查的10家企业中，有5家企业没有建立投资处置的授权批准制度，投资处置有一定的随意性，容易导致资产的流失；有5家企业的负责人没有对重大投资项目进行追踪问效；4家企业认为现有的投资项目总体报酬率低于银行存款利率，对投资项目的效益关注不够；还有2家企业的对外投资没有进行可行性研究和评估。
  （三）风险评估与管理存在问题。新COSO报告认为，企业永远处于不确定的环境中。不确定既意味着风险，也意味着机遇，加强风险管理能帮助企业有效地处理不确定性，减少风险，提高企业创造价值的能力。如果风险管理不当，企业将面临非常危险的境地。调查发现，我国国有大中型企业并不注重风险管理，企业都没有设立风险管理部门，只有1家企业由一位高层管理人员专门负责风险管理，其他企业都只在相应部门指定人员负责风险管理，可见企业对风险管理重视程度不高；大多数企业都仅对可能存在风险的一项或几项业务进行了风险评估，没有一家企业定期对客户信用、财务管理、采购、销售、物流等管理活动都进行风险评估，风险管理没有贯穿到企业的所有业务、各个环节。
   （四）信息与沟通存在问题。信息与沟通也是内部控制的一个重要要素，内部控制效果如何，存在什么问题，还有哪个环节需要改进等等，这些信息都需要流畅地传达到相关部门和最高管理者，以便各级管理者根据反馈的信息作出决策。调查表明，国有大中型企业的信息并没有得到充分反馈，沟通也不及时。比如有7家企业没有及时发布费用开支授权审批的调整，6家企业的退货没有完整的记录，有6家企业的信用管理部门没有定期与财务、销售、物流等部门交流客户信用状况，5家企业的呆滞存货没有及时反馈有关部门，5家企业没有定期向各部门通报实际费用开支与预算的差异分析情况。从信息系统的使用来看，大多数企业都只使用了财务管理系统，没有一家企业运用了投资和信用管理系统，使用销售、采购、物流管理系统的也很少。
   （五）检查与监督存在问题。调查显示，各企业对检查与监督还比较重视，一般都设有独立的内部审计部门，并有计划、有针对性地对相关业务进行审计检查。但调查也发现，内部审计部门被赋予的职权有限，所发现的一些问题并没有得到及时有效的处理，没有一家企业在董事会下设立专门机构对企业经营者进行监督，削弱了内部审计的力度。另外，不管是企业的内审还是聘请中介机构开展的独立审计，审计的内容都没有涉及到对内部控制本身的评价，这也大大降低了检查监督的效率。
二、问题产生的原因
   （一）技术层面的原因。第一，企业内部没有针对具体的业务流程设计关键控制点明确的内部控制制度。许多企业制定的内部控制制度似乎面面俱到，有的甚至非常的详尽，但却往往没有抓住关键的控制点。其实内部控制制度并不一定繁琐复杂，太过复杂反而会增加交易成本。第二，企业内部控制的信息技术手段落后。前面已指出，被调查的企业都没有建立信用管理系统和投资管理系统，大部分企业也没有建立销售、采购、物流等管理系统，对于授信额度、投资决策、折让额度、资金预警等缺乏适时控制手段，不能对物流、资金流进行跟踪控制，业务信息也不能及时得以沟通。由于技术手段落后，内部控制的效果大打折扣，同时也增加了人为主观或客观犯错的可能性。第三，国家没有建立健全相关的内部控制法律规范。我国的内部控制指导性规范体系尚未形成。相对完善的规范性文件要算财政部颁发的《内部会计控制规范》，但该规范现在只出台了其中一部分，且规范仍只是会计控制范畴，多为原则性指导意见，对具体业务控制的深度和广度都十分欠缺，内部控制的执行部门按该规范难以深入到各个业务的每个环节进行控制。第四，我国的大部分注册会计师缺乏对内