（工商管理专业论文）通信运营企业内部控制研究——以中国联通为例.pdf

东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发 表或撰写过的研究成果，也不包含为获得东南大学或其它教育机构的学位或证书而使用 过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明 并表示了谢意。 研究生签名：乡每拳等 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的 复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内 容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可 以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权东南大学研 究生院办理。 研究生签名：生毽导师签名： 通信运营企业内部控制研究 以中国联通为例 研究生：徐文箐导师：周敏倩东南大学 摘要 随着市场经济的发展和公司治理的需要，以及为满足资本市场对加强公司管理、信 息披露和保护投资者利益的需求，我国通信运营商都在逐步完善具有自身业务特点的企 业内部控制体系。本文从内部控制的理论基础入手，介绍了内部控制的演变过程和现阶 段国内外内部控制的框架体系。分析过程中，采取了实证分析法、比较分析法等方法进 行分析，并系统介绍了c o s o 框架、e r m 框架、萨班斯法案、企业内部控制基本规范 和其他监管法规，且将这些规范的异同之处做了对比。 文章重点分析了中国联通内部控制现状、问题背后的原因以及优化策略、并由此推 广到我国通信运营企业的内部控制管理。全文展示了当前国内外关于内部控制最重要的 制度、框架和监管规定，文章内容新颖，具有实用性。 关键词：通信运营企业、中国联通、内部控制、c o s o 框架、萨班斯法案 t h er e s e a r c hf o ri n t e r n a lc o n t r o lo f c o m m u n i c a t i o ne n t e r - p r i s e s t h ec a s eo fc h i n au n i c o m g r a d u a t e ：x uw e n - q i n g s u p e r v i s o r ：z h o um i n q i a n s o u t h e s a tu n i v e r s i t y a b s t r a c t f o l l o w i n g t h er e q u i r e m e n to ft h e d e v e l o p m e n to fm a r k e te c o n o m y a n dc o m p a n y m a n a g e m e n t , c h i n e s ec o m m u n i c a t i o ne n t e r p r i s e sa r ei m p r o v i n gt h e i ri n t e r n a lc o n t r o ls y s t e m i no r d e rt om e e tt h en e e d so ft h e c a p i t a lm a r k e tt oe n h a n c ec o m p a n ym a n a g e m e n t , i n f o r m a t i o na n n o u n c e m e n ta n dp r o t e c tt h eb e n e f i to fi n v e s t o r s t h i sa r t i c l ei sb a s e do nt h e t h e o r yo fi n t e r n a lc o n t r o l ；i n t r o d u c et h ed e v e l o p m e n tp r o c e s so fi n t e r n a lc o n t r o la n dc u r r e n t f r a m eo fd o m e s t i ca n di n t e r n a t i o n a li n t e r n a lc o n t r o ls y s t e m f r o mt h i sa r t i c l e ，t h ea u t h o ra n a l y s i st h ec u r r e n tc i r c u m s t a n c eo fc h i n au n i e o mi n t e r n a l c o n t r o l ，t h er e a s o nb e h i n dt h ep r o b l e m s ，a n dt h es t r a t e g i e st oi m p r o v ea n dp o p u l a r i z ei n t o o t h e rc o m m u n i c a t i o ne n t e r p r i s e s t h ew h o l ea r t i c l es h o w su st h em o s ti m p o r t a n ts y s t e ma n d f r a m ea b o u td o m e s t i ca n di n t e r n a t i o n a li n t e r n a lc o n t r 0 1 t h ec o n t e n t sa r en e wa n d p r a c t i c a l k e yw o r d s ：c o m m u n i c a t i o ne n t e r p r i s e s 、c h i n au n i c o m 、i n t e r n a lc o n t r o l 、c o s o 、 s a r b a n e s o x l e ya c t i i 目录 摘要”i a b s t r a c t 第一章绪论 i i 1 1 1 选题背景l 1 2 研究意义1 1 2 1 通信运营企业的独特性l 1 2 2 通信运营企业建设内部控制体系的必要性2 1 2 本文研究思路及主要架构3 1 2 1 研究思路3 1 2 2 本文主要架构”4 第二章内部控制理论概述及文献综述 5 2 1 管理学理论对内部控制理论发展的影响一5 2 2 我国内部控制理论研究现状7 2 3 通信运营企业内部控制的理论研究”8 第三章内部控制制度分析 1 0 2 1 内部控制制度的发展1 0 2 1 1 西方内部控制发展阶段1 0 2 1 2 内部控制制度在我国的发展”l l 2 2 西方内部控制现行框架及法规分析1 2 2 2 1 内部控制整体框架( c o s o 框架) 分析1 2 2 2 2 企业风险管理整合框架( e r m 框架) 分析1 5 2 2 3 萨班斯法案对内部控制的新要求“1 7 2 3 我国内部控制制度分析1 9 2 3 1 企业内部控制基本规范分析2 0 2 3 2 监管机构对内部控制信息披露的要求2 2 2 4 我国通信运营企业内部控制体系2 3 第四章中国联通内部控制现状及问题 2 6 4 1 中国联通基本情况简介2 6 4 2 中国联通内部控制现状及问题分析2 8 4 2 1 内部控制环境有待改善2 8 4 2 2 内部控制制度规范有待完善3 4 4 2 3 信息系统与交流方面有待改善3 5 4 2 4 流程层面内部控制有待改善3 7 第五章中国联通内部控制问题成因及优化策略 5 1 中国联通内部控制问题成因“ 5 2 中国联通内部控制优化策略4 6 5 2 1 改善内部控制环境4 6 5 2 2 加强风险管理4 9 m 5 2 3 监督内部控制实施的有效性5 5 5 2 4 建立有效的信息沟通系统5 6 第六章中国联通内控问题对通信运营企业内控建设的启示5 9 6 1 改善企业内部环境5 9 6 2 满足萨班斯法案4 0 4 条款的监管要求6 1 6 3 充分的内控信息披露6 2 结论 致谢 参考文献 作者简介 作者在学期间发表的论文 6 6 6 8 6 9 7 0 7 1 东南大学硕士学位论文第一章绪论 1 1 选题背景 第一章绪论 2 0 0 8 年金融危机爆发之后，大部分企业开始有针对性地加强内部控制管理，但内 部控制尚未真正融入公司日常管理之中。根据德勤会计师事务所2 0 0 9 年发布的中国 上市公司内部控制调查分析报告显示，2 0 0 9 年约8 2 3 5 的企业为应对全球金融危机 而组织了内部控制梳理活动，约3 5 2 9 企业的内部审计侧重点发生了变化，更加关注 风险和控制，但仅2 3 5 3 的企业将内控工作的重点从仅仅的关注书面化的制度转变为 落实，只有1 7 6 5 企业落实了内部控制考核工作n 1 。从以上的数据可以看出，金融危机 的爆发对上市公司更加关注内部控制起了很大的促进作用，但存在问题还是很多，具体 体现在两方面，一是上市公司虽然更加重视内部控制体系建设了，但却仅停留在书面制 度上，并没有真正落实在具体措施上；二是内部控制的后续监督与考核不够，没有正常 的内部控制落实保障措施。 根据近期的消息，通信运营企业陆续暴露出管理漏洞，相继有腐败案件浮出水面， 这些都是内控缺陷的外在表现。尤其近阶段，我国通信运营企业刚完成融合改组，尽管 它们也在逐步建立和完善公司治理结构体系。但还是有很多问题没有解决，例如监控机 制不健全、缺乏常规的风险分析等等。因此对通信运营企业内部控制制度体系进行研究 显得尤为紧迫。 1 2 研究意义 1 2 1 通信运营企业的独特性 通信运营企业是一类特殊的服务型企业，其经营特点的独特性也决定了其内部控制 与其他类型的企业有必然的差异，这种差异性主要体现在如下几个方面： 1 、资金流动巨大 通信运营企业是资金流动非常巨大的行业。它在市场发展过程中会不断有新的投资 项目，且多数都投资巨大，建设周期长，设备采购频繁，这些投资和采购必然需要大量 资金；而在市场推广过程中会与各种代理商、s p 合作商、代销商等业务单位有大量的 1 1 1 德勤会计师事务所，中国上市公司内部控制调查分析报告2 0 0 9 年6 月 l 东南大学硕士学位论文第一章绪论 资金结算；在市场收入方面会有大量的资金回笼；在总公司、子公司等机构之间存在着 大量的资金划拨。因涉及大量的资金运作而存在较大的资金风险。 2 、技术高度密集 通信网络是由电信终端、交换节点和传输链路有机地连接起来的，通信运营企业在 开展各项业务时，必然需要大量且复杂的通信传输和交换设备，而由于这些通信设备都 是高科技的精密仪器，维护的工作量大、难度高，发生故障及风险的机会大。 3 、产生坏账风险大 通信运营企业通常是通过业务计费系统提供客户欠费信息和详单，但随着用户数的 增多、产品套餐繁杂，尤其是由于计费系统的漏洞经常导致业务账单不能详细、及时、 准确地提供客户欠费详情，加大了产生坏账的风险。另一方面，电信企业大量的用户 话费回收依赖于合作的代理商，各种代理商规模大小不一、资质与信用也存在差异，一 些电信企业每月滞留在代理商账上的资金高达百万元，产生坏账的风险非常大。 4 、互联互通特性 电信企业的多数业务和生产要涉及集团、省、市各级运营网络的联合运行，由于电 信网络的互联互通特性，在庞大的电信网中，各种业务的开展以及不同网络之间的连通 都是相互的，任何一“点 出现问题，很可能影响一“面”，任何环节出现问题，影响 面都非常大。 正由于以上特殊性，电信企业发展到一定阶段后，资产规模、员工人数等都极其庞 大，企业机构设置、财务管理水平和人力资源配备等方面不能适应进一步发展需要，往 往容易出现各种风险及失控现象。 1 2 2 通信运营企业建设内部控制体系的必要性 l 、建立现代企业制度的需要 建立现代企业制度是通过科学管理的理论、方法和手段，提高企业配置资源的能力， 使企业能够以较低的成本、较快的速度，提供较有竞争力的产品或服务。公司建立现代 企业制度，同样要把建设内部控制体系作为管理创新的重要内容之一来推行。建设内部 控制体系要从企业的中长期战略发展出发，运用控制管理的理论和方法，提高运营效率， 实现预期效果，并最终反映财务报告的真实可靠。 2 、是美国萨班斯法案强制监管的要求 随着通信企业逐步走向海外资本市场，直接面临着美国萨班斯法案的监管，因 2 东南大学硕士学位论文第一章绪论 而需通过坚持不懈的努力，逐步建立一套与上市公司管理模式相适应、为投资人充分信 任、符合最新监管要求并具有国际水平的内部控制体系。这样，既树立企业在海外资本 市场的形象，又增强境外投资者对公司的信心。 3 、是企业实现战略目标的有效手段之一 为了实现战略目标，企业必须以世界优秀企业为标杆，学习他们先进的管理理念和 管理方法。内部控制体系作为一种卓有成效的管理方法之一，已经为许多世界级先进企 业采用并被其经营实践所证明，通信公司在向世界优秀企业目标努力迈进的过程中，通 过梳理企业内部管理流程与制度，促进解决困扰国有企业多年的难点与难题。 4 、适应内外部环境变化的要求 随着近几年国内电信体制改革的不断深入，以及通信公司走向资本市场所带来的一 系列用户需求、业务拓展、企业形象、监管要求等多方面的变化。这些变化从主观和客 观上都要求公司把强化企业管理，提高企业效益，全面改善经营和服务，培养企业核心 竞争力，满足国内外监管要求等放在企业生存和发展的战略高度来对待。引入内部控制 体系管理的理念和方法，是达到企业综合效益优化和整体管理水平提高的有效途径。 5 、拓展海外市场的基础 建设具有国际水平的企业内部控制体系，不仅可以优化企业资源配置，促进管理流 程改善，提高企业综合竞争力，而且有利于进一步转变员工思想观念，强化市场意识、 创新意识和效益意识，调动员工参与改革、创新和经营管理的积极性和主动性。通过提 高公司在国际资本市场上的良好形象，提高知名度，为海外市场拓展奠定良好基础。 总之，在经济全球化及市场竞争日趋激烈的今天，抓好企业治理及企业内部控制， 成为企业越来越关注的话题。市场竞争越激烈，基于风险管理的内部控制的重要性更加 突出，尤其对于当前发生的全球范围内的经济危机，企业只有做好内部控制，控制风险， 提高企业的核心竞争力，才能在经济全球化浪潮中立于不败之地。 1 2 本文研究思路及主要架构 1 2 1 研究思路 本文采取了实证分析法、比较分析法，从内部控制的的理论基础入手，归纳内部控 制制度的演变过程，重点分析当前内部控制的结构和风险管理，然后将研究分析集中在 中国联通内部控制中存在的问题，总结问题背后的原因，进而提出中国联通的内部控制 体系的优化方案，最后拓展到我国通信运营企业的内部控制管理。 东南大学硕士学位论文第一章绪论 文章重点分析了美国c o s o 框架、e r m 框架、萨班斯法案和我国企业内部控制基 本规范对中国联通等通信运营企业内部控制制度建设的影响和指导意义。通过分析，总 结出中国联通内部控制制度存在的问题集中在内部控制文化不佳、组织结构效率不高、 内部控制制度不完善、信息系统集成度不高、内部监督不充分、以及内部控制实施不完 善等方面。最后对这些问题进行剖析，提出改进方案，并延伸到整个通信运营企业。 1 2 2 本文主要架构 图1 - 1 本文构架图 4 东南大学硕士学位论文第二章内部控制理论概述及文献综述 第二章内部控制理论概述及文献综述 2 1 管理学理论对内部控制理论发展的影响 内部控制的学科归属问题至今尚无明确定论，目前存在的有两种研究倾向： 其一，是从会计审计学的角度研究内部控制问题。尤其在2 0 世纪7 0 年代后，从审计 学立场研究内部控制者日盛，并且也取得了比较丰硕的研究成果。但有学者认为，从会 计审计学的角度研究内部控制问题，虽然增强了内部控制理论研究的针对性和务实性， 解决了审计实务发展面临的难题，另一方面却大大限制了内部控制研究的视野。该部分 学者认还认为，把内部控制视作审计研究对象，人为地扭曲了内部控制的本质，而现代 内部控制不能仅局限于会计口径，更不能满足于审计视野，内部控制理论必须首先打破 局限于会计与审计领域的传统认识，从整个社会与组织运行的高度来重新审视内部控制 原理。 其二，认为内部控制是管理学控制职能之一。比如赫伯特a 西蒙、韦伯、法约尔、 罗伯特西蒙斯等管理学大师，都曾经从管理学职能理论研究过内部控制问题。按照这 种研究思想，内部控制似乎应该归属于管理学的范畴。 从管理学角度看，法国人h 法约尔1 9 0 8 年对控制有这样的定义：“在一个企业 里，控制就是要证实一下是否各项工作都与已定计划相符，是否与下达的指示及已定原 则相符合。控制的目的在于指出工作中缺点和错误，以便加以纠正并避免重犯。 按法 约尔的观点，管理控制分为企业与企业间控制和企业内部控制两部分。他对企业内部控 制是这么认为的：“这种控制的目的是为了有助于各部门工作顺利进行，也有利于企业 运营的顺利进行 。他还认为“控制不能滞后，也不能忽视符合实际的结论，同时不能 有越权行为，良好的控制系统要能事先预防可能导致伤亡事故的令人不快的意外事件 。 有学者认为，法约尔的这种认识与其煤矿管理经历有关n 3 。但不管怎样，法约尔的内部 控制观已经接近接近现代内部控制的观点。 按管理学理论，控制是管理的职能之一，管理的传统职能包括计划，组织、领导和 控制。计划就是确定要达到目标并事先确定实现目标所需的正确行动。计划活动包括分 析目前环境、预测未来、确定目标、决策组织行动类型、选择公司和企业战略，并确定 杨雄胜，“内部控制理论研究新视野”，会计研究2 0 0 5 年第7 期 5 东南大学硕士学位论文第二章内部控制理论概述及文献综述 实现组织目标所需的资源。计划是行动和关键目标的基础。组织是对人力、财务、物质、 信息和其他实现目标所需资源的分配与协调。组织活动包括吸引人们加入组织、明确工 作责任、部门划分、资源配置以及创造条件是人事和谐以获得最大成功。领导就是激励 人们绩效杰出，就是指导、激励员工以及员工进行个人或群体的沟通。领导与人们的日 常生活相关，有助于指导或鼓励人们实现团队或组织的目标。但全面的计划、合理的组 织、出众的领导并不能确保成功。当管理者实施计划时，他们经常发现事情的发展并不 像计划的那样，控制才是确保最终目标达到的职能n 1 。因此，控制一般被定义为引导个 体活动向实现组织目标的方向发展的过程，缺失控制或控制失误将导致对组织不可挽回 的损害。计划控制链如图2 1 所示： 图2 1 计划控制链 洛杉矶加利福尼亚大学的威廉大内认为，管理者可以对组织进行控制的方法主要 有三种：官僚控制、市场控制和派系控制。他认为：官僚控制是运用法则、法规和权威 来规范人们的行为。它通过预算、统计报告、绩效评估等对行为和行为的结果进行规范； 市场控制是基于财务和经济信息，运用价格机制对组织的行为进行规范，将组织内部经 济活动视为经济交易；而派系控制则不认为组织利益与个人利益存在天然的分歧，员工 可以共享共同的价值观、期望和目标，并在此基础上采取行动。当组织的成员具有同样 的价值观和目标并互相信任时，正式的控制就可能不那么重要了。按威廉大内的观点， 内部控制更类似于官僚控制，它主要法则、法规来规范人们的行为和活动。 虽然内部控制理论的发展与管理学控制有千丝万缕的关系，但历史上的管理学家对 n 1 托马斯d 贝特曼、斯考特a 斯奈尔著王雪莉译，管理学：新竞争格局( 第六版) 北京大学 出版社 6 东南大学硕士学位论文 第二章 内部控制理论概述及文献综述 管理控制理论的研究有相当的局限性，并没有深入地从管理控制的角度深入研究内部控 制理论，有学者就认为，这种局面的形成，与我们过去局限于会计审计角度研究内部 控制而忽视从管理控制角度综合研究内部控制直接相关。 2 2 我国内部控制理论研究现状 一、我国内部控制的研究思想 我国过去对于内部控制领域的学术研究比较侧重于对内部控制发展阶段、如何定义 内部控制，以及如何在制度和法规层面制定规范，而对于内部控制制度理论基础的研究 有所忽视。这种研究方式，实际上还是将内部控制定义在会计审计角度的研究范围，这 必然制约了内部控制往公司治理层面的深入发展。但也有学者认为，我国内部控制研究 领域的当前正在由服务于审计的内部控制研究转变为以完善公司治理结构的内部控制 研究，指出了我国内部控制研究思想正在发生的方向性转变。 从我国内部控制研究的时期上看，有学者通过对1 9 8 5 年- 2 0 0 5 年2 0 年间我国研究 内部控制的研究论文发表情况进行过统计，结果显示，我国内部控制研究的高峰期出现 在2 0 0 1 年至2 0 0 4 年之间，这一时段的研究文献有9 7 篇，约占这2 0 年间全部研究文献的 5 7 3 。而这一时期正是美国发生一系列舞弊事件和颁布c o s o 框架、e r m 框架以及 s o x 法案的时期，且是美国研究内部控制的高峰，因此认为我国内部控制研究受美国研 究理论的影响非常大。这种统计结果也说明美国发生的一系列控制舞弊事件和美国对于 内部控制的重视使得我国理论界和实务界认识到了内部控制的重要性，并随之亦加强了 对于内部控制问题的研究。 我国的内部控制研究受到国际尤其是美国的影响，在一定程度上是经济全球化和国 际学术交流的必然结果。但也有学者认为，我们的研究思想仍然是相对独立的，因为从 研究主题上看，我国的内部控制研究主要针对中国的管理实际和管理需要而展开的，并 没有盲目地跟从美国的研究思想和研究方向；相反，却是紧帖中国企业的管理实际，研究 诸如如何制订内部控制规范、如何把公司治理与内部控制有效结合起来、如何在企业实 施内部控制制度、如何加强资金、资产控制等问题。 二、我国内部控制的研究主线 研究表明，我国内部控制的研究主线分为三条，即内部控制概念、内部控制理论框 架、内部控制制度效果。持这一观点的学者认为：第一条主线是沿着内部控制概念开展 n 1 李连华、聂海涛，我国内部控制研究的思想主线及其演变：1 9 8 5 2 0 0 5 7 东南大学硕士学位论文第二章内部控制理论概述及文献综述 的，落脚点在于准确地界定内部控制的概念，从时间看，这一条研究主线主要存在于 2 0 世纪8 0 年代中期至2 0 世纪9 0 年代之间。这一时期，我正是我国内部控制发展阶段 的理论研究阶段，重点在于讨论内部控制概念；第二条研究主线是以内部控制与公司治 理之间的关系为中心、围绕着内部控制理论建设问题展开的。这一条研究主线主要存在 于2 0 世纪9 0 年代末期直至目前。在研究思想上，研究者开始从会计审计视野研究内部 控制转变到管理学、公司治理和从整个社会与组织运行高度来重新审视内部控制原理。 与第一条研究线路相比较，这一条路线的研究思想已经有较高的层次，其所解释和所要 解决的问题都是管理实践中迫切要解决的难题；第三条研究主线是针对企业的内部控制 实务和控制效果展开的，属于纯实务性研究。这条路线的研究思想是采用案例分析的研 究方法，通过对内部控制实践中的某一领域或者某一类问题的剖析，分析问题产生的原 因和后果，进而设计研究程序和研究思路。图2 2 为三条内部控制研究的路径演变过程 【l 】： 图2 - 2 我国内部控制研究的演变路线 从上图可以看出，上述三条研究主线尽管起点不同，但是其终极目标趋于一致，都 直接或间接地服务于“政策建议和实务改进”这一目的。 2 3 通信运营企业内部控制的理论研究 通信运营企业内部控制理论研究起步相对较晚，它随着电信业的发展而发展，同时 【1 1 李连华、聂海涛，我国内部控制研究的思想主线及其演变：1 9 8 5 2 0 0 5 ) 8 东南大学硕士学位论文第二章内部控制理论概述及文献综述 也是随着我国通信运营企业在海外上市，以及监管机构的要求和公司治理需要而发展 的。其研究高峰期是2 0 0 2 年6 月美国颁发的萨班斯法案对我国在美上市公司的内 控管控要求之后、正是这一法案加速了我国通信运营企业对内部控制的理论研究，因此 可以说萨班斯法案是通信运营企业启动内控理论研究的一个新切入点。 根据我国内部控制研究的三条主线理论，我国通信运营企业内部控制理论研究侧重 点在第三条研究主线上，主要是针对企业的内部控制实务和控制效果展开的，属于纯实 务性研究。这条路线的研究思想在研究方法上是通过对通信运营企业在内部控制实践中 问题进行剖析，分析问题产生的原因和后果，进而设计研究程序和研究思路。 在我国通信运营企业中，原中国网通是第一家成功过关美国萨班斯法案4 0 4 条 款的国内电信运营商。当时作为国资委确定的“企业风险管理研究项目 成员单位，国 资委企业改革局领导在现场调研时认为，中国网通在内控体系建设及理论研究中起到了 一定的示范作用：一是引进国外先进的管理思路、方法、理念，与企业实际紧密结合， 为同业推行内控管理提供了成功的模板；二是通过消化、创新，创造了成功的内控管理 经验和方法；三是把内控体系建设与公司治理建设相结合，在深化企业治理方面探索出 了一条有效途径；四是加强队伍建设与技术转移，建立了内控管理长效机制；五是向内 控管理要和谐、向内控管理要效益、向内控管理要发展，通过加强内控管理防范化解经 营风险，保证了企业持续、健康发展。 因此可以认为，我国通信运营企业的内部控制研究是随着我电信业的发展，借鉴国 外内部控制的基本理论，为满足现代先进企业治理需要的实务性研究。 9 东南大学硕士学位论文第三章内部控制制度分析 第三章内部控制制度分析 2 1 内部控制制度的发展 究竟什么是内部控制，内部控制是如何发展的，国内外不同学者有不同解释，但现 代内部控制的概念最早是由美国注册会计协会于2 0 世纪3 0 年代提出。 2 1 1 西方内部控制发展阶段 从内部控制发展阶段来说，它在西方分为如下几个阶段n 1 。 一、萌芽阶段 早在公元前3 6 0 0 年以前的美索不达米亚文化时期，就出现了内部控制的初级形式。 在当时极为简单的财务管理活动中，经手钱财的人用各种标志来记录财物的生产和使用 情况，以防止丢失和挪用。 二、内部牵制阶段 从1 5 世纪末到到2 0 世纪初，随着资本主义经济的初步发展，内部牵制发展到了一 个新的阶段，这一阶段以意大利出现的复式记账法为标志，内部牵制日趋成熟，随着 1 8 世纪产业革命以后，企业规模扩大，公司制开始出现，特别是公司内部稽核制度的 成效，使内部牵制制度为各大公司所认可并迅速推广。 三、现代内部控制阶段 2 0 世纪4 0 年代至7 0 年代，国外在内部牵制的基础上，逐渐产生了内部控制制度 的概念。这时，一方面企业需要在管理上采用更为完善和有效的控制方法以改变传统的 靠小生产方式及经验管理对企业的影响；另一方面为了适应当时社会经济的关系，保护 投资者和债权人的经济利益，西方各国纷纷通过强化内部控制制度对企业财务会计资料 以及各种经济活动进行内部管理。 正是在现代内部控制阶段的背景下，1 9 4 9 年美国注册会计师协会逐步明确了内部 控制的概念，并将其定义为：“内部控制是企业为了保证财产的安全完整，检查会计资 料的准确性和可靠性，提高企业的经营效率以及促进企业贯彻既定的经营方针，所设计 的总体规划及所采用的与总体规划相适应的一切方法和措施。”这一概念已突破了与财 务会计部门直接有关的控制的局限，使内部控制扩大到企业内部各个领域。 到了1 9 5 8 年，美国注册会计师协会下属的审计程序委员会又将内部控制的定义作 n 1 郑洪涛、张颖，企业内部控制学，东北财经大学出版社 l o 东南大学硕士学位论文 第三章内部控制制度分析 了进一步的说明，并将内部控制划分为内部会计控制和内部管理控制。前者是指与财产 安全和会计记录的准确性、可靠性有直接联系的方法和程序，后者主要是与贯彻管理方 针和提高经营效率有关的方法和程序。将内部控制一分为二使得审计人员在研究和评价 企业内部控制制度的基础上来确定实质性测试的范围和方式成为可能。 四、内部控制结构阶段 进入2 0 世纪8 0 年代，人们对内部控制的研究重点逐步从一般含义向具体内容深化。 其标志是美国a i c p a 于1 9 8 8 年5 月发布的审计准则公告5 5 号( s a s 5 5 ) ，在此公告 中，“内部控制结构 概念取代了“内部控制制度 。该公告指出：“企业内部控制结构 包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。 该公告认为，内 部控制结构包含三个要素：控制环境、会计制度、控制程序。 五、内部控制框架阶段 美国的主要会计审计职业团体美国注册会计师协会( a i c p a ) ，“财务经理人协 会”( f e i ) 、“美国会计学会”( a a a ) 等多家组织于1 9 9 2 年联合成立了c o s o 委员会，并 发布了内部控制整体框架( 下文简称c o s o 框架) ，该框架提出：“内部控制是 由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动效率和效果、 相关法律法规的遵循等三个目标而提供合理保证的过程。”，同时提出内部控制包括控 制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。 六、风险管理阶段 2 0 0 3 年，c o s o 委员会发布了企业风险管理框架( 草稿) ，2 0 0 4 年9 月，c o s o 委 员会正式发布了该报告的最终稿企业风险管理整合框架( 下文简称e r m 框架) ， 该框架在c o s o 报告的基础上又有所拓展。 2 1 2 内部控制制度在我国的发展 我国现代内部控制来源于西方，但我国自西周起的便有原始内部控制的雏形，当时 主要包括机构分设、职务分离、岗位轮换、帐薄组织和内部稽核等方面。显然，这些都 是为了保证组织的经营管理与业务活动正常进行、保护财产安全完整、稽核数据的真实 性、提高效率、贯彻既定政策方针所采取的一系列必要的措施。我国近代内部控制继承 和发展了古代的控制措施，而且加以了创新和发展，并相继出台了相应的政策法规。 新中国成立后到改革开放前的一段时期，内部控制在我国的发展较为缓慢，且由于 当时的计划经济背景，内部控制概念基本被审计概念加以取代。改革开放后，随着内部 控制在西方的发展，我国逐步重视内部控制制度的理论研究。其中1 9 9 9 年1 0 月3 1 日， 我国修订后的会计法首次以法律的形式对建立健全内部控制提出原则要求。会计 东南大学硕士学位论文第三章内部控制制度分析 法第四章会计监督第2 7 条要求：各单位应当建立、健全本单位内部会计监督制 度。而此后，我国相关部门又陆续颁发了与内部控制相关的制度条文和规定。 到了2 0 0 8 年6 月，由财政部、证监会、审计署、银监会、保监会联合发布了企 业内部控制基本规范。该基本规范的发布标志着我国内部控制制度建设取得了重大突 破，基本形成了由各单位具体实施为基础、监管部门为主导、会计事务所等中介机构咨 询服务为支撑、政府监管和社会评价相结合的内部控制实施机制。 从内部控制在我国的发展过程来看，它是随着经济的发展而发展的，且不断适应公 司治理的需求。内部控制发展到现在也已经不是单纯的制度，而是一个包括规章制度、 内外部环境、信息化、实施手段等一系列的系统工程 2 2 西方内部控制现行框架及法规分析 内部控制当前处于内部控制框架阶段和风险管理阶段，而为代表的是美国c o s o 框 架和e r m 框架的出台，因此对c o s o 框架和e r m 框架进行研究分析具有现实意义。 2 2 1 内部控制整体框架( c o s o 框架) 分析 上世纪9 0 年代以前，美国关于内控制度的研究分散于不同的组织机构。从1 9 9 1 年 开始，美国关于内部控制的研究由c o s o 承担，c o s o 全称为“c o m m i t t e eo fs p o n s o r i n g o r g a n i z a t i o n so ft r e a d - w a yc o m m i s s i o n ，成立于1 9 8 5 年，宗旨在于探讨财务报告 中的舞弊产生的原因，并改善财务报告的质量。c o s o 研究的权威性来自于它的发起者， 包括美国注册会计师协会、美国会计学会、美国管理会计师协会、美国财务经理人协会 以及美国内部审计协会。 c o s o 框架是由c o s o 委员会1 9 9 2 年在美国财务欺诈抬头和金融风险增加的环境中 出台的，根据c o s o 内部控制框架结构，它包括以下三个维度。 第一个维度( 上面维度) 是是目标体系，包括三类目标：经营( o p e r a t i o n s ) 目标， 高效率地利用资源；报告( r e p o r t i n g ) 目标，报告的可靠性；合规( c o m p l i a n c e ) 目标， 符合适用的法律和法规。 第二个维度( 正面维度) 是管理要素，具体为： 控制环境：包括各级管理层对于一般性运营，特别是控制理念的态度。它包括：道 德、胜任能力、诚实以及对组织的良好运行状态所表现出的关心。 风险评估：是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。 控制活动：是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能， 包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。 1 2 东南大学硕士学位论文 第三章内部控制制度分析 信息和交流：信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营 的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、 活动、状况的信息和外部报告。 监控：监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过 程中的活动进行监控，来评价系统运作的质量。 这五项要素既相互独立又相互联系，形成一个有机统一体。 第三个维度( 侧面维度) 是主体单元，包括管理层面和活动层面。即控制活动必须 在公司层面和流程层面进行。 c o s o 框架旨在通过贯穿企业所有业务部门的内部控制实现下述目标：经营的效率 和效果；财务报告的可靠性；法律法规的遵循性。 根据c o s o 框架三个维度所展示的内容，可以用模型图表示其含义与相互关系，图 3 - 1 为现行公认的c o s o 框架模型。 内控环境： 企业内部控制的道德意识，是 “来自高层的声音” l 、道德标准 2 、成文的制度及政策 图3 - 1c o s o 框架模型 监督： 判定内控制度设计 的充分性，执行有 效的流程 l 、信息披露委员会 2 、内部审计 控制活动： 确保风险管理活 动被及时执行的 政策和流程 1 、授权 2 、批准 3 、日常操作流程 及系统 信息与沟通： 保证信息能及时有 效地沟通的流程 移 1 、来自高级管理层 的信息； 2 、政策及流程； 3 、培训； 4 、道德标准； 孝 风险评估： 对内外部影响企业 绩效的因素的评估 1 、业务风险管理 2 、流程风险管理 3 、内部审计风险管 理 东南大学硕士学位论文 第三章内部控制制度分析 相对于以往的内部控制制度来说，c o s o 框架重点强调了如下几点： 一、相对于以前的内部控制而言，c o s o 框架更加强调那些属于企业文化、经营理 念、道德等“软性方面的因素。 二、强调过程管理，它认为内部控制更重要的是管理过程，该过程应该贯穿于整个 业务活动，并监督企业经营过程的持续进行。 三、强调信息系统与沟通的作用。c o s o 框架认为，完善的信息处理系统是实现内 部控制目标的重要保障，信息系统不仅处理企业内部产生的财务信息、经营信息、资本 运作信息、人员变动信息、技术创新信息、综合管理信息等，而且也处理来自企业外部 的政策法规信息、经济形势信息、监管要求信息、市场竞争信息、行业动态信息、客户 信用信息、社会文化组织、科技进步信息等。 四、内部控制只能做到“合理 保证。内部控制只能为管理阶层及所有者达成企业 经营目标提供合理保证。而目标最终是否达成，还受内部控制本身的限制性制约等条件。 基于c o s o 框架在内部控制管理中的重要作用，美国证监会及美国执业会计师公会 对审计标准的有关征求意见稿中曾多次提及c o s o 框架应为评估企业内部控制的标准。 c o s o 框架发布后，也有学者提出该框架过于“苛刻 ，c o s o 也认识到了现有框架 存在的问题，因此在发表了相关的框架文件后，c o s o 又提出了非大型上市公司以财务 披露为核心的内部控制指导意见，而中华一博略咨询公司有关专家则认为，对于中国企 业而言，内部控制体系的建设是一个基础阶段，不能仅仅偏重于财务披露，尤其是仅仅 关注与财务报告相关的流程。企业实施内部控制的核心在于对风险的控制，即通过对企 业生产经营过程实施有效控制，达到风险管理的目标，因此c o s o 框架对我国企业具有 实用性。它对建设我国内部控制体系有以下启示： 一、理解内部控制体系与公司治理是相辅相成的。 内部控制是管理当局为达到组织最终目标而建立的一系列政策、法规并付诸实施的 过程，它与公司的治理密切相关，良好的公司治理结构是保障内部控制有效运行的基础， 是控制环境的关键要素。相反，内部控制管理效果也会影响公司治理，内部控制的开展 应立足于提高公司治理、改进企业管理水平以更好地实现组织目标和降低风险的需要。 二、明确内部控制的目标 确定内部控制的基本目的是保障企业的目标最终实现。内部控制是一个过程，是实 现目标的手段，而不是结果本身，我国企业存在着为了管理而管理，为了控制而控制的 1 4 东南大学硕士学位论文 第三章内部控制制度分析 现象，或者认为内部控制就是制定规章制度，而c o s 0 框架提示我们，内部控制是防止 那些可能影响组织目标有效率地实现的风险因素造成的实际损失，或者将损失降低到最 低限度。 三、重视“人 在内部控制建设中发挥的重要 在控制环境要素中，特别提到了“组织人员的诚实、伦理价值和能力；管理层哲学 和经营模式；管理层分配权限和责任、组织、发展员工的方式等”，内部控制制度要通 过人的因素使之最终落实，因此在建设内部控制体系时要充分发挥管理者、员工的作用。 四、建立多渠道的监控机制 内部控制效果如何，需要通过持续的监控才能得到相应的足以评估内控是否达到控 制目标的信息。而获取信息的渠道有收集内外部信息、内外部审计报告等多种形式。 2 2 2 企业风险管理整合框架( e 砌垤框架) 分析 虽然c o s 0 框架已获得广泛的认可和应用，但理论界和实务界一直不断对其提出一 些改进建议，强调c o s 0 框架的建立应与企业风险管理相结合。2 0 0 2 年颁布的萨班斯法 案也要求上市公司全面关注风险，加强风险管理，在客观上也推动了c o s 0 框架的进一 步发展。与此同时，c o s 0 委员会也意识到c o s 0 框架自身也存一些问题，如过分注重财 务报告，而没有从企业全局与战略的高度来关注企业风险。 正是基于风险管理的需求，2 0 0 1 年，c o s 0 委托普华永道会计师事务所开发一个对 于管理当局评价和改进他们所在组织的企业风险管理的简便易行的框架，也就是企业 风险管理整合框架( e r m 框架) ，该框架2 0 0 4 年9 月正式颁布。在e r m 框架里，对企 业风险管理有这样的定义：“企业风险管理是一个过程，受企业董事会、管理层和其 他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和 效果、财务报告的可靠性以及法规的遵循提供合理保证。 e r m 框架在c o s 0 框架五个要素的基础上，构成要素增加到八个：内部环境、目标 设定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控。八个要素相互 关联，贯穿于企业的风险管理过程中。图3 2 为现行公认的e r m 框架模型，在该图中， 分别对e r m 框架的八大要素所包含的内容做了概括。 1 5 东南大学硕士学位论文第三章内部控制制度分析 图3 - 2e 雕框架模型 与c o s o 框架要素对比，e r m 框架有以下不同： 一、内涵上有进一步的发展 e r m 框架将原有的“控制环境”扩展为“内部环境”，将风险评估这一要素，发展 为目标设定、事件识别、风险评估和风险反应四要素，保持原来的控制活动、