（管理科学与工程专业论文）我国电信企业内部控制的研究.pdf

学位论文作者签名： 叁娟 签字日期：山。彦年y 月占日 学位论文版权使用授权书 本学位论文作者完全了解重庞邮电太堂 有关保留、使用学位 论文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权 重麽虹虫玉当l - 可以将学位 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印 或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：套崩导师签名：易彳 签字日期：蒯年孓月譬日签字日期：矽罗年舌月，阳 重庆邮电大学硕士论文摘要 摘要 近几年，国内外不断出现的大公司财务造假丑闻，给资本市场带来巨大冲击， 促使监管部门和投资者对上市公司的公司治理、内部控制、财务报告真实性、风险 管理等方面予以空前关注。萨班斯奥克斯利法案就是在这样的背景下颁布的， 该法案对美国上市公司的运营和管理提出了更高的要求，明确了许多前所未有的责 任，制定了相应的惩罚规则。 我国四家主要的电信企业均为在美上市公司，法案颁布后，四家电信企业先后以 c o s o 内部控制整体框架( 1 9 9 2 ) 报告为依据构建了企业的内部控制体系， 在内部控制方面取得了一定的成效。2 0 0 4 年，c o s o 委员会对内部控制整体 框架进行了改进和扩展，颁布了企业风险管理整合框架，将内部控制的内 涵进一步拓展到更为广泛的风险管理范畴中，为企业内部控制的进一步完善指明了 方向。 本文正是基于以上情况，从内部控制整体框架与企业风险管理整 合框架的比较分析入手，介绍了电信企业以内部控制整体框架为框架构建 合规的内部控制体系的过程；在此基础上，从内部控制整体框架到企业 风险管理整合框架的发展着手，完善原内部控制体系，初步构建了电信企业 的全面风险管理体系，介绍了风险管理程序，并针对实施过程可能遇到的问题进行 深入分析，提出了相应的解决方案和建议。 本文的重点在于将企业风险管理整合框架相关理论运用在我国电信企 业全面风险管理体系的构建实践中。以中国电信为例，从全面风险管理体系的构建和 中国电信战略转型期间风险管理程序两个层面详细分析了全面风险管理体系的构建 和实施。介绍风险管理的程序的过程中，运用演绎法分析了中国电信在战略转型期 可能存在的风险，进一步利用风险矩阵对风险进行了定性与定量的分析，找出了关键 风险；在介绍实施过程中潜在问题的解决办法时，综合其他行业风险定量分析的经 验，构建了对风险进一步进行定量评估的模型。这些分析促使我国电信企业及国内 其他企业提高风险意识、进一步完善内部控制，并为其构建符合企业实际的全面风 险管理控制提供了值得借鉴的模式。 关键词：电信企业，内部控制，风险管理，c o s o 框架，风险评估 重庆邮电大学硕士 摘要 a b s t r a c t ht e c e n t ) ，e j 掷，t h e 锄豇翟迦缸【粕c es c 龇l d a l so f1 a l 翟r ed o m e s d c 锄df 0 r e i g n c c 町 0 硎。璐b 痂培h l 培e 锄p a c tt 0t h ec 印i e a ll n a r k e t a s at e s u kt h e 唧e r v i s o r d 印a m n 锄：t s 觚di n v e 哟r sp a yu n p r e c e d 胁t c d 删o n t 0t 1 1 ec 0 i p o r a ：t em a l l a g e m 即：t s ， i n t 锄aic o n 虹o l s ，踟吐l 即t i c i t i e so ft h e i r 鼬i a lr 印o r t sa 1 1 d 矗s km 锄a g 锄e n to f1 i s t e ( 1 c 伽叩a n i e s u n d e f 廿l i 8b a c 蚝r 0 1 m d ，l es a i b a n e s o ) d e ya c t ( s o x ) ，惋c hp u _ t sl l i 曲e r 幽妣切位0 p e 僦0 n 趾dm 吼a g 锄础o f u s 1 i s t e dc 彻璀1 1 1 i e s ，脯i s s l l 缸i tc l e a 瑙 m a n yu n p r c c e d e n t e dr e s p o n s i b n i t i e s 觚da l s o 如唧叫a t e sc o r r e s p o n d 即tp l l n i s b i 唱m l e s 1 k 蠡跚m a i nt e l e c o n 珈u n i c 撕o ne n t 盯叫s e so fc l l i 】唿a r ca l l1 i s 锄i l lu s a 触e r t h ei s s u eo f 也ea c t ，t h ef o u r 伽l t e r p r i s e sk e 龇u e s s i v e l yc c 删m u c t e di n t e m a lc o n t r o l s y s t 锄h e d0 n ”i n t 锄a 1 鲫1 删砌旺e 一一o v 啪nf r 2 髓e ”( 1 9 9 2 ) 0 fc o s o ，w h i c h m a k c sn l e m0 b t a i nc e 向nr e s m t si ni 1 1 ：t e m a lc o m r 研i i l2 0 0 4 ，c o s oc 砌t t e e i 珈p r 0 v e da n dd e v e l o p e d 也eb i l la n d 删e d m ec o n n o t 砸0 i lo f 谳髓1 a l 咖1i m da b r o a d e r 丘e l do fi i s k 加锄a g e m e n t ，谳c h 砌c 绷e d 也ed i r e c t i o nf 0 rm ei i i 唧例e m e n to f i m e 加a lc o n ：仃o lo fe n t e r p r i s e s 1 1 1 、，i e wo fa l l 也ea ：b o v e ，1 i sp 印e r 缸l d r c s s e so nm e 伽啷卿删v ea 撒d y s i so fb t e m a l c o n n o lh l t e g m t e df r a m e w o r ka n de i l t e q 研s e 耻s km a n a g e m e n tc o n s 缸u c t 缸塔a n da p p l i e d r c s e a r c 也i m r o d l l c i i 培m ee s t a b n s l l i n gp r o c e s so f h l t e m a lo 咖l s y s t e m t h e n i ta l l a l y s i s 廿l ed i 任i e r e n c eo ft l l et w o 置b m e w o r ! k s ，e 嘲b l i s h e sa ne 1 1 t e 巾r i s er i s km 舭l a j 萨m e n ts y s t e m a n di 1 1 _ t r o d u c e st 1 1 ep r o c e s so fr i s km a n a g e i 】1 e n t a f t e rd e 印锄a l y s i so nm ep o t 训a l p 帕b l e m sn l a tw em i g h te n c o 眦t e r e dd l l 血gt 1 1 ep r o c e s so f e s t a ：b l i s l l i n i n t ，l ep a p e rr a i 8 e s c o n e s p l o n d i n gs 0 1 l l ! t i o n sa i l dr e c o m m e n 抛i o i l s t h e 旬c l l 8o ft h i sp 印e ri sl l s i n g 缸l em e o r yo fe r 州s e 鼬s km a 彻g e m i 锄 h l t e g r a t e df r 锄e w ) r ki nt 1 1 ep m c t i c eo fc h i i l e s et e l e c o m 锄t c q 面s e s 1 狄ec h i m 7 r e l e c o m c o r p o 觚o nl j m i t e df 0 r 蹦岬l e ，t l l ep a p e ri n 仃o d u c e st 1 1 ee s t a b l i s h m e n t 缸衄t 、ol e v e l s ， i n c l u d i n gr i s km 撇g 朗】吼tp c e d u r ep 1 0 c e s s ，也i sp a p e ra n a l y z e s 吐l ep o s s i b l yr i s k 函g t s i l lt h es 位眈垂c 位i n s i t i o np 嘶0 du s i n gt h ed e d u c t i v em e m o d ，a n du s 崦m er i s km 砌i ) 【t 0 锄a l y z e 也o s er i s k 缸i mq 啪l i 切m ea n dq u a n t h 曲e1 e v e l s 舔t o 丘i l dm ek e yr i s k sa n d c o r 眦m c tt h eq l l a l i t 撕v e 嬲s e s s m e n tm o d e l 蛐gm er a i s eo fm es o h l t i o i l sf 0 rp ( 删a l p r o b l e i 】吣t h e s e 锄a l y s e su 玛et h e1 c l e c o me n t e r p r i s e s 锄dd o m e s t i ce i 】 t e r p r i s e st 0r a i s e 缸l e i ri i s ka w a r e n e s s ，f i l “b e fp c r f i e c ti 1 1 t e m a lc o n t r o l ，觚dc 0 州! i o 衄t 1 1 ee n t e r p r i s ea c t i l a l c o m p f e i 培啮i v er i s km a n a g e m e n tc o n t r o l 内ri t sc o n s t l l l c 缸o nt 0p r o v i d e 也e 肼眦e mw m c h 重塞坚皇丕堂堡主塑 i s w 砥h l l s i n g 0 r t c f 融e k e yw b r d s ：t e l c c o m 删s e ，删删，l i s k 伽g 锄e n t c o s o f 协础， t i s ka s s e s 团n e n t l i l 重庆邮电大学硕士论文 目录 目录 摘要i a b s t r a c t i i 目录i v 第一章绪论1 1 1 研究背景及意义1 1 2 研究现状2 1 3 主体内容和研究方法：3 1 3 1 主体内容3 1 3 2 研究方法4 第二章内部控制相关理论5 2 1 内部控制概念的演进：5 2 2 萨班斯一一奥克斯利法案7 2 2 1 萨班斯一一奥克斯利法案的主要内容7 2 2 2 萨班斯一一奥克斯利法案对内部控制的影响7 2 3c o s o 报告内部控制一一整体框架8 2 3 1 内部控制l 一整体框架的背景9 2 3 2内部控制一一整体框架的主体架构9 2 4 新c o s o 报告一一企业风险管理一一整合框架1 0 2 4 1 风险管理的相关概念1 0 2 4 2 企业风险管理与内部控制的关系1 1 2 4 3 企业风险管理一一整合框架的背景1 1 2 4 4 企业风险管理一一整合框架与内部控制一一整体框 架的比较分析1 2 2 5 本章小结1 5 第三章国内外企业内部控制实施现状分析1 6 3 1 国外企业内部控制实施现状1 6 3 2 我国企业内部控制实施现状分析1 6 3 2 1 我国内部控制规范演进1 6 3 2 2 我国内部控制的现状分析1 7 3 3 本章小结1 9 第四章以c o s 0 为框架所构建的我国电信企业内控体系2 0 重庆邮电大学硕士论文 目录 4 1 我国电信企业内部控制的实施现状 4 1 1 我国电信企业内部控制的特征 4 1 2 我国电信企业内部控制目前的基本情况 4 2 中国电信集团公司简介 4 3 以c o s 0 为框架构建的中国电信内部控制体系 4 3 1 中国电信c o s o 内部控制框架构建项目的实施过程 4 3 2 中国电信公司层面内部控制框架的构造 4 3 3 中国电信流程层面内部控制体系的构造 4 4 中国电信内部控制体系测评方法 4 5 构建过程中的经验与不足 4 6 本章小结 第五章基于新的c o s o 报告构建电信企业全面风险管理体系 5 1 我国电信企业的风险状况 5 1 1 我国电信企业面临的风险 5 1 2 国内外环境要求我国电信企业建立全面风险管理体系 5 2 中国电信全面风险管理体系模型的构建与分析 5 2 1 中国电信全面风险管理体系构建 5 2 2 中国电信战略转型过程中的全面风险管理程序 5 3 全面风险管理体系和内部控制体系的比较分析 5 4 潜在的问题 5 5 解决方案和建议 5 6 本章小结7 第六章结论及未来的工作 6 1 结论 6 2 未来的工作 致谢 攻读硕士学位期间发表的论文 参考文献 v 2 0 2 0 2 2 2 3 2 3 2 3 2 4 2 8 3 0 3 1 3 3 3 4 3 5 3 6 3 7 3 9 3 9 4 3 5 3 5 4 5 5 5 8 5 9 5 9 6 0 6 1 6 2 6 3 重庆邮电大学硕士论文 1 1 研究背景及意义 为应对内部控制失效带来的严重后果，2 0 0 2 年美国国会紧急出台了萨班斯一 一奥克斯利法案( s a r b 观e s o 】【l e y a c to f 2 0 0 2 ) 。萨班斯法案为美国的上市公司建立 了很高的行为规范j 明确了许多前所未有的责任及相应的惩罚。该法案4 0 4 节规定， 在美上市的国外企业必须保证公司管理层建立和维护内部控制系统及相应控制程序 充分有效的责任体系，同时提供管理层最近财年对内部控制体系及控制程序有效性 的证明及内控机制评价报告n 1 。萨班斯法案推荐与要求将1 9 9 2 年发布的c o s 酽报告 内部控制整体框架作为企业的内部控制框架。在萨班斯法案公布后， 我国在美上市公司纷纷开始构建以内部控制整体框架为框架的内部控制体 系，以期在萨班斯法案最后期限- 2 0 0 6 年7 月1 5 日之前完成内部控制体系构建。 目前，部分公司已经完成了内部控制体系的构建，并成功通过了审核，但是距真正 利用内部控制提高公司治理水平，对公司的发展起到保障作用，还存在很大的差距。 2 0 0 4 年1 0 月，c o s o 颁布了企业风险管理整合框架报告。新的企业 风险管理框架在内部控制整体框架的基础上，结合萨班斯一奥克斯利 法案进行了扩展研究，新架构提出了如何构建以风险为导向的全面风险控制体系， 内容更为全面、深刻，为我国企业进一步完善内部控制体系指明了新的方向。 对于国内电信运营商而言，以中国网通2 0 0 4 年1 1 月中旬完成海外上市为标志， 包括中国电信、中国移动、中国联通以及中国网通在内的国内四大基础运营商的上 市征程终告完满，与此同时，也将自己置身于萨班斯法案的监管之下。为了早日通 过萨班斯法案审核，四大运营商都成立了老总牵头的相关项目组或者委员会，每个 运营商动员了数千人的队伍，首先梳理管理制度，建立统一内控管理文件，然后进 行试点、全集团实施。 目前，虽然各大电信企业已经通过了外部审计师关于萨班斯条款的审核，但是 在构建内部控制体系的过程中存在很大的“赶考成分，没有把内部控制体系的构 建和实施提高到公司治理的高度，作为促进企业进一步发展的重要保障，同时，随 着经济社会的进一步发展，电信企业作为框架标准的内部控制整体框架 ( 1 9 9 2 ) 已经在某些方面不够全面和完善，不能够满足企业灵活应对瞬息万变的经 。美国“反对虚假财务报告委员会”( c c 曲n l i 缸i 冶o f s p s 锄g0 i 翻n i 窈t i o o f t l l e l 硼w 毋c ( 吼m i s s i o n ) 简称 c o s o 。 重庆邮电大学硕士论文第一章绪论 济环境的要求。基于以上原因，本文的研究意义主要体现在： 一方面，在较为系统地介绍了电信企业内部控制体系构建过程和评价的基础上， 探讨电信企业如何吸收内部控制理论的最新发展企业风险管理整合框架 ( 2 0 0 4 ) ，在完善原有内部控制体系的同时，将内控体系向全面风险体系过渡，建立 风险管理和内部控制长效管理机制，提升电信企业综合竞争力。 另一方面，通过电信企业内部控制体系和全面风险管理体系的构建和评价，促 使我国其他行业的企业意识到内部控制的重要性，并对其构建符合企业自身现状的 全面风险管理体系起到借鉴作用，使其能够在瞬息万变的市场中，增强风险管理意 识，有效的识别并控制风险，取得更为长期稳定的发展。 1 2 研究现状 进入2 0 世纪以来，内部控制在国际上发展迅速，从理论到实务内容不断丰富。 其发展在先后经历了内部牵制、内部控制制度、内部控制结构和内部控制整体框架 四个阶段后，c o s o 委员会于2 0 0 4 年又正式发布了企业风险管理整合框架， 并提出将以此取代内部控制综合框架，虽然取代的时间尚未确定，但趋势既定，这 将是内部控制第五阶段的开始，围绕着这一趋势，国内外又开始了内部控制风险管 理这一领域的研究，但国内目前从这方面研究的学者并不多。 吴水澎等( 2 0 0 0 ) 对1 9 9 2 年c o s o 报告进行了详细的分析，指出了该报告十个 方面有价值的观点，并就我国内部控制理论和实务的完善提出了建议口1 。阎达五等 ( 2 0 0 1 ) 将内部控制与公司治理结合起来，试图构建内部控制框架体系口1 。陈汉文 ( 2 0 0 1 ) 以郑州亚细亚集团的失败为例，从舞弊审计的角度，按c o s o 报告的五要 素提出改善企业内部控制体系的建议h 1 。杨有红( 2 0 0 1 ) 就c o s o 报告的五要素对 我国内部控制框架进行构建网。刘明辉等( 2 0 0 2 ) 提出内部控制的整体框架由四个 部分组成，即企业治理控制、企业管理控制、管理信息系统和企业文化嘲。于增彪 等( 2 0 0 2 ) 提出企业应将内部控制的设计分成总体设计和单项设计口1 。朱荣恩( 2 0 0 1 ) 提出了单位内部控制可由三部分组成，即组织结构、人员管理、业务程序，并且认 为当前重点是强化企业业务程序的内部控制嘲；在他此后的研究( 2 0 0 5 ) 中，对我 国企业的内部控制实务进行了较为完整的调查研究，整理总结了各类企业内部控制 情况，还将内部控制与会计信息失真、盈余管理、财务报告可靠性等联系起来进行 思考嘲。在2 0 0 3 年c o s 0 委员会公布企业风险管理整体框架征求意见稿后， 首先以朱荣恩( 2 0 0 3 ) 为代表的一些学者对其与1 9 9 2 年内部控制整体框架 的差异进行研究n0 1 。特别是2 0 0 4 年企业风险管理框架正式公布后，内部控制问题的 研究再次兴起，国内的学者们纷纷对其进行介绍和评论。如：程新生( 2 0 0 4 ) 以公 2 重庆邮电大学硕士论文 第一章绪论 司治理、组织结构和内部控制的关系研究为基础，构造内部控制框架体系n ；刘亚 莉( 2 0 0 4 ) 则以提高资本市场信息质量为动机研究财务报告内部控制n 羽；金或防、 李若山等( 2 0 0 5 ) 以企业风险管理整体框架分析中航油案例，并评析了该 框架n 司：杨雄胜( 2 0 0 5 ) n 帕、张砚( 2 0 0 5 ) n 5 1 强调立足于管理控制层面，开展内部 控制研究；杨雄胜( 2 0 0 6 ) 指出内部控制必须基于信息观，以“学习导向作为重 建内部控制基本框架的理念n 等等。 这些文献从不同的角度和深度对国际先进的内部控制理论进行理解和应用，完 善了我国内部控制理论。不过，他们对企业风险管理整体框架如何借鉴以 及借鉴要注意些什么问题等研究相对较少，这些问题值得进一步探讨。 1 3 主体内容和研究方法 1 3 1 主体内容 本文的研究思路用逻辑框架图表示如图1 1 所示： 绪论：介绍研究背景、意义、 现状及研究方法 0 相关理论介绍：重点介绍萨 巴斯法案、内部控制 整体框架和企业风险管 理整合框架 国内外内部控制实施现状 介绍电信企业实施现状及 电信企业依据内部控制一 一整体框架构建的内部控 制体系 介绍电信企业如何依据企 业风险管理整合框架 构建全面风险管理体系 图1 1 本文逻辑结构图 绪论部分介绍论文的选题背景、研究现状、研究思路和整体框架，并指出了本 3 重庆邮电大学硕士论文 第一章绪论 文研究的主要目的和意义；第二章为企业内部控制的相关理论，主要介绍内部控制 理论的发展历程，着重阐述了萨班斯一奥克斯利法案的具体内容，c o s o 内 部控制整体框架报告的提出和整体结构，最后介绍新c o s 0 报告企业风险 管理整合框架的产生背景及其对内部控制的新发展，为后文内部控制体系和 全面风险管理体系的构建提供了理论基础；第三章介绍了国内外内部控制的实施现 状，指出了目前我国企业内部控制存在的不足；第四章在分析了电信企业内部控制 特征和目前基本情况的基础上，介绍了萨班斯法案下我国电信运营企业内部控制体 系的构建，以中国电信为例介绍了从公司层面和流程层面以c o s o 内部控制一 整体框架报告为标准构建符合萨班斯法案要求的内部控制体系的过程，并介绍了 评估该体系的方法；第五章介绍基于新的c o s o 企业风险管理整合框架报 告构建电信企业全面风险管理体系，从全面风险管理体系的构建和管理程序两个方 面进行论述，并对内部控制体系和全面风险管理体系进行比较分析，最后提出构建 过程中可能遇到的问题，给出相关解决方案和建议；第六章为本文的小结，总结了 全文的工作，指出了未来的研究方向。 1 3 2 研究方法 定性分析与定量分析相结合。定性分析主要以历史事实和普遍规律为前提， 从问题的本质属性进行演绎推理，直接揭示问题的本质，但缺乏定量的数据。因此 本文再加以定量分析，利用数量的变化揭示研究对象之间的内在规律，可以使研究 结果精确化，并具有良好的可操作性。本文第五章在在对风险进行评估时采用了定 性与定量分析相结合的方法，确定了风险在风险矩阵中所处的位置。 比较分析法和历史分析法相结合。本文在第二章介绍内部控制相关理论时采 用比较分析法和历史分析法相结合的形式，归纳了相关的理论和学说，总结了国内 外内部控制建设中的先进经验，博采众家之长，并在此基础上提出自己的见解。 实证分析法和规范分析法相结合。实证分析法研究问题本身的内在规律，并 由此预测研究对象和行为及其效果，规范分析法是以一定的价值判断为基础，进行 研究，回答该怎样的问题。本文第四章在分析电信企业内部控制构建过程时，以中 国电信股份有限公司的内部控制体系构建过程为实证进行了分析，第五章运用规范 分析法分析中国电信如何在原有的内部控制体系基础上构建全面风险管理体系。 4 重庆邮电大学硕士论文第二章内部控制相关理论 第二章内部控制相关理论 2 1 内部控制概念的演进 内部控制是在内部牵制的基础上，由企业管理人员在经营管理实践中创造，并 由审计人员理论总结而逐步完善的企业经营管理自我监督和调整体系。它是随着社 会经济的不断发展，尤其是十九世纪的产业革命带来的企业规模化和资本大众化而 产生并逐步完善的。二十世纪初期，随着资本主义的迅速发展，股份公司日益扩大， 所有权与经营权进一步分离。为防范和揭露错弊，内部控制作为一个专用名词和完 整概念，在二十世纪四十年代被人们提出、认识和接受。n 刀内部控制概念的演进大 致经历了如下历史阶段： 表2 1 内部控制概念的演进 时间阶段主要法规 主要内容 1 9 4 0 年“内部牵 以前制”阶段 对内部控制首次作了权威性定义：“内部控制 1 9 4 9 年，美国会计师协会的审计 包括组织结构的设计和企业内部采取的所有相互 程序委员会一内部控制，一种协 协调的方法和措施。这些方法和措施都用于保护企 调制度要素及其对管理当局和独立注 业的财产，检查会计信息的准确性，提高经营效率， “内部控册会计师的重要性。 1 9 4 0 一1 推动企业坚持执行既定的管理政策。n ” 制制度”阶 9 7 9 年1 9 5 8 年，美国会计师协会发布的对内部控制定义重新进行表述，将内部控制划 段 审计程序公告第2 9 号。分为会计控制和管理控制。 1 9 7 7 年，美国国会通过了反国 f c p a 除了具有反贿赂的条款外，还规定了与 外贿赂法( f 0 r e i g nc o r r u p t 会计及内部控制有关的条款。 p r a c t i c e sa c t ，简称f c p a ) 。 1 9 8 5 年，美国注册会计师协会 ( a i c p a ) 、内部审计委员会( i i a ) 、 “内部控 美国审计总署( a a a ) ，财物经理协会 1 9 8 0 l 制机构”阶 ( f e i ) 、管理会计师协会( i 姒) 、共 9 9 0 年 段 同赞助成立了全国反舞弊性财务报告 委员会( n a t i o i l a lc o 姗i s s i o n 伽 f r a u d u l e n tf i n a n c i a lr e p o r t i n g ) ， 5 重庆邮电大学硕士论文第二章内部控制相关理论 即t r e a d 髓y 委员会。 1 9 8 8 年美国注册会计师协会发布 首次以“内部控制结构”代替“内部控制”， 审计准则公告第5 5 号( s a s 5 5 ) ， 指出“企业的内部控制结构包括为提供取得企业特 从1 9 9 0 年1 月起取代1 9 7 2 年发布的 定目标的合理保证而建立的各种政策和程序”。 审计准则公告第l 号。 1 9 9 2 年，t r e a d 髓y 委员会下设 c 0 s 0委员会( c o 姗i t t e eo fc o s o 报告在世界范围内为内部控制提供了比 s p o n s o r i n g0 r g a n i z a t i o n so ft h e较一致的概念解释和评价标准，对提升内部控制研 t r e 缸昵yc 锄i s s i o n ) ，1 9 9 2 年，c o s 0究和运用水准，对增强企业风险防范，产生了积极 委员会提出报告内部控制一整体 影响。嘲 内部控 1 9 9 0 - 2 框架，1 9 9 4 年进行了增补。 制整体框 0 0 0 年 将内部控制定义为：“由个企业的董事长、 架”阶段1 9 9 6 年美国注册会计师协会发布 管理层和其他人员实现的过程，旨在为下列目标提 审计准则公告第7 8 号( s a s 7 8 ) ， 供保证：1 财务报告的可靠性：2 经营的效果和效 全面接受c o s o 报告的内容，并从1 9 9 7 率；3 符合使用的法律和法规。”该准则将内部控 年1 月起取代1 9 8 8 年发布的审计准 制划分为五种成分，它们分别是控制环境、风险控 则公告第5 5 号( s a s 5 5 ) 。伽 制、控制活动、信息与沟通、监控。 上市公司需定期向s e c 提供财务报告以外的 内部控制报告，说明公司内控制度及其实施的有效 2 0 0 2 年7 月3 0 日国会颁布萨性，而且，注册会计师需对企业的内部控制报告进 班斯奥克斯利法案( 英文简称为 行评估和报告。此外，公司的c e o 和c f o 须出具个 “s o x ”法案) 。 人书面担保，不仅要签字担保所在公司财务报告的 “整体内 真实性，还要保证公司拥有完善的内部控制系统， 部控制和 2 0 0 0 年能够及时发现并阻止公司欺诈及其他不当行为。“1 企业全面 后 加强企业“控制环境”的建设，包括企业文化 风险管理” 建设。例如，确定企业的管理基调、道德观和价值 阶段 观、制定整个企业重视风险的依据；设定明确的企 2 0 0 4 年1 0 月c o s o 颁布企业风 业总体目标和与之相配套的具体目标；识别可能影 险管理整合框架( c 0 s o e 跚) 。 响企业实现目标的内部和外部事件，区别风险和机 会。通过健全有效的制度来经营管理整个企业和防 范各种风险。翻 6 重庆邮电大学硕士论文 第二章内部控制相关理论 2 2 萨班斯奥克斯利法案 本世纪初期，美国安然、世通、施乐等一批大公司会计丑闻的接连曝光，向世 人展示了内部控制存在缺陷对企业带来的巨大危害。为了挽回投资者的信心，彻底 洗清公司造假的污陋面，2 0 0 2 年7 月美国国会通过了萨班斯一奥克斯利法案， 从立法的角度，以严厉的法则和严格的管制，来减少财务欺诈，保护投资者的利益。 2 2 1萨班斯奥克斯利法案的主要内容 萨班斯一奥克斯利法案是继美国1 9 3 3 年证券法、1 9 3 4 年证券交易 法以来又一部具有里程碑意义的法律，其效力涵盖了注册于美国证监会( s e c ) 之下 的约1 4 0 0 0 家公司，其中包括了大量的非美国公司。美国总统布什在签署法案的新 闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案 。 法案共分1 1 章6 5 款，第1 至第6 章主要涉及对会计职业及公司行为的监管， 包括：建立一个独立的“公众公司会计监管委员会，对上市公司审计进行监管； 通过负责合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性；对公司 高管人员的行为进行限定以及改善公司治理结构等，以增进公司的报告责任；加强 财务报告的披露；利益冲突的分析；通过增加拨款和雇员等来提高s e c 的执法能力。 第7 章主要涉及研究及报告。第8 至第1 1 章主要是提高对公司高管及白领犯罪的法 案刑事责任，比如，针对安达信销毁安然审计档案事件，专门制订相关法律，规定 了销毁审计档案最高可判1 0 年监禁、在联邦调查及破产事件中销毁档案最高可判 2 0 年监禁；为强化公司高管层对财务报告的责任，要求公司高管对财务报告的真实 性宣誓，并就提供不实财务报告分别设定了1 0 年或2 0 年的刑事责任。除上述两 个部分外，法案第7 章要求相关部门在法案正式生效后的指定日期内( 一般都在6 个月至9 个月) 提交若干份研究报告，包括：会计师事务所合并、信贷评级机构、 市场违规者、( 法律的) 执行、投资银行等研究报告，以供相关执行机构参考，并作 为未来立法的参照。 2 2 2 萨班斯一奥克斯利法案对内部控制的影响 萨班斯一奥克斯利法案第一次对财务报告内部控制的有效性提出了明确 的要求。该法案涉及内部控制的条款主要有第1 0 3 、3 0 2 和4 0 4 条款： 第1 0 3 款与内部控制相关的规定为，对管理层财务报告内部控制评估的审计师 报告，需要评价公司的内部控制政策和程序是否包括详细程度合理的纪录，以准确 公允地反映公司的资产交易和处置情况；内部控制是否合理保证公司对发生的交易 活动进行了必要的纪录，以满足财务报告编制符合公认会计原则的要求，是否合理 7 重庆邮电大学硕士论文 第二章内部控制相关理论 保证公司的管理层和董事会对公司的收支活动进行了合理授权u 1 。 第3 0 2 款中规定，公司首席执行官和财务总监应当对所提交的年度或季度报告 签署书面证明，证明中涉及内部控制的内容包括签字人员有责任建立和维护一套内 部控制程序，并且这套内部控制程序的设计应当确保企业内部其他管理人员都能够 知道公司及其纳入合并范围的子公司的所有重大信息，尤其在定期报告编制期间保 证在财务报告编制之前9 0 天内己经对公司内部控制的有效性进行了评价，将关于内 部控制有效性的结论反映在报告中；向外部审计师和公司董事会下的审计委员会报 告了在内部控制设计或运行中对公司财务信息的记录、加工、汇总和报告产生不利 影响的所有重大控制缺陷以及重要控制弱点。 第4 0 4 款是萨班斯法案中最难操作、最复杂、耗费成本最高的一个条款。条款 规定，在美上市企业要建立内部控制体系，其中包括控制环境、风险评估、控制活 动、信息沟通以及监督5 个部分。内部控制活动的记录不仅要细化到像产品付款时 间这样的细节，而且对重大缺陷都要予以披露。管理层需要对财务报告的内部控制 进行报告，报告的内容必须包括管理层为公司设立和维持足够的财务报告内部控制 系统的责任陈述、就财务报告内部控制系统的有效性做出的评估以及为评估公司财 务报告内部控制系统的有效性而采用的评估架构陈述。同时，该条款要求这些公司 的审计师对管理层的评估进行认证和报告。 萨班斯奥克斯利法案一经颁布，就在查处虚假会计信息和内部控制等 案例中发挥了作用。法案的中心内容之一就是强化审计委员会、限制盈余管理( 提 高信息质量) ，法案实施后，公司盈余管理出现明显下降、会计信息质量明显上升。 2 3c o s 0 报告内部控制整体框架 c o s o 委员会在1 9 9 2 年提出的报告内部控制整体框架提供了细化标准， 为萨班斯法案所要求的企业内部控制体系的构建提供了科学的框架，而且可以做评 估之标准。美国公众公司会计监督委员会( p c a o b ) 在其审计准则第2 号，第1 3 段中要求：管理层在出具的关于“与财务报告相关的内部控制u 训”( m 脚1 a lc o n 仰l 0 v e rf 讥m c i a lr c 咖g ，i c f r ) 有效性的声明中，必须指出所依据的评价内部控制有 效性的标准。因此，已经构建内部控制的在美上市公司绝大部分都是依照内部控 制整体框架进行的。 目前，除了c o s o ( 美国) 内部控制框架外，可供选择的标准有加拿大的c o c o 、 英国的t u 加b u u 、国际内部审计师协会( a ) 的s a c 等，但由于p c a o b 要求管理层 需确保选用的其他标准也包含c o s o 的主要内容，因而使得c o s o 成为事实上的唯 一标准以及目前审计师普遍采用的内部控制评价标准啪1 。 8 重庆邮电大学硕士论文 第二章内部控制相关理论 2 3 1内部控制整体框架的背景 2 0 世纪8 0 年代，一些舞弊性财务报告和企业“突发破产事件导致美国国会 一些议员对财务报告制度的适当性提出了疑问，随后成立了“反对虚假财务报告委 员会( 即1 r e a d w a y 委员会) 。1 9 9 2 年美国“反对虚假财务报告委员会 下属的由美 - 国会计学会( a a a ) 、国际内部审计人员协会( a ) 、财务经理协会( f e i ) 和管理会计 学会( m 队) 等组成的c o s o ( c 伽蛳h t c eo fs p o 璐。血g0 1 g a n i z 撕0 n so f 吐屺7 i i r e a d 娟，a y c 枷s s i o n ，简称c o s o ) 发布专题报告内部控制一一整体架构( 砌：钮1 a l c 伽舡d 1 i n t e 蹦她df 珀i n e 删，简称c o s o 报告。该报告从当时看，从整合的角度 对企业内部控制进行了规范。报告在综合考虑了多方面因素的影响后，给出了内部 控制的定义“内部控制在广义上可以定义为一个流程，它受到企业的董事会、管理 层和其他人员的影响，它为实现下述各个类型的目标提供合理的保证：经营的效率 和效果；财务报告的可靠性；法律法规的遵循性。报告将内部控制的构成要素确定 为五项：控制环境、风险评估、控制活动、信息及沟通、监督，这些要素及其构成 方式，决定着内部控制的内容与形式n 钔。c o s o 报告提出的内部控制的三项目标和 五大要素，标志着内部控制进入一个新的发展阶段。 2 3 2 内部控制整体框架的主体架构 c o s o 内。部控制的整体架构如图2 1 所示： 图2 1c o s o 报告内部控制整体架构 ( 资料来源：c o s o “h c e r n a lc o n 缸d 1 b t e g 豫：t i 订r 粗”，1 9 9 2 ) 如图2 1 所示，内部控制整体框架有三个维度：第一维是企业的目标， 即经营目标、报告目标和合规目标；第二维是内部控制框架的5 个要素，即控制环 9 重庆邮电大学硕士论文第二章内部控制相关理论 境、风险评估、控制活动、信息和沟通、监控；第三维是企业的各个层级，包括企 业总体层面、各职能部门层面、各业务单位及下属各子公司。内部控制整体框 架三个维度的关系是，内部控制框架的5 个要素都是为企业的三个目标服务的； 企业各个层级都要坚持同样的三个目标；每个层次都必须从以上5 个方面进行内部 控制。该框架适合各种类型的企业或机构的内部控制。 控制环境( c o n 昀le 玎咖锄t ) ：控制环境作为内部控制整体框架中所有构成 要素的基础，为内部控制提供了前提和结构。控制环境包括组织的任务、战略、目 标、企业文化、管理层的正直品德及价值观、董事会及审计委员会对管理层所执行 的战略管理和监控活动、管理哲学和经营风格、组织结构及权利的分配、职责以及 人力资源政策和实践以及组织的外部环境等。 风险评估s ka 1 ) p 胁a 1 ) ：风险评估“确定和分析目标实现过程中的风险， 并为决定如何对风险进行管理提供基础n 们。每个企业都面临来自内部和外部的不 同风险，这些风险都必须加以评估。评估风险的先决条件，是制定明确的目标。风 险评估就是分析和辨认实现所定目标可能发生的风险。风险有许多形式，了解并管 理风险能够帮助企业目标的实现。 控制活动( c 叫呐la 甜、，i 动：控制活动是“确保管理层的指令得以实施的政策 和程序 1 9 】 1 9 1 。控制活动存在于组织的所有层面及组织所有的功能中，如核准、 授权、验证、调节、复核经营绩效、保障资产安全、职务分工及信息系统等。 信息与沟通( h l f o 鲥o nc o n 如u i l i c a t e ) ：信息是确保人们履行职责的必要条 件，而沟通则是各级人员接收最高管理层关于控制责任的指令的方式和他们对待内 部控制的严肃程度。在企业运行和目标实现过程中，组织的各个层面都需要一系列 包括来自企业内部和企业外部的财务和运营信息。信息系统对战略行动提供支持， 并融入到经营活动中。沟通是信息系统内在的组成部分。 监督0 以o n i t 咖g ) ：内部控制系统需要被监督。监督是由实时评价内部控制执 行质量的程序组成的，这一程序包括持续监督、独立评价，或者是二者的综合。独 立评价的范围和频率取决于所评估的风险程度，监督能够确保内部控制的有效运行。 2 4 新c o s 0 报告企业风险管理整合框架 2 4 1 风险管理的相关概念 风险 国际标准组织( i s o n 位1 w gm s km a i 强喀e m e n t ) 对风险的定义为：风险是事 件发生的可能性及其后果的综合( m s ki s 舭c o n l b i l l a t i o no f 舭p r o b a b i l 时o f 趾e v 锄t a n di t sc o n s e q u e n c e s ) 。风险包括外部风险和内部风险。外部风险分为经济风险、自 l o 重庆邮电大学硕士论 然风险、政治风险 和人力资源风险等 风险管理 企业风险管理 于企业的战略制定 在事项并在其风险 风险管理的核心是对风险进行识别和处理，其根本目标是确保组织经营的稳定、 持续和发展。好的风险管理机制能够增加企业成功的概率，降低失败的可能。 全面风险管理 全面风险管理，是指公司围绕风险管理的总体目标，在经营管理的各个环节和 业务过程中执行风险管理的基本流程，制定风险管理体系的过程和