上市公司内部控制信息披露研究——基于2012年沪市数据,本文主要内容关键词为:沪市论文,内部控制论文,信息披露论文,上市公司论文,数据论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
中图分类号:F239.4 文献标识码:A 文章编号:1671-6604(2013)06-0088-06
许多上市公司的衰败历史,就是内部控制失败的历史,近年不少上市公司舞弊案例,都是其内部控制制度失效造成的结果。越来越多的投资者已经意识到,一家有投资价值的上市公司不仅需要具有良好的经营业绩和发展前景,还必须拥有良好的内部控制。2008年,财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》,2010年五部委又发布了《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,这标志着我国企业内部控制规范体系基本形成。该规范及指引明确上市公司应定期对本公司内部控制的有效性进行自我评价,披露内部控制自我评价报告并聘请会计师事务所对财务报告内部控制的有效性进行审计。《企业内部控制配套指引》规定从2011年1月1日起由境内外同时上市的公司首先施行,从2012年1月1日起扩大到在上交所、深交所主板上市的公司施行。由于我国对于企业内部控制的研究起步较晚,内部控制信息披露建设也相对滞后,虽然近年来我国现行企业内部控制规范体系建设取得了较大的成绩,但仍然存在着一些问题。分析研究当前我国上市公司内部控制信息披露状况,有利于促进我国内部控制相关规范的顺利实施,有利于完善我国上市公司信息披露制度,有利于促进我国资本市场可持续发展。
一、国内外文献综述
国外对于内部控制的研究较早,理论也发展得比较成熟,内控信息披露的要求也经历了自愿披露与强制披露两个阶段。在法律法规方面,美国主要的规范是COSO(全国虚假财务报告委员会下属的发起人委员会)报告与SOX法案(《萨班斯法案》),COSO报告主要研究了内部控制设计和运行,而SOX法案则对内部控制信息披露提出了强制性的要求。此外,美国证券交易委员会(SEC)和美国公众公司会计监督委员会(PCAOB)针对在执行SOX法案404条款时出现的问题不断出台更新的相关规定,如2003年6月,SEC发布了第33-8238号《最终规则》,2007年5月24日,PCAOB投票通过第5号审计准则,为内部控制信息的良好披露提供了有力保障[1]。在学术研究方面,文献比较丰富,研究主要集中于内部控制报告披露的影响因素、内部控制信息披露的成本与效益、内控性缺陷影响等方面。McMullen等(1996)分析了内部控制报告与财务报告质量之间的关系,认为与没有财务问题且人员较少的公司相比,财务报告有问题的小公司披露内部控制报告的积极性较低[2]。哈姆佩尔报告(Hampel Report,1998)认为财务控制与其他控制很难区分,董事及管理人员应该对内部控制进行复核,且内部控制不应仅局限于公司治理的财务方面[3]。这些研究给国内研究提供很好的参考。
我国的内部控制信息披露研究时间不长,研究成果主要体现在:(1)对内部控制评价主体定位的研究。谭东华指出,在现阶段应把注册会计师的鉴证与内部审计的评价有机地结合起来,充分发挥两者优势,真正做好内部控制评价工作[4]。(2)内部控制信息披露影响因素研究。陈芸认为,股权性质与内部控制信息披露显著负相关,而公司治理结构、公司质量与公司规模对内控披露的影响不大[5]。(3)内部控制缺陷认定研究。王惠芳从规范制定思路及内控缺陷程度区分等方面出发,重构了内部控制缺陷认定的基本框架[6]。(4)内部控制存在的问题与改进。池国华等基于沪深两市数据,分析研究了辽宁省主板上市公司内部控制信息披露情况,并针对相关问题提出改善建议[7]。
二、2012年上市公司内部控制信息披露情况
(一)样本选择
为检验内部控制信息披露的最新状况,本文选取2012年度上市公司披露的内部控制信息为研究对象,由于沪、深交易所对内控自评报告披露的要求不同,因此深沪两市所披露的内部控制评价报告不具有可比性,而沪市内部控制信息披露与五部委发布的《企业内部控制基本规范》基本一致,因此本文选取截至2012年4月27日前在上海证券交易所网站公布年报的上市公司作为样本总体,从内部控制信息披露数量、披露内容和内部控制审计报告三个方面对内部控制报告及其联系进行研究①。
(二)内部控制自我评价报告披露情况
1.内部控制评价报告和内部控制审计报告数量情况。截至2012年4月27日,沪市954家上市公司中,董事会披露了内部控制自我评价的公司有646家,占总样本的67.71%,没有披露内部控制评价报告的有308家,占总样本的32.29%。在披露内部控制自我评价的646家公司中,有601家公司聘请审计机构进行了内控审计,占总数的93.00%。可以看到,上市公司披露内部控制信息的相关法规已经得到较好的实施,对聘请中介机构对内部控制审计的积极性也有较大提升,但仍有相当一部分公司未披露内部控制评价报告和内部控制审计报告。
上市公司没有全部披露内部控制评价报告及其审计报告的原因,一是部分公司推迟了内部控制评价报告的发布时间,另一个原因是财政部发布了《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》(财办会[2012]30号),在充分考虑上市公司的公司治理基础、市值规模、业务成熟度、盈利能力等方面差异的情况下,决定在主板上市公司分类分批推进实施企业内部控制规范体系。该《通知》要求,中央和地方国有控股上市公司在2012年度披露内部控制评价报告及其审计报告;而非国有控股主板上市公司且2011年12月31日公司总市值(证监会算法)在50亿以下的推迟到2013年披露;其他公司推迟到2014年披露;破产重整、借壳上市或重大资产重组等特殊情况公司则推迟到2014年以后实施。
2.内部控制评价报告披露的内容情况。《企业内部控制基本规范》及其指引和上交所、深交所发布的内部控制评价指引都要求披露内部控制自我评价报告,但是这几部规范中都没有对内部控制自我评价报告的内容、格式、披露的责任主体、披露的程度做出详细而具体的规定,使得内部控制自我评价报告披露的内容和格式的随意性较大,缺乏相关性、可比性,披露的内控信息也大都表面化、形式化,缺乏实质性内容。
随着境内主板上市公司2012年正式实施内部控制规范体系,一些如内控组织实施、内控实施的进度与重点、内控人才队伍培养等新情况和新问题也不断出现。为了稳步推进企业内部控制规范体系贯彻实施,财政部分别于2012年2月23日和2012年9月24日发布了《关于印发企业内部控制规范体系实施中相关问题解释第1号的通知》(财会[2012]3号)和《关于印发企业内部控制规范体系实施中相关问题解释第2号的通知》(财会[2012]18号),不但对内部控制披露的大部分问题进行了解释,而且制定了较为详尽的企业内部控制评价报告参考格式,这就使得2012年度上市公司内部控制评价报告整体相对规范,内容和格式也趋于一致,在一定程度上减少了内部控制披露的混乱,有利于内部控制评价指引的实施,也有利于使用者获取有效的内控信息。
3.上市公司内部控制自我评价报告的评价依据情况。从披露的依据来看,上市公司内部控制评价标准呈现多样化状态,样本中所有的上市公司把《企业内部控制基本规范》及其配套指引作为内部控制评价依据,部分公司除了运用《企业内部控制基本规范》外,还依据了《上海交易所企业内部控制评价指引》、《公司法》、《证券法》等(如表1所示)。评价标准不同,评价的结果可比性也就较差,所披露的内容不足以为信息使用者提供准确的信息,既影响到对企业经营和财务信息的有效监督,又影响了投资者的投资决策。
4.内部控制缺陷披露情况。第一,从披露内控缺陷公司数量来看,在646家披露内部控制评价报告的公司中,有321家公司披露内控缺陷,占49.69%,披露内控缺陷的公司接近半数(如表2所示),这说明我国上市公司披露内控缺陷的积极性有了很大提高,但是仍然有相当一部分公司的内控缺陷披露意识较差。此外,在所披露出来的缺陷中,大部分缺陷被归为一般缺陷,仅有3家上市公司承认存在重大的缺陷,重大缺陷率只有0.46%,缺乏足够的说服力。
第二,从内控缺陷披露的详细程度来看,有40.09%的公司既没有披露缺陷,也没有提出改进内部控制的意见;有10.22%的公司含糊其辞,不直接承认内控缺陷,而描述为公司出现了一些“问题”,并简略提出了一些改进措施;有31.89%的公司承认内控缺陷的存在,但也只是简单说明,几句带过,并没有指出具体的缺陷内容;有13.00%的公司指明了具体的内控缺陷,却没有提出相应的改进意见;只有4.80%的公司不但披露了具体缺陷,而且提出了相应的改进意见(如表3所示)。可见,上市公司披露内控缺陷具体内容及其改进意见的主动性不高,还有较大的提升空间。
第三,从内控缺陷种类分析,由图1可以看出,不同公司对内部控制缺陷产生的原因归结不同,在披露了具体内部控制缺陷的115家公司中,绝大多数存在公司制度建设不到位和自身执行能力不足的缺陷,有29家公司认为还存在风险管控能力不足的缺陷,还有12家和8家公司分别存在内部审计缺陷和对子公司的管控缺陷。
图1 内部控制缺陷的种类统计表
5.内部控制审计意见类型与内控信息披露关系。财政部、证监会、审计署、银监会和保监会要求执行内部控制规范体系的企业,必须聘请会计师事务所对其财务报告内部控制有效性进行审计。注册会计师对企业内部控制的设计和运行的有效性进行审计,不仅能推动企业内部控制建设,促进企业提升风险防范能力,而且有利于投资者和社会公众全面、及时地了解企业内部控制的真实情况,对保护投资者权益和社会公众利益具有重要作用。2012年度上市公司内部控制审计报告的意见类型如表4所示,审计意见类型与内控信息披露的关系如表5所示。
在表4中我们可以看到,601份内部控制审计报告中,被出具了标准的无保留意见审计报告的公司有584家,占97.17%;被出具非标准内部控制审计报告的公司有17家,占2.83%,其中,天津磁卡(600800)和北大荒(600598)被出具了否定意见的审计报告;金杯汽车(600609)和武昌鱼(600275)等15家公司被出具了带强调事项的无保留意见的审计报告。从披露的总体来看,注册会计师还是很认同上市公司出具的内部控制自我评价报告的。
另一方面,通过对不同审计意见类型的公司关于内控评价报告披露情况的分析,可以看出被出具标准无保留审计意见的公司全部披露了内部控制评价报告,而被出具非标准无保留意见的公司出具内部控制报告的比例不超过50.00%。标准无保留审计意见的公司披露情况好于出具非标准无保留意见报告的公司,这说明我国上市公司内部控制自我评价报告的披露与内部控制质量也存在一定的联系:公司内部控制质量较好,则披露内部控制评价报告的积极性就高;公司内部控制质量较差,则披露内部控制信息的动力就相对不足。
6.公司类别与内部控制信息披露的关系。2012年度我国上市公司中证券公司、商业银行全部披露了内部控制评价报告。ST公司披露比例为64.70%,与一般公司的69.63%还有一些差距,这说明高质量的公司对自己的财务报告更有信心,披露内部控制信息的动力也高于ST公司。但同时可以看到,ST公司的披露比例与一般公司距离正在缩小,说明2012年度ST公司的内部控制信息披露意识有了较大的提高。
三、几点启示
随着内部控制配套指引的颁布,我国内部控制建设有了很大的进步,2012年内部控制报告披露态势良好,报告数量和质量都有较大提升,但依然存在一系列问题。本文认为,改进上市公司内部控制信息披露,应由以下几个方面入手。
(一)完善内部控制评价体系,科学指导内控实践
在“2012迪博·中国上市公司内部控制指数发布会暨高峰论坛”上,财政部中国会计学会副会长、中国内部控制中心主任刘永泽强调:“如何衡量企业内部控制的质量是理论界与实务界的共同难题,其核心问题是评价主体缺少内部控制评价的标准”②。可见一套客观完整的内部控制评价体系对于我国企业内部控制的建设和完善至关重要,但由于我国内部控制起步较晚,至今我国没有形成一个明确、完善且具有高度认同感的内部控制评价体系,国内学者围绕内部控制评价作了一系列努力,也取得了很大的成果,但并没有形成一个完善的内部控制评价体系,在评价主体、评价指标、评价方法等方面尚未达成统一的意见,这就导致了我国企业内部控制评价缺乏强制性和规范性,出现了系统性和逻辑性不足、主观性和随意性较强、内部控制信息披露的弹性较大等问题。内部控制评价体系的不完善已是造成内部控制信息披露混乱的主要因素,必须建立一套科学合理的内部控制评价体系,为内部控制评价的实践提供有效指导。
(二)明确内部控制缺陷标准,规范内部控制缺陷认定
虽然在《企业内部控制配套指引》中规定,应对内部控制缺陷及其认定和整改情况进行披露,但是并未对控制缺陷进行明确的界定,实际操作中内控缺陷严重程度的认定、财务与非财务内控缺陷的认定等都存在一定的困惑,加之现阶段大多数上市公司管理层的内部控制评价没有遵循严格的程序,从而使我国上市公司披露的内部控制缺陷的信息含量不高,没有实质性的内容,披露内部控制存在不足的公司很少,即使提出来缺陷也都属于层次较高的、空洞的内容,几笔带过,信息含量严重不足。要确立内部控制缺陷的评定标准,本文认为,首先应当正确判断内控缺陷的类型,即判断其是属于财务报告内部控制缺陷还是非财务报告内部控制缺陷。其次,由于两种缺陷的控制目标、控制方法及应对措施不同,应采用定量和定性相结合的方法分别进行认定,对于财务报告内部控制缺陷,实行定量标准化,根据缺陷造成财务错报的可能后果分为一般、重要或重大内控缺陷;对于非财务报告内部控制缺陷,由于其影响到整个公司层面的运营,且量化操作较难,应采取定性化标准,取消一般缺陷和重要缺陷,仅保留重大缺陷,既提高了实务上的可操作性,又降低了企业的管理成本。
(三)强化内部控制评价意识,培植内部控制文化
内部控制的建立和执行是一个需要董事会、管理层和各级工作人员共同努力才能实现的过程。但目前对于我国大部分公司来说,尚未形成良好的内控文化,对内部控制的认识还停留在相对初级的阶段,缺乏对内控信息披露的积极性和主动性,所披露的内部控制自我评价报告透明度不高,大多流于形式。对于基层的工作人员来说,由于日常培训较少,专业素质参差不齐,使评价结果的规范性和评价质量受到影响。因此,应当加强宣传和教育,强化内部控制评价和披露意识,提高公司披露内部控制信息的积极性,增加信息披露的透明度,为内部控制得到更好的执行创造优良的环境。同时,企业内部控制制度要真正为企业实现其最终目标服务,不仅要有完善的内部控制体系和优良的内控环境,更需要有一批合格的、高素质的工作人员,要加强专业的内部控制培训,使工作人员熟悉岗位工作的职责要求,理解和掌握内控要点,积极参与内部控制,并根据时代进步不断加强后续培训教育,能保证内部控制从业人员保持严谨的工作作风和足够的专业胜任能力,不断提高内部控制的执行力。
(四)加大监管力度,促进信息披露有效执行
目前,我国对上市公司内部控制信息披露的监管体系还很不健全,对违反披露政策的行为缺少必要的法律惩戒手段。由于监管缺乏强有力的措施,未能从外部监督上促使企业进行恰当、准确的披露,这为上市公司的违规操作和非规范披露提供了可趁之机,影响内部控制信息披露的真实性,因此加强监管势在必行。本文认为应当从以下几个方面加强监管。
一是要构建完善的内部控制信息披露责任机制,在法律法规中进一步明确企业管理层及注册会计师的法律责任,把引导和处罚相结合,软硬兼施,提高其约束力。
二是要实行分类监管。可依据各上市公司内部控制水平进行内部控制评级,在此基础上实施分类监管、重点监管。对于内部控制水平较好的上市公司,可以给予政策扶持,而对于内部控制水平较差的上市公司,则重点监管,加大检查力度。
三是要加强对中介机构的监管。为避免自我评价的发生,应当加强对中介机构独立性的监管,加强对上市公司的自我评价报告、注册会计师的审核意见的监督,防止内控审计业务和内控咨询或评价业务捆绑,进而提高内部控制审计质量,避免内控审计流于形式。
从以上分析可以看到,2012年度沪市上市公司披露内部控制评价报告的总体形势良好,披露的数量和质量较往年有很大的提升。但由于目前上市公司内部控制信息披露体系并不完善,缺乏对内部控制信息披露的硬性要求,因此相关信息并没有被充分地披露。必须加强对各上市公司的监督与管理,不断完善企业内部控制信息披露的法律法规,同时加强管理当局对内部控制制度的认识,有效地维护我国证券市场的稳定与发展。
①所有有关内部控制的信息均由笔者手工整理,相关数据选自上海证券交易所网站,详见http://www.sse.com.cn。
②详见上海证券网站《上市公司内控报告披露比例逐年上升》,http://www.962518.com/topics/2012-09-26/3495866.html。
标签:企业内部控制基本规范论文; 自我评价论文; 企业内部控制评价指引论文; 内控体系建设论文; 内部控制缺陷论文; 内控管理论文; 上市公司信息披露论文; 内部控制目标论文; 缺陷管理论文; 风险内控论文; 财务报告论文;