近年来,内部控制在公司治理中的地位得到了政府监管机构的空前重视。作为一项新的制度设计,2002年7月美国《萨班斯—奥克斯利法案》(以下简称“SOX法案”)的出台对上市公司明确提出了评价、披露及审计(审核)内部控制的强制性要求,其他国家(包括我国)也相继在本国着手实施类似的监管措施,引发了国内外对上市公司内部控制及其信息披露监管的强烈关注与探讨。其中有一个存在争议的问题——内部控制报告需要审计吗?当前各国对这一问题的政策规定并不一致,但其答案对未来的财务报告监管框架及发展方向至为关键,也将直接影响到内部控制披露制度及独立审计制度设计的一系列连锁性反应。本文从系统论及财务报告控制机制协同性的角度,对内部控制报告审计制度的监管含义进行了探讨。 一、内部控制报告审计的提出背景 内部控制信息披露的演进经历了自愿性披露和强制性披露两个阶段。早在20世纪七八十年代,美国Cohen委员会和Treadway委员会就曾对公司管理层披露内部控制报告并进行审计提出建议,但因为制度运行成本过大等原因未能付诸实施。始于安然事件的一系列财务丑闻使得公众开始意识到资本市场的系统性缺陷才是屡禁不止的财务造假的根源,单单依靠独立审计师来承担防范公司造假的责任也许并不现实。基于此,2002年7月美国国会通过了SOX法案,该法案中404条款及相关的103、302条款明确规定了上市公司内部控制信息强制性披露的法律责任,同时提出了对内部控制有效性进行法定审计的要求。 为了配合SOX法案404条款的实施,美国证券交易委员会(SEC)于2002年10月22日发布第33-8138号提案,并于2003年6月5日颁布最终规则《管理层对财务报告内部控制的报告及其对定期披露的证明》,其中对财务报告内部控制进行了定义:财务报告内部控制是指由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的,受到公司董事会、管理层和其他人员影响的,为财务报告的可靠性和财务报表编制符合公认会计原则提供合理保证的控制程序。与COSO报告中对内部控制的定义相比,这一定义仅仅包含了与财务报告可靠性目标相关的部分,而省略了经营活动的效率和效果目标。2004年3月9日,美国公众公司会计监管委员会(PCAOB)发布了第2号审计准则《与财务报表审计相关的财务报告内部控制审计》(ASNO.2),要求由同一会计师事务所同时执行同一公司的财务报表审计业务和财务报告内部控制审计业务,并提出了将两者整合审计的理念。2007年7月,PCAOB又发布了第5号审计准则《与财务报表审计相整合的财务报告内部控制审计》(AS NO.5),以取代AS NO.2,对财务报告内部控制审计准则作了进一步的完善。 继美国颁布SOX法案之后,许多国家都纷纷修订或制定了与内部控制相关的法规和指南,我国也于2006年成立了内部控制标准委员会,于2008年6月28日正式出台了《内部控制基本规范》,要求执行基本规范的上市公司应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。2006年上交所和深交所分别发布了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,要求上市公司董事会在披露年度报告的同时,披露年度内部控制自我评估报告及审计师出具的意见。可以说,通过建立健全内部控制系统及信息披露制度来提高财务信息质量、加强财务报告可靠性已成为国内外资本市场监管部门的共识。 二、内部控制报告的作用机制:理论分析与经验证据 1.理论分析。内部控制是指由公司董事会、经理层和其他员工共同实施的,为经营的效率效果、财务报告的可靠性及相关法规的遵循性等目标的达成而提供合理保证的过程(COSO,1992)。从当前各国对内部控制报告披露及审计的实施规定来看,关注的重点主要在于内部控制对财务报告可靠性的保障功能,对COSO报告中包含的其他两大目标尤其是经营的效率和效果目标则尚未涉及。而从内部控制报告及披露对财务报告质量保证的作用机制来看,主要基于以下逻辑:首先,根据舞弊三角理论,动机、机会与借口是引发舞弊的三大因素,良好的内部控制体系不但能够直接防范企业内部的错误与舞弊行为,即减少舞弊的机会,而且能够降低企业的经营风险,从而在根本上削弱企业实施财务造假的动机。因此,具备不同内部控制特征的公司在财务报告质量上具有质的差别。其次,由于内部控制属于企业内部的管理机制,投资者无法直接观察,对其进行信息披露的要求就应运而生。内部控制信息披露能够提供给外部投资者有关企业内部管理的一些重要信息,如帮助投资者及时识别、评价和管理可能损害企业经营的相关风险信息、可能会影响财务报告错报及盈余管理的信息等,从而有助于其对财务报告可靠性的判断,减少信息不对称。另外,通过强制性信息披露使内部控制置于公众监督之下,也可以督促管理者完善内部控制制度。 2.经验证据。继SOX法案后,研究者沿循不同的分析视角及方法,对披露内部控制信息的公司特征及结果进行了检验。从实证检验的结果来看,一些研究表明,披露内部控制缺陷的公司规模较小,财务状况较差,处于更年轻、更具风险性的发展阶段。内部控制与财务报告质量的相关性研究表明,两者存在一定的联系,但论述并不充分。如:Ashbaugh-Skaife et al.(2008)使用控制样本发现报告内部控制缺陷的公司具有较低的应计质量;但Hogan和Wilkins(2005)发现披露内部控制缺陷的公司与对照样本公司在应计质量上并没有显著差异;Bedard(2006)则发现两者仅仅在披露当年存在差异,在前两年和后两年均没有差异;Doyle et al.(2007)发现只有公司层面重大内部控制缺陷会导致应计项目的低质量,账户层面的重大缺陷则不会,并发现在SOX法案404条款下,公司的重大内部控制缺陷与应计项目质量并无显著联系。Irving(2006), Hamersle et al.(2008)以及Beneish et al.(2008)则考查了内部控制信息披露的信息含量,他们利用美国上市公司数据,考查了市场投资者对公司所披露的内部控制缺陷的反应,发现内部控制缺陷的披露具有增量信息。Beneish et al.对比分析了330家执行SOX法案302条款的公司与383家执行404条款的公司,发现404条款下内部控制缺陷披露不具有信息含量。为什么会出现这样的结果,研究者的解释并不充分。尽管目前国内外对内部控制报告的相关研究还不是很充分,特别是国内研究中实证研究成果非常少,但现有经验证据在一定程度上证明了内部控制报告的价值。