（工商管理专业论文）我国企业内部控制比较研究——T公司内部控制的案例分析.pdf

ab s t r a c t i n re c e n t y e a r s w i t h c h i n a s r a p id e c o n o m i c d e v e l o p m e n t t h e i m p o r t a n t o f i n t e r n a l c o n tr o l a r e g r o w i n g in t h e e c o n o m y h o w e v e r s o m e e n t e r p r i s e s h a v e a l l s o rt s o f p e r f o r m a n c e w h i c h t h e i n t e r n a l c o n t r o l e x p i r e i n t h e e c o n o m i c a c t iv ity f o r e x a m p l e t h e g o o d f a i t h fl a w t h e f i n a n c i a l i n f o r m a t i o n m a d e t h e v a c a t i o n t h e e n t e r p r i s e c o r r u p t e d p r a c t i c e s fr e q u e n t l y h a p p e n h a d i n d i c a t e d i f i n t h e i n t e r n a l c o n t ro l h a d t h e d e s i gn o r t h e fu n c t i o n fl a w i t c a n 颧 v e t h e c o u n t ry t h e e n t e r p r i s e t h e i n v e s t o r b r i n g s t h e s e r i o u s e c o n o m i c l o s s a n d h a d t h e b a d s o c i a l i n fl u e n c e t h u s r a i s e d fr o m t h e o b j e c t i v e o f t h e i n t e r n a l c o n tr o l i s a b a s i c d e m a n d t h e r e f o r e c o m p r e h e n s i v e ly c o n s t r u c t s t h e d e s i gn t o b e r e a s o n a b l e a n d t h e e x e c u t i o n e ff e c t i v e in t e r n a l c o n tr o l s y s t e m i n c h in a a r e b o t h s o p h i s t i c a t e d e n t e r p r i s e m a n a g e m e n t n e e d s a n d t h e e n t e r p r i s e ri s k m a n a g e m e n t n e e d s e ff e c t i v e i n t e r n a l c o n tr o l i m p r o v i n g t h e c o m p a n y s o p e r a t in g e ff i c i e n c y a n d e ff e c t iv e n e s s e n h a n c e c o r p o r a t e d i s c l o s u r e o f i n f o r m a t i o n r e l i a b i l i ty e n s u r e l a w f u l r e g u l a t i o n s p r o t e c t i o n o f t h e l e g it im a t e ri g h t s a n d i n t e re s t s o f i n v e s t o r s a n d t o e n s u r e t h a t t h e c a p i t a l m a r k e t i s t h e e ff e c t i v e f u n c t i o n i n g o f v e ry i m p o r t a n t s i g n i f i c a n c e t h i s a r t i c l e re v i e w e d s e v e r a l s t a g e s w h i c h t h e i n t e r n a l c o n tr o l t h e o ry e x p e r i e n c e s d e e p e n s t o t h e i n t e rn a l c o n tr o l c o n n o t a t i o n u n d e r s t a n d i n g t a k e t h e c o s o c o m m i tt e e s ri s k m a n a g e m e n t fr a m e a n d t h e i n t e r n a l c o n tr o l fr a m e a s a t o o l a n a l y s i s o f t h e i n t e rn a l c o n tr o l f r a m e w o r k o n t h e b a s i s o f t h e u n i t e d s t a t e s s a r b a n e s 一o x le y a c t i n t o t h e c h i n e s e e n t e r p r i s e i n t e r n a l c o n tr o l re s e a r c h i n t h e s h a n g h a i s t o c k m a r k e t a n d t h e s h e n z h e n s to c k m a r k e t i s s u e d in t e r n a l c o n tr o l g u i d e l i n e s t o li s t c o m p a n i e s t h e n a t i o n a l c a p i t a l c o m m i tt e e f o r mu l a t e s t h e c e n tr a l e n t e r p ri s e c o m p re h e n s i v e ri s k m a n a g e m e n t d i r e c t i o n f o r a m o r e c o m p r e h e n s i v e c o m p a r i s o n a n d a n a l y s i s i n t e r n a l c o n tr o l t h e o ry w i t h t h e m i n i s t r y o f f i n a n c e r e c e n t ly p u b l i s h e d i n t e r n a l c o n tr o l r e g u l a t i o n s t o c a r r y o n t h e i n t e r p r e t a t i o n a n d a n a l y s i s t h r o u g h t h e a b o v e re s e a r c h t h e u n i t e d s t a t e s i n i n t e r n a l c o n tr o l t h e o ry a n d i m p l e m e n t a t i o n o f t h e c o m p a r a t i v e a n a l y s i s i n t e r n a l c o n tr o l i s s u e s o n t h e c o m p a r a t i v e s t u d y o f c h i n a s c u r r e n t s t a g e o f i n t e r n a l c o n t r o l b u i l d 吨 s tr o n g p r a c t i c a l s i g n i f i c a n c e f i n a l l y ab s t r a c t t h r o u g h t c o r p o r a t i o n w h i c h g o e s o n t h e m a r k e t i n t h e s h a n g h a i s t o c k m a r k e t c a r r i e s o n t h e e n t e r p r i s e i n t e r n a l c o n t r o l t h e c a s e a n a l y s i s e v a lu a t e t h e e x i s t i n g e n t e r p r i s e s i n t h e i n t e rn a l c o n t r o l s y s t e m a c c o r d i n g t o t h e s h a n g h a i s t o c k m a r k e t i n t e r n a l c o n t r o l d i r e c t i o n t h e i m p l e m e n t a t i o n s u g g e s t i o n k e y w o r d s i n t e rna l c o n t r o l r i s ks a r b a n e s o x l e y a c t i i i 南开大学学位论文版权使用授权书 本人完全了解南开大学关于收集 保存 使用学位论文的规定 同意如下各项内容 按照学校要求提交学位论文的印刷本和电子版 本 学校有权保存学位论文的印刷本和电子版 并采用影印 缩印 扫描 数字化或其它手段保存论文 学校有权提供目 录检索以及提供 本学位论文全文或者部分的阅览服务 学校有权按有关规定向国家有 关部门或者机构送交论文的复印件和电子版 在不以 赢利为目的的前 提下 学校可以适当复制论文的部分或全部内 容用于学术活动 学 位 论 文 作 者 签 名 妙d y 年 犷 月 3 j 日 经指导教师同意 本学位论文属于保密 在年解密后适用 本授权书 指导教师签名 学位论文作者签名 解密时间 年月日 各密级的最长保密年限及书写格式规定如下 内部 5 年 最长5 年 可少于5 年 秘密 1 0 年 最长1 0 年 可少子1 0 年 机密 2 0 年 最长2 0 年 可少于z 0 年 南开大学学位论文原创性声明 本人郑重声明 所呈交的学位论文 是本人在导师指导下 进行 研究工作所取得的成果 除文中已 经注明引用的内容外 本学位论文 的研究成果不包含任何他人创作的 己公开发表或者没有公开发表的 作品的内容 对本论文所涉及的研究工作做出贡献的其他个人和集 体 均己在文中以明 确方式标明 本学位论文原创性声明的法律责任 由本人承担 学 位 论 文 作 者 签 名 妙熟 3 d 0 7 年犷 月 日 引言 内 部控制历来是包括企业在内的所有组织和机构正常运转的制度基础 内 部控制是企业各项管理工作的基础 是企业持续健康发展的保证 健全有效的 内 部控制被视为是一种解决许多潜在问题的有效方法 随着我国经济的迅速发展 内 部控制在现代经济生活中的重要性越来越突 出 但严峻的现实却告诉我们有关内部控制失效的 种种表现 诚信缺失 会计 信息造假 企业舞弊案件频发等等 表明内部控制如在设计上有缺陷 在作用 上有缺失 往往会给国家和企业带来严重的经济损失 并造成恶劣的社会影响 从而从客观上提出了对内部控制建设的基本诉求 因此 全面构建设计合理 执行有效的中国内部控制体系 既是企业精细化管理的需要 也是企业应对经 营风险的需要 更是企业提升核心竞争力的需要 有效的内部控制 对于提高 公司经营的效果与效率 增强公司信息披露的可靠性 确保公司行为合法合规 保护投资者的合法权益并保证资本市场的有效运行有着非常重要的意义 美国安然公司会计造假丑闻发生后 2 0 0 2 年7 月美国国会通过了 萨班斯 奥克斯利法案 对公司内 部控制提出了更严格的要求 在我国 2 0 0 6年 6 月5 日 上海证券交易所出台了 上海证券交易所上市公司内 部控制指引 同年 9 月2 8 日 深交所也发布了 上市公司内 部控制指引 这两份文件亦被业界称之 为中国 萨班斯法案 的雏形 企业内 控和风险管理的制度体系建设也由 此进 入关键的时期 随着我国加入世贸组织 要求各单位逐步建立符合国际化要求 的管理体系 其基础就是要建立现代化的内部控制体系 因此构建适合中国国 情具有可操作性的中国式的全面控制框架将具有十分重要的理论和现实意义 本文的研究是围绕企业内部控制这个核心展开的 通过回顾企业内 部控制 理论发展阶段 寻求企业内部控制的发展趋势 并对 c o s o的内部控制整合框 架和风险控制整合框架进行了对比研究 分析了二者之间的联系和区别 接下 来对中美的内部控制的实施进行了对比 首先分析了以c o s o内部控制整合框 架为内部控制理论依据的萨班斯 奥克斯利法案 然后对我国内 部控制目 前 存在的问 题及成因进行了 剖析 在对我国内部控制的制度层次进行了归纳的基 础上 着重对比上海证券交易所和深圳证券交易所颁发上市公司内部控制指引 以及国资委制定的中央企业全面风险管理指引 进行了 较为全面的比较和分析 引言 并用内部控制理论对财政部近期公布 企 业内部控制规范 征求意见稿 进 行解读和分析 本文最后通过在上海证券交 易所上市的t公司进行企业内 部控 制的案例分析 对企业现有的内 部控制制 度进行评价 提出了 按照上海证券交 易所的内 部控制指引构建企业内 部控制的实施建议 按照这个研究目 标 本文从研究方法上来看 综合运用了多种研究方法 例如比 较分析法 系统分析方法 制度分析 方法 本文的论述分为四章 引言部分阐述了本文的选题背景和研究目 的 研究思路和研究方法 简要 介绍本篇文章的框架结构和创新点 第一章是内部控制的相关理论回顾 本章回顾了企业内部控制的各个阶段 的理论研究成果 第二章详细介绍和分析了当前普遍应用的内 部控制工具 c o s o委员会发布 的内部控制整合框架和企业风险管理整合框架 并对二者的概念进行了界定分 析了两个框架之间的关系 第三章是对中美企业内 部控制的实施进行比 较分析 以c o s o委员会内部 控制整合框架为基础的美国的萨班斯一 奥克斯利法案与我国企业的内部控制相关 制度进行比较分析 力图借鉴的基础上得到启示 寻求适合我国国情的内 部控 制制度 本章还对近年出台的上海证券交易所和深圳证券交易所颁发上市公司 内部控制指引以及国资委制定的中央企业全面风险管理指引 进行了较为全面 的比较和分析 并用内部控制理论对财政部近期公布 企业内部控制规范 征 求意见稿 进行解读和分析 第四章是在前面分析研究的基础上通过 在上海证券交易所上市的t公司进 行企业内部控制的案例分析研究方法结合内 部控制框架和要素对企业现有的内 部控制制度进行评价 提出了按照上海证券交易 所的内部控制指引构建企业内 部控制的实施建议 本文的创新主要有三点 对美国的 萨 班斯一 奥克斯利法案与我国 企业的内 部 控制相关制度进行比较分析 分析研究了 我国 近期出台的规范和指引所采用的 不同理论框架 案例的分析对于企业在原有的内 部控制基础上依据新发布上市 公司指引进行内 部控制建设有一定参考价值 第一章内部控制的 相关理论回顾 第一章内部控制的相关理论回顾 第一节 内 部牵制阶段 1 1 早期的内部控制 内 部牵制 内部控制 在内部牵制的基础上 由企业管理人员在经营管理实践中创造 并审计人员理论总结而逐步完善的自 我监督和自 行调整体系 内部控制 作为一个专用名词和完整概念 直到本世纪3 0 年代才被人们提 出 认识和接受 但在此前的人类社会发展史中 早已存在着内部控制的基本 思想和初级形式 这就是内部牵制 i n t e r n a l c h e c k 例如 在古罗马时代 对会计账簿实施的 双人记账制 即某笔经济业务发生后 由 两名记账人员 同时在各自的账簿上加以登记然后定期核对双方账簿记录 以检查有无记账差 错或舞弊行为 进而达到控制财物收支的目 的 即是典型的内部牵制措施 纵观该时期的内部牵制 它基本是以查错防弊为目的 以职务分离和账目 核对为手法 以钱 账 物等会计事项为主要控制对象 其概念基本如 柯氏 会计辞典 的定义 即为提供有效的组织和经营 并防止错误和其它非法业务 发生而制定的业务流程 其主要特点是以 任何个人或部门不能单独控制任何一 项或一部分业务权利的方式进行组织上的责任分工 每项业务通过正常发挥其 它个人或部门的功能进行交叉检查或交叉控制 内部牵制隐含两个假设 两个或两个以 上的人或部门无意识的犯同样的错 误的可能性很小 两个或两个以上的人或部门有意识的传统舞弊的可能性大大 低于单独一个人或部门舞弊的可能性 它要求在企业经营管理中凡涉及财产物 资和货币资金的收付 结算及其登记工作 应当由两个或两个以 上的员工来处 理 以便彼此牵制 查错防弊 1 1 2 内部牵制的职能 内部牵制主要有四个职能 1 实物牵制 例如把保险柜钥匙交给两个以 上的工作人员 不同时使用保险柜就无法打开 2 物理牵制 例如仓库的门 不按正确程序操作就打不开 甚至会自 动报警 3 分权牵制 例如把每项业 务都分别由 不同的人或部门去处理 以防止错误和舞弊的发生 4 薄记牵制 第一章 内部控制的相关理论回顾 例如定期将明细帐与总帐进行核对等 内部牵制是基于企业经营管理的需要 在生产规模较小和管理理论比 较原 始的条件下 通过总结以 往的 经验在实践的基础上逐渐形成的 内部牵制制度 作为现代内部控制的雏形其主要目的就是查错防弊 通过人员之间职能的牵制 实 现对财产物资和货币资金的控制 第二节 1 9 3 4 年 美 国 内 部会计控制与内部管理控制阶段 证券 交 易法 首 先 提 出 了 内部 会 计 控 制 i n t e r n a l a c c o u n t i n g c o n t r o l s y s t e m 的概念 其中 指出 证券发行 人应设计并维护一套能为下列目 的提供合理保证的内部会计控制系统 交易依 据管理部门的一般和特殊授权执行 交易的记录必须满足g a a p 或其他适当标准 编制财务报表和落实资产责任的需要 接触资产必须经过管理部门的一般和特 殊授权 按适当时间间隔 将财产的账面记录与实物资产进行对比 并对差异 采取适当的补救措施 1 9 3 6年美国会计师协会发布的 注册会计师对财务报表的审查 文告 以 及1 9 4 7 年 审计准则暂行公告 t s a s 出于改进审计方式的需要 提出了以 内 部控制 i n t e r n a l c o n t r o l 为基础的审计程序 但这期间 无论在审计文 献中还是在其他管理著作中 均没有关于内部控制概念的权威性定义 为了赋 予内部控制一个准确完整的定义 审计程序委员会下属的内部控制专门委员会 经过两年研究 于1 9 4 9 年发表了 题为 内部控制 协调系统诸要素及其对管理 部门和注册会计师的重要性 的 专题报告 对内部控制首次做出了 如下权威定 义 内 部控制是企业所制定的旨 在保护资产 保证会计资料可靠性和准确性 提高经营效率 推动管理部门所制定的各项政策得以贯彻执行的组织计划和相 互配套的各种方法及措施 该定义是从企业经营的角度来定位内 部控制的 内 容不局限于与会计和财务部门 直接有关的控制 还包括预算控制 成本控制 定期报告 统计分析 培训计划和内 部审计以及技术与其他领域的 经营活动 这个定义得到了公司经理们的 普遍赞同 当时被普遍认为是对内 部控制这一重 要概念的重大贡献 但该报告所定义的内部控制概念 其内容如此宽泛 从承担为制定审计方 1 张宜吸 内部控制一一基于企业本质的研究 北京 中国财政经济出版社 2 0 0 4 第一章内部控制的相关理论回顾 案而对内 部控制进行检查的责 任角度考虑 审计界认为 这一定义范围过宽 1 9 7 2 年 美国 准则委员会 a s b 审计准则公告 的 制定者 循着 证券交易法 的路线进行研究和讨论 在第 1号公告 s a s n o 1 中 对管理控制和会计控 制提出并通过了今天广为 人知的定义 内部会计控制 会计控制由组织计划以及与保护资产和保证财务资料可靠 性有关的程序和记录构成 会计控制旨在保证 经济业务的 执行符合管理部门 的一般授权或特殊授权的要求 经济业务的记录必须有利于按照一般公认会计 原则或其它有关标准编制财务报表 以及落实资产责任 只有在得到管理部门 批准的情况下 才能接触资产 按照适当的间隔期限 将资产的账面记录与实 物资产进行对比 一经发现差异 应采取相应的补救措施 内部管理控制 管理控制包括但不限于组织计划以 及与管理部门授权办理 经济业务的决策过程有关的 程序及其记录 这种授权活 动是管理部门的职责 它直接与管理部门执行该组织的经营目 标有关 是对经济业务进行会计控制的 起点 上述内 部控制定义的演变反映出两个重点 第一 当前注册计师在开展其 审计工作时所运用的会计控制概念 是一种纯技术的 专业化的 适用范围具 有严格规定性的 防护色彩很浓的概念 它的主要宗旨 是预防和发现错弊 第 二 自 审计程序委员会于1 9 4 9 年提出第一个内 部控制定义起 人们为完善该定 义作了不懈的努力 以 至于今天的内部控制定义与1 9 4 9 年的定义有天壤之别 这种以会计控制为主的定义 虽为独立审计界认可 却屡屡遭到管理人员代言 人的攻击 他们指出 这些定义把精力过多地放在纠错防弊上 过于消极和狭 窄审计准则委员会所纳入 内 部会计控制环境 的 某些因素应该是设计合理 运行有效的内部会计控制系统不可分割的一个组成部分 这些因素包括 组织 计划 责任的确定和授权 预算程序和预算控制 员工雇用计划和财务人员培 训计划 保证所有参与经济业务授权 记录 保护资产 报告财务信息的职员 保持较高的行为道德水准的方 法和措施 从管理人员的角度来看 会计控制和管理控制之间的区别并不大 甚至根 本没有区别 特别是那些置身于企业经营活动的人们 他们很难接受这种区分 第一章内部控制的相关理论回 顾 第三节内部控制整合框架的建立 1 3 内 部控制的概念 从当代管理学角度来解释 所谓控制即操作 管理 指挥 调节的意思 任何组织管理者都非常希望在一种有条不紊的高效率的方式下开展经营活动 提供可靠的 财务会计信息和各项管理信息以 供自 身和其他方面使用 需要一些 控制来减少决策的失误和防工作中的舞弊行为 当 这种控制在组织系统内 部实 施时 通常称其为内 部控制 内部控制是组织为了 提高经营效率和充分有效地 获取和使用各种资 源 达到既定的管理目 标 而在内 部实施的各种制约和调节 的组织 计划 方法和程序 其实质是一种管理控制 是有效执行组织策略的 必备工具 1 9 9 2 年美国c o s o报告中对内部控制做了 如下定 义 内部控制是由 企业董事会 经理阶层和其他员工实施的 为营运的效率效 果 财务报告的可靠性 相关法令的遵循性等目 标的实现而提供合理保证的过 程 其构成要素 包括 控制环境 风险评估 控制活动 信息和沟通 监控 2 该 报告是迄今为对内 部控制最为全面的描述 这些概念的提出 统一了当时人们 对内部控制的认识 并为评价内部控制系统提供了一套完整的评价标准 该定义反映了以下基本概念 内部控制是一个过程 并由 控制环境 风险评估 控制活动 信息和沟通 监控活动五个要素构成 这五项要素不是内部控制活动过程中先后顺序上的一 道道工序 而是一 个多方向交叉的多维的反复的过程 内部控制活动具有复杂 性 其各控制要素之间是有机的多维的联系并相互影响 内部控制本身不是目的 而是实现目的的手段 内部控制目 标是帮助企业 实现经营目 标 规避经营过程中的风险 实现企业价值最大化 内部控制是由人来设计和实施的 内 部控制不是停留在纸面上的制度手册 和表格 企业中每位员上都受内部控制的影响 并通过自身的工作影响着他人 的工作和整个内 部控制系统 内部控制要渗透到企业经营和管理中每个经理和员上的日常经营责任中 而不是独立的 行为 当 管理人员与其他员工将控制活动看作是日 常运作的一部 分 而不是额外的附加活动时 它才是最有效的 内部控制系统是内置于企业 2 i n t e r n a l c o n t ro l i n t e g r a t e d f r a m e w o r k e x e c u t i v e s u m m a ry w w w c o s o o r g 第一章内 部控制的相关理论回顾 经营和管理过程中的一项基础上作 与管理活动的计划 执行和监督职能交织 融合在一起 内部 控制只能做到 合理 保证 不论设计及执行有多么完善 内部控制 都只能为 管理阶层及董事会提供达成企业目 标的合理保证 人们从现代管理实践中逐渐认识到内部控制是一种管理体系 它是现代分 权管理的重要手段 也是现代管理最重要的方式 它己经成为业务较为复杂的 大中型企业进行有效管理必不少的技术 是实现组织管理高效化 专业化 规 范化 自 动化最基本的条件 1 3 2 内 部控制整合框架的建立 美国注册会计师协会的文献界定了会计控制概念 而公司的经理们创立并 在实践中 运用着管理控制概念 这两个概念形成鲜明的对照 于是 人们提出 t内 部 控 制整 合框 架 i n t e r n a l c o n t r o l i n t e g r a t e d f r a m e w o r k 的 概念 1 9 9 2年 美 国的 内部控制专门研 究委员会发起机构委员会 c o m m i t t e e o f s p o n s o r i n g o r g a n i z a t i o n s o f t h e t r e a d w a y c o m m i s s i o n 简称c o s o 委员会 提出专题报告 内部控制 整合框架 简称c o s o 内控 框架 c o s o报告指出 内 部控制是一个过程 受企业董事会 管理当局和其他员 工影响 旨 在保证财务报告的可靠性 经营的效果和效率以及现行法规的遵循 它认为内 部控制整体架构主要由 控制环境 风险评估 控制活动 信息与沟通 监督五项要素构成 归结上述文献 可以看出内部控制是为合理保证单位经营活动的效益性 财务报告的可靠性和法律法规的遵循性 而自 行检查 制约和调整内 部业务 活动的自 律系统 其贯穿于经营活动的全部过程 包括控制环境 风险评估 控制活动 信息与沟通 监督等要素 并受企业董事会 管理阶层及其他人 员影晌 内部控制在近5 0 年时间内 可分为 三个历史阶段 第一阶段到第二阶段花 了近4 0 年时间 而第二阶段到第三阶段只有5 年时间 而且前两个阶段只是作 为会计职业界的视角来认识内部控制 但到了第三阶段对内部控制的共识扩大 至所有会计财务审计组织 内部控制在这段期间之所以有这么大的发展速度 除企业内 部管理自 身因素外 外部尤其是政府的推动亦是关键因素 第一章内 部控制的 相关理论回顾 我国资本市场在短短的十多年的发展历程中 暴露了很多会计信息失真的 问 题 例如 2 0 0 1 年的银广厦事件 上市公司银广厦 1 9 9 9 年度 2 0 0 0 年度 业绩绝大部分来自 造假 对我国 上市公司的经营失败和公司舞弊指控的增多 财务报告内部控制的重要性日 益显现 我国政府从9 0 年代开始加大对内 部控制 的 推动作用 相继颁布了多项与内部控制相关的法律法规 政策和规定的出台 和拟定 对改善我国企业的内部控制的现状 完善公开发行证券公司信息披露 制度 保护投资者的合法权益并保证资本市场的有效运行有着非常重要的 意义 随着各项法规的制定和实施必将有力推动我国内部控制的发展 第二章 内 部 控制整合框架与企业风险管理整合框架 第二章内部控制整合框架与企业风险管理整合框架 第一节 c o s o 的内部控制整合框架 2 1 1 c o s o简介 c o s o全 称为 发 起机 构 委员 会 c o m m i t t e e o f s p o n s o r in g o r g a n i z a t i o n s o f th e t r e a d w a y c o m m i s s io n 它 是 一 个自 愿性 质的 私营 机 构 致 力 于 通过商 业 伦 理 有效的内 部控制和公司 致力来提高财务报告质量 c o s o最早成立于 1 9 8 5 年到目前为止主要发布了两份文件 1 9 9 2年 c o s o发布了著名的 内部控制 整合框架 成为内 部控 制领域最为权威的文献之一 2 0 0 3 年7 月 c o s o 发布了 企业风险管理 整合框架 征求意见稿 以下简称e r m 经过一 年多的意见反馈 研究 修改 2 0 0 4 年九月发布了最终的文本 2 1 2 内部控制整合框架内 容 c o s o内 控框架中指出内 部控制是由董事会 管理当局和其他职员实施的一 个过程 旨 在为下列各类目 标的实现提供合理保证 经营效果和效率 财务报告的 可靠性 遵循适用的法律和法规 在c o s o内部控制框架以前 内部控制对于不 同的人具有不同的意义和内 涵 内部控制内涵的广泛性和多样性 使得难以对 内部控制有一个公认的理解 这造成了经商人士 立法者 监管机构和其他相 关方的困惑 同时导致企 业由 于沟 通有误和期望不同 而产生问 题 所以 c o s o 内 控框架是在考虑管理层和其他方面的需求和期望的 基础上将对内部控制的不 同概念整合到一个框架中 从而达到对内部控制的共识 确定 控制的构成要素 试图建立一个适用于各方需求的通用的定义 提供一个标准 无论规模大小 公众还是私人的 盈利性的 还是非盈利性的业务和企业 均可以 参照该标准评 估他们的控制系统并决定如何改进 从而帮助公司和企业的管理层更好地控制 组织的活动 c o s o内 控框架指出内 部控制包括控制环境 风险评估 控制活动 信息和 沟通 监督五个相互联系的 组成要素 如图2 1 正方体所示 c o s o内控框架为 管理层提供了评估内部控制所需的标准 第二章内部控制整合框架与企业风险管理整合框架 控制在组 织的 风险偏好之内 为实 现组织的目 标提供合理的 保证 企业风险管理包括 第一 协调风险的容量与战略 风险 容量是一个主体在追求价值的 过程中 所愿意承担的广泛意义上的风险的数量 它反映了企业的风险管理理念 企业 管理者首先要在评价备选战略的过程中考虑主体的风险容量 然后在设定与选 定的战略相协调的目 标的过程中 以 及在构建管理相关风险的机制的过程中 也要考虑主体的风险容量 第二 增进风险应对决策 企业风险管理为识别和在备选的风险应对 风 险回避 降 低 分担和承受 之间进行选择提供了严密性 第三 抑减经营以外的损失 主体增强了识别潜在事项 评估风险和加以 应对的能力 从而降低意外的发生和由 此带来的成本或损失 第四 识别和管理贯穿于企业的风险 每一个主体都面临着影响组织的 不同部分的无数风险 企业管理者不仅需要管理个别风险还需要了解相互关 联的影响 第五 提供对多重风险的整体应对 经营过程带来许多固有的风险 而企 业风险管理能够为管理这些风险提供整体解决方案 例如 一个批发配送商面 临着供货过量和不足 薄弱的供货来源以 及不必要的高采购价格等方面的风险 企业管理者以公司战略 目 标和备选的应对为背景识别和评估风险 开发了一 套广泛拓展的存货控制系统 这个系统与供货商相整合 共享销售和库存信息 帮助选择战略伙伴 并通过长期的进货合同和改进的定价方式 避免缺货和不 必要的 运送成本 由 供应商负责补充库存 从而进一步降 低了成本 第六 抓住机会 通过考虑潜在事项的各个方面 而不仅仅只是风险 企 业管理者就能识别代表机会的事项 第七 改善资本调配 获取关于风险的信息 可以使企业管理者有效地评 估总体资 本的 需求 并改进资本的 配置 企业风险管理固有的这些能力 它能帮助企业管理者实现主体的业绩和盈 利目 标 并防止资源的损失 企业风险管理有助于确保有效的报告 还有助于 确保主体符合法律和法规 避免对主体的 声誉的损害以 及由 此带来的 后果 总 之企业风险管理不仅帮助一个主体到达一个期望的目的地 还有助于避开前进 途中的隐患和意外 第二章内 部控制整合框架与企业风险管理整合框架 2 2 2 企业风险管理整合框架及组成要素 2 0 0 4 年c o s o 委员 会发 布了 企 业 风险 管理 整 合 框 架 简 称e r m e 企业的风险管理包括八个相互关联的构成要素 这些要素来自 于管理者经 营企业的方式 并与管理过程整合在一起 这些构成要素是 2 2 2 内部环境 企业的内部环境是企业风险管理所有其它要素的基础 它提供规则和结构 内部环境影响如何制定战略和目 标 如何组织经营活动以及如何识别 评价对 风险采取的行动 它影响控制活动 信息与沟通体系及监督活动的 设计和职能 内部环境由许多要素组成 包括企业的道德价值观 员工的胜任能力和发 展 管理者的经营风格以 及它如何分配权利和责任 董事会是内 部环境的一个 关键部分 它对其他的内部环境要素有重大的影响 2 2 2 2 目标的设定 目 标的设定是事项识别 风险评估和风险识别的前提 根据既定的任务或远景 管理者制定战略目标 选择战略并制定贯穿企业 并与战略相联系的相关目 标 在管理者识别和评估实现目 标的风险并采取行动 来管理风险之前 首先必须有目 标 企业的目 标可以分为以 下四 种类型 第一 战略的目 标 与高 层目 标有关 结合支持企业的任务和远景口 第二 经营目 标 与企业的经营有效性和效率有关 包括绩效和利润目 标 它们随管理者对结构和业绩的选择而异 第三 报告目 标 与企业报告的 可靠性有关 它们包括内 部和外部报告 可能涉及到财务和非财务信息 第四 合规目 标 与企业遵守 使用的法律和法规有关 企业目 标的分类允许管理者和董事集中关注企业风险管理的不同 方面 一 类别中的一项目标可能会与另一类的一项目 标交叉或相互支持 例如 为业务 部门 和控制生产活动而提供可靠的信息 可能同时为经营目 标和报告目 标服务 2 2 2 3 事项的识别 事项是源于内 部或外部的影响战略的实施或目 标实 现的事故 或事件 作为 事项识别的一部分 管理者考虑影响事件发生的外部和内 部因素 外部因素包 第二章 内 部控制整合框架与企业风险管理整合 框架 括经济 业务 自 然环境 政治 社会和技术因素 内 部因素反映管理者的选 择并包含诸如基本设施 人员 流程和技术 一个组织的事项识别方法可能把技术和辅助工具结合在一起 事项识别技 术关注过去和未来 集中于过去事项和趋势的技术考虑诸如支付拖欠历史 商 品几个变化和耽搁时间等事项 集中于未来风险的技术考虑诸如人口 统计学 新的市场和竞争者行为等事项 事项可能带来正面或负面的影响 或者二者兼而有之 有潜在负面影响的 事件表示风险 它要求管理者的评价和反应 相应地 风险被定义为一个事件 将发生并对目 标的实现产生负面影响的可能性 具有正面影响或者抵消风险的负面影响的事项代表机会 机会是一个事项 将会发生并对实现目 标和创造价值产生正面影响的可能性 代表机会的事项被 反馈到管理者的战略或目 标制定过程中 以便规划行动去抓住机会 抵消风险 的负面影响的事项在管理者的风险评估和应对中予以 考虑 2 2 2 4 风险的评估 外部和内部因素影响会发生什么事项以及事项将影响主体目 标的程度 尽 管一些因素对于一个行业中的公司而言是共通的 但是其他是想对于特定的主 体而言通常是独特的 原因在于它的既定目 标和过去的选择 在风险评估过程 中 管理者在决定主体风险特征的问题 例如主体的规模 经营的复杂性等 的前提下 考虑主体及其活动相关的潜在未来事项的组合 一个组织的风险评价方法通常由定性和定量技术的结合而组成 如果风险 不适宜于定量 或定量评价所必需的充分可靠数据实际上无法取得或者获取和 分析数据不具有成本效益原则时 管理者通常使用定性的评价技术 定量技术 更精确 用于更复杂的活动以 补充定性技术 通常一个潜在的事件有很多可能的结果 因此管理者把它们视为发展一个 风险反应的基础 通过风险评估 管理者单独或分类地考虑贯穿组织的系列潜 在事件的正面和负面的后果 风险评估首先应用于固有风险 管理者没有采取任何措施来改变风险的 可能性或影响的情况下 一个组织所面临的风险 剩余风险是在管理者的风险 应对之后所残余的风险 一旦风险的反应已 经形成 管理者接下来要用风险评 价技术确定剩余风险 第二章 内 部控制整合框架与企业风险 管理整合框架 2 2 2 5 风险的反应 管理者识别风险反应选择并考虑它们在相关风险 容忍度和成本收益原则下 对事件可能性和效果的 影响 并设计和实施反应选择 有效的企业风险管理要 求管理者选择一个能使预期产生风险可能性和影响置于企业风险容忍度之内的 反应 风险反应可以 分为四 种类型 风险规避 风险降 低 风险分担和风险 接受 规避反应就是采取措施以 排除可能产生风险的活动 降低反应就是降低风险的 可能性 影响或者两者都降低 分担反应就是通过转移来降低风险的可能性或 影响 或者分担一部分风险 承受反应就是不采取任何措施去干预风险的可能 性或影响 在评价了备选风险应对的效果之后 管理者决定它如何管理风险 选择一 个旨 在使风险的可能性和影响处于风险容限 之内的反应或者反应组合 管理者应认识到剩余风险总是存在的 不仅因为资源是有限的 而且因为 固有的未来不确定性及所有活动的固有局限性 2 2 2 6 控制活动 控制活动是帮助确保适当实施风险反应的政策和程序 它存在于整个组织 各个级别和所有职能部门 它们包括一系列不同的 活动 例如批准 授权 验 证 调节 经营业绩评价 资产安全以 及职责分离 控制活动时一个企业努力 实现其业务目 标过程的组成部分 它们通常包括两个要素 确定应做什么的策 略和实施策略的程序 由于广泛依赖于信息体系 从而 对重大体系需要控制 有两大类信息系 统可以使用 第一类是一般控制 它适用于许多并非全部是应用系统得情形 并且有助于确保它们持续 适当地运行 第二类是应用控制 它在应用软件中 包含计算机化的步骤 以便对处理过程进行控制 一般应用和应用控制 在必 要的时候与人工实施的控制结合起来 共同起作用以 确保信息的完整性 准确 性和有效性 一般控制包括对信息技术管理 信息技术基础设施 安全管理和软件购买 开发和维持的 控制 应用控制是用来保证数据捕获和交易处理的完整性 准确 性 授权和有效性 因为每个组织都有它自 己的一套目 标和执行方法 所以风险反应和相关的 控制活动就会存在差别 即 使两个组织有同样的目 标 并且在应该如何实现目 标方面做出了 类似的决策 它们的控制活动可能也有区别 每个组织被不同的 第二章内部控制整合框架与企业风险管理整合框架 人员进行管理 他们运用个人的判断来影响控制 此外 控制反映着一 个组织 经营所处的环境和行业 以及它的组织的规模和复杂性 它的活动的 性质和范 围 它的历史和文化 2 2 2 7 信息和沟通 有关的信息 来自内部的和外部的 必须被识别 捕获并以一种能使员工 履行他们职责的方式传达 有效的沟通也会在更广泛的意义上发生 自 上而下 横向以 及自 下而上等 与外部群体如消费 者 供应商 监督者和股东也有有效 的沟通和相关信息的交换 为支持有效的企业风险管理 一个企业需要捕获和使用历史和现在的数据 现在或当 前状况的数据允许一个组织即时 评价它在特定时点的风险并保持在已 制定的风险容忍度之内 目前状况的数据使管理者可以适时评估一个过程 操 作程序或单元存在的固有风险 并识别和期望的差别 信息是沟通的基础 必须满足小组和个体的期望 使他们能有效地履行它 们的职责 最重要的沟通渠道是高级管理层和董事会之间的沟通 管理层确保 董事会了 解最新的绩效 发展 风险和企业风险管理的运作 以及其他有关的 事件和问 题 沟通越好董事会越能更有效地履行它的监督职能 担任关键问题 的宣传者并提供建议 忠告和指导 同样 董事会应向管理层传达它需要何种 信息并提供反馈和指导 在大多数情况下 一个组织中正常报告途径就是恰当的沟通渠道 但是在 一些情况下 如果正常的渠道不起作用 就需要单独得沟通途径来充当自 动防 故障机制 没有通畅的沟通渠道和倾听的意愿 信息的向上流动就会被闭塞 2 2 2 8 监督 企业的风险管理是被监督的 是一个评价其要素的存在与职能发挥和长期 实施质量的过程 一个组织的企业风险管理随着时间而变化 曾经有效的风险 反应可能会变得不相关 控制活动可能会变得不太有效 或者不再被执行 主 体的目标也可能变化 这些可能是由于主体结构和方向的变化或者引入新流程 所造成的 面对这些变化 管理者需要确定企业风险管理的运行是否持续有效 监控可以以 两种方式进行 通过持续的活动或者个别评价 企业风险管理 机制通常被安排来进行持续的自 我监控 持续监控包含于一个组织正常的 反 复的经营活动之中 持续监控被实时地执行 动态的应对变化的情况 并且植 根于主体之中 因此 它比个别评价更加有效 由于个别评价发生在事后 所 第二章内部控制整合框架与企业风险管理整合框架 以 通过持续监控程序通常能够更迅速地识别问题 许多主体尽管有着良 好的持 续监控活动 也应定期对企业风险管理进行个别评价 感到需要经常性的个别 评价的主体 应该集中精力去改进持续监控活动 表2 1 企业风险管理构件的主要要素 内部控制 风险 管理哲学 一风险文化一董事 会一诚实和道德价值一能力承诺一管理者的 哲学和经 营风格一风险偏好 一组织结构 一权利和职责的分配一人力资源政策和惯例 目 标设定 战略目 标一相关目 标 选择目 标一风险偏好一风险容忍度 事项识别 事项 一影响战略和目 标的因素 一方法和技术 一事 项相互依存一事项类