张丽婧 郭雪萌

一、引 言

“光大证券乌龙指”事件的爆发再次将人们的视线聚焦到企业的内部控制建设上来。这一事件暴露的不仅仅是该企业信息系统缺陷问题，更多的说明了该企业内部控制、公司治理监管制度以及风险防控等方面的弱化。在我国，很多企业经营者为得到直接或间接的经济利益，在会计监管不严、信息披露透明度低、关联方交易等弱公司治理环境，造成了很多类似于“光大证券乌龙指”这样的违规事件，给企业的利益相关者和国家造成了巨大的经济损失。由此，解决上市公司内部控制问题就显得意义深远。

2008年6月28日，财政部联合证监会、审计署、银监会和保监会发布了以五大目标、五大要素为核心内容的《企业内部控制基本规范》，要求自2010年1月1日起上市公司应当对公司内部控制的有效性进行自我评价并披露年度自我评价报告。2010年4月26日，五部委又联合发布了《企业内部控制配套指引》，并规定自2011年1月1日起在境内外交叉上市的公司率先施行，自2012年1月1日起在沪深两市主板上市公司施行，要求执行基本规范配套指引的上市公司和非上市大中型企业，按年度披露内控自评报告，并要求聘请会计师事务所进行审计并出具审计报告。其中的《内部控制评价指引》明确要求内部控制评价报告中应包括内部控制缺陷及其认定情况以及针对重大缺陷拟采取的整改措施。这一指引的颁布标志着我国内部控制缺陷披露由自愿性披露转变为强制性披露。

目前，我国对于内部控制缺陷信息披露的研究相对单一，主要就是针对上市公司内部控制缺陷披露的影响因素以及市场反应展开。由于2010年《企业内部控制配套指引》的发布带来了内部控制缺陷信息披露从自愿披露到强制披露的转变，但由此带来内部控制缺陷信息披露是否有所改善以及整体情况如何却鲜有人研究。因此，本文就以2010-2012这三年沪市A股上市公司的内部控制信息为主要研究对象，对内部控制缺陷信息的情况进行归集和分析，找出披露中存在的问题，以期对资本市场内部控制建设完善提供宝贵建议。

二、内部控制缺陷披露现状

（一）样本选取

本文通过上海证券交易所网站搜集下载了沪市A股上市公司2010-2012年的年度报告、内部控制自我评价报告和内控审计报告，其中剔除了金融行业，共搜集到2010年850家公司、2011年896家公司、2012年903家公司的相关信息。

（二）内部控制缺陷认定标准的界定

内部控制缺陷作为内部控制评价的核心内容之一，在实际评估过程中往往会出现认定标准模糊，缺乏可操作性的问题。本文对内控缺陷的认定主要依据财政部规定的认定标准，具体界定标准如下所述：

1、年报和《内部控制自我评价报告》中，如果采用“本年度未发现内部控制存在设计或执行方面的重大缺陷”或“本公司内部控制制度基本健全、执行基本有效”等一语带过的表述方式，则被认定为未披露内部控制缺陷信息；

2、年报的“内部控制”部分或《内部控制自我评价报告》中，如果具体披露了内控缺陷的内容、数量，或者有“存在以下不足”、“存在以下薄弱环节”、“有以下方面尚待改进”等表述方式，则被认定为披露了内部控制缺陷信息。

（三）内部控制相关报告的披露情况

通过搜集整理相关数据得出：2010-2012年间披露内部控制自评报告的公司数量分别为345家、371家、653家，占当年公司总数的比例为40.49%、41.41%、72.3%；而外部审计师对内控有效性出具审计意见的公司数量分别为203家、220家、581家，占当年公司总数的比例分别为23.88%、24.56%、64.34%（如表1所示）。由这些数据可以看出，沪市上市公司披露内控自评报告和内控审计报告的数量无论是从相对量还是绝对量上来说都有所增加，而且2012年的增幅最大。从披露的内控报告的上市公司数量和内容上来看，并不是所有上市公司都披露了相关报告，《企业内部控制基本规范》的施行效果并不如人意，而且无论是自我评价报告还是鉴证报告均以正面评价居多，说明内控披露在一定程度上还存着流于形式，内容空泛的问题。

表1 内部控制相关报告总体披露情况

（四）内部控制缺陷信息披露情况

1、总体披露情况

《内部控制配套指引》的颁布标志着我国内部控制缺陷的披露进入了强制性阶段。但指引规定境内外交叉上市的公司率先于2011年1月1日执行，沪深两市主板上市公司于2012年1月1日执行。因此，虽然内控自评报告的披露已进入强制阶段，但2010-2011年间内控缺陷的披露仍处于在自愿性披露和强制性披露之间。经过手工数据搜集和统计，笔者发现：2010年在345家披露了内控自评报告的公司中有59家披露了内控缺陷，占比17.1%；2011年披露内部控制缺陷的上市公司为62家，占所有披露内部控制自评报告上市公司的16.71%；2012年共有254家上市公司披露了内部控制缺陷信息，占披露内控自评报告公司数量的38.9%。从这些数据可以看出：2010年和2011年披露内控缺陷的公司数量基本持平，数量有所减少，而2012年进入强制披露阶段使得披露内控缺陷的公司数量却有了明显增加。由此说明，《内部控制评价指引》得到了比较好的执行，越来越多的企业开始关注企业的内部控制建设，不断完善内控评价机制。

表2 沪市主板A股上市公司内部控制缺陷信息披露总体情况

接下来，笔者根据上交所的上市公司行业分类标准将沪市A股上市公司分为12个行业进行分析。从表2的统计结果可以看出：各行业公司所占的比例差异较大，披露内部控制缺陷的公司占当年公司总数的比例呈现增长趋势；2010-2011这两年内控缺陷主要集中于农林牧渔业以及建筑业，2012年存在缺陷的公司行业类型有所转变，开始集中于制造业。根据分析，笔者认为，之所以缺陷年年都集中于农林牧渔业是因为该行业公司数目较少，企业制度完善程度较低，内控制度相对陈旧。而制造业等这些行业一般公司规模比较庞大、部门设置繁多、业务流程较为复杂，其在内部控制的制度设计和执行方面不免存在漏洞，从而导致了披露的内控缺陷相对较多。

表3 沪市主板A股上市公司各行业内部控制缺陷信息披露现状

2、具体披露情况

（1）按缺陷影响程度分类

《企业内部控制评价指引》规定，企业应当根据内部控制缺陷影响整体控制目标实现的严重程度，将内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷，并且内部控制评价报告应当对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。本文在对内部控制缺陷按严重程度进行分类时，是参考企业内控自评报告中的评价标准和表述来进行归类的。将2010-2012年沪市A股上市公司披露的内部控制缺陷按缺陷影响程度分类，具体情况如表4所示。从表中不难发现，大部分公司仅披露了影响程度较低的一般缺陷，仅有极少数公司披露了内部控制重大缺陷和重要缺陷。

表4 内部控制缺陷按严重程度分类情况

（2）按缺陷成因分类

《内部控制基本规范》中规定：内部控制缺陷按照成因一般可划分为设计缺陷和运行缺陷。经统计，2010年披露内部控制缺陷的59家上市公司中，涉及内部控制设计缺陷的为17家公司，内部控制运行缺陷的为26家公司，其中两者都披露的公司为9家，披露模糊不能明确区分是哪种缺陷的公司为7家。2011年披露内部控制缺陷的62家上市公司中，涉及设计缺陷的为18家公司，运行缺陷的为22家公司，其中两者都披露的公司为18家，4家公司的披露信息表述不清，无法判别缺陷类型。2012年披露内部控制缺陷的254家公司中涉及设计缺陷的有50家公司，存在运行缺陷的有69家公司，其中两者都披露的公司有100家，35家公司无法准确辨别属于哪种缺陷。

表5 内部控制缺陷按成因分类情况

（3）按具体内容分类

《企业内部控制基本规范》规定内部控制有五大要素，分别为内部环境、风险评估、控制活动、信息与沟通和内部监督。内部环境是基础，是企业建设内部控制的土壤。风险评估是内部控制建设的方向。控制活动是内控体系的核心环节，贯穿于整个经营活动中。信息与沟通是内控的保障措施。而内部监督则是内控形成闭环的重要组成部分。综合2010-2012年的数据，可以发现大多数公司倾向于披露内部环境和控制活动方面的缺陷。笔者认为：内部环境存在缺陷较多的原因是其涉及到公司的治理环境，治理制度的不当，会导致公司内部监督约束机制缺乏，对公司的价值提升起到负面影响；而控制活动则是内控的生命线，其涉及面广，要求比较严格，因而其发生缺陷的可能性也相对较大。

图1 内部控制缺陷按具体内容分类情况

三、内部控制缺陷披露的整改建议

综上所述，从披露数量来看，《内部控制配套指引》的颁布使得内部控制缺陷信息的披露有了较大幅度的改善，披露内部控制缺陷的企业数量在逐年增加，尤其自从2012年强制披露内控缺陷开始，披露内控缺陷的企业数量有了质的变化，但是还是未达到当年公司总数的50%；从披露内容来看，2010-2011年间披露的内控缺陷内容大多流于形式，信息含量较低，2012年按照《内部控制评价指引》的规定，内控缺陷信息的披露趋于细化和标准化，大多数企业披露了内控缺陷的认定标准，其信息含量也有所增加，内控缺陷的披露为投资者提供了更多的增量信息。尽管随着制度的进一步完善，内控缺陷披露情况有了改善，但是仍然存在制度执行度不高、企业在实际评估内控缺陷时存在认定界限模糊、部分企业在评价报告中披露的信息与自身生产经营特点和业务运行模式结合不足、模式化披露倾向较为明显等问题，针对这些问题，笔者提出以下几点建议：

（一）制定出台针对不同行业操作指南，并进一步细化内控缺陷的认定标准。针对企业的实际情况和需求，监管部门应该在不同的行业进行调研，了解这些行业特有的运行模式、共性的风险以及行之有效的控制措施，在此基础上制定颁布不同行业的内控操作指南，以促进企业进一步加强内部控制建设和评价工作，为资本市场提供更加有价值的信息。

（二）充分挖掘资本市场对内部控制有效性的识别功能，促进企业对于内控缺陷的披露由强制性转变为自愿性披露。目前我国上市公司之所以缺乏披露内部控制缺陷的动机，其重要原因之一就是资本市场无法对企业内部控制信息给出准确的反应。企业无法从正确的披露内部控制缺陷信息中获得利益，有时市场反而会由于企业披露了内控缺陷信息造成股价下跌等情况，这些不利反应使得大多数企业更倾向于隐瞒内部控制缺陷信息。鉴于此，解决我国上市公司披露内部控制缺陷问题的根本就在于充分运用证券市场的定价机制，引导投资者正确解读内部控制缺陷信息，从而促使企业价值的提升。

（三）建立健全内部控制人才培养机制。我国基本处于内部控制建设的初级阶段，在内控实施过程中往往缺乏参考，熟悉内部控制的人才严重缺乏，这些都导致了我国内部控制缺陷信息披露的质量不高等问题。财政部等相关部门有必要组织力量研究探索内部控制人才的培养和认证机制，不断提高企业管理层以及员工的风险意识、内部控制全局意识，同时还要加强对注册会计师有关内部控制审计方面的培训，推动和加强全社会范围内内部控制人才的培养，促进企业内部控制建设水平和管理水平的提升。

（四）全面推进信息化建设，促进内部控制手段的固化。信息化建设是内部控制体系建设的一项基础性工作，也是内部控制体系建设成果得以规范化的重要技术保障。企业应该根据其实际情况，结合行业特性，将内部控制各个环节制度化、流程化、信息化，有效完善内部控制管理系统，增加相应的评判标准以做好内控缺陷评价工作，以此来全面提升企业的价值创造。

［1］Ashbaugh-Skaife，H.Collins，D.Kinney，W.The Effect of SOX Internal Control Deficiencies and Their Remediation on Accrual Quality[J].The Accounting Review，2008，83(1)：217-230

［2］Beneish，Billings，M.，Hodder，L.Internal Control Weaknesses and Information Uncertainty[J]The Accounting Review，2008，83(3)：665-703

［3］Feng，M.，C.Li，and S.McVay.Internal Control and Management Guidance[J].Journal of Accounting and E-conomics，2009(48)：190-209

［4］财政部会计司.企业内部控制规范讲解2010[M].北京：经济科学出版社，2010，(7)：80-81

［5］齐保垒，田高良，李留闯等.上市公司内部控制缺陷与财务报告信息质量[J].管理科学，2010，23(4)：38-47

［6］杨有红，李宇立.内部控制缺陷的识别、认定与报告[J].会计研究，2011，(3)：76-80

［7］林斌，刘春丽，舒伟等.中国上市公司内部控制缺陷披露研究——数据分析与政策建议[J].会计之友，2012，(25)：9-16

［8］刘丽芬，沙威.上市公司财务报告内部控制缺陷驱动因素分析——来自中国上市公司的经验证据[J].会计之友，2012，(34)：95-97

［9］刘梦甜.上市公司财务报告内部控制缺陷驱动因素分析——来自中国上市公司的经验证据[J].商业会计，2013，(3)：56-58

［10］龙凤姣.企业内部控制缺陷认定方法探讨 [J].商业会计，2012，(11)：36-37

［11］崔志娟.规范内部控制的思路与政策研究——基于内部控制信息披露“动机选择”视角的分析 [J].会计研究，2011，(11)：52-56

［12］孔敏.内部控制缺陷认定与陈述的问题分析——基于*ST大地案例的分析[J].商业会计，2012，(24)：27-29.[13]王惠芳.上市公司内部控制缺陷认定：困境破解及框架构建[J].审计研究，2011，(2)：71-76

［13］董卉娜.上市公司内部控制缺陷披露现状研究——基于2009-2010年深市主板A股的实证研究[J].证券市场导报，2012，(8)：72-77