内部控制自评报告

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇内部控制自评报告范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

内部控制自评报告范文第1篇

【关键词】内部控制；自我评价报告；强制披露

内部控制自我评价报告是指上市公司董事会及其审计委员会根据内部控制评价的有效性标准对本公司内部控制的设计和执行情况进行自我评价，以自我评价报告的形式出具评价意见并提供给外部信息使用者的一种书面文件。

在2010财政部、中国证券监督管理委员会、审计署等相关部门的《企业内部控制配套指引》中，出于监管和公司内部管理的双重要求，规定了我国上市公司内部控制自我评价报告至少应当披露下列内容：①董事会对内部控制报告真实性的声明；②内部控制评价工作的总体情况；③内部控制评价的依据；④内部控制评价的范围；⑤内部控制评价的程序和方法；⑥内部控制缺陷及其认定情况；⑦内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；⑧内部控制有效性的结论。

一、文献回顾

Bupa(2004)认为SOX法案的颁布对上市公司的内部控制信息披露提出了强制性要求，对财务报告的舞弊有一定抑制作用，但实施成本很高。Leone（2007）研究了年报中披露内部控制缺陷的上市公司，发现影响内部控制信息披露的因素包括组织结构的复杂性、重要的组织变化以及公司在内部控制系统方面的投资。Ashbaugh-Skaife等(2007)从会计信息质量的角度对内部控制自我评价报告的有用性进行了研究，发现自我评价报告有积极的作用。

国内学者杨有红、陈凌云(2009)以2007年沪市的862家上市公司为研究对象，对其披露的内部控制自我评价报告的情况进行统计，统计结果指出我国上市公司主动披露内部控制自我评价报告总体上还不容乐观，动机不足，并根据结果分析了该状况存在的原因，提出了完善内部控制自我评价机制的政策建议。王惠芳(2009)从财务报告内部控制自我评价报告披露的前提和披露的后果，即财务报告内部控制评价标准的缺失和市场对财务报告内部控制评价报告反应冷淡两个方面，来阐述财务报告内部控制自我评价报告强制性披露所面临的困境。杨有红、何玉润、王茂林（2011）认为市场化程度、法律环境差异和上市公司第一大股东的性质会影响上市公司内部控制自我评估报告信息的披露。

二、企业内部控制自我评价报告的作用

1.内部控制自我评价报告有利于公司管理层强化内部控制报告机制，提高管理层对内部控制的意识和责任，促使管理层建立健全并有效执行内部控制。提供内部控制报告会加大管理层的责任，促使其加强对内部控制的重视。

2.内部控制自我评价报告可以促进财务报告质量的提高。内部控制信息的披露与财务报告质量在一定程度上存在关联。内部控制本身应遵循的内部牵制原则可以减少舞弊发生的概率，提高财务报告表达的真实性，同时一个健全有效的内部控制可以规范管理层的管理活动，间接提高财务报告的质量。

3.内部控制自我评价报告的披露可以为外部信息使用者提供附加信息，帮助投资者做出决策。通过内部控制报告，用户可以一定程度上了解企业管理控制是否有效。同时，作为投资者——企业的真正所有者，也有权知道企业的运行是否正常，企业的资产是否有保障。

4.内部控制自我评价报告有助于形成良好的企业文化。内部控制自我评价报告是一个由公司内部审计人员、经理和相关员工共同实施的对公司内控系统的各个环节进行评价的结果。在评价过程中，内部审计人员和被评价单位的经理与相关员工一起进行讨论，通过与会人员开诚布公、积极地发言，主动地开展批评与自我批评，不仅彼此之间建立相互信任的关系，还可以形成民主而有效的企业文化，使企业朝民主化管理方向发展，营造出浓厚的民主氛围，从而形成巨大的向心力和凝聚力。

三、企业内部控制自我评价报告存在的问题

（一）披露数量不全

尽管2009年7月1日开始实施的《企业内部控制基本规范》要求上市公司董事会对内部控制进行自我评价，但是2009年度披露内部控制自我评价报告的上市公司数仅为702家，仍有399家上市公司未对内部控制进行自我评价。这可能是由于部分上市公司的内部控制制度还不健全，从而使得其无法按照要求对内部控制进行评价；另一方面，部分企业虽有能力建立健全内部控制制度并对其进行自我评价，但是其实施的动力有限。实施内部控制自我评价工作成本巨大，细节繁琐也是披露数量不全的原因。

（二）报告的名称及披露形式不统一

在报告的名称方面，各上市公司披露的报告各形各异，最常见的就是内部控制自我评估报告和内部控制自我评价报告两种。此外，还有将报告的名称命名为“关于内部控制完整性、合理性和有效性的自我评估报告”、“内部控制有效性自我评价报告”、“内部控制执行情况报告”等。在报告披露的形式方面，由于相关法规并没有对披露形式做出统一要求，从而使得上市公司在披露方式上比较随意。除了独立披露内部控制自我评价报告外，还有将内部控制自我评价报告附在内部控制鉴证报告或年度报告后披露。

（三）编制人员理解有偏差，披露内容不符合规定

企业内部控制自我评价报告编制人员对《基本规范》中五要素的内涵理解有偏差，从而使得披露内容并不符合《基本规范》中的相关规定。特别是内部环境方面的信息披露，往往只是片面地对其所包括的内容中的一两个方面进行阐述。对机构设置和内部审计方面内容的披露比较常见，而对治理结构、人力资源政策及企业文化等的披露则比较少。

（四）重大缺陷定义不明确，披露不充分

在现有的已经披露内部控制自评报告的上市公司中，披露了内部控制缺陷的不多。即使是在这些披露了缺陷的报告中，也没有发现公司对重大缺陷的定义、查出重大缺陷所采用的方法以及披露造成缺陷或问题的责任人。从公司内部的角度来看，公司可能出于自身利益考虑将重大缺陷“内部消化”，或者因自我检查能力不强，未查出重大缺陷，而只是披露一些无关痛痒的小问题。从公司外部的角度来看，缺乏强制披露的支持，也缺乏强有力的法律对重大内部控制缺陷隐瞒不报的惩罚，导致披露的内部控制自评报告的信息含量不高。

四、完善内部控制自我评价报告工作的措施

（一）规范内部控制自我评价报告的内容及披露形式

在内容方面，要对内部控制自我评价报告中所应包含的五要素做出详细规定，统一报告的名称并要求以独立报告的形式进行披露。一方面可以规范上市公司所披露报告的内容，使各上市公司所披露的报告符合有关的规定，提高内部控制自我评价报告的信息含量，进而为信息使用者提供更为详细且相关的信息；另一方面，以独立报告的形式披露能使所披露的内容更加充分，而不至于使其内容过于简单，同时提高内部控制自我评价报告的质量。

（二）制定操作性强的内部控制缺陷认定标准

在现有的上市公司内部控制自我评价报告中，几乎没有上市公司披露实质性缺陷。一方面，这可能是上市公司出于自我防御机制的正常反应；另一方面，与监管机构没有制定操作性强的内部控制缺陷标准也有关。《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》中虽规定了内部控制管理层报告中应包含对内部控制缺陷或重大风险及改进措施的说明，但却给公司提供了很大的判断空间。财政部的《内部控制评价指引》(征求意见稿)要求企业自主确定重大缺陷，而且重大缺陷的定义不具有指导性。

（三）细化内部控制的有效性标准

《企业内部控制配套指引》中规定了内部控制自我评价报告书中应当披露内部控制有效性的结论。内部控制（下转第100页）（上接第96页）评价是对内部控制有效性进行评价，包括对内部控制设计有效性和控制运行有效性。但目前在我国现有的相关规定中，对于设计有效性的定义本身过于理论化，通常来讲对于设计有效性的定义应该是比较严谨的，只有所有的五个要素都得到满足，才能得出基于一个目标或多个目标的内控系统是有效的结论。

（四）明确内部控制自我评价的责任追究机制

要实现内部控制自我评价报告披露的应有价值，就必须确保其信息披露质量。而要提高其质量，就必须要求公司披露使用者所关注的内部控制评价信息和内控缺陷信息，禁止公司以内部控制要素、具体内控程序等无关紧要的冗余信息代替应当披露的信息。同时，政府部门还要加强对信息披露的事后检查，对不合格的披露者要进行惩处，以确保披露要求落到实处。

参考文献

[1]詹长杰,曹建新.上市公司内部控制自我评价报告分析[J].中国注册会计师,2011(2):88-92.

[2]杨有红,何玉润,王茂林.市场化程度、法律环境与企业内部控制自我评估报告的披露——基于沪市A股上市公司的数据分析[N].上海立信会计学院学报,2011(1):9-16.

[3]董美霞.增强企业内部控制评价效果的思考——基于《企业内部控制评价指引》[J].审计与经济研究,2010(1):8-16.

[4]詹长杰.我国上司公司内部控制自我评价报告的现状分析[J].商业会计,2010(12):70-71.

[5]聂兴凯,郑洪涛,田薇.我国上市公司内部控制自我评价报告的披露现状与政策建议[J].财务与会计,2010(4):33-35.

[6]王惠芳.财务报告内部控制自我评价报告的强制披露[N].中南财经政法大学学报,2009(5):137-140.

[7]杨有红,陈凌云.2007年沪市公司内部控制自我评价研究——数据分析与政策建议[J].会计研究,2009(6):58-64.

内部控制自评报告范文第2篇

[关键词]内部控制；自我评价报告；成本；管理费用率；总资产周转率；沪市；上市公司

[中图分类号]F275 [文献标识码]A [文章编号]1672-8750（2012）02

一、引言

内部控制信息披露主要包括内部控制运行信息披露和内部控制自我评价报告披露。自2006年以来，关于内部控制信息披露内容的规定呈现日益具体化态势。但是，截至2010年12月31日，内部控制自我评估报告仍是被鼓励的自愿披露行为，而非强制披露要求。如表1所示，在2010沪市A股上市公司年度报告中,有405家公司自愿披露了内部控制自我评价报告[实际有406家公司在年报中披露存在内部控制自我评价报告，但有1家未找到实际报告。

],占沪市A股上市公司的比例为45.40%。因为金融保险业受到法规要求必须披露内部控制自我评价报告，所以金融保险业不在本文自愿披露研究范围之内。其他行业中，交通运输业、采掘业、建筑业披露比例相对较高，房地产业和综合类自愿披露比例相对较低。

究竟是什么原因导致了内部控制自我评价报告在不同行业、不同企业之间的自愿性披露差异？ 国外关于自愿性信息披露动机的研究文献已经相对丰富，研究者通常认为信息自愿披露的动机主要包括六类，即资本市场交易动机、公司控制权争夺动机、股票薪酬补偿动机、法律诉讼成本动机、管理者才能信号动机、产品市场竞争动机。但是，用上述动机直接解释我国内部控制自我评价报告的披露存在很多问题。第一，上述动机的研究并未直接研究信息披露的本源――成本问题。在所有权与经营权分离后，信息不对称导致了问题的出现。所以，信息不对称及其引致的成本的存在是企业被要求进行信息披露的最重要动因。事实上，也正是由于问理的存在才导致了上述六类动因的存在。所以，有必要从成本的角度重新审视信息自愿披露的动因。第二，上述六类动机的研究主要适用于有着较为成熟法律体系和相对有效资本市场的国家，而我国资本市场和法律体系有着显著的中国特色，我国自愿信息披露的动机可能与美国等其他国家有所不同，所以有必要对我国信息自愿披露的动机进行进一步的研究。第三，上述动机是从一般信息的自愿披露总结出来的，但是内部控制自我评价报告的自愿披露具有特殊性。内部控制自我评价报告承载的信息涵盖了公司运营的各个方面，信息的披露也更具完整性和系统性。公司管理层在做出是否披露内部控制自我评价报告决策时，也必然会更加审慎。本文拟以2010年沪市A股上市公司为研究样本，从成本角度分析内部控制自我评价报告自愿披露的动因，旨在为我国上市公司内部控制信息披露提供一些政策建议。

二、文献回顾及研究假设

（一）文献回顾

以往大多数研究主要是综合考虑内部控制信息披露质量[1-2]，但却忽略了内部控制运行信息和自我评价报告信息披露在法律遵循、内容构成等性质上的差异。即使是对内部控制自我评价报告的研究，也多局限于描述性统计[3]，而没有进行实证检验。大多数研究认为上市公司财务报告质量越高、盈利能力越强，越倾向于披露内部控制信息[2，4]。但是，本文认为财务报告和盈利能力均未触及内部控制的本质。

公司管理层与股东的冲突是众所周知的，处理冲突的一个重要手段是对公司管理层的行为进行监督[5]。内部控制通常被视为降低冲突效率损失的监督系统[6]。因为内部控制是公司组织内部的活动，所以在缺乏内部控制信息披露的情形下，投资者无法获得公司内部控制性质和质量水平的信息[7] ，因而会为其所承担的信息风险而索要信息风险溢价[8]。为了降低管理层与投资者的信息不对称，降低冲突，管理层有动机自愿披露内部控制信息。自愿信息披露行为本身也被视为一类监督系统[9]。但是，内部控制信息的自愿披露是有成本的，主要包括信息和数据收集成本、管理层的声誉损失成本和诉讼成本等[10-11]。管理层直接掌握着内部控制自我评价报告是否自愿披露的决策权，在决策前，一定会权衡成本与收益。

内部控制信息的披露可以使投资者更好地监督管理者，从而当信息不对称及问题的程度增加时，内部控制信息自愿披露的程度也会增加[7]。但是，管理者具有自利倾向，当投资者把资本投入到公司中，追求自身利益最大化的管理者就有可能为了自己的利益而做出一些损害投资者利益的决策，例如追求在职消费、给自己支付额外的薪酬、进行损害外部投资者利益的投资和经营决策等[5]。管理者的自利倾向越严重，成本就越高，管理者就越倾向于做出对自己利益最大化有利却有可能损害公司利益的决策，因而管理者也会越倾向于隐瞒信息或减少自愿披露的信息[12]。

杨玉凤等认为内部控制信息披露对显性成本抑制作用不显著，对隐性成本有明显抑制作用，对显性成本和隐性成本具有综合抑制作用[1]。但是究竟是内部控制信息披露抑制了成本，还是成本决定了内部控制信息的披露？二者的关系如何？杨玉凤等以2007年度的横截面数据进行了实证检验，发现内部控制信息披露在后，成本发生在前，所以认为在同一年度，成本应是内部控制信息披露的动因，而本年度的内部控制信息披露抑制的应该是以后年度的成本。

(二)研究假设

在自愿披露的制度环境下，公司管理层拥有内部控制信息披露的决策权。在做出决策时，管理层一定会权衡成本与收益。

自愿内部控制信息披露的收益在于向市场传递内部控制质量较好的信号，从而增进投资者的信息，有助于提升公司在证券市场上的形象及价格水平。但是，由于目前我国投资者对内部控制认同度不高[13]，内部控制自愿信息披露的信息含量本身就不足。在披露时点上，内部控制信息与年报信息一并披露，又进一步降低了投资者对其的认可度及理解度。所以，内部控制信息自愿披露所带来的收益并不显著。

在内部控制信息自愿披露所带来的收益并不显著的情况下，成本较高的公司披露内部控制信息时会更加谨慎。因为成本较高的公司，公司管理层与投资者的冲突相对严重，管理层更倾向于采用隐蔽的手段侵占投资者的利益。如果他们如实披露内部控制信息，投资者就能够在很大程度上识别内部控制中可能存在的缺陷，所以他们一定不会选择自愿如实的披露内部控制信息，而是会对内部控制信息进行粉饰。但是，内部控制信息的粉饰有可能为他们带来法律风险。所以，在内部控制信息自愿披露收益不显著的情况下，对于成本较高的公司而言，披露不实的内部控制信息有可能是得不偿失的。对于成本较低的公司而言，由于公司管理层更加倾向于为投资者的利益服务，从而内部控制本身存在问题的可能性不大，虽然披露收益不显著，但披露成本也大大降低了。所以相比于成本较高的公司，成本较低的公司自愿披露内部控制信息的可能性更大。

由此，我们认为，内部控制信息自愿披露与成本成反向关系。

但是，如何衡量成本呢？管理层与投资者的冲突表现为两个方面，一是直接侵占投资者的利益；二是，效率低下，即管理层不能勤勉履行自己的职责。成本可以从这两个层面进行度量。常用的成本度量指标包括管理费用率和总资产周转率[1，12，14]。管理费用率主要用以度量管理者对投资者利益的侵占度，资产周转率主要侧重于度量管理者的履职效率。管理费用率是指管理费用占销售收入的比例，该指标主要反映经理层由于过度在职消费所引起的浪费[14]，管理费用率越高，成本越高。此外，经理层的错误决策（如投资了净现值为负的项目）或偷懒行为（如没有尽力增加收入等）会导致对资产的低效率使用，从而使得效率低下和成本增加[14]。资产周转率可以作为效率的观察变量。资产周转率越高，效率越高，成本越低。借鉴以往的文献，本文亦采用管理费用率和总资产周转率作为成本的变量。本文提出两个假设。

H1：管理费用率与内部控制自我评价报告自愿披露呈负相关关系。

H2：资产周转率与内部控制自我评价报告自愿披露呈正相关关系。

三、研究设计

（一）样本选择

本文数据取自公司年报与CSMAR数据库。截至2010年度12月31日沪市上市A股公司共计892家，405家披露内部控制自我评价报告。本文剔除了金融业公司27家，数据不全公司65家，数据异常（管理费用率>1）的样本13家，最后得到样本公司787家。本文处理数据所用软件为SAS8.2。

（二）变量定义

本文采用logistic多元回归法考察成本对内部控制自我评价报告自愿披露行为的影响。本文涉及的变量定义如表2所示。

1．被解释变量

CONSR：如果公司在2010年度披露内部控制自我评价报告，则赋值为1，否则赋值为0。

2．解释变量

管理费用率（MFR）：2010年度管理费用占销售收入的比例。该指标用以衡量经理层过度在职消费所引起的浪费。管理费用率越高，成本越高。

总资产周转率（AT）：营业收入／平均资产总额。本文用总资产周转率衡量效率，资产周转率越高，资产的使用效率越高，成本越低。

3．控制变量

BODEXE：董事长和总经理由一人兼任赋值为0；董事与总经理完全分离赋值为1。董事长与总经理的两职设置情况会影响公司信息的透明度和自愿性信息披露的程度[15-16]。

LEV：资产负债率，等于负债总额/资产总额。资产负债率可以用以控制股东与债权人的冲突。资产负债率越高，股东与债权人的冲突就越严重[7]，公司管理层就越倾向于不披露内部控制信息。

SAGROW：营业收入的异常增长，当营业收入增长率大于行业营业收入增长率的75分位数时，视为营业收入的异常增长，赋值为1，否则赋值为0。营业收入增长率=（本年营业收入－上年营业收入）／上年营业收入。当公司出现异常增长时，管理层越倾向于不披露内部控制信息。

四、实证检验

（一）参数检验与非参数检验

为了更好地研究成本对内部控制自我评价报告披露的影响，本文按照是否披露内部控制自我评价报告将总体样本分为两组。参数及非参数检验结果报告在表3之中。

验；***、**分别表示在1%和5%的水平上显著。

如表3所示，内部控制自我评价报告披露组（CONSR=1）的管理费用率显著低于未披露组（CONSR=0），这意味着管理费用率高的组倾向于不披露内部控制自我评价报告。内部控制自我评价报告披露组（CONSR=1）的总资产周转率（AT）显著高于未披露组（CONSR=0），这意味着总资产周转率高的组倾向于披露内部控制自我评价报告。这与本文的假设是一致的。

（二）描述性统计

各变量的相关性分析结果，如表4所示。

根据表4得到的相关系数矩阵可以发现，内部控制自我评价报告的披露（CONSR）与绝大多数变量是相关的，可见被解释变量和控制变量的选择较好。内部控制自我评价报告的披露（CONSR）与管理费用率(MFR)负相关，与总资产周转率(AT)正相关。这初步证实了本文的假设。更进一步的证据需要通过对模型进行回归分析取得。

（三）多元回归分析

多元回归分析的目的是检验本文提出的理论假设。由管理费用率(MFR)与总资产周转率(AT)刻画的成本并非是决定内部控制自愿披露行为的全部要素，所以有必要控制影响披露行为的其他要素。本文建立以下多元回归方程，进行Logistic回归，变量定义如前所述。

如表5所示，管理费用率(MFR)的回归系数为-0.7640，管理费用率刻画了成本，所以管理费用率与控制自我评价报告的披露呈现负向关系，即成本越高，管理层越倾向于不披露内部控制信息，但并未通过显著性检验。总资产周转率(AT)的系数为0.3145，并在10%的水平通过显著性检验。因为总资产周转率是效率的变量，所以效率越高（成本越低），管理层越倾向于披露内部控制信息。本文关于成本会降低内部控制信息自愿披露程度的假设得以支持。

董事长与总经理的两职设置情况与内部控制信息披露成负向关系，即董事长与总经理两职合一时，管理层反而倾向于披露内部控制信息。这与以往研究认为两职分别设置会促进信息透明度的结论是不一致的[15-16]。原因可能在于内部控制信息与其他信息透明度的影响因素有所不同。从成本的角度来看，董事长与总经理两职合一时反而有助于缓解董事会与经理层的冲突，从而提高了效率，降低成本，促进了内部控制信息的自愿披露。

资产负债率（LEV）的回归系数为负，且在1%的水平通过显著性检验。这意味着资产负债率越高，管理层自愿披露动机越弱。这是因为资产负债率（LEV）越高，股东与债权人的冲突越严重，从而成本上升，不利于内部控制信息的自愿披露。

资产（ASSET）的回归系数为正，且在1%的水平通过显著性检验。这意味着公司规模越大，管理层自愿披露动机越强。这可能是因为公司规模越大，信息披露渠道越多，自愿披露信息的增量价值降低的同时，增量风险也会降低。所以，公司规模越大，管理层自愿披露信息的增量成本和风险越小，从而其更倾向于披露内部控制信息。

会计师事务所（AUFIRM）的回归系数为正，这意味着会计师事务所质量越高，管理层自愿披露动机越强。高质量的外部审计在一定程度上能够抑制公司管理层的自利动机，从而降低冲突，减少成本，所以会计师事务所质量高，公司成本越低，公司越倾向于自愿披露内部控制信息。这与成本和内部控制信息自愿披露成负向关系的假设是一致的。

上市年限（YEAR）的回归系数为负，且在1%的水平通过显著性检验。这意味着公司上市年限越长，管理层自愿披露内部控制自我评价报告的动机越弱。这可能是因为上市时间较短的公司，为了尽快在市场塑造良好形象，通过披露内部控制自我评价报告向市场传递的一个良好信号。

（四）稳健性测试

为了增加研究结论的稳健性，我们对上述研究结果进行了稳健性测试。管理费用率(MFR)和总资产周转率(AT)直接描述了成本，很多研究也证实了其可靠性。但是，这两个指标主要反映的是股东和经营管理层的冲突及由此引致的成本，而忽略了大股东与中小股东的利益冲突，而且虽然这两个指标对成本的刻画相对直接，但也有可能忽略冲突的其他成本。我们用股权结构特征替换这两个指标，通过刻画冲突来反映成本。

对于股权结构特征，本文选用了两个指标，股权制衡度(SHAB)和管理层持股比例(MASHA)。股权制衡度以“第二到第五大股东所持股份之和与第一大股东持股的比例”来进行度量。股权制衡度越高，大股东对小股东的利益侵占受到抑制的程度就越高，从而冲突越低，成本越低。管理者持股比例越高，管理者与股东之间的成本也越低。在我国管理层持股比例普遍不足的情况下,管理层持股比例的增加可以使管理层行为与股东利益更趋于一致，从而降低成本[6，11]。由此建立的多元回归模型如公式(2)所示，除股权制衡度(SHAB)和管理层持股比例(MASHA)外，其余变量与公式（1）相同。对式（2）进行Logistic回归，多元回归分析结果如表6所示。

股权制衡度(SHAB)和管理层持股比例(MASHA)均与内部控制自我评价报告自愿披露正相关。股权制衡度(SHAB)和管理层持股比例(MASHA)越高，冲突越小，成本越低，管理层越倾向于自愿披露内部控制自我评价报告。这与之前的假设，成本与自愿披露成反向关系，是一致的。同时，内部控制自我评价报告披露与资产规模正向关系，与资产负债率、上市年限成反向关系，且均在1%的水平通过了显著性检验，这与本文之前的结论是一致的。

六、研究结论与局限

本文通过描述性统计与多元回归分析，对成本与内部控制自我评价报告自愿披露的关系进行了剖析研究，拓展了内部控制信息自愿披露的研究视野。国内关于内部控制信息披露的实证研究主要是综合考虑内部控制信息披露质量，却忽视了内部控制信息披露各项内容在性质上的差异。对于内部控制自我评价报告的研究，也多局限于描述性统计，而非实证检验。本文得到的主要结论有以下三点。

1．成本是内部控制自我评价报告自愿披露的重要动因。以往研究多从财务报告和盈利能力的角度去剖析内部控制自我评价报告自愿披露的动机，但却均未触及自愿性信息披露的实质。管理层与投资者的冲突直接影响着自愿性信息披露的最终决策。所以，成本是内部控制信息披露的最根本动因。

2．内部控制自我评价报告的自愿披露与成本负相关。当成本较高时，管理层更倾向不披露内部控制自我评价报告。这既不利于内部控制本身抑制成本作用的发挥，也妨碍了内部控制信息本身的透明度。所以，有必要强制要求上市公司披露内部控制自我评价报告。

3．内部控制自我评价报告的自愿披露还与公司规模显著正相关，与公司的资产负债率、公司上市年限显著负相关。

本文的主要研究局限在于对成本的度量不够准确。本文采用管理费用率(MFR)与总资产周转率(AT)度量成本，在计量上相对粗糙。因为管理费用率(MFR)与总资产周转率(AT)还会反映其他因素的影响，而且这两个指标主要度量的是公司经营管理层与股东的成本，但大股东对小股东的利益侵占并没有反映在成本之中。今后的研究应选取更能完整度量大股东与中小股东、股东与经营管理者、股东与债权人成本的变量进行实证检验。

[参考文献]

[1]杨玉凤,王火欣,曹琼.内部控制信息披露质量与成本相关性研究[J].审计研究，2010 (1): 82-88.

[2]方红星,孙. 强制披露规则下的内部控制信息披露――基于沪市上市公司2006年年报的实证研究[J].财经问题研究，2007（12）：67-73.

[3]杨有红 陈凌云. 2007年沪市公司内部控制自我评价研究[J].会计研究，2009(6)：58-64.

[4]蔡吉甫.我国上市公司内部控制信息披露的实证研究[J].审计与经济研究, 2005(5): 85-88.

[5]Jensen M C, Meckling M H.Theory of the firm: managerial behavior, agency costs and ownership structure[J].Journal of Financial Economics，1976,20: 305-360.

[6]DeFond M L. The association between changes in client firm agency costs and auditor switching [J].Auditing: A Journal of Practice & Theory，1992,11: 16-31.

[7]Deumes R, Knechel W R. Economic incentives for voluntary reporting on internal risk management and control systems[J].Auditing: A Journal of Practice & Theory,2008, 27: 35-66.

[8]Barry C B, Brown S J.Limited information as a source of risks[J]. The Journal of Portfolio Management，1986,12:66-72.

[9]Craswell A T, Taylor S L.Discretionary disclosure of reserves by oil and gas companies:an economic analysis[J]. Journal of Business Finance & Accounting，1992,19: 295-308.

[10]Solomon M B, Cooper J R. Reporting on internal control: the SEC’s proposed rules[J].Journal of Accountancy，1990,169: 56-63.

[11]McMullen D A, Raghunandan K, Rama D V. Internal control reports and financial reporting problems[J]. Accounting Horizons，1996,10: 67-75.

[12]罗炜，朱春艳.成本与公司自愿性披露[J].经济研究，2010(10):143-155.

[13]杨雄胜,李翔,邱冠华.中国内部控制的社会认同度研究[J].会计研究，2007 (8)：60-67.

[14]李寿喜.产权、成本和效率[J].经济研究，2007(1):101-113.

[15]崔学刚.公司治理机制对公司透明度的影响――来自中国上市公司的经验数据[J].会计研究,2004(8):72-80.

[16]殷枫.上市公司治理结构和自愿性信息披露关系的实证研究[J].审计与经济研究，2006(2):88-89.

[17]高雷,张杰.成本、管理层持股与审计质量[J].财经研究,2011(1):48-58.

The Correlation Study on Agency Cost and Internal Control Self-assessment Disclosure

―An Empirical Study from Listed Companies of Shanghai Stock Exchanges on 2010

Du Hai-xia

(School of Accountancy, Central University of Finance and Economics, Beijing 100081, China)

内部控制自评报告范文第3篇

尽管我国五部委联合的《内部控制评价指引》（以下简称评价指引）解释文件提到内部控制评价工作可以聘请中介机构协助企业实施，但从节约成本费用考虑，大多数企业自行实施企业内部控制自我评价（以下简称内控自评）。内控自评一般由内部审计或内部控制部门牵头，组织公司各部门参与评价的一项系统工程，因此，内控自评工作对具备专业内部控制评价知识有较高的要求。

然而，财政部全国重点会计课题《中国上市公司内部控制指数研究》2014年一组调查数据表明，我国上市公司管理人员对内控法规的熟悉程度，以及企业内部控制工作者对内控整合框架、对内部控制评价工作流程的熟悉程度均不到20%；企业进行内控自评，除评价指引中制定评价方案、组成评价小组、实施现场测试、汇总评价结果、编报评价报告五个基本步骤之外，尚未出台可参考的实施细则。由此可见，我国上市公司内部控制建设还处在摸索完善阶段，如何有效开展内控自评工作，出具一份高质量的企业内部控制评价报告，对企业来说是个不小的挑战。

本文将基于一家A股上市公司自实施内部控制基本规范以来，2012-2014年度连续三年实施企业内部控制自我评价工作的实践，从流程管理角度谈有效开展内控自评工作的线路。

首先，由公司熟悉内部控制知识的专业人员绘制内控自评工作全面开展的流程图。以流程图形式向公司管理层和参与评价工作者清晰地展示内控自评工作全过程，流程图越细越具有可操作性，一方面增强评价人员对内控自评工作的理解，另一方面指导其完成评价活动中各项工作。详见后附企业内控自评工作流程图表。

其次，对内部控制自我评价工作进行立项，指定项目负责人，制定并审批评价工作方案。内控自评是否需要进行立项，我国监管部门的规范对此没有明确规定，企业可根据内部管理规定执行。但实际上，内控自评立项与否不是可有可无的程序，通过严肃规范的立项程序，明确企业内控自评的总体目标、基本要求和企业各部门各自职责、了解管理层对内控自评工作的期望、获得管理层的支持与承诺，对内控自评的有序开展是很有必要的。立项阶段需要完成三件事：确定评价标准、绘制内控自评项目实施流程图、制定并审批评价方案。

评价方案主要包含以下内容：1）确定评价范围；2）确定评价标准；3）确定评价工作方式；4）评价时间安排；5）确定评价工作组成员及分工；6）确定缺陷认定标准；7）缺陷整改要求与跟踪；8）明确内控自评工作流程。内控自评方案需要报公司董事会审批。

方案中评价范围的确定，企业可以在参考日常内部控制监督结果、企业风险评估的基础上，结合行业特点对标应用指引进行确定；评价标准是内控自评工作的具体依据，一般是以《企业内部控制基本规范》及其配套指引为起点，以公司《内部控制管理手册》为评价标准。需要指出，当公司内部控制管理手册与国家法律法规不一致时遵循国家法规。

第三，立项方案获得管理层的审批后，做好内控自评项目前期准备工作。“凡事预则立不预则废”。评价准备是内控自评项目有效开展的最重要环节，对保证内控自评有序进行具有基础性、指导性和决定性作用。准备阶段的主要工作有：1、设计评价工作底稿。评价工作底稿的设计可以考虑设计检查清单、评估问卷等各种形式；2、确立评价工作组成员名单。在选定评价小组成员时，确保这些成员最熟悉公司业务流程，最了解部门及公司风险，并能针对缺陷提出很好的改进或完善建议；3、对评价工作组成员恰当分工。分工把握以下几条关键原则：专业背景和能力对与分配工作相匹配原则、最少资源最大效用原则、评价组成员对本单位的内部控制评价工作实行回避原则；4、做好详尽的时间计划。时间计划一般根据评价范围、业务流程涵盖测试期间、需要抽取的样本量等因素制定，时间计划中应该包括项目关的键时间点，以及关键时间节点总控表；5、组织评前培训。参与内控自评的成员，除内部审计师，大多数人并不是内部控制的专家，需要由熟悉内控自评流程的专业人员对参与者进行动员与沟通培训。评前培训中需要解决几个问题，让小组成员理解评价流程；掌握评价测试的方法；知悉工作底稿如何填写。

第四，对内控自评项目实施过程加强督导管理。在进场评价前7个工作日下发正式评价通知，通知文件至少包含经审批的评价方案、评价小组成员名单、评价工作期间、所需资料清单等必要内容。除被评价单位需要准备的资料主要包括与本单位相关的内控手册、业务表单等之外，评价工作组也需要准备的资料主要包括访谈问卷或提纲、时间计划表等资料。在评价工作开始进行前1个工作日，评价小组组织进场讨论会并形成会议纪要，会议纪要以电子邮件形式发送参会者。尽管进场会议并非必要程序，但是内部控制自我评价工作涉及面广、难度大，需要全公司协作配合才能完成，进场讨论会能够有效地解决评价组成员与被评价单位的对接，有利于项目顺利开展。

基于流程管理的企业内控自评，核心工作是对内部控制测试，其中控制环境和控制手段方面的测试，一般通过询问、访谈、问卷等方式进行；控制活动，也就是业务流程内部控制测试包括健全性测试和设计有效性测试一般通过穿行测试；运行有效性测试通过观察、重新执行、抽样检查等方法来完成。

内控自评项目负责人需要对内部控制有效性自评工作质量和工作进度实施监控；每周复核评价小组成员的测试底稿，每周召集评价小组碰头例会，及时了解掌握跟进评价工作进度和解决评价过程中遇到的问题。内控自评工作结束，需要与被评价单位进行退场沟通。

第五、内控自评报告阶段管理。内控自评项目结束后，项目负责人需要汇总评价底稿拟定报告，同时汇总缺陷进行缺陷整改跟踪管理。评价小组成员的工作底稿经评价小组组长审核后，提交企业内控自评项目的立项部门。一方面，由项目负责人对评价工作底稿二次复核，汇总评价结论，起草年度内控自评报告。需要指出，年度内部控制有效性的评价报告应该综合内控自评项目的评价结果和企业内部控制监督部门日常监控中的审计发现汇总出具。管理层审核、审计委员会审议、董事会审批内控自评报告。按照监管机构要求披露内控自评报告。

第六、缺陷认定、审批与整改。在起草评价报告的同时，另一方面，评价工作组汇总公司控制缺陷，项目负责人召集评价组成员、评价工作小组组长召开评价总结会，依据前述经公司董事会审批的缺陷认定标准，分析缺陷，初步判定缺陷等级；报公司管理层审批缺陷认定情况。由企业管理层责令被评价单位限期整改落实（整改期限根据缺陷性质和整改难度综合考虑确定，一般的做法是3个月整改期），并指定公司内部控制监督部门跟踪检查。内部控制监督部门可以根据年度审计计划适时安排整改落实审计。

第七、实施内控自评后评估。企业内控自评项目结束后，由项目负责人、评价小组成员、被评价单位对评价项目实施过程和评价结果打分后评估。后评估包含三个维度：评价小组成员的意见反馈表打分；被评价单位的意见反馈表打分；项目负责人的自我总结表打分。根据打分结果完善修订次年内控自评项目实施方案计划，形成年度内控自评工作良性循环。

如前所述，企业内部控制自我评价是一个持续实施、涉及面广、专业知识要求高的系统工程，内部控制评价指引的的五个步骤只是基本程序，内容很简练，在实践中可操作性模糊，企业需要针对自身组织架构等特点，制定精细化的内控自评实施方案，并以流程管理的方式逐项落实。

基于流程管理开展企业内部控制自我评价工作的优点在于：将流程链条管理理念贯穿内控自评始终，通过立项、立项审批、前期准备工作、实施过程、项目报告、评价缺陷整改、项目后评估等关键节点串联起来，将上市公司内部控制自我评估工作落到实处，夯实上市公司内部控制评价报告的质量，提升上市公司公司内部控制管理的水平，提升企业在市场的竞争力。对我国企业实施内部控制评价具有借鉴和指导意义。

同时，基于流程管理的内部控制自我评价在企业落地生根，还有需要完善之处。如，由于更多的企业内部控制自我评价工作并未纳入绩效考核体系，这就使得内控自评工作成果不能有效巩固和利用，评价缺陷整改不彻底，内部控制自我评价工作流于形式。

（作者单位：中国国际贸易中心股份有限公司）

参考文献：

[1] 张庆龙《如何成为明日胜任的内部审计师》

[2] 胡为民《中国上市公司内部控制报告》（2013）

内部控制自评报告范文第4篇

关键词：内部控制缺陷；分类；认定；披露

一、研究背景

2006年，沪深两市相继出台了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》，均要求有条件的上市公司在披露年报的同时对董事会关于公司内部控制有效性的自我评价报告予以披露。2008年财政部等五部委联合了《企业内部控制基本规范》，要求上市公司对内部控制的有效性进行自我评价，并且要披露相应的自我评价报告。《企业内部控制基本规范》的颁布确立了以五大目标、五大要素为核心的内部控制基本框架，但是其中并没有对内部控制缺陷做出具体的定义。为了保证基本规范的顺利实施，2010年财政部等五部委了企业内部控制实施路线图和《企业内部控制配套指引》，其中配套指引包含《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》三部分，这种“应用”、“评价”与“审计”相结合的内部控制制度模式标志着我国企业内部控制规范体系的基本形成。

虽然我国在内控缺陷的分类与认定上有了不小的进步，但是目前在内部控制缺陷的认定与披露方面仍然存在着概念模糊及可操作性差等问题。例如，《评价指引》按照内控缺陷的影响程度将其分为一般缺陷、重要缺陷、重大缺陷，但是对于内部控制缺陷的具体定义、如何区分及怎样披露等问题并没有详细的规定。这些制度方面的空白也导致了内部控制缺陷认定困难及披露质量不高等一系列问题。鉴于此，本文从分类、认定、披露三方面着手，对内部控缺陷进行系统研究，对现阶段存在的问题提出了相应的建议及解决思路。

二、中国现阶段关于内部控制缺陷的规制要求

关于内部控制缺陷的分类和认定，《企业内部控制评价指引》第十六条指出“内部控制缺陷按成因可以分为设计缺陷和运行缺陷”，第十七条中提出“内部控制缺陷按照影响程度分为重大缺陷、重要缺陷和一般缺陷，具体认定标准由企业根据指引的要求自行确定”。

关于内部控制缺陷的披露，《企业内部控制评价指引》第二十一条提到：“内部控制评价报告应当分别就内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内控评价过程、缺陷认定及整改情况、内控有效性的结论等相关内容做出披露。”

三、中国上市公司披露内部控制缺陷现状研究

（一）样本的选取及数据来源

本文以2011年深市主板A股477家上市公司为研究对象，通过对巨潮资讯网所披露的内部控制自我评价报告及相关公告信息汇总和进一步处理，对企业内部控制披露情况进行了分析和研究。调查结果显示，截至2013年1月1日，477家上市公司中有418家公司出具了自我评价报告，在出具自评报告的公司中有258家没有对内部控制缺陷相关的信息进行披露，其余的160家公司分别从分类情况、认定标准、具体表现及整改措施等方面对内部控制缺陷进行了不同程度的披露。

（二）内部控制缺陷的分类情况研究

关于内部控制缺陷的分类，在《企业内部控制评价指引》中提到：“内部控制缺陷按成因可以分为设计缺陷和运行缺陷，按照影响程度分为重大缺陷、重要缺陷和一般缺陷。”通过对收集到的资料进行分类汇总我们发现，各公司在内部控制缺陷的分类上并没有太大的差异，大都是在现有基础上做了进一步细化。

1.设计缺陷和运行缺陷。简单地说，设计缺陷主要是指与内部控制相关的制度建设不完善，如企业的机构设置存在缺失或重复的现象、各岗位之间的职责权限没有进行明确划分等。运行缺陷主要是指现有制度因为种种原因没有按照设计意图运行，如企业审计委员会无法有效发挥对内部控制的监督作用、“三重一大”的决策程序不符合规定等。

2.一般缺陷、重要缺陷和重大缺陷。重大缺陷是可能导致企业严重偏离控制目标的一项或多项控制缺陷的组合，如董事、监事和高级管理人员舞弊，重要业务缺乏制度或制度系统失效等。重要缺陷是可能导致企业偏离控制目标的一项或多项控制缺陷的组合，其影响程度低于重大缺陷，如民主决策程序存在但不完善、关键岗位业务人员流失严重等。一般缺陷，是指除重大缺陷、重要缺陷之外的其他控制缺陷，如决策程序效率不高、内部控制一般缺陷未得到整改等。

3.财务报告内部控制缺陷与非财务报告内部控制缺陷。财务报告内部控制缺陷是指在会计确认、计量、记录和报告过程中出现的，会对财务报告的真实性及完整性产生直接影响的控制缺陷，如存货盘查后未按要求签名确认、企业固定资产台账变更记录更新不及时等。非财务报告内部控制缺陷是指虽然不会直接影响到财务报告的真实性及完整性，但是会对企业经营管理产生不利影响，如企业文化建设不完善、企业技术人员的大量流失等。

（三）内部控制缺陷认定标准的确定

由于我国对于内控缺陷认定标准没有一个统一的规定，所以如何确立内部控制缺陷认定标准成为内部控制评价过程中要面临的重要问题。对上市公司公开的资料进行研究发现，各公司结合自身的行业特征、公司规模、风险承受能力及风险偏好等因素，分别确定了适合自身实际情况的认定标准。在160家披露内部控制缺陷的上市公司中，51家对公司的内部控制缺陷认定标准进行了披露，109家公司并未披露内部控制缺陷认定标准。在披露认定标准的51家公司中，有42家采用定性与定量相结合的方式确立标准，5家采用定性标准，4家采用定量标准，具体情况如下。

由表1的统计可以看出，多数公司并没有对内部控制缺陷认定标准予以披露，而披露内控缺陷认定标准的公司则多采用定性与定量相结合的标准。内部控制缺陷的定量标准比较容易确定，通常以某一项财务指标作为计量标准，如合并税前利润总额潜在错报≥合并税前利润的5%、资产总额潜在错报金额≥资产总额的1%、销售收入潜在错报≥销售收入总额的0.5%等。

对于内控缺陷认定中定性标准的确立，不同公司有着不同的要求。关于重大缺陷的认定，除了在审计指引中提到的三项之外，还包括缺乏民主决策程序、违反国家法律法规并受到处罚、内部控制重大缺陷未得到及时整改、中高级管理人员和高级技术人员严重流失等。关于重要缺陷的认定，主要体现在民主决策程序存在但不够完善、内部控制重要或一般缺陷未得到整改、重要业务制度或系统存在缺陷、审核委员会和内部审计机构对内部控制监督存在缺陷等。对于一般缺陷的确认主要包括决策程序效率不高、一般缺陷未得到整改、一般岗位业务人员流失严重、业务流程的一般控制缺失等。

（四）内部控制缺陷的披露情况研究

内部控制缺陷的披露是企业自评报告中非常重要的一项内容，通过客观披露公司存在的内部控制缺陷，可以使相关投资者对企业整体运行情况及内部控制具体情况有一个全面的了解，同时也能够督促企业对现有缺陷的整改，从而促进企业内部控制系统的不断优化，为企业未来的良性运作提供重要保障。

在160家披露内部控制缺陷的上市公司中，在自评报告中未披露公司存在内部控制缺陷的有130家；披露公司存在内部控制缺陷的有30家，这些公司对内部控制缺陷的披露主要有以下三种方式：（1）仅提及公司存在内部控制缺陷，但未对缺陷的具体情况进行详细说明；（2）仅披露内部控制缺陷的数量；（3）对公司内部控制缺陷的具体内容进行详细说明，具体披露情况如下。

从表2中可以看出，不同公司对于内部控制缺陷的披露程度有着很大的差异。现阶段多数公司并没有对内部控制重大、重要及一般缺陷进行详细的说明，仅有少数几家企业对于自身存在的问题及对应的整改措施进行了完整的描述。

四、研究结论与相关建议

随着内部控制相关法律体系的建立健全和完善，企业内部控制建设也逐渐被企业所重视，但是在研究中我们发现，现阶段很多企业的自评报告内容比较空洞，只是停留在表层描述，并没有提供太多关于企业内部控制的具体信息。在自评报告中关于企业内部控制缺陷的披露显得比较随意，并没有一个统一的格式，特别是关于内部控制缺陷认定标准的确立比较混乱，不同公司之间往往存在着较大的差异。现阶段，多数上市公司对于自身存在的内部控制缺陷采取了回避的态度，并没有在自评报告中详细说明自身存在的各类内控缺陷。除此之外，很多公司忽略了内部控制缺陷的后续整改问题，并没有提出切实可行的措施。

鉴于研究中发现的一些问题，本文提出以下建议。

首先是企业层面。企业是内部控制的建设者和实施者，企业的态度也决定着内部控制建设的效果和质量，所以企业要首先提高对内部控制工作的重视程度，积极推动企业内部控制体系的建立。同时，在实施过程中要结合企业实际情况对内控评价体系进行适当修整，使其更加适应企业自身发展的需要。此外，企业也要发挥审计的作用，对于存在的内部控制缺陷进行及时、客观的披露，对于暴露出的问题要及时整改，只有这样才能促进企业更快更好地发展。

其次是相关监管部门层面。监管部门要积极推进相关法律法规的建立和完善，使内部控制建设过程能够有法可依。同时，由于我国目前并没有明确内部控制缺陷的具体认定标准及披露的具体格式，这在无形中加大了企业认定和披露内控缺陷的难度，所以监管部门要统一标准，对现有规范中表述模糊的部分进行进一步细化，降低企业的执行难度，也使企业内部控制相关信息的披露更加规范化。此外，监管部门要加大对企业内部控制缺陷披露的检查力度，推进企业内部控制信息的公开化、透明化建设。

此外，会计师事务所作为独立的第三方，也要发挥其外部审计的作用，加强对内部控制审计业务的重视，同时要注意保持自身的独立性，在审计报告中对企业内部控制的建设情况做出全面、客观的评价，为投资者和监管者提供更好的参考。

参考文献：

[1]田高良，齐保垒，李留闯.基于财务报告的内部控制缺陷披露影响因素研究[J].南开管理评论，2010（04）.

[2]王惠芳.上市公司内部控制缺陷认定：困境破解及框架构建[J].审计研究，2011（02）.

[3]杨有红，李宇立.内部控制缺陷的识别、认定与报告[J].会计研究，2011（03）.

内部控制自评报告范文第5篇

关键词：内部控制 评价 问题 实施方法

随着经济的全球化，企业加强内部控制和风险管理的要求就越来越迫切。但很多企业普遍存在控制体系不健全、执行不到位，因此，建立和完善企业内部控制体系，不断提高企业应对风险挑战，把握发展机遇能力，提高国际竞争力显得尤为重要。

一、企业内控评价的现状和问题

2008年-2010年，财政部会同证监会、审计署、国资委、银监会、保监会等部门了内控评价基本规范和配套指引，构建了中国企业内部控制规范体系。要求企业对内部控制的有效性进行自我评价，政府监管部门将进行监督检查。从企业内部控制评价开展情况来看，还存在不少问题：一是公司治理结构不完善，内控评价组织在企业所处的层次偏低，内控评价组织缺乏有力的后盾；二是内控评价人员素质不能完全满足要求，难以从实际工作的深层次上发现问题；三是缺乏内部控制缺陷认定标准，内部控制配套指引对缺陷认定未提出统一标准，要求由企业自行确定；四是对内控评价认识不足，管理层对加强内部控制制度建设的观念淡漠，认识不足。

二、内控评价实施方法

本人从事公司内控评价工作已两年，总结这两年经验和教训，结合内控规范的要求和其他公司的成功经验，提出一套内控评价实施流程和方法，与大家探讨。

（一）建立内控评价组织机构

内控评价是全公司的一项重要而长期的工作，组建内控评价组织机构非常必要，可建立两层次的内控评价机构，一是组建公司内控评价工作组，负责公司内控评价工作的组织、内控缺陷及内控报告的审核工作，直接向董事会负责，组长应由董事长或总经理担任，成员应包括企业管理、内部审计、财务等主要部门负责人；二是年度自评价项目组，负责当年度内控自评价工作，出具内控自评价报告，一般由内部审计部门牵头负责。

（二）完善内控管理制度

内控评价工作组定期组织内控制度梳理工作，目的是查找制度设计缺陷，完善公司管理制度。首先根据《企业内部控制规范讲解2010》中18板块的内控措施，对照公司相应内部管理制度，查找公司制度设计缺陷，然后结合公司实际，判断和缺陷影响程度，提出整改措施、整改时间等内容；最后向制度编制部门下达整改通知书。

（三）风险库建立

内控评价工作组每年根据内控评价应用指引及讲解中列出的内控风险，编制出本公司可能存在的内控风险，然后组织相关部门分别对内控风险进行风险程度评分，并按风险程度大小排序，建立内控风险库，明确公司主要风险所在，并为下一步的内控自评价指明方向。每年应对风险库进行更新，确保风险库能有效反映当前阶段公司的风险实际状况。

（四）内控自评价阶段

内控自评价是指由公司董事会或类似权力机构对公司内部控制有效性进行全面评价、形成评价结果、出具评价报告的过程。内控自评价一般由内审部门牵头实施，具体可以采取以下步骤。

1、开展内控调查问卷

根据《企业内部控制规范讲解2010》和公司实际，针对18个板块业务内容，设计出一套内控调查问卷，并下发给相应业务职能单位填写，内审部门汇总调查问卷结果，并将此作为选取重点测试板块等的依据之一。

2、制定内控评价方案

主要应包括：成立内控评价项目组，可以由内审部门、企管部门、财务部门等单位联合组成；确定评价范围和重点内容，应实行全面评价，但需突出重点业务和高风险业务，可根据风险排序和内控调查问卷结果等选择；编制内控评价测试底稿模板，可以参照内控指引和公司内部管理制度来设置测试关键控制点；确定测试样本选择方法和样本规模。

3、实施评价工作

首先对通过穿行测试，排查内控制度设计缺陷；然后按照方案制定的抽样方法和样本规模，选择业务样本；第三是对选出样本实施实质性测试，判断是否存在内控运行缺陷；第四是编制缺陷底稿，并由被评价部门书面签章确认。

4、认定内控缺陷

内控缺陷认定应由项目组初步认定，提交内控工作组讨论和认定，对重大缺陷，应由董事会予以最终认定。

5、分析内控缺陷

对缺陷的形成原因、表现形式和影响程度进行综合分析，找出影响较大的缺陷和内控薄弱环节，形成书面内控缺陷分析报告，提交内控评价工作组和董事会。

6、撰写内控评价报告

内控评价报告可分为对内报告和对外报告，其中对内报告没有固定格式和要求，主要以满足公司决策层和经理层的需要为主，对外报告则有固定的内容和格式要求。

（五）整改提高阶段

针对发现的内控缺陷，内控评价项目组提出整改建议，经审核批准后，向整改责任单位下发整改通知书，要求限期整改并提交书面反馈。内审部门应定期组织整改跟踪检查，确保成效。

三、内控评价应注意的方面

（1）严格复核和审核缺陷底稿，确保缺陷证据的必要性和充分性，文字描述必须清楚、无歧义，避免引起争议。

（2）科学制定抽样方法和确定样本规模，对样本量小的，可采取详查法，对样本量大的，可以采用分类随机抽样法。

（3）提高缺陷认定标准的可靠性和可操作性。认定标准可包括定量标准和定性标准，企业应根据自身具体情况制定。

（4）不断强化整改落实效果。应将整改情况与单位绩效挂钩，并建立和完善整改信息库，以随时掌握整改进度和关闭情况。