上市公司內部控制信息披露的模式設計

1、內部控制報告的主體

    建立和維護內部控制是管理當局的行為責任，與行為責任相對應的是報告責任，管理當局為解除受托經濟責任，在對內部控制進行評價后有責任向外界披露內部控制信息。因此，本文認為，內部控制報告的責任主體應當是管理當局。那么，誰出具內部控制報告更有效呢，是董事會還是經營層?較傳統(tǒng)的觀點認為，內部控制報告理應由公司經營層負責。這種觀點的是建立在承認內部公司治理和內部控制的明確劃分基礎之上。內部公司治理解決的是股東、董事會、經理及監(jiān)事會之間的權、責、利劃分的制度安排問題，而內部控制解決的是管理當局與其下屬之間的管理控制關系。但是，如果將內部控制報告的責任交由總經理(經營層)，隨之可能會產生一個很大的問題，那就是經營層控制下的內部控制也許能夠按照經營層的意志有效運行，但是可能對維護股東和債權人的權益失效。近年來我國上市公司的一些造假丑聞案件表明，很多舞弊的行為都直接來自公司高層。鑒于此種情況，本文建議應由公司總經理和董事會共同對內部控制報告負責?？偨浝硎枪镜膱?zhí)行長官，對公司的經營與管理事務負責，內部控制報告應該由其負責是毫無疑問的；而董事會對內部控制的建立和有效運行負有重大影響，擔負著監(jiān)督和約束經營層的使命，內部控制報告經董事會會議通過后，由董事會負責對外披露，可以提高內部控制報告對外承諾的可信度和效力。而監(jiān)事會僅對內部控制情況單獨發(fā)表意見，實現(xiàn)對管理當局建立和執(zhí)行內部控制的監(jiān)督。

2、內部控制報告的范圍

    內部控制報告的范圍應該與內部控制的目標相關，COSO報告將內部控制的目標規(guī)定為:保證財務報告的可靠性、經營的效果和效率、現(xiàn)行法規(guī)的遵循。理論上講，內部控制報告應反映與這三類目標相關的整體內部控制的設計及執(zhí)行情況，是強制信息披露會受到成本效益因素的制約，監(jiān)管機構在制定具體規(guī)定時也需要考慮信息披露的成本。

    目前美國薩班斯法案將內部控制評價及披露的范圍限定在與合理保證財務報告可靠性有關的內部控制，SEC則進一步規(guī)定上市公司只是針對與財務報告可靠性有關的內部控制進行強制性披露，最終規(guī)則規(guī)定為“財務報告內部控制”。對于美國上市公司目前的情況而言，披露全部內部控制信息的要求過于嚴格，因美國采取了折衷的做法，選擇了與財務報告可靠性相關的內部控制進行披露。

3、內部控制報告的時間

    內部控制報告的時間包括內部控制報告進行評價的時間和內部控制報告進行披露的時間。

    對于內部控制報告的披露時間，監(jiān)管機構應該要求上市公司在年末對當年度內部控制的建立和執(zhí)行情況展開測評，評價后出具的內部控制報告隨公司當年的年度報告一同對外公布，并在年度報告中專設“內部控制報告”項目進行披露。例如在本文抽樣調查中的民生銀行就為此做出了很好的嘗試與探索，在其2006年度的財務報告中單獨披露了2006年度內部控制自我評價報告，隨之披露的還有會計師事務所對此提供的評價意見報告。

4、內部控制報告的質量特征

    一份好的內部控制報告應具備一些基本的質量特征，既包括對內容的質量要求也包括報告表述的質量問題。披露的內部控制信息應當便于投資者理解、分析和使用。總體來說，內部控制報告應具備以下幾個質量特征。

    第一，相關性。信息的價值在于與決策相關，滿足外部信息使用者的決策使用。相關的內部控制信息不僅應該反映公司內部控制的建立和執(zhí)行情況，而且還要針對公司內部控制的缺陷提出可行的改進建議，以發(fā)揮其對提高內部控制、改善經營管理、提高經濟效益的作用，促進組織目標的實現(xiàn)。

    第二，可靠性。內部控制報告應該實事求是，客觀公正地反映公司內部控制的情況。報告所做出的意見都應該是符合客觀實際的，沒有出于個人的好惡而做出有失公正的結論報告應對評價過程所發(fā)現(xiàn)的業(yè)績如實地加以反映，所發(fā)現(xiàn)的問題要揭示其真相，分析其原因。    

    第三，重要性。內部控制報告披露的內容應當充分考慮對公司內部控制的重要性和風險水平。如果該項內部控制信息的重要性大到足以影響投資者決策，那么公司應當要對其進行披露。

    第四，完整性。它要求管理當局不得在內部控制報告中故意隱瞞或有重大遺漏的事項。公司管理當局不僅要按照規(guī)定的格式編制內部控制報告，做到要素齊全，格式規(guī)范，而且披露的信息不應遺漏按照規(guī)定必須列報的所有項目，盡可能披露對信息使用者決策有用的、而并非法定披露的其他事項和情況，充分評價公司內部控制的完整性、合理性和有效性。

    第五，可比性。公司提供的內部控制報告應當按照國家相關部門制定的內部控制評價標準進行評價，并按照規(guī)定的統(tǒng)一格式進行披露，以便于不同公司的信息可比，同一公司的不同時期信息可比。

    第六，清晰性。內部控制報告應邏輯清晰、語言簡潔、觀點明確，既要完整地表達公司管理當局的觀點，防止空泛的議論和對瑣事進行闡述，也要易于信息使用者閱讀和理解。

5、內部控制報告的內容

    盡管每家上市公司內部控制的側重點都不盡相同，但是為了發(fā)揮內部控制報告的效用，一份完整的內部控制報告應該包含幾個方面的基本內容:

5.1公司內部控制評價的時間和標準

    報告中應明確說明內部控制評價的時間和標準，即管理當局是對哪一期間的內部控制展開的評價以及是否選用COSO報告規(guī)定的內部控制整體框架作為評價標準。報告中對內部控制評價時間、標準的說明，能使外部信息使用者了解公司是依據何種標準對哪一期間的內部控制展開的評價。

5.2內部控制各組成要素的初步評價結論

    如果公司按照內部控制框架的“五要素”進行評價，應當在報告中描述對內部控制各組成要素進行分別評價。

5.21控制環(huán)境

    任何公司的控制活動都存在于一定的控制環(huán)境之中，控制環(huán)境的好壞，直接影響到公司內部控制的貫徹和執(zhí)行。控制環(huán)境的因素具體包括:個人的誠信正直、道德價值觀與所具備的完成組織承諾的能力、董事會與稽核委員會、管理階層的經營； 理念與營運風格、組織構、職責劃分和人力資源政策與程序。

5.22風險評估

    在瞬息萬變的市場環(huán)境和激烈的市場競爭中，公司的經營風險越來越大，因此需要清楚了解并成功應對各種經營風險。為此，公司應當設立可辨認、分析和管理相關風險的機制，以了解所面臨的風險，并適時加以處理。評估風險的前提條件是制定目標，風險評估就是分析和辨認實現(xiàn)所定目標可能發(fā)生的風險。管理當局在制定目標的基礎上根據對實現(xiàn)目標的潛在影響來確認風險，比較不同方案的潛在影響，展開對風險的評價，并在公司風險容忍度的范圍內，考慮風險反應方案的選擇。在進行風險評估可以考慮:公司層面的目標及作業(yè)層面的目標是否均已制定；公司整體目標的概括是否適當；各級管理人員是否參與對作業(yè)層面目標的制定；他們對目標的實現(xiàn)承擔什么責任；識別外部、內部的風險機制是否充分；是否建立有效的機制以確定哪些變化可能影響公司目標的實現(xiàn)；是否有適當級別的管理人員參與了風險分析工作；對于可能對公司產生重大影響的變化，是否存在相應的識別并做出適當反應的機制。

5.23控制活動

    控制活動存在于公司的各個層面和各個部門，是確保管理層的指令得以執(zhí)行的政策及程序，如核準、授權、驗證、調節(jié)、復核營業(yè)績效、保障資產安全及職務分工等?？刂苹顒油ǔ０▋蓚€要素:確定應該做什么的政策和影響該政策的一系列程序，具體來說包括技術開發(fā)、市場和銷售、采購、人力資源、公司管理、對外關系管理、信息技術管理、法律事務管理等等。

    對控制活動評價應當考慮:公司是否已實施必要、適當的控制活動，以保證遵循既定的政策；公司的每一項活動，是否都有相對應的適當的控制活動；每一個控制活動的執(zhí)行效果如何；這些控制程序執(zhí)行的一貫性怎樣；是否為防止或減少財務報告舞弊風險建立了有效的職責分離制度；是否為保證資產和會計記錄的安全完整設計了適當的控制措施。

5.24信息與溝通

    公司的信息系統(tǒng)不僅要處理公司內部產生的信息，如內部經營活動的信息、內部生產過程的信息等，而且也要處理來自公司外部的信息，如顯示顧客偏好的市場信息、行政機關公布的信息等。因此公司必須以一定的格式和時間間隔確認、捕捉和傳遞公司內部和外部的相關信息，使員工能夠知悉其編制財務報告的責任。

    對信息溝通評價時應當考慮:公司是否建立良好的信息系統(tǒng)；建立的信息系統(tǒng)與財務報告的生成過程是否有效結合；是否及時向相關人員提供信息，且所提供信息的詳細程度是否恰當；公司內部是否有通暢的向下、向上及橫向的信息溝通渠道，可以將恰當的信息傳遞給合適的人員；是否有效地向員工說明他們的職責和在控制系統(tǒng)中的責任；對于員工提出的防止財務報告舞弊的建議，管理當局是否聽取和采納；與外部各方之間是否建立了有效的溝通渠道；外部各方在多大程度上了解公司的道德價值觀。

5.25監(jiān)督

    要確保內部控制被切實地執(zhí)行，且執(zhí)行的效果良好，就必須施以恰當的監(jiān)督。監(jiān)督活動由持續(xù)監(jiān)督、個別評估所組成其可確保企業(yè)內部控制能持續(xù)有效的運作。持續(xù)監(jiān)督和個別評估都是用來保證與財務報告可靠性相關的內部控制在公司相關部門持續(xù)得到執(zhí)行，前者為經營過程中的例行監(jiān)督，后者為內部稽核人員、監(jiān)事會或董事會等其他人員單獨進行的評價。

    對監(jiān)督的評價可以考慮:是否設有持續(xù)監(jiān)督的程序；評價的頻率和范圍是否恰當；是否已設置相應的機制，保證已認定的內部控制缺陷均予以匯總和報告；建立的報告?zhèn)鬟f流程是否當；是否對已經發(fā)現(xiàn)的問題采取了恰當的更正或改善措施；管理當局是否接受了內部控制評價小組和外部審計人員的建議。

    內部控制評價標準將成為研究熱點。通過本文研究發(fā)現(xiàn)，內控信息披露規(guī)定的不統(tǒng)一、注冊會計師出具審核意見的標準不統(tǒng)一是目前內控信息披露中存在的最嚴重的問題，內部控制信息披露問題在未來仍是研究的熱點問題。高質量的內部控制信息有賴于上市公司管理層客觀的自我評價和注冊會計師公正的審核，這需要一套恰當的內部控制評價標準，這套標準的建立及其與之相關的內部控制自評報告的格式、內容及其質量特征將成為未來研究的熱點。