2008年5月，财政部、证监会、审计署、银监会和保监会联合发布了《企业内部控制基本规范》。2010年4月，五部委又联合发布了18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，自2011年1月1日起首先在境内外同时上市的公司施行，2012年实施范围扩大到国有控股主板上市公司。

为了全面、深入了解我国上市公司实施企业内部控制规范体系情况，财政部会计司会同证监会会计部组成课题组，密切跟踪上市公司内部控制体系建设与实施情况，开展了对我国上市公司2012年执行企业内部控制规范体系情况的分析工作，并总结了实施以来取得的成效。

一、企业内部控制规范体系实施情况

截至2012年12月31日，沪、深交易所共有上市公司2492家。按照《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》的要求，2012年，境内外同时上市公司（不包括2012年1月1日之后上市的境内外同时上市公司）和国有控股主板上市公司（不包括属于《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》规定中第4种特殊情况的上市公司）须实施企业内部控制规范体系。经统计，2012年纳入实施范围的上市公司共853家，其中境内外同时上市公司76家，国有控股主板上市公司777家（如上市公司既属于境内外同时上市公司，又属于国有控股上市公司，则将其归为境内外同时上市公司）。

（一）2012年上市公司内部控制信息披露总体情况。

1.内部控制评价报告披露情况。2012年，共有2244家上市公司披露了内部控制评价报告，占沪、深交易所2492家上市公司的比例为90.05%。在2244家披露内部控制评价报告的上市公司中，有8家上市公司披露存在内部控制重大缺陷，分别为：佛山照明（000541）、西王食品（000639）、山东如意（002193）、海联讯（300277）、*ST长油（600087）、长春经开（600215）、北大荒（600598）、中材国际（600970），披露比例为0.36%。在2244家披露内部控制评价报告的上市公司中，2241家上市公司的内部控制评价结论为有效，占比99.87%；3家上市公司的内部控制评价结论为无效，分别为：北大荒（600598）、万福生科（300268）、海联讯（300277），占比0.13%。

2.内部控制审计报告披露情况。2012年，共有1532家上市公司披露了内部控制审计报告，占沪、深交易所2492家上市公司的比例为61.48%。其中，内部控制审计结论为标准无保留意见的上市公司为1506家，占比98.3%；非标意见共26家，其中带强调事项段的无保留意见为22家，占比1.44%，否定意见为4家，分别是：北大荒（600598）、贵糖股份（000833）、天津磁卡（600800）、海联讯（300277），占比0.26%。

（二）2012年纳入实施范围上市公司内控规范体系实施情况。

2012年，纳入实施范围上市公司共有853家，包括839家A股上市公司和14家B股上市公司。

1.总体情况。纳入实施范围的853家上市公司集中在中央及地方国有控股企业，具有规模较大、经营业绩较好等特征。853家公司2012年年末总资产为1103652亿元，平均总资产为1294亿元；853家公司的2012年度总的净利润为17882亿元；平均净利润为21亿元。853家公司2012年度营业总收入为202974亿元，占我国2012年国内生产总值519322亿元的39%，在国民经济中占有重要的地位，具有较强的代表性。其中，营业总收入小于1亿元的中型企业8家，1亿元至10亿元的大中型企业141家，10亿元至100亿元的大型企业489家，100亿元以上的特大型企业215家。就行业分布而言，按照中国证监会《上市公司行业分类指引》中的行业分类标准，纳入实施范围的853家公司的行业分布情况如表1所示。

2.内部控制评价报告披露情况。2012年，纳入实施范围的853家上市公司全部披露内部控制评价报告。其中，852家公司的内部控制评价结论为有效，占比99.88%；1家公司（北大荒）的内部控制评价结论为无效，占比0.12%。在纳入实施范围的853家上市公司中，575家披露了内部控制缺陷认定标准，占比67.41%；278家未披露内部控制缺陷认定标准，占比32.59%。纳入实施范围上市公司内部控制缺陷披露情况：245家披露了内部控制缺陷，占比28.72%；608家未披露内部控制缺陷，占比71.28%。纳入实施范围上市公司内部控制缺陷分等级披露情况如下：4家（次）上市公司披露了内部控制重大缺陷，总共存在15个重大缺陷；22家（次）上市公司披露了内部控制重要缺陷，总共存在223个重要缺陷；243家（次）上市公司披露内部控制一般缺陷，总共存在2359个一般缺陷。在纳入实施范围的853家上市公司中，有382家公司披露聘请了内部控制咨询机构，占比44.78%；471家公司未披露是否聘请内部控制咨询机构，占比55.22%。

3.内部控制审计报告披露情况。2012年，纳入实施范围的853家上市公司全部披露内部控制审计报告。其中，831家上市公司的内部控制审计意见为标准无保留意见，占比97.42%；3家上市公司（具体名单如表2所示）因存在财务报告内控重大缺陷被注册会计师出具否定意见，占比0.35%；19家上市公司（具体名单如表3所示）的内部控制审计意见为带强调事项段的无保留意见，占比2.23%；非标准内控审计报告共22份，占比2.58%。

在纳入实施范围的853家上市公司中，除3家被出具否定意见的上市公司存在财务报告内部控制重大缺陷外，还有6家上市公司被注册会计师披露了非财务报告内部控制重大缺陷，具体情况如表4所示。

2012年，为纳入实施范围的853家上市公司提供内部控制审计服务的事务所共计43家。纳入实施范围的853家上市公司中，除20家公司单独实施内部控制审计外，其余833家公司均采取内部控制审计和财务报表审计相互整合的形式。这表明，整合审计是目前上市公司内部控制审计的主流方式。

二、企业内部控制规范体系实施取得的成效

企业内部控制规范体系发布实施以来，财政部、证监会等部门精心组织、周密安排，密切跟踪内部控制规范实施过程中反映出来的各种突出问题，采取多种措施积极推动我国上市公司和国有大中型企业施行企业内部控制规范体系；各实施企业高度重视、严格实施，组建工作机构、编制实施方案、梳理业务流程、优化信息系统、实施自我评价并配合完成内部控制审计；有关咨询机构和会计师事务所强化服务、规范执业，协助企业建立健全合规并具有自身特色的内部控制体系，对公司财务报告内部控制有效性发表审计意见，有效发挥了中介机构的重要作用。总体来看，企业内部控制规范体系运行平稳、执行有效，实施范围不断扩大，全面提升了企业的经营管理水平及风险防范和应对能力，并为进一步提高财务信息披露质量发挥了重要积极作用。

（一）企业内部控制体系建设中取得的成效。

1.实施企业对内部控制的重视程度普遍提高。总体来看，各实施企业普遍重视内部控制体系建设与实施工作，将其视为提升企业管理水平的工作平台及有利契机，纷纷成立内部控制专门机构，指定或抽调业务骨干，建立责任明确、沟通顺畅、配合联动的工作推进保障机制，从而确保优质高效地完成企业内部控制规范体系实施工作。例如，有些企业将内部控制纳入公司治理层、高管层工作例会固定议题，持续关注工作进展并解决重要问题；有些企业高管层要求自身及中层、骨干人员全程参与企业内控体系建设与实施工作，使其深刻理解内部控制的实质并与本职工作紧密结合；还有些企业高管层根据自身实际，提高内控评价频率并将内控工作与绩效考核挂钩，有效推动了企业内部控制规范体系实施工作。

2.实施企业经营管理水平有效提升实施企业依据《企业内部控制基本规范》及配套指引要求，根据自身管理实际，全面系统梳理在公司治理、组织架构、职责分工、权限设置、风险评估、流程设计、制度执行、信息与沟通、内部监督等方面的薄弱环节，针对薄弱环节查漏补缺。在职责分配上，厘清职责分工、防范推诿扯皮；在重要业务流程梳理上，理顺各流程关键环节，减少流程断点，实现流程闭环，提高工作效率；在人才培训上，加强培训与实践操作，培养内控专业人才；在系统建设上，将内控要求逐步融入信息系统，提高工作效率与效果，最终形成一套职责更明晰、流程更高效、制度更规范、执行更有力的内部控制体系，全面提升了实施企业的经营管理水平。

3.实施企业风险防范与应对能力显著提高。在企业内部控制规范体系实施过程中，各实施企业贯彻以“风险为导向”的工作思路，紧密围绕公司战略目标，全面系统地识别可能存在的各类风险，建立科学的风险分析与评估程序，根据风险发生可能性和影响程度评定风险等级，针对识别出的各类风险，明确责任部门，确定应对措施，使风险管控措施融入日常管理工作中，并强化全体员工风险管理意识，形成恰当的风险文化，全面提升企业风险防范与应对能力。有些企业将风险因素与部门、具体岗位进行对接，实现了风险管控的落地；还有些企业针对重要风险明确了关键风险指标，逐步实现量化数据的预警，同时制定风险防范与应对预案，有效防范了企业各类风险的发生。

（二）企业内部控制评价工作中取得的成效。

1.内部控制评价工作趋于规范并体现企业特色。2012年，越来越多的实施企业能够按照《企业内部控制基本规范》及《企业内部控制评价指引》要求，认真、规范开展了内控测试、缺陷认定以及出具评价报告等工作并逐步体现企业自身特色。有些企业结合自身所处行业特点、管理薄弱环节以及当年管理的高风险领域合理确定内部控制评价范围，有针对性检查内部控制实施效果；有些企业在程序、资源配备等方面将内控评价与公司已有的监督检查活动（例如ISO体系审计等）进行充分、有效整合，在保证评价独立性及合规要求的基础上，实现企业成本与效益的平衡优化。

2.完善自我监督程序，形成内部控制评价长效工作机制。为保证内控实施效果，2012年多数实施企业建立健全了内控评价制度，从制度层面上明确了评价工作责任部门、工作程序与具体要求等内容，并加强内部控制日常监督和专项监督，形成了覆盖全面、重点突出，持续自我监督与完善的评价工作长效机制，不断检查内部控制体系中存在的问题并加以持续改进，使企业内部控制体系的运行形成良性循环，管理水平不断提升。

3.披露内控评价报告的公司数量稳步上升，报告信息量增大、可读性增强。从披露数量来看，2008年至2012年，披露内部控制评价报告的上市公司从1076家增加至2244家，披露比例也从67%增加至90%（具体数据见图1），披露绝对数以及比例均呈较大幅度上升趋势。

从披露内容来看，内控评价报告所包含的信息愈来愈丰富。有些企业结合宏观经济发展及行业特点，披露报告年度企业重大风险及应对措施；有些企业披露内控缺陷情况，既按照缺陷等级区分一般缺陷、重要缺陷、重大缺陷，也按照缺陷性质区分财务报告内控缺陷与非财务报告内控缺陷，从而实现对内控缺陷更为精细、全面的审视和改进；还有些企业披露了下一年度内控工作计划及安排，增加了内部控制评价报告的可读性，为报告使用者提供了更多可供参考的信息。

（三）内部控制审计工作中取得的成效。

1.内部控制审计执业趋于规范，审计监督的作用逐渐凸显。从审计准则执行来看，2012年越来越多的注册会计师能够按照《企业内部控制审计指引》及相关执业准则的要求，认真制订审计计划，合理确定审计范围与重点审计领域，严格实施控制有效性测试，有效识别、评价内控缺陷，形成恰当审计意见，如实出具内控审计报告。从审计成效来看，2012年更多的注册会计师在审计过程中，保持应有的职业怀疑态度，勤勉尽责执业，努力发现上市公司存在的财务报告内部控制缺陷，充分关注、披露非财务报告内部控制缺陷，并提出针对性的改进建议。同时，通过周密安排内控审计实施时间，为上市公司预留足够的缺陷整改时间，及时跟进整改进展，通过及时有效的整改促进上市公司内控水平的不断提高。

2.披露内控审计报告的公司数量逐步上升，报告质量逐年提高。从披露数量方面看，2008年至2012年，聘请会计师事务所对内部控制有效性进行审计并出具审计报告的上市公司数量从316家增加至1532家，出具报告比例也从20%增加至62%（具体数据见图2），披露绝对数以及比例均有较大幅度上升。

从内控审计结果方面看，2012年，在853家纳入实施范围的上市公司中，因存在财务报告内控重大缺陷而被注册会计师认定公司内部控制无效的公司有3家；被注册会计师认定存在财务报告内控重大缺陷或非财务报告内控重大缺陷的公司有8家；被注册会计师出具了带强调事项段的无保留意见内部控制审计报告的上市公司有19家。非标准内控审计报告共22份，占比2.58%，较上年非标准内控审计报告占比1.49%有所增加。非标准内控审计报告数量和比例的提高，以及内控审计报告意见“差异化”趋势在一定程度上反映了当前我国上市公司实施内控规范的现状和水平，内控审计报告的监督效能进一步提升。

（财政部会计司供稿）