近年来,无论是在资本市场发达的美国、欧洲,还是在资本市场刚刚起步的中国,一系列的触目惊心的财务舞弊事件层出不穷。“安然”、“世通”的丑闻被揭发后,美国国会遂于2002年7月颁布了《萨班斯一奥克斯利法案》(简称SOX法案)。法案的两条核心条款,第302条款要求,管理当局在年度或季度报告中要对有关的内部控制和程序的有效性进行评价和报告；第404条款规定,美国上市公司年度审计报告中,审计师必须检查和报告管理当局对与财务报告有关的内部控制有效性的评估。标志着内部控制信息强制披露时代的到来。2006年12月8日中国银行业监督管理委员会通过《商业银行内部控制指引》,为促进商业银行建立和健全内部控制,防范金融风险,保障银行体系安全稳健运行。但未对商业银行内部控制评价报告和具体编制作出规定。2008年6月28日,财政部等五部委联合发布《企业内部控制基本规范》,要求上市公司对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。2010年4月15日印发了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》等企业内部控制配套指引。并且给出了内部控制评价报告以及四种意见类型内部控制审计报告的参考格式。而商业银行是一个经营货币的高风险、高负债的特殊行业,为防范风险、促进商业银行审慎经营、保证金融体制改革的顺利进行,完善的内部控制显得尤为重要。90年代,世界金融危机频频发生,造成严重的危害,也从反面有力地证明了加强内部控制自我评价报告披露及其鉴证的重要性。那么,《基本规范》的颁布在我国上市商业银行中实际应用情况如何？通过对2007-2009年上市商业银行内部控制自我评价报告及其鉴证报告进行调查发现,我国上市商业银行内部控制自我评价报告及其鉴证实务正逐渐规范化但仍然存在诸多问题。具体表现为内部控制自我评价报告的名称、评价目标、评价范围、评价的依据、评价结论的描述、是否披露内部控制存在问题、自评报告的缺陷/不足的描述上千差万别。内部控制有无请注册会计师进行鉴证、鉴证范围、鉴证报告的名称、鉴证的依据、时间(时点还是时期)、鉴证结论的描述、意见表达方式、鉴证报告的用途也不尽相同。而造成这种现状的主要原因在于我国内部控制鉴证的监管部门众多,所颁布的相关制度规范并不能协调统一,也无专门针对商业银行的内部控制报告编制和内部控制鉴证的规定。在此基础上,结合2010年4月15日印发的《企业内部控制评价指引》和《企业内部控制审计指引》的相关规定,本文提出了一些专门针对上市商业银行的内部控制自我评价报告及其鉴证的改进建议。以期对上市商业银行内部控制自我评价报告及其鉴证提供实践的指导。