论文摘要 本文通过对深市主板472家上市公司2013年的内部控制评价报告进行梳理和研究,重点关注内部控制缺陷的披露情况,发现目前内部控制缺陷信息的披露存在诸多问题,针对相关问题,我们提出增强管理层披露内部控制缺陷信息的意识、完善内部控制缺陷披露细则和加大相关部门对内部控制缺陷信息披露的监管的建议。
论文关键词 内部控制评价报告 内部控制缺陷 信息披露
不断蔓延的经济危机及财务舞弊现象使人们对内部控制的关注度大大增加,内部控制评价报告作为内部控制信息披露的载体,也逐渐开始引起人们的重视。而作为内部控制评价报告的核心部分——内部控制缺陷,开始成为债权人、投资者等利益相关者关注的焦点。但许多公司为了保护自身利益,不愿如实披露内部控制缺陷信息,造成内部控制缺陷信息披露整体含金量较低,语言抽象,放之四海而皆准。因此,为保护外部利益者的利益,亟需规范我国的内部控制体系,尤其是完善内部控制缺陷机制。
一、内部控制缺陷披露的概况
根据《企业内部控制评价指引》(以下简称《指引》),内部控制缺陷是指当内部控制的设计或运行不允许管理层或雇员实施他们的职能来及时防止错误与舞弊的发生,从而发生了内部控制缺陷。内部控制缺陷信息披露是指管理层对内部控制作出评价时对所发现的偏离企业目标的问题及对此所作出的相应整改措施等相关信息的披露。内部控制缺陷是内部控制评价报告中的最重要组成部分。因此,企业在对外披露自评报告时,董事会和管理层会对内部控制情况进行全面评价,找出公司层面和业务层面相关控制的控制目标和风险点。通过全面梳理企业的内部控制,企业能够发现内部控制制度在设计和运行方面存在的缺陷和漏洞问题,以便及时采用有效的措施来应对相关问题。同时,外部的利益相关者通过企业披露的内部控制缺陷信息,清楚了解公司的相关情况,及时作出有利的决策。
二、内部控制缺陷信息的披露中存在的问题
虽然内部控制缺陷信息披露已经引起广泛关注,但目前其披露情况不尽如人意,许多披露缺乏实质性内容,为深入剖析内部控制缺陷信息披露情况,笔者筛选相关数据对其进行研究。由于深市2008年开始强制性要求主板上市公司披露内部控制评价报告,沪市在2013年底也未对此作出要求,因此,笔者选取2013年深市A股472家公司的内部控制评价报告作为研究对象,对其进行梳理和分析,结果发现:有90.25%的企业披露其公司内部控制缺陷标准,83.05%的企业区分财务报告和非财务报告内部控制缺陷,同时,有5家公司披露存在的内部控制重大缺陷,占比1.06%,公司存在的重大缺陷已经整改完成;16家公司披露了公司整改之前存在的重要缺陷,占比3.39%;262家公司披露存在的一般缺陷,占比55.51%,6.57%的企业披露了内部控制缺陷的整改措施。通过对内部控制缺陷信息的调查和整理发现,公司在披露内部控制缺陷信息时,主要存在以下三方面的问题:
(一)管理层主观披露缺陷意识不强
企业在披露内部控制缺陷时泛泛而谈,语言模糊。如在“内部控制缺陷认定情况”一栏大多数企业用“本期间不存在内部控制重大缺陷和重要缺陷”来概括,大部分公司在“内部控制缺陷的整改情况”栏用“针对报告期内发现的内部控制缺陷,公司各机构负责人采取积极措施进行整改”来概括公司发现的缺陷和整改情况,很少提及公司内部控制缺陷内容、造成影响和整改措施。即使内部控制审计报告的意见类型为非标意见,公司也未对内部控制的缺陷类型和缺陷内容做相关披露。由此可见,管理层可能故意隐瞒或刻意减少缺陷信息的对外公布。从深市2013年内部控制评价报告的情况来看, ST公司一般很少披露内部控制缺陷认定标准,内部控制评价报告的内容也比较简单;另外,许多公司在“内部控制缺陷及整改情况”栏中用一句话“本报告期间不存在重大缺陷,所发现的缺陷问题全部已进行整改”来概括,管理层倾向于不披露或少披露缺陷信息。究其原因,主要是披露内部控制缺陷信息的成本较高,不仅包括显性成本,如资料的搜集、整理、分析、评价等;还包括许多隐形成本,如遭受信用评级机构和贷款方的严厉监督和审查,内部控制缺陷信息产生的负面效应让投资者对公司的不信任等。
(二)企业内部控制缺陷机制不完善
一方面,内部控制缺陷的认定标准存在偏差,内部控制缺陷认定情况与内部控制局限性存在模糊性。2013年,深市披露的内部控制评价报告中部分企业认为自己的内部控制无缺陷,而将所发现的缺陷归咎于内部控制局限性,从而得出内部控制有效性的结论。内部控制缺陷和内部控制局限性都是内部控制出现差错,不能及时防止错误与舞弊的发生;不同之处在于内部控制缺陷是指内部控制在设计过程中对重要目标缺少防范控制及在运行过程中没有按照其设计的程序来执行、授权不当、缺乏胜任能力等;内部控制局限性是指超出设计者的能够预见的各种可能性或是运行过程中超出制度范围而无法达到控制的预期。内部控制局限性包括人为判断失误、管理层相互勾结、人员能力不够等。因此,在缺陷认定的过程中,企业就存在机会主义选择,把管理层越权、串通和同谋等内部控制缺陷的情况归咎于内部控制局限性,从而得出内部控制不存在缺陷。另一方面,内部控制缺陷严重程度的划分存在模糊性。《指引》让企业自行确定内部控制缺陷的认定标准,也未说明缺陷的认定标准一旦确定就不再变更。这可能会导致企业存在自主选择性问题,将本该归于重大缺陷的内容认定为重要缺陷,从而避免披露重大缺陷。另外,《指引》强制要求企业披露重大缺陷,对于重要缺陷和一般缺陷则未作强制性披露限制。但是,一项重要缺陷和其他缺陷相结合起来可能会导致企业内部控制出现重大缺陷,管理层对此万万不可忽视。因此,内部控制机制不健全会导致企业披露的内部控制缺陷具有较大随意性,所披露信息具有误导性和迷惑性。
(三)监管部门的监管力度不足
《指引》第二十二条规定,企业的内部控制评价报告种至少应当包含以下内容:内部控制缺陷及其认定情况;内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;内部控制有效性的结论。从内部控制评价报告所披露的缺陷情况来分析,大部分公司虽披露了内部控制缺陷认定标准,但在“内部控制缺陷及整改情况”一栏大部分公司以不存在重大缺陷来概括,未披露缺陷的具体内容和整改措施。一部分公司也并未对内部控制的有效性作出明确的结论。同时,2013年深市聘请外部机构对内部控制进行审计所出具的351份内部控制审计报告中,其中有13份为非标意见。在这13家公司中,有4家公司并未在内部控制中提及缺陷情况,有4家公司说明其存在一般缺陷。由此可见,企业的内部控制评价报告没有多大实质性的内容,缺陷信息含量低,但监管部门并未明确对此企业应该承担的责任。对企业未按照规定披露内部控制缺陷时,相关部门对此并未确定相关的惩罚措施。
三、完善我国内部控制缺陷信息披露的建议
(一)增强管理层披露内部控制缺陷信息的意识
优化公司治理结构,对增强管理层披露内部控制缺陷的意识有很大作用。目前我国的公司体系大部分属于“一股独大”格局,为避免小股东的利益受到损害,可以建立董事会和监事会平行的双层治理结构,监事会负责监督董事会,在董事会下设内部审计委员会,然后在内部审计委员会下设内部审计部门。内部审计对审计委员会负责,进而对董事会负责,监事会对股东大会负责。强化监事会在公司治理中的作用,在公司内部设立反舞弊机制,公司员工可以向监事会举报管理层的舞弊行为。这种机构设置下内部审计的独立性较高,在具体开展工作权威性较强,能够纠正管理层在工作中的失误和舞弊行为,提高管理层披露内部控制缺陷的意识。此外,董事会和管理层当局应该对内部控制缺陷披露情况负首要责任,独立董事和监事会也应该对此作出评价意见。同时,内部控制评价报告应该实施强制性审计,由专业机构对内部控制作出审计意见。在内外双重监督的压力下,管理层才会意识到内部控制的重要性,完善公司的内部控制管理制度,按照相关规定披露内部控制缺陷信息。
(二)完善内部控制缺陷披露细则
目前,我国虽有规范和指引对内部控制做了详细的说明和操作步骤,但是关于内部控制缺陷方面还有很多细节问题未完善,如内部控制缺陷的标准认定、披露内容、披露形式等,这使得大部分公司披露的缺陷形式化,没有多大实质性内容。《指引》提到,内部控制缺陷的认定,特别是非财务报告内部控制缺陷的认定,还缺乏一个统一的数量标准。因此,相关部门应该完善内部控制缺陷信息的披露细则,对于内部控制缺陷和固有缺陷存在模糊的情况,直接认定为内部控制缺陷;为避免企业根据自身情况修改内部控制缺陷标准,相关部门可以按行业分类来制定内部控制缺陷标准,采用定量和定性的办法划分财务报告内部控制缺陷和非财务报告内部控制缺陷;在“内部控制缺陷的整改情况”一栏披露对具体的缺陷采取的整改措施以及采取整改措施后的剩余风险,以期促进公司对其进行整改。相关部门应该制定更加详尽的披露机制,使企业按照相关规定进行有效披露缺陷情况。
(三)加大相关部门对内部控制缺陷信息披露的监管
为提高公司内部控制缺陷信息披露的有效性和完整性 ,监管部门应该对企业的内部控制评价报告和内部控制审计报告进行严格监督,明确其各自的责任,以及违反相关规定的惩罚机制。建议相关监管部门每年对企业的自我评价报告进行抽查,对未按照要求披露缺陷的企业进行公开谴责或处罚。对内部控制缺陷的披露情况可以建立专门的信用评级体系,分为优、良、中、差四个等级,并在证监会的相关网站上进行公示。对隐瞒重大缺陷的企业,限制其进行对外增资和投资。因此,应当加大企业违规的惩罚力度,增加相应的民事赔偿责任,增加企业对外披露的违规成本。