内部控制是社会生产发展到一定阶段的产物。没有人类生产行为的发生,便不可能有人类内部控制思想、行为的产生。同时,内部控制理论的历史变迁也表明,经济越发展,经济关系越复杂,内部控制越重要,内部控制信息披露越有必要。本著借鉴财务会计概念框架的研究思路,建立起内部控制信息披露的一个分析框架,该框架包括什么是内部控制信息披露、向谁披露内部控制信息、披露哪些内部控制信息和如何披露内部控制信息等问题,具体如下:
内部控制信息披露,是指上市公司管理层通过一定的媒介向外部投资人和其他利益关系人,发表或发布公司内部控制设计、执行和评价情况的信息,是上市公司内部控制体系中的一项重要内容。从本质上说,内部控制信息披露是一个经济信息系统。这个系统有助于上市公司管理当局解除受托责任;促使上市公司向市场传递有效信息;保护投资者的知情权。从更深层次上讲,内部控制信息披露是一个涉及投资者、政府、规制机构(政府监管部门)、中介机构(社会监管部门)、上市公司及其内部成员之间有关各方的多重委托代理问题。内部控制信息及其披露具有经济后果,经济后果恰恰证明了资本市场并不是充分有效的。投资者是资本市场存在的基础,投资者信心和预期的形成又来自于对投资者利益的保护。
内部控制信息的披露对象主要是投资者,其总体目标是保护投资者利益。但是,投资者保护观并不是一个独立的目标,而是受托责任与决策有用的一个交叉内容。或者说,受托责任与决策有用两种观点的结合点在于保护投资者利益。在此基础上,笔者将内部控制信息披露的具体目标设定为基础目标:揭示经济与经营活动合法合规;核心目标:印证呈报的财务报告真实可靠;支持目标:表明经营效率与效果不断改进;拓展目标:反映战略规划保证可持续发展四个。
投资者保护的关键是提高上市公司信息披露的质量。内部控制信息披露原则,是从内容、形式、时间等方面对上市公司内部控制信息披露工作的要求。其中,成本效益既是一项基本原则,又是一个普遍性的约束条件。上市公司只有在确定了收益大于成本的条件下,才会“心甘情愿”地提供内部控制信息。可靠性原则包括准确性、中立性、完整性等方面的要求;相关性原则包括公平性、及时性、重要性等方面的要求;可比性原则包括企业间的可比与各期间的可比两个层面的要求;可理解性原则是针对上市公司与投资者双方提出的要求。
组织结构、公司治理、企业文化和信息、沟通为企业内部控制信息披露限定了一个理想的“控制环境”。理想的控制环境是内部控制得以建立与实施的基础,是内部控制报告的前提条件,归属于假设层面,应当在内部控制报告之外披露。换句话说,如果连控制环境都存在问题或缺陷的话,高质量的内部控制信息披露就无从谈起,内部控制报告也失去了存在的意义。
风险评估、控制活动、监督与修正三要素构成了内部控制报告的基本单位,笔者将其称之为“内部控制报告要素”。风险评估是内部控制报告的起点,控制活动是内部控制报告的核心,监督与修正则是对二者的总结与评价,三要素相互作用,构成完整的内部控制报告。内部控制报告要素的界定有助于上市公司提供高质量的内部控制信息,降低信息披露成本;同时,有助于投资者阅读更为明晰、简洁的内部控制报告,从而缓解投资者与管理层的信息不对称程度。
除内部控制报告之外,内部控制信息还包括内部控制自我评价意见、内部控制鉴证报告与其他内部控制信息。内部控制报告是内部控制信息的核心内容,独立董事评价与注册会计师鉴证很自然地形成内部控制报告的双重保障机制。
内部控制信息按披露动机,可以分为自愿披露与强制披露;按披露渠道,可以分为公开披露与私下披露;按披露时间,可以分为定期披露与不定期披露;按详略程度,可以分为详细披露与简单披露等不同的披露方式。本著认为,从保护投资者利益出发,内部控制信息披露应坚持自愿披露与强制披露相结合、年度报告与临时报告相结合的公开彩色披露方式。
由此可见,内部控制信息披露不是政府规制部门强加给上市公司的一套枷锁,而是一个水到渠成、自然而然的过程。然而,理论与实际是有差距的,只有观念上的改变才是最重要、最彻底的改变。如果上市公司意识到投资者提供了上市公司发展壮大所需的资源,是上市公司“生死与共”、“肝胆相照”的伙伴,向投资者披露高质量的信息是上市公司义不容辞的责任,不披露、选择性披露和虚假披露都是对投资者不负责任的态度,其披露高质量信息的动机便会加强。因而,上市公司披露政策的改变实际上是一种披露态度的转变,即从“被动遵从”向“主动服务”的转变。
需要指出的是,内部控制信息披露的发展与完善不应该是单独地、孤立地进行的。信息规范者的最终目标应该是建立一个趋同的完整的公司报告概念框架(报表编制框架+信息披露框架),而内部控制信息披露只是表外信息披露的一个重要组成部分。在这方面,所罗门和普华永道等中介机构走在了前面。所罗门(Solomon,2000)等研究机构投资者提出了一个包括披露环境、风险披露形式、风险披露程度、风险披露地点、披露偏好及机构投资者态度等在内的风险披露的基本框架。PwC(2004)已着手研究的被其称之为“价值报告框架(Value Reporting Framework)”的公司报告框架,包含了所有行业、所有企业共同拥有的四大类信息:市场综述,由竞争环境、监管环境和宏观环境组成;战略与结构;价值管理,即财务和物质资源及其关系与公司风险管理所必需的程序;业绩,财务与非财务业绩。如果综合的公司报告框架被有关各方广泛认可的话,未来公司报告将发生革命性的变化。首先,公司要编制两套同等重要的报告——财务报告与内部控制报告;其次,审计人员要对两套同等重要的报告提供服务——财务报告审计与内部控制报告鉴证;最后,信息使用者特别是投资者要阅读两套同等重要的报告——财务报告与内部控制报告,在这两座“金山”中寻找“宝藏”。这将注定是一场轰轰烈烈的会计变革。