□上海证券交易所资本市场研究所年报专题小组 执笔 徐明磊
内 容 提 要
上海证券交易所一直非常重视对上市公司内控建设的推动工作,并在上市公司内控报告的内容与格式设计等方面引领着业界的发展方向。通过上交所不懈的推动和倡导,沪市上市公司内控建设取得长足进步。自2006到2011年,从披露数量来看,沪市上市公司内控报告从34份增加到427份;审计报告从34份增加到258份。从披露内容来看,绝大多数公司已经建立起符合自身特点的内控制度,体系建设取得显著成效,内控报告的可读性也有所提高。当然,内控信息的披露质量仍然存在不尽如人意之处,如冗余信息过多、内控缺陷标准不明、披露不足等问题,内控信息披露质量仍存在较大的改善空间。
一、上交所内控报告披露的历史沿革
上海证券交易所(以下简称“上交所”)一直非常重视对上市公司内控建设的推动工作,并在上市公司内控报告的内容与格式设计等方面引领着业界的发展方向。
2006年,上交所率先颁布了《上市公司内部控制指引》(以下简称《指引》)。《指引》鼓励上市公司披露内控自我评估报告(以下简称“内控报告”),并要求披露内控报告的公司同时披露审计机构对公司内部控制的审计意见(以下简称“内控审计报告”)。《指引》以推动和指导上市公司建立内部控制制度为目的;借鉴了COSO委员会的《企业风险管理-总体框架》,构建了适合我国上市公司的风险管理框架;要求各公司根据自身特点,结合运作经验,建立各别的内部控制制度,强调“个性”、“适用”;明确了上交所主要通过信息披露监管来督促上市公司完善内部控制的监管思路。《指引》被业界誉为中国版《萨班斯法案》的雏形。
2008年6月,财政部、证监会、审计署、银监会、保监会等五部委(以下简称“五部委”)联合发布了《企业内部控制基本规范》(以下简称“基本规范”)。为提高内控报告的质量,上交所结合五部委《基本规范》的精神,在以往内控报告披露的实践基础上,研究逐步统一内控报告的格式。2008年底,上交所与部分中介机构以及8家上市公司共同研究制定了《内控报告格式指引》,并以第一号年报工作备忘录的形式对外发布。《内控报告格式指引》贯彻了“内容简洁、问题清晰、结论明确”的原则,重点要求披露内控缺陷和董事会对公司内控有效性的评价意见,意在减少冗长而无实质内容的内控制度描述。此外,为了帮助上市公司董事更好地对公司出具的内控报告进行审议,上交所编制了《董事内部控制评价工作底稿》,提醒上市公司董事在审议内控报告时应重点关注在内控评价过程中的重大财务违规、审计调整、会计差错更正、各类行政处罚、资产损失等问题。同时,允许上市公司根据自身实际对工作底稿的内容进行调整。
《内控报告格式指引》与《董事内部控制评价工作底稿》互为补充,与前期发布的《指引》共同构成了上交所内控报告信息披露的基本框架。
二、上交所2011年内控报告披露要求
2011年是《基本规范》正式实施的第一年。根据证监会的统一安排,上交所在《关于做好上市公司2011年年度报告工作的通知》中规定:上交所上市的“上证公司治理板块”样本公司、境内外同时上市的公司及金融类公司,应在2011年年报披露的同时,按照上交所发布的相关格式指引的要求披露董事会对公司内部控制的自我评价报告;上交所鼓励拟申请加入“上证公司治理板块”等上市公司披露内控报告;境内外同时上市的公司,除应披露内控报告外,还应披露注册会计师出具的财务报告内部控制审计报告。
同时,上交所继续对内控报告的格式进行了修订,并以《年报备忘录第一号》的形式对外发布。
2011年内控报告主要包括十个部分内容:
1、公司董事会全体成员对内控报告真实性、完整性、准确性的声明。
2、公司董事会对于建立和维护充分的财务报告相关内部控制制度的责任。
3、财务报告内部控制的目标:保证财务报告信息真实完整和可靠、防范重大错报风险。
4、内控的固有局限性。
5、公司董事会对公司财务报告内控的评价依据:《企业内部控制基本规范》。
6、公司董事会对公司财务报告内控有效性的评估结论。
7、公司财务报告内控存在的重大缺陷及其整改措施(如有)。
8、相关豁免事项(如有)。
9、会计师事务所的审计意见(如有)。
10、公司董事会关注到的与非财务报告相关的内部控制缺陷情况(如有)。
考虑到公司内控信息披露的个性化需求,结合《企业内部控制评价指引》的要求,上交所规定公司应以附件的形式披露格式指引规定以外的公司内部控制的相关情况,包括但不限于实施内部控制评价的总体情况、所采用的程序和方法等(评价小组的组成,评价所采用的程序和所花费的时间,借助中介机构或外部专家的情况,工作底稿的编制,收集被评价单位内部控制设计和有效运行证据的方法,重大缺陷、重要缺陷和一般缺陷认定的标准等)。
同时,上交所要求上市公司董事在审议内控报告时,须填写《董事内部控制评价工作底稿》,作为董事勤勉尽责的依据。
三、上市公司内控建设基本情况
根据XBRL数据,共有933家公司在年报“公司治理结构”章节中填报了公司内部控制建设的基本情况。
933家公司中,427家披露了董事会内控报告,较之2010年的417家在绝对数上增加了10家,但在比例上减少了约1.5个百分点,与2009年的披露比例大体相当;其中,131家公司为自愿披露,绝对数与2010年(130家)和2009年(127家)基本持平,占比亦略有下降。427家公司中,258家公司聘请审计机构进行了内控审计(其中审计153家、审核105家),较之2010年的229家略有上升,其中自愿披露审计(审核)报告的公司为195家。以上数据表明,内控报告披露数量基本保持稳定,而且自愿披露内控报告的公司数量和自愿聘请审计机构对公司内控进行了核实评价的公司数量也都基本保持稳定,甚至出现了略有下降的态势,显示出上市公司对内控报告的披露越发谨慎。
933家公司中,656家公司表示其已建立内部控制体系建设部门,占全部公司数量的70.3%,较之2010年增长近20个百分点。656家公司内部控制体系建设部门的名称差异较大,其中为“审计部”或类似部门的约占一半左右,共330家;其次为“内控部”或类似部门,共151家;其余为“综合管理部”、“战略规划部”、“证券部”、“投资管理部”、“法律合规部”、“纪检监察部”、“董事会办公室”、“财务部”等。说明上市公司对内控建设愈发重视,绝大多数公司都已建立负责内控体系建设的专门部门;同时,不同公司承担内控建设的部门仍差别较大。
对于“内部控制的缺陷及其整改情况”,所有公司均表明其财务报告内部控制不存在重大缺陷。有大约50%左右的公司称“报告期内,公司未发现在内部控制方面存在重大缺陷”;有大约25%左右的公司认为其内部控制不存在重大缺陷,但对照《基本规范》及《企业内部控制配套指引》(以下简称“配套指引”)仍有需要进一步改进的空间;此外,随着公司规模的进一步扩大以及公司所面临经营环境的不断变化,内控制度需要不断地改进和完善;有20%左右的公司未直接回应是否存在“内部控制的缺陷”,只是表示将按照《基本规范》及其《配套指引》的要求继续建立和完善公司内部控制制度;有大约5%左右的公司认为其内部控制制度并不完善并披露了具体的缺陷,涉及库存管理、人事管理、付款管理、财务核算、内部审计、资产管理、内控意识、审批授权等多个方面。内控缺陷与整改情况的披露与2010年年报的披露情况基本类似。
四、披露内控报告公司总体情况分析
(一)披露内控报告公司的2011年年报非标准无保留意见比例显著低于全部沪市公司
在披露内控报告的427家公司中,421家的2011年年报被出具标准无保留意见,非标准无保留意见比例为1.4%,大大低于全部公司的6.3%。其中,宁波富邦、ST祥龙、吉恩镍业、太工天成、中国中冶被出具带强调事项段的无保留意见,仅莲花味精被出具保留意见。非标意见中,多数为持续经营能力存在疑问,仅莲花味精是因为前期涉嫌会计造假而被证监会调查,并已对其2009年年报进行差错更正。
(二)披露内控报告公司的年报业绩水平高于全部沪市公司
披露内控报告的公司普遍业绩较好。其中亏损公司7家,占全部公司比例的1.6%左右,大大低于全部沪市公司8.3%的亏损比例。(2010年披露内控报告公司的亏损比例为0.7%,低于全部沪市公司的6.1%)
(三)分红水平高于总体水平
在自愿披露内控报告的131家公司中,进行现金分红的公司数为85家,占比为64.9%,高于2011年全部沪市公司的57.5%。(2010年自愿披露内控报告公司的现金分红比例为60.1%,高于全部沪市公司的54.9%)。
五、内控报告的内容及格式分析
根据上交所对于2011年的内控报告的内容和格式要求,多数公司均能在上交所年报备忘录的基础上,按照规定的格式进行披露。内控报告较之以前年度在格式的统一性和内容的可读性上均有所提高,主要进步和仍存在的问题具体表现在:
(一)内控报告可读性有所提高
本年度,已有公司开始在内控报告中根据所在行业的特点以及自身的实际情况披露个性化的风险类别及防范措施。如中信证券就在其内控报告中披露了所面临的市场风险、信用风险、流动性风险、操作风险、合规风险,并结合其业务类别详细介绍了风险控制的方法和手段。虽然这样的高质量内控报告在整个内控报告中仍属于少数,但仍让我们强烈地感受到沪市上市公司在内控报告披露方面的进步。
(二)多数公司未披露重大缺陷、重要缺陷和一般缺陷的具体标准
根据内控评价指引的规定,重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。而重大缺陷、重要缺陷和一般缺陷的具体认定标准,由企业根据上述要求自行确定。
由于内控报告要求公司对是否存在财务报告重大缺陷发表意见,因此何谓“重大缺陷”对于投资者阅读和使用内控报告至关重要。但是只有约70家左右的公司在内控报告的附件中披露了重大缺陷、重要缺陷和一般缺陷的具体标准,而大多数公司只是机械地照搬了评价指引中关于缺陷认定的原则性规定。
70家披露内控缺陷的公司将内控缺陷标准区分为定性标准和定量标准两类。
定性标准大体包括:重要业务缺乏制度控制或者制度系统性失效;重要职权和岗位分工中没有体现不相容职务相分离的要求;企业战略、投资、募集资金等重大决策、重大事项、重大人事任免及大额资金的管理程序不科学并造成严重损失;董事、监事和高级管理人员存在或可能存在严重舞弊行为;外部审计发现当期财务报告存在重大错报,或者公司已经对外公布的财务报表由于存在重大错报而需要进行更正,在资本市场造成比较严重的负面影响;以前年度评价过程中曾经有过舞弊或错误导致重大错报的经历,公司没有在合理的时间内改正所发现的重大缺陷和重要缺陷;其他违犯国家法律、法规或监管层规范性文件对公司造成重大影响的情形等。
而定量标准一般都参照营业收入、净利润、总资产、净资产的某个比例确定(类似于审计中的重要性水平)。
(三)内控报告中仍存在较多的“无用”信息
部分公司出于展示良好形象和工作成果的考虑,仍按照以往披露的经验,对内控要素、内控建设的过程和成果进行了详细的描述。更有公司还在内控报告中加入企业的历史沿革、发展历程以及公司内部使用的常用语(如“五个一致”、“四个统一”等,但未对其进行具体说明)等信息。由于这些信息的披露基本无助投资者的投资决策,而且也大大损害了内控报告格式的统一性和内容的可比性,因而历年来都是格式指引希望简化披露的内容。
(四)内控报告中关于“缺陷”的披露情况仍有待改进
所有披露内控报告的沪市上市公司均认为其财务报告内部控制有效,不存在重大缺陷。有4家公司披露了其发现的非财务报告内部控制缺陷,具体缺陷包括:加快对内控文件及制度的整理与完善;加快对SAP系统的升级改造;重大决策机制未完全经过集体讨论决定;控股股东存在对上市公司的非经营性资金占用;企业文化建设存在不足;合同管理、固定资产管理存在薄弱环节等。
六、内控审计的基本情况分析
427家披露内控报告的公司中,258家公司披露了内控审计报告。
(一)258家公司由44家审计机构进行内控审计,承担内控审计的事务所较之2010年增加了10家,与2009年基本持平
其中,国际四大所承担了64家公司的内控审计,占实施内控审计公司总数的25%,数量和占比增加明显,说明大型优质公司的内控审计业务有向四大集中的趋势。国内所中,接受内控审计业务超过10家的会计师事务所分别为:立信23家、中瑞岳华17家、天健15家、大信12家、信永中和11家、京都天华11家、大华10家、天职国际10家、天健正信10家。
(二)审阅意见和审计意见各占一半
在所有披露内控审计报告的公司中,除去63家强制披露审计报告的公司,有90家公司自愿披露了内控审计报告,105家公司自愿披露了内控审阅(核)报告。
根据审计理论,审计业务与审阅业务在鉴证业务目标、证据收集程序、所需证据的数量和质量、鉴证业务的风险、鉴证对象信息的可信性以及提出结论的方式等方面均存在显著差异。简言之,审计业务是一种合理保证,而审阅业务是一种有限保证,前者的效力要远远高于后者。半数以上上市公司采用审阅意见,一方面表明公司及会计师在内控审计方面较为谨慎,不愿(或不能)出具更高层次的鉴证意见,另一方面表明公司对于内控审计的成本控制较严(审计由于其工作量大大高于审阅,因此其收费也较高)。
七、关于内控及内控报告披露的几点思考
(一)内控不是解决企业所有诚信问题的“灵丹妙药”
内控在帮助企业提高经营管理水平、有效防范各类风险方面具有不可替代的作用,但是内控也并非是解决企业所有诚信问题的“灵丹妙药”。安然事件以后,美国出台了萨班斯法案,强化了上市公司与财务报告相关的内部控制。这使人们形成了一种误解,即单纯依靠内部控制就可以防范类似于安然之类的不诚信事件的发生。实际上,很多人忽略了萨班斯法案中对于发生财务报告舞弊公司高管的严厉的责任追究机制,这种责任追究甚至严厉到天文数字的民事赔偿和追究刑事责任的高度。因此,内控只是构建企业诚信的一个环节,仅仅依靠内控也无法完全解决企业不诚信的问题,更重要的是整个法律体系的构建,包括公司大股东、高管的责任追究机制、发生财务报告舞弊之后的民事赔偿机制、相关中介机构的责任追究机制等。而我们的企业也应该认识到,资本市场为企业提供了一个便捷的融资平台,借助这个平台企业可以低成本地获得其发展所需要的资金,迅速做优做强。但是如果企业不重视诚信问题,不尊重投资者,那么无论其是在A股市场、H股市场还是在美国市场,都最终会被市场和投资者所抛弃。在这个问题上,法制、观念和良知要比单纯内控层面的问题重要得多。
(二)需要进一步明确内控的“边界”与“内涵”
从披露内控报告的第一天起,企业内部控制的“边界”与“内涵”便一直是一个充满争议的话题。由于目前较为公认的对于内控的定义方式是一个间接而非直接的定义方式,造成了内控的具体内容与内控的目标休戚相关,而内控目标的不同又直接导致了内控具体内容的千差万别。仅就财务报告内部控制而言,虽然业界对其基本内容并无太大争议,但具体到技术细节,仍存在理解上的分歧。如一般内部控制和财务报告内部控制的具体边界究竟在哪里,不同行业、不同规模是否存在不同;如在2011年内控报告中,许多公司都将对关联交易的控制视为财报内控的一个方面,但关联交易究竟是一个内控问题还是更加偏向于公司治理的范畴仍有待讨论;又如内控中“期后事项”(财务报告的期后事项涉及到对于财务报告中会计估计的确认,因此其指向较为明确),也存在指向不够明确的问题等等。
(三)规范财务报告内部控制的建设和披露仍然任重道远
向投资者提供一份相对准确的能反映企业真实经营情况的财务报告,是上市公司内控建设的出发点和首要目标。但是,每年都会有公司在年报披露完成之后需要发布补充或更正公告,而补充或更正的内容往往是最为基础的会计数据,如每股收益、业绩变动比例的计算出现差错等,甚至发生过将数量单位“元”误写为“万元”的低级错误,这说明仍有一定数量的上市公司在最基本的会计控制方面都存在不尽完善之处。
除此之外,另一个常常被忽视的问题是关于会计估计形成过程的披露,如银行业的“拨备覆盖率”这个会计估计就会对其最终报告的业绩“数字”产生重大影响。2007年开始实施的新会计准则将“公允价值”列为会计的计量属性之一,这更进一步加大了会计估计对上市公司业绩的影响。但从目前的披露情况来看,上市公司对于会计估计和公允价值确定的内部控制过程的披露几乎还处在空白状态,这就给投资者阅读和理解公司的财务报告带来了很大的障碍。总体看来,财务报告内部控制的建设和披露仍然任重道远。
(四)建立和健全内控信息虚假披露的责任追究机制
信息披露的核心价值在于其决策有用性,而这同样也是内控信息披露的出发点和归宿。内控对于企业而言,其作用在于服务于企业战略目标,有效控制风险,从而为企业的生产经营保驾护航。但对于投资者而言,内控信息披露的意义首先在于告知投资者企业可能面临的各类风险、企业财务报告相对可靠的程度、企业应对各类风险时存在的缺陷以及未来的改进措施,从而使得不同风险偏好的投资者做出相应的投资决策。因此,内控信息披露的核心在于对内控目标的风险揭示。遗憾的是,从目前上市公司披露的内控报告来看,真正做到充分揭示风险的公司寥寥无几,这直接导致了目前上市公司披露的内控报告信息含量不足、市场反映不佳的尴尬。造成此种状况的原因,一方面可能是由于强制披露与自愿披露内控报告的公司本身质地较好,但另一方面也可能是由于风险揭示在某种意义上类似于“自报家丑”,因而公司不愿(或不能)进行如实披露。因此建立以交易所自律监管、证监会行政处罚和国家层面法律制度三者相结合的内控信息披露责任追究制度就愈发显示出其重要性和迫切性,以使虚假和不负责任的内控信息披露主体付出成本,直至被追究法律责任。唯此,才能使内控报告的披露符合信息披露真实、准确、完整的基本要求;才能发挥好资本市场实现资源配置的基本功能,不出现“好人吃亏”、扭曲市场机制的情形;才能为实现包括内控指标在内的上市公司分类监管打好基础;才能使内控情况较好和如实披露内控情况的上市公司在再融资、并购重组审核等方面得以享受政策优惠成为可能;也才能使内控得以“物尽其用”,真正发挥其在提高上市公司质量方面的作用。
(五)内控报告的披露要求应与资本市场的发展阶段与成熟度相协调
从历年内控报告的披露情况来看,总体上其所披露的内容可读性不强、信息含量不高、个性化不足、对于投资者的投资决策帮助较小。产生此种情况的原因既与上市公司自身有关,也与资本市场的整体状况紧密相连。从理论上讲,信息披露对于资本市场而言,一方面是解决上市公司与投资者之间的信息不对称,从而保护投资者的合法权利,另一方面在于上市公司通过信息披露向投资者传递自身的生产经营状况从而使得“好”的上市公司获得较低的融资成本,而这也是上市公司披露各类信息的内生动力。内控信息的披露也难逃俗臼,只有当资本市场能够给与内控较好的公司以“溢价”(当然首先要保证其所披露的内控信息真实准确),内控信息的披露才能从“要我披露”转化为“我要披露”。但显然,仅就目前而言,我国资本市场显然还不完全实现该功能。内控信息的披露,既有赖于上市公司本身的内控建设和诚信披露,又有赖于整个资本市场环境的改善,包括法律环境、投资者素质和市场监管的成熟度等。因此,内控信息的披露政策,应该适应资本市场的发展阶段,与投资者的成熟度相协调。重实际、不盲从,重鼓励、不强制,重效果、不求全。唯此,才能真正发挥内控应有的作用,提高上市公司质量,促进我国资本市场更快更好发展。