沪市上市公司内控建设取得长足进步。自2006到2011年，从披露数量来看，沪市上市公司内控报告从34份增加到427份；审计报告从34份增加到258份。从披露内容来看，绝大多数公司已经建立起符合自身特点的内控制度，体系建设取得显著成效，内控报告的可读性也有所提高。

427家披露内控报告

数据显示，共有933家公司在年报“公司治理结构”章节中填报了公司内部控制建设的基本情况。

933家公司中，427家披露了董事会内控报告，较之2010年的417家在绝对数上增加了10家，但在比例上减少了约1.5个百分点，与2009年的披露比例大体相当；其中，131家公司为自愿披露，绝对数与2010年（130家）和2009年（127家）基本持平，占比亦略有下降。427家公司中，258家公司聘请审计机构进行了内控审计（其中审计153家、审核105家），较之2010年的229家略有上升，其中自愿披露审计（审核）报告的公司为195家。以上数据表明，内控报告披露数量基本保持稳定，而且自愿披露内控报告的公司数量和自愿聘请审计机构对公司内控进行了核实评价的公司数量也都基本保持稳定，甚至出现了略有下降的态势，显示出上市公司对内控报告的披露越发谨慎。

933家公司中，656家公司表示其已建立内部控制体系建设部门，占全部公司数量的70.3%，较之2010年增长近20个百分点。656家公司内部控制体系建设部门的名称差异较大，其中为“审计部”或类似部门的约占一半左右，共330家；其次为“内控部”或类似部门，共151家；其余为“综合管理部”、“战略规划部”、“证券部”、“投资管理部”、“法律合规部”、“纪检监察部”、“董事会办公室”、“财务部”等。说明上市公司对内控建设愈发重视，绝大多数公司都已建立负责内控体系建设的专门部门；同时，不同公司承担内控建设的部门仍差别较大。对于“内部控制的缺陷及其整改情况”，所有公司均表明其财务报告内部控制不存在重大缺陷。有大约50%左右的公司称“报告期内，公司未发现在内部控制方面存在重大缺陷”；有大约25%左右的公司认为其内部控制不存在重大缺陷，但对照《基本规范》及《企业内部控制配套指引》(以下简称“配套指引”)仍有需要进一步改进的空间；此外，随着公司规模的进一步扩大以及公司所面临经营环境的不断变化，内控制度需要不断地改进和完善；有20%左右的公司未直接回应是否存在“内部控制的缺陷”，只是表示将按照《基本规范》及其《配套指引》的要求继续建立和完善公司内部控制制度；有大约5%左右的公司认为其内部控制制度并不完善并披露了具体的缺陷，涉及库存管理、人事管理、付款管理、财务核算、内部审计、资产管理、内控意识、审批授权等多个方面。内控缺陷与整改情况的披露与2010年年报的披露情况基本类似。

披露内控报告公司业绩总体高于沪市平均水平

（一）披露内控报告公司的2011年年报非标准无保留意见比例显著低于全部沪市公司。

在披露内控报告的427家公司中，421家的2011年年报被出具标准无保留意见，非标准无保留意见比例为1.4%，大大低于全部公司的6.3%。其中，宁波富邦、ST祥龙、吉恩镍业、太工天成、中国中冶被出具带强调事项段的无保留意见，仅莲花味精被出具保留意见。非标意见中，多数为持续经营能力存在疑问，仅莲花味精是因为前期涉嫌会计造假而被证监会调查，并已对其2009年年报进行差错更正。

（二）披露内控报告公司的年报业绩水平高于全部沪市公司。

披露内控报告的公司普遍业绩较好。其中亏损公司7家，占全部公司比例的

1.6%左右，大大低于全部沪市公司8.3%的亏损比例。（2010年披露内控报告公司的亏损比例为0.7%，低于全部沪市公司的6.1%）

（三）分红水平高于总体水平。

在自愿披露内控报告的131家公司中，进行现金分红的公司数为85家，占比为64.9%，高于2011年全部沪市公司的57.5%。（2010年自愿披露内控报告公司的现金分红比例为60.1%，高于全部沪市公司的54.9%)。

内控报告统一性可读性提高

根据上交所对于2011年的内控报告的内容和格式要求，多数公司均能在上交所年报备忘录的基础上，按照规定的格式进行披露。内控报告较之以前年度在格式的统一性和内容的可读性上均有所提高，主要进步和仍存在的问题具体表现在：

（一）内控报告可读性有所提高。

本年度，已有公司开始在内控报告中根据所在行业的特点以及自身的实际情况披露个性化的风险类别及防范措施。如中信证券就在其内控报告中披露了所面临的市场风险、信用风险、流动性风险、操作风险、合规风险，并结合其业务类别详细介绍了风险控制的方法和手段。虽然这样的高质量内控报告在整个内控报告中仍属于少数，但仍让我们强烈地感受到沪市上市公司在内控报告披露方面的进步。

（二）多数公司未披露重大缺陷、重要缺陷和一般缺陷的具体标准。

根据内控评价指引的规定，重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。而重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。

由于内控报告要求公司对是否存在财务报告重大缺陷发表意见，因此何谓“重大缺陷”对于投资者阅读和使用内控报告至关重要。但是只有约70家左右的公司在内控报告的附件中披露了重大缺陷、重要缺陷和一般缺陷的具体标准，而大多数公司只是机械地照搬了评价指引中关于缺陷认定的原则性规定。

70家披露内控缺陷的公司将内控缺陷标准区分为定性标准和定量标准两类。

定性标准大体包括：重要业务缺乏制度控制或者制度系统性失效；重要职权和岗位分工中没有体现不相容职务相分离的要求；企业战略、投资、募集资金等重大决策、重大事项、重大人事任免及大额资金的管理程序不科学并造成严重损失；董事、监事和高级管理人员存在或可能存在严重舞弊行为；外部审计发现当期财务报告存在重大错报，或者公司已经对外公布的财务报表由于存在重大错报而需要进行更正，在资本市场造成比较严重的负面影响；以前年度评价过程中曾经有过舞弊或错误导致重大错报的经历，公司没有在合理的时间内改正所发现的重大缺陷和重要缺陷；其他违犯国家法律、法规或监管层规范性文件对公司造成重大影响的情形等。

而定量标准一般都参照营业收入、净利润、总资产、净资产的某个比例确定（类似于审计中的重要性水平）。

（三）内控报告中仍存在较多的“无用”信息。

（四）内控报告中关于“缺陷”的披露情况仍有待改进。

所有披露内控报告的沪市上市公司均认为其财务报告内部控制有效，不存在重大缺陷。有4家公司披露了其发现的非财务报告内部控制缺陷，具体缺陷包括：加快对内控文件及制度的整理与完善；加快对SAP系统的升级改造；重大决策机制未完全经过集体讨论决定；控股股东存在对上市公司的非经营性资金占用；企业文化建设存在不足；合同管理、固定资产管理存在薄弱环节等。

258家披露内控审计报告

427家披露内控报告的公司中，258家公司披露了内控审计报告。 

（一）258家公司由44家审计机构进行内控审计，承担内控审计的事务所较之2010年增加了10家，与2009年基本持平。

其中，国际四大所承担了64家公司的内控审计，占实施内控审计公司总数的25%，数量和占比增加明显，说明大型优质公司的内控审计业务有向四大集中的趋势。国内所中，接受内控审计业务超过10家的会计师事务所分别为：立信23家、中瑞岳华17家、天健15家、大信12家、信永中和11家、京都天华11家、大华10家、天职国际10家、天健正信10家。 

（二）审阅意见和审计意见各占一半。

在所有披露内控审计报告的公司中，除去63家强制披露审计报告的公司，有90家公司自愿披露了内控审计报告，105家公司自愿披露了内控审阅（核）报告。

根据审计理论，审计业务与审阅业务在鉴证业务目标、证据收集程序、所需证据的数量和质量、鉴证业务的风险、鉴证对象信息的可信性以及提出结论的方式等方面均存在显著差异。简言之，审计业务是一种合理保证，而审阅业务是一种有限保证，前者的效力要远远高于后者。半数以上上市公司采用审阅意见，一方面表明公司及会计师在内控审计方面较为谨慎，不愿（或不能）出具更高层次的鉴证意见，另一方面表明公司对于内控审计的成本控制较严（审计由于其工作量大大高于审阅，因此其收费也较高）。