根據財政部、證監會、審計署、銀監會和保監會聯合頒布的《企業內部控制基本規範》及其配套指引，以及財政部、證監會發佈的《關於2012年主機板上市公司分類分批實施企業內部控制規範體系的通知》（財辦會〔2012〕30號）的要求，我國企業內部控制規範體系自2011年1月1日起首先在境內外同時上市的公司施行，2012年實施範圍擴大到國有控股主機板上市公司，2013年進一步擴大到一定規模以上非國有控股主機板上市公司。為了全面、深入了解我國上市公司實施企業內部控制規範體系情況，財政部、證監會聯合山東財經大學，跟蹤分析了2013年滬深兩市所有公開披露的年度內部控制評價報告、內部控制審計報告、年度報告等公開資料，結合我國上市公司2011年、2012年實施企業內部控制規範體系情況，以及財政部和證監會在推動內部控制規範體系實施和日常監管工作中掌握的有關情況，形成了《我國上市公司2013年實施企業內部控制規範體系情況分析報告》（以下簡稱“本報告”）。

　　一、2013年我國上市公司實施企業內部控制規範體系基本情況

　　（一）總體披露情況

　　截至2013年12月31日，滬、深交易所共有上市公司2489家，其中，滬市上市公司953家，深市上市公司1536家。

　　2013年，共有2312家上市公司披露了內部控制評價報告，佔上市公司總數的92.89%，數量及比例均比2012年有所提高。其中滬市781家，佔滬市上市公司的81.95%，深市1531家，佔深市上市公司的99.67%；主機板上市公司1256家，中小板上市公司701家，創業板上市公司355家。

　　在2312家披露內部控制評價報告的上市公司中，2287家內部控制評價的結論為有效；9家公司的財務報告內控有效，非財務報告內控無效；8家公司的財務報告內控無效，非財務報告內控有效；6家公司的財務報告內控和非財務報告內控均無效；2家公司未出具內部控制有效性結論。

　　在2312家披露內部控制評價報告的上市公司中，428家披露了內部控制缺陷，佔比18.51%，其中31家披露了內部控制重大缺陷，37家披露了內部控制重要缺陷，377家披露了內部控制一般缺陷；1884家未披露內部控制缺陷，佔比81.49%。

　　披露內部控制缺陷的428家上市公司共披露缺陷1021項，其中重大缺陷51項，佔比5%；重要缺陷76項，佔比7.44%；一般缺陷894項，佔比87.56%。

　　2013年，共有1816家上市公司聘請會計師事務所對內部控制的有效性進行審計或者鑒證，佔72.96%。其中，1802家上市公司披露了內部控制審計或鑒證報告，佔上市公司總數的72.40%，較2012年61.48%的比例有較大增長；10家上市公司披露內部控制審計意見，但未披露內部控制審計或鑒證報告；4家上市公司既未披露內部控制審計意見，也未披露內部控制審計或鑒證報告。

　　在披露內部控制審計意見的1812家公司中，標準無保留意見1753家，佔比96.74%；非標準意見59家，佔比3.26%，其中，帶強調事項段和（或）非財務報告重大缺陷的無保留意見43家，否定意見13家，無法表示意見1家，保留意見2家。非標準無保留意見的類型、數量和比例均比去年有所增加。

　　（二）納入實施範圍上市公司內控規範體系實施情況

　　根據財政部、證監會《關於2012年主機板上市公司分類分批實施企業內部控制規範體系的通知》（財辦會〔2012〕30號）要求，境內外同時上市公司、中央和地方國有控股主機板上市公司，以及非國有控股主機板上市公司，且于2011年12月31日公司總市值（證監會演算法）在50億元以上，同時2009年至2011年平均凈利潤在3000萬元以上的，應在披露2013年公司年報的同時，披露董事會對公司內部控制的自我評價報告以及註冊會計師出具的財務報告內部控制審計報告。經統計，2013年納入實施範圍的上市公司共1052家。其中，2013年新納入實施範圍204家。

　　1.納入實施範圍上市公司的總體情況

　　在納入實施範圍的1052家公司中，滬市有716家，深市有336家；A股有1036家，B股有16家；國有上市公司有857家，非國有上市公司有195家；銷售收入低於1億元的有9家，銷售收入大於1億元小于10億元的有158家，銷售收入大於10億元小于100億元的有603家，銷售收入大於100億元的有282家；被ST或PT的上市公司有28家。

　　2.內部控制評價報告披露情況

　　2013年，納入實施範圍的1052家上市公司全部披露了內部控制評價報告。其中，1038家上市公司內部控制評價結論為有效，佔比98.57%；8家公司的財務報告內控有效，非財務報告內控無效，分別為農産品（000061）、川化股份（000155）、瀘天化（000912）、廣匯能源（600256）、*ST亞星（600319）、金晶科技（600586）、*ST三毛（600689）、光大證券（601788）；5家公司的財務報告內控無效，非財務報告內控有效，分別為上海家化（600315）、五洲交通（600368）、風神股份（600469）、西部礦業（601168）、*ST銳電（601558）；大有能源（600403）的財務報告內控和非財務報告內控均無效。

　　披露內部控制評價報告的1052家上市公司中，1012家披露了內部控制缺陷認定標準，其中987家上市公司明確了財務報告內控缺陷認定標準和非財務報告內控缺陷認定標準，25家上市公司未區分財務報告和非財務報告內控缺陷認定標準。40家上市公司未披露內部控制缺陷認定標準。

　　披露內部控制評價報告的1052家上市公司中，披露內部控制缺陷的上市公司272家，佔比25.86%。其中，116家上市公司區分財務報告和非財務報告披露內部控制缺陷；156家上市公司未區分財務報告和非財務報告披露內部控制缺陷。780家上市公司未披露內部控制缺陷，佔比74.14%。

　　區分財務報告和非財務報告披露內部控制缺陷的116家上市公司中，披露財務報告內部控制重大缺陷的上市公司有6家，披露財務報告內部控制重要缺陷的上市公司有15家，披露財務報告內部控制一般缺陷的上市公司有38家；披露非財務報告內部控制重大缺陷的上市公司有11家；披露非財務報告內部控制重要缺陷的上市公司有21家，披露非財務報告內部控制一般缺陷的上市公司有64家。未區分財務報告和非財務報告披露內部控制缺陷的156家上市公司披露內部控制缺陷的基本為一般缺陷。

　　在披露內部控制缺陷的272家上市公司中， 65家披露了內部控制缺陷的具體內容，共披露內部控制缺陷162個，其中控制活動缺陷112個，內部環境缺陷18個，資訊與溝通缺陷13個，風險評估缺陷11個，內部監督缺陷8個。缺陷數量由多到少排列分別是：控制活動的授權審批控制缺陷(32個)、會計系統控制缺陷(32個)、財産保護控制缺陷(18個)、運作分析控制缺陷(15個)，風險評估缺陷(11個)和資訊與溝通缺陷(11個)。

　　3.內部控制審計報告披露情況

　　截至2014年4月30日，在2013年納入實施範圍的1052家上市公司中，有1049家上市公司披露了內部控制審計報告，其餘3家上市公司僅在年度報告中披露內部控制審計意見，但並未披露內部控制審計報告。其中，標準無保留意見1005家，佔比95.53%；非標準意見47家，佔比4.47%。在非標準意見中，否定意見9家，帶強調事項段的無保留意見33家，披露非財務報告內部控制重大缺陷的無保留意見8家。

　　2013年，共有39傢具有證券期貨業務資格的會計師事務所為納入實施範圍的1052家上市公司提供了內部控制審計業務。其中，前十大事務所執行內部控制審計業務的上市公司家數佔總市場份額的66.25%，內部控制審計業務市場集中度比較高。

　　2013年，納入實施範圍的1052家上市公司中，1032家採用整合審計的方式開展內部控制審計和財務報表審計，佔比98.1%，20家單獨實施內部控制審計，佔比1.9%。

　　2013年，納入實施範圍的1052家上市公司中，109家公司的內部控制審計機構發生了變更，佔比10.35%，其中有102家上市公司基於整合審計的考慮，同步變更了內部控制審計機構和財務報告審計機構。

　　在納入實施範圍的1052家上市公司中，內部控制審計意見類型基本與財務報表審計意見類型保持一致。財務報表被出具非標準無保留意見、同時內部控制被出具非標準無保留意見的公司有18家。

　　2013年，納入實施範圍的1052家上市公司中，單獨披露內部控制審計費用的上市公司為849家，佔80.70%。披露內部控制審計費用的849家公司中，內部控制審計費用的均值為58.24萬元。方大炭素（600516）支付的審計費用最低，為6萬元，中國銀行（601988）支付的審計費用最高，為1500萬元。

　　（三）未納入實施範圍上市公司內控規範體系實施情況

　　2013年，未納入內部控制規範體系實施範圍的上市公司有1437家，其中的1260家上市公司自願披露了內部控制評價報告，佔比87.68%，較2012年的84.87%有所增加。自願披露內控評價報告的1260家公司中，主機板有210家，佔比16.67%；中小板695家，佔比55.16%；創業板355家，佔比28.17%。

　　2013年，所有自願披露的1257家上市公司披露的內部控制有效性結論均為有效；2012年，有2家自願披露的上市公司披露的內部控制有效性結論為無效。

　　自願披露內部控制評價報告的1260家上市公司中，492家上市公司未披露內部控制缺陷認定標準，佔比39.04%，而納入實施範圍上市公司中未披露內控缺陷認定標準的公司比例僅為3.8%，這在一定程度上説明納入實施範圍上市公司內控資訊披露品質較高。未納入實施範圍自願披露內部控制缺陷認定標準的主機板上市公司比例與中小板上市公司比例差別不大，但明顯優於創業板上市公司的披露比例。

　　自願披露內部控制評價報告的1260家上市公司中，披露內部控制缺陷的上市公司有156家，佔比12.41%，納入實施範圍上市公司披露內部控制缺陷的公司佔比為25.86%；區分財務報告和非財務報告披露內部控制缺陷的上市公司有70家，佔比5.57%，相比而言，納入實施範圍上市公司佔比為11.03%。未納入實施範圍披露內部控制缺陷的主機板上市公司比例明顯高於中小板和創業板上市公司，中小板上市公司的披露比例略高於創業板上市公司的披露比例。

　　2013年，未納入內部控制規範體系實施範圍的1437家上市公司中，有756家披露了內部控制審計報告，佔比51.88%，較2012年41.66%有所增加。其中，主機板71家，佔比9.39%；中小板472家，佔比62.43%；創業板213家，佔比28.18%。

　　在未納入內部控制規範體系實施範圍的1432家上市公司中，有761家披露了內控審計意見，其中標準無保留意見為749家，帶強調事項段的無保留意見為5家，保留意見2家，否定意見為4家，無法表示意見1家。

　　在761家披露內控審計意見的上市公司中，698家未披露內部控制審計費用，僅63家單獨披露了內部控制審計費用，其中，羅普斯金（002333）支付的審計費用最低，為2萬元，蘇寧雲商（002024）支付的審計最高，為220萬元。

　　二、企業內部控制規範體系實施以來取得的成效

　　總體來看，企業內部控制規範體系自發佈實施以來，實施範圍不斷擴大，實施效果逐年顯現，有效提升了企業的經營管理水準及風險防範和應對能力，有力保護了投資者權益和公眾利益。

　　（一）政府監管部門聯合行動，積極推動我國上市公司和中央企業貫徹實施企業內部控制規範體系

　　近年來，財政部、證監會等部門精心組織、週密安排，密切跟蹤內部控制規範實施過程中反映出來的各種突出問題，採取多種措施積極推動我國上市公司和國有大中型企業施行企業內部控制規範體系。一是按照“總結經驗、穩步推進”的原則，在2011年首先選擇內控體系較為健全的境內外同時上市公司開展試點的基礎上，針對我國上市公司內控水準存在較大差異的實際情況，財政部會同證監會制定了主機板上市公司分類分批實施方案，確保內控規範實施落到實處、取得實效。二是財政部聯合國資委推動中央企業加快構建內部控制體系，要求全部中央企業用兩年的時間，按照《企業內部控制基本規範》及其配套指引的要求，建立起規範、完善的內部控制體系，組織開展內部控制年度自我評價與審計工作。三是密切跟蹤上市公司實施和試點情況，財政部會同證監會等有關部門對實施中的普遍性問題進行了分析研究，先後發佈兩項企業內部控制規範體系實施中相關問題解釋，就企業內部控制規範實施的共性問題提出了具體的指導意見。四是針對近兩年來有些上市公司在執行企業內部控制規範體系過程中存在的內控評價報告內容與格式不統一、內控缺陷標準和缺陷認定不恰當、評價結論不客觀等問題，證監會、財政部聯合製定發佈了《公開發行證券的公司資訊披露編報規則第21號--年度內部控制評價報告的一般規定》（以下簡稱”21號文”），進一步規範上市公司年度內控評價報告格式和內容，提高內部控制資訊披露品質。五是為了宣傳貫徹企業內部控制規範體系，普及內部控制相關知識，財政部、證監會、國資委、中注協、中國會計報等單位聯合舉辦了企業內部控制知識競賽。全國共有210萬人參加了競賽，在全社會掀起參加內控競賽、學習內控知識的高潮，有力地促進了企業內部控制規範體系的貫徹實施。

　　（二）實施企業對內部控制的重視程度日漸增強，逐步建立健全了符合企業實際的內部控制體系

　　企業內控規範體系發佈以來，我國上市公司和國有大中型企業高度重視，精心組織，嚴格實施，努力探索並建立健全具有中國特色、符合企業實際的內部控制體系。一是加強組織領導，發揮主導作用。企業內部控制規範體系明確要求企業董事、監事、經理及其他高級管理人員要在內部控制體系構建中發揮主導作用。各有關企業負責人充分認識到建立健全內部控制體系的重要性和必要性，加強組織領導，強化責任意識，成立或指定專門工作機構，有力推動了企業內部控制規範體系的貫徹實施工作。二是梳理業務流程，健全內部控制制度。企業內部控制規範體系以原則為導向，如何將企業內部控制規範體系中的理念和方法與企業的治理結構、業務流程、管理制度很好地銜接、融合，是貫徹實施工作的關鍵。有關企業根據監管要求，結合行業的特點和企業經營管理狀況，認真梳理業務流程，建立健全適合企業實際的內部控制制度體系。三是健全風險評估機制，提升風險應對能力。各實施企業圍繞企業戰略目標，全面辨識各類風險，根據風險發生的可能性和影響程度評估風險等級，針對重大風險制定風險應對策略及改進措施，並強化全體員工的風險意識，培育良好的風險文化。四是優化資訊系統，提高控制效率效果。企業內部控制規範要求相關的內部控制措施要有效地嵌入企業資訊系統。有關企業加大對企業資訊系統的改造或新建投入，充分運用資訊技術實現對各類業務和事項的剛性控制，減少人為操縱因素，提高內部控制工作效率和執行力。

　　（三）內部控制評價工作更加規範，內部控制評價報告的披露數量和品質逐年提高

　　實施內部控制自我評價是推動企業內控規範有效實施和不斷完善的一項重要制度安排。近年來，越來越多的上市公司通過開展內部控制評價工作，搜尋、分析存在的內部控制缺陷，認真編制並披露內部控制評價報告，並有針對性地採取有效應對措施，及時堵塞管理漏洞，建立內部控制評價工作長效機制，持續改進和完善企業內部控制體系，促進企業管理水準不斷提升。

　　1.披露內部控制評價報告和內部控制缺陷的上市公司數量逐年增多。2008年至2013年，披露內部控制評價報告的上市公司從1076家增加至2312家，披露比例也從67%增加至93%。2013年，納入實施範圍的1052家上市公司全部披露了內部控制評價報告；在未納入實施範圍的上市公司中，中小板、創業板上市公司根據深圳證券交易所的有關要求，也全部披露了內部控制評價報告。

　　披露內部控制評價報告的2312家上市公司中，1777家上市公司披露內部控制缺陷認定標準，428家上市公司披露內部控制缺陷。披露內部控制缺陷認定標準和內部控制缺陷的上市公司數量均較前兩年有大幅度的提升。

　　2.內部控制評價報告披露的內容更加全面、準確，披露品質逐年提高。近年來，內部控制評價資訊披露的規範性不斷提高，特別是2014年1月證監會、財政部制定發佈了21號文，進一步規範了上市公司內部控制評價報告格式和內容。2013年，共有1574家遵循21號文的要求編制披露了內部控制評價報告，佔比68%；在納入實施範圍的1052家上市公司中，934家遵循了21號文的要求，佔比89%。

　　2013年，在納入實施範圍的1052家上市公司中，935家公司將“控制環境”納入評價內容，佔88.88%；689家公司將“風險評估”納入評價內容，佔65.49%；979家公司將“控制活動”納入評價內容，佔93.06%；748家公司將“資訊與溝通”納入評價內容，佔71.1%；541家公司披露將“內部監督”納入評價內容，佔51.43%，評價內容趨於全面。

　　在內部控制缺陷認定標準方面，大部分上市公司不僅區分財務報告和非財務報告內部控制缺陷認定標準，還區分定量標準和定性標準，定性標準又區分重大缺陷和重要缺陷披露，內控缺陷評價標準更具體，更易於理解，更具有操作性。

　　3.內部控制缺陷整改的積極性較高。存在內部控制缺陷的部分上市公司不僅披露內部控制缺陷的具體類型和內容，還披露缺陷整改的具體措施，以及整改實施情況和進一步的整改計劃。2013年，共有807家上市公司披露內部控制缺陷整改情況。在納入實施範圍並披露內部控制缺陷的272家上市公司中，245家上市公司披露了內部控制缺陷整改情況，披露內部控制缺陷的大多數上市公司能夠採取有效措施對發現的內部控制缺陷予以整改。

　　（四）內部控制審計的監督作用更加有效，內部控制審計報告的披露數量和品質穩步提升

　　內部控制審計是貫徹實施企業內部控制規範體系的重要制度安排，同時也改變了我國會計師事務所業務結構單一的局面，為註冊會計師行業做強做大提供了新的業務增長點。近年來，有關會計師事務所組建專業團隊，強化內部控制專業培訓，科學制訂審計計劃，將內控審計與財務報表審計有效整合，嚴格實施內部控制有效性測試，如實發佈審計意見，提升了內控審計品質，內部控制審計的監督作用更加有效。

　　1.披露內部控制審計報告的上市公司數量逐年上升。2008年至2013年，聘請會計師事務所對內部控制有效性進行審計並出具審計報告的上市公司數量從316家增加至1802家，出具報告比例也從20%增加至72%，披露絕對數以及比例均呈較快上升的趨勢。

　　2.審計師規範執業，內部控制審計的監督效能提升。越來越多的註冊會計師在內部控制審計過程中，勤勉盡責，規範執業，努力發現上市公司存在的財務報告內部控制缺陷，充分關注、披露非財務報告內部控制缺陷，並提出針對性的改進建議。2013年，在披露內部控制審計意見的1812家公司中，標準無保留意見為1753家，佔比96.74%，非標準意見為59家，其中47家為納入實施範圍的上市公司。

　　三、企業內部控制規範體系實施中存在的主要問題

　　企業內部控制規範體系的建立健全和有效實施是一項複雜的系統工程，必然要經歷一個逐步摸索、逐步提高的過程。在企業內控規範體系貫徹實施工作取得一定成效的同時，不可避免地會出現各種各樣的問題。本報告通過對上市公司公開披露的內部控制評價報告、內部控制審計報告等資料的分析，結合財政部和證監會在日常監管工作中掌握的資訊，總結出以下企業內控規範體系實施中存在的主要問題。

　　（一）有關責任主體在企業內部控制規範體系實施中存在的問題

　　1.部分實施企業開展內控體系建設的內生動力缺失，存在內部控制被人為逾越的現象，少數企業評價內部控制有效性有失客觀和公允。部分實施企業開展內部控制體系建設僅為滿足監管要求，缺乏實現企業戰略目標和提升管理效率的內生動力，內控體系建設多是做表面文章和形式化操作，內控手冊經常被束之高閣，或內部控制與企業戰略、經營管理各行其道。有些實施企業“官本位”的思想嚴重，企業領導人利用手中的權力和影響，隨意逾越內部控制要求，導致企業內部控制失效；也有一些企業為了追求自身利益出現團體串通舞弊的現象，致使內部控制形同虛設。少數企業在開展內部控制評價工作時，評價範圍不全面、缺陷認定標準不恰當、缺陷認定隨意性強，造成內部控制有效性結論有失客觀和公允。還有些企業對存在的內部控制缺陷視若無睹，同一內控缺陷每年重復出現，缺乏及時有效的整改。

　　2.內控審計、內控諮詢業務品質有待進一步增強，低價競爭的現象依然十分嚴重。有些上市公司存在審計師和管理層在內控審計的範圍、缺陷標準的認定、內控有效性的結論等方面，標準不一，結論不同，影響了投資者對於上市公司內部控制有效性的判斷。部分審計師、諮詢顧問在內控審計和諮詢領域業務經驗相對較少，缺乏一套標準、規範且成熟有效的內控評價或審計流程及方法論，造成審計或諮詢工作過程細化度不夠，業務操作不規範。部分審計師對審計底稿文檔的品質要求不高，很多文檔編制不完整或品質較低，加之品質復核不到位，難以全面反映內控審計的過程，不能為審計結論提供充分的支援證據。內控審計和諮詢行業低價競爭的現象依然十分嚴重，部分內控審計機構和諮詢機構低價招攬客戶，有些上市公司內部控制審計費用僅為幾萬元，嚴重影響了內控審計和諮詢服務品質。還有些上市公司將內部控制審計費用與財務報表審計費用捆綁在一起，不單獨披露內部控制審計費用，使得監管機構等利益相關者無法全面監督上市公司的內部控制審計情況。此外，還存在部分會計師事務所同時為一家公司提供內控諮詢和內控審計的情況，內控審計的獨立性受到損害。

　　3.政府監管部門在提高企業內控規範體系的操作性和指導性、開展內控規範實施情況監督檢查等方面的工作仍需進一步加強。我國現行的企業內部控制規範體系屬於原則性規定，更具操作性和指導性的行業內部控制操作指南尚未形成體系，造成企業在開展內控體系建設時，僅以滿足監管要求為出發點，生搬硬套，不切合實際，沒有將內部控制與企業經營管理有效融合；同時還造成企業在開展內控評價時，缺陷認定標準不科學，缺陷認定程式不規範，內控缺陷認定結果不客觀、準確，致使內控評價工作存在走過場現象。同時，政府監管部門對內部控制規範體系實施情況的監督檢查工作有待增強，應在總結我國企業內部控制規範體系建設與實施經驗的基礎上，完善相關監督檢查規程，系統性地、有針對性地開展對上市公司和會計師事務所貫徹執行企業內部控制規範體系情況的專項檢查活動，不斷強化對企業內控規範體系實施情況的監管工作，並加大監督檢查和處罰力度，促進有關上市公司和會計師事務所更加有效地實施企業內部控制規範體系。

　　（二）內部控制資訊披露存在的問題

　　1．內部控制評價報告披露存在的問題

　　（1）內部控制缺陷認定標準不夠恰當。一些上市公司內部控制缺陷認定標準披露不完整，未區分財務報告內部控制和非財務報告內部控制披露缺陷標準，或者只披露了內部控制缺陷的定量標準，未披露定性標準。據統計，在區分財務報告和非財務報告披露內部控制缺陷認定標準的987家上市公司中，78家上市公司未披露財務報告內部控制重大缺陷定性標準，362家上市公司未披露財務報告內部控制重要缺陷定性標準，109家上市公司未披露非財務報告內部控制重大缺陷定性標準，445家上市公司未披露非財務報告內部控制重要缺陷定性標準。

　　上市公司之間披露的內部控制缺陷認定標準可比性不強，同行業、類似規模上市公司界定的內部控制缺陷認定標準存在較大差異，類似的缺陷在某些公司歸屬於重大缺陷，而在另外一些公司卻被歸屬於重要缺陷，甚至一般缺陷。有些上市公司界定的內控缺陷標準則不規範，如有些標準既是重大缺陷的定性標準，也是重要缺陷的定性標準，或者財務報告與非財務報告內控缺陷的界定採用相同的標準。此外，一些上市公司對內部控制缺陷定性標準表述不具體，只是簡單引用21號文中缺陷分類的定義。

　　（2）內部控制缺陷內容的披露不夠規範。一是對缺陷性質及影響披露不夠充分。納入實施範圍並披露內部控制缺陷的272家上市公司中，179家上市公司未披露內部控制缺陷的內容，披露內部控制缺陷的相關披露也不夠詳細，大多數只是對缺陷做出籠統描述，沒有詳細披露內部控制缺陷的具體內容。二是對缺陷性質及影響披露不夠準確。首先，部分上市公司內部控制缺陷披露側重於內部控制缺陷導致的影響和後果，而非內部控制缺陷本身的性質，例如披露的財務報告內部控制重要缺陷為發生的財務報表錯報，披露的非財務報告內部控制缺陷為發生的安全事故等。其次，未按照既定的內部控制缺陷標準認定內部控制缺陷。一些公司雖然分別披露了財務報告和非財務報告披露內部控制缺陷認定標準，但卻未按這些標準進行分類認定內控缺陷。此外，對內部控制缺陷影響程度披露不完整，例如某公司披露由於非財務報告重要缺陷導致發生安全事故，造成員工死傷，該公司在評價該內部控制缺陷影響時只考慮了停産導致的損失，並未考慮由於安全事故而導致公司需要承擔的其他各項損失，如員工傷亡的賠償金、財産損失以及行政罰款等。三是有些企業存在隱瞞內控缺陷的可能性。據統計，在未披露內部控制缺陷的780家上市公司中，卻有112家上市公司披露了內部控制缺陷整改情況，説明在未披露內部控制缺陷的企業中，也有部分企業存在內部控制缺陷。

　　（3）內部控制缺陷整改情況的披露不具體、不規範。據統計，在披露內部控制缺陷整改情況的245家上市公司中，只有58家上市公司根據每個內部控制缺陷性質及影響，披露了內部控制缺陷整改情況和整改計劃。部分企業對內部控制缺陷整改措施的披露不夠具體，不是針對每項內部控制缺陷披露整改措施，而只是概括提及採取的整改措施，典型的表述如“針對發現的內部控制缺陷，內控評價工作小組已向內控工作小組、董事會及相關管理層進行了彙報，公司已責成相關職能部門及負責人進行整改落實”、“針對執行過程出現的例外情況，公司通過分析産生的原因採取了相應的整改措施”等。

　　2.內部控制審計報告披露存在的問題

　　（1）內部控制審計結論中的非標準審計意見比例較低。披露審計意見的1810家上市公司中，被出具非標準審計意見的公司僅佔2.82%。其中，納入實施範圍的上市公司中，被出具非標準審計意見的佔3.71%，未納入實施範圍的上市公司中，被出具非標準審計意見的僅佔1.58%。

　　（2）內部控制評價結論與內部控制審計結論不一致。有少部分公司被註冊會計師出具了帶非財務報告內部控制重大缺陷的審計報告或者否定意見的審計報告，其自評報告結論仍然確定為有效。2013年，公司內部控制自評有效而被審計師出具否定內控審計意見的上市公司有5家，公司內部控制自評有效而被審計師出具帶強調事項段無保留內控審計意見的上市公司有30家。

　　（3）內部控制審計報告披露不規範。一些上市公司在披露內部控制報告時，採用的格式、名稱不一。如報告名稱就有“內部控制審計報告”、“內部控制審核報告”、“內部控制鑒證報告”、“內部控制專項報告”等多種情況。此外，還存在個別公司未按期披露報告的情況。

　　（4）強調事項段的使用不規範。一是強調事項段強調的事項屬於非財務報告內部控制方面的問題，如有強調事項段描述為“企業發展戰略及決策偏差”、“分公司在人員、機構方面未實現相互獨立，且存在業務同質性”。二是強調事項段描述的內容事項過於簡化、模糊，不能為資訊使用者提供清晰明確的資訊，如強調事項段提及報告期內上市公司被立案稽查或者行政處罰，但是並未進一步説明上市公司被立案稽查或者行政處罰具體情況，未明確導致被立案稽查或者行政處罰的事項是否與財務報告內部控制相關。

　　四、有關建議

　　為更好地推動企業內部控制規範體系建設與實施工作，結合前述對2013年我國企業內部控制規範體系實施情況以及存在問題的分析，本報告從政府監管部門、實施企業、內控審計及諮詢機構等層面提出相關建議，以進一步提升我國企業內部控制水準和風險防範能力。

　　（一）政府監管層面

　　1.研究探索中小板和創業板上市公司實施內控規範體系，進一步擴大內部控制規範體系實施範圍。根據深圳證券交易所的要求，2013年所有695家中小板上市公司和355家創業板上市公司全部披露了內部控制評價報告。在此基礎上，有關政府監管部門應積極探索在中小板和創業板上市公司範圍內實施內控規範體系，對中小板和創業板上市公司的內控現狀和實際需求進行調研，深入了解中小板和創業板上市公司內控建設的實際狀況，權衡實施成本和預期效益，科學論證，探索研究中小板和創業板上市公司實施企業內控規範體系的有效方法和途徑，逐步提高其內控建設水準，從而逐步擴大內部控制規範的實施範圍。

　　2．嚴格規範上市公司內控評價報告和審計報告的內容與格式，提高上市公司內控資訊披露品質。對內控的監管理念應以資訊披露為中心，督促上市公司加強內控建設，不斷提高公司內控披露水準，加大對內控資訊披露違規行為的處罰力度。進一步規範內控評價報告和審計報告的格式與內容，尤其是內控缺陷認定標準、內部控制缺陷類型、缺陷的內容與性質以及內部控制缺陷整改措施，要求上市公司對每個內部控制缺陷披露缺陷內容、缺陷的性質及影響和缺陷整改情況。強化上市公司單獨披露內部控制審計費用，以便於監管機構、外部投資者等利益相關者有效監督上市公司的內部控制審計情況，緩解行業低價競爭問題。加強對上市公司提交的內控評價報告和審計報告的格式與內容的審查，杜絕對外披露不合格的內控評價報告和審計報告，提高內部控制資訊披露品質。

　　3.開展對企業執行內部控制規範的監督檢查，促進企業內控規範體系的有效實施。針對當前部分上市公司內部控制披露水準較低、流於形式的現狀，聯合有關監管部門加強對有關企業和會計師事務所執行企業內部控制規範體系情況的監管力度，重點檢查企業不披露內控資訊、披露不實資訊、隱瞞內部控制重大缺陷、發表不實內控有效性結論以及註冊會計師出具虛假內控審計意見等，公開曝光並嚴厲懲處違反企業內部控制規範體系及有關法律法規的機構和個人，促進企業內部控制規範體系的有效實施。

　　4.通過編制行業內部控制操作指南、發佈內部控制實務公告等形式，提高企業內控規範體系的操作性和指導性。針對實施企業的實際情況和現實需求，研究一些典型行業的具體運作特點、共性風險和行之有效的控制措施，制定發佈分行業的內控操作指南；同時，根據一些標桿企業在內部控制與風險管理領域的典型做法，研究發佈內部控制實務公告，為有關企業開展內部控制建設提供借鑒和參考。

　　（二）實施企業層面

　　1.加深對內部控制的認識，加強對企業一把手的控制。人是內部控制最關鍵的要素，內部控制體系的設計與實施要靠人的作用來推動。企業的一把手是內部控制的第一責任人，是內控工作最重要的推動者，也是最關鍵的控制對象。企業內部控制體系不僅要控制普通員工，更要控制管理層和一把手，防止出現一把手隨意逾越內部控制的現象。實施企業還應當加深對內部控制的認識，尤其要充分認識到內部控制對企業防範風險、提升管理水準等方面的作用，凝聚建立健全內控的內生動力，避免出現企業開展內控體系建設走形式、走過場的做法。

　　2.高品質地開展內部控制評價，提高內部控制資訊披露品質。各實施企業應結合企業實際，科學合理地確定內控評價範圍，組建評價工作團隊，選配合格評價人員，高品質地開展內控評價工作，充分發現內控缺陷問題，並依據企業內控缺陷認定標準，認定內控缺陷的性質，如實出具內控評價報告。同時，有關實施企業應當按照監管要求，嚴格遵循21號文關於內控評價報告內容與格式要求，全面客觀作好內控評價資訊披露工作，提升內部控制資訊披露品質。

　　3.建立健全以內控評級為核心的內部控制全面監督體系，充分發揮內部控制監督作用。企業應當建立以內控制評價為核心，整合財務監督、法律合規、內部審計、紀檢監察等職能的全方位、多層次的監督體系，形成監管合力，並將內控評價結果納入績效考評體系，建立內控責任追究制度，最大化地發揮內部控制的監督作用。

　　（三）內部控制審計及諮詢機構層面

　　1.強化專業技術培訓，培養內控審計及諮詢專業人才，提高專業服務水準。針對內控實施過程中專業機構執業品質參差不齊、內控人才嚴重匱乏等問題，各內部控制仲介機構應強化對內部控制審計及內部控制諮詢的專業技術培訓，提高專業勝任能力，培養合格的內部控制審計及諮詢專業人才，並在執業過程中規範嚴格執業，不斷提高專業服務水準。

　　2.強化獨立性要求，公平合理收費，促進內控審計及諮詢服務市場有序健康發展。有關仲介機構在開展內控審計和秩序業務時，應嚴格遵守獨立性要求，確保“不能同時為一家企業提供內控諮詢和審計服務”，維護市場秩序。各內控審計、諮詢機構應當在確保項目品質的前提下，克服短期行為，公平合理收費，堅決杜絕低價惡性競爭現象。