摘要：

企业内控规范体系2012年1月1日起将在沪深两市主板上市公司全面施行。经过近些年的制度建设,  我国企业内部控制的制度建设与信息披露情况如何, 是企业利益相关者密切关注的问题。文章选取中国平安进行个案剖析, 对其2006年至2011年的内控信息,  从制度执行、内控信息披露内容的变化等方面, 分析其内部控制信息披露状况, 为更广泛地实施企业内控规范体系提供一定的借鉴作用。

关键词：保险公司;内部控制;信息披露;

作者简介：朱幼凤 (1972—) , 女, 湖北孝感人, 注册会计师, 浙江树人大学副教授,  研究方向:企业内部控制。

一、引言

保险业是经营风险的行业, 不仅具有高风险的特点, 而且其经营具有广泛的社会性, 与社会公众利益密切相关, 同时作为现代金融业的三大支柱之一,  对资本市场也影响巨大, 因此政府对其监管较一般行业更为严格, 管理部门对上市保险公司的内部控制尤为关注,  在内控信息披露方面提出高于一般上市公司的特殊要求。

对于保险业来说, 内控信息披露不仅可以解决市场信息不对称的问题, 同时可以保障投保人、被保险人和受益人的合法权益,  进一步完善保险公司治理结构、提高保险市场效率。保险公司内部控制信息披露的制度要求, 最早源于证监会2000年颁布的《公开发行证券公司信息披露编报规则  (第3号保险公司招股说明书内容与格式特别规定) 》, 要求保险公司在招股说明书中对内控制度的完整性、合理性和有效性作出了说明,  并委托会计师事务所出具内控评价报告。这之后不同的监管部门陆续出台针对企业年度内部控制信息披露的制度要求,  最重要的是财政部等五部委2008年颁布的《企业内部控制基本规范》及2010年颁布的《企业内部控制配套指引》。至此我国企业内控规范体系基本建成,  该体系于2011年1月1日起首先在境内外同时上市的公司施行, 2012年1月1日起扩大到在沪深两市主板上市公司施行。经过这些年的内控信息披露制度建设,  我国上市公司执行制度的情况到底如何, 值得我们好好的总结与剖析。金融保险行业的内控建设及内控信息披露往往走在前列,  中国平安作为在A股上市的保险公司中最早披露内控自我评估报告的公司, 具有代表意义。文章选择其进行个案剖析, 以期在一定程度上反映企业内控信息披露的状况,  为更广泛地实施企业内控规范体系提供一定的借鉴。

二、制度梳理

有关内部控制信息披露的相关制度较多, 这些规定有些是不同的部门颁布的, 有些是同一个部门颁布的对旧有规定的补充解释;对于同一个企业来说,  可能既适用于这个部门颁布的规定, 又适用于那个部门颁布的规定。而不同部分颁布的规范, 对同一个问题的要求往往又不统一。因此要分析企业对具体内控规范的执行情况,  必须对相关制度做梳理, 表1即作者对保险公司需要遵循的内部控制信息披露制度的整理。

通过上述制度的梳理, 我们可以总结出上市公司内控信息的披露主要来自于年报中的以下部分内容: (一) 年报中监事会就内控发表独立意见; (二)  2006年年报中“重要事项”部分对公司内控建立健全情况的说明; (三) 年报中“公司治理结构”章节的“内部控制制度的建立与健全情况”部分; (四) 内控自我评估  (评价) 报告 (以下简称“内控报告”) 及审核 (审计) 报告, 该报告最初做为年报的附件一起报送披露, 2011年起上交所要求单独披露。

三、中国平安历年内控信息披露情况

中国平安是我国的第一家股份制保险企业, 2004年在香港上市, 2007年回归A股市场,  在上海证券交易所上市。该公司从2006年起披露A股年报, 因此文章选取其2006年至2011年披露的年度内部控制信息进行分析。

1.从2006年年报起,  监事会就内控发表独立意见。中国平安每年的表述基本一样:公司制定了较为完整、合理、有效的内部控制制度。

2.2006年, 在年报“重要事项”部分说明公司内部控制及制度建设情况,  主要内容有:公司对内控建设的基本评价;公司在合规管理、稽核监察、制度建设三方面的工作情况。

3.从2007年年报起,  在“公司治理”部分新增“内部控制制度的建立与健全情况”内容。2007年该部分内容与内控自我评估报告中的前言部分表述一样,  说明公司当年内控架构改革取得的成效;2008年、2009年该部分内容丰满起来, 两年的内容、结构基本一致,  层次清楚地说明了公司内部控制的目标、内控责任主体及内控组织架构及其变革、当年公司内控建设的主要工作及内控自我评价结论;2010年与2011年该部分内容、结构两年基本一致,  主要说明了公司内控的基本体系、当年内控建设的主要工作及内控自我评价结论。

4.内控报告及审核报告。

从2007年起, 作为年报的附件披露内部控制自我评估报告与会计师事务所出具的内部控制审核报告;2010年,  “内控自我评估报告”更名为“内部控制评价报告”, 并从此后以单独报告的形式披露;2011年, “内控审核报告”更名为“内部控制审计报告”。

中国平安是最早发布内控报告的保险公司, 其五年的内控报告在内容形式上有较大变化。2007年报告的内容,  基本遵照《上海证券交易所上市公司内部控制指引》的要求, 主要为四部分:

(一) 公司内控基本情况; (二) 内控检查监督工作的情况及对2007年工作计划完成情况的评价; (三)  内控制度及其实施过程中出现的重大风险及其处理情况; (四) 完善内控制度的措施及2008年内控工作计划。2008年报告的内容,  基本遵照《保险公司内部审计指引》的要求, 主要为五部分: (一) 公司内控基本情况; (二) 本年度内控检查监督完成情况及评价; (三) 本年度完善内控的措施  (四) 目前内控存在的问题和缺陷; (五) 下年度改进内控的计划。这两年的内控评估报告,  均详细地披露了公司内部控制五要素情况、公司内控存在的问题及下一年度的内控工作计划, 因此内容冗长, 算上附件达到二、三十页的长度。从2009年起,  内控自我评估报告的格式与内容发生较大变化, 内容大大简化, 不再对内控的五要素进行详细披露, 不再公布下一年度的内控工作计划,  也没有披露非重大缺陷;2010年与2011年的报告内控与格式,  基本遵照《上市公司实施企业内部控制规范体系监管问题解答》中的参考格式。但其2011年的内控报告并没有遵照上交所的要求提供公司内控相关情况的附件。表2是对中国平安历年内控报告具体内容的比较。

归纳表2, 中国平安内控报告披露项目具体内容的变化主要体现在以下四个方面:

(1)  内控责任主体。2007年未披露内控责任主体;2008与2009年责任主体认定为“董事会及管理层”;2010年起调整为“董事会。”内部控制由谁负责,  关系到内部控制能否发挥实效。内控责任主体, 在美国是公司高级管理层, 在英国则是董事会。我国的《企业内部控制基本规范》及其的后的配套指引,  都没有明确说明企业内部控制的责任主体。财政部与证监会对我国境内外同时上市公司2011年执行企业内控规范体系情况进行分析,  统计有96%的公司认定责任主体为董事会, 1%认定为董事会及管理层, 而还有3%未明确。这个数据说明,  在我国认为董事会是内控责任主体逐渐成为主流观点。另一方面也说明我国制度亟需对其作出统一规定。

(2)  内控目标。2007年内控报告没有明确说明企业的内控目标;2008年与2009年内控报告披露的内控目标为“合理保证企业经营管理合法合规、维护资产安全、保证财务报告及相关信息真实完整、提高经营效率效果、促进企业实现发展战略”,  即《企业内部控制基本规范》中确定的内部控制五目标;2010年起调整为以财务报告相关内部控制目标作为公司内部控制目标,  表述为“财务报告相关内部控制的目标是保证财务报告信息真实完整和可靠、防范重大错报风险”。这种变化实际体现的是内部控制评价的内容范围之争:是针对财务报告可靠性的内部控制报告还是完整的内部控制报告?财务报告内部控制相当于COSO报告中内部控制概念的子集。在美国,  内部控制评价和报告局限于财务报告内部控制;在英国, 董事会则需要对整个内部控制系统的有效性进行评价。而我国不同的部门对此做出了不同的选择,  财政部在《企业内部控制规范体系实施中相关问题解释第1号》中, 将其定位为完整的内部控制评价;而证监会在《上市公司实施企业内部控制规范体系监管问题解答》中,  将其定位为财务报告内部控制评价。这种制度的不统一使得企业可以选择性的执行规范, 导致信息纵向、横向都会缺乏可比性。

(3)  内控缺陷的披露。内控缺陷披露的内容应该包括内控缺陷认定标准、内控缺陷具体内容、对企业的影响及其整改措施。公司没有披露过内控缺陷的认定标准;2007年与2008年的内控报告均披露四条具体的内控缺陷,  并提出完善内控的措施;从2009年起, 公司没有披露过具体缺陷内容, 2009年表述为“未发现公司存在内部控制设计或执行方面尚未整改的重大缺陷”,  2010年表述为“我公司在内部控制自我评价过程中关注到的非财务报告相关的内部控制缺陷情况均为控制类一般缺陷”,  2011年的表述基本同2010年。公司2009年对内控缺陷的披露是一种消极的表述, 而随后两年也并没有自愿披露内控一般缺陷的内容,  内控缺陷相关信息是中国平安信息披露中最弱的部分, 虽然这部分内容是投资者最为关注的信息。

(4) 内控评价结果的表述。2007年的内控报告并没有对公司内控的有效性明确发表意见;2008年与2009年的表述基本一样,  “自本年度1月1日起至本报告期末止,  本公司内部控制制度是健全的、执行是有效的。”2010年起内控评价结果的表述发生变化:“董事会已按照《企业内部控制基本规范》要求对财务报告相关内部控制进行了评价,  并认为其在12月31 (基准日) 有效。”这里涉及的是两个变化, 一是随着内控评价内容范围由全面的内部控制缩小为财务报告的内部控制,  其评价结论自然调整为对财务报告内部控制有效性的认定;二是内控评价时间范围的变化, 由针对某一时期的内部控制调整为针对某一时点的内部控制评价。对于这个时间范围,  不同的专家对此有不同的看法,  但2010的《企业内部控制评价指引》对此作出了明确规定:企业应当以12月31日作为年度内部控制评价报告的基准日。

四、研究结论

(一) 披露的内控信息较好地反映了中国平安不断发展完善的内控建设工作

一方面, 体现在其内控组织架构的改革优化, 风险管理理念的不断深入。仔细阅读分析中国平安历年披露的内部控制信息,  可以看出公司的内控组织架构在不断改革优化, 公司对内部控制的认识与理解在逐年提升, 风险管理理念逐渐建立。2007年公司开始内控架构改革,  设立内部控制管理中心, 作为集团统一的内控管理机构。同时改革稽核监察架构, 建立稽核垂直管理体制。当年其内控自我评估报告提到四方面的内控重大风险,  其中一点就是:“公司现有内控制度、流程的制定, 均以符合外部法律法规和监管部门要求为基础,  未充分考虑制度、流程的设计及其实施的效率。内控体系建设应在合规的前提下提倡提高经营效率、促效益、促发展”。可见合规管理是公司当时主要内控目标。2008公司新设风险管理部,  实现对风险的事中管控, 着手构建合规、风险管理、法律、稽核监察及业务单位的风险信息沟通与反馈机制, 建立风险预警系统,  风险管理理念显现。2009年公司推动全面风险管理体系的建设, 推进机构风险评级和管理层评价工作,  建设风险导向的内部控制体系。2010年公司审计委员会更名为“审计与风险管理委员会”, 整合升级内控体系, 提出“以制度为基础, 以风险为导向, 以流程为纽带,  以内控平台系统为抓手”的思路, 强化事前风险管控, 搭建集团层面全面检视评估、并表量化管理的风险报告体系, 推进风险导向稽核管理,  强化了企业的风险管控。2011年公司风险管理委员会改名为“风险监控委员会”, 公司建立起覆盖各专业公司及业务线的风险管理组织体系,  稽核工作的重点转向对风险控制有效性及风险管控效果的评估。中国平安的风险管理理念更加明确与突出, 体现了内部控制与风险管理的逐渐融合。

另一方面, 体现在其内控评价体系的不断完善。2007年的内控报告在下一年度的内控工作计划部分提到, 企业要建立全面自我评估机制,  可以看作是其内控评价工作的开端;2008年的内控报告披露, 公司推动实施《企业内部控制基本规范》遵循项目, 确定了内控范围, 制定了风险评估方法和标准,  但尚未确定内控自评工作具体流程、使用的评估模型及穿行测试方法, 内控自我评估体系待进一步完善;2009年的年报披露,  公司确立了内控自我评估工作流程、方法和模板, 形成流程图、控制矩阵、自评手册等;2010年的年报披露, 公司构建了内控评价系统平台,  确立基本的内控评价日常化运作机制, 即合规部门推动业务部门进行内控自我评价, 风险管理部门进行内控风险评估, 稽核监察部门进行内控独立评价,  外部审计师对公司内控状况进行审计。这些披露的信息较清晰地展现了中国平安内控评价体系的建立与发展过程。

(二) 公司较好地执行了相关内控信息披露制度, 但还存在制度执行不到位等问题

对照内部控制信息披露的相关制度, 总体上来看, 中国平安从2006年披露A股年报起, 能够按照相关规范的要求披露企业内部控制的相关信息,  制度执行较好。2007年4月保监会发布《保险公司内部审计指引 (试行) 》,  要求保险公司内部审计部门应当每年对公司内部控制的健全性、合理性和有效性进行全面评估, 出具内部控制评估报告,  但只是报送保监会;2007年12月证监会发布《公开发行证券公司信息披露的内容与格式准则第2号 (2007修订稿) 》,  鼓励央企控股的、金融类等上市公司披露经审计机构核实评价的内控报告;2008年上交所《关于做好上市公司2008年报工作的通知》中, 要求金融类公司披露内控报告,  鼓励其聘请审计机构对公司内部控制进行核实评价;企业内控规范体系于2011年1月1日起首先在境内外同时上市的公司施行。内控报告与内控审核报告是内控信息披露最重要的部分,  中国平安于2007年按照上交所内控指引的内容开始自愿披露, 一直延续, 没有中断。

然而, 进一步分析发现,  中国平安在制度执行中存在两方面问题。一是制度执行不到位。2011年上交所规定:“公司应以附件的形式披露格式指引规定以外的公司内部控制的相关情况,  包括但不限于实施内部控制评价的总体情况、所采用的程序和方法等 (评价小组的组成, 评价所采用的程序和所花费的时间, 借助中介机构或外部专家的情况,  工作底稿的编制, 收集被评价单位内部控制设计和有效运行证据的方法, 重大缺陷、重要缺陷和一般缺陷认定的标准等) ”, 但平安并没有附件随同内控报告披露,  使得其2011年的内控报告信息含量严重不足。二是选择性执行制度。从表2-1可以看出, 有关内控信息披露的制度频出, 而且政出多门,  不门监管部门对同一个问题的解释与操作存在不统一的情况,  这就给予了公司选择执行成本较低、对公司有利的制度的可能。如2010年保监会颁布《保险公司内部控制基本准则》, 是从行业的层面对企业内控基本规范的细化,  准则要求保险公司根据监管部门的评价标准, 对内部控制进行评分, 根据评分确定评价等级。保监会对企业内控评价的量化要求, 难度与成本都较内控评价指引高,  公司2010年的内控报告选择性地执行企业内控评价指引, 而并没有执行更具体行业特点的《保险公司内部控制基本准则》,  当年只有中国太保是按保监会的要求披露内控报告的。又如2011年度内控报告, 证监会与财政部有不同的要求, 财政部要求提供的内控信息含量更为全面,  更为投资者关注, 但企业当年选择执行的是证监会的规定。

(三) 内控信息质量尚待提升

1. 有用信息不足。

信息质量的高低, 取决于对信息使用者的有用程度。从中国平安五年披露的内控报告来看, 评估报告形式上是越来越规范了, 但有用信息却并没有增加,  甚至还有减少, 信息使用者真正关心的问题不披露或披露较少, 比如企业内控缺陷的认定标准。该标准是内控评价中的基础性和关键性问题, 对于确定内控缺陷,  进而对内控缺陷进行整改都有着非常重要的影响, 2011年我国境内外同时上市的67家公司中只有32家公司详细描述了公司内控缺陷认定标准。在制度层面上,  管理部门一方面应该制定更具操作性的内控缺陷认定标准, 另一方面必须加强对企业信息披露的监管和处罚, 促使企业提升信息质量。

2. 信息披露不全面, 披露的基本上是正面信息。

对于信息使用者关注的内控缺陷, 既没披露公司具体的认定标准,  从2009年起也不再详细披露公司存在非重大内控缺陷及改进措施等。再如《保险公司内部控制基本准则》要求公司在评估报告中披露上一年度发生的违规行为和风险事件及其处理结果,  但并没有一家公司披露过, 当然这并不是因为它们没有违规行为。

3. 信息冗余, 无用信息过多。

如年报中公司治理结构部分对公司内部控制制度的建立和健全情况的披露, 表述空泛, 类似工作总结, 重点不突出, 无用信息过多, 可读性较差,  妨碍了有效信息的传递。

作者：朱幼凤 浙江树人大学管理学院

参考文献

[1] 财政部会计司、证监会会计部.我国境内外同时上市公司2011年执行企业内控规范体系情况分析报告——基于2011年内控评价报告、内控审计报告的分析[R].2012.  

[2] 杨有红, 汪薇.2006年沪市公司内部控制信息披露研究[J].会计研究,  2008 (3) . 

[3] 胡燕, 晓芳.论企业内部控制自我评价体系的构建[J].北京工商大学学报,  2009 (6) . 

[4] 方红星,  孙翯.交叉上市保险公司内部控制信息披露及其市场反应——基于中国人寿和中国平安的经验研究[J].财经问题研究, 2009 (8) . 

[5] 周勤业, 王啸.美国内部控制信息披露的发展及其借鉴[J].会计研究, 2005  (2) .