一、引言
2008年6月财政部等五部委颁布了《企业内部控制基本规范》,2010年4月又出台了企业内部控制配套指引,这标志着我国内部控制理论框架已经形成。与此同时,自2012年开始,上交所和深交所的A股上市公司也正式被要求披露企业内部控制自我评价报告和出具内部控制审计报告,至此,我国企业内部控制理论框架在实践上迈出了关键的一步。但追溯内部控制理论形成和披露要求与实践的过程,可发现其规范并不是一蹴而就。随着资本市场的发展,自1996年起我国就陆续出台了与内部控制相关的准则、指导、规范、方法和指引,并逐渐实现了与国外最新的理论框架接轨。在这一过程中,企业自身立足资本市场的内在要求是推动内部控制披露实践发展的直接动力;宏观监管部门的管理需求是一股强大的助推力;独立审计则站在内部控制披露实践的最前沿不断摸索,促进了企业内在要求与宏观管理需求的匹配。尽管在内部控制披露理论与实践方面已取得了里程碑式的成果,但根据文献梳理,国内有关上市公司内部控制信息披露的研究还不存在一个系统的脉络,未能形成综合性的理论和实践发展过程的构架。目前为止,我国企业内部控制信息披露大致经历了“自愿阶段-局部强制-整体强制”三个阶段,这三个阶段分别遵循着不同的理论规定,展示出了不同的实践效果。
二、自愿披露阶段
该阶段还停留在内部会计控制水平,未明确提出内部控制信息披露的概念,但独立审计的实践已经意识到了内部控制信息对于公司财务信息质量保证的重要性。
(一)相关政策梳理 我国无论是理论界还是实务界对于内部控制概念的理解均始于“内部会计控制”。这一阶段现代内部控制框架和体系尚未建立,内部控制信息披露无强制规定,且内部控制信息隶属于会计信息,并未被单独分离。文件规定中,比较明确的是1996年财政部颁布的《独立审计具体准则第9号——内部控制与审计风险》,其中规定:“注册会计师应当将研究、评价内部控制和评估审计风险的过程及结果记录于审计工作底稿并将审计过程中注意到的内部控制重大缺陷,告知被审计单位管理当局。必要时,可出具管理建议书。”此时的内部控制信息披露仅仅是独立审计主要业务——财务报告审计的有限扩展,甚至不能算作严格的公开披露概念。2001年财政部颁发《内部会计控制规范——基本规范(试行)》才真正提出建议单位聘请中介机构或相关专业人员对本单位内部会计控制的建立健全及有效实施进行评价。接受委托者应对委托单位内部会计控制中的重大缺陷提出书面报告。但此时的建议中所涉及的评价主体仅仅是企业外部的中介机构或相关专业人士而非企业内部相关部门或责任主体。
(二)上市公司执行情况 由于这一阶段披露理论的不完善,披露实践也显得非常随意。陕西秦川机械发展有限公司率先公开发布第一份单独的内部控制自我评估报告(以下简称“自评报告”)。随后,福建福发、安泰科技、新野纺织等公司也公开披露了自我评估报告,然而当时自愿披露的公司比例极低。并且报告只是简单地介绍了公司内部控制的目标、基本原则和笼统的内部控制制度内容,而对于公司内部控制的质量只是简单地概括为“符合我国有关法规和证券监管部门的要求,具有合理性、合法性和有效性”,并未详细地介绍内部控制具体事项的落实情况。报告的篇幅短小,质量较为粗糙,无统一文件理论依据。披露流于形式,并不能给各利益相关者提供有用的信息。
三、局部强制阶段
2000年之后,资本市场发展对企业内部控制信息披露提出了现实的要求,一些特殊行业(如金融行业)自身对内部控制有着天然的要求,这些行业率先在披露实践上做了有益的探索,企业内部信息披露开始步入局部强制阶段。
(一)相关文件梳理 这一阶段,我国对内部控制信息披露做出了明确的规定,但由于处于政策制定的初期探索阶段,其必要性及适用性有待实践的进一步检验,因而表现为“局部性”规定。局部性体现在:“局部行业”,即商业银行、证券公司、保险公司等金融机构;“局部报告”,即强制性说明只重点体现在新股招股说明书方面;“局部环节”,即在局部重点环节(如上市公司的IPO环节)中对内部控制的信息强制披露;“局部情况”,即公司只需在内部控制存在缺陷的情况下披露信息,若监事会认为公司决策程序合法,内部控制制度健全,公司董事、经理执行公司职务时合法合规,无损害公司利益的行为,内部控制信息可免于披露。文件梳理显示,相关规定的发布机构大多为银监会和证监会(如表1)。银监会的职责主要在于对银行业金融机构的业务活动及其风险状况进行非现场监管,而证监会的主要职能在于建立统一的证券期货监管体系,按规定对证券期货监管机构实行垂直管理。相关规定旨在对监管对象进行纲领性的规范及其行为的约束。由于规范性文件的普遍约束力,监管对象的执行率一般较高,但具体的执行效果并不能得到有效的保障。
(二)上市公司实践研究 李宜(2009)通过分析沪市上市公司2001-2005年年报内控状况的透明度,发现在年报中披露内控信息的沪市上市公司每年均超过75%,合规披露的每年均超过70%。李妍等(2006)统计了沪市2001年4月至2003年12月共172家首发新股公司的情况,其中83.7% 按准则第11号文件第五十九条的规定进行了披露。此阶段大多数公司管理层对内部控制的认识尚不明确和统一,距离公认的评价标准和规定的披露要求甚远,内控评价的表述风格各异,缺乏完整性及系统性,格式千差万别,存在一定的选择性和随意性。但报告的内容有了明显的深入与扩展,内控制度更加完善,可执行性增强,并且增加了对落实情况的介绍,对于各利益相关者而言,具有一定的实际参考价值。
四、整体强制阶段
该阶段自评报告内容从侧重于对内控制度的描述转变为围绕五要素对公司各重大事项控制情况的介绍、公司各部门具体执行内控计划的时间与事项安排、内部控制存在的缺陷及改进情况甚至还包括结合自身行业特点的风险控制的方法和手段。可以看出,随着实施深度的推进,企业对内部控
制信息披露作用的认识越来越深刻,上市公司开始正视自身内控体系的缺陷,并通过制度完善来为目标达成提供合理保证,主动优化自己的报告,以传递给投资者更多有关企业利好的信号,从而吸引优质资源,提高公司的投资资本回报率,使自身不断发展壮大。
(一)相关政策梳理 2005年11月,《国务院批转证监会〈关于提高上市公司质量意见〉的通知》颁布,对上市公司内部控制信息披露提出了新的要求;随即,2006年上海证券交易所和深圳证券交易所分别发布《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,这两个指引均要求上市公司在年报中披露内部控制制度的制定和实施情况,并将内部控制自我评价报告和注册会计师评价意见与公司年度报告同时对外披露。《上交所指引》中规定“如发现内部控制存在重大缺陷或风险,应及时向董事会报告”,《深交所指引》补充“公司监事会和独立董事应对此报告发表意见”、“公司董事会、监事会应针对注册会计师对公司内部控制有效性表示异议的涉及事项作出专项说明”的规定。至此,我国上市公司内部控制信息披露进入了强制披露阶段。2007年,深交所要求中小企业板上市公司建立自查机制,内部控制的监察范围逐步扩大。通过企业内部控制标准委员会的不断努力,2008年和2010年,五部委先后正式发布了《企业内部控制基本规范》和《企业内部控制配套指引》。前者规定“企业应结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告;接受企业委托从事内部控制审计的会计师事务所应对企业内部控制有效性进行审计,出具审计报告”。后者规定企业“及时编制内部控制评价报告,经董事会或类似权力机构批准后对外披露或报送相关部门”。两份文件标志着我国企业内部控制规范体系日益健全和完善,至此,内部控制从“政出多门”走向了统一。见表2。
上交所和深交所是上市公司最直接的监管机构,根据内部控制信息披露的具体实践,2008年至2012年各自连续发布了《关于做好上市公司年度工作报告的通知》,其中反映了内部控制信息披露的各项要求,见表3。从表3可以看出,无论是上交所还是深交所的上市公司都经历了从内控自评报告的强制披露到内控审计报告的自愿披露再到内控审计报告的强制披露的过程,并且强制披露的主体范围都在不断扩大。由于证券交易所是上市公司的交易组织机构,对其交易行为直接进行监督,因此其规定虽不及监管部门所制定规定的约束力强,但往往对于上市公司具有更现实的操作指导作用。
(二)上市公司执行情况 据迪博企业风险管理技术有限公司2008年至2013年《上市公司内部控制白皮书》的数据统计显示,沪深两市上市公司2007年至2012年内控自评报告披露总比例分别为43.39%、67.17%、62.85%、76.86、78.80%和90.04%。这表明,随着披露规范的完善,披露内部控制自评报告的上市公司比例总体呈现上升趋势,且由于《企业内部控制配套指引》的强制规定,2012年这一比例更是高达90.04%,较前一年相比迅速增长11.24%。并且从披露的报告质量来看,内容详尽程度、措辞的严谨性明显改观,而在格式的统一性和内容的可读性上也均有所提高。有些公司甚至开始在内控报告中根据所在行业的特点及自身的实际情况披露个性化的风险类别,并结合其业务特点详细介绍其风险防范措施。尽管这样的高质量内控报告在整体中仍属于少数,但仍能一定程度上反映出上市公司在内控报告披露方面的不断进步。目前仍存在报告内容形式化、信息披露不全面、缺陷描述避重就轻甚至含糊用词以混淆视听等问题,披露内容和格式也有待进一步统一。多数公司没有明确的判断内控缺陷的定性和定量标准,并且披露内控重大和重要缺陷的比例过低,不符合国内上市公司内控质量的真实情况。
五、结论
通过对我国企业内部控制信息披露演进的梳理,可发现:从文件规定来看,强制披露的企业范围从部分金融机构扩展到绝大多数上市公司;披露的形式从作为新股招股说明书或年报中的一部分到独立的自评报告、中小企业规则落实自查表;披露的内容从无具体规定到详细规定了至少应当披露的事项;披露的责任主体从不明确到强调董事会、监事会及独立董事的责任。从实践情况来看,整体披露上市公司数量逐年增加,披露内容越来越具体,质量不断提高,从最初的形式化被动披露到主动完善报告信息,都显示了相关各方对内部控制信息披露的认识越来越深刻。未来我国内部控制信息披露的规定会越来越严格,强制披露的企业范围会逐年扩大;而针对目前披露内容不统一,实质性有用信息不多的情况,今后将会明确具体的披露内容,增强上市公司内控信息的可比性,进一步提高披露信息的可读性与实用性。对于目前缺陷认定缺乏合理统一标准的情况,笔者认为,可以借鉴日本的经验,规定统一的认定标准,如内部控制可能导致的财务错报超过合并税前收益的一定比例为重大缺陷,或者以净资产等指标的相对比例作为认定标准。而针对于内部控制信息披露的责任问题,今后董事会、监事会和独立董事的法律责任将会越来越明确,将会建立以国家法律制裁、监管部门行政处罚、交易所垂直监管三者有机结合的责任追究体系,使虚假披露责任主体付出昂贵的代价,使内控能够得以“物尽其用”,切实提高上市公司质量。各公司将从“要我披露”转变为“我要披露”(徐明磊,2012)。随着内控信息披露体系的逐步成熟,监管机构将把工作重点从规范的制定转移到规定的贯彻落实:缩短报告的编制时间,以提供给投资者更及时、准确的信息,同时也有利于公司自身及时发现缺陷并进行整改;给予公司更多相关指导以帮助其能真正获得内控所带来的好处,建立积极严谨披露与发展壮大的良性循环。
参考文献:
[1]李宜:《上市公司年报内部控制信息披露状况研究——来自沪深A股上市公司的经验证据》,《北方工业大学学报》2009年第2期。
[2]李妍:《招股说明书内部控制信息披露现状剖析——以我国沪市数据为
例》,《广州大学学报》(社会科学版)2006年第2期。
[3]迪博企业风险管理技术有限公司:《中国上市公司内部控制白皮书》(2008-2013)。
[4]徐明磊:《上交所:2011年内部控制披露情况分析》,《中国证券报》2012-08-05。
