內部控制自我評價

內部控制自我評價

　　怎樣寫內控自我評價?

　　一般情況下，根據自我評價報告內容和內控體系實際建設情況，外部審計機構對于企業的內部控制體系會出具三種意見的某一種：

　　達到內控要求：同意評價報告意見;

　　有重大缺陷：否定意見;

　　有范圍限制：撤消業務約定，或無法表示意見。

　　上述意見并非僅憑借企業出具的自我評價報告，還需要依據：

　　內部控制文檔(內控管理手冊+管理制度匯編目錄);

　　內控控制程序相關審計結果(如果有);

　　內控控制程序測試結果;

　　實質性業務活動過程文件;

　　企業內部評估自查結果(如果有)。

　　問詢會是一種方式，但不作為審計底稿的依據。因此，一份內控自我評價報告的意義確實沒有多大，雖然是自我評估的表達，但能否讓外部審計機構接受，他們信還是不信需要有其他依據的。如果實際的內控體系只是一套文件，外部審計機構很難出具第一種意見，如果真出具了，對于廣大的中小投資者也是很不負責任的行為。

　　如果一個企業在內部控制體系建設過程中確實建立了標準和規范并予以實施，那在撰寫內控自我評價報告的時候可以有所側重。常規意義上，一份標準的內控自我評價報告包括(不同企業根據實際情況有所刪減或強調)：

　　內控整體情況綜述(包括對整體內控情況評述、組織機構、制度建設和內控職能部門建立和運行情況的描述);

　　內部控制有效性評估(包括經營環境控制情況評述，重點內部控制活動和重點業務活動內部控制情況描述，問題及整改計劃以及綜合評價)

　　內容不復雜，主要是針對報告期間(一般是1.1-12.31)內部控制建設情況及內部控制體系應用的有效性進行自我評估。做的好企業，在撰寫自我評價報告前，會考慮通過內部審計部門或由內控職能部門主導完成企業內部控制的自我評估檢查。同時，對于集團型企業來說還是檢查和評價各分支機構內控執行情況，并進行評價和績效考核的方法。整體情況評價是看企業在報告期間內有否出現重大風險，是否進行了重大調整，對于調整部分內部控制是如何做的。對于業務活動部分，除了結合企業內部控制應用規范中要求逐一檢查的內容外，主要是針對企業內控管理手冊中各個控制點的控制情況進行了解并挑出確實卓有成效的部分進行詳細描述。無論怎樣，內控的意義是防止出現重大管理問題，督促企業進行規范運作，如果報告期間內企業已經出現了重大問題，內控評價報告怎樣寫都無法得到外審出具的第一種意見。

　　正如，重視風險管理和內部控制的企業會將內部控制作為規范企業運作和防范風險的手段，不重視的企業，會將內控做成只有一紙文書的應付差事。即使企業什么都沒做，寫出內控自我評價報告也是完全可能的，畢竟沒有企業是沒有任何規章制度規范，在完全失控的狀態去管理的。

　　公司內部控制自我評價

　　在以企業為紐帶的博弈各方中，內部控制自我評價和審計師對內控的鑒證能夠釋放企業內部控制有效性的信息，使得投資者得以對管理層內部控制行動和自身的投資風險做出判斷。2006年滬深兩個交易所分別頒布了針對上市公司的《上海證券交易所上市公司內部控制指引》和《深圳證券交易所上市公司內部控制指引》，本文主要對滬市862家通過指定報紙和網站披露了2007年年度報告的上市公司其內部控制自我評價情況進行統計，分析內部控制自我評價產生的效果和存在的問題，并提出針對性建議。本文分為四個部分:第一部分闡述評價依據，第二、三部分通過對披露內控自我評價的公司和未披露內控自我評價的公司從四個維度進行數據分析，分析內控自我評價的效果及存在的問題，最后一部分提出相應建議。

　　一、評價依據

　　內部控制自我評價是由企業董事會和管理層實施的，對企業內部控制有效性進行評價，形成評價結論，出具評價報告的過程。內部控制有效性是指企業建立與實施內部控制能夠為控制目標的實現提供合理的保證程度。盡管2007年年報披露內部控制自我評價報告和審計師審計報告時統一的內部控制基本規范尚未出臺，但無論是財政部2001年頒布的《內部會計控制基本規范》，還是上海證券交易所的《上市公司內部控制指引》，遵循法律法規和企業內部公司章程及董事會議事規則等內部制度、合法授權使用和處置資產、財務報告及相關信息真實可靠都是內部控制要求達到的基本目標。因此，披露內部控制自我評價報告的公司，大都將財政部的《內部會計控制基本規范》，或是上海證券交易所的《上市公司內部控制指引》作為評價的依據。

　　二、數據分析

　　對包括投資者在內的企業外界各利益相關者而言，披露內部控制自我評價的信息是了解企業公司治理與管理規范化程度、企業抗風險能力，增強投資者信心的措施;對企業管理層而言，內部控制自我評價過程，能夠使企業通過檢測和反省內部控制設計與運行來持續提高內控系統與控制環境的藕合度，不斷消除內部控制缺陷，增強企業抗風險的能力、消除不利于內控目標實現的不確定性因素。

　　按照《內部會計控制基本規范》和《上市公司內部控制指引》，一個內部控制系統有效運行的企業，至少要做到企業經營中嚴格執行國家的法律法規和公司章程等內部規章、按合理的授權使用和處置資產、嚴格按會計準則和上市公司信息披露要求對外提供真實可靠的財務報表。已披露內部控制自我評價的企業在內控自我評價過程中應該能夠基于上述三個目標識別和認定內部控制的設計風險、運行風險以及設計或運行無效而導致錯誤或舞弊的風險，從而為上述三個目標的實現提供合理保證。盡管完善的內部控制系統能同時為實現包括戰略實施、管理效率與效果在內的五個目標提供合理保證，但證券監管機構和交易所的監管、注冊會計師的財務報表審計基本上是基于上述三個目標進行的。有效的內控系統應該能夠規避不利于上述目標實現的因素。因此，我們將上市公司未受到證監會的處罰和交易所的譴責、對外發布的財務報表未出現會計差錯、財務報告審計意見為標準無保留意見作為衡量內部控制質量的指標。

　　三、存在的問題

　　根據我們對滬市862家上市公司2007年年報中內部控制信息披露狀況的統計分析，可以發現，自愿披露內部控制自我評估報告的公司雖然比2006年有所提高，但占比仍然比較低，上市公司主動披露內部控制自我評價的意愿不強。但將披露自我評估報告與未披露自我評估報告的公司進行對比，我們發現，兩類公司在財務報告的可靠性、資金管理與資產使用的合規性、經營合法性方面均有顯著不同。我們的統計數據表明，就以上三個內部控制目標而言，披露自我評估報告的公司其內部控制有效性更強。

　　盡管內部控制自我評價能夠大大提高內控有效性，但上市公司披露內控自我評價報告的公司數量卻很少、比例很低，我們認為，原因可能有以下幾個：

　　1.評價依據缺乏統一性

　　從理論上講，企業內部控制自我評價要圍繞五大目標進行，分別評價其設計有效性和執行有效性。但是，以五大目標、五大要素為核心內容的標準版的內部控制框架《企業內部控制基本規范》2008年5月頒布且于2009年7月1日起實施。盡管2006年滬深兩市分別出臺的《上海證券交易所上市公司內部控制指引》和《深圳證券交易所上市公司內部控制指引》存在著導向和詳細程度的差別，但都要求上市公司按照有關規定建立內部控制系統[1]。在此之前的內控有關規定有國務院國資委頒布的《中央企業全面風險管理指引》、銀監會頒布的《商業銀行內部控制指引》、證監會頒布的《證券公司內部控制指引》、財政部頒布的《內部會計控制基本規范》等。這些法規的執行范圍相互交叉，法規的內容相互聯系但又不完全相同，同一個公司可能同時適用不只一個內部控制規范。政出多門給上市公司傳遞這樣一種信息：內部控制自我評價是上市公司努力的方向，但企業目前并不具備按具有高度認同感的框架進行內部控制自我評價的政策環境。這種認識上的困擾以及政策缺位勢必轉換為執行過程中的阻力，在對公司內部控制進行評價時缺乏統一的評價依據，難以出具評估報告。

　　2.自我評價意識不強

　　從內部控制的制度環境來看，截止2008年為止，我國對上市公司內部控制自我評估報告的披露仍是以鼓勵為主，并不是強制性的要求。強制性規定與鼓勵性要求對披露主體的約束類似于法律和道德對人的約束，強制性規定是基本的要求，是“底線”，跌破底線將承擔的違約成本較高，具體體現為來自于監管部門的處罰甚至法律的制裁，以及由此引發的來自于證券市場的負面影響;而鼓勵性要求屬于“較高”層次的要求，未達到要求并不會有來自于法規強制性的制裁或處罰。這使得大部分上市公司對內部控制有關規定采取的是從寬執行而非從嚴執行，對內部控制自我評估對提高公司治理透明度和樹立投資者信心的功能認識不強，導致主動執行的意識不強。

　　3.評價成本過高

　　美國頒布薩班斯——奧克斯利法案(Sarbanes-Oxley Acts，簡稱SOA)后，社會各界對其具體執行存在許多爭議，其中以執行成本為甚。2002年SEC曾對404條款執行成本初步估計：“所有上市公司年信息揭示成本最多為4950萬美元，每家公司年報和季報平均增加5小時額外工時”。2003年8月，SEC修正其估計：執行404條款年度總成本約為 12.4億美元，平均每家公司9.1萬美元，新增383工時。但隨后的調查顯示，該條款執行成本遠超過此預計(黃京菁，2005)。因此，內部控制自我評價的成本在執行中是一個不容忽視的問題。如果內部控制評價的執行成本過高，導致內部控制設計和執行的總成本超出其所避免的潛在風險損失與形成的控制效果之和，則這一內部控制是低效率甚至無效率的。

　　為此，我們對中國有色金屬建設股份有限公司(以下簡稱中色股份)內部控制自我評價情況進行了實地調查。中色股份內部控制自我評價是由董事會、監事會、董事會秘書辦公室、財務部和審計部在分工與協調基礎上進行的。董事會總體負責內部控制的評價，監事會對內部控制自我評價過程實施監督，董事會秘書辦公室負責組織內部控制自我評價并進行評價中的協調工作，審計委員會按董事會要求落實內部控制自我評價，并就相應事宜與審計部溝通。審計部按規定的程度與方法進行內控評價，財務部協助審計部做好對本部及下屬各單位的內控評價工作。按照公司《內部控制制度》以及其他相關制度的要求，公司主要對以下內容進行評價：1.公司內部控制制度的建立健全及有效性，是否存在缺陷;2.公司內部控制制度重點關注的控制活動，其中尤以第二項評價工作為重。公司在每財年結束后，由董事會制定基本的評價計劃，然后由審計委員會、董事會秘書辦公室會同財務部和審計部共同進行具體的評價事宜。并在評價工作結束后出具評價報告，先呈交經理辦公會最后呈交董事會。在具體的評價工作中，目前公司更多地依靠內部審計部門的內部審計工作和該部門出具的內部審計報告，來得出關于公司內部控制情況的結論。從該公司內部控制自我評價的流程可以看出，雖然內部控制評價的機構設置完整，職責分工明確，但在實際操作中，內部控制評價結論的得出更多依賴內部審計報告，究其原因，更多是出于成本而非技術上的考慮。這與其他相關研究(如，李明輝等，2003;戴彥，2006)的結論是一致的。

　　另一方面，截止2008年我國尚未建立權威性的框架作為構建、評估指引，因此在公司的實踐中缺乏可操作性的評估指南，從而大大提高自我評估的成本，這限制了管理層自我評估的積極性。

　　四、相關建議

　　《企業內部控制基本規范》以及即將頒布的《內部控制評價指引》為內部控制的構建、自我評價提供了框架，同時也提供了企業內部控制自我評價的標準、程序和方法方面的指導，再加上企業多年來積累的內部控制實踐，從監管的角度看，已經具備在上市公司強制實施內部控制自我評價的條件，要求上市公司在年度報告中強制披露內部控制自我評價報告是必然的選擇。在前文對我國企業內部控制自我評價現狀的數據統計及結果分析基礎上，我們認為，當前在推行強制性評價和披露的前提下，應從以下三方面完善內部控制自我評價機制。

　　1.評價目標的選擇應強調強制性與鼓勵性相統一

　　控制目標是據以評價企業在特定領域控制程序是否存在設計缺陷與運行缺陷的依據。《內部控制評價指引》(征求意見稿)第四條的規定以及第八條中關于年度評價的界定無疑是正確的[2]。但是給予企業太大的內控評價目標選擇會造成評價報告的不可比，甚至使投資者無法從報告中獲取有關公司內部控制質量和抗風險能力的基本信息。建議上市公司內部控制自我評價至少應基于財務報告及相關信息真實完整目標、資產安全目標、合法合規目標三個目標進行，同時鼓勵上市公司在做好上述三個目標的內控評價的基礎上進行戰略目標、經營管理的效率和效果目標的評價。在復雜環境下經營的企業，投資者對投資行為的選擇，不僅僅基于財務數據和相關信息做出投資回報和投資風險的判斷，還要基于對公司內部控制系統設計與運行質量的分析來判斷企業的抗風險能力。企業的風險來自于兩個方面：一是來自于違背外部強制性規定，包括合規性、財務報告及相關信息的真實可靠、資產的安全;二是來自于內部管理系統的適應性，包括戰略定位與實施手段、管理的效率與經營的效果。規避第一類風險是基本的風險應對策略，第二類風險只能相機采用規避、接受、降低、分擔的應對策略。避免第一類風險的發生是企業管理的“底線”且第一類風險的類別及控制程度具有較強的剛性、上市公司必須具有較扎實的基礎，圍繞上述三個目標的內部控制自我評價報告無論是對于注冊會計師的鑒證、還是投資者的判斷都有較客觀的尺度。另外，對于第一類風險，無論是企業董事會或管理當局的評估，還是注冊會計師的鑒證或是投資者的判斷，成本都相對較低。第二類風險的具體形式以及應對措施較多地依賴管理當局的經營理念和風險偏好，無論是評價標準的選擇，還是鑒證與判斷標準的確立都存在較大的主觀性，如果要求注冊會計師對第二類風險的評估也超出了注冊會計師的執業能力和法律責任。鑒于此，針對第二類風險的內部控制自我評價不宜采取強制性規定，至少目前不具備強制性評價的基礎。

　　2.細化有效性標準，提高標準的可操作性

　　《內部控制評價指引》(征求意見稿)明確指出，內部控制評價是對內部控制有效性進行評價，有效性包括對內部控制設計有效性和運行有效性。同時，第十條對設計有效性和運行有效性進行了定義[3]。我們認為，對于設計有效性的定義本身是比較嚴謹的，因為只有所有的五個要素都必須得到滿足，才能得出基于一個目標或多個目標的內控系統是有效的結論。但是，該定義過于理論化和泛化，在實務中可能難以把握其確切含義。為此，我們建議將設計有效性定義為：具備勝任能力和相應權力的人按照既定設計來運行控制程序能夠實現控制目標，若存在下列情況之一，則可認為存在設計缺陷：(1)實現某一控制目標所必須的控制程序具有一項或若干項缺陷;(2)實現某一控制目標所必須的控制程序設計不當，以至于即使該項控制按照設計運行也不能實現控制目標。

　　3.將經濟性納入評價標準，強調有效性與經濟性的統一

　　經濟性是指在為內部控制有效性提供合理保證的前提下盡可能降低運行成本。企業的本質在于盈利，無論是控制哪一類的風險，控制的最終目的都是利用受約束的資源為創造最大化的價值奠定基礎或直接服務于價值創造。事實上，在風險評估基礎上進行的控制關鍵點識別和控制流程設計都是權衡成本與效益后的理性選擇。

　　經濟性與有效性存在密切聯系，忽視經濟性的有效性本身背離了內部控制的宗旨。從美國《40位代表人物對薩班斯法案404條款的評論和分類》中可以看出，以美國聯邦儲備局前任主席格林斯潘和投資家巴菲特為首的19位代表(47.5%)對404條款持完全反對態度，反對理由是404條款因監管過度導致執行成本太高[4]。在風險識別的基礎上進行風險分析是確定控制措施的前提，風險分析的過程本身是權衡風險嚴重性(風險發生后損失程度)以及發生的可能性(該風險發生的概率)、據以識別關鍵依存因素和重要控制節點的過程。為目標實現提供絕對保證的內部控制系統并非最優的控制系統，經濟性或成本效益原則允許內部控制系統存在一定水平的剩余風險，并通過危機處理以及管理層干預來應對剩余風險。

　　經濟性評價是評價設計的內部控制系統是否體現了運行過程的經濟性，主要評價在為控制目標實現提供合理保證的前提下是否存在可以省略的節點，例如，對優質客戶提供貸款采用與對普通客戶提供貸款相同的風險控制程序則是不經濟的。經濟性評價應關注：(1)所有的審批程序是否都是必須的，簡化某一環節的審批是否對控制目標的實現造成實質性影響;(2)每一牽制是否都是按照不相容職務分離的要求設置的，是否存在滿足這一要求下的過度牽制;(3)為各崗位配備的員工是否恰如其分地勝任本職工作，既應關注因不具備勝任能力而導致控制失效，也應關注因能力過剩導致不必要的成本支出上升。

【內部控制自我評價】相關文章：

內部控制自我評價03-27

內部控制自我評價03-27

內部控制自我評價9篇04-26

內部控制自我評價(15篇)05-04

內部控制自我評價10篇05-07

內部控制自我評價15篇04-18

內部控制自我評價9篇04-26

內部控制自我評價(9篇)04-26

公司內部控制自我評價報告02-17

內部控制自我評價（通用11篇）09-23