深市主板上市公司内部控制缺陷披露情况分析

【摘 要】随着《企业内部控制基本规范》和《企业内部控制配套指引》的逐步实施，我国上市公司内部控制缺陷披露情况有了明显提升，但是目前的内部控制规范对于内部控制缺陷认定也存在诸多亟待完善的地方，如内控缺陷的概念和内涵界定模糊、重大缺陷缺乏认定标准、有关内控缺陷的规范缺乏细化指导规则等。有鉴于此，文章以深市2012年披露内部控制自我评估报告的上市公司为研究样本，详细描述了2012年上市公司内部控制自我评估报告中内部控制缺陷的披露情况。

【关键词】内部控制缺陷；内部控制整体缺陷；内部控制具体缺陷

一、引言

1999年修订的《会计法》第一次以法律的形式对建立健全的内部控制提出原则要求，自此之后我国在内控制度上开始着手建设。在2008年6月28日，我国在财政部、证监会、审计署、银监会和保监会联合了《企业内部控制基本规范》的基础上，又联合了《企业内部控制配套指引》。2010年4月财政部等颁布《企业内部控制配套指引》中进一步明确了内部控制缺陷的概念、类型，以及可能存在缺陷的现象等。要求企业内部控制自我评价中应该包括：内部控制缺陷及其认定情况，内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；《企业内部控制审计指引》也界定了注册会计师对缺陷的认定范围。鉴于此，本文希望对深市主板上市公司2012年内部控制缺陷披露情况进行详细的描述性分析，并研究内部控制缺陷总体状况以及内部控制缺陷具体分类状况。总结披露过程中存在的问题，以期对内部控制缺陷披露的实践提供有益参考。

二、样本选择与数据来源

本文选取了深市主板A股460家上市公司2012年内部控制评价报告为样本，样本资料主要来源于巨潮资讯网站2013年6月30日以前公布的2012年深市主板上市公司内部控制自我评价报告和审计报告。

三、深市主板上市公司内部控制缺陷报告总体状况

从“表1中的一”可知，2012年共460家公司均在年度报告之外单独披露了内部控制自我评价报告，披露率为100%。与前两年只有少数公司单独披露内部控制自我评价报告的情形相比，我国上市公司内部控制信息披露缺乏的现状得以大幅度改善。这一方面说明我国对上市公司内部控制信息披露的监管是卓有成效的，另一方面也说明上市公司内部控制信息披露意识的增强。

（一）从“表1中的二”可以看出，229家上市公司聘请注册会计师对内部控制缺陷进行披露，占460家公司的54.13%，且全部为肯定意见。其中的原因可能是：一方面，目前我国的内部控制规范对公司内部控制有效性的鉴证要求属于自愿，公司无强制压力，可能只有对内控有效性非常有把握的公司才会聘请注册会计师进行审计和出具鉴证报告；另一方面，注册会计师在这方面还缺乏详细的审计指导，对出具鉴证报告有所顾虑，为尽可能的回避审计风险，注册会计可能只倾向于对内部控制良好的公司进行审计。无论是上市公司还是注册会计师都对内部控制有效性进行审计缺乏持续动力，这一点监管部门尤其应该高度关注。

（二）披露内控缺陷的公司较少。从“表1中的二、三”可以看出，在460家公司中，2012年只有229家公司披露内控缺陷，占比54.13%，有231家公司未披露内控缺陷，占比50.22%；这说明我国绝大多数上市公司缺乏披露内控缺陷的积极性。

（三）内控缺陷程度没有明确区分。从“表1中的二”可以看出，在衡量是否存在重大内控缺陷的标准之一财务报表重述率来看，2012年深市上市公司的财务报表存在一般缺陷的公司219家，站披露的95.63%，承认存在重大缺陷的公司8家，占3.49%，承认存在重要内控缺陷的公司10家占4.37%因此，不论是与国外相比，还是从实际结果判定，内部缺陷程度没有明确区分导致缺陷率的结果是缺乏说服力的。

（四）未披露内控缺陷的公司可能存在粉饰行为。本文认定“未披露内控缺陷”的公司包含三种情形：（1）明确指出公司内控完善，无缺陷；（2）语焉不详，无信息含量，难以辨认是否具有内控缺陷；（3）没有提到内控缺陷，仅是披露进一步的改进措施或整改计划。因此，从“表1中的三”可以看出由以上形式统计的公司，2012年有231家，占50.22%。可见，在目前原则导向的内控缺陷认定标准下，未披露内控缺陷的公司可能存在内控信息披露的敷衍和粉饰行为。

总之，造成上述问题的根本原因在于目前内控缺陷的认定仍存在一些难点与困境，因此，有必要对这些难点与困境进行深刻剖析。

四、按COSO五要素分类的内部控制缺陷报告状况

本文将上市公司披露的内部控制缺陷划分为整体缺陷和具体缺陷两大类。内部控制整体缺陷，是指将内部控制作为一个系统，从整体层面总结得出内部控制存在的不足，诸如内部控制制度体系不健全、内部控制执行力度不够等等，《企业内部控制基本规范》将内部控制体系划分为五个组成部分，即内部环境、风险评估、控制活动、信息与沟通和内部监督，要素统计如表2所示。本文将内部控制具体缺陷依据五要素进一步进行细化，并总结出各自的表现形式。需要说明的是，上市公司披露的缺陷中往往并不是仅涉及某个单一的控制要素，而是同时涉及到几个要素。

第一，内部环境存在的缺陷。内部环境是内部控制体系的基础，在企业内部控制建立与实施过程中发挥着基础性的作用。根据2012年深市主板中披露内部环境方面存在缺陷的158家上市公司（占33.33%）中总结出的各类缺陷的具体表现形式：组织架构存在的缺陷、人力资源存在的缺陷、企业文化存在的缺陷、社会责任存在的缺陷、企业战略存在的缺陷。可以看出，内部环境缺陷较多地存在于组织架构中公司治理结构和对子公司控制两方面，而公司治理结构中董事会设置和运作方面的缺陷较多，董事会是内部控制的最高责任层，董事会存在的缺陷将会直接影响到内部控制的其他各个方面。

第二，风险评估存在的缺陷。在激烈的市场竞争环境下，企业要想生存发展，就必须面对来自内外部环境的各种风险，风险评估是内部控制的重要环节，贯穿于内部控制的始终。从2012年深市主板披露风险评估方面缺陷的观测值来看，68家上市公司风险评估方面的缺陷相对较少占14.32%，但是涉及到风险识别、风险分析和风险应对各个方面，其具体表现为：尚未建立内部控制风险评估体系；内部控制风险评估体系尚不完善；对外部风险、投资业务风险、担保业务风险等识别和分析存在缺陷；对海外子公司、工程项目、资金等风险应对方面存在缺陷；缺乏对新市场、新产品的风险评估等方面。

第三，控制活动存在的缺陷。控制活动是结合具体业务和事项，运用相应的控制政策和程序的过程。从2012年深市主板披露控制活动的141家上市公司所占比例相对较多29.68%，缺陷的表现形式涉及到常见的各种控制措施；不相容职务分离控制存在的缺陷、授权审批控制存在的缺陷、会计系统控制存在的缺陷。根据《企业内部控制基本规范》，内部控制活动主要有：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运行分析控制、绩效考评控制、以及重大风险预警机制和突发事件应急处理机制。

第四，信息与沟通存在的缺陷。内部控制体系的良好运转离不开内外部信息的合理筛选、核对、整合和利用，信息与沟通贯穿于内部环境、风险评估、控制活动和内部监督，是四个要素的基本工具。从2012年深市主板49家披露信息与沟通缺陷的上市公司中，其表现形式主要涉及到信息收集与传递、信息系统建设以及反舞弊机制建设三个方面：信息收集与传递存在的缺陷，如部分事项未按信息披露管理部门的要求及时沟通、确认并呈递《公司重大信息内部报告暨信息披露呈递表》；担保事项未披露等；信息系统建设存在的缺陷，如内部控制信息系统尚未建设完成；尚未定期对信息系统的安全性进行评估；信息系统不够健全，存在经营信息反馈不够及时，系统不能迅速监控的风险等；反舞弊机制存在的缺陷，对虚假披露信息的行为缺乏有效的事前控制措施；对关联交易、担保业务、重大事项等信息披露行为缺乏有效的控制措施；对高管人员或其家属违规购买公司股票行为缺乏有效的内部控制；对个别人员侵占公司资产行为缺乏有效的内部控制等。其中反舞弊机制建设方面的缺陷主要在于财务报告和信息披露等方面存在虚假记载、误导性陈述、重大遗漏，高管人员，采用不合适手段侵占企业资产等方面。

第五，内部监督存在的缺陷。从2012年深市主板内部监督方面缺陷的观测值来看，存在缺陷的上市公司相对较少59家占12.42%。内部监督是对内部控制的再控制，内部监督能够帮助董事会和经理层预防、发现和整改内部控制设计和运行中存在的问题和薄弱环节，是企业内部控制得以有效实施的机制保障。表现形式主要涉及日常监督和专项监督两个方面。其中，日常监督方面的缺陷主要表现为：内部审计监督机制不完善、尚未设立独立的审计机构、内部审计人员缺位、内部审计职能未充分发挥；专项监督方面的缺陷主要表现为：内部控制自我评价体系不完善和内部控制自我评价体系细化程度不足。

五、结论与建议

本文以2012年深市主板上市公司为研究对象，分析样本公司披露的内部控制缺陷及其存在的问题，得出以下结论：其一，内控缺陷程度没有明确区分；目前原则导向的内控缺陷认定标准下，未披露内控缺陷的公司可能存在内控信息披露的敷衍和粉饰行为。其二，内部控制体系整体水平逐年提高，存在缺陷较多的要素是内部环境、控制活动、信息与沟通，其中内部环境中董事会对内部控制的统领作用亟待完善；其三，在披露过程中，上市公司主动披露内部控制缺陷的意识不强，缺乏内部控制缺陷的认定标准和披露标准。为了提高上市公司内部控制信息披露的有效性，内控规范应对内控缺陷的认定要进一步细化。使企业依据具体情况制定内部控制参照相应标准披露内部控制缺陷，为信息使用者提供可靠的内部控制信息。

参考文献：

[1]Ashbaugh-Skaife，H.，Collins，D.，Kinney，W.TheEffect of SOX Internal Control Deficiencies and Their Remediation onAccrual Quality[J].The Accounting Review，2008，83（1）：217-230.

[2]Beneish，M.，Billings，M.，Hodder，L.InternalControl Weaknesses and Information Uncertainty[J].The AccountingReview，2008，83（3）：665-703.

[3]Hammersley，J.，Myers，L.，Shakespeare，C.MarketReactions to the Disclosure of Internal Control Weaknesses and to theCharacteristics of those Weaknesses under Section 302 of the SarbanesOxley Act of 2002[J].Review of Accounting Studies，2008，13（1）：141-165.

[4]Kim，Y.，Park，M.Market Uncertainty and Disclosure ofInternal Control Deficiencies under the Sarbanes-Oxley Act[J].Journalof Accounting and Public Policy，2009，28（5）：419-445.

[5]财政部会计司.企业内部控制规范讲解2010[M].北京：经济科学出版社，2010，（7）：80-81.

[6]方红星，孙翯.交叉上市公司内部控制缺陷披露的影响因素与市场反应[J].上海立信会计学院学报，2010（1）：28-36.

[7]美国公众公司会计监督委员会，张宜霞主译.第5号审计准则——与财务报表审计相结合的财务报告内部控制审计[M].大连：东北财经大学出版社，2008（6）：24-26.

[8]瞿旭，李明，杨丹，叶建明.上市银行内部控制实质性漏洞披露现状研究[J].会计研究，2009（4）：38-46.

[9]田高良，齐堡垒，李留闯.基于财务报告的内部控制缺陷披露影响因素研究[J].南开管理评论，2010（4）：134-141.

[10]中华人民共和国财政部等.企业内部控制规范2010[M].北京：中国财政经济出版社，2010（4）：77-85.