【作 者】
刘爱松(博士)
【作者单位】
(广东轻工职业技术学院经济系,广州 510300)
【摘 要】
【摘要】 内部控制是信息披露机制的质量保障机制,审计委员会和管理层通过内部控制来影响信息的质量。内部审计的特征决定其能通过协助审计委员会和管理层有效履行内部控制职责来发挥其在信息披露机制中的作用。本文将着重探讨内部审计在信息披露机制中的重要性。
【关键词】 审计委员会;管理层;内部审计;信息披露;内部控制
一、引言
信息披露作为一种重要的公司治理机制,总是受到监管机构和会计职业界的特别关注,他们对信息质量的担忧使得它们持续努力以改进信息披露机制。这在一系列的研究报告或法规中得到了集中体现:1987年虚假财务报告全国研究委员会(NCFFR)对虚假财务报告的研究,1992年英国卡德伯利委员会(Cadbury Committee)从财务报告视角对公司治理的研究,1998年蓝带委员会(BRC)改进审计委员会效率的研究,以及作为对安然公司和世通公司舞弊案的直接应对的《萨班斯—奥克斯利法案》(SOX法案),无不想尽办法改进信息披露。
这些报告和法案中改进信息披露的措施主要体现在以下三个方面:第一,扩大信息披露的范围和提高信息的质量;第二,加强内部控制;第三,强化信息生产的各方当事人——审计委员会、管理层、注册会计师和内部审计的职责并改进其质量。其中,SOX法案因为罕见地采用了国会立法的方式而具有更大的影响力,该法案强化了审计委员会的监管责任、CEO和CFO的财务报告责任以及注册会计师的责任,但对内部审计却不置一词,因而被一些研究者认为是不完整的(Abbott、Parker和Peters,2010)。
与此同时,国际内部审计师协会(IIA)竭力提高内部审计的地位,该组织在其2002年SOX法案征求意见阶段向美国国会提供的建议中,将内部审计与董事会、管理层和外部审计合称为公司治理的四根支柱(IIA,2002)。内部审计在公司治理机制中究竟有什么样的作用?它如何发挥其功能?本文将从信息披露机制的角度对这两个问题进行讨论。
二、信息披露机制的构成
信息披露机制的要件包括基本的当事人、保障机制及其产品(信息)。右上图列示了信息披露机制的构成。
(一)信息披露机制的当事人
1. 第一层次的当事人。图中的信息披露机制给出了股东、董事会/审计委员会、管理层和内部审计等各当事人,但各当事人的地位是不相同的。股东、董事会和管理层是公司治理中较关键的三方当事人(BRT,2012),在作为公司治理机制重要组成部分的信息披露机制中,也自然地成为第一层次的当事人:股东作为所有者,不参与公司的日常经营,但有权利获得公司提供的信息,这种信息包括对外财务信息和对外非财务信息,股东依据这些信息做出决策。由于股东(尤其是中小股东)和管理层相比,因为不参与公司的具体经营而处于信息的劣势,为了保护他们的利益,各国通行的做法是制定各种法律法规(包括会计准则)对信息披露做出强制性要求。
股东、董事会和管理层之间存在着清晰的责任关系:股东选举董事会,董事会聘请以CEO为首的管理层,授权并监督其管理公司的日常经营。由此,管理层对董事会负责,董事会对股东负责(BRT,2012)。作为公司日常经营一部分的信息披露也体现了这种责任关系:与股东只作为所有者而不对公司日常经营承担任何责任的身份相一致,股东也不需对信息披露承担任何责任,而只享受获得信息的权利。董事会作为股东的代理人,要对信息披露进行监督,确保管理层有效履行信息披露的相关责任,董事会往往将这些职责委托给审计委员会履行,因此,如不具体指明,后文的审计委员会包含董事会。管理层作为公司日常经营的负责人,在信息披露事务上是具体的执行者,他们不仅要负责各种信息的生产和披露,还要负责建立、保持内部控制系统并对其有效性进行评估,以保证信息披露机制生产的信息在质量方面符合相关法律法规的要求。管理层是一个由CEO到最基层管理者组成的集合,他们对信息披露的责任依据其管理层级进行具体分配,下级对上级负责,财务负责人如CFO对最高管理者CEO负责,CEO则向审计委员会承担最终责任(BRT,2012)。
2. 第二层次的当事人。在第一层次的当事人中,管理层具体负责信息的生产和披露,包括建立相关的内部控制系统。审计委员会履行监督者的责任。在履行信息披露的责任过程中,审计委员会和管理层不可能完成全部的具体事务,而需要借助其他当事人的力量,内部审计便是第二层次的当事人。而正是在这一意义上,内部审计才通过为审计委员会和管理层提供支持,具有了公司治理的职能。
3. 各当事人的信息优势。上述各当事人拥有的信息是不相同的:第一层次的当事人中,管理层身处公司内部,直接负责公司日常运作包括信息的生产,因此拥有最多的信息。股东尤其是中小股东,身处公司外部,拥有的信息最少,保护他们获得必要的信息是公司治理的核心议题之一。董事会中由独立董事组成的审计委员会负责对管理层的财务报告过程和其他信息披露进行监督,尽管他们可以获得许多信息,但较之于管理层,在信息占有方面仍处于劣势。作为第二层次当事人,内部审计处于公司内部,信息优势强于独立董事,也因为这点,通过协助审计委员会履行信息披露责任,可以减轻审计委员会与管理层之间的信息不对称程度。
(二)信息披露机制的产品
1. 信息的类型。按照2013年COSO修订的内部控制框架,内部控制生产的报告按照呈报的对象可分为对内报告和对外报告,按内容又可分为财务报告和非财务报告。如此,按这两个标准可以将报告中包含的信息分为四种类型:对内财务信息、对内非财务信息、对外财务信息和对外非财务信息(如上图中最底部的大框中所示)。公司向股东披露的信息是对外信息,包括财务信息和非财务信息。
需要指出的是,审计委员会和管理层在履行信息披露责任时,同时会产生对信息的要求,这便是内部信息(包括对内财务信息和非财务信息)。当然,管理层对信息的要求不仅源于履行对外信息披露的责任,还包括履行业务管理职能而产生的信息需要。
2. 信息的质量。COSO(2013)内部控制框架明确指出,内部控制的报告目标不仅包含四种类型的信息,还包含了信息的质量特征,这包括可靠性、及时性、透明性以及管制机构、准则制定机构和公司政策确定的其他信息质量指标。这意味着公司不仅要生产信息,还要合理保证其生产的信息达到一定的质量标准。
(三)内部控制:信息披露的保障机制
信息披露系统是在内部控制的约束下运行的,内部控制的质量决定了其最终产品即信息的质量。以四类信息受到的管制程度来看,对外财务信息受到的管制最为严格,它的生产和披露要受到公司法、证券法等法律、证券监管机构制定的法规以及会计准则的制约。对外非财务信息受到的管制程度次之,和对外财务信息比,只是少了会计准则的制约。而对内报告信息只受到董事会和管理层制定的规则的约束。
无论是外部监管机构的监管规则还是内部的规章制度,最终都要通过公司内部的控制制度才能得以落实,而合理保证遵循这些规则也正是内部控制的目标之一。上图中将四种信息内置于“内部控制系统”中,意即这些信息都是内部控制系统的产物。内部控制若能有效运行,则意味着公司能遵守相关规则,也就意味着其生产的信息质量有了合理保障。
内部控制是由人实施的,其有效性最终取决于人(COSO,2013)。上图所示的信息披露机制体现了这样一种逻辑:审计委员会、管理层和内部审计等信息披露机制的当事人的质量决定了内部控制的质量,内部控制的质量又决定了信息的质量。内部控制之所以被重视,源于良好的内部控制是高质量财务报告的重要影响因素,由此,保障内部控制有效性的监督机制就很重要。内部控制的监督是管理层、内部审计、外部审计和审计委员会之间互相作用的结果。在保持其他因素不变的情况下,任何一个因素(如审计委员会或内部审计)的变化都会影响内部控制的有效性(Krishnan,2005)。BRC报告和SOX法案特别关注加强审计委员会的独立性,其隐含逻辑是通过强化审计委员会的独立性改进内部控制,进而改进其所产生的信息质量。这一逻辑的合理性也已为研究者所证实。Krishnan(2005)发现,审计委员会的质量与内部控制质量成正比,表现为审计委员会的质量与内部控制的重大缺陷出现几率显著负相关。Doyle、Ge和McVay(2007)发现,内部控制质量与应计利润的质量显著正相关。应计利润需要经过外部审计的验证,因此,对Doley、Ge和McVay(2007)的研究的一个解释是由于外部审计贡献了力量。但Feng和 McVay(2009)发现内部控制薄弱时,管理者做出的盈利预测的误差也较大。盈利预测是不需要经过外部审计验证的,这说明内部控制的强弱能够影响信息的质量。三、信息披露机制中内部审计的作用
内部审计具有三个特征:①内部审计具有内部控制方面的专长;②内部审计处于公司内部,对公司的情况有深入的了解;③内部审计不参与公司的日常经营活动,相对于管理层具有一定的独立性(Sarens和Beelde,2006)。这三个特征决定其在协助审计委员会和管理层履行内部控制责任方面具有独特的作用。而内部审计也正是通过支持管理层和审计委员会履行其信息披露机制中的责任来发挥其自身功能的。
(一)协助管理层履行内部控制责任
内部控制是一个全员参与的系统,整个管理层以及普通员工都有相应的职责。CEO对公司整体层面的内部控制负责,包括设计和实施公司层面的内部控制,指挥其运行并对其有效性进行评估,若在评估中发现内部控制的缺陷则须采取必要的纠正措施。CEO则授权其他高管层在各自职责范围内设计和实施内部控制的职责,指挥其运行和评价其有效性以及采取纠正措施等。高管层又授予下级管理者更为具体的内部控制职责。在这个层层授权的系统下,下级管理者要就其职责范围内的内部控制对上一级管理者负责,CFO就财务报告相关的内部控制对CEO负责,CEO则对审计委员会承担最终责任(COSO,2013)。
同时,上级管理者对其下一级管理者负责的内部控制进行监督,评估其有效性,在发现下级管理者负责的内部控制缺陷时,督促其及时采取纠正措施,则是其内部控制责任的一部分。需要指出的是,在SOX法案下,作为公司全面工作最高负责人的CEO和作为信息披露机制专门负责人的CFO,不仅要负责公司整体层面的内部控制的运行,还需对外披露内部控制的法定信息。这些信息包括管理层对内部控制有效性的评估以及内部控制存在的重大缺陷。
内部控制在建立后,并不能一劳永逸地维持其有效性,而是要经常进行调整。首先,内部控制的目的是合理保证公司达到其经营、报告和守法目标,而公司的目标可能随着环境的变化而改变,从而导致内部控制也应该做出相应改变。其次,内部控制在运行中可能偏离原来的设计不再得到执行,或者原先有效的内部控制在环境变化后不再变得有效。因此,必须对内部控制进行监督,及时发现内部控制的缺陷,并采取必要的纠正措施,这样,才能保持内部控制的持续有效性。监督包括持续评估(on-going evaluation)和专项评估(separate evaluation)。持续监督有机融合于公司日常业务处理流程中,由相关的管理层负责。专项评估则是于日常业务流程之外专门进行的,以评估内部控制的五个要素是否存在并发挥作用。无论是持续评估还是专项评估中发现的内部控制缺陷,应及时报告给相关人员,以便其采取纠正措施。合适的人员包括存在缺陷的内部控制的管辖者,他们应该采取纠正措施,以及其直接上级,他们有责任监督其直接下级管理者及时采取纠正措施,同时还需报告给对公司整体内部控制有效性评估的责任人。
内部审计能协助管理层有效履行其内部控制责任。
首先,内部审计可以协助CEO和CFO这些高层管理者更好履行SOX法案规定的内部控制信息披露责任。CEO是公司会计工作的总负责人,需要在会计部门和CFO的协助下才能履行这一责任。SOX法案规定的CEO和CFO的内部控制信息披露责任则没有一个类似于会计部门的机构,专门建立一个机构协助履行这方面的职能又需要相应的成本。内部审计的工作性质使其成为协助CEO和CFO履行这一职责的最恰当的部门。Abbott、Parker和Peters(2010)的调查发现,内部审计的十项业务中有六项涉及内部控制的评价,且其中有一项就是为履行SOX法案的404条款而进行的。实际上,SOX法案规定的CEO和CFO的内部控制信息披露责任已经导致其要求内部审计对内部控制评估承担更多更明确的责任,IIA(2005)指出,CEO可能要求内部审计负责人签字承诺已对财务报告相关的内部控制的有效性进行评估,并说明这些内部控制是否有重大缺陷,这显然是直接源自SOX法案的影响。
其次,内部审计在工作中若发现内部控制存在的问题,一般会提出解决的建议,高层管理者可以通过对内部审计发现的问题和提出建议的落实情况进行追踪,促使内部控制的及时完善,从而有利于信息质量的提高。
再次,内部审计可以协助中基层管理者更好地履行内部控制责任。内部审计可以帮助中、基层管理者——尤其是非财务中、基层管理者提高对内部控制的认知,对业务处理流程的合理性进行评估,使其更好地认识其所面临的风险并增强风险意识,进而评估现行控制措施的有效性,若发现控制措施存在漏洞,可以提出改进建议,协助其对内部控制进行完善。尽管中、基层管理者更重视内部控制能否实现其经营目标,但经营目标的达成降低了财务造假的可能,从而也为内部控制报告目标的实现提供了良好的基础。此外,内部审计还可以在必要时对内部控制进行专项评估,以对其有效性进行综合评价。最后,无论是持续评估还是专项评估中发现的内部控制缺陷,都需要采取纠正措施。什么样的纠正措施最为合适?内部审计可以通过提供咨询服务,帮助设计最为合适的纠正措施。
(二)协助审计委员会履行内部控制责任
在管理层对内部控制的层级制责任体系中,上级管理者负责对下级管理者进行监督,但高居顶层的高管层尤其是CEO由谁来进行监督呢?这个监督者即审计委员会,它代表董事会对高管层的信息披露责任履行情况进行监督。在正常情况下,审计委员会的监督是督促高管层忠实履行其内部控制责任,这包括监督高管层建立有效的内部控制制度,在建立内部控制制度后遵循内部控制的约束进行日常经营,及时评估内部控制的有效性并对评估中发现的内部控制薄弱环节及时采取纠正措施。在极端的情况下,即当高管层凌驾于内部控制之上,审计委员会应该采取措施纠正这种情况,包括建议董事会撤换高管层,以便为内部控制的正常运行创造最基本的前提条件。
审计委员会有权力对高管层就其如何履行内部控制责任进行质询,必要时,还需确证其采取了及时的纠正措施(COSO,2013)。现行监管规则如SOX法案要求审计委员会的成员都具有财务知识,而且应包括一名财务专家,隐含的逻辑是这些成员熟悉财务报表与其相应的内部控制,从而有利于对信息披露机制发挥实质性的监督作用。但审计委员会由不常驻企业的成员组成,在信息上与管理层相比处于劣势,不利于其监督职能的完成。内部审计处于公司内部,了解公司的情况,加上其内部控制方面的专长(Sarens、Beelde和Everaert,2009)使得内部审计能够为审计委员会履行监督职能提供有力的支持。
审计委员会进行监督的机制是审计委员会会议,会议的关键是确定有意义的议程,而会议的顺利进行也需要相应的会议资料。Beasley等(2009)对审计委员会的监督过程进行的研究发现,审计委员会在确定会议议程时会采纳内部审计的建议,内部审计的报告往往也是审计委员会会议的资料之一。审计委员会与内部审计除通过正式的会议进行沟通外,还通过审计委员会和内部审计两个部门负责人之间的交谈这种非正式的方式进行(Beasley,2009)。Beasley等(2009)没有对内部审计如何影响审计委员会的会议议程进行具体说明,但一个合乎逻辑的推断是内部审计报告和与内部审计非正式的沟通中反映的问题引起了审计委员会的注意,从而将其列入审计委员会的讨论事项。由于审计委员会往往有高级管理人员出席,审计委员会还可以将内部审计提出的内部控制问题与高管层进行沟通,以督促问题得到解决。审计委员会可以将其对高管层的沟通反馈给内部审计,并要求其持续追踪其反映问题的解决情况。通过这些沟通,审计委员会也能持续掌握内部控制的最新情况,有利于其履行内部控制监督责任。
审计委员会对信息披露系统的另一个信息来源是外部审计,外部审计对于审计中发现的与财务报告相关的内部控制薄弱环节,应该报告给审计委员会。审计委员会可以要求内部审计进行专项审计,进一步查明问题的根源,提出改进建议,审计委员会则可以据此督促高管层进行改进,以完善内部控制。
审计委员会也有预防会计舞弊的责任。SOX法案要求审计委员会建立投诉程序,接受并处理关于会计、审计和内部会计控制的投诉,受理公司员工对有问题的会计审计事项进行的匿名举报。会计舞弊往往意味着内部控制出现严重缺陷,在这种情况出现时,审计委员会可以要求内部审计进行专项调查,并根据查明的情况督促高管层采取必要的纠正措施,或在必要时,建议董事会更换高管层。这也是为什么COSO(2013)指出,有效的审计委员会和强健的内部审计常处于最可能发现会计舞弊的位置,两者还可以联手及时对这种情况做出反应(COSO 2013)。
四、总结
信息披露机制由审计委员会、管理层和内部审计等当事人、内部控制及其最终产品(信息)构成。内部控制是信息披露机制的保障机制,它的强弱决定了所生产的信息质量的高低,而董事会和管理层这些当事人则决定着内部控制的有效性,因此,是信息质量的最终决定因素。
审计委员会和管理层作为信息披露机制第一层次的关键当事人,负有恰当履行内部控制职责的义务,内部审计的特点决定它能为审计委员会和管理层有效履行这种责任提供有力的支持,正是通过提供这种支持,使得作为信息披露机制第二层次当事人的内部审计有了发挥作用的机会。审计委员会通过内部审计的支持可以更好地了解公司的情况,缓解其与管理层之间的信息不对称,并在内部审计的支持下,更好地获得会议信息资料和设定会议议程,从而更好地履行信息披露机制的监督职能。管理层是信息披露机制的执行者,他们要负责建立并维持良好的内部控制,对其有效性进行评价并针对评估中发现的内部控制薄弱环节采取改进措施,内部审计可以通过提供内部控制咨询服务等方式,协助管理层有效履行这些责任。
主要参考文献
Abbott L. J., S. Parker.,G. Peters. Serving two masters: the association between audit committee internal audit oversight and internal audit committee activities[J]. Accounting Horizons,2010(1).
Beasley M. S., Carcello J. V., Hermanson D. R., Neal T. L.. The audit committee oversight process[J]. Contemporary Accounting Research,2009(1).
Doyle J. T., Ge W.,McVay S.. Accruals quality and internal control over financial reporting[J]. Accounting Review,2007(5).
Feng M., Li C.,McVay S.. Internal control and management guidance[J]. Journal of Accounting and Economics,2009(2).
【基金项目】 广东轻工职业技术学院2013年社科启动基金项目(编号:SK201315)
