关于编制上市公司“内部控制评价报表”的设想

【摘 要】 由于上市公司内部控制评价报告缺乏对内部控制成本项目的披露，且其评价报告一般为描述性报告，可供参考的内部控制（下文“内控”即为“内部控制”）量化信息少之又少。文章引出“内部控制评价报表”这一概念，并对内部控制评价报表的基本框架进行分析设计，结果表明内部控制评价报表有利于进行内控成本与效益的均衡分析，有利于完善内控评价报告的内容，有助于审计工作的开展，能增强对企业的监督作用。 
　　【关键词】 内控评价报表； 评价报告； 内控成本； 上市公司 
　　一、国内与国外的内部控制研究现状 
　　我国对内部控制的研究成果可以从现有的关于内控的基本规范以及一系列的配套指引说起。2008年5月，我国颁布了第一部《企业内部控制基本规范》，其施行范围是上市公司，对还没上市的大中型企业目前还没强制的要求；到2010年4月，又相继出台了《企业内部控制应用指引》（内含18项具体的应用指引）、《企业内部控制评价指引》以及《企业内部控制审计指引》，目前其施行范围包括境内外同时上市的公司以及上交所和深交所的主板上市公司，同样没有对非上市的大中型企业提出强制要求。《企业内部控制配套指引》的发布，表明我国基本建成属于自己的企业内部控制规范体系。但是从上面相关的政策出台时间来看，我国对内部控制的研究时间还是比较短暂，关于内部控制的研究成果还不够丰硕，因此亟需继续探究内部控制有待改进的地方，从而为完善内部控制的理论体系以及实践操作的可行性增砖添瓦。 
　　因美国对内部控制的研究有很深的历史背景，所以本文以美国对内控的研究为代表，简练地说明内控的研究现状。美国关于内控的研究获得的阶段性成果有：1992年，发布了COSO报告，也就是《内部控制整合框架》，该报告将完备的理论基础和现实的实践可操作性系统地衔接起来，是目前全球内部控制发展领域最具权威的报告，并被各国效仿。2002年，因安然以及安达信等丑闻倒逼美国颁布萨班斯—奥克斯利法案，即SOX（简称萨班斯法案），这项法案的重要特色之一就是强制性地披露内部控制评价报告，提高会计信息质量。2004年，美国又在COSO报告的基础上，出台了《企业风险管理——整合框架》，该框架所列的内控要素有8个，比COSO框架多出3个，进一步完善了内控报告的内容，更好地指导内控评价。 
　　无论是国内的内控体系还是美国的内控框架，都认为内部环境、风险评估、控制活动、信息与沟通以及内部监督是内部控制的五要素，也同样要求披露内部控制评价报告。但是与《萨班斯法案》强制性要求披露内部控制信息相比，国内关于内控信息披露的格式以及内容规范等方面还需要深入研究。现行的规范并不要求审计师的评价报告对外公开披露，仅上报证监会和证券交易所即可。这在一定程度上不利于公众监督，降低了审计师对内部控制评价的严肃性，也不利于审计师执业水平的提高，而且削弱了上市公司内控信息披露的可信度。同时，内部控制评价报告的内容还不能够满足信息披露的需求。目前通用的内部控制评价报告一般是描述性的报告，能够获取实质性的被量化的信息比较少，所以本文在此现状下，提出一个新概念，即“内部控制评价报表”，一种被量化的报表，对内部控制评价报告内容予以补充。