前言

数字经济时代企业发展和投资决策对更全面和更高质量信息的需求更为迫切。基于此，本文旨在探讨我国企业在内部控制信息披露具体实践中存在的问题，为进一步完善企业内部控制信息披露制度以及结合新技术手段探索构建更高效和更具信息使用价值的信息披露系统提供参考。

一、我国企业内部控制信息披露制度

梳理了在不同发展阶段我国企业内部控制信息披露制度的代表性法规文件。经过十余年的发展，我国内部控制信息披露已从自愿披露阶段过渡到强制披露阶段，并初步形成了具有中国特色的内部控制规范体系。

自2014年以来与内部控制信息披露相关的制度规范并未发生重大更新，但与此相反的是，伴随着数字经济时代的发展，企业的商业模式和治理模式都发生了深刻变化，传统的内部控制规范体系已明显不能满足数据驱动和数字治理的新发展趋势对企业治理提出的新要求。除此之外，本文认为内部控制信息披露体制建设还存在以下不足。

1. 我国内部控制信息披露规范尚未上升到约束力强的法律层面，仍以部门规章为主。

美国企业内部控制信息披露主要依照2002年美国立法机构颁布的《萨班斯—奥克斯利法案》，而我国所建立的内部控制规范体系与之相比还有较大差别。

当前我国企业内部控制信息披露实践所参照的《企业内部控制基本规范》及其配套指引、《深圳证券交易所上市公司内部控制指引》和《上海证券交易所上市公司内部控制指引》尚未上升到法律层面，权威性和约束力较差，而《公司法》《证券法》等法律又仅简单规定了企业需要建立健全内部控制制度，并未对内部控制信息的强制性披露作出具体要求。

2. 不同部门出台的规范性文件在内部控制信息披露内容方面存在差异，存在多头监管的情况。

目前，我国内部控制信息披露的管制主体主要包括财政部、证监会、审计署与银保监会四部委，但不同部门出台的指引性文件对企业内部控制信息披露内容的要求并不相同。而且尚未有专门的法律法规对各政府职能部门的管制权力进行划分，不同职能部门之间存在标准不一、多头监管、重复监管等问题，尤其是对于金融行业，内部控制法规频繁出台，金融企业内部控制多头监管情况严重。

3. 管理层对内部控制信息披露内容存在较大的自由裁量权。

当前我国内部控制信息披露相关规定均为“原则导向型”而非“规则导向型”。具体而言，现行指引性文件虽然具体规定了内部控制评价报告以及审计报告应包含的内容，但基本是“原则导向”，赋予了企业管理层更多的自由裁量权。而且许多上市公司仅依据《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》的基本要求进行披露，并未基于内部控制五要素对内部控制建设的具体情况进行说明，大大降低了内部控制规范的实施效果，更加剧了企业内部控制信息披露内容流于形式、披露水平参差不齐的现象。

二、我国企业内部控制信息披露质量

1. 内部控制自我评价报告披露质量。

（1）内部控制信息披露水平和形式质量参差不齐。

虽然近年来我国企业内部控制信息披露水平总体呈上升趋势，但上市公司内部控制信息披露水平参差不齐。此外，还有部分企业名义上披露的是内部控制自我评价报告，实际上却是由会计师事务所出具的内部控制鉴证报告。这一低形式质量的现象更加突显了企业在实践过程中对内部控制信息披露的不重视、监管的不严格以及相关规范的非有效执行。

（2）内部控制信息披露的相关规定并未得到有效执行，披露内容不规范，内容质量有待提高。

由2009~2018年上市公司内部控制自我评价报告结论出具情况可知，在披露了内部控制自我评价报告的企业中，每年仍有部分公司并未明确给出关于该年度内部控制有效性的评价结果，而仅仅是避重就轻地用大篇幅文字描述内部控制建设情况。这说明内部控制信息披露的相关规定并未得到有效执行，在实践中企业存在选择性、倾向性披露内部控制信息的现象，这无疑降低了内部控制信息的参考价值。

（3）企业内部控制信息披露的倾向性选择行为明显降低了其传输质量和使用质量。

由2009~2018年上市公司内部控制有效性情况可知，在明确给出内部控制有效性评价结果的企业中，虽然被出具内部控制无效结论的企业比例从2009年的0提升到2018年的2.1%，但该比例依旧相当低，而且内部控制缺陷的认定比例也相对较低。

表面上看似乎我国企业的内部控制建设情况及其质量还不错，但频繁曝光的上市公司舞弊案无疑是对这一数据可靠性最直接的质疑，突显了企业在内部控制信息披露过程中对不利信息的隐瞒和选择性披露等问题，也更加突显了健全内部控制信息披露体系的重要性和迫切性。

（4）内部控制信息披露相关规范之间不统一。

由2009~2018年上市公司内部控制缺陷认定标准披露情况和内部控制缺陷整改情况可知，仍有部分企业未披露内部控制缺陷的认定标准和整改情况，而这不仅仅是因为现行内部控制信息披露相关规范未能得到切实执行，更多的是源于深交所和上交所对企业内部控制信息披露详尽程度方面的规定不同。虽然上交所和深交所都对内部控制自我评价报告应包含的内容作了规定，但在具体内容的规定上并不相同，这不仅影响了企业间内部控制信息的可比性，而且降低了内部控制信息的使用质量。

（5）内部控制缺陷整改质量有待提高。

仍有部分公司未采取措施对存在的缺陷进行整改，尤其是在被出具内部控制有效结论的公司和创业板上市公司中。其原因之一也是上交所和深交所关于内部控制自我评价报告内容要求的差异。这一情况显示出企业对内部控制缺陷的信息披露不够重视，倾向于流于形式、应付性地完成对内部控制制度建设及其有效性的描述，而不充分披露其他实质性信息。

（6）旧标尺与新经济的冲突可能导致数据使用质量下降。

当无形资产、数字资产、专利等经济活动在新经济中越来越重要，而上市公司内部控制评价依据不统一、披露格式不规范、监管不到位、信息披露懈怠等大环境尚无改善时，就会进一步加剧现行会计系统和内部控制系统的“无力感”。内部控制信息的使用质量与形式质量、内容质量和传输质量是一脉相承的，提高内部控制信息使用质量更需从源头改善其形式质量和内容质量。

2. 内部控制审计报告的披露质量。

（1）内部控制信息审计的相关规范未获得有效实施，内部控制审计报告形式质量仍有待提高。仍有不少企业并未在指定渠道披露相关内部控制报告，部分企业要么只披露内部控制自我评价报告，要么只披露内部控制审计报告或内部控制鉴证报告，说明我国与内部控制信息审计的相关规范在实践中并未得到有效执行。

（2）混淆内部控制审计报告和内部控制鉴证报告，数据收集与整理不规范、不严谨，内部控制审计报告传递质量和使用质量有待提高。内部控制审计报告格式不规范，并且对相关风险事项或强调事项缺乏详细表述，内容过于简单，缺乏实质性内容。

三、提升企业内部控制信息披露质量的建议

上文的分析指出了我国企业内部控制信息披露制度体系存在的问题，同时发现了实践中企业内部控制信息披露在形式质量、内容质量、传输质量以及使用质量四个方面存在的不足。为进一步规范我国企业内部控制信息披露实践，提高内部控制制度的执行效果，本文针对上述问题提出如下建议：

1. 建立企业内部控制规范体系和信息披露体系适时调整的动态机制，提高企业内部控制信息披露的内容质量和使用质量。监管部门应充分利用大数据技术，捕捉企业发展实践中的新问题、新需求，不断完善内部控制自我评价报告和审计报告的具体披露指引，对各行业中亟需关注的业务风险点作出更多具体规定，分行业制定财务报告及非财务报告内部控制缺陷的认定标准，增加企业对内部控制五要素控制措施、执行情况以及具体缺陷信息的披露，缩小企业对披露内容选择的空间，强化内部控制信息披露在改进企业内部控制建设和提升财务报告质量与有效性方面的作用。

2. 修订和完善内部控制相关法规，提升内部控制信息披露规范的法律地位。从法律层面清晰地界定相关实施主体和监管主体的责任边界对于提升我国内部控制信息披露质量尤为重要。同时，要注意充分利用新技术手段加强各部门之间信息的互联互通，保持法律与各部门规章之间的统筹协调，解决不同法规及指引性文件中对于内部控制评价范围规定的矛盾之处，协调内部控制信息披露的内容、范围以及口径，降低企业内部控制及其信息披露执行难度，并明确不同监管部门在企业内部控制建设和内部控制信息披露监管中的责任，避免由于责任不明确引起的多头监管以及重复监管引致的监管懈怠，进而影响内部控制信息披露质量。

3. 加强对企业内部控制自我评价报告与审计报告的形式审查，促进内部控制报告形式质量的提升。清晰界定内部控制信息披露的责任主体以及第三方审计机构的监督责任，企业和第三方审计机构应端正对企业内部控制自我评价报告和审计报告的态度，增强关于及时披露内部控制相关报告重要性的意识，避免以内部控制鉴证报告替代内部控制自我评价报告和审计报告等低级形式错误的发生。

4. 积极推进内部控制信息披露的评价体系、披露违规的惩罚机制和赔偿机制建设。可尝试结合大数据、云计算、智能化等新技术手段，通过划分内部控制信息披露质量的等级或将其纳入绩效考核的范围，激发企业主动完善内部控制信息披露体系以及奖惩体系的积极性。同时，加大对延迟、不出具、隐藏或虚假披露等违规行为的惩处力度，提高企业违规披露的成本和法律震慑力。

结语

内部控制信息披露是企业向投资者披露其内部经营管理信息的重要渠道，有效的内部控制信息披露体制对于防范和预警企业经营风险具有重要作用。虽然相关监管部门不断加强对企业内部控制体制建设及信息披露方面的监管，但我国企业内部控制体制和信息披露体系的不足，在近年来频频曝光的财务造假案中暴露得淋漓尽致，这表明我国内部控制规范体系、相关的信息披露制度以及内部控制信息披露实践的有效性还有待进一步的检验和分析。

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。