（会计学专业论文）中小企业内部控制研究——以m公司为例.pdf

首都经济贸易大学硕士学位论文 中小企业内部控制研究 i 摘 要 摘 要 近年来，我国中小企业发展迅速，已经成为社会主义市场经济的重要组成部 分，在国民经济中占有重要的地位。然而，我国中小企业在发展中，对内部控制的 建设往往是无意识的或是照搬国外大公司的模式。因此，建立和完善中小企业内部 控制有利于企业提高绩效，为中小企业的发展提供制度保障。本文通过对中小企业 的内部控制状况进行深入、系统地分析研究，旨在运用内部控制的相关理论解决中 小企业发展中所面临的各种问题。 本文所选取的研究对象 m 公司是一家生产销售碳酸系列饮料的外商独资企业， 通过对 m 公司内部控制现状的分析，运用内部控制的原理和方法，对其提出内部控 制设计整体思路、设计原则和具体步骤，以及在此基础上对其授权审批制度及流程 等内控制度进行具体设计，相信这对 m 公司改善内部控制、抵御风险将有所裨益。 本文共分六章，第一章引言，主要从理论与实践两方面介绍中小企业内部控制 研究的选题背景及研究思路；第二章对内部控制的基本理论展开深入细致的研究， 重点阐述内部控制理论的发展历程、构成要素以及内部控制整体框架的设计原则； 第三章在对中小企业做出科学界定的基础上，深入分析中小企业内部控制中存在的 诸多问题；第四章为案例研究，在对 m 公司背景资料进行客观评述的基础上，从内 部控制构成要素的五个方面深入分析 m 公司内部控制中存在的问题；第五章以内部 控制整体框架为理论基础，以内部控制五要素为视角，对 m 公司内部控制设计的整 体思路、设计原则以及具体步骤进行阐述，并最终对授权审批制度及流程等内控制 度做出具体设计；第六章阐明本文的研究结论与不足。 关键字 关键字：中小企业 企业风险管理 内部控制 控制环境 风险评估 首都经济贸易大学硕士学位论文 中小企业内部控制研究 ii abstract in recent years, medium-small sized enterprises develop rapidly in china, which have already become an important constituent part of social market economy and played an ever more important role in economical activities. nevertheless, our medium-small sized enterprises have been adopting foreign or giant enterprises model as to the construction of internal control. therefore, the constructing and perfecting internal control is beneficial for the improvement of efficiency of medium-small sized enterprises and to offer the indemnification in policy and procedure for their development. based on the analysis and research on the status of internal control in medium-small sized enterprises, this paper intends to resolve various problems which medium-small sized enterprises should confront with during their developing. company m is the research object in this article, which is a foreign invested enterprise engaged in beverage manufacturing. based on the analysis of company ms internal control actuality, the paper tries to set forth the design thinking, principle and process of internal control designing, especially for the policy and procedure for the approval of authorization through exercising the principle and method of internal control. it will be benefits to improve internal control and capability of risk resisting for company m. there are six chapters in this article. chapter 1 is “exordium”, this chapter introduce the reason of theme selection and research thinking both in theory and practice. chapter 2 is “basic theory of internal control”, this chapter analyses the development course of internal control theory, its components and principle of design for internal control integrate framework. chapter 3 is “characteristic and internal control actuality of medium-small sized enterprises”, this chapter define the medium-small sized enterprise and analyses current problems of their internal control. chapter 4 is a case study. by means of research the background information, this chapter analyses the current 首都经济贸易大学硕士学位论文 中小企业内部控制研究 iii problems of internal control for company m based on the five components. chapter 5 is “design of internal control for company m”, this chapter intends to design the detail policy and procedure for the approval of authorization in company m on the bases of design thinking, principle and process of internal control designing. chapter 6 is “conclusions and insufficiencies”, this chapter tries to point out the conclusions of the study and the insufficiencies in the paper. key wordskey words: medium-small sized enterprise, enterprise risk management, internal control, control environment, risk appraisal 独 创 性 声 明 独 创 性 声 明 本人郑重声明：今所呈交的中小企业内部控制研究-以 m 公司 为例论文是我个人在导师指导下进行的研究工作及取得的科研成 果。尽我所知，文中除了特别加以标注和致谢的地方外，论文中不包 含其他人已经发表或撰写的内容及科研成果， 也不包含为获得首都经 济贸易大学或其它教育机构的学位或证书所使用过的材料。 作者签名 作者签名： 日期：日期： 年年 月月 日日 关于论文使用授权的说明关于论文使用授权的说明 本人完全了解首都经济贸易大学有关保留、使用学位论文的有关 规定，即：学校有权保留送交论文的复印件，允许论文被查阅、借阅 或网络索引；学校可以公布论文的全部或部分内容，可以采取影印、 缩印或其它复制手段保存论文。 （保密的论文在解密后应遵守此规定）（保密的论文在解密后应遵守此规定） 作者签名：作者签名： 导师签名：导师签名： 日期：日期： 年年 月月 日日 首都经济贸易大学硕士学位论文 中小企业内部控制研究 第 1 页，共 56 页 1 引 言 1 引 言 企业内部控制源自“内部牵制”，它是企业现代化管理的产物。最先关注企业 内部控制的是外部审计师，外部审计师从其对审计的影响及其重要作用方面来关注 企业的内部控制；此后，内部控制才逐步引起企业管理人员的关注和重视。但是双 方关注的角度不同，企业管理者是从其对管理目标的达成和经营效率的提高方面来 关注内部控制的。 企业内部控制与会计信息质量密切相关。在通常情况下，企业内部控制有效， 会计信息质量就有所保障；企业内部控制失效，会计信息质量就失去保障。上市公 司会计信息失真问题是一个全球性的问题。如在我国证券市场上出现的“深圳原 野”、“琼民源”、“红光”、“郑百文”、“银广厦”等等，在国外出现的“巴 林银行”、“安然”、“世通”、法国兴业银行等等。尽管这些事件的发生背景不 完全相同，个中原因也比较复杂，但在内部控制失效这一点上却是惊人的相似。安 然事件最终导致美国政府颁布新条例来加强对审计机构的监督。我国虽然对内部控 制的理论研究和实践探索起步较晚，但近几年来内部控制在理论与实务界也得到了 空前的重视。1999 年 10 月通过新修订的中华人民共和国会计法（以后简称 会计法）第二十七条明确规定各单位必须建立健全内部控制制度，以保证会计 信息的真实、合法性；2002 年中注协颁布的内部控制审核指导意见（以后简称 指导意见）指出，按照新修订的会计法的要求，建立健全内部控制并保持 其有效性，是被审核单位管理当局的责任，按照本意见的要求，了解、测试和评价 内部控制，出具审核报告，是注册会计师的责任，注册会计师应就被审核单位管理 当局对特定日期与会计报表相关的内部控制有效性的认定进行审核，并发表审核意 见。指导意见正式将企业内部控制的规范纳入审计范围；自 2001 年 6 月至 2004 年 8 月，财政部先后出台了内部会计控制基本规范和货币资金、采购与付款、 销售与收款、工程项目、担保、对外投资等六项具体规范。可见，内部控制在我国 已经进入到一个理论研究与制度实施互相促进的新的发展阶段。 内部控制理论先后经历了内部牵制、内部控制制度、内部控制结构、内部控制 整体框架和企业风险管理整合框架五个历史发展阶段。其中，对管理实践最具权威 性和指导意义的当属美国 coso 报告对内部控制的定义，该定义提出了内部控制具有 控制环境、风险评估、控制活动、信息与沟通和监督等五项构成要素。在美国， coso 报告具有广泛的适用性。同时，美国内部控制评审准则强调内部控制在中小企 业中的应用，指出：当中小企业涉及复杂的业务，或者必须受那些大企业也需遵守 首都经济贸易大学硕士学位论文 中小企业内部控制研究 第 2 页，共 56 页 的法律法规的要求支配时，需要有比较正式的方法确保内部控制目标的实现。基于 这种认识，美国内部控制评审准则在增加的附录内部控制成分中，分别阐述了 五项控制要素在中小企业中的应用。 改革开放以来，我国的中小企业得到了蓬勃发展。据统计，目前中小企业已占 我国企业的绝大多数，对国内生产总值的贡献已占到三分之一以上，逐渐成为国民 经济增长的中坚力量，同时在中小企业的发展过程中，内部管理和控制问题随着环 境的变化、企业自身的发展，越来越突显出来。但是目前我国现行的准则和法规的 制定主要都是针对大企业或上市公司、国有企业和商业银行的，基本没有考虑中小 企业的特点，有关内部控制理论的研究更是很少提及中小企业；大多数学者针对内 部控制的具体方法和手段进行了研究，但是没有考虑到企业的性质、规模和产权结 构；甚至还有人认为中小企业没有两权分离而产生的代理问题，所以不需要控制。 因此我国中小企业对内部控制制度的建设要么是无意识的，并不专门建立内部控制 制度；要么就是简单照搬国外和大公司的模式，致使企业未能实现内部控制的目 标。所以说，在实践中不断摸索出一套适合中小企业构建内部控制的方法和程序， 具有深远的理论和实践意义。 本文正是在对内部控制相关理论进行深入研究的基础上，充分考虑中小企业自 身的发展特点，从控制环境、风险评估、控制活动、信息与沟通和监督五个方面对 背景企业 m 公司的内部控制状况进行深入细致的分析，同时遵循内部控制设计所要 求的相互牵制、协调配合、程式定位、成本效益和整体结构等五项基本原则，提出 符合 m 公司当前经营管理状况的内部控制设计具体步骤，并就其中最为关键的授权 审批制度以及非独立法人分支销售机构的内部控制进行具体设计，以期对改善 m 公 司的内部控制状况有所帮助，并力图为我国中小企业的内部控制建设提供借鉴。 首都经济贸易大学硕士学位论文 中小企业内部控制研究 第 3 页，共 56 页 2 内部控制的基本理论 21 内部控制理论的发展历程 2 内部控制的基本理论 21 内部控制理论的发展历程 迄今为止，被理论界所广泛认可的关于内部控制理论的发展大致经历了内部牵 制（20 世纪 40 年代前）、内部控制制度（20 世纪 40 年代至 80 年代）、内部控制 结构（20 世纪 80 年代）、内部控制整体框架（20 世纪 90 年代）和企业风险管理整 合框架（20 世纪 90 年代末至今）五个历史阶段。 211 内部牵制（internal check） 211 内部牵制（internal check） 内部控制，作为一个专用名词和完整概念，直到 20 世纪 30 年代才被人们提 出、认识并接受。但在此前的人类社会发展史中，早已存在着内部控制的基本思想 和初级形式，这就是内部牵制。远在公元前 3600 年的美索布达米亚文化记载中，就 可以发现内部牵制的痕迹，在当时极为原始的所谓财务管理活动中，记录人员被要 求核对付款清单，并在核对过的付款清单上标记“点、圈、勾”等核对符号，以示 账目核查工作的完成，这项记载表明简单的内部牵制措施已经出现在早期的会计实 践活动中；在古罗马时代，对会计账簿实施的“双人记帐制”即某笔经济业务发生 后，由两名记账人员同时在各自的账簿上加以登记，然后定期核对双方账簿记录， 以检查有无记账差错或舞弊行为，进而达到控制财物收支的目的，是一种典型的内 部牵制措施。 20 世纪初期，西方资本主义经济得到巨大发展，股份有限公司的规模不断扩 大，内部分工愈来愈细，生产资料所有者与经营者相互分离。为了保护企业资产， 保证会计记录的正确性，提高管理水平以期在激烈的竞争中取胜，那些具有一定规 模的企业，在实践中逐步摸索出一些组织、调节、制约和检查企业生产经营活动的 方法，即按照人们的主观设想建立内部牵制制度，以防范和揭露错误。所谓的内部 牵制制度是指企业内部明确各方面的权限、职责，便于在经济活动中相互联系、相 互制约、自动检验错误、防止舞弊的一种控制机制。基于该内部牵制定义建立起来 的会计工作制度，就叫做内部牵制制度。至此，内部牵制开始走向成熟。 在这一历史发展阶段，内部牵制作为会计的辅助职能，基本上是以查错防弊为 目的，以职务分离和账目核对为手法，以钱、账、物等会计事项为主要控制对象。 其 中 职 责 分 离 是 内 部 牵 制 的 一 个 基 本 特 征 。 通 过 职 责 分 离 ， 任 何 一 个 首都经济贸易大学硕士学位论文 中小企业内部控制研究 吴粒，洪银玉管理的需要是内部控制发展的内在动因中国注册会计师，2004，3 第 4 页，共 56 页 人进行偷盗或类似行为将更加困难，这有助于减少员工的舞弊行为。长期以来人们 普遍对上述内部牵制的基本思想查错防弊，形成了广泛的共识，以至于在现代 内部控制理论中，内部牵制仍然占有相当重要的地位，并成为内部控制理论中有关 组织控制、职务分离的雏形。对这一阶段内部控制理论最经典的概括莫过于柯氏 会计辞典（kohlers dictionary for accountant）,其将内部牵制被定义为“为 提供有效的组织和经营，并防止错误和其它非法业务发生而制定的业务流程。其主 要特点是以任何个人或部门不能单独控制任何一项或一部分业务权利的方式进行组 织上的责任分工，每项业务通过正常发挥其它个人或部门的功能进行交叉检查或交 叉控制”。 212 内部控制制度（internal control system） 212 内部控制制度（internal control system） 20 世纪初确立的内部牵制制度，虽然对企业管理起到了巨大的推动作用，但随 着企业规模的不断扩大，经济的进一步发展，其不完善之处也愈加突现出来。尤其 是 20 世纪 30 年代出现的世界性经济大危机，迫使许多企业加强了对生产的控制与 监督，促使企业的内部控制工作进一步超越会计及财务范畴，深入到企业内部的所 有部门及整个业务活动的方方面面。20 世纪 40 年代，特别是第二次世界大战后， 西方一些国家由于资本过于集中、市场国际化、贸易国际化，使企业规模迅速扩 大，业务日益繁杂。企业管理当局事必躬亲的传统管理方式已远远不能满足企业发 展的需要，必须建立一套与之相适应的管理制度和控制制度，使企业各项经济业务 程序化、标准化，人员职责分工制度化，一切经济手续执行规范化，以实现相互促 进，相互制约，防止错误和舞弊的发生。而且，随着分支机构的出现，也迫切要求 企业建立内部控制，以确保会计程序的统一性和运用会计程序的一致性，及验证各 分支机构的经济业务和利润中心的报告。所有这些都对企业管理提出了建立健全人 员条件、检查标准和内部审计等控制措施的要求，并促使内部控制从对单项经济活 动进行独立控制为主向对全部经济活动进行系统控制为主发展，进而形成包括组织 机构、岗位责任、人员条件、业务程序、处理手续、检查标准和内部审计在内的严 密的控制系统。 1934 年美国证券交易法，首先提出了“内部会计控制”的概念。1936 年美 国会计师协会（aicpa）发布的注册会计师对财务报表的审查文告，以及 1947 年审计准则暂行公告(tsas)，出于改进审计方式的需要，提出了以内部控制为 基础的审计程序。但在此期间，无论是审计文献还是在其他管理著作中，均没有关 于内部控制概念的权威性定义。为了赋予内部控制一个准确完整的定义，审计程序 首都经济贸易大学硕士学位论文 中小企业内部控制研究 第 5 页，共 56 页 委员会下属的内部控制专门委员会经过两年研究，于 1949 年发表了题为内部控 制、协调系统诸要素及其对管理部门和注册会计师的重要性的专题报告，对内部 控制首次做出了如下权威定义：“内部控制是企业所制定的旨在保护资产、保证会 计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻 执行的组织计划和相互配套的各种方法及措施”。 上述范围广泛的内部控制定义及其解释的发布，当时曾一度被公认为是对内部 控制这一重要概念的重大贡献。但该报告所定义的内部控制概念，其内容如此之宽 泛，以至于包括了审计人员在审查内部控制时所不愿、也不可能承担的职责。于是 在 1953 年 10 月，审计程序委员会(cap)又发布了审计程序公告第 19 号（sap no.19），对内部控制作了如下划分：“广义地说，内部控制按其特点可以划分为会 计控制和管理控制；（1）会计控制由组织计划和所有保护资产、保护会计记录可靠 性或与此有关的方法和程序构成；会计控制包括授权与批准制度；记账、编制财务 报表、保管财务资产等职务的分离；财产的实物控制以及内部审计等控制。（2）管 理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯 彻执行或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记 录发生间接的关系，包括统计分析、时动研究、经营报告、雇员培训计划和质量控 制等。”不难看出，之所以把内部控制划分为会计控制和管理控制，完全是为了按 照公认审计标准来规范内部控制检查和评价的范围。 修正后的内部控制定义，虽然大大缩小了注册会计师的责任范围，但仍然无法 避免人们对“会计控制”保护资产和保证财务记录可靠性这两点可能发生误解。终 于在 1972 年，美国准则委员会 (asb)审计准则公告的制定者，按照证券交易 法的思路进行深入的研究和讨论，在第 1 号公告中，对管理控制和会计控制提出 并通过了时至今日仍然广为人知的定义： （1） 内部会计控制。会计控制由组织计划以及与保护资产和保证财务资料可 靠性有关的程序和记录构成。会计控制旨在保证：经济业务的执行符合管理部门的 一般授权或特殊授权的要求;经济业务的记录必须有利于按照一般公认会计原则或其 它有关标准编制财务报表，以及落实资产责任;只有在得到管理部门批准的情况下， 才能接触资产；按照适当的间隔期限，将资产的账面记录与实物资产进行对比，一 经发现差异，应采取相应的补救措施。 （2） 内部管理控制。管理控制包括但不限于组织计划以及与管理部门授权办 理经济业务的决策过程有关的程序及其记录。这种授权活动是管理部门的职责，它 直接与管理部门执行该组织的经营目标有关，是对经济业务进行会计控制的起点。 这种以会计控制为主的定义，虽为审计界充分认可，却屡屡遭到企业管理者的 抨击。内部会计控制过多地放在纠错防弊上，过于消极和狭窄。企业管理者主张应 首都经济贸易大学硕士学位论文 中小企业内部控制研究 第 6 页，共 56 页 将内部控制范围和目标应予以扩展，以便它们更能够适应管理部门的需要。尤其是 一些内部会计控制的环境因素如组织计划、责任的确定和授权、预算程序和预算控 制、员工雇用计划和财务人员培训计划等。从管理人员(和其它有关第三方)的角度 来看，会计控制和管理控制之间的区别并不大，甚至根本没有区别。特别是那些置 身于企业经营活动的人们，他们很难接受这种区分。 213 内部控制结构（internal control structure） 213 内部控制结构（internal control structure） 西方学术界在对内部会计控制和管理控制进行深入研究的同时，逐渐发现这两 者是不可分割、相互联系又相互作用的一个整体，以致后来人们在提到内部控制 时，已不再对会计控制和管理控制加以严格的区分。这充分表明会计、审计界对内 部控制理论研究的重点正逐步从一般定义向具体内容深化。在这样的理论研究背景 下，1988 年 4 月美国注册会计师协会发布的审计准则公告第 55 号中首次以内 部控制结构一词取代原有的“内部控制”一词，这一准则的颁布和实施完全可以视 为内部控制理论研究的一个新的突破性成果。 以“财务报表审计对内部控制结构的考虑”为题的审计准则公告第 55 号指 出：“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策 和程序”，并且明确了内部控制结构的具体内容： (1)控制环境。控制环境是指对建立、加强或削弱特定政策和程序效率发生影响 的各种因素。具体包括：管理者的思想和经营作风；企业组织结构；董事会及其所 属委员会，特别是审计委员会发挥的职能；确定职权和责任的方法；管理者监控和 检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和 内部审计；人事工作方针及其执行、影响本企业业务的各种外部关系。 (2)会计系统。会计系统规定各项经济业务的鉴定、分析、归类、登记和编报的 方法，明确各项资产和负债的经营管理责任。健全的会计系统应实现下列目标：鉴 定和登记一切合法的经济业务；对各项经济业务按时进行适当分类，作为编制财务 报表的依据；将各项经济业务按适当的货币价值计价，以使列入财务报表；确定经 济业务发生的日期，以便按照会计期间进行记录；在财务报表中恰当地表述经济业 务以及对有关内容进行揭示。 (3)控制程序。控制程序指管理当局所制订的用以保证达到一定目的的方针和程 序。它包括下列内容：经济业务和经济活动的批准权；明确各个人员的职责分工， 防止有关人员对正常业务图谋不轨的隐藏错弊；职责分工包括：指派不同人员分别 承担批准业务、记录业务和保管财产的职责；凭证和账单的设置和使用，应保证业 首都经济贸易大学硕士学位论文 中小企业内部控制研究 第 7 页，共 56 页 务和活动得到正确的记载：对财产及其记录的接触和使用要有何保护措施；对已登 记的业务及其计价要进行复核。 上述内部控制结构的具体内容与 1972 年颁布的内部控制定义相比有两项明显的 突破；一是正式将内部控制环境纳入内部控制范畴，二是不再区分会计控制和管埋 控制。这些改变可以说是反映了 70 年代后期以来内部控制实务操作和理论研究的一 个新动向。 214 内部控制整体框架（internal control 一 integrated framework） 214 内部控制整体框架（internal control 一 integrated framework） 20 世纪 80 年代末 90 年代初，“控制”这一在管理学界曾一度备受冷遇的概 念，首先在美国管理学界渐成热门话题，其之所以得以如此迅速的发展并引起世界 各国的极大关注，无外乎以下几个原因： （1）跨国公司发展的需要。全球市场的进一步完善以及信息技术的高度发展， 使得跨国公司的发展异常迅猛，跨国公司的分支机构几乎遍布全球，迫使企业不得 不对其管理进行一次彻底的变革，健全内部控制制度迫在眉睫。 （2）企业声誉风险。通讯设施的发达使媒体的传播速度增快，若公司出现“失 控”事件，曝光的概率和范围将比过去成倍地放大，这不仅会给公司的供应商、顾 客、债权人、股东等对公司的决策带来负面影响，更会给公司今后的经营及持续发 展造成极大威胁。因此，加强内部控制可有效防范和及时发现问题，并予以纠正， 避免重大损失的发生。 （ 3）以虚假会计信息为主要手段的欺诈案件逐渐增多。良好的内控制度体系 不仅能够使企业合理配置资源，提高生产率，而且更能防范和发现企业大多数的 内、外部欺诈事件。在已发现的绝大多数以虚假会计信息为手段的企业内、外部欺 诈案件中，薄弱的内部控制是重要原因之一。据美国内部审计杂志上的一份调 查报告表明，自 1986 年 2 月起至 1990 年 11 月止已发现的 114 例欺诈案件，多数与 虚假会计信息及内部控制不健全有关。 正是在这样的历史背景下，内部控制理论的研究受到了空前的重视，更以美、 加的会计职业界为最，不惜花费巨资探讨内部控制应有的内容。 1992 午，美国“反对虚假财务报告委员会”（national commission on fraudulent reporting），所属的内部控制专门研究委员会发起机构委员会 （committee of sponsoring organizations of the tread-way commission，简称 首都经济贸易大学硕士学位论文 中小企业内部控制研究 第 8 页，共 56 页 coso 委员会），在进行专门研究后提出专题报告：内部控制整体框架 （internal control 一 integrated framework），也称 coso 报告。 coso 报告指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影 响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为 内部控制整体框架主要是由控制环境、风险评估、控制活动、信息与沟通、监督五 个相互联系、相互作用的要素构成。 与 coso 内部控制框架同一时期的研究成果中，最著名的要数加拿大注册会计师 公会所属的控制基准委员会 coco，于 1995 年 11 月发行的控制指导纲要。coco 提出了种更精简、更具动态，使用更多管理术语的内部控制基本架构，从目的、 承诺、能力、监督与学习四个方面，提出了 20 项控制标准。 纵观这一阶段内部控制理论研究的成果，其最具价值的突破在于，一是强调风 险评估在内部控制中的重要作用，二是强调信息与沟通是强化内部控制的重要途 径，三是强调对内部控制系统本身的监督是内部控制发挥作用的关键环节。coso 框 架与 coco 纲要的诞生更将这一研究推向了一个新的高度。 215 企业风险管理整合框架（enterprise risk management 一 integrated framework ） 215 企业风险管理整合框架（enterprise risk management 一 integrated framework ） 自 1992 年 coso 报告公布以来，内部控制整体框架已经被世界上众多企业 所采纳，同时理论界和实务界也纷纷对该框架提出了进一步的改进意见，特别是强 调内部控制整体框架的建立应与企业的风险管理紧密结合，从而掀开了 21 世纪内部 控制理论发展新的一页。 2001 年起，美国证券市场造假案频传，先是能源大鳄安然公司虚报近 6 亿美元 的盈利，导致其资信评级被降至垃圾等级，股价暴跌至 1 美元以下，申请破产保 护；紧接着在美国长途电话市场位居第二的世界通信公司又爆出 38 亿美元的财务欺 诈案（安然与世界通信公司的事件最终导致具有 90 年历史的安达信会计师事务所终 结）；随后著名的施乐公司承认的财务虚报数额更是令人震惊，使美国上市公司欺 诈的阴影挥之不去，公众对上市公司和纽约股票市场的信心一落千丈，产生了严重 的信任危机。美国证券交易委员会主席哈维皮特将安然公司倒闭、安达信公司解 体和世界通信公司作假与“9.11”恐怖袭击事件共同列为金融市场遭遇的四大危 机。 为彻底扭转这一不利局面，2002 年美国国会和政府加速通过了萨班斯奥 克斯利法案（sarbanes-oxley act，简称 sox 法案）。该法案对内部控制的规定 首都经济贸易大学硕士学位论文 中小企业内部控制研究 第 9 页，共 56 页 主要集中在 302 条和 404 条，它扩充了长期持续的对公众公司保持内部控制制度的 规定，要求管理当局证实、并由独立审计师鉴证这些制度的有效性。该法案明确规 定了上市公司首席执行官和首席财务官在建立和维护公司内部控制制度中的责任， 同时也加大了他们的违法刑事责任。sox 法案的颁布对内部控制理论研究在方向上 产生了广泛而深刻的影响，也为将内部控制进一步向企业风险管理拓展奠定了坚实 的法律基础。 2004 年 9 月，美国 coso 新内控框架企业风险管理整合框架 （enterprise risk management 一 integrated framework）的最终文本正式颁 布。这份研究报告开创性地将内部控制提升到全面风险管理的高度来认识，它拓展 了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。该报告 保留了内部控制框架中对内部控制的定义，并在此基础上科学的界定了企业风险管 理：企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实 施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管 理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。企业 风险管理框架在明确了内部控制框架所认可的三类目标经营、财务报告和合规 的基础上又增加了一类目标，即战略目标，并将它置于比其他目标更高的层次。在 构成要素方面，企业风险管理框架更多地关注风险，拓展了内部控制框架的风险评 估要素，最终提出了八要素理论，即内部环境、目标设定、事项识别、风险评估、 风险应对、控制活动、信息与沟通、监控。该报告使内部控制的目标、要素与组织 层级之间形成了一个相互作用、紧密相连的有机统一体系；对内部控制要素的进一 步细分和充实，使内部控制与风险管理日益融合，最大限度拓展了内部控制的内涵 和外延，将内部控制理论研究带入了一个全新的发展领域。 回顾内部控制理论发展所经历的五个历史阶段，不难发现，内部控制是因管理 的需要而产生的，是由企业管理人员在经营管理实践中创造的，尽管它的发展是多 方面力量共同推动的结果，但管理的需要始终是内部控制发展的内在动因。 22 内部控制的构成要素 22 内部控制的构成要素 通过对上一节内部控制理论发展历程的研究，我们可以清晰地发现，内部控制 的概念和内容随着企业的发展和管理的进步，不断地完善、丰满起来，内部控制的 构成要素也随之一步步的细化，即从最初内部控制结构阶段的三要素论，发展为内 部控制框架阶段的五要素论，最终形成了目前企业风险管理框架阶段的八要素论。 首都经济贸易大学硕士学位论文 中小企业内部控制研究 第 10 页，共 56 页 无论在哪一发展阶段，内部控制要素及其构成方式，都决定着内部控制的内容与形 式，设计内部控制制度，可以根据企业特征和需求（例如企业规模、业务构成、管 理水平等），对内部控制各要素加以有机组合。由于企业风险管理整合框 架发表的时间不长，其实践效果还有待进一步检验，而内部控制整体框 架在长达 10 多年的应用实践中已得到实务界的广泛认可，具有较强的理论可取性 和实践可行性，因此本文仍以 coso 报告提出的内容控制五项要素为基础，建立和评 价内部控制制度。 221 控制环境（control environment） 221 控制环境（control environment） 控制环境提供企业纪律与架构，影响经营管理目标的制定，塑造企业文化，并 影响企业员工的控制意识，是所有其它内部控制组成要素的基础。控制环境的因素 具体包括： （1）诚信的原则和道德价值观。无论是企业最高管理层还是其它成员都应当做 到：严格一致地保持诚信行为和道德标准；不要盲目追求不切实际的目标，以致形 成不必要的压力；对敏感职位之间的财务分工要准确明细，以避免造成偷窃资产或 隐藏不佳绩效的引诱；加强企业的内部审核制度；发挥董事会的职能，使其客观监 督企业的高层管理阶层；提供道德方面的指导，使所有雇员在一般和特定环境下能 够保持正确的判断；制作文字化的行为准则和政策声明，将其传达给全体雇员；将 诱发人们不诚实、非法和不道德行为的动机降至最低。 （2）评定员工的胜任能力。企业必须雇用足够胜任的人员并给予相应的资源。 管理部门须制定正式或非正式的职务说明书，逐项分析并规定各工作岗位所须具备 的知识和技能，并定期对员工的能力及其工作绩效进行考核和激励。 （3）董事会和审计委员会。董事会和审计委员会是基于现代企业治理结构的一 种制度安排。组成这两个机构须考虑的因素主要包括：成员的经验，相对于管理层 的独立性，外部董事的比例，其成员参与管理的程度，所采取措施的适宜性，对管 理层提出问题的深度和广度，他们与内、外部审计人员的关系。 （4）管理哲学和经营风格。企业中，管理者对控制的态度会决定整个公司的态 度和行为，从而影响员工自觉控制和受控意识。具体包括：对待和承担经营风险的 方式；依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通；对财务 报告的态度和所采取的措施；对信息处理以及会计功能、人员所持的态度；对现有 可选择的会计准则和会计数值估计所持有的谨慎或冒进态度。 （5）组织结构。企业的组织结构是指为公司活动提供计划、执行，控制和监督 职能的整体框架。具体应考虑：组织结构的合适性及其提供管理企业所需信息的沟 通能力；各主管人员所负责任的适当性；按照主管人员所担负的责任，判断其是否 首都经济贸易大学硕士学位论文 中小企业内部控制研究 第 11 页，共 56 页 具备足够的知识及丰富的经验；当环境改变时，企业配合改变其组织结构的程度； 员工，尤其是负责管理及监督职能的员工人数的充足程度。 （6）责任的分配与授权。强调对于组织内的全部活动要合理有效地分配职责和 权限，并为执行任务和承担职责的组织成员特别是关键岗位的人员，提供和配备所 需的资源并确保他们的经验和知识与职责权限相匹配，要使所有员工理解：他们的 工作行为，以及职责担负形式和认可方式，与达成组织目标的联系。 （7）人力资源政策及实务。内部控制是由人来进行并受人的因素影响，保证组 织所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践，是内部控 制有效的关键因素之一。具体包括：有完善的招聘与选拔方针及操作性程序；对新 员工进行企业文化和道德价值观的导向培训；对违反行为准则的任何事项，制订纪 律约束与处罚措施；对业绩良好的员工，制订具有奖励和激励作用的报酬计划，并 避免诱发不道德行为；根据阶段性的业绩评估结果，对员工予以晋升、指导以及奖 罚。 222 风险评估（risk appraisal） 222 风险评估（risk appraisal） 每个企业都面临来自内部和外部的不同风险，这些风险都必须加以评估。通过 风险评估，达到风险与控制的平衡，把风险控制在企业可以接受的水平。评估风险 的先决条件，是制定目标。风险评估就是分析和辨认实现所定目标可能发生的风 险。 （1）目标。企业的整体目标，通常是由企业的理念及其所追求的价值所决定 的，而与之相配合的是企业下一级各部门的具休目标。整体目标主要是：营运目 标，包括绩效和获利目标及保障资产的安全，使其免受损失；财务报告目标，防止 对外报送不真实的财务报告；遵循目标，企业遵循国家的相关法律法规。 （2）风险。风险是影响目标实现的事件发生的可能性。辨识和分析风险的过程 是一种持续及反复的过程，也是有效内部控制的关键组成要素，管理阶层须谨慎注 意各部门阶层的风险，并采取必要的管理措施。企业的风险一般是由外部因素和内 部因素所产生的。外部因素包括：科技发展，顾客的需求或预期改变，竞争，新的 法律和行政命令，自然灾害，经济环境改变等。内部因素包括：信息系统处理的中 断；聘用员工的品质、培训方法及激励制度；经理人员的责任改变；企业活动的性 质以及员工可接近资产的程度；董事会或监事会不够坚定或无效等。 （3）风险的评估和管理。风险评估是对企业的风险等级进行确认，并按照风险 的重要程度采取解决办法。如可将各控制环节划分为高、中、低风险，高风险的控 制是关键风险，应立即纠正；中等风险是重要风险，需要改进；而低风险的控制是 首都经济贸易大学硕士学位论文 中小企业内部控制研究 第 12 页，共 56 页 企业的显著竞争优势，应保持并扩大优势。通过内部控制中的风险管理，使风险达 到避免、分散、控制、共担、转移和接受的目的。 223 控制活动（control activity） 223 控制活动（control activity） 企业管理阶层辩识风险，继之应针对这种风险发出必要的指令。控制活动，是 确保管理阶层的指令得以执行的政策及程序，是企业的“硬控制”，它贯穿于整个 企业内部的各个阶层和所有的职能部门，包括核准、授权、验证、调节、复核营业 绩效、保障资产安全及职务分工等。 （1）高层经理人员对企业绩效进行分析。管理阶层记录经营活动 （如：市场 的扩展、生产过程改良、成本的控制）的结果，然后再与预算、预测、前期及竞争 者的绩效相比较，以衡量目标达成的程度和监督计划 （如：新产品开发、合资经 营、融资行为）的执行情况。 （2）直接部门管理。负责某一部门的经理人员复核自己所负责部门的业绩报 告，检查本部门各业务活动的情况，以便辨认趋势。 （3）对信息处理的控制。对信息系统的控制活动可分为两类，第一类是一般控 制（general control），它帮助管理阶层确保系统能持续、适当的运转；第二类是 应用控制 （application control），它包括应用软件中的电算化步骤及相关的人 工程序。（一般控制包括：对资料中心运作的控制；对系统软件的控制；存取安全 的控制；对应用系统的发展及维护的控制。应用控制包括：输入控制；输出控 制）。 （4）实体控制。保护设备、存货、证券、现金和其它资产的实体安全，定期盘 点并与控制记录所显示的金额相比较。 （5）绩效指标的比较。把不同的几套数据资料（如：经营数据与财务数据）相 互比较，分析它们之间的关系，然后再进行调查与纠正。以存货为例，其绩效指标 包括：购货价差、订单中“紧急订货”比例、总订单中退货的比例。管理阶层需要 调查超出计划的结果或者不正常的趋势，辨认采购作业的目标无法达成的原因。