【摘 要】 內部控制評價信息披露作為企業內部控制基本規范的一個重要的組成部分,受到了各界人士的積極關注與重視。本文通過對A股市場的67家上市公司2006年年報分析,揭示了目前我國企業內部控制評價信息披露存在的現實問題,對完善我國內部控制評價信息披露提出了相應的建議。
【關鍵詞】 內部控制; 評價信息披露; 內控規范; 披露方式
2008年6月28日,財政部聯合證監會、審計署、銀監會和保監會聯合發布了《企業內部控制基本規范》以及公布了《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制鑒證指引》的征求意見稿,對于此次基本規范的制定發布和若干配套指引的公開征求意見,財政部副部長王軍指出,這是繼我國企業會計準則、企業審計準則正式頒布和順利實施之后,財政、審計、證券監管、銀行監管、保險監管和國有資產管理部門以實際行動貫徹落實科學發展觀、促進企業和資本市場又好又快發展的又一重大舉措。然而,內部控制評價規范還有待于財政部會同有關部門貫徹與實施。其中,內部控制評價信息的披露問題理應進一步思考與探索。
一、我國政府關于內部控制評價信息披露的現行規定
中國證監會于2000年12月發布文件要求商業銀行、證券公司在其年報中披露內控自評報告及CPA的審核報告①,2007年12月對非金融上市公司內控信息披露做出了規定②,但完全未提及可參照執行的內控披露和自評的依據。隨后,上交所、深交所分別于2006年6月、9月頒布并分別于當年7月和次年7月實施的《上市公司內部控制指引》。內控指引均要求上市公司在披露年度報告時,披露董事會內控自評報告及CPA的評價意見,并結合中國企業的特殊情況分別提供需重點關注的控制活動,為我國上市公司全面正確理解內部控制提供新的理念。為了進一步考慮對信息系統有效性的評價,2008年6月在《企業內部控制評價指引》(征求意見稿)中規定“應用信息系統加強內部控制的企業,應當對信息系統的有效性進行評價,包括信息系統一般控制評價和信息系統應用控制評價”。同時,在《企業內部控制鑒證指引》(征求意見稿)中規定,“注冊會計師應當按照《中國注冊會計師審計準則第1211號——了解被審計單位及其環境并評估重大錯報風險》的規定,考慮信息技術對內部控制及擬評估風險的影響”。為了考慮內部控制評價信息的披露,在《企業內部控制基本規范》中規定,企業應將針對內部控制缺陷提出的整改方案采取適當的形式及時向董事會、監事會或者經理層報告,并要求企業出具內部控制自我評價報告。《企業內部控制評價指引》(征求意見稿)明確要求企業結合年末控制缺陷的整改結果,編制年度內部控制評價報告。《企業內部控制鑒證指引》(征求意見稿)中也要求注冊會計師在完成內部控制鑒證后,單獨對內部控制出具鑒證報告。
二、我國內部控制評價信息披露現狀及主要問題剖析
楊有紅等(2008)通過描述性統計對2006年滬市年報內部控制信息披露的現狀進行分析認為,2006年滬市公司內部控制信息披露的強制規定未得到有效執行、內部控制信息自愿性披露動機不足、公司的內部控制自我評估和會計師事務所的核實評價缺少統一的標準。在對滬市800多家上市公司的調查中,披露內部控制自我評估報告以及內部控制審核報告的公司很少,兩者均不到5%;已經披露內部控制自我評估報告的公司中,只有6家公布了評估依據,披露大多依據《內部會計控制規范》,而大部分公司都未披露。筆者以A股市場的67家公司③2006年年報為例,分析了我國上市公司內部控制評價信息的披露情況。67家上市公司中,深市28家,滬市39家,按照披露內部控制信息的項目以及內部控制信息披露的詳略程度進行統計分析,具體情況反映在表1和表2中: 通過對A股上市公司內部控制信息披露的分析,可以看出:第一,A股年報中有關內部控制的信息并沒有集中地反映內部控制評價信息,而是分散在幾個部分中。第二,在67家上市公司中,只有20家明確指出對內部控制進行評價的,占30%;只有5家上市公司明確指出內部控制制度存在不足,占7%。
總體來看,滬市上市公司的內部控制信息披露情況要優于深市上市公司。筆者認為,這除了因為各上市公司自身的重視程度不同外,與上海證券交易所和深圳證券交易所對上市公司的要求存在差別也不無關系。然而,值得注意的是,我國上市公司內部控制信息的披露情況不容樂觀,大部分上市公司僅僅說明公司的內部控制制度基本建立健全,并得到有效實施,但卻沒有具體說明哪些方面存在著不足,應該如何改進等。盡管對內部控制信息予以詳細披露的上市公司認識到內部控制評價的作用,但是絕大多數公司對內部控制進行評價是為滿足證券交易所的要求,而且由于內部控制相關規范的制訂剛剛起步或正在建設之中,所以上市公司對內部控制的評價和信息披露仍在摸索中,也沒有轉化為公司的主動意識和行為。
概括而言,筆者認為,目前我國內部控制評價信息披露存在的主要問題表現在以下幾個方面:
一是從信息提供者的角度看,大多數上市公司管理層的內部控制評價沒有遵循嚴格的程序,僅僅給出一個簡單的結論,不具有實用性;注冊會計師對內部控制的審核限定在與財務報表審計相關的內部控制,而且,出于規避審計風險的考慮,注冊會計師出具的內部控制審核報告僅供財務報表審計等專門目的使用,對于外部投資者沒有太大的參考價值。
二是從信息需求者的角度看,現階段投資者尚沒有認識到企業內部控制評價信息對于投資決策的意義;同時,企業內的各級員工沒有認識到內部控制信息對于其改進工作流程、降低風險的意義,因此,缺乏內部控制評價信息的需求動力。另外,相關政府監管部門也沒有對所需要的內部控制信息做出具體的規定。
三是缺乏統一的內部控制評價信息披露規范。除了管理層主觀意識、投資者對此類信息需求意愿不強之外,還缺乏權威的、統一的、具有可操作性的內部控制評價信息披露規范。也就是說,只對自我評估報告的內容做原則性規定,卻未規定自我評估的程序、方法和標準,并且也缺乏相應的處罰約束機制。大多數企業所披露的內部控制評價信息在許多情況下并不是評價之后的結果,而僅僅是因為企業建立了內部控制規章,從而在假設企業有效地建立和執行了相關內部控制制度的前提下所得出的結論,通過這種方式披露的企業內部控制信息不具有任何實際意義。
四是缺乏規范的內部控制評價信息披露方式。大多數內部控制評價信息散見于年度報告的相關部分中,信息分散使投資者利用起來比較困難;雖然只有少部分企業開始出具內部控制自我評價報告并由注冊會計師出具審核報告,但內部控制自我評價報告中的信息含量仍然較低,因而分析和利用價值也偏低。
三、完善我國內部控制評價信息披露的若干建議
為了加強企業內部控制評價信息披露,一方面要在內部控制評價信息提供者方面加以規范;另一方面也要滿足內部控制評價信息披露的信息需求者的要求。同時,要保證披露的信息有效且能及時為信息需求方所用,必須制定內部控制評價信息披露的規范并明確內部控制評價信息的披露方式。
(一)內部控制評價信息提供者的規范
信息提供者進行內部控制評價的目的是表明企業內部控制的有效性程度,進而提升自身的價值,其結果通過披露為信息需求者獲得。價值趨向促使信息提供者披露內部控制評價信息。
1.企業管理層。企業管理層對建立健全有效的內部控制負有根本責任,其責任履行的結果如何,通過企業管理層向企業外部提供內部控制有效性信息,而且內部控制信息表明企業內部控制是“整體有效”或者“基本有效”,從而使投資者有信心向該企業投資,可以引導優勢資源源源不斷地流入企業,同時也可調動企業全員一起更好地健全、完善企業內部控制。
2.注冊會計師。內部控制評價是注冊會計師鑒證業務的一個組成部分,注冊會計師如果能提供高質量的內部控制信息,企業就有動力聘用這種注冊會計師。利用注冊會計師的工作,一方面對企業內部控制有效性提供鑒證;另一方面可以幫助企業完善內部控制。同時,注冊會計師的業務也可得到拓展。
3.相關政府監管部門。相關政府監管部門通過對企業內部控制的監管和抽查提供企業內部控制有效性的信息,可以對全社會企業內部控制的建設情況有一個總括的了解,從而對企業內部控制的建立和健全進行規范,并在今后對內部控制建設工作應該給予的指導做出判斷。
(二)滿足內部控制評價信息披露的信息需求者的要求
信息需求者對內部控制信息的需求為內部控制信息的披露提供了外部驅動力。利益趨向驅使信息需求者關注內部控制信息,同樣驅使信息提供者自愿提供內部控制信息。
1.投資者。潘秀麗(2001)認為,“內部控制信息不一定是投資者需要的信息”。因為“現階段投資者更關心的是企業運營的結果,即受托責任的履行情況,并非關心其過程”。但是隨著內部控制合理保證企業“經營的效率和效果”作用的逐漸顯現,內部控制信息在企業可持續發展中的作用也越來越明顯。內部控制信息,特別是評價后的內部控制信息不但從某種程度上反映了受托責任的履行情況,而且披露的內部控制評價有效性結果也是企業經營管理好壞的結果。在相關研究中也逐漸發現內部控制信息披露與企業質量之間的依存關系。因此,隨著企業經營管理的越來越規范以及全世界對內部控制越來越重視,投資者為了自身的利益,必然需要內部控制信息輔助進行投資決策。投資者是企業的資金源泉,投資者對企業的信心影響著企業的價值,投資者對內部控制信息的需求以利益驅動企業提供內部控制信息。
2.企業內部各層級人員。企業內部的各層級人員也是內部控制信息的主要需求者。其中,高級管理層利用內部控制評價信息可以了解企業現行內部控制中存在的問題,找出進一步健全內部控制的方向;中層管理者可根據內部控制信息了解自己在內部控制執行中存在的問題及需要改進的地方,并根據內部控制信息中提供的建議改進自己對內部控制的執行;同時也可了解下級員工和其他部門在內部控制執行中存在的問題,從而明確今后監控和評價的重點;下級員工和其他部門根據企業披露的內部控制信息,一方面了解企業對于內部控制的重視程度,企業內部的環境是否有利于內部控制的開展;另一方面明確自己職責范圍內承擔的風險,應該采取哪些控制活動,如何進行信息的溝通。通過分析、利用披露的內部控制信息能夠保證企業內部各層級人員更好地履行職責。
