（会计学专业论文）我国企业内部控制问题研究(1).pdf

上海大学硕士学位论文 摘要 随着市场经济体制的不断完善与发展，建立现代企业制度，转换经营 机制，真正成为市场竞争主体，是我国企业面临的一项紧迫而繁重的任务。 内部控制作为企业经营管理的重要组成部分，对于提高企业的生存能力和 竞争能力具有至关重要的作用。但是我国对企业内部控制的研究时间比较 短，理论方面不够深入、系统，实践方面也存在着比较多的问题。由于内 部控制不健全，不少企业内部大案要案不断出现，严重影响了企业的健康、 快速、持续发展。本文试图就我国企业内部控制理论和实践的现状进行分 析，并提出完善的对策和建议。 本文内容在结构上分为五部分。第部分为绪论，主要介绍选题背景 及主要研究方法。第二部分回顾国外内部控制理论发展的四个阶段以及最 新的发展动向，并用经济数学模型分析如何确定最优的内部控制水平、内部 控制的外部性对内部控制建设的影响等问题。第三部分分析我国内部控制 规范和理论的发展，并与西方发达国家的内部控制理论进行全方位的比较 分析，找差距，摆不足，为我国内部控制的完善提供借鉴。第四部分结合 我国企业内部控制失败的案例，运用内部控制整体框架原理来分析我国企 业在内部控制实践中存在的主要问题及其原因。第五部分则是针对我国内 部控制理论规范和实践中存在的不足与问题，借鉴西方发达国家的内部控 制理论与控制手段有的放矢地提出关于建立健全我国企业内部控制的对 策，其中提出了将企业整体风险管理、薪制度经济学的问责机制等手段应 用于我国企业内部控制建设中的建议和构想。 关键词：内部控制中外比较现状分析治理对策 v 上海大学硕士学位论文 a b s t r a c t w i t ht h em a r k e t i n ge c o n o m ys y s t e mp e r f e c t i n g & d e v e l o p i n gg r a d u a l l y ，i t i sa nu r g e n ta n dh e a v yt a s kf o rac o r p o r a t et oe s t a b l i s hm o d e r ns y s t e m t o c h a n g eo p e r a t i o nm e c h a n i s m ，a n dt ob eac o m p e t e n tm a r k e te n t i t y i n t e r n a l c o n t r o li sa ni m p o r t a n tp a r to fc o r p o r a t em a n a g e m e n t i ti sa l s ov i t a lt oa c o r p o r a t e sv i t a l i t ya n dc o m p e t i t i o n i ti sas h o r tt i m es i n c e19 9 0 sc h i n ah a s b e g u ni t sr e s e a r c ho ni n t e r n a lc o n t r 0 1 t h er e s e a r c hi sn o ts y s t e m i ca n dp r o f o u n d ， w h i l et h ep r a c t i c es t i l lh a sm a n yp r o b l e m s i nm a n yc o r p o r a t e s ，l a c ko fi n t e r n a l c o n t r o lo f t e nr e s u l t si nt h ee m e r g e n c eo fs e r i o u sc a s e s ，t h i si so n eo ft h e i m p o r t a n tf a c t o r sw h i c hl i m i tt h ec o r p o r a t e st od e v e l o ph e a l t h i l y ，q u i c k l ya n d e n d u r i n g l y t h e r e f o r e ，id e c i d et ow r i t et h i sa r t i c l ea n dd i s c u s st h o r o u g h l yt h e b a s i ct h e o r yo fi n t e r n a lc o n t r o la n di t sc u r r e n tc o n s t r u c t i o ni nc h i n e s e e o r p o r a t e s ih o p em ya r t i c l ec a r lc o n t r i b u t et oi m p r o v e m e n to ft h em a n a g e m e n t s t a t u so fc h i n e s ec o r p o r a t e s t h i sa r t i c l ec o n s i s t so ff i v es e c t i o n s s e c t i o no n ei st h ei n t r o d u c t i o no f t h e s i sc h o i c ea n dm a i n a n a l y s i s m e a n s i ns e c t i o nt w o ，1i n t r o d u c et h e d e v e l o p m e n to fi n t e r n a l c o n t r o lt h e o r y , w h i c hr a n g e df r o mi n t e r n a lc h e c k ， i n t e r n a lc o n t r o ls y s t e m ，a n di n t e r n a lc o n t r o ls t r u c t u r et oi n t e r n a lc o n t r o lf r a m e i a l s op a ys o m ea t t e n t i o nt ot h el a t eo v e r s e a sd e v e l o p m e n to ni n t e r n a lc o n t r 0 1 i a l s og i v et w oe c o n o m i cm o d e l st oi l l u s t r a t eh o wt oi d e n t i f yt h eo p t i m i z a t i o no f i n t e r n a ic o n t r 0 1 t h ei n f i u e n c eo ni n t e r n a lc o n t r o l l sl e v e lb e c a u s eo fi t se x t e r i o r r e f l e c t i o n s e c t i o nt h r e ei n c l u d e st w op a r t s t h ef a s tp a r ti sa b o u tt h ee v o l u t i o n o fi n t e r n a lc o n t r o li nc h i n a t h es e c o n dp a r ti st h ec o m p r e h e n s i v ec o m p a r i s o n a b o u ti n t e r n a lc o n t r o lb e t w e e nc h i n aa n ds o m ed e v e l o p e dc o u n t r i e s ，s ot h a tw e c a ns e et h es h o r t c o m i n g sa n df i n dt h ew a y st op e r f e c tc i v i li n t e r n a lc o n t r 0 1 一- s e c t i o nf o u ri st h ea n a l y s i so ft h ei n t e r n a lc o n t r o lp r a c t i c ei nc h i n e s ec o r p o r a t e s 1e x p o u n dc h i n e s ei n t e r n a lc o n t r o li ss t i l lw e a ka n da n a l y z et h ep r o f o u n dc a u s e s i no r d e rt op r e p a r ef o rt h en e x ts e c t i o n s e c t i o nf i v ei sa b o u tt h es u g g e s t i o no f v 上海大学硕士学位论文 e s t a b l i s h i n ga n dp e r f e c t i n gi n t e r n a lc o n t r o l o nt h eb a s i so fc o m p a r i s o na n d p r o b l e m sa n a l y s i s it h i n kt h a tw es h o u l dt a k em e a s u r e si n s i d ea n do u t s i d et h e e n t i t i e sa tt h es a m et i m e ia l s os u g g e s tt h a tw es h o u l dt a k ea d v a n t a g eo ft h e a d v a n c e dt h e o r i e si nt h ef i e l d so fe n t e r p r i s ei n t e g r a t e dr i s km a n a g e m e n ta n d r e s p o n s i b i l i t y c h a r g e di no r d e rt op e r f e c tt h ec i v i lc o r p o r a t e s i n t e r n a lc o n t r 0 1 k e yw o r d s ：i n t e r n a lc o n t r o l ；s i n o - f o r e i g nc o m p a r i s o n ；p r o b l e m sa n a l y s i s ； g o v e r n a n c ep o l i c y v 上海大学硕士学位论文 原创性声明 本人声明：所呈交的论文是本人在导师指导下进行的研究工作。 除了文中特别加以标注和致谢的地方外，论文中不包含其他人已发 表或撰写过的研究成果。参与同工作的其他同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 签名：越日期：一 本论文使用授权说明 本人完全了解上海大学有关保留、使用学位论文的规定，即： 学校有权保留论文及送交论文复印件，允许论文被查阅和借阅；学 校可以公布论文的全部或部分内容。 ( 保密的论文在解密后应遵守此规定) 签名：瓤导师签名灶期 上海大学硕士学位论文 绪论 内部控制是包括企业在内的所有组织和机构正常运转的保障，是企业各项 管理工作的基础。当今社会，企业的规模越来越大，其组织、计划、激励、控 制和信息沟通等经济活动已经大大超越了传统界限。有效的内部控制体系对企 业的发展壮大极其重要。无数的事实证明，得控则强，失控则弱，无控则乱， 银广夏、郑百文，一直到被称为“中国巴林银行案”的中航油事件，留给 我们的无不是沉痛的教训。 伴随着企业的不断发展壮大和各种经济理论研究的深入，以美国为代表的 西方发达国家在内部控制理论研究和实践领域不断取得新的进展，内部控制的 范畴和功能定位也在不断进化。从传统的相互牵制发展到以“管理控制和会计 控制”为主的内部控制制度阶段，进而演变为以“控制环境、会计系统、控制 程序”为主的内部控制结构阶段，直至发展为c o s o 报告倡导的以“控制环境、 风险评估、控制活动、信息与沟通、监督”为内容的内部控制整体框架阶段， 内部控制早已经突破了查错防弊和保证会计信息质量的范围，企业内部控制制 度设计和内部控制的测试评价渗透到了企业法人治理、风险管理、人力资源、 薪酬设计与激励等各个领域。 与之形成鲜明对比的是，我国企业内部控制理论和实践目前正处于起步、 发展阶段，迄今还没有前后一贯、逻辑一致的内部控制框架理论，实践中也存 在较多的问题。笔者拟通过本文对内部控制的基本理论和我国企业的内部控制 建设问题进行深入的探讨，希望能够对改善企业的经营管理状况有所帮助。 本文的主要研究方法是：( 1 ) 运用比较分析的方法。通过大量收集文献资 料，及时全面掌握国内外在该领域的最新研究动态和成果，在此基础上对国内 外的内部控制理论进行分析比较，找出差距和不足，寻找国外先进理沦和我国 相对落后基础的有效结合点，有针对性地予以借鉴和学习；( 2 ) 理论研究与实 证研究相结合。本文在进行理论研究的基础上，运用内部控制整体框架理论对 我国的企业内部控制案例进行全面、深入的分析，努力探索改进对策，提出富 有建设性的方案和建议，试图为提高我国企业的整体竞争能力提供一些帮助。 上海大学硕士学位论文 第一章企业内部控制基本理论 i i 国外内部控制发展的历程 内部控制是管理现代化的必然产物，其理论发展经过了一个漫长的时期， 众多组织、机构和学者在不同的时期都从各自的立场出发提出了很多理论和实 务做法。目前理论界对于内部控制的产生和发展历程的认识渐渐趋于一致，认 为内部控制的发展大致可以区分为内部牵制、内部控制制度、内部控制结构与 内部控制整体框架等四个不同的阶段。 1 1 1 内部牵制阶段( i n t e r n a lc h e c k ) 从原始的组织诞生开始，直至2 0 世纪4 0 年代，内部控制的发展基本上停 留在内部牵制阶段。公元前36 0 0 年前的美索不达米亚时期就已经出现了内部牵 制的实践，但是古代的管理基本上是建立在个人观察、判断和直观基础上的传 统经验管理，既没有形成系统的管理理论，也不可能提出内部控制的概念。15 世纪复式记账法出现并得到迅速普及，有力地推动了管理和内部控制的发展， 以账目问的相互核对为内容、实施职能分离的内部牵制开始得到广泛的应用。 工业革命后，工厂这一新的经济组织普遍建立，组织规模扩大，内部结构更加 复杂，改进管理、降低组织活动的成本成为当务之急。以小瓦特、欧文、亚当 斯密等人为代表开始了组织管理理论的研究，管理思想从经验直觉进入了较系 统的研究。但是，尽管“内部控制在这期间已在管理实践中完成了其主体内容 的塑造过程，但其各项构成要素和控制措施只是散见在企业各项管理制度、惯 例和实务中”1 ，管理者和研究者并没有从理论上进行总结，也没有提出内部控 制概念。 蒙哥马利在1 9 1 2 年出版的审计一理论与实践一书中指出，所谓内部牵 制是指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度，也 内部控制评价应用阎金愕，陈关亭中国人民大学出版社1 9 9 8 年7 月p 9 上海大学硕士学位论文 就是一名员工与另一名员工必须是相互控制、相互稽核的。柯氏会计辞典认为 内部牵制是“为提供有效的组织和经营，并防止错误和其他非法业务发生而制 定的业务流程，其主要特点是以任何个人或部门不能单独控制任何一项或一部 分业务权力的方式进行交叉检查或交叉控制”。内部牵制基于以下两个基本设 想：两个或两个以上的人或部门无意识地犯同样错误的机会很小；两个或两 个以上的人或部门有意识地合伙舞弊的可能性大大低于一个人或部门舞弊的可 能性。它要求在企业经营管理中凡涉及财产物资和货币资金的收付、结算及其 登记工作，应当由两个或两个以上的员工或部门来处理，以便相互牵制，查错 防弊。 在审计介入内部控制理论的研究之前，作为现代内部控制雏形的内部牵制制 度是在当时生产规模较小和管理理论比较原始的条件下，基于企业经营管理的需 要，在实践基础上通过总结以往的经验逐渐形成的，其主要目的就是查错防弊， 控制的主要形式是通过人员之间职能的牵制实现对财产物资的控制，实践也证明 内部牵制机制有效地减少了错误和舞弊行为。在现代内部控制理论中，内部牵制 仍占有重要的地位，成为内部控制设计的一个指导性原则，是有关组织机构控制、 职务分离控制的基础。 1 1 2 内部控制制度阶段( i n t e r n a lc o n t r o ls y s t e m ) 从2 0 世纪4 0 年代末至7 0 年代初，在内部牵制思想基础上产生了内部控制 制度的概念。 1 9 49 年，美国会计师协会( a i c p a ) 所属的审计程序委员会( c p a ) 发表了 一份题为内部控制：系统协调的要素及其对管理部门和独立公共会计师的重 要性的特别报告，首次正式提出了内部控制的定义：“内部控制包括组织机构 的设计和企业内部采取的所有相互协凋的方法和措施。这些方法和措施都用于 保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行 既定的管理政策。”它承认“内部控制制度超过了财会部门直接相关的事项”。 可见，内部控制概念已经突破了与财务会汁部门直接相关的控制的局限，该报 告是从企业经营管理的角度来定位内部控制的，内容不局限于与会计和财务部 上海大学硕士学位论文 门直接相关的控制，还包括预算控制、成本控制、定期报告、统计分析、培训 计划和内部审计以及技术与其他领域的经营活动，比较客观地从理论上给出了 内部控制的内涵。 这一范围广泛的定义及其相应的解释，当时被普遍认为是对认识内部控制 这一概念的重大贡献，因为在此之前内部控制概念从未受到如此的重视。审计 界提出内部控制概念的目的是为了满足财务审计的需要，与管理人员对内部控 制的理解和要求是不可能一致的。因此审计界认为该定义过于宽泛，超出了审 计人员评价被审计单位内部控制所承担的职责。迫于这种压力，为了满足财务 审计人员在审计中对内部控制进行检查的业务需要，19 5 8 年1 0 月该委员会发 布的审计程序公告第2 9 号对内部控制定义重新进行表述，将内部控制划分 为内部会计控制( i n t e r n a la c c o u n t i n gc o n t r 0 1 ) 和内部管理控制 i n t e r n a l a d m i n i s t r a t i v ec o n t r o l l 两类，其中前者涉及与财产安全和会计记录的准确 性、可靠性有直接联系的方法和程序，后者主要是与贯彻管理方针和提高经营 效率有关的方法和程序。这一提法是我们现在所熟知的内部控制“制度二分法” 的由来。内部会计控制包括组织规划的所有方法和程序，这些方法和程序与财 产安全和财物记录可靠性有直接的联系，包括授权与批准制度、从事财务记录 和审核与从事经营或财产保管职务分离的控制、财产的实物控制和内部审计。 内部管理控制包括组织规划的所有方法和程序，这些方法和程序主要与经营效 率和贯彻管理方针有关，通常只与财务记录有间接关系，一般包括统计分析、 时动分析、业绩报告、员工培训计划和质量控制。 由于管理控制的概念比较空泛和模糊，而且在实际操作中，管理控制与会 计控制的界限也难以明确划清，1 9 7 2 年1 2 月美国会计师协会( a i c p a ) 所属的 审计准则委员会( a b s ) 在其公布的审计准则公告第1 号中重新阐述了内部 会计控制和内部管理控制的定义： ( 1 ) 内部会计控制。内部会计控制由组织计划以及与保护资产和保证财务 资料可靠性有关的程序和记录构成。会计控制旨在保证：经济业务的执行符合 管理部门的一般授权或特殊授权的要求；经济业务的记录必须有利于按照一般 公认会计原则或其他有关标准编制财务报表，落实资产责任：只有在得到管理 上海大学硕士学位论文 部门批准的情况下，才能接触资产：按照适当的间隔期限，将资产的账面记录 与实物资产进行对比，一经发现差异，应采取相应的补救措施。 ( 2 ) 内部管理控制。内部管理控制包括但不限于组织计划以及与管理部门 授权办理经济业务的决策过程有关的程序及其记录。这种授权活动是管理部门 的职责，它直接与管理部门执行该组织的经营目标有关，是对经济业务进行会 计控制的起点。 与1 9 49 年的定义相比，这些定义仅从财务审计的角度出发，范围过于狭窄， 把过多的精力和目标放在了查错防弊上，人为地限制了内部控制理论和实践的 发展。从管理人员和其他相关第三方的角度看，会计控制和管理控制之间的区 别并不大，甚至根本没有区别，特别是那些置身于企业经营活动的人很难接受 这种区分。美国学者凯罗鲁斯把美国注册会计师协会在19 5 8 年将 9 49 年的会 计控制定义区分为会计控制和管理控制的行为描绘成“将美玉击成了碎片”。 1 1 3 内部控制结构阶段( i n t e r n a lc o n t r o ls t r u c t u r e ) 从财务审计实务的需要出发，审计界为了减轻注册会计师审计时评价内部 控制的责任而把内部控制的定义限制在较小的范围内，从表面看减轻了注册会 计师的责任。但是，注册会计师要面对广大投资者，从投资者的角度看，审计 并不能仅仅是鉴定历史的行为。从2 0 世纪6 0 年代后，美国的大量公司倒闭或 陷入财务困境引发了很多审计诉讼案件。由于审计诉讼爆炸导致审计风险增加 以及会计审计界对内部控制的研究重点逐步从一般涵义向具体内容深化，l9 8 8 年美国注册会计师协会发布了审计准则公告第5 5 号( s a s 5 5 ) ，并从1 99 0 年 1 月起取代1 9 7 2 年发布的审计准则公告第l 号。该公告首次以“内部控制 结构”概念代替“内部控制制度”，不再区分会计控制和管理控制，而是确立 了一种控制结构，指出“企业的内部控制结构包括为提供取得企业特定目标的 合理保证而建立的各种政策和程序”。公告认为内部控制结构由下列三个要素 组成： ( 1 ) 控制环境( c o n t r o le n v i r o n m e n t ) ，指对企业控制的建立和实施有 重大影响的一组因素的统称，反映董事会、管理者、员工和其他人员羽控制的 上海大学硕士学位论文 态度和行为，主要包括管理哲学和经营方式、组织结构、董事会及审计委员会 的职能、授权和分配责任的方式、管理控制方法、内部审计、人事政策与实务 等；管理者监控和检查工作时所用的控制方法，包括经营计划、预算、预测、 利润计划、责任会计和内部审计等。 ( 2 ) 会计系统，指公司为汇总、分析、分类、记录、报告业务处理的各种 方法和记录，包括文件的预先编号，业务复核，定期调节等；一个有效的会计 制度包括以下内容：鉴定和登记一切合法的经济业务；对各项经济业务适当进 行分类，作为编制报表的依据；计量经济业务的价值以使其货币价值能在财务 报表中记录；确定经济业务发生的时间，确保它记录在适当的会计期间；在财 务报表中恰当表述经济业务及有关的内容。 ( 3 ) 控制程序，指为合理保证公司目标实现而建立的政策和程序，它包括 适当授权、恰当的职责分离、充分的凭证和记录控制、资产及其记录的接触和 使用、业务的独立稽核等。 在这三个构成要素中，会计系统是内部控制结构的关键因素，控制程序是 保证内部控制结构有效运行的机制。这一概念不再区分会计控制与管理控制， 而统一以要素表述内部控制，特别强调了管理者对内部控制的态度、认识和行 为等控制环境的重要作用，指出这些环境因素是实现内部控制目标的根本保证， 要求审计人员在评估控制风险时不仅要关注会计控制制度与控制程序，还应对 企业所面临的内外部环境进行评估。将内部控制环境这一总括性的要素纳入其 中，使内部控制的内容范围不但包括会计控制，而且也涉及了管理控制的内容。 与内部控制制度的定义相比，内部控制结构概念的提出，适应了经济形势发展 和企业经营管理的需要，因而得到了会计审计界的认可，8 0 年代末，在这一概 念基础上产生并发展了风险基础审计方法。但是内部控制仍然被认为是“各种 政策和程序”，是作为从企业管理中抽象出来为审计服务的一个工具。 1 1 4 内部控制整体框架阶段( i n t e r n a lc o n t r o li n t e g r a t e d f r a m e w o r k ) 1 9 9 2 年，美国“反对虚假财务报告委员会”下属的发起组织委员会( c o s o 上海大学硕士学位论文 c o m m i t t e eo fs p o n s o r i n go r g a n i z a t i o n so ft h et r e a d w a yc o m m i s s i o n ) 提出 了内部控制一整体框架( c o s o 报告) ，19 9 4 年又对其进行了增补。c o s o 委员会指出：内部控制是受企业董事会、管理当局和其他职员的影响，旨在取 得经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证的 一种过程。1 9 9 6 年美国注册会计师协会发布审计准则公告第7 8 号( s a s 7 8 ) ， 全面接受c o s o 报告的内容，并从1 9 9 7 年1 月起取代1 9 8 8 年发布的审计准则 公告第55 号( s a s 5 5 ) 。内部控制整体框架包含五个相互联系的要素： 1 、控制环境 控制环境提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意 识，是所有其它内部控制组成要素的基础。控制环境的因素具体包括： ( 1 ) 员工的诚实性和道德观。企业最高管理层及其它成员应当做到：严格一 致地保持诚信行为和道德标准；制定切合实际的目标，以免带来不必要的压力； 对敏感职位之间的分工要准确明细；加强企业的内部审核制度；发挥董事会的 职能，使其客观监督企业的高级管理层；提供道德方面的指导，使所有雇员在 一般和特定环境下都能够保持正确的判断；制作书面行为准则和政策声明，将 其传达给全体雇员；将诱发人们不诚实、非法和不道德行为的动机降至最低。 ( 2 ) 评定员工的能力。管理部门须制定正式或非正式的职务说明书，逐项分 析并规定各工作岗位所须具备的知识和技能。 ( 3 ) 董事会和审计委员会。应该考虑的因素主要包括：成员的经验；相对于 管理层的独立性；外部董事的比例；其成员参与管理的程度；所采取措施的适 宜性；对管理层提出问题的深度和广度；他们与内部、外部审计人员的关系。 ( 4 ) 管理哲学和经营风格。主要考虑：对于经营风险的态度和方式；依靠文 件化的政策、业绩指标以及报告体系等与高级管理层沟通；对财务报告的态度 和所采取的措施；对信息处理以及会计功能、人员所持的态度；对备选的会计 方法和会计估计所持有的谨慎或激进态度。 ( 5 ) 组织结构。企业的组织结构是指为公司活动提供计划、执行，控制和监 督职能的整体框架。具体应考虑：组织结构的合适性，及其提供管理企业所需信 息的沟通能力：主管人员所负责任的适当性；企业组织结构的应变能力；员工 上海大学硕士学位论文 尤其是负责管理及监督职能的员工人数的充足程度。 ( 6 ) 责任的分配与授权。强调对于组织内的全部活动要合理有效地分配职责 和权限，为执行任务和承担职责的组织成员提供所需的资源，并确保他们的经 验和知识与职责权限相匹配，所有员工都应该知道他们的工作和职责与达成组 织目标的联系。 7 ) 人力资源政策及实务。保证组织所有成员具有较高水准的诚信、道德观 的人力资源政策与实践，是内部控制有效的关键因素之一。具体包括：有完善的 招聘与选拔方针及操作性程序：新员工的企业文化和道德价值观的培训；制订 有效的奖惩措施和激励机制，对员工予以奖罚，避免道德危机。 2 、风险评估 企业面临来自内部和外部的不同风险，管理层应该对这些风险进行识别、 分析，然后有效管理。风险评估的前提是确定企业的目标，风险评估就是分析 和辨认实现所定目标可能发生的风险。 ( 1 ) 目标。企业整体目标通常是由企业的理念及其所追求的价值所决定的， 而与之相配合的是企业下一级各部门的具体目标，主要有：营运目标，包括绩效 和获利目标及保障资产的安全，使其免受损失；财务报告目标，防止对外报送 不真实的财务报告：遵循性目标，企业遵循国家的相关法律法规。 ( 2 ) 风险。辨识和分析风险的过程是一种持续及反复的过程，管理阶层须谨 慎对待各类风险，并采取必要的管理措施。 企业风险由外部因素和内部因素所引起，外部因素包括：科技发展、顾客的 需求或预期改变、竞争、新的法律和行政命令、自然灾害、经济环境改变等。 内部因素包括：聘用员工的品质、培训方法及激励制度；经理人员的责任改变； 企业活动的性质以及员工可接近资产的程度；董事会或监事会的职能发挥等。 ( 3 ) 环境变化后的管理。企业的生存环境不断发生变化，企业的经营活动也 必须做出相应的调整。风险评估中最基本的部分就是如何辨认已发生的改变， 并采取必要的行动。这些改变包括：经营环境的改变；新员工；信息系统的改变； 业务迅速成长；新技术；新业务、产品、作业；公司重组；新的会计公告等。 上海大学硕士学位论文 3 、控制活动 控制活动和风险评估过程紧密联系，是确保管理层的指令得以执行的政策 和程序。控制活动在企业内的各个层次和职能之间都会出现，这主要包括： ( 1 ) 企业绩效分析。管理层将实际经营活动结果与预算或竞争者的绩效相比 较，以衡量实际经营的效果和监督计划( 如新产品开发、融资行为) 的执行情况。 ( 2 ) 对信息处理的控制。具体可分为两类：总体控制( g e n e r a c o n t r 0 1 ) ， 帮助管理层确保系统持续、适当地运转，包括对资料中心运作的控制；对系统 软件的控制；存取安全的控制；对应用系统的发展及维护的控制。应用控制 ( a p p i c a t i o nc o n t r 0 1 ) ，包括应用软件中的电算化步骤及相关的人工程序。 ( 3 ) 实体控制。保护设备、存货、证券、现金等实物资产的安全完整，定期 盘点并与账面记录比较。 ( 4 ) 职责分工。指将各种功能性责任划分，再将不相容职务分派给不同的员 工，以降低错误或舞弊的风险。 4 、信息与沟通 信息与沟通指企业内部的所有人员必须能够取得他们在企业的控制、管理 和执行活动中所需要的相关信息，并实现信息的充分交换。信息系统是员工履 行职责所必不可少的，它不仅处理企业内部产生的信息，同时也要处理与外部 活动有关的信息。企业所有员工必须从最高管理层清楚地获取承担控制责任的 信息，同时有向上级部门沟通重要信息的方法，并与外界顾客、供应商、政府 主管机关和股东等进行有效的沟通。 ( 1 ) 信息。信息包括来自内部、外部的财务与非财务信息。内部信息资料包 括采购资料、销售资料和生产过程的资料；外部信息资料包括特定市场或行业 的资料；竞争对手产品开发活动的信息；顾客偏好的信息；立法机关与行政机 关所发布的信息等。运行良好的信息系统必须做到：信息系统对战略行动提供 支持；信息系统与企业营运能够有效结合；能够选择更新信息系统的最佳时间； 信息质量比较高。 ( 2 ) 沟通。沟通是信息系统内在的组成部分，职员接受管理层传递的与内部 上海大学硕士学位论文 控制有关的控制责任的方法，包括内部沟通和外部沟通。 内部沟通需要做到：所有的员工除了得到用以管理其负责活动的重要资料 以外，还应得到来自最高管理层谨慎承担内部控制责任的清楚信息；必须让每 个人清楚知道所承担的特定任务，了解自己的行为与他人工作的关系：个人应 该知道如何处理突发事件，一旦有意外事项发生，还应当注意导致该事项发生 的原因，采取措施，预防再次发生；员工应该有一个向上沟通的渠道。 外部沟通应做到：顾客和供应商能经过开放的沟通渠道输人重要的信息；与 相关的外部团体沟通获取关于本企业内部控制功能的重要信息；外部审计人员 审计后，提供给管理阶层及董事会重要的控制信息，外部所提供的复核或检查 的结果，可以有效弥补控制的缺失。 5 、监督 监督指对内部控制质量进行评价的过程，由实时评价内部控制执行质量的 程序组成，该程序包括持续监督、独立评价，或者是二者的综合。通过监督来 保证内部控制持续有效的运行。 ( 1 ) 持续的监督包括：管理层所取得的营运报告和财务报告与实际有重大偏 离时可对报告提出质疑；通过和外界职业团体的沟通，验证内部信息的正确性； 通过职务的分离，使员工之间相互检查，以防止舞弊；把账面资料同实际资产 核对；内外部审计人员定期提出强化内部控制的建议；定期要求员工陈述他们 是否了解企业的行为准则，并加以遵守；对于负责业务和财务的员工，要求他 们陈述某些特定控制是否执行，管理层或内部稽核人员验证这些陈述是否确实。 ( 2 ) 独立评价。评价的范围和频率视风险的大小及控制的重要性而定。整个 控制系统评价的范围涉及所有内部控制的重大方面对整个控制系统进行独立 评价的次数要少于对特定控制的评价。 上述五个要素中，风险评估、信息与沟通是传统的内部控制理论所没有的， 对控制环境重要性的强调达到了新的高度，监控的具体含义得到了进一步拓展。 如图1 1 所示，这五个要素内容广泛，相互关联，共同构成了一个立体框架， 形成了一个有机的动态的系统，即为了实现企业目标，企业应当在培育积极的 内部控制环境的基础上，识别、衡量和评估经营管理活动中所涉及的各种风险 上海大学硕士学位论文 点然后针则这些风险点设置各种控制机制，并不断地对上述整个过程的适当 性和有效性进行监督与评价：内部信息与沟通系统则为整个过程提供联系的桥 梁和有效的保障。 图l - 1内部控制整体框架五要素相互关系图 同以往的内部控制理论及其研究成果相比，c o s o 报告包括许多新的、有价 值的观点，主要体现在：( 1 ) 内部控制的对象是企业整个运行过程中包括人、 财、物、信息、技术等在内的所有要素，因此必须对组织赖以存在的环境因素、 内部控制的机制与程序、信息流动等进行全面的考虑和分析；( 2 ) 内部控制受 企业董事会、管理阶层及其他员工的影响，制定并执行内部控制政策程序的人 的素质、观念影响到内部控制的成效，要特别重视人的因素；( 3 ) 企业内部控 制是一个动态的过程，是一个发现问题、解决问题、发现新问题、解决新问题 的循环往复的过程；( 4 ) 企业时刻面临着来自内部和外部的风险，管理者必须 对随时出现的风险予以反映和评估，并采取适当控制措施，以保证内部控制的 效率和效果。 c o s o 的内部控制整体框架首次把内部控制从原来的平面结构发展为立体框 架模式，代表着内部控制研究的最高水平，对各国都产生了深远的影响，许多 国家和组织的内部控制的定义都在一定程度上借鉴了这一成果，如加拿大的 上海大学硕士学位论文 c o c o ，英国的c a d b u r y ，法国的v i e n o t ，南非的k i n g 等都是以其为范本而制定。 1 2 国外内部控制研究与实践的最新发展 最近十多年来，内部控制理论在内部控制整体框架的基础上，随着企业内 部控制实践经验的丰富得到了更快的发展。 1 2 1 萨班斯一奥克斯利法案 2 0 0 1 年以来，美国的安然、世界通讯、施乐和默克制药等一批著名国际大 公司因为财务会计丑闻导致股价暴跌，企业的诚信受到普遍质疑，全世界的企 业借此掀起了一股强大的完善企业内部控制的风暴。2 0 0 2 年，美国政府为根治 上市公司财务造假丑闻带来的不良经济影响，颁布了萨班斯一奥克斯利法案 ( s a r b a n e s o x e ya c to f2 0 0 2 ) ，要求所有依照美国证券法向证监会提交财 务报告的上市公司，都要在年报中提供“内部控制报告”，评价公司内部控制 设计及其执行的有效性，注册会计师要对企业的内部控制报告进行审核与报告， 公司的c e o 和c f o 要出具书面保证，上市公司的内部控制信息从自愿披露转入 强制披露阶段。为了实施该法案有关内部控制规定，美国证券交易委员会( s e c ) 提出了“财务报告内部控制”的操作性定义，为c e o 和c f o 对财务报告内部控 制和如何披露内部控制提供了指南；公众公司会计监督管理委员会( p c a o b ) 通 过为注册会计师制定审计准则，指导注册会计师对管理当局就财务报告内部控 制有效性的评价发表意见。在企业界，为了进行有效的内部控制评价，控制自 我评估办法( c o n t r o ls e l f a s s e s s m e n t ，c s a ) 被越来越多的公司和其他组织 实施，美国的纽约、田纳西、德克萨斯三个州立法要求审计和会计部门必须采 用c s a 方法来对内部控制进行有效的评价。安永会计师事务所与j p 摩根公司 联合开发了一套名为h o r i z o n 的c s a 实施软件，德勤会计师事务所也开发了一 套名为v i s u a la s s u r a n c e ( v a ) 的软件，为企业内部控制评价的开展提供了有 效手段。 上海大学硕士学位论文 1 2 2 企业风险管理框架 面对国际企业界频繁发生的高层管理人员舞弊现象，c o s o 委员会于2 0 0 4 年9 月2 9 日正式发布了企业风险管理一综合框架( e n t e r p r i s er i s k m a n a g e m e n t ，e r m ) ，并提出将以该报告取代内部控制整体框架。这个报告在 i 99 2 年报告的基础上，根据萨班斯一奥克斯利法案的要求进行扩展研究而 出台。因此，它既保留了内部控制整体框架的主要部分，又在框架和要素等方 面进行了相当程度的突破。 定义方面，该报告提出企业风险管理是企业的董事会、管理层和其他员工 共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活 动，用于识别可能影响企业的潜在事项并在风险偏好范围内管理风险，对企业 目标的实现提供合理的保证。该报告提出了风险偏好、风险容忍度等概念，使 得e r h 的定义在包括了内部控制所有合理内容的同时更明确、更具体。 内部控制目标方面，该报告将“财务报告的可靠性”扩展为“报告的可靠 性”，涵盖了企业所有报告，并提出了一个新的更高层次的目标一战略目标，使 企业从战略的高度关注企业的可持续发展及其他长远目标的实现。 内部控制要素方面，将控制环境扩展为内部环境，要求企业风险管理的范 围更大，关注的环境因素不仅仅局限于控制方面的环境，而是从更宽阔的视野 更综合的考虑各种因素对企业的影响。将原来的风险评估这一要素，发展为目 标设定、事项识别、风险评估和风险反应四个要素，内部控制五要素相应的发 展为风险管理八要素。增加了风险主管这一角色，负责建立风险管理体系并帮 助其他经理人报告企业风险信息。 企业风险管理综合框架要求董事会与管理层将精力主要放在可能产生重大 风险的环节上，将风险管理作为内部控制的最主要的内容，进一步强调了企业 风险管理的重要性。 纵观内部控制概念的形成和发展的漫长历史，可以看出，人们对内部控制 的认识经历了一个从最初含义模糊狭窄到后来内涵清晰完整、涵盖范畴更广泛 的过程。现代内部控制的概念融合了古今管理思想和实践经验，但其作为历史 上海大学硕士学位论文 和社会的产物，总是与特定的社会历史条件相联系，并受到企业性质、管理制 度及经营实践等诸因素的影响。 1 3 企业内部控制的经济数学模型分析 1 3 1 企业内部控制最优化程度的确定 内部控制的加强可以降低企业的经营风险，提高经营效率，但是进行内部 控制是需要投入的，因此一个企业采取某项内部控制行为时，会考虑其相应的 收益能否弥补所付出的成本，否则不会采取该项控制。下面用经济学的几何分 析法对内部控制行为的成本收益进行分析，寻求最优控制点，据以确定理想的 内部控制行为。 本模型以内部控制的强度作为因变量，用x 表示，函数c 表示企业内部 控制成本，函数r 表示内部控制收益，函数v ( x ) 则表示内部控制行为的净收 益，即v ( x ) ：r 一c ( x 1 ，这样我们就可以在坐标系中做出内部控制的成本收益曲 线图。 内 音【i 控 制 收 益 与 成 本 x+x 内部控制强度x 图1 - 2 内部控制成本收益曲线图 如图1 - 2 所示，当一个企业的内部控制强度很低时，内控收益与内控支出 相比有更大的斜率，加强内部控制强度能够使企业价值不断提高( 将企业要素 简化，只考虑内部控制因素) ；随着内部控制的加强，内部控制成本不断加大， 上海大学硕士学位论文 而内控收益增加趋缓。企业的最佳内部控制水平应该是v ( x ) 最大，即令f r m c 】= 0 ，得出当x = x 时，内部控制净收益达到最大值，这是企业最优的内部控 制水平，企业价值达到最高点。在内部控制强度超过该点之后，收益函数仍然 高于成本函数，净收益大于零，但是这时候由于内部控制边际成本高于边际收 益使企业价值在下降。因此，从经济学的角度分析，内部控制程度过低或过高 都不利于企业自愿的最优配置，不顾企业实际而过分强调控制，设计出十分庞 杂的控制制度的做法，是不经济的行为。每个企业都应当根据自身的组织规模、 交易性质、经济技术条件和人员素质等因素制定相应的内部控制，尽量降低经 营成本，保证以合理的控制成本达到最佳的内部控制效果。 1 3 2 企业内部控制的外部效应 企业是内部控制建设的主体，需要为内部控制支付相应的成本，但是内部 控制建设的受益者除了企业自身外，还包括投资人和潜在的投资人、债权人、 政府监管部门、注册会计师等相关各方，企业个体的内部控制行为使其他社会 成员元需付出代价而得到好处，产生了外部经济效应。按照经济学的观点，当 一个企业的某种活动可以增加社会福利而自己却得不到相应的报酬，这种活动 必然要低于社会的最优水平。因此，企业从成本效益的角度出发，其内部控制 的实际建设水平低于社会福利最大化的水平。 边 际 收 益 或 成 采 x jx 2内部控制强度x 图1 - 3 内部控制的外部效应曲线图 上晦大学硕士学位论文 现在用图1 3 对内部控制的外部性效应进行具体分析如下：以内部控制强 度为因变量，m c 、m r 、t m