（会计学专业论文）贸易公司内部控制应用研究——以石油化工行业为例.pdf

独 创 性 声 明 独 创 性 声 明 本人郑重声明：今所呈交的贸易公司内部控制应用研究 以石油化工行业为例论文是我个人在导师指导下进行的研究工作及取 得的科研成果。尽我所知，文中除了特别加以标注和致谢的地方外，论 文中不包含其他人已经发表或撰写的内容及科研成果，也不包含为获得 首都经济贸易大学或其它教育机构的学位或证书所使用过的材料。 作者签名 作者签名： 日期：日期： 年年 月月 日日 关于论文使用授权的说明 关于论文使用授权的说明 本人完全了解首都经济贸易大学有关保留、使用学位论文的有关规 定，即：学校有权保留送交论文的复印件，允许论文被查阅、借阅或网 络索引；学校可以公布论文的全部或部分内容，可以采取影印、缩印或 其它复制手段保存论文。 （保密的论文在解密后应遵守此规定） 作者签名： 作者签名： 导师签名： 导师签名： 日期： 日期： 年 年 月 月 日 日 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 i 论文提要 论文提要 建立健全企业内部控制体系既是法规的要求更是企业自身发展的需要， 而内部控 制的真正价值是实际应用于企业实务之中， 帮助企业控制风险， 加强管理， 实现目标。 本文的目的是将内部控制原理运用于企业的实际经营管理之中， 实现理论与实践的结 合。 本文选取了一家具有一定代表性的化工行业贸易公司作为案例，以 coso 内部 控制框架为依据，在其内部控制五要素理论及相关概念的指导下，进行内部控制应用 研究。本文采用实证研究的方法，通过分析贸易公司的经营流程，结合实际案例的具 体情况，并考虑石油化工行业的业务特点，将凯米欧公司的内部控制重点集中在存货 管理，收入与应收账款管理，采购与应付账款管理，总账及结账过程管理这四个部分 上，运用风险分析和各种控制方法，针对这四大部分中存在的主要风险设计了内部控 制程序。通过本文所设计的内部控制程序，案例公司的报表准确性增强，经营效率也 有所提高，为其实现企业目标提供了合理保证。 本文的内部控制应用研究为理论研究提供了实证案例， 也为内部控制的实践活动 提供了参照。有别于其他内部控制应用研究，本文特别对石油化工行业的跨国集团子 公司应用信息管理系统的内部控制进行了难点突破， 为面临相似情况的企业提供了借 鉴。 关键词：关键词：内部控制 贸易公司 石油化工行业 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 ii abstract abstract establishing and improving internal control system is not only a legal requirement but also a need of company development. the real value of internal control is applying in company practice, helping company to control risk, enhance management, and achieve objectives. the purpose of this thesis is applying internal control theory and method in actual business environment and operating practice. this thesis took a typical trading company of chemical industry as research object. base on coso internal control framework, according to its five components theory and relevant concepts, this thesis analysed the operation process of trading company, researched the detailed situation of actual practice, and considered the special cases of chemical industry. after that the thesis focused on four parts of operating processes of this company: inventory management; revenue and account receivable management; purchasing and account payable management; general ledger and closing management. the internal control procedures have been designed by using risk analysis and control method in this thesis. after applying these internal control procedures, the accuracy of finance report has been increased and the operating efficiency has been enhanced in the company. it has been proven that internal control provided a reasonable assurance on achieving the companys objectives. the research and analysis of this thesis provided reference on setting up internal control system, especially regarding petroleum chemical industry and the entity which is a sub company of an international group; also it provided some solutions on applying internal control in a company which is using erp system. key words： internal control trading company petroleum chemical industry 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 iii 目 录 目 录 1 绪论1 1.1 研究背景1 1.2 国内外相关研究概述1 1.2.1 国际内部控制相关研究1 1.2.2 国内内部控制相关研究3 1.3 研究目的和意义4 2 内部控制的理论基础5 2.1 内部控制的定义与概念15 2.1.1 内部控制的定义5 2.1.2 内部控制的基本概念5 2.2 内部控制的要素6 2.2.1 控制环境6 2.2.2 风险评估6 2.2.3 控制活动7 2.2.4 信息和沟通8 2.2.5 监控9 2.3 内部控制的局限9 2.4 内部控制的应用9 3 公司内部控制的构架与实施11 3.1 凯米欧公司要点11 3.1.1 企业背景11 3.1.2 凯米欧公司的经营和内控现状11 3.1.3 凯米欧公司的业务特点12 3.1.4 凯米欧公司的价值观和行为准则12 3.1.5 凯米欧公司的组织结构13 3.1.6 凯米欧公司的 erp 系统管理13 3.2 公司内部控制设计整体思路15 3.3 公司内部控制实施方案与运行16 3.3.1. 凯米欧公司控制环境分析16 3.3.2. 凯米欧公司存货管理 (inventory) 的内部控制 16 3.3.3. 凯米欧公司收入与应收账款管理 (ar & revenue) 内部控制 22 3.3.4. 凯米欧公司应付账款与采购管理(ap & purchasing)内部控制 26 3.3.5 凯米欧公司总账及结账过程管理(gl & closing) 内部控制 30 3.4 公司内部控制实施的有效性 33 4 结论 34 致谢 35 参考文献 36 成果 38 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 第 1 页共 38 页 1 绪论 1 绪论 1.1 研究背景 1.1 研究背景 (1) 财务丑闻及对其的反思 2002 年，曾经位列世界财富 500 强企业之一的，同时也是美国最大的电力、天 然气以及电讯公司之一的安然公司(enron)于数周之内破产， 并由此直接导致了曾为全 球前五大会计师事务所之一的安达信会计师事务所解体。同年，美国世界通讯公司 (worldcom)由于财务舞弊行为败露而申请破产保护， 其首席执行官被捕并于几年之后 被判有罪。继而，施乐公司(xerox)又曝出了财务丑闻，揭露其在五年之间虚报收益 约 60 亿美元。随着本世纪初以来在世界范围内爆发的一系列财务丑闻，使人们对会 计师事务所的外部审计报告结果产生怀疑，并对美国的上市公司制度，美国会计准则 进行反思，在震惊于一系列财务舞弊事件和白领犯罪的同时，如何对会计和公司行为 进行监管，如何规范和加强企业内部控制问题受到了人们越来越多的关注。如何建立 有效的体系以控制风险成为美国及世界上市公司，政府监管机构，各类专家学者积极 研究的热点。 (2) 萨班斯-奥克斯利法案的颁布 2002 年 7 月美国政府正式颁布了著名的具有里程碑意义的萨班斯-奥克斯利法 案- 全称2002 年公众公司会计改革和投资者保护法案由参议院银行委员会主席 萨班斯（paul sarbanes）和众议院金融服务委员会主席奥克斯利（mike oxley）联合 提出，该法案对美国的公司治理、会计职业监管、和证券市场监管等方面做出了很多 新的规定。其中，法案的第 404 节就要求上市公司的管理层评估和报告公司最近年度 的财务报告的内部控制的有效性。并要求公司年报中包括一份“内部控制报告” ，该 报告应明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系 统和程序所负有的责任； 并包含管理层在财务年度期末对公司财务报告相关内部控制 体系及程序的有效性的评估。此外，还特别要求公司的外部审计师按照上市公司会计 监管委员会所发布或采用的准则就管理层关于内部控制的评估进行测试和评价， 并出 具评价报告。萨班斯法案的颁布进一步明确了上市公司的财务报告责任，同时增加了 上市公司的财务披露义务；也加强了对公司管理层违法行为的处罚。萨班斯法案要求 所有在美国上市的公司， 包括在美国注册的上市公司和在外国注册而于美国上市的公 司，都必须遵守该法案，通过立法强制上市公司实施内部控制。 1.2 国内外相关研究概述 1.2 国内外相关研究概述 1.2.1 国际内部控制相关研究 1.2.1 国际内部控制相关研究 (1) 内部控制概念的提出和初步发展 1947 年，美国注册会计师协会下属的审计委员会（cap）在其审计暂行准则 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 第 2 页共 38 页 公告中第一次提出了内部控制的概念。1949 年，该委员会第一次对内部控制给出 了明确的定义，即企业内部控制是为了保护企业的资产设备，保证企业会计资料的可 靠性和准确性，提高企业的日常经营效率，并促进相关管理部门所制定的各项政策制 度得以有效执行的组织计划和与之相匹配的方法及措施。1972 年，美国审计准则委 员会（asb）在审计准则公告第 1 号中提出：管理控制包括但不限于组织规划以 及与管理当局进行经济业务授权的决策过程有关的程序和记录， 会计控制包括但不限 于组织规划以及保护财产安全和财务报表可靠性有关的程序和记录。1988 年，美国 审计准则委员会(asb)发布的审计准则公告第 55 号中提出：企业的内部控制结构 主要包括建立的各种政策和程序以合理保证企业特定目标的实现。 这一阶段的研究主 要集中在内部控制概念的提出和控制内容的初步研究上。 (2) 内部控制框架理论研究阶段 1985 年，由美国注册会计师协会(aicpa)、美国会计协会(aaa)、财务经理人协 会(fei)、内部审计师协会(iia)、和美国管理会计师协会(ima)联合创建了美国反虚假 会 计 报 告 委 员 会 。 两 年 之 后 ， 其 赞 助 机 构 成 立 了coso （committee of sponsoring organization）委员会，专门研究内部控制问题。1992 年 9 月，coso 委员会提出了专题报告： 内部控制整体框架 （internal control integrated framework） ，该报告获得了美国审计署(gao)的认可，并在美国及全球得 到了广泛推广和应用。1994 年 5 月，coso 委员会有对内部控制整体框架 做出了进一步的补充和完善， 提出内部控制是受董事会， 管理当局以及企业员工影响， 为确保财务报告的可靠性，经营的效率和效果以及现行法规的遵循性，而自行检查， 制约和调整内部业务活动的自律系统。报告把内部控制划分为控制环境，风险评估， 控制活动，信息与沟通和监督五大要素。该阶段的研究使内部控制理论更加系统化， 所提出的 coso 内部控制框架具有深远的里程碑意义，为企业的内部控制工作提供 了重要指导。 (3) 风险管理理论研究阶段 2004 年 9 月，美国 coso 委员会发布了与内部控制框架紧密联系的企业风险 管理整体框架 （enterprise risk management-integrated framework） ，进一步深 入研究企业风险管理问题。该报告提出企业风险管理包括八个要素，即控制环境，目 标设定，事件确定，风险评估，风险响应，控制活动，信息与沟通和内部控制，并在 报告中指出内部控制是企业风险管理的一个组成部分。此后，coso 委员会在企业风 险管理整体框架的基础上又另外发布了两份指南，分别为 2010 年 12 月发布的发展 关键风险指标以加强企业风险管理 （developing key risk indicators to strengthen enterprise risk management） ，重点讨论风险的度量问题，并提出企业管理中应建立关 键风险指标-kri 来替代传统的关键绩效指标-kpi； 另一份是于 2011 年 1 月发布的 企 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 第 3 页共 38 页 业风险管理开始实务操作 （enterprise risk management-practical approaches for getting started） ， 该报告结合企业实务针对内控和风险管理工作在企业中 “如何开始” 及其必要步骤进行研究， 指出获得企业高层支持的重要性和首先应针对高风险的问题 进行控制等理念。 该阶段的研究重点集中在风险管理的理念上， 并更加与实际相结合。 (4) 内部控制理论的最新发展 2011 年 12 月，coso 委员会又发布了最新版内部控制整体框架的公开 讨论稿，该讨论稿延续了之前对内部控制的定义和对其五大要素的划分；并融入了风 险容忍度，风险应对等企业风险管理的研究成果，使内部控制理论和风险管理理论得 到了结合；并根据时代发展进一步补充和细化了内部控制理论，现面向社会各界公开 征集意见， 相信在不久的将来就会有一版全新的内部控制整体框架发布以供大家研究 和学习。 美国 coso 委员会的对内部控制的研究起步早，自 1985 年即开始专项研究，早 于世界其他国家；其理论成果系统化标准化，获得了广泛的国际认可，更重要的是其 研究的持续性，自 1992 年开始不断地更新发布各种内部控制及风险管理相关的研究 成果，为学术界和企业实务不断提供理论依据，也为本文提供了重要的理论指导。 1.2.2 国内内部控制相关研究 1.2.2 国内内部控制相关研究 我国的内部控制研究起步较晚，1992 年首部 coso 报告出台后，不断有学者如 牛成喆，方时雄，龚杰，等将 coso 最新的研究理论引入中国，并在其基础上探讨 我国企业内部控制的现状， 这传播了内部控制的理念和知识对我国内部控制的理论研 究和企业实践都起到了积极作用。我国的内部控制研究有很多不同的方向，首先是研 究业务内部控制的运行，丁圣荣，辛茂荀，杨有红，李春书，求嫣红等，分别对与货 币资金，实物资产，物资采购，生产成本相关的业务进行了内控的设计与运行研究。 其次是研究内部控制的评价，董美霞，戴松梅，朱荣恩，研究如何对内部控制的运行 进行评价。第三是与内部审计的结合，李荣梅，陈良民，盛永志等学者，将内部控制 与内部审计相联系，探讨内部审计对内部的控制的测评作用。此外，也有很多将内部 控制与信息技术相结合，内部控制与金融管理相结合的课题。在我国的内部控制相关 研究中对内部控制的概念和基本要素等问题多基于 coso 理论，这也体现了我国研 究人员对 coso 报告的认同。 值得一提的是，为了加强和规范企业内部控制，提高企业经营管理水平和风险防 范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，2008 年中国财政部，证监会，审计署，银监会，保监会联合制定并发布了中国企业内部 控制基本规范 ，结合我国实际为国内企业提供了开展内部控制活动的理论依据。该 基本规范自 2009 年起在中国的上市公司范围内实施，并鼓励非上市的大中型企业参 照执行。 企业内部控制基本规范指出内部控制的目标是合理保证企业经营管理合 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 第 4 页共 38 页 法合规，资产安全，财务报告及相关信息真实完整，提高经营效率和效果，促进企业 实现发展战略； 并指出建立与实施有效的内部控制应当包括一下要素：内部环境， 风险评估，控制活动，信息与沟通和内部监督。这是以法规的形式体现了我国内部控 制理论的研究成果， 不同于会计制度， 我国的 企业内部控制基本规范 与美国 coso 委员会的内部控制整体框架没有本质上的区别，在内部控制的概念及五大要 素上是基本一致的，而我国的其他相关研究目前多数集中于对 coso 报告的理解和 认识，但缺乏在真实企业环境下应用的实证研究。 1.3 研究目的和意义 1.3 研究目的和意义 出于立法的要求和企业发展的自身需要， 规范和强化企业的内部控制如今已成为 上市公司管理必不可少的重要组成部分。 建立和健全符合企业实际情况的内部控制系 统，通过开展合理有效的内部控制程序和措施来帮助企业实现目标，并为证券市场投 资者披露真实准确的财务信息成为公司管理层和董事会非常重视的工作。近年来，与 内部控制相关的理论研究越来越多，内容也越来越深入，但缺少相应实证案例。由于 企业的实际情况复杂多变，与理论可能存在较大差异，这也使得内部控制理论在企业 中的实际应用面临很多问题，存在较大难度。而内部控制的真正意义和价值所在正是 实际应用于企业经营管理之中，帮助企业控制风险，加强管理，实现目标。本文想通 过分析达到以下目的：经过针对本文案例凯米欧公司的环境和业务的研究与分析，将 内部控制理论应用于公司的实际经营管理之中， 在一个企业组织真实具体的环境下实 施内部控制， 帮助企业发现关于财务报告，经营及合规方面的重大风险点，为其设 计一套内部控制程序， 所设计的内控程序还要反映出凯米欧公司作为跨国集团中国子 公司，及其所属石油化工行业的特点，为其实现企业目标提供合理保证。实现理论与 实践相结合，为理论研究提供实证案例，并为其他贸易公司或化工行业公司制定内部 控制程序，建立内部控制体系提供参考。 中华人民共和国财政部, 企业内部控制基本规范, 中国财政经济出版社,2008.6 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 第 5 页共 38 页 2 内部控制的理论基础 2 内部控制的理论基础 2.1 内部控制的定义与概念 2.1 内部控制的定义与概念 2.1.1 内部控制的定义 2.1.1 内部控制的定义 内部控制是一个受到董事会，经理层和其他人员影响的过程，该过程的设计是为 了提供实现以下三类目标的合理保证： 经营的效果和效率。 财务报告的可靠性。 法律法规的遵循性。 2.1.2 内部控制的基本概念 2.1.2 内部控制的基本概念 内部控制的定义反映了以下基本概念：首先，内部控制是一个过程，它是实现目 的的手段，而非目的本身。其次，内部控制受到人为影响，它不仅仅是政策手册和图 表，而且涉及企业内各层次的人员，内部控制要靠人来实施。第三，内部控制只能向 企业董事会和经理层提供合理的保证，而非绝对的保证。第四，内部控制是为了实现 经营，财务，合规这三方面即相互独立又相互联系的目标。 (1) 内部控制是一个过程 内部控制是针对企业行为的一系列活动，而非单一的事件或环境，这些活动是潜 移默化的，蕴含于管理层的日常经营行为中。内部控制是与企业的计划，执行和监控 等各项过程和程序融为一体的。嵌入式的控制直接影响企业实现其目标的能力，并支 持企业的质量举措。 (2) 内部控制受到人的因素影响 内部控制要依靠人来贯彻实施， 因此它受到包括董事会和管理层在内的企业中所 有人员的影响。其中，董事会是内部控制的一个重要因素，企业的内部控制活动在很 大程度上有赖于董事会对内部控制的重要性和标准的论调。企业由不同的个人组成， 每个员工必须要知晓他们自身的责任和权限范围。 (3) 内部控制只能提供合理保证 一个有效的内部控制系统可以就企业目标的实现向董事会和管理层提供合理的 保证，但由于风险和不确定性始终存在，提供绝对保证是不可能的。同时，合理保证 并不意味着企业能始终实现其目标， 一个有效的内部控制系统也有可能由于员工的串 通而失败。 (4) 内部控制关乎企业目标的实现 企业的目标可以分为三个方面： 经营方面：即关于企业资源利用的效率和效 committee of sponsoring organizations of the treadway commission,internal control-integrated framework,1994.05 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 第 6 页共 38 页 果。 财务报告方面：即关于编制公开财务报表的可靠性。 遵循性方面：即关于 法律和法规的遵循性。其中，内部控制可以为实现财务报告的可靠性和法律法规的遵 循性目标提供合理的保证，这两类目标多数由外界制定，其实现有赖于企业内部控制 系统的实施；然而，经营目标的实现如投资回报，市场份额，引进新产品等则并 非完全在企业控制能力之内，内部控制并不能阻止决策失误和意外事件的发生。 2.2 内部控制的要素 2.2 内部控制的要素 基于 coso 委员会发布的内部控制整体框架中的内容和我国财政部等 联合五部颁发的企业内部控制基本规范中的规定，内部控制包括以下五项相互联 系的要素：第一，控制环境。第二，风险评估。第三，控制活动。第四，信息与沟通。 第五，监控。 2.2.1 控制环境 2.2.1 控制环境 控制环境是指企业的核心人（员工的特性，包括诚信，道德和能力）以及他 们所处的环境。 控制环境决定了企业的基调，影响企业员工的控制意识。控制环境 是其他内部控制要素的基础，它提供的是基本的规则和构架。 控制环境主要包括： 企业的诚信和道德观，即企业的价值观如何。 组织中 存在的刺激和诱惑，如由于未对敏感区域进行职责划分而产生的诱惑。 组织是否 提供并传递道德指引，如企业是否有行为准则，是否提供行为准则的培训以帮助员工 理解。 企业员工的才能，即员工是否具备完成其工作所必要的能力。 董事会或 审计委员会的影响，即企业关于内部控制的“最高基调”是怎样的。 企业的管理 哲学和经营风格，它们影响企业管理的方式，包括企业承受的风险类型。 企业的 组织结构，如采取集权还是分权式的组织结构。 组织中权力和职责的分配情况， 包括经营行为的权责分配，报告关系和授权协议的确立，是否具备有效的职责分工和 制衡机制。 企业的人力资源政策和措施，如是否在招聘环节进行诚信背景调查， 对行为准则的违反是否采取惩罚措施。 2.2.2 风险评估 2.2.2 风险评估 风险评估就是对风险的影响及其发生的可能性进行估计评价， 风险评估的结果是 企业决定如何管理风险的基础。风险评估既可以是对某项风险的单独评估，也可以是 对组织整体风险的综合评估。 (1) 目标和风险容忍度 风险评估的前提条件是设立目标，只有先确立了目标，管理层才能针对目标确定 风险并采取必要的行动来管理风险，它是内部控制得以实施的先决条件。企业目标可 committee of sponsoring organizations of the treadway commission,internal control-integrated framework,1994.05 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 第 7 页共 38 页 以分为三大类： 经营目标：与企业经营的效果和效率有关，包括业绩，赢利目标 和保护资产避免损失。 财务报告目标：与编制可靠的公开财务报告有关，包括防 止公开财务报告的欺诈和舞弊。 遵循性目标：与遵守企业适用的法律和法规相关。 风险容忍度是指在企业目标实现过程中对差异的可接受程度， 通常可以以衡量相关目 标的相同单位来度量， 它是企业在风险偏好的基础上设定的对相关目标实现过程中所 出现差异的可容忍限度。 企业在设置风险容忍度的同时要考虑相关目标的重要性和自 身的风险偏好。例如针对经营目标的风险容忍度可以是：对产品缺陷的零容忍，对原 材料不符合公司要求的低容忍度和对研发项目失败的高容忍度。 针对财务报告目标的 风险容忍度可以是：对财务报告可能不及时或不准确的低容忍度，对财务报告可能违 反会计准则的零容忍。针对遵循性目标的风险容忍度可以是：对违法行为的零容忍。 (2) 风险识别和风险评估 企业的风险识别可以分为两个层次：一是企业层面的，如新的法律法规可能要求 经营政策和策略的改变。二是操作层面的，如采购的原材料可能送货不及时等。企业 可以从三个方面来进行风险评估： 风险发生的可能性及其影响。 如果风险发生 对企业产生影响的速度或所需时间。 如果风险发生对企业产生的影响是否是持续 的，会持续多久。企业应当采用定性与定量相结合的方法，确定关注重点和优先控制 的风险。 (3) 企业对风险的应对 企业对风险的应对方式可分为以下四类： 接受：即不采取任何措施来应对风 险发生的可能性及其影响。 避免：即退出存在风险的活动，通过放弃或停止与该 风险相关的业务活动以避免损失， 如停止向一个新市场的扩张， 或出售一个经营分部。 减少：即在权衡成本效益之后，采取措施减少风险发生的可能性或其影响，或将 二者同时减少，将风险控制在风险承受度之内。 分担：即通过转移风险来减少其 发生的可能性和影响，例如为公司财产购买保险，又如为控制外汇风险而进行套期保 值交易。 2.2.3 控制活动 2.2.3 控制活动 控制活动指为确保管理层指示得以执行的政策和程序。 它们有助于保证采取必要 措施来管理风险以实现企业目标，控制活动贯穿于企业的所有层次和部门。组织应当 结合风险评估和自身的特点采用并不断发展控制活动以使风险减少至可接受的水平。 (1) 通用控制活动 通用控制活动的类型包括： 高层复核：指相对于预算，预测，前期和竞争对 手的实际业绩情况进行比较分析。 职能指导或业务管理：指由职能或业务部门的 经理们复核业绩报告。 信息处理及实物控制： 于下文中阐述。 业绩指标控制： 将不同类别的数据经营或财务的联系起来，连同关联性分析，调查和改进行为， 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 第 8 页共 38 页 构成了这一控制活动。业绩指标包括：采购价格差异，紧急订货的比重，以及退货占 总订货的比重等等。 职责分离：即使职责在不同人员之间进行分工或分离，以降 低发生错误或不当行为的风险，形成相互制约的工作机制。例如负责现金的实物支取 和记账工作的不能是同一个人。 (2) 交易控制活动 交易控制属于最基本的控制活动， 交易控制活动被用来确保某一经营行为的信息 和实物处理过程的完整性，准确性和有效性。其主要类型包括： 校验：指通过对 两个或以上项目的比较， 或者通过将一个项目与相关政策进行比较来发现不一致的情 况并进行追查。 例如进行发票校验-将供应商开具的发票信息与采购订单信息相比较。 调节：指比较两个或以上的数据，在存在差异时对其进行调整并最终实现二者一 致。例如进行有往来交易的关联方公司月末余额的对账与调节，又如编制银行存款余 额调节表。 授权与批准：通常指申请人就某项事务得到更高级别的管理者的预先 批准以肯定该业务是正当有效的， 企业各级管理人员应当在授权范围内行使职权和承 担责任。例如付款申请需要得到财务经理的签字批准，采购申请需要得到供应链管理 经理的签字批准等等。 实物控制：指对设备，存货，证券，现金及其他实物资产 进行清点并将其结果与账簿记录相比较。例如进行库存商品和固定资产的盘点工作。 长期数据控制：指对长期使用的基础数据的建立，更新及其维护的准确性，完整 性和有效性进行检查。 例如对 erp 系统中的客户和供应商主数据进行定期检查。 监 督性控制：指对以上各项控制的执行情况进行监督，通常由公司内相对高级别的人员 来完成。 例如财务经理对负责发票校验工作的会计人员的工作执行情况及其结果进行 监督控制。 (3) 控制活动的其他相关因素 科技手段如今已成为与企业控制活动密不可分的重要相关因素之一。 信息技术已 极大地应用于企业的日常经营活动之中，如使用电子邮件进行沟通，通过网上银行进 行支付和 erp 系统在企业中的广泛应用。同样的，科技手段也可以被用于内部控制 活动中，例如利用 erp 系统进行大批量自动检查，可以提高效率降低成本，计算机 自动控制可以减少人为操纵因素， erp 系统也可以提供数据和人工检查相结合进行控 制活动。此外，组织应将控制活动及其相关职责建立在公司的政策和程序中。这样才 能确保那些被管理层认为必要的减少风险的措施得以执行。 2.2.4 信息和沟通 2.2.4 信息和沟通 围绕在控制活动周围的是信息和沟通系统， 这些系统有利于企业员工获得和交换 与运作，管理和控制有关的信息。相关的信息必须以一种能使人们行使各自职能的形 式在一定的时限内被识别，掌握和沟通。获得或产生相关的，有用的，和高质量的信 息是对内部控制其它要素的重要支持，组织中的各个层次都需要信息。 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 第 9 页共 38 页 (1)信息的获得途径 企业可以从多种途径来获得信息以支持其内部控制， 信息来源可以分为内部的和 外部的。企业可以通过财务会计资料，经营管理资料，调研报告，专项信息，内部刊 物，办公网络等渠道来获取内部信息。企业可以通过行业协会组织，社会中介机构， 业务往来单位，市场调查，公共媒体以及有关监管部门等渠道来获取外部信息。 (2) 沟通的方式 企业可以运用各种不同的方式进行信息的沟通，主要包括：政策和程序，电子邮 件，演讲，现场或在线培训，社会媒体公告，备忘录，网站发布，绩效评价等等。 2.2.5 监控 2.2.5 监控 监控是实施内部控制的重要保证。 监控是企业对内部控制建立与实施情况进行监 督检查，评价内部控制的有效性，发现内部控制缺陷，形成书面报告，并做出相应处 理的过程。企业的整个控制过程必须得到必要的监控和修订，只有这样内部控制系统 才能对环境的变化自动反应。 企业的内部控制监控可以包括：持续性监控行为；独立评估和缺陷报告。持续性 的监控行为发生在经营的过程中。它包括日常管理和监管行为，以及其他人在履行职 责时发生的行为。独立评估的范围和频率依赖于风险评估和持续性监控程序的有效 性。内部监督可以对内控的建立及执行的整体情况进行持续性监督检查，对内部控制 的某一方面或某几方面进行专项监督检查，并提交相应的检查报告，提出有针对性的 改进措施等形式来进行。企业内部控制自我评估也是内部控制监控的一项重要内容。 2.3 内部控制的局限 2.3 内部控制的局限 无论内部控制系统设计得多么完善，执行得多么有效，也不能就实现企业目标做 出绝对保证，实现的可能性受所有内部控制系统固有局限的影响。这包括： 判断 错误，即决策人判断失误，因为企业的决策人是根据现有的信息，面对当时的经营压 力下做出判断，判断错误的可能性是客观存在且无法避免的。 失效，可能是因为 企业工作人员对政策的误解， 也可能是因为在意外情况下由于缺乏规范的指导而错误 行事导致内控失效。 管理层越权，管理层利用手中的权力进行违法或违规的操作 并加以掩饰可能为企业带来巨大损失并导致内部控制彻底失效。 合伙共谋，企业 内部的两个或更多人员串通， 或企业内部人员与企业的客户或供应商串通并试图掩盖 其行径可能导致控制失败。 成本与收益原则，企业的资源是有限的，建立一个内 部控制体系需要成本，而控制失败的影响通常难于衡量。 2.4 内部控制的应用 2.4 内部控制的应用 企业内部控制基本规范 企业内部控制配套指引编委会, 企业内部控制基本规范 企业内部控制配套指 引, 法律出版社,2010.6 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 第 10 页共 38 页 以上内部控制的理论要视企业的具体情况而应用。依照萨班斯法案和我国企业 内部控制基本规范的规定，上市公司必须要实施内部控制以保护证券市场投资人利 益，中小企业建议参照执行。因此上市公司应遵照法规要求，在企业中全面开展内部 控制，贯穿决策，建立和健全内部控制体系，设计并实施内部控制程序。而中小企业 由于没有法规的硬性要求，同时又存在自身资源有限的问题，鉴于成本效益原则，应 重点控制风险大的业务环节。 内部控制在实际应用中应特别注意控制环境的分析并充 分考虑企业的风险偏好。在实施内部控制程序的过程中应把握企业的“最高论调” ， 最大限度地获取公司董事会和高级管理层的支持。 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 第 11 页共 38 页 3 公司内部控制的构架与实施 3 公司内部控制的构架与实施 本文以凯米欧公司（美国上市公司在中国境内的子公司）为例进行内部控制构架 与实施研究。随着我国改革开放经济的不断发展，像凯米欧公司这样的国际跨国集团 在华全资子公司越来越多， 同时公司的主营业务是从国外工厂进口产品然后在国内销 售的，业务类型非常普遍。所以研究样本具有一定的代表性，本文的研究可以为同类 公司的内部控制实践提供参照。 另外研究将对石油化工行业经营化工类产品的跨国集 团子公司应用特殊信息管理系统的内部控制难点突破提供借鉴。 3.1 凯米欧公司要点 3.1 凯米欧公司要点 3.1.1 企业背景3.1.1 企业背景 凯米欧公司是凯米欧跨国集团公司的下属中国子公司，集团总部位于美国，并于 纽约证券交易所上市。凯米欧集团总部应用美国一般公认会计原则（us gaap） ； 遵循萨班斯-奥克斯利法案 （sox）的要求。集团对外公开披露财务报告及内部控 制报告并接受全球四大会计师事务所之一的普华永道事务所每年进行一次外部审计， 集团总部拥有独立董事并设有内部审计委员会以检查和监督内部控制的实施， 内审委 员会安排对集团各个子公司每年进行一次内部审计并向董事会出具内部审计报告， 各 子公司管理层被要求对内部审计发现做出解释并提供解决的行动方案， 管理层的解释 与解决方案需要上交审计委员会和董事会。 凯米欧公司为凯米欧跨国集团在中国投资 并注册成立的子公司，应用中国会计准则，遵循中国财政部颁发的企业内部控制基 本规范的指导，并在管理上接受集团总部的领导。凯米欧公司所处行业属于石油化 工行业，是化学工业的重要组成部分，属于传统行业相对稳定。凯米欧公司的主要产 品为石油添加剂，包括燃料油添加剂和润滑油添加剂，产品用于能源公司生产燃料油 和车用或工业用润滑油，并且是其生产过程中必不可少的原材料之一。产品的形式为 液态，桶装或国际标准罐装（iso tank） ，每个产品的外包装上均贴有产品标签以注明 产品名称，型号，生产批次编号和生产日期。产品的最大特点是其时效性和危险性： 凯米欧公司的产品均有保质期，期限为一至二年不等，过期后不可使用；公司的部分 产品属于化学危险品，化学危险品对其运输，仓储，经营都有着特殊要求，每个危险 产品的外包装上都带有危险性图标和急救说明。 凯米欧公司的产品无论是否属于化学 危险品，均不可自行销毁，只能委托具有相关资质的机构代为销毁。 3.1.2 凯米欧公司的经营和内控现状 3.1.2 凯米欧公司的经营和内控现状 凯米欧公司以前十余年一直是代表处公司的形式，没有本地仓库，销售人员联系 业务后，由亚太总部新加坡公司与客户签订合同，之后供应链管理部门负责跟进船期 首都经济贸易大学硕士学位论文 贸易公司内部控制应用研究 第 12 页共 38 页 和货物清关。这种模式的供货时间较长一般为一个月之久，去年公司为更好地为客户 服务，扩大市场，注销了代表处，成立了贸易公司，租赁了五个内地货舱，改为从国 外工厂进口产品，先存储在国内的仓库中，再销售给国内客户，这种模式的供货时间 缩短为七天。公司在代表处时期设立了较为完善的现金及支票控制，差旅费和业务招 待费报销控制等，目前需要重点建立与存货和收入相关的控制程序，并针对新业务给 采购付款和结账环节带来的变化补充和完善其内部控制。 本文将为凯米欧公司设计内 部控制程序并重点发应其新业务的特点，还要对内控的实施与落实进行研究。 3.1.3 凯米欧公司的业务特点 3.1.3 凯米欧公司的业务特点 凯米欧公司是一家独立核算的贸易公司， 其主营业务是进口由集团总部或集团内 的其他子公司在国外工厂生产的石油添加剂产品， 运输条款为 fob-装运港船上交货， 即货物装船时视为所有权转移，货物运抵中国后先储存在各地货仓里，然后再分别内 销给国内的客户。凯米欧公司在国内现有五个货仓，分别位于天津，大连，上海和广 州，均委托给第三方物流公司代为管理，凯米欧公司向第三方代理支付仓储和服务费 并监督其对仓库的管理。 公司贸易业务的最大特点是采购环节为 100%的关联方交易， 凯米欧公司只销售自己品牌的产品。销售环节存在一定的季节性问题，每年三月左右 为换油季，是添加剂产品的销售旺季，一年里的其他时间销售量较为平均，没有明显 的淡季。凯米欧公司的销售方式分为两种，一种是把产品卖给经销商，再由经销商卖 给最终客户，凯米欧公司在国内有三家大的经销商，都是公司的长期合作伙伴；另一 种方式是直销， 公司对长期大批量购买的能源公司采取直接销售的方式以减少中间环 节，从而能以较优惠的价格销售其产品。而由于经销商和能源公司规模都较大，业务 也较为稳定，因此无论是向何种客户销售，凯米欧公司均采取先发货后收款的形式。 3.1.4 凯米欧公司的价值观和行为准则 3.1.4 凯米欧公司的价值观和行为准则 凯米欧公司及其所属集团公司有着统一的价值观，这主要包括：尊重个人；绝对 诚信；持续改进质量；将客户和供应商视