东方网力:中信建投证券股份有限公司关于公司2015年度内部控制自我评价报告的核查意见_东方网力(300367)_公告正文
东方网力:中信建投证券股份有限公司关于公司2015年度内部控制自我评价报告的核查意见
公告日期：
中信建投证券股份有限公司
关于东方网力科技股份有限公司
2015年度内部控制自我评价报告的核查意见
中信建投证券股份有限公司（以下简称“中信建投证券”或“本保荐机构”）作为东方网力科技股份有限公司（以下简称“东方网力”或“公司”）首次公开发行股票并在创业板上市的保荐机构，根据《公司法》、《深圳证券交易所创业板股票上市规则》、《深圳证券交易所上市公司内部控制指引》、《企业内部控制基本规范》、《深圳证券交易所创业板上市公司规范运作指引》、《上市公司治理准则》等法规和规范性文件的要求，对《东方网力科技股份有限公司关于内部控制的自我评价报告》进行了核查，具体情况如下：
一、 公司内部控制制度的目标和遵循的原则
（一）公司内部控制制度的目标
1、建立较为完整、有效、合理的内部控制制度体系和内部组织结构，确保管理工作标准化、规范化、程序化及规章制度的科学化、制度化，责权利的制衡化，为公司创建良好的企业内部经济环境和规范的生产经营秩序，有效提高公司管理效率和生产经营管理质量；
2、建立行之有效的风险控制系统和严密科学的管理制度，强化风险管理，防止并及时发现、纠正错误及舞弊行为，保证公司资产安全和公司业务的正常运行；
3、建立良好的公司内部经济环境，规范公司的会计行为，提高财务管理水平，保证财务会计信息及相关信息真实、准确、完整；
4、严格信息披露制度，维护广大投资者的利益；
5、确保国家有关法律法规和公司内部制度的贯彻执行。
（二）公司建立内部控制制度遵循的基本原则
1、合法性原则。公司各项内部控制制度和措施的建立符合国家有关法律法规和财政部《企业内部控制基本规范》的有关规定，以及公司的实际情况。
2、全面性原则。公司内部控制在层次上涵盖公司董事会、监事会、管理层和全体员工；在对象上覆盖各项经济业务及相关岗位；在流程上渗透到决策、执行、监督、反馈等各个环节，做到事前、事中、事后控制相统一，避免内部控制出现空白和漏洞。
3、重要性原则。公司内部控制在兼顾全面的基础上突出重点，针对重要业务与事项、高风险领域与环节采取更为严格的控制措施，确保不存在重大缺陷。
4、制衡性原则。公司内部控制保证各部门机构、岗位的合理设置及其职责权限的合理划分，坚持不相容职务相互分离，确保不同部门机构和岗位之间权责分明、相互制约、相互监督。
5、成本效益原则。公司内部控制遵循成本效益原则，尽量以合理的控制成本达到最佳的控制效果。
6、适应性原则。内部控制随着外部环境的变化、公司业务职能的调整和管理要求的提高，不断修订和完善。
二、 公司内部控制的总体情况
（一）内部环境
1、建立完善的法人治理结构
公司严格按照《公司法》、《证券法》、《上市公司章程指引》等法律法规的要求，不断完善法人治理结构，规范公司运作，建立健全了股东大会、董事会、监事会等治理机构。明确了股东大会、董事会、监事会和公司管理经营层的权利和义务。
股东大会是公司最高权利机构，通过董事会对公司进行管理和监督。董事会是公司的常设决策机构，向股东大会负责，按照《公司法》、《证券法》、《公司章程》和政府各有关监督机构颁发的相关规定，对公司经营活动中的重大决策问题
进行审议并作出决定，提交股东大会审议。监事会是公司的监督机构，向股东大会负责，负责对公司董事、经理的行为及公司财务进行监督。公司总经理由董事会聘任，全面负责公司的日常经营管理活动，组织执行董事会决议。
公司董事会下设审计委员会、提名委员会、薪酬与考核委员会、战略委员会。
审计委员会主要负责公司内、外部审计的沟通与协调、内部审计的组织、监督审计决议的执行等工作；提名委员会主要负责对公司董事和高级管理人员的人选、选择标准和程序进行选择并提出建议等工作；薪酬与考核委员会主要负责制定公司董事及高级管理人员的考核标准并进行考核，负责制定、审查公司董事及高级管理人员的薪酬政策与方案等工作；战略委员会主要负责对公司长期发展战略和重大投资决策进行研究并提出建议等工作。
公司已建立了完善、有效的治理机构，并形成相关制度：包括股东大会议事规则、董事会议事规则、监事会议事规则、重大事件预案管理制度、关联交易管理制度、对外担保管理制度、对外投资管理制度等，完善健全了公司法人治理结构。
2、公司的组织结构体系
股东大会是由全体股东组成的本公司权力机构；董事会是本公司的决策机构，现董事会设9名董事，其中3名为独立董事，设董事长1名；监事会是公司的监督机构，现监事会设3名监事，其中职工代表监事1名，设监事会主席1名。
本公司设总经理1名，总经理负责公司的日常经营管理活动，现设副总经理13名，协助总经理工作，其中1名副总经理兼公司董事会秘书，负责对外信息披露，处理公司与证券管理部门、公司股东的相关事宜。
3、内部监督
公司以监事会和审计部门作为对公司进行稽核监督的机构。按照有利于事前、事中、事后监督的原则，专门负责对经营活动和内部控制执行情况的监督和检查，并对每次检查对象和内容进行评价，提出改进建议和处理意见，确保内部控制的贯彻实施和生产经营活动的正常进行。
4、人力资源方面
公司积极创造适合人才竞争和发展的企业文化氛围，为所有员工提供发挥才智、实现价值的平台和机会，使公司成为拥有一流人才队伍、具有高凝聚力的现
代化企业。
公司建立了《员工行为规范》、《员工工作手册》、《人事管理制度》、《绩效考核管理办法》等相关人事管理制度。对人事管理包括招聘管理、培训管理、编制管理、薪资管理、档案管理、考评管理等做了详细的规定。公司绩效考核办法完善了公司的激励与约束机制，采用以岗定薪、奖金与公司效益、员工工作业绩挂钩方式，提高了员工的竞争意识。通过量化KPI考核指标及对员工工作态度、综合素质的客观评价，对不考核不达标的员工进行淘汰，加强对员工的管理，健全了有效的奖惩机制。
5、企业文化
公司十分重视加强企业文化建设，积极倡导“不伤害、不妥协”的价值观，坚持“客户梦想，我们的梦想；以人为本，先人后事；创业创新，拥抱变革；正直诚实”的经营理念，追求“以创新技术和完美产品，在数字视频领域内成就客户一切梦想”的使命，努力完成“BuildingVideoInternet构筑视频互联网”的愿景。打造一支诚实守信、爱岗敬业、开拓创新和团队协作的员工队伍，以创造良好的内部控制文化氛围。诚信和道德价值观念是控制环境的重要组成部分，影响到公司重要业务流程的设计和运行。本公司一贯重视这方面氛围的营造和保持，建立了一系列内部管理规范，并通过有效的考核奖惩制度和高层管理人员的身体力行，使这些内部规范多渠道、全方位地得到有效地落实。另外，公司不定期对员工开展关于职业道德教育的培训，以提高员工价值观的统一性。公司不断加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。
（二）风险评估
为促进公司持续、健康发展，实现经营目标，公司根据既定的发展策略，结合日常管理与监督、内部审计、外部审计等，在建立和实施内部控制的同时收集相关信息，识别和评估在经营活动中所面临的各种风险，包括内部风险和外部风险，根据风险程度设置或调整内部控制，并采取相应的风险应对措施。通过风险规避、风险降低、风险分担和风险承受等应对策略的综合运用，实现对风险的有
（三）控制活动
公司结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。
1、不相容职务的分离控制。公司全面系统地分析、梳理了所有业务流程中所涉及的不相容职务，实施了相应的分离措施，形成相对合理的各司其职、各负其责、相互制约的工作机制。
2、授权审批控制。公司根据常规授权和特别授权的规定，明确了各岗位办理业务和事项的权限范围、审批程序和相应责任。公司各级管理人员均在授权范围内行使职权和承担责任。公司对于重大的业务和事项，实行集体决策制度，任何个人不得单独进行决策或者擅自改变集体决策。
3、会计系统控制。公司财务部根据《会计法》和《企业会计准则》等有关规定，制订了统一的会计政策和会计核算制度，并采取有效措施保证公司整体及各独立核算主体按照会计政策和会计核算制度进行会计核算和编制财务报告。公司每月对下属企业的报表进行分析,对下属企业的财务状况、经营成果及现金流量进行及时监测，通过财务报告了解各企业的经营财务状况。同时，公司实施对下属企业派出财务部门负责人的办法，建立了对下属企业的会计机构人事监控体制。
4、财产保护控制。公司及下属企业制订了各项资产的管理制度，对各类资产的购置、验收、记录、保管、使用、接触管理和处置等作了较为详细的规定，明确和规范了相关岗位职责和流程。各项资产统一由财务部门核算，财务部门对资产的管理履行会计监督职责。公司及下属企业对资金、往来款定期进行核对，对固定资产、存货等定期进行盘点、核实。公司财务部每年对下属企业的年度资产盘点进行监盘，资产的会计控制基本达到预期效果。
5、预算控制。公司实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。
6、运营分析控制。公司建立了运营情况分析制度，经理层综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等
方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。
7、绩效考评。公司建立和实施了绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
8、重大风险预警机制和突发事件应急处理机制。公司建立了重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。
（四）信息与沟通
公司建立了对内和对外的信息交流与沟通制度，确保信息及时沟通，促进内部控制有效运行。
公司主要通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息，通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息；并对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。
公司充分利用网络等信息技术建立了有效信息管理系统，将内部控制相关信息在企业内部各管理级次、责任部门、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈，过程中发现的问题可及时报告并加以解决，重要信息能够及时传递给董事会、监事会和经理层。公司加强了对开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。
公司建立了反舞弊机制，坚持惩防并举、重在预防的原则，明确了反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范了舞弊案件的举报、调查、处理、报告和补救程序。公司建立了举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。
（五）内部监督
董事会审计委员会负责审查和监督内部控制的建立和有效实施情况。公司设立了审计部，配备了专业的审计人员，在公司的经营管理和内部控制中发挥审计监督作用。审计部根据《基本规范》的要求，组织公司及下属企业对内部控制体系进行了较为全面的检查和梳理，规范了内控流程和完善了相关内控制度。
（六）内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系，结合公司相关制度、流程、指引等相关制度文件规定，组织开展年度内部控制评价工作。公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好、风险承受度及经营状况等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用本公司的内部控制缺陷具体认定标准。公司确定的内部控制缺陷认定标准情况如下：
1、财务报告内部控制缺陷的认定标准
根据缺陷可能导致的财务报告错报的重要程度公司采用定性和定量相结合的方法将缺陷划分确定重大缺陷、重要缺陷和一般缺陷。
重大缺陷：指一个或多个控制缺陷的组合，可能导致严重影响企业内部控制的有效性，进而导致企业无法及时防范或发现严重偏离控制目标的情形；
重要缺陷：是指一个或多个控制缺陷的组合，其严重程度虽低于重大缺陷，但仍有较大可能导致企业无法及时防范或发现偏离控制目标的情形，须引起企业董事会和经理层的重视和关注；
一般控制缺陷：指除重大缺陷、重要缺陷之外的其他缺陷。
（1）定量标准
定量标准以收入总额、资产总额作为衡量指标。
内部控制缺陷导致或可能导致的损失与利润表相关的，以收入总额指标衡量。
如果该缺陷单独或连同其他缺陷可能导致的财务报告错报的金额小于或等于利润总额的0.75%，则认定为一般缺陷；如果超过利润总额的0.75%但小于或等于1.5%认定为重要缺陷；如果超过利润总额的1.5%，则认定为重大缺陷。
内部控制缺陷导致或可能导致的损失与资产管理相关的，以资产总额指标衡
量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于或等于资产总额的0.1%，则认定为一般缺陷；如果超过资产总额0.1%，小于或等于0.5%认定为重要缺陷；如果超过资产总额0.5%则认定为重大缺陷。
（2）定性标准
出现下列情形的，认定为重大缺陷：①公司董事、监事和高级管理人员的舞弊行为；②公司更正已公布的财务报告；③注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大错报；④公司审计委员会和审计部对内部控制的监督无效；⑤重要业务缺乏制度控制或制度体系失效；⑥内部控制重大或重要缺陷未得到整改。
出现下列情形的，认定为重要缺陷：①未建立反舞弊程序和控制措施；②未依照公认会计准则选择和应用会计政策；③中高级管理人员和高级技术人员流失严重；④对于期末财务报告过程的控制，存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、准确的目标。
不构成重大缺陷或重要缺陷的其他内部控制缺陷认定为一般缺陷。
2、非财务报告内控缺陷认定标准
公司非财务报告缺陷认定主要依据缺陷涉及业务性质的严重程度、直接或潜在负面影响的性质、影响的范围等因素来确定将缺陷划分确定重大缺陷、重要缺陷和一般缺陷。
（1）定量标准
重大缺陷：直接财产损失大于100万元以上，且对公司造成较大负面影响并以公告形式对外披露。
重要缺陷：直接财产损失大于10万元小于或等于100万元或受到国家政府部门处罚但对未公司造成负面影响。
一般缺陷：直接财产损失小于或等于10万元以下或受到省级(含省级)以下政府部门处罚但对未对公司造成负面影响。
（2）定性标准
非财务报告缺陷认定主要以缺陷对业务流程有效性的影响程度、发生的可能性作判定。如果缺陷发生的可能性高，会严重降低工作效率或效果、或严重加大效果的不确定性、或使之严重偏离预期目标为重大缺陷。
如果缺陷发生的可能性较高，会显着降低工作效率或效果、或显着加大效果的不确定性、或使之显着偏离预期目标为重要缺陷；
如果缺陷发生的可能性较小，会降低工作效率或效果、或加大效果的不确定性、或使之偏离预期目标为一般缺陷。
（七）内部控制缺陷认定及整改情况
1、财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准，报告期内公司不存在财务报告内部控制重大缺陷和重要缺陷。
2、非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准，报告期内未发现公司非财务报告内部控制重大缺陷和重要缺陷。
三、 公司尚需完善的内部控制及改进措施
公司在内部控制制度建设方面虽然建立了相对完善的制度体系，但由于公司业务和规模不断扩大，现有的内部控制制度需进一步细化和完善，制度执行力度需进一步加强，对于目前公司在内部控制方面存在的不足，本公司拟采取以下措施加以改进提高：
1、不断完善内控体系建设。随着公司的发展和业务规模的持续增大，公司在实际经营过程中可能会出现新的问题、新的需求。为此，公司将在今后的运作管理中，根据实际情况变化不断修订、完善内控体系，提高内部控制质量，促进公司内部管理和业务开展的规范运作。
2、继续完善和加强公司信息化建设，建立项目过程控制、研发过程控制的信息化平台。
3、强化内部控制制度的执行力，充分发挥审计委员会和内部审计部门的监督职能，定期和不定期地对公司各项内控制度进行检查，确保各项制度得到有效执行。
4、通过培训、交流等方式强化相关人员在专业知识、内部规章制度和法律
法规等方面的学习，提高公司全员依法合规经营管理的意识，努力防范公司经营管理和业务发展中存在的风险。
5、进一步完善公司治理结构，提高公司规范治理的水平，加强董事会各专门委员会的建设和运作，更好地发挥各委员会在专业领域的作用，进一步提高上市公司科学决策能力和风险防范能力。
四、 公司管理层对内部控制的自我评价
公司现行的内部控制制度已基本建立，能够适应公司管理的要求和公司发展的需要，能够较好地保证公司会计资料的真实性、合法性、完整行，随着国家法律法规的逐步深化和公司不断发展的需要，公司的内控制度还将进一步健全和完善，并将在实际中得以有效的执行和实施。
综上所述，公司管理层认为根据财政部《企业内部控制基本规范》、《企业内部控制评价指引》及相关规定，公司内部控制于日在所有重大方面是有效的。
五、 保荐机构对公司内部控制自我评价的核查意见
本保荐机构及保荐代表人通过多种途径督导公司规范运作，具体措施和方法主要包括：列席公司股东大会及董事会并查阅会议资料；对公司信息披露文件进行事前审阅；关注公司募集资金投资项目的进展情况；了解和督促各项业务和管理等制度的实施；查阅会计资料，抽查会计账册和银行对账单；查阅相关信息披露文件；与董事、监事、高级管理人员及公司其它主要人员进行座谈和沟通；与公司聘请的会计师进行沟通；现场检查内部控制制度的执行等方法，从内部控制的环境、内部控制制度的建立和实施、内部控制的监督等多方面对公司内部控制的合规性和有效性进行了核查。
经核查，本保荐机构认为：东方网力已建立了较为健全的法人治理结构，现行内部控制制度和执行情况符合《深圳证券交易所创业板上市公司规范运作指引》、《上市公司治理准则》等相关法律法规的规定；公司在所有重大方面保持了
与企业业务经营及管理相关的有效的内部控制；公司董事会出具的《内部控制自我评价报告》反映了其内部控制制度的建设及运行情况。
（以下无正文）
（本页无正文，为《中信建投证券股份有限公司关于东方网力科技股份有限公司2015年度内部控制自我评价报告的核查意见》之签字盖章页）
保荐代表人：
――――――
――――――
中信建投证券股份有限公司
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
建议及投诉热线：021-&&&&
证券投资咨询资质：上海东方财富证券研究所 编号：ZX0064
&沪ICP证：沪B2-&&版权所有：东方财富网境内外同时上市公司2011年执行企业内控规范报告
当前位置： >> >>
境内外同时上市公司2011年执行企业内控规范报告
中央政府门户网站　　　 日 19时32分　　 来源：财政部网站
【E-mail推荐
    二、研究分析
    （一）内部控制评价报告分析67家公司所披露的67份内控评价报告在格式、内容等方面均存在较大差异，本报告将从以下12个方面进一步分析。
    1.内部控制评价报告名称
    财政部于2012年2月印发了《企业内部控制规范体系实施中相关问题解释第1号》，制定了企业内部控制评价报告的参考格式，其中对内控评价报告的名称表述为“ⅩⅩ公司20xx年度内部控制评价报告”。67家公司披露的内部控制评价报告从名称上来说，主要分为两类：一类名称如“ⅩⅩ公司2011年度内部控制评价报告”，这类报告有54份，占80.6%。另一类名称如“ⅩⅩ公司2011年度内部控制自我评价报告”，这类报告有13份，占19.4%。
    2.内部控制责任主体认定
    根据《企业内部控制基本规范》、《企业内部控制规范体系实施中相关问题解释第1号》等文件的规定，建立健全并有效实施内部控制是公司董事会的责任；监事会对董事会建立与实施内部控制进行监督；经理层负责组织领导公司内部控制的日常运行。从公司内部控制责任主体认定和划分上来看，绝大部分公司对于内部控制责任主体的认定很清晰，仅有少数公司未在内控评价报告中披露相关信息。
图3 内部控制责任主体分布情况
    3.内部控制目标
    67家公司在内控评价报告中全部披露了公司内部控制的目标，从披露的具体内容看，可以分为以下两类：
    （1）以财政部等五部委在《企业内部控制基本规范》中确定的内部控制五目标为公司内部控制目标的有43家。其中17家公司对内部控制目标的表述与《企业内部控制基本规范》相同，即合理保证企业经营管理合法合规、维护资产安全、保证财务报告及相关信息真实完整、提高经营效率效果、促进企业实现发展战略；有9家公司对内部控制五目标作了进一步阐述，如南京熊猫（600775）在五目标的基础上增加了“股东利益最优化”、中国铁建（601186）在五目标的基础上增加“培育和提升全员内部控制与风险管理意识，形成良好的内部控制与风险管理文化”、中国铝业（601600）则在五目标的基础上增加“建立和符合现代企业管理要求的公司法人治理结构”等。
    （2）以财务报告相关内部控制目标作为公司内部控制目标的有24家公司。24家公司确定的财务报告相关内部控制的目标差别很小，大多表述如“保证财务报告信息真实完整和可靠、防范重大风险”，也没有提及经营的合法合规性、资产的安全等目标。
    以两种不同形式披露内部控制目标的公司具体分布情况见图4。
图4 内部控制目标披露分布情况
    4.内部控制评价的依据
    2011年是境内外同时上市公司首次执行企业内控规范体系，开展内控评价工作对一些企业来说还比较陌生。财政部等五部委于2010年发布的《企业内部控制配套指引》为上市公司开展内控评价工作提供了重要指导。67家公司在其内部控制评价报告中以不同的形式披露了内部控制评价的依据，包括所依据的内部规章以及外部法律法规等。由于不同公司在内控评价工作中依据的公司内部控制评价手册等内部规章有所不同，因此本部分“内部控制评价的依据”是指公司开展内控评价工作所依据的外部法律法规等文件。
    67家公司内控自评报告中，遵循的评价依据可以划分为三个方面：有关法律法规规定、规范性文件和交易所监管规则和其他自律性规定。其中，法律法规包括：《公司法》、《证券法》、美国《萨班斯法案》等；规范性文件包括：财政部等五部委《企业内部控制基本规范》、《企业内部控制配套指引》、证监会《上市公司治理准则》、保监会《保险公司内部控制基本准则》、银监会《商业银行内部控制指引》；交易所监管规则和其他自律性规定，包括：深交所《上市公司内部控制指引》、上交所《上市公司内部控制指引》、香港联合交易所《上市规则》、香港会计师公会《内部监控与风险管理的基本架构》等。
    67家公司全部披露《企业内部控制基本规范》是内部控制评价的依据，其中61家公司披露其内部控制评价工作的依据是《企业内部控制基本规范》及其配套指引。这61家公司中，包括具体的以评价指引或应用指引为依据的公司。
    67家公司中，有14家上市公司（不包括没有详细列举所依据的其他法律法规和规章制度名称的公司）在内控评价报告中披露的内控评价工作依据不仅包括《企业内部控制基本规范》及其配套指引，还包括其他法律法规或者规范性文件，占67家公司的20.9%。这14家公司中，有7家公司评价依据还包括上海证券交易所发布的《上市公司内部控制指引》；有2家公司评价依据还包括《商业银行内部控制指引》、《公司法》、《证券法》、SOX法案；有1家公司评价依据还包括深圳证券交易所发布的《上市公司内部控制指引》。此外，14家公司披露的评价依据还包括证监会《上市公司信息披露管理办法》、香港联交所《企业管治常规守则》、上交所《上市公司2011年年度报告工作备忘录第一号内控报告的编制、审议和披露》、证监会《关于做好上市公司内部控制规范试点有关工作的通知》、香港会计师公会《内部监控与风险管理的基本架构》、《香港联合交易所有限公司证券上市规则》、《关于做好北京辖区上市公司内控规范实施工作的通知》等。
    5.具体负责组织实施内控评价工作的部门
    董事会负责建立健全并有效实施内部控制，在董事会及其下属专业委员会的授权下，由具体的部门或者组织负责内部控制评价的具体实施工作。
    具体来说，在内部控制评价工作的开展中，可以将具体负责组织实施内控评价工作的部门、牵头部门进行如下划分：
    （1）完全由审计部门作为负责部门开展内控评价工作的公司有26家，占比39%；
    （2）以审计部门作为主要负责部门，联合其他业务部门开展内控评价工作的公司共有14家，占比21%；
    （3）完全由内控或风险部门负责内控评价工作的公司有5家，占比7%；
    （4）由内控评价工作小组开展评价工作的公司有4家，占比6%；
    （5）由多个业务部门联合开展内控评价工作的公司有11家，占比16%；
    （6）完全由稽核部开展内控评价工作的公司有1家，占比2%；
    （7）未披露开展内控评价部门的公司有6家，占比9%。
    分布情况见图5。
图5 内控评价工作组织实施部门统计分布情况
    虽然67家公司负责组织实施内控评价工作的部门存在较大的差异，但是内控评价工作开展的组织形式相似度较高。由于评价工作涉及的工作面较广、业务或者事项较多，需要多部门配合，上市公司大多在具体负责部门的组织下，按照《企业内部控制基本规范》及《企业内部控制评价指引》的要求，由来自其他部门的业务骨干组成内控评价工作小组，开展内部控制评价工作。
    6.聘请外部咨询机构协助公司开展内控建设、内控评价情况
    内控评价是一项较为专业性、复杂性的工作，涉及的范围广、事项多，开展内控评价工作的公司可以根据自身的需要，选择具有一定资质的中介咨询机构协助公司开展评价工作。
    67家公司中，有25家公司在内控评价报告中披露聘请外部咨询机构协助公司开展内控评价、内控建设咨询，占比37%；有9家公司在内控评价报告中披露未聘请外部咨询机构参与内控评价，占比14%；有33家公司在内控评价报告中并未披露公司是否聘请外部咨询机构，占比49%。具体分布情况见图6。
图6 聘请外部咨询机构情况
    67家公司中，披露聘请外部咨询机构协助开展内控建设、内控评价等的共有25家[1]，除1家公司同时聘请两家咨询机构为公司提供内控评估工作技术支持，其它24家公司均只聘请1家公司协助开展内控建设工作或者内控评价工作。其中有11家公司聘请的咨询机构为中外合作、外资咨询机构，有12家公司聘请的咨询机构为内资咨询机构，有3家公司并未披露咨询机构具体名称，具体分布情况见图7。
图7 咨询机构分布情况
    7.内部控制五要素披露情况
    开展内控建设应该以内部控制五要素——内部环境、风险评估、控制活动、信息与沟通、内部监督为核心。67家公司披露的内控评价报告中，对内控五要素的披露方式、内容等均有些差别。
    （1）控制环境
    控制环境是企业实施内部控制的基础，《企业内部控制应用指引》中控制环境类指引包括组织架构、发展战略、人力资源、社会责任和企业文化等指引。从67家公司披露的情况来看，组织架构、发展战略、人力资源、社会责任和企业文化是企业开展内控环境建设的核心。具体信息如表6。
    
    注：该表格中占比均为披露某一项控制活动的企业数量占所有67家企业数量的比例。
    （2）控制活动
    67家公司内控自评报告存在差异最大的是控制活动要素的披露内容。《企业内部控制配套指引》中以下9项内容涉及控制活动要素：资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包和财务报告。67家公司对控制活动的具体披露情况如表7。
    
    根据企业实际披露情况，本报告增加了非金融类企业7项内容，银行业12项内容和保险业1项内容，并根据以上内容进行了进一步统计。非金融类企业中，有些控制活动如对外投资、关联交易、生产与成本管理等被多次披露，这些控制活动通常是对一些行业或某一规模的企业非常重要的内容，其他活动如反舞弊、安全管理、质量管理等披露较少，具体信息如表8。
    
    银行业企业根据服务种类和面临风险方面的特点，通常会将最重要的风险领域作为内控的重点，例如：信贷业务控制、零售业务控制或资金业务控制作为内控的重要活动，具体信息如表9。
    
    保险业由于行业特殊，在内控自评报告中，将精算管理作为内控的重要控制活动。
    （3）信息与沟通
    67份报告中，披露信息与沟通情况的企业共29家，占总数量的43.3%。如中联重科（000157）从信息传递、信息系统控制、反舞弊程序三个方面披露信息与沟通工作；南京熊猫（600775）则从内部信息沟通和外部信息沟通两方面披露信息与沟通工作；而部分公司则是简单描述，如“公司建立了较为完备的信息与沟通体系，内部控制相关信息的收集、处理和传递程序规范、运行顺畅，沟通及时有效，促进了内部控制的有效运行”。
    （4）风险评估
    风险的识别与评估是内控自评工作中的一个重要环节，在67份报告中，披露风险评估情况的企业共33家，占总数量的49.3%。从披露的情况来看，在风险识别中，战略风险、财务风险、市场风险、运营风险、合规风险及舞弊风险是大多数企业特别关注的风险类型；银行业则主要按业务类型对风险进行划分，如招商银行（600036）将风险划分为信用风险、流动性和市场风险、操作风险和声誉风险、合规风险、关联交易风险等。
    （5）内部监督
    在67份报告中，披露内部监督情况的企业共34家，占总数量的50.7%。从披露的内部监督的情况来看，可以发现，诸多企业已经形成了以监事会、董事会及其下属审计委员会、审计部门为主的三级内控监督体系。《企业内部控制基本规范》要求有条件的企业设置专门的内控机构，但是从67家公司披露的情况来看，很少有企业在评价报告中披露设置专门的内控机构。当前主要的监督职责基本上都由内部审计监督完成，即审计部门接受董事会或其下属审计委员会委托，对日常生产经营活动实施审计检查。
    8.内控自评采用的测试方法
    67份内控自评报告中，披露内控测试方法的企业共56家，所采用的方法主要是以下六种基本方法：个别访谈、问卷调查、专题讨论、穿行测试、实地查验、抽样。此外，少数企业用到制度审阅法、信息系统取证法等方法，但数量很少，具体信息如表10。
    
    9.内控缺陷认定标准披露情况
    内部控制缺陷认定标准的确立是内控评价中的基础性和关键性问题，对于确定内控缺陷，进而对内控缺陷进行整改都有着非常重要的影响。《企业内部控制基本规范》和《企业内部控制评价指引》要求上市公司根据自身情况和关注的重点，确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。
    67家公司中，13家上市公司未披露公司是否制定内控缺陷认定标准，54家公司以不同形式、不同程度披露了公司存在内控缺陷认定标准。在这54家公司中，有22家公司披露其制定了内控缺陷认定标准，但是没有详细描述内控缺陷认定标准的具体情况；有32家公司详细描述了公司内控缺陷认定标准，其中有27家公司披露了定量与定性相结合的内控缺陷认定标准，有3家公司披露了定性认定标准，有2家公司披露了定量认定标准。具体如表11。
    
    企业披露的内控缺陷认定标准中，以披露重大内控缺陷认定标准为主。多数公司对重大内控缺陷的认定标准分为定量标准和定性标准两个方面。重大内控缺陷认定的定量标准一般是以某一财务报表指标作为计算基础，以该指标的一定比例作为衡量重要与否的标准，如：营业收入潜在错报≥营业收入总额的0.5%、利润总额潜在错报≥利润总额的5%、所有者权益潜在错报≥所有者权益总额的0.5%等等。
    重大内控缺陷的定性标准差异较大，除“董事、监事和高级管理人员舞弊；注册会计师发现当期财务报告存在重大错报而内部控制在运行过程中未能发现该错报；审计委员会和内部审计机构对内部控制的监督无效”这几项在《企业内部控制审计指引》中提及的可能存在重大缺陷的迹象外，还包括如：重要业务缺乏制度控制或制度系统性失效；重要职权和岗位分工中没有体现不相容职务相分离的要求；企业战略、投资、募集资金等重大决策、重大事项、重大人事任免及大额资金的管理程度不科学并造成严重损失；以前年度评价过程中曾经有过舞弊或错误导致重大错报的经历，公司没有在合理的时间内改正所发现的重大缺陷和重要缺陷；不采取任何行动导致潜在错报或造成经济损失、经营目标无法实现的可能性不大；不采取任何行动导致潜在错报或造成经济损失、经营目标无法实现的可能性极大；对存在的问题不采取任何行动有较大的可能导致严重的偏离控制目标的行为；会计人员不具备应有素质以完成财务报表编制工作；控制环境无效等。
    尤其值得关注的是，只有东方航空在制定内控缺陷认定标准的同时，制定了公司整体内控有效性判断标准，明确了缺陷类型及数量与内部控制有效性结论的关系，具体如下：
    （1）是否存在重大内控缺陷，如“是”则整体内控无效，“否”则整体内控有效；
    （2）是否存在3个以上重要缺陷，如“是”则整体内控无效，“否”则整体内控有效。
    10.具体内控缺陷披露情况
    内部控制缺陷披露是公司内部控制评价报告非常重要的组成部分，通过披露公司在自我评价过程发现的内部控制缺陷，尤其是内部控制重大缺陷和内部控制重要缺陷，一方面可以使投资者对公司的内部控制整体状况及公司运行状况有比较好的把握，另一方面能够督促公司对存在的缺陷进行整改，进而促进公司内控体系的不断优化，为促进企业的健康发展提供基础。
    67家公司中，披露公司在报告期内存在内部控制缺陷的有49家，未报告公司存在内控缺陷的有18家。49家披露存在内控缺陷的公司，主要包括以下4种情形：披露公司内控缺陷的个数与内控缺陷内容；仅披露公司内控缺陷的个数；仅披露公司内控缺陷内容；既不披露内控缺陷个数，也不披露公司内控缺陷内容，仅提及公司存在内控缺陷（一般缺陷或重要缺陷），具体情况如表12。
    
    披露公司存在缺陷的49家公司中，仅有1家公司披露其存在1个重大缺陷；2家公司分别披露其存在7个重要缺陷和1个重要缺陷；其余公司均仅披露存在一般缺陷，且缺陷的个数差异较大，个别公司披露多达1000余个，少则只有1个。
    通过对49家公司披露的内控缺陷进行分析，可以发现目前披露的内控缺陷主要包括以下几种类型：
    （1）设计缺陷和运行（执行）缺陷。如设计缺陷（主要是制度建设方面的问题）和执行缺陷（主要指不按制度流程操作的问题），个别公司的机构设置存在重复、交叉或缺失的情况，有待进一步明确职能定位，划清岗位职责权限；个别子、分公司合同执行情况检查力度不够，合同台账摘要登记不明细。
    （2）公司层面缺陷和业务控制层面缺陷。如某公司将缺陷划分为公司层面和业务层面，公司层面存在的问题包括：企业业务层面内部控制的自我评价没有形成完整的工作底稿，只有最终的问题汇总表，未严格按照企业内部控制评价指引要求开展内部控制评价工作；业务层面存在的问题如收入确认存在截止性差异问题等。
    （3）信息系统控制（IT）方面的缺陷。如信息系统中应收应付模型有待改进、相应的控制工具（如计算机系统）需要进一步完备、系统用户及权限管理工作有待进一步完善等等。
    （4）按公司的经济活动、业务事项进行划分的缺陷。如某银行披露其负债业务方面，需进一步夯实客户基础，努力拓宽存款吸纳渠道，稳定均衡增长，降低存贷比；信贷业务方面，应进一步增强信贷业务客户群风险的识别和控制能力，加强对贷款实际用途的识别和监控，增强银行资金与民间融资的隔离控制，加强贴现票据验票工作；个人金融和中间业务方面，需进一步加强理财产品销售管理工作，完善特色业务和新业务的管理细则，优化代理业务管理流程等。
    （5）与财务报告相关的缺陷和与非财务报告相关的内控缺陷。如财务报告内部控制缺陷中会计基础工作方面，表现为存货盘查时个别月份没有签名记录、个别内部固定资产转移台账变更记录的及时性以及员工离职软件系统及时与实际记录核对等；非财务报告内部控制缺陷，表现在公司对外购软件的管理、企业文化建设的完善等。
    披露内控缺陷的具体内容见附表。
    11.内控缺陷整改披露情况
    67家公司中，有49家公司以不同形式披露公司存在内控缺陷，其中44家公司提出了整改计划、整改措施或者要求对缺陷进行整改，5家公司并未提出相应的整改方案或者措施。 44家提出内控缺陷整改方案、计划或者措施的公司，在内控评价报告中对整改方案、计划或者措施的描述不尽相同，有的公司表述非常简单；有的公司则将每一类缺陷对应的指引、整改措施详细列出，如中新药业（600329）在内控评价报告中列示了排在前三位的缺陷及其整改措施，首先对缺陷进行描述，再确定缺陷类型，进而将其对应指引，最后提出具体的整改措施。
    12.内部控制有效性描述方式分析
    根据《企业内部控制规范体系实施中相关问题解释第1号》中有关内部控制评价报告格式要求，对内部控制设计与运行的有效性进行评价后，确认内部控制不存在重大缺陷的，应表述为“报告期内，公司对纳入评价范围的业务与事项均已建立了内部控制，并得以有效执行，达到了公司内部控制的目标，不存在重大缺陷”。
    证监会《上市公司实施企业内部控制规范体系监管问题解答2012第1期》对内部控制评价报告格式提出要求：如果不存在重大缺陷，自评报告可采用正面描述的方式直接作出内部控制有效的结论，即“董事会已按照《企业内部控制基本规范》及评价指引的要求对财务报告内部控制进行了评价，并认为其在XXXX年XX月XX日（基准日）有效”。
    67家公司披露的内部控制有效性结论中，上述两种方式的表述均存在，另有部分公司表示“未发现重大缺陷”。
    我们认为，从文字表述的角度分析，“未发现重大缺陷”与“不存在重大缺陷”或“财务报告内部控制有效”相比，是一种消极的确认方式，所代表的确认程度较低。
    （二）内部控制审计报告分析
    《企业内部控制审计指引》中规范了内部控制审计报告的格式和内容，包括以下五部分内容：企业对内部控制的责任、注册会计师的责任、内部控制的固有局限性、财务报告内部控制审计意见、非财务报告内部控制的重大缺陷。67份内控审计报告内容与审计指引提供的格式要求基本一致，仅存在部分细节上的差异。
    1. 67份内控审计报告中表述与审计指引提供的格式要求一致的方面
    （1）内部控制审计的依据财政部等五部委于2010年发布《企业内部控制审计指引》，中国注册会计师协会也于2011年发布《企业内部控制审计指引实施意见》等文件对注册会计师开展内控审计提出要求。67份内控审计报告中提及的审计依据无一例外都是：《企业内部控制审计指引》及中国注册会计师执业准则的相关要求。
    （2）内部控制审计意见类型及描述方式67份内控审计报告中，除新华制药（000756）被出具否定意见外，其他66份内控审计报告均被出具无保留审计意见。
    66份标准内部控制审计报告中有关财务报告内部控制审计意见一般表述为“我们认为，贵公司（××公司）按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制”，与审计指引提供的格式要求一致。
    被出具了否定意见的新华制药（000756）的审计意见中，注册会计师认为，由于存在重大缺陷及其对实现控制目标的影响，新华制药于日未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。另外，根据格式要求，会计师在内控报告中增加了“导致否定意见的事项”段，列举了新华制药存在的两个方面的重大缺陷的内容，并对管理层采取的措施以及内控审计报告对年度财务报表审计的影响给出了相关说明。
    （3）发表审计意见的对象67份内控审计报告均在“注册会计师的责任”部分进行了说明，明确注册会计师的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。
    2. 67份内控审计报告中表述与审计指引提供的格式要求不一致的方面
    （1）对于是否关注到公司与非财务报告相关部分存在重大缺陷67家公司披露的内部控制审计报告均未披露关注到公司与非财务报告相关的内部控制重大缺陷，其中65份内部控制报告在披露时直接省略了第五部分“非财务报告内部控制的重大缺陷”的内容，而由天职国际会计师事务所有限公司出具的中海集运（601866）的内控审计报告、大信会计师事务有限公司出具的洛阳玻璃（600876）的内控审计报告则包含这部分内容，具体描述如“在内部控制审计过程中，我们未注意到中海集运的非财务报告内部控制存在重大缺陷”。
    （2）发表审计意见针对的时间根据内部控制审计报告的格式要求，注册会计师在内部控制审计报告第一段已经明确了其发表内部控制审计意见是针对报告基准日时点，即“按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了XX公司2011 年12 月31 日的财务报告内部控制的有效性”，但并没有要求在审计意见段再次强调基准日时点的概念，而是表述为“我们认为，XX公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。”
    67份内控审计报告中，所有报告均按格式要求在第一段即明确了针对报告基准日发表审计意见的原则，但部分审计报告在审计意见段再次强调了这个原则，即表述为：我们认为，XX公司于2011 年12 月31 日按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
        2           
　相关链接
　图片图表
　栏目推荐
（责任编辑： 刘艳丹}