(一)《基本规范》颁布前我国内部控制审计的发展一是我国内部控制审计发展的起步阶段。从1996年至2005年,我国社会各界逐渐认识到内部控制的哦重要性,并开始推动企业内部控制工作的开展。1996年12月财政部颁布《独立审计准则第9号――内部控制和审计风险》,提出内部控制“三要素”,确定审计的时间、范围与性质。2001年起,财政部提出了在新形势下加强企业内部会计控制与监督的要求,逐步发行了一系列内部会计控制的相关规范。2002年2月,中国注册会计师协会《内部控制审核指导意见》,对注册会计师就被审计单位管理当局与会计报表相关的内部控制有效性的认定进行审核,进而发表审核意见制定规范,正式确立了我国的内部控制审计制度。2003年6月中国内部审计协会实施《内部审计具体准则――内部控制审计》,基于COSO框架的评价方法,从被审计单位的控制环境、风险评估过程、信息系统和沟通、控制活动、监督五个方面评价内部控制系统。2005年10月,证监会《关于提高上市公司质量意见》的通知,要求上市公司对内部控制制度的完整性、合理性及实施的有效性进行定期检查和评估,同时要通过外部审计对公司的内部控制制度及公司的自我评估报告进行核实评价。
二是我国内部控制审计的发展阶段。2006年至2007年,我国上市公司的内部控制审计制度发生了很大的变化。2006年2月,我国重新修订《中国注册会计师审计准则》,其中1121号准则借鉴COSO报告,提出内部控制的内涵和要素,并分别解释了内部控制五要素的涵义。准则第1231号从审计的角度出发,对注册会计师了解企业内部控制、进行控制测试的程序及方法做出相应规定。2006年5月的《首次公开发股票并上市管理办法》第二十九条明确规定“发行人的内部控制在所有重大方面是有效的,并有注册会计师出具无保留结论的内部控制鉴证报告”。2007年9月国务院法制办的《上市公司监督管理条例(征求意见稿)》、2007年12月深交所的《关于做好上市公司年年度报告工作的通知》及上交所2008年1月的《关于做好上市公司年年度报告工作的通知》,都明确要求上市公司应按照证监会和本所的相关要求,对公司内部控制的有效性进行审议评估。同时鼓励有条件的公司聘请审计机构就公司财务报告内部控制情况作出评价意见,并披露内部控制的自我评估报告和审计机构的核实评价意见。
(二)《基本规范》颁布后我国内部控制审计的发展随着《企业内部控制基本规范》的颁布与实施,我国的内部控制审计建设进入不断完善的阶段。2008年6月颁布的并要求上市公司于2009年7月1日实施的《企业内部控制基本规范》和17项具体规范(征求意见稿),进一步要求执行该规范的上市公司可聘请具有证券、期货业务资格的会计师事务所对内部控制的情况进行审计,并发表审计意见,并鼓励非上市的其他大中型企业施行。同时,鼓励上市公司自愿性地在年报中披露“内部控制自我评估和审计机构的核实评价”。继而,财财政部与中注协主持起草制定《企业内部控制鉴证指引(征求意见稿)》,这些举措意味着我国对企业内部控制的审计也将成为一种趋势,而制定相关的审计准则将有助于企业和注册会计师关注内部控制,提高风险意识,防止、及时发现导致财务报表错报的重大控制缺陷和实质性漏洞,保证审计质量,为投资者提高更可靠、更透明的财务信息。
二、美国内部控制审计发展历程
(一)萨班斯法案颁布前美国内部控制审计的发展一是《证券法》和《证券交易法》。1929年美国爆发较为严重的经济危机,在危机中前行的美国,1933年制定了《证券法》,1934年制定了《证券交易法》,这些法律规定的出台,在美国经济发展史上具有重大意义,对证券交易与监管、财务信息披露等作了具体规定,并首次提出了“内部会计控制”的相关概念,极大地促进了审计的发展。二是麦克森・罗宾斯公司事件与相关文件的出台。1938年美国爆发麦克森・罗宾斯公司破产事件,暴露了审计程序及企业内部控制的严重缺陷。次年10月,美国注册会计师协会第一号《审计程序公告》,首次提出内部控制的评价。SEC对审计程序进行了修正,正式要求注册会计师在审计报告中增加内部控制审查的内容。麦克森・罗宾斯事件让社会各界开始对内部控制审计进行关注。内部控制评价逐步成为财务报表审计组成部分和重要程序,制度基础审计逐渐取代账项基础审计。三是《反国外贿赂法案》及相关建议。1977年美国出台《反国外贿赂法案》,该法案要求SEC管辖的所有公司必须建立保持有效的内部会计控制系统,1978年AICPA成立的注册会计师责任委员会(科恩委员会)提出建议:公司管理层应披露与财务报告相匹配的内部控制报告,注册会计师还应对管理层出具的内部控制报告进行评价并披露相关报告。四是COSO报告及《审计准则公告第78号》(SAS78)。1987年,COSO委员会成立,并于1992年9月颁布了《内部控制――整体框架》报告,即COSO报告,提出内部控制整体框架报告的概念,是内部控制发展史上的一个里程碑。COSO报告认为“内部控制是受公司董事会、管理层和其他人员影响的,为达到经营活动的效率效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程”。内部控制式由控制环境、风险评估、控制活动、信息与沟通、监督五要素相互联系、相互协调共同构成的一个能动的整体。1996年美国独立审计人员协会《审计准则公告第78号》(SAS78),对内部控制进行了肯定和细化,并提出风险控制的意识理念,促进了内部控制审计的进一步发展。
(二)萨班斯法案颁布后美国内部控制审计的发展一是《萨班斯――奥克斯利法案》。本世纪初,安然倒塌,安达信破产,继而世界通信、南方保健等舞弊事件的相继发生,再一次暴露了企业内部控制的缺陷。为了强化企业内部控制的责任,加强对会计、审计、公司治理、证券交易以及美国资本市场的监管,2002年美国国会通过《萨班斯――奥克斯利法案》。该法案的302及404条款规定,管理层应对企业内部控制系统的建立与维护负责,并应在企业年度报告中披露内部控制体系以及控制程序有效性的评价报告。条款还要求独立审计师对公司管理当局的财务报告内部控制的评估进行鉴证,并报告鉴证结果及披露审计意见。这标志着美国上市公司管理层内部控制报告由原来的自愿性披露改为强制性披露,并实现了由审计师单独执行内部控制审计业务的重大飞跃。二是美国证券交易委员会(SEC)的“最终规则”。根据萨班斯404条款有关内部控制的规定,美国证券交易委员会(SEC)于2003年出台了相应的规章制度,在8月《最终规则――管理层对财务报告内部控制的报告及其对定期披露的证明》简称《最终规则》),要求除投资公司以外,所有受1934年证券交易法约束的公司,均应在年报中包括管理层关于公司财务报告内部控制的报告,并要求负责该公司财务报表审计的注册会计师对管理当局出具的内部控制有效性评估报告发表独立审计意见。三是PCAOB的第二号审计准则(AS2)。PCAOB于2004年3月审计准则第2号《与财务报表审计结合进行的财务报告内部控制审计》。该准则重新定义重大控制缺陷和重要控制弱点,合理界定管理当局和审计人员对内部控制应承担的责任,明确要求注册会计师应当在执行公司的财务报表审计业务的同时,对上市公司的财务报告内部控制实施审计业务,即提出整合审计概念。至此,现代审计全面走进财务报表审计与财务报告内部控制审计并重的新时代。四是PCAOB的第五号审计准则(AS5)。PCAOB于2007年审计准则第5号《与财务报表审计整合的财务报告内部控制审计》,对内部控制审计程序与方法等方面的相关条款进行修订与完善,取代了AS2。与AS2相比,AS5进一步优化自上而下的审计方法,修订重大缺陷和实质性漏洞的定义及评价实质性漏洞的重要指标,增加对舞弊控制的评价,区分重要性在审计中的地位,简化原准则的要求,减少不必要的审计程序等。
三、中美内部控制审计的比较与启示
(一)制度规范层面美国的内部控制准则体系起步较早,发展趋于成熟,拥有一套较为独立完善的准则指导体系。与之相比,我国的内部控制审计起步较晚,制度体系较为松散,仍未能形成独立的审计准则,最新的鉴证指引也仅为征求意见稿。与PCAOB的AS5相比,AS5以“管理层对财务报告内部控制的评估报告”为审计对象,而《内部控制鉴证指引》(简称《指引》)则是以“企业内部控制”为审计对象。《指引》与《基本规范》要求注册会计师以企业内部控制整体为审计对象,体现了在思想体系上的一致性。但是,内部控制审计业务在我国毕竟仍处于探索阶段、起步阶段,需要一个逐步适应、分步实施、不断完善的过程。另外,《指引》虽试图实现对企业内部控制整体的有效性发表意见,但内容主要阐述如何对财务报告内部控制进行鉴证。可见,我国对于内部控制审计方面的规范制度的制定还应该进行更深入的探讨与研究,以形成一套合理可行,适合我国国情的内部控制准则体系。
(二)实际执行层面我国的内部控制规范并没有明确强调内部控制审计的不可缺失性,也未具体地规定必要的内部控制审计步骤和程序。在审计实务中,我国审计职业界主要采取了两个方面的对策来进行内部控制的测试工作:运用了解内部控制和进行控制测试的程序表,在审计工作中简单地勾划表格;探索分析性程序,以某些关键指标、关联和趋势作为引导审计资源流向的标杆。但是从总体上来看,这两种方式都不利于内部控制审计程序较好的实施。尽管风险基础战略审计在我国已初步确立,并强调了内部控制对整体审计工作的重要影响,以及注册会计师对企业内部控制制度的保障和监督作用,但内部控制审计在实务中所受到的关注仍不足。因此,我国有必要进一步强调内部控制审计工作的重要性,提出必要的审计程序、内容与方法以指导内部控制审计的进行,以完善内部控制审计,提高审计质量。
(三)信息披露层面我国内部控制信息披露机制尚不完善,我国对内部控制信息披露的强制性规定主要针对的是商业银行、证券公司、发行新股的上市公司等,对其他类型公司还没有强制性规定,还停留在自愿披露。由于我国大部分上市公司不要求强制披露内部控制信息,所以对企业内部控制信息进行审计就缺乏动力与强制性。因此,加强对内部控制审计披露的规范,对我国内部控制相关体系的完善非常重要,同时还能够让审计报告的使用者形成对公司内部控制执行情况的深度了解,提高各类公司信息披露的透明度,以促进更加合理的资本市场的形成。
参考文献:
[1]张龙平、陈作习、宋浩:《美国内部控制审计的制度变迁及其启示》,《会计研究》2009年第2期。
关键词:内部控制效率;内部控制缺陷;审计师变更
中图分类号:F234.3文献标识码:A文章编号:1005-0892(20101)10-0120-09
一、引言
内部控制本质上是组织的内部风险控制机制,它是对企业整体的控制,内部控制的最终目标是提高企业的经营管理水平和风险防范能力。在安然、世通等舞弊案件爆发后,内部控制作为一项重要的风险控制机制,已经成为监管部门、上市公司和学术界等关注的热点。内部控制效率的高低直接影响审计风险的大小,进而对审计师审计模式和效率产生重要影响。国外学者通过研究审计与内部控制的相关性,在一定程度上实证检验了内部控制对审计师变更的影响效应。就笔者所涉猎的文献而言,目前国内尚无学者以审计师变更为视角,来研究上市公司内部控制效率。鉴于此,本文在借鉴国外相关实证研究文献的基础上,结合信号传递理论和风险传导效应,以审计师变更为视角,通过从不同的角度选取内部控制效率的替代变量,对中国上市公司的内部控制效率进行实证研究,并据此为提高上市公司的内部控制效率,提出相应的政策建议。
本文以下的结构安排如下:第二部分是相关理论及文献评述,第三部分是研究设计,包括研究假设、变量界定与样本选择,第四部分是主要的实证结果,第五部分是研究结论与建议。二、相关理论及文献评述
内部控制作为内部管理的一个组成部分,或者是内部管理中的一个环节,在企业管理中具有重要的作用。从本质上来看,内部控制是企业的一项风险控制机制。2001年爆发的安然事件,更是引发了美国乃至全球对内控机制的极大重视,内部控制也由一项自发性的治理机制演化为一种政府监管强力推动的制度建设,内部控制信息的强制性披露被法制化,成为公司透明度建设的重要组成部分。口在这种背景下,我国也加快了内部控制制度的建设步伐,内部控制已经成为监管部门、上市公司和学术界等关注的热点。
内部控制是公司内部治理机制的基石,有效的内部控制能够保证公司的正常运作和发展。外部审计是现代公司治理不可或缺的组成部分,外部审计治理作用的有效发挥有赖于内部控制的良好运作。内部控制和审计分别是影响组织效率的内在因素和外在因素之一,二者自身的产生、演进和彼此之间的互动、耦合,都是追求组织效率的必然结果。现代审计依赖于内部控制,审计人员是内部控制理论研究的发起者和推动者,也是该理论发展至今最大的使用者。
审计师关注与财务报告相关的内部控制。正是由于资本市场对企业财务会计信息质量的要求,才使得作为经济警察的注册会计师对企业内部控制制度的建立与执行尤为关注。根据风险导向审计的要求,审计师首先要了解和评价被审计单位的内部控制,确定风险较高的领域,以便进行重点审计,从而提高审计效率,减低审计风险。
内部控制的良好运作,意味着企业具有较高的内部控制效率,内部控制效率是决定审计风险高低的因素之一。根据风险传导效应,内部控制效率越商,财务报告出现重大错报的可能性越小,审计风险就越低。而较低的内部控制效率,一方面增加了审计风险;另一方面审计师还需要扩大控制测试的范围和改变实质性程序的性质、时间和范围,进而增加了审计成本。审计师为了规避风险,容易主动放弃风险较高的客户。因此,上市公司内部控制效率越低,越有可能导致审计师变更。
根据证监会的要求,上市公司在年度报告中应当披露公司聘任、改聘、解聘会计师事务所的情况。审计师变更是上市公司重要的非财务信息,导致审计师变更的原因比较复杂,不同的动因能够向外界传递不同的信号。审计师变更是审计师与管理当局相互博弈的结果,以审计师变更为研究视角,可以深层次地分析变更公司与非变更公司的不同特征。
国外关于内部控制与审计关系的研究主要集中在《sOX法案》颁布以后。2002年美国颁布了《SOX法案》,该法案的目标是提高公司所披露信息的准确性和可靠性,重建投资者对资本市场的信心。根据《SOX法案》302条款和404条款的要求,美国的公众公司必须在定期报告中公开披露管理层的内部控制报告,由于内部控制数据可以公开获得,这也为实证研究提供了大量数据。《SOX法案》404条款要求审计师必须对内部控制报告进行审核,并对财务报告内部控制的有效性发表意见。Bryant、Peng和Zvinakis选取了2003年85家及时提交10-K报表和59家晚提交10-K报表的美国上市公司进行研究,他们的研究结果表明:及时提交10-K报表的美国上市公司比晚提交10-K报表的上市公司具有更强的内部控制体系,内部控制水平更高。而如果公司的内部控制存在缺陷,则说明该公司内部控制的总体水平不高。内部控制缺陷是内部控制效率较低的标志,内部控制存在缺陷的公司,往往财务信息质量较低,财务报表出现重大错报的可能性较大,客观上增加了审计风险。ChanLi和Yun-ChiaYan他们的博士论文中曾指出,公司在收到负面内部控制审核意见之后,容易发生主动解聘审计师的现象;内部控制存在重大缺陷的公司,容易导致审计师主动辞聘现象。Krishnan研究发现,与内部控制不存在缺陷的公司相比较,内部控制存在缺陷的公司发生审计师变更的可能性更大。由此可见,审计师变更与内部控制总体水平之间具有一定的相关性。
国内关于内部控制效率的研究主要采用规范的方法,从理论上分析产权制度(冯均科,2001)、分工与组织信任(徐虹和林钟高,2010)、信息技术(刘志远和刘洁,2001)以及人的行为(冯均科,2001)对内部控制效率的影响。由于数据的局限性,我国在内部控制尤其是内部控制效率方面的实证研究文献比较少,还处于起步阶段。根据证监会、上交所、深交所的要求,从2007年起上市公司在年度报告中需要全面披露内部控制的建立健全情况,这为实证检验上市公司内部控制效率提供了数据支撑。本文拟基于内部控制与审计的密切关系,借鉴国外相关研究成果,以审计师变更为视角,对中国上市公司的内部控制效率进行实证检验,以期能够为该领域的研究提供一些经验证据。
三、研究设计
(一)研究假设
内部控制效率对审计师变更的影响机制,主要体现在以下三个方面:(1)内部控制是影响财务报告可靠性的一种重要机制,内部控制效率越低,财务风险就越高,审计师为了规避审计风险,容易
退出高风险的审计领域;(2)审计依赖于内部控制,较低的内部控制质量,将导致审计师扩大控制测试的范围以及改变实质性程序的性质、时间和范围,进而增加审计工作强度和审计成本,考虑到成本与收益原则,审计师容易辞聘审计客户或者提高审计收费,而审计费用的增加,又容易导致上市公司选择收费较低的会计师事务所;(3)内部控制效率较低的公司,容易收到不清洁的审计意见,或者较高的内部控制风险容易导致负面的内部控制审核意见,上市公司容易解聘“不听话”的审计师。因此,上市公司内部控制效率越低,越有可能导致审计师变更。然而,内部控制效率是一个抽象的指标,没有实物可以观测与衡量。根据信号传递理论,信息披露是重要的信号显示机制。而作为最了解内部控制效率高低的管理当局,会通过一些信号向外部传递其真实信息。
首先,内部控制信息披露程度反映了内部控制的总体水平,高质量公司的管理层有动机将公司高品质的信号(如较好的业绩、较好的内控及风险防范信息)及时传递给投资者,内部控制效率越高的上市公司,越倾向于披露详细的内部控制信息。因此,本文提出假设1:
H1:审计师变更与内部控制信息披露程度负相关。
其次,在国外的实证研究中,通常以内部控制缺陷作为衡量其内部控制效率的指标之一(Doyle,J.,WeiliGe和SarahMCVay,2007)。内部控制存在缺陷的公司,内部控制效率往往比较低。因此,可以预期:
H2:审计师变更与内部控制缺陷正相关。
再次,完善的内部控制需要得到有效的执行才能体现出其效率。上市公司的内部控制监督部门如果定期向董事会或审计委员会提交内控监督工作报告,则可以认为内部控制制度得到了有效的执行,该公司的内部控制效率相对较高。故而,本文提出假设3:
H3:审计师变更与内控监督部门定期提交监督报告负相关。
最后,自愿披露是一种信号显示机制,自愿披露内部控制鉴证报告也是向市场传递出内部控制效率较高的信号之一。因此,本文提出假设4:
H4:审计师变更与自愿披露内部控制鉴证报告负相关。
(二)变量选择
1被解释变量
本文把审计师变更(CPACHG)作为被解释变量,CPACHG表示上市公司是否发生审计师变更,即2008年度的主审会计师事务所是否与上一年度不同。如果该公司发生了审计师变更,则设定为CPACHG=1;如果是控制样本,则设定为CPACHG=0。
2解释变量
(1)内部控制信息披露程度(ICID)。本文依据上交所和深交所的《上市公司内部控制指引》,结合财政部等五部委联合颁布的《企业内部控制基本规范》,以内部控制五要素为线索,并选取具体的内部控制活动环节或措施,如关联交易控制、对外担保控制、投资管理控制、募集资金控制、会计系统控制、业务控制等6项指标,加上内部环境、风险评估、信息与沟通、内部监督、外部审计监督、内部控制缺陷6项指标,总共设置12项指标。通过对上市公司2008年度报告中披露的内部控制信息进行查询,对内部控制信息披露程度进行评分。每披露与某一个指标相关的制度或者行为,则赋予1分,披露完整12个指标则12分,显然,ICID得分越高,披露越详细。ICID反映了内部控制效率的总体水平。
(2)内部控制缺陷(ICW)。《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》都要求上市公司披露内部控制所存在的缺陷。根据年度报告中披露的内部控制信息,若公司披露的内部控制存在缺陷,则ICW=1;否则,ICW=0。ICW从内部控制制度是否完善的角度,反映了内部控制效率的高低。
(3)内控监督部门定期提交监督报告(IOR)。根据上市公司在年度报告中披露的内部控制信息,若公司的内部控制监督部门定期向董事会或审计委员会提交内部控制监督报告,则IOR=1;否则,IOR=0。IOR从内部控制制度是否被执行的角度,反映了内部控制效率的高低。
(4)自愿披露内部控制鉴证报告(ICAR)。同样,根据上市公司在年度报告中披露的内部控制信息,若公司自愿披露内部控制鉴证报告,则ICAR=I;否则ICAR=0。ICAR从外部监督的角度,反映了内部控制效率的高低。
3控制变量
根据已有研究文献,本文选择以下控制变量:(1)审计意见(OP)。Chow和RiCet发现,收到“不清洁”的审计意见的公司在随后的一个审计年度更有可能更换其审计师,本文预期审计师变更与上一年度的标准审计意见负相关。(2)盈余管理(IS)。盈余管理程度越高,审计风险越高,审计师变更的可能性也就越大。因此,假设审计师变更与收益平滑正相关。(3)股权制衡(BALANCE)。《公司法》第一百七十条规定,公司聘用、解聘承办公司审计业务的会计师事务所,依照公司章程的规定,由股东会、股东大会或者董事会决定。股权结构会对审计师变更造成一定的影响,股权越分散,股东之间制衡作用越强,越不容易发生审计师变更,本文预期审计师变更与股权制衡负相关。(4)董事长变更(CHANGE)。审计师变更是管理当局与审计师相互博弈的结果,不同的管理者倾向于选择“听自己话”的审计师。李驶和薛祖云的研究发现,董事长发生变更的上市公司较容易解聘会计师事务所,本文预期审计师变更与董事长变更正相关。(5)地域特征(ALIEN)。我国会计师事务所的审计业务存在着明显的地域性,审计师的异地特征是影响审计师变更是否发生的显著因素,本文预期审计师变更与上一年度的异地审计师正相关。(6)财务状况(LOSS)。一般来说,上市公司财务状况越差,审计风险越大。本文预期处于财务困境中的公司更有可能变更审计师。(7)资产规模(SIZE)。用公司期末总资产的自然对数来表示。
(三)模型设计
在此基础上,为了检验前述假设,采用logistiC多元回归进行验证,模型如下:
(四)样本与数据
本文选择了2008年度发生审计师变更的A股上市公司作为样本,并按以下原则剔除样本:
(1)由于金融类公司与非金融类公司差异较大,剔除金融保险类公司;(2)剔除距年度报告日上市时间不到一年的公司;(3)剔除因前任审计师及其事务所合并重组、撤销资格、更名或政策性变更等导致非自愿性变更的上市公司。共得到98家审计师变更样本,其中上交所57家,深交所41家。为对照研究,我们选取了相同行业、类似规模但没有发生审计师变更的98家上市公司作为控制样本组,其中上交所57家,深交所41家。
本文所涉及的公司财务数据主要来源于国泰安数据库(CSMAR),并从巨潮资讯网(.CN)、中国注册会计师协会的《2008年度审计快报》中获取部分补充资料,涉及4个内部控制变量的数据由笔者手工整理。本文利用ExCel和SPSS16.0软件完成计算和回归分析过程。
四、实证结果
(一)描述性统计结果
对全样本的描述性统计结果如表2,其中内部控制信息披露程度(ICID)最小值为0,最大值为
12,平均值为7.1990,占理想披露的60%,说明内部控制信息披露程度不高,内部控制效率普遍较低。另外,ICID的标准差为3.024,反映出各上市公司的内部控制信息披露水平差别比较大。披露内部控制存在缺陷(ICW)的公司为42家,占全样本的21.43%,说明并不是个别公司存在内部控制缺陷,而是一个较为普遍的现象。定期向董事会或审计委员会提交监督报告的公司为84家,占全样本的42.86%,说明大多数公司的内控监督部门,没有定期提交内控监督报告,没有有效地行使监督职能。自愿披露内部控制鉴证报告的公司为40家,占全样本的20.43%,说明大多数公司不愿披露内部控制鉴证报告,或者并没有聘请审计机构为其出具内部控制鉴证报告。
从总体上来说,上市公司内部控制制度还不健全,内部控制系统的有效性普遍较低,内部监督和外部监督存在“缺位”现象。
表3比较了变更样本与控制样本在解释变量和控制变量方面的差异,反映了各变量之间的平均数、中位数及其是否具有显著的差异。单变量检测结果显示:两类公司在变量ICID、ICW、IOR、OP、CHANGE、ALLEN方面表现出显著差异。其中,控制样本的ICID和IOR相对较高,分别在1%水平上显著高于变更样本;变更样本中ICV~-在l%水平上显著高于控制样本;控制样本中ICAR虽然高于变更样本,但并不显著。表3初步表明内部控制信息披露程度越高,审计师发生变更的可能性越小;内部控制存在缺陷的公司,更容易发生审计师变更;内控部门定期提交监督报告的公司,发生审计师变更的概率比较低;是否自愿披露内部控制鉴证报告可能不是导致审计师变更的原因。当然,严格的结论还有待于下文统计检验的结果来证明。在变更样本组与控制样本组之间,变量IS、BALANCE、LOSS和SIZE都不存在显著差异。
(二)相关性分析
表4说明各变量之间的相关系数。表中,内部控制信息披露程度(ICID)与内控部门定期提交监督报告(10R)的相关系数在60%以上,不过由于这两个变量不会同时出现在同一模型中作为自变量进行回归,不会有共线性的问题。其他自变量之间的相关系数最高为0.479,未超过0.5,因此不会存在明显的多重共线性问题,不需要特别关注。
(三)Logist回归分析结果
表5是Logist回归分析结果。表5中模型(1)、
(2)的差异在于自变量的不同,也就是以不同的方式衡量内部控制效率。模型(1)以内部控制信息披露程度(ICID)为自变量,ICID反映了内部控制效率的总体高度;模型(2)以内部控制缺陷(ICw)、内控部门定期提交监督报告(IOR)和自愿披露内部控制鉴证报告(ICAR)为自变量,三者分别从制度是否完善、制度是否被执行和外部监督的角度,反映了内部控制效率的高低。
ICID的系数为负,与假设1一致;ICW的系数为正,与假设2一致;IOR的系数为负,与假设3一致;ICAR的系数为正,与假设4相反。回归结果表明:在我国,上市公司内部控制效率的高低是影响审计师变更的重要因素。即审计师变更与内部控制信息披露程度(ICID)在1%水平上显著负相关,假设1得到验证;审计师变更与内部控制缺陷(ICW)在5%水平上显著正相关,假设2得到验证;审计师变更与内控部门定期提交监督报告(10R)在5%水平上显著负相关,假设3得到验证;审计师变更与自愿披露内部控制鉴证报告(ICAR)之间不具有统计显著性,假设4没有得到验证,原因可能是现有法规并没有明确规定审计师对内部控制鉴证应负的民事或者刑事等法律责任,对于内控发表鉴证意见的审计风险没有引起审计师的重视。
就控制变量而言,上一年度的“标准”审计意见与审计师变更显著负相关,说明“非标准”审计意见仍然是导致审计师变更的主要原因;审计师变更与董事长变更(CHANGE)显著正相关,验证了李口和薛祖云㈣的研究结论:董事长发生变更的上市公司较容易解聘会计师事务所;审计师变更与ALIEN显著正相关,说明我国审计市场存在明显的地域性。盈余管理、股权制衡和财务状况的系数符号与假设一致,但与审计师变更不存在显著相关性。
(四)稳健性检验
Healy和Palepu指出,信息披露研究结果中最严重的局限性在于可能存在的内生性问题。在本文的研究中,我们认为内生性问题同样可能存在,这是因为在内部控制信息披露程度与审计师变更之间,可能存在互为因果关系而导致内生性问题。为了对“互为因果”的内生性进行控制,我们采用工具变量法和两阶段最小二乘法,对内部控制信息披露与审计师变更的关系进行重新评估。我们选取是否设置内部审计部门(IA)和董事会开会次数(TIME)作为工具变量,使用内部控制信息披露程度(ICID)的预测值进行分析,避免了自变量和因变量之间可能存在双向影响的问题。回归结果表明:在控制了可能存在的内生性问题之后,审计师变更与内部控制信息披露程度在10%水平上显著负相关。由此可见,审计师变更并未对内部控制信息披露程度产生显著影响,“互为因果”所导致的潜在内生性问题并不影响我们的分析结论。
新常态下,经济发展速度放缓,市场竞争环境加剧,很多企业在业绩上很难再有更高的突破,为了降低公司风险,一些企业逐渐将视角转移到公司治理、内部控制、内部审计上来,以期达到稳固企业生存、实现价值增值的目的。Gramling(2004)研究得出内部审计对报告质量和公司业绩有显著促进作用,进而完善公司治理。王光远(2006)将内部审计看作为内部治理机制。刘汀(2012)论述内部审计可以促进公司治理,公司治理也可以推动内部审计发展。郑伟、徐萌萌、戚广武(2014)认为内部控制与内部审计既相互交叉、交互作用,又相对独立,是一种耦合关系。内部控制控制风险,内部审计控制内部控制,内部审计与内部控制完善公司治理,公司治理达到价值增值,三者紧密结合,缺一不可。内部审计既是一种治理机制,又是一种控制机制,对内部控制进行再控制。所以,内部控制不佳的企业,往往说明内部审计的职能未履行到位,内部审计的形式也不容乐观。第一,从增加公司价值角度而言,程新生,张宜(2005)从上市公司中选取最具代表性行业制造业为研究样本,实证研究内部审计的设立更有利于公司生存,从侧面说明内部审计增加公司价值;李涛,赵志威,江远彬(2014)认为内部审计在从传统查错纠弊型内部审计向增值导向型内部审计延伸的过程中,价值增值作用逐渐凸显;陈莹、林斌等(2016)从内部审计与其他治理机制良好互动的视角检验了内部审计对公司具有重要的价值增值作用,同时也证明领导重视内部审计时,内部审计的地位较高,对公司价值具有显著促进作用。第二,从抑制公司盈余管理,提升公司盈余质量角度而言,陈继初(2010)认为公司规模愈大,内部审计难度愈大,发生盈余管理的可能性就愈大,提高内部审计经费、优化内部审计人员组成状况在一定程度上能够识别与抑制盈余管理;雷英,吴建友,孙红(2013)研究得出披露内部控制审计报告的公司相对于未披露的公司会计盈余质量更高,内部控制审计能够提高公司会计盈余质量;王兵,陈运佳,孙小杰(2014)从内部审计负责人的角度出发,实证研究内部审计负责人的年龄与学历在操控性应计利润大于0时,能够显著提高公司盈余质量。第三,从提高上市公司会计信息质量角度而言,Holt和DeZoort(2008)通过实验数据说明内部审计报告的披露与财务报告的可靠性相关;王守海,郑伟,张彦国(2010)认为内部审计师在财务报告加工和编制的过程中参与大量工作,高水平的内部审计有助于提升财务报告质量;刘怡芳,黄政(2015)从内部审计机构设置、规模大小、制度建设等方面构建内部审计特征指标,实证研究得出开展内部审计活动有助于提高上市公司会计信息质量。
二、新常态下上市公司内部审计现状
从上市公司章程分析,新常态下上市公司均实行内部审计制度,大多数内部审计负责人向董事会负责并报告工作,独立性较好。本文选取国泰安数据库中2007-2015年内部控制自我评估报告、内部控制审计报告为研究数据。
(一)上市公司披露内部控制自我评价报告情况分析
(1)从上市公司披露内部控制自我评价报告分析内部审计现。2007-2015年披露内部控制自我评价报告的上市公司呈快速上升趋势(2015年稍有下降的原因可能是未统计完全)。2007年,审计署首次要求上市公司自愿披露年度内控自评报告,这也是此年披露报告的上市公司仅占全体上市公司10.88%的原因。2010年,证券监管部门要求上市公司在披露内控自评报告的同时披露内部控制审计报告,此年,内控自评报告由自愿性披露改为强制性披露,这促使2010年披露报告的上市公司大幅度增加。2011-2015年披露情况逐年上升,说明上市公司对相关法律法规的执行度较好,积极响应政策,同时对内部控制、内部审计的重视程度有所增加。
(2)从内部控制缺陷情况分析内部审计现状。在2007-2015年,内部控制存在缺陷比例总体呈上升趋势。2013-2014年内控存在缺陷比例小幅度下降原因可能是新常态下,国家反腐力度与审计力度加强,监管力度逐渐加大,企业在大环境的影响下,对自身的内部控制进行治理,取得小幅度效果。但2015年,内部控制存在缺陷的比例又急剧上升,说明在经济新常态下,业绩发展放缓,内部控制缺陷已然不能被业绩所掩盖,内控的弊端自然显露出来。内部控制存在缺陷,对内部控制实施监管的内部审计未能发挥其控制作用,内部审计职能的履行未实施到位。
(3)从内部控制缺陷类型分析内部审计现状。内部控制缺陷类型分为一般缺陷、重要缺陷与重大缺陷。2007-2015年,一般缺陷与内部控制缺陷呈同趋势变化,说明内部控制缺陷中,一般缺陷占的比重最大。重要缺陷、重大缺陷在2012-2014年呈上升趋势,说明企业内部控制的情况较差,内部审计不到位,两者均未发挥其应有职能。2015年呈下降趋势,一方面原因可能是统计不完全所致,另一方面原因可能是新常态下,企业对内部控制、内部审计的重视程度增加,实施改善措施,主动治理内部控制薄弱环节,内部审计的职能有所发挥,导致重要缺陷、重大缺陷的比例下降。尽管有少部分上市公司内部控制良好,但从整体而言,内部控制薄弱,内部审计未实施到位,仍是上市公司内部审计的现状。
(4)从内部控制有效性看内部审计现状。2007-2015内部控制有效性一直是平稳的状态,平均内部控制有效性高达99.79%,尽管内部控制评价一直是有效的,但不排除业绩掩盖缺陷或是企业管理层和对企业进行内部控制审计的会计师事务所存在舞弊沟通的可能,内部控制自评报告有效性的可信度需要依情况而定。
(二)上市公司披露内部控制审计报告情况分析
上市公司2007-2015年内部控制审计报告情况。2007-2015年披露内部控制审计报告的上市公司直线上升,较好地执行了相关政策。9年间,内控审计意见逐渐多样化,从2007年只有无保留意见加事项段到2014年的否定意见、无法表示意见、保留意见加事项段、无保留意见加事项段。同时,非标准审计意见呈上升趋势。这说明上市公司内控问题一直在增加,内部审计职能的履行未实施到位。
(三)上市公司内部审计的财务视角分析财务审计
结果不佳的公司,往往也是内控审计的重灾区。以振兴生化股份有限公司为例,2015年ST生化财务报告的审计意见为带强调事项段的无保留意见,强调事项为:ST生化存在诉讼尚未解决、存在重组事项但尚未实施需要重新协调等,内部控制、内部审计不佳是ST生化存在诉讼、业绩下滑的一个重要因素,从财务报告收到带强调事项的无保留意见也证实了ST生化内控存在问题。ST生化的内控审计意见显示:可能无法有效监控各业务单元,无法起到对内部控制进行再监督的作用。由此可知,内部控制存在缺陷、内部审计未充分发挥职能,导致企业的风险点较多,最终可能会导致企业财务业绩下滑,甚至倒闭。综合以上三个角度,新常态下,上市公司对内部审计的重视程度逐渐提升,内部审计也逐渐发挥了监管作用,有关内控的报告趋于健全和完善,但内部控制薄弱、内部审计未完全发挥其应有的职能仍是内部审计的现状。
三、新常态下企业内部审计面临的挑战
其一,内部审计需求更为强烈。经济新常态下,企业为了稳定业绩,求得生存,将重心投入内部控制、内部审计、公司治理等方面,完善自我,增强竞争力。很多企业开始整治内部控制薄弱的环节,主动建立内部审计部门,将更多的期望寄予内部审计,导致内部审计的需求旺盛。另外,新常态等大环境促使了一系列制度及规范的制定,这些制度及规范的制定也促使内部审计的发展,从而导致企业对内部审计的需求更为强烈。内部审计需求旺盛会引发一系列问题,如内部审计人员紧缺,内部审计经费的投入等。
其二,内部审计治理职能发挥受阻。内部审计在公司治理及价值增值方面具有重要促进作用。公司价值体现在很多方面,不仅是公司业绩增长,经营管理提升、内部控制良好、公司治理完善也是企业价值的重要体现。早在10年前,内部审计就已经出现在大众的视野,但在内部审计出现的前几年间,不受重视已是不争的事实,近两年,内部审计在企业中的地位才逐渐上升。即内部审计的雏形刚刚开始,内部审计制度得不到有效执行以及如何帮助企业提升价值的道路还需要不断探索。内部审计在国内并不成熟,从上市公司反映的情况而言,一些企业内部审计传统职能的发挥都未能实现。
其三,内审人员综合素质不高。新常态下,内部审计治理职能的发挥要求内审人员具备综合素质。内部审计从传统的财务收支审计、监督与评价功能到现在的治理职能,并没有经过成熟的过渡,内审人员肩负重任,要对公司进行治理,一方面要不断掌握内部审计制度、审计法规及各项财经法规等审计知识,另一方面还需要掌握生产经营知识和企业的核心业务,因为只有掌握生产经营知识和核心业务,才会从根本上找出风险点并提出针对性的建议。另外,计算机审计、云审计等现代审计手段提高了审计效率,促进了审计方式的转变,内部审计人员自然要掌握这些审计方法。内审人员的压力与日俱增。
其四,内部审计部门受到威胁。新常态下,企业期望内部审计能够更好地完善公司治理,帮助企业实现价值增值,内部审计部门被寄予厚望。但是内部审计人员的综合素质并没有因为内部审计地位的提升而提升,内审人员综合素质提升的速度不能满足企业期望内部审计能够实现的价值。内审人员的综合素质得不到快速的提升,导致企业在这段时间内部审计效率不高,工作成果不明显,内部审计部门受到企业的质疑。另一方面,一些会计师事务所正是看中这一点并以此为定位,向企业提供内部审计服务,企业内部审计部门将受到威胁。
四、新常态下企业内部审计战略转型
一是由制度规范型转变为法律法规性。制度相对法律法规,震慑力和规范度相对较小,一些内审人员即使违反了内部审计制度,并没有受到实质性处罚,导致内审人员不遵守制度的可能性增加。所以,内部审计要从制度规范型到法律法规型过渡,把内部审计的规矩立起来、讲起来、守起来,牢固树立内部审计人员的法治理念和法治思维,严格依照法定权限、程序履行职责,做到实事求是,依法审计,正确披露,为企业的价值增值和健康发展提供法律的保障。
二是由传统功能型转变为创新发展型。内部审计要想在新常态下长远的发展,必须要走创新之路,将传统的内部审计去糟粕,取精华,在思路上创新、在观念上创新、在方法上创新,补短板、降成本、提绩效、增价值。上海长宁区审计局创新出1+N审计方式、1+N审计合力,从而孵化出N+1审计效果。通过上海长宁区创新的例子,内部审计也要在审计过程中注意融合人力资源,借助互联网审计等,充分利用资源,在审计过程中时刻注意找出创新点,为提高内部审计效率,实现内部审计效果创造条件。
三是由被动接受型转变为主动参与型。被审部门不配合是内部审计在组织中施展的困扰问题之一。内部审计对被审部门进行监督和评价,发表内审意见并向上级领导汇报。通常情况下,在关于汇报的问题方面,内审部门与被审部门会产生沟通上的问题,导致被审部门不满,从而内部审计开展受阻。对此,内部审计应该以积极的态度来面对被审部门的问题,有重点的向领导报告,对于一些不重要的审计发现,要及时与被审部门沟通,并提出建议如何避免这些审计问题,让被审部门主动参与到审计中来,自己发现审计问题并与内审部门沟通,及时找出自己的不足,从根源上避免一些审计问题的发生。
四是由强调独立型转变为注重价值型。自IIA成立之初至今,对内部审计的定义都未曾离开过独立性,独立性在内部审计中占有重要地位。内部审计独立性包括两方面:组织上的独立和经营上的独立。组织上的独立是指内部审计的隶属。根据统计的数据分析,目前我国上市公司内部审计大部分隶属于董事会,组织上的独立性较好。经营上的独立是内部审计不能承担经营管理责任,但如果这样,内部审计就无法找出生产经营过程中的风险点,无法提出切实可行解决问题的方法建议,无法实现内部审计治理职能。现代内部审计是否成功的标志是其服务是否能使组织价值增值,因此,新常态下,内部审计要在保证独立性的基础上实现治理职能,向价值增值方向发展。
五是由监督评价型转变为风险预测型。新常态下,企业经营环境日益复杂,经济环境变化快速,环境促使企业根据市场要求及时进行改革与方向调整。在过去积累的历史经验中寻找对策已经不能满足经济环境的快速发展,过去的结论和未来的变化截然不同,二者之间没有任何继承性,内部审计要在发挥监督与评价职能的基础上对未来的风险做出预测,多参与企业面向未来的规划与决策工作,对未来的情况发生的可能性及时关注,预测风险并提出对策,以便在未来预测的风险实际发生时不至于措手不及。
六是由揭示问题型转变为注重根源型。传统的内部审计总是倾向于在报告中对问题进行简单罗列的叙述,缺乏真正价值。内部审计要想在新常态下长远的发展,就要关注问题产生的根本原因,不清楚导致问题产生的根本原因,就不可能提供正确的建议和改进措施。一些刚刚从事内审职业的人没有接受足够的培训,往往也会忽略问题产生的根本原因,对问题肤浅的解释远远不够,对根本原因的分析才是最重要的。
七是由单一人才型转变为复合人才型。内部审计的关键在于人才的培养,内审人才到位,所有内审问题迎刃而解。新常态下,企业要培养内部审计人才,不仅要培养审计知识,还要培养创新能力,运用信息化审计的能力,经营知识能力和参与企业治理能力以及职业道德素养等,只有内审人的综合素质提高了,才能以战略的眼光预测未来,才能创新出新的审计方式,提高审计效率。
关键词:内部控制缺陷;信息披露;A股上市公司
中图分类号:F276.6文献标志码:A文章编号:1673-291X(2013)23-0185-04
信息披露有助于提高资本市场有效性,降低委托成本和信息不对称,是维系资本市场健康、有效运行的核心制度安排之一。内部控制信息披露不仅是上市公司评价内控设计与运行、提高内控质量并向外界传递内控信息的重要途径,也是投资者进行风险评估与决策,和监管当局对上市公司进行有效监管的重要依据和手段。《企业内部控制基本规范》(以下简称《基本规范》)和《企业内部控制配套指引》的先后颁布,使中国的内控信息逐步从自愿性披露步入强制性披露阶段,并引起学术界关注。
内部控制缺陷是内控过程存在的缺点或不足。内控有效性评价的关键正是判定是否存在内控缺陷、内控缺陷的类型与严重程度及拟采取的措施。国外研究大多集中于内控缺陷披露的影响因素和经济后果。影响因素主要包括财务特征、审计特征和公司治理特征。经济后果方面关注缺陷披露的市场反应,以及内控缺陷对会计信息质量、管理层预测有效性、权益资本成本、债务契约的影响等。国内近年来内控研究虽不断深入,但已有文献主要通过构建内控指数、采用间接替代变量等方式,对内控缺陷披露的关注较少。据笔者统计,目前专门从事内控缺陷信息的实证性研究的只有蔡丛光(2010)、田高良等(2010,2011)、刘亚莉等(2011)和盛常艳(2012)等。这可能源于过去几年,中国上市公司内控信息披露处于无规范约束状态,内控缺陷缺乏统一标准,缺陷披露的随意性较大,可比性和质量较差时。
近年来,中国上市公司内部控制缺陷披露数量和披露规范程度有明显改进。鉴于此,本文以2009—2011年沪深A股上市公司为初始样本,对其内控自评报告及内控缺陷披露情况进行描述统计分析,以认清上市公司内控建设、内控信息披露和内控缺陷现状,为后续相关研究提供基础。
一、上市公司内部控制自我评价报告披露
在以企业为纽带的博弈各方中,内部控制自我评价和审计师对内控的鉴证能够释放企业内部控制有效性的信息,使投资者得以对管理层内部控制行动和自身的投资风险做出判断。
(一)内控自评报告披露的市场和行业分布
本文初始样本包括2009—2011年2647家沪市A股和1415家深市A股上市公司。其单独内部控制自我评价报告的披露情况如表1所示。
2009—2011各年度,深市公司的内控自评报告披露率均在99%以上,远高于沪市公司。但沪市公司的披露率逐年上升,到2011年已超过50%。这可能是根据上交所《关于做好上市公司2010年年度报告工作的通知》的要求。2010年,沪市公司披露内控自评报告的主要为“上证公司治理板块”样本公司、发行境外上市外资股公司及金融类公司,并鼓励其他有条件公司(拟申请加入“上证公司治理板块”的)披露。而深交所的相应年报工作通知要求,深市公司都应根据《基本规范》披露内控自评报告。
从行业分布来看,公司披露内控自评报告的比例较高的行业主要集中在:行业I(金融、保险业),披露比例为75.2%;①行业F(交通运输、仓储业),披露比例为65.3%;行业J(房地产业),披露比例为63.6%;行业K(社会服务业),披露比例为61.8%。
(二)内控自评报告披露的详略程度
本文依据披露的详略程度,将内控自评报告分为简式报告和详式报告。其中,简式报告篇幅一般不超过3页,仅简单表述公司对内控的责任、内控目标、是否开展内控评价工作及评价结论、有无聘请注册会计师进行审计等;详式报告往往详细介绍内控评价工作开展情况、内控制度的建立健全、重点控制活动、内控有效性的结论及改进计划等。详式报告进一步依据其表述方式分为两类,其中,全部或部分按照《基本规范》的内控要素来叙述的归类为框架式报告,其余为叙述式报告。本文2298份自评报告中有113份简式报告(占比4.9%)、1057份叙述式报告(占比46.0%)和1128份框架式报告(占比49.1%)。简式报告全部在上交所披露。在上交所披露的详式报告中80%为框架式报告(617份)。而在深交所披露的详式报告中76.9%为叙述式报告(880份)。
从披露内容看,深交所披露的重点控制活动集中在控股子公司管理、关联交易、对外担保、募集资金使用、重大投资、信息披露方面;而上交所披露的重点控制活动集中在附属公司、金融衍生品交易方面。这与沪深两个交易所2007年的内部控制指引和相关年报工作通知中规定的差别有关。
(三)内控自评报告与内控鉴证(审核/审计)报告
样本年度中,沪深两市共845份内部控制鉴证(审核/审计)报告(或注册会计师对内部控制的评价意见或者专项说明,下同),其中,深市326份,沪市519份。
该845份内部控制鉴证(审核/审计)报告中,有767份是针对内控自评的报告。即深市有326家公司同时披露内控自评报告和内部控制鉴证(审核/审计)报告,而沪市是有441家。
在这845份内部控制鉴证(审核/审计)报告中,非标准无保留意见报告共9份,占仅1.1%。其中,2009和2010年各有2份带强调事项段的无保留意见报告;2011年有4份带强调事项段的无保留意见报告,1份否定意见报告。内部控制鉴证(审核/审计)报告与内控自评报告的结论基本都一致,多为专门基于内部控制鉴证(审核/审计)而出具,极少部分是基于财务报表审计中对内部控制的评价和测试而出具。极低比率的非标准无保留意见,原因可能是目前中国内部控制审计正处于起步阶段,监管力度不足,难以发挥其应有保证作用。
二、上市公司内部控制缺陷信息披露
中国目前对上市公司内控缺陷披露的具体形式、内容和范围都没有明确规定。实际中,内控缺陷信息多以内控信息披露为载体。主要来源包括:年度报告公司治理部分中“公司内部控制制度建立健全情况”一栏;管理当局的单独内部控制自我评估报告;内部控制自我评价报告鉴证(审核/审计)报告。本文将内控缺陷界定为以上来源中所披露的内控缺陷类型、产生原因及改进措施的情况,以及上述部分中虽未明确使用“缺陷”字眼,但存在对内部控制的否定评价,典型的表述为“存在以下薄弱环节”、“有以下不足”,诸如公司治理机制缺乏对公司决策层关键人员的有效制约能力、独立董事履责不到位、债务重组损益处理有误等。对仅提及需进一步完善或改进的内容,如尚需完善内控制度、内审职能、公司治理水平、内控环境建设,内控执行力有待加强等,本文不将其认定为存在内控缺陷。
(一)上市公司内部控制缺陷披露概况
在本文初始样本2009—2011年的4602家沪深A股上市公司中,有539家公司披露内部控制缺陷信息(占比11.7%)。其中,简单说明有不足或提及要整改的有107家;具体说明不足有哪些或具体说明如何整改或有整改计划的有475家;明确使用“缺陷”字眼具体说明有何种缺陷的有64家。
上表说明,深市公司披露内控缺陷的较多;内控缺陷多通过内控自评报告披露;大部分自愿披露内控缺陷的公司虽然有较强的披露缺陷动机,却缺少单独披露内控自评价报告和内控鉴证(审核/审计)报告的动机,这可能是出于成本因素考虑。
(二)披露内部控制缺陷公司的行业分布
将539家披露内控缺陷的上市公司按行业分类,发现其中265家披露内部控制缺陷的公司属于制造业企业,占总数的49.17%。进一步将这265家公司按制造业二级行业分类。披露内控缺陷公司的行业分布情况如表3所示。
从大行业来看,行业M(综合类)、J(房地产业)、K(社会服务业)的上市公司披露内控缺陷比例较高。而从制造业二级行业来看,C99(其他)、C5(电子)、C4(石油、化学、塑胶、塑料)的上市公司披露内控缺陷比例较高。这些行业受社会关注较高,社会关注度高可能提升了公司的内控缺陷披露概率。
(三)上市公司内部控制缺陷披露内容
从披露信息的内容和表述来看,公司披露的缺陷信息集中在制度完善、制度执行、内控监督评估以及子公司管理控制等方面,但大部分内容空泛、同质化。多数自评报告流于形式,说明内部控制存在固有局限性,不存在重大缺陷,也没有具体描述存在的一般性缺陷;①在年度报告“公司治理结构”中披露的缺陷也不具体,通常提及公司制度建设不完善、监督力量薄弱,其次是职责划分不清晰和由于子公司数目增多和业务范围扩大所带来的经营风险,再就是控制活动不合理、关联交易不合法和高级管理者凌驾等缺陷行为。部分公司仅说明有缺陷而没有具体说明缺陷内容。据统计,2009—2011年该539家披露内部控制缺陷的公司共披露8247项内控缺陷,其中有5771项缺陷已经得到整改,占披露缺陷总数的70%;另有2476项缺陷尚未得到整改,占比30%。
1.按缺陷影响程度分类
本文539家上市公司披露的8247项内控缺陷中,43项为重大缺陷,②占总数的0.52%;220项为重要缺陷,占总数的2.67%;其余8155项为一般缺陷,占总数的98.88%。大部分公司披露的是影响程度较低的一般缺陷,仅极少数公司披露重大和重要缺陷。这一方面是因为上市公司缺乏披露重要和重大缺陷的动机,不得已披露缺陷就避重就轻;另一方面也与《企业内部控制评价指引》没有规定重大缺陷、重要缺陷和一般缺陷的具体认定标准有关。若由上市公司根据这几种缺陷的定义自行确定,可能导致一些重大缺陷无法被认定并披露。
2.按缺陷性质分类
参考Ge&McVay(2005),将内控缺陷分为会计层面内控缺陷和公司层面内控缺陷。前者涉及会计核算,包括合同管理、授权审批、资金管理、资产管理、财务核算信息系统、印章管理、会计账务处理等;后者指其他缺陷,包括内控制度不完善或尚未得到有效执行,风险控制、预算编制考核、企业信息系统、供应商与客户管理、企业机构和规章不完善,内部审计职能薄弱,员工素质低等。2009—2011年,样本公司共详细披露749项内部控制缺陷的具体内容。其中有120项属于会计层次内控缺陷,占比16.02%;另外629项缺陷属于公司层次内控缺陷,占比83.98%。
三、总结与建议
本文通过对2009—2011年度A股上市公司内部控制信息披露情况的统计分析,发现:
在内控自评报告披露方面,深市公司的披露比率高于沪市公司;行业I、F、J、K公司的披露比例较其他行业公司高;沪市公司披露的报告相对简略,大部分为框架式报告,而深市公司披露的报告大部分为叙述式报告。
在内控缺陷信息披露方面,披露缺陷的公司相对少;行业M、J、K公司的披露比例较高;重大和重要缺陷的披露比例低;披露的缺陷大多已整改;大多属于公司层次内控缺陷,会计层面内控缺陷披露相对较少。
总体而言,近年来,特别是2011年以来,上市公司披露内控缺陷比例显著提升。但中国当前内控缺陷信息披露仍处于起步阶段,整体披露水平较低,信息含量较差。其可能原因在于:上市公司内控缺陷披露的动机主要来自于监管层的监管压力,其主动披露缺陷的动机较弱;而注册会计师内部控制审计尚未发挥足够的外部治理作用。
建议相关部门出台更具指导性的披露规则,构建有效的内控信息披露监管体系,加强对内控缺陷披露违规行为的监管力度和惩罚机制;积极发挥证券市场对内控有效信息的识别及定价机制作用,引导投资者理性解读内控缺陷信息,保护和鼓励企业自愿进行内控信息披露。加强对内部控制审计的监督,提升内控审计质量,促进注册会计师外部治理功能的实现。
参考文献:
[1]Ge,S.McVay.TheDisclosureofMaterialWeaknessinInternalControlaftertheSarbanes—oxleyAct.AccountingHorizons,2005,
(19):137-158.
[2]Ashbaugh-SkaifeH.,CollinsD.W.,KinneyJrW.R..TheDiscoveryandReportingofInternalControlDeficienciesPriortoSOX-man-dated
Audits.JournalofAccountingandEconomics,2007,(44):166-192.
[3]蔡丛光.内部控制缺陷信息披露的影响因素分析[J].财会研究,2010,(4):33-38.
[4]田高良,齐保垒,李留闯.基于财务报告的内部控制缺陷披露影响因素研究[J].南开管理评论,2010,(4):134-141.
[5]田高良,齐保垒,程瑶.内部控制缺陷对会计信息价值相关性的影响——针对中国股票市场的经验研究[J].西安交通大学学报;
社会科学版,2011,(5):27-31.
【关键词】内部控制内部控制审计内部控制审计目标
2010年,我国《企业内部控制基本规范》及配套指引正式,这标志我国内部控制已转为过程内控、由会计控制转为全面风险管理型内控,我国企业已进入全面建设内部控制的新时期。2011年10月,中国注册会计师协会了《企业内部控制审计指引实施意见》,为注册会计师更有效地执行企业内部控制审计业务提供了全面的技术指引。这是提升我国上市公司财务报告信息披露质量和内部控制水平的重要举措,也标志着我国对上市公司内部控制制度的逐渐重视。从世界范围看,美国内部控制审计的发展历史最为悠久、最具有代表性,最值得我们借鉴。故本文在对美国、中国的上市公司内部控制审计进行梳理基础上,从内部控制审计发展历程、目标、构成要素等几方面对两国上市公司内部控制审计进行比较研究,以期更好地在符合中国国情的基础上,对我国建设和完善内部控制相关规范具有重要意义。
一、内部控制审计发展历程比较
(一)美国上市公司内部控制审计的发展历程
2002年,美国国会颁布了《萨班斯-奥克利法案》,首次提出对“财务报告内部控制”的有效性进行审计的要求。该法案的显著特征就是强制要求所有在美国上市的公司,除了定期的向公众提供财务报告以及相关的公司资料外,同时还要提供企业的内部控制报告,企业的经营者还要对其财务报告信息的真伪及其内部控制运行是否有效进行评价,注册会计师要分别对经营者评价后所报告的财务报告和内部控制制度进行审计,并发表审计意见。
随后,美国公众公司会计监督委员会(PCAOB)审计准则,对会计师事务所执行上市公司财务报告内部控制审计工作进行了规范。在当今美国,内部控制审计成为与财务报表审计并行的一种新审计业务,其发展大体经历三个阶段:在财务报表审计中的内部控制评价测试阶段;内部控制审核及报告阶段;财务报告内部控制审计的产生与发展阶段。需要特别说明的是,这三个阶段的划分是为理清美国内部控制审计的基本发展脉络,并不意味着到了内部控制审计阶段,再执行财务报表审计就不用进行内部控制评价了。
(二)我国上市公司内部控制审计的发展历程
2002年2月,中国注册会计师协会《内部控制审核指导意见》,对注册会计师就被审计单位管理当局与会计报表相关的内部控制有效性的认定进行审核,进而发表审核意见制定规范,正式确立了我国的内部控制审计制度。2003年4月中国内部审计协会颁布了《内部审计具体准则――内部控制审计》,它是为了规范内部审计人员审查与评价被审计单位的内部控制,根据《内部审计基本准则》而制定的。基于COSO框架的评价方法,从被审计单位的控制环境、风险评估过程、信息系统和沟通、控制活动、监督五个方面评价内部控制系统。
2005年10月,证监会《关于提高上市公司质量意见》的通知,要求上市公司对内部控制制度的完整性、合理性及实施的有效性进行定期检查和评估,同时要通过外部审计对公司的内部控制制度及公司的自我评估报告进行核实评价。2008年6月和2010年4月,我国财政部会同证监会、审计署、银监会和保监会等五部门分别了《企业内部控制基本规范》和《企业内部控制审计指引》等企业内部控制制度,确立了我国企业内部控制审计制度,要求执行内部控制规范体系的企业,必须聘请会计师事务所对其财务报告内部控制有效性进行审计。其中《企业内部控制审计指引》自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上交所、深交所主板上市公司施行。2011年12月30日,深圳证券交易所在《关于做好上市公司2011年年度报告披露工作的通知》中第十六条规定:“2011年1月1日起先行执行《企业内部控制基本规范》(财会〔2008〕7号)(以下简称‘《规范》’)的A+H公司和内控试点企业(见附件1),应按《规范》的要求披露内部控制自我评价报告和会计师事务所出具的内部控制审计报告。”
由此可见,美国的内部控制制度起步较早,发展已趋于成熟,拥有了一套相对独立,相对完善的准则指导体系。与之相比较,我国的内部控制审计起步晚,内部控制审计业务在我国仍然处于探索起步阶段,制度体系建设较为松散,仍然需要一个逐步适应、不断完善的过程。比如,美国PCAOB颁布的AS5指出的审计对象为管理层对财务报告内部控制的评估报告,而我国颁布的《内部控制鉴证指引》则是以企业内部控制为审计对象。
二、内部控制审计定义比较
(一)美国内部控制审计的定义
2002年6月,美国证券监管委员会(SEC)根据《萨班斯-奥克斯利法案》404条款的规定,要求上市公司的年度财务报告应包括一份对公司财务报告内部控制的评估以及一份由审计人员对此评估出具的审核报告。2004年美国PCAOB后续出台了AS2审计准则,这时内部控制审计的定义变为:公众公司的审计人员需要在财务报表审计的同时进行财务报告内部控制审计。具体来看,美国的内部控制审计定义在这两年中:对内部控制的保证程度从审核到审计在两年之间提高一个档次;评价内容由对评估报告转变为内部控制有效性。
(二)我国内部控制审计的定义
我国《企业内部控制审计指引》指出,内部控制审计,是指会计师事务所接受被审计单位委托,对被审计单位在特定基准日的内部控制设计与运行的有效性进行评价并出具审计意见。首先需要指出的是指引提出的内部控制审计的涵义定基准日的概念。这里所指的内部控制审计只是注册会计师基于特定基准日,对被审计单位的内部控制有效性发表审计意见,而不是对财务报表涵盖期间内的内部控制有效性发表审计意见。但由于内部控制的有效性并不是时点性的,而是时段性的概念,因此注册会计师不是只需要对该基准日的内部控制发表意见,而是要考察以该基准日为时点的一段时期内被审一计单位内部控制设计以及运行的情况。其次,《指引》中还指出,被审计单位的董事会应当建立健全并实施有效的内部控制,并对内部控制有效性进行评价,这是企业的内控责任。注册会计师的责任是对被审计单位的内部控制实施审计程序,并对其有效性发表审计意见。也就是说,是否建立并执行有效的内部控制是被审计单位的责任,而注册会计师的责任是对被审计单位内部控制建立与执行的有效性进行审计并发表审计意见。因此,审计对象是内部控制设计与运行的有效性,即设计有效且运行有效。
三、内部控制审计目标比较
众所周知,国际上通常认为内部控制应实现三大目标即合理保证:一是财务报告(含相关信息)的可靠性;二是经营的效率和效果;三是对法律法规的遵守。
(一)美国上市公司内部控制审计目标
2004年美国PCAOB颁布的AS2指出,审计目标是审计人员对管理当局对财务报告内部控制(InternalControloverFinancialReporting,以下简称ICFR)的有效性评估报告发表意见,指出审计人员要合理保证被审计单位的ICFR,在所有重大方面符合COSO报告或类似标准。由于PCAOB审计准则要求实行“整合审计”,通过整合审计,可以同时实现两种审计目标,审计人员既可以通过财务报表审计的发现来检查内部控制是否有效,也可通过ICFR审计得到的发现和结论,帮助审计人员更好地计划和实施审计程序,以确定财务报表是否公允地表达。这样,整合审计能改进两种审计的质量和公正性,有效节约成本。美国PCAOB颁布的AS5的修订中进一步明确内控审计目标,在对财务报告内控和财务报表的综合审计中,审计师应该设计他的控制测试,以同时完成两项审计的目标:一是获取足够的证据,以支持审计师对截至年末财务报告内控的意见;二是获取足够的证据,以支持审计师为审计财务报表开展的控制风险评估。
(二)我国上市公司内部控制审计目标
根据我国《内部控制审计指引》中的定义,内部控制审计的目标是就特定基准日内控的有效性获取合理保证。在整合审计中,注册会计师要同时实现两个目的:获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见;获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。
由此可见,美国强制必须实行整合审计,也必须同时实现两个目标,而中国可以在整合审计时同时实现两个目标;在分开审计时各自的目标也非常明确。
审计准则的国际趋同,不仅仅是国际会计师联合会对会员组织的要求,也是其他国际组织的要求。围绕着审计准则的国际趋同,我国进行了一系列艰苦而卓有成效的探索,取得了很大的成果,实现准则国际趋同,在我国职业界已经达成广泛的共识。
参考文献
[1]李金栋,王建中.中美内部控制审计比较研究[J].财会研究,2010(21):65-67.