（会计学专业论文）关于c公司内部控制的研究.pdf

原原 创创 性性 声声 明明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研 究成果。除文中已经注明引用的内容外，本论文不含任何其他个人或集体已经发表 或撰写过的研究成果，也不包含为获得吉林财经大学或其他教育机构的学位或证书 而使用过的材料。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方 式标明。因本学位论文引起的法律结果完全由本人承担。 本学位论文成果归吉林财经大学所有。 指 导 教 师 签 名： 日期： 学位论文作者签名 ： 日期： 学位论文版权使用授权书学位论文版权使用授权书 本学位论文作者完全了解吉林财经大学有关保留、使用学位论文的规定，有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。 本人授权吉林财经大学可以将学位论文的全部或部分内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 （保密的学位论文在解密后适用本授权书，本论文：不保密，保密 期限至 年 月止） 。 指 导 教 师 签 名： 日期： 学位论文作者签名 ： 日期： 内 容 摘 要 内部控制是实现企业发展战略目标，改善经营管理，提高经济效益，防范和控制经 营风险的一种有效方法。随着国内外市场竞争日趋激烈，国际市场对内部控制的要求也 越来越严格，各企业内部控制主要符合美国 coso 的内部控制框架和萨班斯奥克斯 利法案 。但随着上市公司内部控制的逐渐普及，新的问题不断涌现出来。一系列违反 萨班斯法案 等罪名被起诉的公司会计舞弊案提醒我们， 上市公司通过 萨班斯法案 并不能代表公司披露的信息就完全真实可靠，不能代表公司的管理就没有任何问题，还 需要管理者再进一步的研究内部控制体系，完善内部控制体系。 c公司于2004 年11 月16 日在美国成功上市， 同年启动内部控制建设体系， 并于2007 年5月31日 ， 以 零 缺 陷 的 测 试 结 果 通 过 了 普 华 永 道 会 计 师 事 务 所 (pricewaterhousecoopers)对其财务报告的内控审计，成为国内首家通过美国萨班斯 法案电信运营商。 本文通过对 c 公司内控体系五方面（包括控制环境、风险评估、控制活动、信息与 沟通、监控）的研究出发，找出 c 公司内部控制体系存在的问题，希望通过对 c 公司内 部控制体系的研究能够让人们重新认识内部控制体系，改变人们单纯认为建立内部控制 体系就是万能的错误想法，从而来关注这家公司是如何执行内部控制体系，以及如何不 断完善内部控制体系，以达到建立内部控制体系的最终目的。同时也希望本文对 c 公司 在融合重组中内部控制体系的改善对其他公司建立内部控制体系起到借鉴作用。 关键词：关键词：c 公司 内部控制体系 coso abstractabstract internal control is a method to achieve the strategic goal of enterprise development, to improve economic efficiency, and to prevent and control operational risks. with the increasing completion on domestic and foreign markets, international markets become more and more stringent over internal control, mainly in line with the united states coso internal control framework and the sarbanes-oxley act. but with internal control adopted universally by listed companies, new problems arise. a series of incidents reminds us that although some listed companies got certificated by the sarbanes-oxley act, it does not mean that the information disclosed is completely true and reliable, and there are no problems with the management, therefore, it is necessary for managers to research and better the internal control system. c company was successfully listed on november 16th, 2004 in the united states and started constructing the internal control system in the same year. on may 31st, 2007, c company became the first domestic telecommunication operator to pass through sarbanes-oxley act section 404, after surviving the financial reporting internal control audit by pricewaterhousecoopers with zero-defect testing results. in researching the internal control system of c company( including control encironment, risk assessment, control activity, information and communication, monitoring),the author put forward problems existing in the internal control system of c company, in the hope of making people re-understand internal control system and correct the wrong idea that setting up internal control system is omnipotent, thereby, to be concerned about how to implement the internal control system and how to constantly improve it in order to achieve the ultimate goal by establishing the internal control system. we also hope this paper to play a useful reference to the improvement of internal control system when c company is reorganized and amalgamated, as well as other companies setting up internal control system. key words:key words: c company internal control coso 目 录 中文摘要中文摘要 英文摘要英文摘要 引引 言言1 一、一、内部控制的框架内部控制的框架6 （一）内部控制框架的诞生6 （二）内部控制框架的核心内容6 1.控制环境7 2.风险评估7 3.控制活动7 4.信息与沟通7 5.监督8 二二、cosocoso 内部控制整体框架的应用内部控制整体框架的应用9 三三、c 公司内部控制体系框架公司内部控制体系框架10 （一）公司总体基本情况10 （二）c 公司内部控制基础11 （三）c 公司的内部控制体系框架11 1.公司层面控制11 2.流程层面控制15 四、四、c c 公司内部控制的内容分析公司内部控制的内容分析18 （一）c 公司生产经营的特殊性18 （二）c 公司内部控制主要问题18 1.风险评估事前控制力不强，增加公司损失概率18 2.经营目标松弛，影响公司发展19 3.工作流程复杂化，工作效率下降20 4.信息系统平台分散难以满足内部控制管理要求21 5.难以摆脱国企作风，内部控制理解执行力不够21 6.缺少有效的监督机制22 五、五、c c 公司内部控制的对策和建议公司内部控制的对策和建议23 （一）完善风险评估管理23 （二）使用联合确定基数法确定经营目标24 （三）简化工作流程，提高工作效率25 （四）统一信息系统平台26 （五）纳入绩效考核，加强内控执行力度27 （六）建立有效的监督机制28 六、结论六、结论30 （一）c 公司内部控制探析的推广意义30 （二）内部控制是在发展中不断完善的30 参考文献参考文献3232 后后 记记3434 1 引言 （一）（一）选题背景及意义选题背景及意义 在萨班斯奥克斯利法案颁布以后，发达国家的大型企业为了在全球经济形势 日益复杂的形势下实现系统管理、加强竞争力、减少企业风险、达到企业利益最大化的 目标，纷纷开始推行符合 coso萨班斯奥克斯利法案的内部控制管理体系。但随着 上市公司内部控制的逐渐普及， 新的问题不断涌现。 2003 年 3 月美国南方保健公司出现 会计舞弊行为，涉案总金额高达 27 亿美元，成为美国第一宗以违反萨班斯奥克斯 利法案等罪名被起诉的公司会计舞弊案。2002 年第三季度南方保健公司前 ceo 和 cfo 在明知公司真实的财务情况下， 还对其虚假的财务报告做了保证， 虽然该公司通过了 萨 班斯奥克斯利法案 ，但还是给公司带来了巨大的损失。这一事件提醒我们上市公司 通过萨班斯奥克斯利法案并不能代表公司披露的信息就完全真实可靠，不能代表 公司的管理就没有任何问题，还需要管理者再进一步的研究内部控制体系，完善内部控 制体系。 同西方发达国家相比， 我国推广内部控制管理体系建设的时间相对较晚。 直到 2007 年 5 月 31 日 c 公司 以零 缺 陷 的 测试 结 果 通 过 了普 华 永 道会 计 师 事 务所 (pricewaterhousecoopers)对其财务报告的内控审计，我国才真正拥有通过美国萨班 斯奥克斯利法案并建立系统内部控制管理体系的大型企业。该体系的运用有效地将 控制环境、控制活动安排、绩效考察、信息沟通、风险评估等要素与企业的经营利益相 勾连，从而达到企业科学管理，提高企业自身管理水平的目标。其所带来的经济利益和 企业影响力被广泛关注。 当然，在肯定内部控制体系积极意义的同时，我们也应当充分认识到其中存在的消 极部分和应用过程中所出现的问题。在这一前提下，通过对 coso 内部控制理论和框架 的深入研究，借鉴我国学者在相关领域的成功经验和理论成果，并结合 c 公司本身的实 际情况，剖析 c 公司内部控制体系所存在的问题、分析其原因并对症下药，提出妥善有 效的建议和改进措施，从而推进 c 公司内部控制体系建设，为我国其他大型企业内部控 制体系建设提供借鉴性意见。 2 （二）（二）文献综述文献综述 1.1.国外国外研究文献综述研究文献综述 对于公司内部控制管理体系的研究起源于英国。 1992 年英国 综合守则（combined code）颁布之后，特恩布尔委员会（turnbull committee）正式成立。其职能是为英国 的上市公司建立内部控制管理体系提供符合英国综合守则规定的规范性指南和相 应的建议。该委员会要求，凡申请上市的英国公司，均应建立一套规范并完整的内部 控制管理体系，该体系需符合英国综合守则的规定，并由董事会进行定期复核和 改进。1992 年 9 月，美国 coso 委员会提出了内部控制整合框架 ，并于 1994 年 进行了增补， 内部控制框架正式形成。在该框架中，对内部控制解释如下：内部控 制由董事、管理层及其他员工在公司内进行，是旨在为保护资产的完整性、保证会计 信息的可靠性、确保经营方针的有效性而采取的自我规划、约束、评价和控制的一系 列方法与措施的总称。 2002 年，连续发生“安然” 、 “美国南方保健公司” 、 “世界通讯”等会计舞弊和财 务欺诈案件，对国际金融和投资市场都造成了巨大的损害及影响，在美国各界广泛地 引起了关于内部控制理论的讨论。2002 年 7 月，美国国会正式通过并签署了萨班斯 奥克斯利法案 。 萨班斯奥克斯利法案的签署，将企业内部控制体系对企业年 度财务报告的影响上升到规范性法规的范畴。 萨班斯奥克斯利法案中第 404 条要 求所有的上市公司：上市公司的管理层在编制企业年度报告时必须包括内部控制执行 情况报告。有关内部控制执行情况的报告应当纰漏公司董事会及管理层对当年及前一 财政年度末内部控制管理体系及控制程序有效性的评价和改进措施。 国外关于内部控制的国外研究主要分为以下几个方面： lauraf.spira (2003)在manufacturing corporation一文中指出，特恩布尔指南从根 本上将内部控制的性质和内容进行了重新定义， 其突出贡献是将内部控制理论与企业风 险管理理论有机结合，在两只之间搭建了一座桥梁。文章中以社会学为观点导向，从回 顾内部审计的发展历程出发，对内部控制和风险管理之间的联系进行讨论，并深入研究 了两者结合对于公司治理方面的影响。 指出相关利益者在评价公司和盈利风险和管理风 险时通常需要公司内部提供其内部控制管理的相关报告， 并认为有效的内部控制体系能 够导致公司管理水平可靠性的提高。 bodnar g (1975)在accounting information system一文中通过建立模型的方式对 企业建立内部控制的可靠性加以论证，结果表明，企业内部控制的有效性和可靠性随着 3 新的内部控制管理措施的引进逐渐下降。 这一理论与以往人们对于内部控制作用的理解 背道而驰，一石激起千层浪。 rajendra p. srivastava(1985)在 functions in business decisions 一文中解释了 bodnar g 在accounting information system提出的理论。他在文中建立了一个包含系列控制 措施的内部控制体系模型从内部控制信息系统的可靠性方面加以研究，结果表明，内部 控制输出的信息可靠性随着新的内部控制管理措施的引进逐渐降低， 导致内部控制的有 效性和可靠性逐渐下降。 srivastava (1983)、srinidhi and vasarhelyi (1986)在manufacture and supply一文中 结合工程机械学的理论，建立了将会计循环和相关控制相结合的模型体系。barfield (1975)使用 markov 过程建立内部控制时间序列模型。以上模型在建立时最大化的避免 误差给研究所带来的影响，系统地分析了内部控制五要素之间的相互关系和相互影响， 为日后内部控制理论的研究打下了坚实的理论基础。 2.2.国内研究文献综述国内研究文献综述 我国对内部控制体系的研究比较晚，但已经有越来越多的学者开始对此问题展开研 究和探讨。杨雄胜在内部控制的性质与目标一文中对内部控制的基本内容和性质进 行了研究和分析，并指出内部控制应作为企业管理规则的一部分，作为企业“生态链” 中的“控制链”一环，对企业经营管理发挥基本保障。从管理学、经济学、审计学等诸 多方面研究入手， 提出内部控制的研究需有效地运用丰富的公司治理理论并以管理控制 为目的，这样才能提出有效指导内部控制实务的理论成果。林好月在内部控制在企业 管理中的重要性 一文中提出： 企业在建设的过程中， 准确地把握内部控制的基本特征、 目标和基本要素，并结合企业自身实际正确运用于企业的管理活动中，对于企业提高管 理水平和自身竞争力都具有十分重要的现实意义。阚冠卿，余秀宝在上市公司内部控 制研究一文中，根据 coso萨班斯奥克斯利法案中对内部控制的定义，对我国 上市公司于2004年-2005年被出具的非标准无保留意见审计报告的进行了分类研究和分 析， 指出我国上市公司内部控制缺陷集中在控制环境和风险评估两方面。 此外。 李心合、 陈志斌、戴彦等诸多国内经济学知名学者也对内部控制理论进行了系统而详尽的研究， 在财务报告价值创造方面、内部控制责任主体方面、构建内部控制评价体系等诸多方面 都提出了建设性指导意见。 近年来，国家也颁布了一系列法律、法规用以规范企业建立的内部控制制度。1996 年，国家审计总局颁布独立审计具体准则第 9 号内部控制和审计风险 。2007 年颁 布关于印发企业内部控制规范基本规范和 17 项具体规范（征求意见稿）的通知 。 4 2008 年，国家财政部会同证监会、审计署、银监会和保监会联合发布企业内部控制基 本规范 ，首次将我国内部控制体系与国际内部控制相关法律相接轨，是我国首个完整 的内部控制规范法规。2009 年内部控制基本规范开始正式实施，为上市公司内部控 制制度规范性的有效披露提供了必要的前提。 总体来说，我国企业内部控制体系建设刚刚起步、发展迅速，但与国外相比差距仍 很明显，因此加快并完善公司内部控制管理体系仍是目前我国企业管理建设的重中之 重。 我国学者从多个学科的角度对内部控制理论进行了系统的研究和阐释，主要分为以 下七个角度： 控制论。吴水澎在经济效益会计论一文中，从控制论原理出发对内部控制进行 了多层次的研究。文中从内部控制理论的发展着手，提出 coso 报告对我国企业内部控 制管理体系构建的借鉴意义和应用启示，主要体现在以下五个方面：企业内部控制环境 的完善方面、企业风险管理的评估方面、企业控制活动的设计方面、企业信息沟通系统 的建立方面和企业内部监督体系的设立方面。 管理学和审计学。杨雄胜在内部控制的性质与目标一文中从管理学、经济学、 审计学等诸多方面研究入手，提出内部控制的研究需有效地运用丰富的公司治理理论并 以管理控制为目的，这样才能提出有效指导内部控制实务的理论成果。 委托代理理论、组织学理论。程新生在复杂性环境下企业会计（财务）组织运行 机制及其创新研究 中运用委托代理理论和组织学理论有效地将公司治理和内部控制研 究相结合，提出内部控制的发展是由对公司治理效率和经营效率的双追求所共同推动 的。 契约经济学理论。林钟高、郑军在大量研究内部控制相关文献的基础上，将契约经 济学引入内部控制理论的研究，首次提出了内部控制契约属性。从新制度经济学出发， 指出内部控制契约属性实质上是有效约束企业内部经济利益分配的调控装置。 内部控制与会计控制的关系。刘玉廷在中国会计改革与发展中强调了会计法 的实施，应配合使用内部会计控制规范 。只有这样才能从源头上解决公司内部预算 松弛、控制弱化的现象。 内部控制与公司治理和风险管理的关系。谢志华从历史回顾和逻辑推理的角度，探 讨了内部控制、公司治理和风险管理三者的关系，并以此构建了基于风险管理的内部控 制管理理论，实现了各种管理要素的统一。 组织演化论。张研在中国经济法制史一文中从组织演化的角度探讨了内部控制 5 发展与企业组织发展的统一性，提出来内部控制的过程是从“自控制”到“他控制”的 再到“自控制”发展历程。 （三）本文理论资源（三）本文理论资源 本文从 lauraf.spira 的内部控制与企业风险管理有机结合理论出发，以 srivastava、 srinidhi and vasarhelyi 在manufacture and supply一文中论证的内部控制五要素之间 的相互关系和相互影响为基础，对 c 公司的内部控制系统进行了完整的分析。借鉴国内 学者吴水澎在经济效益会计论一文中对内部控制五要素的定义，以及杨雄胜在内 部控制的性质与目标中提出的以管理控制最终目标的内部控制研究方法，对 c 公司的 内部控制提出了借鉴性理论建议。文中还运用了“联合基数法”着重对 c 公司预算部分 进行了全面的分析。 （四）研究方法及创新（四）研究方法及创新 1.研究方法研究方法 本文采用案例分析方法，从 c 公司内部控制结构入手，剖析 c 公司内部控制体系所 存在的问题、借鉴当前国内主流研究理论，分析其原因并对症下药，提出妥善有效的建 议和改进措施，从而推进 c 公司内部控制体系建设，为我国其他大型企业内部控制体系 建设提供借鉴性意见。 2.2.创新之处创新之处 （1）在对以往有关内部控制的研究基础上，本文重新对内部控制中预算松弛进行了 研究，既除了以往强调的内部控制体系中信息公开的部分，对企业预算管理过程中涉及 的徇私舞弊行为问题重点加以限制和研究，运用“联合基数法”，达到强化和控制企业 预算的作用。 （2）目前我国理论学界对于企业内部控制的理论研究基础还较为薄弱，对此本文在 研究过程中，加大了对我国企业内部控制过程中涉及到的公共管理学、政治学以及财政 学理论的分析研究。 （3）本文在总结企业制定内部控制体系具体过程的同时，进行了更为广泛深入的探 索，结合我国改革开放的整体大环境变化，主张结合企业实际从风险评估、工作流程、 信息平台、绩效考核等多方面建立企业内部控制管理体系，以加强对企业的综合管理。 6 一、内部控制的框架 1972 年， 历史上著名的水门事件发生或后， 美国各界广泛地引起了关于内部控制理 论的讨论。由于立法者、监管者和商人站在各自不同的利益立场，他们在对待这个问题 上产生了重大分歧。1985 年，coso(committee of sponsoring organization)的正式成 立， 开创性地提出了一整套体系完备的内部控制理论整体框架， 赢得了各方的一致赞同， 也标志着内部控制理论发展到一个新的阶段。 内部控制的框架是关于企业管理的总体思想和结构， 其作用的发挥及体现是一个客 观实际的过程。根据企业自身的内控特性，分清轻重缓急，科学合理地设计内部控制， 能够使内部控制和风险管理成为为企业经营和管理支持保障。 1 （一）内部控制框架的诞生 内部控制框架的产生是一个逐步发展的过程。从 1973 年到 1976 年，美国政府对水 门事件的调查掀开了对建立一套完整内部控制系统理论的序幕。针对调查结果，美国国 会于 1977 年通过了反国外贿赂法(fcpa)，其中特别规定了与内部控制有关的条款。 至此，美国众多机构开始加大对内部控制的研究并提出了许多宝贵建议。1980 年、1982 年、1984 年，美国注册会计师协会(aicpa)先后颁布了第 30 号、第 43 号和第 48 号审计 准则公告，与此同时，财务经理人员协会(fei)发布美国公司的内部控制现状 ，美国 境内的上市公司开始被纷纷要求提供企业完整的内部控制报告书。 1985 年， 针对研究舞弊性财务报告产生及其相关问题， aicpa、 美国审计总署(aaa)、 fei 等机构共同赞助成立了全国舞弊性财务报告委员会。该委员会发出倡议：建立一个 研究内部控制问题专门委员会coso 由此产生。 1992 年， 内部控制整体框架 报告， 即 coso 内部控制框架诞生。 内部控制框架的诞生标志着内部控制理论发展到新的阶段， 对实现企业发展战略目 标、改善经营管理、增强风险防范能力具有十分重要的意义。 （二）内部控制框架的核心内容 1 郑洪涛,张颖.企业内部控制暨全面风险管理设计操作指南m.北京,中国财政经济出版社，2007. 7 内部控制由董事、管理层及其他员工在公司内进行，是旨在为保护资产的完整性、 保证会计信息的可靠性、确保经营方针的有效性而采取的自我规划、约束、评价和控制 的一系列方法与措施的总称。实际上，经营的效率与效果、会计信息的可靠性和资产的 安全完整就是内部控制的三个目标。 内部控制包括下列五个要素： 控制环境、 风险评估、 控制活动、信息与沟通和监控。 1.1.控制环境控制环境 控制环境是内部控制的基础。控制环境是直接影响、制约主体内部各控制要素建立 与执行的各种要素的总称。 主要包括内部治理结构、 组织结构设置、 责任的分配与授权、 企业文化、人力资源政策及实务、内部审计和反舞弊机构。内部控制作用是否有效，很 大程度上取决于企业内部管理层对内部控制的重视程度和实施情况。有序的管理层次、 良好的竞争环境、 谨慎的风险管理政策和全员参与的企业文化是充分有效的内部会计控 制体系得以建立和运行的保证。 2.2.风险评估风险评估 风险评估是企业内部控制的关键。 风险评估是在既定的经营目标和经营环境下及时 识别、科学分析、综合评价影响主体内部控制实现的各种不确定因素，合理制定风险应 对策略的过程。 主要包括确定风险成熟度即目标设定、 风险识别 （包括内部和外部风险） 、 风险分析和风险应对（包括风险规避、风险降低、风险分担和风险承受） 。coso 报告指 出，所有的企业，不论规模、结构与性质都会遭遇到风险，企业内部控制应从风险要素 出发，有针对性地制定出科学适用的风险规避方法，并结合控制流程的概念采取措施尽 量将风险控制在可接受水平。 3.3.控制活动控制活动 控制活动是企业内部控制的具体方式。控制活动是管理层根据风险评估结果，结合 风险应对策略，采用相应的控制措施将企业所面对的风险控制在可控范围之内并确保企 业内部控制目标得以实现的方法和手段。 包括确保管理阶层的指令得以执行的政策和程 序（如批准、授权、核对会计分录、保障资产安全等） 、直接部门管理、风险披露限制、 实体控制、绩效指标的比较、职责划分。常见的内部控制措施有：授权审批控制、不相 容职务分离控制、运营分析控制、重大风险预警机制和突发事件应急处理机制等。 4 4. .信息与信息与沟通沟通 信息与沟通是整个内部控制系统的重要条件。信息与沟通是及时、准确、完整地收 集、传递与企业内部控制和内部管理相关的各种信息，并确保这些信息以适当的方式在 企业内部、企业与外部之间进行及时传递沟通和正确应用的过程。信息与沟通的主要环 8 节有：确认、计量、记录、沟通。内部控制系统是一个动态系统，每个环节之间都需要 持续不断的信息流，因此实现企业内部有效的控制就需要上下级之间、不同部门之间和 统一部门内的信息的互换和沟通。 5.5.监督监督 监督是企业内部控制的内部保证。 监督是企业对其内部控制建立与实施情况的健全 性、合理性和有效性进行监督和评估，并根据评估结果对内部控制的缺陷及时加以改进 的过程。监督活动包括对内部控制整体的持续监督活动、对内部控制的某方面个别评估 活动、报告缺陷、提出改进措施。coso 委员会新近发布了基于风险导向型的内部控制 监控模型嵌入风险系统化监控流程工具，首次在实质上推动了内部控制监督要素的应 用性发展。 9 二、coso 内部控制整体框架的应用 1993 年至今， coso 内部控制整体框架在全世界范围内得到了广泛的应用。 1992 年， coso委员会提出报告 内部控制整体框架 。 1993 年5 月， 美国联邦存款保险公司(fdic) 批准了“1991 联邦存款保险公司改进法”第十二条中的内容， 该法案要求银行就其内部 控制情况向美国联邦存款保险公司和联储等管理机构报告，并鼓励各银行以 coso 框架 为依据，从此 coso 内部控制整体框架开始广泛应用于企业内部管理。与此同时，由于 使用 coso 框架能够充分展现公司的管理水平，提高公司的公信度，各企业自身也有积 极采用该框架，用于取信投资者。 国内有关内部控制的权威规定文件主要有两个，分别是 2006 年 6 月中国国资委发 布的中央企业全面风险管理指引和 2008 年 7 月我国财政部会同证监会、审计署、 银监会、 保监会共同制定的 企业内部控制基本规范 。 两者在不同程度上都借鉴了 coso 委员会内部控制整体框架的一些内容和理念。 10 三、c 公司内部控制体系框架 c 公司做为我国通信行业的基础电信运营商，对企业内部控制体系的建设一直非常 重视，经过多年的改革发展，形成了一套系统的内部控制体系框架。 （一）（一） 公司总体基本情况 c 公司是中国特大型电信企业，是国有知名电信运营商。 c 公司由中央直管，实行国家计划财政管理。 2002 年 5 月 16 日，根据国务院电信体制改革方案 ，c 公司在三家公司基础上组 建而成。 c 公司于 2004 年 11 月 16 日在美国成功上市，同年启动内部控制建设体系，并于 2007 年 5 月 31 日，以零缺陷的测试结果通过了普华永道会计师事务所对其财务报告的 内控审计。 c 公司注册资本为 600 亿元人民币，资产总额近 3000 亿元。 c 公司拥有覆盖全国、通达世界的现代通信网络，主要经营国内、国际各类固定电 信网络设施及相关电信服务。 截至 2011 年底， c 公司的各类用户总数已达到 1.95 亿户。 c 公司是亚太地区领先的国际数据通信运营商，是中国唯一一家在亚太地区经营一 个广泛网络及提供国际数据服务的电信公司， 在国内也占据中国固网电信运营商老大的 位置。在国内北方地区，以固定电话服务、宽带和其它互联网相关服务、以及商务和数 据通信服务为主，开拓式地建设“最后一公里”基础设施。在南方地区，则主要致力于 向精选的高密度地区的企业及住宅客户提供电信服务。 1999 年开始对全国网络进行光线网络改造，运营能力和服务水平进一步提升。 c 公司主要产品与服务如下： 1固定电话通讯服务。 2宽带、光线和其它互联网相关服务。 3商务和数据通信服务。 4. 网络产品出租 5国际电信通讯服务。 11 6. 国际网络转接入服务。 （二）c 公司内部控制基础 c 公司从 1997 年开始到现在， 历经数次更名， 公司的管理制度和内部控制措施也逐 步进行了更新和改善。 先后下发了县对市的财务报账制管理细则 、 省对市收支两条线资金管理办法 、 c 公司集团会计政策 、 c 公司集团会计核算手册 、 全面预算编制工作指导意见 等文件，实现了全面预算管理和资金集中、债务集中、核算集中的财务管理模式。下发 的c 公司集团合同管理办法明确了合同会签制度。 c 公司集团重大决策事项法律论证管理办法规定企业重大的经营管理决策需有 专业法律工作人员进行合法性、法律可行性分析，识别和防范可能发生的违反规定的事 项，并将论证结果以法律意见书的形式提交管理层进行决策。 招投标管理办法明确了日常采购中的采购模式， 招投标管理效能监察的实施方 案是对招标准备阶段、开标、评标阶段、决策及合同签订、执行阶段及是否存在工作 人员利用职权勒索、收受贿赂内容进行效能监察，以发现和纠正在招投标工作中的漏洞 和问题，规范招投标活动，健全和完善各项招投标工作管理制度；查处企业及相关人员 在招投标过程中的违纪违规行为。 通过多年的发展，c 公司的管理模式逐步形成，并形成了一系列具有电信领域特色 的创新举措。其中的绩效考核任评体系、财务集中管理体系、全面预算审核体系等。对 企业的发展和壮大都起到了促进作用。但从客观上讲，c 公司的内部控制体系在一些关 键节点上还存在一些缺陷。但对于创立国内首个内控管理系统的企业来说，逐步完善只 是一个时间过程。 （三）c 公司的内部控制体系框架 c 公司以落实在美国上市公司萨班斯法案的要求为出发点，严谨内控体系建设 结构，进一步提升了企业的综合管理和运营能力。经过近三年多的实践，完成了 147 个 单位的内控体系建设，走在了我国大型国有企业内控体系建设的前列。目前，c 公司的 内部控制体系框架由公司层面和流程层面两部分构成。 1.1.公司层面控制公司层面控制 公司层面控制是指对公司内部管理层级的合理设计， 其目的使管理层能够在公司内 12 各领域和各业务层面发挥有效的控制机制。公司层面控制包括董事会、监事会和经理层 之间明确的职责定位和权限划分，对流程、交易或应用层面的内部控制具有广泛而深入 的影响，同时也是对预防、发现和制止舞弊行为提供了一个系统完善的内部控制管理体 系。 根据 coso 框架，内部控制包括三个目标：高经营效率、可靠性的会计信息来源、 安全完整的资产管理体系；五个要素：控制环境、风险评估、控制活动、信息与沟通及 监督；一张网络：内部控制要求覆盖到企业所有责任单位、责任人及业务活动，任何单 位和个人不能游离于企业控制体系之外。 图 3.1 coso 框架示意图 c 公司在制定内部控制管理体系时，充分考虑到萨班斯法案对反舞弊的重视， 增加了反舞弊及管理层越权要素， 将内部控制体系分为控制环境、 风险评估、 控制活动、 信息与沟通、监督、反舞弊及管理层越权六个方面。 (1)控制环境 控制环境主要包括以下七个方面： 职业道德方面。公司制定了c 公司内控制度规范 ，书面明确员工道德守则和行为 准则，系统化相应政策对违反道德守则或行为准则的行为时采取恰当的惩戒性行动，并 向公司内部和外部关系方传达。 对员工胜任能力的关注方面。以公司内部的岗位说明书为依据，对管理人员所需知 识与技能进行说明，对管理人员知识和专业背景进行调查和评估。对财务、法律监管、 企业信息化等专业度较高方面管理人员的专业胜任能力充分关注， 通过定期培训等方式 不断提升其知识与技能，使其与所分配工作的业务性质相匹配。 管理者的经营理念和经营风格方面。以本企业实际要求管理层设置企业经营目和恰 13 当的激励制度，充分发挥管理层的财务控管职能，同时对管理层加强对管理层的内部监 督，不定期对内部控制上突显的缺陷进行纠正。 董事会及专门委员会方面。公司董事会成员的构成保证了董事会独立于管理层，并 对公司经营行为进行有效监督。 将董事会、 内控与风险管理委员会、 各专业部门相结合， 打造董事会与专门委员会协同配合的特色管理模式， 管理内容涵盖全企业范围的内控与 风险管理组织体系。另外，公司建立信息披露委员会，有效监控本公司所披露的信息。 这种管理层级的设定明确了内控与风险管理工作机制，有利于公司内部控制规范化和全 面推广。 组织结构方面。组织结构的设置分为宏观与微观两个结构。宏观层面上，公司的组 织结构设置应从公司的战略目标出发，并与其保持一致；微观层面上，应与分支机构职 责、公司定期评估设计等相符合。公司建立正式或非正式的报告与汇报关系及信息沟通 渠道，保证管理层获得与其责任和权力有关的信息。 权责及职责分配方面。公司组织定期检查各分支机构的授权管理情况；广泛推行对 下属分公司的授权批准政策和程序，并定期复核。制定适合本企业的不相容职务相互 分离暂行规定 ，对所涉及的货币资金管理、工程项目、信息系统业务等 11 个方面的 6 种不相容职务（包括：授权、批准、业务办理、会计核算、财产保管、稽查）规定一人 不得办理业务的全部过程。 人力资源政策与实务方面。秉承“以人为本”的原则，以促进企业发展为出发点， 出台了劳动合同管理办法（试行） ，明确员工劳务合同处理原则及相关政策与程序， 并采用文件下发、 传真电报、 邮件等方式充分向分支机构传达。 以能力素质为衡量标准， 广纳贤才、公平竞争。根据企业实际，定期进行业绩评估，随时更新人力资源管理政策 和标准，并对关键岗位员工以及管理层员工的离职保持适当关注。 (2)风险评估 风险评评估是提高企业内部控制效率和效果的关键， 包括分析和辨认实现确定目标 可能发生的风险。风险评估包括公司目标的确定和沟通、风险识别、风险应对。 公司目标的确定和沟通方面。根据实际业务情况和经营情况，定期评估公司目标并 修改业务计划，保持公司长远战略目标、及短期业务计划的一致性。 风险识别。建立系统的风险识别机制随时应对公司内部和外部的风险因素。 风险应对。 建立相关政策与程序对风险识别系统在日常经营活动中识别的重大风险 因素及例外事项采取适当的应对措施。管理层对风险应对措施进行检查和监控，并建立 报告渠道。 14 (3)控制活动 控制活动指控制活动的具体方式，旨在确保管理者实现控制目标，帮助其在应对企 业目标不能达成的风险时所采取的必要的防范或减少损失的措施。 在公司管理层方面，通过召开专题办公会议研究制定本公司发展战略、年度计划及 其他重大决策事项。各具体执行部门则根据本部门的业务特点和风险评估的水平，制定 各自必要的运营政策和风险规避程序。 管理层根据当年经营环境的变动及时更新各项业 务政策，政策和程序的变更得到了有效的控制。公司政策和程序通过会议、文件、公司 内部网站等方式进行传达，电子文档经公文处理程序向下传达。 (4)信息与沟通 信息与沟通是指信息在公司内部自上而下、自下而上、横向之间以与外界进行有效 的传递，及时为企业的生产经营决策提供全面、及时和准确的信息。利用 it 技术，c 公司内部信息与沟通渠道主要包括以下几个方面： 内部沟通。公司上下级之间定期举办工作会议、工作报告等，及时了解各部门和员 工所反映的问题。不定期制定工作报告，采用下发文件的方式发放到员工手中。另外经 常举办员工培训和视察活动，有助于管理层及时了解公司内部的运营情况。制度上，公 司制定了全面的财务预算管理制度、 生产经营从何分析制度、 经营结果定期评估制度等， 对内部控制执行中出现的偏差进行及时的纠正。 外部沟通。c 公司采用举报热线和投诉两步走方式，在与供应商交易方面，主要采 取供应商投诉机制，详细规定了处理过程及结果反馈机制；在对待客户方面，采用举报 热线方式，及时与客户沟通，解决客户在使用过程中遇到的难题。公司在对外网站建立 了相应栏目宣扬公司的企业文化、经营理念及道德准则等信息，规范公司业务宣传，统 一企业及业务品牌形象，达到向外部宣传企业文化和道德准则的目的。 决策信息支持。公司建立生产经营分析会制度，对企业目标完成情况进行分析和报 告。公司建立收集和报告影响企业目标的重要外部信息的制度，并有专人对审阅的信息 进行核实。 信息系统开发与维护。c 公司一直致力于信息系统的开发与应用，在重组之初便起 用了企业资源计划（erp）系统。多年来，一直加强 it 支撑系统的管理和控制，通过对 信息沟通渠道的拓展，信息技术控制的开发、变更，安全管理操作的实体化三方面制定 出一整套符合萨班斯奥克斯法案的内部控制信息系统管理规范体系。企业信息化 部门根据公司的战略发展目标，定期编制公司企业信息化规划（如三年规划） ，企业信 息化规划结合企业实际情况、市场需求和企业管理需求适时更新。 15 信息系统安全。公司建立业务持续计划和灾难恢复计划，如：对关键数据、程序、 操作系统和文档的异地存储及灾难发生时应采取详细步骤的计划文档，可选站点的备份 协议等。对关键应用系统不定期抽查其使用情况，对灾难恢复计划定期检测，至少每半 年一次。 (5)监督 监控是一种随着时间的推移及内外部因素的变动而不断地对企业的内部控制的情 况进行监控、评价和纠正的过程，包括持续监控、独立评估和缺陷报告。c 公司内部设 立独立发挥监察作用的监督部门，重点对重大项目的资金投放及使用情况进行跟踪检 察，促进重点工程的有序进行。 持续监控。 c 公司的持续监控程序的设立目的在于对财务运行情况进行有效的监控。 包括管理部门各分公司及营业网点的自身经营数据与财务数据核对， 和管理部门将各分 公司及营业网点的经营数据与外部关系方进行数据核对。 独立评估。c 公司要求公司内部的审计部门和外部独立的第三方审计部门在检查公 司数据时应秉承客观性的原则并