（会计学专业论文）中美内部控制理论的对比分析及其对中国上市公司的启示.pdf

体，均已在文中以明确方式标明。 学位论文作者签名： 日期洲年l 矿月 学位论文使用授权声明 本人完全了解中山大学有关保留、使用学位论文的规定，即：学校有权保留 学位论文并向国家主管部门或其指定机构送交论文的电子版和纸质版，有权将学 位论文用于非赢利目的的少量复制并允许论文进入学校图书馆、院系资料室被查 阅，有权将学位论文的内容编入有关数据库进行检索，可以采用复印、缩印或其 他方法保存学位论文。 学位论文作者签名： 日期：搬海1 沙月 导师签名 日期：6 f 铒t 月f 日 中美内部控制理论的对比分析及其对 中国上市公司的启示 专业：会计学 硕士生：沈志雄 指导教师：谭劲松教授 摘要 我国的内部控制工作不仅存在起步较晚，理论相对滞后的问题，而且在实际 推广工作中，内控实务工作者大多存在照本宣科，知其然不知其所以然的通病。 2 0 0 8 年6 月2 8 日，企业内部控制基本规范颁布后，如何尽快提高内控实务 工作质量，是中国上市公司面临的一个课题。 本文从内部控制理论中三个重要文件c o s o 内部控制框架、c o s o 风险管理 框架及中国企业内部控制基本规范入手，通过对比美国内控理论的演进特点， 分析内控理论的发展方向；通过对比国内内控理论的演进特点，分析内控基本规 范的要求和现实的差距；通过中美内控理论的对比分析，总结出内控实务操作要 点，以推进内控实务工作的高标准、高起点。文章最后分析了上市公司内控现状、 成因及对策，目的有两个：一是验证实务操作要点的可行性，二是避免重复内控 失效案例的覆辙。 关键词：内部控制上市公司启示 t h ec o m p a r a t i v ea n a l y s i so f c h i n e s ea n df o r e i g ni n t e m a lc o n t r o lt h e o r y a n di t si m p l i c a t i o n sf o rc h i n a s l i s t e dc o m p a n i e s i n s p i r a t i o n m a j o r ：a c c o u n t a n c y n a m e ：s h e nz h i x i o n g s u p e r v i s e r ：t a nj i n g s o n gp r o f e s s o r a b s t r a c t i no u rc o u n t r y , n o to n l yt h ew o r ko ft h ei n t e r n a lc o n t r o ll a t es t a r t ，l a g g i n gb e h i n d t h et h e o r y , b u ta l s oi n p r a c t i c e ，m o s to ft h e i n t e r n a lc o n t r o lw o r k e r sw o r k m e c h a n i c a l l y , k n o wh o wt od o ，b u td on o tk n o ww h y i nj u n e2 8 ，2 0 0 8 ，”c o r p o r a t i o n i n t e r n a lc o n t r o lb a s i c a lc r i t e r i o no fc h i n a ”w a sp u b l i s h e d ，c h i n a sl i s t e dc o m p a n i e s a r ef a c i n gad i f f i c u l tq u e s t i o no fh o wt oi m p r o v et h eq u a l i t yo fi n t e r n a lc o n t r o la s s o o na sp o s s i b l e t h i st h e s i si si n t e n d e dt oa n a l y z et h eo r g i n ，b a c k g r o u n d 、c h a r a c t e r i s t i co f c o s o 、e r ma n dc o r p o r a t i o ni n t e r n a lc o n t r o lb a s i c a l c r i t e r i o no f c h i n a ，w h i c h a r et h em o s ti m p o r t a n td o c u m e n to fi n t e r n a lc o m r o l t h e o r y , b yc o m p a r i n g a m e r i c ai n t e r n a lc o n t r o lf e a t u r e so f t h et h e o r yo fe v o l u t i o n , t oi d e n t i f yt h ed i r e c t i o n o fd e v e l o p m e n t ；b yc o m p a r i n gt h ed o m e s t i ci n t e r n a lc o n t r o lf e a t u r e so ft h et h e o r yo f e v o l u t i o n , t of r e do u tr e q u i r e m e n t sa n dt h eg a pb e t w e e nr e a l i t y ；b yc o m p a r i n gt h e t h e o r e t i c a la n a l y s i so ft h ei n t e r n a lc o n t r o la th o m ea n da m e r i c a ，t os u m m e du pt h e p r a c t i c a lo p e r a t i o no fi n t e r n a lc o n t r o lp o i n t s f i n a l l y , t h ea r t i c l ea n a l y z e dt h es t a t u s ， t h ec a u s e sa n ds o l u t i o n so fi n t e r n a lc o n t r o l so fl i s t e dc o m p a n i e st h a tc a nb es e r v e d t w op u r p o s e s ：o n ei st ov e r i f yt h ef e a s i b i l i t yo f p r a c t i c a lo p e r a t i o no ft h em a i np o i n t s ， a n dt h eo t h e ri st oa v o i dd u p l i c a t i o no fi n t e r n a lc o n t r o lf a i l u r e so fp a s tc a s e s k e yw o r d s ：i n t e r n a lc o n t r o l ，t h el i s t e dc o m p a n y , i m p l i c a t i o n s l l 日三王 目水 摘要i a b s t r a c t 目j i i ! i i i 第1 章序言。1 1 1 选题背景1 1 2 选题意义1 1 3 研究方法2 1 4 研究思路一2 1 5 主要内容3 第2 章美国内部控制理论的发展及c o s o 控制框架演进分析。4 2 1 美国内部控制理论的发展4 2 2c o s o 内部控制整体框架解读6 2 3c o s o 企业风险管理总体框架出台的背景8 2 4c o s o 企业风险管理总体框架演进特点分析一9 第3 章国内内部控制规范的发展及企业内部控制基本规范演进分析1 3 3 1 近年来国内内部控制规范的发展1 3 3 2 企业内部控制基本规范出台的背景1 5 3 3 企业内部控制基本规范解读1 6 第4 章中美内部控制理论对比分析。2 1 4 1 发布主体2 l 4 2 定义和目标2 l 4 3 内部环境要素2 2 4 4 风险评估2 2 4 5 控制活动2 3 4 6 信息与沟通2 5 4 7 监督检查：2 6 1 1 1 第5 章对中国上市公司的启示2 9 5 1 组织环节3 0 5 2 制度环节3 0 5 3 执行环节31 第6 章我国上市公司内部控制现状与成因分析3 3 6 1 我国上市公司内部控制现状3 3 6 2 我国上市公司内部控制现状成因分析4 0 第7 章完善我国上市公司内控制度的对策。4 4 7 1 内控环境4 4 7 2 风险评估4 8 7 3 控制活动4 9 7 4 信息与沟通5 1 7 5 监控要素5 3 第8 章结语5 5 参考文献5 6 后记5 8 i v 1 1 选题背景 第1 章序言 我国的内部控制思想较国外起步晚，这也导致我国近年来公司丑闻更是频频 曝光。从早期的“郑百文”，“银广夏”，“麦科特”，“蓝田股份”，“东方电子”等上 市公司会计造假，到2 0 0 5 年，伊利股份董事长被拘留，创维数码董事局主席和 金正数码及深圳石化董事长被捕，开开公司高层人员携款潜逃。反省以上事件， 问题无不出在公司的管理经营上，而内部控制不利，是非常重要的一个原因。 2 0 0 8 年6 月2 8 日，中国版的萨班斯法案终于问世。财政部、证监会、审计 署、银监会、保监会等五部门联合发布了企业内部控制基本规范。 基本规范确立了我国企业建立和实施内部控制的基础框架，自2 0 0 9 年 7 月1 日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。 执行基本规范的上市公司应当对本公司内部控制的有效性进行自我评价，披露年 度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有 效性进行审计。对于投资者来说，该规范的发布意味着一部可以有效保护其利益 的类似于美国萨班斯法案的企业内控标准体系即将建立。 基本规范的制定发布和若干配套指引的公开征求意见，是继我国企业会 计准则、企业审计准则正式颁布和顺利实施之后，财政、审计、证券监管、银行 监管、保险监管和国有资产管理部门促进企业和资本市场发展的又一重大举措。 证监会相关人士指出，基本规范的制定发布，为上市公司加强内部控制建设 提供了基础性、权威性的指引，必将有利于提高上市公司经营管理水平和风险防 范能力，有利于资本市场的持续健康发展。 1 2 选题意义 理论和实务是同一问题的两个层面。我国上市公司的管理基础还较薄弱，内 控理念、内控知识还很不普及，在实际推广工作中，内控实务工作者大多存在照 l 本宣科，知其然不知其所以然的通病。大多数内控实务工作者的理论知识，基本 上来自上级的文件和规章制度，缺乏对内控理论的理解和认识，实务工作效果必 然大打折扣。 在基本规范发布以后，上市公司内部控制的改进工作不仅要早计划、早启动， 而且还应该高起点、高标准。从这个意义上讲，分析中美内控理论的演进特点及 对比差异，有利于正确理解基本规范的各项规定及工作重点，并在内控实施中正 确认识差距，找准措施。 通过中美内控理论的演进特点分析，可以让内控实务工作者更好的了解内控 工作的作用、发展方向；内控理论演进过程的经验、教训，可以加深实务工作者 对内控要求的理解、避免重复内控失效案例的覆辙。对内控实务操作要点的总结， 可以更好的促进内控工作质量和效率的提高，这就是对中国上市公司的启示。 1 3 研究方法 1 、比较研究方法。本文通过详细分析c o s o 内部控制框架、c o s o 风险管 理框架及中国企业内部控制基本规范的异同点及形成背景，阐述了内控工作 中的重点、要点。 2 、实证研究与理论研究相结合的方法。本文针对中国上市公司的内控现状， 以实证研究的形式，对全文结论进行了实证分析，落脚点在于推动实际工作。 1 4 研究思路 图卜1 研究细路鱼刺图 2 1 5 主要内容 第1 章序言：主要说明了论文选题的背景及意义，介绍了论文的研究方法、 及主要内容。 第2 章美国内部控制理论的发展及c o s o 控制框架演进分析：介绍了内部控 制理论经历的5 个阶段，对在美国内控理论中占有重要地位的内部控制框架和风 险管理管理进行了重点阐述及对比分析。 第3 章国内内部控制规范的发展及企业内部控制基本规范演进分析： 介绍了2 0 世纪9 0 年代以来国内内部控制理论的发展历程、基本规范出台的背景、 以及与会计控制规范对比，基本规范在目标、基本原则、基本结构及内容、控制 方法等方面的发展。 第4 章中美内部控制理论对比分析：从定义、目标、要素等方面，将基本 规范和c o s o 框架进行了对比分析。 第5 章对中国上市公司的启示：总结了基本规范框架下内控实务工作的要 点 第6 章我国上市公司内部控制现状及成因分析：选取近几年来上市公司的 内控案例，以内控实务工作要点为标准，来进行剖析，并分析了问题产生的根源。 第7 章完善我国上市公司内控制度对策：从内控5 个方面提出针对性意见 第8 章结语 第2 章美国内部控制理论的发展及c o s o 控制框架 演进分析 2 1 美国内部控制理论的发展 自1 9 世纪3 0 年代产生内部控制思想以来，美国内部控制发展经历了内部牵 制、内部控制二要素、内部控制三要素、c o s o 内部控制整体框架和c o s o 风险 管理框架等5 个阶段等。 ( 1 ) 内部控制的初始阶段 一般来说，内部牵制机能的执行大致可分为四类：实物牵制、机械牵制、体 制牵制、簿记牵制。内部牵制是基于两个基本设想：一是两个或两个以上的人或 部门无意识地犯同样错误的机会是很小的；二是两个或两个以上的人或部门有意 识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。内部牵制是内 部控制的起始形态，确实有效地减少了错误和舞弊行为。 ( 2 ) 内部控制二要素阶段 1 9 4 9 年，美国会计师协会( a m e r i c a ni n s t i t u t eo f c e r t i f i e dp u b l i ca c c o u n t a n t s ， 以下简称a i c p a ) 的审计程序委员会在内部控制：一种协调制度要素及其对 管理当局和独立注册会计师的重要性的报告中对内部控制作了如下定义：“内 部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些 方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推 动企业坚持执行既定的管理政策。”1 9 5 8 年1 0 月该委员会发布的审计程序公 告第2 9 号独立审计人员评价内部控制的范围对内部控制进行了重新定义， 将内部控制划分为会计控制和管理控制两要素。内部会计控制的方法和程序与财 产安全和财物记录可靠性有直接的联系，而内部管理控制主要与经营效率和贯彻 管理方针有关，通常只与财务记录有间接关系。这种划分只是从会计角度进行的 简单分类，并没有阐明其对内部控制的影响以及要素之间的相互影响和制约关 系。 ( 3 ) 内部控制三要素阶段 2 0 世纪8 0 年代后，美国会计审计界对内部控制研究的重点逐步从一般涵义 向具体内容深化。1 9 8 8 年a i c p a 发布了审计准则公告第5 5 号会计报表 审计中对内部控制结构的关注，从1 9 9 0 年起取代1 9 7 2 年发布的审计准则公 告第l 号。该公告首次以“内部控制结构”代替“内部控制”，指出“企业的内部控 制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”，并 提出内部控制结构包括控制环境、会计制度和控制程序等三个要素。内部控制要 素的发展步入结构化、系统化的轨道，不仅将控制环境纳入内部控制的范畴，而 且使会计系统较前阶段的内部会计控制更具动态性。 ( 4 ) c o s o 内部控制整体框架阶段 1 9 9 2 年，美国“反对虚假财务报告委员会”( 以下简称c o s o ) 下属的由美国 会计学会等专业组织发布了内部控制整体框架报告，与三要素相比，整 体框架保留了“控制环境”和“控制程序”的合理要素，调整模糊要素“会计系统”为 “信息与沟通”，加入新成分“风险评估”和监控，使得内部控制由原来的平面结构 发展为立体框架。这样的结构使内部控制不仅仅局限于会计，而是渗透到企业经 营和管理的各个方面。这样的结构设置也使内部控制更加合理、充实。 ( 5 ) c o s o 风险管理框架阶段 c o s o 组织从2 0 0 1 年开始委托普华永道公司组织编写企业风险管理 总体框架报告，并于2 0 0 4 年9 月正式发布，用以指导企业进行全面的风险管 理活动。该报告一出台便引起了审计职业界的广泛关注，它打破了传统内部控制 的内容，将公司治理与内部控制结合得更加紧密。报告要求审计人员不能仅局限 于财务报表本身，应将更多的精力投放在企业出现的经营风险上，将风险管理的 责任人定位在直接从事企业经营活动的第一行为人。其核心理念是将企业的风险 管理融入企业战略、组织结构、经营流程等各个环节，使之成为与企业日常经营 紧密结合的连续动态的过程。 1 9 9 2 年c o s o 内部控制整体框架( 以下简称“内部控制框架) 的 提出，标志着西方内部控制理论与实践进入了整体框架的新阶段，并被被广泛地 选择作为构建和完善内部控制体系的标准，对企业完善和优化内部控制、增强风 险防范能力发挥了十分重要的作用；2 0 0 4 年c o s o 企业风险管理总体框 架( 以下简称“风险管理框架 ) 报告，更被西方理论界称为内部控制领域的一 个飞跃。在如此赞誉之下的内部控制框架、风险管理框架，它们出台的背景与动 机是什么? 其具体内容究竟是什么? 2 2c o s o 内部控制整体框架解读 2 0 世纪8 0 年代，美国出现了由于一连串金融机构破产而引起的严重财务失 败事件。这些银行的破产使美国纳税人为之付出的成本超过1 5 0 0 亿美元。随后 的调查发现，几乎所有的案件中，审计师都没有发出危险信号。1 9 8 5 年，由于 出现众多财务报告舞弊现象，导致了一个由5 个职业协会( 美国注册会计师协会 a i c p a 、美国会计师学会 a a a 】、美国财务执行官协会 f e i 、美国国际内部审 计师协会【i i a 】和美国管理会计师协会【i m a 】) 组成的团体，他们另外建立了一个 委员会，该委员会正式命名为“美国反欺诈性财务报告委员会管理组织”，即 c o s o 。1 9 9 2 年，c o s o 发布了内部控制整体框架。报告认为，内部控 制是一个包括概念、目标和要素在内的理论框架。 2 2 1 内部控制概念 内部控制的定义为：“由一个企业的董事长、管理层和其他人员实现的过程， 旨在为下列目标提供合理保证ta 财务报告的可靠性；b 经营的效果和效率；c 符合适用的法律和法规”。 对c o s o 内部控制概念可以从3 个方面来理解： ( 1 ) 内部控制是动态过程。内部控制是一个过程，是实现目标的手段，而 不是结果本身。组织目标是由组织的宗旨决定的。它包括具体目标和实现目标的 效率。内部控制是防止那些可能影响组织目标有效率地实现的风险因素造成实际 损失、或者使损失降低到最低限度的，贯穿于组织各项活动中的一系列行为或措 施。环境影响内部控制，内部控制随环境变化而变化。 ( 2 ) 内部控制受人员沟通程度的影响。内部控制受到组织内各层次人员的 影响，而不仅仅是简单地制定出一本制度手册或规章。单纯的规章制度只是一种 机械的控制措施。组织虽然按照规章制度来运行，但人是具有个人目标、个人情 感的能动性个体，他们可以在很大程度上影响规章制度的实施效率和效果。 6 ( 3 ) 内部控制提供的是合理保证。对管理层或董事会而言，内部控制提供 的只是合理的保证，而不是绝对的保证。内部控制措施，无论设计得多么完美、 运行得多么好，组织目标实现的可能性受到内部控制制度所固有的局限性影响， 内部控制也仅能为董事会和管理部门实现组织目标提供合理的保证。 2 2 2 内部控制目标 内部控制框架认为，企业建立完善的内部控制体系，旨在达到以下三个目标： ( 1 ) 经营的效率和效果； ( 2 ) 财务报告真实、完整； ( 3 ) 恰当地遵循了相关法律、法规。 2 2 3 内部控制要素 在对内部控制概念进行界定的基础上，该框架认为，一个完善的企业内部 控制系统应该包括五类要素： ( 1 ) 控制环境 控制环境提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识， 是所有其它内部控制组成要素的基础。控制环境的因素具体包括：诚信的原则和 道德价值观；评定员工的能力；董事会和审计委员会；管理哲学和经营风格；组 织结构；责任的分配与授权；人力资源政策及实务。 ( 2 ) 风险评估 每个企业都面临着来自内部和外部的不同风险，这些风险都必须加以评估。 评估风险的先决条件是制定目标。风险评估就是分析和辨认实现所定目标可能发 生的风险。 ( 3 ) 控制活动 企业管理阶层辨识风险，继之应针对这种风险发出必要的指令。控制活动是 确保管理阶层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核 营业绩效、保障资产安全及职务分工等。 ( 4 ) 信息与沟通 企业在其经营过程中，需按某种形式辨识、取得确切的信息并进行沟通，以 使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息，同时也处理 与外部的事项、活动及环境等有关的信息。 ( 5 ) 监控 内部控制系统需被持续监控。监控是由适当的人员，在适当及时的基础上， 评估控制的设计和运作情况的过程。监督活动由持续监督和个别评估所组成，其 可确保企业内部控制能持续有效的运作。 内控体系五要素之间的关系我们可以理解为：企业的核心是人，人的诚信、 道德价值观和胜任能力构成了企业的内控环境，这是企业发展的基础。每个企业 都有自己的发展目标，为了目标的实现，必须分析影响因素，即进行风险评估。 针对风险评估的结果需要采取相应的内控活动来控制和减少风险。同时与内控环 境、风险评估和内控活动相关的信息应及时被获取、加工整理，并在企业内部传 递，这就是信息与沟通，信息与沟通系统围绕在内控活动周围，反映企业各项管 理活动的运转情况。为了保证内控体系的正常运转，还需要对整个内控过程进行 监督。 2 3c o s o 企业风险管理总体框架出台的背景 2 0 0 1 年1 1 月，安然公司财务丑闻曝光，6 个月后，世界通讯公司再度爆发 丑闻，由此引发的多米诺骨牌效应，造成了这一期间美国有3 3 8 家上市公司，总 计4 0 9 3 亿美元的资产申请破产保护。一系列财务丑闻不仅经济使投资者蒙受巨 大的损失，也暴露出美国企业在内部控制方面的缺陷。美国社会要求企业改善治 理结构、提高企业风险管理能力的呼声日益高涨。 2 0 0 2 年4 月，美国众议院通过了由众议员财务委员会主席、共和党人奥克 斯莱提交的第3 7 6 3 号法案公司与审计的责任、义务和透明度2 0 0 2 年法案， 同年6 月参议院银行委员会批准将该委员会主席、民主党人萨班斯提交的公众 公司会计改革和投资者保护2 0 0 2 年度法案送交参议院表决通过。这两个法案 和并称为( ( 2 0 0 2 年萨班斯奥克斯莱法案。 萨班斯法案是继2 0 世纪3 0 年代经济大萧条以来美国政府制定的范围最广、 措施最严厉的公司责任法律，它标志着新资本市场监管时代的到来，奠定了后安 然时代会计、审计发展和公司治理及证券监管的框架。萨班斯法案中有两个条款 果将来发现有问题，c e o 或c f o 个人将对公司财务报表承担民事甚至刑事责任。 ( 2 ) 4 0 4 条款公司管理层及外部审计师对于公司财务内部控制的责任： 萨班斯法案4 0 4 条款要求公司管理层和公共审计师，每年在年报中就公司产生财 务报告的内控系统分别作出评价和报告，还要求外部公共审计师对于公司管理层 评估过程以及内控系统结论进行相应的检查并出具正式意见。 美国证券交易会于2 0 0 3 年6 月份就萨班斯法案第4 0 4 条所制定的”最终条例 ”明确表示c o s o 内部控制框架可以作为评估企业内部控制的标准。 2 4c o s o 企业风险管理总体框架演进特点分析 2 0 0 4 年1 0 月份发布的企业风险管理总体框架( e n t e r p r i s er i s k m a n a g e m e n t ，e r m ) 是在1 9 9 2 年报告的基础上，结合萨班斯一奥克斯法案 ( s a r b a n e s - - - o x l e ya c t ) 的相关要求扩展研究得到的。 企业风险管理总体框架内容概述：企业风险管理是一个过程，是由 企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层 次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理 风险，为企业目标的实现提供合理的保证。该框架有三个维度，第一维是企业的 目标；第二维是全面风险管理要素；第三维是企业的各个层级。第一维企业的目 标有4 个，即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理 要素有8 个，即内部环境、目标设定、事件识别、风险评估、风险反应、控制活 动、信息和交流、监控。第三个维度是企业的各个层级，包括整个企业、各职能 部门、各条业务线及下属各子公司。全面风险管理框架三个维度的关系是： 全面风险管理的8 个要素都是为企业的四个目标服务的；企业各个层级都要坚持 同样的四个目标；每个层次都必须从以上8 个方面进行风险管理。 9 与内部控制框架相比，风险管理框架虽然保留了内部控制框架的某些概念， 但不论在框架上还是在要素方面，均有相当大的突破，主要表现在包括如下几个 方面： 2 4 1 企业风险管理对内部控制内涵的发展 ( 1 ) 内部控制框架中提出了“保障资产的内部控制”的概念，风险管理框 架认为“保护资产 或者“保护资源是一个广义的概念，资产或资源的损失可 能由于偷盗、浪费、无效率或错误的商业决策等。因此，广义的“保护资产”目 标范围集中为特定的经营目标，使得保护资产适用于所有未经授权的获得、使用、 处置资产。 ( 2 ) 内部控制与管理活动有什么区别? 在原报告中并不清晰。有些对错误纠 正的管理行为，并不包括在原有c o s o 报告的内部控制活动之中。而新的e r m 框架已经将纠正错误的管理行为明确地列为控制活动之一。 风险管理框架对内部控制的定义明确了以下内容：( 1 ) 是一个过程；( 2 ) 被人 影响；( 3 ) 应用于战略制定；( 4 ) 贯穿整个企业的所有层级和单位；( 5 ) 旨在识别影 响组织的事件并在组织的风险偏好范围内管理风险；( 6 ) 合理保证；( 7 ) 为了实现 各类目标。对比原来的定义，c o s o 风险管理框架概念要细化的多。由于提出了 风险偏好、风险容忍度等概念，使得风险管理框架的定义更加明确、具体。同时， 风险管理框架又涵盖了内部控制所有合理的内容。 2 4 2 企业风险管理对内部控制目标的发展 ( 1 ) 在内部控制框架中，内部控制有三个目标：经营的效果和效率、财务 报告的可靠性和法律法规的遵循性。风险管理框架中除了经营目标和合法性目标 与内部控制整体框架相似以外，还将“财务报告的可靠性”发展为“报告的可靠 性。原c o s o 报告把财务报告的可靠性界定为“编制可靠的公开财务报表的， 包括中期和简要财务报表，以及从这些财务报表中摘出的数据，如利润分配数 据 。新报告则将报告拓展到“内部的和外部的财务的和非财务的报告”，该 目标涵盖了企业的所有报告。 ( 2 ) 风险管理框架提出了一类新的目标二战略目标。该目标的层次比其 l o 他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也 应用于企业的战略制定阶段。 2 4 3 企业风险管理对内部控制要素的发展 1 9 9 4 年内部控制框架中，提出了五个要素：控制环境、风险评估、控制活 动、信息和沟通、监督。c o s o 风险管理框架对这五个要素进行深化和拓展，将 其演变为八个要素。 ( 1 ) 风险管理框架引入风险偏好和风险文化，将原有的“控制环境 扩展 为“内部环境”。 ( 2 ) 虽然内部控制整体框架和风险管理框架都强调对风险的评估，但风险 管理框架建议更加透彻地看待风险管理，即从固有风险和剩余风险的角度来看待 风险，对风险影响的分析则采用简单算术平均数、最差情形下的估计值或者事项 分布等技术来分析。 ( 3 ) 由于原报告仅提出三个目标，因此“信息与沟通 中的信息仅仅指与 这三个目标相关的信息。而新的报告包括了与组织的各个阶层、各类目标相关的 信息，这就对管理层将巨量的信息处理和精炼成可控的信息提出了挑战。 ( 4 ) 内部控制框架仅提出风险识别，但是并没有区分风险和机会。风险管 理框架则将风险定义为“可能有负面影响的事项 ，并且引入了风险偏好、风险 容忍度等概念，将原有的风险评估这一要素，发展为目标设定、事项识别、风险 评估和风险反应四个要素，使得原有的内控五要素发展为风险管理八要素。 2 4 4 相关角色和任务的变化 ( 1 ) 内部控制框架和风险管理框架都将组织的董事会、管理层和内部审计 和其他职员看成是相关责任人，董事会都需提供管理、指引和核查，但风险管理 框架使董事会在企业风险管理方面扮演更加重要的角色负总体责任，并且要 求其变得更加警惕。企业风险管理的成功与否在很大程度上依赖于董事会，董事 会需要批准组织的风险偏好。以前，当公司出现丑闻时，很多人问：“管理层怎 么让这发生的? 现在，恐怕要问：“董事会怎么让这发生的”? 在风险管理框架 中中，c e o 必需识别目标和战略方案，并且将其分类为战略目标、经营目标、 报告目标和遵循性目标四类。每一个业务单元、分部、子公司的领导也需要识别 各自的目标，并与企业的总体目标相联系。一旦设定了目标，管理层就需要识别 风险和影响风险的事项、评估风险并采取控制措施。 ( 2 ) 在风险管理框架中，内部审计人员在监督和评价成果方面承担重要任 务。他们必需协助管理层和董事会监督、评价、检查、报告和改革e r m 。对于 内审人员来说，最大的挑战是在e r m 中扮演何种角色? 很多内审人员可能被要求 提供e r m 的教育和训练，甚至“处理企业风险管理过程”。但是，风险管理框 架认为：内审人员并不对建立e r m 体系承担主要责任。还有文章提醒内审人员 不要行使不匹配的职能。内审人员职责的另一个变化是从原来对c f o 和内审委 员会负责，现在可能要对c f o 、内审委员会和风险主管负责。 在风险管理框架中，新增加了一个角色风险主管或风险经理。风险主管 除了需要和其他管理人员一样，在自己的职责范围内建立起风险管理外，还要帮 助其他经理人报告企业风险信息，并可能是风险管理委员会的成员之一。 可见，企业管理风险框架建立在内部控制框架的基础上，范围比内部控制更 广，是一部针对企业风险涵盖整个企业管理的框架。它要求企业在制定战略时就 考虑风险，要求企业自上而下所有管理人员都要有风险意识。该框架已经将内部 控制上升为一种管理理念，它将企业风险、内部控制和公司治理紧紧联系在了一 起。 1 2 第3 章国内内部控制规范的发展及企业内部控 基本规范演进分析 3 1 近年来国内内部控制规范的发展 1 9 9 6 年1 2 月中国注册会计师协会发布独立审计具体准则第9 号内部 控制和审计风险，要求注册会计师审查企业的内部控制，并对内部控制的定义、 内部控制的内容( 包括控制环境、会计系统和控制程序) 等作出了规定。 1 9 9 7 年5 月，中国人民银行颁布加强金融机构内部控制的指导原则，这 是我国第一个关于内部控制的行政规定。 1 9 9 9 年8 月中国保险监督管理委员会制定了保险公司内部控制制度建设 指导原则，要求企业建立组织机构系统、决策系统、执行系统、监督系统、支 持保障系统等控制系统，内部控制要素包括组织机构控制、授权经营控制、财务 会计控制、资金运用控制、业务流程控制、单证和印鉴管理控制、人事和劳动管 理控制、计算机系统控制、稽核监督控制、信息反馈等。 2 0 0 0 年4 月中国证监会发布关于加强期货经纪公司内部控制的指导原则， 内部控制内容包括内部机构控制、授权分责控制、岗位责任控制、风险监控、资 金管理控制、会计系统控制、结算控制、计算机系统风险控制、内部稽核控制等。 2 0 0 1 年1 月中国证监会发布证券公司内部控制指引，内容包括环境控制、 业务控制、资金管理控制、会计系统控制、电子信息系统控制、内部稽核控制等。 2 0 0 1 年6 月财政部发布内部会计控制基本规范( 试行) 和内部会计 控制基本规范货币资金( 试行) ，内部会计控制规范适用于国家机关团体、各 类企业、事业等单位，以单位内部会计控制为主，同时兼顾与会计有关的控制， 是我国会计工作中又一重要的规范性文件。 2 0 0 2 年9 月中国人民银行出台了商业银行内部控制指引，要求商业银行 建立良好的公司治理以及风险监控体系，明确内部控制的要素包括内部控制环 境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正5 个部 分，内部控制的内容涵盖组织机构、岗位分工、授权分责、稽核监控、会计控制、 计算机控制等各个方面。 2 0 0 2 年1 2 月1 9 日中国证监会发布证券投资基金管理公司企业内部控制 指导意见，首次系统地提出基金公司内部控制的目标和要求。 2 0 0 3 年4 月中国内部审计协会发布的内部审计具体准则第5 号内部 控制审计认为，内部控制是指组织内部为实现经营目标，保护资产完整，保证 对国家法律法规的遵循，提高组织运营的效率及效果，而采取的各种政策和程序， 内部控制包括控制环境、风险管理、控制活动、信息与沟通、监督等五个要素。 2 0 0 4 年2 月审计署发布实施的审计机关内部控制测评准则，内部控制由 控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。 2 0 0 5 年1 月中国银监会制定商业银行内部控制评价试行办法，要求银行 对商业银行内部控制体系进行评价。 2 0 0 5 年2 月中国保监会制定了保险中介机构内部控制指引( 试行) ，要求 保险中介机构建立全系统的风险管理系统等。 2 0 0 5 年中国内部审计协会发布的内部审计具体准则第1 6 号风险管理 审计，风险管理是组织内部控制的基本组成部分，内部审计人员对风险管理的 审查和评价是内部控制审计的基本内容之一。 2 0 0 6 年1 月中国保监会制定寿险公司内部控制评价办法( 试行) ，通过建 立统一规范的内部控制评价标准，对寿险公司内部控制体系建设、实施和运行结 果进行调查、测试、分析和评估，实施分类监管。 2 0 0 6 年2 月财政部发布中国注册会计师审计准则第1 2 1 1 号一了解被审计 单位及其环境并评估重大错报风险第四章重点规范了有关内部控制的内容。 2 0 0 6 年3 月3 日中天恒会计师事务所研发的中国式全面控制，建议建立 适合中国企业特色的全面控制体系，把控制分为内部控制和外部控制两大部分， 倡导自主创新，认为会计控制是核心，管理和业务控制是发展方向。 2 0 0 6 年6 月上海证券交易所制定了上海证券交易所上市公司内部控制指 引( 以下简称指引) ，并于2 0 0 6 年7 月1 日开始实施。 2 0 0 6 年6 月6 日国资委出台中央企业全面风险管理指引，该指引要求企 业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的 基本流程，培育良好的风险管理文化，建立、健全全面风险管理体系，包括风险 管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部 1 4 控制系统，从而为实现风险管理的总体目标提供合理保证过程。 2 0 0 6 年9 月深圳市证券交易所制定了深圳证券交易所上市公司内部控制 指引，该类指引界定了上市公司内部控制的范围，规定了从公司治理到业务控 制的一系列规则。主要强调了关于控股公司、关联交易、对外担保、募集资金的 使用、重大投资以及信息披露等方面的内部控制要求。 2 0 0 7 年4 月1 9 日中天恒管理咨询公司研发的( 3 c 全面风险管理标准，内 容包括基本框架、实务标准、操作指南，力求自主创新，除增加了实务标准、操 作指南这些具有可操作性的工具之外，在基本框架方面进行了一系列的创新，充 分考虑了中国企业的实际情况，在构建中国企业自己的全面风险管理标准方面进 行了有益的探索。 2 0 0 7 年1 2 月6 日国资委关于印发中央企业财务内部控制评价工作指引 ( 2 0 0 7 年度试行) 的通知评价函( 2 0 0 7 ) 2 9 3 号，企业财务内部控制评价工作 目的是促进企业内部建立健全运作规范化、管理科学化、监控制度化的财务内部 控制体系。企业财务内部控制评价是指通过独立的调查、测试、分析企业在一定 经营期间内所采取的各项财务内部控制政策、程序、措施，评价企业财务内部控 制体系的建设、实施情况以及运行的有效程度。 2 0 0 7 年1 2 月2 6 日，深交所发布的中小企业板上市公司内部审计工作指引， 建立自查机制，由内审负责审查和评价内部控制的有效性，提建议，审计委员会 对内控的建立和实施情况，出具年度内部控制自我评价报告。 2 0 0 8 年6 月2 8 日财政部、证监会、审计署、银监会、保监会联合发布的企 业内部控制基本规范，将于2 0 0 9 年7 月1 日起首先在上市公司范围内施行，并 鼓励非上市的其他大中型企业执行。 3 2 企业内部控制基本规范出台的背景 ( 1 ) 内控案件频出。 我国的内部控制思想较国外起步晚，这也导致我国近年来公司丑闻更是频频 曝光。从早期的“郑百文”，“银广夏”，“麦科特”，“蓝田股份”，“东方电子”等上 市公司会计造假，到2 0 0 5 年，伊利股份董事长被拘留，创维数码董事局主席和 金正数码及深圳石化董事长被捕，开开公司高层人员携款潜逃。反省以上事件， 问题无不出在公司的管理经营上，而内部控制不利，是非常重要的一个原因。 ( 2 ) 内控制度政出多门。 在美国，c o s o 框架是一个美国企业以及在美国上市的外国公司的内部控制 建设标准；在英国，t u m b u l l 指南已成为英国投资者和公司普遍接受的一个风险 管理与内部控制建设的指导原则；在加拿大，c o c o 控制指南己成为加拿大公司 和组织进行控制设计和评价时广泛参考的一个标准；在香港，内部监控与风险管 理基本架构已经成为在香港上市公司内部控制评价的一个标准。而在我国，长期 以来内部控制规范正出多门，现实中，至少存在包括证监会、财政部、国资委、 人民银行、证券交易所等部门或主管单位发布的关于内部控制或风险管理的规范 文件。尽管有关监管部门在实际中采用了c o s o 的标准，但都从各自角度出一 个规范，规范中对内部控制的定义界定不尽相同，上市公司在披露内部控制信息 时所选择的内部控制标准也存在差异。实务中，到底执行财政部的呢，还是执行 国资委的，还是证券会和审计署的呢，没有一个统一的内部控制的标准，执行者 难执行，审计者难审计。 目前内部控制相关制度文件“政出多门”的客观现实，并非简简单单的相关利 益的矛盾，其背后更有不同类型企业之于内部控制的不同要求，以及相关监管层 对所辖领域内部控制的不同理解。 3 3 企业内部控制基本规范解读 企业内部控制基本规范构建了以内部环境为重要基础、以风险评估为重 要环节、以控制措施为重要手段、以信息沟通为重要条件、以内部监督为重要保 证的5 要素框架。上述要素相互联系、相互促进，构成一个统一的企业内部控制 框架。 3 3 1 内部控制规范目标 内部控制规范的目标体现为企业战略；