2016年
财会月刊(10期)
审计园地
我国上市公司的内部控制缺陷及应对措施——基于2012 ~ 2014年主板上市公司数据

作  者
黄 胜1,2,耿建新1(博士生导师)

作者单位
1.中国人民大学商学院,北京100872;2.北京信息科技大学信息管理学院,北京100192

摘  要

     【摘要】本文以2012 ~ 2014年主板上市公司内部控制审计报告披露的内部控制缺陷数据为研究对象,以《企业内部控制基本规范》规定的内部控制要素以及各要素具体内容为分类依据,揭示了我国上市公司内部控制缺陷的分布特征,发现上市公司在披露内部控制缺陷时存在较多不足之处,故从监管机构、上市公司及会计师事务所三个层面提出了相关建议。
【关键词】内部控制审计;内部控制缺陷;五要素分类
【中图分类号】F239           【文献标识码】A           【文章编号】1004-0994(2016)10-0057-4008年,财政部等五个部委联合制定了《企业内部控制基本规范》,自2009年7月1日起施行。2012年财政部和证监会联合发布了《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》(财办会[2012]30号),进一步明确了逐步、分批地执行内部控制审计的时间和范围,我国正式进入上市公司大范围的内部控制审计强制实施阶段。
一、文献综述
我国分析内部控制缺陷状况的文献主要有:林斌等(2012)分析了2011年内部控制缺陷的行业分布特征。董卉娜等(2012)分析了2009 ~ 2010年我国深圳主板上市公司内部控制自我评价报告披露的内部控制缺陷,发现缺陷主要分布在内部环境、控制活动和信息与沟通中,并指出,上市公司关于内部控制缺陷的披露不具体,对内部控制缺陷的界定不清晰。赵耿和王永超(2014)统计分析了2011 ~ 2012年度上市公司内部控制自我评价报告中披露的内部控制缺陷,发现内部控制缺陷主要集中于内部环境的组织架构、人力资源和控制活动中的销售采购业务、资金活动、资产管理等方面,也指出了内部控制缺陷披露不具体、不完整、不规范等问题。丁家丰和郭树楠(2015)分析了2011 ~ 2013年度否定意见的内部控制审计报告中重大缺陷所在的业务领域。
可见,我国学者研究的对象主要是上市公司的内部控制自我评价报告对内部控制缺陷的认定和披露。但如今执行内部控制审计报告的企业显著增加,而内部控制审计报告披露的内部控制缺陷可信赖程度更高。另外,上述文献缺少对内部控制缺陷进行详细分析的统计数据,因此分析过程及结论缺乏科学性和说服力。现有研究对内部控制缺陷披露存在的问题认识不够深入,提出的解决措施不够完善,有感于此,本文基于手工统计的数据,对内部控制审计报告中披露的相关问题进行分析,以求教于各位同仁。
二、样本选择与数据来源
1. 样本选择。A股上市公司包括主板、创业板和中小企业板。创业板的上市公司只出具内部控制鉴定报告,其效力低于内部控制审计报告。虽然2010年深圳证券交易所发布的《深圳证券交易所中小企业板上市公司规范运作指引》要求中小企业板上市公司应当至少每两年聘请会计师事务所出具内部控制审计报告,但是在2012 ~ 2014年间,中小企业板上市公司实际出具的内部控制审计报告总共仅157份;而2008 ~ 2014年,主板市场披露了3936份内部控制审计报告。因此,本文以主板市场为研究对象,其内部控制信息披露情况如表1所示。

 

 

 

 

 

由表1可知,从2012年开始,执行内部控制审计的主板上市公司占主板上市公司数量的比例为68.89%,显著高于2011年的16.63%,且逐年增加;执行内部控制审计的主板上市公司中,披露内部控制缺陷的上市公司所占比例显著增加,从2010年的0.00%,增加到2011年的1.69%,2011 ~ 2014年更是逐年增长。因此,进行内部控制缺陷的研究以2011年后执行内部控制审计的主板上市公司为研究样本,更具代表性。本文以2012 ~ 2014年上市公司内部控制审计报告披露的内部控制缺陷为研究样本,一共有146家上市公司的内部控制审计报告披露了内部控制缺陷。
2. 数据来源。本文内部控制审计报告所披露的内部控制缺陷的信息,来自DIB内部控制与风险管理数据库的内部控制审计信息库和内部控制审计缺陷库。笔者对原始数据进一步整理,对上市公司所披露的内部控制缺陷进行分类。若一个公司同一年度存在多个内部控制缺陷,或一个缺陷属于多个要素,或一个缺陷同时属于一个内部控制要素的多个内容时,分别计算对应要素在内容上的缺陷一项,因此下文统计的146家上市公司共有320项内部控制缺陷。
三、内部控制缺陷按照内部控制五要素的分类分析
1. 内部控制缺陷按照内部控制五要素分类的总体分析。从表2可以看出,缺陷比例最高的是控制活动,由于上市公司业务内容复杂多样,因此这属于正常情况;其次是内部环境的缺陷,占内部控制缺陷总数的比例为31.88%,值得关注。因为内部环境是内部控制要素中最关键的要素,如果内部环境存在缺陷,即使其他的内部控制要素表面上符合内部控制制度的要求,在执行的过程中也会随时出现问题,从而导致内部控制失效。

 

 

 

 


2. 内部控制缺陷在内部控制各要素分布的详细分析。
(1)内部环境。内部环境指的是企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。公司治理结构的关键是根据《公司法》保证股东(大)会、董事会、监事会、经理层的合理设置和有效运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立、实施及日常工作;应当在董事会下设立审计委员会,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。根据《企业内部控制基本规范》进一步细分内部环境缺陷,上市公司披露内部环境缺陷的情况如表3所示。

 

 

 

 

 


由表3可知,内部环境的主要缺陷包括以下五类:①法制观念的内部控制缺陷是企业违法违规受到处罚或者调查的事项。法制观念的缺陷合计42项,占内部环境缺陷的41.18%,占本文所统计的内部控制缺陷总数的13.13%,表明上市公司违法违规现象比较严重。法制观念的缺陷揭示了我国上市公司的董事会、经理层法制观念淡薄,越权审批、串通舞弊、明显违规的现象较多,尤其是关联交易缺乏有效内部控制,导致违规比较多。②股东(大)会、董事会、监事会、经理层以及内部机构设置权责不清,主要包括上市公司与其母公司存在组织机构重叠,或者上市公司对其子公司缺乏有效控制。③受母公司资金、人事集中管理的影响,部分国有控股上市公司的高管薪酬、资金管理、人事任命等直接受母公司控制管理,影响了上市公司作为独立法人的资金使用权、高管的聘用权等权利的独立性。④内部机构设置权责不清晰,导致重要业务缺乏有效控制。⑤企业没有设置内部审计机构,或者内部审计机构隶属于财务部门,或者内部审计人员数量和业务能力不足,导致内部审计无效或效率低下。
(2)风险评估。企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定企业对各种风险的承受能力,制定风险应对策略。根据《企业内部控制基本规范》进一步细分风险评估缺陷,上市公司披露风险评估的情况详见表4。

 

 

 

风险评估的缺陷比较少,可能与风险评估在我国内部控制建设中运用不足、理解不够有关。内部风险的主要因素有:人力资源因素、管理因素、自主创新因素、财务因素、安全环保因素、其他内部风险因素。表 4中的5例内部风险缺陷基本上都属于安全环保方面的缺陷,这些缺陷所引发的安全事故使公司遭受重大损失。外部风险的主要因素有:经济因素、法律因素、社会因素、科学技术因素、自然环境因素、其他外部风险因素。表4中的7例外部风险缺陷基本上都属于对客户的了解不充分、涉外业务的外汇风险等经济方面的缺陷。内部控制审计报告都没有披露存在缺陷的风险应对策略。
(3)控制活动。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制、应急处理机制等。笔者根据《企业内部控制基本规范》进一步细分控制活动缺陷,上市公司披露内部环境缺陷的情况如表5所示。

 

 

 

 

 

 

由表5可知,内部控制审计报告没有披露存在缺陷的应急处理机制,控制活动的缺陷主要发生在会计系统、财产保护和授权审批的控制措施中。有缺陷的控制活动业务主要有以下五类:①资金使用审批、结算凭证管理等方面存在不足;大额对外借款的担保业务缺少风险评估和必要的审批流程。②采购业务方面,企业缺乏对供应商评估和管理,应付账款没有及时核对导致与供应商发生纠纷;对存货质量、出入库缺乏有效控制,尤其是对第三方存放在本企业的存货、本企业存放在第三方的存货缺乏有效控制,导致存货损失。③销售业务方面,企业缺乏对赊销客户的信用审查和赊销审批,缺乏对应收账款的持续监管和跟踪,导致赊售产生重大损失。④重大工程、对外投资缺乏风险评估和严谨的可行性评估,未经相应审批就执行;后期缺乏对工程和对外投资的监管,导致项目亏损、对外投资失败。⑤会计核算流程的设计缺陷或者运行失效,导致上市公司不对外进行信息披露或者信息披露不完整。
(4)信息与沟通。企业应当明确相关信息的收集、处理和传递程序,确保信息及时传递;加强对信息系统的控制,保证信息系统安全稳定运行;建立反舞弊机制,建立举报投诉制度和举报人保护制度。笔者进一步细分了信息与沟通缺陷,上市公司披露信息与沟通缺陷的情况如表6所示。

 

 

 

 

 

由表 6可知,内部控制审计报告没有披露存在缺陷的反舞弊机制、举报投诉和举报人保护制度。信息与披露的缺陷主要是由于信息的处理和传递不够及时、信息收集不够完整,最终导致信息披露不全面或者不符合信息披露质量的要求。信息系统的缺陷仅有1项,该缺陷是2013年的光大证券乌龙指事件。信息系统安全方面的缺陷数量少,但并不意味着我国信息系统的安全可靠性与信息系统辅助控制经营活动非常好,可能与我国现阶段信息系统审计以及内部控制信息化对控制活动影响的研究与实践还比较落后有关。
(5)内部监督。企业应当制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责、权限,规范内部监督的程序、方法和要求;将内部监督分为日常监督和专项监督;制定内部控制缺陷认定标准;定期对内部控制的有效性进行自我评价;妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。上市公司披露内部监督缺陷的情况如表7所示。

 

 

 

 


由表7可知,所有上市公司都制定了合理的内部控制监督制度、内部控制缺陷认定标准。内部监督的缺陷主要存在常性的工作,因此这方面的缺陷多也较为正常。
五、应对内部控制缺陷的措施与建议
基于本文对内部控制缺陷的分析结果,以及分类统计过程中发现的内部控制信息披露中存在的问题,笔者从实施内部控制制度的监管机构、上市公司和会计师事务所三个层面提出了如下建议。
1. 监管机构应该加大对企业违法违规活动的处罚力度,改进内部控制缺陷披露制度。表 3 ~  表7表明,我国当前内部控制的主要缺陷有以下三点:一是违反《公司法》的有关规定,导致公司治理和内部机构设置不健全;二是违反关联交易等法规,使公司受到相关部门的调查和处罚;三是不严格执行会计准则,导致会计信息不真实。因此,应该加大对上述违法违规行为的惩罚力度,改善公司的内部环境,整体提高内部控制质量。
在细分研究内部控制缺陷的过程中,笔者发现,我国内部控制缺陷的披露,大多数仅仅披露事情的结果或者问题本身,而没有说明内部控制缺陷产生的根本原因,以及内部控制缺陷的具体内容。这导致内部控制审计报告的阅读者难以判定内部控制缺陷的具体内容和严重程度。同样的事故或损失,由于所披露的内部控制缺陷所处的环节不同,则对企业所面临风险的判断也不同,因此仅仅描述内部控制缺陷产生的后果是不够的。
应该要求企业在披露内部控制缺陷时,不仅要描述内部控制缺陷导致的结果,而且要具体分析,指明该缺陷属于哪一个内部控制要素,违反了《企业内部控制基本规范》及《企业内部控制应用指引》中的哪一项条款,以准确描述内部控制缺陷所在的具体环节和内容。建议企业披露内部控制缺陷时将其进行以下分类:财务报告缺陷与非财务报告缺陷,重大缺陷、重要缺陷与一般缺陷。要求企业披露内部控制缺陷是否影响财务报表数据以及影响金额。
2. 上市公司应该加强高风险业务的内部控制制度建设。内部控制制度的建设需要企业高级管理人员重视,全体员工参与。企业应该加强内部控制制度的学习,宣传内部控制的重要性,让全体员工尤其是企业的高级管理人员认识到内部控制制度的重要性,认识到内部控制对提高企业经营效率、降低风险的重要作用,从而积极、主动地推动内部控制制度的建设。
从表 5可以看出,控制活动的缺陷主要发生在货币资金、大额对外借款的担保业务、应收应付账款、财产保护以及重大投资项目的控制方面。因此,企业应该加强对货币资金管理的监督检查,保证货币资金管理制度的有效运行;加强对供应商和客户的资信调查,以提高销售和采购业务的管理控制,及时核对往来账款,加强对存货等财产的保护和控制。大额对外借款的担保业务、重大投资项目的内部控制缺失会给企业带来重大损失,所以应该加强对外担保、重大项目的可行性研究、风险控制和审批流程控制。
3. 会计师事务所应该提高专业胜任能力,加强对内部控制缺陷的分类判断。对内部控制缺陷的准确理解和认定,有助于提高内部控制审计和内部控制缺陷披露的质量。内部控制具有很强的整体性和系统性,一个重大事故或者舞弊的出现往往涉及多项内部控制的失效。因此,在实际工作中,正确识别一项事故或者舞弊中存在的内部控制缺陷比较困难。会计师事务所应该加强对员工的培训,帮助员工更好地判断内部控制缺陷的具体要素归属和缺陷产生的原因。
注册会计师应该特别关注以下几个容易混淆的内容:①内部环境的缺陷会导致控制活动和内部监督的缺陷,因此不必同时将内部环境的缺陷归为控制活动以及内部监督的缺陷;②控制活动中“不相容职务分离控制”的缺陷,是在内部机构已经按照内部环境要求设立后,因内部机构的权责划分存在不足所致,与内部环境要素中的“内部机构设置”无关;③内部环境要素中“内部审计机构”的缺陷,不必再划分为内部监督要素的缺陷;④控制活动在制度设计上存在缺陷,也应该同时属于内部监督要素中的“日常监督和专项监督”的缺陷;⑤内部监督要素中的“日常监督和专项监督”有发现经常性或者重大业务不执行内部控制制度的责任,因此这两类内部控制运行缺陷也应该同时归为“日常监督和专项监督”的缺陷;⑥只可将涉及信息系统设计、信息系统安全运行的缺陷划分为信息与沟通要素中“信息系统”缺陷,企业利用信息系统管理企业的业务流程存在的缺陷则应该归属于控制活动的缺陷。

主要参考文献:
财政部会计司.企业内部控制规范讲解[M].北京:经济科学出版社,2010.
Weili Ge,Sarah McVay.The Disclosure of Material Weaknesses in Internal Control after the Sarbanes-Oxley Act[J].Accounting Horizons,2005(3).
林斌,刘春丽,舒伟,魏广剡.中国上市公司内部控制缺陷披露研究——数据分析与政策建议[J].会计之友,2012(25).
董卉娜,陈峥嵘,朱志雄.上市公司内部控制缺陷披露现状分析——基于2009 ~ 2010 年深市主板A股的实证分析[J].证券市场导报,2015(8).
赵耿,王永超.新制度实施后内部控制缺陷披露现状探究[J].会计之友,2014(26).
Doyle J., Ge W., Mcvay S..Determinants of weaknesses in internal control over financial reporting[J].Journal of Accounting and Economics,2007(44).