（会计学专业论文）我国上市公司内部控制自我评价问题研究.pdf

i 摘 要 进入二十一世纪以来， 在全球范围内， 财务舞弊案件的频发造成了重大的经济损失， 其中一个很重要的原因是上市公司内部控制的严重缺位或失灵。实践证明，一个企业拥 有完善的内部控制制度，并非等于拥有有效的内部控制，由此内部控制评价的重要作用 日益凸显出来。内部控制评价是建立健全企业内部控制系统、保证其有效实施并促进内 部控制目标实现的重要手段。美国国会于2002年7月出台了萨班斯一奥克斯利法案， 404条款作为该法案的核心条款之一，要求公众公司管理当局对企业内部控制进行自我 评价，并披露内部控制自我评价报告，标志着内部控制信息强制披露时代的到来。在我 国，企业内部控制失效的问题也逐步引起相关部门和理论界的高度重视。为了加强企业 内部控制的建设，上海证券交易所和深圳证券交易所分别于2006年6月和9月颁布了上 市公司内部控制指引，2008年我国财政部、证监会、审计署、银监会和保监会联合发 布了企业内部控制基本规范及其配套指引。这些相关规范制度要求我国上市公司对 内部控制进行评价，形成内部控制自我评价报告，并且与年报一起对外披露，这标志着 我国内部控制信息披露已由自愿披露阶段转为强制性披露阶段。而事实上，在我国，仍 然有很多企业对内部控制评价工作不够重视， 上市公司在执行内部控制自我评价信息披 露规则时还不能做到得心应手，甚至会出现认识上的偏差。因此，有必要对企业内部控 制自我评价进行研究，从战略的高度来认识实施内部控制自我评价的重要意义。 本文试图观察 2010 年我国上市公司内部控制自我评价信息的披露状况，归纳总结 其中存在的问题， 并为改善和提高我国上市公司内部控制自我评价信息披露质量提供有 益的建议。 本文第一章论述了研究背景和意义， 并对国内外相关研究文献进行了简单综 述；第二章主要介绍国内外内部控制相关理论的发展、趋势，以及内部控制自我评价相 关理论的内容综述；第三章重点对国内外内部控制自我评价的重要规范进行分析和对 比，并阐述企业内部控制基本规范的特点和贡献；第四章试图通过对我国上市公司 2010 年内部控制自我评价披露现状的分析揭示我国上市公司自我评价信息披露中存在 的问题。究其原因主要有：上市公司内部控制信息披露的动力不足、管理当局对内部控 制认识不足、 上市公司外部对内部控制信息的有效需求不足、 缺乏统一的内部控制评价 标准和内部控制审计评价标准； 第五章提出对于完善我国上市公司内部控制自我评价的 ii 相关建议： 从公司层次和业务层次分别对内部控制自我评价指标进行构建、 改进内部控 制自我评价报告披露内容和格式以及其他相关建议；第六章阐述初步研究结论与不足。 关键词：上市公司，内部控制，信息披露，自我评价 iii abstract since entering into the twentieth century, the frequency of financial fraud cases have brought significant economic losses home and abroad one of the important reasons is the missing or deficiency of internal control in listed companies practice has proved that an enterprise having a sound internal control system is not the same as the one having an effective internal control， thus the important role of the internal control assessment becomes prominentthe internal control assessment is a vital means of improving the internal control systems and ensuring its effective implementation. after that, the uscongress promulgated thesarbanes oxley act of 2002in july, 2002one of the core provisions of the bill，which is sox section 404，required the authorities of public companies to do the internal control self-assessment(csa) of their companies and disclose the report of csathe sox section 404 indicated the arrival of mandatory disclosure of the internal control informationat home，relevant departments and theoretical circles increasingly attach great importance to the failures of internal control. in order to strengthen the construction of enterprise internal control, the shanghai stock exchange and shenzhen stock exchange issued the guidelines on internal control of listed companies in june and september，2006 in 2008，chinas ministry of finance joining hands with china securities supervisory commission，the audit commission，china banking regulatory commission and china insurance regulatory commission officially released the basic norms of internal control and its supporting guidelines. these specifications require listed companies to do the csa and disclosure the report of csa together with the annual reportthis indicates internal control information turn from voluntary disclosure stage to mandatory disclosure stagein fact，there are still many enterprises that have not paid enough attention to the internal iv control assessment. so, it is necessary to carry out the study of csa and listed companies must recognize the importance of the implementation of csa from a strategic height this dissertation studies the situation of the disclosure of the internal control information and analyses the reasons for this situation, as well as making relevant recommendations according to the existing these deficienciesthe first chapter discusses the background and significance of this research, as well as briefly viewing the recent studies of csa home and abroad ;the second chapter introduces the trends of the internal control theory and views the theory of csa; the third chapter focuses on the analysis of the importance specifications which are related to csa and also describes the characteristics and contributions of the basic norms of internal control;chapter iv attempts to study the situation of the disclosure of the internal control information and analyses the reasons for this situation. the reasons are: insufficient motivation of voluntary disclosure, insufficient attention of the authorities , insufficient requirements of the information to the internal control, deficiencies of legal norms and the deficiencies of audit evaluation criteria; in chapter v ,author proposes some recommendations to listed companies for the csa: building the indicators of internal control from the corporate level and operational level respectively; improve the content and format about the report of csa and other relevant recommendations; chapter vi describes the preliminary findings and deficiencies of this research. key words：listed companies,internal control,internal control, self-assessment 第一章 导论 1 第一章 导论 一、研究背景及意义 近年来，国内外频繁出现的一系列财务造假案和会计丑闻，极大的降低了投资者对 上市公司及其高管的信任，并对国际资本市场造成了重磅冲击。为规范资本市场，在 2002 年 7 月，美国国会率先出台了萨班斯一奥克斯利法案(简称 sox 法案)。sox 法案在 404 条款中明确规定： 公众公司的高级管理层负责建立和维护有效的内部控制体 系且必须书面声明对内部控制设计和执行有效性负责， 并于财政年度末对内部控制体系 的有效性出具内部控制评价报告， 同时要求负责该公司年度报告审计的会计师事务所对 其内部控制评价报告出具审核报告。 404 条款的出台旨在通过立法强制要求上市公司披 露其内部控制信息， 有利于高级管理层加强对企业内部控制建设的重视， 建立透明有效 的监督机制，为投资者提供可靠的决策依据，恢复投资者对美国资本市场的信心。 萨 班斯一奥克斯利法案的颁布标志着内部控制信息强制评价时代的到来。与此同时，全 球掀起一股强制实行内部控制自我评价的浪潮， 内部控制自我评价这一课题日益受到各 国理论界和实务界的广泛关注。 随着全球经济一体化进程的加速，改革开放以来，我国资本市场国际化步伐也紧紧 加快。上海证券交易所和深圳证券交易所分别于 2006 年 6 月和 9 月发布了上市公司 内部控制指引。 2008 年 6 月，财政部、证监会、审计署、银监会、保监会五部委联 合发布了被称为“中国版萨班斯法案”的企业内部控制基本规范。新规范要求 2009 年 7 月 1 日起在上市公司范围内首先施行， 执行该规范的上市公司， 应当对本公司内部 控制的有效性进行自我评价，披露年度自我评价报告。该规范的制定发布，为上市公司 加强内部控制建设提供了权威性和框架性的指引， 必将有利于提高上市公司经营管理水 平和风险防范能力，有利于资本市场的持续健康发展。2010 年 4 月，在企业内部控 制基本规范的基础上，又分别制定发布了企业内部控制应用指引、企业内部控 制评价指引和企业内部控制审计指引，为内部控制评价和鉴证的实施提供具体指 导，由此将进一步增强内部控制基本规范的可操作性。 近几年来， 国内很多企事业单位特别是沪深两市的上市公司纷纷按照财政部的要求 对内部控制制度进行完善并为此投入大量精力， 但从对内部控制的实施效果来看， 仍然 第一章 导论 2 存在大量管理者贪污腐化、会计信息失真等状况。由此可见，内部控制制度失效并不是 由于内部控制制度本身存在缺陷或漏洞， 而是忽略了对内部控制的执行或评价内部控制 制度的执行情况以及改善制度的缺陷等更重要问题。所以，再完善的内部控制设计，如 果无法得到有效执行，也只能流于形式，而对执行是否恰当有力的判断，即对内部控制 的评价尤其是内部控制自我评价工作， 就显得特别重要。 本文对我国上市公司内部控制 自我评价相关问题进行研究， 希望通过笔者的研究能够给大家一个清晰的视角去了解内 部控制的自我评价。 二、国内外研究现状 （一）国外研究现状 在国外，对内部控制评价相关问题的研究主要有：1987 年，treadway 委员会研究 了众多存在会计信息欺诈的企业财务报告， 对内部控制评价报告的自愿披露和强制披露 进行了研究。 建议 sec 要求所有上市公司在其年度报告中呈交由首席执行官和首席财务 执行官签发声明的内部控制评价报告。raghunandan 和 rama(1994)对财富 100 家公司 1993年的年报进行考察， 发现其中有80家提供了某种形式的涉及内部控制的管理报告， 但大部分公司在披露形式上没有遵循统一的标准， 对内部控制的评价仅集中于控制系统 的存在与否，而未对其是否有效进行评价。mcmullen，dorothy 和 raghunandan(1996) 通过对 1993 年 2221 家公司的年报进行分析研究发现， 有 742 家公司在年报中提供了内 部控制评价报告，占公司总数的 334。在内部控制报告披露的信息中包含：审计委 员会的活动(665 家)，合理保证概念(653 家)，保障资产安全(600 家)，内部审计问题 (566 家)，交易的授权与记录(452 家)，内部控制的成本与效益(304 家)，员工培训与 录用政策(298 家)等。而他们对 19891993 年间公司内部控制信息披露情况的实证研 究表明，在选取的公司样本中，平均有 265的公司提供内部控制报告，对有财务问 题的公司来说，这个比例更低，仅为 105，而对小公司而言，内部控制报告与财务 报告问题的相关性就更为明显了， 因此他们得出结论： 财务报告有问题的公司不太可能 提供内部控制报告。hermanson（2000）通过问卷调查的方式对 9 种财务报表的使用者 进行了调查， 分析自愿性控制报告是否有价值含量、 是否影响决策以及对财务报告是否 有所改善进行了研究。 调查显示： 受访者认为自愿性内部控制评价报告能够改善企业内 第一章 导论 3 部控制，防止财务舞弊，能够提供额外的对决策有价值的信息，从而为公司的长远发展 提供保护。bryan 和 lilien(2005) 研究了执行 404 条款的公司披露内部控制报告和审 计师鉴证报告的情况。研究发现，披露内部控制有重大缺陷的公司比同行公司规模小、 业绩也较差， 通常会伴有审计师变更和财务报告重述等重大事项的发生。 在披露日有负 的股票收益，但在短时间内并不显著。doyle，ge 和 mcvay(2006)选取了 2002 年 8 月至 2005 年 8 月披露有内部控制实质性缺陷的 779 个样本公司，并对这些样本公司的内部 控制实质性缺陷的影响因素进行了分析。研究发现，内部控制问题较轻、存在会计层面 控制问题的公司通常财务上较为健康， 但存在多样化投资且处于快速的变革之中； 存在 严重公司层面内部控制问题的公司通常规模较小， 财务上较弱。 通过调查盈余质量与内 部控制之间的关系，发现内部控制实质性缺陷与管理层的责任有关。jagan krishnan， dasaratha rama 和 yinghong zhang(2008)以 2003 年 1 月至 2005 年 9 月自愿披露 404 条款实施成本的公司为样本进行研究， 发现 404 条款的实施费用与公司的规模、 内部控 制重大缺陷、 建立新的电子系统或内部控制制度、 聘请的会计师事务所的规模及是否聘 请新的 ceo 等因素正相关。 （二）国内研究现状 我国对内部控制自我评价的研究时间不长，主要集中在案例研究、调查统计、较为 简单的统计分析等规范研究方法。主要研究有：李明辉(2001)对上市公司内部控制评价 报告进行了分析，介绍了coso委员会内部控制整体框架，回顾了内部控制报告在美国的 实践。研究指出内部控制报告的内容应主要包括管理层声明对内部控制的责任、内部控 制的固有局限、内部控制的有效性评价等。作者认为应先鼓励我国企业自愿提供内部控 制评价报告，然后逐步加以规范。对于金融企业则应制定具体的规范和指南，强制性要 求其提供内部控制评价报告，且外部审计人员对内部控制报告应发表意见。周春喜 （2002）利用层次分析法建立了内部会计控制的多层次评价指标体系，讨论了模糊综合 评价数学模型，并对内部会计控制进行了综合评价，对定性指标进行了定量化处理。陈 关亭和张少华(2003)通过问卷调查和分析论证， 认为在上市公司内部控制信息披露及审 核问题上，我国应当强制所有上市公司在年度财务报告中披露内部控制报告，且注册会 计师应对该内部控制报告发表审核意见。蔡吉甫(2005)以2003年a股上市公司为样本， 对我国上市公司内部控制信息披露的影响因素进行了实证研究。 研究发现财务报告质量 第一章 导论 4 越高、经营业绩越好的公司越倾向于披露内部控制信息，而那些财务存在异常状况的公 司披露动力明显不足， 总体来看， 上市公司内部控制信息披露存在自愿披露积极性不高， 内容流于形式等问题。谢盛纹(2005)认为，cos0框架的确为增加对内部控制的理解和它 在公司治理中的作用做出了一定贡献，但它所代表的仍然还是会计、审计方面的观点， 这必然导致对财务报告内部控制的过度关注，而忽视内部控制的其他部分和内容。此外 他还对管理层所提供的内部控制报告的有用性提出了质疑。赵兴莉(2009)认为，新规范 并没有对内部控制评价报告的内容及其披露格式作出相应规定， 这无疑给上市公司带来 内部控制信息披露的随意性。 为促进新规范顺利有效实施， 对内部控制评价报告的范围、 内容方面应该进一步作出相应的规范。杨有红、陈凌云（2009）主要对 2007年沪市公 司披露内部控制自我评价报告的情况进行了统计, 分析企业内部控制自我评价对于实 现内部控制三个基本目标（ 财务报告及相关信息真实完整目标、资产安全目标、合法 合规目标) 的效果和存在的问题, 并提出了相应的政策建议。詹长杰（2010）对2008年 和2009年我国上市公司披露的内部控制自我评价报告的现状进行比较分析， 发现2009年 我国上市公司内部控制自我评价报告的披露状况与2008年相比有所改善， 同时发现所披 露的报告在内容、方式等方面仍存在问题，最后，针对这些问题提出了相关的建议。 从国内外对内部控制评价的研究现状来看，国外对该问题的研究普遍比国内成熟， 相关法律法规比较完善，对相关内容的研究具有研究角度和研究方法多样化的特征。我 国在内部控制评价理论及法规建设方面也取得了一些重要的、阶段性的成果。我国对内 部控制自我评价的研究主要集中于对国外内部控制相关法律法规和理论的介绍、 内部控 制信息披露与公司状况之间的关系、内部控制信息披露与股票价格之间的关系、对内部 控制评价信息披露状况的描述性研究等方面。总的来说，我国对内部控制评价的研究相 对于国际上的研究有较大差距，总体上有待进一步深入。 三、研究框架及方法 本文第一章论述论文的研究背景和意义，并对国内外研究文献进行简单综述。第二 章主要介绍国内外内部控制相关理论的发展、 趋势， 以及内部控制自我评价相关理论的 内容综述。第三章重点对国内外内部控制自我评价的重要规范进行分析和对比并阐述 企业内部控制基本规范的特点和贡献。第四章试图通过对我国上市公司 2010 年内 部控制自我评价披露现状的分析揭示我国上市公司自我评价信息披露中存在的问题。 第 第一章 导论 5 五章提出对于完善我国上市公司内部控制自我评价的相关建议。 最后在第六章阐述研究 结论与局限性。 论文主要采用的方法是规范研究中的比较分析、归纳分析、描述性统计分析方法。 通过归纳分析法， 归纳总结国内外内部控制及内部控制自我评价的研究现状。 通过比较 分析法， 揭示我国内部控制自我评价相关规范的进展及与国外相关重要规范的差异， 阐 述我国基本规范的特点和贡献。通过描述性统计分析，分析 2010 年我国上市公司内部 控制自我评价信息披露的特点及存在的问题并对其原因进行探讨。 四、创新之处 本文通过对内部控制自我评价相关理论和规范的分析及对我国上市公司 2010 年内 部控制自我评价披露现状的探讨， 构建了上市公司内部控制自我评价指标体系并就改进 内部控制自我评价报告披露的内容和格式提出建议。 主要创新点在于笔者从公司层次和 业务层次分别对内部控制评价指标进行构建； 在对内部控制进行自我评价过程中， 应从 公司层面和业务层面分别对内部控制的设计有效性和执行有效性进行评价并且提出将 两个层面的评价结果纳入自我评价报告格式之中。 第二章 内部控制自我评价的理论分析 6 第二章 内部控制自我评价的理论分析 一、内部控制的概念及框架 （一）内部控制概念演变过程 内部控制是个古老而又充满活力的话题， 内部控制理论随着内部控制思想和实践经 验的丰富而得到不断发展和完善。 国内外学者对内部控制概念的理解也处于不断发展变 化之中，大致可分为内部牵制、内部控制制度、内部控制结构、内部控制整体框架和全 面风险管理框架五个阶段。 1.内部牵制阶段 1.内部牵制阶段 内部牵制主要出现在 20 世纪 40 年代之前。 这一时期内部控制的主要特点是任何一 个人或是部门不能完全支配一项业务， 通过对职责的分离和业务流程及其记录上的交叉 检查或控制，以便相互牵制，防止组织内部发生错误或舞弊。内部牵制确实有效减少了 组织内部的舞弊行为， 但随着经济社会的发展和科学管理方法的诞生， 内部控制的概念 日益超越内部牵制的范畴。 但内部牵制的基本理念仍占有相当重要的地位， 成为现代内 部控制理论中有关组织机构控制、职务分离控制的基础。 2.内部控制制度阶段 2.内部控制制度阶段 内部控制制度阶段主要出现在20世纪40年代至70年代。1949年，美国注册会计师协 会所属的审计委员会首次将内部控制定义为 “内部控制是经济组织所设计的总体规划及 所运用的与总体规划相协调的所有方法和措施。 运用这些方法和措施的目的是保护企业 财产安全完整、检查会计资料的准确性和可靠性、提高企业的经营效率和保证企业贯彻 执行既定的管理政策。”1958年，该委员会在发布的审计程序公告第29号中将内部 控制划分为内部会计控制和内部管理控制。 内部会计控制主要包括对保护企业内部资产 完整性和保证财务资料可靠性所实施的控制； 内部管理控制主要包括与提高组织经营效 率有关， 与管理部门授权办理经济业务决策有关并保证所制定的各项方针政策得到贯彻 执行所实施的控制。 这一分类明确了内部控制在保证财务资料可靠性和保护企业内部财 产安全性方面的责任，企业不但要做到记录财务信息和保管财务资产等职务的相分离， 第二章 内部控制自我评价的理论分析 7 还要充分重视经营效率管理的方针、方法及其贯彻执行情况。内部控制相比内部牵制而 言，面更广，控制范围更大，控制方法更科学。 3.内部控制结构阶段 3.内部控制结构阶段 内部控制结构阶段主要出现在 20 世纪 70 年代至 90 年代。西方会计界和审计界在 随后的研究中逐渐发现内部管理控制和内部会计控制是不可分割、相互联系的。因此， 1988 年，美国注册会计师协会在审计准则说明书第 55 号中首次以“内部控制结构” 代替“内部控制”，指出：“企业的内部控制结构包括为合理保证企业特定目标的实现 而建立的一系列政策和程序”，并认为内部控制由下列三要素组成：控制环境、会计系 统及控制程序， 也就是通常所说的内部控制三要素理论。 三要素理论的内容正式将内部 控制环境纳入内部控制范畴，是充分有效的内部控制体系得以建立和运行的有效保证。 该概念的提出是内部控制理论研究中的一个突破性成果。 4.内部控制整体框架阶段 4.内部控制整体框架阶段 进入90年代后，随着公司业务的增多和规模的不断壮大，内部控制成为管理科学化 的重要内容，这导致学术界对内部控制的研究进入了一个新阶段。这一阶段对于内部控 制的概念具有国际重要影响力和重大指导作用的是由美国treadway委员会下属的内部 控制专门研究委员会发起机构委员会， 即coso委员会提出的 内部控制整合框架 。 在该报告中，指出“内部控制是由企业的董事会、管理层以及其他人员共同实施的，为 达到财务报告的可靠性、经营活动的效率和效果、遵循相关法律和法规的目的而提供合 理保证的过程。”1996年aicpa的审计准则委员会全面接受coso报告的内容，将内部控 制结构划分为控制环境、风险评估、控制活动、信息和沟通、监督五个要素。该定义不 仅丰富了会计系统的内涵和控制环境，还形成了在一定目标的指导下，由五个相互联系 的要素构成的一个整体框架。其结构如图2-1： 第二章 内部控制自我评价的理论分析 8 图 2-1 coso内部控制整合框架 5.全面风险管理框架 5.全面风险管理框架 第五个阶段为全面风险管理阶段，主要是 20 世纪 90 年代末至今。人们在风险管理 的不断实践中逐渐认识到，企业不能仅仅从某项业务、某个部门的角度考虑风险，而必 须根据风险组合的特点，从贯穿整个企业的角度考虑风险。在 2004 年 9 月，coso 委员 会正式颁布了全新的 coso 报告：即企业风险管理整合框架(简称 erm)。erm 对整合 框架进行了细化， 将内部控制的五个要素扩展为基于全面风险管理的八个要素。 八个相 关联的要素贯穿在企业整个管理过程之中，分别是：内部环境、目标设定、事项识别、 风险评估、风险应对、控制活动、信息与沟通及监控。erm 框架不但在内容上进行了更 新， 更加突出了对企业风险管理的关注， 从风险管理角度对内部控制进行了全新的诠释， 不论是在框架方面还是在要素方面，均有相当大的突破。erm 框架的颁布标志着内部控 制理论进入了以企业风险管理为中心的新阶段， 代表了内部控制的最新、 也可以说是当 前最为完善的理论。 （二）内部控制框架理论 1、内部控制框架的三要素理论 1、内部控制框架的三要素理论 1988 年，美国注册会计师协会在审计准则说明书第 55 号中首次以“内部控 制结构”代替“内部控制”，并认为内部控制由下列三要素组成： (1)控制环境 第二章 内部控制自我评价的理论分析 9 控制环境， 是对企业内部控制的建立和实施有重大影响的因素的统称， 反映董事会、 管理者、业主和其他人员对控制的态度和行为。具体包括：管理者的理念和经营风格、 企业的组织结构、 董事会及其所属委员会特别是审计委员会的职能、 确定责任和职权的 方法、 人事工作的政策和程序等一系列影响企业业务的各种关系。 控制环境的好坏直接 决定着企业内部控制的建立与实施。 (2)会计制度 会计制度，是规定企业各项经济业务确认、归类、分析、记录和编报的方法，从而 明确各项资产与负债的经营管理责任。 一个有效的会计制度应做到以下内容： 确认并登 记所有真实合法的经济业务； 对各项经济业务进行适当的分类， 作为编制财务报表的依 据；计量经济业务的价值以使其货币价值能在财务报表中体现；确认交易发生的期间， 以便将交易记录在适当的会计期间；在财务报表中适当地表达经济业务及披露相关事 项。 (3)控制程序 控制程序是管理当局用以保证公司目标的实现而制定的方针和政策。具体可包括： 凭证、账单等的使用和设置；明确不同人员担任不同的审批业务、保管财产业务、记录 业务、检查监督业务的职责；经济业务和经济活动的审批权；对财产及其记录的接触和 使用控制等。控制程序可以应用于一种交易，也可以广泛的应用，从而防止个别人员对 正常业务进行舞弊。 2、内部控制框架的五要素理论 2、内部控制框架的五要素理论 1992 年 9 月，美国 treadway 委员会下属的内部控制专门研究委员会发起机构委员 会，即 coso 委员会发布了内部控制整合框架，该报告中将内部控制框架分为 五大基本要素： (1)控制环境 控制环境是内部控制整合框架中所有其他构成要素的基础。 控制环境主要包括员工 的忠诚度和道德观；员工的胜任能力；管理层的经营理念、经营哲学和方法；董事会和 审计委员会或风险评估委员会的关注和要求； 授予权力和责任的方式； 人力资源的政策 和运用；对企业经营产生影响的外部因素等。 (2)风险评估 第二章 内部控制自我评价的理论分析 10 风险评估，是指管理层识别并采取相应措施来管理对经营、财务报表有影响的内部 或者外部风险，它包括风险识别、风险分析和转移风险的管理。企业经营环境的变化使 企业经营风险不断增大，企业必须适当设立可以辨认、分析和管理风险的机制，以确认 公司的风险因素。 企业管理当局在确认风险并采取必要的措施管理风险之前， 首先应在 各管理层制定出协调一致的目标，风险一旦确认，管理当局要慎重考虑其重要性、发生 的可能性及如何采取措施控制风险。 (3)控制活动 控制活动是指为了确保管理层的指令得到实施而制定和执行的控制政策和程序， 其 贯穿经济组织所有层次和职能部门。 在实践中控制活动形式多种多样， 可将其归结为以 下几类:职责分工、授权审批、业务程序和业务记录、监督检查控制、规章制度等。 (4)信息与沟通 信息在现代经济市场中扮演了重要角色，不管是企业外部信息还是内部信息，其对 企业的经营发展和决策有着至关重要的影响。 企业必须更好的识别和交流传递内外部信 息，使内部员工懂得自己在控制系统中的责任、职能，进而更好的履行自己的职责，促 进企业健康发展。 (5)监控 内部控制应该是一个实时过程，其与经营管理活动密切相关，管理当局必须随时进 行自我评估和内部监督。 其具体内容包括在经营过程中进行的监督、 企业内部有关管理 人员和职员定期对各部门的控制进行的评估、对内部控制改革及运行活动进行的评价、 内部审计人员与单位外部人员的交流等。 监控可以通过持续的监督活动或是单独的评价 以及两者的结合加以实施。 二、内部控制自我评价相关理论 （一）内部控制自我评价的产生与演进 对于内部控制评价较早的研究源于在财务报表审计过程中对内部控制进行评价， 而 这一时期内部控制评价的目的是为了确定报表审计实质性测试的性质、 时间和范围。 但 是随着现代公司治理制度的建立， 在两权分离的情况下， 管理者自然有义务承担财务会 计以外领域的责任，包括对企业的组织规划、战略政策制定、劳动和环境的保护等方面 的经济管理责任， 而与此同时， 独立审计鉴证的业务范围也从对财务的鉴证扩展到包括 第二章 内部控制自我评价的理论分析 11 对管理的鉴证。此后，随着经济环境的变化，国际组织逐渐开始站在公司治理的角度来 研究内部控制评价。 1992 年，美国 coso 委员会发布的内部控制整合框架， 构建了由三个目标和五项要素组成的内部控制框架。 而后， 很多评价主体开始运用 coso 框架， 并将它作为评价内部控制的有效方式， 同时该框架的广泛认可标志着内部控制开 始在理论上和实务上走出审计范畴。20 世纪 70 年代以来，管理层对内部控制有效性是 否进行报告曾引起广泛的争论，但直到萨班斯奥克斯利法案颁布之前，还没有 形成统一的规范。在 2002 年 7 月，美国国会率先出台了萨班斯一奥克斯利法案(简 称 sox 法案)，该法案在 404 条款中明确规定：公众公司的高级管理层必须书面声明对 内部控制设计和执行有效性负责， 并于财政年度末对内部控制体系的有效性出具内部控 制评价报告， 同时要求负责该公司年度报告审计的会计师事务所对其内部控制评价报告 出具审核报告。404 条款的出台旨在通过立法强制要求上市公司披露其内部控制信息， 有利于高级管理层加强对企业内部控制建设的重视， 建立透明有效的监督机制， 为投资 者提供可靠的决策依据从而恢复投资者对美国资本市场的信心。 萨班斯一奥克斯利法 案的颁布标志着内部控制信息强制评价时代的到来。 我国在20世纪90年代中期以前虽然已经初步建立了以账户核对和职责分工为主要 内容的牵制制度，但这些制度大多是零散的、不系统的。20 世纪 90 年代中后期，国内 财务舞弊案件频繁出现， 各领域对企业内部控制制度的关注有所提高， 我国政府也开始 积极推进内部控制和内部控制评价的规范化建设。1996 年 12 月，财政部发布独立审 计具体准则第 9 号内部控制和审计风险 ， 该准则中强制要求独立审计对企业内部 控制的情况进行审核。1999 年 10 月颁布，2000 年 7 月实施的新会计法中，明确要 求各单位应当建立、建全本单位内部会计监督制度。2000 年中国证监会发布公开发 行证券公司信息披露编报规则 ， 规则中明确规定公开发行证券的商业银行、 保险公司、 证券公司等金融机构应委托所聘用的独立审计针对其内部控制制度的设计有效性和执 行有效性以及风险管理系统的合理性、完整性出具评价报告并提出改进建议。2006 年 的 6 月和 9 月， 上海证券交易所和深圳证券交易所发布了各自的 上市公司内部控制指 引(下称指引)，要求上市公司按照指引的要求在年度报告披露的同时披露年 度内部控制自我评价报告。2008 年 6 月，财政部、证监会、审计署、银监会、保监会 五部委联合发布了企业内部控制基本规范。该规范的制定发布，为上市公司加强内 部控制建设提供了基础性、 权威性的指引， 必将有利于提高上市公司经营管理水平和风 第二章 内部控制自我评价的理论分析 12 险防范能力，有利于资本市场的持续健康发展。2010 年 4 月，在企业内部控制基本 规范的基础上，又分别制定发布了企业内部控制应用指引、企业内部控制评价 指引和企业内部控制审计指引，为内部控制评价和鉴证的实施提供具体指导，由 此将进一步增强内部控制基本规范的可操作性。 综合上述国外和国内内部控制评价的发展现状可知： 国外的内部控制评价发展普遍 较国内成熟，而对于究竟选择哪种内部控制评价模式更好很难下定论。但总的来说，对 于内部控制评价的认定主要有两个方向： 一是指由注册会计师实施的评价， 即内部控制 的外部评价；二是指由企业内部，如内部管理层实施的评价，即内部控制的自我评价。 虽然我国最新颁布的 企业内部控制基本规范 为企业内部控制评价提供了一定程度上 的指导，但是还没有颁布正式的内部控制评价相关规范，而发布的企业内部控制评价 指引中明确指出： “内部控制评价，是指企业董事会或类似权力机构对内部控制的有 效性进行全面评价、形成评价结论、出具评价报告的过程。”因此，本文所界定的上市 公司的“内部控制评价”属于企业内部对内部控制的评价，也称为“企业内部控制自我 评价”。 （二）内部控制自我评价的理论基础 内部控制自我评价的理论研究是具有科学的理论渊源的，它是在委托代理理论、信 息不对称理论、信号传递理论的基础上发展起来的。 1、委托代理理论 1、委托代理理论 上世纪 30 年代，美国经济学家伯利和米恩斯发现企业的所有者兼具经营者的做法 存在着极大的弊端并在此基础上，提出了“委托代理理论”。委托代理理论的中心任务 是研究在利益相冲突和信息不对称的环境下， 委托人如何设计最优契约激励代理人。 在 企业内部，企业作为一个由履行不同职责的职员形成的统一体，因为分工的不同，形成 了不同的代理关系， 也存在着委托者和代理者之间的利益冲突和目标不一致， 而解决委 托代理问题的主要手段是约束和激励机制，这就表现为内部控制。委托代理理论认为， 委托人与代理人之间的冲突可以通过对内部控制的评价在一定程度上加以缓解。 所以从 这个角度上讲，委托代理理论对内部控制评价有着重要意义。 2、信息不对称理论 2、信息不对称理论 第二章 内部控制自我评价的理论分析 13 信息不对称理论是由经济学家阿克洛夫 1970 年提出的，表述为“在买卖市场上， 通常卖方比买方拥有更加完全的对商品的信息； 拥有信息较多的一方可通过向拥有信息 较少的一方传递有益信息而在市场上获益。 同样在信息不对称的证券市场中， 企业管理 者比投资者能更多地了解企业的经营状况和盈利状况， 因此企业管理者相对于企业的投 资者处于有利地位”。 在证券市场上，主要存在两大类信息不对称:一是上市公司(信 息供给方)和投资者(信息需求方)之间的信息不对称，这是证券市场最显著、最普遍、 最难控制的信息不对称； 二是投资者相互之间的信息不对称， 主要是指机构投资者和个 人投资者之间的信息不对称（宋道勇，2009）。为了减少上述两类信息不对称，一个有 效的途径就是信息披露， 通过要求上市公司对其经营情况、 财务情况以及内部控制设计 和执行情况进行披露，使得外部投资者尽可能多的获得相对详细的与决策相关的信息， 从而有利于他们做出正确的投资决策。 可见， 定期报告内部控制信息是上市公司和信息 使用者的共同需要，而对内部控制情况的评价有利于减少会计信息分布不均的状态。 3、信号传递理论 3、信号传递理论 信号传递理论是在 1974 年由斯宾塞最先提出的。在他的研究中，企业雇员接受教 育的水平成为传递雇员工作能力的信号。 雇主认为那些未能接受较高教育的雇员的工作 能力较低，从而只愿意支付较低的工资，而愿意对那些有较高文凭的人支付较高工资。 所以在这里，教育水平成了传递劳动者能力的信号，将不同的劳动者区分开来。在当今 现代公司治理中，众多股东并不直接参与公司的运营管理，而是委托经理人进行管理， 在充满信息不对称的证券市场上， 股东委托人只能获取关于经理行动和能力的不完全的 信息，是无法完全了解到经理人的全部行为的。信号传递理论认为，在信息不对称的证 券市场上， 若企业及时对其内部控制是否完善有效的信息予以披露， 则投资者会认为其 经营状况良好，内部控制制度较完善；相反，如果企业未披露其内部控制信息或对其披 露的信息无实质性内容，则投资者会认为企业经营状况欠佳甚至其控制制度存在缺陷。 在信号传递理论的作用下， 企业就有动力自愿对其内部控制信息进行充分披露， 向市场 传递企业的信号，以区别经营业绩较差的公司，从而引导优质资源流向自己的公司。 （三）内部控制自我评价与内部控制外部评价的比较 内部控制评价依据评价主体的不同，可以分为外部评价和内部评价两种。外部评价 是指由会计师事务所或政府审计部门等对企业的内部控制系统实施的评价；内部评价， 第二章 内部控制自我评价的理论分析 14 是企业在其内部审计部门的引导下， 由企业管理当局特别是董事会对内部控制系统实施 的评价， 也就是内部控制的自我评价。 企业内部控制自我评价与外部评价主要存在以下 区别: 1、评价目标不同 1、评价目标不同 内部控制外部评价的主体主要是第三方独立审计或政府审计部门， 对内部控制的评 价目标是通过符合性测试和实质性测试评估控制风险，从而达到降低审计风险的作用。 而内部控制自我评价的评价主体是董事会， 其目的是通过发现和完善企业内部控制制度 设计和运行中存在的缺陷，来提高企业经营效率，降低经营风险，更好地实现企业的战 略和愿景。 2、评价范围不同 2、评价范围不同 内部控制外部评价的主要内容是评价那些与企业财务情况和资产安全完整性相关 的内部控制制度是否能够及时发现和有效纠正， 其评价范围主要限定于影响会计报表信 息质量的内部控制制度， 而且外部评价一般与年度财务报表审计一同进行或者接近日进 行，从对某个时点或者较短时间段的评价结论推断内部控制是否在报告年度内一贯运 行。内部控制自我评价的内容具体涵盖控制环境、风险评估、控制活动、信息与沟通、 监控五个整体要素和各个业务层次的具体内部控制， 范围包含影响企业经营的所有内部 控制， 而且内部控制自我评价在年度报告期内时间控制比较灵活， 可以对企业内部控制 整体要素同时进行评价， 也可以就某项内部控制进行专门评价。 所以内部控制外部评价 的范围较内部控制自我评价窄、时间范围也短。 3、评价方法不同 3、评价方法不同 内部控制外部评价采用的评价方法主要有： 实地监察或询问企业正在实施的内部控 制活动、选择重要的控制活动进行重新执行、检查相关交易和事项的控制程序等。而内 部控制自我评价除了可以选择上述方法外， 还可以运用问卷调查研究法、 管理结果分析 法、 要素评分法以及引导会议法等。 由此可见， 内部控制自我评价的实现途径相对较广， 不仅能够评价诸如授权审批、财务信息、资产的记录与管理等相关的内部控制，还能对 管理层和员工的职业道德和胜任能力、 高层管理人员的经营理念和管理风格