一、内部控制与内部控制报告　　对于内部控制，会计界先后经历了内部牵制、内部控制制度、内部控制结构和一体化内部控制四个认识阶段。目前最为权威的是COSO1992年的定义:“内部控制是由公司董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程”。COSO认为内部控制整体框架包括:控制环境、风险评估、控制活动、信息和沟通和监督。　　内部控制的设计是否适当、执行是否有效，必须根据一定的标准进行评估。从总体上讲，有效的内部控制下，管理当局应能合理地保证董事会及管理阶层了解该公司实现其经营目标的程度、对外公开的财务报告可靠性以及是否符合相关的法律法规。这里之所以讲合理保证，是因为由于人为判断的限制、资源的限制和成本效益的考虑、内部控制的故障、管理者的越权、员工的串谋等原因，内部控制并不能完全保证实现上述目标。从具体上讲，内部控制评价应对内部控制的各个要素的制定和执行的有效性进行评价。　　对于内部控制评估应由谁来完成，美国的COSO报告和英国的Cadbury报告中的观点都是，首先应由公司管理当局（或其指定人，如内部审计机构）定期对本单位内部控制设计和执行的有效性进行评估，提出内部控制报告，然后再由注册会计师对其加以审核，提出内部控制审查报告。实际上，内部控制五要素之一的监督主要就是指管理当局对内部控制的评价。管理当局对内部控制进行自我评估后应提出两种报告，一个是提供给外部信息使用者的，一个是提供给会计师事务所的关于内部控制的声明书。所谓内部控制报告，就是管理当局依据内部控制有效性评价的标准对本公司的内部控制的设计和执行的有效性进行评估后将结果提供给外部信息使用者的报告。　　二、内部控制报告的历史回顾和分析　　内部控制报告在美国经历了曲折的历程，1979年和1988年SEC曾两度试图要求强制提供内部控制报告，但直到2002年Sarbanes-Oxley Act通过时才付诸实施，也标志着美国内部控制报告的披露已经由自愿阶段转入强制阶段。　　目前我国还没有出台要求公司提供内部控制报告的规范，但是我国证监会对上市公司内部控制信息的披露也做出了一系列的规定。需要指出的是，我国对证券公司和上市的商业银行、保险公司在内部控制信息披露方面有特殊的要求，其要求高于一般性上市公司。　　为了解我国上市公司内部控制信息的披露情况，笔者对2002年上市公司年报中内部控制信息的披露状况进行了调查。考虑到现有的披露过于简单,文章只是进行了简单的描述性统计。经分析，结论如下:(1)目前，我国内部控制信息披露的规定并未得到有效的执行。(2)监事会是目前内部控制信息披露的主要主体。(3)我国上市公司内部控制信息自愿披露动力不足。(4)内部控制信息披露与审计报告质量可能存在一定的关联。　　三、内部控制报告内容及与内外部审计的关系　　（一）内部控制报告的作用　　1.内部控制报告是管理当局解除受托责任的一种方式。　　2.内部控制报告可以提高公司管理当局内部控制的意识，从而重视公司的内部控制。　　3.内部控制报告表明了公司高级管理人员对内部控制的义务，从而能够传递公司控制环境的信号。　　4.公司管理当局对内部控制进行评估并对外报告，可以提高公司的财务报告的可靠性，在一定程度上减少舞弊的发生。　　5.内部控制报告可以向外部使用者提供单纯的财务报告所不能提供的信息，从而有助于用户做出决策，同时也保护了投资者的利益。　　6.对于公司自身来说，通过内部控制报告披露内部控制信息并不是加重公司负担，而是促进公司加强自身管理的重要举措。　　7.内部控制报告可以一定程度上减少注册会计师的工作量。　　（二）内部控制的内容　　在内部控制信息披露的过程中，已经出现了一些内部控制报告的基本形式.不过作为一种要提供给外部使用者的报告，笔者认为，内部控制报告的内容应该比较全面，格式比较正规。内部控制报告的内容应包括:(1)表明管理当局对内部控制的责任。(2)承认内部控制存在固有限制。(3)公司已经确定内部控制的设计和实施是否有效的标准，并按照标准设计并颁布实施内部控制制度。但笔者认为，应当在内部控制报告中对公司的内部控制制度进行简要的描述，以便信息使用者对其进行评价，当然这应在符合成本效益和重要性原则的基础之上。(4)声明本公司已按照有关的标准、程序对本公司的内部控制的设计和执行的有效性进行了评估，发现无重大缺陷。(5)声明公司的内部控制有效，不会发生对公司财务报告的可靠性和对公司资产的安全和完整有重大的不利影响的情况。(6)公司管理阶层的签名，包括董事长、总经理、财务总监或总会计师等应在内部控制报告上签名，以表明对内部控制和内部控制报告的责任。　　（三）内部控制报告和内部审计内部控制报告是由董事会提供给外部信息使用者的，为了保证其真实性，应该由内部审计师对公司的内部控制进行日常监督，给出评价，并提出建议，最后由总经理审阅，董事会通过并签字，由此可见，内部审计在内部控制报告的提供过程中起着重要的作用。内部审计是公司为加强内部经济监督和经营管理的需要而逐渐发展起来的。最初，内部审计范围主要是审查财产、资金是否安全完整，查核揭露舞弊行为，开展财务收支审计，在公司内部扮演“警察”角色，协助公司管理当局对来自各方面的信息进行检查、评价和验证。之后，公司管理当局在实践中逐渐认识到内部审计的作用，内部审计范围也从企业的财务收支扩展到经营管理各方面，要评价资源利用的经济性和有效性，要对内部控制制度的健全性、有效性及其遵循情况进行评价等。当然，内部审计机构要想真正发挥作用，为内部控制假设和实施的完整性、合理性和有效性提供保证并为管理层出具真实的内部控制报告提供保障，需要良好的环境和董事会的直接领导以及高素质的内部审计人员。　　（四）内部审计和注册会计师审计　　内部控制报告的注册会计师审计被称为内部控制审核，注册会计师对内部控制报告的审核意见就是内部控制审核报告。目前，我国虽然还没有要求上市公司管理当局提供内部控制报告，但是内部控制审核业务已经正式步入了我国注册会计师执业范围。而在国外，几乎在所有要求企业管理当局提供内部控制报告的规定中都同时要求注册会计师要对内部控制报告审核并发表审核意见。可见，内部控制审核是内部控制报告的有益补充。　　四、对我国上市公司内部控制报告的建议　　随着我国经济的发展和我国上市公司管理水平的不断提高，要求我国上市公司提供内部控制报告也逐渐成为会计界和审计界关注的问题。为完善我国上市公司内部控制信息披露，要求上市公司提供内部控制报告，笔者提出了几点建议。　　首先，有关主管部门应当改进内部控制信息披露的有关规定，要求董事会在年度报告中披露内部控制的有关信息，并可以要求有条件的公司提供内部控制报告。证监会应当对内部控制报告的具体内容和格式做出详细规定，以规范上市公司的内部控制行为。同时，为保证内部控制信息披露的真实性，应当要求注册会计师对内部控制信息披露加以验证，并出具审核报告。　　其次，提供内部控制报告应该是个渐进的过程，在有关规定出台之前，监管当局可以鼓励并引导有条件的公司自愿披露内部控制报告。　　最后，监管部门应对上市公司遵守规定披露内部控制信息，出具内部控制报告的情况予以监督。