上市公司内部控制信息披露质量评价
——基于强制披露前后的对比
中国注册会计师非执业会员版2014年01期
洪峰 戴文涛 张然
摘要:
2012年,内部控制自我评价报告和审计报告强制披露范围扩大到未参加内部控制规范试点的主板上市公司。本文以2011-2012年两市未参加试点的主板上市公司为样本,分析强制披露前后内部控制信息披露质量的变化。研究发现,在强制披露的背景下,出具内部控制自我评价和审计报告的信号传递效应出现衰减;内部控制缺陷的披露深度增大;内部控制审计报告意见具有一定可靠性。但是,内部控制自我评价报告结论的可靠性仍然较低。这一结论为强化内部控制信息披露监管提供了证据和思路。
关键词:内部控制信息披露质量 强制性披露 自愿性披露 评价
一、法规背景与理论分析
近年来,随着一系列公司财务舞弊事件的发生,加强上市公司内部控制监管成为各国政府的共识。我国财政部等五部委分别于2008年与2010年联合颁布《企业内部控制基本规范》与《企业内部控制配套指引》。根据规定,执行内控规范的公司,必须依据基本规范和配套指引的要求披露年度内部控制自我评价报告,同时聘请注册会计师对其财务报告内部控制的有效性进行审计并出具审计报告。2011年是我国内部控制信息披露的试点年,按照要求,两类公司参与试点:第一类是境内外同时上市的68家公司;第二类是在上市公司自愿的基础上,证监会和证监局推荐的216家公司。除此之外,其他主板上市公司自愿实施。2012年是我国内部控制规范实施承上启下的一年。根据安排,规范实施范围扩大到在上海证券交易所、深圳证券交易所主板上市的公司。由此可见,从2011年至2012年,未参加试点的主板上市公司经历了从自愿参与到强制实施的法规背景转变。
根据自愿性信息披露理论,上市公司自愿进行信息披露的动机之一是信号传递。为了在资本市场上获得合理的定价,高质量公司的管理层有动力将公司高品质的信号及时传递给投资者。而内部控制旨在为财务报告的可靠性和经营风险的可控性提供合理保证,因此,在自愿性信息披露的背景下,高质量的内部控制可以成为传递公司价值的信号。国内外有研究证实高质量公司有动力进行自愿性内部控制信息披露。比如McMullen等(1996)、Hoitash等(2009)研究发现,公司治理水平和会计应计质量越高的公司,披露的内部控制信息越多,披露的内部控制缺陷越少,而违规处罚和会计更正越多的公司越不可能披露内部控制自评报告。林斌等(2009)研究表明,内部控制质量好的公司更愿意披露内部控制审计报告;而上市年限长、财务状况差、组织变革程度高及发生违规的公司更不愿意披露审计报告。林斌等(2012)研究发现,内部控制质量较好的企业更愿意参加内部控制试点。虽然内控信息被视为传达公司价值的信号,但应该注意的是,在目前我国较薄弱的信息和监管环境下,内部控制信息自愿披露可能由于披露质量不高而导致信号失灵。比如Kenich Yazawa(2010)比较了日本与美国上市公司2008年披露的内部控制信息,日本披露重大缺陷的比例为2.1%,美国为16.9%而我国披露比例远低于美国和日本,这与我国内部控制规范实施所处的初级阶段不符。杨有红和汪薇(2008)、杨有红和陈凌云(2009)分别对2006年和2007年沪市公司内部控制信息披露进行了整理分析,结果发现,上市公司内部控制信息自愿性披露动机不足。王惠芳(2011)、董卉娜等(2012)研究发现,我国上市公司在披露内部控制缺陷时存在避实就虚,言辞不详的问题,披露的信息含量低,披露流于形式。崔志娟等(2013)基于财务报表重述的角度发现,我国上市公司内部控制报告可靠性较低,公司披露内部控制缺陷存在动机选择。由此可见,在自愿性披露的背景下,由于高质量公司有信号传递的动机,因此,内部控制信息可能存在供应不足。更重要的是,由于自愿披露的公司并没有被强制要求执行内控规范,因此不排除有些公司为满足特定目的而粉饰报告。2012年,内部控制强制披露范围扩大。那么,在强制性披露的背景下,内部控制信息披露质量会发生怎样的变化?规范实施中存在哪些问题?如何及时调整监管政策?这是目前监管层、上市公司和投资者共同关注的问题,也是需要探究的重要问题。
基于此,本文对强制披露前后内部控制信息披露质量进行对比。对于如何评价内部控制信息披露质量,本文借鉴会计信息的评价标准。1980年美国财务会计准则委员会(FASB)在财务会计概念公告第2号《会计信息的质量特征》中,明确提出会计信息的两条主要质量特征:一是相关性,即信息的披露应当及时、全面地传递给使用者,并且可以为之提供预测以及反馈企业价值,也即信息必须具备决策有用性;二是可靠性,即从受托责任观出发,要求会计信息必须如实反映企业过去的客观情况。相关性越大,可靠性越高,越符合使用者的需要,会计信息质量越高。相应的,本文对内部控制信息披露质量定义为:高质量的内部控制信息应当能够全面反映企业内部控制的所有要素,并最终能够作为信息使用者判断企业内部控制状况优劣的可靠依据。在这一定义下,本文的分析框架为:首先对内部控制信息披露的总体状况进行分析;在此基础上,从相关性和可靠性两个维度对强制披露前后信息披露质量进行对比评价;最后,总结披露过程中存在的问题,以期对内部控制信息披露监管提供有益参考。
二、样本与数据来源
本文在2011年和2012年沪深两市上市公司的基础上进行样本筛选:第一,为更清楚区分强制披露前后的披露质量变化,剔除2011年参加内部控制试点的公司;第二,由于发行B股的公司、中小板公司及创业板公司在会计计量和业务性质等方面具有特殊性,与主板A股公司缺乏可比性,因此予以剔除。最终本文得到样本公司1203家。其中深市398家,沪市805家。另外,本文所需的内部控制自我评价报告、内部控制审计报告以及其他数据来自深交所、上交所和巨潮网以及WIND数据库,并经过手工整理。相关报告数据统计截止日为2013年6月30日。披露报告以能否在深交所、上交所和巨潮网查找到为准。
三、内部控制信息披露整体情况
(一)管理层内部控制自我评价报告披露情况
自我评价报告是内部控制信息披露的主要载体。表1报告了样本公司内部控制自我评价报告披露情况。由统计数据可以发现:(1)从是否披露内部控制自我评价报告上看,2011年,沪深两市分别有288家和345家公司进行了披露,占样本的35.8%和86.7%;2012年,两市分别有521家和340家公司进行了披露,占比为64.72%和85.43%。从两年的数据看,沪市的披露率显著增加,而深市基本持平。(2)《企业内部控制评价指引》要求出具的评价报告必须对内部控制有效性发表意见。在有效性的表述上,有的公司采用积极的确认方式,有的公司采用消极的确认方式,比如表述为“未发现重大缺陷”或“不存在重大缺陷”。这两种方式都表达内部控制有效的结论。2011年,沪市有一家公司(中恒集团,600252)明确内部控制无效;深市有一家公司(*ST朝华,000688)内控有效性结论无法辨认。2012年,沪市有两家公司(北大荒,600598;长春经开,600215)明确企业内部控制无效。除此之外,其他公司都明确表示公司内部控制有效。(3)内部控制自我评价报告的核心信息是内部控制缺陷,其主要分布在报告中的“存在的问题”、“改进与对策”、“进一步完善的措施”“内部控制有效性的自我评估”等部分。鉴于公司披露缺陷的措辞存在较大差异,本文认定如果在内部控制自我评价报告中存在对内部控制否定式的表述,如公司存在关联方识别及管理方面的不足等,就认为其披露了内部控制缺陷;而如果仅仅是在报告中阐述内部控制尚需要进一步完善以及未来整改方向等没有实质内容的表述,比如内部控制制度需要进一步完善等,本文不认为其披露了内部控制缺陷。除此之外,还有一类公司只披露了内部控制缺陷严重性,但没有披露缺陷的具体表现,本文也认定其为有效披露。2011年,沪深两市分别有10家和30家公司披露内部控制缺陷,占披露自我评价报告公司的3.5%和9.0%。2012年,内部控制缺陷的披露率有了显著增长,两市分别有140家和176家公司进行了披露,占比为26.87%和51.67%。 (二)内部控制审计报告披露情况
根据《企业内部控制审计指引》的要求,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。内部控制审计既有利于促进企业健全内部控制体系,又能增强企业财务报告的可靠性。内部控制审计报告披露情况见表2。从是否出具审计报告上看,沪深两市2011年的出具率都较低,出具的公司分别占样本公司的12.92%和13.57%。这一方面源于审计的非强制性,另一方面源于出具审计报告的成本与风险。因此,内部控制质量较高的公司才有动力进行审计。从审计意见上看,沪深两市所有出具了内部控制审计报告的公司,其内部控制审计结论均为标准无保留意见,没有公司被出具非标准意见。这一结果证实了在自愿披露阶段,出具审计报告是一种信号传递行为。2012年,沪深两市审计报告的出具率显著提高,两市分别有59.63%和49.75%的公司进行了内部控制审计。审计意见上,两市分别有18家和3家公司被出具非标准审计意见,其中,深市有1家公司、沪市有2家公司被出具否定审计意见(贵糖股份,000833;天津磁卡,600800;北大荒,600598)。由数据可以发现:第一,2012,贵糖股份和天津磁卡的内部控制审计意见为否定意见,但其内部控制评价结论为有效;第二,随着审计报告披露进入强制阶段,审计报告的信号传递功能正在衰减,内部控制存在重大缺陷甚至无效的公司也进行了审计报告的披露。
 四、内部控制信息披露的相关性
内部控制缺陷是描述内部控制有效性的一个负向维度。内部控制自我评价有助于发现企业内部控制存在的缺陷,对于企业内部控制的建设和完善具有极大的促进作用。公司管理者通过自我评价保证组织的竞争能力,外部利益相关通过自我评价报告披露的缺陷信息,判断公司风险,评估公司价值。因此,内部控制缺陷是相关信息。
(一)内部控制缺陷认定标准
内部控制缺陷的认定标准是内部控制评价中的基础性和关键性问题,对于内部控制缺陷认定乃至后期的整改都有非常重要的影响。目前,《企业内部控制评价指引》对于内部控制缺陷按照严重性由高至低划分为重大缺陷、重要缺陷和一般缺陷。如何对严重性进行界定,指引只给出了原则性规定,具体标准由公司根据自身情况进行裁定。同时,内部控制缺陷认定标准需要在自我评价报告中进行披露。从披露现状看,有的公司按照自身风险敞口,从定量和定性两个层面披露了内部控制缺陷认定标准;有的公司则照搬指引关于三种缺陷的原则性规定。由于前者能够使信息使用者评判基于职业判断的认定标准是否合理,本文认定其为有效披露,属于相关信息;而对于照搬指引中缺陷定义的公司,本文认定为无效披露,属于无关信息。从样本上看,2011年沪深两市分别有28家和7家公司披露了内部控制缺陷认定标准,占披露自我评价报告公司的比例分别为9.72%和2.03%;2012年分别有294家和154家公司进行了披露,占比分别为56.43%和45.30%。2012年两市的披露率均有显著提高,这反映越来越多的公司能够根据自身的情况,将原则性的指引细化为具体的标准,公司内部控制基础建设正在完善。
(二)内部控制缺陷类型
1.按严重性分类
根据《企业内部控制评价指引》的要求,内部控制自我评价必须得出内控有效性与否的结论。内部控制有效性的判断取决于公司在报告期内是否存在未整改的重大缺陷。如果内部控制缺陷达到重大缺陷的程度,就不能得出内部控制整体有效的结论。相应的,如果内部控制无效,与利益相关者目标协同的内部控制目标的实现将得不到合理保证。现有研究已经证实,在披露重大缺陷时,公司股价、资本成本都会做出反应(Hammersley.et al,2008;Ashbaugh-Skaife.et al,2009;Costello.et al,2011)。由此可见,内部控制重大缺陷对信息使用者而言是相关信息。对于重要缺陷和一般缺陷,出于披露成本以及保护公司商业秘密的考虑,《企业内部控制评价指引》未做强制性规定。虽然重要缺陷和一般缺陷并没有达到严重影响企业内部控制目标实现的程度,但是公司如果进行披露,既能够使外界更全面了解公司内部控制情况,又能够向市场传达公司积极整改,保持内控系统动态有效的正面信号。
按严重性区分的内部控制缺陷披露情况见表3。统计数据显示:(1)从披露公司数上看,2011年,沪深两市分别有1家和0家公司披露重大缺陷,1家和2家公司披露重要缺陷,9家和30家公司披露一般缺陷。2012年,分别有4家和2家公司披露重大缺陷,22家和6家公司披露重要缺陷,79家和32家公司披露一般缺陷。无论在披露率还是披露家数上,重大缺陷的披露公司略有增长,而非重大缺陷的披露增长显著。(2)从披露缺陷个数上看,2011年,沪深两市分别披露了1个、29个和167个重大、重要和一般缺陷;2012年,披露个数为18个、237个和1602个。缺陷的披露个数有了大幅度的增长。综合两年的情况分析,进入强制披露之后,公司披露重大缺陷依然慎重,而非重大缺陷披露力度增加较为明显,尤其是缺陷的披露个数。这一方面可能源于缺陷认定标准的细化有利于公司发现缺陷,一方面可能源于试点后的示范效应。 2.按内部控制五要素分类
无论公司内部控制缺陷认定标准如何界定,内部控制评价都以内部控制五要素——内部环境、风险评估、控制活动、信息与沟通、内部监督展开。内部控制缺陷的要素类型披露能够为信息使用者带来增量信息,其属于相关信息。
按内部控制五要素区分的内部控制缺陷披露情况见表4。2011年,沪深两市五要素缺陷披露率从高至低依次为内部环境、控制活动、内部监督、信息与沟通、风险评估,分别有36家、19家、12家、7家和3家公司进行了披露,占披露自我评价报告公司的5.69%、3.00%、1.90%、1.11%和0.47%。2012年,控制活动相关缺陷较多,有188家公司进行披露,其次是内部环境,有171家公司。其余的要素分别为信息与沟通、内部监督和风险评估。结合两年的数据可以发现:(1)每个要素的缺陷披露公司数都有显著的增加;(2)控制活动的披露公司数超过内部环境。相对于控制活动缺陷,内部环境缺陷层级较高,多牵涉到组织架构、组织文化等宏观层面。根据王惠芳(2011)的分析结论,我国上市公司倾向于在缺陷披露时避实就虚,泛泛而谈,而高层次的内部环境要素成为敷衍披露的“重灾区”。然而,控制活动则不同,因为其较为微观和具体,直接与公司的业务流程相关,对控制活动披露强度的加大意味着内部控制缺陷披露深度的提高。
 表5归纳了6家上市公司所披露的重大缺陷类型,分析发现:(1)重大缺陷集中在内部环境、控制活动、信息与沟通三大类,尤其是控制活动中的财产保护控制,有4家公司披露存在相关重大缺陷。(2)与关联方交易相关的重大缺陷较多,涉及的内控要素也较多,比如关联方交易审批、关联方交易披露、关联方违规占款。由此可见,关联方交易的控制缺陷已成为主要内控风险点。(3)样本中有3家公司披露了信息与沟通相关的重大缺陷,既包含对外信息披露,也包含内部信息系统。这表明随着企业规模的扩大,信息管理已成为上市公司面临的重要课题。
 (三)内部控制缺陷整改内部控制自我评价的根本目的在于发现内部控制缺陷,为后续的整改指明方向,为公司可持续发展提供保障。因此,对于认定的内部控制缺陷,应当披露可行的整改计划。从样本上看,2011年沪深两市分别有10家和28家公司披露了内部控制缺陷整改方案,占披露自我评价报告公司的比例分别为3.47%和8.12%;2012年两市分别有183家和191家公司披露了缺陷整改方案,占比为35.12%和56.18%。2012年的披露比例有了较为显著的增长。值得一提的是,在自我评价报告中,整改方案的披露详细程度差异较大。有的公司表述较为简单,基本上为总体方针或对策,有的公司将每一类缺陷对应的整改方案均详细列出。
五、内部控制信息披露的可靠性
在内部控制有效性的认定上,指引规定以内控重大缺陷作为标准。由于公司一旦披露重大缺陷,会引起市场对公司财务报告质量和经营效率的质疑。因此,在我国监管环境比较薄弱、规范及指引遗留较大操作空间的现实背景下,趋利避害的本能促使公司可能会存在重大缺陷披露上的自选择,从而降低内部控制信息的可靠性。事实上,只有内部控制信息真实可靠,信息使用者才能够了解公司内部控制建立与运行的真实情况。内部控制信息披露的可靠性是披露质量的重要特征。
《企业内部控制审计指引》第22条指出,“表明内部控制可能存在重大缺陷的迹象中包括企业更正已经发布的财务报表”,即财务报告重述是内控重大缺陷的迹象。年报重述包括年报补充公告、更正公告和补充更正公告三种形式。其中,补充公告源于信息遗漏,更正公告源于信息错误。无论是哪种公告,其至少反映财务报告可靠性的内控目标没有实现。因此,本文将自我评价报告和审计报告与年报重述进行对照,分析内部控制信息披露的可靠性。
(一)年报重述公司内部控制信息披露情况
表6列示了年报重述公司的内部控制信息。由数据可以看出:(1)从出具报告来看,2012年年报重述公司进行内部控制自评的家数增加,占比从66.37%上升到73.43%。另外,年报重述公司进行内部控制审计的家数同样显著增加,占比从8.85%上升到53.15%。2012年,年报重述公司过半都出具了自评报告和审计报告。由此可见,出具报告的信号效应正在衰减,即出具报告的公司也会进行年报重述。(2)从出具报告的意见来看,两年财务重述的公司,其自我评价报告均得出内控有效的结论。这一方面可能是因为错报的性质和金额还没有达到重大缺陷的认定标准,另一方面可能是管理层没有或者不了解如何将年报重述与内部控制要素结合起来进行描述。无论出于哪种原因,自我评价报告的可靠性都值得怀疑。另外,2011年,沪深两市年报重述的公司,其内部控制均被出具标准无保留的审计意见。2012年,情况有所改观,年报重述的公司有1家被出具否定意见,4家被出具带强调事项的标准意见。这一结果表明内部控制审计意见的可靠性有所提高。
 (二)年报重述与内部控制信息的相关性分析
为了分析内部控制信息披露可靠性,进一步对年报重述、内部控制自评报告和审计报告的相关性进行分析。相关定义如下:出具内部控制自我评价报告定义为1,否则为0;出具审计报告定义为1,否则为0;进行年报重述定义为1,否则为0;自我评价报告得出内部控制有效结论定义为1,否则为0;审计报告中出具标准意见为1,否则为0。对样本公司2011-2012年数据进行Pearson相关分析,结果如表7所示。由数据看出:(1)公司出具内部控制自我评价报告与出具审计报告在1%的显著性水平上正相关,这表明披露内部控制自我评价报告的公司多数会出具审计报告,自我评价报告和审计报告都是信号传递的工具;(2)自我评价报告和审计报告的出具与年报重述不相关,这表明以出具两份报告作为高质量内部控制的信号存在信号失真;(3)内部控制自我评价报告的有效性结论与年报重述不相关,年报重述的公司也评价其内部控制有效,内部控制有效性结论的可靠性值得怀疑;(4) 2012年,内部控制审计意见与年报重述在10%的显著性水平上负相关,这说明内部控制被出具标准意见的公司,年报重述的概率较低。内部控制审计意见在反映公司内部控制有效性上具有一定可靠性。
六、研究结论与启示
2012年,内控规范实施范围扩大到在上海证券交易所、深圳证券交易所主板上市的公司。本文选择沪深两市未参加内部控制规范试点的主板上市公司作为研究样本,从相关性和可靠性两个维度评价强制披露前后内部控制信息披露质量,从而分析进入强制披露阶段后,信息披露质量是否存在显著提升。研究结论如下:
1.进入强制披露阶段后,出具内部控制自我评价报告和审计报告的公司显著上升,出具报告的信号传递功能出现衰减的倾向:(1)内部控制自我评价报告和审计报告的披露率均有显著的增加,并且披露内部控制缺陷的公司和被出具非标准审计意见的公司显著增加;(2)年报重述的公司中出具内部控制自我评价报告和审计报告的公司比例有显著提升;(3)相关性分析中,年报重述与出具自我评价报告和审计报告并没有表现为预期的显著负相关。这些证据表明,出具自我评价报告和审计报告的信号传递功能正在衰减,内部控制存在缺陷甚至无效的公司也会进行披露。这一结论也意味着在强制披露时代,继续将出具报告的行为视为高质量内部控制的标志将是不准确的。
2.进入强制披露阶段后,内部控制缺陷信息的披露深度有显著提高,这促进了披露信息的相关性:(1)将基本规范和指引中抽象的内控缺陷认定原则具化为符合自身情况的认定标准的公司显著增加;(2)披露内部控制缺陷的公司和缺陷披露个数显著增加,与业务流程更加相关的控制活动缺陷披露强度增大;(3)披露内部控制缺陷整改措施的公司显著增加。这些证据表明,在强制披露时代,外部信息使用者能够更加全面了解公司内控缺陷认定、缺陷类型、缺陷整改的完整链条,从而获取更加丰富的内控信息。
3.内部控制自我评价报告关于内控有效性的结论值得怀疑:(1)两年中,样本公司只有一家和两家公司明确内部控制无效,这一比例显著低于更早进行内控实践的美国和日本;(2)2012年,两家被出具否定审计意见的公司,其自评结论为有效;(3)年报重述的公司均得出内部控制有效的自评结论;(4)相关性分析中,年报重述并没有与内部控制有效表现为预期的负相关关系。这些证据都表明,上市公司内控有效性自评结论的可靠性有待提高。本文认为可以从以下两个方面进行监管:首先,法规对于内控缺陷划分标准的模糊化和原则化给公司留下了很大的操作空间,很可能导致公司规避重大缺陷,而将其归入重要和一般缺陷中,从而得出内控有效性的结论。因此,应该在内控缺陷认定标准上提出更加易于操作、便于监管的规定。其次,基本规范和配套指引的落实不能只注重公司是否披露了内部控制信息,还应进一步关注内部控制信息披露质量,因此需要提高虚假报告的责任追究与严惩机制,切实落实董事会对内部控制信息披露的法律责任。
4.进入强制披露阶段后,内部控制审计报告意见具有一定的可靠性:(1)被出具非标准审计意见的年报重述公司显著增加;(2)相关性分析中,年报重述与内部控制被出具标准无保留的审计意见表现为显著的负相关。这些证据表明,通过内部控制审计意见能够一定程度上了解公司内部控制有效性。 本文系国家社会科学基金“企业内部控制综合评价模型与中国上市公司内部控制质量研究(项目批准号12BGL032)”、北京市大学生科学研究与创业行动计划“沪深两市主板上市公司内部控制信息披露研究(项目批准号1302)”的阶段性成果。 作者单位:北方工业大学经济管理学院
南开大学中国公司治理研究院
|
