一、問題的提出
2001年,安然、世通等一系列會計丑聞的發生,使得對內部控制信息的披露要求急速升溫并達到巔峰。于是,在社會各界的強烈呼吁中,2002年《薩班斯——奧克斯利法案》簽署生效。至此,結束了美國內部控制信息自愿披露的歷史,進入了強制披露的時代。如今,美國對內部控制信息披露的規范已日趨成熟和完善。
我國對內部控制信息披露的關注起步較晚,但是發展迅速。上交所和深交所2006年出臺了《上市公司內部控制指引》。2008年6月28日,財政部、證監會等五部委又聯合發布了我國第一部《企業內部控制基本規范》。 根據這一基本規范,上市公司應當對企業內部控制的有效性進行自我評價,披露年度自我評價報告,并聘請具有證券、期貨業務資格的中介機構對內部控制的有效性進行審計。這標志著我國上市公司完成了內部控制由片面披露到全面披露、由滿足監管需要到滿足外部信息使用者決策需要、從自愿披露到強制披露的全面蛻變,實現了與國際接軌。
但是,不得不承認,上交所和深交所發布的《上市公司內部控制指引》以及《企業內部控制基本規范》還比較籠統,僅僅是一個原則性指引。對每個企業究竟要披露哪些內容、披露的詳盡程度以及會計師事務所對企業內控評價的標準仍然沒有具體的規范。因此,在我國企業內部控制信息披露方面還有許多問題值得去思索和探討。
二、內部控制信息披露的現狀盤點①
(一)內部控制信息披露的整體情況
L省上市公司內部控制信息披露總體情況如表1所示②。
從表1可以看出,滬市25家企業,2007年僅有一家企業在年度報表中對內部控制沒有提及,其他絕大部分企業都在公司治理結構、董事會報告、監事會報告和重要事項報告中有或多或少的提及。2008年滬市L省25家上市公司全部進行披露,無一例外。深市的狀況與滬市正相反,2007年在深上市的L省24家公司全部披露,而2008年有3家上市公司未披露。
(二) 內部控制信息披露的具體情況
由于滬、深兩市的要求不同,因此本文在此分別加以說明。
1.在上交所上市的25家公司
在上交所上市的25家公司對內部控制信息披露的具體情況如表2所示。
上交所的指引要求上市公司披露兩個報告即自我評估報告和會計師事務所的鑒證報告,但是實際的執行情況不是很令人滿意。2007年只有一家公司按照規定做到,2008年增添兩家,但能做到披露自我評估報告的也只是個別公司,80%左右的公司未披露自我評估報告,僅僅在公司治理中提及內部控制的情況,至于鑒證報告更是無從談起。2008年已經是上交所指引實施的第3年,絕大部分企業還是沒有按照指引的要求來披露,只在公司治理中寥寥數語,真正能做到詳細披露的也只是少數。
就披露的內容而言,大體可分為三類。第一類是僅披露內部控制的建立健全情況。在公司治理中介紹公司依據哪些法律,法規以及交易所的規定和公司實際情況,在法人結構治理,財務管理,經營管理以及信息披露方面建立了哪些制度,實施了哪些規定。第二類是不僅披露內部控制的建立健全狀況,同時對報告期內部控制進行評價。以這種形式披露的企業在詳細或簡略介紹公司內部控制的基礎之上,對公司在報告期內部控制是否有效執行進行了評價。第三類是在披露內部控制的建立健全狀況,對報告期內部控制進行評價的基礎上,同時披露下一步計劃。
從以上的分析可以看出,大部分的公司還是仍然保持著在公司治理中對內部控制的建立健全狀況進行描述,其中一半的公司能夠自我評價一下,真正對發現的問題以及改進措施進行評價的公司基本沒有。
2.在深交所上市的24家公司
在深交所上市的24家公司對內部控制信息披露的具體情況如表3所示。
從表3可以看出,2007年披露狀況良好,在24家深市上市的公司中有21家公司披露了對內部控制的自我評估報告,并且董事會和監事會對此報告發表了意見,有1家公司欠缺獨立董事的意見,還有兩家公司僅進行了自我評估。2008年披露狀況明顯不好,披露狀況多樣化,僅有14家實現完整披露,占58.3%,同時還有3家沒有進行任何披露,有4家公司缺少獨立董事的意見,3家公司僅僅對內部控制進行了自我評價,監事會和董事會都沒有發表意見。
24家公司對內部控制信息披露的詳略程度如表4所示。
從表4可以看出,2007年披露狀況明顯好于2008年,在深交所上市的L省24家企業都能夠披露自身內部控制的建立健全情況。一家重點關注控制活動的自查和評估情況,一半以上的公司主動披露自己在內控方面存在的問題及整改措施,執行狀況算不上完美,但還是比較令人滿意的。2008年披露狀況有所下降,有三家公司沒有披露內部控制的相關信息,經查全部是ST公司,對內部控制缺陷的披露也從去年的13家減少到4家。但是令人奇怪的是,去年披露內部控制缺陷和異常事項以及整改措施的13家公司卻沒有一家在2008年說明上一年度的改善進度,這令人十分費解。
三、內部控制信息披露的問題剖析
(一)企業內部控制系統不健全
企業內部控制系統不健全主要表現為:內部控制環境不佳,缺少風險評估程序,沒有制定相應的信息與溝通制度,內部監督形同虛設。出現這個問題不能夠完全歸責于企業,因為我國一直以來都沒有一個完善、詳細、可執行的內部控制框架,使得很多企業即使是想要建立完善的內部控制,也無章可循,只能是根據企業的實際情況,再按照現有的法律、法規進行局部完善。當然,僅僅從企業對內部控制披露的不完善來判定企業內部控制不健全,有些片面,但是,如果一個企業有著良好的內部控制,是會積極、全面、詳細地對外披露的。
(二)內部控制信息披露依據不統一
在2007年和2008年的年度報告中,上市公司提到的內部控制所依據的法律、法規和部門規章包括:上交所內部控制指引、深交所內部控制指引、《中華人民共和國商業銀行法》、《商業銀行內部控制指引》、《中華人民共和國公司法》。而這些法律、法規和規章對內部控制披露的要求不一,形式各異,詳略不同。這就造成了披露上的參差不齊。有些上市公司一方面為了降低披露成本,另一方面為了掩飾公司的內部控制缺陷,往往選擇那些對內控披露要求較低的、內容少的、標準不明確的作為依據,以實現各自的目的。
(三)內部控制信息披露形式不統一
盡管上交所、深交所頒布了上市公司內部控制指引,并且規定了自我評估報告的內容和形式要求。但是,從前面的數據統計可以看出,只有一些公司達到這個要求,其余的公司只在公司治理中進行披露。即便在達到要求的公司中,也沒有一家完全按照規定披露,且形式不統一。
(四)內部控制信息披露態度不積極
目前,我國企業管理者內部控制意識還比較薄弱,認識不夠深入。其中相當一部分對內部控制不夠重視,導致有的企業沒有建立健全的內部控制制度;也有部分管理者誤認為自己管理下的企業內部控制己經十分完善,以為內部控制就是內部成本控制、內部資產安全性控制等,或者以為內部控制就是一堆堆的手冊、文件和制度等。此外,也有的企業由于管理者對內部控制實施監管不力,使得企業內部有章不循、執法不嚴,內部控制制度流于形式,沒有切切實實得到執行。
(五)注冊會計師對內部控制鑒證的評價標準不明確
上交所指引要求上市公司需要聘請會計師事務所對內部控制的自我評價進行鑒證并發表意見,但是,沒有明確事務所進行鑒證的評價標準。目前,會計師事務所出具內部控制自我評價報告的鑒證報告時依據的是不同的標準要求。
(六)有關部門對內部控制信息披露的監管力度不夠
從前一部分的數據描述中可以看出,從2007年到2008年上交所上市公司對內部控制的披露狀況基本沒有太大的改變。在全部25家公司中2008年僅僅比2007年新增一家按照上交所指引披露自我評價報告和鑒證報告的,其余的公司依然我行我素,保持2007年的做法,不單獨披露報告也不請事務所鑒證,只是在公司治理中陳述。由此可以看出,上交所對2007年那些沒有按照規定披露的公司沒有給予相應的提示或者警告,否則這些公司不會無視規定的。深交所上市公司的執行狀況也并非完全合規,2008年沒有進一步完善,反而有所下降。從這些執行情況看來,證券交易所的監管力度還有待加強。
四、內部控制信息披露的改進對策
(一)監管者層面
1.進一步完善企業內部控制基本規范
《企業內部控制基本規范》第一次明確了我國企業內部控制的建立規范和披露要求。但是,無法否認的是,這一規范更多的是參考薩班斯法案而制定,比較籠統,原則性比較強,執行性不強。目前,我國企業對內部控制的認識還是十分片面的,這就需要國家出臺更加具體、明確的規范,讓企業有章可循。
2.明確內部控制信息披露要求
雖然上交所和深交所對上市公司內部控制自我評價報告的內容作了規定,但是從內容上看是相當簡略和概括的,至于對每一項內容應該披露的詳略程度和范圍沒有作出規定。對于上市公司來說還是存在較大的隨意性和可選擇性。因此,相關部門應該根據企業的實際情況出臺更加具體和詳細的披露規定,對披露的內容和形式作出細化的規定,減少企業的選擇空間,盡可能地實現披露標準化、詳細化和明確化。促進企業內部控制信息披露的完善和健全,同時也有利于監管部門的管理。
3.制定明確的事務所鑒證準則
現在,會計師事務所使用的三種標準分別是:由財政部發布的《獨立審計具體準則第9號——內部控制與審計風險》、《中國注冊會計師其他鑒證業務準則第3101號——歷史財務信息審計或審閱以外的鑒證業務》和中注協發布的《內部控制審核指導意見》。從時間上看,《獨立審計準則第9號》頒布于1996年;《內部控制審核指導意見》頒布于2002年;而《中國注冊會計師其他鑒證業務準則第3101號》頒布于2006年,是最新的一部準則。為了使會計師事務所的鑒證報告能夠做到可靠、公正,相關部門應該盡快出臺明確的鑒證準則,使得會計師事務所的鑒證工作有章可循,統一標準,減少主觀判斷以及由此帶來的誤差,增強其可信賴性和有用性,為投資者、債權人等外部信息使用者提供決策有用的信息。
4.加強監管力度
目前,上海證券交易所和深圳證券交易所發布的《上市公司內部控制指引》屬于部門規章制度,它不具備法律和法規的效力。如果沒有嚴格的監管和處罰措施,很可能成為一紙空談。監管部門應當制定明確的懲處規定,對于上市公司不按規定披露有關內部控制情況,包括不披露內部控制信息、披露虛假的信息或者隱瞞內部控制存在的不足,應當予以懲處。監管部門還應當對上市公司的自我評價報告、注冊會計師的鑒定意見進行嚴格的監督和檢查,對內部控制實施強制性審計。
(二)執行者層面
1.增加企業管理者對內部控制信息披露的認識
一直以來,有些公司對于內部控制信息披露都是懷有抵觸心理的。一方面他們認為這會增加他們的披露成本,更重要的是很多公司內部控制不健全,害怕對外進行披露后失去投資者,造成信貸和融資方面的麻煩。其實,上市公司應該意識到通過內部控制報告披露內部控制信息是促進企業加強自身管理的重要舉措。首先,內部控制信息披露報告給公司管理機構提供一個陳述其有關企業內部控制的關鍵信息的機會。其次,通過內部控制信息的披露來改善經營管理,提高企業的經營效率。內部控制報告能夠使企業定期檢查。最后,上市公司之間可以通過內部控制信息披露來實現彼此之間的交流和溝通,學習彼此的成功經驗,吸取彼此失敗的教訓,用最短的時間來完善企業內部控制建設。
2.健全上市公司的治理結構,完善企業內部控制
目前,我國公司治理存在的缺陷妨礙了內部控制的有效運行。因此,健全上市公司的治理結構成為其內部控制建立、健全并有效運行的制度基礎。具體說來,上市公司首先應理順產權關系,保持上市公司的獨立性,避免內部人控制。其次,應強化監事會的監督作用。最后,應加強專門委員會和獨立董事的作用。
3.切實地進行自查、評價,并提出改進措施,然后進行真實披露
一個企業要發展,內因是決定因素。我們總是把目光放在競爭對手身上,考慮著如何打敗對方,其實真正地敵人不是別人正是自己,只有自身的強大才是真正的強大。建立內部控制制度只是萬里長征的第一步,重要的是隨著各方面的變化不斷地完善企業的內部控制。任何一個企業的內部控制系統的完善是無止境的,它的完善需要通過不斷地發現問題解決問題來實現。但是這個過程真正地實施起來并非易事。強制披露的最終目的就是要促進企業的不斷完善。所以說,企業一定要按照規范以及指引的規定,認真進行自我檢查,自我評價,找出存在重大風險的領域,提出行之有效的解決措施,并付諸行動,最后對外進行真實披露,以此來促進自身內部控制的完善。
【參考文獻】
[1] 楊有紅,汪薇.2006年滬市公司內部控制信息披露研究[J].審計研究,2008(3):53-59.
[2] 繆艷娟. 英美上市公司內控信息披露制度對我國的影響[J]. 會計研究,2007(9):67-96.
[3] 楊雄勝,李翔,邱冠華.中國內部控制的社會認同度研究[J].會計研究,2007(8):60-67.
[4] 方紅星,孫嵩.強制披露規則下的內部控制信息披露——基于滬市上市公司2006年年報的實證研究[J].財政問題研究.2007(12):67-73.
[5] 沈群英.內部控制報告研究[D].廈門大學,2007.
