美国内部控制信息披露的现状及对我国的启示

　　【摘要】本文结合美国内部控制信息披露的发展历程，特别是《萨班斯-奥克斯利》法案这一影响最为深远的改革，针对我国上市公司内部控制信息披露现状，提出了几点改进和完善内部控制信息披露的建议。
　　
　　内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。内部控制是实现企业目标的手段，建立并维持有效的内部控制制度是管理当局的责任。由于内部控制的重要性，投资者逐渐要求了解公司内部控制的状况，在此情况下，内部控制信息披露应运而生。
　　内部控制信息披露建立在董事会和管理当局对内部控制评价的基础上。为了了解内部控制的设计是否适当、执行是否有效，企业管理当局或内部审计机构应定期根据一定的标准对本单位内部控制设计和执行的有效性进行评估，管理当局对内部控制进行自我评估后应提出一个提供给外部信息使用者的报告，这就是内部控制信息披露。内部控制信息披露对于投资者了解公司内部控制的状况非常重要。
　　
　　一、美国的上市公司内部控制信息披露：从自愿到强制
　　
　　在美国，内部控制信息披露经历了由自愿披露到强制披露的发展历程。在1979年到1988年，美国证券交易委员会（SEC）曾两次试图要求强制提供内部控制报告，由于遭到反对，SEC并没有要求上市公司强制提供内部控制报告。在1990年，美国众议院通过了一项立法提案，强制要求公开上市公司提供内部控制报告。因为在参议院未能通过，该建议没有成为一项法律。所以美国长期以来，内部控制报告基本上处于信息的自愿披露阶段。但这一时期仍有较多的公司自愿在财务报告中提供内部控制报告。1993年对2221家公司年报的研究表明，有742家提供了内部控制报告，占33.4%。由此可见，美国公司有较强的自愿提供内部控制报告以向外部投资者传递公司质量的信号的动力。
　　2001年，美国发生了安然事件，随后，又爆发了一连串会计丑闻。2002年7月30日，布什总统签署了国会以压倒多数通过的《萨班斯-奥克斯利》法案（Sarbanes Oxley Act）。《萨班斯法案》代表了一个新的资本市场监管时代的到来。美国总统布什在法案通过当天就宣称，该法案是“有关美国商业实践的影响最为深远的改革”，也有学者称它可能成为自1933年证券法通过以来美国证券法律制度所经历的最大调整之一。从内部控制信息的披露角度来说，《萨班斯法案》在以下几个方面做出了规定：
　　
　　（一）将上市公司的内部控制信息纳入强制信息披露的范围之内。上市公司应在年度报告中包含内部控制报告，阐明管理当局应当为财务报告的目的建立和维护内部控制的结构流程，并对内部控制系统的有效性进行自我评价。
　　
　　（二）内部控制信息的披露需要由注册会计师出具验证报告。注册会计师应当对管理当局的自我评价进行测试并出具报告，报告内容包括：实施内部控制测试中的发现；内部控制系统是否充分合理的保存会计记录，以便能公允地反映资产交易和处置的情况，保证交易记录符合公认会计准则，以及保证公司一切收支活动完全符合管理层和董事会的授权；对实施测试中发现的内部控制重大缺陷和任何违规行为进行描述。
　　
　　（三）强化了上市公司关键管理人员对财务报表的可靠性和内部控制的责任。首席执行官、首席财务官及类似职能人员必须在财务报告上签字；签字人必须向公司的外部审计师和公司审计委员会报告内部控制中的重大缺陷，以及管理当局或其他能影响内控系统的员工的任何舞弊情况；签字人必须在定期报告中说明内部控制是否存在重大缺陷，如存在缺陷的相应挽救措施及期后事项等。
　　由此可见，美国已经要求公众公司的管理当局对内部控制作出有关保证，并提供经注册会计师验证的内部控制报告。对于内部控制信息，美国已经从自愿披露转入强制披露阶段。
　　
　　二、我国上市公司内部控制信息披露的要求和现状
　　
　　（一）商业银行、证券公司内部控制信息披露
　　中国证监会发布的《公开发行证券公司信息披露编报规则》第7号《商业银行年度报告内容与格式特别规定》、第8号《证券公司年度报告内容与格式特别规定》规定，商业银行、证券公司在年度报告中应对内部控制制度的完整性、合理性与有效性作出说明。还应委托所聘请的会计师事务所对其内部控制制度，尤其是风险管理系统的完整性、合理性与有效性进行评价，提出改进建议，并出具评价报告。评价报告随年度报告一并报送中国证监会和证券交易所。所聘请的会计师事务所指出以上三性是存在严重缺陷的，董事会应对此予以说明，监事会应就董事会所作的说明明确表示意见，并分别予以披露。《公开发行证券公司信息披露的内容与格式准则第2号——年度报告的内容与格式（2003年修订稿）》第四十三条规定，年度报告中，监事会应对“公司决策程序是否合法，是否建立完善的内部控制制度，公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为”发表独立意见。
　　由此可见，目前，我国对商业银行、证券公司的内部控制信息披露的要求是最严格的。但是，现行规定仅要求会计师事务所对上述公司内部控制制度的完整性、合理性与有效性进行评价，提出改进建议并出具评价报告，并没有要求对管理当局内部控制信息披露的真实性发表意见。评价报告只要求随年度报告一并报送中国证监会和证券交易所，并不要求对外提供。
　　
　　（二）一般性上市公司内部控制信息披露
　　1.虽然证监会2001年修订的《公开发行证券的公司信息披露内容与格式准则第2号——年度报告的内容与格式》规定，上市公司监事会应就公司内部控制制度是否完善发表意见，但是仅要求披露“是否建立完善的内部控制制度”，而并未要求公司披露建立内部控制的详细信息以及监事会的评价，这容易造成披露的形式化。对于年报摘要，允许公司监事会在认为已建立完善的内部控制制度的条件下免于披露，这在一定程度上为上市公司减少相关信息的披露和逃避责任提供了机会。
　　2.缺乏对内部控制报告格式和具体内容的详细规定。这不仅使上市公司在披露时无所适从，导致上市公司信息披露不规范，而且使得一些上市公司应付了事，不披露详细的信息。
　　3.内部控制信息披露主要依赖于监事会报告，而没有规定董事会对内部控制信息披露的责任。监事会并非内部控制的责任主体，他们发表意见仅仅是对董事会和管理当局是否建立内部控制制度的一种监督。而建立并维持有效的内部控制制度，是董事会和管理当局的责任。董事会和经理对本企业的内部控制最熟悉，最有能力对其进行评价，因此内部控制信息披露的主体应该是董事会，监事会在内部控制信息披露方面所负责任的性质与董事会应有所不同。
　　4.没有要求注册会计师对公司的内部控制信息披露发表意见，从而难以保证内部控制信息的可信度。
　　2003年在沪深两市公开发行A股的上市公司共有1146家。1146家上市公司中，大约有80%左右披露了内部控制信息。其中，5家上市银行（深发展、民生银行、浦东发展、招商银行、华夏银行）全部披露了有关信息，对3年度财务报告分析发现五家银行由于有特殊披露要求，其披露内容也相对较为详细，主要包括：（1）年度报告当中专设一节“公司治理结构”，说明公司的信息披露及透明度、独立董事及履行职责情况、对高层管理人员的考评及激励机制等；（2）董事会报告对内控制度有效性评价及认定的基本情况，并专设“内部控制制度的完整性、合理性与有效性的说明”一段内容，从公司组织架构、公司内部管理规章制度等方面较全面地分析了本行的内部控制制度；（3）监事会报告中披露了公司建立的内部控制制度完整、合理、有效；（4）会计师事务所出具的内部控制审核报告。在披露内部控制信息的一般性上市公司中，大多数只披露了“本公司建立了完善的内部控制制度”或类似的话，而没有关于内部控制具体制度等内容。由此可见，我国上市公司内部控制信息披露基本上仅仅是一种形式，缺乏对内部控制信息披露格式和具体内容的详细规定。这不仅造成上市公司披露时无所适从，导致上市公司信息披露很不规范，而且使得一些上市公司应付了事，不披露详细的信息。
　　
　　三、我国上市公司内部控制信息披露的完善与发展
　　
　　针对我国上市公司内部控制信息披露存在的问题，我们可从美国《萨班斯-奥克斯利》法案的实施得到一些启示，从以下几点改进和完善内部控制信息披露。
　　
　　（一）健全和完善内部控制信息披露的规范体系
　　1.要求所有上市公司董事会在年度报告中披露内部控制的有关信息，同时要求监事会和由独立董事组成的审计委员会发表对内部控制进行评价的意见。为了防止内部控制信息披露的形式化，可以借鉴美国的做法，要求管理当局提供单独的内部控制报告。
　　2.证监会应当对内部控制信息披露的具体内容和格式作出详细规定，以规范上市公司的披露行为，加强制度的可操作性。内部控制报告应表明：董事会和管理当局对内部控制的责任；公司已经按照标准设计并颁布实施内部控制制度；声明公司已按照有关的标准、程序对内部控制设计和执行的有效性进行了评估，没有发现重大缺陷（如果评估后发现存在重大缺陷，应指出该项缺陷及管理当局对此采取的相关措施）；声明企业的内部控制有效（或除上述缺陷以外内部控制有效），不会发生对公司财务报告的可靠性和对公司资产的安全性、完整性有重大不利影响的情况。在符合成本效益原则的前提下，内部控制报告还应当对企业的基本内部控制制度进行简要的描述，以便信息使用者对其进行评价。
　　
　　（二）应把强制性内部控制信息披露制度作为我国的主导性制度
　　因为强制性信息披露制度是兼顾效率与公平的结果，强制性信息披露的支持者们一直以效率与公平作为评价强制性信息披露合理性的基础。经验数据有力地证明了强制性信息披露的运用减少了价值的偏离，可防止欺诈、保护投资者信心与利益，增强了资本市场配置的效率。
　　
　　（三）加强对内部控制信息披露的监管，加大对造假的处罚力度
　　内部控制信息对于投资者而言是一项重要的决策依据。对于上市公司不按规定披露有关内部控制的情况，包括不披露内部控制信息、披露虚假的信息或者隐瞒内部控制存在的不足，应当予以惩处。
　　
　　（四）重视和加强注册会计师的“经济警察”作用
　　为了保证内部控制信息披露的真实性，应当要求注册会计师对内部控制信息披露加以验证，并出具审核报告。但同时需要加强注册会计师审计的法制建设，有效提高注册会计师的职业道德水平。