上市公司内部控制规范对比研究

一、引言

目前，我国上市公司内部控制信息披露状况不容乐观，从沪、深两市上市公司2012年年报来看，仍有少数公司对其内部控制信息没有做任何形式的披露；虽然大多数公司随年报披露了内部控制信息，但披露内容、评价标准及报告格式不统一。鉴于此，笔者从上交所的《上海证券交易所上市公司内部控制指引》（本文简称“沪指引”）、深交所的《深圳证券交易所上市公司内部控制指引》（以下简称“深指引”）、以及财政部联合证监会、审计署、银监会与保监会等所共同的《企业内部控制基本规范》（本文简称“基本规范”）及其由《企业内部控制评价指引》、《企业内部控制审计指引》与《企业内部控制应用指引》组成的《企业内部控制配套指引》（本文简称“配套指引”）着手，对以上不同规范从内部控制内涵及责任人、内部控制自我评价规范、内部控制信息披露三方面进行对比研究，从而为我国上市公司内部控制制度的设计与执行提供依据，也为财政部、证监会等政府监管部门进一步完善内部控制法律法规、提高对上市公司监管的效率与效果提供一定的参考。

二、上市公司内部控制内涵及责任人对比研究

（一）内部控制内涵 对关于内部控制的内涵，“沪指引”有如下规定：“内部控制是一种制度安排，上市公司进行该种制度安排的最终目的是为保证公司战略目标的实现，而对涉及到公司整体战略层面上与具体经营层面上已经存在的与潜在的风险予以管理与防范，该项制度安排参与的主体囊括了上市公司高层管理者、董事会及其全体员工。”“深指引”对内部控制的内涵的理解是：“内部控制是一个为实现一系列目标（合法合规目标、提高效益目标、资产安全目标、披露真实目标）而提供合理保证的过程，参与这一过程的主体包括上市公司高层管理者、董事会、监事会及其他有关人员。”“基本规范”提出：“内部控制是一项实现合理保证企业控制目标（经营管理合法合规、提高经营效率与效果、保障资产安全、促进企业实现发展战略、财务报告及相关信息真实完整）的过程，参与主体为企业高层管理者、董事会、监事会及其全体员工。”对比“沪指引”、“深指引”与“基本规范”关于内部控制的内涵可以总结出以下不同：首先，根本区别是性质不同。“深指引”与“基本规范”认为内部控制是一个过程，而“沪指引”则认为内部控是一种制度安排；其次，目的不一致。“深指引”与“基本规范”认为内部控制是为实现一系列目标而提供的合理保证，但通过对比可以发现两者为内部控制所限定的一系列目标仍存在一些差异，“深指引”是为了实现合法合规目标、提高效益目标、资产安全目标、披露真实目标，而“基本规范”是为了实现经营管理合法合规、提高经营效率与效果、保障资产安全、促进企业实现发展战略、财务报告及相关信息真实完整目标，相比之下，“沪指引”是从“最终”目的层面站在更高的角度上对内部控制目标进行了阐释，表达也较为概括与简捷，即：“保证公司战略目标的实现”；最后，参与主体的不同，“深指引”认为内部控制的参与主体仅涉及到上市公司高层管理者、董事会、监事会及其他有关人员，而“沪指引”与“基本规范”则认为参与的主体是上市公司全体人员，范围明显较广。

（二）内部控制责任人 “沪指引”和“深指引”都明确指出内部控制的责任人为公司董事会规定“上市公司董事会应对公司内部控制制度的设计与执行负责”，“沪指引”更是强调“保证内部控制相关信息披露内容的真实、准确、完整是董事会及其全体成员的责任”。应当注意的是，虽然“基本规范”没有从字面上指明内部控制的具体责任人，一直只称“企业”，但在“配套指引”中的《企业内部控制评价指引》提到“内部控制评价报告的真实性应当由企业董事会负责”，《企业内部控制审计指引》也规定“企业董事会应当对内部控制的建立健全与有效实施，评价内部控制的有效性负责”。

三、上市公司内部控制自我评价规范对比研究

（一）内部控制自我评价涉及的基本因素 COSO（Committee of Sponsoring Organization）委员会于1992年9月了《内部控制整合框架》（COSO-IC），即著名的COSO报告，该报告可谓是集内部控制理论研究与实践应用于一体，内容丰富、体系完善，在其后得到了广泛的传播，被世界众多国家的专家学者所接受并被应用到内部控制制定与实施中，在业内倍受推崇，已然成为最具有权威性的现代内部控制体系框架。“沪指引”在对COSO-IC的内部控制8要素框架进行借鉴的基础上进行了一定的改造，如将COSO-IC中的“事项识别与风险应对”改为“风险确认与风险管理策略选择”。而“深指引”则是对COSO-IC的全面风险管理8要素框架进行了完全的借鉴。“沪指引”与“深指引”只是说明了要素的涵义，却没有对每项要素所包含的内容进行阐释。“基本规范”在形式虽然上与COSO-IC的5要素框架相类似，但在实质上体现的却是全面风险管理8要素框架思想。“基本规范”将COSO-IC的5要素框架中的“控制环境”改造为“内部环境”，它在实质上囊括了8要素框架中的“内部环境”与“目标设定”两要素，“风险评估”相当于8要素框架中的“风险识别”、“风险评估”、“风险应对”。同时，“基本规范”不仅说明了5项要素的涵义，还对每项要素所包含的内容进行了详细的阐释。

（二）内部控制自我评价所需的控制手段 企业在实施内部控制过程中，必须采用一定的措施与方法，以完成制定的控制目标，这些措施与方法的总和即为控制手段。内部控制的控制手段包括企业整体层面与具体业务层面：企业整体层面的控制手段包括信息系统、内部信息传递、合同管理、全面预算等，而具体业务层面的控制手段包括预算控制、会计系统控制、授权审批控制、财产保护控制、绩效考评控制、运营分析控制与不相容职务分离控制等。“基本规范”以具体业务层面的控制手段为主，“配套指引”从企业整体控制措施的适用条件、范围、目的、实施过程中各环节可能面临的风险及其相应的抵御措施进行了详细的规范。“沪指引”关于控制手段的内容主要体现在“专项风险的内部控制”部分，但仅对具体业务层面的控制手段进行了说明。“深指引”不仅在“重点控制活动”部分对具体业务层面的控制手段进行了介绍，还对企业整体层面的控制手段提出了明确的要求：“上市公司应在设立完善的控制框架基础上对各层级之间的控制程序进行规划与制定，从而为董事会及高级管理人员下达的指令能够被高效的执行提供保证。”

（三）内部控制自我评价中的风险管理思想 “沪指引”对风险管理的介绍较为简略，对很多类型的风险只是略述，仅对金融衍生品交易与控股子公司的风险在“专项风险的内部控制”部分作了较为详细的阐释。“深指引”与“沪指引”相似，它只在整体上进行了笼统的说明：“上市公司为持续监督、及时发现、准确评估、合理控制公司所面临的包括市场风险、财务风险、经营风险、道德风险、政策法规风险等在内的各种风险，应建立一套完整的风险评价系统。”“基本规范”不仅对企业所面临的各项内部与外部风险的识别、分析与规避从整体进行了提纲挈领式的说明，而且9项具体的指引将风险管理的思想嵌入到每个控制点之中，更符合企业内部控制的实际，深刻体现了全面风险管理的思想。

（四）内部控制自我评价对检查监督的说明 内部控制的一项基本要素即为检查监督，企业可以通过检查监督自行监测内部控制的运行状况。但是，对于检查监督的主体、目的、方法等方面“沪指引”、“深指引”与“基本规范”却有不同的说明。首先，关于检查监督的主体，“沪指引”认为应是公司的董事会，“深指引”认为应是董事会专门设定的内部审计部门，如审计委员会等，“基本规范”认为董事会或其下属的审计委员会均可。其次，关于检查监督的目的，“沪指引”为监测、发现与纠正内部控制制度所存在的缺陷与问题，“深指引”为发现内部控制的异常事项与所存在的缺陷，评估内部控制执行的效果与效率，在此基础上提出相应的改进建议；“基本规范”对检查监督的目的从日常监督与专项监督两方面进行了说明。最后，关于检查监督的方法，“沪指引”认为的检查监督的方法包括了程序与方法两方面的内容，“深指引”未对检查监督的方法进行规定，虽然“基本规范”也未对检查监督的方法进行规定，但“配套指引”对内部控制检查监督的方法进行了明确的说明，指出内部控制评价程序包括：建立评价小组、制定评价方案、现场测试、发现控制缺陷、汇总评价结果、编制评价报告等环节，在对被评价实施具体的现场测试时，可以运用询问、观察、检查、穿行测试等方法。

四、上市公司内部控制信息披露对比研究

（一）不定期内部控制信息披露 “沪指引”要求：“上市公司一旦发现本公司的内部控制存在潜在风险或重大缺陷，董事会应在第一时间向上交所报告，经上交所认定，董事会应及时针对内部控制重大缺陷的表现、后果、责任的承担以及补救措施对外公告。”“深指引”规定：“上市公司内部审计部门负责对内部控制的执行情况进行检查监督，一旦发现存在重大异常，应及时向董事会与监事会报告。董事会应就公司内部控制存在的重大缺陷与相应的应对方法及时对外披露。”“基本规范”及其“配套指引”均没有对不定期内部控制信息披露的主体与内容进行规定。

（二）定期内部控制信息披露 定期内部控制信息披露是指与上市公司年报同时披露的内部控制评价报告。“沪指引”没有涉及内部控制评价报告的格式与时间，只是对其应披露的内容作出了如下规定：“上市公司与年度报告一同披露的内部控制评价报告至少应包括内部控制的制定与执行情况、内部控制的检查监督状况、内部控制所存在的重大缺陷以及相应的应对策略、本年度内部控制计划的完成情况；下一年度关于内部控制制度的相关完善措施等”，“沪指引”还要求上市公司应随年报一起披露注册会计师对内部控制评价报告的审核意见。“深指引”也没有对内部控制评价报告的格式进行规定，关于内容的要求是：“上市公司在会计年度结束后四个月内的内部控制评价报告应包括：内部控制的制定和执行情况、内部控制是否存在缺陷、内部控制活动的自查与监督状况、内部控制缺陷的应对措施、本年度对上一年度的内部控制的改进等。”“深指引”与“沪指引”一样，也要求上市公司应随年报一起披露注册会计师对内部控制评价报告的审核意见，并规定了四个月（在会计年度结束后）的期限，即对内部控制评价报告及其注册会计师审核报告披露的期限作出了规定。“基本规范”认为内部控制评价报告的内容应囊括到以下要素：内部环境、控制活动、信息与沟通、风险评估、内部监督，同时还应披露对内部控制检查监督的过程、所发现的重大缺陷、重大缺陷的应对措施等。“基本规范”也对披露的时间作出了规定：“企业内部控制评价报告、企业的内部控制审计报告应以12月31日作为基准日，在此之后的四个月内同时披露”，这在时间上与“深指引”的要求是相同的。特别需要指出的是，在“配套指引”的参考格式中，对内部控制评价报告的格式作出了说明，即应包括标题、管理层声明、报告受众、评价标准、披露内容、结论、报告编制单位及签名、报告日期等因素。

五、结论

本文通过对比分析，发现上交所、深交所与财政部关于内部控制所的规范在整体上是一致的，但是诸多细节上略有差异。笔者认为，其原因主要有：一是我国上市公司内部控制制度起步较晚，在内部控制的本质、原因、起点、程序等问题上学术界尚未达成统一的共识；二是随着我国经济的发展与资本市场的不断完善，广大投资者对上市公司风险控制的制度设计与信息披露的要求越来越高，不同部门的规范时间不同，规范的对象也不同，内容难免会不同；三是以上部门在政策制定与执行过程中缺乏交流与沟通。上述三个政策执行后，我国上市公司内部控制的制度制定与信息披露实践并不乐观，三个部门的法规内容相互联系但又不完全相同，造成同一个上市公司可能要同时受多个内部控制规范的限定，无法在对公司内部控制进行评价时确定统一的评价依据，对上市公司内部控制制度的制定、执行的效率与效果会产生严重的不良影响。

参考文献：

[1]黄晓丽、许宁宁：《上市公司内部控制评价的现状与规范分析》，《商业会计》2013年第9期。