内部控制管理情况报告
XXXXXX:
20xx年全年,紧紧围绕总行的主要工作思路,立足新起点,坚持以业务发展为重心,以转换经营管理机制和转变发展方式为主线,强化管理,勇于创新,积极营销,大胆开拓,各项业务实现了跨越式发展。同时结合本业务条线实际,不断强化内部控制管理,规范业务操作流程,提高制度执行力,严密防范案件发生。现将全年各业务条线的内部控制管理情况报告如下:
一、内部控制体系建设情况
(一)制度建设情况
20xx年全年,修订及完善了XX项制度及业务规范。
1、银行卡业务方面:为配合金融IC卡业务顺利推出,同时针对数据大集中后我行银行实际业务发展与系统存在的冲突,修订了《 XXXX业务管理办法》;同时为加强柜面业务操作规范完善了《XXXXXXXX业务指南》、《XXXX金融IC卡业务指南》、《XXXX金融IC卡柜面业务系统操作手册》各项规范。
2、自助设备方面:为充分发挥自助设备作用,进一步促进自助业务发展,提高自助设备使用效率,对《自助设备管理办法》清机加钞周期的有关管理要求进行了修订;
3、网上银行业务方面:为推动网上银行的业务发展,加强对网上银行的业务管理,规范网上银行业务操作,修订 1
了《网上银行业务管理暂行办法》,并新增《网上银行业务操作规程(暂行)》。
4、POS业务方面:为加强对银联直联POS商户的管理,防范收单业务风险,促进收单业务的发展,修订了《银联直联POS商户业务管理办法》。
5、需求信息收集管理方面:为更好地收集业务相关需求信息,提升我行业务需求信息响应,确保高效、系统地处理需求信息,制订《业务需求信息管理办法(试行)》。
(二)部门履职情况
1、人员管理情况
根据我行业务发展的规划部署,按业务类型规划部门岗位设置,明确岗位职责,达到分工明确,互相制约的目的。同时,管理人员具备相应的业务素质与业务水平;业务经办人员配备与业务管理人员资质符合有关规定,并经过任职程序和岗前培训;严格落实“四项制度”,及时跟踪、分析员工的思想动态。
2、业务指导、培训和调研情况
(1)20xx年,组织XX个支行分四个批次进行业务调研。通过调研,全面了解各支行业务需求和工作意见,掌握支行的实际业务情况。将及时跟踪解决支行提出问题,同时根据调研结果修订工作计划,做好我行工作部署,确保我行业务快速、健康发展。
(2)为提升各支行的差错处理业务水平,有效控制POS 2
商户收单风险,20xx年7月首次通过高清视频会议系统顺利举办了《银行卡差错处理》培训,培训现场活跃,以互动问答的方式进行,达到了良好的效果。
(3)为有序推进我行金融IC卡业务项目开展,确保我行一线人员能熟练掌握金融IC卡业务相关知识及柜台业务操作技能,于20xx年10月组织了柜面业务操作培训并进行考核,并对支行落实二次培训工作进行协调及指导,确保参加培训的学员按时、高质量完成培训,达到熟练掌握相关业务操作的目的。
(4)为更好应对市场新形势,树立危机感与发展意识,邀请恒生公司开展主题为《迎接互联网金融的挑战-从传统金融变革为互联网金融》学术研讨会,提供宝贵的借鉴意义。
(5)20xx年10月根据前期计划调研方案相关工作部署,按照区域划分组成3个调研小组,由部门领导班子带队,对市区内11家银行进行了市场调研,对我行了解同业,强化我行“渠道”建设与业务产品的功能、品种提供了有效的借鉴作用。
3、业务营销和推广情况
(1)抓营销,力促销,发卡业务稳步增长。借鉴他行成功经验,结合我行情况和客户需求,加大银行卡促销力度,提升银行卡品牌影响力,扩大发卡规模及提高发卡质量,实现银行卡业务可持续发展。一是拓宽宣传渠道,通过各种形 3
式及途径的宣传打造XXXX品牌形象,提高知名度;二是利用更完善的积分管理系统,针对不同行业、不同时间段推出刷卡多倍积分、刷卡送积分等活动。
(2)强化业务管理与拓展,推动收单业务发展。一是做好政府公关工作,尤其是税务、社保及交警等机构,保持良好的合作关系,巩固既有收单业务;二是充分利用各方资源,如信贷资产业务、单位采购、第三方维护公司等,拓宽收单业务渠道。
(3)积极丰富我行营销模式。一是为丰富我行市场营销模式,增加我行户外营销模式,我行与长城公司洽谈移动式银行服务终端事项,并通过了服务终端测试,并通过广佛奢华展设立开卡点,为客户现场办理XXXX开卡业务,作为我行实现移动开卡服务首次尝试,打破了我行固有只能通过柜台办理模式,有效进行柜面延伸。二是与时俱进,二维码电子智能营销。20xx年的营销活动中,通过电子智能平台实施了高端客户回馈活动及客户生日关怀活动营销。
4、监督检查情况
(1)为确保支付系统的安全稳定运行,加强银行卡业务管理,促进支付服务提升,按照人行要求,配合总行会计结算部对支行开展支付结算检查,重点检查银行卡收单业务情况,对不规范的业务提出整改意见。
(2)根据总行《关于开展法律风险自查工作的通知》 4
的要求部署相关的工作,向各支行下发了《关于银行卡业务法律风险自查的通知》,指导各支行开展银行卡业务自查工作。
(3)根据银联“关于调整广东地区直联POS机具补偿机制的通知<银联穗字(2015)>”要求,指导各支行对长期无交易的终端进行核实、清理,并对确认需要撤机的终端汇总后提交维护公司登记处理,已降低运营成本,提高商户质量。
5、风险防控情况
根据总行对案件专项治理学习工作的相关安排,树立全员防范风险意识,确保20xx年案件防控目标的完成,一方面积极响应总行关于开展案件专项治理工作的要求,在部门内部开展了一系列的治理工作,包括召开按规定签署有关责任书和承诺书等,另一方面根据我行实现流程银行的工作要求,对业务的风险点及业务流程进行梳理,全力配合合规部完成流程银行及风险管理工作。
二、内部控制风险排查情况
我们部根据内审部要求开展员工参与非法集资和高利贷行为风险排查活动,经过填写表格排查和面谈,暂未发现员工存在涉及社会非法集资、高利贷行为,今后,我们将进一步保持案件防控高压态势,严防非法集资和高利贷风险向银行业传递。
三、内控风险隐患整改情况
5
无
四、新增部门的内部控制措施
1、部门基本情况
按照推进二次战略转型的要求,在总行战略规划的统一部署下,部门职能包括我行业务的业务规划和管理,业务政策的制定和检查,跟进系统的开发,、借记卡、贷记卡等产品的营销策划、制定考核指标等。
部门目前有人员XX名,包括产品研发岗、网络银行产品管理岗、自助银行产品管理岗、借记卡产品研发岗、借记卡产品管理岗、POS业务管理岗、贷记卡业务管理岗、业务安全管理岗、统计分析岗。部门人员均从信息科技部和个人金融部调入,有从事业务和系统建设经验,部门组织结构合理,能高效开展工作。
2、部门制度的建设情况
按照“制度先行”的要求,为配合各项业务发展,做好相关业务制度的建设工作,20xx年全年,修订及完善了XX项制度及业务规范,有效的保障了我行业务快速、健康发展。
五、达标升级、持续改进情况
将不断提高合规风险防范意识,完善内部控制机制,加强风险识别和风险评估能力,并继续加大力度对现有的业务流程和规章制度进行完善和补充,从而更好地提高业务管理水平和内控水平,保障各项业务依法、合规经营。
6
第二篇:我国上市公司20xx年实施企业内部控制规范体系情况分析报告
我国上市公司20##年实施企业内部控制规范体系情况分析报告
财政部会计司 证监会会计部 证监会上市部 山东财经大学
根据财政部、证监会、审计署、银监会和保监会联合颁布的《企业内部控制基本规范》及其配套指引,以及财政部、证监会发布的《关于20##年主板上市公司分类分批实施企业内部控制规范体系的通知》(财办会〔2012〕30号)要求,在分类分批实施的基础上,我国所有主板上市公司应当在20##年实施企业内部控制规范体系。为了全面、深入了解近年来我国上市公司实施企业内部控制规范体系情况,财政部、证监会联合山东财经大学,跟踪分析了20##年上海证券交易所和深圳证券交易所公开披露的上市公司年度内部控制评价报告、内部控制审计报告、年度报告等资料,结合我国上市公司20##年至20##年实施企业内部控制规范体系情况,以及财政部和证监会在推动内部控制规范体系实施和日常监管工作中掌握的有关情况,形成了《我国上市公司20##年实施企业内部控制规范体系情况分析报告》(以下简称“本报告”)。
一、20##年我国上市公司实施企业内部控制规范体系基本情况
(一)总体情况
1.内部控制评价报告披露情况
截至20##年12月31日,沪、深交易所共有上市公司2613家,其中,沪市上市公司995家,深市上市公司1618家。从所属板块划分来看,包括主板公司480家,中小板公司732家,创业板公司406家。
20##年度,2571家上市公司披露了内部控制评价报告,占全部上市公司的98.39%。与20##年度相比,披露数量提高了259家,披露比例提高5.5%。
2.内部控制评价报告的结论
20##年度,在2571家披露了内部控制评价报告的上市公司中,2538家内部控制评价结论为整体有效,占披露了内部控制评价报告上市公司的98.72%,33家内部控制评价结论为非整体有效,占披露了内部控制评价报告上市公司的1.28%。如表1所示,在内部控制评价结论为非整体有效的上市公司中,9家上市公司内部控制评价报告的结论为财务报告内部控制有效、非财务报告内部控制无效;16家上市公司内部控制评价报告的结论为财务报告内部控制无效、非财务报告内部控制有效;6家上市公司内部控制评价报告的结论为财务报告内部控制和非财务报告内部控制均无效;2家上市公司披露内部控制存在重大缺陷但是未区分财务报告内部控制和非财务报告内部控制。
表1 内部控制有效性结论披露情况
3.内部控制缺陷的认定标准
20##年度,在披露内部控制评价报告的2571家上市公司中,2149家上市公司披露了内部控制缺陷认定标准,其中2113家上市公司分别披露了财务报告和非财务报告内部控制缺陷认定标准,占比82.19%,比20##年上升了近7个百分点;36家上市公司未区分财务报告和非财务报告披露内部控制缺陷认定标准,占比1.40%,比20##年下降了0.33个百分点。422家上市公司未披露内部控制缺陷认定标准,占比16.41%,比20##年下降了6.51个百分点(如表2所示)。这说明在披露内部控制评价报告的上市公司数量不断上升的情况下,20##年内部控制缺陷认定标准的信息披露质量比20##年有一定程度的提高。
表2 20##-20##年内部控制缺陷认定标准披露情况
4.内部控制缺陷的数量及内容
在2571家披露内部控制评价报告的上市公司中,524家披露内部控制存在缺陷,占比20.38%,其中39家披露内部控制存在重大缺陷,53家披露内部控制存在重要缺陷,455家披露内部控制存在一般缺陷;2047家披露内部控制未存在缺陷,占比79.62%。
(1)关于财务报告内部控制的重大缺陷和重要缺陷。25家上市公司披露了64个财务报告内部控制重大缺陷;13家上市公司披露了17个财务报告内部控制重要缺陷;1家上市公司披露存在财务报告内部控制重大和重要缺陷共3个,但未分别披露重大缺陷和重要缺陷的数量。从披露的财务报告内部控制重大缺陷和重要缺陷的内容看,突出表现在以下几个方面:
第一,担保业务管理方面。包括未经批准对外提供担保,或对被担保人的资信状况和履约能力调查不够深入,致使企业承担相应的法律责任;对企业债权未能采取有效的担保措施,造成应收账款不能按期回收,导致企业承担坏账风险。这方面的重大和重要缺陷有13个,占全部财务报告内部控制重大和重要缺陷的15.48%。
第二,资金管理方面。包括银行账户的管理混乱,部分银行账户余额甚至未纳入报表,未定期进行银行对账;资金支付未经有效审核;资金管理的独立性不足,资金被关联方占用等。这方面的重大和重要缺陷有11个,占全部财务报告内部控制重大和重要缺陷的13.1%。
第三,销售及收款方面。包括对客户资信等级的评估及授信额度管理存在缺陷,赊销的控制力度不足;收入确认不规范;未同客户定期对账,逾期应收账款催收缺乏有效措施等。这方面的重大和重要缺陷有8个,占全部财务报告内部控制重大和重要缺陷的9.52%。
第四,资产管理方面。包括对固定资产、存货等资产的管理力度不够,对资产减值的处理存在缺陷。这方面的重大和重要缺陷有7个,占全部财务报告内部控制重大和重要缺陷的8.33%。
第五,投资管理方面。包括投资前的分析不足,存在盲目性;投资后未能有效控制和核算对外投资。这方面的重大和重要缺陷有5个,占全部财务报告内部控制重大和重要缺陷的5.95%。
第六,财会制度建设方面。包括未建立规范完善的财务会计制度;或者虽然存在相关制度但未得到有效执行。这方面的重大和重要缺陷有5个,占全部财务报告内部控制重大和重要缺陷的5.95%。
第七,工程管理方面。包括未能及时分析在建工程是否达到可使用状态,导致在建工程未及时转固定资产。这方面的重大和重要缺陷有3个,占全部财务报告内部控制重大和重要缺陷的3.57%。
(2)关于非财务报告内部控制的重大缺陷和重要缺陷。18家上市公司披露了26个非财务报告内部控制重大缺陷;42家上市公司披露了67个非财务报告内部控制重要缺陷;另有2家上市公司分别披露存在1个和3个非财务报告内部控制重要缺陷,但未披露相关内容。从披露的非财务报告内部控制重大缺陷和重要缺陷的内容看,突出表现在以下几个方面:
第一,组织机构方面。包括股东大会或董事会未能正常履行职能;未设置内部审计机构,或者虽然已设立内部审计机构,但未对子公司实施内部审计;部门设置不完整,部分业务无部门负责;未有效控制子公司。这方面的重大和重要的缺陷有18个,占全部非财务报告内部控制重大和重要缺陷的18.56%。
第二,信息与沟通方面。包括企业内部各机构之间、企业与外部监管机构之间缺乏有效的沟通,信息传递不通畅、不及时;企业信息系统缺少数据备份和数据恢复等安全管理机制;未按规定披露股权转让、对外投资、对外担保、重大资产重组、合同履行等重大事项,甚至受到监管部门的处罚。这方面的重大和重要缺陷有14个,占全部非财务报告内部控制重大和重要缺陷的14.43%。
第三,非财务制度建设方面。包括部分业务缺乏制度规范;或者虽然存在相关制度但未得到切实执行。这方面的重大和重要缺陷有8个,占全部非财务报告内部控制重大和重要缺陷的8.25%。
第四,社会责任方面。包括发生了生产安全事故、环境污染事故,未按时发放职工薪酬,未给职工缴纳社会保险。这方面的重大和重要缺陷有7个,占全部非财务报告内部控制重大和重要缺陷的7.22%。
此外,部分上市公司披露内部控制重大缺陷和重要缺陷时,未区分财务报告内部控制和非财务报告内部控制,其中2家上市公司披露了4个内部控制重大缺陷; 1家上市公司披露了1个内部控制重要缺陷;2家上市公司披露存在内部控制重要缺陷,但既未披露数量也未披露内容。
5.内部控制审计报告
20##年度,共有2089家上市公司聘请会计师事务所对内部控制的有效性进行审计或者鉴证,占上市公司总数的79.95%。其中,2079家上市公司披露了内部控制审计或鉴证报告,占上市公司总数的79.56%,较20##年度72.40%的比例有所增加;10家上市公司披露内部控制审计意见,但未披露内部控制审计或鉴证报告。
在实施内部控制审计或者鉴证的2089家公司中,标准无保留意见2004家,占比95.93%;非标准意见85家,占比4.07%,其中,带强调事项段和非财务报告重大缺陷的无保留意见57家,否定意见22家,无法表示意见4家,保留意见2家。非标准无保留意见的数量和比例均比去年有所增加(20##年非标准意见59家,占比3.26%)。具体内控审计或鉴证意见类型比例如图1所示。
图1 内部控制审计意见分布图
(二)纳入实施范围上市公司内控规范体系实施情况
根据财政部、证监会《关于主板上市公司分类分批实施企业内部控制规范体系的通知》(财办会〔2012〕30号)要求,所有主板上市公司应在披露20##年年报的同时,披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。
截至20##年12月31日,我国主板上市公司共有1475家,全部应纳入实施范围,其中沪市主板上市公司995家,深市主板上市公司480家。
1.内部控制评价报告披露情况
20##年度,纳入实施范围的上市公司中有1443家披露了内部控制评价报告,占纳入实施范围上市公司的97.83%。其中,沪市主板和深市主板分别有968家和475家上市公司披露了内部控制评价报告,分别占各板块样本上市公司的97.29%和98.96%。未披露内部控制评价报告的27家沪市主板上市公司中,因IPO豁免的有9家,因重组豁免的有15家,剩余的3家上市公司均在年度报告中提到已实施内部控制评价,但并未公开披露内部控制评价报告。未披露内部控制评价报告的5家深市主板上市公司中,因重组豁免的有4家,剩余的1家上市公司在监事会公告中提到已实施内部控制评价,但并未公开披露内部控制评价报告。
2.内部控制评价报告的结论
20##年度,纳入实施范围的上市公司中内部控制评价结论为整体有效的上市公司共1416家,占纳入实施范围且披露了内部控制评价报告上市公司的98.13%。内部控制评价结论为非整体有效的上市公司共27家,占纳入实施范围且披露了内部控制评价报告上市公司的1.87%。如表3所示,在内部控制评价结论为非整体有效的上市公司中,8家上市公司内部控制评价报告的结论为财务报告内部控制有效、非财务报告内部控制无效;13家上市公司内部控制评价报告的结论为财务报告内部控制无效、非财务报告内部控制有效;5家上市公司内部控制评价报告的结论为财务报告内部控制和非财务报告内部控制均无效;1家上市公司披露内部控制存在重大缺陷,但是未区分财务报告内部控制和非财务报告内部控制。
表3 内部控制有效性结论披露情况
3.内部控制缺陷的认定标准
20##年度,在披露内部控制评价报告的1443家上市公司中,1398家上市公司披露了内部控制缺陷认定标准,其中1374家披露了财务报告和非财务报告内部控制缺陷认定标准,24家未区分财务报告和非财务报告披露内部控制缺陷认定标准;45家未披露内部控制缺陷认定标准。从表4可以看出,在20##年纳入实施范围上市公司数量增加的情况下,内部控制缺陷认定标准披露情况要好于20##年。
表4 20##-20##年纳入实施范围上市公司内部控制缺陷认定标准披露情况
4.内部控制缺陷的数量及内容
在纳入实施范围且披露了内部控制评价报告的1443家上市公司中,408家披露内部控制存在缺陷,占比28.27%,其中32家披露内部控制存在重大缺陷,40家披露内部控制存在重要缺陷,356家披露内部控制存在一般缺陷;1035家披露内部控制未存在缺陷,占比71.73%。
(1)关于财务报告内部控制的重大缺陷和重要缺陷,纳入实施范围的21家上市公司披露了56个财务报告内部控制重大缺陷,8家上市公司披露了11个财务报告内部控制重要缺陷,1家上市公司披露存在财务报告内部控制重大和重要缺陷共3个,但未分别披露重大缺陷和重要缺陷的数量。
(2)关于非财务报告内部控制的重大缺陷和重要缺陷,13家上市公司披露了19个非财务报告内部控制重大缺陷,33家上市公司披露了53个非财务报告内部控制重要缺陷,另有1家上市公司披露了1个非财务报告内部控制重要缺陷,但未披露相关内容。
此外,部分上市公司披露内部控制重大缺陷和重要缺陷时并未区分财务报告内部控制和非财务报告内部控制,其中,1家上市公司披露了3个内部控制重大缺陷, 1家上市公司披露了1个内部控制重要缺陷,1家上市公司披露存在内部控制重要缺陷,但既未披露数量也未披露相关内容。
5.内部控制审计报告
在20##年纳入实施范围的1475家上市公司中,有1424家上市公司聘请注册会计师开展了内部控制审计或鉴证业务,占纳入实施范围公司的96.54%;51家上市公司未展开内部控制审计业务,其中因IPO豁免的有26家,因重组豁免的有25家。在进行了内控审计或鉴证的1424家上市公司中,被出具标准无保留意见的有1347家(含10家鉴证报告标准无保留意见),占比94.59%;被出具非标准意见的有77家,占比5.41%。在非标准意见中,否定意见20家,带强调事项段的无保留意见53家,无法表示意见4家。具体内控审计或鉴证意见类型比例如图2所示。
图2 纳入实施范围上市公司内部控制审计意见分布图
20##年,共有40家具有证券期货业务资格的会计师事务所为纳入实施范围的上市公司提供了内部控制审计业务。其中,前十大事务所执行内部控制审计业务的上市公司家数占总市场份额的62.07%,内部控制审计业务市场集中度比较高。
在纳入实施范围的1424家上市公司中,1389家采用整合审计的方式开展内部控制审计和财务报告审计,占比97.54%,35家单独实施内部控制审计,占比2.46%。
在纳入实施范围的1424家上市公司中,88家公司的内部控制审计机构发生了变更,占比6.18%,其中有72家上市公司基于整合审计的考虑,同步变更了内部控制审计机构和财务报告审计机构。
在纳入实施范围的上市公司中,内部控制审计意见类型基本与财务报告审计意见类型保持一致,具体情况如表5所示。财务报告被出具非标准无保留意见、同时内部控制被出具非标准无保留意见的公司有45家。
表5 纳入实施范围上市公司内部控制审计意见与财务报告审计意见分布情况
在纳入实施范围的1424家上市公司中,单独披露内部控制审计费用的上市公司为1201家,占84.34%,较去年有所提高。披露内部控制审计费用的1201家公司中,内部控制审计费用的均值为46.28万元。根据年报信息显示,内部控制审计费用占审计费用总额的比例平均为27.79%,低于国际平均水平。
(三)未纳入实施范围上市公司内控规范体系实施情况
1.内部控制评价报告披露情况
20##年度,未纳入实施范围的上市公司共1138家,其中深市中小板上市公司732家,深市创业板上市公司406家。
20##年度,在未纳入实施范围的上市公司中,1128家上市公司披露了内部控制评价报告,占未纳入实施范围上市公司的99.12%。其中,深市中小板和创业板分别有727家和401家上市公司披露了内部控制评价报告,分别占各板块未纳入实施范围上市公司的99.32%和98.77%。
2.内部控制评价报告的结论
20##年度,在未纳入实施范围的上市公司中,内部控制评价结论为整体有效的上市公司共1122家,占未纳入实施范围且披露了内部控制评价报告上市公司的99.47%。内部控制评价结论为非整体有效的上市公司共6家,占纳入实施范围且披露了内部控制评价报告上市公司的0.53%。如表6所示,在内部控制评价结论为非整体有效的上市公司中,1家上市公司内部控制评价报告的结论为财务报告内部控制有效、非财务报告内部控制无效;3家上市公司内部控制评价报告的结论为财务报告内部控制无效、非财务报告内部控制有效;1家上市公司内部控制评价报告的结论为财务报告内部控制和非财务报告内部控制均无效;1家上市公司披露内部控制存在重大缺陷但是未区分财务报告内部控制和非财务报告内部控制。
表6 中小板和创业板上市公司内部控制有效性结论披露情况
3.内部控制缺陷的认定标准
20##年,未纳入实施范围(中小板和创业板)且披露内部控制评价报告的1128家上市公司中,377家上市公司未披露内部控制缺陷认定标准,占比33.42%。从表7可以看出,20##年中小板和创业板中未披露内控缺陷认定标准的公司占比为33.42%,相比20##年的39.04%,下降了近6个百分点,说明未纳入实施范围且披露内部控制缺陷认定标准的上市公司在逐年增加;此外,未纳入实施范围且未披露内部控制缺陷认定标准的创业板上市公司比例连续两年明显高于中小板上市公司的比例,说明中小板内部控制缺陷认定标准信息披露的质量高于创业板。
表7 20##-20##年中小板和创业板内部控制缺陷认定标准披露比较
从图3可以看出,中小板和创业板中未披露内部控制缺陷认定标准的公司比例(33.42%)比纳入实施范围(主板)的公司比例(3.12%)高30.30%,说明纳入实施范围上市公司内部控制缺陷认定标准信息披露质量高于未纳入实施范围上市公司。
图3 2014年上市公司内部控制缺陷认定标准按板块分类披露比较
4.内部控制缺陷的数量及内容
在未纳入实施范围且披露了内部控制评价报告的1128家上市公司中,116家披露内部控制存在缺陷,占比10.28%,其中7家披露内部控制存在重大缺陷,13家披露内部控制存在重要缺陷,99家披露内部控制存在一般缺陷;1012家披露内部控制未存在缺陷,占比89.72%。
(1)关于财务报告内部控制的重大缺陷和重要缺陷。未纳入实施范围的5家上市公司披露了12个财务报告内部控制重大缺陷,6家上市公司披露了7个财务报告内部控制重要缺陷。
(2)关于非财务报告内部控制的重大缺陷和重要缺陷。2家上市公司披露了3个非财务报告内部控制重大缺陷,6家上市公司披露了9个非财务报告内部控制重要缺陷,另有1家上市公司披露了3个非财务报告内部控制重要缺陷,但未披露相关内容。
此外,部分上市公司在披露内部控制重大缺陷和重要缺陷时,并未区分财务报告内部控制和非财务报告内部控制,其中,1家上市公司披露了1个内部控制重大缺陷,1家上市公司披露存在内部控制重要缺陷,但既未披露数量也未披露相关内容。
5.内部控制审计报告
20##年,未纳入实施范围的1138家上市公司中,有665家披露了内部控制审计或鉴证报告,占比58.44%,较20##年的51.88%有所增加。其中,中小板406家,占比55.46%;创业板259家,占比63.79%。
在未纳入实施范围的1138家上市公司中,有665家披露了内控审计或鉴证意见,其中标准无保留意见为657家,带强调事项段的无保留意见为3家,非财务报告内部控制重大缺陷的无保留意见1家,保留意见2家,否定意见为2家。
在665家披露内部控制审计或鉴证意见的上市公司中,645家未披露内部控制审计费用,仅20家单独披露了内部控制审计费用,内部控制审计费用最低为5万元,最高为80万元,均值为32.35万元。
二、企业内部控制规范体系实施以来取得的成效
(一)内部控制评价工作方面
1.披露内部控制评价报告的上市公司数量显著增加。如图4所示,披露内部控制评价报告的上市公司的数量从20##年的1076家增加到20##年的2571家,占比从20##年的67.17%增加到20##年的98.39%,可见无论是披露内部控制评价报告的数量还是比例,均呈现逐年增加的趋势。
图4 20##—20##年内部控制评价报告披露情况
2.内部控制评价报告格式的规范性显著提高。20##年度,2063家上市公司按照规范的格式披露了内部控制评价报告,占披露了内部控制评价报告上市公司的80.24%,比20##年有显著提高。尤其是沪市主板和深市主板上市公司,按照规范格式披露了内部控制评价报告的上市公司数量分别占各板块中披露了内部控制评价报告上市公司的95.56%和84.84%。
3.内部控制评价报告披露的内容更加全面、准确,披露质量逐年提高。在内部控制缺陷认定标准方面,大部分上市公司不仅区分财务报告和非财务报告披露内部控制缺陷认定标准,还区分定量标准和定性标准、重大缺陷标准和重要缺陷标准。同时,绝大多数上市公司能够分别从财务报告和非财务报告两个方面披露内部控制存在的缺陷,并进行具体解释。
4.缺陷整改的积极性高。在披露内部控制存在缺陷的上市公司中,绝大部分披露了整改措施,其中相当一部分进行了详细披露,反映出绝大部分上市公司能够积极地改进缺陷。
(二)内部控制审计方面
1.披露内部控制审计报告的上市公司数量逐年上升。20##年至20##年,聘请会计师事务所对内部控制有效性进行审计并出具审计报告的上市公司数量从20##年的316家增加至20##年的1802家,并增加到20##年的2079家,出具报告比例也相应地从20##年的19.72%增加至20##年的72.48%,并持续增长到20##年的79.56%(具体数据见图5),披露绝对数以及比例均呈较快上升的趋势。
图5 20##—20##年内部控制审计报告披露情况
2.非标准审计意见比例有所提高。20##年进行内部控制审计或者鉴证的2089家公司中,非标准意见85家,占比4.07%,相比于20##年,在披露内部控制审计意见的1812家公司中,非标准意见为59家,占比3.25%,非标准意见比例有所提高。
三、企业内部控制规范体系实施中存在的主要问题
(一)内部控制评价报告披露存在的问题
1.部分上市公司对披露内部控制评价报告重视程度不够。部分上市公司在年度报告中提及已经实施内部控制评价,但未通过指定的公开渠道披露内部控制评价报告。有的上市公司在发布了内部控制评价报告后又发布了补充公告,而且进行了重要修订;个别上市公司还发布了不同版本的内部控制评价报告。部分上市公司披露的内部控制评价报告前后矛盾。例如,某上市公司在内部控制评价报告的第二部分“内部控制评价结论”中披露“根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制”,而在第三部分的“内部控制缺陷认定及整改情况”中披露“根据上述财务报告内部控制缺陷的认定标准,报告期内未发现公司财务报告内部控制重大缺陷、重要缺陷”。又如,某上市公司在内部控制评价报告的第二部分“内部控制评价结论”中披露“报告期内,公司对纳入评价范围的业务与事项均建立了部分内部控制,并没有有效执行,未达到公司内部控制目标,发现财务报告和非财务报告相关内部控制存在重大缺陷和重要缺陷”,但在第三部分中却披露“根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务报告内部控制存在重大缺陷、重要缺陷”。
2.内部控制缺陷认定标准仍不够恰当。一些上市公司内部控制缺陷认定标准披露不完整,未区分财务报告和非财务报告内部控制缺陷认定标准,或者未区分定量和定性、重大和重要内部控制缺陷认定标准,或者定性认定标准不够详细,只是简单引用有关内部控制缺陷定性标准的定义。有些上市公司之间披露的内部控制缺陷认定标准可比性不强,同行业、类似规模上市公司界定的内部控制缺陷认定标准存在较大差异,类似的缺陷在某些公司归属于重大缺陷,而在另外一些公司却被归属于重要缺陷,甚至一般缺陷。有些上市公司界定的内部控制缺陷认定标准不够规范,如有些标准既是重大缺陷的定性标准,也是重要缺陷的定性标准,甚至财务报告与非财务报告内部控制缺陷采用相同的认定标准。
3.内部控制缺陷内容的披露不够规范。绝大多数内部控制存在重大和重要缺陷的上市公司能够详细披露其数量及内容,但部分上市公司在披露上存在披露要素遗漏的情况,如仅披露内部控制重大和(或)重要缺陷的数量,但未披露具体内容;或仅披露存在内部控制重大和(或)重要缺陷,但未区分财务报告内部控制和非财务报告内部控制,也未披露缺陷数量和具体内容等。
4.少数上市公司的重大缺陷没有得到有效整改。在对20##年度和20##年度连续被出具了非标意见类型的内部控制审计报告的分析中,我们发现,个别上市公司20##年度和20##年度连续因同一重大缺陷或重要缺陷被出具了非标意见的内部控制审计报告。
(二)内部控制审计报告披露存在的问题
1.审计费用披露不规范,审计收费偏低。在纳入实施范围的1424家上市公司中,15.66%的上市公司未单独披露内部控制审计费用;在未纳入实施范围的1138家上市公司中,98.25%的上市公司未单独披露内部控制审计费用。另外,某些上市公司的审计师执行内部控制审计费用过低,只有几万元,说明仍然存在内控审计低价竞争的现象。部分内控审计机构和咨询机构低价招揽客户,严重影响了内控审计和咨询服务质量。
2.会计师事务所未能充分依据企业内部控制规范执行中小板和创业板上市公司内控审计。在对主板上市公司执行内控审计业务时,约98%的会计师事务所依据《企业内部控制审计指引》执行内部控制审计业务,约2%的会计师事务所依据《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅外的鉴证业务》执行内部控制审计业务。但具体到中小板和创业板上市公司,约86%的会计师事务所依据《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅外的鉴证业务》,约10%的会计师事务所依据《企业内部控制审计指引》,约2%的会计师事务所依据《中国注册会计师审计准则》,约1%的会计师事务所依据《企业内部控制基本规范》和(或)《深圳证券交易所上市公司内部控制指引》,约0.3%的会计师事务所依据《内部控制审核指导意见》。总体来看,主板上市公司内部控制审计业务标准较为统一,而中小板和创业板的内部控制审计业务标准种类繁多,内部控制审计依据的准则不同会导致报告的结论的可比性较差,这可能与中小板、创业板上市公司未纳入实施范围有关。
3.内部控制审计报告披露存在的问题
(1)在披露内部控制审计报告时,采用的格式和名称不一。内控审计报告使用的名称包括“内部控制审计报告”、“内部控制鉴证报告”、“内部控制专项报告”、“内部控制自我评价报告的审核评价意见”。各类不同的格式以及名称影响了内部控制审计报告的规范性。
(2)尽管内部控制审计非标准意见较往年有所提高,但整体比例仍然偏低。进行内部控制审计或者鉴证的2089家公司中,非标准意见仅85家,占比为4.07%。其中,纳入实施范围的上市公司中,被出具非标准审计意见的占5.41%,未纳入实施范围的上市公司中,被出具非标准审计意见的仅占1.2%。
(3)内部控制评价结论与内部控制审计结论不一致。在纳入实施范围的上市公司中,公司内部控制自评有效而被审计师出具否定意见的内控审计报告的上市公司有2家,公司内部控制自评有效而被审计师出具无法表示意见的内控审计报告的上市公司有3家,公司内部控制自评有效而被审计师出具带强调事项段无保留意见的内控审计报告的上市公司有53家。在未纳入实施范围的上市公司中,公司内部控制自评有效而被审计师出具否定意见的内控审计报告的上市公司有1家,公司内部控制自评有效而被审计师出具保留意见的内控审计报告的上市公司有2家,公司内部控制自评有效而被审计师出具带强调事项段或非财务报告重大缺陷无保留意见的内控审计报告的上市公司有4家。
(4)出具意见类型模糊的审计报告。自评报告中披露有财报重大缺陷,但审计师在审计报告中含糊其辞,综合财务报表保留意见和无保留意见特征,出具意见类型不明确的内控审计报告。如某上市公司的内控审计报告意见段披露该上市公司“除《20##年度内部控制自我评价报告》所述的资产安全管控缺陷外”,“按照财政部等五部委颁发的《企业内部控制基本规范》及相关规定于20##年12月31日在所有重大方面保持了与财务报表相关的有效的内部控制”,但审计报告中无说明段。从审计报告意见段表述及自我评价报告中披露的财务报告重大缺陷情况看,该报告疑似应为否定意见,审计结论是否恰当有待商榷。
(5)内控审计发现的缺陷不全面、不充分。内控审计发现的重大缺陷大多数是已发生损失或事故所反映的内部控制问题,如有些上市公司内控审计报告披露的重大内控缺陷在报告发布之前,已被媒体披露并引起社会的广泛关注,内控审计并未注重执行充分的审计程序去测试内部控制防范事故或损失发生的有效性,或审计师发现了内部控制中存在缺陷,但并未深入地开展评估以判断这些缺陷是否构成重大缺陷。
(6)内控审计报告披露不及时或未披露。有的公司在年报中披露了内部控制审计报告意见段,并注明了内部控制审计报告全文披露日期和披露索引,但无法在既定日期找到内部控制报告。个别上市公司直到20##年6月份才在其指定载体上披露报告。有的公司在年报中提及内控审计报告结论,但无法找到内部控制审计或鉴证报告。
4.内控审计意见未能得到及时有效整改。有些公司对注册会计师出具的内控审计意见重视程度不够,内控审计报告中披露的重大、重要缺陷未能得到及时有效整改,甚至少数企业出现因同一原因连续被出具非标准内控审计意见。如某上市公司20##年、20##年因“与控股股东在人员、机构等方面未能实现相互独立,且存在业务同质性” 连续被出具带强调事项段无保留意见;某上市公司20##年、20##年因“高管薪酬未经公司董事会确定”连续被出具带强调事项段无保留意见。
四、有关建议
在对20##年我国上市公司内部控制规范体系实施情况进行深入分析的基础上,本报告从政府、企业、审计及咨询机构等层面提出相关建议,以更好地推动我国企业内部控制规范体系建设与实施工作。
(一)政府层面
1.调研中小板、创业板内部控制建立和实施情况,完善内部控制信息披露规范。随着中小板、创业板上市公司数量的增加,推动其建立健全内部控制,对于提升我国上市公司质量和风险防范能力具有积极意义。20##年,分别有727家中小板上市公司和401家创业板上市公司披露了内部控制评价报告,但内控评价信息披露不规范、标准不统一的问题较为突出,应结合中小板、创业板特点,适时建立健全相关的内部控制规范及信息披露编报规则。
2.研究制定内部控制缺陷认定标准的原则,完善内部控制缺陷内容的披露。可以从财务报告和非财务报告、定量标准和定性标准、重大缺陷、重要缺陷和一般缺陷三个维度统一内部控制缺陷认定标准的原则,同时考虑分行业、分规模设定内部控制缺陷认定标准的原则。另外,从财务报告和非财务报告,重大、重要和一般等维度制定相应的内部控制缺陷内容披露办法,完善内部控制缺陷内容的披露。
3.加强对内部控制评价报告、审计报告披露不规范的上市公司和会计师事务所的处罚力度。除了持续监督和指导外,对于不按照要求披露甚至不披露内部控制情况的上市公司及相关责任人,应加大处罚力度,增强法律的震慑力。同时,加强内控审计执业情况检查,从内部控制审计报告披露的格式、审计底稿的规范性及其对审计意见类型的支持程度及对应说明段、事项段的内容等方面加强规范。
4.规范内部控制审计费用披露。监管机构应该强化信息披露规则的约束力,督促上市公司按规定要求单独披露内部控制审计费用,同时可以考虑要求上市公司披露内控咨询机构信息及其与审计机构是否为关联方的独立性声明。这便于监管层等利益相关者深入了解上市公司内部控制运行的全面信息,有助于监管层监督内部控制审计收费的合理性,并增强审计师对于上市公司的独立性。
(二)企业层面
1.增强企业管理层对内部控制评价工作的重视。在企业内部深入开展内部控制评价工作,有效发挥内部控制的职能。同时,要加强对企业会计人员内部控制缺陷评价内容和方法的培训,提高会计人员内部控制相关理论知识。
2.强化审计委员会日常职能履行。推行有效的内部控制是审计委员会帮助企业应对各类可预见的或非可预见的机会和挑战的最佳途径。审计委员会在日常工作中应对以下问题重点予以关注:在公司的控制体系中哪些关键环节会导致重大错报,如何针对这些关键环节去制定审计计划以应对重大错报风险,审计师如何判断这些控制是否可以很好地被执行以防范、发现和纠正潜在重大错报,审计师采用什么方法评估对于非经常性的交易或事项的财务报告内部控制。
3.加强对内部控制重大、重要缺陷的整改落实。对于企业在内部控制自我评价和注册会计师在内部控制审计过程中发现的内部控制重大、重要缺陷,企业应当及时加以整改,并对整改后的控制措施实施严格的测试,确保整改后控制措施的有效性。此外,企业应当就内部控制重大、重要缺陷及内控审计意见加强与外部审计师的沟通协调,避免内控自我评价报告与内控审计报告结论不一致。
(三)中介机构
1.增强专业胜任能力,进一步提升服务质量。中介机构要培养合格的内部控制专业人才,努力提高服务质量。会计师事务所应当强化内部控制审计的专业技术培训,并在执业过程中严格按照《中国注册会计师执业准则》、《企业内部控制审计指引》展开内部控制审计。
2.强化独立性要求,公平合理收费。会计师事务所应当杜绝通过低价恶性竞争招揽、保留客户,克服执业短期行为,公允合理定价。同时,严格遵守“不能同时为同一家企业提供内控咨询和审计服务”的独立性要求,维护市场秩序。