[键入文字] 如何优化上市公司

内部控制自我评价工作的研究

目 录

1.内部控制自我评价工作取得的成效 ..................................................... 3

1.1全员内控意识得到提高 ...................................................................... 3

1.2业务流程更加顺畅，自我评价中发现的内控缺陷得到有效地落实

整改 ............................................................................................................. 4

1.3审计业务的领域得到拓宽，审计工作的影响力得到提高 .............. 4

2.目前国内上市公司企业内部控制自我评价工作面临的主要问题 ..... 5

2.1内控执行力还不够强 .......................................................................... 5

2.2业务部门对内控自我评价工作的重视和参与程度不够，评价过程

存在“走过场”的现象 ................................................................................. 6

3.进一步推进内控自我评价工作的思路 ................................................. 7

3.1加强宣贯，使各级部门明确内部控制及其评价工作的目标和重要

意义，从而不断增强内控执行力 ............................................................ 7

3.2强化全员深度参与，尤其是要充分发挥自评流程牵头部门的作用

..................................................................................................................... 8

3.3将自我评价工作与独立评价工作有机地结合起来，做到优势互补

..................................................................................................................... 8

3.4不断调整、优化自我评价思路及自评标准 ...................................... 9

中国电信集团公司审计部 1

[键入文字] 如何优化上市公司

内部控制自我评价工作的研究

孙明成 司 丽

（中国电信集团公司审计部 ）

[摘要]：本文结合海内外上市公司开展内控自我评价工作的实践，对我国上市公司在内控自我评价工作取得的成效及面临的问题进行了分析，同时探索了下一步继续推进内控自我评价工作的思路。

[关键词]：内部控制1 内控自我评价 内控独立评价

【正文】：

20xx年美国政府颁布了《萨班斯法案》，此后SEC及PCAOB又发布了一系列的条例和准则。这些法规对上市公司内部控制提出了很高的要求，要求公司年报的内容必须包括管理层为公司设立和维持足够的内控系统的责任陈述，管理层就公司最近财政年度结束时内控系统的有效性作出评价，及管理层为评价公司内控系统的有效性而采用的评价架构陈述。法案同时制定了严厉的惩罚措施，规定如公司CEO和CFO明知其书面声明是失实的，罚款可达100万美元，监禁可至101所谓内部控制：是指一个单位为了实现安全、健康和可持续发展目标；是为保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。

中国电信集团公司审计部 2

[键入文字] 年；故意作虚假书面声明的，罚款可达500万美元，监禁可至25年。

20xx年6月，国资委出台《中央企业全面风险管理指引》；20xx年和20xx年，财政部、证监会、审计署、银监会、保监会五部委先后联合发布了《企业内部控制基本规范》和《企业内部控制配套指引》。企业内部控制规范体系将从20xx年起首先在境内外同时上市的公司施行，20xx年1月1日起扩大到在上交所、深交所主板上市的公司中施行；中小板和创业板上市公司将择机施行，同时鼓励非上市大中型企业提前执行。

那么，我国的上市公司，尤其是海外上市公司的内控自我评价工作现状如何？评价工作取得了那些成绩？存在哪些共性的问题？以及如何进一步优化内部控制的评价工作呢？本文结合对目前中国电信、中国移动、中国联通等海内外上市近6年自我评价工作实践，对其进行了分析和研究。

1.上市公司内部控制自我评价工作取得的成效

1.1全员内控意识得到提高

20xx年是中国电信、中国移动等海外上市企业正式执行《萨班斯法案》的要求的第一年，为此，各集团公司都相应成立了内控管理部门，启动了大规模的内部控制自我评价宣传与培训工作，每次评价前，均会召开各部门负责人、流程牵头人、内控管理员参加电视电话 中国电信集团公司审计部 3

[键入文字] 会议，集团公司领导、省公司领导对内控评价工作的重要意义进行宣贯，审计部门也对内部评价工作如何开展进行培训，这种宣贯和培训极大程度地加深了员工对内部控制的理解，通过每年对本人执行的控制点进行自我检查和承诺，对自己执行的控制点进行一次梳理，全员的内控意识普遍得到提高。

1.2业务流程更加顺畅，自我评价中发现的内控缺陷得到有效地落实整改

2005-20xx年，以中国电信为首的各集团公司每年对内控自我评价中设计缺陷和执行缺陷进行分类分析和风险排序。既有公司层面的共性问题，也有个别省分公司的个性化问题；既有部门内存在的问题，也有跨部门配合的问题；既有主观执行不到位的问题，也有客观系统不支撑的问题。针对缺陷的不同情况，对能够立即整改的，执行部门已及时予以改进；对短期内难以整改的系统支撑、细则修订等问题，也明确了整改计划。经过几年的评价、整改再评价，目前缺陷数量明显下降。

1.3审计业务的领域得到拓宽，审计工作的影响力得到提高

开展内控自我评价工作以前，审计工作以财务审计和工作审计为主，内控评价工作的开展使得审计部门和前、后端及管控部门的联系更加紧密，审计业务领域拓宽到企业经营管理的方方面面。 审计部 中国电信集团公司审计部 4

[键入文字] 门不光对内组织内控自我评价，还我针对性的对下属公司开展内控独立评价工作，同时每年还承担了配合外部审计师对公司开展的内控审计工作，在外部审计师和内部业务部门之间架起一座桥梁，对审计中发现的问题及时与外部审计师沟通，为顺利通过外部审计发挥了重要作用。

2.目前国内上市公司企业内部控制自我评价工作面临的主要问题

2.1内控执行力还不够强

2.1.1部分员工在执行内控细则时对控制点的理解不够透彻，存在片面、僵化地照搬实施细则的情况，偏离了内部控制的目的。如法律规范流程规定“合同专用章由法律事务部专人负责保存、管理和使用登记，并限制不相关人员的接触”。有的分公司负责法律工作的员工理解为本单位法律人员编制不够，只有一名法律专职人员，遇出差和外出办公，只能安排综合管理部相关人员代为保管，认为不符合内控，要求增加人员编制。其实任何岗位都可能存在人员出差需他人代办工作的情况，本控制点强调的用印的保管和登记控制，不能根据字义片面理解。

2.1.2部分控制点执行人没有认真履行职责。如，内控规定银行调节表由编制调节表以外的人员进行复核，从形式上看，复核的人都签字了，似乎符合了内控要求，但重新履行一下，甚至连调节表中的银行 中国电信集团公司审计部 5

[键入文字] 对帐单余额与实际的对帐单余额都不一致这样简单明了的错误在复核中都未发现，可见复核人员并没有尽责，没有真正起到控制的作用。

2.2业务部门对内控自我评价工作的重视和参与程度不够，评价过程存在“走过场”的现象

近年来，随着全球金融危机的加深，竞争形势日益严峻，中国企业面临越来越大的经营压力，有的业务部门忙于发展业务，片面追求业务发展带来的收入，忽视发展过程中可能面临的风险。对于内控自我评价工作，往往认为这是牵头部门的事情，在工作繁忙阶段更认为增加了自身的工作量，评价中存在走过场的现象。即使发现自身存在的问题，为避免后续的整改工作，往往化大为小，甚至不予反映。

2.3内控评价工作的深度不够，评价内容过度依赖于内控手册中的控制点。

2.3.1控制点更新不及时会影响自我评价效果。现在各行业都在转型，很多新业务尤其是转型业务流程已发生了变化，企业组织架构也发生了很大变化，原有的很多控制点已不适用。如果不顾环境的变化，照搬原有控制点进行评价，往往会脱离现状。

2.3.2细则中的控制点多是业务流程的一般性描述，未涵盖全部业务的关键控制，很多重要的控制政策体现在集团及省市公司的各项文件制度中。这些细节性规定不可能全部纳入内控细则作为控制点，但却是非常重要的政策制度。仅仅把细则中的控制点作为评价内容，评价的结果往往是发现类似于缺少审核签字等一般性程序缺陷，至于这个 中国电信集团公司审计部 6

[键入文字] 缺陷会造成什么影响，如果不和具体的制度结合起来则很难判断。

3.进一步推进内控自我评价工作的思路

3.1加强宣贯，使各级部门明确内部控制及其评价工作的目标和重要意义，从而不断增强内控执行力

内控控制及其评价工作不仅是为满足《萨班斯法案》及我国内控监管规范的要求，更是防范企业重大风险，提高会计信息真实性和企业管理水平的重要举措。企业所采取的控制措施有没有达到预期的控制目标呢？这就需要通过开展内部控制评价工作来进行评价，也就是说为保障内部控制系统的有效性，要由公司相关机构和人员定期或不定期地审视内部控制系统的设计和执行情况，发现并改进内部控制缺陷，不断优化、完善企业的内部控制，提升企业管理水平。

综观国内外大型公司的运营情况，不难发现，成功的企业各有成功的经验，而失败的企业无一例外都有内部控制失效的问题。如不建立日常的内控评价机制，往往在发现问题时为时已晚。国内的三鹿毒奶粉事件、刘志军巨额受贿等事件都说明，企业内控风险意识不强、防范措施不力，内控预警机制缺失或未发挥应有的控制作用。假如业务部门能够通过内控评价及时发现并防范相应的风险，发生此类案件时的损失就可大大减轻。因此，要充分认识开展内控评价工作的重要意义，增强风险防范意识。

中国电信集团公司审计部 7

[键入文字] 3.2强化全员深度参与，尤其是要充分发挥自评流程牵头部门的作用

COSO对内部控制的定义是，由公司董事会、管理层和其他员工实施的，为实现经营的效率和效果、财务报告的可靠性以及适用法律法规的遵循等目标提供合理保证的过程。从这个定义可以看出，内控自评是需要全员参与、共同实施的，同样，内控评价工作也离不开业务部门的深度参与，仅靠审计部门单打独斗，不可能取得好的效果。业务部门的深度参与主要体现在以下两方面：一是在评价内容和重点的确定上，业务部门要结合自身业务发展、经营管理过程中掌握的情况，确定需要评价的关键风险点（不局限于内控细则中的控制点）；二是在评价缺陷的沟通和整改责任的落实上，公司流程牵头部门要在对各单位评价结果审议的基础上，对分公司提出的内控设计和执行缺陷要进行沟通和反馈，同时，负责设计缺陷和执行缺陷的整改落实。

3.3将自我评价工作2与独立评价工作有机地结合起来，做到优势互补

内审部门在组织实施内部控制评价时，应明确自我评价和独立评价的各自执行主体及其侧重点，并实现二者的有机结合。自我评价由2 2自我评价是由公司各部门人员对各自负责的内部控制进行自我检查，分析和评价其设计和执行的有效性。自我评价主要采取控制点执行人填写自评表、部门召开座谈会、少量重点评价点由执行人以外的第三人进行抽样测试的方式进行。

2独立评价是由内部审计机构和人员对内部控制所进行的一种独立客观的审查和评价活动。独立评价是审计部门在业务部门自我评价的基础上，阶段性地针对企业存在的重大风险和管理薄弱环节进行的深度评价；，而独立评价则由审计部门以访谈、文件检查、设计评价表格、系统数据分析、观察等详细测试的方式进行。

中国电信集团公司审计部 8

[键入文字] 内部控制流程执行者实施，独立评价则由内部审计师承担；自我评价是实时的全覆盖的审查，独立评价是随机的抽样审查；自我评价是日常的基础性工作，独立评价则是建立在自评工作基础上的阶段性工作；自我评价是第一道关，独立评价是第二道关，共同合理地保证企业内部控制的健全有效。

3.4不断调整、优化自我评价思路及自评标准

3.4.1动态把握内控设计的有效性。因行业、规模、组织机构、公司文化、管理哲学等不同，任何两个公司没有完全相同的内部控制。即使对同一个公司来说，在不同的历史阶段、所处竞争环境、业务结构及规模变化时都应当对内部控制的设计作出调整。新业务的发展突飞猛进，在这种情况下，必然要建立新的内部控制，调整原有内部控制。因此对设计有效性的评价内容及评价标准必然也是动态的不断调整的过程。

3.4.2正确认识内部控制的固有限制。首先，内部控制并不等同于管理。虽然它有助于为管理层决策提供可靠的资料，也能帮助管理层对所采取行动的后果作出评价，但并不能取代管理层作出决策，是否采取行动以及采取什么行动属于内部控制范围外的事，因此，决策本身的失误不能归责于内部控制；其次，原本起到控制作用的相关人员如果串通起来，内部控制也会失效。如很多小金库、挪用公款等案件就是由于会计和出纳，甚至是高级管理人员串通起来造成的，在这种情况下，也不能将责任归于内部控制。因此，完善的内部控制系统有助 中国电信集团公司审计部 9

[键入文字] 于提供合理但并非绝对的保证，我们在开展内控评价工作时必须正确认识内部控制的局限性，从而对内部控制作出恰当评价。

3.4.3把握内部控制的成本与效益原则，防止过度控制。某商业上市公司规定，所有的采购合同，无论金额大小必经审计部门会签和一把手审批，审计室主任和公司一把手，半年会签的合同就高达几万个。在这个过程中，表面上看起来是内控严格，追求形式上的审计端口前移，实际上是控制过度；致使公司领导整天埋头于大量的日常审批工作，对企业战略、企业发展的重大事项反而没有太多精力思考，严重违背了内控是促进企业安全、健康和可持续发展的根本目标。

【参考文献】：

1. 香港会计师公会《内部监控与风险管理的基本架构》，20xx年6月

发布

2. 美国《萨班斯-奥克斯利法案》，20xx年颁布

3. COSO《企业风险管理整体框架》，20xx年发布

4. 徐荣才、黄毅勤《企业内部控制目标的趋同与创新》，《中国内部

审计》20xx年第11期P76

5. 王向南、蒋利强《内部控制在反商业贿赂中的应用》，《财会通讯》

20xx年第三3期P79

【作者简介】：

1. 孙明成，男，19xx年出生，注册会计师、MBA，毕业于北京邮电大 中国电信集团公司审计部 10

[键入文字] 学，双硕士。现任中国电信集团公司内控评价处高级主管。

2. 司丽，女，19xx年7月出生，19xx年7月毕业于上海财经大学会计

学系会计学专业，经济学学士学位，现任中国电信江苏公司审计主管经理，会计师职称。

11 中国电信集团公司审计部

 

第二篇：我国上市公司内部控制

内部控制基于企业存在的风险而产生，与公司治理具有高度的相关性，企业内部控制的发展和完善成为企业经营管理的重中之重。美国在 2002 年颁布了《萨班斯----奥克斯法案》（Sarbanes-Oxley Act）。该法案对上市公司内部控制进行了严厉的监管，强制要求内部控制报告随定期报告一同对外披露，其中第302、404 条款要求企业管理当局每个季度对企业内部控制进行评估，并且须经负责公司定期报告审计的注册会计师审核出具审计意见。该法案的颁布成为美国内部控制信息监管史上的转折点。

我国于近年来才开始对内部控制信息披露进行法规控制。2006 年，上交所和深交所先后发布了《××证券交易所上市公司内部控制指引》。两部《指引》都对内部控制的目标、框架、内容和信息披露做出了规定，要求上市公司披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见。2008 年6 月28日，财政部等联合发布了《企业内部控制基本规范》。中国证监会对上市公司内部控制信息的披露作出了一系列规定，特别是对证券公司和上市的商业银行、保险公司在内部控制信息披露方面的要求要高于一般性上市公司。从总体上说，这些规定是较为完善的，但由于年限较短，致使公司对内部控制信息披露过于形式化，因此，需要进一步完善内部控制信息披露制度。

目前，我国内部控制信息披露的规定并未得到有效的执行，上市公司年度报告中，监事会须对公司是否建立了完善的内部控制制度发表独立意见，但是仍然有部分公司没有披露，大多数公司内部控制信息的披露流于形式，往往只有“公司建立了完善的内部控制制度”之类的简单说词，没有实质内容。对于配股的上市公司，在《上市公司发行新股招股说明书》发出之后，均在“公司治理结构”部分披露了内部控制信息，但无论是管理单位的自评还是注册会计师的评价报告均流于形式。从披露主体来看，上市公司内部控制信息披露主体主要有监事会、董事会和独立董事，其中，监事会报告披露是主要的披露形式，这与目前的规定有关。同时，我国上市公司内部控制信息自愿披露动力不足。

二、我国上市公司内部控制信息披露现状的原因分析

上市公司内部控制信息披露形成上述现状是因为我国并没有形成一个系统的内部控制信息披露制度。我国在上市公司内部控制信息披露的制度规定方面尚存在以下不足和缺陷。

（一）披露内容和格式缺乏详细规定

对于一般性上市公司，在证监会20xx年修订的《年度报告内容与格式》中，虽然规定上市公司监事会应就公司内部控制制度是否完善发表独立意见，但是该披露要求仅仅限于“是否建立完善的内部控制制度”，而并未要求披露公司建立的内部控制的详细信息以及监事会的评价。如果仅仅要求披露是否建立完善的内部控制制度，容易造成披露的形式化，信息含量小。另一方面，对于年报摘要，允许公司监事会在认为已建立完善的内控制度时免于披露，这在一定程度上为上市公司减少相关信息的披露和逃避责任提供了理由。同时，对披露的格式也缺乏详细规定，这不仅造成上市公司披露时无所适从，更使得一些上市公司应付了事，不披露详细的信息。

（二）披露形式缺乏统一要求

披露形式缺乏统一要求，使上市公司在内部控制信息披露上存在较大的选择性和随意性。虽然中国证监会要求发行人在招股说明书中披露公司内部控制的信息以及注册会计师的结论性意见，但对内部控制披露的形式却缺乏统一的要求。

（三）缺乏董事会对内部控制信息披露责任的相关规定

在内部控制信息披露的主体方面，主要依赖监事会，而董事会对内部控制信息披露的责任没有相关规定。笔者认为，监事会并非内部控制的责任主体，他们发表意见仅仅是对董事会和经理是否建立内部控制制度的一种监督。建立并维持有效的内部控制制度，是董事会和管理当局的责任。董事会和经理对本企业的内部控制最熟悉，最有能力对其进行评估；同时，将对企业内部控制制度的评估结果报告给投资者，也是董事会和管理当局受托责任的一部分，

提供内部控制信息实际上是解脱受托责任的方式。因此，应明确董事会与管理当局在内部控制信息披露中的责任。

（四）缺乏注册会计师对内部控制信息披露的审计意见

内部控制信息披露缺少注册会计师的审计意见。现行制度只要求会计师事务所对内部控制制度的完整性、合理性与有效性进行评价，提出改进建议，并出具评价报告，没有要求注册会计师对公司的内部控制信息披露的真实性发表意见。这表明我国对上市公司内部控制信息披露的监管还很不健全。正因为没有强有力的监管措施，所以，造成上市公司内部控制信息披露的可信度不太令使用者满意，而且，上市公司在实际披露内部控制信息时采取文字游戏等方法模糊内部控制信息的披露，造成内部控制信息真实性的不确定。鉴于我国外部法规和监控机制的缺失，很可能会使内部控制信息的披露流于形式，达不到应有的效果，因此加强监管势在必行。

三、我国上市公司内部控制信息披露的完善与发展

鉴于目前我国上市公司对现有制度执行不力和我国制度本身的不足，我们应深入探讨、提出改进建议，完善我国内部控制信息披露制度和加强企业对制度的执行力度。

（一）健全和完善内部控制信息披露的规范体系

1.要求所有上市公司董事会在年度报告中披露内部控制的有关信息，同时要求监事会和由独立董事组成的审计委员会发表对内部控制进行评价的意见。为了防止内部控制信息披露的形式化，可以借鉴美国的做法，要求管理当局提供单独的内部控制报告。

2.证监会应当对内部控制信息披露的具体内容和格式做出详细规定，以规范上市公司的披露行为，加强制度的可操作性。内部控制报告应表明：董事会和管理当局对内部控制的责任；公司已经按照标准设计并颁布实施内部控制制度；声明公司已按照有关的标准、程序对内部控制设计和执行的有效性进行了评估，没有发现重大缺陷（如果评估后发现存在重大缺陷，应指出该项缺陷及管理当局对此采取的相关措施）；声明企业的内部控制有效（或除上述缺陷以外内部控制有效），不会发生对公司财务报告的可靠性和对公司资产的安全性、完整性有重大不利影响的情况。在符合成本效益原则的前提下，内部控制报告还应当对企业的基本内部控制制度进行简要的描述，以便信息使用者对其进行评价。

（二）鼓励上市公司自愿披露内部控制信息

目前我国上市公司的内部控制实行的是强制性披露制度。虽然这种强制性的信息披露有利于投资者了解上市公司的相关信息。但是，这种强制性披露要求的合理性仍值得商榷。从总体上说，我国投资者和债权人对内部控制信息的需求仍然不足，上市公司的内控信息供给也存在缺陷，内部控制制度方面的研究及相关规定较不完善，所以目前强制要求所有上市公司披露内部控制信息，难度较大。况且强制性信息披露制度本身也存在着缺陷：一方面上市公司内部控制信息的供给能力是有限的。强制性信息披露的确可以增加上市公司的信息供给，但因受到执行成本、保护上市公司合法权益的制约，其作用是有限的。当披露的社会成本高于社会效用时，这种制度也就失去了存在的意义。另一方面强制披露还会丧失自愿披露所具有的信号传递作用。目前，内部控制的自愿信息披露在我国的上市公司中虽然不普遍，但确实存在这样的动机，也有部分企业尝试着去做。

（三）加强对自愿性内部控制信息披露的监管

上市公司信息披露制度是证券市场监管制度的基石之一，建立合理和完备的上市公司信息披露制度，对于坚定投资者的信心、提高中国证券市场透明度具有十分重要的意义。 加强信息披露的监管制度要从两个方面入手：一是提高信息披露违规者的违规成本，加大违规行为查处的力度，尽早完善证券法中的民事赔偿制度，通过责令违规者赔偿受害投资者的损失可以有效地剥夺违规者通过违规行为所获得的非法利益，从而最大限度地降低违规者的违规期望收益；二是增强证券监管系统的有效威慑作用，确立政府监管、行业自律和社

会监督三位一体的监管框架。鉴于监管部门对首次信息披露和持续信息披露的监管还存在许多漏洞，建议监管部门尽快改进监管程序、充实监管工作的人力、完善监管法规，加强对信息披露的监管。建立信息披露的风险预警系统，提高监管部门的监管能力。

（四）进一步明确内部控制信息披露的责任主体

我国在内部控制信息披露的主体方面，主要依赖监事会，对董事会关于内部控制信息披露的责任方面则没有相关规定。从理论上讲，如果监事会直接向股东大会负责，其领导内部控制的设计和执行将具有较高的独立性。但在现实中监事会形同虚设的问题较普遍，监事会人员的专业胜任能力也难以保证。因此，合理的选择应该是由董事会和（或）管理当局承担内部控制信息披露的责任。