内部控制自评报告十篇

时间:2023-03-18 08:26:20

内部控制自评报告

内部控制自评报告篇1

关键词:内控自评报告 可读性 披露性质

一、引言

内部控制自评报告是公司董事会或监事会对内部控制有效性进行审议评估而做出的自我评价。作为公司治理重要内容,公司内部控制评估相关信息的披露,是推动上市公司规范运作、提高公司透明度的重要环节。内控自评报告信息能否有效传递依赖于目标读者对信息顺畅阅读的程度或者投资者是否能准确把握内控自评报告信息,即内部控制自评报告的可读性。可读性是指读者能以最佳速度阅读、理解给定文章并找到兴趣的程度,包括兴趣、逻辑和可理解性等关键要素以及相互间的相互作用(chall,1958)。内控自评报告可读性是指,内控自评报告本身的难易程度,以及内控自评报告使用者是否具有理解它的能力和兴趣。会计报告可读性的研究主要集中于年报可读性。已有研究表明各国年度报告总体上处于难或非常难的可读性水平(Still,1972;Courtis,1986;Cottrtis,1998;Smith和Tafller,1992;孙蔓莉,2004等)。内部控制自评报告是年度报告中的一部分,国内对完善内部控制信息披露的研究大都集中在改进内部控制信息披露的相关规定和加强内部控制信息披露的监管上,而未考虑内部控制自评报告的可读性,分析投资者对其阅读并理解的水平。内控自评报告可读性的研究是从报告编制角度完善公司内部控制体系的新理念,为内控自评报告编制者如何编写更易读的内控自评报告以及监管者如何制定更有效的内控自评报告信息披露规范提供参考。本文的创新在于:第一,我们首次在中国运用公式法研究内控自评报告可读性水平;与计算机专业同学合作编制程序测试中文的可读性水平,同时运用MicrosoftWord计算字数和句子数得出可读性指数,做加强检验以增强结论的稳健性。第二,文章将内部控制披露的性质分为自愿和强制来对比检验两种性质的内控自评报告可读性水平的差异。

二、制度背景与理论分析

(一)制度背景

证监会、上海证券交易所(以下简称沪市)、深圳证券交易所(以下简称深市)等对内部控制自评报告的披露做出了一系列规定。证监会出台的《公开发行证券的公司信息披露内容与格式准则第2号(年度报告的内容与格式>(2007年修订)》规定:鼓励央企控股的、金融类及其它有条件的上市公司披露董事会出具的、经审计机构核实评价的公司内部控制自我评估报告。上海证券交易所2006年的《上市公司内部控制指引》规定:公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告。深圳证券交易所2006年的《上市公司内部控制指引》也有类似规定。但是上交所2006年和2007年的“关于做好上市公司年度报告工作的通知”都规定:本所鼓励有条件的上市公司披露董事会对公司内部控制的自我评估报告。“上交所关于做好上市公司2008年年度报告工作的通知”要求:在本所上市的“上证公司治理板块”样本公司、发行境外上市外资股的公司及金融类公司,应在2008年年报披露的同时披露董事会对公司内部控制的自我评估报告。深交所2007年和2008年的“关于做好上市公司年度报告工作的通知”都规定:本所上市公司应对内部控制的有效性进行审议评估,出具内部控制自我评价报告。由上述相关制度规定分析可以得出:沪市上市公司在2007年的年报中可以自行选择披露内部控制自评报告,属于自愿披露的性质;但是2008年“上证公司治理板块”样本公司必须披露内部控制自评报告,其他公司可以自愿选择。深市上市公司在2007年和2008年年报披露的同时应披露内部控制自我评价报告,属于强制披露的性质。

(二)理论分析

根据“信号传递理论”高质量的公司将通过信号传递降低信息不对称程度,便于外部投资者能够区分高质量与低质量的企业。充分的信息披露能够减少外部投资者对企业前景的不确定性,降低其所承受的信息风险。企业披露的信息越充分及时,投资者对企业的了解越深入,越愿意以较高价格购买公司的股票,公司的融资成本就越低。因此,内部控制制度完整性、合理性和有效性较高的企业越有动力自评披露内部控制自我评价报告。企业的印象管理行为是企业有意或无意地试图控制企业信息主要受众的印象的行为。操纵可读性是企业印象管理的一种手段(孙蔓莉,2004)。在传播语言学中,认为受众对信息的认知具有选择性,读者会选择阅读容易理解的内容而放弃陌生难懂的内容。在披露内部控制信息时,内部控制制度较完善的公司在内部控制自评价报告撰写时运用通俗易懂的语言,提高其可读性,以便投资者准确了解内部治理状况。内部控制制度存在很多缺陷的公司在内部控制自评报告中使用艰涩难懂的语言和更复杂的句子,增加其阅读的难度,从而掩盖内控治理中的不足。在中国内部控制自评报告的披露存在自愿和强制两种性质。根据信号传递理论和印象管理理论,相对于强制披露内部控制自评报告的企业而言,自愿披露内部控制自评报告的企业的内部控制自评报告的可读性水平更高。

三、研究设计

(一)可读性的衡量方法可读性的以下两部分构成。(1)长度(Length)。内控自评报告报告长度Length=log(NWords),内控自评报告长度越长,其可读性水平越低。年度报告长度以年度报告字数的对数衡量年度报告的可读性水平(如葛伟琪,2007;u,2008),年度报告越长,阅读障碍越大,信息处理成本越高,可读性水平越低。年度报告长度容易理解和计算,且适用于各种语言,可作为披露复杂性(尤其是披露的信息数量)的替代变量(Li,2008)。(2)Lix指数。Lix指数法由Bjomsson于20世纪60年代创建,Lix指数越大,可读性水平越低。其计算公式为:Lix指数=每句话的平均单词数+含6个以上字母的单词的比例。本文衡量内控自评报告的可读性借鉴Lix指数法,将计算公式修改为:lixl=平均每句话的字符数+lO个笔画以上的汉字数;总字符数;lix2=平均每句话的汉字数+1O个笔画以上的汉字数,总汉字数。Lix指数法需要计算内部控制自评报告的总字数以及每句话的字数和汉字的笔画数。由于内部控制自评报告中中文字符和英文字符都存在,本文在计算总字数时统计总汉字数和总字符数两种数值。根据统计出的结果,每个汉字的平均笔画数在7到8之间,大于等于10个笔画数的汉字占总汉字数的平均值为23.33%,因此将大于等于10个笔画数的汉字划分为复杂的汉字。lix指数值越大,可读性水平越高。单词长度和句子长度被证实是测试阅读难度的优良指标(Klare,1964),单词越长,读者认识的速度越慢,句子越长,读者记忆与理解所需的时间越长。

(二)样本函数来源本文选择沪市2007年至2008年作为本文的样本区间,本文需对比研究沪深两市的上市公司内控自评报告可读性的异同,故研究样本从2007年开始。由于IPO、配股、增股以及银行业的公司必须披露内控自评报告,为了避免披露性质的混淆,我们剔除了这些公司,样本筛选过程见(表2)。深市样本的选择以沪市样本为基础配对选取,具体配对方法如下:以行业和资产规模(资产总额)作为选择标准,根据2007年沪市披露内部控制自评报告的公司,选择深市相同行业的公司,然后从相同行业的公司中选择2007年资产规模相近的公司。若行业小类中的配对样本不够就从行业大类中选取。2008年的配对样本的选择同2007年。样本配对过程见(表3)。内部控制自评报告摘选自年度报告,年度报告来自巨潮网,内控自评报告可读性的数据通过计算机专业同学设计的程序计算得出。

四、检验结果分析

(一)沪市内控自评报告的可读性水平

(表4)报告了沪市全样本、自愿披露样本和强制披露样本的基本情况。结果表明,沪市全样本的内控自评报告的可读性水平处于难或非常难的水平。自愿披露组和强制披露的内控自评报告的可读性水平也都处于难或非常难的水平,但自愿披露组的内控自评报告可读性水平低于强制披露组,与我们之前的理论分析正好相反。原因可能在于:沪市出台的《关于做好上市公司2008年年度报告工作的通知》规定在本所上市的“上证公司治理板块”样本公司、发行境外上市外资股的公司及金融类公司。应在2008年年报披露的同时披露董事会对公司内部控制的自我评估报告;上证公司治理板块的公司的治理水平一般高于非治理板块的公司,内控相对较完善,管理层模糊披露内控信息以掩盖公司治理缺陷的动机较少;故相对于非治理板块的公司,上证公司治理板块的公司的内控自评报告的可读性水平较高。(表5)进一步比较了沪市自愿和强制两类披露性质的内控自评报告可读性水平。两类性质的内控自评报告的长度不存在显著差异,自愿披露的内控自评报告的长度大于强制披露的内控自评报告的长度。但是两类性质的内控自评报告的Lix指数存在显著差异,自愿披露内控自评报告的可读性水平与强制披露的内控自评报告的可读性水lixl(lix2)平均值之差为3.12(2.10),在1%(5%)水平上显著;中位数之差为3.18(1.79),在1%(5%)水平上显著。

(二)沪深两市内控自评报告可读性水平的对比分析

(表6)进一步比较了2007年沪深两市两类披露性质的内控自评报告可读性水平。两类性质的内控自评报告的长度和Lix指数均存在显著差异,深市内控自评报告的长度的均值和中位数都小于沪市的内控自评报告的长度,并且都在1%水平上显著。但是深市内控自评报告的Lix指数的均值和中位数都大于沪市的内控自评报告的长度,并且都在1%水平上显著。

(表7)进一步比较了2008年沪深两市两类披露性质的内控自评报告可读性水平。两类性质的内控自评报告的长度的均值不存在显著差异,沪市内控自评报告长度的中位数大于深市,并在10%水平上显著。但是两类性质的内控自评报告的Lix指数存在显著差异,自愿披露内控自评报告的可读性水平与强制披露的内控自评报告的可读性水lixl(lix2)平均值之差为-3.62(―2.90),在1%(5%)水平上显著;中位数之差为―2.16(―2.69),在5%(5%)水平上显著。(表6)和(表7)的对比结果表明,沪市自愿披露的内控自评报告的Lix指数均小于深市强制披露的内控自评报告的指数。与深市相比较,沪市自愿披露的内控自评报告的可读性水平更高。沪市自愿披露的内控自评报告的长度均大于深市强制披露的内控自评报告的长度,这表明,沪市的内控自评报告的可读性水平更低,但是沪市自愿披露的内控自评报告的信息更详细,也在一定程度上说明内控治理的水平更高。由于Lix比长度能更好的度量可读性水平,所以与深市强制披露的内控自评报告的可读性水平相比较,沪市的自愿披露的内控自评报告的可读性水平更高。(表8)进一步比较了沪、深两市强制披露的内控自评报告可读性水平的差异。两市强制披露的内控自评报告长度的均值不存在显著差异,沪市强制披露的内控自评报告长度的中位数大于深市强制披露的内控自评报告长度的中位数,并在5%水平上显著。但是两市的内控自评报告的Lix指数存在显著差异,深市披露内控自评报告的可读性水平与沪市披露的内控自评报告的可读性水lixl(lix2)平均值之差为7.50(5.93),在1%(1%)水平上显著;中位数之差为6.40(5.25),在1%(1%)水平上显著。相对于深市,沪市强制披露的内部控制自评报告更易读。由上述统计分析可以得出:针对沪市而言,强制性披露的内控自评报告的可读性水平高于自愿披露的内控自评报告的可读性水平;针对沪市(自愿)与深市(强制)比较而言,沪市的内控自评报告的长度大于深市的内控自评报告的长度,但是沪市的Lix指数显著小于深市的控自评报告的Lix指数;针对沪、深两市的强制性披露的内控自评报告而言,沪市的内控自评报告的长度大于深市的内控自评报告的长度,但沪市的Lix指数显著小于深市的控自评报告的Lix指数。本文同时运用MicrosoftWord计算字数和句子数得出可读性指数进行稳健性检验,得出的结论与上文基本一致,由于篇幅有限,不报告相关数据。

综上分析总体上内控自评报告的可读性水平总体上处于难或比较难的水平。沪市内部控制自评报告的可读性水平高于深市内部控制自评报告的可读性水平,与前文的理论分析相一致;沪市强制性披露的内部控制自评报告的可读性水平高于沪市自愿披露的内部控制自评报告的可读性水平,是由于沪市强制披露内部自评报告的公司是“上证公司治理板块”,其内部控制制度较一般公司更完善,执行更到位。

作者简介:

内部控制自评报告篇2

 一、内控工作开展情况

   (一)对于内控平台下发的风险点能及时完成相应的应对工作,按时反馈处理结果,规避执法风险。

   (二)可以利用内控平台的风险筛查功能,发现在征管过程中存在的问题,例如纳税人实名办税信息不全、税费种认定信息错误,并及时予以修正。      

    二、内控方面存在的主要问题

   (一)税源监控不到位,部分税源信息难以保证准确性、真实性和对称性。

   (二)信息化应用水平不高,计算机基础普遍较薄弱的一线税务干部要在很短的时间内学会系统的基本功能,对于内控系统中的风险指标难以结合到日常工作中。

    三、下一步拟采取的改进措施

   (一)强化风险管理,规范执法,加强对重点税源的监控,突出风险应对,降低执法风险,以风险管理为导向,进一步加强征管工作。

内部控制自评报告篇3

县社保局内部控制检查评估工作自查报告

市社保处:

根据省社保局《养老保险经办机构内部控制检查评估工作的通知》(湘社险函71号)文件精神,按照组织机构、业务运行、基金财务、信息系统控制、内部控制的管理和监督等五个方面的具体要求,我局不断细化内容,一一对比,详细进行了自查,具体情况报告如下:

一、组织机构控制

一是在进一步建立健全队伍管理各项规章制度的基础上,机构职能职责、内设机构、人员编制等方面进行了规范,明确业务经办、基金财务、信息系统等内部控制活动全过程的岗位设置及其职责范围。

二是各个股室之间的内部控制职责明确、业务信息传递、反馈、监控流程规范。各项待遇支付时,首先业务审核、分管领导复核,主要领导签字,做到了各个环节互相监督制约。

三是多年来,通过思想政治教育、党风廉政教育、业务培训、学历培训、规范业务流程、优化岗位设置等措施,切实加强了社保经办队伍尤其是领导班子的思想、作风和业务建设,有力地促进了领导班子及经办人员整体素质和管理水平的提高。

二、业务运行控制

一是社会保险登记、变更、注销、年检、养老保险待遇审核、待遇计算、基数核定、基数增减核定、补缴、缴费基数修改管理、欠费数据库管理、帐户管理、基金收入记账与对账管理、领取待遇资格认定、待遇支付、系统口令管理、系统软件维护管理、信息网络安全管理、数据库安全管理,稽核监督等主要岗位做到了各岗位之间分工明确,各负其责,相互制约。

二是积极推行政务公开,在我局“社保信息网”及公告栏上公开社保局服务工作内容和职责,办事依据、办事流程图、收费项目及标准、办理各项业务需提交的主要资料、违规违纪的投诉、追究办法及咨询电话等公诸社会,提高办事的透明度。

三、各种人事、文书、业务、财务档案及时留存、归档保管,做到建档有规定、调档有制度。原始档案、资料由专人管理,单位或个人查阅档案,须持介绍信或相应的证明。

三、基金财务控制

一是严格执行《社会保险基金财务制度》和《社会保险基金会计制度》和收支两条线的管理规定,分别设立财政专户、支出户,地税征收的养老保险费及时拨付财政专户,按月申请资金及时拨付到支出户,确保足额发放。对存入银行的沉淀或当期基金,按其存期照人民银行规定的同期城乡居民储蓄存款利率计算,所得利息并入了基金。

二是严格按照《社会保险基金财务制度》和《社会保险基金会计制度》等有关规定,真实准确地核算和反映基金的收入、支出和结余。

三是基金的预算管理严格按《社会保险基金财务制度》规定的内容、方法和程序编制、审批、执行,在分析本年度预算执行情况及测算下年度基金收支情况的基础上,编制基金下年度收、支预算,做到了认真、科学、合理。

四是基金的决算报表由财政部、劳动保障部统一设计、统一布置,我们根据统一规定的报表格式、时间和要求编制年度决算报表,认真填制、审核,确保有关数据一致。

五是按照管理权限、分级审核的原则,设立了原始资料审核、出纳、记帐、凭证审核、登帐、会计资料归档、会计负责人等财务岗位。

四、信息系统控制

开展网络技术信息安全检查,及时整改隐患。一是对本单位信息系统的帐户、口令等进行了一次专门的清理检查,并及时将软件更新和升级,消除安全隐患。二是对全局计算机按型号、出厂编号、生产日期重新统计备案,对所有接入局域网的设备进行了全面安全检查,对发现有操作系统存在漏洞、防毒软件配置不到位的计算机进行全面升级,确保网络安全。三是规范信息的采集、审核和流程,严格信息审核,确保所信息内容的准确性和真实性。

四是严格禁止办公内网与互联网相连,为了防止人为的或其它意外事件发生,使致信息系统的数据丢失,采取了异地备份等有效的措施,保证了各项基础信息的安全。

五、内部控制的管理和监督

目前我局稽核审计配备2名专职稽核人员,每年按照市局任务要求及社会保险稽核审计程序,编制稽审工作计划,对享受待遇人员组织实施稽核,通过查阅社会保险个人帐户手册、单位参保人员花名册、缴费基数核定表、核实参保时间、缴费年限等情况,核查职工个人档案和待遇资格条件证明原件,核实享受待遇标准,并不定期对各项业务进行抽查,及时反馈主要领导及上级业务主管部门。

虽然我局经办流程及程序根据《社会保险经办机构内部控制暂行办法》及相关文件规定建立和制定,但有些环节还是存在管理上的漏洞和制度缺陷。

六、整改意见或建议

一是优化队伍结构,推进机关效能建设。加强干部培养、考核和监督,加大轮岗交流和竞争上岗力度。加强思想政治建设,转变观念、转变职能、转变作风,全面提升经办队伍的综合素质和工作能力,构建学习型、服务型单位。

内部控制自评报告篇4

[中心词汇]内部控制评价;SOX法案;内部控制指引;美国;中国

随着现代企业的开展、证券市场的兴盛,作弊案件也随之添加,从而内部控制评价逐渐成为学术界关注的焦点。内部控制评价包括上市公司的自我评价和注册会计师的核实评价两局部,我国与之相对应的制度树立尚处于起步阶段。如何针对国情,剖析自创美国的阅历,树立起一套严密的内部控制评价制度,并使之有效运转,是促使上市公司树立健全内部控制制度,规避运营风险,保证资产平安,提高运营效率和效果,进而维护投资人利益亟待处置的效果。

一、美国的内部控制评价制度及其影响

(一)美国的内部控制自我评价制度

随着安然等财务欺诈案的频频曝光,2002年7月美国出台了经典的《萨班斯-奥克斯利法案》(以下简称SOX法案),完毕了内部控制信息披露方式之争,标志着内部控制评价进入了强迫性阶段。SOX法案404条款要求管理层对与财务报告相关的内部控制停止自我评价出具报告,并要求公司内部审计人员对管理层的评价停止认证和报告。

为了落实SOX法案,美国证券买卖委员会(SEC)采取了举动,于2002年10月第33—8138号提案,并于2003年8月最终规则,规则除了投资公司之外的上市公司都应在年度报告中包括一份关于内部控制的报告,并规则了报告的内容和格式,同时要求在年报中披露“注册会计师鉴证报告”。SEC规则与财务报告牢靠性有关的内部控制信息必需强迫性披露。

COSO于2004年9月在《内部控制一全体框架》的基础上提出了《企业风险管理-全体框架》(Enter-priseRiskManagementFramework,以下简称ERM),进一步拓展了内部控制内涵,如引入风险的概念,并将内部控制目的中的“财务报告牢靠性”扩展到了“报告牢靠性”,添加了“战略目的”,将内部控制评价要素从原来的“五要素”添加到“八要素”,这些打破更有力推进了内部控制评价的开展。COSO报告对内部控制框架研讨曾经比拟成熟,是企业管理应局和注册会计师对内部控制有效性评价的基础,不时为企业界停止内部控制管理和内部控制树立提供自创。

可见,SOX法案就内部控制自我评价提出强迫性要求、SEC就评价载体——自评报告内容与格式做出规则、COSO从概念界定人手界定了内部控制的外延并将评价要素扩展到八个,标志着美国的内部控制自我评价制度日趋完善。三者相互协调,亲密配合,构建出操作性较强的内部控制自我评价体系。

(二)美国的内部控制核实评价制度

内部控制自我评价报告作为投资决策的依据必需经注册会计师的鉴证。为维护投资人权益,美国注册会计师协会(AICPA)于2003年3月18日财务报告内部控制审计征求意见稿,规则群众公司审计包括财务报表审计和财务报告内部控制有效性审计两个局部,独立审计师需求对内部控制的设计有效性和执行有效性停止评价,并宣布审计意见;假设公司内部控制存在未更正的重要控制弱点,注册会计师不得宣布财务报告内部控制有效的无保管意见。

作为照应,美国上市公司会计师监管委员会(PCAOB)于2004年《评价准绳第2号——与财务报表评价协同停止的对财务报告内部控制的评价》,要求审计人员评价管理应局运用于评价主体内部控制的顺序方法的牢靠性,复核和运用一些管理应局和内审人员以及其他人员对内部控制评价进程取得的测试结果,或自己停止测试,以构成独立意见。该准绳为上市公司管理层关于财务报告内部控制有效性评价和注册会计师师评价公司的财务报表制定了要求并提供指引。2007年,PCAOB又出具了新的要求:《评价准绳第5号——与财务报表评价相整合的财务报告内部控制评价》,要求评价人员对内部控制评价采用风险导向的评价方法,将审计资源集中于能够招致严重错报风险的范围。

可见,美国的核实评价制度与自我评价制度相照应,仅限于与财务报表评价协同的财务报告内部控制评价。外延的特别限定可降低注册会计师的风险,添加核实评价的可操作性。这为世界各国遏制信息披露作弊,维护证券市场次第和投资人权益举动指明了方向,因此惹起普遍的关注。

二、我国的内部控制评价制度及其效果

美国作为资本市场最兴旺的国度,因其资本市场规则的严谨而历来被各国自创和效仿。SOX法案的出台催生了我国际部控制强迫性制度的发生,也促进了注册会计师对内部控制自我评价停止核实鉴证规则的出台。

(一)我国际部控制自我评价制度

1、证券买卖所的规则。2006年以前,我国关于内部控制的评价制度源于《地下发行证券信息披露规则》、《地下发行证券的公司信息披露内容与格式准绳》、《证券公司年度报告内容与格式准绳》和《初次地下发行股票及上市管理方法》,主要对证券、保险、商业银行等金融行业的内部控制评价提出要求,大局部上市公司处于自愿性评价阶段。随着中国航油(新加坡)有限公司事情及其他证券市场作弊和违规事情的发作,内部控制强迫性评价要求日益剧烈。上海证券买卖所于2006年6月5日了《上海证券买卖所上市公司内部控制指引》(以下简称《上交所内控指引》),于2006年7月1日末尾执行。其中,第三十二条规则:“公司董事会应在年度报告披露的同时,披露年度内部控制自我评价报告,并披露会计师事务所对内部控制自我评价报告的核实评价意见。”第三十三条规则:“公司内部控制自我评价报告至少应包括如下内容:内部控制制度能否树立健全;内部控制制度能否有效实施;内部控制反省监视任务的状况;内部控制制度及其实施进程中出现的严重风险及其处置状况;对本年度内部控制反省监视任务方案完成状况的评价;完善内部控制制度的有关措施;下一年度内部控制有关任务方案。”该指引明白要求上市公司在年报外独自披露内部控制自评报告,比美国的SOX法案的规则还要严厉。《上交所内控指引》虽规则了评价内容,但披露本钱较高,操作性差。同年,深圳证券买卖所也于9月28日了《深圳证券买卖所上市公司内部控制指引》(以下简称《深交所内控指引》),于2007年的7月1日执行。其中,第六十二条规则:“公司董事会应依据公司内部审计报告,对公司内部控制状况停止审议评价,构成内部控制自我评价报告。公司监事会和独立董事应对此报揭宣布意见。自我评价报告至少应包括以下内容:对照本指引及有关规则,说明公司内部控制制度能否树立健全和有效运转,能否存在缺陷;说明本指引重点关注的控制活动的自查和评价状况;说明内部控制缺陷和异常事项的改良措施;说明上一年度的内部控制缺陷及异常事项的改善停顿状况。”该指引要求上市公司随年度报告披露内部控制自评报告,并就自评报告内容做出规则,其披露项目及陈列顺序与《上交所内控指引》基本相反。

2、内部控制规范委员会的规则。为了一致我国的内部控制的树立并完善企业管理结构和内部约束机制,2006年7月15日财政部等五部委成立了内部控制规范委员会,于200§年6月结合了《内部控制基本规范》以及《企业内部控制运用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》征求意见稿(以下简称“配套指引”)。基本规范明白了内部控制目的、准绳、要素等实际基础,三个配套指引处置操作性效果。经过一年多的征求意见,2008年6月28日《企业内部控制基本规范》正式,于2009年7月1日在上市公司范围内执行,现又推延至2010年1月1日执行。该规范第四十六条规则:“企业应结合内部监视状况,活期对内部控制的有效性停止自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、顺序和频率,由企业依据运营业务调整、运营环境变化、业务开展状况、实践风险水平等自行确定。”为控制评价规范的树立奠定了基础。

(二)我国际部控制核实评价制度

《上交所内控指引》第三十三条规则,“会计师事务所应参照主管部门有关规则对公司内部控制自我评价报告停止核实评价。”《深交所内控指引》第六十三条规则:“注册会计师在对公司停止年度审计时,应参照有关主管部门的规则,就公司财务报告内部控制状况出具评价意见。”以上两个指引提出了对内部控制自我评价报告出具核实评价报告的要求。

注册会计师对内部控制出具核实意见的依据是2002年9月中国注册会计师协会的《内部控制审核指点意见》(以下简称《指点意见》)。其第二条规则:“本意见所称内部控制审核,是指注册会计师接受委托,就被审核单位管理应局对特定日期与财务报表相关的内部控制有效性的认定停止审核,并宣布审核意见。”第二十九条规则:“注册会计师应当复核与评价审核证据,构成审核意见,出具审核报告。

财政部2006年公布的《中国注册会计师审计准绳第1121号——了解被审计单位及其环境并评价严重错报风险》(以下简称《第1121号准绳》),其中第四十五条规则:“注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型,思索招致严重错报风险的要素,以及设计和实施进一步审计顺序的性质、时间和范围。”第四十六条规则:“内部控制是被审计单位为了合理保证财务报告的牢靠性、运营的效率和效果以及对法律法规的遵守,由管理层、管理层和其他人员设计和执行的政策和顺序。’’第四十七条规则:“内部控制包括下列要素:控制环境;风险评价进程;信息管理系统与沟通;控制活动;对控制的监视。”

《指点意见》就注册会计师核实评价提出强迫性要求;《第1121号准绳》就评价内容做出规则,并界定了内部控制的概念及其要素。

(三)简明评述

美国的证券市场成熟,制度健全,其内部控制评价阅历了从自愿性到强迫性披露的进程,相关法规和制度曾经很丰厚和完善,各项制度协调分歧,相互配合。SOX法案刚刚出台,SEE、COSO、CICPA、PCAOB等部门都纷繁做出照应,支持SOX法案的落实,并在实际上与SOX法案坚持分歧。我国受美国际部控制评价制度开展的影响,出台了强迫性披露规则,末尾了内部控制评价规范的树立,出台了注册会计师核实评价规则。但是,面对我国社会各界,如公司管理层、注册会计师和投资人对内部控制认同度低;证券市场起步晚,时间短,全体规模小,结构不完善的理想,上述内部控制评价制度显然站位过高,接轨过快,曾经引发了内部控制评价和披露方式化,过于复杂,以及制度并未失掉有效执行等效果。笔者以为缘由如下:

1、评价规范滞后。美国的SOX法案出台后,SEE立刻制定了配套的评价规范。我国两个买卖所内部控制指引出台两年后才公布《内部控制基本规范》,三个配套指引尚在征求意见;就《内部控制基本规范》而言,原定2009年7月1日执行,现又推延至2010年1月1日起执行。评价规范的缺失使上市公司元所适从。

2、评价制度之间不协调。首先,《内部控制基本规范》、《上交所内控指引》、《深交所内控指引》及《内部控制审核指点意见》对内部控制概念界定、评价主体、自评报告审核主体各有不同的规则;内部控制要素等的规则,《内部控制基本规范》、《上交所内控指引》和《深交所内控指引》也各不相反;《上交所内控指引》和《深交所内控指引》要求注册会计师对内部控制自我评价报告停止鉴证,而《内部控制基本规范》却没有明白说明。其次,2006年《上交所内控指引》要求上市公司于2006年7月1日起执行强迫披露内部控制评价报告,但是在2008年1月《关于做好上市公司2007年年度报告任务的通知》中,只是鼓舞有条件的上市公司同时披露董事会对公司内部控制的自我评价报告和审计机构对自我评价报告的核实评价意见,两者前后矛盾。

3、注册会计师核实评价范围大,从业风险很难规避。美国的核实评价制度仅就与财务报告相关的内部控制做出核实评价,而我国在内部控制自我评价的相关制度中,把内部控制评价的范围界定为狭义的视角:包括了公司战略层面、运营层面、财务报告层面及恪违法律层面。而在注册会计师内部控制核实评价制度规则上与内部控制自我评价制度相对应,范围逾越了财务报告内部控制范围。假设依据本钱效益准绳,把关注的重点放在与财务报告相关的内部控制上,出具的鉴证报告将带来审计合规性与核实评价完整性的质疑,风险在所难免。

三、完善我国际部控制评价制度的意见

针对上述效果,笔者以为应采取以下措施完善我国际部控制评价制度。

第一,尽快出台并实施内部控制评价规范。目前上市公司内部控制自我评价报告披露方式多种多样,评价依据也存在差异,信息运用者不能识别内部控制状况的优劣,无法做出合理的判别。因此,现已的《内部控制基本规范》的三个配套指引的征求意见稿应尽快完善出台,规范自我评价报告,为投资者决策提供依据。

内部控制自评报告篇5

关键词:内部控制 信息披露 统计分析 对策建议

一、引言

从《上市公司内部控制指引》到《企业内部控制基本规范》再到《企业内部控制配套指引》的,我国内部控制规范体系已基本形成。内部控制建设从无法可依到有规可循,从自愿披露到强制披露,从简单披露到全面披露,内部控制规范体系从试点企业向全部主板控股公司推广,我国上市公司全面内部控制的高潮已然到来。

不可否认,我国上市公司内部控制建设工作经过几年的发展取得了巨大成绩,特别是2012年强制内部控制规范的实施,越来越多的上市公司加入内部控制规范体系大军。内部控制规范的实施效果如何?存在哪些问题和不足?内部控制规范体系的实施是否提升了上市公司内控信息披露的质量?这些都成为监管部门、上市公司和广大投资者关注的焦点。因此,对上市公司内部控制实施现状进行统计、分析,无疑是必要的。本文对2012年新疆上市公司内部控制进行分析研究,揭示内部控制存在的问题,并提出相应的政策建议,以期对新疆上市公司内部控制优化改进提供借鉴。

二、样本选取与数据来源

新疆作为西部地区上市公司数量最多的省份,截至2012年12月31日共有上市公司39家,本文以此为样本数量。

本文数据来源于上市公司公开披露的年报、内部控制评价报告、内部控制审计报告及其他公开资料。披露情况以能否在深、沪交易所或巨潮咨讯网上查找到内部控制评价报告、内部控制审计报告为准。数据截止日期为2012年4月30日。

三、新疆上市公司内部控制评价披露情况

(一)内部控制评价报告披露情况

1.内部控制评价报告总体披露情况。根据统计,39家上市公司中,有36家上市公司在2013年4月30日前披露了内部控制评价报告,披露比例为92.31%;3家未披露内部控制评价报告,占比7.69%。其中沪市21家企业中有19家披露了内部控制评价中告,占比为90.48%,深市18家企业中有17家披露了内部控制评价报告,占比为94.44%,仅有1家企业未披露。在36家披露内部控制评价报告的上市公司中,内部控制评价结论均为有效,占比为100%。

2.按是否强制实施分类的内部控制评价报告披露情况。2012年,新疆上市公司纳入强制实施分类的上市公司为26家,其中国有控股25家,境内外同时上市1家。经统计,26家上市公司中,有24家公司在2013年4月30日前披露了内部控制评价报告,占比为92.31%。非强制实施的公司13家中有12家公司披露了内部控制评价报告,占比为92.31%。

(二)内部控制评价缺陷的披露情况

1.内部控制评价缺陷标准的披露情况。在36家披露了内部控制评价报告的上市公司中,13家披露了内部控制缺陷的认定标准,占比36.11%,23家未披露内部控制缺陷认定标准,占比63.89%。其中纳入强制实施范围同时披露了内部控制评价报告的24家上市公司中,9家披露了内部控制缺陷认定标准,占比37.5%,未纳入强制实施范围的12家上市公司有4家披露了内部控制缺陷认定标准,占比33.33%。

2.上市公司内部控制缺陷内容的披露情况。36家披露内部控制评价报告的上市公司中,有28家上市公司披露了自身存在内部控制缺陷,占比为77.78%。其中,1家企业披露了存在内部控制重要缺陷和一般缺陷,2家公司披露了存在内部控制一般缺陷,全部公司均无重大缺陷。共披露内部控制缺陷54个,其中重要缺陷3个,占比5.56%;一般缺陷51个,占比94.44%。

四、新疆上市公司内部控制审计披露情况

(一)内部控制审计报告披露整体情况

2012年新疆上市公司中有26家披露了内部控制审计报告,占比为66.67%;13家未披露内部控制审计报告,占比33.33%。其中沪市21家企业18家中披露了内部控制审计报告,占比为85.71%,深市18家企业中有8家披露了内部控制审计报告,占比为44.44%,10家企业未披露内部控制审计报告。

(二)按是否强制实施分类的内部控制审计报告披露情况

2012年,强制实施分类的上市公司为26家,据统计,有22家公司在2013年4月30日前披露了内部控制审计报告,占比为80.77%,4家公司未披露内部控制审计报告,占比为19.23%。非强制实施的公司13家中5家公司披露了内部控制审计报告,占比为38.46%。8家公司未披露内部控制审计报告,占比为61.54%。

(三)按板块分类的内部控制审计报告披露情况

根据上市板块对上市公司分类,统计发现,27家主板上市公司中有20家披露了内部控制审计报告,披露比为74.07%;9家中小板上市公司有6家披露了内部控制审计报告,披露比为66.67%;创业板上市公司3家均未披露内部控制审计报告。

(四)按审计结论分类的内部控制审计报告披露情况

在26家披露内部控制审计报告的上市公司中,内部控制审计结论均为标准无保留有效审计意见,审计结论100%为有效。未见保留意见及否定意见审计报告。

五、存在的问题

(一)内部控制信息披露中存在的问题

1.内部控制信息披露依据和格式各不相同。内部控制评价报告的名称和内部控制评价依据复杂多样。首先,内部控制评价报告的名称五花八门:内部控制评价报告、内部控制自我评价报告、内部控制的自我评价报告、内部控制及自我评价报告、关于内部控制的自我评价报告等。其次,内部控制评价报告的依据也各不相同,有:《企业内部控制基础规范》、《企业内部控制配套指引》、《企业内部控制应用指引》、《企业内部控制评价指引》、《公司法》、《上市公司治理准则》、《证券公司内部控制指引》、深圳交易所《上市公司内部控制指引》、《股票上市规则》、《主板上市公司规范运作指引》、《中小板上市公司内部审计工作指引》、《创业板上市公司规范运作指引》、《关于做好2012年度报告披露工作的通知》等。内部控制评价报告的依据不同内容也不相同,致使企业内部控制信息的可比性也大大降低。

2.内部控制信息披露的准确性和及时性问题。2012年新疆上市公司纳入强制实施范围的上市公司为26家,其中2家公司只披露了内部控制评价报告,未披露内部控制审计报告;2家公司既未披露内部控制评价报告,也未披露内部控制审计报告。这些公司未履行向投资者披露内部控制披露信息的责任和义务。

在“中国上市公司内部控制指数研究”报告中,2012年新疆上市公司内部控制评价报告披露状况在全国32个省区中排名23位,整体水平不高。但统计分析发现,新疆上市公司大多数建立了内部控制制度,对内部控制设计、执行、监督等进行了披露并得出有效的结论,这与指数研究报告的结论有较大差异,说明新疆上市公司内部控制自我评价准确性还有待提升。

3.内部控制缺陷认定标准的披露比例和披露质量不高。2012年新疆36家上市公司中,披露内部控制缺陷认定标准的公司仅13家,占比为36.11%。且在这些公司中,对缺陷披露时避重就轻,仅披露“还存在一般缺陷”,但具体有几项,表现在哪些方面,基本未披露。在内部控制评价报告中所有的公司均不存在“重要”缺陷。对内部控制缺陷认定标准的模糊不清使得内部控制缺陷信息的准确性不高。

(二)内部控制体系建设中存在的问题

1.内部控制评价范围的问题。统计发现,新疆上市公司在内部控制评价范围方面普遍存在“流于形式”现象。对上市公司在控股股东、关联交易、分、子公司管控、担保、对外投资等易出现内部控制重大缺陷问题方面,几乎未进行披露。在对内部控制建设实施范围描述时泛泛而谈“内部控制范围涉及公司本部,各事业部,分、子公司等,实施范围做到全覆盖”,但对分、子公司如何管控并未进行信息披露。

2.风险评估工作薄弱,需要进一步加强。风险控制是内部控制的重要环节。财政部《企业内部控制评价报告模板》明确要求,内部控制评价范围涵盖公司及所属单位的各种业务和事项,重点关注高风险领域,并列示确定的“十大”风险。然而,2012年新疆上市公司的内部控制评价报告未列示风险项目,也未制定相关的应对措施。可见,上市公司的风险评估工作未得到重视,仍处于起步阶段。

3.内部控制信息化有待进一步提高。本文发现,新疆上市公司在实施内部控制体系建设及评价过程中,信息化程度不高,信息化产品的采纳和应用水平依然很低。上市公司在内部控制建设和内部控制评价中还停留在手工操作阶段,对内部控制的效率将产生不利影响。

六、对策建议

2012年,新疆上市公司内部控制评价报告、内部控制审计报告的披露数量及比例都在增加,内部控制信息披露的质量也在不断提高。然而上市公司内部控制信息披露及体系建设依然面临挑战,对此,本文提出以下对策建议,以期提升上市公司内部控制整体质量。

(一)加强制度建设,梳理内部控制相关规范,统一信息披露格式

上市公司在内部控制体系建设和内部控制信息披露过程中遵循的标准多样化,是导致上市公司内部控制体系建设不规范,内部控制评价报告和内部控制审计报告格式混乱的主要原因。为减少由此引发的负面影响,提高内部控制报告的可比性,监管机构应梳理内部控制规范,对内部控制披露内容和形式做出统一要求,避免上市公司在内部控制体系建设和信息披露中的选择性和随意性,为上市公司全面实施内部控制规范体系建立标准统一的制度奠定基础。

(二)强化内部控制缺陷披露机制,提高内部控制缺陷披露质量

内部控制缺陷数量是衡量上市公司内部控制有效程度的重要指标。从上市公司缺陷披露情况看,内部控制缺陷标准不明确、内部控制缺陷等级含糊、内部控制缺陷整改措施不到位依然是上市公司在内部控制缺陷披露中存在的主要问题。进一步完善内部控制缺陷披露机制,明确内部控制缺陷的数量和质量标准,制定内部控制缺陷整改措施,是提高内部控制有效性的重要举措。

(三)扩大内部控制体系建设范围,保证实现内部控制目标

对易出现内部控制重大和重要缺陷的业务,上市公司在内部控制评价时应更加重视和强调。另外,上市公司在重视自身内部控制体系建设工作的同时,对分、子公司内部控制体系建设工作也不能忽视。甚至分、子公司有时还是发生内部控制重大缺陷的重灾区,对此上市公司应监督指导其建立完善的内部控制制度,以保证内部控制目标的全面实现。

(四)加强信息化建设,推进上市公司信息化建设水平

内部控制体系的建立,涉及到企业的每项业务、每个部门和岗位。要实现内部控制的有效落地,加大信息化产品的采纳和应用程度,通过信息系统对内部控制进行集成、转化和提升后形成的信息管理平台,是降低内部控制实施成本,提升内部控制的效率和效果的有效途径。

参考文献:

1.杨有红,陈凌云.2007年沪市公司内部控制自我评价研究――数据分析与政策建议[J].会计研究,2009,(6).

2.卢锐,柳建华,许宁.内部控制、产权与高管薪酬业绩敏感性[J].会计研究,2011,(10).

3.周守华,胡为民,林斌,刘春丽.2012年中国上市公司内部控制研究[J].会计研究,2013,(7).

4.胡为民.中国上市公司内部控制报告(2012)[M].北京:中国工业出版社,2012.

内部控制自评报告篇6

一、文献综述

(一)国外研究现状 国外学者对内部控制信息披露问题的研究主要侧重于对上市公司内部控制信息披露的动机、披露的效果、执行萨班斯――奥克斯利法案的情况和影响披露内部控制缺陷的因素。Weili Ge和McVay(2005)对2002年萨班斯――奥克斯利法案颁布后261家上市公司进行实证研究发现,上市公司披露内部控制重大缺陷与上市公司的业务复杂性正相关,与公司规模和盈利能力负相关。Hollis 、Collins等(2006)发现上市公司在按照SOA法案404条款进行披露时存在很多问题,如,组织结构的临近调整,会计风险暴露较多,内部控制投入较少和由于不披露内部控制问题而导致较多的审计人员辞职等。Andrew J.Leone(2007)对在年度报告中披露内部控制缺陷的公司进行了研究,发现内部控制信息披露的影响因素有组织结构复杂性、存在重要组织变化以及在内控系统方面的投资等特质,同时提供了一些相关证据。

(二)国内研究现状 国内学者对内部控制信息披露问题的研究主要有关于上市公司内部控制信息披露的动机的讨论、对内部控制信息披露现状的研究、内部控制信息披露有效性的研究、内部控制信息披露的执行成本问题、内部控制信息披露的影响因素等。杨胜雄、李翔和邱冠华(2007)选取了2000~2003年910家在市的A股上市公司作为样本考察上市公司对内部控制的重视程度,结果发现:上市公司自身对内部控制的重视程度普遍较低、审计师对被审计单位的内部控制关注强度较低、上市公司的内部控制尚未得到投资者应有的认同。杨有红和汪薇(2008)以2006年在沪市公开发行的848家上市公司为样本,对其年报中披露的内部控制信息进行描述性统计与分析,结果发现:尽管证券交易所强制要求上市公司对外披露内部控制信息,但该要求并未被所有上市公司遵守,仍然是那些财务报告质量较高的公司更愿意披露内部控制信息,而且所披露的信息较混乱,缺乏可比性。梁杰和赵(2009)发现中小企业板块上市公司对内部控制信息披露的执行情况存在的问题主要体现在:一些上市公司内部控制信息披露中存在较大的选择性和随意性;不少中小企业板块上市公司监事会报告存在严重的形式主义;信息披露制度中某些内容不适合该板块。

二、浙江民营上市公司内部控制信息披露分析

在《企业内部控制基本规范》之前,上海证券交易所曾于2006年6月5日出台了《上海证券交易所上市公司内部控制指引》,要求对上市公司内部控制信息进行披露。《上海证券交易所上市公司内部控制指引》强制要求上市公司董事会在披露年报的同时披露年度内部控制自我评估报告以及注册会计师对内部控制评估报告的评价意见。证监会的《公开发行证券公司信息披露内容与格式准则》的第二号――《年度报告的内容与格式》(2008年修订)规定,会计师事务所应对公司内部控制进行测试和评价,出具内部控制专项审核报告。报告应对公司内部控制的有效性进行客观评价,并提出相应的改进建议,对公司内部控制是否存在重大缺陷应有明确的评价意见。

(一)浙江民营上市公司内部控制自我评估报告评价情况分析上海证券交易所的《关于做好上市公司2008年年度报告工作的通知》中规定上市公司应当按照财政部、证监会等部门联合的《企业内部控制基本规范》和《上市公司内部控制指引》的规定,参照公司内部控制自我评价披露要求,对公司内部控制的有效性进行审议评估,做出内部控制自我评价,并以单独报告的形式在披露年报的同时在指定网站对外披露。内部控制自我评价报告须经董事会审议通过,公司监事会和独立董事应当对公司内部控制自我评价报告发表意见,并鼓励公司聘请审计机构就公司财务报告内部控制情况出具鉴证报告。

从中可以看出,上海证券交易所鼓励有条件的民营上市公司披露公司内部控制的自我评估报告和审计机构对内部控制自我评估报告的审核意见。但是,对于内部控制该披露哪些具体内容及格式,这两个文件都没有做明确的规定。

经统计,沪市浙江民营上市公司2007年和2008年披露年报的公司共有32家,2007年披露内部控制自我评估报告共有0家,2008年披露内部控制自我评估报告共有10家,具体情况见表1。32家公司在年报中都未披露注册会计师对内部控制自我评估报告发表评价意见。

从表1中可以看出,披露内部控制自我评估报告的公司数量是在不断增加的,由2007年的0家增加到2008年的10家,并且2008年披露内部控制自我评估报告的公司占总披露年报公司的31.25%。其中有两家公司,虽然在2008年的公司年报中指出会披露内部控制自我评估报告,但是在年报的附件中没有找到这两个公司的自我评估的报告。从总体趋势上来看,浙江民营上市公司中具备内部控制自我评估条件且愿意进行内部控制自我评价的公司的数量在快速增加。本文认为有两个原因,其一是因为这几年公司高层管理人员充分认识到公司要做大做强需要加强和完善内部控制的理念及意识到内部控制在公司治理中的巨大作用,从而加快建立和健全公司的内部控制;其二是政府和证券监督机构更加重视对公司内部控制的监管,从外界给予公司压力,促使他们不断改进。

浙江民营上市公司2008年年报中披露内部控制自我评估报告的这10个公司中和未披露内部控制自我评估报告的22个公司,都没有披露注册会计师对内部控制自我评估报告的审核意见。本文认为最主要的原因是成本因素。因为要让注册会计师对内部控制自我评估报告出具审核意见,需要花费更多的财力和人力,同时披露审核报告带来的经济效益又不太确定。所以,对于经济基础相对国企比较薄弱的浙江民营上市公司来说,不愿意去进行审核。

从上述表述中可以看出,浙江民营上市公司2008年年报中披露内部控制自我评估报告公司比2007年年报数量多了一些,但是大于2/3的企业还是没能或者不愿意披露内部控制自我评估报告,并且所有的内部控制自我评估报告没有经过注册会计师的核实。

杨有红教授曾对2007年沪市公司年报披露内部控制自我评估报告情况进行研究。他发现,在2006年披露年报的848家公司中披露进行内部控制自我评价并披露自我评估报告有30家;2007年披露年报的862家公司中披露进行内部控制自我评价并披露自我评估报告有144家。2007年比2006年增加了114家,占当年披露年报公司的比例由2006年的3.5%上升到2007年的16.7%。从这里可以发现中国上市公司具备内部控制自我评估条件且愿意披露自我评估的公司数量在快速增加。浙江民营企业的情况也顺应了这一发展趋势,2008年披露内部控制自我评估报告的公司显著多于2007年,呈递增趋势。虽然浙江民营上市公司披露自我评估报告起步比较晚,但是发展速度很快,披露内部控制自我评估报告公司数量占总数的比重迅速增大。沪市公司2006年和2007年内部控制自我评估报告具体情况见表2。

(二)浙江民营上市公司内部控制信息披露执行情况分析 在《公开发行证券的公司信息披露内容与格式准则》第二号《年度报告的内容与格式》中,要求在公司治理结构一节中披露以下内容:生产经营控制、财务管理控制、信息披露控制、检查监督方面等内部控制制度的建立和健全情况,包括内部控制制度建立健全的工作计划及其实施情况、内部控制检查监督部门的设置情况、董事会对内部控制有关工作的安排、与财务核算相关的内部控制制度的完善情况。因此,年报中内部控制信息披露可以从公司治理结构这一部分中找到。本文对2008年沪市浙江民营上市公司年报进行统计分析得出,32家企业都在年报公司治理部分中不同程度披露内部控制信息:有11家公司严格按照第二号准则的要求对内部控制进行了非常详细的披露,占总数的34.4%。这11家中有1家公司已经按照《企业内部控制基本规范》的要求进行披露,其他10家公司也明确指出2009年年报会按照《企业内部控制基本规范》的要求来披露;一般陈述披露的有16家公司,占总数的50%。他们都是概括性描述或者对内部控制组成部分进行简单介绍;简单披露的公司数量不多,只有5家,只占总数的15.6%。他们一般只用一、两段话介绍内控制度。具体情况见表3。

年报内部控制信息披露的还有一个位置是监事会报告。在《公开发行证券的公司信息披露内容与格式准则》第二号《年度报告的内容与格式》中要求监事会对公司依法运作情况发表独立意见。即包括公司决策程序是否合法,是否建立完善的内部控制制度,公司董事、高级管理人员执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为。笔者经统计发现32家公司的年报,有17家公司的监事会发表了独立意见,有15家公司的监事会未发表独立意见。监事会对公司内部控制发表独立意见时一般都进行这样的表述,“建立了较为完善的内部控制制度”或者“内部控制制度比较完善”,很少涉及公司内部控制缺陷具体问题的表述。在年报公司治理结构部分和监事会报告中都披露的公司有17家,占总数的53.1%。详细情况见表4。

在董事会报告中对公司发展未来展望中披露要加强内部控制的公司有5家;由于2008年是受金融危机影响的一年,也是对公允价值计量争议最多的年份,所以在年报中披露与公允价值计量相关的内部控制制度信息的公司有3家;在当年对内控进行专项治理并且对其进行披露的公司共有3家。

(三)浙江民营上市公司内部控制信息披露存在的问题通过对沪市上市的32家浙江民营企业2008年年报中内部控制信息披露状况的统计分析,可以推断沪市上市浙江民营企业内部控制信息披露中存在的不足主要表现在:

(1)内部控制自我评价的意识不强。从内部控制自我评估报告披露方面来看,约三分之二的公司没有披露内部控制自我评估报告,只有三分之一的公司选择披露内部控制自我评估报告,并且所有的沪市浙江民营上市公司都没有披露会计师事务所的核实评价。这表明公司内部控制自我评价的意识不强。

(2)强制性披露规定遵循情况不理想。从浙江民营上市公司在年报中披露内部控制信息披露情况看,只有三分之一的公司严格按照规定细致地披露;还有1/5的公司粗略地介绍公司内部控制制度的情况,并没有按照规定项目进行披露。对内部控制的完整性、合理性和有效性的披露各不相同,缺少可比性。

(3)监事会对内部控制重视不够。与在年报公司治理结构部分内部控制信息披露32个公司全部披露相比,在监事会报告中,公司监事会对公司内部控制的评价披露情况不是很乐观,一半以上的公司没有披露监事会的评价意见,很少涉及公司内部控制缺陷具体问题的表述。

三、浙江民营上市公司内部控制信息披露改进建议

根据前文的分析,本文认为应从以下方面逐步完善浙江民营企业内部控制信息的披露:

(一)对浙江民营上市公司的建议具体如下:

(1)严格按照《企业内部控制基本规范》规定进行披露。浙江民营上市公司由于其自身条件的制约,内部控制完善程度低。而《企业内部控制基本规范》为公司内部控制的构建提供了明确完整的框架,有助于公司建立和健全内部控制。所以,浙江民营上市公司要按照基本规范的要求建立和完善内部控制体系,严格规范、详细披露内部控制信息,增加信息的有用性和可比性,增加投资者对公司的信心。通过规范内部控制信息披露消除资本市场上不同的信息使用者占有信息的差异,使我国的资本市场更有效率。

2008年是一个承前启后,具有过渡意义的一年。承前是因为在2008年的6月份已经发表《企业内部控制基本规范》,但该年年报中内部控制信息披露还是按《上海证券交易所内部控制指引》要求披露。启后是要求企业以后要按内部控制基本规范来执行。浙江32个民营上市公司中已经有一个公司按照规范的要求来披露。还有10个公司在年报中明确指出2009年年报将会按照基本规范的要求来披露内部控制信息。这是一个好的现象,说明有些浙江民营上市公司也具备了内部控制信息详细披露的条件。

(2)管理层要高度重视内部控制自我评估报告披露。内部控制信息披露中重要的披露方式是内部控制自我评估报告的披露。内部控制自我评估报告能够详细说明公司内部控制设计和执行情况,是公司增强透明度、降低与投资者信息不对称的重要方式。通过内部控制自我评价可以大大提高内部控制的有效性。虽然很多浙江民营上市公司在年报公司治理部分中非常详细地披露了公司内部控制的情况,但是最后没有出具内部控制自我评估报告。因此,浙江民营上市公司的管理层要重视公司内部控制自我评估及披露。如果管理层非常重视公司的内部控制,那么员工对内部控制的建设就会有很强的积极性。

(3)公司内部机构要加强对内部控制信息披露的监督。强制性披露规定遵循情况不理想的原因可能是监管力度不到位。公司内部机构要加强对内部控制信息披露的监管。公司内部的董事会在负责公司内部控制的建立和健全及有效实施的同时重视内部控制信息披露,对内部控制信息披露进行监督。董事会下设的审计委员会在保证公司有关财务报告内部控制有效性方面扮演着关键角色。审计委员会审查内部控制,监督内部控制的有效实施和内部控制自我评价情况。在年报信息披露中要发表对公司内部控制状况的意见。内部审计机构要经常监督检查内部控制各项制度的实施。对监督检查中发现的内部控制缺陷要及时向董事会报告。监事会对实施内部控制进行监督,并且在年报信息披露中发表独立意见。

(4)聘请注册会计师对公司的内部控制自我评估报告进行审核。根据成本效益原则,有条件的公司要聘请注册会计师对公司的内部控制自我评估报告进行审核。内部控制自我评估报告通过注册会计师的审核,可以增强内部控制信息披露的可靠性。并且公司对注册会计师审核中发现内部控制的缺陷进行改进后,可以完善公司的内部控制制度。

(二)对证监会、交易所及相关部门的建议主要有:

(1)制定统一的内部控制信息披露要求。现有规范没有对内部控制信息披露的内容和格式做统一的规定,所以,上市公司对内部控制信息披露存在很大的随意性和选择性,很多公司选择简要披露而不是详细披露。因此,建议有关部门对内部控制信息披露的格式及内容详略程度做出明确规定,并提供可参考的信息披露样本。这样可以降低内部控制信息披露的选择性,提高信息的可比性。

(2)制定注册会计师对内部控制鉴证业务的执业标准。为了保证公司内部控制自我评估报告的真实性和可靠性。注册会计师要对其进行鉴证服务。但是,目前还没有一项准则要求注册会计师应该如何进行鉴证和评价。所以,建议有关部门尽快规范评价标准,增加注册会计师对内部控制自我评估报告鉴证的准确性,增强内部控制信息的有效性。

(3)证监会和交易所要加强对内部控制信息披露的监督。证监会和交易所要引导企业按照《企业内部控制基本规范》的要求,监督公司对内部控制信息规范披露。同时证监会要建立和健全处罚机制,对违反强制性信息披露规定的企业,加大经济处罚的力度来提高违约成本。

内部控制自评报告篇7

关键词:内部控制;信息披露;交叉上市公司

中图分类号:F840文献标识码:A

文章编号:1000176X(2013)09007606

一、引言

根据我国《企业内部控制基本规范》及其配套指引的要求,境内外同时上市的公司要披露其2011年的内部控制评价报告和内部控制审计报告。我国从沪深两市各自颁布内部控制有关规定,到沪深两市统一了内部控制披露规定;从境内外上市公司率先披露内部控制,到沪深主板上市公司全部披露内部控制;从企业自我评价内部控制,到会计师事务所对内部控制出具审计报告。这一系列变化实现了分步骤、双维度来加强企业内部控制建设。

境内外同时上市公司是指同时在境内和境外的两个或两个以上的证券市场上市的公司,如分别在我国内地和我国香港证券市场上市的公司;交叉上市公司是指在两个或两个以上的证券市场上市的公司,如分别在我国A股和B股市场上市、在我国和美国证券市场上市。因此交叉上市公司口径更大些,包含了境内外同时上市公司。境内外同时上市的公司受到境内外不同证券市场的监管,信息披露方面要求的更严格些。以境内外同时上市公司为试点披露内部控制的评价报告和审计报告,既可以使内部控制建设方面有一个良好的开端,也可以通过树立先进的内部控制榜样,带动国内全部主板上市公司有效地开展内部控制建设工作。因此这批内部控制“双报告”不仅是我国内部控制发展史上的新成果,而且也是对我国颁布的内部控制相关规定和企业对其应用情况的实践检验。

二、内部控制信息披露相关文献综述

舞弊案件成了制度演变的导火索[1]。内部控制研究主要以美国SOX法案的颁布为分水岭,而且特别在SOX法案颁布之后,国外学者[2]-[5]对内部控制评价、内部控制审计、内部控制缺陷和内部控制披露等问题展开深入研究,特别是关于内部控制重大缺陷研究的文章较多。

国内学者对内部控制披露的最新研究主要集中在对上市公司披露内部控制信息的行为及其影响,大多数研究所选取的数据均为2010年之前的数据。方红星和孙翯[6]等研究发现我国交叉上市保险公司能够按照证券交易所的规定合规披露内部控制信息,此类公司披露内部控制信息的详细程度和披露的质量与证券交易所和其他监管机构提出的要求的详细程度和严格程度是基本一致的。邱冬阳等[7]选取2006—2008年深圳中小板市场IPO公司内部控制信息披露状况及其对应的超额收益率,研究发现IPO公司上市首日开盘价对于明确的内部控制信息披露有显著的正向反应。陈宋生和郭京晶[8]等以沪市样本期间从2005—2008年,深市采用2007—2008年数据,研究发现内部控制信息披露引致市场正面反应,累计异常超额收益为正,强制批露与自愿披露内部控制信息相比,强制内部控制信息披露获得的超额收益率更高。张晓岚等[9]选取2007—2010年数据研究发现内部控制信息披露质量越高的公司,经营业绩越好。张然等[10]以2007—2010年期间沪深主板上市公司数据为对象,研究发现披露内部控制自我评价报告的公司资本成本相对较低,且进一步披露内部控制鉴证报告的公司资本成本更低。

随着我国《企业内部控制基本规范》及配套指引的颁布,内部控制信息披露有了新的规定,即从2011年开始我国境内外同时上市的公司要披露其内部控制评价报告及审计报告。目前这批双报告的披露是内部控制理论与实践的最新信息,本文利用这些最新信息研究内部控制信息披露的最新状况。

三、内部控制信息披露总体情况及分析

(一)样本选择

本文主要研究目的是通过分析2011年内部控制评价报告与内部控制审计报告,掌握其在实践中的披露现状及内部控制相关指引的应用情况。因此样本选择的是在境内外同时上市的公司,境内范围选择的是在我国内地沪深两市主板上市的公司,境外范围选择的是在我国香港联合交易所上市的公司,即A+H股公司。数据来源于上海证券交易所、深圳证券交易所和巨潮资讯网,通过手工整理取得2011年70家上市公司的内部控制评价报告与内部控制审计报告。样本中沪市上市公司有61家,深市上市公司有9家。样本中没有剔除ST北人、ST科龙和*ST东电,因为这些数据对本文研究对象不会造成极端影响,恰好相反可以反观这类公司的内部控制信息的披露状况。

(二)内部控制评价报告披露情况及分析

1从内部控制评价报告披露详略程度分析

此详略程度是指上市公司既披露内部控制评价报告的简要报告,又披露其详细报告。内部控制评价报告简报的格式与内部控制审计报告格式相近,只披露内部控制评价的责任、目标、固有限制及评价意见等;而详细报告是对简要报告的细化,需要披露董事会对内部控制评价报告真实性的声明、评价工作的总体情况、评价的依据、范围、程序和方法、缺陷及认定的情况、整改情况及措施和结论。在样本中有4家上市公司只披露了其内部控制评价简要报告,而没有披露内部控制评价的详细报告。此种做法不便于报告使用者了解内部控制评价的详细过程。

2从企业内部控制评价的范围和责任分析

在评价报告中大部分上市公司都列出了“董事会对建立和维护充分的财务报告相关内部控制制度负责”,“财务报告相关内部控制的目标是:保证财务报告信息真实完整和可靠、防范重大错报风险。由于内部控制存在固有局限,因此仅能对上述目标提供合理保证”。这些公司对内部控制的评价范围和责任界定仅限于财务报告内部控制。有18家上市公司在评价报告中列出了“建立、维护并有效实施内部控制是本公司董事会及管理层的责任;监事会对董事会建立与实施内部控制进行监督;管理层负责组织领导公司内部控制的日常运行。”“公司内部控制的目标是合理保证公司经营管理合规合法、资产安全、财务报告及相关信息的真实完整,提高经营活动的效率和效果,促进公司实现发展战略”。这些公司是针对全部内部控制进行评价,因而是对全部内部控制负责。以上状况导致上市公司对于内部控制评价的范围和责任界定存在差异。18家公司中有11家是沪市上市公司,占样本中沪市公司的18%;有7家是深市上市公司,占样本中深市公司的78%。

3从内部控制五要素的评价情况分析

根据《企业内部控制评价指引》(以下简称《评价指引》)规定要求企业应围绕内部控制环境、风险评估、控制活动、信息与沟通和内部监督等要素,确定内部控制评价的具体内容。样本中有4家公司只列出内部控制评价报告的简报,没有披露具体五要素的评价情况;25家公司没有详细列出五要素的评价情况,只是概括为对五要素进行了评价;其余41家从内部控制五要素或自身重点控制内容进行了详细的评价说明,占样本总量的64%。详细地披露此信息有助于报告使用者了解内部控制评价的内容及各要素的设计和运行情况。

4从内部控制评价的时间进度披露分析

工作进度披露就是上市公司在内部控制评价报告中列示出评价工作的时间安排。有14家公司如:中国铝业、*ST东电,列示了内部控制评价工作的时间进度,占样本总量的20%。《评价指引》并没有要求企业必须披露内部控制评价工作的时间进度,但列示出此信息的公司能够让报告使用者更清楚地了解评价工作的时间安排及工作流程。

5从内部控制的缺陷披露情况分析

《评价指引》要求在评价报告中披露内部控制缺陷,按缺陷影响程度分为一般缺陷、重要缺陷和重大缺陷。70家上市公司的内部控制评价报告中均披露不存在财务报告内部控制或内部控制重大缺陷;33家上市公司披露存在一般缺陷,其中16家上市公司如兖州煤矿、四川成渝等都具体列示出存在的一般缺陷,这些详细披露缺陷的公司使信息更具有透明度。

6从缺陷认定标准的披露情况分析

样本中有13家上市公司如兖州煤业没有披露内部控制缺陷的认定标准;有57家上市公司披露了内部控制缺陷的认定标准。其中,31家上市公司没有披露内部控制缺陷的具体认定标准,而多以三类缺陷的定义直接列为缺陷认定标准。26家上市公司详细披露内部控制缺陷的认定标准,其中有6家最为详细地披露了财务报告和非财务报告内部控制的定量、定性认定缺陷标准,包括:海螺水泥、广船国际、ST北人、四川成渝、紫金矿业和ST科龙。

7从财务报告内部控制的定量缺陷认定标准分析

多以资产总额、营业收入、利润总额、净利润和所有者权益总额等项目中的一个或多个项目做为基准。其中,深高速不仅以基准乘百分比法确定重大缺陷,还设置了错报上限的具体数值;东方航空把3个以上的重要缺陷也视同为重大缺陷;宁沪高速确定重大缺陷的定量法取总资产2%或税前净利润10%的较小值;相对来说中国铝业的重大缺陷方法较为复杂,因其考虑了风险因素。

(三)内部控制审计报告披露情况及分析

1从会计师事务所出具内部控制审计报告的数量分析

主要集中在国际“四大”所在国内的三家所:普华永道、安永和毕马威,约占61%;国内所中天职、信永中和和中岳瑞华的业务量与德勤相当,这也反映出国内大所的审计质量的认可度在提高。国富浩华等6家国内会计师事务所的业务量较少,每家事务所的业务量不超过两笔。相比之下,本土9家会计师事务所的业务量只占总份额的31%,本土所在业务竞争力方面有待提高。三家被ST公司都选择了本土所审计,ST北人由立信审计、ST科龙由国富浩华审计、*ST东电由深圳鹏程审计。

2从审计报告的格式分析

审计报告比评价报告的格式更规范,因为《企业内部控制审计指引》中给出了报告参考格式,而《评价指引》没有此举。但是在审计报告格式方面也存在着与参考格式不一致的情况。

毕马威华振为S上石化执行了内部控制审计业务,审计报告标题为“根据中国《企业内部控制审计指引》的要求出具的内部控制审计报告”,标题不够简单明了。

海通证券的内部控制鉴证报告格式跟参考格式有区别,为其执行鉴证业务的是立信会计师事务所。首先其报告标题叫内部控制鉴证报告,而不是称为内部控制审计报告;其次是审计依据是《中国注册会计师其他鉴证业务准则第 3101号——历史财务信息审计或审阅以外的鉴证业务》,而不是依据《企业内部控制审计指引》;再有报告中的结构与段落用语也不同。

天职沪为中海集运执行了内部控制审计业务,审计报告中列出了“五、非财务报告内部控制重大缺陷,在内部控制审计过程中,我们未注意到中海集运的非财务报告内部控制存在重大缺陷。”大部分会计师事务所在审计过程中如果没有发现非财务报告内部控制存在重大缺陷,就没有在审计报告中列出此点。如果注册会计师在审计过程中没有注意到被审计单位存在非财务报告内部控制重大缺陷,像天职沪一样在审计报告中披露,一方面这样考虑有其合理性,因为报告标题为内部控制审计报告,包括两个层面的内部控制:财务报告内部控制与非财务报告内部控制。虽然注册会计师责任段明确了对于这两个层面内部控制的处理不同:对于财务报告内部控制有效性要发表审计意见;对于注意到非财务报告内部控制重大缺陷要进行披露。但如果注册会计师未对非财务报告内部控制不存在重大缺陷进行说明,会造成审计报告标题范围过大、标题不太贴切。另一方面这样的做法也有其弊端,会造成审计报告使用者对此产生误解,以为注册会计师对非财务报告内部控制的有效性发表了审计意见,提供了合理保证。

毕马威华振为华电国际执行了内部控制审计业务,在审计报告中注册会计师责任段还列出了被审计单位在2011年收购了七家子公司未纳入到审计范围的原因。在样本中,除了华电国际存在将一些不重要的子公司未纳入到内部控制评价范围,还有一些公司存在这种情况。但只有该事务所在此份审计报告中列出未纳入审计范围的原因。毕马威华振的如此做法,可以使审计报告使用者对审计范围一目了然。但是对外公布的审计报告一般都属于规范式的审计报告,即审计报告的格式和措辞具有统一的标准,不允许随意加任何解释性的段落或用语。如果从审计重要性的角度考虑没有必要把上述情况纳入审计范围,就不需要在审计报告中指明,因为不符合规范式审计报告的格式和用语要求;如果应该将上述情况纳入到审计范围,即使被审计单位没有纳入内部控制评价范围,注册会计师也有责任将其纳入审计范围,而且这一责任不能因注册会计师在审计报告中对业务责任的自行界定而免责。

3从审计的独立性分析

根据《评价指引》第十四条规定:“企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所,不得同时为同一企业提供内部控制评价服务”。样本中只有南方航空公司2011年分别聘请了甫瀚咨询(上海)有限公司和毕马威企业咨询(中国)有限公司提供内部控制评价工作技术支援,内部控制审计业务由毕马威华振执行。毕马威企业咨询 (中国) 有限公司是外商独资企业、毕马威华振会计师事务所是中外合作经营企业,两家均是与瑞士实体——毕马威国际合作组织(“毕马威国际”)相关联的独立成员所网络中的成员。根据网络事务所的定义,毕马威企业咨询(中国)与毕马威华振属于网络事务所,按照《中国注册会计师职业道德守则》,有关对网络事务所独立性的要求,适用于所有符合网络事务所定义的实体,而无论该实体(例如咨询公司)本身是否为会计师事务所。因此上述情况可能存在毕马威有损害审计独立性的情形。其它上市公司均不存在此种情形。

4从内部控制审计报告的意见类型分析

只有新华制药被出具了否定意见报告,其它公司都是无保留意见,三家ST公司也都被出具了无保留意见。为新华制药执行审计业务的是国内的信永中和会计师事务所,这也在某种程度上反映出国内所恪守独立、客观、公正原则。

新华制药公司于1993年由山东新华制药厂改制设立。1996年12月该公司以我国香港为上市地点,公开发行中华人民共和国H股股票。 1997年7月以深圳为上市地点,公开发行中华人民共和国A股股票。该公司2010年披露了内部控制自我评价报告,管理当局认为会计报告相关的内部控制重大方面是有效的。信永中和也为其出具了2010年内部控制审核报告,认为该公司财务报告相关的内部控制在所有重大方面是有效的。然而2011年新华制药在内部控制的评价报告中披露不存在重大缺陷,而审计报告中认定其内部控制存在重大缺陷。导致注册会计师对新华制药出具否定意见的事项在审计报告中是这样披露的:(1)新华制药下属子公司山东新华医药贸易有限公司(以下简称医贸公司)内部控制制度对多头授信无明确规定,在实际执行中,医贸公司的鲁中分公司、工业销售部门和商业销售部门等三个部门分别向同一客户授信,使得授信额度过大。 (2)新华制药下属子公司医贸公司内部控制制度规定对客户授信额度不大于客户注册资本,但医贸公司在实际执行中,对部分客户超出客户注册资本授信,使得授信额度过大,同时医贸公司也存在未授信的发货情况。

同一家公司、同一家会计师事务所在2010年与2011年披露的内部控制有效性发生了天壤之别。从上述导致否定意见的事项分析,内部控制设计和执行方面的重大缺陷不太可能只在2011年才存在,但由于新华制药的子公司与欣祺医药发生业务往来的具体时间、业务量和业务额和应收账款的账龄等信息的取得存在困难,因此笔者不对其发表任何结论。

四、完善内部控制信息披露情况的建议

(一)针对内部控制评价报告披露情况的建议

1明确《评价指引》相关规定的披露详细程度

《评价指引》第二十二条规定了内部控制评价报告至少应当披露八项内容,包括董事会对内部控制报告真实性的声明;内部控制评价工作的总体情况;内部控制评价的依据、范围、程序和方法;内部控制缺陷及其认定情况;内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;内部控制有效性的结论。从上述内部控制评价报告的披露情况分析,大部分样本公司都按照规定披露了相关情况,但是披露的详细度存在很大差距,如对内部控制五要素的评价:有些公司分条详细披露,而有些公司仅仅只用一句话带过;如对缺陷的认定标准的披露:有些公司从定量和定性的角度对财务报告和非财务报告的内部控制缺陷认定标准进行详细划分,而有些公司单纯列出了几个缺陷的定义或只表述为从定量定性的角度划分缺陷;从缺陷的披露:有些公司把存在的一般缺陷逐条详细披露,有些公司只概括为不存在重大缺陷仅存在一般缺陷,等等。

因此,目前内部控制评价披露情况不是自愿披露还是强制披露的问题,而是在强制披露的基础上,披露详细度的问题。但是往往一提到详细披露就会考虑到这种行为是否符合成本效益原则。既然《评价指引》中列出了内部控制评价报告应披露的内容,指引制订方肯定是考虑到了披露的经济性和披露内容的必要性。基于我国首批强制内部控制评价报告的现实披露情况,笔者认为应该在《评价指引》中明确评价报告的披露详细程度,否则详细披露内部控制评价信息的公司就可能会“逆向选择”,最终导致内部控制评价报告形同虚设,都是些冠冕堂皇的表述,失去了披露内部控制评价报告的作用。

2明晰内部控制评价的范围和责任

从样本的披露情况分析只有18家公司对全部内部控制进行了评价,大部分公司只对财务报告内部控制进行评价,董事会的声明也只针对财务报告内部控制评价报告负责。但从《评价指引》中内部控制评价的定义分析,评价对象是针对所有的内部控制。这就产生了理论与实践的评价口径不一致的情形,因此笔者认为应当清楚地界定内部控制评价的范围和责任。如果《评价指引》的制订方认为应该对所有内部控制进行自我评价,也就是内部控制评价的定义不变,那么就需要对上市公司明确告知,避免2012年内部控制自我评价报告中范围与责任的界定出现2011年内部控制自我评价在理论与实践中的两样化。如果《评价指引》的制订方认为上市公司只需要针对财务报告内部控制进行自我评价,保持与内部控制审计范围的一致性,那么就需要对《评价指引》中内部控制评价的定义和董事会的责任进行修订。

3提高内部控制评价人员的专业能力

内部控制自我评价报告从自愿披露到强制披露,对于我国上市公司确属一件新兴披露内容,虽然首批强制披露的内部控制评价报告中存在很多问题,但这并不能完全归为上市公司领导的不重视、钻指引的漏洞等原因,而更重要的是要加强内部控制评价人员的专业水平。从内部控制评价小组人员构成分析,大多数为内部审计人员执行评价工作,王玉兰和简燕玲[11]根据统计结果表明沪市上市公司内部审计工作涉及传统审计多,并与风险管理、公司治理和内部控制少以及内部审计人员素质偏低、审计手段和方法落后有关。因此要加强对企业各层特别是内部审计人员关于内部控制知识的培训。企业自身也要引进具有专业胜任能力的审计人员,像持有国际内部审计师证书、内部控制评价证书等人才。

4加大对内部控制评价工作的监管力度

在本文小样本的数据分析中就存在上市公司内部控制自我评价报告中认为不存在重大缺陷,而审计报告中指出了其存在重大缺陷。我们需要思考内部控制评价报告的真实性与合理性,也不能把监控工作完全交付于注册会计师审计。证监会也要加大监管力度,对于上市公司内部控制评价工作的档案要部署检查工作。上市公司如果连续三年亏损就要被ST处理,借鉴这种做法,如果上市公司连续存在内部控制重大缺陷,证监会也可以对其进行ST处理。

(二)针对内部控制审计报告披露情况的建议

1加强本土事务所的竞争力,遵守职业道德

从上述内部控制审计报告披露情况分析,国际“四大”所占的市场份额较高,究其原因无非就是“四大”的声誉高,其出具的审计报告可信度高。中注协提倡国内的会计师事务所要“做大做强”,这不仅仅是指规模要庞大,更重要的是业务能力、业务质量要强大起来。我国注册会计师的业务能力并不比国际大所差,提升业务质量的关键就在于会计师事务所的声誉,而影响其声誉的主要就是注册会计师要遵守职业道德,特别是要保持独立、客观、公正,敢于披露审计中发现的重大错报、重大缺陷。国际著名的安达信事务所倒下不是因为没有业务能力强的审计人员,而是因为它没有遵守职业道德。因此我国的会计师事务所都要引以为戒,牢记“做大做强”的关键是遵守职业道德。信永中和会计师事务所在这次审计中为客户出具了否定意见报告,树立了良好的职业形象。

2规范审计报告的格式与内容

对外公布目的的审计报告一般都具有规范的措辞和格式,内部控制审计报告属于对外公布目的报告,表达要规范化。对于审计报告标题、审计依据、注册会计师责任、审计意见等方面都要准确表达,在审计报告中不能随意增加任何解释性段落。

对于非财务报告内部控制重大缺陷披露,笔者认为应该在内部控制审计报告中财务报告内部控制意见段之后披露非财务报告内部控制情况。建议注册会计师在审计报告中这样表述:“五、非财务报告内部控制,在内部控制审计过程中,我们没有注意到某公司的非财务报告内部控制存在重大缺陷。需要指出的是,我们并不对某公司的非财务报告内部控制发表意见或提供保证。”

3中注协要加强检查内部控制审计工作质量,奖惩分明

国家审计署日前公布了对15家中央企业2010年度财务收支等审计结果,像中石油存在少计负债和少计利润、中石化加油站手续不全、工商银行存在违规发放个贷等问题。这些公司不乏有发行A+H股的上市公司,虽然表面上与2011年内部控制审计工作没有关系,但内部控制的有效性体现在内部控制设计和运行的一贯性,缺陷也要从定性的角度分析。中注协要针对目前会计师事务所提供内部控制审计服务的工作底稿进行检查,加强执业质量检查对于事务所个体及审计职业界都是十分必要的。

中注协对于审计工作不符合审计准则及指引的会计师事务所要给予相应的指导与惩罚,对于在内部控制审计工作中属实发挥了审计监督作用的会计师事务所要给予相应的表扬与奖励,并开展经验交流学习活动。

参考文献:

[1]中国会计学会企业内部控制自我评价与审计[M]大连:大连出版社,2010

[2]AshbaughSkaife,HD,Collins, WK,LaFond,LThe Effect of Internal Control Deficiencies and Their Remediation on Accrual Quality [J]The Accounting Review, 2008,83(1):217-250

[3]AshbaughSkaife, HD,Collins,WK,LaFond,RThe Effect of SOX Internal Control Deficiencies on Firm Risk and Cost of Equity[J]Journal of Accounting Research,2009,47(1):1-43

[4]Ettredge,ML,Li,C,Sun,LThe Impact of SOX Section 404 Internal Control Quality Assessment on Audit Delay in the SOX Era [J]Auditing: A Journal of Practice and Theory, 2006,25(2):1-23

[5]Ge, W,McVay,SThe Disclosure of Material Weaknesses in Internal Control after the SarbanesOxley Act [J]Accounting Horizons, 2005,(19): 137-158

[6]方红星,孙翯交叉上市保险公司内部控制信息披露及其市场反应——基于中国人寿和中国平安的经验研究[J]会计研究,2009,(8):105-111

[7]邱冬阳,陈林,孟卫东内部控制信息披露与IPO抑价——深圳中小板市场的实证研究[J]会计研究,2010,(10):34-39

[8]陈宋生,郭京晶内部控制信息披露的市场反应——来自沪深股市的经验证据[J]上海立信会计学院学报,2011,(2):14-25

[9]张晓岚,沈豪杰,杨默内部控制信息披露质量与公司经营状况——基于面板数据的实证研究[J]审计与经济研究,2012,(3):64-73

内部控制自评报告篇8

1.样本选择与数据来源

制造业占据国民经济的重要地位,与其他行业相比,制造业企业的规模较大,业务领域较为广泛,占我国沪深全部上市公司的60%左右。因此,制造业企业需要积极实施内部控制企业规范,建立完善的企业内部控制体系,增强企业抵御外部环境的风险的能力。因此我们选取制造业为研究对象,探讨其内部控制评价及其审计的披露情况。根据2014年3季度上市公司行业分类结果,沪、深交易所A股制造业上市公司共有1577家,涉及30个行业。本研究选取制造业上市公司中数量最多的两个化学原料及化学制品制造业、医药制造业,剔除退市及与研究样本不相符的企业7家,共311家上市公司作为本研究的样本。本研究所需的招股说明书及公司年报中涉及内部控制的数据主要通过巨潮资讯网、中国证监会、深圳证券交易所、上海证券交易所及其他相关网站获得。其中深市主板企业共51家,沪市主板共101家,创业板企业52家,中小板企业共107家。

2.内部控制自我评价报告的披露状况

2012年国家几部委强制全部A股上市公司实施内部控制规范体系,因此分析2012年前后三年的内部控制披露状况对了解上市公司内部控制规范实施情况有重要的作用。从样本的总体披露情况看,311家制造业上市公司2011-2013年内部控制自我评价报告披露的比率逐年增长,分别为81%、92.6%、94.2%。按照上市板块对研究样本进行分类,其中创业板三年内部控制评价披露率为100%,深、沪主板2012-2013年的内控报告的披露率也为100%,披露状况良好,2011年为自愿披露,因此其内部控制评价披露率仅为88.2%。中小板三年来披露率维持93.5%。

3.内部控制审计报告的披露状况

内部控制自评报告仅从企业角度反映了其执行《规范》及其《指引》的情况,内部控制审计报告则从企业外部反映了《规范》及其《指引》的实施效果,因此将内部控制审计报告与企业内部控制自评报告结合起来才能真正体现企业对内部控制规范体系的执行状况。根据2011—2013年制造业研究样本中内部控制审计报告的统计,2012—2013年的内控审计报告披露比率平均为38.6%,远小于同时期内部控制自评报告的披露比率93.4%,说明研究样本大部分企业虽然执行了《规范》及其《指引》,但是内部控制的实施效果却有待验证。其中沪市主板的内部控制的执行效果较好,2012年沪深主板的内部控制审计报告披露率接近,但是2013年深市主板内控审计报告披露率高达89.1%,高出沪市主板30.3%。中小板内部控制的执行情况较弱,2012—2013年披露率从4.7%增长到9.3%。创业板的内部控制自评报告的披露为100%,但是其三年未有内部控制审计报告,仅有内部控制鉴证报告,创业板的内部控制鉴证报告披露比率逐年上升,平均披露率为70%。同时中小板的内控鉴证报告披露率也平均达到50%。但是由于内控鉴证报告仅是会计师事务所针对董事会关于内部控制有效性执行情况的鉴证,并不等同于内部控制审计报告所针对企业内部控制的全面要素点进行的审计工作,因此鉴证报告并不能有效确认企业内部控制实施的有效性。

二、结论与政策建议

内部控制自评报告篇9

【关键词】 ST公司; 内部控制; 自我评价报告; 统计分析

中图分类号:F230 文献标识码:A 文章编号:1004-5937(2016)03-0040-04

一、引言

笔者选取常规数据来分析2014年内控评价报告披露的整体情况。

表1对2014年内部控制的整体披露情况进行了统计,并与2012年、2013年的整体披露情况进行了对比分析。由表1可知,2014年沪、深交易所A股上市公司共有2 586家,披露内控评价报告的有2 536家,占比98.1%;未披露的有50家,占比1.9%。在披露内控评价报告的2 536家公司中有2 522家公司的内控评价报告结论为整体有效,占比99.4%;14家公司的内控评价结论为无效或其他。在披露内控评价报告的2 536家公司中,有550家披露内控中存在的缺陷,占比21.8%,且有546家对披露的缺陷采取了整改措施。

从披露内控评价报告的占比数量上可见,自2012年财政部、证监会等五部委强制上市公司披露内控评价报告以来,披露的数量逐年上升,2013年披露占比为99.9%,几乎实现了全部上市公司均按照《企业内部控制评价指引》披露内控评价报告的要求。2012―2014年,随着企业内部控制规范体系的推进实施,上市公司内部控制评价结论呈现差异化的趋势,“非整体有效”结论的比例稍有上升。2012―2014年,大部分公司缺陷认定的类型为一般缺陷,且数量有所下降,重要缺陷的认定数量也有所下降,但是,重大缺陷的认定数量呈逐年上升的趋势。

此数据只反映了内控评价报告的整体表面情况,由于数据剔除了ST公司,且多数公司的经济状况良好,无论是从相同的心理状态或者实际的市场需求出发,各公司披露的整体情况非常相似。由此,更加不能体现内部控制各项指标的变化及其原因。

本文选取了2010―2014年间的企业内控评价报告数据,找出ST公司转换的时间点,分两种情况(一是正常ST/*ST;二是ST/*ST正常)讨论转换前、转换中及转换后三年间内控评价报告各部分披露的情况,从而找出产生前后披露变化的原因。

二、国内外内部控制评价相关文献回顾

内部控制最重要的关键在于评价,内部控制评价经历了由自愿披露到强制披露的过程。SOX法案颁布前,重大经济事件、战略制定实施、重要投资等因素都会导致内部控制风险的产生(Ashbaugh-Skaife et al.,2009),从而导致内部控制系统作用的下降。而不好的内部控制会给管理层带来不当挪用企业现金流量的机会(Lambert et al.,2007),最终导致内部控制失效。为了更清楚地了解企业内部控制的具体情况,敦促管理者对内部控制缺陷及时采取解决措施,美国于2004年针对上市公司开始实施最严厉的SOX法案。法案实施后,经营复杂(Ge and MeVay,2005)、规模小、财务状况差、成长性高的公司披露内部控制重大缺陷的概率更高(Doyle et al.,2007)。而且,不同特征的内部控制缺陷披露,信息含量也不同,信息含量决定于披露的内部控制缺陷的严重程度,不同程度内部控制缺陷的披露又造成不同的市场反应(France et al.,2005;Hammersley et al.,2011)。

我国自加入WTO后,会计准则规范等逐步与国际趋同,于2008年颁布《企业内部控制基本规范》,于2011年颁布《企业内部控制配套指引》。规范和指引的颁布标志着具有统一性、公认性和权威性的中国企业内部控制规范体系的形成(王军,2010)。通过对我国上市公司首次执行内部控制评价强制披露规范的信息披露情况进行分析显示:规模越大或财务状况越好的公司,其控制活动、信息与沟通两类指标的披露水平越高(李颖琦等,2011)。但是,内部控制缺陷的披露会使未来1到3年的销售增长率下降,对于披露公司层面缺陷、顾客群体多数以工业用户为主、拥有高研发强度的公司,销售增长率下降的速度更加显著(Nancy et al.,2014)。同时,内部控制评价报告的披露虽然可以降低资本成本(张然等,2012),但是并没有显著提高内部控制的效率(于忠泊和田高良,2009)。因此,为了提高内部控制的效率,应进一步研究内控评价报告披露质量低的原因及改进措施。

三、统计分析

(一)样本的选择与数据来源

本文以2010―2014年间的ST/*ST企业作为研究样本,截至2014年12月31日,由正常公司过渡到ST/*ST公司且披露内控评价报告的数量为97家;由ST/*ST公司过度到正常公司且披露内控评价报告的数量为216家。本文使用的内部控制评价相关数据来自样本公司在上交所、深交所、巨潮资讯等证监会指定网站披露的2010―2014年间的内控评价报告,其他数据来自国泰安数据库。

(二)统计结果与分析

表2显示:在2010―2014年间,由正常到被ST的所有A股上市公司共97家,其中披露的内控评价报告有效的为70家,只有002200*ST大地、002506ST超日和600145*ST国创三家企业的内控评价报告结论是无效的。统计年间内控审计报告出具否定意见的有4家,分别为2010年002200、2013年002506、2014年600145和2013年600598。出具无法表示意见的有2家,为2014年000594和600247。

表3显示:正常期间,披露一般缺陷的仅有19家,披露重要缺陷的仅有2家,披露重大缺陷的仍然仅有2家,未披露内控审计报告的有8家,未披露内控评价报告的有24家,除去本年未披露内控评价报告的公司,内控有效且不存在缺陷的公司占67.1%。未披露整改情况的有53家,占有效评价的75%。数据说明:ST公司在未被ST之前内控评价报告和缺陷的披露水平并不高,未披露整改情况的公司居多,说明公司对于一般缺陷的整改并不重视,但多个一般缺陷的组合可能构成重大或重要缺陷。

公告被ST/*ST当年,披露一般缺陷和重大缺陷的数量有所上升,且整改力度加大,全部完成整改的数量由7家上升至12家,未完成整改的数量明显下降,内控评价报告与内控审计报告的一致性情况明显好转。由于多数被ST的原因为连续两年亏损,故与财务报告相关的内部控制有效性下降,因此,未披露内控审计报告的数量由8家上升到10家。此数据说明两点问题:一是被ST/*ST当年,公司对各项披露情况更加认真,披露的评价结论更加谨慎;二是仅不足一年时间披露缺陷的数量明显上升,说明前一年公司确实不存在缺陷或者存在缺陷但并未如实披露,才会导致被ST后披露缺陷数量突增的情况。

被ST/*ST后,与公告当年比较显示,披露一般缺陷的数量明显降低,由24家降到21家;披露重大、重要缺陷的数量有所下降,同时,未披露内控评价报告和未披露整改情况的数量明显下降,分别由24家降至12家和由45家降至26家。说明ST公司希望通过较少的缺陷和加大整改力度来实现早日“摘帽”。

表4显示:在2010―2014年间,由ST到恢复正常的所有A股上市公司共216家,其中披露的内控评价报告有效的数量为119家,只有000892ST星美、600234*ST山水和600671ST天目三家企业的内控评价报告结论是无效的。统计年间内控审计报告出具否定意见的有3家,分别是2013年600800、2014年600234和2014年600671;内控审计报告出具无法表示意见的有2家,分别是2013年600076和2014年000892。

表5显示:从ST/*ST到恢复正常期间,内控评价报告与内控审计报告结论的一致性数量明显上升,而未披露内控评价报告和未披露整改情况两项指标数量明显下降,这充分说明了在转变期间内控评价报告的披露质量显著提升。但无论是一般缺陷还是重大、重要缺陷的披露数量,还是未披露内控审计报告的数量都在逐步上升,这也恰恰印证了表3所分析的,ST企业在ST期间出于急于“摘帽”的心理,从而尽可能少披露缺陷和加大整改力度来实现这一目标,但是,通过未披露内控审计报告数量的激增可以知晓,即便是在恢复正常状态后原ST企业的财务状况仍然没有好转。

四、我国上市公司完善内控评价报告的改进建议

(一)内控评价报告制定者需要转变心态

内部控制缺陷的披露对于顾客对公司能力的看法以及公司给予顾客荣誉等方面潜在的激励作用呈负向影响(Nancy和Rachel,2013)。他们将披露内控缺陷前与披露内控缺陷后的销售增长率作比较,发现公司在披露内控缺陷后销售增长率有所下降,对于那些披露公司层面内控缺陷、顾客群体多数以工业用户为主、拥有高研发能力的公司,销售增长率下降的速度更加显著。公司的内控评价报告披露高层也许正是知晓消费者这一心理,因而,在披露内控缺陷时采取了“避重就轻”原则,这也恰恰印证了本文数据分析的结果。但是,这种“避重就轻”的心态将直接导致内控评价报告失真的可能。

Nancy仅研究了前后1―3年间销售增长率的变化情况,因此,她的研究结论仅在1―3年的时间是成立的。而一家公司从发现缺陷到整改到利润恢复甚至增长的转变则需要更长的时间才能体现出来。在Nancy的研究中还发现,当公司对于披露的内控缺陷未及时采取整改措施时,销售增长率下降的速度更快;当公司及时采取整改措施时,下降的速度却是反转的。由此可见,披露缺陷并非是一件可怕的事,可怕的是未能正确对待缺陷,以及未能及时采取整改措施。

带有缺陷的内控评价报告虽不能释放企业内控有效性的信息,但可以引起管理层的高度重视,敦促管理层查找缺陷产生的原因,采取恰当的措施改进和完善内部控制系统,提高内部控制的有效性;同时,投资者可以清晰地了解该公司内控的薄弱环节,观察该公司未来几年整改后的发展进行理性投资。理性的投资者绝对不会因公司某一年所披露的缺陷而放弃对该公司的投资;相反,若该公司整改后的经济利润有所上升,投资者会对公司的未来前景更具有信心。只有这样的循环才是良性循环(图1)。既然我们无法在短时间内改变消费者的心理,那么,我们首先要摆正自己的心态。

(二)不同行业应分别就各行业重点业务内控情况进行披露

《企业内部控制评价指引》对于内控评价报告披露范围的描述只指出应当依据《企业内部控制基本规范》和《企业内部控制配套指引》中的18项具体指引,并结合公司自身内部控制设计与运行的实际情况确定,对于具体应披露的范围并未明确说明。

笔者通过随机阅读100份左右的公司内控评价报告发现,大多数公司只是照搬照抄18项指引的业务内容进行披露,并未结合公司实际,如南方黑芝麻、科大讯飞、三全食品、宝利来控股等。因此,建议在披露中以“纳入评价范围的主要业务和事项”加“重点关注业务领域”的形式进行阐述,并在后面的具体披露情况中就重点关注领域进行详细阐述,如零七股份、三元食品、海天调味等。

(三)内控评价报告中应增添的两项披露内容

一个企业拥有完善的内部控制制度,并非等于拥有有效的内部控制。由此,内控评价报告应更多地披露能判断内控有效的相关条款,从而有利于投资者更好地了解公司内部控制的运作状态。

1.披露向公司提供内控评价报告咨询业务的事务所

笔者了解到,多数公司在对自身内控进行评价的过程中往往需要向会计师事务所等相关专业机构咨询内控评价实务中的一些问题。而多数公司选择的咨询对象往往是为其出具内控审计报告的事务所。笔者分析原因可能有两个:第一,为了降低再次聘请其他事务所所增加的成本;第二,出具内控审计报告的事务所在评价与财务报告相关内部控制的过程中,对于企业的内部控制状况更加了解,便于及时给出正确的解决方案。但是,这样操作的结果使得内控评价报告失去了真正的价值。

内控评价报告对外披露的意义在于:第一,便于外部使用者进行投资决策,是投资者对资本市场维持信任的保证;第二,避免部分会计师事务所出于承揽审计业务和收取审计费用等目的,过分讨好企业,从而出具不实的财务审计报告。而目前的公司多数将财务报告和与财务报告相关的内控审计报告进行整合审计。因此,要披露向公司提供内控评价报告咨询的事务所,并与实施整合审计的事务所区分开来,才能实现内控评价报告披露的真正意义。

2.披露公司建立及更新内部控制系统的时间节点

笔者在参加项目的过程中发现:即便一家公司内控是在一两年间建立起来的,但是,依靠外界做起来的内控体系却表现得很完善,无论是制度的完整性亦或流程的合理性以及与实际的相符性,这些都会在设计中被考虑到,以备应对外界的检查,而一些存在缺陷的地方却不会体现在内控系统中。因此,便会出现这样一种奇怪的现象:外界评价的结论中,一切都是合法合理、合乎情理,但真实的经济效益却并不乐观,这其中的缘由恐怕只有公司管理人员最清楚,毕竟内控体系不是一朝一夕就能与实际磨合并发挥积极作用的。笔者认为,有必要披露该公司内部控制体系建立和更新的时间节点,从而有助于投资者判断其内控评价报告的真实程度。

【主要参考文献】

[1] 李颖琦,陈春华,俞俊利.我国上市公司内部控制评价信息披露:问题与改进――来自2011年内部控制评价报告的证据[J].会计研究,2013(8):62-68.

内部控制自评报告篇10

2006年的中国银行黑龙江双鸭山支行票据案,2007年的建设银行平原支行刁娜案件,到2011年齐鲁银行卷入巨额骗贷案,2013年银行涉入债市丑闻,债市扫黑拉响银行内控警报等,频发的银行舞弊案件反映出我国目前的实践中存在诸多不足,使得社会强烈要求加大对内部控制信息的披露,来改善银行与利益相关者之间信息不对称的局面。面对国内纷繁复杂的经济环境以及频发的银行舞弊案件,如何遵循规范提升上市商业银行内部控制信息披露质量成为了国家和公司所面对的一项重大而迫切的话题。

本文在我国目前有关上市商业银行内部控制披露规范和相关文献综述的基础上,对16家上市商业银行2012年内部控制自我评价报告及附件、监事会报告、内部控制审计报告、年报中关于内部控制信息披露展开的分析,以期发现存在的问题,提出改进建议和对策。

一、我国关于上市商业银行内控披露的相关法规及主要关注点

(一)上海和深圳证券交易所的相关规定

《上海证券交易所上市公司内部控制指引》中规定:公司在内部控制的检查监督中如发现内控存在重大缺陷或重大风险,应及时向董事会报告,并由董事会及时向上海证券交易所报告该事项,经该所认定后,公司董事会应及时公告。董事会应根据公司内控的情况形成内部控制自我评价报告,并在年度报告披露的同时披露年度内部控制自我评价报告,并披露事务所对内部控制自我评价报告的核实评价意见。

《深圳证券交易所上市公司内部控制指引》规定:公司董事会应依据公司内部审计报告,对公司内部控制情况进行审议评估,形成内部控制自我评价报告。公司监事会和独立董事应对此报告发表意见。如注册会计师对公司内部控制有效性表示异议的,公司董事会、监事会应针对该审核意见涉及事项做出专项说明。公司应于每个会计年度结束后四个月内将内部控制自我评价报告和注册会计师评价意见报送本所,与公司年度报告同时对外披露。

(二)《企业内部控制基本规范》的相关规定

《企业内部控制基本规范》规定:执行该规范的上市公司应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效行进行审计,出具审计报告。

(三)中国证券监督管理委员会的相关规定

《公开发行证券的公司信息披露编报规则第26号―商业银行信息披露的特别规定》第十七条规定:商业银行董事会应在定期报告中对内部控制制度的完整性、合理性与有效性和内部控制制度的执行情况作出说明。监事会应就董事会所作的说明明确表示意见,并分别予以披露。

《公开发行证券的公司信息披露内容与格式准则第2号―年度报告的内容与格式(2012年修订)》中第五十一条与五十二条分别规定:公司应当披露董事会关于内部控制责任的声明,并披露建立财务报告内部控制的依据以及内部控制制度建设情况。主板(不含中小企业板)上市公司应当按照规定的实施范围披露董事会审议通过的内部控制自我评价报告,披露报告期内发现的内部控制重大缺陷的具体情况,包括缺陷发生的时间、对缺陷的具体描述、缺陷对财务报告的潜在影响,已实施或拟实施的整改措施、整改时间、整改责任人及整改效果。鼓励中小企业板上市公司披露董事会审议通过的内部控制自我评价报告。按照规定要求对内部控制进行审计的公司,应当披露会计师事务所出具的内部控制审计报告。若会计师事务所出具非标准意见的内部控制审计报告或者内部控制审计报告与董事会的自我评价报告意见不一致的,公司应当解释原因。

仔细分析以上法规,可以发现:我国相关监管部门对于上市银行信息披露的主要关注点为以下三个方面:第一:商业银行董事会需在定期报告中对内部控制制度的完整性、合理性与有效性作出说明,同时监事会要对此发表独立意见,并分别予以披露;第二:公司董事会应针对公司内部控制情况形成自我评价报告,并由注册会计师作出评价意见之后,与公司年度报告同时对外披露;第三:当内部控制存在重大缺陷或重大风险时,经证券交易所认定后,公司需临时内控公告。

二、2012年16家上市银行内部控制披露现状及问题分析

目前,我国上市的商业银行包括平安银行(000001)、宁波银行(002142)、浦发银行(600000)、华夏银行(600015)、民生银行(600016)、招商银行(600036)、南京银行(601009)、兴业银行(601166)、北京银行(601169)、农业银行(601288)、交通银行(601328)、工商银行(601398)光大银行(601818)、建设银行(601939)、中国银行(601988)和中信银行(601998),共16家。

纵观2012年,16家上市银行都对内部控制情况做了不同程度的披露,有粗有细,有详有略。通过研究发现,我国上市银行内部控制信息披露是基于法律法规要求的强制性披露,流于形式化现象严重。下面,本文从形式、内容和依据三个方面展开详细分析:

(一)形式方面

16家银行均通过内部控制自我评价报告及附件、监事会报告、内部控制审计报告、年报四种形式进行披露,如表1所示。

进一步研究发现:

1.自我评价报告是董事会对内部控制发表的责任说明,只有浦发银行、交通银行披露了存在有待完善的事项,其余的银行董事会都得出“本公司内部控制自我评价过程中未发现重大内部控制缺陷。”附件则是对2012年度内部控制评价相关情况的介绍,除了兴业银行将报告与附件合二为一外,其余的银行都单独进行了披露。

2.监事会报告是监事会对董事会做出的内部控制评价报告发表独立意见。但除了平安银行另发表公告外,其余银行都在年报中进行披露。在年报中,宁波银行、浦发银行、华夏银行、北京银行、农业银行、工商银行、光大银行、中国银行8家银行仅仅发表了对报告期内监督事项无异议,并无特指内部控制情况;而其余银行监事会就内部控制情况发表独立意见。

3.审计报告格式因为已经进行了规定,所以16家银行的内部控制审计报告形式一致。

4.年报对于内部控制披露的位置也不尽相同。建设银行和交通银行在公司治理下设内部控制小标题,对内部控制信息进行了披露;中国银行只对与公允价值计量相关的内部控制制度进行了说明,但没有再在年报中对内部控制进行其他说明;其余银行均在年报中单独以内部控制为大标题,对内部控制进行详尽说明。

通过分析可知,形式、位置上的不一致性,需要投资者花费更长的时间搜集数据、查找信息,这样时间价值和机会成本过大,投资者不能有效进行分析比较。

(二)内容方面

1.内部控制自我评价结果比较

16家银行在2013年都了2012年内部控制自我评价报告,报告的结果如表2所示。

披露结果显示,16家银行均不存在重大缺陷,其中12家银行存在部分一般缺陷或重要缺陷,但是只有4家银行详细披露了缺陷以及整改方案,其余的8家只披露了现状但没有披露明细。

通过分析可知,内部控制自我评价报告信息量大,是银行提供内控信息的主要载体,也是投资者获取内控信息的主要来源,由于内部控制自我评价报告的格式并不统一,导致16家银行的披露内容各有差异,而披露不一则进一步影响了银行间的可比性。

2.内部控制缺陷认定标准的比较

16家银行都将缺陷分为重大缺陷、重要缺陷和一般缺陷。但是,对于每类缺陷认定的标准却不统一,如中国银行、中信银行就详细披露了该行各类别内部控制缺陷认定标准;华夏银行和民生银行分别制定了财务报告内控缺陷的定性和定量标准以及非财务报告内控缺陷的定性标准,但没有具体披露;浦发银行和建设银行则直接参照定义,没有详细叙述;平安银行和农业银行则根本没有披露与内部控制缺陷认定的相关标准;除上述银行外,其余银行都是粗略提出认定标准由定性指标和定量指标两方面构成,列示了一些指标,但没有具体的判断标准。

缺陷的认定关乎最终的报告结果以及意见的发表。通过分析可知,银行之间的认定标准不统一,所以使结果缺乏可比性,例如该银行按照本行标准认定为一般缺陷,可是按照其他银行标准则会认定为重大缺陷,继而导致结果缺乏可信度。

3.内部控制审计意见比较

注册会计师审核意见是对财务报告内部控制有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露,但没有对所有内部控制发表有效意见。

对于2012会计年度,所有的审计报告都对被审计单位的内部控制自我评估报告发表了肯定意见,在所有重大方面保持了有效的财务报告内部控制。审计意见可以看作是事务所对被审计银行内部控制有效性的一个保证,但完全一致的审计意见,并没有有效传达出银行内部控制的具体信息。

4.内部控制审计单位的选择比较

16家银行都选择了“四大”会计师事务所进行相关内部控制有效性的审计。“四大”的选择是为了增强投资者对被审计银行的信心,这样也从侧面表现出随着经济社会的发展,银行愈发注重内部控制,愈发注重投资者,愈发注重向市场传达出有利的信息。

5.内部控制措施披露的比较

16家银行在内部控制自我评价报告中不同程度地披露了2012年度内部控制基本框架的建设情况,如表3所示。

通过分析可以看出,由于内部控制自我评价报告的格式并不统一,每个银行披露的内容不尽相同,有些银行详尽地披露了内控建设状况,有些银行则根本未涉及,这样就导致投资者不能很好地进行比较分析。

另一方面,16家银行的自我评价报告中都没有对上年内部控制缺陷的整改措施以及效果进行披露,披露缺乏连续性。

(三)依据方面

国家法律法规和监管要求使内部控制披露具有强制性,但16家银行各自参照的依据有所不同,如表4所示。

根据上表可知,16家银行都依据《企业内部控制基本规范》和《企业内部控制应用指引、评价指引》以及本行内部控制基本指引的要求进行了披露。但是,在《商业银行内部控制指引》和《中华人民共和国商业银行法》的选择上,却出现了不一致性,有的银行参照了该法律法规,有的银行则没有,再加上在深交所、上交所上市的银行,所参照的内部控制指引文件不同,也会导致最后披露结果的不一致性。

通过分析可知,由于16家银行所参照的依据不一致,导致了银行披露的形式、内容、标准差异较大,这也是上市银行内部控制披露存在的问题之一。

三、提高上市商业银行内部控制信息披露质量的相关建议

(一)明确形式,提高质量

结合我国实际情况,并适当借鉴国外经验,在相关规范中明确规定上市银行内部控制报告的具体披露形式以及在报告的具体部分披露哪些具体内容。一方面,投资者可以更好地使用各种内部控制信息文件,明确查阅哪些部分,就可以获取信息,节约时间、节约成本;另一方面,提高了上市商业银行内部控制信息披露质量,增加其可比性,避免分歧和意见。

(二)完善内容,提高透明度

随着将市场经济的发展,商业银行数量不断增加,竞争日益激烈,潜在的风险也随之加大。所以需要完善内部控制披露的内容,以提高透明度。

1.加大对内部控制自我评价结果的披露。详细披露是否存在内控缺陷,存在怎样的缺陷以及将要采取的整改方案,提高透明度。

2.统一对内部控制缺陷的认定标准。国家的法律法规虽然对相关缺陷做出了定义,但这是共性的;银行作为特殊的行业,需要对缺陷认定标准做出特别的规定,且每个银行各自的规模、风险是不尽相同的,所以也需对标准进行规定并予以公布,并与其他行的不同之处做出注释,以方便投资者了解。

3.增大对内部控制建设状况的披露。国家应出台相应的规定,要求银行从内部控制五个基本要素方面详细披露内部控制建设情况,可以使利益相关者了解上市银行在过去一年所做的努力;另外,在探索建立上市商业银行的内部控制评级体系的道路上,不遗余力地运用市场手段,逐步建立并完善针对上市商业银行内部控制信息披露的评价指标或评价体系。同时,要求披露对上年内部控制缺陷的整改以及效果,保持连续性,使得投资者明确缺陷是否真的不存在了,措施是否发挥应有的作用了。

(三)统一依据,提高可比性