内部控制概念的发展及我国企业内控问题(doc-7)

1、.：.；内部控制概念的开展及我国企业内控问题对内部控制的关注最初源自企业本身对规范化管理和股东掌握企业运营的准确信息的需求。此外最重要的推进要素就是外部审计师审计财务报表的要求。以后，各国政府也逐渐开场积极推进内部控制领域的进程，以期减小企业的舞弊和违规行为对市场经济次序的消极影响。因此，内部控制实际与实际的不断开展是学术界、职业组织、大型企业及政府组织共同推进作用的结果。此外，内部控制领域的开展历程显示，一些影响宏大的公司运营失败或舞弊事件的发生，往往加速了内部控制实际研讨以及实际运用的开展进程，并催生了一些里程碑式的文献和立法规定。最典型的代表莫过于美国2002年出台的。该法案的第404条

2、款不仅要求公司管理层定期评价公司财务内控的有效性，并且要求外部审计师对管理层的评价结果和公司财务内控的有效性出具审计意见。而对于该法案的出台，世通和安然的两个巨型舞弊案件可以说是“功不可没的。那幺，内部控制的作用终究是什幺呢?假设用一句话概括，那就是：有效的内部控制有助于在合理的程度上提高企业运营的效果和效率、维护企业资产，确保财务报告的可靠性以及企业对法律法规的遵照。在国际经济社会日益强调企业内部控制重要性的背景下，本文旨在回想有关兴隆国家和地域在内部控制领域的探求历程，简要引见在各内部控制权威文件中运用最为广泛的美国COSO内部控制框架，并为我国企业加强内部控制的途径提出一些阅历性的建议。

3、一、国际上具影响力的内部控制指南简要回想关于内部控制的框架，不同机构都对其有不同的了解，其中以美国反对虚伪财务报告委员会的发起组织委员会COSO发布的“COSO内部控制框架得到最广泛的认可。除此之外，加拿大的“CoCo内部控制框架、英国一定范围内得到了广泛的运用。 (一)COSO框架上世纪80年代，美国企业虚伪财务报告丑闻层出不穷，许多大公司突现运营失败，立法机构、政府监管机构和职业组织对虚伪财务报告问题表现出了空前的关注。在这一背景下，1985年，美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际内部审计师协会(IIA)、管理睬计师协会(IMA)、财务经理协会(FEI)发起成立了

4、一个民间组织“反对虚伪财务报告委员会，希望研讨虚伪财务报告的产生缘由并引荐处理方法(该委员会的第一任主席为JamesTreadway，是前SEC委员，因此以后该委员会也被简称为Treadway委员会)。该委员会在调查中发现，在其研讨样本中，将近50的财务舞弊事件可以全部或部分归咎于内部控制失败。该委员会同时以为，应该建立一个一致的、可操作的内部控制框架。继而，五个发起组织成立了一个委员会，即COSO。建立之初的目的是担任研讨开发一个内部控制的权威性定义和指南。COSO在1992年9月完成了这项义务，公布了最终报告(通常被称为COSO报告)，在世界上第一次提出了一个系统的内部控制框架。 COSO

5、将内部控制定义为：“内部控制是受企业董事会、管理层和其它职员共同作用，为实现运营效果性和效率性、财务报告的可靠性以及对适用的法律、法规的遵照性等目的提供合理保证的一种过程。较之于传统的内部控制概念，这一定义的开展在于将内部控制造为一种动态的过程而不仅是静态的制度来论述。内部控制不应仅仅着眼于会计和财务报告，还应针对运营活动的效率、效果和遵照法律法规。这个广义的定义表达了现代意义上的全程和全面的控制理念。相应地，内部控制框架也被划分为五个内部控制要素，如：控制环境、风险评价、控制活动、信息与沟通、监控。COSO框架是世界上最早发布的权威性内部控制框架，其它假设干具有影响力的控制框架很大程度上都自

6、创了COSO的任务成果，加之美国首屈一指的经济影响力等要素，COSO直到如今仍是世界上运用最广泛的内部控制框架。2001年12月2日，美国能源巨子安然公司(Enron)宣告破产，成为全球各界人士关注的焦点。此案与世通案件一同，直接导致了2002年7月30日(2002年萨班斯奥克斯利法案(以下简称“萨班斯法案或“法案)的出台。法案的第404条要求上市公司管理层需建立和维持充分的与财务报告相关的内部控制，并评价公司与财务报告相关的内部控制的有效性。美国证券买卖会于2003年6月份就萨班斯法案第404条所制定的“最终条例明确表示COSO内部控制框架可以作为评价企业内部控制的规范。虽然COSO内部控制

7、框架在“最终条例中并非独一的指定规范，但是证交会、上市公司会计监视委员会(PCAOB)及美国注册会计师协会在其对审计规范的有关征求意见稿中曾多次提及COSO可以作为评价企业内部控制的规范。所以绝大多数美国上市公司皆采用了COSO内 部控制框架作为评价公司内部控制的规范，以符合萨班斯法案的要求。(二)加拿大的CoCo框架在美国提出了COSO之后，加拿大特许会计师公会(CICA)成立了控制规范委员会(CoCo委员会)。CoCo委员会的任务目的是提高管理层决策质量，协助公司经过控制、风险管理和公司治理的手段提升运营业绩。CoCo在1995年11月开发出了“控制原那么规范(the Criteria o

8、f Control Principles，即“CoCo框架)。CoCo框架包括“目的导向rpose)、努力投入(Commitment)、才干胜任(Capability)、监视与学习(Monitoring andLearning)四大类控制规范。CoCo在控制指南中明确声昵CoCo建立在COSO的基础上，但同时指出，CoCo提出了一些在COSO报告中并未明确论述的概念。例如CoCo明确指出“组织需求定期审视其设定的目的背后的假定和前提。这一点在COSO中是没有的。 (三)英国综合守那么(Combined code)的Turnbull指南英国的综合守那么是1998年由公司治理委员会(也称Hampe

9、l委员会)综合了Hamperl、Cadbury以及Greenbury报告的成果而制定的(已于2003年7月进展了修订)。综合守那么为公司治理制定了规范，并且作为伦敦证券买卖所上市规那么的附件，对一切英国上市公司具有约束力。综合守那么中涉及内部控制的条款为C2和C21(98年版为D2和D21，内容未变)，要求“董事会有责任维持一个良好的内部控制系统，以维护股东的投资和公司的资产；董事会该当至少每年一次对公司内部控制系统的有效性进展审视，并向股东报告其曾经完成了此项任务。审视任务必需覆盖一切重要的控制，包括财务控制、运营控制和合规控制，以及风险管理系统。由于许多公司并不清楚如何操作上述规定，于是在

10、1999年9月英格兰和威尔士特许会计师协会(The Institute ofChartered Accountants inEngland&Wales)出台了Turnbull指南，即“内部控制综合守那么的董事指南(InternalControlGuidanceforDirectorson the Combined Code)，对如何满足综合守那么的要求提出了操作性的指点，并最终成为综合守那么的一部分，成为英国上市公司必需遵照的规定。 Turnbull指南的内部控制框架与COSO较为类似，也把控制分为运营、财务和合规控制，同样要求评价与COSO类似的内部控制元素。Turnbull指南的内部控制框

11、架包括四项要素：风险评价、控制环境和控制活动、信息和沟通、监控，即将COS0框架中控制环境和控制活动两个要素合并为一个要素。Turnbull指南的特点是更加关注风险与控制的关系并更加着重论述这种关系。二、COSO内部控制框架简介 COSO内部控制框架是三维的。内部控制的目的(第一维)是合理确保运营的效率和效果、财务报告的可靠性以及对法律遵照。内部控制由控制环境、风险评价、控制活动、信息和沟通及监控五个元素(第二维)构成，五个元素间相辅相成，联络严密，且必需共同发扬作用才干为企业目的实现提供合理保证。此外，对于企业内的任何业务单位或运营活动(第三维)，同样也需求五个元素共同作用，方能到达该业务单

12、位或运营活动的相关目的。 (一)控制环境(Control environment) 控制环境提供企业纪律与架构，塑造企业文化和正确的价值观，并影响企业员工的控制认识和任务才干是一切其它内部控制组成要素的根底。控制环境的要素详细包括：耿直守德的价值取向、对员工胜任才干的关注、董事会或审计委员会、管理哲学和运营风格、公司组织构造、职权和职责的分配、人力资源政策及实务。 (二)风险评价(Risk assessment) 每个企业都面临内部和外部的不同风险，这些风险都必需加以评价，以找出有效的应对方法。评价风险的先决条件是制定目的。风险评价就是分析和识别要挟所定目的实现的风险。经济、法律及管理的环境等

13、内外部要素不断变化，企业自动地发现和处置由于情况变化所带来的风险是很有必要的。 (三)控制活动(Control activity) 控制活动是确保管理层的指令得以执行的政策及程序，是管理层识别和评价风险后，对控制这些风险所实行的针对性措施。政策通常回答必需做什幺事情，而程序那么回答详细应该怎样做的问题。控制活动包括授权审批、核对、关键绩效目的、资产平安控制及职责分别等各种类型。企业控制活动又可以分为人工控制和信息系统控制两大类。控制活动是各控制要素中数量最大的一类，因此企业控制活动的设计必需进展本钱和收益的权衡。此外，控制活动应尽能够用书面方式予以规定和沟通。 (四)信息与沟通(Informa

14、tionandcommunication) 内部控制的全过程都需求高质量的信息以及顺畅的沟通。高质量信息具有内容相关、正确、提供及时以及便于获取等特征。在现代企业中，信息系统的广泛运用正是为了提高信息质量。同时，高质量的信息还应可以以适当的方式及时、准确地沟通至信息需求者。企业不仅该当努力于提升内部沟通的有效性，以便控制责任人可以履行其职责，还应关注与企业外部的沟通问题。外部沟通(如客户、供应商、审计师等)有助于管理层建立企业目的，向外传送企业理念和任务规范，并从外部了解内部控制的运转情况。(五)监控(Monitoring)内部控制系统需求监控。监控是由适当的人员，在适当及时的根底下，评价控制

15、的设计和运作情况的过程。这一活动由继续监视、个别评价所组成，其可确保企业内部控制能继续有效的运作。继续监视活动在营运过程中发生，它包括例行的管理和监视活动，以及其它员工为履行其职务所采取的行动。虽然继续监视程序可以有效地评价内部控制体系，但企业有时需求组织例外评价即个别评价以直接监视控制系统的有效性。这种做法更可评价继续性监视程序。评价的范围和频率，视风险的大小及控制的重要性而定。 三我国企业的内部控制问题和处理途径 (一)企业高层管理者应加强对内部控制任务的注重 我国许多企业，尤其是民营企业在较短的时间内阅历了由小到大的快速生长期。对于小型公司而言，创建者的个人控制往往非常有效。优秀的管理者

16、可以牢牢把握企业的方向，准确掌握企业信息，并且经过集中控制，进展高效的决策和执行，排除前进道路上的各种妨碍。然而，随着企业规模和运营复杂性的不断添加，个人控制能够会变得越来越力不从心。权责的不对等、任务程序的不一致以及管理制度的严重破绽等，导致各种错误、舞弊事件纷纷出现。这时，依然将内部控制视为添加本钱、妨碍管理效率的管理活动，而未将其视为实现企业目的的保证，那么能够导致严重的后果甚至运营失败。因此，提高中国企业高层管理者对内部控制的注重，是提升企业内部控制程度的前提条件。(二)强化控制环境 3722 中国最大的资料库下载许多企业把内部控制依然视为规章制度的制定和执行问题，却忽视了控制环境根底

17、的建立任务。突出表如今没有树立一致的，正确的企业文化和品德规范，导致许多违法运营或不公正处置与利益相关者关系的行为。例如损害消费者利益、篡改财务数据、不公正的对待雇员等。许多管理层人士非但不能以身作那么，反而推波助澜甚至授意指使，严重损害公司的控制环境。典型的一个表现就是，我国上市公司曾经披露的财务报告舞弊案例，绝大多数在于公司管理层的违法、违规操作。没有良好的控制环境，公司的其它控制要素就成为空中楼阁，注定无法有效的发扬作用。强化控制环境需求全面思索控制环境各子元素的要求，而我国企业在这一领域的当务之急是处理以下几个问题： 1建立公司一致的价值观和品德规范，并制定员工行为准那么。价值观的建立

18、必需脱离盈利高于一切的思想，应仔细思索品德问题，思索企业的社会责任，即合法、公平、公正地处置企业与利益相关各方的关系。正确价值观建立后，企业高层管理者还应从企业特定环境出发，对员工在任务中如何运用这些价值观提供进一步的指点，而这就是员工行为准那么该当处理的问题。 2建立对财务报告、内部控制和高层管理者行为的监视机制。这一点与公司治理构造的提高息息相关。企业应引入非执行董事，建立审计委员会，并为审计委员会制定任务制度及提供必要资源，以履行上述职责。 3防止将业绩评价和鼓励机制建立在对能否实现短期财务目的的单一关注上。很多公司的业绩评价和鼓励机制仅仅关注短期财务目的，例如年度销售额的增长比例和净利

19、润数额，而管理层的薪酬与这些目的的实现程度高度相关。换句话说，管理层无法实现这些目的的本钱非常高。加上这些目的很能够制定得并不现实，这就给了管理层很强的舞弊动因。认识到这一点后，企业该当思索改善管理层的业绩评价和鼓励机制，将长短期目的结合，例如运用平衡计分卡的思绪，从而分散管理层对短期财务目的的过度关注，降低舞弊的诱惑力。4加强岗位分析，落实控制责任。企业应对内部关键的岗位设置及岗位的职责和权限进展系统的分析和梳理。在此根底上，对特定岗位的员工学问、阅历、才干和品德素质等方面的要求予以书面规定，构成岗位阐明书。企业应根据岗位阐明书来指点员工招聘、考核、薪酬和职位变动等人力资源管理行为，从而确保

20、关键岗位员工可以认同公司价值观并有才干履行内部控制责任，降低关键岗位优秀员工的流失率。 (三)建立健全风险管理机制 我国企业普通对风险管理不够注重，没有设立有效的风险监控职能。企业的内部控制必需有的放矢，针对风险而设计。假设对于企业面临的风险要素及其艰苦程度没有准确的掌握，内部控制设计便能够存在冗余或者缺乏的情况，呵斥企业资源的浪费或者导致不利事件的发生。因此，企业必需建立健全风险管理机制，对各种内外部情况变化进展监控，对风险要素进展识别和评价，方能在此根底上有针对性地设计合理、充分的内部控制。 择要而论，企业该当因地制宜，思索其运营环境的特点和可利用资源情况，建立适宜本人的风险管理机制。企业

21、可以思索建立专门的风险管理职能，例如风险管理部门，运用公认的风险管理框架(如COSO风险管理框架)，牵头管理企业的风险要素监控、风险评价和风险应对等任务，并向企业的高层管理者汇报。企业也可以有效地利用内部审计部门的任务完成艰苦风险的管理职能。除了集中的风险管理职能外，企业也该当强化全体员工的风险管理认识，确保各级员工可以在日常任务中有效地发现新的风险要素或者原有风险要素的变化情况，并及时向风险管理责任部门和人员汇报，最终提请相关管理层设计并实施应对措施。此外，企业不仅该当对外部环境的变化(如法律法规、竞争情况、新技术、行业趋势等)进展监控和应对，还必需关注企业内部的艰苦情况变化，例如关键岗位员

22、工的变动、运用新的信息系统、公司运营规模迅速增长、公司运营方式发生变化等。对于这些内部变化所导致的风险要素，必需可以准确的掌握和详细的评价，在此根底上有预见性地制定高风险防备措施并思索对现行内部控制措施进展更新，方能确保内部控制设计一直符合企业的详细目的和风险接受才干。 (四)建立信息技术内部控制 许多国内企业管理者对内部控制的了解目前仍停留在人工控制的层面。对于以往传统型的公司而言，由于信息系统尚未成为公司实现战略的助力器，因此低程度的信息技术控制对公司的消极影响尚未完全显露。而对于现代化企业，尤其是特定行业的企业，例如网络企业、高新技术制造企业、电信企业等，大型信息系统(如ERP系统、业务

23、支撑系统)曾经成为企业运营活动赖以维持的根底，由此也带来极大的信息技术风险。而绝大多数国内的企业目前并没有建立一套完善的信息技术内部控制来降低大量运用关键的信息系统而面临的风险。详细而言，我们在实践任务中发现的主要问题包括： 1信息技术部门之间以及信息技术部门与业务部门之间缺乏有效的沟通来保证信息技术部门的任务可以充分满足业务的需求； 2公司缺乏有效的信息技术内部审计机制来监视信息技术部门的任务； 3缺乏完善的对数据及系统的访问控制管理，包括对信息系统及数据的访问权限的管理、严密字的管理、系统用户的定期审阅以及信息技术部门与业务部门员工在系统中访问权限的职责分工管理等； 4缺乏对系统变卦的有效

24、管理，导致对系统变卦的随意性以及无法保证程序变卦的质量； 5缺乏完善的系统开发管理，导致开发实施的系统无法满足设计需求； 6缺乏完善的系统运转控制，导致系统发生缺点时无法及时发现处理缺点而呵斥数据的丧失等。 上述这些问题是那些大量运用信息系统的国内企业所亟待处理的，否那么风险要挟一旦转变为现实的损失，损失程度将能够是企业难以接受的。目前国际上曾经有很多通用的信息技术控制框架，例如国际信息系统审计和控制协会(ISACA)下属信息技术治理研讨院提出的“信息及技术控制目的(COBIT)。国内企业的管理者应首先从风险认识上认识到信息技术控制的重要性，然后投入必要资源，参照这些框架建立本人的信息技术内部

25、控制，并由管理层确保框架之中定义的控制可以得到有效地执行。 此外，由于信息技术控制领域对专业性和复杂性要求很高，我国企业大多数并不拥有这方面的人力资源。因此，企业往往有必要寻求外部咨询机构的协助 ，以参照国际通用的规范和框架，尽快建立适宜本身的信息技术控制框架。 (五)对内部控制的设计和执行进展有效的监视、检查 内部控制的设计的充分性需求定期检查，而控制能否安照设定的程序运转也需求进展监视。许多国内企业的规章制度不可谓不丰富，但其中大量制度及其中的内部控制内容曾经过时，不适用于企业的当前环境。此外，许多设计良好的内部控制并未得到规范和一致的执行。对这两种情况，假设没有有效的监视机制，企业管理层根本无从准确获知。而监视机制的建立要注重自我监视与独立评价并重。各级管理层首先应在日常的运营管理过程中注重对内部控制有效性的监视，假设发现错误、舞弊等异常情况，不仅要就事论事的加以处置，还必需思索其中能否隐含了内