证券时报多媒体数字报

  财政部会计司 证监会会计部

  ２０１０年４月２６日，财政部、证监会、审计署、银监会和保监会联合发布《企业内部控制配套指引》，标志着融合国际先进经验、结合中国实际的企业内控规范体系基本建成。为确保企业内控规范体系顺利推进实施，财政部等五部委确定，企业内控规范体系自２０１１年１月１日起首先在境内外同时上市的公司施行。按照要求，境内外同时上市公司在２０１１年会计年度结束后，应随年度报告一同披露企业内部控制评价报告以及内部控制审计报告。

  为了全面、深入了解境内外同时上市公司２０１１年实施企业内控规范体系的情况，更好地推动企业内控规范体系在更大范围内实施，财政部会计司会同证监会会计部联合开展了对我国境内外同时上市公司２０１１年执行企业内控规范体系情况的分析工作。我们希望通过此次分析掌握了解我国境内外同时上市公司的内控建设情况，相信该分析报告能在一定程度上反映我国内控建设的现状，从而为我国上交所、深交所主板上市公司及其他类别企业实施企业内控规范体系提供一定的借鉴。

  一、基本情况

  （一）样本选择与数据来源

  本报告所指境内外同时上市公司，是指既在我国境内资本市场上市，又在其他国家或地区证券市场上市的企业。境内外同时上市并非要求同步上市。按此标准，截至２０１０年１２月３１日，我国境内外同时上市的公司为６７家。这６７家公司按照要求，从２０１１年１月１日起，开始执行企业内控规范体系。

  本文所用６７家公司披露的内控评价报告、内部控制审计报告以及相关数据来自深交所、上交所网站以及Ｗind数据库和ＣＳＭＡＲ数据库，并经手工整理。

  （二）境内外同时上市公司特征分析

  境内外同时上市公司主要分布在制造业、交通运输业、金融保险业和采掘业，所占比例分别为４０．３％、１７．９％、１６．４％、１０．４％。制造业所占比例最大，其二级分类中，机械设备子行业所占比例最大，占所有境内外同时上市公司的１９．４％；其次是金属非金属行业，占比１０．４％。电力、建筑、信息技术所占比例均较小。房地产业和社会服务业都只有１家公司，分别是北辰实业和创业环保两家公司。

  ６７家公司２０１１年主营业务总收入为人民币１２１３２７亿元，约为我国２０１１年国内生产总值４７１５６４亿元的四分之一，可见６７家公司在我国国民经济中的重要地位。

  ６７家公司２０１１年主营业务收入全部超过人民币１亿元，为了准确衡量６７家公司的规模，我们按照２０１１年主营业务收入进行分类，分为主营业务收入少于１０亿元的大中型企业、１０亿元至１００亿元的大型企业、１００亿以上的特大型企业三类。

  根据６７家公司年报中披露的“公司基本情况”中有关公司上市信息或者股票简况等相关内容，６７家公司中，除中新药业（６００３２９）外，其他６６家公司均在内地Ａ股市场和香港Ｈ股市场上市。中新药业（６００３２９）在境内Ａ股市场和新加坡证券交易所市场上市，也有一些公司除在内地和香港上市外，还在美国和英国等证券市场上市。

  （三）境内外同时上市公司２０１１年年度财务报告、内控评价报告及内控审计报告的基本情况

  １、２０１１年年度财务报告、内控评价报告以及内控审计报告情况

  截至２０１２年４月３０日，６７家公司全部披露了２０１１年年度财务报告、内控评价报告以及内控审计报告。在６７份年度财务报告中，被注册会计师出具标准无保留意见审计报告的有６５份；被出具带强调事项段的无保留意见审计报告的有１份，为中国中冶（６０１６１８）；被出具保留意见审计报告的有１份，为ＳＴ科龙（０００９２１）。

  ６７份内控评价报告中，６６家公司对本公司的内控做出有效的结论；１家公司对本公司的内控做出无效的结论，即新华制药（０００７５６）。６７份内控审计报告中，６６家公司被出具标准无保留意见；新华制药（０００７５６）被出具否定意见。

  ２、年报审计事务所、内控审计事务所情况分析

  为６７家公司提供年度财务报告审计的事务所共１０家，其中“四大”会计师事务所审计的上市公司为４８家，占全部６７家公司的７１．６％；国内其他会计师事务所审计的上市公司为１９家，占全部６７家公司的２８．４％。

  为６７家公司提供内控审计的会计师事务所共１２家，其中“四大”审计的上市公司为４６家，占全部６７家公司的６８．７％；国内其他事务所审计的上市公司为２１家，占全部６７家公司的３１．３％。

  ６７家公司年度财务报告和内部控制经同一家会计师事务所审计的有６４家，占全部６７家公司的９５．５％，只有３家公司分别聘请不同的会计师事务所为公司提供年度财务报告审计服务和内控审计服务。

  二、研究分析

  （一）内部控制评价报告分析

  ６７家公司所披露的６７份内控评价报告在格式、内容等方面均存在较大差异，本报告将从以下１２个方面进一步分析。

  １、内部控制评价报告名称

  ６７家公司披露的内部控制评价报告从名称上来说，主要分为两类：一类名称如“ⅩⅩ公司２０１１年度内部控制评价报告”，这类报告有５４份，占８０．６％。另一类名称如“ⅩⅩ公司２０１１年度内部控制自我评价报告”，这类报告有１３份，占１９．４％。

  ２、内部控制责任主体认定

  ６７份内控评价报告中，６４家公司将内控的责任主体认定为董事会；１家公司将内控的责任主体认定为董事会及管理层，即中国石化（６０００２８）；２家公司（东北电气、宁沪高速）未在内控评价报告中明确具体的内部控制责任人。

  ３、内部控制目标

  ６７家公司在内控评价报告中全部披露了公司内部控制的目标，从披露的具体内容看，可以分为以下两类：

  （１）以财政部等五部委在《企业内部控制基本规范》中确定的内部控制五目标为公司内部控制目标的有４３家。其中１７家公司对内部控制目标的表述与《企业内部控制基本规范》相同；有９家公司对内部控制五目标作了进一步阐述。

  （２）以财务报告相关内部控制目标作为公司内部控制目标的有２４家公司。２４家公司确定的财务报告相关内部控制的目标差别很小，大多表述如“保证财务报告信息真实完整和可靠、防范重大风险”，也没有提及经营的合法合规性、资产的安全等目标。

  ４、内部控制评价的依据

  ６７家公司内控自评报告中，遵循的评价依据可以划分为三个方面：有关法律法规规定、规范性文件和交易所监管规则和其他自律性规定。

  ６７家公司全部披露《企业内部控制基本规范》是内部控制评价的依据，其中６１家公司披露其内部控制评价工作的依据是《企业内部控制基本规范》及其配套指引。这６１家公司中，包括具体的以评价指引或应用指引为依据的公司。

  ６７家公司中，有１４家上市公司在内控评价报告中披露的内控评价工作依据还包括其他法律法规或者规范性文件，占６７家公司的２０．９％。

  ５、具体负责组织实施内控评价工作的部门

  董事会负责建立健全并有效实施内部控制，在董事会及其下属专业委员会的授权下，由具体的部门或者组织负责内部控制评价的具体实施工作。虽然６７家公司负责组织实施内控评价工作的部门存在较大的差异，但是内控评价工作开展的组织形式相似度较高。

  ６、聘请外部咨询机构协助公司开展内控建设、内控评价情况

  ６７家公司中，有２５家公司在内控评价报告中披露聘请外部咨询机构协助公司开展内控评价、内控建设咨询，占比３７％；有９家公司在内控评价报告中披露未聘请外部咨询机构参与内控评价，占比１４％；有３３家公司在内控评价报告中并未披露公司是否聘请外部咨询机构，占比４９％。

  ７、内部控制五要素披露情况

  企业开展内控建设应该以内部控制五要素——内部环境、风险评估、控制活动、信息与沟通、内部监督为核心。６７家公司披露的内控评价报告中，对内控五要素的披露方式、内容等均有些差别。

  （１）控制环境

  控制环境是企业实施内部控制的基础，《企业内部控制应用指引》中控制环境类指引包括组织架构、发展战略、人力资源、社会责任和企业文化等指引。从６７家公司披露的情况来看，组织架构、发展战略、人力资源、社会责任和企业文化是企业开展内控环境建设的核心。

  （２）控制活动

  ６７家公司内控自评报告存在差异最大的是控制活动要素的披露内容。《企业内部控制配套指引》中以下９项内容涉及控制活动要素：资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包和财务报告。

  根据企业实际披露情况，本报告增加了非金融类企业７项内容，银行业１２项内容和保险业１项内容，并根据以上内容进行了进一步统计。

  （３）信息与沟通

  ６７份报告中，披露信息与沟通情况的企业共２９家，占总数量的４３．３％。如中联重科（０００１５７）从信息传递、信息系统控制、反舞弊程序三个方面披露信息与沟通工作；南京熊猫（６００７７５）则从内部信息沟通和外部信息沟通两方面披露信息与沟通工作；而部分公司则是简单描述，如“公司建立了较为完备的信息与沟通体系，内部控制相关信息的收集、处理和传递程序规范、运行顺畅，沟通及时有效，促进了内部控制的有效运行”。

  （４）风险评估

  风险的识别与评估是内控自评工作中的一个重要环节，在６７份报告中，披露风险评估情况的企业共３３家，占总数量的４９．３％。从披露的情况来看，在风险识别中，战略风险、财务风险、市场风险、运营风险、合规风险及舞弊风险是大多数企业特别关注的风险类型；银行业则主要按业务类型对风险进行划分。

  （５）内部监督

  在６７份报告中，披露内部监督情况的企业共３４家，占总数量的５０．７％。从披露的内部监督的情况来看，可以发现，诸多企业已经形成了以监事会、董事会及其下属审计委员会、审计部门为主的三级内控监督体系。《企业内部控制基本规范》要求有条件的企业设置专门的内控机构，但是从６７家公司披露的情况来看，很少有企业在评价报告中披露设置专门的内控机构。

  ８、内控自评采用的测试方法

  ６７份内控自评报告中，披露内控测试方法的企业共５６家，所采用的方法主要是以下六种基本方法：个别访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样。此外，少数企业用到制度审阅法、信息系统取证法等方法，但数量很少。

  ９、内控缺陷认定标准披露情况

  ６７家公司中，１３家上市公司未披露公司是否制定内控缺陷认定标准，５４家公司以不同形式、不同程度披露了公司存在内控缺陷认定标准。在这５４家公司中，有２２家公司披露其制定了内控缺陷认定标准，但是没有详细描述内控缺陷认定标准的具体情况；有３２家公司详细描述了公司内控缺陷认定标准，其中有２７家公司披露了定量与定性相结合的内控缺陷认定标准，有３家公司披露了定性认定标准，有２家公司披露了定量认定标准。

  尤其值得关注的是，只有东方航空在制定内控缺陷认定标准的同时，制定了公司整体内控有效性判断标准，明确了缺陷类型及数量与内部控制有效性结论的关系。

  １０、具体内控缺陷披露情况

  ６７家公司中，披露公司在报告期内存在内部控制缺陷的有４９家，未报告公司存在内控缺陷的有１８家。４９家披露存在内控缺陷的公司，主要包括以下４种情形：披露公司内控缺陷的个数与内控缺陷内容；仅披露公司内控缺陷的个数；仅披露公司内控缺陷内容；既不披露内控缺陷个数，也不披露公司内控缺陷内容，仅提及公司存在内控缺陷（一般缺陷或重要缺陷）。

  披露公司存在缺陷的４９家公司中，仅有１家公司披露其存在１个重大缺陷；２家公司分别披露其存在７个重要缺陷和１个重要缺陷；其余公司均仅披露存在一般缺陷，且缺陷的个数差异较大，个别公司披露多达１０００余个，少则只有１个。

  １１、内控缺陷整改披露情况

  ６７家公司中，有４９家公司以不同形式披露公司存在内控缺陷，其中４４家公司提出了整改计划、整改措施或者要求对缺陷进行整改，５家公司并未提出相应的整改方案或者措施。 ４４家提出内控缺陷整改方案、计划或者措施的公司，有的公司表述非常简单；有的公司则将每一类缺陷对应的指引、整改措施详细列出。

  （二）内部控制审计报告分析

  ６７份内控审计报告内容与审计指引提供的格式要求基本一致，仅存在部分细节上的差异。

  １、 ６７份内控审计报告中表述与审计指引提供的格式要求一致的方面

  （１）内部控制审计意见类型

  ６７份内控审计报告中，除新华制药（０００７５６）被出具否定意见外，其他６６份内控审计报告均被出具无保留审计意见。

  （２）发表审计意见的对象

  ６７份内控审计报告均在“注册会计师的责任”部分进行了说明，明确注册会计师的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。

  ２、 ６７份内控审计报告中表述与审计指引提供的格式要求不一致的方面

  （１）对于是否关注到公司与非财务报告相关部分存在重大缺陷

  ６７家公司披露的内部控制审计报告均未披露关注到公司与非财务报告相关的内部控制重大缺陷，其中６５份内部控制报告在披露时直接省略了第五部分“非财务报告内部控制的重大缺陷”的内容，而由天职国际会计师事务所有限公司出具的中海集运（６０１８６６）的内控审计报告、大信会计师事务有限公司出具的洛阳玻璃（６００８７６）的内控审计报告则包含这部分内容，具体描述如“在内部控制审计过程中，我们未注意到中海集运的非财务报告内部控制存在重大缺陷”。

  三、存在的问题

  总体上看，６７家公司２０１１年执行企业内控规范体系情况良好。但也应注意到，多数境内外同时上市公司的内控建设成果不是完全依靠２０１１年一年来实现的，其中相当一部分公司为适应境外资本市场的监管要求，几年前即已着手进行内部控制建设。国内主板上市公司和其他企业在借鉴这些先行企业所取得经验的同时，应充分考虑到这些差别。

  （一）企业内控规范体系实施过程中存在的问题

  １、企业内部对内部控制的认识有待提升

  从了解的情况看，部分公司对内部控制的认识仍停留在查漏补缺、应对监管的层面，没有意识到建立健全内控体系对防范风险、促进管理可能起到的有益作用，因而在内控建设过程中缺乏动力，导致企业内各层级人员在内控建设中局限于满足“合规”要求，不求完善；有些公司虽然成立了内部控制小组或委派内审部、内控部或财务部牵头负责内部控制相关工作，但是在内控建设初期对应投入的资源及相关保障仍缺乏有效认知；还有一些公司将内部控制体系建设和评价工作作为一项阶段性运动，控制要求形式化，未树立将内部控制要求与日常管理工作相结合的理念，对内控的认识和理解程度有待提升。

  ２、内控专业人才缺乏成为制约企业内控建设的瓶颈

  从部分公司的内控建设实践来看，人才缺乏已成为制约推进内控建设的瓶颈。很多内控部门负责人及实际工作人员是在“边建边学边摸索”；一些企业虽然建立了很好的在企业内部培养内控人才的机制，但毕竟人才的培养需要一个过程。这一问题随着２０１２年沪深交易所主板公司全面实施企业内部控制规范体系会愈加突出。

  ３、企业内部控制建设及评价仍需要方法上的指导

  内控基本规范及１８项应用指引针对内控建设的重要领域作出了原则性的规定，但公司在建设内控过程中仍面临一些困惑：一方面部分公司对以风险评估为基础的内控建设方法还较为陌生；另一方面应用指引是根据制造型企业特点总结提炼出的一般性指引，并没有兼顾不同行业特点，公司在建立内控过程中需要找到自身生产经营活动与应用指引的契合点。另外，对大部分公司来说，内部控制的自我评价也是一项全新的过程。评价指引针对内控评价的基本原则和程序提出了要求，但并未提供一套完整的方法体系。

  ４、内控评价报告信息有效性有待提升

  ６７家公司披露的２０１１年内控评价报告中，已有公司开始根据所在行业特点及自身实际情况披露个性化的风险类别及防范措施。但仍有部分公司在评价报告中披露的信息与自身生产经营特点和业务运行模式结合不足，公式化倾向较为明显，部分公司出于展示良好形象和工作成果的考虑，对内控要素、内控建设过程和成果进行了详细描述，而对于投资者真正希望了解的信息如存在的缺陷、未来的改进措施等则着墨较少，内控评价报告及相关信息披露传达的信息有效性有待提升。

  （二）中介机构在内控咨询及审计过程中存在的问题

  １、内控咨询中存在的问题

  （１）咨询机构人员素质、服务质量参差不齐

  目前，提供内控咨询业务的机构包括会计师事务所、管理咨询机构、信息技术企业和其他类型机构四类。除会计师事务所以外，其他一些综合性管理咨询机构、信息技术企业等因侧重点、执业经验及优势领域的不同，某些情况下与监管要求有一定的差距。一些专业性不强和低价咨询机构的存在，影响了内控咨询服务市场的健康发展。

  （２）咨询服务针对性不强，与企业管理结合度不够

  从实际情况看，一些咨询服务机构大都提供标准化内控建设模板，很少能够提供真正反映企业所处行业和管理特点的契合性服务。另外，有些咨询机构在项目执行过程中派出人员数量不足，难以保证协助公司建设完成符合实际管理需要的内控体系。

  ２、内控审计中存在的问题

  （１）对内控审计业务重视程度有待提升，技术标准及培训需进一步加强

  从对部分内控审计项目的调研情况看，不同会计师事务所在内控审计执业能力方面存在较大差别。有些会计师事务所对内控审计业务重视程度不够，其执业规范的完备程度、内控审计质量复核体系及对员工的培训方面均有待进一步加强。

  （２）内控审计团队人员结构有待完善，信息系统审计力量不足

  从部分审计项目情况看，一些会计师事务所信息系统审计团队建设还处于起步阶段，信息系统审计力量不足，内部控制审计中信息系统审计程序实施不够充分。相对比的是，绝大部分上市公司及其他企业有着较高程度的管理信息化水平。

  四、有关建议

  自２０１２年１月１日起，企业内部控制规范体系将扩大到在沪深两市主板上市公司施行。为更好地推动内控的建设与实施工作，提升我国企业内控水平，以下从标准制定及监管、企业、内控咨询及审计机构等层面提出建议。

  （一）标准制定及监管层面

  ２０１１年企业内控规范体系实施中存在的问题，有些是由于标准不够明确产生的，有些则是企业在执行中理解上存在偏差或执行不到位产生的。为促进内控建设，有必要从配套的法律法规、具体实施标准等方面进行进一步完善：

  １、推动相关法律法规的修订和完善，提升内控法律地位、强化监督检查和惩戒。相较于美国等国家，我国在法律层面并没有专门对内控建立的责任、义务加以规定的条款，也没有相关惩戒规定。建议推动修订和完善相关法律法规，增加有关企业建立健全内控体系的条款，明确企业内控建设的责任，对内控违法惩戒作出相应规定，并对会计师事务所和注册会计师出具内控审计报告的法律责任予以明确。

  ２、统一标准，协调处理现有规范不一致之处。针对现行规范体系中关于内控和风险管理、内控信息披露的不同要求，有必要对各部门现行的相关规章、文件进行梳理，协调处理相互间不协调之处，厘清内控建设与其他风险管理手段之间的关系，统一内控信息披露的内容，降低企业的遵循成本和执行难度。

  ３、制定出台行业操作指南及内控缺陷认定的通行做法。针对企业的实际情况和现实需求，相关监管部门应着手对一些典型行业进行调查，了解这些行业的具体运作特点、共性风险和行之有效的控制措施，并在此基础上制定发布分行业的内控操作指南和内控缺陷认定的通行做法，为企业开展内控建设和内控评价工作提供更加具有参考价值和指导意义的标准。

  ４、研究探索内控人才培养机制。

  （二）企业层面

  企业应注重解决以下几个方面问题：

  １、提高认识，加强组织领导和资源配备。企业高层领导应提高对内控工作的重视程度，在内控建设过程中身体力行地推动。与此同时，要积极建立健全内控实施组织体系，并明确各个管理层次的内控职责和权限，为企业内控建设提供强有力的组织保障。

  ２、合理利用外部力量，注重内控建设与企业自身情况的结合。企业在内控建设过程中，可以适当借助外部咨询机构协助开展工作，但应避免过于依赖外部机构。外部经验只能适当借鉴，不能完全照搬。

  ３、注重实效，摸索内控建设规律的同时逐步实现内控水平的提升。企业在内控建设过程中要结合自身实际，有重点地开展内控建设和评价，将内控建设的各项工作落到实处。企业应注重内控建设的实效，避免因为赶进度而使内控建设流于形式，企业内有关部门应结合企业管理实际确定内控实施的时间表。

  ４、注重内控评价体系的建立，增强评价工作的科学性。企业应建立健全内控评价工作的组织和方法体系，确保内控评价工作由独立性较强的部门承担，或建立由高级管理层领导的独立内控自评机构，并在逐步的内控运行和评价过程中加以调整和完善。

  ５、推进信息化建设，促进内控手段固化和落地。企业应立足实际，结合行业性质和业务特点，推进内控管理制度化、制度流程化、流程信息化，有效完善内控管理系统，促进企业管理水平整体提高。

  （三）内控咨询及审计机构层面

  内控建设与实施，离不开中介机构作用的发挥。结合前期一些中介机构在提供内控咨询和审计服务中存在的问题，相关中介机构应从以下几方面着力改进：

  １、建设一流团队，提供优质服务。

  ２、保持独立性，提升执业质量。

  ３、维持合理的收费水平，避免低价竞争。

  （报告执笔和审稿人：杨敏、贾文勤、欧阳宗书、胡兴国、焦晓宁、路子尧、韩冰、王洪华、李静、司婉玲、王永超、王炜）