内部控制重大缺陷隐藏现状探析

董卉娜

【摘要】对纳入内部控制规范体系实施范围的主板A股上市公司2012-2016年的内部控制评价结论与内部控制重大缺陷迹象进行对比分析，探讨内部控制缺陷隐藏行为。研究发现：内部控制规范体系的实施提升了上市公司内部控制质量;部分存在明显内部控制重大缺陷迹象的公司，其内部控制评价结论中仅认定非重大缺陷（包括重要缺陷和一般缺陷）或任何缺陷都不认定，有严重的内部控制缺陷隐藏行为;存在重大缺陷迹象的公司被出具非标准内部控制审计意见的比例较低，内部控制审计未能充分发挥外部监督效应。

【关键词】内部控制评价结论;重大缺陷迹象;重大缺陷隐藏;内部控制审计

【中图分类号】F275 【文献标识码】A 【文章编号】1004-0994（2019）05-0018-6

2010年《企业内部控制配套指引》的颁布标志着我国内部控制规范体系已经形成。其中，《企业内部控制评价指引》及相关解读详细列示了内部控制缺陷的定义、分类、认定标准、披露要求及缺陷对评价结论的影响，为企业认定和披露内部控制缺陷提供了具体参考。《企业内部控制审计指引》要求注册会计师对内部控制有效性发表审计意见，如果公司内部控制存在重大缺陷，则应该在内部控制审计意见中体现出来。对比来看，《企业内部控制评价指引》和《企业内部控制审计指引》堪比美国《SOX法案》的302条款和404条款，这两项指引若能充分实施，将会大大提高我国上市公司内部控制缺陷披露的充分性和真实性，有效抑制内部控制缺陷隐藏行为。

《企业内部控制配套指引》于2011年首先在境内外同时上市的公司中实施，2012年开始在沪深两市主板上市公司分类分批实施。本文以2012～2016年纳入内部控制规范体系实施范围的主板A股上市公司为样本，详细分析内部控制规范体系实施后上市公司的内部控制缺陷隐藏行为，检验内部控制规范体系的执行效果，为监管机构及上市公司内部控制实践提供有益参考。

一、文献回顾

美国《SOX法案》实施以来，国外内部控制缺陷研究主要集中于内部控制缺陷披露的影响因素和经济后果两方面，专门研究内部控制缺陷披露状况的文献较少。国外早期的研究主要是对披露的内部控制缺陷进行分类。Ge等[1]将公司披露的内部控制缺陷划分为九类：具体会计账户存在的缺陷，培训方面存在的缺陷，期末报告程序或会计政策存在的缺陷，收入确认存在的缺陷，职责分工存在的缺陷，账户调整存在的缺陷，子公司存在的缺陷，高管层存在的缺陷，技术方面存在的缺陷。Doyle等[2]将公司披露的内部控制重大缺陷划分为公司层面重大缺陷和交易层面重大缺陷，按照缺陷归因又分为人员方面重大缺陷、复杂性方面重大缺陷和常规重大缺陷。Ham-mersley等[3]将内部控制缺陷分为较难审计类缺陷和容易审计类缺陷。内部控制缺陷披露的真实性方面，Hoitash等[4]研究指出，根据（SOX法案》302条款披露内部控制信息的公司其缺陷披露是不完整的。Rice、Weber[5]以发生财务重述的公司为样本研究发现，虽然这些公司最初始错报隐含了内部控制缺陷，但是只有部分公司（32.4%）承认他们在错报期间是存在内部控制缺陷的，大部分都不承认其存在内部控制缺陷。Rice等[6]仍以发生财务重述的公司为样本，进一步研究指出，执行《SOX法案》404条款的公司管理层并没有更强的动机去发现和披露内部控制缺陷。

我国内部控制规范体系实施之前，崔志娟[7]指出高管层具有披露的“动机选择”倾向，这种“动机选择”决定了内部控制信息披露偏离内部控制质量。王惠芳[8]研究发现，2009～2010年深市主板A股上市公司存在披露内部控制缺陷较少、内部控制缺陷程度没有明确区分、内部控制缺陷归因自我选择严重、内部控制缺陷信息含量不足等问题。崔志娟、刘源[9]分析指出，2008～2010年沪市年报重述公司中有40%左右的公司的内部控制自我评价结论为有效或基本有效，这些公司的内部控制自我评价结论是不可靠的。丁友刚等[10]研究发现，2011年上市公司披露的内部控制缺陷存在事件描述不完整、不清楚，缺陷认定标准缺乏一致性和科学性等问题，从而给企业留下了“自我选择”的空间。

我国内部控制规范体系实施之后，李颖琦等[11]研究发现，首次执行内部控制规范体系的境内外同时上市的公司，其内部控制缺陷的总体披露水平不高。周守华等[12]发现2012年A股上市公司内部控制缺陷披露存在认定标准不明确、缺陷未划分等级、未披露缺陷整改措施等诸多问题。赵息等[13]认为在当前公司治理机制弱化和内部控制缺陷认定标准模糊的背景下，管理层会利用其对公司的控制权影响内部控制缺陷的披露。财政部会计司和深圳迪博企业风险管理技术有限公司连续多年发布的调查报告均指出，上市公司内部控制缺陷披露存在信息含量不足、可用性差、重大缺陷及重要缺陷的信息披露不完整等问题。

从上述文献回顾可以看出，内部控制规范体系实施以后，个别研究文献或研究报告是以披露缺陷的数量为基础来判断缺陷披露的充分性，没有专门研究内部控制缺陷隐藏的问题，而且研究文献主要分析了内部控制规范体系实施初期上市公司的缺陷信息，缺乏連续实施年度的效果检验。据此，本文以内部控制规范体系实施为背景，以2012～2016年为研究期间，将公司评价结论中认定的内部控制缺陷和公司实际存在的内部控制重大缺陷迹象进行对比，分析上市公司内部控制缺陷的隐藏行为及其严重程度，检验内部控制规范体系的实施效果。

二、内部控制结论分类与重大缺陷迹象认定

为检验内部控制规范体系实施后上市公司的内部控制缺陷隐藏状况，本文选择2012～2016年纳入内部控制规范体系实施范围的主板A股上市公司作为研究样本，并按照以下程序进行筛选：①剔除金融类公司;②剔除上市不足两年的公司;③剔除报告期末未同时披露内部控制评价报告和内部控制审计报告的公司。最终得到5597个观测值。

1.样本公司内部控制评价结论分类。从样本公司2012～2016年内部控制评价报告来看，内部控制评价结论的表达方式可以总结为以下几类：①内部控制有效无缺陷，即评价报告明确指出内部控制有效、不存在缺陷。②内部控制有效但存在非重大缺陷，即评价报告明确指出内部控制有效，但存在一般缺陷或重要缺陷。有些评价报告虽然明确指出内部控制有效、存在缺陷，但没有说明缺陷类型，本文也将其归为内部控制有效但存在非重大缺陷。原因在于，根据《企业内部控制评价指引》的规定，如果内部控制存在重大缺陷则内部控制应评价为无效，上市公司评价内部控制有效则表明不存在内部控制重大缺陷，其存在的缺陷可以推断为重要缺陷或一般缺陷。③内部控制无效存在重大缺陷，即评价报告明确指出内部控制存在重大缺陷。

样本公司的内部控制评价结论是否认定了内部控制缺陷，以及认定的内部控制缺陷类型等数据来自迪博（DIB）的内部控制评价信息库和内部控制评价缺陷库。

2.样本公司内部控制重大缺陷迹象认定。本文对内部控制重大缺陷迹象的认定，主要依据三个方面：其一，《企业内部控制规范讲解（2010）》[14]列示的内部控制重大缺陷迹象;其二，2012～2016年样本公司披露的内部控制缺陷认定标准所列示的迹象;其三，相关研究文献总结的内部控制缺陷迹象，如李万福等[15]、周守华等[12]、方红星等[16]。考虑到获取途径的可行性以及现有研究对缺陷迹象的认可程度，本文认定的内部控制重大缺陷迹象主要有：①内部控制审计报告指出公司存在内部控制重大缺陷;②年度财务报告被出具非标准审计意见;③财务报告被更正或被发现存在重大会计差错;④报告年度存在较严重的违法违规事项，该类迹象主要指公司在关联交易、信息披露、股票买卖、内幕交易、环保问题、安全生产事故等方面违反国家法律法规而被监管机构给予处罚的事项。若存在上述事项之一，则认定该公司存在内部控制重大缺陷迹象，若上述事项都不存在，则认定该公司不存在内部控制重大缺陷迹象。需要说明的是，更正财务报告、公司违法违规行为等缺陷迹象并不是在报告年度就可立即观察到的，这些事项的公告存在明显滞后性，即2013年度公告更正2012年度财务报告，或2014年度公告2012年度、2013年度的违规事项等，对此，本文将这些事项归属到其实际发生的年度，而不是公告或被发现的年度。例如，2013年度更正2012年度财务报告，则视为2012年度存在缺陷迹象;2014年度发现2013年度的违规事项，则视为2013年度存在缺陷迹象。

样本公司内部控制缺陷迹象主要根据迪博（DIB）数据库中的外部审计库、财务重述库以及CSMAR数据库中的违规信息总表和明细表等相关数据整理得到。

三、内部控制评价结论与内部控制重大缺陷迹象总体匹配程度

表1列示了样本公司内部控制评价结论总体状况。5597家样本公司中，评价结论为内部控制有效无缺陷的公司占总样本的81.6%即大部分样本公司都认定其内部控制是有效无缺陷的。评价结论为内部控制有效但存在非重大缺陷的公司占总样本的16.5%，明显低于内部控制有效无缺陷的公司。评价结论为内部控制无效存在重大缺陷的公司仅占总样本的1.9%。

表2列示了样本公司内部控制重大缺陷迹象分布状况。从表2来看，存在内部控制重大缺陷迹象的公司有1039家，占总样本的18.6%，未发现重大缺陷迹象的公司占总样本的81.4%。四种内部控制重大缺陷迹象中，排在首位的是报告年度存在较严重的违法违规事项，占存在内部控制重大缺陷迹象样本公司的51.8%。样本公司较严重的违规事项主要有：①重要业务决策方面的违法违规行为，主要是关联交易、对外担保、对外投资、募集资金等重要业务未履行决策程序或决策程序不符合规定;②重要业务信息披露方面的违法违规行为，主要是关联交易、对外担保、对外投资、募集资金、诉讼事项、重要合同等方面存在信息虚假披露、没有披露或披露严重滞后等行为，以及在重大信息内部报告、敏感信息登记等方面存在违规行为;③其他方面存在违法违规行为，主要指内幕交易、环境保护、安全生产、产品质量等方面的违法违规行为。

位居第二的内部控制重大缺陷迹象是财务报告被更正或被发现存在重大会计差错，占比为44.9%。该迹象中，存在重大会计差错的财务报告包括年度财务报告、半年度财务报告及季度财务报告，存在的会计差错包括财务报表项目差错和财务报表附注差错。位居第三的缺陷迹象是年度财务报告被出具非标准审计意见，占比为25.4%。其中，被出具保留意见、无法表示意见或否定意见的公司有55家，占比为5.3%。位居最后的缺陷迹象是内部控制审计报告中明确指出公司存在内部控制重大缺陷，共69家，占比为6.6%，其中有64家公司被出具了否定意见的内部控制审计报告，还有5家公司被出具了带强调事项段无保留意见的内部控制审计报告。

表3对比了样本公司内部控制评价结论与内部控制重大缺陷迹象。评价结论为有效无缺陷的4566家公司中，未发现内部控制重大缺陷迹象的有3825家，占比为83.8%。评价结论为有效但存在非重大缺陷迹象的925家公司中，未发现内部控制重大缺陷迹象的有717家，占比为77.5%。加之评价结论为无效存在重大缺陷的106家公司，可以合理推断，大约有83%的样本公司的内部控制评价结论没有刻意隐藏内部控制重大缺陷，即大部分样本公司的内部控制评价结论反映了内部控制的实际状况。

为得到进一步的结论，本文检验了内部控制评价结论与内部控制重大缺陷迹象之间的相关性。评价结论方面，样本公司评价结论认定重大缺陷的取1，没有认定重大缺陷的取。。内部控制重大缺陷迹象方面，报告年度存在重大缺陷迹象赋值为1，否则为0。利用Stata软件检验的结果如表4所示。

由表4可知，样本公司内部控制评价结论认定重大缺陷与内部控制重大缺陷迹象存在显著的正相关关系，且在1%的水平上显著。说明从整体来看，纳入内部控制规范实施体系的上市公司的内部控制评价结论是可靠的，评价结论体现出了内部控制缺陷迹象。分析其原因，主要是内部控制规范体系实施以来，上市公司内部控制质量整体得到提升，存在内部控制重大缺陷迹象公司的数量占样本公司总数的1/5左右，不存在内部控制重大缺陷迹象的公司占据主导地位，因此，公司内部控制评价结论也是以有效无缺陷为主导，由此导致评价结论与内部控制缺陷迹象整體匹配。

四、存在重大缺陷迹象公司的内部控制评价结论

虽然相关性检验表明，总体来看样本公司内部控制评价结论与内部控制重大缺陷迹象是匹配的，但是从表3可以看出，部分存在重大缺陷迹象的公司并没有认定缺陷，存在明显的内部控制缺陷隐藏行为。为此，表5进一步分析了1039家存在内部控制重大缺陷迹象公司的内部控制评价结论。

內部控制审计报告中明确指出公司存在内部控制重大缺陷，说明注册会计师已经发现公司内部控制存在的重大缺陷，并将其反映到了审计意见中，这是证明公司内部控制存在重大缺陷最直接的证据。但是根据表5，存在此类迹象的69家公司中，仍有11家公司未认定内部控制重大缺陷，甚至有7家公司连内部控制一般缺陷都没有认定。这表明在注册会计师已经明确表示公司存在内部控制重大缺陷的情形下，仍有公司在内部控制评价结论中隐藏内部控制重大缺陷。

财务报告被出具非标准审计意见，不仅说明公司财务报告质量有问题，通常也表明公司财务报告内部控制是存在缺陷的。根据表5，财务报告被出具非标准审计意见的有264家公司，其中147家没有认定任何内部控制缺陷，占比为55.7%。相比带强调事项段无保留意见，财务报告被出具保留意见、否定意见、无法表示意见，通常意味着公司的财务报告内部控制缺陷更加严重。但是，在财务报告被出具保留意见、否定意见或无法表示意见的55家公司中，认定了内部控制重大缺陷的仅有30家，有7家仅认定了内部控制非重大缺陷，还有18家公司没有认定任何缺陷。

相比年度财务报告被出具非标准审计意见的迹象，财务报告被更正或被发现存在重大会计差错和报告年度存在较严重的违法违规事项两类迹象实际发生时间和公告时间存在差距，迹象表现具有一定的滞后性，通常不能在报告年度或报告年度结束后立即表现出来。因此，存在这两类迹象的公司隐藏内部控制缺陷的可能性更大。更正财务报告的466家公司中，在报告年度认定内部控制重大缺陷的仅有28家，占比为6.0%，认定内部控制非重大缺陷的有80家，占比为17.2%，其余76.8%的公司认为公司内部控制是有效的，没有认定任何缺陷。报告年度存在较严重的违法违规事项的538家公司中，认定内部控制重大缺陷的公司仅49家，占比不足10%。

从表5中同样可以看出，2012～2016年间仅存在一种重大缺陷迹象的797家公司中，认定内部控制重大缺陷的只有28家，占比仅为3.5%。随着缺陷迹象的增加，认定缺陷的公司占比有所上升，但是重大缺陷认定依然很不充分。同时存在两种重大缺陷迹象的197家公司中，认定了内部控制重大缺陷的不足20%，没有认定缺陷的公司有64.5%;同时存在三种重大缺陷迹象的34家公司中，仅52.9%有认定重大缺陷，近30%的公司认为内部控制完全有效无缺陷;同时存在四种重大缺陷迹象的11家公司中，有9家认定了内部控制重大缺陷，还有2家公司认定内部控制有效无缺陷。

五、研究结论

1.内部控制规范体系实施后公司内部控制评价结论总体是可靠的。样本公司中，2012～2016年存在内部控制重大缺陷迹象的公司约占1/5，还有4/5的公司并没有发现内部控制重大缺陷迹象。统计检验发现，样本公司内部控制评价结论与内部控制重大缺陷迹象的相关性显著为正。这表明被纳入内部控制规范体系实施范围的公司的内部控制评价结论总体上是可靠的，评价结论与内部控制重大缺陷迹象相匹配。由此可以推断，内部控制规范体系的实施促进了上市公司内部控制建设，提升了上市公司内部控制整体质量，很多没有认定内部控制缺陷或内部控制重大缺陷的公司内部控制体系较为完善。

2.部分公司仍然存在明显的内部控制缺陷隐藏行为。虽然相关性检验表明样本公司内部控制评价结论是可靠的，但是分类分析后发现，部分存在重大缺陷迹象公司的内部控制评价报告并没有如实、充分地认定缺陷，存在明显的缺陷隐藏行为。这些公司要么完全隐藏重大缺陷不予披露，要么将重大缺陷降低为非重大缺陷进行简单披露。特别是仅存在一种缺陷迹象的公司，其内部控制重大缺陷隐藏行为较严重。随着缺陷迹象的增加，认定缺陷的公司占比有所提高，但是仍然没有达到百分之百。

3.内部控制审计没有充分发挥外部监督效应。根据《企业内部控制审计指引》，如果上市公司存在重大内部控制缺陷，注册会计师可以对其出具非标准内部控制审计意见，但从近几年的实际情形来看，注册会计师发挥的监督作用十分有限。更正已公布的财务报告是《企业内部控制审计指引》列示的内部控制重大缺陷迹象之一。但是，从有这种迹象的466家样本公司来看，注册会计师对其出具非标准内部控制审计意见的仅63家，占比为13.5%对其出具否定意见的仅22家，占比为4.7%。根据《企业内部控制审计指引》，如果注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报，也表示内部控制存在重大缺陷迹象。样本公司中财务报告被出具保留意见或否定意见的有38家，其中内部控制审计报告被出具否定意见的只有20家，甚至有11家公司内部控制审计报告被出具了标准无保留意见。进一步来看，同时存在这两种重大缺陷迹象的公司有50家，其中被出具否定意见内部控制审计报告的仅有15家，不足1/3，被出具标准无保留意见内部控制审计报告的有22家，占比为44%。表明某些会计师事务所并未严格遵守《企业内部控制审计指引》的要求，内部控制审计流于形式，甚至可能与上市公司合谋，共同隐藏内部控制重大缺陷。

主要参考文献：

[1]Ge W.，McVay S..The Disclosure of MaterialWeaknesses in Internal Control After the Sarbanes-Oxley Act[J].Accounting Horizons，2005（3）：137～158.

[2]Doyle J.，Ge W.，McVay S..Determinants ofWeaknesses in Internal Control over Financial Re-porting[J].Journal of Accounting and Economics，2007（1）：193～223.

[3]Hammersley J.S.，Linda M.A.，Catherine S..Market Reactions to the Disclosure of InternalControl Weaknesses and to the Characteristics ofThose Weaknesses Under Section 302 of the Sar-banes Oxley Act of 2002[J].Review of Accoun-ting Study，2008（13）：141～165.

[4]Hoitash U.，Hoitash R.，Bedard J.C..CorporateGovernance and Internal Control over FinancialReporting：A Comparison of Regulatory Regimes[J].The Accounting Review，2009（3）：839～867.

[5]Rice S.C.，Weber D.P..How Effective Is Inter-nal Control Reporting Under SOX 404？Determi-nants of the（Non-）Disclosure of Existing Mate-rial Weaknesses[J].Journal of Accounting Re-search，2012（3）：811～843.

[6]Rice S.C.，Weber D.P.，Wu B..Does SOX404 Have Teeth？ Consequences of the Failure toReport Existing Internal Control Weaknesses[J].The Accounting Review，2015（3）：1169～1200.

[7]崔志娟.规范内部控制的思路与政策研究——基于内部控制信息披露“动机选择”视角的分析[J].会计研究，2011（11）：52～56.

[8]王惠芳.内部控制缺陷认定：现状、困境及基本框架重构[J].会计研究，2011（8）：61～67.

[9]崔志娟，劉源.上市公司内部控制报告的可靠性评价[J].南开管理评论，2013（1）：64-69.

[10]丁友刚，王永超.上市公司内部控制缺陷认定标准研究[J].会计研究，2013（12）：79～85.

[11]李颖琦，陈春华，俞俊利.我国上市公司内部控制评价信息披露：问题与改进[J].会计研究，2013（8）：62～68.

[12]周守华，胡为民，林斌，刘春丽.2012年中国上市公司内部控制研究[J].会计研究，2013（7）：312.

[13]赵息，许宁宁.管理层权力、机会主义动机与内部控制缺陷信息披露[J].审计研究2013（4）：101～109.

[14]财政部会计司.企业内部控制规范讲解（2010）[M].北京：经济科学出版社，2010：389-427.

[15]李万福，林斌，宋璐.内部控制在公司投资中的角色：效率促进还是抑制？[J].管理世界，2011（2）：81～99.

[16]方红星，陈作华.高质量内部控制能有效应对特质风险和系统风险吗？[J].会计研究，2015（4）：70～77.