課題：內部控制自我評價

目錄

前言...............................................................2

第一章內部控制概論.............................................5

第一節(jié)內部控制的定義........................................................5

第二節(jié)內部控制運行過程......................................................6

第三節(jié)企業(yè)對內部控制理解的誤區(qū).............................................7

第二章內部控制自我評價的概念..................................11

第一節(jié)內部控制評價與內部控制自我評價.....................................11

第二節(jié)內部控制自我評價的概念..............................................11

第三章內部控制自我評價的必要性................................12

第四章美國內部控制自我評價法規(guī)指引對我國企業(yè)的啟示..........16

第五章企業(yè)內部控制評價體系的建設..............................22

第一節(jié)企業(yè)內部控制自我評價體系三維模型...................................22

第二節(jié)組織與人員...........................................................25

第三節(jié)風險評估.............................................................29

第四節(jié)方法與程序...........................................................51

第五節(jié)信息與溝通...........................................................61

第六節(jié)監(jiān)督與考核...........................................................63

前言

一、課題背景

進入21世紀以來，美國證券市場相繼爆發(fā)了安然、世界通訊、施樂、默克

制藥等一系列財務造假丑聞，這些丑聞使人們對美國上市公司信息披露的真實性

產生質疑，動搖了包括美國在內的全球投資者對美國資本市場的信心，同時暴露

出美國公司治理結構的不平衡和外部監(jiān)督的缺失，為美國經濟前景蒙上了陰影。

為了提高民眾對美國資本市場、政府經濟政策的信心，消除對上市公司財務報表

真實性的擔憂，2002年7月30日美國總統(tǒng)布什簽署了《薩班斯-奧克斯利法案》

（以下簡稱“薩班斯法案”）o薩班斯法案的出臺不僅對美國資本市場產生了巨大

的影響，它也引發(fā)了其他國家監(jiān)管機構對內部控制的高度重視。各國紛紛借鑒美

國的經驗，制定了一系列的監(jiān)管規(guī)定，對企業(yè)內部控制的建設、評價和披露提出

相關要求。

近年來，我國從國內企業(yè)的實際情況出發(fā)，吸收了國際上的先進成果，在內

部控制相關制度體系的構建方面取得了顯著進展。特別是2008年6月，財政部、

證監(jiān)會、審計署、4艮監(jiān)會及保監(jiān)會五部委聯合發(fā)布了《企業(yè)內部控制基本規(guī)范》，

從內部環(huán)境、風險評估、控制活動、信息與溝通以及內部監(jiān)督五大要素的角度，

對于中國企業(yè)應如何建立和維持有效的內部控制提出了原則性的要求，建立了具

有中國特色的內部控制框架。同時，基本規(guī)范還要求適用企業(yè)對內部控制有效性

進行自我評價，披露年度自我評價報告，并可聘請會計師事務所對內部控制的有

效性進行審計。此后，財政部等五部委又于2010年4月發(fā)布了《企業(yè)內部控制

應用指引》、《企業(yè)內部控制評價指引》和《企業(yè)內部控制審計指引》作為《企

業(yè)內部控制基本規(guī)范》的配套指引，指導企業(yè)開展內控建設和評價工作，指導審

計師實施內部控制審計。

上述規(guī)范和指引均屬原則性要求，企業(yè)只有在實施過程中準確理解并靈活運

用這些原則，才能使企業(yè)內部控制的有關工作可以事半功倍。特別是，對于按規(guī)

定須于2011年1月1日起施實《企業(yè)內部控制基本規(guī)范》和配套指引的企業(yè)，

做好內部控制的自我評價工作并按照相關監(jiān)管規(guī)定，按時、保質的披露自我評價

報告更是迫在眉睫。許多企業(yè)由于是第一次從事內部控制的自我評價工作，缺乏

相關工作經驗或相關工作經驗有限，在實踐過程中，當突然遇到這樣或那樣的實

際操作性問題時就會覺得事發(fā)突然，無從下手，難以把握，因而會非常急切地希

望了解其他具有相關經驗的企業(yè)和咨詢機構在面對同樣的問題時如何應對。在上

述背景下，本課題以探討企業(yè)在內部控制自我評價過程中可能遇到的問題為出發(fā)

點，從理論應用和實例分析兩個緯度展開研究。

二、思路及內容概述

第一章，內部控制概論。準確理解內部控制的內涵是研究和實施內部控制自

我評價的首要前提。內部控制自我評價工作難以有效實施的問題之一是參與評價

的人員沒能真正了解什么是內部控制，在執(zhí)行相關工作過程中，將控制活動與內

部管理制度或一般經營活動相混淆。對評價對象的錯誤理解，導致企業(yè)內部控制

自我評價工作的工作效率低，成效差，表面上看好像沒有發(fā)現問題，實際上，真

正的控制點沒能被包括在測試范圍內，而未測試控制點的失效可能引發(fā)的風險被

掩蓋，無人察覺。另一方面，對內部控制的不理解，也使參與內部控制自我評價

工作的評價人員無法充分發(fā)揮主觀能動性，積極地參與到內部控制的持續(xù)完善工

作中。因此，本文在開篇對內部控制的內涵進行了介紹，以明確本文所研究的內

部控制的具體含義，從而為后文的研究及觀點闡述奠定基礎。

第二章，內部控制自我評價的概念。在闡明內部控制的涵義后，本章節(jié)對本

文的研究對象一“內部控制自我評價”的^念進行界定。

第三章，內部控制自我評價的必要性。對于企業(yè)來說，實施內部控制自我評

價不僅是為了應付監(jiān)管機構的要求，同時也是企業(yè)自身健全內部控制體系、防范

風險的需要。本章節(jié)論述了內部控制自我評價工作在內控體系建設、財務報表質

量以及企業(yè)形象等三方面的重要作用，進而說明企業(yè)做好內部控制自我評價的意

義。

第四章，內部控制自我評價相關法規(guī)和指引。各國政府及監(jiān)管機構在為所轄

企業(yè)提出該如何搭建內部控制自我評價體系的相關規(guī)定和指引前均投入了大量

的人力物力，以研究并論證其將提出的指引如何才能具有實務操作性和廣泛適用

性，并能夠切實解決企業(yè)在實施內部控制評價的過程中存在的普遍疑惑和問題。

因而，這些法規(guī)和指引對于企業(yè)具有重要的借鑒意義。本章節(jié)將美國與中國有關

內部控制自我評價的監(jiān)管制度體系和法規(guī)要求進行了比對分析，為企業(yè)深入思考

該如何搭建適用于本企業(yè)的內部控制自我評價體系提供了更為廣泛的參考信息。

第五章，企業(yè)內部控制自我評價體系的建設。眾多國內企業(yè)在搭建自身的內

部控制評價體系的過程中往往只關注評價程序和方法這兩個方面的內容，而忽略

了僅有程序和方法可能無法確保評價工作能夠有效地持續(xù)開展。正如建立一個有

效的內部控制體系需要內部環(huán)境、風險評估、控制活動、信息與溝通和內部監(jiān)督

這五要素相輔相成，內部控制自我評價工作的有效進行也需要一個完整的體系來

提供全方位的保障。企業(yè)可以考慮從組織與人員、風險評估、方法與程序、信息

與溝通、監(jiān)督與考核這五方面著手建立企業(yè)內部控制自我評價體系。本章內容從

組織與人員、風險評估、方法與程序、信息與溝通、監(jiān)督與考核這五個方面展開，

其中各小節(jié)均從企業(yè)內部控制自我評價過程中可能存在的問題入手展開分析，提

示企業(yè)予以關注。

第一章內部控制概論

第一節(jié)內部控制的定義

1992年，美國反欺詐財務報告全國委員會(NationalCommissiononFraudulent

FinancialReporting)的發(fā)起組織委員^(CommitteeofSponsoringOrganizations,

簡稱COSO)發(fā)布了著名的《內部控制——整合框架》，即“COSO報告”，提出

了內部控制整體框架思想，將內部控制定義為：“內部控制是一個由企業(yè)的董事

會、管理層和其他人員實現的過程，旨在為下列目標提供合理保證：一是財務報

告的可靠性；二是經營的效果和效率；三是符合適用的法律法規(guī)。"COSO報告

將內部控制結構劃分為五個部分，分別是控制環(huán)境、風險評估、控制活動、信息

與溝通、監(jiān)督。COSO報告對于內部控制的定義在歷經了多年的實踐考驗后，已

成為國際公認的理念，COSO內部控制框架也被廣泛地作為企業(yè)內部控制體系建

立與評價的標準。

通過借鑒國外的先進經臉和多年的實踐摸索，隨著《企業(yè)內部控制基本規(guī)范》

的頒布，我國對于內部控制涵義的解讀已取得了重大的突破并與國際先進理念接

軌。2008年5月，財政挈等五部委在聯合發(fā)布的《企業(yè)內部控制基本規(guī)范》中對

內部控制進行了如下定義：“內部控制是由企業(yè)董事會、監(jiān)事會、經理層和全體

員工實施的、旨在實現控制目標的過程”。內票控制目標為五個方面，即合理保

證企業(yè)經營管理合法合規(guī)、資產安全、財務報告及相關信息真實完整，提高經營

效率和效果，促進企業(yè)實現發(fā)展戰(zhàn)略。

這一定義首先強調了企業(yè)領導者尤其是董事會、監(jiān)事會和經理層在建立與實

施內部控制中的重要作用；其次，明確了內部控制是全體員工的共同責任；此外，

明確指出內部控制是一個動態(tài)的^念，是對企業(yè)生產經營過程的控制，也是對實

現企業(yè)發(fā)展目標的控制，同時還是一個不斷優(yōu)化、完善的過程；最重要的是，該

定義將內部控制目標在“合法合規(guī)、財務可靠、經營效率與效果”的基礎上進行了

細分和擴展：一方面將“資產安全''目標從財務報告目標中細分出來，另一方面增

加了“促進企業(yè)實現發(fā)展戰(zhàn)略”的目標。該定義對中國企業(yè)的內控體系建設提出了

進一步的要求，企業(yè)需要通過內控體系的建立和完善，在經營效率和效果方面更

上一層樓，從而促進企業(yè)實現發(fā)展戰(zhàn)略。

第二節(jié)內部控制運行過程

如前所述，內部控制不是靜態(tài)的，而是一持續(xù)優(yōu)化和完善的過程。這一^過

程是由設計、執(zhí)行、評價和改進四個環(huán)節(jié)所構成的閉環(huán)。其中：

一、內部控制的設計

企業(yè)需要針對影響目標實現的風險進行識別、評估和應對，為確保有效實施

風險應對，企業(yè)需要設計一整套內部控制體系。內部控制設計是內部控制循環(huán)的

基礎。內部控制設計的載體通常是企業(yè)制定的各種內部控制制度。

二、內部控制的執(zhí)行

內部控制執(zhí)行是對內部控制設計的運用。內部控制設計的再完美，若不加以

實施就如同紙上談兵，毫無意義。

三、內部控制的評價

正如一個健康的人也需要定期體檢一樣，任何一個完善的體系都離不開有效

的反饋機制，只有定期通過反饋機制對整個體系的運作狀況進行綜合評價，其構

建者與維護者才能識別體系中的薄弱環(huán)節(jié)，以采取相應的改進措施，促進體系的

不斷完善。因此，要建立良好的內部控制體系也需要一套行之有效的反饋機制，

即對內部控制系統(tǒng)的健全性、合理性和有效性進行評價，以實現對內部控制系統(tǒng)

的“再控制”C具體而言，內部控制評價是從設計和執(zhí)行兩個層面對內部控制的有

效性進行測試、分析，并對內部控制設計和執(zhí)行是否有效做出評價。內部控制評

價是內控過程中非常重要的一個環(huán)節(jié)，或者說是一個承前啟后的環(huán)節(jié)。評價既是

對已有控制的總結，又是未來改進控制體系的重要依據。評價過程中，通過對內

部控制系統(tǒng)進行分析和測試，形成評價報告。評價報告既要反映內部控制的現狀,

還要說明內部控制的不足之處，并提出改進建議。

四、內部控制的改進

企業(yè)管理當局應根據內控改進建議對企業(yè)的內部控制系統(tǒng)實施改進措施。經

過改進的內部控制又將形成內部控制系統(tǒng)中新的組成部分，成為以后內部控制評

價的對象。

內部控制系統(tǒng)運行的四個環(huán)節(jié)環(huán)環(huán)相扣、循環(huán)往復構成一個完整的內部控制

運行過程。現實中，并不存在一勞永逸的內部控制系統(tǒng)，內部控制系統(tǒng)必須隨著

企業(yè)內外部環(huán)境的變化，不斷改進。因此，企業(yè)應當長期持續(xù)的開展內部控制評

價，及時對自身的內部控制體系加以改進以適應新的變化和要求。

第三節(jié)企業(yè)對內部控制理解的誤區(qū)

雖然我國在內部控制理論方面已建立了權威的框架，但是許多企業(yè)在執(zhí)行相

關工作的過程中對于內部控制的理解仍然存在誤區(qū)，突出表現為兩方面：一是將

內部控制與企業(yè)內部管理制度相混淆：二是將內部控制與業(yè)務活動相混淆，未能

深刻認識到內部控制是一個完整的“體系”。以下，將以示例的方式從上述兩個方

面分別闡述，輔助企業(yè)正確理解內部控制的涵義并準確地將其運用到內部控制評

價工作中。

一、區(qū)分內部控制與管理制度

一些企業(yè)認為，為滿足日常經營管理的需要，企業(yè)已經制定了一系列內部管

理制度并對企業(yè)日常經營活動提出了全面的要求，這些管理要求即構成了企業(yè)的

內部控制體系。這種理解過于片面，一方面忽咯了內部控制作為一個動態(tài)的“過

程“，需要依賴企業(yè)全員的“實施”，另一方面沒有考慮企業(yè)的內部管理制度本身是

否具備操作性，可以被執(zhí)行和評價。

從內部控制的定義可以看出，內部控制作為一個動態(tài)的過程，若需發(fā)揮作用，

即實現戰(zhàn)略、經營、報告、合規(guī)以及資產安全等目標，必須依賴于企業(yè)董事會、

監(jiān)事會、經理層和全體員工的實施。因此，內部控制是一項活動或一系列活動的

組合，而不是靜止在書面形態(tài)的制度和要求。如果某個制度或某項管理要求沒有

被實施，那么它應當僅僅被視為游離于內部控制體系之外的一篇文字而已，不構

成任何內部控制。

當然，制度和要求與內部控制之間也存在聯系。如果企業(yè)在實際操作中對于

某項控制措施已經形成了慣例并且控制效果顯著，那么管理層必然希望該項控制

措施未來能夠一貫有效她執(zhí)行下去，不受人員更替的影響。在此情況下，管理層

需要將這項良好的慣例形成朽面規(guī)定，要求相關人員比照執(zhí)行，同時還可以依據

這一書面規(guī)定衡量相關人員的工作是否到位，落實問責。另外，對于實際操作中

欠缺的控制措施，管理層亦可通過制定具備操作性的管理制度來要求相關人員照

章執(zhí)行，從而構成真正意義上的內部控制。

總之，內部管理制度本身并不足以構成內部控制，但可以促進內部控制一貫

有效的執(zhí)行。下面要解決的問題是何為具有操作性的管理制度，以某公司的《銷

售與收款管理制度》為例，其中規(guī)定：

1）銷售價格的確定須經總經理審批或授權；

2）要將銷售與發(fā)貨記錄進行核對，確保賬賬相符，財務記錄符合權責發(fā)生制。

從管理者的角度看來，上述兩項規(guī)定確實對銷售和收款過程中的關鍵環(huán)節(jié)

（價格審批、賬賬核對）提出了要求，這也是國內企業(yè)典型的管理制度的編制方

式。但是銷售業(yè)務相關部門和人員在執(zhí)行中可能存在許多疑問，比如：對于規(guī)定

1,由誰負責發(fā)起并處理價格審批？總經理口頭批準即可，還是提交書面審批表？

在什么情況下總經理可以授權其他人審批，授權給誰？對于規(guī)定2,銷售和發(fā)貨

信息從何而來，對應的職責部門/人員是誰，信息載體是什么？多久核對一次？出

現差異怎么力、？執(zhí)行人員帶著這些疑問開展日常工作，一方面可能導致根據個人

的經驗判斷而開展工作，與管理者意圖存在偏差；另一方面也可能導致個別人故

意利用管理要求中的“灰色空間''而謀取個人利益，增加舞弊風險。因此，這樣的

管理制度在給執(zhí)行人員帶來困擾的同時，也不足以支撐企業(yè)的經營管理和內控評

價工作。

一項具有操作性的內部控制制度規(guī)定至少應明確如下基本要素:

基本要素以規(guī)定（1）為例以規(guī)定（2）為例

誰：客戶經理物資部倉庫管理員、財務部收入會計

何時：在簽訂銷售合同前每月末

控制活取得總經理或適當被授權人對銷售價將銷售的財務記錄與實物發(fā)貨記錄進行核

動：格的審批對

財務部收入會計從財務系統(tǒng)中導出當月銷

填寫銷售價格審批表，注明報價、折扣

售分類明細賬，將合計金額與銷售收入科

率、利潤率，并在審批后附上服務成本

目余額進行核對，確保金額一致；

如何做：費用計算表，依據報價總金額的不同提

交相關人員審批。單項交易金額＜100倉庫管理員從物資管理系統(tǒng)中導出當月銷

萬元，提交副總經理審批；單項交易金售出庫分類明細表；

額〉=100萬元，提交總經理審批。財務部收入會計與倉庫管理員共同針對銷

售分類明細賬與銷售出庫分類明細表中的

產品數量和類別進行核對。

核對若發(fā)現差異，需查找出庫單、訂單等

若審批未通過，需修改報價金額或內

跟進措原始單據，確定差異原因。若查明需要調

容，然后再依據修改后的金額提交相應

施：整財務或實物賬的，還需要執(zhí)行調賬程序。

的人員審批。

（調賬程序另有控制制度明確規(guī)定）

財務部收入會計和倉庫管理員編制核對

戌果及證總經理/副總經理在銷售價格審批表上

表，在表中注明核對結果，差異原因，處

據：簽字。

理方式，并在表中簽字。

控制目確保銷售交易入賬的完整性、真實性和準

確保銷售價格經過適當的授權

標：確性。

二、區(qū)分內部控制與業(yè)務活動

無論是COSO報告還是《企業(yè)內部控制基本規(guī)范》，均強調內部控制是由控

制環(huán)境（內部環(huán)境）、風險評估、控制活動、信息與溝通及內部監(jiān)督五個要素構

成的整體。內部控制任何一個目標的實現都需要依賴五大要素的協同作用，實現

全方位保障。

但是在實際操作中，一些企業(yè)對內部控制五要素的理解不夠深入，不能從系

統(tǒng)的高度把握這些要素。結果導致這些企業(yè)在內控建設和評價過程中，僅將工

作重心集中于具體業(yè)務流程的控制活動中，而忽略了對內控運行效果影響更加廣

泛的控制環(huán)境、風險評估、監(jiān)控等要素，偏離了全面性和重要性的原則。

企業(yè)應當充分關注控制活動以外的控制要素。例如為實現“財務報告及相關

信息真實完整''這一控制目標，不僅需要銷售、采購、存貨管理等業(yè)務流程中的

各類控制措施發(fā)揮作用，確保具體會計賬戶記錄的真實、完整、準確，更加需要

控制環(huán)境、風險評估、信息溝通和監(jiān)控等因素協同作用，包括：董事會、管理層

對于財務舞弊的充分重視、公司對于員工行為守則（包括財務從業(yè)人員職業(yè)道德）

的深入宣貫、審計委員會的有效運行、管理層對于財務報告相關風險的及時識別

與評估、內外部投訴檢舉渠道的暢通、內部審計職能的有效運行等等。

第二章內部控制自我評價的概念

第一節(jié)內部控制評價與內部控制自我評價

內部控制評價是指好內部控制系統(tǒng)的有效性進行測試和分析，形成評價結果,

出具評價報告。它包括對內部控制設計和內部控制運行兩個層面的測試和分析。

內部控制評價報告中應對企業(yè)的內部控制狀況進行合理說明，指出發(fā)現的內部控

制體系的不足之處，并提出相應的改進意見。

內部控制評價根據評價主體的不同，可以分為外部評價和內部評價兩種。外

部評價是指由外部獨立機構，例如外部審計師或行業(yè)監(jiān)管單位等，對企業(yè)的內部

控制系統(tǒng)實施的評價。內部評價，是企業(yè)對其自身內部控制系統(tǒng)實施的評價，也

就是內部控制自我評價。

第二節(jié)內部控制自我評價的概念

對于內部控制自我評價，目前國內外尚沒有形成如同COSO報告對內部控制

的定義一樣被廣泛認同并應用的概念。

本文引用了《企業(yè)內部控制評價指引》中的定義，即企業(yè)內部控制自我評價

是指“企業(yè)董事會或類似權利機構對內部控制有效性進行全面評價、形成評價結

論、出具評價報告的過程

第三章內部控制自我評價的必要性

本文第一章第二節(jié)提到，內部控制自我評價是內部控制體系自我完善過程中

至關重要的一環(huán)。此外，內部控制自我評價還有助于企業(yè)強化內部控制的實施;

通過內控評價信息披露，企業(yè)可以提升市場形象和公眾認可程度；對于監(jiān)管機構

而言，通過強制企業(yè)實施內部控制自我評價并披露相關信息可以對整個資本市場

的健康發(fā)展起到非常積極的作用。

一、內部控制自我評價是企業(yè)強化內部控制的手段

對內部控制進行定期評價并將評價報告披露或提供給外部信息使用者，將會

強化董事會和管理層的責任，促使其加強對內部控制的重視程度。董事會和高級

管理人員對內部控制的高度重視會促使員工認真執(zhí)行既定的控制政策和程序。如

果董事會將內控自我評價作為對管理層、部門和員工表現的一種考核過程，那么

這將會對包括高級管理人員在內的所有員工起到較強的威懾和監(jiān)督作用，各類錯

誤和舞弊將會隨之減少，內部控制的效果得以加強。

二、內部控制自我評價有助于提升企業(yè)市場形象和公眾認可度

越來越復雜的經營活動決定了財務報告已經不能滿足外部信息使用者的需

要，他們需要了解上市公司更多的信息才能做出判斷。在現今誠信危機日趨嚴重

的情況下，內部控制信息對于外部信息使用者而言是一項重要的決策依據，投資

者比以往任何時候都更加關注內部控制的信息。公司通過出具或公布內部控制自

我評價報告，讓投資者清晰地了解企業(yè)的風險管理水平、內部控制狀況，有助于

樹立誠信、透明、負責任的企業(yè)形象，增強投資者對企業(yè)的信任度和認可度，進

而塑造有利的外部環(huán)境，促進企業(yè)的長遠可持續(xù)發(fā)展。

三、內部控制自我評價有助于提高財務報告等信息披露的質量，促進資本市

場健康發(fā)展

從理論上講，內部控制信息的披露與財務報告質量在一定程度上存在關聯。

對于上市公司而言，在被要求進行內部控制自我評價并向外部信息使用者提供內

部控制自我評價報告的情況下，公司董事會和管理層出于減輕自身責任以及公司

長遠利益的考慮，不得不真正關注內部控制的建設和執(zhí)行情況，從而不斷完善公

司的內部控制。一旦公司具備了健全、有效的內部控制，可以消除財務報告信息

失真的誘因，合理保證財務報告質量。以下對于上海證券交易所上市公司的調查

數據可以從財務報表的會計差錯更正和外部審計師審計意見兩方面印證內控自

我評價對財務報告質量的影響：

1.自我評價與會計差錯更正的關系

上市公司根據上交所的要求于2007年在年度報告中披露內部控制自我評價

報告后，公司對年報進行重大差錯更正的情況統(tǒng)計如表1:

表1.滬市公司對2007年年報做出重大會計差錯更正的公司?

\^1量與比重對2007年年報在同類（披露/在165家存在862家滬市

進行重大會計未披露）公司在大會計差公司中占比

按報告

差錯更正的公錯更正的公

i信息來源：周初業(yè)、吳益兵.2008,滬市上市公司2007年內部控制報告分析；中國會計協會.2010.企業(yè)內部控制自

我評價與審計.大連出版社

司數量中占比司中占比

(1)揭露自我評1510.4%9.1%1.74%

價報告公司

(2)未披露自我15020.9%90.9%17.4%

評價報告公司

合計165-100%19.14%

從表1可以看出，滬市862家發(fā)布2007年年報的上市公司中，共有165家

公司隨后進行重大會計差錯更正，占滬市862家上市公司的19.14%。而在165

家進行重大會計差錯更正的公司中，僅有15家公司披露了自我評價報告，其余

150家公司均未披露自我評價報告，二者分別占全部進行重大會計差錯更正公司

的9.1%和90.9%。在已披露自我評價報告的144家公司中，僅有10.4%的公司隨

后進行了重大會計差錯更正，而未披露自我評價報告的718家公司中，有20.9%

的公司進行了重大會計差錯更正。因此可以認為，從減少重大會計差錯更正這一

角度，管理層出具自我評價報告對改善內部控制質量有顯著作用，即管理層通過

對企業(yè)內部控制的自我評價，可以及時發(fā)現企業(yè)內部控制缺陷，適時實施改進方

案，對提高財務報告的可靠性有較為明顯的積極作用。

2.自我評價與審計意見的關系

除了重大會計差錯更正，財務報告的審計意見類型也是衡量上市公司財務報

告質量的一個重要指標，與被出具標準無保留意見的公司相比，無論是為了提醒

報表使用者對強調事項潛在風險的關注而出具的非標準審計意見報告，還是由于

上市公司拒絕按審計調整建議對會計報表進行調整以及審計范圍受到限制而出

具的非標準意見審計報告，都表明被審計單位內部控制存在著不同程度的問題。

滬市公司2007年非標準審計意見情況統(tǒng)計如表2:

表2.滬市公司2007年非標準審計意見情況統(tǒng)計表2

數量與比重被出具非標在同類（披露在66家非標在862家滬市

準意見公司/未披露）公準審計意見公司中占比

按

數量司中占比的公司中占

情況分類比

（1）揭露自我評價42.78%6.1%0.46%

報告公司

（2）未披露自我評628.64%93.9%7.19%

價報告公司

合計66-100%7.65%

表2的結果表明，滬市862家發(fā)布2007年年報的上市公司中，有66家被出

具了非標準審計意見（其中48家為加事項段的無保留意見，10家為保留意見，8

家為無法表示意見），占862家上市公司的7.65%。在66家被出具非標準意見的

公司中，僅有4家披露了自我評價報告，其余的62家公司均未披露自我評價報

告，二者分別占該類公司的6.1%和93.9%。在已披露自我評價報告的144家公司

中，僅有4家公司（3家加事項段的無保留意見，1家保留意見）被出具非標審

計意見，占比為2.78%;而62家被出具非標審計意見且未披露自我評價報告公司

則占全部未披露自我評價報告公司的8.64%。從這一組數據的對比可以發(fā)現，財

務報告質量較低的公司披露內部控制信息的動機不足。內部控制自我評價報告是

管理當局對企業(yè)內部控制制度的設計和執(zhí)行是否有效做出評價，并表明其對財務

報告和資產的安全完整無重大不利影響，這實際上表明了管理當局的一種合理保

證，同時也有利于管理當局對內部控制存在的缺陷加以改進，提高企業(yè)財務報告

2信息來源：周勤業(yè)、吳益兵.2008.滬市上市公司2007年內部控制報告分析；中國會計協會.2010.企業(yè)內部控制自我

評價與審計.大連出版社

的可靠性，因此，可以在一定程度上減少舞弊的可能性。財務報告質量有問題的

公司，由于沒有一個健全有效的內部控制對財會人員、管理當局形成強有力的約

束，從而可能導致他們不遵守相關的財務法規(guī)，甚至粉飾財務報表。

第四章美國內部控制自我評價法規(guī)指引對我國企業(yè)的啟示

有關內部控制自我評價的法律法規(guī)和指引是從外部監(jiān)管的角度出發(fā)，對企業(yè)

的內部控制自我評價及披露工作給予強制性的規(guī)定抑或參照性的指引，促使企業(yè)

更加規(guī)范、有效地執(zhí)行內部控制自我評價。各國政府及監(jiān)管機構在為所轄企業(yè)提

出該如何搭建內部控制自我評價體系的相關規(guī)定和指引前，投入了大量的人力、

物力以研究并論證其將提出的指引如何才能具有實務操作性和廣泛適用性，并能

夠切實解決企業(yè)在實施內部控制評價的過程中存在的普遍疑惑和問題。其中，美

國作為內部控制評價理論和實踐方面的領先者，從2002年薩班斯法案頒布至今，

經過實踐的摸索、討論、修正和更新，內部控制評價（包括自我評價和審計師的

獨立評價）相關的規(guī)定和指引已經較為完善和成熟。美國的先進經驗（無論是管

理層的內部控制自我評價還是審計師的獨立評價），均可為我國企業(yè)思考如何搭

建內控自我評價體系并實施自我評價提供重要的參考。

美國對于內部控制評價的規(guī)定和指引可以分為四個層次，即以薩班斯法案為

代表的立法層面、以SEC為主體的監(jiān)管層面、以美國公眾會計監(jiān)督委員會（Public

CompanyAccountingOversightBoard,簡稱PCAOB）為代表的行業(yè)自律層面以及

以COSO為代表的專業(yè)研究層面。

首先，在以薩班斯法案為代表的立法層面，涉及內部控制自我評價的內容主

要包括以下條款:

1、第404條款，對管理層聲明、內控自我評價以及外部審計提出基本要求：

上市公司應當在出具年度報告的同時出具一份內部控制報告，管理層須在報告中

聲明其對建立和維護與財務報告相關的內部控制系統(tǒng)的責任并對公司最近財政

年度與財務報告相關的內部控制系統(tǒng)的有效性進行評價。該條款同時還要求擔任

公司年度報告審計的注冊會計師對管理層出具的評價報告進行鑒證并出具報告。

2、第302條款，明確了CEO和CFO對于內控體系建立健全以及自我評價

的責任：上市公司CEO和CFO應當在其年度和中期財務報告上簽名確認，表明

他們已閱讀過該報告，以及財務報表在所有重大方面，公允地反映了公司在該報

告期末的財務狀況及該報告期內的經營成果；要求CEO和CFO對建立及保持公

司內部控制系統(tǒng)承擔責任，說明公司設計了所需的內部控制，對本公司內部控制

在簽署報告前90天內的有效性進行評估并向外部審計師及董事會下屬的審計委

員會說明其存在的重大缺陷和不足；同時在報告中指明在他們對內部控制評價之

后，內部控制是否發(fā)生了重大變化，或是存在其他可能對內部控制產生重要影響

的因素。

其次，在監(jiān)管規(guī)定方面，SEC在薩班斯法案的基礎上出臺了一系列最終條例

用以規(guī)定對法案的具體執(zhí)行措施。其中，與內部控制自我評估關系比較密切的有：

1、2003年6月頒布的題為《財務報告內部控制的管理層報告及對〈交易法〉

定期報告中披露的核證》的最終條例，規(guī)定了404條款遵循的各種細節(jié)性要求。

該條例提出了“財務報告內部控制”的操作性定義；要求管理層對內部控制有效性

的評估必須建立在適當的、經認可的內部控制框架上（比如COSO內部控制整合

框架）。

2、2007年6月20日發(fā)布的《管理層評估與財務報告相關的內部控制的解釋

性指南》填補了在上市公司遵循404條款方面的指南的空白。該指南屬于解釋性，

而非強制性，為上市公司對與財務報告有關的內部控制進行評價提供了原則性指

引，旨在幫助上市公司根據自身的獨特情況和條件，設計自上而下的、基于風險

的評估程序，從而有效且高效地完成對其內部控制機制的年度評價工作。

3、美國SEC同日發(fā)布了另一最終條例，修改了有關上市法規(guī)。主要包括：

修訂“實質性漏洞”的定義使其更加容易被理解；修訂對于審計報告的要求（不

再要求審計師對“管理層的評估是否公允表達”出具意見，只要求審計師對于公

司內部控制的有效性直接出具意見）。

第三，行業(yè)自律方面，PCAOB作為對會計師事務所的行業(yè)監(jiān)管機構，根據

薩班斯法案的要求陸續(xù)發(fā)布了1至5號審計準則。其中，與薩班斯法案第404條

款聯系最緊密的是其中的第2號審計準則以及之后取而代之的第5號審計準則一

“集成在財務報表審計中的與財務報告有關的內部控制審計”：

1、PCAOB第2號審計準則（PCAOBAuditingStandards2,以下簡稱“AS2”）

該準則適用于同時對客戶的財務報表和管理層對財務報告內部控制有效性

的評估進行的審計，針對此類審計，審計師將出具兩份審計意見：一份針對財務

報告的內部控制，另一份針對財務報表。AS2明確規(guī)定了管理層責任、審計師的

責任、審計的程序、方法和具體步驟、控制缺陷的評估和審計意見的發(fā)表等內容。

AS2還對評價審計委員會監(jiān)管的有效性、利用他人的工作、管理層對內部控制的

聲明、財務報告內部控制審計與財務報表審計的關系等作了具體規(guī)定。AS2的劃

時代意義是不容辯駁的。過去，內部控制僅是管理者考慮的事情，而隨著AS2的

頒布，審計師也要對內部控制進行詳細的測試和檢查。這一舉措將對投資者起到

重要的保護作用，因為穩(wěn)固的內部控制是抵御不當行為的頭道防護線，是有效的

威懾舞弊的防范措施。但在實際執(zhí)行過程中，AS2也使審計工作更加復雜，進而

使公司付出了巨額的審計費用。因此，AS2的編寫思路、詳盡程度、審計過程、

審計方法等受到審計師和公司管理層的質疑，隨著時間的推移以及法規(guī)設計思路

的轉變，AS2的修訂工作越來越變得勢在必行。

2>PCAOB第5號審計準則（PCAOBAuditingStandards5,以下簡稱“AS5”）

2007年7月，在獲得SEC的批準后，PCAOB第5號審計準則—“集成在財

務報表審計中的與財務報告有關的內部控制審計”取代了第2號審計準則。AS5

一方面將繼續(xù)加強揭示內部控制重大薄弱環(huán)節(jié)、降低財務報表出現重大誤導可能

性的能力，另一方面也減少了不必要的審計要求，并對小公司和非復雜公司的內

部控制審計做出進一步規(guī)定。這也標志著，在經過希望企業(yè)監(jiān)管規(guī)定和法律具有

更大靈活性的各行業(yè)組織的推動下，監(jiān)管機構所做出的最大讓步。AS5對AS2做

出的重要變化主要體現在四個方面：第一，強調風險評估。審計師可以通過對風

險的評估來調整審計程序和選擇審計重點，將精力集中于那些可能導致重大錯報

的領域，以提高審計效率；第二，取消不必要的審計程序。如刪除審計師評價管

理層自身評價過程并出具意見的要求；第三，明確審計工作可以視公司的規(guī)模和

復雜程度而進行伸縮調整；第四，簡化準則要求，精簡審計程序。AS2中過于詳

盡具體的要求限制了審計人員的專業(yè)判斷和靈活選擇審計策略的可能，而AS5改

為以原則化的要求指導審計人員的操作，并精簡了相關的審計程序，以增強準則

的靈活性和適用性。在提高了審計效率的同時，企業(yè)為遵循法案而付出的成本也

隨之降低。

最后，在內部控制的專業(yè)研究方面，COSO委員會作為美國內部控制的專業(yè)

研究機構，對美國內部控制自我評價制度體系的貢獻和影響也是十分深遠而廣泛

的。例如，出于靈活性的考慮，SEC雖然未對內部控制評價的框架進行強制性要

求，大多數公司已將COSO內部控制整合框架作為其內部控制評價的框架標準。

經實踐檢驗，COSO內部控制整合框架已然成為全球最為權威的內控框架；為了

引導小型公司的內部控制評價工作并同時考慮成本與效益原則，COSO還于2006

年發(fā)布了《財務報告內部控制一小型上市公司指引》，從而給予小型上市公司更

加具體并貼合實際的指導；此外，COSO于2004年頒布的企業(yè)風險管理整合框架，

將原有的內部控制整合框架納入其中。該框架充分體現了風險評估與內部控制的

密不可分，二者應作為一個有機的整體為企業(yè)目標的實現而保駕護航。

綜上所述，美國對于內部控制評價的規(guī)定和指引中有如下幾點值得我國企業(yè)

思考和借鑒：

1、強化管理層貢任

sox法案嚴格界定了公司管理層對于與財務報告相關的內部控制的責任和

義務，并對違反財務報表披露要求的行為分別規(guī)定了民事和刑事處罰的要求。

sox法案作為聯邦層次的法律，是美國政府制定的涉及范圍最廣、處罰措施最嚴

厲且最具影響力的公司法律之一。自SOX法案實施以來，美國企業(yè)從CEO、CFO

到普通員工，均能夠嚴肅認真地對待法規(guī)遵循工作，使公司內部治理的質量不斷

提高。可見，通過立法的方式強化企業(yè)管理層的責任，對于提高企業(yè)內部控制水

平起到了顯著的促進作用。

2、基于風險、自上而下的評價方法

美國企業(yè)對薩班斯的遵循經驗證明，內控評估過于公式化或細節(jié)過多，會導

致相關工作不能集中在風險上，評價效果可能無法達到相關法規(guī)要求。理想的評

價方法是將資源用于風險最大的領域，避免無視風險水平高低而對所有重要賬戶

和相關控制一視同仁；財務報告內部控制評估若能集中在最有可能對財務報表造

成重大影響的財務報表賬戶和披露相關的流程和交易類別