企业内部控制评价执行效果研究——基于四川省2009年上市公司的数据分析

戴雪梅

（成都职业技术学院财经分院 四川 成都 610041）

企业内部控制评价执行效果研究
——基于四川省2009年上市公司的数据分析

戴雪梅

（成都职业技术学院财经分院 四川 成都 610041）

2008年财政部等5部委联合发布了我国第一部《企业内部控制基本规范》，2010年又发布了《企业内部控制配套指引》，标志着我国企业内部控制规范体系基本建成。本文以四川省2009上市公司为研究对象，分析了内部控制评价的现状及执行效果，并提出了改进建议。

上市公司 内部控制评价 强制性披露 执行效果

一、引言

2008年，财政部会同证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》，要求2009年7月1日起率先在上市公司范围内实施，同时鼓励非上市的其他大中型企业施行。2010年五部委又发布了《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，规范及指引的发布标志着我国企业内部控制规范体系基本形成。该规范及指引明确上市公司应当定期对本公司内部控制的有效性进行自我评价，披露内部控制自我评价报告并聘请会计师事务所对财务报告内部控制的有效性进行审计。《企业内部控制配套指引》规定从2011年1月1日起首先在境内外同时上市的公司施行，从2012年1月1日起扩大到在上交所、深交所主板上市的公司施行。如何按照新规范有效的组织实施将成为上市公司面临的重大问题，对内部控制的建立和实施进行评价，是优化内控自我监督机制的一项重要制度安排，是内部控制在企业中有效实施的重要保障，因此，对内部控制评价的研究将成为理论界和实务界关注的热点。为充分了解内部控制评价现状，本文以四川79家上市公司为研究对象，采取手工收集的方式，收集截止于2010年10月31日的上市公司公开资料，包括公司2009年度报告、内部控制自我评价报告、内部控制审核报告或鉴证报告。对其内部控制评价执行效果进行了分析。

二、上市公司内部控制评价执行效果现状分析

（一）上市公司内部控制评价现状 （1）上市公司内部控制自我评价报告总体披露情况。本文对76家四川上市公司2009年12月31日内部控制自我评价报告及审核报告进行了统计。另3家（002460天齐锂业、002480新筑股份、300127银河磁体）是2010年新上市公司，收集的是2010年6月30日内部控制自我评价报告及审核报告信息，上市公司内部控制自我评价报告总体披露情况见表（1）。据表（1）统计可见，上市公司仅披露内部控制自我评价报告的有32家，占样本总数的40.51%，既有内部控制自我评价报告又有会计师事务所审核报告的有25家，占样本总数的31.64%，没有内部控制自我评价报告的有22家，占样本总数的27.85%，这22家全是沪市上市公司，内部控制信息披露仅在年报的公司治理结构或监事会报告中分散的出现，并没有系统的以自我评价报告的形式提出。（2）上市公司内部控制评价报告披露广度。以披露了内部控制评价报告的57家上市公司为样本，根据《企业内部控制评价指引》要求，内部控制评价报告至少应当包括八项内容，按照八项内容对样本进行完整性统计分析，以研究内部控制评价报告的披露广度，见表（2）。据表（2）统计可见，上市公司内部控制评价报告披露了董事会声明的有5家，占比8.77%，披露了内部控制评价的程序和方法的有7家，占比12.28%，披露了内部控制缺陷及其认定的有17家，占比29.8%，披露了内部控制缺陷整改情况的有32家，占比56.41%，披露广度还远远不能满足内部控制评价报告的要求，同时上市公司在报告里披露的内容和格式具有较大的可选择性，各上市公司都按照自己对法规的理解和对公司有利角度去编制报告。（3）上市公司内部控制评价报告披露深度。以披露了内部控制评价报告的57家上市公司为样本，从内部控制评价内容、程序和方法、缺陷认定及整改情况对上市公司内部控制评价报告的披露深度进行统计分析。按披露的详细程度将内控披露分为“简单披露”、“一般陈述”、“详细说明”三个层次：“简单披露”指公司简单概括说明内部控制情况，即只有“本公司建立了完善的内部控制制度”之类的简单一句话；“详细说明”是指能够严格遵守《企业内部控制规范》和评价指引的要求，按其内容进行详尽的阐述；“一般陈述”介于二者之间，上市公司内部控制评价报告披露深度见表（3）。通过表（3）统计发现，有10家公司占比17.54%遵循了《内控规范》，采用了COSO五要素框架，从内部环境、风险评估、控制活动、信息与沟通、内部监督五方面展开评价，而其他上市公司要不就是要素不全，要不就是内容空泛，没有实质性内容。只有7家公司占比12.28%在内部控制评价报告中出现了内部控制评价的程序和方法，但仅提到内审评价和监事会评价，对内部控制评价工作的基本流程，以及评价过程中采用的主要方法未进行描述。有10家公司占比17.54%结合自己公司的情况指出了存在的缺陷并提出了相关整改措施，而其余22家只是泛泛而谈，只有一些空话、套话，如内控需完善，执行力度需加强等笼统说法，并在此基础上提出相关整改措施，还有25家占比43.86%未提及内部控制缺陷及整改情况。

表1 上市公司内部控制自我评价报告总体披露情况

表2 上市公司内部控制评价报告披露广度

表3 上市公司内部控制评价报告披露深度91.23

（二）上市公司内部控制评价信息披露分析 通过以上对我国2009年四川上市公司内部控制评价信息披露状况的分析，可以发现，我国企业内部控制评价信息披露在广度和深度上还不够，究其原因主要有：（1）管理层对内部控制评价认识不足。相当一部分企业对内部控制评价不够重视，往往以满足证监会和交易所方面的要求为己任，导致企业对内部控制信息的披露流于形式，通常只有“公司建立了完善的内部控制制度”或类似描述。目前上市公司内控正在建设中，存在很多的内控缺陷，有待进一步整改，若披露真实的内控评价信息，可能会涉及内控的重大缺陷，担心给上市公司带来负面影响，进而会影响投资者的决策，导致企业的市场价值降低，因而上市公司宁愿少披露或不披露内部控制评价信息，自愿性披露动机严重不足。（2）缺乏统一的评价依据和标准。在笔者统计的57家样本公司中仅有39家披露了内控评价所采用的标准或依据，其中有些上市公司按照《内部控制基本规范》作为标准，有些上市公司以上交所或深交所发布的内控指引为依据。但是这几部规范对我国上市公司内部控制自我评价报告披露的责任主体、内容、格式、程度等相关规定都存在着差异，这无疑会使上市公司在评价过程中加大披露的随意性。据统计有16家上市公司采用了COSO框架即控制环境、风险评估、控制活动、信息与沟通和监督等五要素作为其内控评价报告的标准，但大多企业并未完全按照五要素展开评价。评价标准不统一造成了评价结论可比性差，进而影响到评价信息的实用性。（3）内部控制评价的程序和方法缺失。内部控制自我评价报告作为一种结果的披露，需要上市公司通过评价主体按照一定的评价标准对特定的评价对象运用某种评价方法才能得出这一结果。如果评价过程中的程序不够规范，方法不适当，就难以保证其评价报告的可靠性。之前我国发布的《企业内部控制基本规范》以及《上市公司内部控制指引》中没有明确规范评价的方法，导致上司公司在进行实际内控评价工作时，无科学可行的方法来指导，出现随意评价。我国现行的《企业内部控制评价指引》中，明确规定内控评价报告中应包括“内控评价的程序和方法”。在被调查的57家上市公司中，只有7家公司占比12.28%披露了该项内容，仅提到监事会和内审评价，缺乏实质性内容。Deumes（2008）的研究表明，很多企业认为披露内控评价方法和程序会泄露机密信息，会给企业带来损失。企业如果严格遵循内部控制评价程序和方法执行评价工作，评价成本增高，基于保密原则和成本效益，上市公司不愿意披露此项内容。（4）内部控制缺陷认定标准缺乏指导性。我国目前的相关规范对于内控缺陷的规定不统一，对于重大缺陷的认定明显缺乏指导性。虽然在2010年财政部发布的《企业内部控制评价指引》中指出了缺陷的涵义和分类，明确了“企业应当对内部控制缺陷进行综合分析后提出认定意见，按其影响程度分为重大缺陷、重要缺陷和一般缺陷”，所谓“重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标”，但《指引》要求企业在认定重大缺陷时自主确定，而重大缺陷定义中的“严重偏离控制目标”的确定，没有具体可供操作的参考标准，导致实际认定存在难度。调查的57家上市公司中，有17家说明其存在内控缺陷，但却没有一家指出其缺陷是否为重大缺陷，这样的披露就没有多大的价值。（5）内部控制评价监管不力。内部控制规范明确要求上市公司披露内部控制自我评估报告和会计师事务所审核报告，而本文抽取的79家上市公司中只有25家披露了内部控制自我评估报告和会计师事务所审核报告。没有内部控制自我评价报告的22家全是沪市上市公司，可见深市上市公司内部控制评价披露情况明显优于沪市，而深市中小板和创业板又优于A股。究其原因可能与深交所近年来要求对信息披露加强监管，特别是对中小板和创业板内部控制信息披露严格监管，采取每年对信息披露质量进行评级并公布结果及对选择性信息披露加强监管等措施有关。目前，对于上市公司违规信息披露行为，证监会的处罚方式主要采取警告和罚款两种，上交所和深交所主要有公开谴责、内部批评和责令改正三种方式。信息披露违规处罚力度不大，上市公司不披露或少披露内控信息并没有遭到相应的惩罚，内部控制信息披露违规产生的收益远远大于违规成本，使得许多上市公司不按规定披露内部控制信息。

三、上市公司强化内部控制评价实施对策措施

（一）完善内部控制评价指引实施细则 《企业内部控制基本规范》和《企业内部控制评价指引》的制定发布，为企业开展内部控制自我评价提供了一个统一遵循的标准。但规范及指引只规定了企业建立内控制度的基本原则、目标、框架及主要控制环节和相应关键核心控制点，为督促企业有效地提高企业内控评价水平，相关部门还需建立一系列具体明确、简明实用的内部控制评价实施细则。新规范只是文件性的文字指导，没有明确规定内部控制评价衡量标准，没有形成具体内部控制评价的指标体系。为提高内控评价信息披露的可操作性和可比性，评价标准和评价指标的确定应兼顾政府指导性和企业自主性。针对内部控制缺陷的认定与操作具有很大的难度，需要借助一套可系统遵循的认定标准，认定过程中还需要内控评价人员充分运用职业判断。为此，政府监管部门应提供确定重大缺陷的原则性指引，规定一个明确的度，表明达到何种程度的缺陷会导致“严重偏离内部控制目标”，企业在此原则指导下，结合自身实际和关注的重点，确定内控缺陷的具体认定标准。

（二）强化企业管理层对内部控制评价认识 以往我国上市公司内部控制评价的建立与实施缺少一套公认的标准和规范，导致企业管理层对内部控制评价的了解和认识不够准确和深刻，成本费用增加，却得不到应有的收益，严重影响内部控制实施的效果。如今配套指引的正式发布，无疑为我国内控评价的建立与发展打了一剂强心针。政府应抓住有利时机加强对上市公司内控信息披露的战略引导，提升上市公司的管理层树立正确的内控评价意识，认识到内控评价有助于企业查错防弊、降低风险、提升公司绩效和市场价值，把内部控制信息披露提高到战略角度，由被动遵循变为主动提升，让上市公司从“要我评价”转变到“我要评价”。为此，政府应牵头，制定切实可行的培训计划，对内部控制评价和信息披露的责任人开展广泛的内部控制规范的培训，企业管理层应定期组织内部相关人员参加专业机构举办的内控培训班，学习内部控制评价的实施方法，掌握内控评价的知识和技能，明确各自在内部控制评价中的职责，增强执行层面人员的内控评价意识，逐渐形成重视内部控制的企业文化。

（三）完善企业内控自我评价体系 完善的内控自我评价体系是企业内部控制有效性评价的重要有力保障，要将评价落到实处就需要建立内控评价组织、明确评价标准、制定切实可行的评价程序和方法。首先，企业应建立内部控制评价的组织机构，内部控制评价工作能否有效实施，主要取决于企业是否具备强有力的组织领导体制。企业应授权内部审计部门或者其他专门机构作为内控评价机构，在内控评价机构下可设置专门的评价工作组，具体承担内控评价工作的组织。内控评价人员应具有独立性、职业道德素养和业务胜任能力。其次，制定内部控制评价标准，评价标准是内控评价主体对于内控客体进行评价所需要采用的一定的标准。评价标准分为一般标准和具体标准，一般标准主要用来评价企业内部控制的合法性、有效性以及是否完整，具体标准是对企业的具体内部控制实施情况进行评价的标准。企业可按照指引的要求，结合自身情况，设计出每一个项目的具体评价标准，以保证内部控制评价的实施。再次，执行内控主要评价程序应包括：制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编制评价报告、实施整改措施等。我国上市公司应将传统内部审计方法与CSA先进理念相结合，在内控评价机构的领导下，由素质较高的内审人员或外部专家担当引领者，由内部审计人员、关键控制点的管理人员和责任人员组成评估小组，采用访谈、问卷调查、统计抽样、专题讨论、穿行测试、实地查验等多种测试方法广泛收集公司内部控制的证据，按照评价标准对本企业或本部门的内部控制设计和运行状况进行评价，研究分析内部控制缺陷，如实填写评价工作底稿，根据汇总评价结果和集体讨论形成改进意见，最终形成内部控制评价报告。

（四）加强内部控制评价监管 为即将实施的企业内部控制规范体系做好准备，监管机构应加大对上市公司内控体系监督检查力度。目前的相关规范，缺少关于董事会、总经理及注册会计师法律责任的具体规定，缺乏有关内部控制评价的责任追究机制。不明确各方的法律责任，难使他们尽心地履行核实评价的职责，故应在法律法规中进一步明确企业管理层及注册会计师的法律责任，制定对内控评价报告违法行为进行处罚的法律法规。针对我国目前法律存在着重行政、刑事责任轻民事责任，尚未大规模启动民事赔偿法律机制的现状，笔者建议对违反《内控指引》要求的公司进行惩罚时，引入民事赔偿诉讼机制，细化对民事责任的赔偿，提高其实际可操作性，通过加大处罚的力度来提高其违约成本，防范虚假的内控报告、审核报告的产生。

［1］杨有红：《2007年沪市公司内部控制自我评价研究》，《会计研究》2009年第6期。

［2］赵兴莉：《新规范下上市公司内部控制评价报告架构探析》，《会计研究》2009年第9期。

［3］董美霞、陈艳：《中美内部控制监管机制比较研究》，《财经问题研究》2009年第4期。

［4］李明辉、何海、马夕奎：《我国上市公司内部控制信息披露状况的分析》，《审计研究》2003年第1期。

［5］陈关亭、张少华：《论上市公司内部控制的披露及其审核》，《审计研究》2003年第6期。

［6］朱荣恩：《内部控制评价》，中国时代经济出版社2004年版。

［7］周勤业、王啸：《美国内部控制信息披露的发展及其借鉴明》，《会计研究》2005年第2期。

［8］方红星、孙翯：《强制披露规则下的内部控制信息披露》，《财经问题研究》2007年第12期。

［9］David MWillis，Susan SLightle．ManagementReports0n InternalControls，Journalof Accountancy，New York，Oct2000．

［10］Linda L.Griggs.Auditsof InternalControl,over FinancialReporting：WhatDo TheyMean,Accountingand Accountants,Apr2004.

［11］Jeffrey T．Doyle，WeiliGe，Sarah Mcvay．Determinants ofWeakness in Internal Control Over Financial Reporting，SSRNWorking Paper，May 2006．

［12］CommitteeofSponsoringOrganizationsof the TreadwayCommission（COSO）-InternalControl—Integrated Framework．1992．

［13］Stephen H．Bryan and Steven B．Lilien，Characteristics of Firmswith MaterialWeaknesses in Internal Control：An Assessment of Section 404 ofSarbanesOxley，Working paper，Wake ForestUniversity and City University of New York．2005．

［14］Weili Ge，Sarah．Mcvay．The Disclosure of MaterialWeaknesses in Internal Control after The Sarbanes．Oxley Act，Accounting Horizons，Sep 2005．

［15］The Committeeof SponsoringOrganizationsof the Treadway commission，Enterprise Risk Management，Oct2004．

戴雪梅（1972-），女，四川资中人，成都职业技术学院财经分院讲师

（编辑 梁 恒）