COSO风险管理框架下我国企业内部控制研究.pdf

首都经济贸易大学 硕士学位论文 coso风险管理框架下我国企业内部控制研究 姓名：穆阳 申请学位级别：硕士 专业：会计学 审计 指导教师：陈郡 20090515 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 - i - 摘要摘要 随着我国经济持续发展， 改革开放的不断深入， 来自国际市场的竞争越来越激烈。 为了增强我国企业在国际市场上的竞争力，在建立现代企业制度的基础上，必须加强 企业内部控制制度的建设，并向国际化标准靠拢。加强企业内部控制，是企业最基础 性的工作，也是企业能够持续生存和发展的保证。 本文首先对内部控制的经典理论 coso内部控制整体框架进行了介绍，并指 出了其存在的不足；接着对内部控制发展的最新框架企业风险管理框架作了详细 的解读，并分析了新框架与以往内部控制框架相比的突破和进步，相比之下新框架开 始注重整体风险控制，并把全面风险管理的方法引入内部控制之中；通过对中国航油 （新加坡）股份有限公司内部控制失败案例回顾和分析，总结了我国风险管理和内部 控制的问题及成因，并按照 coso企业风险管理-总体框架的要求，从若干个方面 提出了风险管理框架下我国企业内部控制的完善建议。 最后本文以中国网通集团公司 为实例，以内部控制新框架企业风险管理-总体框架为指导，结合新框架八大要 素介绍分析了该企业的内部控制体系。 该内部控制构建的实践案例对中国企业按照风 险管理框架实施内控工作有一定的指导意义， 同时对目前我国企业内部控制制度的建 立也有一定的借鉴意义。 关键词：关键词：内部控制 风险管理 企业风险管理总体框架 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 - ii - abstract with the sustained development of economy in china, the reforming and opening goes deep into, the competition coming from international market is more and more fierce. in order to strengthen the market competitive power of our country enterprise in the international, on the basis establishing a modern enterprise system, we must reinforce the construction of inside enterprise controlling system, and draws close to the international standard. strengthening the enterprise internal control is the enterprise most foundational work, is also the guarantee of the enterprises persistent existence and the development. this article first introduces the classical theory of internal control coso “the overall internal control framework“ and points out that the inadequacy of its existence. then provides a detailed interpretation and analysis on the latest developments of the internal control .it also points out the breakthroughs and progress comparing to the past. comparatively the new frame starts to pay great attention the overall risk control, and introduces the comprehensive risk management method into the internal control. by review and analysis the internal control defeat case of china aviation oil (singapore) corp., i summarized the question and the origin reason of our country risk management and the internal control. according to the request of coso , i give some suggestion from certain aspects on our country enterprise internal control. finally this article takes china netcom group as an example, takes the internal control new frame “business risk management - overall frame“ as the guidance, unified the new frame eight big factor analysis this enterprises internal control system. this practice case has certain guiding sense on the construction of enterprise inside controlling system. key words: key words: internal control risk management enterprise risk management frame 独 创 性 声 明 独 创 性 声 明 本人郑重声明： 今所呈交的 coso 风险管理框架下我国企业内部控 制研究论文是我个人在导师指导下进行的研究工作及取得的科研成 果。尽我所知，文中除了特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写的内容及科研成果，也不包含为获得首都经济贸 易大学或其它教育机构的学位或证书所使用过的材料。 作者签名 作者签名： 日期：日期： 年年 月月 日日 关于论文使用授权的说明 关于论文使用授权的说明 本人完全了解首都经济贸易大学有关保留、使用学位论文的有关规 定，即：学校有权保留送交论文的复印件，允许论文被查阅、借阅或网 络索引；学校可以公布论文的全部或部分内容，可以采取影印、缩印或 其它复制手段保存论文。 （保密的论文在解密后应遵守此规定） 作者签名： 作者签名： 导师签名： 导师签名： 日期： 日期： 年 年 月 月 日日 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 第 1 页 共 56 页 1 绪论 1.1 选题背景 1 绪论 1.1 选题背景 内部控制是为合理保证企业经营活动的效益性、 财务报告的可靠性和法律法规的 遵循性，而自行检查、制约和调整内部业务活动的自律系统。它是企业的自动预警系 统和维护系统，是确保企业稳健发展不可或缺的“稳定器” ，是强化企业内部各方面、 各环节相互制衡，增强抗风险能力，保证企业按照既定方向顺利实现最终目标的有效 工具。近年来中外发生的财务丑闻案件造成了极大的经济损失和深刻影响，美国布鲁 斯学会公布的一项研究报告也显示，仅安然公司和世界通信公司的造假丑闻就使 2002 年美国经济损失 370 亿至 420 亿美元。因此目前全球范围内的内部控制制度都 出现了由传统的内部牵制、会计控制，向以风险为导向的全面、全员、全过程的企业 风险管理发展的趋势。近年来，国内外大型企业也纷纷提出实行全面风险管理及内控 建设的理念，这是适应时代发展的必然要求，己经成为全球企业管理变革的大趋势。 我国有多家在美国上市的关系国计民生的大型国有企业，要面临萨班斯法案内控 评审是否顺利过关的严峻考验，企业内部的风险管理是否到位、内控制度是否得到有 效执行将直接影响中国企业在国际资本市场的良好形象和地位的提升。 2004 年，coso 委员会企业风险管理-总体框架正式发布，新框架把全面风险 管理观念引入内部控制，开创了内部控制的一个新纪元，国外企业也纷纷按照这个内 部控制新框架探索建立及完善自己公司的内部控制制度， 同样的也为我国内部控制研 究及建设提供了一个全新的思维。2008 年 6 月 28 日，财政部、证监会、审计署、银 监会、保监会联合发布了企业内部控制基本规范 （以下简称基本规范） 。基本规范 自 2009 年 7 月 1 日起先在上市公司范围内施行， 鼓励非上市的其他大中型企业执行。 此次基本规范的印发，标志着我国企业内部控制规范体系建设取得了重大突破。 因此，本文拟通过对 coso 风险管理框架下我国企业内部控制问题的深入探讨， 希望能够对建立有效的企业内部控制体系，促进企业经营发展的持续性和效益性，规 避短期行为和经营风险，进一步增强核心竞争力、提高投资回报等有所帮助。 1.2 研究意义 1.2.1 本题的理论意义 1.2 研究意义 1.2.1 本题的理论意义 企业内部控制是目前学术界和实务界讨论的一个热点问题， 它是社会经济发展到 一定阶段的产物，其内容随着企业对外满足社会需要，对内强化管理而不断丰富和发 展。内部控制是现代企业管理的重要手段，建立有效的企业内部控制制度是经济管理 工作的重要基础。经过对文献及一些公开资料的研读，笔者注意到，虽然国内也有学 者对内部控制进行了非常系统的研究，但是，相当一部分著作是从公司治理的角度来 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 第 2 页 共 56 页 研究内部控制问题，而不是从 erm 风险管理框架的角度进行研究。coso 委员会提出 的内部控制整体框架理论和 2004 年颁布的企业全面风险管理框架，代表了国际上关 于内部控制研究的最高水平，内部控制理论由三要素论发展为五要素论、八要素论是 个必然的趋势。因此，如何以最新的内部控制思想来考虑我国企业内部控制问题就显 得非常必要。我国正处在市场经济发展的转型阶段，各种法制规范还不完备，也缺乏 理论和实践经验，因此，与美国等发达国家相比，在涉及内部控制方面问题时，面临 的情况更加复杂。为了迅速赶上发达国家的经营管理水平，我们必须及时的了解和学 习国外的先进理论和经验，少走弯路，快速前进。当然，我们不能完全照抄照搬国外 的理论， 而必须结合中国的实际情况寻求一条能迅速提高我国企业内部控制水平的新 思路。 基于以上考虑，笔者借鉴 coso 委员会 2004 年提出的企业全面风险管理框架， 结合我国企业的风险特征和经营特点，着重探讨 coso 风险管理框架下我国企业内部 控制相关问题。通过本文的写作，笔者希望用风险管理理论提升现有内部控制体系， 提高内部控制体系构建理论的完整性。 1.2.2 本题的实践意义 1.2.2 本题的实践意义 2001 年美国安然、世界通信等公司的财务丑闻像一枚重磅炸弹再次引爆了许多 公司在公司治理和内部控制方面的重大隐患和缺陷， 从而再次引发了世界主要国家经 济界、管理界、法学界对公司治理和内部控制理论与实践的关注和重视。2002 年美 国国会通过了萨班斯奥克斯利法案 ，提出上市公司必须披露内部控制报告的强 制要求。2002 年 10 月，美国证券与交易委员会（简称 sec）发布了第 33-8138 号提 案，并于 2003 年 8 月发布最终规则，也提出，除了投资公司之外，上市公司必须在 年度报告中包括一份公司管理当局关于公司财务报告内部控制的报告。 2004 年 10月， 美国著名的 coso 委员会（committee of sponsoring organization of the tread-way commission）对沿用了将近 10 年的内部控制整体框架进行了很大的修改和扩 展，提出了企业风险管理整体框架 （enterprise risk management） 。这些法案和 理论的提出及发展使得内部控制理论和实践出现了很大的突破性进展， 对我国相关政 府部门、 企业界和理论界也产生了很大的影响， 我国第一个关于内部控制的专门规范， 即内部会计控制规范基本规范（试行） ，也正是在这样的背景下于 2001 年发布 的。2006 年 6 月，国资委出台了中央企业全面风险管理指引 ，要求中央企业可根 据自身实际情况贯彻执行，其他企业也可结合本企业实际情况借鉴实施c1。2008 年 6 月 28 日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控 制基本规范 （以下简称基本规范） 。基本规范自 2009 年 7 月 1 日起先在上市公司范 围内施行，鼓励非上市的其他大中型企业执行。执行基本规范的上市公司，应当对本 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 第 3 页 共 56 页 公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、 期货业务资格的中介机构对内部控制的有效性进行审计。此次基本规范的印发，标志 着企业内部控制规范体系建设取得重大突破。 然而近年来，我国企业界尤其是上市公司、证券公司连连发生造假帐、巨额财务 亏空等案件，仅 2004 年就接二连三发生了“内蒙古伊利股份高管被拘案” 、 “四川长 虹巨额货款被骗案” 、 “创维集团董事局主席在香港被拘留案” 、 “中航油新加坡公司巨 额亏损案”等大案。这些重大的财务丑闻不仅使得世人对中国企业的经营管理水平产 生了严重的质疑，而且导致了大量国有资产流失和投资者巨额亏损，严重损害了中国 企业的信誉。因此，在面临 wto 全面对外开放的要求下，中国企业要提高自身的国际 竞争力以及在国际资本市场的信誉度，减少财务丑闻的发生，必须加紧改善自身的管 理，建立完善的内部控制制度，识别和衡量企业所面临的内外部风险，并根据风险评 估结果开展恰当的控制活动，消除或减少企业风险带来的损失，提高企业的应对能力 和竞争力。 同时， 我国企业也迫切需要与世界经济发展相适应的内部控制理论的指导。 可见，从风险管理的角度研究企业内部控制既是一个重要的理论问题，也是一个迫切 的实践问题。 1.3 国内外研究现状 1.3.1 国内研究现状 1.3 国内外研究现状 1.3.1 国内研究现状 我国对内部控制的研究是随着审计事业的恢复而逐步发展起来的，早在 20 世纪 80 年代，学术界就开始了这一领域的探索和研究，并取得了一批研究成果。就研究 内容来说，国内对于内部控制的研究大致可以分为以下几类： (1) 内部控制的理论与发展研究 (1) 内部控制的理论与发展研究 我国的内部控制研究相对于国外起步较晚， 最初阶段主要是翻译和介绍国外的研 究， 并对我国的内部控制建设作一些指导性的建议。 其中比较有代表性的有以下成果： 吴水澎等（2000）系统的研究了 coso 的内部控制整体框架报告，重点介 绍了该报告的出台背景、具体内容及创新特点之后，提出了该报告对构建我国内部控 制框架的启发和借鉴意义。朱荣恩等（2003）从研究美国萨班斯奥克斯利法案 404 条款出发，对财务报告内部控制有效性评价做了相关的理解。金彧防等（2005） 研究了 coso 的企业风险管理整合框架 ，介绍了新的企业风险管理框架颁布的背 景及理论贡献。 (2) 内部控制基础理论研究 (2) 内部控制基础理论研究 关于组织、公司治理与内部控制。公司治理与内部控制的关系在近年来也逐渐成 为研究热点。一般认为：内部控制是公司治理结构的重要因素。但是对内部控制与公 司治理的具体关系，不同学者的认识有所差异。例如张俊民（2001） 、程新生（2004） 、 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 第 4 页 共 56 页 杨有红、胡燕（2004）等人的研究。一般认为组织、公司治理和内部控制的关系可以 描述如下图 1.1： 图 1.1 组织、公司和内部控制的关系 图 1.1 组织、公司和内部控制的关系 关于审计与内部控制。 学术界一般认为内部控制和审计是各自独立发展的两个范 畴，只不过审计在摆脱详细审计（账项基础审计）模式之后，内部控制才被纳入审计 之中，作为审计的对象和审计技术的基础。独立审计和内部审计既有联系又有区别， 二者与内部控制的关系也有所区别。曹伟、桂友泉（2002）认为内部审计在企业内部 天然的监督作用使其自然成为内部控制方式之一， 同时又是对内部控制执行情况的一 种监督形式，是对内部控制的控制。方红星（2002）认为内部控制和审计分别是影响 组织效率的内在因素和外在因素之一，二者的产生、演进和彼此之间的互动，都是追 求组织效率的必然结果。 有不少学者，运用现代经济学、管理学等学科的原理和方法，从新制度经济学、 博弈论、信息经济学和控制论等多角度研究内部控制，探讨了经济学、管理学对企业 内部控制理论的影响和借鉴作用。刘明辉、张宜霞（2002）在借鉴系统论和新制度经 济学有关理论的基础上，对内部控制的内涵、控制权的分配及优化、内部控制的外部 效应、内部控制与资本市场的关系等问题进行了深入的探讨。王海林（2006）用现代 控制理论的思想对价值链内部控制问题进行了深入研究。杨雄胜（2006）研究了内部 控制与组织权力制衡的机制的关系。 (3) 内部控制应用研究(3) 内部控制应用研究 运用调查研究的方法评估我国企业的内部控制实施情况， 提出完善我国企业内部 控制的建议。南京大学会计学系课题组（2001）作了有关中国企业货币资金内部控制 情况的调查报告。朱荣恩等（2004）采用问卷调查的方法，对八个内部会计控制方法 在我国企业实务中的应用效果进行了研究。陈关亭、张少华（2003）通过问卷调查和 分析论证，认为我国应当强制要求所有上市公司在年报中披露内部控制报告，并要求 注册会计师对该报告发表审核意见。张立民等（2003）以我国四家上市银行对内部控 制信息的披露作为分析框架，对 2001 年和 2002 年 a 股的 st 公司内部控制信息披露 作了统计分析。 通过研究典型案例，总结有关内部控制的经验和方法。吴水澎等（2000）运用 coso 报告的标准与评价方法，从控制环境、风险评估、控制活动、信息与沟通、监 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 第 5 页 共 56 页 督等五个方面对郑州亚细亚集团内部控制失败案例进行系统分析。武汉钢铁（集团） 公司（2004）较为详尽地介绍了武钢公司构建内部会计控制体系，充分发挥财务管理 作用的做法和经验。贡华章（2004）对中油集团财务管理的内控制度“一个全面、三 个集中”体系进行了总结，并对未来的内部控制框架提出了构想。 实证研究。实证研究的成果较少，主要原因在于数据取得的困难。张先治、张晓 东（2004）站在投资者需求的角度，采用实证分析方法探索我国内部控制理论与方法 的现状及发展。实证研究表明：投资者对上市公司内部控制有着较强的需求；投资者 对内部管理控制和内部会计控制需求呈现出层次性，重视投资者对内部控制的需求， 协调内部管理控制与内部会计控制， 建立以管理控制为主导的内部控制系统是我国内 部控制发展的方向。 内部控制特定领域的研究，例如内部控制的评价。刘亚莉、杨兴全（2004）分析 了财务报告内部控制与内部会计控制的差异， 指出财务报告内部控制评价是独立审计 理念的创新，是提高资本市场信息质量的重要举措。张谏忠、吴轶伦（2005）以中国 航油（新加坡）的暴仓事件为反面案例，对内部控制自我评价的理论背景和基本特征 进行介绍，并着重介绍了这一方法在上海宝钢国际经济贸易有限公司的实施。戴彦 （2006）借助典型案例的研究，探讨构建企业内部控制评价体系的程序和方法。 1.3.2 国外研究现状 1.3.2 国外研究现状 现代内部控制理论源于经济的发展，以美国为代表的发达国家在长期的实践中， 出于解决实际问题的需要，在职业界和行业协会等机构的共同努力下，对内部控制理 论的发展做出了巨大的贡献。 (1) coso内部控制一整体框架c2 (1) coso内部控制一整体框架c2 上个世纪 90 年代，受信息产业和高风险行业迅速发展的影响以及吸收了管理学 的新思想，加上会计舞弊的不断发生，一直对内部控制研究十分关注的美国会计行业 对它更是重视有加。1992 年，一个专门负责对经济监管部门进行建议性指导，协助 企业管理层处理内部控制问题的委员会coso （committee of sponsoring organizations）委员会提出了内部控制整体框架报告，1994 年进行了增补 1。该 报告指出，内部控制是由企业董事会、经理阶层和其他员工实施的，为了营运的效率 效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。 其构成要素应该来源于管理阶层经营企业的方式，并与管理的过程相结合 2。具体包 括：控制环境（control environment） 、风险评估（risk appraisal） 、控制活动（control activity） 、信息和沟通（information and communication）和监督（monitoring）五个方 1 committee of sponsoring organizations of the treadway commission （coso）, internal control-integrated framework, 1992 2 committee of sponsoring organizations of the treadway commission （coso）, addendum to reporting to external parties internal control-integrated framework,1994 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 第 6 页 共 56 页 面的内容。 1996 年美国注册会计师协会发布 审计准则公告第 78 号 ， 全面接受 coso 报告的内容，并将内部控制定义为：由一个企业的董事长，管理层和其他人员实现的 过程，旨在为下列目标提供合理的保障： （1）财务报告的可靠性； （2）经营的效果和 效率； （3）符合适用的法律和法规。 (2) (2) coco控制指导纲要 控制指导纲要 加拿大注册会计师公会所属的控制标准委员会（the criteria of control board 简 称 coco 委员会）于 1995 年发行控制指导纲要 （guidance on control） ，提出了一 个更精简的内部控制基本框架 3。coco 报告对内部控制给出了更为精要的定义： “控 制是由该等组织元素所组成（包括组织资源、系统、过程、文化、结构与作业） ，而 将这些资源结合在一起以支援组织成员达成组织的目标。 这些目标可能归入以下所述 的一种或同时归属于多种的目标：营运的效果与效率、内部与外部报告的可信程度、 遵行相关法规以及内部政策方法。 ”与 coso 报告相比，coco 报告提出的框架更具动 态管理阶层导向。 (3) 巴塞尔银行监管委员会有效监管的核心原则 (3) 巴塞尔银行监管委员会有效监管的核心原则 20 世纪 90 年代，金融全球化已经成为经济全球化进一步发展的核心内容和基本 要求。金融全球化的发展使各国的经济联系紧密、相互促进，但正是由于这种依存关 系，金融危机具有高度连锁效应。同时，金融创新使得企业在资本市场面临更大的风 险。正是由于金融机构的风险控制问题最为突出，自 1975 年巴塞尔银行监管委员成 立以来，该委员会一直致力于风险的防范和维护国际银行体系稳健运行。1997 年巴 塞尔银行监管委员会推出的银行有效监管的核心原则 ，强调了内部控制对于降低 风险的重要作用，要求银行进行全方位、多层次的风险监控。在内部控制定义中进一 步强调董事会和高级管理层对内部控制的影响： 组织中的所有各级人员都必须参加内 部控制过程，对内部控制产生影响。巴塞尔委员会把内部控制的目标分解为操作性目 标、信息性目标和合规性目标 4。操作性目标不只针对经营活动，而且包括其他各种 活动；在信息性目标中还把管理信息包括了进来，明确要求实现财务和管理信息的可 靠性、完整性和及时性。 同时，巴塞尔委员会还丰富了 coso 报告的五大要素，其中：在控制环境中强 调了管理层的督促和控制文化；在风险评估方面将风险的识别和风险的评估并举；在 控制活动方面又突出了职责分离的重要性； 该委员会特别对信息与沟通作了更多的解 释；除了监督评审活动之外，还把缺陷的纠正这种被 coso 认为并非内部控制的活 动也归纳为内部控制活动。巴塞尔委员会还在上述内部控制的五大组成部分之外，增 加了监管当局对内部控制的检查和评价，把它作为内部控制另一不可忽视的内容。 3 criteria of control （coco ） board of the canadian institute of chartered accountants, guidance on control , canadian institute of chartered accountants, 1995 4 basle committee on banking supervision. core principles for effective banking supervision, baste, 1997 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 第 7 页 共 56 页 (4) (4) coso企业风险管理总体框架 企业风险管理总体框架 自 1992 年 coso 委员会发布内部控制框架以来，该内部控制框架已经被世 界上许多企业所采用，但面对经济全球化的加速到来，企业所面临的机遇与风险到了 前所未有的高度， 理论界和实务界纷纷提出应该将内部控制框架的建立与企业的风险 管理相结合。2004 年 coso 委员会在原有的内部控制框架基础上，结合萨班斯 一奥克斯法案 （sarbanes-oxley act）推出了企业风险管理总体框架 。新框架 认为企业风险管理是一个过程， 是由企业的董事会、 管理层以及其他人员共同实施的， 应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并 按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。企业风险管理分 为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、 监控等八个相互关联的要素，各要素贯穿在企业的管理活动中。 1.4 研究思路和方法 1.4 研究思路和方法 本文首先从研究 coso 委员会提出的企业内部控制整合框架 、 企业风险 管理总体框架入手，并对我国内部控制理论与 coso 报告的差异作了比较研究。 在此基础上结合我国企业的风险特征和经营特点，着重探讨 coso 风险管理框架下我 国企业内部控制的相关问题。通过本文的写作，笔者希望用风险管理理论提升现有内 部控制体系，提高内部控制体系构建理论的完整性。 本文的主要研究方法是：规范性研究与实证性分析相结合。首先，大量收集文献 资料，及时、全面掌握国内外最新的研究动态，寻找国外先进思想与我国相对落后的 基础的结合点。其次，理论与实践研究相结合。本文着重进行理论研究，力图在理论 上有所突破。同时在理论研究的基础上，把理论应用于实践，进行了应用研究。 1.5 研究内容和框架 1.5 研究内容和框架 本文在内容上共包括五大部分： 第一部分为绪论。主要包括 coso 风险管理框架下企业内部控制研究的背景、研 究意义、国内外研究现状回顾、研究思路与方法、研究内容和结构。 第二部分为风险管理框架下企业内部控制构建的理论基础。 本章为论文研究提供 理论背景，是全篇的理论基础。首先，阐释了 coso内部控制总体框架的主 要内容，以及该框架的缺点和不足等；其次，又着重分析了 coso企业风险管理-总 体框架的含义，并且重点介绍了 coso企业风险管理框架的主要因素；最后分 析内部控制框架与风险管理框架两者间的联系与区别，着重分析 coso企业风险管 理框架对内部控制体系发展的影响。 第三部分为风险管理框架下我国企业内部控制的问题、成因及完善建议。首先， 总结了我国风险管理和内部控制的现状及突出问题， 找出我国企业内部控制存在的不 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 第 8 页 共 56 页 足；其次，针对我国内部控制的存在的薄弱现状进行了原因分析；最后结合对中航油 内部控制失败案例的分析，按照 coso企业风险管理-总体框架的要求，从若干个 方面提出了风险管理框架下我国企业内部控制的完善建议。 第四部分为风险管理框架下企业内部控制的实践探索以中国网络通信集团 公司为例。本章是对风险管理框架下企业内部控制应用问题的探讨，以中国网通集团 公司在风险管理框架下如何构建内部控制体系为例，从电信运营业的经济特征出发， 探讨电信运营企业内部控制所具有的特点，并通过分析企业内部控制的现状，找出我 国电信运营企业内部控制存在的不足；最后按照 coso企业风险管理-总体框架确 定的与财务报告相关内部控制流程， 对中国网通集团公司与财务报告相关的内部控制 体系进行了详细的论述。首先介绍了内部控制体系的基本原则和思路，然后从控制环 境、目标设定、风险评估、控制活动、信息与沟通以及监控六要素对应有的内部控制 进行了说明，并详细说明了与控制活动相关的主要业务流程应该有的内部控制措施。 第五部分为结论。 本部分主要总结上述分析对我国企业在风险管理框架下构建内 部控制体系的启示， 以及对我国企业按照风险管理框架构建内部控制时需要提出的一 些建议。 本文的研究框架如图 1.2 所示，见次页。 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 第 9 页 共 56 页 图 1.2 论文研究框架图 图 1.2 论文研究框架图 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 第 10 页 共 56 页 2 风险管理框架下企业内部控制构建的理论 基础 2.1 内部控制理论经典coso内部控制整体框架 2.1.1 coso 内部控制框架的基本内容 2 风险管理框架下企业内部控制构建的理论 基础 2.1 内部控制理论经典coso内部控制整体框架 2.1.1 coso 内部控制框架的基本内容 美国 coso 在 1992 年发布了报告“内部控制整体框架” ，即“coso 报告” 。 1994 年，coso 又对“内部控制一一整体框架”进行了增补，并将内部控制定义为： “由一个企业的董事长、管理层和其他人员实现的过程，旨在为下列目标提供合理保 证： （1）财务报告的可靠性； （2）经营的效果和效率； （3）符合适用的法律和法规” 。 coso 将内部控制划分为五种要素，它们分别是控制环境、风险评估、控制活动、信 息与沟通、监控。 coso 框架提出五个相互关联的组成要素，即：控制环境、风险评估、控制活动、 信息与沟通、监督。每个要素都包括三个目标：财务报告的可靠性、经营的效率和效 果及法律法规的遵循。 公司不同的业务单位 （比如各下属公司） 及不同的业务活动 （按 业务活动性质分类，比如工程施工）都将涉及到这五大要素和三大目标。根据公司的 规模和结构，公司可采用不同方式来实施这些组成要素，内部控制要素及其关系如下 图（图 2.1）所示： 图 2.1 内部控制要素及其关系 图 2.1 内部控制要素及其关系 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 第 11 页 共 56 页 (1) 控制环境 (1) 控制环境 控制环境包括最高管理层的道德观念、能力、管理哲学、经营风格和董事会的关 注、指导。其特征是先明确定义机构的目标和政策，再以战略计划和预算过程进行支 持；然后，清晰定义利于划分职责和汇报路径的组织结构，确立基于合理风险评估的 风险接受政策；最后，向员工澄清有效控制和审计体系的必要性以及执行控制要求的 重要性。 控制环境包括以下要素： 诚信和道德价值观； 致力于提高员工工作能力及 促进员工职业发展的承诺； 管理层的理念和经营风格； 组织结构、权限及职责 的分配； 人力资源政策及程序； 监管部门的（即董事会、审计委员会）的参与。 控制环境是内部控制体系整体框架的基础，是有效实施内部控制的保障，直接影 响到企业内部控制的贯彻执行力、企业经营目标及整体战略目标的实现。控制环境确 定了公司的总体态度。 (2) 风险评估 (2) 风险评估 风险评估是识别及分析影响公司目标实现的风险的过程，是风险管理的基础。管 理层必须就风险管理制定一个标准。 由于经济、 行业、 监管环境和运营状况不断变化， 管理层必须采用必要的机制使之能对导致发生上述变化的特殊风险进行识别和处理。 在风险评估中， 应识别和分析对实现目标具有阻碍作用的风险， 明确在重要会计科目、 披露事项和相关财务报表认定中产生重大错报的风险。 (3) 控制活动 (3) 控制活动 控制活动是确保管理层的指令得到贯彻执行的必要措施， 存在于整个机构内所有 级别和职能部门，包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职 责分工等活动，分为预防性控制、检查性控制、人工控制、计算机控制和管理层控制 等类型。 建立经营活动分析评价制度，开展日常经营活动分析和生产经营分析评价。 控制现状描述与分析：紧紧围绕重要业务流程进行风险控制分析，编制重要 业务流程风险控制分析文档，并与控制文档相对应，查找制度缺失和差异。 建立关键控制：确定重要业务流程关键控制，建立规范的关键控制管理文件， 通过培训推广应用，下属公司按照母公司下发的关键控制管理文件，分析各自的控制 差异和控制缺陷，进行补充和完善。 期末财务报告流程：建立期末财务报告流程，完善期财务报告相关制度。 建立控制活动制度体系：汇编控制活动相关制度及标准，制定控制活动管理 制度。 控制活动有助于确保管理层的指令得到贯彻执行以及针对风险的必要措施得到 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 第 12 页 共 56 页 实施，从而使公司实现其目标。 (4) 信息与沟通 (4) 信息与沟通 信息与沟通是指与企业经营管理相关的内部信息及外部信息在企业内部及公司 内外之间的交流与沟通。企业的内外信息是否全面、准确、及时，沟通与交流是否充 分， 直接影响到企业经营的效益与效果， 财务报告的可靠性及法律法规的遵循。 因而， 企业经营管理相关信息的选择与沟通必须在一定时间内进行， 并使得员工能够各负其 责。公司应在广泛的范围内进行有效的沟通，包括自上而下的、自下而上的及与外部 各方的。 员工必须理解他们在内控体系中的职责以及他们自身活动与其他人工作之间 互动关系，员工必须拥有向公司高层报告重要信息的途径。 (5) 监督 (5) 监督 监督是指对经营管理活动的审查和复核及对内部控制体系有效性进行评估的过 程。监督活动包括：实物盘点、往来对账、财务审计、专项审计、内控评估等。监督 需要通过日常监督及内控评价或两者共同来完成， 范围及频率主要视风险评价的需要 而定。 内部控制系统持续性监督的有效性程度越高，对单独评估的需要程度就越低。管 理层为了合理地确认内部控制系统的有效性所必须进行的单独评估的频率， 取决于管 理层的判断。在做出该决定时管理层主要考虑以下因素：变化发生的性质和程度以及 与变化相关的风险； 实施内部控制的人员的能力和经验以及持续性监督的结果。 通常， 持续性监督和独立评估某种程度上的合并使用， 将会保证内部控制系统随着时间的变 化而保持其有效性。 2.1.2 coso 内部控制框架的作用与局限 2.1.2 coso 内部控制框架的作用与局限 任何事物都不是尽善尽美的，内部控制也一样，它存在着固有的、不可避免的局 限，主要表现在以下五个方面： (1) 受成本效益原则的约束 (1) 受成本效益原则的约束 内部控制的环节越多，设置的岗位就会增加，需要配备的人员就越多，内部控制 的成本必然就更高。但是，控制过于简单又不能收到应有的效果，经营管理过程中出 现漏洞、发性舞弊的可能性会增大，会给企业带来较大的损失。因此，要设计内部控 制时企业必然会比较控制的相关成本和效益。 (2) 受人为错误的影响 (2) 受人为错误的影响 内部控制是由人来执行的， 执行人员的实际操作水平直接关系到内部控制的作用 能否有效发挥。我们不能期望这些执行人员在行使控制职能时始终准确无误。在人为 因素的影响下，即使是设计完美的内部控制也可能失效。 (3) 受管理越权的限制 (3) 受管理越权的限制 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 第 13 页 共 56 页 任何控制程序都不能防止负责监督控制的管理人员滥用职权或不当地行使权力。 特别是高层管理人员，他们处于企业的核心管理层和决策层，如果他们滥用职权必然 会导致此程序失效。 许多重大舞弊和财务信息失真案件就是由于高层管理人员的越权 干预而发生的。 (4) 受制度滞后的限制 (4) 受制度滞后的限制 内部控制一般都是针对常规事项来设置的，具有相对的稳定性，因此可能会对不 经常发生的或未能预料的例外事项不具有控制力。企业处在经常变化的环境之中，为 了生存和发展势必要不断的调整经营战略， 或进行并购， 或增加新产品， 或增设分部、 生产线等等，这就可能导致原有控制程序对新增的经济业务失去作用。外部环境发生 变化，企业的控制没有及时进行相应变化也会导致同样问题。 (5) 受串通舞弊的限制 (5) 受串通舞弊的限制 不相容职务分离是内部控制的一条重要原则，它可以避免一个人单独从事和隐瞒 不合规的行为，但两个或两个以上的人员或部门合伙就可以避开此类控制，如出纳与 会计串谋、财产保管人员与财产核对人员合伙造假、审计部门与会计部门联合舞弊等 等。 2.2 内部控制理论新发展coso企业风险管理-总体框架 2.2.1 coso企业风险管理-总体框架的含义 2.2 内部控制理论新发展coso企业风险管理-总体框架 2.2.1 coso企业风险管理-总体框架的含义 1992 年，coso 委员会颁布了内部控制整体框架报告。该内部控制框架受 到了世界理论界与实务界的广泛关注，被世界上许多企业所采纳，也被国内有关内部 控制的权威规定所借鉴。 但是另一方面理论界与实务界也提出了内部控制整体框架的 局限和不足，主要认为对企业整体战略上和风险管理方面关注的不够。应这些方面的 局限和不足，coso 委员会从 2001 年起开始进行企业风险管理框架的研究，于 2003 年 7 月完成了企业风险管理-总体框架 （草案） （以下简称新框架） ，在公开向业界 征求意见后，于 2004 年 9 月正式发布。新的企业风险管理框架就是在 1992 年的研究 成果内部控制框架报告的基础上，吸收风险管理的研究成果，结合萨班斯 奥克斯法案 （sarbanes-oxley act）在报告方面的要求，进行扩展研究得到的。 企业风险管理总体框架是一个由企业的董事会、管理层和其他员工共同参与的， 应用于企业战略制定和企业内部各个层次和部门的， 用于识别可能对企业造成潜在影 响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过 程。这是一个广义的风险管理定义，适用于各种类型的组织、行业和部门。该定义直 接关注企业目标的实现， 并且为衡量企业风险管理的有效性提供了基础。 该定义强调： (1) 企业的风险管理是一个过程，其本身并不是一个结果，而是实现结果的一种 方式。企业的风险管理是渗透于企业各项活动中的一系列行动。这些行动普遍存在于 首都经济贸易大学硕士学位论文 coso 风险管理框架下我国企业内部控制研究 第 14 页 共 56 页 管理者对企业的日常管理中，是企业日常管理所固有的。 (2) 企业风险管理是一个由人参与的过程，涉及一个企业各个层次员工。 (3) 该过程可用于企业的战略制定。企业的战略目标是企业最高层次的目标，它 与企业的预期和任务相联系并支持预期和任务的实现。 一个企业为实现其战略目标而 制定战略，并将战略分解成相应的子目标，再将子目标层层分解到业务部门、行政部 门和各生产过程。在制定战略时，管理者应考虑与不同的战略相关联的风险。 (4) 该风险管理过程应用于企业内部每个层次和部门， 企业管理者对企业所面临 的风险应有一个总体层面上的风险组合观。一个企业必须从全局、从总体层面上考虑 企业的各项活动。企业的风险管理应考虑组织内所有层面的活动，从企业总体的活动 （如战略计划和资源分配）到业务部门的活动（如市场部、人力资源部） ，再到业务 流程（如生产过程和新客户信用复核） 。 (5) 该过程是用来识别可能对企业造成潜在影响的事项并在企业风险偏好的范 围内管理风险。 (6) 设计合理、 运行有效的风险管理能够向企业的管理者和董事会在企业各目标 的实现上提供合理的保证。 (7) 企业风险管理总体框架针对一类或几类相互独立但又存在重叠的目标， 目的 在于企业目标的实现。 总之，企业风险管理是一个过程，企业风险管理的有效性是某一时点的一个状态 或条件。 决定一个企业的风险管理是否有效是基于对风险管理要素设计和