窦 伟

(河南牧业经济学院 会计系，河南 郑州 450044)

2006年上海证券交易所颁布了《上海证券交易所上市公司内部控制指引》，同时深圳证券交易所颁布了《深圳证券交易所上市公司内部控制指引》。2008年五部委联合颁布了《企业内部控制基本规范》，紧接着2010年五部委又颁布了内部控制的配套指引，包括《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》三部分。2012年财政部和证监会联合发布《关于2012年主办上市公司分类分批实施企业内部控制规范体系的通知》，紧接着2014年财政部与证监会又联合颁布《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》。这些规范和政策的陆续出台体现了企业内部控制的披露的重要性和必要性。在这一政策导向和法规要求下，我国上市公司在企业财务年报中纷纷披露关于内部控制的自评报告及审计报告。但对企业来说，内部控制的完善需要一个过程，其自评报告及审计报告的标准也不统一，所以就我国上市公司目前在内部控制的披露上仍然存在很多问题，需要逐步完善，本文将对目前我国上市公司的内部控制披露情况进行研究和分析，对其存在的问题和不足提出意见和建议。

一、 我国上市公司近年来内部控制披露的情况

我国上市公司内部控制披露包括两部分：内部控制的自评报告以及外部的鉴定报告。内部控制的自评报告是由上市公司企业董事会和管理层实施的，针对公司内部控制设计和执行的有效性进行自我评价，而内部控制的外部鉴定报告则是由企业聘请的会计师事务所对公司内部控制的有效性进行外部评价。这两者是从不同的角度对公司的内部控制进行分析和评价。公司通过对内部控制的自评，自觉主动查找内部控制存在的缺陷，并将缺陷按照是否直接影响财务报告分为财务报告内部控制缺陷和非财务报告内部控制缺陷；按缺陷带来的影响程度分为重大、重要和一般缺陷，针对查出的缺陷进行整改，以达到完善企业管理规避风险的目的。外部审计报告则是由注册会计师对企业内部控制进行审计得出的鉴定意见。这两种报告可能存在不一致的结论。外部投资者、债权人以及潜在投资者通过上市公司在年报中披露的内部控制的自评报告和外部审计报告，对上市公司内部控制的有效性做出评价和判断，继而做出决策。

(一) 内部控制自评报告的披露情况

3487家上市公司中，在2017年的年报中披露内部控制评价报告的有3225家，占A股上市公司总数量的92.49%。其中，内部控制自评报告为整体有效的上市公司为3168家、占比90.85%，非整体有效的为57家、占比1.63%。如表1所示。

表1 2017年上市公司内部控制自评报告情况统计

其中，在自评报告中披露存在内部控制缺陷的有456家上市公司，在全部披露内部控制评价报告的公司总数中占比14.14%。依据对缺陷等级的划分方式分类统计的上市公司数量，如表2所示。

表2 披露内部控制缺陷的上市公司情况统计

2016年披露内部控制重大、重要缺陷的公司比例为2.65%，2017年披露内部控制重大、重要缺陷的上市公司比例3.66%，同比增长38.11%。与2016年相比，明显上升。

(二)内部控制审计报告披露情况

2017年的年报中有2555家上市公司披露了会计师事务所对企业内部控制作的鉴定报告，占披露年度报告的上市公司总数量3487家的比例73.27%。在这些所披露的内部控制鉴定报告中：标准无保留意见有2455家，占比70.40%；非标意见有100家，占比2.87%。而在100家非标意见中：带强调事项段的无保留意见有54家，占比1.55%；保留意见有2家，占比0.06%；否定意见有43家，占比1.23%；无法表示意见的1家，占比0.03%，如表3所示。

表3 2017年上市公司内部控制审计报告情况统计

(三)内部控制自评报告和内部控制审计报告对比

从以上统计数字可以看出，自评报告非整体有效的公司仅57家，占比1.63%。内部控制审计报告为非标意见的公司有100家，占比2.87%。可见外部审计报告对自评报告的不认可，由此看出自评结果相对外部审计的结果要乐观。

总体来说，上市公司自愿披露内部控制评价报告的比例呈逐年上升趋势；内部控制自评非整体有效的结论比例近年来逐年上升，2017年达到最高。这说明披露内部控制自评报告近几年不再是走过场，在近年来的法规约束和强调下，更多公司对内部控制的建设认真起来，其内部控制披露的信息含量和质量也在逐年上升。上市公司披露内部控制审计报告的比例也是呈逐年上升趋势；非标准审计意见的内部控制鉴定报告近年来也呈上升趋势。这说明外部审计更加规范和严格。

二、 我国上市公司内部控制披露现阶段存在的问题及成因

(一) 企业对内部控制的建设和披露动力不足，内部审计不够独立

我国内部控制法规不同于美国萨班斯法案的形成原因。萨班斯法案是在会计丑闻频发，给社会、企业和公众带来巨大损失的情况下，引起了政府和监管部门的高度重视，颁布了《萨班斯-奥克斯利法案》，要求在美上市的企业每年提交的年报中必须包含内部控制自评报告，以及外部会计师事务所对企业内部控制出具的鉴定报告。在外界压力和企业自身发展的需求下，企业本身也有发展内部控制的需求。而我国的《企业内部控制基本规范》是未雨绸缪，站在国际学术领先的角度制定了财务和管理全口径的内部控制目标。企业在执行这一法规的要求时候，更多是为了合规合法性建设内控制度，没有真正和企业治理、风险管控联系起来，使内部控制嵌入业务流程，真正发挥作用。也不够重视内部审计的独立性，中小企业甚至没有内部审计部门。所以企业内部控制建设多流于形式，很难真正发挥作用。

同时，企业对内部控制缺陷的披露也是遮遮掩掩，欲盖弥彰。从2017年内部控制报告披露情况可以看出自评报告披露中有内控缺陷的公司比率很小。造成这个情况的原因笔者分析主要有两个。第一，内控缺陷的披露会降低企业会计报表的信息质量，对企业的市场价值来说是一个不好的影响，内部控制缺陷的披露必然带来整改的措施，会产生较高的内部控制的建设成本，这是管理层不愿意看到的。第二，目前的法规对内部控制缺陷没有统一的认定标准，而是由各个上市公司自己界定，导致企业以一种宽松的认定标准来对待内部控制缺陷。在合规合法的前提下对内部控制缺陷的认定降低标准。就算承认存在内部控制重大缺陷，在披露中也是非常简单，一笔带过。同时也由于标准的缺乏导致上市公司自己界定的内部控制缺陷缺乏可比性。

(二)法规不够完善，标准不统一，企业无所适从

1.财务报告内部控制缺陷和非财务报告内部控制缺陷没有明确界定。我国这些法规和指引虽然借鉴了国外的成熟的法规，但我国的内部控制框架目标却不同于国外的财务报告导向的内部控制目标，而是更高层级的针对企业财务、经营和管理全方位全口径的内部控制目标。这在理论上是完全领先国际水平的，所以在其内部控制的披露和评价中没有一套成熟的标准来借鉴。因此这方面从理论到实务有很多具体化的工作要做。首先，在全口径的内部控制目标下，对财务报告内部控制缺陷和非财务报告内部控制缺陷应该如何界定，尤其是当非财务报告内部控制缺陷通过一定的作用机制，影响到到财务报告的内部控制上，进而影响财务报告的披露。

2.内部控制缺陷程度没有明确标准。如何界定内部控制缺陷的严重程度(重大、重要、一般)，尚没有一套统一的内部控制缺陷的认定标准。在财政部和证监会颁布的《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》中要求：“公司应当区分财务报告内部控制和非财务报告内部控制，分别披露重大缺陷、重要缺陷和一般缺陷的认定标准。”这里要求上市公司自行对内部控制缺陷进行分类，并对缺陷程度制定标准。上市公司对内部控制中财务报告缺陷和非财务报告缺陷的划分很混乱，在2017年内部控制自评报告中，有22项财务报告缺陷被归入非财务报告缺陷；在2017年内部控制审计报告中，有5项内部控制财务报告缺陷被划分为非财务报告内部控制缺陷。并且有一些上市公司将本应属于重大或者重要的内部控制缺陷划分为一般缺陷，甚至没有认定为内部控制缺陷。因此在上市公司内部控制自评报告中各自披露的内部控制的缺陷并不具备可比性，尤其是非财务报告内部控制缺陷的认定标准，由于非财务报告内控缺陷认定涉及面广，不具备一个量化的标准，很难界定，也难以对非财务报告内部控制缺陷的程度划分标准。

以上这些问题导致上市公司内部控制报告虽然具有一定的信息含量，但是由于标准的缺乏和不统一使得不同上市公司的内部控制报告横向之间缺乏可比性，难以给信息使用者带来真正有价值的决策信息。

(三)外部审计缺乏统一规范

在内部控制审计报告披露方面，既有2007年财政部颁布的《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》，又有国家五部委在2010年颁布的《企业内部控制审计指引》，还有2002年中国注册会计师协会颁布的《内部控制审核指导意见》等多种规范和多种格式，导致上市公司在内部控制审计报告方面的格式不一，审计意见的类型也存在显著差异。《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》《内部控制审核指导意见》中对注册会计师出具的内部控制审计报告类型中有“保留意见”的类型，而《企业内部控制审计指引》的审计意见类型中没有“保留意见”的类型。

三、 对现阶段上市公司内部控制披露存在的问题的改进措施

(一)完善我国内部控制规范体系

我国内部控制规范化体系是企业经营管理及财务的全口径目标，并不局限于美国式财务报告导向的内部控制目标。这一点在国际上是领先的，但是在实际操作层面需要继续研究和完善，才能真正发挥内部控制在企业经营管理中的作用。在财务报告披露中的作用，对内部控制报告披露的内容进一步具体化、规范化，使得企业出具内部控制报告时有依据，有规定，使得内部控制报告内容更加具体化、规范化，使得企业披露的内部控制信息横向之间具有可比性。我国内部控制规范需要在以下方面做出更加科学和具体的要求，制定相应的标准。

1.在内部控制报告的内容和范围上进一步规范。调查显示上市公司在内部控制报告中涵盖的单位、业务和重点关注高风险领域标准不一，内容差别很大。因此内部控制规范应该在对自评报告和外部鉴定报告的披露在业务范围、风险监控等内容上进一步合理细化和规范化。

2.在相关法规中应明确划分财务报告内部控制缺陷和非财务报告内部控制缺陷。基于我国目前全口径的内部控制规范及其指引的理论体系下，虽然要求企业分别披露财务报告缺陷和非财务报告缺陷，但在规范中并没有对这两种缺陷有明确的说明和划分标准，实务中并不明确，使得上市公司对财务报告缺陷和非财务报告缺陷的划分有较大的随意性。

3.对内部控制缺陷的严重程度(重大、重要、一般)给出一个定性和定量的标准，使得上市公司内部控制披露在内部控制缺陷判定方面有更具体的依据。

4.对内部控制审计报告的披露规范需要进一步修订，统一内部控制审计报告的意见类型，对审计报告中相关缺陷的认定要进一步制定细化标准，提高审计报告的可比性和有用性。

5.建立和完善内部控制评价体系。对企业披露的内部控制自评报告和外部审计报告提供的信息，建立一套科学可行的评价指标体系，能够真实体现企业的内部控制质量，使得企业的内部控制信息披露具有横向可比性。

另外，还要完善内部控制的披露和评价标准。从企业内部经营管理来说，对企业战略目标的实现，公司治理和风险防范方面会有良好的促进作用，从外部监管来说，不仅对财务舞弊及虚假财务信息都有很好的防范，更能给信息使用者提供有用的决策信息。

(二)完善内部控制的责任追究机制

美国《萨班斯-奥克斯利法案》不仅对美国的上市公司强制要求披露内部控制自评报告和外部审计报告，而且明确规定了管理层对于履行该法案的责任，对于不履行该责任的公司管理层将会面临诉讼，并处以5万至50万美元的罚金。我国仅仅是在《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》的第四条中提出：“公司董事会及全体董事应保证提供的年度内部控制评价报告不存在虚假记载、误导性陈述或重大遗漏，并就年度内部控制评价报告的真实性、准确性、完整性承担个别和连带的法律责任。”但没有具体的惩罚措施，使得上市公司管理层对内部控制的披露没有积极性。

我国监管部门应该对上市公司管理层在内部控制报告披露中的违规行为落实具体的责任追究制度。可以借鉴国外的惩戒措施，对其处以经济责罚。对于拒绝披露内部控制自评报告或者在自评报告中隐瞒内部控制重大缺陷的公司，监管部门应对其监事会和独立董事追究相应的法律责任；对于企业聘请的会计师事务所在内部控制审计报告中出具虚假审核意见、误导投资者，或者未能勤勉尽责提供了不实内部控制审计报告的，一并追究其法律责任。只有加大监管和惩戒力度，提高上市公司及相关责任人的违规成本，才能对上市公司提供虚假内控评价报告和注册会计师出具虚假内控审计报告进行有效规制。