（企业管理专业论文）SCDX公司内部控制评估与设计.pdf

西华大学硕士学位论文第1 页 摘要 内部控制是社会经济发展到一定阶段的产物，是现代企业管理的重要手段。 在信息业日渐发达的现代社会，完善内部控制制度，不但能使企业的资源得到 合理配置，提高劳动生产率，更能防错纠弊，保证会计信息质量和保护资产的 完整性。 2 0 0 2 年美国颁布萨班斯一奥克斯利法案，要求公众公司的管理层评估 和报告公司最近年度财务报告的内部控制的有效性。萨班斯一奥克斯利法案 的目的是提高公司信息披露的准确性和可靠性，增加公司责任，上市公司会计 和审计的不适当行为将会受到更加严厉的处罚，同时保护投资者。法案要求所 有在美上市的公司不分国别都必须遵守。 本文以在美国纽约上市的s c d x 公司为研究样本，借鉴由c o s o 委员会 提出的内部控制整体架构作为评价的标准和依据，并结合企业的实际 情况，在对c o s o 内部控制框架进行改进的基础上，对s c d x 公司内部控制实 施评估与设计。本文运用内部控制理论和评估工具，首先针对w 公司层面的 内部控制，从控制环境、风险评估、控制活动、信息与沟通、监控五个方面， 对其内部控制进行了评估；其次，运用内部控制评估的基本方法对流程层面的 内部控制设计的合理性、执行的有效性进行了评估；在分析和总结前述评估结 果的基础上，对于s c d x 公司重点关注，且对财务会计报告影响较大的工程资 本性支出这一流程，按照业务流程范围、控制目标、风险、会计科目、业务流 程图表、控制点涉及的相关文件这一顺序进行了设计。旨在探讨s c d x 公司如 何按照萨班斯一奥克斯利法案的要求构建一套较完善的内部控制制度，并 通过有效的内部控制评审活动保证其设计合理和执行有效，以加强风险管理， 满足国际资本市场监管要求。 论文的贡献在于：( 1 ) 本文在研究方法上采用规范研究与实例分析相结合、 理论与实务相结合的研究范式。在文章正文大量采用图表分析和流程图进行分 析；( 2 ) 以在美国上市的s c d x 公司为研究样本，结合笔者作为一名外部审计 人员参加w 公司内部控制评估的经历和体会，探讨s c d x 公司如何依据萨 班斯一奥克斯利法案的要求构建内部控制体系，并保证其设计合理、有效运 行。所选案例具有针对性和代表性，并将案例的分析上升到理论高度；( 3 ) 选 题具有现实性，所研究的内容对我国其他企业内部控制体系构建与实施具有现 西华大学硕士学位论文第2 页 实的指导意义。 关键词：内部控制c o s o 报告内部控制评估内部控制设计 西华大学硕士学位论文第3 页 a b s t r a c t t h ei n t e m e lc o n t r o li st h ep r o d u c to fs o c i a le c o n o m y , w h i c hi si m p o r t a n t m e t h o do ft h em o d e mb u s i n e s sm a n a g e m e n t t h ee f f e c t i v ei n t e r n a lc o n t r o lh a st h e p o s i t i v ee f f e c tt oc o m p a n y sd e v e l o p m e n t t h e p u b l i c a t i o no fs a r b a n e s o x l e ya c ti n2 0 0 2a i m e d t oe n h a n c et h ea c c u r a c y o ff i n a n c i a li n f o r m a t i o na n dp r o t e c tt h ei n v e s t o r s t h ea c tw o u l db eo b s e r v e db y e v e r yc o m p a n yi fi tl i s t e di na m e r i c a c h o o s i n gs c d xc o m p a n y a sa s a m p l e ，t h i sp a p e ra s s e s sa n dd e s i g ni t si n t e r n a l c o n t r o lo nt h eb a s i so fc o s oi n t e r n a lc o n t r o lf r a m e w o r k ，a n dc o n n e c tw i t ht h e r e a l i t y f i r s ta s p e c t ，a c c o r d i n gt o f i v ef a c t o r so fc o s o ，a s s e s s d c o m p a n y - l e v e l c o n t r o l s s e c o n da s p e c t ，a p p l y i n gt h ef u n d a m e n t a lm e t h o do fi n t e r n a lc o n t r o l a s s e s s m e n t ，e s t i m a t e dt h er a t i o n a l i t yo fd e s i g na n dt h ee f f e c t i v e n e s so fe x e c u t e f i n a l l y , a n a l y s i n gt h er e s u l to fa s s e s s m e n t ，t h ep a p e rd e s i g n e dt h ei n t e r n a lc o n t r o lo fc a p i t a l c h a r g ep r o c e s s i n t r o d u c i n gh o wt ob u i l dt h ei n t e r n a lc o n t r o lo fwc o m p a n ya n d k e e p i n gt h ed e s i g na n do p e r a t i n ge f f e c t i v e n e s su n d e rt h es a r b a n e s - o x l e ya c t s i n f l u e n c e ，a n dp u t t i n gf o r w a r dt h ei m p r o v e m e n tp r o p o s a l m a k i n gag e n e r a ls u r v e yo ft h i sp a p e r , t h ec h a r a c t e r i s t i c so f t h ep a p e ra r ea s f o l l o w s f i r s t ，t h i sp a p e ru s e dr e s e a r c ht e c h n i q u ew h i c ht h es t a n d a r dr e s e a r c ha n d t h ec a s ea n a l y s i s s e c o n d ，c h o o s i n gs c d xc o m p a n ya sas a m p l e ，t h i sp a p e ra i m e d a ti n t r o d u c i n gh o wt ob u i l dt h ei n t e r n a lc o n t r o lo fwc o m p a n ya n dk e e p i n gt h e d e s i g na n do p e r a t i n ge f f e c t i v e n e s su n d e rt h es a r b a n e s o x l e ya c t si n f l u e n c e ，a n d p u t t i n gf o r w a r dt h ei m p r o v e m e n tp r o p o s a l t h i r d ，t h et o p i co ft h ep a p e rh a st h e f e a s i b i l i t ya n dt h er e a l i t yg u i d i n gs e n s et oo t h e re n t e r p r i s e k e yw o r d s ：i n t e m a c o n t r o l ，c o s o ，i n t e r n a lc o n t r o la s s e s s m e n t ，i n t e r n a l c o n t r o ld e s i g n 声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经 发表或撰写过的研究成果，也不包含为获得西华大学或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论 文中作了明确的说明并表示谢意。 本学位论文成果是本人在西华大学读书期间在导师指导下取得的，论文成 果归西华大学所有，特此声明。 作者签名莅嘲年缸月弓日 导师月日 够多 西华人学硕士学位论文第1 页 1 引言 1 1 研究背景 2 0 0 2 年美国颁布萨班斯一奥克斯利法案，要求公众公司的管理层评估 和报告公司最近年度财务报告的内部控制的有效性。第4 0 4 条款明确规定了管 理层应承担设立和维持一个应有的内部控制结构的职责。它要求上市公司必须 在年报中提供内部控制报告和内部控制评价报告；上市公司的管理层和注册会 计师都需要对企业的内部控制系统做出评价，注册会计师还必须对公司管理层 评估过程以及内控系统结论进行相应的检查并出具正式意见。按萨班斯一奥 克斯利法案生效时的约定，美国本土上市公司必须在2 0 0 4 年1 1 月1 5 日后结 束的财政年度中遵守4 0 4 条款；非美国本土公司的遵守日期约定在2 0 0 6 年7 月1 5 日1 1 。根据该法案，s c d x 公司对外披露的信息中必须包括管理层对内部 控制有效性的评估报告。因此，公司必须提高公司管理水平，完善内部控制体 系，以适应国际资本市场的法律监管。 为了尽快达到萨班斯一奥克斯利法案要求，s c d x 公司聘请了外部审 计人员对公司原有的内部控制体系进行梳理，从公司层面内部控制、流程交 易层面内部控制设计、流程交易层面内部控制执行三方面进行评估，并对缺 陷较大的流程重新设计。 1 2 研究目的及意义 1 2 1 研究目的 探讨如何依据萨班斯一奥克斯利法案的要求，以评估s c d x 公司内部 控制体系的健全有效，针对其缺陷提出建议，并对缺陷较大的流程重新设计。 旨在完善其内部控制体系，以适应国际资本市场的监管要求。 1 2 2 研究意义 理论意义：内部控制是社会经济发展到一定阶段的产物，是现代企业管理 的重要手段。在信息业日渐发达的现代社会，完善内部控制制度，不但能使企 业的资源得到合理配置，提高劳动生产率，更能防错纠弊，保证会计信息质量 和资产的完整性。由于我国对内部控制方面的研究起步较晚，目前，理论界和 实务界对内部控制的认识还很不统一，法制方面的建设也还待加强。因此，分 析借鉴全球最新、最成熟的理论，为构建我国内部控制规范标准寻求若干启示， 可以有效推进我国内部控制理论与实践的发展。 西华大学硕士学位论文第2 页 现实意义：2 0 0 2 年美国国会发布了萨班斯一奥克斯利法案，以及美国 证券交易委员会( s e c ) 的相应实施标准，要求公司建立一套与财务报告相关 的内部控制作为公司管理层和董事会对外公布的财务报表可靠性的基本保证。 法案要求所有在美上市的公司不分国别都必须遵守。s c d x 公司面临资本市场 的监管压力，必须加快与财务相关的内部控制建设，规避风险，提升国际竞争 力。 1 3 研究内容及基本思路 本文以在美国上市的s c d x 公司为研究样本，对该公司的公司层面的内部 控制、流程层面内部控制设计、流程层面内部控制执行进行了评估，汇总发现 的缺陷并提出改进建议。针对该公司重点关注且缺陷比较明显的资本性支出流 程予以重新设计。探讨s c d x 公司如何依据萨班斯一奥克斯利法案的要 求构建内部控制体系，并保证其设计合理、有效运行。 1 4 研究方法 本文采用规范研究与实例分析相结合、理论与实务相结合的研究范式，在 文章正文大量采用图表分析和流程图，针对笔者曾参与的s c d x 公司内部控制 评估的实际经历，进行探讨分析。 1 5 内部控制文献综述 1 5 1 国外关于内部控制的研究 最早涉及内部控制的职业文献是1 9 2 9 年美国注册会计师协会和联邦联邦 储备委员会( f i 氇) 修订发表的会计报表的验证( v e r i f i c a t i o no ff i n a n c i a l s t a t e m e n t s ) ，而最早定义内部控制的是1 9 3 6 年发布的独立公共会计师对会计 报表的审查( e x a m i n a t i o no ff i n a n c i a ls t a t e m e n tb yi n d e p e n d e n tp u b l i c a c c o u n t a n t s ) ，该文件将内部控制定义为“为了保护公司现金和其他资产的安 全、检查账薄记录准确性而在公司内部采用的各种手段和方法 1 9 4 9 年美国注册会计师协会将内部控制定义为“所谓内部控制即是企业为 了保证财产的安全完整，检查会计资料的准确性和可靠性，提高企业的经营效 率以及促进企业贯彻既定的经营方针，所设计的总体规划及所采用的与总体规 划相适应的一切方法和措施。同年，其又在一份特别报告中，首次将内部控制 界定为“一个企业为保护资产完整、保证会计数据的正确和可靠、提高经营效 率、贯彻管理部门既定决策所制订的政策、程序、方法和措施 2 1 。 5 0 年代以 西华大学硕士学位论文第3 页 后，世界市场竞争的加剧，促使内部控制扩大到企业内部各个领域，其内容也 愈加丰富。1 9 5 8 年，a i c p a ( 美国注册会计师协会) 下属的审计程序委员会又 将内部控制的定义作了进一步的说明，并将内部控制划分为内部会计控制和内 部管理控制。前者是指与财务安全和会计记录的准确性、可靠性有直接联系的 方法和程序；后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。 1 9 6 3 年美国审计程序委员会( c a p ) 在其发布的“审计程序第2 3 号文件” 中，对内部控制的定义作了进一步的说明，并将内部控制划分为内部会计控制 和内部管理控制。前者旨在保护企业资产完整，检查会计信息的可靠性；后者 在于促使有关人员遵守既定的管理政策，提高经营的有效性。根据s a p ( s t a t e m e n to f a u d i t i n gp r o c e d u r e 审计程序公共n o 3 3 ，“注册会计师主要关 注会计控制”，“如果独立审计人员认为某些管理控制可能对财务记录可靠性有 影响，可以考虑评价管理控制1 3 j 。” 1 9 8 6 年，最高审计机关国际组织在第1 2 届国际审计会议上发表总声明， 对内部控制作了新的定义：“作为完整的财务和其他控制体系，包括组织结构、 方法程序和内部审计【4 】。”1 9 8 8 年，a i c p a 在审计准则公告第5 5 号( s a s n o 5 5 ) 中以”内部控制结构”的提法替代了”内部控制”，认为”企业内部控制结构 包括为合理保证企业特定目标的实现而建立的各种政策和程序”，并确立了内部 控制结构的三要素一控制环境、会计系统和控制程序，这被认为是内部控制控 制概念发展的一个里程牌。 1 9 9 2 年美国“反对虚假财务报告委员会 ( 即t r e a d w a y 委员会) 下属的由 美国会计学会( a a a ) ，注册会计师协会( a i c p a ) ，国际内部审计人员协会( i i a ) 。 财务经理协会( f e i ) 和管理会计学会( i m a ) 等组成的c o s o 委会员( c o m m i t t e e o f s p o n s o r i n go r g a n i z a t i o n ) 提出内部控制一整体框架，并于1 9 9 4 年进行了 修订。这就是著名的“c o s o 报告 。c o s o 报告提出了三项具体的目标和五 项互相联系的具体内容。三项目标是合理保证经营的效率和有效性，合理保证 财务报告的可靠性，适度保证对现有法律、法规的遵行。五项内容是指控制环 境、风险评估、控制活动、信息和沟通及监督。c o s o 报告是目前国内外最具 权威的内部控制理论，其内涵和外延比以往任何一个内控概念都要深刻和宽广。 根据最新的c o s o 报告的定义，内部控制是一个过程，受企业董事会、管理当 局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及对现 行法规的遵循。其内容包括控制环境、风险评估、控制活动、信息与沟通、监 西华大学硕士学位论文第4 页 督五项要素构成【5 】。以c o s o 报告为代表的内部控制整合框架理论在先前理论 研究基础上提出了不少新的见解，包括：突出风险意识；强调内部控制应该与 企业的经营管理过程相结合；明确组织中的每一个人都对内部控制负有责任； 明确指出内部控制要建立在成本与效益原则的基础上，没有不花钱的内部控制， 也不存在完美无缺的内部控制。 美国管理会计协会1 9 9 4 年内部控制结构将内部控制定义为：“内部控 制是这样一个整体系统，由管理者建立的、旨在以一种有序的和有效的方式进 行公司的业务，确保其与管理政策和规章的一致，保护资产，尽量确保记录的 完整性和正确性1 6 j 。 1 9 9 6 年美国注册会计师协会发布审计准则公告第7 8 号，全面接受c o s o 报告的内容，并从1 9 9 7 年1 月起取代1 9 8 8 年发布的审计准则公告第5 5 号。 新准则将内部控制定义为“由一个企业的董事会、管理层和其他人员实现的过 程，旨在为下列目标提供合理保证：财务报告的可靠性、经营的效果和效率以 及符合适用的法律和法规1 7 。该准则将内部控制划分为五种要素：控制环境、 风险评估、控制活动、信息与沟通、监控。这五种要素内容广泛，相互关联。 控制环境是其他控制要素的基础，在规划控制活动时，必须对企业可能面临的 风险有细致的了解和评估；而风险评估和控制活动必须借助企业内部信息有效 的沟通；最后，实施有效的监控以保障内部控制的实施质量。 2 0 0 2 年7 月美国国会颁布的萨班斯一奥克斯利法案并提出“财务报告 内部控制 概念，同时要求企业的第一负责人必须定期报出由其签章的财务报 告内部控制制度及执行情况。萨班斯一奥克斯利法案的这种要求正是在c o s o 报告的全面内部控制框架下，着重强化企业内部会计控制这一核心控制地位的 集中体现。 2 0 0 5 年国际审计委员会( 简称i a a s b ) 更新了其国际审计标准，颁布了2 个新准则，修订了3 个j 日准则。这次更新将对审计职业界产生广泛而深远的影 响。值得关注的是，i a a s b 重新定义了审计计划的制定过程和对审计风险的评 估及控制等基础审计方法，着重强调了审计师必须对被审计实体的内部控制环 境进行重点了解，以评估可能存在的欺诈、管理层凌架和集体舞弊等行为对审 计风险的影响。 1 5 1 国内关于内部控制的研究 1 理论研究方面 两华大学硕+ 学位论文第5 页 长期以来，我国内部控制理论研究主要集中于会计审计领域，也可将之简 称为“会计导向和“审计导向”。会计导向以内部会计控制为核心，很多学者 认为：保证会计信息的真实性是内部控制发展的主线，会计控制是企业内部控 制的核心【8 】。审计导向下的内部控制研究则主要集中于审计方法的应用、审计 成本的节约和审计风险的控制。随着c o s o 报告在中国影响的日益增强，我国 学者对内部控制的认识也逐渐超越了内部会计控制的界限。吴永澎等在国内较 早地介绍了该报告的主要内容、框架及进展，并以此为基础对中国企业内部控 制的发展提出了一些建设性的建议，通过对部分企业内部控制失效案例的分析， 他们建议由权威部f - j n 定内部控制的标准体系，并对企业内部控制的审计做出 强制性安排，做n - 者并举。总的说来，我国对内部控制理论研究尚停留在内 部控制理论发展的第二阶段，大部分的成果为理论导向型的，同西方发达国家 相比还存在较大差距。 2 法规建设方面 内部控制的法制建设始于1 9 9 9 年修订会计法第二十七条“企业内部控 制制度的建设问题【9 】，这是我国第一次在法律层面对企业的内部控制做出的相 应规定。从2 0 0 1 年起，财政部先后陆续颁布了内部会计控制规范一基本规范 _ ( 试行) 和“货币资金 、“存货”、“固定资产 、“对外投资、“工程项目 、 “采购与付款 、“销售与收款”、“筹资 、“成本费用”、“担保 、“预算”等若 干具体规范。形成了“以内部会计控制为主，同时兼顾与会计相关的控制”的 内部控制规范体系，使我国在内部会计控制方面逐渐形成了一个较完整的规范 体系。 在2 0 0 1 年6 月财政部发布的内部会计控制规范一基本规范中将内部控 制定义为：“内部控制是指单位为了保证各项业务活动的有效进行、确保资产的 安全完整、防止欺诈和舞弊行为、实现经营管理目标等而制定和实施的一系列 具有控制职能的方法、措施和程序。 2 0 0 2 年2 月，中国注册会计师协会发布内部控制审核指导意见，规范 注册会计师就被审核单位管理当局在特定日期对内部控制有效性的认定进行审 核，并发表审核意见。 2 0 0 3 年，中国内部审计协会在借鉴c o s o 报告的基础上，在发布的内部 审计具体准则第5 号一内部控制审计中，将内部控制定义为：“内部控制，是 指组织内部为实现经营目标，保护资产安全完整，保证遵循国家法律法规，提 西华大学硕士学位论文第6 页 高组织运营的效率及效果，而采取的各种政策和程序。并指出，“内部控制包 括控制环境、风险管理、控制活动、信息与沟通、监督等五个要素。” 2 0 0 6 年2 月中国企业会计准则体系的发布，对企业内部控制提出了更高的 标准和要求。2 0 0 6 年2 月1 5 日财政部发布的中国注册会计师审计准则第1 2 1 1 号一了解被审计单位及其环境并评估重大错报风险中，将内部控制定义为： “内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果 以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程 序。并认为内部控制包括下列五个要素：控制环境、风险评估过程、信息系统 与沟通、控制活动、对控制的监督。 2 0 0 6 年7 月，中国企业内部控制标准委员会( c i c s c ) 成立，这标志着我 国内部控制时代已经到来。其目的旨在建立以防范风险和控制舞弊为中心、以 控制标准和评价标准为主休，结构合理、内容完整、方法科学的内部控制体系。 当前我国正在逐步构建适合我国国情的内部控制体系，分析借鉴国际最新、 最成熟的理论，为构建我国内部控制体系寻求若干启示，可以有效推进我国内 部控制理论与实践的发展，不断完善我国内部控制体系。 西华大学硕士学位论文第7 页 2 内部控制的基本理论 内部控制是社会经济发展到一定阶段的产物，是现代企业管理的重要手段。 其内容是随着企业对内强化管理，对外满足社会需求而不断丰富和发展来的， 并随着竞争的加剧和资本、市场国际化而凸显其重要性。在信息业日渐发达的 现代社会，完善内部控制制度，不但能使企业的资源得到合理配置，提高劳动 生产率，更能防错纠弊，保证会计信息质量和资产的完整性【1 0 1 。 内部控制渗透至企业经营过程的各个方面，贯穿于经营活动的始终。只有从整 体上把握、研究企业的内部控制制度，不足限于某一方面，才能正确认识内部 控制的本质，发挥内部控制的作用。 2 1 内部控制的概念 内部控制，作为一个专用名词和完整概念，直到本世纪3 0 年代才被人们提 出、认识和接受。几十年来，随着内部控制理论以及认识的不断发展，其概念 的内涵和外延也都发生了较大的变化。上个世纪9 0 年代初，由美国注册会计师 协会、美国会计学会、财务经理协会等社会团体参与的“赞助组织委员会( 简 称c o s o ) 发布的内部控制一整体框，提供了一个广泛的内部控制框架，成 为迄今为止对内部控制最全面的论述。 2 1 1 内部控制的目标 该报告认为，内部控制是企业董事会，经理阶层和其他员工实施的，为营 运的效率和效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供 合理保证的过程。 2 1 2 内部控制的要素 c o s o 内部控制框架包括5 大要素：控制环境( c o n t r o le n v i r o n m e n t ) 、风险 评估( r i s ka s s e s s m e m ) 、控制活动( c o n t r o la c t i v i t i e s ) 、信息与沟通( i n t o r m a t i o na n d c o m m u n i c a t i o n ) 、监督( m o n i t o r i n g ) 。 1 控制环境。控制环境作为内部控制整体框架中所有构成要素的基础，为 内部控制提供了前提和结构。其特征是先明确定义机构的目标和政策，再以战 略计划和预算过程进行支持；然后清晰定义利于划分职责和汇报路径的组织机 构，确立基于合理年度风险评估的风险接受政策；最后，向员工讲清有效控制 和审计体系的必要性以及执行控制要求的重要性，同时，高级领导层需对文件 控制系统作出承诺。控制环境决定了企业的基调，直接影响企业员工的控制意 西华大学硕士学位论文第8 页 识。 2 风险评估。风险评估“确定和分析目标实现过程中的风险，并为决定如 何对风险进行管理提供基础”。这一环节是c o s o 内部控制整体框架的独特之 处。在风险评估过程中，管理层识别并分析实现其目标过程中面临的风险，从 而制定决定如何管理风险的制度基础。管理层应该在审计师开始审计之前，识 别那些重大的风险，并基于这些风险发生的可能性和影响采取措施缓和这些风 险。随后，审计师对这一风险评估过程进行评价， 3 控制活动。控制活动是指确保管理层的指令得以实现的机制，包括那些 被识别能够缓和风险的活动。控制活动存在于组织的所有层面及组织所有的功 能中，如核准、授权、验证、调节、复核经营绩效、保障资产安全、职务分工 及信息系统等。 4 信息与沟通。信息上指员工能够获得其工作中所需要的信息，是确保员 工履行职责的必要条件。沟通是各级人员接收最高管理层关于控制责任的指令 方式和他们对待内部控制的严肃程度，包括信息向上的、向下的、横向的、在 组织内外自由的流动。在企业运行和目标实现过程中，组织的各个层面都需要 一系列包括来自企业内部和企业外部的财务和运营信息。信息系统对战略行动 提供支持，并融入到经营活动中。 5 监督。监督是实时评价内部控制执行质量的程序组成的，这一程序包括 持续监督、独立评价，或者是二者的结合。独立评价的范围和频率取决于所评 估的风险程度，内部控制系统需要被监督，监督能够确保内部控制的有效运行。 控制的监督要素包括经理人员日常的监督，审计师和其他群体定期的审核，以 及经理人员用以揭示和纠正已知的缺陷与不足的程序。监督可以用来保证其他 控制的运行。 2 2 内部控制的发展历程 内部控制理论的发展经历了内部牵制、内部控制制度、内部控制结构和内 部控制整体框架四个阶段【l 。 “内部牵制”阶段：一般认为，内部牵制产生于2 0 世纪4 0 年代前，是现代 内部制度理论的雏型，“内部牵制 是以帐目间的相互核对为主要内容并实施岗 位分离，这在早期被认为是确保所有帐目正确无误的一种理想扩展方法。其基 本假设是：两个或两个以上的部门或个人无意识犯同样错误的机会很小；两个 西华大学硕+ 学位论文第9 页 或两个以上的部门或个人有意识地舞弊的可能性也大大低于单独一个人或一个 部门舞弊的可能性。此阶段着重于组织内部分工，并防止错误和其他非法业务 发生的业务流程设计【l2 | 。 “内部控制制度”阶段：上个世纪4 0 年代末到7 0 年代，生产的社会化程度 空前提高，股份公司也相应迅速发展起来，并逐渐成为西方各国主要的企业组 织形式。随着市场竞争的日益加剧，企业要想在竞争中赢得主动，就必须加强 管理，采取更加完善、更为有效的控制方法。同时，适应当时社会经济关系的 要求，保护投资者和债权人的经济利益，西方各国纷纷以法律的形式要求强化 对企业财务会计资料以及各种经济活动的内部管理。在这种形式下，早期的内 部牵制制度显然难以满足加强企业管理的需要，促使人们研究探索适应新形势 要求的加强企业管理的制度。”二战“之后，随着世界经济的恢复和发展以及科 学技术的飞速发展，企业生产过程的边续化、自动化程度以及生产的社会化程 度空前提高，从而对企业管理也提出了更高的要求，管理者一方面要实行分权 管理，以调动员工积极性，提高经济效益；另一方面要求采取更加完善的控制 措施，以达到有效经营的目的。于是，一些企业在传统内部牵制思想的基础上， 纷纷在企业内部组织结构、经济业务授权、处理程序等方面借助各种事先制定 的科学标准和程序，对企业内部的生产标准、质量管理、统计分析、采购销售、 员工培训等经济活动及相关的财务会计资料分别实施了控制，基本做到了业务 处理程序标准化、规范化，业务分工制度化，人员之间相互促进、相互制约， 从而达到防范错弊，保护企业财产物资及相关资料的安全与完整、确保经营管 理方针的贯彻落实及提高企业经营效率的目的。因此，以账户核对和职务分工 为主要内容的内部牵制，从2 0 世纪4 0 年代开始逐步演变为由组织结构、岗位 职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密 的内部控制系统。 随着内部控制实践的深入，理论界对内部控制理论的探讨也更加深入。1 9 5 8 年美国注册会计师协会所属的审计程序委员会发布的第2 9 号审计程序公报独 立审计人员评价内部控制的范围将内部控制分为内部会计控制和内部管理控 制两类，其中，前者涉及与财产安全和会计记录的准确性、可靠性有直接联系 的方法和程序，后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。 这一划分方法即称为内部控制“制度二分法 1 3 1 。 “内部控制结构”阶段：进入2 0 世纪8 0 年代后，内部控制的理论又有了新 西华大学硕士学位论文第1 0 页 的发展，其标志是美国注册会计师协会于1 9 8 8 年5 月发布的审计准则公告第 5 5 号。在公告中，以“内部控制结构 概念取代了“内部控制制度”，并指出： “企业内部控制结构包括为取得企业特定目标的合理保证而建立的各种政策和 程序。公告认为内部控制结构由三个要素组成：控制环境、会计制度、控制程 序。在这三个要素中，会计制度是内部控制结构的关键要素，控制程序是保证 内部控制结构有效运行的机制。这一概念跳出了“制度二分法 的圈子，特别 强调了管理者对内部控制的态度，认识和行为等控制环境的重要作用，指出这 些环境因素是实现内部控制目标的环境保证，要求审计师在评估控制风险时不 仅要关注内部控制制度与控制程序，还应对企业所面临的内外环境进行评估。 内部控制结构概念的提出，适应了经济形势发展和企业经营管理的需要，因而 得到了会计审计界的认可。 “内部控制整体框架”阶段；目前关于内部控制最具权威的概念是美国c o s o 委员会在1 9 9 2 年颁布的内部控制整体框架，并于1 9 9 4 年进行了增补。 这份报告堪称内部控制发展史上的又一个里程碑。1 9 9 6 年末，美国注册会计师 协会所属的审计委员会又以第7 8 号说明书的方式对审计准则公告第5 5 号 中内部控制的定义和描述进行了了确认并作了重要修订。美国c o s o 委员会指 出：“内部控制是企业董事会，经理阶层和其他员工实施的，为营运的效率和效 果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过 程。”同时提出了内部控制构成的概念，即内部控制整体框架包含了五个相互联 系的要素：控制环境、风险评估、控制活动、信息与沟通、监督。可以说，内 部控制框架为关注内部控制的有关方面( 包括管理者、投资者、债权人、审计 人员及理论界) 提供了一个普遍认可、内涵统一的内部控制概念框架和评价方 法。该报告中提出的观点，超越了以往的内部牵制、内部控制制度、内部控制 结构等内部控制思想，其涵盖的范围比以往任何一个概念都为广泛。 2 3 我国内部控制的现状 我国对内部控制方面的研究起步较晚，无论是在理论的研究还是实践的推 行上，同西方发达国家相比还存在较大差距，其现状表现在： 1 缺乏完善的控制环境。 控制环境是实行内部控制的基础和前提，是企业内部控制的核心，直接影 响到企业内部控制的贯彻和执行以及企业内部控制目标的实现。然而，我国大 西华大学硕士学位论文第1 1 页 部分企业缺乏对控制环境的认识和重视。 2 风险意识不强 c o s o 报告认为，环境控制和风险评估，是提高企业内部控制效率和效果 的关键。我国大多数企业缺乏风险控制意识，更没有建立风险控制机制。 3 企业产权关系及组织结构混乱 从产权主体看，我国正处于经济转型时期，产权界定不很明晰，从而使得 健全和完善内部控制的受益主体也就不明确，缺乏来自委托方的加强内部控制 建设的强烈要求。 其次，很多企业组织结构设置不合理，严重影响了公司经营的正常进行。 由于内部控制成本昂贵，而内部控制收益则隐性化、长期化和社会化，所 以不少企业内部控制流于形式，并没有真正付诸于行动；且集团中的成员企业 有各自的发展和规划，出于自身利益的考虑，对内部控制的执行存在抵触，因 此内部控制的实施效果受到影响。 西华大学硕士学位论文第1 2 页 3 萨班斯一奥克斯利法案的颁布对我国内部控制的影响 3 1 出台背景 美国作为全球的金融和资本中心，其资本市场具有成熟、规范以及资本十 分活跃等特点，吸引着众多投资者和企业的目光。但是2 0 0 1 年和2 0 0 2 年的“安 然”、“世通等一系列上市公司财务欺诈事件和安达信会计师事务所的会计丑 闻，彻底打击了投资者对美国资本市场的信心，并导致美国股市巨幅震荡。为 了改变这局面，2 0 0 2 年7 月，美国国会和政府迅速通过了( ( 2 0 0 2 年公众公司 会计改革和投资者保护法案，该法案由美国众议院金融服务委员会主席奥克斯 利和参议院银行委员会主席萨班斯联合提出，又被称为( ( 2 0 0 2 年萨班斯一奥克 斯利法案，简称萨班斯法案或s 0 x 法案，该法案对美国1 9 3 3 年证券 法，1 9 3 4 年证券交易法做了不少修订，在会计职业监管，企业治理，证券 一 市场监管等方面做出了许多新的规定【1 4 1 。这是继2 0 世纪3 0 年代美国经济大萧 条以来，政府制定的涉及范围最广、处罚措施最严厉的公司法律。 萨班斯一奥克斯利法案的目的是提高公司信息披露的准确性和可靠性， 增加公司责任，为上市公司会计和审计的不适当行为规定更加严厉的处罚，同 时保护投资者。该法案适用于所有根据美国1 9 3 4 年证券交易法向s e c ( 证券 交易委员会) 或者被要求向s e c 递交定期报告的公司，包括美国和非美国公司。 3 2 萨班斯一奥克斯利法案有关内部控制的重要条款分析 萨班斯一奥克斯利法案第一次对财务报告内部控制的有效性提出了明 确的要求。该法案涉及内部控制的条款主要有第1 0 3 ，3 0 2 和4 0 4 条款。 其最主要的特征表现在：法案要求组织机构使用文档化的财务政策和流程 来改善可审计性，并要求更快地拿出财务报告；要求企业针对产生财务交接的 所有作业流程，都做到高透明度、可控制、实时风险管理并防止欺诈，并且这 些流程必须有可追查到交易源头的详细记录。上市公司管理当局要评价信息时 代财务报告内部控制的设计与执行的有效性，并对此负责，外部审计师要连同 财务报告审计一起审计内部控制。 第1 0 3 款规定，对管理层财务报告内部控制评估的审计师报告，需要评价 公司的内部控制政策和程序是否包括详细程度合理的纪录，以准确公允地反映 公司的资产交易和处理情况；内部控制是否合理保证公司对发生的交易活动进 西华人学硕士学位论文第1 3 页 行了必要的纪录，以满足财务报告编制符合公认会计原则的要求，是否合理保 证公司的管理层和董事会对公司的收支活动进行了合理授权i l 引。 第3 0 2 条款规定，公司首席执行官和财务总监应当对所提交的年度或季度 报告签署书面证明，证明中涉及内部控制的内容包括：签字人员有责任建立和 维护一套内部控制程序，并且这套内部控制程序的设计应当确保企业内部其他 管理人员都能够知道公司及其纳入合并范围的子公司的所有重大信息，尤其在 定期报告编制期间；保证在财务报告编制之前9 0 天内已经对公司内部控制的有 效性进行了评估；将关于内部控制有效性的结论反映在报告中；向外部审计师 和公司董事会下的审计委员会报告了在内部控制设计或运行中对公司财务信息 的记录、加工、汇总和报告产生不利影响的所有重大控制缺陷以及重要控制弱 点16 1 。 第4 0 4 条款规定：根据1 9 3 4 年证券交易法中1 3 ( a ) 或1 5 ( d ) 款要求 递交年报的公司，管理层需要对财务报告的内部控制进行报告。报告的内容必 须包括管理层为公司设立和维持足够的财务报告内部控制系统的责任陈述、就 财务报告内部控制系统的有效性做出的评估以及为评估公司财务报告内部控制 系统的有效性而采用的评估架构陈述。同时，该条款要求这些公司的审计师对 管理层的评估进行认证和报告。第4 0 4 款要求企业必须建立内部控制体系，包 括控制环境、风险评估、控制活动、信息沟通和监督五个部分。内部控制活动 的记录不仅要具体到诸如产品付款时间之类的细节，而且对重大缺陷都必须予 以披露，被称为最严苛、最复杂、执行成本最高的规定1 1 7 1 u 8 , 3 3 萨班斯一奥克斯利法案对我国内部控制建设的影响 加强了内部控制行为主体“人”的作用：只有人才可能制定企业的目标， 并设置控制的机制；反过来，内部控制影响着人的行动。以人为本，塑造良好 的企业文化，加强职业道德教育和建立职业培训机制，提高员工的职业道德和 专业技能，建立良好的考核和业绩评价制度，完善奖惩和人员任用机制。 强调内部控制应该与企业的经营管理过程相结合：内部控制是企业经营过 程的一部分，与经营过程结合在一起，而不是凌驾于企业的基本活动之上，它 使经营达到预期的效果，并监督企业经营过程的持续进行。不过，内部控制只 是管理的一种工具，并不能取代管理。 强调内部控制是一个“动态过程”：内部控制是对企业的整个经营管理活动 西华大学硕士学位论文第1 4 页 进行监督与控制的过程，企业的经营活动是永不停止的，企业的内部控制过程 也因此不会停止。企业内部控制不是一项制度或一个机械的规定，企业经营管 理环境的变化必然要求企业内部控制越来越趋于完善，内部控制是一个发现问 题、解决问题、发现新问题、解决新问题的循环往复的过程。 强调风险意识：现代社会是个充满剧烈竞争的社会，每一个企业都面临 着成功的挑战和失败的风险，对风险的管理是现代企业的主旋律之一。风险影 响着每个企业生存和发展的能力，也影响其在产业中的竞争力及在市场上的声 誉和形象。 重视内部控制目标多元化，体现了企业各个利益相关者的要求，特别是投 资者的利益要求。使得企业在追逐自身利益的同时，也承担起应尽的社会责任。 改进了内部控制的设计方式，要求按企业业务循环来设计内部控制制度。 这样既能与内部控制的基本构成联系在一起，又便于审计人员测试被审单位的 内部控制制度，提高基础审计的效果1 1 引。 要求企业建立内部控制评价制度。企业必须定期对内部控制制度的执行情 况进行检查和考核，将考核结果与个人的经济奖惩、职务升降挂钩。 西华大学硕士学位论文第1 5 页 4 s c d x 公司内部控制评估 本章将采用c o s o 内部控制评估工具并加以改进，以满足萨班斯一奥克斯 利法案为前提，笔者和其他外部审计人员受s c d x 公司委托，对其原有内部 控制系统进行调研、梳理，查阅了大量的财务和业务资料。在此基础上，对其 内部控制系统进行了评估，并对其重点关注的资本性支出流程进行了重新设计。 4 1s c d x 公司基本情况 s c d x 公司2 0 0 3 年1 2 月在美国、香港上市，2 0 0 4 年1 月1 2 日正式揭牌 成立。公司下辖2 1 个市州分公司、2 个直属单位和2 个控股公司，汪册资本8 1 2 亿元。作为当今世界高新技术的信息产业的重要组成部分，s c d x 公司主要经 营国内固定电信网络与设施( 含本地无线环路) 业务；基于固定电信网络的话 音、数据、图像及多媒体通信与信息服务；按国家规定进行国际电信业务的对 外结算，开拓国际通信市场；经营与通信及信息业务相关的系统集成、技术开 发、技术服务、信息咨询、设备生产、销售和设计与施t t 2 0 。 4 2s c d x 公司企业文化 4 2 1 企业使命 共享与世界同步的信息文明，表明公司存在的目的和价值。 4 2 2 核心价值观 全面创新、求真务实、以人为本、共创价值。它是员工普遍认同的、指导 公司运营和员工行为的根本原则，并集中反映了公司管理层对有效经营企业的 基本看法。 1 “全面创新”。创新就是“做新的事情，或者以新的方法做旧的事情”全面 创新，是指全员而非个体、全方位而非局部、深入持久而非表面临时的创新， 主要包括观念创新、体制创新、机制创新、管理创新、技术创新、业务创新和 服务创新。 2 “求真务实”。“求真”就是从电信企业的基本特征出发，根据企业的外 部环境和自身条件，在经营实践中与时俱进，不断探索、总结电信企业的发展 规律；“务实”就是尊重现实、遵循规律，严格按照企业的发展规律制订经营决 策，并不折不扣地付诸行动。