（一）内部控制评价报告分析。67家公司所披露的67份内控评价报告在格式、内容等方面均存在较大差异，本报告将从以下12个方面进一步分析。

1.内部控制评价报告名称。财政部于2012年2月印发了《企业内部控制规范体系实施中相关问题解释第1号》，制定了企业内部控制评价报告的参考格式，其中对内控评价报告的名称表述为“ⅩⅩ公司20xx年度内部控制评价报告”。67家公司披露的内部控制评价报告从名称上来说，主要分为两类：一类名称如“ⅩⅩ公司2011年度内部控制评价报告”，这类报告有54份，占80.6%。另一类名称如“ⅩⅩ公司2011年度内部控制自我评价报告”，这类报告有13份，占19.4%。

2.内部控制责任主体认定。根据《企业内部控制基本规范》、《企业内部控制规范体系实施中相关问题解释第1号》等文件的规定，建立健全并有效实施内部控制是公司董事会的责任；监事会对董事会建立与实施内部控制进行监督；经理层负责组织领导公司内部控制的日常运行。从公司内部控制责任主体认定和划分上来看，绝大部分公司对于内部控制责任主体的认定很清晰，仅有少数公司未在内控评价报告中披露相关信息。

67份内控评价报告中，64家公司将内控的责任主体认定为董事会，在内控评价报告中的表述如“建立健全并有效实施内部控制是公司董事会的责任”或者“公司董事会对建立和维护充分的财务报告相关的内部控制制度负责”；1家公司将内控的责任主体认定为董事会及管理层，即中国石化（600028），其具体表述如“建立、维护并有效实施内部控制是本公司董事会及管理层的责任；管理层负责组织领导公司内部控制的日常运行”；2家公司（东北电气、宁沪高速）未在内控评价报告中明确具体的内部控制责任人，具体见图3。

3.内部控制目标。67家公司在内控评价报告中全部披露了公司内部控制的目标，从披露的具体内容看，可以分为以下两类：

（1）以财政部等五部委在《企业内部控制基本规范》中确定的内部控制五目标为公司内部控制目标的有43家。其中17家公司对内部控制目标的表述与《企业内部控制基本规范》相同，即合理保证企业经营管理合法合规、维护资产安全、保证财务报告及相关信息真实完整、提高经营效率效果、促进企业实现发展战略；有9家公司对内部控制五目标作了进一步阐述，如南京熊猫（600775）在五目标的基础上增加了“股东利益最优化”、中国铁建（601186）在五目标的基础上增加“培育和提升全员内部控制与风险管理意识，形成良好的内部控制与风险管理文化”、中国铝业（601600）则在五目标的基础上增加“建立和符合现代企业管理要求的公司法人治理结构”等。

（2）以财务报告相关内部控制目标作为公司内部控制目标的有24家公司。24家公司确定的财务报告相关内部控制的目标差别很小，大多表述如“保证财务报告信息真实完整和可靠、防范重大风险”，也没有提及经营的合法合规性、资产的安全等目标。

以两种不同形式披露内部控制目标的公司具体分布情况见图4。

4.内部控制评价的依据。2011年是境内外同时上市公司首次执行企业内控规范体系，开展内控评价工作对一些企业来说还比较陌生。财政部等五部委于2010年发布的《企业内部控制配套指引》为上市公司开展内控评价工作提供了重要指导。67家公司在其内部控制评价报告中以不同的形式披露了内部控制评价的依据，包括所依据的内部规章以及外部法律法规等。由于不同公司在内控评价工作中依据的公司内部控制评价手册等内部规章有所不同，因此本部分“内部控制评价的依据”是指公司开展内控评价工作所依据的外部法律法规等文件。

67家公司内控自评报告中，遵循的评价依据可以划分为三个方面：有关法律法规规定、规范性文件和交易所监管规则和其他自律性规定。其中，法律法规包括：《公司法》、《证券法》、美国《萨班斯法案》等；规范性文件包括：财政部等五部委《企业内部控制基本规范》、《企业内部控制配套指引》、证监会《上市公司治理准则》、保监会《保险公司内部控制基本准则》、银监会《商业银行内部控制指引》；交易所监管规则和其他自律性规定，包括：深交所《上市公司内部控制指引》、上交所《上市公司内部控制指引》、香港联合交易所《上市规则》、香港会计师公会《内部监控与风险管理的基本架构》等。

67家公司全部披露《企业内部控制基本规范》是内部控制评价的依据，其中61家公司披露其内部控制评价工作的依据是《企业内部控制基本规范》及其配套指引。这61家公司中，包括具体的以评价指引或应用指引为依据的公司。

67家公司中，有14家上市公司（不包括没有详细列举所依据的其他法律法规和规章制度名称的公司）在内控评价报告中披露的内控评价工作依据不仅包括《企业内部控制基本规范》及其配套指引，还包括其他法律法规或者规范性文件，占67家公司的20.9%。这14家公司中，有7家公司评价依据还包括上海证券交易所发布的《上市公司内部控制指引》；有2家公司评价依据还包括《商业银行内部控制指引》、《公司法》、《证券法》、SOX法案；有1家公司评价依据还包括深圳证券交易所发布的《上市公司内部控制指引》。此外，14家公司披露的评价依据还包括证监会《上市公司信息披露管理办法》、香港联交所《企业管治常规守则》、上交所《上市公司2011年年度报告工作备忘录第一号内控报告的编制、审议和披露》、证监会《关于做好上市公司内部控制规范试点有关工作的通知》、香港会计师公会《内部监控与风险管理的基本架构》、《香港联合交易所有限公司证券上市规则》、《关于做好北京辖区上市公司内控规范实施工作的通知》等。

5.具体负责组织实施内控评价工作的部门。董事会负责建立健全并有效实施内部控制，在董事会及其下属专业委员会的授权下，由具体的部门或者组织负责内部控制评价的具体实施工作。

具体来说，在内部控制评价工作的开展中，可以将具体负责组织实施内控评价工作的部门、牵头部门进行如下划分：

（1）完全由审计部门作为负责部门开展内控评价工作的公司有26家，占比39%；

（2）以审计部门作为主要负责部门，联合其他业务部门开展内控评价工作的公司共有14家，占比21%；

（3）完全由内控或风险部门负责内控评价工作的公司有5家，占比7%；

（4）由内控评价工作小组开展评价工作的公司有4家，占比6%；

（5）由多个业务部门联合开展内控评价工作的公司有11家，占比16%；

（6）完全由稽核部开展内控评价工作的公司有1家，占比2%；

（7）未披露开展内控评价部门的公司有6家，占比9%。

分布情况见图5。

虽然67家公司负责组织实施内控评价工作的部门存在较大的差异，但是内控评价工作开展的组织形式相似度较高。由于评价工作涉及的工作面较广、业务或者事项较多，需要多部门配合，上市公司大多在具体负责部门的组织下，按照《企业内部控制基本规范》及《企业内部控制评价指引》的要求，由来自其他部门的业务骨干组成内控评价工作小组，开展内部控制评价工作。

6.聘请外部咨询机构协助公司开展内控建设、内控评价情况。内控评价是一项较为专业性、复杂性的工作，涉及的范围广、事项多，开展内控评价工作的公司可以根据自身的需要，选择具有一定资质的中介咨询机构协助公司开展评价工作。

67家公司中，有25家公司在内控评价报告中披露聘请外部咨询机构协助公司开展内控评价、内控建设咨询，占比37%；有9家公司在内控评价报告中披露未聘请外部咨询机构参与内控评价，占比14%；有33家公司在内控评价报告中并未披露公司是否聘请外部咨询机构，占比49%。具体分布情况见图6。

67家公司中，披露聘请外部咨询机构协助开展内控建设、内控评价等的共有25家，除1家公司同时聘请两家咨询机构为公司提供内控评估工作技术支持，其它24家公司均只聘请1家公司协助开展内控建设工作或者内控评价工作。其中有11家公司聘请的咨询机构为中外合作、外资咨询机构，有12家公司聘请的咨询机构为内资咨询机构，有3家公司并未披露咨询机构具体名称，具体分布情况见图7。

7.内部控制五要素披露情况。企业开展内控建设应该以内部控制五要素——内部环境、风险评估、控制活动、信息与沟通、内部监督为核心。67家公司披露的内控评价报告中，对内控五要素的披露方式、内容等均有些差别。

（1）控制环境。控制环境是企业实施内部控制的基础，《企业内部控制应用指引》中控制环境类指引包括组织架构、发展战略、人力资源、社会责任和企业文化等指引。从67家公司披露的情况来看，组织架构、发展战略、人力资源、社会责任和企业文化是企业开展内控环境建设的核心。具体信息如表6。

（2）控制活动。67家公司内控自评报告存在差异最大的是控制活动要素的披露内容。《企业内部控制配套指引》中以下9项内容涉及控制活动要素：资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包和财务报告。67家公司对控制活动的具体披露情况如表7。

根据企业实际披露情况，本报告增加了非金融类企业7项内容，银行业12项内容和保险业1项内容，并根据以上内容进行了进一步统计。

非金融类企业中，有些控制活动如对外投资、关联交易、生产与成本管理等被多次披露，这些控制活动通常是对一些行业或某一规模的企业非常重要的内容，其他活动如反舞弊、安全管理、质量管理等披露较少，具体信息如表8。

银行业企业根据服务种类和面临风险方面的特点，通常会将最重要的风险领域作为内控的重点，例如：信贷业务控制、零售业务控制或资金业务控制作为内控的重要活动，具体信息如表9。

保险业由于行业特殊，在内控自评报告中，将精算管理作为内控的重要控制活动。

（3）信息与沟通。67份报告中，披露信息与沟通情况的企业共29家，占总数量的43.3%。如中联重科（000157）从信息传递、信息系统控制、反舞弊程序三个方面披露信息与沟通工作；南京熊猫（600775）则从内部信息沟通和外部信息沟通两方面披露信息与沟通工作；而部分公司则是简单描述，如“公司建立了较为完备的信息与沟通体系，内部控制相关信息的收集、处理和传递程序规范、运行顺畅，沟通及时有效，促进了内部控制的有效运行”。

（4）风险评估。风险的识别与评估是内控自评工作中的一个重要环节，在67份报告中，披露风险评估情况的企业共33家，占总数量的49.3%。从披露的情况来看，在风险识别中，战略风险、财务风险、市场风险、运营风险、合规风险及舞弊风险是大多数企业特别关注的风险类型；银行业则主要按业务类型对风险进行划分，如招商银行（600036）将风险划分为信用风险、流动性和市场风险、操作风险和声誉风险、合规风险、关联交易风险等。

（5）内部监督。在67份报告中，披露内部监督情况的企业共34家，占总数量的50.7%。从披露的内部监督的情况来看，可以发现，诸多企业已经形成了以监事会、董事会及其下属审计委员会、审计部门为主的三级内控监督体系。《企业内部控制基本规范》要求有条件的企业设置专门的内控机构，但是从67家公司披露的情况来看，很少有企业在评价报告中披露设置专门的内控机构。当前主要的监督职责基本上都由内部审计监督完成，即审计部门接受董事会或其下属审计委员会委托，对日常生产经营活动实施审计检查。

8.内控自评采用的测试方法。67份内控自评报告中，披露内控测试方法的企业共56家，所采用的方法主要是以下六种基本方法：个别访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样。此外，少数企业用到制度审阅法、信息系统取证法等方法，但数量很少，具体信息如表10。

9.内控缺陷认定标准披露情况。内部控制缺陷认定标准的确立是内控评价中的基础性和关键性问题，对于确定内控缺陷，进而对内控缺陷进行整改都有着非常重要的影响。《企业内部控制基本规范》和《企业内部控制评价指引》要求上市公司根据自身情况和关注的重点，确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。

67家公司中，13家上市公司未披露公司是否制定内控缺陷认定标准，54家公司以不同形式、不同程度披露了公司存在内控缺陷认定标准。在这54家公司中，有22家公司披露其制定了内控缺陷认定标准，但是没有详细描述内控缺陷认定标准的具体情况；有32家公司详细描述了公司内控缺陷认定标准，其中有27家公司披露了定量与定性相结合的内控缺陷认定标准，有3家公司披露了定性认定标准，有2家公司披露了定量认定标准。具体如表11。

企业披露的内控缺陷认定标准中，以披露重大内控缺陷认定标准为主。多数公司对重大内控缺陷的认定标准分为定量标准和定性标准两个方面。重大内控缺陷认定的定量标准一般是以某一财务报表指标作为计算基础，以该指标的一定比例作为衡量重要与否的标准，如：营业收入潜在错报≥营业收入总额的0.5%、利润总额潜在错报≥利润总额的5%、所有者权益潜在错报≥所有者权益总额的0.5%等等。

重大内控缺陷的定性标准差异较大，除“董事、监事和高级管理人员舞弊；注册会计师发现当期财务报告存在重大错报而内部控制在运行过程中未能发现该错报；审计委员会和内部审计机构对内部控制的监督无效”这几项在《企业内部控制审计指引》中提及的可能存在重大缺陷的迹象外，还包括如：重要业务缺乏制度控制或制度系统性失效；重要职权和岗位分工中没有体现不相容职务相分离的要求；企业战略、投资、募集资金等重大决策、重大事项、重大人事任免及大额资金的管理程度不科学并造成严重损失；以前年度评价过程中曾经有过舞弊或错误导致重大错报的经历，公司没有在合理的时间内改正所发现的重大缺陷和重要缺陷；不采取任何行动导致潜在错报或造成经济损失、经营目标无法实现的可能性不大；不采取任何行动导致潜在错报或造成经济损失、经营目标无法实现的可能性极大；对存在的问题不采取任何行动有较大的可能导致严重的偏离控制目标的行为；会计人员不具备应有素质以完成财务报表编制工作；控制环境无效等。

尤其值得关注的是，只有东方航空在制定内控缺陷认定标准的同时，制定了公司整体内控有效性判断标准，明确了缺陷类型及数量与内部控制有效性结论的关系，具体如下：

（1）是否存在重大内控缺陷，如“是”则整体内控无效，“否”则整体内控有效；

（2）是否存在3个以上重要缺陷，如“是”则整体内控无效，“否”则整体内控有效。

10.具体内控缺陷披露情况。内部控制缺陷披露是公司内部控制评价报告非常重要的组成部分，通过披露公司在自我评价过程发现的内部控制缺陷，尤其是内部控制重大缺陷和内部控制重要缺陷，一方面可以使投资者对公司的内部控制整体状况及公司运行状况有比较好的把握，另一方面能够督促公司对存在的缺陷进行整改，进而促进公司内控体系的不断优化，为促进企业的健康发展提供基础。

67家公司中，披露公司在报告期内存在内部控制缺陷的有49家，未报告公司存在内控缺陷的有18家。49家披露存在内控缺陷的公司，主要包括以下4种情形：披露公司内控缺陷的个数与内控缺陷内容；仅披露公司内控缺陷的个数；仅披露公司内控缺陷内容；既不披露内控缺陷个数，也不披露公司内控缺陷内容，仅提及公司存在内控缺陷（一般缺陷或重要缺陷），具体情况如表12。

披露公司存在缺陷的49家公司中，仅有1家公司披露其存在1个重大缺陷；2家公司分别披露其存在7个重要缺陷和1个重要缺陷；其余公司均仅披露存在一般缺陷，且缺陷的个数差异较大，个别公司披露多达1000余个，少则只有1个。

通过对49家公司披露的内控缺陷进行分析，可以发现目前披露的内控缺陷主要包括以下几种类型：

（1）设计缺陷和运行（执行）缺陷。如设计缺陷（主要是制度建设方面的问题）和执行缺陷（主要指不按制度流程操作的问题），个别公司的机构设置存在重复、交叉或缺失的情况，有待进一步明确职能定位，划清岗位职责权限；个别子、分公司合同执行情况检查力度不够，合同台账摘要登记不明细。

（2）公司层面缺陷和业务控制层面缺陷。如某公司将缺陷划分为公司层面和业务层面，公司层面存在的问题包括：企业业务层面内部控制的自我评价没有形成完整的工作底稿，只有最终的问题汇总表，未严格按照企业内部控制评价指引要求开展内部控制评价工作；业务层面存在的问题如收入确认存在截止性差异问题等。

（3）信息系统控制（IT）方面的缺陷。如信息系统中应收应付模型有待改进、相应的控制工具（如计算机系统）需要进一步完备、系统用户及权限管理工作有待进一步完善等等。

（4）按公司的经济活动、业务事项进行划分的缺陷。如某银行披露其负债业务方面，需进一步夯实客户基础，努力拓宽存款吸纳渠道，稳定均衡增长，降低存贷比；信贷业务方面，应进一步增强信贷业务客户群风险的识别和控制能力，加强对贷款实际用途的识别和监控，增强银行资金与民间融资的隔离控制，加强贴现票据验票工作；个人金融和中间业务方面，需进一步加强理财产品销售管理工作，完善特色业务和新业务的管理细则，优化代理业务管理流程等。

（5）与财务报告相关的缺陷和与非财务报告相关的内控缺陷。如财务报告内部控制缺陷中会计基础工作方面，表现为存货盘查时个别月份没有签名记录、个别内部固定资产转移台账变更记录的及时性以及员工离职软件系统及时与实际记录核对等；非财务报告内部控制缺陷，表现在公司对外购软件的管理、企业文化建设的完善等。

披露内控缺陷的具体内容见附表。

11.内控缺陷整改披露情况。67家公司中，有49家公司以不同形式披露公司存在内控缺陷，其中44家公司提出了整改计划、整改措施或者要求对缺陷进行整改，5家公司并未提出相应的整改方案或者措施。44家提出内控缺陷整改方案、计划或者措施的公司，在内控评价报告中对整改方案、计划或者措施的描述不尽相同，有的公司表述非常简单；有的公司则将每一类缺陷对应的指引、整改措施详细列出，如中新药业（600329）在内控评价报告中列示了排在前三位的缺陷及其整改措施，首先对缺陷进行描述，再确定缺陷类型，进而将其对应指引，最后提出具体的整改措施。

12.内部控制有效性描述方式分析。根据《企业内部控制规范体系实施中相关问题解释第1号》中有关内部控制评价报告格式要求，对内部控制设计与运行的有效性进行评价后，确认内部控制不存在重大缺陷的，应表述为“报告期内，公司对纳入评价范围的业务与事项均已建立了内部控制，并得以有效执行，达到了公司内部控制的目标，不存在重大缺陷”。

证监会《上市公司实施企业内部控制规范体系监管问题解答2012第1期》对内部控制评价报告格式提出要求：如果不存在重大缺陷，自评报告可采用正面描述的方式直接作出内部控制有效的结论，即“董事会已按照《企业内部控制基本规范》及评价指引的要求对财务报告内部控制进行了评价，并认为其在XXXX年XX月XX日（基准日）有效”。

67家公司披露的内部控制有效性结论中，上述两种方式的表述均存在，另有部分公司表示“未发现重大缺陷”。

我们认为，从文字表述的角度分析，“未发现重大缺陷”与“不存在重大缺陷”或“财务报告内部控制有效”相比，是一种消极的确认方式，所代表的确认程度较低。

（二）内部控制审计报告分析。《企业内部控制审计指引》中规范了内部控制审计报告的格式和内容，包括以下五部分内容：企业对内部控制的责任、注册会计师的责任、内部控制的固有局限性、财务报告内部控制审计意见、非财务报告内部控制的重大缺陷。67份内控审计报告内容与审计指引提供的格式要求基本一致，仅存在部分细节上的差异。

1.67份内控审计报告中表述与审计指引提供的格式要求一致的方面。

（1）内部控制审计的依据。财政部等五部委于2010年发布《企业内部控制审计指引》，中国注册会计师协会也于2011年发布《企业内部控制审计指引实施意见》等文件对注册会计师开展内控审计提出要求。67份内控审计报告中提及的审计依据无一例外都是：《企业内部控制审计指引》及中国注册会计师执业准则的相关要求。

（2）内部控制审计意见类型及描述方式。67份内控审计报告中，除新华制药（000756）被出具否定意见外，其他66份内控审计报告均被出具无保留审计意见。

66份标准内部控制审计报告中有关财务报告内部控制审计意见一般表述为“我们认为，贵公司（XX公司）按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制”，与审计指引提供的格式要求一致。

被出具了否定意见的新华制药（000756）的审计意见中，注册会计师认为，由于存在重大缺陷及其对实现控制目标的影响，新华制药于2011年12月31日未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。另外，根据格式要求，会计师在内控报告中增加了“导致否定意见的事项”段，列举了新华制药存在的两个方面的重大缺陷的内容，并对管理层采取的措施以及内控审计报告对年度财务报表审计的影响给出了相关说明。

（3）发表审计意见的对象。67份内控审计报告均在“注册会计师的责任”部分进行了说明，明确注册会计师的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。

2.67份内控审计报告中表述与审计指引提供的格式要求不一致的方面。

（1）对于是否关注到公司与非财务报告相关部分存在重大缺陷。67家公司披露的内部控制审计报告均未披露关注到公司与非财务报告相关的内部控制重大缺陷，其中65份内部控制报告在披露时直接省略了第五部分“非财务报告内部控制的重大缺陷”的内容，而由天职国际会计师事务所有限公司出具的中海集运（601866）的内控审计报告、大信会计师事务有限公司出具的洛阳玻璃（600876）的内控审计报告则包含这部分内容，具体描述如“在内部控制审计过程中，我们未注意到中海集运的非财务报告内部控制存在重大缺陷”。

（2）发表审计意见针对的时间。根据内部控制审计报告的格式要求，注册会计师在内部控制审计报告第一段已经明确了其发表内部控制审计意见是针对报告基准日时点，即“按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了XX公司2011年12月31日的财务报告内部控制的有效性”，但并没有要求在审计意见段再次强调基准日时点的概念，而是表述为“我们认为，XX公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。”

67份内控审计报告中，所有报告均按格式要求在第一段即明确了针对报告基准日发表审计意见的原则，但部分审计报告在审计意见段再次强调了这个原则，即表述为：我们认为，XX公司于2011年12月31日按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。