杨健琳

提要为了完善我国上市公司内部控制制度,加强内部控制信息披露,促进我国资本市场健康发展,2008年6月,财政部及其他四部委联合颁布了《企业内部控制基本规范》,并于2009年先在上市公司范围内实施,这将为我国上市公司内部控制制度产生重大的影响。本文介绍我国内部控制信息披露的相关规定,分析目前我国上市公司内部控制信息披露现状,论述《企业内部控制基本规范》对我国上市公司内部控制信息披露的改进,对未来内部控制信息披露的发展提出几点思考。

关键词:上市公司;内部控制规范;信息披露

中图分类号:F270文献标识码:A

2008年6月28日,财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制基本规范》(以下简称“新规范”),自2009年7月1日起先在上市公司范围内施行。这标志着我国内部控制制度建设取得了重大突破。该规范的实施将有利于促进我国上市公司完善内部控制制度的发展和完善,并且为上市公司的内部控制信息披露的规范运作提供重要的指导。

一、我国内部控制信息披露的规范

2000年底,证监会颁布的《公开发行证券的公司信息披露编报规则》第7号、第8号,规定商业银行和证券公司在其年报中出具对内部控制的有效性、完整性和合理性的自评报告,并委托所聘请的会计师事务所对其内部控制制度,尤其是风险管理系统的完整性、合理性及有效性进行评价,提出改进建议,并出具评价报告。

2001年证监会颁布的《公开发行证券的公司信息披露内容与格式准则第1号——招股说明书》和《公开发行证券的公司信息披露内容与格式准则第11号——上市公司发行新股招股说明书》规定,发行人应披露公司管理层对内部控制制度的完整性、合理性及有效性的自我评估意见。注册会计师指出以上“三性”存在重大缺陷的,应披露并说明改进措施。

证监会于2001年制定、2004年修订的《公开发行证券的公司信息披露内容与格式准则第2号——年度报告》,规定年度报告中,监事会应对“公司决策程序是否合法,是否建立完善的内部控制制度,公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为”发表独立意见。

2006年5月,证监会发布《首次公开发行股票并上市管理办法》,规定“发行人的内部控制在所有重大方面是有效的,并由注册会计师出具无保留结论的内部控制鉴证报告”。这是我国首次对上市公司内部控制提出具体要求。

为加强上市公司内部控制,促进上市公司规范运作和健康发展,投资者合法权益,上海证券交易所(以下称“上交所”)和深证证券交易所(以下称“深交所”)分别于2006年6月和2006年9月颁布,并分别于2006年7月和2007年7月实施的《上市公司内部控制指引》(以下简称“《指引》”),两个证交所都明确规定在其交易所上市的公司都应提供内部控制报告自评报告。该指引是我国第一次出台的指导上市公司建立健全内控制度的文件。

2008年6月28日,财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制基本规范》,自2009年7月1日起先在上市公司范围内施行。新规范中规定,企业应将针对内部控制缺陷提出的整改方案采取适当的形式及时向董事会、监事会或者经理层报告,并要求企业出具内部控制自我评价报告。

二、新规范颁布以前,我国内部控制信息披露规范现状

(一)缺乏对内部控制责任主体的统一规定。旧规范中,证监会并没有明确指明责任主体,而只是指出由监事会对本公司是否建立完善的内部控制发表独立意见,而没有明确落实董事会和经理层对上市公司内部控制信息披露的具体责任。深交所颁布的《指引》中规定,由公司内部审计部门负责监督内部控制制度的执行情况,并将检查监督情况形成内部审计报告报送董事会和列席监事。而上交所颁布的《指引》则将内部控制的监督权赋予专门职能部门,并规定该专门职能部门在年度和半年度结束后向董事会提交内部控制检查监督报告。那么根据这一规定,该专门职能部门可以是审计部门,也可以由各个公司根据本公司的特点和组织结构设置。

(二)缺乏对内部控制信息披露内容和形式的统一要求。旧规范中提到的内部控制相关内容的立足点和出发点分别是从报表审计的角度和企业会计控制角度进行规范。在内部控制的法律法规制定上,我国与西方发达国家尚存在较大差距,我国上市公司在内部控制信息披露上仍处于自愿披露阶段,这导致了上市公司会尽可能选择对其有利的信息进行披露。而且,大多数内部控制信息散见于年度报告的相关部分中,虽然只有少部分企业开始出具内部控制自我评价报告并由注册会计师出具审核报告,但是绝大多数内部控制信息披露形式不统一,披露的内容过于简单和形式化。总的来说,内部控制自我评价报告中的信息含量仍然较低,因而分析和利用价值也偏低。

(三)内部控制信息披露的监管不力。目前,我国在上市公司年度报告的信息披露中并没有要求注册会计师对公司的内部控制信息披露发表意见,从而难以保证其可信性。内部控制的评价和鉴证是保证内部控制发挥作用的重要环节,当前注册会计师对企业内部控制制度的评价主要是针对在报表审计的过程,即内部会计控制部分。由于时间和成本的限制,要求注册会计师在报表审计的同时对企业的内部控制进行评价有一定难度。在进行专项鉴证业务时,又缺少统一规范的执业标准,影响内部控制信息披露的真实性。同时,监管部门也缺乏对上市公司的内部控制报告实行定期或不定期的监督检查。总的来说,我国上市公司内部控制信息披露的监管力度明显不足。

三、新规范对内部控制信息披露的改进

(一)统一规定内部控制的责任主体。新规范对公司治理结构中的各个主体在内部控制中的作用分别进行了规定:“董事会负责内部控制的建立健全和有效实施,监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。”“企业应当明确内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的方式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。”这一规定明确了内部控制信息披露中相关主体的责任,而且建立了问责机制,强制性地规定各责任主体为各自相关的责任负责。

(二)强制性要求出具内部控制自我评价报告。新规范规定:“企业应结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率由企业根据经营业务的调整、经营环境的变化、业务发展状况和实际风险水平等自行确定。国家有关法律法规另有规定的,从其规定”。旧规范只是要求单位建立和完善内部控制制度,同时指出单位“可以”聘请中介机构或相关专业人员对本单位内部会计控制制度的建立健全及有效实施进行评价。也就是说,旧规范对于本企业内部控制健全性的评价是出于自愿。因此,相对于旧规范而言,新规范对内部控制的规定由非强制性转为强制性。

(三)加大内部控制信息披露的内部监督力度。内部控制信息披露无论是自愿性还是强制性,均是指把本企业内部控制的真实情况公之于众,而新规范除了强调所披露信息的真实性、完整性和可靠性外,更加注重“事前”和“事后”的控制和内部监督。根据新规范:“企业应当建立反舞弊机制,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序,并且把在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏作为反舞弊工作的重点”。新规范还指出,企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉的处理程序、办理时限和办理要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。

(四)健全内部控制中的信息传达机制。新规范规定,企业应当将内部控制的相关信息在企业内部各管理层级、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管机构之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决,重要信息应当及时传递给董事会、监事会和经理层。这一规定,有效地促进了内部控制信息从内到外、从外到内、自上而下、自下而上的传递与沟通,有利于对外披露真实、完整和可靠的内部控制信息,这是旧规范中所不曾要求过的。

四、几点思考

(一)新规范中仍然没有明确规定内部控制信息披露的内容和格式。旧规范中,证监会对上市公司内部控制信息披露的形式缺乏统一要求,主要有公司年度报告中的管理层陈述、招股说明书中管理层对内部控制的自我评估、注册会计师对企业内部控制的评估报告及结论性意见、上市公司发布的单独的内部控制自我评估报告等形式,使上市公司在内部控制信息披露中存在较强的选择性和随意性。

新规范规定:“内部控制自我评价的方式、范围、程序和频率由企业根据经营业务的调整、经营环境的变化、业务发展状况和实际风险水平等自行确定。国家有关法律法规另有规定的,从其规定”。可以看出,新规范还是没有对内部控制信息披露的内容和格式做出明确的、统一的规定,选择性和随意性仍然存在。因此,笔者认为,我国内部控制信息披露的相关规范中缺乏对信息披露的内容和格式做出明确的规定,应该要求监管部门对内部控制信息披露的格式提供可参照的基本样式,以降低上市公司在内部控制信息披露方面的选择性和随意性,提高信息的明晰性、可比性及决策有用性。

(二)做好各项规范的衔接工作,建立统一的内部控制信息披露制度体系。笔者认为,我国上市公司内部控制信息的披露缺乏统一的、规范的技术性指导。我国的证监会、保监会、银监会、财政部均在不同时期出台了各自的内部控制指导原则或意见,比如《证券公司内部控制指引》、《证券投资基金管理公司内部控制指导意见》、《商业银行内部控制指引》等,各项规范对内部控制的定义不同,给企业的选择增加了难度。

如今,新规范出台了,但仍存在与旧规范如何衔接和应用的问题。对于以前的规范和原则是有选择地继承使用还是全盘否定?对于新规范是在全国上市公司中统一实行还是分行业执行呢?如果这些问题处理不好,实践中会带来很多麻烦。因而,监管部门应该在相关规范制度中明确可供选择的内部控制标准,或在以后的规范中做出相应的说明。

同时,我国应该参照美国COSO报告,把现行的内部控制信息披露制度加以有效的整合,做好各项规范之间的衔接,建立我国统一的内部控制信息披露制度体系,全国范围内从上而下的贯彻执行,强化企业对内部控制信息披露的要求。

(三)以强制性披露为主,自愿性披露为辅,鼓励实行自愿性披露。新规范对我国上市公司内部控制信息披露实行强制性的要求。笔者认为,强制性披露可以起到规范和强化监管的作用,但自愿性披露同样是不可忽视。现阶段,我国上市公司正处于内部控制信息披露的初级阶段,应该以强制性要求为主。但是,随着我国市场环境的不断完善,上市公司自愿性披露的动力越发具备,监管部门也可针对自愿性信息披露制定指南,以引导上市公司的披露行为。企业自愿披露的信息作为财务报告的组成部分,一旦对外披露,必须与强制性披露一样,接受必要的监管和约束。强制性披露与自愿性披露相结合,一方面可以提高内部控制信息的透明度;另一方面可以引导公司将内部控制作为一种约束机制,从而提高经营管理的效率。

(四)加强对内部控制信息披露的外部监管。新规范的相关条文仍然缺乏对内部控制信息披露外部监管的要求。笔者认为,应该从以下两个方面加强对内部控制信息披露的外部监管:一是加强注册会计师的审核。为了保证内部控制信息的真实性和可靠性,需要注册会计师提供鉴证服务,出具无保留意见、保留意见、拒绝表示意见、否定意见的审核报告。注册会计师也可以聘请有关的专家帮助工作,对有关管理控制进行评价。因此,应当要求注册会计师对公司的内部控制信息披露进行审核;二是加强有关监管部门对内部控制信息披露的监管。上市公司的内部控制信息披露虽然有注册会计师的合理保证,但是不可避免会计师事务所为了不失去审计客户而与被审计单位合谋。这就需要监管部门对上市公司的内部控制报告和注册会计师的审核报告定期或不定期地实施监督检查。在强制要求披露和审核内部控制报告后,证券监督管理委员会及证券交易所,应加强对内部控制信息披露及审核情况的监管,对上市公司不按规定披露有关内部控制情况,包括不披露内部控制信息、披露虚假的信息或者隐瞒内部控制重大缺陷,以及会计师事务所出具虚假审核意见等问题,应当予以惩处。

(作者单位:中南财经政法大学会计学院)

主要参考文献:

[1]彭习锋.浅析我国上市公司内部控制的信息披露问题[J].商场现代化,2008.11.

[2]陈艳,董美霞.完善我国内部控制评价信息披露的探讨[J].会计之友,2008.12.

[3]宋蔚蔚.对新规范下企业内部控制信息披露的思考[J].财会月刊,2008.12.

[4]秦冬梅.上市公司内部控制信息披露的现状与建议[J].商业现代化,2008.5.

[5]潘俊美.浅析我国上市公司内部控制信息披露问题[J].会计之友,2009.2.