内部控制自我评价报告披露研究(全文)

内部操纵自我评价报告披露研究(全文)
自2021年沪、深两市交易所分别公布《上市公司内部操纵指引》以及2021年财政部等五部委联合公布《企业内部操纵基本规范》以来，我国上市公司的内部操纵自我评价报告披露状况不断改善。

在沪深两市中，有1511家上市公司单独披露了2021年内部操纵自我评估报告，其中沪市320家、深市主板424家、中小板217家、创业板550家；有1819家单独披露2021年内部操纵自我评估报告，占上市公司总数的78.51%。

但目前内控信息的披露状况并没有达到令人中意的程度。

具体而言，我国上市公司在内部操纵的评价主体、评价依据、内控自评报告的格式和内容上都还没有达成共识。

这导致了内控信息的可利用性不高，同时也给一些公司以空洞的信息应付检查提供了机会。

笔者通过分析我国上市公司内部操纵自我评价报告披露现状，针对性地提出改进建议。

一、内部操纵自我评价报告传播要素
根据信息传播原理，信息的传播过程由四个要素构成，即传播者、传播内容、传播媒介、受传者。

缺少其中的任何一个都无法完成传播活动。

内控自评报告的传播也存在这四个要素。

（一）传播者根据财政部等五部委于2021年公布的《企业内部操纵评价指引》（以下简称《评价指引》），内部操纵评价是指企业董事会或类似权利机构对内部操纵的有效性进行全面评价、形成评价结论、出具评价报告的过程。

因此，内控自评报
告应该由企业董事会或类似权利机构做出。

（二）传播内容《评价指引》第二十二条规定了内部操纵评价报告至少应当披露的内容，包括董事会对内部操纵报告真实性的声明等八个项目。

同时《评价指引》第二十一条规定了报告应当分内部环境、风险评估、操纵活动、信息与沟通和内部监督等要素进行设计。

因此，内部操纵评价报告应包括上述所有内容。

（三）传播媒介证监会指定的上市公司信息披露报纸有《证券时报》、《ZG证券报》、《证券报》等，指定信息披露XX站有巨潮资讯XX等。

上市公司都能按照规定选择适当的传播媒介披露内控自我评价报告。

（四）受传者一般而言，上市公司对外披露的信息是公开的，内控自评报告也不例外。

所以，内控自评报告的受传者为社会公众。

另一方面，传播媒介决定了公众可以以低成本获得公司对外披露的内控自评报告，这使所有需要公司内控自评报告的人都能成为受传者。

通过上述对内控自评报告传播的分析，可以看出内控信息是否顺利地从传播者传达到受传者的关键要素是传播者和传播内容。

是否由适当的传播者制作内控自评报告关系到其可信度，由公司治理层做出的内控自评报告就如同球员兼裁判给出的得分一样不能令人信服。

而传播内容则会影响内控自评报告传递信息的可利用度，泛泛而谈、没有任何本公司特有内容的报告对于投资者和监管机构而言都没有太多价值。

二、内部操纵自我评价报告现状分析
制造业是上市公司中数量最多、最有代表性的行业，笔者选择我国A股制造业进行分析并从巨潮资讯XX下载内控自评报告和其他相关信息。

在2021年1月1日之前上市的1430家公司中，有1112家对外披露了内部操纵自我评价报告，282家未披露，另外36家是已经退市的公司。

从1430家公司中随机抽取200家，有158家对外披露了内控自评报告，35家未披露（全部来自沪市主板，其中32家单独披露了《内部操纵规范实施工作方案》说明公司的内部操纵还在建设中，1家公司在年报中披露了其内控仍在建设中，2家未查到未披露内控自评报告的原因），7家已退市。

针对上述对外披露了内控自评报告的158家公司，笔者首先分析内控自评报告的披露者和内容，其中内容分为《评价指引》第二十二条规定的八个项目和内部操纵五要素两方面；然后将样本按照上市板块进行分类，分为深市主板、中小板、创业板和沪市主板四组，进行横向比较分析。

（一）内控自评报告的披露者内控自评报告的署名即是报告的披露者，需要对报告的真实性承担责任。

通过对158份自评报告的署名进行统计（见表1），可知，审计部由于只是审计委员会下属的一个部门，级别较低，不能代表整个董事会对内控自我评价报告的认可；而署名为公司名称则没有指明由公司哪个机构出具内控自我评价报告；报告也不可能由董事长一个人负责。

因此，署名为公司董事会、董事长签名和公司董事会以及公司董
事会审计委员会这三类署名符合《评价指引》的要求，占73.42%；而署名为审计部、董事长签名和公司名称、公司名称以及无署名这四类是不符合要求的，占26.58%。

由此可见，并不是所有上市公司都已明确由公司内哪个机构负责内部操纵的评价工作并出具内控自我评价报告，而这对于报告的可信度是至关重要的。

（二）《评价指引》第二十二条规定的八个项目《评价指引》第二十二条规定的内控自评报告中至少应当披露的八个项目分别为：董事会对内部操纵报告真实性的声明；内部操纵评价工作的总体情况；内部操纵评价的依据；内部操纵评价的范围；内部操纵评价的程序和方法；内部操纵缺陷及其认定情况；内部操纵缺陷的整改情况及重大缺陷拟采取的整改措施；内部操纵有效性的结论。

通过对158家上市公司内控自评报告的内容进行统计，董事会声明、内部操纵评价的依据、范围、程序和方法以及有效性的结论比较明确，有披露的公司都会以单独列示的方式说明；而内部操纵评价工作的总体情况、内部操纵缺陷及其认定情况和整改情况则并非有所披露的公司都是单独列示的。

在统计过程中，对有所提及后三项的都算作有披露，而不是仅针对单独列示才算披露。

统计结果如表2所示。

从表2可以看出，在内控自评报告中，多数公司都披露了评价工作总体情况和内部操纵有效性的结论；而评价的依据、范围、程序和方法则较少有公司披露。

因此，作为公司的外部信息需求者，要想仅凭内控自评报告全面地了解公司内部操纵评价工作如何开展是有难度的。

另一方面，更
加细化的数据同样值得关注。

在上述87家提及内部操纵缺陷及其认定情况的公司中，仅有40家说明了具体的内控缺陷；107家提及内部操纵缺陷的整改情况及重大缺陷拟采取的整改措施的公司中，仅36家说明了当年的整改情况，还有94家写的是未来拟采取的整改措施。

这说明情愿公开披露自身内控缺陷和为完善内控而采取的措施的公司仍是少数。

（三）内部操纵五要素内部操纵五要素能全面地概括企业内部操纵制度的设计情况和执行情况，是内控自我评价具体化的对象。

笔者对五要素的披露进行统计，统计的标准也是有所提及即算作进行了披露，而不是是否单独列示五要素的情况。

统计结果如表3所示。

从表3可以看出，超过60%的公司对内部操纵五要素都有所提及。

但相对而言，提及操纵活动的公司较多，达到了91.14%，而提及风险评估和信息与沟通的公司较少。

公司对于不同要素的理解程度和重视程度是不一样的。

大部分公司会重点说明操纵活动。

同时，操纵活动的内容较为统一，通常包括关联交易、对外担保、重大投资、信息披露等重大事项的内部操纵和不相容职务分离、授权审批、会计系统、资产接触与记录使用、预算操纵等日常行为的内部操纵。

对于操纵环境，不同的公司披露的详细程度不同。

超过90%的公司提及了治理结构与内操纵度，同时有89.87%的公司提到了内部审计部。

但是能清楚地说明内控工作在不同的组织机构之间如何分工的较少：仅有59.49%的公司提
及了内审部的独立性，说明内审部直接对董事会负责。

能详细说明进展战略、人力资源、社会责任和企业文化的则更少，约为42.41%。

然而，风险评估、信息与沟通和监督三个要素往往只是点到为止，不够具体和详细。

这三个要素的内容也较为散乱。

在风险评估中，既有公司说明如何进行风险评估，如采纳定期评估还是不定期评估，由哪个机构执行风险评估等，也有公司直接在此部分列出了公司面临的风险，如产品风险、市场风险等。

信息与沟通和监督两个要素也存在类似现象。

散乱的内容降低了不同公司的内控自评报告之间的可比性，降低了报告的利用价值。

（四）按上市板块进行分类的横向比较将158家公司分为深市主板、中小板、创业板和沪市主板四组进行上述三项统计，结果如表4、表5、表6所示。

从总体上看，表4、表5和表6并没有反映出在内控自评报告中披露的内容因上市板块的不同有明显区别：从《评价指引》第二十二条规定的八个项目的披露上看，深市主板和沪市主板略好于中小板和创业板；但从内部操纵五要素的披露上看，中小板和创业板又略好于深市主板和沪市主板。

具体而言，分上市板块进行分析可发现以下几个问题：（1）沪市主板的公司披露内控自评报告的自愿性较差。

被随机抽样抽中但没有披露内控自评报告的35家上市公司全部来自沪市主板，这能看出沪市主板披露报告的自愿性较差。

而统计数据显示沪市主板中的公司在披露内控自评报告时多会写明董事会对内部操纵报告真实性的声明。

这可
以作为解释其自愿性较差的一个原因，即沪市主板公司的董事会更深刻地认识到披露了报告就应该为其真实性作保证，为了自身承担更少的责任，那么在没有强制规定需要披露之时还是不披露为好。

同时，在沪市主板公司的报告署名上，符合规定的比例也较另三个板块低，这也可能是上市公司董事会为减轻自身责任而采取的手段之一。

（2）中小板和创业板的公司在内控评价工作不合规范的可能性较主板更大。

较少披露内控评价工作的依据、范围、程序和方法是普遍存在的问题。

但从表5可以看出，在中小板和创业板中披露这三个项目的比例明显低于主板。

因此，外部信息需求者无从知晓中小板和创业板中的公司如何评价内部操纵的可能性更大，更无法保证公司的内控评价全面、合理、有序地开展。

（3）深市主板的公司对除操纵活动以外的四个要素重视程度不够。

从表6可以看出，深市主板对内部操纵活动披露的比例高于90%，但对于其他四个要素的披露均低于50%，差距较大。

但这种情况没有出现在其他三个板块中：披露操纵活动的比例最高，但与其他要素的差距不是很大；没有任何一个要素的披露比例低于50%。

通过横向比较可以看出深市主板公司对操纵环境、风险评估、信息与沟通和内部监督四个要素的披露不足，反映出在实际内部操纵评价工作中对四个要素的重视程度不够。

三、内部操纵自我评价报告披露建议
针对我国上市公司内部操纵自我评价报告的披露现状，可从以下几个方面加以改进：
（一）重视内控自评报告披露无论是内控自评报告的披露自愿性较差还是报告不符合规范的要求，反映出的根本问题是上市公司还没有认识到内部操纵的重要性和内部操纵自我评价的重要性。

我国内部操纵在企业中的进展多是在强制性规范的作用下形成的，而不是企业自发形成的。

虽然目前关于内部操纵的文献很多，但在实践中，内部操纵制度设计合理和执行有效而使公司有良好进展的案例和反面案例并没有深入人心。

部分公司对待内控自我评价报告的态度消极，将其看作是不得不提交的报告而不是落实内控自我评价之后形成的结果。

只有通过案例教育等手段，让公司真真切切地体会到内控的重要性，才能将公司对待内控自我评价的态度由消极转为积极，让自评报告从强制性披露转为监管下的自愿性披露。

内控自评报告是一份反映公司内部操纵制度设计和执行情况的报告。

如果公司对内部操纵知识有深刻的理解，那么无论是自评报告的署名还是是否应该披露某些内容等问题都能迎刃而解。

但不同公司内控自评报告的质量参差不齐，可见部分公司并没有掌握内控知识并认真执行相关规范，以至于撰写报告时无话可说或是只能“借鉴”其他公司的报告。

（二）加强政府监管政府除了制定相关规范外，还要鼓舞公司详细披露自身的内控及其评价情况：对内控及其评价工作做得到位的公司予以奖励，同时对应付了事的公司进行处罚。

然而在现有的规定中，仍存在不合理之处：《深圳证券交易所上市公司信息披露工作考核办法（2021年修订）》第十八条规定：公司
披露的年度内部操纵自我评价报告显示最近一个会计年度内部操纵存在重大缺陷的，其信息披露工作考核结果评为C。

笔者认为作为监管机构的深交所不应把内控自评报告中是否披露重大缺陷作为考核标准。

这样的规定只会让公司消极对待发现的重大缺陷，而不是披露它并完善自身内部操纵，同时可能导致公司为了获得较好的信息披露工作考核评级而隐瞒已发现的内控重大缺陷。

深交所应该将信息披露是否符合公司实际情况作为考核标准，如已发现重大缺陷却将其描述为一般缺陷的公司考评结果为C。

（三）规范内控自评报告内容目前，上市公司较少有能将《评价指引》第二十二条规定的八个项目和第二十一条规定的五要素同时清楚地披露在一份报告中的，更不用说在不同公司之间进行对比了。

因此，统一内控自评报告的内容框架意义重大。

笔者认为，《评价指引》第二十二条是针对内部操纵自我评价工作的；而第二十一条是针对内部操纵的基本情况的，是内控自评工作的对象，可以单独作为一个项目融入到自评报告中。

因此，内控自评报告可以由以下九个部分组成：（1）董事会对内部操纵报告真实性的声明：包括董事会对内控自评报告承担的责任等；（2）内部操纵评价工作的总体情况：包括内控评价工作执行的时间、评价针对的期间、执行者、是否聘请中介机构等；（3）内部操纵评价的依据：包括法律法规和企业内部规章制度；（4）内部操纵评价的范围；（5）内部操纵评价的程序和方法；（6）内部操纵
基本情况：包括内控环境、风险评估、操纵活动、信息与沟通、内部监督五个要素。

其中内控环境包括组织架构、进展战略、人力资源、社会责任和企业文化等；操纵活动包括重大事项的操纵和日常事项的操纵。

风险评估、信息与沟通和内部监督应说明公司如何保证面临的风险均被识别、内外部信息及时、准确地被传递到适当的人员和内控缺陷均及时被发现并采取适当的整改措施；（7）内部操纵缺陷及其认定情况：包括公司内控缺陷认定标准和认定结果；（8）内部操纵缺陷的整改情况及重大缺陷拟采取的整改措施：包括在评价期间已采取的措施和未来准备采取的措施；（9）内部操纵有效性的结论：包括董事会对内控有效性的认定；如未单独披露监事会和独立董事对内控有效性的意见，也应在此部分一同披露。