内控规范体系情况分析报告财政部会计司.docx
《内控规范体系情况分析报告财政部会计司.docx》由会员分享,可在线阅读,更多相关《内控规范体系情况分析报告财政部会计司.docx(18页珍藏版)》请在冰点文库上搜索。
内控规范体系情况分析报告财政部会计司
内控规范体系情况分析报告
——基于2011年内控评价报告、内控审计报告的分析
财政部会计司证监会会计部
2010年4月26日,财政部、证监会、审计署、银监会和保监会联合发布《企业内部控制配套指引》,标志着融合国际先进经验、结合中国实际的企业内控规范体系基本建成。
为确保企业内控规范体系顺利推进实施,财政部等五部委确定,企业内控规范体系自2011年1月1日起首先在境内外同时上市的公司施行。
按照要求,境内外同时上市公司在2011年会计年度结束后,应随年度报告一同披露企业内部控制评价报告以及内部控制审计报告。
财政部、证监会作为推动上市公司实施企业内控规范体系的主管部门,一年多来采取多种措施推动内控实施,也密切关注、跟踪企业内控规范体系在不同公司的实际建立实施情况及其过程中反映的突出性问题。
为了全面、深入了解境内外同时上市公司2011年实施企业内控规范体系的情况,总结经验、发现问题、查找不足,更好地推动企业内控规范体系在更大范围内实施,财政部会计司会同证监会会计部联合开展了对我国境内外同时上市公司2011年执行企业内控规范体系情况的分析工作。
我们希望通过此次分析掌握了解我国境内外同时上市公司的内控建设情况,相信该分析报告能在一定程度上反映我国内控建设的现状,从而为我国上交所、深交所主板上市公司及其他类别企业实施企业内控规范体系提供一定的借鉴。
一、基本情况
(一)样本选择与数据来源
本报告所指境内外同时上市公司,是指既在我国境内资本市场上市,又在其他国家或地区证券市场上市的企业。
境内外同时上市并非要求同步上市。
按此标准,截至2010年12月31日,我国境内外同时上市的公司为67家(具体情况如表1)。
这67家公司按照五部委的要求,从2011年1月1日起,开始执行企业内控规范体系。
本文所用67家公司披露的内控评价报告、内部控制审计报告以及相关数据来自深交所、上交所网站以及数据库和CSMAR数据库,并经手工整理。
表1境内外同时上市公司的基本信息
(二)境内外同时上市公司特征分析
1。
行业分布
按照中国证监会《上市公司行业分类指引》中的行业分类标准,上述67家境内外同时上市公司主要分布在制造业、交通运输业、金融保险业和采掘业,所占比例分别为40.3%、17.9%、16.4%、10.4%。
制造业所占比例最大,其二级分类中,机械设备子行业所占比例最大,占所有境内外同时上市公司的19.4%;其次是金属非金属行业,占比10.4%。
电力、建筑、信息技术所占比例均较小。
房地产业和社会服务业都只有1家公司,分别是北辰实业和创业环保两家公司。
2。
企业规模
67家公司2011年主营业务总收入为人民币121,327亿元,约为我国2011年国内生产总值471,564亿元的四分之一,可见67家公司在我国国民经济中的重要地位。
67家公司2011年主营业务收入全部超过人民币1亿元,为了准确衡量67家公司的规模,我们按照2011年主营业务收入进行分类,分为主营业务收入少于10亿元的大中型企业、10亿元至100亿元的大型企业、100亿以上的特大型企业三类。
具体情况如表2.
表267家公司按主营业务收入划分统计表
(三)境内外同时上市公司2011年年度财务报告、内控评价报告及内控审计报告的基本情况
1.2011年年度财务报告、内控评价报告以及内控审计报告情况
截至2012年4月30日,67家公司全部披露了2011年年度财务报告、内控评价报告以及内控审计报告。
在67份年度财务报告中,被注册会计师出具标准无保留意见审计报告的有65份;被出具带强调事项段的无保留意见审计报告的有1份,为中国中冶(601618);被出具保留意见审计报告的有1份,为ST科龙(000921).
67份内控评价报告中,66家公司对本公司的内控做出有效的结论;1家公司对本公司的内控做出无效的结论,即新华制药(000756)。
新华制药(000756)在评价中发现报告期内存在一项重大缺陷,即子公司山东新华医药贸易有限公司对客户授信额度过大导致较大经济损失。
因此,新华制药(000756)披露其在报告期内,公司未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制,即内控无效。
67份内控审计报告中,66家公司被出具标准无保留意见;新华制药(000756)被出具否定意见,其审计师在出具的内部控制审计报告中披露了新华制药内部控制存在的重大缺陷。
2。
年报审计事务所、内控审计事务所情况分析
为67家公司提供年度财务报告审计的事务所共10家,其中“四大”会计师事务所(普华永道会计师事务所有限公司、德勤华永会计师事务所有限公司、安永华明会计师事务所、毕马威华振会计师事务所)审计的上市公司为48家,占全部67家公司的71.6%;国内其他会计师事务所审计的上市公司为19家,占全部67家公司的28.4%。
为67家公司提供内控审计的会计师事务所共12家,其中“四大”审计的上市公司为46家,占全部67家公司的68.7%;国内其他事务所审计的上市公司为21家,占全部67家公司的31.3%。
67家公司年度财务报告和内部控制经同一家会计师事务所审计的有64家,占全部67家公司的95.5%,只有3家公司分别聘请不同的会计师事务所为公司提供年度财务报告审计服务和内控审计服务。
二、研究分析
(一)内部控制评价报告分析
67家公司所披露的67份内控评价报告在格式、内容等方面均存在较大差异,本报告将从以下12个方面进一步分析。
1。
内部控制评价报告名称
财政部于2012年2月印发了《企业内部控制规范体系实施中相关问题解释第1号》,制定了企业内部控制评价报告的参考格式,其中对内控评价报告的名称表述为“XX公司20xx年度内部控制评价报告”。
67家公司披露的内部控制评价报告从名称上来说,主要分为两类:
一类名称如“XX公司2011年度内部控制评价报告”,这类报告有54份,占80.6%。
另一类名称如“XX公司2011年度内部控制自我评价报告”,这类报告有13份,占19.4%。
2。
内部控制责任主体认定
根据《企业内部控制基本规范》、《企业内部控制规范体系实施中相关问题解释第1号》等文件的规定,建立健全并有效实施内部控制是公司董事会的责任;监事会对董事会建立与实施内部控制进行监督;经理层负责组织领导公司内部控制的日常运行。
从公司内部控制责任主体认定和划分上来看,绝大部分公司对于内部控制责任主体的认定很清晰,仅有少数公司未在内控评价报告中披露相关信息。
67份内控评价报告中,64家公司将内控的责任主体认定为董事会,在内控评价报告中的表述如“建立健全并有效实施内部控制是公司董事会的责任”或者“公司董事会对建立和维护充分的财务报告相关的内部控制制度负责”;1家公司将内控的责任主体认定为董事会及管理层,即中国石化(600028),其具体表述如“建立、维护并有效实施内部控制是本公司董事会及管理层的责任;管理层负责组织领导公司内部控制的日常运行”;2家公司(东北电气、宁沪高速)未在内控评价报告中明确具体的内部控制责任人,具体见图1.
图1内部控制责任主体分布情况
3。
内部控制目标
67家公司在内控评价报告中全部披露了公司内部控制的目标,从披露的具体内容看,可以分为以下两类:
(1)以财政部等五部委在《企业内部控制基本规范》中确定的内部控制五目标为公司内部控制目标的有43家。
(2)以财务报告相关内部控制目标作为公司内部控制目标的有24家公司。
24家公司确定的财务报告相关内部控制的目标差别很小,大多表述如“保证财务报告信息真实完整和可靠、防范重大风险”,也没有提及经营的合法合规性、资产的安全等目标。
以两种不同形式披露内部控制目标的公司具体分布情况见图2.
图2内部控制目标披露分布情况
4。
内部控制评价的依据
2011年是境内外同时上市公司首次执行企业内控规范体系,开展内控评价工作对一些企业来说还比较陌生。
财政部等五部委于2010年发布的《企业内部控制配套指引》为上市公司开展内控评价工作提供了重要指导。
67家公司在其内部控制评价报告中以不同的形式披露了内部控制评价的依据,包括所依据的内部规章以及外部法律法规等。
由于不同公司在内控评价工作中依据的公司内部控制评价手册等内部规章有所不同,因此本部分“内部控制评价的依据”是指公司开展内控评价工作所依据的外部法律法规等文件。
67家公司全部披露《企业内部控制基本规范》是内部控制评价的依据,其中61家公司披露其内部控制评价工作的依据是《企业内部控制基本规范》及其配套指引。
这61家公司中,包括具体的以评价指引或应用指引为依据的公司。
67家公司中,有14家上市公司(不包括没有详细列举所依据的其他法律法规和规章制度名称的公司)在内控评价报告中披露的内控评价工作依据不仅包括《企业内部控制基本规范》及其配套指引,还包括其他法律法规或者规范性文件,占67家公司的20.9%。
此外,14家公司披露的评价依据还包括证监会《上市公司信息披露管理办法》、香港联交所《企业管治常规守则》等。
5。
具体负责组织实施内控评价工作的部门
董事会负责建立健全并有效实施内部控制,在董事会及其下属专业委员会的授权下,由具体的部门或者组织负责内部控制评价的具体实施工作。
具体来说,在内部控制评价工作的开展中,可以将具体负责组织实施内控评价工作的部门、牵头部门进行如下划分:
(1)完全由审计部门作为负责部门开展内控评价工作的公司有26家,占比39%;
(2)以审计部门作为主要负责部门,联合其他业务部门开展内控评价工作的公司共有14家,占比21%;
(3)完全由内控或风险部门负责内控评价工作的公司有5家,占比7%;
(4)由内控评价工作小组开展评价工作的公司有4家,占比6%;
(5)由多个业务部门联合开展内控评价工作的公司有11家,占比16%;
(6)完全由稽核部开展内控评价工作的公司有1家,占比2%;
(7)未披露开展内控评价部门的公司有6家,占比9%。
虽然67家公司负责组织实施内控评价工作的部门存在较大的差异,但是内控评价工作开展的组织形式相似度较高。
由于评价工作涉及的工作面较广、业务或者事项较多,需要多部门配合,上市公司大多在具体负责部门的组织下,按照《企业内部控制基本规范》及《企业内部控制评价指引》的要求,由来自其他部门的业务骨干组成内控评价工作小组,开展内部控制评价工作。
6。
聘请外部咨询机构协助公司开展内控建设、内控评价情况
内控评价是一项较为专业性、复杂性的工作,涉及的范围广、事项多,开展内控评价工作的公司可以根据自身的需要,选择具有一定资质的中介咨询机构协助公司开展评价工作。
67家公司中,有25家公司在内控评价报告中披露聘请外部咨询机构协助公司开展内控评价、内控建设咨询,占比37%;有9家公司在内控评价报告中披露未聘请外部咨询机构参与内控评价,占比14%;有33家公司在内控评价报告中并未披露公司是否聘请外部咨询机构,占比49%。
67家公司中,披露聘请外部咨询机构协助开展内控建设、内控评价等的共有25家,除1家公司同时聘请两家咨询机构为公司提供内控评估工作技术支持,其他24家公司均只聘请1家公司协助开展内控建设工作或者内控评价工作。
其中有11家公司聘请的咨询机构为中外合作、外资咨询机构,有12家公司聘请的咨询机构为内资咨询机构,有3家公司并未披露咨询机构具体名称,具体分布情况见图3.
图3咨询机构分布情况
7。
内部控制五要素披露情况
企业开展内控建设应该以内部控制五要素——内部环境、风险评估、控制活动、信息与沟通、内部监督为核心。
67家公司披露的内控评价报告中,对内控五要素的披露方式、内容等均有些差别。
(1)控制环境
控制环境是企业实施内部控制的基础,《企业内部控制应用指引》中控制环境类指引包括组织架构、发展战略、人力资源、社会责任和企业文化等指引。
从67家公司披露的情况来看,组织架构、发展战略、人力资源、社会责任和企业文化是企业开展内控环境建设的核心。
具体信息如表3.
表3内控环境分类统计表
(2)控制活动
67家公司内控自评报告存在差异最大的是控制活动要素的披露内容。
《企业内部控制配套指引》中以下9项内容涉及控制活动要素:
资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包和财务报告。
(3)信息与沟通
67份报告中,披露信息与沟通情况的企业共29家,占总数量的43.3%。
如中联重科(000157)从信息传递、信息系统控制、反舞弊程序三个方面披露信息与沟通工作;南京熊猫(600775)则从内部信息沟通和外部信息沟通两方面披露信息与沟通工作;而部分公司则是简单描述,如“公司建立了较为完备的信息与沟通体系,内部控制相关信息的收集、处理和传递程序规范、运行顺畅,沟通及时有效,促进了内部控制的有效运行”。
(4)风险评估
风险的识别与评估是内控自评工作中的一个重要环节,在67份报告中,披露风险评估情况的企业共33家,占总数量的49.3%。
从披露的情况来看,在风险识别中,战略风险、财务风险、市场风险、运营风险、合规风险及舞弊风险是大多数企业特别关注的风险类型;银行业则主要按业务类型对风险进行划分,如招商银行(600036)将风险划分为信用风险、流动性和市场风险、操作风险和声誉风险、合规风险、关联交易风险等。
(5)内部监督
在67份报告中,披露内部监督情况的企业共34家,占总数量的50.7%。
从披露的内部监督的情况来看,可以发现,诸多企业已经形成了以监事会、董事会及其下属审计委员会、审计部门为主的三级内控监督体系。
《企业内部控制基本规范》要求有条件的企业设置专门的内控机构,但是从67家公司披露的情况来看,很少有企业在评价报告中披露设置专门的内控机构。
当前主要的监督职责基本上都由内部审计监督完成,即审计部门接受董事会或其下属审计委员会委托,对日常生产经营活动实施审计检查。
8。
内控自评采用的测试方法
67份内控自评报告中,披露内控测试方法的企业共56家,所采用的方法主要是以下六种基本方法:
个别访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样。
此外,少数企业用到制度审阅法、信息系统取证法等方法,但数量很少,具体信息如表4.
表4内控评价采用的测试方法分布情况
9。
内控缺陷认定标准披露情况
内部控制缺陷认定标准的确立是内控评价中的基础性和关键性问题,对于确定内控缺陷,进而对内控缺陷进行整改都有着非常重要的影响。
《企业内部控制基本规范》和《企业内部控制评价指引》要求上市公司根据自身情况和关注的重点,确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。
67家公司中,13家上市公司未披露公司是否制定内控缺陷认定标准,54家公司以不同形式、不同程度披露了公司存在内控缺陷认定标准。
在这54家公司中,有22家公司披露其制定了内控缺陷认定标准,但是没有详细描述内控缺陷认定标准的具体情况;有32家公司详细描述了公司内控缺陷认定标准,其中有27家公司披露了定量与定性相结合的内控缺陷认定标准,有3家公司披露了定性认定标准,有2家公司披露了定量认定标准。
10。
具体内控缺陷披露情况
内部控制缺陷披露是公司内部控制评价报告非常重要的组成部分,通过披露公司在自我评价过程发现的内部控制缺陷,尤其是内部控制重大缺陷和内部控制重要缺陷,一方面可以使投资者对公司的内部控制整体状况及公司运行状况有比较好的把握,另一方面能够督促公司对存在的缺陷进行整改,进而促进公司内控体系的不断优化,为促进企业的健康发展提供基础。
67家公司中,披露公司在报告期内存在内部控制缺陷的有49家,未报告公司存在内控缺陷的有18家。
49家披露存在内控缺陷的公司,主要包括以下4种情形:
披露公司内控缺陷的个数与内控缺陷内容;仅披露公司内控缺陷的个数;仅披露公司内控缺陷内容;既不披露内控缺陷个数,也不披露公司内控缺陷内容,仅提及公司存在内控缺陷(一般缺陷或重要缺陷),具体情况如表5.
表5内控缺陷披露情况
披露公司存在缺陷的49家公司中,仅有1家公司披露其存在1个重大缺陷;2家公司分别披露其存在7个重要缺陷和1个重要缺陷;其余公司均仅披露存在一般缺陷,且缺陷的个数差异较大,个别公司披露多达1000余个,少则只有1个。
通过对49家公司披露的内控缺陷进行分析,可以发现目前披露的内控缺陷主要包括以下几种类型:
(1)设计缺陷和运行(执行)缺陷;
(2)公司层面缺陷和业务控制层面缺陷;(3)信息系统控制(IT)方面的缺陷;(4)按公司的经济活动、业务事项进行划分的缺陷;(5)与财务报告相关的缺陷和与非财务报告相关的内控缺陷。
11。
内控缺陷整改披露情况
67家公司中,有49家公司以不同形式披露公司存在内控缺陷,其中44家公司提出了整改计划、整改措施或者要求对缺陷进行整改,5家公司并未提出相应的整改方案或者措施。
44家提出内控缺陷整改方案、计划或者措施的公司,在内控评价报告中对整改方案、计划或者措施的描述不尽相同,有的公司表述非常简单;有的公司则将每一类缺陷对应的指引、整改措施详细列出,如中新药业(600329)在内控评价报告中列示了排在前三位的缺陷及其整改措施,首先对缺陷进行描述,再确定缺陷类型,进而将其对应指引,最后提出具体的整改措施。
12。
内部控制有效性描述方式分析
根据《企业内部控制规范体系实施中相关问题解释第1号》中有关内部控制评价报告格式要求,对内部控制设计与运行的有效性进行评价后,确认内部控制不存在重大缺陷的,应表述为“报告期内,公司对纳入评价范围的业务与事项均已建立了内部控制,并得以有效执行,达到了公司内部控制的目标,不存在重大缺陷”。
证监会《上市公司实施企业内部控制规范体系监管问题解答2012第1期》对内部控制评报告格式提出要求:
如果不存在重大缺陷,自评报告可采用正面描述的方式直接作出内部控制有效的结论,即“董事会已按照《企业内部控制基本规范》及评价指引的要求对财务报告内部控制进行了评价,并认为其在XXXX年XX月XX日(基准日)有效”。
67家公司披露的内部控制有效性结论中,上述两种方式的表述均存在,另有部分公司表示“未发现重大缺陷”。
我们认为,从文字表述的角度分析,“未发现重大缺陷”与“不存在重大缺陷”或“财务报告内部控制有效”相比,是一种消极的确认方式,所代表的确认程度较低。
(二)内部控制审计报告分析
《企业内部控制审计指引》中规范了内部控制审计报告的格式和内容,包括以下五部分内容:
企业对内部控制的责任、注册会计师的责任、内部控制的固有局限性、财务报告内部控制审计意见、非财务报告内部控制的重大缺陷。
67份内控审计报告内容与审计指引提供的格式要求基本一致,仅存在部分细节上的差异。
1.67份内控审计报告中表述与审计指引提供的格式要求一致的方面
(1)内部控制审计的依据
财政部等五部委于2010年发布《企业内部控制审计指引》,中国注册会计师协会也于2011年发布《企业内部控制审计指引实施意见》等文件对注册会计师开展内控审计提出要求。
67份内控审计报告中提及的审计依据无一例外都是:
《企业内部控制审计指引》及中国注册会计师执业准则的相关要求。
(2)内部控制审计意见类型及描述方式
67份内控审计报告中,除新华制药(000756)被出具否定意见外,其他66份内控审计报告均被出具无保留审计意见。
66份标准内部控制审计报告中有关财务报告内部控制审计意见一般表述为“我们认为,贵公司(××公司)按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制”,与审计指引提供的格式要求一致。
被出具了否定意见的新华制药(000756)的审计意见中,注册会计师认为,由于存在重大缺陷及其对实现控制目标的影响,新华制药于2011年12月31日未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。
另外,根据格式要求,会计师在内控报告中增加了“导致否定意见的事项”段,列举了新华制药存在的两个方面的重大缺陷的内容,并对管理层采取的措施以及内控审计报告对年度财务报表审计的影响给出了相关说明。
(3)发表审计意见的对象
67份内控审计报告均在“注册会计师的责任”部分进行了说明,明确注册会计师的责任是在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。
2.67份内控审计报告中表述与审计指引提供的格式要求不一致的方面
(1)对于是否关注到公司与非财务报告相关部分存在重大缺陷
67家公司披露的内部控制审计报告均未披露关注到公司与非财务报告相关的内部控制重大缺陷,其中65份内部控制报告在披露时直接省略了第五部分“非财务报告内部控制的重大缺陷”的内容,而由天职国际会计师事务所有限公司出具的中海集运(601866)的内控审计报告、大信会计师事务有限公司出具的洛阳玻璃(600876)的内控审计报告则包含这部分内容,具体描述如“在内部控制审计过程中,我们未注意到中海集运的非财务报告内部控制存在重大缺陷”。
(2)发表审计意见针对的时间
根据内部控制审计报告的格式要求,注册会计师在内部控制审计报告第一段已经明确了其发表内部控制审计意见是针对报告基准日时点,即“按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了XX公司2011年12月31日的财务报告内部控制的有效性”,但并没有要求在审计意见段再次强调基准日时点的概念,而是表述为“我们认为,XX公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
”
67份内控审计报告中,所有报告均按格式要求在第一段即明确了针对报告基准日发表审计意见的原则,但部分审计报告在审计意见段再次强调了这个原则,即表述为:
我们认为,XX公司于2011年12月31日按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
三、存在的问题
总体上看,67家公司2011年执行企业内控规范体系情况良好。
这些公司在内控建设过程中,在组织机构的设立、资源的保障、内控建设路径的选择、内控建设的方式方法等方面均为内地主板上市公司和其他企业的内控建设提供了宝贵的经验。
但也应注意到,从现在看来,多数境内外同时上市公司的内控建设成果不是完全依靠2011年一年来实现的,其中相当一部分公司为适应境外资本市场的监管要求,几年前即已着手进行内部控制建设,内控建设经历了一个逐步摸索、从量变到质变的过程;另一方面,境内外同时上市公司的管理基础、运行方式与内地主板公司和其他企业也有一定程度的不同,相比之下,前者的管理基础更为完善、内部运行更为规范,其推进内控建设的难度也更小一些。
内地主板上市公司和其他企业在借鉴这些先行企业所取得经验的同时,应充分考虑到这些差别。
结合境内外同时上市公司上述内控评价报告和内控审计报告分析结果,以及财政部、证监会在日常监管工作中了解到的一些实施试点企业内控规范体系的企业的情况,企业内控规范体系在实施过程中仍然存在一些问题。
(一)企业内控规范体系实施过程中存在的问题
1。
企业内部对内部控制的认识有待提升
企业内部控制规范体系的推动实施,更多地应源自企业的内生需求,外部的监管要求只是起到推动作用。
从了解的情况看,部分公司对内部控制的认识仍停留在查漏补缺、应对监管的层面,没有意识到建立健全内控体系
升级会员 