企业内部控制第二章我国内部控制发展的现状

1、第二章我国内部控制发展的现状了解我国内部控制的相关法律法规掌握我国内部控制框架中涉及的内部控制目标与内部控制要素了解我国内部控制信息披露状况第一节 我国内部控制的相关法律法规 一、会计法有关内部控制的规定会计法历程1985年出台1993年和1999年两次修订现行会计法自2000年开始实施。会计法修订工作已被列入2014年国务院立法工作计划调研类项目。 1999年颁布，并于2000年7月实施的会计法是我国第一部体现内部会计控制要求的法律第二十七条明确提出：各单位应当建立、健全本单位内部会计监督制度。单位内部会计监督制度应当符合下列要求：记帐人员与经济业务事项和会计事项的审批人员、经办人员、财物保

2、管人员的职责权限应当明确，并相互分离、相互制约；重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确；财产清查的范围、期限和组织程序应当明确；对会计资料定期进行内部审计的办法和程序应当明确。二、审计署、注协有关内部控制的规定2004年，制定了审计机关内部控制测评准则，并规定于2004年2月1日起施行。该准则共24条，主要规定了内部控制测评的程序与方法。内部控制的定义，即是指被审计单位为了维护资产的安全、完整，确保会计信息的真实、可靠，保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规，而制定和实施相关政策、程序和措施的过程。内部控制由控制

3、环境、风险评估、控制活动、信息与沟通和监督五个要素组成。准则明确了建立健全内部控制并保证其有效实施是被审计单位的责任，审计人员的责任是对内部控制的健全性和有效性进行评价。内部控制测评的步骤明确为四个步骤：(1)对内部控制进行调查了解；(2)对内部控制进行初步评价，评估控制风险；(3)对内部控制的执行情况进行符合性测试；(4)提出内部控制测评结果，并利用测评结果确定实质性测试的范围、重点和方法。 三、人民银行、银监会、保监会有关内部控制的规定 l997年5月，中国人民银行颁布了加强金融机构内部控制的指导原则，这是我国第一个关于内部控制的行政规定。 2004年8月20日，中国银行业监督管理委员会(

4、简称银监会)通过了商业银行内部控制评价试行办法，自2005年2月1日起施行。 2007年7月26日，银监会发布商业银行内部控制指引，首次以法规形式明确商业银行内部控制。 四、证监会有关内部控制的规定 1999年中国证监会发布关于上市公司做好各项资产减值准备等有关事项的通知，要求上市公司本着审慎经营、有效防范化解资产损失风险的原则责成相关部门拟定(或修订)内部控制制度 2000年发布的公开发行证券公司信息披露编报规则 2002年12月19日，证监会发布证券投资基金管理公司企业内部控制指导意见 2006年6月5日,上海证券交易所上市公司内部控制指引 2006年9月28日，深圳证券交易所股票上市规则

5、，也发布了深圳证券交易所上市公司内部控制指引 五、国家经济贸易委、国资委有关内部控制的规定 1999年8月，国家经济贸易委颁布了国有大中型企业建立现代企业制度和加强管理的基本规范（试行）于2000年实施。该规范是对国有企业内部控制的宽范规定。 国务院国有资产监督管理委员会于2006年6月20日出台了中央企业全面风险管理指引。 六、财政部等部委的企业内部控制基本规范及其配套指引1996年12月财政部发布独立审计具体准则第9号内部控制和审计风险2001年6月22日，财政部发布了内部会计控制规范基本规范(试行)、内部会计控制规范货币资金(试行)等 2008年6月28日，财政部、证监会、审计署、银监会

6、、保监会五部委联合发布企业内部控制规范基本规范，自2009年7月1日起先在上市公司范围内施行。目标合理保证企业经营管理合法合规资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略 该基本规范在形式上借鉴了COSO报告五要素框架，同时在内容上体现了风险管理八要素框架的实质。该基本规范确定了企业内部控制的5个目标、5个原则、5个要素，由5个部门签发，搭建了我国企业内部控制体系的框架。 中国版萨班斯法 2010年4月，企业内部控制应用指引第l号组织架构等18项应用指引企业内部控制评价指引企业内部控制审计指引(以下简称“企业内部控制配套指引”)，2008年颁布的内部控制基本规范该配

7、套指引和基本规范自2011年1月1日起在境内外同时上市的公司中施行；自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司中施行；在此基础上，择机在中小板和创业板上市公司中施行，并鼓励非上市大中型企业提前执行。标志着以防范风险和控制舞弊为中心，以控制标准和评价标准为主体的完备的企业内部控制标准体系已初步形成。这是继我国企业会计准则、审计准则体系建成并有效实施之后的又一项重大系统工程。 中国企业内部控制规范体系企业内部控制配套指引的结构核心，“如何控制”，设计（建设）评价指引审计指引应用指引CPA外部审计（鉴证、审核）内部控制咨询、培训内部控制审计注册会计师的新业务同一事务所不能同时

8、做公司管理层自我评价第二节 我国内部控制的框架 一、内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。1公司治理结构股东(大)会董事会 监事会 经理层审计委员会 员工 2内部审计根据国际内部审计师协会的定义，内部审计是一种旨在增加组织价值和改善组织营运的独立、客观的确认和咨询活动，它通过系统化、规范化的方法来评价和改善风险管理、内部控制及治理程序的效果，以帮助实现组织目标。内部审计承担着帮助组织实施整体目标的责任，而其工作范围也包括风险管理、内部控制和治理程序。2008年发布的企业内部控制基本规范，明确要求企业应当加强内部审计工

9、作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。3人力资源政策人力资源政策是企业管理的核心内容之一，企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：员工的聘用、培训、辞退与辞职员工的薪酬、考核、晋升与奖惩关键岗位员工的强制休假制度和定期岗位轮换制度掌握国家秘密或重要商业秘密的员工离岗的限制性规定有关人力资源管理的其他政策。4.企业文

10、化应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管企业理理念，强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则，认真履行岗位职责。企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。二、风险评估1风险识别企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接

11、受风险水平。2风险评估分析企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。 企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。3风险应对 企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。 企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。 风

12、险规避指企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。 风险分担指企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受指企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。三、控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。1不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉

13、及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。不相容职务分离会计记录财产保管业务经办审核监督授权批准 2授权审批控制授权批准是指企业在处理经济业务时，必须经过授权批准以便进行控制，授权批准按其形式可分为常规授权和特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。授权批准的范围:通常企业的所有经营活动都应纳入其范围.授权批准的层次:应根据经济活动的重要性和金额大小确定不同的授权批准层次，从而保证各管理层有权亦有责。 授权批准的责任:应当明确被授权者在履行权力时应对哪些方面负责，应避免责

14、任不清，一旦出现问题又难咎其责的情况发生。授权批准的程序:应规定每一类经济业务审批程序，以便按程序办理审批，以避免越级审批、违规审批的情况发生。单位内部的各级管理层必须在授权范围内行使相应职权，经办人员也必须在授权范围内办理经济业务。3会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作明确会计凭证、会计账簿和财务会计报告的处理程序保证会计资料真实完整 （1）会计凭证控制会计凭证控制是指在填制或取得会计凭证时实施的相应控制措施,包括原始凭证与记账凭证的控制.会计凭证控制的内容主要包括:严格审查设计科学的凭证格式连续编号规定合理的凭证传递程序明确凭证装订与保管手续（2）会计账簿控

15、制会计账簿控制是指在设置启用及登记会计账簿时实施的相应控制措施。其具体内容包括：按规定设置会计账簿；启用会计账簿时要填写“启用表”；会计凭证必须经过严格的审核无误才能登记入账；对会计账簿中的账页或账户连续编号；会计账簿应当按规定的方法和程序登记并进行错误更正；按规定的方法与时间结账。（3）财务报告控制财务报告控制是指在编报财务报告时实施的相应控制措施。具体包括：按规定的方法与时间编制及报送财务报告；编制的会计报表必须由单位负责人、总会计师及会计主管人员审阅、签名并盖章；对报送给各有关部门的会计报表要装订成册，加盖公章等（4）会计复核控制会计复核控制是指对各项经济业务记录采用复查核对的方法进行的

16、控制。目的是避免发生差错和舞弊，保证财务会计信息的准确与可靠，及时发现并改正会计记录中的错误，做到证、账、表记录相符。具体包括：凭证之间的复核；凭证与账簿之间、账簿与报表之间及账簿之间的复核。4财产保护控制 要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。 （1）限制接近限制接近现金、其他易变现资产、存货。即严格限制无关人员对资产的接触，包括对直接接触实物实体的限制、对接近实物的使用或支配的批准文件的限制、对接近计划资料及有关经济核算资料的限制等。（2）定期盘点建立资产定期盘点制度，并保证

17、盘点时资产的安全性。通常可采用先盘点实物，再核对账册来防止盘盈资产流失的可能性，对盘点中出现的差异应进行调查，对盘亏资产应分析原因、查明责任、完善相关制度。（3）财产保险通过对资产投保（如火灾险、盗窃险、责任险或一切险）增加实物受损补偿机会，从而保护实物的安全。（4）财产记录（保护与监控）严格限制接近会计记录的人员，以保持保管、批准和记录职务分离的有效性。会计记录应妥善保存，尽可能减少记录受损、被盗或被毁的机会。对某些重要资料（如定期财务报告）留有后备记录，以便在遭受意外损失或毁坏时重新恢复。（5）信息考评制度及定期对账制度信息考评制度：是指对赊销客户的财务状况、偿债能力、经济实力及企业信誉等

18、方面进行综合评价，为企业未来作促销决策提供依据。定期对账制度：是指与已成事实的赊销客户往来账项定期核对，避免不实账务的发生。（6）应收账款催收制度指据应收账款的账龄进行账龄分析，并根据合同，建立一系列与工资奖金挂钩的催款措施，尽快缩短收回账款的时间，防止发生坏账。5.预算控制第三十三条：预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。全面预算控制预算体系建立（项目、标准、程序）预算编制与审定预算指标分解与责任落实预算执行授权预算实施监控预算执行分析与调整预算业绩考核企业目标资本预算投资预算利润目标成本预算直接成本预

19、算经营预算销售预算间接成本预算购置处置预算采购预算现金预算市场价格 6运营分析控制 要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。7绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。激励相容是指在市场经济中，每个理性经济人都会有自利的一面，其个人行为会按自利的规则行为行动；如果能有一种制度安排，使行为人追

20、求个人利益的行为，正好与企业实现集体价值最大化的目标相吻合，这一制度安排，就是激励相容。激励相容的根本问题就是如何调动人们的积极性的问题，即通过某种制度或政策的安排来诱导人们努力工作，使得努力工作的收闪大于所付出的代价。进而使人们的自利和社会利益有机地结合起来。而激励相容的不足在于无法解决参与者的个人偏好。培育参与者的个人偏好，即信念是激励相容机制能够实现目标的更有效保证。四、信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。1.信息收集的方法与技术第三十九条：企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提

21、高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。2.信息处理的方法与技术第四十条：企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。3.信息沟通的方法与技术第四十一条企业应当利用信息技术促进信息的集成与

22、共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。4.反舞弊机制第四十二条：企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点：（1）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。（2）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。（3）董事、监事、经理及其他高级管理人员滥

23、用职权。（4）相关机构或人员串通舞弊。5.举报投诉制度和举报人保护制度第四十三条：企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。五、内部监督第五条:内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。第四十四条：企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。1.内部监督种

24、类基本规范第四十四条将内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。日常监督一般由企业相关机构、人员在日常业务和管理中对内部控制运行情况进行的监督。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。（1）日常监督这两种监督可以借鉴美国COSO报告中有关监督的具体做法。日常监督相当于美国COSO报告中的持续性监督。美国COSO报告中的持续性监督活动主要涉及七方面内容：在日

25、常活动中获得内控执行的证据；外部反映对内部信息的印证程度；定期核对财务系统数据与实物资产；对内外部审计师关于加强内部控制的措施作出响应；培训、会议等对内控有效性的反馈；定期询问员工是否理解并执行了公司的道德准则，员工是否执行了内控活动；定期要求企业员工明确说明他们是否理解并遵守企业的员工行为守则。同样，也可要求经营及财务人员说明某些内部控制程序是否正常地实施。管理层或内部审计人员可以对这些说明进行核实；内审活动的有效性。（2）专项监督基本规范中专项监督相当于美国COSO报告中的独立评估。独立评估工作是内部审计、监察等部门从独立性角度出发，对内控系统进行审核的过程，主要关注的是系统的设计和运行的

26、有效性。2.内部控制缺陷的认定与整改第四十五条：企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。（1）内部控制缺陷的种类一般分类：设计缺陷与运行缺陷设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制按

27、内部控制缺陷影响整体控制目标实现的严重程度，将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷（也称实质性漏洞，以下统称重大缺陷）重大缺陷，是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。重要缺陷，是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。（2）内部控制缺陷的认定在下列情况之一，企业应当认定内部控制存在设计或运行缺陷：未实现规定的控制目标。未执行规定的控制活动。突破规定的权限。不能及时提供控制运行有效的相关证据。 企业判断和认定

28、内部控制缺陷是否构成重大缺陷，应当考虑下列因素：影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷。针对同一细化控制目标所采取的不同控制活动之间的相互作用。针对同一细化控制目标是否存在其他补偿性控制活动。（3）内部控制缺陷的整改 企业应当根据内部控制评价过程中发现的内部控制缺陷，督促相关单位或部门进行整改，并对整改结果进行核查和确认。 对于为实现单个或整体控制目标而设计与运行的控制不存在重大缺陷的情形，企业应当认定针对这些整体控制目标的内部控制是有效的。对于为实现某一整体控制目标而设计与运行的控制存在一个或多个重大缺陷的情形，企业应当认定针对该项整体控制目标的内部控制是无效的。 对于因业

29、务流程外包等原因造成企业无法评价特定业务、特定流程的内部控制有效性的情形，内部控制评价机构应当充分考虑该项业务流程及其相关控制的重要性，确定其对整体控制目标有效性评价的影响。3.内部控制自我评价第四十六条：企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。内部控制评价报告内部控制评价报告至少应当包括下列内容：（1）内部控制评价的目的和责任主体。（2）内部控制评价的内容和所依据的标准。（3）内部控制评价的

30、程序和所采用的方法。（4）衡量重大缺陷严重偏离的定义，以及确定严重偏离的方法。（5）被评估的内部控制整体目标是否有效的结论。（6）被评估的内部控制整体目标如果无效，存在的重大缺陷及其可能的影响。（7）造成重大缺陷的原因及相关责任人。（8）所有在评估过程中发现的控制缺陷，以及针对这些缺陷的补救措施及补救措施的实施计划等。4.内部控制的可验证性第四十七条：企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。第三节 我国内部控制的信息披露 一、自愿披露阶段 证监会对上市公司内部控制信息披露相关规范出台前，我国无论是理论界，还是实

31、务界对于内部控信息披露的研究极少，这一阶段，对于内部控制信息披露并无强制的规定，内部控制信息依然附属于会计信息的一部分，并没有单独分离。 二、局部强制披露阶段 2000年年底证监会颁布公开发行证券的公司信息披露编报规则第l、3、5号，分别要求商业银行、保险公司和证券公司招股说明书应对内部控制制度的完整性、合理性和有效性作出说明，还应委托所聘请的会计师事务所对其内部控制制度，尤其是风险管理系统的完整性、合理性与有效性进行评价，提出改进建议，并出具评价报告。2007年证监会颁布公开发行证券的公司信息披露内容与格式准则第2号年度报告的内容与格式（修订版)，修订的准则第2号对内部控制信息的披露有了强制

32、性的规定：公司应该说明生产经营控制、财务管理控制、信息披露控制等内部控制制度的建立和健全情况，包括内部控制制度建立健全的工作计划及其实施情况、内部控制检查监督部门的设置情况、董事会对内部控制有关工作的安排、与财务核算相关的内部控制制度的完善情况。同时鼓励中央控股的、金融类及其他有条件的上市公司披露董事会出具的、经审计机构核实评价的公司内部控制自我评估报告。 三、整体强制披露阶段 2006年，上海证券交易所和深圳证券交易所分别发布了上海证券交易所上市公司内部控制指引、深圳证券交易所上市公司内部控制指引。这两个指引均要求上市公司在年报中披露内部控制制度的制定和实施情况，并明确了公司董事会要对内部控

33、制制度负责，董事会应形成内部控制自我评价报告；注册会计师在对公司进行年度审计时，应出具内部控制评价意见；内部控制自我评价报告和注册会计师评价意见与公司年度报告同时对外披露。2008年6月，财政部等五部委联合发布企业内部控制基本规范，该规范要求企业应结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价报告成为上市公司年报中强制性的附件。至此，我国上市公司内部控制信息披露进入了一个强制性披露阶段。三鹿事件 “三鹿毒奶粉”事件简介三鹿集团曾是我国国内最大的乳制品生产企业。1993年开始，其前身“幸福乳业生产合作社”实施品牌运营和集团化战略运作，在全国多个省

34、市进行低成本扩张，迅速崛起，1996年，成立三鹿集团，田文华担任董事长，2006年，三鹿集团引进全球最大乳制品原料出口商新西兰恒天然集团。但是，2008年9月，三鹿集团因其婴幼儿配方奶粉中掺杂致毒物质三聚氰胺被迅速推向破产的边缘，2009年2月12日，法院正式宣布三鹿集团破产，2009年3月4日，三元以61 650万元的价格将其收购。1.内部环境 资料显示，三鹿集团早在2008年3月就接到消费者反映，但直到2008年8月三鹿已经秘密召回部分问题奶粉之时，却仍然没有将事件真相及可能产生的后果公之于众，有媒体称这种做法直接导致此后的一个多月里又有一批婴儿食用了三鹿问题奶粉。显然此次事件在某种程度上

35、检验了三鹿集团决策层的诚信与道德观。事实上除了三鹿集团外，向牛奶中添加三聚氰胺的耿氏兄弟等不法分子、告知这些不法分子通过添加三聚氰胺可通过检测的技术人员、销售给不法分子三聚氰胺化工原料的人员，都存在着只顾利益不顾消费者健康的问题，而这种环境因素也许才是真正导致此次事件的罪魁祸首。我国的内部控制基本规范中将职业道德修养和专业胜任能力作为聘用员工的重要标准，要求企业加强文化建设，培育积极向上的价值观和社会责任感，这对培育一个良好的环境氛围，更好地发挥内部控制的风险防范作用有着积极的意义，而要实现这个目标显然非一朝一夕之功。 2.风险评估。众所周知，食品中不能添加的物质远比能添加的多，现有的检测手段

36、不可能对每种有害物质都进行检查。就奶粉这种需要从分散农户处采购原料的食品而言，每个农户的奶牛喂养过程、原料奶的加工、储存和运输过程等都可能存在不同的风险，这就给原料奶的质量检验带来了挑战。我们知道，一般的企业内部控制都是针对常规事项进行设计的（如奶粉的营养成分是否达标等），而对例外事项（如添加三聚氰胺）则重视不足。这对内部控制的设计提出了挑战。显然，食品加工企业除了对原料采购、产品加工、存储储藏、物流配送等各个环节进行风险评价、分析之外，还应该就最可能产生风险的环节设立应对措施，例如风险评估时针对生产的奶粉原料中可能会含有哪些有害物质，原料提供者添加这些物质的可能性以及消费者食用这些物质的后果严重性等进行评价、排序，并从原料采购、产成品的检测验收等方面设定有针对性的指标，以提高内部控制的效率和效果。 3.控制活动。食品行业的风险问题更多地与消费者的生命财产安全密切相关，控制活动也更应该切实、有效。此次奶粉的污染物三聚氰胺尽管对普通消费者而言还非常陌生，但在食品行业并非首次出现。早在2007年4月，中国徐州的一家宠物食品公司在出口美国的宠物食品中添加此种物质冒充蛋白质，导致大批宠物肾衰竭而死亡。美国食品和药品管理局也曾通报我国部分企业在出口的用于制造宠物