本章有关内容曾在笔者的《财务报告质量保障机制研究——内部控制及其信息披露视角》一书中有所涉猎,为了内容的连贯性,笔者在此稍做阐述。
§§§第一节内部控制信息披露政策的变化
在内部控制信息披露方面,上市商业银行比一般上市公司更加规范李明辉,何海,马夕奎.我国上市公司内部控制信息披露状况的分析[J].审计研究,2003(1):38~43.。笔者以深发展A(000001)、浦发银行(600000)和民生银行(600016)在2001年—2008年年度报告中披露的内部控制信息情况为例,阐述长期以来内部控制信息披露政策的变化因上市银行内部控制信息披露相关规范从2000年末开始颁布,故以2001年为观测起点。而2001年的上市银行只有这三家,为便于比较我们就选择这三家银行进行分析。。
一、总体变化
从总体上看,我们将上市银行年度报告中内部控制信息披露的变化分为三个阶段。2001年—2003年,三家银行内部控制信息披露呈现出多样化的披露形式, 表现为董事会、监事会和执行审计的注册会计师分别从不同视角对上市银行内部控制进行描述和评价, 这种多样化的披露形式可以使信息使用者最大限度地获知银行内部控制状况。2004年—2006年,披露形式固定为董事会报告和监事会报告, 各家银行均不再单独披露注册会计师对上市银行内部控制的评价报告。这种相对统一的披露形式虽然增加了各银行间内部控制信息披露的可比性,但范式化的信息披露缺乏实质性内容,反而降低了信息含量。2007年—2008年,三家银行均披露了内部控制自我评价报告且经注册会计师审核并附上内部控制审核报告。这种内部控制自评报告的披露将原本分散的内部控制信息聚集起来,有助于信息使用者集中获取。
二、横向比较
从横向看, 2002年,相对于深发展、民生银行而言,浦发银行内部控制信息披露量最少,只是在监事会报告中发表了“本公司制定了较为完整、合理、有效的内部控制制度”的评价意见。2006年,民生银行率先披露了内部控制自我评价报告并经注册会计师审核。我们认为,这是上市银行披露政策发生变化的两个拐点。
三、纵向比较
浦发银行在2001年内部控制信息披露量最大, 除银行自身以年报正文和附件形式对内部控制信息进行披露外, 还提供了负责审计的注册会计师内部控制审核报告。然而,2002年浦发银行不再以附件形式披露自身内部控制信息和单独披露注册会计师审核报告, 只是在监事会报告中发表评价意见。2003年—2006年,浦发银行持续采用该披露策略,内部控制信息披露量较少。2007年—2008年,按照《上市公司内部控制指引》的规定,同时披露了董事会对公司的内部控制自我评价报告和注册会计师内部控制审核报告。
深发展A在2001年—2002年内部控制信息披露量最大。我们观察到,该行监事会对内部控制的评价可谓一波三折:2001年“建立了比较完善的内部控制制度”,2002年“行内部控制制度完整、合理、有效”。如果仅仅停留在这两年,我们也许会得出深发展的内部控制效果越来越好的推断。然而,2003年监事会的评价意见是“本行内部控制制度不够完善,需要努力改进”。这不禁让人质疑2002年监事会评价意见的真实性,因为不可能在一年内发生从有效到不够完善的巨变。再往后看监事会的评价,2004年“内部控制逐渐完善, 但仍需努力”;2005年“本行仍需持续努力改进内部控制”;2006年—2007年未披露监事会意见;2008年“建立健全了较为完善、合理的内部控制制度,并在经营活动中得到了较好的执行”。2003年—2008年的监事会评价意见保持稳定,但仍有欲言又止的感觉。
同时,该行监事会报告与董事会报告针对内部控制的意见不尽一致。2003年—2005年监事会发表的独立意见均为“需努力改进”,而董事会报告则为“经鹏程会计师事务所对本行内部控制的审查, 未发现内部控制存在重大缺陷”。这不禁让我们推测,董事会报告在一定程度上掩饰了银行内部控制的某些缺陷。2008年,董事会认为“完整、合理、有效,内部控制体系健全”;监事会认为“建立健全了较为完善、合理的内部控制制度,并在经营活动中得到了较好的执行”;独立董事认为“建立了全面、审慎、有效和独立的内部控制制度体系”。这种自相矛盾的评价,使信息使用者有一种“雾里看花”的感觉。
民生银行在2001年—2002年内部控制信息披露量最大;2003年—2005年,采用浦发银行2002年的少量披露策略;2006年—2008年披露了内部控制自我评价报告并经注册会计师审核。2002年—2006年监事会报告均为“本公司内部控制制度完整、合理、有效”;2007年则为“建立了较为完整、合理、有效的内部控制制度”,相比2006年甚至更早以前,内部控制到底存在什么问题,未见披露;2008年为“公司建立和实施了较为完整、合理、有效的内部控制制度,未发现公司在内部控制或执行方面存在重大缺陷”,相比2007年有所改进,但究竟是什么方面的改进,也未见披露。
四、存在的问题
上市银行内部控制信息披露情况好于一般上市公司,这一方面是由于其披露要求较高,另一方面可能也跟目前商业银行上市较少,易于监管有关。但是,上市银行内部控制信息披露也存在着一些突出的问题,表现在以下几个方面:各银行侧重于内部控制制度的制定, 缺乏对制度执行情况的描述和评价, 或只简单地说制度得到了有效地执行;侧重于组织机构设置的介绍, 忽视其他内部控制环境,如:管理层的管理哲学、经营风格、授权方式,员工的诚实性和道德观,人力资源政策和实施等的披露;侧重于外部环境带来的风险,缺少系统性、流程风险的揭示;侧重于取得的成绩,较少提供有建设意义的内部控制整改计划和方案;监事会意见多流于形式,缺乏实质性内容,甚至监事会与董事会的评价意见自相矛盾。这些问题的出现归根到底是由于上市银行管理当局还没有明确内部控制信息披露的目标。实际上,上市公司(银行)的内部控制信息可以用来实现两种不同的目的:满足信息使用者的信息需求和作为上市公司的宣传工具。上市公司应意识到提供信息本身不是目的,而是为了在激烈的市场竞争中获得生存权,并尽可能战胜对手而不断地发展壮大。在这一过程中,投资者提供了上市公司发展壮大所需的资源,向投资者披露高质量的信息是上市公司义不容辞的责任,是对投资者负责任的一种行为。在后一个方面,内部控制信息往往有着战略意义,因为它会影响到公司的形象,影响到投资者对公司的信心,影响到公司能否筹集到成本较低的资本。
§§§第二节内部控制信息披露的总体目标
与具体目标1982年,美国会计学家亨德里克森在《会计理论》一书中指出,任何研究领域的起点都是提出研究的界限和确定它的目标。目标指人们从事某种活动或者做出某种行为时所要实现的意图。它存在于人类的行为之中,代表着一种行为方向,体现着其设定者的价值判断和主观愿望李连华.内部控制理论结构:控制效率的思想基础与政策建设[M].厦门:厦门大学出版社,2007:70~72.。根据系统论原理,任何系统,尤其是人造系统,都要服从于系统的目标,没有明确目标的人造系统是不可想象的。在本质上,内部控制信息披露是一个经济信息系统,找到其目标,是研究内部控制信息披露问题的出发点和归宿,在此过程中也解决了内部控制信息向谁披露的问题。
在《财务报告质量保障机制研究——内部控制及其信息披露视角》的笔者认为,内部控制信息披露的对象主要是投资者,其总体目标是保护投资者利益。但是,投资者保护观并不是一个独立的目标,而是受托责任或决策有用的一个交叉内容。或者说,受托责任与决策有用两种观点的结合点在于保护投资者利益。在该书中,笔者将内部控制信息披露的具体目标设定为基础目标:揭示经济与经营活动合法合规;核心目标:印证呈报的财务报告真实可靠;支持目标:表明经营效率与效果不断改进;拓展目标:反映保证企业可持续发展的战略规划四个。笔者认为,内部控制信息披露的目标不是单一的,而是一个目标体系。总体目标对具体目标起统驭作用,具体目标是总体目标的具体内容。它们之间的关系是:遵循质量、财务报告质量、经营质量与战略质量是投资者等利益相关者最为关注的质量,在远离企业的情况下,关于这些质量的内部控制信息披露则是投资者知情权的保证,亦是投资者利益的保证。具体目标之间的关系则是:揭示经济与经营活动合法合规是内部控制信息披露的基础目标;印证呈报的财务报告真实可靠是内部控制信息披露的核心目标;表明企业经营效率与效果不断改进是内部控制信息披露的支持目标;反映保证企业可持续发展的战略规划是内部控制信息披露的拓展目标。它们的层次从低到高排列,丰富了投资者利益保护这一总体目标的内涵。
笔者以深发展A(000001)、浦发银行(600000)和民生银行(600016)在2001年—2008年年度报告中披露的内部控制信息情况为例,阐述长期以来内部控制信息披露政策的变化及存在的问题。这些问题的出现归根到底是由于上市银行管理层还没有明确内部控制信息披露的目标。投资者提供了上市公司发展壮大所需的资源,向投资者披露高质量的信息,从而保护投资者利益就是上市公司义不容辞的责任,是对投资者负责任的一种行为。