昨日，中国证监会首席会计师贾文勤在出席中国内部审计协会主办、中天恒会计师事务所协办的“内部控制信息化——内部控制与内部审计2011秋季高峰论坛”时表示，证监会企业内部控制实施工作小组正在制定内部控制实施和评价工作的监管规程，用于指导监管人员的日常监管工作，提高监管工作的效率和质量。

“我们也在和有关部门一起研究对于在内部控制信息披露中造假、故意隐藏内控缺陷等行为的惩罚措施，包括必要的行政处罚措施。”贾文勤说。

据贾文勤介绍，证监会高度重视上市公司内部控制建设，不断在技术层面和执行层面从信息披露角度发布措施，强化公司内部控制。

从实际执行情况看，从2007年开始，上交所部分公司和深交所全部上市公司按照要求，在披露年报的同时披露内部控制自我评价报告和会计师事务所出具的鉴证报告。从监管结果来看，有关上市公司内部控制自我评价报告和会计师事务所鉴证报告的披露要求对上市公司内部控制水平提高有明显促进作用，有利于提高资本市场透明度和保护广大投资者。

不过，从上市公司披露的内部控制自我评价报告来看，在披露信息的充分性和客观性方面还存在一定问题，比如部分企业没有真实、客观地披露内部控制存在的问题；内部控制评价报告在内容格式和详略程度上差异较大，篇幅长的达数万字，短的只有草草几百字等。

就下一步证监会对上市公司内部控制建设和信息披露监管工作，贾文勤强调，一是信息披露的范围界定在财务报告内部控制领域；二是除了在年报中披露相关内部控制建设及运行状况的信息外，还必须披露董事会的内部控制自我评价报告以及注册会计师的内部控制审计报告。需要注意的是注册会计师的审计报告不是对董事会自我评价报告的鉴证，而是对公司财务报告内部控制本身的审计报告；三是要注意评价报告的内容宜简不宜繁，突出重点，保证评价报告的可读性。

 

 

 

 

 

 （接图片)
        随着企业信息化建设的开展，企业会计核算以及内部控制所面临的内外部环境发生了根本性的变化，当前的内部控制机制与手段已不再适应企业信息化建设的需要。因此,如何建立适应当前企业信息化建设的内控体系已成为企业亟待解决的问题。

     2010年4月，财政部等五部委联合颁布《企业内部控制配套指引》，要求所有实施配套指引的企业，必须提交内部控制自我评价报告，并由会计师事务所实施内部控制审计并出具内部控制审计报告。

配套指引的实施，标志着内部控制评价成为一种强制性要求。而对于大多数企业来说，内部控制评价还是一项新业务，评什么、如何评、评价报告如何写，这是许多企业内部控制评价人员亟待解决的现实问题。

 

     “内控评价信息化是解决上述问题的重要手段。”徐荣才表示，内部控制评价工作离不开定性与定量的分析与计量，要使评价结果更精确、符合实际，必须有强大、健全的信息系统作强有力的支持。

 

      财政部刘玉廷司长所说的会计师事务所及其注册会计师执行企业内控审计，必须开发建设审计软件，将内控审计程序固化在信息系统之中，形成可供查验的内控审计工作底稿和有关档案记录。

 

      通过内部控制建设信息化，建立适应企业管理信息系统的内控体系，上线内部控制信息系统将内控体系与信息系统融合在一起，利用信息系统推广内控体系，随时固化内控建设成果，可以强化内控体系的执行效果，提高内部控制的工作效率和信息化水平。

 

      “推动内部控制建设信息化要将信息化贯穿于内部控制建设的全过程。”徐荣才认为，企业内部控制建设从过程分为内部控制设计、内部控制执行、内部控制评价、内部控制审计、内部控制持续改进等过程。

     “内部控制建设信息化只注重评价及审计的信息化，其信息化是难以实现的，也是本末倒置的。”徐荣才表示。

      “3C内部控制软件”包括3C内部控制设计软件、3C内部控制评价软件、3C内部控制审计软件等，从内部控制设计、评价、审计等方面提供了全过程的实施路径。它以中天恒10年来内控设计与评价咨询经验为依托，构建了超大容量的内部控制数据库，包括风险数据库、流程目录数据库、风险点和风险事件数据库等，使被评价企业即使没有经过系统的内控梳理，评价人员也能够很容易地根据数据库确定提出相关的评价点，根据软件自动生成的评价程序表清晰地知道如何评价，评价的结果能自动汇集到评价报告框架中，适当加工就可以编写出规范化、高质量的内控评价报告。

 

 (三）信息化或成企业内控实施“终端”
           ——中国会计报  2011年11月11日

      与北京香山上盛放的枫叶一样，与内控评价软件有关的话题也“红”了。
      “下周我们公司准备试用一套内控评价软件”、“我们黄总也想上一套信息化软件”，这是记者在一次企业内审人员的大型聚会上听到的讨论声。是什么原因让内审部门人员突然间对内控评价软件这么感兴趣？
      内控考核在即

      内控评价软件热的根本原因还是内控建设的年度考核即将开始。

       2010年4月，财政部、证监会、审计署、银监会、保监会等五部委联合颁布《企业内部控制配套指引》，要求自2011年1月1日起首先在境内外同时上市的公司，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市的公司施行配套指引；在中小板和创业板上市公司择机施行；同时，鼓励非上市大中型企业提前执行。所有实施配套指引的企业，必须提交内部控制评价报告，并由会计师事务所实施内部控制审计并出具内部控制审计报告。

      配套指引的实施，标志着内部控制评价成为一种强制性要求。而对于大多数企业来说，内部控制评价还是一项新业务，评什么、如何评、评价报告如何写，这是许多企业内部控制评价人员亟待解决的现实问题。

      “第一年开展内控评价工作，大家都没有什么经验，加上评价工作通常都是时间紧、任务重，要高质量完成评价工作，对于承担评价工作的部门来说是一个巨大考验和挑战。”中国证监会首席会计师贾文勤直言不讳地说。

      与美国的《萨班斯法案》要求首席执行官和首席财务官在自我评价报告上签字不同，我国内部控制规范体系把内部控制自我评价的责任赋予了公司的治理层及董事会，而不是管理层。因此，企业开展内部控制自我评价工作，要非常清楚评价的主体是公司的董事会而不是管理层，更不是具体实施评价工作的某个部门如内审部。

      董事会承担内部控制自我评价的责任，并不是说所有的评价工作都要由董事会亲自来完成，董事会可以根据情况授权管理层以及指定的部门来协助开展自我评价。

      “从企业的实践来看，相当一部分企业的内审部门成为内部控制自我评价工作的执行部门。”贾文勤表示。客观来讲，内审部门承担内部控制自我评价的具体工作具有一定的优势和好处。内部审计本来就是企业内部控制的重要一环，内审的日常工作就包括了对内部控制有效性的评价和监督，因此内部审计部门承担自我评价的组织实施，可以在很大程度上提高评价工作的效率，降低评价工作的成本，同时内审人员对于风险控制的理解以及独立客观的职业素养也有利于评价工作的有效开展。

      很显然，随着2011年度即将结束，企业内审部门编写一份满足监管和投资者需求的内控自我评价报告成为企业当前的重头工作。

      信息化成不二选择

      而要找出一个快速编写内控自我评价报告的方式，那非信息化莫属。

      “内部审计部门利用信息化手段开展内部控制评价既是现实的要求，也是未来发展的趋势。”中国内部审计协会副会长兼秘书长鲍国明认为，运用信息化手段在一定程度上可以使内部审计部门及时、充分地获取被审计对象的海量数据，进行自动运算和系统分析，运用先进的数据模型和评价方法进行定量分析，更大程度地保证评价结果的客观性。“这样既大大提高了效率和效果，同时也降低了审计风险。”“由于目前大多数企业并没有完成内控系统设计工作，因而大多数内控评价人员，无论是内控主管部门还是其他部门人员，都面临着三个难题，即：内控评价到底应当评价什么；内控评价到底如何评；内控报告如何编写。”北京智远天恒信息技术有限公司董事长徐荣才表示。

      徐荣才试用了目前市场中已有的几款内控评价软件后认为，这些评价软件对于内审部门人员来说，评价软件过于复杂，学习和操作困难，而且只是把内控评价流程软件化，没有解决评价人员普通关心的现实困难。

      为此，徐荣才建议，企业在内控评价信息化过程中要遵守三大原则：标准先行原则，即信息系统必须提供内控标准，从而为内控评价奠定基础；以评促建原则，即以评价促进内控体系建设的原则，内控评价必须与缺陷整改、内控考核挂钩；简明实用原则，根据内控评价人员对信息化普遍不是很精通的特点，要求内控评价软件必须易学易用，不能过于复杂。

      “内控评价信息系统的核心内容应当由三部分构成，即评价作业、评价报告和缺陷追踪。”徐荣才进一步解释说，评价作业应当包括任务的构建、评价测试和评价汇总三个部分。其中，任务构建主要是明确评什么、如何分工、何时完成等，评价测试关注对评价点如何进行测试、评分，评价汇总关注评价结果如何进行汇总；评价报告主要解决如何起草内部控制评价报告；缺陷追踪关注对于发现的内控缺陷如何进行分析、评价，如何安排整改计划，如何检查整改落实情况等。

 

 

 

 

 

      推动内部控制建设信息化要有一体化的解决方案，企业可以采用管理咨询、IT设计、内控落地一体化的方法。

      首先，企业要经过专业的内部控制管理咨询，形成标准化的咨询成果。在内部控制建设信息化过程中，因企业业务活动千差万别，规模大小不一，管理水平参差不齐，最难确定的是内部控制和业务流程中的标准化问题。

      信息化的基础是标准化，只有标准化的信息化才是有发展前途的，只有标准化的内部控制才是有效的。因此，内部控制建设的信息化，首先是要解决内部控制及其业务流程的标准化的问题，否则就是内部控制建设的信息化同大多数管理信息化建设一样会形成拍脑袋工程，造成信息化建设的被动或巨大浪费。

      我国企业内部控制基本规范及其配套指引的颁布实施，在一定程度上解决内部控制建设信息化的标准问题，为我国企业内部控制信息化建设创造了必要的条件，使内部控制建设信息化成为可能。

      其次，企业经过IT设计的软件工具将管理咨询成果固化为内部控制信息系统的初始标准。内部控制本身就是一个信息系统，内部控制信息化就是把经过专业的内部控制管理咨询形成标准化成果“E”化成内部控制信息系统。这方面需要做的工作很多，主要是“E”化内部控制体系，包括内控环境、风险评估、控制活动、信息沟通、内部监督各要素的内控体系；“E”化业务流程、控制目标、风险描述、关键控制、控制措施、管理制度等。

      内部控制软件就是对企业内部控制体系、流程目录数据库、风险数据库、控制措施数据库、控制证据数控库、控制制度数据库及其控制矩阵等初始标准“E”化的产品。当然，内部控制是个动态过程，内部控制信息系统也是个动态过程，固化的内部控制信息系统初始标准也需要不断改进和完善。

      最后，企业将固化的内部控制信息系统初始标准导入企业信息系统当中，实现内部控制真正落地。根据中天恒3C框架管理融合的理论，内部控制要与风险管理相融合，要嵌入到企业的业务流程和管理流程之中，内部控制信息化要与企业管理信息化相衔接，并优化现有的企业管理信息系统。

      企业管理信息系统是多种多样的，内部控制信息化是要将内控体系、业务流程、风险描述及控制措施等嵌入的企业的信息化系统之中，并通过内控系统监控管理信息系统中流程运行情况。企业内部控制的执行与各种管理活动和业务活动密不可分，在管理信息系统中就需要将内部控制的特性与各种功能进行有效的集成。

      内部控制信息化离不开企业整体的信息化，内部控制软件要能与企业不同的管理信息系统进行集成，从而有效解决了内部控制信息系统与企业信息系统相互不兼容的难题，也最大限度地降低了内部控制建设信息化的成本。

 

 

（五）内控自我评价报告从强制到自觉
             ——中国会计报

      作为联合颁布企业内部控制规范体系的五部委之一和率先试点实施内部控制规范体系的上市公司的监管者，证监会提出了“坚决导入、稳步实施、步步深入、逐年提高”的内控规范实施原则，以财务报告内部控制为切入点，分步骤、分阶段在上市公司实施内部控制规范体系。

      除69家境内外同时上市公司外，证监会在公司自愿与各辖区监管机构推荐相结合的原则下，又选择确定了211家主板上市公司作为2011年内部控制规范体系实施的试点单位。同时，我们还选择监管基础较好的深圳辖区进行全辖区试点。

      从前不久各地上报的材料看，尽管工作中遇到了一些困难和问题，但内控规范体系实施和试点工作整体进展还是比较顺利的。

      从公司来说，健全有效的内部控制可以提高上市公司财务报告的有效性；可以保障公司资产安全，减少舞弊事件发生，堵塞漏洞，有效提高风险防范能力，降低公司风险；可以提高公司经营效益及效率，提升上市公司质量，从而保证资本市场的健康稳定发展。对内部控制自我评价及信息披露的相关要求，对于督促公司建立和实施有效内部控制有着重要的推动性作用。

      从资本市场来说，随着资本市场的发展和投资者的日趋成熟，投资者在选择投资对象和买卖时点时考虑的因素更加全面，上市公司内部控制和风险管理水平已成为投资者的关注点之一，但普通投资者不可能深入每一个被投资企业去了解其内部控制的设计和执行情况，因为这样做既不经济也不可行。投资者了解企业内部控制情况的一个重要渠道就是企业对外披露的年报中对内部控制建设与实施的描述、内部控制的自我评价报告及会计师事务所出具的鉴证报告。对内部控制自我评价及信息披露的相关要求，有利于资本市场透明度的提高和对广大投资者的保护。

      但从前几年沪、深交易所上市公司披露的内部控制自我评价报告来看，在披露信息的充分性和客观性方面还存在一定的问题：一是部分企业没有真实、客观地披露内部控制存在的问题，个别公司甚至在由于内部控制失效造成虚假信息披露，多次被监管机构处罚的情况下，都没有在自我评价报告中披露相关的控制缺陷；二是内部控制评价报告在内容格式和详略程度上差异较大，篇幅最长的达数万字，篇幅短的只有草草几百字。由于信息披露的不客观、不完整以及内容格式的不统一，使得内部控制自评报告及其信息披露对投资者的参考价值，大打折扣。

      产生上述问题的原因是多方面的，其中一个重要的原因是一些上市公司在内部控制评价报告的披露问题上存在着一些认识上的问题，即担心如果内部控制评价中发现了控制缺陷并进行了披露，会对公司产生负面的影响，比如股价下跌、市值下降，进而会影响到公司的形象以及未来的再融资等；对于国有企业的负责人来说，可能还有一些对于绩效考评方面的顾虑，担心是否会追究领导责任，是否会影响到个人的职业发展等。

      对于这样的担忧，其实是可以理解的。但是，如果我们从投资者的角度来想一想，投资者最担心的是什么？是上市公司的信息不透明，不知道上市公司的管理水平到底如何，不知道上市公司未来会发生什么事情。

      通过披露内部控制评价报告，恰恰可以消除投资者对这方面的担心。即便公司披露的内部控制存在缺陷，投资者可以从企业同时披露的对于缺陷的评价以及整改的具体思路和措施，了解这个企业是如何运作和管理的，使投资者可以对公司的未来做出合理的预期，从而增强对公司的信心。对于国有企业，国资管理部门也是希望下属的企业能够不断提高风险管控能力，提升企业管理水平，而内部控制评价报告所反映出的内部控制的不断优化和完善正是这种提升的一个重要表现。

      当然，在这方面，作为市场监管部门的证监会，也会做好对于投资者的宣传教育工作，帮助广大投资者正确理解上市公司披露的内部控制信息，对上市公司信息披露的客观性和真实性做出理性的判断，进而做出正确的投资决策。同时，我们也会加强对内部控制信息披露的监管，加大对虚假披露、故意隐瞒内部控制存在的重大缺陷等行为查处和处罚的力度。

      内控从三个层面影响信息化

      据国家信息化测评中心对2008年度中国企业信息化500强的调查结果显示，我国信息化500强企业整体信息化水平进步明显，其中34.5%达到中等发达国家水平，6.4%居于国际领先水平。入选信息化500强的企业中，有12家是世界500强企业，174家企业是中国500强企业，信息化500强覆盖了国民经济的骨干成分。

      我国企业信息化开始由重技术应用向重企业能力、重商业价值的方向发展。调查显示，75.2%的企业软件与服务占企业信息化投资比例超过30%，45%的企业超过50%。这表明大部分企业信息化基础设施建设基本完成，开始以信息系统应用为重点。80%的企业信息系统已经覆盖了人力资源管理、财务管理、资产管理，其中财务管理更是达到了100%。信息系统覆盖监察审计、风险管理、战略管理的企业的比例均超过40%。这说明，企业更加关注如何通过信息化构建企业能力。

     随着我国企业信息化建设的进一步深入，金融、电信等行业的IT基础设施建设、核心应用系统建设已基本完成，IT运维服务管理成为企业信息化的重点关注领域之一。在萨班斯法案影响下，开展IT审计，加强企业内部控制管理的企业逐渐增多，信息安全正成为企业信息化的关注问题，而如何把握信息化的风险依然是企业信息化建设的重要问题。

      企业的内部控制系统在以下三个层面上影响IT。首先是管理层面。

      董事会及管理层设定企业目标、制定政策、作出关于如何部署和管理企业资源以执行企业战略的决策，确定治理和控制的整体方式并在企业范围内贯彻。IT控制环境亦受到这些高层目标和政策的控制。
其次是业务流程层面。许多业务流程是自动化的并与IT应用系统进行了整合，导致这个层面的许多控制也是自动化的，这些控制被称为应用控制。然而，业务流程中的部分控制仍保留了手工操作，如：交易授权、职责分离和手工核对，因此，业务流程层面的控制是业务人员手工控制与自动化应用控制相结合，虽然应用控制需要IT职能予以支持进行设计和开发，但两种控制的建立和管理都是业务部门的职责。

      最后是技术支持层面。为支持业务流程，IT通常采用共享服务的方式为许多业务流程的控制提供IT服务，因为许多IT开发和操作流程需提供给整个企业，并且大多数的IT基础设施是公用的(如网络、数据库、操作系统和存储)。

 

 

 

 

     
　　11月1日，由中国内部审计协会主办、北京中天恒会计师事务所协办的“内部控制评价信息化——内部控制与内部审计”秋季高峰论坛在北京举行。论坛吸引了120余名国家机关和企事业单位内部审计人员参加。
 
　　此次论坛的主题是探讨实践中内部审计如何利用信息化手段有效地开展内部控制评价工作，以确保企业内部控制持续有效运行。中国内部审计协会副会长兼秘书长鲍国明在致辞中指出，企业内部审计部门应当充分利用良好的外部环境和发展机遇，主动与企业融为一体，积极参与企业内部控制体系建设，把内部控制评价作为业务发展的重点，进而实现内部审计价值的提升。内部控制评价信息化既是现实的要求，也是未来的发展趋势，企业内部审计应高度重视内部控制评价的信息化。同时，采用信息化手段进行内部控制评价也存在一定风险，要做好信息系统的风险评估和动态监控，为企业内部审计开展内部控制评价提供安全、可靠的保障。

 

　　中国证监会首席会计师兼会计部主任、中国内部审计协会副会长贾文勤和审计署审计科研所副所长崔振龙等受邀在论坛上做了主题演讲。
　　
　　此次论坛的主题紧贴企业内部审计和内部控制评价工作的最新发展，内容切合工作实际，对内部审计人员进一步做好内部控制评价工作有很好的借鉴意义，受到了参加人员的普遍好评，论坛取得了圆满成功。
 

      此次论坛的主题是探讨实践中内部审计如何利用信息化手段有效地开展内部控制评价工作，以确保企业内部控制持续有效运行。中国内部审计协会副会长兼秘书长鲍国明在致辞中指出，企业内部审计部门应当充分利用良好的外部环境和发展机遇，主动与企业融为一体，积极参与企业内部控制体系建设，把内部控制评价作为业务发展的重点，进而实现内部审计价值的提升。内部控制评价信息化既是现实的要求，也是未来的发展趋势，企业内部审计应高度重视内部控制评价的信息化。同时，采用信息化手段进行内部控制评价也存在一定风险，要做好信息系统的风险评估和动态监控，为企业内部审计开展内部控制评价提供安全、可靠的保障。

 

　　中国证监会首席会计师兼会计部主任、中国内部审计协会副会长贾文勤和审计署审计科研所副所长崔振龙等受邀在论坛上做了主题演讲。
　　
　　此次论坛的主题紧贴企业内部审计和内部控制评价工作的最新发展，内容切合工作实际，对内部审计人员进一步做好内部控制评价工作有很好的借鉴意义，受到了参加人员的普遍好评，论坛取得了圆满成功。
 

 

      2011年11月1日，由中国内部审计协会主办、北京中天恒会计师事务所协办的“内部控制评价信息化——内部控制与内部审计”秋季高峰论坛在北京举行。本次论坛邀请中国证监会首席会计师兼会计部主任、中国内部审计协会副会长贾文勤和审计署审计科研所副所长崔振龙、北京智远天恒信息技术有限公司董事长徐荣才做了主题演讲，中国内部审计协会副会长兼秘书长鲍国明、北京中天恒会计师事务所董事长高雅青参加论坛并致辞。此次论坛吸引了120余名国家机关和企事业单位内部审计人员参加。

      论坛的主题是探讨实践中内部审计如何利用信息化手段有效地开展内部控制评价工作，以确保企业内部控制持续有效运行。鲍国明在致辞中指出，企业内部审计部门应当充分利用良好的外部环境和发展机遇，主动与企业融为一体，积极参与企业内部控制体系建设，把内部控制评价作为业务发展的重点，进而实现内部审计价值的提升。内部控制评价信息化既是现实的要求，也是未来的发展趋势，企业内部审计应高度重视内部控制评价的信息化。同时，采用信息化手段进行内部控制评价也存在一定风险，要做好信息系统的风险评估和动态监控，为企业内部审计开展内部控制评价提供安全、可靠的保障。

      贾文勤结合近几年上市公司内部控制建设的情况，特别是今年内部控制规范体系实施和试点的情况，重点交流了上市公司内部控制自我评价与信息披露相关工作的情况，阐明了内部控制自我评价及信息披露对于上市公司和资本市场的意义，探讨了上市公司内部控制自我评价以及相关信息披露方面需要注意的问题及建议，并从监管的角度简要介绍了证监会下一步相关工作安排。崔振龙在题为《内部控制信息化与信息系统审计》的演讲中,探讨了内部控制信息化的背景、业务控制和IT控制、信息系统审计的内容，并结合我国信息化发展的总体现状，提出了企业信息化建设存在的主要问题以及解决方案。徐荣才针对企业内部控制评价工作存在的现实难题，提出了以内部控制评价信息化为切入点推进内部控制信息化的思路，并以其所在公司研发的“3C内部控制评价软件”为例进行了演示和说明。

      此次论坛的主题紧贴企业内部审计和内部控制评价工作的最新发展，内容切合工作实际，对内部审计人员进一步做好内部控制评价工作有很好的借鉴意义，受到了参加人员的普遍好评，论坛取得了圆满成功。（中国内部审计协会准则与学术部）

 

 

 

 

（八）内审协会：探索内控评价信息化
             —— 凤凰网财经 2011年11月04日  来源：中国会计报 

      本报讯记者石海平报道11月1日，由中国内部审计协会主办、中天恒会计师事务所协办的“内部控制信息化—— —内部控制与内部审计2011秋季高峰论坛”在北京召开。

      中国内部审计协会副会长兼秘书长鲍国明表示，信息化的发展正深刻地改变着企业的经营方式和管理方式。内部审计部门利用信息化手段开展内部控制评价既是现实的要求，也是未来发展的趋势。

      当前，内控评价评什么、如何评、评价报告如何写，是许多企业内控评价人员面临的现实问题，而内控评价信息化是解决上述问题的重要手段。

      中国证监会首席会计师贾文勤认为，内部控制评价信息化，无论是对于促进内控有效实施还是对于推动和促进我国内部审计事业的发展来说，都具有非常重要和现实的意义。

      在会上，北京智远天恒信息技术有限公司董事长徐荣才以中天恒管理咨询公司与智远天恒信息技术有限公司联合推出“3C内部控制评价软件”为例阐述了以内控评价信息化为切入点推进内部控制信息化的观点，引起了与会人士的热烈反响。

 

 

 

 

 

 （九） 在“内部控制信息化———内部控制与内部审计2011秋季高峰论坛”上上市公司内控信息假象遭受披露
             ——会计通 2011年11月2日 来源：会计通

 

      昨日，在“内部控制信息化———内部控制与内部审计2011秋季高峰论坛”上中国证监会首席会计师贾文勤在表示，证监会企业内部控制实施工作小组正在制定内部控制实施和评价工作的监管规程，用于指导监管人员的日常监管工作，提高监管工作的效率和质量。

      “我们也在和有关部门一起研究对于在内部控制信息披露中造假、故意隐藏内控缺陷等行为的惩罚措施，包括必要的行政处罚措施。”贾文勤说。

      据贾文勤介绍，证监会高度重视上市公司内部控制建设，不断在技术层面和执行层面从信息披露角度发布措施，强化公司内部控制。

      从实际执行情况看，从2007年开始，上交所部分公司和深交所全部上市公司按照要求，在披露年报的同时披露内部控制自我评价报告和会计师事务所出具的鉴证报告。从监管结果来看，有关上市公司内部控制自我评价报告和会计师事务所鉴证报告的披露要求对上市公司内部控制水平提高有明显促进作用，有利于提高资本市场透明度和保护广大投资者。

      不过，从上市公司披露的内部控制自我评价报告来看，在披露信息的充分性和客观性方面还存在一定问题，比如部分企业没有真实、客观地披露内部控制存在的问题；内部控制评价报告在内容格式和详略程度上差异较大，篇幅长的达数万字，短的只有草草几百字等。

      在下一步证监会对上市公司内部控制建设和信息披露监管工作，贾文勤强调，一是信息披露的范围界定在财务报告内部控制领域；二是除了在年报中披露相关内部控制建设及运行状况的信息外，还必须披露董事会的内部控制自我评价报告以及注册会计师的内部控制审计报告。需要注意的是注册会计师的审计报告不是对董事会自我评价报告的鉴证，而是对公司财务报告内部控制本身的审计报告；三是要注意评价报告的内容宜简不宜繁，突出重点，保证评价报告的可读性。 

      面对种种信息遭受披露的同时，在面对下一步证监会对上市公司内部控制建设和信息披露监管工作，贾文勤强调，一是信息披露的范围界定在财务报告内部控制领域；二是除了在年报中披露相关内部控制建设及运行状况的信息外，还必须披露董事会的内部控制自我评价报告以及注册会计师的内部控制审计报告。需要注意的是注册会计师的审计报告不是对董事会自我评价报告的鉴证，而是对公司财务报告内部控制本身的审计报告；三是要注意评价报告的内容宜简不宜繁，突出重点，保证评价报告的可读性。

 

 

 

 

 

 

      11月1日，由中国内部审计协会主办,中天恒会计师事务所协办的《内部控制信息化——内部控制与内部审计2011秋季高峰论坛》在北京召开。本次论坛由中国内部审计协会副会长兼秘书长鲍国明致辞、中国内部审计协会副秘书长鹿云飞主持，中国证监会首席会计师贾文勤、审计署科研所所长崔振龙、北京智远天恒信息技术有限公司董事长徐荣才等嘉宾应邀做了主题演讲，中天恒会计师事务所董事长高雅青做了总结发言，吸引了来自全国各地的120余名企事业单位代表与业内专家参加。

      中国内部审计协会副会长兼秘书长鲍国明致辞中明确了本次论坛的主题是探讨实践中内部审计如何利用信息化手段有效地开展内部控制评价工作，以保证企业内部控制持续有效运行。中国证监会首席会计师贾文勤在《扎实做好内部控制评价，推动企业内部控制提升》中，结合这几年来上市公司内部控制建设的情况，特别是今年内部控制规范体系实施和试点的情况，重点跟大家交流和探讨上市公司内部控制评价与披露相关工作的情况；正确认识内部控制自我评价及信息披露对于上市公司和资本市场的意义；上市公司内部控制自我评价以及相关信息披露方面需要注意的几个问题；对内部控制评价工作组织与实施的几点建议；内部控制规范体系正式实施后，从监管的角度，对企业内部控制建设和信息披露监管工作的考虑。审计署科研所所长崔振龙在《内部控制信息化与信息系统审计》主题演讲中,主要探讨了内部控制信息化的背景、业务控制和 IT 控制、信息系统审计的内容、我国企业信息化建设存在的问题等。北京智远天恒信息技术有限公司董事长徐荣才在《以内控评价信息化为切入点推进内部控制信息化》主题演讲中，主要交流了中天恒管理咨询公司与智远天恒信息技术有限公司联合推出了“3C内部控制评价软件”。该软件以财政部、审计署等五部委颁布的《企业内部控制基本规范》及其配套指引为依据，以中天恒3C框架理论为指导，以中天恒十多年来数百家企业内部控制设计、评价、审计的实践经验为基础，历时三年之久地不断研发与实践，以其清晰的设计、大容量的数据库和自动化的操作程序，获得与会专家高度认可，有助于推动我国内部控制评价从手工操作时代向信息化时代迈进。
 

 

 

 

      2010年4月，财政部、证监会、审计署、银监会、保监会等五部委联合颁布《企业内部控制配套指引》，要求自2011年1月1日起首先在境内外同时上市的公司，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市的公司施行配套指引；在中小板和创业板上市公司择机施行；同时，鼓励非上市大中型企业提前执行。所有实施配套指引的企业，必须提交内部控制评价报告，并由会计师事务所实施内部控制审计并出具内部控制审计报告。配套指引的实施，标志着内部控制评价成为一种强制性要求。而对于大多数企业来说，内部控制评价还是一项新业务，评什么、如何评、评价报告如何写，这是许多企业内部控制评价人员亟待解决的现实问题。

      内控评价信息化是解决上述问题的重要手段。内部控制评价工作离不开定性与定量的分析与计量，要使评价结果更精确、符合实际，必须有强大、健全的信息系统作强有力的支持。为此，应加快嵌入内部控制信息系统的建立，建立信息数据系统作为量化风险评估支持,以信息系统支持内部控制评价工作开展。
 

      开发内部控制评价信息系统应在数据收集和功能设计两方面考虑内部控制评价的需求。一要确保评价机构及时、充分获取评价对象相关数据，在充足的信息支持下，得出客观、全面的评价结果。二要提供自动计算功能，由系统完成固有风险、控制有效性和剩余风险的繁复计算过程；三要利用信息系统减少繁杂的内部控制评价工作底稿和内部控制评价报告的编制工作，提高评价效率。
在本次论坛上，中天恒管理咨询公司与智远天恒信息技术有限公司联合推出了“3C内部控制评价软件”。该软件以财政部、审计署等五部委颁布的《企业内部控制基本规范》及其配套指引为依据，以中天恒3C框架理论为指导，以中天恒十多年来数百家企业内部控制设计、评价、审计的实践经验为基础，历时三年之久地不断研发与实践，以其清晰的设计、大容量的数据库和自动化的操作程序，获得与会专家高度认可，有助于推动我国内部控制评价从手工操作时代向信息化时代迈进。

      清晰的内部控制评价思路

      “3C内部控制评价软件”，以一名普通内控评价人员的需求为起点，本着易学、易用的原则，设计了清晰的内部控制评价思路。先分三步确定评什么，即评价内容：第一步骤确定评价要素，即内控五要素；第二步骤确定相关业务流程，即业务和管理的具体内容；第三步骤确定评价点，即相关业务的控制点和控制措施。再从两个方面确定如何评，即评价方法：一是就事论事式评价，对每一个评价点的设计与执行情况进行检查、测试，以发现内部控制存在的缺陷；二是综合打分法，按照确定的评分规则对每一个评价点进行评分，以再终确定每一个企业内部控制的总体得分。最后在评价的基础上，编写内控评价报告。

     自动化的内部控制评价操作

      “3C内部控制评价软件”，以中天恒十年来内控设计与评价咨询经验为依托，构建了超大容量的内部控制数据库，包括风险数据库、流程目录数据库、风险点和风险事件数据库等，使被评价企业即使没有经过系统的内控梳理，评价人员也能够很容易地根据数据库确定提相关的评价点，根据软件自动生成的评价程序表清晰地知道如何评价，评价的结果能自动汇集到评价报告框架中，适当加工就可以编写出规范化、高质量的内控评价报告。自动化的傻瓜式的内部控制评价操作，化复杂为简单，利用信息化手段，既解决了内部控制自我评价的技术问题，又可大大提高内部控制自我评价的效率，对于促进企业内部控制建设信息化，将起到非常重要的促进作用。