□（天津商业大学宝德学院 天津300384）

一、引言

上市公司内部控制信息披露质量，不仅能够反映出企业自身是否已经建立了完善的内部控制体系，而且还会影响投资者等相关利益者的决策和判断，而反映企业内部控制信息披露质量高低的一个直接指标就是内部控制缺陷信息的披露质量。内部控制缺陷对于上市公司来说属于敏感信息，它的披露可能会暴露企业存在的不足，影响企业的公众形象，甚至影响其在资本市场上的地位，企业管理层就很有可能在披露时进行遮掩或者选择性披露等行为。因此，上市公司内部控制缺陷信息的披露质量是一个值得关注的课题。

自内部控制基本规范及其配套指引正式实施以来至今，我国内部控制信息披露完成了“自愿披露-局部强制-整体强制”的过渡，随着《内部控制基本规范》的深入实施，其执行效果如果？还存在哪些方面的不足？这些都是监管部门、理论界和实务界非常关注的问题。目前国内的研究多是通过构建内控评价指数来衡量内部控制有效性，而笔者认为内部控制缺陷的披露本身就是内部控制有效性的一个反映。对于上市公司而言，既要有识别缺陷的能力，还要敢于承认自身存在的缺陷并据实对外披露，这既可以加大外部信息使用者的监督力度，又可以促进企业完善其内部控制制度。按照要求，我国所有的主板上市公司应在2014年全面实施企业内部控制规范体系。李冰轮等（2015）以2011—2013年的数据为研究对象，证明《内部控制基本规范》的强制实施明显有助于提高上市公司对控制缺陷信息的披露质量，验证了这一制度安排的合理性。那么2014年进入整体强制披露阶段之后，内部控制规范的实施效果如何？内部控制缺陷信息的披露质量是否确实有质的提升，内控缺陷信息含量如何？本文以此为出发点，选取2014—2016年在沪深两市上市的公司为研究对象，对其内部控制自我评价报告中披露的内部控制缺陷情况进行整理和分析，并提出相应的建议。

二、文献综述

近年来我国关于内部控制缺陷的相关研究主要集中在以下三个方面：

（一）关于内部控制缺陷认定的相关研究。认定技术方面，王惠芳（2011）指出了内部控制缺陷认定存在的困境：理论困境在于财务报告内控缺陷和公司内控缺陷的界定，规范标准确立的困境在于原则式和规范式认定的选择，实践判断上的困境在于内部控制缺陷程度的划分；李宇立（2012）基于管理层的视角，认为内控缺陷的认定以识别为基础，而缺陷识别与认定是敞口风险与可容忍度相对比的过程。

认定标准方面，石意如（2014）把内部控制缺陷划分为层次性缺陷、规模性缺陷和持续性缺陷三类，并设计了“三维”认定模型定量认定标准。林兢等（2016）以COSO框架为依据，从公司和账户两个层面构建了内部控制缺陷的具体认定标准体系。

（二）关于内部控制缺陷信息披露影响因素的相关研究。李育红（2010）、田高良等（2010）、 刘丽芬等（2012）、李越冬等（2014）等认为，公司组织结构特征方面，公司经营的复杂性、正在经历的组织变革、子公司的数量、上市的时间等与内部控制缺陷披露正相关，而公司规模、内控建设、审计师质量等与内部控制缺陷负相关。

发现并披露内部控制缺陷的动机方面，赵息等（2013）认为管理层的权力越大，内控信息披露中的机会主义动机表现就越强烈，越倾向于隐瞒公司已存在的内控缺陷。郭军等（2015）认为董事会独立性对内部控制缺陷影响不显著，而董事会的团队异质性越高，存在内控缺陷的可能性越小。

（三）关于内部控制缺陷信息披露经济后果的相关研究。内部控制缺陷披露与审计费用方面，主要观点认为内部控制缺陷与审计费用正相关，如盖地等（2013）、张红英等（2014）；而内部控制缺陷的修正与审计费用的关系方面研究结论则有所不同，盖地等（2013）认为内部控制制缺陷的修正与审计费用关系不显著，而张红英等（2014）则认为内部控制缺陷的修正与审计费用显著负相关。

内部控制缺陷披露与资本成本方面，主要观点认为披露内部控制缺陷的公司要求的资本成本会更高，其中，郭雪萌等（2014）认为披露内控缺陷的公司要求的权益资本成本更高；孔凡峰（2012）、王虹静（2016）认为公司存在内控缺陷时有较高的债务成本，而且披露的内控缺陷越严重，债务资本成本就越高。

三、上市公司内部控制缺陷信息披露质量分析

本文对于内部控制缺陷信息披露的质量分析，主要是看上市公司在进行披露时是否实话实说，是否存在避重就轻、言语模糊等现象。数据方面，本文选取2014—2016年在沪深交易所上市并披露内部控制自我评价报告的公司为研究对象，剔除了其中数据不完整的公司。文中的相关数据信息来源于沪深交易所、巨潮资讯等官方指定的信息披露网站，笔者后期对数据进行了进一步的整理。分析内容方面，本文主要关注以下几点：第一，上市公司内部控制自我评价报告是否对内部控制缺陷的定义进行了明确的划分，即内控缺陷认定标准的披露情况。第二，上市公司内部控制自我评价报告是否明确表明存在缺陷，内容是什么。第三，对于存在的内部控制缺陷是否已进行整改，整改效果如何。

（一）内部控制缺陷认定标准的披露情况。内部控制缺陷的认定标准是企业认定和划分内控缺陷的依据，具有关键性的指导作用。按照内部控制规范体系的要求，内部控制缺陷有不同的分类标准，本文分析是按照财务报告和非财务报告是否按照缺陷严重程度披露了重大、重要及一般缺陷的定性和定量标准展开的。数据统计分三种情况：第一种，完整披露财务报告和非财务报告内部控制缺陷认定标准，即按照财报、非财报分别披露了重大、重要和一般缺陷的定量和定性标准；第二种，未完整或未明确披露财务报告和非财务报告内部控制缺陷认定标准，如披露重大、重要和一般缺陷的定性和定量标准而未区分财报和非财报、财报或非财报缺陷未区分定性和定量标准、虽然披露了认定标准但均为定义性内容等情况均属于这一类；第三种，未披露内控缺陷认定标准。

由下页表1的统计结果可以看出，2014年披露内控缺陷标准的公司占81.46%，而2015和2016年有了大幅提升，达到了98%；其中完整披露内控缺陷的公司占比由2014年的48.15%上升到2015、2016年的85%以上。这组数据高于2013年的披露比例76.57%（中国上市公司内部控制报告2014，胡为民），这足以表明愿意主动披露内部控制缺陷认定标准的公司数量在增加，绝大多数公司愿意对外披露其内部控制缺陷认定标准等信息。虽然披露情况总体向好，但仍有相当一部分公司（2014年 891家，2015年 333家，2016年320家）虽然披露了内控缺陷标准，但在披露内容的完整性、准确性、透明度等方面存在问题，还有少数公司根本就未披露内控缺陷标准。

（二）内部控制缺陷内容的披露情况。关于内部控制缺陷内容的披露情况主要从以下两个方面进行分析：

第一，企业是否披露内部控制缺陷具体内容的情况统计。外部信息使用者在进行决策和判断时，不仅关注企业是否存在内部控制缺陷，更会关注企业存在什么样的缺陷，是否披露了缺陷的具体内容。根据统计结果，2014—2016年分别有360、428、510家公司在内部控制自我评价报告中披露表明存在内部控制缺陷，披露的缺陷数量分别为1 294、2 713、2 409 个，但这些公司并不是全都披露了缺陷的具体内容。

如表2所示，近3年披露具体内容的缺陷数量占比分别为68.08%、42.78%、51.52%，接近一半左右，其余缺陷在披露时基本上仅说明存在某等级缺陷的数量，而未提及具体缺陷是什么，稍好一点的公司也仅仅是提及在某方面存在缺陷多少个。除此之外，还有相当一部分公司只是提及公司存在缺陷，积极开展整改工作，而缺陷的数量和内容均未提及（由于未表明数量，所以这部分公司不在表2统计范围内）。由此可见，进入整体强制披露阶段之后，虽然上市公司披露内部控制缺陷的意愿相较于之前有所增强，但是在缺陷内容披露上仍然有所保留，选择了逃避，而这些信息恰恰又是外部利益相关者比较关注的重要信息。

第二，企业披露的内部控制缺陷类型的情况统计。要分析企业内部控制缺陷披露的质量，不仅要看企业是否承认自己存在缺陷，还要看企业是否承认其缺陷真实的严重程度。具体统计数据结果如表3所示。

表1 内部控制缺陷认定标准的披露情况

表2 内部控制缺陷是否披露缺陷内容的情况统计

表3 披露内部控制缺陷内容的公司所披露的缺陷类型情况统计

表4 内部控制缺陷的整改情况统计

由表3可以看出，披露内部控制缺陷内容的公司，所披露的内部控制缺陷中一般缺陷占了绝大多数，而重要缺陷和重大缺陷占比都非常少。一般缺陷是内部控制缺陷中对企业的影响程度最小的缺陷，由此可以看出企业倾向于披露一般缺陷。另外，值得注意的一点是，2014—2016年重大缺陷的披露比例在逐年降低，这有可能是因为企业内部控制建设越来越完善，缺陷数量越来越少，当然也有可能是企业在披露较严重的缺陷上意愿不足，选择隐瞒。

由上述分析可以看出，企业披露内部控制缺陷的具体内容，无疑是向市场传递了自己的一个“坏消息”，尽管企业主动披露内部控制缺陷可以树立良好的形象，但有时候这种正面形象所带来的效益可能远远抵不过披露缺陷内容所带来的负面效应，从而影响企业长远发展，因此会导致部分企业在披露内部控制缺陷信息时刻意回避或者隐瞒其内部控制缺陷的具体内容。

（三）内部控制缺陷整改的披露情况。对于企业披露的内部控制缺陷信息，还有一个应该重点关注的问题，就是缺陷的整改情况，这可以反映出企业对于健全和完善其内部控制制度的信心和决心。从表4的统计结果来看，2014—2016年披露的内部控制缺陷整改运行有效的占比分别为38.71%、35.95%、28.69%，比例逐年降低，情况并不乐观。而且近三年中有将近15%左右（2014年比例稍高，为22.25%）的缺陷根本未开始整改，将近一半左右的缺陷未完成整改或者未披露缺陷整改的相关信息。从理论上来看，如果企业内部控制缺陷已整改完成，有助于企业建立良好形象，向市场传递利好信息，然而统计显示的结果却恰恰相反。这就说明仍然有相当一部分企业对于内部控制缺陷信息的披露未引起重视，尽管承认存在缺陷也仅仅是迫于强制性要求的压力，应付监管部门，缺陷的实质性内容并未体现在自评报告中，因此这些企业内部控制缺陷信息披露的意愿仍有待进一步增强。

四、上市公司内部控制缺陷信息披露存在的问题及改进建议

（一）上市公司内部控制缺陷信息披露存在的问题。

第一，内部控制缺陷的认定标准披露不完整。按照要求上市公司在披露内控缺陷的同时，还要根据公司规模、行业特征、风险承受度、自身特点等因素，设立区分财务报告缺陷和非财务报告缺陷的认定标准。但是统计结果表明，仍然有相当一部分企业未完整披露，甚至未披露其内部控制缺陷的划分标准，这会导致利益相关者无法通过企业内部控制缺陷的认定标准来准确获取上市公司在内控缺陷认定方面的信息，更无法通过缺陷的披露对其内控建设成效进行合理评价。

第二，内部控制缺陷具体内容的披露有待加强。承认自身存在内控缺陷的企业占比较之前有所增加，但是在缺陷具体内容的披露上却持有逃避态度，有所保留，而且披露的缺陷偏重于对企业影响程度最小的一般缺陷。另外，缺陷披露上存在语言模糊、描述空泛的现象，或者照搬内部控制评价指引原文，一句话带过。比如有些公司虽然承认存在缺陷，却仅用“针对报告期内的一般缺陷，公司落实了相应的整改措施”这样的语句简单概括，而未做其他详细说明，内部控制缺陷信息披露形式化，实质性内容不足，信息含量不高。

第三，内部控制缺陷整改情况的披露动机不足。企业有能力发现缺陷并勇于承认自己存在缺陷固然可喜，但重要的是对于存在的缺陷该如何进行后续处理，也就是内控缺陷的整改问题。内部控制缺陷整改运行有效，表明企业完善了其内控制度，从而可以合理保证其目标的实现。然而统计结果却反映出缺陷整改运行有效的比例仅占三成，这说明企业在缺陷整改方面的披露动机不足，并未真正重视内控缺陷的整改问题。

（二）提高上市公司内部控制缺陷披露质量的建议。虽然内部控制缺陷信息披露仍存在一些问题，但从整体情况来看，数量和质量方面均得到了很大改善。为进一步完善内部控制缺陷信息披露机制、提高内部控制缺陷信息披露质量，笔者提出以下建议：

第一，引导企业正确认识内部控制缺陷及其披露。当前我国已步入内部控制信息强制披露阶段，大多数上市公司都披露了内控自评报告，并对内控缺陷进行了一定的描述，但这并不能完全归功于企业自身的努力，究其原因某些程度上主要是迫于政策压力满足监管需要，这就导致披露存在形式主义，缺乏实质性内容，很难反映出企业内控建设的真实情况。所以，应该引导企业正确认识内部控制缺陷及其披露，健全有效的内部控制才会让企业的运营更有效率，合理地披露内部控制缺陷才会促进企业不断提高和加强自身的经营和管理水平。只靠法律制度等强制性手段并不能从根本上解决问题，上市公司只有真正全面理解和认识内部控制缺陷及其披露的重要性，才会自愿去披露内部控制缺陷，进而提高内部控制缺陷披露质量，减少内部控制缺陷披露中存在的问题。

第二，完善内部控制缺陷信息披露细则。我国的内部控制基本规范和配套指引虽然对于内部控制缺陷方面做了一定的说明，但是仍然存在很多细节问题有待完善。比如：内部控制缺陷标准的认定，重大缺陷、重要缺陷和一般缺陷的划分方面，在实务中一项内部控制缺陷给企业带来的影响程度到底有多大很难准确去判断，那么企业在认定缺陷标准时就有很大的主观操作空间。制度上的缺失必然会导致内部控制缺陷在认定上存在争议，进而影响上市公司内部控制缺陷的披露质量。因此，相关部门应进一步完善内部控制缺陷信息披露的相关细则。

第三，加强监管力度，完善监管体系。内控缺陷信息作为敏感类信息，有其特殊性，披露缺陷信息会给企业带来负面影响，从而使企业可能会存在一定的侥幸心理，披露缺陷的积极性不高。对此，监管机构应该制定严格的监管措施，对于在内部控制及缺陷信息披露上存在的消极行为，比如隐瞒缺陷信息、缺陷信息披露形式主义等要进行大力整治并加大处罚力度，消除其侥幸心理。另外，资本市场上投资者等进行决策不仅依据财务数据，还需要非财务信息，而内部控制缺陷就是非常重要的非财务信息，信息失真将会导致投资者决策失误，打击其对资本市场的信任。因此，监管部门应当加强监管力度，保证披露内控信息的确凿和完整，推动我国内部控制规范体系逐渐走向成熟和完善。

当然，本文中还存在一些不足之处：（1）研究数据方面，本文数据均为作者手工整理，不免存在一些误差。（2）分析内容方面，本文仅对自评报告中披露的缺陷信息进行了统计分析，而企业是否存在内控缺陷也可以通过其他指标来反映，比如内控审计报告意见、是否受到证监会处罚、企业是否进行财务重述等。