论上市公司内部控制披露及其审核
 陈关亭    张少华
(清华大学会计研究所 100084 大连市商业局 116014)
【摘要】 内部控制的完善与否和执行情况,直接影响着上市公司的经营管理业绩、财务报告质量和法律法规遵循情况,并因而逐渐成为投资者和监管机构的关注焦点。对于上市公司内部控制的披露及其审核问题,本
文经问卷调查和分析论证,认为我国应当强制要求所有上市公司在年报中披露内部控制报告
,并要求注册会
计师对该报告发表审核意见。
【关键词】 内部控制报告 披露 审核
  目前美国和我国台湾地区均强制要求上市公司在年度报告中披露内部控制报告,并要求注册会计师对该
报告发表审核意见。而我国除公开发行证券的商业银行、保险公司和证券公司外,其他上市公司不需在年报中披露内部控制报告。对于我国上市公司应否在年报中披露内部控制报告,以及该报告应否由独立审计师进行审核等问题,本文将结合调查数据,予以分析论证,并修正笔者等在《上市公司内部控制报告的调查研究》中的若干观点。
  一、内部控制报告在我国的调查与分析
  为了提供经验数据的支持,2003年2月至8月我们实施了专项问卷调查。本调查采用邮寄和在内部控制培训班中发卷方式,发出问卷320份,收回206份,回收率为6414%。调查对象涉及公司高层管理者(3614%)、财务主管(5010%)、注册会计师(618%)、监管机构(414%)及高校学者(214%);调查内容包括内部控制、内控报告、强制性内控报告、内控报告的审核;问卷设计采用Likert五点评分法,即对每个问题的意见,从1到5依次表示极为反对、比较反对、不确定、比较同意、极为同意;统计分析包括均值、标准差和t检验值,双侧t检验的目的在于判断均值是否显著地偏离3,即调查结果是同意、不同意还是不确定。下文中Qn、 X n分别表示问卷中第n个问题及其均值。
(一)内部控制报告
美国支持内控报告的主要观点认为,内控报告可以:(1)为外部决策者提供附加信息;(2)促使管理层提高内部控制的有效性;(3)改进控制评估程序(Lightle,Willis,1995)。2000年,Hermanson以问卷调查的方式,考
察了美国银行家、证券经纪人、公司董事、公司主管、分析师、机构投资者、个人投资者、注册会计师、内部审计师等9类财务报表使用者对内部控制报告的需求。其调查结论为:(1)强烈肯定内部控制对企业管理和减少错弊的作用;(2)认为内控报告可以促使管理层改进内部控制、加强监督,加上审计师的验证则可进一步强化这一作用。
为验证我国各界对上述观点的认可程度,本文所设计的调查问题及调查结果见表一。
分析上列统计数据和t检验值,可归结出如下结果:
结果1:内部控制重要。样本总体高度同意内部控制对于减少管理错弊( X3=4147)、减少会计错弊( X1=4133)、提高经营效率和效果( X4=4132)、保证财务报告质量( X2=4125)、促使企业遵守法律法规( X5=4104)和降低内审成本( X6=3198)的作用,标准差均<1,并且t检验值显著。表明回答者集中并且充分肯定内部控制对于经营活动、财务报告、法律法规遵循的保证作用。此结果与Herman2 son的调查结果一致。
结果2:内控报告有效。样本总体在较高程度
43
表一 调查结果:内部控制及其报告
调查问题统计结果
一、内部控制均值标准差t值①11有效的内部控制可以减少会计错误和舞弊。413301991419104 21不良的内部控制会降低财务报告的质量。412501988218107 31有效的内部控制可以减少管理失误和舞弊。414701771527123 41有效的内部控制可以提高经营活动的效率和效果。413201845322134 51有效的内部控制可以促使企业遵守国家法律法规。410401964315143 61有效的内部控制可以降低内部审计成本。319801941414187二、内部控制报告
71提供内控报告可以激励管理层改进其内部控制系统。319601841916126 81提供内控报告可以激励内部审计或审计委员会加强对财务报告程序的检查和监督。318401909113120 91报告内部控制可以更好地防止企业重大舞弊。317901********* 101报告内部控制可以提高公司财务报告的质量。318101969811198 111报告内部控制可以使年终财务报表出现错误的风险降低。31580199978113
121与单纯的财务报表相比,内控报告结合已审财务报表,可以更好地反映公司的管理状
况、盈利潜力和长期生存能力。
319301949513198 131关于内部控制有效性的报告可以为外部决策者提供有用的信息。319401945014126 141内控报告使用者所获得的收益将超出报告编制者所花费的成本。3155110763712
7 151如果发现企业内部控制存在重大缺陷,应在报告中指出该项缺陷。414601795926113
上肯定提供内控报告对于改进内部控制( X7= 3196)、提供附加信息( X13=3194、 X12=3193)、加强内部监督( X8=3184)、改进财务报告( X10=3181, X11=3158)以及防止企业舞弊( X9=3179)的作用,而且认为报告的收益将超过其成本( X14=3155), (除Q14外)标准差均<1,t检验值显著。表明回答者比较同意内控报告对于向外部决策者提供附加信息、促使管理层改进内部控制和财务报告的积极效用。
推论:结果1验证了“内部控制的重要性以及其同财务报告的关联性”在我国同样成立;结果2证明了在我国同样认可内控报告的有效性和必要性。由此推论:我国上市公司应该报告内部控制。本论点的理论依据和现实意义,可进一步分析如下。①11内部控制报告可以为外部信息使用者提供附加信息。目前我国上市公司会计信息失真问题比较严重,以致投资者对上市公司的信息披露缺乏信心。有调查表明,个人投资者认为上市公司披露的财务信息完全可信或基本可信的比例不到40%,而机构投资者也只有41141%认为财务数据基本可信,并且没有一家认为其完全可信②。可见,单纯的财务报告已不能满足投资者的需要,他们需要了解上市公司更多的信息。内部控制是对经营业绩和财务报告质量的合理保证,通过内控报告,投资者可以了解公司的内部控制设计是否完善、执行是否有效,进而判断经营业绩和财务报告是否可靠。调查结果显著支持本假设( X10=3181, X11=3158),并且认为同单纯的财务报表相比,内控报告结合经审计的财务报表可以更好地反映公司的经营状况和长期生存能力( X12=3193, X13=3194)。
21内部控制报告有助于企业改进内部控制系统,防止和发现错弊。提供内控报告需要对整个企业内部控制系统的运作情况进行自我评价和独立审核,这个过程有助于发现企业内部控制系统的薄弱环节,予以改进。同时,这个过程还可以直接发现企业中存在的错误和舞弊现象,并对员工起到一定的监督和威慑作用,从而减少错误和舞弊的发生。调查结果显著支持本论点( X15=4146, X9=3179)。
31内部控制报告有助于提升企业管理层的控
53①
②国泰君安证券研究所,全景网络有限公司,“上市公司信息披露质量调查分析报告”,《上海证券报》,2001。
t(df),α=t(205),0105=11972,下同。
制意识,并通过管理层改善控制环境,提高财务报告的可靠性。提供内控报告加大了企业管理层的法律责任,必然促使其提高对内部控制的重视程度。管理层控制责任和意识的提升,直接影响内部控制环境以至整体内部控制,并且会促使企业全体员工认真执行既定的控制程序和政策,调查结果支持本假设( X7=3196, X8=3184)。
(二)强制性内部控制报告
如果披露内控报告,那么应该要求上市公司自愿出具还是强制报告呢?2000年Hermanson的调查结果为:自愿的内控报告具有改进内部控制、提供附加信息以及改进财务报告的作用,强制的内控报告可以改进内部控制,但不确定其是否可以提供决策有用的信息。我们的调查证实,强制性报告能够提供决策有用信息并且回答者更加倾向于选择强制性报告,具体调查结果见表二。
表二 调查结果:强制性内部控制报告
调查问题统计结果
强制性内部控制报告均值标准差t值161提供强制性报告可以激励管理层改进其内部控制系统。31651115487198 171强制性报告可以激励内部审计或审计委员会加强对财务报告的检查监督。317901********* 181强制报告内部控制可以防止企业重大舞弊。31621107828116 191强制报告内部控制可以提高公司财务报告的质量。31651102788190 201强制的内控报告可以为决策提供有用的信息。31581101058115 211自愿的内控报告可以为决策提供有用的信息。317901992111128 221应该强制要求上市公司报告内部控制。412501907719153
  分析本组调查数据,并同表一中的对应数据比较,可归纳出如下结果:
结果3:强制性报告有效。样本总体同意强制性报告对于加强内部监督( X17=3179)、改进内部控制( X1
6=3165)、改进财务报告( X19=3165)、防止企业舞弊( X18=3162)以及提供决策有用信息( X20= 3158)的作用,(除Q17外)标准差>1、11972>t值> 10。表明回答者肯定强制性报告对于改进内部控制和财务报告的效用,也同意强制性报告对于提供决策有用信息的效用。
结果4:强制性报告必要。Q16-Q20及Q20的均值和t值,分别低于Q7-Q10、Q13及Q21的均值和t 值,但样本总体却高度同意应该强制要求上市公司报告内部控制( X22=4125,T22=19153),表明回答者虽然承认强制性报告的上述效用不及自愿性报告,但全面权衡利弊,却认为应采取强制性报告方式。
推论:结果3和结果4证实了强制性报告在我国的有效性和必要性,由此可以提出:我国应该强制要求上市公司报告内部控制。本论点的效用性、合理性和必要性,可进一步分析如下。
11强制报告的效用性推定。1996年,Mc2 Mullen,Raghunandan和Rama等人考察了内控报告与财务报告问题的联系。研究结果显示,四年内(198917-199316)样本总体(平均4154)中披露内控报告的比例均值为2615%,而有财务报告问题的公司自愿披露内控报告的比例较小(1015%),尤其是那些资产总额小于215亿美元的小公司,没有一家自愿披露内控报告。作者对结果的分析提出了两种假设,一是因果关系假设,二是自我选择假设。在因果关系假设下,管理层为提供内控报告会采取额外的措施,从而导致财务报告问题减少,因此,强制要求披露内控报告可以促使管理层改进财务报告。而在自我选择假设下,正是管理层自身的控制意识使得他们的财务报告没有问题才自愿提供内控报告,即自愿发布内控报告本
身就预示着公司没有重大的内部控制和财务报告方面的问题。强制要求内控报告不会改变根本的控制意识,内部控制也就不会得到改进。但在自我选择假设下,强制的内控报告加入审计师的审核可以改进内部控制。
21强制报告的合理性分析。因为信息披露的成本、泄密等不利因素,上市公司往往缺乏主动披露内控信息的足够动机,信息供给总体不足,而投资者出于规避风险的考虑,则需要充分了解相关信息,这自然就形成了期望差距。对于解决资本市场的信息不对称问题,哪种信息披露方式更加有效?抉择标准为:如果披露收益大于成本,上市公司有信息披露的足够动机则以自愿的方式披露;如果披露收益小于成本,上市公司没有信息披露的动机或动机不足,就只能以强制性的方式要求其披露。因此,对于那些上市公司不愿意披露而投资者又需要的信息内容,上文已经论证了内部控制信息正属于此类信息,就必须做出强制性披露的规定,以缩短上市公司自愿信息供给和投资者信息需求期望间的差距。
63
31强制报告的必要性论证。美国强制披露内控报告的背景,主要是安然公司、世界通信公司、施乐公司等系列假账丑闻严重打击了投资者的信心,导致美国股市狂跌,美国上下要求加强会计监管、严厉打击公司财务的呼声高涨。虽然强制报告会丧失自愿报告所具备的信号作用,但在上述情况下,最为重要的是稳定投资者信心,保护投资者利益,激活资本市场。目前我国上市公司恰恰也存在同美国类似的状况,尤其是近年来连续发生了被称为中国安然事件的“银广夏”以及“麦科特”、
“亿安科技”等上市公司欺诈案,致使投资者却步,资本市场低迷。在相同的背景下面对近似的问题,我国也有必要强制要求所有上市公司在年报中披露内部控制报告,以使外部信息使用者能够借助该报告判断公司的管理情况和财务报告质量,同时督促上市公司强化内部控制并借以减少公司丑闻和重大财务错弊。在本调查中,回答者强烈同意强制要求上市公司提供内部控制报告( X22= 4125),即对上述论证提供了强力支持。
(三)内部控制报告的具体要求
如果强制要求上市公司披露内控报告,那么有关权威机构需要首先制定报告的披露细则,包括内控报告的范围、时间、内容和形式。对此,下面在分析美国和台湾地区内控报告要素的基础上,结合调查数据(见表三),提出若干设想。
表三 调查结果:内部控制、报告与审核
调查问题统计结果
内部控制、报告与审核均值标准差t值231现代内部控制不应仅局限于会计控制,而应拓展为企业整体控制。417301278736148 241将内部控制划分为会计控制和管理控制,在实践中难以操作。31271118213122 251该报告只需涉及与财务报告有关的内部控制。210411********* 261该报告应该是关
于某一时点(而不是某段期间)内部控制的判断。21711134083104 271该报告应该声明内部控制系统整体设计是否健全。319611********* 281该报告应该声明内部控制系统整体执行是否有效。412001826820175 291该报告应该包含对内部控制系统固有缺陷的说明。410301969715109 301该报告应该说明所依据的内部控制规定或评价标准。319401924014151 311该报告的可靠性应该由企业总经理承诺负责并签字认可。411011114314111 321该报告应该使用标准化用语(而不是各公司各异)。31661115358111 331内控报告应由外部审计师进行审核。31561123746143 341外部审计师应该出具审核意见。31761120609100
  11范围
美国《萨班斯—奥克斯法案》将内部控制评价及披露的范围限定在与财务报告有关的内部控制中。而在此之前,Lightle和Willis对1998年美国财富100强公司的年报中内部控制信息披露状况的调查显示,除了与财务报告和资产安全有关的内部控制之外,半数以上的公司还提到了其他方面的内部控制,包括与营运目标和遵循目标相关的控制。2000年Hermanson的调查也表明,相对于狭义的财务报告控制,在广义的内部控制定义下,回答者更强烈地肯定内控报告对于改进内部控制和财务报告、以及提供附加信息的作用。另外,台湾对上市公司内控报告的相应规定是,其范围应涵盖公司各类内部控制制度的设计及执行。
在我们的调查中,回答者高度肯定现代内部控制不应仅局限于会计控制而应拓展为企业整体控制( X23=4173),反对该报告只涉及与财务报告有关的内部控制( X25=2104),而且认为将内部控制划分为会计控制和管理控制在实践中难以操作( X24= 3127)。本文认为,如果将内控报告局限在与财务报告有关的控制方面,其对于提供附加信息、提高财务报告质量的作用会被削弱。因此,内控报告应考虑控制环境、风险评估、信息与沟通、控制活动、监督等五项组成要素,其评价范围应包括会计控制和管理控制在内的整体内部控制的设计及执行情况。
21时间
内控报告限定的报告时间,可以是一定期间也可以是一个特定时点。选择时点或是期间,对评价、审核的重点和程序有较大影响。COSO报告倾向于某一特定时点的报告,认为这样可以使管理层关注于及时解决问题,而不是去披露已经得到改善的控制缺陷,而且成本较低。反对意见认为,内部控制是一个过程而不是某一特定时点的结果,针对某一时点的报告与持续监督的内部控制观念不一致。台湾目前即要求上市公司对整个会计年度内的内部控制进行评价。本文认为,尽管对某期间范围的内部控
73
制状况发表意见,成本较高,审核难度较大,但从效用优先原则考虑,我们认为应该对某一期间而不是某一时点的内部控制进行评价,以确实保证内控报告及其评价意见的可靠性。调查结果也反对时点性报
告( X26=2171)。
31内容
通过对美国、台湾现行做法以及相关文献的考察,本文认为而且调查结果也支持,内控报告应包括以下内容:
(1)声明内部控制系统整体设计是否健全、整体执行是否有效( X27=3196, X28=4120)。除了声明已建立了内部控制系统之外,管理当局还需在内控报告中对内部控制系统设计及执行的有效性做出声明。如果发现企业内部控制存在重大缺陷,则应当在报告中指出该项缺陷( X15=4146)。
(2)对内部控制系统固有缺陷的说明( X29= 4103)。
(3)说明所依据的内控规定或标准( X30= 3194)。
(4)由企业总经理签字,承诺对内部控制报告的可靠性负责( X31=4110)。
41形式
除了规定报告的内容外,有关权威机构还需对内控报告的形式做出规定。调查结果显示,回答者同意该报告使用标准化用语,而不是各公司各异( X32=3166)。
(四)注册会计师的审核
张少华
与财务报表一样,上市公司公布的内控报告也需由独立审计师提供合理保证。而且,审计师的加入将进一步提高管理层的控制意识,从而加强内控报告对于改进内部控制和财务报告的作用。本项调查结果也表明,回答者同意要求外部审计师对内控报告进行审核( X33=3156),并出具审核意见( X34= 3176)。关于审核范围,台湾《专案审查作业要点》仅要求对“与财务报告有关的内部控制,及与保障资产安全使资产不致在未经授权的情况下取得、使用及处置有关的内部控制”进行审查,本文认为这种做法值得商榷。前面已经分析了,为使内控报告发挥其应有的作用,其评价范围应为企业整体内部控制。如果仅要求注册会计师对“与财务报告和保障资产安全有关的内部控制”进行审核,那么内控报告整体的可靠性得不到保证,其作用同样无法实现。从注册会计师的专业能力来说,即使其不具有对经营管理等方面的内部控制进行评价的能力,也可以通过聘请有关方面的专家完成审核任务。
至于其他非上市公司,则可由其投资人、债权人等利益相关者决定是否聘请外部审计师审核并出具报告,公司也可自愿决定是否对外提供内控报告和独立审核意见。
  三、结论及建议
  调查和研究结论为:(1)内控报告具有提供附加信息、促进企业优化内部控制和财务报告的积极作用,为解决当前资本市场的信息不对称问题,我国应该强制要求所有上市公司在年报中披露内部控制报告。(2)
内控报告的范围应为企业整体控制;报告期限应为一段期间,而不是针对某一时点;披露的内容应充分传达关于内部控制完整性、合理性和有效性的信息,并提供管理层对报告可靠性的承诺;报告的格式应标准化、规范化,以提高信息的可比性。(3)内控报告应该由注册会计师审核并发表意见,审核范围和时间应与内控报告的范围和时间一致。
上述举措在我国实施,目前所面临的主要问题,是尚无针对性的内部控制标准及评估工具。对此,本文建议如下:
11制定上市公司内部控制指引。我国虽然颁发了《证券公司内部控制指引》、
《证券投资基金管理公司内部控制指导意见》、
《商业银行内部控制指引》,财政部也陆续推出了《内部会计控制规范》基本规范及3项具体规范的试行本,但它们或者对象不是针对上市公司,或者范围不是整体内部控制,这就导致无论是建立还是评价上市公司的内部控制,都缺乏统一的依据。因此,建议证监会尽快制定适用于各类上市公司的内部控制指引或规范,并规定内部控制信息披露的具体内容和格式,以作为上市公司建立、披露以及注册会计师评价内部控制的基本依据。
21制定内部控制评价工具。中国注册会计师协会《内部控制审核指导意见》规定了内部控制评价的范围
、程序、方法和报告等一般性要求,却没有提供评价内部控制的操作性工具。这就不能回答应该对上市公司的哪些控制内容和要点进行测试,以及测试结果符合什么标准应该出具何种类型的评价意见。笔者认为,美国COSO报告的评估工具,按照控制环境、风险评估、控制活动、信息与沟通、监督要素,具体列示评估要点,值得参考。建议中注协会同证监会,借鉴COSO报告中的评估工具,按照控制要素制定针对我国上市公司的内部控制评价工具。
(下转第24页)
83