上市公司内部控制信息披露的现状与对策
一、问题的提出
2001年,安然、世通等一系列会计丑闻的发生,使得对内部控制信息的披露要求急速升温并达到巅峰。于是,在社会各界的强烈呼吁中,2002年《萨班斯——奥克斯利法案》签署生效。至此,结束了美国内部控制信息自愿披露的历史,进入了强制披露的时代。如今,美国对内部控制信息披露的规范已日趋成熟和完善。
我国对内部控制信息披露的关注起步较晚,但是发展迅速。上交所和深交所2006年出台了《上市公司内部控制指引》。2008年6月28日,财政部、证监会等五部委又联合发布了我国第一部《企业内部控制基本规范》。 根据这一基本规范,上市公司应当对企业内部控制的有效性进行自我评价,披露年度自我评价报告,并聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。这标志着我国上市公司完成了内部控制由片面披露到全面披露、由满足监管需要到满足外部信息使用者决策需要、从自愿披露到强制披露的全面蜕变,实现了与国际接轨。
但是,不得不承认,上交所和深交所发布的《上市公司内部控制指引》以及《企业内部控制基本规范》还比较笼统,仅仅是一个原则性指引。对每个企业究竟要披露哪些内容、披露的详尽程度以及会计师事务所对企业内控评价的标准仍然没有具体的规范。因此,在我国企业内部控制信息披露方面还有许多问题值得去思索和探讨。
二、内部控制信息披露的现状盘点①
(一)内部控制信息披露的整体情况
L省上市公司内部控制信息披露总体情况如表1所示②。
从表1可以看出,沪市25家企业,2007年仅有一家企业在年度报表中对内部控制没有提及,其他绝大部分企业都在公司治理结构、董事会报告、监事会报告和重要事项报告中有或多或少的提及。2008年沪市L省25家上市公司全部进行披露,无一例外。深市的状况与沪市正相反,2007年在深上市的L省24家公司全部披露,而2008年有3家上市公司未披露。
(二) 内部控制信息披露的具体情况
由于沪、深两市的要求不同,因此本文在此分别加以说明。
1.在上交所上市的25家公司
在上交所上市的25家公司对内部控制信息披露的具体情况如表2所示。
上交所的指引要求上市公司披露两个报告即自我评估报告和会计师事务所的鉴证报告,但是实际的执行情况不是很令人满意。2007年只有一家公司按照规定做到,2008年增添两家,但能做到披露自我评估报告的也只是个别公司,80%左右的公司未披露自我评估报告,仅仅在公司治理中提及内部控制的情况,至于鉴证报告更是无从谈起。2008年已经是上交所指引实施的第3年,绝大部分企业还是没有按照指引的要求来披露,只在公司治理中寥寥数语,真正能做到详细披露的也只是少数。
就披露的内容而言,大体可分为三类。第一类是仅披露内部控制的建立健全情况。在公司治理中介绍公司依据哪些法律,法规以及交易所的规定和公司实际情况,在法人结构治理,财务管理,经营管理以及信息披露方面建立了哪些制度,实施了哪些规定。第二类是不仅披露内部控制的建立健全状况,同时对报告期内部控制进行评价。以这种形式披露的企业在详细或简略介绍公司内部控制的基础之上,对公司在报告期内部控制是否有效执行进行了评价。第三类是在披露内部控制的建立健全状况,对报告期内部控制进行评价的基础上,同时披露下一步计划。
从以上的分析可以看出,大部分的公司还是仍然保持着在公司治理中对内部控制的建立健全状况进行描述,其中一半的公司能够自我评价一下,真正对发现的问题以及改进措施进行评价的公司基本没有。
2.在深交所上市的24家公司
在深交所上市的24家公司对内部控制信息披露的具体情况如表3所示。
从表3可以看出,2007年披露状况良好,在24家深市上市的公司中有21家公司披露了对内部控制的自我评估报告,并且董事会和监事会对此报告发表了意见,有1家公司欠缺独立董事的意见,还有两家公司仅进行了自我评估。2008年披露状况明显不好,披露状况多样化,仅有14家实现完整披露,占58.3%,同时还有3家没有进行任何披露,有4家公司缺少独立董事的意见,3家公司仅仅对内部控制进行了自我评价,监事会和董事会都没有发表意见。
24家公司对内部控制信息披露的详略程度如表4所示。
从表4可以看出,2007年披露状况明显好于2008年,在深交所上市的L省24家企业都能够披露自身内部控制的建立健全情况。一家重点关注控制活动的自查和评估情况,一半以上的公司主动披露自己在内控方面存在的问题及整改措施,执行状况算不上完美,但还是比较令人满意的。2008年披露状况有所下降,有三家公司没有披露内部控制的相关信息,经查全部是ST公司,对内部控制缺陷的披露也从去年的13家减少到4家。但是令人奇怪的是,去年披露内部控制缺陷和异常事项以及整改措施的13家公司却没有一家在2008年说明上一年度的改善进度,这令人十分费解。
三、内部控制信息披露的问题剖析
(一)企业内部控制系统不健全
企业内部控制系统不健全主要表现为:内部控制环境不佳,缺少风险评估程序,没有制定相应的信息与沟通制度,内部监督形同虚设。出现这个问题不能够完全归责于企业,因为我国一直以来都没有一个完善、详细、可执行的内部控制框架,使得很多企业即使是想要建立完善的内部控制,也无章可循,只能是根据企业的实际情况,再按照现有的法律、法规进行局部完善。当然,仅仅从企业对内部控制披露的不完善来判定企业内部控制不健全,有些片面,但是,如果一个企业有着良好的内部控制,是会积极、全面、详细地对外披露的。
(二)内部控制信息披露依据不统一
在2007年和2008年的年度报告中,上市公司提到的内部控制所依据的法律、法规和部门规章包括:上交所内部控制指引、深交所内部控制指引、《中华人民共和国商业银行法》、《商业银行内部控制指引》、《中华人民共和国公司法》。而这些法律、法规和规章对内部控制披露的要求不一,形式各异,详略不同。这就造成了披露上的参差不齐。有些上市公司一方面为了降低披露成本,另一方面为了掩饰公司的内部控制缺陷,往往选择那些对内控披露要求较低的、内容少的、标准不明确的作为依据,以实现各自的目的。
(三)内部控制信息披露形式不统一
尽管上交所、深交所颁布了上市公司内部控制指引,并且规定了自我评估报告的内容和形式要求。但是,从前面的数据统计可以看出,只有一些公司达到这个要求,其余的公司只在公司治理中进行披露。即便在达到要求的公司中,也没有一家完全按照规定披露,且形式不统一。
(四)内部控制信息披露态度不积极
目前,我国企业管理者内部控制意识还比较薄弱,认识不够深入。其中相当一部分对内部控制不够重视,导致有的企业没有建立健全的内部控制制度;也有部分管理者误认为自己管理下的企业内部控制己经十分完善,以为内部控制就是内部成本控制、内部资产安全性控制等,或者以为内部控制就是一堆堆的手册、文件和制度等。此外,也有的企业由于管理者对内部控制实施监管不力,使得企业内部有章不循、执法不严,内部控制制度流于形式,没有切切实实得到执行。
(五)注册会计师对内部控制鉴证的评价标准不明确
上交所指引要求上市公司需要聘请会计师事务所对内部控制的自我评价进行鉴证并发表意见,但是,没有明确事务所进行鉴证的评价标准。目前,会计师事务所出具内部控制自我评价报告的鉴证报告时依据的是不同的标准要求。
(六)有关部门对内部控制信息披露的监管力度不够
从前一部分的数据描述中可以看出,从2007年到2008年上交所上市公司对内部控制的披露状况基本没有太大的改变。在全部25家公司中2008年仅仅比2007年新增一家按照上交所指引披露自我评价报告和鉴证报告的,其余的公司依然我行我素,保持2007年的做法,不单独披露报告也不请事务所鉴证,只是在公司治理中陈述。由此可以看出,上交所对2007年那些没有按照规定披露的公司没有给予相应的提示或者警告,否则这些公司不会无视规定的。深交所上市公司的执行状况也并非完全合规,2008年没有进一步完善,反而有所下降。从这些执行情况看来,证券交易所的监管力度还有待加强。
四、内部控制信息披露的改进对策
(一)监管者层面
1.进一步完善企业内部控制基本规范
《企业内部控制基本规范》第一次明确了我国企业内部控制的建立规范和披露要求。但是,无法否认的是,这一规范更多的是参考萨班斯法案而制定,比较笼统,原则性比较强,执行性不强。目前,我国企业对内部控制的认识还是十分片面的,这就需要国家出台更加具体、明确的规范,让企业有章可循。
2.明确内部控制信息披露要求
虽然上交所和深交所对上市公司内部控制自我评价报告的内容作了规定,但是从内容上看是相当简略和概括的,至于对每一项内容应该披露的详略程度和范围没有作出规定。对于上市公司来说还是存在较大的随意性和可选择性。因此,相关部门应该根据企业的实际情况出台更加具体和详细的披露规定,对披露的内容和形式作出细化的规定,减少企业的选择空间,尽可能地实现披露标准化、详细化和明确化。促进企业内部控制信息披露的完善和健全,同时也有利于监管部门的管理。
3.制定明确的事务所鉴证准则
现在,会计师事务所使用的三种标准分别是:由财政部发布的《独立审计具体准则第9号——内部控制与审计风险》、《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》和中注协发布的《内部控制审核指导意见》。从时间上看,《独立审计准则第9号》颁布于1996年;《内部控制审核指导意见》颁布于2002年;而《中国注册会计师其他鉴证业务准则第3101号》颁布于2006年,是最新的一部准则。为了使会计师事务所的鉴证报告能够做到可靠、公正,相关部门应该尽快出台明确的鉴证准则,使得会计师事务所的鉴证工作有章可循,统一标准,减少主观判断以及由此带来的误差,增强其可信赖性和有用性,为投资者、债权人等外部信息使用者提供决策有用的信息。
4.加强监管力度
目前,上海证券交易所和深圳证券交易所发布的《上市公司内部控制指引》属于部门规章制度,它不具备法律和法规的效力。如果没有严格的监管和处罚措施,很可能成为一纸空谈。监管部门应当制定明确的惩处规定,对于上市公司不按规定披露有关内部控制情况,包括不披露内部控制信息、披露虚假的信息或者隐瞒内部控制存在的不足,应当予以惩处。监管部门还应当对上市公司的自我评价报告、注册会计师的鉴定意见进行严格的监督和检查,对内部控制实施强制性审计。
(二)执行者层面
1.增加企业管理者对内部控制信息披露的认识
一直以来,有些公司对于内部控制信息披露都是怀有抵触心理的。一方面他们认为这会增加他们的披露成本,更重要的是很多公司内部控制不健全,害怕对外进行披露后失去投资者,造成信贷和融资方面的麻烦。其实,上市公司应该意识到通过内部控制报告披露内部控制信息是促进企业加强自身管理的重要举措。首先,内部控制信息披露报告给公司管理机构提供一个陈述其有关企业内部控制的关键信息的机会。其次,通过内部控制信息的披露来改善经营管理,提高企业的经营效率。内部控制报告能够使企业定期检查。最后,上市公司之间可以通过内部控制信息披露来实现彼此之间的交流和沟通,学习彼此的成功经验,吸取彼此失败的教训,用最短的时间来完善企业内部控制建设。
2.健全上市公司的治理结构,完善企业内部控制
目前,我国公司治理存在的缺陷妨碍了内部控制的有效运行。因此,健全上市公司的治理结构成为其内部控制建立、健全并有效运行的制度基础。具体说来,上市公司首先应理顺产权关系,保持上市公司的独立性,避免内部人控制。其次,应强化监事会的监督作用。最后,应加强专门委员会和独立董事的作用。
3.切实地进行自查、评价,并提出改进措施,然后进行真实披露
一个企业要发展,内因是决定因素。我们总是把目光放在竞争对手身上,考虑着如何打败对方,其实真正地敌人不是别人正是自己,只有自身的强大才是真正的强大。建立内部控制制度只是万里长征的第一步,重要的是随着各方面的变化不断地完善企业的内部控制。任何一个企业的内部控制系统的完善是无止境的,它的完善需要通过不断地发现问题解决问题来实现。但是这个过程真正地实施起来并非易事。强制披露的最终目的就是要促进企业的不断完善。所以说,企业一定要按照规范以及指引的规定,认真进行自我检查,自我评价,找出存在重大风险的领域,提出行之有效的解决措施,并付诸行动,最后对外进行真实披露,以此来促进自身内部控制的完善。
【参考文献】
[1] 杨有红,汪薇.2006年沪市公司内部控制信息披露研究[J].审计研究,2008(3):53-59.
[2] 缪艳娟. 英美上市公司内控信息披露制度对我国的影响[J]. 会计研究,2007(9):67-96.
[3] 杨雄胜,李翔,邱冠华.中国内部控制的社会认同度研究[J].会计研究,2007(8):60-67.
[4] 方红星,孙嵩.强制披露规则下的内部控制信息披露——基于沪市上市公司2006年年报的实证研究[J].财政问题研究.2007(12):67-73.
[5] 沈群英.内部控制报告研究[D].厦门大学,2007.
