数字经济时代提升企业 内部控制信息披露质量探究

宋建波 谢梦园 荆家琪

【摘要】在分析我国内部控制信息披露相关制度规范的基础上， 运用基本描述性统计分析方法， 对我国沪深A股上市公司2009 ～ 2018年内部控制信息披露质量从形式、内容、传输及使用四个维度进行分析， 发现我国企业内部控制信息披露存在多头监管、相关规范之间不协调、统计口径不统一、披露形式不规范、披露内容缺乏实质性信息、选择性和倾向性披露动机明显等问题。 对此， 结合数字经济时代的技术优势提出相关政策建议。

【关键词】内部控制;信息披露;内部控制自我评价报告;内部控制审计报告

【中图分类号】 F275     【文献标识码】A      【文章编号】1004-0994（2021）11-0069-6

一、引言

內部控制信息披露是企业向投资者披露其内部经营管理信息的重要渠道， 有效的内部控制信息披露体制对于防范和预警企业经营风险具有重要作用[1] 。 虽然相关监管部门不断加强对企业内部控制体制建设及信息披露方面的监管， 但我国企业内部控制体制和信息披露体系的不足， 在近年来频频曝光的财务造假案中暴露得淋漓尽致， 这表明我国内部控制规范体系、相关的信息披露制度以及内部控制信息披露实践的有效性还有待进一步的检验和分析。 信息是数字经济时代重要的竞争资源， 进一步加强对企业内部控制信息披露相关制度规范及其执行效果的分析十分必要。 具体而言， 现行企业内部控制信息披露相关规范还存在哪些可改进之处？ 企业内部控制信息披露相关规范的实施效果如何？ 实践中还存在哪些突出问题？ 对内部控制信息披露实践进行分析将有助于更加深刻地认识和了解上述问题， 进而为进一步改进内部控制相关制度规范的设计和应用指南提供更具针对性的建议。

数字经济时代企业发展和投资决策对更全面和更高质量信息的需求更为迫切。 基于此， 本文首先从制度层面对我国现行企业内部控制信息披露制度进行分析， 剖析现行制度的不足; 然后， 从企业内部控制信息披露实践出发， 以2009 ～ 2018年沪深A股上市公司为研究对象， 运用基本描述性统计分析方法， 从形式质量、内容质量、传输质量和使用质量四个方面对内部控制评价报告及审计报告披露的信息进行分析[2] ， 探讨我国企业在内部控制信息披露具体实践中存在的问题， 为进一步完善企业内部控制信息披露制度以及结合新技术手段探索构建更高效和更具信息使用价值的信息披露系统提供参考。

二、我国企业内部控制信息披露制度

表1梳理了在不同发展阶段我国企业内部控制信息披露制度的代表性法规文件。 由表1可知， 经过十余年的发展， 我国内部控制信息披露已从自愿披露阶段过渡到强制披露阶段， 并初步形成了具有中国特色的内部控制规范体系。

自2014年以来与内部控制信息披露相关的制度规范并未发生重大更新， 但与此相反的是， 伴随着数字经济时代的发展， 企业的商业模式和治理模式都发生了深刻变化， 传统的内部控制规范体系已明显不能满足数据驱动和数字治理的新发展趋势对企业治理提出的新要求。 除此之外， 本文认为内部控制信息披露体制建设还存在以下不足。

1. 我国内部控制信息披露规范尚未上升到约束力强的法律层面， 仍以部门规章为主。 美国企业内部控制信息披露主要依照2002年美国立法机构颁布的《萨班斯—奥克斯利法案》， 而我国所建立的内部控制规范体系与之相比还有较大差别。 当前我国企业内部控制信息披露实践所参照的《企业内部控制基本规范》及其配套指引、《深圳证券交易所上市公司内部控制指引》和《上海证券交易所上市公司内部控制指引》尚未上升到法律层面， 权威性和约束力较差， 而《公司法》《证券法》等法律又仅简单规定了企业需要建立健全内部控制制度， 并未对内部控制信息的强制性披露作出具体要求。

2. 不同部门出台的规范性文件在内部控制信息披露内容方面存在差异， 存在多头监管的情况。 目前， 我国内部控制信息披露的管制主体主要包括财政部、证监会、审计署与银保监会四部委， 但不同部门出台的指引性文件对企业内部控制信息披露内容的要求并不相同。 而且尚未有专门的法律法规对各政府职能部门的管制权力进行划分， 不同职能部门之间存在标准不一、多头监管、重复监管等问题， 尤其是对于金融行业， 内部控制法规频繁出台， 金融企业内部控制多头监管情况严重。

3. 管理层对内部控制信息披露内容存在较大的自由裁量权。 当前我国内部控制信息披露相关规定均为“原则导向型”而非“规则导向型”。 具体而言， 现行指引性文件虽然具体规定了内部控制评价报告以及审计报告应包含的内容， 但基本是“原则导向”， 赋予了企业管理层更多的自由裁量权。 而且许多上市公司仅依据《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》的基本要求进行披露， 并未基于内部控制五要素对内部控制建设的具体情况进行说明， 大大降低了内部控制规范的实施效果， 更加剧了企业内部控制信息披露内容流于形式、披露水平参差不齐的现象。

三、我国企业内部控制信息披露质量

由上文的制度梳理可知， 我国《企业内部控制基本规范》于2008年正式发布， 上市公司自2009年开始自愿实施。 2012年， 根据企业内部控制配套指引关于内部控制实施时间的规定， 财政部和证监会发布了《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》， 明确要求主板上市公司于2014年起全面强制实施企业内部控制规范体系。 为了更清晰地展现内部控制信息披露由自愿披露到强制披露的变化以及目前的披露质量， 本文的统计分析以2009 ～ 2018年沪深A股上市公司为研究对象， 并剔除公司上市前的观测值和被特殊处理的公司， 从内部控制自我评价报告和审计报告两个层面对我国上市公司的内部控制信息披露实践进行分析， 深入认识现行内部控制规范体系的执行效果。 除特别标注说明之外， 本文所用到的数据是在国泰安内部控制数据库和迪博内部控制与风险管理数据库匹配的基础上， 通过手工核对后得到。

1. 内部控制自我评价报告披露质量。

（1）内部控制信息披露水平和形式质量参差不齐。 由2009 ～ 2018年上市公司内部控制自我评价报告披露状况（详见表2）可知， 仍存在部分公司未披露内部控制自我评价报告， 而且近年来未披露内部控制自我评价报告的公司比例有小幅上升的趋势。 这说明虽然近年来我国企业内部控制信息披露水平总体呈上升趋势， 但上市公司内部控制信息披露水平参差不齐。 此外， 还有部分企业名义上披露的是内部控制自我评价报告， 实际上却是由会计师事务所出具的内部控制鉴证报告。 这一低形式质量的现象更加突显了企业在实践过程中对内部控制信息披露的不重视、监管的不严格以及相关规范的非有效执行。

（2）内部控制信息披露的相关规定并未得到有效执行， 披露内容不规范， 内容质量有待提高。 由2009 ～ 2018年上市公司內部控制自我评价报告结论出具情况（详见表3）可知， 在披露了内部控制自我评价报告的企业中， 每年仍有部分公司并未明确给出关于该年度内部控制有效性的评价结果， 而仅仅是避重就轻地用大篇幅文字描述内部控制建设情况。 这说明内部控制信息披露的相关规定并未得到有效执行， 在实践中企业存在选择性、倾向性披露内部控制信息的现象， 这无疑降低了内部控制信息的参考价值。

（3）企业内部控制信息披露的倾向性选择行为明显降低了其传输质量和使用质量。 由2009 ～ 2018年上市公司内部控制有效性情况（详见表4）可知， 在明确给出内部控制有效性评价结果的企业中， 虽然被出具内部控制无效结论的企业比例从2009年的0提升到2018年的2.1%， 但该比例依旧相当低， 而且内部控制缺陷的认定比例也相对较低。 表面上看似乎我国企业的内部控制建设情况及其质量还不错， 但频繁曝光的上市公司舞弊案无疑是对这一数据可靠性最直接的质疑， 突显了企业在内部控制信息披露过程中对不利信息的隐瞒和选择性披露等问题， 也更加突显了健全内部控制信息披露体系的重要性和迫切性。

（4）内部控制信息披露相关规范之间不统一。 由2009 ～ 2018年上市公司内部控制缺陷认定标准披露情况和内部控制缺陷整改情况（详见表5、表6）可知， 仍有部分企业未披露内部控制缺陷的认定标准和整改情况， 而这不仅仅是因为现行内部控制信息披露相关规范未能得到切实执行， 更多的是源于深交所和上交所对企业内部控制信息披露详尽程度方面的规定不同。 虽然上交所和深交所都对内部控制自我评价报告应包含的内容作了规定， 但在具体内容的规定上并不相同， 这不仅影响了企业间内部控制信息的可比性， 而且降低了内部控制信息的使用质量。

（5）内部控制缺陷整改质量有待提高。 由2009 ～ 2018年上市公司内部控制缺陷整改情况（详见表6、表7）可知， 仍有部分公司未采取措施对存在的缺陷进行整改， 尤其是在被出具内部控制有效结论的公司和创业板上市公司中。 其原因之一也是上交所和深交所关于内部控制自我评价报告内容要求的差异。 这一情况显示出企业对内部控制缺陷的信息披露不够重视， 倾向于流于形式、应付性地完成对内部控制制度建设及其有效性的描述， 而不充分披露其他实质性信息。

（6）旧标尺与新经济的冲突可能导致数据使用质量下降。 迪博数据库在对内部控制有效性结论字段的收集与整理过程中， 将其分为整体有效、整体无效、财报内控无效非财报内控有效、财报内控有效非财报内控无效、未出具结论五种类型， 本文基于该数据库的数据整理得出2009 ～ 2018年企业内部控制评价结论的具体情况， 如表8所示。

财报内控有效与否不仅关乎会计信息质量、盈余质量和财报质量， 还对企业经营决策与运营具有重要影响[3] 。 但从表8可看出， 内部控制自我评价为非整体有效（整体无效、财报内控无效非财报内控有效、财报内控有效非财报内控无效）的数量整体呈上升趋势。 这体现了企业内部控制体系建设的不健全和不完善， 可能与广泛应用的会计系统和现行会计处理原则及新经济下企业发展变化的不适应、导致的旧标尺无法更好地衡量新经济有关， 致使与此相关的内部控制建设滞后， 最终导致内部控制非整体有效的企业数量增加和会计信息使用价值下降。 问题的根源在于， 当无形资产、数字资产、专利等经济活动在新经济中越来越重要， 而上市公司内部控制评价依据不统一、披露格式不规范、监管不到位、信息披露懈怠等大环境尚无改善时， 就会进一步加剧现行会计系统和内部控制系统的“无力感”。 内部控制信息的使用质量与形式质量、内容质量和传输质量是一脉相承的， 提高内部控制信息使用质量更需从源头改善其形式质量和内容质量。

2. 内部控制审计报告的披露质量。

（1）内部控制信息审计的相关规范未获得有效实施， 内部控制审计报告形式质量仍有待提高。 财政部与证监会发布的《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》中明确指出， 所有主板上市公司从2014年开始应同时披露内部控制自我评价报告和内部控制审计报告。 但从2009 ～ 2018年我国上市公司内部控制审计报告披露情况（详见表9）可知， 仍有不少企业并未在指定渠道披露相关内部控制报告， 部分企业要么只披露内部控制自我评价报告， 要么只披露内部控制审计报告或内部控制鉴证报告， 说明我国与内部控制信息审计的相关规范在实践中并未得到有效执行。 笔者在数据收集过程中还发现， 不少公司以内部控制鉴证报告替代内部控制审计报告， 而且未对未披露内部控制审计报告的原因作出解释。 这种现象可能是因企业对内部控制审计报告的理解有误而产生的， 但其更可能是企业的一种自选择规避行为， 而这不仅降低了内部控制信息的形式质量， 而且大大降低了其内容质量和使用质量。

（2）混淆内部控制审计报告和内部控制鉴证报告， 数据收集与整理不规范、不严谨， 内部控制审计报告传递质量和使用质量有待提高。 内部控制审计报告是指依据《内部控制审计指引》出具的报告， 其意见类型主要有四种： 无保留意见、带强调事项段的无保留意见、否定意见以及无法表示意见， 即内部控制审计报告是没有“保留意见”这一类型的。 而内部控制鉴证报告是根据《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》而出具的， 该报告的鉴证内容更为广泛， 与财报相关和与非财报相关的内部控制重大缺陷都要关注。 由2009 ～ 2018年上市公司内部控制审计意见类型分布情况（详见表10）可知， 仍有少数公司留有保留意见的字段， 说明在数据收集、加工整理过程中， 使用者明显混淆了两个不同体系的信息， 并未深入探究其中的差别， 而仅仅是从广义范围上整理相关信息， 导致内部控制审计报告不规范和不严谨， 从而造成使用者的误解， 使得内部控制信息的使用质量降低。 产生这一现象更深层次的原因还是内部控制信息披露相关准则不规范、不统一， 导致实践中企业、使用者无所适从。

（3）内部控制审计报告格式不规范， 并且对相关风险事项或强调事项缺乏详细表述， 内容过于简单， 缺乏实质性内容。 进一步对出具内部控制审计意见的内部控制审计报告格式进行统计（结果详见表11）， 发现仍有相当大比例公司披露的内部控制审计报告不符合规范要求。 在具体查阅的过程中， 笔者还发现部分内部控制审计报告的内容过于简略， 一些公司对内部控制自我评价报告要素的列报不齐全且并无特别说明， 对内部控制审计意见出具的事实分析以及强调事项段的表述存在形式化表述， 而对实质性问题简而概之， 还有内部控制审计报告存在滥用强调事项段的现象。 较低的内部控制审计报告内容质量一方面表明审计师未充分尽职， 未能真正担起资本市场守门人的责任， 这与国内频繁暴雷的舞弊案例密切相关， 另一方面也可能是因为现有内部控制审计指引不合理、不合适而导致内部控制相关规范未能得到有效执行。

四、提升企业内部控制信息披露质量的建议

上文的分析指出了我国企业内部控制信息披露制度体系存在的问题， 同时发现了实践中企业内部控制信息披露在形式质量、内容质量、传输质量以及使用质量四个方面存在的不足。 为进一步规范我国企业内部控制信息披露实践， 提高内部控制制度的执行效果， 本文针对上述问题提出如下建议：

1. 建立企业内部控制规范体系和信息披露体系适时调整的动态机制， 提高企业内部控制信息披露的内容质量和使用质量。 监管部门应充分利用大数据技术， 捕捉企业发展实践中的新问题、新需求， 不断完善内部控制自我评价报告和审计报告的具体披露指引， 对各行业中亟需关注的业务风险点作出更多具体规定， 分行业制定财务报告及非财务报告内部控制缺陷的认定标准， 增加企业对内部控制五要素控制措施、执行情况以及具体缺陷信息的披露， 缩小企业对披露内容选择的空间， 强化内部控制信息披露在改进企业内部控制建设和提升财务报告质量与有效性方面的作用。

2. 修订和完善内部控制相关法规， 提升内部控制信息披露规范的法律地位。 从法律层面清晰地界定相关实施主体和监管主体的责任边界对于提升我国内部控制信息披露质量尤为重要。 同时， 要注意充分利用新技术手段加强各部门之间信息的互联互通， 保持法律与各部门规章之间的统筹协调， 解决不同法规及指引性文件中对于内部控制评价范围规定的矛盾之处， 协调内部控制信息披露的内容、范围以及口径， 降低企业内部控制及其信息披露执行难度， 并明确不同监管部门在企业内部控制建设和内部控制信息披露监管中的责任， 避免由于责任不明确引起的多头监管以及重复监管引致的监管懈怠， 进而影响内部控制信息披露质量。

3. 加强对企业内部控制自我评价报告与审计报告的形式审查， 促进内部控制报告形式质量的提升。 清晰界定内部控制信息披露的责任主体以及第三方审计机构的监督责任， 企业和第三方审计机构应端正对企业内部控制自我评价报告和审计报告的态度， 增强关于及时披露内部控制相关报告重要性的意识， 避免以内部控制鉴证报告替代内部控制自我评价报告和审计报告等低级形式错误的发生。 同时， 第三方审计机构要加强对审计人员应对新技术、新商业模式等的审计方法培训， 提高审计人员对内部控制披露信息的审查能力。

4. 积极推进内部控制信息披露的评价体系、披露违规的惩罚机制和赔偿机制建设。 可尝试结合大数据、云计算、智能化等新技术手段， 通过划分内部控制信息披露质量的等级或将其纳入绩效考核的范围， 激发企业主动完善内部控制信息披露体系以及奖惩体系的积极性[4] 。 同时， 加大对延迟、不出具、隐藏或虚假披露等违规行为的惩处力度， 提高企业违规披露的成本和法律震慑力[5] 。

【 主 要 参 考 文 献 】

[1] 宋建波，张彦松.企业内部控制信息披露经济后果文献研究及启示[ J].财务与会计，2020（22）：38 ～ 43.

[2] 宋建波，谢梦园，张彦松.数字经济时代企业内部控制信息披露体系建设[ J].财会月刊，2021（9）：63 ～ 66.

[3] Feng M.， Li C.， Mcvay S. E.， Skaife H. A.. Does Ineffective Internal Control over Financial Reporting Affect a Firm's Operations？Evidence from Firms' Inventory Management[ J].Social Science Electronic Publishing，2015（2）：529 ～ 557.

[4] 闫华红，杜同同，邵应倩.中国上市公司内部控制信息披露现状[ J].经济与管理研究，2016（3）：131 ～ 136.

[5] 鄭晨景，陈家伟.大数据时代我国上市公司的会计信息披露质量探究[ J].辽宁经济，2019（8）：44 ～ 45.