内部控制案例研究

内部控制案例研究一、内部控制建设的意义（一）宏观背景企业内部控制规范如箭在弦2010年4月，财政部会同证监会、审计署、国资委、银监会、保监会等部门制定了企业内部控制应用指引第1号组织架构等18项应用指引、企业内部控制评价指引和企业内部控制审计指引，连同2008年5月发布的企业内部控制基本规范，共同构建了中国企业内部控制规范体系。企业内部控制基本规范2010年1月1日由境外上市公司先期执行，2011年境内上市公司执行。企业内部控制配套指引自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。在此基础上，择机在中小板和创业板上市公司施行，鼓励非上市大中型企业提前执行。执行企业内部控制基本规范及企业内部控制配套指引的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。德勤20072008年对国内上市公司的内部控制实施状况，进行了跟踪调查。德勤发现56的公司没有建立，或现有内部控制机制尚不完善；72的公司没有持续监控内部控制的有效机制，或未得到任何改善。就企业内控水平而言，海外上市公司的水平最高，其次是国内的上市公司，随后是其他未上市的大型企业，中小企业的内控审计建设最为薄弱。内控是对企业业务流程的再造，执行企业需要增设专门岗位和专业人员，制定相应流程。建立以基本规范为统领，以评价指引、应用指引和内部控制鉴证指引为补充的内控标准体系，以法制为推动、以企业实施为主体、以监管和社会评价为保障、以各方面积极参与为促进的内控实施体系，已如箭在弦，不得不发。国际资本市场“入门证”和“通行证”许多国家通过立法强化企业内部控制，内部控制日益成为企业进入资本市场的“入门证”和“通行证”。研究结果表明，内部控制存在缺陷，是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。我国境外上市企业纷纷花巨资聘请海外机构设计内部控制制度（聘请海外机构做设计，需要5000万元左右；而请国内公司做设计，需要500万元左右），以适应上市地的监管要求。例如，美国SOX法案第404条款（公认最严格、最复杂、执行成本最高）强调，公众公司内控活动的操作流程都必须清楚地定义并保存相关记录，任何一个岗位的职务、职责都应描述得一目了然，在对交易进行财务记录的每一个环节都应有相应的内部控制制度，并指出内部控制的缺陷所在。它还特别规定，公众公司管理层负有建立和维护内部控制系统以及保证相应控制程序充分有效的责任，编制的年度报告须包括内部控制报告，体现管理层对最近财政年度末对内部控制体系及控制程序有效性的评价，并由担任公司年报审计的会计师事务所对其出具评价报告（但不作为一项单独的业务）。风险控制天使OR魔鬼内部控制与风险管理是一个事情的两个方面，正因为有风险才需要控制。为了引导企业进一步加强内部控制，1999年修订的会计法，第一次以法律的形式对建立健全内部控制提出原则要求。但从现实情况看，许多企业管理松弛、内控弱化、风险频发，资产流失、营私舞弊、损失浪费等问题还比较突出。随着市场经济的发展和企业环境的变化，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向风险控制发展。以史为鉴英国议会曾否决将电力、煤气引入伦敦的千家万户否决引入电力的理由“如果把电通到千家万户之后，每一户人家至少都得有一个电插头吧那个电插头的杀伤力绝对不可低估，简直就是现代化的杀伤性武器如果在全伦敦、全英国普及用电，就等于是给每一个英国人，包括所有的大人、小孩、坏人、精神病患者等等，都发了一把，使他们每个人都具备了把别人或者自己随便杀死的武器和能力。这实在是太可怕了”否决引入煤气的理由“如果千家万户都用煤气，肯定需要储存煤气的巨大煤气罐吧把那么多个大煤气罐摆放在伦敦，那就等于放了数个巨大的包。任何一个国家总有一些坏人，如果这些坏人自己不想活了，一旦把巨大的包点着，两千多年的文明古城岂不是毁于一旦了吗难道有谁能承担得了这个责任吗”教训内部控制的宗旨是兴利除弊，兴利是要作“天使”，除弊则是要驱除“魔鬼”，但切忌“好心办坏事”。英国历史上的决策失误曾否决将电力、煤气引入伦敦的千家万户，就是真理走向谬误、控制变成桎梏的反面例子。（二）权威观点周礼虑夫掌财用财之吏，渗漏乾后，或者容奸而肆欺于是一毫财赋之出入，数人之耳目通焉。具体到职务设置上，以货币的控制为例，专门设置了职入官、职岁官和职币官，来分掌货币的收入、支出和余额，体现了内部牵制思想。“在内部控制、预算和审计程序等方面，周代在古代世界是无与伦比的。”（会计思想史，迈克尔查特菲尔德WILLIEHACKETTSYBILCMOBLEY内部控制作为一种常识出现，是利润动机的自然产物。第一位倡导者一旦发明获取利润的方法，就会建立控制和保护利润的制度，说明了内部控制对兴利的意义。COSO之所以要设置内部控制，就是促使企业在迈向获利目标的路上，达成管理理念，并把路上的意外惊吓减到最少。BASLECOMMITTEEONBANKINGSUPERVISION著名商业银行失败事件的原因，除了内部控制失效外，很难再找到其他因素。巴林银行新加坡期货公司执行经理尼克里森“有一群人本来可以揭穿并阻止我的把戏，但他们没有这样做。我不知道他们的疏忽与罪犯级的疏忽之间的界限何在，也不清楚他们是否对我负有什么责任。但如果是在任何其他一家银行，我是不会有机会开始这项犯罪的。”形象地说，健全、完善的内部控制制度是可以“治病救人”的，因为“一个不好的制度会让好人变成坏人，而一个好的制度会让坏人变成好人”。国际会计公司KPMG（毕马威）1998年以美国5000家公司组织为对象开展欺诈调查，统计结果显示舞弊被发现的概率大致为雇员通报58，内部控制51，内部审计师43，客户举报41，偶然发现37，管理当局调查35，匿名举报35，热线通报25，雇员调查21，/警察通报16，外部审计师4，其他来源20（允许复选）。美国注册舞弊审查师协会2002年的调查报告显示，约占90的受害公司缺乏适当的内部控制制度，或者内部控制制度被员工忽视，没有得到很好地执行。内部控制已成为时下企业管理层、审计师、各国，以及相关监管部门万众瞩目的焦点。这个今日在经济管理领域的许多方面仍然发挥重要作用的内部控制思想，其发展应归功于历代企业家、官员、会计人员和著书立说者们的不懈努力。他们不是在实践中应用这一思想，就是至少提倡应用这一思想。汤姆李（TOMLEE美国国家审计师的惊世之举2010年3月12日，美国责任署（THEUSGOVERNMENTACCOUNTABILITYOFFICE，GAO），也是国家审计师，对美国公布的2009财年的财务报告无法发表审计意见，因为普遍存在实质性内部控制薄弱环节和其他局限性。归因于四个机构美国国防部、美国国土安全部、美国国务院和美国航天局。二、内部控制观念的演变（一）萌芽期一一内部牵制“CONTROLS”一词最初从拉丁语“CONTRAROTULUS”派生而来，意为“对比卷宗”。它起源于古罗马时代对会计账簿实施的“双人记账制”，即某笔经济业务发生后，由两名记账人员同时在各自的账簿上加以登记，然后定期核对双方账簿记录，以检查有无记账差错或舞弊行为，进而达到控制财物收支的目的。对比卷宗和双人记账制体现的是内部牵制思想，其基本原理就是两个或两个以上的人或部门，无意识地犯同样错误的可能性，低于单独一个人或一个部门错误的可能性；有意识地合伙舞弊的可能性，低于单独一个人或一个部门舞弊的可能性（联合概率降低）。柯氏会计词典将内部牵制定义为“用以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式，进行组织上的责任分工；每项业务通过正常发挥其他个人或部门的功能，进行交叉检查或交叉控制。”内部牵制以不相容职务分离和授权批准控制为标志，至今仍然是控制活动的思想精髓。所谓不相容职务，是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为，因而必须予以分离的职务，如授权批准、业务经办、会计记录、财产保管和稽核检查。（二）发展期一一内部控制制度美国审计程序委员会下属的内部控制专门委员会于1949年对内部控制首次做出了如下权威定义“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。1958年10月，美国审计程序委员会对内部控制作了如下划分（两分法）（1）会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成，包括授权与批准制度；记账、编制财务报表、保管财务资产等职务的分离；财产的实物控制以及内部审计等控制。（2）管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成，包括统计分析、时动研究、经营报告、雇员培训计划和质量控制等。1977年的反国外贿赂法案（FOREIGNCORRUPTPRACTICESACT）是最早的关于内部控制要求的法律，要求美国所有的上市公司必须建立内部会计控制制度，以防范公司被用于不法目的。但1980年3月，在国际内部审计师协会代表大会的发言中，凯罗鲁斯把内部控制的两分法描绘为“将美玉击成了碎片”。他声称，在这块美玉完全修复（破镜重圆）以前，我们不可能有一个对管理人员有用、为管理人员理解的内部控制定义。（三）成熟期内部控制结构（1988）和内部控制整体架构（19921内部控制结构（INTERNALCONTROLSTRUCTURE1988年，美国注册会计师协会指出“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”。内部控制结构不再将内部控制割裂成会计控制和管理控制两部分，并正式将控制环境纳入内部控制范畴。（1）控制环境对建立、加强或削弱特定政策和程序效率发生影响的各种因素，反映董事会、经理层、其他管理人员对内部控制的态度、认识和行动管理当局的思想和经营作风企业组织机构董事会及其所属委员会的作用确定职权和责任的方法监控和检查工作时所有控制方法，包括经营计划、预算，利润计划、责任会计和内部审计人事工作方针及其执行影响本企业业务的各种外部关系（2）会计系统确认和登记一切合法的经济业务对各种经济业务进行按时和适当的分类，作为编制会计报表的依据将各种经济业务按适当的货币价值计价，以便列入会计报表确定经济业务发生的日期，以便分会计期间进行记录在会计报表中恰当表述经济业务以及有关内容（3）控制程序管理当局所制订的，用以保证达到一定目标的方针和程序经济业务和活动的批准和授权（授权批准控制明确各个人员的职责分工（不相容职务分离凭证和账单的设计和使用应保证经济业务和活动得到正确的职务分离的记载（如连续编号财产及其记录的接触使用要有保护措施（如限制接近对已登记的业务及其计价进行复核（稽核2内部控制整体架构（INTERNALCONTROL一INTEGRATEDFRAMEWORK1992年，美国反财务欺诈委员会下属的内部控制专门研究委员会COSO（COMMITTEEOFSPONSORINGORGANIZATIONSOFTHETREADWAYCOMMISSION），提出内部控制整体框架（INTERNALCONTROLINTEGRATEDFRAMEWORK）的专题报告（又称COSO报告），在世界范围内得到广泛应用。COSO报告指出，内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。内部控制是一个“发现问题解决问题发现新问题解决新问题”的循环往复的过程，是企业经营过程的一部分，目标是在合法经营的前提下，提高经营的效率与效果，向外界提供可信的财务报告。但它并不是一门纯粹的技术，相反它是“人为”的，需要全员参与，其设计和执行效果受制于“人”的因素。内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成（1）控制环境（CONTROLENVIRONMENT提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识，是所有其它内部控制组成要素的基础。员工的诚实和职业道德员工的胜任能力董事会及审计委员会的参与管理哲学和经营作风组织机构权力和责任的规定人力资源政策与执行（2）风险评估（RISKASSESSMENT分析和辨认实现所定目标可能发生的风险（评估风险的先决，是制定目标）。经营环境的变化聘用新员工采用新的或改良的信息系统迅猛的发展速度新技术的采用企业改组新的行业、产品或经营活动的开发海外经营新会计方法的采用（3）控制活动（CONTROLACTIVITIES确保管理层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工。政策规定应该做什么，程序则使政策产生效果，政策是程序的基础。控制活动是针对关键控制点而制定的业绩评价信息处理控制实物控制职务分离授权与批准（4）信息与沟通（INFORMATIONANDCOMMUNICATION企业在其经营过程中，需按某种形式辨识、取得确切的信息，并进行沟通，以使员工能够履行其责任。企业所有职员必须从最高管理阶层清楚地获取承担控制责任的信息，有向上级部门沟通重要信息的方法，并对外界顾客、供应商、主管机关和股东等做有效的沟通。会计系统是信息系统最为重要的组成部分确认、记录所有有效的经济业务序时详细记录经济业务，以便适当归类、提供财务报报告采用适当的货币价值计量经济业务确定经济业务发生时期，并保证在合理的会计期记录经济业务在财务报告中恰当披露经济业务（5）监控（MONITORING由适当的人员，在适当及时的基础上，评估控制的设计和运作情况的过程，由持续监督、个别评估组成，确保企业内部控制持续有效运作。在监控过程中，有两项职能发挥着重要作用一是内部审计，它是内部控制的最高层次，是控制中的控制。二是控制自我评估（CONTROLSELFAPPRAISAL，CSA）。它的基本特征是时刻关注企业内部经济业务事项的进展情况和内部控制的成效；由企业内部全体人员共同参与和实施；利用目标管理的方法开展评估活动。五要素及其相互关系监控控制活动风险评估控制环境信息沟通信息沟通基础手段保证载体依据（四）最新发展企业风险管理（ENTERPRISERISKMANAGEMENT2004年9月，COSO委员会顺应风险管理与内部控制相融合的趋势，吸收了风险管理的研究成果，结合萨班斯奥克斯莱法案，正式颁布企业风险管理整体框架（ENTERPRISERISKMANAGEMENTINTEGRATEDFRAMEWORK）。定义与目标COSO指出，企业风险管理是由企业的董事会、管理层和其他人员实施的，应用于战略制定并贯穿整个企业的一个过程，旨在识别可能影响企业的潜在事件，并在企业的风险容量内管理风险，为实现企业的以下目标提供合理的保证（1）战略目标，为最高层次的目标；（2）经营目标，包括资源运用的效果和效率；（3）报告目标，即报告的可靠性；（4）遵循性目标，即合法合规性。组成要素（1）内部环境（INTERNALENVIRONMENT内部环境为如何看待风险和着手控制确立了基础风险管理哲学风险文化董事会诚心和道德观能力承诺管理哲学和经营风险风险偏好组织结构权利和责任的分配人力资源政策和实践（2）目标设定（OBJECTIVESETTING管理当局采取恰当的程序去设定目标，保证选定的目标支持主体的使命，并与其相衔接，以及与它的风险容量相适应。战略目标相关目标选定目标风险偏好风险承受度（3）事项识别（EVENTIDENTIFICATION从影响目标实现的内部或外部资源中，识别潜在的事项，包括区分表示风险的事项或表示机会的事项，以及可能二者兼有的事项。事件影响战略和目标的因素方法论和技巧实践相互依赖性事件类别风险和机遇（4）风险评估（RISKASSESSMENT企业管理当局对识别的风险进行分析，作为确定如何对它们进行管理的依据。内部和剩余风险可能性和影响方法论和技巧相互关系（5）风险反应（RISKRESPONSE管理当局识别、评价可能的风险应对措施，包括回避、承担、降低和分担风险，使风险与主体的风险容量相适应。识别风险反应评价风险反应选择反应组合观（6）控制活动（CONTROLACTIVITIES企业制定和实施政策与程序，以帮助确保管理当局所选择的风险应对策略得以有效实施。与风险反应相结合控制活动的类型一般控制应用控制主体特性（7）信息与沟通（INFORMATIONANDCOMMUNICATION各个层级都需要借助信息来识别、评估和应对风险，员工也需要获得有关他们的职能和责任的清晰沟通。信息战略整合系统沟通（8）监控（MONITORING整个企业风险管理应处于监控之下，必要时还应进行修正，能够动态地反应、根据的要求而变化。监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。个别评估持续评估角色职责在企业风险管理整体框架中，体现了全员参与、全面控制的思想，各方的角色职责相互协同（1）董事会在风险管理方面负有总体责任。董事会需要批准企业的风险偏好，复核企业的风险组合观并与企业的风险偏好相比较，评估企业最重要的风险并评估管理者的风险反应是否适当。（2）CEO必须确定目标和战略方案，并将其分为战略目标、经营目标、报告目标和遵循目标。（3）管理层需要识别风险和影响风险的事项，评估风险，采取控制措施。（4）风险主管或风险经理在其职责范围内建立并维护有效的风险管理框架，也负有帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责。（5）内部审计人员在企业风险管理监控中发挥重要作用。他们对管理层的风险管理过程的充分性和有效性进行检查、评价、报告和提出改进建议，协助管理层和董事会履行职责。（6）执法人员可以考虑采用本企业风险管理整体框架的定义和内容对企业的管理加以规范。（7）对财务管理、审计等提供指导的专业组织，应根据本框架的精神考虑他们的标准和指引。（五）企业风险管理整体框架与内部控制整体框架的比较目标发展与风险观念内部控制整体框架把财务报告的可靠性界定为编制可靠的公开财务报表，包括中期和简要财务报表，以及从这些财务报表中摘出的数据（如利润分配数据）。企业风险管理整体框架则将财务报告的可靠性发展为报告的可靠性，将财务报告的范围拓展到内部的和外部的、财务的和非财务的报告。企业风险管理整体框架提出了新的目标战略目标，并置于最高层次。企业风险管理的范围与内容，扩展到战略高度。企业风险管理整体框架首次提出总体层面上的风险组合观，管理层在确定战略目标和战略时，需将战略与风险偏好保持一致，选择与企业风险偏好相一致的战略，以风险组合的观点看待风险。风险管理流程内部控制整体框架由控制环境、风险评估、控制活动、信息和沟通和监控五个要素组成。企业风险管理整体框架对这五个要素进行深化和拓展，演变为内部环境、目标设定、事件识别，风险评估、风险应对、控制活动、信息与沟通和监控八个要素，并首次提出了清晰的风险管理流程目标制定事项识别风险评估风险反应控制活动。以企业内部环境为基础，借助信息与沟通进行，并处于监控之下。角色与职责变化董事会风险管理方面扮演更加重要的角色负有总体责任，且变得更加机警，需要批准企业的风险偏好，复核企业的风险组合观并与企业的风险偏好相比较，评估企业最重要的风险并评估管理者的风险反应是否适当。企业风险管理的成功与否，将在很大程度上依赖于董事会。首席执行官（CEO）确定目标和战略方案，并将其分为战略目标、经营目标、报告目标和遵循目标。每一个业务单元、分部、子公司的领导，也需要识别各自的目标，并与企业的总体目标相联系。管理层识别风险和影响风险的事项、评估风险并采取控制措施。内部审计人员原来对内审委员会负责，现在可能要对内审委员会和风险主管负责，并在企业风险管理监控中发挥重要作用，对管理层风险管理过程的充分性和有效性进行检查、评价、报告和提出改进建议，协助管理层和董事会履行职责。风险主管或风险经理为新增的一个角色，与企业内其他管理者一起，在各自的职责范围内建立并维护有效的风险管理框架，也负有帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责，并可以成为企业风险管理委员会的一员。图示比较八要素与五要素关系内部环境目标制定事项识别风险评估风险反应控制活动信息与沟通监控控制环境风险评估控制活动信息与沟通监控三、我国内部控制规范体系企业内部控制基本规范（2008）既有类似萨班斯法案的强制力，又有与COSO报告一样的对内控实务的示范作用。企业内部控制配套指引（2010由21项应用指引（银行、证券和保险业务的3项指引暂未发布）、评价指引和审计指引组成。应用指引在配套指引乃至整个内部控制规范体系中占据主体地位；评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引；审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。（一）基本规范内部控制框架基本规范与包括COSO报告在内的世界领先的内部控制框架在所有主要方面保持了一致形式上，借鉴了COSO报告内部控制整合框架（1992）五要素框架。COSO发布的内部控制整合框架是目前国际上企业内控建设的主要依据，它划分的内部控制五要素对世界各国的公司治理和上市公司监管的影响很大，相对较成熟、较稳定，包括美国证监会等推荐、参照的仍是5要素框架。内容上，体现了风险管理8要素框架的实质，适当体现企业风险管理框架（2004）八要素框架的先进理念。内部控制目标内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标合理保证企业经营管理合法合规（LOW资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略（HIGH内部控制要素内部环境（重要基础一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。风险评估（重要环节及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。内部风险因素董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素组织机构、经营方式、资产管理、业务流程等管理因素研究开发、技术投入、信息技术运用等自主创新因素财务状况、经营成果、现金流量等财务因素营运安全、员工健康、环境保护等安全环保因素外部风险因素经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素法律法规、监管要求等法律因素安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素技术、工艺改进等科学技术因素自然灾害、环境状况等自然环境因素风险应对策略风险规避（企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失风险降低（企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内风险分担（企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内风险承受（企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失控制活动（重要手段根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施（7类）A不相容职务分离控制授权、批准、业务经办、会计记录、财产保管、稽核检查B授权控制常规性授权在日常经营管理活动中，按照既定的职责和程序进行的授权；临时性授权在特殊情况、特定下进行的应急性授权（严格控制）。C会计系统控制严格执行国家统一的会计准则制度加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。D财产保护控制建立财产日常管理制度和定期清查制度财产记录、实物保管、定期盘点、账实核对严格限制未经授权的人员接触和处置财产E预算控制实施全面预算管理制度规范预算的编制、审定、下达和执行程序强化预算约束预算控制举例定额“定额”一词在唐代出现，如元稹钱货议状云“自国家置两税以来，天下之财皆量入以为出，定额以给资。”但最初的定额实践，见于著名的“许元称钉”典故。宋仁宗庆历初年，东南漕粮的供应出现了问题。参知政事范仲淹推荐许元出任江浙荆淮制置发运判官，负责征收茶盐等税，向京师运送谷粟等事。许元到任后，“悉发濒江州县藏粟，所在留三月食，远近以次相补，引千余艘转漕而西。”但航行中好些船散架沉入江中，造成巨大损失。许元怀疑是造船的工匠偷工减料，少用了铁钉，但却没有证据。而船坊主则自认为木已成舟，船已沉入江中，面对人们的指责极力狡辩。据宋朝事实类苑卷22载有一天，许元突然来到造船的工场，下令拖出一艘新船，立即放火烧掉，又从灰堆中拣出铁钉，一过秤，发现只有应该用钉量的十分之一。许元大怒，当即严惩船坊主，杀一儆百，并以真实的用钉量作为今后每艘船的用钉量定额，从此工匠们再也不敢偷工减料。不久，运粮船源源不断地抵达京城（“未几，京师足食”）。F运营分析控制综合运用生产、购销、投资、筹资、财务信息运用因素分析、对比分析、趋势分析等方法运营分析控制举例目标管理20世纪60年代，金刚砂空中货物公司最先使用坚固耐用、规格统一、可重复使用的集装箱运输货物，开创了集装箱运输货物的先河。然而，负责集装箱运输业务的副总裁爱德华费尼发现只有45的集装箱是完全填满的。为了保证装货质量，爱德华费尼开始组织工人接受关于装满集装箱的专业培训，并经常派人实地督促检查集装箱是否装满，但是收效甚微。一位管理学专家提出建议在每个集装箱内部画上一条“填满至此处”的横线。此后，完全填满集装箱的比例竟然由45上升到了95。一条简单的横线，为什么会有如此大的控制作用呢管理学专家回答说“画上一条横线，就有了专一的目标；有了专一的目标，就有了专一的行动；有了专一的行动，就有了实现目标的可靠保证。这就是目标管理的作用。”G绩效考评控制科学设置考核指标体系定期考核和客观评价将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据信息与沟通（重要及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。建立反舞弊机制，坚持惩防并举、重在预防的原则。内部监督（重要保证对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。日常监督对建立与实施内部控制的情况进行常规、持续的监督检查。专项监督在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。妥善保存相关记录或者资料，确保内部控制建立与实施过程的可验证性。内部控制原则全面性原则层次上涵盖董事会、管理层和全体员工对象上覆盖各项业务和事项流程上渗透到决策、执行、监督环节重要性原则在全面控制的基础上，突出重点，针对重要业务事项、高风险领域采取更为严格的控制措施，确保不存在重大缺陷。制衡性原则在治理结构、机构设置及权责分配、业务流程等方面，形成相互制约、相互监督，同时兼顾运营效率。适应性原则与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整（权变）。成本效益原则没有不花钱的内部控制，也不存在完美无缺的内部控制，须在内控效果、风险和成本之间寻求一个最优组合，以适当的成本实现有效控制。（二）应用指引内部环境类指引有5项，包括组织架构、发展战略、人力资源、企业文化和社会责任。控制活动类指引有9项，包括活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告。控制手段类指引有4项，包括全面预算、合同管理、内部信息传递和信息系统（偏重于“工具”性质，往往涉及企业整体业务或管理）。企业内部控制应用指引第1号组织架构含义股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。风险（1）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略；（2）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。组织架构的设计董事会对股东（大）会负责，行使经营决策权，可设立战略、审计、提名、薪酬与考核等专门委员会。监事会对股东（大）会负责，监督董事、经理和其他高级管理人员依法履行职责。经理层对董事会负责，主持生产经营管理。按照科学、精简、高效、透明、制衡的原则，合理设置内部职能机构。不相容职务通常包括可行性研究与决策审批；决策审批与执行；执行与监督检查等。“三重一大”实行集体决策审批或者联签制度。补充关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见解读2010年6月，中共中央办公厅、国务院办公厅印发了关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见（以下简称意见），要求国有和国有控股企业（含金融机构）对重大决策事项、重要人事任免事项、重大项目安排事项和大金额运作等事项，以科学发展观为指导思想，以明确决策范围、规范决策程序、强化监督检查和责任追究为重点，以集体决策为基本原则，完善群众参与、专家咨询和集体决策相结合的决策机制，保证决策的科学性、民主性和合法合规性。这也是我国首次以中央文件形式，明令要求国有企业贯彻落实“三重一大”决策制度。（1）制度背景与案例分析1996年，同志在中纪委六次全会上就加强和健全党内监督提出了新的要求凡属重大决策、重要干部任免、重要项目安排和大额度的使用，必须经集体讨论，不准个人或少数人专断。中纪委六次全会随之做出了实施“三重一大”制度的决定，防止“一把手”权力过大，独断专行。2008年6月，国资委亦曾在网站明确“三重一大”的具体所指，筑起了防范决策失误的制度堤坝，并开展了实施“三重一大”的大检查。从全国来看，国有企业的管理体制和模式不尽一致，经营规模、管理水平差别很大，表现在贯彻落实“三重一大”决策制度方面，还存在一些不容忽视的问题，如制度不健全，个人或少数人违规决策，监督检查和责任追究不到位，重大违纪违法的案件时有发生。2004年的陈久霖案、2007年的陈同海案和2009年的王效金案，是典型代表。表面上，中航油新加坡公司是“海外中资企业的一面旗帜”，聘请国际著名的安永会计师事务所制定了国际石油公司通行的风险管理制度。但问题的症结在于公司总裁兼集团公司副总经理陈久霖的“强人治理”，使得“三重一大”的集体决策原则和合法合规性目标被架空，国家明令禁止不许做的投机交易、场外交易和超限额交易戏剧性地成为公司的战略方向，以致在高风险的石油衍生品期权交易中蒙受高达55亿美元的损失，酿成“中国版的巴林银行事件”。时任中石化集团公司总经理、股份公司董事长的陈同海，利用职务便利，在企业经营、转让土地、承揽工程等方面为他人谋取利益，收受他人钱款共计折合人民币19573亿余元，在近年来国有企业的腐败案件中级别最高、企业规模最大、犯罪数额最多，号称“国企最大腐败案”。安徽古井集团原董事长、总裁王效金利用职务便利，为他人在原材料采购、合股经营、企业收购、企业经营、拆借、广告承揽等方面谋取利益或承诺谋取利益，收受他人贿赂共计人民币507万元、美元67万余元和港币5万元。“王效金就是古井，古井就是王效金，效忠王效金的目的就是为了古井的发展，是为了每一个职工的发展”，其对“三重一大”决策制度的蔑视程度可见一斑。更为让人触目惊心的是，王效金所在的古井贡企业主要负责人及绝大多数中层干部，在窝案中几乎“全军覆没”。因此，有必要通过提出指导性意见，进一步推动国有企业贯彻落实“三重一大”决策制度，并督促各级纪检监察机关和履行国有资产出资人职责的机构发挥好监督作用。同时，2009年颁布的国有企业员廉洁从业若干规定对违反“三重一大”决策制度的情况提出了原则性的限制要求，需要相关的配套制度予以明确和细化，出台专门针对“三重一大”决策问题进行规范的文件是应有之义。（2）“三重一大”的范围界定为了贯彻重要性原则和分类管理思想，意见分别对重大决策事项、重要人事任免事项、重大项目安排事项和大额度运作事项，进行解释并列举了具体内容。重大决策事项是指应当由股东大会（股东会）、董事会、未设董事会的经理班子、职工代表大会和党委（党组）决定的事项。主要包括贯彻执行党和国家的路线方针政策、法律法规和上级重要决定的重大措施发展战略、破产、改制、兼并重组、资产调整、产权转让、对外投资、利益调配、机构调整等方面的重大决策企业党的建设和安全稳定的重大决策重要人事任免事项是指企业直接管理的员以及其他经营管理人员的职务调整事项。主要包括企业中层以上经营管理人员和下属企业、单位领导班子成员的任免、聘用、解除聘用和后备人选的确定向控股和参股企业委派股东代表推荐董事会、监事会成员和经理、财务负责人重大项目安排事项是指对企业资产规模、资本结构、盈利能力以及生产装备、技术状况等产生重要影响的项目的设立和安排。主要包括年度投资计划融资、担保项目期权、期货等金融衍生业务重要设备和技术引进采购大宗物资和购买服务重大工程建设项目大额度运作事项是指超过由企业或者履行国有资产出资人职责的机构所规定的企业员有权调动、使用的限额的调动和使用。主要包括年度预算内大额度调动和使用超预算的调动和使用对外大额捐赠、赞助通过对“三重一大”的含义及内容进行清晰的界定，意见明确了国有企业在实务中如何贯彻落实的方向和边界，增强了针对性和可操作性。（3）决策程序和监督机制按照谨慎性原则和全程控制思想，意见规定了严密的“三重一大”决策的基本程序。第一，事先的研究论证。重大投资和工程建设项目，须充分听取有关专家的意见；重要人事任免，须征求国有企业和履行国有资产出资人职责机构的纪检监察机构的意见；研究决定企业改制以及经营管理方面的重大问题、涉及职工切身利益的重大事项、制定重要的规章制度，须听取企业工会的意见，并通过职工代表大会或者其他形式听取职工群众的意见和建议；董事会、未设董事会的经理班子研究“三重一大”事项时，须与党委（党组）沟通，听取党委（党组）的意见。第二，事中的集体决策。党委（党组）、董事会、未设董事会的经理班子须以会议的形式，对职责权限内的“三重一大”事项做出集体决策。如遇特殊情况需对决策内容作重大调整，重新按规定履行决策程序；如有利益冲突可能导致不，相关当事人须履行回避义务。第三，事后的跟踪问责。国有企业须建立考核评价和后评估制度，逐步健全决策失误纠错改正机制和责任追究制度，实现责、权、利的有机结合。作为配套安排和协同要求，意见还规定了严格的“三重一大”决策的监督机制。第一，监督实施。国有企业党委（党组）、董事长、未设董事会的总经理（总裁），为主要责任人，履行国有资产出资人职责的机构对“三重一大”事项范围是否全面科学、决策程序是否严密、责任追究措施是否有效进行严格审查，批准后还要负责监督实施。第二，监督检查。纪检监察机关负责督促指导履行国有资产出资人职责机构的纪检监察机构，切实加强对所管辖的国有企业贯彻落实“三重一大”决策制度情况的监督检查。“三重一大”决策制度的执行情况，应作为巡视、党风廉政建设责任制考核、民主生活会、企业员述职述廉和厂务公开的重要内容，企业员经济责任审计的重点事项，以及考察考核和任免以及经济责任履行情况审计评价的重要依据。（4）反思与建议意见的颁布实施，对于进一步规范国有企业“三重一大”决策制度，促进国有企业员规范决策行为，防范国有企业决策风险，维护国有资产安全，保证国有企业科学发展，努力把国有企业的政治优势转化为经营管理优势和竞争力，无疑具有重要作用。但值得注意的是，我国国有企业权力过分集中，“一把手”一人独大的现象仍然存在。比如董事长、总经理、党委由同一人兼任；纪委由企业任命，拿的是企业发的薪水；监事会主席由董事长指定，出差办事要经过总裁批准，所有费用报销都需要总裁签字。国务院国资委主任李荣融总结陈同海案的原因，第一条就是企业规范的公司治理结构还没有建立健全，保证权力规范运作的体制机制还不完善，一些企业主要负责人权力过于集中，缺乏有效监督制约，容易导致滥用权力。另外，制度执行不力的问题仍然比较突出，有制度不执行的情况依然存在，制度规范权力运行的作用没有充分发挥，监督机制还不够完善。我国2008年6月发布的企业内部控制基本规范，将合理保证企业经营管理的合法合规性作为企业内部控制的第一目标，在目标排序上与国际最为权威的内部控制研究机构COSO的观念正好相反，客观上反映出我国所面临的严峻形势。因此，意见的实际效果，还有赖于国有企业法人治理结构的完善，从源头上和制度上予以保障。为了进一步推进国有企业“三重一大”决策制度的贯彻落实，建议在意见之外，另行要求国有企业按照不相容职务分离原则和牵制、制衡思想，规定董事长、总经理、党委三个职务不得互相兼任；纪委由地方的纪律检查委员会派出，其性质属于地方纪委的派驻机构；根据企业的规模，指派若干名纪委委员以法定资格进入企业监事会，纪委兼任监事会主席；充分发挥内部审计等内部监督主体的职能作用，形成全方位、多层次的监督体系。企业内部控制应用指引第2号发展战略含义企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略。风险（1）缺乏明确的发展战略或发展战略实施不到位，可能导致盲目发展，难以形成竞争优势，丧失发展机遇和动力；（2）发展战略过于激进，脱离企业实际能力或偏离主业，可能导致过度扩张，甚至经营失败；（3）发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。发展战略的制定在董事会下设立战略委员会，或指定相关机构负责发展战略管理工作，履行相应职责。董事会应当严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性。企业的发展战略方案经董事会审议通过后，报经股东（大）会批准实施。发展战略的实施企业应当根据发展战略，制定年度工作计划，编制全面预算，将年度目标分解、落实；同时完善发展战略管理制度，确保发展战略有效实施。企业内部控制应用指引第3号人力资源含义企业组织生产经营活动而录（任）用的各种人员，包括董事、监事、高级管理人员和全体员工。风险（1）人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现；（2）人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露；（3）人力资源退出机制不当，可能导致法律诉讼或企业声誉受损。引进与开发通过公开招聘、竞争上岗等多种方式选聘优秀人才，重点关注选聘对象的价值取向和责任意识。切实做到因事设岗、以岗选人，避免因人设事或设岗。选聘人员实行岗位回避制度。签订有关岗位保密协议，明确保密义务。建立选聘人员试用期和岗前培训制度。建立员工培训长效机制，促进全体员工的知识、技能持续更新。使用与退出设置科学的业绩考核指标体系，对各级管理人员和全体员工进行严格考核与评价，以此作为确定员工薪酬、职级调整和解除劳动合同等的重要依据，确保员工队伍处于持续优化状态。制定与业绩考核挂钩的薪酬制度，切实做到薪酬安排与员工贡献相协调，体现效率优先，兼顾公平。制定各级管理人员和关键岗位员工定期轮岗制度，全面提升员工素质。建立健全员工退出（辞职、解除劳动合同、退休等）机制。关键岗位人员离职前，进行离任审计。企业内部控制应用指引第4号社会责任含义企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量（含服务）、环境保护、资源节约、促进就业、员工权益保护等。风险（1）安全生产措施不到位，责任不落实，可能导致企业发生安全事故；（2）产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产；（3）环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业；（4）促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。安全生产建立严格的安全生产管理体系、操作规范和应急预案，强化安全生产责任追究制度。贯彻预防为主的原则，对于特殊岗位实行资格认证制度。重大生产安全事故应当启动应急预案，同时按照国家有关规定及时报告。产品质量建立严格的产品质量控制和检验制度售后发现存在严重质量缺陷、隐患的产品，及时召回环境保护与资源节约实现低投入、低消耗、低排放和高效率建立环境保护和资源节约的监控制度促进就业与员工权益保护建立高级管理人员与员工薪酬的正常增长机制，维护社会公平。按照产学研用相结合的社会需求，积极创建实习基地，培养、锻炼社会需要的应用型人才。支持慈善事业企业内部控制应用指引第5号企业文化含义企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。风险（1）缺乏积极向上的企业文化，可能导致员工丧失对企业的信心和认同感，企业缺乏凝聚力和竞争力；（2）缺乏开拓创新、团队协作和风险意识，可能导致企业发展目标难以实现，影响可持续发展；（3）缺乏诚实守信的经营理念，可能导致舞弊事件的发生，造成企业损失，影响企业信誉；（4）忽视企业间的文化差异和理念冲突，可能导致并购重组失败。企业文化建设打造以主业为的企业品牌培育体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神，以及团队协作和风险防范意识。董事、监事、经理和其他高级管理人员在企业文化建设中发挥主导和垂范作用。切实做到文化建设与发展战略的有机结合企业文化评估董事、监事、经理和其他高级管理人员在企业文化建设中的责任履行情况全体员工对企业价值观的认同感企业经营管理行为与企业文化的一致性企业品牌的社会影响力参与企业并购重组各方文化的融合度员工对企业未来发展的信心企业内部控制应用指引第6号活动含义企业筹资、投资和营运等活动的总称。风险（1）筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机；（2）投资决策失误，引发盲目扩张或丧失发展机遇，可能导致链断裂或使用效益低下；（3）调度不合理、营运不畅，可能导致企业陷入财务困境或冗余；（4）活动管控不严，可能导致被挪用、侵占、抽逃或遭受欺诈。总则完善严格的授权、批准、审验等相关管理制度，加强活动的集中归口管理，明确筹资、投资、营运等各环节的职责权限和岗位分离要求，定期或不定期检查和评价活动情况，落实责任追究制度，确保安全和有效运行。企业财会部门负责活动的日常管理，参与投融资方案等可行性研究。总会计师或分管会计工作的负责人应当参与投融资决策过程。有的企业集团，应当探索财务公司、结算中心等集中管控模式。筹资银行借款或发行债券重点关注利率风险、筹资成本、偿还能力以及流动性风险；发行股票重点关注发行风险、市场风险、政策风险以及公司控制权风险。投资突出主业，加强可行性研究重大投资项目实行集体决策或者联签制度对到期无法收回的投资，建立责任追究制度。营运在采购、生产、销售等各环节的综合平衡发挥全面预算管理在综合平衡中的作用企业内部控制应用指引第7号采购业务含义购买物资（或接受劳务）及支付款项等相关活动。风险（1）采购计划安