摘要:内部控制审计作为会计师事务所开展的重要鉴证业务,对于促进企业内部控制建设和完善发挥了积极作用。自2024年开始,我国所有的上市公司都要求实施内部控制审计,披露内部控制审计报告。本文基于这一契机,梳理了2024年上市公司执行内部控制审计情况,分析企业和会计师事务所在执行内部控制审计过程中存在的问题,并提出相应改进建议。
关键词:内部控制审计;会计师事务所;内部控制;披露;审计意见
我国上市公司2024年内部控制审计情况分析
王兵 符清妍 郭梦遥 黎怡然 向鸿宇│南京大学会计学系
2023年12月,财政部、中国证监会发布《关于强化上市公司及拟上市企业内部控制建设 推进内部控制评价和审计的通知》,要求创业板和北京证券交易所上市公司自2024年年报开始披露内部控制审计报告。至此,从2024年开始,我国所有上市公司都要求披露内部控制审计报告。为全面、深入了解我国上市公司执行企业内部控制审计情况,本文梳理了上海证券交易所、深圳证券交易所、北京证券交易所上市公司公开披露的2024年年度内部控制审计报告和年度报告等公开资料,对我国上市公司2024年内部控制审计情况进行分析。
一、上市公司执行企业内部控制审计情况分析
(一)内部控制审计执行情况
本文选取截至2025年4月30日前在沪、深、北证券交易所A股上市的5 406家上市公司为研究对象,对上市公司内部控制审计情况进行分析。2024年度,沪、深、北证券交易所中共有5 398家A股上市公司聘请会计师事务所进行内部控制审计并披露内部控制审计报告,占比99.9%,仅余8家公司未披露内部控制审计报告,占比0.1%。
(二)内部控制审计报告意见情况
2024年,5 398家披露了内部控制审计报告的上市公司中,有5 243家公司内部控制审计意见为标准无保留意见,占比为97.1%;155家被出具非标准无保留意见,占比为2.9%。其中,111家为带强调事项段的无保留意见,占比2.1%;6家为无法表示意见,占比0.1%;38家为否定意见,占比0.7%。
(三)内部控制审计缺陷披露情况
2024年度,共有155家上市公司披露存在内部控制审计缺陷,占披露内部控制审计报告公司总数量的2.9%。对155家披露存在内部控制缺陷的上市公司进一步分析发现:从缺陷等级来看,56家上市公司披露存在重大缺陷,5家披露存在重要缺陷,2家披露存在一般缺陷,1家披露同时存在重大缺陷和重要缺陷,91家未区分缺陷等级。
从设计缺陷/运行缺陷性质来看,140家上市公司仅存在运行缺陷,占比90.3%;2家仅存在设计缺陷,占比1.3%;6家既存在运行缺陷又存在设计缺陷,占比3.9%;6家未区分,占比3.9%。从财务报告缺陷/非财务报告缺陷性质来看,72家上市公司仅存在非财务报告缺陷,占比46.5%;56家仅存在财务报告缺陷,占比36.1%;20家兼有财务报告缺陷和非财务报告缺陷,占比12.9%;6家未区分,占比3.9%。
(四)内部控制审计缺陷内容分析
从内部控制五要素角度看,2024年度内部控制审计缺陷分析显示,控制活动要素存在的问题最为普遍,存在控制活动要素缺陷的公司数量占披露存在内部控制缺陷的上市公司总数量的比值高达83.9%。其他要素存在问题占比依次为:信息与沟通(63.2%)、内部监督(52.3%)、控制环境(25.8%)和风险评估(16.1%)。
对缺陷涉及的具体内容进行分析发现,2024年度上市公司内部控制审计缺陷主要集中在关联交易、财务报告、资金活动、信息披露、销售业务、合同管理、投资、采购业务、担保业务、用章管理等领域。
与2023年相比,2024年上市公司前十大内部控制薄弱环节格局呈现显著变化,关联交易、资金活动、销售业务依旧是内部控制缺陷高发领域。其中,关联交易缺陷问题加剧,跃升为首位,主要体现在关联方识别偏差、定价不公允、审批失效及信息披露滞后等方面;资金活动缺陷发生次数显著减少,排名由首位降至第三位,但非经营性资金占用等历史风险仍持续存在;销售业务风险排名与占比大幅上升,在收入确认、应收账款管理、合同审价等环节暴露出明显漏洞。
(五)内部控制审计费用情况分析
1.上市公司内部控制审计费用披露情况。2024年上市公司内部控制审计费用整体披露率较高,不同证券交易所披露差异较大。2024年披露了内部控制审计报告的5 398家上市公司中,有4 065家公司披露了内部控制审计费用的具体金额,占比75.3%;1 333家公司未披露内部控制审计费用的具体金额,占比24.7%。
2.上市公司内部控制审计费用金额情况。披露内部控制审计费用的公司中,不同证券交易所公司在内部控制审计费用的规模、均值及费用结构占比等方面也存在差异。披露内部控制审计费用的4 065家公司平均内部控制审计费用在33.8万元,内部控制审计费用占审计费用总额平均比重为17.9%。
从证券交易所角度分析上市公司内部控制审计费用数额情况,上交所2 235家披露内部控制审计费用的公司中,平均内部控制审计费用在39.1万元,占该上市公司本年度所有审计费用总额(指企业向会计师事务所支付的全部审计费用)的比重为18.1%。深交所1 829家披露主体平均内部控制审计费用在27.2万元,占审计费用总额的比重为17.4%。北交所仅1家公司披露数据,其内部控制审计费用为20万元,占审计费用总额比重为28.6%。由于北交所样本量小,暂不具备板块代表性。上交所与深交所的内部控制审计费用占审计总费用比重相对趋同,接近样本平均水平。
(六)内部控制审计年限情况
2024年5 398家披露内部控制审计报告的公司中,均完整披露实施内部控制审计的会计师事务所名称,依据逐年披露的会计师事务所信息统计出各公司会计师事务所内部控制连续审计年限。上交所披露内部控制审计的2 274家公司中,由同一家会计师事务所开展内部控制审计最长年限为13年,平均内部控制审计年限为4.2年;深交所披露内部控制审计的2 859家公司中,由同一家会计师事务所开展内部控制审计最长年限为14年,平均内部控制审计年限为2.9年;北交所披露内部控制审计的265家公司中,最长年限为4年,平均内部控制审计年限为1.4年。三家证券交易所板块公司的最短内部控制审计年限均为1年,表明部分公司在2024年度可能出于首次内部控制审计、强制轮换或其他经营原因,聘用或改聘了实施内部控制审计的会计师事务所。
(七)内部控制审计市场分析
1.会计师事务所开展内部控制审计业务排名。
(1)按内部控制审计客户数量排名。2024年为A股上市公司提供内部控制审计的会计师事务所共62家,按照客户数量排序,排名前三的分别为立信会计师事务所、天健会计师事务所以及容诚会计师事务所,2024年内部控制审计客户数量分别为760、760和517家,共占样本客户总量的37.7%。“四大”国际会计师事务所仅安永华明会计师事务所进入前十名,位居第10名,共进行153家A股上市公司的内部控制审计,反映出本土机构在A股内部控制审计领域优势显著。
(2)按内部控制审计客户收费排名。2024年为A股上市公司提供内部控制审计且披露费用的会计师事务所共59家,按照客户收费总和排序,前三家分别为立信会计师事务所、天健会计师事务所以及容诚会计师事务所,2024年内部控制审计客户收费总和分别为1.7亿元、1.6亿元以及1.1亿元。“四大”国际会计师事务所中,毕马威华振会计师事务所、安永华明会计师事务所以及德勤华永会计师事务所均进入2024年内部控制审计客户收费总和前十名,分别位于第4、5、10位。
2.会计师事务所开展内部控制审计与财务报表整合审计情况分析。2024年,披露了内部控制审计单位的5 398家A股上市公司中,有5 378家公司为整合审计,占比99.6%;有20家为非整合审计(上交所和深交所各10家),占比0.4%。2024年整合审计占比相比2023年(98.7%)略有提高。上市公司将内部控制审计与财务报表审计进行整合审计,能够通过协同实施风险评估、控制测试及实质性程序,在提高审计效率、降低审计成本的同时,确保两者审计结论相互印证,更全面地保障财务报告可靠性与内部控制有效性,为投资者等利益相关方提供更具一致性的合理保证。
3.上市公司内部控制审计单位变更情况。从2024年上市公司内部控制审计会计师事务所相对2023年的变更情况看,2024年和2023年均披露了内部控制审计会计师事务所的公司共4 297家,其中3 315家公司内部控制审计单位未发生变更,占比77.1%,982家上市公司更换了内部控制审计会计师事务所,占比22.9%,上交所、深交所、北交所分别有504、464、14家公司,分别占比51.3%、47.3%、1.4%。上市公司变更内部控制审计会计师事务所是履行法定监督职责的必要举措,旨在通过独立第三方轮换确保内部控制审计的客观性与有效性,防范长期合作可能引发的独立性缺失。
二、上市公司执行内部控制审计存在的主要问题
(一)上市公司内部控制问题屡禁不止
自2008年《企业内部控制基本规范》发布以来,监管部门不断强化对上市公司内部控制的监督、评价和鉴证要求,但直至今日,一些企业内部控制问题依然严重,表现在:(1)部分企业财务报告信息失真,无法公允反映实际情况。一些企业试图通过虚增营收、利润等关键财务数据营造经营良好的假象,从而吸引投资者投资或者满足监管要求。(2)信息披露质量低下成为企业治理的一大顽疾。部分上市公司刻意隐匿资金占用、关联交易等关键信息,加剧了信息不对称与市场信任缺失。(3)部分企业存在决策程序空转、监督责任旁落等现象。当前,上市公司内部控制体系仍然存在一定的形式化倾向,部分企业的管理层将内部控制建设视为应付监管审查的“书面作业”,而非提升经营质效的管理工具。2024年度数据显示,在155家披露存在内部控制缺陷的公司中,近20%的公司存在治理结构不健全、董事会监督失效等控制环境问题。(4)部分企业存在“纸面合规”倾向,在编写完成相关内部控制制度后束之高阁,未能将其真正融入企业运营管理流程。
(二)内部控制审计披露形式与规范性问题
1.个别上市公司未能按期披露内部控制审计报告。2024年度,A股上市公司内部控制审计报告的总体披露情况虽较2023年度有较大改善,但仍有8家上市公司未能在2025年4月30日前按规定披露2024年度内部控制审计报告,5家公司公告称无法在法定期限内完成披露。
2.上市公司内部控制审计费用披露不规范。在披露了内部控制审计报告的上市公司中,有24.7%的公司未独立披露内部控制审计的具体金额。深交所超过三分之一的上市公司未予披露内部控制审计费用。在首次强制披露内部控制审计报告的北交所上市公司中,由于成本保密、合并披露口径模糊、执行偏差等因素,99.6%的公司未披露内部控制审计费用,可能严重损害信息透明度。
(三)内部控制审计披露内容与充分性问题
1.部分上市公司内部控制审计结论与内部控制评价结论不一致。2024年内部控制自评有效而被审计师认定存在内部控制重要缺陷、重大缺陷的上市公司共有24家,并且部分上市公司内部控制评价报告中未提及该缺陷。内部控制审计与内部控制评价结论的不一致,可能影响报告使用者对企业内部控制真实情况的判断。
2.上市公司对缺陷影响及整改情况披露不充分。部分上市公司在披露缺陷时仅作现象描述,并未说明实际影响程度及影响范围,降低了内部控制缺陷信息披露的风险预警价值,阻碍了后续风险的准确评估。此外,上市公司普遍存在内部控制缺陷的整改情况披露不充分、缺乏整改有效性验证的情况。
三、会计师事务所在内部控制审计执行过程中存在的问题
(一)内部控制审计结果与缺陷等级认定披露不充分
部分被出具非标准无保留审计意见的上市公司,其内部控制审计报告中对缺陷的描述过于笼统,缺乏具体细节和证据支撑,如未说明缺陷的发生频次、涉及金额范围等关键信息,弱化了内部控制审计报告的风险提示功能。具体来看,2024年度内部控制审计被出具非标准无保留意见的155家上市公司中:有6家未提供相关的内部控制审计意见说明;85家未明确区分缺陷等级,且对缺陷等级评估依据的披露较为薄弱,未能准确划分重大缺陷、重要缺陷与一般缺陷;其余64家虽披露了内部控制缺陷等级,但部分审计报告未解释缺陷等级的判定依据。
(二)内部控制审计意见类型模糊且强调事项段使用不恰当
会计师事务所对个别上市公司出具的内部控制审计意见模棱两可,未给出准确的内部控制审计意见。例如,H公司的内部控制审计报告意见类型为标准无保留意见,但在“内部控制审计结果说明”段中提醒报告使用者公司部分交易事项未履行审议程序、未及时披露,受到中国证券监督管理委员会河北监管局警示函行政监管措施。而在内部控制审计报告中的强调事项段方面,则存在使用不恰当的问题。一是个别内部控制审计报告将非财务报告重大缺陷作为强调事项披露,而未单独增加非财务报告内部控制重大缺陷描述段,混淆了非财务报告内部控制重大缺陷描述段与强调事项段的差异。二是个别内部控制审计报告将财务报告重大缺陷作为强调事项段,审计意见类型不合理。
四、有关建议
(一)企业层面
1.强化内部控制制度建设,持续改进企业内部控制运行。企业应加强和完善内部控制制度建设,在业务关键环节如合同签订、发票开具等方面完善控制活动,杜绝伪造合同、虚开发票等虚构业务行为。企业可以建立“信息披露清单”,明确需披露事项的范围、时限和责任部门,确保关键信息能够及时有效披露,从而更好地解决资金占用、关联交易等关键信息隐匿问题。管理层应当以身作则,加强内部环境建设,公开、持续地传达内部控制重要性,将合规要求嵌入绩效考核,发挥示范效应。企业可以定期开展内部控制测评,通过问卷调查、访谈等方式,了解员工对内部控制制度的认知度、执行意愿及具体执行中存在的问题,基于评估结果分层次地开展整改活动,推动内部制度有效运行。
2.不断提升企业内部控制审计信息披露质量。企业应加强对内部控制审计相关规范和制度的培训,熟悉监管部门对内部控制审计的相关要求,按时披露内部控制审计报告,不断提高内部控制审计信息披露质量。企业应明确披露内部控制审计收费和内部控制缺陷影响等事宜,内部控制审计收费是反映和评价会计师事务所开展内部控制审计活动和质量的重要方面,应公开披露。对于内部控制缺陷的影响和整改情况,也是投资者和其他关联方非常关注的信息,企业应客观准确披露。另外,在企业内部控制自评价活动与会计师事务所披露的内部控制结论不一致时,应作解释和说明,让投资者了解差异的原因。
3.重视企业内部控制审计缺陷和整改活动。开展内部控制自我评价和会计师事务所内部控制审计的目的在于发现企业内部控制缺陷,降低内部控制漏洞,减少其对企业经营活动的负面影响。因此,对于企业在自评价活动或者会计师事务所内部控制鉴证中发现的内部控制审计缺陷和问题,管理层应高度重视,深入分析根本原因,对症下药地制定涵盖制度修订、系统升级、人员培训、权责调整、文化建设等在内的系统性整改方案,并在整改后进行有效性测试和持续监控,消除内部控制缺陷给企业造成的危害和损失。
(二)会计师事务所层面
1.提高注册会计师专业胜任能力。会计师事务所应当不断强化内部控制审计指引培训,帮助审计人员准确把握内部控制审计要求,提升专业胜任能力。例如,定期结合典型案例开展专项培训,培养审计团队对于控制缺陷高发领域的熟悉度,增强内部控制缺陷识别敏感性,明确内部控制审计报告披露要求。
2.改进内部控制审计报告质量。会计师事务所在出具的内部控制审计报告中应完善缺陷认定以及披露细节。条件允许下,可结合定量、定性标准来认定缺陷等级,并在披露时注明缺陷认定的标准,增加披露说服力。披露缺陷时应详细披露缺陷细节,包括涉及的金额区间、业务环节,以及该缺陷可能产生的后续影响等。会计师事务所在出具内部控制审计意见时应准确恰当,不能含糊不清,更不能避重就轻。应根据内部控制审计指引的要求,结合被审计单位内部控制缺陷情况,恰当出具内部控制审计意见,使得内部控制审计意见类型和意见描述保持一致。
[1]北京证监局课题组.北京辖区会计师事务所2019年度内部控制审计执业情况的分析报告[J].财务与会计,2021,(18):21-23.
[2]陈伟昌,舒伟,常众月.政府财会监督与大股东“掏空”——基于财政部会计信息质量检查的证据[J].当代会计评论,2025,2(2):64-99.
[3]Kravet, T., S. McVay,D. Weber. Costs and Benefits of Internal Control Audits: Evidence from M&A Transactions[J].Review of Accounting Studies, 2018, 23(4):1389-1423.
《财务与会计》
纸刊
《财务与会计》
电子刊
声明:“财务与会计”微信公众号刊载此文,是出于传递更多信息之目的。若文章、图片等来源标注错误或侵犯了您的合法权益,欢迎致电010-88227092,我们将及时更正、删除或依法处理。
学习/创造/分享
分享财务与会计之美
