（工商管理专业论文）风险导向内部控制的建立与审计.pdf

风险导向内部控制的建立与审计 风险导向内部控制的建立与审计 中文摘要中又捅要 本文立足于内部控制理论的国际国内发展状况，经过系统全面地介绍了内部控制 在世界范围内的理论发展脉络，引出国际学术界在内部控制理论方面的最新发展；其 次分析并指出公司内部控制风险。并结合c o s o 最新的风险导向内部控制理论以及 五部委联合发布的企业内部控制基本规范，指出如何在国内公司建立有效的内部 控制制度，以及如何依据最新的国际理论对企业的内部控制进行审计和评价 随着我国经济的迅速发展，内部控制在现代经济生活中的重要性越来越突出，但 严峻的现实却告诉我们有关内部控制失效的种种表现：诚信缺失、会计信息造假、企 业舞弊案件频发等等，表明内部控制如在设计上有缺陷，在作用上有缺失，往往会给 国家和企业带来严重的经济损失，并造成恶劣的社会影响。为提高内部控制的有效性， 本文就我国内部控制存在的问题作些分析，并提出一些对策以供商榷。 本文主要内容有： 1 、将内部控制最新的发展方向和内容进行了整理。 2 、对公司的经营风险进行深入的研究。 3 、由公司经营风险研究延伸到企业如何建立有效的内部控制制度。 4 、依据即将实施的企业内部控制基本规范提出如何进行内部控制的审计活 动。 本文主要的创新在于通过内部控制手册的建立来完善企业的内部控制系统。 希望通过本文能使我国内部控制方面加大研发力度，以便更好地解决我国企业管 理实践中的诚信缺失、会计信息造假、企业舞弊等问题。同时也希望更多对内部控制 感兴趣的人们投入到设计高效卓越的内部控制系统这项课题的研究工作中来。 关键词：内部控制风险管理c o s o 内部控制基本规范内控手册 作者： 导师： 乔奕 黄鹏 r i s km a n a g e m e n ta n di n t e r n a lc o n t r o l a b s t r a c t i nt 1 1 i sp a p e r ，b a s e do ni n t e r n a lc o n t r o lo v e rt h ed e v e l o p m e n to ft h et h e o r y o f i 1 1 t e m a t i o n a la 1 1 dd o m e s t i cs i t u a t i o n ，a f t e rac o m p r e h e n s i v es y s t e mo fi n t e r n a l c o n t r o l s ， i n t r o d u c e di nt h ew o n d w i d ed e v e l o p m e n to ft h et h e o r y o fc o n t e x t ，l e a d s t ot h e i n t e m a t i o n 2 l la c a d e m i cc o i l l m u l l i 锣i nt h ei n t e r n a lc o n t r o l so f t h el a t e s td e v e l o p m e n t si nt h e t h e o r y ；f o l l o w e db ya n a l y s i sa n dp o i n t e do u tt h a tw h a t k i n do fr i s ke x i s ti nc o m p a n ya n d c o o p e r a t ew i 也c o s ol a t e s tr e p o r tp o i n to u th o w t oc r e a t eav a l i di n t e r n a lc o n t r o ls y s t e m i nc h i n ac o m p a n ya n dh o wt oe v a l u a t ei t w i t hc h i n a sr a p i de c o n o m i cd e v e l o p m e n t ，i n t e r n a lc o n t r o li nt h em o d e m e c o n o m i c w o r l do ft h ei m p o r t a n c eo fm o r ea n dm o r ep r o m i n e n t ，b u tt h eg r i mr e a l i t yt e l l su sa b o u t t h e f a i l u r eo fi n t e m a lc o n t r o lp e r f o r m a n c e ：l a c ko fg o o df a i t h , f a l s ea c c o u n t i n gi n f o r m a t i o n , c o r p o r a t ef r a u dc a g e sf r e q u e n c yh a i ra n ds oo n ，s h o w t h a ti n t h ed e s i g no fi n t e r n a lc o n t r o l s a sn a w e d t h ef l a w si ne f f e c t ，t h es t a t ea n de n t e r p r i s e sw i l lt e n dt oc a u s e s e v e r ee c o n o m i c 1 0 s s e sa n da d v e r s es o c i a li m p a c t i no r d e rt oe n h a n c et h ee f f e c t i v e n e s so f i n t e r n a lc o n t r o l s ， t h i sa n i c l eo no u ri n t e r n a lc o n t r o lp r o b l e m sf o rs o m ea n a l y s i sa n dp u tf o r w a r d an u m b e ro f c o u n t e r m e a s u r e sf o rd i s c u s s i o n t h em a i nc o n c l u s i o n so ft h i sa r t i c l e ，a sw e l la sn e wp o i n t s ： 1 i n t e m a lc o n t r o la n dt h ed e v e l o p m e n to fr i s km a n a g e m e n tw e r e c o l l a t e d 2 a n a l y s et h eo p e r a t i o nr i s ko fb u s i n e s s 3 b a s eo nt h er i s km a n a g e m e n tp o i n to u th o w t of o u n dae f f e c t i v ei n t e r n a lc o n t r o l 4 p o i n to u th o wt oe v a l u a t ea n da u d i tt h ei n t e r n a lc o n t r 0 1 t 1 1 i sa r t i c l eh o p e st om a k eo u ri n t e r n a lc o n t r o l st oi n c r e a s er &d e f f o r t si no r d e rt o b e t t e ra d d r e s st h ec o r p o r a t eg o v e r n a n c eo fc h i n a sp r a c t i c eo f t h el a c ko fg o o df a i t h ，f a l s e a c c o u n t i n gi n f o r m a t i o n ，b u s i n e s sf r a u d a t t h es a m et i m eh o p et os e em o r eo ft h ei n t e r n a l c o n t r 0 1 so fi n t e r e s tt op e o p l ei n t ot h ed e s i g ne x c e l l e n c e a n de f f i c i e n ti n t e r n a lc o n t r o l s y s t e mt h es u b j e c to fr e s e a r c hi nt h ep a s t k e yw o r d s ：i n t e r n a lc o n t r o l ，r i s km a n a g e m e n t ，c o s o ，i c m a n u a l w r i t t e nb y ：q i a oy i s u p e r v i s e db y ：h u a n gp e n g l l 苏州大学学位论文独创性声明及使用授权的声明 学位论文独创性声明 本人郑重声明：所提交的学位论文是本人在导师的指导下，独立进 行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含 其他个人或集体已经发表或撰写过的研究成果，也不含为获得苏州大学 或其它教育机构的学位证书而使用过的材料。对本文的研究作出重要贡 献的个人和集体，均己在文中以明确方式标明。本人承担本声明的法律 责任。 研究生签名 学位论文使用授权声明 苏州大学、中国科学技术信息研究所、国家图书馆、清华大学论文 合作部、中国社科院文献信息情报中心有权保留本人所送交学位论文的 复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本 人电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文 外，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分 内容。论文的公布( 包括刊登) 授权苏州大学学位办办理。 e t 期：丝2 ：兰 日期： 风险导向内部控制的建立与审计 第1 章绪论 第1 章绪论 1 1 本文的研究背景与意义 随着国际经济和信息技术的发展，世界经济一体化为企业在全球范围内的大市场 中开展经营活动提供了机会，同时也使企业生存与发展的环境面临更大的风险。风险 已成为影响企业目标实现的重要因素，管理与控制风险变得越来越重要。 内部控制是现代企业管理的基石，它有利于规范单位会计行为，保证会计资料真实 完整，堵塞漏洞，消除隐患，防止并及时发现纠正错误及舞弊行为，保证单位资产的安 全完整，确保国家有关法律法规和单位内部规章制度的贯彻执行。目前解决我国企业问 题需要深入触动微观方面的本质问题，即企业的控制问题，关键在于强化企业的内部控 制。强化企业的内部控制已经成为发达国家治理公司的重要手段，它包括控制环境、控 制活动、风险评估、信息与交流、监督评审，这五个方面构成了内部控制体系。国际先 进内控理论和实践的发展启示我们，内部控制是企业生存与发展强大动力。 现代企业制度的建立，企业作为独立的法人主体，在经营机制上发生了巨大变化， 其管理模式也较传统的企业管理有本质上的差异，企业内部的管理以市场经济为导 向，向管理现代化和科学化方向发展。内部控制作为企业管理的组成部分，其内在功 能也随之增强，传统的主要以查错纠错为目的、以检查复核为手段对经济活动的结果 予以监察、督促的基本监督职能已不能满足管理的需要，现代管理需要内部控制人员 应充分发挥主观能动性，增强服务意识，对企业生产经营活动中的业务事项进行鉴证， 对其真实性、正确性表示意见，改变内部审计单一“签审 的被动方式；内部控制人 员还应积极参与企业内部的经营决策，对单位的决策、计划、方案的可行性，内部控 制制度的健全性、有效性，经济活动的效益性进行评定估价，揭示矛盾、找出差距、 分析原因、研究措施、提出建议，将服务意识惯穿于内部审计监督、鉴证、评价的全 过程，并应充分发挥评价职能在内部控制中的作用，以促进企业不断完善自我约束机 制，适应市场经济的需要而有序发展， 企业内部控制系统存在的目的在于对威胁其目标实现的风险进行管理。本文的目的 主要就是研究如何在风险管理的基础上为企业建立有效的内部控制，并对其做出评价 风险导向内部控制的建立与审计第1 章绪论 1 2 本文的研究思路和方法 本文主要研究“风险管理 和“内部控制 两个问题： 风险管理。该问题主要围绕企业日常经营中存在的风险来展开。企业在日常的经 营活动中会遇到多种多样的风险，这就要求企业要对经营状况进行风险评估。管理层 把风险评估作为保证组织取得成功的程序的组成部分。该事实在c o s o 研究报告中 有清晰的论述。管理层也把风险评估作为设计新系统的一个重要工具。无论是人工或 是计算机化的新系统都是用来实现已认可的目标的。设计和开发程序的一个重要任务 就是对所有的妨碍系统实现目标的事件和行为进行确认。风险管理是和内部控制紧紧 结合在一起的。这条主线贯穿了整个文章。 内部控制。首先我们研究分析了内部控制的发展历史以及最新的研究成果，并且 结合国内目前一些相关的规范要求阐述了其重要性，接着在分析企业风险的基础上， 研究如何来建立一个有效的内部控制系统以及如何对一个已经存在的内控系统作出 评价和审计。 通过对风险管理和内部控制两个问题的规范性研究，并结合案例指出风险管理和 内部控制是交叉进行、共同展开的，内部控制的最终目标是尽可能地帮助企业避免 经营风险，为企业增加价值。 1 3 本文的主要内容和结构 2 风险导向内部控制的建立与审计第1 章绪论 本文在整理收集国际上最新的内部控制理论研究，并结合国内最新的企业内部 控制基本规范的基础上，对国内企业目前面临的风险进行了分析，从而引出在国内 进行风险导向内部控制建设的重要性和必要性，并且对如何进行内部控制的建立和评 价提出了自己的见解，同时尝试性地提出内部控制手册的建立在内部控制中的作用。 风险导向内部控制的建立与审计 第2 章内部控制的演进 第2 章内部控制的演进 2 1 内部控制的本质 随着组织的成长员工的增多，只靠简单的组织结构越来越不能适应企业的发展， 反而会导致企业内部管理的混乱。此时，企业组织内部矛盾逐渐增多，组织运作的效 率降低，这就是企业组织的领导危机。应对危机的方法就是进行一次组织变革，所有 权与经营权相分离，企业主需要寻求专业经理人来管理自己的企业。在此阶段大多数 企业由于刚刚起步而没有考虑内部控制，或者没有足够的经验来采取有效的内部控制 制度。这是基于以下两个基本设想：( 1 ) 两个以上的人或部门无意识地犯同样错误的机 会是很小的；( 2 ) 两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人 或部门舞弊的可能性。实践证明这些设想是合理的，内部牵制机制确实有效地减少了 错误和舞弊行为，这种初始的内部控制思想非常适合第一阶段的公司的这种组织结 构。但是随着企业进一步的发展壮大，仅仅是内部牵制机制已经不能够满足企业管理 的需求。 高级执行官们长期以来一直在探寻更好地控制他们所经营的企业的方法。内部控 制正是用来促使公司向着盈利目标和实现自身使命迈进，并减少这一进程中出现的意 外情况。它们使管理层能够应对急剧变革的经济和竞争环境、不断变化的客户需求和 偏好，以及为未来增长而进行的重组。内部控制能提高效率，降低资产损失的风险， 并且有助于确保财务报表的可靠性以及对法律和法规的遵循 2 2 内部控制的发展 2 2 1 内部控制的演进过程 对内部控制的认识，经历了一个逐渐发展的过程。美国的内部控制经历了从内部 牵制到二分法、三分法到五分法，日趋完整和深入。 “内部牵制”一内部控制的最初形式是内部牵制，内部牵制以账目间的互核对为 主要内容，并实施岗位分离，内部牵制机制在减少错误和舞弊行为上起到了十分重要 的作用。 4 风险导向内部控制的建立与审计第2 章内部控制的演进 “二分法”随着经济的发展和企业组织规模的扩大，人们发现内部牵制已经越 来越不能适应大型企业的需要，因此对内部控制的研究也越发深入，美国注册会计师 协会的审计程序委员会于1 9 5 8 年1 0 月该委员会发布的审计程序公告第2 9 号将 内部控制划分为会计控制和管理控制，这就是内部控制的“二分法”。 “三分法 一1 9 8 8 年美国注册会计师协会的审计准则委员会发布审计准则公告 第5 5 号，该公告以“内部控制结构代替“内部控制制度”，具体包括三个要素： 控制环境、会计制度、控制程序。 “五分法”1 9 9 6 年美国注册会计师协会发布审计准则公告第7 8 号( s a s7 8 ) ， 全面接受c o s o 报告的内容，新准则将内部控制的定义为：“由一个企业的董事会、 管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性、 经营的效果和效率以及符合适用的法律和法规”。该准则将内部控制划分为五种要素： 控制环境、风险评估、控制活动、信息与沟通、监控。 “全面风险管理框架 - - 2 0 0 3 年7 月美国c o s o 委员会颁布了企业风险管理框架 的讨论稿，并于2 0 0 4 年4 月颁布正式稿。将企业风险管理的构成分为内部环境、目 标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互 关联的要素，各要素贯穿在企业的管理过程之中o 2 2 2c o s o 在内部控制发展中的作用 提到内部控制就不能不提c o s o ，c o s o 的全称是“发起组织委员会 ，是一家 民营部门志愿组织，致力于通过弘扬商业道德、强化有效内部控制和完善公司治理体 制，以提升财务报告的质量。c o s o 最初创办于1 9 8 5 年，目的是为美国反虚假财务 报告委员会筹集赞助。美国反虚假财务报告委员会是一个独立的民营部门计划行动， 通常称作t r e a d w a y 委员会，致力于研究产生欺诈性财务报告的促成因素，并向上市 公司及其独立审计师、证券交易委员会及其他监管机构和教育机构提供建议。c o s o 的发起机构包括美国注册会计师学会( a i c p a ) 、内部审计师学会( i i a ) 、国际财务经理 协会( f e i ) 、管理会计师学会( i m a ) 和美国会计协会( 丸气a ) 。迄今为止，c o s o 已经出 台了不少文件，其中一份是1 9 9 2 年公布的有关内部控制一综合框架的文件( 在美 国，各上市公司在进行萨班斯一奥克斯利法案4 0 4 条款的合规工作时采用的就是 这个框架) ，另外在2 0 0 4 年c o s o 委托p w c 将内部控制框架延伸到企业全面风险管 a 险导向自部控钳的建立与审计 第2 章内部控制的演进 理领域。 在全面风险管理综合框架中c o s o 从广义的角度把企业风险管理定义为：“是由 企业董事会、管理层及其他人员实煎，在战略制定过程中和整个企业中予以采用的一 个过程，它旨在识别可能会对企业产生影响的潜在事件，把风险控制在企业的承受能 力之内，并为实现企业目标提供合理保证。”该框架包含，但并未取代c o s 0 1 9 9 2 年公布的内部控制一综合框架。与内部控制一综合框架一样，企业风险管 理框架也采用三维矩阵的形式表现出来。矩阵包括了位处最顶端的4 类目标一战略 目标、运营目标、报告目标和合规目标。 内部控制的最新发展企业风险管理 圈1 ，内部控制框架的演进 正如c o s o 所述，在评估企业风险管理时，可以使用企业风险管理框架的8 个部分作为起点： l 内部环境：企业的内部环境是其他所有风险管理要素的基础，为其他要素提供 规则和结构，内部环境包括董事会和经理层。本部分体现了一个企业的风险管理理念、 风险承受能力、董事会监督、对道德价值观的执着程度、人员素质和发展水平以及权 责分工结构。它包括了企业的“最高音”，影响着企业的治理流程和员工在风险和控 制方面的意识。 2 目标设定：管理者在确定对目标的实现有潜在影响的事项之前，必须首先确定 风险导向内部控制的建立与审计第2 章内部控制的演进 企业的目标，这样才具有方向性。管理层确定战略目标，为运营目标、报告目标和合 规目标提供了依据。各种目标既要同决定企业风险容忍度的企业风险承受能力相匹 配，同时也是事件识别、风险评估和风险应对的前提。 3 事件识别：企业风险是对企业有负面影响约事项，这就要求管理者对其进行评 估和反应。对企业有正面影响的事项，即可以是企业的机遇，也可以是企业抵消风险 的事项。管理层负责识别那些可能会对企业实施战略、实现目标和绩效指标的能力产 生正面或负面影响的各种潜在事件。潜在的负面事件就是风险，为评估风险及响应风 险的备择措施提供了背景。潜在的正面事件代表机遇，管理层把它再回馈到战略和目 标制定的过程中去。 4 风险评估：风险评估可以使管理者了解潜在事项对企业目标实现的影响s 管理 者应从风险发生的可能性和影响对风险进行评估。管理层研究定性和定量方法，逐个 或逐类地评估潜在事件的发生概率及其影响，因为这些事件有可能会影响在既定时限 、 内实现目标。 5 风险应对：风险反应可以分为规避风险、减少风险、共担风险和接受风险四类， 选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风险。管理层考虑 不同的风险应对备选方案，不仅要考虑这些方案对风险的发生概率和效果可能产生的 影响，而且还要考虑继发的成本与得益，以期将剩余风险降低到希望达到的风险承受 范围内。风险应对计划推动政策的发展。 6 控制活动：控制活动是帮助保证风险反应方案得到正确执行的相关政策和程 序，通常包括两个要素：( 1 ) 确定应该做什么的政策( 2 ) 影响该政策的一系列程序。 管理层在全组织范围内实行各项政策和程序，贯彻到所有级层和所有职能领域，以帮 助确保风险应对措施得到妥善地执行。 7 信息与沟通：这里的信息和沟通是指广义上的沟通，包括企业内自上而下、自 下而上以及横向的沟通。公司识别和收集内外部相关信息，并按照有助于员工履行其 职责的形式和时机传达这些信息。组织中的有效沟通既可以自上而下或自下而上进 行，也可以横向进行。报告对风险管理具有至关重要的作用，而本部分的活动恰好能 起到汇报的职能。 8 监督：企业可以通过持续监控和个别评估两种方式对风险管理进行监控，另外 7 风险导向内部控制的建立与审计第2 章内部控制的演进 监控还包括对企业风险管理的记录。评价活动不仅能评估出企业风险管理各部分的就 绪状况和运行情况，而且也能评估出其历时绩效的质量。 2 2 3c o s o 企业风险管理框架的意义 c o s o 的框架可以根据用户性质的不同划分不同的用途： 对于公司董事，可以根据企业风险管理框架与管理层讨论企业风险管理的状况， 监督风险管理活动，确保及时了解出现的风险和管理层处理风险的行动，并可以用来 考虑内外部审计师和其他人的意见和见解。 对于公司的高级管理层来说，框架可以帮助他们评估本组织的企业风险管理能 力。 对于经理和其他企业人员，可以根据框架各部分的规定，考虑应当如何履行 自己的职责，与上级讨论改进企业风险管理的观念和主意。 内部审计师可以用来考虑审计计划对企业风险管理的关注领域。 总之，c o s o 框架应该被看成是一种基准工具，依据它来评估现有的风险管 理流程的效能和企业各级的具体风险管理活动的效果。框架能为界定风险管理能 力的改进情况营造出适宜的环境。 综和本章所述，内部控制是一个自上而下的需要整个公司全员参与的过程，在经 过将近一个世纪的发展后已经成为一个成功的企业进行风险管理不可或缺的要素。 关于c o s o 的风险管理综合框架相信从事内部控制工作的人员都有所了解，本章资料 参考来自c o s o 研究报告以及其他人员对c o s o 框架的整理研究结果。 风险导向内部控制的建立与审计第3 章我国内部控制的现状及其发展趋势 第3 章我国内部控制的现状及其发展趋势 3 1 国内内部控制的现状 经过几十年的实践，我国也在逐步强化管理的重要性，开始重视管理科学的研究 和应用，1 9 8 6 年财政部发布企业基础工作规范对内部控制作了相应的规定，1 9 9 0 年 以后，随着建立市场经济目标的提出以及依法治国的要求，在理论上开始对内部控制 开展广泛研究，在实务上积极进行探索。许多企业为了规范企业行为，防范各类风险 和经营失败，建立了内部控制制度，1 9 9 7 年1 月中国注册会计师协会出台了独立 审计具体准则第九号内部控制与审计风险，以指导注册会计师评估内部控制及其审 计风险，保证审计质量；1 9 9 7 年国家审计署实施中华人民共和国国家审计基本准 则，规定了内部控制测试的内容；1 9 9 9 年全国人民代表大会通过了新会计法， 将内部控制当作保障会计信息“真实和完整 的基本手段；2 0 0 0 年证监会发布公 开发行证卷公司信息披露编报规则，要求公开发行证卷的商业银行、保险公司、证 卷公司应建立健全内部控制制度，并在招股说明书中加以说明。这些法律法规为企业 管理提供了法律依据，也在理论上取得了重要成果。但内部控制在我国企业实施的情 况还不尽人意。 我们从以下几个方面来大致了解一下目前中国内部控制的现状： 1 控制环境是内部控制的前提。c o s o 报告认为，控制环境是指对建立、加强或 削弱特定政策、程序及其效益产生影响的各种因素，具体包括企业的董事会、企业管 理人员的品行、操守、价值观、素质与能力、管理人员的管理哲学与经营观念、企业 文化、企业各项规章制度、信息沟通体系以及公司组织结构等。企业控制环境在内部 控制中占主导地位，它直接关系到企业控制的贯彻执行以及企业内部控制目标的实 现。 据相关数据显示，我国上市公司的董事会成员中1 0 0 为内部董事的公司占有效 样本数的7 8 2 ，董事长和总经理一人担任的公司占总样本的4 7 7 在这种有明显缺 陷的组织结构下，经理层受不到有效的制约和监督，自然很容易出现问题。 2 普遍存在风险意识不强，缺乏风险评估机制 9 风险导向内部控制的建立与审计第3 章我国内部控制的现状及其发展趋势 根据一些相关调查显示我国企业目前普遍存在风险识别有缺陷，缺乏风险预警机 制，风险控制执行不力等问题 表1 企业风险评估现状调查( 出自“试论企业风险评估的现状及对策”一肖尧春) 调查结果 调查项目，是弱 否测评方法 家数比例家数比例家数比例 1 企业管理层对企业发展所面临的风 3 23 2 4 84 8 2 02 0 询问 险是否有足够认识? 2 企业员工是否对企业风险有一定认 3 63 6 5 25 2 1 2 1 2 询问 识? 3 企业高管层在制定战略发展目标时 2 42 4 4 44 4 3 23 2 询问检查 是否考虑了企业未来所面临的风险? 4 企业是否对已建立的管理程序进行 过风险评估? 是否对尚未建立管理程 1 61 6 1 61 6 6 86 8 询问检查 序的经营活动可能产生的后果进行了 风险评估? 5 企业的风险是否是在特定项目的决 6 46 4 2 02 0 1 61 6 询问检查 策中才被全面考虑? 6 企业是否定期对相关业务的风险进 2 02 0 4 84 8 3 23 2 询问检查 行评估? 7 企业在相关业务领域是否建立有风 oo 1 21 2 8 88 8 询问检查 险预警机制对风险进行预报? 8 企业在相关业务领域是否采取适当 2 82 8 5 65 6 1 61 6 询问检查 措施进行风险控制? 9 企业的风险控制措施是否实际发挥 4 84 8 3 63 6 1 61 6 询问检查 作用? 1 0 企业的重大项目决策是否充分考 虑风险因素? 对重大项目决策是否经 6 46 4 2 42 4 1 21 2 询问检查 过集体讨论通过? 3 缺乏适当的控制活动 控制活动是确保管理层的指令得以实现的政策和程序，旨在帮助企业保证其针对 “使企业目标不能达成的风险”采取必要行动，是使内部控制得以实现的重要组成部 分。控制活动是针对关键控制点而制定的，一般包括授权和批准、职责划分、设计和 运用适当的凭证、恰当的安全措施、独立的检查和评价等。为了保证控制目标的实现， 为了保证其指令被贯彻执行，企业必须制定控制政策及程序，并予以执行，管理阶层 必须确保其辨认并用以处理风险的行动己经有效落实。在我国企业中，或者不存在内 l o 风险导向内部控制的建立与审计第3 章我国内部控制的现状及其发展趋势 部控制活动，或者即使存在所谓的政策和程序，也是名存实亡，只是“写在纸上、贴 在墙上 ，没有人去执行、考核、检查，或者说没有人认真地去执行、考核、检查， 而只是搞形式、走过场，其执行效果往往很差，控制活动未实际发挥其作用，最终不 能确保管理层的指令得以实现。 4 信息流通不顺畅 目前多数企业己建立企业信息管理系统，作为企业内部信息交换的平台。但企业 信息系统的总体水平不高而且的利用效率不高，未能达到预想效果。以企业资源管理 系统( e 对) 来说，目前国内企业使用的e r p 软件总体水平不高，使用人员的素质 也有待提高。这就导致企业信息传递存在障碍，部门之间信息闭塞未能实现信息交流 和共享，提供的信息存在失真及受人为操纵的现象。在内部信息沟通不畅的条件下， 管理者失去科学理性决策的依据。企业信息平台上可供利用的信息有限。 5 对内部控制的执行缺乏有效的监管，导致我国内部控制脆弱不堪，甚至形同虚 设。 内部控制是一套自行检查、制约和调整内部业务活动的自律系统，因此，对自律 系统的监督是必不可少的。监督分内部监督和外部监督。内部监督一般由内部审计部 门担任，但由于内部审计部门独立性较差，影响了它对这一职能的发挥。外部监督具 体包括司法监督、社会监督( 主要是注册会计师的外部审计监督) 和媒体舆论监督。 但由于外部监督资源稀缺，监管不力，致使企业失去执行内部控制所需的外在公平性， 直接遏制了企业执行内部控制的积极性。遵纪守法、保证会计资料的真实、完整等相 关的内部控制反而会给企业带来不利的影响，因此，许多企业无视国家的法律法规， 甚至弃基本的内部控制制度于不顾，对内部控制内容进行利益选择，形成内部控制成 为“内部人的控制”的现象。 3 2 国内内部控制的最新发展 上面我们分析了国内内部控制的现状，居于目前的种种问题国家相关部门也在不 断提出新的要求。 风险导向内部控制的建立与审计第3 章我国内部控制的现状及其发展趋势 在中国，内部控制和风险管理制度的发展随着对上市公司信息要求的提高和国际 在此领域的发展而快速发展，尤其在2 0 0 5 年1 0 月国务院国务院批转证监会关于提高 上市公司质量意见的通知之后，开始进一步加速。 2 0 0 8 年财政部证监会审计署银监会保监会联合印发企业内部控制基本规 范正式提出对上市公司内部控制的法律规范要求 2 0 挚5 月2 0 0 呼6 月2 0 0 6 笋7 月 枷7 锋月2 峰月 0 0 6 年5 珂1 7 b ，中 陶证棼赫臀管，h 蚕 费笫3 ：弓一 7 苜次公开发行投 。巢，l 上m 管理办 接) 萁巾第2 9 条、 规定。讯二二十九条 发 a 灼内嚣掩涮 ：在玲 亩氟丈方鲻韪 ；1 有皴的，升由注册 ；会计邸 i j 具无馕 t 留结论的内豁拄涮 貔电e 报告，。一西 7 周i 爨。精致舔甓 敬起成企业内部； 拧制标准委员幺； 中辫娃聊会i | 新婚j 奁欲起成立盘计师。 搴务所出部治瑚指? 碍袭捉匆、。“t * 麓 6 ，5 l j 。j ：搿谜券燮荔稳 醑m 台上海诞券变藉j 搿上v 市公嗣内韶燕静j 播： 弓l 季 6 妇6 8 。潜务貌艄有嶷： 产髓餐镎理螽接台“燕： j 二印发申史企业垒豳 风陆管璎攒引舶翘。 知” b h 甚；姘政镩 发布美予印笈 企业内龆控制 靛最嚣丰娥 瓤j 和1 7 顶1 嚏体 规范f 祉求盘见 稿) 的翊知 2 0 0 辑9 穷2 8 自：。锈 深圳话券交筋_ i ，f b2 台关于发布卜帝； 凳司内 g j e o o s f f - 6 月嚣日，财玻霭 箨、诞豁会、审甜譬、囊 锨；撬会、佯救会联台穰； 评斑韭内蕊控锚蕊毒规一 藏疑布会发布了t 企业! 内8 # 拧铡蘩术靓蔼以。； 及企韭内嚣拧制训价，i 指l 、企北内嚣事亭， 制废用搬弓l _ 香i j 中往倦遵 主持起草的矗= 业内部 控制鉴酐拖训锦配嚣。委 婉范酌征求意见璃 图2 中国内部控制相关规定发展历程( 参考德勤会议资料) 3 3 国内内部控制发展的新趋势 五部委的规范基本上符合c o s o 最新的全面风险管理一整合框架能够适应内部 控制的发展方向，从中我们也可以看出相关部门对我国的内部控制越来越趋向于风险 管理和信息化控制： 3 3 1 信息化控制趋势 规范第七条企业应当运用信息技术加强内部控制，建立与经营管理相适应的信 息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制， 减少或消除人为操纵因素。 规范第四十一条企业应当利用信息技术促进信息的集成与共享，充分发挥信息 技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数 m四!_毒a崎碍。 风险导向内部控制的建立与审计第3 章我国内部控制的现状及其发展趋势 据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运 行。 随着组织对内部控制的需求不断扩大，内部控制的内容日益复杂，内部控制的流 程也日益程序化。在这种情况下，内部控制的固有缺陷也就明显。例如，内部控制的 有效性过度地依赖人和制度，过度地依赖于组织结构和管理流程的细分，过度依赖于 程序的严禁。这就使得内部控制的成本偏高，效率底下，反应速度缓慢，灵活性偏差。 这也正是大家在没有法律强制要求的情况下，都倾向于将内部控制简化的重要原因。 如果认真分析，我们就会发现，大家总是倾向于简化内部控制的原因可能就在于， 高配置、低手段，既设计了高级的内部控制，运用的是手工方式。如果我们将手工方 式作为传统方式，将信息化方式视为现代方式，那么，传统的内部控制实际上是忽视 了信息化技术的作用，由于人们对信息化技术的认识不到位，所以限制了人们对内部 控制的利用和作用范围。 我们应该看到，信息化技术可以降低内部控制成本，提高内部控制效率；可以将 人为控制变为程序控制，并使控制变得灵活可靠；可以形成手工条件不可能设置的控 制，增强控制的功能；可以快速获取和传递信息，及时反馈信息，提高控制效果。由 于信息化的内部控制有无可质疑的优势，也具有不可替代性，因此，内部控制的进一 步发展，方向必然是信息化，即要建立基于信息化结构的内部控制。 那么，什么是基于信息结构的内部控制? 简单地说，就是将基于职责结构、业务 结构、组织结构和风险结构的内部控制与信息化技术集成起来。建立基于信息化结构 的内部控制，一是要利用信息化技术对职责结构、业务结构、组织结构和风险结构的 内部控制进行相应的调整和改造；二是要使内部控制的运作方式信息化。 3 3 2 风险管理趋势 规范第三章“风险评估 整合了c o s o 报告中“目标制定，事件识别，风险评 估，风险反应 四个要素，面对日趋激烈的生存竞争环境，一个大型组织在重大问题上 的决策稍有不慎，便可有灭顶之灾。风险管理相对于日常工作中的资产安全性及其记 录正确性而言，显得更加重要。因为真正的风险一旦来临，无论资产和记录的质量如 何，可能都在瞬间荡然无存。面对这种情况，不但财务人员和审计人员，而且高层管 理人员；不但执行人员，而且决策人员，都将内部控制的重点由资产安全及其记录正 风险导向内部控制的建立与审计第3 章我国内部控制的现状及其发展趋势 确性逐渐向风险管理转移。风险管理要求内部控制不应仅仅局限于单个岗位、单项职 责、单项业务、单项流程，风险管理应该与企业日常经营活动融合为一体。这不但影 响了组织的管理活动，而且也影响了组织的内部审计。 3 4 新的内部控制规范对内部审计的影响 审计前应进行风险性与重要性分析，细化审计目标。新的规范要求在审计工作进 行前，着重分析审计的重点，即被审计单位最容易出错的环节；强调进行风险评估， 即如何降低审计人员在审计过程中没有辨认错误环节的可能性，同时分析可能导致审 计风险出现的因素，并探讨回避风险的对策。在当前我国的审计工作中，一般都是对 企业会计报表、资产、负债及所有者权益整体状况的真实性和合理性进行审计，审计 目标没有突出企业内部控制审计的重点，加大了审计风险与审计工作的难度，致使审 计实施的过程中无法对症下药，导致了审计工作的盲目性。为此，建议国家有关部门 重新调整审计程序，强调审计前风险评估及重要性分析的重要地位，力争尽量降低审 计成本，做到有的放矢。 随着企业e r p 的应用越来越普遍，这就要求我们加大计算机辅助审计的比重。要 求审计人员必须具有相应的计算机水平。大多数的发达国家，都十分重视审计人员的 计算机水平，通过专家讲座、各种培训，以及经常性的计算机测试等多种形式促进审 计人员熟练掌握计算机技术。而在我国，计算机的配备主要运用于打字，审计人员的 计算机水平普遍较低，无法适应审计发展的需要。因此，加强计算机培训是当前我国 审计事业的重中之重。纵观审计发展的未来，必定会逐步与知识经济相融合，因而更 新观念已成为必不可少的重要环节，在以后的审计工作中，进行知识经济与审计工作 融洽发展方面的培训，也是促进审计工作发展的必经之路。 1 4 风险导向内部控制的建立与审计 第4 章我国企业面临的风险分析 第4 章我国企业面l i 缶的风险分析 4 1 现代企业面临的风险 现代企业面临一格迅速发展和不断变化的大环境，企业所面临的风险也是多种多 样，这些风险可以分为内部风险和外部风险两种，内部风险主要来自于企业的发展过 程中管理水平发展的不对称，而外部风险主要来自于企业外部大环境的不断变化，外 部风险的存在更加要求企业加强自身内部的管理水平。 在企业内部控制基本规范中也提到企业面对内部和外部风险分别应该关注的 内容，下面我们按照内外部来区分风险大致列出企业应当关注的因素： 内部风险，应当关注下列因素： ( 一) 董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等 人力资源因素。 ( - - ) 组织机构、经营方式、资产管理、业务流程等管理因素。 ( 三) 研究开发、技术投入、信息技术运用等自主创新因素。 ( 四) 财务状况、经营成果、现金流量等财务因素。 ( 五) 营运安全、员工健康、环境保护等安全环保因素。 ( 六) 其他有关内部风险因素。 外部风险，应当关注下列因素： ( 一) 经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。 ( 二) 法律法规、监管要求等法律因素。 ( 三) 安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 ( 四) 技术进步、工艺改进等科学技术因素。 ( 五) 自然灾害、环境状况等自然环境因素。 ( 六) 其他有关外部风险因素。 现代企业迅速发展，企业在自身规模不断膨胀并且身处多变的外部环境的情况 下，对企业的内部管理提出了更高的要求，一旦出现管理脱节的情形就很容易导致企 业出现大的波动。企业为了对风险有一个全面的把握就必须按照最新的规范要求， 风险导向内部控制的建立与审计第4 章我国企业面临的风险分析 结合最新的全面风险管理框架对企业的内部控制进行全面的升级管理。 4 2 企业实际案例分析 2 0 0 8 年1 2 月2 5 日，河北省石家庄市政府举行新闻发布会，通报三鹿集团股份 有限公司破产案处理情况。三鹿牌婴幼儿配方奶粉重大食品安全事故发生后，三鹿集 团于2 0 0 8 年9 月1 2 日全面停产。截止2 0 0 8 年1 0 月3 1 日财务审计和资产评估，三 鹿集团资产总额为1 5 6 1 亿元，总负债1 7 6 2 亿元，净资产2 0 1 亿元，1 2 月1 9 日三 鹿集团又借款9 0 2 亿元付给全国奶协，用于支付患病婴幼儿的治疗和赔偿费用。目 前，三鹿集团净资产为1 1 0 3 亿元( 不包括2 0 0 8 年1 0 月3 1 日后企业新发生的各种费 用) ，已经严重资不抵债。 至此，经中国品牌资产评价中心评定，价值高达1 4 9 0 7 亿元的三鹿品牌资产灰 飞烟灭。 三鹿集团让我们警醒，建立和实施有效的企业内部控制，不是可有可无，而是意 义重大、影响深远，关乎企业的盛衰荣辱、生死存亡。 下面参照企业内部控制基本规范的基本要求，分析一些并不完全的见诸媒体 的材料，来看三鹿集团内部控制建设与实施的状况。 1 、内部环境： 内部环境是企业建立与实施有效内部控制的重要基础，一般包括治理结构、机构 设置及权责分配、内部审计、人力资源政策、企业文化等。 三鹿集团的实际控制人或者说股权相当分散，董事长与总经理之间的制衡关系无 从谈起。因而，内部人控制不可避免，治理机构的制衡机制就可能失效。 三鹿集团的外资股东新西兰恒天然在2 0 0 8 年8 月2 日得知情况后，要求三鹿在 最短时间内召回市场上销售的受污染奶粉，并立即向中国政府有关部门报告。三鹿以 秘密方式缓慢从市场上换货的方式引起了恒天然的极大不满。恒天然将此事上报新西 兰总理海伦克拉克，克拉克于9 月8 日绕过河北省政府直接将消息通知中国中央政 府。卫生部最早确认“三鹿 奶粉含有三聚氰胺是在9 月9 日，这种确认来源于外交 部的信息，外交部的信息来源于新西兰驻华使馆，新西兰驻华使馆则是得到了新西兰 恒天然集团的报告。这种“出口转内销 式的确认，令人猜想无限，为什么第二大股 1 6 风险导向内部控制的建立与审计 第4 章我国企业面临的风险分析 东不向董事会或股东大会反映情况? 或者是反映了而无法向政府或社会披露? 或者 是另有其他难言之隐? 这一事件足以印证三鹿集团内部存在着较强的内部人控制。 2 0 0 7 年底，三鹿已经先后接到农村偏远地区反映，称食用三鹿婴幼儿奶粉后， 婴儿出现尿液中有颗粒现象。到2 0 0 8 年6 月中旬，又收到婴幼儿患肾结石去医院治 疗的信息。于是三鹿于7 月2 4 日将1 6 个样品委托河北出入镜检验检疫技术中心进行 检测，并在8 月1 日得到了令