新規范下上市公司內部控制評價報告架構探析

[收稿日期] 2009-03-11

[摘 要] 2008年6月我國發布了《企業內部控制基本規范》，要求上市公司自2009年7月1日起執行該規范以及對內部控制的有效性進行評價并披露年度評價報告。本文結合《企業內部控制基本規范》的相關要求，從內部控制評價報告的范圍、主體、時間和內容方面進行了內部控制評價報告的架構探析。最后提出了內部控制評價報告的參考格式。

[關鍵詞] 內部控制;內部控制規范;評價報告

doi:10.3969/j.issn.1673-0194.2009.18.010

[中圖分類號] F233

[文獻標識碼] A

[文章編號] 1673-0194(2009)18-0029-03

2008年6月28日，財政部、證監會、審計署、銀監會、保監會在北京聯合召開企業內部控制基本規范發布會，會議正式發布了《企業內部控制基本規范》(以下稱新規范)，標志著我國內部控制制度建設取得了突破性進展。新規范的頒布與實施有利于我國資本市場的發展，有利于上市公司建立健全有效的內部控制制度。

一、新規范對上市公司內部控制評價報告的相關規定

新規范要求2009年7月1日起在上市公司范圍內首先施行該規范，執行該規范的上市公司，應當對本公司內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有相應資格的會計師事務所對內部控制的有效性進行審計。同時，新規范規定企業應當結合內部監督情況，定期對內部控制的有效性進行自我評價，出具內部控制自我評價報告。并規定企業根據經營業務調整、經營環境變化、業務發展狀況、實際風險水平，確定內部控制自我評價方式、范圍、程序、頻率。

可以看出，新規范對上市公司的內部控制信息披露從自愿性披露過渡到了強制性披露，上市公司需要披露內部控制的年度評價報告。但是，新規范并沒有對內部控制評價報告的內容、主體及其披露格式作出相應的規定，這無疑帶來上市公司內部控制信息披露的隨意性。首先，一些上市公司可能會利用信息不對稱，只披露有效的內部控制措施，對無效的或有缺陷的內部控制避重就輕，不披露或者少披露。其次，披露主體的缺失會使內部控制評價報告無法歸責，可能會造成各方推諉，無法保證內部控制按照相應的規范有效地設計實施。第三，內部控制格式不規范，上市公司可能會繼續以“作文式”進行內部控制信息的披露，披露內容無條理、無重點，影響信息的使用效果。因此，為促進新規范順利有效實施，內部控制評價報告的范圍、主體、時間以及內容方面應該進一步作出相應的規范。

二、上市公司內部控制評價報告的范圍、主體和時間

規范內部控制評價報告的范圍、主體和時間，可以使利益相關者(包括潛在投資者)能夠借助本報告判斷公司的管理情況和財務報告質量，同時督促上市公司強化內部控制并借以減少公司丑聞和財務舞弊。

(一)上市公司內部控制評價報告的范圍

美國的COSO報告將內部控制目標規定為:保證財務報告的可靠性、經營的效率和效果、現行法規的遵循。而美國《薩班斯——奧克斯利法案》規定，上市公司內部控制披露的內容是與財務報告相關的內部控制報告——財務報告內部控制。美國SEC規定，財務報告內部制具體包括以下控制政策和程序:(1)保持詳細程度合理的會計記錄，準確公允地反映資產的交易和處置情況。(2)為下列事項提供合理的保證:公司對發生的交易進行必要的記錄，從而使財務報表的編制滿足公認會計原則的要求;公司所有的收支活動經過公司管理層和董事的合理授權。(3)為防止或及時發現公司資產未經授權的取得、使用和處置提供合理保證，這種未經授權取得、使用和處置資產的行為可能對財務報表產生重要影響。借鑒美國的相關經驗，我國的內部控制信息披露的范圍也應界定在財務報告內部控制范圍之內。

新規范規定內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效果和效率，促進企業實現發展戰略。目前我國資本市場尚不完善，公司風險管理和內部控制薄弱，如果內部控制報告的范圍規定為合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效果和效率，促進企業實現發展戰略有關的控制，上市公司將花費高昂的成本。因此，考慮成本效益原則，針對我國目前證券市場還不成熟、全部內部控制內容的披露成本過高的情況，在適當借鑒美國經驗的基礎上，監管機構可以強制要求我國上市公司就財務報告內部控制信息進行披露，而對于保證經營合法合規、資產安全以及提高經營效果和效率、促進企業實現發展戰略方面的內部控制，可以不做強制性規定，上市公司可以自愿在報告中作為補充信息披露。

(二)上市公司內部控制評價報告的披露主體

新規范規定董事會負責內部控制的建立健全和有效實施，監事會對董事會建立與實施內部控制進行監督。經理層負責組織領導企業內部控制的日常運行。企業應當成立專門機構或者指定適當的機構具體負責組織協調內部控制的建立實施及日常工作。但是新規范沒有內部控制報告披露主體的規定。那么，內部控制報告是由董事會、監事會、經理層出具還是專門機構出具呢?

較傳統的觀點認為，內部控制報告理應由公司總經理(經營層)負責。這種觀點的出發點是承認內部公司治理和內部控制的明確劃分。內部公司治理解決的是股東、董事會、經理及監事會之間的權責利劃分的制度安排問題，而內部控制解決的是管理當局與其下屬之間的管理控制關系。但是，如果將內部控制報告的責任交由經理層，可能會產生一個很大的問題，那就是經營層控制下的內部控制也許能夠按照經營層的意志有效運行，但可能對維護股東和債權人的權益失效。近年來我國上市公司的一些造假丑聞案件表明，很多舞弊的行為都直接來自公司高層。上交所頒布的《上市公司內部控制指引》中明確指出:公司董事會應確保內部控制健全有效，董事會及其全體成員應保證內部控制相關信息披露內容的真實、準確、完整。我國新規范中明確規定了董事會負責內部控制的建立健全和有效實施，根據“問責制”，應該由董事會出具內部控制報告。

(三)上市公司內部控制評價報告的時間

內部控制評價報告的時間包括內部控制評價報告進行評價的時間和內部控制評價報告進行披露的時間。

內部控制評價報告進行評價的時間，是指董事會是對一定期間還是對一個特定時點的內部控制情況進行評價。選擇某一時點就是對該時點上的內部控制情況進行評價和出具意見;選擇某一期間，則要求對某一期間的內部控制實際情況進行評級并發表意見。內部控制不是某一個事件或某種狀況，也不是某一特定時點的結果，其貫穿于公司整個生產、經營過程。管理當局對內部控制建立和執行情況進行評級，也應該是對這一過程展開的評價。另外，內部控制報告進行評價的時間還要考慮到外部信息使用者對信息的需求。公司反映一定期間內部控制情況，可以使外部信息使用者了解到董事會是如何發現問題、解決問題的，更能從管理當局對內部控制駕馭的過程中獲取他們所需要的信息，了解到這一過程中內部控制可能存在的缺陷，進而判斷這些缺陷是否影響公司財務報告的可靠性。為加強董事會對內部控制的管理，我國的上市公司應提供期間的內部控制報告，針對一段時間的內部控制的有效性進行評價，并在內部控制報告中聲明評價的期間，更能清楚地反映公司內部控制的實際情況，為信息使用者提供更多的信息量，才具有參考價值。

對于內部控制的披露時間，新規范規定上市公司披露年度內部控制評價報告。上市公司選擇年末對內部控制進行評價并且與上市公司年報同時對外披露。選擇年末對內部控制進行評價和披露可以通過對上市公司內部控制的評價結果來確定年報的實質性測試的范圍，從一定程度上減少了年末審計的實質性測試的工作量和公司信息披露成本。

三、上市公司內部控制評價報告的主要內容

(一)董事會內部控制責任的聲明

公司應在內部控制報告中聲明:建立和維護公司的內部控制是董事會的責任。明確內部控制建立與實施的責任，不僅可促使管理當局對內部控制的關注和重視，而且可以加強社會公眾對管理當局內部控制職責的理解。

(二)公司內部控制評價的時間和標準

公司董事會應該說明內部控制評價的時間，即董事會是對哪一段期間的內部控制展開的評價，在選用內部控制整體框架作為評價標準后，應在報告中聲明:本公司系根據《企業內部控制基本規范》對內部控制框架的規定來評價內部控制的建立和執行情況。報告中對內部控制評價時間、標準的說明，能使外部信息使用者了解公司是依據何種標準對哪一期間的內部控制展開評價。

(三)內部控制各組成要素的評價結論

公司按照新規范的“五要素”進行評價后，應該在報告中描述對財務報告內部控制各組成部分要素依據新規范進行評價后的初步結論。上市公司可以根據新規范的內容及公司本身的條件設計財務報告內部控制評價綜合指標體系，根據該內部控制評價的指標體系對內部控制各要素進行評價。

(四)公司內部控制情況的整體評價意見

董事會根據新規范的五大要素對財務報告內部控制作出整體評價。有效性是內部控制評價的基本標準，也可說是建立和執行內部控制想要達到的目標。新規范要求上市公司對內部控制制度的有效性進行評價后出具年度評價報告。

財務報告內部控制的有效性是指在公司的內部控制政策和措施沒有與國家的法律法規相抵觸的前提下，建立的內部控制能夠合理保證財務報告可靠性。評價財務報告內部控制的有效性，不僅要評價公司的內部控制在整體上是否有效，而且要評價各項具體的控制制度是否有效，即各項具體的控制制度是否有明確的目的并發揮其自身的作用。

一旦認為公司的內部控制是有效的，公司應當在內部控制評價報告中聲明:內部控制是有效的，不存在對公司財務報告可靠性有重大不利影響的情況。

如果在評價過程中發現與財務報告可靠性有關的內部控制存在重大缺陷，公司應披露有關的控制缺陷估計對財務報告可靠性產生的影響，同時查明缺陷產生的原因，披露擬采取的改進措施。公司在披露了內部控制的缺陷后，還應對其他內部控制的評價結果進行說明，應在報告中保證:除了已披露的內部控制缺陷之外，其他的內部控制是有效的。

(五)內部控制存在固有缺陷的聲明

董事會應該說明內部控制的存在固有缺陷，即存在由于錯誤或舞弊而導致錯報發生和未被發現的可能性，由于情況的變化可能導致內部控制不恰當或對控制政策、程序遵循程度的降低;內部控制的有效性可能隨著環境、情況的改變而發生改變。如果內部控制報告中僅僅聲明內部控制的有效性，可能會使信息使用者產生某種誤解，認為內部控制可以絕對防止舞弊。

(六)董事會的簽章

內部控制報告經由董事會的會議通過以后，董事會作為內部控制報告的責任主體，應在報告上簽章，表明對內部控制的報告負責。董事會簽章，可以提高董事會對內部控制的責任感，以示對內部報告的可靠性負責。

四、上市公司內部控制評價報告參考格式

根據以上對內部控制報告范圍、主體、時間以及內容的分析，內部控制評價報告可以分為無重大缺陷的內部控制評價報告和有重大缺陷的內部控制評價報告。其基本格式可以參照以下兩種格式:

1無重大缺陷內部控制評價報告參考格式

××股份有限公司內部控制報告

建立和維護內部有效的內部控制是董事會的責任。公司根據《企業內部控制基本規范》并結合公司自身的具體情況制定了內部控制，并予以實施。

我公司對××××年度的內部控制建立和運行情況進行了評價。公司系根據《企業內部控制基本規范》的規定來評價內部控制的建立和執行情況。

我公司是就保證財務報告可靠性方面的內部控制出具的報告，分別就內部環境、風險評估、控制活動、信息與溝通、內部監督五個要素展開評價，主要情況如下(分別說明各組成要素的評價結論):

(1)內部環境。

(2)風險評估。

(3)控制活動。

(4)信息與溝通。

(5)內部監督。

基于以上所述，我公司董事會認為:公司在上述期間的內部控制是完整、合理、有效的，不存在對公司財務報告的可靠性有重大不利影響的情況。

任何內部控制均有其固有限制，存在由于錯誤或舞弊而導致錯報發生和未被發現的可能性。不論設計如何完善、有效的內部控制也僅能對財務報告的可靠性提供合理的保證，由于情況的變化可能導致內部控制變得不恰當，或降低對控制政策、程序的遵循程度。

××股份有限公司董事會

(簽章)

××××年×月×日

2有重大缺陷內部控制評價報告參考格式

××股份有限公司內部控制報告

建立和維護有效的內部控制是我公司董事會的責任。公司根據《企業內部控制基本規范》并結合公司自身的具體情況制定了內部控制，并予以實施。

我公司對××××年度的內部控制建立和運行情況進行了評價。公司系根據《企業內部控制基本規范》的規定來評價內部控制的建立和執行情況。

我公司是就保證財務報告可靠性方面的內部控制出具的報告，分別就內部環境、風險評估、控制活動、信息與溝通、內部監督五個要素展開評價，主要情況如下(分別說明各組成要素的評價結論):

(1)內部環境。

(2)風險評估。

(3)控制活動。

(4)信息與溝通。

(5)內部監督。

(描述內部控制的重大缺陷及其對實現控制目標的影響)有效的內部控制能夠為企業及時防止和發現財務報表中的重大錯報提供合理保證，而上述重大缺陷使我公司的內部控制失去這一功能。

基于以上所述，我公司董事會認為:除上述重大缺陷外公司在上述期間的內部控制是完整、合理、有效的，不存在對公司財務報告的可靠性有重大不利影響的情況。

任何內部控制均有其固有限制，存在由于錯誤或舞弊而導致錯報發生和未被發現的可能性。不論設計如何完善、有效的內部控制也僅能對財務報告的可靠性提供合理的保證，由于情況的變化可能導致內部控制變得不恰當，或降低對控制政策、程序的遵循程度。

××股份有限公司董事會

(簽章)

××××年×月×日

主要參考文獻

[1] 周勤業，王嘯.美國內部控制信息披露的發展及其借鑒[J].會計研究，2005 (2) .

[2] 李明輝，何海，馬夕奎.我國上市公司內部控制信息披露狀況的分析[J].審計研究，2003 (1) .

[3] 楊有紅，汪薇.2006年滬市公司內部控制信息披露研究[J].會計研究，2008(3) .

[4] 蔡吉甫.我國上市公司內部控制信息披露的實證研究[J].審計與經濟研究，2005 (2).