MPACC论文：上市公司内部控制研究结合COSO框架

1、MPACC论文：上市公司内部控制研究结合COSO框架MPACC论文：上市公司内部控制研究（结合COSO框架）论文语种：中文您的研究方向：会计是否有数据处理要求：否您的国家：中国您的学校背景：国内一流重点大学要求字数：3万字论文用途：mba毕业论文是否需要盲审（博士或硕士生有这个需要）：否补充要求和说明：论文用途是MPACC（会计专业硕士论文）和MBA要求接近,需要开题，没有字数要求，填表格中英文目录摘要MPACC论文：上市公司内部控制研究（结合COSO框架）第一部分绪论1.1 选题目的与意义1.1.1 选题目的近年来，国际上发生了一些轰动企业界的财务舞弊案，如2002年的安然事件、2003年破

2、产的世通公司等，都无疑例外地对全球经济带来了重大的影响。一时间，企业的内部控制成为了学术界深入探讨的焦点。这些财务丑闻案件的爆发在一定程度上推动了内部控制理论的变革。传统的会计控制和内部牵制的理念，逐渐转变为以风险为导向的企业全面的风险管理理念。为了使企业尽快适应时发表展的要求，国内外的知名学者也都开始深入研究和学习这种全新的以风险管理为核心的内部控制理论。本文通过对COSO风险管理框架下A企业内部控制问题的深入研究，旨在建立一个全面的企业内部控制系统，以提升A企业的市场竞争力，扩大市场份额，在市场竞争中立于不败之地。1.1.2 选题意义一直以来，企业内部控制是强化企业内部管理，增强对外竞争力

3、的重要手段。然而，笔者研读了国内外相关的研究后发现，在内部控制理论的研究虽然比较系统，但基本上都是基于公司治理的角度，但从ERM风管理框架的角度进行的研究还相对较少。而COSO（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）作为美国虚假财务报告委员会下属的发起人委员会，发布的内部控制整体框架和企业风险管理总体框架是目前国际在内部控制领域的最新研究成果，且代表当前的最高研究水平。由于我国目前还处于经济体制的转型时期，A企业的内部控制系统还

4、未发展成熟。因此，本文在COSO的企业风险管理总体框架基础上，针对A企业的特点，以国际上最新的内部控制理论为指导，重点探索COSO风险管理框架下A企业内部控制的相关问题。并结合企业内部环境，利用风险管理理论来寻找一条能有效提高A企业内部控制水平的新道路，以提升现有的内部控制体系。1.2 文献综述1.2.1 国内研究现状我国对内部控制的研究发起于20世纪的80年代，随着我国市场经济的发展而逐步深入和发展起来的。接下来就对国内内部控制理论的研究情况进行分类回顾：(1)关于内部控制的理论介绍与发展情况研究最初，我国关于内部控制理论的研究基本是集中在翻译国外的著作上。针对我国企业的研究，主要是在引入国

5、外的经典理论的基础上，再对我国企业的内部控制提出一些有针对性的建议。吴水澎等(2000)详细介绍了COSO的内部控制整体框架，包括该框架的建立背景、创新点及具体内容等，并分析了我国企业在该框架下，建立内部控制体系的现实意义。金彧昉等(2005)则以COSO的企业风险管理总体框架为研究对象，在介绍新框架的具体内容的基础上，还分析了企业风险管理总体框架与内部控制整体框架之间的区别和联系。刘阳（2007）指出对企业应该定期和不定期对内部控制制度的执行情况进行检查，以观察其是否有效执行，使内部控制日趋合理化。刘捷（2007）对我国上市公司的控制环境普遍存在执行难以信息不通畅等问题进行评述。(2)关于内

6、部控制相关理论研究学术界一直将组织、公司治理与内部控制的关系视为研究的重要内容之一，而且将内部控制归纳为公司治理结构中的一个关键要素。但是不同的学者对组织、内部控制和公司治理之间的关系和区别有着不同的观点，例如张俊民(2001)、程新生(2004)、杨有红、胡燕(2004)等人的研究。通常我们可以将组织、公司治理和内部控制的联系如下图1.1：图 1.1 组织、公司治理和内部控制的关系而审计与内部控制的关系研究也是学者关注的重点，通常认为两部分是各自独立的，只有在审计经过了详细的审计阶段之后，内部控制才逐渐成为审计的对象和审计工作的基础。曹伟、桂友泉(2002)曾提出内部审计主要是在企业内部起到

7、监督作用的一种内部控制方式，可以说，它是对内部控制的控制;。方红星(2002)认为审计是影响企业的组织效率的外部因素，而内部控制则是内部因素，两者具有相互促进和作用。冯栋（2006）论述改善我国公司治理的问题，应该从改善内部控制入手，特别是对于治理层面（董事会层面）内部控制的完善，将有助于实现公司治理的目标。滕艳（2007）论述从公司治理角度出发，建立和完善企业内部控制。(3)关于内部控制理论的实践情况研究案例分析方面：目前我国学者主要是通过对我国企业内部控制案例的研究，归纳企业内部控制构建的经验和方法。吴水澎等(2000)根据COSO的内部控制整体框架的理论，基于企业内部控制的五个要素，深入

8、分析了郑州亚细亚集团内部控制失败案例。贡华章(2004)则系统地分析了中油集团的内控制度，并对该企业将如何构建内部控制体系提出了大胆的设想。实证研究方面：国内关于该领域的研究成果还相对匮乏，主要原因在于相关资料，尤其是数据的可获得性差。张先治、张晓东(2004)运用实证分析法，从投资者的角度，分析了我国内部控制的现状及发展状况。其研究的主要结论是：投资者具有较强烈需求，希望上市公司能够加强自身的内部控制。对于国内的企业来说，应该积极满足投资者的需求，以管理控制为主导，建立一个完备的内部控制系统，作为企业努力的重要方向。内部控制的评价方面：美国颁布萨班斯奥克斯利法案后，国内学者陆续投入研究企业内

9、部控制的评价问题。朱荣恩（2003）研究了内部控制评价体系引入我国的实用价值；王立勇、张秋生（2004）则从评价主体的角度出发，确定了评价主体的定位问题；王立勇（2004）在风险控制的评价分析模型方面作出了相关研究；王素莲（2005）对于国内内部控制的评价研究，选择了从相应的指标选取角度进行分析。从整体来看，我国在内部控制的评价方面的研究，与国外的发达国家相比，还处于相对初始的阶段，而且在内部控制的评价方法、内容、过程以及评价的方式等都尚未形成统一的观点。舒娜（2007）在阐述内部控制管理目标的作用，将面临的特定风险得到防范和化解为控制目标，通过有机联系和整合控制环境、控制目标、风险识别、控制

10、活动、信息与沟通、监控等要素而形成的区别于外部控制的一种内在系统。但大多文章还是比较直接地参照了国外标准，缺乏创新的和完善的适应我国现代企业特点的内部控制制度理论。并且，就框架的研究与运用来说，现有的研究大多还停留在内部控制框架的阶段，对于框架未进行评价分析。另外，国内现有的关于内部控制管理的研究大多不是从证券公司内部控制的角度出发的。近年来，随着国内证券行业内部控制意识的提高，针对证券行业的内部控制研究正在兴起。1.2.2 国外研究现状国外关于内部控制理论的发展可以追溯到20世纪的30年代，受经济发展的推动和实际企业运作的需求，随后，国外内部控制理论发展十分迅速。而且，在内部控制理论的发展与

11、完善的过程中，与企业内部控制相关的行业协会和组织也起到了巨大的推动作用。1936年，为了保护公司现金以及其他资产，美国会计师协会首次提出在公司内部采用适当的手段和方法进行所记事务准确性的检查。美国会计师协会于1949年又提出，为了保护企业资产的相关会计数据的准确性和可靠性，并提高企业的经营效率，组织的计划和企业应该遵循既定的管理方针以及所采用的所有方法和措施。1970年，日本会计研究学会提出了企业的内部控制的相关定义。企业的内部控制就是以维护资产的完整性为主要目的，同时为了确保会计记录的正确性和可靠性，企业的经营者为了经营活动制定了详细的计划，并不断协调和评定其制定的程序、方法、制度和组织。1

12、976年，加拿大特许会计师协会提出内部控制主要是为了达到确定的管理目标，保证企业的经营活动有秩序和有效率地进行，由企业管理人员制定的所有协调制度。因此，为了保证资产的安全，企业的会计记录应该及时地提供可靠、准确的财务资料。1977年，美国宣布了反国外贿赂法，对于其中的目标提出了四点意见：只有经过授权才能接触资产；遵守GAAP或其他标准，维护受托责任；记录与实有资产之间的比较，并处理差异；交易事项的授权。1981年，为了达到既定的管理目标，国际会计师联合会提出了，内部控制系统应该包括组织体制的设计，以及经济实体应该采用的方法和程序，进而有序、有效地进行的经营活动1988年，美国注册会计师协会(A

13、merican Institute of Certified Public Accountants，简称AICPA)提出，企业的内部控制结构包括了控制程序、环境以及会计系统这三个要素。而且还应该包含企业为了既定的目标，而建立的各种程序和制度。1996年，AICPA又指出，企业的内部控制应该是企业的董事长、高层管理人员，以及其他相关人员为了实现一定的目标，而提供的适当的保证的过程。而这些目标包括经营的效果和效率、符合实用的法律和法规以及财务报告的可靠性。1992年，全国虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of

14、the National Commission of Fraudulent Financial Reporting，简称COSO）提出，内部控制在达到经营的效果和效率、符合实用的法律和法规以及财务报告的可靠性这些目标的过程中，会受到董事会、高层管理人员和其他相关员工的影响。内部控制主要可以分为五个方面：控制活动、控制环境、风险评估、信息与沟通与监督。1994年，COSO报告第二卷提出了对于对外部关系人报告;的修正，其中补充了一些保证资产安全;的内容。2004年，COSO报告再次增加了一个目标、一个观念、两个概念、三个要素。即战略目标;、风险组合观;、风险容忍度;和风险偏好;的概念，而三个要素主

15、要是风险反应;、目标设定;以及事项识别;。新的框架还要求企业设立一个风险管理部，以应对风险管理的需要。1.3 研究思路和方法1.3.1 研究思路本文首先从研究COSO委员会提出的企业内部控制整合框架、企业风险管理总体框架入手，并对我国内部控制理论与COSO报告的差异作了比较研究。在此基础上针对A企业的经营特征和所面临的风险特点，着重探讨COSO风险管理框架下A企业内部控制相关问题。通过本文的写作，笔者希望用风险管理理论提升现有内部控制体系，提高A企业内部控制体系构建理论的完整性。1.3.2 研究方法在研究方法上，主要采用理论分析、定性分析、定量分析、比较分析、案例分析等方法。本文在研究过程中，

16、首先，运用比较分析法对新COSO报告和旧COSO报告进行了比较，并采用理论分析的方法介绍了国内外的研究成果，内部控制的相关概念、新COSO制度下内部控制的一般框架。其次，运用案例分析法对A企业的内部控制进行深入探讨，并得出相应的解决方案。再次，运用定性分析法和比较分析法，以及管理学等方面的知识来研究风险管理导向下的A企业内部控制所存在的问题，以具体的模型来阐述企业内部控制的建立和应用。1.4 研究内容第一部分为绪论。主要包括COSO风险管理框架下企业内部控制研究的目的和意义、文献综述、研究思路与方法、研究内容以及本文的创新点。第二部分为风险管理框架下企业内部控制构建的理论基础。本章为论文研究提

17、供理论背景，是全篇的理论基础。首先，阐释了内部控制理论的发展历史，再从COSO企业风险管理总体框架出发，并且重点介绍了COSO企业风险管理总体框架的主要内容和构成要素；最后，还分析了COSO企业风险管理总体框架对于内部控制整体框架的影响。第三部分为A企业内部控制的现状、问题及影响因素。首先，介绍A企业的背景情况；其次，总结A企业在风险管理和内部控制方面的现状及突出问题，找出A企业内部控制存在的不足；其次，针对A企业内部控制的存在的薄弱环节进行原因和影响因素分析。第四部分为COSO风险管理框架下A企业内部控制的构建。本章是对风险管理框架下企业内部控制应用问题的探讨，在前一章对A企业内部控制分析的

18、基础上，归纳出A企业在COSO风险管理框架下构建内部控制基本原则，并总结出内部控制构建的要点，最后，建立一个COSO风险管理框架下A企业的内部控制系统。第五部分为结论。本部分主要总结上述分析对A企业在风险管理框架下构建内部控制体系的启示，以及本文存在的一些局限和不足之处。1.5 创新点本文的创新在于，以COSO风险管理框架下企业的内部控制研究为主线，通过对比分析国内外COSO内部控制监管标准的特点，并通过对A企业内部控制实践进行案例分析，对构建A企业内部控制体系提出优化和改进意见，在构建A企业的COSO风险管理框架下的内部控制体系提出了几点设想。针对A企业目前内部控制建设的现状，指出了A企业在

19、内部控制方面应遵循的原则、组织结构设计、内部功能设计的建设。第二部分 COSO风险管理框架下企业内部控制的理论基础2.1 内部控制理论的发展历史2.1.1 内部牵制阶段根据有关记录，早在公元前3600年，美索不达米亚地区出现了最早的内部牵制活动，这是内部控制的前身。在那个时期，对于财物的管理还十分简略，管理的人只是将各种财物的生产和使用用不同的标志记录下来，经常进行核实，避免财务的丢失和被人私自挪用的现象。到了古罗马时期，开始出现了双人记账制;，在很大程度上丰富了内部牵制制度。15世纪，意大利人创造了借贷记账法，并将不同岗位人员所涉及的职权进行分离。当时的内部牵制，基本的措施是主要是将不相容的

20、职务进行分离，运用不同的账目经行核对，同时控制钱帐物三样要素，使得内部牵制变得更加成熟。以上这些发展构成了内部控制的最初来源，且其中体现的思想仍延用至今。2.1.2 内部控制制度阶段1936年，美国的会计师协会及联邦储备委员会颁布的注册会计师对会计报表的审查（修订版）中，首次提到了内部控制;这个概念，并将其定义为公司内部为了保护公司现金和其他类型资产的安全，同时，为了检查账簿记录的准确性百采取的所有手段。20世纪50年代起，内部控制的内容得到了很大程度上的丰富，其作用的范围开始扩展到企业内部各个层面。1953年，审计程序委员会颁布了审计程序说明第19号，该规定指出：内部控制在广义上可以按照特点

21、分为会计控制和管理控制。而会计控制是指企业为了组织、保护资产，以及保证企业内部财务资料可靠性而进行的程序行为；管理控制则应该包括企业在组织、计划，以及授权管理部门办理的相关业务的所有相关的程序活动。这个阶段的内部控制还停留在概念的层面，主要是为了使审计师在计划和开展财务报表的审计工作中，能够更有效、更快速地进行。2.1.3 内部控制结构阶段20世纪70年代起，关于内部控制的研究开始从概念性转向了具体的内容。1988年美国注册会计师协会颁布的审计准则公告第55号指出，内部控制结构;的概念将逐步取代内部控制制度;的概念，且内部控制结构主要是由控制程序、控制环境以及会计系统构成。1996年，我国颁布

22、的独立审计具体准则第9号内部控制与审计风险则将内部控制定义为为了保证本企业经营活动的有效进行、资产的安全和完整以及会计资料的真实、合法、完整，被审计单位因此而制定的相关制度及其程序。在内部控制的构成要素方面，我国也借鉴了美国注册会计师协会的观点，将其定义为控制程序、控制环境以及会计系统三个方面。2.1.4 内部控制框架阶段及COSO报告1972年的水门事件使得美国各界开始重视企业的内部控制。然而，立法者、监管者以及企业之间，受各自利益出发点的限制，对于内部控制的理解具有很大的分歧。1985年，美国注册会计师协会、内部审计师协会、美国会计协会、财务经理人协会以及管理会计师协会联合创建了反虚假财务

23、报告委员会。1987年，该委员会又赞助机构成立了COSO委员会，专门研究内部控制问题。该委员会开创性地提出了内部控制的整体框架，将内部控制理论推进到一个崭新的时期。这个COSO内部控制的整体框架主要包括内部控制的定义、包含的要素及其目标。整体框架超出了之前的内部控制的思想，比内部牵制、内部控制制度和内部控制结构等都来得成熟。1994年，COSO提出了内部控制的定义，指出内部控制是为了实现三大目标（包括经营的效果和效率、符合实用的法律和法规以及财务报告的可靠性），而设计的一个过程，该过程受组织中不同职务的人的影响。这个过程主要是为了实现组织目标，在公司内部由董事会、高层管理人员及其他相关员工进行

24、，目的在于让组织的管理层能够参与到整个机构的决策运作当中。从根本上来说，内部控制就是为了维持可靠性、确保财务报告可比性与一致性，而采取的适当的会计方法。这种内部控制为了达到组织目标，会采用一些科学的风险管理制度来实现，然而，由于组织内部的资源有限且内部控制自身存在的限制，这种内部控制并不能消除所有的风险。也就是说，这种内部控制制度并不能确保组织目标的完全实现。由于经营的效果和效率、符合实用的法律和法规以及财务报告的可靠性这三大目标能够满足企业内部不同层次的需求，因此在企业内部，有效的内部控制能够推进企业各项经营活动的发展。而企业经营活动的效果;是用实际产出与计划的产出的差距来表示的；经营的效率

25、;则是实际产出与实际投入的数量差异。而且，公司不能为了实现经营目标，而采用违背法津法规的行为，同样，也不能为了实现操作性目标或遵从性目标，而违反财务信息一致性、可靠性以及及时性。这种内部控制的定义相当于是一种全部控制论;。也就是说，一个良好的内部控制系统应该要考虑到由于经营的效果和效率、符合实用的法律和法规以及财务报告的可靠性这三大目标。上述内部控制的定义归纳起来主要有以下几点：第一、内部控制是一个过程，指的是朝某种目标的努力的过程，而不是目标本身；第二、内部控制是用来达到组织内部一个或者多个相互区别又紧密联系的目标而进行的过程；第三、内部控制会受人的因素影响，不单单是表格、手册或者政策；第四

26、、内部控制只能给公司管理层提供适当的保证，而不能提供完全的保证。内部控制的定义给各种单位提供了一个相对统一的标准，以加强各单位对其内部控制评价和决策。相关的经营部门以及内审部门应该根据法规和一些具体的实施细则，对被检查单位的内部控制系统进行仔细考察，以确保组织目标的实现。COSO的内部控制是一个多维立体的空间，能够使人全面且深入地理解内部控制的所有内容以及内部控制的对象，并解决进行内部控制时所存在的问题。在此过程中，提到了全息论;：这三大目标与五要素关系密切，渗透到组织中的各个职务岗位以及每一个成员。内部控制系统的整体框架主要是由这三大目标和五要素构造而成，在现代的内部控制理论中，对内部控制描

27、述更加全面、深刻，使得内部控制及其控制的对象更易理解，并将内部控制作为实现三大目标的有利武器。COSO将内部控制的五要素整理成一个有机整体，表述如下。1.控制环境控制环境主要包括组织结构、规章制度、管理哲学与经营风格、员工能力、精神指导、价值观、激励与诱导机制以及人事政策等。它是内部控制的重要推动力，为其他内部控制的组成部分奠定了基础。控制环境不仅影响了组织的结构和风纪，还会影响到组织活动中所有相关的工作人员以及这些人员的控制觉悟。同时，控制环境还会反映企业中的各个层级的管理人员对内部控制的要求。控制环境的主要问题存在于：管理层要向组织内部的所有相关人员说明内控的完整性；公司要提供一个积权向上

28、的控制环境，提高组织中所有员工的控制觉悟，培养他们自觉的控制态度；而且尽量使员工的能力与其责任相匹配。企业在监督、管理以及控制文化方面的原则主要有：（1）董事会应当定期审查企业的整个经营战略以及重大政策，并负责相关的批复工作；董事会还应当了解经营过程可能会遇到的风险，制定企业对这些风险的可承受度，当遇到实际状况时，高层管理人员可以进行识别、评审、衡量并控制风险；董事会还要确保内部控制的有效性。总之，董事会是构建和维护企业的内部控制系统的最终负责人。（2）高层管理人员应该负责对董事会的批复的总体战略进行具体实施，并且能够明确实施过程中的授权、责任以及报告关系，以维护企业的组织结构，确保董事会所指

29、派的责任能够得到有效地执行；高层管理人员还应该制定具体的内部控制的政策，并要监督内部控制实施过程中的有效性和充分性。（3）员工的职业道德的完整性应该由董事会以及高层管理人员负责督促，为此，他们必须制定相应的高标准，来形成一种内部控制的企业文化，并时刻注重强调和传达内部控制的重要性。而且，公司中的所有员工都应该充分意识到内部控制的重要性，理解并发挥出自己在内部控制程度中应该起到的作用。2. 风险评估风险评估的对象主要是那些可能会在企业实现经营目标的过程，起到一定阻碍作用的因素。风险评估就是对这些因素进行识别和分析，为之后的风险管理决策奠定基础。风险评估主要包含对内外部风险的识别与分析、对整体经营

30、目标以的制定和衔接、对影响目标实现的因素的认识以及对各项工作程序与政策的调整。风险评估的过程要注意对内部控制系统中可能阻碍实现目标的种种物质风险进行识别和评估。这些风险应该包括公司经营过程中可能遇到的所有风险，如市场风险、国家和转移风险、信贷风险、利率风险、经营风险、流动性风险、声誉风险、法律风险等。而且，企业还要不断地调整内部控制系统，以应对潜在的风险，甚至是全新的一种风险。3. 控制活动控制活动主要包括确定指标、信息加工、职责分离、实物控制、直接管理以及高层检查等等。目的在于指导员工实施管理指令，并采取管理和化解风险的程序和政策，以实现企业的经营管理目标。在控制活动中要注意的事项在于，关注

31、风险评估与控制活动过程中的关联性、控制活动的实施形式、控制活动的针对性、对管理指令和执行政策的保证等等。而在控制活动中应该遵循的原则主要有：（1）将控制活动确定为公司日常经营活动中的重要环节。企业要建立有效的内部控制系统，就应该建立一个适当的控制结构，并将控制活动明晰到各个职能部门的员工。内部控制活动应该包含对企业高层管理人员的审核、批准和授权制度、查证核实与对帐制度、对违规经营的跟进情况以及对不同部门或处室的活动的适当控制。（2）内部控制系统中还应该对员工的职责进行适当的分离。要识别可能潜在利益冲突的岗位，在员工职责安排方面，要遵循独立、谨慎的原则，避免在人员安排上发生不必要的责任冲突。4.

32、 信息交流这里的信息主要是指员工在经营、管理、控制等企业活动过程中所需要的信息。其中，还包括企业的管理人员对普通员工日常业绩的经常性评价。交流的信息主要着重于企业的内外部信息，在交流的过程中也要注重交流的方式和渠道。在构建内部控制的信息交流系统时，要遵循的原则是：（1）内部控制系统中应该包含的信息包括企业全面的财务数据、经营数据，以及外部环境的相关信息。而这些信息的获取应该坚决遵循及时性和可靠性的原则。（2）在内部控制中建立的信息系统应该包括企业的所有活动。而且应该独立审核、保护这个信息系统，并对企业中的突发事件提供适当的应对策略。（3）在内部控制系统中还应该建立一个良好的交流平台，让企业内部

33、的所有员工都能够充分理解现行的政策和程序，并坚持企业的经营目标，确保完成个人工作职责的过程中，能够有效地传递组织的所有相关信息。5. 监督评审监督评审是单独进行或持续性的，也可以将两者结合起来。主要包含经营管理部门对内部控制进行监督和管理，以及内审监察部门对内部控制进行再监督与再评价等活动。在此过程中，相关的经营管理部门和内审监察部门应该要注重程序的合理性，对政策程序进行适当的调整，并对内控缺陷及时报告等等。总之，在监督评审过程中应该遵循的原则是：（1）对内部控制的总体效果要进行经常性的监督评审。换句话说，就是要把内部控制中主要风险的监督评审作为企业日常经营活动中的关键环节，并定评价。（2）在

34、内部控制系统中实施全面、有效的内部审计。内部审计是企业内部控制系统中监督评审的重要一环，这就要求企业的内部审计维持一定的独立性，也就是说，一定要配备合适的内部审计人员，经常进行业务培训。内部审计人员应该定期向企业的董事会及审计委员会汇报工作，而日常工作中，要经常向高层管理人员进行汇报。（3）企业内部的经营管理人员或者其他控制人员发现内部控制系统中存在的问题后，都应该及时地向管理层汇报。而企业高层应该迅速采取行动处理这些问题。这五要素与三大目标紧密结合在一起，共同组成了一个完整的内部控制系统。COSO提出的内部控制框架对各个行业来说，都具有一定的实践意义。因此，我国国内的企业应该迅速采取行动，结

35、合内部控制的三大目标，深入考察企业内部五要素的实际情况，遵循COSO内部控制的框架，建立建全企业的内部控制制度。2.2 内部控制理论的新发展COSO企业风险管理总体框架2.2.1 COSO企业风险管理总体框架的主要内容COSO内部控制一总体框架在内部控制方面的地位已经得到广泛共识，众多国内外知名企业都借鉴并参照COSO建立了内部控制体系以及相关内部控制规范。不幸的是，像任何经典的事物都会存在不足和缺陷一样， COSO框架下，也存在着缺陷，主要体为缺乏企业的战略风险等方面问题的充分关注。针对这一缺陷，许多学者进行了研究创新，终于在2004年，COSO发展出现突破，COSO企业风险管理一总体框架（

36、以下简称总体框架;）。总体框架是在原有的COSO内部控制的五要素框架基础上，引入风险管理的相关理论并结Sarbanes-OxleyAct的相关要求，最终成型。总体框架的创新之处在于，其体现了一个动态的过程，这个动态过程贯穿于企业经营管理的各项活动之中。动态过程主体包括企业的公司治理机构（包括企业内的所有层次和机构）以及全体职工，主要内容包括，企业在设定战略目标以及进行其他经营活动的同时，注重识别、分析、控制各种风险事项，从而促进企业的战略目标顺利完成。通过这一动态过程，企业可以站在全局性高度来衡量企业的风险水平。综上所述，计和实施的有效性是评价企业风险管理过程的有效性的主要衡量指标，风险管理过

37、程的设计是科学合理，具有可操作性，使得企业可以贯彻和实施，那么就可以说这个风险管理过程就是有效率的。2.2.2 COSO企业风险管理总体框架的构成要素总体框架增加了三个新的要素，这些要素贯穿于整个企业的各项经营活动，总体框架的结构如图2.1所示。图 2.1 COSO企业风险管理总体框架示意图（1）内部环境内部环境作为企业风险管理的首要因素，将直接影响总体框架中其他要素的实施效果。内部环境比原有基础性内部控制框架中的控制环境概念的含义更加丰富，不仅强调了董事会在内部环境中的作用，更重要的是，加强了风险管理方面的相关内容，例如，管理者管理风险所持有的理念、企业管理者对风险的喜恶程度等等。（2）事项

38、识别事项识别的含义是指，识别可能会影响企业战略目标的各种不确定性因素，这些不确定性因素对企业的影响具有正负面的可能性。例如，对企业发展具有积极作用的因素意味着发展机会；对企业发展产生消极影响的因素会导致企业面临不同程度的风险。因此，以企业战略目标为准绳正确的识别不确定性因素成为企业趋利避害、规避风险、把握机会的重要措施。（3）风险评估在完成事项识别之后，下一步是又一重要的风险管理步骤，即风险评估。企业在准确识别了企业在完成战略目标时可能遇到的各种风险之后，还需要评估这些风险的涉及范围和可能的影响程度。进行风险评估的步骤是先对企业的固有风险进行评估，在对固有风险进行控制之后，再对剩余风险的大小进

39、行评估。风险评估包括两个关键因素，即风险可能发生的概率与可能产生后果的代价，这两个因素的综合作用将决定风险评估的结果。（4）目标制定目标制定，简而言之就是企业需要设定战略发展目标。战略发展目标为企业未来发展指明了路线，为更好地实现这一目标，企业管理者还需要对目标进行细化，不同层次的战略分别设定子目标。这样，战略目标就可以被逐层分解到企业的各个部门以及各种经营活动中。只有科学合理地制定战略发展目标，企业有针对性分析可能存在的风险，从而目的性明确地进行风险管理，促进企业顺利实现战略目标。（5）风险反应准确地分析完企业可能面临的各种风险以及后果之后，根据风险评估的结果应当给出相应的风险反应，具体的反

40、应类型如图2.2所示。图 2.2 风险反应的类别规避是指企业为了避免某一事件或者因素产生的不利影响，而不进行这一事件或业务，这是一种回避或放弃的方式。共担是指企业通过与第三者共同承担或者将风险转移到别处的方式，来减轻不利影响的发生概率及影响程度。减少意味着企业通过采取某些措施减少负面影响因素发生的概率或降低负面因素所造成的代价。接受是指当风险事件造成的不利影响范围以及严重程度，恰恰低于企业的风险容忍程度，此时企业可以选择接受风险，无需进行风险管理措施。（6）信息和沟通企业的信息和沟通可以分为对内沟通、对外沟通。外部沟通主要是指企业与企业外的有关各方进行的沟通；内部沟通又包括纵向沟通、横向沟通两

41、种方式。企业管理者、全体员工可以通过信息和沟通，及时了解企业内部控制的执行效果，有助于反映出企业内部控制实施过程中的漏洞和缺陷，从而及时采取相关补救措施。信息传达和沟通还可以使企业每个层次和部门的员工获得各自职责履行情况，有助于员工更好地贯彻执行内部控制制度和程序。（7）控制活动企业在为某项风险选定了应对方案后，就需要根据风险应对方案进行具体的控制活动，通常表现为一系列完整和系统的控制制度和程序。控制活动是企业实现风险管理过程的方式和手段。它涉及所有层次的企业活动和机构，贯穿于企业经营管理活动的各个方面。（8）监督机制监督机制是企业风险管理的设计以及执行效果的重要保证，主要分为连续监控和单独评

42、估两种形式。企业在对风险管理进行监督的过程中，根据企业经济业务的特征，清晰记录相关内容是提高风险管理的水平以及未来对外披露风险管理有效性的自我评价报告的基础。2.3 COSO企业风险管理总体框架对内部控制整体框架的影响相较于COSO委员会的五要素框架，COSO总体框架在内涵和外延等方面都有所丰富和发展，不仅明确提出了风险管理的理念，而且强调了内部控制对于风险管理的重要作用。第一、总体框架引入了更多的风险管理概念，要求企业将风险管理过程渗透到内部各个层次的经营活动中，通过实施各种风险管理措施，确保降低企业面临的风险，与企业整体层面上的风险偏好相契合。除了整体层面的风险，企业还应当考虑到各个层面的

43、风险，将各个层面的分散风险进行综合评估，并综合风险水平评估结果与企业整体风险偏好进行比较，然后制定相对应的风险应对策略。第二、风险管理的总体框架无疑对原有五要素内部控制框架是一个补充和拓展，是对COSO内部控制整体框架的超越和突破。总体框架在原有框架的基础上演进而来，更能满足现代经济的发展要求，更能适应时代前进脚步。总体框架从企业战略角度出发，不断丰富内涵，拓宽考察角度，涵盖的主要内容更加系统性。第三、总体框架引入风险管理理论中的风险偏好和容忍度等概念，使总体框架在创新性和完整性方面具有良好表现。更重要的是总体框架在原有内部控制框架要素的基础上，引入风险管理相关的三个新要素之后，更加明确了风险

44、管理的具体步骤。第一步进行企业战略目标的设定，第二步，在设定目标的基础上识别潜在风险因素，第三部评估可能风险以及制定应对策略和控制活动，第四步，将企业的整体风险控制在可容忍的程度内。第四、在总体框架之下，增加了企业目标内涵，拓展了报告目标范围。原有框架下，包括三大企业目标，经营的有效性，财务报告的真实性以及法律法规的遵循性。总体框架在已有三大企业目标的基础上，首次提出了企业战略目标的概念，并且这个目标对其他三个目标起到统领作用。总体框架充分体现了风险管理这一核心理念，并且其着眼点要高于原有框架。此外，总体框架的报告目标范畴也由原有框架的财务报告，延伸为企业为生产经营所涉及到的全部报告。第三部分

45、 A企业内部控制的现状、问题及影响因素3.1 A企业背景介绍3.1.1 发展历程A企业始于XXXX，是一家兼具XXXX和XXXX综合实力雄厚的创意产业型公司；于XXXX年初在XXXX总部，麾下分公司遍及北京、上海、香港、。企业专注于XXXX方面提供独具创意的解决方案，以及陈列系列产品的集成设计和生产。经营范围涉及等的设计、生产与销售。2010 年销售收入XXXX亿、资产规模XXXX亿、现有员工XXXX人。A企业成立以后，不断通过提高装备水平及设计水平与服务质量，持续满足了用户需求。XXXX年完成了XXXX的改造升级；至XXXX年分别开发了世界500强XXXX公司、XXXX公司等客户。此外，A企

46、业拥有一支专业的管理团队，企业骨干多为留学海外多年的高学历精英，都曾在世界一流企业担任高管，具有出色的战略眼光和超强的组织能力，A企业一直以来秉承海纳百川的胸襟，广纳各路贤才；整合个体优势，发挥整体优势；一如既往地为零售行业提供独具创意的优质解决方案，帮助客户提高市场竞争力和增值空间，也为企业的可持续发展注入更多活力。在提供优质产品的同时，A企业积极履行社会责任，除了向社会提供力所能及的援助及开展各类公益活动项目外，A企业还十分重视将可持续发展融入到供应链及运营的各个环节。从XXXX年开始，公司就将可持续发展作为企业发展的国际化战略目标，并一直为努力实现三大目标而不断进取：开发利于XXXX的产

47、品，引领消费者养成XXXX;的态度，争取企业运营各环节的全面提升。并且，与XXXX合作，构成战略合作联盟，推广XXXX业务，提升企业的市场地位、增加企业的社会价值，如。公司整体战略理念的持续深化提升了公司的生存能力，为做大做强动能奠定了坚实的基础。A企业致力于成为地道的世界企业公民，企业的社会责任计划重点体现在环境保护、可持续发展、回馈社会等方面。除了向社会提供力所能及的援助及开展各类公益活动项目外，A企业还十分重视将可持续发展融入到供应链及运营的各个环节。从XXXX年开始，企业就将可持续发展作为企业发展的国际化战略目标，并一直为努力实现三大目标而不断进取：1. 2. 3. 3.1.2 组织结

48、构目前，A企业主要组织结构为：总办公室、行政部、党委、工会、保安部、财务部、市场部、设计部、工程部、技术部、客服部、物控部、采购部等部门。具体情况详见图3.1。图 3.1 A企业组织机构设置示意图3.1.3 运营环境3.1.3.1 外部经营环境分析一是A企业近年来产销量、工业总产值、利税及综合市场占有率连年递增，随着新基地项目和PQ35 项目的相继建成投产，公司产能逐步攀升，对产品供应的数量和质量提出越来越高的要求。二是原有的国内行业巨头不断扩大原有的经营范围，新兴的外资、民营投资者依靠强大的资金实力试图参与行业的竞争。A企业现有的经营业务，己经或者将要面对一定程度上的市场竞争，潜在进入者往往

49、具有组织架构合理、技术先进、装备能力强、人员负担轻等特点，如果公司不能在降低经营成本、提高经营质量的同时扩大经营地域范围，将面临市场被逐步蚕食的局面。3.1.3.2 内部环境分析（1）产品结构A企业现有的生产、供应和经营一体的企业模式在同行业中并不多见，A企业现有的产品分为标价产品、陈列产品、促销设备、POP适具、亚克力产品等几大方面。经营质量相对优良。其中陈列产品、促销设备业务具有一定的提升空间，可以通过提高管理水平和装备能力获得持续收益。（2）装备技术能力A企业拥有3条生产线，年产量1.8亿元，居同行业前列。它承担着海内外几百家企业的陈列产品与设计的供应与服务。利用效率高。3.2 A企业内

50、部控制的现状A企业近几年依据市场形势，虽然不断改进自身内部控制方面的制度，但是全面系统的内部控制体系尚仍然迟迟不见成果。A企业现有的内部控制制度仅仅局限于会计控制，缺乏与整体企业各种经营活动的协调。突出表现为，A企业各个部门间配合脱节问题，其主要原因涉及部门职责不清、本位主义和流程不清晰等因素。内部控制的完善与否将直接关系到部门职责和业务流程的顺利程度。同时，员工对A企业整体工作效率的较低评价，表明大多数的员工认为公司的运行效率较低；在集团采取相应措施之后，仍未改善员工对公司的评价，甚至有少数员工认为采取的相应措施完全是没有效果的。这些现状都说明了A企业所采取的内部控制措施不仅非常有限，而且已

51、经实施的措施也没有产生实际效果。3.3 A企业内部控制存在的问题3.3.1 A企业内部环境薄弱COSO总体框架的概念中，内部环境至关重要，企业内部环境是决定其他控制要素能否发挥作用的关键所在，直接影响到企业内部控制的贯彻和执行以及企业内部控制目标的实现，是企业内部控制的核心。内部环境包括风险管理理念和风险容量、诚信和道德价值观，及其所处的经营环境；内部环境为工作人员评估以及应对风险提供基础。接下来，对A企业控制环境进行简要分析。1. A企业内部组织机构不合理COSO总体框架报告认为，高层领导者是企业内部控制环境的一个重要要素，企业应该努力建立一个强有力的领导层，能够对企业的经营管理等各项活动起

52、到引导监督作用。A企业是典型创意产业型公司，企业内部的治理结构不够合理，导致公司事务决策权力较为集中。2. A企业内部控制意识淡薄A企业内部控制意识不够，从管理层到员工对都缺乏内部控制的全面和系统认识。3. A企业工作作风有待改进A企业某些部门凝聚力不够，严重影响工作效率。部门职能相互交叉，办事流程复杂，程序模糊；企业内的大部分员工分工责任模糊，这些问题都导致了工作效率低下。4. A企业的企业制度不健全这方面问题包括人才招聘与培养机制不够完善。COSO总体框架认为，人力资源是重要的内部控制环境因素，也是企业最重要的资源。A企业缺乏对管理人员进行过正规的管理培训，并且员工整体文化水平不高，尽管大

53、多数员工通过努力，基本能胜任自己的工作岗位，但随着越来越高的行业规范经营要求，以A企业目前的整体员工素质难以应付未来更加激烈的市场竞争。3.3.2 A企业目标制定不清晰目标的提出是目标制定先决条件，这个前提的存在，接下来管理层才能对影响目标实现的潜在风险进行识别。因此，管理者应当科学合理地制定本企业的战略发展目标。战略一经确定，就可以在企业内部逐层分解和落实其他与之相关的目标。然而，A企业缺乏的恰恰就是清晰的战略目标，因此在A企业很难用战略发展目标去统筹其他三大目标，更无法实现逐层分解和落实相关目标。3.3.3 A企业事项识别滞后总体框架中的事项识别要求识别影响主体目标实现的内部和外部事项，从

54、而清晰区分风险和机会。风险的不确定性使得企业管理者需要对这些风险进行识别，区分这些潜在事项对企业的影响是正面的、负面的还是两者同时存在的。A企业的风险管理往往不会主动去对主要业务进行风险识别，由于缺乏识别事项能力，常常是以事后管理为主，因此A企业的管理基本上是被动式管理，。3.3.4 A企业风险评估缺乏专业人才风险评估是通过考虑风险的可能性和影响，对风险加以分析，并以此评估结果作为决定如何进行风险管理的根据。管理者可以通过风险评估了解潜在风险对企业实现其战略目标的影响。目前，A企业缺乏专业的风险评估人员和专门的风险评估体系，从而A企业整体上缺乏对突发风险事件的处理能力。3.3.5 A企业应对风

55、险不及时应对风险的措施包括规避风险、减少风险、共担风险和接受风险四类措施。各行政部门、职能部门或者业务部门等各级部门管理者采取复合式措施综合评估该部门的风险，并以此为依据采取相对应的风险应对方案。A企业领导没有意识去培养风险应对这方面的人才，同时该企业受限于整体企业缺乏风险管理知识，管理人员的整体文化水平有限，缺乏风险分析与应对风险的应有素质，往往导致A企业应对风险不及时。3.3.6 A企业控制活动不完善总体框架中提到，控制活动是旨在促进企业保证其针对导致企业不能实现战略目标的风险所必须采取的措施，确保风险反应方案能够得到正确执行的相关程序和制度。A企业的控制活动仅仅出现在财务会计监督中，目前

56、该企业尚未建立现代企业需要的风险管理控制机制。3.3.7 A企业信息和沟通不畅通有效沟通包括企业外部与相关信息的有效沟通和交换，例如客户、供应商、上级主管部门和当地政府职能部门等企业外部相关方面，还包括信息在主体中向上、平行和向下流动。A企业内部人员关系复杂，沟通少，企业中存在的风险无法及时上报，业务部门之间缺乏有效的信息沟通，整个公司无法形成一个有效的信息传达通道，从而影响了工作效率和质量。3.3.8 A企业风险监控不利COSO总体框架认为，企业内部控制是通过将大量制度及活动纳入管理过程而实现的。恰当监控是确保内部控制制度切实地执行并且获得效果良好的重要保障。在内部控制的监督过程中，完善的监

57、控体系通过有效地监督控制环境和控制程序，及时反馈执行情况以及执行结果等相关信息，促进企业有效实现预期的控制目标。同时，风险监督程序也是企业提高经济效益、改善经营管理的自我需要。A企业的内部审计体系不完善，既影响了企业内部控制的执行效果，也使得对内部控制其他环节的监督不力。因此，A企业的监控体系尚待完善。3.4 A企业内部控制的影响因素3.4.1 内部控制主体的利益矛盾导致会计信息失真会计信息为利益对立的双方利用而造成的信息不对称性;，是会计控制弱化的根本原因。就控制目标而言，现代企业的所有者和经营者应该是一致的，都以企业的实际是所有者的价值最大化为经营目标。但是，现实和理想总是难以完全统一。我

58、们必须在理性思考中，承认企业的所有者和经营者在目标上的差异，以及双方利益上的矛盾，都有可能成为会计信息失真的直接原因。会计失真在实践中通常表现为，所有者为了实现投资的保值以及增值，必须控制经营者履行受托责任，所有者希望取得尽可能详尽、准确和及时的会计信息，随时了解每个经营者行为的细节；而对于经营者而言，他们是会计信息资源的实际掌控者，完全有可能以及动力按照自己的意图去生成和利用会计信息。此外，经营者实现其个人价值;的方式和手段往往也与理想状态有偏差，他们极有可能会利用会计信息这一有利工具，来谋求个人价值最大化。为了迎合所有者的要求，掩盖某些会计信息使其占有资产收益权和在职消费等侵害所有者利益的

59、行为不致败露，经营者有动机伪造虚假会计报告，制造虚假会计信息等等，从而造成会计信息的失真。3.4.2 公司体制对人力资源管理带来的不利影响由于公司体制的限制，A企业一直以来都缺乏明确的中长期人力资源规划，没有对未来几年里，公司发展需要的专业技术人才、各种类型的人才需求比例、以及企业人才供求情况等做出明确规划。人力资源缺乏长期规划往往导致公司急需的人才储备不足，同时大量闲置人员又无法安置，造成企业人力资源配备不合理。在此过程中，人才招聘没有实现市场化，员工引进制度不合理，不利于选拔优秀人才，无法真正意义上做到择优聘用。此外，A企业没有深刻认识、体会到知识经济的本质，没有把人力资源作为企业第一资源加以开发利用。A公司缺乏科学、合理的绩效考核制度，不善于利用现有成果、无法达到预期的效果。公司要想在未来发展中做大做强，必需不断引进加以利用优秀人才。综上所述，我们通过运用COSO总体框架，作为分析范式对A企业的内部控制情况行了详细分析。我们认为，A企业内部控制存在风险管理意识不到位、内控环境薄弱、信息沟通不畅以及监控管理体系不完善等诸多问题。详细而言，政企不分是内部控制缺陷的根本原因所在，内部控制主体的利益矛盾导致会计信息失真，传统体制导致的人力资源管理缺失。第四部分 A企业内部