上市公司内部控制信息披露的模式设计

1、内部控制报告的主体

    建立和维护内部控制是管理当局的行为责任，与行为责任相对应的是报告责任，管理当局为解除受托经济责任，在对内部控制进行评价后有责任向外界披露内部控制信息。因此，本文认为，内部控制报告的责任主体应当是管理当局。那么，谁出具内部控制报告更有效呢，是董事会还是经营层?较传统的观点认为，内部控制报告理应由公司经营层负责。这种观点的是建立在承认内部公司治理和内部控制的明确划分基础之上。内部公司治理解决的是股东、董事会、经理及监事会之间的权、责、利划分的制度安排问题，而内部控制解决的是管理当局与其下属之间的管理控制关系。但是，如果将内部控制报告的责任交由总经理(经营层)，随之可能会产生一个很大的问题，那就是经营层控制下的内部控制也许能够按照经营层的意志有效运行，但是可能对维护股东和债权人的权益失效。近年来我国上市公司的一些造假丑闻案件表明，很多舞弊的行为都直接来自公司高层。鉴于此种情况，本文建议应由公司总经理和董事会共同对内部控制报告负责。总经理是公司的执行长官，对公司的经营与管理事务负责，内部控制报告应该由其负责是毫无疑问的；而董事会对内部控制的建立和有效运行负有重大影响，担负着监督和约束经营层的使命，内部控制报告经董事会会议通过后，由董事会负责对外披露，可以提高内部控制报告对外承诺的可信度和效力。而监事会仅对内部控制情况单独发表意见，实现对管理当局建立和执行内部控制的监督。

2、内部控制报告的范围

    内部控制报告的范围应该与内部控制的目标相关，COSO报告将内部控制的目标规定为:保证财务报告的可靠性、经营的效果和效率、现行法规的遵循。理论上讲，内部控制报告应反映与这三类目标相关的整体内部控制的设计及执行情况，是强制信息披露会受到成本效益因素的制约，监管机构在制定具体规定时也需要考虑信息披露的成本。

    目前美国萨班斯法案将内部控制评价及披露的范围限定在与合理保证财务报告可靠性有关的内部控制，SEC则进一步规定上市公司只是针对与财务报告可靠性有关的内部控制进行强制性披露，最终规则规定为“财务报告内部控制”。对于美国上市公司目前的情况而言，披露全部内部控制信息的要求过于严格，因美国采取了折衷的做法，选择了与财务报告可靠性相关的内部控制进行披露。

3、内部控制报告的时间

    内部控制报告的时间包括内部控制报告进行评价的时间和内部控制报告进行披露的时间。

    对于内部控制报告的披露时间，监管机构应该要求上市公司在年末对当年度内部控制的建立和执行情况展开测评，评价后出具的内部控制报告随公司当年的年度报告一同对外公布，并在年度报告中专设“内部控制报告”项目进行披露。例如在本文抽样调查中的民生银行就为此做出了很好的尝试与探索，在其2006年度的财务报告中单独披露了2006年度内部控制自我评价报告，随之披露的还有会计师事务所对此提供的评价意见报告。

4、内部控制报告的质量特征

    一份好的内部控制报告应具备一些基本的质量特征，既包括对内容的质量要求也包括报告表述的质量问题。披露的内部控制信息应当便于投资者理解、分析和使用。总体来说，内部控制报告应具备以下几个质量特征。

    第一，相关性。信息的价值在于与决策相关，满足外部信息使用者的决策使用。相关的内部控制信息不仅应该反映公司内部控制的建立和执行情况，而且还要针对公司内部控制的缺陷提出可行的改进建议，以发挥其对提高内部控制、改善经营管理、提高经济效益的作用，促进组织目标的实现。

    第二，可靠性。内部控制报告应该实事求是，客观公正地反映公司内部控制的情况。报告所做出的意见都应该是符合客观实际的，没有出于个人的好恶而做出有失公正的结论报告应对评价过程所发现的业绩如实地加以反映，所发现的问题要揭示其真相，分析其原因。    

    第三，重要性。内部控制报告披露的内容应当充分考虑对公司内部控制的重要性和风险水平。如果该项内部控制信息的重要性大到足以影响投资者决策，那么公司应当要对其进行披露。

    第四，完整性。它要求管理当局不得在内部控制报告中故意隐瞒或有重大遗漏的事项。公司管理当局不仅要按照规定的格式编制内部控制报告，做到要素齐全，格式规范，而且披露的信息不应遗漏按照规定必须列报的所有项目，尽可能披露对信息使用者决策有用的、而并非法定披露的其他事项和情况，充分评价公司内部控制的完整性、合理性和有效性。

    第五，可比性。公司提供的内部控制报告应当按照国家相关部门制定的内部控制评价标准进行评价，并按照规定的统一格式进行披露，以便于不同公司的信息可比，同一公司的不同时期信息可比。

    第六，清晰性。内部控制报告应逻辑清晰、语言简洁、观点明确，既要完整地表达公司管理当局的观点，防止空泛的议论和对琐事进行阐述，也要易于信息使用者阅读和理解。

5、内部控制报告的内容

    尽管每家上市公司内部控制的侧重点都不尽相同，但是为了发挥内部控制报告的效用，一份完整的内部控制报告应该包含几个方面的基本内容:

5.1公司内部控制评价的时间和标准

    报告中应明确说明内部控制评价的时间和标准，即管理当局是对哪一期间的内部控制展开的评价以及是否选用COSO报告规定的内部控制整体框架作为评价标准。报告中对内部控制评价时间、标准的说明，能使外部信息使用者了解公司是依据何种标准对哪一期间的内部控制展开的评价。

5.2内部控制各组成要素的初步评价结论

    如果公司按照内部控制框架的“五要素”进行评价，应当在报告中描述对内部控制各组成要素进行分别评价。

5.21控制环境

    任何公司的控制活动都存在于一定的控制环境之中，控制环境的好坏，直接影响到公司内部控制的贯彻和执行。控制环境的因素具体包括:个人的诚信正直、道德价值观与所具备的完成组织承诺的能力、董事会与稽核委员会、管理阶层的经营； 理念与营运风格、组织构、职责划分和人力资源政策与程序。

5.22风险评估

    在瞬息万变的市场环境和激烈的市场竞争中，公司的经营风险越来越大，因此需要清楚了解并成功应对各种经营风险。为此，公司应当设立可辨认、分析和管理相关风险的机制，以了解所面临的风险，并适时加以处理。评估风险的前提条件是制定目标，风险评估就是分析和辨认实现所定目标可能发生的风险。管理当局在制定目标的基础上根据对实现目标的潜在影响来确认风险，比较不同方案的潜在影响，展开对风险的评价，并在公司风险容忍度的范围内，考虑风险反应方案的选择。在进行风险评估可以考虑:公司层面的目标及作业层面的目标是否均已制定；公司整体目标的概括是否适当；各级管理人员是否参与对作业层面目标的制定；他们对目标的实现承担什么责任；识别外部、内部的风险机制是否充分；是否建立有效的机制以确定哪些变化可能影响公司目标的实现；是否有适当级别的管理人员参与了风险分析工作；对于可能对公司产生重大影响的变化，是否存在相应的识别并做出适当反应的机制。

5.23控制活动

    控制活动存在于公司的各个层面和各个部门，是确保管理层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动通常包括两个要素:确定应该做什么的政策和影响该政策的一系列程序，具体来说包括技术开发、市场和销售、采购、人力资源、公司管理、对外关系管理、信息技术管理、法律事务管理等等。

    对控制活动评价应当考虑:公司是否已实施必要、适当的控制活动，以保证遵循既定的政策；公司的每一项活动，是否都有相对应的适当的控制活动；每一个控制活动的执行效果如何；这些控制程序执行的一贯性怎样；是否为防止或减少财务报告舞弊风险建立了有效的职责分离制度；是否为保证资产和会计记录的安全完整设计了适当的控制措施。

5.24信息与沟通

    公司的信息系统不仅要处理公司内部产生的信息，如内部经营活动的信息、内部生产过程的信息等，而且也要处理来自公司外部的信息，如显示顾客偏好的市场信息、行政机关公布的信息等。因此公司必须以一定的格式和时间间隔确认、捕捉和传递公司内部和外部的相关信息，使员工能够知悉其编制财务报告的责任。

    对信息沟通评价时应当考虑:公司是否建立良好的信息系统；建立的信息系统与财务报告的生成过程是否有效结合；是否及时向相关人员提供信息，且所提供信息的详细程度是否恰当；公司内部是否有通畅的向下、向上及横向的信息沟通渠道，可以将恰当的信息传递给合适的人员；是否有效地向员工说明他们的职责和在控制系统中的责任；对于员工提出的防止财务报告舞弊的建议，管理当局是否听取和采纳；与外部各方之间是否建立了有效的沟通渠道；外部各方在多大程度上了解公司的道德价值观。

5.25监督

    要确保内部控制被切实地执行，且执行的效果良好，就必须施以恰当的监督。监督活动由持续监督、个别评估所组成其可确保企业内部控制能持续有效的运作。持续监督和个别评估都是用来保证与财务报告可靠性相关的内部控制在公司相关部门持续得到执行，前者为经营过程中的例行监督，后者为内部稽核人员、监事会或董事会等其他人员单独进行的评价。

    对监督的评价可以考虑:是否设有持续监督的程序；评价的频率和范围是否恰当；是否已设置相应的机制，保证已认定的内部控制缺陷均予以汇总和报告；建立的报告传递流程是否当；是否对已经发现的问题采取了恰当的更正或改善措施；管理当局是否接受了内部控制评价小组和外部审计人员的建议。

    内部控制评价标准将成为研究热点。通过本文研究发现，内控信息披露规定的不统一、注册会计师出具审核意见的标准不统一是目前内控信息披露中存在的最严重的问题，内部控制信息披露问题在未来仍是研究的热点问题。高质量的内部控制信息有赖于上市公司管理层客观的自我评价和注册会计师公正的审核，这需要一套恰当的内部控制评价标准，这套标准的建立及其与之相关的内部控制自评报告的格式、内容及其质量特征将成为未来研究的热点。