（工商管理专业论文）我国上市公司内部控制分析.pdf

chin a sli s t e dc o m p a n y 。s in t e r n a lc o n t r o la n a l y s i s 学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究工作所取得的成果。除文中已经注明引用的内容 外，本论文不含任何其他个人或集体已经发表或撰写过的作品成 果。对本文所涉及的研究工作做出重要贡献的个人和集体，均已 在文中以明确方式标明。本人完全意识到本声明的法律责任由本 人承担。 特此声明 学位论文作者签名：咿1 1 年t 旯 黾 学位论文版权使用授权书 本人完全了解对外经济贸易大学关于收集、保存、使用学位 论文的规定，同意如下各项内容：按照学校要求提交学位论文的 印刷本和电子版本；学校有权保存学位论文的印刷本和电子版， 并采用影印、缩印、扫描、数字化或其它手段保存论文；学校有 权提供目录检索以及提供本学位论文全文或部分的阅览服务；学 校有权按照有关规定向国家有关部门或者机构送交论文；在以不 以赢利为目的的前提下，学校可以适当复制论文的部分或全部内 容用于学术活动。保密的学位论文在解密后遵守此规定。 学位论文作者签名： 剥谧锄匆斟 纱f ，年，月，厂日 劢“年月7 日 摘要 在政府及企业的共同努力下，我国金融企业的内部控制建设确实还是走在前 列的。但是会计信息失真问题比较突出，这也是许多大型企业尤其是国有企业的 一个共同特点。很多企业确实已经建立起了这样、那样的林林总总的庞杂制度， 但是普遍存在着制度执行不力、控制效果不佳的问题。有了内部控制制度仅仅是 一个起步，不等于就有了内部控制，更重要的工作是要大力推动内部控制制度持 续有效地运行，这样才能充分发挥其应有的作用。 关键词：上市公司，内控，制度 a b s t r a c t i nt h ej o i n te f f o r t so fg o v e r n m e n ta n db u s i n e s s ，t h e c o m p a n y si n t e r n a l c o n t r o lc h i n a sf i n a n c i a l d e v e l o p m e n t i si n d e e ds t i l lt h ef o r e f r o n t b u tt h ed i s t o r t i o no fa c c o u n t i n gi n f o r m a t i o nm o r ep r o m i n e n t ，w h i c hi sw h y m a n yl a r g ee n t e r p r i s e s ，e s p e c i a l l y s t a t e - o w n e de n t e r p r i s e si sac o m m o n f e a t u r e m a n yc o m p a n i e s ，i th a sb e e n e s t a b l i s h e d t h a t ， a st h e r ea r e n u m e r o u s ，c o m p l e xs y s t e m ， b u tt h e p r e v a l e n c eo f + p o o rs y s t e m i m p l e m e n t a t i o n ，i n e f f e c t i v e c o n t r o lo f t h ep r o b l e m w i t ht h ei n t e r n a l c o n t r o ls y s t e mi sj u s ta s t a r t ，d o e sn o tm e a nt h a t t h e r ei s a ni n t e r n a l c o n t r o l ，a n dm o r e i m p o r t a n tt a s ki s t ov i g o r o u s l yp r o m o t et h es u s t a i n e da n d e f f e c t i v ei n t e r n a lc o n t r o ls y s t e mt or u n ，s oa st o f u l l yp l a yi t s d u er o l e k e y w o r d s ：l i s t e dc o m p a n i e s ，i n t e r n a lc o n t r o l ，t h es y s t e m 目录 第1 章引言1 1 1 内部控制制度概述及背景分析1 1 2 内部控制制度概念2 1 3 内部控制的必要性2 第2 章我国上市公司内部控制体系建设历程4 2 1独立审计具体准则第9 号内部控制与审计风险4 2 2 内部会计控制规范4 2 3 证监会对上市公司内部控制相关要求5 2 4 上市公司内部控制指引7 2 4 企业内部控制标准委员会的成立与企业内部控制规范的发布7 第3 章我国现行内部控制制度框架体系9 3 1 基本规范9 3 1 1 内部控制的目标9 3 1 2 礴内部控制的原则1 0 3 1 3 内部控制的要素1 1 3 2 企业内部控制配套指引1 2 3 2 1 应用指引1 3 3 2 2 评价指引1 5 3 2 3 审计指引1 5 第4 章我国上市公司内部控制现状1 7 第5 章案例分析1 9 第6 章分析和建议2 4 6 1 对造成我国上市公司内部控制现状的原因分析2 4 6 2 对上市公司内部控制建设的建议2 6 参考文献2 9 致谢3 1 个人简历在读期间发表的学术论文与研究成果3 2 第1 章引言 1 1 内部控制制度概述及背景分析 自清末变法以来，我们一直在学习西方文明，学到最多的便是西方文明中以 制度管人而非以人管，。这是由于他们的历史所形成的。拿今日的超级大国美国 来说，建立国家之前一直是英国的殖民地，英国人在北美大陆横征暴敛对人民肆 意妄为，使得人们对当权者有着天生的不信任，并使得这种不信任一直延续至今。 立国之后美国人的这种天生不信任感便体现在他们的法律及制度之上，他们发明 了三权分立想以制度来约束人的行为，想以制度来抑制人性的贪欲。美国人对法 律有着常人难以理解的执拗，他们容许骂总统并认为此种行为顶多是愤世嫉俗、 玩世不恭而已，但他们绝不能容忍对哪怕是基层法院的一名最普通的法官不恭， 美国人为了争辩西红柿到底是水果还是蔬菜，可以一直将官司打到联邦最高法 院。但是美国还是出事了。世纪之初美国出现了安然破产事件，2 0 0 8 年美国由 次贷危机转而爆发了席卷全球的金融海啸。很不厚道的法国人在报纸上写道：马 克思真是太伟大了，他是人类有史以来最伟大的预言家，他所预言的一切在美国 都实现了。我们的“老师”美国投行出了事，那我们自己呢? 2 0 0 9 年年底，财政部发布了会计信息质量检查公告第十六号，检查结果表 明，被查的保险司大都建立健全了财务管理制度和内部控制制度，但是会计信息 失真问题比较突出，一是通过假投保人为调节收入，以假理赔、批单退保等方式 套取资金以支付手续费；二是以没有真实的经济业务事项票据报销费用等方式， 套取资金支付手续费用以返还投保人、发放职工补贴等；三是个别公司虚报冒领 农业保险保费补贴。 被查的多数证券公司内部控制制度较为健全，主要问题一是少计收入，部分 被查处的证券公司从承销业务收入、佣金收入、代售基金手续费收入中直接返还 拥挤后再作收入入账：二是虚报费用，主要是以没有真实的经济业务事项票据报 销费用来发放职工补贴；三是个别事项未按规定纳税。 在政府及企业的共同努力下，我国金融企业的内部控制建设确实还是走在前 列的。第十六号检查公告证实了这一点，被查单位多数内部控制制度较为健全， 这也是许多大型企业尤其是国有企业的一个共同特点。很多企业确实已经建立起 了这样、那样的林林总总的庞杂制度，但是普遍存在着制度执行不力、控制效果 不佳的问题。有了内部控制制度仅仅是一个起步，不等于就有了内部控制，更重 要的工作是要大力推动内部控制制度持续有效地运行，这样才能充分发挥其应有 的作用。 1 2 内部控制制度概念 内部控制概念首先由美国会计师协会( a i a ，现在的美国注册会计师协会， a i c p a ) 于1 9 4 9 在内部控制：一种协商制度要素及其对管理当局和独立注册会 计师的重要性的报告中提出的。该报告对内部控制给出了明确的定义，即“内 部控制包括组织机构的设计和企业内部采取的所有相关的方法和措施，这些方法 和措施的目的在于保护企业的财产，检查会计数据的准确性，提高经营效率，促 进企业执行既定的管理政策”。随后a i c p a 不断对这一概念进行修订。1 9 9 2 年， c o s o ( 美国全国虚假财务报告委员会下属的发起人委员会，由美国注册会计师协 会、美国会计学会、财务经理协会、内部审计协会和管理会计师协会于1 9 8 5 年 发起设立) 发布内部控制一整合框架，其中将内部控制定义为：“内部控制 是由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可 靠性、相关法令的遵循性等目标的达成而提供合理保证的过程”。并提出内部控 制包括5 个相互关联的构成要素，即控制环境、风险评估、控制活动、信息与沟 通和监控。五要素论优化了内部控制的结构与体系，整合了对内部控制的不同理 解，构造了一个共识性的概念平台和框架，因此得到了美国证券交易委员会和美 国公众公司会计监督委员会及国际机构等的广泛认可和应用，是目前世界上最 为权威的内部控制标准体系。 2 0 0 2 年7 月，在安然、世通等一系列大公司由于财务欺诈而破产的背景下， 美国国会出台了( ( 2 0 0 2 年公众公司会计改革和投资者保护法案( 我国称之为 “萨班斯法案”) ，该法案中的4 0 4 条款明确规定了管理层应承担设立并维持一 个应有的内部控制机构的职责，并且要求上市公司必须在年度报告中提供内部控 制报告和内部控制评价报告，上市公司的管理层和注册会计师都需要评价企业的 内部控制系统，注册会计师还要对公司管理层评估过程以及内部控制系统结论进 行相应的检查并出具正式的报告。 1 3 内部控制的必要性 内部控制之于公司治理的作用在于防微杜渐，最成功的内部控制是把风险消 灭于无形。从美国、英国、法国等成熟市场经济国家的实践来看，健全有效的内 部控制被视为一种解决企业许多潜在问题的有效方法。人们普遍认为，内部控制 可以把企业保持在实现企业战略和为股东创造价值的轨道上，并且使这个过程中 发生意外的可能性降至最低，使管理层能够针对瞬息万变的竞争环境作出反应， 并根据企业内部组织结构的变化作出调整，从而实现可持续增长；内部控制还可 以提高经营效率，减少财产损失的风险，并有助于确保财务报表的可靠性及合法 合规性。 按照c o s o 的解释，内部控制是一个过程，有企业存在，就有内部控制。而 且，内部控制不是一些人的事情，而是企业所有人的事情，企业的流程和制度制 约每一个人，无论是好人还是坏人。好的内部控制制度可以帮助企业达成它的目 标，尽管内部控制不能保证企业成功。对于上市公司来说，内部控制保证了投资 者对财务报告的信心。 具体到企业来讲，作为一名企业的员工，要有自觉的意识。这种自觉的意识 正是每一名企业家日日在讲、时时在说的“企业是一个大家庭，我们每一个人都 是这个家庭中的一份子。我们大家要携起手来一起为这个家添砖加瓦，我们要通 过我们大家共同的努力为这个家创造出更加美好的明天。”这种自觉的意识不仅 仅要体现在企业日常的经营、生产、销售、研发等活动中，更要贯彻到企业内控 中来。这种自觉意识要使员工产生自觉、自愿、主动的接受内控制度的监督和管 理，这种自觉、自愿、主动的接受内控制度的监督和管理的意识，要覆盖到企业 的每一名员工，要做到无一例外的自觉、自愿、主动的接受内控制度的监督和管 理特别是企业的管理层。 第2 章我国上市公司内部控制体系建设历程 我国内部控制制度建设借鉴了萨班斯法案和1 9 9 2 年c o s o 发布的内部控制 一整合框架。1 9 9 6 年1 2 月，我国注册会计师协会发布了独立审计具体准则 第9 号内部控制与审计风险，首次在我国提出内部控制的概念。将内部控 制定义为“被审计单位为了保证业务活动的有效进行，保护资产的安全和完整， 防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实 旌的政策与程序”。2 0 0 8 年5 月2 2 日，证监会、保监会、审计署、财政部、银 监会等五部委联合发布了企业内部控制基本规范( 自2 0 0 9 年7 月1 日起在上 市公司范围内施行) 。2 0 1 0 年4 月2 6 日，财政部会同审计署、证监会、保监会、 银监会又发布了企业内部控制应用指引第1 号组织架构等1 8 项应用指 引、企业内部控制评价指引和企业内部控制审计指引( 自2 0 1 1 年1 月1 日起在境内外同时上市的公司施行) 。企业内部控制基本规范将内部控制定 义为由企业董事会、监事会、经理层和全体员工实旋的，旨在实现控制目标的 过程。其目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关 信息真实完整，提高经营效率和效果，促进企业实现发展战略。内部控制基本 规范和配套指引的发布，标志着我国内部控制规范体系的形成，是我国内部控制 制度发展的里程碑。我国上市公司内部控制规范的建设经历了从无到有的过程。 2 1独立审计具体准则第9 号内部控制与审计风险 中国注册会计师协会于1 9 9 6 年1 2 月发布独立审计具体准则第9 号内 部控制与审计风险，该具体准则不仅首次在我国提出内部控制的概念，还对注 册会计师在会计报表审计中研究与评价被审计单位的内部控制做出具体要求，强 调建立健全内部控制是被审计单位管理当局的会计责任。相关内部控制一般应实 现以下目标：保证业务活动按照适当的授权进行；保证所有交易和事项以正确的 金额，在恰当的会计期问及时记录于适当的账户，使会计报表的编制符合会计准 则的相关要求；保证对资产和记录的接触、处理均经过适当的授权；保证账面资 产与实存资产定期核对相符。 2 2 内部会计控制规范 财政部从2 0 0 1 - - 2 0 0 4 年连续发布了内部会计控制规范基本规范( 试 行) 和内部会计控制规范货币资金( 试行) 等1 0 项内部会计控制规 范。 4 发布时间法规名称 内部会计控制规范一基本规范( 试行) 和内部会计控 2 0 0 1 年6 月2 2 日 制规范一货币资金( 试行) 内部会计控制规范一采购与付款( 试行) 和内部会计 2 0 0 2 年1 2 月 控制规范一销售与收款( 试行) 内部会计控制规范一存货( 试行) 、内部会计控制规 2 0 0 3 年1 1 月范一担保( 征求意见稿) 和内部会计控制规范一成本费 用( 征求意见稿) 内部会计控制规范一固定资产和内部会计控制规范一 2 0 0 4 年6 月3 0 日 存货和内部会计控制一筹资的征求意见稿 内部会计控制规范基本规范( 试行) 阐述了内部会计控制的目标和 原则、内部会计控制的内容、内部会计控制的方法、内部会计控制的检查，强调 “内部会计控制是指为了提高会计信息质量，保护资产的安全、完整，确保有关 法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程 序”。内部会计控制规范并不是仅仅针对上市公司，但它是上市公司进行内部控 制建设的重要参照标准。尽管该规范已经开始关注风险管理等，但与国际公认内 部控制框架相比仍存在较大差距，主要包括：较少考虑控制环境；比较强调内部 会计控制，而忽略了管理控制方面。 2 3 证监会对上市公司内部控制相关要求 1 、证监会于1 9 9 9 年发布的关于上市公司做好各项资产减值准备等有关事 项的通知和2 0 0 2 年证监会和国家经委联合发布的上市公司治理准则，对 内部控制披露主体做出了规定，都是将披露责任归于监事会或审计委员会。 2 、证监会于2 0 0 0 年发布的公开发行证券公司信息披露编报规则，要求应 委托所聘请的会计师事务所对其内部控制制度及风险管理系统的完整性、合理性 和有效性进行评价，提出改进建议，并以内部控制评价报告的形式做出报告。另 外，2 0 0 1 年证监会修订的公开发行证券公司信息披露的内容与格式准则第2 号年度报告的内容与格式中第4 2 条规定：年度报告中，监事会应对“公 司决策程序是否合法，是否建立完善的内部控制制度，公司董事、经理执行公司 职务时有无违反法律、法规、公司章程或损害公司利益的行为 发表独立意见。 但第7 3 条又规定：在年报摘要中，如果监事会认为公司决策程序合法，己建立 完善的内部控制制度，公司董事、经理执行公司职务时无违反法律、法规、公司 章程或损害公司利益的行为，可免于披露。这样就使得披露的程度大大降低，有 很大的自由性而不具有强制性，内部控制信息披露方面基本上仍是自愿披露。 3 、证监会于2 0 0 1 年4 月颁布的公开发行证券的公司信息披露内容与格式准 则第1 1 号上市公司发行新股招股说明书，要求披露的内容更加详细。 时间名称与内部控制有关的内容 关于做好上市公司新股发要求发行人披露公司管理层对内部控 2 0 0 1 年3 月 行工作的通知制的自我评估意见 第5 9 条规定，发行人应披露管理层对 上市公司发行新股招股说 内部控制制度的完整性、合理性及有效 2 0 0 1 年4 月性的自我评估意见，同事应披露这测会 明书 计师关于发行人内部控制制度评价报 告的结论性意见。 4 、证监会于2 0 0 6 年5 月颁布首次公开发行股票并上市管理办法和上 市公司证券发行管理办法，都将内部控制制度是否健全、有效作为股票发行的 条件。 时间名称与内部控制有关的内容 首次公开发行股票并上市 规定了发行人的内部控制在所有重大 2 0 0 6 年5 月方面是有效的，并由注册会计师出具了 管理办法 无保留意见的内部控制鉴证报告。 规定了公司内部控制制度健全，能够有 上市公司证券发行管理办效保证公司运行的效率、合法合规性和 2 0 0 6 年5 月 法财务报告的可靠性；内部控制制度的完 整性、合理性、有效性不存在重大缺陷。 6 2 4 上市公司内部控制指引 2 0 0 6 年6 月，上海证券交易所首先发布了上市公司内部控制指引，对 上市公司实施和健全企业内部控制制度提供了指导性原则。同年9 月，深圳证券 交易所也发布了上市公司内部控制指引。这两个指引都认为：内部控制 是由本公司的董事会、管理层及全体员工共同参与的一个过程，旨在确保公司行 为符合法规要求、保护公司资产安全、提高公司经营的效果与效率并增强公司信 息披露的可靠性。一是披露主体方面，两个指引都提出了本公司的董事会应对本 公司的内控制度的建设、健全、实施、检查监督负责，并强制要求披露公司内部 控制信息。二是披露方式方面，公司的董事会应在年度报告披露的同时，披露公 司年度内部控制自我评估报告，并披露会计师事务所对公司内部控制自我评估报 告的核实及评价意见。这就使内部控制信息披露由原来的自愿披露转变为强制性 披露。三是披露内容方面，上交所规定了公司内部控制自我评估报告至少应包括 如下内容：内控制度是否有效实施、内控制度是否建立健全、内控制度及其实 施过程中出现的重大风险及其处理情况、内部控制检查监督工作的情况、完善内 控制度的有关措施、对本年度内部控制检查监督工作计划完成情况的评价、下一 年度内部控制有关工作计划。 2 4 企业内部控制标准委员会的成立与企业内部控制规范的发布 1 、2 0 0 6 年7 月1 5 日，经国务院批准，由财政部牵头发起，国资委、审计 署、证监会、银监会、保监会共同参与的“企业内部控制标准委员会”正式成立， 研究推进企业内部控制规范体系建设问题。2 0 0 7 年3 月， “企业内部控制标准 委员会”印发了企业内部控制规范基本规范和1 7 项具体规范的征求意 见稿，首次给出了企业内部控制规范的整体框架，对“货币资金”、“采购与付 款”、“存货”等1 7 项业务进行了具体规范。 2 、2 0 0 8 年5 月，财政部、证监会、审计署、银监会、保监会联合发布了企 业内部控制基本规范，基本规范自2 0 0 9 年7 月1 日起在上市公司范围内施行， 鼓励非上市的大中型企业执行。执行基本规范的上市公司，应对本公司内部控制 的有效性进行自我评价，披露年度自我评价报告；并可聘请具有期货业务资格、 证券业务资格的专业机构对内部控制的有效性进行审计。此外，基本规范要求企 业实行内部控制自我评价的制度，并将各责任单位和全体员工实施内部控制的情 况纳入绩效考评体系。基本规范在形式上借鉴了c o s o 内部控制整合框架的 五要素，同时在内容上体现了c o s o 企业风险管理八要素的实质，构建了以 内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息 与沟通为重要条件、以内部监督为重要保证，相互联系的五要素内部控制框架。 企业内部控制基本规范确立了我国企业建立和实施内部控制的基础框架，标 志着企业内部控制规范体系建设取得重大突破。 第3 章我国现行内部控制制度框架体系 我国现行内部控制制度框架体系主要由一项基本规范、系列应用指引、评价 指引、审计指引和企业内部控制制度构成。 3 1 基本规范 基本规范是内部控制体系的最高层次，起统驭作用。它描述了建立与实施内 部控制体系必须建立的框架结构，规定了内部控制的定义、目标、原则、要素等， 是制定应用指引、评价指引、审计指引和企业内部控制制度的基本依据。 3 1 1 内部控制的目标 内部控制的目标包括五个方面，即合理保证企业经营管理合法合规、资产安 全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战 略。 ( 1 ) 合理保证企业经营管理合法合规 国家的各项法律法规是为了保护各方利益不受损害，维护正常的经济和社会 秩序而制订的。由于利益的驱动，企业在日常的经营活动中，总是存在违反法规 和制度的动机。而内部控制本身是一种企业的自律机制，它可以约束和控制企业 的行为，降低违规操作的可能性。因此，内部控制的第一个目标就是合理保证企 业经营管理合法合规。它强调的是企业要在法律允许的经营范围内开展经营活 动，严禁违法经营、非法获利。 ( 2 ) 合理保证资产安全 企业资产会因盗窃、挪用、侵占、转移而遭受损失。在内部控制实施过程中， 不相容业务的分工使授权人与执行人分开、执行人与记账人分开、总账与明细账 分开等，从而形成一种相互牵制的关系，加上内部定期盘点、核对制度等管理规 定，在企业财产管理的各个环节中建立了一个严密的控制系统和监督链条，可以 有效地防止各种贪污舞弊行为，制止各种浪费，确保企业财产的安全完整，提高 资产效能。这种权力的制衡，还可以有效防止管理人员滥用职权、进行权钱交易， 从某种意义上形成了一种免疫系统，起到了保护管理人员的作用。 ( 3 ) 合理保证财务报告及相关信息真实完整 保证财务报告真实可靠是管理当局的首要责任，也是内部控制的重要目标。 保证会计信息质量有两道必不可少的防线：一是建立高质量的会计准则；二是建 立内部控制制度。建立高质量的会计准则，主要解决技术标准和操作指南的问题， 防止出现非人为的虚假会计信息，但它不能防止故意造假的行为。目前虚假会计 9 信息主要来自故意造假，出于某种利益考虑不遵守会计准则。对于这种情况，只 有依靠内部控制制度来加以防范。内部控制制度可以通过不相容岗位的分离、对 账制度、惩罚制度等防止提供虚假会计信息，尤其是对虚假交易具有较好的遏制 作用。 ( 4 ) 提高经营效率和效果 内部控制不仅要保证资产的安全，更重要的是要提高资产的使用效率，提高 企业的经营效率和效果。有人误认为，内部控制增加了许多管理制度和审批程序， 会影响企业的工作效率。其实不然，内部控制要求组织精简、权责清晰，从而使 各部门和环节密切配合、协调一致，从整体上提高了工作效率。另外，内部控制 有良好的信息和沟通体系，从而会提高决策和反应效率。 ( 5 ) 促进企业实现发展战略 促进企业实现发展战略是内部控制的最高目标，也是终极目标。企业内部控 制最终追求的是通过强化风险管控促进企业实现发展战略，实现发展战略必须通 过建立和健全内部控制体系来保证。内部控制不是为了束缚企业，不是仅仅为了 规范企业经营管理行为，其终极目的是实现企业的发展。企业发展是要冒风险的， 风险到处存在，不能为了避免风险而放弃发展。内部控制不是为了不冒风险，而 是为了预先发现风险，并把风险控制在可以接受的限度内。 3 1 2 礴内部控制的原则 基本规范规定了企业建立与实施内部控制的五项原则：全面性原则、重要性 原则、制衡性原则、适应性原则、成本效益原则。 ( 1 ) 全面性原则 内部控制应当贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各 种业务和事项。全面性重要体现在三个方面：一是全过程控制，企业内部控制应 当贯穿决策、执行和监督的全过程；二是全方位控制，企业内部控制应当覆盖企 业及其所属单位的各种业务和事项；三是全员控制，内部控制的关键是对人的控 制，是对企业全体员工进行控制，要保证每一位员工包括高层管理人员及基层执 行操作人员都受到相应的控制。 ( 2 ) 重要性原则 重要性原则要求内部控制在全面性的基础上，格外关注重要业务事项和高风 险领域。这一原则强调企业建立与实施内部控制应当突出重点，着重防范可能对 企业产生“伤筋动骨”伤害的重大风险。也就是说，要突出重点，监控一般，重 视重要的交易事项和风险领域，对业务处理过程中的关键控制点以及关键岗位加 以特别的防范。所谓关键控制点，是指业务处理过程中容易出现漏洞且一旦出现 差错会给企业带来巨大损失的高风险领域。所谓关键岗位，是指有关人员容易实 1 0 施舞弊的岗位。对于关键控制点和关键岗位，企业应投入更大的成本，采取更严 格的控制措施，把风险降到最低。 ( 3 ) 制衡性原则 制衡性原则要求内部控制在治理结构、机构设置及权责分配、业务流程等方 面相互制约、相互监督，同时兼顾运营效率。相互制衡是建立和实施内部控制的 核心理念，更多地体现为不相容机构、岗位或人员的相互分离与制衡。无论是在 企业决策、执行环节，还是在监督环节，如果做不到不相容岗位相互分离与制衡， 将会造成滥用职权或串通舞弊，导致内部控制的失败，给企业经营发展带来重大 隐患。不相容岗位的分离与制衡，要求可行性研究和决策分开、执行和决策分开 等。早期的制衡性分离就是管钱不能管帐，如果职能重合，则是不科学的。 ( 4 ) 适应性原则 内部控制应当与企业经营模、业务范围、竞争状况和风险水平相适应，并随 着情况的变化及时调整。一是内部控制应当与企业经营规模、业务范围相匹配； 二是内部控制应当随着情况的变化及时调整。内部控制是一个不断变化的动态过 程，内部控制应当随着国家法律法规、政策、制度等外部环境的变化，以及企业 业务职能的调整、管理要求的提高、经营战略和经营方针的调整等内部环境的变 化不断地、及时地进行修订和完善。 ( 5 ) 成本效益原则 内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。企业 实施内部控制是有成本的，甚至会牺牲一定的效率，因此，应当权衡实施成本与 预期效益。企业内部控制要用较少的控制成本获得较好的控制效果，保证实施内 部控制所付出的代价低于因此而获得的效益，且各种内部控制的方法和程序的成 本不应超过潜在错误或潜在风险可能造成的损失和浪费。企业不能有效控制就可 能存在巨大的风险，但过度的控制不但影响效率，而且会增加成本。企业要运用 科学、合理的方法，有目的、有重点地选择控制点，实现有效控制。同时，企业 还应努力降低内部控制成本，即在保证内部控制制度有效性的前提下，尽量精简 机构和人员，改进控制方法和手段，减少冗余程序和手续，避免重复劳动，提高 工作效率，节约成本。 3 1 3 内部控制的要素 ( 1 ) 内部环境 内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责 分配、内部审计、人力资源政策、企业文化等，这是企业实施内部控制的重要基 础。内部控制应用指引把这些方面归为内部环境要素。其中，治理结构是重中之 重，企业实施内部控制应先从治理结构入手。内部控制只有得到高层的重视与领 导才能取得成功。如果主要领导滥用职权，或者不相容岗位串通舞弊，内部控制 势必失败。内部控制是通过人来实现的，而企业文化则是企业的灵魂。 ( 2 ) 风险评估 风险评估是指企业及时识别、系统经营活动中与实现内部控制目标相关的风 险，合理确定风险应对策略的过程。这是企业实施内部控制的重要环节。风险评 估就是评估风险发生的可能性和影响。可能性表示一个给定事项将会发生的概 率，影响则代表它的后果。风险是不能实现目标的可能性，有目标才有风险，没 有目标也就没有风险。因此，目标的设定是风险评估的先决条件。管理层必须先 制定目标，然后才能够辨识影响该目标实现的风险，并采取必要的管理风险的行 动。目标的设定虽然不是内部控制的一个组成要素，但却是实施内部控制的前提， 是管理过程中的重要部分。 ( 3 ) 控制活动 控制活动是指结合具体业务和事项，运用相应的控制政策和程序，或称控制 手段去实施控制，也就是在风险评估之后，采取相应的控制措施将风险控制在可 承受范围之内。控制措施一般包括不相容职务分离控制、授权审批控制、会计系 统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等，具体是通 过配套指引的控制手段类应用指引加以体现的。 ( 4 ) 信息与沟通 信息与沟通是指企业应及时、准确地收集、传递与内部控制相关的信息，确 保信息在企业内部、企业与外部之间进行有效沟通。这是企业实施内部控制的重 要条件。内部信息传递相当于一个人的神经和循环系统，所有的控制需要通过这 个系统连接起来，并固化在信息系统中，实现内部控制的有效性。现代企业的内 外部信息都要通过这套信息沟通体系及时传递，实现内部控制的目标。 ( 5 ) 内部监督 内部监督是指企业应对内部控制建立与实施情况进行监督检查，评价内部控 制的有效性，发现内部控制缺陷，并及时加以改进。这是企业实施内部控制的重 要保证。它是对内部控制的控制，一般由企业的内部审计机构或相关机构履行内 部监督职能。要实现有效的内部控制，单靠内部审计还不够，董事会还要求自己 的审计委员会履行监督职责。监事会也要监督董事会和管理层，以防止内部控制 流于形式。 3 2 企业内部控制配套指引 企业内部控制配套指引由2 l 项应用指引、企业内部控制评价指引和企 业内部控制审计指引组成。这其中，应用指引是企业内部控制原则和内部控制 的关键并占据主体地位。2 1 项应用指引与企业内部控制评价指引和企业 内部控制审计指引之间既相互独立、又相互联系，形成一个有机整体。 3 2 1 应用指引 应用指引由三大类组成：内部环境类指引、控制活动类指引、控制手段类指 引。这三类指引基本涵盖了企业资金流、实物流、人力流和现金流等各项业务和 事项。 ( 1 ) 内部环境类指引 内部环境是企业是企业实施内部控制的基础，支配着企业全体员工的内控意 识，影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。内部环 境类指引之所以具有基础性地位，是因为它们构成企业的基本条件，对企业的经 营与发展起着决定性与不可或缺的作用。内部环境类指引包括组织构架、发展战 略、人力资源及人力资本、社会责任和企业文化等指引。 组织架构是企业按照国家有关法律法规、股东大会决议和企业章程，结合本 企业实际，明确股东大会、董事会、监事会、经理层和企业内部各层级机构设置、 职责权限、人员编制、工作程序和吸纳公关要求的制度安排。企业要实施发展战 略，必须要有科学的组织架构，主要包括治理机构和内部机构设置。 发展战略是企业今后的发展方向，一个企业如果想在竞争激烈的市场竞争中 生存下去，其战略规划是十分关键和必须的。今后路在何方是一个问题，面对多 条道路做出正确的选择也是一个问题。摸着石头过河在当今的市场经济中已经变 得不可能了。 人力资源及人力资本在今天的企业变得越来越重要。人力资源简单来说就是 所谓的人手问题，人力资本简单来说是高层管理者。人力资源构架出企业的脊梁， 是企业的基石，人力资本带领人力资源共同创造出企业的未来。两者既相互协作 又相互制约，缺一不可。 社会责任是指企业在经营发展过程中应当履行的社会职责和义务，主要包括 安全生产、产品质量、环境保护、资源节约、促进就业、员工权益保护等。企业 认真履行社会责任，对实现其与社会、环境的全面协调和可持续发展具有重要的 促进作用。 企业文化是企业真正的灵魂，是企业独立于世的唯一标识。没有企业文化的 企业只能是一个行尸走肉。每个企业的文化都是不同的、独特的，也正是由于这 种不同及独特才该使得企业具有其核心竞争力。为什么说企业文化才是核心竞争 力，是因为企业文化的不可复制性所造成的。 ( 2 ) 控制活动类指引 控制活动是对各项具体业务活动实施的控制。具体业务活动包括采购业务资 金活动、资产管理、研究与开发、销售业务、工程项目、业务外包、财务报告担 保业务等。 资金活动是企业筹资、投资和资金营运等活动的总称。资金是企业生产经营 循环的血液，是企业生存和发展的基础，决定着企业的竞争能力和可持续发展能 力。采购是指购买物资( 或接受劳务) 及支付款项等相关活动，采购过程中存在 很多风险。资产管理主要是对企业存货、固定资产和无形资产等资产的管理。加 强各项资产的管理，有利于维持企业正常生产经营，有利于促进企业发展战略的 实现。销售是指企业出售商品( 或提供劳务) 及收取款项等相关活动。企业应加 强销售、发货、收款等环节的管理，采取有效的控制措施。研究与开发是指企业 为获取新产品、新技术、新工艺等所开展的各种研发活动，是企业进行自主创新 的重要手段。研究与开发风险是指企业组织实施研发活动中对企业目标实现影响 的程度，包括机会和损失两方面的不确定性。工程项目是企业自行或者委托其他 单位进行的建造、安装活动。工程项目风险涉及的当事人包括工程项目的业主 项目法人、工程承包商和工程咨询人涉及仁监理人，控制措施不当，往往会导 致企业承担法律责任。担保是企业按照公平、自愿、互利的原则向被担保人提供 一定方式的担保并依法承担相应法律责任的行为。业务外包是企业利用专业化分 工优势，将日常经营中的部分业务委托给企业以外的专业服务机构或其他经济组 织( 承包方) 完成的经营行为。财务报告是企业财务信息对外报告的重要形式之 一，财务报告编制、审核及分析利用过程中存在诸多风险。 ( 3 ) 控制手段类指引 控制手段类指引侧重于所谓“工具”的性质，往往涉及企业整体管理或业 务。此类指引有四项，包括合同管理、全面预算、信息系统及内部信息传递。 全面预算是企业对其一定期间投资活动、经营活动、财务活动等方面作出的 预算安排。全面预算是一种全过程、全方位、全员参与编制和实施的预算管理模 式。合同是企业与自然人、法人及其他组织等平等主体之问设立、变更、终止民 事权利义务关系的协议。合同管理往往是企业内部控制中最容易疏忽和最薄弱的 环节之一。内部信息传递是企业内部各管理层级之间通过内部报告形式传递生 产、经营、管理信息的过程，企业如果没有建立起有效的内外部信息收集、分析、 处理、传递和反馈体系，很难保证信息及时准确沟通，进而也无法促进内部控制 体系有效运行、防范并控制经营风险。信息系统是信息内部传递和信息对外报告 的技术手段，是企业利用计算机和通信技术，对内部控制进行集成、转化和提升 所形成的信息化管理平台。 1 4 3 2 2 评价指引 内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面 评价、形成评价结论、出具评价报告的过程。内部控制评价指引主要包括：内部 控制评价的内容内部控制评价的组织、内部控制缺陷的认定、内部控制评价报告 的披露和报送。 ( 1 ) 内部控制评价的内容。内部控制评价指引对企业内部控制评价内容的 相关规定，是我国企业内部控制体系建设的重大创新。发达的市场经济国家及地 区的惯常做法，是要求企业对与财务报告相关的内部控制的有效性进行企业自我 评价，而我国的评价指引则在此基础上更进一步，要求企业根据应用指引、基本 规范以及企业自身的内部环境、内部控制制度、风险评估、信息与沟通、控制活 动、内部监督等诸多要素，对内部控制有效性进行全面评估。 ( 2 ) 内部控制评价的组织。企业内部控制评价工作是否有效实施，极大程 度上取决于该企业能否具备完善的组织领导架构。内部控制评价工作对许多国内 企业来说接触不多，为有效指导企业做好此项工作，评价指引专门对内部控制评 价的组织领导架构作出了明确、具体的要求。评价指引及基本规范要求企业对内 部的专门机构或者审计机构授权，由专门机构对内部控制评价的具体组织实施工 作负责。 ( 3 ) 内部控制缺陷的认定。内部控制缺陷包括涉及设计缺陷和运行缺陷。 企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部 控制评价，由内部控制评价u b m e n 进行综合分析后提出认定意见，按照规定的期 限和程序进行审核后予以最终认定。 ( 4 ) 内部控制评价报告。企业应当根据年度内部控制评价结果，结合内部 控制评价工作底稿和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时 编制内部控制评价报告。 ( 5 ) 内部控制评价报告的披露或报送。评价指引要求，内部控制评价报告 应当报经董事会或类似权力机构批准后对外披露或报送相关部门。企业应当以 1 2 月3 1 日作为年度内部控制评价报告的基准曰，并于基准日后4 个月内报出内 部控制评价报告。对于基准日至内部控制评价报告报出日之间发生的影响内部控 制有效性的因素，企业应当根据其性质和影响程度对评价结论进行相应调整。 3 2 3 审计指引 内部控制审计指引是指会计师事务所接受委托，对特定基准日内部控制设计 与运行的有效性进行审计。审计指引主要内容包括：审计责任划分、审计范围、 整合审计、利用被审计单位人员的工作、审计方法、评价审计缺陷、出具审计报 告。 该指引要求注册会计师出具的审计报告涉及非财务报告内部控制和财务报 告内部控制两大方面，同时，提供了四种内部控制审计报告参考形式，分别是无 法表示意见内部控制审计报告、标准内部控制审计报告、否定意见内部控制审计 报告、带强调意见段的无保留意见内部控制审计报告。对于非财务报告企业内部 控制缺陷的处理，该指引分不同情况特别提出如下要求：注册会计师认为非财务 报告企业内部控制的缺陷为重要缺陷的，应当以书面形式与该企业的管理层沟 通，提示该企业加以改进，但无须在内部控制审计报告中说明；注册会计师认为 非财务报告企业内部控制缺陷为一般缺陷的，应当与该企业进行沟通，提示该企 业加以改进，但无须在内部控制审计报告中说明；注册会计师认为非财务报告企 业内部控制缺陷为重大缺陷的，应当以书面形式与该企业管理层沟通，提示企业 加以改进，同时应当在该企业内部审计报告中增加对此非财务报告内部控制重大 缺陷描述段，对重大缺陷与实现相关控制目标的影响程度以及性质进行披露，提 示该内部控制审计报告的使用者注意可能的风险。 1 6 第4 章我国上市公司内部控制现状 深圳市迪博企业风险管理技术有限公司于2 0 1 0 年9 月2 日发布中国上市 公司2 0 1 0 年内部控制白皮书，其研究结论如下： 1 我国上市公司内部控制整体水平偏低。在1 7 6 3 家样本中，内部控制整体 水平偏高的仅占样本总数的1 4 7 ，内部控制整体水平中等的占5 1 9 6 ，内部 控制整体水平偏低的占4 6 5 7 。 2 2 0 0 9 年披露了内部控制自我评估报告的上市公司内整体内部控制水平优 于未披露的上市公司。 3 2 0 0 9 年出具会计师事务所内部控制鉴证报告的上市公司整体内部控制水 平优于未出具的上市公司。 4 2 0 0 9 年设立了内部审计部门的上市公司整体内部控制水平优于未设立的 上市公司。 5 2 0 0 9 年非st 股上市公司内部控制整体水平优于st 股上市公司。 6 2 0 0 9 年未受违法违规处罚的上市公司整体内部控制水平优于遭受处罚的 上市公司。 7 2 0 0 9 年上证5 0 指数成分股和深证成分指数样本股整体内部控制水平优 于非成分股。 8 2 0 0 9 年财务审计报告类型为标准无保留意见的内部控制整体水平最高， 无法表示意见的内部控制整体水平最低。 9 内控水平与上市时间显著负相关，即上市时间越短，内控水平越好。 1 0 内控水平与2 0 0 8 年度是否亏损显著负相关，即2 0 0 8 年度盈利的公司比 2 0 0 8 年度亏损的公司内控水平更好。 1 1 内控水平与前三名董事薪酬总额显著正相关，即前三名董事会成员薪酬 越高，内控水平越好。 1 2 投入资本回报率与内部控制水平之问呈显著的正相关关系，即内部控制 越好的公司投入资本回报率越高。 根据有关资料，2 0 0 2 年沪、深两市大约有6 0 的上市公司资金被大股东占用， 占用资金曾高达千亿元以上。为有效整治上市公司大股东占款，2 0 0 5 年1 0 月国 务院批准证监会关于提高上市公司质量的意见，同时加大了刑事打击力度， 至2 0 0 7 年底没有解决的占用资金不到1 0 0 亿左右。但随着国际经济形势的变化， 国家经济政策的改变，上市公司大股东占款又有所抬头。2 0 0 8 年德勤对来自上 交所及其他资本市场上市公司进行调研，受访公司称己建立良好的内部控制机 制，但9 1 受访公司称在内部控制机制实施方面遇到困难，缺乏完整的模型和强 1 7 制执行力。因此内控机制不完善、不存在以及缺