上市公司內部控制缺陷披露現(xiàn)狀探查——基于滬市A股經(jīng)驗數(shù)據(jù)

張麗婧 郭雪萌

一、引 言

“光大證券烏龍指”事件的爆發(fā)再次將人們的視線聚焦到企業(yè)的內部控制建設上來。這一事件暴露的不僅僅是該企業(yè)信息系統(tǒng)缺陷問題，更多的說明了該企業(yè)內部控制、公司治理監(jiān)管制度以及風險防控等方面的弱化。在我國，很多企業(yè)經(jīng)營者為得到直接或間接的經(jīng)濟利益，在會計監(jiān)管不嚴、信息披露透明度低、關聯(lián)方交易等弱公司治理環(huán)境，造成了很多類似于“光大證券烏龍指”這樣的違規(guī)事件，給企業(yè)的利益相關者和國家造成了巨大的經(jīng)濟損失。由此，解決上市公司內部控制問題就顯得意義深遠。

2008年6月28日，財政部聯(lián)合證監(jiān)會、審計署、銀監(jiān)會和保監(jiān)會發(fā)布了以五大目標、五大要素為核心內容的《企業(yè)內部控制基本規(guī)范》，要求自2010年1月1日起上市公司應當對公司內部控制的有效性進行自我評價并披露年度自我評價報告。2010年4月26日，五部委又聯(lián)合發(fā)布了《企業(yè)內部控制配套指引》，并規(guī)定自2011年1月1日起在境內外交叉上市的公司率先施行，自2012年1月1日起在滬深兩市主板上市公司施行，要求執(zhí)行基本規(guī)范配套指引的上市公司和非上市大中型企業(yè)，按年度披露內控自評報告，并要求聘請會計師事務所進行審計并出具審計報告。其中的《內部控制評價指引》明確要求內部控制評價報告中應包括內部控制缺陷及其認定情況以及針對重大缺陷擬采取的整改措施。這一指引的頒布標志著我國內部控制缺陷披露由自愿性披露轉變?yōu)閺娭菩耘丁?/p>

目前，我國對于內部控制缺陷信息披露的研究相對單一，主要就是針對上市公司內部控制缺陷披露的影響因素以及市場反應展開。由于2010年《企業(yè)內部控制配套指引》的發(fā)布帶來了內部控制缺陷信息披露從自愿披露到強制披露的轉變，但由此帶來內部控制缺陷信息披露是否有所改善以及整體情況如何卻鮮有人研究。因此，本文就以2010-2012這三年滬市A股上市公司的內部控制信息為主要研究對象，對內部控制缺陷信息的情況進行歸集和分析，找出披露中存在的問題，以期對資本市場內部控制建設完善提供寶貴建議。

二、內部控制缺陷披露現(xiàn)狀

（一）樣本選取

本文通過上海證券交易所網(wǎng)站搜集下載了滬市A股上市公司2010-2012年的年度報告、內部控制自我評價報告和內控審計報告，其中剔除了金融行業(yè)，共搜集到2010年850家公司、2011年896家公司、2012年903家公司的相關信息。

（二）內部控制缺陷認定標準的界定

內部控制缺陷作為內部控制評價的核心內容之一，在實際評估過程中往往會出現(xiàn)認定標準模糊，缺乏可操作性的問題。本文對內控缺陷的認定主要依據(jù)財政部規(guī)定的認定標準，具體界定標準如下所述：

1、年報和《內部控制自我評價報告》中，如果采用“本年度未發(fā)現(xiàn)內部控制存在設計或執(zhí)行方面的重大缺陷”或“本公司內部控制制度基本健全、執(zhí)行基本有效”等一語帶過的表述方式，則被認定為未披露內部控制缺陷信息；

2、年報的“內部控制”部分或《內部控制自我評價報告》中，如果具體披露了內控缺陷的內容、數(shù)量，或者有“存在以下不足”、“存在以下薄弱環(huán)節(jié)”、“有以下方面尚待改進”等表述方式，則被認定為披露了內部控制缺陷信息。

（三）內部控制相關報告的披露情況

通過搜集整理相關數(shù)據(jù)得出：2010-2012年間披露內部控制自評報告的公司數(shù)量分別為345家、371家、653家，占當年公司總數(shù)的比例為40.49%、41.41%、72.3%；而外部審計師對內控有效性出具審計意見的公司數(shù)量分別為203家、220家、581家，占當年公司總數(shù)的比例分別為23.88%、24.56%、64.34%（如表1所示）。由這些數(shù)據(jù)可以看出，滬市上市公司披露內控自評報告和內控審計報告的數(shù)量無論是從相對量還是絕對量上來說都有所增加，而且2012年的增幅最大。從披露的內控報告的上市公司數(shù)量和內容上來看，并不是所有上市公司都披露了相關報告，《企業(yè)內部控制基本規(guī)范》的施行效果并不如人意，而且無論是自我評價報告還是鑒證報告均以正面評價居多，說明內控披露在一定程度上還存著流于形式，內容空泛的問題。

表1 內部控制相關報告總體披露情況

（四）內部控制缺陷信息披露情況

1、總體披露情況

《內部控制配套指引》的頒布標志著我國內部控制缺陷的披露進入了強制性階段。但指引規(guī)定境內外交叉上市的公司率先于2011年1月1日執(zhí)行，滬深兩市主板上市公司于2012年1月1日執(zhí)行。因此，雖然內控自評報告的披露已進入強制階段，但2010-2011年間內控缺陷的披露仍處于在自愿性披露和強制性披露之間。經(jīng)過手工數(shù)據(jù)搜集和統(tǒng)計，筆者發(fā)現(xiàn)：2010年在345家披露了內控自評報告的公司中有59家披露了內控缺陷，占比17.1%；2011年披露內部控制缺陷的上市公司為62家，占所有披露內部控制自評報告上市公司的16.71%；2012年共有254家上市公司披露了內部控制缺陷信息，占披露內控自評報告公司數(shù)量的38.9%。從這些數(shù)據(jù)可以看出：2010年和2011年披露內控缺陷的公司數(shù)量基本持平，數(shù)量有所減少，而2012年進入強制披露階段使得披露內控缺陷的公司數(shù)量卻有了明顯增加。由此說明，《內部控制評價指引》得到了比較好的執(zhí)行，越來越多的企業(yè)開始關注企業(yè)的內部控制建設，不斷完善內控評價機制。

表2 滬市主板A股上市公司內部控制缺陷信息披露總體情況

接下來，筆者根據(jù)上交所的上市公司行業(yè)分類標準將滬市A股上市公司分為12個行業(yè)進行分析。從表2的統(tǒng)計結果可以看出：各行業(yè)公司所占的比例差異較大，披露內部控制缺陷的公司占當年公司總數(shù)的比例呈現(xiàn)增長趨勢；2010-2011這兩年內控缺陷主要集中于農林牧漁業(yè)以及建筑業(yè)，2012年存在缺陷的公司行業(yè)類型有所轉變，開始集中于制造業(yè)。根據(jù)分析，筆者認為，之所以缺陷年年都集中于農林牧漁業(yè)是因為該行業(yè)公司數(shù)目較少，企業(yè)制度完善程度較低，內控制度相對陳舊。而制造業(yè)等這些行業(yè)一般公司規(guī)模比較龐大、部門設置繁多、業(yè)務流程較為復雜，其在內部控制的制度設計和執(zhí)行方面不免存在漏洞，從而導致了披露的內控缺陷相對較多。

表3 滬市主板A股上市公司各行業(yè)內部控制缺陷信息披露現(xiàn)狀

2、具體披露情況

（1）按缺陷影響程度分類

《企業(yè)內部控制評價指引》規(guī)定，企業(yè)應當根據(jù)內部控制缺陷影響整體控制目標實現(xiàn)的嚴重程度，將內部控制缺陷分為重大缺陷、重要缺陷和一般缺陷，并且內部控制評價報告應當對內部控制評價過程、內部控制缺陷認定及整改情況、內部控制有效性的結論等相關內容作出披露。本文在對內部控制缺陷按嚴重程度進行分類時，是參考企業(yè)內控自評報告中的評價標準和表述來進行歸類的。將2010-2012年滬市A股上市公司披露的內部控制缺陷按缺陷影響程度分類，具體情況如表4所示。從表中不難發(fā)現(xiàn)，大部分公司僅披露了影響程度較低的一般缺陷，僅有極少數(shù)公司披露了內部控制重大缺陷和重要缺陷。

表4 內部控制缺陷按嚴重程度分類情況

（2）按缺陷成因分類

《內部控制基本規(guī)范》中規(guī)定：內部控制缺陷按照成因一般可劃分為設計缺陷和運行缺陷。經(jīng)統(tǒng)計，2010年披露內部控制缺陷的59家上市公司中，涉及內部控制設計缺陷的為17家公司，內部控制運行缺陷的為26家公司，其中兩者都披露的公司為9家，披露模糊不能明確區(qū)分是哪種缺陷的公司為7家。2011年披露內部控制缺陷的62家上市公司中，涉及設計缺陷的為18家公司，運行缺陷的為22家公司，其中兩者都披露的公司為18家，4家公司的披露信息表述不清，無法判別缺陷類型。2012年披露內部控制缺陷的254家公司中涉及設計缺陷的有50家公司，存在運行缺陷的有69家公司，其中兩者都披露的公司有100家，35家公司無法準確辨別屬于哪種缺陷。

表5 內部控制缺陷按成因分類情況

（3）按具體內容分類

《企業(yè)內部控制基本規(guī)范》規(guī)定內部控制有五大要素，分別為內部環(huán)境、風險評估、控制活動、信息與溝通和內部監(jiān)督。內部環(huán)境是基礎，是企業(yè)建設內部控制的土壤。風險評估是內部控制建設的方向?？刂苹顒邮莾瓤伢w系的核心環(huán)節(jié)，貫穿于整個經(jīng)營活動中。信息與溝通是內控的保障措施。而內部監(jiān)督則是內控形成閉環(huán)的重要組成部分。綜合2010-2012年的數(shù)據(jù)，可以發(fā)現(xiàn)大多數(shù)公司傾向于披露內部環(huán)境和控制活動方面的缺陷。筆者認為：內部環(huán)境存在缺陷較多的原因是其涉及到公司的治理環(huán)境，治理制度的不當，會導致公司內部監(jiān)督約束機制缺乏，對公司的價值提升起到負面影響；而控制活動則是內控的生命線，其涉及面廣，要求比較嚴格，因而其發(fā)生缺陷的可能性也相對較大。

圖1 內部控制缺陷按具體內容分類情況

三、內部控制缺陷披露的整改建議

綜上所述，從披露數(shù)量來看，《內部控制配套指引》的頒布使得內部控制缺陷信息的披露有了較大幅度的改善，披露內部控制缺陷的企業(yè)數(shù)量在逐年增加，尤其自從2012年強制披露內控缺陷開始，披露內控缺陷的企業(yè)數(shù)量有了質的變化，但是還是未達到當年公司總數(shù)的50%；從披露內容來看，2010-2011年間披露的內控缺陷內容大多流于形式，信息含量較低，2012年按照《內部控制評價指引》的規(guī)定，內控缺陷信息的披露趨于細化和標準化，大多數(shù)企業(yè)披露了內控缺陷的認定標準，其信息含量也有所增加，內控缺陷的披露為投資者提供了更多的增量信息。盡管隨著制度的進一步完善，內控缺陷披露情況有了改善，但是仍然存在制度執(zhí)行度不高、企業(yè)在實際評估內控缺陷時存在認定界限模糊、部分企業(yè)在評價報告中披露的信息與自身生產經(jīng)營特點和業(yè)務運行模式結合不足、模式化披露傾向較為明顯等問題，針對這些問題，筆者提出以下幾點建議：

（一）制定出臺針對不同行業(yè)操作指南，并進一步細化內控缺陷的認定標準。針對企業(yè)的實際情況和需求，監(jiān)管部門應該在不同的行業(yè)進行調研，了解這些行業(yè)特有的運行模式、共性的風險以及行之有效的控制措施，在此基礎上制定頒布不同行業(yè)的內控操作指南，以促進企業(yè)進一步加強內部控制建設和評價工作，為資本市場提供更加有價值的信息。

（二）充分挖掘資本市場對內部控制有效性的識別功能，促進企業(yè)對于內控缺陷的披露由強制性轉變?yōu)樽栽感耘?。目前我國上市公司之所以缺乏披露內部控制缺陷的動機，其重要原因之一就是資本市場無法對企業(yè)內部控制信息給出準確的反應。企業(yè)無法從正確的披露內部控制缺陷信息中獲得利益，有時市場反而會由于企業(yè)披露了內控缺陷信息造成股價下跌等情況，這些不利反應使得大多數(shù)企業(yè)更傾向于隱瞞內部控制缺陷信息。鑒于此，解決我國上市公司披露內部控制缺陷問題的根本就在于充分運用證券市場的定價機制，引導投資者正確解讀內部控制缺陷信息，從而促使企業(yè)價值的提升。

（三）建立健全內部控制人才培養(yǎng)機制。我國基本處于內部控制建設的初級階段，在內控實施過程中往往缺乏參考，熟悉內部控制的人才嚴重缺乏，這些都導致了我國內部控制缺陷信息披露的質量不高等問題。財政部等相關部門有必要組織力量研究探索內部控制人才的培養(yǎng)和認證機制，不斷提高企業(yè)管理層以及員工的風險意識、內部控制全局意識，同時還要加強對注冊會計師有關內部控制審計方面的培訓，推動和加強全社會范圍內內部控制人才的培養(yǎng)，促進企業(yè)內部控制建設水平和管理水平的提升。

（四）全面推進信息化建設，促進內部控制手段的固化。信息化建設是內部控制體系建設的一項基礎性工作，也是內部控制體系建設成果得以規(guī)范化的重要技術保障。企業(yè)應該根據(jù)其實際情況，結合行業(yè)特性，將內部控制各個環(huán)節(jié)制度化、流程化、信息化，有效完善內部控制管理系統(tǒng)，增加相應的評判標準以做好內控缺陷評價工作，以此來全面提升企業(yè)的價值創(chuàng)造。

［1］Ashbaugh-Skaife，H.Collins，D.Kinney，W.The Effect of SOX Internal Control Deficiencies and Their Remediation on Accrual Quality[J].The Accounting Review，2008，83(1)：217-230

［2］Beneish，Billings，M.，Hodder，L.Internal Control Weaknesses and Information Uncertainty[J]The Accounting Review，2008，83(3)：665-703

［3］Feng，M.，C.Li，and S.McVay.Internal Control and Management Guidance[J].Journal of Accounting and E-conomics，2009(48)：190-209

［4］財政部會計司.企業(yè)內部控制規(guī)范講解2010[M].北京：經(jīng)濟科學出版社，2010，(7)：80-81

［5］齊保壘，田高良，李留闖等.上市公司內部控制缺陷與財務報告信息質量[J].管理科學，2010，23(4)：38-47

［6］楊有紅，李宇立.內部控制缺陷的識別、認定與報告[J].會計研究，2011，(3)：76-80

［7］林斌，劉春麗，舒?zhèn)サ?中國上市公司內部控制缺陷披露研究——數(shù)據(jù)分析與政策建議[J].會計之友，2012，(25)：9-16

［8］劉麗芬，沙威.上市公司財務報告內部控制缺陷驅動因素分析——來自中國上市公司的經(jīng)驗證據(jù)[J].會計之友，2012，(34)：95-97

［9］劉夢甜.上市公司財務報告內部控制缺陷驅動因素分析——來自中國上市公司的經(jīng)驗證據(jù)[J].商業(yè)會計，2013，(3)：56-58

［10］龍鳳姣.企業(yè)內部控制缺陷認定方法探討 [J].商業(yè)會計，2012，(11)：36-37

［11］崔志娟.規(guī)范內部控制的思路與政策研究——基于內部控制信息披露“動機選擇”視角的分析 [J].會計研究，2011，(11)：52-56

［12］孔敏.內部控制缺陷認定與陳述的問題分析——基于*ST大地案例的分析[J].商業(yè)會計，2012，(24)：27-29.[13]王惠芳.上市公司內部控制缺陷認定：困境破解及框架構建[J].審計研究，2011，(2)：71-76

［13］董卉娜.上市公司內部控制缺陷披露現(xiàn)狀研究——基于2009-2010年深市主板A股的實證研究[J].證券市場導報，2012，(8)：72-77