上市公司应收账款分析 上市公司内部控制研究

　　摘要：本文以2004年至2005年我国上市公司被出具非标准无保留意见的审计报告为依据，依照COSO报告对内部控制的定义，对报告中的内部控制问题进行了分类，发现我国上市公司内部控制缺陷主要集中在控制环境和风险评估两个要素上。通过对内部控制缺陷产生原因的分析，对比国内外上市公司监管机构的监管手段，提出了完善我国上市公司内部控制的建议。
　　关键词：COSO报告　内部控制　控制环境　风险评估
　　
　　一、引言
　　
　　内部控制自诞生以来为企业的日常管理和健康有序的发展起到了积极的作用。资本市场的繁荣为企业实现跨越式发展提供了无限可能。大型上市公司舞弊的丑闻尚未消散，次贷危机引发的金融海啸又席卷了全球。而此前的短短两年间，我国资本市场迎来了空前繁荣，众多上市公司增发新股，许多尚不具备上市条件的公司也在积极整改包装上市。虽然股市是否出现明显泡沫尚存在争议，但是没有健康的盈利增长，这种繁荣是难以维系的。谋求资本市场的长远发展必须从上市公司内部着手。有效的内部控制可以均衡各方利益，规范上市公司行为，使其健康有序的运行。但由于内部控制本身的理论缺陷、实施成本及其非直接的经济效益等原因，使得在实践中很难做到完全有效的内部控制。目前国内外上市公司暴露出同样的问题，面临同样的困境，而外部监管机构的应对措施却有所不同。2002年美国国会出台的《萨班斯――奥克斯利法案》，尤其是第404条款，为规范上市公司行为提出了具体而近乎严苛的要求；美国上市公司会计监察委员会也紧跟着出台了第2号审计准则，配合萨班斯法案的要求规定审计人员对上市公司的内部控制评价报告出具审计意见。我国的证监会则更多的是运用行政手段从外部监管的角度进行审查和处理。我国上市公司内部控制问题究竟出在哪里，采取什么样的措施可以更有效的完善内部控制，本文试图通过研究分析给出建议。
　　
　　二、文献综述
　　
　　(一)内部控制发展　内部控制理论从发展过程来看主要经历了四个阶段，即内部牵制理论阶段、内部控制系统理论阶段、内部控制结构理论阶段和内部控制整体框架理论阶段。其中内部控制整体框架理论阶段可进一步划分为五要素内部控制阶段和八要素内部控制阶段。国内外对内部控制理论的研究在起步时间、广度和深度上都存在差异，但都在20世纪90年代获得了突破性的进展。由于缺乏一个明确的概念来界定内部控制的范畴，一直以来人们对于内部控制的理解各有不同，上市公司很难找到一个标准来评判其内部控制是否有效。经过研究和讨论，美国的防止虚假财务报告委员会发起组织COSO委员会(Committee of Sponsoring OrganizationsofTheTread Way Commission)于1992年颁布了《内部控制――整体框架》，并在1994年进行了相关增补，这标志着内部控制实现了由制度到框架的转变，将内部控制从单纯的财务层面上的防弊和牵制扩展到组织管理的层面。《内部控制――整体框架》中明确给出了内部控制的定义和构成要素，为上市公司设计和执行内部控制提供了依据。
　　(二)文献综述国内学者关于内部控制的研究多从COSO报告着手，在制度层面展开了广泛的讨论。刘静和李竹梅(2005)对控制环境进行了探讨，认为控制环境是其他各要素构建的基础，所以将文章重点放在讨论内部控制环境的现状及成因、改造与重塑上，关键是要加快现代企业制度建设，完善监督机制，建立真正意义上的公司法人治理结构，使权力有所制衡；朱荣恩(2003)介绍了企业风险管理整体框架，讨论了与内部控制整体框架的区别，强调内部控制框架的建立应与企业风险管理相结合；金或�、李若山和徐明磊(21305)从八个要素的角度剖析了中航油事件发生的根源和过程，进而提出风险管理框架对我国企业内部控制的启示。随着学者对于内部控制整体框架五要素和风险管理整体框架八要素的研究逐步深入，从控制环境这一重要要素出发初步引申出了一个重要的研究领域，即基于公司治理的内部控制研究。阎达五和杨有红(2001)指出了内部控制框架与公司治理机制之间的系统与环境的相互关系，并提出了COSO报告对我国的借鉴意义，认为从我国的国情出发，构建内部控制框架应当有步骤、分重点地进行，国家与企业双管齐下，重点是厘清管理权责，确立董事会在内部控制框架构建中的核心地位。杨有红等(2004)认为内部控制系统的有效性与公司治理及内部控制的契合程度有关。此外，部分学者为内部控制的研究提供了新的视角。王湛(2001)研究了内部控制外部化的成因及实施中的关键控制点，认为内控外部化是合理趋势，其关键在于对高管的控制。石爱中(2006)在对内部控制的信息化改造的研究中发现，内部控制由于内容过于复杂，再加上人和制度的过度依赖导致了内部控制的成本偏高。因此在没有法律强制约束的情况下，企业都倾向于将内部控制简化处理。以上研究内容涉及到很多方面，对于我国企业内部控制制度的建立具有积极的指导意义和借鉴作用，但过多的局限在制度层面的研究上，忽视了内部控制实施的有效性。而内部控制是否能得到有效实施直接关系到企业能否健康有序的发展，是内部控制研究中最重要的内容和根本，也是本文重点关注的内容。
　　
　　三、内部控制理论基础与研究方法
　　
　　(一)内部控制的基本理论虽然人们对内部控制的界定和理解千差万别，但从最初的内部牵制发展到组织管理层面的内部控制，其基本原理和理论内核一直存在，COSO报告将其明确的表述了出来，即由董事会、管理层及其他人员在公司内进行的，旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。由此可见，内部控制是一个过程，它是一种帮助实现组织目标的手段，而不是目标本身；内部控制受到人的影响，它涉及到公司的董事会、管理层及其他人员，内部控制的实现需要人的参与；内部控制只是提供合理保证，而不是完全担保；内部控制帮助组织实现各不相同但又紧密联系在一起、相互影响的三大目标，即经营有效性、财务报告的可靠性和适用法律法规的遵循性。COSO报告指出，内部控制由五个要素组成：控制环境、风险评估、控制活动、信息与沟通和监督。控制环境是内部控制其他各要素的基础，确定组织结构，并提供运营指南。它涉及管理层的价值观、对授权和职责的履行、设置明确且正式的政策和程序规范员工的行为、员工的胜任能力、组织人力资源的方式、董事会的关注和监督等方方面面，受到历史和文化的影响，又反过来影响人们对内控的认识。风险评估是指管理层决定如何应对实现组织目标过程中遇到的风险的过程。包括识别风险、分析其发生的可能性及产生的影响，并估计组织所能承受的风险。由于经济、社会、行业、法律等环境随时都可能发生变化，因此风险随时都有可能发生。而应对风险的前提必须是向着实现组织目标的方向发展。控制活动是指将一系列的政策程序付诸实施以使管理层的指令得以实现的过程。控制活动贯穿于整个组织的各个层面，包括批准、授权、核对、对账、对经营活动的审查、资产保全和职责分离等。这一系列的活动可以按经营、财务报告和符合性三大目标进行归类，各自不同却又紧密联系在一 起。归根到底，控制活动依赖于人的因素，因为活动都要由人来执行。信息与沟通是指及时获取和沟通相关信息的系统。拥有顺畅的信息沟通渠道对于企业的正常运行十分有利，该系统必须提供一个向高层传递重要信息的渠道，以及从外部获取帮助和资源的渠道。监督是指对于不断变化的系统尤其是内部控制系统进行评估，以确保其如预期地有效运行。借助内部审计，管理层要持续对内部控制的运行情况进行监督，一旦发现内部控制缺陷，应当立即向高层报告。
　　(二)研究方法与分类依据
　　本文突破现有研究多集中在制度设计的层面上的局限性，在前人理论研究的基础上，从内部控制实施的有效性的角度进行研究，以2004年至2005年我国上市公司年度审计报告意见为样本，在被出具非标准无保留意见的报告中剔除占极少数的无法表示意见和否定意见的报告，从中剥离出与内部控制相关的问题进行分类，首次采用五要素作为分类标准，研究内部控制缺失的主要原因；通过国内外的政策法规的对比，从理论上的差异中找到借鉴之处和解决之道；最后将其应用于实践中，解决实际问题，为我国上市公司内部控制的完善提出意见和建议。COSO报告中内部控制的五要素是本文对年报反映出的内控问题进行分类的依据。具体来讲，涉及组织结构、管理层价值观以及董事会监督等问题的归为控制环境类，包括大股东占用上市公司资金、违反证监会法规、虚假信息披露等；涉及组织对风险的识别、应对和评估等问题的归为风险评估类，包括对外投融资的收回与偿还困难、违规对外担保等；涉及日常交易和管理中的控制问题的归为控制活动类，包括违规账务处理、会计差错等，如注册会计师在审计报告中提到，“上述事件反映出雄震集团在销售及收款方面的内控不足”；涉及组织对内对外信息沟通等问题的归为信息与沟通类，包括与关联公司的信息沟通问题等；监督不是个独立的标准，任何一项内控缺陷都可以看作是监督的失败。基于此，本文并未把监督作为分类标准，而仅选取控制环境、风险评估、控制活动和信息与沟通作为分类依据进行研究。
　　
　　四、上市公司内部控制现状
　　
　　(一)上市公司审计报告情况概要2004年、2005年我国上市公司年报审计意见类型的分布结构。截至2005年6月30日，我国2004年共有1376家上市公司公布了年报数据，其中被出具非标准无保留意见的占到10，76％(包括强调事项段的无保留意见、保留意见、无法表示意见和否定意见)，而在非标准无保留意见报告中强调事项段的无保留意见和保留意见占了81.69％。类似的，2005年的1366家上市公司年报中，非标准无保留意见合计占到了11.86％，其中强调事项段的无保留意见和保留意见占非标准无保留意见的82.72％。由此可见，强调事项段的无保留意见和保留意见报告是研究的重点。
　　(二)上市公司内部控制现状通过对2004年和2005年两年我国上市公司年报被出具强调事项段的无保留意见和保留意见审计报告的原因的分析，我们发现这些公司的年报所反映出的问题或多或少都与内部控制缺失有关，如大股东占用上市公司资金、违规担保、违反证券法规被立案调查等。我国上市公司内部控制的现状如下：第一，无论是强调事项段的无保留意见报告还是保留意见报告，无论是2004年还是2005年，内部控制的问题都主要集中反映在控制环境和风险评估这两个要素上。控制环境作为其他四个要素的基础，决定着公司的组织结构，涉及管理层的经营理念、对其受托责任的履行等，对于内部控制的合理设计和有效实施具有重要意义，而风险评估则帮助组织应对不断变化的周遭环境，使组织可以最小的代价取得较大的成果。在强调事项段的无保留意见报告中，2004年由于控制环境问题导致的内部控制缺失达到了74.24％，2005年的数字更是高达93.24％，这一数据有力的说明了控制环境在内部控制要素中的重要性，是其他各要素的基础，是内部控制得以有效实施的关键因素，因此，由此而引申出的基于公司治理的内部控制研究具有重要的现实意义。在控制环境上投入资源和精力改善内部控制的现状，具有较高的效率，符合成本效益原则。第二，保留意见和强调事项段的无保留意见中内部控制的各要素呈现相类似的比例结构，四个要素上暴露出的问题依次减少，可以推知在我国上市公司内部控制问题中各要素的影响力依次减弱。2004年COS0委员会《风险管理整体框架》出台，较1992年的内部控制整体框架，将内部控制由之前的五要素扩展为八要素，主要是对原来的风险评估要素进行了进一步的细化和分拆，强调风险管理对于内部控制实施的重要作用。从研究中也可以发现，风险评估是仅次于控制环境的影响因素。在一个相对稳定的社会环境中，经济政策和法律环境不会在短时间内发生重大的变化，即便是瞬息万变的市场也有其一定的规律可循。身处复杂环境中的上市公司必须具有识别风险的能力，洞察市场动向，明确自己的产品在市场上的可接受程度，预先把握消费者需求的变化，才能通过预测风险发生的可能性及其对公司的影响程度，及时调整经营策略和方向，从而提前制定对策，最大限度的将损失降到最低。分析中发现长短期投资、应收账款的收回成问题的公司大量存在，这不得不说是其投资的盲目性使然，而归根到底是风险评估体系没有发挥应有的作用。第三，从趋势上看，2005年比2004年有明显增长的迹象，在保留意见报告中表现的尤为明显。这充分说明在被出具非标准无保留意见的上市公司中，内部控制缺失的问题存在越来越严重的趋势。上市公司对于内部控制的要求不应当仅停留在一套完整的制度上，对于保证实施的有效性具有迫切的要求。
　　
　　五、上市公司内部控制问题分析及完善建议
　　
　　(一)上市公司内部控制存在的问题分析　从上市公司内部控制现状的分析中发现，控制环境和风险评估是问题的主要所在，换言之，要想解决内部控制问题首先应当从这两个要素的完善人手。在对审计意见进行归类的过程中作者发现，归于控制环境的问题绝大多数是大股东占用上市公司资金。通过其他应收款科目反映出来的大股东占资是最主要也最直接的方式。而通过应收账款来占用货款则稍微隐蔽一点。此外，虽然没有直接占用上市公司的资金，但是却以公司的资产等为抵押为其他公司作违规担保，而且并没有对那些公司的信用状况进行过详细负责任的调查和了解，甚至明知其信用状况不好但因为是关联方所以毫无顾忌的为其提供担保从而使上市公司陷入担保圈难以自拔的现象不在少数。这也从一个侧面反映了上市公司风险评估机制不完善的现状。产生上述现象的原因有很多，上市公司上市之初目的不纯就是个很重要的原因。许多上市公司是集团公司将通过转移、重组剥离出来的优质资产打包上市的，而获利能力较低的资产则分布于集团公司的其他关联公司中。通过上市公司在资本市场上募集资金，转而为集团公司所用是许多上市公司被掏空的主要原因。然而即使是上市公司动机不纯，如果有严密而有效的内部控制、有力度的监管体系，上市公司就是想要弄虚作假是不可能的。
　　以上诸多问题总的来讲主要是由于我国上市公司内部控制不完善造成的，而内部控制中尤以控制环境、风险评估两要素问题最 大。具体体现在以下方面：一是公司法人治理结构不健全对于国有企业，产权所有人缺位势必导致“内部人控制”的问题。“内部人控制”由美国学者青木昌彦提出，指独立于所有者的经理人员掌握着企业的实际控制权，在公司经营中追求自身利益的满足，甚至与职工合谋”以实现自身利益最大化，从而架空所有者控制与监督的行为。股权分置以后，虽然股东的结构有了变化，但是内部人控制的现象并没有得到实质性的改善，股东大会、董事会、监事会和管理层之间并没有形成有效的相互制约。对于非国有企业，现行的公司治理结构难以对大股东的行为形成有效约束，中小股东的切身利益还是难以得到保证。很多公司决策权、监督权、管理权几乎全部集中于公司的高级管理者手中。从某种意义上讲，法人治理结构可以看作内部控制的一个要素，有效的法人治理结构为内部控制的有效实施提供了环境上和机制上的保障。而目前我国上市公司法人治理结构混乱，因此公司的内部控制自然难以得到有效实施。二是法律法规的缺失。关于上市公司内部控制，我国法律并没有明确的规定，要求上市公司必须进行怎样的内部控制。《会计法》和《内部会计控制规范――基本规范(试行)》仅仅对会计控制做出了要求，《独立审计具体准则第9号――内部控制和审计风险》要求对内部控制进行评价，但不是强制性要求，而且准则本身也不是法律。参照《萨班斯――奥克斯利法案》，我国《上市公司内部控制指引》诞生，对内部控制做出了明确的强制性要求，在诸多方面的要求甚至比萨班斯法案还要严格，但是由于其并没有上升到法律的高度，所以实施起来的力度有限。对于上市公司而言，内部控制理论本身就具有缺陷，其实施又需花费巨大成本且不会立即显现出有形的直接的经济效益，因此在法律没有强制要求的情况下，很多上市公司仅停留在拥有一套内部控制制度的层面上，对于内部控制的实施采取能省则省的态度。三是外部监管不力。从证监会的成立时间来看，我国的资本市场从诞生不久就得到了监管。但是从我国上市公司不断出现的问题来看，监管显然是不到位的。基于理性人假设，每+从事经济活动的人都以谋求个人利益为目标，总是试图以其自身最小代价换取最大收益。内部控制的设计即使再完美，也需要人的参与，需要多人的相互牵制，一旦人的相互牵制不存在，那么制度就成了摆设。鉴于此，必须有一个有力的外部监管机构对内部控制的实施进行监管，以防止内部控制失效。
　　(二)上市公司内部控制完善的建议　解决我国上市公司内部控制存在的问题可通过以下途径：一是完善法人治理结构。法人治理结构与内部控制环境相互渗透。因为法人治理结构中的股东大会、董事会、监事会和管理层也正是内部控制五要素中控制环境的内容。完善法人治理结构，加强各利益相关者之间的制衡也是完善内部控制的重要方面，是内部控制制度得以有效实施的重要前提。而有效的内部控制可以促进法人治理结构的完善。1995年英格兰的巴林银行倒闭一方面是没有做到不相容职务的分离，另一方面，在错误发生后没有及时引起管理层的重视，缺乏风险意识和处理能力。而这些都是内部控制环境和风险评估体系不完善的后果。通过良好的治理机制制约管理者的行为，同时采用各种激励手段无论是股权激励还是给予其更高额的回报。总之是把管理者和所有者的利益结合到一起，可以有效地完善内部控制实施的环境，从而促进内控的实施。二是加强法律法规建设。美国国会于2002年出台的《萨班斯――奥克斯利法案》要求加强上市公司内部控制，同时加大了对于公司高管舞弊的处罚力度。尤其是404条款，明确规定管理层应承担设立和维持一个应有的内部控制结构的职责。它要求上市公司必须在年报中提供内部控制报告和内部控制评价报告；上市公司的管理层和注册会计师都需要对企业的内部控制系统做出评价，注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具审计意见。紧接着PCAOB也颁布了第2号审计准则具体指导审计人员对上市公司的管理层针对内部控制的有效性的评价出具审计意见，并加强了对注册会计师串通舞弊的处罚力度。但是从《内部会计控制规范――基本规范(试行)》、《独立审计具体准则――内部控制与审计风险》到《上市公司内部控制指引》，对内部控制的要求从来没有全面的上升到法律的高度。即便是作为法律的《会计法》中对内部控制有规定，但却仅是针对会计控制而言的，对于管理控制没有涉及，不是全面的内部控制法律规范。我国监管部门善用行政手段快速处理问题，这往往是事后手段，在预防和规避问题的发生上不具有优势。从长远来看，一部规范上市公司内部控制的完善的法律是必不可少的。同时需要强调的是，问题的关键在于将法律条文落到实处，而不是仅停留在文字上。三是外部监管多样化。从美国的萨班斯法案出台可以看出，他们正在从外部寻求对于内部控制的约束。通过要求审计人员对管理层关于内部控制实施有效性的评价做出鉴证报告来为上市公司提供相对独立的客观的鉴证，为投资人提供判断依据，也反过来对上市公司形成一种压力，努力完善内部控制。外部监管的手段可以是多样化的。除证监会要加大监管力度之外，各类民间组织可以充分发挥其监督和规范的作用，为上市公司内部控制的外部监管创造一个全面的监管环境，让上市公司感到来自各方的压力，从而必须自觉地完善和实施内部控制，实现规范资本市场的目的。
　　本文突破了关于内部控制的现有研究集中在制度层面的局限性，从内控实施的有效性方面进行了分析。结果表明，我国上市公司年审报告反映出的内部控制问题主要体现在控制环境和风险评估机制的不完善上，而导致这些问题发生的原因有很多，笔者认为其中最重要、最彻底也是影响最持久的是法人治理结构和法律法规的建设问题。通过对中美两国内部控制的相关法规的对比分析和出现内部控制问题后的反应来看，我国上市公司的内部控制不健全的主要原因在于，一方面没有法律对上市公司内部控制进行强制性的要求，而从短期来看内部控制的实施是一项高成本低收益的活动，因此出于成本与效益原则的考虑，上市公司往往简化处理内部控制；另一方面对内部控制问题的处理，我国较多采用针对性强见效快的行政手段，但是这对于今后出现内控问题不具有防范效果。基于对以上问题的分析，本文重点从完善法人治理结构和加速法规建设的角度提出建议，希望可以对完善我国上市公司内部控制右所帮助。
　　
　　编辑　聂慧丽