一、样本选取与数据来源
本报告选取2019年4月30日前在沪、深交易所A股上市并披露2018年年度报告的3588家上市公司为研究对象,对上市公司内部控制披露情况进行分析。其中,迪博·中国上市公司内部控制指数以2018年1月1日前上市的3456家A股上市公司为样本,对上市公司内部控制评级进行分析。本报告的数据来源于上市公司公开披露的年报、内部控制评价报告、内部控制审计报告、财务重述报告、诉讼报告以及各监管机构对上市公司违法违规行为的处理公告等。本报告中所有数据都已收录至迪博数据资讯(www.dibdata.cn)。本报告是国家自然科学基金重点项目“基于中国情境的企业内部控制有效性研究”(项目批准号71332004)和教育部人文社会科学研究青年项目“基于机器学习的内部控制缺陷预测模型研究:模型构建与应用”(项目批准号:19YJC790072)的阶段性研究成果。
二、上市公司内部控制评级分析
(一)上市公司内部控制评级概况
按照四级八档的分类标准,2019年上市公司内部控制评级为A及以上的公司共28家,占比0.81%;评级为BBB、BB的公司687家,占比19.88%;评级为B的公司1836家,占比53.13%;评级为C的公司657家,占比19.01%;评级为D的公司248家,占比7.18%。如图1所示。
(二)上市公司内部控制评级对比分析
统计显示,2019年上市公司内部控制综合平均指数接近及格水平,较上年有所下滑。从内部控制评级分布来看,与2018年相比,2019年内部控制评级为A及以上的上市公司占比下降,但评级为BBB、BB的公司占比略有上升,评级为B的公司占比下降,C、D级占比则显著上升。如图2所示。
三、2019年上市公司风险分析
剔除金融工具相关的风险因素,通过对上市公司披露的风险因素进行归类分析发现,上市公司共披露了战略、市场、运营、财务、法律合规5大类58小类17000多条风险信息。按照58类风险在上市公司出现的频次进行统计发现,2019年上市公司面临的主要风险为:宏观经济风险、外围环境风险、投资风险、竞争风险、价格风险、汇率风险、安全环保风险、人力资源风险、应收账款风险、合规风险。
随着2018年并购重组业绩承诺的集中到期,部分公司为避免商誉减值影响未来业绩而选择一次性出清,减值风险得到一定程度的缓释,但在经济下行期间,商誉减值风险仍然值得关注。
四、2018年上市公司内部控制有效性分析
(一)内部控制目标实现情况分析
从内部控制目标实现程度来看,内部控制执行效果亟待提升。2018年上市公司战略、经营和资产安全目标实现状况不甚理想,实现程度均不及期望目标的一半。其中,在战略目标实现方面,仅9.26%的公司全部完成年初制定的经营目标,31.97%的公司经营目标计划完成率不足一半;经营的效率效果方面,56.97%的上市公司净资产收益率较上年同比下降,53.56%的公司总资产周转率低于上年,32.23%的公司人均营业收入较上年同比下滑;资产安全方面,61.98%的上市公司资产减值比例较上年同比上升,45.20%的公司投资损失比例高于上年,55.82%的公司营业外支出占营业收入比例较上年同比上升。
此外,上市公司合法合规和报告可靠目标实现情况也存在较大提升空间。合法合规性方面,在全面从严监管的高压态势下,2018年仍有高达36.92%的上市公司受到证券监督管理部门和交易所处罚或被采取监管措施;报告可靠性方面,存在财务重述的上市公司比例较上年同比上升42.83%,被出具非标财报审计意见的公司比例较上年增长69.00%。
(二)内部控制评价报告情况分析
1、内部控制评价报告披露情况
3455家上市公司披露了年度内部控制评价报告,占披露年度报告的A股上市公司数量的96.29%。其中,内部控制被认定为整体有效和非整体有效的上市公司分别为3341家、114家,占比93.11%、3.18%。
对比近12年上市公司内部控制评价报告和评价结论的披露情况发现:自2007年以来,上市公司内部控制评价报告披露比例呈逐年上升趋势,2013年起比例趋于稳定;内部控制评价结论非整体有效比例自2013年以来稳步上升,2018年达到历史新高。如图3所示。
2、内部控制评价缺陷情况
640家上市公司披露其存在内部控制缺陷,占披露了内部控制评价报告公司数量的18.52%。依据不同缺陷分类方式统计的上市公司数量。如表1所示。
对比近12年上市公司内部控制缺陷披露情况发现:披露内部控制重大、重要缺陷的上市公司比例呈持续稳步上升态势,并于2018年达到历史新高;披露内部控制一般缺陷的公司比例在经历早期的大幅下降后,自2013年起比例趋于稳定。如图4所示。
进一步分析缺陷涉及的具体内容发现,2018年上市公司内部控制缺陷主要集中在资金活动、流程管理、财务报告、资产管理、制度管理、组织架构、人力资源、销售业务、采购业务、信息披露等领域。
与上年相比,2018年前十大管控薄弱环节基本维持不变,资金活动、财务报告、资产管理仍是上市公司内控缺陷高发领域。与此同时,流程管理及信息披露方面的管控缺陷较上年显著增多,本年进入到前十。如表2所示。
3、内部控制评价缺陷整改情况
上市公司披露的内部控制重大、重要缺陷总计404项。其中,有效整改的缺陷占比29.21%。
(三)内部控制审计情况分析
1、内部控制审计报告披露情况
2691家上市公司披露了其所聘会计师事务所出具的内部控制审计报告,占披露年度报告的A股上市公司数量的75.00%。其中,标准无保留意见2529家,占比70.48%;非标意见162家,占比4.52%,详细情况为:带强调事项段的无保留意见83家,占比2.31%;保留意见4家,占比0.11%;否定意见74家,占比2.06%;无法表示意见1家,占比0.03%。
上市公司内部控制审计报告披露比例呈逐年上升趋势;内部控制审计意见非标比例自2012年起呈上升趋势,2018年达到历史新高。
2、内部控制审计发现的问题分析
注册会计师在执行企业内部控制审计过程中,共识别出241项内部控制重大缺陷,涉及96家上市公司。从审计过程中发现的问题来看,上市公司内部控制重大缺陷涉及的业务活动主要集中在资金活动、关联交易、财务报告等领域,信息披露、担保业务、组织架构方面的问题也较突出。
资金管理方面的问题历来都是上市公司内部控制缺陷的高发区。进一步分析发现,2018年上市公司资金活动方面的问题主要存在于应收账款管理、投资管理、票据与印章管理等关键环节。
(四)内部控制信息披露质量分析
1、内部控制评价报告相似度比较
选取近两年同时披露了内部控制评价报告的3086家上市公司为样本,对比上市公司内部控制评价报告文本相似度发现,上市公司出具的2018年度内部控制评价报告与其2017年度内部控制评价报告内容的平均相似度达到88.10%。其中,评价报告相似度介于90%与100%之间的公司高达2035家,占比65.94%。
2、内部控制评价结论与内部控制评级结果对比
根据迪博·中国上市公司内部控制指数,内部控制评级为C、D的上市公司占比26.19%,但纳入内部控制指数评级范围的上市公司中,仅有5.12%的公司披露其存在内部控制重大或重要缺陷,3.18%的公司认定其内部控制为非整体有效,内部控制评价结论未能充分反映上市公司内部控制的真实水平。
3、内部控制评价结论与内部控制审计意见对比
剔除仅因审计范围豁免导致内部控制审计意见非标情况,同时披露内部控制评价报告和内部控制审计报告的上市公司中,内部控制审计意见为非标意见的公司占比较内部控制评价非整体有效的比例高出58.62%。进一步分析发现,73家公司评价结论为内部控制整体有效,内部控制审计意见为非标意见;7家公司内部控制审计意见为否定意见,但内部控制评价认定为财报内控有效;1家公司财报内控无效,但对应的内部控制审计意见为带强调事项段的无保留意见。
五、上市公司内部控制存在的问题
(一)上市公司内部控制信息披露质量和合规性有待提升
1、信息披露的时效性不够。个别公司内部控制评价报告未随年报一起披露,而是在报告披露截止日4月30日之后才对外公开;部分公司在年报中提示已披露内部控制评价报告,但在公开披露渠道并未找到。
2、信息披露的完整性不够。部分公司存在信息应披未披情形,如内部控制评价报告中未披露内部控制评价范围,或内部控制缺陷认定标准、缺陷认定及整改情况等披露不完整;个别公司甚至存在内部控制评价报告缺少评价结论段内容、内部控制审计报告缺少注册会计师签字盖章等关键信息。
3、信息披露准确性不够。部分公司存在信息披露不一致情形,主要表现为:一是信息披露前后不一致,如评价报告中“内部控制评价结论”与“内部控制缺陷认定及整改情况”段中披露的关于重大缺陷的认定不符等;部分公司还发布了修订版的内部控制评价报告,对评价结论等核心内容进行修改。二是内部控制评价报告与内部控制审计报告关于内部控制有效性的认定不一致,如个别公司内部控制审计意见为否定意见,存在财报重大缺陷,但评价报告却认定财报内控有效。三是内部控制报告与年报内部控制信息相冲突,包括关于评价范围占比、是否存在重大缺陷、是否为非标审计意见等方面不一致。
4、内部控制评价报告相似度过高。超半数公司内部控制评价报告相似度在90%以上,报告含金量有待提升。文本相似度分析结果显示,近两年我国上市公司内部控制评价报告的平均相似度达到88.10%。其中,65.94%的公司评价报告相似度在90%以上,20.19%的公司评价报告相似度超过99%。内部控制评价报告相似度过高,可能导致评价流于形式,整体质量不高。
(二)上市公司内部控制建设质量有待提升
1、超过1/3的公司存在违法违规行为,上市公司经营合规性有待加强。近年来,监管机构对上市公司违法违规行为持续保持高压态势。在全面从严监管的大势下,2018年度仍有超过1/3的上市公司触碰监管“高压线”,受到证券监督管理部门和交易所处罚或被采取监管措施,公司经营管理合规性有待进一步加强。对上市公司违法违规类型进行分析发现,董监高未履行勤勉尽责义务的违法违规行为最多,其次为信息披露不及时、信息披露虚假或存在严重误导性陈述等违规行为。
2、资金活动问题高发,20%以上的内部控制缺陷存在于资金管控环节。资金活动内部控制缺陷历来是上市公司内部控制缺陷的高发区。2018年度,超过20%的内部控制缺陷发生在资金管控环节,以应收账款管理、投资管理、票据及印章管理问题尤为突出。其中,应收账款管理问题主要表现为:应收账款回收不力,未对客户资信调查和变动进行有效跟进、应收账款坏账准备计提不充分等;投资管理问题主要表现为:重大投资未经授权审批、投前尽职调查不全面、未对项目投资情况实施有效跟踪管理;票据与印章管理问题则主要表现为:票据和印章管理缺乏规范的审核、登记及盘点,存在印章使用未严格履行审批登记程序,甚至未经审批私自加盖公章的情形。
3、约七成内部控制重大重要缺陷未有效整改,缺陷整改落实亟待加强。2018年度,上市公司内部控制自我评价发现的重大重要缺陷中,70.79%的缺陷截止报告发出日尚未得到有效整改。而对于未有效整改的内部控制重大重要缺陷,较多公司披露的整改应对措施及计划不够具体、缺乏针对性,甚至未披露任何整改计划,无法为缺陷有效整改落实提供合理保证。
同时,注册会计师在内部控制审计中发现的问题亦未得到及时有效整改,个别上市公司甚至因同一原因连续多年被出具非标审计意见。如某上市公司自2012起,连续七年因“与控股股东在人员、机构方面未实现相互独立,存在控制环境缺陷”而被出具带强调事项段的无保留意见。
4、战略、经营和资产安全目标实现程度不及期望目标一半,上市公司内控实施效果有待提升。根据迪博·中国上市公司内部控制指数,2019年上市公司内部控制综合平均指数为593.69分,接近及格水平。从内部控制评级分布来看,仅20.69%的公司评级在BB级及以上,内部控制水平为良好及优秀的上市公司较少;从内部控制五目标实现情况来看,上市公司战略、经营和资产安全的目标实现程度均不及期望目标的一半。总体而言,上市公司内部控制水平还有较大提升空间。
(三)注册会计师执业质量有待提升
部分会计师事务所为了自身利益,置谨慎性原则不顾,在内部控制审计中存在不规范、不恰当甚至有失客观的行为,执业质量有待提升。
1、强调事项段使用不规范、不恰当。如个别注册会计师将非财报重大缺陷在强调事项段中进行披露,存在滥用强调事项的嫌疑;较多带强调事项段的内部控制审计报告中披露了公司内部控制方面存在问题,但描述过于简单笼统,报告使用人无法了解实际情况并做出恰当判断,存在刻意掩饰的嫌疑。
2、少数注册会计师出具的内部控制审计意见类型有失客观。如个别内部控制审计报告中将应收账款回收等财报重大缺陷作为非财报重大缺陷披露,或在强调事项段中披露财报重大缺陷,存在规避出具否定意见的嫌疑。
(四)内部控制信息披露监管标准亟待完善
当前,不同板块上市公司所适用的内部控制信息披露监管规则多样,缺乏统一的监管标准。尤其是对于未纳入强制实施范围的中小板、创业板上市公司,在实施内部控制评价和内部控制审计业务中可遵循的标准种类繁多,存在《公开发行证券的公司信息披露编报规则第21号-年度内部控制评价报告的一般规定》《关于印发企业内部控制规范体系实施中相关问题解释第1号的通知》等多套评价规则并行,以及《企业内部控制审计指引》《中国注册会计师其他鉴证业务准则第3101号-历史财务信息审计或审阅以外的鉴证业务》《内部控制审核指导意见》等多套审计标准混用的情形。由于不同类型的报告对内部控制有效性的保证程度不同,导致信息披露主体存在较大的选择性披露余地,报告的可比性也较差。
六、政策建议
统一信息披露口径
建议监管机构尽快整合主板、中小板、创业板上市公司内部控制信息披露规则,统一监管尺度,构建统一的内部控制信息披露框架体系,形成统一的内部控制信息披露准则,增强不同板块间内部控制信息的可比性。进一步推进内部控制审计标准化,统一内部控制审计口径,规范内部控制审计程序,细化内部控制审计信息披露要求,确保内部控制审计执业的公正、公平、客观、严谨。
强化内部控制问责机制
当前,我国关于企业内部控制的规范性文件中尚缺乏对内部控制问责机制、标准、程序等的详细规定,对企业内部控制规范实施的震慑和倒逼作用不够。建议监管机构强化企业内部控制问责机制建设,借鉴《国务院办公厅关于建立国有企业违规经营投资责任追究制度的意见》(国办发【2016】63号)和《中央企业违规经营投资责任追究实施办法(试行)》(国资委令2018年第37号)的经验,出台专门的内部控制违规责任追究办法,对企业内部控制违规责任追究的范围、标准、责任认定、处罚措施等均进行明确,将上市公司内部控制违规追责落到实处。同时,逐步将内部控制建设和实施上升到国家法律法规层面,明确公司董事会、监事会、经理层等责任主体在内部控制建设和实施方面,以及会计师事务所及注册会计师在内部控制审计方面的法律责任,制定严格的违法处罚标准,从法律的高度推动企业内部控制规范的遵从性和实施效果。
加大中介机构监管力度
建议监管机构进一步加大对会计师事务所等中介机构的监管力度,不断完善审计相关法规文件,强化内部控制审计执业质量检查,对于执业过程中未能勤勉尽责、甚至与上市公司等相关主体串通舞弊等违法违规行为要严格追责,决不姑息,切实提升内部控制审计质量。同时,作为内部控制信息披露“看门人”,会计师事务所应注重加强执业人员职业道德建设和技术培训,增强注册会计师专业胜任力,严格履行核查验证、专业把关等法定职责;注册会计师在执行内部控制审计过程中,应严格遵循相关执业准则,保持独立性、勤勉尽责,确保内部控制审计结论的审慎客观。
进一步强化公司治理
从经营的合法合规性来看,上市公司董监高未依法履职和信息披露违规是资本市场不规范操作的重灾区。有效的公司治理能够为确保董监高勤勉尽责、保障信息披露质量提供合理保证。上市公司应当进一步强化公司治理,通过决策层、执行层、监督层的有效制衡机制,加强上市公司董监高、控股股东、实际控制人等之间的相互制约和监督,确保其坚持守法经营、合规经营的底线,守法用法、诚信合规、忠诚履职。同时,应当充分发挥风险管理委员会和审计委员会等专业委员会的监督指导职责,确保决策层及时掌握内部控制重大缺陷或其他相关的重要信息,并做出正确决策,充分发挥决策层在内部控制建设中的积极主动性。
强化内部审计监督
上市公司应当注重强化内部审计部门的保证职能,通过日常监督和专项监督有机结合的方式,加大对资金管控等内部控制重点业务领域和薄弱环节的监督检查力度,及时揭示内部控制缺陷,推动公司内部控制制度和流程的持续改进与完善。同时,针对发现的内部控制重大、重要缺陷,要制定切实可行的整改方案,明确整改责任,督促相关责任部门及责任人员及时整改,并对整改后的控制有效性进行严格测试,确保内部控制缺陷整改落到实处。对于监督检查过程中发现的问题屡查屡犯、整改不力甚至不整改的行为,要严格按照内部问责机制严格追责。
提升内部控制重视程度
内部控制建设是一项全员参与的“一把手工程”,高层领导的重视和支持尤为关键。上市公司高层领导人员应当充分认识内部控制对于企业改善内部管理、增强风险防御能力、助推高质量发展的重要意义,积极发挥“一把手”的带头和率先垂范作用。同时,将内部控制纳入董事会对经理层,以及经营层对职能部门、业务单位及分子公司的绩效考核中,并将考核结果作为各级人员调薪调职、奖金发放,以及下属单位授信额度确定的重要依据。通过自上而下层层传导和带动,推动公司全体人员对内部控制的重视程度。
推动内部控制管理提质增效
信息技术对于提升企业内部控制效率和效果意义重大。监管机构应当以科技监管为契机,充分运用大数据与现代信息技术,提高内部控制报告审查的科技化水平,强化对信息披露合规性监测和风险线索发现、分析和预警能力,通过智能化监管与一线监管相结合,补齐监管短板,提升监管效能。上市公司也应当以现代信息技术为支撑,加快推进内部控制信息系统建设,将内部控制程序和标准固化到信息系统中,切实提高内部控制工作规范性和自动化程度,并积极借助信息技术手段开展经营活动合规管理自检和内部控制自我评价,查问题、找差距、促改进,助力公司内部控制质量持续提升。
□深圳市迪博企业风险管理技术有限公司 深圳市迪博内部控制与风险管理研究院 广东省企业风险管理智能控制工程技术研究中心
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。