內(nèi)部控制評價與內(nèi)部控制自我評價

課題：內(nèi)部控制自我評價目錄前言2第一章內(nèi)部控制概論6第一節(jié)內(nèi)部控制的定義6第二節(jié)內(nèi)部控制運行過程7第三節(jié)企業(yè)對內(nèi)部控制理解的誤區(qū)8第二章內(nèi)部控制自我評價的概念12第一節(jié)內(nèi)部控制評價與內(nèi)部控制自我評價12第二節(jié)內(nèi)部控制自我評價的概念12第三章內(nèi)部控制自我評價的必要性13第四章美國內(nèi)部控制自我評價法規(guī)指引對我國企業(yè)的啟示17第五章企業(yè)內(nèi)部控制評價體系的建設(shè)23第一節(jié)企業(yè)內(nèi)部控制自我評價體系三維模型24第二節(jié)組織與人員26第三節(jié)風(fēng)險評估30第四節(jié)方法與程序52第五節(jié)信息與溝通62第六節(jié)監(jiān)督與考核64前言一、課題背景進入21世紀以來，美國證券市場相繼爆發(fā)了安然、世界通訊、施樂、默克制藥等一系列財務(wù)造假丑聞，這些丑聞使人們對美國上市公司信息披露的真實性產(chǎn)生質(zhì)疑，動搖了包括美國在內(nèi)的全球投資者對美國資本市場的信心，同時暴露出美國公司治理結(jié)構(gòu)的不平衡和外部監(jiān)督的缺失，為美國經(jīng)濟前景蒙上了陰影。為了提高民眾對美國資本市場、政府經(jīng)濟政策的信心，消除對上市公司財務(wù)報表真實性的擔(dān)憂，2002年7月30日美國總統(tǒng)布什簽署了薩班斯-奧克斯利法案（以下簡稱“薩班斯法案”）。薩班斯法案的出臺不僅對美國資本市場產(chǎn)生了巨大的影響，它也引發(fā)了其他國家監(jiān)管機構(gòu)對內(nèi)部控制的高度重視。各國紛紛借鑒美國的經(jīng)驗，制定了一系列的監(jiān)管規(guī)定，對企業(yè)內(nèi)部控制的建設(shè)、評價和披露提出相關(guān)要求。近年來，我國從國內(nèi)企業(yè)的實際情況出發(fā)，吸收了國際上的先進成果，在內(nèi)部控制相關(guān)制度體系的構(gòu)建方面取得了顯著進展。特別是2008年6月，財政部、證監(jiān)會、審計署、銀監(jiān)會及保監(jiān)會五部委聯(lián)合發(fā)布了企業(yè)內(nèi)部控制基本規(guī)范，從內(nèi)部環(huán)境、風(fēng)險評估、控制活動、信息與溝通以及內(nèi)部監(jiān)督五大要素的角度，對于中國企業(yè)應(yīng)如何建立和維持有效的內(nèi)部控制提出了原則性的要求，建立了具有中國特色的內(nèi)部控制框架。同時，基本規(guī)范還要求適用企業(yè)對內(nèi)部控制有效性進行自我評價，披露年度自我評價報告，并可聘請會計師事務(wù)所對內(nèi)部控制的有效性進行審計。此后，財政部等五部委又于2010年4月發(fā)布了企業(yè)內(nèi)部控制應(yīng)用指引、企業(yè)內(nèi)部控制評價指引和企業(yè)內(nèi)部控制審計指引作為企業(yè)內(nèi)部控制基本規(guī)范的配套指引，指導(dǎo)企業(yè)開展內(nèi)控建設(shè)和評價工作，指導(dǎo)審計師實施內(nèi)部控制審計。上述規(guī)范和指引均屬原則性要求，企業(yè)只有在實施過程中準確理解并靈活運用這些原則，才能使企業(yè)內(nèi)部控制的有關(guān)工作可以事半功倍。特別是，對于按規(guī)定須于2011年1月1日起施實企業(yè)內(nèi)部控制基本規(guī)范和配套指引的企業(yè)，做好內(nèi)部控制的自我評價工作并按照相關(guān)監(jiān)管規(guī)定，按時、保質(zhì)的披露自我評價報告更是迫在眉睫。許多企業(yè)由于是第一次從事內(nèi)部控制的自我評價工作，缺乏相關(guān)工作經(jīng)驗或相關(guān)工作經(jīng)驗有限，在實踐過程中，當(dāng)突然遇到這樣或那樣的實際操作性問題時就會覺得事發(fā)突然，無從下手，難以把握，因而會非常急切地希望了解其他具有相關(guān)經(jīng)驗的企業(yè)和咨詢機構(gòu)在面對同樣的問題時如何應(yīng)對。在上述背景下，本課題以探討企業(yè)在內(nèi)部控制自我評價過程中可能遇到的問題為出發(fā)點，從理論應(yīng)用和實例分析兩個緯度展開研究。二、思路及內(nèi)容概述第一章，內(nèi)部控制概論。準確理解內(nèi)部控制的內(nèi)涵是研究和實施內(nèi)部控制自我評價的首要前提。內(nèi)部控制自我評價工作難以有效實施的問題之一是參與評價的人員沒能真正了解什么是內(nèi)部控制，在執(zhí)行相關(guān)工作過程中，將控制活動與內(nèi)部管理制度或一般經(jīng)營活動相混淆。對評價對象的錯誤理解，導(dǎo)致企業(yè)內(nèi)部控制自我評價工作的工作效率低，成效差，表面上看好像沒有發(fā)現(xiàn)問題，實際上，真正的控制點沒能被包括在測試范圍內(nèi)，而未測試控制點的失效可能引發(fā)的風(fēng)險被掩蓋，無人察覺。另一方面，對內(nèi)部控制的不理解，也使參與內(nèi)部控制自我評價工作的評價人員無法充分發(fā)揮主觀能動性，積極地參與到內(nèi)部控制的持續(xù)完善工作中。因此，本文在開篇對內(nèi)部控制的內(nèi)涵進行了介紹，以明確本文所研究的內(nèi)部控制的具體含義，從而為后文的研究及觀點闡述奠定基礎(chǔ)。第二章，內(nèi)部控制自我評價的概念。在闡明內(nèi)部控制的涵義后，本章節(jié)對本文的研究對象“內(nèi)部控制自我評價”的概念進行界定。第三章，內(nèi)部控制自我評價的必要性。對于企業(yè)來說，實施內(nèi)部控制自我評價不僅是為了應(yīng)付監(jiān)管機構(gòu)的要求，同時也是企業(yè)自身健全內(nèi)部控制體系、防范風(fēng)險的需要。本章節(jié)論述了內(nèi)部控制自我評價工作在內(nèi)控體系建設(shè)、財務(wù)報表質(zhì)量以及企業(yè)形象等三方面的重要作用，進而說明企業(yè)做好內(nèi)部控制自我評價的意義。第四章，內(nèi)部控制自我評價相關(guān)法規(guī)和指引。各國政府及監(jiān)管機構(gòu)在為所轄企業(yè)提出該如何搭建內(nèi)部控制自我評價體系的相關(guān)規(guī)定和指引前均投入了大量的人力物力，以研究并論證其將提出的指引如何才能具有實務(wù)操作性和廣泛適用性，并能夠切實解決企業(yè)在實施內(nèi)部控制評價的過程中存在的普遍疑惑和問題。因而，這些法規(guī)和指引對于企業(yè)具有重要的借鑒意義。本章節(jié)將美國與中國有關(guān)內(nèi)部控制自我評價的監(jiān)管制度體系和法規(guī)要求進行了比對分析，為企業(yè)深入思考該如何搭建適用于本企業(yè)的內(nèi)部控制自我評價體系提供了更為廣泛的參考信息。第五章，企業(yè)內(nèi)部控制自我評價體系的建設(shè)。眾多國內(nèi)企業(yè)在搭建自身的內(nèi)部控制評價體系的過程中往往只關(guān)注評價程序和方法這兩個方面的內(nèi)容，而忽略了僅有程序和方法可能無法確保評價工作能夠有效地持續(xù)開展。正如建立一個有效的內(nèi)部控制體系需要內(nèi)部環(huán)境、風(fēng)險評估、控制活動、信息與溝通和內(nèi)部監(jiān)督這五要素相輔相成，內(nèi)部控制自我評價工作的有效進行也需要一個完整的體系來提供全方位的保障。企業(yè)可以考慮從組織與人員、風(fēng)險評估、方法與程序、信息與溝通、監(jiān)督與考核這五方面著手建立企業(yè)內(nèi)部控制自我評價體系。本章內(nèi)容從組織與人員、風(fēng)險評估、方法與程序、信息與溝通、監(jiān)督與考核這五個方面展開，其中各小節(jié)均從企業(yè)內(nèi)部控制自我評價過程中可能存在的問題入手展開分析，提示企業(yè)予以關(guān)注。第一章內(nèi)部控制概論第一節(jié)內(nèi)部控制的定義1992年，美國反欺詐財務(wù)報告全國委員會（National Commission on Fraudulent Financial Reporting）的發(fā)起組織委員會(Committee of Sponsoring Organizations，簡稱COSO) 發(fā)布了著名的內(nèi)部控制整合框架，即“COSO報告”，提出了內(nèi)部控制整體框架思想，將內(nèi)部控制定義為：“內(nèi)部控制是一個由企業(yè)的董事會、管理層和其他人員實現(xiàn)的過程，旨在為下列目標提供合理保證：一是財務(wù)報告的可靠性；二是經(jīng)營的效果和效率；三是符合適用的法律法規(guī)?！?COSO 報告將內(nèi)部控制結(jié)構(gòu)劃分為五個部分，分別是控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)督。COSO報告 對于內(nèi)部控制的定義在歷經(jīng)了多年的實踐考驗后，已成為國際公認的理念，COSO內(nèi)部控制框架也被廣泛地作為企業(yè)內(nèi)部控制體系建立與評價的標準。通過借鑒國外的先進經(jīng)驗和多年的實踐摸索，隨著企業(yè)內(nèi)部控制基本規(guī)范的頒布，我國對于內(nèi)部控制涵義的解讀已取得了重大的突破并與國際先進理念接軌。2008年5月，財政部等五部委在聯(lián)合發(fā)布的企業(yè)內(nèi)部控制基本規(guī)范中對內(nèi)部控制進行了如下定義：“內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程”。內(nèi)部控制目標為五個方面，即合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務(wù)報告及相關(guān)信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。這一定義首先強調(diào)了企業(yè)領(lǐng)導(dǎo)者尤其是董事會、監(jiān)事會和經(jīng)理層在建立與實施內(nèi)部控制中的重要作用；其次，明確了內(nèi)部控制是全體員工的共同責(zé)任；此外，明確指出內(nèi)部控制是一個動態(tài)的概念，是對企業(yè)生產(chǎn)經(jīng)營過程的控制，也是對實現(xiàn)企業(yè)發(fā)展目標的控制，同時還是一個不斷優(yōu)化、完善的過程；最重要的是，該定義將內(nèi)部控制目標在“合法合規(guī)、財務(wù)可靠、經(jīng)營效率與效果”的基礎(chǔ)上進行了細分和擴展：一方面將“資產(chǎn)安全”目標從財務(wù)報告目標中細分出來，另一方面增加了“促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略”的目標。該定義對中國企業(yè)的內(nèi)控體系建設(shè)提出了進一步的要求，企業(yè)需要通過內(nèi)控體系的建立和完善，在經(jīng)營效率和效果方面更上一層樓，從而促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。第二節(jié)內(nèi)部控制運行過程如前所述，內(nèi)部控制不是靜態(tài)的，而是一個持續(xù)優(yōu)化和完善的過程。這一過程是由設(shè)計、執(zhí)行、評價和改進四個環(huán)節(jié)所構(gòu)成的閉環(huán)。其中：一、 內(nèi)部控制的設(shè)計企業(yè)需要針對影響目標實現(xiàn)的風(fēng)險進行識別、評估和應(yīng)對，為確保有效實施風(fēng)險應(yīng)對，企業(yè)需要設(shè)計一整套內(nèi)部控制體系。內(nèi)部控制設(shè)計是內(nèi)部控制循環(huán)的基礎(chǔ)。內(nèi)部控制設(shè)計的載體通常是企業(yè)制定的各種內(nèi)部控制制度。二、 內(nèi)部控制的執(zhí)行內(nèi)部控制執(zhí)行是對內(nèi)部控制設(shè)計的運用。內(nèi)部控制設(shè)計的再完美，若不加以實施就如同紙上談兵，毫無意義。三、 內(nèi)部控制的評價正如一個健康的人也需要定期體檢一樣，任何一個完善的體系都離不開有效的反饋機制，只有定期通過反饋機制對整個體系的運作狀況進行綜合評價，其構(gòu)建者與維護者才能識別體系中的薄弱環(huán)節(jié)，以采取相應(yīng)的改進措施，促進體系的不斷完善。因此，要建立良好的內(nèi)部控制體系也需要一套行之有效的反饋機制，即對內(nèi)部控制系統(tǒng)的健全性、合理性和有效性進行評價，以實現(xiàn)對內(nèi)部控制系統(tǒng)的“再控制”。具體而言，內(nèi)部控制評價是從設(shè)計和執(zhí)行兩個層面對內(nèi)部控制的有效性進行測試、分析，并對內(nèi)部控制設(shè)計和執(zhí)行是否有效做出評價。內(nèi)部控制評價是內(nèi)控過程中非常重要的一個環(huán)節(jié)，或者說是一個承前啟后的環(huán)節(jié)。評價既是對已有控制的總結(jié)，又是未來改進控制體系的重要依據(jù)。評價過程中，通過對內(nèi)部控制系統(tǒng)進行分析和測試，形成評價報告。評價報告既要反映內(nèi)部控制的現(xiàn)狀，還要說明內(nèi)部控制的不足之處，并提出改進建議。四、 內(nèi)部控制的改進企業(yè)管理當(dāng)局應(yīng)根據(jù)內(nèi)控改進建議對企業(yè)的內(nèi)部控制系統(tǒng)實施改進措施。經(jīng)過改進的內(nèi)部控制又將形成內(nèi)部控制系統(tǒng)中新的組成部分，成為以后內(nèi)部控制評價的對象。內(nèi)部控制系統(tǒng)運行的四個環(huán)節(jié)環(huán)環(huán)相扣、循環(huán)往復(fù)構(gòu)成一個完整的內(nèi)部控制運行過程?，F(xiàn)實中，并不存在一勞永逸的內(nèi)部控制系統(tǒng)，內(nèi)部控制系統(tǒng)必須隨著企業(yè)內(nèi)外部環(huán)境的變化，不斷改進。因此，企業(yè)應(yīng)當(dāng)長期持續(xù)的開展內(nèi)部控制評價，及時對自身的內(nèi)部控制體系加以改進以適應(yīng)新的變化和要求。第三節(jié)企業(yè)對內(nèi)部控制理解的誤區(qū)雖然我國在內(nèi)部控制理論方面已建立了權(quán)威的框架，但是許多企業(yè)在執(zhí)行相關(guān)工作的過程中對于內(nèi)部控制的理解仍然存在誤區(qū)，突出表現(xiàn)為兩方面：一是將內(nèi)部控制與企業(yè)內(nèi)部管理制度相混淆；二是將內(nèi)部控制與業(yè)務(wù)活動相混淆，未能深刻認識到內(nèi)部控制是一個完整的“體系”。以下，將以示例的方式從上述兩個方面分別闡述，輔助企業(yè)正確理解內(nèi)部控制的涵義并準確地將其運用到內(nèi)部控制評價工作中。一、區(qū)分內(nèi)部控制與管理制度一些企業(yè)認為，為滿足日常經(jīng)營管理的需要，企業(yè)已經(jīng)制定了一系列內(nèi)部管理制度并對企業(yè)日常經(jīng)營活動提出了全面的要求，這些管理要求即構(gòu)成了企業(yè)的內(nèi)部控制體系。這種理解過于片面，一方面忽略了內(nèi)部控制作為一個動態(tài)的“過程”，需要依賴企業(yè)全員的“實施”，另一方面沒有考慮企業(yè)的內(nèi)部管理制度本身是否具備操作性，可以被執(zhí)行和評價。從內(nèi)部控制的定義可以看出，內(nèi)部控制作為一個動態(tài)的過程，若需發(fā)揮作用，即實現(xiàn)戰(zhàn)略、經(jīng)營、報告、合規(guī)以及資產(chǎn)安全等目標，必須依賴于企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工的實施。因此，內(nèi)部控制是一項活動或一系列活動的組合，而不是靜止在書面形態(tài)的制度和要求。如果某個制度或某項管理要求沒有被實施，那么它應(yīng)當(dāng)僅僅被視為游離于內(nèi)部控制體系之外的一篇文字而已，不構(gòu)成任何內(nèi)部控制。當(dāng)然，制度和要求與內(nèi)部控制之間也存在聯(lián)系。如果企業(yè)在實際操作中對于某項控制措施已經(jīng)形成了慣例并且控制效果顯著，那么管理層必然希望該項控制措施未來能夠一貫有效地執(zhí)行下去，不受人員更替的影響。在此情況下，管理層需要將這項良好的慣例形成書面規(guī)定，要求相關(guān)人員比照執(zhí)行，同時還可以依據(jù)這一書面規(guī)定衡量相關(guān)人員的工作是否到位，落實問責(zé)。另外，對于實際操作中欠缺的控制措施，管理層亦可通過制定具備操作性的管理制度來要求相關(guān)人員照章執(zhí)行，從而構(gòu)成真正意義上的內(nèi)部控制 ?？傊?，內(nèi)部管理制度本身并不足以構(gòu)成內(nèi)部控制，但可以促進內(nèi)部控制一貫有效的執(zhí)行。下面要解決的問題是何為具有操作性的管理制度，以某公司的銷售與收款管理制度為例，其中規(guī)定：1) 銷售價格的確定須經(jīng)總經(jīng)理審批或授權(quán)；2) 要將銷售與發(fā)貨記錄進行核對，確保賬賬相符，財務(wù)記錄符合權(quán)責(zé)發(fā)生制。從管理者的角度看來，上述兩項規(guī)定確實對銷售和收款過程中的關(guān)鍵環(huán)節(jié)（價格審批、賬賬核對）提出了要求，這也是國內(nèi)企業(yè)典型的管理制度的編制方式。但是銷售業(yè)務(wù)相關(guān)部門和人員在執(zhí)行中可能存在許多疑問，比如：對于規(guī)定1，由誰負責(zé)發(fā)起并處理價格審批？總經(jīng)理口頭批準即可，還是提交書面審批表？在什么情況下總經(jīng)理可以授權(quán)其他人審批，授權(quán)給誰？對于規(guī)定2，銷售和發(fā)貨信息從何而來，對應(yīng)的職責(zé)部門/人員是誰，信息載體是什么？多久核對一次？出現(xiàn)差異怎么辦？執(zhí)行人員帶著這些疑問開展日常工作，一方面可能導(dǎo)致根據(jù)個人的經(jīng)驗判斷而開展工作，與管理者意圖存在偏差；另一方面也可能導(dǎo)致個別人故意利用管理要求中的“灰色空間”而謀取個人利益，增加舞弊風(fēng)險。因此，這樣的管理制度在給執(zhí)行人員帶來困擾的同時，也不足以支撐企業(yè)的經(jīng)營管理和內(nèi)控評價工作。一項具有操作性的內(nèi)部控制制度規(guī)定至少應(yīng)明確如下基本要素：基本要素以規(guī)定（1）為例以規(guī)定（2）為例誰：客戶經(jīng)理 物資部倉庫管理員、財務(wù)部收入會計何時：在簽訂銷售合同前每月末控制活動：取得總經(jīng)理或適當(dāng)被授權(quán)人對銷售價格的審批將銷售的財務(wù)記錄與實物發(fā)貨記錄進行核對如何做： 填寫銷售價格審批表，注明報價、折扣率、利潤率，并在審批后附上服務(wù)成本費用計算表，依據(jù)報價總金額的不同提交相關(guān)人員審批。單項交易金額<100萬元，提交副總經(jīng)理審批；單項交易金額=100萬元，提交總經(jīng)理審批。財務(wù)部收入會計從財務(wù)系統(tǒng)中導(dǎo)出當(dāng)月銷售分類明細賬，將合計金額與銷售收入科目余額進行核對，確保金額一致；倉庫管理員從物資管理系統(tǒng)中導(dǎo)出當(dāng)月銷售出庫分類明細表；財務(wù)部收入會計與倉庫管理員共同針對銷售分類明細賬與銷售出庫分類明細表中的產(chǎn)品數(shù)量和類別進行核對。跟進措施：若審批未通過，需修改報價金額或內(nèi)容，然后再依據(jù)修改后的金額提交相應(yīng)的人員審批。 核對若發(fā)現(xiàn)差異，需查找出庫單、訂單等原始單據(jù)，確定差異原因。若查明需要調(diào)整財務(wù)或?qū)嵨镔~的，還需要執(zhí)行調(diào)賬程序。（調(diào)賬程序另有控制制度明確規(guī)定）成果及證據(jù)：總經(jīng)理/副總經(jīng)理在銷售價格審批表上簽字。 財務(wù)部收入會計和倉庫管理員編制核對表，在表中注明核對結(jié)果，差異原因，處理方式，并在表中簽字?？刂颇繕耍?確保銷售價格經(jīng)過適當(dāng)?shù)氖跈?quán)確保銷售交易入賬的完整性、真實性和準確性。二、區(qū)分內(nèi)部控制與業(yè)務(wù)活動無論是COSO報告還是企業(yè)內(nèi)部控制基本規(guī)范，均強調(diào)內(nèi)部控制是由控制環(huán)境（內(nèi)部環(huán)境）、風(fēng)險評估、控制活動、信息與溝通及內(nèi)部監(jiān)督五個要素構(gòu)成的整體。內(nèi)部控制任何一個目標的實現(xiàn)都需要依賴五大要素的協(xié)同作用，實現(xiàn)全方位保障。但是在實際操作中，一些企業(yè)對內(nèi)部控制五要素的理解不夠深入，不能從系統(tǒng)的高度把握這些要素 。結(jié)果導(dǎo)致這些企業(yè)在內(nèi)控建設(shè)和評價過程中，僅將工作重心集中于具體業(yè)務(wù)流程的控制活動中，而忽略了對內(nèi)控運行效果影響更加廣泛的控制環(huán)境、風(fēng)險評估、監(jiān)控等要素，偏離了全面性和重要性的原則。企業(yè)應(yīng)當(dāng)充分關(guān)注控制活動以外的控制要素。例如為實現(xiàn)“財務(wù)報告及相關(guān)信息真實完整”這一控制目標，不僅需要銷售、采購、存貨管理等業(yè)務(wù)流程中的各類控制措施發(fā)揮作用，確保具體會計賬戶記錄的真實、完整、準確，更加需要控制環(huán)境、風(fēng)險評估、信息溝通和監(jiān)控等因素協(xié)同作用，包括：董事會、管理層對于財務(wù)舞弊的充分重視、公司對于員工行為守則（包括財務(wù)從業(yè)人員職業(yè)道德）的深入宣貫、審計委員會的有效運行、管理層對于財務(wù)報告相關(guān)風(fēng)險的及時識別與評估、內(nèi)外部投訴檢舉渠道的暢通、內(nèi)部審計職能的有效運行等等。第二章內(nèi)部控制自我評價的概念第一節(jié)內(nèi)部控制評價與內(nèi)部控制自我評價內(nèi)部控制評價是指對內(nèi)部控制系統(tǒng)的有效性進行測試和分析，形成評價結(jié)果，出具評價報告。它包括對內(nèi)部控制設(shè)計和內(nèi)部控制運行兩個層面的測試和分析。內(nèi)部控制評價報告中應(yīng)對企業(yè)的內(nèi)部控制狀況進行合理說明，指出發(fā)現(xiàn)的內(nèi)部控制體系的不足之處，并提出相應(yīng)的改進意見。內(nèi)部控制評價根據(jù)評價主體的不同，可以分為外部評價和內(nèi)部評價兩種。外部評價是指由外部獨立機構(gòu)，例如外部審計師或行業(yè)監(jiān)管單位等，對企業(yè)的內(nèi)部控制系統(tǒng)實施的評價。內(nèi)部評價，是企業(yè)對其自身內(nèi)部控制系統(tǒng)實施的評價，也就是內(nèi)部控制自我評價。第二節(jié)內(nèi)部控制自我評價的概念對于內(nèi)部控制自我評價，目前國內(nèi)外尚沒有形成如同COSO報告對內(nèi)部控制的定義一樣被廣泛認同并應(yīng)用的概念。本文引用了企業(yè)內(nèi)部控制評價指引中的定義，即企業(yè)內(nèi)部控制自我評價是指“企業(yè)董事會或類似權(quán)利機構(gòu)對內(nèi)部控制有效性進行全面評價、形成評價結(jié)論、出具評價報告的過程”。第三章內(nèi)部控制自我評價的必要性本文第一章第二節(jié)提到，內(nèi)部控制自我評價是內(nèi)部控制體系自我完善過程中至關(guān)重要的一環(huán)。此外，內(nèi)部控制自我評價還有助于企業(yè)強化內(nèi)部控制的實施；通過內(nèi)控評價信息披露，企業(yè)可以提升市場形象和公眾認可程度；對于監(jiān)管機構(gòu)而言，通過強制企業(yè)實施內(nèi)部控制自我評價并披露相關(guān)信息可以對整個資本市場的健康發(fā)展起到非常積極的作用。一、內(nèi)部控制自我評價是企業(yè)強化內(nèi)部控制的手段對內(nèi)部控制進行定期評價并將評價報告披露或提供給外部信息使用者，將會強化董事會和管理層的責(zé)任，促使其加強對內(nèi)部控制的重視程度。董事會和高級管理人員對內(nèi)部控制的高度重視會促使員工認真執(zhí)行既定的控制政策和程序。如果董事會將內(nèi)控自我評價作為對管理層、部門和員工表現(xiàn)的一種考核過程，那么這將會對包括高級管理人員在內(nèi)的所有員工起到較強的威懾和監(jiān)督作用，各類錯誤和舞弊將會隨之減少，內(nèi)部控制的效果得以加強。二、內(nèi)部控制自我評價有助于提升企業(yè)市場形象和公眾認可度越來越復(fù)雜的經(jīng)營活動決定了財務(wù)報告已經(jīng)不能滿足外部信息使用者的需要，他們需要了解上市公司更多的信息才能做出判斷。在現(xiàn)今誠信危機日趨嚴重的情況下，內(nèi)部控制信息對于外部信息使用者而言是一項重要的決策依據(jù)，投資者比以往任何時候都更加關(guān)注內(nèi)部控制的信息。公司通過出具或公布內(nèi)部控制自我評價報告，讓投資者清晰地了解企業(yè)的風(fēng)險管理水平、內(nèi)部控制狀況，有助于樹立誠信、透明、負責(zé)任的企業(yè)形象，增強投資者對企業(yè)的信任度和認可度，進而塑造有利的外部環(huán)境，促進企業(yè)的長遠可持續(xù)發(fā)展。三、內(nèi)部控制自我評價有助于提高財務(wù)報告等信息披露的質(zhì)量，促進資本市場健康發(fā)展從理論上講，內(nèi)部控制信息的披露與財務(wù)報告質(zhì)量在一定程度上存在關(guān)聯(lián)。對于上市公司而言，在被要求進行內(nèi)部控制自我評價并向外部信息使用者提供內(nèi)部控制自我評價報告的情況下，公司董事會和管理層出于減輕自身責(zé)任以及公司長遠利益的考慮，不得不真正關(guān)注內(nèi)部控制的建設(shè)和執(zhí)行情況，從而不斷完善公司的內(nèi)部控制。一旦公司具備了健全、有效的內(nèi)部控制，可以消除財務(wù)報告信息失真的誘因，合理保證財務(wù)報告質(zhì)量。以下對于上海證券交易所上市公司的調(diào)查數(shù)據(jù)可以從財務(wù)報表的會計差錯更正和外部審計師審計意見兩方面印證內(nèi)控自我評價對財務(wù)報告質(zhì)量的影響：1.自我評價與會計差錯更正的關(guān)系上市公司根據(jù)上交所的要求于2007年在年度報告中披露內(nèi)部控制自我評價報告后，公司對年報進行重大差錯更正的情況統(tǒng)計如表1：表1-滬市公司對2007年年報做出重大會計差錯更正的公司 信息來源：周勤業(yè)、吳益兵.2008.滬市上市公司2007年內(nèi)部控制報告分析；中國會計協(xié)會.2010.企業(yè)內(nèi)部控制自我評價與審計.大連出版社數(shù)量與比重按報告情況分類對2007年年報進行重大會計差錯更正的公司數(shù)量在同類（披露/未披露）公司中占比在165家存在大會計差錯更正的公司中占比在862家滬市公司中占比（1）揭露自我評價報告公司1510.4%9.1%1.74%（2）未披露自我評價報告公司15020.9%90.9%17.4%合計165-100%19.14%從表1可以看出，滬市862家發(fā)布2007年年報的上市公司中，共有165家公司隨后進行重大會計差錯更正，占滬市862家上市公司的19.14%。而在165家進行重大會計差錯更正的公司中，僅有15家公司披露了自我評價報告，其余150家公司均未披露自我評價報告，二者分別占全部進行重大會計差錯更正公司的9.1%和90.9%。在已披露自我評價報告的144家公司中，僅有10.4%的公司隨后進行了重大會計差錯更正，而未披露自我評價報告的718家公司中，有20.9%的公司進行了重大會計差錯更正。因此可以認為，從減少重大會計差錯更正這一角度，管理層出具自我評價報告對改善內(nèi)部控制質(zhì)量有顯著作用，即管理層通過對企業(yè)內(nèi)部控制的自我評價，可以及時發(fā)現(xiàn)企業(yè)內(nèi)部控制缺陷，適時實施改進方案，對提高財務(wù)報告的可靠性有較為明顯的積極作用。2.自我評價與審計意見的關(guān)系除了重大會計差錯更正，財務(wù)報告的審計意見類型也是衡量上市公司財務(wù)報告質(zhì)量的一個重要指標，與被出具標準無保留意見的公司相比，無論是為了提醒報表使用者對強調(diào)事項潛在風(fēng)險的關(guān)注而出具的非標準審計意見報告，還是由于上市公司拒絕按審計調(diào)整建議對會計報表進行調(diào)整以及審計范圍受到限制而出具的非標準意見審計報告，都表明被審計單位內(nèi)部控制存在著不同程度的問題。滬市公司2007年非標準審計意見情況統(tǒng)計如表2：表2-滬市公司2007年非標準審計意見情況統(tǒng)計表信息來源：周勤業(yè)、吳益兵.2008.滬市上市公司2007年內(nèi)部控制報告分析；中國會計協(xié)會.2010.企業(yè)內(nèi)部控制自我評價與審計.大連出版社 數(shù)量與比重按報告情況分類被出具非標準意見公司數(shù)量在同類（披露/未披露）公司中占比在66家非標準審計意見的公司中占比在862家滬市公司中占比（1）揭露自我評價報告公司42.78%6.1%0.46%（2）未披露自我評價報告公司628.64%93.9%7.19%合計66-100%7.65%表2的結(jié)果表明，滬市862家發(fā)布2007年年報的上市公司中，有66家被出具了非標準審計意見（其中48家為加事項段的無保留意見，10家為保留意見，8家為無法表示意見），占862家上市公司的7.65%。在66家被出具非標準意見的公司中，僅有4家披露了自我評價報告，其余的62家公司均未披露自我評價報告，二者分別占該類公司的6.1%和93.9%。在已披露自我評價報告的144家公司中，僅有4家公司（3家加事項段的無保留意見，1家保留意見）被出具非標審計意見，占比為2.78%；而62家被出具非標審計意見且未披露自我評價報告公司則占全部未披露自我評價報告公司的8.64%。從這一組數(shù)據(jù)的對比可以發(fā)現(xiàn)，財務(wù)報告質(zhì)量較低的公司披露內(nèi)部控制信息的動機不足。內(nèi)部控制自我評價報告是管理當(dāng)局對企業(yè)內(nèi)部控制制度的設(shè)計和執(zhí)行是否有效做出評價，并表明其對財務(wù)報告和資產(chǎn)的安全完整無重大不利影響，這實際上表明了管理當(dāng)局的一種合理保證，同時也有利于管理當(dāng)局對內(nèi)部控制存在的缺陷加以改進，提高企業(yè)財務(wù)報告的可靠性，因此，可以在一定程度上減少舞弊的可能性。財務(wù)報告質(zhì)量有問題的公司，由于沒有一個健全有效的內(nèi)部控制對財會人員、管理當(dāng)局形成強有力的約束，從而可能導(dǎo)致他們不遵守相關(guān)的財務(wù)法規(guī)，甚至粉飾財務(wù)報表。第四章美國內(nèi)部控制自我評價法規(guī)指引對我國企業(yè)的啟示有關(guān)內(nèi)部控制自我評價的法律法規(guī)和指引是從外部監(jiān)管的角度出發(fā)，對企業(yè)的內(nèi)部控制自我評價及披露工作給予強制性的規(guī)定抑或參照性的指引，促使企業(yè)更加規(guī)范、有效地執(zhí)行內(nèi)部控制自我評價。各國政府及監(jiān)管機構(gòu)在為所轄企業(yè)提出該如何搭建內(nèi)部控制自我評價體系的相關(guān)規(guī)定和指引前，投入了大量的人力、物力以研究并論證其將提出的指引如何才能具有實務(wù)操作性和廣泛適用性，并能夠切實解決企業(yè)在實施內(nèi)部控制評價的過程中存在的普遍疑惑和問題。其中，美國作為內(nèi)部控制評價理論和實踐方面的領(lǐng)先者，從2002年薩班斯法案頒布至今，經(jīng)過實踐的摸索、討論、修正和更新，內(nèi)部控制評價（包括自我評價和審計師的獨立評價）相關(guān)的規(guī)定和指引已經(jīng)較為完善和成熟。美國的先進經(jīng)驗（無論是管理層的內(nèi)部控制自我評價還是審計師的獨立評價），均可為我國企業(yè)思考如何搭建內(nèi)控自我評價體系并實施自我評價提供重要的參考。美國對于內(nèi)部控制評價的規(guī)定和指引可以分為四個層次，即以薩班斯法案為代表的立法層面、以SEC為主體的監(jiān)管層面、以美國公眾會計監(jiān)督委員會（Public Company Accounting Oversight Board，簡稱PCAOB）為代表的行業(yè)自律層面以及以COSO為代表的專業(yè)研究層面。首先，在以薩班斯法案為代表的立法層面，涉及內(nèi)部控制自我評價的內(nèi)容主要包括以下條款：1、第404條款，對管理層聲明、內(nèi)控自我評價以及外部審計提出基本要求：上市公司應(yīng)當(dāng)在出具年度報告的同時出具一份內(nèi)部控制報告，管理層須在報告中聲明其對建立和維護與財務(wù)報告相關(guān)的內(nèi)部控制系統(tǒng)的責(zé)任并對公司最近財政年度與財務(wù)報告相關(guān)的內(nèi)部控制系統(tǒng)的有效性進行評價。該條款同時還要求擔(dān)任公司年度報告審計的注冊會計師對管理層出具的評價報告進行鑒證并出具報告。2、第302條款，明確了CEO和CFO對于內(nèi)控體系建立健全以及自我評價的責(zé)任：上市公司CEO和CFO應(yīng)當(dāng)在其年度和中期財務(wù)報告上簽名確認，表明他們已閱讀過該報告，以及財務(wù)報表在所有重大方面，公允地反映了公司在該報告期末的財務(wù)狀況及該報告期內(nèi)的經(jīng)營成果；要求CEO和CFO對建立及保持公司內(nèi)部控制系統(tǒng)承擔(dān)責(zé)任，說明公司設(shè)計了所需的內(nèi)部控制，對本公司內(nèi)部控制在簽署報告前90天內(nèi)的有效性進行評估并向外部審計師及董事會下屬的審計委員會說明其存在的重大缺陷和不足；同時在報告中指明在他們對內(nèi)部控制評價之后，內(nèi)部控制是否發(fā)生了重大變化，或是存在其他可能對內(nèi)部控制產(chǎn)生重要影響的因素。其次，在監(jiān)管規(guī)定方面，SEC在薩班斯法案的基礎(chǔ)上出臺了一系列最終條例用以規(guī)定對法案的具體執(zhí)行措施。其中，與內(nèi)部控制自我評估關(guān)系比較密切的有：1、2003年6月頒布的題為財務(wù)報告內(nèi)部控制的管理層報告及對交易法定期報告中披露的核證的最終條例，規(guī)定了404條款遵循的各種細節(jié)性要求。該條例提出了“財務(wù)報告內(nèi)部控制”的操作性定義；要求管理層對內(nèi)部控制有效性的評估必須建立在適當(dāng)?shù)?、?jīng)認可的內(nèi)部控制框架上（比如COSO內(nèi)部控制整合框架）。2、2007年6月20日發(fā)布的管理層評估與財務(wù)報告相關(guān)的內(nèi)部控制的解釋性指南填補了在上市公司遵循404條款方面的指南的空白。該指南屬于解釋性，而非強制性，為上市公司對與財務(wù)報告有關(guān)的內(nèi)部控制進行評價提供了原則性指引，旨在幫助上市公司根據(jù)自身的獨特情況和條件，設(shè)計自上而下的、基于風(fēng)險的評估程序，從而有效且高效地完成對其內(nèi)部控制機制的年度評價工作。3、美國SEC同日發(fā)布了另一最終條例，修改了有關(guān)上市法規(guī)。主要包括：修訂“實質(zhì)性漏洞”的定義使其更加容易被理解；修訂對于審計報告的要求（不再要求審計師對“管理層的評估是否公允表達”出具意見，只要求審計師對于公司內(nèi)部控制的有效性直接出具意見）。第三，行業(yè)自律方面，PCAOB作為對會計師事務(wù)所的行業(yè)監(jiān)管機構(gòu)，根據(jù)薩班斯法案的要求陸續(xù)發(fā)布了1至5號審計準則。其中，與薩班斯法案第404條款聯(lián)系最緊密的是其中的第2號審計準則以及之后取而代之的第5號審計準則“集成在財務(wù)報表審計中的與財務(wù)報告有關(guān)的內(nèi)部控制審計”：1、PCAOB第2號審計準則（PCAOB Auditing Standards 2，以下簡稱“AS2”）該準則適用于同時對客戶的財務(wù)報表和管理層對財務(wù)報告內(nèi)部控制有效性的評估進行的審計，針對此類審計，審計師將出具兩份審計意見：一份針對財務(wù)報告的內(nèi)部控制，另一份針對財務(wù)報表。AS2明確規(guī)定了管理層責(zé)任、審計師的責(zé)任、審計的程序、方法和具體步驟、控制缺陷的評估和審計意見的發(fā)表等內(nèi)容。AS2還對評價審計委員會監(jiān)管的有效性、利用他人的工作、管理層對內(nèi)部控制的聲明、財務(wù)報告內(nèi)部控制審計與財務(wù)報表審計的關(guān)系等作了具體規(guī)定。AS2的劃時代意義是不容辯駁的。過去，內(nèi)部控制僅是管理者考慮的事情，而隨著AS2的頒布，審計師也要對內(nèi)部控制進行詳細的測試和檢查。這一舉措將對投資者起到重要的保護作用，因為穩(wěn)固的內(nèi)部控制是抵御不當(dāng)行為的頭道防護線，是有效的威懾舞弊的防范措施。但在實際執(zhí)行過程中，AS2也使審計工作更加復(fù)雜，進而使公司付出了巨額的審計費用。因此，AS2的編寫思路、詳盡程度、審計過程、審計方法等受到審計師和公司管理層的質(zhì)疑，隨著時間的推移以及法規(guī)設(shè)計思路的轉(zhuǎn)變，AS2的修訂工作越來越變得勢在必行。2、PCAOB第5號審計準則（PCAOB Auditing Standards 5，以下簡稱“AS5”）2007年7月，在獲得SEC的批準后，PCAOB第5號審計準則“集成在財務(wù)報表審計中的與財務(wù)報告有關(guān)的內(nèi)部控制審計”取代了第2號審計準則。AS5一方面將繼續(xù)加強揭示內(nèi)部控制重大薄弱環(huán)節(jié)、降低財務(wù)報表出現(xiàn)重大誤導(dǎo)可能性的能力，另一方面也減少了不必要的審計要求，并對小公司和非復(fù)雜公司的內(nèi)部控制審計做出進一步規(guī)定。這也標志著，在經(jīng)過希望企業(yè)監(jiān)管規(guī)定和法律具有更大靈活性的各行業(yè)組織的推動下，監(jiān)管機構(gòu)所做出的最大讓步。AS5對AS2做出的重要變化主要體現(xiàn)在四個方面：第一，強調(diào)風(fēng)險評估。審計師可以通過對風(fēng)險的評估來調(diào)整審計程序和選擇審計重點，將精力集中于那些可能導(dǎo)致重大錯報的領(lǐng)域，以提高審計效率；第二，取消不必要的審計程序。如刪除審計師評價管理層自身評價過程并出具意見的要求；第三，明確審計工作可以視公司的規(guī)模和復(fù)雜程度而進行伸縮調(diào)整；第四，簡化準則要求，精簡審計程序。AS2中過于詳盡具體的要求限制了審計人員的專業(yè)判斷和靈活選擇審計策略的可能，而AS5改為以原則化的要求指導(dǎo)審計人員的操作，并精簡了相關(guān)的審計程序，以增強準則的靈活性和適用性。在提高了審計效率的同時，企業(yè)為遵循法案而付出的成本也隨之降低。最后，在內(nèi)部控制的專業(yè)研究方面，COSO委員會作為美國內(nèi)部控制的專業(yè)研究機構(gòu)，對美國內(nèi)部控制自我評價制度體系的貢獻和影響也是十分深遠而廣泛的。例如，出于靈活性的考慮，SEC雖然未對內(nèi)部控制評價的框架進行強制性要求，大多數(shù)公司已將COSO內(nèi)部控制整合框架作為其內(nèi)部控制評價的框架標準。經(jīng)實踐檢驗，COSO內(nèi)部控制整合框架已然成為全球最為權(quán)威的內(nèi)控框架；為了引導(dǎo)小型公司的內(nèi)部控制評價工作并同時考慮成本與效益原則，COSO還于2006年發(fā)布了財務(wù)報告內(nèi)部控制小型上市公司指引，從而給予小型上市公司更加具體并貼合實際的指導(dǎo)；此外，COSO于2004年頒布的企業(yè)風(fēng)險管理整合框架，將原有的內(nèi)部控制整合框架納入其中。該框架充分體現(xiàn)了風(fēng)險評估與內(nèi)部控制的密不可分，二者應(yīng)作為一個有機的整體為企業(yè)目標的實現(xiàn)而保駕護航。綜上所述，美國對于內(nèi)部控制評價的規(guī)定和指引中有如下幾點值得我國企業(yè)思考和借鑒：1、強化管理層責(zé)任SOX法案嚴格界定了公司管理層對于與財務(wù)報告相關(guān)的內(nèi)部控制的責(zé)任和義務(wù)，并對違反財務(wù)報表披露要求的行為分別規(guī)定了民事和刑事處罰的要求。SOX法案作為聯(lián)邦層次的法律，是美國政府制定的涉及范圍最廣、處罰措施最嚴厲且最具影響力的公司法律之一。自SOX法案實施以來，美國企業(yè)從CEO、CFO到普通員工，均能夠嚴肅認真地對待法規(guī)遵循工作，使公司內(nèi)部治理的質(zhì)量不斷提高?？梢?，通過立法的方式強化企業(yè)管理層的責(zé)任，對于提高企業(yè)內(nèi)部控制水平起到了顯著的促進作用。2、基于風(fēng)險、自上而下的評價方法美國企業(yè)對薩班斯的遵循經(jīng)驗證明，內(nèi)控評估過于公式化或細節(jié)過多，會導(dǎo)致相關(guān)工作不能集中在風(fēng)險上，評價效果可能無法達到相關(guān)法規(guī)要求。理想的評價方法是將資源用于風(fēng)險最大的領(lǐng)域，避免無視風(fēng)險水平高低而對所有重要賬戶和相關(guān)控制一視同仁；財務(wù)報告內(nèi)部控制評估若能集中在最有可能對財務(wù)報表造成重大影響的財務(wù)報表賬戶和披露相關(guān)的流程和交易類別的相關(guān)控制上，將會更為有效。因此，無論是對于管理層的自我評價還是外部審計師的獨立評價，美國SEC和PCAOB均提出了“基于風(fēng)險、自上而下”的理念。所謂“基于風(fēng)險”，是指對于內(nèi)部控制所實施的一系列評價工作均應(yīng)從了解風(fēng)險開始。而“自上而下”是對評價人員在識別風(fēng)險及確定評價范圍時思維過程的表述。在對與財務(wù)報告相關(guān)的內(nèi)部控制進行評價時，管理層/審計師首先應(yīng)了解與財務(wù)報告相關(guān)的整體風(fēng)險。然后，將重點放在公司層面的控制上，并將工作逐漸下移至重大賬戶、列報及相關(guān)的認定。評價人員需要利用日常經(jīng)驗積累和專業(yè)判斷將注意力集中在最有可能導(dǎo)致財務(wù)報表及相關(guān)列表的重大錯報的領(lǐng)域上，對相應(yīng)的內(nèi)部控制進行測試。在測試過程中，管理層和審計師還應(yīng)通過專業(yè)判斷確定控制測試的性質(zhì)、范圍和時間，對于低風(fēng)險與高風(fēng)險領(lǐng)域控制的測試水平有所不同。運用“基于風(fēng)險、自上而下”的理念，可以使評價方法更加貼近企業(yè)的實際情況和重要領(lǐng)域，評價人員既可以提高工作效率又可以保證工作效果。3、控制組合的概念SEC指出，部分遵循薩班斯法案的企業(yè)由于經(jīng)驗有限，識別出的需要測試的控制多為單個環(huán)節(jié)，而沒有充分運用“控制組合”的理念。SEC建議管理層將測試重點放在控制目標以及用于實現(xiàn)控制目標的控制組合上，而不僅僅是單個的控制。而且，出于確定控制組合運行有效性的目的，管理層不必測試該控制組合的每一環(huán)節(jié)或控制。4、利用經(jīng)驗積累提高靈活性和工作效率SEC認為，管理層可以利用其自身在日常經(jīng)營管理中以及歷年的評價工作中積累的經(jīng)驗，采用靈活的評價方法，提高工作效率。比如：管理層利用前一年的內(nèi)控評價結(jié)果，為下一年度評價范圍的確定提供判斷依據(jù)；管理層可以基于對風(fēng)險的判斷，逐年調(diào)整測試的性質(zhì)、范圍、時間，即在某些年度深入測試選定的內(nèi)控領(lǐng)域而在其它領(lǐng)域進行較少測試，每年可以對測試重點進行調(diào)整。 管理層通過日常經(jīng)營及監(jiān)控工作可以親自執(zhí)行或接觸某些內(nèi)控控制，在許多情況下，管理層可以通過這些工作獲取年度自我評價所需的證據(jù)，進而合理得出截至年度報告日內(nèi)部控制有效運行的結(jié)論。第五章企業(yè)內(nèi)部控制評價體系的建設(shè)雖然企業(yè)內(nèi)部控制評價指引對內(nèi)部控制自我評價的責(zé)任機構(gòu)、評價原則、評價內(nèi)容、評價程序、缺陷認定以及內(nèi)部控制評價報告等進行了明確規(guī)定，但企業(yè)不應(yīng)當(dāng)直接將其作為實施具體評價工作的工具書。對于國內(nèi)一般企業(yè)而言，如何建立一個科學(xué)的內(nèi)部控制評價體系是面臨的首要問題。傳統(tǒng)的內(nèi)部控制評價一般只關(guān)注具體的評價程序和方法，忽略了此項工作作為一個完整的體系需要考慮的因素和必要環(huán)節(jié)，例如：一些企業(yè)沒有針對內(nèi)部控制自我評價工作搭建系統(tǒng)的組織架構(gòu)、確定職責(zé)分工；一些企業(yè)忽略了風(fēng)險評估環(huán)節(jié)，沒有將其充分地融入至內(nèi)部控制自我評價過程中；還有一些企業(yè)沒有將自我評價與考核機制掛鉤等等。企業(yè)內(nèi)控自我評價體系中任何一個環(huán)節(jié)的缺失或任何一個要素被忽略都會影響自我評價工作目標的實現(xiàn)，鑒于此，實施評價的企業(yè)應(yīng)考慮根據(jù)企業(yè)內(nèi)部控制評價指引的相關(guān)要求，結(jié)合企業(yè)實際情況，搭建一套適合自己的內(nèi)部控制評價體系。第一節(jié) 企業(yè)內(nèi)部控制自我評價體系三維模型正如COSO內(nèi)部控制整體框架一樣，企業(yè)同樣可以借鑒三維模型的思路，建立自己的內(nèi)部控制評價體系。如上圖所示，三維立體模型的縱剖面代表內(nèi)部控制自我評價的目標，即確保自我評價的全面性、重要性和客觀性。橫剖面由五大要素構(gòu)成，即自我評價的組織與人員、風(fēng)險評估、方法與程序、信息與溝通、監(jiān)督與考核。模型的側(cè)剖面代表組成企業(yè)的各個分支機構(gòu)或者功能和流程。該體系五大要素中的某一個元素能夠?qū)λ心繕说膶崿F(xiàn)發(fā)揮作用；內(nèi)部控制三類目標中的任一目標的實現(xiàn)，均需要五大要素共同發(fā)揮作用，缺一不可；同樣，為實現(xiàn)自我評價的目標，企業(yè)需要考慮五大要素如何在相應(yīng)的機構(gòu)層級、業(yè)務(wù)單元和流程中發(fā)揮作用。以下是對內(nèi)部控制自我評價體系目標和要素內(nèi)涵的介紹：一、 內(nèi)部控制自我評價目標企業(yè)實施內(nèi)部控制評價至少應(yīng)當(dāng)滿足三方面目標，即全面性、重要性和客觀性。“全面性”要求企業(yè)的評價工作應(yīng)當(dāng)包括內(nèi)部控制的設(shè)計與運行，涵蓋企業(yè)及其所屬單位的各種業(yè)務(wù)和事項；“重要性”要求企業(yè)的評價工作應(yīng)當(dāng)在全面評價的基礎(chǔ)上，關(guān)注重要業(yè)務(wù)單位、重大業(yè)務(wù)事項和高風(fēng)險領(lǐng)域；“客觀性”要求企業(yè)的評價工作應(yīng)當(dāng)準確地揭示經(jīng)營管理的風(fēng)險狀況，如實反映內(nèi)部控制設(shè)計與運行的有效性。二、 組織與人員企業(yè)治理層和經(jīng)理層應(yīng)充分重視內(nèi)部控制評價，并保證給予充分的資源；被評價人員能充分理解內(nèi)部控制評價的作用，并給予充分的配合；與內(nèi)部控制評價有關(guān)的組織架構(gòu)和職責(zé)劃分清晰完善，能保證評價人員具有充分的獨立性和權(quán)威性；評價人員具有相關(guān)專業(yè)技能和勝任能力。三、 風(fēng)險評估識別并評估影響公司目標實現(xiàn)的風(fēng)險，將風(fēng)險評估的結(jié)果運用在包括評價計劃、評價執(zhí)行和評價發(fā)現(xiàn)報告等內(nèi)部控制評價的各階段。四、 方法與程序根據(jù)企業(yè)內(nèi)部控制評價指引的相關(guān)原則和企業(yè)的實際情況，建立標準化的評價方法和程序，并在評價執(zhí)行過程中不斷優(yōu)化。五、 信息與溝通公司建立良好的內(nèi)、外部信息溝通機制，使得內(nèi)部控制評價方案能夠體現(xiàn)最佳的檢查評價范圍和重點，測試樣本選取科學(xué)可靠。內(nèi)部信息與溝通包括董事會、管理層、相關(guān)部門（專業(yè)部門、審計部門與內(nèi)部控制部門）等機構(gòu)、部門和人員之間的信息傳遞與溝通以及對于企業(yè)信息系統(tǒng)的運用；外部信息與溝通包括與監(jiān)管機構(gòu)、審計師、專業(yè)咨詢機構(gòu)等的溝通，例如及時跟進內(nèi)控相關(guān)法規(guī)、指引的更新，與監(jiān)管機構(gòu)和專業(yè)咨詢機構(gòu)探討自我評價執(zhí)行中的困惑與經(jīng)驗，與審計師就風(fēng)險識別和評價標準等問題進行溝通等。六、 監(jiān)督與考核企業(yè)應(yīng)當(dāng)建立適當(dāng)?shù)膬?nèi)部控制評價質(zhì)量監(jiān)控體系；對評價所發(fā)現(xiàn)的內(nèi)控缺陷整改情況進行報告和持續(xù)監(jiān)督；建立關(guān)于評價過程執(zhí)行情況和評價結(jié)果發(fā)現(xiàn)情況兩個層面的員工考核激勵機制。需要注意的是，企業(yè)從上述五個方面著手建立的內(nèi)部控制評價體系，并不是一個一勞永逸的系統(tǒng)，企業(yè)需要不斷總結(jié)過去內(nèi)部控制評價工作的長處和不足，對內(nèi)部控制評價的過程和結(jié)果持續(xù)不斷地進行監(jiān)督，并充分利用合理的考核機制強化長處、抑制不足，通過這個閉環(huán)的循環(huán)體系不斷優(yōu)化、提升內(nèi)部控制評價系統(tǒng)。第二節(jié) 組織與人員企業(yè)內(nèi)部控制基本規(guī)范中規(guī)定“董事會負責(zé)內(nèi)部控制的建立健全和有效實施。監(jiān)事會對董事會建立與實施內(nèi)部控制進行監(jiān)督。經(jīng)理層負責(zé)組織領(lǐng)導(dǎo)企業(yè)內(nèi)部控制的日常運行。企業(yè)應(yīng)當(dāng)成立專門機構(gòu)或者指定適當(dāng)?shù)臋C構(gòu)具體負責(zé)組織協(xié)調(diào)內(nèi)部控制的建立實施及日常工作”；還要求“審計委員會負責(zé)審查企業(yè)內(nèi)部控制，監(jiān)督內(nèi)部控制的有效實施和內(nèi)部控制自我評價情況，協(xié)調(diào)內(nèi)部控制審計及其他相關(guān)事宜等。審計委員會負責(zé)人應(yīng)當(dāng)具備相應(yīng)的獨立性、良好的職業(yè)操守和專業(yè)勝任能力”。這些規(guī)定明確了董事會（審計委員會）、監(jiān)事會、經(jīng)理層在企業(yè)內(nèi)部控制體系建立、健全和實施過程中的責(zé)任、定位和作用。另外，按照企業(yè)內(nèi)部控制評價指引中對內(nèi)部控制評價的定義可以看出，內(nèi)部控制評價的責(zé)任主體是董事會或類似權(quán)力機構(gòu)，這與基本規(guī)范中對董事會在內(nèi)部控制中的責(zé)任一致。雖然我國相關(guān)制度規(guī)定已經(jīng)對企業(yè)內(nèi)部控制評價中的責(zé)任主體以及各方的定位和作用進行了規(guī)定，但是從企業(yè)執(zhí)行的現(xiàn)狀來看，仍然存在兩方面的突出問題：第一，內(nèi)部控制責(zé)任主體缺位，造成內(nèi)部控制評價工作缺乏有效組織，無法達到預(yù)期效果。在執(zhí)行內(nèi)部控制評價的過程中，相當(dāng)一部分企業(yè)將內(nèi)部控制的責(zé)任主體認定為企業(yè)，還有一小部分企業(yè)將管理層認定為內(nèi)部控制的責(zé)任主體，或是認為應(yīng)由董事會及管理層共同負責(zé)，或是尚不明確內(nèi)部控制的責(zé)任主體。將企業(yè)認定為責(zé)任主體表面上看落實了相關(guān)責(zé)任，實質(zhì)上造成了內(nèi)部控制工作落地難的問題，容易使企業(yè)各部門、各層級互相推諉；對于管理層是否可以作為責(zé)任主體的問題，國內(nèi)外相關(guān)方面的爭議一直不斷?？紤]到內(nèi)部控制不僅僅包括管理層對下屬的管理控制關(guān)系，而且涵蓋公司治理層面的控制，將管理層作為責(zé)任主體不利于確保內(nèi)控評價的全面性。此外，近年來國內(nèi)外發(fā)生的一系列管理高層舞弊事件，再次提醒企業(yè)：將內(nèi)部控制職責(zé)交給管理層的最大問題在于不利于維護企業(yè)股東和債權(quán)人的利益；責(zé)任主體不明確或是多個責(zé)任主體造成了實質(zhì)上責(zé)任主體的缺位，一旦企業(yè)內(nèi)部控制失效則很難追究相關(guān)責(zé)任。責(zé)任劃分不明確，還會導(dǎo)致相應(yīng)的內(nèi)部控制評價工作缺乏有效的組織，造成評價工作流于形式，變成應(yīng)付外部監(jiān)管要求的工具，與企業(yè)建立內(nèi)部控制的初衷相背離，最終無法通過促進和提高企業(yè)內(nèi)部控制達到實現(xiàn)控制目標的目的。第二，內(nèi)部控制評價人員的專業(yè)素質(zhì)尚待提高。內(nèi)部控制評價人員負責(zé)具體實施內(nèi)部控制評價工作，其專業(yè)勝任能力直接決定內(nèi)部控制評價工作的效率和效果，因此企業(yè)應(yīng)該重視對內(nèi)部控制評價人員的選任和持續(xù)培養(yǎng)。但現(xiàn)實情況是，一些企業(yè)沒有設(shè)置專門的內(nèi)部控制評價部門及人員，或是評價人員缺乏，需要開展此項工作時，企業(yè)臨時從各部門抽調(diào)人員組成內(nèi)控評價小組，但未對這些人員的獨立性、業(yè)務(wù)勝任能力和職業(yè)道德素養(yǎng)進行全方位評估，以判斷其是否能夠勝任。而且在評價工作開始之前和進行過程中，企業(yè)沒有組織專門的內(nèi)部控制方面的培訓(xùn)，以提高評價人員對內(nèi)部控制了解的深度和廣度。針對這兩個方面的突出問題，企業(yè)可考慮從以下三個方面著手解決：第一，企業(yè)應(yīng)合理分配各層級員工與內(nèi)部控制評價相關(guān)的職責(zé)。董事會作為對內(nèi)部控制評價承擔(dān)最終責(zé)任的主體，可以通過審計委員會來行使對內(nèi)部控制評價的組織、領(lǐng)導(dǎo)、監(jiān)督職責(zé)。經(jīng)理層負責(zé)組織實施內(nèi)部控制評價，可以授權(quán)內(nèi)部控制評價機構(gòu)具體實施，但是應(yīng)給予充分的支持。董事會及高級管理層應(yīng)立言、立行以昭示其對內(nèi)部控制評價的充分重視，并為內(nèi)部控制評價調(diào)配充分的資源。內(nèi)部控制評價機構(gòu)根據(jù)授權(quán)承擔(dān)內(nèi)部控制評價的具體組織實施任務(wù)，各業(yè)務(wù)部門負責(zé)組織本部門的內(nèi)控自查、測試和評價工作，各下屬單位逐級落實內(nèi)部控制評價責(zé)任，建立日常監(jiān)控機制，并按照上級單位的要求進行自評及上報。第二，企業(yè)應(yīng)考慮成立專門的內(nèi)控機構(gòu)、設(shè)置穩(wěn)定的內(nèi)控崗位，以符合內(nèi)控工作自身專業(yè)性及獨立性的要求，以及內(nèi)控工作在組織管理、內(nèi)外協(xié)調(diào)溝通、制度維護、監(jiān)督評價等方面的職能需要。內(nèi)控是一個動態(tài)的、全面性、系統(tǒng)性的工程，涉及到企業(yè)各項業(yè)務(wù)、每一位員工，而且隨著內(nèi)控工作的不斷深入推進，部分崗位的工作量將成倍增加，僅依靠兼職的部門或人員已不能完全勝任工作。因此，建議開展內(nèi)控評價的企業(yè)，在董事會及高管層面設(shè)立專門的內(nèi)控委員會（內(nèi)控工作領(lǐng)導(dǎo)小組），全面負責(zé)及指導(dǎo)公司內(nèi)控評價工作；在工作層面視其工作情況，初期以成立審計、財務(wù)、業(yè)務(wù)、IT等部門牽頭的跨部門工作團隊來負責(zé)內(nèi)控評價工作，待條件成熟后，可考慮設(shè)立專門的內(nèi)控評價機構(gòu)、配備穩(wěn)定專業(yè)的內(nèi)控評價崗位，并明確定位其管理職能，授予其必要的獨立性和權(quán)威性。在落實內(nèi)控評價工作部門職責(zé)時，應(yīng)充分考慮其獨立性和專業(yè)性。對于條件成熟的企業(yè)而言，應(yīng)由管理層和內(nèi)部控制部門負責(zé)組織內(nèi)部控制的建設(shè)、實施和自我監(jiān)督評價工作；在審計委員會的監(jiān)督下，由內(nèi)部審計部門負責(zé)內(nèi)部控制的獨立評價工作?？傮w組織結(jié)構(gòu)如下圖所示：企業(yè)內(nèi)部控制評價指引第十二條規(guī)定：“企業(yè)可以授權(quán)內(nèi)部審計部門或?qū)ｉT機構(gòu)（以下簡稱內(nèi)部控制評價部門）負責(zé)內(nèi)部控制評價的具體組織實施工作”。內(nèi)部審計部門作為內(nèi)控評價部門的優(yōu)勢主要體現(xiàn)在三個方面：首先，由于內(nèi)審部門獨立于實施內(nèi)控建設(shè)工作的管理層和各業(yè)務(wù)部門，可以較為充分地確保內(nèi)控評價的獨立性和客觀性；其次，內(nèi)審部門可以借助其專長，有效地把控企業(yè)風(fēng)險與內(nèi)控的關(guān)系，有利于確保評價工作的效率與效果；此外，通過多年的審計工作，內(nèi)審部門在本企業(yè)目標、風(fēng)險、經(jīng)營管理以及業(yè)務(wù)流程等方面均有較為全面了解，相較其他業(yè)務(wù)部門而言具有獨特的優(yōu)勢。第三，在選任及培養(yǎng)自己的內(nèi)部控制評價人員團隊方面，企業(yè)需要關(guān)注和培養(yǎng)專業(yè)人員在理論基礎(chǔ)、專業(yè)技能、行業(yè)經(jīng)驗以及項目管理經(jīng)驗四個方面的能力，其中理論基礎(chǔ)方面，內(nèi)控評價人員需要熟悉內(nèi)部控制框架理論、內(nèi)部控制評價的監(jiān)管要求，并在此基礎(chǔ)上，開發(fā)適合自身企業(yè)特點的內(nèi)部控制評價方法論；在專業(yè)技能方面，企業(yè)需要在風(fēng)險評估、內(nèi)控設(shè)計和執(zhí)行有效性測試、缺陷認定等各方面，以及業(yè)務(wù)、財務(wù)、IT、公司層面控制等各領(lǐng)域，均配備相關(guān)具有比較豐富的專業(yè)技能和經(jīng)驗的人員；在行業(yè)經(jīng)驗方面，評價人員需具備豐富的行業(yè)經(jīng)驗，熟悉本企業(yè)所處行業(yè)的一般運作規(guī)律及關(guān)鍵風(fēng)險，以利于識別企業(yè)的關(guān)鍵評價領(lǐng)域；在項目管理方面，評價人員如具備一定的項目管理能力，則能推進評價項目順利進行并達到預(yù)期目標。為了保證內(nèi)部控制評價人員的持續(xù)勝任能力，企業(yè)還應(yīng)根據(jù)實際情況組織對評價人員進行持續(xù)教育，教育形式可包括聘請專家進行專業(yè)培訓(xùn)、評價人員內(nèi)部交流工作經(jīng)驗和心得、訂閱專業(yè)報刊、專題交流和討論等。另外，為了彌補企業(yè)內(nèi)部評價人員在某些項目上專業(yè)勝任能力的不足，尤其是內(nèi)控基礎(chǔ)比較薄弱的企業(yè)，還可考慮請外部專業(yè)咨詢機構(gòu)協(xié)助進行內(nèi)部控制評價工作。第三節(jié) 風(fēng)險評估風(fēng)險是影響企業(yè)目標實現(xiàn)的不確定因素。有效的內(nèi)部控制有助于確保對于固有風(fēng)險所采取的一系列應(yīng)對措施得以有效實施從而將剩余風(fēng)險水平控制在一定范圍內(nèi)，進而為企業(yè)目標的實現(xiàn)提供合理保證。內(nèi)部控制自我評價旨在審視現(xiàn)有內(nèi)部控制的設(shè)計和執(zhí)行情況是否能夠支撐風(fēng)險應(yīng)對措施的有效實施，進而使剩余風(fēng)險降低在可容忍程度之內(nèi)。因此，對于風(fēng)險的有效評估成為評價內(nèi)部控制是否有效的前提。盡管目前許多企業(yè)已經(jīng)從概念上認識到風(fēng)險與內(nèi)部控制的關(guān)系，但是在實際執(zhí)行內(nèi)部控制自我評價的過程中卻沒有將風(fēng)險評估與內(nèi)部控制自我評價相結(jié)合，主要表現(xiàn)為兩方面：第一，風(fēng)險評估與內(nèi)部控制“兩張皮”。國內(nèi)一些企業(yè)根據(jù)外部監(jiān)管機構(gòu)的要求或內(nèi)部需要建立了初步的風(fēng)險管理機制，定期進行風(fēng)險識別和評估，并形成了風(fēng)險評估報告，但是沒有將風(fēng)險評估結(jié)果與自身的內(nèi)部控制建設(shè)及內(nèi)部控制自我評價相結(jié)合。這就導(dǎo)致了風(fēng)險評估工作沒有真正落地，評估確定的風(fēng)險沒有被進一步細分并落實到具體的業(yè)務(wù)流程、控制措施、責(zé)任部門及責(zé)任人。風(fēng)險與應(yīng)對措施缺乏接應(yīng)，致使風(fēng)險評估報告流于形式，不能實現(xiàn)其根本用途。第二，工作方法“舍本逐末”，直接陷入具體的控制措施，而忽略對風(fēng)險的把控，導(dǎo)致事倍功半。與具體控制措施的梳理和評估工作相比，風(fēng)險評估沒有統(tǒng)一而具體的標準，通常需要依賴更多的職業(yè)判斷，對相關(guān)人員的素質(zhì)要求較高。一些企業(yè)由于人員素質(zhì)所限，尚未建立風(fēng)險管理和評估機制。這些企業(yè)在進行內(nèi)部控制建設(shè)和自我評價工作時也沒有進行風(fēng)險評估，而是將注意力和資源直接投入到具體的業(yè)務(wù)流程和控制措施中，以致企業(yè)對于某些重大風(fēng)險沒有設(shè)置恰當(dāng)?shù)目刂拼胧┗蛘咄度肓诉^多的資源在較低風(fēng)險的領(lǐng)域。采取這種舍本逐末的工作方法從一開始就降低了整個工作的效率與效果。因此，為了從根本上達到內(nèi)控評價工作的效果，同時兼顧工作效率，企業(yè)應(yīng)當(dāng)采取以風(fēng)險為導(dǎo)向的內(nèi)部控制自我評價方法，即將風(fēng)險評估作為內(nèi)部控制自我評價的基礎(chǔ)，將風(fēng)險評估的結(jié)果運用于內(nèi)部控制評價的全過程?？茖W(xué)有效的風(fēng)險評估方法和程序是有效開展風(fēng)險評估的基礎(chǔ)，以下為風(fēng)險評估主要方法和程序的介紹。一、風(fēng)險評估的程序一般來說，風(fēng)險評估涉及目標設(shè)定、風(fēng)險識別、固有風(fēng)險評估、風(fēng)險應(yīng)對、剩余風(fēng)險評估等主要步驟，總體流程如下：（一）目標設(shè)定目標設(shè)定是風(fēng)險評估的前提。企業(yè)目標可以分為戰(zhàn)略目標、經(jīng)營目標、合規(guī)目標、報告目標、資產(chǎn)安全目標等，其中戰(zhàn)略目標為其他目標的實現(xiàn)奠定了基礎(chǔ)。企業(yè)應(yīng)當(dāng)在明確企業(yè)使命的基礎(chǔ)上，通過對企業(yè)所處的外部環(huán)境、行業(yè)特點以及企業(yè)自身內(nèi)部環(huán)境因素的分析，確定企業(yè)的戰(zhàn)略目標和戰(zhàn)略。在既定戰(zhàn)略的基礎(chǔ)上，企業(yè)可以確定支持戰(zhàn)略實現(xiàn)的