公司管理层按照公司的风险偏好和风险承受能力,采取规避、降低、分担或接受的风险应对方式,制定相应的风险控制措施。
(六)控制活动:公司管理层为确保风险对策有效执行和落实所采取的措施和程序,主要包括批准、授权、验证、协调、复核、定期盘点、记录核对、财产的保护、职责的分离、绩效考核等内容。
(七)信息与沟通:指识别、采集来自于公司内部和外部的相关信息,并及时向相关人员有效传递。
(八)检查监督:指对公司内部控制的效果进行监督、评价的过程,它通过持续性监督活动、专项监督评价或者两者的结合进行。
第六条公司应完善公司治理结构,确保董事会、监事会和股东大会等机构合法运作和科学决策,建立有效的激励约束机制,树立风险防范意识,培育良好的企业精神和内部控制文化,创造全体职工充分了解并履行职责的环境。
第七条公司应明确界定各部门、岗位的目标、职责和权限,建立相应的授权、检查和逐级问责制度,确保其在授权范围内履行职能;设立完善的控制架构,并制定各层级之间的控制程序,保证董事会及高级管理人员下达的指令能够被严格执行。
第八条公司的内部控制活动应涵盖公司所有营运环节,包括但不限于:销售及收款、采购和费用及付款、固定资产管理、存货管理、资金管理(包括投资融资管理)、财务报告、信息披露、人力资源管理和信息系统管理等。
上述控制活动涉及关联交易的,还应包括关联交易的控制政策及程序。
第九条上市公司应依据所处的环境和自身经营特点,建立印章使用管理、票据领用管理、预算管理、资产管理、担保管理、资金借贷管理、职务授权及代理人制度、信息披露管理、信息系统安全管理等专门管理制度。
第十条公司应重点加强对控股子公司的管理控制,加强对关联交易、对外担保、募集资金使用、重大投资、信息披露等活动的控制,按照本指引及有关规定的要求建立相应控制政策和程序。
第十一条公司应建立完整的风险评估体系,对经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续监控,及时发现、评估公司面临的各类风险,并采取必要的控制措施。
第十二条公司应制定公司内部信息和外部信息的管理政策,确保信息能够准确传递,确保董事会、监事会、高级管理人员及内部审计部门及时了解公司及其控股子公司的经营和风险状况,确保各类风险隐患和内部控制缺陷得到妥善处理。
第十三条公司应明确各部门、岗位的目标、职责和权限,建立相关部门之间、岗位之间的制衡和监督机制,并设立专门负责监督检查的内部审计部门。
第三章重点关注的控制活动
第一节对控股子公司的管理控制
第十四条公司应制定对控股子公司的控制政策及程序,并在充分考虑控股子公司业务特征等的基础上,督促其建立内部控制制度。
第十五条公司对其控股子公司的管理控制,至少应包括下列控制活动:
(一)建立对各控股子公司的控制制度,明确向控股子公司委派的董事、监事及重要高级管理人员的选任方式和职责权限等;
(二)依据公司的经营策略和风险管理政策,督导各控股子公司建立起相应的经营计划、风险管理程序;
(三)要求各控股子公司建立重大事项报告制度和审议程序,及时向公司分管负责人报告重大业务事项、重大财务事项以及其他可能对公司股票及其衍生品种交易价格产生重大影响的信息,并严格按照授权规定将重大事项报公司董事会审议或股东大会审议;
(四)要求控股子公司及时向公司董事会秘书报送其董事会决议、股东大会决议等重要文件,通报可能对公司股票及其衍生品种交易价格产生重大影响的事项;
(五)定期取得并分析各控股子公司的季度(月度)报告,包括营运报告、产销量报表、资产负债报表、损益报表、现金流量报表、向他人提供资金及提供担保报表等;
(六)建立对各控股子公司的绩效考核制度。
第十六条公司的控股子公司同时控股其他公司的,公司应督促其控股子公司参照本指引要求,逐层建立对其下属子公司的管理控制制度。
第二节关联交易的内部控制
第十七条公司关联交易的内部控制应遵循诚实信用、平等、自愿、公平、公开、公允的原则,不得损害公司和其他股东的利益。
第十八条公司应按照有关法律、行政法规、部门规章以及《上市规则》等有关规定,明确划分公司股东大会、董事会对关联交易事项的审批权限,规定关联交易事项的审议程序和回避表决要求。
第十九条公司应参照《上市规则》及其他有关规定,确定公司关联方的名单,并及时予以更新,确保关联方名单真实、准确、完整。
公司及其下属控股子公司在发生交易活动时,相关责任人应仔细查阅关联方名单,审慎判断是否构成关联交易。如果构成关联交易,应在各自权限内履行审批、报告义务。
第二十条公司审议需独立董事事前认可的关联交易事项时,前条所述相关人员应于第一时间通过董事会秘书将相关材料提交独立董事进行事前认可。独立董事在作出判断前,可以聘请中介机构出具专门报告,作为其判断的依据。
第二十一条公司在召开董事会审议关联交易事项时,会议召集人应在会议表决前提醒关联董事须回避表决。关联董事未主动声明并回避的,知悉情况的董事应要求关联董事予以回避。
公司股东大会在审议关联交易事项时,公司董事会及见证律师应在股东投票前,提醒关联股东须回避表决。
第二十二条公司在审议关联交易事项时,应做到:
(一)详细了解交易标的的真实状况,包括交易标的运营现状、盈利能力、是否存在抵押、冻结等权利瑕疵和诉讼、仲裁等法律纠纷;
(二)详细了解交易对方的诚信纪录、资信状况、履约能力等情况,审慎选择交易对手方;
(三)根据充分的定价依据确定交易价格;
(四)遵循《上市规则》的要求以及公司认为有必要时,聘请中介机构对交易标的进行审计或评估;
公司不应对所涉交易标的状况不清、交易价格未确定、交易对方情况不明朗的关联交易事项进行审议并作出决定。
第二十三条公司与关联方之间的交易应签订书面协议,明确交易双方的权利义务及法律责任。
第二十四条公司董事、监事及高级管理人员有义务关注公司是否存在被关联方挪用资金等侵占公司利益的问题。公司独立董事、监事至少应每季度查阅一次公司与关联方之间的资金往来情况,了解公司是否存在被控股股东及其关联方占用、转移公司资金、资产及其他资源的情况,如发现异常情况,及时提请公司董事会采取相应措施。
第二十五条公司发生因关联方占用或转移公司资金、资产或其他资源而给公司造成损失或可能造成损失的,公司董事会应及时采取诉讼、财产保全等保护性措施避免或减少损失。
第三节对外担保的内部控制
第二十六条公司对外担保的内部控制应遵循合法、审慎、互利、安全的原则,严格控制担保风险。
第二十七条公司应按照有关法律、行政法规、部门规章以及《上市规则》等有关规定,在《公司章程》中明确股东大会、董事会关于对外担保事项的审批权限,以及违反审批权限和审议程序的责任追究机制。
在确定审批权限时,公司应执行《上市规则》关于对外担保累计计算的相关规定。
第二十八条公司应调查被担保人的经营和信誉情况。董事会应认真审议分析被担保方的财务状况、营运状况、行业前景和信用情况,审慎依法作出决定。
公司可在必要时聘请外部专业机构对实施对外担保的风险进行评估,以作为董事会或股东大会进行决策的依据。
第二十九条公司对外担保应尽可能要求对方提供反担保,谨慎判断反担保提供方的实际担保能力和反担保的可执行性。
第三十条公司独立董事应在董事会审议对外担保事项时发表独立意见,必要时可聘请会计师事务所对公司累计和当期对外担保情况进行核查。如发现异常,应及时向董事会和监管部门报告并公告。
第三十一条公司应妥善管理担保合同及相关原始资料,及时进行清理检查,并定期与银行等相关机构进行核对,保证存档资料的完整、准确、有效,注意担保的时效期限。
在合同管理过程中,一旦发现未经董事会或股东大会审议程序批准的异常合同,应及时向董事会和监事会报告。
第三十二条公司应指派专人持续关注被担保人的情况,收集被担保人最近一期的财务资料和审计报告,定期分析其财务状况及偿债能力,关注其生产经营、资产负债、对外担保以及分立合并、法定代表人变化等情况,建立相关财务档案,定期向董事会报告。
如发现被担保人经营状况严重恶化或发生公司解散、分立等重大事项的,有关责任人应及时报告董事会。董事会有义务采取有效措施,将损失降低到最小程度。
第三十三条对外担保的债务到期后,公司应督促被担保人在限定时间内履行偿债义务。若被担保人未能按时履行义务,公司应及时采取必要的补救措施。
第三十四条公司担保的债务到期后需展期并需继续由其提供担保的,应作为新的对外担保,重新履行担保审批程序。
第三十五条公司控股子公司的对外担保比照上述规定执行。公司控股子公司应在其董事会或股东大会做出决议后,及时通知公司按规定履行信息披露义务。
第四节募集资金使用的内部控制
第三十六条公司募集资金使用的内部控制应遵循规范、安全、高效、透明的原则,遵守承诺,注重使用效益。
第三十七条公司应建立募集资金管理制度,对募集资金存储、审批、使用、变更、监督和责任追究等内容进行明确规定。
第三十八条公司应对募集资金进行专户存储管理,与开户银行签订募集资金专用帐户管理协议,掌握募集资金专用帐户的资金动态。
第三十九条公司应制定严格的募集资金使用审批程序和管理流程,保证募集资金按照招股说明书所列资金用途使用,按项目预算投入募集资金投资项目。
第四十条公司应跟踪项目进度和募集资金的使用情况,确保投资项目按公司承诺计划实施。相关部门应细化具体工作进度,保证各项工作能按计划进行,并定期向董事会和公司财务部门报告具体工作进展情况。
确因不可预见的客观因素影响,导致项目不能按投资计划正常进行时,公司应按有关规定及时履行报告和公告义务。
第四十一条公司应由内部审计部门跟踪监督募集资金使用情况并每季度向董事会报告。
独立董事和监事会应监督募集资金使用情况,定期就募集资金的使用情况进行检查。独立董事可根据公司章程规定聘请会计师事务所对募集资金使用情况进行专项审核。
第四十二条公司应配合保荐人的督导工作,主动向保荐人通报其募集资金的使用情况,授权保荐代表人到有关银行查询募集资金支取情况以及提供其他必要的配合和资料。
第四十三条公司如因市场发生变化,确需变更募集资金用途或变更项目投资方式的,必须经公司董事会审议、通知保荐机构及保荐代表人,并依法提交股东大会审批。
第四十四条公司决定终止原募集资金投资项目的,应尽快选择新的投资项目。
公司董事会应当对新募集资金投资项目的可行性、必要性和投资效益作审慎分析。
第四十五条公司应当在每个会计年度结束后全面核查募集资金投资项目的进展情况,并在年度报告中作相应披露。
第五节重大投资的内部控制
第四十六条公司重大投资的内部控制应遵循合法、审慎、安全、有效的原则,控制投资风险、注重投资效益。
第四十七条公司应在《公司章程》中明确股东大会、董事会对重大投资的审批权限,制定相应的审议程序。
公司委托理财事项应由公司董事会或股东大会审议批准,不得将委托理财审批权授予公司董事个人或经营管理层行使。
第四十八条公司应指定专门机构,负责对公司重大投资项目的可行性、投资风险、投资回报等事宜进行专门研究和评估,监督重大投资项目的执行进展,如发现投资项目出现异常情况,应及时向公司董事会报告。
第四十九条公司进行以股票、利率、汇率和商品为基础的期货、期权、权证等衍生产品投资的,应制定严格的决策程序、报告制度和监控措施,并根据公司的风险承受能力,限定公司的衍生产品投资规模。
第五十条公司进行委托理财的,应选择资信状况、财务状况良好,无不良诚信记录及盈利能力强的合格专业理财机构作为受托方,并与受托方签订书面合同,明确委托理财的金额、期间、投资品种、双方的权利义务及法律责任等。
第五十一条公司董事会应指派专人跟踪委托理财资金的进展及安全状况,出现异常情况时应要求其及时报告,以便董事会立即采取有效措施回收资金,避免或减少公司损失。
第五十二条公司董事会应定期了解重大投资项目的执行进展和投资效益情况,如出现未按计划投资、未能实现项目预期收益、投资发生损失等情况,公司董事会应查明原因,追究有关人员的责任。
第六节信息披露的内部控制
第五十三条公司应建立信息披露管理制度和重大信息内部报告制度,明确重大信息的范围和内容,指定董事会秘书为公司对外发布信息的主要联系人,并明确各相关部门(包括公司控股子公司)的重大信息报告责任人。
第五十四条公司应明确规定,当出现、发生或即将发生可能对公司股票及其衍生品种的交易价格产生较大影响的情形或事件时,负有报告义务的责任人应及时将相关信息向公司董事会和董事会秘书进行报告;当董事会秘书需了解重大事项的情况和进展时,相关部门(包括公司控股子公司)及人员应予以积极配合和协助,及时、准确、完整地进行回复,并根据要求提供相关资料。
第五十五条公司应建立重大信息的内部保密制度。因工作关系了解到相关信息的人员,在该信息尚未公开披露之前,负有保密义务。若信息不能保密或已经泄漏,公司应采取及时向监管部门报告和对外披露的措施。
第五十六条公司应按照《深圳证券交易所上市公司公平信息披露指引》、《深圳证券交易所上市公司投资者关系管理指引》等规定,规范公司对外接待、网上路演等投资者关系活动,确保信息披露的公平性。
第五十七条公司董事会秘书应对上报的内部重大信息进行分析和判断。如按规定需要履行信息披露义务的,董事会秘书应及时向董事会报告,提请董事会履行相应程序并对外披露。
第五十八条公司及其控股股东及其实际控制人存在公开承诺事项的,公司应指定专人跟踪承诺事项的落实情况,关注承诺事项履行条件的变化,及时向公司董事会报告事件动态,按规定对外披露相关事实。
第四章内部控制的检查和披露
第五十九条公司应按照本指引第十三条的规定设立内部审计部门,直接对董事会负责,定期检查公司内部控制缺陷,评估其执行的效果和效率,并及时提出改进建议。
第六十条公司应根据自身经营特点和实际状况,制定公司内部控制自查制度和年度内部控制自查计划。
公司应要求内部各部门(含分支机构)、控股子公司,积极配合内部审计部门的检查监督,必要时可以要求其定期进行自查。
第六十一条公司内部审计部门应对公司内部控制运行情况进行检查监督,并将检查中发现的内部控制缺陷和异常事项、改进建议及解决进展情况等形成内部审计报告,向董事会和列席监事通报。
公司内部审计部门如发现公司存在重大异常情况,可能或已经遭受重大损失时,应立即报告公司董事会并抄报监事会。公司董事会应提出切实可行的解决措施,必要时应及时报告本所并公告。
第六十二条公司董事会应依据公司内部审计报告,对公司内部控制情况进行审议评估,形成内部控制自我评价报告。公司监事会和独立董事应对此报告发表意见。
自我评价报告至少应包括以下内容:
(一)对照本指引及有关规定,说明公司内部控制制度是否建立健全和有效运行,是否存在缺陷;
(二)说明本指引重点关注的控制活动的自查和评估情况;
(三)说明内部控制缺陷和异常事项的改进措施(如适用);
(四)说明上一年度的内部控制缺陷及异常事项的改善进展情况(如适用)。
第六十三条注册会计师在对公司进行年度审计时,应参照有关主管部门的规定,就公司财务报告内部控制情况出具评价意见。
第六十四条如注册会计师对公司内部控制有效性表示异议的,公司董事会、监事会应针对该审核意见涉及事项做出专项说明,专项说明至少应包括以下内容:
(一)异议事项的基本情况;
(二)该事项对公司内部控制有效性的影响程度;
(三)公司董事会、监事会对该事项的意见;
(四)消除该事项及其影响的可能性;
(五)消除该事项及其影响的具体措施。
第六十五条公司应将内部控制制度的健全完备和有效执行情况,作为对公司各部门(含分支机构)、控股子公司的绩效考核重要指标之一。公司应建立起责任追究机制,对违反内部控制制度和影响内部控制制度执行的有关责任人予以查处。
第六十六条公司应于每个会计年度结束后四个月内将内部控制自我评价报告和注册会计师评价意见报送本所,与公司年度报告同时对外披露。
第六十七条公司内部审计部门的工作底稿、审计报告及相关资料,保存时间应遵守有关档案管理规定。
第五章附则
第六十八条公司及其有关人员违反本指引规定,本所参照《上市规则》有关规定给予处分。
Wednesday, 24. May 2006, 02:12:09
internal
May 22, 2006
WASHINGTON, DC –
Even the smallest public company will have to comply with the Section 404 internal controls provisions of the Sarbanes-Oxley Act, the SEC announced last week. This ended months of debate over whether smaller companies would be exempt.
Section 404 requires management certification that the processes involved in the preparation of financial reports have effective internal controls and procedures.
In a statement, Christopher Cox, chairman of the SEC, described the SEC's decision as 'a giant step toward getting it right when it comes to Section 404 compliance.'
Mike Rhodes, partner in charge of Citirn Cooperman's corporate governance practice, says it's the right time for the SEC to take this step. 'Lessons have been learned by seeing how the largest filers managed compliance, and the SEC has given enough time for smaller companies to evaluate their control environment,' he says. 'Small companies can take a risk-based approach, and focus on areas which are most of concern to them. The compliance effort will not be as overwhelming as it once might have been.'
When asked about the cost impact on small companies, Rhodes advises: 'As you can't break out the costs [of 404 compliance] separately on your 10Qs and 10Ks, companies need to communicate clearly to their investors and should provide a budget to their audit committee. It would be best for companies to do this as soon as possible, making it easier to spread the cost.'
Critics of the ruling, however, claim smaller companies will be adversely affected. Ralph de Martino, attorney at Cozen O'Connor, said in a statement: 'It is clear the cost of 404 compliance far outweighs the benefits for smaller public companies.'
There will be a brief postponement of the Section 404 requirements for the smallest filers, however the SEC said ultimately all public companies will be required to comply. Smaller companies will have to begin assessing their internal controls for fiscal years beginning after December 16, 2006. For calendar-year companies, it will apply for the 2007 year.
The SEC said it will provide practical guidance to companies to help them comply, and will work with the Public Company Accounting Oversight Board (PCAOB) to formally clarify its decision.
At the SEC's roundtable on second-year experiences with internal control reporting and auditing provisions on May 10, Bill Gradison, acting chairman of the PCAOB, told the audience: 'I was a general partner of an NYSE firm that built its business around the needs of smaller businesses and investors of modest means. From that experience, I firmly believe there is significant public interest in providing investors in all companies with the same level of assurance as to the accuracy and reliability of financial reporting, which of course is what Sarbanes-Oxley is all about.'
WIDGETIZE