二、研究分析
(一)內部控制評價報告分析67家公司所披露的67份內控評價報告在格式、內容等方面均存在較大差異,本報告將從以下12個方面進一步分析。
1.內部控制評價報告名稱
財政部于2012年2月印發了《企業內部控制規範體系實施中相關問題解釋第1號》,制定了企業內部控制評價報告的參考格式,其中對內控評價報告的名稱表述為“ⅩⅩ公司20xx年度內部控制評價報告”。67家公司披露的內部控制評價報告從名稱上來説,主要分為兩類:一類名稱如“ⅩⅩ公司2011年度內部控制評價報告”,這類報告有54份,佔80.6%。另一類名稱如“ⅩⅩ公司2011年度內部控制自我評價報告”,這類報告有13份,佔19.4%。
2.內部控制責任主體認定
根據《企業內部控制基本規範》、《企業內部控制規範體系實施中相關問題解釋第1號》等文件的規定,建立健全並有效實施內部控制是公司董事會的責任;監事會對董事會建立與實施內部控制進行監督;經理層負責組織領導公司內部控制的日常運行。從公司內部控制責任主體認定和劃分上來看,絕大部分公司對於內部控制責任主體的認定很清晰,僅有少數公司未在內控評價報告中披露相關信息。
圖3 內部控制責任主體分佈情況
3.內部控制目標
67家公司在內控評價報告中全部披露了公司內部控制的目標,從披露的具體內容看,可以分為以下兩類:
(1)以財政部等五部委在《企業內部控制基本規範》中確定的內部控制五目標為公司內部控制目標的有43家。其中17家公司對內部控制目標的表述與《企業內部控制基本規範》相同,即合理保證企業經營管理合法合規、維護資産安全、保證財務報告及相關信息真實完整、提高經營效率效果、促進企業實現發展戰略;有9家公司對內部控制五目標作了進一步闡述,如南京熊貓(600775)在五目標的基礎上增加了“股東利益最優化”、中國鐵建(601186)在五目標的基礎上增加“培育和提升全員內部控制與風險管理意識,形成良好的內部控制與風險管理文化”、中國鋁業(601600)則在五目標的基礎上增加“建立和符合現代企業管理要求的公司法人治理結構”等。
(2)以財務報告相關內部控制目標作為公司內部控制目標的有24家公司。24家公司確定的財務報告相關內部控制的目標差別很小,大多表述如“保證財務報告信息真實完整和可靠、防範重大風險”,也沒有提及經營的合法合規性、資産的安全等目標。
以兩種不同形式披露內部控制目標的公司具體分佈情況見圖4。
圖4 內部控制目標披露分佈情況
4.內部控制評價的依據
2011年是境內外同時上市公司首次執行企業內控規範體系,開展內控評價工作對一些企業來説還比較陌生。財政部等五部委于2010年發佈的《企業內部控制配套指引》為上市公司開展內控評價工作提供了重要指導。67家公司在其內部控制評價報告中以不同的形式披露了內部控制評價的依據,包括所依據的內部規章以及外部法律法規等。由於不同公司在內控評價工作中依據的公司內部控制評價手冊等內部規章有所不同,因此本部分“內部控制評價的依據”是指公司開展內控評價工作所依據的外部法律法規等文件。
67家公司內控自評報告中,遵循的評價依據可以劃分為三個方面:有關法律法規規定、規範性文件和交易所監管規則和其他自律性規定。其中,法律法規包括:《公司法》、《證券法》、美國《薩班斯法案》等;規範性文件包括:財政部等五部委《企業內部控制基本規範》、《企業內部控制配套指引》、證監會《上市公司治理準則》、保監會《保險公司內部控制基本準則》、銀監會《商業銀行內部控制指引》;交易所監管規則和其他自律性規定,包括:深交所《上市公司內部控制指引》、上交所《上市公司內部控制指引》、香港聯合交易所《上市規則》、香港會計師公會《內部監控與風險管理的基本架構》等。
67家公司全部披露《企業內部控制基本規範》是內部控制評價的依據,其中61家公司披露其內部控制評價工作的依據是《企業內部控制基本規範》及其配套指引。這61家公司中,包括具體的以評價指引或應用指引為依據的公司。
67家公司中,有14家上市公司(不包括沒有詳細列舉所依據的其他法律法規和規章制度名稱的公司)在內控評價報告中披露的內控評價工作依據不僅包括《企業內部控制基本規範》及其配套指引,還包括其他法律法規或者規範性文件,佔67家公司的20.9%。這14家公司中,有7家公司評價依據還包括上海證券交易所發佈的《上市公司內部控制指引》;有2家公司評價依據還包括《商業銀行內部控制指引》、《公司法》、《證券法》、SOX法案;有1家公司評價依據還包括深圳證券交易所發佈的《上市公司內部控制指引》。此外,14家公司披露的評價依據還包括證監會《上市公司信息披露管理辦法》、香港聯交所《企業管治常規守則》、上交所《上市公司2011年年度報告工作備忘錄第一號內控報告的編制、審議和披露》、證監會《關於做好上市公司內部控制規範試點有關工作的通知》、香港會計師公會《內部監控與風險管理的基本架構》、《香港聯合交易所有限公司證券上市規則》、《關於做好北京轄區上市公司內控規範實施工作的通知》等。
5.具體負責組織實施內控評價工作的部門
董事會負責建立健全並有效實施內部控制,在董事會及其下屬專業委員會的授權下,由具體的部門或者組織負責內部控制評價的具體實施工作。
具體來説,在內部控制評價工作的開展中,可以將具體負責組織實施內控評價工作的部門、牽頭部門進行如下劃分:
(1)完全由審計部門作為負責部門開展內控評價工作的公司有26家,佔比39%;
(2)以審計部門作為主要負責部門,聯合其他業務部門開展內控評價工作的公司共有14家,佔比21%;
(3)完全由內控或風險部門負責內控評價工作的公司有5家,佔比7%;
(4)由內控評價工作小組開展評價工作的公司有4家,佔比6%;
(5)由多個業務部門聯合開展內控評價工作的公司有11家,佔比16%;
(6)完全由稽核部開展內控評價工作的公司有1家,佔比2%;
(7)未披露開展內控評價部門的公司有6家,佔比9%。
分佈情況見圖5。
圖5 內控評價工作組織實施部門統計分佈情況
雖然67家公司負責組織實施內控評價工作的部門存在較大的差異,但是內控評價工作開展的組織形式相似度較高。由於評價工作涉及的工作面較廣、業務或者事項較多,需要多部門配合,上市公司大多在具體負責部門的組織下,按照《企業內部控制基本規範》及《企業內部控制評價指引》的要求,由來自其他部門的業務骨幹組成內控評價工作小組,開展內部控制評價工作。
6.聘請外部諮詢機構協助公司開展內控建設、內控評價情況
內控評價是一項較為專業性、複雜性的工作,涉及的範圍廣、事項多,開展內控評價工作的公司可以根據自身的需要,選擇具有一定資質的仲介諮詢機構協助公司開展評價工作。
67家公司中,有25家公司在內控評價報告中披露聘請外部諮詢機構協助公司開展內控評價、內控建設諮詢,佔比37%;有9家公司在內控評價報告中披露未聘請外部諮詢機構參與內控評價,佔比14%;有33家公司在內控評價報告中並未披露公司是否聘請外部諮詢機構,佔比49%。具體分佈情況見圖6。
圖6 聘請外部諮詢機構情況
67家公司中,披露聘請外部諮詢機構協助開展內控建設、內控評價等的共有25家[1],除1家公司同時聘請兩家諮詢機構為公司提供內控評估工作技術支持,其它24家公司均只聘請1家公司協助開展內控建設工作或者內控評價工作。其中有11家公司聘請的諮詢機構為中外合作、外資諮詢機構,有12家公司聘請的諮詢機構為內資諮詢機構,有3家公司並未披露諮詢機構具體名稱,具體分佈情況見圖7。
圖7 諮詢機構分佈情況
7.內部控制五要素披露情況
開展內控建設應該以內部控制五要素——內部環境、風險評估、控制活動、信息與溝通、內部監督為核心。67家公司披露的內控評價報告中,對內控五要素的披露方式、內容等均有些差別。
(1)控制環境
控制環境是企業實施內部控制的基礎,《企業內部控制應用指引》中控制環境類指引包括組織架構、發展戰略、人力資源、社會責任和企業文化等指引。從67家公司披露的情況來看,組織架構、發展戰略、人力資源、社會責任和企業文化是企業開展內控環境建設的核心。具體信息如表6。
注:該表格中佔比均為披露某一項控制活動的企業數量佔所有67家企業數量的比例。
(2)控制活動
67家公司內控自評報告存在差異最大的是控制活動要素的披露內容。《企業內部控制配套指引》中以下9項內容涉及控制活動要素:資金活動、採購業務、資産管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包和財務報告。67家公司對控制活動的具體披露情況如表7。
根據企業實際披露情況,本報告增加了非金融類企業7項內容,銀行業12項內容和保險業1項內容,並根據以上內容進行了進一步統計。非金融類企業中,有些控制活動如對外投資、關聯交易、生産與成本管理等被多次披露,這些控制活動通常是對一些行業或某一規模的企業非常重要的內容,其他活動如反舞弊、安全管理、質量管理等披露較少,具體信息如表8。
銀行業企業根據服務種類和面臨風險方面的特點,通常會將最重要的風險領域作為內控的重點,例如:信貸業務控制、零售業務控制或資金業務控製作為內控的重要活動,具體信息如表9。
保險業由於行業特殊,在內控自評報告中,將精算管理作為內控的重要控制活動。
(3)信息與溝通
67份報告中,披露信息與溝通情況的企業共29家,佔總數量的43.3%。如中聯重科(000157)從信息傳遞、信息系統控制、反舞弊程序三個方面披露信息與溝通工作;南京熊貓(600775)則從內部信息溝通和外部信息溝通兩方面披露信息與溝通工作;而部分公司則是簡單描述,如“公司建立了較為完備的信息與溝通體系,內部控制相關信息的收集、處理和傳遞程序規範、運行順暢,溝通及時有效,促進了內部控制的有效運行”。
(4)風險評估
風險的識別與評估是內控自評工作中的一個重要環節,在67份報告中,披露風險評估情況的企業共33家,佔總數量的49.3%。從披露的情況來看,在風險識別中,戰略風險、財務風險、市場風險、運營風險、合規風險及舞弊風險是大多數企業特別關注的風險類型;銀行業則主要按業務類型對風險進行劃分,如招商銀行(600036)將風險劃分為信用風險、流動性和市場風險、操作風險和聲譽風險、合規風險、關聯交易風險等。
(5)內部監督
在67份報告中,披露內部監督情況的企業共34家,佔總數量的50.7%。從披露的內部監督的情況來看,可以發現,諸多企業已經形成了以監事會、董事會及其下屬審計委員會、審計部門為主的三級內控監督體系。《企業內部控制基本規範》要求有條件的企業設置專門的內控機構,但是從67家公司披露的情況來看,很少有企業在評價報告中披露設置專門的內控機構。當前主要的監督職責基本上都由內部審計監督完成,即審計部門接受董事會或其下屬審計委員會委託,對日常生産經營活動實施審計檢查。
8.內控自評採用的測試方法
67份內控自評報告中,披露內控測試方法的企業共56家,所採用的方法主要是以下六種基本方法:個別訪談、問卷調查、專題討論、穿行測試、實地查驗、抽樣。此外,少數企業用到制度審閱法、信息系統取證法等方法,但數量很少,具體信息如表10。
9.內控缺陷認定標準披露情況
內部控制缺陷認定標準的確立是內控評價中的基礎性和關鍵性問題,對於確定內控缺陷,進而對內控缺陷進行整改都有著非常重要的影響。《企業內部控制基本規範》和《企業內部控制評價指引》要求上市公司根據自身情況和關注的重點,確定內部控制重大缺陷、重要缺陷和一般缺陷的具體認定標準。
67家公司中,13家上市公司未披露公司是否制定內控缺陷認定標準,54家公司以不同形式、不同程度披露了公司存在內控缺陷認定標準。在這54家公司中,有22家公司披露其制定了內控缺陷認定標準,但是沒有詳細描述內控缺陷認定標準的具體情況;有32家公司詳細描述了公司內控缺陷認定標準,其中有27家公司披露了定量與定性相結合的內控缺陷認定標準,有3家公司披露了定性認定標準,有2家公司披露了定量認定標準。具體如表11。
企業披露的內控缺陷認定標準中,以披露重大內控缺陷認定標準為主。多數公司對重大內控缺陷的認定標準分為定量標準和定性標準兩個方面。重大內控缺陷認定的定量標準一般是以某一財務報表指標作為計算基礎,以該指標的一定比例作為衡量重要與否的標準,如:營業收入潛在錯報點營業收入總額的0.5%、利潤總額潛在錯報點利潤總額的5%、所有者權益潛在錯報點所有者權益總額的0.5%等等。
重大內控缺陷的定性標準差異較大,除“董事、監事和高級管理人員舞弊;註冊會計師發現當期財務報告存在重大錯報而內部控制在運行過程中未能發現該錯報;審計委員會和內部審計機構對內部控制的監督無效”這幾項在《企業內部控制審計指引》中提及的可能存在重大缺陷的跡象外,還包括如:重要業務缺乏制度控制或制度系統性失效;重要職權和崗位分工中沒有體現不相容職務相分離的要求;企業戰略、投資、募集資金等重大決策、重大事項、重大人事任免及大額資金的管理程度不科學並造成嚴重損失;以前年度評價過程中曾經有過舞弊或錯誤導致重大錯報的經歷,公司沒有在合理的時間內改正所發現的重大缺陷和重要缺陷;不採取任何行動導致潛在錯報或造成經濟損失、經營目標無法實現的可能性不大;不採取任何行動導致潛在錯報或造成經濟損失、經營目標無法實現的可能性極大;對存在的問題不採取任何行動有較大的可能導致嚴重的偏離控制目標的行為;會計人員不具備應有素質以完成財務報表編制工作;控制環境無效等。
尤其值得關注的是,只有東方航空在制定內控缺陷認定標準的同時,制定了公司整體內控有效性判斷標準,明確了缺陷類型及數量與內部控制有效性結論的關係,具體如下:
(1)是否存在重大內控缺陷,如“是”則整體內控無效,“否”則整體內控有效;
(2)是否存在3個以上重要缺陷,如“是”則整體內控無效,“否”則整體內控有效。
10.具體內控缺陷披露情況
內部控制缺陷披露是公司內部控制評價報告非常重要的組成部分,通過披露公司在自我評價過程發現的內部控制缺陷,尤其是內部控制重大缺陷和內部控制重要缺陷,一方面可以使投資者對公司的內部控制整體狀況及公司運行狀況有比較好的把握,另一方面能夠督促公司對存在的缺陷進行整改,進而促進公司內控體系的不斷優化,為促進企業的健康發展提供基礎。
67家公司中,披露公司在報告期內存在內部控制缺陷的有49家,未報告公司存在內控缺陷的有18家。49家披露存在內控缺陷的公司,主要包括以下4種情形:披露公司內控缺陷的個數與內控缺陷內容;僅披露公司內控缺陷的個數;僅披露公司內控缺陷內容;既不披露內控缺陷個數,也不披露公司內控缺陷內容,僅提及公司存在內控缺陷(一般缺陷或重要缺陷),具體情況如表12。
披露公司存在缺陷的49家公司中,僅有1家公司披露其存在1個重大缺陷;2家公司分別披露其存在7個重要缺陷和1個重要缺陷;其餘公司均僅披露存在一般缺陷,且缺陷的個數差異較大,個別公司披露多達1000余個,少則只有1個。
通過對49家公司披露的內控缺陷進行分析,可以發現目前披露的內控缺陷主要包括以下幾種類型:
(1)設計缺陷和運行(執行)缺陷。如設計缺陷(主要是制度建設方面的問題)和執行缺陷(主要指不按制度流程操作的問題),個別公司的機構設置存在重復、交叉或缺失的情況,有待進一步明確職能定位,劃清崗位職責權限;個別子、分公司合同執行情況檢查力度不夠,合同臺賬摘要登記不明細。
(2)公司層面缺陷和業務控制層面缺陷。如某公司將缺陷劃分為公司層面和業務層面,公司層面存在的問題包括:企業業務層面內部控制的自我評價沒有形成完整的工作底稿,只有最終的問題匯總表,未嚴格按照企業內部控制評價指引要求開展內部控制評價工作;業務層面存在的問題如收入確認存在截止性差異問題等。
(3)信息系統控制(IT)方面的缺陷。如信息系統中應收應付模型有待改進、相應的控制工具(如計算機系統)需要進一步完備、系統用戶及權限管理工作有待進一步完善等等。
(4)按公司的經濟活動、業務事項進行劃分的缺陷。如某銀行披露其負債業務方面,需進一步夯實客戶基礎,努力拓寬存款吸納渠道,穩定均衡增長,降低存貸比;信貸業務方面,應進一步增強信貸業務客戶群風險的識別和控制能力,加強對貸款實際用途的識別和監控,增強銀行資金與民間融資的隔離控制,加強貼現票據驗票工作;個人金融和中間業務方面,需進一步加強理財産品銷售管理工作,完善特色業務和新業務的管理細則,優化代理業務管理流程等。
(5)與財務報告相關的缺陷和與非財務報告相關的內控缺陷。如財務報告內部控制缺陷中會計基礎工作方面,表現為存貨盤查時個別月份沒有簽名記錄、個別內部固定資産轉移臺賬變更記錄的及時性以及員工離職軟體系統及時與實際記錄核對等;非財務報告內部控制缺陷,表現在公司對外購軟體的管理、企業文化建設的完善等。
披露內控缺陷的具體內容見附表。
11.內控缺陷整改披露情況
67家公司中,有49家公司以不同形式披露公司存在內控缺陷,其中44家公司提出了整改計劃、整改措施或者要求對缺陷進行整改,5家公司並未提出相應的整改方案或者措施。 44家提出內控缺陷整改方案、計劃或者措施的公司,在內控評價報告中對整改方案、計劃或者措施的描述不盡相同,有的公司表述非常簡單;有的公司則將每一類缺陷對應的指引、整改措施詳細列出,如中新藥業(600329)在內控評價報告中列示了排在前三位的缺陷及其整改措施,首先對缺陷進行描述,再確定缺陷類型,進而將其對應指引,最後提出具體的整改措施。
12.內部控制有效性描述方式分析
根據《企業內部控制規範體系實施中相關問題解釋第1號》中有關內部控制評價報告格式要求,對內部控制設計與運行的有效性進行評價後,確認內部控制不存在重大缺陷的,應表述為“報告期內,公司對納入評價範圍的業務與事項均已建立了內部控制,並得以有效執行,達到了公司內部控制的目標,不存在重大缺陷”。
證監會《上市公司實施企業內部控制規範體系監管問題解答2012第1期》對內部控制評價報告格式提出要求:如果不存在重大缺陷,自評報告可採用正面描述的方式直接作出內部控制有效的結論,即“董事會已按照《企業內部控制基本規範》及評價指引的要求對財務報告內部控制進行了評價,並認為其在XXXX年XX月XX日(基準日)有效”。
67家公司披露的內部控制有效性結論中,上述兩種方式的表述均存在,另有部分公司表示“未發現重大缺陷”。
我們認為,從文字表述的角度分析,“未發現重大缺陷”與“不存在重大缺陷”或“財務報告內部控制有效”相比,是一種消極的確認方式,所代表的確認程度較低。
(二)內部控制審計報告分析
《企業內部控制審計指引》中規範了內部控制審計報告的格式和內容,包括以下五部分內容:企業對內部控制的責任、註冊會計師的責任、內部控制的固有局限性、財務報告內部控制審計意見、非財務報告內部控制的重大缺陷。67份內控審計報告內容與審計指引提供的格式要求基本一致,僅存在部分細節上的差異。
1. 67份內控審計報告中表述與審計指引提供的格式要求一致的方面
(1)內部控制審計的依據財政部等五部委于2010年發佈《企業內部控制審計指引》,中國註冊會計師協會也于2011年發佈《企業內部控制審計指引實施意見》等文件對註冊會計師開展內控審計提出要求。67份內控審計報告中提及的審計依據無一例外都是:《企業內部控制審計指引》及中國註冊會計師執業準則的相關要求。
(2)內部控制審計意見類型及描述方式67份內控審計報告中,除新華制藥(000756)被出具否定意見外,其他66份內控審計報告均被出具無保留審計意見。
66份標準內部控制審計報告中有關財務報告內部控制審計意見一般表述為“我們認為,貴公司(××公司)按照《企業內部控制基本規範》和相關規定在所有重大方面保持了有效的財務報告內部控制”,與審計指引提供的格式要求一致。
被出具了否定意見的新華制藥(000756)的審計意見中,註冊會計師認為,由於存在重大缺陷及其對實現控制目標的影響,新華制藥于2011年12月31日未能按照《企業內部控制基本規範》和相關規定在所有重大方面保持有效的財務報告內部控制。另外,根據格式要求,會計師在內控報告中增加了“導致否定意見的事項”段,列舉了新華制藥存在的兩個方面的重大缺陷的內容,並對管理層採取的措施以及內控審計報告對年度財務報表審計的影響給出了相關説明。
(3)發表審計意見的對象67份內控審計報告均在“註冊會計師的責任”部分進行了説明,明確註冊會計師的責任是在實施審計工作的基礎上,對財務報告內部控制的有效性發表審計意見,並對注意到的非財務報告內部控制的重大缺陷進行披露。
2. 67份內控審計報告中表述與審計指引提供的格式要求不一致的方面
(1)對於是否關注到公司與非財務報告相關部分存在重大缺陷67家公司披露的內部控制審計報告均未披露關注到公司與非財務報告相關的內部控制重大缺陷,其中65份內部控制報告在披露時直接省略了第五部分“非財務報告內部控制的重大缺陷”的內容,而由天職國際會計師事務所有限公司出具的中海集運(601866)的內控審計報告、大信會計師事務有限公司出具的洛陽玻璃(600876)的內控審計報告則包含這部分內容,具體描述如“在內部控制審計過程中,我們未注意到中海集運的非財務報告內部控制存在重大缺陷”。
(2)發表審計意見針對的時間根據內部控制審計報告的格式要求,註冊會計師在內部控制審計報告第一段已經明確了其發表內部控制審計意見是針對報告基準日時點,即“按照《企業內部控制審計指引》及中國註冊會計師執業準則的相關要求,我們審計了XX公司2011 年12 月31 日的財務報告內部控制的有效性”,但並沒有要求在審計意見段再次強調基準日時點的概念,而是表述為“我們認為,XX公司按照《企業內部控制基本規範》和相關規定在所有重大方面保持了有效的財務報告內部控制。”
67份內控審計報告中,所有報告均按格式要求在第一段即明確了針對報告基準日發表審計意見的原則,但部分審計報告在審計意見段再次強調了這個原則,即表述為:我們認為,XX公司于2011 年12 月31 日按照《企業內部控制基本規範》和相關規定在所有重大方面保持了有效的財務報告內部控制。