近日，财政部会计司副司长胡克明在北京市企业内部控制工作经验交流大会上表示，财政部和有关部门将制定《内控解释3号》，支持鼓励企业披露内控缺陷。胡克明称，目前有关部门正组织企业及专家研究分行业的内部控制操作指南和内部控制缺陷的认定标准，逐步完善持续推动内部规范体系的有效实施，争取在年内推出有关指引措施。

     推动内控规范的有效贯彻实施，是“十二五”期间的重要任务之一，而在已有的内控规范体系的基础上如何提高企业披露内控缺陷的质量，是企业内控披露所面临的新课题。

    内控缺陷披露不能只看形式

    深圳迪博企业风险管理技术有限公司在近日发布的《中国上市公司内部控制白皮书》中指出，今年4月30日前，在沪、深证券交易所A股上市并已披露2011年年报的2340家公司中，有156家上市公司在内部控制自我评价报告中披露其存在内部控制缺陷，占比6.67%，有2184家未披露内部控制缺陷，占比93.33%。在披露内部控制缺陷的上市公司中，有3家披露了重大缺陷，有11家披露了重要缺陷，有149家披露了一般缺陷。

     如何恰当地披露内控缺陷是企业在实际工作中的一个难点。财政部会计司有关人士称：“企业披露内控缺陷应该客观看待，不能说披露越多越好，也不能说不披露就一点问题也没有。”业内专家称，鼓励企业披露内控缺陷关键看其披露的质量和参考价值。

今年9月，财政部联合五部委发布了《我国境内外同时上市公司2011年执行企业内控规范体系情况分析报告》（以下简称《分析报告》）。67家境内外同时上市公司中有超过七成的公司存内控缺陷，其中新华制药存在重大缺陷。《分析报告》涉及的内控缺陷主要包括设计缺陷和运行缺陷、公司层面缺陷和业务控制层面缺陷、信息系统控制方面的缺陷、按公司的经济活动进行划分的缺陷、与财务报告相关的缺陷和与非财务报告相关的内控缺陷五大类。

相关数据显示，上述为67家公司完全由审计部门作为负责部门开展内控评价工作的公司有26家，占比39%；以审计部门作为主要负责部门，联合其他业务部门开展内控评价工作的公司共有14家，占比21%；完全由内控或风险部门负责内控评价工作的公司有5家，占比7%。可以看出，上述企业中完全由内控或风险部门负责内控评价的比例非常低。

据了解，绝大多数企业的内控报告和审计报告仍然出于同一家事务所。上述公司中年度财务报告和内部控制经同一家会计师事务所审计的有64家，仅有3家公司分别聘请不同的会计师事务所为公司提供年度财务报告审计服务和内控审计服务。

中国内部控制研究中心的一份研究报告指出，随着我国上市公司内部控制评价报告披露比例呈逐年上升趋势，上市公司内部控制水平与股票超额收益率之间存在正相关关系，内部控制好的上市公司给投资者回报也越多。

业内人士表示，企业进行高质量的内部控制报告披露能够从三方面受益。首先，企业通过披露内控信息，能够借以审视自身财务报告及相关信息的可靠性和资产的安全完整性。其次，企业只有较为全面地披露内控信息，才能更好地督促自身保证对外提供财务信息的真实性、可靠性及增加信息披露的透明度。最后，高质量的内部控制报告披露能够为企业创造价值。只有高度重视公司治理结构、注重企业的内控机制建设的企业，才能通过确定合理分权、相互制衡的结构关系和运作方式，形成有序规范的运行机制，不断增强公司参与竞争和防范经营风险的能力。

深圳迪博公司认为，尽管2011年上市公司披露内部控制缺陷的比例已有显着提升，但是我国当前上市公司内部控制缺陷自愿性披露仍处于起步阶段，内控缺陷的整体披露水平较低，内部控制缺陷的信息含量较差。导致这一现象的主要原因在于我国上市公司内控缺陷披露的动机主要来自于监管层的监管压力，其主动披露内部控制缺陷的动机较弱，同时注册会计师内部控制审计尚未发挥足够的外部治理作用。

     缺乏细则影响内控信息披露质量

“企业内部控制评价指引体系并没有针对对商业银行的核心业务流程拟定专门的指引，这些核心业务流程包括存款业务、贷款业务、资金业务、中间业务等。”毕马威咨询公司在一份研究报告中指出，内控缺陷认定缺乏细则是影响企业内控信息披露质量的主要原因之一。

     每个行业面临的风险各不相同，例如在银行业，信用风险、流动性风险、利率风险、汇率风险、操作风险、合规风险是最主要的六大风险。而在房地产业，最受关注的风险依次是政策风险、融资风险、竞争风险、管理风险、市场需求风险、项目管理风险等。从这个角度上看，对不同的行业而言，目前的内控缺陷认定办法过于笼统。内控缺陷认定办法应该根据行业、企业的类型给出示范性模板，才有利于企业自我披露内控缺陷工作的开展。

“从上述《分析报告》公布的‘内控缺陷披露汇总表’中的缺陷来看，可以发现各企业描述的缺陷有的很具体、很细节，有的很笼统、很抽象。这也表明在操作层面企业对内控缺陷有着不同的理解，在这方面监管机构很难提出统一的标准。”业内人士表示。（待续）

对此，毕马威咨询公司建议，企业内部控制规范的18项应用指引涵盖了制造企业常见的重要业务领域，但是对具体企业来说，肯定会存在一些应用指引无法涵盖的业务活动。因此企业需要根据基本规范和应用指引的总体原则和企业实际的风险情况，对自身业务、风险和内部控制进行详细梳理，而不能仅仅依赖应用指引进行内控体系建设。

多年从事企业内控咨询业务的上海阅洲企业管理咨询有限公司合伙人冯萌接受本报记者采访时表示，基于目前我国的国情来看，出台内控标准是有价值的，至少它可以让希望完善内控企业找到依据。“但是从根本上来看，企业内控的最终完善还是要靠企业自身需求来推动。从监管层的角度，应该出台更加细致的、考虑行业特征的内控指引，由有需求的企业‘自由选择’。至于企业间的相互交流，当然也是非常可取的形式。”冯萌说。

专业的风险内控人员缺口仍然很大

企业风险内控管理是一个系统而科学的管理体系，其对从业的人员的个人素质和专业能力有很高的要求。由于开展内控架构建设的第一年工作量往往特别大，对企业人员的要求也相对较高，很多企业就是由于这“第一步”没有迈开而在内控建设的路上夭折。

“目前的状况是，我国80%以上的企业缺少专业的风险内控人员，一些企业的风险内控工作难免流于形式。”一位业内人士透露。

普华永道中国金融业市场主管合伙人吴卫军认为：“会计师事务所应该站在企业的角度，将内部控制审计与财务报表审计结合起来进行，不但能有助于降低企业的审计成本，节省企业的时间及人工投入，更有助于企业完善与财务报告相关流程的管理，促进企业财务报告信息质量的提升。”

据悉，提高相关人员素质，需要将审计人才的培养和企业内控风险管理人才的培养结合起来，审计工作者在对企业的风险内控工作进行审计时，需要逐渐改变传统的审计方法，应在事前就对企业出台一系列审计指导意见。企业的相关人员也要知晓如何做内控报告才能符合审计要求，一方面提高企业风险内控审计通过率，另一方面提升企业自身的风险内控水平。

信息化平台不够健全是企业内部控制披露质量较低的另一个调整。只有真正建立了实用的内控措施的企业，才能做到高质量的内控披露。一方面，很多企业的信息系统尚不健全，无法及时为公司的业务提供良好地反应和支持，导致了企业业务信息和财务系统的脱节，容易造成安全漏洞，另一方面，部分企业处于利用人工流程的便捷和灵活性，内部控制信息系统的建设缺乏必要的认识。

金蝶软件总部资源中心风控咨询总监张孝昆在接受本报记者采访时以金蝶软件公司举例说，金蝶拥有一套自己开发的企业管控系统，包括上层风险管理，内部建设，持续的内部评价，智能监控，内部审计几方面的设计，这就基本上建立了由风险控制部门主导的内控监督体系。相比之下，一些企业的内部控制还停留在人工操作、填表单的项目上，离全面信息化的监控还有很长一段距离。即使是开始信息化建设的企业，很多也停留在财务报告、采购等部分环节局部的信息化操作和内部控制监督上，而没有展开全面的内控。

不过，业内人士建议，信息化的优点是固化流程、快速复制。企业在内控建设过程中，应首先完成基础性的制度建设、流程的优化和调整，确保其顺畅运行的条件下，再去谈信息化建设。如果基础的内控工作都没做好，就贸然信息化，希望通过信息化建设来代替内控建设过程，则是比较冒险的，两方面可能都做不好。

企业内部控制规范体系的贯彻实施是一项复杂的系统工程，需要企业、会计师事务所、有关政府监管部门高度重视，形成以企业实施为主题、注册会计师审计为保障、政府监管为推动的“三方联动”运行机制。

笔者期盼《内控解释3号》的出台，能够将企业内控缺陷自我披露的质量推进一步，逐步缩小我国企业的内控建设与国际水平的差距。