内部控制评价与内部控制自我评价

课题：内部控制自我评价目录前言2第一章内部控制概论6第一节内部控制的定义6第二节内部控制运行过程7第三节企业对内部控制理解的误区8第二章内部控制自我评价的概念12第一节内部控制评价与内部控制自我评价12第二节内部控制自我评价的概念12第三章内部控制自我评价的必要性13第四章美国内部控制自我评价法规指引对我国企业的启示17第五章企业内部控制评价体系的建设23第一节企业内部控制自我评价体系三维模型24第二节组织与人员26第三节风险评估30第四节方法与程序52第五节信息与沟通62第六节监督与考核64前言一、课题背景进入21世纪以来，美国证券市场相继爆发了安然、世界通讯、施乐、默克制药等一系列财务造假丑闻，这些丑闻使人们对美国上市公司信息披露的真实性产生质疑，动摇了包括美国在内的全球投资者对美国资本市场的信心，同时暴露出美国公司治理结构的不平衡和外部监督的缺失，为美国经济前景蒙上了阴影。为了提高民众对美国资本市场、政府经济政策的信心，消除对上市公司财务报表真实性的担忧，2002年7月30日美国总统布什签署了萨班斯-奥克斯利法案（以下简称“萨班斯法案”）。萨班斯法案的出台不仅对美国资本市场产生了巨大的影响，它也引发了其他国家监管机构对内部控制的高度重视。各国纷纷借鉴美国的经验，制定了一系列的监管规定，对企业内部控制的建设、评价和披露提出相关要求。近年来，我国从国内企业的实际情况出发，吸收了国际上的先进成果，在内部控制相关制度体系的构建方面取得了显著进展。特别是2008年6月，财政部、证监会、审计署、银监会及保监会五部委联合发布了企业内部控制基本规范，从内部环境、风险评估、控制活动、信息与沟通以及内部监督五大要素的角度，对于中国企业应如何建立和维持有效的内部控制提出了原则性的要求，建立了具有中国特色的内部控制框架。同时，基本规范还要求适用企业对内部控制有效性进行自我评价，披露年度自我评价报告，并可聘请会计师事务所对内部控制的有效性进行审计。此后，财政部等五部委又于2010年4月发布了企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引作为企业内部控制基本规范的配套指引，指导企业开展内控建设和评价工作，指导审计师实施内部控制审计。上述规范和指引均属原则性要求，企业只有在实施过程中准确理解并灵活运用这些原则，才能使企业内部控制的有关工作可以事半功倍。特别是，对于按规定须于2011年1月1日起施实企业内部控制基本规范和配套指引的企业，做好内部控制的自我评价工作并按照相关监管规定，按时、保质的披露自我评价报告更是迫在眉睫。许多企业由于是第一次从事内部控制的自我评价工作，缺乏相关工作经验或相关工作经验有限，在实践过程中，当突然遇到这样或那样的实际操作性问题时就会觉得事发突然，无从下手，难以把握，因而会非常急切地希望了解其他具有相关经验的企业和咨询机构在面对同样的问题时如何应对。在上述背景下，本课题以探讨企业在内部控制自我评价过程中可能遇到的问题为出发点，从理论应用和实例分析两个纬度展开研究。二、思路及内容概述第一章，内部控制概论。准确理解内部控制的内涵是研究和实施内部控制自我评价的首要前提。内部控制自我评价工作难以有效实施的问题之一是参与评价的人员没能真正了解什么是内部控制，在执行相关工作过程中，将控制活动与内部管理制度或一般经营活动相混淆。对评价对象的错误理解，导致企业内部控制自我评价工作的工作效率低，成效差，表面上看好像没有发现问题，实际上，真正的控制点没能被包括在测试范围内，而未测试控制点的失效可能引发的风险被掩盖，无人察觉。另一方面，对内部控制的不理解，也使参与内部控制自我评价工作的评价人员无法充分发挥主观能动性，积极地参与到内部控制的持续完善工作中。因此，本文在开篇对内部控制的内涵进行了介绍，以明确本文所研究的内部控制的具体含义，从而为后文的研究及观点阐述奠定基础。第二章，内部控制自我评价的概念。在阐明内部控制的涵义后，本章节对本文的研究对象“内部控制自我评价”的概念进行界定。第三章，内部控制自我评价的必要性。对于企业来说，实施内部控制自我评价不仅是为了应付监管机构的要求，同时也是企业自身健全内部控制体系、防范风险的需要。本章节论述了内部控制自我评价工作在内控体系建设、财务报表质量以及企业形象等三方面的重要作用，进而说明企业做好内部控制自我评价的意义。第四章，内部控制自我评价相关法规和指引。各国政府及监管机构在为所辖企业提出该如何搭建内部控制自我评价体系的相关规定和指引前均投入了大量的人力物力，以研究并论证其将提出的指引如何才能具有实务操作性和广泛适用性，并能够切实解决企业在实施内部控制评价的过程中存在的普遍疑惑和问题。因而，这些法规和指引对于企业具有重要的借鉴意义。本章节将美国与中国有关内部控制自我评价的监管制度体系和法规要求进行了比对分析，为企业深入思考该如何搭建适用于本企业的内部控制自我评价体系提供了更为广泛的参考信息。第五章，企业内部控制自我评价体系的建设。众多国内企业在搭建自身的内部控制评价体系的过程中往往只关注评价程序和方法这两个方面的内容，而忽略了仅有程序和方法可能无法确保评价工作能够有效地持续开展。正如建立一个有效的内部控制体系需要内部环境、风险评估、控制活动、信息与沟通和内部监督这五要素相辅相成，内部控制自我评价工作的有效进行也需要一个完整的体系来提供全方位的保障。企业可以考虑从组织与人员、风险评估、方法与程序、信息与沟通、监督与考核这五方面着手建立企业内部控制自我评价体系。本章内容从组织与人员、风险评估、方法与程序、信息与沟通、监督与考核这五个方面展开，其中各小节均从企业内部控制自我评价过程中可能存在的问题入手展开分析，提示企业予以关注。第一章内部控制概论第一节内部控制的定义1992年，美国反欺诈财务报告全国委员会（National Commission on Fraudulent Financial Reporting）的发起组织委员会(Committee of Sponsoring Organizations，简称COSO) 发布了著名的内部控制整合框架，即“COSO报告”，提出了内部控制整体框架思想，将内部控制定义为：“内部控制是一个由企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：一是财务报告的可靠性；二是经营的效果和效率；三是符合适用的法律法规。” COSO 报告将内部控制结构划分为五个部分，分别是控制环境、风险评估、控制活动、信息与沟通、监督。COSO报告 对于内部控制的定义在历经了多年的实践考验后，已成为国际公认的理念，COSO内部控制框架也被广泛地作为企业内部控制体系建立与评价的标准。通过借鉴国外的先进经验和多年的实践摸索，随着企业内部控制基本规范的颁布，我国对于内部控制涵义的解读已取得了重大的突破并与国际先进理念接轨。2008年5月，财政部等五部委在联合发布的企业内部控制基本规范中对内部控制进行了如下定义：“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”。内部控制目标为五个方面，即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。这一定义首先强调了企业领导者尤其是董事会、监事会和经理层在建立与实施内部控制中的重要作用；其次，明确了内部控制是全体员工的共同责任；此外，明确指出内部控制是一个动态的概念，是对企业生产经营过程的控制，也是对实现企业发展目标的控制，同时还是一个不断优化、完善的过程；最重要的是，该定义将内部控制目标在“合法合规、财务可靠、经营效率与效果”的基础上进行了细分和扩展：一方面将“资产安全”目标从财务报告目标中细分出来，另一方面增加了“促进企业实现发展战略”的目标。该定义对中国企业的内控体系建设提出了进一步的要求，企业需要通过内控体系的建立和完善，在经营效率和效果方面更上一层楼，从而促进企业实现发展战略。第二节内部控制运行过程如前所述，内部控制不是静态的，而是一个持续优化和完善的过程。这一过程是由设计、执行、评价和改进四个环节所构成的闭环。其中：一、 内部控制的设计企业需要针对影响目标实现的风险进行识别、评估和应对，为确保有效实施风险应对，企业需要设计一整套内部控制体系。内部控制设计是内部控制循环的基础。内部控制设计的载体通常是企业制定的各种内部控制制度。二、 内部控制的执行内部控制执行是对内部控制设计的运用。内部控制设计的再完美，若不加以实施就如同纸上谈兵，毫无意义。三、 内部控制的评价正如一个健康的人也需要定期体检一样，任何一个完善的体系都离不开有效的反馈机制，只有定期通过反馈机制对整个体系的运作状况进行综合评价，其构建者与维护者才能识别体系中的薄弱环节，以采取相应的改进措施，促进体系的不断完善。因此，要建立良好的内部控制体系也需要一套行之有效的反馈机制，即对内部控制系统的健全性、合理性和有效性进行评价，以实现对内部控制系统的“再控制”。具体而言，内部控制评价是从设计和执行两个层面对内部控制的有效性进行测试、分析，并对内部控制设计和执行是否有效做出评价。内部控制评价是内控过程中非常重要的一个环节，或者说是一个承前启后的环节。评价既是对已有控制的总结，又是未来改进控制体系的重要依据。评价过程中，通过对内部控制系统进行分析和测试，形成评价报告。评价报告既要反映内部控制的现状，还要说明内部控制的不足之处，并提出改进建议。四、 内部控制的改进企业管理当局应根据内控改进建议对企业的内部控制系统实施改进措施。经过改进的内部控制又将形成内部控制系统中新的组成部分，成为以后内部控制评价的对象。内部控制系统运行的四个环节环环相扣、循环往复构成一个完整的内部控制运行过程。现实中，并不存在一劳永逸的内部控制系统，内部控制系统必须随着企业内外部环境的变化，不断改进。因此，企业应当长期持续的开展内部控制评价，及时对自身的内部控制体系加以改进以适应新的变化和要求。第三节企业对内部控制理解的误区虽然我国在内部控制理论方面已建立了权威的框架，但是许多企业在执行相关工作的过程中对于内部控制的理解仍然存在误区，突出表现为两方面：一是将内部控制与企业内部管理制度相混淆；二是将内部控制与业务活动相混淆，未能深刻认识到内部控制是一个完整的“体系”。以下，将以示例的方式从上述两个方面分别阐述，辅助企业正确理解内部控制的涵义并准确地将其运用到内部控制评价工作中。一、区分内部控制与管理制度一些企业认为，为满足日常经营管理的需要，企业已经制定了一系列内部管理制度并对企业日常经营活动提出了全面的要求，这些管理要求即构成了企业的内部控制体系。这种理解过于片面，一方面忽略了内部控制作为一个动态的“过程”，需要依赖企业全员的“实施”，另一方面没有考虑企业的内部管理制度本身是否具备操作性，可以被执行和评价。从内部控制的定义可以看出，内部控制作为一个动态的过程，若需发挥作用，即实现战略、经营、报告、合规以及资产安全等目标，必须依赖于企业董事会、监事会、经理层和全体员工的实施。因此，内部控制是一项活动或一系列活动的组合，而不是静止在书面形态的制度和要求。如果某个制度或某项管理要求没有被实施，那么它应当仅仅被视为游离于内部控制体系之外的一篇文字而已，不构成任何内部控制。当然，制度和要求与内部控制之间也存在联系。如果企业在实际操作中对于某项控制措施已经形成了惯例并且控制效果显著，那么管理层必然希望该项控制措施未来能够一贯有效地执行下去，不受人员更替的影响。在此情况下，管理层需要将这项良好的惯例形成书面规定，要求相关人员比照执行，同时还可以依据这一书面规定衡量相关人员的工作是否到位，落实问责。另外，对于实际操作中欠缺的控制措施，管理层亦可通过制定具备操作性的管理制度来要求相关人员照章执行，从而构成真正意义上的内部控制 。总之，内部管理制度本身并不足以构成内部控制，但可以促进内部控制一贯有效的执行。下面要解决的问题是何为具有操作性的管理制度，以某公司的销售与收款管理制度为例，其中规定：1) 销售价格的确定须经总经理审批或授权；2) 要将销售与发货记录进行核对，确保账账相符，财务记录符合权责发生制。从管理者的角度看来，上述两项规定确实对销售和收款过程中的关键环节（价格审批、账账核对）提出了要求，这也是国内企业典型的管理制度的编制方式。但是销售业务相关部门和人员在执行中可能存在许多疑问，比如：对于规定1，由谁负责发起并处理价格审批？总经理口头批准即可，还是提交书面审批表？在什么情况下总经理可以授权其他人审批，授权给谁？对于规定2，销售和发货信息从何而来，对应的职责部门/人员是谁，信息载体是什么？多久核对一次？出现差异怎么办？执行人员带着这些疑问开展日常工作，一方面可能导致根据个人的经验判断而开展工作，与管理者意图存在偏差；另一方面也可能导致个别人故意利用管理要求中的“灰色空间”而谋取个人利益，增加舞弊风险。因此，这样的管理制度在给执行人员带来困扰的同时，也不足以支撑企业的经营管理和内控评价工作。一项具有操作性的内部控制制度规定至少应明确如下基本要素：基本要素以规定（1）为例以规定（2）为例谁：客户经理 物资部仓库管理员、财务部收入会计何时：在签订销售合同前每月末控制活动：取得总经理或适当被授权人对销售价格的审批将销售的财务记录与实物发货记录进行核对如何做： 填写销售价格审批表，注明报价、折扣率、利润率，并在审批后附上服务成本费用计算表，依据报价总金额的不同提交相关人员审批。单项交易金额100万元，提交副总经理审批；单项交易金额=100万元，提交总经理审批。财务部收入会计从财务系统中导出当月销售分类明细账，将合计金额与销售收入科目余额进行核对，确保金额一致；仓库管理员从物资管理系统中导出当月销售出库分类明细表；财务部收入会计与仓库管理员共同针对销售分类明细账与销售出库分类明细表中的产品数量和类别进行核对。跟进措施：若审批未通过，需修改报价金额或内容，然后再依据修改后的金额提交相应的人员审批。 核对若发现差异，需查找出库单、订单等原始单据，确定差异原因。若查明需要调整财务或实物账的，还需要执行调账程序。（调账程序另有控制制度明确规定）成果及证据：总经理/副总经理在销售价格审批表上签字。 财务部收入会计和仓库管理员编制核对表，在表中注明核对结果，差异原因，处理方式，并在表中签字。控制目标： 确保销售价格经过适当的授权确保销售交易入账的完整性、真实性和准确性。二、区分内部控制与业务活动无论是COSO报告还是企业内部控制基本规范，均强调内部控制是由控制环境（内部环境）、风险评估、控制活动、信息与沟通及内部监督五个要素构成的整体。内部控制任何一个目标的实现都需要依赖五大要素的协同作用，实现全方位保障。但是在实际操作中，一些企业对内部控制五要素的理解不够深入，不能从系统的高度把握这些要素 。结果导致这些企业在内控建设和评价过程中，仅将工作重心集中于具体业务流程的控制活动中，而忽略了对内控运行效果影响更加广泛的控制环境、风险评估、监控等要素，偏离了全面性和重要性的原则。企业应当充分关注控制活动以外的控制要素。例如为实现“财务报告及相关信息真实完整”这一控制目标，不仅需要销售、采购、存货管理等业务流程中的各类控制措施发挥作用，确保具体会计账户记录的真实、完整、准确，更加需要控制环境、风险评估、信息沟通和监控等因素协同作用，包括：董事会、管理层对于财务舞弊的充分重视、公司对于员工行为守则（包括财务从业人员职业道德）的深入宣贯、审计委员会的有效运行、管理层对于财务报告相关风险的及时识别与评估、内外部投诉检举渠道的畅通、内部审计职能的有效运行等等。第二章内部控制自我评价的概念第一节内部控制评价与内部控制自我评价内部控制评价是指对内部控制系统的有效性进行测试和分析，形成评价结果，出具评价报告。它包括对内部控制设计和内部控制运行两个层面的测试和分析。内部控制评价报告中应对企业的内部控制状况进行合理说明，指出发现的内部控制体系的不足之处，并提出相应的改进意见。内部控制评价根据评价主体的不同，可以分为外部评价和内部评价两种。外部评价是指由外部独立机构，例如外部审计师或行业监管单位等，对企业的内部控制系统实施的评价。内部评价，是企业对其自身内部控制系统实施的评价，也就是内部控制自我评价。第二节内部控制自我评价的概念对于内部控制自我评价，目前国内外尚没有形成如同COSO报告对内部控制的定义一样被广泛认同并应用的概念。本文引用了企业内部控制评价指引中的定义，即企业内部控制自我评价是指“企业董事会或类似权利机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程”。第三章内部控制自我评价的必要性本文第一章第二节提到，内部控制自我评价是内部控制体系自我完善过程中至关重要的一环。此外，内部控制自我评价还有助于企业强化内部控制的实施；通过内控评价信息披露，企业可以提升市场形象和公众认可程度；对于监管机构而言，通过强制企业实施内部控制自我评价并披露相关信息可以对整个资本市场的健康发展起到非常积极的作用。一、内部控制自我评价是企业强化内部控制的手段对内部控制进行定期评价并将评价报告披露或提供给外部信息使用者，将会强化董事会和管理层的责任，促使其加强对内部控制的重视程度。董事会和高级管理人员对内部控制的高度重视会促使员工认真执行既定的控制政策和程序。如果董事会将内控自我评价作为对管理层、部门和员工表现的一种考核过程，那么这将会对包括高级管理人员在内的所有员工起到较强的威慑和监督作用，各类错误和舞弊将会随之减少，内部控制的效果得以加强。二、内部控制自我评价有助于提升企业市场形象和公众认可度越来越复杂的经营活动决定了财务报告已经不能满足外部信息使用者的需要，他们需要了解上市公司更多的信息才能做出判断。在现今诚信危机日趋严重的情况下，内部控制信息对于外部信息使用者而言是一项重要的决策依据，投资者比以往任何时候都更加关注内部控制的信息。公司通过出具或公布内部控制自我评价报告，让投资者清晰地了解企业的风险管理水平、内部控制状况，有助于树立诚信、透明、负责任的企业形象，增强投资者对企业的信任度和认可度，进而塑造有利的外部环境，促进企业的长远可持续发展。三、内部控制自我评价有助于提高财务报告等信息披露的质量，促进资本市场健康发展从理论上讲，内部控制信息的披露与财务报告质量在一定程度上存在关联。对于上市公司而言，在被要求进行内部控制自我评价并向外部信息使用者提供内部控制自我评价报告的情况下，公司董事会和管理层出于减轻自身责任以及公司长远利益的考虑，不得不真正关注内部控制的建设和执行情况，从而不断完善公司的内部控制。一旦公司具备了健全、有效的内部控制，可以消除财务报告信息失真的诱因，合理保证财务报告质量。以下对于上海证券交易所上市公司的调查数据可以从财务报表的会计差错更正和外部审计师审计意见两方面印证内控自我评价对财务报告质量的影响：1.自我评价与会计差错更正的关系上市公司根据上交所的要求于2007年在年度报告中披露内部控制自我评价报告后，公司对年报进行重大差错更正的情况统计如表1：表1-沪市公司对2007年年报做出重大会计差错更正的公司 信息来源：周勤业、吴益兵.2008.沪市上市公司2007年内部控制报告分析；中国会计协会.2010.企业内部控制自我评价与审计.大连出版社数量与比重按报告情况分类对2007年年报进行重大会计差错更正的公司数量在同类（披露/未披露）公司中占比在165家存在大会计差错更正的公司中占比在862家沪市公司中占比（1）揭露自我评价报告公司1510.4%9.1%1.74%（2）未披露自我评价报告公司15020.9%90.9%17.4%合计165-100%19.14%从表1可以看出，沪市862家发布2007年年报的上市公司中，共有165家公司随后进行重大会计差错更正，占沪市862家上市公司的19.14%。而在165家进行重大会计差错更正的公司中，仅有15家公司披露了自我评价报告，其余150家公司均未披露自我评价报告，二者分别占全部进行重大会计差错更正公司的9.1%和90.9%。在已披露自我评价报告的144家公司中，仅有10.4%的公司随后进行了重大会计差错更正，而未披露自我评价报告的718家公司中，有20.9%的公司进行了重大会计差错更正。因此可以认为，从减少重大会计差错更正这一角度，管理层出具自我评价报告对改善内部控制质量有显著作用，即管理层通过对企业内部控制的自我评价，可以及时发现企业内部控制缺陷，适时实施改进方案，对提高财务报告的可靠性有较为明显的积极作用。2.自我评价与审计意见的关系除了重大会计差错更正，财务报告的审计意见类型也是衡量上市公司财务报告质量的一个重要指标，与被出具标准无保留意见的公司相比，无论是为了提醒报表使用者对强调事项潜在风险的关注而出具的非标准审计意见报告，还是由于上市公司拒绝按审计调整建议对会计报表进行调整以及审计范围受到限制而出具的非标准意见审计报告，都表明被审计单位内部控制存在着不同程度的问题。沪市公司2007年非标准审计意见情况统计如表2：表2-沪市公司2007年非标准审计意见情况统计表信息来源：周勤业、吴益兵.2008.沪市上市公司2007年内部控制报告分析；中国会计协会.2010.企业内部控制自我评价与审计.大连出版社 数量与比重按报告情况分类被出具非标准意见公司数量在同类（披露/未披露）公司中占比在66家非标准审计意见的公司中占比在862家沪市公司中占比（1）揭露自我评价报告公司42.78%6.1%0.46%（2）未披露自我评价报告公司628.64%93.9%7.19%合计66-100%7.65%表2的结果表明，沪市862家发布2007年年报的上市公司中，有66家被出具了非标准审计意见（其中48家为加事项段的无保留意见，10家为保留意见，8家为无法表示意见），占862家上市公司的7.65%。在66家被出具非标准意见的公司中，仅有4家披露了自我评价报告，其余的62家公司均未披露自我评价报告，二者分别占该类公司的6.1%和93.9%。在已披露自我评价报告的144家公司中，仅有4家公司（3家加事项段的无保留意见，1家保留意见）被出具非标审计意见，占比为2.78%；而62家被出具非标审计意见且未披露自我评价报告公司则占全部未披露自我评价报告公司的8.64%。从这一组数据的对比可以发现，财务报告质量较低的公司披露内部控制信息的动机不足。内部控制自我评价报告是管理当局对企业内部控制制度的设计和执行是否有效做出评价，并表明其对财务报告和资产的安全完整无重大不利影响，这实际上表明了管理当局的一种合理保证，同时也有利于管理当局对内部控制存在的缺陷加以改进，提高企业财务报告的可靠性，因此，可以在一定程度上减少舞弊的可能性。财务报告质量有问题的公司，由于没有一个健全有效的内部控制对财会人员、管理当局形成强有力的约束，从而可能导致他们不遵守相关的财务法规，甚至粉饰财务报表。第四章美国内部控制自我评价法规指引对我国企业的启示有关内部控制自我评价的法律法规和指引是从外部监管的角度出发，对企业的内部控制自我评价及披露工作给予强制性的规定抑或参照性的指引，促使企业更加规范、有效地执行内部控制自我评价。各国政府及监管机构在为所辖企业提出该如何搭建内部控制自我评价体系的相关规定和指引前，投入了大量的人力、物力以研究并论证其将提出的指引如何才能具有实务操作性和广泛适用性，并能够切实解决企业在实施内部控制评价的过程中存在的普遍疑惑和问题。其中，美国作为内部控制评价理论和实践方面的领先者，从2002年萨班斯法案颁布至今，经过实践的摸索、讨论、修正和更新，内部控制评价（包括自我评价和审计师的独立评价）相关的规定和指引已经较为完善和成熟。美国的先进经验（无论是管理层的内部控制自我评价还是审计师的独立评价），均可为我国企业思考如何搭建内控自我评价体系并实施自我评价提供重要的参考。美国对于内部控制评价的规定和指引可以分为四个层次，即以萨班斯法案为代表的立法层面、以SEC为主体的监管层面、以美国公众会计监督委员会（Public Company Accounting Oversight Board，简称PCAOB）为代表的行业自律层面以及以COSO为代表的专业研究层面。首先，在以萨班斯法案为代表的立法层面，涉及内部控制自我评价的内容主要包括以下条款：1、第404条款，对管理层声明、内控自我评价以及外部审计提出基本要求：上市公司应当在出具年度报告的同时出具一份内部控制报告，管理层须在报告中声明其对建立和维护与财务报告相关的内部控制系统的责任并对公司最近财政年度与财务报告相关的内部控制系统的有效性进行评价。该条款同时还要求担任公司年度报告审计的注册会计师对管理层出具的评价报告进行鉴证并出具报告。2、第302条款，明确了CEO和CFO对于内控体系建立健全以及自我评价的责任：上市公司CEO和CFO应当在其年度和中期财务报告上签名确认，表明他们已阅读过该报告，以及财务报表在所有重大方面，公允地反映了公司在该报告期末的财务状况及该报告期内的经营成果；要求CEO和CFO对建立及保持公司内部控制系统承担责任，说明公司设计了所需的内部控制，对本公司内部控制在签署报告前90天内的有效性进行评估并向外部审计师及董事会下属的审计委员会说明其存在的重大缺陷和不足；同时在报告中指明在他们对内部控制评价之后，内部控制是否发生了重大变化，或是存在其他可能对内部控制产生重要影响的因素。其次，在监管规定方面，SEC在萨班斯法案的基础上出台了一系列最终条例用以规定对法案的具体执行措施。其中，与内部控制自我评估关系比较密切的有：1、2003年6月颁布的题为财务报告内部控制的管理层报告及对交易法定期报告中披露的核证的最终条例，规定了404条款遵循的各种细节性要求。该条例提出了“财务报告内部控制”的操作性定义；要求管理层对内部控制有效性的评估必须建立在适当的、经认可的内部控制框架上（比如COSO内部控制整合框架）。2、2007年6月20日发布的管理层评估与财务报告相关的内部控制的解释性指南填补了在上市公司遵循404条款方面的指南的空白。该指南属于解释性，而非强制性，为上市公司对与财务报告有关的内部控制进行评价提供了原则性指引，旨在帮助上市公司根据自身的独特情况和条件，设计自上而下的、基于风险的评估程序，从而有效且高效地完成对其内部控制机制的年度评价工作。3、美国SEC同日发布了另一最终条例，修改了有关上市法规。主要包括：修订“实质性漏洞”的定义使其更加容易被理解；修订对于审计报告的要求（不再要求审计师对“管理层的评估是否公允表达”出具意见，只要求审计师对于公司内部控制的有效性直接出具意见）。第三，行业自律方面，PCAOB作为对会计师事务所的行业监管机构，根据萨班斯法案的要求陆续发布了1至5号审计准则。其中，与萨班斯法案第404条款联系最紧密的是其中的第2号审计准则以及之后取而代之的第5号审计准则“集成在财务报表审计中的与财务报告有关的内部控制审计”：1、PCAOB第2号审计准则（PCAOB Auditing Standards 2，以下简称“AS2”）该准则适用于同时对客户的财务报表和管理层对财务报告内部控制有效性的评估进行的审计，针对此类审计，审计师将出具两份审计意见：一份针对财务报告的内部控制，另一份针对财务报表。AS2明确规定了管理层责任、审计师的责任、审计的程序、方法和具体步骤、控制缺陷的评估和审计意见的发表等内容。AS2还对评价审计委员会监管的有效性、利用他人的工作、管理层对内部控制的声明、财务报告内部控制审计与财务报表审计的关系等作了具体规定。AS2的划时代意义是不容辩驳的。过去，内部控制仅是管理者考虑的事情，而随着AS2的颁布，审计师也要对内部控制进行详细的测试和检查。这一举措将对投资者起到重要的保护作用，因为稳固的内部控制是抵御不当行为的头道防护线，是有效的威慑舞弊的防范措施。但在实际执行过程中，AS2也使审计工作更加复杂，进而使公司付出了巨额的审计费用。因此，AS2的编写思路、详尽程度、审计过程、审计方法等受到审计师和公司管理层的质疑，随着时间的推移以及法规设计思路的转变，AS2的修订工作越来越变得势在必行。2、PCAOB第5号审计准则（PCAOB Auditing Standards 5，以下简称“AS5”）2007年7月，在获得SEC的批准后，PCAOB第5号审计准则“集成在财务报表审计中的与财务报告有关的内部控制审计”取代了第2号审计准则。AS5一方面将继续加强揭示内部控制重大薄弱环节、降低财务报表出现重大误导可能性的能力，另一方面也减少了不必要的审计要求，并对小公司和非复杂公司的内部控制审计做出进一步规定。这也标志着，在经过希望企业监管规定和法律具有更大灵活性的各行业组织的推动下，监管机构所做出的最大让步。AS5对AS2做出的重要变化主要体现在四个方面：第一，强调风险评估。审计师可以通过对风险的评估来调整审计程序和选择审计重点，将精力集中于那些可能导致重大错报的领域，以提高审计效率；第二，取消不必要的审计程序。如删除审计师评价管理层自身评价过程并出具意见的要求；第三，明确审计工作可以视公司的规模和复杂程度而进行伸缩调整；第四，简化准则要求，精简审计程序。AS2中过于详尽具体的要求限制了审计人员的专业判断和灵活选择审计策略的可能，而AS5改为以原则化的要求指导审计人员的操作，并精简了相关的审计程序，以增强准则的灵活性和适用性。在提高了审计效率的同时，企业为遵循法案而付出的成本也随之降低。最后，在内部控制的专业研究方面，COSO委员会作为美国内部控制的专业研究机构，对美国内部控制自我评价制度体系的贡献和影响也是十分深远而广泛的。例如，出于灵活性的考虑，SEC虽然未对内部控制评价的框架进行强制性要求，大多数公司已将COSO内部控制整合框架作为其内部控制评价的框架标准。经实践检验，COSO内部控制整合框架已然成为全球最为权威的内控框架；为了引导小型公司的内部控制评价工作并同时考虑成本与效益原则，COSO还于2006年发布了财务报告内部控制小型上市公司指引，从而给予小型上市公司更加具体并贴合实际的指导；此外，COSO于2004年颁布的企业风险管理整合框架，将原有的内部控制整合框架纳入其中。该框架充分体现了风险评估与内部控制的密不可分，二者应作为一个有机的整体为企业目标的实现而保驾护航。综上所述，美国对于内部控制评价的规定和指引中有如下几点值得我国企业思考和借鉴：1、强化管理层责任SOX法案严格界定了公司管理层对于与财务报告相关的内部控制的责任和义务，并对违反财务报表披露要求的行为分别规定了民事和刑事处罚的要求。SOX法案作为联邦层次的法律，是美国政府制定的涉及范围最广、处罚措施最严厉且最具影响力的公司法律之一。自SOX法案实施以来，美国企业从CEO、CFO到普通员工，均能够严肃认真地对待法规遵循工作，使公司内部治理的质量不断提高。可见，通过立法的方式强化企业管理层的责任，对于提高企业内部控制水平起到了显著的促进作用。2、基于风险、自上而下的评价方法美国企业对萨班斯的遵循经验证明，内控评估过于公式化或细节过多，会导致相关工作不能集中在风险上，评价效果可能无法达到相关法规要求。理想的评价方法是将资源用于风险最大的领域，避免无视风险水平高低而对所有重要账户和相关控制一视同仁；财务报告内部控制评估若能集中在最有可能对财务报表造成重大影响的财务报表账户和披露相关的流程和交易类别的相关控制上，将会更为有效。因此，无论是对于管理层的自我评价还是外部审计师的独立评价，美国SEC和PCAOB均提出了“基于风险、自上而下”的理念。所谓“基于风险”，是指对于内部控制所实施的一系列评价工作均应从了解风险开始。而“自上而下”是对评价人员在识别风险及确定评价范围时思维过程的表述。在对与财务报告相关的内部控制进行评价时，管理层/审计师首先应了解与财务报告相关的整体风险。然后，将重点放在公司层面的控制上，并将工作逐渐下移至重大账户、列报及相关的认定。评价人员需要利用日常经验积累和专业判断将注意力集中在最有可能导致财务报表及相关列表的重大错报的领域上，对相应的内部控制进行测试。在测试过程中，管理层和审计师还应通过专业判断确定控制测试的性质、范围和时间，对于低风险与高风险领域控制的测试水平有所不同。运用“基于风险、自上而下”的理念，可以使评价方法更加贴近企业的实际情况和重要领域，评价人员既可以提高工作效率又可以保证工作效果。3、控制组合的概念SEC指出，部分遵循萨班斯法案的企业由于经验有限，识别出的需要测试的控制多为单个环节，而没有充分运用“控制组合”的理念。SEC建议管理层将测试重点放在控制目标以及用于实现控制目标的控制组合上，而不仅仅是单个的控制。而且，出于确定控制组合运行有效性的目的，管理层不必测试该控制组合的每一环节或控制。4、利用经验积累提高灵活性和工作效率SEC认为，管理层可以利用其自身在日常经营管理中以及历年的评价工作中积累的经验，采用灵活的评价方法，提高工作效率。比如：管理层利用前一年的内控评价结果，为下一年度评价范围的确定提供判断依据；管理层可以基于对风险的判断，逐年调整测试的性质、范围、时间，即在某些年度深入测试选定的内控领域而在其它领域进行较少测试，每年可以对测试重点进行调整。 管理层通过日常经营及监控工作可以亲自执行或接触某些内控控制，在许多情况下，管理层可以通过这些工作获取年度自我评价所需的证据，进而合理得出截至年度报告日内部控制有效运行的结论。第五章企业内部控制评价体系的建设虽然企业内部控制评价指引对内部控制自我评价的责任机构、评价原则、评价内容、评价程序、缺陷认定以及内部控制评价报告等进行了明确规定，但企业不应当直接将其作为实施具体评价工作的工具书。对于国内一般企业而言，如何建立一个科学的内部控制评价体系是面临的首要问题。传统的内部控制评价一般只关注具体的评价程序和方法，忽略了此项工作作为一个完整的体系需要考虑的因素和必要环节，例如：一些企业没有针对内部控制自我评价工作搭建系统的组织架构、确定职责分工；一些企业忽略了风险评估环节，没有将其充分地融入至内部控制自我评价过程中；还有一些企业没有将自我评价与考核机制挂钩等等。企业内控自我评价体系中任何一个环节的缺失或任何一个要素被忽略都会影响自我评价工作目标的实现，鉴于此，实施评价的企业应考虑根据企业内部控制评价指引的相关要求，结合企业实际情况，搭建一套适合自己的内部控制评价体系。第一节 企业内部控制自我评价体系三维模型正如COSO内部控制整体框架一样，企业同样可以借鉴三维模型的思路，建立自己的内部控制评价体系。如上图所示，三维立体模型的纵剖面代表内部控制自我评价的目标，即确保自我评价的全面性、重要性和客观性。横剖面由五大要素构成，即自我评价的组织与人员、风险评估、方法与程序、信息与沟通、监督与考核。模型的侧剖面代表组成企业的各个分支机构或者功能和流程。该体系五大要素中的某一个元素能够对所有目标的实现发挥作用；内部控制三类目标中的任一目标的实现，均需要五大要素共同发挥作用，缺一不可；同样，为实现自我评价的目标，企业需要考虑五大要素如何在相应的机构层级、业务单元和流程中发挥作用。以下是对内部控制自我评价体系目标和要素内涵的介绍：一、 内部控制自我评价目标企业实施内部控制评价至少应当满足三方面目标，即全面性、重要性和客观性。“全面性”要求企业的评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项；“重要性”要求企业的评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域；“客观性”要求企业的评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。二、 组织与人员企业治理层和经理层应充分重视内部控制评价，并保证给予充分的资源；被评价人员能充分理解内部控制评价的作用，并给予充分的配合；与内部控制评价有关的组织架构和职责划分清晰完善，能保证评价人员具有充分的独立性和权威性；评价人员具有相关专业技能和胜任能力。三、 风险评估识别并评估影响公司目标实现的风险，将风险评估的结果运用在包括评价计划、评价执行和评价发现报告等内部控制评价的各阶段。四、 方法与程序根据企业内部控制评价指引的相关原则和企业的实际情况，建立标准化的评价方法和程序，并在评价执行过程中不断优化。五、 信息与沟通公司建立良好的内、外部信息沟通机制，使得内部控制评价方案能够体现最佳的检查评价范围和重点，测试样本选取科学可靠。内部信息与沟通包括董事会、管理层、相关部门（专业部门、审计部门与内部控制部门）等机构、部门和人员之间的信息传递与沟通以及对于企业信息系统的运用；外部信息与沟通包括与监管机构、审计师、专业咨询机构等的沟通，例如及时跟进内控相关法规、指引的更新，与监管机构和专业咨询机构探讨自我评价执行中的困惑与经验，与审计师就风险识别和评价标准等问题进行沟通等。六、 监督与考核企业应当建立适当的内部控制评价质量监控体系；对评价所发现的内控缺陷整改情况进行报告和持续监督；建立关于评价过程执行情况和评价结果发现情况两个层面的员工考核激励机制。需要注意的是，企业从上述五个方面着手建立的内部控制评价体系，并不是一个一劳永逸的系统，企业需要不断总结过去内部控制评价工作的长处和不足，对内部控制评价的过程和结果持续不断地进行监督，并充分利用合理的考核机制强化长处、抑制不足，通过这个闭环的循环体系不断优化、提升内部控制评价系统。第二节 组织与人员企业内部控制基本规范中规定“董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作”；还要求“审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力”。这些规定明确了董事会（审计委员会）、监事会、经理层在企业内部控制体系建立、健全和实施过程中的责任、定位和作用。另外，按照企业内部控制评价指引中对内部控制评价的定义可以看出，内部控制评价的责任主体是董事会或类似权力机构，这与基本规范中对董事会在内部控制中的责任一致。虽然我国相关制度规定已经对企业内部控制评价中的责任主体以及各方的定位和作用进行了规定，但是从企业执行的现状来看，仍然存在两方面的突出问题：第一，内部控制责任主体缺位，造成内部控制评价工作缺乏有效组织，无法达到预期效果。在执行内部控制评价的过程中，相当一部分企业将内部控制的责任主体认定为企业，还有一小部分企业将管理层认定为内部控制的责任主体，或是认为应由董事会及管理层共同负责，或是尚不明确内部控制的责任主体。将企业认定为责任主体表面上看落实了相关责任，实质上造成了内部控制工作落地难的问题，容易使企业各部门、各层级互相推诿；对于管理层是否可以作为责任主体的问题，国内外相关方面的争议一直不断。考虑到内部控制不仅仅包括管理层对下属的管理控制关系，而且涵盖公司治理层面的控制，将管理层作为责任主体不利于确保内控评价的全面性。此外，近年来国内外发生的一系列管理高层舞弊事件，再次提醒企业：将内部控制职责交给管理层的最大问题在于不利于维护企业股东和债权人的利益；责任主体不明确或是多个责任主体造成了实质上责任主体的缺位，一旦企业内部控制失效则很难追究相关责任。责任划分不明确，还会导致相应的内部控制评价工作缺乏有效的组织，造成评价工作流于形式，变成应付外部监管要求的工具，与企业建立内部控制的初衷相背离，最终无法通过促进和提高企业内部控制达到实现控制目标的目的。第二，内部控制评价人员的专业素质尚待提高。内部控制评价人员负责具体实施内部控制评价工作，其专业胜任能力直接决定内部控制评价工作的效率和效果，因此企业应该重视对内部控制评价人员的选任和持续培养。但现实情况是，一些企业没有设置专门的内部控制评价部门及人员，或是评价人员缺乏，需要开展此项工作时，企业临时从各部门抽调人员组成内控评价小组，但未对这些人员的独立性、业务胜任能力和职业道德素养进行全方位评估，以判断其是否能够胜任。而且在评价工作开始之前和进行过程中，企业没有组织专门的内部控制方面的培训，以提高评价人员对内部控制了解的深度和广度。针对这两个方面的突出问题，企业可考虑从以下三个方面着手解决：第一，企业应合理分配各层级员工与内部控制评价相关的职责。董事会作为对内部控制评价承担最终责任的主体，可以通过审计委员会来行使对内部控制评价的组织、领导、监督职责。经理层负责组织实施内部控制评价，可以授权内部控制评价机构具体实施，但是应给予充分的支持。董事会及高级管理层应立言、立行以昭示其对内部控制评价的充分重视，并为内部控制评价调配充分的资源。内部控制评价机构根据授权承担内部控制评价的具体组织实施任务，各业务部门负责组织本部门的内控自查、测试和评价工作，各下属单位逐级落实内部控制评价责任，建立日常监控机制，并按照上级单位的要求进行自评及上报。第二，企业应考虑成立专门的内控机构、设置稳定的内控岗位，以符合内控工作自身专业性及独立性的要求，以及内控工作在组织管理、内外协调沟通、制度维护、监督评价等方面的职能需要。内控是一个动态的、全面性、系统性的工程，涉及到企业各项业务、每一位员工，而且随着内控工作的不断深入推进，部分岗位的工作量将成倍增加，仅依靠兼职的部门或人员已不能完全胜任工作。因此，建议开展内控评价的企业，在董事会及高管层面设立专门的内控委员会（内控工作领导小组），全面负责及指导公司内控评价工作；在工作层面视其工作情况，初期以成立审计、财务、业务、IT等部门牵头的跨部门工作团队来负责内控评价工作，待条件成熟后，可考虑设立专门的内控评价机构、配备稳定专业的内控评价岗位，并明确定位其管理职能，授予其必要的独立性和权威性。在落实内控评价工作部门职责时，应充分考虑其独立性和专业性。对于条件成熟的企业而言，应由管理层和内部控制部门负责组织内部控制的建设、实施和自我监督评价工作；在审计委员会的监督下，由内部审计部门负责内部控制的独立评价工作。总体组织结构如下图所示：企业内部控制评价指引第十二条规定：“企业可以授权内部审计部门或专门机构（以下简称内部控制评价部门）负责内部控制评价的具体组织实施工作”。内部审计部门作为内控评价部门的优势主要体现在三个方面：首先，由于内审部门独立于实施内控建设工作的管理层和各业务部门，可以较为充分地确保内控评价的独立性和客观性；其次，内审部门可以借助其专长，有效地把控企业风险与内控的关系，有利于确保评价工作的效率与效果；此外，通过多年的审计工作，内审部门在本企业目标、风险、经营管理以及业务流程等方面均有较为全面了解，相较其他业务部门而言具有独特的优势。第三，在选任及培养自己的内部控制评价人员团队方面，企业需要关注和培养专业人员在理论基础、专业技能、行业经验以及项目管理经验四个方面的能力，其中理论基础方面，内控评价人员需要熟悉内部控制框架理论、内部控制评价的监管要求，并在此基础上，开发适合自身企业特点的内部控制评价方法论；在专业技能方面，企业需要在风险评估、内控设计和执行有效性测试、缺陷认定等各方面，以及业务、财务、IT、公司层面控制等各领域，均配备相关具有比较丰富的专业技能和经验的人员；在行业经验方面，评价人员需具备丰富的行业经验，熟悉本企业所处行业的一般运作规律及关键风险，以利于识别企业的关键评价领域；在项目管理方面，评价人员如具备一定的项目管理能力，则能推进评价项目顺利进行并达到预期目标。为了保证内部控制评价人员的持续胜任能力，企业还应根据实际情况组织对评价人员进行持续教育，教育形式可包括聘请专家进行专业培训、评价人员内部交流工作经验和心得、订阅专业报刊、专题交流和讨论等。另外，为了弥补企业内部评价人员在某些项目上专业胜任能力的不足，尤其是内控基础比较薄弱的企业，还可考虑请外部专业咨询机构协助进行内部控制评价工作。第三节 风险评估风险是影响企业目标实现的不确定因素。有效的内部控制有助于确保对于固有风险所采取的一系列应对措施得以有效实施从而将剩余风险水平控制在一定范围内，进而为企业目标的实现提供合理保证。内部控制自我评价旨在审视现有内部控制的设计和执行情况是否能够支撑风险应对措施的有效实施，进而使剩余风险降低在可容忍程度之内。因此，对于风险的有效评估成为评价内部控制是否有效的前提。尽管目前许多企业已经从概念上认识到风险与内部控制的关系，但是在实际执行内部控制自我评价的过程中却没有将风险评估与内部控制自我评价相结合，主要表现为两方面：第一，风险评估与内部控制“两张皮”。国内一些企业根据外部监管机构的要求或内部需要建立了初步的风险管理机制，定期进行风险识别和评估，并形成了风险评估报告，但是没有将风险评估结果与自身的内部控制建设及内部控制自我评价相结合。这就导致了风险评估工作没有真正落地，评估确定的风险没有被进一步细分并落实到具体的业务流程、控制措施、责任部门及责任人。风险与应对措施缺乏接应，致使风险评估报告流于形式，不能实现其根本用途。第二，工作方法“舍本逐末”，直接陷入具体的控制措施，而忽略对风险的把控，导致事倍功半。与具体控制措施的梳理和评估工作相比，风险评估没有统一而具体的标准，通常需要依赖更多的职业判断，对相关人员的素质要求较高。一些企业由于人员素质所限，尚未建立风险管理和评估机制。这些企业在进行内部控制建设和自我评价工作时也没有进行风险评估，而是将注意力和资源直接投入到具体的业务流程和控制措施中，以致企业对于某些重大风险没有设置恰当的控制措施或者投入了过多的资源在较低风险的领域。采取这种舍本逐末的工作方法从一开始就降低了整个工作的效率与效果。因此，为了从根本上达到内控评价工作的效果，同时兼顾工作效率，企业应当采取以风险为导向的内部控制自我评价方法，即将风险评估作为内部控制自我评价的基础，将风险评估的结果运用于内部控制评价的全过程。科学有效的风险评估方法和程序是有效开展风险评估的基础，以下为风险评估主要方法和程序的介绍。一、风险评估的程序一般来说，风险评估涉及目标设定、风险识别、固有风险评估、风险应对、剩余风险评估等主要步骤，总体流程如下：（一）目标设定目标设定是风险评估的前提。企业目标可以分为战略目标、经营目标、合规目标、报告目标、资产安全目标等，其中战略目标为其他目标的实现奠定了基础。企业应当在明确企业使命的基础上，通过对企业所处的外部环境、行业特点以及企业自身内部环境因素的分析，确定企业的战略目标和战略。在既定战略的基础上，企业可以确定支持战略实现的