2014年 第 21 期
总第 697 期
财会月刊(上)
学术交流
上市公司内部控制缺陷的认定现状及建议

作  者
李 凯(博士)

作者单位
(河南财经政法大学会计学院 郑州 450002)

摘  要

      【摘要】本文以2013年度河南上市公司发布的内部控制自我评价报告为基础,对当前上市公司内部控制缺陷的认定进行研究。研究发现:上市公司对内部控制缺陷的认定日渐规范,定量和定性的认定标准得以广泛使用,能够提供一定内容的信息,但还面临着提供的信息不可比、某些方面的信息供给不足等问题。
【关键词】内部控制   缺陷   定性标准   定量标准

内部控制缺陷是内部控制评价和审计中的一个重要组成部分,只有对内控缺陷有了清晰、准确的认识,才能做好内部控制评价和审计工作。由于我国的内部控制评价指引发布得较晚(2010年),很多上市公司对内控缺陷认定的认识尚处于初级阶段,因此在实际运用中存在很多问题。随着对内控缺陷认识的深入,在监管部门的监督指导下,大多数上市公司已经克服早期在内控缺陷认定方面存在的问题,取得了长足的进步。目前我国上市公司内控缺陷认定的现状如何?还存在哪些问题?本文以2013年度河南上市公司发布的内部控制自我评价报告为基础,对当前上市公司内控缺陷的认定进行研究,找出存在的问题,提出有针对性的建议。
一、文献综述
(一)国外内控缺陷认定的文献回顾
在2002年萨班斯法案颁布以前,内控缺陷并没有得到美国监管层和理论界的重视。萨班斯法案颁布后,特别是2004年美国公众公司会计监督委员会(PCAOB)将内控缺陷划分为控制缺陷、重要缺陷和重大缺陷,并对这些缺陷进行了定义,但对于这些定义有很多争议。自此,内控缺陷认定开始引起理论界的关注。
Ge et al.(2005)从业务类别的角度将内控重大缺陷分为会计账户类、培训类、期末报告和会计政策类、收入确认类、职务分离类、账户核对类、子公司类、高管类和技术类等九大类; Doyle et al(2007)按其严重程度将内控重大缺陷划分为公司层面和账户层面的重大缺陷; Klamm et al.(2012)将内控缺陷划分为与信息技术相关的公司层面缺陷、与信息技术不相关的公司层面缺陷以及会计账户层面缺陷三个类别。这些认定标准都是研究者根据其研究目的所制定的,目前还没有形成普遍接受的内控缺陷认定标准。
(二)国内内控缺陷认定的文献回顾
国内学者对内控缺陷的研究集中在内控缺陷披露的影响因素与市场反应上,涉及内控缺陷认定的研究较少。
齐保垒等(2010)将实质性缺陷与重大薄弱环节划分为会计类、期末报告与会计政策类、收入确认类和子公司控制类等四种类型;南京大学课题组(2010)则将内控缺陷按照内控五要素分为控制环境缺陷、风险评估缺陷、控制活动缺陷、信息与沟通缺陷以及内部监督缺陷,并把这五大类内控缺陷再细分为 28 个子类。
有些学者对内控缺陷认定的技术和框架问题进行了研究。王惠芬(2011)针对我国上市公司内控缺陷认定现状以及面临的困境,从理论衔接、规范思路及缺陷程度等方面重构了内控缺陷认定的基本框架; 杨有红等(2011)从内控缺陷与内部控制局限性的关系出发,探讨了内控缺陷认定与报告问题; 田娟等(2012)则对内控缺陷识别、财务报告与非财务报告内控缺陷的区分等问题进行了研究,并提出了相应的对策;丁友刚等(2013)对内控缺陷的认定标准进行了研究,发现无论是定量标准还是定性标准都存在诸多影响内控缺陷信息质量的问题。
上述研究大多是利用2011年以前的资料进行的,当时我国上市公司内控缺陷认定普遍存在着认定标准缺失问题。而随着近两年的持续改进,上市公司在内控缺陷的认定方面有了很大的变化,如定量和定性的认定标准得到了广泛应用,披露重大、重要缺陷的公司逐渐增多,因此有必要以最新的数据对内控缺陷认定进行研究。
二、河南上市公司内控缺陷认定的现状
本文以河南上市公司为研究对象,通过手工搜集这些上市公司披露的2013年度的内部控制自我评价报告,分析我国上市公司内控缺陷认定情况。
截至2013年12月31日,在沪深两地上市的河南公司共有66家(含中小板、创业板),其中有62家披露了内部控制自我评价报告。在样本选择过程中,本文剔出了没有披露有关内控缺陷认定信息的7家公司,共得到样本55家,占62家的88.71%。
上交所(2012)对沪市 427 家上市公司 2011 年内控自我评估报告披露情况的调查发现,仅有约 70 家左右的公司披露了重大缺陷、重要缺陷和一般缺陷的具体标准,占比16.39%。丁友刚等(2013)对我国沪深 A 股896家上市公司披露的 2011 年内控评价报告进行研究,发现真正有效披露内控缺陷认定标准的公司有151家,占比16.9%。通过比较可以发现,上市公司已经越来越重视内控缺陷的认定,目前的内部控制自我评价报告具有更高的信息含量。
由于政策层面并没有要求企业遵循统一的内控缺陷认定标准,因此上市公司根据自身的情况来设计内控缺陷认定标准。尽管各个公司的内控缺陷认定标准在形式和内容上存在较大不同,但总体上都包括定性标准和定量标准这两个方面。
(一)内控缺陷认定的定量标准设定情况
定量标准是指根据内控缺陷造成财务错报的 “重要性”和 “可能性”的大小,将内控缺陷划分为重大缺陷、重要缺陷或一般缺陷的一种划分标准。本文的55家样本公司,全部采用定量标准,但具体的标准类型差别很大,详见表1。

 

 

1. 基准指标百分比法。在所有的样本中,使用基准指标百分比法的公司最多,这与该方法操作简单有关。通常上市公司以利润总额、资产总额等作为计算内部控制重大缺陷、重要缺陷的重要性水平的基础,按一定的比例来计算确定内部控制重大缺陷、重要缺陷的重要性水平,若内控缺陷导致的错报、漏报或损失超过某一重要性水平,则确定为相应的缺陷类型。这种方法在使用过程中存在的主要问题就是信息不可比。
首先,不同企业采用的计算重要性水平的基础不同,利润总额、资产总额、经营收入、所有者权益等都有使用,相对而言,使用利润总额、资产总额的较多。其次,不同企业确定的比例不同,即使采用同样的基础,得出的结论也不可比。比如河南有两家煤炭开采类公司,都以资产总额作为基础,但确定重大缺陷的重要性水平分别为1%和0.5%,即使两家公司的资产规模相近,由于采用的比例不同,必然导致同样的内控缺陷在这两家公司得出不同的结论。再次,选择计算重要性水平基础的期间不同。绝大多数的公司以当年财务报表的指标作为计算重要性水平的基础,但也有以近三年某一指标的平均值作为计算基础的。这种以不同期间的指标作为基础计算出来的重要性水平,可比性较差。最后,划分重要缺陷、一般缺陷的重要性水平的比例不同。通常,以某一基础计算出来的重要性水平作为划分重大缺陷和重要缺陷的标准;而划分重要缺陷和一般缺陷的标准则差别较大,高的按重要性水平的50%、60%来划分,低的按重要性水平的20%来划分,这样就会造成同样的缺陷对于有些公司是重要缺陷,需要披露,对于有些公司就是一般缺陷,无需披露。
2. 绝对金额法。绝对金额法通常用于非财务报告内控缺陷的评价。一般来说,1 000万元、500万元是划分重大缺陷、重要缺陷和一般缺陷的临界值,但也有以3 000万元、1 000万元作为划分上述缺陷的临界值的,这必然导致信息的不可比。以非财务数据作为重要性水平临界值,也存在不可比的情况。如对安全事故的评价上,有公司以死亡10人、3人作为划分重大缺陷、重要缺陷和一般缺陷的临界值,而有的公司以死亡或重伤3人、轻伤3人作为上述缺陷的临界值。
3. 百分比和绝对金额结合法。实务中这种方法使用得较少,通常将重要性水平临界值规定为某一财务指标的百分比或大于某一金额。这种方法也会造成前面所说的信息不可比,一般不存在相互矛盾,有些情况下则可能出现矛盾。如某公司确定财务报告内控重大缺陷标准为潜在错报≥利润总额5%,或潜在错报≥资产总额0.5%,或潜在错报≥销售收入0.5%,且绝对额超过1 000万元,那么若潜在错报≥利润总额5%但绝对金额为950万元,到底是否属于重大缺陷呢?
(二)内控缺陷认定的定性标准设定情况
由于定性标准都是文字表述,需要进行分类和归纳,本文借鉴丁友刚等(2013)的研究思路,将定性标准按照内控五要素是否存在缺陷和缺陷对内控五目标是否造成影响进行分类,详见表2、表3。

 


从表2可以看出,针对控制环境是否存在缺陷设定的定性标准最多,这与该标准容易设立有关。比如,针对控制环境是否存在缺陷设定的定性标准常见的有“企业内部控制环境无效”、“企业董事、监事和高级管理人员的任何程度的舞弊”、“高级管理人员和关键技术人员大量流失”。而针对风险评估是否存在缺陷设定的定性标准最少,这与许多上市公司对风险评估认识不足有关。据了解,许多上市公司对风险的评估还是基于主观判断,尚不能使用科学的方法。即使针对风险评估设立了定性标准,如“风险管理职能完全无效”,也不能说明设定此标准的公司对风险评估有深入的了解。
至于针对控制活动等其他三个要素设立的定性标准,我们发现:针对控制活动、内部监督设立的标准较多,这与控制活动、内部监督在企业中运用得较多、也更受重视有关;而信息与沟通相对来说设立的标准较少,这也和许多上市公司对信息与沟通认识不足有关,比如有些公司认为实施了ERP、OA办公系统就不存在信息与沟通的问题了。

 


从表3可以看出,针对合规目标设立的标准最多,说明合规目标最受上市公司重视,而且针对合规目标的标准容易设立,常见的标准有“严重违反法律法规”、“媒体负面新闻频频曝光”、“严重违规频繁受到监管部门的处罚”等。针对资产安全设立的标准最少,这和针对其他目标、要素设立的标准可能会涵盖资产安全目标有关,如针对控制活动的标准可以涉及资产的保护,针对控制环境的标准可以涉及社会责任,而社会责任就包括安全生产—影响资产安全的重要事项。
至于针对战略目标等其他三个目标设立的定性标准,发现:针对报告目标设立的标准较多,这和针对财务报告内部控制设立的定性标准有关,常见的有“企业更正已公布的财务报告”、“影响收益趋势的缺陷”等;而针对战略目标、经营目标设立的标准较少,这也和针对其他目标、要素设立的标准可能会涵盖这两个目标有关,如针对控制环境设立的标准“公司缺乏民主决策程序”就和战略目标有联系。
三、相关建议
从前面的分析可以看出,我国上市公司对内控缺陷的披露日渐规范,定量和定性的认定标准得以广泛使用,虽然能够提供一定内容的信息,但还面临着提供的信息不可比、某些方面的信息供给不足等问题。本文从提高信息的可比性、增加信息含量以及改进信息披露方式三个方面提出相关建议。
1. 提高信息的可比性。在对内控缺陷认定采用定量标准的情况下,无论采用基准指标百分比法、绝对金额法还是百分比和绝对金额结合法,都存在着不同企业提供的内控缺陷信息不可比的问题。由于内部控制的设计和执行受多方面的影响,要想做到不同企业提供的内部控制信息完全可比,是不可能的也是没有必要的。内控缺陷对信息使用者进行投资决策至关重要,因为内控缺陷可以揭示企业经营管理存在的深层次问题,而这些问题在财务报表中很难体现出来,因此需对内控缺陷的认定进行规范,以提高信息的可比性。
如何进行规范呢?本文认为,在当前理论界对内控缺陷认定研究较少的情况下,可以先对同一行业的内控缺陷认定标准进行规范,保证同一行业的内控信息具有可比性。比如定量标准选取的计算基础和相应比率都可以统一,绝对金额要分布在规定的区间内,定性标准要涵盖所有的目标和要素,这样就不会出现有关风险评估要素的标准稀少的情况。在满足统一规范的前提下,也鼓励企业根据自身的情况,采用更多的定性标准。
2. 增加信息的含量。内控缺陷的严重程度并不取决于是否实际发生了错报,而是取决于该控制不能及时防止(或发现)并纠正潜在缺陷的可能性。因此,有关内控缺陷发生的可能性是信息使用者特别关注的。但上市公司披露的关于可能性的信息是少之又少。本文选取的55家河南上市公司中,只有1家披露了有关可能性的信息,而且是照本宣科式的披露,信息含量极低。究其原因,可能与上市公司对风险评估重视不够、缺乏风险评估专业人员有关。
增加信息的含量可以从增加披露内控缺陷发生的可能性来考虑。具体来说,在当前上市公司缺乏专业的风险评估人员的情况下,可以先简单地划分几个级别:发生内控缺陷的可能性极高(95%以上)、高(50% ~ 95%)、中(5% ~ 50%)、低(5%以下)。虽然这样的划分不够科学,但毕竟可以增加信息含量,以后可以考虑使用更科学、更准确的方法来提高发生可能性的准确度。
3. 改进信息披露方法。当前上市公司关于内控缺陷的信息主要采用文字的形式进行披露,不利于信息使用者的理解。可以多采用图表的形式,特别是将内控缺陷认定标准和其所对应的目标、要素放在同一张图表中,这样就更有助于信息使用者理解了。
【注】本文系河南省软科学研究计划项目“内部控制评价研究——以河南上市公司为例”(项目编号:132400410605)的阶段性研究成果。
主要参考文献
1. 丁友刚,王永超.上市公司内控缺陷认定标准研究.会计研究,2013;12
2. 方红星,池国华.内部控制.大连:东北财经大学出版社,2011
3. 南京大学会计与财务研究院课题组.论中国企业内部控制评价制度的现实模式.会计研究,2010;6