内部控制信息披露相关问题研究
2010-10-09太平洋证券股份有限公司谢元生
太平洋证券股份有限公司 谢元生
2008年6月,财政部、证监会等五部委联合发布了《企业内部控制基本规范》(以下简称基本规范),并已于2009年7月1日在上市公司范围内施行。此后,陆续发布了一系列的内部控制具体规范。被誉为中国的“萨班斯法案”的发布和实施,必将提高企业经营管理水平和风险防范能力,促进企业可持续发展,增强企业竞争能力,有利于资本市场的稳定。本文对我国内部控制信息披露的发展历程、主要变化及存在的问题进行研究。
一、内部控制评价的发展历程
(一)内部控制信息披露从无到有阶段
我国关于内部控制信息披露的研究起步较晚,在1986年的《会计工作基本规范》中首次引入内部控制概念,直到1996年财政部颁布的《独立审计具体准则第9号—内部控制与审计风险》中才给出内部控制较为完整的定义。在2000年证监会颁布的《关于公开发行证券的公司信息披露编报规则》中首次提出了内部控制信息披露问题,要求商业银行、证券公司应对内部控制制度的完整性、合理性和有效性做出说明,还应委托所聘请的会计师事务所对其内部控制制度,尤其是风险管理系统的完整性、合理性与有效性进行评价,提出改进建议,并出具评价报告。虽然只限于商业银行和证券公司,且规定披露的内部控制信息不够完善,但仍开启了我国上市公司内部控制信息披露的新纪元。
(二)内部控制信息披露发展阶段
进入21世纪以后,我国关于内部控制信息披露的问题取得了较快的发展,2001年初,证监会分别颁布了《公开发行证券的公司信息披露内容与格式准则第1号—招股说明书》和《公开发行证券的公司信息披露内容与格式准则第11号—上市公司发行新股招股说明书》,规定,发行人应披露公司管理层对内部控制制度完整性、合理性及有效性的自我评估意见。经注册会计师审查后,内部控制在完整性、合理性及有效性方面存在重大缺陷的,公司应披露并说明审计意见。2001年年底证监会又发布了《公开发行证券的公司信息披露内容与格式准则第2号—年度报告》,提出监事会发表的独立意见应包括是否建立完善的内部控制制度”等。虽然上述规定主要针对上市公司发行新股时进行内部控制信息披露,但披露范围也由金融行业覆盖到了所有行业。
(三)内部控制信息披露完善阶段
2006年,上海证券交易所和深圳证券交易所分别发布《上海证券交易所上市公司内部控制指引》、《深圳证券交易所上市公司内部控制指引》,两个指引均要求上市司在年报中披露内部控制制度的制定和实施情况,并明确了公司董事会对内部控制制度负责,董事会应形成内部控制自我评价报告。内部控制自我评价报告可随年报一起公布,并聘请注册会计师对公司内部控制自我评价报告进行审计。从两个指引可以看出,我国内部控制信息披露不在局限于发行新股的公司,覆盖了所有行业的所有上市公司,披露内容也更加完善,2008年财政部、证监会等五部委联合发布的《企业内部控制基本规范》及《企业内部控制具体规范—内部控制评价指引》(征求意见稿)进一步完善了我国内部控制信息披露制度,标志着我国内部控制信息披露制度整体框架完成。
二、内部控制信息披露的主要变化
(一)变更了责任主体
2006年上交所和深交所发布的《内部控制指引》关于内部控制披露条例中要求审计委员会负责审核公司内部控制制度及其执行情况。新的内部控制评价指引第七条中明确规定企业董事会及其审计委员会负责领导本企业的内部控制评价工作。监事会对董事会实施内部控制评价进行监督。责任主体由审计委员会变更为董事会和审计委员会。责任主体的变更彰显内部控制制度的建立和完善在公司治理中的作用。
(二)扩大了披露内容
在2006年上交所和深交所发布的《内部控制指引》中规定上市公司可在年度报告中增加内部控制建设和执行一节,主要内容包括四个部分:①介绍公司内部控制建设和执行情况。②介绍上一年度内部稽核发现的内部控制缺陷及异常事故改善情况。③说明公司内部控制情况是否与与要求存在差异及差异情况。④说明公司内部控制的改善措施及具体时间安排。新的内部控制评价指引中,要求内部控制评价报告至少包括以下内容:①内部控制评价的目的和责任主体。②内部控制评价的程序和所采用的方法。 ③内部控制评价的内容和所依据的标准。 ④衡量重大缺陷严重偏离的定义,以及确定严重偏离的方法。⑤被评估的内部控制整体目标是否有效的结论。⑥被评估的内部控制整体目标如果无效,存在的重大缺陷及其可能的影响。⑦造成重大缺陷的原因及相关责任人。 ⑧所有在评估过程中发现的控制缺陷,以及针对这些缺陷的补救措施及补救措施的实施计划等。
以上对比发现,新的内部控制评价信息披露的内容更加广泛、完整。
(三)规范了披露的方式
在在2006年上交所和深交所发布的《内部控制指引》规定上市公司董事会可依据公司内部各部门(含分支机构)、控股子公司的自行检查报告,以及内部稽核部门发现的内部控制缺陷及异常事项的改善情况,评估内部控制有效性,出具内部控制报告并与年度报告全文一起在指定网站上披露。以上规定说明,企业内部控制评价报告披露方式是自愿的,可以公开也可以不公开。而在新的内部控制评价操作指引中规定企业应当结合年末控制缺陷的整改结果,编制年度内部控制评价报告并在财务报告中披露。另外,还规定企业可以根据被评估的整体控制目标的不同,适当调整评价报告的内容。企业应当在评价报告中明确财务报表日之后截至内部控制评价日发生的、可能影响财务报告控制目标有效性的所有重大变化。内部控制规范中相关规定说明,内部控制评价内容要求强制披露。披露方式由自愿性到强制性。
三、内部控制信息披露存在的问题及建议
尽管内部控制规范对内部控制评价的规定较为完整,但仍然存在一些问题。主要体现在两个方面:
第一,缺少对内部控制评价的鉴证。内部控制规范中要求内部控制评价报告经董事会同意后公布,只要求企业可自愿聘请会计师事务所对内部控制制度的完整性、合理性、有效性进行评价,提出改进意见,没有强制要求注册会计师对内部控制度的真实性出具鉴证报告。
企业内部控制制度是否健全、有效是注册会计师作为独立的第三方对财务报告出具审计意见时的重要依据,因此,为保证内部控制信息的真实性,有必要让注册会计师对内部控制做出评价并出具审计意见。在操作层面可以借鉴注册会计师对财务报表出具的审计意见类型,要求注册会计师出具标准无保留、保留、无法表示意见、否定意见的审核报告,方便投资者识别上市公司内部控制信息披露的可靠性。
第二,缺乏内部控制评价标准。内部控制评价信息的披露是建立在真实、客观的评价基础上的,但内部控制规范中的评价方法只是规范性的文字,没有给出明确的标准,这使得内部控制评价信息不具备可比性。另外,文字性质的内容一般没有绝对的标准,可能会会误导信息使用者的理解,从而做出不合理的决策。
因此,为量化内部控制评价披露的信息,有必借鉴国外经验,建立内部控制评价指标,引入信息披露指数。在建立信息披露指数时,先明确影响内部控制有效性的主要因素,然后赋予一定的分值和权数。企业进行内部控制自我评价时应当按照信息披露指数的要求自我打分,然后由注册会计师进行鉴证并出具鉴证报告,发表审计意见。这样以来,可以提高内部控制评价信息的可比性和可理解性,有利于信息使用者做出合理的决策。
[1]财政部、证监会、审计署、银监会、保监会.《关于印发〈企业内部控制基本规范〉的通知》.财会[2008]7号
[2]财政部.《关于印发〈企业内部控制规范—基本规范〉和17项具体规范(征求意见稿)的通知》.财会[2007]7号
[3]惠全红.我国上市公司内部控制信息披露的思考。会计之友.2008,(7)
[4]秦冬梅.上市公司年度报告内部控制信息披露探讨》。财会通讯.2007,(11)