□深圳市迪博企業風險管理技術有限公司

　　樣本選取與數據來源

　　本報告選取的樣本為2015年4月30日之前在滬、深交易所A股上市，並且披露2014年年度報告的上市公司，總樣本量為2631家上市公司。本報告中所有原始數據均已錄入DIB迪博內部控制與風險管理數據庫中（www.ic-erm.com）。本報告是國家自然科學基金重點項目“基於中國情境的企業內部控制有效性研究”（項目批准號71332004）的階段性研究成果。

　　內部控制評價報告

　　（一）內部控制評價報告披露數量

　　2014年度，2586家上市公司披露了內部控制評價報告，總體披露比例為98.29%。其中，滬市主機板、深市主機板、深市中小板和深市創業板的披露比例分別為96.12%、99.15%、99.73%和100.00%。

　　（二）內部控制評價報告格式的規範性

　　2014年度，2088家上市公司按照規範的格式披露了內部控制評價報告，佔比為80.74%。其中，滬市主機板、深市主機板、深市中小板和深市創業板分別有94.09%、91.16%、73.85%和50.60%的上市公司披露了規範格式的內部控制評價報告。

　　（三）內部控制評價結論

　　2014年度，內部控制評價結論整體有效的上市公司共2549家，佔比為98.57%；非整體有效的上市公司37家，佔比1.43%。內部控制評價結論非整體有效的上市公司中，9家為財報內控有效、非財報內控無效，佔比0.35%；18家為財報內控無效、非財報內控有效，佔比0.70%；8家為內部控制整體無效，佔比0.31%；2家未出具內部控制評價結論，佔比0.08%，如圖1所示。

　　（四）內部控制評價範圍及評價方法

　　2014年度，披露了內部控制評價報告的上市公司中，2262家公司披露了內部控制評價範圍，佔比87.47%；274家上市公司披露了內部控制評價方法，佔比10.60%。其中，主機板上市公司內部控制評價範圍披露比例顯著高於深市中小板和深市創業板。

　　內部控制評價缺陷

　　（一）內部控制缺陷認定標準披露情況

　　2014年度，2141家上市公司披露了內部控制缺陷認定標準，445家上市公司未披露內部控制缺陷認定標準。按照所屬交易所的不同，滬市主機板、深市主機板、深市中小板和深市創業板上市公司中，未披露內部控制缺陷認定標準的公司佔比分別為2.38%、5.39%、24.93%和50.84%。在披露了內部控制缺陷認定標準的上市公司中，1963家上市公司披露了完整的財報和非財報內部控制缺陷定性及定量認定標準，178家上市公司未披露完整的內部控制缺陷認定標準。

　　（二）內部控制缺陷披露情況

　　2014年度，351家上市公司披露了其存在內部控制缺陷。其中，343家公司披露了2014年度內部控制缺陷，其他8家公司僅披露了上年度內部控制缺陷的整改情況。

　　2014年度，披露了內部控制評價報告的A股上市公司中，13.26%的上市公司披露了內部控制缺陷。其中，披露了財報內部控制缺陷的公司佔比6.38%，披露了非財報內部控制缺陷的公司佔比10.52%；披露了內部控制重大缺陷的公司佔比1.62%，披露了重要缺陷的公司佔比1.86%，披露了一般缺陷的公司佔比10.17%，未區分缺陷等級的公司佔比0.15%。

　　2014年度，343家上市公司共披露2345項內部控制缺陷。其中，重大缺陷96項，佔比4.09%；重要缺陷77項，佔比3.28%；一般缺陷2165項，佔比92.32%；未區分缺陷等級的內部控制缺陷7項，佔比0.30%。如圖2所示。

　　（三）內部控制評價缺陷內容

　　2014年度，343家披露其存在內部控制缺陷的上市公司中，312家公司披露了內部控制缺陷的具體內容，佔比90.96%；31家公司未披露缺陷內容，佔比9.04%。

　　2014年度，343家上市公司披露的2345項內部控制缺陷中，披露了具體內容的內部控制缺陷838項，佔比35.74%；未披露具體內容的內部控制缺陷1507項，佔比64.26%。

　　本報告按照財報缺陷/非財報缺陷、缺陷等級、設計缺陷/運作缺陷、公司層面缺陷/業務層面缺陷/資訊系統層面缺陷、內部控制五要素對2014年度披露了具體內容的內部控制缺陷進行分類，統計出每個分類的內部控制缺陷數量和佔比。其中，財報缺陷289項，佔比34.49%，非財報缺陷549項，佔比65.51%；設計缺陷144項，佔比17.18%，運作缺陷601項，佔比71.72%；公司層面缺陷279項，佔比33.29%，業務層面缺陷533項，佔比63.60%，資訊系統層面缺陷26項，佔比3.10%；內部環境類缺陷255項，佔比30.43%，風險評估類缺陷11項，佔比1.31%，控制活動類缺陷493項，佔比58.83%，資訊與溝通類缺陷60項，佔比7.16%，內部監督類缺陷19項，佔比2.27%。

　　2014年度，上市公司披露了具體內容的93項內部控制重大缺陷中，根據缺陷涉及的業務活動/事項統計，排名前三位的分別是資金活動類缺陷、財務報告類缺陷、組織架構類缺陷。其中，資金活動類缺陷22項，財務報告類缺陷和組織架構類缺陷均為13項。如圖3所示。

　　（四）內部控制評價缺陷整改情況

　　2014年度，已披露具體內容的838項內部控制缺陷中，594項內部控制缺陷已開始整改，佔比70.88%。其中，314項內部控制缺陷已經有效整改，佔比37.47%；93項內部控制缺陷尚未完成整改，佔比11.10%；187項內部控制缺陷未披露整改結果，佔比22.32%。未開始整改的內部控制缺陷244項，佔比29.12%。

　　2011—2014年度內部控制評價情況對比

　　自2011年1月1日首批強制實施開始，2014年，內部控制強制實施範圍已擴展至所有主機板上市公司。四年來，上市公司內部控制評價報告數量和品質均穩步提升。從報告披露比例來看，2011-2014年，上市公司內部控制披露比例較上一年度均有明顯提高，平均增幅為7.71%；從缺陷認定標準披露情況來看，2011-2014年度，上市公司內部控制缺陷認定標準披露比例不斷提升，尤其自2013年度開始，增幅有了大幅度提升，與2012年度相比，2013年度內部控制缺陷認定標準披露比例增幅達130.77%；從內部控制缺陷披露情況來看，2011-2014年，上市公司內部控制重大缺陷、重要缺陷的披露比例也在穩步上升，重大缺陷披露比例從2011年的0.16%上升到2014年的1.62%，重要缺陷披露比例從2011年的0.76%上升到1.86%。此外，從2011-2014年度上市公司內部控制評價結論非整體有效比例的不斷上升，也可以看出，近年來隨著監管規範的不斷完善和監管機構的不斷推動，上市公司對內部控制的認識更趨理性和客觀。

　　內部控制審計報告

　　（一）內部控制審計報告披露數量

　　2014年度，2049家上市公司披露了內部控制審計報告，總體披露比例為77.88%。其中，滬市主機板、深市主機板、深市中小板和深市創業板的披露比例分別為92.43%、96.79%、56.49%和59.67%。

　　（二）內部控制審計報告格式的規範性

　　本報告根據審計依據和審計對象將內部控制審計報告分為規範的內部控制審計報告、內部控制鑒證報告、內部控制審核報告、中小板內部控制審計報告、內部控制專項報告、其他類型報告。2014年度，1424家上市公司披露了規範的內部控制審計報告，佔比為69.50%；未披露規範的內部控制審計報告的公司625家，佔比30.50%。其中，深市中小板僅有11.00%的公司披露了規範的內部控制審計報告，89.00%的公司披露格式不規範；深市創業板僅有3.20%的公司披露了規範的內部控制審計報告，96.80%的公司披露格式不規範。

　　（三）內部控制審計意見

　　2014年度，內部控制審計意見為標準無保留意見的上市公司共1965家，佔比為95.90%；內部控制審計意見為非標意見的上市公司共84家，佔比為4.10%。其中，內部控制審計意見為非標意見的上市公司中，帶強調事項段的無保留意見共58家，佔比2.83%；保留意見共2家，佔比0.10%；否定意見共21家，佔比1.02%；無法表示意見共3家，佔比0.15%。如圖4所示。

　　（四）審計發現的內部控制重大缺陷

　　2014年度，導致否定意見的內部控制重大缺陷共計53項。根據其所涉及的業務活動/事項，排名第一位的是資金活動類缺陷，共14項，佔比26.42%；其次是財務報告類缺陷和資産管理類缺陷，分別為7項、6項，佔比13.21%、11.32%。如圖5所示。

　　2014年度，會計師事務所出具的內部控制審計報告中，認定上市公司存在非財報內部控制重大缺陷的共13家，缺陷共計14項。根據缺陷所涉及的業務活動/事項，分別為組織架構類缺陷9項，佔比64.29%；資訊披露類缺陷3項，佔比21.43%；社會責任類缺陷2項，佔比14.29%。如圖6所示。

　　（五）上市公司內部控制整合審計情況

　　2014年度，採用內部控制整合審計的上市公司共計2011家，佔比98.15%；採用單獨審計的上市公司38家，佔比1.85%。

　　（六）內部控制審計費用

　　2014年度，2049家披露了內部控制審計報告的上市公司中，1249家公司披露其支付了內部控制審計費用，佔比60.96%。其中，1206家公司單獨披露了內部控制審計費用的數額，43家公司未披露具體的內部控制審計費用數額。

　　2014年度，單獨披露內部控制審計費用的1206家上市公司，其披露的內部控制審計費用總額共計54，868.17萬元，平均每家公司花費的內部控制審計費用為45.50萬元。根據每家上市公司內部控制審計費用佔審計費用總額的比例分析顯示，內部控制審計費用佔審計費用總額的比例平均為27.32%。

　　2011—2014年度內部控制審計情況對比

　　2011-2014年度，上市公司內部控制審計情況也發生了顯著變化。從審計報告披露比例來看，2014年度，上市公司內部控制審計報告的披露比例每年都在穩步提升，平均增幅為24.76%；從內部控制審計費用披露情況來看，四年來，上市公司內部控制審計費用披露比例大幅提升，尤其是自2012年開始，平均增幅為220.18%。同時，從內部控制審計非標意見的披露情況來看，2011-2014年度，上市公司內部控制審計非標意見的比例也呈現出不斷上升的趨勢，從一定程度上反映出，隨著監管力度的不斷加大和監管要求的日益規範，上市公司內部控制審計工作也日趨嚴格。

　　上市公司內部控制存在的問題及政策建議

　　（一）上市公司內部控制存在的問題

　　一是內部控制評價報告和內部控制審計報告披露格式不規範。如仍有19.26%的上市公司未按照《公開發行證券的公司資訊披露編報規則第21號——年度內部控制評價報告的一般規定》（證監會公告[2014]1號）進行披露，其中，已納入強制實施範圍的主機板上市公司中，分別有5.91%的滬市主機板公司、8.84%的深市主機板公司未按照規範要求進行披露；深市中小板和深市創業板上市公司中，分別有21.95%、39.38%的公司未按照規範要求進行披露。在內部控制審計報告披露方面也存在類似問題。

　　二是內部控制缺陷資訊披露不完整、可用性差。2014年度，32.10%的上市公司披露的內部控制缺陷資訊不完整、可用性差。

　　三是內部控制評價及資訊披露工作不夠嚴謹。2014年度，共有17家上市公司內部控制評價報告與註冊會計師出具的內部控制審計報告存在重大不一致。此外，有24家主機板公司在年報中説明內部控制評價報告和內部控制審計報告已披露，但是通過巨潮資訊網、公司官網、中國證監會網站及交易所網站等各種渠道都無法找到其報告。

　　四是對內部控制評價結論有效性的認定標準理解存在差異。2014年度，內部控制評價結論非整體有效的公司佔比1.43%，而內部控制存在重大缺陷的公司佔比1.62%，兩者之間存在明顯的不一致。這主要是由於上市公司對監管規則中關於內部控制評價結論有效性的認定標準的理解存在差異。

　　五是上市公司在資産管理和資金活動管控方面問題比較集中。根據缺陷涉及的具體業務活動和事項分類統計發現，2014年度，上市公司披露的內部控制缺陷中，資産管理類缺陷和資金活動類缺陷表現最為突出，佔比分別為13.25%、12.41%。同時，對2014年度上市公司披露了具體內容的93項內部控制重大缺陷，以及導致內部控制審計為否定意見的53項內部控制重大缺陷的分類統計顯示，資金活動類重大缺陷均最為突出，在內部控制評價重大缺陷與內部控制審計重大缺陷中佔比分別為23.66%、26.42%，明顯高於其他類重大缺陷，屬於上市公司重大缺陷發生的重災區。

　　六是中小板、創業板上市公司內部控制建設規範性有待加強。與主機板上市公司相比，中小板、創業板上市公司內部控制評價報告披露比例略高，但其披露報告的規範性卻明顯低於主機板上市公司，非規範報告披露比例分別為21.95%、39.38%，是主機板上市公司的3.42倍、6.14倍。

　　七是註冊會計師內部控制審計的執業品質有待提高。剔除因非財報內部控制缺陷等因素導致的不一致，2014年度，共有54家上市公司內部控制審計意見與財務報表審計意見存在顯著差異。此外，仍有1.95%的上市公司內部控制審計報告中，僅描述了導致非標意見的事件過程，並未對重大缺陷的性質、産生原因、導致影響、整改情況等進行説明；還有超過286家上市公司披露的內部控制審計報告沒有會計師事務所或註冊會計師的蓋章或簽名。

　　（二）政策建議

　　雖然2014年度上市公司內部控制資訊披露的數量和品質較以往年度均穩步提升，整體披露情況良好，但不可否認，上市公司在內部控制資訊披露和內部控制建設中依然存在一些不可忽視的問題。為此，白皮書提出以下幾項政策建議，以促進上市公司進一步提升內部控制水準，提高風險防範能力，促進資本市場健康發展。

　　一是，統一內部控制監管標準，提高上市公司內部控制實施的規範性。

　　目前，上市公司在內部控制評價、審計等方面可遵循的監管規則眾多，由於不同的監管標準之間的關係並未明確，從而給部分上市公司提供了選擇性披露的機會。因此，建議監管機構儘快統一上市公司內部控制監管標準，明確不同標準之間的層級關係，及時廢止舊的、不適用的監管規則，提高上市公司內部控制實施的規範性。

　　二是，完善內部控制缺陷資訊披露，加強對上市公司內部控制缺陷整改的監管。建議上市公司嚴格按照內部控制評價報告內容與格式要求，客觀全面地做好內控評價資訊披露工作，充分如實地披露內部控制缺陷資訊，切實提高公司內控缺陷的披露品質，為報告使用者提供更多有效的內控資訊。建議監管機構加強對上市公司內部控制缺陷整改的監管力度，督促上市公司積極落實缺陷整改和資訊披露，提升內部控制水準。

　　三是，加強對上市公司資産管理和資金活動的資訊披露監管，防範資産和資金風險。建議監管機構特別關注對上市公司資産管理和資金活動兩項業務活動的資訊披露監管，促進上市公司建立健全資産管理和資金管控制度，切實防範上市公司資産和資金風險。

　　四是，逐步在中小板、創業板上市公司實施內部控制規範體系，提升對投資者的保護力度。建議逐步在中小板、創業板上市公司執行企業內部控制規範體系，提高中小板、創業板上市公司內部控制水準和資訊披露品質，提升對中小板、創業板市場投資者的保護力度。

　　五是，強化對註冊會計師內部控制審計執業行為的監管，提高其執業品質。建議監管機構強化對註冊會計師內部控制審計執業行為的監管力度，要求註冊會計師嚴格按照監管規定執行內部控制審計，對註冊會計師在內部控制審計過程中存在的各種失職行為進行懲罰，切實發揮註冊會計師對上市公司內部控制建設的監督作用。

　　六是，積極探索建立內部控制可交易指數，引導投資者回歸價值投資。建議監管機構與第三方仲介機構合作探索建立內部控制可交易指數，提高上市公司與投資者對內部控制的關注程度，引導投資者回歸理性的價值投資，促進上市公司積極主動實施內部控制體系，不斷提升上市公司品質。

　　七是，加強內部控制法制建設，強化上市公司內部控制監管力度。建議監管機構在《證券法》修訂時加入內部控制的相關條款，並明確董事會、監事會、管理層等在上市公司內部控制實施中的主體責任，從法律層面強化對上市公司內部控制的監督力度。

　　圖5

　　圖4

　　圖3

　　圖2

　　圖1

　　圖6