金融类上市公司内部控制信息披露现状研究

西安石油大学 吴 勋 南恒玮

金融类上市公司内部控制信息披露现状研究

西安石油大学 吴 勋 南恒玮

金融行业由于其特殊的行业性质，具有较高风险性，这就决定了必须要有健全的内部控制与之相匹配。完善内部控制评价体系对于金融业加强行业风险管理、提高管理效率、完善内部审计程序等有着积极作用。考虑到金融行业的监管特殊性和信息披露可获取性，本文选取我国金融行业43家上市公司作为研究对象，通过对其2013年内部控制信息披露情况进行现状分析，寻求内部控制信息披露中存在缺陷并提出改进对策。

金融行业；内部控制；信息披露

一、引言

内部控制信息披露对企业经营发展起着至关重要的作用，能够帮助企业进行自我完善内控体系，提升企业市场形象和公众认可度，同时还可与政府监管形成互相协调的局面，有利于企业可持续发展，对企业管理当局和外部信息需求者都具有十分重要的意义。随着《企业内部控制基本规范》、《企业内部控制配套指引》、《企业内部控制评价指引》、《企业内部控制审计指引》等系列规范的实施，提高企业内部控制信息披露质量成为利益相关者关注的焦点问题。目前国际国内经济金融形势日趋复杂，金融行业面临的风险管理问题日益突出，随着COCO《企业风险管理框架》(2004)、《企业内部控制整体框架》(2013)的发布，内部控制与风险管理整合成为主流趋势，内部控制信息披露开始在金融行业发展过程中扮演着监督和导向作用。在此背景下，研究我国金融类上市公司内部控制信息披露问题具有较强的理论意义与现实价值，论文主要从内部控制信息披露形式与披露内容的角度解析金融类上市公司内部控制信息披露现状，进而提出内部控制信息披露改进建议。

二、金融类上市公司内部控制信息披露形式

本文研究样本选自于中国证监会2013年上市公司行业分类中的金融业上市公司，包括为银行业、证券业和保险业上市公司共43家，包括银行业上市公司16家，保险业上市公司4家，证券行业上市公司23家。其研究对象设定为2013年年度报告、会计事务所出具的审计报告及内部控制自我评价报告中涉及的内部控制信息披露内容。内部控制信息披露主要形式包括年报中的董事会报告、监事会报告、公司治理、内部控制说明以及单独发布的内部控制自我评价报告、会计事务所出具的审计报告，如表1所示。

可以看出，我国金融类上市公司内部控制信息披露的形式呈现出多元化的特征。新规范中要求企业必须出具内部控制自我评价报告。金融类三大行业全部在内部控制自我评价报告中进行内部控制信息的披露。其中银行业由董事会报告、监事会报告、公司治理报告中披露转向在“内部控制说明”和内部控制自我评价报告中进行披露。“内部控制说明”一章主要是将原来分散在董事会报告、监事会报告、公司治理等章节的内容集中整合披露，专设内部控制章节更有利于信息查询，方便信息需求者了解银行内部控制情况，但其披露的内容与分散披露并无实质区别，可见上市银行虽然整合了信息披露环节但还是没有从本质上改变。证券业的信息披露则基本分散于上述几种形式，根据规定，证券业上市公司董事会、监事会每年应该表达对内部控制的意见，故而各家企业都有所体现。保险业中，有两家在年报的内部控制章节中进行简要披露，原来在董事会报告中进行披露的内部控制信息已经转而统一集中在内部控制自我评价报告中进行披露。因此可以看出金融类上市公司在内部控制信息披露形式的选择上时缺乏一定的统一性。

三、金融类上市公司内部控制信息披露内容

(一)内部控制信息披露范围。

根据样本分析，可以看出当前金融类上市公司内部控制信息披露的内容主要有内部控制的建立健全、内控的检查监督情况、风险管理控制披露、内部控制缺陷分析、重点控制活动以及内部控制有效性分析等，如表2所示。

表1 内部控制信息披露形式分类统计 %

表2 内部控制信息披露范围分类统计 %

从金融类上市公司内部控制信息披露范围来看，主要集中在内控制度建立健全和制度是否有效实施的说明上，无一家对下一年的内控计划进行披露说明，对于内部控制检查监督和内部控制有效性披露多为形式化，且不够全面和详细。其中一些会计事务所出具的审计报告并没有对被审计单位内部控制情况进行详细的说明，只是简单发表了评价意见。

(二)内部控制信息披露完整性。

围绕43家金融类上市公司内部控制信息披露情况，从以下四个方面进行内部控制信息披露完整性的考察，根据《上市公司内部控制指引》的要求，内部控制信息披露需体现内控五要素，涵盖所有的运营环节，对内控的缺陷和整改情况作出说明，并且董事会、监事会等要对内部控制评价发表意见。金融类上市公司如果仅从其中一两个方面来进行披露，或者信息披露内容泛泛而谈，不涉及实质，就会使外部信息需求者获得的信息存在一定的局限性和失真性，使得内控信息披露无法达到应有的效果。所以只有达到规定的披露要求，才能视为对内部控制信息进行了完整披露(见表3)。

从金融类企业上市公司内部控制信息披露的完整性来看，明确了评价重点，体现了内控要素的公司占金融类上市公司总数的一半，大部分主要从运营环节进行内控信息的披露，有11家上市公司未披露内控缺陷和未来整改措施，绝大多数公司治理层、董事会、监事会发表了对内部控制评价的意见，但也是简要概述，未做详细说明。

(三)内部控制信息披露的质量。

将43家金融类上市公司内部控制信息披露质量分为3个层级：详细说明、一般性描述、简单披露。详细说明即内部控制信息披露范围出发，对每一项下的内容作出全面且完善的阐述，同时还包括内部控制计划实施情况、内部控制重点的控制活动环节以及内部控制部门设置等。简单披露即只针对所涉及的部分内部控制进行简单评价，例如“本公司对本年度财务报告相关内部控制进行了评价，认为其内部控制制度健全，内部控制执行有效，未能发现内部控制存在重大缺陷”。一般性描述则只涉及内部控制信息披露范围项下其中几个方面，并且对具体内容的阐述也不够全面和详细。具体情况见表4。

表3 内部控制信息披露完整性分类统计 %

表4 内部控制信息披露质量的分类统计 %

对照以上的分类统计结果，可以看出对内部控制信息进行详细说明有27家，占金融类上市公司总数的62.8%。仍然有1/3的企业只是进行了简单的披露或者披露不充分，多为格式化的陈述。由此可见，金融类上市公司绝大多数还是能够较为全面和详细的作出内部控制信息披露，信息披露质量较高。

四、金融类上市公司内部控制信息披露缺陷

(一)内部控制信息披露形式。

1.披露载体众多。通过对43家金融类上市公司内部控制信息披露的形式表现来看，主要有以下几种：(1)在公司年报的“董事会、监事会、公司治理”这一章节进行公开披露；(2)提供单独的内部控制自我评价报告或将内部控制报告附在该公司的年报内；(3)运用“内部控制制度建设和执行情况”的陈述形式在“公司治理”或“内部控制”章节中公开披露，并未加上“内部控制自我评价报告”的标题字样；(4)由注册会计师出具的审计报告来进行披露，但缺乏实质性的信息，通常的表述为“按照《企业内部控制基本规范》和相关规定，被审计单位在所有重大方面保持有效的财务报告内部控制”的审计意见。

2.披露的内容和形式不统一。其一，我国上市公司内部控制信息披露仍然处于自愿披露阶段，从而使得上市公司避重就轻的进行披露。其二，证监会同沪深两市在披露时执行的标准与要求不尽相同，由于缺乏统一的内部控制信息披露规范，各公司对内部控制信息披露认识和理解不全面，导致披露形式多样，内容零散且缺乏统一性和系统性。

(二)内部控制信息披露内容。

1.披露内容形式大于实质。有的公司内部控制评价报告披露的信息较为规范，多出于向外界塑造良好形象的目的，对主要和已完善内控的方面进行了比较详细的描述，这无疑是扬长避短。而有的上市公司只是简单概括说明了内部控制的最基本情况，没有披露详细的实质性内容，这样也使得内部控制报告信息的有效性大大降低。披露企业内部控制信息的目的，是为了提高上市公司财务报告的可靠性和为利益相关者服务。从相关性考虑，如果内部控制信息涉及上市公司的商业机密，出于保密需要，也不能对外披露所有关系到资产安全、公司机密的内容。除此以外的内部控制信息，上市公司应进行全面详细的披露。

2.披露内容不完全。一方面，披露的内部控制信息内容过于简单。43家金融类上市公司，32份内部控制自我评价报告过于简单，没有详细评价的内容。另一方面，几乎所有金融类上市公司都认为内部控制制度健全，内部控制执行有效，未能发现内部控制存在重大缺陷。内部控制存在的实质性缺陷较少涉及，对于已经披露的缺陷中表述通常为“有待改进”、“不构成实质影响”、“已认真整改”。

3.披露格式缺乏规范。详细表现为与上交所、深交所和五部委的指引规定不统一。新规范规定：“内部控制自我评价的方式、范围、程序和频率由企业根据经营业务的调整、经营环境的变化、业务发展状况和实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。”《上交所指引》、《深交所指引》、《企业内控评价指引》都规定了内部控制自我评价报告至少应包括的内容，但是并没有规定统一的范式，造成口径不一致，缺乏可比性。上市公司在执行过程中有一定的随意性和选择性，不利于内部控制信息披露标准化。

五、金融类上市公司内部控制信息披露建议

(一)统一内部控制信息披露的载体。

内控信息披露载体的繁多，既不利于监管部门执行监管，又使得外部信息需求者获取信息的难度加大。统一内部控制信息披露的载体，将众多的载体整合化一，以规定的内容和形式进行内部控制信息披露，方便信息的获取和进行监管同时还便于横向比较，这将促使整个金融行业上市公司内部控制信息披露水平达到一个新的高度。

(二)监管部门对内部控制信息披露政策的执行加强监管。

《企业内部控制基本规范》对内部控制信息披露作出了详细的规定，但是上市公司并没有完全披露或披露只做表面文章，因此，监管部门不但要制定和完善内部控制信息披露规范或指引，而且要对内部控制信息披露的执行情况加强监管，将内部控制信息披露的完整性、真实性与企业的责任联系起来，明确责任主体和处罚程序，增强内部控制监管的威慑力，从而全面提升我国金融类上市公司的内部控制建设的水平。

(三)规范内部控制信息披露格式。

现实中，由于地域性的差异，监管部门对于内部控制信息披露的格式并没有进行严格的规定，不利于信息的搜集、分析和比较。故而，相关政策的制定单位应对内部控制信息披露报告的形式给出一个统一规定。

[1]Lu Li.Jianfei Leng.Analysis of the Relationship between Listed Companies’ Earnings Quality and Internal Control Information Disclosure，Modern Economy, 2011, Vol.02 (05), pp.893-900.

[2]Song Xiaowen.Corporate Characteristics and Internal Control Information Disclosure-Evidence from Annual Reports in 2009 of Listed Companies in Shenzhen Stock Exchange，Physics Procedia, 2012, Vol.25, pp.630-635.

[3]傅胜：《上市公司内部控制信息披露的现状与对策》，载于《会计之友》2010年第6期，第74～75页。

[4]龙姣：《上市公司内部控制信息披露:现状分析与改进建议》，载于《商业会计》2013年第12期，第44～46页。

[5]徐欣欣、张建英：《上市公司内部控制信息披露分析》，载于《当代经济》2013年第9期。

[6]杨恒仓：《上市证券公司内部控制信息披露现状评价》，载于《财会月刊》2012年第9期，第72～73页。

[7]陈共荣、刘燕：《内部控制信息披露的市场反映》，载于《系统工程》2007年第10期，第40～45页。

F233；F832.5

：A

：2095-3151(2014)68-0040-05