（企业管理专业论文）COSO新报告下企业内部控制研究.pdf

摘要 随着我国经济持续发展，改革开放的不断深入，来自国际市场的竞争越来越 激烈。为了增强我国企业在国际市场上的竞争力，在建立现代企业制度的基础上， 必须加强企业内部控制制度的建设，并向国际化标准靠拢。加强企业内部控制， 是企业最基础性的工作，也是企业能够持续生存和发展的保证。 本文首先对内部控制的发展历程作了回顾，接着对内部控制发展的最新框架 企业风险管理总体框架作了解读介绍，并分析了新框架与以往内部控制框架 相比的突破和进步，新框架开始注重整体风险控制，并把全面风险管理的方法引 入内部控制之中；通过对天津市企业内部控制制度建设及执行现状进行问卷调 查，并结合国外内部控制发展状况，总结出我国内部控制制度建设与执行存在的 问题。结合新框架八要素分析了大风纺织工业( 天津) 有限公司内部控制制度存 在的问题，从公司治理机制、内部控制信息披露机制，内部控制监管机制等方面 本文给出了完善内部控制制度建立及执行的对策，最后本文以大风纺织工业( 天 津) 有限公司为实例，以内部控制新框架企业风险管理综合框架为指导，结 合新框架八大要素制定出了大风公司内部控制制度体系。此内部控制体系对大风 公司实际管理工作有一定的指导意义，同时对目前我国企业内部控制制度建立也 有一定的借鉴意义 关键词：内部控制；风险管理；公司治理；监管；问责制 a b s t r a c t a so u rc o u n t r ye c o n o m yd e v e l o p sc o n t i n u a l l y , r e f o r ma n do p e np o l i c y u n c e a s i n g l yt h o r o n 曲，c o m p e t i t i o nc o m e sf r o mt h ei n t e r n a t i o n a lm a r k e tb e c a m em o r e a n dm o r ei n t e n s e i no r d e rt os t r e n g l h e no u re n t e r p r i s ei nt h ei n t e r n a t i o n a l c o m p e t i t i v em a r k e t ，n o to n l ys h o u l dw ee s t a b l i s hm o d e me n t e r p r i s es y s t e mw e s h o u l da l s os t r e n g t h e nt h ec o n s t r u c t i o no fe n t e r p r i s ei n t e r n a lc o n t r o ls y s t e m ，a n d c l o s e su pt ot h ei n t e r n a t i o n a l i z a t i o ns t a n d a r d s t r e n g t h e n st h ee n t e r p r i s ei n t e r n a l c o n t r o l ，i st h em o s tf o u n d a t i o n a lw o r ko ft h ee n t e r p r i s e ，a l s oi st h eg u a r a n t e ew h i c h t h ee n t e r p r i s ec a l ls u r v i v ea n dd e v e l o p t h i sa r t i c l ef i r s tm a d et h er e v i e wt ot h ed e v e l o p m e n tc o r r s eo fi n t e r n a lc o n t r o l ， t h e nm a d et h ee x p l a n a t i o na n di n t r o d u c t i o nt ot h ei n t e m a ic o n t r o ln e w e s tf r a m e ”e n t e r p r i s ei u s km a n a g e m e n ti n t e g r a t e df r a m e ”t h ef l e wf r a m es t a r t s t op a yg r e a t a t t e n t i o nt ot h eo v e r a l lr i s kc o n t r o l ；v i at h eq u e s t i o n n a i r es u r v e yt ot h ec o n s t r u c t sa n d c a r r i e so ft h et i a n j i ne n t e r p r i s ei n t e m a lc o n t r o ls y s t e m ，a n dc o m b i n e dt h eo v e r s e a s i n t e r n a lc o n t r o ld e v e l o p m e n tc o n d i t i o n ，s u m m a r i z e sq u e s t i o ni no u rc o u n t r yi n t e r n a l c o n t r o ls y s t e mc o n s t r u c t i o na n dt h ee x e c u t i o n w i t ht h en e wf r a m ee i g h tf a c t o rw ea n a l y s i st h ei n t e r n a lc o n t r o ls y s t e mq u e s t i o n e x i s t si nd a f a nt e x t i l ei n d u s t r y ( t i a n j i n ) c o ，i t d w i t ht h em e c h a n i s mc o m p a n y g o v e r n i n ga n d o nw eg a v et h ec o u n t e r m e a s u r e t ot h ee s t a b l i s h m e n ta n dt h e e x e c u t i o no fi n t e r n a lc o n t r o ls y s t e m ， f i n a l l yt o o kt h ed a f a nt e x t i l ei n d u s t r y ( t i a n j i n ) c o ，l t da sa ne x a m p l e ，w i t ht h e i n s t r u c t i o no fi n t e m a lc o n t r o ln e wf l a m e ”e n t e r p r i s er i s km a n a g e m e n ti n t e g r a t e d f r a m e ”，c o m b i n e dt h ef l e wf r a m ee i 【g h te s s e n t i a lf a c t o r st od r a wt h ed a f a nc o m p a n y s i n t e r n a lc o n t r o li n s t i t u t i o n a lf r a m e w o r k t h i si n t e m a lc o n t r o ls y s t e mc a nm a k ea st h e g u i d et ot h ed a f a nc o m p a n ya c t u a lm a n a g ew o r k , s i m u l t a n e o u s l ya l s oc a n u s et o r e f e r e n c e 笛t h ee s t a b l i s h m e n tm o d e lo fo u rc o u n t r ye n t e r p r i s ei n t e r n a lc o n t r o l s y s t e me s t a b l i s h m e n tp r e s e n t l y k e y w o r d s ：i n t e r n a lc o n t r o l ，r i s km a n a g e m e n t ，c o m p a n yg o v e r n i n g ，s u p e r v i s e ， m e c h a n i s mo fr e s p o n s i b i l i t y 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得云洼王些太堂或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示了谢意。 学位论文作者签名：签字f 1 期：“2 月日 学位论文版权使用授权书 本学位论文作者完全了解丞洼王些盍堂有关保留、使用学位论文的规定。 特授权云洼王些太堂可以将学位论文的全部或部分内容编入有关数据库进行 检索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学 校向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名橱 签字日期：御年力月开 跏虢砖雄 签字f 1 期：2 一年工月日 学位论文的主要创新点 一、引入风险管理理念，用c o s o 内部控制最新框架企业风险管 理综合框架来研究内部控制，探讨新框架下我国企业内部控制制度 的建立。 二、本文以大风纺织工业( 天津) 有限公司为事例，以c o s o 新报 告框架分析了大风纺织内部控制存在问题，并以c o s o 新报告框架 为依据建立大风纺织的内部控制体系，从而推广c o s o 新报告框架 下我国企业内部控制制度的建立。 引言 引言 企业内部控制是目前学术界和实务界讨论的一个热点问题，特别是在中国迅 速融入全球经济，急速建立和完善现代企业制度的背景下。企业经营环境的变化、 管理理论的不断发展以及近年来因内部控制失效而发生的恶性财务舞弊，都要求 企业的内部控制完善和发展。构造有效运作的企业内部控制制度，确保会计信息 的质量，对于完善公司治理结构和信息披露制度，保护投资者的合法权益，并保 证资本市场的有效运行都有着非常重要的意义。 近年来中外发生的财务丑闻案例造成了极大的经济损失和深刻影响，根据美 国会计总署的估算，1 9 9 5 年舞弊和欺诈案例造成仅在医疗支出方面的耗费就高 达1 0 0 0 亿美元。美国布鲁斯学会公布的一项研究报告也显示，仅安然公司和世 界通信公司的造假丑闻就使2 0 0 2 年美国经济损失3 7 0 亿至4 2 0 亿美元。我国的 舞弊和信息失真状况也不容忽视。这几年下来国家颁发了一系列关于内部控制的 法律法规，内部会计控制已经开始受到我国会计界、审计界和企业监管部门的高 度重视，新修订的会计法规定各单位必须建立健全内部会计控制制度。按照会计 法的规定和中央关于完善社会主义市场经济体制的要求，近年来，财政部致力于 内部会计控制建设，先后发布了“内部会计控制规范基本规范( 试行) ”( 2 0 0 1 ) 和货币资金( 2 0 0 1 ) 、采购与付款( 2 0 0 2 ) ，销售与收款( 2 0 0 2 ) 、工程项目( 2 0 0 3 ) 、 对外投资( 2 0 0 4 ) 、担保( 2 0 0 4 ) 等6 项具体控制规范；同时印发了固定资产、 存货、筹资、成本费用、预算等控制规范( 征求意见稿) ，为在这一两年内建立 既符合我国国情又与国际惯铡相协调的内部会计控制规范体系，在财政部的弓 导、推动下，一些部门、单位根据内部会计控制的基本规定，结合自身的经营特 点和管理要求，相继制定、完善本部门单位的内部控制制度。资本市场发展催生 内部控制评价报告制度、建立稳固强大的国家财政、完善单位治理结构、建立惩 治和预防腐败体系等也对强化内部控制提出了新挑战、新要求，切实加快推进内 部控制制度的建立已是大势所趋，潮流所向，对于内部会计控制完整体系的建设， 要求我们理论界给予理论支持，在思想、观念和技术上给予引导。 2 0 0 4 年。c 0 5 0 委员会企业风险管理综合框架正式发布，新框架把全 面风险管理观念引入内部控制，开创了内部控制的一个新纪元，国外企业也纷纷 按照这个内部控制新框架探索建立及完善自己公司的内部控制制度。同样的也为 我国内部控制研究及建设提供了一个全新的思维。 第一章内部控制理论发展综述 第一章内部控制理论发展综述 1 1 内部控制理论发展历程 内部控制( i n t e r n a lc o n t r 0 1 ) 一词，最早出现在1 9 3 6 年美国会计师协会( 美 国注册会计师协会的前身) 发布的注册会计师对财务报表的审查文告中，指 为保护现金和其他资产，检查簿计事务的准确性，而在公司内部实行的控制手段 和方法。近几十年来，随着内部控制的不断发展，不仅在美国，而且在其他国家 和组织，其概念的内涵和外延也都发生了较大的变化，内部控制具有其科学的定 义和丰富的内容，只有深刻理解内部控制的内涵才能明确如何强化内部控制。纵 观历史上对内部控制的理论研究大致分为五个阶段： 1 内部牵制阶段 内部控制这个概念最早于1 9 0 5 年l r d i c k s e e 提出。他认为内部牵制由 三个要素构成：职责分工、会计记录、人员轮换。当时的内部牵制基于以下两个 基本设想：( 1 ) 两个或两个以上的人或部门无意识的犯同样错误的机会是很小的； ( 2 ) 两个或两个以上的人或部门有意识的合伙舞弊的可能性大大低于单独一个 人或部门舞弊的可能性。实践证明这些设想是合理的，内部牵制机制却是有效的 减少了错误和舞弊行为，因此在现代内部控制理论中，内部牵制仍占重要的地位， 成为有关组织机构控制、职务分离控制的基础。 2 内部控制阶段 1 9 4 9 年，美国会计师协会的审计程序委员会在内部控制，一种协调制度 要素及其对管理当局和独立注册会计师的重要性的报告中，对内部控制首次作 了权威性的定义：“内部控制包括组织结构的设计和企业内部采取的所有相互协 调的方法和措施。这些方法和措施都用于保护企业的财产、检查会计信息的准确 性，提高经营效率、推动企业坚持执行既定的管理政策。”1 9 5 8 年1 0 月该委员 会发布的 审计程序公告第2 9 号中将内部控制划分为管理控制和会计控制。 3 内部控制结构阶段 1 9 8 8 年美国注册会计师协会发布审计准则公告第5 5 号中提出了“内部 控制结构”是为了对实现特定的公司目标提供合理保证而建立的一系列政策和程 序构成的有机总体，包括控制环境、会计系统及控制程序三个部分。 4 一体化控制阶段 八十年代以来，虚假财务报表时有发生。为此，美国成立了“反虚假财务 第一章内部控制理论发展综述 报告委员会”，下设专门致力于内部控制研究的“发起组织委员会”，简称c o s o 。 c o s o 于1 9 9 2 年提出了题为“内部控制一整体框架”的研究报告，这就是著名的 c o s o 报告。审计准则委员会于1 9 9 5 年发布了审计准则公告第7 8 号，全面 接受了c o s o 报告的观点新准则将内部控制定义为：“由一个企业的董事长、 管理层和其他人员实现的过程，旨在为下列三大目标提供合理的保证：经营的效 果和效率( 操作性目标) ；财务报告的可靠性( 信息性目标) ；符合使用的法律法 规( 遵从性目标) 。这三大目标能满足不同的需要，又相互交叉，是一种“全部 控制论”的概念，它较前两种定义也更加全面。在c o s o 报告中，认为内部控 制涵盖了企业内部五大组成部分( 五要素) 的丰富内容：控制环境、风险评估、 控制活动、信息与交流和监督评审。这五大组成部分与前述三大部分有机的相结 合，构成了内部控制的完整体系。 5 风险管理时代 2 0 0 3 年8 月，c o s o 委员会又发布了企业风险管理综合框架征求意见 稿，在内部控制基础上提出了风险管理的框架，由此将内部控制的5 个要素扩充 为基于风险管理的8 个要素，将内部控制的三目标演进为四目标，体现出了全面 风险管理的精髓，将内控为风险管理服务的理念发挥得淋漓尽致。2 0 0 4 年9 月， c o s o 委员会正式发布了企业风险管理综合框架终稿，这是内部控制发展到 风险管理层面的一个里程碑。 1 2 国内外内部控制研究现状 进入2 0 世纪以来，内部控制在国际上发展迅速，从理论到实务内容不断丰 富。其发展先后经历了内部牵制、内部控制制度、内部控制结构和内部控制整体 框架四个阶段后，c o s o 委员会于2 0 0 4 年9 月2 9 日又正式发布了“企业风险管 理综合框架”，并提出将以此取代内部控制综合框架，何时取代时问虽然没定， 但趋势既定，这将是内部控制第五阶段的开始，围绕着这一趋势，国内外又开始 了研究内部控制风险管理这一领域，但目前从这方面研究的学者并不多，陈汉文、 李若山等对于c o s o 发布的这一新框架进行了介绍国内对这新框架只是简单 的引进介绍和提出借鉴，在我国内部控制制度建设上并没有结合这个新框架进行 研究。在对内部控制概念的研究上，国外学者及协会提出程序( 方法) 论、制度 论，组织( 协调) 论、系统论、过程论，我国学术理论界则提出笼统的综合论。 经整理国内外这几年来重要刊物的代表文献，周勤业、朱荣恩等从美国 。2 0 0 2 萨班斯一奥克斯利法案”( 以下简称萨班斯法案) 以及s e c 出台的有关规则出发， 研究关于内部控制信息披露的问题，并对我国内部控制信息披露提出建议；杨有 第一章内部控制理论发展综述 红、李连华、程新生等把公司治理和内部控制结合起来，在公司治理的范畴下研 究内部控制，以期实现它们的对接；刘静、李竹梅等对实施内部控制的环境进行 了探讨：林钟高、韩传模等提出公司财务丑闻，会计信息质量失真和内部控制不 力有关，并对建立内部控制制度，内部控制和监管之间关系进行了研究；朱荣恩、 应唯等对我国企业内部会计控制应用效果进行了调查研究；黄京菁，严若森等对 实施内部控制的成本，及实腌内部控制须遵循成本效益原刚进行了研究；张砚等 从组织演化的角度探讨了内部控制的历史沿革，提出内部控制的发展与组织的发 展是密不可分的；对于内部控制如何有效实施，陈志斌等从制度经济学的角度提 出了设计内部控制制度时将闯责制的思想和具体措施贯彻其中；曹惠民、柴庆孚 等对在网络环境下的内部会计控制制度进行了探讨；朱荣恩、陈汉文、田细菊等 对我国与国际内部会计控制制度的差异和如何接轨问题进行了研究；贡华章等学 者专门对某个公司内部控制的建立实施情况作了研究探讨；还有张俊民、何燎原、 吴清华、骆伟等对内部控制的目标、目标构造、分层设计、框架、主体定位及评 估进行研究。 纵观国内研究现状我们可以看出：政府部门对内部控制的研究、对内部控制 法律法规的发布仅停留在内部会计控制上：理论界学者大都还是停留在1 9 9 2 年 旧的内部控制框架下研究内部控制；实务界对内部控制研究的很少，缺少他们在 内部控制一线实践中的经验总结。 第二章内部控制新框架企业风险管理综合框架 第二章内部控制全新框架企业风险管理综合框架 2 1 企业风险管理综合框架的解读 1 9 9 2 年，c o s o 委员会颁布了内部控制整体框架报告。该内部控 制框架受到了世界理论界与实务界的广泛关注，被世界上许多企业所采纳，也被 国内有关内部控制的权威规定所借鉴。但是另一方面理论界与实务界也提出了内 部控制整体框架的局限和不足，主要认为对企业整体战略上和风险管理方面关注 的不够。应这些方面的局限和不足，c o s o 委员会从2 0 0 1 年起开始进行企业风 险管理框架的研究，于2 0 0 3 年7 月完成了企业风险管理综合框架( 草案) ( 以 下简称新框架) ，在公开向业界征求意见后，于2 0 0 4 年9 月正式发布。新的企业 风险管理框架就是在1 9 9 2 年的研究成果内部控制框架报告的基础上， 吸收风险管理的研究成果，结合萨班斯一奥克斯法案( s a r b a n e s - - - o x l e y a c t ) 在报告方面的要求，进行扩展研究得到的。 2 1 企业风险管理综合框架的定义 企业风险管理综合框架是一个由企业的董事会、管理层和其他员工共同参与 的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造 成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合 理保证的过程。 这是一个广义的风险管理定义，适用于各种类型的组织、行业和部门。该定 义直接关注企业目标的实现，并且为衡量企业风险管理的有效性提供了基础。该 定义强调： 1 企业的风险管理是一个过程，其本身并不是一个结果，而是实现结果的一 种方式。企业的风险管理是渗透于企业各项活动中的一系列行动。这些行动普遍 存在于管理者对企业的日常管理中，是企业日常管理所固有的。 2 企业风险管理是一个由人参与的过程，涉及一个企业各个层次员工。 3 该过程可用于企业的战略制定。企业的战略目标是企业最高层次的目标， 它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实现其战略 目标而制定战略，并将战略分解成相应的子目标，再将子目标层层分解到业务部 门、行政部门和各生产过程。在制定战略时，管理者应考虑与不同的战略相关联 的风险。 第二章内部控制新框架企业风险管理综合框架 4 该风险管理过程应用于企业内部每个层次和部门，企业管理者对企业所面 临的风险应有一个总体层面上的风险组合观。一个企业必须从全局、从总体层面 上考虑企业的各项活动。企业的风险管理应考虑组织内所有层面的活动，从企业 总体的活动( 如战略计划和资源分配) 到业务部门的活动( 如市场部、人力资源 部) ，再到业务流程( 如生产过程和新客户信用复核) 。 5 该过程是用来识别可能对企业造成潜在影响的事项并在企业风险偏好的 范围内管理风险。 6 设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目 标的实现上提供合理的保证。 7 企业风险管理框架针对一类或几类相互独立但又存在重叠的目标，目的在 于企业目标的实现。 总之，企业风险管理是一个过程，企业风险管理的有效性是某一时点的一个 状态或条件。决定一个企业的风险管理是否有效是基于对风险管理要素设计和执 行是否正确的评估基础上的一个主观判断。企业的风险管理要有效，则其设计必 须包括所有的要素并得到执行。企业风险管理可以从一个企业的总体来认识，也 可以从一个单独的部门或多个部门的角度来认识。即使是站在某一特定的业务部 门的角度来看待风险管理，所有的要素也都应作为基准包含在内。 2 1 ，2 企业风险管理的构成要素 企业风险管理分为内部环境、目标制定、事项识别、风险评估、风险反应、 控制活动、信息和沟通、监控等八个相互关联的要素，各要素贯穿在企业的管理 过程之中。 1 内部环境 企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结 构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险 的识别、评估和反应，还影响企业控制活动、信息和沟通系统以及监控活动的设 计和执行。董事会是内部环境的重要组成部分，对其他内部环境要素有重要的影 响。企业的管理者也是内部环境的一部分，其职责是建立企业风险管理理念，确 定企业的风险偏好，营造企业的风险文化，并将企业的风险管理和相关的初步行 动结合起来。 2 目标制定 根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定 其他与之相关的目标并在企业内层层分解和落实。其中，其他相关目标是指除战 略目标之外的其他三个目标，其制定应与企业的战略相联系。管理者必须首先确 第二章内部控制新框架企业风险管理综合框架 定企业的目标，才能够确定对目标的实现有潜在影响的事项。而企业风险管理就 是提供给企业管理者一个适当的过程，既能够帮助制定企业的目标，又能够将目 标与企业的任务或预期联系在一起，并且保证制定的目标与企业的风险偏好相一 致。 3 事项识别 不确定性的存在，使得企业的管理者需要对这些事项进行识别。而潜在事项 对企业可能有正面的彭响、负面的影响或者两者同时存在。有负面影响事项是企 业的风险，要求企业的管理者对其进行评估和反应。因此，风险是指对企业目标 的实现可能造成负面影响的事项发生的可能性。对企业有正面影响的事项，或者 是企业的机遇，或者是可以抵消风险对企业的负面影响的事项。机遇可以在企业 战略或目标制定的过程中加以考虑，以确定有关行动抓住机遇。可能潜在地抵消 风险的负面影响的事项则应在风险的评估和反应阶段予以考虑。 4 风险评估 风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从 两个方面对风险进行评估风险发生的可能性和影响。风险发生的可能性是指 某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。对于风险 的评估应从企业战略和目标的角度进行。首先，应对企业的固有风险进行评估。 确定对固有风险的风险反应模式才能够确定对固有风险的管理措施。其次，管理 者应在对固有风险采取有关管理措施的基础上，对企业的残存风险进行评估。 5 风险反应 风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。规避风 险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可 能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共 担风险，降低风险发生的可能性或降低风险对企业的影响。接受风险则是不采取 任何行动而接受可能发生的风险及其影响。对于每一个重要的风险，企业都应考 虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的 可能性和影响都落在风险容忍度之内的风险反应方案。 选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风险，即 从企业总体的角度、或者组合风险的角度重新计量风险。各行政部门、职能部门 或者业务部门的管理者应采取一定的措旌对该部门的风险进行复合式评估并选 择相应的风险反应方案。 6 控制活动 第二章内部控制新框架企业风险管理综合框架 控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活 动存在于企业的各部分、各个层面和各个部门，通常包括两个要素：确定应该傲 什么的政策和影响该政策的一系列程序。 7 信息和沟通 来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、 捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的 沟通，包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相 关的信息与企业外部相关方的有效沟通和交换，如客户、供应商、行政管理部门 和股东等。 8 监控 对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期 的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控持续监 控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内务管 理层面和各部门持续得到执行。 监控还包括对企业风险管理的记录。对企业风险管理进行记录的程度根据企 业的规模、经营的复杂性和其他因素的影响而有所不同。适当的记录通常会使风 险管理的监控更为有效果和有效率。当企业管理者打算向外部相关方提供关于企 业风险管理效率的报告时，他们应考虑为企业风险管理设计一套记录模式并保持 有关的记录。 图2 - 1 企业风险管理综合框架 第二章内部控制新框架企业风险管理综合框架 2 1 3 风险管理要素和企业目标、企业内各层面及部门的关系 企业的风险管理框架包括四类目标和八要素。四类目标分别是战略目标、经 营目标、报告目标和合法性目标，八要素是内部环境、目标制定、事项识别、风 险评估、风险反应、控制活动、信息和沟通、监控，是企业实现各类目标的保证， 它们相互之间存在直接的关系。而且，新的风险管理框架还强调在整个企业范围 内实行风险管理。 2 1 4 各管理层在企业风险管理中的地位和职责 1 董事会。 董事会对企业的风险管理负有监督职责，主要通过以下方式实现其职责： 了解管理者在企业内部建立有效的风险管理的程度； 获知并认可企业的风险偏好； 复核企业的风险组合观并与企业的风险偏好相比较； 评估企业最重要的风险并评估管理者的风险反应是否适当。 2 管理者。企业的首席执行官对企业的风险管理最终负责，企业的高层确定 风险管理的基调，从而影响企业内部环境中的员工操守和价值观及其他因素。 3 风险管理员。风险管理员是指某一组织内的首席风险管理员或首席风险管 理经理，他与企业内其他管理者一起，在各自的职责范围内建立并维护有效的风 险管理框架。首席风险管理员也可以担当监督风险管理进度和帮助其他管理人员 在企业内向上、向下和横向报告有关风险信息的职责，并可以成为企业风险管理 委员会的一员。 4 内部审计人员。内部审计人员在企业风险管理的监控中占有重要的地位， 这一职责作为其日常职责的一部分。他们通过对管理者风险管理过程的充分性和 有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审 计委员会履行其职责。 5 其他员工。从某种程度上讲，企业风险管理是企业内每一个员工的责任， 因此，风险管理应是企业内每一个员工的工作手册的一部分内容。本质上，企业 所有的员工都应提供风险管理所需的信息或者采取必要的措施管理风险。同样， 企业所有的员工都有责任向上报告风险。 企业的许多外部相关者也有助于企业目标的实现。如外部审计人员，他们从 一个独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复 核，直接有助于企业目标的实现。同时，外部审计人员还可以向管理者和董事会 提供履行其职责有用的额外信息，问接地为企业目标的实现做出贡献。其他向企 第二章内部控制新框架企业风险管理综合框架 业提供风险管理的有用信息的相关方还包括相关政府管理部门、客户、其他与企 业进行交易的各方、财务分析师、债券承销商和新闻媒介等等。但是，外部的各 相关者并不对企业的风险管理负责。 2 2 从内部控制整体框架走向企业风险管理一综合框架的突破 风险管理框架建立在内部控制整体框架的基础上，内部控制则是企业风险管 理必不可少的一部分。风险管理综合框架的范围比内部控制整体框架的范围更为 广泛，是对内部控制框架的扩展，是一个主要针对风险的更为明确的概念， 1 澄清一个观点 风险管理综合框架发布后，目前我国学者把风险管理和内部控制进行比较， 有些学者得出风险管理和内部控制是相互交叉的两个框架的结论，并对他们的相 同点和异同点进行了比较分析，这里我们要澄清上面这样一个观念，风险管理综 合框架其实是内部控制整体框架的一个发展，并将取代内部控制整体框架，新框 架从战略上以更系统、全面的理念来阐述内部控制。框架中的风险管理概念不同 于我们生活中所说的风险管理概念，它是一个被特定化的“大内部控制”概念， 有着自身包含的特殊涵义。 2 全新风险组合观理念的提出 企业风险管理框架借用现代金融理论中的资产组合理论。提出了风险组 合与整体管理的观念，要求企业管理者以风险组合的观点看待风险，对相关的风 险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个 单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总 风险可能超过企业总体的风险偏好范围。这就要求从企业层面上总体把握分散于 企业各层次及各部门的风险暴露。以统筹考虑风险对策，防止分部门分散考虑与 应对风险，统筹制定风险管理方案。 3 增加了战略目标，并扩大了报告目标的范畴 新报告除了以往内部控制框架中设定的经营目标、财务报告目标和合法性目 标的三个企业目标外，又增加了战略目标。战略目标的层次高于其他三类目标。 企业风险管理应用于实现这四类目标的过程中，应用于企业战略制定阶段，这样 风险管理范围与内容扩展到战略高度。这是新报告与内部控制整体框架的区别， 也是新报告与其他风险管理的重要区别。 财务报告目标的范围有所扩大，内部控制框架中的财务报告目标只与公开披 露的财务报表的可靠性相关，而企业风险管理框架中的报告目标的范固有很大的 扩展，该目标覆盖了企业编制的所有报告。 第二章内部控制新框架企业风险管理综合框架 4 增加了三个风险管理要素，对其他要素的分析更加深入，范围上也有所扩 大。企业风险管理框架新增了三个风险管理要素j 目标制定”、”事项识别”和 ”风险反应”。因而形成清晰的风险管理流程：目标制定事项识别风险评 估风险反应控制活动。且这一流程处于企业内部环境提供的规则和结构 的背景下，借助于信息与沟通进行，并处于监控之下。此外，针对企业将管理的 重心移至风险管理，风险管理框架更加深入地阐述了其他要素的内涵，并扩大了 相关要素的范围。 ( 1 ) 内部环境。由内部控制整体框架的控制环境发展到风险管理综合框架的 内部环境，内部控制的环境内涵在增大，内部控制环境包括诚实正直品格及道德 价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结 构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环 境”除包括上述七个方面外，还包括风险管理哲学、风险偏好和风险文化三个新 内容。 ( 2 ) 目标制定。在风险管理框架中，由于要针对不同的目标分析其相应的风 险，因此目标的制定自然就成为风险管理流程的首要步骤，并将其确认为风险管 理框架的一部分。 ( 3 ) 事项识别。企业风险管理和内部控制框架都承认风险来自于企业内、外 部各种因素，而且可能在企业的各个层面上出现，并且应根据对实现企业目标的 潜在影响来确认风险。但是，企业风险管理框架深入探讨了潜在事项的概念，认 为潜在事项是指来自于企业内部和外部资源的，可能影响企业战略的执行和目标 实现的一件或者一系列偶发事项。存在潜在的积极影响的事项代表机遇，而存在 潜在负面影响的事项则称为风险。企业风险管理框架采用一系列技术来识别有关 事项并考虑有关事项的起因，对企业过去和未来的潜在事项以及事项的发生趋势 进行计量。 ( 4 ) 风险反应。企业风险管理框架提出对风险的四种反应方案：规避、减少、 共担和接受风险。作为风险管理的一部分，管理者应比较不同方案的潜在影响， 并且应在企业风险容忍度范围内的假设下，考虑风险反应方案的选择。在个别和 分组考虑风险的各反应方案后，企业管理者应从总体的角度考虑企业选择的所有 风险反应方案组合后对企业的总体影响。 ( 5 ) 风险评估。内部控制框架和风险管理框架都强调对风险的评估，但风险 管理框架建议更加透彻地看待风险管理，即从固有风险和残存风险的角度来看待 风险，对风险影响的分析则采用简单算术平均数、最差的情形下的估计值或者事 项的分布等技术来分析。最好能够找到与风险相关的目标一致的计量单位进行计 量，将风险与相关的目标联系起来。风险评估的时间基准应与企业的战略和目标 第二章内部控制新框架企业风险管理综合框架 相致，如果可能，也应与可观测到的数据相一致。企业风险管理框架还要求注 意相互关联的风险，确定单一的事项如何为企业带来多重的风险。 正如前面所说，企业风险管理需要管理者建立一种企业总体层面上的风险组 合观。在风险评估方面体现为，对各业务单位、职能部门、生产过程或相应的其 他活动负责的各层管理者对其负责的部门或单位的风险应进行复合式评估，而企 业高层管理者也应从企业总体层面上考虑相互关联的风险和企业的总风险。 ( 6 ) 信息和沟通。企业风险管理框架扩大了企业信息和沟通的构成内容，认 为企业的信息应包括来自过去、现在和未来潜在事项的数据。企业的信息系统的 基本职能应以时间序列的形式收集、捕捉数据，其收集数据的详细程度则视企业 风险识别、评估和反应的需要而定，并保证将风险维持在风险偏好的范围内 5 提出两个新概念风险偏好和风险容忍度，并引入了风险偏好、风险容 忍度、风险对策、压力测试、情景分析等概念和方法 针对企业目标实现过程中所面临的风险，风险管理框架对企业风险管理提出 风险偏好和风险容忍度两个概念。从广义上看，风险偏好是指企业在实现其目标 的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关，企业 在制定战略时，应考虑将该战略的既定收益与企业的风险偏好结合起来，目的是 要帮助企业的管理者在不同战略问选择与企业的风险偏好相一致的战略。这也是 在内部控制的理论中，新报告首次提出管理层在确定战略目标和战略时要考虑企 业风险偏好。 风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业 目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对相关 目标实现过程中所出现差异的可容忍限度。在确定各目标的风险容忍度时，企业 应考虑相关目标的重要性，并将其与企业风险偏好联系起来。 由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、 情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展 战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风 险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管 理的四项目标。这些内容都是内部控制框架中没有的，也是其所不能做到的。 6 区分风险和机会，更加主动，全面的去管理风险 在全面风险管理框架中，由于把风险明确定义为“对企业的目标产生负面影 响的事件发生的可能性”( 将产生正面影响的事件视为机会) ，事件既可能带来 消极后果，也可能带来积极后果，或者带来混合后果。消极后果的事件意味着风 险，它会阻碍价值创造或破坏现有价值。积极后果的事件会抵消消极影响，或者 带来机会。所谓机会，就是事件如果发生，能促进目标的实现，能支持价值创造 第二章内部控制新框架企业风险管理综合框架 或价值的保存，内部控制框架没有区分风险和机会，新框架体现出了管理层更主 动去寻找机会和管理风险。 7 设立风险主管或风险经理，明确内部审计人员的风险管理监控责任 企业风险管理框架中增加了风险经理角色。他与企业内其他管理者一起，在 各自的职责范围内建立并维护有效的风险管理框架，也负有帮助其他管理人员在 企业内氪上、向下和横向报告有关风险信息的职责，并可以成为企业风险管理委 员会的一员。 在企业风险管理监控中内部审计人员发挥着重要作用，他们协助管理层和董 事会实施有效的风险管理，对管理层风险管理过程的有效性和充分性进行检查、 评价、报告和提出建议。 8 一种更新的风险导向内部控制理念，以“自控制”为核心的战略性整体控 制 内部控制仅是管理的一项职能，而全面风险管理属于风险范畴，贯穿于管理 过程的各个方面。风险管理更注重战略目标的导向性来实施风险管理，利用风险 的理念来支持业务前台的决策流程及全面控制，以理念来带动行动，体现了风险 管理框架的高度预先性和前瞻性。以。自控制”为基础的组织战略性整体控制成 为新世纪内部控制发展的方向。风险管理综合框架正是体现了这一发展方向和思 想理念。 第三章我国企业内部控制建设现状分析 第三章我国企业内部控制建设现状分析 3 1 问题简单回顾 2 0 0 1 年1 1 月，安然公司财务丑闻曝光，6 个月后，世界通讯公司再度爆发 丑闻，由此引发的多米诺骨牌效应，造成了这一期间美国有3 3 8 家上市公司，总 计4 0 9 3 亿美元的资产申请破产保护。 2 0 0 4 年1 2 月，中国航油集团唯一的海外公司一中国航油( 新加坡) 股份有 限公司发布了一个令世界震惊的消息：这家新加坡上市公司因石油衍生产品交 易，总计亏损5 5 亿美元。净资产不过1 4 5 亿美元的中航油( 新加坡) 因为严重 资不抵债，已向新加坡最高法院申请破产保护。无论是中航油( 新加坡) 还是其 母公司中国航油集团都处在舆论聚焦之中。中航油巨亏事件，对国内外相关各方 都产生了重大冲击和深远影响。由于中航油的国企背景该事件对我国的国家信用 以及我国企业海外上市前景都产生了负面作用。从中航油事件我们可以得到一个 结论：对企业自身的内部控制状况开展评价并完善其内部控制无疑是关系到企业 生死存亡的大事。 我们从普华永道曾经给中航油作的审计报告可以得出一个不算离谱的结论： 中航油从事期权交易业务的决策以及整个交易过程都无视制度的存在，公司最终 的巨亏是不按制度行事的结果。这次事件引发了政府、企业和理论界对内控执行 和完善的思考，内控的有效性再度引起了大家的关注。这边中航油巨亏事件风波 还未平静，国储局刘其兵期铜事件又把丑闻吵的沸沸扬扬，其实早在从安然事件 以来，不管理论界还是实务界都加大了对防范这类丑闻事件的研究，同时都一致 的认同了需加强内部控制和监管，相关的措施也在逐步的实施，但国内外此类丑 闻事件却不断在这几年重复出现，对我们提出了一次又一次新的挑战，使我们不 得不重新来审视我们企业存在的问题。 3 2 天津市企业内部控制问卷调查及内部控制存在问题分析 本次调查依托于天津市会计协会重点会计课题“天津市高新技术企业内部会 计控制系统研究”，分别从企业投资形式、经营性质、成立年份、职工人数、资 产总额企业年销售额、企业会计人数、内部会计控制制度建立情况、内部控制执 行情况等方面设置问卷对天津市企业内部会计控制制度的建立和执行情况进行 第三章我国企业内部控制建设现状分析 了调查研究。 被调查对象所在公司的登记类型为国有企业8 家( 占收回问卷企业的3 4 ) 。 中外合资企业7 家( 占收回问卷企业的3 o ) ，外商独资企业8 家( 占收回问卷 企业的3 4 ) ，私营企业2 0 6 家( 占收回问卷企业的8 6 6 ) ，其他类型企业9 家( 占收回问卷企业的3 6 ) 。 被调查企业为铝4 造型企业的有1 3 家( 占收回闻卷企业的5 5 ) ，商贸型企 业的有6 家( 占收回问卷企业的2 5 ) ，服务型企业有2 1 4 家( 占收回问卷企业 的8 9 9 ) ，其他类型企业5 家( 占收回问卷企业的2 1 ) 。 本次调查共发放调查问卷共