我会在对2011年报和2012年报上市公司内部控制信息披露进行审阅中发现，上市公司内部控制评价信息披露存在一定问题，包括内部控制评价报告内容与格式不统一，内部控制缺陷认定和分类标准制定不恰当、披露不充分，缺陷认定主观性强、随意性大，评价结论不客观等。为规范上市公司内控信息披露，我会在总结前期经验并广泛征求意见的基础上，与财政部联合发布《公开发行证券的公司信息披露编报规则第21号—年度内部控制评价报告的一般规定》(以下简称“《一般规定》”)，旨在改进上市公司内控评价信息披露质量。

　　《一般规定》明确了内部控制评价报告的构成要素，并针对核心构成要素，如重要声明、内部控制评价结论、内部控制评价工作情况、其他内部控制相关重大事项说明等，逐一说明了需要披露的主要内容及相关要求。对于内部控制评价结论，《一般规定》要求披露财务报告内部控制是否有效的结论，并披露是否发现非财务报告内部控制重大缺陷。对于内控评价工作情况，《一般规定》要求区分财务报告内部控制和非财务报告内部控制，分别披露重大、重要缺陷认定标准、缺陷认定及整改情况。《一般规定》还附录了“内部控制评价报告参考格式”，为上市公司实务操作提供指引。

　　《一般规定》自发布之日起实施，根据《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》(财办会[2012]30号)的规定，在发布2013年年报时，需要披露内部控制评价报告的上市公司应遵照执行。其他自愿在年报中披露内部控制评价信息的上市公司参照执行。

　　《一般规定》的发布是分类、分步推进资本市场贯彻实施内部控制规范体系的重要举措，我会将对《一般规定》实施情况跟进研究，在此基础上，会同财政部研究推进规范上市公司披露内部控制整体有效性意见的要求。

　　为统一上市公司内部控制信息披露内容与格式，《一般规定》由我会和财政部联合发布。自发布之日起，上市公司不再执行《关于印发企业内部控制规范体系实施中相关问题解释第1号的通知》(财会[2012]3号)和《关于印发上市公司实施企业内部控制规范体系监管问题解答2011年第1期的通知》(会计部函[2011]174号)中关于内部控制评价报告内容与格式的要求。

　　《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》

　　第一条为规范公开发行证券的公司内部控制信息披露行为，保护投资者的合法权益，依据《公司法》、《证券法》、《企业内部控制基本规范》及其配套指引，以及中国证券监督管理委员会有关规定，制定本规则。

　　第二条凡在中华人民共和国境内公开发行证券并在证券交易所上市的股份有限公司(以下简称公司)，按照有关规定需要披露年度内部控制评价报告或需要参照年度内部控制评价报告披露有关内部控制信息时，应遵循本规则。

　　第三条本规则是对年度内部控制评价报告披露的最低要求。不论本规则是否有明确要求，凡对投资者投资决策有重大影响的内部控制信息，公司均应充分披露。

　　第四条公司应当以内部控制评价工作获取的测试、评价证据为基础，如实编制和对外提供年度内部控制评价报告，不得含有虚假的信息或者隐瞒重要事实。公司董事会及全体董事应保证提供的年度内部控制评价报告不存在虚假记载、误导性陈述或重大遗漏，并就年度内部控制评价报告的真实性、准确性、完整性承担个别和连带的法律责任。

　　第五条公司编制的年度内部控制评价报告经董事会审议通过，并按定期报告相关要求审核后，与年度报告一并对外披露。

　　第六条公司内部控制评价结论认定公司于内部控制评价报告基准日存在内部控制重大缺陷，或者公司内部控制被会计师事务所出具了非标准内部控制审计报告，以及标准内部控制审计报告披露了非财务报告内部控制重大缺陷的，公司应当在年度报告“重要提示”中对以上情况作出声明，并提示投资者注意阅读年度报告内部控制相关章节中内部控制评价和审计的相关信息。

　　第七条公司年度内部控制评价报告应包括以下要素：

　　(一) 标题

　　(二) 收件人

　　(三) 引言段

　　(四) 重要声明

　　(五) 内部控制评价结论

　　(六) 内部控制评价工作情况

　　(七) 其他内部控制相关重大事项说明

　　第八条年度内部控制评价报告标题统一为“××股份有限公司××年度内部控制评价报告”。

　　第九条年度内部控制评价报告收件人统一为“××股份有限公司全体股东”。

　　第十条年度内部控制评价报告引言段应当说明评价工作主要依据、内部控制评价报告基准日等内部控制评价基本信息。

　　第十一条年度内部控制评价报告重要声明应当说明董事会、监事会及董事、监事、高级管理人员对内部控制及年度内部控制评价报告的相关责任，以及内部控制的目标和固有的局限性。

　　第十二条年度内部控制评价报告内部控制评价结论应当分别披露对财务报告内部控制有效性的评价结论，以及是否发现非财务报告内部控制重大缺陷，并披露自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性评价结论的因素。

　　公司对财务报告内部控制有效性的评价结论与注册会计师对财务报告内部控制有效性的审计意见存在差异的，以及公司与注册会计师对非财务报告内部控制重大缺陷的披露存在差异的，公司应在年度报告内部控制的相关章节中予以说明，并解释差异原因。

　　第十三条年度内部控制评价报告内部控制评价工作情况应当披露内部控制评价范围、内部控制评价工作依据及内部控制缺陷认定标准，以及内部控制缺陷认定及整改情况。

　　第十四条内部控制评价范围应当从纳入评价范围的主要单位、业务和事项以及高风险领域三个方面进行披露，并对评价范围是否存在重大遗漏形成明确结论。如果评价范围存在重大遗漏或法定豁免，则应当披露评价范围重大遗漏的具体情况及对评价结论产生的影响以及法定豁免的相关情况。

　　第十五条内部控制评价工作依据及缺陷认定标准应当披露公司开展内部控制评价工作的具体依据以及进行缺陷认定的具体标准及其变化情况。公司应当区分财务报告内部控制和非财务报告内部控制，分别披露重大缺陷、重要缺陷和一般缺陷的认定标准。

　　第十六条内部控制缺陷认定及整改情况应当区分财务报告内部控制和非财务报告内部控制，分别披露报告期内部控制重大缺陷和重要缺陷的认定结果及缺陷的性质、影响、整改情况、整改计划等内容。

　　第十七条公司应当在年度内部控制评价报告其他内部控制相关重大事项说明段中披露可能对投资者理解内部控制评价报告、评价内部控制情况或进行投资决策产生重大影响的其他内部控制信息。

　　第十八条本规则自发布之日起施行。

　　附件：年度内部控制评价报告披露参考格式

　　附件：年度内部控制评价报告披露参考格式

　　XX股份有限公司XX年度内部控制评价报告

　　XX股份有限公司全体股东：

　　根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称企业内部控制规范体系)，结合本公司(以下简称公司)内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司20XX年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。

　　一、重要声明

　　按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。

　　公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。

　　二、内部控制评价结论

　　根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷〔由于存在财务报告内部控制重大缺陷〕，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制〔公司未能按照企业内部控制规范体系和相关规定的要求在所有重大方面保持有效的财务报告内部控制〕。

　　根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现〔发现个〕非财务报告内部控制重大缺陷。

　　自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。〔若发生影响内部控制有效性评价结论的因素，则需描述相关因素的性质、对评价结论的影响及董事会拟采取的应对措施〕。

　　三、内部控制评价工作情况

　　(一)内部控制评价范围

　　公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的主要单位包括：〔若单位或级次众多，可以考虑按照层级、业务分部、板块等形式披露〕，纳入评价范围单位资产总额占公司合并财务报表资产总额的 %，营业收入合计占公司合并财务报表营业收入总额的 %；纳入评价范围的主要业务和事项包括：〔具体描述纳入评价范围的主要业务和事项〕；重点关注的高风险领域主要包括〔具体描述重点关注的高风险领域〕。

　　上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，不存在重大遗漏。〔如存在重大遗漏〕公司本年度由于〔原因〕未能对构成内部控制重要方面的〔具体描述应纳入而未纳入评价范围的主要单位/业务/事项/高风险领域的名称〕进行内部控制评价，由于上述评价范围的重大遗漏，〔描述对内部控制评价范围完整性及对评价结论的影响〕。〔如存在法定豁免〕本年度，公司根据〔法律法规的相关豁免规定〕，未将〔具体描述未纳入评价范围的缘由及涉及单位/业务/事项/高风险领域的名称〕纳入内部控制评价范围。

　　(二)内部控制评价工作依据及内部控制缺陷认定标准

　　公司依据企业内部控制规范体系及〔具体描述除企业内部控制规范体系之外的其他内部控制评价的依据〕组织开展内部控制评价工作。

　　公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准，并与以前年度保持一致〔作出调整的，应描述调整原因，具体调整情况，及调整后标准〕。公司确定的内部控制缺陷认定标准如下：

　　1。财务报告内部控制缺陷认定标准

　　公司确定的财务报告内部控制缺陷评价的定量标准如下：

　　〔按照重大缺陷、重要缺陷和一般缺陷分别描述公司财务报告内部控制缺陷的定量标准，若定量标准包括多个量化指标，需指出具体如何应用这些指标，如孰低原则或分别情形适用〕

　　公司确定的财务报告内部控制缺陷评价的定性标准如下：

　　〔按照重大缺陷、重要缺陷和一般缺陷分别描述公司财务报告内部控制缺陷的定性标准〕

　　2。非财务报告内部控制缺陷认定标准

　　公司确定的非财务报告内部控制缺陷评价的定量标准如下：

　　〔按照重大缺陷、重要缺陷和一般缺陷分别描述公司非财务报告内部控制缺陷的定量标准，若定量标准包括多个量化指标，需指出具体如何应用这些指标，如孰低原则或分别情形适用〕

　　公司确定的非财务报告内部控制缺陷评价的定性标准如下：

　　〔按照重大缺陷、重要缺陷和一般缺陷分别描述公司非财务报告内部控制缺陷的定性标准〕

　　(三)内部控制缺陷认定及整改情况

　　1。财务报告内部控制缺陷认定及整改情况

　　根据上述财务报告内部控制缺陷的认定标准，报告期内公司存在〔不存在〕财务报告内部控制重大缺陷〔数量个〕、重要缺陷〔数量个〕〔若适用〕(含上年度末未完成整改的财务报告内部控制重大缺陷、重要缺陷).

　　具体的重大和重要缺陷分别为〔若适用，重大缺陷与重要缺陷分别披露〕：

　　缺陷1:

　　(1)缺陷性质及影响

　　〔具体描述重大缺陷的具体内容，缺陷分类(设计缺陷/运行缺陷)，发生时间、产生原因及对实现控制目标的影响〕

　　(2)缺陷整改情况

　　〔整改开始时间、已采取的整改措施、整改后运行时间、整改后运行有效性的评价结论〕

　　(3)整改计划(适用于内部控制评价报告基准日未完成整改的情况)：

　　〔拟采取的具体整改计划、整改责任人、预计完成时间〕

　　经过上述整改，于内部控制评价报告基准日，公司发现〔未发现〕未完成整改的财务报告内部控制重大缺陷〔数量个〕、重要缺陷〔数量个〕。

　　2。非财务报告内部控制缺陷认定及整改情况

　　根据上述非财务报告内部控制缺陷的认定标准，报告期内发现〔未发现〕公司非财务报告内部控制重大缺陷〔数量个〕、重要缺陷〔数量个〕〔若适用〕(含上年度末未完成整改的非财务报告内部控制重大缺陷、重要缺陷).

　　具体的重大和重要缺陷分别为〔若适用，重大缺陷与重要缺陷分别披露〕：

　　缺陷1:

　　(1)缺陷性质及影响

　　〔具体描述重大缺陷的具体内容，缺陷分类(设计缺陷/运行缺陷)，发生时间、产生原因及对实现控制目标的影响〕

　　(2)缺陷整改情况

　　〔整改开始时间、已采取的整改措施、整改后运行时间、整改后运行有效性的评价结论〕

　　(3)整改计划(适用于内部控制评价报告基准日未完成整改的情况)

　　〔拟采取的具体整改计划、整改责任人、预计完成时间〕

　　经过上述整改，于内部控制评价报告基准日，公司存在〔不存在〕未完成整改的非财务报告内部控制重大缺陷〔数量个〕、重要缺陷〔数量个〕。

　　四、其他内部控制相关重大事项说明

　　〔若适用，需披露可能对投资者理解内部控制评价报告、评价内部控制情况或进行投资决策产生重大影响的其他内部控制信息。与内部控制无关的重大事项不需要在此披露〕

　　董事长(已经董事会授权)：〔签名〕

　　〔公司签章〕

　　XX股份有限公司

　　20XX年XX月XX日