上市公司内部控制信息披露：现状分析与改进建议

(西南大学经济管理学院重庆400716)

企业内部控制缺陷是导致财务舞弊的主要原因之一，内部控制信息的披露可以为财务报表使用者提供可靠性的财务报告附加信息，同时也可以促进企业改善内部控制。从上市公司实践看，由于上市公司内部控制情况各异，且对内部控制的理解不同，在内部控制自我评价报告、财务报告内部控制审计报告的信息披露方面存在较大差异。本文总结和分析了2012年年报中以单独报告形式披露的内部控制自我评价报告和审计报告情况，并就缺陷认定、报告内容、审计问题等进行了讨论，最后提出了改进建议。

一、文献回顾

美国最早建立了内部控制信息披露制度，其研究方向大致可以分为三个方向：自愿性内部控制披露的影响因素、内部控制缺陷的决定因素以及内部控制缺陷产生的经济后果。Ashbaugh-Skaife 等（2006）发现影响公司自愿性内部控制披露的因素包括四个方面：审计师独立性排名、SEC监管弹性、机构投资者的监督力度以及诉讼存在的潜在风险；Yan（2007）发现审计委员会成员的数量、审计委员会中会计专业性强的成员的数量越多，内部控制存在重大缺陷后下一年内部控制改进的可能就越大。而就内部控制信息披露的经济后果方面，主要研究了以下三个方面的经济后果：盈余管理、审计定价以及股权融资成本（Ashbaugh-Skaife 等，2008；Doyle 等 ，2007；Hogan 和 Wilkins，2006；Hoitash 等 ，2008；Ashbaugh-Skaife 等，2009）。

国内学者关于内部控制信息披露的研究可以归纳为以下三个方面：内部控制信息披露规则研究、内部控制评价及审核研究、内部控制信息披露影响因素研究。田高良等对2008年深市上市公司内部控制缺陷披露情况进行了实证研究，分析影响内部控制缺陷披露的经济因素及管理者发现和披露内部控制缺陷的动机。随着2006年 《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》的出台，国内学者大多以此为分析框架，在研究相关非金融类上市公司年报基础上，反思内部控制信息披露存在的问题并提出了建设性意见。秦冬梅（2007）分析了2006年上市公司年报中的内部控制信息披露，指出内部控制信息披露的状况有了较大改观，同时也指出出具内部控制自我评价报告的公司较少，注册会计师对内部控制评价较少并且披露质量也有待改进。陈丽琴等（2009）以上市公司内部控制信息披露为研究对象，实证研究发现，内部控制信息披露的相关规定执行效力不高，企业对内部控制规范认识不足，企业管理层隐瞒相关信息的动机很大。

上述研究为我们了解进入强制性披露时期后，我国上市公司内部控制信息披露的现状及存在的问题提供了基础。本文以2012年沪深两市披露的内部控制自我评价报告和审计报告的A股上市公司为研究对象，对我国上市公司内部控制信息披露的现状进行分析。

二、上市公司内控信息披露概述

(一)总体披露情况

截至2012年12月31日，沪、深交易所A股上市公司有2 472家，本文在选取样本时剔除了在2013年退市的三家公司，总样本为2 469家。

如表1所示，2 223家上市公司在2013年4月30日前披露了内部控制评价报告，246家未披露内部控制评价报告；1 504家上市公司在2013年4月30日前披露了内部控制审计报告，占比60.92%；965家上市公司未披露内部控制审计报告。主板1 413家上市公司中，1 168家披露了内部控制评价报告，933家披露了内部控制审计报告。中小板701家上市公司中内部控制评价报告和内部控制审计报告的披露比例分别为99.86%和51.21%；创业板355家上市公司中内部控制评价报告和内部控制审计报告的披露比例分别为100%和59.72%。根据监管部门的要求，被纳入强制实施范围的A股上市公司共839家。其中，833家上市公司在2013年4月30日之前披露了内部控制评价报告和内部控制审计报告的比例分别为99.28%和98.33%，而非强制实施的披露比例分别为 85.28%和 41.66%，强制实施的内部控制评价报告披露比例比非强制实施的披露比例高出14个百分点。

(二)内部控制自我评价报告情况分析

1.内部控制缺陷。我国《企业内部控制评价指引》中仅仅提出了评价控制缺陷的总体要求：企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。内部控制缺陷具体标准由公司自行确定，因此实务中内部控制缺陷标准的制定直接影响到最终的评价结论。在2013年4月30日前披露了内部控制评价报告的2 223家上市公司中，1 489家未披露内部控制缺陷认定标准，占比66.98%；734家披露了内部控制缺陷认定标准，占比33.02%。纳入强制实施范围的833家披露了内部控制评价报告的上市公司中，559家披露了内部控制缺陷认定标准，占比67.11%；未纳入强制实施范围的1 390家披露了内部控制评价报告的上市公司中，175家披露了内部控制缺陷认定标准，占比12.59%。

我国 《企业内部控制评价指引》要求内部控制评价工作组应当根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。在2 223家披露了内部控制评价报告的上市公司中，1 720家未披露自身存在内部控制缺陷，占比77.37%；503家披露自身存在内部控制缺陷，占比22.63%。其中，4家公司披露了内部控制重大缺陷，1家公司披露了内部控制重大缺陷和重要缺陷，3家公司披露了内部控制重大缺陷和一般缺陷；8家公司仅披露内部控制重要缺陷，27家公司披露了内部控制重要缺陷和一般缺陷；460家公司仅披露内部控制一般缺陷。这些上市公司披露的内部控制缺陷数量总计为4 281个，其中，重大缺陷20个，占比0.47%；重要缺陷340个，占比7.94%；一般缺陷3 921个，占比91.59%。

表1 上市公司2012 年内部控制信息总体披露情况

以上数据表明，随着内部控制规范体系实施深度的推进，上市公司开始逐渐正视自身内部控制体系中的缺陷，将监管部门的要求与自身实际情况结合起来，不断完善其内部控制制度。

2.信息披露的格式和内容。在实务中，上市公司的自我评价报告的格式主要有简式和详式两大类。其中简式披露仅通过一至两页的披露来简要介绍，内容通常包括董事会和管理层对内部控制的责任、内部控制的目标、固有局限段、建立和实施内部控制时主要考虑的基本要素、评估的结论等；而详式披露则充分反映了我国内部控制的特色，通常以最多近30页的篇幅来描述公司概况、内部控制的目标、原则及依据、内部控制情况说明、重点控制活动、内部控制执行情况、内部控制缺陷及整改情况、公司内部控制自我评估结论、审计机构的评价意见等。

(三)内部控制审计报告情况分析

从审计报告的内容看，会计师事务所一般依据 《企业内部控制基本规范》和《企业内部控制配套指引》中的《企业内部控制审计指引》出具《内部控制审计报告》。而对于中小板的内部控制审计报告，会计师事务所依据深圳证券交易所《中小企业板上市公司规范运作指引》，审计依据为《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》。1 504家上市公司在2013年4月30日前披露了内部控制审计报告，其内部控制审计结论为标准无保留意见的上市公司1 479家，占比98.34%；非标意见共25家，其中带强调事项段的无保留意见为21家，占比1.40%，否定意见为4家，占比0.27%。注册会计师出具的内部控制审计报告要素完整，发表审计意见的对象明确为财务报告内部控制或与财务报表相关的内部控制，在意见表述上则大多采用积极的方式。此外，也有部分公司的审计报告后同时列出了管理分析与建议方面的内容。通过会计师事务所的审计建议，注册会计师与管理层进行了良好的互动，并通过问题的发现及改进为企业提供价值增值服务。

三、上市公司内部控制信息披露中存在的问题

(一)信息披露的及时性和准确性问题

根据监管部门的要求，2012年被纳入强制披露范围的839家A股上市公司中，4家上市公司在2013年4月30日之后才披露内部控制评价报告，13家上市公司在2013年4月30日之后才披露内部控制审计报告，3家上市公司未披露内部控制评价报告，1家公司未披露内部控制审计报告。同时，上市公司的内部控制信息披露存在两个相互矛盾的地方：一是22家上市公司的内部控制评价报告的有效性结论与内部控制审计意见存在不一致；二是44家上市公司的内部控制审计意见与财务报表审计意见存在不一致。

(二)未明确内部控制缺陷认定标准

由于《企业内部控制评价指引》对缺陷类别只是进行了原则性的规定，重大缺陷、重要缺陷和一般缺陷的具体标准由企业根据相关要求自行确定。在2013年4月30日前披露了内部控制评价报告的上市公司中，仅33.02%的上市公司披露内部控制缺陷认定标准。内控缺陷的严重程度和披露与否很大程度上取决于企业制定的认定标准，而各上市公司的认定标准不一，使得内部控制评价结论缺乏可比性和可理解性。因此有必要根据财务报告内部控制、非财务报告内部控制的特征制定出明确、可具操作性的缺陷认定标准，以增强评价结论的可比性和可理解性。

(三)内部控制审计报告的依据存在不一致

由于内部控制审计业务目前尚属于开始阶段，内部控制审计指引还没有得到普遍运用，不同会计师事务所对内部控制审计业务的实务操作上存在认识偏差，因此，内部控制审计报告的格式以及内容方面显示出许多的细节问题。在审计依据方面，有的以《企业内部控制基本规范》和《企业内部控制配套指引》中的《企业内部控制审计指引》为准，有的则依据《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》，还有的未提及内部控制审计依据。

四、结论与建议

综上所述，随着财政部等五部委联合发布的基本规范及配套指引的颁布实施，尤其是证监会、证券交易所在年报工作通知中的强制要求，我国上市公司在年报中披露的内部控制自我评价报告、内部控制审计报告日益增多。但在对沪深两市2012年披露的自我评价报告和审计报告的分析中可以发现，我国内部控制信息披露还存在许多不足之处。本文拟提出下列改进建议：

(一)加强内部控制基本规范和配套指引的培训和指导

由于各上市公司、事务所自身情况不同，对内部控制基本规范和配套指引的认识和理解可能存在偏差，从而导致内部控制自我评价报告和内部控制审计报告在实务操作中呈现出较大的差异。这种差异显然不利于内部控制自我评价报告和审计报告阅读者的理解与决策，因此上市公司及会计师事务所有必要加强培训，在内部控制、财务报告内部控制、非财务报告内部控制的自我评价、审计鉴证等方面应遵循的原则、标准等形成共识，从而增强内部控制信息披露的格式化、标准化和可比性。另外，相关部门应该为上市公司更好实施内部控制规范体系提供较为明晰的指导。

(二)梳理内部控制的相关规范，统一内部控制的信息披露格式

目前各上市公司的内部控制评价报告和内部控制审计报告的格式存在重大的不一致，上市公司在内部控制体系建设和评价过程中以及会计师事务所在审计上市公司内部控制有效性时，遵循的标准较多。这些多样化的标准导致上市公司实施内部控制体系时存在困惑，也是导致内部控制信息披露的格式混乱的原因。因此，笔者建议监管机构梳理现有的内部控制规范，将部分已经过时不再适用的规范等及时废止，为上市公司全面实施企业内部控制规范体系奠定标准一致的制度基础。

(三)完善内部控制缺陷的披露机制，提高内部控制缺陷披露质量

内部控制缺陷是衡量上市公司内部控制有效性的负向指标，内部控制缺陷的模糊披露不利于内部控制自我评价报告的使用人判定上市公司内部控制的有效性。在我国上市公司2012年内部控制自我评价报告中，内部控制缺陷披露过程中仍存在着缺陷认定标准不明确、内部控制缺陷未划分等级、未披露内部控制缺陷整改措施等诸多问题。因此，建议监管机构完善内部控制缺陷的披露机制，制定详细且明确的内部控制缺陷认定标准，从而提高内部控制缺陷披露质量。