内部控制披露:争论与思考——兼对SOX内部控制强制性披露的反思,本文主要内容关键词为:内部控制论文,强制性论文,SOX论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
如何抑制公司财务造假行为,提高财务报告信息的质量一直是各国资本市场监管的重中之重。2002年美国SOX法案提出了强制性内部控制披露的法定要求,揭开了重构和优化公司财务报告的整个制度结构和法律环境的序幕,其他国家包括中国也纷纷相继在本国着手实施类似的监管措施。但作为一项尚处于建设初期的制度,各国在具体制度设计及实务中存在严重分歧,特别是在公司管理者对内部控制的自我评估和审计师对内部控制审计的责任这两个问题上一直争议不断。在资本市场全球化背景下,实现内部控制披露规范的统一性无疑将是各国监管机构必须面临的问题,为此,本文从系统论及财务报告控制机制协同性的角度,对当前内部控制披露制度的监管含义作了进一步探讨,以期对其中存在的争论及未来内部控制披露制度的完善提供另一种思考视角。
一、内部控制披露制度:背景及争论
1.内部控制披露制度出台背景 内部控制信息披露的演进经历了自愿性披露和强制性披露两个阶段。早在上个世纪70、80年代,美国科恩委员会和Treadway委员会就曾对公司管理层披露内部控制报告并进行审计提出建议,但因为制度运行成本过大等原因未能付诸实施。始于安然事件的一系列财务丑闻使得公众对独立审计师的“独立”提出了尖锐的置疑,为了挽救资本市场的信任危机,2002年7月美国国会通过了SOX法案,该法案中404条款及相关的103、302条款明确规定了上市公司内部控制信息强制性披露的法律责任,同时提出了管理层对内部控制有效性进行评价和法定审计的要求。为了配合SOX法案404条款的实施,美国证券交易委员会(SEC)于2002年10月22日发布第33-8138号提案,并于2003年6月5日颁布最终规则《管理层对财务报告内部控制的报告及其对定期披露的证明》。2004年3月9日,公众公司会计监管委员会(PCAOB)发布了第2号审计准则——《与财务报表审计结合进行的财务报告内部控制审计》(AS NO.2),要求由同一会计师事务所同时执行同一公司的财务报表审计业务和财务报告内部控制审计业务,并提出了将两者整合审计的理念。2007年7月PCAOB又发布了第5号审计准则——《与财务报表审计相整合的财务报告内部控制审计》(AS NO.5),以取代AS NO.2,对财务报告内部控制审计准则作了进一步的完善。值得注意的是,上述规则出于对审计责任与能力的考虑,对内部控制的定义仅仅包含了与财务报告可靠性目标相关的部分,省略了经营活动的效率效果及合规性这两个目标。
2.主要争论 继美国颁布SOX法案之后,许多国家都纷纷修订或制定与内部控制相关的法规和指南,但在具体的制度设计上却并没有完全遵循SOX404,如加拿大规定公众公司对内部控制信息的披露分两步走,第一阶段只披露内部控制设计中存在的缺陷,第二阶段扩展到对内部控制的实施缺陷进行披露,但并不要求管理层及审计师对内部控制的有效性进行评价和审计。英国的做法也与此类似,英国公司治理发展史上三个具有里程碑意义的重要文献——卡德伯利报告(1992)、哈姆佩尔报告(1995)和特恩布尔报告(1999)中一个显著的特点就是对内部控制披露的要求越来越多,但对其有效性审核方面的要求却日趋减弱,凸现了它在这一问题上的观点[1]。欧盟于2006年6月发布第2006/43号指令《年报和合并报表的法定审计》,虽然规定了公司的风险管理和内部控制,但并不要求公司披露对内部控制有效性的评估结果。注册会计师或会计师事务所的责任也仅限于向公司内设审计委员会报告内部控制存在的问题,而没有将内部控制审计列入法定审计的范围。
从我国的情况来看,基本上走的是SOX的规则,2006年上交所和深交所分别发布了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,要求上市公司董事会在年度报告披露的同时,披露年度内部控制自我评估报告及审计师出具的意见。2006年成立的内部控制标准委员会于2008年6月28日正式出台了《内部控制基本规范》,要求执行基本规范的上市公司应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计,并于2010年4月15日发布了与之配套的三项指引《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。至此,在基本建成我国企业内控规范体系的同时,确立了企业内控有效性的自我评价制度和注册会计师审计制度[2],但我国目前将公司内部控制评价报告与内部控制审计报告相互割裂的做法仍然与美国存在差异,后者仅仅针对“财务报告内部控制”这一较为狭窄的范围,管理层内部控制评价报告却包括广义的内部控制范畴。
从当前国内外在内部控制披露制度建设中存在的分歧来看,主要源于两个一直未曾解决的争议性问题:一是管理层是否应对内部控制的有效性进行评价?二是审计师是否应对内部控制的有效性出具审计意见?支持者认为,如果不对所披露的内部控制信息出具证明(如管理者评价和审计意见),内部控制信息就会因为缺少控制机制导致“可靠性”问题,并且因为“低成本的信号不具有可信性”,内部控制披露的信息含量就很让人怀疑。反对者认为,避免对内部控制报告进行评审主要是出于以下两点考虑:一是对成本的考虑。对内部控制进行评审势必会加大公司的披露成本,尤其是对中小公司影响更大。美国财务经理协会(Financial Executive International,FEI)曾对2003-2005年美国公司执行SOX404条款成本进行了四次调查,结果表明执行成本非常高并且逐年增加,如2003年执行404条款新增人工平均值为6000小时,2005年增加到35099小时;2004年执行404条款新增总成本平均值为193.5万美元,其中大公司为460万美元,小公司为17万美元,2005年新增总成本平均值上升到435.5万美元,其中,大公司平均值超过了1000万美元,小公司超过了400万美元[3]。二是对诉讼风险增加的担心。在对内部控制“有效性”评价缺乏高度认同的精准标准之前,公司管理层及审计师都不愿因为引起公众对“有效性”“绝对保证”的误会而承担更多不确定性的法律风险。面对各执一词的两种观点,监管部门只能在现实的利益冲突中采取骑墙的态度。
然而,真正的原因是否仅仅如上所言?对于一项制度的理性选择应取决于成本效益的对比,制度的执行成本只是其中一个方面,相较于实施前的制度设计是否能产生增值功能才是问题的关键。什么样的内部控制信息披露才具有增值性是我们进行内部控制披露制度设计的逻辑起点,而在这一点上,坚持系统论的方法,从相关的制度体系入手、结合系统中其他制度的相互作用来分析一项新制度引进的合理性才是更可行的作法。下面我们抛却评价标准技术方面的争论,从财务报告控制机制的协同性入手,对SOX法案404条款存在的逻辑缺陷进行分析。
二、财务报告质量体系中的控制机制分析
所谓协同,是指协调两个或者两个以上的不同资源或者个体,协同一致地完成某一目标的过程或能力。内部控制信息披露制度的目标是什么?根据COSO的定义(1992、1994),内部控制是指“由公司董事会、经理阶层和其他员工共同实施的,为营运的效率效果、财务报告的可靠性及相关法规的遵循性等目标的达成而提供合理保证的过程”,但从内部控制披露制度产生的背景及制度设计来看,关注的重点主要集中于它对财务报告可靠性的保障功能,如美国SEC在最终规则中对财务报告内部控制的定义为:财务报告内部控制是指由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的,受到公司的董事会、管理层和其他人员影响的,为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计原则提供合理保证的控制程序。这一定义与COSO报告中对内部控制的定义相比仅仅包含了与财务报告可靠性目标相关的部分,而省略了经营活动的效率的目标。相应的,当前对内部控制信息披露内容的规定主要是针对财务报告内部控制的缺陷。
如果将财务报告从生产到最后的对外报告及使用看作一个链条,沿着这个链条,至少存在四种主要的控制机制对财务报告质量提供保障功能,即会计准则规范、公司治理、证券市场监管及独立审计,这四种机制涵盖了内部控制和外部控制两种类型,它们的作用机制各异,功能大小取决于在特定的环境下的约束条件和运行效率。会计准则规范、证券市场监管与独立审计是SOX法案之前三种常规监管制度,其中,会计准则规范处于财务报告监管的生产环节,直接对财务报告的确认、计量及报告提供操作性指南;证券市场监管处于对外报告环节,主要通过一系列法律、规范对公司对外信息披露的范围、格式进行指引,并对违规惩处作出规定。对财务报告可靠性提供鉴证及合理保证一直是独立审计的重要功能,甚至被称为上述四条防线中最后的“马其诺防线”。审计对财务报告的监管功能取决于专业能力和独立性两个因素,尤其是独立性被称为审计的灵魂。但由于审计职业在独立性方面存在着先天性的缺陷,一直以来就被公众所诟病,为了强化公众对审计职业的信任,政府和市场充当了最后的担保人,法律机制和声誉机制成为约束审计师独立性风险的两种最重要的保证机制,但因为这两种机制的运行效率受到诸多因素的限制而不免会产生“失灵”[4],正如现实中“马其诺防线”最后的沦陷,独立审计这条防线屡屡被突破,公众开始意识到审计制度的固有缺陷和力不从心,这迫使研究者及监管者都不得不另辟蹊径,寻找更为有效的控制措施,强制性内部控制披露制度正是在这一背景下提出的。
内部控制是公司内部的管理活动,属于公司治理的一部分,保证财务报告的可靠性是强制性内部控制披露制度设计的初衷。从内部控制披露对财务报告质量保证的作用机制来看,主要是基于以下逻辑:第一,内部控制作为企业风险管理的重要实施机制,良好的内部控制体系不但能够直接防范企业内部的错误与舞弊行为,即减少舞弊的机会,而且能够降低企业的经营风险,从而在根本上削弱企业财务造假的动机。根据舞弊三角理论,动机、机会与借口是引发舞弊的三大因素,因此,良好的内部控制体系能够减少企业各种无意和有意的错误,具备不同内部控制特征的公司在财务报告质量上具有质的差别;第二,由于内部控制属于企业内部的管理机制,投资者无法直接观察,对其信息披露的要求就应运而生。投资者借助公司所披露的内部控制信息来区分公司,可以及时识别、评价可能损害企业经营的相关风险以及那些可能会影响到财务报告错报及盈余管理的因素,从而有助于对财务报告可靠性判断提供信息,降低信息的不对称。严格地说,在以上两个环节中,真正对财务报告质量起到控制功能的是内部控制活动,事后的披露只是将这一活动的信息传递给外部投资者以进行相关的决策①。
可见,财务报告质量控制体系是一个由不同类型的控制方法构成的系统,在这个系统中,不同的控制方法处于财务报告链条上的位置不相同,影响财务报告的作用机理也存在本质性差异,会计准则规范和内部控制更靠近财务报告生产的前端,是对财务报告的生产过程进行控制,属于事前和事中的防范机制,独立审计是对财务报告结果进行直接的鉴证,属于事后的防范机制,证券市场监管则兼具事中和事后防范两种功能。四种机制在设计上互相补充,只有充分发挥其协同作用,才能更好地防范公司造假,保证财务报告的可靠性。
三、内部控制披露制度在财务报告体系中的协同功能分析
由于在财务报告系统中,各种控制机制并不是独立地发生作用,而是存在相互影响②,当我们对当前内部控制披露制度中存在的问题进行分析时,应考虑最终的制度协同性后果,这一后果可以从以下两个方面来评价:一是对财务报告质量的保障功能;二是分散系统内制度风险的功能。
1.对财务报告质量的保障功能 从上述内部控制信息披露的作用机制来看,内部控制信息披露及评价有助于外部投资者对财务报告质量进行判断,已有的实证研究结果也表明内部控制信息披露具有一定的价值,如内部控制与财务报告质量的相关性研究表明,内部控制缺陷会影响财务报告的应计质量(Ashbaugh-Skaife et al.2008;Doyle et al.2007)[5][6]。Irving(2006),Hammersley et al.(2008)以及Beneish et al.(2008)则考查了内部控制信息披露的信息含量,他们利用美国上市公司数据,考查了市场投资者对公司所披露的内部控制缺陷的反应,发现内部控制缺陷的披露具有增量信息[7][8][9]。至于管理层对内部控制有效性的评价这一点,“有效性”的标准问题并不是反对的充分理由,管理层是内部控制设计及实施的责任人,对其有效性进行评估本来就是题中之意,而且还可以防止实际披露中没有实质性观点的形式主义,以免让人看了半天也不知所云③。而如何界定“有效性”只是一个技术性问题,与本文的分析并无太大关系。
审计的价值之一就在于它出具的意见降低了所鉴证信息的可靠性风险,既然内部控制披露具有一定的价值功能,对其可靠性进行审计的要求似乎就自然成为一种选择,然而,对内部控制及评价进行审计是否具备这种增值作用呢?它与我们所熟悉的财务报表审计有何区别?从功能上说,在内部控制审计下,其本质就是将内部控制及审计的两种不同功能进行复合,更确切地说,是将内部控制功能最终纳入审计的框架之下。在财务报表审计中,对内部控制进行评价是审计程序中必不可少的环节,即使在SOX时代,要求审计师单独出具内部控制有效性评价的审计报告,也并不能代替财务报表审计过程中的内部控制评审程序。与财务报告内部控制审计相比较,两者在审计师对内部控制的评价过程方面可能是相同的,如PCAOB先后发布的第2号、第5号审计准则都提出了将财务报表审计与财务报告内部控制审计相整合的观点,只是两者对相关信息的披露要求不相同。财务报表审计中,内部控制评价只是审计过程的一部分,其结果最多体现在并不对外公开的审计底稿中,内部控制审计则要求将审计师对财务报告内部控制的评价结果对外披露,这就意味着审计报告的使用者不但可以看到最终的审计结果——审计意见,还能获得有关审计过程的部分信息。但从财务报告可靠性的控制目标来看,这充其量不过是相同的主体对相同的目标提供了一份双重证明,尽管角度不同,但并不会产生额外的保障功能。因为外部投资者最终关心的只是有关财务报告质量的最终结果,如果他们不信任审计师对财务报告鉴证结果的可靠性,怎么又会相信审计后的内部控制信息更可靠?即便排除了独立性的疑虑,内部控制对财务报告更多是一种间接性的影响,它主要通过影响财务报告的生产环境来影响财务报告产生错报的可能性,公众根据企业内部控制来推断财务报告质量也仅仅是一种间接的手段,试图在财务报表审计结果之外,通过审计后的内部控制信息来增加有关财务报告质量的判断几乎很天真,难道广大投资者的专业判断能力可以胜过“专业”的审计师?更何况,我们透过一纸报告所看到的信息永远没有审计师充分。
2.分散制度风险的功能 在对SOX404条款的争论中,一个被人忽视的潜在影响是它对系统内制度风险的分散功能。SOX法案后的财务报告监管模式更强调对过程的控制,在这种从结果控制向过程控制纵深发展的监管模式下,财务报告监管的重心开始向财务报告链条的上游转移,从源头上削弱财务造假的风险,同时也减轻了审计师的责任,将防范公司财务造假的制度风险进行了分散。随着证券市场的发展和商业环境的变化,广大投资者、社会公众和政府越来越依赖会计信息,公众要求审计师承担更多的法律责任,审计师对第三人的民事法律责任不断扩张,二十世纪六、七十年代,美国的审计师甚至进入了“诉讼爆炸”,用Epstein and Spalding的话来说,“几乎每一桩针对会计师个人的诉讼,都酿成整个职业的一场危机”[10]。但大量的研究表明,审计师法律责任的扩张并没有带来审计质量的提高,反而激发了审计师的过度保守行为,一个极端的后果就是审计师“只与成功的公司打交道”,这已经完全背离了审计制度的目标。针对这种情况,德国学者Ebke(1984)在其《另辟蹊径:公司治理与独立审计师的法律责任的比较法视角》一文中就曾指出,解决会计师法律责任困境的出路在于优化公司财务报告的整个制度结构和法律环境,这需要立法者、证券市场监管者、公司管理层、会计职业界等各方面的共同努力[11]。SOX法案对内部控制的重视恰好印证了这一思想,但却并没有充分地贯彻这一思想,404条款中要求对内部控制的有效性评价进行审计实际上又回到了老路上,即将防范财务造假的责任及最终的风险又推到了审计这一个环节,这岂不有违制度设计的初衷?因此,从分散风险的角度来看,对内部控制及评价进行审计并不明智。
四、结束语
Williamson(1983)曾指出,公司控制系统是一个结构化的控制机制组合,不同控制机制之间存在替代或补充作用,公司可以选择不同的组合结构[12]。不仅公司如此,对监管者来说,也需要从系统的角度来考虑监管机制的设计。如果在一个监管框架中,一种控制机制的功能被其他机制完全包含了,或者说两者具有充分的替代效应,则这项机制就不可能具有信息含量和增值功能。此外,对公司来说,它会积极地在已有的制度安排中进行组合选择,这种选择本身就具有信号功能,当各种控制机制之间重合越多,公司进行组合选择的空间就越小,就容易使我们陷入Krishnan and Visvanathan所担忧的由于政府监管的过度干涉导致的公司治理趋同(corporate governance convergence)结果,这种趋同会抹平公司之间的特征差异,给外部投资者的信号识别带来困难,反而会削弱系统的绩效[13]。因此,在未来的内部控制披露制度及财务报告监管框架的构建中,协同性是一个必须考虑的因素。
注释:
①还有一种观点认为,通过强制性信息披露,使内部控制置于公众监督之下,可以加强管理者完善内部控制的意识。
②这一点已为很多实证研究所证实。如Raghunandan and Rama 2006;Hogan and Wilkins 2008;Yan 2007;Li 2007等研究都证明了内部控制对审计的影响。Michelon et al.2009证明了在应计质量上审计对内部控制具有替代效应。
③如张立民等(2003)、李明辉等(2003)、瞿旭等(2009)的研究均表明当前我国上市公司内部控制信息的披露在很大程度上流于形式,没有实质性内容,自愿性披露动机不强。
标签:内部控制论文; 财务报告论文; 审计师论文; 企业内部控制评价指引论文; 内部控制缺陷论文; 审计报告论文; 审计质量论文; 审计准则论文; 审计方法论文; 风险评价论文; 有效市场论文; 审计职业论文; 审计目标论文; 财会论文;