湖南财政经济学院 周 良 广东商学院 林壮镇
内部控制是实现企业目标的手段,建立并维持有效的内部控制制度是管理当局的责任。由于内部控制的重要性,投资者逐渐要求了解公司内部控制的状况,在此情况下,内部控制信息披露应运而生。
我国对内部控制信息的披露要求始于2000年。2006年上交所发布了《上海证券交易所上市公司内部控制指引》(以下简称“《指引》”)。《指引》要求一般上市公司披露董事会编制的内部控制自我评估报告和会计师事务所的核实评价意见,同时《指引》对自我评价报告的内容及在注册会计师对公司内部控制有效性表示异议时,董事会、监事会针对涉及事项所作说明的内容做出了要求。《指引》的目的是通过信息披露监管来督促上市公司完善内部控制,它与前期的政策法规注重防范市场风险而没有强调内部控制本身的完善相比有很大的进步。
内部控制信息披露有利于促进管理当局发现内部控制缺陷,改进内部控制,提高会计信息质量,特别是现代公司控制权基本上已经掌握在经营者手中,如何保证经营者对股东忠诚和尽力,决定着现代公司制度的成败,并成为建立公司治理制度所要解决的核心问题。公司实践表明,经营权的正确行使只有通过严格的内部控制才能实现,因此,内部控制已成为现代公司治理的基础,研究公司治理也不能忽视内部控制这一基本层面。但遗憾的是,就所掌握的文献来看,既有的公司治理研究恰恰对这一问题未能予以足够的重视,一定程度上限制了公司治理尤其是公司内部治理研究的纵深发展。
从国外的研究来看,J.Efrim、Boritz和Ping Zhang(2006)运用博弈理论模型分析了内部控制报告和管理者薪酬之间的关系,认为管理层对内部控制信息披露的成本较为关注。Leone(2007)研究了年报中披露内部控制缺陷的上市公司,发现影响内控信息披露的因素包括组织结构的复杂性、重要的组织变化以及公司在内控系统方面的投资。
从国内的研究来看,蔡吉甫(2005)以2003年A股上市公司为样本,对我国上市公司内部控制信息披露的影响因素进行了实证研究。研究发现,经营业绩越好、财务报告质量越高的上市公司越倾向于披露内部控制信息,而财务状况异常的上市公司披露内部控制信息的动力明显不足。袁敏(2008)认为在2006年以前,我国监管部门对内部控制审计缺乏强制性的规定。因此上市公司对内部控制自我评价的披露较少,大量的研究集中在内部控制信息的披露上。
可见,国内外学者对内部控制的研究局限于以下方面:一是内部控制的概念的探讨;二是内部控制与公司治理的关系;三是在应用研究方面,主要是内部控制制度的建设,而很少对内部控制的社会认同度进行研究。在我国目前的文献中,只有南京大学杨雄胜、李翔、邱冠华等2007年对中国内部控制的社会认同度进行了相关研究。
本文在之前学者研究的基础上,以我国2006~2008年深沪两市上市公司的财务报表作为依据,考察我国公司对内部控制的认知程度。
本文研究基于以下四个假设:
假设一:不管信息含量如何,只要公司在年报中提到了“内部控制”或“内控”字眼,就算该上市公司披露了内控信息。当然,考虑到内部控制的内容不一定会直接用“内部控制”或“内控”来表述,故在统计过程中对类似内控信息披露情况也给予了应有关注,计入披露内控信息的公司范畴。
假设二:在年报中披露内控信息的上市公司比没有披露内控信息的上市公司对内部控制的重视程度高。由于是大样本研究,并且在年报中披露内控信息属于上市公司的自愿行为,故该假定可以成立。由此可推论,披露内控信息的上市公司越多,中国公司总体上对内部控制的重视程度越高。
假设三:在非规定位置披露内控信息的上市公司比在规定位置披露内控信息的上市公司对内部控制的重视程度高。显然,在规定位置披露内控信息属于被动披露行为,而在非规定位置披露则属于主动披露行为。根据证监会有关文件,监事会报告属于披露内控信息的规定位置。
假设四:内控信息披露详细的上市公司比披露简略的上市公司对内部控制的重视程度高。年报信息是报告期内公司日常经营运作和管理的集中反映,内控信息披露得越详细,在一定程度上反映了公司在日常的经营运作当中对内部控制越关注。
对我国上市公司内部控制的信息披露现状可以作如下分析:
其一,研究思路。首先统计深沪两市(2006~2008年)上市公司(含A股和B股)披露内控信息以及披露位置的公司数量,然后在数量基础上考察内控信息披露行为所体现的公司内控意识的强弱,逐年的趋势分析贯穿其中,形成静态和动态相结合的分析视角——静态揭示现状,动态反映趋势。
其二,样本选取与数据来源。本文以在年报中披露内控信息的上市公司为研究对象,选取2006~2008年在巨潮资讯网公布年报的上市公司作为样本总体,统计得到以下数据。从披露内控信息的公司数量、内控信息披露的位置和内控信息披露的内容及其详细程度三方面考察上市公司披露内部控制信息的情况。
(1)披露内控信息的公司数量。根据假设一要求,从深沪两市上市公司的财务报表统计得到表1所示。表1数据表明,与杨雄盛等人的研究结果比较,中国上市公司在2006~2008年年度报告中披露内控信息的倾向(用“内控披露百分比”表示)更高,三年均超过80%,2008年甚至达到89.61%。根据假定二,表明我国上市公司较之以前更为重视内部控制,而且从各年的变化可见,上市公司的内控披露倾向正呈逐年上升的趋势,从2006年的83.93%升至2008年的89.61%,升幅接近7个百分点,形势较为乐观。
此外,与之前的研究结果比较,上市公司的内控披露倾向在不同证券交易所仍存在一定程度的差异,但是差异程度不大,这表现在:纵向看(同一交易所逐年比较),深沪两市上市公司的内控披露倾向逐年提高,但深市公司的上升趋势较大;横向看(不同交易所同年比较),前两年深沪两市公司内控披露倾向几乎相同,但到了2008年,深市披露线已经压过沪市披露线,表明深市的披露倾向较高。
表1 深沪两市披露内控信息的公司数量及其所占比例
(2)内控信息披露的位置。研究表明,上市公司通常选择在年报中的“公司治理结构”、“股东大会简介”、“董事会报告”、“监事会报告”、“重大事项”、“报表附注”等部分披露内控信息,少数公司也会在年报附件中单独披露企业内部制“三性”说明书和会计师事务所出具的内部控制评价报告。内控信息的具体披露位置及其公司数量如表2所示:
表2 上市公司内控信息的披露位置及其公司数量
从表2数据显示,上市公司选择在“监事会报告”披露内控信息的情况仍然居多,其次是“董事会报告”,“公司治理结构”、“股东大会简介”披露的情况较少,通过“重大事项”、“报表附注”披露的情况更少。不同的是,从各年情况看,上市公司在“董事会报告”和“公司治理结构”披露的情况逐年增加,相反,在“监事会报告”、“股东大会简介”披露的情况不断下降,而在“重大事项”、“报表附注”披露的情形变化不大。
总的来说,我国上市公司对内部控制信息的披露主要还是公司监事会,只有10%左右的公司董事会对内部控制信息进行披露。内控信息披露主要依靠于监事会报告,但是监事会并不是内部控制的责任主体,他们发表意见仅仅是对董事会和经理是否建立内部控制制度的一种监督,而建立并维持有效的内部控制制度,应该是董事会和治理当局的责任,因此可以看出我国上市公司内控信息披露主体出现了问题。
与杨雄盛等人的研究结果比较,上市公司披露内控信息的位置主要还集中于“规定位置”,即集中于“监管会报告”中,在“非规定位置”披露的情况仍较少。从内控信息披露位置这个角度看,公司的内控意识仍然不高,
(3)内控信息披露的内容及其详细程度。在统计过程中发现,各上市公司在上述位置中披露内控信息的内容变化不大,但总体而言,绝大多数上市公司在披露内控信息时均笼统带过,信息含量较低,大多数只披露了“本公司建立了完善的内部控制制度”或类似的话,而没有关于内部控制具体制度等内容。由此可见,我国上市公司内部控制信息披露基本上仅仅是一种形式,导致上市公司信息披露不规范,而且使得一些上市公司应付了事,不披露具体的信息。
此外,从沪市公司2006~2008年年报披露内部控制自我评价情况统计可见表3,披露内控评估报告的公司2006年只有30家,2007年只有144家,占的比重非常小。2008年虽达到了353家,也是因为上交所发布了《关于做好上市公司2008年履行社会责任的报告及内部控制自我评估报告披露工作的通知》的缘故,该通知强制要求公司治理板块、境外上市及金融类上市公司(共258家)披露内部控制自我评价报告。
表3 沪市公司2006年和2007年年报披露内部控制自我评价情况统计
综上所述,从披露内控信息的公司数量层面看,我国上市公司内控披露的倾向性较高,形势可观,似乎对内控的重视程度较高,但是从内控信息披露位置和内容及其详细程度看,我国上市公司内控披露的倾向性却不如人意。由于“披露内控信息公司数量”的研究是建立在假设一上的,即只要上市公司在报表中提到“内部控制”和“内控”等字眼,就算做有披露内控信息。但是,通过综合衡量内控信息披露条件,后两者更加重要,因此可以认定我国上市公司对内部控制重视程度较低,即对内部控制的认同度仍然较低。
一方面原因,是各管理部门颁布的这些与内控信息披露相关的法规,其执行范围相互交叉,而法规的内容相互联系但又不完全相同,同一个公司可能同时适用不只一个内部控制规范,因此各个公司在对内部控制进行评价时缺乏统一的评价依据。所以我国应该尽快建立一套完善的、符合实际并具有可操作性的内部控制的评价指标体系,让治理层根据自身状况定期开展内部控制的自我评价。
另一方面,从内部控制的制度环境来看,我国对上市公司内部控制自我评估报告的披露仍是以鼓励为主,并不是强制性的要求。这也是导致上市公司对内控的认同度较低的原因。监管部门严格监管对提高内部控制信息披露水平有促进作用。监管部门进一步制定披露的细化规则,参照SOX法案,强化和明确内部控制信息披露的责任主体,如明确为董事会和管理层,对披露的具体内容作出详细规定,同时采取措施鼓励管理当局进行自愿性信息披露,是进一步改善的方向。
同时,问题的解决还需从企业自身出发,加强对现代内部控制整体观念的理解,提高信息披露工作管理人员的总体业务素质,强化上市公司对内部控制信息披露重要意义的认识,同样可以在一定程度上提高公司内部控制信息披露水平和质量。
[1]李敏:《企业内部控制》,上海财经大学出版社2009年版。