上海證券交易所一直非常重視對上市公司內控建設的推動工作，并在上市公司內控報告的內容與格式設計等方面引領著業界的發展方向。通過上交所不懈的推動和倡導，滬市上市公司內控建設取得長足進步。自2006到2011年，從披露數量來看，滬市上市公司內控報告從34份增加到427份；審計報告從34份增加到258份。從披露內容來看，絕大多數公司已經建立起符合自身特點的內控制度，體系建設取得顯著成效，內控報告的可讀性也有所提高。當然，內控信息的披露質量仍然存在不盡如人意之處，如冗余信息過多、內控缺陷標準不明、披露不足等問題，內控信息披露質量仍存在較大的改善空間。

 

一、上交所內控報告披露的歷史沿革

 

        上海證券交易所（以下簡稱“上交所”）一直非常重視對上市公司內控建設的推動工作，并在上市公司內控報告的內容與格式設計等方面引領著業界的發展方向。

 

        2006年，上交所率先頒布了《上市公司內部控制指引》（以下簡稱《指引》）?！吨敢饭膭钌鲜泄九秲瓤刈晕以u估報告（以下簡稱“內控報告”），并要求披露內控報告的公司同時披露審計機構對公司內部控制的審計意見（以下簡稱“內控審計報告”）。《指引》以推動和指導上市公司建立內部控制制度為目的；借鑒了COSO委員會的《企業風險管理-總體框架》，構建了適合我國上市公司的風險管理框架；要求各公司根據自身特點，結合運作經驗，建立各別的內部控制制度，強調“個性”、“適用”；明確了上交所主要通過信息披露監管來督促上市公司完善內部控制的監管思路?！吨敢繁粯I界譽為中國版《薩班斯法案》的雛形。

 

        2008年6月，財政部、證監會、審計署、銀監會、保監會等五部委（以下簡稱“五部委”）聯合發布了《企業內部控制基本規范》（以下簡稱“基本規范”）。為提高內控報告的質量，上交所結合五部委《基本規范》的精神，在以往內控報告披露的實踐基礎上，研究逐步統一內控報告的格式。2008年底，上交所與部分中介機構以及8家上市公司共同研究制定了《內控報告格式指引》，并以第一號年報工作備忘錄的形式對外發布?！秲瓤貓蟾娓袷街敢坟瀼亓?ldquo;內容簡潔、問題清晰、結論明確”的原則，重點要求披露內控缺陷和董事會對公司內控有效性的評價意見，意在減少冗長而無實質內容的內控制度描述。此外，為了幫助上市公司董事更好地對公司出具的內控報告進行審議，上交所編制了《董事內部控制評價工作底稿》，提醒上市公司董事在審議內控報告時應重點關注在內控評價過程中的重大財務違規、審計調整、會計差錯更正、各類行政處罰、資產損失等問題。同時，允許上市公司根據自身實際對工作底稿的內容進行調整。

 

        《內控報告格式指引》與《董事內部控制評價工作底稿》互為補充，與前期發布的《指引》共同構成了上交所內控報告信息披露的基本框架。

 

二、上交所2011年內控報告披露要求

 

        2011年是《基本規范》正式實施的第一年。根據證監會的統一安排，上交所在《關于做好上市公司2011年年度報告工作的通知》中規定：上交所上市的“上證公司治理板塊”樣本公司、境內外同時上市的公司及金融類公司，應在2011年年報披露的同時，按照上交所發布的相關格式指引的要求披露董事會對公司內部控制的自我評價報告；上交所鼓勵擬申請加入“上證公司治理板塊”等上市公司披露內控報告；境內外同時上市的公司，除應披露內控報告外，還應披露注冊會計師出具的財務報告內部控制審計報告。

 

       同時，上交所繼續對內控報告的格式進行了修訂，并以《年報備忘錄第一號》的形式對外發布。

 

        2011年內控報告主要包括十個部分內容： 

        1、公司董事會全體成員對內控報告真實性、完整性、準確性的聲明。 

        2、公司董事會對于建立和維護充分的財務報告相關內部控制制度的責任。 

        3、財務報告內部控制的目標：保證財務報告信息真實完整和可靠、防范重大錯報風險。 

        4、內控的固有局限性。 

        5、公司董事會對公司財務報告內控的評價依據：《企業內部控制基本規范》。 

        6、公司董事會對公司財務報告內控有效性的評估結論。 

        7、公司財務報告內控存在的重大缺陷及其整改措施（如有）。 

        8、相關豁免事項（如有）。 

        9、會計師事務所的審計意見（如有）。 

        10、公司董事會關注到的與非財務報告相關的內部控制缺陷情況（如有）。

 

        考慮到公司內控信息披露的個性化需求，結合《企業內部控制評價指引》的要求，上交所規定公司應以附件的形式披露格式指引規定以外的公司內部控制的相關情況，包括但不限于實施內部控制評價的總體情況、所采用的程序和方法等（評價小組的組成，評價所采用的程序和所花費的時間，借助中介機構或外部專家的情況，工作底稿的編制，收集被評價單位內部控制設計和有效運行證據的方法，重大缺陷、重要缺陷和一般缺陷認定的標準等）。

 

        同時，上交所要求上市公司董事在審議內控報告時，須填寫《董事內部控制評價工作底稿》，作為董事勤勉盡責的依據。

 

三、上市公司內控建設基本情況

 

        根據XBRL數據，共有933家公司在年報“公司治理結構”章節中填報了公司內部控制建設的基本情況。

 

        933家公司中，427家披露了董事會內控報告，較之2010年的417家在絕對數上增加了10家，但在比例上減少了約1.5個百分點，與2009年的披露比例大體相當；其中，131家公司為自愿披露，絕對數與2010年（130家）和2009年（127家）基本持平，占比亦略有下降。427家公司中，258家公司聘請審計機構進行了內控審計（其中審計153家、審核105家），較之2010年的229家略有上升，其中自愿披露審計（審核）報告的公司為195家。以上數據表明，內控報告披露數量基本保持穩定，而且自愿披露內控報告的公司數量和自愿聘請審計機構對公司內控進行了核實評價的公司數量也都基本保持穩定，甚至出現了略有下降的態勢，顯示出上市公司對內控報告的披露越發謹慎。

 

        933家公司中，656家公司表示其已建立內部控制體系建設部門，占全部公司數量的70.3%，較之2010年增長近20個百分點。656家公司內部控制體系建設部門的名稱差異較大，其中為“審計部”或類似部門的約占一半左右，共330家；其次為“內控部”或類似部門，共151家；其余為“綜合管理部”、“戰略規劃部”、“證券部”、“投資管理部”、“法律合規部”、“紀檢監察部”、“董事會辦公室”、“財務部”等。說明上市公司對內控建設愈發重視，絕大多數公司都已建立負責內控體系建設的專門部門；同時，不同公司承擔內控建設的部門仍差別較大。

 

        對于“內部控制的缺陷及其整改情況”，所有公司均表明其財務報告內部控制不存在重大缺陷。有大約50%左右的公司稱“報告期內，公司未發現在內部控制方面存在重大缺陷”；有大約25%左右的公司認為其內部控制不存在重大缺陷，但對照《基本規范》及《企業內部控制配套指引》(以下簡稱“配套指引”)仍有需要進一步改進的空間；此外，隨著公司規模的進一步擴大以及公司所面臨經營環境的不斷變化，內控制度需要不斷地改進和完善；有20%左右的公司未直接回應是否存在“內部控制的缺陷”，只是表示將按照《基本規范》及其《配套指引》的要求繼續建立和完善公司內部控制制度；有大約5%左右的公司認為其內部控制制度并不完善并披露了具體的缺陷，涉及庫存管理、人事管理、付款管理、財務核算、內部審計、資產管理、內控意識、審批授權等多個方面。內控缺陷與整改情況的披露與2010年年報的披露情況基本類似。

 

四、披露內控報告公司總體情況分析

 

        （一）披露內控報告公司的2011年年報非標準無保留意見比例顯著低于全部滬市公司

 

        在披露內控報告的427家公司中，421家的2011年年報被出具標準無保留意見，非標準無保留意見比例為1.4%，大大低于全部公司的6.3%。其中，寧波富邦、ST祥龍、吉恩鎳業、太工天成、中國中冶被出具帶強調事項段的無保留意見，僅蓮花味精被出具保留意見。非標意見中，多數為持續經營能力存在疑問，僅蓮花味精是因為前期涉嫌會計造假而被證監會調查，并已對其2009年年報進行差錯更正。

 

        （二）披露內控報告公司的年報業績水平高于全部滬市公司

 

        披露內控報告的公司普遍業績較好。其中虧損公司7家，占全部公司比例的1.6%左右，大大低于全部滬市公司8.3%的虧損比例。（2010年披露內控報告公司的虧損比例為0.7%，低于全部滬市公司的6.1%）

 

        （三）分紅水平高于總體水平

 

        在自愿披露內控報告的131家公司中，進行現金分紅的公司數為85家，占比為64.9%，高于2011年全部滬市公司的57.5%。（2010年自愿披露內控報告公司的現金分紅比例為60.1%，高于全部滬市公司的54.9%)。

 

五、內控報告的內容及格式分析

 

        根據上交所對于2011年的內控報告的內容和格式要求，多數公司均能在上交所年報備忘錄的基礎上，按照規定的格式進行披露。內控報告較之以前年度在格式的統一性和內容的可讀性上均有所提高，主要進步和仍存在的問題具體表現在：

 

        （一）內控報告可讀性有所提高

 

       本年度，已有公司開始在內控報告中根據所在行業的特點以及自身的實際情況披露個性化的風險類別及防范措施。如中信證券就在其內控報告中披露了所面臨的市場風險、信用風險、流動性風險、操作風險、合規風險，并結合其業務類別詳細介紹了風險控制的方法和手段。雖然這樣的高質量內控報告在整個內控報告中仍屬于少數，但仍讓我們強烈地感受到滬市上市公司在內控報告披露方面的進步。

 

        （二）多數公司未披露重大缺陷、重要缺陷和一般缺陷的具體標準

 

       根據內控評價指引的規定，重大缺陷，是指一個或多個控制缺陷的組合，可能導致企業嚴重偏離控制目標。重要缺陷，是指一個或多個控制缺陷的組合，其嚴重程度和經濟后果低于重大缺陷，但仍有可能導致企業偏離控制目標。一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。而重大缺陷、重要缺陷和一般缺陷的具體認定標準，由企業根據上述要求自行確定。

 

       由于內控報告要求公司對是否存在財務報告重大缺陷發表意見，因此何謂“重大缺陷”對于投資者閱讀和使用內控報告至關重要。但是只有約70家左右的公司在內控報告的附件中披露了重大缺陷、重要缺陷和一般缺陷的具體標準，而大多數公司只是機械地照搬了評價指引中關于缺陷認定的原則性規定。

 

       70家披露內控缺陷的公司將內控缺陷標準區分為定性標準和定量標準兩類。

 

       定性標準大體包括：重要業務缺乏制度控制或者制度系統性失效；重要職權和崗位分工中沒有體現不相容職務相分離的要求；企業戰略、投資、募集資金等重大決策、重大事項、重大人事任免及大額資金的管理程序不科學并造成嚴重損失；董事、監事和高級管理人員存在或可能存在嚴重舞弊行為；外部審計發現當期財務報告存在重大錯報，或者公司已經對外公布的財務報表由于存在重大錯報而需要進行更正，在資本市場造成比較嚴重的負面影響；以前年度評價過程中曾經有過舞弊或錯誤導致重大錯報的經歷，公司沒有在合理的時間內改正所發現的重大缺陷和重要缺陷；其他違犯國家法律、法規或監管層規范性文件對公司造成重大影響的情形等。

 

       而定量標準一般都參照營業收入、凈利潤、總資產、凈資產的某個比例確定（類似于審計中的重要性水平）。

 

       （三）內控報告中仍存在較多的“無用”信息

 

        部分公司出于展示良好形象和工作成果的考慮，仍按照以往披露的經驗，對內控要素、內控建設的過程和成果進行了詳細的描述。更有公司還在內控報告中加入企業的歷史沿革、發展歷程以及公司內部使用的常用語（如“五個一致”、“四個統一”等，但未對其進行具體說明）等信息。由于這些信息的披露基本無助投資者的投資決策，而且也大大損害了內控報告格式的統一性和內容的可比性，因而歷年來都是格式指引希望簡化披露的內容。

 

        （四）內控報告中關于“缺陷”的披露情況仍有待改進

 

         所有披露內控報告的滬市上市公司均認為其財務報告內部控制有效，不存在重大缺陷。有4家公司披露了其發現的非財務報告內部控制缺陷，具體缺陷包括：加快對內控文件及制度的整理與完善；加快對SAP系統的升級改造；重大決策機制未完全經過集體討論決定；控股股東存在對上市公司的非經營性資金占用；企業文化建設存在不足；合同管理、固定資產管理存在薄弱環節等。

 

六、內控審計的基本情況分析

 

        427家披露內控報告的公司中，258家公司披露了內控審計報告。

 

       （一）258家公司由44家審計機構進行內控審計，承擔內控審計的事務所較之2010年增加了10家，與2009年基本持平

 

        其中，國際四大所承擔了64家公司的內控審計，占實施內控審計公司總數的25%，數量和占比增加明顯，說明大型優質公司的內控審計業務有向四大集中的趨勢。國內所中，接受內控審計業務超過10家的會計師事務所分別為：立信23家、中瑞岳華17家、天健15家、大信12家、信永中和11家、京都天華11家、大華10家、天職國際10家、天健正信10家。

 

（二）審閱意見和審計意見各占一半

 

        在所有披露內控審計報告的公司中，除去63家強制披露審計報告的公司，有90家公司自愿披露了內控審計報告，105家公司自愿披露了內控審閱（核）報告。

 

        根據審計理論，審計業務與審閱業務在鑒證業務目標、證據收集程序、所需證據的數量和質量、鑒證業務的風險、鑒證對象信息的可信性以及提出結論的方式等方面均存在顯著差異。簡言之，審計業務是一種合理保證，而審閱業務是一種有限保證，前者的效力要遠遠高于后者。半數以上上市公司采用審閱意見，一方面表明公司及會計師在內控審計方面較為謹慎，不愿（或不能）出具更高層次的鑒證意見，另一方面表明公司對于內控審計的成本控制較嚴（審計由于其工作量大大高于審閱，因此其收費也較高）。

 

七、關于內控及內控報告披露的幾點思考

 

         （一）內控不是解決企業所有誠信問題的“靈丹妙藥”

 

        內控在幫助企業提高經營管理水平、有效防范各類風險方面具有不可替代的作用，但是內控也并非是解決企業所有誠信問題的“靈丹妙藥”。安然事件以后，美國出臺了薩班斯法案，強化了上市公司與財務報告相關的內部控制。這使人們形成了一種誤解，即單純依靠內部控制就可以防范類似于安然之類的不誠信事件的發生。實際上，很多人忽略了薩班斯法案中對于發生財務報告舞弊公司高管的嚴厲的責任追究機制，這種責任追究甚至嚴厲到天文數字的民事賠償和追究刑事責任的高度。因此，內控只是構建企業誠信的一個環節，僅僅依靠內控也無法完全解決企業不誠信的問題，更重要的是整個法律體系的構建，包括公司大股東、高管的責任追究機制、發生財務報告舞弊之后的民事賠償機制、相關中介機構的責任追究機制等。而我們的企業也應該認識到，資本市場為企業提供了一個便捷的融資平臺，借助這個平臺企業可以低成本地獲得其發展所需要的資金，迅速做優做強。但是如果企業不重視誠信問題，不尊重投資者，那么無論其是在A股市場、H股市場還是在美國市場，都最終會被市場和投資者所拋棄。在這個問題上，法制、觀念和良知要比單純內控層面的問題重要得多。

 

        （二）需要進一步明確內控的“邊界”與“內涵”

 

       從披露內控報告的第一天起，企業內部控制的“邊界”與“內涵”便一直是一個充滿爭議的話題。由于目前較為公認的對于內控的定義方式是一個間接而非直接的定義方式，造成了內控的具體內容與內控的目標休戚相關，而內控目標的不同又直接導致了內控具體內容的千差萬別。僅就財務報告內部控制而言，雖然業界對其基本內容并無太大爭議，但具體到技術細節，仍存在理解上的分歧。如一般內部控制和財務報告內部控制的具體邊界究竟在哪里，不同行業、不同規模是否存在不同；如在2011年內控報告中，許多公司都將對關聯交易的控制視為財報內控的一個方面，但關聯交易究竟是一個內控問題還是更加偏向于公司治理的范疇仍有待討論；又如內控中“期后事項”（財務報告的期后事項涉及到對于財務報告中會計估計的確認，因此其指向較為明確），也存在指向不夠明確的問題等等。

 

        （三）規范財務報告內部控制的建設和披露仍然任重道遠

 

向投資者提供一份相對準確的能反映企業真實經營情況的財務報告，是上市公司內控建設的出發點和首要目標。但是，每年都會有公司在年報披露完成之后需要發布補充或更正公告，而補充或更正的內容往往是最為基礎的會計數據，如每股收益、業績變動比例的計算出現差錯等，甚至發生過將數量單位“元”誤寫為“萬元”的低級錯誤，這說明仍有一定數量的上市公司在最基本的會計控制方面都存在不盡完善之處。

 

        除此之外，另一個常常被忽視的問題是關于會計估計形成過程的披露，如銀行業的“撥備覆蓋率”這個會計估計就會對其最終報告的業績“數字”產生重大影響。2007年開始實施的新會計準則將“公允價值”列為會計的計量屬性之一，這更進一步加大了會計估計對上市公司業績的影響。但從目前的披露情況來看，上市公司對于會計估計和公允價值確定的內部控制過程的披露幾乎還處在空白狀態，這就給投資者閱讀和理解公司的財務報告帶來了很大的障礙。總體看來，財務報告內部控制的建設和披露仍然任重道遠。

 

        （四）建立和健全內控信息虛假披露的責任追究機制

 

        信息披露的核心價值在于其決策有用性，而這同樣也是內控信息披露的出發點和歸宿。內控對于企業而言，其作用在于服務于企業戰略目標，有效控制風險，從而為企業的生產經營保駕護航。但對于投資者而言，內控信息披露的意義首先在于告知投資者企業可能面臨的各類風險、企業財務報告相對可靠的程度、企業應對各類風險時存在的缺陷以及未來的改進措施，從而使得不同風險偏好的投資者做出相應的投資決策。因此，內控信息披露的核心在于對內控目標的風險揭示。遺憾的是，從目前上市公司披露的內控報告來看，真正做到充分揭示風險的公司寥寥無幾，這直接導致了目前上市公司披露的內控報告信息含量不足、市場反映不佳的尷尬。造成此種狀況的原因，一方面可能是由于強制披露與自愿披露內控報告的公司本身質地較好，但另一方面也可能是由于風險揭示在某種意義上類似于“自報家丑”，因而公司不愿（或不能）進行如實披露。因此建立以交易所自律監管、證監會行政處罰和國家層面法律制度三者相結合的內控信息披露責任追究制度就愈發顯示出其重要性和迫切性，以使虛假和不負責任的內控信息披露主體付出成本，直至被追究法律責任。唯此，才能使內控報告的披露符合信息披露真實、準確、完整的基本要求；才能發揮好資本市場實現資源配置的基本功能，不出現“好人吃虧”、扭曲市場機制的情形；才能為實現包括內控指標在內的上市公司分類監管打好基礎；才能使內控情況較好和如實披露內控情況的上市公司在再融資、并購重組審核等方面得以享受政策優惠成為可能；也才能使內控得以“物盡其用”，真正發揮其在提高上市公司質量方面的作用。

 

        （五）內控報告的披露要求應與資本市場的發展階段與成熟度相協調

 

         從歷年內控報告的披露情況來看，總體上其所披露的內容可讀性不強、信息含量不高、個性化不足、對于投資者的投資決策幫助較小。產生此種情況的原因既與上市公司自身有關，也與資本市場的整體狀況緊密相連。從理論上講，信息披露對于資本市場而言，一方面是解決上市公司與投資者之間的信息不對稱，從而保護投資者的合法權利，另一方面在于上市公司通過信息披露向投資者傳遞自身的生產經營狀況從而使得“好”的上市公司獲得較低的融資成本，而這也是上市公司披露各類信息的內生動力。內控信息的披露也難逃俗臼，只有當資本市場能夠給與內控較好的公司以“溢價”（當然首先要保證其所披露的內控信息真實準確），內控信息的披露才能從“要我披露”轉化為“我要披露”。但顯然，僅就目前而言，我國資本市場顯然還不完全實現該功能。內控信息的披露，既有賴于上市公司本身的內控建設和誠信披露，又有賴于整個資本市場環境的改善，包括法律環境、投資者素質和市場監管的成熟度等。因此，內控信息的披露政策，應該適應資本市場的發展階段，與投資者的成熟度相協調。重實際、不盲從，重鼓勵、不強制,重效果、不求全。唯此，才能真正發揮內控應有的作用，提高上市公司質量，促進我國資本市場更快更好發展。