（工商管理专业论文）太平洋株式会社内部控制制度的建立与实施.pdf

摘要 内部控制是为合理保证企业经营活动的效益性、财务报告的可靠性和法律法 规的遵循性，而自行检查、制约和调整内部业务活动的自律系统，是组织为了控 制资源，实现管理目标而自发的一种管理行为和方式。内部控制目标是指通过内 部控制的约束与激励所要达到的目的，它与公司管理目标是一致的，是管理目标 的具体化。 本文首先简单阐述了写作背景和研究的意义，然后介绍了国际内部控制的发 展状况、定义及理论的产生以及现状，其次归纳了内部控制基本理论和内部控制 系统模式，并详细介绍了c o s o 报告下的内部控制框架，最后以美国上市的太平 洋株式会社内部控制系统建立的事例分析，介绍世界一流企业如何应用c o s o 内 部控制整体框架，在公司层面进行内部控制框架体系模型设计，来满足萨班斯 法案的要求，内控工具的运用，结合实际建立健全自身内部控制机制，切实提 高企业竞争力和价值。 关键字：内部控制、风险管理、c o s o a b s t r a c t i n t e r n a lc o n t r o lg u a r a n t e e st h ee f f e c t i v e n e s so fb u s i n e s so p e r a t i o n , t h er e l i a b i l i t yo f f i n a n c i a l r e p o r t a n d c o m p l i a n c e o fl a w sa n d r e g u l a t i o n s m e a n w h i l e , t h e s e l f - r e g u l a t i o ns y s t e m ，w h i c hi n c l u d e ss e l f - e x a m i n a t i o n ，r e s t r i c t i o na n da d j u s t m e n to f i n t e r n a lo p e r a t i o na c t i v i t i e s ，i sam a n a g e r i a lb e h a v i o ra n dm e t h o dt oc o n t r o lr e s o u r c e s a n dr e a l i z ei t sb u s i n e s sv i s i o n i n t e r n a lc o n t r o lo b j e c t i v ei st h ed e s t i n a t i o no fi n t e r n a l r e s t r i c t i o na n di n c e n t i v e s i tk e e p si na c c o r d a n c ew i t hm a n a g e m e n tt a r g e ta n di st h e e x p r e s s i o no ft h em a n a g e m e n tt a r g e t 而ep a p e ra tf i r s t b r i e f l ya d d r e s s e dt h eb a c k g r o u n do fw r i t i n ga n dr e s e a r c h s i g n i f i c a n c e ，a n dt h e ni n t r o d u c e dt h ei n t e r n a t i o n a ld e v e l o p m e n to fi n t e r n a lc o n t r o l ， d e f i n i t i o na n dt h e o r yo ft h ee m e r g e n c e , a sw e l l 羽t h ec u r r e n ts i t u a t i o n i tt h e n s u m m a r i z e dt h eb a s i ct h e o r yo fi n t e r n a lc o n t r 0 1a n di n t e r n a lc o n t r o ls y s t e mm o d e l a n d d e s c r i b e di nd e t a i lt h ei n t e r n a lc o n t r o lf r a m e w o r ki nt h ec o s or e p o r t ，a n df i n a l l y r e a c h e dd o w nt oe a r t ht ot a l ka b o u tt h ep a c i f i co c e a nc o r p o r a t i o nl i s t e do nt h eu s s t o c km a r k e t t h ep a p e ra n a l y z e dt h ee s t a b l i s h m e n ta n di m p l e m e n t a t i o no fi t si n t e r n a l c o n t r o ls y s t e m ，i n t r o d u c e dt h ec o s oi n t e r n a lc o n t r o lf r a m e w o r ko fw o r l df i r s tc l a s s c o m p a n i e sa n dt h ed e s i g no f i t si n t e r n a lc o n t r o lf r a m e w o r km o d e l i tc o n c l u d e dt h a tb y s e t t i n gu pa n du s i n gt h ei n t e r n a lc o n t r o ls y s t e m ，c o m p a n i e sc o u l dm e e tw i t ht h e s a r b a n e s - o x l e ya c tr e q u i r e m e n t sa n df i n a l l yc o u l dp r o m o t ec o m p e t i t i v e n e s sa n dc o r e v a l u e k e y w o r d s ：i n t e r n a lc o n t r o l ，r i s km a n a g e m e n t ，c o s o 学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内容 外，本论文不含任何其他个人或集体己经发表或撰写过的作品成 果。对本文所涉及的研究工作做出重要贡献的个人和集体，均已 在文中以明确方式标明。本人完全意识到本声明的法律责任由本 人承担。 特此声明 学位论文作者签名： 刁撕 砌夕年争月衫日 1 1 学位论文版权使用授权书 本人完全了解对外经济贸易大学关于收集、保存、使用学位 论文的规定，同意如下各项内容：按照学校要求提交学位论文的 印刷本和电子版本；学校有权保存学位论文的印刷本和电子版， 并采用影印、缩印、扫描、数字化或其它手段保存论文；学校有 权提供目录检索以及提供本学位论文全文或部分的阅览服务；学 校有权按照有关规定向国家有关部门或者机构送交论文；在以不 以赢利为目的的前提下，学校可以适当复制论文的部分或全部内 容用于学术活动。保密的学位论文在解密后遵守此规定。 学位论文 导师签名 支确 、j助彳年、卜月上6 日 2 叶年午月“日 1 1 研究背景 第一章前言 2 0 0 1 年1 1 月下旬，美国最大的能源企业安然公司承认自1 9 9 7 年以来，通过 非法手段虚报利润5 8 6 亿美元；在与关联公司内部交易中，不断隐藏债务和损失， 管理层从中非法获益。消息传出，立刻引起美国金融市场的巨大动荡。许多中小 投资者损失惨重。自安然公司财务欺诈行为被揭露以来，世界通讯公司相继爆发 财务丑闻，投资者信心连遭打击，美国股市因此受到重创，美国股市几度暴跌， 主要股指一度跌至9 1 1 恐怖袭击事件以来的最低水平。美国魏斯评级公司在调查 了7 0 0 0 家公司发布的财务报告后认为，有多达1 3 的美国上市公司不同程度存在 捏造盈利的问题，信用危机震惊华尔街，充分暴露出在公司治理坏境中内部控制的 失败。在这种背景下，美国总统布什于2 0 0 2 年7 月签署了( 2 0 0 2 年公众公司会 计改革和投资者保护法案( 简称萨班斯法案或s o x 法案) 。此法案标志着全球 资本市场在加强公司治理结构、信息披露和保护投资者利益的新动向，从而对世 界各国资本市场监管将产生深远的影响。在全球化背景下，越来越多国家意识到， 强化企业内部控制系统将有助于防止和管理风险、提高运营的效率和效果、确保 财务报告的可靠性、提高企业市县战略目标的能力并维护投资者的合法权益。许 多国家和地区都建立了内部控制法规或者标准框架。香港证券交易所在2 0 0 4 年 1 1 月发布了公司治理行为规范和公司治理报告，要求维护健全高效的内 部控制体系，同时要求管理层至少每年审核其内部控制体系的有效性。审核应包 括所有实质性控制，其中包括财务、经营、合规性以及风险管理方面等。该h k i c p a 文件，内部控制和风险管理基本框架( 2 0 0 5 年6 月) 是应证券交易所的邀请 编制的，该文件强调公司应根据其具体的业务特点和环境制定其自己的内部控制 体系。2 0 0 3 年7 月，欧洲会计师联合会在关于公司治理的财务报告和审计方面 的讨论稿中强调了风险管理的应用实例：“内部控制和风险管理体系对于任何 公司的成功经营都是至关重要的，这并不仅仅是针对财务报告而言的，这也是针 对公司的日常经营以便实现业务目标而言的”。2 0 0 5 年3 月发布的欧盟内部控 制和风险管理讨论稿，在欧洲实施相当于萨班斯奥克斯利法案第4 0 4 条款的欧 洲法规。2 0 0 8 年6 月2 8 日，财政部、证监会、审计署、银监会、保监会五部门 联合发布我国第一部企业内部控制基本规范，为中国企业首次构建了一个企 业内部控制的标准框架，有效解决要求不一、企业无所适从的问题，有利于提高 内部控制监管效率、降低监管成本，优化企业管理和增强企业竞争实力，并且为 中国企业构筑防范风险的“防火墙”。 1 2 研究意义 萨班斯法案对在美国上市的海外公司和中小型美国公司的生效日期是到 2 0 0 6 年7 月1 5 日，也就是说作为在美国上市的太平洋株式会社必须在2 0 0 6 年7 月1 5 日前完成并遵从萨班斯法案的监管要求。同时还要统一公司的管理模 式和业务流程，建立完整健全并与国际接轨的内部控制体系。作为一个知名的世 界5 0 0 强在华投资企业，如何遵从萨班斯法案4 0 4 条款的要求，迅速建立合 理有效的内部监督和控制体系，如何体现自身的管理水平和员工素养，提升企业 的价值、并通过海外证券监管机构的监管，对于一直以精益生产作为中心进行管 理的领先企业，具有重要的现实意义。 第二章内部控制的发展及相关理论 2 1 内部控制理论的发展 内部控制是在内部牵制的基础上，由企业管理人员在经营管理实践中创造， 并由审计人员理论总结而逐步完善的自我监督和自行调整体系。在其漫长的产生 和发展过程中，大体经历了内部牵制阶段、内部控制制度阶段、内部控制结构阶 段和内部控制结构阶段四个历史阶段。 2 1 1 内部牵制阶段 内部控制，作为一个专用名词和完整概念，直到本世纪3 0 年代才被人们提 出、认识和接受。但在此前的人类社会发展史中，早已存在着内部控制的基本思 想和初级形式，这就是内部牵制。一般认为，上世纪4 0 年代以前是内部牵制阶 段。内部牵制是指提供有效的组织和经营，并防止错误和其他非法业务发生的业 务流程设计。它以账目间的相互核对为主要内容并实施一定程度的岗位分离，在 当时一直被认为是保证账目正确无误的一种理想控制方法。基于以下两个假设： 2 两个或两个以上的人或部门，无意识犯同样错误的可能性很小；两个或两个以上 的人或部门，有意识地合伙舞弊的可能性大大低于一个人或部门舞弊的可能性。 1 8 世纪工业革命以后美国的一些企业逐渐摸索出一些组织、调节、制约和检查企 业生产经营活动的办法，逐步建立了内部牵制制度。它的主要特点是以任何个人 或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工， 每项业务通过正常发挥其他个人或部门的功能进行交叉检查控制。在现代的内部 控制理论中，内部牵制仍占有相当重要的地位，是有关组织规划、职务分离控制 的基础。例如，在古罗马时代，对会计账簿实施的“双人记账制l 某笔经济业 务发生后，由两名记账人员同时在各自的账簿上加以登记然后定期核对双方账簿 记录，以检查有无记账差错或舞弊行为，进而达到控制财物收支的目的，即是典 型的内部牵制措施。纵观该时期的内部牵制，它基本是以查错防弊为目的，以职 务分离和账目核对为手法，以钱、账、物等会计事项为主要控制对象。其概念基 本如柯氏会计辞典的定义，即“为提供有效的组织和经营，并防止错误和其它 非法业务发生而制定的业务流程。其主要特点是以任何个人或部门不能单独控制 任何一项或一部分业务权利的方式进行组织上的责任分工，每项业务通过正常发 挥其它个人或部门的功能进行交叉检查或交叉控制。”- 2 1 2 内部控$ j 1 5 1 1 度阶段 2 0 世纪3 0 年代至7 0 年代，在内部牵制的基础上，逐渐产生了内部控制制度 的概念。这时，一方面企业需要在企业管理上采用更为完善、更为有效的控制方 法以改变传统的靠小生产方式及经验管理对企业的影响；另一方面，为了适应当 时社会经济的关系，保护投资者和债权人的经济利益，西方各国纷纷以法律的形 式要求通过内部控制强化对企业财务会计资料以及各种经济活动的内部管理。 1 9 3 4 年美国证券交易法，首先提出了“内部会计控制”的概念。其中指出： 证券发行人应设计并维护一套能为下列目的提供合理保证的内部会计控制系统： a 交易依据管理部门的一般和特殊授权执行；b 交易的记录必须满足g a a p 或其 他适当标准编制财务报表和落实资产责任的需要；c 接触资产必须经过管理部门 的一般和特殊授权；d 按适当时间问隔，将财产的账面记录与实物资产进行对比， 并对差异采取适当的补救措施。在内部牵制的基础上，产生了内部控制的概念。 1 9 4 9 年美国注册会计师协会将内部控制定义为：“内部控制是企业为了保证 1 张硕，内部摔制历史发展的组织演化研究，会计研究，2 0 0 5 年 3 财产的安全完整，检查会计资料的准确性和可靠性，提高企业的经营效率以及促 进企业贯彻既定的经营方针，所设计的总体规划及所采用的与总体规划相适应的 一切方法和措施。”这一概念已突破了与财务会计部门直接有关的控制的局限，使 内部控制扩大到企业内部各个领域。 1 9 5 8 年美国注册会计师协会下属的审计程序委员会又将内部控制的定义作 了进一步的说明，并将内部控制划分为内部会计控制和内部管理控制。前者是指 与财产安全和会计记录的准确性、可靠性有直接联系的方法和程序，后者主要是 与贯彻管理方针和提高经营效率有关的方法和程序。将内部控制一分为二使得审 计人员在研究和评价企业内部控制制度的基础上来确定实质性测试的范围和方 式成为可能。2 2 1 3 内部控制结构阶段 2 0 世纪7 0 年代以后，内部控制的研究重点逐步从一般涵义向具体内容深化。 美国注册会计师协会的文献界定了会计控制概念，而公司的经理们创立并在实践 中运用着管理控制概念，这两个概念形成鲜明的对照。如果对这两种善于内部控 制的不同解释的同时并行这一事实视而不见，那么任何设计内部控制系统的企图 都是短视的，同时也是徒劳的。于是，人们提出了内部控制结构的概念。 西方学者在对内部会计控制和管理控制进行研究时认为，虽然区分会计控制 和管理控制对审计师非常重要，但是并不是所有的会计控制都不是没有管理控制 对财务报表的可靠性具有重大鉴证意义。而且认为这两者是不可分割的，是相互 联系的。与此同时，控制环境逐步被纳入内部控制范畴。于是，美国注册会计师 协会于1 9 8 8 年发布的审计准则公告第5 5 号中明确提出了“内部控制结构”概 念。该公报认为，“企业的内部控制结构包括为合理保证企业特定目标的实现而建 立的各种政策和程序”，并指出内部控制结构由控制环境、会计制度和控制程序三 个方面组成。 控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因 素，诸如管理者的思想和经营作风，企业组织结构，董事会及其所属审计委员会 特别是审计委员会发挥的职能等等。会计制度规定各项经济业务的确定、分析、 归类、登记和编报的方法，明确各项资产和负债的经营责任。控制程序指管理当 局所制定的政策和程序，如经济业务和活动的批准权，明确人员职责分工，资产 2 张路编译，美国最新上市市法与内部控制实务，法律f i j 版社，2 0 0 6 年 4 和记录的接触控制等，从而达到一定的控制目的。3 2 1 4 内部控制框架阶段 进入2 0 世纪9 0 年代以后，学术界对内部控制的研究又进入了一个新的阶段。 1 9 9 2 年美国“反对虚假财务报告委员会”下属的由美国会计学会( a a a ) 、注册会 计师协会( c p a ) 、国际内部审计人员协会( i i a ) 、财务经理协会( f e i ) 和管 理会计学会( i m a ) 等组成的c o s o 委员会提出内部控制整体框架， 并于1 9 9 4 年进行了修改。这就是著名的“c o s o 报告”。c o s o 报告将内部控制定 义为：内部控制是由企业董事会、经理阶层和其他员工实施的，为运营的效率、 财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。具 体内容包括控制环境、风险评估、控制活动、信息和沟通及监督等五个要素。 c o s o 报告是目前国内外最为权威的内部控制理论，其内涵和外延比以往任 何一个内控概念都要深刻和宽泛。进入2 1 世纪：企业风险管理框架。“企业风险 管理框架”于2 0 0 4 年8 月正式公布。风险管理整体框架阶段强调企业全体员工共 同参与的全面内部控制，旨在对企业内部风险实施管理和战略制定而建立的事前 风险管理内部控制制度。4 2 2 内部控制理论的现状 内部控制的成熟与会计的发展也是密不可分的。就如同内部牵制的成熟与簿 记向会计的发展有着不可割断的联系，目前的内部控制理论与会计信息系统的发 展息息相关，c o s o 报告还将信息沟通作为了内部控制的要素之一。这一点不难理 解。控制论本来就与信息论、系统论有着天然的联系。如今顺应时代的变化，传统 的控制论、信息论和系统论已经发展为建立以风险为导向，标准化、规范化的内 部控制系统，包括梳理公司主要的管理流程和业务流程，找出关键风险点和控制 缺口，明确主要管理流程和业务流程中的岗位职责划分；梳理现有的各项管理制 度，加强管理制度的时效性、可操作性，规避管理活动中的交叉和盲点等，确立 关键绩效报告制、部门绩效报表、规范管理授权以及设计关键绩效区和绩效控制 标准等。5 3 李连华，内部控制学，厦门人学出版社，2 0 0 7 年 4 郑石桥，内部控制实证研究，经济科学| f j 版社，2 0 0 6 年 5 朱荣恩、应唯、袁敏，企业内部控制制度设计理论j j 实践，卜海财经大学出版社，2 0 0 5 年 5 现在的内部控制一直是沿着两条线交错发展起来。一条线是组织形式变革、 管理手段进步所导致的自控制的发展，另一条线是会计和审计手段变革所产生的 他控制的发展。 2 3 内部控制定义的演变 2 3 1 第一个具有权威性的定义 为了赋予内部控制一个准确完整的定义，审计程序委员会下属的内部控制专 门委员会经过两年研究，于1 9 4 9 年发表了题为内部控制、协调系统诸要素及 其对管理部门和注册会计师的重要性的专题报告，对内部控制首次做出了如下 权威定义：“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确 性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和 相互配套的各种方法及措施”。6 2 3 2 定义的第一次修正 上述范围广泛的内部控制定义及其解释的发布，当时被普遍认为是对内部控 制这一重要概念的重大贡献。但该报告所定义的内部控制概念，其内容如此宽泛， 以致包括了审计人员对审查内部控制所不原、也不可能承担的职责。从与委托人 讨论什么是良好的会计和经营方法的角度考虑，他们感到1 9 4 9 年的定义非常合 适，但从承担为制定审计方案而对内部控制进行检查的责任角度考虑，他们感到 这一定义范围过宽。该委员会的解决方式，是将内部控制划分为“会计控制”和“管 理控制”两大类即将与前两个目标即保护资产和保证会计资料可靠性和准确 性有关的控制划分为内部会计控制，而将与后两个目标即提高经营效率、保证管 理部门所制定的各项政策得到贯彻执行有关的控制归入内部管理控制。于是1 9 5 3 年1 0 月，审计程序委员会又发布了审计程序公告第1 9 号，对内部控制作了 如下划分：“广义地说，内部控制按其热点可以划分为会计控制和管理控制；1 ) 会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和 程序构成；会计控制包括授权与批准制度；记账、编制财务报表、保管财务资产 等职务的分离；财产的实物控制以及内部审计等控制。2 ) 管理控制由组织计划 和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直 6 李连华，内部控制学，厦门大学出版社，2 0 0 7 年 6 接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的 关系，包括统计分析、时动研究、经营报告、雇员培训计划和质量控制等”。 2 3 3 定义的第二次修正 第一次修正后的定义，大大缩小了注册会计师的责任范围，但人们认为对“会 计控制”的保护资产和保证财务记录可靠性这两点仍然可能发生误解。即对“保护” 一词作广义的解释可能会使人们产生这样一种印象：“决策过程中的任何程序和记 录都可以包括在会计控制的保护资产概念中”。为了避免这种宽泛的解释，1 9 7 2 年美国注册会计师协会( a i c p a ) 对会计控制又提出并通过了一个较为严格的定 义：“会计控制是组织计划和所有与下面直接有关的方法和程序：1 ) 保护资产， 即在业务处理和资产处置过程中，保护资产遭过失错误、故意致错或舞弊造成的 损失。2 ) 保证对外界报吉的财务资料的可靠性。” 2 3 4 定义的第三次修正 1 9 7 2 年，美国准则委员会( a s b ) 审计准则公告的制定者，循着证券 交易法的路线进行研究和讨论，在第1 号公告( s a sn o 1 ) 中，对管理控制和 会计控制提出并通过了今天广为人知的定义： ( 1 ) 内部会计控制。会计控制由组织计划以及与保护资产和保证财务资料 可靠性有关的程序和记录构成。会计控制旨在保证：经济业务的执行符合管理部 门的一般授权或特殊授权的要求；经济业务的记录必须有利于按照一般公认会计 原则或其它有关标准编制财务报表，以及落实资产责任；只有在得到管理部门批 准的情况下，才能接触资产；按照适当的间隔期限，将资产的账面记录与实物资 产进行对比，一经发现差异，应采取相应的补救措施。 ( 2 ) 内部管理控制。管理控制包括但不限于组织计划以及与管理部门授权 办理经济业务的决策过程有关的程序及其记录。这种授权活动是管理部门的职 责，它直接与管理部门执行该组织的经营目标有关，是对经济业务进行会计控制 的起点。7 7 陈关亭，企业内部控制设计的报告，中国会计视野，2 0 0 7 年 7 2 3 5 定义的第四次修正 自1 9 9 2 年美国c o s o 委员会发布c o s o 内部控制整合框架以来，该框 架已在全球获得广泛的认可和应用，但理论界和实务界一直不断对其提出一些改 进建议，强调内部控制整合框架的建立应与企业风险管理相结合。2 0 0 2 年颁布的 萨班斯法案也要求上市公司全面关注风险，加强风险管理，在客观上也推动了 内部控制整体框架的进一步发展。与此同时，c o s o 委员会也意识到内部控制 整合框架自身也存一些问题，如过分注重财务报告，而没有从企业全局与战略 的高度来关注企业风险。正是基于这种内部和外部的双重因素，新框架必须出台 以适应发展需求。 2 0 0 3 年7 月，美国c o s o 委员根据萨班斯法案的相关要求，颁布了“企业风 险管理整合框架”的讨论稿( d r a f t ) ，该讨论稿是在内部控制整合框架的基础上 进行了扩展而得来的，2 0 0 4 年9 月正式颁布了企业风险管理整合框架 ( c o s o e r m ) ，标志c o s o 委员会最新的内部控制研究成果面世。 在新的c o s o 内部控制整合框架中，内部控制定义为：由一个企业的董 事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：( 1 ) 财务 报告的可靠性；( 2 ) 经营的效果和效率；( 3 ) 符合适用的法律和法规。c o s o 内 部控制整合框架把内部控制划分为八个相互关联的要素，分别是( 1 ) 内部环 境；( 2 ) 目标设定：( 3 ) 事项识别；( 4 ) 风险评估；( 5 ) 风险应对；( 6 ) 控制活 动；( 7 ) 信息与沟通；( 8 ) 监控。每个要素均承载三个目标：( 1 ) 经营目标；( 2 ) 财务报告目标；( 3 ) 合规性目标。8 2 4 内部控制制度的内容 内部控制制度主要体现在以下的基本内容。 2 4 1 责任控制制度 责任控制制度是以确定经济组织内部各部门、各环节、各层次及其人员的经 济责任为中心的内部控制制度。主要是检查各部门和经办人员的职责是否经过恰 当授权，各种岗位责任制赋予各职能部门和经办人员的责任是否达到分工明确， 职责分明的目的。 8 t r e a d w a y 委员会发起组织委员会( c o s o ) ，内部控制，方红星译，东北财经大学出版社，2 0 0 8 年 2 4 2 内部牵制制度 内部牵制制度是为了保证会计资料的正确性、可靠性及保护财产而形成的种 制度。它主要检查不相容职务是否分离，会计事项的处理是否遵循必须经过两个 以上的人员或部门来完成，是否经过复核，以防止差错、舞弊的发生。 2 4 3 会计控制制度 会计控制制度是指经济组织为了保证会计数据的正确性和可靠性而采取的 各种措施和方法，主要是各种凭证的记录、传递，资金的使用，债权债务反映， 会计报表编制等各个环节的控制制度和程序。主要是通过账目与凭证、账目和账 目、账目和报表之间的相符关系，检查会计数据的可靠性；通过账实核对检查账 实是否相符，以保证会计数据的真实性；通过严格的复核审批制度，以保证会计 业务处理的合法性；通过定期编制计算平衡表检查所有数据的正确性等。， 2 4 4 经营方面各个循环系统的控制制度 它是经济组织内部为实现经营目标而实现生产经营和管理所必须经过的环 节和业务操作的控制制度：如成本控制、购销控制、物资控制、生产经营过程的 控制制度等。通过检查这些环节的控制是否严密，反映企业是否能正常进行经营 活动及企业的生存和发展。 2 4 5 财产、凭单管理制度 财产、凭单管理制度是为了确保经济组织的财产和各种凭证单据而建立的控 制制度。如财产物资的保管、清点、验收、领用、计划、合同、单据等各个环节， 都应实行专人管理。1 0 2 5 内部控制与公司治理的关系 2 5 1 公司治理的概念 公司治理，从狭义的角度进行理解，是指所有者主要是股东对经营者的一种 9 陈关亭，企业内部控制的设计，南京审计学院学报，2 0 0 7 年3 期 1 0 朱荣思、庇唯、袁敏，企业内部控制制度设计理论与实践，上海财经大学出版社，2 0 0 5 年 9 监督与制衡机制，即通过一种制度安排，来合理地配置所有者与经营者之间的权 利与责任关系。若从广义角度进行理解，是指包含法律、文化等在内的有关企业 控制权和剩余索取权分配的一整套制度安排，其决定企业目标的实现。 从主要功能上来说，公司治理的范围可以包括：股东、董事会决策者； 管理阶层执行者；审计人员( 包括内部审计人员及外部审计人员) 监督 者；其他利益关系人( 例如：顾客、供应商、债权人及员工等) 影响者等。 从这个角度来讲，内部审计人员应该在公司治理中占有一席之地。因为沟通公司 治理各功能主体的重要工具就是会计信息系统。因此，会计信息系统本身是公司 治理结构的组成部分，而且会计信息更严重地制约和影响着公司治理结构中其他 制度安排效用的高低。会计信息系统提供的会计信息的真实可靠是内外部激励机 制正常运行的前提条件，而有效的审计监督制度是确保这一前提条件实现的关 键。外部审计对公司财务报表进行审计，并对其公允性发表审计意见，从而起到 增强会计信息可信性的作用。而内部审计处于公司内部，对于公司内部控制、 管理经营活动、风险管理都有透彻深入的了解，与外部审计人员相比，内部审计 对公司治理发挥的作用在层面上更为深入，在范围上更为广泛。 2 5 2 公司治理的核心 公司治理的核心是内部控制。在上述公司治理定义中，我们可以看到，公司 治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展 开；风险直接影响目标的实现；而决策人对风险的控制和管理直接决定目标是否 能够实现及实现的程度；治理结构中各部分的人员需要承担所分配的一定风险并 获得相应的收益。另外，从解释公司治理问题产生的经济学观点来看，无论是契 约理论中提及的不完备契约，还是信息经济学中提及的信息不对称，以及代理理 论中提及的代理问题，这些引发公司治理产生的因素究其实质都属于风险，都是 使企业目标无法实现的各种潜在的、可能发生的事件。心公司治理是组织应对风 险的战略反应，其职责核心就是确保有效的内部控制方案的适当性，因此公司治 理中包含一些战略性的内部控制的因素。例如：公司董事会所设定的公司经营管 理基调是风险偏好型或是风险规避型；再如公司高层管理当局( c e o ) 在经营风 格、理念、管理哲学中包含的风险态度等。这些都涉及到内部控制的基本理念。 吴冬梅，公司治理概论，首都经济贸易大学出版社，2 0 0 6 年 1 2 杨忠智，公司内部控制的价值分析，中国经济信息网，2 0 0 8 年 l o 因此，内部控制是公司治理的核心。 2 6 内部控制的局限性 内部控制其自身也存在一些与生俱来的局限性。内部控制的局限性主要体现 在以下五个方面。 2 6 1 受制于成本效益的限制 一个有效的内部控制系统在很大程度上受该系统的运行成本的限制。内部控 制是依据一定的程序进行的，而这些控制程序的施行需要付出定的成本，如设 计控制环节、设置岗位、配备人员、保证各控制环节的运行都会发生制度成本。 在内部控制中，如果控制的环节较多，设置的岗位也必然会增加。这就需要配备 更多的人员，对内部控制执行情况的监督、检查力量也需要增强。这样，内部控 制运行的成本必然会增加。但是，如果控制过于简单又会收不到应有的效果，经 营过程中出现漏洞、发生舞弊行为的可能性就会增大，有可能会给单位带来较大 的损失。所以，内部控制的建立与实施，应视各单位的具体情况而定，必须考虑控 制成本因素，不能为了追求控制的严密性而不顾控制成本。b 2 6 2 受串通舞弊的限制 不相容职务的分离可以为避免一个人单独从事和隐瞒不合规的行为提供基 本的保证，但是，它并不能完全防止两个或两个以上的人员和部门共同作弊行为 的发生。例如出纳与会计共同作弊，财产保管与财产核对人员合伙造假，采购部门 与会计部门联合舞弊，审计部门与会计部门合伙舞弊等。如果这样，再完备、再 严密的内部控制措施也不能发挥其应有的作用。 2 6 3 受管理越权的限制 各种控制程序都是管理的工具，却不能保证发现和防止那些负责监督控制的 管理人员滥用职权或不正当地行使职权。如果内部会计控制各个程序的工作人员 不能正确行使自己的职权，而是超越岗位职能，滥用职权，蓄意营私舞弊，即便是 设计良好的内部控制也发挥不了应有的作用。在内部控制中，特别要注意公司的 n 徐德，现代内部控制制度设计理念及原则的探讨，财会通讯，2 0 0 5 年第2 期 高层管理人员越权行使职能的行为。公司的高层管理人员处于公司的核心管理层 和决策层等权力核心，在许多情况下，如果他们对单位的经济活动进行越权干预， 必然会导致一些控制程序的失效。高层管理人员的越权干预往往是导致重大舞弊 行为的发生和财务会计信息严重失真的重要原因。1 4 一旦公司的高层管理人员越 权，任何控制程序都不能制约其行为；当他们极力造假、故意错报或瞒报财务状况 和经营成果时，内部控制程序本身应无法防止这些情况的发生。因此，个企业 的内部控制在很大程度上受到管理当局的职权是否规范和是否有效地行使的限 制。这是当前公司经济活动中内部控制制度不能有效发挥作用的关键因素。 2 6 4 受人为错误的限制 内部控制系统发挥作用的关键是执行人员实际运作水平，执行人员的粗心大 意、精力分散、身体不适、理解错误、判断失误、曲解指令等人为因素都会导致 控制失效。例如发货时没有索要提货单，对方发票上的总金额计算错误而未被发 现，签发支票时未审查其用途等。 2 6 5 受制度滞后的限制 在市场经济中，企业的外部环境处于经常变化之中，公司为了生存和发展， 势必要不断调整经营战略，或者并购其他单位，或者在外地开设分支机构，或者 增设分部、部门、生产线等等。这样，就会导致原来的控制程序对新增加的经济 业务不完全有效，未及时完善原有内部控制制度就有可能出现差错和失去创造机 会，给经营企业带来损失。1 5 第三章国外先进的内部控制模式与系统 3 1c o s o 的内部控制综合框架和企业风险管理一整合框架 3 1 1c o s o 的内部控制一综合框架 c o s o 是美国政府机构所组织的特别委员会，其主要职责是对美国经济监管 尹维劫，现代企业内部审计精要，中信出版社，2 0 0 7 年 b 于吉永，内部会计拄制制度设计与运行，立信会计出版社，2 0 0 7 年 1 2 部门，如财务监督、审计等部门进行建议性指导。1 9 9 2 年9 月，c o s o 委员会提 出了报告内部控制整体框架( 1 9 9 4 年进行了增补) ，即c o s o 内部控制框 架。该框架指出“内部控制是受企业董事会、管理层和其他人员影响，为经营的 效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证 的过程。 c o s o 内部控制框架认为，内部控制系统是由控制环境、风险评估、控制活 动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入 管理过程本身。 控制环境：不仅包括非正式的，经常是无形的软控制，例如道德价值观，诚 信原则，管理哲学，胜任的能力等，同时还包括组织结构和职责划分等更为正式 的控制。企业基层对于各类控制要素均会产生大的影响。过去的软控制依赖问卷 调查的主观评价，但是这种与使用自我评价工作坊和问卷调查等方法是支持非正 式控制状况的主要证据之一。 风险评估：在风险评估过程中，管理层识别并分析实现其目标过程中所面临 的风险，从而制定决定如何管理风险的制度基础。管理层应该在审计师开始审计 之前，独立的识别那些重大的风险，并基于这些风险发生的可能性和影响采取措 施缓和这些风险。随后，审计师对这一风险评估过程进行评价。审计师或是其他 人都不能代替负责实现组织目标的经理人员和员工进行风险评估。 控制活动：指确保管理层的指令得以实现的机制，包括那些被识别能够缓和 风险的活动其中很多是基于审批的活动。c o s o 控制框架提出风险控制矩阵方法， 用以分析企业经营目标、风险和控制。但是，这个矩阵只是建立控制活动的一种 方法和手段，不是目的。最好将控制矩阵与流程图结合起来，同时注重分析业务 输入、处理、输出的完整性、准确性、授权、及时性以及维护状况。 信息与沟通：信息是指员工能够获得其工作中所需要的信息，沟通是指信息 向上的、向下的、横向的、在组织内外自由的流动。同控制环境相同，审计师如 果不事先访问员工是不能对这一要素做出评价的。因而，自我评价过程常常用来 收集审计证据。 监督：控制的监督要素包括经理人员日常的监督，审计师和其他群体定期的 审核以及经理人员用以揭示和纠正已知的缺陷与不足的程序。监督可以用来保证 其他控制的运行，这也就解释了为什么内部审计被看作是监督的一部分。1 6 协陈继云，c o s o 报告与内部控制研究，上海会计，2 0 0 6 年第6 期 3 1 2c o s o 的企业风险管理一整合框架 2 0 0 2 年7 月发布的萨班斯一奥克斯利法案第4 0 4 节，以及美国证券交易 委员会( s e c ) 的相应实施标准，要求公众公司的管理层评估和报告公司最近年 度的财务报告的内部控制的有效性。第4 0 4 节还要求公司的外部审计师对管理层 的评估意见出具“证明”，也就是说，向股东和公众提供一个信赖管理层对公司财 务报告的内部控制描述的独立理由。2 0 0 1 年，c o s o 委托普华永道开发一个对于 管理当局评价和改进他们所在组织的企业风险管理的简便易行的框架，2 0 0 4 年9 月企业风险管理整合框架正式文本发布。企业风险管理整合框架认为“企 业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应 用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风 险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”该框架 拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。 尽管风险框架不打算、也的确没有取代内部控制框架，但风险管理框架文本中指 出风险管理框架将内部控制框架涵盖在其中。 风险管理框架包括了八大要素：内部环境、目标设定、事项识别、风险评估、 风险应对、控制活动、信息与沟通、监控。企业风险管理并不是一个严格的顺次 过程，一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、 反复的过程，在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成 要素。 内部环境：内部环境包含组织的基调，它为主体内的人员如何认识和对待风 险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所 处的经营环境。 目标设定：必须先有目标，管理当局才能识别影响目标实现的潜在事项。企 业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和 切合该主体的使命，并且与它的风险容量相符。 事项识别：必须识别影响主体目标实现的内部和外部事项，区分风险和机会。 机会被反馈到管理当局的战略或目标制订过程中。 风险评估：通过考虑风险的可能性和影响来对其加以分析，并以此作为决定 如何进行管理的依据。风险评估应立足于固有风险和剩余风险。 风险应对：管理当局选择风险应对回避、承受、降低或者分担风险 采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。 1 4 控制活动：制订和执行政策与程序以帮助确保风险应对得以有效实施。 信息与沟通：相关的信息以确保员工履行其职责的方式和时机予以识别、获 取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流 动。 监控：对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续 的管理活动、个别评价或者两者结合来完成。 新的8 个要素的框架是在保持“老框架”5 个组成部分的基础上，做了不算大 的改进。一是将“老框架”中“控制环境”的三大要素，细化为“新框架”的“内部环境、 目标设定、事件识别”三部分；二是“新框架”中“风险反馈”部分是“老框架”中“风 险评估”部分的应对措施。而其余三个组成部分，即“控制活动、信息与沟通、监 控”则保持不变。对“控制环境”建设的加强，实际上是希望能够从源头上控制企业 风险，这包括企业的管理基调、道德观和价值观，对风险的重视等；企业总体目 标和与分目标；识别可能影响企业实现目标的内部和外部事件，并从中筛选出风 险与机会。当然，从控制角度来，最重要的是在风险评估发现问题后，能及时向 管理部门反馈风险，以便管理部门选择避免、接受、降低、或分摊风险的应对措 施。1 7 3 2 其它管理控制系统模式 3 2 1 战略计划、管理控制、运营管理的三层次控制模式 a n t h o n y 开创性地提出了管理控制系统理论，认为规划和控制是两个紧密相 关的活动，包括战略计划、管理控制、任务控制三个层次。控制系统由控制器、 被控制的系统以及环境组成。管理控制系统的主要目标是管理者监督组织中其他 成员落实组织战略的过程。管理控制的首要作用是帮助实施战略。基于这样的看 法，企业已经确定的战略是控制系统在管理过程必须考虑的核心因素和焦点。管 理控制系统必须满足：( 1 ) 企业战略在实施过程中与制定目标的一致性状况必须 能够评定，并且能够及时反馈给管理控制系统的控制器( 2 ) 控制器的专家预警 模型能够及时地描述内、外部干扰对被控制系统行为的影响以及修正措施对它的 行为的影响，同时这些修正措施必须足够完备，保证所有可能的干扰能够进行处 理。在受到迅速变化的环境所支配的产业，要求管理控制系统能够提供企业考虑 1 7 c o s o 委员会，企业风险管理蝗合框架，方红星、王宏译，东北财经人学出版社，2 0 0 5 年 1 5 和实施新战略的信息，r o b e r ts i m o n s 称之为“交互式控制”。1 8 3 2 2 市场控制、制度控制、团队控制的三坐标控制模式 w i l l i a mo u c h i 提出了组织高层和中层管理者实施管理控制的框架市场 控制、制度控制、团队控制的三坐标控制模式。 市场控制发生在价格竞争时，它可以用来评估和输出一个组织的生产力。管 理者可以比较价格和利润，来评估他们公司的效能。高级管理者几乎都采用价格 机制来评估公司的绩效。市场控制的采用要求设定价格，并且输出要名学，竞争 要存在。没有竞争，价格就没有正确的反应。 制度控制是采用规则、政策、权利阶层、书面文书、标准化，和其他标准化 行为及评估绩效的制度机制。制度控制使用的主要目的和程式是标准化及控制员 工的行为。有一些制度控制的程度随着组织的不同而异，制度机制对没有利润， 且没有价格和竞