摘要：本文從內部控制信息披露的必要性入手，分析了內部控制信息披露在傳遞履行受托責任信號、降低代理成本、提高財務報告可靠性及向用戶提供增量信息方面的作用；按照時間順序分析了目前上市公司內部控制信息披露的要求，并結合上市公司2006年年報分析了內部控制信息披露現(xiàn)狀；研究了內部控制信息披露存在的問題，并提出了相關建議。

　　關鍵詞：上市公司 年度報告 內部控制信息披露

　　一、內部控制信息披露的必要性

　?。ㄒ唬﹥炔靠刂菩畔⑴妒枪芾懋斁峙堵男惺芡胸熑蔚囊环N信號傳遞在現(xiàn)代企業(yè)制度下，所有權和經(jīng)營權分離，管理當局承擔了合理、有效管理與運營委托方所交付的資源的責任，必須保證企業(yè)資產(chǎn)的安全、完整，實現(xiàn)資產(chǎn)的保值增值，并以實現(xiàn)企業(yè)價值最大化為目標。委托方可以根據(jù)管理者的經(jīng)營業(yè)績做出繼續(xù)原有契約，還是終止契約的決策。當管理當局管理不善，經(jīng)營效率低下，導致公司業(yè)績下滑，股票價格下跌時，大股東將通過董事會對經(jīng)理人員做出解聘、降低報酬等處罰。小股東則通過“用腳”投票，拋售公司股票。因此，管理當局有職責建立完善并有效執(zhí)行的內部控制制度，通過內部控制信息披露，可以表明企業(yè)的內部控制是否有效。而對企業(yè)內部控制制度進行評估并披露評估結果，可以向證券市場投資者傳遞管理當局履行了受托責任這一信號。

　?。ǘ﹥炔靠刂圃u價可以降低代理成本兩權分離下委托人與代理人之間存在信息不對稱，具有機會主義傾向的管理當局會利用自己的信息優(yōu)勢，以犧牲委托人的利益為代價使自己利益最大化，產(chǎn)生代理成本。由于管理者行為導致的企業(yè)價值下降部分會以分紅和其他報酬降低的形式強加給管理者，也就是代理成本最終將由管理者承擔。為自身利益考慮，管理當局就有使監(jiān)督成本保持最低的動機。因此，管理當局處于自身利益的考慮，需要設置內部控制制度，讓委托人充分了解經(jīng)理人員的努力程度，以降低委托人對管理報酬做出逆向調整的風險。管理層對本企業(yè)的內部控制最熟悉，最有能力對其進行評估，同時將評估結果對外披露。因此，管理當局會定期對本企業(yè)的內部控制的設計和執(zhí)行的有效性進行評估，并將結果提供給外部信息使用者。為提高內部控制報告的可信度，還應當有注冊會計師進行審核并發(fā)表意見。

　　（三）內部控制信息披露可以提高企業(yè)財務報告的可靠性內部控制是由企業(yè)董事會、經(jīng)理層和其他員工實施的，為營運的效率和效果、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程。良好的內部控制制度能夠及時地發(fā)現(xiàn)舞弊，從而有效降低財務報告舞弊的負面影響。美國注冊舞弊審查師協(xié)會2002年報告統(tǒng)計顯示，通過內部控制發(fā)現(xiàn)的舞弊公司比例達到15.4％。事實上在其他發(fā)現(xiàn)舞弊的途徑中直接或間接與內部控制有關的更多，如員工舉報（26.3％）客戶或供貨商舉報（13．7％）匿名舉報（6.2％）可以歸集到內部控制框架中的信息與溝通要素；而內部審計（18.6％）則可以歸集到內部控制框架中的監(jiān)控要素。由此可見，內部控制框架的合理設計和有效執(zhí)行，能夠很好地發(fā)現(xiàn)并防范舞弊的發(fā)生。

　?。ㄋ模﹥炔靠刂菩畔⑴犊梢韵蛲獠渴褂谜咛峁┴攧請蟾嬉酝獾脑隽啃畔ermanson（2000）調查研究表明，內部控制報告改進了內部控制，提供了額外的與決策有用的信息。通過內部控制報告，用戶可以一定程度上了解企業(yè)管理控制是否有效。如果企業(yè)有著良好的控制制度，則企業(yè)的經(jīng)營有序而有效，能夠防范經(jīng)營活動中的風險。反之，如果企業(yè)的內部控制混亂，則風險較大，用戶在做出投資決策時就必須謹慎，因此，信息的外部使用者在進行決策時，除了根據(jù)反映公司財務狀況、盈利狀況等數(shù)量指標外，還較為關注內部控制的有效性和健全性。

　　二、上市公司年度報告內部控制信息的披露規(guī)范

　　（一）內部控制定義按照《上海證券交易所上市公司內部控制指引》（2006）中，“內部控制是指上市公司為了保證公司戰(zhàn)略目標的實現(xiàn)，而對公司戰(zhàn)略制定和經(jīng)營活動中存在的風險予以管理的相關制度安排，是由公司董事會、管理層及全體員工共同參與的一項活動?！北M管財政部于1996年發(fā)布了《獨立審計具體準則第9號——內部控制和審計風險》（現(xiàn)已廢止），其中最早提出內部控制的定義和內容（即控制環(huán)境、會計系統(tǒng)和控制程序），但是并沒有明確規(guī)定內部控制信息的披露問題。此后，從1997年到2001年初，中國人民銀行、中國保險監(jiān)督管理委員會、中國證券監(jiān)督管理委員會分別就保險公司、證券公司、期貨經(jīng)紀公司、商業(yè)銀行等金融機構出臺了內部控制方面的指導原則、原則和準則，要求各金融機構的必須建立完善的內部控制制度，以有效防范金融風險，保證金融業(yè)安全穩(wěn)定地運行。并要求證券公司在年度報告中應對內部控制制度的完整性、合理性與有效性（以下簡稱“三性”）作出說明；其所委托的會計師事務所應對“三性”進行評價，提出改進建議，并出具評價報告；會計師事務所指出以上三性存在嚴重缺陷的，董事會應對此予以說明，監(jiān)事會應就董事會所做的說明明確表示意見，并予以披露。但是一直并無對上市公司內部控制信息披露的普遍約束。

　?。ǘ┍O(jiān)管機構內部控制規(guī)范2001年初，中國證券監(jiān)督管理委員會分別頒布了《公開發(fā)行證券的公司信息披露內容與格式準則第1號——招股說明書》和《公開發(fā)行證券的公司信息披露內容與格式準則第11號——上市公司發(fā)行新股招股說明書》，規(guī)定發(fā)行人應披露公司管理層對“三性”的自我評估意見和注冊會計師關于發(fā)行人內部控制評價報告的結論性意見，注冊會計師指出“三性”存在重大缺陷的應披露并說明改進措施。但是上述兩個規(guī)定主要是關于上市公司發(fā)行新股的信息披露。尚不是年度報告的信息披露要求。2001年底，中國證券監(jiān)督管理委員會發(fā)布了《公開發(fā)行證券的公司信息披露內容與格式準則第2號——年度報告》（分別于2002年、2003年、2004年和2005年歷年修訂），提出監(jiān)事會應發(fā)表的獨立意見包括“是否建立完善的內部控制制度”等?？梢?，這是監(jiān)管機構首次普遍規(guī)定上市公司披露相關內部控制信息，但從其要求來看，并無強制約束力。2005年底，國務院發(fā)布了《國務院批轉證監(jiān)會<關于提高上市公司質量意見>的通知》，對上市公司內部控制提出了新的要求，要求上市公司加強內部控制制度建設，強化內部管理，對內部控制制度的完整性、合理性及其實施的有效性進行定期檢查和評估，其中有關“要通過外部審計對公司的內部控制制度以及公司的自我評估報告進行核實評價，并披露相關信息”的要求，對于推行上市公司內部控制制度自我評估、并由外部審計核實評價的制度提供了依據(jù)。

　　2006年，上海證券交易所和深圳證券交易所分別發(fā)布了《上海證券交易所上市公司內部控制指引》和《深圳證券交易所上市公司內部控制指引》（以下簡稱《指引》）?！吨敢肪笊鲜泄荆ㄉ钍袨槠渲靼骞荆┰谀陥笾信秲炔靠刂浦贫鹊闹贫ê蛯嵤┣闆r，并明確了公司董事會對內部控制制度負責，董事會應形成內部控制自我評價報告；注冊會計師在對公司進行年度審計時，應出具內部控制評價意見；內部控制自我評價報告和注冊會計師評價意見與公司年度報告同時對外披露。只是上交所《指引》于2006年7月1日起實施，而深交所《指引》于2007年7月1日起生效?！吨敢冯m然沒有對上市公司內部控制制度的建立做出強制性規(guī)定，但對內部控制制度自我評估報告卻有強制性信息披露的要求，這實際上就是將上市公司的內部控制信息納入強制性信息披露范圍。

　?。ㄈ┕芾聿块T內部控制規(guī)范2001年，財政部先后頒布了《內部會計控制—基本規(guī)范（試行）》和貨幣資金（2001）、采購與付款（2002）、銷售與收款（2002）、工程項目（2003）、對外投資（2004）、擔保（2004）等六項具體內部控制規(guī)范，克服了原有內部控制定義局限于審計的缺陷，對促進企業(yè)內部控制的建立和完善，改變企業(yè)內部控制乏力、企業(yè)內部管理混亂的現(xiàn)狀具有積極的作用。

　　2002年，中國注冊會計師協(xié)會頒布了《內部控制審核指導意見》，對內部控制的審核進行了指導，提出了注冊會計師就被審計單位管理當局在特定日期對內部控制有效性的認定進行審核并發(fā)表審核意見的相關要求。2003年，中國內部審計協(xié)會下發(fā)了《內部審計具體準則第5號——內部控制審計》，提出了建立、健全內部控制并使之有效運行是組織高級管理層的責任，內部審計人員應實施適當?shù)膶彶槌绦?，以評價被審計單位的控制環(huán)境、評價組織風險管理機制的健全性和有效性、控制活動的適當性、合法性、有效性。但僅從審計角度而言，并非對上市公司的內部控制信息披露進行規(guī)定。

　　2006年，財政部在國務院有關部門的同意下，發(fā)起成立了由來自監(jiān)管部門、實務界、理論界的專家學者組成的企業(yè)內部控制標準委員會，旨在為推進我國企業(yè)內部控制建設提供政策咨詢。同時，中國注冊會計師協(xié)會也發(fā)起成立了會計師事務所內部治理指導委員會。力爭通過未來一段時間的努力，基本建立一套以防范風險和控制舞弊為中心、以控制標準和評價標準為主體，結構合理、內容完整、方法科學的內部控制標準體系，推動企業(yè)完善治理結構和內部約束機制。通過內部控制委員會的努力，2007年3月2日，財政部印發(fā)了《（企業(yè)內部控制規(guī)范——基本規(guī)范）和17項具體規(guī)范[征求意見稿]的通知》，將已草擬的《企業(yè)內部控制規(guī)范——基本規(guī)范》和17項具體規(guī)范（征求意見稿）向社會公開廣泛征求意見。

　　三、上市公司年度報告內部控制信息披露現(xiàn)狀分析

　　（一）內部控制披露缺失從（表1）看，從現(xiàn)行規(guī)定看，兩個交易所分別就其上市公司（深市為主板公司）的內部控制信息披露作出了規(guī)定，要求董事會對公司內部控制自我評估報告形成決議，公司董事會應在年度報告披露的同時，披露年度內部控制自我評估報告，并披露會計師事務所對內部控制自我評估報告的核實評價意見。滬市上市公司從2006年年報已經(jīng)開始執(zhí)行該指引，而深市主板公司從2007年年報開始執(zhí)行。筆者抽取了上海證券交易所于2007年1、2月份率先公布2006年年報的江南高纖等30家上市公司的年報，分析了年報中內部控制信息的披露，并與其2005年年報中內控信息的披露作了比對。2005年年報中，30家公司有16家公司披露了內部控制信息，14家公司對于內部控制未作任何披露。16家披露了內部控制信息的公司沒有一家進行詳細披露，只是在監(jiān)事會報告或董事會報告中簡單提到“公司建立健全了各項內部控制制度”，沒有披露內部控制制度的建設情況和內容及存在的缺陷，更沒有自評報告和注冊會計師的審核報告。

　?。ǘ﹥炔靠刂婆缎畔⒉蝗珡模ū?）看，從披露主體到披露內容及是否自評和是否有注冊會計師的審核方面差別很大。30家上市公司全部在其“重大事項”中披露了內部控制制度的建設情況，其中3家還在董事會報告和監(jiān)事會報告分別披露了內部控制相關情況，有9家單獨在監(jiān)事會報告中作了披露，有1家在董事會報告中披露，另外17家未在董事會和監(jiān)事會報告中披露。但是只有6家公司按照上海證券交易所的要求披露了內部控制自我評估報告及會計師事務所對內部控制自我評估報告的審核意見，注冊會計師的審核意見均為無保留意見。只有1家公司（sT百花）按照上交所的要求披露了下一年度內部控制工作計劃。沒有任何一家公司披露其內部控制中存在的缺陷。內部控制信息的披露格式和內容也不一，有的公司披露較為詳細，如南山實業(yè)、常林股份等，詳細介紹了內部控制的建設情況，在內部控制自我評估報告中，對內部控制的全面性、完整性、合理性和有效性也進行了評價。但大多數(shù)公司如宜華木業(yè)等只在重大事項中通過諸如“公司內部控制制度比較完善”等簡單字眼來交待內部控制的建設情況。

　?。ㄈ﹥炔靠刂菩畔⑴恫辉敿毻ㄟ^上述可以發(fā)現(xiàn)，上交所《指引》的頒布有助于上市公司內部控制信息披露，許多以前在年報中沒有披露任何內部控制信息的公司已經(jīng)按照要求進行了披露，管理層基本都會披露內部控制制度的建設情況，部分公司會詳細披露內部控制內容，少數(shù)公司披露董事會的內部控制自我評估報告及注冊會計師的審核意見和來年內部控制工作計劃?！吨敢返念C布的確促使了上市公司建立、健全和完善內部控制，提高上市公司的公司治理水平，便于投資者進一步評價上市公司信息披露的質量。但大多數(shù)的公司能夠提供的信息只是表明公司建立健全了各項內控制度，至于內部控制的具體內容、建設情況、公司自我評估及注會的審核這些信息卻披露甚少，甚至未涉及到，表明上市公司披露內部控制信息的動力明顯不足，這樣投資者不能從中獲取更多的有用信息。

　　四、上市公司年度報告內部控制信息披露的建議中

　?。ㄒ唬┮?guī)制主體目前上市公司年度報告中內部控制信息披露的主要依據(jù)是上交所和深交所頒布的兩份《指引》，盡管兩個《指引》均要求上市公司完善內部控制制度并對相關信息予以披露，但是在內部控制信息披露上還是存在一些差異。如上交所要求上市公司在年度報告中披露一下年度內部控制工作計劃，而深交所則無此要求。筆者認為，既然兩所均是以《國務院批轉證監(jiān)會<關于提高上市公司質量意見>的通知》為直接依據(jù)對內部控制進行規(guī)范，指引所涉及的內容相差無多，又略有差異，完全可以由證監(jiān)會制定統(tǒng)一規(guī)定，對上市公司內部控制相關問題進行規(guī)范，這樣不僅在法律級次上要高，也會避免政出多門。

　?。ǘ┡兜呢熑沃黧w我國法律法規(guī)并沒有明確規(guī)定內部控制的責任主體，間接涉及的規(guī)范有：《公開發(fā)行證券的公司信息披露內容與格式準則第2號——年度報告》（分別于2002年、2003年、2004年和2005年歷年修訂），提出監(jiān)事會應發(fā)表的獨立意見包括是否建立完善的內部控制制度等；《上海證券交易所上市公司內部控制指》中指出公司董事會應確保內部控制制度健全有效，董事會及其全體成員應保證內部控制制度相關信息披露內容的真實、準確、完整；《深圳證券交易所上市公司內部控制指引》中也指出公司董事會應對公司內部控制制度的制定和有效執(zhí)行負責。兩份指引強調董事會是上市公司內部控制監(jiān)督的主要責任主體，而《指引》發(fā)布前，一般根據(jù)《公開發(fā)行證券的公司信息披露內容與格式準則第2號——年度報告》認為監(jiān)事會是內部控制信息披露的主要主體。目前董事會和監(jiān)事會均成為內部控制信息披露的主體，但披露的內容和其角色究竟有什么不同。上市公司理解并不盡一致，因為上市公司內部控制的有效性和完整性有的上市公司由董事會披露，有的由監(jiān)事會披露，有的是董事會和監(jiān)事會均披露。筆者認為，對責任主體的規(guī)定應該統(tǒng)一，或者將董事會和監(jiān)事會的責任加以區(qū)分，在披露內容上應當各有側重，否則會使上市公司無所適從。

　　（三）注冊會計師的評估依據(jù)《指引》要求會計師事務所應參照主管部門有關規(guī)定對公司內部控制自我評估報告進行核實評價，但這一規(guī)定還不具體細致，評價上市公司內部控制尚缺乏統(tǒng)一的依據(jù)。注冊會計師在出具的內部控制審核報告中表明審核的依據(jù)是《內部控制審核指導意見》（2002），但由中國注冊會計師協(xié)會發(fā)布的該意見中，內部控制審核限定在對某一特定時日、且與會計報表相關的內部控制進行的審核。由于沒有統(tǒng)一完整的內部控制體系，對內部控制的評價沒有與財務報告審計中的內部控制評價明顯區(qū)分開來，造成評價流于形式。此外，《內部控制審核指導意見》雖然規(guī)定了內部控制評價的范圍、程序、方法和報告等一般性要求，卻沒有涉及評價內部控制的操作性工具。這不能回答應該對上市公司的哪些控制內容和要點進行測試，以及根據(jù)什么標準確定測試結果對應的評價意見類型。因此，建議由中國注冊會計師協(xié)會或會同證券監(jiān)督管理委員會，借鑒美國上市公司監(jiān)察委員會（PCAOB）和注冊會計師協(xié)會（AICPA），關于財務報告內部控制評價的相關規(guī)定制定評估標準，如公司內部控制中存在未更正的重要控制弱點，注冊會計師不能發(fā)表財務報告內部控制有效的無保留意見；財務報告存在實質性錯報，公司沒有發(fā)現(xiàn)而注冊會計師發(fā)現(xiàn)，則表明公司內部控制中存在重要控制弱點。

　?。ㄋ模吨敢妨P責的完善盡管目前《指引》要求上市公司披露內部控制相關信息，但是并未明確上市公司未按要求披露會承擔的法律責任。因此，應該完善相關的法律和規(guī)章制度，要形成適宜、暢通的上市公司內部控制信息披露的法律責任追究和懲戒機制，為監(jiān)管提供有力保障，否則只能是消極監(jiān)管。筆者認為，應當明確不同違規(guī)行為（如披露不實或披露不全）所適用的司法程序，加強和細化對證券民事責任方面的規(guī)定，我國目前法律存在著重行政、刑事責任輕民事責任，尚未大規(guī)模啟動民事賠償機制?！蹲C券法》通過規(guī)定各類虛假陳述行為人應承擔相應的民事賠償責任的方式，已經(jīng)賦予了被侵權的投資人進行民事賠償訴訟的權利。目前應當解決的是將這些權利在內部控制信息披露民事責任賠償方面予以細化，建立明確的責任劃分衡量及懲罰標準并認真地付諸實踐，并要求具有可操作性。這對從根本上遏制內部控制信息披露不實，以及進一步明確企業(yè)管理層及注冊會計師的法律責任具有重要的意義。