上市公司2013年实施企业内部控制规范体系情况分析报告
- 发布时间:2014-10-10 01:32:03 来源:中国证券报 责任编辑:罗伯特
根据财政部、证监会、审计署、银监会和保监会联合颁布的《企业内部控制基本规范》及其配套指引,以及财政部、证监会发布的《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》(财办会〔2012〕30号)的要求,我国企业内部控制规范体系自2011年1月1日起首先在境内外同时上市的公司施行,2012年实施范围扩大到国有控股主板上市公司,2013年进一步扩大到一定规模以上非国有控股主板上市公司。为了全面、深入了解我国上市公司实施企业内部控制规范体系情况,财政部、证监会联合山东财经大学,跟踪分析了2013年沪深两市所有公开披露的年度内部控制评价报告、内部控制审计报告、年度报告等公开资料,结合我国上市公司2011年、2012年实施企业内部控制规范体系情况,以及财政部和证监会在推动内部控制规范体系实施和日常监管工作中掌握的有关情况,形成了《我国上市公司2013年实施企业内部控制规范体系情况分析报告》(以下简称“本报告”)。
一、2013年我国上市公司实施企业内部控制规范体系基本情况
(一)总体披露情况
截至2013年12月31日,沪、深交易所共有上市公司2489家,其中,沪市上市公司953家,深市上市公司1536家。
2013年,共有2312家上市公司披露了内部控制评价报告,占上市公司总数的92.89%,数量及比例均比2012年有所提高。其中沪市781家,占沪市上市公司的81.95%,深市1531家,占深市上市公司的99.67%;主板上市公司1256家,中小板上市公司701家,创业板上市公司355家。
在2312家披露内部控制评价报告的上市公司中,2287家内部控制评价的结论为有效;9家公司的财务报告内控有效,非财务报告内控无效;8家公司的财务报告内控无效,非财务报告内控有效;6家公司的财务报告内控和非财务报告内控均无效;2家公司未出具内部控制有效性结论。
在2312家披露内部控制评价报告的上市公司中,428家披露了内部控制缺陷,占比18.51%,其中31家披露了内部控制重大缺陷,37家披露了内部控制重要缺陷,377家披露了内部控制一般缺陷;1884家未披露内部控制缺陷,占比81.49%。
披露内部控制缺陷的428家上市公司共披露缺陷1021项,其中重大缺陷51项,占比5%;重要缺陷76项,占比7.44%;一般缺陷894项,占比87.56%。
2013年,共有1816家上市公司聘请会计师事务所对内部控制的有效性进行审计或者鉴证,占72.96%。其中,1802家上市公司披露了内部控制审计或鉴证报告,占上市公司总数的72.40%,较2012年61.48%的比例有较大增长;10家上市公司披露内部控制审计意见,但未披露内部控制审计或鉴证报告;4家上市公司既未披露内部控制审计意见,也未披露内部控制审计或鉴证报告。
在披露内部控制审计意见的1812家公司中,标准无保留意见1753家,占比96.74%;非标准意见59家,占比3.26%,其中,带强调事项段和(或)非财务报告重大缺陷的无保留意见43家,否定意见13家,无法表示意见1家,保留意见2家。非标准无保留意见的类型、数量和比例均比去年有所增加。
(二)纳入实施范围上市公司内控规范体系实施情况
根据财政部、证监会《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》(财办会〔2012〕30号)要求,境内外同时上市公司、中央和地方国有控股主板上市公司,以及非国有控股主板上市公司,且于2011年12月31日公司总市值(证监会算法)在50亿元以上,同时2009年至2011年平均净利润在3000万元以上的,应在披露2013年公司年报的同时,披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。经统计,2013年纳入实施范围的上市公司共1052家。其中,2013年新纳入实施范围204家。
1.纳入实施范围上市公司的总体情况
在纳入实施范围的1052家公司中,沪市有716家,深市有336家;A股有1036家,B股有16家;国有上市公司有857家,非国有上市公司有195家;销售收入低于1亿元的有9家,销售收入大于1亿元小于10亿元的有158家,销售收入大于10亿元小于100亿元的有603家,销售收入大于100亿元的有282家;被ST或PT的上市公司有28家。
2.内部控制评价报告披露情况
2013年,纳入实施范围的1052家上市公司全部披露了内部控制评价报告。其中,1038家上市公司内部控制评价结论为有效,占比98.57%;8家公司的财务报告内控有效,非财务报告内控无效,分别为农产品(000061)、川化股份(000155)、泸天化(000912)、广汇能源(600256)、*ST亚星(600319)、金晶科技(600586)、*ST三毛(600689)、光大证券(601788);5家公司的财务报告内控无效,非财务报告内控有效,分别为上海家化(600315)、五洲交通(600368)、风神股份(600469)、西部矿业(601168)、*ST锐电(601558);大有能源(600403)的财务报告内控和非财务报告内控均无效。
披露内部控制评价报告的1052家上市公司中,1012家披露了内部控制缺陷认定标准,其中987家上市公司明确了财务报告内控缺陷认定标准和非财务报告内控缺陷认定标准,25家上市公司未区分财务报告和非财务报告内控缺陷认定标准。40家上市公司未披露内部控制缺陷认定标准。
披露内部控制评价报告的1052家上市公司中,披露内部控制缺陷的上市公司272家,占比25.86%。其中,116家上市公司区分财务报告和非财务报告披露内部控制缺陷;156家上市公司未区分财务报告和非财务报告披露内部控制缺陷。780家上市公司未披露内部控制缺陷,占比74.14%。
区分财务报告和非财务报告披露内部控制缺陷的116家上市公司中,披露财务报告内部控制重大缺陷的上市公司有6家,披露财务报告内部控制重要缺陷的上市公司有15家,披露财务报告内部控制一般缺陷的上市公司有38家;披露非财务报告内部控制重大缺陷的上市公司有11家;披露非财务报告内部控制重要缺陷的上市公司有21家,披露非财务报告内部控制一般缺陷的上市公司有64家。未区分财务报告和非财务报告披露内部控制缺陷的156家上市公司披露内部控制缺陷的基本为一般缺陷。
在披露内部控制缺陷的272家上市公司中, 65家披露了内部控制缺陷的具体内容,共披露内部控制缺陷162个,其中控制活动缺陷112个,内部环境缺陷18个,信息与沟通缺陷13个,风险评估缺陷11个,内部监督缺陷8个。缺陷数量由多到少排列分别是:控制活动的授权审批控制缺陷(32个)、会计系统控制缺陷(32个)、财产保护控制缺陷(18个)、运行分析控制缺陷(15个),风险评估缺陷(11个)和信息与沟通缺陷(11个)。
3.内部控制审计报告披露情况
截至2014年4月30日,在2013年纳入实施范围的1052家上市公司中,有1049家上市公司披露了内部控制审计报告,其余3家上市公司仅在年度报告中披露内部控制审计意见,但并未披露内部控制审计报告。其中,标准无保留意见1005家,占比95.53%;非标准意见47家,占比4.47%。在非标准意见中,否定意见9家,带强调事项段的无保留意见33家,披露非财务报告内部控制重大缺陷的无保留意见8家。
2013年,共有39家具有证券期货业务资格的会计师事务所为纳入实施范围的1052家上市公司提供了内部控制审计业务。其中,前十大事务所执行内部控制审计业务的上市公司家数占总市场份额的66.25%,内部控制审计业务市场集中度比较高。
2013年,纳入实施范围的1052家上市公司中,1032家采用整合审计的方式开展内部控制审计和财务报表审计,占比98.1%,20家单独实施内部控制审计,占比1.9%。
2013年,纳入实施范围的1052家上市公司中,109家公司的内部控制审计机构发生了变更,占比10.35%,其中有102家上市公司基于整合审计的考虑,同步变更了内部控制审计机构和财务报告审计机构。
在纳入实施范围的1052家上市公司中,内部控制审计意见类型基本与财务报表审计意见类型保持一致。财务报表被出具非标准无保留意见、同时内部控制被出具非标准无保留意见的公司有18家。
2013年,纳入实施范围的1052家上市公司中,单独披露内部控制审计费用的上市公司为849家,占80.70%。披露内部控制审计费用的849家公司中,内部控制审计费用的均值为58.24万元。方大炭素(600516)支付的审计费用最低,为6万元,中国银行(601988)支付的审计费用最高,为1500万元。
(三)未纳入实施范围上市公司内控规范体系实施情况
2013年,未纳入内部控制规范体系实施范围的上市公司有1437家,其中的1260家上市公司自愿披露了内部控制评价报告,占比87.68%,较2012年的84.87%有所增加。自愿披露内控评价报告的1260家公司中,主板有210家,占比16.67%;中小板695家,占比55.16%;创业板355家,占比28.17%。
2013年,所有自愿披露的1257家上市公司披露的内部控制有效性结论均为有效;2012年,有2家自愿披露的上市公司披露的内部控制有效性结论为无效。
自愿披露内部控制评价报告的1260家上市公司中,492家上市公司未披露内部控制缺陷认定标准,占比39.04%,而纳入实施范围上市公司中未披露内控缺陷认定标准的公司比例仅为3.8%,这在一定程度上说明纳入实施范围上市公司内控信息披露质量较高。未纳入实施范围自愿披露内部控制缺陷认定标准的主板上市公司比例与中小板上市公司比例差别不大,但明显优于创业板上市公司的披露比例。
自愿披露内部控制评价报告的1260家上市公司中,披露内部控制缺陷的上市公司有156家,占比12.41%,纳入实施范围上市公司披露内部控制缺陷的公司占比为25.86%;区分财务报告和非财务报告披露内部控制缺陷的上市公司有70家,占比5.57%,相比而言,纳入实施范围上市公司占比为11.03%。未纳入实施范围披露内部控制缺陷的主板上市公司比例明显高于中小板和创业板上市公司,中小板上市公司的披露比例略高于创业板上市公司的披露比例。
2013年,未纳入内部控制规范体系实施范围的1437家上市公司中,有756家披露了内部控制审计报告,占比51.88%,较2012年41.66%有所增加。其中,主板71家,占比9.39%;中小板472家,占比62.43%;创业板213家,占比28.18%。
在未纳入内部控制规范体系实施范围的1432家上市公司中,有761家披露了内控审计意见,其中标准无保留意见为749家,带强调事项段的无保留意见为5家,保留意见2家,否定意见为4家,无法表示意见1家。
在761家披露内控审计意见的上市公司中,698家未披露内部控制审计费用,仅63家单独披露了内部控制审计费用,其中,罗普斯金(002333)支付的审计费用最低,为2万元,苏宁云商(002024)支付的审计最高,为220万元。
二、企业内部控制规范体系实施以来取得的成效
总体来看,企业内部控制规范体系自发布实施以来,实施范围不断扩大,实施效果逐年显现,有效提升了企业的经营管理水平及风险防范和应对能力,有力保护了投资者权益和公众利益。
(一)政府监管部门联合行动,积极推动我国上市公司和中央企业贯彻实施企业内部控制规范体系
近年来,财政部、证监会等部门精心组织、周密安排,密切跟踪内部控制规范实施过程中反映出来的各种突出问题,采取多种措施积极推动我国上市公司和国有大中型企业施行企业内部控制规范体系。一是按照“总结经验、稳步推进”的原则,在2011年首先选择内控体系较为健全的境内外同时上市公司开展试点的基础上,针对我国上市公司内控水平存在较大差异的实际情况,财政部会同证监会制定了主板上市公司分类分批实施方案,确保内控规范实施落到实处、取得实效。二是财政部联合国资委推动中央企业加快构建内部控制体系,要求全部中央企业用两年的时间,按照《企业内部控制基本规范》及其配套指引的要求,建立起规范、完善的内部控制体系,组织开展内部控制年度自我评价与审计工作。三是密切跟踪上市公司实施和试点情况,财政部会同证监会等有关部门对实施中的普遍性问题进行了分析研究,先后发布两项企业内部控制规范体系实施中相关问题解释,就企业内部控制规范实施的共性问题提出了具体的指导意见。四是针对近两年来有些上市公司在执行企业内部控制规范体系过程中存在的内控评价报告内容与格式不统一、内控缺陷标准和缺陷认定不恰当、评价结论不客观等问题,证监会、财政部联合制定发布了《公开发行证券的公司信息披露编报规则第21号--年度内部控制评价报告的一般规定》(以下简称”21号文”),进一步规范上市公司年度内控评价报告格式和内容,提高内部控制信息披露质量。五是为了宣传贯彻企业内部控制规范体系,普及内部控制相关知识,财政部、证监会、国资委、中注协、中国会计报等单位联合举办了企业内部控制知识竞赛。全国共有210万人参加了竞赛,在全社会掀起参加内控竞赛、学习内控知识的高潮,有力地促进了企业内部控制规范体系的贯彻实施。
(二)实施企业对内部控制的重视程度日渐增强,逐步建立健全了符合企业实际的内部控制体系
企业内控规范体系发布以来,我国上市公司和国有大中型企业高度重视,精心组织,严格实施,努力探索并建立健全具有中国特色、符合企业实际的内部控制体系。一是加强组织领导,发挥主导作用。企业内部控制规范体系明确要求企业董事、监事、经理及其他高级管理人员要在内部控制体系构建中发挥主导作用。各有关企业负责人充分认识到建立健全内部控制体系的重要性和必要性,加强组织领导,强化责任意识,成立或指定专门工作机构,有力推动了企业内部控制规范体系的贯彻实施工作。二是梳理业务流程,健全内部控制制度。企业内部控制规范体系以原则为导向,如何将企业内部控制规范体系中的理念和方法与企业的治理结构、业务流程、管理制度很好地衔接、融合,是贯彻实施工作的关键。有关企业根据监管要求,结合行业的特点和企业经营管理状况,认真梳理业务流程,建立健全适合企业实际的内部控制制度体系。三是健全风险评估机制,提升风险应对能力。各实施企业围绕企业战略目标,全面辨识各类风险,根据风险发生的可能性和影响程度评估风险等级,针对重大风险制定风险应对策略及改进措施,并强化全体员工的风险意识,培育良好的风险文化。四是优化信息系统,提高控制效率效果。企业内部控制规范要求相关的内部控制措施要有效地嵌入企业信息系统。有关企业加大对企业信息系统的改造或新建投入,充分运用信息技术实现对各类业务和事项的刚性控制,减少人为操纵因素,提高内部控制工作效率和执行力。
(三)内部控制评价工作更加规范,内部控制评价报告的披露数量和质量逐年提高
实施内部控制自我评价是推动企业内控规范有效实施和不断完善的一项重要制度安排。近年来,越来越多的上市公司通过开展内部控制评价工作,查找、分析存在的内部控制缺陷,认真编制并披露内部控制评价报告,并有针对性地采取有效应对措施,及时堵塞管理漏洞,建立内部控制评价工作长效机制,持续改进和完善企业内部控制体系,促进企业管理水平不断提升。
1.披露内部控制评价报告和内部控制缺陷的上市公司数量逐年增多。2008年至2013年,披露内部控制评价报告的上市公司从1076家增加至2312家,披露比例也从67%增加至93%。2013年,纳入实施范围的1052家上市公司全部披露了内部控制评价报告;在未纳入实施范围的上市公司中,中小板、创业板上市公司根据深圳证券交易所的有关要求,也全部披露了内部控制评价报告。
披露内部控制评价报告的2312家上市公司中,1777家上市公司披露内部控制缺陷认定标准,428家上市公司披露内部控制缺陷。披露内部控制缺陷认定标准和内部控制缺陷的上市公司数量均较前两年有大幅度的提升。
2.内部控制评价报告披露的内容更加全面、准确,披露质量逐年提高。近年来,内部控制评价信息披露的规范性不断提高,特别是2014年1月证监会、财政部制定发布了21号文,进一步规范了上市公司内部控制评价报告格式和内容。2013年,共有1574家遵循21号文的要求编制披露了内部控制评价报告,占比68%;在纳入实施范围的1052家上市公司中,934家遵循了21号文的要求,占比89%。
2013年,在纳入实施范围的1052家上市公司中,935家公司将“控制环境”纳入评价内容,占88.88%;689家公司将“风险评估”纳入评价内容,占65.49%;979家公司将“控制活动”纳入评价内容,占93.06%;748家公司将“信息与沟通”纳入评价内容,占71.1%;541家公司披露将“内部监督”纳入评价内容,占51.43%,评价内容趋于全面。
在内部控制缺陷认定标准方面,大部分上市公司不仅区分财务报告和非财务报告内部控制缺陷认定标准,还区分定量标准和定性标准,定性标准又区分重大缺陷和重要缺陷披露,内控缺陷评价标准更具体,更易于理解,更具有操作性。
3.内部控制缺陷整改的积极性较高。存在内部控制缺陷的部分上市公司不仅披露内部控制缺陷的具体类型和内容,还披露缺陷整改的具体措施,以及整改实施情况和进一步的整改计划。2013年,共有807家上市公司披露内部控制缺陷整改情况。在纳入实施范围并披露内部控制缺陷的272家上市公司中,245家上市公司披露了内部控制缺陷整改情况,披露内部控制缺陷的大多数上市公司能够采取有效措施对发现的内部控制缺陷予以整改。
(四)内部控制审计的监督作用更加有效,内部控制审计报告的披露数量和质量稳步提升
内部控制审计是贯彻实施企业内部控制规范体系的重要制度安排,同时也改变了我国会计师事务所业务结构单一的局面,为注册会计师行业做强做大提供了新的业务增长点。近年来,有关会计师事务所组建专业团队,强化内部控制专业培训,科学制订审计计划,将内控审计与财务报表审计有效整合,严格实施内部控制有效性测试,如实发布审计意见,提升了内控审计质量,内部控制审计的监督作用更加有效。
1.披露内部控制审计报告的上市公司数量逐年上升。2008年至2013年,聘请会计师事务所对内部控制有效性进行审计并出具审计报告的上市公司数量从316家增加至1802家,出具报告比例也从20%增加至72%,披露绝对数以及比例均呈较快上升的趋势。
2.审计师规范执业,内部控制审计的监督效能提升。越来越多的注册会计师在内部控制审计过程中,勤勉尽责,规范执业,努力发现上市公司存在的财务报告内部控制缺陷,充分关注、披露非财务报告内部控制缺陷,并提出针对性的改进建议。2013年,在披露内部控制审计意见的1812家公司中,标准无保留意见为1753家,占比96.74%,非标准意见为59家,其中47家为纳入实施范围的上市公司。
三、企业内部控制规范体系实施中存在的主要问题
企业内部控制规范体系的建立健全和有效实施是一项复杂的系统工程,必然要经历一个逐步摸索、逐步提高的过程。在企业内控规范体系贯彻实施工作取得一定成效的同时,不可避免地会出现各种各样的问题。本报告通过对上市公司公开披露的内部控制评价报告、内部控制审计报告等资料的分析,结合财政部和证监会在日常监管工作中掌握的信息,总结出以下企业内控规范体系实施中存在的主要问题。
(一)有关责任主体在企业内部控制规范体系实施中存在的问题
1.部分实施企业开展内控体系建设的内生动力缺失,存在内部控制被人为逾越的现象,少数企业评价内部控制有效性有失客观和公允。部分实施企业开展内部控制体系建设仅为满足监管要求,缺乏实现企业战略目标和提升管理效率的内生动力,内控体系建设多是做表面文章和形式化操作,内控手册经常被束之高阁,或内部控制与企业战略、经营管理各行其道。有些实施企业“官本位”的思想严重,企业领导人利用手中的权力和影响,随意逾越内部控制要求,导致企业内部控制失效;也有一些企业为了追求自身利益出现团体串通舞弊的现象,致使内部控制形同虚设。少数企业在开展内部控制评价工作时,评价范围不全面、缺陷认定标准不恰当、缺陷认定随意性强,造成内部控制有效性结论有失客观和公允。还有些企业对存在的内部控制缺陷视若无睹,同一内控缺陷每年重复出现,缺乏及时有效的整改。
2.内控审计、内控咨询业务质量有待进一步增强,低价竞争的现象依然十分严重。有些上市公司存在审计师和管理层在内控审计的范围、缺陷标准的认定、内控有效性的结论等方面,标准不一,结论不同,影响了投资者对于上市公司内部控制有效性的判断。部分审计师、咨询顾问在内控审计和咨询领域业务经验相对较少,缺乏一套标准、规范且成熟有效的内控评价或审计流程及方法论,造成审计或咨询工作过程细化度不够,业务操作不规范。部分审计师对审计底稿文档的质量要求不高,很多文档编制不完整或质量较低,加之质量复核不到位,难以全面反映内控审计的过程,不能为审计结论提供充分的支持证据。内控审计和咨询行业低价竞争的现象依然十分严重,部分内控审计机构和咨询机构低价招揽客户,有些上市公司内部控制审计费用仅为几万元,严重影响了内控审计和咨询服务质量。还有些上市公司将内部控制审计费用与财务报表审计费用捆绑在一起,不单独披露内部控制审计费用,使得监管机构等利益相关者无法全面监督上市公司的内部控制审计情况。此外,还存在部分会计师事务所同时为一家公司提供内控咨询和内控审计的情况,内控审计的独立性受到损害。
3.政府监管部门在提高企业内控规范体系的操作性和指导性、开展内控规范实施情况监督检查等方面的工作仍需进一步加强。我国现行的企业内部控制规范体系属于原则性规定,更具操作性和指导性的行业内部控制操作指南尚未形成体系,造成企业在开展内控体系建设时,仅以满足监管要求为出发点,生搬硬套,不切合实际,没有将内部控制与企业经营管理有效融合;同时还造成企业在开展内控评价时,缺陷认定标准不科学,缺陷认定程序不规范,内控缺陷认定结果不客观、准确,致使内控评价工作存在走过场现象。同时,政府监管部门对内部控制规范体系实施情况的监督检查工作有待增强,应在总结我国企业内部控制规范体系建设与实施经验的基础上,完善相关监督检查规程,系统性地、有针对性地开展对上市公司和会计师事务所贯彻执行企业内部控制规范体系情况的专项检查活动,不断强化对企业内控规范体系实施情况的监管工作,并加大监督检查和处罚力度,促进有关上市公司和会计师事务所更加有效地实施企业内部控制规范体系。
(二)内部控制信息披露存在的问题
1.内部控制评价报告披露存在的问题
(1)内部控制缺陷认定标准不够恰当。一些上市公司内部控制缺陷认定标准披露不完整,未区分财务报告内部控制和非财务报告内部控制披露缺陷标准,或者只披露了内部控制缺陷的定量标准,未披露定性标准。据统计,在区分财务报告和非财务报告披露内部控制缺陷认定标准的987家上市公司中,78家上市公司未披露财务报告内部控制重大缺陷定性标准,362家上市公司未披露财务报告内部控制重要缺陷定性标准,109家上市公司未披露非财务报告内部控制重大缺陷定性标准,445家上市公司未披露非财务报告内部控制重要缺陷定性标准。
上市公司之间披露的内部控制缺陷认定标准可比性不强,同行业、类似规模上市公司界定的内部控制缺陷认定标准存在较大差异,类似的缺陷在某些公司归属于重大缺陷,而在另外一些公司却被归属于重要缺陷,甚至一般缺陷。有些上市公司界定的内控缺陷标准则不规范,如有些标准既是重大缺陷的定性标准,也是重要缺陷的定性标准,或者财务报告与非财务报告内控缺陷的界定采用相同的标准。此外,一些上市公司对内部控制缺陷定性标准表述不具体,只是简单引用21号文中缺陷分类的定义。
(2)内部控制缺陷内容的披露不够规范。一是对缺陷性质及影响披露不够充分。纳入实施范围并披露内部控制缺陷的272家上市公司中,179家上市公司未披露内部控制缺陷的内容,披露内部控制缺陷的相关披露也不够详细,大多数只是对缺陷做出笼统描述,没有详细披露内部控制缺陷的具体内容。二是对缺陷性质及影响披露不够准确。首先,部分上市公司内部控制缺陷披露侧重于内部控制缺陷导致的影响和后果,而非内部控制缺陷本身的性质,例如披露的财务报告内部控制重要缺陷为发生的财务报表错报,披露的非财务报告内部控制缺陷为发生的安全事故等。其次,未按照既定的内部控制缺陷标准认定内部控制缺陷。一些公司虽然分别披露了财务报告和非财务报告披露内部控制缺陷认定标准,但却未按这些标准进行分类认定内控缺陷。此外,对内部控制缺陷影响程度披露不完整,例如某公司披露由于非财务报告重要缺陷导致发生安全事故,造成员工死伤,该公司在评价该内部控制缺陷影响时只考虑了停产导致的损失,并未考虑由于安全事故而导致公司需要承担的其他各项损失,如员工伤亡的赔偿金、财产损失以及行政罚款等。三是有些企业存在隐瞒内控缺陷的可能性。据统计,在未披露内部控制缺陷的780家上市公司中,却有112家上市公司披露了内部控制缺陷整改情况,说明在未披露内部控制缺陷的企业中,也有部分企业存在内部控制缺陷。
(3)内部控制缺陷整改情况的披露不具体、不规范。据统计,在披露内部控制缺陷整改情况的245家上市公司中,只有58家上市公司根据每个内部控制缺陷性质及影响,披露了内部控制缺陷整改情况和整改计划。部分企业对内部控制缺陷整改措施的披露不够具体,不是针对每项内部控制缺陷披露整改措施,而只是概括提及采取的整改措施,典型的表述如“针对发现的内部控制缺陷,内控评价工作小组已向内控工作小组、董事会及相关管理层进行了汇报,公司已责成相关职能部门及负责人进行整改落实”、“针对执行过程出现的例外情况,公司通过分析产生的原因采取了相应的整改措施”等。
2.内部控制审计报告披露存在的问题
(1)内部控制审计结论中的非标准审计意见比例较低。披露审计意见的1810家上市公司中,被出具非标准审计意见的公司仅占2.82%。其中,纳入实施范围的上市公司中,被出具非标准审计意见的占3.71%,未纳入实施范围的上市公司中,被出具非标准审计意见的仅占1.58%。
(2)内部控制评价结论与内部控制审计结论不一致。有少部分公司被注册会计师出具了带非财务报告内部控制重大缺陷的审计报告或者否定意见的审计报告,其自评报告结论仍然确定为有效。2013年,公司内部控制自评有效而被审计师出具否定内控审计意见的上市公司有5家,公司内部控制自评有效而被审计师出具带强调事项段无保留内控审计意见的上市公司有30家。
(3)内部控制审计报告披露不规范。一些上市公司在披露内部控制报告时,采用的格式、名称不一。如报告名称就有“内部控制审计报告”、“内部控制审核报告”、“内部控制鉴证报告”、“内部控制专项报告”等多种情况。此外,还存在个别公司未按期披露报告的情况。
(4)强调事项段的使用不规范。一是强调事项段强调的事项属于非财务报告内部控制方面的问题,如有强调事项段描述为“企业发展战略及决策偏差”、“分公司在人员、机构方面未实现相互独立,且存在业务同质性”。二是强调事项段描述的内容事项过于简化、模糊,不能为信息使用者提供清晰明确的信息,如强调事项段提及报告期内上市公司被立案稽查或者行政处罚,但是并未进一步说明上市公司被立案稽查或者行政处罚具体情况,未明确导致被立案稽查或者行政处罚的事项是否与财务报告内部控制相关。
四、有关建议
为更好地推动企业内部控制规范体系建设与实施工作,结合前述对2013年我国企业内部控制规范体系实施情况以及存在问题的分析,本报告从政府监管部门、实施企业、内控审计及咨询机构等层面提出相关建议,以进一步提升我国企业内部控制水平和风险防范能力。
(一)政府监管层面
1.研究探索中小板和创业板上市公司实施内控规范体系,进一步扩大内部控制规范体系实施范围。根据深圳证券交易所的要求,2013年所有695家中小板上市公司和355家创业板上市公司全部披露了内部控制评价报告。在此基础上,有关政府监管部门应积极探索在中小板和创业板上市公司范围内实施内控规范体系,对中小板和创业板上市公司的内控现状和实际需求进行调研,深入了解中小板和创业板上市公司内控建设的实际状况,权衡实施成本和预期效益,科学论证,探索研究中小板和创业板上市公司实施企业内控规范体系的有效方法和途径,逐步提高其内控建设水平,从而逐步扩大内部控制规范的实施范围。
2.严格规范上市公司内控评价报告和审计报告的内容与格式,提高上市公司内控信息披露质量。对内控的监管理念应以信息披露为中心,督促上市公司加强内控建设,不断提高公司内控披露水平,加大对内控信息披露违规行为的处罚力度。进一步规范内控评价报告和审计报告的格式与内容,尤其是内控缺陷认定标准、内部控制缺陷类型、缺陷的内容与性质以及内部控制缺陷整改措施,要求上市公司对每个内部控制缺陷披露缺陷内容、缺陷的性质及影响和缺陷整改情况。强化上市公司单独披露内部控制审计费用,以便于监管机构、外部投资者等利益相关者有效监督上市公司的内部控制审计情况,缓解行业低价竞争问题。加强对上市公司提交的内控评价报告和审计报告的格式与内容的审查,杜绝对外披露不合格的内控评价报告和审计报告,提高内部控制信息披露质量。
3.开展对企业执行内部控制规范的监督检查,促进企业内控规范体系的有效实施。针对当前部分上市公司内部控制披露水平较低、流于形式的现状,联合有关监管部门加强对有关企业和会计师事务所执行企业内部控制规范体系情况的监管力度,重点检查企业不披露内控信息、披露不实信息、隐瞒内部控制重大缺陷、发表不实内控有效性结论以及注册会计师出具虚假内控审计意见等,公开曝光并严厉惩处违反企业内部控制规范体系及有关法律法规的机构和个人,促进企业内部控制规范体系的有效实施。
4.通过编制行业内部控制操作指南、发布内部控制实务公告等形式,提高企业内控规范体系的操作性和指导性。针对实施企业的实际情况和现实需求,研究一些典型行业的具体运作特点、共性风险和行之有效的控制措施,制定发布分行业的内控操作指南;同时,根据一些标杆企业在内部控制与风险管理领域的典型做法,研究发布内部控制实务公告,为有关企业开展内部控制建设提供借鉴和参考。
(二)实施企业层面
1.加深对内部控制的认识,加强对企业一把手的控制。人是内部控制最关键的要素,内部控制体系的设计与实施要靠人的作用来推动。企业的一把手是内部控制的第一责任人,是内控工作最重要的推动者,也是最关键的控制对象。企业内部控制体系不仅要控制普通员工,更要控制管理层和一把手,防止出现一把手随意逾越内部控制的现象。实施企业还应当加深对内部控制的认识,尤其要充分认识到内部控制对企业防范风险、提升管理水平等方面的作用,凝聚建立健全内控的内生动力,避免出现企业开展内控体系建设走形式、走过场的做法。
2.高质量地开展内部控制评价,提高内部控制信息披露质量。各实施企业应结合企业实际,科学合理地确定内控评价范围,组建评价工作团队,选配合格评价人员,高质量地开展内控评价工作,充分发现内控缺陷问题,并依据企业内控缺陷认定标准,认定内控缺陷的性质,如实出具内控评价报告。同时,有关实施企业应当按照监管要求,严格遵循21号文关于内控评价报告内容与格式要求,全面客观作好内控评价信息披露工作,提升内部控制信息披露质量。
3.建立健全以内控评级为核心的内部控制全面监督体系,充分发挥内部控制监督作用。企业应当建立以内控制评价为核心,整合财务监督、法律合规、内部审计、纪检监察等职能的全方位、多层次的监督体系,形成监管合力,并将内控评价结果纳入绩效考评体系,建立内控责任追究制度,最大化地发挥内部控制的监督作用。
(三)内部控制审计及咨询机构层面
1.强化专业技术培训,培养内控审计及咨询专业人才,提高专业服务水平。针对内控实施过程中专业机构执业质量参差不齐、内控人才严重匮乏等问题,各内部控制中介机构应强化对内部控制审计及内部控制咨询的专业技术培训,提高专业胜任能力,培养合格的内部控制审计及咨询专业人才,并在执业过程中规范严格执业,不断提高专业服务水平。
2.强化独立性要求,公平合理收费,促进内控审计及咨询服务市场有序健康发展。有关中介机构在开展内控审计和秩序业务时,应严格遵守独立性要求,确保“不能同时为一家企业提供内控咨询和审计服务”,维护市场秩序。各内控审计、咨询机构应当在确保项目质量的前提下,克服短期行为,公平合理收费,坚决杜绝低价恶性竞争现象。