一、上市公司内部控制信息披露的概述
(一)上市公司内部控制信息披露的基本概念
(二)信息披露制度与强制性信息披露
二、我国上市公司内部控制信息披露存在的问题
(一)内部控制信息披露的规定不够合理。
1、披露内容没有统一规定。
2、披露形式缺乏统一要求。
3、内部控制信息披露主体责任界定模糊
(二)上市公司对信息披露缺乏主动和自愿性。
(三)内部控制信息披露的监管不力
三、我国上市公司内部控制信息披露问题的原因分析
四、改进我国上市公司内部控制信息披露问题的建议
(一)完善上市公司内部控制信息披露的相关规定
(二)鼓励公司管理者进行自愿信息披露。
(三)加强对内部控制信息披露的监管。
五、结语
内 容 摘 要
本文针对上市公司内部控制会计信息披露的现状入手,立足于我国上市公司会计信息披露理论、基本框架和实践的现状,分析了上市公司内控信息披露中存在的诸多问题,并在此基础上对上市公司内控信息披露不规范的成因进行论述,最终提出切实可行的解决对策。
关于我国上市公司内部控制信息披露的探讨
一、上市公司内部控制信息披露的概述
(一)上市公司内部控制信息披露的基本概念
20世纪90年代,COSO委员会发布报告《内部控制—整体框架》,指出内部控制是由一个企业董事会、管理阶层和其他人员实现的过程,旨在为实现经营的效果和效率、财务报告的可靠性、符合适用的法律和法规等目标提供保证。将内部控制结构分为控制环境、风险评估、控制活动、信息与沟通、监督5个要素。鉴于风险管理与控制在企业运营中越发重要,2004年9月,COSO委员会又提出了《企业风险管理—整合框架》,将内部控制的要素进一步扩展为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个要素。2008年5月由企业内部控制标准委员会印发了《基本规范》其中将内部控制定义为由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
《沪市指引》第五章中对内部控制的信息披露要求,将内部控制信息披露定义如下:内部控制信息披露就是上市公司将管理层形成的内部控制自我评价报告信息、注册会计师对该内部控制报告的审核报告信息连同公司内部控制制度体系等与投资者决策相关的内部控制信息公布于众,让外部信息使用者可以很方便的得到并利用的过程。内部控制信息披露有利于促进管理当局发现内部控制缺陷、改进内部控制、提高会计信息质量。
(二)信息披露制度与强制性信息披露
信息披露制度又称信息公开制度,是指证券发行者将公司财务经营等信息完整及时地予以公开,供市场理性地判断证券投资价值,以维护股东或债权人合法权益的法律制度。信息披露制度以制度的形式出现,虽带有一定的强制性,但并非所有信息披露制度规定的信息披露都属于强制性信息披露,只有那些上市公司不愿披露而投资者又必须要的信息披露项目才属于强制性信息披露。纵观当今发达国家证券市场,证券监管者无不力图通过树立并维护公众对市场的信心,以实现投资者保障和资源有效配置。而这一努力主要是通过强制性信息披露制度实现的,可以说,强制性信息披露制度应该是证券监管诸制度中运用最多也是最有效果的一种制度。
目前,我国上市公司的内部控制信息披露正朝着自愿性披露和强制性披露相结合的方向发展。自愿性信息披露已经成为许多大公司展示“核心竞争力”、沟通利益相关者、描绘公司未来的有效途径,当前证券市场的不断发展对上市公司自愿性信息披露提出了更高的要求。随着证券市场的发展和公司生存环境的变化,上市公司自愿披露信息的动机不断增强并付诸于实践。
二、我国上市公司内部控制信息披露存在的问题
为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,财政部会同证监会、审计署、银监会、保监会于2008年7月制定并印发了《企业内部控制基本规范》,其配套指引也于2010出版。相关法律法规的出台为内部控制信息披露具有很强的指导作用,从一定程度上对信息披露进行了规范,保障了相关利益群体的权益。但是不管是规范还是指引都比较笼统,仅仅是一个原则性指引。同时中国的内部控制及信息披露还处于起步阶段,上市公司在内部控制信息披露方面还存在诸多问题。主要的有以下一些:
(一)内部控制信息披露的规定不够合理。
1、披露内容没有统一规定。
对于一般性上市公司,在证监会2005年修订的《年度报告内容与格式》中,虽然规定上市公司监事会应就公司内部控制制度是否完善发表独立意见,但是该披露的要求仅仅限于“是否建立完善的内部控制制度”,而并未要求披露公司建立的内部控制的详细信息以及监事会的评价。如果仅仅要求披露是否建立完善的内部控制制度,容易造成披露的形式化,信息含量小;另一方面,对于年报摘要,允许公司监事会在认为已建立完善的内控制度时免于披露,这在一定程度上为上市公司减少相关信息的披露和逃避责任提供了理由。同时由于披露格式没有统一规定,这不仅造成上市公司披露时无所适从,更使得一些上市公司应付了事,不披露详细的信息。
2、披露形式缺乏统一要求。
由于披露形式缺乏统一要求,使上市公司在内部控制信息披露上存在较大的选择性和随意性。虽然中国证监会要求发行人在招股说明书中披露公司内部控制的信息以第三章我国上市公司内部控制信息披露现状及原因分析的现状分析及注册会计师的结论性意见,但对内部控制披露的形式却缺统一的要求,现实中上市公司内部控制信息的披露形式主要存在如下几种情况: (l)公司年度报告中管理层的讨论与分析;(2)招股说明书中管理层对内部控制的自我评估;(3)注册会计师对企业内部控制的评估报告及其结论性意见;(4)上市公司所发布的单独的内部控制自我评估报告。在四种形式中,除了招股说明书中所涉及的是强制要求外,实际上目前并没有针对所有上市公司的内部控制信息披露做出强制性要求,对采取何种形式披露内部控制信息也无明确规定,这样就导致了两个结果:一是对没有再融资需求的上市公司内部控制信息的披露缺乏约束,要不要披露、披露多少信息完全属于自愿行为,这就为逆向选择行为的产生提供了可乘之机,上市公司会尽可能选择对其有利的信息进行披露,甚至根本不披露内部控制信息;二是上市公司在信息披露的具体形式上有多种选择,对信息使用者来说,则意味着获取相关信息成本的提高。
3、内部控制信息披露主体责任界定模糊。
根据上市公司现行规范的要求,上市公司内部控制信息披露中涉及的主体包括董事会、监事会及注册会计师,但在涉及企业内部控制信息披露的许多规范制度中缺少对相关主体责任的明确界定,使相关主体疏于认真履行责任,内部控制信息披露仅仅成为一种形式。
(二)上市公司对信息披露缺乏主动和自愿性。
新规范中规定,企业应将针对内部控制缺陷提出的整改方案采取适当的形式及时向董事会、监事会或者经理层报告,并要求企业出具内部控制自我评价报告。新规范的颁布结束了上市公司自愿披露的时期。但是在没有强制要求披露内部控制信息之前,很少有公司会主动披露,在强制要求披露内部控制信息之后,各个公司只是披露一些无关痛痒的内容,对一些核心的内容很少披露,都秉着“能不披露的,一定不披露;一定要披露的,尽量少披露”的原则。这说明国内企业对信息披露问题的认识不够深入,基于短期利益和管理层、股东等少数利益群体的权益而忽视内控及内控信息披露。
(三)内部控制信息披露的监管不力。
目前,我国在上市公司年度报告的信息披露中并没有要求注册会计师对公司的内部控制信息披露发表意见,从而难以保证其可信性。内部控制的评价和鉴证是保证内部控制发挥作用的重要环节,但我国现行制度只要求会计师事务所对内部控制制度的完整性、合理性与有效性进行评价,提出改进建议,并出具评价报告,没有要求注册会计师对公司的内部控制信息披露的真实性发表意见,这使得我国注册会计师在对上市公司内部控制进行鉴证时缺少统一的标准,使得鉴证意见从内容到格式都极不统一,影响内部控制信息披露的可信性。同时,监管部门也缺乏对上市公司的内部控制报告实行定期或不定期的监督检查。总的来说,我国上市公司内部控制信息披露的监管力度明显不足。
三、我国上市公司内部控制信息披露问题的原因分析
我国上市公司内部控制信息的披露从法规制度到实践执行与西方发达国家相比都存在着很大的差距,具体表现及其原因可以从以下三个角度进行分析:
(一)被各界均认可的内部控制建设和评价规范缺失。沪深两市上市公司披露的内部控制自我评估报告中提及的评估依据五花八门或者干脆不予披露,一个很重要的原因是我国并没有针对这一方面做出明确的规定,而现有的政策法规对于内部控制的定义又不一致,存在一定的差异。例如财政部2001年发布的《内部会计控制规范—基本规范(试行)》第二条规定:本规范所称内部会计控制是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行而制定和实施的一系列控制方法、措施和程序,因此其内部控制定位于内部会计控制。而2006年颁布《深圳证券交易所上市公司内部控制指引》则将内部控制定义为上市公司董事会、监事会、高级管理人员及其他相关人员为遵守国家法律、法规、规章及其他相关规定、为提高公司经营的效益及效率、为保障公司资产安全、为确保公司信息披露的真实、准确、完整和公平而提供合理保证的过程。相比之下《深圳证券交易所上市公司内部控制指引》所定义内部控制范围明显大于《内部会计控制规范—基本规范(试行)》中的规定,上市公司如果分别采用两个文件对内部控制进行评估,评估结果则可能存在一定的差别,影响投资者对内部控制自我评估报告的理解。2008年五部委发布的《企业内部控制基本规范》及其配套的应用指引及评价指引的适时发布和修订,将为我国公司内部控制评价标准的确立提供较为科学的指导。
(二)出于成本效益原则考虑和信号传递的影响,上市公司披露内部控制信息的动力不足。内部控制信息的披露能够达到两方面的目标:一方面,上市公司通过披露相关信息将自身的情况传递给利益相关者,利益相关者再根据公司所披露的信息作出恰当的决策,另一方面上市公司要对外披露内部控制信息势必要对本身的内部控制进行测试评价,这一过程能使公司发现自身内部控制存在的缺陷,进而健全完善内部控制。但是内部控制的建立健全及有效运行和内部控制自我评估、审核及披露均需要一定的成本,企业建立运营的目的就是为了获取盈利,如果公司所花费的成本不能从内部控制信息披露获取相关利益中获得弥补,则公司必然不愿意进行内部控制信息披露或者仅仅披露一些形式上的内容,敷衍了事,因此是否符合成本效益原则是公司是否愿意披露内部控制信息的重要前提。
(三)对内部控制信息披露的法律监督缺乏,相关监管单位监管力度不足。上市公司没有按照相关规定披露内部控制自我评估报告及审核报告,一方面是由于自身缺乏披露这些信息的动力,另一方面是外界相关监管力度不足。到目前为止,我国仍没有出台针对违反内部控制信息披露规定行为的法律法规,相关监管部门也没有对此做出明确的规定,因此当上市公司没有披露内部控制评估报告时、或是披露不实虚假报告时,管理当局应负何种法律责任;注册会计师提供与上市公司实际情况不符的内部控制自我评估审核报告时,注册会计师应负什么样的法律责任,这些方面都没有一个具体的规定进行处理。上市公司没有遵循相关的内部控制信息披露规定,却不用受到相应的惩处,在一定程度上无疑是鼓励这些公司继续漠视内部控制信息披露的相关规定,继续少披露或是披露虚假内控信息,甚至不披露相关信息。主要表现为社会公众对内部控制信息的需求不够,从公司治理、所有权与经营权相分离以及投资者本身的素质水平来看,现阶段的投资者更关心的是企业运营的结果,即受托责任的履行情况,并非关心其过程。同时,在目前我国资本市场中,股市投机性强,投资者的专业性较差,对数据的理解分析能力以及综合素质较弱,对高质量信息需求不足。当然,从企业持续、长远的发展来看,需要以良好的内部控制作为支持,投资者也应该会越来越关心这一方面的信息,但现时没有这一方面的明显需求。考虑到投资者对企业内部控制的理解和接受能力,许多公司不能给信息使用者带来信息超载的负面作用。
(四)缺乏统一的内部控制自我评估报告审核标准。2007年沪深两市上市公司披露的内部控制自我评估审核报告中注册会计师所依据的审核标准较为混乱,其中采用《内部控制审核指导意见》和《中国注册会计师其他鉴证业务准则第3101号—历史财务信息审计或审阅以外的鉴证业务》的比例最高。但是《内部控制审核指导意见》虽然说明了内部控制审核的依据、审核程序及审核报告的内容和格式,却属于部门规章,效力比准则弱。而《中国注册会计师其他鉴证业务准则第3101号—历史财务信息审计或审阅以外的鉴证业务》并不是专门针对内部控制业务,其只是对注册会计师进行鉴证和评价给予系统的指导,对内部控制评价适用性较差。同时两份文件对内部控制的关注焦点主要集中在与财务呈报相关的内部控制上,而对与财务呈报非相关的内部控制涉及较少,不适于对内部控制自我评估报告进行全方位的审核评价。因此不同的上市公司虽然同样出具内部控制有效的内部控制自我评估审核报告,但是由于注册会计师采用不同的审核标准,两份审核报告质量可能存在差别,信息缺乏可比性。
四、改进我国上市公司内部控制信息披露问题的建议
(一)完善上市公司内部控制信息披露的相关规定
1.应该要求所有上市公司董事会在年度报告中披露内部控制的有关信息,同时要求监事会和由独立董事组成的审计委员会发表对内部控制进行评价的意见。为了防止内部控制信息披露的形式化,可以借鉴美国的做法,要求管理当局提供单独的内部控制报告。
2.证监会应当对内部控制信息披露的具体内容和格式做出详细规定,以规范上市公司的披露行为。内部控制报告应表明:董事会和管理当局对内部控制及其披露的责任;公司已经按照标准设计并颁布实施内部控制制度;声明本企业已按照有关的标准、程序对本企业的内部控制的设计和执行的有效性进行了评估,发现无重大缺陷(如有应当在报告中指出该项缺陷及相关的措施);声明企业内部控制有效(如果评估后发现企业的内部控制存在重大缺陷)(或除上述缺陷以外内部控制有效),不会发生对企业财务报告可靠性和对企业资产的安全和完整有重大影响的情况。其中董事会在财务报告中声明其对内部控制制度的责任可以增强其内部控制意识,在符合成本效益的原则之下应当对企业基本的内部控制制度进行简要的描述以便信息使用者对其进行评价。
3.进一步明确内部控制披露的责任主体。我国在内部控制信息披露的主体方面,对董事会关于内部控制信息披露的责任方面则没有相关具体规定。从理论上讲,如果监事会直接向股东大会负责,其领导内部控制的设计和执行将具有较高的独立性。但在现实中监事会形同虚设的问题较普遍,监事会人员的专业胜任能力也难以保证。因此相关法规中应明确内部控制信息披露的主体应该是董事会,监事会在内部控制信息披露方面发表意见仅仅是对董事会和经理是否建立内部控制制度的一种监督。建立完善的内部控制制度并保证其有效执行,是管理当局的责任,董事和经理对本企业的内部控制最熟悉,应该最有能力对其进行评估,并且将评估报告公开给投资者,这实际上也是在履行对投资者的受托管理职责,让管理者真正意识到内部控制的重要性,而不是仅仅为了达到上市筹集资金或维持上市资格所做的一种形式上的包装。因此内部控制披露的主体应该具体落到实际掌握公司权力的人身上,即董事会或管理当局,要求公司的董事会对内部控制的披露做出承诺,承担责任,同时监事会应该拥有更高的独立性,承担起监督检查的责任与工作并发表相关意见。
4.制定会计师事务所出具内部控制评估报告核实评价意见的标准,同时对注册会计师进行内部控制鉴证业务的人员资格加以限定。目前注册会计师内部控制审核业务是依据中国注册会计师协会发布的《内部控制审核指导》和中国证监会的有关规定(中国证监会在股份公司首次公开发行股票以及上市公司发行新股和发行可转换债券时,要求拟发行证券的公司和上市公司披露公司管理层对内部控制制度的完整性、合理性及有效性做出自我评估意见,同时要求注册会计师指出“三性”是否存在重大缺陷。)进行的。该指导意见规定了内部控制评价的范围、程序、方法和报告等一般性要求,却没有涉及评价内部控制的操作性工具,因此不能明确注册会计师应该对上市公司的哪些控制内容和要点进行测试,以及测试标准和对应的评价意见类型。建议可以借鉴美国COSO报告所提出的评价工具,设计我国上市公司的内部控制评价工具,将内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控作为内部控制评价工具的框架,从而服务于经营、财务报告以及法规遵循这三大内部控制评价的目标。除此之外,由于对企业的内部控制进行鉴证要求执行人员对内部控制的理论及实践有着深刻的理解及实践经验,因此,必须对出具内部控制评价报告的人员资格加以限定才能有效提高报告的公正性。目前我国专门从事内部控制评审的人员很少,因此应采取两步走的策略。首先,由有一定从业年限的注册会计师出具评审报告。虽然从业年限的长短并不完全代表该注册会计师对内部控制的评审能力,但在现代审计以符合性测试为重要审计内容的条件下,从业年限越长,审计经验越丰富,从而在一定程度上对内部控制的了解程度就越高。其次,针对内部控制业务的审计制定新的执业规范,对内部控制评审范围以及评审报告的内容与格式做出统一规定。再次,待内部控制评价报告制度发展到具备一定基础之后,可以组织专门机构对注册会计师开展内部控制评审专业资格考试,通过考试的注册会计师才有资格从事内部控制评审业务。
(二)鼓励公司管理者进行自愿信息披露。
除了强制性披露要求外,应完善披露环境,采取措施,鼓励公司管理者进行自愿性信息披露。对于能够如实、充分、自愿地披露内部控制信息的公司,我们可以通过各种新闻媒体进行适当地宣传,如在一些政府网站上对这些公司进行公布,对公司的优势、潜力、前景、实力甚至产品,以新闻的形式进行宣传,利于树立良好的公司形象,以便公司在证券市场上筹资。我们也可以在有关信用等级的评定上给予适当地考虑并赋予相应的优惠政策,如在信贷、税收,投资等领域给予优先考虑和政策上的倾斜。对自愿披露内部控制信息并建立了较完善内部控制制度的公司,可以减少现场检查的频率,缩小检查范围,让企业有更多的时间去加强内部控制。
(三)加强对内部控制信息披露的监管。
1.从企业内部对控制信息披露进行监管。企业内部控制信息的披露将有助于企业改进控制系统,防止和发现舞弊。这是因为提供内部控制报告需要对整个企业内部系统的运作情况进行评价,而这个审核和评价的过程将有助于发现企业内部控制系统的薄弱环节,并予以优化,更好地防止舞弊。同时,这个过程还可以发现企业中存在的错误和舞弊现象,并对员工起到一定的监督和威慑作用,从而减少错误和舞弊的发生。
2.加强从企业外部对内部控制信息披露的监管。内部控制信息对于投资者而言是一项重要的决策依据。因此,有关监管部门需要对上市公司的自我评价报告、注册会计师的鉴定意见进行严格的监督和检查。对内部控制实施强制性审计内部控制标准体系建立之后,企业能否建立并切实实施完善的内部控制系统,还需要外部力量予以保证。虽然有注册会计师的合理保证,但是不可避免会计师事务所为了不失去审计客户而会与被审计单位串谋,因此需要监管部门对上市公司的内部控制报告、注册会计师的审核报告定期或不定期地实施监督检查。
五、结语
内部控制信息披露是投资者了解公司内部控制状况的基本途径,有助于分析公司的经营情况和长期生存能力,为经营决策提供更科学的依据,是公司加强自身管理的有效措施。内部控制信息披露可促进资源的有效流动和合理配置,从而实现公司价值最大化的目标,既节省了审计成本,提高了审计效率与质量,又在一定程度上减少了审计风险。内部控制信息披露将经营过程和结果联合控制,不断提高内部控制的有效性,可以在一定程度上减少财务舞弊的发生,保证财务报告的真实可靠,从而维护投资者的根本利益。
参 考 文 献
[1] 2006年《上海证券交易所上市公司内部控制指引》。
[2] 陈丽琴, 封华:《内部控制信息披露的理论思考》, 中国管理信息化 , 2009,(13)。
[3] 吴水澎 :《萨班斯法案、COSO风险管理综合框架及其启示》,《学术问题研究(综合版)》2006年第二期。
[4] 何凤平 周陆俊:《上市公司内部控制信息披露的监管》,《中国管理信息化 》2007年3月。
[5] 周勤业 王啸:《美国内部控制信息的披露与发展》,《会计研究 》 2005年第二期。
[6] 马志娟: 《公司治理和上市公司内部控制信息披露》,《现代管理科学》2006年第10期。
[7] 庞松玲:《论我国上市公司内部控制的信息披露》,《商业经济》2007年第7期。
[8] 张维:《对我国企业内部控制及其构建的思考》,《华商》2007年10月B版。
[9] 林斌,饶静:《上市公司为什么自愿披露内部控制鉴证报告?——基于信号传递理论的实证研究》,《会计研究》2009年第2期。
[10] 周勤业,王啸:《美国内部控制信息披露的发展及其借鉴》,《会计研究》,2005年第2期。
[11] 《企业内部控制基本规范》2008年7月。
[12] 刘捷:《对上市公司内部控制指引的解读与思考》, 财会月刊(综合版) 2007年第2期。
[13]上市公司内部控制的相关法规分析://.chinaacc.com/new/635_652_/2010_2_20_su78581856411022010212412.shtml
[14]傅胜:《上市公司内部控制信息披露的现状与对策》,会计之友,2010年第16期。
[15]林新岳:《浅析我国上市公司内部控制的自我评估》, 中国集体经济, 2009年第9期。
[16] 郝艳敏:《论企业内部控制评价体系的构建》, 会计之友(下旬刊) , 2010年 01期 。
[17] 尹建国:《内部控制在实践中的应用探讨》, 财经界, 2010年 01期 。
[18] 孙祥久:《企业内部控制评价模式初步研究》,金融会计, 2010年 01期。
