上市公司年度报告内部控制信息披露探讨

时间:2022-04-08 03:49:23

上市公司年度报告内部控制信息披露探讨

摘要:本文从内部控制信息披露的必要性入手,分析了内部控制信息披露在传递履行受托责任信号、降低成本、提高财务报告可靠性及向用户提供增量信息方面的作用;按照时间顺序分析了目前上市公司内部控制信息披露的要求,并结合上市公司2006年年报分析了内部控制信息披露现状;研究了内部控制信息披露存在的问题,并提出了相关建议。

关键词:上市公司 年度报告 内部控制信息披露

作者简介:

秦冬梅(1977-),女,湖北京山人,重庆大学经济与工商管理学院博士研究生

一、内部控制信息披露的必要性

(一)内部控制信息披露是管理当局披露履行受托责任的一种信号传递在现代企业制度下,所有权和经营权分离,管理当局承担了合理、有效管理与运营委托方所交付的资源的责任,必须保证企业资产的安全、完整,实现资产的保值增值,并以实现企业价值最大化为目标。委托方可以根据管理者的经营业绩做出继续原有契约,还是终止契约的决策。当管理当局管理不善,经营效率低下,导致公司业绩下滑,股票价格下跌时,大股东将通过董事会对经理人员做出解聘、降低报酬等处罚。小股东则通过“用脚”投票,抛售公司股票。因此,管理当局有职责建立完善并有效执行的内部控制制度,通过内部控制信息披露,可以表明企业的内部控制是否有效。而对企业内部控制制度进行评估并披露评估结果,可以向证券市场投资者传递管理当局履行了受托责任这一信号。

(二)内部控制评价可以降低成本两权分离下委托人与人之间存在信息不对称,具有机会主义倾向的管理当局会利用自己的信息优势,以牺牲委托人的利益为代价使自己利益最大化,产生成本。由于管理者行为导致的企业价值下降部分会以分红和其他报酬降低的形式强加给管理者,也就是成本最终将由管理者承担。为自身利益考虑,管理当局就有使监督成本保持最低的动机。因此,管理当局处于自身利益的考虑,需要设置内部控制制度,让委托人充分了解经理人员的努力程度,以降低委托人对管理报酬做出逆向调整的风险。管理层对本企业的内部控制最熟悉,最有能力对其进行评估,同时将评估结果对外披露。因此,管理当局会定期对本企业的内部控制的设计和执行的有效性进行评估,并将结果提供给外部信息使用者。为提高内部控制报告的可信度,还应当有注册会计师进行审核并发表意见。

(三)内部控制信息披露可以提高企业财务报告的可靠性内部控制是由企业董事会、经理层和其他员工实施的,为营运的效率和效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。良好的内部控制制度能够及时地发现舞弊,从而有效降低财务报告舞弊的负面影响。美国注册舞弊审查师协会2002年报告统计显示,通过内部控制发现的舞弊公司比例达到15.4%。事实上在其他发现舞弊的途径中直接或间接与内部控制有关的更多,如员工举报(26.3%)客户或供货商举报(13.7%)匿名举报(6.2%)可以归集到内部控制框架中的信息与沟通要素;而内部审计(18.6%)则可以归集到内部控制框架中的监控要素。由此可见,内部控制框架的合理设计和有效执行,能够很好地发现并防范舞弊的发生。

(四)内部控制信息披露可以向外部使用者提供财务报告以外的增量信息hermanson(2000)调查研究表明,内部控制报告改进了内部控制,提供了额外的与决策有用的信息。通过内部控制报告,用户可以一定程度上了解企业管理控制是否有效。如果企业有着良好的控制制度,则企业的经营有序而有效,能够防范经营活动中的风险。反之,如果企业的内部控制混乱,则风险较大,用户在做出投资决策时就必须谨慎,因此,信息的外部使用者在进行决策时,除了根据反映公司财务状况、盈利状况等数量指标外,还较为关注内部控制的有效性和健全性。

二、上市公司年度报告内部控制信息的披露规范

(一)内部控制定义按照《上海证券交易所上市公司内部控制指引》(2006)中,“内部控制是指上市公司为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排,是由公司董事会、管理层及全体员工共同参与的一项活动。”尽管财政部于1996年了《独立审计具体准则第9号――内部控制和审计风险》(现已废止),其中最早提出内部控制的定义和内容(即控制环境、会计系统和控制程序),但是并没有明确规定内部控制信息的披露问题。此后,从1997年到2001年初,中国人民银行、中国保险监督管理委员会、中国证券监督管理委员会分别就保险公司、证券公司、期货经纪公司、商业银行等金融机构出台了内部控制方面的指导原则、原则和准则,要求各金融机构的必须建立完善的内部控制制度,以有效防范金融风险,保证金融业安全稳定地运行。并要求证券公司在年度报告中应对内部控制制度的完整性、合理性与有效性(以下简称“三性”)作出说明;其所委托的会计师事务所应对“三性”进行评价,提出改进建议,并出具评价报告;会计师事务所指出以上三性存在严重缺陷的,董事会应对此予以说明,监事会应就董事会所做的说明明确表示意见,并予以披露。但是一直并无对上市公司内部控制信息披露的普遍约束。

(二)监管机构内部控制规范2001年初,中国证券监督管理委员会分别颁布了《公开发行证券的公司信息披露内容与格式准则第1号――招股说明书》和《公开发行证券的公司信息披露内容与格式准则第11号――上市公司发行新股招股说明书》,规定发行人应披露公司管理层对“三性”的自我评估意见和注册会计师关于发行人内部控制评价报告的结论性意见,注册会计师指出“三性”存在重大缺陷的应披露并说明改进措施。但是上述两个规定主要是关于上市公司发行新股的信息披露。尚不是年度报告的信息披露要求。2001年底,中国证券监督管理委员会了《公开发行证券的公司信息披露内容与格式准则第2号――年度报告》(分别于2002年、2003年、2004年和2005年历年修订),提出监事会应发表的独立意见包括“是否建立完善的内部控制制度”等。可见,这是监管机构首次普遍规定上市公司披露相关内部控制信息,但从其要求来看,并无强制约束力。2005年底,国务院了《国务院批转证监会的通知》,对上市公司内部控制提出了新的要求,要求上市公司加强内部控制制度建设,强化内部管理,对内部控制制度的完整性、合理性及其实施的有效性进行定期检查和评估,其中有关“要通过外部审计对公司的内部控制制度以及公司的自我评估报告进行核实评价,并披露相关信息”的要求,对于推行上市公司内部控制制度自我评估、并由外部审计核实评价的制度提供了依据。

2006年,上海证券交易所和深圳证券交易所分别了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》(以下简称《指引》)。《指引》均要求上市公司(深市为其主板公司)在年报中披露内部控制制度的制定和实施情况,并明确了公司董事会对内部控制制度负责,董事会应形成内部控制自我评价报告;注册会计师在对公司进行年度审计时,应出

具内部控制评价意见;内部控制自我评价报告和注册会计师评价意见与公司年度报告同时对外披露。只是上交所《指引》于2006年7月1日起实施,而深交所《指引》于2007年7月1日起生效。《指引》虽然没有对上市公司内部控制制度的建立做出强制性规定,但对内部控制制度自我评估报告却有强制性信息披露的要求,这实际上就是将上市公司的内部控制信息纳入强制性信息披露范围。

(三)管理部门内部控制规范2001年,财政部先后颁布了《内部会计控制―基本规范(试行)》和货币资金(2001)、采购与付款(2002)、销售与收款(2002)、工程项目(2003)、对外投资(2004)、担保(2004)等六项具体内部控制规范,克服了原有内部控制定义局限于审计的缺陷,对促进企业内部控制的建立和完善,改变企业内部控制乏力、企业内部管理混乱的现状具有积极的作用。

2002年,中国注册会计师协会颁布了《内部控制审核指导意见》,对内部控制的审核进行了指导,提出了注册会计师就被审计单位管理当局在特定日期对内部控制有效性的认定进行审核并发表审核意见的相关要求。2003年,中国内部审计协会下发了《内部审计具体准则第5号――内部控制审计》,提出了建立、健全内部控制并使之有效运行是组织高级管理层的责任,内部审计人员应实施适当的审查程序,以评价被审计单位的控制环境、评价组织风险管理机制的健全性和有效性、控制活动的适当性、合法性、有效性。但仅从审计角度而言,并非对上市公司的内部控制信息披露进行规定。

2006年,财政部在国务院有关部门的同意下,发起成立了由来自监管部门、实务界、理论界的专家学者组成的企业内部控制标准委员会,旨在为推进我国企业内部控制建设提供政策咨询。同时,中国注册会计师协会也发起成立了会计师事务所内部治理指导委员会。力争通过未来一段时间的努力,基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、内容完整、方法科学的内部控制标准体系,推动企业完善治理结构和内部约束机制。通过内部控制委员会的努力,2007年3月2日,财政部印发了《(企业内部控制规范――基本规范)和17项具体规范[征求意见稿]的通知》,将已草拟的《企业内部控制规范――基本规范》和17项具体规范(征求意见稿)向社会公开广泛征求意见。

三、上市公司年度报告内部控制信息披露现状分析

(一)内部控制披露缺失从(表1)看,从现行规定看,两个交易所分别就其上市公司(深市为主板公司)的内部控制信息披露作出了规定,要求董事会对公司内部控制自我评估报告形成决议,公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。沪市上市公司从2006年年报已经开始执行该指引,而深市主板公司从2007年年报开始执行。笔者抽取了上海证券交易所于2007年1、2月份率先公布2006年年报的江南高纤等30家上市公司的年报,分析了年报中内部控制信息的披露,并与其2005年年报中内控信息的披露作了比对。2005年年报中,30家公司有16家公司披露了内部控制信息,14家公司对于内部控制未作任何披露。16家披露了内部控制信息的公司没有一家进行详细披露,只是在监事会报告或董事会报告中简单提到“公司建立健全了各项内部控制制度”,没有披露内部控制制度的建设情况和内容及存在的缺陷,更没有自评报告和注册会计师的审核报告。

(二)内部控制披露信息不全从(表2)看,从披露主体到披露内容及是否自评和是否有注册会计师的审核方面差别很大。30家上市公司全部在其“重大事项”中披露了内部控制制度的建设情况,其中3家还在董事会报告和监事会报告分别披露了内部控制相关情况,有9家单独在监事会报告中作了披露,有1家在董事会报告中披露,另外17家未在董事会和监事会报告中披露。但是只有6家公司按照上海证券交易所的要求披露了内部控制自我评估报告及会计师事务所对内部控制自我评估报告的审核意见,注册会计师的审核意见均为无保留意见。只有1家公司(sT百花)按照上交所的要求披露了下一年度内部控制工作计划。没有任何一家公司披露其内部控制中存在的缺陷。内部控制信息的披露格式和内容也不一,有的公司披露较为详细,如南山实业、常林股份等,详细介绍了内部控制的建设情况,在内部控制自我评估报告中,对内部控制的全面性、完整性、合理性和有效性也进行了评价。但大多数公司如宜华木业等只在重大事项中通过诸如“公司内部控制制度比较完善”等简单字眼来交待内部控制的建设情况。

(三)内部控制信息披露不详细通过上述可以发现,上交所《指引》的颁布有助于上市公司内部控制信息披露,许多以前在年报中没有披露任何内部控制信息的公司已经按照要求进行了披露,管理层基本都会披露内部控制制度的建设情况,部分公司会详细披露内部控制内容,少数公司披露董事会的内部控制自我评估报告及注册会计师的审核意见和来年内部控制工作计划。《指引》的颁布的确促使了上市公司建立、健全和完善内部控制,提高上市公司的公司治理水平,便于投资者进一步评价上市公司信息披露的质量。但大多数的公司能够提供的信息只是表明公司建立健全了各项内控制度,至于内部控制的具体内容、建设情况、公司自我评估及注会的审核这些信息却披露甚少,甚至未涉及到,表明上市公司披露内部控制信息的动力明显不足,这样投资者不能从中获取更多的有用信息。

四、上市公司年度报告内部控制信息披露的建议

(一)规制主体目前上市公司年度报告中内部控制信息披露的主要依据是上交所和深交所颁布的两份《指引》,尽管两个《指引》均要求上市公司完善内部控制制度并对相关信息予以披露,但是在内部控制信息披露上还是存在一些差异。如上交所要求上市公司在年度报告中披露一下年度内部控制工作计划,而深交所则无此要求。笔者认为,既然两所均是以《国务院批转证监会的通知》为直接依据对内部控制进行规范,指引所涉及的内容相差无多,又略有差异,完全可以由证监会制定统一规定,对上市公司内部控制相关问题进行规范,这样不仅在法律级次上要高,也会避免政出多门。

(二)披露的责任主体我国法律法规并没有明确规定内部控制的责任主体,间接涉及的规范有:《公开发行证券的公司信息披露内容与格式准则第2号――年度报告》(分别于2002年、2003年、2004年和2005年历年修订),提出监事会应发表的独立意见包括是否建立完善的内部控制制度等;《上海证券交易所上市公司内部控制指》中指出公司董事会应确保内部控制制度健全有效,董事会及其全体成员应保证内部控制制度相关信息披露内容的真实、准确、完整;《深圳证券交易所上市公司内部控制指引》中也指出公司董事会应对公司内部控制制度的制定和有效执行负责。两份指引强调董事会是上市公司内部控制监督的主要责任主体,而《指引》前,一般根据《公开发行证券的公司信息披露内容与格式准则第2号――年度报告》认为监事会是内部控制信息

披露的主要主体。目前董事会和监事会均成为内部控制信息披露的主体,但披露的内容和其角色究竟有什么不同。上市公司理解并不尽一致,因为上市公司内部控制的有效性和完整性有的上市公司由董事会披露,有的由监事会披露,有的是董事会和监事会均披露。笔者认为,对责任主体的规定应该统一,或者将董事会和监事会的责任加以区分,在披露内容上应当各有侧重,否则会使上市公司无所适从。

(三)注册会计师的评估依据《指引》要求会计师事务所应参照主管部门有关规定对公司内部控制自我评估报告进行核实评价,但这一规定还不具体细致,评价上市公司内部控制尚缺乏统一的依据。注册会计师在出具的内部控制审核报告中表明审核的依据是《内部控制审核指导意见》(2002),但由中国注册会计师协会的该意见中,内部控制审核限定在对某一特定时日、且与会计报表相关的内部控制进行的审核。由于没有统一完整的内部控制体系,对内部控制的评价没有与财务报告审计中的内部控制评价明显区分开来,造成评价流于形式。此外,《内部控制审核指导意见》虽然规定了内部控制评价的范围、程序、方法和报告等一般性要求,却没有涉及评价内部控制的操作性工具。这不能回答应该对上市公司的哪些控制内容和要点进行测试,以及根据什么标准确定测试结果对应的评价意见类型。因此,建议由中国注册会计师协会或会同证券监督管理委员会,借鉴美国上市公司监察委员会(PCAOB)和注册会计师协会(AICPA),关于财务报告内部控制评价的相关规定制定评估标准,如公司内部控制中存在未更正的重要控制弱点,注册会计师不能发表财务报告内部控制有效的无保留意见;财务报告存在实质性错报,公司没有发现而注册会计师发现,则表明公司内部控制中存在重要控制弱点。

(四)《指引》罚责的完善尽管目前《指引》要求上市公司披露内部控制相关信息,但是并未明确上市公司未按要求披露会承担的法律责任。因此,应该完善相关的法律和规章制度,要形成适宜、畅通的上市公司内部控制信息披露的法律责任追究和惩戒机制,为监管提供有力保障,否则只能是消极监管。笔者认为,应当明确不同违规行为(如披露不实或披露不全)所适用的司法程序,加强和细化对证券民事责任方面的规定,我国目前法律存在着重行政、刑事责任轻民事责任,尚未大规模启动民事赔偿机制。《证券法》通过规定各类虚假陈述行为人应承担相应的民事赔偿责任的方式,已经赋予了被侵权的投资人进行民事赔偿诉讼的权利。目前应当解决的是将这些权利在内部控制信息披露民事责任赔偿方面予以细化,建立明确的责任划分衡量及惩罚标准并认真地付诸实践,并要求具有可操作性。这对从根本上遏制内部控制信息披露不实,以及进一步明确企业管理层及注册会计师的法律责任具有重要的意义。

上一篇:价值链会计理论框架的构建 下一篇:西方经济学资本计量困境与马克思经济学的科学...