戴文涛　纳鹏杰

摘 要：充分有效的内部控制信息披露是资本市场有效运行、市场资源配置效率优化的重要保证。从我国上市公司内部控制评价及信息披露现状看，普遍存在披露质量不高、评价结论流于形式、缺少实质性内容等问题，主要原因是相关规范性文件实际操作性、强制性、评价主体独立性较弱。政府监管部门应制定明确的内部控制评价标准，加强法律监督和监管，完善相关规定，充分发挥政府监管部门、非盈利性机构等外部评价主体的作用。

关键词：内部控制 ；信息披露； 存在问题 ； 解决对策

中图分类号：F275 文献标识码：A 文章编号：1003-3890（2014）01-0067-04

信息是市场经济有效运行的关键因素之一，高质量的信息披露对于缓解信息不对称、维护资本市场的有效性、优化市场资源配置效率、保护投资者及其他利益相关者的权益起着重要作用。本世纪初，频频发生的公司财务舞弊事件导致美国国会以压倒性多数通过了萨班斯法案（简称SOX法案），其目的就是建立上市公司内部控制评价和报告体系，提高内部控制信息披露质量。为加强和规范企业内部控制，保证企业内部控制评价及其信息披露质量，我国先后发布了《企业内部控制基本规范》（简称《基本规范》）和《企业内部控制配套指引》（简称《配套指引》）等若干个规范性文件，其中《配套指引》，对我国企业内部控制自我评价、注册会计师内部控制审计及内部控制信息披露进行了规定。如今，《配套指引》的实施已有两年，那么，我国上市公司内部控制评价及信息披露质量如何？存在哪些问题？需要采取怎样的措施加以完善？基于此，本文对沪深上市公司2012年年报中披露的有关内部控制信息进行整理，采用描述统计方法对中国上市公司内部控制评价及信息披露质量进行研究。

一、2012年沪深上市公司内部控制评价及信息披露现状

按照公司网站、巨潮咨询网、沪深交易所网站等披露的公开信息，截至2011年4月，中国境内共有2 328家上市公司。我们采用手工整理方法对沪深上市公司2012年年报披露的内部控制信息进行统计整理，调查结果显示2012年2 328家中国上市公司中，2 296家上市公司披露了内部控制评价报告，约占全部上市公司的98.63%；2 167家上市公司聘请了注册会计师对其内部控制状况进行了审计，占比约为93.08%。在2 296家披露内部控制评价报告的上市公司中，2 277家上市公司自认为内部控制体系有效，占比约为99.17%；未对自身的内部控制系统做出结论及内部控制系统没有得到合理实施的公司为19家，占比不到1%。在2 167家聘请了注册会计师对其财务报告内部控制进行审计的公司中，2 161家上市公司的内部控制体系被注册会计师鉴证为有效，占比为99.72%；6家上市公司的内部控制体系被注册会计师分别出具了保留意见和否定意见。

从上述数据看，我国上市公司内部控制质量及信息披露情况是相当不错的，但关键问题是上市公司披露的这些内容不但与实际情况不相符合，而且与社会各界的认知存在较大差异。按照张先治、戴文涛（2011）的研究，美国自愿披露内部控制缺陷的比例为13.8%[1]，而我国存在内部控制缺陷的上市公司比例还不到1%，这不能不让人产生怀疑。另外，我国上市公司的内部控制信息披露和注册会计师的内部控制审计报告还存在以下三个方面的问题：一是大多数企业内部控制评价依据内部控制五要素泛泛而谈，仅有报告形式，缺少实质性内容和对关键问题的分析；二是评价报告格式五花八门、少则两三页，多则几十页，上百页，过于肯定企业自身内部控制体系的有效性，对存在的内部控制缺陷披露较少，更缺乏深入的分析；三是注册会计师的内部控制鉴证意见类型过于单一，表达形式不规范，在内部控制审核标准、判断准则等方面存在着不一致现象。

二、我国上市公司内部控制评价及信息披露问题成因

1. 《基本规范》及《配套指引》过于原则和抽象，不能有效指导企业内控实践。相比于内部控制结构阶段将内部控制作为从企业管理中抽象出来的一个为审计服务的工具而言，COSO整合导向的内部控制整体框架（或企业风险管理整合框架）强调了内部控制是一个过程，是达到目的的工具；内部控制是嵌入式的、不是附加式的；内部控制通过调整来达到一个或多个独立但又有交叉的目标等理念。因此，COSO报告获得了注册会计师、管理者及监管者的普遍认可，内部控制整体框架的推出具有里程碑式的意义。但理论方面取得的成功并不意味着实践上也是如此。萨班斯法案实施后两年，美国管理会计师协会（IMA）曾就COSO的内部控制整体框架是否可以作为实施SOX404条款的内部控制评价标准展开调查，调查结果显示，认为COSO内部控制框架能够为企业管理层提供具体指南的比例不到10%[2]。中国的《基本规范》及《配套指引》与会计准则相比，更多的是理念、要素、框架，它既没有为管理层提供诸如如何建立控制文档、如何进行内部控制测试等方面的指南，也没有为管理层提供如何识别出控制缺陷方面的指南[3]。内部控制客观评价标准及量化评分技术和方法的缺乏，使得上市公司在进行内部控制评价时无据可依，只能依据内部控制五要素对内部控制状况笼统地做出定性评价结论。

2. 内部控制规范及配套指引缺乏强制力，违规成本较低。在我国，涉及内部控制的法律法规按照强制性、权威性由高到低的顺序可以分为三个层次：第一层次是《会计法》、《公司法》、《证劵法》中的相关规定，如《会计法》中要求企业建立内部会计监督制度，《公司法》中对企业组织机构设置和主要职责作出的相关规定等；第二层次是国家权威经济监管部门制定的内部控制法规，如财政部制定的《独立审计准则第9号——内部控制和审计风险》、中国人民银行制定的《加强金融机构内部控制的指导原则》以及审计署颁布的《审计机关内部控制测评准则》等；第三层次是行业协会制定的内部控制评价标准，如中国内部审计协会发布的《内部审计具体准则第16号》等。我国专门制定的内部控制法规如证监会的《证劵公司内部控制指引》、五部门的《基本规范》及《配套指引》基本上都处在第二层次，在强制力方面不但明显低于《会计法》、《公司法》、《证劵法》中的相关条款，而且在实施过程中存在着执行力不强的问题。我国证监会从2001年起就对上市公司提出了内部控制评价和披露评价报告的要求，但时至今日，却没有出现一起因未遵循其要求或遵循不到位而受到任何形式处罚的案件。由于不追究法律责任或者法律法规的违规成本较低，导致大多数上市公司内部控制评价都是依据内控五要素泛泛而谈，企业内部控制评价及信息披露质量较差。反观美国，其内部控制评价和鉴证制度不但以法律的形式来保证实施，而且处罚的力度很大。按照美国萨班斯法案的规定，公司的首席执行官和财务总监一旦给SEC报送了虚假和违法的财务报告，将被处以50万美元以下的罚款，或判处5年监禁。

3. 内部控制内部评价主体独立性不强，外部评价主体缺失。从《配套指引》的规定看，董事会（或管理层）和注册会计师是我国上市公司法定的内部控制评价主体。但从目前的实施情况和实施结果看，这两者都不是最合适或合格的评价主体。董事会（或管理层）评价主体为了经济利益有可能过多披露对企业有利的内控信息，不利的内控信息少披露。会计师事务所一方面要为企业利益相关者提供客观、公正的审计报告，承担着公共服务的功能，另一方面又要自主经营、独立核算、自负盈亏。在中国这样一个讲究关系的社会里，其业务收入的多少不但取决于审计质量、公司声誉，而且还取决于注册会计师和企业的关系。注册会计师和企业的关系越亲密，在内部控制审计中就难以完全保持独立性和公允性，企业内部控制审计及信息披露质量就会越差。按照谢志华（2009）的观点，内部控制的本质是制衡和监督[4]。由于企业董事会和注册会计师都是企业的利益主体，注册会计师和企业之间存在着巨大的利益关系，因此，由他们来担任内部控制评价主体违背了内部控制的制衡和监督原则。内部控制五要素及其范围主要是基于企业管理者的自我评估模型需要而归纳得出[5]。企业董事会和审计师按照内控五要素对企业内部控制设计及运行的有效性进行评价和审计，从评价的过程和目的看，他们都是内部控制内部评价主体，企业内部控制评价活动完全由他们承担明显存在一定弊端。因此，应在规定企业董事会及注册会计师为内部控制内部评价主体的同时，规定政府监管部门或外部非营利性机构作为内部控制外部评价主体。

三、提高上市公司内部控制评价及信息披露质量的政策建议

（一）制定明确的内部控制评价标准

SOX法案颁布后，围绕SOX法案内部控制条款的实施成本和相关问题的激烈争论使美国的监管机构开始关注小型公众公司执行SOX法案内部控制条款所面临的特殊挑战。应监管机构的要求，COSO研究和制定了旨在帮助小型公众公司应对这些特殊挑战的指南——《财务报告内部控制——较小型公众公司指南》（2006）。我国的《企业内部控制评价指引》虽然对企业内部控制评价内容、评价程序、内部控制缺陷认定等作了较为明确的规定，但是这些规定总的来说是原则导向，可操作性不强。政府监管部门应借鉴美国监管机构的做法，尽快制定、发布明确的内部控制评价标准。其具体内容主要包括两个方面：一是内部控制各要素的评价标准，包括控制环境评价标准、风险评估评价标准、控制活动评价标准等内容；二是内部控制业务活动和作业活动方面的评价标准，包括企业投融资评价标准、收付款业务评价标准、成本费用控制评价标准等。就控制环境要素来看，其评价标准要从最高管理层的诚信和道德价值观、董事会的有效运作等七个方面制定评价标准；就内部控制业务活动来看，其评价标准要根据业务流程选择风险控制点，然后再分别制定不同的评价标准。此外，政府监管部门还应为上市公司提供内部控制综合评价和风险评估方面的技术和方法，如模糊综合评价法、风险评估矩阵等。

（二）加强内部控制信息披露的法律监督和监管

近年来，随着公司财务舞弊事件的不断发生，世界各国都强化了对公司财务报告起保证作用的内部控制评价及信息披露的监管。萨班斯法案颁布后，美国成立了公众公司会计监察委员会（PCAOB）负责监管执行审计业务的会计师事务所及注册会计师，增加对SEC（美国证劵交易委员会）的拨款，用于加强风险管理、市场监管和欺诈防范。我国上市公司内部控制信息披露质量不高一方面与缺乏明确的内部控制评价标准有关，另一方面也与内部控制法律法规惩罚不严、执行不力有关。对于管理层不履行内部控制评价及信息披露责任、内部控制不实评价、内部控制信息虚假披露，以及审计师提供的不符合事实的内部控制鉴证意见等做法，我国缺少明确的法律条文来规定管理层和注册会计师应承担的法律责任。由于不遵循内部控制信息披露规定不受到处罚或者是违规成本较低，导致大多数上市公司少披露或披露不实的内部控制信息。为此，我国应借鉴美国做法，制定适合我国国情的、更强有力的内部控制法律规范，通过加大行政处罚和经济处罚的形式来规范企业内部控制评价及信息披露。同时，政府监管部门还应加强监管，对于不按规定披露有关内部控制情况（包括不披露内部控制信息、不按规定的时间、内容披露以及虚假披露或者隐瞒内部控制重大缺陷）的上市公司予以严惩，在处罚标准上可按同等性质的财务信息违法披露行为进行处理[6]。

（三）完善企业内部控制信息披露的相关规定

1. 明确规定内部控制信息披露责任主体。目前，内部控制信息披露状况较好的国家都规定了内部控制信息披露责任主体，如美国规定了管理层是内部控制信息披露责任主体，英国规定企业董事会是内部控制信息披露责任主体。《企业内部控制评价指引》虽然规定了企业董事会或类似权力机构可以对内部控制的有效性进行全面评价，形成结论，但并没有这真正明确谁是企业内部控制信息披露责任主体，是董事会？管理层？还是监事会、审计委员会？权力机构指的是谁？这需要尽快加以明确。考虑我国上市公司中董事会的权力较大，最有能力进行内部控制评估，因此，我国应当明确规定企业董事会是内部控制信息披露责任主体。

2. 规定内部控制信息披露的具体内容和格式。为保证上市公司内部控制信息披露质量，国家制定的内部控制信息披露具体内容应当包括：（1）企业董事会责任声明。包括对企业建立健全和实施有效内部控制负总责；对企业实施内部控制负有指导和监督责任；对企业内部控制保证财务报告的真实可靠性及资产安全性。（2）企业内部控制自我评价声明。企业已经按照有关的标准和程序对内部控制设计与运行的健全性、合理性和有效性进行了自我评估。（3）内部控制自我评估涉及范围及内容的简要描述。（4）内部控制自我评估中采用的评价程序和方法。（5）通过内部控制自我评估，保证本企业内部控制不存在重大缺陷的声明（如果存在重大缺陷，应披露内部控制重大缺陷及其影响，详细说明采取的控制措施和方法）。（6）除了已披露的内部控制重大缺陷外，保证不存在其他重大缺陷的声明。（7）报告期内的企业内部控制设计与运行发生重大变化，发生重大变化的内容及其影响程度的说明。（8）内部控制及其评价固有缺陷声明。

3. 明确内部控制信息披露方式。按照美国的萨班斯法案，管理层在对企业内部控制状况评价后应提供两种报告：一种是提供给董事会、监事会的内部控制内部报告，另一种是提供给外部信息使用者的内部控制外部报告。由于美国政府的主要职责是维护资本市场秩序和市场的有效性，因此其监管部门要求企业提供真实可靠的财务报表，要求公司内部控制体系确保财务报告的可靠性（即公司只进行财务报告内部控制信息披露）。为了保证内部控制信息披露质量，美国要求注册会计师对公司管理层的财务报告内部控制报告进行审核，对企业财务报告内部控制进行审计，然后提出财务报告内部控制审查报告和财务报告内部控制审计报告。为发挥注册会计师的信息增信和信息甄别功能，笔者认为，中国的内部控制信息披露方式也应借鉴美国经验，即在上市公司董事会提出财务报告内部控制报告后，注册会计师对董事会财务报告内部控制报告发表鉴证意见，在对企业财务报告内部控制进行审计的基础上，对上市公司内部控制有效性发表意见。

4. 发挥政府监管部门、非盈利性机构等外部评价主体的作用。企业实施内部控制的目的是实现内部控制目标，企业内部控制评价应对企业内部控制目标的实现程度或水平进行评价[1]。按照我国提出的内部控制内外部监督评价体系目标，我国内部控制评价主体除了董事会或管理层及注册会计师之外，还包括政府监管部门和外部非盈利性机构[7]，即企业内部控制不仅仅由企业董事会和注册会计师依据内部控制要素对企业内部控制制度设计和运行的有效性进行定性评价，还应当由政府监管部门、非盈利性机构等独立的第三者从内部控制目标的实现程度角度进行定量、综合评价。我国正处于新兴加转轨经济时期，相关的内部控制法律法规还不健全，此种背景下更需要加强政府监管。由政府监管部门或外部非盈利性机构评价企业内部控制状况、披露内部控制信息，可以保证内部控制评价结果及信息披露的客观性、公允性和权威性，有利于维护资本市场的有效性，提高市场的资源配置效率，而且也保证了我国内部控制监督评价体系目标的完全实现。

参考文献：

[1]张先治，戴文涛.中国企业内部控制评价系统研究[J].审计研究，2010，（1）：38-41.

[2]朱荣恩，等.企业内部控制规范与案例[M].北京：中国时代经济出版社，2009.

[3]戴文涛.企业内部控制评价指数及其应用研究——来自沪市上市公司的经验证据[D].大连：东北财经大学，2011.

[4]谢志华.内部控制：本质与结构[J].会计研究，2009，（12）：70-75.

[5]Kelly T P. The COSO Report：Challenge and Counterchallenge[J].Journal of Accountancy，1993，176（2）：10-18.

[6]董中超.河南省上市公司内部控制信息披露分析[J].会计之友，2009，（2）：92-93.

[7]郑洪涛，张颖.企业内部控制学[M].大连：东北财经大学出版社，2009.

责任编辑、校对：关 华