1、自2001年底“安然事件”曝光以來，美國資本市場上出現(xiàn)了一輪又一輪的欺詐丑聞，暴露出上市公司的內(nèi)部控制存在嚴重的問題。針對這些財務欺詐事件，2002年美國國會通過了《薩班斯——奧克斯利法案》(The Sarbanes-Oxley Act，以下簡稱SOX法案)，其中404條款對上市公司的內(nèi)部控制信息披露做出嚴厲的規(guī)定，旨在通過立法強制公司建立透明有效的監(jiān)督體制，恢復投資者對美國資本市場的信心。 近年來，我國證券市場上也出現(xiàn)了一系列

2、的上市公司財務舞弊案。違規(guī)事件的屢屢發(fā)生，其中一個很重要的原因是上市公司內(nèi)部控制的嚴重缺位或失靈。內(nèi)部控制是影響公司經(jīng)營狀況和會計信息可靠性的重要因素，愈演愈烈的造假丑聞使我國監(jiān)管機構意識到建立健全上市公司內(nèi)部控制制度并充分披露其信息的重要性。尤其在SOX法案頒布之后，我國政府相關部門提出了借鑒該法案以完善我國上市公司內(nèi)部控制和加強內(nèi)部控制信息披露的構想。證監(jiān)會先后出臺了一系列規(guī)范性的文件，對內(nèi)部控制給予了前所未有的關注，其中對部分上市

3、公司的內(nèi)部控制信息披露做出了強制性的要求。但是，由于相關的內(nèi)部控制信息披露規(guī)范本身還存在很多問題，實踐中許多上市公司缺乏自愿披露的動機，內(nèi)部控制信息的披露在很大程度上流于形式，披露的信息無論是數(shù)量還是質(zhì)量都難以令人滿意。 為了改變這種情況，推動和指導上市公司建立健全內(nèi)部控制制度，提高公司風險管理水平，保護投資者的合法權益，上證所于2006年6月5日公布了《上海證券交易所上市公司內(nèi)部控制指引》，指引要求上市公司要對公司的內(nèi)部控制進

4、行評估并形成內(nèi)部控制自我評估報告，隨年報一起披露。由此筆者產(chǎn)生了對上市公司內(nèi)部控制的自我評估進行系統(tǒng)研究的想法，希望通過研究自我評估的內(nèi)容、標準、評估方法，以及評估過程的具體實施和最終內(nèi)部控制自我評估報告的形成，能給大家一個清晰的視角去了解內(nèi)部控制的自我評估，并為我國上市公司如何有效地對內(nèi)部控制進行自我評估提供一些參考。本文的寫作思路可以歸納為“緒論——理論分析——實施設計——缺陷評估——前景展望”。首先筆者簡要說明了研究工作的背景、目

5、的、意義、研究方法以及相關領域的前人工作和知識空白，接著筆者對內(nèi)部控制及其自我評估進行了理論分析，說明內(nèi)部控制自我評估的必要性和可行性，然后筆者嘗試對內(nèi)部控制自我評估的實施過程進行設計，界定了內(nèi)控缺陷的評估步驟并最終形成內(nèi)部控制自我評估報告，最后對我國上市公司內(nèi)部控制自我評估的實施進行了展望。 第一章筆者主要介紹了研究背景、目的和意義、國內(nèi)外研究現(xiàn)狀以及主要的研究方法和研究內(nèi)容，為后文的寫作奠定基礎。 第二章內(nèi)部控制自我

6、評估的必要性和可行性本章首先對內(nèi)部控制的相關理論知識進行了梳理，介紹了內(nèi)部控制的發(fā)展歷程、定義、總體框架和內(nèi)部控制的目的、類型以及設置原則，明確了內(nèi)部控制的概念，將COSO報告對內(nèi)部控制的概念作為研究的起點，在此基礎上對內(nèi)部控制自我評估做出定義，即公司管理當局以監(jiān)控公司內(nèi)部控制執(zhí)行情況、評估部門業(yè)績及個人表現(xiàn)、改進內(nèi)部控制及管理缺陷為目的，按照一定的內(nèi)控評估標準進行的內(nèi)部測評、缺陷整改以及最終出具內(nèi)部控制自我評估報告的系統(tǒng)的、連續(xù)的過程

7、。然后通過目前上市公司內(nèi)部控制工作中存在的突出問題來說明上市公司進行內(nèi)部控制自我評估的必要性和可行性，為后文的論述提供理論前提。 第三章為本文的重點，在分析了內(nèi)部控制自我評估的必要性和可行性之后，主要從內(nèi)部控制自我評估的內(nèi)容、標準、前期準備工作、評估方法和評估步驟等方面展開，來完成對內(nèi)部控制自我評估的具體實施過程的構建。 首先，明確了內(nèi)部控制自我評估的主要內(nèi)容應包括內(nèi)部控制框架和貫穿于公司經(jīng)營活動中的內(nèi)部控制流程，文章中

8、相關的內(nèi)部控制流程筆者主要參考了上交所公布的《內(nèi)部控制指引》。然后分別從完整性、合理性和有效性幾個方面來分析了內(nèi)部控制評估的一般標準和具體標準。 其次，分析了為能夠順利進行內(nèi)部控制自我評估所必須做的相關準備工作，主要包括內(nèi)部控制自我評估的組織、計劃以及相關人員的能力培養(yǎng)。 最后，在明確了內(nèi)部控制自我評估的方法和選用原則的基礎上，構建了內(nèi)部控制自我評估的具體步驟。本文所構建的評估步驟主要包括調(diào)查了解、內(nèi)控測試和評價報告三個

9、方面，其中最為重要的是內(nèi)控測試，不僅要合理選擇測試方法和控制點，還要注意樣本的選擇，在發(fā)現(xiàn)存在內(nèi)控失效時還要根據(jù)實際情況來確定是否進行追加測試。在具體的評估過程中，評估人員應在工作底稿上對測試過程和結(jié)果進行適當?shù)臅嬗涗?，記錄中至少應包括測試內(nèi)容、方法、結(jié)論、缺陷匯總及原因分析、改進建議等項，相關責任人應在記錄上簽字確認。因此在本章中筆者嘗試設計了關于內(nèi)控要素和業(yè)務流程的內(nèi)部控制自我評估的工作底稿，主要包括內(nèi)控框架評估工作底稿、內(nèi)控要素

10、(控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控)評估工作底稿、內(nèi)控流程評估工作底稿以及關鍵控制點測評工作底稿。 第四章內(nèi)控缺陷的識別及自我評估報告的形成本章與第三章并重，進行內(nèi)部控制自我評估旨在檢查公司的內(nèi)部控制是否存在缺陷，因此在整個評估過程中內(nèi)控缺陷的識別和界定非常重要，這也是本章節(jié)的主要內(nèi)容。 首先，明確了內(nèi)部控制缺陷的類型和評估標準，在此基礎上筆者嘗試設計了內(nèi)控缺陷的界定步驟。不同領域、不同性質(zhì)的控制，缺陷評估

11、的具體步驟也有所區(qū)別。在第三章中說明了內(nèi)部控制評估的內(nèi)容主要包括內(nèi)部控制框架和內(nèi)部控制流程，內(nèi)部控制框架即COSO五要素的內(nèi)部控制整體框架。由于信息系統(tǒng)的內(nèi)控缺陷評估具有其自身的特殊性，故適宜將五要素中的“信息與溝通”這一要素單獨作為一類進行研究，所以筆者在本章將公司內(nèi)部控制分為控制活動(即各個業(yè)務流程)、信息系統(tǒng)總體控制、信息系統(tǒng)總體控制以外的內(nèi)控要素三類進行研究，并確定了不同的缺陷評估步驟，而且還對如何確定例外事項是否構成內(nèi)控缺陷進

12、行了說明。 然后筆者還討論了評估大體完成之后的認證、缺陷整改以及自我評估報告的生成，并嘗試設計了上市公司內(nèi)部控制自我評估報告的參考格式。 第五章我國上市公司內(nèi)部控制自我評估的相關展望本章首先比較上交所和深交所的內(nèi)部控制指引的不同之處，說明內(nèi)部控制自我評估的實施還需要更為完善的實施細則及配套文件來指導和規(guī)范，然后對174家上市公司在2006年年報中的內(nèi)部控制信息披露情況進行統(tǒng)計分析，以此對內(nèi)部控制自我評估的具體實施進行了展

13、望。 本文的主要貢獻： 第一，我國目前學者鮮有站在上市公司角度對內(nèi)部控制自我評估進行較為全面的研究，筆者結(jié)合我國的實際情況對內(nèi)部控制的自我評估進行了較為系統(tǒng)的研究，從評估的內(nèi)容和標準、評估的前期準備工作、內(nèi)控的調(diào)查了解、內(nèi)控測試、評估和報告等幾個方面對內(nèi)部控制自我評估的具體實施過程提出了自己的見解。 第二，本文在對內(nèi)控自我評估的過程和內(nèi)控測試的研究的基礎上，嘗試設計了內(nèi)部控制測評各類工作底稿的參考格式。并根據(jù)內(nèi)部