书城管理内部控制信息披露理论框架研究
10999500000014

第14章 内部控制信息披露的内容(1)

§§§第一节内部控制信息的构成

内部控制信息披露中诸多问题的出现归根到底是由于上市公司管理当局还没有充分意识到内部控制信息及其披露的重要性。实际上,上市公司的内部控制信息可以用来实现两种不同的目的:满足投资者等信息使用者的信息需求和作为上市公司的宣传工具。在后一个方面,内部控制信息往往具有战略意义。因为它可以影响到公司的形象,影响到投资者对公司的信心,影响到公司能否筹集到成本较低的资本。格林斯潘在任职美联储主席期间有一个经典的信息披露策略:用最多的语言表达最少的信息。这实在是因为他所在的位置极其敏感,他的一言一行才极其谨慎。同理,内部控制信息披露也不能“看似详细、实则空洞”,关键是一句话——要有信息含量。

如前所述,内部控制信息是公司报告的组成部分。上市公司应该披露哪些内部控制信息是由投资者的需要所决定的,但迄今为止,国内外并没有针对“内部控制信息”的构成内容进行专门的研究。COSO报告指出,“内部控制报告”的内容应该包括:所针对的控制的类别;对内部控制体系固有局限的说明;关于体系中存在对发现的控制缺陷进行监控和应对的机制的说明;报告的参照系,即指明对内部控制体系进行衡量的标准;对内部控制体系有效性的结论,如果存在一个或多个重大漏洞,就应该包括对重大漏洞的描述,并且不能作出符合体系有效性标准的声明;针对的日期或期间;报告签字人姓名美国COSO制定发布.内部控制——整合框架[M].方红星主译.大连:东北财经大学出版社,2008:144.。美国SEC的《最终规则》仅就财务报告内部控制的内容作了如下规定,其构成应涵盖以下四个方面:管理当局维持充分有效财务报告内部控制的责任;管理当局评估内部控制的框架;管理当局对最近一个年度财务报告内部控制有效性的评价;审计报告中注册会计师对管理当局的评价。

在我国,《上证指引》第三十三条规定,“公司内部控制自我评估报告至少应包括如下内容:内部控制制度是否建立健全;内部控制制度是否有效实施;内部控制检查监督工作的情况;内部控制制度及其实施过程中出现的重大风险及其处理情况;对本年度内部控制检查监督工作计划完成情况的评价;完善内部控制制度的有关措施;下一年度内部控制有关工作计划。”《深证指引》第六十二条规定,“自我评价报告至少应包括以下内容:对照本指引及有关规定,说明公司内部控制制度是否建立健全和有效运行,是否存在缺陷;说明本指引重点关注的控制活动的自查和评估情况;说明内部控制缺陷和异常事项的改进措施(如适用);说明上一年度的内部控制缺陷及异常事项的改善进展情况(如适用)。”《企业内部控制评价指引》第二十二条规定,“内部控制评价报告至少应当披露下列内容:董事会对内部控制报告真实性的声明;内部控制评价工作的总体情况;内部控制评价的依据;内部控制评价的范围;内部控制评价的程序和方法;内部控制缺陷及其认定情况;内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;内部控制有效性的结论。”

李连华针对内部控制报告的构成做出了总结:A.表明管理当局对企业内部控制的责任。管理当局应在内部控制报告中明确声明,建立、实施和维护企业的内部控制制度是管理当局的责任,内部控制制度的目标在于合理保证遵循适用的法律和法规、财务报告的可靠性、经营的效果和效率。B.承认内部控制存在固有限制。由于成本效益的考虑、错误的判断、管理层的蔑视以及由合谋引起舞弊的可能性,只能对法律和法规的遵循、财务报告的编制及企业资产的安全和完整、经营的效果和效率等方面提供合理的保证。随着环境、情况的改变,内部控制制度的有效性可能会发生改变,对内部控制制度的遵循程度可能会降低,所以根据内部控制制度的评价结果推测未来内部控制的有效性具有一定的风险。C.企业已经按照相关规范建立与实施了内部控制制度。如本公司已经按照《企业内部控制基本规范》规定的原则、标准,制定并颁布实施内部控制制度。D.声明企业已按照相关的标准、程序对企业内部控制的建立和执行的有效性进行了评估,发现无重大缺陷。如果评估后发现企业的内部控制存在重大缺陷,应当在报告中指出该项缺陷以及可能造成的后果。E.声明企业的内部控制有效,对法律和法规的遵循、财务报告的可靠性及企业资产的安全和完整、经营的效果和效率等方面不会产生重大的不利影响。如果评估后认为企业的内部控制在某些方面存在缺陷,则应声明。F.企业管理层的签名,包括董事长、总经理、财务总监或总会计师等在内部控制报告上签名,以表明对内部控制和内部控制报告所承担的相关责任李连华.内部控制学[M].厦门:厦门大学出版社,2007:405~406.。

本著认为,“内部控制报告”并不等同于“内部控制信息”,后者所涵盖的范围更加广泛。“内部控制报告”亦不等同于“内部控制自我评价意见”或“内部控制鉴证报告”。“内部控制报告”是管理层就公司内部控制情况进行的披露;“内部控制自我评价意见”是独立董事就公司内部控制情况发表的独立意见;“内部控制鉴证报告”是注册会计师就公司内部控制情况进行的外部审核。也就是说,内部控制信息的披露程序应该是:先由管理层报告公司内部控制情况,交独立董事审核或授权内部审计部门实施具体评价周勤业、吴益兵(2008)认为,对于公司内部控制制度建设和评价报告的执行,应从两种情况来分析:首次执行和后续执行。对于首次执行公司内部控制建设和评价的,在项目执行之前,公司应成立内部控制委员会,对公司内部控制的建设和评价进行统筹安排,并在委员会下确立专门的项目执行小组以保证公司内部控制建设和评价的有效执行。而在后续公司内部控制评价中,鉴于公司内部控制的评价已经成为公司常规的工作,则可以考虑淡化公司内部控制委员会和项目小组的职能,将公司内部控制评价的工作安排给相关部门,如公司内部审计部门、风险管理部门或财务部门等负责具体执行。,再交注册会计师鉴证,最后对外公布。这样,内部控制信息由内部控制报告、内部控制自我评价意见、内部控制鉴证报告和其他内部控制信息组成。

§§§第二节内部控制报告

一、责任主体

目前,对内部控制信息应由谁提供,存在着两种对立的观点:一种观点认为,应由注册会计师在提供会计报表审计报告的同时提供内部控制评价报告;另一种观点认为,应由企业管理层对外披露内部控制信息。李连华(2007)认为,由注册会计师提供内部控制信息,不符合内部控制的原理,会降低披露的准确性,也不利于改进内部控制系统,更不利于注册会计师行业的健康发展。由第三类委托代理关系(上市公司管理层与投资者之间的委托代理关系)可知,管理层应该对本企业的内部控制最熟悉,最有能力对其进行评估,同时将评估结果对外披露。因而,内部控制信息应由企业管理层对外披露英国Operating and Financial Review(2006)要求董事会披露,因为在英国伦敦证券交易所交易股票的公司被要求在年度报告中证实遵守最佳行为准则。这个准则是由Cadbury委员会于1992年发布的。它的一个基本原则是董事应该报告内部控制效果,但后来这种报告不再被强制要求。而美国Management Report和IASB的Discussion Paper for Management Commentary(2005)要求管理层披露。本著借鉴了OFR、MR和MC中的一些观点。。

管理层披露内部控制信息,就是透过管理层的眼睛“看”内部控制。换句话说,上市公司管理层有权决定披露哪些内部控制信息,怎样披露内部控制信息。在第五类委托代理关系(即作为层级系统的上市公司内部的委托代理关系)中,每一位(每一层次)经理都可独占或优先获得某些信息。因此,内部控制信息是从最基层的数据开始收集的,涉及各个层次的责任人。高质量的内部控制信息能够反映出上市公司内部控制系统整体的效果,进而反映出上市公司内部各层级之间受托责任的履行情况。如前所述,上市公司管理层指的是负责决策与监督的统治集团。例如,深交所规定, “董事长(或总裁)作为实施信息披露工作的第一责任人。”COSO报告指出,内部控制报告按照两种广义方式中的一种来讨论管理层的责任:一是,管理层承认它对内部控制的责任;二是,管理层说明它对是否履行了特定责任的看法美国COSO制定发布.内部控制——整合框架[M].方红星主译.大连:东北财经大学出版社,2008:141.。

上市公司管理层是典型的“经济人”,他们最清楚内部控制的状况。但问题是,管理层可能不说或者说假话,即存在着不披露、选择性披露和虚假披露的问题。这是一个主要由道德决定的披露可靠性问题。阿罗(1989)认为,“败德行为”也是一个信息差别的问题。Root认为,内部控制最重要的局限性是不完美的人性,没有人在任何时候都能行为适当。最优秀的人偶尔也会违背道德行事,包括说谎、欺骗、偷窃和贪婪,有些人甚至行为更恶劣Stephen J. Root.超越COSO:加强公司治理的内部控制[M].付涛,卢远瞩,黄翠竹译.北京:清华大学出版社,2004:106.。裘宗舜教授认为,一项制度和规范不能填补谦虚谨慎的缺失,更不能代替道德品质的思想教育裘宗舜.财务会计基础理论[M].大连:东北财经大学出版,2009:74.。如前所述,上市公司管理层的信息优势、管理层与投资者的利益冲突是影响内部控制信息披露质量的决定因素。大部分国家认为,美国至今也没有能够让管理层正确地报告财务报告内部控制情况;IMA的研究也表明,大量上市公司并没有按照COSO五要素披露它们的重大控制不足美国管理会计师协会(IMA)发布.财务报告内部控制与风险管理[M].张先治,袁克利主译.大连:东北财经大学出版社,2008:89.。所以,内部控制信息的披露应以保护投资者利益为导向。在这个总目标下,一方面要提高管理层的职业道德修养;另一方面,引入独立董事的评价与注册会计师的鉴证机制可以在一定程度上遏制或威慑不道德的行为发生。

笔者从218家沪市2008年存在高管变更情况的上市公司中随机抽取50家公司,其中,30家公司属高管强制变更,另20家公司属高管正常变更在西方国家的研究文献中,“高管”通常包括董事长、首席执行官(CEO)以及总裁(通常为首席运营官COO)三人。而根据我国证监会于2006年制定的《上市公司章程指引》中第10条和11条的规定,笔者将上市公司“高管”的范围界定为公司中的董事、监事、经理、董事会秘书以及财务总监等。强制变更(也称约束性变更),是指在公司业绩不佳的情况下,由公司的内外部治理机制对公司控制权权力主体的战略调整而造成的高管人员的离职行为,通常是由于董事会的决策、大股东的变更或者战略并购等行为造成的。正常变更(也称非约束性变更),是指由于高管个人年龄、身体健康或不可控的意外事故等原因造成的高管人员的离职行为,如退休、重病、死亡等。。以这50家公司2007和2008两年年报中披露的内部控制信息为基础,将高管变更情况与内部控制信息披露质量相联系,进行了系统性分析。我们的结论是:从变更前看(2007年),高管强制变更的上市公司相比高管正常变更的上市公司内部控制信息披露质量要低;从变更前后对比看(2008年与2007年相比),高管强制变更之后相比之前的内部控制信息披露质量要高,而高管正常变更之后相比之前的内部控制信息披露质量无明显差异;从变更后看(2008年),高管强制变更与高管正常变更后的内部控制信息披露质量无明显差异。此外,笔者还发现,在高管强制变更的上市公司中,有15家公司的总经理发生变更。其中,11家公司的内部控制信息披露质量在变更后得到明显改进,这说明总经理变更与内部控制信息披露质量显著相关。上市公司所披露的内部控制信息质量越高,内部控制信息越能反映出公司内部控制的实际情况。这还能表明管理层团队已发挥了或正在发挥着有效的指挥作用,这样的公司较少出现高管强制变更的情况宋京津. A Discussion on the Relationship between Top Management Mandatory Changes and Quality of Internal Control Information Disclosures[C].第五届公共管理国际会议论文集(第一集),2009.。

透过管理层的眼睛“看”内部控制是否有效,并且将这些信息披露出来,这里面就有个管理层判断问题。如前所述,内部控制信息具有历史性和前瞻性双重导向。历史性侧重于公司经营状况的阶段性总结,前瞻性集中在公司战略目标的制定与期待。因此,管理层就公司内部控制情况的判断必须与投资者对公司过去的评价和将来的发展息息相关。内部控制信息披露的总体目标是保护投资者的知情权,上市公司管理层要从这一点出发,决定是否披露、是详细披露还是简单披露。

需要指出的是,内部控制信息披露是上市公司管理层的责任,但是,内部控制不仅仅是管理层的责任。组织中的每一个人都应对内部控制负责任,都应主动地参与到维护和改善企业的内部控制体系中去,而不是与管理层相互对立,被动地执行内部控制。

二、内部控制报告要素

因为内部控制信息与财务报告信息在目标方面是一致的,所以在探讨内部控制报告要素之前,我们先从财务报表要素(会计要素)谈起。

(一)要素、会计要素与内部控制要素

1.要素的涵义