吴国萍/蒋丽霞
随着中外财务欺诈案的频频曝光,上市公司内部控制及其有效性备受质疑,内部控制信息披露问题的研究成为人们关注的焦点。美国《萨班斯—奥克斯利法案》(以下简称SOX法案)出台4年后,我国分别于
一、内部控制信息披露规则研究
我国的内部控制信息披露规则最早出现在金融类上市公司,大量的非金融类上市公司处于自愿性披露阶段。美国的SOX法案出台后,中国学术界开始了是否制定规则、强制性要求上市公司披露内部控制信息的讨论。
朱荣恩、应唯从美国SOX法案404条款出发,在研究了财务报告内部控制有效性及SEC提案和AICPA征求意见稿的基础上,指出应通过法律法规形式对内部控制有效性评价提出明确要求,并建立起包括评价标准、评价内容和评价时间、范围等在内的评价规则。①陈关亭、张少华采用问卷调查和分析论证的方式,提出我国应当要求所有上市公司在年报中披露内部控制报告以及注册会计师的审核意见;首次提出制定上市公司内部控制指引的建议。②周勤业、王啸从美国SOX法案以及SEC出台的有关规则出发,研究了内部控制信息披露中的披露性质、披露内容、审计验证、评价依据及责任主体问题,并结合我国公司治理环境、制度背景,从财务报告内部控制信息披露视角指出我国需构建包括披露内容、评价及审核标准在内的一整套披露规则。③缪艳娟在分析我国上市公司内控信息披露规则存在的问题基础上,建议借鉴英美内部控制信息披露规则中的合理理念,建立一套相互衔接的内部控制信息披露规则体系;对狭义内部控制信息的披露进行强制性要求;对广义内部控制信息的披露予以规范和引导。④杨华介绍了美国内部控制鉴证业务的新变化,并将其与我国的相关规定进行比较,建议在我国内部控制鉴证业务中建立逻辑统一的内部控制框架,让管理层提供“可审计”的内部控制制度。⑤陈敏、邵志高针对我国内部控制信息披露缺乏硬性要求、格式和内容不详细、评价缺乏统一标准以及责任主体不完全到位等问题,提出通过借鉴美国经验完善内部控制信息披露的建议。⑥
二、内部控制信息披露现状及改进研究
内部控制信息披露现状及改进研究成为内部控制信息披露文献的主要内容。相关学者多借助于上市银行的分析框架,以年报中的内部控制信息为依据展开讨论,不涉及配股等情况下的内部控制信息披露。强制性披露规则⑦出台后形成明显的差异。
1.强制性披露规则出台前的研究
我国强制性披露规则出台前,除金融类上市公司外,均属自愿性披露。尽管年报中的披露位置多,内容差异大,内部控制信息的提取带有较大的主观随意性,但内部控制信息披露形式化问题已达成共识。
张立民、钱华以我国上市银行对内部控制信息的披露作为分析框架,对2001年和2002年A股ST公司内部控制信息披露做了统计分析,结果表明ST公司2002年的披露状况比2001年有所改善,但是不少公司年报中的披露前后矛盾,且大多倾向披露好的信息。建议ST公司强制性披露标准的、经过注册会计师审核的内部控制报告,监管部门还应加强对内部控制报告的外部监督和管理。⑧李明辉、何海对我国2001年上市公司年报中的内部控制信息披露状况进行了分析,发现1147家上市公司中,共有884家(77.07%)披露了内部控制信息,但只有4家银行、证券公司全部披露了内部控制有关信息,其他880家公司大多数的信息披露流于形式,且自愿性披露动机不强。建议对有关规定进行改进,对内部控制信息披露作出具有可操作性的规定,并加强注册会计师对披露的审核。⑨
2.强制性规则出台后的研究
2006年中国版的SOX法案出台后,国内学者多以《上交所内控指引》、《深交所内控指引》为分析框架,以非金融类上市公司年报为研究对象描述内部控制信息披露现状并提出改进意见。
秦冬梅按照时间顺序分析了上市公司内部控制信息披露的要求,并结合2006年年报分析披露现状,发现内部控制信息披露较2005年有所进步,但2006年仅有6家上市公司按要求披露了内部控制自评报告及会计师事务所的核实意见;且内部控制信息的披露格式不一,内容简单。秦冬梅、黄秋敏选取2005年在深市公开发行的A股上市公司年报进行研究,发现528家一般性上市公司有428家(81.06%)披露了内部控制信息;监事会对内部控制发表意见的有383家(72.54%),董事会提到内部控制制度建立和实施情况的有160家(30.3%),上市公司自愿性披露动机不足,内部控制信息披露的规定未得到有效执行。并对上市银行2001—2006年报中所披露的内部控制信息进行了分析,发现其内部控制信息披露存在着内容过于简单、风险制度设计欠缺的问题。⑩李晴阳和杨有红、汪薇针对《上交所内控指引》和《关于做好上市公司2006年年度报告工作的通知》中的规定,运用描述性统计方法对2006年沪市年报内部控制信息披露的现状进行分析,发现上交所内部控制信息强制性披露规则并未得到有效执行,上市公司自愿披露的动机不足;自我评估报告和核实评价缺少统一的标准。(11)吴劭堃对我国2006年沪市上市公司年报中的内控信息披露状况进行了分析,发现:随着《上交所内控指引》的发布,内部控制信息的披露情况有了较大的改进;但强制性披露规则的执行效果较差,出具自评报告和注册会计师审核报告的公司较少,质量参差不齐。(12)陈丽琴、封华在回顾了内部控制信息发展历程的基础上,从2006年在沪市公开发行A股的832家上市公司中分行业采用系统选样法随机抽取了200家作为调查样本,研究其年报中的内部控制信息披露情况,发现内部控制信息披露的规定并未得到有效执行,公司本身对内部控制制度缺乏正确认识,我国上市公司管理层有隐瞒不利信息的动机。(13)瞿辉、李明以民生银行为例,分析了我国上市银行内部控制的实质性漏洞信息披露现状,发现年报中各部分披露的内部控制信息含量差异较大,内部控制自我评价报告和内部控制审核报告缺乏统一的评价审核依据,内部控制中的实质性漏洞倾向于同责任划分的缺失和不恰当的授权、培训的缺乏、不适当的对账相联系。(14)
以上研究虽然视角不同,但结论基本殊途同归:强制性披露规则并未得到有效执行。应进一步完善披露规则,改进内部环境,强化核实评价,加大监管力度。
三、内部控制评价及审核研究
内部控制评价及审核是制约对外披露的内部控制信息质量的两个重要因素。相关的研究随着内部控制概念界定的差异以及评价标准选择的不同而表现出鲜明的层次性。
1.会计视角的研究
周春喜利用层次分析法建立了内部会计控制多层次指标体系,讨论了模糊综合评价模型,并对内部会计控制进行综合评价,对定性指标进行定量化处理。(15)李晓燕、田也壮在组织循环理论的分析框架下,以新《企业财务通则》为蓝本,吸收COSO框架与国际标准化组织制定的质量保证标准ISO9001先进理念,将内部控制制度与内部财务控制有效性评估标准的确立有机结合,创建了持续改进的我国内部财务控制有效性评估标准,力图解决国际公认的评估标准在中国本土化的问题和实践操纵层面上的应用问题。(16)池国华认为《中央企业财务内部控制评价工作指引》缺少对内部环境的评价,缺乏对企业非财务部门的评价,缺乏细化每一项指标的计分方法。建议将内部控制评价的范畴从财务领域扩展到非财务领域,将内部环境要素纳入内部控制评价的内容之中。(17)
2.审计视角的研究
张龙平、朱锦余针对注册会计师对企业内部控制有效性进行评价并出具审核报告业务,指出内部控制评价属于注册会计师的审核业务,应从内部控制评价的性质、范围、目标、评价标准、责任划分等方面探讨与内部控制评价相关的理论问题,为我国注册会计师相关鉴证准则的制定和实务工作提供参考。(18)王敏认为注册会计师的内部控制报告评价是对被审计单位内部控制制度进行分析和评价,目标是对被评价企业内部控制的完整性、合理性及有效性发表意见。(19)杨金、张凌云从审计视角提出了计算机信息系统内部控制评价的十大步骤,用以评价计算机系统内部控制的有效性,对其弱点进行检查,并提出内部管理建议书。(20)夏志勤从内部控制评价服务于企业即内部审计的视角,采取对内部控制评价指标单项分档打分,用对各部分、项目进行权重分配的方法构建出企业内部控制评价指标体系。(21)
3.管理视角的研究
王立勇运用可靠性理论和数理统计方法来构建内部控制系统评价的数学分析模型,利用该模型计算程序的可靠度和系统可靠度,为内部控制评价提供一种客观的分析框架,从而判断内部控制的效果,为管理层更好地设计、分析或评价内部控制以及改善审计师的内部控制系统鉴证工作提供参考。(22)何芹分析了包括注册会计师、内部审计师、管理层三个不同的评价主体在内部控制评价目标、范围、方法、内容和程序上的差异后,预测了内部控制未来的发展趋势。指出评价主体进一步多元化、企业管理层和员工将成为最重要的评价主体。(23)徐国强、邓亚丽针对我国内部控制评价局限于注册会计师评价、缺乏评价客体自我评价的现实,提出了多层次内部控制自我评价体系在我国的运用对策。(24)骆良彬、王河流把上市公司内部控制整体框架分解为三级指标体系,采用层次分析法确定各指标的权重,再结合专家打分,确定各指标的隶属度,建立模糊综合评价指标体系,实现对内部控制质量评价指标从定性评价到量化评价的模糊映射,为内部控制质量提供一种可行的科学方法。(24)陈汉文、张宜霞认为评价企业内部控制的方法总体上可以分为详细评价法和风险基础法两种,风险基础法相对来说具有更高的成本效益和效率。政府监管部门应当规范风险基础的评价方法,引导企业管理层和注册会计师通过实施风险基础法来评价和审计内部控制。(25)
4.评价方法及应用的研究
王留根将层次分析法的原理和方法运用于商业银行内部控制评价中,对评价指标进行定量分析,为商业银行内部控制评价中确定权数提供依据和奠定基础。(26)韩传模、汪士果在利用三维结构解析企业内部控制系统的基础上,建立基于风险导向、示意结构的递阶层次指标体系,引进AHP系统工程方法,使内部控制评价实现定量化,得出企业针对主要业务流程和关键控制措施、主要风险因素、整体或单项控制目标的内部控制有效性、健全性和遵循度评分,为企业和注册会计师执行内部控制基本规范、开展内部控制有效性评价提供灵活适用的技术工具。(27)于增彪、王竞达等采用实地研究法详细探讨了亚新科技安徽子公司如何设计和应用内部控制评价体系,并探讨了其中的关键问题。(29)张谏忠、吴轶伦以中国航油的暴仓事件为反面案例,对内部控制自我评价的理论背景和基本特征进行介绍,并着重介绍了这一方法在上海宝钢国际经济贸易公司的实施及实施后的一些思考。(30)徐程兴根据COSO报告关于内部控制构成要素的理论,建立了底层的内部控制评价指标体系,并利用灰色系统理论对企业内部控制制度进行评价。(31)
四、内部控制信息披露影响因素研究
我国内部控制信息披露影响因素的研究主要以上市公司年报为依据,从内部治理、注册会计师审计质量角度进行研究。
李明辉、何海对我国2001年上市公司内部控制信息披露状况进行了分析,发现内部控制信息披露与财务报告质量、公司质量之间可能存在一定的关联,高质量的公司披露内部控制信息的动力高于低质量的公司,标准无保留审计意见的公司披露情况好于非标准无保留意见的公司。(32)宋绍清、张瑶选取2006—2007年在上交所和深交所上市的全部A股公司作为研究样本,对上市公司治理特征与内部控制信息披露之间的关系进行了验证分析,发现上市公司设有审计委员会会对内部控制信息披露程度产生积极影响;投资者法律保护程度、证券交易所治理机制与上市公司内部控制信息披露程度存在正相关关系。(33)李少轩、张瑞丽随机选取2006年167家上市公司的年报,通过建立主成分Logistic回归模型分析我国上市公司内部控制信息披露的影响因素,发现上市公司内部控制信息披露受公司股权结构、公司质量和审计中介等因素的制约,而公司治理、公司规模则不具有影响力。(34)林斌、饶静以2007年沪深两市主板1097家A股上市公司为研究对象,基于信号传递理论对我国上市公司为什么自愿披露内部控制鉴证报告进行了理论分析和实证检验,发现内部控制资源充裕、快速成长、设立了内审部门的上市公司以及有再融资计划的公司更愿意披露内部控制鉴证报告,而上市年限长、财务状况差、组织变革程度高及发生违规的公司则不愿意披露鉴证报告。(35)
五、简评与展望
我国有关内部控制信息披露问题的研究起步晚,受美国规则及国内实务的影响较大,研究还不够深入。本文结合中国的制度背景提出以下评述与展望。
第一,国内学者关于内部控制信息披露规则的研究,以介绍国外的研究成果,尤其是美国的SOX法案为主,在是否出台强制性规则方面基本达成共识,其要求出台强制性披露规则的呼声促成《上交所内控指引》、《深交所内控指引》的出台,也为《内部控制基本规范》的颁布提供了参考。
第二,有关内部控制信息披露现状及改进的研究处于表面化层面。强制性披露规则出台前,以金融类上市公司披露规则为分析框架,在年报的监事会报告、董事会报告、重大事项、公司治理等位置提取数据进行分析,并将分析结果与批露规则进行比较,揭示差异,提出改进意见。强制性披露规则出台后,研究者较多关注年报中的董事会报告,并出现向内部控制自我评价报告转移的趋势;在强制性披露规则没能有效执行,内部控制信息审核及监管薄弱方面基本形成一致意见;但因缺乏深入调查研究和有力证据,目前并未揭示出令人信服的内部控制信息披露的规律及其成因,相应的对策针对性较差。
第三,关于内部控制评价和审核的研究由于视角的多样化,并未在评价主体、评价标准、评价方法上达成共识。内部控制信息质量对投资人和债权人的投资决策意义重大,高质量的内部控制信息有赖于上市公司管理层客观的自我评价和注册会计师公正地出具审核意见,这需要一套恰当的内部控制评价标准。随着《内部控制基本规范》的实施,两个交易所“内部控制指引”的贯彻落实,以及《企业内部评价指引》(征求意见稿)、《企业内部鉴证指引》(征求意见稿)和《内部控制应用指引》(征求意见稿)的出台,有关内部控制评价标准及与之相关的内部控制自评报告鉴证报告的格式、内容、内部控制质量特征的研究将成为未来研究的热点。
第四,内部控制信息披露行为受公司内外多重因素的制约,如股权结构、内部治理机制、审计质量和监管力度。国内已有的研究以关注内部治理机制和审计质量为主,有关股权结构及证监会、证券交易所,特别是监督部门监管因素的研究还很缺乏。随着《内部控制基本规范》及其应用指引、“强制性披露规则及其指导”的颁布和实施,未来的研究将以年报、内部控制自评报告、监管部门处罚公告和翔实的调研资料为依据,以实证方法为工具,逐渐形成关于内部控制信息披露影响因素的有说服力的证据。
注释:
①朱荣恩、应唯:《美国财务报告内部控制评价的发展及对我国的启示》,《会计研究》2003年第8期。
②陈关亭、张少华:《论上市公司内部控制的披露及审核》,《审计研究》2003年第6期。
③周勤业、王啸:《美国内部控制信息披露的发展及其借鉴》,《会计研究》2005年第2期。
④缪艳娟:《英美上市公司内部控制信息披露制度对我国的启示》,《会计研究》2007年第9期。
⑤杨华:《浅议美国内控鉴证业务的新发展及对我国的启示》,《财务与会计》2007年第8期。
⑥陈敏、邵志高:《借鉴美国经验——完善我国企业内部控制信息披露》,《财务与会计》2008年第1期。
⑦本文视《上交所内控指引》和《深交所内控指引》为强制性披露规则。
⑧张立民、钱华:《内部控制信息披露的现状与改进——来自我国ST上市公司的数据分析》,《审计研究》2003年第5期。
⑨李明辉、何海:《我国上市公司内部控制信息披露状况的分析》,《审计研究》2003年第1期。
⑩秦冬梅:《上市公司年度报告内部控制信息披露探讨》,《财会通讯》2007年第11期。
(11)李晴阳:《上市公司内部控制信息披露改进建议》,《财会通讯》2008年第10期;黄秋敏:《上市银行内部控制信息披露状况分析——以2001~2006年度报告为研究对象》,《审计研究》2008年第1期;杨有红、汪薇:《2006年沪市公司内部控制信息披露研究》,《会计研究》2008年第3期。
(12)吴劭堃:《上市公司内部控制信息披露现状分析——基于沪市2006年报的调查》,《财会通讯》2008年第4期。
(13)陈丽琴、封华:《我国上市公司内部控制信息披露分析》,《财会通讯》2009年第5期。
(14)瞿辉、李明:《上市银行内部控制实质性漏洞披露现状研究——基于民生银行的案例分析》,《会计研究》2009年第4期。
(15)周春喜:《内部会计控制评价指标体系及其评价》,《审计研究》2002年第4期。
(16)李晓燕、田也壮:《持续改进的企业内部财务控制有效性标准的研究——基于组织循环理论的分析框架》,《会计研究》2008年第5期。
(17)池国华:《完善内部控制制度的关键在于评价——〈从中央企业财务内部控制评价工作指引〉谈起》,《财务与会计》2008年第6期。
(18)张龙平、朱锦余:《关于注册会计师对内部控制评价的理论思考》,《审计研究》2002年第4期。
(19)王敏:《谈谈内部控制报告评价》,《财会通讯》2002年第4期。
(20)杨金、张凌云:《计算机信息系统内部控制评价十步骤》,《财会通讯》2002年第4期。
(21)夏志勤:《企业内部控制评价指标体系构建》,《财会通讯》2007年第8期。
(22)王立勇:《内部控制系统评价定量分析的数学模型》,《审计研究》2004年第4期。
(23)何芹:《内部控制评价的比较分析》,《财会通讯》2005年第11期。
(24)徐国强、邓亚丽:《多层次内部控制自我评价及预警初探》,《财会通讯》2005年第9期。
(25)骆良彬、王河流:《基于AHP的上市公司内部控制质量模糊评价》,《审计研究》2008年第6期。
(26)陈汉文、张宜霞:《企业内部控制的有效性及其评价方法》,《审计研究》2008年第3期。
(27)王留根:《层次分析法在商业银行内部控制评价中的应用》,《财会通讯》2009年第1期。
(28)韩传模、汪士果:《基于AHP的企业内部控制模糊综合评价》,《会计研究》2009年第4期。
(29)于增彪、王竞达、瞿卫青:《企业内部控制评价体系的构建——基于亚新科技工业技术有限公司的案例研究》,《会计研究》2007年第3期。
(30)张谏忠、吴轶伦:《内部控制自我评价在宝钢的运用》,《会计研究》2005年第2期。
(31)徐程兴:《企业内部控制制度灰色评价方法研究》,《财会通讯》2008年第1期。
(32)李明辉、何海:《我国上市公司内部控制信息披露状况的分析》,《审计研究》2003年第1期。
(33)宋绍清、张瑶:《基于公司治理视角的内部控制信息披露影响因素分析——来自中国A股市场的经验证据》,《财会通讯》2008年第10期。
(34)李少轩、张瑞丽:《上市公司内部控制信息披露影响因素研究——基于沪、深上市公司的实证分析》,《财会通讯》2009年第3期。
(35林斌、饶静:《上市公司为什么自愿披露内部控制鉴证报告?——基于信号传递理论的实证研究》,《会计研究》2009年第2期。^
转自《社会科学战线》(长春)2009年10期第75~80页
【作者简介】吴国萍,东北师范大学商学院教授,