（工商管理专业论文）完善我国商业银行内部控制制度的对策研究——以中国银行为例.pdf

ab s t r a c t abs trac t a s a s p e c i a l i n d u s t r y m a n a g i n g m o n e t a ry f u n d , t h e b a n k i n g w h i c h h a s c h a r a c t e r i s t i c s o f h i g h d e b t , h i g h r i s k , e a s y t o b e c o m e a g o a l w h i c h t h e c r i m i n a l o f f e n d e r c o m m i t s a c r i m e , h a s t h e r e q u e s t s to e s t a b l i s h a p e r f e c t i n t e rn a l c o n t r o l s y s t e m t t o a d a p t it s s e rv i c e t o g u a r d a g a i n s t r i s k p o s s i b l y . i n r e c e n t y e a r s , a s e r i e s o f s e r i o u s i n c i d e n ts i n c l u d i n g e n g l i s h b a h r a i n b a n k s o u t o f b u s i n e s s , j a p a n r e s o n a h o l d i n g s b a n k a s w e l l a s s u m ito m o c o r p o r a t io n s l a r g e a m o u n t lo s s , a n d s o o n , h a v e d i r e c t r e l a t i o n s w i t h t h e fl a w o f t h e i n t e rn a l c o n t ro l s y s t e m a n d n o t c a r r y in g o u t t h e i n t e rna l c o n t ro l s y s t e m .t h e r e f o r e , h o w t o s e t 叩a p e r f e c t ， s c i e n t i f i c , r e a s o n a b l e i n t e rn a l c o n t r o l s y s t e m w h i c h w i l l m a i n t a i n in t e g r it y o f t h e b a n k s s a s s e t , i n s u r e f u n d s r e a s o n a b l e fl o w i n g , n o r m a l i z e t h e m a n a g e m e n t b e h a v i o r , h a s b e c o m e a n i m p o r ta n t t o p ic a m o n g c o m m e r c i a l b a n k s . t h e r e a r e s i x c h a p t e r s i n t h i s p a p e r . w e d i s c u s s t h e i n t e rn a l c o n t r o l s y s t e m a n d h a v e a n a l y z e e x i s t e d q u e s t i o n s a n d t h e r e a s o n s o f i n t e r n a l c o n t r o l s y s t e m a m o n g c h i n e s e c o m m e r c i a l b a n k s . w e a l s o p r o p o s e s o lu t i o n s a b o u t i n t e rn a l c o n t r o l s y s t e m i n n o v a t i o n c o n s t r u c ti o n a m o n g c h i n e s e c o m m e r c i a l b a n k . i n t h e e n d o f th i s p a p e r , t w o e x a m p l e c a s e s o f b a n k o f c h i n a a r e a n a l y z e d , w e c a r r y o n p r e l i m i n a r y a n a l y s i s o f i t s i n t e r n a l c o n t r o l s y s t e m . t h e f i n a l p a rt i s t h e c o n c l u s i o n , s u g g e s t i n g t w o a s p e c t s w o r t h y o f f u rt h e r r e s e a r c h . k e y wo r d s : c o m m e r c i a l b a n k ; r i s k m a n a g e m e n t ; i n t e m a l c o n t r o l ; b a n k o f c h i n a 学位论文独创性声明 学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已 经发表或撰写过的研究成果， 也不 包含为获得 南昌大学 或 其他教 育 机构的学位或证书而使用过的材料 。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意。 学 位 论 文 作 者 签 名 (手 写 ):，习 梦 #签 字 日 期 : 、年、 月 。 日 学位论文版权使用授权书 本学位论文作者完全了 解南昌大李有关保留、使 用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅 和借阅。 本人授权南昌大学可以 将学位论 文的 全部或部分内 容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学 位 论 文 作 者 签 名 (手 写 ): 闪 梦 ;# 签 字日 期: 2 .v 7 年 月、 日 漩 名 (手 写 ):f -9v- x k 签 字 日 期 : 7- ) 年 月 710 日 学位论文作者毕业后去向: 工作单位: 通讯地址 : 电话: 邮编: 第 1 章 导 言 第 1 章 导言 问题的提出 长期以 来， 商业 银行的内 部监管问 题并 未引 起监管者和银行管理层的足 够 重视，商 业银行的内 部控制问 题仅局限于学术 研究和政策建议层面上， 并没有 从规则、 制度和观念上 付诸实施。 随着我国 银行业对外开放步伐的加快，尤其 是加入世贸 组织后我国银行业的运作格局和 经营理念发生了重大转变，单纯依 靠外部监管己无法适应我国商业银行尤其是跨国银行发展的要求，因此近几年 无论是监管者还是银行自 身， 都认识到内 部监管 对银行稳健经营的重要性，为 此监管机构出台 了一些规范性法律文件， 对建立 和完善我国商业银行的内 部控 制体系 提出了 框架 性要 求， 其中最为重要的 文件是2 0 0 2 年9 月中国 人民 银行公 布的 商业银行内部控制指引( 以下简称 指引 ) 。 指引对商业银行内部 控制体制的构建提出了基本要求，要求内部控制必须包括内部控制环境、风险 识别与评估 、内部控制措施 、信息交流与反馈、监督评价与纠正五项内容， 并分别对银行授信业务、资金业务、存款及柜台业务、中间业务、 会计业务、 计算机信息系统等提出了具体的内部 控制要 求。 指引 本身不具备法律约束力， 但中国人民银行将依据 指引对商业银行作出的内部控制评价结果作为商业 银行风险评估的重要内容。同时，该结果也是中国人民银行进行市场准入管理 的重要依据，因此 指引所规定的内部控制要求对商业银行还是具有事实上 的约束力的。 从 指引 的框架来看， 基本上借鉴了 巴塞尔 委员会 内 控框架和英美 等国商 业银行内 部控制规范性文件的规定， 甚至 在某些业务领域( 如授信业务) 还超出了国际上的一般内控要求。从制度完备性角度来说， 指引的原则性规 定己经形成了我国商业银行 ( 也是中国银行)内部控制的基本框架，但内控机 第 1 章 导 言 制并不独立于银行管理体制而存 在，而是受制于银行 业发展水平和银行业诚信 水平;同时与配套制度 ( 如内外审计制度、现场检查制度、资信评级制度等) 的关系也极为密切。 1 . 2 研究的目的与意义 内 部控制制度是社会经济发 展到一定阶段的 产物， 是现代企业管理的 重要 手段。一个有效的内部控制系统，如同完善的法人治理结构一样，是公司高效 运作的基础。完善企业内部控制制度，保证会计信息质量，对于完善公司治理 结 构和信息披露制度， 保护投资者的合法权益， 保证资 本市场的有效运行有着 非常重要的意义。 商业银行内 部控制是指商业银行内部自 觉主动地 通过建立各种规章制度， 以确保管理有效、资产安全，最终实现安全与效率的目 标。目前，国有商业银 行的信用风险和操作风险十分严重，并逐步向流动性风险转化。完善商业银行 内部控制，强化银行内在约束机制，消除经营管理活动中的随意性和盲目性， 不 仅是银行稳健经营的 要求， 也是防范和化解金融风险的屏 障。目 前，内 部控 制正在由银行的内部事务向银行应履行的一种法律责任转变，建立银行内部控 制标准体系已成为一项国际惯例，强化内部控制机制是我国商业银行国际化发 展、 市场化运营的内在要 求。 为此，商业银行内 控制度必须 在银行内部保 证国 家有关法律法规和央行监管制度在各部门和各级人员中得到正确且充分地贯彻 执行，以有效杜绝内部人员的违规操作、内部欺诈与犯罪行为。 商业银行是金融体系中最重要的部分，是现代经济的核心，其内部控制的 有效性直接影响着一国金融的稳定与可持续发展， 关系着国家政治与经济安全。 完善内部控制是我国银行改革发展的重要内容，商业银行只有建立健全银行内 部控制才能从根本上培育银行信用、提升竞争实力、防范金融风险 3研究的内容与方法 第 1 章 导 言 本文主要是 针对商业银行内 控制 度现状，借鉴国外商业银行的经验，结 合 中国银行近年的案例进行分析， 研究完善我国商业银行内控制度的思路和对策。 本文共分为六章.第一章 导言;第二章 现代企业内部控制制度及其构建 流程;第三章 我国商业银行内部控制制度的现状分析;第四章 完善我国商业 银行内部控制制度的对策思路; 第五章 案例分析:中国银行内部控制制度的建 设与创新。第六章是结论是展望。 本课题拟采用以下方法:( 1 )文献研究法;( 2 )比较研究法;( 3 )案例研 究法;( 4 )定性与定量分析方法;( 5 )归纳总结法。 本文重点从 商业银行防范风险， 提升管理水平的角度对商业银行内控问 题 进行探讨。 在具 体研究对象的选择上， 突破了以 往从商业银行范畴上泛泛 地研 究内控问题的框架，选择中国银行作为典型代表，运用案例分析方法从更加具 体的角度探讨商业银行内控体系的完善， 将以往研究框架从宏观拉向中观层次。 第 z 章 现代企业内部控制制度及其构建流程 第2 章 现代企业内部控制制度及其构建流程 2 . 1内部控制的产生与发展 2 . 1 . 1 内部控制的概念 内部控制 ( i n t e r n a l c o n t r o l ) 一词， 最早出现在1 9 3 6 年美国 会计师协会 ( 美国注册会计师 协会的前身) 发布的 注册 会计 师对财务报表的审查文告 中，指为保护现金和其它资产，检查簿记事务的准确性而在公司内部采取的手 段和方法。近几十 年来，随 着内 部控制 理论和实践的 不断发展，不仅在美国， 而且在其它国家和组织，其概念的内涵和外延也都发生了较大的变化。 ( 一)国际上代表性的定义 美国及世界其他国家、组织都从各 自的管理和审计实践出发，对内部控制 提出了不同的观点，当前国际上比较典型的主要有: 1 , 1 9 7 6年， 加拿大 特许 会计师协 会在 审计推 荐草案中指出 : “ 内部 控制由 组织体制的设计和企业管 理人员 制定的 所有协 调制度组成， 就其实用方 面而论，是为取得确定的管理目 标，促进企业的业务有秩序和有效率的进行， 保证资产的安全、会计记录的可靠和及时地提供准确的财务资料”。 2 , 1 9 8 6 年， 最高审计机关国际组织在第十二届国际 审计会议上发表的 总 声明 ， 对内部控制做出了权威性解释:“ 内部控制作为完整的财务和其它控制 体系，包括组织结构、方法程序和效果性，保证管理决策的贯彻，维护资产和 资源的安全，保证会计记录的准确和完整，并提供及时的、可靠的财务和管理 信息”。 3 , 1 9 8 8 年，美国注册会计师协会发布的 审计准则文告第 5 5 号指出: “ 企业内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和 程序”。 第2章 现代企业内部控制制度及其构建流程 4 , 1 9 9 2 年，美国反虚假财务报告委员会下属 “ 发起组织委员会”c o s o发 布 内部控制整体框架 ，即著名的 ws o报告。c o s o报告提出:“ 内部控 制是由企业董事会、经理当局以及其他成员为达到财务报告的可靠性、经营活 动的 效率和效果、 相关法律法规的 遵循这三个目 标而提供合理保证的 过程” ， 是 迄今最具权威的内部控制概念. ( 二)国内组织机构的定义 1 、中国注册会计师独立审计准则第九号 内部控制与审计风险认为:内 部控制是指在一个单位内部，为了保证业务活动的有效进行，保护资产的安全 和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、完整而制定和 实施的政策与程序。 2 、中国证监会发布的 证券公司内部控制指引指出:公司内部控制包括 内部控制机制和内部控制制度两个方面。内部控制机制是指公司的内部组织结 构 及其相互之间 的运行制约关 系;内 部控制制度是指公司 为防范金融风险， 保 护资 产的 安全与完整， 促进各项经营活动的有效实施而制定的 各种业务操作 程 序、管理方法与控制措施的总称. ( 三)理论界的一般看法 内 部控制是形成一系列具 有控制职能的方法、措施、 程序， 并予以 规范 化 和系统化，使之成为一个严密的、较为完整的体系。内部控制按其控制的目的 不同，可以分为会计控制和管理控制。会计控制是与保护财产物资的安全性、 会计 信息的 真实性和完整性以 及财务 活动的合法性有关的 控制; 管理控制是指 与保证经营方针、决策的贯彻执行，促进经营活动的经济性、效率性、效果性 以 及经营目 标的 实现有关的 控制。 会计控制与管理控制并不是相互排斥、互不 相容的，有些控制措施既可以用于会计控制，也可用于管理控制。 从上述各种观点中 我们不难看出， 虽然对内部控制理解的角度各有侧重， 但共同的认识在于内部控制是一个组织所设计并实施的程序 ( 包括必要的制度 和措施) ，旨在为实现该组织某种 目 标而提供合理保障。 内部控制从三个方面提 第 2 章 现代企业内部控制制度及其构建流程 供合理保障: 一是经营过程有效率/ 效益地进行， 并预防资源的损失;二是对外 提供可靠的财务报告;三是相关法律法规得以遵循。良 好的内部控制可以合理 保证合规经营、 财务报表的真实可靠和经营结果的效 率与 效益. 而合规经营、 真实的财务报告和有效益/ 效率的经营也正是企业风险 管理 所应该达到的 基本 状态。从这个角度出发，内部控制是风险管理的必要环节，内部控制的动力来 自企业对风险的认识和管理.事实上，这也正是促进企业内部控制发展的两大 动因，即企业内部强化管理的需要和外部审计开展的需要。正如美国会计师协 会在其刊物上指出 的那样: ( 1 ) 企 业经营的 范围 和规模 变得非常复杂 和广阔， 使得管理必须依靠大量的反映经济活动的分析资料和报告;( 2 )健全的内部控 制有助于防止工作人员出现差错，减少发生不合规现象的可能性;( 3 )审计部 门 在审计费 用的 严格限 制下，如不依靠客户的内部控制系统， 那么对大部分企 业进行审计是不可能的” 。由此可见， 西方国家实行内部控制的原因和所取得的 成效，即保护企业财产的安全性， 提高可见信息的准确性，强化企业经营管理， 以及配合外部审计的开展，也正是我们当前进行现代企业制度改革所迫切需要 达到的 目 标。 2 . 1 . 2 内部控制理论发展的历史进程 内部控制理论从早期内部牵制发展至今，经历了一个不断完善、不断发展 的历史进程。具体可分为以下四个阶段: ( 一)内 部牵制 ( i n t e r n a l c h e c k ) 阶段 内部牵制这个概念最早于 1 9 0 5 年由l . r . d i c k s e e 提出， 认为内部牵制由三 个要素构成，既 职责分工、 会计记录、 人员轮换。 当时的内 部牵制是基于以 下 两个基本设想: 1 、两个或以上的人或部门无意识地犯同样错误的机会是很小的; 2 、 两 个或以 上的 人或部门有意识地合 伙舞 弊的 可能性大大低于单独一 个人 或部门舞弊的可能性。 第 z 章 现代企业内部控制制度及其构建流程 实践 证明 这些设想是合理的，内 部牵制机制确实有效地减少了 错误和舞弊 行为。 g e o r g e e . b e n n e t t则发 展t“ 内部 牵制” 这一概念。 他于 1 9 3 0 年给内 部 牵制下了 一个完整的定义:内部 牵制是账户和程序组成的协作系统， 这个系统 使得员工 在从事自 身工作时， 独立地对其他员工的工作进行连续性的 检查，以 确定其舞弊的可能性。 纵 观该历史时期，内 部牵制基本是以 查错防弊为目 的，以职务 分离和账目 核对为手段，以钱、账、物等会计事项为主要控制对象的。 其概念可以定义为: “ 为提供有效的组织和经营， 防止错误和其他非法业务发生而制定的业务流程。 其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方 式进行组 织上的责任分工，每 项业务通过正常发挥其他个人或部门的 功能进行 交叉检查 或交 叉控制” 。内部牵制在现代内 部控制理论中仍占 有相当重要的地 位，是现代内部控制理论中有关组织控制、职务分离控制的雏形. ( 二)内部控制 ( i n t e r n a l c o n t r o l )阶段 美国 工 程师泰罗 ( t a y l o r ) ， 在 1 9 1 1 年发表的 科学管理原理中， 率先 提出了科学管理的基本原则，其中既有制定标准操作方法和时间定额、按标准 操作方法对工人进行训练的内容，又有对管理工作进行分工、明确划分计划职 能与执行职能以及实行例外管理的原则.这些原理的提出，既反映了建立内部 控制的 基本要求，又为内 部牵制过渡为内部控制奠定了理论基 础。 在泰罗 管理 理论的指导下，企业经营管理者从内部牵制原则出发，尝试着在组织结构、业 务 程序、 处理手续等方面采取一系列控制措施，对其所属部门的人 员及工作进 行组织、制约和调节。于是，以职务分工和账户核对为主要内容的内部牵制， 逐 渐演变成由 组织结构、 职务 分离、 业务程序、处理手续等因素 构成的 控制系 统。 1 9 3 6 年，美国会计师协会在其发布的 注册会计师对财务报表的审查文 告中，首次正式使用了 “ 内部控制”这一专门术语.1 9 4 9 年，审计程序委员会 第2 章 现代企业内部控制制 度及 其构建流程 下属的专门委员会经过两年研究，发表了一份题为 内部控制、协调系统诸要 素及其对管理部门和注册会计师的重要性的专题报告，对内部控制首次做出 了如下 权威定 义: “ 内 部控制是企业所制定的旨 在保护资产、保证会计资料可 靠性和 准确 性、 提高 经营效率、推动管理部门 所制定的各项政策得以贯彻执行 的组织计划 和相互 配套的各种方法及措施”。 此定义强调，内部控制不只限于 与会计和财务部门直接有关的控制方面，它还包括预算控制、成本控制、定期 报告经营情况、进行系统分析并将统计报告发送有关部门、制定培训计划以培 训有关人员使其能够履行职责，以及设立内部审计部门以保证管理部门所制定 的各种程序的确当性并保证其得到贯彻执行等内容。 1 9 5 3 年 1 0 月， 审计 程序委员会又 颁布了 审计程序说明第 1 9 号 ，对内 部控制作了如下划分: 将内部控制划分为 “ 会计控制”和 “ 管理控制”两大类。 即将内部控制的四个目标一分为二，将保护资产和保证会计资料可靠性、准确 性有关的控制划分为内 部会计控制， 将提高经营效率、保证管理部门所制定的 各项政策得到贯彻执行的控制归入了内部管理控制。 定义的第一次 修正 大大缩小了 注册会计师的 责任范围， 但人们认为对 “ 会 计控制”的 保护资产和 保证财务记录可靠性这两点 仍然可能被误解。 1 9 7 2 年美 国注册会计师协会对会计控制又提出并通过了一个较为严格的定义: “ 会计控 制是组织计划和所 有与 下面直接有关的 方法和程序: ( 1 ) 保护资 产， 记载业务 处理和资产处置过程中， 保护资产免遭过失错误、 故意致错或舞弊造成的损失， ( 2 ) 保证对外界 报告 的财务资料的 可靠性” 。 美国注册会计师协会通过不同的路线进行研究和讨论， 于 1 9 7 2 年对内部控 制定义进行了第三次修正，对管理控制和会计控制提出并通过了今天广为人知 的定义: “ 管理控制包括但不限于组织计划以及与管理部门授权办理经济业务 决策有关的程序及记录。 这种授权活动 是管理部门的 职责， 它直接与管理部门 执行该组织的经营目 标有关，是对经济业务进行会计控制的起点。会计控制由 组织计划及与保护资产和保证财务资料可靠性有关的程序和记录构成。会计控 第2 章 现代企业内部 控制制度及其构建流程 制旨 在保证: ( 1 ) 经济业务的执行符合管理部门的一般授权或特殊授权的要求。 ( 2 ) 经济业务的 记录必 须有利于按照一 般公认会计原则或其 他有关标准编制财 务报 表， 落实资产责任。 ( 3 ) 只有在得到管理部门 批准的 情况下，才能接触资 产。( 4 )按照适当的间隔期限，将财产的账面记录与实物资产进行对比，一经 发现差异，应采取相应的补救措施。” ( 三)内部控制结构 ( i n t e r n a l c o n t r o l s t r u c t u r e )阶段 2 0 世纪7 0 年代，西 方会计审计界 研究的重点逐步从一 般定 义向 具体内 容 深化。1 9 8 8 年4 月美国 注册会计 师协 会发布 审计准则文告第5 5 号 ， 首次以 内 部控制结构 ( i n t e r n a l c o n t r o l s t r u c t u r e )一词 取代原 有的“ 内 部控制” 一词，而且文告提出的内部控制内 容比以 前更为实在，条理 更加清楚。该文稿 的 颁布和实 施可视为内部 控制理论研究的 一个新的突破性成果。 以“ 财务报表审计对内部控制结构的考虑” 为题的 审计准则文告第 5 5 条 指出: “ 企业内部控制结构包括为合理保证企业特定目标的实现而建立的各种 政策和程序”，并且明确了内部控制结构的内容，具体如下: 1 、控制环境 所谓控制环境是指对建立、 加强 或削弱特定政策和程序效率发 生影响的 各 种因 素。 具体包括:( 1 ) 管理者的思 想和经营作风;( 2 ) 企业组 织结构; ( 3 ) 董事会及其所属委员会，特别是审计委员会发挥的职能;( 4 )确定职权和责任 的方法;( 5 ) 管理者监控和检查工作时所用的控制方法，包括经营计划、 预算、 预测、 利润计划、 责任会计和内 部审计; ( 6 )人事工作方针及其执 行;( 7 )影 响本企业业务的各种外部关系。 2 、会计制度 会计制度规定各项经济业务的鉴定、分析、归类、登记和编报的方法，明 确各 项资产和负 债的 经营管理责任。健 全的会计制度应当 包括:( 1 ) 鉴定 和登 记一 切合法的经济业务; ( 2 ) 对各项经 济业务按时进行适当分类， 作为编 制财 务报表的依据;( 3 )将各项经济业务按适当的货币价值计价，以便列入财务报 第2 章 现代企业内 部控制制度 及其构建流程 表;( 4 )确定经济业务发生的日期，以便按照会计期间进行记录;( 5 )在财务 报表中恰当的表 述经济 业务以 及对有关内容 进行揭示。 3 ,控制程序 控制程序指管理当局所制定的用以保证达到一定目的的方针和程序。 包括: ( 1 ) 经济业务和经济活动的批准权; ( 2 )明确各个人员的职责分工，防止有关 人员对正常业务图谋不轨 和隐 匿错弊。 职责分工包 括: 指派不同人员分别承担 批准业务、记录业务和保管资 产的 职责; ( 3 ) 凭证 和账单的设置 和使用， 应保 证业务和活动得到正确的记载;( 4 ) 对财产及其记录的接 触和使用要有保护措 施。如常规的账面复核，存款、借款调节表的编制，电脑编程控制，以及管理 者对明细报告的检查等。 ( 四 )内 部控制 整体框架 ( i n t e r n a l i n t e g r a t e d f r a m e w o r k ) 阶段 2 0 世纪 8 0 年代以 来， 虚假财务报表时 有发生。 为此，美国 成立了 “ 反虚 假财务报告委员会”，下设专门致力于内部控制研究的 “ 发起组织委员会”， 简称c o s o . c o s o 于1 9 9 2 年提出了 题为 “ 内部控 制 整体框架” 的研究报告， 这就是著名的 c o s o 报告。审计准则委员会于 1 9 9 5 年发布了 审计准则公告第 7 8 号 ， 全面接受了c o s o 报告的 观点， 并自1 9 9 7 年 1 月 起生效.新准则将内 部控制定义为: “ 由一个企业的董事长、管理层和其他人员实现的过程，旨在 为下列三大目标提供合理保证:1 、经营的效果和效率( 操作性目 标) ;2 ,财务 报告的可靠性( 信息 性目 标) ; 3 、 符合适用的 法律和法规( 遵从性目 标) 。 这三大 目 标既能满足不同的 需要， 又相互交叉， 是一 种 “ 全部控制论” 的概念。 在c o s o 报告中，认为内 部控制 涵盖了 企业内 部五大组成部分的丰富内容:控制 环境、 风险评估、 控制活动、 信息与 交流和监督评审。 这五大 组成部分与前述 三大目 标有 机地相结合， 构成了内部 控制的 完整体系。 c o s o 报告旨 在为各行各业提供 构建内部控制制度的理论框架。 2 . 2内部控制的特征与功能 第z 章 现代企业内部控制制度及其构建流程 英文 c o n t r o l ，不仅意指控制，还有管理、核实、检验、调节等含意，是 在单位组织规划、 管理办法、 以及各种作业程序中， 应用内部控制原则、 技术、 方法，以贯彻实施既定政策。 2 . 2 . 1 内部控制的主要特征 ( 一)全面性 内部控制是对企业组织一切业务活动的全面控制，而不是局部性控制。它 不仅要控制考核财务、会计、资产、人事等政策计划执行情况，还要进行各种 工作分析和作业研究，并及时提出改善措施。 ( 二)经常性 内部控制不是阶段性和突击性工作，它涉及各种业务的日常作业与各种管 理职能的经常性检查考核。 ( 三)潜在性 内 部控制行为与日 常业务的管理活动并不是明显的割裂开来，而是隐藏与 融会在其中。不论采取何种管理方式，执行何种业务，均有潜在的控制意识 ( 四)关联性 企业的任何内部控制，彼此之间都是相互关联的，一种控制行为成功与否 均会影响到另一种控制行为。一种控制行为的建立，均可能会导致另一种控制 的加强、减弱或取消。 2 . 2 . 2 内部控制的基本功能 ( 一)防护功能 内部控制是以计划目 标为依据的控制，内部控制对计划的鉴定与分析，使 计划更加正确可靠，更有利于制约管理过程中的各种消极因素。 ( 二)调节功能 内部控制是管理层的一种职责，内部控制是为了制约标准的执行与平衡偏 第2 章 现代企业内部 控制制度及其构建流程 差。 因此， 控制的 全部工作应包括设计标准、 衡量差异、 提出 分析、 采取措施、 协助 业务部门 使其执行结果符合标准，以 达到实现监督考核与 制约的目 的。 ( 三)反馈功能 由于内部控制一般采取闭环控制方式， 有利于各种管理信息的反馈。 因此， 对管理 目标的执行、差异存在的状况和应采取的措施等能够及时准确的报告给 有关管理者，有助于企业各项计划、政策的贯彻、落实和执行。 ( 四)参谋助手功能 内部控制作为企业的职能部门，是专职综合性经济监督机构。应能掌握企 业经济管理活动中的决策，随时了解经营工作的总体部署、工作重点和重大举 措，围绕调控中的热点从宏观着眼，微观入手，监督和协调经济管理各部门、 各环节，使其更好的履行职责。并注意发现经济运行中的新情况和新问题，进 行综合性分析，提出改进意见和建议，以促进各项制度和措施的进一步加强与 完善。 2 . 3内 部控制与风险管理 2 . 3 . 1 内部控制与风险管理的比 较 内部控制与风险管理有着密切的联系。 美国c o s o 认为，内部控制是风险管 理的一部分。因此，该委员会在 内部控制一整体框架的基础上，又于 2 0 0 4 年出台了最新报告 企业风险管理框架 。同 1 9 9 2年内部控制框架相比， 新的c o s o 报告 增加了 一个观念、 一个目 标、 两个概 念和三 个要素。 其中， 一个 “ 观念”指风险组合观，即企业风险管理要求企业管理者以风险组合的观点看 待风险， 对风险 进行 识别并采取措施 使企业所承担的风险在风险偏 好的范围内 ; 一个 “ 目 标”是指战略目 标，即企业的目 标包括战略目 标，并且该目 标覆盖了 企业编制的所有报告;两 个 “ 概念” 指针对风险 度量 提出的风险偏 好和风险容 忍度的概念。风险偏好指企业在实现其目标的过程中愿意接受的风险的数量。 第2 章 现代 企业内 部控制制度及其构建流程 风险容忍度指在企业目标实现过程中对差异的可接受程度;三个 “ 要素”指目 标制定、事项识别以 及风险反 应。 美国c o s o 对内部控制与风 险管理的定义及其组成要素如 下: 1 、 内部控制。 企业内 部 控制是由 企业董事 会、 经理层以 及 其他员工共同实 施的， 为财务报告的 准确性、 经营 活动的效率与效果、 相关 法律法规的遵循等 目 标的实现而提供合理保证的过程。它包括五个方面的 组成要 素: 控制环境、 风险评估、控制活动、信息与沟通、监督。 2 、风险管理。企业风险管理是一个过程， 是由企业的董事会、管理层 以及 其 他人员共同实施的， 应用于战略制定及企业各个层次 的活动，旨 在识别可能 影响 企业的各种潜在 事件， 并按照企业的风险偏好管理 风险， 为企 业目 标的实 现提供合理的保证。它有八个组成要素，即内部环境、目标设定、事件识别、 风险评估、风险对策、控制活动、信息与沟通以及监督。 综合美国c o s o的上述两份报告来看， 企业风险管理与内部控制有以下相似 或不同之处: 第 一， 它们都是由“ 企业董事 会、 管理层以 及其他人员共同 实施的” ， 强调 了 全员参与的观点， 指出各方 在内 部控制或风险管理中都有相 应的 角色与职责. 第二，它们都被明确是一个 “ 过程” 。不能将它们当作某种静态的东西， 如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，最好是 内 置于企业日 常管理过程中， 作为 一种常规运行的 机制来建设。 第三，它们都是为企业目标的实现提供合理的保证。风险管理的目标有四 类， 其中三类与内 部控制相重合，即报告类目 标、 经营类目 标 和遵循类目 标。 但报告类目标有所扩展，它不仅包括财务报告的准确性，还要求所有对内、对 外发 布的非财务类报告准 确可靠。另外，风险管理增加了 战略目 标，即与企 业 的 远景或使命相关的高层 次目 标。这意味着风险管理不仅仅是确保经营的效率 与效果，而且介入了企业战略 ( 包括经营 目标)制定过程。 第四，风险管理与内部控制的组成要素有五个方面是重合的，即控制或内 第z 章 现代企业内部控制制度及其构建流程 部环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们 目标的 多数重合及实 现机制相似决定的。 风险管理增加了目 标设定、 事件识别 和风险 对策三个要素。重合的要素中，内涵也有所扩展。例如，内部控制环境包括诚 实正直品格 及道德价值观、员 工素质与能力、董事会与审计委员 会、 管理哲学 与经营风格、 组织结构、 权力与责任的分配、 人力资源政策和实践等七个方面。 风险管理的内部环境除包括上述七个方面外，还包括风险管理哲学、风险偏好 ( r i s k a p p e t i t e ) 和风险文化三 个新内 容。 在风险评 估要素中， 风险管理要求 考虑内在风险与 剩余风险，以期 望值、 最坏情形值或概率分布 度量风险，考虑 时间偏好以 及风险 之间的 关联作用。 在信息与沟通方面， 风险管理强调了过去、 现在以及关于未来的相关数据的获取与分析处理，规定了信息的深度与及时性 等。 第五，风险管理提出了风险组合与整体风险管理 ( i n t e g r a t e d r i s k m a n a g e m e n t )的新观念。 企业风险管理框架 借用现代金融理论中的资产组合 理论，提出了风险组合与整体管理的观念，要求从企业层面上总体把握分散于 企业各层次及各部门的风险 暴露，以 统筹考虑风险对策，防止 分部门 分散考虑 与应对风险，如将风险割裂在技术、财务、信息科技、环境、安全、质量、审 计等部门，并考虑到风险事件之间的交互影响，防止两种倾向:一是部门的风 险处于风险偏好可承受能力之内，但总体效果可能超出企业的承受限度，因为 个别风险的影响并不总是相加的，有可能是相乘的;二是个别部门的风险暴露 超过 其限 度， 但总体风险水平还 没超出 企业的 承受范围，因为事 件的影响有时 会有相互抵消的效果.此时，还有进一步承受风险，争取更高回报与成长的空 间。 按照风险组合与整体管理的 观点， 需要统一考虑风险事件之间以 及风险 对 策之间的 交互影响，统筹制定风险 管理方案。 在明 确两者上述异同的基础 上，内 部控制与风险管理的内在联系 可作如 下 分析: 企业制度的发展演进与风险相关。有限责任制度的确立是企业组织从业主 第 2 章 现代企业内部控制制度及其构建流程 制或合 伙制走向 现代股份公 司制的关键步骤， 它使股东的 财产与企业的 财产及 企业的经济责任相互独立， 股东的 变换不再影响 企业的信用能力， 为股权交易 扩大了范围 并增加了 流动性， 从而降低了 投资 风险并促进了企业 融资， 造就了 今天巨型的股份公司。 企业的所有权与经营权 在现代企业中高度分 离， 使股权交易与 股东 变换不 影响企业经营的连续性，资本与经营能力实现更优的组合，由此也带来了新的 风险， 即职业经营者有可能不履 行其受托责 任而 损害 股东的利益，即 “ 内部人 控制问 题” 。 另外， 有限 责任也有可能诱使企业从事风险 过高的项目 而损害债权 人利益。因为 在有限 责任下，潜在的收益主要由 企 业 ( 股东) 获得，而失败即 破产的 风险则主 要由 债权人承担。上述风险不是市 场化的， 既可以由市场竞争 自发约束或市场交易提供避险，如产品质量或自然灾害等，而是机制问题，属 于组织或交易中的代理问题，需要规则与制度进行规范。这些制度包括企业治 理中的责任制度，如财务报告、内部控制及审计等。 内部 控制或风险管 理的 根本作用都是维护投资者利益、 保全企业资产， 并 创造新的价值。从理论上说，企业的内部控制是企业制度的组成部分，是在企 业经营 权与所有权分离的条 件下对投资者利益的 保护机制。 其目 的就是保证会 计信息的准确可靠，防止经营层操纵报表与欺诈，保护公司的财产安全，遵守 法律以维护公司的名誉以 及 避免招致经济损失等。 企业风险管 理则是在新的 技 术与市场条件下对内部控制的自 然扩展。 美国 c o s o 在 企业风险管理框架中 谈到风险管理的意义时是这 样论述的: “ 企业风险 管理应用于战 略制定与组织的 各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险，发 挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致，将风险 与 增长及回报统筹考虑， 促进 应对风险的 决策， 减小 经营风险与 损失，识别与 管理企业交叉风险， 为多 种风险 提供整体的 对策， 捕捉机遇以 及使资 本的利用 合理化。 ”美国c o s o 在解释广义的控制与风险时论述道: “ 领导包括在面对 不确定性时做出选择。 风险 是指个人或组织在做出选择后遭受不利后果的可 第 z 章 现代企业内部控制制度及其构建流程 能性。 风险正是机会的对应物。 ” 显然， 这些论述己经认识到企业的存在是为股 东或利害 相关者 ( 针对非盈 利性组织等)创造价值的，而价值创 造不 仅是 被动 的资 产安 全等， 还应包括机会的利用。另 外，对股东价值的威 胁也 不仅来自 经 营者会计舞弊等内部因素，还包括来自市场的风险等。 技术及市场条件的新进展，推动了内部控制走向风险管理。在先进的信息 技 术条件下，会计记录实现了 电子控制、实时 更新， 使传统的 查错与防弊的会 计控制显得过时。然而，风险往往是由交易或组织创新造成的，这些创新来源 于 新兴的 市场实践， 如安然公司将能 源交易 大量发 展成类似金融 衍生品 的交易。 另一方面，环 境保护及消费者权 益保护的加强， 都强 化了 企业的 社会责任，若 一有不慎，企业就 可能遭受来自 商品市 场或资 本市场的惩罚， 表现为企业的品 牌价值或资本市 场上的市值贬损。因 此， 企业需要一种日 常运行的功能与结构 来防范风险，包括遵守法律与法规，确保投资者对财务信息的信任以及保证经 营效率等。因 此， 从维护与促进 价值创造这一根本功能来看，风险管理与企业 内 部控制的目 标是一致的， 只是 在新的 技术与市场条件下，为了 更有效地 保护 投资者利益， 需要在内 部控制的 基础上发展更主动、更全面的风险 管理. 2 . 3 . 2 从内部控制走向风险管理 无论是 风险管理包含内 部控制，还是内部 控制包含风险管 理， 最重要的是 明确风险管理与内部控制之间有重合与联系的地方。谁的范围更大，可能要随 着时间、 技术、市场条件、法律以 及监管实践的发展而不同。 例如， 在内 部控 制发展的 早期，市 场上风险管理的工具与 技术条 件都 不充 分 ( 如计算机系统、 统计 学理论、 数量 模型、 对冲工具与保险等) ， 这时内 部控制 包含或替代风险管 理 功能是很自 然的。即使在同一 个时代， 不同的 行业各自 的 侧重点也可能不相 同。例如，在监管严格的金融业或涉及人民生命健康的制药与医疗行业，风险 管理的迫切性更强， 企业以风险 管理主 导内 部控制可 能更方便， 而在另一些企 业，为了符合信息披露中内部控制报告的要求，企业以内部控制系统为主导、 第2 章 现代企业内部控制制度及其构建流程 兼顾风险管理可能更适合。 正因为内部控制与风险管理有内在的联系，各国分别以不同的方式逐步将 内部控制与风险管理联系起来. 2 0 0 4 年1 月8日， 我国有关方面举办了“ 商业 银行风险管理与内部控制论坛” ， 这表明我国银行业也开始将内部控制与风险管 理联系起来。 巴塞尔委员会发布的 银行业组织内部控制系统框架 中指出: “ 董事会负 责批准并定期检查银行整体战略及重要制度，了 解银行的主要风险，为这些风 险设定可接受的水平，确保管理层采取必要的步骤去识别、计量、监督以 及控 制这些风险” ， 这里显然是把风险管理的内容纳入到内部控制框架中。 英国 金融监管机构金融服务管理局f s a 在 综合准则( t h e c o m b i n e d c o d e )中关 于内部控制的规定，是第一次在官方文件里明确将风险管理包含在内部控制之 中。该准则指出，董事会应该保持健全的内 部控制系统，以保护股东的投资及 企业的资产。董事会至少每年一次，检查企业内 部控制系统的有效性，并向股 东报告。报告应该包括所有的控制，如财务的、经营的、 遵从的控制以及风险 管理。这一规则是伦敦交易所上市企业必须要遵守的。 加拿大注册会计师协会控制标准委员会 ( c o c o )认为 “ 控制应该包括风险 的识别与减轻” ， 其中的风险不仅包括与实现特定目 标相关的风险， 而且还包括 一般性的，如不能识别和利用机会，不能使企业在面临未预料到事件以及不确 定信息时保持灵活性或弹性。1 9 9 2 年加拿大c o s o 在 内部控制一整体框架 中将风险评估作为内部控制的五个组成要素之一，在最新出台的 企业风险管 理框架中又进一步将内部控制扩展为风险管理，明确提出风险管理包含内部 控制。 在实际的经营过程中，风险管理与内部控制是密不可分的.在规则制定或 立法过程中，需要考虑的是范围与管制的强度