2014年度,内部控制评价结论整体有效的上市公司共2549家,占比为98.57%;非整体有效的上市公司37家,占比1.43%。虽然2014年度上市公司内部控制信息披露的数量和质量较以往年度均稳步提升,但不可否认依然存在一些不可忽视的问题。为此,白皮书提出以下几项政策建议:一,统一内部控制监管标准,提高上市公司内部控制实施的规范性;二,完善内部控制缺陷信息披露,加强对上市公司内部控制缺陷整改的监管;三,加强对上市公司资产管理和资金活动的信息披露监管,防范资产和资金风险;四,逐步在中小板、创业板上市公司实施内部控制规范体系,提升对投资者的保护力度;五,强化对注册会计师内部控制审计执业行为的监管,提高其执业质量;六,积极探索建立内部控制可交易指数,引导投资者回归价值投资;七,加强内部控制法制建设,强化上市公司内部控制监管力度。
一、样本选取与数据来源
本报告选取的样本为2015年4月30日之前在沪、深交易所A股上市,并且披露2014年年度报告的上市公司,总样本量为2631家上市公司。本报告中所有原始数据均已录入DIB迪博内部控制与风险管理数据库中(www.ic-erm.com)。本报告是国家自然科学基金重点项目“基于中国情境的企业内部控制有效性研究”(项目批准号71332004)的阶段性研究成果。
二、内部控制评价报告
(一)内部控制评价报告披露数量
2014年度,2586家上市公司披露了内部控制评价报告,总体披露比例为98.29%。其中,沪市主板、深市主板、深市中小板和深市创业板的披露比例分别为96.12%、99.15%、99.73%和100.00%。
(二)内部控制评价报告格式的规范性
2014年度,2088家上市公司按照规范的格式披露了内部控制评价报告,占比为80.74%。其中,沪市主板、深市主板、深市中小板和深市创业板分别有94.09%、91.16%、73.85%和50.60%的上市公司披露了规范格式的内部控制评价报告。
(三)内部控制评价结论
2014年度,内部控制评价结论整体有效的上市公司共2549家,占比为98.57%;非整体有效的上市公司37家,占比1.43%。内部控制评价结论非整体有效的上市公司中,9家为财报内控有效、非财报内控无效,占比0.35%;18家为财报内控无效、非财报内控有效,占比0.70%;8家为内部控制整体无效,占比0.31%;2家未出具内部控制评价结论,占比0.08%,如图1所示。
(四)内部控制评价范围及评价方法
2014年度,披露了内部控制评价报告的上市公司中,2262家公司披露了内部控制评价范围,占比87.47%;274家上市公司披露了内部控制评价方法,占比10.60%。其中,主板上市公司内部控制评价范围披露比例显著高于深市中小板和深市创业板。
三、内部控制评价缺陷
(一) 内部控制缺陷认定标准披露情况
2014年度,2141家上市公司披露了内部控制缺陷认定标准,445家上市公司未披露内部控制缺陷认定标准。按照所属交易所的不同,沪市主板、深市主板、深市中小板和深市创业板上市公司中,未披露内部控制缺陷认定标准的公司占比分别为2.38%、5.39%、24.93%和50.84%。在披露了内部控制缺陷认定标准的上市公司中,1963家上市公司披露了完整的财报和非财报内部控制缺陷定性及定量认定标准,178家上市公司未披露完整的内部控制缺陷认定标准。
(二) 内部控制缺陷披露情况
2014年度,351家上市公司披露了其存在内部控制缺陷。其中,343家公司披露了2014年度内部控制缺陷,其他8家公司仅披露了上年度内部控制缺陷的整改情况。
2014年度,披露了内部控制评价报告的A股上市公司中,13.26%的上市公司披露了内部控制缺陷。其中,披露了财报内部控制缺陷的公司占比6.38%,披露了非财报内部控制缺陷的公司占比10.52%;披露了内部控制重大缺陷的公司占比1.62%,披露了重要缺陷的公司占比1.86%,披露了一般缺陷的公司占比10.17%,未区分缺陷等级的公司占比0.15%。
2014年度,343家上市公司共披露2345项内部控制缺陷。其中,重大缺陷96项,占比4.09%;重要缺陷77项,占比3.28%;一般缺陷2165项,占比92.32%;未区分缺陷等级的内部控制缺陷7项,占比0.30%。如图2所示。
(三) 内部控制评价缺陷内容
2014年度,343家披露其存在内部控制缺陷的上市公司中,312家公司披露了内部控制缺陷的具体内容,占比90.96%;31家公司未披露缺陷内容,占比9.04%。
2014年度,343家上市公司披露的2345项内部控制缺陷中,披露了具体内容的内部控制缺陷838项,占比35.74%;未披露具体内容的内部控制缺陷1507项,占比64.26%。
本报告按照财报缺陷/非财报缺陷、缺陷等级、设计缺陷/运行缺陷、公司层面缺陷/业务层面缺陷/信息系统层面缺陷、内部控制五要素对2014年度披露了具体内容的内部控制缺陷进行分类,统计出每个分类的内部控制缺陷数量和占比。其中,财报缺陷289项,占比34.49%,非财报缺陷549项,占比65.51%;设计缺陷144项,占比17.18%,运行缺陷601项,占比71.72%;公司层面缺陷279项,占比33.29%,业务层面缺陷533项,占比63.60%,信息系统层面缺陷26项,占比3.10%;内部环境类缺陷255项,占比30.43%,风险评估类缺陷11项,占比1.31%,控制活动类缺陷493项,占比58.83%,信息与沟通类缺陷60项,占比7.16%,内部监督类缺陷19项,占比2.27%。
2014年度,上市公司披露了具体内容的93项内部控制重大缺陷中,根据缺陷涉及的业务活动/事项统计,排名前三位的分别是资金活动类缺陷、财务报告类缺陷、组织架构类缺陷。其中,资金活动类缺陷22项,财务报告类缺陷和组织架构类缺陷均为13项。如图3所示。
(四) 内部控制评价缺陷整改情况
2014年度,已披露具体内容的838项内部控制缺陷中,594项内部控制缺陷已开始整改,占比70.88%。其中,314项内部控制缺陷已经有效整改,占比37.47%;93项内部控制缺陷尚未完成整改,占比11.10%;187项内部控制缺陷未披露整改结果,占比22.32%。未开始整改的内部控制缺陷244项,占比29.12%。
四、2011—2014年度内部控制评价情况对比
自2011年1月1日首批强制实施开始,2014年,内部控制强制实施范围已扩展至所有主板上市公司。四年来,上市公司内部控制评价报告数量和质量均稳步提升。从报告披露比例来看,2011-2014年,上市公司内部控制披露比例较上一年度均有明显提高,平均增幅为7.71%;从缺陷认定标准披露情况来看,2011-2014年度,上市公司内部控制缺陷认定标准披露比例不断提升,尤其自2013年度开始,增幅有了大幅度提升,与2012年度相比,2013年度内部控制缺陷认定标准披露比例增幅达130.77%;从内部控制缺陷披露情况来看,2011-2014年,上市公司内部控制重大缺陷、重要缺陷的披露比例也在稳步上升,重大缺陷披露比例从2011年的0.16%上升到2014年的1.62%,重要缺陷披露比例从2011年的0.76%上升到1.86%。此外,从2011-2014年度上市公司内部控制评价结论非整体有效比例的不断上升,也可以看出,近年来随着监管规范的不断完善和监管机构的不断推动,上市公司对内部控制的认识更趋理性和客观。
五、内部控制审计报告
(一)内部控制审计报告披露数量
2014年度,2049家上市公司披露了内部控制审计报告,总体披露比例为77.88%。其中,沪市主板、深市主板、深市中小板和深市创业板的披露比例分别为92.43%、96.79%、56.49%和59.67%。
(二) 内部控制审计报告格式的规范性
本报告根据审计依据和审计对象将内部控制审计报告分为规范的内部控制审计报告、内部控制鉴证报告、内部控制审核报告、中小板内部控制审计报告、内部控制专项报告、其他类型报告。2014年度,1424家上市公司披露了规范的内部控制审计报告,占比为69.50%;未披露规范的内部控制审计报告的公司625家,占比30.50%。其中,深市中小板仅有11.00%的公司披露了规范的内部控制审计报告,89.00%的公司披露格式不规范;深市创业板仅有3.20%的公司披露了规范的内部控制审计报告,96.80%的公司披露格式不规范。
(三)内部控制审计意见
2014年度,内部控制审计意见为标准无保留意见的上市公司共1965家,占比为95.90%;内部控制审计意见为非标意见的上市公司共84家,占比为4.10%。其中,内部控制审计意见为非标意见的上市公司中,带强调事项段的无保留意见共58家,占比2.83%;保留意见共2家,占比0.10%;否定意见共21家,占比1.02%;无法表示意见共3家,占比0.15%。如图4所示。
(四)审计发现的内部控制重大缺陷
2014年度,导致否定意见的内部控制重大缺陷共计53项。根据其所涉及的业务活动/事项,排名第一位的是资金活动类缺陷,共14项,占比26.42%;其次是财务报告类缺陷和资产管理类缺陷,分别为7项、6项,占比13.21%、11.32%。如图5所示。
2014年度,会计师事务所出具的内部控制审计报告中,认定上市公司存在非财报内部控制重大缺陷的共13家,缺陷共计14项。根据缺陷所涉及的业务活动/事项,分别为组织架构类缺陷9项,占比64.29%;信息披露类缺陷3项,占比21.43%;社会责任类缺陷2项,占比14.29%。如图6所示。
(五)上市公司内部控制整合审计情况
2014年度,采用内部控制整合审计的上市公司共计2011家,占比98.15%;采用单独审计的上市公司38家,占比1.85%。
(六)内部控制审计费用
2014年度,2049家披露了内部控制审计报告的上市公司中,1249家公司披露其支付了内部控制审计费用,占比60.96%。其中,1206家公司单独披露了内部控制审计费用的数额,43家公司未披露具体的内部控制审计费用数额。
2014年度,单独披露内部控制审计费用的1206家上市公司,其披露的内部控制审计费用总额共计54,868.17万元,平均每家公司花费的内部控制审计费用为45.50万元。根据每家上市公司内部控制审计费用占审计费用总额的比例分析显示,内部控制审计费用占审计费用总额的比例平均为27.32%。
六、2011—2014年度内部控制审计情况对比
2011-2014年度,上市公司内部控制审计情况也发生了显著变化。从审计报告披露比例来看,2014年度,上市公司内部控制审计报告的披露比例每年都在稳步提升,平均增幅为24.76%;从内部控制审计费用披露情况来看,四年来,上市公司内部控制审计费用披露比例大幅提升,尤其是自2012年开始,平均增幅为220.18%。同时,从内部控制审计非标意见的披露情况来看,2011-2014年度,上市公司内部控制审计非标意见的比例也呈现出不断上升的趋势,从一定程度上反映出,随着监管力度的不断加大和监管要求的日益规范,上市公司内部控制审计工作也日趋严格。
七、上市公司内部控制存在的问题及政策建议
(一)上市公司内部控制存在的问题
一是内部控制评价报告和内部控制审计报告披露格式不规范。如仍有19.26%的上市公司未按照《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》(证监会公告[2014]1号)进行披露,其中,已纳入强制实施范围的主板上市公司中,分别有5.91%的沪市主板公司、8.84%的深市主板公司未按照规范要求进行披露;深市中小板和深市创业板上市公司中,分别有21.95%、39.38%的公司未按照规范要求进行披露。在内部控制审计报告披露方面也存在类似问题。
二是内部控制缺陷信息披露不完整、可用性差。2014年度,32.10%的上市公司披露的内部控制缺陷信息不完整、可用性差。
三是内部控制评价及信息披露工作不够严谨。2014年度,共有17家上市公司内部控制评价报告与注册会计师出具的内部控制审计报告存在重大不一致。此外,有24家主板公司在年报中说明内部控制评价报告和内部控制审计报告已披露,但是通过巨潮资讯网、公司官网、中国证监会网站及交易所网站等各种渠道都无法找到其报告。
四是对内部控制评价结论有效性的认定标准理解存在差异。2014年度,内部控制评价结论非整体有效的公司占比1.43%,而内部控制存在重大缺陷的公司占比1.62%,两者之间存在明显的不一致。这主要是由于上市公司对监管规则中关于内部控制评价结论有效性的认定标准的理解存在差异。
五是上市公司在资产管理和资金活动管控方面问题比较集中。根据缺陷涉及的具体业务活动和事项分类统计发现,2014年度,上市公司披露的内部控制缺陷中,资产管理类缺陷和资金活动类缺陷表现最为突出,占比分别为13.25%、12.41%。同时,对2014年度上市公司披露了具体内容的93项内部控制重大缺陷,以及导致内部控制审计为否定意见的53项内部控制重大缺陷的分类统计显示,资金活动类重大缺陷均最为突出,在内部控制评价重大缺陷与内部控制审计重大缺陷中占比分别为23.66%、26.42%,明显高于其他类重大缺陷,属于上市公司重大缺陷发生的重灾区。
六是中小板、创业板上市公司内部控制建设规范性有待加强。与主板上市公司相比,中小板、创业板上市公司内部控制评价报告披露比例略高,但其披露报告的规范性却明显低于主板上市公司,非规范报告披露比例分别为21.95%、39.38%,是主板上市公司的3.42倍、6.14倍。
七是注册会计师内部控制审计的执业质量有待提高。剔除因非财报内部控制缺陷等因素导致的不一致,2014年度,共有54家上市公司内部控制审计意见与财务报表审计意见存在显著差异。此外,仍有1.95%的上市公司内部控制审计报告中,仅描述了导致非标意见的事件过程,并未对重大缺陷的性质、产生原因、导致影响、整改情况等进行说明;还有超过286家上市公司披露的内部控制审计报告没有会计师事务所或注册会计师的盖章或签名。
(二)政策建议
虽然2014年度上市公司内部控制信息披露的数量和质量较以往年度均稳步提升,整体披露情况良好,但不可否认,上市公司在内部控制信息披露和内部控制建设中依然存在一些不可忽视的问题。为此,白皮书提出以下几项政策建议,以促进上市公司进一步提升内部控制水平,提高风险防范能力,促进资本市场健康发展。
一,统一内部控制监管标准,提高上市公司内部控制实施的规范性。
目前,上市公司在内部控制评价、审计等方面可遵循的监管规则众多,由于不同的监管标准之间的关系并未明确,从而给部分上市公司提供了选择性披露的机会。因此,建议监管机构尽快统一上市公司内部控制监管标准,明确不同标准之间的层级关系,及时废止旧的、不适用的监管规则,提高上市公司内部控制实施的规范性。
二,完善内部控制缺陷信息披露,加强对上市公司内部控制缺陷整改的监管。建议上市公司严格按照内部控制评价报告内容与格式要求,客观全面地做好内控评价信息披露工作,充分如实地披露内部控制缺陷信息,切实提高公司内控缺陷的披露质量,为报告使用者提供更多有效的内控信息。建议监管机构加强对上市公司内部控制缺陷整改的监管力度,督促上市公司积极落实缺陷整改和信息披露,提升内部控制水平。
三,加强对上市公司资产管理和资金活动的信息披露监管,防范资产和资金风险。建议监管机构特别关注对上市公司资产管理和资金活动两项业务活动的信息披露监管,促进上市公司建立健全资产管理和资金管控制度,切实防范上市公司资产和资金风险。
四,逐步在中小板、创业板上市公司实施内部控制规范体系,提升对投资者的保护力度。建议逐步在中小板、创业板上市公司执行企业内部控制规范体系,提高中小板、创业板上市公司内部控制水平和信息披露质量,提升对中小板、创业板市场投资者的保护力度。
五,强化对注册会计师内部控制审计执业行为的监管,提高其执业质量。建议监管机构强化对注册会计师内部控制审计执业行为的监管力度,要求注册会计师严格按照监管规定执行内部控制审计,对注册会计师在内部控制审计过程中存在的各种失职行为进行惩罚,切实发挥注册会计师对上市公司内部控制建设的监督作用。
六,积极探索建立内部控制可交易指数,引导投资者回归价值投资。建议监管机构与第三方中介机构合作探索建立内部控制可交易指数,提高上市公司与投资者对内部控制的关注程度,引导投资者回归理性的价值投资,促进上市公司积极主动实施内部控制体系,不断提升上市公司质量。
七,加强内部控制法制建设,强化上市公司内部控制监管力度。建议监管机构在《证券法》修订时加入内部控制的相关条款,并明确董事会、监事会、管理层等在上市公司内部控制实施中的主体责任,从法律层面强化对上市公司内部控制的监督力度。