江苏省南通市开放大学经济管理学院 张海梅 江敏

我国上市公司内部控制评价的现状及对策
——基于2015年深市主板市场上市公司的分析

江苏省南通市开放大学经济管理学院 张海梅 江敏

近年来财务舞弊事件的频发引发了社会各界对内部控制的关注，投资者和债权人迫切需要真实可信的内部控制评价信息。继上海、深圳证券交易所制定的上市公司内部控制指引之后，财政部等五部委制定了内部控制规范体系，标志着我国上市公司内部控制信息披露由自愿披露规则转为强制披露规则。本文以深市主板市场已披露2015年内部控制评价信息的上市公司为研究对象，对我国上市公司内部控制评价问题进行剖析，并提出不断完善和改进内部控制评价的建议，以期引起有关部门对上市公司内部控制评价工作的更多关注。

内部控制评价 内部控制审计 内部控制缺陷

内部控制作为企业管理活动的一个重要组成部分，在公司治理中体现出越来越重要的作用。2008年财政部等五部委联合发布《企业内部控制基本规范》、2010年又联合发布企业内部控制配套指引，正式确立了企业内部控制规范体系，明确要求上市公司应当对其内部控制的有效性进行自评，披露年度自我评价报告，同时还应聘请有资格的会计师事务所对内部控制的有效性进行审计。

本文选取了截至2016年4月30日，深市主板市场已披露2015年内部控制信息的466家上市公司为研究对象，逐一审查每一家公司的内部控制自我评价报告和内部控制审计报告，对其内部控制信息披露进行了分析统计。由于研究对象约占深市主板上市公司总数的97.49%，所得的结论具有一定的代表性。本文研究使用的数据均来自于巨潮资讯网，所有数据都是由手工整理而成。

1 2015年深市主板上市公司内部控制评价的现状

1.1 内部控制自我评价情况

1.1.1 内部控制评价报告披露数量

根据深交所2006年发布的《深圳证券交易所上市公司内部控制指引》的要求，上市公司应于每个会计年度结束后四个月内将内部控制自我评价报告和注册会计师的审计意见报送深交所，并与公司年度报告同时对外披露。基于此，本文统计了从2016年初至4月30日为止，在深市主板市场上市并披露了2015年内部控制信息的466家上市公司，从中剔除了仅公布内部控制评价报告但未公布内部控制审计报告的27家公司和仅公布内部控制审计报告但未公布内部控制评价报告的4家公司，以剩余的435家上市公司作为有效样本，约占深市主板上市公司的91%，这表明深市主板市场绝大多数上市公司是按规定对内部控制进行了自我评价和外部评价。

1.1.2 内部控制评价结论

根据中国证监会的规定，年度内部控制评价报告应当把内部控制的有效性分为两部分：财务报告内部控制有效性与非财务报告内部控制有效性，并且上市公司应对内部控制的有效性进行有针对性的分析。作为样本的435家上市公司中，作出内部控制整体有效结论和非整体有效结论的公司有418家和17家，分别占总体样本的96.09%和3.91%，表明深市主板上市公司内部控制自评情况良好。在得出内部控制非整体有效结论的17家公司中，财报内控有效而非财报内控无效、财报内控无效而非财报内控有效、财报和非财报均无效以及对财报和非财报是否有效未作认定的公司分别为5家、1家、4家和7家，分别占财报非整体有效的公司比例为29.41%、5.88%、23.53%和41.18%。

1.1.3 内部控制评价范围

(1)纳入内部控制评价的资产和收入范围

按照内部控制规范体系的规定，内部控制评价范围应包括内部控制评价所涵盖的被评价单位、纳入评价范围的业务事项以及重点关注的高风险领域。在435家样本公司中，列明和未列明纳入合并范围的单位资产总额占公司合并报表资产总额比例的公司分别占样本公司的86.44%和13.56%，列明和未列明纳入评价范围的单位营业收入合计占公司合并财务报表营业收入总额的公司分别占样本量的85.29%和14.71%；但仍有15%左右的公司纳入合并范围的单位资产总额占公司合并报表的资产总额的比例和营业收入合计占公司合并报表营业收入总额的比例不足90%。少数上市公司纳入评价范围的资产比例显著偏低，甚至低于50%，覆盖率严重不足，导致评价结果缺乏参考性。

(2)纳入内部控制评价的业务范围

按照COSO的定义，内部控制应贯穿于企业经营活动的全过程，有效的内部控制应当包括五个基本要素：控制环境、风险评估、控制活动、信息与沟通、监督检查。在435家样本公司中，对公司内部控制进行详情披露和未进行详情披露的公司分别占样本总量的47.13%和52.87%，即只有接近一半的公司详细披露了内部控制情况。而在对内部控制进行详情披露的公司中，对内部控制详情的披露方式又大相径庭，以内部控制五要素为框架、以内部控制应用指引为框架和以内部控制五要素和应用指引相结合的方式对内部控制进行详细披露的公司比例分别为14.25%、21.84% 和2.53%，另有8.51%的公司另辟蹊径，自主决定披露内容。

(3)重点关注的高风险领域

根据《企业内部控制评价指引》的规定，企业应当组织开展风险评估机制评价，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。统计结果显示，在内部控制自评报告中对内部控制高风险领域进行披露和未披露的公司分别占样本总量的48.97%和51.03%。其中，对高风险领域进行比较详细披露的公司仅占样本总量的12.18%，表明上市公司迫于强制披露的压力，不得已而披露高风险领域，但在披露时偷工减料，刻意减少对风险评估、风险应对信息的披露。

1.1.4 内部控制缺陷的披露情况

(1)内部控制缺陷认定标准的披露情况

内部控制缺陷的识别与认定是评价内部控制是否有效的关键问题，也是内部控制自评和鉴定中最基础的问题。在435家样本公司中，400家公司(约占91.95%)披露了完整的内部控制缺陷(包括财务报告和非财务报告内控缺陷)认定的定性、定量标准；35家公司(约占8.05%)内部控制缺陷的披露不完整，主要表现为：有的公司根本未披露内部控制缺陷认定标准；有的公司虽然披露了内控缺陷的认定标准，但又不完整；有的公司虽然披露了内控缺陷认定的定性、定量标准，但未区分是财务报告内部控制缺陷还是非财务报告内部控制缺陷。

在披露内部控制缺陷标准的公司中，内控缺陷的认定标准却是五花八门，极不统一。在435家样本公司中，有102家上市公司内部控制缺陷的定量标准选择的基准指标过于单一，仅以某一项财务指标(如营业收入总额或资产总额)作为基数，用百分比或绝对金额来确定基本的重要性水平，并根据内部控制缺陷导致的错报、漏报或损失与重要性水平之间的关系及发生的可能性，将内控缺陷划分为重大缺陷、重要缺陷和一般缺陷；85家公司的非财务报告内控缺陷标准与财务报告内控缺陷的标准相同，将两种缺陷标准等同视之；24家上市公司内部控制缺陷定量标准是以上年合并报表数(如上年度经审计的合并报表资产总额、上年税前利润等)、错报金额和偏离目标程度为基数计算内部控制缺陷的定量标准，可能导致对发现的内部控制缺陷性质认定不准确。而对于内部控制缺陷的定性标准，如发展战略、组织架构等，其成因复杂，主观性强，实际操作中尺度难以把握，难以分析认定。

(2)内部控制缺陷的认定情况

在435家样本公司中，有122家公司披露了其内部控制存在重大、重要或一般缺陷。其中，明确表示不存在、存在和未认定财务报告内部控制重大缺陷的公司分别为419家、6家和10家，分别占样本公司的96.32 %、1.38%和2.30%。在认定存在财务报告重大缺陷的6家公司中，有3家公司披露了三项以上重大缺陷，并披露了重大缺陷的性质及影响、整改计划或整改情况；另外3家公司仅表明存在财务报告重大缺陷，但并没有披露重大缺陷的具体情况。

明确表示不存在、存在和未认定非财务报告内部控制重大缺陷的公司分别为415家、7家和13家，分别占样本公司的95.40 %、1.61%和2.99%。在认定存在非财务报告重大缺陷的公司中，有4家公司仅表明存在非财务报告重大缺陷，但并未明确存在哪几项非财务报告重大缺陷。

(3)内部控制缺陷的整改情况

在披露存在内部控制缺陷的122家上市公司中，内控缺陷整改的进度各不相同。99家(约占81.15%)公司明确表示已完成整改，10家公司(约占8.20%)明确表示已完成了部分整改，8家公司(约占6.56%)明确表示还在整改中，4家公司(约占3.28%)表示计划整改，还有1家公司(约占0.81%)未提及整改情况。另外，有16家公司披露了上一年内控缺陷整改情况，44家公司披露了下一年内部控制的改进方向。

1.2 内部控制外部评价情况

1.2.1 内部控制审计报告的规范性

内部控制评价报告是公司管理层对公司内部控制体系建设和施行情况所作的自我评价，在缺少第三方监督的情况下，其可信度容易受到投资者的质疑。因此，由会计师事务出具的内部控制审计报告能够彰显公司的真实信息，有利于提高投资者对内部控制自评报告的认可度。在435家样本公司中，就内部控制审计报告名称来看，仅3家公司内部控制审计报告的名称不规范，分别使用的标题为“风险管理内部控制审核报告”、 “针对某股份有限公司母公司内部控制的审计报告”、 “内部控制自我评价报告的审核评价意见”，从标题来看，内部控制审计的范围受到一定的限制，将内部控制审计局限于风险管理或某上市集团公司中的母公司，而忽略了整体内部控制。

1.2.2 内部控制审计意见的总体情况

在435家样本公司中，其内部控制审计意见统计如下：标准无保留意见为409家，非标准无保留意见为26家，分别占样本量的94.02%和5.98%。其中，带强调事项段的无保留意见为19家，否定意见为7家，分别占非标准无保留意见公司的73.08%和26.92%，而被出具否定意见的公司均因为财务报告存在多项重大缺陷。

1.2.3 内部控制审计意见与内部控制评价报告结论的一致性

公司通过内部控制评价报告向市场传递内部控制有效性的信息，内部控制审计报告的出具能增强内部控制自评报告信息的可靠性，因此，两者对内部控制的结论应当保持一致。在435家样本公司中，410家(约占94.25%)公司的内部控制审计意见与内部控制自我评价结论保持一致； 25家(约占5.75%)公司内控审计意见与内控自我评价报告不完全一致，其中15家公司内被注册会计师出具了带强调事项段的无保留意见或者否定意见，但在其自评报告中却认定其内部控制是有效的。

2 改善我国上市公司内部控制评价现状的建议

2.1 加强内控评价标准建设

我国有关部门应该在借鉴国外先进理念的基础上，制定出适合我国国情的内部控制评价标准，使得内部控制的自我评价和外部评价能够真正做到有据可依。首先，构建可操作性的内控缺陷认定标准。有关部门可对一些典型行业和典型企业展开调查，在分析其行业特点、共性风险、普遍存在的内控缺陷及其后续的有效整改措施的基础上，制定分行业的内控缺陷认定标准，以促进上市公司科学严谨地设计有效的内部控制评价体系，准确界定和分析内控缺陷类型，客观有效地进行内部控制自我评价，并如实披露内部控制的健全性和有效性。其次，建立信号联动机制。当企业存在内部控制缺陷信号时，如企业发布重大会计差错公告，监管部门应强制性地要求企业在其内部控制自我评价报告中对重大会计差错所涉及的内部控制缺陷及其拟采取和已采取的整改情况进行详细报告，以加强对企业内部控制的外部监督。最后，还需制定内部控制审计执业指南，规范内部控制审计工作。在对内部控制审计的过程中，注册会计师会遇到如何整合内部控制审计与财务报表审计、如何评价控制缺陷的严重程度等新问题，这也迫切需要相关部门制定出可行的内部控制审计执业指南，既对会计师事务所执行内部控制审计业务进行专业指导，也能有效保证内部控制审计的质量。

2.2 建立内部控制评价主体体系

我国内控规范规定董事会是内部控制建设和评价的责任主体，但仅仅依靠董事会的力量是远远不够的，必须在企业内部打造四位一体的内部控制评价主体体系。这个评价主体体系应由公司董事会、审计委员会、内部审计部门、监事会和独立董事构成。董事会作为自我评价的责任主体，对内部控制制度的建立健全情况和自我评价报告的对外披露承担主要责任；审计委员会职责隶属于董事会，其职责就是审查企业内部控制的设计和运行情况，评价关键内控指标的完成情况，组织内部控制的自我评价，并就内部控制审计事务与会计师事务所沟通；内部审计机构属于自我评价的执行层，在审计委员会的监督和指导下组织实施内部控制自我评价，有权向有关部门提出改善内控的建议；监事会和独立董事不仅负责对内部控制的流程进行审查监督，同时还应对内部控制评价的进度及评价报告披露的充分性公允性进行督导。通过明确各评价主体的职责，督促其各司其职，才能有效提高内部控制信息披露质量。

2.3 完善内部控制信息披露的责任追究机制

美国《萨班斯法案》明确规定了管理层对于财务报告内部控制评价和报告的责任，明确规定了管理层如果不履行该责任将会面临诉讼，并会被惩处5万～50万美元的罚金。我国监管部门可以借鉴美国的成熟做法，严惩违规披露行为，完善责任追究制度。对于那些内部控制明明存在重大缺陷或重大风险故意进行隐瞒的公司，或者其所聘请的外部审计机构因未能勤勉尽责而提供不实内部控制鉴证评价的公司，监管部门应追究该公司相关责任人员及其外部审计机构的责任；对于那些不披露内部控制信息、披露虚假的内控信息或者刻意隐瞒内部控制重大缺陷的上市公司，相关监管部门应对出具内控自评报告的董事会、对自评报告发表意见的监事会和独立董事追究相应的法律责任。

2.4 确定合理的内控评价范围

公司应采用以风险评估为基础的内控评价模式，合理确定应纳入合并财务报表的子公司，科学确定高风险业务领域，客观评价内部控制运行情况。在内部控制环境评价方面应增加对公司的管理理念和经营风格的评价，有助于信息使用者从整体上了解公司的发展战略及经营策略；在风险评估机制评价方面应增加对风险评估机制是否有效的判断，通过识别企业潜在的风险，评估风险发生的概率和可能给企业带来的影响，根据风险的危害程度和性质并结合企业的抗风险能力，确定是否有必要采取风险转移、风险组合等措施；在控制活动评价方面应增加对关联方交易内部控制的评价，由于关联方关系错综复杂，关联方交易常常成为公司调节利润的主要手段，因此评价关联方关系及其交易显得尤为重要；在内部控制监督评价方面应增加对内部审计部门的设立方式、人员配备及工作情况等的认定和评价。

2.5 提高评价人员素质

为了保证内部控制评价结论的有效性，内控人员素质的提高是关键。企业一方面要严格内控评价人员的选拔。选拔时应重点考虑专业胜任能力和独立性两个方面，可以在公司内部专职评价人员以及内部审计人员之外，考虑各部门中熟悉业务的相关人员也可进入内控评价小组。另一方面还要经常对其进行专业培训。由于经济法规更新速度快，涉及的范围广，新业务层出不穷，公司可以通过走出去请进来的方式对内控评价人员进行专业知识的培训，帮助他们完善内控知识体系、掌握内控评价方法和熟悉内控评价程序。

对会计师事务所来讲，一方面要不断充实评价部门的队伍。要广纳英才，招揽一批业务能力强、职业道德水准高的会计审计专业人员，作为评价部门的主力军；另一方面，在业务淡季时组织相关人员进行业务学习，不断提高其职业素养和道德水准，谨慎评价内控缺陷，以确保内部控制审计质量，降低内部控制审计风险。

[1] 李颖琦,陈春华,俞俊利.我国上市公司内部控制评价信息披露:问题与改进[J].会计研究,2013(8).

[2] 侯增辉,朱颐和.我国上市公司内部控制缺陷披露的问题及分析[J].会计之友,2014(8).

[3] 张海梅.我国上市公司内部控制缺陷信息的披露[J].中国内部审计,2013(1).

[4] 黄胜,耿建新.我国上市公司的内部控制缺陷及应对措施[J].财会月刊,2016(10).

[5] 林钟高,陈曦.社会信任、内部控制重大缺陷及其修复与财务风险[J].当代财经,2016(6).

F272

：A

：2096-0298(2016)12(c)-093-03

张海梅，女，江苏如东人，副教授，管理学硕士，主要从事审计理论与实践方面的研究；江敏，女，江苏海安人，助教，会计学学士，主要从事审计理论与实践方面的研究。