MBA学位论文-旭光公司COSO内部控制框架的应用研究.doc

分类号： 密级：MBA 学 位 论 文 论文题目（中文）旭光公司COSO内部控制框架的应用研究 Research on COSO Application in 论文题目（外文） Xuguang Company 研 究 生 姓 名 培 养 单 位 学 科 与 方 向 工商管理会计与财务管理 校内指导教师 校外指导教师 论文提交日期 2010年 3 月 书脊(装订封面)旭光公司COSO内部控制框架的应用研究二零一零MBA学位论文 作者： 旭光公司COSO内部控制框架的应用研究原 创 性 声 明本人郑重声明：本人所呈交的学位论文，是在导师的指导下独立进行研究所取得的成果。学位论文中凡引用他人已经发表或未发表的成果、数据、观点等，均已明确注明出处。除文中已经注明引用的内容外，不包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研究成果做出重要贡献的个人和集体，均已在文中以明确方式标明。本声明的法律责任由本人承担。论文作者签名： 日 期： 关于学位论文使用授权的声明本人在导师指导下所完成的论文及相关的职务作品，知识产权归属。本人完全了解有关保存、使用学位论文的规定，同意学校保存或向国家有关部门或机构送交论文的纸质版和电子版，允许论文被查阅和借阅；本人授权可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用任何复制手段保存和汇编本学位论文。本人离校后发表、使用学位论文或与该论文直接相关的学术论文或成果时，第一署名单位仍然为。保密论文在解密后应遵守此规定。论文作者签名： 导师签名： 日 期： 中文摘要1992年COSO委员会发布内部控制-整体框架的报告，即著名的COSO报告。该报告提出：“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。”同时提出内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。COSO报告提出的这个由“三个目标”和“五个要素”组成的内部控制的整体框架，得到公司董事会、管理当局、投资者、债权人、审计人员及专家学者的普遍认可，成为迄今为止最权威的内部控制的概念。 当今社会，中小企业在我国国民经济中起着重要作用，而内部控制制度是规范中小企业内部管理、提高经济效益的重要保证。旭光公司是一典型的民营电子企业，具有一定的代表性。通过针对旭光公司COSO内部控制整体框架的应用研究，探讨中小企业对内部控制应用的相关问题，从内部环境的完善、企业合理目标的确定、风险系统的建立和完善、控制活动的落实、信息系统的建立和完善、加强内部控制评价以及营造良好外部环境等方面提出了完善旭光公司内部控制的对策建议。关键词：COSO， 内部控制，旭光公司38MBA学位论文 作者： 旭光公司COSO内部控制框架的应用研究ABSTRACTThe famous report “Internal control - integrated framework” is issued by the COSO in 1992. The report proposed: “The internal control which is operated by the directors, managers as well as other staffs in the enterprise provides the reasonable assurance of achieving the three targets i.e. the reliability of financial report, the efficiency and effectiveness of operation, compliance of the laws and regulations.” Meanwhile, it stresses five relevant factors in the internal control, i.e. control environment, risk assessment, control activities, information and communication, monitoring. The COSO report which consists of the aforementioned three targets and five factors is generally recognized by the directors, managers, investors, creditors, auditors, experts and scholars. It is by far the most authoritative concept of the internal control.Nowadays, SMEs(medium-sized and small enterprises) play an important role in our national economy. The internal control is the guarantee of improving the internal management and the economic efficiency in a company. Xuguang Company is a typical SME. It is an exploration of the matters of internal control in SMEs as well as the relevant countermeasures such as the essentials and principles of internal control and how to utilize the COSO report to emphasize the internal control in SMEs via the research of the application of the COSO report in Xuguang Company.Key Words: COSO, Internal control, Xuguang CompanyMBA学位论文 作者 旭光公司COSO内部控制框架的应用研究目录一、COSO内部控制框架综述4（一）COSO内部控制框架提出的背景4（二）COSO内部控制框架的意义6二、COSO内部控制框架在企业中的应用8（一）内部控制的重要性8（二）内部控制的框架12（三）内部控制的目标和原则14（四）内部控制的内容16（五）改善内部控制的关键18三、旭光公司实行COSO内部控制框架应用情况20（一）旭光公司中实行COSO内部控制状况20（二）旭光公司内部控制制度设计原则23四、旭光公司内部控制中应用中存在问题的原因24（一）会计基础工作薄弱24（二）法人治理结构不完善25（三）公司内部法律意识较薄弱26（四）管理层和员工的素质不高26五、基于COSO内部控制框架的旭光公司内控体系调整27六、结论34参考文献36致谢1MBA学位论文 作者： 旭光公司COSO内部控制框架的应用研究一、COSO内部控制框架综述（一）COSO内部控制框架提出的背景内部控制是指经济单位在社会经济活动中建立的一种相互制约的业务组织形式和职责分工制度、内部的管理控制系统。单位内部特定主体为了实现其既定经营目标确保经营方针的贯彻执行，保证单位经济活动正常进行，保护资产的安全完整、会计信息的真实可靠，保证经营活动的经济性、效率性和效果性，以信息沟通为基础，在单位内部采取一定的方式对影响其目标完成的可控因素所实施的自我调整、约束、规划、评价、综合计划和控制的一系列方法和程序。 内部控制作为一种制度概念最早是出现在有关审计文献中。1929年美国联邦储备委员会和会计师协会（FRB）修订发布了会计报告的验证，1936年又在其基础上修订发布了注册会计师对会计报表的审查，其中首次使用了“内部控制”这一专门术语。上世纪70年代以后，与内部控制有关的活动主要集中在制度的设计和审计方面，重在改进内部控制制度的方法和提高审计的质量和效果。在1973年至1976年间，调查水门事件使得立法机关与行政机关关注到内部控制问题。水门案专案检查官办公室及美国证券交易委员会（SEC）所进行的调查分析显示，不少美国公司进行了违法的国内捐款、可疑或违法的国外支付（包括贿赂外国政府官员）。很多职业团体及主管机关也就内部控制的不向层面进行研究，发布指南。如，美国注册会计师协会（AICPA）所属审计人员责任委员会发布了报告、结论与建议，并颁布了审计准则公告第30号（1980）、第43号（1982）、第48号（1984）：财务经理人员协会（FEI）发布了美国公司之内部控制：现状：SEC拟订强制公司对其内部会计控制提出报告书，即管理阶层对内部会计控制的报告书；内部审计人员协会（IIA）发布了内部审计准则公告第1号控制：观念及责任，等等。1985年，由AICPA、美国审计总署（AAA）、FEI、IIA及管理会计师协会（IMA）共同赞助成立了全国舞弊性财务报告委员会，即Treadway委员会，该委员会所探讨的问题之一就是舞弊性财务报告产生的原因，其中包括内部控制不健全问题。两年之后，Treadway委员会提出报告则，并提出了很多有价值的建议。内部控制理论又有了新的发展,对内部控制研究重心逐步从一般含义转向具体内容，其标志是美国注册会计师协会于1988年5月发布了审计准则公告第55号（SAS55）。公告中以“内部控制结构”概念代替了“内部控制制度”概念，并将控制环境、会计系统和控制程序定为内部控制结构的构成要素。 基于Treadway委员会的建议，其赞助机构又组成了一个专门研究内部控制问题的委员会，COSO委员会。1992年，COSO委员会提出报告内部控制-整体框架，1994年进行了增补。COSO委员会提出，内部控制是由企业董事会、经理阶层和其他员工实施的，为经营活动的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。同时提出内部控制整体框架包含控制环境、风险评估、控制活动、信息与沟通、监督五个相互联系的要素。在五要素中，控制环境是其他要素赖以存在的基础；风险评估是管理目标出现偏差时得以纠正的保证，是内部控制的依据，由于企业所处环境的千变万化和激烈的市场竞争，企业为了生存和发展，必须建立判别和处理与环境变化相适应的风险评估机制，以识别风险并及时加以处理；控制活动是针对影响企业目标实现的各种风险而采取的活动，是内部控制的手段和措施；信息和沟通是促动控制活动运转的条件和力量；监督所内部控制有效运行的保证。五要素相互联系密切配合，共同构成完整的框架。美国国会于1997年通过了反国外贿赂法（简称（FCPA）。FCPA除了具有反贿赂的条款外，还规定了与会计及内部控制有关的条款。FCPA通过立法之后，企业都陆续开始建设内部控制。（二）COSO内部控制框架的意义内部控制是人类社会从事生产经营实践活动过程中形成的一种约束控件机制。早期的控制主要在于保护财产的完整安全、会计信息资料的真实正确，侧重于钱物分管、严格程序手续、加强复核审查等的控制。随着商品经济市场的发展和社会生产规模的扩大、经济活动日趋多元化，内部控制逐步发展成近代的内部控制系统。在长期的演变发展过程中，一般认为可以分为萌芽阶段（内部牵制）、发展阶段（内部控制制度）、成长阶段（内部控制结构）和成熟阶段（内部控制框架）四个阶段。1992年美国COSO委员会提出的内部控制-整体框架，成为内部控制理论及实务的突破性进展。随着内部控制的内容由简单到复杂、目标由单元到多元、对象由局部到整体的演进，内部控制已成为公司管理的重要组成部分，并逐步形成了范围广泛、运行严密有序的现代企业内部控制系统，在实现公司效率经营、防止舞弊、规避风险等方面发挥着越来越重要的作用。自2001年美国安然和世通等事件被揭露以来，公司管理层诚信受到普遍质疑，为防止上市公司财务造假，在美国颁布萨班斯-奥克斯利法案后，无论是理论界、实务界，还是政府机构、监管部门和中介机构，都开始给予内部控制更多的关注。同以往的内部控制理论及研究成果相比，COSO报告提出了许多有价值的创新的观点。主要有：1、明确了内部控制的“责任”。在内部控制发展史上，COSO报告第一次明确地阐述了内部控制的制定与实施的责任问题。报告指出，不仅仅是董事会、管理人员、内部审计，组织中的每一个人都应该对内部控制负有责任。确立这样组织构思有利于将企业的所有员工团结一致，使其主动地维护及执行企业的内部控制，促使其充分发挥主观能动性，从而实现企业价值的最大化。 2、强调内部控制要与企业的生产经营管理过程相结合。COSO报告认为，生产经营过程是指通过计划、执行及监督等基本的管理过程对企业经营管理。这个过程由组织的某一个单位或部门进行，或由若干个单位或（及）部门共同进行。内部控制是企业生产经营过程的一个重要部分，与经营过程紧密结合在一起，贯穿于企业的基本生产经营活动之中，它使生产经营达到预期的效果，并监督企业生产经营过程的各个环节。3、强调内部控制是一个持续“动态系统”。内部控制是对企业的整个生产经营管理活动进行监督与控制的过程，企业的生产经营活动的持续发展，使企业的内部控制过程也因此不会停止。企业内部控制是一项制度或一个系统，企业生产经营管理在变化的环境中必然要求企业内部控制系统不断完善和适合新环境，内部控制是一个发现和解决问题的系统过程。4、强调“人”的重要作用。COSO报告特别强调，内部控制受企业的董事会、管理阶层及其他员工思想影响，透过企业内的人的行为及言论来完成。人才制定企业的目标，设置控制的机制为达到目标服务。内部控制影响制约着人的行为规范。5、强调“软控制”的力量。相对于以前的内部控制研究成果，COSO报告更加强调“软控制”的力量。软控制主要是指属于思想层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等。6、强调风险意识。现代社会是一个充满剧烈竞争的社会，每一个企业都面临着成功的机遇和失败的挑战，风险管理是现代企业的主要课题。风险影响着每个企业生存和发展的能力，也影响其在产业中的竞争力及在市场上的信誉和形象。COSO报告指出，不论企业的规模、结构、性质或产业是什么，其组织的不同层级都会存在不同程度的风险，管理阶层须密切注意各层级的风险，并采取必要的内部控制管理措施。7、揉和了管理与控制的界限。在COSO报告中，内部控制不单是管理的一部分，管理和内部控制的职能与界限已经模糊。 8、强调内部控制目标分类。COSO报告对内部控制的目标进行分析和解释。目标的设定是管理过程的重要组成部分，但不是内部控制的组成要素，但前提是内部控制的基础要素。这个过程不是控制活动，但其对内部控制的控制活动意义重大，直接影响内部控制是否有存在的必要。COSO报告将内部控制目标分为三类：与经营运作相关的目标、与财务报告有关的目标以及与有关法律、法规有关的目标等。这样的分类高度概括了企业的控制目标，是有利不同的人们从不同方面了解内部控制的不同方面。9、明确指出内部控制只能做到“合理”的保证。并结合COSO报告说：无论如何完善内部控制系统的设计和执行，内部控制只能为董事会及管理当局实现企业目标提供合理的保证。可能的成就目标，仍受内部控制的先天条件的限制。10、成本与效益原则。COSO报告明确指出，内部控制制度必须基于成本和利益的原则基础上。内部控制不是消除任何可能的滥用职权，而是创造一个为防止滥用职权而投入的成本和滥用权利的总数量是合理的比率的状态（即经济原则）机制。因此，没有内部控制不花钱，没有完美的内部控制。二、COSO内部控制框架在企业中的应用（一）内部控制的重要性1、完善内部控制是提高会计信息质量的内在要求防止会计信息失真是一个基本的内部控制目标。内部控制的基本目标包括三个部分，即财务报告目标、经营目标和合规管理目标。事实上，建立内部控制制度是为了防止欺诈的发生。通过内部控制，部门之间和人员之间有了审核、检查和制衡，防止一个人控制着所有的交易过程，可以防止员工欺诈，而且可以降低发生虚假财务会计报告风险。尽管现代企业内部控制的目标已不仅仅局限于防止财务报告欺诈，由防弊为主发展到以兴利为主。然而，以确保可靠的财务报告一直是一个基本的内部控制目标。在现代企业制度下，所有权和经营管理权高度的分离，资金、财产的提供者不再亲自参与企业的生产经营，委托专门的企业管理者经营管理。用这种方法,管理者和股东及其他资源提供者之间形成的委托-代理关系。受托人必须如实向资源提供者报告企业的财务状况和经营成果，不得隐匿、欺骗。管理部门应负责会计信息的真实性，会计信息披露，管理机关应当承担相应的责任。当然，股东将聘请独立第三方-注册会计师的审查财务报表的真实性、公允性，并表达他们的意见。然而，当管理当局也应该建立健全内部控制系统，以确保交，发生已经必要的授权和进行一个完整的、连续的、系统的记录，按照会计准则和其他信息披露的财务报告。这不仅仅是审计的需要，但主要是为了管理当局受托责任的需要。因此，合理保证真实、可靠的会计信息是管理部门建立健全内部控制的重要目标之一。在1977年，美国发布了“反国外行贿法”，法律定义的内部控制对防止和侦查欺诈行为的作用。这个法案，要求所有上市公司内部控制系统的设计和维护，应该足以提供合理保证以下问题：（1）交易委托管理；（2）做好交易记录编制财务报表及保护资产的责任；（3）仅在授权柄的时候才能接近资产；（4）现有资产与记录的信托责任应相比，采取适当行动来对付任何不符之处。AICPA（1949）、COSO（1992）、内部审计师协会（IIA），欧洲央行（ECB），以及我国内部控制的基本规范，也是将确保财务报表的真实的可靠，作为内部控制一个基本目标。2、内部控制环境是影响会计信息质量的主要因素1985年，由AICPA、美国审计总署（AAA级）、FEI、IIA、管理会计师协会，联合建立全国舞弊性财务报表委员会，Tread-way委员会,委员会探讨的问题之一是产生欺诈财务报告的原因，包括内部控制不健全的问题。Tread-way委员会（1987）研究后发现，容易导致财务报告欺诈和欺诈是不容易识别情形有：（1）缺乏警惕的监测报告过程的董事会或审计委员会；（2）内部会计控制薄弱或不存在；（3）非经常性或复杂的交易事务；（4）需要管理当局主观判断的会计估计；（5）缺乏有效的内部审计机构，包括内部审计机构规模不大、在限制范围内进行。其次，如果公司的道德氛围差，这样情况更糟糕。根据美国内部审计杂志的一项调查显示，自1986年2月到1990年11月止有114例欺诈被发现，大多数的欺诈行为与虚假会计信息和内部控制制度不够完善的有关，（杜滨，李若山2000)。另外，根据美国KPMC调查的3000家大、中型企业，52%的欺诈行为通过内部控制被发现，有47%是内部审计检查中发现的。可以看出，内部控制预防财务报告欺诈是显著。企业的控制环境是影响会计信息的质量的主要因素。控制环境，包括员工的诚信和操守，人员能力、管理理念、经营管理、董事会或者审计委员会、组织结构、方式给予的权利和义务，人力资源政策和实施。控制环境构成单位的氛围。管理当局的诚信和管理理念，是充分的公允公开披露，以防止敌对的隐藏坏消息或是进行盈利的操控。即使一个健全的内部控制也会因执行者的能力不足的和道德问题没有达到预期的效果。如果管理当局本身就是缺少诚实，那么整个公司会形成的副作用的道德观念。Tread-way委员会（1987）指出该高级管理人员的状态-一个企业的环境或财务报告的编制文化是影响财务报告是诚信的最重要的因素。虽然一套书面规则和程序，如果这个企业的管理人员态度松散，更有可能出现财务报告欺诈。事实上，从会计信息失真的原因看，关键往往不是会计人员本身舞弊，而是由于的企业管理当局从自己的报酬、劳动和其他的角度看，有为盈余管理或财务操作，欺骗动机。由于系统原因，会计人员常被迫服从于管理人员，向监管机构提供虚假财务信息，欺骗了外部信息使用者。管理当局对内部控制和财务报告的关注是防止发生虚报漏报等错误的一个重要方面。不管其他控制元素的存在与否，管理当局由于缺乏诚信或对内部控制不感兴趣，会导致失败的内部控制。管理当局对内部控制支持对防止虚报、漏报的错误的发生很重要。由于管理当局的态度会影响会计人员和其他部门的工作态度，管理当局认为内部控制是重要的，企业的其他人们会觉得是这样，员工将认真履行职责，遵守既定的控制系统，财务报告错误也会减少。反之，如果管理当局不关心内部控制，并没有给予有力的支持，那么员工不会认真落实相关的内部控制制度。事实上，许多企业管理混乱的原因，是由于经营管理领导人不重视内部控制，甚至他们随意破坏内部控制。如Tread-way委员会对1981-1986年时期119个美国证券交易委员会（SEC）起诉的欺诈行为的研究发现，管理当局通常能够越过内部控制制度对财务报表进行影响。在很多情况下，从我们的观点来看，内部控制失效，会计信息失真管理当局是问题的关键。因此，管理当局的态度是确定内部控制的有效性的关键。3、内部控制是防止会计信息失真的有力保障对会计信息失真可以分成两大类：非故意行为和故意性行为。非故意行为是指由于会计人员素质低或失误等原因，导致在会计准则的范围内选择不当的会计政策，导致处理出来的会计信息不能的正确反映财务状况和经营成果，故意行为是会计人员在内部人的授意或胁迫之下，为了企业管理当局的私利，不遵守的国家有关财务会计原则、故意提供虚假财务信息。内部控制的方法，包括责任的划分、授权批准、实物控制、会计系统控制、内部审计。无论是有意或无意的失真，这些控件可以在某种程度上减少或避免会计信息失真的作用。进行有效的控制，必须有一个明确的职责分工，以便所有部门和员工对自己的岗位负责、相互制约。责任的划分是内部控制的一项基本原则，主要解决不相容职务的分离。所谓不相容的职责是那些由一个人担任，可能出现错误和缺陷也掩盖自己的错误和舞弊的职位。企业内部不相容的职位包括:授权批准职位、业务经办职位、财产保管职位、会计核算和审计监督职责，这些职位所在的位置应该是不同的人来担任。一个更广泛的意义上说，责任的划分，包括两个层次：第一，在公司治理结构的股东大会、董事会、监事会、经理等之间的责任分工；其次、经理领导的内部管理机构、岗位和人员的组织策划和责任的划分。适当的职责分工可以防止错误和欺诈，通过划分的各部门之间的责任和人员的审核、检查和制约,防止一个人控制各方面的事务，可以防止员工欺诈,也可以降低发生虚假财务报告。授权批准是指交易发生须经适当授权，不得擅自或超出授权范围的交易。因此，清楚地管理各阶层管理人员、员工的职责和权力，如果没有授权的经营活动,造成会计信息失真，相应的人应当承担责任。企业会计系统的控制要求，根据会计法，统一会计制度和其他有关法律、法规和会计准则、设计适当的财务会计制度，明确帐户处理和企业会计政策，保持足够的证据和记录，建立完善的会计凭证统一编号、审核、保管制度，实行会计人员责任和内部审计制度，禁止未经授权的会计人员处理会计业务。由于在经济业务实行了流程控制、过程控制、凭证编号、核检和其他措施，使经济业务和会计处理得以相关约束、相互联系，以避免发生错误，即使出错，但是也容易自动检测和自动改正以确保正确及完整的会计记录。内部审计是一种特殊形式的内部控制，这样做的目的是“评价和记录经济活动的真实性、合法性、有效性”（萧英达，2000年）。企业内部审计部门要对所有的财务信息的可靠性和完整性、企业资产使用的经济有效性进行审查。审计委员会负责执行内部稽核将有助于减少并发现错误或无意故意虚报漏报误差，并使员工尽量减少错误。从审计的角度出发，与财务报表包含的信息在相关部门，包括：存在或发生、完整性、权利与义务、估价和分摊、表达和披露。存在或发生的事情是指在资产负债表上所有资产和权益均存在，损益表的收入、支出、盈亏发生在报表所反映的会计期间。相对应的错误是“虚报错误”。完整性认定是资产负债表上所列的所有财产权利，属于公司财产。符合这个错误是“漏报错误。”双方的权利和义务是公认的资产负债表上的所有资产中列出了公司的权利、所有的债务是公司应尽的义务。估价和分摊是指资产、负债和其他物品以适量的金额填写财务报表。所谓的表达和信息披露是指特定元素的会计报表是否被正确分类、描述和披露。从另一个角度，所谓的会计信息失真,简单地说是远离这些认定，运行有效的内部控制制度可以防止类似错误。如果管理当局的诚实和关注财务报告对这五个认定都有很重要的影响。一份完整的证据证明，检查和批准程序，为检查和复核已发生的交易提供一个有效的方法来防止和减少假偏误，权利和义务的差错。有效的内部审计能够减少误差和制作虚假会计报表的可能性。（二）内部控制的框架进入90年代后，对内部控制的研究进入了一个新阶段。1992年，美国Treadway委员会下属的由美国注册会计师协会、国际内部审计师协会、财务主管协会、管理会计学会和其他组织参加的发起人组织委员会（COSO）发布的一份报告的“内部控制-集成架构”即“COSO报告”，“报告”具有广阔的应用性。1996年美国注册会计师协会颁布的审计标准公告第78号，完全接受COSO报告的内容，并从1997年1月开始更换1988年发布的审计标准公告第55号（SAS 55）。新的指南为内部控制的定义是：“由一个企业的董事长、管理层和其他人员来实现的过程，目的是为下列目标提供合理保证：财务报表的可靠性、营运之效果及效率，符合有关法律、法规。“这个指南将分为五类的内部控制元件，它是控制环境、风险评估、控制活动、信息与通讯、监督。1、控制环境，构成一个单位的气氛，控制其它部件员工内部的基础。包括： 员工诚信和操守。如有无描述可接受的商业行为、利益冲突、道德进行标准的行为准则。员工的胜任能力。如雇员能否执行质量控制管理要求。董事会或审计委员会。如董事会与管理层是否独立。管理哲学和经营方式。如管理层对人为操作记录或错误的态度。组织结构。如信息是否到达适当的管理阶层。赋予的权利和责任的方法。管理者的责任在关键领域是否有足够的规定。人力资源政策和实施。例如，促进就业、培训、奖励员工政策。2、风险评估，指的是管理层识别并采取适当的措施来处理对经营、财务报表、符合目标影响内部或外部的风险,包括风险识别、风险分析。风险识别、包括外部因素（如技术开发、竞争,经济形势的变化等）和内部因素（如人员素质、公司活动性质，信息系统处理特性）进行检查。风险分析涉及估计风险的重大程度、评估风险出现的可能性、考虑如何管理风险。3、控制活动，指的是确认的风险采取必要措施，确保单位目标的政策和程序的实现。在实践中，控制活动有各种形式，并可以归结为以下类别：（1）绩效评价，是指实际表现和其他标准，如前期业绩，预算和外部的基准规模比较，将不同系列的数据，如财务数据和经营数据，对功能或运行业绩进行评估。这些评价活动对企业管理的有效性和效率非常有用的，但一般与财务报告的可靠性和公允性相关度不高。（2）信息处理，是指确保业务在信息系统正确、完全和经授权处理的活动。信息处理的控制可分为两类：一般控制和应用控制。一般控制与信息系统的设计和管理有关，如确保软件完整的程序、信息处理时间表、系统文件和数据维护，应用控制和个别数据在信息系统中处理的方式有关，如保证业务的正确性和已授权的程序。（3）实物控制，也称为资产和记录的接近控制，这些控制活动，包括实物安全控制对计算机和数据资料的接触应授权、定期盘点实物以及把库存控制数据进行比较。实物资产的控制中防止盗窃的程序和财务报告可靠性有关，例如在编制财务报告时，管理层依赖于永续库存管理、库存记录，则存货的接近控制和审计有关。（4）职责分离，是指各种功能性职责分离，防止雇员从事或单作业隐藏的异常行为。一般来说，下列职责应当分开：业务授权（管理职能），业务执行（保保管职能），业务记录（财会功能），对业绩的独立检查（监督职能）。理想的职责分离状态是，没有一个办事员负责的一个以上的职能。4、信息与沟通，是为了让员工履行他们的职责，公司必须确认，捕捉、交流外部和内部信息。外部信息，包括市场份额，法规的要求和客户投诉和其他信息。内部信息，包括会计系统，这是由管理当局建立的记录和报告的经济业务和事项,维护资产、负债和所有者权益方法和记录。一个有效的会计系统应包括：（1）包括可以保证所有的有效业务，方法，详细地记录；（2）序列详细分类记录便于企业提供财务报告；（3）采用恰当的货币价值用来衡量正当业务；（4）以确定业务发生时期确保业务记录在一个合理的会计期间，在适当的财务报告中披露。沟通是使员工理解他们的职责,维护财务报告的控制。它包括使员工了解在会计制度他们的工作如何与其他人联系、如何向管理层汇报情况。交流的方法有政策手册，财务报告的手册、备查簿,以及如口头交流或管理。5、监控，指内部控制质量评价的过程，即改革内部控制、运作和改进评价的活动。包括内部审计与外部人员、单位和组织交流。事实上上述五种成分内容广泛和相关。控制环境是其他控制成分的基础，在规划和管理活动时，需要对公司可能面临风险作详细的了解和风险评估，风险评估和控制活动必须依靠企业有效的信息沟通；最后，实施有效的监控确保内部控制的实施质量。（三）内部控制的目标和原则内部控制目标是内部控制存在和存在的形式的基本问题，也是建立内部控制框架，以及考核、评价内部控制的指导参考点。企业内部会计控制的基本规范中，内部控制目标分为五大方面，其中除了含有原来的确保经营目标的实现,防止发现纠错和欺诈，确保财产安全，确保会计信息的真实、完整，保证所有的法律、法规和企业内部控制制度的实施，但也强调：建立风险管理体系，加强风险管理和经营活动，以确保单位各项经营活动平稳运行。建立风险控制系统作为一个独立的目标之一，在中国当前的企业运营的过程中疏忽风险控制、有时还会有一个盲目使用资金和其他隐藏的巨大风险进行的操作，很适合我们的需要，并能在很大程度上促进改善公司治理制度，加快国有企业改革的改善。根据COSO报告，内部控制的目标包括：实现营运之效果及效率，以确保可靠的财务报表，确保符合相关规定处理。可以看出，COSO委员会的控制目标包括的内容更普遍，特别是达到营运之效果及效率，企业要实现这一目标涉及企业的各方面的活动，同时也涉及对经营业务取得的效能评估和评价标准的定位问题。我国内部控制目标的定位主要约束与确保商业活动的有效进行，防止错弊，会计信息的真实、合法与资产安全性和完整性，这样的目标是相对低调。从长远来看，随着经济的发展和不断完善的业务状况，目标应该相应增加。不仅需要借鉴相关的内部控制的目标，也要考虑我国国情，对我国企业的实际现状，从提高中国企业和完善公司治理结构的角度来看，不仅要遵循正确的前瞻性与发展性，它也有一个立足点和现实的稳定性和可操作性，给中国的内部控制措施以适当的目标定位。企业内部控制基本规范明确内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务会计报告及相关信息的真实、完整，提高运营效率和效果，促进企业的发展战略。这个规范包含三层含义。1、运营有效性和效率。所谓的有效性是指企业目标是符合公司的战略目标是为了支持企业战略目标的完成。另一方面，运作效率和内部控制系统，应该能够提高工作效率。是不同于过去或类似的企业，相同的生产成本会降低，同样的投入获得更高的产出，浪费和人为损失减少了，因此资源得到有效使用。2、财务会计报告及有关的信息准确无误。强调对外报送的、公开的反映了企业的经营效率和效果的财务报告和相关的信息必须真实、完整、可靠。3、企业经营管理符合法律。内部控制制度应确保经营、管理活动符合适用的法律和法规。企业建立一个内部控制制度系统不仅要以企业内部控制基本规范、会计法、公司法、会计基础准则和其他法律、行政法规为基础，制定本企业规定的具体情况，也有利于企业内部管理，可以有效地提高防范经营风险，保护单位财产，保障国家、集体、员工之间的利益，提高企业效率的。明确企业建立内部控制制度遵循以下原则：1、合法性原则，也就是说，一个企业必须根据国家法律、法规，在国家标准的规章制度的框架内，研制出一种实用的企业内部控制体系。这是企业建立一个内部控制制度系统的基础，在大部分的违法违规的企业中，是因为他们没有按照法律办事，更重要的是，由于企业的内部控制制度本身本身就脱离国家的规章制度，任意妄为，最后给国家、企业造成损失的，给社会带来不利的影响。2、整体性原则，这是一个企业内部控制制度应充分参与各方面的企业财务会计控制，它必须满足公司的长期计划，也注重企业短期目标，还与其他企业内部控制制度的协调。在我们的工作中，通常会有很多的局限性和短视性，经常为了简单方便，只是从财务问题进行单方面的思考，结果损失，还与其他的内部控制制度的实施相互矛盾，或者得不到干部和工人的理解，而引起的系统名存实亡，因此在建立一个内部控制制度系统应把握大局，围绕企业的全面实施效果。3、针对性原则，是指建立内部控制制度是根据企业实际情况，针对企业财务会计的薄弱环节，制定有效的内部控制系统，各个环节和细节必须得到有效控制，提高企业财务会计业务水平。目前我们有很多公司都没有根据企业的实际依照法律、行政法规制定规范企业财务会计制度，从而导致弱的会计与财务管理混乱。4、一贯性原则，这是一个企业内部控制制度必须具有连续性和一致性，而不能随意更改，否则无法贯彻实施。我们在制定企业内部控制制度，必须高度重视这一点，必须努力做到尽可能一贯连续。5、适应性原则，是指企业管理系统应根据变化的市场环境和财务会计专业的发展及社会发展的及时补充业务内部控制制度。适应性可分为两个方面，一是对外部的适应，另一方面是企业内在的适应。外部适应指的是企业内部控制系统,以适应国家宏观经济发展、产业发展和适应企业的竞争对手机制。内部适应性意味着它需要适应自己的战略规划、发展规模与公司的现状。企业应把握这两个方面，制定适时有用的内部控制制度,使企业财务会计准则向更高和更好的方向发展。6、经济性原则，是一个企业内部控制制度的建立需要考虑成本的原则,即在使用过程中存在的问题，从经济学的观点必须是合理的。一个系统的研制开发为了控制的企业某些部门、重点，并且最终提高企业管理水平、提高工作效率，如果与此相反，它会变得弊大于利。7、适用性原则，是指企业内部控制制度应易于所有部门和人员的实际应用，意味着企业内部控制系统的可操作性强，并切实可行。这是发展内部控制制度的一个重点。企业内部控制的适应性系统可以概括为“内容标准、易于理解，操作简便、灵活调整。”8、发展性原则，对企业内部控制制度的发展应充分考虑宏观经济政策和企业的发展，洞察对手的动作，制定出有发展性和长远视野的规章制度。企业内部控制制度是一项重要的系统，我们需要一个战略高度把它引往一个更全面的发展方向。（四）内部控制的内容内部控制理论在西方发展将近一个世纪，成熟的COSO报告五要素，即控制环境、风险评估、控制活动、信息与沟通和监督。这是一种成熟的市场经济以及西方发达资本市场条件下企业内部控制因素要考虑的要件。我国内部控制的内容范围与COSO报告相比，还有相当大的距离。内部会计控制的基本准则的构成未以要素的形式存在，而是直接列表内部控制的内容，包括：货币资金、实物资产、对外投资、工程项目、采购和付款、融资、销售、应收帐款、成本、费用和其他经济核算控制，并且每一个条款都规定相应具体范围。我们可以看到，我们的内部控制的做法是集中在会计领域。会计法和内部会计控制的基本规范和其他法律规范，主要从财务会计角度规范内部控制；独立审计指南还关注定位会计和公司的责任。内部会计控制的基本规范中突出的一部分强调建立风险管理制度，加强风险管理和经营活动安全运作，以确保机组的正常运行，风险控制系统的建立为一个独立的内部控制规定加以强调。第24条规定：风险控制要求单位建立意识的风险，为每个风险控制要点建立有效的风险管理体系，通过风险预警、风险识别、风险评估、风险分析、风险报告和其他措施，对财务风险和经营风险进行综合防治。在控制每一个具体的控制条款已经增加了对风险防范的要求。侧重于风险控制、风险管理，在我国当前企业的运营过程中疏忽风险管理造成巨大隐患甚至风险损失有关，适合当前的实际需要，可以在很大程度上促进企业改革与治理结构。为适应社会主义市场经济发展，企业权利和义务的渐进推行规范中执行到位，其在社会经济生活中发挥着越来越重要的作用，提出了相应的内部控制制度和工作内容也会在这个范围越来越广。企业外部环境文化管理理念，如控制的环境因素和风险因素应包括在内部控制的范围。我们的观点是，它不能无视现实的中国，复制成熟的市场经济条件下的外国企业内部控制理论的元素，不能仅仅局限于对我国现行的内部控制标准范围的内容。对我国现行的法律法规对内部控制的观点，做为外部条件的控制环境和风险评价部分相对薄弱，内部控制在未来的发展中，涉及的范围需要加以强调。控制主体不仅能区分内部控制和外部控制信号，同时是构建内部控制制度内容的基础。这里以企业背景来分析内部控制制度的内容。正如我们所知，公司由四种经济主体，即、股东、经营者、管理者和普通的员工组成，这四种经济实体拥有他们自己的目标,并有自己的可控的因素，所以，企业内部控制体系可分为以下四个层次组成：以股东为主体的内部控制； 以经营者为主体的内部控制； 以管理者为主体的内部控制；以普通员工为主体的内部控制。 我们这里用内部控制五要素为框架，对四个层次的内部控制作一个整体性的勾画。 1.以股东为主体的内部控制 （1）控制主体：股东。（2）控制客体：经营者及整个企业的经营业务活动。 （3）控制目标：股东财富最大化、财产安全、能获得信息如实报告。 （4）信息沟通：公司财务报告。 （5）控制手段：建立公司治理结构、委托外部CPA审计、决定公司会计政策、抛售公司股票、对经营者实行承包经营或租赁经营。 2.以经营者为主体的内部控制 （1）控制主体：经营者。 （2）控制客体：管理者及整个企业的经营业务活动。 （3）控制目标：实现公司经营目标、财产安全、能获得信息如实报告。 （4）信息沟通：责任报告。 (5)控制手段：组织控制、预算控制、财务控制、会计控制、政策控制、人事控制、风险控制、内部审计。 3.以管理者为主体的内部控制 （1）控制主体：管理者。 （2）控制客体：普通员工及责任中心的经营业务活动。 （3）控制目标：完成责任目标、资产安全、获得业务运行的真实报告。 （4）信息沟通：公司会计报告和统计报告。 （5）控制手段：管理方法控制、技术方法控制、组织控制、授权批准控制、文件记录控制、实物保护控制、职工素质控制。4.以普通员工我主体的内部控制（1）控制主体：普通员工。（2）控制客体：经营业务活动。（3）控制目标：完成日常经营业务活动。（4）信息沟通：质量报告。（5）控制手段：职工业务技术水平。（五）改善内部控制的关键 1、健全管理机构。内部控制构建体现在两个方面：第一，一个健康的机构，它是有效的内部控制机制的硬件要素；二是内部机构、各业务人员的科学分工和牵制，它是有效的内部控制机制的软件元素。现在必须解决两个问题：（1）建立一个管理控制机制。例如，一些上市公司基于自己的经营的特点，建立了审计委员会委员、价格、薪酬委员会等是为了改善内部控制机制的一个有益的尝试；（2）实施的职责是不兼容的系统，防止高级管理人员交叉任职、主要体现在董事长和总经理同为一人，董事会、经理人员重叠。 2、建立一个可操作的伦理规范和行为规范。内部控制制度的实施者包括高级管理人员在内的所有员工，激励和约束的对象是企业的员工，员工的道德准则和价值观长久以来一直被视为是一种企业内部控制环境重要的因素，要求内部控制结构的构建要认同员工的道德标准和价值观的承接性，实践表明，基于环境现状态下建立内部控制机制是一种被动的方法，因此，英国和其他国家，越来越多的企业伦理的行为规范建设直接并入内部控制结构的内容。 3、公司必须注重内部控制制度可供选择的管理人才。内部控制系统的设计得如何完美，如果没有合格的人员来完成，也不能起到重要的作用。企业人事政策直接影响到企业可否吸引更高的业务能力的人员来实施内部控制制度。应该禁止帐户设置不合理、记录不真实的情况，充分发挥会计控制系统的功能，你一定要重视内部控制制度管理人员的选拔和培训，提高财会人员的素质，定期进行评估。4、企业必须发挥内部审计角色的作用。内部审计是加强内部控制制度的一个基本的安全措施，内部审计部不仅包括审核会计记录，包括审计、评估相关的内部控制制度是否完