企业内部控制评价研究

摘要:现在企业内部控制越来越受到重视，但是在具体的实施过程中，却存在社会认同度低、法规制度的不协调、评价标准滞后、监管力度不够等方面的问题；文章根据上述四方面的不足，提出了相应的对策分析。

关键词:内部控制 文献综述 相关对策

一、企业内部控制定义及要素

企业内部控制是以专业管理制度为基础，以防范风险、有效监管为目的，通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。

企业内部控制要素主要有以下几个方面：

(一)内部环境

内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

(二)风险评估

风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

(三)控制活动

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

(四)信息与沟通

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

(五)内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进

二、企业内部控制存在的问题

近年来，随着安然事件、世通事件、中航油事件以及杭萧钢构事件的发生，世界各国对内部控制信息披露引起了高度的重视。上海证券交易所和深圳证券交易所分别于2006年6月和9月了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》以及2006年12月8日中国银行业监督管理委员会了《商业银行内部控制指引》（以下简称指引），2008年6月，财政部、证监会、审计署、银监会和保监会联合了《企业内部控制基本规范》（以下简称基本规范）。《指引》和《基本规范》均规定上市公司应当对公司内部控制的有效性进行自我评价，披露年度内部控制自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。其目的是通过对内部控制信息披露的监管来促使上市公司完善内部控制，促进内部控制信息披露的规范性。同时，社会公众对内部控制信息披露的需求也在不断增加。但是现阶段上市公司内部控制信息披露的总体水平不高，除自身治理结构不完善之外，外部监管的有效性也遭到了质疑。

国外对内部控制信息披露的研究主要围绕内部控制的有效性与财务报告的可靠性之间的关系展开,特别是美国萨班斯-奥克斯利法案对内部控制信息披露作出了一系列规定,为直接观察内部控制质量提供了依据,促进了这个领域经验研究迅速发展。Ashbangh和Doyle（2007）对SOX404要求下的公司的内部控制信息披露状况进行了研究。研究指出，组织特征在很大程度上会影响其内部控制信息披露，如组织的复杂性，在内部控制建设上的相关投资以及组织是否经历了重大的变革等。

三、内部控制现有不足的分析

为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，五部委联合了《企业内部控制基本规范》，本规范适用于在境内设立的大中型企业。这里所指的内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。虽然这样，内部控制的实施还是面临着一些不足之处。

(一)社会认同度低

虽然我国已经对内部控制进行了一些规定，但是内部控制及其评价在我国并未引起足够的重视，社会公众并没有对这一实物产生很大的关住和很强的认可程度。这种较低的社会认同度不仅表现在社会公众、相关投资者和其他外部使用者对内部控制的不关心，同时也表现在公司本身的不重视，管理层对内部控制的漠不关心。虽然许多上市公司在年报中对内部控制的状况进行了披露，但是这种内部控制评价的自我意识不强，这一披露往往是流于形式，并没有真正的评价表述本身的内部控制的制度从而导致内部控制的信息含量和信息的质量都很低，并没有完全按照内部控制的五要素进行评价。例如，在披露本公司内部控制局限性时，公司往往会花大篇幅去表述自己内部控制的合理性而不是其真正存在的缺点。针对于内部控制的审计问题，也没有得到相关注册会计师的重视，相关法律和法规等规定也存在一定问题，这些规定的原则性都会强于其可操作性，使得公司没有一个具体的、方便的执行标准。这些原因都可能导致了上市公司在内部控制信息披露上的差异并未在资本市场上得以体现。

(二)法规制度的不协调

目前可供上市公司作为内部控制自我评价的评价标准主要有之前已经在我国上海证券交易所和深圳证券交易所实施的《上海证券交易所上市公司内部控制指引》、《深圳证券交易所上市公司内部控制指引》和2008年制定的《企业内部控制基本规范》，另外在《证券法》、《公司法》中都有所提及。这些规定的同时执行便可能导致公司在具体执行内部控制时出现混乱的情况。

1、对内部控制概念界定、评价主体的规定不一致

在《企业内部控制基本规范》中对主体的规定，在本文上面也提到过，是指企业董事会、监事会、经理层和全体员工。但是在《上交所指引》和《深交所指引》中规定的内部控制是指由董事会、管理层及全体员工共同参与的一项活动，可见这里并没有提及监事会。

2、对内部控制要素的规定不一致

在最新实施的《内部控制基本规范》中规定，企业建立与实施有效的内部控制，应当包括五方面的要素，即内部环境、风险评估、控制活动、内部监督、信息与沟通。这种“五要素”论同《上交所指引》和《深交所指引》中的“八要素”是有所不同的，在之前的指引中对内部控制的建设和评价是从以下八方面进行的，即目标设定、内部环境、风险确认、风险评估、风险管理策略选择、控制活动、信息与沟通、检查监督。这种规则上的不一致往往会导致公司在选择指引时只会选择较简单易行的进行执行，而没有选择最适合自己的一种披露方式