（工商管理专业论文）安徽省移动通信公司内部控制系统构建研究.pdf

安徽省移动通信公司内部控制系统构建研究 摘要 安然公司财务丑闻等一系列的公众公司造假事件直接导致了( 2 0 0 2 年公众公司会 计改革和投资者保护法案( 即( 2 0 0 2 年萨班斯奥克斯利法案，以下简称( s o x 法案) 的颁布。这是美国继1 9 3 3 证券法和( 1 9 3 4 证券交易法之后最具影响力 的证券法律。 安徽省移动通信公司是中国移动通信有限公司的全资子公司。由于中国移动通信 有限公司在纽约证券交易所挂牌交易，所以其需要按照s o x 法案的要求披露财务 报告。 本文介绍了安徽省移动通信公司的基本情况，研究了内部控制一整体框架、控 制指南、( 2 0 0 2 年萨班斯奥克斯利法案、c o b i t 框架等内部控制基本理论并分析 了这些理论之间的内在联系，分析了安徽省移动通信公司内部控制中存在的问题，设 计出一套适合安徽省移动通信公司的内部控制系统与持续改进措施。作者认为安徽省 移动通信公司的内部控制架构应当包括公司层面的控制、i t 整体控制与流程层面的控 制三个部分。作者还认为公司应当对内部控制系统是否得到有效遵循进行定期的穿行 测试与有效行测试；针对经营环境的变化，不断地对内部控制系统进行改进与完善， 以保证内部控制系统适应企业的经营管理环境并被有效的执行。 本文以安徽省移动通信公司为研究对象，希望找出上市公司内部控制中存在的共 性问题，以期探讨出上市公司或非上市公司内部控制建设与持续改进的思路或方法， 并为其他企业提供借鉴或参考。 关键词：内部控制；萨班斯；内部控制设计 r e s e a r c ho nr e b u i l d i n go fi n t e r n a lc o n t r o ls y s t e mo fa n h u i t e l e c o mc o ，l t d a b s t r a c t as e r i e so fc o r p o r a t ea n da c c o u n t i n gs c a n d a l so fu s ac o m p a n yi n c l u d i n gt h o s e a f f e c t i n ge n r o n ，t y c oi n t e r n a t i o n a l ，a d e l p h i a ，p e r e g r i n es y s t e m sa n dw o r l d c o mh a sl e dt o t h ep r o m u l g a t i o no fp u b l i cc o m p a n ya c c o u n t i n gr e f o r ma n di n v e s t o rp r o t e c t i o na c to f 2 0 0 2w h i c hi sk n o w na ss a r b a n e s - o x l e y s a r b o x t h i si so n eo ft h em o s ti m p o r t a n t s e c u r i t i e se x c h a n g ea c to f19 3 4 a c to f2 0 0 2a n dc o m m o n l yc a l l e ds o xo r l e g i s l a t i o na f t e rs e c u r i t i e sl a wo f1 9 3 3a n d a n h u ic o m m u n i c a t i o n sc o m p a n yi saw h o l l y o w n e ds u b s i d i a r yo fc h i l l am o b i l e t e l e c o mc o ，l t d a si ti si n c l u d e di nt h en e wy o r ks t o c ke x c h a n g e1 i s t i i l g c mc o m p a n y i sr e q u i r e dt od i s c l o s ei t sp e r i o d i cr e p o r t sc o m p l i e dw i t ht h en e wl a w t 1 1 i st h e s i si n t r o d u c e st h eb a s i ci n f o r m a t i o no fa n h u ic o m m u n i c a t i o n sc o m p a n y , t h e n b e g i n sw i t hs o m eb a s i ct h e o r yo fi n t e r n a lc o n t r 0 1 s u c ha si n t e m a l f r a m e w o r k g u i d a n c eo f c o n t r o la n dc o b i ta n dr e v i e w st h ec u r r e n ts t a t u sa n de x i s t i n gp r o b l e m so fi n t e r n a lc o n t r o li n a n h u ic o m m u n i c a t i o n sc o m p a n y o na n a l y z i n gt h ec a u s e so ft h e s ep r o b l e m s ，t h ei n t e r n a l c o n t r o ls y s t e m w h i c hi ss u i t a b l ef o rt h ec h a r a e t e r i s t i e so fa n h u ic o m m u n i c a t i o n sc o m p a n y i sf i n a l l yd e s i g n e d i i lt l l i st h e s i s a n h u ic o m m u n i c a t i o n sc o m p a n ys e r v e s 嬲a ne x a m p l et ob es t u d i e d w e w a n tt of i n dt h ec o m m o np r o b l e m so fi n t e m a lc o n t r o le x i s t i n gi nt h ee n t e r p r i s e sw h i c hi s l i s t e d i nt h en e wy o r ks t o c ke x c h a n g e a n de x p l o r es o m ei d e a sa n dm e t h o d so ft h e i n t e m a lc o n t r o lo fp u b l i cc o m p a n yo rp r i v a t e l yh e l dc o m p a n i e s w h i c hc a nb eu s e df o r r e f e r e n c ei no t h e re n t e r p r i s e s k e y w o r d s ：i n t e r n a lc o n t r o l ，s a r b o x ，i n t e r n a lc o n t r o ld e s g i n 插图清单 c o s o 框架内部控制模型6 c o b i t 模型9 c o b i t 框架四大控制域1 0 萨班斯一奥克斯利法案的主要内容1 1 i t g i 立方体1 2 安徽省移动通信公司组织结构图1 3 安徽省移动通信公司i t 系统架构1 6 安徽省移动通信公司资产结构1 8 安徽省移动通信公司内部控制体系架构2 1 安徽通信公司企业文化理念体系2 2 电信企业风险宇宙2 6 c o b i t 框架i t 过程层级3 0 1 2 3 4 5 1 2 l 2 3 4 5参二二冬厶孓孓禾牟禾禾舡 图图图图图图图图图图图图 表4 1 表4 2 表4 3 表4 4 表4 5 表4 6 表4 7 表4 8 表4 9 表5 - 1 表5 2 表5 3 表格清单 安徽通信公司评估流程框架示例2 6 安徽通信公司风险清单示例2 7 安徽通信公司风险问卷( 左半部分) 2 8 安徽通信公司风险问卷( 右半部分) 2 8 c o b i t 框架的i t 过程域3 1 安徽省移动通信公司i t 控制流程3 2 安徽通信公司主要系统3 2 安徽省移动通信公司i t 整体控制关键控制点3 4 安徽省公司流程层面的内部控制关键控制点统计表3 7 穿行测试底稿样表3 9 执行有效性样本的选择4 0 安徽通信公司执行有效性测试底稿4 1 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。 据我所知，除了文中特别加以标志和致谢的地方外，论文中不包含其他人已经发表或撰 写过的研究成果，也不包含为获得金胆王些太堂 或其他教育机构的学位或证书而使 用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说 明并表示谢意。 学位论文作者签字：汞星门鬼签字日期：2 辟 学位论文版权使用授权书 尸月洳 本学位论文作者完全了解 金胆王些太堂 有关保留、使用学位论文的规定，有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅或借阅。本人 授权金胆王些太堂 可以将学位论文的全部或部分论文内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文者签名：程小j 九 签字日期：d 占年尹月彷日 导师签名： 牝彰 签字日期：炒脾f 2 - 月，p 日 学位论文作者毕业后去向： 黧：麓黎一堙端垆7 通讯地址：念脚长z 1 眵路p 尸羔 。邮编：2 弓d d6 特别声明 本学位论文是在我的导师指导下独立完成的。在研究生学习期间，我的导师要 求我坚决抵制学术不端行为。在此，我郑重声明，本论文无任何学术不端行为，如 果被发现有任何学术不端行为，一切责任完全由本人承担。 学位论文作者签名：程小虎 签字日期：2 0 0 8 年9 月2 5 日 第一章绪论 1 1 研究的背景、目的及意义 2 0 0 1 年1 1 月，曾经位居全球5 0 0 强第7 位的美国能源巨头安然( e n r o n ) 公 司财务丑闻曝光，随后，“世通”、“施乐 等系列公司财务欺诈丑闻的曝光， 造成了此间美国有3 3 8 家上市公司，总计约4 0 9 3 亿美元的资产申请破产保护， 投资者损失惨重，安达信会计师行因销毁审计证据被定罪为“妨碍司法”而最终 解体，极大的影响了公众对资本市场的信心。社会各界展开了关于会计监管的广 泛讨论，最终导致美国国会于2 0 0 2 年7 月2 5 日通过了2 0 0 2 年公众公司会计 改革和投资者保护法案( 即2 0 0 2 年萨班斯一一奥克斯利法案，以下简称s o x 法案) 。s o x 法案经美国总统布什签署后，正式成为法律并生效。该法案是 继1 9 3 3 年证券法和1 9 3 4 年证券交易法之后美国证券立法中最具影响力 的法案。该法案对会计行业的监督、审计独立性、财务信息披露、公司责任、 证券分析师行为、证券交易委员会的权利和责任等诸多方面做了新的规定，法 案的第3 0 2 节要求管理层就公司的内部控制系统进行报告并在提交给证券交易 委员会( s c u r i t i e sa n de x c h a n g ec o m m is s i o n ，即s e c ) 的财务报告上签字， 同时要求外部审计师证实管理层声明的准确性，内部控制再次成为光大相关方 的关注重点。 安徽省移动通信公司是中国移动通信有限公司的全资子公司。中国移动通 信有限公司股票分别在香港证券交易所与纽约证交所挂牌交易。尽管安徽省移 动通信公司工商注册的的企业性质是外商投资企业，但是，上市前，从其管理 模式来看仍然属于典型的国有企业。“人治”的因素远远大于“法治”的因素。 人们的管理思维和理念仍然相当朴素，对内部控制的观念仍然局限在“内部牵 制 的层面。s o x 法案第4 0 4 条款强调公司管理层需要通过内部控制加强公 司治理，该条款要求非美国本土的上市公司，应在2 0 0 6 年7 月1 5 日或之后结 束的首个会计年度( 对我公司而言即2 0 0 6 年1 2 月3 1 日) 的财务报告中做出有 关内部控制有效性的书面声明，其中包括：管理层对建立和维护内部控制的责 任声明；管理层对评估内部控制所采用的评估框架的声明；公司在最近财政年 度末对内部控制有效性的评估，包括公司与财务报告相关的内部控制是否有效 的声明。4 0 4 条款还要求外部审计师对于与财务报告相关的内部控制和管理层 对内部控制的评价进行审计，并出具审计意见。 作为在美国上市的公司，中国移动通信有限公司必须满足s o x 法案的 要求，遵循s o x 法案的同时也为提升公司整体管理水平提供了良好契机。 通过实施法案，寻找公司高速发展过程中容易忽视和掩盖的管理问题，发现企 业存在的内部风险和控制薄弱点加以解决，有利于提高公司内部控制和风险管 理水平，也有利于增强企业竞争力和持续发展能力。 本文通过对安徽省移动通信公司实施s o x 法案4 0 4 条款内部控制项目的 研究，力求为国内相关企业在该领域的工作中起到一定的指导作用与借鉴意义。 1 2 国内外研究的成果 1 9 3 6 年a i c p a ( 美国注册会计师协会) 在注册会计师对财务报表的审查 文告中首次提出内部控制为基础的审计程序。1 9 4 9 年美国审计程序委员会下属 的内部控制专门委员会发表了内部控制、协调系统诸要素及其对管理部门和 注册会计师的重要性的专题报告。报告首次对内部控制进行了定义，报告认 为：“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、 提高经营效率、推动管理部门所制定的各项政策贯彻执行的组织计划和相互配 套的各种方法及措施。”自2 0 世纪4 0 年代末开始，内部控制理论在实践中得到 不断的充实。1 9 8 8 年a i c p a 发布了审计准则公告第5 5 号。通告中首次采用 “内部控制结构一词，指出：“内部控制结构包括为合理保证企业特定目标实 现而建立的各种政策和程序 ，并确定内部控制结构包含3 个要素，即：控制环 境、会计制度和控制程序。1 9 9 2 年美国“反对虚假财务报告委员会”所属的“内 部控制专门研究委员会 ，经过3 年多的潜心研究和深入探讨后开创性的提出了 内部控制整体框架的概念( 关于内部控制框架，后文将做详细叙述) 。可以说对 与内部控制的研究，目前处在理论的成熟期。 而内部控制框架理论真正为广大管理者所熟知，并在实践层面被学者所广 为研究则是在内部控制整体框架概念被提出来的l o 年之后，即2 0 0 2 年的s o x 法案颁布并实施时。这时对内部控制的研究主要集中在企业内部控制体系的 构建与内部控制评估模型的建立。 针对内部控制体系的构建，国内外学者均作出了较为深入的研究。这些研 究主要着眼于如何基于c o s o 等内部控制框架构建组织的内部控制体系。在这一 领域中的研究也各有侧重点，有的倾向于会计控制的构建，如，王玮，刘滔在 c o s o 模型在会计控制中的实际应用1 一文中介绍了根据内部控制一整体 框架建立会计控制的思路；有的则把研究聚焦于会计信息系统的内部控制， 入，张清与范蔚文则在萨班斯法案下公司会计信息系统的内部控制2 一文中 从会计信息系统内部控制的主要内容与会计信息系统内部控制持续有效的保障 机制两方面对会计信息系统的内部控制理论与实务进行了研究。总体来说，内 部控制的应用研究，较多的偏向于与会计控制相关的内部控制，而且是基于单 一的c o s o 框架的。研究成果更多的是关于控制活动层面的内容。至于严格以内 部控制三大目标为导向，结合c o b i t ( c o n t r o l0 安徽e c t i y e sf o ri n f o r m a t i o n a n dr e l a t e dt e c h n o l o g y ) 框架，按照五要素构建内部控制体系的研究还并不多。 由于会计师事务所在内部控制及其评估研究中的强势地位，关于内部控制 的评估研究，目前还严重的受到审计导向性的影响：“( 当前研究) 对内部控制 2 的评价，都没有摆脱审计这一导向性的影响，只针对上市公司管理当局对特定 日期与会计报表编制相关的内部控制有效性的认定进行审核，忽视了对内部控 制系统本身的评价。 。在实践中，内部控制的评估更多的以主管的定性评估为 主，如，c s a ( c o n t r o ls e l f - a s s e s s m e n t ) ，而以内部控制框架理论为基础，采 用定性与定量分析相结合的方法，对内部控制进行动态的、系统的评价模型建 立的研究则相对较少。 另外，对内部控制的持续改善机制的研究也尚存在定的理论与实践研究 空间。 1 3 研究的内容、方法与思路 本文从 s o x 法案产生的背景、安徽省移动通信公司特点和现状出发的 背景入手，通过对c o c o 控制框架、c o s o 内部控制框架等国际上各种主流内部 控制框架进行比较，对c o b i t 等信息技术控制框架进行研究，对安徽通信公司 的内部控制中存在的问题进行分析，提出了安徽省移动通信公司以c o s o 内部控 制框架作为基本框架，构建符合s o x 法案要求与企业内在需求的内部控制 体系的思路及方案，特别重要的是，本文还就建立持续跟进与测试保障机制， 确保内部控制在企业发展的过程中不断得到完善提供了解决方案。 研究过程中主要采用了以下的研究方法： ( 1 ) 文献研究 查阅、研究了目前国际上几种主流的内部控制框架文献资料，国内外关于 内部控制的最新研究资料、安徽通信公司的内部控制及相关管理与运营方面的 资料，对比分析了不同框架的优缺点、c o b i t 框架与萨班斯法案的内在要求， 并对这些文献资料进行了综合、整理并以简洁的语言进行阐述。研究、探讨建 立安徽省移动通信公司的内部控制的理论架构。 ( 2 ) 现状探讨 对安徽通信公司的历史沿革、管理特点、行业特点进行研究与分析，结合 该公司在内部控制中存在的主要问题，进行系统化的分析，并提出了构建适合 安徽通信公司的内部控制的基本思路与方案。 最后，作者还分析了萨班斯法案遵循的长效机制建立的关键点，提出了穿 行测试方案、遵循性测试方案以持续改进机制。 第二章企业内部控制的理论基础与萨班斯法案 2 1 内部控制的基本理论 内部控制源于1 9 3 4 年美国证券交易法所提出的“内部会计控制的概 念。1 9 3 6 年美国注册会计师协会发布独立注册会计师对财务报告审查的文 告，提出审计师在制定审计程序时应当考虑审查企业的内部牵制和控制。1 9 3 9 年1 0 月美国注册会计师协会的审计程序委员会公布了审计程序文告第1 号， 该文告修改了标准化的审计报告，并增加了对内部控制审查的内容。1 9 9 2 年， 美国c o s o ( t h ec o m m i t t e eo fs p o n s o r i n go r g a n i z a t i o n ) 委员会发布了 i n t e r n a lc o n t r o l - f r a m e w o r k 报告，构建了由三个目标和五项要素组成的 内部控制框架。这标志着内部控制理论的成熟并逐渐应用于实务。随后，各国 不同的组织先后发布了各自的内部控制框架或指南，这些框架中影响力比较大 的是：加拿大的c o c o 委员会发布的g u i d a n c eo nc o n t r o l 、英国综合守则 ( c o m b i n e dc o d e ) 的t u r n b u ll 指南与巴塞尔银行监管委员会发布的 f r a m e w o r kf o rt h ei n t e r n a lc o n t r o ls y s t e m si nb a n k i n go r g a n i s a t i o n s 。 2 1 1 主流内部控制框架回顾 ( 1 ) c o s o 框架 1 9 8 5 年，美国注册会计师协会( a m e r i c a ni n s t i t u t eo fc e r t i f i e dp u b l i c a c c o u n t a n t s ，a i c p a ) 、美国会计学会( a m e r i c a na c c o u t i n ga s s o c i a t i o n ，a a a ) 、 国际内部审计师协会( i n t e r n a t i o n a li n s t i t u t eo fa u d i t o r s ，i i a ) 、管理会 计师协会( i n s t i t u t eo fm a n a g e m e n ta c c o u n t a n t s ，i m a ) 、财务经理协会( f e i ) 发起成立了一个民间组织“反对虚假财务报告委员会”，希望研究虚假财务报告 的产生原因并探索解决办法。在随后的调查中发现，内部控制失败是财务舞弊 产生的重要原因之一。因此，5 个发起组织成立了c o s o 委员会，以系统地研究 内部控制。1 9 9 2 年，c o s o 委员会公布了内部控制一整合框加( i n t e r n a l c o n t r o l f r a m e w o r k ) ，第一次提出了系统的内部控制框架。 c o s o 认为：“内部控制内部控制是受企业董事会、管理层和其他职员共同作 用，为实现经营效果性和效率性、财务报告的可靠性以及对适用的法律、法规 的遵循性等目标提供合理保证的一种过程1 h 1 。 c o s o 内部控制框架由五个相关联的要素组成，关于这五个要素，本文将在 1 原文是：i n t e r n a lc o n t r o li sap r o c e s s ，e f f e c t e db ya l le n t i t y sb o a r do f d i r e c t o r s ，m a n a g e m e n ta n do t h e rp e r s o n n e l 。 d e s i g n e dt op r o v i d er e a s o n a b l ea s s u r a n c er e g a r d i n gt h ea c h i e v e m e n to f o 安徽e e t i v e si nt h ef o l l o w i n gc a t e g o r i e s ： e f f e c t i v e n e s sa n d e f f i c i e n c yo fo p e r a t i o n s r e l i a b i l i t yo f f i n a n c i a lr e p o r t i n g c o m p l i a n c ew i t ha p p l i c a b l el a w sa n dr e g u l a t i o n s 4 后文作详细阐述。 ( 2 ) 加拿大的c o c o 框架 在美国提出了c o s o 框架之后，加拿大特许会计师公会( c a n a d i a n i n s t i t u t eo fc h a r t e r e da c c o u n t a n t s ) 成立了控制规范委员会( c r i t e r i ao f c o n t r o lb o a r d ，简称c o c o 委员会) 。c o c o 委员会发布的控制指南( g u i d a n c e o nc o n t r 0 1 ) 对内部控制提出新的诠释。 c o c o 委员会认为内部控制是组织中 有助于实现其目标的各个要素( 包括企业资源、信息系统、企业文化、 组 织结构和运作过程等) 的总和2 1 。c o c o 框架由控制的定义与控制标准和标准簇 ( t h ec r i t e r i ao fc o n t r o la n dt h eg r o u p i n go fc r i t e r i a ) 组成。c o c o 控 制标准( 簇) 包含4 个方面： 第一、目标( p u r p o s e ) ：应建立与沟通各种目标；应鉴别与评估组织达成 目标过程中所面临的各种内在的与外生的风险；应当建立、沟通与实施支持组 织达成目标与管理控风险的政策，以使其成员理解组织对其的期许以及其作业 的范围；应建立与沟通促进达成组织目标的计划；目标与相关计划应当包括可 衡量的绩效目标与指标。 第二、承诺( c o m m i t m e n t ) ：应建立、沟通与实施影响整个组织的共同的价 值观；人力资源政策应当与组织的价值观与目标一致；清晰的界定权责并与组 织的目标保持一致，保证决策与执行是由正确的成员进行的；形成互信氛围、 鼓励人们的沟通，以使之有效的达成组织的目标。 第三、能力( c a p a b i l i t y ) ：成员应当具有支持组织目标实现的知识、技能 与工具；沟通过程应当支付组织价值观及实现其目标；应能及时识别与沟通充 足的、相关的信息以使成员能履行其职责；组织中不同领域的决策与执行应当 相互协调；控制活动应当成为组织不可分割的一部分，并考虑到组织目标、实 现这些目标所面临的风险以及控制元素之间的关系。 第四、监督与学习( m o n i t o r i n ga n dl e a r n i n g ) ：监控并获取意昧着组织 目标与控制需要重估的信息：应针对组织目标与计划的指标来监督绩效：应定 期监控组织目标背后人假设：当目标改变或报告缺陷被确定需要的信息或信息 系统应被重估；应建立与执行稽催程序以确保适当地改变与改善措施；管理层 应当定期评估控制的有效性并向相关者进行沟通。 c o c o 把目标确定、战略规划、风险管理和纠错行动这些活动看成是“控制 的一部分，而不像c o s o 委员会有意将其排除在“内部控制外。所以c o c o “控制观念更能从组织自身的角度来考虑问题。 尽管不同的框架各有特色，c o c o 框架从某些方面来看更优于c o s o 框架。但 是，c o s o 框架更为人们所熟悉，其影响力更大，采用c o s o 框架的企业仍然占 2 原文是：c o n t r o lc o m p r i s e st h o s ee l e m e n t so fa no r g a n i z a t i o n ( i n c l u d i n gi t sr e s o u r c e s ，s y s t e m s ，p r o c e s s e s ，c u l t u r e ， s t r u c t u r ea n dt a s k s ) t h a t , t a k e nt o g e t h e r , s u p p o r tp e o p l ei nt h ea c h i e v e m e n to f t h eo r g a n i z a t i o n 。so 安徽e c t i v e s 5 主流。 2 1 2c o s o 内部控制框架 1 9 9 2 年c o s o 委员会发布了内部控制一整合框架，首次对内部控制进行 了严密的定义，并提出了内部控制的整体框架。 c o s o 的内部控制的定义基于以下几个概念： ( 1 ) 内部控制是一个过程。企业的经营管理活动是一个随着内部环境与外部 环境的变化而不断演变的过程。内部控制应当与企业的经营管理过程相结合， 随着企业的经营管理活动而不断地改进、完善与调整。 ( 2 ) 内部控制受到“人”的因素的影响。内部控制是由人来执行的，组织中 的任何一个人都与内部控制存在着某种关系，其行为直接地影响着内部控制。 ( 3 ) 内部控制仅仅能提供合理的保证。无论制度设计得多么完善，总是存在 一定的局限性。而且人的因素也对内部控制产生灾难性的影响，如果两个不相 容职责的承担者合谋，将会使得内部控制彻底失效。 ( 4 ) 内部控制设计的目的旨在实现企业的目标。 c o s o 认为，内部控制的整合框架应当包含五个相互关联的要素，这五个要 素的关系可以用以下的模型表示： 图2 - ic o s o 框架内部控制模型 ( 来源：译自h t t p ：w w w p w c c o m p e r i o c o r n ) ( 1 ) 控制环境 企业的核心是“人 ( 他们的个性，包括道德价值与竞争力) 与其经营所处 6 的环境。控制环境是内部控制框架中最基础的要素，是影响企业建立内部控制 的基础。控制环境包含以下几方面的内容： 治理结构 建立规范的法人治理结构，科学的分配决策、管理、执行与监督层面的地 位职责，形成有效的制衡机制是内部控制生存的基础。 诚信、道德价值观 内部控制是由人建立和运行的，人的品质、道德去向和价值观影响着人们 的行为，也对内部控制的效率、效果产生了很大的影响。企业成员普遍具有诚 信的品质、良好的道德取向和高尚的价值观有利于企业建立良好的内部控制体 系。 管理哲学和经营风格 管理层的管理哲学与经营风格影响了企业的管理。管理者对风险的偏好直接对内 部控制产生影响。如果管理者是风险偏好型的，企业将会更多的采取冒险的政策以获 取高的回报，在控制政策的设计上将更加灵活和宽松。 员工的胜任能力 员工的胜任能力和道德价值观一样重要。管理层必须获取、培养具有完成工作所 需要的素质、知识与技能的员工。 组织架构 良好的组织架构应当能够促进企业目标的达成，满足控制和效率的双重要求。企 业在设置组织架构时应当维持组织的不同部分相互牵制、相互协调，以防止和纠正错 弊的发生。 职权和职责的分配； 企业要为其成员分配合适的职责，确保其成员清晰的理解其所承当的职责。同时， 企业还要为其成员分配其完成职责所需要的资源。 ( 2 ) 风险评估 企业必须清楚并能管控其所面对的风险，设定联系销售、产品、市场、财 务以及其它活动等不同领域的目标。企业还应建立识别、分析与管控相关风险 的机制。 风险识别 风险识别就是考虑企业内外各方面的因素，辨识所有企业可能发生的风险。导致 企业风险的因素无外乎内生风险与外部风险，这些因素是随着外部的环境而持续变化 的。因些风险识别也是一个持续的过程。 风险分析 识别风险后，应当对风险的水平( 包含概率与大小两个方面) 进行评估， 并结合企业的风险偏好，思考风险的管控策略与措施。 风险的应对与管控 设定好风险的管控策略与管控措施后，企业应当按照既定的策略与措施对 风险进行管控。企业除了对风险进行管控外，还要随时关注剩余风险。 风险的识别、分析、管控是一个循环的过程。 企业在建立这种风险鉴别、分析与管控机制时应当保持对基于的反应和把 握能力。 ( 3 ) 控制活动 控制活动是根据风险评估结果，结合风险管控策略所采取的一系列的确保 企业内部控制目标得以实现的政策和程序。是内部控制实现的具体方式。主要 包括： 职责分工控制 企业应当用标准的文件，如，部门职责、岗位说明等明确的界定部门、岗 位和人员的职责，防止错弊的发生。在职责分工时要关注不相容岗位的分离、 岗位的定期或不定期轮换等。 授权与批准控制 授权包括常规性授权、临时性授权以及集体审议和联签制度等。授权应当 从最高管理者开始，逐级进行。授权要充分，合适的位置有与其职责相应的权 力，防止权力真空，也要防止权力重叠。 预算控制 实物控制 限制未经授权的人接触和处置资产，包括实物安全控制、对计算机以及数 据资料的接触于以授权、定期盘点以及将控制数据予以对比。 会计系统控制 绩效控制 设置科学的绩效与考核体系，强化对员工的激励与约束。 i t 控制等 ( 4 ) 信息和沟通 企业的运营需要各种各样的信息。因此，企业应当建立信息鉴别、获取、 处理与报告的机制。这中机制可以是正式的也可以是非正式的，它覆盖着企业 的客户、供应商、监管部门和员工，促进企业内部沟通与外部沟通。 企业的内部沟通应当保证员工能获取与其工作相关的信息，每个人清楚自 已的角色与承担的任务，了解内部的各种规定。外部沟能应当保证有通畅的渠 道获取顾客与供应商的信息，外部相关者的信息能够及时传递到管理阶层及董 事会等。 ( 5 ) 监控 管理当局必须监控内部控制系统，及时评估内部控制设计的完善性与遵循 的有效性。 企业所设计的内控系统可能存在设计不完善的地万，或者i 于企业所虹的 纠、装声生变亿，啄先设计的内拄系统u r 能娈得不那么合适。设计好的内音6 控制 也未必被有效的遵循：监控是发现设计缺陷与遵循失效的最好的工具。 监控包括持续性的监督活动和独立的计估。持续性的监督活动是植根丁企业【 常、重复发生的活动中的，具有实时性、动态性。但是，独立评估芨生在事宴之后， 比起持续性监督程序可更快地发现词题。 2 2c o b i t 框架 c o b f t 即信息与相芙投术的掩制目杯( c o n t r 。l o b jo c t 】v e s f or 1n f o r m arl o n8 1 3 r e l a t e dt 。c h 肿1 0 9y ) ，是由信息系统与控制协会参照其它标 准，鲫美国的c o s 0 、j | 拿犬的c o c o 以及美国的立全手册rs e c 盯i t y l a n d b ) o kn a t 。呷( l 1i ns t iu 1eo fs t ar l d ar d sa n d t e c hy 1 0 1o g v ) ，以及最佳实 战实务】7 u 帝9 定的。 c o b ir 是一个i t 管理框架，同时也提供了 个支持i 二具集，来帮助管理者 弥舍控制需求、技术问题、业务姒险之怕j 的茬距，芹与利益千系人沟通控制级 别。c 0 8 it 韪初作为审汁师处理t t 治理及jt 管理和控制的改善工具，已经扩 展刨t 。i 治理应1 管理于孛制的框架。 c o b i t 将l i - ：生程，i t 资源与企业的第略与目标( 准则) 联系起来，形成个二 维的体系结构。 图2 - 2c o b i t 模j ( 来滞：h t t p l ，i t g io r g ) c 0 9 it 也台? t 个信息技术过程控制并9 - t 集为四个控制域i t 划和纪织 ( p 1 ir i g a m d o r g a n z t i o l 3 ) 、采购和实施ac q u ls i “o f i n 刊 l m p l 洲。n t a t lo i l ) 、交付与支持( b e l i v erya n ds u p p ( r t ) 以及信扈、系统运行 性能监控( ( ，n i t o r lr l g ) 与评估。 =lk! 图23c o b l 7 框集口人控制城 ( 2 - 游h t tp ：1 t g 】”g ) 23 萨班斯一奥克斯利法案的主要内容 为提高上市公司治理水甲，恢复投资者信心，保护投资者利益，2 0 0 2 年6 月0 日美国颁布了萨王 斯奥克斯利法案，要求在茭国上市的公司承若对其 披露的财务报告构真实性负责，井建立有效的监控措施供证这种真实【生。黄曰 参议院议员萨班斯和众议院议员曼克斯利因此提出。系列的改革建议并n 黄舀 总统布什在2 0 0 2 年7 月3 0h 签署蒯! 布2 0 0 2 年萨班斯舆克斯利法案。法案 的主要内容可以用下斟表示： 图2 4 萨班斯一奥克斯利法案的主要内容 ( 1 ) 萨班斯一奥克斯利法案第3 0 2 条3 该条要求在美国的上市公司的首要官员( 们) 及首要财务官( 们) ( 或担任 同等职务的人员) 应在每一年度报告或季度报告中对相关事项进行保证。这些 相关事项是：签署者已经审阅过报告，并认为报告中不存在重大的错报、漏报； 报告中的会计报表及其他财务信息在所有重大方面，公允地反映了公司在该报 告期末的财务状况及该报告期内的经营成果；签署者对建立及保持内部控制负 责，设计了所需的内部控制，以保证这些官员能知道该公司及其并表子公司的 所有重大信息，尤其是报告期内的重大信息，其所在公司的内部控制在签署报 告前9 0 天内的有效性；签署官员已经向公司的审计师及董事会下属的审计委员 会( 或担任同等职务的人员) 披露了内控设计与执行过程中的所有重要问题； 签署者在报告中指明在他们对内部控制评价之后，内部控制是否发生了重大变 化，或是其他可能对内部控制产生重要影响的因素，包括对内部控制的重大缺 陷或重要缺点的更正措施。 另外该条款还规定，法案对迁址( 美) 国外的公司同样适用。 ( 2 ) 萨班斯一奥克斯利法案第4 0 4 条 在美国上市公司按照1 9 3 4 年证券交易法编制的年度报告中包括内部控 制报告，内控报告内容包含“强调公司管理层建立和维护内部控制系统及相应 控制程序充分有效的责任；发行人管理层最近财政年度末对内部控制体系及控 3 本条内容根据萨班斯一奥克斯利法案第3 0 2 条整理。 l l 制程序有效性的评价”1 。担任公刷每搬审计的会计公司应当对管理层对内部拧 制的评价进行测试和评价，并出具评价报告。 ( 3 ) 萨班斯一舆克斯利法案第9 0 g 条 诚条款燃定知道财务报告的定期报告没有满足法案的所有要求却根据法案 规定签署证明的，应该被处以最多$ 1 ，0 0 0 ，0 0 0 的罚款，最多l0 年的监禁，或 t 钥：明知则务报告的定期报告没有满足法案的所有要求却根据法案蓄意签署 证明的应陔被处以最多$ 5 ，0 0 0 ，0 0 0 的 j 款，最多2 0 年的监禁，或井罚。 24 萨班斯、c o s o 框架以及c o b i t 框架的关系 萨班斯法案、c o s o 框架与c o b it 框架之n j 亍 = 不是孤立的，实际上三者之司 的关系足极为密切。s o x 的筇3 0 2 与4 0 4 条款规定公众公司的首要官员( 们) 及首要财务官( 们) 应当在公司年度报告包含内部控制报告，对内部控制体系 及控制程序有效性进行评价。而评价的标准框架可以选拌c o s o 框架。c o s o 框 架又是一个通用的标准框架，其并没有针对1 1 控制作出特别说明。但是，i t 控制在现代企业中的地忙越来越重要。c o b i t 则是对i t 控制的一个门的框架。 阁此i t g i 将= 者的天系以如下立方体表示： 刳25i t g i 立方体 ( 来源：s a r b a n e s o x l e y ： h ei m p o r t a n c eo fin f o r m a t i0 1 3t e c n n o l o a yl nt h ed e s i g n i m p l e 口e n ：a t i o na n ds u s t a i n a b i l i t yo fln t e r n a lc o n l i o l ，h t tp 。7 w ielo r 6 ) i 黧i i ：翼：箫翟怒磊。；i 影“” 第三章安徽省移动通信公司内部控制现状分析 3 i 安徽省移动通信公司简介 安徽省移动通信公司系中国移动通信有限公司的全资子公司，实行省、市、 县三级管理，省公司设有1 6 个职能管理部门。下辖1 7 个市分公司，6 3 个县级 分支机构。全省员工总数为1 6 万人。安徽省移动通信公司0 6 年实现运营收入 1 0 7 亿元，实现净利润2 3 亿元，新业务收入比重目标达4 1 。客户总数0 7 年 达到1 5 0 0 万户。 网 经理层 办 公 窒 薰ll蓁ll囊ll鎏ll茎囊ll茎ll曩il耄ll毳ll蒌 测眺l 差 图3 - i安徽省移动通信公司组织结构图 公司经营范围是在安徽省经营移动通信业务( 包括话音、数据、多媒体等) ； i p 电话及互联网接入服务；从事移动通信、i p 电话和互联网等网络的设计、投 资和建设：移动通信、i p 电话和互联网等设施的安装、工程施工和维修；经营 与移动通信、i p 电话和互联网业务相关的系统集成、漫游结算清算、技术开发、 技术服务、广告业务、设备销售等；出售、出租移动电话终端设备、i p 电话设 备、互联网设备及其零配件，并提供售后服务。 公司网络覆盖了全省所有乡镇以上地区和绝大部分农村地区，并在交通干 线、机场、港口、旅游风景区等重要区域实现无缝覆盖。 3 2 安徽省移动通信公司实施内部控制的必要性 3 2 1 外部资本市场的强制要求 安然等一系列的事件，导致美国资本市的信心降到极点。为了重拾投资者 的信息，美国国会通过了继1 9 3 3 年证券法和1 9 3 4 年证券交易法之后美