內部控制缺陷披露現狀分析
——基于執行內部控制體系上市公司數據

（南京審計學院 江蘇南京210000）

為了規范企業內部控制信息披露，財政部、證監會、審計署、銀監會、保監會（以下簡稱“五部委”）先后于2008年6月和2010年4月聯合發布了 《企業內部控制基本規范》（以下簡稱《內控基本規范》）和《企業內部控制配套指引》（以下簡稱《配套指引》），初步建立起我國的內部控制規范體系。同時，“五部委”制定了內部控制體系的實施時間表，根據該時間表規定，內部控制規范體系自2011年1月1日起首先在境內外同時上市的公司施行，另外216家A股自愿試點上市公司也執行內部控制體系。內部控制自我評價報告進入強制披露階段，為我們的研究提供了數據。本文對2011年按規定執行內部控制體系的284家上市公司內部控制缺陷的披露進行了分析，根據內部控制缺陷披露現狀提出建議。

一、內部控制缺陷程度及行業分布

內部控制缺陷的認定在我國尚處于起步階段，我國的《內部控制評價指引》和《內部控制審計指引》根據缺陷導致企業偏離控制目標的可能性大小將缺陷分為重大缺陷、重要缺陷和一般缺陷，將“可能導致企業嚴重偏離控制目標”的缺陷界定為重大缺陷、將“嚴重程度和經濟后果低于重大缺陷，但仍有可能導致企業偏離控制目標”的缺陷界定為重要缺陷；將“除重大缺陷、重要缺陷之外的其他缺陷”界定為一般缺陷。指引賦予了企業在內部控制缺陷嚴重程度判斷中的自由裁量權，允許企業在判斷缺陷是否重大時考慮自身實際情況和所處特定環境。本文認定內部控制缺陷及其程度的依據主要是企業的內部控制自我評價報告中披露的“內部控制缺陷及其認定”，但在筆者收集資料過程中發現較多公司對內部控制缺陷及其影響程度的披露含糊不清，較為保守。因此本文對缺陷影響程度的判斷，除了根據自我評價報告明確指出的缺陷程度，對于披露缺陷含糊的上市公司還遵循了謹慎原則。比如在公司內部控制自我評價報告披露內部控制存在缺陷或不足的前提下，對于“內部控制不存在重大缺陷”等表述，則認為存在重要缺陷；對于“內部控制不存在重大缺陷及重要缺陷”等表述，則認為存在一般缺陷。

本研究中所有數據源于上市公司單獨披露的內部控制自我評價報告，經過手工數據搜集和統計，筆者發現，2011年按規定執行內部控制體系的284家上市公司中278家公司披露了內部控制自我評價報告，但仍有6家公司沒有披露內部控制自我評價報告。披露內部控制評價報告的278家公司中，披露內部控制有重大缺陷的公司僅2家，占比0.73%；披露重要缺陷的公司42家，占比15.11%；披露一般缺陷的公司88家，占比31.65%；沒有披露缺陷的公司146家，占比52.52%。顯然，僅少數公司披露了內部控制重大缺陷或重要缺陷，并且披露存在內部控制重大缺陷的上市公司僅占所有披露內部控制自我評估報告的上市公司總數的0.73%。這一披露比例遠遠低于美國上市公司內部控制重大缺陷的披露比例14%（Hoitash，2009）。將278家披露內控評價報告的上市公司按行業分類，頗受社會輿論監督的食品、飲料業和醫藥、生物制品業上市公司披露內部控制存在重大或重要缺陷的行業比例，明顯高于該行業的總樣本比例，風險較大的金融保險業上市公司披露內部控制存在一般缺陷的行業比例明顯高于該行業的總樣本比例。這說明，社會關注度高，輿論監督壓力大，行業風險高可能會提升上市公司披露內部控制缺陷的概率。

二、內部控制缺陷類別

從披露的內部控制評價報告來看，有132家公司披露內部控制存在缺陷，其中僅僅有60家公司明確指出缺陷程度及缺陷的具體表現；其他公司只是籠統指出本公司內部控制存在不足或缺陷，具體情況未作詳細披露，諸如在內部控制評價報告中表述為：內部控制制度體系不健全、內部控制執行力度不夠等，而沒有具體指明哪一部分制度不健全或哪一部分制度缺乏執行力度。

內部控制五要素包括：控制環境、風險評估、控制活動、信息與溝通和內部監督，筆者將內部控制缺陷類別依據五要素進行劃分。需說明的是，上市公司披露的缺陷中往往并不是僅僅涉及某一個要素，而是同時涉及到幾個要素。內部控制缺陷的主要類別如下頁表1所示。可以看出，存在缺陷較多的要素為控制環境、控制活動和風險評估。

表1 2011年按規定執行內部控制體系公司內部控制缺陷總結表

控制環境是內部控制體系的基石，在企業內部控制建立與實施過程中發揮著基礎性的作用。根據表1可知，內部環境缺陷較多地存在于組織架構和人力資源兩方面。說明上市公司對內部控制執行中最重要的“人”的安排、管理和激勵存在問題。

控制活動是結合具體業務和事項，運用相應的控制政策和程序的過程。可以看出，會計系統控制、財產保護控制和績效考評控制存在缺陷較多，缺陷的具體表現形式涉及到常見的各種控制措施。

內部控制體系的良好運轉離不開信息，信息與溝通貫穿于控制環境、風險評估、控制活動和內部監督，是內部控制的基本工具。顯然信息系統建立健全存在較多缺陷，且在資料收集過程中，筆者了解到尤其規模較小企業因資源的制約，信息系統普遍存在缺陷。

風險識別、分析與應對和內部審計也存在不少缺陷，并且某些缺陷是致命性的，內部控制的一項要素、一個環節出現問題，可能會導致內部控制的全盤失敗。

三、內部控制缺陷披露存在的問題及建議

通過對2011年執行內部控制體系的上市公司披露內部控制缺陷情況的分析，筆者發現：其一，個別公司沒有按規定披露內部控制信息，內控缺陷的整體披露水平較低，亟需提高上市公司主動披露內部控制缺陷的意識。其二，上市公司披露重大缺陷的比例較低，并且內部控制缺陷程度的認定存在問題。《配套指引》賦予了企業在內部控制缺陷嚴重程度判斷中的自由裁量權，體現了原則導向。但我國上市公司對缺陷的認定處于起步階段，《配套指引》應提供更詳細的、具有可操作性的方法，使內控缺陷嚴重程度認定標準清晰可辨，減少內控缺陷披露的機會主義行為。其三，缺陷較多的分布于控制環境、控制活動、信息與溝通要素，尤其控制環境中的公司治理結構和人力資源機制亟待完善。其四，社會關注度高，輿論監督壓力大，行業風險高會加大上市公司披露內部控制缺陷的概率。應加強對上市公司內部控制的監管，促進上市公司內部控制信息的披露，從而推動我國內部控制規范體系的有效實施。