企业内部控制评价工作完成后应该形成内部控制评价报告。内部控制评价报告,是评价人员根据内部控制评价结果编制的全面、客观、准确地反映企业内部控制状况的书面文件,是内部控制评价工作的重要环节。COSO把报告缺陷作为监控的一个重要要素,主体内部控制体系中的缺陷会从许多渠道显现出来,包括主体的持续监控程序、内部控制体系的个别评价以及外部各方。
统一规范内部控制评价报告的设计依据、要求、内容等便于编制内部控制评价报告,也便于阅读者理解。根据《企业内部控制评价指引》要求,企业应当根据《企业内部控制基本规范》、应用指引和本指引,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告编制程序和要求,按照规定的权限报经批准后对外报出。内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。
内部控制评价报告应该报告什么,正如COSO所说的,不可能有一个通用的答案,因为它具有强烈的主观性。根据《企业内部控制评价指引》要求内部控制评价报告至少应当披露下列内容:董事会对内部控制报告真实性的声明;内部控制评价工作的总体情况;内部控制评价的依据;内部控制评价的范围;内部控制评价的程序和方法;内部控制缺陷及其认定情况;内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;内部控制有效性的结论。应该说,本评价指引要求的报告内容是很全面的,基本涵盖了内部控制评价相关内容。但需要强调说明的是,企业内部控制评价报告要繁简得当、突出重点。对内部控制缺陷及其认定情况、内部控制缺陷的整改情况以及重大缺陷拟采取的整改措施要详细描述,其他方面内容表述清楚即可,不能过于复杂。理论界公认的观点是世上没有一家公司的内部控制是一样的,但从部分上市公司年报披露内部控制评价报告来看,连不同行业上市公司的内部控制的内容几乎都一致。不敢说有抄袭之嫌疑,但确实雷同的不可思议。
根据中天恒的经验,企业内部控制评价报告正文切忌太长,要尽量使用附图、附表和附件;要突出对重要缺陷以及缺陷导致风险的描述,要根据具体缺陷及风险提出具体建议,一定避免大而空的口号,例如,“建议要提高对内部控制的认识”、“建议要建立健全内部控制”、“建议要加强人员培训”等的确是放之四海而皆准的真理,但没有针对性和可操作性。当然,企业内部控制评价报告也要强调严密的逻辑性。