内部控制信息披露

一、我国内部控制信息披露发展历程

在近来的研究中，有关内部控制的法规文件一般追溯至2000年。2000年12月中国证监会发布了《公开发行证券公司信息披露编报规则第7号—商业银行年度报告内容与格式特别规定》和《公开发行证券公司信息披露编报规则第8号-证券公司年度报告内容与格式特别规定》,要求商业银行、证券公司在年度报告中应对其内部控制制度的完整性、合理性和有效性做出说明，同时还应委托所聘请的会计师事务所对其内部控制制度,尤其是风险管理系统的完整性、合理性和有效性进行评价，提出改进建议，并出具评价报告.评价报告应随年度报告一并报送中国证监会和证券交易所。

2001年12月，中国证券监督管理委员会发布了《公开发行证券的公司信息披露内容与格式准则第2号〈年度报告的内容与格式>》(2001 年修订稿)，其中第四十二条规定,在年度报告正文中,监事会应对“公司决策程序是否合法,是否建立完善的内部控制制度，公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为”发表独立意见。该规则强制要求上市公司对其内部控制信息进行披露,但披露内容较为简单，仅是一笔带过。

2003年3月证监会又针对上市银行内部控制信息披露做出了规定,明确了董事会对于内部控制的责任。2005 年中国证监会要求上市公司定期对内部控制的完整性、合理性及实施的有效性进行检查和评估，并开始要求上市公司通过外部审计对公司的内部控制制度以及公司的自我评估报告进行核实评价，该年度内银监会还发布了商业银行部控制评价办法。可以说，我国在2006年以前以及美国在2002年以前并未对内部控制信息披露做出强制性规定，内控信息披露系上市公司自选择的行为。

2002 年美国国会通过的《萨班斯法案》关于内部控制信息强制性披露的要求对我国

产生了较深的影响.2006年，上交所与深交所分别于6月5日和9月28日发布了《上市公司内部控制指引》（以下简称《指引》），前者自2006 年7月1日起生效，后者自2007年7月1日实施，两者皆要求上市公司披露董事会编制的内部控制自我评估报告以及会计师事务所对内部控制报告的核实评价意见。考虑到实施的仓促性以及我国上市公司内部控制建设的现状，上交所于2006年12月在《关于做好上市公司2006 年年度报告的通知》中对《指引》做了补充，只要求上市公司在年报的“重要事项\"部分披露内部控制信息，鼓励有条件的上市公司遵守《指引》的规定。由于《内控指引》强制要求上市公司披露内部控制自我评估报告和注册会计师审核意见，因此两个指引的发布标志着我国内部控制信息进入强制性披露阶段，也称《内控指引》为内部控制信息强制性披露规则.

2007年证监会对《公开发行证券的公司信息披露内容与格式准则第2号〈年度报告的内容与格式>》进行修订，其中公司治理结构部分第三十条规定，公司应该说明生产经营控制、财务管理控制、信息披露控制等内部控制制度的建立和健全情况，包括内部控制制度建立健全的工作计划及其实施情况、内部控制检查监督部门的设置情况、董事会对内部控制有关工作的安排、与财务核算相关的内部控制制度的完善情况.同时鼓励央企控股的、金融类及其它有条件的上市公司披露董事会出具的、经审计机构核实评价的公司内部控制自我评估报告。这部分与2001年修订稿相比较，有了很大的进步。

由于内部控制相关规定比较分散，权威性不足，为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力,维护社会主义市场经济秩序和社会公众利益，2008年6月28日财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》,自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行.执行该规范的上市公司，应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。

2010年4月26日,财政部、证监会、审计署、银监会、保监会等五部委刚刚联合并发布了《企业内部控制配套指引》。国际著名会计师事务所德勤表示，指引将有助于提升中国企业的财务报告质量，减少商业欺诈风险。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，连同此前发布的《企业内部控制基本规范》，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成.

为确保企业内控规范体系平稳顺利实施,财政部等五部门制定了实施时间表：自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行.

这一套控制规范被称为中国的“萨班斯法案\"，自正式实施之日起,执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师发现在内部控制审计过程中注意到的企业非财务报告内部控制重大缺陷,应当提示投资者、债权人和其他利益相关者关注。

2014年1月3日证监会与财政部联合发布《公开发行证券的公司信息披露编报规则指引第21号-年度内部控制评价报告的一般规定》。该规定明确了内部控制评价报告构成要素，并针对核心构成要素,如重要声明、内部控制评价结论、内部控制评价工作情况等，逐一说明了需要披露的主要内容及相关要求.对于内部控制评价结论规定要求披露财务报告内部控制是否有效的结论,并披露是否发现非财务报告内部控制重大缺陷.对于内控评价工作情况,规定要求区分财务报告内部控制与非财务报告内部控制，分别披露重大、重要缺陷认定标准、缺陷认定和整改情况等.

二、案例

中国南方航空股份有限公司及其子公司主要从事提供国内、港澳台地区及国际航空客运、货运及邮运服务。该公司于1995年3月25日注册成立，1997年7月分别在香港联合交易所有限公司和美国纽约证券交易所上市， 2003年 7月在上海证券交易所上市.南方航空内控信息披露内容的变化反映了内部控制信息披露在我国的发展历程.

我国在2006年以前并未对内部控制信息披露做出强制性规定，内控信息披露系上市公司自选择的行为。南方航空在2006年以前并未披露有关公司内部控制的信息。

2006年上交所发布《上市公司内部控制指引》，自2006 年7月1日起生效，要求上市公司披露董事会编制的内部控制自我评估报告以及会计师事务所对内部控制报告的核实评价意见。考虑到实施的仓促性以及我国上市公司内部控制建设的现状，上交所于2006年12月对《指引》做了补充，只要求上市公司在年报的“重要事项”部分披露内部控制信息，鼓励有条件的上市公司遵守《指引》的规定.南方航空在2006年年报的重要事项部分披露了公司内部控制制度的建设情况。（下面为截取的年报披露正文)

“根据《上海证券交易所上市公司内部控制指引》,以及上市地的相关规定，本公司逐步建立健全和有效实施内部控制制度,以提高上市公司系统风险管理,保护投资者的合法权益。

1、本公司已逐步建立健全了公司法人治理结构,股东大会、董事会、监事会、公司管理层能有效地对公司的经营管理实施控制。各级生产经营决策权限划分清晰，各项采购、对外协议、现金支付均可根据各级授权及管理权限,按照明确的规定履行必要的法定程序.公司管理层明确了具体的部门负责内控和风险管理工作，明确权责，以建立系统性风险管

理体系。

2、建立了完善的金融衍生工具等风险管理机制，对申报程序、审批权限和奖惩有明确的规定。

3、本公司拥有健全的会计核算、财务管理系统，并借助 ORACLE 财务信息系统，对公司的会计核算和重大财务决策实行统一管理.

4、为满足本公司上市地有关法规监管的要求，本公司成立萨班斯法案内部控制项目小组和公司内部监控项目小组，完成了对销售、航材、飞机和发动机、其他固定资产、成本费用、资金和投资、人力资源、运行控制、财务报告和一般信息技术控制等业务主流程和相应业务子流程的记录、测试和缺陷整改工作,评估涵盖了与财务报告有关的所有重要业务流程.对于内部监控评估中发现的内控缺陷

和改善机会，公司管理层给予了充分的重视,并进行了积极地整改、重新记录和测试。公司管理层认为,2006 年度本公司实行的内部控制制度已充分体现其效能。\"

2007年证监会对《公开发行证券的公司信息披露内容与格式准则第2号<年度报告的内容与格式〉》进行修订，其中公司治理结构部分第三十条规定，公司应该说明生产经营控制、财务管理控制、信息披露控制等内部控制制度的建立和健全情况。同时鼓励央企控股的、金融类及其它有条件的上市公司披露董事会出具的、经审计机构核实评价的公司内部控制自我评估报告。2008年6月28日财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》。执行该规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。在2007-2009年的年报中南方航空在监事会报告及公司治理

部分披露了公司内部控制制度的建立健全情况，并发布了经审计机构核实评价的内部控制自我评价报告。此阶段的内部控制信息披露内容主要根据《企业内部控制基本规范》、《上海证券交易所上市公司内部控制制度指引》编制。会计师事务所对内部控制评价报告的评价是在审计财务报表的过程中按照审计准许中了解被审计单位内部控制的有关要求，了解与审计单位财务报表相关的内部控制。上述了解内部控制和控制测试并不是对内部控制的专门审核,也不是专为发现内部控制缺陷、欺诈及舞弊而进行的.

（以下为截取的监事会报告正文）

“在过去的一年中，公司决策程序合法,建立了较为完善的内部控制制度，运作规范，公司董事、总经理及其他高级管理人员尽职尽责,认真执行股东大会和董事会的决议，完成了公司年度生产经营目标。未发现上述人员在执行公司职务时有违反法律、法规和《公司章程》或损害公司利益和股东权益的行为.”

2001年12月，中国证券监督管理委员会发布了《公开发行证券的公司信息披露内容与格式准则第2号<年度报告的内容与格式>》(2001 年修订稿),其中第四十二条规定，在年度报告正文中,监事会应对“公司决策程序是否合法，是否建立完善的内部控制制度，公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为”发表独立意见.南方航空2007—2009年年报中的监事会报告披露的内容显然是为了符合该准则的要求。

2010年年报中南方航空不仅在公司治理部分披露了公司内部控制制度的建立健全情况并发布经审计机构核实评价的内部控制自我评价报告,还首次披露了董事会对于内部控制责任的声明，以及监事会对内部控制自我评价报告的审阅情况.

2010年4月26日，财政部、证监会、审计署、银监会、保监会等五部委联合发布了《企业内部控制配套指引》。执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。自2011年起南方航空开始公布独立的内部控制评价报告和内部控制审计报告。

2014年1月3日证监会与财政部联合发布《公开发行证券的公司信息披露编报规则指引第21号—年度内部控制评价报告的一般规定》。该规定明确了内部控制评价报告构成要素，并针对核心构成要素逐一说明了需要披露的主要内容及相关要求。南方航空按照《年度内部控制评价报告的一般规定》中年度内部控制评价报告披露参考格式披露了2013年、2014年的内部控制评价报告。但实际披露内容并未完全符合《一般规定》的要求.《一般规定》要求公司应当区分财务报告内部控制和非财务报告内部控制，按照重大缺陷、重要缺陷和一般缺陷分别描述公司内部控制缺陷认定的定量和定性标准。但南航在2013年内部控制评价报告缺陷认定的定性标准中仅含糊的写道：“定性标准指涉及业务性质的严重程度，根据其直接或潜在影响的性质、影响的范围，控制偏差的频率是否较高,产生该缺陷的成因(是否主要是人为，是否涉及管理层舞弊）等因素确定”,并没有说明具体的定性标准。2014年年末南航爆出腐败窝案,多名公司高管涉嫌职务犯罪被立案调查,其中更是包括已任职14年的公司财务总监。在2014年内部控制自我评价中,南航更改了定性标准的表述，删除“涉及管理层舞弊\"这一影响因素，并再次做出了内部控制无重大缺陷、重要缺陷的认定.可见在目前的内部控制信息披露环境下，企业存在避重就轻，逃避披露自身内部控制缺陷的问题。