内部控制报告(Management Reportingon Internal Control,MRIC,或直接称为Management Reporting)是指管理当局依据内部控制有效性评价的标准对本企业内部控制的设计和执行的有效性进行评估后，将结果提供给外部信息使用者的报告。它主要向社会公众声明企业的内部控制无重大缺失或存在哪些重大缺失等，让社会公众了解企业内部控制的现状。建立有效的内部控制制度是管理当局的责任。但是企业管理当局自身是否应当对本单位的内部控制制度进行评价，提供给注册会计师并包含在年度报告中提供给外部信息使用者，也就是企业是否应该提供内部控制报告在会计界和实务界引起了广泛的争论。

内部控制报告是管理当局解除受托责任的一种方式。它可以提高企业管理当局内部控制的意识，企业管理当局对内部控制进行评估并对外报告，可以提高企业财务报告的可靠性，在一定程度上减少舞弊的发生。同时，内部控制报告可以向报表使用者提供单纯的财务报告所不能提供的信息，有助于报表使用者进行决策。此外，它在一定程度上也可以减少注册会计师的工作量。基于上述理由，上市公司提供的内部控制报告对于增进企业内部控制，减少财务报告舞弊现象、促进与注册会计师的交流等方面都起着积极的作用，同时也表明了上市公司管理当局对建立内部控制制度、保障公司财产安全的责任和履行。因此，上市公司应当对其内部控制做出报告，以帮助投资者进行决策。

从20世纪50年代起，学术研究就表明，年度财务报告并不是债务和权益投资的全部决策因素，季度会计信息、内部控制、预测信息等逐步成为越来越重要的考虑因素。1953年美国注册会计师协会出版的(注册会计师手册)中提出了一个新建议：“在审计人员对财务报表的意见中．应包括一个对内部控制系统的意见。”这个想法引起了强烈关注。20世纪60年代，《审计程序说明书第49号——内部控制的报告》提到，管理层被赋予了决定在审计报告中是否需要说明内部控制的权利，这使得如果表达对内部控制评价的意见成为一个需要明确的问题。

1978年，美国审计师责任委员会建议管理层应提供报告确认管理层对财务报告的责任，并要求管理层对内部控制系统进行评估。评委员会提出：“此报告应该提供管理层对公司会计系统及其控制的评估，包括对控制系统固有限制及公司对独立审计师认定的重大缺陷所做出的反应和态度。”1980年，《审计准则公告第30——内部会计控制的报告》取代了《审计程序说明书第49号》，《审计准则公告第60号——审计师对关注到的内部控制结构相关事项的传达》出台，该公告要求注册会计师要与审计委员会进行充分沟通，特别在控制环境、会计制度和控制程序中存在的重大缺陷方面。1992年，由美国五家会计协会发起组织的委员会颁布了《内部控制——完整框架》，即“COSO报告”，综合考察内部控制各个方面，特别在内部控制的评估、创新、教育和研究领域，为公司、立法和监管机构提供全新的起点。1993年，美国注册会计师协会颁布了《鉴证业务准则第2号—— 财务报告外的内部控制报告》及《鉴证业务准则第3号——符合性鉴证》，对公司提供内部控制报告及注册会计师对其进行评价并表示意见提供指导1995年美国注册会计师协会发表了《审计准则公告第78号》，接受了COSO报告中对内部控制的定义。

为应对“安然”、“世通”等特大恶性财务丑闻及随后的一系列上市公司财务欺诈事件所造成的美国股市危机，重树投资者对股市的信心，美国国会于2002年7月以绝对多数通过了关于会计和公司治理一揽子改革的《萨班斯法》。其中103条款、302条款、404条款，第一次以法律的形式对财务报告内部控制的有效性提出了明确的规定。这是一个重大的转折点，对内部控制报告提出了更高的要求。

2002年10月，证券交易委员会出具了《萨班斯——奥克斯利法))404、406、407款的披露要求提案，希望根据《萨班斯——奥克斯利法)404条款的要求，寻求过渡期的做法，并征求意见。2003年3月，美国注册会计师协会又发表了关于财务报告内部控制审计和报告征求意见稿，征求关于根据《萨班斯——奥克斯利法)404条款实施财务报告内部控制审计的意见。2003年6月，证券交易委员会根据征求意见的结果形成最终规范，颁布了《最终规则：管理层对财务报告内部控制的报告和证券交易法定期报告披露的证明》，旨在对管理层内部控制评估及注册会计师事务所的鉴证报告进行规范。半个世纪以来，法律和条例的不断更新和修正告诉我们，内部控制的评价 及报告是因实际需要而产生的，是经济健康发展的保证，是对公司经营成果和财务状况的全面、透明的披露和监管。

上市公司的管理当局在对其内部控制进行自我评价后，则可出具报告，向投资者宣布其内部控制不存在重大缺陷或除某些方面外，不存在重大缺陷。内部控制报告应包括：

1、表明管理当局对内部控制的责任。管理当局应在内部控制报告中明确声明建立、健全、实施和维护企业的内部控制制度是管理当局的责任，内部控制的目标在于合理保证财务报告的可靠性、经营的效果和效率，符合适用的法律、法规。

2、企业已经确定内部控制的设计和实施是否有效的标准，并按照标准设计并颁布实施内部控制制度。如宣布“本公司已根据《内部控制基本规范》规定的原则、标准，制定并颁布实施内部控制制度”。内部控制可分为会计控制和管理控制，前者的目的是保护企业资产，检查会计数据的准确性和可靠性，后者的目的是提高经营效率，促使有关人员遵守既定的管理方针。我国目前只制定了内部会计控制规范。但是，由于内部会计控制和内部管理控制很难绝对地划清界限，所以，内部控制报告的范围不能仅仅局限于内部会计控制，还应包括内部管理控制。因此，在内部控制报告中不仅应指出建立内部会计控制制度，还应包括有无有效的内部管理控制制度，但这应建立在成本效益和重要性原则之上。

3、声明本公司已按有关标准、程序对本企业的内部控制的设计和执行的有效性进行了评估，发现无重大缺陷。如果发现重大缺陷，应指出该缺陷。

4、声明公司内部控制有效，不会发生对公司财务报告的可靠性和对公司财产的安全、完整有重大不利影响的情况。如发现某些缺陷，应指出这些缺陷，并声明，相信除上述情况外，公司内部控制有效。

5、承认内部控制具有固有限制。存在由于错误或舞弊而导致错报发生和未被发现的可能性，因此，只能对财务报告的编制及企业资产的安全和完整提供合理保证。并且，随着环境和情况的变化内部控制制度的有效性可能发生变化，对内部控制制度的遵循程度可能会降低。根据内部控制制度评价结果推测未来内部控制有效性具有一定风险。

6、管理层签名，包括董事长、总经理、财务总监等，以表示对内部控制和控制报告负责。

1、内部控制报告可以提高管理当局内部控制的意识，从而重视企业内部控制。内部控制报告必须由总经理和财务总监签名。总经理签名将提高其对财务报告和内部控制的责任感，类似地，财务总监的签名将强调他们对财务报告的作用和责任。

2、内部控制报告表明了企业高级管理人员对内部控制的义务，从而传递出企业控制环境的信号。控制环境是内部控制的一项重要要素，对财务报告的可靠性有着极其重大影响。是否提供内部控制报告在一定程度上反映了管理当局对内部控制的重视程度，也反映了其管理哲学。

3、内部控制报告是管理当局解脱受托责任的一种方式。内部控制报告的目的在于表明企业的内部控制是否有效。资源提供者将资源提供给企业，交由经理人员进行经营管理。管理当局必须尽心尽责地完成受托责任，保护资产安全完整，并向资源提供者提供财务报告以反映受托责任的履行情况。管理当局应对内部控制负责，如果企业没有健全的内部控制制度或内部控制制度失败，导致财务报告虚假而对投资者形成误导，将承担责任。因此，建立完善的内部控制制度并保证其有效执行，是管理当局的责任。通过对内部控制制度的评估并将结果报告给投资者，实际上是向投资者表明已经履行管理职责。

4、内部控制报告可以向外部使用者提供单纯的财务报告所不能提供的信息，从而帮助用户作出决策。通过内部控制报告，用户可在一定程度上了解企业管理控制是否有效。如果企业有着良好的控制制度，则企业的经营有序而有效，能够防范经营活动中的风险。巴林银行就是因缺乏有效的内部控制制度而因一个交易员的失误倒闭。

5、可以提高企业财务报告的可靠性，在一定程度上减少舞弊的发生。一方面，在内部控制报告中，管理当局应对内部控制的设计和执行是否有效作出评价，并表明其对财务报告和资产的安全完整无重大不利影响，这实际上表明了管理当局的一种合理保证，因此，可在一定程度上减少舞弊的可能性。另一方面，通过自我评估，可发现企业内部控制中存在的问题，因此可改善企业的内部控制。

1．可以更好的满足投资者的信息需求

目前，我国上市公司的信息披露，主要是依靠经过注册会计师审计过的向社会公布的资产负债表、损益表和现金流量表等会计报表。但是，披露的这些信息仅仅是财务会计信息，对于在证券市场久经磨练的逐渐成熟的投资者来讲，都越来越不能满足他们的要求，他们需要了解公司更多的信息，特别是公司内部控制的信息。对于上市公司来讲，除了披露几经审计的会计报表外，还必须披露公司的内部控制情况。

2．可以促进管理当局更加重视企业的内部控制

建立一套完善并有效执行的内部控制制度是管理当局的职责，如果企业没有健全的内部控制制度或内部控制制度失效，导致财务报告虚假而对投资者形成误导，或企业的资产受到损失，将承担民事或刑事责任。也正因为如此，管理当局出于减轻自身责任及企业长远利益的考虑，不得不在审计人员的协助下真正关注内部控制的缺陷，实实在在的不断健全与完善自身的内部控制。

3．可以在一定程度上减少公司舞弊的发生

公司对外提供内部控制报告，一方面，管理当局应对企业的内部控制制度的设计和执行是否有效做出评估，并表明其对财务报告和资产的安全完整无重大不利影响，这实际上表明了管理当局的一种(合理)保证，因此，可以在一定程度上减少舞弊的可能性。另一方面，通过自我评估，可以发现企业内部控制中存在的问题，并采取相应措施，因此，可以改善企业的内部控制。

4．可以在一定程度上减少注册会计师的工作量

上市公司的会计报表是由注册会计师来审查的，在经济和市场激烈竞争的条件下，注册会计师不可能在有限的时间内，即在较短的时间内把会计报表中披露的信息、报表中的各项目都审查清楚，这是一件很难做好的工作。如果上市公司对外报送内部控制报告，并且内部控制健全、完善、有效，注册会计师对会计报表的真实性、正确性的审查，将不是一件难事。