上市公司内部控制缺陷的披露现状及建议

上市公司内部控制缺陷的披露现状及建议—以山东上市公司为例——

赵慧摘要：本文以2015年山东上市公司内部控制自评报告为依据，分析了上市公司内部控制缺陷披露的现状。研究发现，上市公司内部控制缺陷信息披露逐步规范，定量和定性的缺陷认定标准被广泛应用，但内部控制缺陷的界定不明确，一般、重要及重大缺陷的程度区分模糊等，使得上市公司整体上面临内部控制缺陷披露信息含量低、可比性差等问题。关键词：上市公司；内部控制缺陷；信息披露一、引言在安然事件等重大财务欺诈案发生后，2002年7月美国颁布《萨班斯———奥克斯利法案》，2007年5月又发布《审计准则第5号———与财务报表审计相结合的财务报告内部控制审计》，对内部控制评价做出了明确规定。针对国内企业内部控制的现状，2008年6月财政部等五部委联合发布《企业内部控制基本规范》，2010年4月又出台相应的配套指引，共同构建了中国企业内部控制规范体系。内部控制评价报告的结论性内容是内部控制是否有效，其核心内容是内部控制缺陷信息的披露。那么，目前我国上市公司内部控制缺陷披露的现状如何？存在什么问题？本文以山东上市公司为样本，通过查阅2015年上市公司内部控制自评报告，对上市公司披露内部控制缺陷的现状进行分析，结合存在的问题，提出有针对性的建议。二、山东上市公司内部控制缺陷的披露现状截至2015年12月31日，山东A股上市公司总数达160家（主板88家、中小板22家、创业板50家），占全国A股上市公司数量的比例为5.67%。其中149家上市公司披露了内部控制自评报告，披露比例为93.13%，39家公司披露其在报告年度存在内部控制缺陷，剩余110家公司未披露内部控制缺陷，占比高达73.83%。而在39家披露缺陷的公司中，3家公司披露存在1个重大缺陷；7家公司披露存在1个重要缺陷；31家公司披露的缺陷全部是一般缺陷，且缺陷的个数都不超过5个。在149份报告中，所有公司的内部控制自评报告得出的结论都表明本公司的内部控制是有效的。可以发现目前山东上市公司在内部控制缺陷信息的披露方面存在如下问题：（一）内部控制缺陷披露不够详细1.内部控制缺陷披露的具体情形。在149家公司中，39家公司披露在报告年度中存在内部控制缺陷，恒邦股份（002237）、华东数控（002248）、得利斯（002330）三家公司披露了内部控制存在重大缺陷及缺陷内容。在7家披露重要缺陷的公司中，4家披露了缺陷内容。在35家披露内部控制一般缺陷的公司中，24家公司仅提及“存在一般缺陷”，但未披露缺陷的内容，表明近70%的公司缺乏对缺陷具体内容的披露，致使信息使用者不能详细了解公司内部控制具体情况。具体情形如表1。表1内部控制缺陷披露情形由于上述公司对缺陷信息的表述方式不同，本文尝试对自评报告中披露的缺陷区分为十四类。事实上“制度执行”的缺陷在很大程度上涵盖了业务执行中具体的缺陷，但考虑到如果按此大类统计，很多缺陷信息所能反映的问题不够清晰，所以将其单列出来，仅指“公司在资金管理等方面尚存在部分一般缺陷”“、公司在采购、销售管理等方面尚存在部分一般缺陷”等笼统表述。缺陷信息的汇总统计如表2。表2内部控制缺陷内容的披露情况由表2可知，在制度执行、关联交易执行与披露、定价审批与收款控制等方面内部控制缺陷最为突出；制度198

Copyright©博看网 www.bookan.com.cn. All Rights Reserved.完善与体系建设、信息系统建设与维护、合同与资产控制、岗位职责设置等四个方面也成为缺陷存在的重灾区。由于市场环境变化的不确定性及经营业务的复杂性，公司需要不断完善自身制度，公司所拟定的制度并不总是完美执行，所以制度执行排在第一位，占比为22.73%；关联交易执行与披露排在第二位，占比为18.18%。公司所建立的内部控制制度总是有限的，再加上大部分公司对于自身的内部控制制度的完备性是存有疑虑的，也使得制度完善成为披露较多的内部控制缺陷信息。2.内部控制缺陷整改披露的情况。在39家披露存在内部控制缺陷的公司中，16家公司提出了整改方案与措施，山东金泰（600385）一家公司仅提及“提出整改建议，尚未采取有效措施”，其余15家公司虽然对整改计划与实施情况做了说明，但披露的格式不一、内容多样，方案的可操作性较差。表3内部控制缺陷整改披露情况表3可知，23家公司并未提出具体可行的整改方案，占比高达58.98%。这种发现缺陷却不纠正的做法是极其不利的，势必增加公司的运营风险，有碍于公司业务正常有序地开展下去。（二）内部控制缺陷认定标准不规范上市公司应当按照基本规范和评价指引的规定，结合自身业务特点，针对内部控制重大缺陷、重要缺陷和一般缺陷提出各类缺陷的划分标准。149家公司内部控制缺陷认定标准披露的具体情况如表4。表4内部控制缺陷认定标准披露情况从表4可以看出，143家公司披露了内部控制缺陷认定标准，占比95.97%；6家公司未披露内部控制缺陷认定标准，占比4.03%。披露了内部控制缺陷认定标准的上市公司中，140家公司披露了完整的财务报告和非财务报告内控缺陷定性及定量认定标准，3家公司未披露完整的内部控制缺陷认定标准。对于财务报告定量标准，部分公司以税前利润、营业收入作为衡量指标，也有公司以资产总额、净资产作为衡量指标，各公司表述不一；而对于非财务报告定量标准，多数公司通过直接损失金额来判定，也有公司参照财务报告定量标准执行。定性标准都是文字表述，大多按照缺陷对内部控制目标造成影响的程度来划分。虽然各公司披露的内部控制缺陷认定标准在形式和内容上差别较大，但一般都包括定量标准和定性标准两部分。（三）未披露重大内部控制缺陷的公司可能存在掩饰行为根据《公开发行证券的公司信息披露编报规则第21号》的规定，内部审计人员如果认定确实不存在内部控制重大缺陷，则采用以下表述方式“：根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素”。然而，仍有14家公司未明确表示“不存在或未发现重大缺陷”，包含了内部控制缺陷存在但并未被管理层察觉的情形。所以，内部控制评价结论表述模糊，披露质量不高。（四）内部控制缺陷披露准确性有待商榷在160家公司中，仅有3家公司披露存在一项重大缺陷。对比美国、日本等国上市公司内部控制缺陷的认定，这显然是不合理的。Yazawa对重大缺陷的披露概率进行了深入研究，大致计算出2008年日本公司重大缺陷的披露概率是2.1%，美国公司重大缺陷的披露比率是16.9%。而我国山东上市公司重大缺陷的披露概率是1.875%，对比可以看出，重大缺陷披露概率是偏低的。三、相关建议可以看出，山东上市公司内部控制缺陷披露情况有所改善，但整体上可信度较差，信息披露的质量不容乐观。本文从以下几个方面，提出完善内部控制缺陷披露的建议。（一）增强上市公司完整披露内部控制缺陷的观念内部控制缺陷披露对公司产生的经济效益是不可见的，管理层对内部控制建设和完善普遍缺乏积极性。在160家公司中，仅三家公司披露内部控制存在重大缺陷；39家披露内部控制缺陷的上市公司中，一半以上的公司缺乏对缺陷具体内容的披露，导致投资者不能完全了解公司内部控制的具体情况。这表明上市公司管理层的内部控制观念不强，一味地公布内部控制的积极方面，存在刻意隐瞒内部控制缺陷信息的动机。199

Copyright©博看网 www.bookan.com.cn. All Rights Reserved.要做到完整披露内部控制缺陷信息，首先，要加快转变信息披露理念。上市公司应从以被动性“要我披露”来抵抗外界舆论压力和应对政府监管，过渡到以主动性“我要披露”来增强同行业竞争水平和抵御市场风险能力。其次，要推进内部审计专业人才的培养。审计委员会应配备高素质人才，定期地全面检查内部控制的执行情况，且不定期地对内部控制缺陷存在的关键领域进行重点抽查，按照内部控制缺陷的性质、重要程度及其产生的原因制定出具体的整改计划并予以实施，防止缺陷进一步扩大化，将可能造成的损失减小到最低。（二）采用原则式与规则式相结合的内部控制缺陷认定标准制定模式内部控制缺陷认定标准的制定模式可分为原则式与规则式两大类，如果通过内部控制缺陷造成的结果，如是否会导致财务报表重述、是否会导致企业目标偏离，来判断是否存在缺陷及其类别，则称为“原则式”制定模式。“规则式”制定模式要求企业在关键领域中根据已经列出的缺陷情形，对照自身内部控制执行状况，确定缺陷的严重程度以及是否应当予以披露。目前我国评价指引和美国审计准则第5号对内部控制缺陷标准的认定，都是采用的原则式规范模式。这种模式操作简单且成本低，但在对内部控制进行评价时，内部控制缺陷的具体内容、类别以及披露格式都需要企业自行确定，对于同一内部控制缺陷，不同企业很可能得出的结论完全不一致，使得内部控制缺陷的可比性较差。因此，原则式规范模式需向规则式逐步过渡，通过各个关键点逐一对应的方法，对如何清晰认定内部控制缺陷并划分内部控制缺陷的类别做出明确规定。但规则式的制定模式存在量化困难，所以目前我国的内部控制缺陷认定标准应采用原则式与规则式相结合的制定模式。（三）对内部控制缺陷按照量化标准加以区分内部控制缺陷以“不能合理保证内部控制目标的实现”加以定义，其本身是否定式的，虽然通过判断缺陷对控制目标的影响水平将其划分为大缺陷、重要缺陷、一般缺陷等三类，但操作性极差，尚未规定具体的量化标准。重大缺陷严重程度的区分缺乏明确的规定，重要缺陷与一般缺陷的表述分别采用“低于重大缺陷”与“其他缺陷”等说法进行定义，造成三类缺陷的认定存在很大障碍。所以，内部控制缺陷应当依据该缺陷可能导致财务报表错报的重要程度来量化。2007年日本出台的《财务报告相关内部控制的评估及审计制度》规定，如果将一项缺陷认定为重大缺陷，需一项或多项内部控制缺陷导致公司合并税前收益错报率大于5%。我国《注册会计师审计准则第1221号———重要性》要求注册会计师运用职业判断对不同交易与账户金额重要性水平的大小加以确定。借鉴国内外有关做法，对于“导致错报重要程度”的概率问题，可以依据财务报告内部控制缺陷所导致的结果来衡量，若一项控制缺陷造成公司合并税前利润错报率大于5%则为重大缺陷，小于5%但大于1%为重要缺陷，小于1%为一般缺陷。我国《企业会计准则第13号———或有事项》规定，在判断一项或有事项是否应当确认为预计负债时，按其导致经济利益流出企业的可能性分为三类，其中“很可能”对应的概率在50%至95%之间，“可能”在5%至50%之间，“极小可能”在5%以下。因此，对于“可能”的量化方法，可以借鉴上述规定，如果一项控制缺陷导致财务错报的可能性在50%以上是重大内部控制缺陷，在5%至50%之间是重要缺陷，小于5%为一般缺陷。对于重要缺陷与一般缺陷的划分界限，在实际操作中难以有效衡量，也可以考虑将财务报告内部控制缺陷分为重大缺陷与一般缺陷两类，以50%作为临界值，取消重要缺陷的划分。（四）采取全面披露和摘要披露相联系的内部控制缺陷披露方式全面披露方式应根据评价指引的规定，围绕评价活动的实施方案、内部控制缺陷的认定方法、缺陷的类别与整改措施进行详细阐述；而摘要披露方式，可采用选择题形式列出上市公司出现次数繁多的内部控制缺陷的名称和内容，并将其细化成若干子类别，比如控制环境缺陷下面可设置“是否在董事会下设立审计委员会”“、责任主体的权限是否明确”等选项，通过打“√”或“×”来选择内部控制是否存在此项缺陷；也可以对应内部控制缺陷发生的频数和范围、缺陷产生风险的水平、内审人员的专业胜任能力和经验水平及其对内部控制目标和企业价值的理解程度等因素细分出二级指标，逐一打分并绘制成表格，更加清晰明了地呈现内部控制缺陷信息，进一步增加信息含量，提高不同公司之间内部控制信息的可比性。基金支持：泰山学院青年教师科研基金项目（QN-02-04）。参考文献：[1]杨有红，李宇立.内部控制缺陷的识别、认定与报告[J].会计研究2011(3)：76-80.[2]刘建伟，郑瞳.内部控制缺陷概念、分类与认定[J].财会月刊，2012(12)：74-75.[3]王惠芳.内部控制缺陷认定：现状、困境及基本框架重构[J].会计研究，2011(8)：61-67.[4]池国华.基于管理视角的企业内部控制评价系统模式[J].会计研究，2010(10)：55-61.[5]侯增辉，朱颐和.我国上市公司内部控制缺陷披露的问题及分析———以深市133家上市公司为例[J].会计之友，2014(8)：46-48.[6]张先治，戴文涛.中国企业内部控制评价系统研究[J].审计研究，2011(1)：69-78.（作者单位：泰山学院商学院）200

Copyright©博看网 www.bookan.com.cn. All Rights Reserved.