深圳市迪博內部控制與風險管理研究院

    深圳市迪博企業風險管理技術有限公司 

    一、樣本選取與數據來源

    本報告選取2018年4月30日前在滬、深交易所A股上市并披露2017年年度報告的3487家上市公司為研究對象，對上市公司內部控制披露情況進行分析，其中迪博·中國上市公司內部控制指數以2017年1月1日前上市的A股上市公司為樣本，樣本數量為3022家上市公司，對上市公司內部控制評級進行分析。本報告的數據來源于上市公司公開披露的年報、內部控制評價報告、內部控制審計報告、財務重述報告、訴訟報告以及各監管機構對上市公司違法違規行為的處理公告等。本報告中所有數據都已收錄至迪博數據資訊（www.dibdata.cn）。本報告是國家自然科學基金重點項目“基于中國情境的企業內部控制有效性研究”（項目批準號71332004）的階段性研究成果。

    二、上市公司內部控制評級分析

    （一）上市公司內部控制評級概況

    按照四級八檔的分類標準，2018年上市公司內部控制評級為A及以上的公司共36家，占比1.19%；評級為BBB、BB的公司558家，占比18.46%；評級為B的公司1769家，占比58.54%；評級為C的公司479家，占比15.85%；評級為D的公司180家，占比5.96%。如圖1所示。

    圖1 2018年上市公司內部控制評級總體情況

    數據來源：迪博數據資訊www.dibdata.cn

    （二）上市公司內部控制評級對比分析

    統計顯示，近兩年上市公司內部控制綜合平均指數總體處于及格水平，且2018年較2017年略有下滑。從內部控制評級分布來看，與上年相比，2018年內部控制評級為BBB及以上的上市公司占比小幅上升，但評級為BB、B的公司占比下降，C、D級占比則又出現上升，基本呈現兩頭上升、中間下降的態勢。如圖2所示。

    圖2 近兩年上市公司內部控制評級水平對比分析

    數據來源：迪博數據資訊www.dibdata.cn

    從內部控制強制實施與非強制實施上市公司評級情況來看，2018年，評級為BB及以上的強制實施內控規范的上市公司占比是非強制實施公司的1.6倍，強制實施內控規范的上市公司內部控制質量整體優于非強制實施內控規范的上市公司。如圖3所示。

    圖3 2018年上市公司強制實施與非強制實施內部控制評級水平對比分析

    數據來源：迪博數據資訊www.dibdata.cn

    三、2018年上市公司風險分析

    2018年上市公司面臨的十大風險依次為：價格風險、市場競爭風險、政策法規風險、應收賬款風險、人力資源風險、業務擴張風險、宏觀經濟風險、技術風險、投資風險和健康安全環保風險。其中，價格風險、市場競爭風險和政策法規風險尤為突出，披露的上市公司數量占比達38%以上，遠高于其他風險。如圖4所示。

    圖4 2018年上市公司披露的風險事項分析

    數據來源：迪博數據資訊www.dibdata.cn

    與2017年相比，2018年上市公司面臨的前十大風險基本維持不變，但風險排序發生了變化。其中，價格風險由第三名上升至第一名，成為上市公司最普遍關注的風險；排名上升最大的是應收賬款風險，由第十名上升至第四名。如表1所示。

    表1 2017-2018上市公司風險事項對比分析

    當前，我國正處在轉變發展方式、優化經濟結構、轉換增長動力的攻關期，以供給側結構性改革為主線，繼續大力推進“三去一降一補”，進一步激發市場活力，提升經濟發展質量，是當前乃至今后很長一段時間我國經濟發展的重要任務。由此必然給企業發展帶來不可小覷的挑戰與風險，如產能過剩風險、存貨管理風險、成本費用風險、新業務開發風險、融資風險等。。

    需要注意的是，受全球經濟復蘇緩慢和國際關系復雜多變等因素影響，當前企業所面臨的宏觀經濟風險也不容輕視。特別是近期爆發的迄今為止史上規模最大、正愈演愈烈的中美貿易大戰，更是給全球經濟復蘇和眾多有進出口或海外業務的企業發展蒙上陰影，甚至使企業陷入生死邊緣。此外，資本市場近期頻頻爆發的大股東股權質押已經或面臨被強制平倉風險，造成公司股權結構變動或不穩定，極大地損害了投資者權益，也應當引起重點關注。

    四、2017年上市公司內部控制有效性分析

    （一）內部控制目標實現情況分析

    2017年，資本市場依法全面從嚴監管政策初見成效，較好的保證了上市公司經營管理的合法合規性和財務報告的真實可靠性。合法合規、財務報告可靠目標的實現程度達到期望目標八成以上，戰略、經營、資產安全目標的實現程度僅達到期望目標的一半或以下。

    盡管合法合規和報告可靠目標實現情況較好，但也存在較大提升空間。如合法合規方面，2017年度，仍有44%的上市公司存在違規行為，較上年增長72.17%。其中，上市公司被監管關注和問詢的頻次分別為上年的2.35倍和2倍；上市公司受到行政處罰的原因則以董監高未勤勉盡責、信息披露不及時、信息披露虛假或嚴重誤導性陳述等為主。報告可靠方面，盡管存在財務重述的上市公司比例較上年同比下降30.87%，但被出具非標財報審計意見的公司比例較上年增長7.2%，且盈余質量略有降低，較上年度下降3.96%。

    在戰略目標實現方面，僅13%的公司全部完成年初制定的經營目標，還有高達34.42%的公司計劃完成率不足一半。在經營的效率效果方面，41.40%的上市公司凈資產收益率較上年同比下降，37.66%的公司總資產周轉率低于上年，24.88%的公司人均營業收入較上年同比下滑。在資產安全方面，高達54.37%和55.06%的上市公司資產減值比例和投資損失比例分別較上年同比上升，44.94%的公司營業外支出占營業收入比例較上年同比上升。

    （二）內部控制評價報告披露情況

    3225家上市公司披露了年度內部控制評價報告，占披露年度報告的A股上市公司數量的92.49%。其中，內部控制被認定為整體有效和非整體有效的上市公司分別為3168家、57家，占比90.85%、1.63%。如圖5所示。

    圖5 上市公司內部控制評價報告及結論披露情況

    數據來源：迪博數據資訊www.dibdata.cn

    對比近11年上市公司內部控制評價報告和評價結論的披露情況發現：自2007年以來，上市公司內部控制評價報告披露比例基本呈逐年上升趨勢；內部控制評價結論非整體有效比例自2012年以來逐年上升，2017年達到歷史新高。如圖6所示。

    圖6 近11年上市公司內部控制評價報告及結論披露情況對比

    數據來源：迪博數據資訊www.dibdata.cn

    （三）內部控制審計報告披露情況

    2555家上市公司披露了其所聘會計師事務所出具的內部控制審計報告，占披露年度報告的A股上市公司數量的73.27%。其中，標準無保留意見2455家，占比70.40%；非標意見100家，占比2.87%，詳細情況為：帶強調事項段的無保留意見54家，占比1.55%；保留意見2家，占比0.06%；否定意見43家，占比1.23%；無法表示意見1家，占比0.03%。如圖7所示。

    圖7 上市公司內部控制審計報告及意見披露情況

    數據來源：迪博數據資訊www.dibdata.cn

    對比近11年上市公司內部控制審計報告和審計意見的披露情況發現：自2007年以來上市公司內部控制審計報告披露比例呈逐年上升趨勢；內部控制審計意見非標比例自2011年呈上升趨勢。如圖8所示。

    圖8 近11年上市公司內部控制審計報告及結論披露情況對比

    數據來源：迪博數據資訊www.dibdata.cn

    （四）內部控制評價缺陷分析

    456家上市公司披露其存在內部控制缺陷，占披露了內部控制評價報告公司數量的14.14%。依據不同缺陷分類方式統計的上市公司數量，如表2所示。

    表2 披露內部控制缺陷的上市公司數量分析

    數據來源：迪博數據資訊www.dibdata.cn

    與2016年相比，2017年披露內部控制重大、重要缺陷的上市公司比例明顯上升，同比增長38.11%。如圖9所示。

    圖9 近兩年上市公司內部控制缺陷披露情況對比

    數據來源：迪博數據資訊www.dibdata.cn

    2017年上市公司內部控制缺陷主要集中在資金活動、資產管理、財務報告、銷售業務、采購業務、合同管理、制度管理、組織架構等領域。如圖10所示。

    圖10 2017年上市公司內部控制缺陷所處的前十大業務領域

    數據來源：迪博數據資訊www.dibdata.cn

    與2016年相比，2017年的前十大管控薄弱環節基本維持不變，仍然集中于資金密集、資源富集的領域，但是財務報告、組織架構方面的管控問題也不容小視，排名上升。同時，制度管理、信息系統領域的管控缺陷也較上年上升，本年進入到前十。如表3所示。

    表3 近兩年上市公司內部控制缺陷所處前十大業務領域變化分析

    數據來源：迪博數據資訊www.dibdata.cn

    （五）內部控制評價缺陷整改情況

    上市公司披露的內部控制重大、重要缺陷總計226項。其中，有效整改的缺陷占比39.38%。如圖11所示。

    圖11 內部控制重大、重要缺陷整改情況

    數據來源：迪博數據資訊www.dibdata.cn

    （五）內部控制信息披露質量分析

    1、內部控制評價結論與內部控制評級對比

    根據“迪博·中國上市公司內部控制指數”，內部控制評級為C、D的上市公司占比21.67%，但納入內部控制指數評級范圍的上市公司中，僅有3.66%的公司披露其存在內部控制重大或重要缺陷，1.85%的公司認定其內部控制為非整體有效，內部控制評價結論未能充分反映上市公司內部控制的真實水平。如圖12所示。

    圖12 內部控制評價結論與內部控制評級對比

    數據來源：迪博數據資訊www.dibdata.cn

    2、內部控制評價結論與內部控制審計意見對比

    剔除僅因審計范圍豁免導致內部控制審計意見非標情況，同時披露內部控制評價報告和審計報告的公司中，內部控制審計意見為非標意見的公司占比3.11%，而內部控制自我評價結論為非整體有效的比例僅為1.86%。進一步分析發現，上市公司內部控制審計意見為否定意見的比例較財報內控評價無效的比例高10.81%，審計中發現非財報內控重大缺陷的比例亦較非財報內控評價無效比例高14.63%。如圖13所示。

    圖13 內部控制評價結論與內部控制審計意見對比

    數據來源：迪博數據資訊www.dibdata.cn

    五、上市公司內部控制存在的問題

    （一）內部控制整體水平有待提升

    從趨勢上來看雖然上市公司內控整體水平在逐年向好，但仍有近60%的公司內部控制評級集中在B級，顯示上市公司內部控制整體水平處于低位，上市公司內部控制整體水平有待提升。

    （二）風險管控能力急待加強

    多數上市公司風險信息披露中存在表述模糊、過于簡單等現象，未能體現風險在企業生產經營和業務活動中的具體表現和影響。從風險應對來看，尚有37.48%風險事項未披露具體應對措施，已披露的風險應對措施也多存在不夠具體、可操作性差等問題。此外，不少公司對于風險的重要性認識不足，如對中美貿易戰、合規管理、大股東股權質押等風險預估和管控不足，同時戰略、經營、資產安全目標的實現程度僅達到期望目標的一半或以下，均暴露出上市公司風險評估工作的充分性和深入性不夠，風險管控能力急待加強。

    （三）內部控制信息披露監管規則不統一

    目前，我國關于內部控制信息披露的監管規則包括：財政部等五部委的《企業內部控制評價指引》、《企業內部控制審計指引》，財政部的《關于印發企業內部控制規范體系實施中相關問題解釋第1號的通知》、《關于2012年主板上市公司分類分批實施企業內部控制規范體系的通知》，證監會的《公開發行證券的公司信息披露編報規則第21號——年度內部控制評價報告的一般規定》（簡稱：21號文），深交所和上交所的《上市公司內部控制指引》，以及中注協的《獨立審計具體準則第9號——內部控制與審計風險》、《內部控制審核指導意見》、《企業內部控制審計問題解答》等。由于各監管規則關于內部控制信息披露的要求不盡相同，層級關系也不明確，導致不同板塊甚至同一板塊上市公司所能適用的監管規則多樣，內部控制信息披露的格式、內容存在差異。

    （四）中小板、創業板上市公司內部控制規范建設有待加強

    從內部控制評價報告披露的規范性來看，2018年，仍有高達23.91%的中小板和創業板上市公司未按照21號文的格式要求披露內部控制評價報告；從內部控制建設質量和水平來看，2016-2018年，評級為BB及以上的強制實施內控規范上市公司占比均顯著高于非強制實施公司，差距分別為2、2、1.6倍。未納入強制實施范圍的中小板、創業板上市公司內部控制水平明顯低于納入強制實施內控規范的主板上市公司。

    （五）內部控制信息披露質量有待提升

    1、信息披露的一致性存在差異。主要表現在內部控制評價結論和審計意見存在不一致。2017年，有5家上市公司內部控制審計報告被會計師事務所出具否定意見，認定其存在財報內部控制重大缺陷。但在披露的內部控制評價報告結論中，有4家為整體有效，將財報內部控制重大缺陷認定為一般缺陷；1家為財報內控有效、非財報內控無效，將財報內部控制重大缺陷認定為非財報內部控制重大缺陷。

    2、信息披露的準確性、嚴謹性不足。一是內部控制評價報告內容前后不一致。如有公司在內部控制評價結論中披露“公司未發現財務報告內部控制重大缺陷”，在“內部控制缺陷認定及整改情況”中卻披露“報告期內公司存在財務報告內部控制重大缺陷，數量1個。”二是內部控制評價報告修訂前后的內部控制結論不一致。如個別上市公司在修訂前的內部控制評價報告中披露其財報、非財報內部控制均為有效，但在修訂后的報告中其內部控制評價結論卻成了財報、非財報內部控制雙雙無效。三是報告披露的真實性有誤。截至2018年4月30日，仍有少數上市公司在年報中明確表示已披露內部控制評價或審計報告，但通過公開渠道未找到相應的報告。

    3、信息披露的有用性不強。如不少上市公司披露的重大、重要內部控制缺陷內容表述過于籠統，缺陷原因及影響均未涉及。同時，少數公司信息披露的完整性也有待改進。如在以規范格式披露內部控制評價報告的上市公司中，有6.67%的公司未按規定披露納入評價范圍的單位的資產總額占比與營業收入占比。

    4、內部控制缺陷類別和等級認定混亂。一是財報、非財報缺陷混淆不清。2017年度，有22項與會計核算、會計準則應用相關的內部控制評價缺陷被歸入非財報內部控制缺陷，5項與會計核算、會計準則應用、財務報告編制及資金活動相關的內部控制審計缺陷被歸入非財報內部控制缺陷。二是內部控制缺陷等級認定不當。2017年度，仍有少數上市公司將報告期內發生的重大損失、違法違規事項等本應屬于重大或重要缺陷的事項，在“其他內部控制相關重大事項說明”中披露，而未認定為內部控制缺陷。同時，還有少數公司將依據內部控制缺陷認定標準本應認定為重大或重要的缺陷認定為一般缺陷。

    （六）重大、重要缺陷的整改落實亟待加強

    截止報告發出日，仍有約61%的重大、重要缺陷未得到有效整改或未開始整改。少數公司還存在上年度未整改完成的重大、重要缺陷。從披露的整改措施和整改計劃來看，部分公司表述也是含糊不清，缺乏實際可操作性。上市公司內部控制缺陷的整改落實情況不容樂觀，亟待進一步加強。

    （七）資金活動、資產管理、財務報告等關鍵環節仍是上市公司內部控制缺陷發生的重災區

    與上一年相比，2017年，資金活動、資產管理、財務報告仍是上市公司內部控制缺陷發生的重災區，近40%的內部控制缺陷出現在這三大領域。其中，資金活動領域的重大缺陷主要發生在應收賬款、銀行賬戶管理、現金管理、投資及印章管理環節；資產管理領域缺陷主要發生在存貨及固定資產管理環節；財務報告領域的重大缺陷主要發生在會計核算、會計準則應用方面。

    六、政策建議

    （一）統一內部控制信息披露監管標準，提高上市公司信息披露的規范性

    當前不同內部控制信息披露監管規則的要求不盡統一，不同板塊上市公司遵循的信息披露標準也不盡一致，導致內部控制信息披露質量大打折扣。建議監管機構進一步統一內部控制評價信息披露的監管標準，明確不同標準間的層級關系，明確上市公司應當強制遵循的披露標準；進一步修訂和規范內部控制審計信息披露要求，將中小板、創業板上市公司納入統一的內部控制審計信息披露標準中來，提高上市公司內部控制信息披露的整體水平。

    （二）創新內部控制信息披露監管手段，提高上市公司信息披露監管質量

    為應對上市公司數量快速增加和資本市場從嚴監管的要求，切實提高上市公司信息披露監管質量，監管機構一方面應當積極利用大數據、人工智能、云計算等先進科學技術手段，大力提升科技監管能力和水平，促使監管方式從“消防員”式的被動監管向主動、精準、高效、高質量的監管方式轉變；另一方面應當建立健全責任追究機制，從法律層面明確上市公司高管人員在內部控制建設、審計及信息披露中的責任和處罰措施，強化對內控信息披露違規的公司、個人及審計機構的問責和處罰力度。

    （三）加強中小板、創業板內部控制規范建設，提高上市公司內部控制整體水平

    內部控制是保障上市公司質量的重要因素，中小板和創業板上市公司由于規模相對較小，管理基礎相對較弱，風險相對較高，相對于主板上市公司更需要強化內部控制。然而，目前中小板、創業板上市公司并未納入內部控制規范強制實施范圍，其在內部控制建設質量和信息披露規范性等方面，相對于主板上市公司仍較為落后。建議監管機構綜合考慮中小板、創業板上市公司的特殊性，盡快推進中小板、創業板上市公司實施內部控制規范體系，以更好地保護投資者利益。

    （四）加強風險防控機制和能力建設，切實將防范化解重大風險放在首位

    隨著全面深化改革和依法治國的深入推進，企業所面臨的市場活力不斷增強，監管要求日益嚴格，風險因素日趨增加。為此，上市公司應當切實加強風險防控機制和能力建設，不斷提升風險管理工作的科學性、精細化，提高風險管理的動態監測和實時預警能力，以更好地應對市場需求的變化和調整，提高公司資源配置效率和競爭力，以及合規管理能力和水平。同時，建議監管機構借鑒香港聯交所的經驗，將企業風險管理信息的披露納入強制監管范圍，推動上市公司重視和健全風險管理機制。

    （五）加強內部控制宣傳與培訓，提升高管人員的風險防控意識和能力

    監管機構應當通過多種途徑加強內部控制宣傳與培訓，并將其納入上市公司董事長、總經理、董事會秘書、財務總監、審計委員會召集人等高管人員的常規培訓和必修課程中，幫助上市公司尤其是高管人員樹立正確的風險理念，使其從深層次認識高質量發展背景下企業內部控制和風險防控的重要性，切實提升高管人員的風險責任感和風險防控能力。

    （六）完善內部控制缺陷整改機制，強化重點領域監督檢查力度

    上市公司應當建立健全內部控制缺陷整改機制，確保缺陷整改落到實處。對于已經發生的對公司生產經營有重大不利影響的缺陷，應制定切實可行的整改方案，明確整改責任，確保相關職能部門和業務單位各盡其能、各司其職；加強對整改效果的跟蹤考核，對整改不及時、不到位的，分析原因，并嚴格追究相關責任人和責任部門的責任。同時，對于資金活動、資產管理、財務報告、信息披露等關鍵事項及內部控制缺陷高發領域，應將其作為日常監督重點，加大監督檢查力度，推動建立健全管理制度與流程，完善對薄弱環節的管控。