内部控制缺陷披露质量研究

龙凤姣

【摘要】内部控制缺陷是企业内部控制的核心问题。文章以2014～2015年A股上市公司内部控制自评报告中披露的内部控制缺陷数据为研究对象，从内部控制缺陷认定标准、内部控制缺陷具体内容及内部控制缺陷整改等三个角度揭示了目前我国上市公司内部控制缺陷披露的质量，从而提出从法律层面完善内部控制缺陷信息的披露及建立内部控制缺陷披露的内控制度等建议。

【关键词】内部控制；内部控制缺陷；信息披露；认定标准；

【中图分类号】F23

一、问题的提出

《内部控制基本规范》和《内部控制配套指引》的頒布和实施，标志着我国企业内部控制标准体系已初步形成。目前企业内部控制信息最直接的获取途径是企业披露的内部控制自评报告和审计师出具的内部控制审计报告，但内部控制审计报告几乎是千篇一律的“完美报告”，且标准的审计意见并不代表企业内部控制是健全的，仅表明企业“在所有重大方面保持了财务报告内部控制的有效性”，往往只有在企业内部控制存在重要或重大缺陷时才会出现否定意见或保留意见的内部控制审计报告。而内部控制自评报告中则较多地披露了一般缺陷，因此，笔者认为自评报告是一个更加直观的获取内部控制缺陷的途径。然而，如何衡量内部控制是否存在缺陷，目前学术界有较大的分歧，国外的文献在研究内部控制缺陷时直接选择内部控制自评报告或审计报告中披露的内部控制缺陷作为衡量企业内部控制有效性的标准。如Chan发现内部控制存在缺陷的公司其应计质量也较低，而当内部控制缺陷得到整改后，应计质量也逐渐提高，Kim研究发现投资者对内部控制审计报告中内控缺陷披露的反映取决于管理层之前披露的内控自评报告与之是否一致。而国内文献在研究内部控制有效性时，通常是采用替代变量来研究内部控制缺陷，如林兢、耿建新等选择内部控制五要素的实现程度来评价企业内部控制的质量，而王东升则根据内部控制的五目标建立综合评价指标来衡量企业内部控制的有效性，深圳迪博企业风险管理技术有限公司以企业在各种公开渠道披露的内部控制信息构建指标体系来衡量企业的内部控制质量。

由此可见我国学术界在研究内部控制有效性时，通常是采用替代变量来研究内部控制缺陷。而对上市公司内部控制缺陷披露关注较少，究竟是大家忽略了自评报告中缺陷的信息？还是自评报告缺陷本身不具有信息含量？笔者以为，内部控制自评报告是获取内部控制缺陷最直接的途径，其内部控制缺陷披露质量的高低决定了我们是否可以以此作为内部控制有效性的衡量标准，这无论对企业投资者、债权人还是研究学者来说，都是至关重要的。基于此，本文选择2014～2015年在沪深交易所A股上市的公司为研究对象，对其内部控制自评报告中披露的内部控制缺陷情况进行数据整理和分析，并结合我国的市场环境提出相关建议。

二、我国上市公司内部控制缺陷披露现状

本文对2014～2015年在沪深交易所A股上市并披露内部控制自评报告的公司进行统计分析，文中内部控制缺陷的信息来自迪博内部控制与风险管理数据库，笔者对原始数据进一步整理，对上市公司披露的内部控制缺陷信息进行分析。内部控制缺陷意味着企业的内部控制存在问题，而一切问题的症结在于“如何认定”、“是什么”和“怎么解决”三个关键点。因此，对于内部控制缺陷的披露质量，本文选择了以下三个角度来分析：

（一）内部控制缺陷认定标准

内部控制缺陷认定标准是内部控制缺陷划分的依据，《企业内部控制评价指引》对于什么样的缺陷划分为重大缺陷，什么样的缺陷划分为重要缺陷和一般缺陷没有明确的标准，而只是要求企业根据自己的实际制订相应的内部控制缺陷认定标准，并且对于内部控制缺陷认定标准的披露也无强制要求。根据表1数据显示，近年来在自评报告中公开内部控制缺陷认定标准的上市公司越来越多，2014年披露内部控制自我评价报告的2 586家上市公司中，有1 963家公司披露了内部控制缺陷认定的定量或定性标准，占比75.91%，2015年这个比率提高了五个百分点，这说明主动披露内部控制缺陷认定标准的公司在增加，大部分公司愿意向投资者提供内部控制缺陷的划分依据以增强内部控制自评报告的信息含量。

另一方面，就具体的内部控制缺陷认定标准而言，笔者发现不同公司内部控制缺陷认定标准在内容的全面性、认定的准确性及披露的透明度方面却存在较大的差异。不少企业制定了详细的内部控制缺陷定量标准和定性标准，但仍有不少企业并未设置内部控制缺陷认定的定量或定性标准，或者只设置了定量标准而对定性标准含糊不清，甚至有的企业仅以披露内部控制缺陷的定义来替代内部控制缺陷认定标准。

（二）内部控制缺陷具体内容

投资者不仅关心企业内部控制是否存在缺陷，更关心存在什么样的缺陷，即内部控制缺陷的具体内容。虽然不少公司都在自评报告中指出内部控制存在缺陷，但值得注意的是，并不是所有披露存在内部控制缺陷的上市公司都在报告中披露了相应的内部控制缺陷内容，不少公司虽然承认存在内部控制缺陷，却在内部控制缺陷内容披露方面选择了逃避，从表2数据来看，2015年485家上市公司披露的3 583项内部控制缺陷为例，仅1 154项有具体内部控制缺陷内容，占比32.21%，而2014年这一比例为35.74%。统计结果说明，一方面，内部控制缺陷具体内容披露的比率是极低的，披露内部控制缺陷具体内容的仅占三成左右，有三分之二的内部控制缺陷具体内容被企业隐藏了；另一方面，披露具体缺陷内容的比率还呈现逐年下降的趋势，2015年披露比率比2014年下降了三个百分点，这更说明了上市公司对内部控制缺陷披露内容的逃避态度。

内部控制缺陷具体内容的披露是在向市场传递一个“坏消息”，表明企业内部控制制度的不完善。虽然主动披露内部控制缺陷表明了企业信息披露的透明度，但企业详细披露内部控制缺陷信息的“诚实行为”所树立的正面形象远远小于披露内部控制缺陷所带来的负面效应。因此多数企业担心内部控制缺陷信息披露会引起负面效应而不敢披露或刻意回避披露内部控制缺陷的具体内容，如万发发展对内部控制缺陷内容仅简单指出“需加强风险防控”。endprint

（三）内部控制缺陷整改情况

企业如实披露内部控制缺陷固然勇气可嘉，但信息使用者更关心的是缺陷的整改情况。内部控制缺陷整改反映了企业健全内部控制的决心，及时发现缺陷和合理进行整改有助于将经营风险和财务风险控制在合理范围内。但根据近两年内部控制自评报告中内部控制缺陷整改的披露来看，情况并不理想。根据表3得知，2014年披露了具体内容的838项缺陷中有594项披露了相应的整改措施，占比70.88%，其中仅37.47%整改有效，虽然这一比例下一年内控自评报告中提高至68.28%，但总的来说，内部控制整改信息的披露仍然是不够的：近两年仍有将近一半的缺陷未能得到有效整改。

内部控制缺陷的整改情况对于企业来说是向市场传递好消息，所以理论上如果企业对内部控制缺陷进行了整改，就有足够的动机披露内部控制缺陷的整改情况，因此，内控自评报告中未披露整改信息的企业极有可能未对内部控制缺陷采取相应的整改措施，说明还有一部分企业未对内部控制缺陷引起重视，披露内部控制自评报告仅仅只是为了应付监管需要，并没有实质性的对内部控制进行评价。

三、提高内部控制缺陷披露质量的建议

根据以上数据可以看出，内部控制缺陷的披露已经开始受到重视，但总体来说内部控制缺陷的披露质量仍是不够理想。根据信号传递理论，企业管理层通过披露的信息向投资者、债权人传递相应的信号，内部控制缺陷的披露是在向市场传递一个企业内部控制不完善的坏消息。因此，企业管理层有隐藏坏消息的动机，我国内部控制自评报告中内部控制缺陷的披露存在“自选择性”，企业对内部控制缺陷信息的披露仍持有逃避态度，现阶段内部控制缺陷披露的质量有待提高。基于统计中发现的内部控制缺陷披露问题，笔者建议从外部监管和内部提升两个角度来完善上市公司内部控制缺陷信息的披露。

（一）外部监管：从法律层面完善内部控制缺陷披露

内部控制缺陷信息披露的质量不高，归根结底，还是因为我国内部控制发展还处于不断摸索和完善中，因此首先要从法律层面细化和完善内部控制缺陷披露：

1.订立统一的、可操作的内部控制缺陷认定标准

内部控制缺陷认定标准是衡量内部控制缺陷的一杆标尺，标尺刻度的准确性和统一性至关重要。在缺乏具体可操作的内部控制缺陷认定标准情况下，不同企业制定的内部控制缺陷认定标准必然差异巨大，由于不同企业采用不同的内部控制缺陷认定标准，可能使得同一缺陷在一个企业被认定为重要缺陷，却在另外一个企业被认定为一般缺陷，从而导致不同企业披露的内部控制缺陷信息缺乏可比性。笔者建议按照企业所处的行业划分为A、B、C、D、E五个风险等级，分别代表高风险行业、较高风险行业、中等风险行业、较低风险行业以及低风险行业，再针对不同风险等级的行业制定具体的内部控制缺陷认定定量标准和定性标准。相应的，风险等级越高的企业，其内部控制缺陷认定标准应该越严格；风险等级低的企业，其内部控制缺陷标准相对更宽松。

2.强制披露内部控制缺陷的具体内容

投资者不仅关心企业内部控制是否存在缺陷，更关心存在什么样的缺陷，即内部控制缺陷的具体内容。但根据本文的描述性统计，现阶段披露了内部控制缺陷具体内容的企业仅占三分之一，这样的信息含量是远远不够的，内部控制缺陷内容的披露应具有普遍性。基于此，笔者建议出台相应的法规强制要求内部控制存在缺陷的公司必须披露内部控制缺陷的具体内容，并给出内部控制缺陷内容披露的格式或范本，且对自评报告中具体缺陷内容的披露规定相应的篇幅。此外，应建立相应的奖惩措施，对于积极有效披露内部控制缺陷内容的公司予以奖励，对于消极或者恶意隐藏缺陷的公司予以警告和处罚，以加强对内部控制规范体系的执行力度。

（二）内部提升：建立内部控制缺陷披露的内控制度

1.建立由内审部门领导的内控缺陷管理小组

仅仅发现内部控制缺陷是不够的，更重要的是对于评价出的内部控制缺陷该如何处理、由谁来处理。笔者建议有条件的企业在内部审计部门下设专门的内部控制缺陷管理小组，小组的主要职责包括制定内部控制缺陷认定的定量标准和定性标准、对内部控制缺陷具体内容进行分类并依据严重程度及时上报审计委员会和董事会、针对内部控制缺陷制定相应的整改计划并报董事会审批、监督内部控制缺陷整改计划的进行、测试内部控制缺陷整改计划的有效性及监督内部控制缺陷信息的披露等。

2.制定内部控制缺陷信息披露制度

企业应制定一个详细的内部控制缺陷披露制度，确定内部控制缺陷内容披露的具体格式，完善内部控制缺陷整改计划的披露要求，可根据内部控制缺陷的性质制定不同的信息披露制度，缺陷越重大则披露的要求越高：对重大缺陷和重要缺陷需披露相应的整改措施、何时开始整改，对整改已经完成的，测试整改的有效性；对整改尚未完成的，披露截止报告基准日或自评报告发出日整改的进度及计划完成时间。而对一般缺陷则至少应披露整改措施以及截止报告日整改是否有效。

基于以上分析，本文认为我国内部控制缺陷信息披露的质量还有待提高，内部控制缺陷的披露在认定标准、具体内容及整改情况等方面都不尽如人意，企业所披露的内控缺陷信息尚不能反映企业內部控制缺陷的真实情况。因此，为提高企业内控缺陷的信息含量，本文建议提高内部控制监管力度，完善上市公司内部控制制度，避免内控缺陷信息披露流于形式。endprint