上市公司內部控制信息披露研究

陳留平　胡悅

摘要：為了促進企業內部控制的建設，進一步提高企業經營管理水平和風險防范能力，維護市場經濟秩序和公眾利益，根據《企業內部控制基本規范》及其配套指引的要求，上市公司應披露內部控制自我評價報告和審計報告。以滬市數據為依據，對2012年上市公司披露的內部控制自我評價報告和內部控制審計報告的披露情況，以及內部控制信息披露存在的問題進行了分析，并提出相關改進建議。

關鍵詞：內部控制；信息披露；評價報告；數據分析

中圖分類號：F239.4 文獻標識碼：A 文章編號：1671—6604（2013）06—0088—06

許多上市公司的衰敗歷史，就是內部控制失敗的歷史，近年不少上市公司舞弊案例，都是其內部控制制度失效造成的結果。越來越多的投資者已經意識到，一家有投資價值的上市公司不僅需要具有良好的經營業績和發展前景，還必須擁有良好的內部控制。2008年，財政部、證監會、審計署、銀監會、保監會聯合發布了我國第一部《企業內部控制基本規范》，2010年五部委又發布了《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》，這標志著我國企業內部控制規范體系基本形成。該規范及指引明確上市公司應定期對本公司內部控制的有效性進行自我評價，披露內部控制自我評價報告并聘請會計師事務所對財務報告內部控制的有效性進行審計。《企業內部控制配套指引》規定從2011年1月1日起由境內外同時上市的公司首先施行，從2012年1月1日起擴大到在上交所、深交所主板上市的公司施行。由于我國對于企業內部控制的研究起步較晚，內部控制信息披露建設也相對滯后，雖然近年來我國現行企業內部控制規范體系建設取得了較大的成績，但仍然存在著一些問題。分析研究當前我國上市公司內部控制信息披露狀況，有利于促進我國內部控制相關規范的順利實施，有利于完善我國上市公司信息披露制度，有利于促進我國資本市場可持續發展。

一、國內外文獻綜述

國外對于內部控制的研究較早，理論也發展得比較成熟，內控信息披露的要求也經歷了自愿披露與強制披露兩個階段。在法律法規方面，美國主要的規范是COSO（全國虛假財務報告委員會下屬的發起人委員會）報告與SOX法案（《薩班斯法案》），COSO報告主要研究了內部控制設計和運行，而SOX法案則對內部控制信息披露提出了強制性的要求。此外，美國證券交易委員會（SEC）和美國公眾公司會計監督委員會（PCA-OB）針對在執行SOX法案404條款時出現的問題不斷出臺更新的相關規定，如2003年6月，SEC發布了第33—8238號《最終規則》，2007年5月24日，PCAOB投票通過第5號審計準則，為內部控制信息的良好披露提供了有力保。在學術研究方面，文獻比較豐富，研究主要集中于內部控制報告披露的影響因素、內部控制信息披露的成本與效益、內控性缺陷影響等方面。McMullen等（1996）分析了內部控制報告與財務報告質量之間的關系，認為與沒有財務問題且人員較少的公司相比，財務報告有問題的小公司披露內部控制報告的積極性較低。哈姆佩爾報告（Hampel Report，1998）認為財務控制與其他控制很難區分，董事及管理人員應該對內部控制進行復核，且內部控制不應僅局限于公司治理的財務方面。這些研究給國內研究提供很好的參考。

我國的內部控制信息披露研究時間不長，研究成果主要體現在：（1）對內部控制評價主體定位的研究。譚東華指出，在現階段應把注冊會計師的鑒證與內部審計的評價有機地結合起來，充分發揮兩者優勢，真正做好內部控制評價工作Ⅲ。（2）內部控制信息披露影響因素研究。陳蕓認為，股權性質與內部控制信息披露顯著負相關，而公司治理結構、公司質量與公司規模對內控披露的影響不大。（3）內部控制缺陷認定研究。王惠芳從規范制定思路及內控缺陷程度區分等方面出發，重構了內部控制缺陷認定的基本框架。（4）內部控制存在的問題與改進。池國華等基于滬深兩市數據，分析研究了遼寧省主板上市公司內部控制信息披露情況，并針對相關問題提出改善建議。

二、2012年上市公司內部控制信息披露情況

（一）樣本選擇

為檢驗內部控制信息披露的最新狀況，本文選取2012年度上市公司披露的內部控制信息為研究對象，由于滬、深交易所對內控自評報告披露的要求不同，因此深滬兩市所披露的內部控制評價報告不具有可比性，而滬市內部控制信息披露與五部委發布的《企業內部控制基本規范》基本一致，因此本文選取截至2012年4月27日前在上海證券交易所網站公布年報的上市公司作為樣本總體，從內部控制信息披露數量、披露內容和內部控制審計報告三個方面對內部控制報告及其聯系進行研究。

（二）內部控制自我評價報告披露情況

1.內部控制評價報告和內部控制審計報告數量情況。截至2012年4月27日，滬市954家上市公司中，董事會披露了內部控制自我評價的公司有646家，占總樣本的67.71%，沒有披露內部控制評價報告的有308家，占總樣本的32.29%。在披露內部控制自我評價的646家公司中，有601家公司聘請審計機構進行了內控審計，占總數的93.00%。可以看到，上市公司披露內部控制信息的相關法規已經得到較好的實施，對聘請中介機構對內部控制審計的積極性也有較大提升，但仍有相當一部分公司未披露內部控制評價報告和內部控制審計報告。

上市公司沒有全部披露內部控制評價報告及其審計報告的原因，一是部分公司推遲了內部控制評價報告的發布時間，另一個原因是財政部發布了《關于2012年主板上市公司分類分批實施企業內部控制規范體系的通知》（財辦會[2012]30號），在充分考慮上市公司的公司治理基礎、市值規模、業務成熟度、盈利能力等方面差異的情況下，決定在主板上市公司分類分批推進實施企業內部控制規范體系。該《通知》要求，中央和地方國有控股上市公司在2012年度披露內部控制評價報告及其審計報告；而非國有控股主板上市公司且2011年12月31日公司總市值（證監會算法）在50億以下的推遲到2013年披露；其他公司推遲到2014年披露；破產重整、借殼上市或重大資產重組等特殊情況公司則推遲到2014年以后實施。

2.內部控制評價報告披露的內容情況。《企業內部控制基本規范》及其指引和上交所、深交所發布的內部控制評價指引都要求披露內部控制自我評價報告，但是這幾部規范中都沒有對內部控制自我評價報告的內容、格式、披露的責任主體、披露的程度做出詳細而具體的規定，使得內部控制自我評價報告披露的內容和格式的隨意性較大，缺乏相關性、可比性，披露的內控信息也大都表面化、形式化，缺乏實質性內容。

隨著境內主板上市公司2012年正式實施內部控制規范體系，一些如內控組織實施、內控實施的進度與重點、內控人才隊伍培養等新情況和新問題也不斷出現。為了穩步推進企業內部控制規范體系貫徹實施，財政部分別于2012年2月23日和2012年9月24日發布了《關于印發企業內部控制規范體系實施中相關問題解釋第1號的通知》（財會[201233號）和《關于印發企業內部控制規范體系實施中相關問題解釋第2號的通知》（財會[2012]18號），不但對內部控制披露的大部分問題進行了解釋，而且制定了較為詳盡的企業內部控制評價報告參考格式，這就使得2012年度上市公司內部控制評價報告整體相對規范，內容和格式也趨于一致，在一定程度上減少了內部控制披露的混亂，有利于內部控制評價指引的實施，也有利于使用者獲取有效的內控信息。

3.上市公司內部控制自我評價報告的評價依據情況。從披露的依據來看，上市公司內部控制評價標準呈現多樣化狀態，樣本中所有的上市公司把《企業內部控制基本規范》及其配套指引作為內部控制評價依據，部分公司除了運用《企業內部控制基本規范》外，還依據了《上海交易所企業內部控制評價指引》、《公司法》、《證券法》等（如表1所示）。評價標準不同，評價的結果可比性也就較差，所披露的內容不足以為信息使用者提供準確的信息，既影響到對企業經營和財務信息的有效監督，又影響了投資者的投資決策。

4.內部控制缺陷披露情況。第一，從披露內控缺陷公司數量來看，在646家披露內部控制評價報告的公司中，有321家公司披露內控缺陷，占49.69 9，6，披露內控缺陷的公司接近半數（如表2所示），這說明我國上市公司披露內控缺陷的積極性有了很大提高，但是仍然有相當一部分公司的內控缺陷披露意識較差。此外，在所披露出來的缺陷中，大部分缺陷被歸為一般缺陷，僅有3家上市公司承認存在重大的缺陷，重大缺陷率只有0.46%，缺乏足夠的說服力。40.09%的公司既沒有披露缺陷，也沒有提出改進內部控制的意見；有10.22%的公司含糊其辭，不直接承認內控缺陷，而描述為公司出現了一些“問題”，并簡略提出了一些改進措施；有31.89%的公司承認內控缺陷的存在，但也只是簡單說明，幾句帶過，并沒有指出具體的缺陷內容；有13.00%的公司指明了具體的內控缺陷，卻沒有提出相應的改進意見；只有4.80%的公司不但披露了具體缺陷，而且提出了相應的改進意見（如下頁表3所示）。可見，上市公司披露內控缺陷具體內容及其改進意見的主動性不高，還有較大的提升空間。

第三，從內控缺陷種類分析，由下頁圖1可以看出，不同公司對內部控制缺陷產生的原因歸結不同，在披露了具體內部控制缺陷的115家公司中，絕大多數存在公司制度建設不到位和自身執行能力不足的缺陷，有29家公司認為還存在風險管控能力不足的缺陷，還有12家和8家公司分別存在內部審計缺陷和對子公司的管控缺陷。

5.內部控制審計意見類型與內控信息披露關系。財政部、證監會、審計署、銀監會和保監會要求執行內部控制規范體系的企業，必須聘請會計師事務所對其財務報告內部控制有效性進行審計。注冊會計師對企業內部控制的設計和運行的有效性進行審計，不僅能推動企業內部控制建設，促進企業提升風險防范能力，而且有利于投資者和社會公眾全面、及時地了解企業內部控制的真實情況，對保護投資者權益和社會公眾利益具有重要作用。2012年度上市公司內部控制審計報告的意見類型如表4所示，審計意見類型與內控信息披露的關系如表5所示。

在表4中我們可以看到，601份內部控制審計報告中，被出具了標準的無保留意見審計報告的公司有584家，占97.17%；被出具非標準內部控制審計報告的公司有17家，占2.839%，其中，天津磁卡（600800）和北大荒（600598）被出具了否定意見的審計報告；金杯汽車（600609）和武昌魚（600275）等15家公司被出具了帶強調事項的無保留意見的審計報告。從披露的總體來看，注冊會計師還是很認同上市公司出具的內部控制自我評價報告的。

另一方面，通過對不同審計意見類型的公司關于內控評價報告披露情況的分析，可以看出被出具標準無保留審計意見的公司全部披露了內部控制評價報告，而被出具非標準無保留意見的公司出具內部控制報告的比例不超過50.00%。標準無保留審計意見的公司披露情況好于出具非標準無保留意見報告的公司，這說明我國上市公司內部控制自我評價報告的披露與內部控制質量也存在一定的聯系：公司內部控制質量較好，則披露內部控制評價報告的積極性就高；公司內部控制質量較差.則披露內部控制信息的動力就相對不足。

6.公司類別與內部控制信息披露的關系。2012年度我國上市公司中證券公司、商業銀行全部披露了內部控制評價報告。ST公司披露比例為64.70%，與一般公司的69.63%還有一些差距，這說明高質量的公司對自己的財務報告更有信心，披露內部控制信息的動力也高于ST公司。但同時可以看到，ST公司的披露比例與一般公司距離正在縮小，說明2012年度ST公司的內部控制信息披露意識有了較大的提高。

三、幾點啟示

隨著內部控制配套指引的頒布，我國內部控制建設有了很大的進步，2012年內部控制報告披露態勢良好，報告數量和質量都有較大提升，但依然存在一系列問題。本文認為，改進上市公司內部控制信息披露，應由以下幾個方面人手。

（一）完善內部控制評價體系，科學指導內控實踐

在“2012迪博·中國上市公司內部控制指數發布會暨高峰論壇”上，財政部中國會計學會副會長、中國內部控制中心主任劉永澤強調：“如何衡量企業內部控制的質量是理論界與實務界的共同難題，其核心問題是評價主體缺少內部控制評價的標準”。可見一套客觀完整的內部控制評價體系對于我國企業內部控制的建設和完善至關重要，但由于我國內部控制起步較晚，至今我國沒有形成一個明確、完善且具有高度認同感的內部控制評價體系，國內學者圍繞內部控制評價作了一系列努力，也取得了很大的成果，但并沒有形成一個完善的內部控制評價體系，在評價主體、評價指標、評價方法等方面尚未達成統一的意見，這就導致了我國企業內部控制評價缺乏強制性和規范性，出現了系統性和邏輯性不足、主觀性和隨意性較強、內部控制信息披露的彈性較大等問題。內部控制評價體系的不完善已是造成內部控制信息披露混亂的主要因素，必須建立一套科學合理的內部控制評價體系，為內部控制評價的實踐提供有效指導。

（二）明確內部控制缺陷標準，規范內部控制缺陷認定

雖然在《企業內部控制配套指引》中規定，應對內部控制缺陷及其認定和整改情況進行披露，但是并未對控制缺陷進行明確的界定，實際操作中內控缺陷嚴重程度的認定、財務與非財務內控缺陷的認定等都存在一定的困惑，加之現階段大多數上市公司管理層的內部控制評價沒有遵循嚴格的程序，從而使我國上市公司披露的內部控制缺陷的信息含量不高，沒有實質性的內容，披露內部控制存在不足的公司很少，即使提出來缺陷也都屬于層次較高的、空洞的內容，幾筆帶過，信息含量嚴重不足。要確立內部控制缺陷的評定標準，本文認為，首先應當正確判斷內控缺陷的類型，即判斷其是屬于財務報告內部控制缺陷還是非財務報告內部控制缺陷。其次，由于兩種缺陷的控制目標、控制方法及應對措施不同，應采用定量和定性相結合的方法分別進行認定，對于財務報告內部控制缺陷，實行定量標準化，根據缺陷造成財務錯報的可能后果分為一般、重要或重大內控缺陷；對于非財務報告內部控制缺陷，由于其影響到整個公司層面的運營，且量化操作較難，應采取定性化標準，取消一般缺陷和重要缺陷，僅保留重大缺陷，既提高了實務上的可操作性，又降低了企業的管理成本。

（三）強化內部控制評價意識，培植內部控制文化

內部控制的建立和執行是一個需要董事會、管理層和各級工作人員共同努力才能實現的過程。但目前對于我國大部分公司來說，尚未形成良好的內控文化，對內部控制的認識還停留在相對初級的階段，缺乏對內控信息披露的積極性和主動性，所披露的內部控制自我評價報告透明度不高，大多流于形式。對于基層的工作人員來說，由于日常培訓較少，專業素質參差不齊，使評價結果的規范性和評價質量受到影響。因此，應當加強宣傳和教育，強化內部控制評價和披露意識，提高公司披露內部控制信息的積極性，增加信息披露的透明度，為內部控制得到更好的執行創造優良的環境。同時，企業內部控制制度要真正為企業實現其最終目標服務，不僅要有完善的內部控制體系和優良的內控環境，更需要有一批合格的、高素質的工作人員，要加強專業的內部控制培訓，使工作人員熟悉崗位工作的職責要求，理解和掌握內控要點，積極參與內部控制，并根據時代進步不斷加強后續培訓教育，能保證內部控制從業人員保持嚴謹的工作作風和足夠的專業勝任能力，不斷提高內部控制的執行力。

（四）加大監管力度，促進信息披露有效執行

目前，我國對上市公司內部控制信息披露的監管體系還很不健全，對違反披露政策的行為缺少必要的法律懲戒手段。由于監管缺乏強有力的措施，未能從外部監督上促使企業進行恰當、準確的披露，這為上市公司的違規操作和非規范披露提供了可趁之機，影響內部控制信息披露的真實性，因此加強監管勢在必行。本文認為應當從以下幾個方面加強監管。

一是要構建完善的內部控制信息披露責任機制，在法律法規中進一步明確企業管理層及注冊會計師的法律責任，把引導和處罰相結合，軟硬兼施，提高其約束力。

二是要實行分類監管。可依據各上市公司內部控制水平進行內部控制評級，在此基礎上實施分類監管、重點監管。對于內部控制水平較好的上市公司，可以給予政策扶持，而對于內部控制水平較差的上市公司，則重點監管，加大檢查力度。

三是要加強對中介機構的監管。為避免自我評價的發生，應當加強對中介機構獨立性的監管，加強對上市公司的自我評價報告、注冊會計師的審核意見的監督，防止內控審計業務和內控咨詢或評價業務捆綁，進而提高內部控制審計質量，避免內控審計流于形式。

從以上分析可以看到，2012年度滬市上市公司披露內部控制評價報告的總體形勢良好.披露的數量和質量較往年有很大的提升。但由于目前上市公司內部控制信息披露體系并不完善.缺乏對內部控制信息披露的硬性要求，因此相關信息并沒有被充分地披露。必須加強對各上市公司的監督與管理，不斷完善企業內部控制信息披露的法律法規，同時加強管理當局對內部控制制度的認識，有效地維護我國證券市場的穩定與發展。

參考文獻：

[1]安南·薩班斯.奧克斯利法案精要[M].沈杰，譯.北京：中國時代經濟出版社.2008.

[2]于中伯，田高良.內部控制評價報告真的有用嗎——基于會計信息質量、資源配置效率視角的研究[J].山西財經大學學報，2009（10）：23—26.

[3]王光遠，劉秋明。公司治理下的內部控制與審計——英國的經驗與啟示[J].中國注冊會計師.2003（2）：12—16，

[4]譚東華、企業內部控制評價的主體選擇分析[J].山東紡織經濟，2008，（1）.

[5]陳蕓.上市公司內部控制信息披露影響因素研究——以廣東省為例[J].財會通訊.2010.（36）.

[6]王惠芳.內部控制缺陷認定：現狀、困境及基本框架重構[J].會計研究，201l（8）：61—67.

[7]田文斌，王彥，楊童舒.遼寧省L市公司融資效率研究[J].沈陽師范大學：社會科學版，2011（1）：50-54.

（責任編輯 徐丹）