自2001年底“安然事件”曝光以来,美国资本市场上出现了一轮又一轮的欺诈丑闻,暴露出上市公司的内部控制存在严重的问题。针对这些财务欺诈事件,2002年美国国会通过了《萨班斯——奥克斯利法案》(The Sarbanes-Oxley Act,以下简称SOX法案),其中404条款对上市公司的内部控制信息披露做出严厉的规定,旨在通过立法强制公司建立透明有效的监督体制,恢复投资者对美国资本市场的信心。近年来,我国证券市场上也出现了一系列的上市公司财务舞弊案。违规事件的屡屡发生,其中一个很重要的原因是上市公司内部控制的严重缺位或失灵。内部控制是影响公司经营状况和会计信息可靠性的重要因素,愈演愈烈的造假丑闻使我国监管机构意识到建立健全上市公司内部控制制度并充分披露其信息的重要性。尤其在SOX法案颁布之后,我国政府相关部门提出了借鉴该法案以完善我国上市公司内部控制和加强内部控制信息披露的构想。证监会先后出台了一系列规范性的文件,对内部控制给予了前所未有的关注,其中对部分上市公司的内部控制信息披露做出了强制性的要求。但是,由于相关的内部控制信息披露规范本身还存在很多问题,实践中许多上市公司缺乏自愿披露的动机,内部控制信息的披露在很大程度上流于形式,披露的信息无论是数量还是质量都难以令人满意。为了改变这种情况,推动和指导上市公司建立健全内部控制制度,提高公司风险管理水平,保护投资者的合法权益,上证所于2006年6月5日公布了《上海证券交易所上市公司内部控制指引》,指引要求上市公司要对公司的内部控制进行评估并形成内部控制自我评估报告,随年报一起披露。由此笔者产生了对上市公司内部控制的自我评估进行系统研究的想法,希望通过研究自我评估的内容、标准、评估方法,以及评估过程的具体实施和最终内部控制自我评估报告的形成,能给大家一个清晰的视角去了解内部控制的自我评估,并为我国上市公司如何有效地对内部控制进行自我评估提供一些参考。本文的写作思路可以归纳为“绪论——理论分析——实施设计——缺陷评估——前景展望”。首先笔者简要说明了研究工作的背景、目的、意义、研究方法以及相关领域的前人工作和知识空白,接着笔者对内部控制及其自我评估进行了理论分析,说明内部控制自我评估的必要性和可行性,然后笔者尝试对内部控制自我评估的实施过程进行设计,界定了内控缺陷的评估步骤并最终形成内部控制自我评估报告,最后对我国上市公司内部控制自我评估的实施进行了展望。正文分为五个部分:第一章绪论在文章最初,笔者主要介绍了研究背景、目的和意义、国内外研究现状以及主要的研究方法和研究内容,为后文的写作奠定基础。第二章内部控制自我评估的必要性和可行性本章首先对内部控制的相关理论知识进行了梳理,介绍了内部控制的发展历程、定义、总体框架和内部控制的目的、类型以及设置原则,明确了内部控制的概念,将COSO报告对内部控制的概念作为研究的起点,在此基础上对内部控制自我评估做出定义,即公司管理当局以监控公司内部控制执行情况、评估部门业绩及个人表现、改进内部控制及管理缺陷为目的,按照一定的内控评估标准进行的内部测评、缺陷整改以及最终出具内部控制自我评估报告的系统的、连续的过程。然后通过目前上市公司内部控制工作中存在的突出问题来说明上市公司进行内部控制自我评估的必要性和可行性,为后文的论述提供理论前提。第三章上市公司内部控制自我评估的过程本章为本文的重点,在分析了内部控制自我评估的必要性和可行性之后,本章主要从内部控制自我评估的内容、标准、前期准备工作、评估方法和评估步骤等方面展开,来完成对内部控制自我评估的具体实施过程的构建。首先,明确了内部控制自我评估的主要内容应包括内部控制框架和贯穿于公司经营活动中的内部控制流程,文章中相关的内部控制流程笔者主要参考了上交所公布的《内部控制指引》。然后分别从完整性、合理性和有效性几个方面来分析了内部控制评估的一般标准和具体标准。其次,分析了为能够顺利进行内部控制自我评估所必须做的相关准备工作,主要包括内部控制自我评估的组织、计划以及相关人员的能力培养。最后,在明确了内部控制自我评估的方法和选用原则的基础上,构建了内部控制自我评估的具体步骤。本文所构建的评估步骤主要包括调查了解、内控测试和评价报告三个方面,其中最为重要的是内控测试,不仅要合理选择测试方法和控制点,还要注意样本的选择,在发现存在内控失效时还要根据实际情况来确定是否进行追加测试。在具体的评估过程中,评估人员应在工作底稿上对测试过程和结果进行适当的书面记录,记录中至少应包括测试内容、方法、结论、缺陷汇总及原因分析、改进建议等项,相关责任人应在记录上签字确认。因此在本章中笔者尝试设计了关于内控要素和业务流程的内部控制自我评估的工作底稿,主要包括内控框架评估工作底稿、内控要素(控制环境、风险评估、控制活动、信息与沟通、监控)评估工作底稿、内控流程评估工作底稿以及关键控制点测评工作底稿。第四章内控缺陷的识别及自我评估报告的形成本章与第三章并重,进行内部控制自我评估旨在检查公司的内部控制是否存在缺陷,因此在整个评估过程中内控缺陷的识别和界定非常重要,这也是本章节的主要内容。首先,明确了内部控制缺陷的类型和评估标准,在此基础上笔者尝试设计了内控缺陷的界定步骤。不同领域、不同性质的控制,缺陷评估的具体步骤也有所区别。在第三章中说明了内部控制评估的内容主要包括内部控制框架和内部控制流程,内部控制框架即COSO五要素的内部控制整体框架。由于信息系统的内控缺陷评估具有其自身的特殊性,故适宜将五要素中的“信息与沟通”这一要素单独作为一类进行研究,所以笔者在本章将公司内部控制分为控制活动(即各个业务流程)、信息系统总体控制、信息系统总体控制以外的内控要素三类进行研究,并确定了不同的缺陷评估步骤,而且还对如何确定例外事项是否构成内控缺陷进行了说明。然后笔者还讨论了评估大体完成之后的认证、缺陷整改以及自我评估报告的生成,并尝试设计了上市公司内部控制自我评估报告的参考格式。第五章我国上市公司内部控制自我评估的相关展望本章首先比较上交所和深交所的内部控制指引的不同之处,说明内部控制自我评估的实施还需要更为完善的实施细则及配套文件来指导和规范,然后对174家上市公司在2006年年报中的内部控制信息披露情况进行统计分析,以此对内部控制自我评估的具体实施进行了展望。本文在学习和借鉴前人相关研究成果的基础上,融入了自己对内部控制自我评估的一些认识和理解,综观全文,本文的主要贡献在于:第一,我国目前学者鲜有站在上市公司角度对内部控制自我评估进行较为全面的研究,笔者结合我国的实际情况对内部控制的自我评估进行了较为系统的研究,从评估的内容和标准、评估的前期准备工作、内控的调查了解、内控测试、评估和报告等几个方面对内部控制自我评估的具体实施过程提出了自己的见解。第二,本文在对内控自我评估的过程和内控测试的研究的基础上,尝试设计了内部控制测评各类工作底稿的参考格式。并根据内部控制自我评估报告的主要内容设计了报告的参考格式。第三,本文根据内部控制的不同领域、不同性质将公司内部控制分为控制流程、信息系统总体控制、信息系统总体控制以外的内控要素三类进行研究,并尝试设计了不同的缺陷评估步骤。由于笔者经验积累与研究水平的局限,本文在许多方面尚待进一步完善,恳请各位老师和同学不吝赐教,本人也将在今后对这一课题进行更深入的研究。