近日，财政部发布了《我国上市公司2016年执行企业内部控制规范体系情况分析报告》（以下简称《报告》）。《报告》称，为了全面、深入了解我国上市公司执行企业内部控制规范体系情况，财政部、证监会联合山东财经大学，跟踪分析了沪深证券交易所上市公司公开披露的2016年年度内部控制评价报告、内部控制审计报告、年度报告等公开资料，结合我国上市公司2011年至2015年执行企业内部控制规范体系情况，以及财政部和证监会在推动企业内部控制规范体系实施和日常监管工作中掌握的有关情况，形成了《报告》。

       那么，《报告》的主要内容有哪些？其作用与意义何在？对企业有何启示？《财会信报》记者就此采访了业界专家。

主要内容

       96.7%的上市公司披露了内控评价报告

     《报告》首先介绍了我国上市公司执行企业内部控制规范体系的总体情况，然后分别介绍了纳入实施范围和未纳入实施范围的上市公司执行企业内部控制规范体系的情况。考虑到我国金融行业在加强风险管控背景下暴露出的一些内部控制问题以及ST类上市公司内部控制方面存在的突出问题，《报告》还专门对上述两类上市公司执行企业内部控制规范体系的情况进行了分析。

       因篇幅关系，本文主要介绍《报告》的总体情况。

       《报告》显示，截至2016年12月31日，沪、深证券交易所共有上市公司3050家（不包括2017年1月退市因此未披露内部控制报告的2家上市公司），其中，沪市上市公司1181家，深市上市公司1869家。

       2016年，2930家上市公司披露了内部控制评价报告，占全部上市公司的96.07%。其中，沪市主板、深市主板、深市中小板和深市创业板分别有1067家、471家、822家和570家上市公司披露了内部控制评价报告，分别占各板块上市公司的90.35%、98.74%、100%和100%。120家上市公司未披露内部控制评价报告，占全部上市公司的3.93%。其中，有80家因首年上市豁免披露，有19家因重大资产重组豁免披露，其余21家未在指定网站公开披露。

       《报告》指出，2016年，在2930家披露了内部控制评价报告的上市公司中，2898家内部控制评价结论为整体有效，占比98.91%，32家内部控制评价结论为非整体有效，占比1.09%。在内部控制评价结论为非整体有效的上市公司中，10家为非财务报告内部控制无效、财务报告内部控制有效，18家为财务报告内部控制无效、非财务报告内部控制有效，4家为财务报告内部控制和非财务报告内部控制均无效。

       《报告》显示，2016年，在2930家披露内部控制评价报告的上市公司中，2874家披露了内部控制缺陷认定标准，其中，2868家分别披露了财务报告和非财务报告内部控制缺陷认定标准，占比97.89%，比2015年下降了0.35%；仅有6家未区分财务报告和非财务报告披露内部控制缺陷认定标准，占比0.20%，比2015年下降了0.06%。56家未披露内部控制缺陷认定标准，占比1.91%，比2015年上升0.41%。2013~2016年披露内部控制缺陷认定标准的上市公司的数量和占比不断上升，绝大多数披露内部控制评价报告的上市公司都能披露内部控制缺陷认定标准。

       《报告》显示，除2930家上市公司披露内部控制评价报告外，还有1家上市公司虽然没有披露内部控制评价报告，但是在年报中披露了内部控制缺陷的数量及内容。在2931家披露内部控制是否存在缺陷的上市公司中，942家披露内部控制存在缺陷，占比32.14%，其中42家披露内部控制存在重大缺陷，40家披露内部控制存在重要缺陷，895家披露内部控制存在一般缺陷；1989家披露内部控制未存在缺陷，占比67.86%。

       《报告》称，根据财政部、证监会《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》（财办会[2012]30号）要求，所有主板上市公司应自2014年起，在披露年报的同时披露董事会的内部控制评价报告和注册会计师出具的内部控制审计报告。

       截止2016年12月31日，沪、深证券交易所金融行业上市公司共有66家，其中，深市主板11家、中小板6家，沪市主板49家；保险业上市公司6家，货币金融服务业上市公司24家，资本市场服务业上市公司29家，其他金融业上市公司7家。

       截止2016年12月31日，沪、深证券交易所ST类上市公司共有70家，其中，深市主板28家，深市中小板11家，沪市主板31家。

       《报告》指出，企业内部控制规范体系实施中，在内部控制评价报告披露和内部控制审计报告披露方面均存在不同程度的问题。

       在对2016年我国上市公司内部控制规范体系实施情况进行深入分析的基础上，《报告》从政府、企业、审计及咨询机构等层面提出相关建议，以更好地推动我国企业内部控制规范体系建设与实施工作。

报告意义

       对加强和提升企业内控规范体系建设意义重大

       知名财税专家、资深注册会计师刘志耕在接受《财会信报》记者采访时表示，《报告》的发布一是为各相关监管机构全面、及时、深入、准确了解和掌握我国上市公司执行企业内部控制规范体系的现状，了解和掌握执行中存在的各类问题，制定更有科学性、针对性、实效性的监管政策提供了权威依据。二是为政府相关职能部门减少决策失误、提高决策效率、降低决策成本，提高决策的科学性、可行性、合理性和有效性提供了更多科学、全面、实用的信息。同时也为我国对上市公司执行内部控制理论体系的研究，相关制度的建设、规范和完善提供了依据。三是通过对我国上市公司执行内部控制规范体系情况连续多年的跟踪分析，让上市公司对自身执行内部控制规范体系中存在的各类具体缺陷有更为全面、准确和清醒的认识，以便采取更有针对性、实用性的改进措施，从而更好地推动我国上市公司对内部控制规范体系的建设、完善和实施，促进和提高我国上市公司执行内部控制规范体系取得更大、更多实效。

       重庆理工大学人本内控研究所所长、教授王海兵在接受《财会信报》记者采访时指出，《报告》既对我国企业内部控制建设作了客观、系统、全面的总结，也对下一阶段推动我国企业开展内部控制建设提出了许多新要求。

       客观来讲，近年来企业内部控制建设在上市公司中得到稳步推进，取得了较大的成绩，内部控制评价报告、内部控制审计报告的披露数量和披露比例均在增加，内部控制的信息披露质量也在提升。《报告》对上市公司2016年执行企业内部控制规范体系情况作了一个全面系统的梳理，并涉及到与以前年度的比对，对上市公司公布年度内部控制评价报告、内部控制审计报告等资料进行了汇总和分析，内容丰富、论据充分、观点正确，对于评价企业开展内部控制建设的规范性和有效性，了解我国上市公司内部控制建设现状、取得的成绩和存在的问题，以及能够采取的对策，均具有重要意义。

       刘志耕认为，通过《报告》，不仅说明国家有关部门对上市公司执行内部控制规范体系非常重视，也说明国家对这方面的情况一直在做大量的调查、研究和推动。因此，企业必须切实重视并真正执行好内部控制规范体系，充分发挥企业治理层在执行内部控制体系中的主动、主导作用，及时掌握内部控制重大缺陷或其他相关的重要信息，切实提高对内部控制评价工作的重视程度，督促企业管理层完成对各类内部控制缺陷的整改工作，规范对内部控制缺陷的信息披露。

       刘志耕提醒，在执行内部控制规范体系的问题上，企业今后不仅不能再形式主义、敷衍应付，而且还要积极配合国家有关职能部门和中介机构做好对内部控制规范体系情况的检查和分析，积极建言献策，为我国上市公司尽快建立健全和真正全面执行内部控制规范体系做出一份贡献。

专家建议

       加快制定更具操作性的上市公司内控缺陷认定标准

       《报告》指出，我国企业内部控制在社会责任方面还存在相当大的差距，亟待将社会责任风险全面融入企业内部控制框架。22家上市公司披露了28个非财务报告内部控制重大缺陷，1家上市公司披露存在非财务报告内部控制重大缺陷但未披露内容，30家上市公司披露了37个非财务报告内部控制重要缺陷。从非财务报告内部控制重大缺陷和重要缺陷的内容上看，社会责任方面的缺陷有10个，占比15.38%，与信息披露缺陷、资金活动缺陷、关联方交易缺陷、投资管理缺陷、销售等方面的缺陷相比，社会责任方面的缺陷占比最高，主要表现在因安全生产管理不善导致发生重大安全生产事故，排放超标废水被处罚，产品存在质量问题，未及时发放工资和缴纳社保等。

       王海兵表示，虽然现有内部控制规范中有对企业社会责任的规定，但缺乏和内部控制框架的有效对接，降低了社会责任内部控制的可操作性。他建议，在参考石油石化行业和电力行业内部控制操作指南的基础上，尽快建立健全分行业内部控制建设操作指南，在构建上市公司QHSE管理系统的基础上，分行业推进上市公司的社会责任内部控制建设，有效控制社会责任风险，促进企业的健康可持续发展。

       《报告》指出，众多的上市公司内部控制缺陷定性标准仅是直接引用《企业内部控制评价指引》和《公开发行证券的公司信息披露编报规则第21号———年度内部控制评价报告的一般规定》文中内部控制缺陷定性标准定义，并未根据企业风险偏好、风险承受度以及经营管理目标等因素制定符合企业实际的内部控制缺陷定性标准，可能导致上市公司对内部控制缺陷的影响和风险认识不足，上市公司之间披露的内部控制缺陷定性标准可比性不强，不同行业、不同规模上市公司认定的内部控制缺陷定性标准差异不大。

       王海兵认为，虽然现有内部控制规范中有对企业发展战略的规定，但许多公司在实施内部控制建设时，对国家要求的合法合规性做得比较好，但内部控制和企业发展目标的融合度不够。内部控制建设既要能保证合法合规性，也要能够提高企业的经营效率效果，促进企业发展战略的实现。他建议以行业为基础，以战略为引领，加快制定具有科学性、适应性和可比性的上市公司内部控制缺陷认定标准，为实务提供操作指南。

       王海兵还提出了以下几点建议。一是提高内部控制相关内容的立法层次，加强内部控制建设主体单位的分类管理和领导问责机制建设。应加快推动修订《会计法》、《证券法》等相关法律法规，明确要求企业建立健全内部控制，明确董事会、监事会和经理层在企业內部控制建设方面和审计机构在内部控制审计方面的责任，并逐步强化对內部控制失败、隐瞒內部控制缺陷、虚假披露內部控制信息的有关企业、个人及审计机构的处罚力度。内部控制建设主体单位的分类管理包括分行业管理和分不同上市公司类型，财政部、证监会等政府部门和审计机构对上市公司内部控制建设负有评估、监管和审计责任，可以进一步明确各自监管重点，实现对上市公司内部控制监管无死角。社会公众、媒体等也有对上市公司内部控制进行监督的权利和责任。此外，内部控制建设中，不仅将约束机制融入其中，也要将激励机制融入其中，合规性和效益性并举，提升企业开展内部控制建设的积极性和能动性。

       二是财务报告审计和内部控制审计、财务报告内部控制和非财务报告内部控制的划分问题。从数据看来，财务报告审计意见和内部控制审计意见、财务报告内部控制有效性和非财务报告内部控制有效性具有趋同性、联动性，也就是说，内部控制做得好的上市公司，财务报告内部控制和非财务报告内部控制都会做得好；内部控制做得不好的公司，财务报告内部控制和非财务报告内部控制做得也不好。例如在ST类上市公司中，内部控制审计标准无保留意见为45家，带强调事项段无保留意见为8家，合计53家。财务报告审计中标准无保留意见为39家，带强调事项段无保留意见为14家，合计也是53家。总体结论是不分伯仲，整体评价意见趋同。内部控制好、财务报告差，或者内部控制差、财务报告好的两种情况在现实中发生的可能性不大，要考虑是否存在财务造假或内控造假的可能。财务报告本身是企业信息与沟通的重要环节之一，属于内部控制的范畴。考虑到有些事务所可能通过低价竞争参与企业造假，可以考虑将财务报告内部控制扩展为信息管理系统内部控制，提升内部控制建设的整体性和有效性。

       三是加强上市公司内部审计工作，强化上市公司内部控制的内部监督。近日国家审计署发布了《审计署关于内部审计工作的规定》（以下简称《规定》），明确提出内部审计机构的职权包括对本单位及所属单位内部控制及风险管理情况进行审计。按照国际经验，内部控制建设热潮之后，必然带来内部审计建设的快速发展。《规定》的发布恰逢其时，鼓舞人心。因此，在加强内部控制建设工作的同时，要积极稳妥推进上市公司内部审计工作，提高内部审计机构的隶属层次，扩展内部审计机构的业务范围，发挥内部审计对内部控制的再控制作用。将上市公司内部控制自我评价（CSA）、内部审计（CIA）和外部审计（CPA）结合起来，形成具有协同功能的上市公司内部控制评审体系。

       四是制定科学合理的内部控制评价和审计标准，开发上市公司统一的内部控制评价和审计信息系统平台。上市公司在执行内部控制基本规范、内部控制规范应用指引和分行业操作指南基础上，对外披露内部控制评价报告和审计报告，必须在平台上进行，通过国家统一平台分行业、模块化披露内部控制评价和审计信息。平台设计上可以对内部控制披露主体、格式、内容、时间、内部控制缺陷认定标准、会计师事务所更换等关键节点进行限制，对自相矛盾存在疑虑的内部控制评价报告和审计报告，进行风险提示，组织力量进行重点检查和审计，如发现问题，追究单位和领导责任，并在平台和其他媒体上进行公示。