2023年内部控制评价与内部控制自我评价

课题：内部控制自我评价

目录

前言...............................................................2

第一章内部控制概论.............................................5

第一节内部控制的定义........................................................5

第二节内部控制运行过程......................................................6

第三节企业对内部控制理解的误区.............................................7

第二章内部控制自我评价的概念..................................11

第一节内部控制评价与内部控制自我评价.....................................11

第二节内部控制自我评价的概念..............................................11

第三章内部控制自我评价的必要性................................12

第四章美国内部控制自我评价法规指引对我国企业的启示..........16

第五章企业内部控制评价体系的建设..............................22

第一节企业内部控制自我评价体系三维模型...................................22

第二节组织与人员...........................................................25

第三节风险评估.............................................................29

第四节方法与程序...........................................................51

第五节信息与沟通...........................................................61

第六节监督与考核...........................................................63

前言

一、课题背景

进入21世纪以来，美国证券市场相继爆发了安然、世界通讯、施乐、默克

制药等一系列财务造假丑闻，这些丑闻使人们对美国上市公司信息披露的真实性

产生质疑，动摇了包括美国在内的全球投资者对美国资本市场的信心，同时暴露

出美国公司治理结构的不平衡和外部监督的缺失，为美国经济前景蒙上了阴影。

为了提高民众对美国资本市场、政府经济政策的信心，消除对上市公司财务报表

真实性的担忧，2002年7月30日美国总统布什签署了《萨班斯-奥克斯利法案》

（以下简称“萨班斯法案”）o萨班斯法案的出台不仅对美国资本市场产生了巨大

的影响，它也引发了其他国家监管机构对内部控制的高度重视。各国纷纷借鉴美

国的经验，制定了一系列的监管规定，对企业内部控制的建设、评价和披露提出

相关要求。

近年来，我国从国内企业的实际情况出发，吸收了国际上的先进成果，在内

部控制相关制度体系的构建方面取得了显著进展。特别是2008年6月，财政部、

证监会、审计署、4艮监会及保监会五部委联合发布了《企业内部控制基本规范》，

从内部环境、风险评估、控制活动、信息与沟通以及内部监督五大要素的角度，

对于中国企业应如何建立和维持有效的内部控制提出了原则性的要求，建立了具

有中国特色的内部控制框架。同时，基本规范还要求适用企业对内部控制有效性

进行自我评价，披露年度自我评价报告，并可聘请会计师事务所对内部控制的有

效性进行审计。此后，财政部等五部委又于2010年4月发布了《企业内部控制

应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》作为《企

业内部控制基本规范》的配套指引，指导企业开展内控建设和评价工作，指导审

计师实施内部控制审计。

上述规范和指引均属原则性要求，企业只有在实施过程中准确理解并灵活运

用这些原则，才能使企业内部控制的有关工作可以事半功倍。特别是，对于按规

定须于2011年1月1日起施实《企业内部控制基本规范》和配套指引的企业，

做好内部控制的自我评价工作并按照相关监管规定，按时、保质的披露自我评价

报告更是迫在眉睫。许多企业由于是第一次从事内部控制的自我评价工作，缺乏

相关工作经验或相关工作经验有限，在实践过程中，当突然遇到这样或那样的实

际操作性问题时就会觉得事发突然，无从下手，难以把握，因而会非常急切地希

望了解其他具有相关经验的企业和咨询机构在面对同样的问题时如何应对。在上

述背景下，本课题以探讨企业在内部控制自我评价过程中可能遇到的问题为出发

点，从理论应用和实例分析两个纬度展开研究。

二、思路及内容概述

第一章，内部控制概论。准确理解内部控制的内涵是研究和实施内部控制自

我评价的首要前提。内部控制自我评价工作难以有效实施的问题之一是参与评价

的人员没能真正了解什么是内部控制，在执行相关工作过程中，将控制活动与内

部管理制度或一般经营活动相混淆。对评价对象的错误理解，导致企业内部控制

自我评价工作的工作效率低，成效差，表面上看好像没有发现问题，实际上，真

正的控制点没能被包括在测试范围内，而未测试控制点的失效可能引发的风险被

掩盖，无人察觉。另一方面，对内部控制的不理解，也使参与内部控制自我评价

工作的评价人员无法充分发挥主观能动性，积极地参与到内部控制的持续完善工

作中。因此，本文在开篇对内部控制的内涵进行了介绍，以明确本文所研究的内

部控制的具体含义，从而为后文的研究及观点阐述奠定基础。

第二章，内部控制自我评价的概念。在阐明内部控制的涵义后，本章节对本

文的研究对象一“内部控制自我评价”的^念进行界定。

第三章，内部控制自我评价的必要性。对于企业来说，实施内部控制自我评

价不仅是为了应付监管机构的要求，同时也是企业自身健全内部控制体系、防范

风险的需要。本章节论述了内部控制自我评价工作在内控体系建设、财务报表质

量以及企业形象等三方面的重要作用，进而说明企业做好内部控制自我评价的意

义。

第四章，内部控制自我评价相关法规和指引。各国政府及监管机构在为所辖

企业提出该如何搭建内部控制自我评价体系的相关规定和指引前均投入了大量

的人力物力，以研究并论证其将提出的指引如何才能具有实务操作性和广泛适用

性，并能够切实解决企业在实施内部控制评价的过程中存在的普遍疑惑和问题。

因而，这些法规和指引对于企业具有重要的借鉴意义。本章节将美国与中国有关

内部控制自我评价的监管制度体系和法规要求进行了比对分析，为企业深入思考

该如何搭建适用于本企业的内部控制自我评价体系提供了更为广泛的参考信息。

第五章，企业内部控制自我评价体系的建设。众多国内企业在搭建自身的内

部控制评价体系的过程中往往只关注评价程序和方法这两个方面的内容，而忽略

了仅有程序和方法可能无法确保评价工作能够有效地持续开展。正如建立一个有

效的内部控制体系需要内部环境、风险评估、控制活动、信息与沟通和内部监督

这五要素相辅相成，内部控制自我评价工作的有效进行也需要一个完整的体系来

提供全方位的保障。企业可以考虑从组织与人员、风险评估、方法与程序、信息

与沟通、监督与考核这五方面着手建立企业内部控制自我评价体系。本章内容从

组织与人员、风险评估、方法与程序、信息与沟通、监督与考核这五个方面展开，

其中各小节均从企业内部控制自我评价过程中可能存在的问题入手展开分析，提

示企业予以关注。

第一章内部控制概论

第一节内部控制的定义

1992年，美国反欺诈财务报告全国委员会(NationalCommissiononFraudulent

FinancialReporting)的发起组织委员^(CommitteeofSponsoringOrganizations,

简称COSO)发布了著名的《内部控制——整合框架》，即“COSO报告”，提出

了内部控制整体框架思想，将内部控制定义为：“内部控制是一个由企业的董事

会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：一是财务报

告的可靠性；二是经营的效果和效率；三是符合适用的法律法规。"COSO报告

将内部控制结构划分为五个部分，分别是控制环境、风险评估、控制活动、信息

与沟通、监督。COSO报告对于内部控制的定义在历经了多年的实践考验后，已

成为国际公认的理念，COSO内部控制框架也被广泛地作为企业内部控制体系建

立与评价的标准。

通过借鉴国外的先进经脸和多年的实践摸索，随着《企业内部控制基本规范》

的颁布，我国对于内部控制涵义的解读已取得了重大的突破并与国际先进理念接

轨。2008年5月，财政挈等五部委在联合发布的《企业内部控制基本规范》中对

内部控制进行了如下定义：“内部控制是由企业董事会、监事会、经理层和全体

员工实施的、旨在实现控制目标的过程”。内票控制目标为五个方面，即合理保

证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营

效率和效果，促进企业实现发展战略。

这一定义首先强调了企业领导者尤其是董事会、监事会和经理层在建立与实

施内部控制中的重要作用；其次，明确了内部控制是全体员工的共同责任；此外，

明确指出内部控制是一个动态的^念，是对企业生产经营过程的控制，也是对实

现企业发展目标的控制，同时还是一个不断优化、完善的过程；最重要的是，该

定义将内部控制目标在“合法合规、财务可靠、经营效率与效果”的基础上进行了

细分和扩展：一方面将“资产安全''目标从财务报告目标中细分出来，另一方面增

加了“促进企业实现发展战略”的目标。该定义对中国企业的内控体系建设提出了

进一步的要求，企业需要通过内控体系的建立和完善，在经营效率和效果方面更

上一层楼，从而促进企业实现发展战略。

第二节内部控制运行过程

如前所述，内部控制不是静态的，而是一持续优化和完善的过程。这一^过

程是由设计、执行、评价和改进四个环节所构成的闭环。其中：

一、内部控制的设计

企业需要针对影响目标实现的风险进行识别、评估和应对，为确保有效实施

风险应对，企业需要设计一整套内部控制体系。内部控制设计是内部控制循环的

基础。内部控制设计的载体通常是企业制定的各种内部控制制度。

二、内部控制的执行

内部控制执行是对内部控制设计的运用。内部控制设计的再完美，若不加以

实施就如同纸上谈兵，毫无意义。

三、内部控制的评价

正如一个健康的人也需要定期体检一样，任何一个完善的体系都离不开有效

的反馈机制，只有定期通过反馈机制对整个体系的运作状况进行综合评价，其构

建者与维护者才能识别体系中的薄弱环节，以采取相应的改进措施，促进体系的

不断完善。因此，要建立良好的内部控制体系也需要一套行之有效的反馈机制，

即对内部控制系统的健全性、合理性和有效性进行评价，以实现对内部控制系统

的“再控制”C具体而言，内部控制评价是从设计和执行两个层面对内部控制的有

效性进行测试、分析，并对内部控制设计和执行是否有效做出评价。内部控制评

价是内控过程中非常重要的一个环节，或者说是一个承前启后的环节。评价既是

对已有控制的总结，又是未来改进控制体系的重要依据。评价过程中，通过对内

部控制系统进行分析和测试，形成评价报告。评价报告既要反映内部控制的现状,

还要说明内部控制的不足之处，并提出改进建议。

四、内部控制的改进

企业管理当局应根据内控改进建议对企业的内部控制系统实施改进措施。经

过改进的内部控制又将形成内部控制系统中新的组成部分，成为以后内部控制评

价的对象。

内部控制系统运行的四个环节环环相扣、循环往复构成一个完整的内部控制

运行过程。现实中，并不存在一劳永逸的内部控制系统，内部控制系统必须随着

企业内外部环境的变化，不断改进。因此，企业应当长期持续的开展内部控制评

价，及时对自身的内部控制体系加以改进以适应新的变化和要求。

第三节企业对内部控制理解的误区

虽然我国在内部控制理论方面已建立了权威的框架，但是许多企业在执行相

关工作的过程中对于内部控制的理解仍然存在误区，突出表现为两方面：一是将

内部控制与企业内部管理制度相混淆：二是将内部控制与业务活动相混淆，未能

深刻认识到内部控制是一个完整的“体系”。以下，将以示例的方式从上述两个方

面分别阐述，辅助企业正确理解内部控制的涵义并准确地将其运用到内部控制评

价工作中。

一、区分内部控制与管理制度

一些企业认为，为满足日常经营管理的需要，企业已经制定了一系列内部管

理制度并对企业日常经营活动提出了全面的要求，这些管理要求即构成了企业的

内部控制体系。这种理解过于片面，一方面忽咯了内部控制作为一个动态的“过

程“，需要依赖企业全员的“实施”，另一方面没有考虑企业的内部管理制度本身是

否具备操作性，可以被执行和评价。

从内部控制的定义可以看出，内部控制作为一个动态的过程，若需发挥作用，

即实现战略、经营、报告、合规以及资产安全等目标，必须依赖于企业董事会、

监事会、经理层和全体员工的实施。因此，内部控制是一项活动或一系列活动的

组合，而不是静止在书面形态的制度和要求。如果某个制度或某项管理要求没有

被实施，那么它应当仅仅被视为游离于内部控制体系之外的一篇文字而已，不构

成任何内部控制。

当然，制度和要求与内部控制之间也存在联系。如果企业在实际操作中对于

某项控制措施已经形成了惯例并且控制效果显著，那么管理层必然希望该项控制

措施未来能够一贯有效她执行下去，不受人员更替的影响。在此情况下，管理层

需要将这项良好的惯例形成朽面规定，要求相关人员比照执行，同时还可以依据

这一书面规定衡量相关人员的工作是否到位，落实问责。另外，对于实际操作中

欠缺的控制措施，管理层亦可通过制定具备操作性的管理制度来要求相关人员照

章执行，从而构成真正意义上的内部控制。

总之，内部管理制度本身并不足以构成内部控制，但可以促进内部控制一贯

有效的执行。下面要解决的问题是何为具有操作性的管理制度，以某公司的《销

售与收款管理制度》为例，其中规定：

1）销售价格的确定须经总经理审批或授权；

2）要将销售与发货记录进行核对，确保账账相符，财务记录符合权责发生制。

从管理者的角度看来，上述两项规定确实对销售和收款过程中的关键环节

（价格审批、账账核对）提出了要求，这也是国内企业典型的管理制度的编制方

式。但是销售业务相关部门和人员在执行中可能存在许多疑问，比如：对于规定

1,由谁负责发起并处理价格审批？总经理口头批准即可，还是提交书面审批表？

在什么情况下总经理可以授权其他人审批，授权给谁？对于规定2,销售和发货

信息从何而来，对应的职责部门/人员是谁，信息载体是什么？多久核对一次？出

现差异怎么力、？执行人员带着这些疑问开展日常工作，一方面可能导致根据个人

的经验判断而开展工作，与管理者意图存在偏差；另一方面也可能导致个别人故

意利用管理要求中的“灰色空间''而谋取个人利益，增加舞弊风险。因此，这样的

管理制度在给执行人员带来困扰的同时，也不足以支撑企业的经营管理和内控评

价工作。

一项具有操作性的内部控制制度规定至少应明确如下基本要素:

基本要素以规定（1）为例以规定（2）为例

谁：客户经理物资部仓库管理员、财务部收入会计

何时：在签订销售合同前每月末

控制活取得总经理或适当被授权人对销售价将销售的财务记录与实物发货记录进行核

动：格的审批对

财务部收入会计从财务系统中导出当月销

填写销售价格审批表，注明报价、折扣

售分类明细账，将合计金额与销售收入科

率、利润率，并在审批后附上服务成本

目余额进行核对，确保金额一致；

如何做：费用计算表，依据报价总金额的不同提

交相关人员审批。单项交易金额＜100仓库管理员从物资管理系统中导出当月销

万元，提交副总经理审批；单项交易金售出库分类明细表；

额〉=100万元，提交总经理审批。财务部收入会计与仓库管理员共同针对销

售分类明细账与销售出库分类明细表中的

产品数量和类别进行核对。

核对若发现差异，需查找出库单、订单等

若审批未通过，需修改报价金额或内

跟进措原始单据，确定差异原因。若查明需要调

容，然后再依据修改后的金额提交相应

施：整财务或实物账的，还需要执行调账程序。

的人员审批。

（调账程序另有控制制度明确规定）

财务部收入会计和仓库管理员编制核对

戌果及证总经理/副总经理在销售价格审批表上

表，在表中注明核对结果，差异原因，处

据：签字。

理方式，并在表中签字。

控制目确保销售交易入账的完整性、真实性和准

确保销售价格经过适当的授权

标：确性。

二、区分内部控制与业务活动

无论是COSO报告还是《企业内部控制基本规范》，均强调内部控制是由控

制环境（内部环境）、风险评估、控制活动、信息与沟通及内部监督五个要素构

成的整体。内部控制任何一个目标的实现都需要依赖五大要素的协同作用，实现

全方位保障。

但是在实际操作中，一些企业对内部控制五要素的理解不够深入，不能从系

统的高度把握这些要素。结果导致这些企业在内控建设和评价过程中，仅将工

作重心集中于具体业务流程的控制活动中，而忽略了对内控运行效果影响更加广

泛的控制环境、风险评估、监控等要素，偏离了全面性和重要性的原则。

企业应当充分关注控制活动以外的控制要素。例如为实现“财务报告及相关

信息真实完整''这一控制目标，不仅需要销售、采购、存货管理等业务流程中的

各类控制措施发挥作用，确保具体会计账户记录的真实、完整、准确，更加需要

控制环境、风险评估、信息沟通和监控等因素协同作用，包括：董事会、管理层

对于财务舞弊的充分重视、公司对于员工行为守则（包括财务从业人员职业道德）

的深入宣贯、审计委员会的有效运行、管理层对于财务报告相关风险的及时识别

与评估、内外部投诉检举渠道的畅通、内部审计职能的有效运行等等。

第二章内部控制自我评价的概念

第一节内部控制评价与内部控制自我评价

内部控制评价是指好内部控制系统的有效性进行测试和分析，形成评价结果,

出具评价报告。它包括对内部控制设计和内部控制运行两个层面的测试和分析。

内部控制评价报告中应对企业的内部控制状况进行合理说明，指出发现的内部控

制体系的不足之处，并提出相应的改进意见。

内部控制评价根据评价主体的不同，可以分为外部评价和内部评价两种。外

部评价是指由外部独立机构，例如外部审计师或行业监管单位等，对企业的内部

控制系统实施的评价。内部评价，是企业对其自身内部控制系统实施的评价，也

就是内部控制自我评价。

第二节内部控制自我评价的概念

对于内部控制自我评价，目前国内外尚没有形成如同COSO报告对内部控制

的定义一样被广泛认同并应用的概念。

本文引用了《企业内部控制评价指引》中的定义，即企业内部控制自我评价

是指“企业董事会或类似权利机构对内部控制有效性进行全面评价、形成评价结

论、出具评价报告的过程

第三章内部控制自我评价的必要性

本文第一章第二节提到，内部控制自我评价是内部控制体系自我完善过程中

至关重要的一环。此外，内部控制自我评价还有助于企业强化内部控制的实施;

通过内控评价信息披露，企业可以提升市场形象和公众认可程度；对于监管机构

而言，通过强制企业实施内部控制自我评价并披露相关信息可以对整个资本市场

的健康发展起到非常积极的作用。

一、内部控制自我评价是企业强化内部控制的手段

对内部控制进行定期评价并将评价报告披露或提供给外部信息使用者，将会

强化董事会和管理层的责任，促使其加强对内部控制的重视程度。董事会和高级

管理人员对内部控制的高度重视会促使员工认真执行既定的控制政策和程序。如

果董事会将内控自我评价作为对管理层、部门和员工表现的一种考核过程，那么

这将会对包括高级管理人员在内的所有员工起到较强的威慑和监督作用，各类错

误和舞弊将会随之减少，内部控制的效果得以加强。

二、内部控制自我评价有助于提升企业市场形象和公众认可度

越来越复杂的经营活动决定了财务报告已经不能满足外部信息使用者的需

要，他们需要了解上市公司更多的信息才能做出判断。在现今诚信危机日趋严重

的情况下，内部控制信息对于外部信息使用者而言是一项重要的决策依据，投资

者比以往任何时候都更加关注内部控制的信息。公司通过出具或公布内部控制自

我评价报告，让投资者清晰地了解企业的风险管理水平、内部控制状况，有助于

树立诚信、透明、负责任的企业形象，增强投资者对企业的信任度和认可度，进

而塑造有利的外部环境，促进企业的长远可持续发展。

三、内部控制自我评价有助于提高财务报告等信息披露的质量，促进资本市

场健康发展

从理论上讲，内部控制信息的披露与财务报告质量在一定程度上存在关联。

对于上市公司而言，在被要求进行内部控制自我评价并向外部信息使用者提供内

部控制自我评价报告的情况下，公司董事会和管理层出于减轻自身责任以及公司

长远利益的考虑，不得不真正关注内部控制的建设和执行情况，从而不断完善公

司的内部控制。一旦公司具备了健全、有效的内部控制，可以消除财务报告信息

失真的诱因，合理保证财务报告质量。以下对于上海证券交易所上市公司的调查

数据可以从财务报表的会计差错更正和外部审计师审计意见两方面印证内控自

我评价对财务报告质量的影响：

1.自我评价与会计差错更正的关系

上市公司根据上交所的要求于2007年在年度报告中披露内部控制自我评价

报告后，公司对年报进行重大差错更正的情况统计如表1:

表1.沪市公司对2007年年报做出重大会计差错更正的公司।

\^1量与比重对2007年年报在同类（披露/在165家存在862家沪市

进行重大会计未披露）公司在大会计差公司中占比

按报告

差错更正的公错更正的公

i信息来源：周初业、吴益兵.2008,沪市上市公司2007年内部控制报告分析；中国会计协会.2010.企业内部控制自

我评价与审计.大连出版社

司数量中占比司中占比

(1)揭露自我评1510.4%9.1%1.74%

价报告公司

(2)未披露自我15020.9%90.9%17.4%

评价报告公司

合计165-100%19.14%

从表1可以看出，沪市862家发布2007年年报的上市公司中，共有165家

公司随后进行重大会计差错更正，占沪市862家上市公司的19.14%。而在165

家进行重大会计差错更正的公司中，仅有15家公司披露了自我评价报告，其余

150家公司均未披露自我评价报告，二者分别占全部进行重大会计差错更正公司

的9.1%和90.9%。在已披露自我评价报告的144家公司中，仅有10.4%的公司随

后进行了重大会计差错更正，而未披露自我评价报告的718家公司中，有20.9%

的公司进行了重大会计差错更正。因此可以认为，从减少重大会计差错更正这一

角度，管理层出具自我评价报告对改善内部控制质量有显著作用，即管理层通过

对企业内部控制的自我评价，可以及时发现企业内部控制缺陷，适时实施改进方

案，对提高财务报告的可靠性有较为明显的积极作用。

2.自我评价与审计意见的关系

除了重大会计差错更正，财务报告的审计意见类型也是衡量上市公司财务报

告质量的一个重要指标，与被出具标准无保留意见的公司相比，无论是为了提醒

报表使用者对强调事项潜在风险的关注而出具的非标准审计意见报告，还是由于

上市公司拒绝按审计调整建议对会计报表进行调整以及审计范围受到限制而出

具的非标准意见审计报告，都表明被审计单位内部控制存在着不同程度的问题。

沪市公司2007年非标准审计意见情况统计如表2:

表2.沪市公司2007年非标准审计意见情况统计表2

数量与比重被出具非标在同类（披露在66家非标在862家沪市

准意见公司/未披露）公准审计意见公司中占比

按

数量司中占比的公司中占

情况分类比

（1）揭露自我评价42.78%6.1%0.46%

报告公司

（2）未披露自我评628.64%93.9%7.19%

价报告公司

合计66-100%7.65%

表2的结果表明，沪市862家发布2007年年报的上市公司中，有66家被出

具了非标准审计意见（其中48家为加事项段的无保留意见，10家为保留意见，8

家为无法表示意见），占862家上市公司的7.65%。在66家被出具非标准意见的

公司中，仅有4家披露了自我评价报告，其余的62家公司均未披露自我评价报

告，二者分别占该类公司的6.1%和93.9%。在已披露自我评价报告的144家公司

中，仅有4家公司（3家加事项段的无保留意见，1家保留意见）被出具非标审

计意见，占比为2.78%;而62家被出具非标审计意见且未披露自我评价报告公司

则占全部未披露自我评价报告公司的8.64%。从这一组数据的对比可以发现，财

务报告质量较低的公司披露内部控制信息的动机不足。内部控制自我评价报告是

管理当局对企业内部控制制度的设计和执行是否有效做出评价，并表明其对财务

报告和资产的安全完整无重大不利影响，这实际上表明了管理当局的一种合理保

证，同时也有利于管理当局对内部控制存在的缺陷加以改进，提高企业财务报告

2信息来源：周勤业、吴益兵.2008.沪市上市公司2007年内部控制报告分析；中国会计协会.2010.企业内部控制自我

评价与审计.大连出版社

的可靠性，因此，可以在一定程度上减少舞弊的可能性。财务报告质量有问题的

公司，由于没有一个健全有效的内部控制对财会人员、管理当局形成强有力的约

束，从而可能导致他们不遵守相关的财务法规，甚至粉饰财务报表。

第四章美国内部控制自我评价法规指引对我国企业的启示

有关内部控制自我评价的法律法规和指引是从外部监管的角度出发，对企业

的内部控制自我评价及披露工作给予强制性的规定抑或参照性的指引，促使企业

更加规范、有效地执行内部控制自我评价。各国政府及监管机构在为所辖企业提

出该如何搭建内部控制自我评价体系的相关规定和指引前，投入了大量的人力、

物力以研究并论证其将提出的指引如何才能具有实务操作性和广泛适用性，并能

够切实解决企业在实施内部控制评价的过程中存在的普遍疑惑和问题。其中，美

国作为内部控制评价理论和实践方面的领先者，从2002年萨班斯法案颁布至今，

经过实践的摸索、讨论、修正和更新，内部控制评价（包括自我评价和审计师的

独立评价）相关的规定和指引已经较为完善和成熟。美国的先进经验（无论是管

理层的内部控制自我评价还是审计师的独立评价），均可为我国企业思考如何搭

建内控自我评价体系并实施自我评价提供重要的参考。

美国对于内部控制评价的规定和指引可以分为四个层次，即以萨班斯法案为

代表的立法层面、以SEC为主体的监管层面、以美国公众会计监督委员会（Public

CompanyAccountingOversightBoard,简称PCAOB）为代表的行业自律层面以及

以COSO为代表的专业研究层面。

首先，在以萨班斯法案为代表的立法层面，涉及内部控制自我评价的内容主

要包括以下条款:

1、第404条款，对管理层声明、内控自我评价以及外部审计提出基本要求：

上市公司应当在出具年度报告的同时出具一份内部控制报告，管理层须在报告中

声明其对建立和维护与财务报告相关的内部控制系统的责任并对公司最近财政

年度与财务报告相关的内部控制系统的有效性进行评价。该条款同时还要求担任

公司年度报告审计的注册会计师对管理层出具的评价报告进行鉴证并出具报告。

2、第302条款，明确了CEO和CFO对于内控体系建立健全以及自我评价

的责任：上市公司CEO和CFO应当在其年度和中期财务报告上签名确认，表明

他们已阅读过该报告，以及财务报表在所有重大方面，公允地反映了公司在该报

告期末的财务状况及该报告期内的经营成果；要求CEO和CFO对建立及保持公

司内部控制系统承担责任，说明公司设计了所需的内部控制，对本公司内部控制

在签署报告前90天内的有效性进行评估并向外部审计师及董事会下属的审计委

员会说明其存在的重大缺陷和不足；同时在报告中指明在他们对内部控制评价之

后，内部控制是否发生了重大变化，或是存在其他可能对内部控制产生重要影响

的因素。

其次，在监管规定方面，SEC在萨班斯法案的基础上出台了一系列最终条例

用以规定对法案的具体执行措施。其中，与内部控制自我评估关系比较密切的有：

1、2003年6月颁布的题为《财务报告内部控制的管理层报告及对〈交易法〉

定期报告中披露的核证》的最终条例，规定了404条款遵循的各种细节性要求。

该条例提出了“财务报告内部控制”的操作性定义；要求管理层对内部控制有效性

的评估必须建立在适当的、经认可的内部控制框架上（比如COSO内部控制整合

框架）。

2、2007年6月20日发布的《管理层评估与财务报告相关的内部控制的解释

性指南》填补了在上市公司遵循404条款方面的指南的空白。该指南属于解释性，

而非强制性，为上市公司对与财务报告有关的内部控制进行评价提供了原则性指

引，旨在帮助上市公司根据自身的独特情况和条件，设计自上而下的、基于风险

的评估程序，从而有效且高效地完成对其内部控制机制的年度评价工作。

3、美国SEC同日发布了另一最终条例，修改了有关上市法规。主要包括：

修订“实质性漏洞”的定义使其更加容易被理解；修订对于审计报告的要求（不

再要求审计师对“管理层的评估是否公允表达”出具意见，只要求审计师对于公

司内部控制的有效性直接出具意见）。

第三，行业自律方面，PCAOB作为对会计师事务所的行业监管机构，根据

萨班斯法案的要求陆续发布了1至5号审计准则。其中，与萨班斯法案第404条

款联系最紧密的是其中的第2号审计准则以及之后取而代之的第5号审计准则一

“集成在财务报表审计中的与财务报告有关的内部控制审计”：

1、PCAOB第2号审计准则（PCAOBAuditingStandards2,以下简称“AS2”）

该准则适用于同时对客户的财务报表和管理层对财务报告内部控制有效性

的评估进行的审计，针对此类审计，审计师将出具两份审计意见：一份针对财务

报告的内部控制，另一份针对财务报表。AS2明确规定了管理层责任、审计师的

责任、审计的程序、方法和具体步骤、控制缺陷的评估和审计意见的发表等内容。

AS2还对评价审计委员会监管的有效性、利用他人的工作、管理层对内部控制的

声明、财务报告内部控制审计与财务报表审计的关系等作了具体规定。AS2的划

时代意义是不容辩驳的。过去，内部控制仅是管理者考虑的事情，而随着AS2的

颁布，审计师也要对内部控制进行详细的测试和检查。这一举措将对投资者起到

重要的保护作用，因为稳固的内部控制是抵御不当行为的头道防护线，是有效的

威慑舞弊的防范措施。但在实际执行过程中，AS2也使审计工作更加复杂，进而

使公司付出了巨额的审计费用。因此，AS2的编写思路、详尽程度、审计过程、

审计方法等受到审计师和公司管理层的质疑，随着时间的推移以及法规设计思路

的转变，AS2的修订工作越来越变得势在必行。

2>PCAOB第5号审计准则（PCAOBAuditingStandards5,以下简称“AS5”）

2007年7月，在获得SEC的批准后，PCAOB第5号审计准则—“集成在财

务报表审计中的与财务报告有关的内部控制审计”取代了第2号审计准则。AS5

一方面将继续加强揭示内部控制重大薄弱环节、降低财务报表出现重大误导可能

性的能力，另一方面也减少了不必要的审计要求，并对小公司和非复杂公司的内

部控制审计做出进一步规定。这也标志着，在经过希望企业监管规定和法律具有

更大灵活性的各行业组织的推动下，监管机构所做出的最大让步。AS5对AS2做

出的重要变化主要体现在四个方面：第一，强调风险评估。审计师可以通过对风

险的评估来调整审计程序和选择审计重点，将精力集中于那些可能导致重大错报

的领域，以提高审计效率；第二，取消不必要的审计程序。如删除审计师评价管

理层自身评价过程并出具意见的要求；第三，明确审计工作可以视公司的规模和

复杂程度而进行伸缩调整；第四，简化准则要求，精简审计程序。AS2中过于详

尽具体的要求限制了审计人员的专业判断和灵活选择审计策略的可能，而AS5改

为以原则化的要求指导审计人员的操作，并精简了相关的审计程序，以增强准则

的灵活性和适用性。在提高了审计效率的同时，企业为遵循法案而付出的成本也

随之降低。

最后，在内部控制的专业研究方面，COSO委员会作为美国内部控制的专业

研究机构，对美国内部控制自我评价制度体系的贡献和影响也是十分深远而广泛

的。例如，出于灵活性的考虑，SEC虽然未对内部控制评价的框架进行强制性要

求，大多数公司已将COSO内部控制整合框架作为其内部控制评价的框架标准。

经实践检验，COSO内部控制整合框架已然成为全球最为权威的内控框架；为了

引导小型公司的内部控制评价工作并同时考虑成本与效益原则，COSO还于2006

年发布了《财务报告内部控制一小型上市公司指引》，从而给予小型上市公司更

加具体并贴合实际的指导；此外，COSO于2004年颁布的企业风险管理整合框架，

将原有的内部控制整合框架纳入其中。该框架充分体现了风险评估与内部控制的

密不可分，二者应作为一个有机的整体为企业目标的实现而保驾护航。

综上所述，美国对于内部控制评价的规定和指引中有如下几点值得我国企业

思考和借鉴：

1、强化管理层贡任

sox法案严格界定了公司管理层对于与财务报告相关的内部控制的责任和

义务，并对违反财务报表披露要求的行为分别规定了民事和刑事处罚的要求。

sox法案作为联邦层次的法律，是美国政府制定的涉及范围最广、处罚措施最严

厉且最具影响力的公司法律之一。自SOX法案实施以来，美国企业从CEO、CFO

到普通员工，均能够严肃认真地对待法规遵循工作，使公司内部治理的质量不断

提高。可见，通过立法的方式强化企业管理层的责任，对于提高企业内部控制水

平起到了显著的促进作用。

2、基于风险、自上而下的评价方法

美国企业对萨班斯的遵循经验证明，内控评估过于公式化或细节过多，会导

致相关工作不能集中在风险上，评价效果可能无法达到相关法规要求。理想的评

价方法是将资源用于风险最大的领域，避免无视风险水平高低而对所有重要账户

和相关控制一视同仁；财务报告内部控制评估若能集中在最有可能对财务报表造

成重大影响的财务报表账户和披露相关的流程和交易类别