内部控制自我评价(2)

1. 内部控制自我评价(2)

内部控制自我评价
                   
 
   
    　　尽管内部控制自我评价能够大大提高内控有效性，但上市公司披露内控自我评价报告的公司数量却很少、比例很低，我们认为，原因可能有以下几个：
   
    　　1.评价依据缺乏统一性
   
    　　从理论上讲，企业内部控制自我评价要围绕五大目标进行，分别评价其设计有效性和执行有效性。但是，以五大目标、五大要素为核心内容的标准版的内部控制框架《企业内部控制基本规范》2008年5月颁布且于2009年7月1日起实施。尽管2006年沪深两市分别出台的《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》存在着导向和详细程度的差别，但都要求上市公司按照有关规定建立内部控制系统[1]。在此之前的内控有关规定有国务院国资委颁布的《中央企业全面风险管理指引》、银监会颁布的《商业银行内部控制指引》、证监会颁布的《证券公司内部控制指引》、财政部颁布的《内部会计控制基本规范》等。这些法规的执行范围相互交叉，法规的内容相互联系但又不完全相同，同一个公司可能同时适用不只一个内部控制规范。政出多门给上市公司传递这样一种信息：内部控制自我评价是上市公司努力的方向，但企业目前并不具备按具有高度认同感的框架进行内部控制自我评价的政策环境。这种认识上的困扰以及政策缺位势必转换为执行过程中的阻力，在对公司内部控制进行评价时缺乏统一的评价依据，难以出具评估报告。
   
    　　2.自我评价意识不强
   
    　　从内部控制的制度环境来看，截止2008年为止，我国对上市公司内部控制自我评估报告的披露仍是以鼓励为主，并不是强制性的要求。强制性规定与鼓励性要求对披露主体的约束类似于法律和道德对人的约束，强制性规定是基本的要求，是“底线”，跌破底线将承担的违约成本较高，具体体现为来自于监管部门的处罚甚至法律的制裁，以及由此引发的来自于证券市场的负面影响;而鼓励性要求属于“较高”层次的要求，未达到要求并不会有来自于法规强制性的制裁或处罚。这使得大部分上市公司对内部控制有关规定采取的是从宽执行而非从严执行，对内部控制自我评估对提高公司治理透明度和树立投资者信心的功能认识不强，导致主动执行的意识不强。
   
    　　3.评价成本过高
   
    　　美国颁布萨班斯——奥克斯利法案(Sarbanes-Oxley Acts，简称SOA)后，社会各界对其具体执行存在许多争议，其中以执行成本为甚。2002年SEC曾对404条款执行成本初步估计：“所有上市公司年信息揭示成本最多为4950万美元，每家公司年报和季报平均增加5小时额外工时”。2003年8月，SEC修正其估计：执行404条款年度总成本约为 12.4亿美元，平均每家公司9.1万美元，新增383工时。但随后的调查显示，该条款执行成本远超过此预计(黄京菁，2005)。因此，内部控制自我评价的成本在执行中是一个不容忽视的问题。如果内部控制评价的执行成本过高，导致内部控制设计和执行的总成本超出其所避免的潜在风险损失与形成的控制效果之和，则这一内部控制是低效率甚至无效率的。
   
    　　为此，我们对中国有色金属建设股份有限公司(以下简称中色股份)内部控制自我评价情况进行了实地调查。中色股份内部控制自我评价是由董事会、监事会、董事会秘书办公室、财务部和审计部在分工与协调基础上进行的。董事会总体负责内部控制的评价，监事会对内部控制自我评价过程实施监督，董事会秘书办公室负责组织内部控制自我评价并进行评价中的协调工作，审计委员会按董事会要求落实内部控制自我评价，并就相应事宜与审计部沟通。审计部按规定的程度与方法进行内控评价，财务部协助审计部做好对本部及下属各单位的内控评价工作。按照公司《内部控制制度》以及其他相关制度的`要求，公司主要对以下内容进行评价：1.公司内部控制制度的建立健全及有效性，是否存在缺陷;2.公司内部控制制度重点关注的控制活动，其中尤以第二项评价工作为重。公司在每财年结束后，由董事会制定基本的评价计划，然后由审计委员会、董事会秘书办公室会同财务部和审计部共同进行具体的评价事宜。并在评价工作结束后出具评价报告，先呈交经理办公会最后呈交董事会。在具体的评价工作中，目前公司更多地依靠内部审计部门的内部审计工作和该部门出具的内部审计报告，来得出关于公司内部控制情况的结论。从该公司内部控制自我评价的流程可以看出，虽然内部控制评价的机构设置完整，职责分工明确，但在实际操作中，内部控制评价结论的得出更多依赖内部审计报告，究其原因，更多是出于成本而非技术上的考虑。这与其他相关研究(如，李明辉等，2003;戴彦，2006)的结论是一致的。
   
    　　另一方面，截止2008年我国尚未建立权威性的框架作为构建、评估指引，因此在公司的实践中缺乏可操作性的评估指南，从而大大提高自我评估的成本，这限制了管理层自我评估的积极性。
   
    　　四、相关建议
   
    　　《企业内部控制基本规范》以及即将颁布的《内部控制评价指引》为内部控制的构建、自我评价提供了框架，同时也提供了企业内部控制自我评价的标准、程序和方法方面的指导，再加上企业多年来积累的内部控制实践，从监管的角度看，已经具备在上市公司强制实施内部控制自我评价的条件，要求上市公司在年度报告中强制披露内部控制自我评价报告是必然的选择。在前文对我国企业内部控制自我评价现状的数据统计及结果分析基础上，我们认为，当前在推行强制性评价和披露的前提下，应从以下三方面完善内部控制自我评价机制。
   
    　　1.评价目标的选择应强调强制性与鼓励性相统一
   
    　　控制目标是据以评价企业在特定领域控制程序是否存在设计缺陷与运行缺陷的依据。《内部控制评价指引》(征求意见稿)第四条的规定以及第八条中关于年度评价的界定无疑是正确的[2]。但是给予企业太大的内控评价目标选择会造成评价报告的不可比，甚至使投资者无法从报告中获取有关公司内部控制质量和抗风险能力的基本信息。建议上市公司内部控制自我评价至少应基于财务报告及相关信息真实完整目标、资产安全目标、合法合规目标三个目标进行，同时鼓励上市公司在做好上述三个目标的内控评价的基础上进行战略目标、经营管理的效率和效果目标的评价。在复杂环境下经营的企业，投资者对投资行为的选择，不仅仅基于财务数据和相关信息做出投资回报和投资风险的判断，还要基于对公司内部控制系统设计与运行质量的分析来判断企业的抗风险能力。企业的风险来自于两个方面：一是来自于违背外部强制性规定，包括合规性、财务报告及相关信息的真实可靠、资产的安全;二是来自于内部管理系统的适应性，包括战略定位与实施手段、管理的效率与经营的效果。规避第一类风险是基本的风险应对策略，第二类风险只能相机采用规避、接受、降低、分担的应对策略。避免第一类风险的发生是企业管理的“底线”且第一类风险的类别及控制程度具有较强的刚性、上市公司必须具有较扎实的基础，围绕上述三个目标的内部控制自我评价报告无论是对于注册会计师的鉴证、还是投资者的判断都有较客观的尺度。另外，对于第一类风险，无论是企业董事会或管理当局的评估，还是注册会计师的鉴证或是投资者的判断，成本都相对较低。第二类风险的具体形式以及应对措施较多地依赖管理当局的经营理念和风险偏好，无论是评价标准的选择，还是鉴证与判断标准的确立都存在较大的主观性，如果要求注册会计师对第二类风险的评估也超出了注册会计师的执业能力和法律责任。鉴于此，针对第二类风险的内部控制自我评价不宜采取强制性规定，至少目前不具备强制性评价的基础。
   
    　　2.细化有效性标准，提高标准的可操作性
   
    　　《内部控制评价指引》(征求意见稿)明确指出，内部控制评价是对内部控制有效性进行评价，有效性包括对内部控制设计有效性和运行有效性。同时，第十条对设计有效性和运行有效性进行了定义[3]。我们认为，对于设计有效性的定义本身是比较严谨的，因为只有所有的五个要素都必须得到满足，才能得出基于一个目标或多个目标的内控系统是有效的结论。但是，该定义过于理论化和泛化，在实务中可能难以把握其确切含义。为此，我们建议将设计有效性定义为：具备胜任能力和相应权力的人按照既定设计来运行控制程序能够实现控制目标，若存在下列情况之一，则可认为存在设计缺陷：(1)实现某一控制目标所必须的控制程序具有一项或若干项缺陷;(2)实现某一控制目标所必须的控制程序设计不当，以至于即使该项控制按照设计运行也不能实现控制目标。
   
    　　3.将经济性纳入评价标准，强调有效性与经济性的统一
   
    　　经济性是指在为内部控制有效性提供合理保证的前提下尽可能降低运行成本。企业的本质在于盈利，无论是控制哪一类的风险，控制的最终目的都是利用受约束的资源为创造最大化的价值奠定基础或直接服务于价值创造。事实上，在风险评估基础上进行的控制关键点识别和控制流程设计都是权衡成本与效益后的理性选择。
   
    　　经济性与有效性存在密切联系，忽视经济性的有效性本身背离了内部控制的宗旨。从美国《40位代表人物对萨班斯法案404条款的评论和分类》中可以看出，以美国联邦储备局前任主席格林斯潘和投资家巴菲特为首的19位代表(47.5%)对404条款持完全反对态度，反对理由是404条款因监管过度导致执行成本太高[4]。在风险识别的基础上进行风险分析是确定控制措施的前提，风险分析的过程本身是权衡风险严重性(风险发生后损失程度)以及发生的可能性(该风险发生的概率)、据以识别关键依存因素和重要控制节点的过程。为目标实现提供绝对保证的内部控制系统并非最优的控制系统，经济性或成本效益原则允许内部控制系统存在一定水平的剩余风险，并通过危机处理以及管理层干预来应对剩余风险。
   
    　　经济性评价是评价设计的内部控制系统是否体现了运行过程的经济性，主要评价在为控制目标实现提供合理保证的前提下是否存在可以省略的节点，例如，对优质客户提供贷款采用与对普通客户提供贷款相同的风险控制程序则是不经济的。经济性评价应关注：(1)所有的审批程序是否都是必须的，简化某一环节的审批是否对控制目标的实现造成实质性影响;(2)每一牵制是否都是按照不相容职务分离的要求设置的，是否存在满足这一要求下的过度牵制;(3)为各岗位配备的员工是否恰如其分地胜任本职工作，既应关注因不具备胜任能力而导致控制失效，也应关注因能力过剩导致不必要的成本支出上升。    ;

2. 什么是内控自我评价？

这样的一个内控自我评价其实就是一个企业内部的自我审计，这还是一种比较新兴的审计技术。内控自我评价，这样的一种方式，可以让企业的管理者以及部门的管理者能够及时的了解一下自己有什么样的问题，应该采取什么样的对症措施来解决。这样的话也是可以减少一定的人力和物力，更好的提高工作效率。
内控自我评价这样的一个风险管理工具，为企业的管理者和审计的提供了一个共同的平台，来更好的管控企业的风险，加强企业的管理。公司可以更好地反映出来，企业内部存在什么问题，可以更加直观的了解，也要管理层能够有一个清晰的认识。对于一些管理部门，也可以让他们能够清晰地了解到，自己本部门的问题，也是可以更好地对症下药。



当然内控自我评价也是有一些需要注意的事项，就是说你在上一个评价之后一定要，在下一个评价周期，到时候看一下有没有什么样的进步，是不是又出现了新的问题？这都是要重新进行评估的。

3. 如何完善企业内部控制自我评价报告

(1)文字描述法。就是通过现场询问、观察等手段将了解到的内部控制情况，用文字形式描述下来的方法，表述其组成控制情况的内容，再由审计人员对这个系统的控制情况进行判断分析，判断其控制点的控制措施是否完整，以确定其健全性。
 (2)调查法。内部控制调查表一般是审计人员针对各项具体的控制措施事先拟定一系列问题，并列于设计好的表格中，然后通过一定的方式填制问卷，请被审计单位的有关人员回答，从中检查和分析某项控制措施是否存在，并以此作为评价内部控制制度是否健全的依据。内部控制调查表法有利于提高审计工作效率，也大大节约了审计时间，加大审计工作力度。 (3)流程图法。这种方法只要把被审计单位的经济业务处理程序以流程图的形式绘制出来，就可以反映出被审计对象内部控制系统情况。流程图用特定语言符号表示被审计单位内部控制系统运行状况，直观地反映各项业务流程，表明其职责分离、权责划分的状况，突出关键控制点，是审计人员据以分析、研究被审计单位内部控制系统的有效方法。
内部控制自评情况
（一）内部环境
本公司以《企业内部控制基本规范》有关内部环境的要求，以及应用指引中关于组织架构、发展战略、人力资源、企业文化、社会责任等内容为依据，对公司内部环境要素进行了认定和评价。
简要叙述治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化等内部控制基础情况。
（二）控制活动
本公司以《企业内部控制基本规范》有关控制活动的要求，以及应用指引中关于资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、全面预算、合同管理等内容为依据，对公司控制活动的有效性进行了认定和评价。 
1、不相容职务分离控制 
公司在设定组织机构和岗位时，全面系统地分析和梳理了公司的业务流程，对容易产生舞弊风险的岗位实施相应的分离措施，形成了各司其职、相互制约的工作机制。   
2、授权审批控制 
本公司根据公司章程，对董事会及管理层的职责进行了明确的划分，制定了有效的议事规则，各司其职、相互独立、相互监督、相互促进。对金额和性质不同的各项一般交易、关联交易和风险投资项目的授权程序，本公司都进行了详细的规定，保障公司的运营和安全。   
3、会计系统控制 
本公司严格执行国家统一的会计准则制度，严格按相关规定进行会计基础管理工作，完善财务报告编制、合并、内部审核、披露、报送、审计和分析利用制度。

4. 如何完善企业内部控制自我评价报告

按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。

    公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。

    二、内部控制评价结论

    根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。

    三、内部控制评价工作情况

    （一）内部控制评价范围

    公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的单位包括：公司各职能部门及其大邑分公司、全资子公司成都西菱动力部件有限公司。纳入评价范围单位资产总额占公司合并财务报表资产总额的100%，营业收入合计占公司合并财务报表营业收入总额的100%。

    纳入评价范围的主要业务和事项包括:

    1、组织架构

    公司建立了以股东大会为权力机构、董事会为决策机构、经理层为执行机构、监事会为监督机构的运行体制，依法制订了《董事会议事规则》《独立董事工作制度》《董事会秘书工作制度》《董事会提名委员会实施细则》《董事会审计委员会实施细则》《董事会薪酬与考核委员会实施细则》《董事会战略委员会实施细则》等规章制度，明确了决策、执行、监督等方面的职责权限，形成了科学有效的职责分工和制衡机制。

5. 内部控制自我评价顺序正确的是什么

一、评估准备。
1、组建评估组。
2、制定评估方案。
3、评估资料准备。
二、评估实施。
分公司层面内部控制和业务层面内部控制分别进行。
三、评估与反馈。
四、缺陷报告与整改计划。
1、汇总评估和反馈结果，编制缺陷报告。
2、根据缺陷报告编制相应整改计划。
3、将缺陷报告和整改计划提交公司经理层批阅。
4、落实经理层批阅的整改计划。
5、进行整改的再测试和补充测试。

6. 内部控制评价的内容

内部控制评价的对象是内部控制的有效性，而内部控制的有效性，是企业建立与实施内部控制对实现控制目标提供合理保证的程度。内部控制的目标包括合规目标、资产目标、报告目标、经营目标和战略目标。因此，内部控制评价的内容应是对以上五个目标的内控有效性进行全面评价。具体地说，内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行。 企业组织开展内部监督评价，应当以《企业内部控制基本规范》有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控制制度，对于内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。具体的内部控制评价内容可通过设计内部控制评价指标体系来确定，评价指标是对内部控制要素的进一步细化，评价指标可以有多个层级，大体可分为核心评价指标和具体评价指标两大类，企业可根据其实际情况进行细分。具体的评价内容确定之后，内部控制评价工作应形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、评价指标、评价标准、评价和测试的方法、主要风险点、采取的控制措施、有关证据资料以及认定结果等。工作底稿可以是通过一系列评价表格加以实现，通过对每个要素核心指标的分别分解、评价，最终汇总出评价结果。

7. 控制自我评估的介绍

控制自我评估（CSA）也被称为管理自我评估、控制和风险自我评估、经营活动自我评估以及控制/风险自我评估，是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法。其有三个基本特征：关注业务的过程和控制的成效；由管理部门和职员共同进行；用结构化的方法开展自我评估。

8. 内部控制自我评价

  　　怎样写内控 自我评价 ?
   　　一般情况下，根据自我评价报告内容和内控体系实际建设情况，外部审计机构对于企业的内部控制体系会出具三种意见的某一种：
   　　达到内控要求：同意评价报告意见;
   　　有重大缺陷：否定意见;
   　　有范围限制：撤消业务约定，或无法表示意见。
   　　上述意见并非仅凭借企业出具的自我评价报告，还需要依据：
   　　内部控制文档(内控管理手册+管理 制度 汇编目录);
   　　内控控制程序相关审计结果(如果有);
   　　内控控制程序测试结果;
   　　实质性业务活动过程文件;
   　　企业内部评估自查结果(如果有)。
   　　问询会是一种方式，但不作为审计底稿的依据。因此，一份内控自我评价报告的意义确实没有多大，虽然是自我评估的表达，但能否让外部审计机构接受，他们信还是不信需要有其他依据的。如果实际的内控体系只是一套文件，外部审计机构很难出具第一种意见，如果真出具了，对于广大的中小投资者也是很不负责任的行为。
   　　如果一个企业在内部控制体系建设过程中确实建立了标准和规范并予以实施，那在撰写内控自我评价报告的时候可以有所侧重。常规意义上，一份标准的内控自我评价报告包括(不同企业根据实际情况有所删减或强调)：
   　　内控整体情况综述(包括对整体内控情况评述、组织机构、制度建设和内控职能部门建立和运行情况的描述);
   　　内部控制有效性评估(包括经营环境控制情况评述，重点内部控制活动和重点业务活动内部控制情况描述，问题及整改计划以及综合评价)
   　　内容不复杂，主要是针对报告期间(一般是1.1-12.31)内部控制建设情况及内部控制体系应用的有效性进行自我评估。做的好企业，在撰写自我评价报告前，会考虑通过内部审计部门或由内控职能部门主导完成企业内部控制的自我评估检查。同时，对于集团型企业来说还是检查和评价各分支机构内控执行情况，并进行评价和绩效考核的方法。整体情况评价是看企业在报告期间内有否出现重大风险，是否进行了重大调整，对于调整部分内部控制是如何做的。对于业务活动部分，除了结合企业内部控制应用规范中要求逐一检查的内容外，主要是针对企业内控管理手册中各个控制点的控制情况进行了解并挑出确实卓有成效的部分进行详细描述。无论怎样，内控的意义是防止出现重大管理问题，督促企业进行规范运作，如果报告期间内企业已经出现了重大问题，内控评价报告怎样写都无法得到外审出具的第一种意见。
   　　正如，重视风险管理和内部控制的企业会将内部控制作为规范企业运作和防范风险的手段，不重视的企业，会将内控做成只有一纸文书的应付差事。即使企业什么都没做，写出内控自我评价报告也是完全可能的，毕竟没有企业是没有任何规章制度规范，在完全失控的状态去管理的。
   　　公司内部控制自我评价
   　　在以企业为纽带的博弈各方中，内部控制自我评价和审计师对内控的鉴证能够释放企业内部控制有效性的信息，使得投资者得以对管理层内部控制行动和自身的投资风险做出判断。2006年沪深两个交易所分别颁布了针对上市公司的《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》，本文主要对沪市862家通过指定报纸和网站披露了2007年年度报告的上市公司其内部控制自我评价情况进行统计，分析内部控制自我评价产生的效果和存在的问题，并提出针对性建议。本文分为四个部分:第一部分阐述评价依据，第二、三部分通过对披露内控自我评价的公司和未披露内控自我评价的公司从四个维度进行数据分析，分析内控自我评价的效果及存在的问题，最后一部分提出相应建议。
   　　一、评价依据
   　　内部控制自我评价是由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证程度。尽管2007年年报披露内部控制自我评价报告和审计师审计报告时统一的内部控制基本规范尚未出台，但无论是财政部2001年颁布的《内部会计控制基本规范》，还是上海证券交易所的《上市公司内部控制指引》，遵循法律法规和企业内部公司章程及董事会议事规则等内部制度、合法授权使用和处置资产、财务报告及相关信息真实可靠都是内部控制要求达到的基本目标。因此，披露内部控制自我评价报告的公司，大都将财政部的《内部会计控制基本规范》，或是上海证券交易所的《上市公司内部控制指引》作为评价的依据。
   　　二、数据分析
   　　对包括投资者在内的企业外界各利益相关者而言，披露内部控制自我评价的信息是了解企业公司治理与管理规范化程度、企业抗风险能力，增强投资者信心的措施;对企业管理层而言，内部控制自我评价过程，能够使企业通过检测和反省内部控制设计与运行来持续提高内控系统与控制环境的藕合度，不断消除内部控制缺陷，增强企业抗风险的能力、消除不利于内控目标实现的不确定性因素。
   　　按照《内部会计控制基本规范》和《上市公司内部控制指引》，一个内部控制系统有效运行的企业，至少要做到企业经营中严格执行国家的法律法规和公司章程等内部规章、按合理的授权使用和处置资产、严格按会计准则和上市公司信息披露要求对外提供真实可靠的财务报表。已披露内部控制自我评价的企业在内控自我评价过程中应该能够基于上述三个目标识别和认定内部控制的设计风险、运行风险以及设计或运行无效而导致错误或舞弊的风险，从而为上述三个目标的实现提供合理保证。尽管完善的内部控制系统能同时为实现包括战略实施、管理效率与效果在内的五个目标提供合理保证，但证券监管机构和交易所的监管、注册会计师的财务报表审计基本上是基于上述三个目标进行的。有效的内控系统应该能够规避不利于上述目标实现的因素。因此，我们将上市公司未受到证监会的处罚和交易所的谴责、对外发布的财务报表未出现会计差错、财务报告审计意见为标准无保留意见作为衡量内部控制质量的指标。
   　　三、存在的问题
   　　根据我们对沪市862家上市公司2007年年报中内部控制信息披露状况的统计分析，可以发现，自愿披露内部控制自我评估报告的公司虽然比2006年有所提高，但占比仍然比较低，上市公司主动披露内部控制自我评价的意愿不强。但将披露自我评估报告与未披露自我评估报告的公司进行对比，我们发现，两类公司在财务报告的可靠性、资金管理与资产使用的合规性、经营合法性方面均有显著不同。我们的统计数据表明，就以上三个内部控制目标而言，披露自我评估报告的公司其内部控制有效性更强。