X股份有限公司内部控制的对策研究毕业论文.doc

重庆理工大学硕士学位论文X股份有限公司内部控制的对策研究毕业论文目 录摘 要IABSTRACTII1 引 言11.1 选题背景与研究意义11.1.1 选题背景11.1.2 研究意义11.2 内部控制研究现状及发展趋势21.2.1 国外内部控制研究综述21.2.2 国内内部控制研究综述31.2.3 内部控制研究发展趋势51.3 研究方法与研究思路51.3.1 研究方法51.3.2 研究思路62 内部控制相关理论基础82.1 内部控制概述82.2 内部控制与风险管理102.2.1 内部控制与风险管理的内在联系112.2.2 内部控制和风险管理之间的差异112.2.3 内部控制和风险管理的融合112.3 COSO内部控制及企业风险管理框架122.3.1 COSO内部控制框架132.3.2 COSO企业风险管理整合框架142.4 我国内部控制规范体系152.4.1 企业内部控制基本规范172.4.2 内部控制配套指引182.4.3 自我评价指引193 X股份有限公司内部控制现状、问题与原因分析213.1 X股份有限公司简介213.2 X股份有限公司内部控制现状223.2.1 内部环境223.2.2 风险评估243.2.3 控制活动253.2.4 信息与沟通253.2.5 内部监控263.3 X股份有限公司内部控制存在的问题263.3.1 公司治理结构不完善263.3.2 风险意识不强273.3.3 信息与沟通不足273.3.4 对子公司内部控制的监督管理不足283.4 X股份有限公司内部控制存在问题的原因分析293.4.1 控制活动执行不力293.4.2 员工风险意识不强293.4.3 信息传递渠道不畅303.4.4 高素质员工比例较小303.4.5 内部审计不独立313.4.6 企业管理模式不科学314 X股份有限公司内部控制的对策研究334.1 X股份有限公司内部控制的改进目标334.2 X股份有限公司内部控制的改进原则334.3 X股份有限公司内部控制的对策措施344.3.1 改善内部环境，完善企业文化344.3.2 构建X股份有限公司风险管理体系354.3.3 控制活动建设394.3.4 改善对子公司的控制方式434.4 X股份有限公司内部控制的改进步骤445 结束语455.1 研究结论455.2 研究局限46致 谢47参考文献48III重庆理工大学硕士学位论文1 引 言1.1 选题背景与研究意义1.1.1 选题背景对新时代的企业来讲，“内部控制”是一个沧桑但又新颖的课题。沧桑，是因为它很早以前就已经产生，在我国内部控制思想的应用可以追溯至西周时代；新颖，是因为现代内部控制的发展至今也就数十年时间，在这短短的数十年间，内部控制理念经历了无数次的变迁，各国专家对其进行着不断地改造和完善。这其中尤其以COSO（美国）委员会于1992年发布的内部控制整体框架最为完善和科学，被视为内部控制理论界的代表。从世界范围内企业发展史来看，内部控制体系内存在的重大缺陷和漏洞，往往是导致许多帝国般企业没落甚至衰亡的重要原因之一。内部控制的不断发展和完善，使其逐渐成为现代企业管理中不可或缺的一个重要组成部分，它的存在能够使企业的各项活动趋于合理、经济、效率，能够保证各项决策得以贯彻落实，维护资产的安全和完整，促使会计记录能够更加更加准确和完整得提供及时、可靠的财务信息。因此，我们可以这样说，内部控制制度的完善性和有效性在很大程度上关系着一个企业是否能够持续、健康地经营下去。对风险的认识和处置是企业管理中很重要的一个环节，它也是内部控制体系建设的主要推动力量。近年来，随着经济全球化趋势的不断发展，各国企业面临的风险也日益复杂，在这种情况下，内部控制制度的建设对企业来说显得尤为重要，企业只有不断得完善和发展内部控制体系，才能够规避大多数的经营风险，实现自身目标，在激烈的市场竞争中立于不败之地。2007年始于美国的金融危机在2008-2009年迅速蔓延至全球，对各国企业界来说都是一次沉重的打击。对于我国也不例外，国内大多数企业受到严重打击进而经营业绩严重下滑，金融衍生产品交易巨亏的事件也不在少数。这次金融危机彻底暴漏了我国大多数企业对内部控制重视不够，内部控制机制不完善甚至完全缺失的弱点。同时，在金融危机的洗礼下，大多数企业也认识到了内部控制的重要性，认识到内部控制制度的建设在风险防范和提高管理的有效性进而实现企业目标上有着不可替代的作用。我国相关机构也采取相关措施，发布相关制度条例，强调我国上市公司必须加快内部控制建设的步伐。1.1.2 研究意义本文基于内部控制整合框架的相关理论，并参考了发达国家的成功案例，吸取经验和教训。在内部控制和风险管理趋于融合的发展背景下，分析了在我国内部控制制度建设取得的成效以及不足之处，之后以X股份有限公司为实例，分析了该企业的内部控制建设现状以及存在的不足，并提出改善建议。进而就以此公司为模板，映射出当前我国上市公司内部控制体系建设的现状，肯定成果，剖析不足。以期能够对X股份有限公司构建系统、完善、以风险管理为导向的内部控制制度体系提供帮助。 （1）内部控制是目前学术界和实务界探讨的热点，本文的研究成果在一定程度上能够丰富内部控制理论结构，深化内部控制制度体系。 （2）我国企业界对内部控制的研究和实践起步较晚，本文的研究成果有利于我国企业完善内部控制制度，改善风险管理现状。 （3）以X股份有限公司为案例，有利于X股份有限公司加快内部控制建设步伐，为企业经营目标和战略目标的实现提供保障。1.2 内部控制研究现状及发展趋势1.2.1 国外内部控制研究综述 现代经济的迅猛发展促进了内部控制理论的出现和不断完善。以美国为首的发达经济体，为了解决本国经济飞速发展的过程中遇到的实际问题，在政府以及民间协会、团体的共同努力和协作下，不断得完善着内部控制理论体系，为内部控制的发展作出了巨大贡献。 1992年9月，COSO委员会颁布内部控制整合框架，简称COSO报告。当时，COSO理所当然成为世界上有关内部控制的最权威最完善的成果。在这个框架里，指出内部控制主要有五个要素构成：控制环境、风险评估、控制活动、信息与沟通、监督。它认为内部控制活动应该是由董事会、管理层以及企业其他员工来共同实施，内部控制的主要目标是设法保证和实现经营活动的效率及效果，保证财务报告的可靠性，保证企业在经营过程中严格遵循法律法规。我们可以看出，在这个报告中，包含了一些新的思想和理念，明确地指出了内部控制的目标，即帮助企业实现经营目标，发现并规避经营过程中遇到的风险。同时，COSO报告还指出“人”在内部控制中的重要性，指出必须调动全体员工的积极性参与到内部控制中，才能实现协调一致，推动内部控制发挥最大效用。 加拿大注册会计师公会所属的COCO委员会(The Canadian Criteria of Control Committee)，基于COSO报告作出了一些修改和改进，并在1995年11月发布控制指导纲要(Guidance on Control)，纲要把内部控制定义为，在一个组织中，支持其实现既定目标的要素的集合，同时提出风险的评估和管理是控制的重要要素。可以看出，其实COCO委员会定义的内部控制的含义中是包括风险管理的观点的。1998年，加拿大CJCA(特许会计师协会）认为风险是一种由于某些事件或是环境而带来的影响可能性，并阐述了关于风险管理和控制的关系，“抓住机会和管理风险的同时，也就实施了控制 王展翔.加拿大 COCO 委员会内部控制框架述评J.商业研究, 2005(1)”。 在内部控制理论体系的发展过程中，有一个概念不容忽略，那就是萨奥法案（SOA法案）。2002年，以安然事件为代表的一系列会计丑闻促使美国政府对内部控制制度进行改进，于是由国会议员萨班斯和奥克斯共同起草并由布什总统签署的萨奥法案诞生。萨奥法案的最大特点就是强调完善上市公司内部控制治理结构，明确管理层责任，并强制企业对外出具内部控制自评报告。 2004年，由于企业界频发的高管层舞弊案件，COSO委员会结合已有的COSO内部控制理论框架，充分借鉴了各国在内部控制理论和实务方面的研究成果，在此基础上公布了企业风险管理框架。该框架基于之前的内部控制整合框架的理论基础，对萨奥法案进行扩展研究，提出了新的企业管理理念风险管理框架，其认为企业管理的核心思想应该转变为使内部控制和风险管理相融合。新的风险管理框架增加了三个风险管理要素：风险反应、事项识别以及目标制定。COSO在其风险管理整合框架中提到，内部控制是企业在实施风险管理过程中至关重要的一个环节。在某种意义上风险管理框架比之内部控制框架所涉及到的内容更加宽泛，是对内部控制框架的再造和扩展，是一个主要针对风险应对的理论框架。当然，还有其他一些国外的学者、个人也对风险管理和内部控制制度的建设提出了独到的见解和看法，这里不再一一列举。1.2.2 国内内部控制研究综述和西方国家比起来，我国在内部控制的理论研究方面起步较晚，内部控制实践更不成熟。在1996年财政部颁布会计基础工作规范中，对内部控制第一次给出明确定义，第二年，中注协相继颁布独立审计具体准则第九号(内部控制与审计风险)，把内部控制描述为：企业为了维持日常业务的顺利有效进行，确保企业资源的安全，预防并杜绝舞弊行为的发生，确保会计报告的真实可靠而制定的相关企业规章制度。1999年，首部体现内部控制的法规问世，就是会计法，明确规定企业要完善本单位相关财务监督制度。2001年，中注协出具内部控制审核指导意见，指导意见要求注册会计师需要给企业提供内控评价报告，并且在指导意见中明确地提出了相关的内控评价标准。随后的2001年到2005年期间，财政部等相关金融机构又陆续发布了一系列的内部控制规范，对我国上市公司内部控制建设作出指导，大大地促进了我国理论界和实务届内部控制制度建设的发展。伴随着国家机构和社会团体陆续发布的内部控制制度建设规范和办法，我国学者也掀起内部控制建设研究的浪潮，提出了许多建设性的观点和意见。不断丰富着我国内部控制制度理论体系，有助于我国内部控制理论界和实务界对内部控制制度建设的不断探索和完善。2000年，吴水澎等引入了COSO的内部控制理论的研究成果，并解释了COSO框架中建设性的观点。他们提出，内部控制不力的企业通常都会发生这样那样的问题，一个企业无法实现经营目标或是会计报告造假最后几乎都可以归结到企业内部控制制度的不完善。吴水澎等人还认为，应该从企业内部环境、风险评估、控制活动、信息沟通交流以及内部监督五个要素上来建设我国内部控制制度 吴水澎、陈汉文、邵贤弟：论改进我国企业内部控制由“亚细亚”失败引发的思考，会计研究2000.9。朱荣恩等人在2003年引入了COSO内部控制研究新成果：企业风险管理框架，详细剖析了新的风险管理框架中的各个具体条款，以及它与之前的内部控制框架的联系和不同点，他们认为内部控制的建设应该兼顾风险管理，可以把风险管理活动作为主要切入点 朱荣恩,贺欣. 内部控制框架的新发展企业风险管理框架COSO委员会新报告企业风险管理框架简介J. 审计研究. 2003(06)。2005年，金芳、李若山以COSO风险管理框架的八要素为依据，以中航油案例为引线，举一反三得出结论：近年来国内外发生的大多数失败企业的案例，归根结底都与企业本身对风险管理的关注度不够，或者是风险管理制度严重缺失。这说明企业在经营管理的过程中，关注风险管理比设计内部规范制度更为重要 金芳,李若山,徐明磊. COSO报告下的内部控制新发展从中航油事件看企业风险管理J. 会计研究. 2005(02)。阎达五、杨有红（2001）提出，资产质量和会计信息的可靠性应该是内部控制行为中的重点，因此可以这么说：会计控制在承担了内部控制的大部分职责 阎达五,杨有红. 内部控制框架的构建J. 会计研究. 2001(02)。杜滨、李若山（2001）提出，企业的管理层，特别是高管层应该对企业内部控制的执行情况负责，必须将内部控制提升到一个重要的位置，只有这样才能够保证企业会计信息的真实性和可靠性，确保企业切实保护投资者利益 杜滨、李若山：企业内部控制与单位责任人的法律责任，财务与会计，2001.4。石本仁（2002）提出，现代企业的内部控制措施其实主要是通过对企业内部控制执行的有效性进行评价，从而来对企业的经营状况、资产保值增值以及经营目标实现情况作出考核的。因此可以说，企业管理效率的提高完全可以通过提高内部控制活动的执行力来实现 石本仁：公司治理中的会计角色，会计研究，2002.4。阁达五、杨有红（2001）研究了内部控制活动和企业管理的关系，得出结论：两者之间是管理方法与组织环境的关系，公司的内部控制制度设计应该随着组织结构的变化而变化，要适应企业管理的发展，为企业管理要实现的目标而服务。所以他们提出在企业，公司董事长和总经理，董事会和高层领导班子要各司其职，明确分工。在内部控制制度设计和执行中，董事会要起关键作用，才能保证内部控制的有效运营 阎达五、杨有红：内部控制构架的构建，会计研究，2001.2。刘明辉等（2002）站在系统论和新制度经济学等的角度上，创新性得对内部控制制度框架中的控制权分配、内部控制与资本市场等问题进行了研究,得出一些有建设性意见的结论 刘明辉、张宜霞：内部控制的经济学思考，会计研究，2002.8。1.2.3 内部控制研究发展趋势现代企业中，随着人们对公司治理的认识，内部控制也逐渐成为企业管理活动中一个必不可少的角色，作用日趋明显。内部控制也从最初的起源阶段，发展到现在的内部控制框架，从最初的会计牵制制度发展到如今的风险管理框架，不断地完善。从目前的趋势看，内部控制理论涉及的层面也在不断地扩大，未来的内部控制框也绝不会仅仅停留在会计、审计两个层面，必然会扩展到公司治理、人事管理等更加宽泛的层次。目前，国内外内部控制发展遇到的难题主要是：理论之间的结合以及理论与实务的结合。理论之间的结合主要体现在如何将内控系统和其他管理系统（例如：质量认证体系、ERP等）有机结合；而理论和实际的结合难题主要体现在如何把内部控制理论框架和企业的日常经营管理结合起来，促进经营管理效率的提高。这两个课题应该是今后理论界和实务届着重要研讨的问题。此外，2004年COSO组织发布的风险管理框架报告中特意强调了风险管理和内部控制的关系，为内部控制理论的发展提出一个新的方向，应该可以对我国内部控制的研究提供新的思路和方向。1.3 研究方法与研究思路1.3.1 研究方法本文的研究运用了几种方法，主要是案例分析法、实地调查法、文献收集法等。（1）文献收集法。没有足够的理论支撑，难以完成本文的研究，为此笔者收集了学术界大量关于内部控制制度建设的文献资料，为本文提供了夯实的理论基础。（2）实地调查法。为了为本文的研究收集到相关研究资料，笔者在X股份有限公司审计部实习半年，在实习阶段，对X股份有限公司内部控制建设现状做了详细调查。（3）案例分析法。案例研究也是本文主要使用的方法。在第三部分对X股份有限公司内部控制问题进行分析时，将理论与实际审计过程中遇到的问题紧密联系，使分析更加具有说服力。1.3.2 研究思路本文的研究从以下五个部分依次进行:（1）引言，论述了本文的研究背景、研究意义、国内外文献综述、内部控制发展趋势，以及本文的研究方法和思路。（2）主要内容是内部控制及理论基础的阐述。首先概述了内部控制的定义，其次叙述了内部控制和时下热议的风险管理的关系，之后就是我国内部控制基本规范。本部分是论文的研究依据和理论基础。（3）以目标公司X股份有限公司为研究对象，首先是对X股份有限公司的基本情况作了简单的介绍，主要内容包括关于其行业的发展前景以及X公司在国内整个行业中地位和影响。之后是对X股份有限公司内部控制实施的现状作出介绍，并对其存在的问题及相关原因作出分析。（4）主要目标是针对之前提出来的X股份有限公司内部控制中存在的问题制定相关的改进办法。在改进原则，改进内容和措施上具体表述。（5）结束语。包括本文主要的研究结论以及局限。研究背景、意义国内外研究回顾理论间逻辑分析相关理论基础 剖析目标企业理论联系企业政策建议相关理论基础逻辑分析 理论联系案例企业分析企业业务流程联系案例的前提分析问题剖析原因发现风险点运用理论进行分析改进措施内部控制基本理论及其内在逻辑关系512 内部控制相关理论基础2.1 内部控制概述对内部控制作出的最早的也是最权威的定义的当然是美国的COSO委员会。它在1992年发布的内部控制整体框架中对内部控制是这样阐述的：“内部控制是企业为了保证实现经营效率、财务报告可靠性与真实性以及遵守法律法规这三大这要目标而指定的，由企业董事会、管理层和企业全体职工来共同执行的一种程序”。在我国，对内部控制给出权威定义的是2008年发布的企业内部控制基本规范。规范中定义内部控制为：依靠股东会会、监事会、管理层和全部职工共同实施的、目的是实现企业既定管理目标的过程，内部控制要实现合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略”。依据以上对内部控制的定义，笔者归纳出以下三点内部控制的要点：（1）内部控制和传统的会计控制相比较，重心从财务转移到企业管理层面上来。（2）实施内部控制的主要目标有三个：提高企业经营效率、促进资产保值增值和财务报告真实可靠、遵守法律法规。（3）为企业实现经营目标保驾护航，提供系统支持。最早开始对内部控制相关制度理论进行研究的是以美国为首的发达国家，随着各国经济的不断发展，内部控制的理论和实践也在不断地演变和发展，不断地完善。到现在为止，内部控制理论的内涵和外延已经比较得完善和健全。根据国内外学者的研究和总结，可以把内部控制的发展大题归结为五个阶段：内部约束、内控制度、内部控制构造、内部控制框架以及企业风险管理框架。这个划分方式也是目前国内外理论界比较认同的一种划分方式。（1）内部约束20世纪40年代前，这一时期的企业内部控制主要通过内部约束来实现。1912年，在美国审计学专家蒙可马利的审计理论与实践一书中，有这样一个描述：内部控制是一种牵制制度，它规定某个人不能完全、独立地支配账户，而另外一个人也不能独立控制。这个阶段的牵制制度建立在两个假设之上：（1)多个主体或部门同时犯相同的错误几率较小。(2)两个以上的人或部门合谋舞弊的概率远远低于单独的个体或者部门舞弊的概率。所以，可以看出当时的内部牵制制度的作用主要是防止舞弊行为的发生。事实上，内部牵制的确能够大大减少舞弊和无故失误的发生，在现代企业中，内部牵制制度仍然被广泛运用，例如：大多数企业中规定会计和出纳不得兼任，就是基于内部牵制的理论。（2）内部控制制度阶段20世纪40年代起，随着科技革命的推波助澜，世界经济的进一步发展，企业不断发展壮大，不断扩张等，这些因素决定着过去的企业管理制度已经不能满足企业发展的需求。在这个背景下，各国学者、专家在原有的理论基础上结合实践，提出了“内部控制”这个概念。它包含了“牵制”和“管理”两层涵义。在这个阶段，理论界对内部控制的认识和理解已经不再仅仅停留在以往的旨在实现会计信息可靠性的会计控制上。他们开始酝酿着将会计控制和公司治理相结合起来。可是，在这个阶段，实务届通常还只是在审计过程中去检验会计控制，对于公司治理并没有过多的考虑在内。(3) 内部控制构造阶段20世纪70年代末，进入内部控制快速发展的时代。这个时期，理论界对内部控制的研究探讨开始集中在内部控制的细节内容上，即：控制结构。19世纪80年代，AICPA在其文件中首次提出“内部控制构造”的概念。并说明“内部控制结构”不是一个单独的概念，它是一个概念的集合体，具体来说就是指企业为实现既定经营目标而制定的一系列的企业规章、制度和政策的组合体。值得一提的是，这次公告中首次提到了“控制环境”这个概念，公告特别说明“控制环境”的好坏关系到企业内部控制实施的成败，肯定了“控制环境”在内部控制过程中的作用。(4) 内部控制框架阶段从20世纪80年代开始，美国企业界不断出现财务造假的事件，尤其是对财务报告的造假数量更是不断增多。这就促使反财务报告造假委员会，针对财务报告造假出具相关限制性的规则和条款。该组织下设“COSO”委员会，COSO委员会专门研究内部控制问题。之后，COSO委员会便颁布了内部控制整体框架。内部控制整体框架的颁布在理论界的反响强烈，得到理论界的一直赞同，普遍认为这个框架是当时最完善、最科学合理的内部控制规范。时至今日，仍然被认为是内部控制发展史上的经典。COSO认为内部控制是指“企业为实现既定的目标：可靠的财务目标、经营活动的有效性、遵守法律法规等，而由董事会、管理层和员工共同来实施的既定程序”。在企业中，内部控制要渗透到每个部门、每个员工，做到全员参与，才能保证内部控制实施的有效性，促进企业实现经营目标。(5) 企业风险管理框架COSO内部控制框架颁布之后，企业界逐渐认识到内部控制的作用是不可替代的，并开始探讨企业治理方式的改善。与此同时，内部控制与风险管理相互渗透的步伐不断加快。2004年9月，COSO委员会借鉴萨奥法案，出台了又一个具有划时代意义的企业风险管理整合框架。在引言中，COSO称，内部控制是风险管理框架的重要一环，但是风险管理框架并不能完全覆盖内部控制框架的作用，而是两者互为补充、相互结合，为公司治理提供一个更加有效的管理体系，帮助企业实现既定经营目标。2.2 内部控制与风险管理2.2.1 内部控制与风险管理的内在联系随着企业不断得发展到现在，企业治理结构已经基本完善，投资者开始雇用经理人管理公司，而不直接参与经营。而这种情况下，公司经理人存在玩忽职守等行为，会危害到公司所有者的利益。同时，企业的利己行为也可能导致其为了自身利益而危害债权人等第三方的利益。以上这些事实上存在的风险就需要通过督促企业建立完善的内部控制制度，严格公司管理，加强审计力度等措施来规避。内部控制制度和风险管理制度设计的共同体出发点相同。它们一致的目标是保证企业资产保值增值，尽最大力度保证投资者、债权人等的利益不受侵害。市场经济发展早期，企业通过设置一些基本的内部控制制度譬如互相牵制等实施会计控制，以达到保护企业资产安全，维护投资者合法权益。但随着市场经济不断发展，科技日新月异，企业的经营目标也发生变化，不再仅仅停留在早期的资产保值增值上，经理人旺旺热衷于进行多元化的投资，如此一来，在复杂的市场经济中，风险的存在就成为管理层不得不考虑的因素了。内部控制和风险管理的根本宗旨都是为了帮助企业改善治理方式，为企业实现经营目标和战略目标保驾护航。在早期，企业中都存在着各种各样的措施来防止会计造假等舞弊事件，但是随着经济的不断发展和新科技革命的不断推动，世界经济趋于一体，企业管理的理念和方法也随之不断丰富。正如一句话说的一样，“打开窗户的时候，新鲜空气进来了，苍蝇蚊子也会飞进来”，伴随着新的管理技术和方法，新的舞弊方式也层出不穷。企业在经营过程中隐藏着各种各样的危机，稍有不慎就会损失惨重。因此，过去的防范舞弊的措施已经不能满足现代企业的发展要求。面对多样发展的市场化经济中暗藏的各种风险，在内部控制的过程中兼顾风险的预警和防范也成为客观的需求。因此在核心目标上，内部控制和风险管理就找到了共同点，都是为了发现风险并通过控制活动规避风险，为企业实现效益最大化。现阶段，为了更好得发挥内部控制的作用和实现内部控制有效性，我们需要把内部控制和风险管理有机结合，相互配合，取长补短。2.2.2 内部控制和风险管理之间的差异(1) 两者内涵不同。相对于风险管理来说，内部控制仅仅可以算是风险管理中的一个环节或者说是治理活动。在具体运营过程中，内部控制是依靠事后控制来实现其效应。而后者就不同了，它是渗透于整个企业管理的各个阶段各个环节的，事前预防、事中监督、事后控制等，每个环节都要求面面俱到。起到了预测和控制的双重作用。因而，在目标的设定上，风险管理较之内部控制就更加全面。 （2）两者的分工不同。虽然风险管理者在内涵上较内部控制更为广泛，但是两者在企业治理过程中是各有分工的，一方无法取代另一方。具体来说，当前的风险管理所要负责的领域包括了战略的设定、人事聘用政策、预算等决策活动。而内部控制所要涉及到的活动主要是在风险管理活动过程中以及之后的关键时段的控制活动，譬如:信息沟通、监督、评估、缺陷纠正等一些活动。此外，内部控制是不参与企业的经营目标的制定的。 （3）两者在对风险概念设定上不同。COSO风险管理框架中，认为风险是指企业在经营活动中遇到的对企业产生不利后果的事件发生的可能性。它只针对不利影响，称会产生有利结果的事件为机会。但在其内部控制框架中，并没有将风险和机会分而论之。在这点上，两者是明显不同的。2.2.3 内部控制和风险管理的融合自从风险管理框架产生以来，人们就在争论一个话题，那就是究竟内部控制和风险管理哪个范围更大些。一部分人认为风险管理涵盖内部控制，另一部分人则坚持风险管理只是内部控制的一个控制程序。本人以为，两者之间有相互渗透的部分，联系紧密，但目前我们最重要的工作应该是区分两者之间的差别从而让两者在企业治理中各自发挥自己的作用。至于究竟两者谁包括谁这个话题，应该是随着理论和实践不断发展到一定程度，才会有较为明确的答案。风险管理框架产生以来，对内部控制和风险管理的探讨就未曾停止，人们尝试用不同的视角和方式来将两者结合到一起。BCBS（巴塞尔委员会）认为，董事会有责任对银行的战略目标及内部规章进行检查，并根据市场情况和经济环境对银行可能面临的风险进行评估，设定风险可接受度，以便管理者能够据此设置合理的程序去辨别、评价、规避这些风险。BCBS已经把风险管理的思想融入到内部控制过程中。加拿大COCO委员会也指出，控制涵盖风险识别、评估及规避，同时风险不仅仅是对经营造成不利后果的可能性，也包括企业不能发现并把握机会，从而在市场中保持随机应变，不失时机得创造价值。2004年，“商业银行风险管理与内部控制论坛 ”的举行，表明我国理论界也开始探讨将内部控制和风险管理相融合之路。从目前国内外理论界以及实务届的实际操作来看，内部控制和风险管理的融合只是雷声大雨点小，在企业实际的运营过程中，通常内部控制和风险管理的结合只是在少数的部门或是控制活动中体现。例如：基本上仅是在审计部门才会涉及到风险管理。笔者认为，随着公司治理水平的继续发展，随着对内部控制和风险管理理论探讨的继续深入，有朝一日，内部控制和风险管理定能实现实质性的融合。2.3 COSO内部控制及企业风险管理框架2.3.1 COSO内部控制框架（1） COSO委员会对内部控制的定义20世纪20年代末，AAA（美国会计师协会）出台的会计报表验证中首次涉及到内部控制这个概念。同样，也是美国的COSO委员会首次在其内部控制整体框架中对内部控制给予准确而完整的定义。目前，COSO委员会依然是世界上在内部控制研究领域最为权威的组织，由它发布的众多关于内部控制的理论在各国被广泛推崇和应用。它将内部控制定义为：一个由董事会、管理层以及企业其他员工来共同实施，主要目标是设法保证和实现经营活动的效率及效果，保证财务报告的可靠性，保证企业在经营过程中严格遵循法律法规的程序。（2）内部控制框架五要素COSO内部控制整合框架中把内部控制概括成五个的因素：控制环境，风险评估，控制活动，信息与沟通以及监控。 控制环境 组织的控制环境设定了它的基调，会决定组织中个体的控制意识。它是内部控制中其他四个因素的根基，为它们奠定秩序保障。控制环境主要涉及到：组织中个体的个人道德、能力及诚信；管理层的战略眼光和个人管理风格；董事会的关注程度。归结起来，控制环境可以说由两个大的部分组成：一是企业人员的思想素质、管理哲学及人品等在内的“软件”，它们构成内部控制的氛围。第二就是组织的所有权结构、治理结构体系、权责分配等在内的“硬件”。 风险评估 风险评估是对经营活动中有可能出现的影响到经营目标实现的不利事件的排查过程，毋庸置疑它是企业采取措施规避风险实施控制的前提。风险评估可以让管理层提前了解到企业可能会面对的风险因素，从而及早根据风险因素做出相关预防措施，最大限度降低风险对企业带来的危害。实现风险评估发挥其作用的前提是，要在不同层面上制定企业的相互继承、一致的目标。而风险评估的作用其实就是提前得对风险进行分析，弄清楚风险的性质、大小以及其他相关因素，从而帮助管理层制定出科学、合理的应对措施。在企业中，要做到有效的风险评估，需要相应地建立合理的评估机制和程序，来支持评估活动。 控制活动 控制活动指那些确保高管层在风险评估的基础上所作出的相关应对措施得以有效实施的程式。控制活动涉及的范围和层次比较广泛，它渗透在组织的每个细胞中，上至高管层下到普通员工。存在于企业的所有智能中，诸如合同签订、审批、验证、调节、绩效考核及职权分离等一系列的活动中。 信息与沟通 信息的具有时效性，因此企业的相关信息必须得及时地传达到相关人员那里，以便及时作出决策，如果信息不能在正确的时间里传达到正确的人，那么信息的价值就会丧失。所以信息与沟通在企业内部控制运营过程中至关重要。 监控 监控对企业内部控制运行时十分有必要的，通过监控，管理者可以及时得了解到企业内部控制在每个环节的具体执行情况，以便采取相应的对策。对内部控制的监控应该贯彻在内部控制的每个环节、每个部门中。以上五个要素是内部控制框架的必要组成部分，缺一不可。五个要素环环相扣，相互联系。控制环境约束了内部控制的运行空间，风险评估能促进内部控制活动的有效运行，控制活动保证了内部控制制度的有效执行，信息沟通是内部控制顺利进行的桥梁，监控则对内部控制中出现的问题的及时解决提供了保障。2.3.2 COSO企业风险管理整合框架安然、时代华纳、默克药厂等一批大型企业的财务造假事件，促使世界各地企业相继开始加强内部控制的研究和施行。与此同时，COSO委员会于2001年也开始酝酿着发布相关风险管理方面的公告，在2003年结合萨奥法案发出风险管理框架讨论稿，2004年正式发布了企业风险管理-整合框架。从此，企业界有了实施风险管理的理论支撑。它成为众多企业衡量自身风险管理实施效果的依据。（1）企业风险管理COSO委员会对企业风险管理的定义是，“由企业董事会、管理层以及全体员工一起施行的，并且要求企业各个部门都要参与的，旨在发现潜在的对企业有利或是不利的事件，并评估该事件的发生概率，以给企业提供可靠信息，帮助管理层及时作出应对措施。这里我们需要注意的是，企业的风险管理是贯彻在企业经营管理的整个过程中的程序，而不是仅仅指风险管理结果。企业风险管理的执行好坏在很大程度上影响到企业目标甚至是战略目标能否实现。所以，在运用企业风险管理框架的时候，关键是要针对其中的八个要素具体详细得制定规则，在执行制度时，确保企业全员都要参与，确保董事会和高管层要对风险管理的有效性负责。（2） 风险管理八要素COSO企业风险管理整合框架中，包含：内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息和沟通、监督等。 内部环境内部环境体现的角色类似于控制环境在内部控制框架中的作用。它承载着企业风险管理活动实施的条件，为风险管理的进行奠定了基础。一个好的内部环境对企业的内部控制活动、风险管理有很大的帮助，能大大地提高风险管理实施的效率。在内部环境中，董事会、高管层是其关键作用的部分，董事会对企业文化以及风险理念的构建负有直接责任，在一定程度上决定了一个企业风险管理活动的方向。 目标制定在这个要素中，企业根据自身发展需要及其在市场中的地位，需要制定出自身的经营目标以及战略目标。在制定出既定目标之后，管理层就可以根据目标的实际情况及周边环境，分析要实现目标有可能会面临的不确定事项，并确定这些事项的性质，分析是有利的或是不利影响，由此制定相关对策。在这个过程中，目标的制定要和其他各种风险因素相联系，它是一个复杂的博弈过程而并非仅仅是一个结果。 事项识别既然风险的特点是不确定性，那么事项识别就有了存在的必要性。在企业实现目标的过程中，会碰到很多不确定事项，那么这些不确定事项有可能是不利的亦可能是对企业有利的机会。对不同的事项就要采取不同的措施加以应对，这个要素就要求企业管理层根据具体事项的特点识别出是否对企业有利，对于企业有力的机会，管理层应该抓住机遇，以实现机会效益的最大化。反之，如果是不利影响，企业管理层需要根据相关风险事项的特点以及企业的自身情况制定出科学的应对策，把风险的不利影响降到最小。 风险评估风险评估是指:对某一个或多个风险事项对企业造成的不利影响，以及该事件发生的概率进行量化。风险评估过程中要做到的是对以下三个方面进行有效的量化：一是对风险本身的界定、二是风险的作用方式、三是风险可能会带来的后果。风险评估的三个方法通常是：基线评估、详细评估、组合评估。通过对风险发生的方式以及后果的及时、有效的评估，有利于管理层针对评估结果做出合理的处理方式。 风险应对风险应对是指在上述的事项识别、风险评估之后，了解了风险的作用方式、可能的后果之后，根据组织对风险的承受能力及态度而指定的对策，具体包括：规避风险、承担风险以及分散风险。规避风险主要是指企业根据公司情况和风险状况作出的退出相关领域以避免风险的举措，如：制定相关投资政策、规章、制度等，限制企业经营高风险事项。承担风险是指在风险危害不是太大的情况下，可以考虑维持当下的风险水平，主动承担风险，或许可能给企业带来不错的收益。分散风险，指企业采取一些措施，把风险带来的一部分危害转嫁出去，比如企业通常会购买各种类型的保险，就是起到了分散风险的效果。根据风险的类型，管理层采取恰当的风险应对措施，能够帮助企业在风险来临的时候从容应对。 控制活动控制活动是指在管理层制定了相关应对潜在风险的措施之后，由相关的部门或规章制度对这些政策执行情况的监督和控制过程。控制活动的实施给内部控制及风险管理具体措施提供支持。有助于企业加强在关键风险点上的管理，规范日常业务流程。 信息和沟通完善企业内部控制体系离不开健全的内部信息沟通制度，信息传递的及时性和完整性有助于风险管理流程的顺利进行。所以，组织的各部门成员之间要相互收集信息，共享信息，保证信息的及时有效传递，在此基础上，通过计算机信息系统等实现信息的上下畅通，确保最新的政策能够及时传递到各部门。 监督监督是一个必不可少的程序，良好的监督体系可以保证管理者及时了解到最新的风险管理或是内部控制活动中遇到的问题，并作出对策。良好的监督体系还有利于企业及时发现经营过程中遇到的风险点，并实施风险对策。在监督过程中，企业可以采取持续的监控或者是定期（不定期）抽查实施监控。监督过程中，要注意对监督成果（档案记录）进行有效的保管，及时发现错误，并能根据以往记录总结出监控重点，提高监督效率。2.4 我国内部控制规范体系COSO委员会发布的企业内部控制整合框架问世以来，经过不断的修改和完善，已经形成了一个比较科学的内部控制制度体系。各国纷纷效仿COSO，相继颁布了内部控制的相关政策和制度。2008年，我国颁布企业内部控制基本规范，两年后又发布了企业内部控制配套指引以及企业内部控制审计指引。至此，我国内部控制规范体系初步形成，如下图所示：图2.1 我国内部控制规范体系 内部控制基本规范内部控制应用指引内部控制审计指引内部控制评价指引组织结构发展战略人力资源社会责任企业文化资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告全面预算合同管理内部信息传递信息系统2.4.1 企业内部控制基本规范2008年6月，财政部、证监会、审计署等五部委公布企业内部控制基本规范，我国的内控规范是在广泛借鉴了国际理论界研究成果的基础之上形成的，具有中国特色，在内容和框架上主要借鉴了COSO的内部控制整合框架，并考虑到我国的实际国情以及我国企业的实际发展状况，作出微调。在内容上兼顾了内部控制和风险管理双方的要求。下面简要介绍我国内部控制五要素:(1) 内控环境我国内部控制基本规范同样肯定了内部环境在内部控制制度体系中的重要地位，是内部控制活动开展的前提。内部环境包括：组织结构、内部审计、企业文化等因素。 组织结构组织结构是一个企业最直观的部门关系构架，我国内部控制基本规范要求，企业必须根据公司法等相关规定，设置科学合理的适合企业实际情况的组织管理构架。以便内部控制活动的有效实施。一般来说，在我国，公司的基本组织构架主要包含：股东大会、董事会、监事会、总经理办公室、审计委员会等。 内部审计在我国企业中，一般由内部审计机构来指导和监督企业内部控制实施。内审机构对企业内部控制监督中发现的重大错误和问题及时上报董事会。因此，内部审计机构的人员配备要科学合理，做到独立、公正，在知识层次和能力水平上都要做到合格。 企业文化企业文化中包含着对风险的态度等内部控制相关内容。因此，为了更好地服务内部控制建设，企业董事会、经理层等职能部门要注重企业文化的建设，以身作则，培养员工的企业认同感，号召员工共同参与到企业内部控制建设中来。(2) 风险评估风险管理过程中对风险的合理评估是后续风险控制活动的开展及风险决策有效进行的保证。企业只有对可能面临的风险进行一个完整的、科学的评估之后，才能够有后续的风险应对措施的出台。在企业中，首先需要由相关部门结合企业实际面临的市场环境以及经营活动中的自身情况，对来自内、外部的潜在风险进行深度剖析，然后得出一个风险评估报告，最后再根据风险评估报告制定出适合企业自身价值观的应对措施。这就形成一个比较完善的风险应对机制。(3) 控制活动在根据风险评估报告制定出相关的风险应对措施之后，接下来需要做的就是实施既定的控制活动，确保这些风险应对措施能够渗透在企业各个层次各个部门，能够促使全体员工去共同执行。在我国企业中，这些控制措施主要有：岗位分离、分权、会计控制、资产保全、绩效考核等。 岗位分离在这个环节中，企业需要根据岗位性质的不同，以及企业自身经营特点，对相关联、存在舞弊可能性的岗位进行岗位分离，有不同的人员分别担任，使其互相监督、相互制约，降低舞弊的可能性。 分权“分权”主要是对管理人员来讲的，在企业中，难免会遇到一些对企业有重大影响的决策事件，如果相关人员权力过大的话，难免会擅自决定，可能会对企业造成巨大的危害。分权制度的实施，可以保证在遇到重大事件的时候，必须通过集体讨论来决定，从而降低了风险。 会计控制会计控制也就是对财务加强管理，在企业中，财务一向都比较敏感。所以，要对会计账簿、资料的保管，以及对费用报销的审核等财务活动进行严格的控制，可以设立财务总监一职来统一管理。 资产保全管理层有职责和义务制定相关的规章制度并采取措施，确保股东利益不受侵害，保全企业资产。如：设立资产管理台账、备查簿等，定期严格盘查。发现问题及时向董事会报告。 绩效考核建立完善的绩效考核制度体系，能够帮助企业定期得对各部门经理层的经营业绩进行考核。通过绩效考核报告，可以了解所有管理人员的胜任能力，对连续业绩较差的经理人采取辞退等措施，对绩效好的员工给予嘉奖，这对员工可以起到激励或是鞭策的效果。(4) 信息与沟通在企业的日常经营过程中，信息的传递与沟通贯穿于始终，其作用不言而喻。其宗旨是为企业的内部控制、风险管理活动的实施提供可靠、及时的信息支持。快捷、准确、及时的信息传递和沟通能够帮助管理层根据突发状况作出快速反应，制定决策应对风险。因此，企业的各个部门、层级的各个岗位上的职员都要参与到信息系统中去，以计算机、报纸等公共传媒以及其他的方式去获取信息并共享信息。一旦发现重要信息，就要上传到相关部门和责任人，确保信息的及时性。(5) 监控监控活动主要是由企业的内部审计监察部门来执行的。一般来说，企业内审部门主要负责内部控制制度的执行和纠错。内审机构在审计过程中可以采取定期检查和突击检查两种方式，来对企业各个职能部门的内控控制执行情况进行监控，在跟进的过程中及时发现错误并提出改善意见，对于比较严重的重大缺陷，应该适时得上报董事会，做到定期查错，有错必究、不留隐患。 定期检查和突击检查定期检查主要是指内部审计监察部门对企业各个部门、环节进行的定期得常态化的监控，及时得了解日常经营过程中存在的问题，并给予整改意见，完善经营管理。突击检查在企业中一般可以称作是专项审计，就是不定期得对某个部门或者是某个业务流程进行突击检查，以评估其内部控制的执行情况，采取突击检查可以有效地杜绝相关人员的弄虚作假行为。 内部控制的自我监督与自我评价我国内部控制基本规范和配套指引中明确规定，企业应当制定相关部门定期对企业的内部控制执行情况进行审计，并出具内部控制测评报告。它要求企业首先要对自身内部控制的执行情况作出评价，然后向公众及有关监督部门发布自评报告，董事会对此报告负责。这在很大程度上体现了内部审计部门工作的严谨性和重要性。因此，内部审计部门要在内部控制执行过程中及时发现缺陷，并对其提出整改意见。确保内部控制制度执行的有效性。新形势下，企业界以及政府部门逐渐加大了对内部控制制度建设的力度，并督促大中型企业严格执行。内部控制在我国发展时间较短，经验不足。因此就需要企业各个部门、各个层级全体员工去共同努力，通力合作，找到适合本企业自身特点的方式去执行、完善