內部控制披露:爭論與思考——兼對SOX內部控制強制性披露的反思

張 艷,鐘文勝

(1.湖南商學院會計學院,湖南 長沙 410205;2.南華大學產業集團,湖南 衡陽 421001)

如何抑制公司財務造假行為,提高財務報告信息的質量一直是各國資本市場監管的重中之重。2002年美國SOX法案提出了強制性內部控制披露的法定要求,揭開了重構和優化公司財務報告的整個制度結構和法律環境的序幕,其他國家包括中國也紛紛相繼在本國著手實施類似的監管措施。但作為一項尚處于建設初期的制度,各國在具體制度設計及實務中存在嚴重分歧,特別是在公司管理者對內部控制的自我評估和審計師對內部控制審計的責任這兩個問題上一直爭議不斷。在資本市場全球化背景下,實現內部控制披露規范的統一性無疑將是各國監管機構必須面臨的問題,為此,本文從系統論及財務報告控制機制協同性的角度,對當前內部控制披露制度的監管含義作了進一步探討,以期對其中存在的爭論及未來內部控制披露制度的完善提供另一種思考視角。

一、內部控制披露制度:背景及爭論

1.內部控制披露制度出臺背景 內部控制信息披露的演進經歷了自愿性披露和強制性披露兩個階段。早在上個世紀70、80年代,美國科恩委員會和Treadway委員會就曾對公司管理層披露內部控制報告并進行審計提出建議,但因為制度運行成本過大等原因未能付諸實施。始于安然事件的一系列財務丑聞使得公眾對獨立審計師的 “獨立”提出了尖銳的置疑,為了挽救資本市場的信任危機,2002年7月美國國會通過了SOX法案,該法案中404條款及相關的103、302條款明確規定了上市公司內部控制信息強制性披露的法律責任,同時提出了管理層對內部控制有效性進行評價和法定審計的要求。為了配合SOX法案404條款的實施,美國證券交易委員會 (SEC)于2002年10月22日發布第33-8138號提案,并于2003年6月5日頒布最終規則 《管理層對財務報告內部控制的報告及其對定期披露的證明》。2004年3月9日,公眾公司會計監管委員會 (PCAOB)發布了第2號審計準則—— 《與財務報表審計結合進行的財務報告內部控制審計》(AS NO.2),要求由同一會計師事務所同時執行同一公司的財務報表審計業務和財務報告內部控制審計業務,并提出了將兩者整合審計的理念。2007年7月PCAOB又發布了第5號審計準則—— 《與財務報表審計相整合的財務報告內部控制審計》(AS NO.5),以取代AS NO.2,對財務報告內部控制審計準則作了進一步的完善。值得注意的是,上述規則出于對審計責任與能力的考慮,對內部控制的定義僅僅包含了與財務報告可靠性目標相關的部分,省略了經營活動的效率效果及合規性這兩個目標。

2.主要爭論 繼美國頒布SOX法案之后,許多國家都紛紛修訂或制定與內部控制相關的法規和指南,但在具體的制度設計上卻并沒有完全遵循SOX404,如加拿大規定公眾公司對內部控制信息的披露分兩步走,第一階段只披露內部控制設計中存在的缺陷,第二階段擴展到對內部控制的實施缺陷進行披露,但并不要求管理層及審計師對內部控制的有效性進行評價和審計。英國的做法也與此類似,英國公司治理發展史上三個具有里程碑意義的重要文獻——卡德伯利報告 (1992)、哈姆佩爾報告 (1995)和特恩布爾報告 (1999)中一個顯著的特點就是對內部控制披露的要求越來越多,但對其有效性審核方面的要求卻日趨減弱,凸現了它在這一問題上的觀點[1]。歐盟于2006年6月發布第2006/43號指令 《年報和合并報表的法定審計》,雖然規定了公司的風險管理和內部控制,但并不要求公司披露對內部控制有效性的評估結果。注冊會計師或會計師事務所的責任也僅限于向公司內設審計委員會報告內部控制存在的問題,而沒有將內部控制審計列入法定審計的范圍。

從我國的情況來看,基本上走的是SOX的規則,2006年上交所和深交所分別發布了 《上海證券交易所上市公司內部控制指引》和 《深圳證券交易所上市公司內部控制指引》,要求上市公司董事會在年度報告披露的同時,披露年度內部控制自我評估報告及審計師出具的意見。2006年成立的內部控制標準委員會于2008年6月28日正式出臺了 《內部控制基本規范》,要求執行基本規范的上市公司應當對本公司內部控制的有效性進行自我評價,披露年度自我評價報告,并可聘請具有證券、期貨業務資格的中介機構對內部控制的有效性進行審計,并于2010年4月15日發布了與之配套的三項指引 《企業內部控制應用指引》、《企業內部控制評價指引》和 《企業內部控制審計指引》。至此,在基本建成我國企業內控規范體系的同時,確立了企業內控有效性的自我評價制度和注冊會計師審計制度[2],但我國目前將公司內部控制評價報告與內部控制審計報告相互割裂的做法仍然與美國存在差異,后者僅僅針對 “財務報告內部控制”這一較為狹窄的范圍,管理層內部控制評價報告卻包括廣義的內部控制范疇。

從當前國內外在內部控制披露制度建設中存在的分歧來看,主要源于兩個一直未曾解決的爭議性問題:一是管理層是否應對內部控制的有效性進行評價?二是審計師是否應對內部控制的有效性出具審計意見?支持者認為,如果不對所披露的內部控制信息出具證明 (如管理者評價和審計意見),內部控制信息就會因為缺少控制機制導致 “可靠性”問題,并且因為 “低成本的信號不具有可信性”,內部控制披露的信息含量就很讓人懷疑。反對者認為,避免對內部控制報告進行評審主要是出于以下兩點考慮:一是對成本的考慮。對內部控制進行評審勢必會加大公司的披露成本,尤其是對中小公司影響更大。美國財務經理協會 (Financial Executive International,FEI)曾對2003-2005年美國公司執行SOX404條款成本進行了四次調查,結果表明執行成本非常高并且逐年增加,如2003年執行404條款新增人工平均值為6000小時,2005年增加到35099小時;2004年執行404條款新增總成本平均值為193.5萬美元,其中大公司為460萬美元,小公司為17萬美元,2005年新增總成本平均值上升到435.5萬美元,其中,大公司平均值超過了1000萬美元,小公司超過了400萬美元[3]。二是對訴訟風險增加的擔心。在對內部控制 “有效性”評價缺乏高度認同的精準標準之前,公司管理層及審計師都不愿因為引起公眾對 “有效性”“絕對保證”的誤會而承擔更多不確定性的法律風險。面對各執一詞的兩種觀點,監管部門只能在現實的利益沖突中采取騎墻的態度。

然而,真正的原因是否僅僅如上所言?對于一項制度的理性選擇應取決于成本效益的對比,制度的執行成本只是其中一個方面,相較于實施前的制度設計是否能產生增值功能才是問題的關鍵。什么樣的內部控制信息披露才具有增值性是我們進行內部控制披露制度設計的邏輯起點,而在這一點上,堅持系統論的方法,從相關的制度體系入手、結合系統中其它制度的相互作用來分析一項新制度引進的合理性才是更可行的作法。下面我們拋卻評價標準技術方面的爭論,從財務報告控制機制的協同性入手,對SOX法案404條款存在的邏輯缺陷進行分析。

二、財務報告質量體系中的控制機制分析

所謂協同,是指協調兩個或者兩個以上的不同資源或者個體,協同一致地完成某一目標的過程或能力。內部控制信息披露制度的目標是什么?根據COSO的定義 (1992、1994),內部控制是指“由公司董事會、經理階層和其他員工共同實施的,為營運的效率效果、財務報告的可靠性及相關法規的遵循性等目標的達成而提供合理保證的過程”,但從內部控制披露制度產生的背景及制度設計來看,關注的重點主要集中于它對財務報告可靠性的保障功能,如美國SEC在最終規則中對財務報告內部控制的定義為:財務報告內部控制是指由公司的首席執行官、首席財務官或者公司行使類似職權的人員設計或監管的,受到公司的董事會、管理層和其他人員影響的,為財務報告的可靠性和滿足外部使用的財務報表編制符合公認會計原則提供合理保證的控制程序。這一定義與COSO報告中對內部控制的定義相比僅僅包含了與財務報告可靠性目標相關的部分,而省略了經營活動的效率的目標。相應地,當前對內部控制信息披露內容的規定主要是針對財務報告內部控制的缺陷。

如果將財務報告從生產到最后的對外報告及使用看作一個鏈條,沿著這個鏈條,至少存在四種主要的控制機制對財務報告質量提供保障功能,即會計準則規范、公司治理、證券市場監管及獨立審計,這四種機制涵蓋了內部控制和外部控制兩種類型,它們的作用機制各異,功能大小取決于在特定的環境下的約束條件和運行效率。會計準則規范、證券市場監管與獨立審計是SOX法案之前三種常規監管制度,其中,會計準則規范處于財務報告監管的生產環節,直接對財務報告的確認、計量及報告提供操作性指南;證券市場監管處于對外報告環節,主要通過一系列法律、規范對公司對外信息披露的范圍、格式進行指引,并對違規懲處作出規定。對財務報告可靠性提供鑒證及合理保證一直是獨立審計的重要功能,甚至被稱為上述四條防線中最后的 “馬其諾防線”。審計對財務報告的監管功能取決于專業能力和獨立性兩個因素,尤其是獨立性被稱為審計的靈魂。但由于審計職業在獨立性方面存在著先天性的缺陷,一直以來就被公眾所詬病,為了強化公眾對審計職業的信任,政府和市場充當了最后的擔保人,法律機制和聲譽機制成為約束審計師獨立性風險的兩種最重要的保證機制,但因為這兩種機制的運行效率受到諸多因素的限制而不免會產生 “失靈”[4],正如現實中 “馬其諾防線”最后的淪陷,獨立審計這條防線屢屢被突破,公眾開始意識到審計制度的固有缺陷和力不從心,這迫使研究者及監管者都不得不另辟蹊徑,尋找更為有效的控制措施,強制性內部控制披露制度正是在這一背景下提出的。

內部控制是公司內部的管理活動,屬于公司治理的一部分,保證財務報告的可靠性是強制性內部控制披露制度設計的初衷。從內部控制披露對財務報告質量保證的作用機制來看,主要是基于以下邏輯:第一、內部控制作為企業風險管理的重要實施機制,良好的內部控制體系不但能夠直接防范企業內部的錯誤與舞弊行為,即減少舞弊的機會,而且能夠降低企業的經營風險,從而在根本上削弱企業財務造假的動機。根據舞弊三角理論,動機、機會與借口是引發舞弊的三大因素,因此,良好的內部控制體系能夠減少企業各種無意和有意的錯誤,具備不同內部控制特征的公司在財務報告質量上具有質的差別;第二、由于內部控制屬于企業內部的管理機制,投資者無法直接觀察,對其信息披露的要求就應運而生。投資者借助公司所披露的內部控制信息來區分公司,可以及時識別、評價可能損害企業經營的相關風險以及那些可能會影響到財務報告錯報及盈余管理的因素,從而有助于對財務報告可靠性判斷提供信息,降低信息的不對稱。嚴格地說,在以上兩個環節中,真正對財務報告質量起到控制功能的是內部控制活動,事后的披露只是將這一活動的信息傳遞給外部投資者以進行相關的決策①還有一種觀點認為,通過強制性信息披露,使內部控制置于公眾監督之下,可以加強管理者完善內部控制的意識。。

可見,財務報告質量控制體系是一個由不同類型的控制方法構成的系統,在這個系統中,不同的控制方法處于財務報告鏈條上的位置不相同,影響財務報告的作用機理也存在本質性差異,會計準則規范和內部控制更靠近財務報告生產的前端,是對財務報告的生產過程進行控制,屬于事前和事中的防范機制,獨立審計是對財務報告結果進行直接的鑒證,屬于事后的防范機制,證券市場監管則兼具事中和事后防范兩種功能。四種機制在設計上互相補充,只有充分發揮其協同作用,才能更好地防范公司造假,保證財務報告的可靠性。

三、內部控制披露制度在財務報告體系中的協同功能分析

由于在財務報告系統中,各種控制機制并不是獨立地發生作用,而是存在相互影響②這一點已為很多實證研究所證實。如Raghunandan and Rama 2006;Hogan and Wilkins2008;Yan 2007;Li 2007等研究都證明了內部控制對審計的影響。Michelon et al.2009證明了在應計質量上審計對內部控制具有替代效應。,當我們對當前內部控制披露制度中存在的問題進行分析時,應考慮最終的制度協同性后果,這一后果可以從以下兩個方面來評價:一是對財務報告質量的保障功能;二是分散系統內制度風險的功能。

1.對財務報告質量的保障功能 從上述內部控制信息披露的作用機制來看,內部控制信息披露及評價有助于外部投資者對財務報告質量進行判斷,已有的實證研究結果也表明內部控制信息披露具有一定的價值,如內部控制與財務報告質量的相關性研究表明,內部控制缺陷會影響財務報告的應計質量 (Ashbaugh-Skaife et al.2008;Doyle et al.2007)[5][6]。Irving(2006),Hammersley et al.(2008)以及Beneish et al.(2008)則考查了內部控制信息披露的信息含量,他們利用美國上市公司數據,考查了市場投資者對公司所披露的內部控制缺陷的反應,發現內部控制缺陷的披露具有增量信息[7][8][9]。至于管理層對內部控制有效性的評價這一點,“有效性”的標準問題并不是反對的充分理由,管理層是內部控制設計及實施的責任人,對其有效性進行評估本來就是題中之意,而且還可以防止實際披露中沒有實質性觀點的形式主義,以免讓人看了半天也不知所云③如張立民等(2003)、李明輝等 (2003)、瞿旭等 (2009)的研究均表明當前我國上市公司內部控制信息的披露在很大程度上流于形式,沒有實質性內容,自愿性披露動機不強。。而如何界定“有效性”只是一個技術性問題,與本文的分析并無太大關系。

審計的價值之一就在于它出具的意見降低了所鑒證信息的可靠性風險,既然內部控制披露具有一定的價值功能,對其可靠性進行審計的要求似乎就自然成為了一種選擇,然而,對內部控制及評價進行審計是否具備這種增值作用呢?它與我們所熟悉的財務報表審計有何區別?從功能上說,在內部控制審計下,其本質就是將內部控制及審計的兩種不同功能進行復合,更確切地說,是將內部控制功能最終納入審計的框架之下。在財務報表審計中,對內部控制進行評價是審計程序中必不可少的環節,即使在SOX時代,要求審計師單獨出具內部控制有效性評價的審計報告,也并不能代替財務報表審計過程中的內部控制評審程序。與財務報告內部控制審計相比較,兩者在審計師對內部控制的評價過程方面可能是相同的,如PCAOB先后發布的第2號、第5號審計準則都提出了將財務報表審計與財務報告內部控制審計相整合的觀點,只是兩者對相關信息的披露要求不相同。財務報表審計中,內部控制評價只是審計過程的一部分,其結果最多體現在并不對外公開的審計底稿中,內部控制審計則要求將審計師對財務報告內部控制的評價結果對外披露,這就意味著審計報告的使用者不但可以看到最終的審計結果——審計意見,還能獲得有關審計過程的部分信息。但從財務報告可靠性的控制目標來看,這充其量不過是相同的主體對相同的目標提供了一份雙重證明,盡管角度不同,但并不會產生額外的保障功能。因為外部投資者最終關心的只是有關財務報告質量的最終結果,如果他們不信任審計師對財務報告鑒證結果的可靠性,怎么又會相信審計后的內部控制信息更可靠?即便排除了獨立性的疑慮,內部控制對財務報告更多是一種間接性的影響,它主要通過影響財務報告的生產環境來影響財務報告產生錯報的可能性,公眾根據企業內部控制來推斷財務報告質量也僅僅是一種間接的手段,試圖在財務報表審計結果之外,通過審計后的內部控制信息來增加有關財務報告質量的判斷幾乎很天真,難道廣大投資者的專業判斷能力可以勝過 “專業”的審計師?更何況,我們透過一紙報告所看到的信息永遠沒有審計師充分。

2.分散制度風險的功能 在對SOX404條款的爭論中,一個被人忽視的潛在影響是它對系統內制度風險的分散功能。SOX法案后的財務報告監管模式更強調對過程的控制,在這種從結果控制向過程控制縱深發展的監管模式下,財務報告監管的重心開始向財務報告鏈條的上游轉移,從源頭上削弱財務造假的風險,同時也減輕了審計師的責任,將防范公司財務造假的制度風險進行了分散。隨著證券市場的發展和商業環境的變化,廣大投資者、社會公眾和政府越來越依賴會計信息,公眾要求審計師承擔更多的法律責任,審計師對第三人的民事法律責任不斷擴張,二十世紀六七十年代,美國的審計師甚至進入了 “訴訟爆炸”,用Epstein and Spalding的話來說,“幾乎每一樁針對會計師個人的訴訟,都釀成整個職業的一場危機”[10]。但大量的研究表明,審計師法律責任的擴張并沒有帶來審計質量的提高,反而激發了審計師的過度保守行為,一個極端的后果就是審計師 “只與成功的公司打交道”,這已經完全背離了審計制度的目標。針對這種情況,德國學者Ebke(1984)在其 《另辟蹊徑:公司治理與獨立審計師的法律責任的比較法視角》一文中就曾指出,解決會計師法律責任困境的出路在于優化公司財務報告的整個制度結構和法律環境,這需要立法者、證券市場監管者、公司管理層、會計職業界等各方面的共同努力[11]。SOX法案對內部控制的重視恰好印證了這一思想,但卻并沒有充分地貫徹這一思想,404條款中要求對內部控制的有效性評價進行審計實際上又回到了老路上,即將防范財務造假的責任及最終的風險又推到了審計這一個環節,這豈不有違制度設計的初衷?因此,從分散風險的角度來看,對內部控制及評價進行審計并不明智。

四、結束語

Williamson(1983)曾指出,公司控制系統是一個結構化的控制機制組合,不同控制機制之間存在替代或補充作用,公司可以選擇不同的組合結構[12]。不僅公司如此,對監管者來說,也需要從系統的角度來考慮監管機制的設計。如果在一個監管框架中,一種控制機制的功能被其他機制完全包含了,或者說兩者具有充分的替代效應,則這項機制就不可能具有信息含量和增值功能。此外,對公司來說,它會積極地在已有的制度安排中進行組合選擇,這種選擇本身就具有信號功能,當各種控制機制之間重合越多,公司進行組合選擇的空間就越小,就容易使我們陷入Krishnan and Visvanathan所擔憂的由于政府監管的過度干涉導致的公司治理趨同 (corporate governance convergence)結果,這種趨同會抹平公司之間的特征差異,給外部投資者的信號識別帶來困難,反而會削弱系統的績效[13]。因此,在未來的內部控制披露制度及財務報告監管框架的構建中,協同性是一個必須考慮的因素。

[1]王光遠,劉秋明.公司治理下的內部控制與審計—英國的經驗與啟示 [J].中國注冊會計師,2003,(2):17-21.

[2]劉玉廷,王宏.提升企業內部控制有效性的重要制度安排—關于實施企業內部控制注冊會計師審計的有關問題[J].會計研究,2010,(7):3-10.

[3][美]W?羅伯特?克涅科著,程悅譯.審計:增信服務與風險 (第2版)[M].北京:中信出版社,2007.

[4]張艷.論事務所規模化與審計質量保證 [J].審計與經濟研究,2007,(3):34-38.

[5]Ashbaugh-Skaife,Hollis,Daniel W Collins,William R.Kinney Jr.,and Ryan LaFond,2008,The Effect of Internal Control Deficiencies and Their Remediation on Accrual Quality[J],The Accounting Review 83(1):217-250.

[6]Doyle,J.,Weili Ge,and Sarah McVay,2007,Accrual quality and internal control over financial reporting[J],The Accounting Review 82(5):1141-1170.

[7]Irving,Jams H.II.,2006,The Information Content of Internal Controls Legislation:Evidence from Material Weakness Disclosures[D],Doctoral dissertation,University of North Carolina at Chapel Hil1.

[8]Hammersley,Jacqueline S.,Linda A.Myers,and Catherine Shakespeare,2008,Market Reactions to the Disclosure of Internal Control Weaknesses and to the Characteristics of Those Weaknesses underSection 302 of the Sarbanes Oxley Act of 2002[J],Review Accounting Studies 13:141-165.

[9]Beneish,Messod Dan iel,Mary Brooke Billings,and Leslie D.Hodder,2008, “Internal Control Weaknesses and Information Uncertainty”[J],The Accounting Review,83(3):665-703.

[10]劉燕.會計師民事責任研究:公眾利益與職業利益的平衡[M].北京:北京大學出版社.2004.4.

[11]劉燕.注冊會計師民事責任研究:回顧與展望[J].會計研究,2003,(11):34-38.

[12]Williamson,O.E.1983,Organizational Form,Residual Claimants and Corporate Control[J],Journal of Law and Economics,26:351-366.

[13]Gopal V.Krishnan,Gnanakumar Visvanathan.2007,Reporting Internal Control Deficiencies in the Post-Sarbanes-Oxley Era:The Role of Auditors and Corporate Governance[J],International Journal of Auditing,Volume 11,Issue 2:73-90.