企业内部控制的实施规范

内部控制与企业内部控制基本规范中国证监会会计部李维友2008年10月11日第一页，共一百二十一页。目录一、上市公司为何需要健全有效的内部控制二、企业内部控制基本规范三、中国上市公司内部控制实证研究四、如何实施企业内部控制基本规范第二页，共一百二十一页。一、上市公司为何需要健全有效的内部控制第三页，共一百二十一页。

企业内部控制作为公司治理的关键环节和经营管理的重要举措，在企业发展过程中具有举足轻重的作用。作为公众公司的上市公司，内部控制不仅关系到上市公司的质量和自身发展，更重要的是关系到广大投资者的利益，关系到资本市场的健康发展。

第四页，共一百二十一页。健全有效的内部控制有利于提高财务信息质量，提升财务报告的有效性，这对于保证投资者对高质量财务信息的需求，体现资本市场“公开、公平、公正”的原则、保护投资者合法权益具有至关重要的意义。健全有效的内部控制有利于上市公司遵守国家法律、法规、规章及其他相关规定，堵塞管理漏洞，保障公司资产的安全，有效提高公司风险防范能力，减少乃至避免舞弊事件的发生。第五页，共一百二十一页。健全有效的内部控制有助于提高经营效率和效益，提升企业经营管理水平、盈利能力和持续发展能力，增强公司竞争力，从而提高上市公司质量，最大限度地回报股东和社会。健全有效的内部控制是企业自身健康发展的内在要求，是企业做大做强的需要，内部控制建设贯穿企业发展的全过程。健全有效的内部控制是管理当局保护自身和免责的需要。第六页，共一百二十一页。健全有效的内部控制是满足境外上市地合规性要求的现实考虑,是我国企业走出去,参与全球竞争的必然选择。健全有效的内部控制有利于提升海外上市企业形象也有利于实现我国企业内部控制与国际内部控制的趋同乃至等效,降低企业海外上市成本。第七页，共一百二十一页。安永对全球137家主要机构投资者进行了调研:82%的机构投资者表示他们愿意为那些能够展示其有效风险控制的企业付出溢价;69%的机构投资者表示透明度是首要的投资决策考虑因素,重要性超出企业长期记录和业务模式61%的机构投资者表示他们没有对那些风险控制不善的企业进行投资第八页，共一百二十一页。二、企业内部控制基本规范第九页，共一百二十一页。基本规范共七章五十条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。基本规范坚持立足我国国情、借鉴国际惯例，确立了我国企业建立和实施内部控制的基础框架，并取得了重大突破。内部控制标准建设的目标，是逐步建立一套以基本规范为统领，以评价指引、应用指引和内部控制鉴证指引等配套办法为补充的内控标准体系，并不断完善以法制为推动、以企业实施为主体、以政府监管和社会评价为保障、以各方面积极参与为促进的内控实施体系。第十页，共一百二十一页。1、基本规范的重大突破科学界定内部控制的内涵，强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，有利于树立全面、全员、全过程控制的理念。准确定位内部控制的目标，要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上，着力促进企业实现发展战略。合理确定内部控制的原则，要求企业在建立和实施内部控制全过程中贯彻全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。第十一页，共一百二十一页。1、基本规范的重大突破统筹构建内部控制的要素，有机融合世界主要经济体加强内部控制的做法经验，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制，要求企业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系；国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查；明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计，出具审计报告。

第十二页，共一百二十一页。2、内部控制的原则全面性原则:决策、执行和监督全过程,各项业务和事项,全面控制重要性原则:重要业务事项和高风险领域制衡性原则:相互制约、相互监督适应性原则:规模、业务范围、竞争状况相适应,并进行调整成本效益原则第十三页，共一百二十一页。

3、内部控制定义内部控制是由：企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标包括: 合理保证企业经营管理合法合规；合理保证资产安全；合理保证财务报告及相关信息真实完整;提高经营效率和效果;促进企业实现发展战略。第十四页，共一百二十一页。内部控制的关键概念：内部控制是一项流程；内部控制程序可通过手册、系统、表格等建立，但其有效性的关键受企业文化（对内控的重视程度）、执行的认真程度和持续改善机制的影响；内部控制只能对于公司的管理提供合理的保证，而非绝对的保证；内部控制应根据企业的战略目标和业务改变而进行相应的修改。3、内部控制定义第十五页，共一百二十一页。内部控制的组成部分遵循运营财务报告

功能单位业务单位

内部环境

风险评估

控制活动信息与沟通内部监督4、内部控制要素第十六页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督“任何公司的核心在于其员工，他们每个人的诚信准则，道德价值和能力，以及他们工作的环境。”影响内部环境的因素包括： 1、公司治理结构 2、机构设置及权责分配 3、内部审计 4、人力资源政策

5、企业文化3、内部控制要素第十七页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督影响内部环境的因素：1、公司治理结构和议事规则明确决策、执行、监督方面的职责权限形成科学有效的职责分工和制衡机制股东大会、董事会、监事会、经理层的职责权限2、机构设置和权责分配成立专门机构和指定适当机构具体负责组织协调内部控制的建立实施及日常工作董事会负责内部控制的建立健全和有效实施监事会对董事会建立予实施内部控制进行监督经理层负责组织领导企业内部控制的日常运行3、内部控制要素第十八页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督影响内部环境的因素：2、机构设置和权责分配审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。

疑问一:董事会是一个企业日常最高决策机构,但并不直接组织日常运行,而内部控制是一项牵涉到全公司上下各个部门的具体工作.董事会能否承担内部控制的建立健全和有效实施工作?疑问二:如果董事会负责建立内部控制制度,而同时下设审计委员会去监督,是否可能存在矛盾?3、内部控制要素第十九页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督影响内部环境的因素：疑问三:董事会审计委员会的监督职能与监事会的监督职能如何区别和界定?3.内部审计企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。3、内部控制要素第二十页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督影响内部环境的因素：3.内部审计内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。关于内部审计机构的设立模式:总经理下设内审部门:有利于得到总经理的支持,有利于将内审工作和公司的经营管理紧密配合起来,对于下属子公司、下级部门较有约束力,但是对于总经理等高管层面缺乏效力;3、内部控制要素第二十一页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督影响内部环境的因素：董事会审计委员会下设内审部门:有利于提高内审的地位和独立性,但对于审计委员会不是常设部门,总经理的支持力度可能不强等,会导致内审部门效率不高,发现的问题不能及时反馈;董事会和管理层双重领导:内审部门的工作直接汇报董事会或审计委员会、监事会和总经理,这种模式兼具前两者的优点,但实际运作较为复杂.4.人力资源政策关键岗位的强制休假和定期岗位轮换职业道德修养和专业胜任能力3、内部控制要素第二十二页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督影响内部环境的因素：5、企业文化：积极向上的价值观和社会责任感，诚信与道德价值控制环境的基本要素，影响重要流程的设计，管理及监督。管理层应采取行动，去除或减少可能导致员工进行不法或不道德行为的机会。通过公司政策，行为准则及领导层的以身作则，明确公司的价值取向。强化法制观念，依法决策、依法办事、依法监督3、内部控制要素第二十三页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督内部环境通常存在的问题：1、治理结构不完善，不能对管理层进行独立有效的监督与控制2、管理层风险控制意识薄弱3、公司组织架构与公司规模、业务不匹配:垂直式管理还是扁平式管理4、没有一整套严格、统一的授权体系:放权不够,管的过多,太死5、财务及信息系统管理分散6、没有明确统一的员工行为守则7、没有岗位说明书以及合理的员工绩效考核办法3、内部控制要素第二十四页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督风险评估是决定如何进行风险管理的基础。风险评估是及时识别、系统分析那些可能影响企业达到其企业目标的事件或条件，合理确定风险应对策略。企业目标包括：

1.整体目标

2.业务层面目标

3、内部控制要素第二十五页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督1、风险包括那些方面内容2、如何识别风险3、如何应对风险3、内部控制要素第二十六页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督1、风险包括那些方面：内部风险和外部风险内部风险：生产经营、研发、财务等外部风险：法律法规、经济形势、环境、技术进步等风险承受度：整体风险承受能力和业务层面的可接受风险水平2、如何识别风险企业应当采用定性和定量相结合的方法，对识别的风险进行分析和排序:在险价值3、内部控制要素第二十七页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督3、如何应对风险企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失3、内部控制要素第二十八页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督3、如何应对风险企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

3、内部控制要素第二十九页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督风险评估通常存在的问题：1、缺乏企业整体目标，包括战略目标的确定与更新(五谷道场案:只计成功,不计成本)2、下属机构与总部目标不一致，导致对风险识别的不一致3、缺乏风险识别与预警机制以及缺乏对新市场、新产品/服务的风险评估4、缺乏机制来进行定期系统的风险评估3、内部控制要素第三十页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制活动必须与风险评估是一个整体。控制活动体现为三种形式：预防性控制与检查性（发现性）控制

手（人）工控制与自动（IT)控制管理控制与监督控制3、内部控制要素第三十一页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督预防性控制–为防止错误和舞弊的发生:职责分离；监督性检查；正确性校验；设置权限。检查性控制–把已经发生和存在的错误检查出来：异常情况报告；编制调节表；周期性的审计；盘点。3、内部控制要素第三十二页，共一百二十一页。IT控制包括：一般控制：系统性的软件控制；系统准入控制。

应用系统控制确保通过系统进行的交易的准确性和完整性的控制。公司层面的IT控制依赖于IT的人工控制IT应用系统控制IT一般控制3、内部控制要素第三十三页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督控制措施包括：1、不相容职务分离控制2、授权审批控制：区别常规授权和特别授权；对于重大的业务和事项，实行集体决策审批和联签制度国内很多企业体现为授权不足3、会计系统控制4、财产保护控制：财产的日常管理和定期清查制度(商场和超市管理)5、预算控制：实施全面预算管理，强化预算约束6、运营分析控制(中国航天科工集团柳州长虹机器制造公司案)7、绩效考评控制3、内部控制要素第三十四页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。我国突发事件经常发生,处理好可能成为好事,国务院成立了应急办.3、内部控制要素第三十五页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督控制活动通常存在的问题举例：1、缺乏全面预算管理2、缺乏有效项目管理3、缺乏有效的IT控制4、着重预防型控制而忽略检查型控制5、缺乏对控制的文档记录3、内部控制要素第三十六页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。信息与沟通包括：1、信息的收集：包括内部信息和外部信息的收集2、信息的处理：充分利益信息技术，同时要确保信息系统安全稳定3、信息的传递：在企业内部传递和企业与外部之间的传递4、非常规的沟通渠道：举报投诉制度和举报人保护制度3、内部控制要素第三十七页，共一百二十一页。信息与沟通通常存在的问题1、 信息系统无法满足财务、业务需要，向管理层及时提供正确相关的信息2、 信息系统的设计与公司战略不一致3、 公司上传下达不力4、 部门或地区之间沟通不力(我国信息沟通不畅的情况非常普遍,政府部门之间、内部等,企业也是如此)内部环境风险评估控制活动信息与沟通内部监督3、内部控制要素第三十八页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时改进的过程。1、机构设置：应明确内部审计机构或其他监督机构和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。2、内部监督包括：日常监督和专项监督。3、制定内部控制缺陷的认定标准，内部控制缺陷包括设计缺陷和运行缺陷。4、发现问题，分析原因，及时整改。5、对于重大缺陷，要追究相关责任单位或责任人的责任。6、定期对内部控制有效性进行自我评价，出具自我评价报告。3、内部控制要素第三十九页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点：

1、未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。2、在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。3、董事、监事、高级管理人员滥用职权。4、相关机构或人员串通舞弊。3、内部控制要素第四十页，共一百二十一页。内部环境风险评估控制活动信息与沟通内部监督监督通常存在的问题缺乏对内部控制的定期评估内审部门没有独立性，不能有效进行监督工作内审工作范围与计划不合理内部控制缺陷不能及时得到纠正3、内部控制要素第四十一页，共一百二十一页。内部控制能有效保证/保护：信息（会计信息和经营信息）的可靠性和完整性；遵循政策、计划、程序、法律和法规；资产的安全；提高经营效益和有效性；实现企业的经营和赢利的目标，并且能防止资源的损失。内部控制不能：将一个原本拙劣的管理体系改变成一个优良的管理体系；改变政府的法规和政策、竞争对手的行动或经济状况；保证企业的成功，甚至是持续存在；杜绝员工或管理层舞弊、欺诈的行为。4、内部控制特点第四十二页，共一百二十一页。谁对内部控制负责？董事会负责内部控制的建立健全和有效实施。经营管理层负责组织领导企业内部控制的日常运行。监事会对董事会建立与实施内部控制进行监督。审计委员会审查内控，监督实施和自我评价，协调审计及其他内部审计机构或其他授权监督机构：负责内部控制有效性的监督检查，是主要监督工作实施者。4、内部控制特点第四十三页，共一百二十一页。检查控制员工业绩检查经营和项目的内部检查外部检查监管检查组织控制明确的组织目标、授权和责任组织机构的设计决策授权工作说明内部控制的方法经营控制制定经营计划编制预算建立会计和信息系统制定证明文件授权体制和程序制定、记录和分享主要政策和程序人事控制招聘和选择适当的员工培训和发展监督员工的工作设施设备控制主要指对于组织在经营活动中大量使用的设施（包括房屋建筑物等）和设备等实物资产的控制。5、内部控制评估方案第四十四页，共一百二十一页。公司的内部控制目标：实现公司经营效率与效果的目标；提高公司的透明度，保证对内对外披露的信息是及时、准确和恰当的；保证公司的经营活动符合监管要求和法律，符合公司制定的政策和程序；合理保证资产安全；促进企业实现发展战略。5、内部控制评估方案第四十五页，共一百二十一页。董事会在内部控制上的职责批准和定期审查公司整体经营战略和重大政策；了解公司面临的主要风险，设立可以接受的风险上限，保证管理高层采取切实的步骤，对这些风险进行识别、度量、监测和控制；批准公司的组织结构，授权明确、职能清晰的组织结构是整个内部控制的基础；保证管理高层有能力监控公司内控系统的有效性。审计委员会在内部控制上的职责定期审阅管理层、内审部门和外部审计提交的内控工作评估报告，讨论公司内控系统的有效性；定期审查管理层是否已经纠正审计单位和监管当局指出的内控缺陷；定期审议公司风险管理政策和风险控制上限是否适当；对公司财务报告的真实性提出意见。5、内部控制评估方案第四十六页，共一百二十一页。经营管理层在内部控制上的职责管理高层应当领导和监督在经营单位层次建立具体的内控政策和程序；公司内部各个单位的职能应当界定清晰、授权和责任明确，不应存在功能上的缺位和重叠；应任用具备足够经验和适合能力的管理人员，通过提供持续培训，更新他们的知识和技能，并以适当的报酬制度和晋升制度来激励他们。在公司中普及内控意识由于内控工作的落实有待于所有员工的实践，故在整个公司中形成良好的内控文化十分重要。良好的内控文化并不必然保证企业取得优良的业绩，但缺乏这样的文化却可能对内控缺陷失察，导致发生一些本来可以避免的损失。5、内部控制评估方案第四十七页，共一百二十一页。风险评估风险评估应当包括所有影响公司业绩和目标的内部因素和外部因素；风险评估应当在每一项业务、子公司和整个集团的层次进行。基本内部控制措施管理层–应当关注内控工作，要求下属提交实现公司业绩目标状况的报告；职能部门和业务部门（分公司）层次–部门的负责人应当定期（每天、每周、或者每月）研究业务进展报告，其频率和仔细程度应当高于公司高层管理人员；有形的控制活动–指对有形资产，包括现金和证券的控制。具体的控制方式包括：具体的限制措施，双重控制，周期性库存，资金调动双签制等；授权与批准制度；验证和核对制度。5、内部控制评估方案第四十八页，共一百二十一页。职责分离有效的内部控制要求，对利害相关的职责应当进行分离，不应对同一人员授权负责利益相互冲突的岗位。具有潜在利益冲突的岗位应当进行识别和减少，并对其状况由独立的第三方进行监督。信息的真实性一个有效的内控系统要求，公司决策层应当能够得到有关财务、经营状况的综合性信息，以及与决策有关的外部市场信息。这种信息应当是有意义的、可靠的、随时可得的，并且可以前后对比。信息系统的安全和可靠应当建立一个涉及全部业务活动的、可靠的管理信息系统。这些系统必须是安全的，并被独立地监测，具有应急备用系统。5、内部控制评估方案第四十九页，共一百二十一页。有效的沟通渠道公司的组织结构应当保证信息能够顺畅的被传递。向上的信息保证管理高层了解经营风险和当前的经营状况。向下的信息可以保障公司的目标、战略和预期，以及已有的政策和程序，能够传达到下层管理人员和员工。最后，公司内部的信息沟通应当保证一个部门或经营单位的信息可以由其他单位分享。风险监测企业内控工作的整体效果应当能够持续地被监测。管理高层应当明确授权，由谁来监测内控系统的有效性。对主要风险的监测应是企业日常工作的一个组成部分，并应当由企业一线经营管理人员和内部审计人员定期评估这种监测的有效性。对内控系统的实时监测可以及时发现和纠正内控系统的缺陷。尽管对内控系统的定期评估只能在事后发现问题，但却可以对内控系统的有效性做出一个整体性的评估。参与定期评估的人员可以来自业务部门、财务部门、内审部门。评估结果应有书面报告上报管理高层。5、内部控制评估方案第五十页，共一百二十一页。对内部控制缺陷的处理经营管理人员、内部审计人员、或其他管理人员发现的内控缺陷（或未能加以有效控制的风险）应当及时向适当的管理层报告。重大的内控缺陷应当及时向管理高层和董事会报告。监管机构的责任审计报告；(所有方面的还是与财务报告相关的)确定内容与范围，要求定期提交相关的外审报告；直接对公司的内控工作进行现场检查，包括对业务流程及交易过程的测试。5、内部控制评估方案第五十一页，共一百二十一页。内部审计建立独立的、训练有素的内部审计部门，对内控系统进行综合性审计。内审部门应当由有能力、有专业知识和经验的人员组成，他们应当清楚自己的作用和职责，并直接对董事会（或公司审计委员会）或管理高层负责。内部审计负责对公司内控系统进行实时监测。内审部门的工作应当独立于公司的日常业务，但有权接触公司所有经营单位和下属公司的业务活动。5、内部控制评估方案第五十二页，共一百二十一页。

三、中国上市公司内部控制实证研究第五十三页，共一百二十一页。1研究背景2研究结论3分类统计分析4回归分析第五十四页，共一百二十一页。

研究背景对中国上市公司的内部控制的监管要求制度及法规上市公司监督管理条例(征求意见稿)深圳证券交易所上市公司内部控制指引上海证券交易所上市公司内部控制指引保险公司风险管理指引(试行)企业内部控制基本规范和17项具体规范(征求意见稿)第五十五页，共一百二十一页。

研究方法制定对中国上市公司内部控制评价标准基于中国上市公司2007年年报通过排序分析、均值比较和回归分析等方法，对数十种因素与内部控制的关系进行统计分析从内部环境、风险评估、控制活动、信息与沟通和内部监督五个方面进行评价第五十六页，共一百二十一页。

样本与数据研究样本为1497家上市公司2.筛选标准

剔除2008年首次公开发行股票的公司剔除单独发行B股的公司剔除未按披露要求披露的公司1.数据来源

中国证监会指定信息披露媒体和wind数据库年报的“公司治理”,“重要事项”,或者“内部控制自我评估报告”第五十七页，共一百二十一页。

研究结论金融保险业、建筑业和房地产业整体内部控制水平处于行业前三位01北京地区的上市公司整体内部控制水平居于全国首位02控制人为中央国有企业的上市公司整体内部控制水平优于其他控制类型的上市公司03上市时间较短的上市公司整体内部控制水平优于上市时间较长的公司04第五十八页，共一百二十一页。

研究结论非ST股上市公司的整体内部控制水平优于ST股上市公司05沪深300指数成分股的上市公司整体内部控制水平优于非成分股上市公司06中小板上市公司整体内部控制水平优于主板上市公司07实施（或拟实施）股权激励的上市公司整体内部控制水平优于未实施的上市公司08第五十九页，共一百二十一页。

研究结论披露了内部控制自我评估报告的上市公司整体内部控制水平优于未披露的上市公司09披露了会计师事务所内部控制鉴证报告的公司整体内部控制水平优于未披露的公司10披露了监事会和独立董事对内部控制自我评价的意见的上市公司优于未披露的11设立了内部审计机构的上市公司整体内部控制水平优于未设立的上市公司12第六十页，共一百二十一页。

研究结论深圳证券交易所的上市公司整体内部控制水平优于上海证券交易所的上市公司132007年未遭受违法违规处罚的上市公司整体内部控制水平优于遭受处罚的上市公司14内部控制水平越高的上市公司审计意见越好15内部控制水平越高的上市公司信息质量越好16第六十一页，共一百二十一页。

研究结论内部控制水平越高的上市公司，投入资本回报率越高17第六十二页，共一百二十一页。分类统计分析1行业与内部控制的关系第六十三页，共一百二十一页。

上市公司2007内部控制行业排行榜排名总评内部环境风险评估控制活动信息沟通内部监督1金融、保险业金融、保险业金融、保险业金融、保险业建筑业金融、保险业2建筑业建筑业房地产业建筑业房地产业社会服务业3房地产业房地产业建筑业社会服务业金融、保险业房地产业4社会服务业采掘业农、林、牧渔业农、林、牧渔业批发和零售贸易业采掘业5农、林、牧渔业批发和零售贸易业电力、煤气及水的生产供应业电力、煤气及水的生产供应业综合类建筑业6电力、煤气及水的生产供应业社会服务业交通运输、仓储业房地产业社会服务业交通运输、仓储业7批发和零售贸易业农、林、牧渔业信息技术业传媒与文化行业信息技术业信息技术业第六十四页，共一百二十一页。

上市公司2007内部控制行业排行榜排名总评内部环境风险评估控制活动信息沟通内部监督8采掘业电力、煤气及水的生产供应业制造业批发和零售贸易业电力、煤气及水的生产供应业批发和零售贸易业9信息技术业制造业综合类制造业制造业制造业10制造业信息技术业批发和零售贸易业信息技术业农、林、牧渔业综合类11综合类综合类采掘业交通运输、仓储业交通运输、仓储业农、林、牧渔业12交通运输、仓储业交通运输、仓储业社会服务业综合类采掘业电力、煤气及水的生产供应业13传媒与文化行业传媒与文化行业传媒与文化行业采掘业传媒与文化行业传媒与文化行业第六十五页，共一百二十一页。

行业与内部控制的关系均值比较表均值比较总评内部环境风险评估控制活动信息与沟通内部监督金融保险业/建筑业1.411.199.101.040.801.90金融保险业/传媒与文化业2.311.99

-1.481.702.65建筑业/传媒与文化业1.641.67

-1.432.111.39第六十六页，共一百二十一页。

分类统计分析2地区与内部控制的关系第六十七页，共一百二十一页。

上市公司2007年内部控制按地区划分的排行榜排名总评内部环境风险评估控制活动信息沟通内部监督1北京云南省北京山西省湖南省北京2云南省北京甘肃省北京北京广东省3广东省宁夏回族自治区天津云南省四川省山西省4山西省广东省广东省安徽省广东省湖南省5安徽省安徽省吉林省广东省陕西省贵州省6甘肃省甘肃省贵州省陕西省广西壮族自治区云南省7湖南省山西省新疆维吾尔自治区山东省宁夏回族自治区甘肃省8陕西省陕西省云南省湖南省海南省山东省9山东省河北省山东省广西壮族自治区云南省海南省10广西壮族自治区湖南省湖南省内蒙古自治区湖北省安徽省第六十八页，共一百二十一页。

上市公司2007年内部控制按地区划分的排行榜排名总评内部环境风险评估控制活动信息沟通内部监督11宁夏回族自治区山东省上海甘肃省安徽省福建省12河北省广西壮族自治区陕西省河北省甘肃省河北省13海南省四川省重庆海南省福建省广西壮族自治区14四川省贵州省江西省辽宁省黑龙江省天津15贵州省湖北省安徽省福建省山东省河南省16福建省江苏省辽宁省四川省江西省宁夏回族自治区17湖北省吉林省湖北省河南省江苏省辽宁省18天津海南省河北省新疆维吾尔自治区新疆维吾尔自治区吉林省19内蒙古自治区天津福建省湖北省天津四川省20辽宁省福建省黑龙江省江西省辽宁省新疆维吾尔自治区第六十九页，共一百二十一页。

上市公司2007年内部控制按地区划分的排行榜排名总评内部环境风险评估控制活动信息沟通内部监督21吉林省内蒙古自治区内蒙古自治区吉林省河北省江苏省22河南省河南省四川省宁夏回族自治区河南省陕西省23江苏省辽宁省海南省贵州省山西省湖北省24江西省江西省浙江省浙江省浙江省上海25新疆维吾尔自治区浙江省宁夏回族自治区江苏省内蒙古自治区内蒙古自治区26浙江省重庆河南省天津重庆浙江省27重庆西藏自治区江苏省黑龙江省贵州省江西省28上海青海省山西省重庆青海省重庆29青海省上海广西壮族自治区青海省吉林省黑龙江省30黑龙江省新疆维吾尔自治区青海省上海西藏自治区西藏自治区31西藏自治区黑龙江省西藏自治区西藏自治区上海青海省第七十页，共一百二十一页。

地区与内部控制的关系均值比较表均值比较总评内部环境风险评估控制活动信息与沟通内部监督北京/西藏21.52

-2.401.773.16北京/广东1.091.121.401.071.011.02广东/西藏1.841.36

-2.241.753.11第七十一页，共一百二十一页。

分类统计分析3控制人与内部控制的关系第七十二页，共一百二十一页。上市公司2007年内部控制按控制人划分的排行榜排名总评内部环境风险评估控制活动信息沟通内部监督1中央国有企业中央国有企业中央国家机关集体企业集体企业中央国有企业2集体企业职工持股会(工会)及其他中央国有企业中央国有企业中央国有企业国资委3国资委集体企业境外组织国资委国资委境外组织4地方国资委国资委地方国有企业地方政府自然人集体企业5地方国有企业地方国有企业国资委地方国资委(地方国资委地方国有企业6地方政府自然人集体企业中央国家机关职工持股会(工会)及其他地方国资委第七十三页，共一百二十一页。上市公司2007年内部控制按控制人划分的排行榜排名总评内部环境风险评估控制活动信息沟通内部监督7职工持股会(工会)及其他地方国资委地方政府职工持股会(工会)及其他地方政府地方政府8自然人地方政府地方国资委自然人地方国有企业大学9中央国家机关中央国家机关大学地方国有企业境外组织自然人10境外组织大学自然人境外组织中央国家机关职工持股会(工会)及其他11大学境外组织职工持股会(工会)及其他大学大学中央国家机关第七十四页，共一百二十一页。

控制人与内部控制的关系均值比较表均值比较总评内部环境风险评估控制活动信息沟通内部监督中央国有企业/大学1.461.353.181.441.391.39中央国有企业/自然人1.241.173.381.171.121.40自然人/大学1.181.160.941.231.240.99第七十五页，共一百二十一页。

分类统计分析4上市时间与内部控制的关系第七十六页，共一百二十一页。

上市时间与内部控制的关系上市年限短上市年限较长较低评价结果上市时间1年内的公司内部控制总评均值高于上市时间更长的公司，内部环境、风险评估、控制活动和内部监督均值也都高于其他两者第七十七页，共一百二十一页。

上市时间与内部控制的关系均值比较表均值比较总评内部环境风险评估控制活动信息沟通内部监督1年以内/1-10年1.241.272.031.300.921.181年以内/10年以上1.291.372.141.360.871.181-10年/10年以上1.041.081.051.050.950.99第七十八页，共一百二十一页。

分类统计分析5ST股与内部控制的关系第七十九页，共一百二十一页。ST股与与内部控制的关系ST股非ST股高低非ST股上市公司内部控制整体水平优于ST股上市公司。第八十页，共一百二十一页。

ST股与内部控制的关系均值比较表均值比较总评内部环境风险评估控制活动信息沟通内部监督非ST股/ST股1.381.454.571.361.071.39第八十一页，共一百二十一页。

分类统计分析6沪深300指数成分股与内部控制的关系第八十二页，共一百二十一页。沪深300指数成分股与内部控制的关系沪深300指数成分股沪深300指数成分股整体内部控制水平优于非成分股。比较结果第八十三页，共一百二十一页。沪深300指数成分股与内部控制的关系均值比较表均值比较总评内部环境风险评估控制活动信息沟通内部监督成分股/非成分股1.151.092.851.160.931.27第八十四页，共一百二十一页。

分类统计分析7中小板、主板与内部控制的关系第八十五页，共一百二十一页。

中小板、主板与内部控制的关系主板上市公司

在风险评估和信息与沟通方面优于中小板，尤其是风险评估，中小板上市公司的均值仅为主板的65%中小板上市公司总评的均值高于主板，在内部环境、控制活动和内部监督方面也优于主板第八十六页，共一百二十一页。

中小板、主板与内部控制的关系均值比较表均值比较总评内部环境风险评估控制活动信息沟通内部监督中小板/主板1.271.410.651.280.961.20第八十七页，共一百二十一页。

分类统计分析8股权激励与内部控制的关系第八十八页，共一百二十一页。

股权激励与内部控制的关系

实施股权激励(包括股东大会通过和董事会决议通过股权激励方案但尚未实施的上市公司)的上市公司整体内部控制水平优于未实施的上市公司。第八十九页，共一百二十一页。

股权激励与内部控制的关系均值比较表均值比较总评内部环境风险评估控制活动信息沟通内部监督实施/未实施1.291.282.251.251.201.29第九十页，共一百二十一页。

分类统计分析9内部控制自我评估报告与内部控制的关系第九十一页，共一百二十一页。

内部控制自我评估报告与内部控制的关系

披露了内部控制自我评估报告的上市公司整体内部控制水平优于未披露的上市公司。已披露未披露未披露第九十二页，共一百二十一页。

内部控制自我评估报告与内部控制的关系均值比较表均值比较总评内部环境风险评估控制活动信息沟通内部监督有/无2.212.207.892.461.662.50第九十三页，共一百二十一页。

分类统计分析10会计师事务所内部控制鉴证报告与内部控制的关系第九十四页，共一百二十一页。

会计师事务所内部控制鉴证报告与内部控制的关系披露会计师事务所出具的内部控制鉴证报告的上市公司整体内部控制水平优于未披露的上市公司。第九十五页，共一百二十一页。会计师事务所内部控制鉴证报告与内部控制的关系

均值比较表均值比较总评内部环境风险评估控制活动信息沟通内部监督披露/未披露2.172.086.042.291.482.39第九十六页，共一百二十一页。

分类统计分析11监事会、独立董事对内部控制自我评价的意见与内部控制的关系第九十七页，共一百二十一页。监事会、独立董事对内部控制自我评价的意见与内部控制的关系比较结果披露了监事会和独立董事对内部控制自我评价意见的上市公司整体内部控制水平优于没有披露该项意见的上市公司。第九十八页，共一百二十一页。监事会、独立董事对内部控制自我评价的意见与内部控制的关系均值比较表均值比较总评内部环境风险评估控制活动信息沟通内部监督披露/未披露2.322.276.942.581.762.50第九十九页，共一百二十一页。

分类统计分析12内部审计机构与内部控制的关系第一百页，共一百二十一页。

内部审计机构与内部控制的关系内部审计机构部门部门部门部门设立了内部审计机构的上市公司整体内部控制水平优于未设立的上市公司。第一百零一页，共一百二十一页。

内部审计机构与内部控制的关系均值比较表均值比较总评内部环境风险评估控制活动信息沟通内部监督设立/未设立1.411.392.061.421.261.51第一百零二页，共一百二十一页。

分类统计分析13自律监管（交易所）与内部控制的关系第一百零三页，共一百二十一页。

自律监管（交易所）与内部控制的关系深交所的上市公司整体内部控制水平优于上交所的上市公司。第一百零四页，共一百二十一页。自律监管（交易所）与内部控制的关系均值比较表均值比较总评内部环境风险评估控制活动信息沟通内部监督深/沪1.451.440.841.391.541.68第一百零五页，共一百二十一页。

分类统计分析14违法违规处罚与内部控制的关系第一百零六页，共一百二十一页。

违法违规处罚与内部控制的关系2007年被处罚的上市公司2007年未遭受违法违规处罚的上市公司整体内部控制水平优于遭受处罚的上司公司。第一百零七页，共一百二十一页。

违法违规处罚与内部控制的关系均值比较表均值比较内部环境风险评估控制活动信息沟通内部监督总评其他/违规2.047.521.200.991.291.46第一百零八页，共一百二十一页。回归分析内部控制与投入资本回报率相关性分析内部控制与盈余信息质量相关性分析内部控制影响因素分析第一百零九页，共一百二十一页。

内部控制影响因素分析的变量含义及计量规则变量符号变量取值方法及说明因变量内部控制状况IC上市公司内部控制评分解释变量企业规模SIZE2007年末总资产的自然对数成立时间YEAR公司到2007年的成立时间上一年度是否亏损LOSS亚变量，若2006年净利润为负取1，否则取0前十大股东股权集中度TBSC前十大股东持股比例之和前三名董事会成员薪酬总额TDS前三名董事长、董事薪酬总额前三名高管薪酬总额TMS前三名总经理、副总经理薪酬总额第一百一十页，共一百二十一页。

内部控制影响因素分析的回归结果变量SIZEYEARLOSSTBSCTDSTMS相关性.15***-.08***-.11***.10***.13***.13***样本数149714971497149714971497注：***表示在1%的水平下显著，均为双侧检验。

内部控制水平与上市公司成立年限和上年度是否亏损在1%的显著性水平下显著负相关；而与企业规模、前十大股东持股比例之和情况、前三名董事长、董事薪酬总额情况及前三名总经理、副总经理薪酬总额情况在1%的显著性水平下显著正相关。第一百一十一页，共一百二十一页。内部控制影响因素分析的回归结果内部控制水平企业规模成立时间资产负债率营业收入增长率上一年度是否亏损第一大股东持股比例前十大股东股权集中度前三名董事会