□文/王金兰
目前,内部控制作为公司治理的关键环节和经营管理的重要举措,越来越受到上市公司利益相关者的关注。2002年,美国颁布了《萨班斯——奥克斯利法案》,该法案强调了内部控制信息披露在公司治理中的核心地位,强制要求在美国上市的公司披露内部控制信息。我国在1999年修订的《会计法》中,以法律形式对建立健全内部控制提出原则要求,财政部相继发布了《内部会计控制——基本规范》、《企业内部控制基本规范》及企业内部控制配套《指引》,也从不同角度强调了内部控制的重要性,规定上市公司在年报中详细披露内部控制信息。但从近几年的实践来看,我国上市公司内部控制信息披露存在披露信息流于形式、信息含量少等问题。可见,强制执行内部控制信息披露效果不佳,内部控制信息披露的重要性还未被上市公司、外部信息使用者所认识。
(一)内部控制的含义。内部控制贯穿于企业经营活动的各个方面,只要有企业经济活动和经营管理,就需要有相应的内部控制。2008年5月,财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》,将内部控制定义为:“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”内部控制有利于企业在遵守现行的法律、法规、行业的监管规章和企业内部管理制度下,保证企业资产的安全、完整,改善企业经营管理,提高企业的经营效率和管理效果,保证财务报告的真实可靠,防止错误和舞弊。由于内部控制的重要作用和投资者了解上市公司内部控制状况的内在需要,内部控制信息披露就变得十分必要。
(二)内部控制信息披露的含义。内部控制信息披露是指企业管理当局依据一定的标准,向外部投资人或其他利益关系人披露本单位内部控制设计的完整性、合理性和执行的有效性,进行自我评估的信息以及注册会计师对内部控制报告审核的信息。建立在董事会和管理当局对内部控制评价的基础上,内部控制信息披露有利于投资者更全面地了解企业的生产经营活动及经营管理情况,能为做出正确的决策提供有力的依据,也有助于管理当局提高内部控制的管理水平。
上市公司内部控制信息的披露形式主要有公司年度报告中的管理层陈述、招股说明书中的管理层对内部控制的自我评估、注册会计师对企业内部控制的评估报告及其结论性意见和上市公司所发布的单独的内部控制自我评估报告四种。目前我国上市公司披露的内部控制相关信息常见于年报、公司治理自查报告和专项整改报告、章程等文件中。从上市公司内部控制信息披露的情况来看,主要存在以下问题:
(一)内部控制信息强制性披露缺乏自愿性。上市公司内部控制信息披露缺乏自愿性披露,主要体现在自愿性披露阶段,基本没有公司会主动披露;在强制要求披露内部控制信息之后,各个公司只是披露一些无关痛痒的内容,对一些实质性影响投资者决策的内容很少披露,都以“能不披露的,一定不披露;一定要披露的,尽量少披露”为原则。上市公司没有严格遵守证券交易所年报通知的要求,或者未披露问题及整改计划;或者未列出上市公司控股子公司控制结构及持股比例图表;也有部分公司披露的内部控制报告,虽然标题相符,但具体的格式、内容则完全偏离要求。内部控制信息披露缺乏自愿性,提供信息的有效性也因此无法得到保证。这就使得我国上市公司内控披露标准不一致、不规范,甚至在一定程度上存在混乱现象。
(二)选择性披露内部控制信息现象较严重。内部控制信息的披露有助于投资者对上市公司的未来发展状况做出正确的预测,从而直接影响到其决策。因此,可以说几乎每一家上市公司都希望通过内部控制信息的披露产生积极效应,都在有意或无意地选择性披露内部控制信息。一方面选择性披露体现在内部控制信息披露内容的详细程度上。通常,上市公司在披露一些利好消息时,做到“不厌其详”;而对于一些不利消息,则是“言简意赅”、笼统概括,甚至有些公司是“只字不提”;另一方面选择性披露体现在后续的补充公告和更正公告中(俗称打“补丁”)。一些上市公司对与某个事件相关的信息有意不一次性全面披露,而依赖于补充公告和更正公告,尽管这些公告能对报告中的差错和遗漏进行及时更正,但由于这些补丁通常是针对敏感问题,事后以小公告的形式进行更正,常常不会引起投资者的注意,使他们忽略一些重要信息,最终可能导致他们无法做出正确的决策。
(三)信息披露流于形式,信息含量少。大部分上市公司的内部控制信息披露流于形式,披露内容不完全,信息含量少。例如,一些公司通常用一句话来描述内部控制状况:已建立较完善的内部控制;内部控制需要进一步完善。这些话语使内部控制信息披露流于形式,而对于内部控制制度建设的框架、董事会和管理层对内部控制制度的合理性、有效性、完整性的意见却没提及。在披露中真正提到内部控制存在缺陷的公司很少,即使认为公司内部控制存在问题,也是以“控制重点不突出”、“个别控制业务执行不力”等无关痛痒的话语来描述。这样的内部控制信息披露信息含量少,几乎不涉及到公司的一些实质性问题,使得外部信息使用者不能全方位详细地了解公司内部控制情况,从而无法做出正确的判断与决策。
上市公司内部控制信息披露存在的问题,与我国对内部控制信息披露的关注起步较晚、上市公司对内部控制缺乏正确认识以及上交所和深交所发布的《上市公司内部控制指引》以及《企业内部控制基本规范》规定还比较笼统都有直接关系。
(一)对内部控制缺乏正确认识。一些上市公司还未意识到内部控制的重要性,对内部控制存在一些错误的认识,主要表现为:内部控制环境薄弱,企业管理层不重视内部控制;一部分上市公司并未制定完善的内部控制制度或者说即使制定了也未按规定执行,形式化相当严重。另外,内部控制过分强调内部控制对避免会计信息失真的作用,而忽视了内部控制的经营目标;甚至有人认为内部控制仅局限于会计控制,而不是覆盖于企业经营管理的全过程,忽视了内部控制的整体协调。对内部控制缺乏认识直接导致公司披露内部控制信息的积极性不高,大多数情况下的披露都是以满足证监会和交易所方面的要求为己任,缺乏自愿披露内部控制信息的动力。
(二)出于成本效益的考虑。《基本规范》明确规定:企业在建立与实施内部控制时,要遵循成本与效益原则。不仅如此,上市公司在披露内部控制信息时,也能自觉遵循成本与效益原则。上市公司由于内部控制系统设计的复杂程度、工人的素质及工作效率的不同,会导致披露内部控制信息的成本差距较大。上市公司进行内部控制自我评估要发生的成本,主要包括内部审计机构的办公费、人员工资费、各种工作补贴及委托外部的中介组织即会计师事务所进行评估费用、在报纸上披露需要支付给报社的费用、在网站上披露需要发生一定的网站维护费、内部控制信息披露发生错误或遗漏等而产生的诉讼费用等。由于上市公司不能从信息的供给中获得直接经济利益,无法补偿信息披露成本,导致内部控制信息披露的成本与效益不平衡。从而,上市公司自愿性和披露动力不足,同时也不能充分满足信息使用者的需求。
(三)详细披露内部控制信息可能涉及商业秘密。通常,上市公司为了显示自身经营业绩,提高公司对投资者的吸引力,提升自身竞争能力,实现再融资,更倾向于自愿披露历史信息与财务信息。而内部控制信息属于非财务信息,关系到公司的商业秘密和公司的未来,以及不确定性可能导致的诉讼风险,使公司竞争处于劣势,上市公司一般不愿披露这些信息。
(四)内部控制信息披露缺乏统一的评价标准。目前,我国尚未正式出台类似COSO报告的内部控制评价标准体系,更不用说对内部控制的完整性、合理性和有效性有一个明确的评价标准。各个公司内部控制的设计、执行及监督各有特色,其披露形式也各不相同。就上市公司而言,各个公司关于内部控制制度的完整性、合理性与有效性的说明就各不相同。
如果按2003年证监会发布的《证券公司内部控制指引》来建立内部控制,则应从控制环境、风险识别与评估、控制活动与措施、信息沟通与反馈、监督与评价五个方面来评价并披露内部控制信息。而2004年中国注册会计师协会发布的《独立审计具体准则第29号——了解被审计单位及其环境并评价重大错报风险(征求意见稿)》则只是从外部间接提供建立和评价内部控制的依据。2008年由财政部、证监会、审计署、银监会和保监会联合发布的《企业内部控制基本规范》则基本上是依据COSO报告框架来建立的评价标准。以上这些规范各有侧重点,大多数公司披露的内部控制信息可比性较差,很大原因在于缺乏权威完善的指导性规范和可操作性强的理论框架或模型。
(五)内部控制信息披露监管力度不够。目前,我国内部控制信息监管体系尚未理顺,为上市公司违规操作和非规范披露创造了有利条件。我国的监管方式尚未完全摆脱传统行政管理方式的影响,有关政策的制定不能独立行职,而是由财政部、审计署、证监会等部门共同参与,形成了政出多门的局面,在制度上难以协调统一,且由于缺乏必要的执法手段,致使一些违规行为难以查处,阻碍了规范化的进程。例如,管理当局应披露而未披露或者出具了不实的评价意见时,究竟应当承担什么样的法律责任;以及注册会计师提供了不符合上市公司内部控制实际情况的评价意见,应当承担什么样的法律责任,在这些方面尚无明确的规定。不按规定披露内部控制信息却不会受到相应的制裁,凸现出监管方面的漏洞。
(六)社会公众对内部控制信息关注不够。目前,社会公众尚未意识到内部控制对一个企业兴衰成败的重要性,他们不关注上市公司内部控制的建立健全,不关心经营过程,更多的是关心企业经营成果,即受托责任的履行情况。而从企业持续发展来看,企业要有良好的经营业绩需要完善的内部控制制度为基础。
[1]杨玉凤.内部控制信息披露:国内外文献综述[J].审计研究,2007.4.
[2]宋雅楠,张松岳.浅谈我国上市公司内部控制信息披露[J].河北企业,2010.11.
[3]傅胜.上市公司内部控制信息披露的现状与对策[J].会计之友,2010.6.