我國上市公司內部控制評價及信息披露：現狀及改進建議

戴文濤　納鵬杰

摘 要：充分有效的內部控制信息披露是資本市場有效運行、市場資源配置效率優化的重要保證。從我國上市公司內部控制評價及信息披露現狀看，普遍存在披露質量不高、評價結論流于形式、缺少實質性內容等問題，主要原因是相關規范性文件實際操作性、強制性、評價主體獨立性較弱。政府監管部門應制定明確的內部控制評價標準，加強法律監督和監管，完善相關規定，充分發揮政府監管部門、非盈利性機構等外部評價主體的作用。

關鍵詞：內部控制 ；信息披露； 存在問題 ； 解決對策

中圖分類號：F275 文獻標識碼：A 文章編號：1003-3890（2014）01-0067-04

信息是市場經濟有效運行的關鍵因素之一，高質量的信息披露對于緩解信息不對稱、維護資本市場的有效性、優化市場資源配置效率、保護投資者及其他利益相關者的權益起著重要作用。本世紀初，頻頻發生的公司財務舞弊事件導致美國國會以壓倒性多數通過了薩班斯法案（簡稱SOX法案），其目的就是建立上市公司內部控制評價和報告體系，提高內部控制信息披露質量。為加強和規范企業內部控制，保證企業內部控制評價及其信息披露質量，我國先后發布了《企業內部控制基本規范》（簡稱《基本規范》）和《企業內部控制配套指引》（簡稱《配套指引》）等若干個規范性文件，其中《配套指引》，對我國企業內部控制自我評價、注冊會計師內部控制審計及內部控制信息披露進行了規定。如今，《配套指引》的實施已有兩年，那么，我國上市公司內部控制評價及信息披露質量如何？存在哪些問題？需要采取怎樣的措施加以完善？基于此，本文對滬深上市公司2012年年報中披露的有關內部控制信息進行整理，采用描述統計方法對中國上市公司內部控制評價及信息披露質量進行研究。

一、2012年滬深上市公司內部控制評價及信息披露現狀

按照公司網站、巨潮咨詢網、滬深交易所網站等披露的公開信息，截至2011年4月，中國境內共有2 328家上市公司。我們采用手工整理方法對滬深上市公司2012年年報披露的內部控制信息進行統計整理，調查結果顯示2012年2 328家中國上市公司中，2 296家上市公司披露了內部控制評價報告，約占全部上市公司的98.63%；2 167家上市公司聘請了注冊會計師對其內部控制狀況進行了審計，占比約為93.08%。在2 296家披露內部控制評價報告的上市公司中，2 277家上市公司自認為內部控制體系有效，占比約為99.17%；未對自身的內部控制系統做出結論及內部控制系統沒有得到合理實施的公司為19家，占比不到1%。在2 167家聘請了注冊會計師對其財務報告內部控制進行審計的公司中，2 161家上市公司的內部控制體系被注冊會計師鑒證為有效，占比為99.72%；6家上市公司的內部控制體系被注冊會計師分別出具了保留意見和否定意見。

從上述數據看，我國上市公司內部控制質量及信息披露情況是相當不錯的，但關鍵問題是上市公司披露的這些內容不但與實際情況不相符合，而且與社會各界的認知存在較大差異。按照張先治、戴文濤（2011）的研究，美國自愿披露內部控制缺陷的比例為13.8%[1]，而我國存在內部控制缺陷的上市公司比例還不到1%，這不能不讓人產生懷疑。另外，我國上市公司的內部控制信息披露和注冊會計師的內部控制審計報告還存在以下三個方面的問題：一是大多數企業內部控制評價依據內部控制五要素泛泛而談，僅有報告形式，缺少實質性內容和對關鍵問題的分析；二是評價報告格式五花八門、少則兩三頁，多則幾十頁，上百頁，過于肯定企業自身內部控制體系的有效性，對存在的內部控制缺陷披露較少，更缺乏深入的分析；三是注冊會計師的內部控制鑒證意見類型過于單一，表達形式不規范，在內部控制審核標準、判斷準則等方面存在著不一致現象。

二、我國上市公司內部控制評價及信息披露問題成因

1. 《基本規范》及《配套指引》過于原則和抽象，不能有效指導企業內控實踐。相比于內部控制結構階段將內部控制作為從企業管理中抽象出來的一個為審計服務的工具而言，COSO整合導向的內部控制整體框架（或企業風險管理整合框架）強調了內部控制是一個過程，是達到目的的工具；內部控制是嵌入式的、不是附加式的；內部控制通過調整來達到一個或多個獨立但又有交叉的目標等理念。因此，COSO報告獲得了注冊會計師、管理者及監管者的普遍認可，內部控制整體框架的推出具有里程碑式的意義。但理論方面取得的成功并不意味著實踐上也是如此。薩班斯法案實施后兩年，美國管理會計師協會（IMA）曾就COSO的內部控制整體框架是否可以作為實施SOX404條款的內部控制評價標準展開調查，調查結果顯示，認為COSO內部控制框架能夠為企業管理層提供具體指南的比例不到10%[2]。中國的《基本規范》及《配套指引》與會計準則相比，更多的是理念、要素、框架，它既沒有為管理層提供諸如如何建立控制文檔、如何進行內部控制測試等方面的指南，也沒有為管理層提供如何識別出控制缺陷方面的指南[3]。內部控制客觀評價標準及量化評分技術和方法的缺乏，使得上市公司在進行內部控制評價時無據可依，只能依據內部控制五要素對內部控制狀況籠統地做出定性評價結論。

2. 內部控制規范及配套指引缺乏強制力，違規成本較低。在我國，涉及內部控制的法律法規按照強制性、權威性由高到低的順序可以分為三個層次：第一層次是《會計法》、《公司法》、《證劵法》中的相關規定，如《會計法》中要求企業建立內部會計監督制度，《公司法》中對企業組織機構設置和主要職責作出的相關規定等；第二層次是國家權威經濟監管部門制定的內部控制法規，如財政部制定的《獨立審計準則第9號——內部控制和審計風險》、中國人民銀行制定的《加強金融機構內部控制的指導原則》以及審計署頒布的《審計機關內部控制測評準則》等；第三層次是行業協會制定的內部控制評價標準，如中國內部審計協會發布的《內部審計具體準則第16號》等。我國專門制定的內部控制法規如證監會的《證劵公司內部控制指引》、五部門的《基本規范》及《配套指引》基本上都處在第二層次，在強制力方面不但明顯低于《會計法》、《公司法》、《證劵法》中的相關條款，而且在實施過程中存在著執行力不強的問題。我國證監會從2001年起就對上市公司提出了內部控制評價和披露評價報告的要求，但時至今日，卻沒有出現一起因未遵循其要求或遵循不到位而受到任何形式處罰的案件。由于不追究法律責任或者法律法規的違規成本較低，導致大多數上市公司內部控制評價都是依據內控五要素泛泛而談，企業內部控制評價及信息披露質量較差。反觀美國，其內部控制評價和鑒證制度不但以法律的形式來保證實施，而且處罰的力度很大。按照美國薩班斯法案的規定，公司的首席執行官和財務總監一旦給SEC報送了虛假和違法的財務報告，將被處以50萬美元以下的罰款，或判處5年監禁。

3. 內部控制內部評價主體獨立性不強，外部評價主體缺失。從《配套指引》的規定看，董事會（或管理層）和注冊會計師是我國上市公司法定的內部控制評價主體。但從目前的實施情況和實施結果看，這兩者都不是最合適或合格的評價主體。董事會（或管理層）評價主體為了經濟利益有可能過多披露對企業有利的內控信息，不利的內控信息少披露。會計師事務所一方面要為企業利益相關者提供客觀、公正的審計報告，承擔著公共服務的功能，另一方面又要自主經營、獨立核算、自負盈虧。在中國這樣一個講究關系的社會里，其業務收入的多少不但取決于審計質量、公司聲譽，而且還取決于注冊會計師和企業的關系。注冊會計師和企業的關系越親密，在內部控制審計中就難以完全保持獨立性和公允性，企業內部控制審計及信息披露質量就會越差。按照謝志華（2009）的觀點，內部控制的本質是制衡和監督[4]。由于企業董事會和注冊會計師都是企業的利益主體，注冊會計師和企業之間存在著巨大的利益關系，因此，由他們來擔任內部控制評價主體違背了內部控制的制衡和監督原則。內部控制五要素及其范圍主要是基于企業管理者的自我評估模型需要而歸納得出[5]。企業董事會和審計師按照內控五要素對企業內部控制設計及運行的有效性進行評價和審計，從評價的過程和目的看，他們都是內部控制內部評價主體，企業內部控制評價活動完全由他們承擔明顯存在一定弊端。因此，應在規定企業董事會及注冊會計師為內部控制內部評價主體的同時，規定政府監管部門或外部非營利性機構作為內部控制外部評價主體。

三、提高上市公司內部控制評價及信息披露質量的政策建議

（一）制定明確的內部控制評價標準

SOX法案頒布后，圍繞SOX法案內部控制條款的實施成本和相關問題的激烈爭論使美國的監管機構開始關注小型公眾公司執行SOX法案內部控制條款所面臨的特殊挑戰。應監管機構的要求，COSO研究和制定了旨在幫助小型公眾公司應對這些特殊挑戰的指南——《財務報告內部控制——較小型公眾公司指南》（2006）。我國的《企業內部控制評價指引》雖然對企業內部控制評價內容、評價程序、內部控制缺陷認定等作了較為明確的規定，但是這些規定總的來說是原則導向，可操作性不強。政府監管部門應借鑒美國監管機構的做法，盡快制定、發布明確的內部控制評價標準。其具體內容主要包括兩個方面：一是內部控制各要素的評價標準，包括控制環境評價標準、風險評估評價標準、控制活動評價標準等內容；二是內部控制業務活動和作業活動方面的評價標準，包括企業投融資評價標準、收付款業務評價標準、成本費用控制評價標準等。就控制環境要素來看，其評價標準要從最高管理層的誠信和道德價值觀、董事會的有效運作等七個方面制定評價標準；就內部控制業務活動來看，其評價標準要根據業務流程選擇風險控制點，然后再分別制定不同的評價標準。此外，政府監管部門還應為上市公司提供內部控制綜合評價和風險評估方面的技術和方法，如模糊綜合評價法、風險評估矩陣等。

（二）加強內部控制信息披露的法律監督和監管

近年來，隨著公司財務舞弊事件的不斷發生，世界各國都強化了對公司財務報告起保證作用的內部控制評價及信息披露的監管。薩班斯法案頒布后，美國成立了公眾公司會計監察委員會（PCAOB）負責監管執行審計業務的會計師事務所及注冊會計師，增加對SEC（美國證劵交易委員會）的撥款，用于加強風險管理、市場監管和欺詐防范。我國上市公司內部控制信息披露質量不高一方面與缺乏明確的內部控制評價標準有關，另一方面也與內部控制法律法規懲罰不嚴、執行不力有關。對于管理層不履行內部控制評價及信息披露責任、內部控制不實評價、內部控制信息虛假披露，以及審計師提供的不符合事實的內部控制鑒證意見等做法，我國缺少明確的法律條文來規定管理層和注冊會計師應承擔的法律責任。由于不遵循內部控制信息披露規定不受到處罰或者是違規成本較低，導致大多數上市公司少披露或披露不實的內部控制信息。為此，我國應借鑒美國做法，制定適合我國國情的、更強有力的內部控制法律規范，通過加大行政處罰和經濟處罰的形式來規范企業內部控制評價及信息披露。同時，政府監管部門還應加強監管，對于不按規定披露有關內部控制情況（包括不披露內部控制信息、不按規定的時間、內容披露以及虛假披露或者隱瞞內部控制重大缺陷）的上市公司予以嚴懲，在處罰標準上可按同等性質的財務信息違法披露行為進行處理[6]。

（三）完善企業內部控制信息披露的相關規定

1. 明確規定內部控制信息披露責任主體。目前，內部控制信息披露狀況較好的國家都規定了內部控制信息披露責任主體，如美國規定了管理層是內部控制信息披露責任主體，英國規定企業董事會是內部控制信息披露責任主體?！镀髽I內部控制評價指引》雖然規定了企業董事會或類似權力機構可以對內部控制的有效性進行全面評價，形成結論，但并沒有這真正明確誰是企業內部控制信息披露責任主體，是董事會？管理層？還是監事會、審計委員會？權力機構指的是誰？這需要盡快加以明確?？紤]我國上市公司中董事會的權力較大，最有能力進行內部控制評估，因此，我國應當明確規定企業董事會是內部控制信息披露責任主體。

2. 規定內部控制信息披露的具體內容和格式。為保證上市公司內部控制信息披露質量，國家制定的內部控制信息披露具體內容應當包括：（1）企業董事會責任聲明。包括對企業建立健全和實施有效內部控制負總責；對企業實施內部控制負有指導和監督責任；對企業內部控制保證財務報告的真實可靠性及資產安全性。（2）企業內部控制自我評價聲明。企業已經按照有關的標準和程序對內部控制設計與運行的健全性、合理性和有效性進行了自我評估。（3）內部控制自我評估涉及范圍及內容的簡要描述。（4）內部控制自我評估中采用的評價程序和方法。（5）通過內部控制自我評估，保證本企業內部控制不存在重大缺陷的聲明（如果存在重大缺陷，應披露內部控制重大缺陷及其影響，詳細說明采取的控制措施和方法）。（6）除了已披露的內部控制重大缺陷外，保證不存在其他重大缺陷的聲明。（7）報告期內的企業內部控制設計與運行發生重大變化，發生重大變化的內容及其影響程度的說明。（8）內部控制及其評價固有缺陷聲明。

3. 明確內部控制信息披露方式。按照美國的薩班斯法案，管理層在對企業內部控制狀況評價后應提供兩種報告：一種是提供給董事會、監事會的內部控制內部報告，另一種是提供給外部信息使用者的內部控制外部報告。由于美國政府的主要職責是維護資本市場秩序和市場的有效性，因此其監管部門要求企業提供真實可靠的財務報表，要求公司內部控制體系確保財務報告的可靠性（即公司只進行財務報告內部控制信息披露）。為了保證內部控制信息披露質量，美國要求注冊會計師對公司管理層的財務報告內部控制報告進行審核，對企業財務報告內部控制進行審計，然后提出財務報告內部控制審查報告和財務報告內部控制審計報告。為發揮注冊會計師的信息增信和信息甄別功能，筆者認為，中國的內部控制信息披露方式也應借鑒美國經驗，即在上市公司董事會提出財務報告內部控制報告后，注冊會計師對董事會財務報告內部控制報告發表鑒證意見，在對企業財務報告內部控制進行審計的基礎上，對上市公司內部控制有效性發表意見。

4. 發揮政府監管部門、非盈利性機構等外部評價主體的作用。企業實施內部控制的目的是實現內部控制目標，企業內部控制評價應對企業內部控制目標的實現程度或水平進行評價[1]。按照我國提出的內部控制內外部監督評價體系目標，我國內部控制評價主體除了董事會或管理層及注冊會計師之外，還包括政府監管部門和外部非盈利性機構[7]，即企業內部控制不僅僅由企業董事會和注冊會計師依據內部控制要素對企業內部控制制度設計和運行的有效性進行定性評價，還應當由政府監管部門、非盈利性機構等獨立的第三者從內部控制目標的實現程度角度進行定量、綜合評價。我國正處于新興加轉軌經濟時期，相關的內部控制法律法規還不健全，此種背景下更需要加強政府監管。由政府監管部門或外部非盈利性機構評價企業內部控制狀況、披露內部控制信息，可以保證內部控制評價結果及信息披露的客觀性、公允性和權威性，有利于維護資本市場的有效性，提高市場的資源配置效率，而且也保證了我國內部控制監督評價體系目標的完全實現。

參考文獻：

[1]張先治，戴文濤.中國企業內部控制評價系統研究[J].審計研究，2010，（1）：38-41.

[2]朱榮恩，等.企業內部控制規范與案例[M].北京：中國時代經濟出版社，2009.

[3]戴文濤.企業內部控制評價指數及其應用研究——來自滬市上市公司的經驗證據[D].大連：東北財經大學，2011.

[4]謝志華.內部控制：本質與結構[J].會計研究，2009，（12）：70-75.

[5]Kelly T P. The COSO Report：Challenge and Counterchallenge[J].Journal of Accountancy，1993，176（2）：10-18.

[6]董中超.河南省上市公司內部控制信息披露分析[J].會計之友，2009，（2）：92-93.

[7]鄭洪濤，張穎.企業內部控制學[M].大連：東北財經大學出版社，2009.

責任編輯、校對：關 華