內部控制自我評價

怎樣寫內控自我評價?

一般情況下，根據自我評價報告內容和內控體系實際建設情況，外部審計機構對于企業(yè)的內部控制體系會出具三種意見的某一種：

達到內控要求：同意評價報告意見;

有重大缺陷：否定意見;

有范圍限制：撤消業(yè)務約定，或無法表示意見。

上述意見并非僅憑借企業(yè)出具的自我評價報告，還需要依據：

內部控制文檔(內控管理手冊+管理制度匯編目錄);

內控控制程序相關審計結果(如果有);

內控控制程序測試結果;

實質性業(yè)務活動過程文件;

企業(yè)內部評估自查結果(如果有)。

問詢會是一種方式，但不作為審計底稿的依據。因此，一份內控自我評價報告的意義確實沒有多大，雖然是自我評估的表達，但能否讓外部審計機構接受，他們信還是不信需要有其他依據的。如果實際的內控體系只是一套文件，外部審計機構很難出具第一種意見，如果真出具了，對于廣大的中小投資者也是很不負責任的行為。

如果一個企業(yè)在內部控制體系建設過程中確實建立了標準和規(guī)范并予以實施，那在撰寫內控自我評價報告的時候可以有所側重。常規(guī)意義上，一份標準的內控自我評價報告包括(不同企業(yè)根據實際情況有所刪減或強調)：

內控整體情況綜述(包括對整體內控情況評述、組織機構、制度建設和內控職能部門建立和運行情況的描述);

內部控制有效性評估(包括經營環(huán)境控制情況評述，重點內部控制活動和重點業(yè)務活動內部控制情況描述，問題及整改計劃以及綜合評價)

內容不復雜，主要是針對報告期間(一般是1.1-12.31)內部控制建設情況及內部控制體系應用的有效性進行自我評估。做的好企業(yè)，在撰寫自我評價報告前，會考慮通過內部審計部門或由內控職能部門主導完成企業(yè)內部控制的自我評估檢查。同時，對于集團型企業(yè)來說還是檢查和評價各分支機構內控執(zhí)行情況，并進行評價和績效考核的方法。整體情況評價是看企業(yè)在報告期間內有否出現重大風險，是否進行了重大調整，對于調整部分內部控制是如何做的。對于業(yè)務活動部分，除了結合企業(yè)內部控制應用規(guī)范中要求逐一檢查的內容外，主要是針對企業(yè)內控管理手冊中各個控制點的控制情況進行了解并挑出確實卓有成效的部分進行詳細描述。無論怎樣，內控的意義是防止出現重大管理問題，督促企業(yè)進行規(guī)范運作，如果報告期間內企業(yè)已經出現了重大問題，內控評價報告怎樣寫都無法得到外審出具的第一種意見。

正如，重視風險管理和內部控制的企業(yè)會將內部控制作為規(guī)范企業(yè)運作和防范風險的手段，不重視的企業(yè)，會將內控做成只有一紙文書的應付差事。即使企業(yè)什么都沒做，寫出內控自我評價報告也是完全可能的，畢竟沒有企業(yè)是沒有任何規(guī)章制度規(guī)范，在完全失控的狀態(tài)去管理的。

公司內部控制自我評價

在以企業(yè)為紐帶的博弈各方中，內部控制自我評價和審計師對內控的鑒證能夠釋放企業(yè)內部控制有效性的信息，使得投資者得以對管理層內部控制行動和自身的投資風險做出判斷。2006年滬深兩個交易所分別頒布了針對上市公司的《上海證券交易所上市公司內部控制指引》和《深圳證券交易所上市公司內部控制指引》，本文主要對滬市862家通過指定報紙和網站披露了2007年年度報告的上市公司其內部控制自我評價情況進行統(tǒng)計，分析內部控制自我評價產生的效果和存在的問題，并提出針對性建議。本文分為四個部分:第一部分闡述評價依據，第二、三部分通過對披露內控自我評價的公司和未披露內控自我評價的公司從四個維度進行數據分析，分析內控自我評價的效果及存在的問題，最后一部分提出相應建議。

一、評價依據

內部控制自我評價是由企業(yè)董事會和管理層實施的，對企業(yè)內部控制有效性進行評價，形成評價結論，出具評價報告的過程。內部控制有效性是指企業(yè)建立與實施內部控制能夠為控制目標的實現提供合理的保證程度。盡管2007年年報披露內部控制自我評價報告和審計師審計報告時統(tǒng)一的內部控制基本規(guī)范尚未出臺，但無論是財政部2001年頒布的《內部會計控制基本規(guī)范》，還是上海證券交易所的《上市公司內部控制指引》，遵循法律法規(guī)和企業(yè)內部公司章程及董事會議事規(guī)則等內部制度、合法授權使用和處置資產、財務報告及相關信息真實可靠都是內部控制要求達到的基本目標。因此，披露內部控制自我評價報告的公司，大都將財政部的《內部會計控制基本規(guī)范》，或是上海證券交易所的《上市公司內部控制指引》作為評價的依據。

二、數據分析

對包括投資者在內的企業(yè)外界各利益相關者而言，披露內部控制自我評價的信息是了解企業(yè)公司治理與管理規(guī)范化程度、企業(yè)抗風險能力，增強投資者信心的措施;對企業(yè)管理層而言，內部控制自我評價過程，能夠使企業(yè)通過檢測和反省內部控制設計與運行來持續(xù)提高內控系統(tǒng)與控制環(huán)境的藕合度，不斷消除內部控制缺陷，增強企業(yè)抗風險的能力、消除不利于內控目標實現的不確定性因素。

按照《內部會計控制基本規(guī)范》和《上市公司內部控制指引》，一個內部控制系統(tǒng)有效運行的企業(yè)，至少要做到企業(yè)經營中嚴格執(zhí)行國家的法律法規(guī)和公司章程等內部規(guī)章、按合理的授權使用和處置資產、嚴格按會計準則和上市公司信息披露要求對外提供真實可靠的財務報表。已披露內部控制自我評價的企業(yè)在內控自我評價過程中應該能夠基于上述三個目標識別和認定內部控制的設計風險、運行風險以及設計或運行無效而導致錯誤或舞弊的風險，從而為上述三個目標的實現提供合理保證。盡管完善的內部控制系統(tǒng)能同時為實現包括戰(zhàn)略實施、管理效率與效果在內的五個目標提供合理保證，但證券監(jiān)管機構和交易所的監(jiān)管、注冊會計師的財務報表審計基本上是基于上述三個目標進行的。有效的內控系統(tǒng)應該能夠規(guī)避不利于上述目標實現的因素。因此，我們將上市公司未受到證監(jiān)會的處罰和交易所的譴責、對外發(fā)布的財務報表未出現會計差錯、財務報告審計意見為標準無保留意見作為衡量內部控制質量的指標。

三、存在的問題

根據我們對滬市862家上市公司2007年年報中內部控制信息披露狀況的統(tǒng)計分析，可以發(fā)現，自愿披露內部控制自我評估報告的公司雖然比2006年有所提高，但占比仍然比較低，上市公司主動披露內部控制自我評價的意愿不強。但將披露自我評估報告與未披露自我評估報告的公司進行對比，我們發(fā)現，兩類公司在財務報告的可靠性、資金管理與資產使用的合規(guī)性、經營合法性方面均有顯著不同。我們的統(tǒng)計數據表明，就以上三個內部控制目標而言，披露自我評估報告的公司其內部控制有效性更強。