我国企业内部控制规范体系实施情况的调查报告.doc

1、我国企业内部控制规范体系实施情况的调查报告2012 年 3 月 29 日2010 年 4 月 26 日，财政部会同证监会、审计署、银监会、保监会发布了企业内部控制配套指引。该配套指引连同此前发布的企业内部控制基本规范，标志着中国企业内部控制规范体系基本建成。为确保企业内控规范体系顺利实施，财政部等五部门要求自 2011 年 1 月 1 日起在境内外同时上市的公司率先执行企业内控规范体系。为及时全面了解我国企业内控建设的现状，分析内控规范体系在实施过程中存在的问题，财政部“企业内部控制规范体系实施与监管” 课题组通过问卷调查的方式，对我国企业内控规范体系实施现状进行了调查研究。通过问卷调查，对我

2、国企业内控规范体系建设的现状、存在的问题有了比较充分的了解，为下一步推动内控规范体系在我国的全面实施奠定了坚实的基础。一、问卷调查基本情况本次问卷调查在全国范围内展开，以财政部办公厅发文形式下发到各省、自治区、直辖市、计划单列市财政厅（局），新疆生产建设兵团财务局，有关中央管理企业和上市公司，调查对象主要针对企业内部控制部门负责人、财务总监（或总会计师）、董事会秘书、总经理以及董事长，共收回问卷 1100 份，剔除信息不详、资料不完整的问卷 287 份，最终得到有效问卷 813 份，样本有效率73.91%。样本保持了在公司性质、规模、行业等方面的广泛分布。其中：（一）按公司登记注册类型来看，国

3、有企业为 256 家，占31.49%；有限责任公司为 182 家，占 22.39%；股份有限公司 312 家，占 38.38%；其它企业如股份合作企业、集体企业、私营公司均占比重较小。（二）按单位隶属关系来看，其中中央属企业 170 家，占20.91%；省（自治区、直辖市）属企业 170 家，占 20.91%；地（州、市）属企业、县（区）属企业及其他企业所占比均与央属、省属占比相差不多；由此可见样本较具代表性。（三）股份制企业 416 家，占 51.2%；其中上市公司 336 家，占 80.77%，境内上市公司 263 家，境内外同时上市公司 36 家，境外上市企业 37 家。（四）按企业规模

4、分类来看，资产规模超过 10 亿的企业达到 442 家，销售额超 10亿的企业 372 家，人员规模超过万人的企业 111 家。从行业分布来看，制造企业占比最大为 46%，电力行业、综合类企业、交通运输企业、批发和零售贸易业居前。具体行业比重见附表 1。需要指出的是，问卷中很多项目的设计均用数值表示调查对象对此项目的态度，如对内部控制规范体系的熟悉和了解程度，设置了 0、1、2、3、4、5 六档数值，若回答 5 表示调查对象对内部控制规范体系完全熟悉，若回答 0 则表示调查对象对内部控制规范体系完全不熟悉，即回答的数值越高表示熟悉和了解的程度越高。因此在下面的分析中，对很多项目的分析评价将用数

5、值表示。二、企业对内部控制的认知、宣传、培训情况（一）从对内部控制规范体系的熟悉和了解情况看，企业平均得分为 3.45，股份制企业平均分为 3.54，上市企业平均分为 3.63，表明企业对于内部控制规范体系的熟悉和了解程度还比较高，上市企业的熟悉程度更高一点，这与财政部等五部委 2008 年发布的企业内部控制基本规范有关，即要求企业内部控制基本规范首先在上市公司范围内施行。（二）从对内部控制规范体系的了解渠道来看，以主管部门下达的文件和公司组织的培训为主，考虑到我国特殊的制度背景，政府在内控的推动实施中扮演着重要的角色，这一点不难理解。（三）从公司实施内控规范体系的原因和动机来看，选择促进企业

6、目标实现的达 71.96%，远高于国家强制规定、境内外资本市场要求等原因，可见企业推行实施内控规范体系主要目的还是为了提升企业应对风险的能力，进而促进企业目标实现。详见附表 2。三、内部控制规范体系实施情况及组织情况（一）在所获取的 813 个样本中，有 735 家企业按照要求实施了内部控制规范体系，占 90.41%，这可能与中央政府以及地方政府的强制推动有关。有约 87.5%的企业制定了内部控制实施计划，上市公司的制定率为 92%，说明内部控制规范体系的执行情况比较好，特别是上市公司的执行情况更好一些。（二）在企业内部控制制度的建设方面，企业得分均值为3.61，上市公司均值为 3.78，说明

7、上市公司在内部控制制度的建设方面较为领先；从行业分布来看，金融行业制度建设情况最好，这与金融行业的内部控制制度与风险管理制度的建设早、要求严都有很大的关系。见附表 3。（三）关于企业内控归口部门，比较集中的是财务部，值得注意的是在其他类中，填写审计部及负责审计职能的如内审考核部、稽核部的企业也很多，约有 107 个。因此，审计部门被认为是除财务部以外的第二大内控归口部门。另一方面也表明现在企业中还较少成立专门的内控部门或者风险管理部门。从上述企业的牵头部门可看出：一些企业的内控以“财务内控”为主体，而一些风险管理水平较高的企业（如金融企业和一些开展了全面风险管理的央企）则表现出以“合规内控/风

8、险内控”为侧重点的特征。此外，在深度分析时发现，一些行业合规性监管要求较高和风险管理水平较高的企业，其内部控制呈“全面管理内控” 的特征；反之，若仅仅是为了满足资本市场的监管要求的企业（尤其是上市公司）则以“财务内控 ”为主，这一点也正好印合了证监会于 2010 年12 月 31 日发布的201037 号公告，即要求上市公司在 2010 年年报中披露财务报告内部控制相关信息。（四）在组织实施情况方面，从整体上看，企业倾向于内部成立专门的部门或者成立内控团队来执行基本规范。但上市公司则倾向于由外部顾问团队以及内设内部控制部门的方式进行建设，究其原因，我们认为这与上市公司考虑到未来内控评价报告的披

9、露有关，他们为了将来能顺利通过内控审计，在内控建设上希望获得更多的外部支持以确保顺利过关。顾问团队的选择上，也体现了这一特点，从整体看，企业更多地将国内事务所作为首选项，而上市公司则将四大作为首选，这也表明上市公司首先考虑到内控审计的通过。四、对内控规范体系的设计和适用情况的评价2010 年建成的内部控制规范体系被认为融合了国际经验，并结合了中国实际，企业也积极推动实施，那么内控规范体系的设计是否合理呢？在多大程度上适用于公司呢？调查结果显示，企业对内控规范体系设计的合理性、全面性和理解性评分较高，但对其可操作性和适应程度评分较低，这表明制度本身较易理解，但如何执行，使基本规范更具操作性，提高

10、适用度则是监管部门在下一阶段需要着重解决的问题。见附表 4。五、内控规范体系实施情况评价（一）总体分析。从执行的效果来看，按照一级指标，实施前五项要素（内部控制环境、风险评估、控制活动、信息与沟通、内部监督）之和的平均值为 15.75，实施后平均值为 19.15；二级指标和的均值实施前为199.43，实施后为 235.19，均显示出内部控制规范体系实施前后有明显的变化。见附表 5。（根据企业内部控制基本规范的五大要素和具体细则，问卷制定了包括内部环境、风险评估、控制活动、信息沟通和内部监督在内的五大一级指标以及下设 61 个二级指标，每个指标 0-5 分，一级指标总分 25 分，二级指标总分

11、305 分。）从板块上看，非上市公司基础差，一级指标和二级指标均较上市公司有一定距离，但提高明显，上市公司实施前后均得分高，但提高程度不如非上市多。从行业上看，金融行业水平明显高于其他企业，也高于上市公司均值，显示金融业的内控水平相对较高。见附表 6。从各分项看，内部控制规范体系对内控环境、风险识别等因素影响程度较大，对信息交流与沟通因素影响较小。见附表 7。（二）分项分析。从附表 6 19 可知，内控环境、风险控制、控制活动、信息与沟通以及内部监督在实施前后均有明显变化，总体提升都比较明显，并且从分布上看上市公司得分较高，说明上市公司在内部控制制度的建设方面较为领先，非上市企业在内控方面相对

12、比较薄弱。在行业分布上，金融行业得分较高，这与其关注风险管理、内控建设起步较早有关。对五大要素的二级指标进行分析：关于内控环境，从因子的迁徙情况来看，实施后企业更关心管理层是否积极管理风险和认知度，以及管理层是否有这样的能力，而变化最大的分项则说明实施的关键是否责任明确，建议规范明确管理者在内控管理中的责任；关于风险控制，就因子情况来看，风险评估中最关心的问题是目标实现的关键因素以及目标设定的先进性和合理性；关于控制活动，从因子指标来看政策与程序的变化程度相当，二级指标第一第二位也未发生变化，表明企业在内控措施方面仍然重视日常财务以及解决运营问题，只是在考虑层面上更为具体；关于信息与沟通，从因

13、子迁徙情况看，前后变化并不明显；关于内部监督，从因子迁徙上看，三大因素没有发生变化，只是操作层面更为重视如何进行内部监督。综合分析五个方面，从整体因子的迁徙情况看，在基本规范及其配套指引实施后，企业逐步从概念层转入关注实际操作和运行层面，更关注在实际工作中的作用。如何出台相应的指导意见指导企业具体执行就显得尤为重要。六、内控规范体系实施效果评价调查显示，目前基本规范及配套指引的有效程度为 3.73，表明该规范及其配套指引得到了企业的认可，总体有效程度较高，从内控五个目标来看，情况各异，财务真实、合法合规、资产安全成为最具保证程度的目标，其次是实现战略的保证程度，同时也显示规范对企业经营效率效果

14、的保证程度最低。值得引起注意的是，内部控制规范体系在保证财务报告真实可靠目标方面的得分在以下三个分类中均得分最高，这也一定程度上印证了财务报告内部控制的有效性是监管机构要求的最低目标，在一定程度上显示出政府监管的有效性。见附表 20。七、企业内部控制自我评价、外部审计情况内控规范体系要求企业对内部控制进行自我评价，并经外部审计机构审计。这一要求对于明确企业董事会和管理层的责任，保证内部控制的有效性，保护外部投资者的利益具有重要的作用。（一）从是否设置内部控制自我评价机构来看，设置了内部控制自我评价机构的有 569 家，占比 70%；没有设置内部控制自我评价机构的有 191 家，占比约 23%；

15、不清楚是否设置了内部控制自我评价机构的有 53 个回答者，占比 7%。（二）在是否制定内部控制自我评价这一项上，有 602 家企业制定了内部控制自我评价办法，占比约 74%；170 家企业并未制定内部控制自我评价办法，占比约 21%；另外还有 41 个回答者表示并不清楚，占比约 5%。（三）对于控制过程中发现的内部控制缺陷应该及时进行报告，以便及时发现问题进行整改。调查显示约有 86%的企业及时发现内控缺陷并上报，7%的企业没有做到这一点，另外 7%的回答者则表示并不清楚。（四）在内控评价报告是否报经外部审计师审计这一项，有391 家企业回答“ 是” ，占比 48%；有 356 家企业回答“否

16、”，占比44%；还有 66 个回答者表示并不清楚，占比 8%。前面统计上市企业有 336 家，可见许多企业已经开始主动将内部控制自我评价报告提交外部审计师审计。（五）在内部控制自我评价报告和审计报告是否对外披露这个问题上，有 394 家企业选择“是” ，占比约 48%；有 350 家企业选择“否”，占比约 43%；还有约 9%的回答者表示不清楚。上市企业 336家，均强制要求披露内部控制自我评价报告和审计报告，调查显示有 394 家企业回答“ 是” ，表明有一部分企业已经主动进行内控自我评价并经外部审计，且均在年度报告中有所披露。八、企业内部控制缺陷认定情况对于当前内控规范体系实施存在的障碍，

17、调查表明存在的问题是缺乏熟悉内部控制的专业技术人才、内部控制缺陷认定标准存在难度等。见附表 21。对于内部控制缺陷的认定这一问题，能够明确提出缺陷标准的企业只有 47 家，占总数的 5.8%，大部分企业未明确回答缺陷标准。在回答较好的当中仍以财务缺陷为主，且相对清晰，其他标准均为定性判断角度，显示在缺陷标准认定环节，国内企业仍需加强。有关内控缺陷的认定标准可以归纳为以下几个方面：（一）财务因素：通过对财务的影响及错报情况来确定。例如：资产总额潜在错漏大于资产总额的 0.5%或 1100 万元且小于资产总额的 1%或 2200 万元。收入潜在错漏大于收入总额的 0.5 或 330 万元且小于收入

18、总额的 1%或 660 万元费用及支出潜在错漏大于费用及支出总额的 0.5%或 230 万元且小于费用及支出总额的 1%或 460万元。（二）风险因素：通过风险评价进行判定。例如，通过对风险因素发生的可能性，结合风险影响程度和发生的可能性形成风险矩阵，将因风险因素形成的高、中、低影响与重大缺陷、重要缺陷和一般缺陷进行链接，制定内控风险评估标准。（三）目标偏移度：从导致企业无法及时防范或发现偏离整体控制目标的程度进行判断。例如对存在问题不采取行动、有一定的可能性导致较大范围的目标偏离，认定为重要缺陷。九、政府监管部门应当发挥的作用调查显示，实施内控规范体系的企业希望财政、证监等部门在以下方面发挥

19、作用：（一）加强宣传，普及教育推广，强化风险防范和责任意识，为全面贯彻实施企业内部控制规范体系营造良好的环境基础。（二）加强内控业务培训，切实提高人员技能素质，重点培训企业高级管理人员和相关监管部门的工作人员，并将内控规范培训纳入会计人员继续教育内容。（三）考虑到内控人员的职业发展，建议在全国推出资格认证，并提供考试和培训。（四）完善企业内控规范体系实施前的各项准备工作，协调好内控规范体系与其他法规制度的一致性，为拟执行内控规范体系的企业提供可靠有力的保证，确保内控规范体系的实施工作平稳、有序、顺利进行。（五）分行业制定详细的内部控制操作手册，将典型案例研究作为操作指南向企业内部推广；通过个性

20、化的代表案例分析，分析成功企业内部控制与经营成果之间的必然联系；同时在案例选取方面应当是多种所有制结构的，包括国有、民营、外资等。（六）推进企业信息化建设，促进企业自我完善和监督：积极引导并加强企业对自身内部控制有效运行的自我完善与监督，特别是要加强引导企业信息系统建设工作，将企业的内部控制建设与监管工作建立在良好的信息系统基础之上，同时加强并促进企业内部控制文化建设，营造内部控制实施并有效运行的良好氛围，保证内部控制监管体系深入到企业的每一个方面。（七）规范中介机构管理，要加强对企业和会计师事务所执行内部控制规范体系的监督检查力度，对违反内部控制规范要求的单位和个人依法严肃处理；加强对相关中介机构的监管，严格执业认定，完善专业培训，提高质量管理，积极发挥其内控鉴证业务的质量和公允性。（八）要加强部门沟通，协调监管政策，规范监管口径，形成监管合力，提高监管效能。（九）加大违法处罚力度，提高企业内控的违规成本，强化企业内部控制。（十）推进企业内部控制规范国际交流与合作，争取在内部控制建设所依据的规范、内部控制审计所遵循的准则及注册会计师相关业务监管要求等方面，建立互认机制，切实降低中国企业境外融资成本。附：表 1 按行业划分统计表行业分布 样本数 占比一、制造企业 378 46.49%二、电力、煤气及水的生产和供应业 66 8.12%