（会计学专业论文）内部控制若干问题研究.pdf

摘要 完善的内部控制体系对提高会计信息质量、保护投资者的合法权益、保证资 本市场的有效运转具有非常重要的意义。同时，在经济全球化浪潮的推动下，我 ，国参与国际经济的广度和深度同益增加。在此背景下，一些产生并逐步成熟于发 达国家的内部控制理论和实务经验被越来越多地介绍到我国，并对我国内部控制 的理论研究和应用产生重要影响。但无论是在内部控制框架的制定方面还是在实 务操作方面，我国与这些西方发达国家相比均存在较大差距。虽然近年来我国已 在内部控制领域取得显著成绩，然而随着我国经济的进一步发展和改革的不断深 入，内部控制领域也出现了诸多亟待解决的新问题。为此，本文在比较全面和系 统地介绍国外先进内部控制理论的基础上，深入分析当前我国内部控制存在的若 干问题，并提出相应对策，以期能对我国企业内部控制建设起到一定的促进作用。 全文共分五章：第一章从内部控制相关的现实背景出发，概述本文的整体写 作思路，并介绍文章的主要观点和研究方法。第二章首先分别综述内部控制和风 险管理的基本理论，之后辩证地分析两者之问的关系，以期为后续章节奠定理论 基础。第三章在概述国内外内部控制研究现状的基础上，分析和总结内部控制在 国内外发展所呈现出来的特点及其带给我们的启示。第四章以国内发生的相关案 例作为材料，运用辩证的方法分析、总结当前我国企业内部控制存在的诸如内部 控制环境薄弱、风险管理意识淡薄、内控监督机制缺位、内控信息披露主动性不 足等若干问题。第五章以第四章分析的若干问题为基础，分别提出诸如完善企业 的控制环境、加强企业的风险管理、强化内控的监督机制、加强内控的信息披露 等相应的改进建议。 关键词：内部控制：风险管理；摔制环境 a b s t r a c t t h ee s t a b l i s h m e n to ft h ep e r f e c ti n t e r n a lc o n t r o lm e c h a n i s mi so fg r e a t s i g n i f i c a n c ef o ri m p r o v i n ga c c o u n t i n gi n f o r m a t i o n ，p r o t e c t i n gt h ei n v e s t o r s l e g a l r i g h t sa n de n s u r i n ge f f i c i e n to p e r a t i o no ft h ec a p i t a lm a r k e t i n g w i t ht h ei n c r e a s i n g c o n v e r g e n c eo fc h i n e s ea n di n t e m a t i o n a le c o n o m y , t h ea d v a n c e di n t e m a lc o n t r o l t h e o r i e sa n dp r a c t i c e sf r o md e v e l o p e dc o u n t r i e sh a v eb e e na f f e c t i n go u rc o u n t r y si n t h es p r i n gt i d eo fe c o n o m i cg l o b a l i z a t i o n h o w e v e r , c o m p a r e dt os o m ed e v e l o p e d c o u n t r i e s ，t h e r ei sab i gg a pi nt h ei n t e r n a lc o n t r o lt h e o r i e sa n dp r a c t i c e s a tp r e s e n t ， a l t h o u g ho u rc o u n t r yh a sm a d e r e m a r k a b l ea c h i e v e m e n t si ns t u d yo ni n t e r n a lc o n t r o l ， w i t ht h ed e v e l o p m e n to fe c o n o m ya n df u r t h e rr e f o r mi no u rc o u n t r y , t h e r es t i l lr e m a i n s o m eu r g e n tp r o b l e m st ob es o l v e d i nl i g h to fi t ，o nt h eb a s i so ft h er e l a t i v e l y c o m p r e h e n s i v ea n ds y s t e m a t i ci n t r o d u c t i o no ft h ea d v a n c e di n t e r n a lc o n t r o lt h e o r i e s ， t h i st h e s i sd e e p l ya n a l y z e ss o m ep r o b l e m sw i t hi n t e r n a lc o n t r o la n dg i v e ss o m e s u g g e s t i o n sr e g a r d i n gh o wt oi m p r o v et h ei n t e r n a lc o n t r o lm e c h a n i s mo fe n t e r p r i s e s i no u rc o u n t r y t h ea u t h o rh o p e st h i st h e s i sc o u l dh a v es o m eg r e a te f f e c to n a c c e l e r a t i n gt h ed e v e l o p m e n to f b o t hi n t e r n a lc o n t r o lt h e o r i e sa n dp r a c t i c e si nc h i n a t h i st h e s i sc o n s i s t so ff i v ec h a p t e r s b , t s e do no u t l i n i n gt h er e s e a r c hb a c k g r o u n d o fi n t e r n a lc o n t r o l ，t h ef i r s tc h a p t e rp r e s e n t st h ew h o l ec o n c e p t i o no ft h ea u t h o r , i m p o r t a n tv i e w sa n dr e s e a r c hm e t h o d so f t h ew h o l ea r t i c l e a f t e rb r i e f l yi n t r o d u c i n g t h eb a s i ct h e o r i e so fi n t e r n a lc o n t r o la n dr i s km a n a g e m e n t , t h es e c o n dc h a p t e r a n a l y z e st h ed i a l e c t i cr e l a t i o n s h i pb e t w e e nt h e mf o rl a y i n gat h e o r e t i c a lf o u n d a t i o n f o rt h ef o l l o w i n gc h a p t e r s t h et h i r dc h a p t e rb r i e f l yd e s c r i b e st h ef o r e i g na n d d o m e s t i cr e s e a r c hr e v i e wb e f o r es u m m a r i z i n gf e a t u r e so fi n t e r n a lc o n t r o la n d e n l i g h t e n m e n tf r o mt h e m w i t ht h ec a s e si no u rc o u n t r ya st h ec a r r i e r , t h ef o r t h c h a p t e rs u m m a r i z e sa n da n a l y z e ss o m ep r o b l e m sw i t hi n t e r n a lc o n t r o l ：t h ei n t e r n a l c o n t r o le n v i r o n m e n ti sn o tv e r yg o o d ；t h ea w a r e n e s so fr i s km a n a g e m e n ti sn o ts t r o n g ； t h es u p e r v i s i o nm e c h a n i s mi sw e a k ；t h ee n t e r p r i s e sl a c kt h ei n i t i a t i v eo ft h ei n t e r n a l c o n t r o li n f o r m a t i o nd i s c l o s u r ea n ds oo n o nt h eb a s i so ft h ef o r t hc h a p t e r , t h ef i f t h c h a p t e rg i v e st h ef o l l o w i n gs u g g e s t i o n sf o ri m p r o v i n g t h ei n t e r n a lc o n t r o lm e c h a n i s m ： i m p r o v i n gi n t e r n a lc o n t r o le n v i r o n m e n t ；s t r e n g t h e n i n gr i s km a n a g e m e n ta n dt h e s u p e r v i s o rm e c h a n i s m ；i m p r o v i n gi n t e r n a lc o n t r o li n f o r m a t i o nd i s c l o s u r ea n d s oo n k e y w o r d s ：i n t e r n a lc o n t r o l ；e n t e r p r i s er i s km a n a g e m e n t ；c o n t r o le n v i r o n m e n t 厦门大学学位论文原创性声明 本人呈交的学位论文是本人在导师指导下，独立完成的研究成 果。本人在论文写作中参考其他个人或集体已经发表的研究成果，均 在文中以适当方式明确标明，并符合法律规范和厦门大学研究生学 术活动规范( 试行) 。 另外，该学位论文为() 课题( 组) 的研究成果，获得() 课题( 组) 经费或实验室的 资助，在() 实验室完成。( 请在以上括号内填写课 题或课题组负责人或实验室名称，未有此项声明内容的，可以不作特 别声明。) 声明人( 签名) ：寄珈绷 搠年| q 具| s 日 厦门大学学位论文著作权使用声明 本人同意厦门大学根据中华人民共和国学位条例暂行实施办 法等规定保留和使用此学位论文，并向主管部门或其指定机构送交 学位论文( 包括纸质版和电子版) ，允许学位论文进入厦门大学图书 馆及其数据库被查阅、借阅。本入同意厦门大学将学位论文加入全国 博士、硕士学位论文共建单位数据库进行检索，将学位论文的标题和 摘要汇编出版，采用影印、缩印或者其它方式合理复制学位论文。 本学位论文属于： () 1 经厦f - j ：k 学保密委员会审查核定的保密学位论文， 于年月日解密，解密后适用上述授权。 () 2 不保密，适用上述授权。 ( 请在以上相应括号内打“”或填上相应内容。保密学位论文 应是已经厦门大学保密委员会审定过的学位论文，未经厦门大学保密 委员会审定的学位论文均为公开学位论文。此声明栏不填写的，默认 为公开学位论文，均适用上述授权。) 声明入( 签名) ：哿锄动 知0 3 年o 月形日 第一章导论 第一章导论 本章首先从国际和国内发生的一些财务欺诈造假事件及其有关机构或组织 为此采取的相应措施入手提出本文的研究背景和主题，继而简要介绍本文的整 体构思、重要观点和研究方法。 第一节问题提出 内部控制是社会经济发展到一定阶段的产物，是现代企业管理的重要手 段，是经济管理工作的重要基础。建立和完善企业内部控制制度，对于防范舞 弊，减少损失，保障企业资产安全、完整等具有积极的意义。为此，内部控制 自诞生以来，就倍受理论界和实务界的关注。 本世纪以来，安然、世通等世界知名大公司的一系列财务造假舞弊丑闻不仅 严重打击了广大投资者的投资信心，而且充分暴露了企业内部控制存在的严重问 题。为此，各国理论界和实务界就内部控制纷纷发表言论，并一致认为，当前的 内部控制框架具有一定的局限性，其中最重要的表现在忽视了内部控制和风险管 理2 的有机结合。为了挽救投资者的信心，避免类似安然等造假欺诈事件的再次 出现，2 0 0 2 年7 月3 0 只美国国会紧急出台了2 0 0 2 年萨班斯奥克斯利法案， 其中它的4 0 4 条款明确规定：上市公司的管理当局需自行评估其内部控制的有效 性，并将有关评估报告写入公司年度财务报告中，同时还要求外部审计师对管理 层的评估结果和公司财务内控的有效性出具审计意见。 随着经济全球化步伐的加快，市场经济发展的日趋激烈，企业面临着越来越 多的不确定性，要想在这不确定的经济环境下求得长期健康的生存和发展，必须 加强企业的风险管理，为此，2 0 0 4 年l o 月c o s o 在1 9 9 2 年发布的内部控制 整体框架( b o c o s o 报告) 研究报告的基础上，结合萨班斯奥克斯利法 案的相关要求，发布企业风险管理整体框架( 即e r m 框架) ，该框架 也本文所指的内部控制是指企业内部控制，奉义的内控也是指企业内部控制。 本文所指的风险管理是指企业风险管理。 s a r b 锄鼯一o x l e ya c to f 2 0 0 2 c o m m i t t e eo f s p o n s o f t n g 蛳i z a t i o n so f t h e1 硎w a yc o m m i s s i o n 1 内部控制若十问题研究 不仅强化突出了风险管理，而且也涵盖了原有内部控制的合理内容。此外，在该 框架中不难看出：内部控制是风险管理的一部分，企业风险管理框架是在内部控 制整体架构基础上发展而来的，内部控制与风险管理有着密切的联系。 在国内，财务造假舞弊案件同样令人触目惊心，银广夏、红光实业、东方 电子等一系列财务丑闻的爆发无不折射出内部控制存在的种种问题。为了规范 公司内部控制，我国在1 9 9 9 年修订的会计法中第一次以法律的形式对建立 健全内部控制提出了原则性要求；2 0 0 1 年财政部相继发表内部会计控制规范 基本规范( 试行) 、货币资金、采购与付款、销售与收款、工程项目、对 外投资、预算、担保、成本费用、固定资产、存货、筹资等有关的内部会计控 制规范；2 0 0 6 年6 月，国资委出台中央企业全面风险管理指引，要求中央 企业可根据自身实际情况贯彻执行，其他企业也可结合本企业实际情况借鉴实 施；2 0 0 7 年，财政部又出台企业内部控制( 征求意见稿) ，认为内部控制必 须向风险控制发展，可见，风险导向下的内部控制已是我国当前需要研究的一 个迫切而重要的问题；2 0 0 8 年6 月2 8f 1 ，财政部、证监会、审计署、银监会、 保监会联合发布企业内部控制基本规范( 以下简称基本规范) ，该规范自2 0 0 9 年7 月1 同起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行， 执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披 露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控 制的有效性进行审计。 基于内部控制理论的研究热潮和实务的迅猛发展，本文试图借鉴国内外先 进研究成果，对当前内部控制存在的问题及其应对措施进行探讨。 第二节整体构思 依据文章的整体构思，本文共分五章，各章内容简要概述如下： 第一章为导论。本章在阐述本文研究背景的基础上，认为内部控制是我国 当前需要研究的重要问题，它对减少经济损失、保障资产安全等具有重要意义。 此外本章还简要地说明了本文的整体构思、重要观点和研究方法。 财政部新闻办公室企业内部控制基本规范自2 0 0 9 年7 月1 日起首先在上市公司范围内施行 e b o i b ! ! 巳；! 璺翌：! 皇：g q ! ：! 凸旦塞b ；翌堡! ! 2 q q 垒q z 1 2 q q 垦q z ! 墨z 墨21 璺：h ! 坚，2 0 0 8 6 2 8 第一章导论 第二章为内部控制和风险管理概述。本章重点概述有关内部控制和风险管 理的基本理论知识。该章首先介绍内部控制的演进、定义、目标和构成要素； 其次阐述风险管理的定义、目标、构成要素及其目标和构成要素的关系；最后， 在前两者分析的基础上，总结两者之间的内在关系，以期为后续章节的研究奠 定理论基础。 第三章为内部控制的研究现状。本章在简要描述国内外内部控制研究现状 的基础上，分析和总结国内外内部控制发展呈现的特点及其带给我们的启示。 第四章为内部控制存在的若干问题。本章分析当前我国内部控制存在的六个 问题，即：缺乏良好的内部控制环境、缺乏较强的风险管理意识、内部控制的构 建水平不高、内部控制运行缺乏透明度、缺乏健全的内控监督机制、缺乏内控信 息披露主动性。 第五章为完善内部控制的若干建议。本章针对前一章内部控制存在的六大问 题，分别提出相应的改进建议。具体建议如下：完善企业的控制环境、加强企业 的风险管理、设计完备的内控体系、促进内控的有效执行、强化内控的监督机制、 加强内控的信息披露。 第三节重要观点 本文以目前对内部控制理论和实务的研究热潮为背景，一方面借鉴西方发 达国家先进的内部控制理论和经验，另一方面又立足于我国当前经济发展的实 际情况，较全面、系统和深入地分析当前我国内部控制存在的若干问题，并在 此基础上提出相应的对策。本文的主要观点如下： 一、当前我国内部控制理论和实务较发达国家存在较大差距，为此，本文 首先运用归纳、分析、综合等方法简要概述发达国家先进的内部控制和风险管 理的基本理论知识，并在此基础上进行较为深入地分析，总结出两者之间的内 在关系，为以后章节的展开奠定坚实的理论基础。 二、完善的内部控制的构建是一个不断实践和反复的动态过程，通过案例 分析也不难得出，当前我国企业的内部控制存在诸如缺乏较强的风险管理意识、 内部控制运行缺乏透明度、缺乏健全的内控监督机制、缺乏内控信息披露主动性 等诸多问题。同时，本文运用理论和实践的辩证关系客观分析西方发达国家先进 3 内部控制若干问题研究 的内控理论和当前我国内部控制的实际情况。在借鉴西方先进理论的基础上，从 我国企业的实际出发，总结当前我国企业内部控制存在的若干问题。同时，在对 某些具体问题进行分析时，分别从内因和外因两个层次展丌剖析，以增强对问题 分析的透彻度。 三、针对当前我国内部控制存在的若干问题，本文“对症下药”，提出相应 的对策，具体是：完善企业的控制环境、加强企业的风险管理、设计完备的内控 体系、促进内控的有效执行、强化内控的监督机制、加强内控的信息披露。笔者 希望这些对策能对完善我国企业内部控制起到抛砖引玉的作用。 第四节研究方法 本文采用规范研究与案例分析相结合的方法，重点运用归纳总结、逻辑演绎、 综合分析等逻辑方法。在内部控制存在的若干问题和完善内部控制的若干建议分 析方面，既注重理论与实践的辩证关系，也注重内因和外因的辩证关系。这种借 助于多种逻辑方法来分析内部控制，为企业内部控制的研究提供了广阔的视野和 深厚的理论基础。 4 第一二章内部控制和风险管理 第二章内部控制和风险管理 继前章简要介绍本文的研究背景、整体构思、重要观点和研究方法之后， 本章在分别概述内部控制和风险管理基本理论知识的基础上，运用矛盾辩证统 一的哲学分析方法，概括总结两者之间的内在关系：即两者之间既有区别又有 联系。本章的分析将为后续章节的研究提供理论支撑。 第一节内部控制概述 内部控制是社会经济发展到一定阶段的产物，并随着经济和管理理论的发展 而发展。本节简要分析内部控制的演进过程、定义、目标等基本理论知识。其中 就内部控制的演进部分，在描述内部控制发展历程的基础上，总结分析在不同发 展阶段内部控制呈现的特点及其所产生的影响和作用。 一、内部控制的演进 随着经济环境的发展和企业经营管理的变化，内部控制经历了从内部牵制、 内部控制制度到内部控制结构、再到内部控制整体框架、最终到目前的企业风险 管理整体框架的过程。这一过程是一个复杂、多变的动态过程。如果对这一动态 过程进行细分的话，通常可以分为如下四个阶段，具体列示于表2 - 1 。 ( 一) 约2 0 世纪4 0 年代以前的“内部牵制阶段 约2 0 世纪4 0 年代以前被称为是内部控制的萌芽时期。此时，内部控制实 际上就是内部牵制，是内部控制的最初形态。美国著名审计学家蒙哥马利在1 9 1 2 年的著作审计理论与实践一书中已明确表述过内部牵制的思想。内部 牵制主要是为了防止错误和舞弊的发生，保证资产和记录的安全，在处理一项 业务时要求职责分离和相互制约，以此降低错误发生的概率和串通舞弊的可能 性。常见的内部牵制有实物牵制、职责牵制和簿记牵制。 这一时期内部牵制仅仅局限于与会计和财务部门直接有关的控制，是一种 比较狭义的控制思想。但这一控制思想并非“一无是处 ：在当时的经济环境 下，通过职责的牵制降低了错误和舞弊发生的概率，并且随着内部控制思想在 s 内部控制若干问题研究 实践中的产生、发展和日益完善，内部牵制逐渐发展成了现代内部控制理论中 有关组织控制、岗位分离、相互牵制的雏形，从而对现代内部控制理论的发展 发挥了重要作用。 表2 1 内部控制的发展史 时期阶段 要素目标 结构 萌芽时期( 2 0 世 内部牵制无防弊点状结构 纪4 0 年代前) 奠基时期( 2 0 世 内部控制 管理控制和会计控防弊和兴 纪4 0 年代至7 0直线结构 年代初) 制度 制利 发展时期( 2 0 世 内部控制控制环境、会计制企业完成平面三角 纪7 0 年代至9 0 结构度、控制程序既定目标形结构 年代初) 内部控制 控制环境、风险评 经营效率、 估、控制活动、监督、 财务信息立体三角 整体框架可靠、遵循锥形结构 信息与沟通 性 成熟时期( 2 0 世 纪9 0 年代至今) 内部环境、目标设 企业风险 定、事件识别、风险 战略、经 评估、风险回应、控 营、报告、 立方体结 管理框架构 制活动、信息与沟遵循性 通、监督 资料来源：黄为娥内部控制埋论的新发胜及j e 对我困的启示 d 厦门：厦门人学，2 0 0 6 ( 二) 2 0 世纪4 0 年代末至7 0 年代初的“内部控制制度 阶段 2 0 世纪4 0 年代末至7 0 年代初被称为是内部控制的奠基时期。此时，内部控制 进入发展的第二个阶段内部控制制度阶段。在该阶段，“内部控制”这一术 语首次被正式提出，并将其进行合理分类，具体分为内部管理控制和内部会计控 制。 1 9 4 9 年美国注册会计师协会( a i c p a ) 发布了一篇题为内部控制、协调 系统各要素及其对管理当局和注册会计师的重要性的专题报告，该报告首次对 内部控制作出权威性的定义：内部控制包括组织机构的设计和企业内部采取的所 有相互协调的方法和措施，旨在保护企业资产，审核会计数据的准确性和可靠性， 文硕著世界审计史 m 企业管理出版社1 9 9 6 ：5 3 2 5 4 9 t h ea m e r i c 柚i n s t i t u t co f c e r t i f i e dp u b l i ca c c o u n t a i i t s 第一二章内部控制和风险管理 提高经营效率，推动企业执行既定的管理政策。该定义强调，内部控制不仅仅限 于与会计和财务部门直接有关的控制，还包括与其他非财务部门有关的各种政策 和程序等。由此可见，该定义首次打破了原有内部牵制限定的与会计和财务部门 有关的控制，并将内部控制深入到管理领域，具有了管理控制的影子。 1 9 5 3 年1 0 月美国注册会计师协会发布的审计程序公告第1 9 号，首次提出 按内部控制的特点可以将内部控制划分为内部会计控制和内部管理控制。1 9 5 8 年美国注册会计师协会又发布审计程序公告第2 9 号独立审计人员评价内部 控制的范围的报告，阐述内部控制可以分为内部会计控制和内部管理控制，并 就两者的含义和内容进行了界定。1 9 7 2 年美国注册会计师协会所属审计准则委员 会在审计准则公告第l 号中，再次重新表述了“内部会计控制”和“内部管 理控制”的定义，并进行了明确的分类，为企业进行内部控制提供指导。 通过上述分析我们不难看出，美国注册会计师协会这一审计职业组织在内部 控制发展阶段发挥了极其重要的作用，这就不可避免的使内部控制和审计结下了 “不解之缘”，从而使内部控制的发展在很长的一段时问早都伴有审计的影子。 此外，尽管理论上将内部控制一分为二并提及到了管理控制，但在实务中更多的 还是为了审计工作的方便仅仅对会计控制进行测试，对管理控制涉及较少，通常 只有在必要时才加以考虑，所以这一时期的内部控制对管理控制的关注仅仅停留 在理论阶段，偶尔在实务中的关注往往也是比较被动的，同时也没有提及控制环 境。因此，这一阶段对内部控制的分类并没有从实质上反映内部控制所涵盖的全 部内容。但是，这些相关概念和分类的界定也为内部控制的进一步发展提供了理 论指导，起到了承上启下的作用。 ( 三) 2 0 世纪7 0 年代至9 0 年代初的“内部控制结构阶段 2 0 世纪7 0 年代至9 0 年代初被称为内部控制的发展时期，这一时期内部控制制 度的概念演变成“内部控制结构”，实现了从“制度”范畴到“结构”范畴的过 渡。 1 9 8 8 年4 月美国注册会计师协会发布审计准则公告第5 5 号财务报表审 计对内部控制结构的考虑，首次用“内部控制结构 取代先前的“内部控制制 度”，并指出内部控制结构包括三个要素，分别是控制环境、会计制度和控制程 序：控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素； 7 内部控制若干问题研究 会计制度规定了各项经济业务的鉴定、分析、归类、登记和编报方法，明确各项 资产和负债的经营管理责任；控制程序指管理当局所制订的用以保证达到一定目 的的方针和程序。 通过对这一阶段的内部控制理论的研究，我们不难看出，这一阶段的内部控 制和以往相比，最大的不同是把内部控制环境纳入了内部控制的范畴并将内部控 制分为控制环境、会计制度和控制程序三要素，从而更加丰富了内部控制的内涵， 并且在实务中也起到了积极作用：一些企业逐渐认识到内部控制不仅仅是为审计 工作提供便利的工具，而且有助于改善企业的管理水平，因此他们丌始从完善控 制环境入手，逐步丌展企业的内部控制建设。总之，这一时期的内部控制依然具 有其浓厚的审计色彩，只是较以往能主动地意识到企业对内部控制的需求和内部 控制对企业组织管理的重要性，但依然没有认识到企业所面对的各种风险因素。 ( 四) 2 0 世纪9 0 年代后的“内部控制整体框架”阶段 2 0 世纪9 0 年代至今被称为内部控制理论的成熟时期，这一时期内部控制结构 的概念演变成“内部控制整体框架”，实现了从“结构”到“框架”的飞跃。这 一阶段内部控制进入了一个相对成熟和稳定的发展阶段。 1 9 9 2 年，美国反欺诈财务报告委员会叠即著名的t r e a d w a y 委员会的赞助机构 成立的“发起组织委员会”铆即c o s o 委员会发布著名的c o s o 报告，该报告将内 部控制定义为：内部控制是由企业董事会、管理当局和其他员工实施的，为达成 经营活动的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标提供 合理保证的过程。内部控制包括五个要素：控制环境、风险评估、控制活动、信 息与沟通、监督活动。 2 0 0 2 年7 月2 5 日，美国国会通过萨班斯奥克斯利法案，对财务报告 内部控制有效性的评价和披露做出了相关规定。 2 0 0 4 年9 月2 9 日，c o s o 委员会在1 9 9 2 年c o s o 报告的基础上，结合萨班斯 奥克斯利法案颁布e r m 框架，界定了企业风险管理的含义，并引入了风 险偏好、风险容忍度、风险组合观等有关风险的概念。 孙文贤，孙林著内部控制会计制度设计 m f ：海：矗信会计版 i ：，2 0 0 5 ，6 n a t i o n a lc o m m i s s i o no nf r a u d u i e n tf i n a n e i a ir e p 。n i n g t r e a d w a y 委员会足以其负责人j a m e s c t r e a d w a y 而命名。该委员会的宗旨是识另0 可能，；i 起虚假财务 报告的i 大】素，并就如何减少虚假财务报告提j j 相心建议。 c o m m i n c co f s p o n s o r i n go 唱孤i z a t i o n so f t h et r e a d w a yc o m m i s s i o n 8 第二章内部控制和风险管理 通过c o s o 委员会先后发布的c o s o 报告和e r m 框架不难看出，这一时期的 内部控制已逐渐摆脱审计的“束缚”，不仅仅是出于为审计服务的目的，而是开 始着眼于企业整体和利益相关者及其面临的风险因素的研究，逐渐形成内部控制 和企业风险管理并存的整体框架，并且也逐步强调内部控制和企业风险管理框架 在实践中的应用，和以往相比，更具有全面性、综合性和系统性。总之，这两份 报告的发布标志着内部控制向纵深方向进行发展。 纵观内部控制的发展历程，我们不难看出，内部控制是随着经济环境的变 化而不断发展和完善的，其发展是一个不断变化、纷繁复杂的动态过程。 二、内部控制的定义 关于内部控制定义的研究，不同的组织机构对其有不同的理解： 1 9 4 9 年美国注册会计师协会在一篇题为内部控制、协调系统各要素及其对 管理当局和注册会计师的重要性的专题报告中首次对内部控制作出权威性的定 义，内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措 施，旨在保护企业资产，审核会计数据的准确性和可靠性，提高经营效率，推动 企业执行既定的管理政策。 c o s o 报告将内部控制定义为，内部控制是受企业董事会、管理层和其他职 员共同作用，为实现经营效果和效率、财务报告的可靠性以及对适用的法律、法 规的遵循性等目标提供合理保证的一种过程。 2 0 0 1 年6 月2 2 日我国财政部颁布的内部会计控制规范基本规范( 试行) 的第一章第二条规定：本规范所称内部会计控制是指单位为了提高会计信息质 量、保护资产的安全完整，确保有关法律和规章制度的贯彻执行等制定和实施的 一系列控制方法、措施和程序。 2 0 0 6 年2 月1 5 同，中国注册会计师协会发布的中国注册会计师审计准则第 1 2 1 1 号了解被审计单位及其环境并评估重大错报风险将内部控制界定为： 被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规 的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。 在2 0 0 1 年，我国对内部控制的研究大都局限于内部会计控制。 审计中国注册会计师协会【m 】北京：经济科学 j j 版社，2 0 0 7 ：1 7 4 9 内部控制若干问题研究 2 0 0 8 年6 月2 8 日，我国的财政部、证监会、审计署、银监会、保监会联合发 布企业内部控制基本规范。本规范所称内部控制，是指由企业董事会、监事 会、经理层和全体员工实施的、旨在实现控制目标的过程圆。 通过上述不同组织机构对内部控制的界定分析，我们不难看出：有的组织机 构将内部控制最终界定为静态的政策、程序和方法，而非c o s o 报告所界定的动 态“过程”，这样易于导致很多组织将内部控制看作纯粹的制度和文件，不利于 内部控制的有效实施。此外，尽管2 0 0 8 年6 月2 8 同我国财政部、证监会、审计署、 银监会、保监会联合发布的企业内部控制基本规范对内部控制的界定也体现 了一种动态的过程，但其基本思想来源于c o s o 报告对内部控制的界定。因此， 笔者认为，c o s o 于6 t 告对内部控制定义的界定较其他组织机构对内部控制的界定 具有突破性的发展，体现了现代意义上的全面和系统的控制理念，是最具有权威 性和影响力的。为此笔者以下将参考该报告，简要分析内部控制的目标及其构成 要素。 三、内部控制的目标 内部控制的目标是开展内部控制的前提，也是评价内部控制优劣的标准。为 了更好地开展内部控制研究，笔者认为应对内部控制的目标有一个基本了解。 通过上述c o s o 报告对内部控制定义的界定，我们不难看出：内部控制的设 计和实施，主要实现以下三大具体目标：列示于表2 2 。 从对表2 - 2 的分析，我们不难看出：内部控制的目标并不是单一的，而是一 个包含企业三个层面的目标体系，同时我们也不难发现，c o s o 报告仅仅描述了 企业内部控制应实现的三个子目标，却忽略了企业作为一整体应当实现的一个总 目标，即企业的战略目标，也正是这一缺陷，为以后战略目标的提出埋下了伏笔。 需要特别说明的是，2 0 0 8 年6 月2 8 同，我国财政部、证监会、审计署、银监会、 保监会联合发布的企业内部控制基本规范中界定的内部控制的目标是：合理 保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经 财政部会计准则委员会财政部、证监会、审计署、银膝会、保监会关于印发企业内部控制摹本规 范的通知 e b 0 1 h ! ! 巳；z ! 受型：! 箜! ：g q ! ：! 翌些；血墨! 2 q q 8 q z 1 2 q q 墨q z ! z 墨21 鱼q ：b ! 堕，2 0 0 8 7 一1 5 1 0 第 二章内部控制和风险管理 表2 - 2 内部控制的目标 名称内容侧重层面 企业从事各种经营活动所实现的具体 经营目标经营活动 详细的目标 报告目标 提高财务报告可靠性的目标会计 合法目标遵循法律、法规的目标 法律坏境 营效率和效果，促进企业实现发展战略9 。由此我们不难看出，基本规范对内部 控制目标的界定较c o s o 报告更加广泛j 具体表现在对资产安全和发展战略两项 目标的界定上，这充分体现我国顺应国际内部控制和风险管理同益融合的趋势以 及对总体战略目标的高度重视。 四、内控的构成要素 在了解了内部控制定义和目标的基础上，若想更加详细、具体地了解内部控 制，还需对内部控制的构成要素进行基本地了解。c o s o 报告界定企业内部控制 包含五个要素：控制环境、风险评估、控制活动、信息与沟通、监控。 ( 一) 控制环境 控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种尹 因素。它不仅为企业进行各种活动、履行控制责任提供一种氛围，而且是推动企 业发展的引擎，是其他一切要素的核心。它主要包括诚信的原则和道德价值观、 企业管理人员的品行和操守、评定员工的能力、人力资源政策及实务、责任的分 配与授权、管理哲学和经营风格、董事会和审计委员会等多方面囚素。由此可见， 控制环境往往表现为理念或思想等主观的意识性的东西，所以有时很难运用数量 指标进行量化和评价。但是，良好的控制环境有助于保持企业秩序的稳定，有助 于塑造良好的企业文化，有助于树立j 下确的价值观，因此，它是所有其它内部控 2 0 0 8 年6 月2 8 日，我国财政部、证监会、审计署、银j l ：f 会、保揽会联合发布的企业内部控制摹本规范 中界定的内部控制的日标是：合理保证企业经f ；管理合法合规、资产安伞、财务报告及相关信息真实完整， 提高经营效率和效果，促进企业实现发展战略。 财政部会计准则委员会财政部证监会审计署银监会保监会关于印发企业内部控制基本规范 的通知 e b 0 1 h ! ! 巳；z ! 塑! ：! 垦：g q ! ：n ! k 垒! z 凸丝二曼z 至q q 墨q z 1 2 q q 墨q z ! 曼! 尘! 鱼q ：b ! 堕，2 0 0 8 - 7 1 5 内部控制若干问题研究 制组成要素的基础。 ( 二) 风险评价 每个企业都是在一个复杂的内部环境和外部环境中求发展，而内外部环境又 处在不断的变化中，这就决定企业要面临若干的不确定性，这种不确定性就是风 险。为了在复杂多变的环境中健康稳定的成长与发展，企业就必须在制定目标的 前提下识别和评价这些风险，并找出有效的应对方法。同时，由于环境的变幻莫 测，企业在评估风险时不仅仅要回顾以前遇到过的情况，更应当着眼于未来，对 出现的新问题、新情况给予更多的关注和重视，从而充分考虑为达到既定目标可 能面临的几乎所有不确定性因素。 ( 三) 控制活动 正如前段所述，企业为实现既定的目标，要对识别并评估后的风险采取相应 的应对措施，对于这些措施的制定和有效执行就涉及到控制活动的范畴。该范畴 涉及到管理层为确保其指令得以有效执行而制定的相应政策和程序。政策通常以 书面形式规定相关人员应当做什么，往往是对管理层一种美好期望的传达；而程 序则是为了保障所制定的政策得以有效落实和执行而采取的相应的行动，往往回 答的是具体应该怎样做的问题。控制活动包括授权审批、授权、核对、调节、关 键绩效指标、资产安全控制及职责分离等各种类型。企业控制活动又可以分为人 工控制和信息系统控制两大类。此外，由于控制活动在各控制要素中涉及的内容 最广泛，所以，企业在设计控制活动时，还应当考虑成本效益原则。总之，企业 为实现既定目标，必须执行控制活动。 ( 四) 信息与沟通 一个良好的信息与沟通系统是连接企业内部控制全过程的纽带，并且有助于 提高内控的效率和效果。企业须按某种形式在某个时间之内，获取适当的信息， 并加以沟通，使员工顺利履行其职责。在现代企业中，信息系统的广泛应用也正 是为了提高信息的质量。为此，不管是企业内部还是企业外部的，只要是与企业 经营管理有关的信息，信息系统都应收集和处理并及时有效地传达给相关的信息 需求者。同时，有效的沟通是企业了解并解决各种内外问题的强有力工具。因此， 企业一方面不仅要致力于提升内部沟通的有效性，以便控制责任人能够履行其职 责；另一方面也应关注企业外部的沟通问题，以有助于管理层建立企业目标，向 第一二章内部控制和风险管理 外传递企业理念和工作标准，并从外部了解内部控制的运行状况。总之，高质量 的信息和全面有效的沟通是整个企业有效运转的强有力的保障。 ( 五) 监控 俗语说“上有政策下有对策”，为此只有对内部控制的执行情况进行监督， 才能保证内部控制得到有效执行。换言之，内部控制系统需要监控。监控是适当 的人员，在适当及时的基础上，评价控制的设计和运作情况的全过程。这一活动 分为持续监督、个别评价以及两者相互结合三类。持续监督是只在执行过程中进 行的监督，包括例行管理和监督活动，以及其他员工为履行其职责所采取的活动。 个别评估是指对特定内部控制制度有效性进行的评价，通常由相关部门负责人组 织进行。由此可见，+ 持续监督侧重于一般的例行的内控活动，而个别评估则侧重 于特定的内控活动，两者之间是一种一般和特殊的辩证关系。若将这两种方法结 合起来，在监督一般内控活动的同时又对特定的内控进行监督评价，这样有助于 突出重点内控活动，从而提高监督的有效性。 上述内部控制的五要素之问并无严格的次序，任何一个要素并不仅仅影响其 相邻的因素，相反，它们之间是相互影响相互制约的。为了更好的理解内部控制， 我们应将这五要素作为一个对立统一的有机整体看待。 第二节风险管理概述 人类进入2 1 世纪，随着安然事件及之后的施乐、世通等一系列的财务丑闻事 件和经营失败案件的发生，投资者要求改善公司治理结构和提高企业风险管理能 力的呼声日益高涨。2 0 0 2 年美国通过了萨班斯奥克斯利法案，其中的4 0 4 条款要求上市公司管理当局对内部控制的有效性进行披露报告，同时也要求注册 会计师对上市公司内部控制的效果进行审计。正是在这一背景下，c o s o 于2 0 0 4 年1 0 月发布e r m 框架。 一、风险管理的定义 对风险管理定义的界定，国内外不同的学者和机构均提出了不同的看法： 在国外，对风险管理的系统研究以梅尔与赫尔奇斯企业风险管理( 1 9 6 3 ) 、 威廉姆斯与汉斯风险管理与保险的出版为标志。后者指出风险管理是通过对 1 3 内部控制若干问题研究 风险的识别、衡量和控制，以最少的成本将风险导致的各种不利后果减少到最低 限度的科学管理方法。约尼思与福德将风险管理界定为，为了建构风险与回应 风险所采用的各类监控方法与过程的统称固。c o s o 对企业风险管理的定义为： 企业风险管理是一个过程，这个过程受董事会、管理层和其他人员的影响，并从 企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在 事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目 标。 在国内，许瑾良认为，风险管理就是应用一般的管理原理去管理一个组织的 资源和活动，并以合理的成本尽可能