內部控制缺陷披露質量研究

龍鳳姣

【摘要】內部控制缺陷是企業內部控制的核心問題。文章以2014～2015年A股上市公司內部控制自評報告中披露的內部控制缺陷數據為研究對象，從內部控制缺陷認定標準、內部控制缺陷具體內容及內部控制缺陷整改等三個角度揭示了目前我國上市公司內部控制缺陷披露的質量，從而提出從法律層面完善內部控制缺陷信息的披露及建立內部控制缺陷披露的內控制度等建議。

【關鍵詞】內部控制；內部控制缺陷；信息披露；認定標準；

【中圖分類號】F23

一、問題的提出

《內部控制基本規范》和《內部控制配套指引》的頒布和實施，標志著我國企業內部控制標準體系已初步形成。目前企業內部控制信息最直接的獲取途徑是企業披露的內部控制自評報告和審計師出具的內部控制審計報告，但內部控制審計報告幾乎是千篇一律的“完美報告”，且標準的審計意見并不代表企業內部控制是健全的，僅表明企業“在所有重大方面保持了財務報告內部控制的有效性”，往往只有在企業內部控制存在重要或重大缺陷時才會出現否定意見或保留意見的內部控制審計報告。而內部控制自評報告中則較多地披露了一般缺陷，因此，筆者認為自評報告是一個更加直觀的獲取內部控制缺陷的途徑。然而，如何衡量內部控制是否存在缺陷，目前學術界有較大的分歧，國外的文獻在研究內部控制缺陷時直接選擇內部控制自評報告或審計報告中披露的內部控制缺陷作為衡量企業內部控制有效性的標準。如Chan發現內部控制存在缺陷的公司其應計質量也較低，而當內部控制缺陷得到整改后，應計質量也逐漸提高，Kim研究發現投資者對內部控制審計報告中內控缺陷披露的反映取決于管理層之前披露的內控自評報告與之是否一致。而國內文獻在研究內部控制有效性時，通常是采用替代變量來研究內部控制缺陷，如林兢、耿建新等選擇內部控制五要素的實現程度來評價企業內部控制的質量，而王東升則根據內部控制的五目標建立綜合評價指標來衡量企業內部控制的有效性，深圳迪博企業風險管理技術有限公司以企業在各種公開渠道披露的內部控制信息構建指標體系來衡量企業的內部控制質量。

由此可見我國學術界在研究內部控制有效性時，通常是采用替代變量來研究內部控制缺陷。而對上市公司內部控制缺陷披露關注較少，究竟是大家忽略了自評報告中缺陷的信息？還是自評報告缺陷本身不具有信息含量？筆者以為，內部控制自評報告是獲取內部控制缺陷最直接的途徑，其內部控制缺陷披露質量的高低決定了我們是否可以以此作為內部控制有效性的衡量標準，這無論對企業投資者、債權人還是研究學者來說，都是至關重要的。基于此，本文選擇2014～2015年在滬深交易所A股上市的公司為研究對象，對其內部控制自評報告中披露的內部控制缺陷情況進行數據整理和分析，并結合我國的市場環境提出相關建議。

二、我國上市公司內部控制缺陷披露現狀

本文對2014～2015年在滬深交易所A股上市并披露內部控制自評報告的公司進行統計分析，文中內部控制缺陷的信息來自迪博內部控制與風險管理數據庫，筆者對原始數據進一步整理，對上市公司披露的內部控制缺陷信息進行分析。內部控制缺陷意味著企業的內部控制存在問題，而一切問題的癥結在于“如何認定”、“是什么”和“怎么解決”三個關鍵點。因此，對于內部控制缺陷的披露質量，本文選擇了以下三個角度來分析：

（一）內部控制缺陷認定標準

內部控制缺陷認定標準是內部控制缺陷劃分的依據，《企業內部控制評價指引》對于什么樣的缺陷劃分為重大缺陷，什么樣的缺陷劃分為重要缺陷和一般缺陷沒有明確的標準，而只是要求企業根據自己的實際制訂相應的內部控制缺陷認定標準，并且對于內部控制缺陷認定標準的披露也無強制要求。根據表1數據顯示，近年來在自評報告中公開內部控制缺陷認定標準的上市公司越來越多，2014年披露內部控制自我評價報告的2 586家上市公司中，有1 963家公司披露了內部控制缺陷認定的定量或定性標準，占比75.91%，2015年這個比率提高了五個百分點，這說明主動披露內部控制缺陷認定標準的公司在增加，大部分公司愿意向投資者提供內部控制缺陷的劃分依據以增強內部控制自評報告的信息含量。

另一方面，就具體的內部控制缺陷認定標準而言，筆者發現不同公司內部控制缺陷認定標準在內容的全面性、認定的準確性及披露的透明度方面卻存在較大的差異。不少企業制定了詳細的內部控制缺陷定量標準和定性標準，但仍有不少企業并未設置內部控制缺陷認定的定量或定性標準，或者只設置了定量標準而對定性標準含糊不清，甚至有的企業僅以披露內部控制缺陷的定義來替代內部控制缺陷認定標準。

（二）內部控制缺陷具體內容

投資者不僅關心企業內部控制是否存在缺陷，更關心存在什么樣的缺陷，即內部控制缺陷的具體內容。雖然不少公司都在自評報告中指出內部控制存在缺陷，但值得注意的是，并不是所有披露存在內部控制缺陷的上市公司都在報告中披露了相應的內部控制缺陷內容，不少公司雖然承認存在內部控制缺陷，卻在內部控制缺陷內容披露方面選擇了逃避，從表2數據來看，2015年485家上市公司披露的3 583項內部控制缺陷為例，僅1 154項有具體內部控制缺陷內容，占比32.21%，而2014年這一比例為35.74%。統計結果說明，一方面，內部控制缺陷具體內容披露的比率是極低的，披露內部控制缺陷具體內容的僅占三成左右，有三分之二的內部控制缺陷具體內容被企業隱藏了；另一方面，披露具體缺陷內容的比率還呈現逐年下降的趨勢，2015年披露比率比2014年下降了三個百分點，這更說明了上市公司對內部控制缺陷披露內容的逃避態度。

內部控制缺陷具體內容的披露是在向市場傳遞一個“壞消息”，表明企業內部控制制度的不完善。雖然主動披露內部控制缺陷表明了企業信息披露的透明度，但企業詳細披露內部控制缺陷信息的“誠實行為”所樹立的正面形象遠遠小于披露內部控制缺陷所帶來的負面效應。因此多數企業擔心內部控制缺陷信息披露會引起負面效應而不敢披露或刻意回避披露內部控制缺陷的具體內容，如萬發發展對內部控制缺陷內容僅簡單指出“需加強風險防控”。endprint

（三）內部控制缺陷整改情況

企業如實披露內部控制缺陷固然勇氣可嘉，但信息使用者更關心的是缺陷的整改情況。內部控制缺陷整改反映了企業健全內部控制的決心，及時發現缺陷和合理進行整改有助于將經營風險和財務風險控制在合理范圍內。但根據近兩年內部控制自評報告中內部控制缺陷整改的披露來看，情況并不理想。根據表3得知，2014年披露了具體內容的838項缺陷中有594項披露了相應的整改措施，占比70.88%，其中僅37.47%整改有效，雖然這一比例下一年內控自評報告中提高至68.28%，但總的來說，內部控制整改信息的披露仍然是不夠的：近兩年仍有將近一半的缺陷未能得到有效整改。

內部控制缺陷的整改情況對于企業來說是向市場傳遞好消息，所以理論上如果企業對內部控制缺陷進行了整改，就有足夠的動機披露內部控制缺陷的整改情況，因此，內控自評報告中未披露整改信息的企業極有可能未對內部控制缺陷采取相應的整改措施，說明還有一部分企業未對內部控制缺陷引起重視，披露內部控制自評報告僅僅只是為了應付監管需要，并沒有實質性的對內部控制進行評價。

三、提高內部控制缺陷披露質量的建議

根據以上數據可以看出，內部控制缺陷的披露已經開始受到重視，但總體來說內部控制缺陷的披露質量仍是不夠理想。根據信號傳遞理論，企業管理層通過披露的信息向投資者、債權人傳遞相應的信號，內部控制缺陷的披露是在向市場傳遞一個企業內部控制不完善的壞消息。因此，企業管理層有隱藏壞消息的動機，我國內部控制自評報告中內部控制缺陷的披露存在“自選擇性”，企業對內部控制缺陷信息的披露仍持有逃避態度，現階段內部控制缺陷披露的質量有待提高。基于統計中發現的內部控制缺陷披露問題，筆者建議從外部監管和內部提升兩個角度來完善上市公司內部控制缺陷信息的披露。

（一）外部監管：從法律層面完善內部控制缺陷披露

內部控制缺陷信息披露的質量不高，歸根結底，還是因為我國內部控制發展還處于不斷摸索和完善中，因此首先要從法律層面細化和完善內部控制缺陷披露：

1.訂立統一的、可操作的內部控制缺陷認定標準

內部控制缺陷認定標準是衡量內部控制缺陷的一桿標尺，標尺刻度的準確性和統一性至關重要。在缺乏具體可操作的內部控制缺陷認定標準情況下，不同企業制定的內部控制缺陷認定標準必然差異巨大，由于不同企業采用不同的內部控制缺陷認定標準，可能使得同一缺陷在一個企業被認定為重要缺陷，卻在另外一個企業被認定為一般缺陷，從而導致不同企業披露的內部控制缺陷信息缺乏可比性。筆者建議按照企業所處的行業劃分為A、B、C、D、E五個風險等級，分別代表高風險行業、較高風險行業、中等風險行業、較低風險行業以及低風險行業，再針對不同風險等級的行業制定具體的內部控制缺陷認定定量標準和定性標準。相應的，風險等級越高的企業，其內部控制缺陷認定標準應該越嚴格；風險等級低的企業，其內部控制缺陷標準相對更寬松。

2.強制披露內部控制缺陷的具體內容

投資者不僅關心企業內部控制是否存在缺陷，更關心存在什么樣的缺陷，即內部控制缺陷的具體內容。但根據本文的描述性統計，現階段披露了內部控制缺陷具體內容的企業僅占三分之一，這樣的信息含量是遠遠不夠的，內部控制缺陷內容的披露應具有普遍性。基于此，筆者建議出臺相應的法規強制要求內部控制存在缺陷的公司必須披露內部控制缺陷的具體內容，并給出內部控制缺陷內容披露的格式或范本，且對自評報告中具體缺陷內容的披露規定相應的篇幅。此外，應建立相應的獎懲措施，對于積極有效披露內部控制缺陷內容的公司予以獎勵，對于消極或者惡意隱藏缺陷的公司予以警告和處罰，以加強對內部控制規范體系的執行力度。

（二）內部提升：建立內部控制缺陷披露的內控制度

1.建立由內審部門領導的內控缺陷管理小組

僅僅發現內部控制缺陷是不夠的，更重要的是對于評價出的內部控制缺陷該如何處理、由誰來處理。筆者建議有條件的企業在內部審計部門下設專門的內部控制缺陷管理小組，小組的主要職責包括制定內部控制缺陷認定的定量標準和定性標準、對內部控制缺陷具體內容進行分類并依據嚴重程度及時上報審計委員會和董事會、針對內部控制缺陷制定相應的整改計劃并報董事會審批、監督內部控制缺陷整改計劃的進行、測試內部控制缺陷整改計劃的有效性及監督內部控制缺陷信息的披露等。

2.制定內部控制缺陷信息披露制度

企業應制定一個詳細的內部控制缺陷披露制度，確定內部控制缺陷內容披露的具體格式，完善內部控制缺陷整改計劃的披露要求，可根據內部控制缺陷的性質制定不同的信息披露制度，缺陷越重大則披露的要求越高：對重大缺陷和重要缺陷需披露相應的整改措施、何時開始整改，對整改已經完成的，測試整改的有效性；對整改尚未完成的，披露截止報告基準日或自評報告發出日整改的進度及計劃完成時間。而對一般缺陷則至少應披露整改措施以及截止報告日整改是否有效。

基于以上分析，本文認為我國內部控制缺陷信息披露的質量還有待提高，內部控制缺陷的披露在認定標準、具體內容及整改情況等方面都不盡如人意，企業所披露的內控缺陷信息尚不能反映企業內部控制缺陷的真實情況。因此，為提高企業內控缺陷的信息含量，本文建議提高內部控制監管力度，完善上市公司內部控制制度，避免內控缺陷信息披露流于形式。endprint