中国上市公司2013年内部控制白皮书
————迪博企业风险管理技术有限公司
一、前言
截至2012年12月31日,沪、深交易所A股上市公司共有2472家;本报告在选取样本时剔除了在2013年退市的白云山A(000522)、*ST炎黄(000805)、*ST创智(000787)三家公司,总分析样本共2469家。
本报告中数据来源于2012年上市公司公开披露的年报、内部控制评价报告、内部控制审计报告等。本报告的数据截止日为2013年4月30日前披露上述报告的上市公司。所有的原始数据都已录入DIB迪博内部控制与风险管理数据库之中(www.ic-erm.com)。
本报告是国家自然科学基金项目“诚信、C-SOX与企业价值”(项目批准号71272198)、广东省人文社科重点研究基地项目“企业内部控制与价值创造——基于中国资本市场的实证研究”(项目批准号11JDXM79004)和中山大学高校基本科研业务费专项资金资助项目“基于中国实践的企业内部控制有效性研究”(项目批准号13wkjc02)阶段性研究成果。
二、内部控制评价报告总体披露情况
(一)内部控制评价报告总体披露情况
2223家上市公司在2013年4月30日前披露了内部控制评价报告,披露比例为90.04%;246家未披露内部控制评价报告,占比9.96%。
在2223家披露了内部控制评价报告的上市公司中,2219家上市公司的内部控制评价结论为有效,占比99.82%;4家上市公司的内部控制评价结论为无效,占比0.18%。评价结论无效的四家上市公司分别为:北大荒(600598)、长春经开(600215)、万福生科(300268)、海联讯(300277)。
(二)按板块分类的内部控制评价报告披露情况
主板1413家上市公司中,1168家披露了内部控制评价报告,披露比例为82.66%;中小板701家上市公司中,700家披露了内部控制评价报告,披露比例99.86%;创业板355家上市公司都披露了内部控制评价报告,披露比例为100%。
(三)按交易所分类的内部控制评价报告披露情况
上交所944家上市公司中,705家披露了内部控制评价报告,披露比例为74.68%,深交所1525家上市公司中,1518家披露了内部控制评价报告,披露比例为99.54%。
三、内部控制评价缺陷的披露情况
(一)内部控制评价缺陷认定标准的披露情况
1.内部评价缺陷认定标准的总体披露情况
在2223家披露了内部控制评价报告的上市公司中,734家披露了内部控制缺陷认定标准,占比33.02%,1489家未披露内部控制缺陷认定标准,占比66.98%。
内部控制缺陷认定标准披露情况
■
2. 按是否强制实施分类的内部控制缺陷认定标准披露情况
按是否强制实施分类的内部控制缺陷认定标准披露情况来看,纳入强制实施范围833家披露了内部控制评价报告的上市公司中,559家披露了内部控制缺陷认定标准,占比67.11%;未纳入强制实施范围的1390家披露了内部控制评价报告的上市公司中,175家披露了内部控制缺陷认定标准,占比12.59%。
按强制实施分类的内部控制缺陷认定标准披露情况
■
(二)披露内部控制评价缺陷的上市公司数量
在2223家披露了内部控制评价报告的上市公司中,503家上市公司披露自身存在内部控制缺陷,占比22.63%;1720家上市公司未披露内部控制缺陷,占比77.37%。
其中,4家公司披露了内部控制重大缺陷,1家公司披露了内部控制重大缺陷和重要缺陷,3家公司披露了内部控制重大缺陷和一般缺陷;8家公司仅披露内部控制重要缺陷,27家公司披露了内部控制重要缺陷和一般缺陷;460家公司仅披露内部控制一般缺陷。
内部控制评价缺陷披露情况
■
(三)上市公司披露其存在的内部控制缺陷数量
503家上市公司披露自身存在内部控制缺陷,这些上市公司的缺陷数量总计为4281个,其中,重大缺陷20个,占比0.47%;重要缺陷340个,占比7.94%;一般缺陷3921个,占比91.59%。
(四)内部控制缺陷内容
在503家披露其存在内部控制缺陷的上市公司中,424家披露了具体的内部控制缺陷内容。其中8家上市公司披露了内部控制重大缺陷,共披露20项内部控制重大缺陷内容;20家上市公司披露了内部控制重要缺陷,共披露39项内部控制重要缺陷内容;409家上市公司披露了内部控制一般缺陷,共披露1216项内部控制一般缺陷内容。
四、内部控制咨询机构聘请情况
570家上市公司披露其聘请了内部控制咨询机构帮助其建立内部控制体系或进行内部控制评价,占比23.09%。
五、内部控制审计报告
(一)内部控制审计报告的总体披露情况
1504家上市公司在2013年4月30日前披露了内部控制审计报告,占比60.92%,965家上市公司未披露内部控制审计报告,占比39.08%。
1504家披露了内部控制审计报告的上市公司中,935家披露的为规范的内部控制审计报告,占比62.17%;485家披露的为内部控制鉴证报告,占比32.25%;39家披露的为中小板内部控制审计报告,占比2.59%;23家披露的为内部控制专项报告,占比1.53%;22家披露的为内部控制审核报告,占比1.46%。
(二)按板块分类的内部控制审计报告披露情况
按板块分类的内部控制审计报告披露情况来看,主板上市公司中933家披露了内部控制审计报告,披露比例为66.03%;中小板上市公司359家披露了内部控制审计报告,披露比例为51.21%;创业板上市公司212家披露了内部控制审计报告,披露比例为59.72%。
(三)按交易所分类的内部控制审计报告披露情况
按交易所分类的内部控制审计报告披露情况来看,上交所627家上市公司披露了内部控制审计报告,披露比例为66.42%;深交所877家上市公司披露了内部控制审计报告,披露比例为57.51%。
(四)按是否强制实施分类的内部控制审计报告披露情况
纳入强制实施范围的825家上市公司在2013年4月30日之前披露了内部控制审计报告,披露比例为98.33%,非强制实施的上市公司679家在2013年4月30日披露了内部控制审计报告,披露比例为41.66%。
六、内部控制审计意见
(一)内部控制审计意见
1504家上市公司出具了内部控制审计报告,其内部控制审计结论如图6-1所示:内部控制审计结论为标准无保留意见的上市公司1479家,占比98.34%;非标意见共25家,其中带强调事项段的无保留意见为21家,占比1.40%,否定意见为4家,占比0.27%。
(二)内部控制审计结论与内部控制自评结论
本报告将内部控制评价结论以及审计意见进行对比,结果发现:贵糖股份(600598)和天津磁卡(600800)的内部控制审计意见为否定意见,但其内部控制评价结论为有效。
(三)内部控制审计意见与财务报表审计意见
上市公司内部控制审计意见与财务报表审计意见的对比结果显示:44家上市公司的两种审计意见存在不一致,占出具内部控制审计报告上市公司总数量的2.93%。
(四)内部控制审计费用
1.内部控制审计费用披露情况
2012年,在1504家上市公司中,730家在年报中披露其支付了内部控制审计费用,占比48.54%;在这730家上市公司中,697家单独披露了内部控制审计费用的数额,33家未披露具体的内部控制审计费用数额。
内部控制审计费用的披露情况
■
2. 内部控制审计费用总额
697家上市公司单独披露的内部控制审计费用总额为336,108,362元,平均每家公司花费的内部控制审计费用为482,221元。其中,规范的内部控制审计报告的内部控制审计费用的平均值较高,为486,059元。
七、内部控制实证研究
(一)存在内部控制缺陷的上市公司盈利能力弱于不存在内部控制缺陷的上市公司
本报告运用stata11.0按是否存在内部控制缺陷对上市公司的每股收益进行T检验,实证结果显示:不存在内部控制缺陷的上市公司的每股收益的平均值高于存在缺陷的上市公司的每股收益的平均值;且两者之间的差异在10%的水平下显著。这一实证结果说明存在内部控制缺陷的上市公司盈利能力弱于不存在内部控制缺陷的上市公司。
表 内部控制缺陷与每股收益
| 样本量 | 平均值 | 标准误 | 标准差 | T检验(双侧) | ||
| T值 | P值 | |||||
| 不存在缺陷 | 1966 | 0.3587 | 0.0099 | 0.4370 | 2.0774* | 0.038 |
| 存在缺陷 | 503 | 0.3125 | 0.0210 | 0.4707 | ||
注:*、**、***分别代表在10%、5%、1%的水平下是显著的
(二)出具了规范的内部控制审计报告的上市公司的净资产收益率显著高于未出具规范的内部控制审计报告的上市公司
内部控制审计报告的规范性一定程度上反映了该上市公司的内部控制水平,本报告拟分析内部控制水平与上市公司的盈利能力之间是否存在相关关系。为此,本报告以内部控制审计报告的规范性作为衡量内部控制水平的一个指标,净资产收益率作为衡量公司盈利能力的一个指标,并运用stata按是否出具规范的内部控制审计报告对上市公司净资产收益率进行T检验,实证结果显示:出具了规范的内部控制审计报告的上市公司的净资产收益率显著高于未出具规范的内部控制审计报告的上市公司,且两者之间的差异在1%的水平下显著。
表 内部控制审计报告的规范性与净资产收益率
| 样本量 | 平均值 | 标准误 | 标准差 | T检验(双侧) | ||
| T值 | P值 | |||||
| 出具规范的内部控制审计报告 | 112 | 0.1022 | 0.0070 | 0.0745 | 2.9034*** | 0.0038 |
| 未出具规范的内部控制审计报告 | 566 | 0.0801 | 0.0030 | 0.0736 | ||
注1:*、**、***分别代表在10%、5%、1%的水平下是显著的
注2:由于纳入强制实施范围的上市公司按规定都需要披露规范的内部控制审计报告,因此,此处选择样本时选取的为非强制实施范围内的自愿披露内部控制审计报告的上市公司。
(三)内部控制审计费用与上市公司的市场价值存在着正相关关系
为验证上市公司在内部控制体系建设过程中支出的成本是否能产生相应的价值,本报告将检验上市公司内部控制审计费用与上市公司的市场价值之间是否存在相关性。其中,内部控制审计费用取自上市公司在年报中披露其支出的内部控制审计费用,市场价值以托宾Q来衡量。两者之间的相关性分析结果显示:内部控制审计费用与上市公司的市场价值存在着正相关关系,两者之间的相关系数为0.8561,且在1%的水平下显著。
八、存在的问题与政策建议
(一)存在的问题
1. 上市公司在内部控制信息披露方面存在的问题
(1)信息披露的格式不统一
各上市公司的内部控制评价报告和内部控制审计报告的格式以及报告中的内容存在重大的不一致。
(a)内部控制评价报告名称和内部控制评价依据多样化。其中内部控制评价报告被称为:内部控制评价报告、内部控制自我评价报告、内部控制自我评估报告、董事会关于内部控制的自我评价报告、董事会关于内部控制有效性的自我评价报告、董事会关于内部控制及其有效性认定的自我评价报告、与财务报表相关的内部控制自评报告、关于内部控制有关事项的说明等。其中内部控制评价依据的相关规范有:《企业内部控制基本规范》、《企业内部控制评价指引》、《企业内部控制配套指引》、《主板上市公司规范运作指引》、《上市公司规范运作指引》、《深圳证券交易所上市公司内部控制指引》、《中小企业板上市公司规范运作指引》、《创业板上市公司规范运作指引》、《内部会计控制规范-基本规范(试行)》等,不同评价依据所对应的内部控制评价报告中的评价内容也不一致。
(b)内部控制审计报告的格式以及内容存在重大的不一致,总体可以归为以下几类:
①规范的内部控制审计报告:指会计师事务所依据《企业内部控制基本规范》和《企业内部控制配套指引》中的《企业内部控制审计指引》出具的《内部控制审计报告》。
②中小板的内部控制审计报告:此类内部控制审计报告依据深圳证券交易所《中小企业板上市公司规范运作指引》而出,会计师事务所出具该报告的审计依据为《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》。
③内部控制鉴证报告:内部控制鉴证报告中的会计师事务所的审计依据为《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》,会计师事务所审计仅针对上市公司是否按照《企业内部控制基本规范》和《企业内部控制配套指引》等相关规定在所有重大方面保持了与财务报表相关的内部控制。内部控制鉴证报告仅对财务报表相关的内部控制发表意见。
④内部控制专项报告:内部控制专项报告是会计师事务所依据《中国注册会计师审计准则》。审计的对象是上市公司在《关于内部控制有关事项的说明》中所述的与财务报表编制相关的内部控制的相关情况是否与会计师事务所对上市公司在财务报表的审计发现存在重大的不一致。
⑤内部控制审核报告:会计师事务所出具该报告的审计依据为《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》或《内部控制审核指导意见》;审计的对象是上市公司是否按照财政部《内部会计控制规范——基本规范(试行)》及相关具体规范设定的标准于2012年12月31日在所有重大方面保持了与会计报表相关的有效的内部控制。
(2)信息披露的及时性和准确性问题
2012年,纳入强制实施范围的上市公司中,4家上市公司在2013年4月30日之后才披露内部控制评价报告;13家上市公司在2013年4月30日之后才披露内部控制审计报告。3家上市公司未披露内部控制评价报告;1家公司未披露内部控制审计报告。
同时,上市公司的内部控制信息披露存在着以下三个方面相互矛盾的地方:首先,22家上市公司的内部控制评价报告的有效性结论与内部控制审计意见存在不一致;其次,44家上市公司的内部控制审计意见与财务报表审计意见存在不一致;最后,上市公司年报中内部控制一节中的有效性结论与内部控制评价报告中的结论存在不一致,如北大荒(600598)。
(3)内部控制缺陷认定标准的披露比例与披露质量不高
2012年,在披露内部控制评价报告的上市公司中,仅33.02%的上市公司披露内部控制缺陷认定标准。且在这些公司中,仅247家上市公司披露了详细的内部控制定性与定量的缺陷认定标准,重大、重要和一般缺陷的认定标准,以及财报与非财报的缺陷认定标准。
(4)内部控制审计费用的披露需进一步加强
多数上市公司并未披露内部控制审计费用:774家上市公司聘请了会计师事务出具内部控制审计报告,但并未披露内部控制审计费用;33家上市公司在年报中说明有支付给会计师事务所内部控制审计费用,但并未单独披露具体的数额。
2. 上市公司在内部控制体系建设过程中存在的问题
(1)聘请的会计师事务所的独立性问题
《企业内部控制基本规范》第一章总则中第十条规定:为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。在整理数据的过程中,本报告发现部分上市公司聘请的内部控制咨询机构与为其提供内部控制审计的会计师事务所是一致的,或是两者之间存在着关联关系,如:*ST济柴(000617);黔源电力(002039)等。
(2)上市公司对子公司的管控以及分子公司的内部控制体系建设问题
2012年,两家上市公司*ST长油(600087)和北大荒(600598)在内部控制自我评价中都发现子公司的管控方面存在着重大缺陷,并对上市公司内部控制目标的实现产生重大不利影响。因此,对于上市公司而言,不仅需要建立健全母公司的内部控制体系,同时也须加强分子公司的内部控制体系建设。
(3)风险评估工作需要进一步加强
财政部发布的《企业内部控制评价报告模板》要求内部控制评价的范围涵盖公司及其所属单位的各种业务和事项,重点关注高风险领域,并列示根据风险评价结果确定的前“十大”风险。然而,2012年,上市公司在内部控制评价报告中总共仅披露了749项风险,且其中114项未制定相应的应对措施。
(4)内部控制评价范围的问题
目前,绝大部分上市公司主要依据《企业内部控制应用指引》中十八项指引构建与评价内部控制体系,但本报告参考2012年上市公司披露的内部控制缺陷发现,上市公司在关联交易、控股股东、子公司管控、信息披露、担保、权限管理、对外投资等几个方面也容易出现内部控制重大缺陷和重要缺陷。
(5)内部控制信息化有待于进一步加强
上市公司在实施内部控制体系建设及评价过程中,信息化程度不高,过度依赖手工操作,影响内部控制的效率效果。
(二)政策建议
与2011年相比,2012年上市公司内部控制体系建设取得了不小的进步,内部控制评价报告、内部控制审计报告的披露数量和披露比例都在增加;内部控制的信息披露质量也在提升。然而,在取得这些进步的同时,上市公司的内部控制信息披露以及上市公司在内部控制体系建设中依然面临着不少挑战,为此,本报告提出以下几项政策建议,以促进上市公司的内部控制水平,提高风险防范能力。
1. 梳理内部控制的相关规范,统一内部控制的信息披露格式
目前上市公司在内部控制体系建设和评价过程中以及会计师事务所在审计上市公司内部控制有效性时,遵循的标准多样化。这些标准的多样化导致上市公司实施内部控制体系时存在困惑,也是导致内部控制信息披露的格式混乱的原因。因此,本报告建议监管机构梳理现有的内部控制规范,将部分已经过时不再适用的规范等及时废止,为上市公司全面实施企业内部控制规范体系奠定标准一致的制度基础。
2.加强内部控制法制建设,提高上市公司内部控制水平
美国、日本、韩国等国家都已将内部控制的建设上升到法律的高度,而我国的内部控制法制建设还处于部门规章层面,并未上升至法律法规层面。为确保内部控制得以有效执行,内部控制信息披露能够真实准确,投资者的利益得到切实维护,本报告建议监管机构加强内部控制的法制建设,并借鉴美国的《萨班斯法案》,强化对隐瞒内部控制缺陷、虚假披露内部控制有效性的相关管理人员的处罚力度。
3. 完善内部控制缺陷的披露机制,提高内部控制缺陷披露质量
2012年,尽管披露内部控制缺陷的上市公司数量增多,但在内部控制缺陷披露过程中仍存在着缺陷认定标准不明确、内部控制缺陷未划分等级、未披露内部控制缺陷整改措施等诸多问题。内部控制缺陷是衡量上市公司内部控制有效性的负向指标,内部控制缺陷的模糊披露不利于投资者、监管机构等报告使用人判定上市公司的内部控制有效性,因此,建议监管机构完善内部控制缺陷的披露机制,提高内部控制缺陷披露质量。
4. 加强对中介机构独立性的监管,提高内部控制审计质量
有相当一部分上市公司存在将内控咨询或评价与内控审计业务直接或间接委托给某一中介机构的现象,购买审计意见的行为明显。有部分中介机构成立咨询公司,并隐瞒其关联关系,承接其内部控制审计客户的内部控制咨询业务,严重违反了《企业内部控制基本规范》等相关规定对于中介机构独立性的要求。为此,本报告建议监管机构应当加强对中介机构的监管力度,防止和杜绝将内控咨询或评价与内控审计业务捆绑,避免内控审计流于形式。
5. 拓宽企业内部控制体系建设的范围,合理保证内部控制目标的实现
上市公司不仅应关注自身内部控制体系的建设,同时也应重视分子公司的内部控制体系建设工作,在充分考虑分子公司业务特征的基础之上,督促其建立完善的内部控制制度,合理保证整体内部控制目标的实现。
6. 推进内部控制信息系统建设工作,提升上市公司信息化水平
推进内部控制信息系统建设,有效促进内部控制信息化落地,提升内部控制工作效率,降低内部控制实施成本。