中国上市公司2018年内部控制白皮书
中国上市公司2018年内部控制白皮书
深圳市迪博内部控制与风险管理研究院
深圳市迪博企业风险管理技术有限公司
一、 样本选取与数据来源
本报告选取2018年4月30日前在沪、深交易所A股上市并披露2017年年度报告的3487家上市公司为研究对象,对上市公司内部控制披露情况进行分析,其中迪博·中国上市公司内部控制指数以2017年1月1日前上市的A股上市公司为样本,样本数量为3022家上市公司,对上市公司内部控制评级进行分析。本报告的数据来源于上市公司公开披露的年报、内部控制评价报告、内部控制审计报告、财务重述报告、诉讼报告以及各监管机构对上市公司违法违规行为的处理公告等。本报告中所有数据都已收录至迪博数据资讯(www.dibdata.cn)。本报告是国家自然科学基金重点项目“基于中国情境的企业内部控制有效性研究”(项目批准号71332004)的阶段性研究成果。
二、 上市公司内部控制评级分析
(一)上市公司内部控制评级概况
按照四级八档的分类标准,2018年上市公司内部控制评级为A及以上的公司共36家,占比1.19%;评级为BBB、BB的公司558家,占比18.46%;评级为B的公司1769家,占比58.54%;评级为C的公司479家,占比15.85%;评级为D的公司180家,占比5.96%。如图1所示。
图1 2018年上市公司内部控制评级总体情况
数据来源:迪博数据资讯 www.dibdata.cn
(二)上市公司内部控制评级对比分析
统计显示,近两年上市公司内部控制综合平均指数总体处于及格水平,且2018年较2017年略有下滑。从内部控制评级分布来看,与上年相比,2018年内部控制评级为BBB及以上的上市公司占比小幅上升,但评级为BB、B的公司占比下降,C、D级占比则又出现上升,基本呈现两头上升、中间下降的态势。如图2所示。
图2 近两年上市公司内部控制评级水平对比分析
数据来源:迪博数据资讯 www.dibdata.cn
从内部控制强制实施与非强制实施上市公司评级情况来看,2018年,评级为BB及以上的强制实施内控规范的上市公司占比是非强制实施公司的1.6倍,强制实施内控规范的上市公司内部控制质量整体优于非强制实施内控规范的上市公司。如图3所示。
图3 2018年上市公司强制实施与非强制实施内部控制评级水平对比分析
数据来源:迪博数据资讯 www.dibdata.cn
三、 2018年上市公司风险分析
2018年上市公司面临的十大风险依次为:价格风险、市场竞争风险、政策法规风险、应收账款风险、人力资源风险、业务扩张风险、宏观经济风险、技术风险、投资风险和健康安全环保风险。其中,价格风险、市场竞争风险和政策法规风险尤为突出,披露的上市公司数量占比达38%以上,远高于其他风险。如图4所示。
图4 2018年上市公司披露的风险事项分析
数据来源:迪博数据资讯 www.dibdata.cn
与2017年相比,2018年上市公司面临的前十大风险基本维持不变,但风险排序发生了变化。其中,价格风险由第三名上升至第一名,成为上市公司最普遍关注的风险;排名上升最大的是应收账款风险,由第十名上升至第四名。如表1所示。
表1 2017-2018上市公司风险事项对比分析
风险事项 |
2018年风险排序 |
2017年风险排序 |
排序升降情况 |
价格风险 |
1 |
3 |
上升2位 |
市场竞争风险 |
2 |
1 |
下降1位 |
政策法规风险 |
3 |
2 |
下降1位 |
应收账款风险 |
4 |
10 |
上升6位 |
人力资源风险 |
5 |
5 |
不变 |
业务扩张风险 |
6 |
4 |
下降2位 |
宏观经济风险 |
7 |
6 |
下降1位 |
技术风险 |
8 |
7 |
下降1位 |
投资风险 |
9 |
8 |
下降1位 |
健康安全环保风险 |
10 |
9 |
下降1位 |
当前,我国正处在转变发展方式、优化经济结构、转换增长动力的攻关期,以供给侧结构性改革为主线,继续大力推进“三去一降一补”,进一步激发市场活力,提升经济发展质量,是当前乃至今后很长一段时间我国经济发展的重要任务。由此必然给企业发展带来不可小觑的挑战与风险,如产能过剩风险、存货管理风险、成本费用风险、新业务开发风险、融资风险等。。
需要注意的是,受全球经济复苏缓慢和国际关系复杂多变等因素影响,当前企业所面临的宏观经济风险也不容轻视。特别是近期爆发的迄今为止史上规模最大、正愈演愈烈的中美贸易大战,更是给全球经济复苏和众多有进出口或海外业务的企业发展蒙上阴影,甚至使企业陷入生死边缘。此外,资本市场近期频频爆发的大股东股权质押已经或面临被强制平仓风险,造成公司股权结构变动或不稳定,极大地损害了投资者权益,也应当引起重点关注。
四、2017年上市公司内部控制有效性分析
(一) 内部控制目标实现情况分析
2017年,资本市场依法全面从严监管政策初见成效,较好的保证了上市公司经营管理的合法合规性和财务报告的真实可靠性。合法合规、财务报告可靠目标的实现程度达到期望目标八成以上,战略、经营、资产安全目标的实现程度仅达到期望目标的一半或以下。
尽管合法合规和报告可靠目标实现情况较好,但也存在较大提升空间。如合法合规方面,2017年度,仍有44%的上市公司存在违规行为,较上年增长72.17%。其中,上市公司被监管关注和问询的频次分别为上年的2.35倍和2倍;上市公司受到行政处罚的原因则以董监高未勤勉尽责、信息披露不及时、信息披露虚假或严重误导性陈述等为主。报告可靠方面,尽管存在财务重述的上市公司比例较上年同比下降30.87%,但被出具非标财报审计意见的公司比例较上年增长7.2%,且盈余质量略有降低,较上年度下降3.96%。
在战略目标实现方面,仅13%的公司全部完成年初制定的经营目标,还有高达34.42%的公司计划完成率不足一半。在经营的效率效果方面,41.40%的上市公司净资产收益率较上年同比下降,37.66%的公司总资产周转率低于上年,24.88%的公司人均营业收入较上年同比下滑。在资产安全方面,高达54.37%和55.06%的上市公司资产减值比例和投资损失比例分别较上年同比上升,44.94%的公司营业外支出占营业收入比例较上年同比上升。
(二) 内部控制评价报告披露情况
3225家上市公司披露了年度内部控制评价报告,占披露年度报告的A股上市公司数量的92.49%。其中,内部控制被认定为整体有效和非整体有效的上市公司分别为3168家、57家,占比90.85%、1.63%。如图5所示。
图5 上市公司内部控制评价报告及结论披露情况
数据来源:迪博数据资讯 www.dibdata.cn
对比近11年上市公司内部控制评价报告和评价结论的披露情况发现:自2007年以来,上市公司内部控制评价报告披露比例基本呈逐年上升趋势;内部控制评价结论非整体有效比例自2012年以来逐年上升,2017年达到历史新高。如图6所示。
图6 近11年上市公司内部控制评价报告及结论披露情况对比
数据来源:迪博数据资讯 www.dibdata.cn
(三) 内部控制审计报告披露情况
2555家上市公司披露了其所聘会计师事务所出具的内部控制审计报告,占披露年度报告的A股上市公司数量的73.27%。其中,标准无保留意见2455家,占比70.40%;非标意见100家,占比2.87%,详细情况为:带强调事项段的无保留意见54家,占比1.55%;保留意见2家,占比0.06%;否定意见43家,占比1.23%;无法表示意见1家,占比0.03%。如图7所示。
图7 上市公司内部控制审计报告及意见披露情况
数据来源:迪博数据资讯 www.dibdata.cn
对比近11年上市公司内部控制审计报告和审计意见的披露情况发现:自2007年以来上市公司内部控制审计报告披露比例呈逐年上升趋势;内部控制审计意见非标比例自2011年呈上升趋势。如图8所示。
图8 近11年上市公司内部控制审计报告及结论披露情况对比
数据来源:迪博数据资讯 www.dibdata.cn
(四) 内部控制评价缺陷分析
456家上市公司披露其存在内部控制缺陷,占披露了内部控制评价报告公司数量的14.14%。依据不同缺陷分类方式统计的上市公司数量,如表2所示。
表2 披露内部控制缺陷的上市公司数量分析
缺陷等级 |
披露缺陷的上市公司数量 |
占披露内部控制评价报告公司数量的比例 |
缺陷数量 |
缺陷占比 |
重大缺陷 |
65 |
2.02% |
141 |
3.18% |
重要缺陷 |
53 |
1.64% |
85 |
1.92% |
一般缺陷 |
374 |
11.60% |
4212 |
94.91% |
小计 |
456 |
14.14% |
4438 |
100% |
数据来源:迪博数据资讯 www.dibdata.cn
与2016年相比,2017年披露内部控制重大、重要缺陷的上市公司比例明显上升,同比增长38.11%。如图9所示。
图9 近两年上市公司内部控制缺陷披露情况对比
数据来源:迪博数据资讯 www.dibdata.cn
2017年上市公司内部控制缺陷主要集中在资金活动、资产管理、财务报告、销售业务、采购业务、合同管理、制度管理、组织架构等领域。如图10所示。
图10 2017年上市公司内部控制缺陷所处的前十大业务领域
数据来源:迪博数据资讯 www.dibdata.cn
与2016年相比,2017年的前十大管控薄弱环节基本维持不变,仍然集中于资金密集、资源富集的领域,但是财务报告、组织架构方面的管控问题也不容小视,排名上升。同时,制度管理、信息系统领域的管控缺陷也较上年上升,本年进入到前十。如表3所示。
表3 近两年上市公司内部控制缺陷所处前十大业务领域变化分析
缺陷事项 |
2017年缺陷排序 |
2016年缺陷排序 |
排序升降情况 |
资金活动 |
1 |
1 |
—— |
资产管理 |
2 |
2 |
—— |
财务报告 |
3 |
6 |
上升3位 |
销售业务 |
4 |
3 |
下降1位 |
采购业务 |
5 |
4 |
下降1位 |
合同管理 |
6 |
5 |
下降1位 |
制度管理 |
7 |
14 |
上升7位 |
组织架构 |
8 |
10 |
上升2位 |
信息系统 |
9 |
11 |
上升2位 |
人力资源 |
10 |
7 |
下降3位 |
数据来源:迪博数据资讯 www.dibdata.cn
(五)内部控制评价缺陷整改情况
上市公司披露的内部控制重大、重要缺陷总计226项。其中,有效整改的缺陷占比39.38%。如图11所示。
图11 内部控制重大、重要缺陷整改情况
数据来源:迪博数据资讯 www.dibdata.cn
(五)内部控制信息披露质量分析
1、内部控制评价结论与内部控制评级对比
根据“迪博·中国上市公司内部控制指数”,内部控制评级为C、D的上市公司占比21.67%,但纳入内部控制指数评级范围的上市公司中,仅有3.66%的公司披露其存在内部控制重大或重要缺陷,1.85%的公司认定其内部控制为非整体有效,内部控制评价结论未能充分反映上市公司内部控制的真实水平。如图12所示。
图12 内部控制评价结论与内部控制评级对比
数据来源:迪博数据资讯 www.dibdata.cn
2、内部控制评价结论与内部控制审计意见对比
剔除仅因审计范围豁免导致内部控制审计意见非标情况,同时披露内部控制评价报告和审计报告的公司中,内部控制审计意见为非标意见的公司占比3.11%,而内部控制自我评价结论为非整体有效的比例仅为1.86%。进一步分析发现,上市公司内部控制审计意见为否定意见的比例较财报内控评价无效的比例高10.81%,审计中发现非财报内控重大缺陷的比例亦较非财报内控评价无效比例高14.63%。如图13所示。
图13 内部控制评价结论与内部控制审计意见对比
数据来源:迪博数据资讯 www.dibdata.cn
五、上市公司内部控制存在的问题
(一)内部控制整体水平有待提升
从趋势上来看虽然上市公司内控整体水平在逐年向好,但仍有近60%的公司内部控制评级集中在B级,显示上市公司内部控制整体水平处于低位,上市公司内部控制整体水平有待提升。
(二)风险管控能力急待加强
多数上市公司风险信息披露中存在表述模糊、过于简单等现象,未能体现风险在企业生产经营和业务活动中的具体表现和影响。从风险应对来看,尚有37.48%风险事项未披露具体应对措施,已披露的风险应对措施也多存在不够具体、可操作性差等问题。此外,不少公司对于风险的重要性认识不足,如对中美贸易战、合规管理、大股东股权质押等风险预估和管控不足,同时战略、经营、资产安全目标的实现程度仅达到期望目标的一半或以下,均暴露出上市公司风险评估工作的充分性和深入性不够,风险管控能力急待加强。
(三)内部控制信息披露监管规则不统一
目前,我国关于内部控制信息披露的监管规则包括:财政部等五部委的《企业内部控制评价指引》、《企业内部控制审计指引》,财政部的《关于印发企业内部控制规范体系实施中相关问题解释第1号的通知》、《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》,证监会的《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》(简称:21号文),深交所和上交所的《上市公司内部控制指引》,以及中注协的《独立审计具体准则第9号——内部控制与审计风险》、《内部控制审核指导意见》、《企业内部控制审计问题解答》等。由于各监管规则关于内部控制信息披露的要求不尽相同,层级关系也不明确,导致不同板块甚至同一板块上市公司所能适用的监管规则多样,内部控制信息披露的格式、内容存在差异。
(四)中小板、创业板上市公司内部控制规范建设有待加强
从内部控制评价报告披露的规范性来看,2018年,仍有高达23.91%的中小板和创业板上市公司未按照21号文的格式要求披露内部控制评价报告;从内部控制建设质量和水平来看,2016-2018年,评级为BB及以上的强制实施内控规范上市公司占比均显著高于非强制实施公司,差距分别为2、2、1.6倍。未纳入强制实施范围的中小板、创业板上市公司内部控制水平明显低于纳入强制实施内控规范的主板上市公司。
(五)内部控制信息披露质量有待提升
1、信息披露的一致性存在差异。主要表现在内部控制评价结论和审计意见存在不一致。2017年,有5家上市公司内部控制审计报告被会计师事务所出具否定意见,认定其存在财报内部控制重大缺陷。但在披露的内部控制评价报告结论中,有4家为整体有效,将财报内部控制重大缺陷认定为一般缺陷;1家为财报内控有效、非财报内控无效,将财报内部控制重大缺陷认定为非财报内部控制重大缺陷。
2、信息披露的准确性、严谨性不足。一是内部控制评价报告内容前后不一致。如有公司在内部控制评价结论中披露“公司未发现财务报告内部控制重大缺陷”,在“内部控制缺陷认定及整改情况”中却披露“报告期内公司存在财务报告内部控制重大缺陷,数量 1个。”二是内部控制评价报告修订前后的内部控制结论不一致。如个别上市公司在修订前的内部控制评价报告中披露其财报、非财报内部控制均为有效,但在修订后的报告中其内部控制评价结论却成了财报、非财报内部控制双双无效。三是报告披露的真实性有误。截至2018年4月30日,仍有少数上市公司在年报中明确表示已披露内部控制评价或审计报告,但通过公开渠道未找到相应的报告。
3、信息披露的有用性不强。如不少上市公司披露的重大、重要内部控制缺陷内容表述过于笼统,缺陷原因及影响均未涉及。同时,少数公司信息披露的完整性也有待改进。如在以规范格式披露内部控制评价报告的上市公司中,有6.67%的公司未按规定披露纳入评价范围的单位的资产总额占比与营业收入占比。
4、内部控制缺陷类别和等级认定混乱。一是财报、非财报缺陷混淆不清。2017年度,有22项与会计核算、会计准则应用相关的内部控制评价缺陷被归入非财报内部控制缺陷,5项与会计核算、会计准则应用、财务报告编制及资金活动相关的内部控制审计缺陷被归入非财报内部控制缺陷。二是内部控制缺陷等级认定不当。2017年度,仍有少数上市公司将报告期内发生的重大损失、违法违规事项等本应属于重大或重要缺陷的事项,在“其他内部控制相关重大事项说明”中披露,而未认定为内部控制缺陷。同时,还有少数公司将依据内部控制缺陷认定标准本应认定为重大或重要的缺陷认定为一般缺陷。
(六)重大、重要缺陷的整改落实亟待加强
截止报告发出日,仍有约61%的重大、重要缺陷未得到有效整改或未开始整改。少数公司还存在上年度未整改完成的重大、重要缺陷。从披露的整改措施和整改计划来看,部分公司表述也是含糊不清,缺乏实际可操作性。上市公司内部控制缺陷的整改落实情况不容乐观,亟待进一步加强。
(七)资金活动、资产管理、财务报告等关键环节仍是上市公司内部控制缺陷发生的重灾区
与上一年相比,2017年,资金活动、资产管理、财务报告仍是上市公司内部控制缺陷发生的重灾区,近40%的内部控制缺陷出现在这三大领域。其中,资金活动领域的重大缺陷主要发生在应收账款、银行账户管理、现金管理、投资及印章管理环节;资产管理领域缺陷主要发生在存货及固定资产管理环节;财务报告领域的重大缺陷主要发生在会计核算、会计准则应用方面。
六、政策建议
(一)统一内部控制信息披露监管标准,提高上市公司信息披露的规范性
当前不同内部控制信息披露监管规则的要求不尽统一,不同板块上市公司遵循的信息披露标准也不尽一致,导致内部控制信息披露质量大打折扣。建议监管机构进一步统一内部控制评价信息披露的监管标准,明确不同标准间的层级关系,明确上市公司应当强制遵循的披露标准;进一步修订和规范内部控制审计信息披露要求,将中小板、创业板上市公司纳入统一的内部控制审计信息披露标准中来,提高上市公司内部控制信息披露的整体水平。
(二)创新内部控制信息披露监管手段,提高上市公司信息披露监管质量
为应对上市公司数量快速增加和资本市场从严监管的要求,切实提高上市公司信息披露监管质量,监管机构一方面应当积极利用大数据、人工智能、云计算等先进科学技术手段,大力提升科技监管能力和水平,促使监管方式从“消防员”式的被动监管向主动、精准、高效、高质量的监管方式转变;另一方面应当建立健全责任追究机制,从法律层面明确上市公司高管人员在内部控制建设、审计及信息披露中的责任和处罚措施,强化对内控信息披露违规的公司、个人及审计机构的问责和处罚力度。
(三)加强中小板、创业板内部控制规范建设,提高上市公司内部控制整体水平
内部控制是保障上市公司质量的重要因素,中小板和创业板上市公司由于规模相对较小,管理基础相对较弱,风险相对较高,相对于主板上市公司更需要强化内部控制。然而,目前中小板、创业板上市公司并未纳入内部控制规范强制实施范围,其在内部控制建设质量和信息披露规范性等方面,相对于主板上市公司仍较为落后。建议监管机构综合考虑中小板、创业板上市公司的特殊性,尽快推进中小板、创业板上市公司实施内部控制规范体系,以更好地保护投资者利益。
(四)加强风险防控机制和能力建设,切实将防范化解重大风险放在首位
随着全面深化改革和依法治国的深入推进,企业所面临的市场活力不断增强,监管要求日益严格,风险因素日趋增加。为此,上市公司应当切实加强风险防控机制和能力建设,不断提升风险管理工作的科学性、精细化,提高风险管理的动态监测和实时预警能力,以更好地应对市场需求的变化和调整,提高公司资源配置效率和竞争力,以及合规管理能力和水平。同时,建议监管机构借鉴香港联交所的经验,将企业风险管理信息的披露纳入强制监管范围,推动上市公司重视和健全风险管理机制。
(五)加强内部控制宣传与培训,提升高管人员的风险防控意识和能力
监管机构应当通过多种途径加强内部控制宣传与培训,并将其纳入上市公司董事长、总经理、董事会秘书、财务总监、审计委员会召集人等高管人员的常规培训和必修课程中,帮助上市公司尤其是高管人员树立正确的风险理念,使其从深层次认识高质量发展背景下企业内部控制和风险防控的重要性,切实提升高管人员的风险责任感和风险防控能力。
(六)完善内部控制缺陷整改机制,强化重点领域监督检查力度
上市公司应当建立健全内部控制缺陷整改机制,确保缺陷整改落到实处。对于已经发生的对公司生产经营有重大不利影响的缺陷,应制定切实可行的整改方案,明确整改责任,确保相关职能部门和业务单位各尽其能、各司其职;加强对整改效果的跟踪考核,对整改不及时、不到位的,分析原因,并严格追究相关责任人和责任部门的责任。同时,对于资金活动、资产管理、财务报告、信息披露等关键事项及内部控制缺陷高发领域,应将其作为日常监督重点,加大监督检查力度,推动建立健全管理制度与流程,完善对薄弱环节的管控。