上市公司内部控制信息披露研究
——基于2013年上市公司数据分析

●王云鹏 刘丹

上市公司内部控制信息披露研究
——基于2013年上市公司数据分析

●王云鹏 刘丹

近年来，上市公司内部控制信息披露内容不断规范，制度逐渐完善，但仍存在诸多问题，如内控缺陷界定模糊以及缺陷程度划分不明确等，鉴于此，为了更加深入、全面地了解目前我国上市公司的内部控制情况，本文分析了2013年沪深两市上市公司的信息披露情况，探讨目前我国上市公司内控信息披露的现状，并对内控缺陷认定的框架进行重构，最后针对现状中存在的问题，提出相应的政策建议，以期内部控制信息披露的质量有所提高。

内部控制信息披露缺陷认定

一、引言

近年来，上市公司舞弊的案例频频曝出，可见内部控制制度失效问题突出。而内部控制信息披露作为公司治理的重要部分，其内容可以作为为利益相关者提供的财务报告中可靠性的附加信息，同时也可以及时促进企业改善内部控制情况，从而保证企业稳健运行。

2008年到2012年，我国相继颁布了《企业内部控制基本规范》、《企业内部控制配套指引》以及《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》，这一系列有关内部控制的规范要求，都充分突显了内部控制的重要性并深刻体现了相关的法律法规越来越完善，与此同时，投资者也对有关内控的信息披露有了更高的要求。但由于我国研究上市公司内部控制的时间较晚，内部控制信息披露建设方面相对而言滞后，所以仍值得长期关注。

二、我国上市公司内部控制的信息披露现状

根据《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》中有关内部控制评价报告以及审计报告的要求，从上市公司是否被纳入内部控制规范体系实施范围角度出发，对我国沪深两市上市的2489家公司的内部控制评价报告进行统计分析，概括出2013年上市公司的内部控制信息披露现状。结果如表1所示。从表1中可以看出，2013年披露内部控制评价报告的公司数量比例为92.89%，接近1，但是其中只有占比为18.51%的上市公司披露了缺陷，同时，内部控制审计报告披露数量达到1812家，可其中被出具非标准审计意见的占到3.26%，这些都充分表明外部监管机制对于公司内部控制存在某种程度的系统性失灵。

表1 2013年内部控制信息披露总体情况

（一）纳入规范体系实施范围的上市公司内控披露情况

2013年，我国纳入规范体系实施范围的上市公司共有1052家，新纳入的有204家，全部披露了内部控制评价报告，总体情况如表2所示。可见，强制披露有一定的效果，但从表2中可看出其披露仍不规范，1052家上市公司中有40家未区分有关财务报告和非财务报告的内控缺陷认定标准，仅有272家、占比为25.86%的上市公司披露内部控制缺陷，并且披露审计报告的上市公司中占比为95.53%的披露标准无保留意见，可见内控信息披露的不规范性。

表2 纳入体系实施范围的上市公司内控信息披露情况

（二）未纳入体系实施范围上市公司内控信息披露情况

根据表3所示，未纳入实施范围的1437家上市公司中有1260家就其内部控制披露了评价报告，占比为39.04%的上市公司未将内控缺陷认定标准进行披露，且681家上市公司未披露内部控制审计报告，占比达到54.05%，而与纳入体系实施范围上市公司的3.80%、0.29%的比例相较确实高出许多，显然，这反映出纳入体系实施范围对上市公司内控信息披露的质量提高还是有一定帮助的。

表3 未纳入体系实施范围的上市公司内控信息披露情况

三、上市公司内部控制信息披露存在的问题

内部控制信息披露是审计及相关机构对企业整体内部控制体系的设计、执行情况所进行的有效性评估。这是投资者及利益相关者了解企业内部控制情况的重要信息来源。而从上面的分析中可看出，目前我国上市公司在内部控制信息披露方面所做的并不完善，鉴于此，本文从内部控制评价报告披露和审计报告披露两方面对问题进行具体分析。

（一）内部控制评价报告披露存在的问题

1、内部控制缺陷定义模糊。到目前为止，我国注册会计师所出具的有关内部控制的审计意见是以内部控制缺陷为依据作出的，我国给出内部控制缺陷的定义是从内部控制的目标导向角度出发，会计师以目标的偏离程度和可能性为依据从而衡量缺陷的严重程度，但偏离程度和可能性都无法准确衡量，这样定性内控缺陷较为模糊，从而将会造成会计师所出具的审计意见在一定程度上不规范，对公众缺乏说服力。

2、内部控制缺陷认定标准不统一。由于内部控制相关政策中没有要求企业遵循统一的内部控制缺陷认定标准，使得上市公司只能结合自身公司规模、公司战略目标、所在行业特征和风险水平等因素对符合公司实际情况的认定标准进行确定，从而导致各公司认定标准的内容和形式不统一，有的甚至未披露认定标准。其中一些上市公司虽然披露了内部控制缺陷认定标准，但其披露的内容并不完整，多数并未区分基于财务报告内部控制和非财务报告内部控制的缺陷标准，这样对内控质量的提高起不到相应作用。

3、内部控制缺陷相关披露内容不规范。基于内控缺陷种类分析，428家披露内部控制缺陷的上市公司中并没有任何一家公司对内部控制缺陷的具体内容进行详细披露，只是进行了笼统描述，如内控制度的执行力度不到位、公司风险的管控能力不足等，这些对缺陷类型的描述较为空洞，并未触及到缺陷的实质，说明上市公司对内控缺陷披露不够充分，缺陷信息含量严重不足。

4、内部控制缺陷程度在披露时未明确区分。我国根据公司对于目标的偏离程度以及缺陷的发生可能性将内控缺陷分为一般、重要和重大三类。对内控缺陷的程度分为这样三类是全面合理的，但是却缺乏明确清晰的标准，缺乏可操作性，这必然使得上市公司披露内部控制缺陷时，出于“利己”考虑，可能对内部控制缺陷信息有所隐藏，并最终得出内控有效结论。从表2可知，在2312家公司中仅有占比18.51%的公司区分缺陷类型，且其中仅有37家披露内控缺陷为重大缺陷，若上市公司不明确区分缺陷类型，就会使得企业内控评价规范流于形式，形同虚设，难以为各利益相关者提供有用的增量信息。

（二）内部控制审计报告披露存在的问题

1、被出具非标准审计意见的比例低。由表1可知，1812家披露审计意见的上市公司中，非标准审计意见的出具比例很低，仅占3.26%。其中，纳入体系实施范围与未纳入体系实施范围的上市公司中被出具非标准审计意见的比例分别为4.47%和1.58%，可见审计意见多为标准无保留意见，类型单一。在沪深上市公司中，即便有些公司存在多个重要缺陷，但依然被出具了无保留意见的审计报告，可见审计报告审计意见并不客观。

2、审计与评价报告的结论不一致。我国一些上市公司虽然就存在重大缺陷事项进行了披露或被出具了否定意见，但就内控评价而言仍体现为有效结论。2013年，上市公司被出具否定意见、带强调事项段无保留意见但评价报告结论仍为有效的分别有5家和30家，可见，内部控制评价结论与内部控制审计结论并不一致。

四、内部控制缺陷认定基本模型

在对上市公司内部控制出具评价报告及审计报告的过程中，对于内部控制缺陷的认定是非常关键的。如图1所示，本文将内控缺陷认定的基本框架进行了重构描述。目前，把内部控制缺陷分为财务报告层面和公司层面的内控缺陷，对于财务报告层面的内控缺陷，注册会计师可通过测试来进行辨认，从而明确缺陷，所以对这个层面的缺陷可实行定量标准化，分为一般、重要和重大缺陷；而对于公司层面的内控缺陷来说，由于它是有关整个控制环境的缺陷，会影响整个公司的运营，考虑其量化比较困难，所以建议采取定性化标准对缺陷进行考量，同时考虑到管理成本和效率，将缺陷分为一般缺陷和重大缺陷，不区分一般缺陷和重要缺陷，这样分类可强化认定的可操作性。

图1 内控缺陷认定

五、提高内部控制信息披露质量的建议

近年来，有关上市公司内部控制的重要性得到肯定，伴随着相关法律法规的完善，我国上市公司的内部控制建设取得了很大的进步，但为了能更好地推动企业内部控制规范体系建设与实施，保护利益相关者的利益，针对信息披露存在的问题，本文从政府监管的角度和企业层面两方面提出如何提高上市公司的内部控制信息披露质量。

（一）政府层面

1、扩大内部控制规范体系实施范围。从以上对未纳入内控规范体系实施范围的上市公司分析中可看出，纳入体系实施范围公司的内控信息披露质量明显较高，政府及相关监管部门应对目前上市公司的内控建设现状及需求的实际情况进行积极调研，探索研究如何扩大实施企业内控规范体系的范围，并同时有效提高企业内控建设水平。

2、完善内部控制缺陷信息披露相关细则。我国上市公司信息披露主要是针对报表中的会计信息，而利益相关者也更看重会计利润，对内控缺陷信息的关注有所忽略，这对上市公司披露内部控制缺陷信息的积极性造成了间接打击。虽然目前我国有相关方面的要求，但却并没有披露的相关细则，如内部控制缺陷认定标准、缺陷类型、披露形式、披露内容详细程度等，这对信息披露的规范性、有效性有所降低。所以制定详细的有关内部控制缺陷披露的细则非常必要，尤其是针对缺陷而提出的整改措施更是重中之重，这将整体提高内部控制信息披露质量。

3、对于内部控制缺陷未披露的行为建立惩罚机制，强化外部监督。目前，部分企业内部控制信息披露质量低、流于形式，同时还有一些企业披露不实信息、隐瞒重大缺陷、披露不实信息、发表不实结论，所以应联合相关监管部门，实行分类监管，对内部控制水平较好的公司给予政策扶持，而对于较差的公司进行重点监管。与此同时，完善内部控制信息披露责任机制，并建立责任追究制度，使得引导和处罚相结合，并对虚假行为进行法律惩戒，只有这样，才能强化内部控制规范体系的权威性，提高公众对内部控制披露信息的认可。

（二）企业层面

1、引导公司员工正确认识、理解内部控制信息披露。人是内部控制执行最关键的要素，是内控工作重要的推动者。基于此，首先公司管理人员要充分认识内部控制对于公司治理而言的重要性，同时也要意识到相应信息披露可以促使股东和其他投资者进一步了解公司的财务状况、管理效率，凝聚建立健全内控的内生动力，从而激发更多投资者以及潜在投资者的兴趣。并且应该通过组织培训学习，不断引导公司员工正确理解内部控制信息披露的重要性，从而充分发现内控缺陷问题，高质量地开展内控评价工作，如实出具内控评价报告，做到对内控信息全面、完整、客观地披露。

综上所述，虽然内部控制规范体系范围不断扩大，但内部控制信息披露制度在我国的发展尚处于初级阶段，其执行效果有待检验。2013年，上市公司披露内部控制评价报告的总体形势良好，有关信息披露的数量和质量都有所提升，但却缺乏相关的硬性与细节要求，因此需加强对内部控制信息披露的监督与管理，对内部控制信息披露的相关法律法规也需不断完善，从而有效维护我国证券市场的稳定与发展。

（作者单位：武汉轻工大学经济与管理学院、陕西省榆林市农商银行榆阳支行）

1.陈留平、胡悦.2013.上市公司内部控制信息披露研究——基于2012年沪市数据[J].江苏大学学报（社会科学版），6。

2.丁友刚、王永超.2013.上市公司内部控制缺陷认定标准研究[J].会计研究，12。

3.吴一能.2013.上市公司内部控制审计缺陷及对策[J].财会月刊，4。

4.张海梅.2013.我国上市公司内部控制缺陷信息的披露——基于2011年沪市主板上市公司的研究[J].中国内部审计，1。

5.张宇琪、赵丽萍、孙璐.2013.上市公司内部控制评价报告研究——基于深市的数据[J].财会通讯，3。

6.赵希、许宁宁.2013.管理层权力、机会主义动机与内部控制缺陷信息披露[J].审计研究，4。

7.周兰、何安亿、李志军.2014.我国上市公司内部控制缺陷披露的治理效应研究——基于董事会领导结构的经验分析[J].云南财经大学学报，3。

8.周守华、胡为民、林斌.2013.2012年中国上市公司内部控制研究[J].会计研究，7。（本栏目责任编辑：王光俊）

本栏目由浙江中烟工业有限责任公司协办