在企业组织结构日益多元化、复杂化的趋势下,一套健全、完善的内部控制制度对企业的生产经营活动至关重要。作为上市公司,常常因为内控缺失导致了有财务造假的动因,各类关联交易引发利益输送,造成公司治理结构的失败。
来自深圳市迪博企业风险管理技术有限公司的《中国上市公司2018年内部控制白皮书》显示,虽然上市公司内部控制整体水平在逐年向好,但仍处于低位,上市公司内部控制整体水平有待提升。特别是战略、经营、资产安全目标的实现程度仅达到期望目标的一半或以下。这是迪博受监管部门委托连续第11年发布中国上市公司内部控制白皮书。
据统计,2017年,共有3225家上市公司披露了年度内部控制评价报告,占披露年度报告的A股上市公司数量的92.49%。其中,内部控制被认定为整体有效和非整体有效的上市公司占比分别为90.85%和1.63%。
白皮书显示,上市公司内控信息披露质量仍有待提升。信息披露的一致性存在差异,主要表现在内部控制评价结论和审计意见存在不一致;信息披露的准确性、严谨性不足,表现在内部控制评价报告内容前后不一致、内部控制评价报告修订前后的内部控制结论不一致、报告披露的真实性有误等;信息披露的有用性不强,如不少上市公司披露的重大、重要内部控制缺陷内容表述过于笼统,缺陷原因及影响均未涉及;内部控制缺陷类别和等级认定混乱,包括财报、非财报缺陷混淆不清、内部控制缺陷等级认定不当、少数公司将依据内部控制缺陷认定标准本应认定为重大或重要的缺陷认定为一般缺陷等。同时,中小板、创业板上市公司内部控制规范建设有待加强,仍有高达23.91%的中小板和创业板上市公司未按照21号文的格式要求披露内部控制评价报告。
白皮书表示,资金活动、资产管理、财务报告等关键环节仍是上市公司内部控制缺陷发生的重灾区,近40%的内部控制缺陷出现在这三大领域。其中,资金活动领域的重大缺陷主要发生在应收账款、银行账户管理、现金管理、投资及印章管理环节;资产管理领域缺陷主要发生在存货及固定资产管理环节;财务报告领域的重大缺陷主要发生在会计核算、会计准则应用方面。
在风险信息披露方面,多数上市公司风险描述中存在表述模糊、过于简单等现象,未能体现风险在企业生产经营和业务活动中的具体表现和影响。从风险应对来看,尚有37.48%风险事项未披露具体应对措施,已披露的风险应对措施也多存在不够具体、可操作性差等问题。此外,不少公司对于中美贸易摩擦、合规管理、大股东股权质押等风险的重要性认识不足,暴露出风险评估工作的充分性和深入性不够。
为此,白皮书建议,监管机构应进一步统一内部控制信息披露的监管标准,明确不同标准间的层级关系,明确上市公司应当强制遵循的披露标准,将中小板、创业板上市公司纳入统一的内部控制审计信息披露标准中来,提高上市公司内部控制信息披露的整体水平。同时建议监管机构一方面应当积极利用大数据、人工智能、云计算等先进科学技术手段,大力提升科技监管能力和水平,促使监管方式从“消防员”式的被动监管向主动、精准、高效、高质量的监管方式转变;另一方面应当建立健全责任追究机制,从法律层面明确上市公司高管人员在内部控制建设、审计及信息披露中的责任和处罚措施,强化对内控信息披露违规的公司、个人及审计机构的问责和处罚力度。
特别在中小板、创业板内部控制规范建设方面,白皮书指出,中小板和创业板上市公司由于规模相对较小,管理基础相对较弱,风险相对较高,相对于主板上市公司更需要强化内部控制。然而,目前中小板、创业板上市公司并未纳入内部控制规范强制实施范围,其在内部控制建设质量和信息披露规范性等方面,相对于主板上市公司仍较为落后。建议监管机构综合考虑中小板、创业板上市公司的特殊性,尽快推进中小板、创业板上市公司实施内部控制规范体系,以更好地保护投资者利益。
此外,白皮书还建议加强风险防控机制和能力建设,切实将防范化解重大风险放在首位,加强内部控制宣传与培训,提升高管人员的风险防控意识和能力,完善内部控制缺陷整改机制,强化重点领域监督检查力度。
