（工商管理专业论文）业务流程再造视角下的企业内部控制机制建设.pdf

中文摘要 摘要：随着我国企业内部控制基本规范及其配套指引的颁发与实施，我国企 业因合规性的监管要求而急需建立和健全内部控制机制，同时面对市场竞争的外 部压力需要通过业务流程再造进行管理变革。但是，对于内部控制与业务流程再 造之间的关系，无论是企业管理界，还是会计界，都缺乏系统的研究。基于 上述背景，本文首先梳理内部控制和业务流程再造的主要观点和成果，在分 析两者之间关系的基础上来探讨如何从业务流程再造的视角下建立和健全企 业内部控制机制，并结合s h 公司的具体案例，对实施业务流程再造后的e r p 环境下的内部控制机制提出了一些意见和建议，以期对完善我国企业内部控 制机制有所裨益。纵观全文，我们可以得出以下结论和建议： ( 1 ) 内部控制与业务流程再造在企业分工、流程设计和信息技术三个方 面是紧密地联系在一起，但是，两者在追求目标、工具和方法、组织结构、 员工要求和授权方式等方面存在差异。 ( 2 ) 尽管内部控制与业务流程再造存在差异，但是，成本效益原则、内 部控制目标的扩展以及以风险为导向的内部控制机制的建立使从业务流程再 造的视角强化内部控制机制成为必然，并且在技术上是可行的。 ( 3 ) 由于业务流程再造会从根本上改变企业的风险分布图，因此，从业 务流程再造的视角强化内部控制机制的主要思路是重新识别和评估企业所面 临的风险点，针对重大和重要风险点设计与实施关键的内部控制活动。 ( 4 ) 企业在进行业务流程再造时应同时考虑内部控制的基本要求，在实 施业务流程再造和e r p 项目的同时要跟进内部控制项目。 关键词：内部控制；业务流程再造；风险导向 a b s t r a c t a b s t r a c t 、斩t ht h ei s s u a n c ea n di m p l e m e n t a t i o no f t h eb a s i cs t a n d a r df o r e n t e r p n s ei n t 锄a lc o n t r o la n dt h e i m p l e m e n t i n gg u i d e l i n e sf o re n t e r 研s em 姗甜 c o n t r o l ，c m n e s ec o m p a n i e sn e e dt oe s t a b l i s ha n d i m p r o v ei n t e n l a lc o n 加lm e c h 锄i s m s w n l l e 唧l e i i l e n t i n gm a n a g e m e n tc h a n g eb yb u s i n e s sp r o c e s s r e e n g i n e e r i n gi nm ef a c e o re x t e n l a lp r e s s u r eo fm a r k e tc o m p e t i t i o n h o w e v e r , n e i t h e rb u s i n e s sm a n a g e m 锄tn o r m ea c c o 咖t n l gp r o f e s s i o nh a v ec l e a r u n d e r s t a n d i n go nt h er e l a t i o n s h i p b 咖e 铋i n t e m a l c o n 仃o la n d b u s i n e s s p r o c e s sr e e n g i n e e r i n g t h e r e f o r et h ed i s s e r t a t i o nt r i e st op r o b e i n t 0 b u s m e s si n t e r n a lc o n t r o lm e c h a n i s mb a s e do np r o c e s s r e - e n 昏n e 鲥n gp 既s p e c t i v ea r e r a 1 1 a j y z i n gt h er e i a t i o n s h i pb e t w e e nt h e m ，a n di n t r o d u c eac a s eo ns hl i s t e d c o m p a n y w h 0 蚰p l e i l l e n 【e db u s i n e s sp r o c e s sr e e n g i n e e r i n ga n de r p s y s t e mi no r d e rt op r o v i d e n 伽s o l u t i o n sa n dr e c o m m e n d a t i o n so nh o wt o i m p r o v eb u s i n e s si l l t e n l a l c 0 n 仃d l m e c h a r t i s m t h ef o l l o w i n gc o n c l u s i o n sa n dr e c o m m e n d a t i o n sh a v eb e e n p r o v i d e db y t h ed i s s e r t a t i o n ( 1 ) j n t 啪a lc o n t r o la n db u s i n e s sp r o c e s sr e e n g i n e e r i n ga r ec l o s e l v l i n k e di n t e 彻so fd i v i s i o no fl a b o r , p r o c e s sd e s i g n a n di n f o r m a t i o nt 洳o i o g y , b u tt h e r ea r e m a n yd m 蝴1 c e si nt e r m so ft h ep u r s u i to f g o a l s ，t o o l sa n dm e t h o d s ，o r g a n i z a t i o n a l s t m c “l r e ，s t a f f r e q u i r e m e n t sa n da u t h o r i z a t i o nw a y b e t w e e i lt h e n l 2 ) 1 1 1s p l t eo fs u c hd i f f e r e n c e s ，t h ec o s t e f f e c t i v ep r i n c i p l e ，m u i t i p l eo b j e c t i v e s m c i u d e dl ni n t e r n a l c o n t r o l ，a n dr i s k - b a s e di n t e r n a lc o n t r o l m e c h a n i s mm a k ei t n e c e s s a r ya i l dt e c h n i c a l l yf e a s i b l et o s t r e n g t h e ni n t e r n a lc o n t r o lm e c h a n i s mf r o mt h e p e r s p e c t i v eo fb u s i n e s sp r o c e s sr e e n g i n e e r i n g 例y h eb u s i n e s sp r o c e s sr e e n g i n e e r i n gw i l lf u n d a m e n t a l l yc h a n g et h eb u s i n e s s n s km 印，t h e r e f o r e , t h em a j o rs o l u t i o nt os t r e n g t h e ni n t e n l a l c o n t r o lm e c h a n i s mf r o m 妣p 啊) e c t i v eo fb u s i n e s sp r o c e s sr e e n g i n e e r i n gi s r e - i d e n t i f ya n da u s s e s st h er i s k s t a i ：e db yt h ee n t e r p r i s e s ，a n dr e d e s i g na n di m p l e m e n t k e yi n t e n l a lc o n t r o la c t i v i t i 骼t o d e a lw i t hs i g n i f i c a n ta n d i m p o r t a n tr i s k s 【哪m 付l e1 m p l e m e n t a t i o no fb u s i n e s sp r o c e s sr e e n g i n e e r i n g , b a s i c 嘲u i r e m e l l t s o 士i n t e m a lc o 咖is h o u l db et a k e ni n t oa c c o u n t ) a n d t h eb u s i n e s sp r o c e s s 哟! 酉n e 嘶n g 觚de r p 州e c ts h o u l db e a c c o m p a n i e dw i t ht h ei n t e r n a lc o n 们lp r o j e c t 髓珊o l i d s ：i n t e r n a l c o n t r o l ；b u s i n e s sp r o c e s s r e e n 百n e e r i n g ；r i s kb a s e d 致谢 在北京交通大学攻读专业硕士的两年，是我人生中一段难以忘怀的时光。在 学位论文的落笔之际，思绪万千，对我个人来说，能够拥有今天，心中感到知足， 因为我能深刻体会走到今天的幸运与艰辛。为此，在这份具有象征意义的论文致 谢中，我特别感谢那些我要感谢的人。 首先特别感谢我的博士生导师荣朝和教授。先生胸襟疏阔，性格豪爽，海纳 百川。尽管先生工作繁忙，承接各种重大科研项目，但仍在百忙之中抽出时间来 关心我论文的进展状况。先生的严谨，让我体会求学治学的态度。在生活中，记 得每次例会，先生都问候大家的生活状况，鼓励大家认真学习好好做人。每年的 圣诞聚会，先生更是与大家亲切交谈，让大家紧紧团结互相关心共同进步，给我 们以思想的启迪和情操的陶冶，让我领略到了学者的大家风范和人格魅力。本人 才识学浅、功底微薄，总是达不到预想目标，唯有在今后坚持不懈的努力中力争 向上，以不负先生的如海深恩。 感谢北京交通大学经管学院的各位老师们，是您们为我们提供一份学习平台， 并付出了艰辛的劳动。各位同门情谊是我人生旅程中又一笔宝贵的财富，我将永 远在心底珍藏! 感谢全体同窗学友对我的帮助和支持。他们胸怀大志，才思敏捷， 意气风发。两年的共同学习与交流让我获益匪浅，在此表示谢意，同时致以衷心 的祝福! 愿你们踏出校门之后，另有一番光明f i 程。 最后特别感谢我亲爱的丈夫罗胜强博士，是你以极大的宽容给予我及时的关 心与帮助，学业的顺利完成是离不开你的理解与支持! 感谢我的小女儿罗康利， 你的诞生让妈妈拥有了克服一切困难的勇气! 杨芳 2 0 1 1 年5 月l o 日 1 绪论 本章首先从介绍内部控制与业务流程再造的背景入手提出本文的研究主 题和研究意义，继而介绍本文的研究思路和方法以及研究框架。 1 1 选题背景与选题的研究意义 1 1 1 选题背景 内部控制一直是会计界关注的热门课题。自上个世纪以来，安然和世通 等世界知名大公司的一系列财务造假舞弊丑闻不仅严重打击了广大投资者的 投资信心，而且充分暴露了企业在内部控制方面存在的严重问题。为此，会 计理论界和实务界就内部控制纷纷发表言论，并一致认为，当前的内部控制 框架具有一定的局限性。1 9 9 2 年，美国c o s o ( c o m m i t t e eo fs p o n s o r i n g o r g a n i z a t i o n s ) 发布的内部控制一整体框架把人们对内部控制的认识推 进到了前所未有的境界，被誉为内部控制发展史上的一座里程碑。不仅如此， 内部控制变迁的步伐仍未停止，c o s o 于2 0 0 4 年9 月诈式发御的企业风险 管理- - 整体框架( e n t e r p r i s er i s km a n a g e m e n t 一- i n t e g r a t e df r a m e w o r k ， 即e r m ) ，把内部控制与风险管理相融合，扩展到了战略领域，引起了内部控 制观念的根本变革。此外，美国颁布的萨班斯奥克斯利法案及之后的 一系列内部控制规定对内部控制的发展也产生了重大的影响。 2 0 世纪9 0 年代以来，在发达国家兴起了管理变革的浪潮。一些具有代 表性的新思想和新模式陆续创立，出现了在各领域进行管理创新的新局面。 一些新的思想、模式和方法，已在不同的企业中进行试点，并正在接受实践 的考验，业务流程再造( b u s i n e s sp r o c e s sr e e n g i n e e r i n g ，b p r ) 正是在 这样的条件下产生的，并在这些新思想、新模式中处于核心的地位。企业管 理理论界和实务界不断地从不同角度来探讨业务流程再造问题，并积累了大 量的成果。 本文试图针对企业现状，基于企业流程再造的视角来研究企业内部控制 机制建设问题。 1 1 2 选题的现实意义 现代企业面临着来自于企业内外两方面的巨大挑战。公司外部的挑战主 要来自于三个方面：个性化的顾客需求、日益残酷的市场竞争和环境的频繁 变化；而公司内部最大的挑战来自于组织结构科层化带来的活力不足。科学 技术，特别是信息技术的发展，动摇了传统组织结构的基础，使企业业务流 程被各部门割裂的弊端暴露无遗，反映在效率低下、成本较高、竞争力降低 等诸多方面，为此，对企业进行重新审视和设计是企业发展的必然要求。业 务流程再造思想适应了这种需求，并迅速得到了学术界和企业界的认同。 另一方面，2 0 0 8 年6 月2 8 日，我国财政部、证监会、审计署、银监会、保 监会联合发布了企业内部控制基本规范。2 0 1 0 年4 月2 6 日，我国财政部、 证监会、审计署、银监会、保监会等五部委联合发布了企业内部控制应用 指引、企业内部控制评价指引以及企业内部控制审计指引，作为实施 基本规范的具体指南，并要求境内外同时上市的公司自2 0 1 1 年1 月1 日起 在施行，上海证券交易所、深圳证券交易所主板上市公司自2 0 1 2 年1 月1 日起 施行，中小板和创业板上市公司择机施行，鼓励非上市大中型企业提前执行。 因此，如何建立和完善内部控制体系是我国上市公司面临的重大现实问题。 但是，对于内部控制与业务流程再造之间的关系，无论是企业管理界， 还是会计界，都缺乏系统的研究。基于上述背景，本文将试图梳理内部控制 和业务流程再造的主要观点和成果，在分析两者之间关系的基础上来分析和 研究内部控制建设问题，并结合具体案例，对e r p 环境的内部控制设计提出了 一点看法，以期对我国企业内控制度完善有所裨益。 1 2 问题的提出 1 2 1 建立健全内部控制机制的必要性 2 0 0 1 年年底以来，美国安然、世通、施乐、默克制药等一批大公司会计 丑闻接连曝光，诚信危机震撼着美国及国际社会，使人们对美国式自由市场 经济制度产生质疑，全球舆论的焦点集中于美国企业的假账丑闻。为了提高 民众对美国金融市场、政府经济政策的信心，在安然事件的一片混乱中，2 0 0 2 年7 月3 0 日美国总统布什签署了萨班斯一一奥克斯利法案。该法案对渎职 和做假账的企业主管实行严厉的制裁，对上市公司实行更为严格的监管。这 是自罗斯福总统以来美国商业界影响最为深远的改革法案，其中的4 0 4 条款尤 以苛刻和昂贵而闻名。4 0 4 条款规定了管理层对内部控制应承担的责任以及注 册会计师对内部控制的审计要求，注册会计师必须就上市公司的内部控制系 2 统和管理层评估过程出具审计意见，所有上市公司必须在年报中提供内部控 制报告和内部控制评价报告。萨班斯一奥克斯利法案的实施对我国在美国 上市的公司无疑是严峻的考验。 2 0 0 8 年6 月2 8 r ，我国财政部、证监会、审计署、银监会、保监会联合发 布了企业内部控制基本规范。2 0 1 0 年4 月2 6 日，我国财政部、证监会、审 计署、银监会、保监会等五部委联合发布了企业内部控制应用指引、企 业内部控制评价指引以及企业内部控制审计指引，作为实施基本规范 的具体指南，并要求境内外同时上市的公司自2 0 1 1 年1 月1 同起在施行，上海 证券交易所、深圳证券交易所主板上市公司自2 0 1 2 年1 月1 日起施行，中小板 和创业板上市公司择机施行，鼓励非上市大中型企业提前执行。因此，如何 建立和完善内部控制体系是我国上市公司面临的重大现实问题。 1 2 2 通过业务流程再造进行管理变革的必要性 目f i i 处于转型期内的中国正以更大的步伐和更快的速度进行着改革，由 “中国制造”逐渐变为“中国创造”。在当前的市场经济条件下，特别是我国 加入世界贸易组织后，由于跨国公司带来国际先进的管理和营销手段，加上 日益多样化的客户需求及复杂的技术服务要求，使企业面临不断加剧的市场 竞争。 在激烈的竞争环境中，企业要具有强大的市场竞争力并生存下来将变得 更加艰难。如果企业进行科学的变革，则企业有可能获得重生，不仅能解决 上述问题，甚至有可能进入新的发展阶段；如果企业未能及时变革，对出现 的问题听之任之，或注意到了问题的出现却做出了不科学的变革和调整，企 业有可能就此一蹶不振。因此，改变现状是迫切的、必须的，也只有改变现 状才能有立足之地。而业务流程再造则将成为我国企业化梦想为现实的有效 途径之一。 业务流程再造已为国内外许多企业所广泛采用。管理专家认为，管理流 程再造是2 l 世纪企业管理方式中最有效的十六种管理方式之一，它的产生被 称之为管理的第三次革命，通过对企业原有的管理流程不断的理顺、改造、 更新可以极大地提高企业的运营效率和经济效益。 当前，我国许多企业都在引入流程组织的思想，企业业务流程再造与流 程优化成为企业管理变革的重要内容。按照业务流程再造的观点，许多企业 都会不同程度地引入信息技术( 比如，e r p 系统) ，试图减少繁杂的管理控制 和会计控制手段，减少不创造价值或不增值的环节，降低成本、提高效率、 3 从而使顾客满意。 1 2 3 本文研究问题的提出 由上分析可以看出，我国企业为了满足合规性要求迫切需要建立和健全 内部控制体系，同时又面临着外部市场竞争的压力而需要通过业务流程再造 进行管理变革。在此背景下，本文通过研究，试图分析内部控制机制建设与 业务流程再造之间的联系与区别，分析其中的原因，并找出解决问题的方法， 从而使企业正确地理解与运用内部控制和业务流程再造的基本思想和手段， 并从业务流程再造的视角来强化内部控制机制，实现企业综合效益的最大化。 1 3 本文的研究思路与方法 1 3 1 研究思路 本文运用规范研究的方法，对流程型组织中的业务流程再造与内部控制 之间的关系加以清理，并就内部控制在业务流程再造中的控制加以分析，并 且试图从业务流程再造的角度就内部控制机制建设提出合理化建议。 1 3 2 研究方法 本文采用规范研究与案例研究相结合的方式，重点运用归纳总结和综合 分析等逻辑方法。 1 4 研究框架 第1 章：绪论。本章主要介绍了本文的选题意义、问题的提出，研究方法 和整体框架。 第2 章：内部控制的理论与实务回顾。介绍内部控制的发展过程，主要理 论框架、相关法规的要求以及具体实务的最新发展。 第3 章：业务流程再造的理论与实务回顾。介绍关于业务流程再造的相 关理论以及具体实务的最新发展，包括流程再造的概念、基本思想和基本特 征等。 第4 章：内部控制与业务流程再造之间的整合。全面梳理内部控制与业 4 务流程再造之间的关系，为从业务流程再造视角强化内部控制提供新思路和 新方法。 第5 章：案例研究。以s h 上市公司实施的e r p 项目和内部控制项目为案 例，分析内部控制与业务流程再造在具体实务中的应用及其问题。 第6 章：研究结论与建议。 5 2 内部控制理论与实务回顾 内部控制，作为一个专用名词和完整概念，直到上个世纪3 0 年代才被人 们提出、认识和接受。它的产生源于企业内部管理的需要。几十年以来，随 着内部控制理论以及认识的不断发展，其概念的内涵和外延都发生了较大的 变化。 2 1 国外内部控制理论和实务的发展 2 1 1 内部控制的早期发展 从概念的角度来看，内部控制可能是不变的，但对它的理解是不断发展 的。内部控制思想的发展是一个历史渐进过程，产生于1 8 世纪产业革命以后。 随着社会经济的不断发展，企业规模日益扩大，业务活动日趋频繁，企业财 产所有权与经营权的进一步分离，导致内部控制也处在不断发展之中，内部 控制的概念逐步完善。在其漫长的产生和发展过程中，大体经历了内部牵制 ( i n t e r n a lc h e c k ) 、内部控制制度( i n t e r n a lc o n t r o ls y s t e m ) 、内部控制 结构( i n t e r n a lc o n t r o ls t r u c t u r e ) 和内部控制整合框架( i n t e r n a l c o n t r o l i n t e g r a t e df r a m e w o r k ) 、企业风险管理整合框架( e n t e r p r i s e r i s km a n a g e m e n t i n t e g r a t e df r a m e w o r k ) 五个历史阶段。在每一阶段，内 部控制都被赋予不同的内涵。 1 内部牵制阶段 内部控制源于内部牵制。古代内部牵制的实践是我们现代意义上的内部 控制的渊源。由于当时生产条件和科技水平的限制，在当时只是闪现了内部 ( 会计) 控制的思想火花，出现了简单的内部牵制实践，没有也不可能有现 代意义上的内部控制思想。 一般认为，上世纪4 0 年代以前是内部牵制阶段。1 5 世纪末，随着资本 主义经济的初步发展，复式记账法开始出现，内部牵制渐趋成熟。内部牵制 是指提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设 计。它以账目间的相互核对为主要内容并实施一定程度的岗位分离，在当时 一直被认为是保证账目正确无误的一种理想控制方法。基于以下两个假设： 两个或两个以上的人或部门，无意识犯同样错误的可能性很小；两个或两个 6 以上的人或部门，有意识地合伙舞弊的可能性大大低于一个人或部门舞弊的 可能性。1 8 世纪工业革命以后美国的一些企业逐渐摸索出一些组织、调节、 制约和检查企业生产经营活动的办法，逐步建立了内部牵制制度。它的主要 特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进 行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交 叉检查控制。 由上可见，内部牵制阶段基本是以查错防弊为目的，以职务分离和账目 核对为手法，以钱、账、物等会计事项为主要控制对象。实践证明，内部牵 制机制确实有效地减少了错误和舞弊的行为，因此，在现代内部控制理论中， 内部牵制仍占有相当重要的地位，并成为现代内部控制理论中有关组织规划 控制、职务分离控制的基础。 2 内部控制制度阶段 2 0 世纪4 0 年代至7 0 年代，在内部牵制的基础上，逐渐产生了内部控制 制度的概念。这时，一方面企业需要在企业管理上采用更为完善、更为有效 的控制方法以改变传统的靠小生产方式及经验管理对企业的影响；另一方面， 为了适应当时社会经济的关系，保护投资者和债权人的经济利益，西方各国 纷纷以法律的形式要求通过内部控制强化对企业财务会计资料以及各种经济 活动的内部管理。1 9 4 9 年美国注册会计师协会将内部控制定义为：“内部控 制是企业为了保证财产的安全完整，检查会计资料的准确性和可靠性，提高 企业的经营效率以及促进企业贯彻既定的经营方针，所设计的总体规划及所 采用的与总体规划相适应的一切方法和措施。 这一概念已突破了与财务会计 部门直接有关的控制的局限，使内部控制扩大到企业内部各个领域。 1 9 5 8 年美国注册会计师协会下属的审计程序委员会又将内部控制的定义 作了进一步的说明，并将内部控制划分为内部会计控制和内部管理控制。前 者是指与财产安全和会计记录的准确性、可靠性有直接联系的方法和程序， 后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。将内部控制 一分为二使得审计人员在研究和评价企业内部控制制度的基础上来确定实质 性测试的范围和方式成为可能。 3 内部控制结构阶段 2 0 世纪7 0 年代以后，内部控制的研究重点逐步从一般涵义向具体内容 深化。这时西方学者在对内部会计控制和管理控制进行研究时认为，区分会 计控制和管理控制对审计师非常重要，而且认为这两者是不可分割的，是相 互联系的。与此同时，控制环境逐步被纳入内部控制范畴。 1 9 8 8 年4 月美国注册会计师协会发布的审计准则公告第5 5 号( s a s 7 n o 5 5 ) ，首次以内部控制结构( i n t e r n a lc o n t r o ls t r u c t u r e ) 一词取代原 有的“内部控制 一词，并指出：“企业的内部控制结构包括为合理保证企业 特定目标的实现而建立的各种政策和程序 ，并且明确了内部控制结构的内 容：( 1 ) 控制环境( c o n t r o le n v i r o n m e n t ) ；( 2 ) 会计系统( a c c o u n t i n gs y s t e m ) ； ( 3 ) 控制程序( c o n t r o lp r o c e d u r e ) 。该公告体现了两个基本特征：一是正 式将内部控制环境纳入内部控制范畴，二是不再区分会计控制和管理控制。 这些改变可以说是反映了7 0 年代后期以来内部控制实务操作和理论研究的 一个新动向。 2 1 2 内部控制整合框架 从二十世纪7 0 年代至8 0 年代发生的一系列财务欺诈、可疑商业行为和 金融机构破产等事件给投资者带来了巨大损失。1 9 8 5 年，由美国注册会计师 协会( a i c p a ) 、美国会计协会( a a a ) 、财务经理人协会( f e i ) 、内部审计师 协会( i i a ) 、管理会计师协会( i m a ) 联合创建了反虚假财务报告委员会( 通 常称t r e a d w a y 委员会) ，旨在探讨财务报告中的舞弊产生的原因，并寻找解 决之道。两年后，基于该委员会的建议，其赞助机构成立c o s o ( c o m m i t t e eo f s p o n s o r i n go r g a n iz a t i o n ，c o s o ) 委员会，专门研究内部控制问题。1 9 9 2 年9 月，c o s o 委员会发布内部控制整合框架，简称c o s o 报告，1 9 9 4 年进 行了增补。 这些成果马上得到了美国审计署( g a o ) 的认可，美国注册会计师协会 ( a i c p a ) 也全面接受其内容并于1 9 9 5 年发布了审计准则公告第7 8 号。 由于c o s o 报告提出的内部控制理论和体系集内部控制理论和实践发展之大 成，成为现代内部控制最具有权威性的框架，因此在业内倍受推崇，在美国 及全球得到广泛推广和应用。 在c o s o 内部控制整合框架中，内部控制定义为：由一个企业的董事会、 管理层和其他人员实现的过程，旨在为下列目标提供合理保证：( 1 ) 财务报 告的可靠性；( 2 ) 经营的效果和效率；( 3 ) 符合适用的法律和法规。c o s o 内部控制整合框架把内部控制划分为五个相互关联的要素，分别是：( 1 ) 控制环境；( 2 ) 风险评估：( 3 ) 控制活动；( 4 ) 信息与沟通；( 5 ) 监控。每 个要素均承载三个目标：( 1 ) 经营目标；( 2 ) 财务报告目标；( 3 ) 合规性目 标。 1 控制环境 控制环境设定了一个组织的基调，影响其员工的控制意识。它是内部控 制其他所有构成要素的基础，为其提供了秩序和结构。控制环境的要素包括： 主体员工的诚信、道德价值观和胜任能力：管理层的理念和经营风格；管理 层分配权力和责任、组织和开发其员工的方式；以及董事会给予的关注和指 导。控制环境可以归纳为两大方面：一是包括企业的管理哲学、控制文化、 风险意识、人的素质与品德等在内的“软环境 ，这些无形因素构成内部控制 的氛围，其中人的因素至关重要，其观念、素质等都影响着内部控制的效率 和效果；二是包括企业的所有权结构、法人治理结构、组织体系、权力分配 等结构性因素在内的“硬环境 。 2 风险评估 风险评估是发现和分析对达到目标有影响的风险的过程，是确定如何控 制和防范风险的基础。风险评估可以帮助管理层识别和分析对经营效率、财 务报告、合规性目标有影响的风险因素，并迅速采取行动。风险评估的前提 是确立在不同层次上的相互衔接、内在一致的目标。风险评估就是识别和分 析与实现目标相关风险，从而为确定应该如何管理风险奠定基础。由于经济、 行业、监管和经营条件将会持续变化，因此需要有识别和应对与这些变化有 关的特殊风险的机制。 3 控制活动 控制活动是指那些在风险评估的基础上保证管理层的指令得到贯彻执行 的政策和程序。控制活动发生在整个组织之中，遍及所有的层级和所有的职 能。它们包括诸如审批、授权、验证、调节、经营业务评价、资产保护和职 责分离等一系列活动。 4 信息与沟通 信息必须以某种形式、在某个时段被相关人员识别、获得和沟通。沟通 使企业内部成员了解自身的职责，明确自身在内部控制系统中所扮演的角色 和应当承担的责任。 5 监控 需要对内部控制体系进行监控一一个评估该体系在一定时期内的运行质 量的过程。它可以通过持续监控活动、个别评价或两者的结合来实现。持续 监控发生在经营的过程之中。它包括日常管理和监控活动，以及员工在履行 其职责时采取的其他行动。个别评价的范围和频率主要取决于风险评估和持 续监控程序的有效性。对内部控制的缺陷应该向上报告，其中，严重的问题 应上报最高管理层和董事会。 2 1 3 企业风险管理一整合框架 9 由于安然、世界通讯、美国在线时代华纳、施乐和默克药厂等一连串知 名企业的财务报告欺诈丑闻带来的冲击，世界范围内的企业掀起了加强企业 风险管理的热潮。c o s o 委员会于2 0 0 1 年提出了进行企业风险管理研究的构 想，并组织各方面的专家进行讨论，于2 0 0 3 年7 月根据s a r b a n e s 一0 x l e y 法 案的相关要求，颁布了“企业风险管理整合框架”的讨论稿，该讨论稿是在内 部控制整合框架的基础上进行了扩展而得来的，2 0 0 4 年9 月正式颁布了企 业风险管理一整合框架，标志c o s o 委员会最新的内部控制研究成果。 c o s o 企业风险管理整合框架将企业风险管理定义为：企业风险管 理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于 战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风 险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证，并 且指出，内部控制一整合框架的精髓已融入到企业风险管理一整合框架 之中，构成其不可分割的一部分。因此，企业风险管理一整合框架并没有 取代或接替内部控制一整合框架。 企业风险管理整合框架分为内部环境、目标制定、事项识别、风 险评估、风险反应、控制活动、信息和沟通、监督等八个相互关联的要素， 各要素贯穿在企业的管理过程之中。 1 内部环境 企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则 和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织 和对风险的识别、评估和反应，还影响企业控制活动、信息和沟通系统以及 监控活动的设计和执行。董事会是内部环境的重要组成部分，对其他内部环 境要素有重要的影响。企业的管理者也是内部环境的一部分，其职责是建立 企业风险管理理念，确定企业的风险偏好，营造企业的风险文化，并将企业 的风险管理和相关的初步行动结合起来。 2 目标设定 根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并 确定其他与之相关的目标并在企业内层层分解和落实。其中，其他相关目标 是指除战略目标之外的其他三个目标，其制定应与企业的战略相联系。管理 者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。 而企业风险管理就是提供给企业管理者一个适当的过程，既能够帮助制定企 业的目标，又能够将目标与企业的任务或预期联系在一起，并且保证制定的 目标与企业的风险偏好相一致。 3 事项识别 l o 不确定性的存在，使得企业的管理者需要对这些事项进行识别。而潜在 事项对企业可能有正面的影响、负面的影响或者两者同时存在。有负面影响 的事项是企业的风险，要求企业的管理者对其进行评估和反应。因此，风险 是指某一对企业目标的实现可能造成负面影响的事项发生的可能性。对企业 有正面影响的事项，或者是企业的机遇，或者是可以抵消风险对企业的负面 影响的事项。机遇可以在企业战略或目标制定的过程中加以考虑，以确定有 关行动抓住机遇。可能潜在地抵消风险的负面影响的事项则应在风险的评估 和反应阶段予以考虑。 4 风险评估 风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者 应从两个方面对风险进行评估一一风险发生的可能性和影响。风险发生的可 能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影 响。对于风险的评估应从企业战略和目标的角度进行。首先，应对企业的固 有风险进行评估。确定对固有风险的风险反应模式就能够确定对固有风险的 管理措施。其次，管理者应在对固有风险采取有关管理措施的基础上，对企 业的残存风险进行评估。 5 风险应对 风险应对可以分为规避风险、降低风险、共担风险和接受风险四类。规 避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险 发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风 险或与他人共担风险，降低风险发生的可能性或降低风险对企业的影响。接 受风险则是不采取任何行动而接受可能发生的风险及其影响。对于每一个重 要的风险，企业都应考虑所有的风险反应方案。有效的风险管理要求管理者 选择可以使企业风险发生的可能性和影响都落在风险容忍度之内的风险反应 方案。选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风 险，即从企业总体的角度、或者组合风险的角度重新计量风险。各行政部门、 职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合 式评估并选择相应的风险反应方案。 6 控制活动 控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控 制活动存在于企业的各部分、各个层面和各个部门，通常包括两个要素：确 定应该做什么的政策和影响该政策的一系列程序，包括一系列的活动批准、 授权、查证、调解、审查经营业绩、保障资产和职务分离等。企业实施的控 制活动可以分为不同种类，包括预防控制、侦查控制、人为控制、计算机控 制和管理控制。 由于各个企业自身的具体情况，使不同企业间的目标、结构和相关的控 制活动会存在差别。即使两个企业具有相同的目标和结构，它们的控制活动 也很可能不同。因为每一个企业都由不同的人来管理，他们运用自己的判断 去影响内部控制。而且，控制反映了企业经营所处的环境和行业，也反映了 它的组织、历史和文化的复杂性。 7 信息和沟通 来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确 认、捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通也是 广义上的沟通，包括企业内自上而下、自下而上以及横向的沟通。有效的沟 通还包括将相关的信息与企业外部相关方的有效沟通和交换，如客户、供应 商、行政管理部门和股东等。 为支持有效的企业风险管理，企业需要捕捉、使用历史的和当前的数据。 历史数据可以使企业追踪当前业绩，并与目标、计划和期望比较。它可以洞 察企业如何在变化的环境里经营，使管理者识别相关性和趋势并预测未来业 绩。现在和当前的数据可以使企业及时的评估在某一特定时点的风险并维持 在确定的风险容忍度之内。 信息是沟通的基础，必须满足团体和个体的期望以使他们有效地履行其 职责。高层管理者与董事会之间的沟通是最重要的沟通渠道。管理层必须保 证董事会了解最新的业绩、发展、风险和企业风险管理的运作以及其他相关 事项和问题。沟通越好，董事会就越能有效地履行其监督职责，在关键问题 上提供合理的建议、忠告和指导。 8 监督 对企业风险管理的监督是指评估风险管理要素的内容和运行以及一段时 期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监督持 续监督和个别评估。持续监督和个别评估都是用来保证企业的风险管理在企 业内各管理层面和各部门持续得到执行。持续监督建立在企业正常的、重复 发生的活动之上。持续监督在适时基础上运行，对环境的变化做出动态反应 并在企业里根深蒂固。因此，它要比个别评估更有效。因为个别评估在事后 进行，采用持续的监督程序能够更快地发现问题。许多有健全的持续监督活 动的企业仍然采用对企业风险管理的个别评估。监督还包括对企业风险管理 的记录。对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和 其他因素的影响而有所不同，适当的记录通常会使风险管理的监控更为有效 果和有效率。 1 2 企业风险管理一整合框架与内部控制一整合框架的主要差异表 现在： ( 1 ) 企业风险管理整合框架扩大了对风险管理的关注范围，包含 了内部控制一整合框架的精髓，它是对内部控制框架的扩展，是一个主 要针对风险的更为明确的概念。 ( 2 ) 企业风险管理一整合框架把目标扩展至战略目标，即与企业的 远景或使命相关的高层次目标，并扩大了报告目标的范畴，将内部报告也涵 盖在内； ( 3 ) 企业风险管理一整合框架提出了“风险承受能力 和“风险容 忍度 这两个概念； ( 4 ) 企业风险管理整合框架将风险评估部分扩大成4 个要素，即 目标设定、事件识别、风险评估和风险应对，将风险评估上升到了风险管理 的高度，体现了“始终将企业风险作为控制的核心”的理念。在事项识别要 素上，两者的区别主要体现为内部控制整合框架针对事项没有划分机会和风 险，而企业风险管理整合框架将对战略执行或目标实现有着正面影响的称为 机会，有着负面影响的才确定为风险。在风险评估要素上，两者的区别在于 企业风险管理整合框架透过一个更加敏锐的视角来观察风险评估，鼓励从固 有风险和剩余风险的角度，采用与为该风险相关的目标而构建的计量单位相 同的单位来表述风险。在风险应对要素上，两者的区别则是企业风险管理整 合框架可以使管理层考虑潜在的风险应对策略，并测定剩余风险水平是否与 主体的风险容忍度相协调。 从以上分析可以看出，国外对内部控制的研究已经非常成熟了，内部控 制理论与实务的发展，随着社会和经济的发展而不断发展，随着企业内部管 理的需要而不断地完善。内部控制的最新理论是内部控制的全面风险管理， 全面风险管理已经涵盖了内部控制的全部；研究成果也从主要服务于审计的 内部控制研究转变为以公司治理与公司管理以及企业风险管理为主的内部控 制。 2 2 我国内部控制理论与实务的发展 新中国建立之初，我国实行的是前苏联的高度集中的社会主义经济，所 有的经济规划和控制都由国家进行，企业的内部控制也近乎没有。十一届三 中全会以后，我国开始实行改革开放，内部控制的研究也开始被重视，这个 阶段的内部控制主要以管理控制和会计控制为主。 我国内部控制制度的发展源于2 0 世纪9 0 年代，主要由政府、证券监督管 理机构和行业监管机构等制定的有关法律、法规、指引等所推动。这些法律 法规指引可分为三个层次： 一是1 9 9 6 年颁布的独立审计具体准则第9 号一内部控制与审计风险， 2 0 0 0 年修订的会计法和财政部在2 0 0 1 年以后陆续发布的有关规范文件内 部会计控制规范一基本规范、内部会计控制规范一货币资金、内部会计 控制规范一采购与付款、内部会计控制规范一销售与收款等，以及2 0 0 7 年发布的内部控制基本规范和1 7 项具体规范的征求意见稿。 二是上市公司监管机构中国证监会的有关规则。如公开发行证券公司 信息披露编报规则第l 到第8 条和第1 8 条要求公开发行证券的商业银行、保 险公司和证券公司，建立健全内部控制制度，并在招股说明书正文或年报中 专设一部分，对其内部控制制度的完整性、合理性和有效性做出说明。同时 规定，还应委托所聘请的会计师事务所对其内部控制制度及风险管理系统的 完整性、合理性和有效性进行评估，提出改进建议，并做出内部控制评价报 告。作为证券公司、投资基金管理公司的监管机构，中国证监会亦于2 0 0 1 年 和2 0 0 2 年分别颁布了证券公司内部控制指引、证券投资基金管理公司内 部控制指导意见，2 0 0 3 年又对证券公司内部控制指引进行了修订。 三是各行业监管机构对本行业颁布的内部控制文件，如中国人民银行 2 0 0 2 年颁布的商业银行内部控制指引。根据1 9 9 6 年独立审计具体准则第 9 号内部控制与审计风险，内部控制定义为，企业为了保证业务活动的有 效进行，保护资产的完全和完整，防止、发现、纠正错误与舞弊，保证会计 资料的真实、合法、完整而制定和实施的政策与程序。根据2 0 0 1 至2 0 0 3 年由 中国证监会和中国人民银行发布的证券公司内部控制指引和商业银行 内部控制指引，内部控制的要素包括控制环境、风险识别与评估、控制活动 与措施、信息沟通与反馈、监督与评价，其目标包括：保证经营的合法合规 及内部规章