毕业设计（论文）企业内部控制自我评价的问题及对策研究.doc

1 绪论1、1 研究背景 随着2006年7月15日企业内部控制标准委员会的成立以及2008年5月22日企业内部控制基本规范(以下简称基本规范)的发布，再到2010年4月15日企业内部控制配套指引的出台，我国内部控制体系的发展已经达到了一个新的高度，有关内部控制的研究成为学术界的热点。然而从笔者收集的资料来看，在这波研究热潮中，虽然内部控制相关方面的研究成果颇多，但是涉足内部控制自我评价的研究甚少。 尽管专门针对内部控制自我评价的研究不是很多，但是我们必须看到其重要性。对于一个企业而言，如果只是被动的接受国家出台的政策，按政策有关要求制定相应的内部控制制度，而不是主动地站在企业的角度，自上而下的对企业内部各个环节的活动进行控制的话，不仅其内部控制实施的成本会很高，而且实施的效果从长远来看肯定也是不理想的。因此抛弃被动接受政策来设计内部控制制度的观念，寻求主动地对内部控制自我评价就显得很有必要了。 实践是需要理论来指导的，正如前文所言，国内对于内部控制自我评价的研究比较少，而正式的内部控制评价指引刚出台，尚需时日学习方能推广，且其配套的应用指引的政策解读尚未完全发布，所以本文选择内部控制自我评价的问题及对策作为主题，也是希望为内部控制理论的发展尽绵薄之力。 “安然”、“世通”会计丑闻的硝烟尚未消失殆尽，“雷曼”倒闭、力拓“间谍门”等案件又呈现在人们眼前。这些事件的发生都与内部控制的失效有关，涉案的大型企业都具有健全的内部控制制度，关键在于缺乏对其内部控制状况定期进行有效的评价，企业高层人员的行为得不到有效的约束、财务风险没有得到有效的控制，最终造成企业经营的失败。因此，如果能找到内部控制存在的问题并找到相应的解决办法，那么就能很大程度上减少这类案件发生的概率，这也是本文研究的实用价值之所在。1、2 研究的目的与意义1、2、1 研究目的 内部控制失效而引起的舞弊行为严重损害了广大投资者的权益；更重要的是内部控制失效给企业的进一步发展埋下大量隐患，如资金流失严重，高层人员的行为得不到有效的约束等,大量事实证明企业破产、倒闭都与内部控制失效相连。Adrian Cadbury爵士（1）阿德里安·卡德伯里(Adrian Cadbury)先后在吉百利史威士公司、英格兰银行、IBM英国有限公司的董事会中担任主席等职务。英国公司治理财务事务委员会在1992年出版了以其名字命名的报告卡德伯里报告和最佳实践准则。甚至断言，“公司的失败都是由内部控制的失败引起的。”因此，企业必须定期开展有效的内部控制自我评价，清楚掌握内部控制系统的运行状况。不断完善内部控制体系是关系企业生死存亡的大事。在复杂的组织结构、激烈的市场竞争下，管理者必须依赖建立健全的内部控制系统，并有效运行而提供准确的信息，才能对经营管理进行调节、沟通和约束。定期对企业内部控制开展自我评价，对于企业管理当局掌握企业内部控制的真实情况，发现内部控制中的薄弱环节，改善经营管理，实现企业目标有着重要意义。内部控制是一个动态循环的运行过程，企业的内部控制系统必须随其内外部环境的变化而不断加以改进，当前有效的内部控制系统，并不表示其在新的环境中仍然适用。因此，我国企业应当将内部控制自我评价引入企业的内部管理中，通过开展内部控制自我评价，提高自身的内部控制的质量和水平，促进企业的健康发展。 本文通过对以往企业内部控制评价研究成果的总结，对当前内部控制自我评价存在问题的分析，并结合最新发布的企业内部控制评价指引，提出解决这些问题的对策。从而确定内部控制的有效性，找到企业内部控制存在的不足，完善自身的内部控制制度。1、2、2研究意义（1）理论意义第一，研究角度新。近年来，我国在内部控制规范构建方面以新规范和配套指引的发布为标志取得了显著进展，但有关内部控制自我评价的研究并不多见。本文从企业自身主体角度出发进行相关研究，这是内部控制评价中一个崭新的研究视角。第二，对内部控制理论的完善起到了促进作用。我国长期缺乏统一的内控规范体系，而内部控制评价又是内部控制理论中重要的组成部分，本文的研究成果是对内部控制理论建设的有益补充和完善。第三，提高我国企业内部控制自我评价工作的规范性和标准化。藉此基本规范和配套指引的出台为契机，尽快建立我国企业内部控制自我评价的框架体系，不仅有利于深入推进我国内控建设，而且使内部控制评价标准更加明确，执行工作更加规范。(2)现实意义第一，企业内部控制评价发展的一个新趋势是实行“控制自我评价”，实施控制自我评价对于企业加强管理、提高劳动生产率、改进业务经营程序和内部审计程序、控制企业风险等有着积极的作用。第二，从我国企业的实际情况看，内部控制制度建设方面己经越来越规范，大多数大型企业均建立了完善的内控体系，但实际执行效果差，对内部控制开展主动的自我评价积极性不高。本文构建的内部控制自我评价体系便于企业执行，可有效促进新规范体系顺利实施。1、3 国内外研究现状1、3、1 国外研究现状 1987年加拿大海湾公司首次提出“控制自我评估”(CSA , Control SelfAssessment）（以下简称CSA），它是公司多年来总结的一套系统的审计技术和方法，大大推动了该公司内部控制的发展和完善。1996年12月财政部发布独立审计具体准则第9号，该准则是从制度基础审计的角度要求对企业的内部控制进行评价，对内部控制的定义、内容和目标等做出了规定，并要求注册会计师必须审查企业内部控制的情况。国际内部审计师协会在研究报告种总结了CSA的三个基本特征：关注业务的过程和控制的成效；由管理部门和职员共同进行；用结构化的方法开展自我评估。内部控制自我评价,简单来说就是公司不定期或定期地对自己及所属子公司的内部控制系统进行评价,评价内部控制的有效性及其实施的效率效果,以期能更好地实现内部控制的目标。黄治林.内部控制自我评估之浅探J.经济研究导刊,2011,(2) 1111997年，拉里·L·贝克在控制自我评估中提出了实施控制自我评估的五个原因，强调企业实施控制自我评估的重要性，号召有条件的企业应建立内控自我评价机制。1998年9月巴塞尔银行监管委员会发布银行组织内部控制系统框架，系统地提出了评价商业银行内部控制体系的13项指导原则，是商业银行内部控制评价研究历史性的突破。 1999年加拿大注册会计师公会所属的控制基准委员会(The Canadian Criteria of Control Committee，简称COCO)发布“评估控制指南”，该指南描述了形成一份评估报告的10个步骤，其中评估的重点是关于目标的信息和相关风险的管理。COCO对控制的评估着眼更多的是企业未来，而不是对过去的评价。（1）James Roth，Donald Espersen. The Matrix RevisitedJ.The Internal Auditor,2004,(8) 1999年英国的“公司内部控制工作小组”发布Turnbull指南，并于2005年进行了局部的修改，提出董事会负责审查内部控制的有效性，管理层则负责监督内部控制系统并向董事会提交评价内部控制有效性的报告，进而由董事会审查管理层的内部控制报告，对内部控制进行年度评价，并在年度报告中发布内部控制声明。（2）Buhariwalla，Adil.The Softer Side Of ControlsJ.Internal Auditor,2006,(63)安然、世通等一系列财务丑闻后，为了提高投资者对资本市场的信心，2002年7月美国政府通过了萨班斯奥克斯法案(简称“萨班斯法案”)，明确要求上市公司的年报应包括内部控制的评价部分即内部控制自我评价报告。该法案涉及内部控制自我评价的条款有:（1）第302号条款规定，公司提交的年度或季度报告中应该含有对内部控制有效性的评价以及审计委员会报告发现的内部控制设计或运行中的所有重大控制缺陷以及重要控制要点；（2）第404款规定，管理层需要披露对财务报告内部控制的自我评价报告，并要求审计师应该对公司的自我评价报告出具审核意见。（3）KPMG.Sarbanes-Oxley section 404:management of internal control and the proposed auditing standardsS.2002 萨班斯法案的颁布，标志着世界上最发达资本市场的监管者已经将内部控制体系的建立、维护、评价和报告看作是经营者的重要责任，也掀起内部控制自我评价的一个高潮。同时，海外的许多证券市场也都要求上市公司高级管理层对公司的内控状况做出承诺，并要求会计师事务所对其内部控制开展全面调查，全球掀起一股强制实行内部控制自我评价的浪潮。西方国家通过20多年的实践，已经总结出了多种关于CSA运用的方法，根据它们的基本形式可以归结为引导会议法、问卷调查法和管理结果分析法。范胭脂.关于开展内部控制自我评估的几点认识J,企业家天下，2009(9) 229目前在国际上较为流行的做法是引导会议法。三种CSA方法各有其适用情况，目前引导会议法在西方得到比较多的应用，而问卷调查法和管理人员分析法这两种方式，在实际操作中，往往同引导会议法结合起来运用。1、3、2 国内研究现状我国对于内部控制的引入较晚，企业的内部控制制度普遍缺乏合理的内部控制自我评价，但因内部控制及其自我评价对企业发展具有举足轻重的作用，我国理论界和实物界仍然做了大量的研究和探讨。20世纪90年代中后期，我国政府开始积极推进内部控制自我评价的规范化建设。1996年12月财政部发布独立审计具体准则第9号内部控制和审计风险，该准则是从制度基础审计的角度要求对企业的内部控制进行评价，对内部控制的定义、内容和目标等做出了规定，并要求注册会计师必须审查企业内部控制的情况。李学堂.我国国有企业内部控制评价深析J,长沙大学学报（社会出版社），2011（7）2000年，厦门大学的吴水澎、陈汉文和邵贤弟研究了COSO报告出台的背景、具体内容及创新特点，提出该报告对构建我国企业内部控制综合框架的启发和借鉴意义体现在五个方面，即完善企业的控制环境、进行全面的风险评估、建立良好的控制活动、加强信息沟通与流动、加强企业的内部监督。同是这三位作者2000年9月运用COSO报告的标准与评价方法，从控制环境、风险评估、控制活动、信息与沟通、监督等五个方面对郑州亚细亚集团内部控制失败案例进行了系统分析，从中引发了改进我国企业内部控制的几点思考，即由权威部门制定内部控制的标准体系，并对企业内部控制的审计做出强制性的安排，做到二者并举。李娜.企业内部控制自我评价体系研究D.天津：天津财经大学，2009. 3-42000年中国证监会发布公开发行证券公司信息披露编报规则。第一号、第三号、第五号要求商业银行、保险公司、证券公司建立健全内部控制制度，同时要求注册会计师对其内部控制制度及其风险管理系统的完整性、合理性和有效性做出说明，并进行评价，提出改进建议，并以内部控制评价报告的形式作出报告。2001年，厦门大学的李明辉在审计研究发表文章通过分析国外内部控制报告的评价和比较，指出我国上市公司的管理当局在对其内部控制进行自我评估后，则可以提出报告，向投资者宣布其内部控制不存在重大缺陷或除某些方面外，内部控制不存在重大缺陷。同时指出注册会计师应该对内部控制报告加以审查并发表意见。李娜.企业内部控制自我评价体系研究D.天津：天津财经大学，2009. 3-42003年，上海财经大学会计学院朱荣恩、应唯、袁敏在美国财务报告内部控制评价的发展及对我国的启示一文中从美国萨班斯奥克斯利法案404条款出发，对财务报告内部控制有效性评价做了相关的理解；在研究了SEC的提案和AICPA的征求意见稿的基础上，结合KPMG和McGladrey&Pullen会计师事务所提供的报告，提出了对我国财务报告内部控制有效性评价的启发和借鉴意义。针对近年来国内商业银行频繁发生重大金融案件，2004年9月中国银监会颁布商业银行内部控制评价试行办法。该办法体现了“管内控”的监管理念，指出内部控制评价包括过程评价和结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等要素的评价。结果评价是对内部控制主要目标实现程度的评价。2005年，上海宝钢国际经济贸易有限公司的张谏忠和吴轶伦在会计研究上发表文章内部控制自我评价在宝钢的运用，对内部控制自我评价的理论背景和基本特征进行介绍,并着重介绍了这一方法在上海宝钢国际经济贸易有限公司的实施,以及笔者在具体实施后的一些思考，是国内较少的介绍内部控制自我评价在企业中实际运用的文章，对其他企业实施该方法就有指导意义。2006年6月上海证券交易所（简称上交所）出台上市公司内部控制指引，规定公司董事会对内部控制制度的建立和实施情况作出自我评价，并出具评估报告，将发现的内部控制中存在的缺陷向证券交易所报告并予以公告；明确指出公司董事会对公司内控制度的建立健全、有效实施及其检查监督负责；要求注册会计师对上市公司发布的内部控制自我评价报告进行核实评价。7月1日中国内部审计师协会发布并施行的内部审计具体准则第21号内部审计的控制自我评估法中，规定内部审计人员在实施内部控制审查与评价之前应适当应用控制自我评估法，根据控制自我评估报告考虑审计重点，以提高审计效率，促进内部控制审计目的的实现。2008年6月财政部、证监会、审计署、银监会、保监会五部委联合发布企业内部控制基本规范，该规范明确了政府监管机构和注册会计师对内部控制评价报告的监管责任，要求国务院有关部门应对企业建立与实施内部控制的情况进行监督检查，并要求接受企业委托从事内部控制审计的会计师事务所对企业内部控制的有效性进行审计，出具审计报告。由此，企业为主体的自我评价、注册会计师进行的外部评价、政府监管部门的外部监督，三者共同组成了完整的、多方位的内部控制评价体系。基本规范参照了美国萨班斯法案，并深入考虑到我国企业内控环境而制定，但仍体现为COSO内部控制五要素框架。2009年3月，国有企业内部控制课题组所著的国有企业内部控制框架一书出版，该著作结合企业内部控制基本规范和COSO框架，对内部控制五要素进行了拓展，强调内部控制是动态过程，总结提炼出了国有企业内部控制的“12345内部控制基本框架”，即一个首要目标、二层责任主体、三条建设主线、四大基本原则和五大保障措施。2010年4月15日，财政部等五部门发布了内部控制配套指引，包括企业内部控制应用指引第1号组织架构等18项应用指引、企业内部控制评价指引（以下简称评价指引）和企业内部控制审计指引，自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。该配套指引与2008年5月发布的企业内部控制基本规范一起构成了中国企业内部控制规范体系。2 内部控制与内部控制自我评价理论概述2、1 内部控制相关理论2、1、1 内部控制理论的演进内部控制理论的演变大致可以划分为四个阶段（如图2-1所示）： 图2-1 内部控制概念的演进图（1）萌芽期（15世纪末20实际40年代）内部牵制20世纪40年代前，人们普遍采用内部牵制这一概念。柯氏会计辞典中将内部牵制定义为：“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或者部门不能单独控制任何一项或者一部分业务权力的方式进行组织上的责任分工，每项业务通过正常的发挥其他个人或部门的功能进行交叉检查或者交叉控制。”（1）Larry White.Management Accountants and Enterprise Risk ManagementJ.Strategic Finance Montvale,2004,(11)在现代内部控制理论中，内部牵制仍占有重要地位，是组织机构控制、职务分离控制的基础。 （2）成长期（20世纪4070年代）内部控制制度1949年美国会计师协会（1）1957年改名为美国注册会计师协会审计委员会首次对内部控制作出了权威性定义，在内部控制调整组织各种要素及对管理当局和独立职业会计师重要性报告中将内部控制定义为：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。”上述对于内部控制的定义非常宽泛，在实际工作中，难以得到操作。1958年10月，该委员会在发布的审计程序公告29号中，将内部控制概念重新进行了表述，将内部控制划分为内部会计控制和内部管理控制。内部会计控制包括组织规划的所有方法和程序，这些方法和程序与财产安全和财务记录可靠性有直接的联系。内部管理控制包括组织规划的所有方法和程序，这些方法和程序主要与经营效率和贯彻管理方针相关，通过只与财务记录有间接关系。这样的分类提醒管理者不但要对财务、财产记录进行控制，而且要充分重视企业经营效率管理的方针、方法与其执行情况。这是内部控制制度自身发展的一次较大飞跃。（3）发展期（20世纪8090年代）内部控制结构西方学术界在对内部会计控制和内部管理控制的研究中，越来越深刻的意识到这两者是相互关联，不可分割的。1988年，美国注册会计师协会审计准则公告第55号中用“内部控制结构”代替了“内部控制”，指出“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”，并且明确了内部控制结构具体包括控制环境、会计制度和控制程序三个要素。（1）16Sreinberg,Richard M,Tanki,Frank J.What the Treadway Commissions Internal Control Study Means to YouJ. Journal of Accountancy,1992,(11)内部控制结构首次将控制环境纳入内部控制范畴，该概念的提出是内部控制理论研究中的一个突破性成果。（4）成熟期（20世纪90年代至今）内部控制整体框架1992年，美国COSO委员会提出报告内部控制整体框架，即“COSO报告”，提出了内部控制整体框架思想。1994年COSO委员会对报告又进行了增补，将内部控制理论推进到内部控制整体框架阶段。COSO框架是内部控制理论发展史上最为重要的里程碑，实现了控制要素由三要素到五要素的突破并首次将风险评估纳入内部控制整体框架之内。1996年美国注册会计师协会发布审计准则公告第78号（SAS78），全面接受COSO报告的内容，并从1997年1月起取代1988年发布的SAS55。随着企业外部竞争的加剧和企业内部管理的强化，内部控制理论得到了快速的发展，企业管理者越来越重视内部控制评价在整个内部控制系统中的重要性。2、1、2内部控制的涵义近年来，我国理论界和实务界刮起了一阵“内部控制风潮”，对内部控制的探讨到达了空前的盛况。在这些讨论中，许多人对内部控制的涵义存在误解，一部分研究者对内部控制的认识还停留在内部控制制度和内部控制结构阶段，而实务界往往把内部控制理解为一堆堆的手册和文件等。2001年6月，财政部发布的内部会计控制规范基本规范（以下简称“基本规范”）中将内部控制定义为：“内部控制是指单位为了保证各项业务活动的有效进行、确保资产的安全完整、防止欺诈和舞弊行为、实现经营管理目标等而制定和实施的一系列具有控制职能的方法、措施和程序。”2003年，中国内部审计协会在借鉴“COSO报告”的基础上，在发布的内部审计具体准则第5号内部控制审计中，将内部控制定义为：“内部控制，是指组织内部为实现经营目标，保护资产安全完整，保证遵循国家法律法规，提高组织运营的效率及效果，而采取的各种政策和程序。”并指出“内部控制包括控制环境、风险管理、控制活动、信息与沟通、监督等五个要素。”2004年，中国注册会计师协会借鉴“COSO报告”对内部控制概念的定义，修改了1997年起在我国实施的独立审计具体准则第9号内部控制与审计风险中对内部控制的定义，在其发布的独立审计具体准则第29号了解被审计单位及其环境并评估重大错报风险（征求意见稿）中，将内部控制描述为：“内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循，由治理当局、管理当局和其他人员设计和执行的政策和程序。”并认为内部控制包括五个要素，分别是：控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统（包括相关的业务流程）和沟通、控制活动、对控制的监督。以上三个规范都借鉴了美国“反舞弊性财务报告委员会”发布的内部控制整体框架中从内部控制的目标出发来对内部控制下定义的思想，虽然在对具体目标的表述上略有不同，但其实质基本一致，即内部控制的主要目标有三：一是，内部控制应当符合法律和法规的要求，遵循国家法律法规；二是，内部控制应保证财务的可靠性和财产的安全性，凸现了内部控制与财务之间的重要联系；三是，为企业的经营管理服务。并且也都基本接受了“COSO报告”对内部控制构成要素的划分，即内部控制主要由控制环境、风险管理、控制活动、信息与沟通、监督五个要素构成。但是，三者都将内部控制描述为实现某些目标而实施的政策、措施和程序，这实际上是将内部控制等同于内部控制制度。在内部控制体系建立初期，这样的定义在某种程度上可以帮助企业建立相关内部控制规范。然而，这种定义容易使企业对内部控制产生误解，认为内部控制只是控制政策和程序的制定与实施，是静态的，而不将内部控制看作一个动态循环的过程，这既不能与国际公认的内部控制概念接轨，也不符合内部控制的实质，更不利于我国企业正确的认识和实施内部控制。我国在2009年7月1日实施的企业内部控制基本规范中有关内部控制定义为，本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现经营目标，保护资产安全完整，保证遵循国家法律法规，提高组织运营的效率及效果等目的而实施的一系列过程。该定义讲内部控制区别于内部控制制度。内部控制制度是企业内部为了保证内部控制目标的实现，而制定和实施的各种政策和程序。它是企业实施内部控制的制度保证。从内部控制与内部控制制度两个概念分别进行定义，既考虑了我国内部控制起步较晚的实际情况，帮助企业对内部控制比较直观的认识，又能与国际公认的内部控制概念相衔接，反映内部控制的实质，使企业对内部控制有正确全面的理解和认识。2、1、3 内部控制运行过程所前所述，内部控制不是静态的，而是一个持续的循环过程。这个过程主要包括设计、执行、评价和改进四个环节（如图2-2所示）图2-2内部控制运行过程图第一，内部控制的设计。企业需要对自身的任务和目标进行风险评估，并根据风险评估的结果来确定企业内部控制的具体目标，然后根据目标来设计内部控制。内部控制设计主要是由管理当局制定各种内部控制制度，内部控制设计是内部控制循环的基础。第二，内部控制的执行。内部控制执行是对内部控制设计的运用。内部控制设计的再完美，若不加以实施就如同纸上谈兵，毫无意义。第三，内部控制的评价。内部控制评价是对设计和执行两个环节的恰当性和有效性等进行测试、分析，并作出合理的评价。内部控制评价是内控过程中非常重要的一个环节，或者说是一个承前启后的环节。评价既是对已有控制的总结，又是未来改进控制体系的重要依据。评价过程中，通过对内部控制系统进行分析和测试，形成评价报告。评价报告既要反映内部控制的现状，还要说明内部控制体系的不足之处，并提出改进意见。第四，内部控制的改进。企业管理当局应根据评价意见对企业的内部控制系统进行改进。若只有评价，而没有改进，那评价也就没有任何价值可言。改进的内容又构成内部控制系统的组成部分，成为下次评价的对象。内部控制系统运行的四个环节，环环相扣、紧紧相连，构成一个完整的内部控制过程。现实中，并不存在一劳永逸的内部控制系统，内部控制系统必须随着企业内外部环境的变化，不断改进。因此，企业应当长期持续的开展内部控制评价，及时对自身的内部控制体系加以改进以适应新的要求。2、2 内部控制自我评价相关理论2、2、1 传统内部控制评价在西方国家内部控制评价的发展历程中，内部控制评价一直是内部审计工作的根本所在。在COSO内控框架发布之后，很多内部审计群体开始运用COSO框架，并将它作为评价内部控制的有效工具。美国COSO委员会发布的内控框架，构建了由三个目标和五项要素组成的内部控制新框架。该框架的发布和广泛采用标志着内部控制开始在理论上和实务上走出审计范畴，而成为企业整个管理体系的有机组成部分，同时该框架也可为企业内部控制评价提供指导。COSO内控框架提出的五项内部控制要素包含范围广且相互关联。控制环境是其它控制要素的基础，如果没有良好的控制环境，任何健全的内部控制系统都不可能有效地执行;在规划控制活动时，必须对企业可能面临的风险进行详细的分析;风险评估和控制活动必须借助于信息与沟通;同时，内部控制的设计和执行必须受到有效监督。2004年ERM框架的推出，是对COSO内控框架的更新，更加专注于企业的全面风险管理。萨班斯一奥克斯利法案第一次对财务报告内部控制的有效性提出了明确的要求。该法案涉及内部控制评价的条款主要有:第302款规定，公司首席执行官和首席财务官应当对所提交的年度或季度报告签署书面证明，证明中涉及内部控制评价的内容包括:签字人员应当保证在财务报告编制之前90天内己经对公司内部控制的有效性进行了评价;将关于内部控制有效性的结论反映在报告中;向外部审计师和公司董事会下的审计委员会报告了在内部控制设计或运行中对公司财务信息的记录、加工、汇总和报告产生不利影响的所有重大控制缺陷以及重要控制弱点。第404款规定，管理层需要对财务报告的内部控制进行报告。同时，该条款要求这些公司的审计师对管理层的评估进行认证和报告。近期，美国监管机构全面修订了相关准则指南，赋予管理层适度的灵活性。美国证监会根据2005一2006年内控审计和管理层测试的实际清况，接受了在美上市公司对内控成本较高及审计程序繁琐等抱怨，将2号准则修改并发布了5号准则，并更新了管理层实务指南，发生的变化表现在:一是测试范围的确定使用基于风险的方法确定下属单位。该方法将允许管理层在具体环境下进行必要的判断，赋予一定的灵活性。允许将审计重点放在风险最大的区域，以最大程度上减少实质性漏洞被漏审的可能。在某一具体领域，实质性漏洞存在的风险越低，在该领域所要投入的关注也越少。二是外部审计不再对管理层测试进行评估。“管理层可以采用更有效的方法来收集证据，比如在低风险领域进行自我评估，或者在高风险领域进行更广泛的检查等”。三是允许考虑在之前的审计中获取的知识。SEC解释性指南指出“管理层可以使用日常交流、自我评估以及其它一些连续性监控活动作为评估的证据”。四是对测试频率留下适当的灵活性。允许在内部控制的大部分内容上依赖以前年份的工作，可以对每年全部控制的一半或三分之一进行测试，测试选择那些过去几年未测试的区域进行。一作为实现以上变化的第一步，准则故意省略了“每年的审计必须独立”，而第2号审计准则中包含这样的规定。2、2、2 内部控制评价与内部控制自我评价有效的内部控制必须符合三大基本要求：第一，内部控制必须适切（也即在正确地方及涉有风险之处作适当控制）；内部控制在原计划期内，必须一贯性地符合功能设计（也即当关键成员暂时离职或期工作负担沉重时，仍须谨慎地遵守而不越有关原分权的规定）；内部控制必须符合成本效益原则。这是企业内部控制的理想、合适的理论模式。因此，对照内部控制理想、合适的理论模式，对单位现行的内部控制的恰当性和有效性，进行分析以及价值评定工作，即为内部控制的评价。企业实施内部控制自我评价，主要有两个原因：一是，为适应不断发展变化的企业内外部环境，管理当局通过实施内部控制自我评价不断改进企业的内部控制系统，以满足经营管理的需要，也就是应用于经营管理领域的内部控制自我评价；二是，由于政府监管机构的要求，上市公司管理当局对内部控制进行自我评价，并将评价报告予以上报、披露，以合理保证投资者的权益，这是应用于审计监督领域的内部控制自我评价。图2-3 内部控制评价分类图作为一种新型的内部控制评价方式，内部控制自我评（Control Self-Assessment）最早是由加拿大的海湾资源公司在上世纪八十年代开始运用的，并大大推动了该公司内部控制的发展和完善。近年来，其理念受到了国际内部审计协会等理论界和实务界的赞许和推广。随着经济全球化、决策低层化以及企业外部竞争多元化趋势的日益加剧和加深，企业经营风险加大。与此同时，内部审计人员由于对复杂多变的业务不尽熟悉，受人力资本、工作时间和工作地域的限制，完全依赖个别审计人员实施完整有效的审计监督已不具可能性。在公司治理活动的推动下，企业内部管理的强化，使内部控制系统评价也由传统的审计人员检查单据、实施复核性测试程序为导向，转为在审计人员指引下、由管理部门和员工共同研讨、提出最佳改进措施的“内部控制自我评价”。王桂莲.对实施企业内部控制自我评价的思考J，会计之友，2009，（12）53CSA将维持和运行内部控制的主要责任赋予公司管理层,管理层、员工和内部审计人员合作评价控制程序的有效性,使管理层和员工与内部审计人员一同承担对内部控制评估的责任，管理人员在内部审计人员的帮助下,对本部门内部控制的恰当性和有效性进行评价,然后根据评价和集体讨论来改进建议出具报告由管理者实施。CSA以岗位职责和业务操作规程为中心来自我调节和自我完善涉及所有员工对控制制度本身及其效果和效率进行的评价以及对参与控制人员的资格、工作程序和工作表现的评价。CSA把传统的只由内部审计人员从事内部控制评价转由公司各部门参与作业的人员亲自评估，帮助他们认识到内部控制评价不只是内部审计工作的责任，也不仅仅是管理层关心的问题，相反，应该是组织所有成员的事。这种评价程序使组织成员了解哪里存在缺陷以及可能导致的后果,然后让他们自己采取行动改进这种状况,而不是等内部审计人员站出来指出问题。研究表明,实施控制自我评估的方法对于一个组织加强管理,提高劳动生产率,改进内部审计程序和业务经营程序,控制风险都有着积极的作用。2.2.3 内部控制自我评价体系 内部控制自我评价体系包括五个部分，这五个部分相互联系，一起构成一个整体。第一，评价目标。评价目标又可具体分为战略目标、经营目标、财报目标、资产安全目标和合规目标几部分。战略目标位于其他四个目标之上，它的达成依赖于其他四个目标的有效实现，而其他四个目标必须与战略目标相协调，保持一致。第二，评价主体。笔者认为内部控制自我评价的主体应分为三层，最上层是领导层，由董事会和审计委员会组成。中间层由管理层和内部审计部门组成，前者负责向董事会报告内部控制自我评价的工作进展情况，不同层级的管理层分管着不同的内部控制责任。最下层是执行层，负责具体业务部分的内部控制评价的执行。第三，评价指标。要保证企业整个的内部控制是有效的，就要保证内部控制的设计与运行都是有效的。内部控制设计的再好，如果不能有效运行，内部控制也就是一纸空文。设计有效性需要从内部环境、风险评估、控制活动、信息与沟通和内部监督这五个要素出发来进行判断，其中风险评估是一个持续、反复的过程，需要进行不断的风险识别和分析。控制活动可以以政策和程序、业务活动控制、信息系统控制为指标进行评价。另外，从人员因素和运营因素两个方面来判断内部控制运行是否有效。人员因素主要是衡量管理层、员工在内部控制执行方面的素质和能力，运营因素是对人员开展的工作的指导和说明。此外,我们可以借鉴美国的作法把企业内部控制系统中是否存在缺陷作为判断内部控制系统是否有效的一个重要标准。因此需要对企业内部控制系统中的缺陷进行认定,如企业未实现规定的控制目标、未执行规定的控制活动、突破规定的权限、不能及时提供充分的证明其控制有效的证据等都可作为控制缺陷认定的标准。胡燕，晓芳.论企业内部控制自我评价体系的构建J，北京工商大学学报（社会科学版），2009（6）第四，评价结果。根据评价指标，自我评价的四种结果分别是设计有效运行也有效、设计有效而运行无效、设计无效而运行有效、设计无效运行也无效。得到自我评价结果之后，企业必须采取与其相适应的措施来完善内部控制，否则不能发挥内部控制自我评价的作用。第五，评价报告。最后出具的内部控制自我评价报告，是内部控制自我评价的最终结果。笔者认为应当同财务报告一样，予以强制披露，同时，需要提高社会各界对内部控制自我评价报告的社会认同度。证监会和证券交易所应加大处罚力度，建立相应的惩罚制度，采用多种处罚手段，以保证评价制度的有效执行、评价报告的及时披露。