内部控制评价与内部控制自我评价

1、 课题：内部控制制自我评价目录TOC o 1-3 h z u HYPERLINK l _Toc285272408 前言 PAGEREF _Toc285272408 h 2 HYPERLINK l _Toc285272409 第一章内部控控制概论 PAGEREF _Toc285272409 h 6 HYPERLINK l _Toc285272410 第一节内部控控制的定义 PAGEREF _Toc285272410 h 6 HYPERLINK l _Toc285272411 第二节内部控控制运行过程程 PAGEREF _Toc285272411 h 7 HYPERLINK l _Toc28527

2、2412 第三节企业对对内部控制理理解的误区 PAGEREF _Toc285272412 h 8 HYPERLINK l _Toc285272413 第二章内部控控制自我评价价的概念 PAGEREF _Toc285272413 h 12 HYPERLINK l _Toc285272414 第一节内部控控制评价与内内部控制自我我评价 PAGEREF _Toc285272414 h 12 HYPERLINK l _Toc285272415 第二节内部控控制自我评价价的概念 PAGEREF _Toc285272415 h 12 HYPERLINK l _Toc285272416 第三章内部控控制自我

3、评价价的必要性 PAGEREF _Toc285272416 h 13 HYPERLINK l _Toc285272417 第四章美国内内部控制自我我评价法规指指引对我国企企业的启示 PAGEREF _Toc285272417 h 17 HYPERLINK l _Toc285272418 第五章企业内内部控制评价价体系的建设设 PAGEREF _Toc285272418 h 23 HYPERLINK l _Toc285272419 第一节企业内内部控制自我我评价体系三三维模型 PAGEREF _Toc285272419 h 24 HYPERLINK l _Toc285272420 第二节组织与与

4、人员 PAGEREF _Toc285272420 h 26 HYPERLINK l _Toc285272421 第三节风险评评估 PAGEREF _Toc285272421 h 30 HYPERLINK l _Toc285272422 第四节方法与与程序 PAGEREF _Toc285272422 h 52 HYPERLINK l _Toc285272423 第五节信息与与沟通 PAGEREF _Toc285272423 h 62 HYPERLINK l _Toc285272424 第六节监督与与考核 PAGEREF _Toc285272424 h 64前言一、课题背景进入21世纪以以来，美国

5、证证券市场相继继爆发了安然然、世界通讯讯、施乐、默默克制药等一一系列财务造造假丑闻，这这些丑闻使人人们对美国上上市公司信息息披露的真实实性产生质疑疑，动摇了包包括美国在内内的全球投资资者对美国资资本市场的信信心，同时暴暴露出美国公公司治理结构构的不平衡和和外部监督的的缺失，为美美国经济前景景蒙上了阴影影。为了提高高民众对美国国资本市场、政政府经济政策策的信心，消消除对上市公公司财务报表表真实性的担担忧，20002年7月30日美国总总统布什签署署了萨班斯斯-奥克斯利法法案（以下下简称“萨班斯法案案”）。萨班斯斯法案的出台台不仅对美国国资本市场产产生了巨大的的影响，它也也引发了其他国国家监管机构构

6、对内部控制制的高度重视视。各国纷纷借借鉴美国的经经验，制定了了一系列的监管管规定，对企业内部部控制的建设、评价和披露提出相关要求。近年来，我国从从国内企业的的实际情况出出发，吸收了了国际上的先进成果果，在内部控控制相关制度度体系的构建建方面取得了了显著进展。特别是2008年6月，财政部、证监会、审计署、银监会及保监会五部委联合发布了企业内部控制基本规范，从内部环境、风险评估、控制活动、信息与沟通以及内部监督五大要素的角度，对于中国企业应如何建立和维持有效的内部控制提出了原则性的要求，建立了具有中国特色的内部控制框架。同时，基本规范还要求适用企业对内部控制有效性进行自我评价，披露年度自我评价报告

7、，并可聘请会计师事务所对内部控制的有效性进行审计。此后，财政部等五部委又于2010年4月发布了企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引作为企业内部控制基本规范的配套指引，指导企业开展内控建设和评价工作，指导审计师实施内部控制审计。上述规范和指引引均属原则性要求，企企业只有在实施过过程中准确理理解并灵活运用这些些原则，才能能使企业内部控制制的有关工作作可以事半功功倍。特别是，对于于按规定须于2011年1月1日起施实企业内部部控制基本规规范和配套套指引的企业业，做好内部部控制的自我评价工作作并按照相关监管规规定，按时、保质质的披露自我评价报告告更是迫在眉睫睫。许多企业由于是

8、第第一次从事内内部控制的自自我评价工作作，缺乏相关关工作经验或相关工工作经验有限限，在实践过过程中，当突突然遇到这样样或那样的实际操作性性问题时就会觉得事发突然然，无从下手手，难以把握握，因而会非常急切地地希望了解其其他具有相关经验验的企业和咨咨询机构在面面对同样的问问题时如何应应对。在上述述背景下，本本课题以探讨企业在内部控控制自我评价价过程中可能遇到的问问题为出发点点，从理论应用和和实例分析两个个纬度展开研研究。二、思路及内容容概述第一章，内部控控制概论。准确理解内内部控制的内内涵是研究和和实施内部控控制自我评价价的首要前提提。内部控制自自我评价工作作难以有效实实施的问题之之一是参与评评价

9、的人员没没能真正了解解什么是内部部控制，在执执行相关工作作过程中，将将控制活动与与内部管理制度度或一般经营活动动相混淆。对对评价对象的的错误理解，导导致企业内部部控制自我评评价工作的工工作效率低，成成效差，表面面上看好像没有发发现问题，实实际上，真正正的控制点没没能被包括在在测试范围内内，而未测试试控制点的失效可能能引发的风险险被掩盖，无无人察觉。另另一方面，对对内部控制的的不理解，也也使参与内部部控制自我评价工作作的评价人员员无法充分发挥主观观能动性，积积极地参与到内部控制的的持续完善工工作中。因此，本本文在开篇对内部部控制的内涵涵进行了介绍，以明确本文所所研究的内部部控制的具体体含义，从而

10、而为后文的研究究及观点阐述述奠定基础。第二章，内部控控制自我评价价的概念。在在阐明内部控控制的涵义后后，本章节对本文文的研究对象象“内部控制自自我评价”的概念进行界定。第三章，内部控控制自我评价价的必要性。对于企业来说，实施内部控制自我评价不仅是为了应付监管机构的要求，同时也是企业自身健全内部控制体系、防范风险的需要。本章节论述了内部控制自我评价工作在内控体系建设、财务报表质量以及企业形象等三方面的重要作用，进而说明企业做好内部控制自我评价的意义。第四章，内部控控制自我评价价相关法规和和指引。各国政府及监监管机构在为为所辖企业提出该如何搭搭建内部控制制自我评价体体系的相关规定和指引前均投入入了

11、大量的人人力物力，以研究并论证其将提提出的指引如如何才能具有有实务操作性和广泛适用性性，并能够切实解决企业业在实施内部控制制评价的过程中中存在的普遍疑疑惑和问题。因因而，这些法法规和指引对对于企业具有重要要的借鉴意义义。本章节将美国国与中国有关关内部控制自自我评价的监监管制度体系系和法规要求求进行了比对对分析，为企业深入思思考该如何搭搭建适用于本本企业的内部部控制自我评评价体系提供了更更为广泛的参参考信息。第五章，企业内内部控制自我我评价体系的的建设。众多多国内企业在在搭建自身的的内部控制评评价体系的过过程中往往只只关注评价程程序和方法这这两个方面的的内容，而忽略了仅有程程序和方法可可能无法确

12、保保评价工作能能够有效地持持续开展。正正如建立一个个有效的内部部控制体系需需要内部环境境、风险评估估、控制活动动、信息与沟沟通和内部监监督这五要素相辅辅相成，内部部控制自我评评价工作的有有效进行也需需要一个完整整的体系来提提供全方位的的保障。企业可以考考虑从组织与与人员、风险险评估、方法法与程序、信信息与沟通、监监督与考核这这五方面着手手建立企业内内部控制自我我评价体系。本章内容从组织与人员、风风险评估、方方法与程序、信信息与沟通、监监督与考核这这五个方面展展开，其中各各小节均从企业内部控控制自我评价价过程中可能能存在的问题题入手展开分析析，提示企业予予以关注。第一章内部控控制概论第一节内部控

13、控制的定义1992年，美美国反欺诈财务报告告全国委员会（Naationaal Commmissiion onn Frauudulennt Finnanciaal Repportinng）的发起起组织委员会会(Commmitteee of SSponsooring Organnizatiions，简简称COSOO) 发布了了著名的内内部控制整合框架，即“COSSO报告”，提出了内内部控制整体体框架思想，将将内部控制定定义为：“内部控制是是一个由企业业的董事会、管理层和和其他人员实实现的过程，旨旨在为下列目目标提供合理理保证：一是是财务报告的的可靠性；二二是经营的效效果和效率；三是符合适适用的法律

14、法规。” COSO 报告将内部控控制结构划分分为五个部分分，分别是控控制环境、风风险评估、控控制活动、信信息与沟通、监监督。COSSO报告 对于内部控控制的定义在历经了多年年的实践考验验后，已成为国际际公认的理念念，COSOO内部控制框框架也被广泛泛地作为企业业内部控制体系系建立与评价价的标准。通过借鉴国外的的先进经验和和多年的实践践摸索，随着企业业内部控制基基本规范的的颁布，我国国对于内部控控制涵义的解解读已取得了重大的的突破并与国际先进理理念接轨。22008年5月，财政部部等五部委在在联合发布的的企业内部部控制基本规规范中对内内部控制进行行了如下定义：“内部控制是是由企业董事事会、监事会会

15、、经理层和和全体员工实实施的、旨在在实现控制目目标的过程”。内部控制制目标为五个个方面，即合理保证证企业经营管管理合法合规规、资产安全全、财务报告告及相关信息息真实完整，提提高经营效率率和效果，促促进企业实现现发展战略。这一定义首先强强调了企业领领导者尤其是是董事会、监监事会和经理理层在建立与与实施内部控控制中的重要要作用；其次，明确确了内部控制制是全体员工工的共同责任任；此外，明确指指出内部控制制是一个动态态的概念，是是对企业生产产经营过程的的控制，也是对实现现企业发展目目标的控制，同同时还是一个个不断优化、完完善的过程；最重要的是是，该定义将内部控控制目标在“合法合规、财财务可靠、经经营效

16、率与效效果”的基础上进行行了细分和扩展：一方面将“资产安全”目标从财务报报告目标中细细分出来，另另一方面增加加了“促进企业实实现发展战略略”的目标。该定定义对中国企业的内内控体系建设设提出了进一一步的要求，企业需要通过内控控体系的建立立和完善，在在经营效率和和效果方面更更上一层楼，从从而促进企业业实现发展战战略。第二节内部控控制运行过程程如前所述，内部部控制不是静静态的，而是是一个持续优优化和完善的的过程。这一一过程是由设设计、执行、评评价和改进四四个环节所构构成的闭环。其中：内部控制的设计计企业需要针对影影响目标实现现的风险进行识别别、评估和应对，为确保有效效实施风险应应对，企业需需要设计一

17、整套内部控制体系系。内部控制设设计是内部控控制循环的基基础。内部控制设设计的载体通通常是企业制制定的各种内部控控制制度。内部控制的执行行内部控制执行是是对内部控制制设计的运用用。内部控制制设计的再完完美，若不加加以实施就如如同纸上谈兵兵，毫无意义义。内部控制的评价价正如一个健康的的人也需要定定期体检一样样，任何一个个完善的体系系都离不开有有效的反馈机机制，只有定定期通过反馈机制制对整个体系系的运作状况况进行综合评评价，其构建建者与维护者者才能识别体体系中的薄弱弱环节，以采采取相应的改改进措施，促促进体系的不不断完善。因因此，要建立立良好的内部部控制体系也也需要一套行之有有效的反馈机机制，即对内

18、内部控制系统统的健全性、合理性和有效性进行评价，以实现对内部控制系统的“再控制”。具体而言，内部控制评价是从设计和执行两个层面对内部控制的有效性进行测试、分析，并对内部控制设计和执行是否有效做出评价。内部控制评价是内控过程中非常重要的一个环节，或者说是一个承前启后的环节。评价既是对已有控制的总结，又是未来改进控制体系的重要依据。评价过程中，通过对内部控制系统进行分析和测试，形成评价报告。评价报告既要反映内部控制的现状，还要说明内部控制的不足之处，并提出改进建议。内部控制的改进进企业管理当局应应根据内控改进建议议对企业的内内部控制系统统实施改进措施施。经过改进的内部控控制又将形成内部控控制系统中

19、新新的组成部分分，成为以后后内部控制评价的对象象。内部控制系统运运行的四个环环节环环相扣扣、循环往复构成成一个完整的的内部控制运运行过程。现现实中，并不不存在一劳永永逸的内部控控制系统，内内部控制系统统必须随着企企业内外部环环境的变化，不不断改进。因因此，企业应应当长期持续续的开展内部部控制评价，及及时对自身的的内部控制体体系加以改进进以适应新的的变化和要求。第三节企业对对内部控制理理解的误区虽然我国在内部部控制理论方方面已建立了了权威的框架架，但是许多企业在执行行相关工作的的过程中对于内内部控制的理理解仍然存在在误区，突出表表现为两方面面：一是将内内部控制与企企业内部管理理制度相混淆淆；二是

20、将内部部控制与业务务活动相混淆淆，未能深刻刻认识到内部部控制是一个个完整的“体系”。以下，将以示例的方方式从上述两两个方面分别别阐述，辅助助企业正确理理解内部控制制的涵义并准准确地将其运运用到内部控制评评价工作中。一、区分内部控控制与管理制度一些企业认为，为为满足日常经经营管理的需需要，企业已已经制定了一一系列内部管管理制度并对企业日常常经营活动提提出了全面的的要求，这些些管理要求即即构成了企业业的内部控制体系。这种理解过过于片面，一一方面忽略了了内部控制作作为一个动态态的“过程”，需要依赖企企业全员的“实施”，另一方面没没有考虑企业业的内部管理制制度本身是否具备操作作性，可以被执行和评价价。

21、从内部控制的定定义可以看出出，内部控制制作为一个动态的过程，若需发挥作用用，即实现战略、经经营、报告、合合规以及资产安全全等目标，必必须依赖于企企业董事会、监监事会、经理理层和全体员员工的实施。因此，内内部控制是一一项活动或一一系列活动的的组合，而不不是静止在书书面形态的制制度和要求。如果某个制度度或某项管理理要求没有被实实施，那么它它应当仅仅被被视为游离于于内部控制体体系之外的一一篇文字而已，不不构成任何内内部控制。当然，制度和要要求与内部控控制之间也存在联联系。如果企业在在实际操作中中对于某项控控制措施已经形成了惯例并且控制制效果显著，那那么管理层必必然希望该项项控制措施未未来能够一贯贯有

22、效地执行行下去，不受受人员更替的影响。在此情况下下，管理层需需要将这项良良好的惯例形形成书面规定，要求相相关人员比照照执行，同时时还可以依据据这一书面规规定衡量相关关人员的工作作是否到位，落实问责。另外，对于实际操作中欠缺的控制措施，管理层亦可通过制定具备操作性的管理制度来要求相关人员照章执行，从而构成真正意义上的内部控制 。总之，内部管理理制度本身并并不足以构成成内部控制，但但可以促进内内部控制一贯贯有效的执行行。下面要解决的的问题是何为为具有操作性性的管理制度度，以某公司的销售与收收款管理制度度为例，其中规定：销售价格的确定定须经总经理审批批或授权；要将销售与发货货记录进行核核对，确保账账

23、账相符，财财务记录符合合权责发生制制。从管理者的角度度看来，上述述两项规定确确实对销售和收款款过程中的关关键环节（价格审批、账账账核对）提出了了要求，这也也是国内企业业典型的管理理制度的编制制方式。但是销售业务相关部门门和人员在执执行中可能存在许多疑问，比如如：对于规定1，由谁负责发起起并处理价格格审批？总经理口头批准即可，还是提交书书面审批表？在什么情况况下总经理可可以授权其他他人审批，授授权给谁？对对于规定2，销售和发货信息从何何而来，对应应的职责部门门/人员是谁，信信息载体是什什么？多久核核对一次？出出现差异怎么么办？执行人人员带着这些些疑问开展日常常工作，一方方面可能导致致根据个人的经

24、验判断而开展工工作，与管理理者意图存在在偏差；另一一方面也可能能导致个别人人故意利用管管理要求中的“灰色空间”而谋取个人利利益，增加舞舞弊风险。因此，这样样的管理制度度在给执行人人员带来困扰扰的同时，也也不足以支撑撑企业的经营管管理和内控评评价工作。一项具有操作性性的内部控制制制度规定至少少应明确如下下基本要素：基本要素以规定（1）为为例以规定（2）为为例谁：客户经理 物资部仓库管理理员、财务部部收入会计何时：在签订销售合同同前每月末控制活动：取得总经理或适适当被授权人人对销售价格格的审批将销售的财务记记录与实物发货记录录进行核对如何做： 填写销售价格审审批表，注明报价、折折扣率、利润润率，并

25、在审审批后附上服务成本费用用计算表，依据报价总金金额的不同提提交相关人员员审批。单项项交易金额100万元元，提交副总总经理审批；单项交易金金额=1000万元，提提交总经理审审批。财务部收入会计计从财务系统统中导出当月月销售分类明明细账，将合合计金额与销销售收入科目目余额进行核核对，确保金金额一致；仓库管理员从物物资管理系统统中导出当月月销售出库分分类明细表；财务部收入会计计与仓库管理理员共同针对对销售分类明明细账与销售售出库分类明明细表中的产产品数量和类类别进行核对对。跟进措施：若审批未通过，需修改报价金额或内容，然后再依据修改后的金额提交相应的人员审批。 核对若发现差异异，需查找出出库单、订

26、单单等原始单据据，确定差异异原因。若查查明需要调整财务务或实物账的的，还需要执执行调账程序序。（调账程程序另有控制制制度明确规规定）成果及证据：总经理/副总经经理在销售价价格审批表上上签字。 财务部收入会计计和仓库管理理员编制核对对表，在表中中注明核对结结果，差异原原因，处理方方式，并在表表中签字。控制目标： 确保销售价格经经过适当的授授权确保销售交易入入账的完整性性、真实性和准准确性。二、区分内部控控制与业务活活动无论是COSOO报告还是企业内内部控制基本本规范，均均强调内部控控制是由控制制环境（内部部环境）、风风险评估、控控制活动、信信息与沟通及及内部监督五个要素构成成的整体。内内部控制任

27、何何一个目标的的实现都需要依赖五五大要素的协同作用，实实现全方位保保障。但是在实际操作作中，一些企业对内内部控制五要要素的理解不不够深入，不不能从系统的的高度把握这这些要素 。结果导致这些些企业在内控控建设和评价价过程中，仅仅将工作重心心集中于具体体业务流程的的控制活动中，而忽略了对内内控运行效果果影响更加广泛的控控制环境、风风险评估、监监控等要素，偏离了全面面性和重要性性的原则。企业应当充分关关注控制活动动以外的控制制要素。例如如为实现“财务报告及及相关信息真真实完整”这一控制目目标，不仅需需要销售、采采购、存货管管理等业务流流程中的各类类控制措施发发挥作用，确确保具体会计计账户记录的的真实

28、、完整整、准确，更更加需要控制环境境、风险评估估、信息沟通通和监控等因因素协同作用用，包括：董董事会、管理层对于于财务舞弊的的充分重视、公公司对于员工工行为守则（包括财务从从业人员职业业道德）的深入宣贯、审审计委员会的的有效运行、管管理层对于财财务报告相关关风险的及时时识别与评估估、内外部投诉检举渠道的畅通、内部部审计职能的的有效运行等等等。第二章内部控控制自我评价的概念第一节内部控控制评价与内内部控制自我我评价内部控制评价是是指对内部控控制系统的有效性进进行测试和分分析，形成评评价结果，出出具评价报告告。它包括对对内部控制设设计和内部控控制运行两个个层面的测试和和分析。内部部控制评价报报告中

29、应对企企业的内部控控制状况进行行合理说明，指指出发现的内内部控制体系系的不足之处，并提出出相应的改进进意见。内部控制评价根根据评价主体体的不同，可以分分为外部评价价和内部评价价两种。外部部评价是指由由外部独立机机构，例如外外部审计师或或行业监管单单位等，对企业的内内部控制系统统实施的评价价。内部评价价，是企业对对其自身内部部控制系统实实施的评价，也也就是内部控控制自我评价价。第二节内部控控制自我评价价的概念对于内部控制自自我评价，目目前国内外尚尚没有形成如如同COSOO报告对内部部控制的定义义一样被广泛泛认同并应用用的概念。本文引用了企企业内部控制制评价指引中中的定义，即即企业内部控控制自我评

30、价是指指“企业董事会会或类似权利利机构对内部部控制有效性性进行全面评评价、形成评评价结论、出出具评价报告告的过程”。第三章内部控控制自我评价价的必要性本文第一章第二二节提到，内内部控制自我我评价是内部部控制体系自自我完善过程程中至关重要要的一环。此外，内部部控制自我评评价还有助于于企业强化内内部控制的实实施；通过内内控评价信息息披露，企业业可以提升市市场形象和公公众认可程度度；对于监管管机构而言，通通过强制企业业实施内部控控制自我评价价并披露相关关信息可以对对整个资本市市场的健康发发展起到非常常积极的作用用。一、内部控制自自我评价是企企业强化内部部控制的手段段对内部控制进行行定期评价并并将评价

31、报告披露或提供给外部部信息使用者者，将会强化董事会和和管理层的责任，促促使其加强对对内部控制的的重视程度。董事会和高高级管理人员员对内部控制的高高度重视会促使员工认真真执行既定的的控制政策和和程序。如果果董事会将内内控自我评价价作为对管理理层、部门和和员工表现的的一种考核过过程，那么这这将会对包括高高级管理人员员在内的所有有员工起到较较强的威慑和监督督作用，各类错误和舞舞弊将会随之之减少，内部控制的效效果得以加强强。二、内部控制自自我评价有助助于提升企业业市场形象和和公众认可度度越来越复杂的经经营活动决定定了财务报告告已经不能满满足外部信息息使用者的需需要，他们需需要了解上市市公司更多的的信息

32、才能做做出判断。在在现今诚信危危机日趋严重重的情况下，内内部控制信息息对于外部信信息使用者而而言是一项重重要的决策依依据，投资者者比以往任何何时候都更加加关注内部控控制的信息。公公司通过出具具或公布内部部控制自我评评价报告，让让投资者清晰晰地了解企业业的风险管理理水平、内部部控制状况，有有助于树立诚诚信、透明、负负责任的企业形象象，增强投资资者对企业的的信任度和认认可度，进而而塑造有利的的外部环境，促促进企业的长长远可持续发发展。三、内部控制自自我评价有助助于提高财务务报告等信息息披露的质量量，促进资本本市场健康发发展从理论上讲，内内部控制信息息的披露与财财务报告质量量在一定程度度上存在关联联

33、。对于上市市公司而言，在在被要求进行行内部控制自自我评价并向外部信息息使用者提供供内部控制自自我评价报告告的情况下，公公司董事会和和管理层出于于减轻自身责责任以及公司司长远利益的的考虑，不得得不真正关注注内部控制的的建设和执行情况况，从而不断完善善公司的内部部控制。一旦旦公司具备了健全、有效效的内部控制制，可以消除除财务报告信信息失真的诱诱因，合理保证财务务报告质量。以下对于上上海证券交易所上市公司司的调查数据据可以从财务务报表的会计计差错更正和和外部审计师师审计意见两两方面印证内内控自我评价价对财务报告告质量的影响响：1.自我评价与与会计差错更更正的关系上市公司根据上上交所的要求求于2007

34、年在年度报告中披露内部控制制自我评价报报告后，公司对年报进进行重大差错错更正的情况况统计如表11：表1-沪市公司司对20077年年报做出出重大会计差差错更正的公公司 信息来源：周勤业、吴益兵.2008.沪市上市公司2007年内部控制报告分析；中国会计协会.2010.企业内部控制自我评价与审计.大连出版社数量与比重重按报告情况分类对2007年年年报进行重大大会计差错更更正的公司数数量在同类（披露/未披露）公公司中占比在165家存在在大会计差错错更正的公司司中占比在862家沪市市公司中占比比（1）揭露自我我评价报告公公司1510.4%9.1%1.74%（2）未披露自自我评价报告告公司15020.9

35、%90.9%17.4%合计165-100%19.14%从表1可以看出出，沪市8662家发布20007年年报的的上市公司中中，共有1665家公司随随后进行重大大会计差错更更正，占沪市市862家上市市公司的199.14%。而而在165家进行行重大会计差差错更正的公公司中，仅有有15家公司披披露了自我评评价报告，其其余150家公司司均未披露自自我评价报告告，二者分别别占全部进行行重大会计差差错更正公司司的9.1%和90.9%。在已披露露自我评价报报告的1444家公司中，仅仅有10.44%的公司随随后进行了重重大会计差错错更正，而未未披露自我评评价报告的7718家公司司中，有200.9%的公公司进行了

36、重重大会计差错错更正。因此此可以认为，从从减少重大会会计差错更正正这一角度，管管理层出具自自我评价报告告对改善内部部控制质量有有显著作用，即即管理层通过过对企业内部部控制的自我我评价，可以以及时发现企企业内部控制制缺陷，适时时实施改进方方案，对提高高财务报告的的可靠性有较较为明显的积积极作用。2.自我评价与与审计意见的的关系除了重大会计差差错更正，财财务报告的审审计意见类型型也是衡量上上市公司财务务报告质量的的一个重要指指标，与被出出具标准无保保留意见的公公司相比，无无论是为了提醒醒报表使用者者对强调事项项潜在风险的的关注而出具具的非标准审审计意见报告告，还是由于上市公司司拒绝按审计计调整建议

37、对对会计报表进进行调整以及及审计范围受受到限制而出出具的非标准准意见审计报报告，都表明明被审计单位位内部控制存存在着不同程程度的问题。沪沪市公司20007年非标标准审计意见见情况统计如如表2：表2-沪市公司司2007年非标准审审计意见情况况统计表信息来源：周勤业、吴益兵.2008.沪市上市公司2007年内部控制报告分析；中国会计协会.2010.企业内部控制自我评价与审计.大连出版社信息来源：周勤业、吴益兵.2008.沪市上市公司2007年内部控制报告分析；中国会计协会.2010.企业内部控制自我评价与审计.大连出版社 数量量与比重按报告情况分类被出具非标准意意见公司数量量在同类（披露/未披露）

38、公公司中占比在66家非标准准审计意见的的公司中占比比在862家沪市市公司中占比比（1）揭露自我我评价报告公公司42.78%6.1%0.46%（2）未披露自自我评价报告告公司628.64%93.9%7.19%合计66-100%7.65%表2的结果表明明，沪市8662家发布20007年年报的的上市公司中中，有66家被出具具了非标准审审计意见（其其中48家为加事事项段的无保保留意见，110家为保留留意见，8家为无法表表示意见），占占862家上市市公司的7.65%。在在66家被出具具非标准意见见的公司中，仅仅有4家披露了自自我评价报告告，其余的662家公司均均未披露自我我评价报告，二二者分别占该该类公

39、司的6.11%和93.9%。在已披露露自我评价报报告的1444家公司中，仅仅有4家公司（3家加事项段段的无保留意意见，1家保留意见见）被出具非非标审计意见见，占比为22.78%；而62家被出具具非标审计意意见且未披露露自我评价报报告公司则占占全部未披露露自我评价报报告公司的8.64%。从这一组数数据的对比可可以发现，财财务报告质量量较低的公司司披露内部控控制信息的动动机不足。内内部控制自我我评价报告是是管理当局对对企业内部控控制制度的设设计和执行是是否有效做出出评价，并表表明其对财务务报告和资产产的安全完整整无重大不利利影响，这实实际上表明了了管理当局的的一种合理保保证，同时也也有利于管理理当

40、局对内部部控制存在的的缺陷加以改改进，提高企企业财务报告告的可靠性，因因此，可以在在一定程度上上减少舞弊的的可能性。财财务报告质量量有问题的公公司，由于没没有一个健全全有效的内部部控制对财会会人员、管理理当局形成强强有力的约束束，从而可能能导致他们不不遵守相关的的财务法规，甚甚至粉饰财务务报表。第四章美国内内部控制自我我评价法规指指引对我国企企业的启示有关内部控制自自我评价的法法律法规和指指引是从外部监管管的角度出发发，对企业的的内部控制自自我评价及披露工作给予强制性的的规定抑或参照性的的指引，促使使企业更加规范、有有效地执行内内部控制自我我评价。各国政府及及监管机构在在为所辖企业提出该该如何

41、搭建内内部控制自我我评价体系的的相关规定和和指引前，投投入了大量的的人力、物力力以研究并论论证其将提出出的指引如何何才能具有实实务操作性和和广泛适用性性，并能够切切实解决企业业在实施内部部控制评价的的过程中存在在的普遍疑惑惑和问题。其其中，美国作作为内部控制制评价理论和和实践方面的的领先者，从从2002年萨班斯法法案颁布至今今，经过实践践的摸索、讨讨论、修正和和更新，内部部控制评价（包包括自我评价价和审计师的的独立评价）相关的规定和指引已经较为完善和成熟。美国的先进经验（无论是管理层的内部控制自我评价还是审计师的独立评价），均可为我国企业思考如何搭建内控自我评价体系并实施自我评价提供重要的参考

42、。美国对于内部控控制评价的规规定和指引可可以分为四个层次，即即以萨班斯法案案为代表的立法层面、以SEC为主体的监管层层面、以美国公众会会计监督委员员会（Pubblic CCompanny Acccountiing Ovversigght Booard，简简称PCAOOB）为代表的行行业自律层面以及及以COSOO为代表的专业业研究层面。首先，在以萨班班斯法案为代代表的立法层层面，涉及内内部控制自我我评价的内容容主要包括以以下条款：1、第404条条款，对管理层声声明、内控自我评评价以及外部审计提出基本本要求：上市市公司应当在出具年年度报告的同同时出具一份份内部控制报报告，管理层层须在报告中中声明其

43、对建建立和维护与与财务报告相相关的内部控控制系统的责责任并对公司最近近财政年度与财务报报告相关的内内部控制系统统的有效性进进行评价。该该条款同时还还要求担任公公司年度报告告审计的注册册会计师对管管理层出具的的评价报告进进行鉴证并出出具报告。2、第302条条款，明确了CEOO和CFO对于内内控体系建立立健全以及自自我评价的责责任：上市公司CEEO和CFO应当在其年度度和中期财务务报告上签名确认，表表明他们已阅阅读过该报告告，以及财务务报表在所有有重大方面，公公允地反映了了公司在该报报告期末的财财务状况及该该报告期内的的经营成果；要求CEOO和CFO对建立立及保持公司司内部控制系系统承担责任任，说

44、明公司司设计了所需需的内部控制制，对本公司司内部控制在在签署报告前前90天内的有有效性进行评评估并向外部部审计师及董董事会下属的的审计委员会会说明其存在在的重大缺陷陷和不足；同同时在报告中中指明在他们们对内部控制制评价之后，内内部控制是否否发生了重大大变化，或是是存在其他可可能对内部控控制产生重要要影响的因素素。其次，在监管规规定方面，SECC在萨班斯法案案的基础上出出台了一系列列最终条例用用以规定对法法案的具体执行措施施。其中，与与内部控制自自我评估关系系比较密切的的有：1、2003年年6月颁布的题为财务务报告内部控控制的管理层层报告及对交易法定定期报告中披披露的核证的的最终条例，规定了40

45、44条款遵循的的各种细节性性要求。该条条例提出了“财务报告内内部控制”的操作性定定义；要求管管理层对内部部控制有效性性的评估必须须建立在适当当的、经认可可的内部控制制框架上（比如COSO内部部控制整合框框架）。2、2007年年6月20日发布的的管理层评评估与财务报报告相关的内内部控制的解解释性指南填补了在上市公司司遵循4044条款方面的指南的空白白。该指南属于于解释性，而而非强制性，为为上市公司对对与财务报告告有关的内部部控制进行评评价提供了原原则性指引，旨旨在帮助上市市公司根据自自身的独特情情况和条件，设设计自上而下下的、基于风风险的评估程程序，从而有有效且高效地地完成对其内内部控制机制制的

46、年度评价价工作。3、美国SECC同日发布了了另一最终条条例，修改了了有关上市法法规。主要包包括：修订“实质性漏洞洞”的定义使其其更加容易被被理解；修订订对于审计报告告的要求（不不再要求审计计师对“管理层的评评估是否公允允表达”出具意见，只只要求审计师师对于公司内内部控制的有效性直接出具意意见）。第三，行业自律律方面，PCCAOB作为为对会计师事事务所的行业业监管机构，根据萨班斯法案的要求陆续发布了1至5号审计准则。其中，与萨班斯法案第404条款联系最紧密的是其中的第2号审计准则以及之后取而代之的第5号审计准则“集成在财务报表审计中的与财务报告有关的内部控制审计”：1、PCAOBB第2号审计准则

47、则（PCAOOB Audditingg Stanndardss 2，以下下简称“ASS2”）该准则适用于同同时对客户的的财务报表和和管理层对财财务报告内部部控制有效性性的评估进行行的审计，针针对此类审计，审计师将出具两份审审计意见：一一份针对财务务报告的内部部控制，另一一份针对财务务报表。ASS2明确规定定了管理层责责任、审计师师的责任、审审计的程序、方方法和具体步步骤、控制缺缺陷的评估和和审计意见的的发表等内容容。AS2还对评评价审计委员员会监管的有有效性、利用用他人的工作作、管理层对对内部控制的的声明、财务务报告内部控控制审计与财财务报表审计计的关系等作作了具体规定定。AS2的划时时代意义

48、是不不容辩驳的。过去，内部控制仅是管理者考虑的事情，而随着AS2的颁布，审计师也要对内部控制进行详细的测试和检查。这一举措将对投资者起到重要的保护作用，因为稳固的内部控制是抵御不当行为的头道防护线，是有效的威慑舞弊的防范措施。但在实际执行过程中，AS2也使审计工作更加复杂，进而使公司付出了巨额的审计费用。因此，AS2的编写思路、详尽程度、审计过程、审计方法等受到审计师和公司管理层的质疑，随着时间的推移以及法规设计思路的转变，AS2的修订工作越来越变得势在必行。2、PCAOBB第5号审计准则则（PCAOBB Audiiting Standdards 5，以下简称“AS5”）2007年7月月，在获

49、得SECC的批准后，PPCAOB第第5号审计准则则“集成在财务务报表审计中中的与财务报报告有关的内内部控制审计计”取代了第2号审计准则则。AS5一方面面将继续加强强揭示内部控控制重大薄弱弱环节、降低低财务报表出出现重大误导导可能性的能能力，另一方方面也减少了不必要的审审计要求，并并对小公司和和非复杂公司司的内部控制制审计做出进进一步规定。这这也标志着，在在经过希望企企业监管规定定和法律具有有更大灵活性性的各行业组组织的推动下下，监管机构构所做出的最大让让步。AS55对AS2做出的的重要变化主主要体现在四四个方面：第第一，强调风风险评估。审审计师可以通通过对风险的的评估来调整整审计程序和和选择审

50、计重重点，将精力力集中于那些些可能导致重重大错报的领领域，以提高高审计效率；第二，取消消不必要的审审计程序。如如删除审计师师评价管理层层自身评价过过程并出具意意见的要求；第三，明确确审计工作可可以视公司的规规模和复杂程程度而进行伸伸缩调整；第第四，简化准准则要求，精精简审计程序序。AS2中过于于详尽具体的的要求限制了了审计人员的的专业判断和和灵活选择审审计策略的可可能，而ASS5改为以原原则化的要求求指导审计人人员的操作，并并精简了相关关的审计程序序，以增强准准则的灵活性性和适用性。在提高了审计效率的同时，企业为遵循法案而付出的成本也随之降低。最后，在内部控控制的专业研研究方面，COSO委员员

51、会作为美国内部控制制的专业研究究机构，对美国内部控控制自我评价价制度体系的的贡献和影响响也是十分深远而广泛的。例如如，出于灵活活性的考虑，SEC虽然未对内部控制评价的框架进行强制性要求，大多数公司已将COSO内部控制整合框架作为其内部控制评价的框架标准。经实践检验，COSO内部控制整合框架已然成为全球最为权威的内控框架；为了引导小型公司的内部控制评价工作并同时考虑成本与效益原则，COSO还于2006年发布了财务报告内部控制小型上市公司指引，从而给予小型上市公司更加具体并贴合实际的指导；此外，COSO于2004年颁布的企业风险管理整合框架，将原有的内部控制整合框架纳入其中。该框架充分体现了风险评

52、估与内部控制的密不可分，二者应作为一个有机的整体为企业目标的实现而保驾护航。综上所述，美国国对于内部控控制评价的规规定和指引中中有如下几点点值得我国企企业思考和借鉴：1、强化管理层层责任SOX法案严格格界定了公司司管理层对于于与财务报告告相关的内部部控制的责任任和义务，并并对违反财务务报表披露要要求的行为分分别规定了民民事和刑事处处罚的要求。SOX法案作为联邦层次的法律，是美国政府制定的涉及范围最广、处罚措施最严厉且最具影响力的公司法律之一。自SOX法案实施以来，美国企业从CEO、CFO到普通员工，均能够严肃认真地对待法规遵循工作，使公司内部治理的质量不断提高。可见，通过立法的方式强化企业管理

53、层的责任，对于提高企业内部控制水平起到了显著的促进作用。2、基于风险、自自上而下的评价方法美国企业对萨班班斯的遵循经经验证明，内内控评估过于于公式化或细细节过多，会会导致相关工作作不能集中在风险险上，评价效效果可能无法法达到相关法法规要求。理理想的评价方法是将将资源用于风风险最大的领领域，避免无无视风险水平平高低而对所所有重要账户户和相关控制制一视同仁；财务报告内内部控制评估估若能集中在在最有可能对对财务报表造造成重大影响响的财务报表表账户和披露露相关的流程程和交易类别别的相关控制制上，将会更更为有效。因此，无论是对对于管理层的的自我评价还还是外部审计计师的独立评评价，美国SSEC和PCCAO

54、B均提提出了“基于风险、自自上而下”的理念。所谓谓“基于风险”，是指对于于内部控制所所实施的一系系列评价工作作均应从了解解风险开始。而而“自上而下”是对评价人员在在识别风险及及确定评价范范围时思维过过程的表述。在对与财务务报告相关的的内部控制进进行评价时，管理层/审计师首先应了解与财务报告相关的整体风险。然后，将重点放在公司层面的控制上，并将工作逐渐下移至重大账户、列报及相关的认定。评价人员需要利用日常经验积累和专业判断将注意力集中在最有可能导致财务报表及相关列表的重大错报的领域上，对相应的内部控制进行测试。在测试过程中，管理层和审计师还应通过专业判断确定控制测试的性质、范围和时间，对于低风险

55、与高风险领域控制的测试水平有所不同。运用“基于风险险、自上而下下”的理念，可可以使评价方方法更加贴近近企业的实际际情况和重要要领域，评价价人员既可以以提高工作效效率又可以保保证工作效果果。3、控制组合的的概念SEC指出，部部分遵循萨班斯法法案的企业由由于经验有限，识别出的的需要测试的的控制多为单个环节节，而没有充充分运用“控制组合”的理念。SEC建议议管理层将测测试重点放在在控制目标以以及用于实现现控制目标的的控制组合上上，而不仅仅仅是单个的控制。而且，出于确确定控制组合合运行有效性性的目的，管理层层不必测试该该控制组合的每一环环节或控制。4、利用经验积积累提高灵活活性和工作效率SEC认为，管

56、管理层可以利用其自自身在日常经经营管理中以以及历年的评评价工作中积积累的经验，采用灵灵活的评价方方法，提高工工作效率。比比如：管理层利用前一一年的内控评评价结果，为下一年度度评价范围的的确定提供判判断依据；管理层可以基于于对风险的判判断，逐年调调整测试的性性质、范围、时时间，即在某些年年度深入测试试选定的内控控领域而在其其它领域进行行较少测试，每每年可以对测测试重点进行行调整。 管理层通过日常常经营及监控控工作可以亲亲自执行或接接触某些内控控制，在许多多情况下，管管理层可以通通过这些工作作获取年度自自我评价所需需的证据，进进而合理得出出截至年度报报告日内部控控制有效运行行的结论。第五章企业内内

57、部控制评价价体系的建设设虽然企业内部部控制评价指指引对内部部控制自我评评价的责任机机构、评价原原则、评价内内容、评价程程序、缺陷认认定以及内部部控制评价报报告等进行了了明确规定，但但企业不应当当直接将其作作为实施具体体评价工作的的工具书。对对于国内一般般企业而言，如如何建立一个个科学的内部部控制评价体体系是面临的的首要问题。传统的内部部控制评价一一般只关注具具体的评价程程序和方法，忽忽略了此项工工作作为一个个完整的体系系需要考虑的的因素和必要要环节，例如如：一些企业业没有针对内内部控制自我我评价工作搭搭建系统的组织架架构、确定职职责分工；一一些企业忽略略了风险评估估环节，没有有将其充分地地融入

58、至内部部控制自我评评价过程中；还有一些企企业没有将自自我评价与考考核机制挂钩钩等等。企业业内控自我评评价体系中任任何一个环节节的缺失或任任何一个要素素被忽略都会会影响自我评评价工作目标标的实现，鉴鉴于此，实施施评价的企业业应考虑根据企企业内部控制制评价指引的的相关要求，结结合企业实际际情况，搭建建一套适合自自己的内部控控制评价体系系。企业内部控制自自我评价体系系三维模型正如COSO内内部控制整体体框架一样，企企业同样可以以借鉴三维模模型的思路，建建立自己的内内部控制评价价体系。如上图所示，三三维立体模型的的纵剖面代表表内部控制自自我评价的目目标，即确保自我我评价的全面面性、重要性性和客观性。横

59、剖面由五大大要素构成，即自我评价价的组织与人人员、风险评评估、方法与与程序、信息息与沟通、监监督与考核。模型的侧剖面代表组成企业的各个分支机构或者功能和流程。该体系五大要素中的某一个元素能够对所有目标的实现发挥作用；内部控制三类目标中的任一目标的实现，均需要五大要素共同发挥作用，缺一不可；同样，为实现自我评价的目标，企业需要考虑五大要素如何在相应的机构层级、业务单元和流程中发挥作用。以下是对内部控制自我评价体系目标和要素内涵的介绍：内部控制自我评评价目标企业实施内部控控制评价至少少应当满足三三方面目标，即即全面性、重重要性和客观观性。“全面性”要求企业的的评价工作应应当包括内部部控制的设计计与

60、运行，涵涵盖企业及其其所属单位的的各种业务和和事项；“重要性”要求企业的的评价工作应应当在全面评评价的基础上上，关注重要要业务单位、重重大业务事项项和高风险领领域；“客观性”要求企业的的评价工作应应当准确地揭揭示经营管理理的风险状况况，如实反映映内部控制设设计与运行的的有效性。组织与人员企业治理层和经经理层应充分分重视内部控控制评价，并并保证给予充充分的资源；被评价人员员能充分理解解内部控制评评价的作用，并并给予充分的的配合；与内内部控制评价价有关的组织织架构和职责责划分清晰完完善，能保证证评价人员具具有充分的独独立性和权威威性；评价人人员具有相关关专业技能和和胜任能力。风险评估识别并评估影响