时间:2021-01-06 作者:陈艳 董美霞 武鸿菲 胡晓云 (作者单位:东北财经大学内部控制与风险管理研究中心 东北财经大学会计学院大连交通大学)
[大]
[中]
[小]
摘要:
2009年1月,财政部发布的《企业内部控制评价指引》(征求意见稿)(以下简称《指引》)要求:“企业应当根据内部控制评价结果和整改情况,编制内部控制评价报告,据以披露内部控制评价信息。”基于信号理论,披露内控评价信息能够及时传递内控有效与否以及内控中存在缺陷状况等信号,一方面可为投资者决策提供信息,另一方面也为企业完善内控制度提供了依据。但要达到上述效果,就必须保证披露的内控评价信息从广度和深度上反映出企业内控的现状。本文试图通过对中美2008年上市公司披露的内控评价信息的统计分析,揭示中美之间的差异,探讨我国内控评价信息披露中存在的问题,为增强我国内控评价的实施效果提供一些具有针对性的建议。
一、中美内部控制评价信息披露现状分析
美国企业内控评价信息披露依据的是美国2003年《最终规则:财务报告内部控制的管理层报告和交易法案定期报告中披露的确认》(简称2003年最终规则)和2007年指南。对比我国《指引》和美国的上述规定,中美均要求披露的内容包括:(1)内控责任主体的声明,即管理当局的声明;(2)内控有效性的结论;(3)内控评价标准和依据;(4)内控重大缺陷及其认定情况;(5)内控重大缺陷的整改措...
2009年1月,财政部发布的《企业内部控制评价指引》(征求意见稿)(以下简称《指引》)要求:“企业应当根据内部控制评价结果和整改情况,编制内部控制评价报告,据以披露内部控制评价信息。”基于信号理论,披露内控评价信息能够及时传递内控有效与否以及内控中存在缺陷状况等信号,一方面可为投资者决策提供信息,另一方面也为企业完善内控制度提供了依据。但要达到上述效果,就必须保证披露的内控评价信息从广度和深度上反映出企业内控的现状。本文试图通过对中美2008年上市公司披露的内控评价信息的统计分析,揭示中美之间的差异,探讨我国内控评价信息披露中存在的问题,为增强我国内控评价的实施效果提供一些具有针对性的建议。
一、中美内部控制评价信息披露现状分析
美国企业内控评价信息披露依据的是美国2003年《最终规则:财务报告内部控制的管理层报告和交易法案定期报告中披露的确认》(简称2003年最终规则)和2007年指南。对比我国《指引》和美国的上述规定,中美均要求披露的内容包括:(1)内控责任主体的声明,即管理当局的声明;(2)内控有效性的结论;(3)内控评价标准和依据;(4)内控重大缺陷及其认定情况;(5)内控重大缺陷的整改措施。美国将内容(4)和(5)包括在内控有效性结论部分中。而我国除上述内容外,还要求披露:(1)组织实施内控评价的总体情况;(2)内控评价的范围和内容;(3)内控评价的程序和方法;(4)内控重大缺陷责任追究情况。美国要求管理层评价报告中应包括负责年度财务报告审计的注册会计师对内控有效性发表鉴证意见的说明,而我国对此没有做出具体要求。
(一)美国内部控制评价信息披露现状分析
笔者以2008年度(所收集内控评价报告的发布时间从2008年3月6日至2009年4月17日)在纳斯达克证券交易所和纽约证券交易所公开发行股票的上市公司财务报告内控管理层报告为总体,按照随机抽样的方法抽取了其中573家作为调查样本(其中纳斯达克证券交易所的上市公司166家,纽约证券交易所的上市公司407家),从披露广度和披露深度两方面分析美国企业内控评价信息的披露状况。
1.内部控制评价信息的披露广度
573家美国企业披露的内控评价信息如表1所示。值得注意的是,在披露“注会鉴证意见”的554家上市公司中,有24家属于小型上市公司(即非快速申报者,指公开发行股票少于7500万美元的公司)。根据2003年最终规则中的特殊规定,允许该类企业可以暂不出具注册会计师的鉴证意见,仅提供财务报告内控管理层报告。统计分析结果表明,这24家公司均已按上述规定披露。不过,仍有3家上市公司既没有出具注册会计师的鉴证意见,也没有在财务报告内控报告中做出相关说明。
2.内部控制评价信息的披露深度
2003年最终规则规定:如果公司财务报告内控存在重要弱点,必须在财务报告内控管理层报告中予以描述。表2揭示了573家上市公司是否存在财务报告内控重要弱点以及是否详细披露该内容和具体整改措施的情况。
此外,在所抽取的样本中,有7家上市公司在2007会计年度发现了内控重要弱点并在2007年的财务报告内控管理层报告中发表了内控无效的意见。在2008年的报告中,它们均披露了针对上年发现的重要弱点采取的整改措施,重新评估了2008会计年度末公司的内控状况,并得出了内控有效的结论。
通过统计分析还发现,573家样本公司出具的管理层报告中的内控评价结论和注册会计师出具的鉴证意见完全一致。
(二)我国内部控制评价信息披露现状分析
我国上市公司内控评价信息的披露依据是2006年上交所和深交所各自发布的《上市公司内部控制指引》、2008年由财政部等五部委发布的《企业内部控制基本规范》和2009年发布的《指引》。
截至2009年4月30日,共有967家上市公司披露了2008年的内控自我评价报告或随年报披露了内控评价信息,其中上交所有335家,深交所有632家。
1.内部控制评价信息的披露广度
967家上市公司披露的内控评价信息的披露广度如表3所示。值得注意的是,967家上市公司在内控责任主体声明、内控评价的程序和方法、内控重大缺陷及其认定情况这三方面均未做出具体披露;在披露内控评价标准和依据的542家公司中,仅有341家使用的评价标准涉及到《内部控制基本规范》,占样本总数的35.26%。
2.内部控制评价信息的披露深度
2008年提供内控评价信息的公司大多依据的是上交所和深交所的《上市公司内部控制指引》,尽管两所的内控指引中均要求对内控缺陷和整改情况(或重大风险和处理情况)予以披露,但企业的执行情况却不尽如人意(如表4)。披露内控缺陷和相关整改措施的542家公司均未说明缺陷是否为重大缺陷,而且其中只有101家公司指出了具体缺陷并提出了相关整改措施,仅占样本总数的10.44%;其余441家只是泛泛而谈。此外,注册会计师出具鉴证意见的有280家,占样本总数的28.96%,而且其鉴证意见全部表明公司内控或管理层内控认定有效,这280家公司中有99家指明内控存在缺陷。
二、我国内部控制评价和信息披露问题探析
(一)内部控制评价规范的监管力度不高
1.缺乏指导性的统一内控评价规范
(1)缺乏统一的评价标准或框架。美国2003年最终规则和2007年指南为美国公司进行内控评价提供了合适的、有效的评价框架的建议。本文选取的573家美国上市公司均采用了COSO框架作为其评价财务报告内控的标准。
而笔者统计的967家我国样本公司中仅有542家披露了内控评价所采用的标准或依据,其中341家提到了《内部控制基本规范》,另外201家依据上交所或深交所发布的内控指引。评价标准不统一造成了评价结论的可比性差,评价信息的实用性会受到影响。而且,这542家公司披露的信息也多表现为对企业内控现状的泛泛说明,并没有真正触及企业内控的有效性。
(2)缺乏指导性的控制缺陷认定标准。美国监管部门为内控评价中控制缺陷的认定和披露提供了可操作性的指南,即2003年最终规则和2007年美国公众公司会计监督委员会(PCAOB)发布的《审计准则第5号——与财务报表审计整合的财务报告内部控制审计》。笔者调查的573家美国上市公司中,评价内控无效的24家均指出其存在重大缺陷并做了详细披露。
而我国目前的相关规范对于缺陷的规定不统一,并且对于重大缺陷的规定缺乏指导性。笔者调查的967家我国上市公司中,有542家说明其内控存在缺陷,但却没有一家指出其缺陷是否为重大缺陷。
2.内部控制评价规范的内容不够合理
美国2007年指南为内控评价提供了风险导向、自上而下的方法,因此在财务报告内控管理层报告中没有要求对评价方法和程序予以披露。Deumes(2008)的研究指出,很多企业认为披露内控评价方法和程序会导致机密信息泄露,而给企业造成损失。而在我国《指引》中,却明确规定内控评价报告中应包括“内控评价的程序和方法”,这一规定从目前来看也并不可行。在被调查的967家我国上市公司中,没有一家公司披露该项内容。
(二)企业内部控制评价和信息披露意识不强
我国被调查的967家公司中,大多数公司披露的内控信息仅是对企业内控现状的描述。公司自愿披露内控信息的积极性不高,即使现行规范强制要求披露,大多数企业也是敷衍了事。导致企业内控评价和信息披露意识不强的原因主要有以下两点:首先,出于成本效益的考虑,上市公司管理当局的内控评价动机不强。内控评价的成本是即时发生的,而且第一次评价时涉及软硬件的配备,成本更高,而短期内难以看到收益,因此企业缺乏内控评价的动力。其次,企业担心真实内控信息的披露会给企业带来负面影响。目前我国很多企业内控正在建设中,存在很多缺陷待整改,在这种状况下,企业如果真实披露内控评价信息,必然会涉及内控的重大缺陷,最终可能不得不出具内控无效的结论,投资者可能会因此质疑企业的盈利状况和未来的发展前景,进而导致企业的市场价值降低。
三、加强内部控制评价和信息披露效果的建议
(一)加强内控评价和信息披露的监管
1.尽快发布统一的内控评价指引和实施细则
目前,财政部发布的《指引》仍在征求意见阶段,应尽快予以发布并出台配套的实施细则。另外,政府监管部门应明确可操作的内控评价标准,为企业确定评价关键点提供原则性指引。特别重要的是,政府监管部门应提供重大缺陷确定的指导性原则,究竟达到何种程度表明缺陷导致“严重偏离内部控制目标”,需要规定一个明确的判定标准。
2.规定合理的披露内容
企业应予披露的内控评价信息只要能支持评价结论即可,即应遵循实质重于形式原则,强制披露反映内控有效与否的实质性信息,而对其他相关信息则由企业自主决定是否披露。如果企业的内控是有效的,那么可直接按照通用格式披露相关内容。如果内控是无效的或存在重大缺陷的,则应详细披露内控重大缺陷及其认定情况以及内控重大缺陷的整改措施及责任追究情况,并说明内控无效。
3.设置评价规范执行的过渡期
考虑到我国企业的内控现状,为企业执行《指引》设置一个过渡期更能保证企业对于相关法规要求的接受度。即在全面执行内控评价规范之前为企业预留准备期,让企业理顺自身的内控现状并充分了解相关法规要求,通过渐进式的策略提高企业内控的执行效果。
(二)强化企业内控评价和信息披露意识
1.明确内控评价和信息披露的责任追究机制
我国目前缺乏有关内控评价的责任追究机制,更没有从法律高度对此做出规范。在企业没有形成内控评价和评价信息披露意识之前,完全依靠企业自觉是不现实的。而美国SOX法案明确规定了管理层对于财务报告内控评价和报告的责任,同时在《1933年证券法》和《1934年证券交易法》中明确规定了管理层如果不履行其责任将会面临诉讼,并会被处罚金,罚金最低5万美元,最高50万美元。美国的做法可为我国提供借鉴,责任明确可为企业树立内控评价和信息披露意识提供外部压力。
2.加强对内控评价的培训和指导
政府监管部门应制定具体的培训计划,对相关责任人进行内控和内控评价相关规范的培训;企业应组织内部相关人员学习企业内控制度,掌握内控评价的实施方法,明确各自在内控建立健全和评价中的职责,进而形成重视内控的企业文化,从而增强企业内控评价意识。
3.强化内部控制评价的风险导向
要增强内控评价效果,保证企业自觉进行内控评价并披露内控信息,就必须让企业充分认识到内控和内控评价对于企业的作用。而企业作为一个经济实体,主要关注其价值的增长,而影响企业价值实现的因素就是风险。因此,在进行内控评价时,应以风险作为切入点,强化内控评价的风险导向,从根本上提高企业内控评价意识。
责任编辑 李斐然
相关推荐