胡慧娟胡细剑:上市公司内部控制自我评价信息披露分析 上市公司内部控制自我评价信息披露分析 ——来自湖北上市公司数据 胡慧娟 胡细剑。 (1、湖北经济学院会计学院;2、中建三局股份有限公司湖北武汉430205) 摘要:本文以2010年、2011年深市主板上市湖北公司的内部控制自我评价报告为研究对象,以深圳证 券交易所颁布的《深圳证券交易所上市公司内部控制指引》为评价依据,同时参照《企业内部控制基本规范》 和配套指引,采用描述性统计方法对湖北省上市公司内部控制披露状况进行了分析,探索其存在的问题,并 提出改善上市公司内部控制信息披露质量的相关建议。 关键词:湖北上市公司内部控制信息披露 一、引言 企业内部控制信息披露对资本市场而言越来越重要。贾宗武、夏勇(2011),宋绍清(2009),齐堡垒、田高良(2011),池国华、朱俊  ̄(2009),杨有红(2009)等通过对上市公司披露的内部控制评价信息的统计分析,探讨我国内控信息披露中存在的问题,提出强化 信息披露的改进措施。陈艳、董美霞(2009),宋华(2010)对中外内部控制披露进行比较研究,揭示出中美之间的差异,并构建符合我 国国情的企业内部控制自我评价和披露操作的方法和程序。同时,深市与沪市比较而言,深市上市公司内部控制自我评价报告信息 较为规范、全面。截止至2011年12月31日,深市主板上市的湖北公司有26家,其中*ST武锅是B股上市公司,将其从本文的研究 样本中剔除,研究样本为25家上市公司。从整体上看,深市所有湖北省上市公司都披露了内控自评报告,报告名称统一,评价依据、 主体内容等基本一致,较2010年度的报告在形式上做到了基本统一,有了较大的进步,但是在主要方面还是存在着不小差异。因此, 本文选择深市主板上市的湖北公司内部控制白评报告进行研究,对于解决上市公司内部控制信息披露中存在的问题,规范、提高湖 北甚至全国上市公司内部控制信息披露水平具有一定的指导意义。 二、湖北上市公司内部控制自我评价现状分析 (一)内部控制自我评价报告框架 在所有的报告中,笔者对报告结构进行了大致分类,格式框架主要有两种类型。两种报告格 式类型都有报告名称、报告主导部门、报告依据、报告目标和原则、 五要素型(7家) 数量 比重 重点控制活动型(18家) 数量 比重 控制环境 7 loo% 评价结果有无缺陷、缺陷描述、整改意见等板块,区别在于主体部 风险评估 4 57 l% 控制活动 7 l00% 综述 18 l0O 分,一类是以内部控制五要素的描述来展开,重点控制活动融合在 信息和沟通 5 71.4% 五要素中的控制活动中或者单列在控制活动的执行情况中(下文 监督 5 71.4% 对控股子公司的内部控制 6 85 7% 对控股子公司的内部控制 17 94.4岛 中简称“五要素型”),另一类则是简单的以重点控制活动的描述来 关联交易的内部控制 6 85.7% 关联交易的内部控制 18 1OO岛 对外担保的内部控制 7 l0O% 对外担保的内部控制 17 94.4粥 展开(下表中简称“重点控制活动型”)。两者分别占到了28%和 募集资金使用的内部控制 6 85 7% 募集资金使用的内部控制 17 94.4 重大投资的内部控制 6 85.7% l重大投资的内部控制 I18 100嘲 72%的比例,下表(1)具体统计两者的不同。 信息披露的内部控制 6 85.7% 信息披露的内部控制 17 944岛 (二)内部控制自我评价报告评价结果在选取的25家样本 公司中评价结果有无缺陷时,都是无重大缺陷。各公司进行缺陷描述时,也只是寻找固有缺陷,外部原因,如根据《企业内部控制基本 规范》的要求,公司内部控制整体框架已经初步建立,已取得一定的经验和成果,但是,公司内部控制建设是系统工程,需要公司全体 员T参与,涉及面广,公司仍需要进一步采取积极措施,借助内外部力量,完善内部控制制度,进一步完善公司治理结构,提高各项制 度的执行力,促进公司的内部控制建设;亦或公司董事会及经营管理层认为:报告期内公司的内部控制在总体上是有效的,公司在内 部控制机制和内部控制制度方面不存在重大缺陷,实际执行中亦不存在重大偏差等。总的来讲,报告缺陷缺乏实质性的描述,使得内 控报告流于形式,难以起到约束和促进作用。而在缺陷的描述上,根据《企业内部控制评价指引》规定:内部控制评价工作组应当根据 现场测试获取的证据,对内部控制缺陷进行初步认定,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。对25家上市公司的内 控自评报告进行阅读统计时,发现少数公司对内控缺陷的认定制定了具体的标准:内部控制评价丁作组根据现场测试获取的证据, 对内部控制缺陷进行初步认定,按照具体影响内部控制目标的具体表现形式,将内部控制缺陷分为财务报告缺陷和非财务报告缺 陷。整体层面财务报表(包含漏报)重要程度的定量标准为:确定错报指标1和2,错报指标1是指潜在错报金额合计除以当期主营 业务收入与期末资产孰高值。错报指标2指潜在错报金额合计除以当期营业收入。确认影响会计报表缺陷等级:一般缺陷为错报指 标l≥l%,且错报指标2<2.5%。;重要缺陷:2.5%。≤错报指标2<5‰;重大缺陷:错报指标2≥5%。。非财务报告内部控制缺陷的定量 作者简介: 胡慧娟(1979一),女,湖北武汉人,湖北经济学院会计学院讲师 胡细剑(1988一),男,湖北大治人,中建三局工程股份有限公司职员 28 IlI佘通讯・综合2013年第6期(下) 表2 评价报告缺陷描述统计表 标准为:一般缺陷,直接财产损失金额50万元(含50万元)一1o00 缺陷描述 数量 1 比重 重大缺陷 0 f 0 万元;重要缺陷,直接财产损失金额1000万元(含1000万元)一 重要缺陷 1 l 4% 般缺陷 l 2000万元;重大缺陷,直接财产损失金额2000万元及以上。由于 一12 48% 无缺陷 12 148% 重大缺陷、重要缺陷和一般缺陷的具体认定标准,由企业根据上述 表3 评价报告整改意见统计表 要求自行确定,统计数据显示,在深市湖北省25家上市公司中,有 一家由于具有两个重要事项尚未解决,故认定为重要缺陷。 (三)内部控制自我评价报告整改意见在所有选取的样本当 中,如表(3)所示,内部控制报告中明确提出整改意见的公司有13家,占样本比例高达52%。表面上看各公司都很积极的参与到内部控 制的整改当中,但细看当中的整改意见,让人不尽满意。如某家公司内部控制报告整改意见为:2012年公司将进一步推进上述公司治理 问题的整改工作,努力从多渠道寻求解决方案,以控制对外投资风险,争取尽快完成相关整改工作,切实维护公司及股东的利益。公司 将在今后的工作中,继续努力完善内部控制制度,提高公司科学决策能力和风险防范能力,加强信息披露管理,切实保障投资者的合法 权益,以保证公司持续、稳定、健康发展。该公司报告中披露的最大问题是截至报告期末,公司员工国有身份置换工作还未得到妥善解决; 两家联营公司的土地使用权过户问题尚在进一步的沟通与协商中。对这类较为明确的内控缺陷,管理层却未提出具体的解决方案。当然, 更多的整改意见是:加强公司内部控制,优化业务流程;加强公司内部控制的培训工作;强化内部控制制度的执行力度等,诸如此类。 三、湖北上市公司内部控制自我评价报告信息披露存在问题及成因分析 (一)内部控制自我评价报告信息披露存在问题(1)报告格式混乱,信息内容无法比较。虽然《企业内部控制基本规范》及应用指 引,评价指引和审计指引等配套指引,对内控报告的评价标准做出了明确的规定,但是作为概念框架的i ̄ffr指引,其具体操作性不强。深交 所虽也颁布了《内部控制指引》,但由于地方指引权威性较低,对上市公司缺乏威慑力,未得到切实的执行。五要素型更加详细,框架更加符 合深交所的报告格式规定,但采用该框架结构的公司数量并不多,仅占不到三成比例,说明大多数公司仍有对内控自评报告改进的空间。 而重点控制活动型中以综述代替五要素的描述,说服力明显不够,而且在部分公司的自评报告中可以看到,综述部分过于抽象,大部分 报告中的综述只是简单介绍公司内部控制组织架构,内部控制制度等,无实质性内容。上市公司白评报告主体是对企业内部控制制度 的详细介绍,报告使用者较难从中获取有价值的信息。显然,权威统一规范的缺位造成了内部控制信息披露的混乱。(2)报告责任主体 不明确,信息质量无法保证。按照《内部控制指引》规定的要求,公司内部审计及相关部门监督和检查内部控制运行缺陷和异常事项,并 形成内部审计报告;公司董事会审议评估,形成并对外披露内部控制自我评价报告。本次所选的2010年、2011年湖北省深市上市公司 中,有85%的内控报告披露是由董事会披露,15%的报告缺乏报告主导部门。即便是由董事会主导披露的报告,相关的责任还是无法归 结到明确的责任人,内部控制的披露责任不明确,必然降低公司披露内控信息的积极性,内控信息披露的质量得不到保障。(3)报告缺陷 无实质『生内容,改进流于形式 大多数公司对内控总体评价的基本意见为:“现行的内部控制制度较为健全、合理、有效,公司及控股子公 司能有效执行内控制度,内控体系与相关制度适应公司发展的需要,能对公司各项业务的健康运行及公司经营风险的控制提供保证”; 并且在内控有效的结论下,公司还是列出了“口号式”的整改措施,说明上市公司并未对自评报告起着规范作用的《基本规范》、《评价指 引》、《深交所指引》中具体要求进行研读,只是为了报告而报告;针对公司是否存在内部控制缺陷,多数公司则避重就轻,仅指出,“截至 报告期末,未发现本公司存在内部控制设计或执行方面的重大缺陷,与内部控制报告缺陷相对应的内部控制改进计划大多流于形式。 (二)内部控制自我评价信息披露问题成因 (1)缺乏统一的内部控制评价具体标准和实施细则。《企业内部控制基本规范》,深 交所、上交所《内部控制指引》均对上市公司披露年度内部控制评价报告提出了强制性要求,但对披露内容、重点要求不尽相同,如深 交所《内部控制指引》中强调披露“重点关注的控制活动的自查和评估情况”,而《企业内部控制基本规范》以及2010年配套颁布的 《企业内部控制评价指引》中却没有提及;再如上交所《内部控制指引》强调披露‘‘内控制度及其实施过程中出现的重大风险及其处理 情况”,但深交所《内部控制指引》和《企业内部控制基本规范》却并不侧重。上市公司对究竟应采用哪一种评价和报告体系、到底披露 哪些内容、具体报告的行文均存在疑惑。虽然在财政部印发的《关于印发企业内部控制规范体系实施中相关问题解释第1号的通知》 中终于出现了上市公司内部控制评价报告的参考格式,也充分融合了各市场对内部控制信息披露的主要要求,但是在内部控制评价 范围段的披露要求显得过于冗长,存在避重就轻之嫌。(2)缺少内部控制缺陷认定的具体标准。查找并纠正企业内部控制设计和运行 中的缺陷,是不断完善企业内部控制和管理水平的重要手段,是推进企业内部控制规范的根本目的。所以,控制缺陷的识别、认定和 改进是内部控制信息披露重中之重,无论是《企业内部控制基本规范》、《评价指引》、《审计指引》,还是上交所、深交所《内部控制指 引》都将内部控制缺陷的识别和认定提到了前所未有的高度。但由于企业所处行业、经营规模、发展阶段、风险偏好等存在差异,各规 范均没有对内部控制缺陷的认定标准进行统一规定。内部控制缺陷认定的具体标准是什么,如何在评价过程中实施这一标准,如何 在报告中披露认定结果和改进建议,这些盲区都直接导致上市公司内部控制信息披露流于形式、无实质性内容、信息质量低下。 (3)无法权衡内部控制实施成本与预期效益的关系。内部控制信息披露存在着显性成本和隐性成本。显性成本为企业内部控制体系 设计、执行、报告过程中的直接成本,该成本中设计和执行成本比重高,报告成本随内部信息披露数量的增加而增加。企业往往需要 在内部控制体系设计上付出巨大代价,但在实施初期,内部控制体系的预期效益却并不显著,并有可能为负效益;加之《评价指引》中 对重大缺陷、重要缺陷和一般缺陷的具体认定标准界定含糊,仅由企业自行确定,缺乏可操作性;如此巨大的显性成本,却不能带来 胡慧娟胡细剑:上市公司内部控制自我评价信息披露分析 与之相匹配的收益,企业对内部控制规范实施的懈怠不言而喻。与巨大显性成本相比,可能无法衡量的隐性成本所导致的后果更加 严重。内部控制缺陷的披露极易泄露公司的商业秘密,这无疑将软肋暴露于竞争对手眼中,直接导致公司经营失败、破产等灾难性后 果,该成本是无法衡量的。因此,即使在强制披露的情况下,上市公司会在规则允许的情况下,选择以最少的成本来进行披露。在规范 不够健全、具体的情况下,最少的披露成本,只能带来最低的披露质量,内部控制信息也成为企业和投资者眼中的“鸡肋”,毫无实质 性内容。(3)缺乏既熟悉企业经营管理又系统掌握内部控制规范体系的人才。部分上市公司现有的高级管理人员知识结构不合理,知 识、观念陈旧,更新速度较慢。对内部控制信息披露的认识还不足。同时,上市公司内部控制评价有效信息的信号传递作用并不显著, 即内部控制评价信息对股价的影响较弱或无影响。信息披露的前提条件是披露后给企业带来的收益超过其进行披露所付出的代价。 信息披露的动机不强,限制了自愿披露内部控制信息的公司数量。在现实情况下,大部分上市公司选择“被动披露”、“为披露而披 露”。因此,公司自愿披露内部控制信息的积极性不高,大多数情况下都是以满足证监会和交易所方面的要求。 四、湖北上市公司内部控制自我评价信息披露改进对策建议 (一)统一报告披露标准,规范基本格式从《企业内部控制基本规范》的规定可以看到,是对披露的方式、范围、程序等没有做明 确规定。笔者认为,各家公司所处的行业虽有所不同,上市的交易所也不一样,但是在披露的内容上完全可以《企业内部控制评价指 引》为主,以各交易所的《上市公司内部控制指引》为辅,前者有规定的按照前者执行,前者未规定而后者有规定的也要执行,即求同 存异、主次分明。湖北上市公司可以借鉴上市公司对内控缺陷制定具体的财务报告和非财务报告缺陷认定标准,以便于具体操作和 统一执行。对于内控自评报告的编制规范可以参考规范上市公司,使报告规范格式基本统一。 (.U-)颁布内部控制缺陷认定标准具体指导意见 上市公司内部控制缺陷认定标准是困扰内部控制规范执行、信息披露的最大 问题。财政部、证监会于2011年已经进行试点,并取得了较为丰硕的实践资料。但企业内部控制体系的建设、执行并非一蹴而就,需 要数年的积累。作为湖北的证券监管机构,可以联合国资、证券、审计、银行等监管部门,选择不同行业、不同类型的典型企业开展分 类试点,在对试点企业实施情况进行全面、系统、深刻总结的基础上,结合会计师事务所等中介机构的跟进意见,整理形成具有行业 代表、具备一定典型特点或建成完整体系的优秀案例,为上市公司的内部控制实践提供更多样板参考和指导。 (三)梳理企业制度,找准关键控制点有些企业的内部控制制度与企业管理制度存在“两张皮”现象,有的照搬内部控制应用指 引的规定,出现控制冗余或控制过度现象;也有部分企业对内部控制认识存在偏差,认为内部控制影响企业运营效率、使企业管理受 限,拒绝必要的内部控制等。对此,企业应当立足现状,梳理各项管理制度体系,将内部控制的要求融人管理体系中,理顺各级权利责 任关系,辅助管理机制和体系的健全和完善,形成内部控制的长效机制,使内部控制真正为经营管理服务。要使企业真正做到从“要 我控制”到“我要控制”的转变,不应该采取“一把抓”的方式,应当按照重要性原则,关注重要业务事项、高风险领域,抓关键控制点。 集团性企业可以采取分类试点、逐步推广的方式,选择下属不同类型的企业进行试点,形成范本,减少重复建设。 (四)组建专业内部控制团队,提高工作效率企业内部控制渗透于整个组织的一系列活动中,内部控制系统建设涉及公司治 理、风险管理、质量管理、信息系统、审计监督、企业文化等各领域,涵盖知识面广,业务流程复杂,各种技能要求全面,测评方法和测 评工具复杂细致,需要整合企业管理、财务会计、信息系统和监控流程等知识和技能。企业可以对有关机构和业务进行整合,从总体 目标出发,培训教育,提高企业经营管理人员对内部控制的理解和认识,将内部控制的要求纳入绩效考核体系以加强执行;从工作内 容、目标、要求以及具体工作执行的方法、程序等方面,将内部控制建设和风险管理工作有机结合起来,将内部控制与企业经营管理 结合起来,避免职能交叉、资源浪费、重复劳动,降低企业管理成本,提高工作效率和效果;可以利用信息技术固化业务流程,提高业 务处理效率和信息共享水平,从而尽可能减少内部控制与其他经营管理体系的冲突。 (五)增强各项规范和指引的执行力,加强监管执行力是有效利用资源,达成目标的能力。包含形成战略意图,完成任务能力, 完成任务程度,是把企业战略、规划、资源转化成为效益、成果的关键。在操作上从目标、战略、人员和运营上着手,增强内部控制法规 的执行力。只有执行力较强的上市公司,才能将内部控制规范的规定转化为实实在在的有利于企业发展、有助于投资者决策的工具。 为保护投资者的利益,证监会应加强对上市公司内控信息披露的监管。各级监管部门人手不够、成本过高,也是制约内部控制信息披 露监管的主要问题。在监管过程中,找内控薄弱重点环节及风险点,从而提高监管效率,节约监管成本。 本文系2009年湖北省教育厅思政处指导性项目“基于管理层视角的财务报告内部控制评价体系构建研究”(项目编号: 2009b300);湖北省教育厅科技处青年项目“上市公司内部控制信息披露动机与价值——基于盈余管理视角的实证”(项目编号: Q2O12191o)阶段性研究成果 参考文献: [1]陈汉文、张宜霞:《企业内部控制的有效性及其评价方法》,《审计研究772008年第3期。 [2]李敏:《企业内部控制规范》,上海财经大学出版社2011年版。 [3]杨有红、陈凌云:((2007年沪市公司内部控制自我评价研究——数据分析与政策建议》,《会计研究》20o9年第6期。 [4]詹长杰、曹建新:《上市公司内部控制自我评价报告分析》,《中国注册会计师》2011年第2期。 (编辑30 聂慧丽)