（工商管理专业论文）国有事业单位内部控制体系建设研究——以培训中心为例.pdf

摘要 自安然、世通等公司会计造假丑闻之后，为整顿上市公司秩序、维护投资者 信心，美国国会出台了2 0 0 2 年萨班斯一奥克斯莱法案( s a r b a n e s o x l e ya c to f 2 0 0 2 ，简称“萨班斯法案”) 。该法案的颁布，使上市公司面临前所未有的挑战。 在这样的背景下，研究企业内部控制的意义非凡。中小企业以及事业单位也能从 加强内部控制中不断提升自己的科学管理水平。 文章介绍了事业单位加强内部控制的必要性和重要意义；介绍了内部控制理 论的发展，在此基础上，从c o s o 报告内部控制框架体系的权威性和其对我国事业 单位内部控制体系建设的实际指导方面来研究事业单位内部控制。 我国事业单位为实现政府职能、公益服务的使命，提升事业单位价值的目标， 我国事业单位大都依据财政部颁发的内部会计控制规范、参照中央企业m 险 管理指引和c o s o 理论框架，初步建立起自身的内部控制体系，在建立内部控制 体系方面取得初步成效。针对事业单位的特点，本文提出“积极选刖劳务外包方式” 的建议。 如何更好建立自身内部控制框架? 本文主要以培训中心为例，参考成熟的 c o s o 内部控制整体框架理论和财政部内部会计控制规范，在公司层面进行内 部控制框架体系模型设计。除了应用c o s o 内部控制框架的控制环境、目标制定， 事件识别、风险评估、风险反应、控制活动、信息沟通、监督等八要素进行分析 和设计外，本文着重提出了完善内部控制环境建设、加强财务内部控制管理、健 全内部审计机制和抓好几项关键控制问题。本文认为，财务内部控制是核心，本 文着重提出，事业单位应该建立总预算的管理和以成本控制为起点的预算管理这 两种模式形式，以更加切合我国事业单位的实际。 本文认为，我国事业单位企业与先进企业在内部控制体系建设方面仍存在较 大差距，但事业单位也存在着做好内部控制的诸多有利条件，应当紧随内部控制 理论的发展，结合实际建立健全自身内部控制机制，切实提高事业单位竞争力和 价值。 关键词：事业单位，内部控制，培训中心 a b s t r a c t a t i c rt h ea c c o u n t i n gs c a n d a l so fe n r o na n dw o r l dc o m p a n y ，t h es a r b a n e s o x l e y a c to f2 0 0 2w a sp a s s e db ya m e r i c a nc o n g r e s si no r d e rt or e o r d e rt h el i s t e dc o m p a n y a n dp r o t e c t i n gt h ei n v e s t o r s c o n f i d e n c e f o rt h ep u b l i c a t i o no ft h ea c t , t h el i s t e d c o m p a n yw e r ef a c e dt h ec h a l l e n g en e v e rh a d t h es p e c i a lt e r m4 0 4o ft h ea c t ，d e m a n d s t h a tt h ec o r p o r a t i o ns h o u l dp r e p a r et h er e p o r to ft h ei n t e m a lc o n t r 0 1 o nt h eb a c k g r o u n d ， t h er e s e a r c hi sv e r yi m p o r t a n t t h ea r t i c l ei n t r o d u c e dd e v e l o p m e n to ft h e o r yo fi n t e r n a lc o n t r o l ，o nt h i sb a s e ，f r o m t h ea n g l eo f c o s or e p o r t - i n t e m a lc o n t r o li m e g r a t e df r a m e w o r ka n dt h e i ra p p l i c a t i o ni n t h ei no u rc o u n t r y f o rt h eg o a lo fp e r f o r m i n gt h es t a t ef u n c t i o na n ds e r v i n gt h ep u b l i c ， m o s to ft h ei n s t i t u t i o ni no u rc o u n t r yd e p e n d e do nt h ea c c o u n t i n gr u l e sc o n s t i t u t e db y f i n a n c i a ld e p a r t m e n ta n do t h e rs e c t i o n s h o wt oa d a p tt h e i ri n t e r n a lc o n t r o lf r a m e w o r k w h e nf a c i n gt h ev e r ys t r i c tl a wo fs t o c km a r k e ti nu s a ? t h ep a p e rt a k e st r a i n i n g i n s t i t u t ea sa ne x a m p l e ，d e s i g n e dam o d e lo fi n t e m a lc o n t r o lf r a m e w o r ko nt h el e v e lo f c o r p o r a t i o nb ya p p l y i n gt h ed e v e l o p e dc o s oi n t e m a lc o n t r o lf r a m e w o r ki no r d e rt o m e e tt h e r e q u i r e m e n t s o ft h es a r b a n e s o x l e ya c t b e s i d e st h e a p p l i c a t i o no f c o m p o n e n t so fi n t e m a lc o n t r o l c o n t r o le n v i r o n m e n t ，r i s ka s s e s s m e n t ，c o n t r o la c t i v i t i e s ， i n f o r m a t i o na n dc o m m u n i c a t i o n ，m o n i t o r i n g ，t h ep a p e ra l s op r o p o s e st oe s t a b l i s ha s y s t e mo fa n t e r a k ea n dc o m p l e t ei n t e r n a la u d i ts y s t e ma n dc o r p o r a t i o ng o v e m a n c e ，f o r s a t i s f y i n gt h er e a l i t yo fi n s t i t u t i o ne s p e c i a l l yt r a i n i n gi n s t i t u t ei no u rc o u n t r y it h i n kt h a t t h e r ei sal o n gr a nb e t w e e ni n s t i t u t i o ni no u rc o u n t r ya n dm u l t i n a t i o n a lc o m p a n i e s ，w e s h o u l dt a k ef u l la d v a n t a g eo ft h eg o o df a c t si nt h ei n s t i t u t i o n ，f o l l o wt h ed e v e l o p m e n to f t h e o r yo fi n t e m a lc o n t r o l ，c o m p l e t et h es y s t e mo fi n t e r n a lc o n t r o lt oe n h a n c et h e c o m p e t i t i o np o w e ra n d v a l u ei n s t i t u t i o n , k e y w o r d s ：i n s t i t u t i o n ，c o n t r o ls y s t e m ，t r a i n i n gc e n t e r h 学位论文原刨性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内容外。 本论文不畲任何其他个人或集体已经发表或撰写过的作品成果。对 _ 本文所涉及的研究工作做出重要贡献的个人和集体，均已在文中以 明确方式标明。本人完全意识到本声明的法律责任由本人承担。 特此声明。 学位论文作者签名： o7 年i fafj 日 ， 学位论文版权使用授权书 本人完全了解对外经济贸易大学关于收集、保存、使用学位论 文的规定，同意如下各项内容：按照学校要求提交学位论文的印刷 本和电子版本；学校有权保存学位论文的印刷本和电子版，并采用 影印、缩印、扫描、数字化或其它手段保存论文；学校有权提供目 录检索以及提供本学位论文全文或部分的阅览服务；学校有权按照 有关规定向国家有关部门或者机构送交论文；在以不以赢利为目的 的前提下，学校可以适当复制论文的部分或全部内容用于学术活 动。保密的学位论文在解密后遵守此规定。 学位论文作者签名： 导师签名： 季捌纱 日 日 哆夕 月 月 ， 掣年 哆 a 第1 章事业单位内部控制体系建设研究背景及研究意义 1 1 内部控制体系建设的研究背景 2 0 0 2 年7 月2 5f j 美国国会通过了由奥克斯莱和参议院银行委员会主席萨班斯 联合提出的会计改革法案一( 2 0 0 2 年萨班斯一奥克斯莱法案( s a r b a n e s o x i e ya c t o f2 0 0 2 ) ( 又称( 2 0 0 2 年公众公司会计改革和投资者保护法p u b l i cc o m p a n y a c c o u n t i n ga n di n v e s t o rp r o t e c t i o na c to f2 0 0 2 ，本文以下简称“萨班斯法 案”) 。根据安然( e n r o n ) 公司会计造假事件等反映出来的严重问题以及经济发 展水平和社会环境的巨大变化，萨班斯法案不仅对证券法( 1 9 3 3 年) 和证 券交易法( 1 9 3 4 年) 这两部证券兼管的重要法律做了重要修改和补充，而且还对 会计行业的监督、审计独立性、财务信息披露、公司责任、证券分析师行为、证券 交易委员会的权利和责任等诸方面做了新的规定。 根据萨班斯法案建立的公众公司会计监督委员会( p c a o b ) 2 0 0 4 年3 月9 闩发布了其第二号审计标准与财务报表审计相关的针对财务报告的内部控制 的审计，该标准是依据c o s 0 报告框架( 1 9 9 2 年，出美国会计学会、注册会计师协 会、美国内部审计师协会、财务经理人员协会和管理会计师学会等组织成立的专门 研究内部控制问题的c o s o 委员会( t h ec o m m i t r e eo fs p o n s o r i n go r g a n i z a t i o no f t h et r e a d w a yc o m m i s s i o n ) 发布报告内部控制一整体框架( 简称c o s o 于技告) ) 制定的，并得到了美国证券交易委员会( s e c ) 的认可，从应用层面反映出c o s o 报告 框架的权威性，表明c o s o 框架已经正式成为美国上市公司内部控制的标准。 1 2 内部控制体系建设的研究意义 中国企业平均寿命只有6 5 7 岁，民营企业只有2 9 岁。而列居世界5 0 0 强 或与之相当的跨国公司平均寿命大约在4 0 岁到5 0 岁之州。早在3 0 0 0 年以前，中 国人对企业经营的通常称法是“生意”，第一字是生存，第二字是意义，“生意”便 是生存之意义。由此不难发现古人对长寿之道向来是非常重视的。再看看今天我 们企业普遍短寿的现状，的确是需要我们认真思考的，这中间有着什么样的规律可 供借鉴? 中国企业到底怎么了? 市场成功者的姿态并不是完全相同的，溺毙者的样子也是各有各的不幸。透过 我国企业速生速亡的现象考察其内在的因素，我认为中国企业并不缺乏技术和人力 的支持，而是一直没有演进生存品质。“练拳不练功，十年一场空”的说法符合企 业的实际。中国企业的短命，缘于管理理念与管理技术过于狭隘地建立在经济学的 林钟高、魏立江会计再造，经济管理出版社2 0 0 4 年4 月，第一版，第1 页。 l 语苦与政治学的思维之上，它们仅问利润、酷爱运动，利涧数字即使再清楚，也只 能晚明过去，并不能明示将会导致企业健康恶化的潜在因素；运动让企业成了制造 新闻的机器和充斥官僚主义的政治集团。企业的生存品质来源于对环境适应过程中 的持续演进，组织生存品质就是内在的管理机制一一激励机制、考评体系、规章制 度，组织设计等等，而其核心就是内部控制系统，该系统有三个维度一人、财、物。 内部控制的动力源于风险防范，并构成风险管理的必要环节，企业管理的重要 内容之一就是建立风险评估系统，认识和分析企业整体目标及各活动层目标，以及 影响这些目标实现的内在和外在因素发生的概率及可能后果，并采取相应的控制措 施。因此，风险防范既是企业管理的必要部分，也是内部控制体系建立的内在动力。 内部控制体系的建立是与风险管理要求相并存，正因为存在各种各样的风险，企业 才有必要建立良好的内部控制管理体系，配合风险管理，实现企业目标。 1 2 1 实现内部控制体系建设是实现企业整体协调发展目标的需要2 在社会主义市场经济条件下，企业以利益最大化或股票价值最大化为己任，一 些志存高远的企业实旋包括市场和国际化等战略，率先建成一流的社会主义现代化 和具有较强国际竞争力的大型企业集团。随着企业的发展，尤其是实施国际化经营 ，1 硌客观上需要企业理顺内部管理流程，针对关键的风险控制点，采取积极稳妥 可行的措施，建立起一套科学、有效的内部控制体系，增强抵御内外部风险的能力， 为实现企业的整体协调发展目标创造适合的环境和氛围。 1 。2 2 实施内部控制体系建设是企业提升科学管理水平的需要 内部控制是企业科学管理的重要内容，是实现企业目标的重要依托。建立并认 真执行一套设计科学、简洁适用、运行有效的内部控制体系，将有助于企业及时发 现和掌握经营管理中的突出风险，有助于企业强化内部管理控制措施，有助于用规 范和制度约束管理行为。有助于企业整合优化内部资源配置，提高资源的使用效率 和效果。通过对内部控制体系的长期有效执行和不断完善，将使企业的各项经营活 动处于受控状态，全面提升企业的科学管理水平。 1 2 3 实现内部控制体系建设是企业实现依法治企的需要 市场经济条件下，企业的各项活动必须遵循各项法律法规和规章制度，服从政 2 中国“油灭然气集团公- d 内部控制体系建设委员会办公室2 0 0 6 年l o 月 中国石油天然气集团公司内部控 制体系业砹宣传读奉之之桀础知识p 2 6 2 府部门的监管，以最大限度地实现自我保护，合理控制法律风险和政治风险，对f 标远大的企业来 兑，在参与国内外的竞争中，会面临诸多不同的法律环境和政治坏 境。这都需要我们有一套科学的管理制度，作为保障企业实现依法经营的管理控制 措旌，降低实现企业经营目标的不确定性。 1 3 我国事业单位的发展现状及内部控制体系建设必要性 1 3 1 我国事业单位的发展现状 企业单位一般是自负盈亏的生产性单位。所谓“自负盈亏”意即：自己承担亏 损与盈利的后果，有一定的自主权。企业单位分为国企和私企。国企就是属国家所 有的企业单位。私企就是属个人所有的企业单位。 事业单位是相对于企业单位而言的。首先事业单位包括一些有公务员工作的单 位，它们不是以盈利为目的的，是一些国家机构的分支比如说什么工商局了，税务 局了，银行，邮局等，都是事业单位。还有一类事业单位是国家设置的带有一定的 公益性质的机构，但不属于政府机构，与公务员是不同的。一般情况下国家会对这 些事业单位予以财政补助。分为全额拨款事业单位，如学校等，差额拨款事业单位， 如医院等，还有一种是自主事业单位，是国家不拨款的事业单位。 事业单位与企业单位的划分管理是我国特有的模式。 企业单位是以盈利为目的独立核算的法人或非法人单位。它的特点是自收自支， 通过成本核算，进行盈亏配比，通过自身的盈利解决自身的人员供养，社会服务 创造财富价值。企业单位的登记在工商行政管理部门进行。企业单位与职工签订劳 动合同。发生劳动争议后，企业单位进行劳动仲裁。 事业单位是以政府职能、公益服务为主要宗旨的一些公益性单位、非公益性职 能部门等。它参与社会事务管理，履行管理和服务职能，宗旨是为社会服务，主要 从事教育、科技、文化、卫生等活动。其上级部门多为政府行政主管部门或者政府 职能部门，其行为依据有关法律，所做出的决定多具有强制力，其人员工资柬源多 为财政拨款。事业单位的登记在编制部门进行。事业单位与职工签订聘用合同。发 生劳动争议后，事业单位进行人事仲裁。 事业单位分为教育事业单位、高等教育事业单位、中等教育事业单位等t 0 3 类， 不同类别事业单位财务管理核算的重点和要求不同，其内部会计控制重点、目标、 内容和方法也有所差异。事业单位资金来源主体是财政预算资金，据此，可以把事 业单位资金来源分成三类：一是财政预算安排，二是单位的对外创收。三是单位股 权投资形成的股权收益。其中，后两类也必须纳入单位部门预算，即全部定性为财 政资金。目f ； ，如何加强对这两类资会的收支管理与内部控制已成必然。 1 3 ，2 事业单位内部控制体系建设必要性 萼 、l k 堆位虽然规模较小，业务单一，财务核算相对简堆，但一套设计科学、执 行有效的内部拧制体系对提升单位的管理水平同样具有重要意义。大型复杂机构内 细密的分工有必要实施健全的内部控制，因此没有任何一名职员能自始至终地单独 完成一笔业务。不过，在只有一、二位办公职员的d , j , 企业中，很少甚至根本无法 划分工作和分层负责。结果，除非老板确认内部控制的重要性并且参预主要的活动， 内部控制不是付诸流水，就是百病丛生。 显然，小企业的内部控制不可能很完善，但采用了即便是不完善的内部控制的 企业也比不采用内部控制的企业要运转得好得多。企业的内部控制体系建设理论对 事业单位也同样存在着借鉴意义、 第2 章内部控制的概念及其演变 2 1 内部控制的概念 管理，可看成是通过别人柬完成事情的活动，因此，在管理过程中。只有计划、 组织与领导显然是不够的，人是会犯错误的，即使所有的人都具有良好的意图和动 机，世不免会或迟或早犯这样或那样的错误，而对于那些习惯于搞机会主义的人而 言，更难免其弄虚作假之行为，所以，做为一名管理者，如果你想保证其取得的成 果，对正在进行的或己完成的工作进行评估和调整也就是所谓的控制就成为一项重 要的工作。在一个企业中，控制在于检验每一件事情是否同所撰写的计划、发出的 指示和确定的原则相符合，旨在发现、纠正和防止重犯缺点和错误，对物、人、行 动都可以进行控制。 控制也可以这样理解，就是按照计划标准衡量计划的完成情况并纠正计划执行 中的偏差以确保计划目标的实现，在某些情况下，控制可能导致确立新的目标、提 出新计划、改变组织机构、改变人员配备、或在指挥和领导方法上的所作的重大的 改变等。 综上，可以把企业内部控制定义概括为，企业的内部控制受企业董事会、管理 层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等 目标的实现而提供合理保证的过程。 现代企业有两大控制机制：一是外部控制，它以资本市场、法律法规为主体； 二是以理事会、总经理为主体的内部控制。内部控制管理就是对内部控制活动的筹 划、指挥、协调和监督的过程，其职能不仅包括核算审核分析各种佑息资料及报告 的程序与步骤，包含企业最高管理当局用来授权与指挥进行购货、销售、生产等经 4 营活动的各种方式、方法，还包恬对企业经济话动进行综合计划和组织制定的各项 规章制度。美国2 0 0 2 年年发布的萨班颊一奥克斯莱法案指出，内部控制管腥 应覆盖企业全部的经营骨理过程行别是在企业组织机构规划与制度设计方面。 内部控制( i n t e r n a lc o n t r 0 1 ) 是企业管理的重要组成部分，产生至今已有几 千年的历史，但直到2 0 世纪4 0 年代才受到人们的普遍重视，内部控制一词最早在 1 9 3 6 年美国会计协会( a a a ) 发布的独立职业会计师对财务报表的审查公告中 提出。内部控制理论的发展大致经过内部牵制、内部控制制度、内部控制结构与内 部控制整体框架等几个不同的阶段。 从现有的文献看，中外学者及学术协会从不同角度出发，对内部控制的概念进 行了不同的阐述。主要有程序( 方法) 论、制度论、组织论、系统论、过程论等不 同理论。 2 0 世纪9 0 年代，由美国会计学会、美国注册会计师协会、财务经理协会等多 个职业团体参与发起的组织委员会( c o s o ) 对内部控制的定义为：“内部控制是j 旨 由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠 性、相关法令的遵循性等目标的达成而提供合理保证的过程。” 2 2 两种影响内部控制理论和实践的基本理论 经营管理者在企业中要解决的基本问题似乎可归结为两个方面，一是激励问题， 二是约束问题。而此两方面的问题均与内部控制有着密不可分的关系。所以，要管 理好一个企业，要在激烈的市场竞争中立于不败之地，完善内部控制就成为一个必 要条件。 迄今为止，两种基本理论始终影响着内部控制理论和实践的发展，一是现代主 流经济学的基本理论，二是现代管理理论。当然，本世纪下半叶以来，系统论、控 制论和信息论对企业管理和内部控制闯题也有着不可忽视的影响。以现代主流经济 学理论为基础的内部控制理论强调数量方法与分析技术的运用一这显然是以财和 物的运动规律为基础的，通过对各神物质要素( 包括财和物) 的组合，以实现利洞 最大化或成本最小化，即在很大程度上将内部控制归结为数学中纯粹的优化日j 题。 幸运的是，现代经济理论的发展已经突破了经典理论的很大程度忽视人的行为的倾 向，如以研究经济中各利益主体日j 相互作用的博弈论和研究在信息不对称之条件f 经济利益主体的行为的委托一代理理论( 构成所谓信息经济学之基本内容) 在2 0 世纪下半叶的异军突起是突出的例子。以现代管理理论为基础的内部控制理论，主 要是把组织心理学( 或称管理心理学) 理论与内部控制理论结合，强调人的心理、 行为和群体、组织对内部控制的各项活动包括人、财、物各方面都会产生直接或| h j 接的影响。显然，内部控制的理论和实践应该实现人、财、物的有机练合。所馏对 财和物的管理是指对企业的财力和物力资源进行有效配置的过程，而对人的管理则 5 是利棚荇种管理方式充分调动人的积极性的过程。在传统内部控制理论和实践中， 往往强调的是对财和物的管理，既没有注意到对人的管理，也没有很好的把人、财、 物三大要素钉机结合起来。 1 ：境在改变，企业在发展，主管人员必须完善内部控制以完成其责任。过去曾 经令人满意的控制技术，今天对许多企业而言可能早已过时。甚至可以这样认为， 一旦这种控制技术被书本所反映。即已证明该技术已经过时许久! 所以，环境的变 动意味着企业必须不断发展其控制系统，否则将不可能有效地控制其资源。虽然我 们所学的控制技术可能会经常处于过时的状态之中，然而，一些基本原理和方法却 永远重要，并能够用于指导设计更为完善的内部控制系统。 2 3 内部控制理论演进的四个阶段 2 ( ) 世纪初至今，内部控制理论的发展迅速，大致经历了内部牵制、内部控制制 度、内部控制结构、内部控制整体框架四个阶段。 2 3 1 内部牵制阶段 在2 0 世纪4 0 年代静，内部控制的发展基本上停留在内部牵制阶段。柯氏会计 词典将内部牵制定义为“以提供有效的组织和经营，并防止错误和其他非法业务 发生的业务流程设计”。内部牵制主要羞眼于职责的分工和业务流程及其记录上的 交叉检查或交叉控制，通过人员配备和职责划分、业务流程、簿记系统等来完成。 其目标主要是防止组织内部的错误和舞弊，通过保护组织财产的安全来保障组织运 转的有效性。 内部牵制基于以下两个基本设想：两个或两个以上的人或部门无意识的犯同样 错误的机会是很小的；两个或两个以上的人或部门有意识的合伙舞弊的可能性大大 低于单独一个人或部门舞弊的可能性。实践证明这些设想是合理的，内部牵制机制 确实有效的减少了错误和舞弊行为。因此在现代的内部控制理论中，内部牵制仍占 有相当重要的地位，成为有关组织机构控制、职务分离控制的基础。 2 3 2 内部控制制度阶段 1 9 4 9 年，美国会计师协会的审计程序委员会在内部控制，一种协调制度要素 及其对管理当局和独立注册会计师的重要性的报告中，对内部控制作了权威性定 义：内部控制包括组织结构的设计和企业内部采取的所有相互协调的方法措施。这 些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推 动企业1 骚持执行既定的管理政策。1 9 5 8 年审计程序委员会发布了审计程序公告第 6 2 9 号，对内部控制定义重新表述，并将内部控制划分为会计控制和管理控制。 在这一阶段，通过一整套内部控制制度( 方法和程序) 的形成和建立来实施内 部控制。内部控制的目标除了保护组织财产的安全之外，还包括增进会计信息的可 靠性、提高经营效率和遵循既定的管理方针。 2 3 3 内部控制结构阶段 2 0 世纪8 0 年代以后，西方会计审计界研究的重点逐步从一般含义向具体内容 深化。1 9 8 8 年美国注册会计师协会发布了审计准则公告第5 5 号。在该公告中， 把控制环境作为一顼重要内容与会计制度、控制程序一起纳入内部控制结构之中， 并且不再区分会计控制和管理控制。 控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种囡素， 反映组织的各个利益关系主体( 管理当局、所有者和其他利益关系主体) 对内部控 制的态度、看法和行为。会计制度包括所建立的用来确认、归集、分类、分析和记 录企业的经济业务的各种程序以及由这些程序产生的文件，旨在明确各项资产、负 债的经营管理责任。控制程序是指管理当局所制定的政策和程序，用以保证达到一 定的目标，包括职务的恰当分离、恰当的审批手续、充分的凭证和记录、资产和记 录的接触控制和业务的独立审核等。 在这一阶段，控制环境首次被明确的纳入内部控制结构中。反应了控制环境的 重要性。此外，比较完整的指出了控制程序包含的内容，为c o s o 报告控制活动概 念的提出奠定了基础。 2 3 4 内部控割整合框架阶段 1 9 9 2 年9 月，美国反虚假财务报告委员会下属的由美国会计学会( a a a ) 、注册 会计师协会( a i c p a ) 、国际内部审计人员协会( i i a ) 、财务经理协会( f e i ) 和管 理会计学会( i m a ) 等组织参与的“发起组织委员会”发布了一份报告内部控制： 整合框架( i n t e r n a lc o n t r o l - - i n t e g r a t e df r a m e w o r k ，简称c o s o 报告) 。c o s o 报告提供了一个广泛的内部控制框架，在一定程度上突破了以往内部控制仅从会 计、审计角度研究的狭隘性，从内容上不再局限于会计控制，扩展到企业的管理以 及企业的治理，从一个更高、更系统的角度给出了内部控制的框架体系。c o s o 报告 的颁布标志着内部控制进入整体框架阶段。 1 9 9 6 年美国注册会计师协会发布审计准则公告第7 8 号全面接受c o s o 报告 的内容，将内部控制定义为：出一个企业的董事长、管理层和其他人员实现的过程， 旨在为下列目标提供实现合理保证：经营的效果和效率、财务报告的可靠性、荷合 使用的法律法规。该文件将内部控制框架划分为控制环境、风险评估、控制活动、 7 信息与沟通、监督等直个要素。 近年来重点管理的焦点集中在风险管理上，2 0 0 1 年c o s o 委员会委托普华永道 外发了个对于管理当局评价和改进他们所在组织的企业风险管理的简便易行的 枷粜。2 0 0 4q 二9 月c o s o 委员会颁和了新报告企业风险管理一整合框架( 简称 e r m ) 5 。e r m 是在内部控制整体框架的基础上，结合萨班斯法案相关要求扩展 研究得到的，没有取代内部控制框架，但将框架纳入其中。 相对于c o s o 报告而言，e r m 增加了风险组合观、战略目标、风险偏好和i x l 险容 忍度概念和目标制定、事项识别和风险反应三个风险管理要素。c o s 0 报告原有的五 个要素也适当的增加了有关风险管理方面的内容。 2 4c o s o 内部控制框架的确立 2 4 1c o s o 内部控制框架的形成 1 9 8 5 年，由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、 管理会计师协会联合创建了反虚假财务报告委员会( 由于该委员的委员长是 j c t r e a d w a y ，故又称为t r e a d w a yc o m m i t t e e ) ，该委员会旨在探讨财务报告中的 舞弊产生的原因，并寻找解决措施。基于该委员会的建议，成立c o s o 委员会( t h e c o m m i t t e eo fs p o n s o r i n go r g a n i z a t i o n s ( c o s o ) o ft h en a t i o n a lc o m m i s s i o n o f f r a u d u l e n tf i n a n c i a lr e p o r t i n g ( t h et r e a d w a yc o m m i s s i o n ) ，美国虚假财 务报告全国委员会的发起组织委员会) ，专门研究内部控制问题。1 9 9 2 年9 月，c o s o 委员会提出了报告内部控制整体框架( 1 9 9 4 年进行了增补) ，即c o s o 内部 控制框架。该框架指出“内部控制是受企业董事会、管理层和其他人员影响，为经 营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保 证的过程5 。 2 4 2c o s o 框架成为美国上市公司内部控制的标准 当今世界存在几个主流内部控制框架如：加拿大的c o c o 、英国的c a d b u r y 报告、 国际内部审计师协会( 1 i a ) 的s a c 、信息系统审计与控制协会( i s a c a ) 的c o b i t 。 我固有关部门制定的内部控制标准，包括证监会发布的“证券公司内部控制指引 ( 2 0 0 3 ) ”、中国人民银行发布的“商业银行内部控制指引( 2 0 0 2 ) ”虽然都与c o s o 框架紧密相关，但萨班斯法案的第4 0 4 条款要求管理层对内部控制的评价和报 1 c o s o 制定发布，方红星、j ：宏译，e n t e r p r i s e r i s k m a n a g e m e n t - - i n t e g r a t e df r a m e w o r k ，东北财经大学h j 版社 2 1 1 0 5 ； ：9 ，j 第1 舨前鲁厦序部分 4 制、斜：1 魏一江会计冉造绛济管理：| ：版 2 0 0 4 年4 门第1 版，第2 4 9 页。 8 告应当遵循公众公司会计监察委员会( p c a o b ) 发布或认可的准则，2 0 0 4 年3 月9 曰共众公司会计监察委员会( p c a o b ) 发布了其第二号审计标准与财务报丧 审计相关的针对财务报告的内部控制的审计，该标准就是依据c o s o 报告框架制定 的，并得到了美国证券交易委员会( s e c ) 的认可，从应用层面反映出c o s o 报告框架 的权威性，表明c o s o 框架已经正式成为美国上市公司内部控制的标准，而且从萨 班斯法案的第4 0 4 条款要求来看，更偏重于和财务报告的可靠性相关的内部控制。 2 5 内部控制框架的主要内容5 在c o s o 报告中，内部控制的耳标为合理地确保经营的效率和有效性、财务报告 的可靠性和对适用法规的遵循。如图2 - 1 所示： 图2 ，1c o s o 内部控制框架 资料来揖：搬据c o s o 报告内舂整理 内部控制的内容是由基本要素组成的。这些要素及其构成方式，决定着内部控 制的内容与形式。设计内部控制，可以根据企业特征和需求( 例如企业规模、业务 构成、管理水平等) 。对内部控制要素加以有机组合。c o s o 报告提出的内部控制五 项要素，具有较强的理论可取性和实践可行性，本课题将以此为理论基础，研究海 外上市电信企业内部控制的状况并设计其内部控制体系。下面简要介绍其概念： 管理的职能包括计划、部署、控制、监督四部分组成。 根据c o s o 内部控制框架和c o s o 企业风险管理框架，内部控制体系建设内容人 心所向内部环境、耳标制定、事件识剐、风险评估、风险反应、控制活动、信息与 沟通、数督豹八要素内容。 2 5 1 内部环境 内部环境是指企业实施风险管理并使其持续发挥作用的环境。内部环境提供了 5 根据c o s o 报告整理 9 规则和结构，是内 ；f ；控制体系的基础，是有效实施内部控制的保障，内部环境确定 了企业的总体态度，直接影响着企业目标的实现。 内部环境包牺企业风险管理理念、诚信和道德价值观、组织结构、员工的胜任 能力、权限羊职责分配、人力资源政策、决策机构与监督机构等要素。 2 5 2 目标制定 目标制定是指管理层围绕企业的使命，制定战略目标，阐述企业战略，并为企 业确立经营、报告和合理性目标。目标制定过程中，企业根据自身条件和外部环境， 确定风险偏好、风险承受度、风险管理有效性标准、选择适合的风险管理工具的总 体策略，并确定风险管理所需人力和财力资源的配置原则。战略目标是管理层根据 企业的使命，阐述企业战略，并指引企业确立经营、报告和合规性目标的最高层次 目标：经营目扔i 是围绕企业目标制定的，反映了企业经营效率和效果的羁标，包括 与经营业务相关的子目标，报告目标是根据所经营的业务所决定的，主要指编制可 靠的报告，包括内部和外部报告，涉及与目标相适应的准确完整的全部企业信息。 合规性目标涉及企业必须遵守的选用法律法规，主要取决于外部因素，并且在有些 情况下所有企业的此类目的都基本相似，企业必须依照适用的法律法规开展业务活 动。如审场、定价、税收、市场环境、员工福和等法规。一个企业遵守法律法舰的 合舰性记录给企业带束重大的机遇或风险。 内部控制制度就是为保证内部控制的有效落实而制定的相应的成范。从这里我 们可以总结出，企业内部控制制度的总体目标是：维护财产物资的完整性：保证会 计信息的准确性；保证财务活动的合法性；保证经营、决策方针的贯彻实行：保证 生产经营活动的经济性、效率性和效果性；保证经营目标的实现；充分发挥员工的 积极性，实现员工的发展。其中，保证经营目标的实现应看作是企业实施内部控制 的根木目标。 2 5 3 事件识别 事件识别是企业根据自身的生产经营特点结合既定的目标，全面考虑企业和外 界之i l 珏j 所有相关影响因素。事 牛是源自外部或内部、影响中心目标实现的事情。按 事件带来的影晌不同，可以划分为风险和机遇。事件识别是以系统方法来识别风险 和机遇的过程。识别事件时需要考虑的内外郏因素包括：1 ) 经济因素：主要有价 格趋势、资本可供性、客户需要和期望、竞争等经济形势的变化可能给企业带来的 影响2 ) 自然环境因素：主要是洪水、地震等自然灾害对企业资源造成的损失3 ) 蚊治冈豢：新的或原有法律法规的调整给企业经济环境带来影响，4 ) 社会因素： 主要有人口统计数字的变化、家庭结构、社会习俗等诸多因素导致企业经济环境发 生变化；5 ) 技术性因素：技术发展带来的原有的管理方式和手段的变化，给铷i k 带来的影响。内部因素主要包括内部环境因素、基础设施因素、员工因素、流程| 羽 素、技术因素等。1 ) 内部环境因素：企业组织效能、管理现状、企业文化、决策 机构和监督机构的履职情况；2 ) 基础设施因素：资产能力、资产可用性、经营过 程的复杂性等：3 ) 员工因素：员工基本素质以及培训、激励机制、专业人员的知 识结构和经验等：4 ) 流程因素：包括流程设计缺陷、流程执行中存在的缺陷以及 对外包流程缺乏监督等产生影响企业实现目标的风险；5 ) 技术因素：数据完整性、 数据和系统的可用性、系统选择、技术维护。 2 5 4 风险评估 内部控制的动力源于风险防范，并构成风险管理的必要环节，企业管理的重要 内容之一就是建立风险评估系统。 风险评估是识别及分析影响企业目标实现的风险的过程，是风险管理的基础。 在风险评估中，应识别和分析对实现目标具有阻碍作用的风险。企业在经营过程中， 会面临很多种类来自不同方面的挑战。形势的变化对企业来说，可能是机遇，也可 能意味着灾难，企业可能因此遭到灭项之灾，陷入万劫不复之境地，来路可能凶险 异常，一个有为的企业不能无所作为，要积极的面对未来。未来形势的不确定性对 企业实现经营目标的影响就是企业风险。企业风险一般可分为战略风险、财务风险、 市场风险、运营风险、法律风险等；也可以按照来源不同将风险分为企业层面j x l 险 和业务活动层面风险，前者风险主要有内、外部因素；后者主要有企业的主要生产 经营管理活动；也可以能否为企业带来盈利机会为标志，将风险分为纯粹风险( 只 有带来损失一种可能性) 和机会风险( 带来损失和盈利的可能性并存) ，我们通常 所说的风险是指纯粹风险，本文也认为纯粹风险这样定义便于理解，也符合我们传 统的思维模式。机会风险也称为机遇，是煌不确定性能够对实现中心目标和支持企 业发展的可能性产生积极有影螭，机遇的识别为战略目标的制定提供信息。 战略风险是指企业在战略的制订和实施上出现错误，或因未能随环境的改变而 做出适当的调整，而导致经济上损失的风险。风险容量是企业可以接受的企业发展、 风险和收益的平衡，是在向企业利益相关者提供价值的过程中，企业可以接受的风 险水平，管理层确定的风险容量是战略目标制定的指路标。风险偏好是指企业希望 承受的风险范围。如企业决策层和管理层在追求实现其价值的过程中愿意接受什么 风险，接受多大的风险。风险承受度是指企业实现特定目标过程中对目标相关变量 的接受程度，与风险容量相一致。风险承受度作为风险容量的边界和企业采取行动 的指标。在风险容量以外，企业可以采取若干承受度指标。 叫务瑜是指融资安排、会计核算与管理以及会计或财务报告失误而对企业造 成损失的川淦；市场风险是指因市场等外界条件变化而使企业产生经济损失的风 险：运营j x l 险越指企业内部流程和系统、人为或外部因素而给企业造成经济损失的 帆险：法律风险足指企业因违反法律、法规或规定，或侵害其他利益相关者的权益， 而导致企业遭受经济或生意损失的j ) ( l 险。 2 5 5 风险反应 风险反应是管理层在评估了风险之后，按照风险管理优先顺序，根据风险管理 策略，针对各类风险或每一项重大风险制定风险管理解决方案，确定如何应对风险。 2 5 6 控制活动 控制活动与风险评估、风险反应联系在一起，是企业规避风险的途径。控制活 动贯穿于企业的所有员工和职能部门：控制活动按照不周的标准可分为若干类，一 般说束，可以对其进行娓分类： 1 ) 按目标分类，可以分成战略、经营、报告、合规性： 2 ) 按内容分类，可以分为企业层面控制、业务活动层面控制和信息系统总体控 制。企业层面控制是管理层确保在企业内部各个领域获得适当、有效控制的重要机 制；业务活动层面控制是直接作用于企业生产经营业务活动的具体控制；信息系统 总体控制是企业在信息技术开发、实施、运行、维护及管理等方面的控制； 3 ) 按作用分类，可以分为预防性控制和发现性控制； 4 ) 按控制手段分类，可以分为人工控制和自动控制。人工控制是以人工方式执 行的控制；自动控制是贝计算机等系统自动执行的控制。 2 5 7 信息沟通 信息沟通是信息在企业内部各层次、各部门以及在企业与客户、供应商、监管 者和股东等外部环境之间的沟通、沟通应自上而下、自下而上地贯穿整个组织，不 仅在整个企业内进行，也包括与外部进行的沟通。有效沟通的特点表现为：沟通频 率高、方式随意：沟通深入且平等：具有沟通所需物质条件；完善的沟通制度和系 统；全方位的信息共享等。 信息披露是指企业向出资人、相关管理部门、利益相关者提供及时、有序、一 致、准确、完整、可靠和可信的企业信息的过程。缺陷及缺陷报告：缺陷是指当某 项活动的设计或运行不能使管理层成员工在正常行使其职责过程中及时防止或及 时错报时，表明存在缺陷。缺陷包括设计缺陷和运行缺陷。缺陷报告足将企业全面 风险管理中的缺陷自下而上报告的行为。 企业的管理活动依赖于各种信息，有效的信息系统不仅能够识别和获得所需要 的信息，还能够在一定时限内根据需要加工和报告这些信息。当企业面临变化时， 信息系统必须随企业目标、经营环境的变化而变化，及时适应新的需求。 2 5 8 监督 监督是评估风险管理体系在定时期内运行有效性的过程。通过持续监督和独 立评估，对风险管理设计和运行的有效性进行检查，以查找和报告存在的缺陷。 图2 2内部控制框架中五要素逻辑关系示意图 资料来源：根据c o s o 报告整理。 第3 章事业单位内部控