摘　要：文章从强制披露内部控制信息的必要性入手，分析我国上市公司财务报告中内部控制信息披露现状和原因，提出一些完善内部控制信息披露的建议。

　　关键词：内部控制；披露；财务报告

　　2006年上海证券交易所和深圳证券交易所先后制定发布了《上市公司内部控制指引》，明确要求上市公司董事会应在年度报告披露的同时，披露企业年度内部控制自我评估报告和会计师事务所对内部控制自我评估报告的核实评价意见。从此，我国对内部控制信息的披露由自愿披露过渡到了强制披露阶段。

　　一、披露内部控制信息的必要性

　　（一）对于投资者、债权人及其他外部信息使用者来说，内部控制信息披露可以提供附加信息

　　近年来，我国上市公司一系列财务丑闻的披露反映出我国上市公司会计信息失真问题比较严重，以致投资者对上市公司的信息披露缺乏信心。单纯的财务报告已不能满足投资者的需要，内部控制信息的披露可以帮助投资者更好地了解上市公司的实际情况。

　　（二）对于上市公司自身来说，内部控制信息披露可以提高企业管理当局内部控制的意识

　　通过对内部控制的自我评估，管理当局可以在导致重大后果以前发现内控中存在的缺陷，及时改进企业管理、减少舞弊。同时，内部控制信息披露也是管理当局解除受托责任的一种方式，委托者可以通过披露的内部控制信息来判断受托者是否尽心尽职履行受托义务。

　　二、我国上市公司财务报告中内部控制信息披露现状和原因分析

　　2006年7月1日开始施行的《上市公司内部控制指引》（以下简称《指引》）要求随年报一同披露的内部控制评估报告中应包含以下内容：内控制度是否建立健全；内控制度是否得到有效实施；内部控制检查监督工作的情况；内控制度及其实施过程中出现的重大风险和处理情况；对本年度内部控制检查监督工作计划完成情况的评价；完善内控制度的有关措施以及下一年度内部控制有关工作计划。而且要求注册会计师在对公司进行年度审计时，应参照有关主管部门的规定，就公司财务报告内部控制情况出具评价意见。

　　查阅上交所上市公司2006年年度报告可以发现，大部分上市公司仅在年度报告第十部分重大事项中公司内部控制制度建设一项或详或略地披露了公司内控的相关信息，多是流于形式，有的公司甚至仅以“公司现有内部控制制度基本涵盖了公司经营管理中的各个业务环节，保证了公司经营管理活动的正常运行”等空洞的语言一笔带过，即使是披露较为详细的公司，也未能完全包含《指引》中所要求披露的内容，并且几乎所有公司都没有披露聘请注册会计师就公司财务报告内部控制情况出具评价意见的信息。

　　由此可见，大部分上市公司在年报中披露的内控信息均未达到《指引》的相关要求，上市公司普遍缺乏对内部控制信息详细披露的动力。造成这一现象的原因是多方面的。

　　（一）从内部控制信息供求角度分析

　　作为信息的需求方，目前我国资本市场中，股市投机性强，投资者的专业性较差，对数据的理解分析能力以及综合素质较弱，对高质量会计信息需求不足。

　　而作为信息的供给方，上市公司内控信息披露的成本—效益问题是造成这一现象根本原因。只有信息产生的效益大于信息的成本，信息的生产才具备经济上的合理性。上海证券交易所等单位对我国上市公司信息披露的成本效益进行问卷调查（周勤业，2003）表明：上市公司信息披露负担日益加重，集中于在指定报纸刊登信息披露文件的费用和定期报告的审计费用，上市公司认为信息披露对产品销售、品牌宣传有一定的促进作用，但作用不是太大，对改进企业法人治理结构的意义也尚未体现出来。

　　（二）从内部控制信息披露的制度角度分析

　　首先，《指引》对披露内容的规定不完善，没有说明上市公司评价内部控制建立和实施情况的标准，使内部控制自我评估报告的信息含量下降，可操作性差。我国对于内部控制的完整性、合理性及有效性缺乏一个统一、权威的标准体系。除证券公司、商业银行以外的上市公司一般是参照2001年财政部发布的《内部会计控制规范──基本规范(试行)》，该规范是目前我国内部控制领域比较权威的标准，也是上市公司进行内部控制建设所依据的标准，但其将内部控制定位于内部会计控制，兼顾与会计相关的控制，立足点还是从内部会计控制的角度进行规范，已远远不能适应当前市场环境对企业内部控制的要求。在这种缺乏内部控制评估标准情况下，不同企业对内部控制发表的自我评估结论很难具有可比性，注册会计师对企业的内部控制进行评价应采取哪些程序、遵循哪些标准没有规范可依，其执业风险大小不好衡量。

　　其次，披露要求中缺乏董事会对内部控制信息披露责任的相关表述。董事会在内部控制报告中表明企业对内部控制的责任，可以增强其内部控制意识，通过管理层改善控制环境，提高财务报告的可靠性。提供内部控制信息实际上也是董事会解脱受托责任的一种方式。

　　另外，《上市公司内部控制指引》没有对违反该规定的行为进行相关处罚的条款，《深圳证券交易所上市公司内部控制指引》中指出对公司及其有关人员违反该指引规定的行为参照《上市规则》有关规定给予处分。总的来说，处罚力度太轻，这也从客观上导致了《指引》在上市公司2006年年报未能被严格执行。

　　三、改进我国上市公司财务报告中内部控制信息披露的建议

　　（一）加强引导，使管理当局认识到披露内部控制信息的作用

　　披露内部控制信息是加强企业自身管理的重要措施，对公司来说是有好处的。

　　一方面，它能够使股东和其它投资者更加了解公司的管理现状和财务状况，从而引起更多投资者的兴趣；另一方面，公司可以通过内部控制改善经营管理，达到战略目标。

　　（二）尽快出台内部控制的标准和评价规范

　　只有制定出类似于美国COSO报告（2003年COSO的《企业风险管理框架》拓展了内部控制的框架，指出企业风险管理的包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控八大要素，《指引》采用了此观点。）比较统一、权威的企业内部控制标准体系以后，内控信息的披露才具有操作性和可比性，注册会计师也才有了判断企业内控完整、合理、有效的标准。

　　2006年7月，经国务院批准，由财政部牵头发起，证监会、国资委共同参与的我国“企业内部控制标准委员会”正式在北京成立，并于2007年3月发布了《内部会计控制规范──基本规范(试行)》和17项具体规范（征求意见稿），该意见稿借鉴了美国COSO报告的已有成果，这表明我国已开始积极规划出台既吸收了国外先进内部控制理念，又符合我国企业实际情况的内控建设和评价的相关制度和规范，使财务报告中内部控制评价有统一权威的标准可以参照。

　　（三）进一步规范披露内容和形式

　　证监会应当对内部控制信息披露的主体内容和格式做出更加详细的规定。除现有规定外，内部控制报告应增加以下四个方面的内容：1、内部控制报告应表明董事会和管理当局对内部控制的责任。建立、实施和维护企业的内部控制制度是管理当局的责任，内部控制的目标在于合理保证财务报告的可靠性、经营的效率和效果、法律和法规的遵循性。2、内部控制报告还应说明所依据的内部控制的标准或规则框架。内部控制标准是用来指导公司设计和执行相关内部控制的基本依据，也是评价内部控制有效性的标准。3、内部控制报告应声明企业的内部控制有效性（或除已表述的重大缺陷以外的内部控制有效性）不存在对企业财务报告的可靠性和对企业资产的安全和完整有重大不利影响的情况。4、有必要在报告中说明内部控制存在固有缺陷，有效的内部控制也只能对经营、财务、法规遵循三大目标的实现提供合理保证，而且，随着环境和情况的变化其有效性可能会发生改变。

　　（四）制定会计师事务所出具内部控制自我评估报告核实评价意见的标准

　　目前注册会计师内部控制审核业务是依据中国注册会计师协会发布的《内部控制审核指导》和中国证监会的有关规定（中国证监会在股份公司首次公开发行股票以及上市公司发行新股和发行可转换债券时，要求拟发行证券的公司和上市公司披露公司管理层对内部控制制度的完整性、合理性及有效性做出自我评估意见，同时要求注册会计师指出“三性”是否存在重大缺陷。）进行的。该指导意见规定了内部控制评价的范围、程序、方法和报告等一般性要求，却没有涉及评价内部控制的操作性工具，因此不能明确注册会计师应该对上市公司的哪些控制内容和要点进行测试，以及测试标准和对应的评价意见类型。建议可以借鉴美国COSO报告所提出的评价工具，设计我国上市公司的内部控制评价工具，将内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控作为内部控制评价工具的框架，从而服务于经营、财务报告以及法规遵循这三大内部控制评价的目标。

　　（五）明确界定公司管理层对内部控制的法律责任，加大处罚力度

　　引入问责机制，细化对各种违法违规编制和提供财务报告以及内部控制报告行为的处罚条款，对违法的单位和个人要严格追究当事人个人及其所在企业的民事及行政责任，情节严重的追究其刑事责任，这样有利于从根本上遏制管理层舞弊的动机。