（企业管理专业论文）风险管理框架下我国上市公司内部控制系统的构建.pdf

青岛科技大学研究生学位论文 风险管理框架下 我国上市公司内部控制系统的构建 摘要 上市公司作为我国企业中一个重要的群体，对我国经济的发展起了关键作 用。由于内部控制是现代企业管理的重要组成部分，也是企业生产经营活动赖以 顺利进行的基础，因此要保持我国上市公司的良好发展，就要重视其内部控制系 统建设。 本文采用理论研究与实际相结合、图表法等方法，从公司内部控制发展历程 为出发点，对国内外内部控制理论进行综合阐述。本文认为内部控制理论的发展 经历了内部牵制阶段、内部会计控制和内部管理控制阶段、内部控制结构阶段、 内部控制框架阶段以及风险管理阶段五个阶段，并在最新的内部控制理论风 险管理理论的指导下，进行上市公司内部控制系统的构建，最后结合案例进行研 究分析上市公司内部控制系统的改进。本文构建的上市公司内部控制系统涵盖了 风险管理框架下内部环境、目标制定、事项识别、风险评估、风险反应、控制活 动、信息和沟通、监控八要素，以内部控制环境为基础，把控制活动划分为管理 层次的内部审计系统、风险管理系统及信息系统的构建和业务活动操作层次的内 部控制子系统，操作层次的内部控制子系统，按照目标制定、事项识别、风险评 估及控制活动的步骤进行构建，并且增加了内部控制有效性评价系统，使内部控 制系统更为完整。 本文倡导风险管理框架的重要作用旨在引起社会、政府等有关部门对于风险 管理框架下上市公司内部控制系统的重视，并为已经上市或准备上市的公司在内 部控制系统构建或改进方面提供可借鉴的参考。 关键词：上市公司；内部控制；风险管理：公司治理 青岛科技人学研究生学位论文 s t u d y0 nt h ec o n s t r u c t l 0 no fi n t e r n a l c o n t r o li n0 u rl i s t e dc o m p a n yg u i d e db y t h e r i s km a n a g e m e n tf r a m e w o r k a b s t r a c t t h el i s t e dc o m p a n yi si m p o r t a n ti no u rc o u n t r ye n t e r p r i s e ，w h i c hh a sp l a y e da v i t a lr o l ei nd e v e l o p m e n to ft h ee c o n o m y t h ei n t e r n a lc o n t r o ls y s t e mi st h ei m p o r t a n t c o m p o n e n to ft h ec o m p a n ya d m i n i s t r a t i o n t h a ti s a l s oab a s i so nw h i c he n t e r p r i s e p r o d u c t i o na n do p e r a t i n ga c t i v i t i e sr e l yf o rp r o c e e d i n ga sp l a n n e d s ot h ec o n s t r u c t i o n o fi n t e r n a lc o n t r o ls y s t e mi sn o tb e i n gi g n o r e dt ok e e po u rc o u n t r yl i s t e dc o m p a n y d e v e l o p m e n t t h et e x ta d o p t st h e o r yw i t hr e a l i t ys t u d y i n gb e i n gt i e di nw e d l o c ke a c ho t h e r ， p r o t r a c t i n gc h a r g e se t ，e x p o u n d st h ei n t e r n a lc o n t r o lt h e o r yi nh o m e a n da b r o a df r o m d e v e l o p i n gc o u r s eo ft h ei n t e r n a lc o n t r o ls y s t e m t h ed e v e l o p m e n to ft h ei n t e r n a l c o n t r o lt h e o r yc a nb ed i v i d e di n t of i v es t a g e s ；t h e r ea r ei n t e r n a lc h e c k ，i n t e r n a l a c c o u n t i n gc o n t r o ls y s t e m ，i n t e m a l c o n t r o ls t r u c t u r e ，c o s oi n t e r n a lc o n t r o l f r a m e w o r k ，a n dr i s km a n a g e m e n tf r a m e w o r k i n t e r n a lc o n t r o ls y s t e mi nl i s t e d c o m p a n yc o n s t r u c t e di nt h et e x ti sg u i d e db yt h er i s km a n a g e m e n tf r a m e w o r k ，a n d t e l l sh o wt oi m p r o v et h ei n t e r n a lc o n t r o lw i t hac a s e t h ei n t e r n a lc o n t r o ls y s t e m c o n s t r u c t e di nt h et e x ti n c l u d e e i g h t e l e m e n t so ft h er i s km a n a g e m e n t f r a m e w o r k ，s u c ha s ：t h ei n t e r n a le n v i r o n m e n t ，o b j e c t i v es e t t i n g ，e v e n ti d e n t i f i c a t i o n ， r i s ka s s e s s m e n t ，r i s kr e s p o n s e ，c o n t r o la c t i v i t i e s ，i n f o r m a t i o nc o m m u n i c a t i o na n d m o n i t o r i n g ，a n dd i v i d e dt h ec o n t r o la c t i v i t i e si n t ot w op a r t s ，o n ei sm a n a g e m e n t l e v e lt h a ti n c l u d ei n t e r n a la u d i ts y s t e m ；i n t e r n a lr i s km a n a g e m e n ts y s t e ma n d i n f o r m a t i o ns y s t e m a n o t h e ri so p e r a t i o nl e v e l ，w h i c hc o n s t r u c t e da so b j e c t i v e s e t t i n g ，e v e n ti d e n t i f i c a t i o n ，r i s ka s s e s s m e n t ，r i s kr e s p o n s e ，c o n t r o la c t i v i t i e s ，a n d a d dt h ei n t e r n a lc o n t r o le s t i m a t es y s t e mt om a k et h ei n t e r n a lc o n t r o ls y s t e m i n t e g r a t e d t h et e x ts p a r k p l u g st h ei m p o r t a n to ft h er i s km a n a g e m e n tf r a m e w o r k ，i no r d e r t oa r o u s et h ed e p a r t m e n tc o n c e r n e ds u c ha ss o c i e t y a n do f f e rc o n s u l t sa b o u tt h e 风险管理框架下我国上市公司内部控制系统的构建 c o n s t r u c t i o no ri m p r o v e m e n to ft h ei n t e r n a lc o n t r o ls y s t e mf o ral i s t e dc o m p a n ya n d t h ec o m p a n yt h a tp l a n e dt oc o m ei nt ot h em a r k e t k e yw o r d s ：t h e1is t e dc o m p a n y ：in t e r n a lc o n t r o l ：t h er i s km a n a g e m e n t ： c o r p o r a t eg o v e r n a n c e i i 风险管理框架下我国上市公司内部控制系统的构建 业带来较大风险。企业领导人特殊地位也使得公司相关管理制度难以贯彻落实。 3 1 3 我国上市公司内、外部监管薄弱 我国上市公司内部设立了独立董事和内部审计委员会，但是独立董事和内部 审计委员会形同虚设，没有起到应有的监管作用。 在上市公司外部形成了财政、审计、税务及证券监管的政府监督和注册会计 师、社会舆论等社会监督。但是由于各种监督的功能交叉、标准不一，再加上分 散管理、缺乏横向信息沟通，造成如此庞大的监督体系其监督效果并不尽人意。 3 2 我国上市公司内部控制存在的问题及原因分析 近几年随着现代公司制度的建立，虽然很多上市公司都意识到了内部控制建 设的重要性，并制定了相应内部控制手册，但是内部控制系统并没有真j 下有效的 建立，内部控制手册也没有起到应有的作用，因此我国上市公司内部控制仍然存 在很多问题，具体来说存在以下问题： 3 2 1 缺乏良好的控制环境 控制环境是一个公司内部控制的基础，没有良好的控制环境，公司的内部控 制就很难发挥有效的作用。所以改善上市公司的控制环境对于提高上市公司内部 控制的有效性有着非常重要的意义。就我国上市公司目前的控制环境而言，主要 存在以下问题： ( 1 ) 缺少企业文化，未形成管理者管理理念 我国很多上市公司并没有形成自己的企业文化，即使规定出各种规章制度 来，但没有形成良好的执行氛围，没有很好地将企业制度与文化、习惯、行为标 准很好的结合起来。事实已经证明，没有自己的企业文化作为支撑，“为控制而 控制”肯定是事倍功半的，只要企业发生一点小的变故，如总经理换人，企业就 会成为一盘散沙。 企业文化与企业管理者的素质是密切相关的。在公司的经营过程中，管理者 的管理理念和经营风格对公司内部控制的效率和效果影响深远，直接影响到下级 员工的道德行为和思维方式。然而我国真j 下的企业家队伍还没有建立起来，一些 上市公司的管理者还没有形成真j 下的管理理念，对内部控制的认识处在一个较低 水平，还停留在“内部牵制”和“内部控制”阶段，存在着诸如“控制就是牵制”， “控制就是处罚”等许多误区。 ( 2 ) 董事会和监事会监督效率低下 董事会和监事会是上市公司内部控制系统的核心。目前，我国上市公司在形 式上建立了董事会、监事会，聘任了总经理班子，并且引入独立董事制度，设立 青岛科技火学研究生学位论文 了审计委员会，但在实际工作中，却存在重形式、轻制度的问题，从而导致董事 会和监事会的监督效率低下。 ( 3 ) 组织结构不尽合理 组织结构是指组织内部分工协作的基本形式或框架，公司组织结构建设的好 坏直接影响到公司的经营成果及控制效果。在我国上市公司中，有的公司组织机 构过于复杂，以致出现办事手续繁琐困难等现象；有的公司由于分工不合理、职 位不清晰导致职责关系不明确，工作互相干扰；还有的公司存在部门问协调困难， 协作性差等问题。 3 2 2 双元控制主体矛盾导致内部控制不力 现代企业所有权与经营权的分离，客观上产生了两个控制主体，即所有者控 制主体、经营者控制主体，两者之间是“控制与被控制的关系。一方面是所有 者对经营者的控制，因为所有者拥有对经营者经营权的最终控制权，同时也决定 着其报酬的高低；另一方面在实际的经营过程中企业的控制权实质是为经营者所 拥有，所有者还要依靠经营者“尽心尽力”地工作才能实现其资本的扩张和企业 财富的增值，从这个意义上讲所有者又受制于经营者。双元控制主体矛盾性导致 内部控制存在漏洞，主要有以下几点原因： ( 1 ) 所有权与经营权制约失衡使内部控制权责不清 两权分离是现代企业的重要特征，而所有权与经营权的相互制约是现代企业 健康发展的前提和保证。从某种意义上讲，内部控制就应当是所有者对经营者的 控制，即应当体现所有者的意志和要求。但实际上，所有权往往是缺位的或虚拟 的，经营者实质性拥有了对企业资产的控制权和处置权，明显地出现了所有者对 经营者约束不力，其结果则会产生经营者滥用职权、谋取私利、独断专行等后果。 这样，势必导致企业控制失灵、会计信息依需而做、内部审计形同虚设等。 ( 2 ) 内部控制的所有者主体意识得不到体现使内部控制弱化 内部控制是控制主体意志的体现，控制者都希望成为控制主体以实现其控制 目标，但由于企业经营者成了现实的会计控制主体，直接控制着会计信息的生成 和利用；而所有者则成为虚拟的控制主体，其对经营者的控制则主要是通过由经 营者所提供的财务会计信息来实现的。这样一种所有者和经营者客观存在的关 系，再加上双方利益上的矛盾甚至对立，从而形成了企业内部信息失真的可能性， 并弱化了内部控制的作用。 ( 3 ) 所有者与经营者利益上矛盾使内部控制的目的对立 对于所有者来说，他们期望获得真实的企业信息，并据此客观评价企业的经 营成果、正确估计其财务状况以便进行未来投资决策；另外，他们还希望能够控 制会计政策使其向维护所有者利益方面倾斜，比如贯彻谨慎性原则，足额并加速 风险管理框架下我国上市公司内部控制系统的构建 补偿固定资产成本等，确保自己投入资本的保值与增值。而对于经营者来说，则 可能因其不会过多地关心企业长远发展而采取与所有者相反的会计政策，因为在 多数情况下他们会更看重短期经营效益给自己带来的利益，这种短期利益驱动体 现在会计上则为张扬或夸大经营成果，掩盖决策失误和经营损失，侵占或者损害 所有者利益，如提前确认收入，不足额提取费用，在职时的过度消费等。这就必 然使得所有者与经营者在内部控制目的上产生严重的分歧，经营者会利用其掌握 的控制权为自己谋取利益。 3 2 3 风险管理意识淡漠 随着我国经济的发展，公司间竞争越来越激烈，公司将面对更大的环境变化 和生存风险。然而，从我国上市公司的现状来看，普遍存在着对形势和市场认识 不足、过于自信与乐观以及想当然的盲目扩张等现象，其风险意识并没有提到应 有的高度，更缺乏有效的辨认、分析和管理风险的机制，导致不少上市公司应变 能力和抗风险能力较差。 3 2 4 重事后控制，内部控制缺乏有效性 控制活动是管理当局为了确保其指令被贯彻执行而制定各种措施和程序，虽 然我国绝大多数上市公司都建立了内部控制制度，但仍存在着不少问题。从设计 上看，绝大多数上市公司在设置内部控制时偏重事后控制，通常是在问题出现以 后才设法堵塞漏洞或进行惩处，收效甚微；从执行上看，有些上市公司有章不循， 使得已建立的内部控制制度成为“写在纸上、贴在墙上、供人参观”的“死制 度”；而有的上市公司在内部控制的执行过程中不按规定程序办理，使内部控制 制度失去了应有的刚性和严肃性。 3 2 5 信息沟通不畅 目前我国不少上市公司存在信息沟通不畅的现象，具体表现在信息的下向沟 通中，普遍存在信息传递过程迟缓，信息在层层转达时发生歪曲，甚至遗失等现 象；而且由于信息反馈机制不完善，上向沟通受阻，使上层管理者无法迅速获得 第一手信息。 3 2 6 对内部控制监督不力 由于内部审计自身的独立性和对该公司情况的了解，使它能够及时发现内部 控制实施过程中存在的失控点和薄弱环节，并且提出予以完善的措施和方法，因 此内部审计可以完成对内部控制的监督。然而目前我国相当一部分上市公司对内 部控制监督不够重视，内部审计地位弱化，而且内部审计人员素质参差不齐，因 而无法正常发挥监督功效。 内部审计对内部控制系统的监督工作在一定程度上还需要通过外部审计的 再监督，来验证其质量和效果，然而我国目前对上市公司的内部控制并未作强制 青岛科技大学研究生学位论文 审计的要求。并且由于外部监督机制隶属于不同职能部门，没有形成一个综合整 治的合力，使得监督机制弱化。财政、税务、银行、审计等社会监督机构，工作 中未能形成综合监督的合力，对企业的威慑力不够。对审计的独立监督、公正职 能未予以充分重视，审计未形成规范化、法制化和经常化。对查出问题的处罚， 往往就事不就人，重人情而轻规定，执法的刚性被扭曲。 风险管理框架下我国上市公司内部控制系统的构建 4 上市公司内部控制系统的构建基础 要构建有效的上市公司内部控制系统，首先要确定系统构建的目标、构建原 则，以及系统构建所应用的模型。 4 1 内部控制系统构建目标 控制目标既是管理经济活动的基本要求，又是实施内部控制的最终目的，也 是评价内部控制系统的最高标准。在实际工作中，管理人员和审计人员总是根据 控制目标，建立和评价内部控制系统。因此，设计内部控制系统，首先应该根据 经济活动的内容特点和管理要求提炼内部控制目标，然后据以选择具有相应功能 的内部控制要素，组成该控制系统。美国注册会计师协会的审计程序委员会在内 部控制定义中，提出了战略、运营、报告、合规等四项控制目标；美国内部控制 组织委员会提出了三项控制目标即运营的效率和效果、财务报告的可靠性以及法 律法规的遵循性等。基于我国内部控制制度将内部控制的基本目标概括为六项： 维护财产物资的完整性；保证会计信息的真实性；保证财务活动的合法性；保证 经营决策的贯彻执行；保证生产经营活动的经济性、效率性和效果性：保证国家 法律法规的遵守执行。 4 2 内部控制系统构建的原则 ( 1 ) 相互牵制原则 相互牵制原则是指一项完整的经济业务活动，必须分配给具有互相制约关系 的两个或两个以上的职位分别完成。即在横向关系上，至少要由彼此独立的两个 部门或人员办理以使该部门或人员的工作接受另一个部门或人员的检查和制约； 在纵向关系上，至少要经过互不隶属的两个或两个以上的岗位和环节，以使下级 受上级监督，上级受下级牵制。其理论根据是在相互牵制的关系下，几个人发生 同一错弊而不被发现的概率是每个人发生该项错弊的概率的连乘积，因而将降低 误差率。为使上市公司内部控制系统更加有效需要分离的职责主要是：授权、执 行、记录、保管、核对。 ( 2 ) 协调配合原则 协调配合原则是指在各项经营管理活动中，各部门或人员必须相互配合，各 岗位和环节都应协调同步，各项业务程序和办理手续需要紧密衔接，从而避免扯 青岛科技大学研究生学位论文 皮和脱节现象，减少矛盾和内耗，以保证经营管理活动的连续性和有效性。协调 配合原则，是对相互牵制原则的深化和补充。贯彻这一原则，尤其要求避免只管 牵制错弊而不顾办事效率的机械做法，而必须做到既相互牵制又相互协调，从而 在保证质量提高效率的前提下完成经营任务。 ( 3 ) 程式定位原则 程式定位原则是指公司单位应该根据各岗位业务性质和人员要求，相应地赋 予作业任务和职责权限，规定操作规程和处理手续，明确纪律规则和检查标准， 以便职、责、权、利相结合。岗位工作程式化，要求做到事事有人管，人人有专 职，办事有标准，工作有检查，以此定奖罚，以增加每个人的事业心和责任感， 提高工作质量和效率。 ( 4 ) 成本效益原则 成本效益原则是指要求公司力争以最小的控制成本取得最大的控制效果。因 此，在实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比 例，也就是说，因实行内部控制所花费的代价不能超过由此而获得的效益，否则 应舍弃该控制措施。 ( 5 ) 整体结构原则 公司内部控制系统必须包括控制环境、目标制定、事项识别、风险反应、风 险评估、控制活动、信息与沟通、监督八项要素，并覆盖各项业务和部门。换言 之，各项控制要素、各业务循环或部门的子控制系统，必须有机构成为公司内部 控制的整体架构。这就要求各子系统的具体控制目标，必须对应整体控制系统的 一般目标。 4 3 上市公司内部控制系统构建模型 4 3 1c o s o 内部控制框架 c o s o 内部控制框架包含运营的效率和效果、财务报告的可靠性以及法律法规 的遵循性三大目标和控制环境、风险评估、控制活动、信息与交流、监督五大要 素。三大目标和五要素构造了内部控制系统的整体框架，帮助人们更全面和更深 刻地理解内部控制及其控制对象，使公司能够以内部控制为有力武器。 c o s o 内部控制框架能确认出内部控制的三大主要目标，提出五个互相关联的 组成要素，每个要素都包括这三个目标。根据公司的规模和结构，公司可采用不 同方式来实施这些组成要素，由于所有公司都将涉及这五个组成要素，因此，在 对内部控制进行评估时，管理层必须考虑每个组成要素。内部控制要素及其关系 如图4 - 1 所示。 风险管理框架下我国上市公司内部控制系统的构建 水平的平面代表公司三大目标 垂直的平面代表公司五大要素 第三个平面代表公司各个层面 图4 - 1c o s 0 内部控制框架 f i g 4 1c o s oi n t e r n a lc o n t r o lf r a m e w o r k c o s 0 五要素贯穿于公司的每个业务活动中，当五要素存在并且有效运行时， 才能说公司在三大目标方面内部控制是有效的。 4 3 2 风险管理框架 水平的平面代表公司四大目标 垂直的平面代表公司八大要素 第三个平面代表公司各个层面 图4 - 2 风险管理框架 f i g 4 2t h er i s km a n a g e m e n tf r a m e w o r k 2 0 0 4 年9 月，内部控制组织委员会提出风险管理框架，风险管理框架是在 2 0 青岛科技大学研究生学位论文 c o s o 内部控制框架的基础上加入一个目标战略目标，三个要素目标制 定、事项识别、风险反应，因此风险管理框架涵盖了四大目标和八个要素( 如图 4 2 所示) 。在风险管理框架下，建立的内部控制系统要以内部控制环境为基础， 识别业务流程风险，制定业务内部控制活动，并加强内部审计部门的监督作用、 信息系统沟通信息的效率性以及加强风险管理系统对整个业务系统内部控制流 程中对风险的识别和反应能力。 风险管理框架中的八要素贯穿于公司内部的每个业务层面，使公司内部控制 有效的运行，从而实现框架中的四大目标。 4 4 我国上市公司内部控制系统构建的框架 本文构建上市公司内部控制系统以风险管理框架为主线，以完善公司内部控 制环境为基础。按内部控制目标把公司内部控制活动划分为管理层次和操作层次 的内部控制。管理层次内部控制系统是从宏观上，是站在整体的角度去保证上市 公司的经营效率和财务信息的真实性并对整个控制系统起到一个沟通与监督的 作用，它与经济业务、经济事项联系较少。管理层次内部控制系统主要为内部审 计系统、风险管理系统、信息系统的构建。操作层次的内部控制系统则是与上市 公司经济业务、经济事项紧密相关，对上市公司的经济业务进行分析以控制目标 为出发点，从而进行事项识别找出业务流程的控制点，对经济业务的发生、记录、 报告等进行控制，及时做出风险反应从而达到维护财产物资的完整性以及保证生 产经营活动的经济性等目标。同时根据上市公司的组织结构以及经济业务需要把 内部控制系统划分子系统。操作层次的内部控制系统主要根据经济业务的重要性 把系统划分为五个子系统，分别为：货币资金控制系统、销售与收款控制系统、 购货与付款控制系统、生产流程控制系统和投资与筹资控制系统，各子系统在构 建时都以风险管理框架为主线，先确定构建目标，再对子系统涵盖事项进行识别， 从而识别风险，最终选择控制关键点实施风险控制。 本文构建上市公司内部控制系统的框架及思路如图4 - 3 所示。内部控制环境 是构建内部系统的基础，内部控制评价系统对整个系统进行全面评价，管理层次 的子系统对操作层次的子系统进行全面、有效的监督及信息协调和风险控制。操 作子系统的构建以目标制定、事项识别、风险控制为主线进行构建，整个公司内 部系统的构建涵盖了风险管理框架的要素，并增加了有效性评价子系统，使构建 的内部控制系统更为全面、有效。 风险管理框架下我国上市公司内部控制系统的构建 图4 - 3 我国上市公司内部控制系统构建框架 f i g 4 - 3t h ef r a m e w o r ko fi n t e r n a lc o n t r o ls y s t e mi no u rc o u n t r yl i s t e dc o m p a n i e s 2 2 青岛科技大学研究生学位论文 5 我国上市公司内部控制系统的构建 5 1 上市公司内部控制环境的建设 5 1 1 诚信原则和道德价值观建设 内部控制环境的建设是内部控制系统构建的基础，而员工的诚信和道德价值 建设是公司内部控制环境建设的基础，因此员工的诚信和道德价值观建设是很重 要的。 在现代所有权和经营权相分离的产权格局下，公司目标、管理者目标和员工 的目标不尽相同，以及信息不对称条件限制，管理者和员工都会存在“不道德” 和逆向选择的风险。公司应加强职业道德、诚信道德的教育和氛围培育，培养 员工的忠诚度。在现代内部控制来看，员工也是企业的顾客，而且是真正为企业 创造价值的顾客，传统意义上的顾客对公司面言只是消费价值的顾客。要把消费 价值的顾客牢牢的吸引在公司，就必须拥有大批极有创造价值能力的顾客对企业 的无限忠诚。为此应通过以下方式建立员工的忠诚度： ( 1 ) 促使员工认同公司的价值观 价值观在公司中的作用表现在员工进入企业前要作出慎重选择；实现员工职 业目标与公司目标相匹配。培养员工对企业价值观的认同，使每个人行为的优化 标准都有助于增值。内部控制对标准及检查考核指标的设计，必须保证充分展示 企业的价值观，这样随着内部控制工作的逐渐深入，企业价值观就会对全体员工 产生潜移默化的作用，最终成为他们自觉倡导并力求做到的目标。 ( 2 ) 引导员工变革 公司旺盛的生命力在于其具有巨大的新陈代谢功能，而一个强有力的“免疫 系统”即内部控制是这种能力的一种保障。公司新陈代谢功能的增强，来自于其 创新能力的提高。而创新能力的形成，又是每一位员工积极变革推动的结果。为 了达到此目的应建立相应的激励与约束机制，引导管理层与员工行为符合企业的 文化。 5 1 2 改造董事会 ( 1 ) 董事会的功能定位 董事会作为公司治理控制层次的核心其功能定位很关键，对董事会的功能定 位应当体现董事会的决策控制权及相应的监督权阳3 。公司治理框架应当确保董事 风险管理框架下我国上市公司内部控制系统的构建 会对公司的战略性指导和对管理层的有效监督，并向公司与股东说明责任。董事 会做为企业内部控制的监管主体，要确实加强对管理层、董事会成员和股东之间 存在的潜在冲突进行监督与管理，包括对公司资产的滥用和不正当交易的监督与 管理。保证公司会计和财务报告体系的完整性，其中包括独立审计和恰当的控制 系统，特别是监督风险、财务控制和公司活动合法性的体系。对确保公司正常运 行的治理实务进行监管，并在需要时进行更改。对信息披露和沟通过程进行监督。 董事会职责可以概括为：一是聘用和激励经理层，对公司经营管理进行指导和监 督，评价经营者绩效；二是研究重大发展战略和发展计划，进行战略决策，通过 预算实施监控；三是董事会为股东谋利益，维护与公司有关的利益群体的利益， 向利益相关者真实报告公司经营情况，保证公司生存；四是制定政策和制度，确 保经营管理符合法律法规。 ( 2 ) 董事会的人员构成 为了实现董事会的功能，就需在董事会的人员构成上进行改革，使董事长与 最高经营者分离、增加独立董事并且明确董事的任职资格。 我国普遍存在着董事长与最高经营者两职合一的情况，从而减少了董事会对 经营者的监督。很多公司中董事长是公司的法定代表人，唯一享有对外代表法人、 签署各种合约和其他法律文件的权利。很多企业实际操纵在董事长一人之手，因 此为了发挥董事会的指导与监督职能，董事长就必须与最高经营者相互分离，使 管理层成为真正的经营者。 为了增加董事会的独立性，真正发挥专家的作用，在董事会中应增加独立董 事和外部董事的比例。让董事会不被大股东所控制，形成内部相互制衡的机制。 董事会的成员一定要满足其职责的要求，具备履行职务所必需的知识、技能 和素质。董事会的人员构成要实现专业、经验等方面的互补。董事会作为公司战 略性指导和对管理层进行监督的主体。其承担的责任和作用是显而易见的，所以 必须保持董事会及其成员有足够能力和热情来从事其工作。 5 2 管理层次内部控制系统的构建 5 2 1 内部审计系统的构建 内部审计是一种独立、客观的保证与咨询活动，目的是为机构增加价值并提 高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程 序进行评估和改善，从而帮助机构实现它的目标。蚓。在现代企业制度下，内部审 计处于越来越重要的位置。内部审计虽然不直接为企业创造价值。但它通过为企 业提供独立、客观的保证与咨询活动，通过系统地规范地评价企业的治理、风险 青岛科技大学研究生学位论文 管理与控制过程，通过为企业提供有价值的经营管理信息白j 接地为企业增加价 值。 ( 1 ) 内部审计系统的构建目标 内部审计的目标是通过分析、评价被审计的经营活动，提出建议和中肯的评 论以帮助管理当局所有成员有效地履行其责任，并保证和促进管理当局受托经济 责任的有效履行。受托经济责任可以分为行为责任和报告责任，行为责任指按照 特定要求和原则经营受托经济资源，从而相应地形成保全责任、遵纪守法责任、 节约责任、效果责任、社会责任等。报告责任指按照特定的要求和原则报告经营 状况。 ( 2 ) 内部审计系统的构建原则 内部审计组织机构是内部审计工作的基础，科学、有效的内部审计组织机构， 是内部审计发挥作用的关键。为了充分发挥内部审计的作用，我国上市公司在设 置内部审计组织机构时应峰持独立性和权威性两个原则。 独立性原则是设立内部审计组织机构最重要的原则。在这个原则指导下，内 部审计组织机构在审计人员、审计工作和审计经费等方面应独立于被审计单位， 独立行使审计职权，不受股东、总经理、其他职能部门和个人的干预，以体现审 计的客观性、公正性和有效性。如果将内部审计机构隶属或合并于本单位的其他 部门，就会使内部审计失去其应有的独立性。 权威性原则是内部审计工作充分发挥作用的另一个关键因素。主要体现在内 部审计组织机构的地位和设置层次上。内部审计组织机构的组织地位和设置层次 越高，权威性越大，内部审计的作用就发挥得越充分。内部审计的组织地位和作 用的发挥是相辅相成的，一方面，内部审计作用的扩大为内部审计赢得较高的组 织地位创造了机会；另一方面，组织地位的提高，独立性的增强又为内部审计人 员履行其职责、发挥内部审计的职能作用提供了条件。另外，内部审计要有一定 的处罚权，这样才能充分体现内部审计的权威性。 3 ) 我国上市公司内部审计系统的构建 在现代企业制度下构建内部审计系统可以借鉴国际内部审计系统构建的模 式，在国际上有三种比较权威的内部审计系统构建模式：审计委员会领导下的内 部审计机构设置；监事会领导下的内部审计体制；总经理领导下的内部审计体制 艏】 0 审计委员会制度起源于美国2 0 世纪9 0 年代，是西方企业中普遍建立的一种 内部审计制度。盯1 。审计委员会在公司组织结构中隶属于董事会，是董事会下属的 一个专门委员会，一般由3 - 5 名独立董事组成。它的主要职责是监督财务报告、 保证审计质量、评价内部控制。对审计的领导主要表现在批准内部审计章程及内 风险管理框架下我国上市公司内部控制系统的构建 部审计部门的组织结构，批复年度审计计划及人员、费用预算，任免审计主管， 考核审计工作成果。 监事会领导下的内部审计体制是指公司设立监事会，由监事会行使内部审计 工作，监事会主要行使的职权有：检查公司的财务；对董事、经理执行公司职务 时违反法律、法规或者公司章程的行为进行监督；当董事和经理的行为损害公司 的利益时，要求董事和经理予以纠正；提议召开临时股东大会。内部审计机构设 在监事会下，从独立性和设置层次上相对较高，在审计实务中侧重于监督忽视了 审计的评价、服务职能。 总经理领导下的内部审计体制是指内部审计机构隶属于总经理领导，这样的 内部审计模式有利于同常性内部审计工作的丌展，但是由于内部审计机构隶属于 总经理领导，使内部审计工作不利于为财产所有者服务，造成内部审计的地位和 独立性较差。 考虑到我国上市公司的现状，在构建适用于我国上市公司内部审计系统时采 用在董事会下设审计委员会的做法，审计委员会成员由董事长、非执行董事、总 审计和非公司董事( 外聘) 等组成，这种组织模式是现代企业制度下内部审计组 织机构的最佳模式。这种构建模式下内部审计机构既有较强的独立性和权威性， 又能全面的发挥内部审计的职能。 上市公司内部审计机构独立性和权威性的强弱取决于内部审计机构的隶属 关系和领导层次的高低。董事会和经营管理机构是企业的主要领导机构，故在其 领导下的内部审计机构能够较好体现它的相对独立性和权威性，从而为内部审计 工作顺利开展奠定良好的基础。 传统的内部审计多强调和偏重于内部审计的监督职能，忽视了内部审计的评 价、鉴证和服务职能。从西方现代内部审计工作的发展来看，其重心已转移到评 价、鉴证和建设性功能的发挥，这同样也是我国内部审计的发展趋势。在这种组 织模式下，内部审计机构作为审计主体，主要发挥监督职能；同时又作为行政内 容，则承担评价、服务等职能，更好地实现内部审计促进“改善经营管理、提高 经济效益”职能的发挥。 上市公司在建立规范有效的内部审计系统的同时应加强对下属子公司的内 部监督。集团公司下属不具法人资格但属于集团核心分公司的，应派专职审计人 员或设立审计派出机构，对分公司进行同常审计监督；否则接受集团公司审计委 员会的直接监督。对集团公司下属子公司，因其具有法人资格，所以子公司有义 务视自己的经营规模考虑是否单独设立审计机构。若设立审计机构，宜采用“监 事会负责制”；若子公司不独立设立审计机构，则集团公司审计委员会将在子公 司设立内部审计派出机构，但需通过子公司董事会同意。 青岛科技人学研究生学位论文 5 。2 。2 上市公司风险管理系统的构建 ( 1 ) 上市公司风险管理系统的构建目标 构建上市公司风险管理系统的目标是为企业实现其经营目标提供合理的保 证，也就是为了保证企业经营目标的实现，将企业的风险控制在由企业战略决定 的范围之内。同时，上市公司构建风险管理系统还可以确保公司遵守有关法律法 规，确保公司内外部尤其是公司与股东之i 日j 实现真实、可靠的信息沟通，保障企 业经营管理的有效性，提高经营效率，保护公司不至于因灾害性事件或人为失误 而遭受重大损失。 ( 2 ) 上市公司风险管理系统的构建原则 上市公司在构建风险管理系统时，应遵循全面性原则、定性与定量相结合原 则和成本效益原则。全面性原则是指公司风险管理必须覆盖公司的所有部门和职 位，渗透各项业务过程和业务环节。定性与定量相结合原则是指建立完备的风险 管理指标体系，使风险管理更具客观性和操作性。成本效益原则是指公司在构建 风险管理系统时，要以最小的风险管理成本，使预期损失减少到最低限度或使实 际损失得到最大的补偿。 ( 3 ) 上市公司内部风险控制机制的构建 针对上市公司内部控制风险，在上市公司内部应当设立风险管理部门并建立 内部控制机制，主要包括风险预警机制、风险约束机制、j x l 险激励机制。 上市公司风险预警机制的构建 预警机制是风险内部控制的基础，所以只有首先对风险进行识别，才能采取 有效的措施对风险进行控制。 建立风险预警机制首先应建立风险评估的信号和指标体系，包括先进技术的 评价体系、各项财务指标、可能出现的政策风险和法律风险、容易受自然灾害影 响的环节等。其次，应健全风险控制的运行体系。收到预警信号后应及时采取措 施，以防风险的发生。再次，建立风险处理的快速反应部门。风险处理能力的快 慢体现企业应对紧急情况的处理能力，当风险事件发生后，应当有相应的部门及 时进行处理，以免风险的扩大和蔓延。 上市公司约束机制的构建 约束机制是由约束公司内部各运作主体按既定目标要求和具体标准从事相 应活动的若干要素组合而成的种机制。内部相互约束的管理机制是控制内部风 险的前提。可以从以下几个方面建立这种机制：一是组织约束控制，加强部f 1 2 _ 间的合作与制衡。二是操作约束控制，包括投资限额控制、操作标准化控制、业 务隔离控制；三是监督检查控制，理想的监督体系应是全过程、动态的、权威性 的监督。同时，内部监督的主要目的是保证公司经营的安全、高效，一般是事前、 风险管理框架下我国上市公司内部控制系统的构建 事中监督，讲求监督的时效性。 上市公司激励机制的构建 激励机制是上市公司对各层次的运作主体为达到预定目标而设定物质或非 物质的奖励安排。它主要包括目标激励和利益激励。由于公司内各层次委托方和 代理方各有不同的利益目标，委托方根据目标设定相应的目标激励政策可以产生 激励力量。目标激励可以激发出人的内在潜力，并且人都有受到尊重的需要和自 我实现的需要，人在完成一定目标之后就会产生自尊和自我实现的感觉，因此， 没有物质刺激，仅仅是目标刺激也可以产生激励力量。利益激励则不同，公司各 主体参与公司经营归根到底是为了一定的利益目的，出资者是为了资本增值，债 权人是为了获得利息，经营者和企业职工是为了获取劳动报酬，在企业委托代理 关系中，报酬问题总是代理方最关心的问题，也是代理成本的重要组成部分，因 此，适当的利益激励可以使代理方最大限度地为委托方的目标努力，使委托方利 益最大化。 5 2 3 上市公司信息系统的构建 ( 1 ) 上市公司信息系统的构建目标 公司性质不同，对于信息的需求也不同，因此不同性质的公司构建信息系统 的目标也不一样例。但是任何上市公司在构建信息系统时的有一个共同目标就是 在保证信息完整、相关的前提下加快信息的传达，提高内部控制的效率与效果。 信息的完整性是指提供的信息是全面的，满足上市公司内部控制有效的需 求。信息的相关是指提供的信息是需要的、有用的，而不是无用的信息。加快信 息的传达就是不让信息传达或各部门进行沟通的时候出现信息停滞，使信息需求 者无法及时得到需要的信息，从而导致做出错误的决策。信息传达流畅，对于公 司内部控制系统在运行时出现的薄弱环节，可以及时传达到有关部门，对这些漏 洞及时做出风险反应，所以信息系统的构建可以提高内部控制的效率和效果。 ( 2 ) 上市公司信息系统的构建 由于上市公司对信息的需求不同，无法构建统一的信息系统模式，但是上市 公司在构建信息系统时的过程都是相同的，主要包括信息需求分析阶段、全面规 划和设计阶段、系统实施阶段和系统运行管理维护阶段。其构建步骤如图5 - 1 所 示。 图5 - 1 信息系统的构建 f i g 5 - 1t h ed e s i g no ft h ei n f o r m a t i o ns y s t e m 青岛科技人学研究生学位论文 信息需求分析阶段 信息需求分析阶段主要是通过信息需求分析，了解公司规模、生产类型、产 品特点、销售状况等方面的信息，明确各部门的信息处理要求，了解公司内部各 项业务处理方式和处理流程，调查分析公司员工对信息系统的期望效果，最终确 定信息系统应达到的功能。 全面规划和设计阶段 全面规划与详细设计阶段应完成以下若干工作：确定技术合作伙伴；商讨技 术服务与技术合作细节；制定系统结构与网络布线图；确定系统硬件与软件配置； 对系统进行投资评估和性能评估；综合对比不同的实施方案，选择性价比最高的 方案，并进行最后的完善工作。在规划和设计时应充分考虑公司本身的特色和实 际需要，将经济和技术结合起来，不应要求公司投资一步到位，应留有技术升级 和后续发展的余地。 系统实施阶段 系统实施阶段是指根据最终方案，对各种设备进行合理安装，并安装网络操 作系统和相关软件，进行测试。在施工中，可先组建一个简单的实验系统，经测 试符合要求后再全面实施。 系统运行管理维护阶段 系统投入运行后，应做好系统的管理维护工作，除了日常的业务处理和设备 维护外，还应做好人员培训、信息采集、信息开发和服务以及系统的升级和安全 工作。 5 3 上市公司操作层次内部控制系统的构建 上市公司操作层次的内部控制系统的构建是在风险管理框架的指导下进行 的，其构建步骤为：确定系统控制目标，整合控制流程，识别风险找出控制关键 点，从而确定控制措施实施风险控制。 5 3 1 货币资金控制系统的构建 货币资金是指在生产经营过程中处于货币形态的那部分资金，包括现金、银 行存款和其他货币资金。货币资金是上市公司流动性最强、控制风险最高的资产， 是公司生存与发展的基础。货币资金贯穿于公司整个经济业务流程，大多数贪污、 诈骗、挪用公款等违法乱纪的行为都与货币资金有关，因此，必须加强对企业货 币资金的管理和控制，建立健全货币资会内部控制，确保经营管理活动合法有效。 ( 1 ) 货币资金控制系统的控制目标 货币资金的控制目标是货币资金内部控制系统的根本出发点，货币资金的控 风险管理框架下我国上市公司内部控制系统的构建 制目标主要包括保证货币资金收支正确合法；保证货币资金结算及时恰当；保证 货币资金存储安全、完整；保