企业发展过程中的内部控制问题的研究管理学等专业毕业设计毕业论文

目录摘要 1前言 21我国内部控制面临的问题 41.1内部控制管理理论研究和实务运用发展不协调 41.2政府对内部控制法规的制定与推进力度不协调 51.3企业负责人对内部控制形式和实质的重视程度不协调 51.4内部控制执行者对内部控制制度的学习理解和执行态度不协调 62内部控制的概述 62.1控制环境 62.2风险评估 72.3控制活动 72.4信息与沟通 82.5监督评审 83内部控制与管理的关系 93.1内部控制是管理中至关重要的部分 103.2风险管理中的部分内容属于内部控制强化过程中的活动 114内部控制的特点 124.1内部控制有一定目标 134.2内部控制有一定目标 134.3内部控制不是单一的独立部分 144.4内部控制有局限性 145如何改善我国企业内部控制制度 155.1通过法律法规对内部控制有效性评价进行强制性规定 155.2建立统一科学的评价标准 155.3明确内部控制评价的内容 165.4设计一套科学的行动指南 165.5明确内部控制评价的时间范围 165.6管理层评价与外部审计师审核的协调一致性 176企业单位制定内部控制制度的基本目的 17参考文献 20

摘要建立和完善企业内部控制制度，是当前国企改革的重头戏。国內各界人士都在深入思考和尝试着实践这一重大改革措施，但到目前为止，人们对內部控制的认识还远未取得共识，尽管政府有关部门正在制定相应的规则，但有些重大的问题还有待深入研究和讨论，而且我国企业内部控制尚处在较低级的阶段，管理松弛、控制弱化，致使我国企业內部控制普遍薄弱。因此，加强內部控制是当务之急，特别是中国加入WTO之后，面对瞬息万变的外部环境，企业必须建立和完善內部控制制度，才能在日益激烈的竞争中求得生存和持续发展，以实现经营目标，增强企业竞争力。本文在內部控制理论研究的基础上，从企业內部控制现状出发，分析了我国企业内部控制薄弱的原因；借鉴国外先进经验，并结合我国的实际情况，建立一套内涵与外延统一，可操作性较强的內部控制标准体系；提出了完善我国企业内部控制制度的措施；并对我国企业內部控制制度典型案例进行了分析。以期为强化我国企业内部控制，制定企业内部控制制度提供借鉴和参考。关键字：内部控制制度

持续发展经营目标

标准体系前言内部控制问题是国内近10多年来，学术界和实务界共同关注的热门话题，许多都从不同角度对内部控制进行了研究和探讨，政府有关部门也积极推动内部控制制度的建设。从90年代新修订的《法》提出建立内部控制要求起，财政部、注册会计师协会、中国证监会、人民银行等也都相继颁布了有关内部控制的规范性文件，指导企业制定和运行适合本企业经营特点和管理要求的内部控制制度。国内许多企业也积极致力于自身内部控制建设，以此作为提升企业管理水平和经营业绩的重要途径。尽管我国在内部控制理论研究、实务运用以及政府政策引导等方面都取得了可喜的成就，但与发达国家相比，与我国改革开放的市场需要相比，尚有较大的差距。我国企业内部控制中存在着内部控制管理理论研究和实务运用发展不协调、政府对内部控制法规的制定与推进力度不协调、企业负责人对内部控制形式和实质的重视程度不协调、内部控制执行者对内部控制制度的学习理解和执行态度不协调等问题。内部控制是伴随着管理实践发展起来的内部管理机制。由于的发展、企业规模的扩大、内部职能部门的增多、经营活动的复杂化，企业必须不断改进和完善内部控制。针对我国企业内部控制方面存在的问题，笔者认为应该采用以下措施，推动我国内部控制理论和实践的发展。建立内部会计控制的必要性体现在：转换经营机制，建立现代企业制度，切实加强企业管理，提高企业经济效益的客观需要；贯彻新《会计法》等法律法规，加强会计核算，提高会计信息质量的必然要求；加入WTO后与国际惯例接轨、参与国际竞争的迫切需要。内部会计控制的目标是一个企业财务会计工作努力的方向，并且是为有效实现组织目标而设置的。内部会计控制目标不仅是企业管理经济活动、实施内部会计控制所要达到的标准，也是外部审计人员或社会中介机构评价企业内部会计控制系统的重要依据。良好的内部会计控制必须设有明确的目标。1我国内部控制面临的问题内部控制问题是国内近10多年来，学术界和实务界共同关注的热门话题，许多都从不同角度对内部控制进行了研究和探讨，政府有关部门也积极推动内部控制制度的建设。从90年代新修订的《法》提出建立内部控制要求起，财政部、注册会计师协会、中国证监会、人民银行等也都相继颁布了有关内部控制的规范性文件，指导企业制定和运行适合本企业经营特点和管理要求的内部控制制度。国内许多企业也积极致力于自身内部控制建设，以此作为提升企业管理水平和经营业绩的重要途径。尽管我国在内部控制理论研究、实务运用以及政府政策引导等方面都取得了可喜的成就，但与发达国家相比，与我国改革开放的市场需要相比，尚有较大的差距。

通过对内部控制近几年理论和实务发展现状的关注，笔者认为，我国的内部控制发展过程中存在以下几方面的问题。1.1内部控制管理理论研究和实务运用发展不协调内部控制管理理论研究和实务运用发展不协调与国内内部控制理论研究相比较而言，国外对内部控制理论研究要深入得多，尤其是以美国1992年发布、2004年修订的COSO报告为标志，将近代内部控制理论推向一个新的高峰。尽管如此，如果不能将完美的理论运用于企业日常管理实践，并融合于企业管理活动之中，从而产生良好的经营管理效果，这种理论的完美程度将大打折扣。因此，西方内部控制理论也需要在不断完善体系框架的同时，在简洁适用、融合管理、有机统一、纠错防弊、成本效益等方面实现突破，而不注重理论的实用性。国内内部控制理论研究大多停留在介绍和借鉴西方先进内部控制理论阶段，尽管国家财政部、人民银行、证监会等管理部门对各自分管行业内部控制实践进行了规范，但总的看来，既融合国际先进经验，又体现自主创新、适合我国企业经营特点和管理要求的研究和实践成果较少，内部控制理论和实践均缺乏突破性。1.2政府对内部控制法规的制定与推进力度不协调政府对内部控制法规的制定与推进力度不协调纵观国内外政府对内部控制制度实施的推进工作，可以发现，美国政府为保护社会公众利益，在推动《萨班斯法案》实施过程中所表现出来的决心和取得的经验值得我国政府学习和借鉴。尽管企业为达到《萨班斯法案》要求的内部控制标准付出的执行成本大幅度提高，但政府对内部控制的推动决心毫无动摇，企业必须达到《萨班斯法案》要求的内部控制标准，否则将被淘汰出局。有资料表明，为了达到《萨班斯法案》要求的内部控制标准，企业的CEO和CFO将自己三分之二的工作精力用于对内部控制要求的适应上。可以预见，美国企业对内部控制的实务运用水平将发生质的飞跃。反观我国，虽然政府已经制定并颁布不少内部控制方面的法规，同时也做了一定的宣传学习、指导和实施方面的工作，但由于对企业内部控制没有硬性要求，对企业内部控制活动还处于引导阶段，内部控制具体实施与否、实施效果如何则基本上由企业掌握，造成企业内部控制弱化、会计信息失真、经济犯罪屡屡得逞。1.3企业负责人对内部控制形式和实质的重视程度不协调企业负责人对内部控制形式和实质的重视程度不协调内部控制系统本应是内置于企业经营管理活动过程中的一项基础措施，与企业其他职能融合为一体。但由于内部控制制度的建立和实施将不得不增加企业的管理成本，企业负责人自觉运用内部控制的动力不足，对内部控制未予以足够的重视。在实际工作中，企业负责人为应付各种检查而比较重视内部控制体系设计和制度制定，忽视内部控制制度的执行和对内部控制实施效果的评价，从而使内部控制实施效果大打折扣。有的企业为应付检查，甚至不惜花费重金委托国内外咨询机构设计内部控制制度，但结果只是企业多了一份精美的文件，真正从中创造明显管理效益并不多。事实上，内部控制体系的设计、运行和评价三者有机协调，是实现内部控制功能的重要保证。如果内部控制制度执行不到位，内部控制机制很难发挥其应有的作用。1.4内部控制执行者对内部控制制度的学习理解和执行态度不协调内部控制执行者对内部控制制度的学习理解和执行态度不协调客观上，国外对内部控制理论和实务的研究尚未成成熟、完善，尤其是在简洁的操作性研究方面；国内对内部控制理论和实务的研究相对起步更晚。国内大多数企业的基层管理者对内部控制处于学习理解和逐渐摸索运用阶段。而且，我国企业内部控制侧重于内部会计控制，缺乏与其他管理活动有机地融为一体的权威性内部控制规范。由于我国企业内部控制实施面较窄，管理者的参与面也比较窄，政府对企业内部控制缺乏强制性要求和监管，使得企业基层管理者对内部控制理论知识理解不透、实务操作能力不强。2内部控制的概述2.1控制环境

控制环境构成一个单位的氛围，影响内部人员控制其它成份的基础，是推动控制工作的发动机。它奠定组织的风纪和结构，并且涉及到所有活动的核心人，特别是人的控制觉悟，还反映政府、银行、非银行金融机构以及生产性企业的各级管理层对内控的要求。控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。主要的问题是管理层要充分说明内控的完整性；公司要有积极的控制环境，使整个组织中的员工具有控制觉悟和自觉的控制态度，特别是高级管理层要积极地进行控制；员工的能力与其责任要相匹配。巴塞尔委员会有关管理监督和控制文化方面的原则包括：员工的诚实性和道德观。如有无描述可接受的商业行为、利益冲突、道德行为标准的行为准则；（1）员工的胜任能力。如雇员是否能胜任质量管理要求；（2）董事会或审计委员会。如董事会是否独立于管理层；（3）管理哲学和经营方式。如管理层对人为操纵的或错误的记录的态度；组织结构。如信息是否到达合适的管理阶层；（5）授予权利和责任的方式。关键部门的经理的职责是否有充分规定；（6）人力资源政策和实施。如是否有关于雇佣、培训、提升和奖励雇员的政策。2.2风险评估

风险评估，指管理层识别并采取相应行动来管理对经营、财务报告、符合性目标有影响的内部或外部风险，包括风险识别和风险分析。风险识别包括对外部因素(如技术发展、竞争、经济变化)和内部因素(如员工素质、公司活动性质、信息系统处理的特点)进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等。对风险的分析评估构成风险管理决策的基础。

风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险（如银行要面对信贷风险、国家和转移风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉风险。需要不时调整内控，以便恰当地处理任何新的或过去不加控制的风险。2.3控制活动控制活动，指对所确认的风险采取必要的措施，以保证单位目标得以实现的政策和程序。实践中，控制活动形式多样，可将其归结为以下几类：（1）业绩评价，是指将实际业绩与其他标准，如前期业绩、预算和外部基准尺度进行比较；将不同系列的数据相联系，如经营数据和财务数据，对功能或运行业绩进行评价。这些评价活动对实现企业经营的效果和效率非常有用，但一般与财务报告的可靠性和公允性相关度不高。（2）信息处理，指保证业务在信息系统中正确、完全和经授权处理的活动。信息处理控制可分为两类：一般控制和应用控制。一般控制与信息系统设计和管理有关，如保证软件完整的程序、信息处理时间表、系统文件和数据维护等；应用控制与个别数据在信息系统中处理的方式有关；如保证业务正确性和已授权的程序。（3）实物控制，也称为资产和记录接近控制，这些控制活动包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。实物控制中防止资产被窃的程序与财务报告的可靠性有关，如在编制财务报告时，管理层仅仅依赖于永续存货记录，则存货的接近控制与审计有关。（4）职责分离，指将各种功能性职责分离，以防止单独作业的雇员从事或隐藏不正常行为。一般来说，下面的职责应被分开：业务授权(管理功能)、业务执行(保管职能)、业务记录(会计职能)、对业绩的独立检查(监督职能)。理想状态的职责分离是，没有一个职员负责超过一个的职能。2.4信息与沟通信息与沟通，指为了使职员能执行其职责，企业必须识别、捕捉、交流外部和内部信息。外部信息包括市场份额、法规要求和客户投诉等信息。内部信息包括会计制度，即由管理当局建立的记录和报告经济业务和事项，维护资产、负债和业主权益的方法和记录。有效的会计制度应是：包括可以确认所有有效业务的方法和记录；序时详细记录业务以便于归类，提供财务报告；采用恰当的货币价值来计量业务；确定业务发生时期以保证业务记录于合理的会计期间，在财务报告中恰当披露业务。沟通是使员工了解其职责，保持对财务报告的控制。它包括使员工了解在会计制度中他们的工作如何与他人相联系，如何对上级报告例外情况。沟通的方式有政策手册、财务报告手册、备查簿，以及口头交流或管理示例等。2.5监督评审监督评审，是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。监督评审可以是持续性的或分别单独的，也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等等。在监督评审活动和缺陷的纠正方面应当遵循下述原则：（1）应当不断地在日常工作中监督评审内控的总体效果。对主要风险的监督评审应当是公司日常活动的一部分，并且各级经营层和内部审计人员应当定期予以评价。（2）对内控系统应当进行有效和全面的内部审计。内部审计要独立进行，应得到适合的培训，并配备称职和得力的人员。内审作为内控系统监督评审的一部分，应当向董事会或其审计委员会直接报告工作，并向高级管理层直接报告。（3）不论是经营层或是其他控制人员发现了内控的缺陷，都应当及时地向适当的管理层报告，并使其得到果断处理。应当把有关物质的内控缺陷报告给高级管理层和董事会。上述五种成份实际上内容广泛，相互关联。控制环境是其他控制成份的基础，在规划控制活动时，必须对企业可能面临的风险有细致的了解和评估；而风险评估和控制活动必须借助企业内部信息有效的沟通；最后，实施有效的监控以保障内部控制的实施质量。而且，这五大组成部分与前述三大目标有机地相结合，构成了内控的完整体系。COSO是为各行各业提出这一思路的。我们要从内部控制的三大目标出发，去考察本单位上述五大组成部分的各个方面，看是否具备健全的内部控制，以及是否得以认真贯彻实施。审计检查的方法和评价的标准也应当沿着这条思路，按照这个有机结合的整体去设计。3内部控制与管理的关系

不了解内部控制与管理的关系，就不可能充分加强内部控制工作。有人认为管理就是内部控制，抓了管理，内部控制自然就到位了，因而也没有必要特别强调内部控制。也有人认为内部控制是内部审计（稽核）部门的工作，抓内部控制应该由内部审计部门牵头。有些内部或外部的审计人员在进行内部控制检查的时候，也因认识模糊而无从下手。因此，很有必要搞清内部控制与管理的关系。3.1内部控制是管理中至关重要的部分从广义上讲，管理是管理者确立目标和战略，并通过一定的组织形式、规章制度和操作方法去实现目标的全过程。管理者要执行聘用合同，为公司或银行的所有者的利益确定明确的管理目标，包括全局整体性目标和各项业务活动水平上的目标，然后制定各种战略和实施计划。管理者要以一定的组织形式为依托，以一定的规章制度为依据，采取种种方法去实现既定的目标。管理者有责任控制局面，并解决和纠正在监督检查各项经营管理活动中所发现的问题和错误，包括对有问题责任人的追究和处罚。由于所定的目标和战略计划会对管理单位（如企业）的行为产生影响，管理科学运用科学的原则和分析性方法，研究企业的行为。在发达国家，不论学术界还是实业界都日益重视公司治理结构的研究，以求实现投资者应得的回报。先进正确的管理方法加上计算机的广泛运用，大大促进了管理的合理化和效率。广义上的管理涵盖比内控更为广泛的内容，并不是所有的管理活动都是内控活动，也并不是说非内控性的管理活动就都不重要了。比如，设定目标的决策就是一种很重要的管理责任，为内控提供了前提条件。在国外，公司的所有者代表（董事会）也要参与甚至领导这种决策。但是，重大目标的最初设定并不是在内控的工作范围之内。同样，许多管理方面的具体决策和一般性活动并不都代表内控。然而，问题的关键并不在这里，而在于内部控制是管理中至关重要的部分。管理的学问就在于抓住管理活动中的那些对实现目标至关重要的部分，也就是毛泽东所说的“研究任何过程……要用全力找出它的主要矛盾”。比如，COSO等理论所描述的内控内容中都列举了许多控制要素和风险，这些都是管理者必须关注的地方。又如，尽管COSO认为错误的纠正行动不应属于内控活动，但是巴塞尔委员会却将其列为内控的范围。原因很显然，纠正错误已成为管理的一项重要内容，直接影响到目标的实现。同理，战略计划和风险管理这些本来被COSO视为非内控性活动，却被巴塞尔委员会分析为内控范围之内的活动了。尽管目标的最初设定是内控的前提条件，但是内控并没有完全放弃对这方面的关注，内控的重要职能之一又是监督目标的设定和实现过程。至于业务活动水平上的目标的设立，虽然也被COSO视为非内控性的活动，但在COSO提出的内控操作方法中（例如在其《参考手册》和《内部控制与风险评估工作表》中），这些目标都是内部控制所关注的重要内容。3.2

风险管理中的部分内容属于内部控制强化过程中的活动

风险是针对目标而言的。风险实际上就是可能妨碍目标实现的种种问题和困难。这样看来，风险的概念就扩大了。比如，一个武士在张弓搭箭，射向猎物的时候，他的目标是射中猎物，而他的风险就存在于他射击猎物的全过程。首先，他本人的素质，他的精、气、神，他的体力和视力。其次，他的弓箭的质量。再次，猎物的大小、距离和移动速度。此外，狩猎时的环境、气候条件（风速）等外部干扰因素，也构成对击中目标的风险。对一家公司而言，风险既预示着机遇，又会影响其竞争能力，并影响其维持融资的能力以及保持和提高其产品与服务质量的能力。风险是如此之广泛，以至于有人认为风险管理就是内部控制，甚至风险管理包括了内控。把两者混淆的问题在于没有看到内部控制是管理的更本质性的内容。诚然，风险管理是整个管理活动系列的重要组成部分。一般可指风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等等。风险管理的一系列具体活动并不都是内部控制要做的。特别是内控并不负责风险管理目标的具体设立，这是管理过程起始阶段的活动。风险评估是对可能发生的不利条件或事件进行评价，并做出完整的专业性鉴定的一种系统过程。当然，风险评估首先要注意目标问题，因为，没有明确的目标，也谈不上目标实现的风险。但是在目标方面，内部控制并不是目标的制定活动，而是对目标制定的评价工作，特别是对目标和战略计划制定当中风险的评估，风险管理目标的设立为内控中的风险评估提供了前提条件。内控所负责的是风险管理过程中间及其以后的重要活动，比如，对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。内部控制强调评估经营管理活动中突出的风险点（当然，这些风险点不是固定不变的），建议经营管理人员针对这些风险点实施必要的控制活动。这里所评估的既有内部的风险，又有外部的风险。那种以为内控只是控制某单位的内部风险的观点是有片面性的。COSO和巴塞尔委员会都认为，内控的过程涵盖了公司所面对的，并在公司内由各级人员所经营的所有的内部和外部的风险。然而现实中的风险管理却很实在，风险管理不同于内部控制之处在于，典型的风险管理比较关注特定业务的战略的评审，旨在通过比较不同公司业务领域内的风险与报酬来使收益最大化。现实情况中的风险管理一方面有其特有的内涵和现实的范畴，另一方面也在某些内容上与内部控制相交叉。COSO认为风险管理不属于内部控制的范围，而是非内控性的管理活动，这种分析也是有片面性的。特别是风险管理在“风险的识别与评估”和“控制活动与职责分离”等内控内容中，与内部控制相交叉，属于内控强化过程中的管理活动。然而，内部控制还包括“管理层的监督与控制文化”、“信息与交流”和“监督评审与缺陷的纠正”等重要的内容。在现实中，管理层的监督并不是没有，而是远远没有强调到某种“控制文化”的程度。“信息与交流”和“监督评审与缺陷的纠正”这两大内容的内部控制也没有达到现代内控原理的要求。特别应该指出，风险管理的全部活动都在内控的监督评审之下，不外乎一些国内外专家认为，内控涵盖了风险管理。内控的确处在比风险管理更高的层次上，尽管内控并没有超出广义管理的大范围。4内部控制的特点关于内部控制的属性，即内部控制的本质，曾经有以下几种观点：有的认为，内部控制是审计活动的组成部分，它属于审计学的范畴；有的认为内部控制是企业管理活动的组成部分，它属于企业管理学范畴；还有认为，内部控制系统是企业经营管理活动的组成部分，它属于企业经济管理学，即微观经济管理学的范畴。实际上，不同部门的人从不同的角度对内部控制会有不同的看法。现代内部控制理论试图提出能被普遍接受的内控定义，以便满足不同单位的需要。当前普遍被接受的就是美国审计权威机构COSO的定义，即内部控制是一个受某单位不同层次的人影响的过程，而设计这一过程是为了实现下述三大目标提供合理的保证：经营的效果和效率；财会报告的可靠性；对现行法规的遵守。内部控制在不同的经济体制下有不同的内涵，尽管其中的某些内容会有一致性。在我国，计划经济体制下，国有企业的控制模式为实现国家计划服务。由于国家计划规避了大部分市场风险，国营企业的控制方式具有浓厚的行政管理色彩。现在，企业的控制模式为社会主义市场经济服务，在新的形势下有两种倾向值得注意：一是一部分人习惯于甚至满足于传统的经营管理方式，认为只要能够规范化操作就行了，不必考虑是否先进。这就混淆了不同性质经济中的企业在服务对象和控制方式上的不同。二是虽然大家意识到改革的必要性，但是容易片面强调改革组织结构的重要性，忽视了控制方式的跟进和强化。这就使公司的改革同微观治理机制相脱离。不论是维持传统的经营管理方式，还是片面以改革取代控制的观念，都已经被实践证明是有害的。内部控制的目标是在控制主体运用一定的控制手段作用于客体的过程中实现的，但内部控制本身并不只是一种管理制度或管理手段。因此，我们认为，从本质上说，内部控制是就是为了实现控制目标，针对企业内部各生产要素和各项经济业务活动，由企业经营管理者制定并由内部全体员工实施的组织结构、程序、标准、方法措施等形成的一种自我检查、自我调整和自我制约系统，它是企业经营管理活动的重要组成部分。结合上述对内部控制认识的发展过程看，内部控制具有以下特点：4.1内部控制有一定目标

内部控制有一定目标。内部控制的目的在于根据其具有的反馈和前馈功能满足所有者利益要求和企业自身利益的发展。良好的内控系统应能够确保财务报告的可靠性、经营的效果和效率、符合适用的法律和法规三大目标的实现，这些目标既是互相区分的，又是紧密联系的。具体包括：规范单位内部管理行为、有效防范经营风险、保护所有者权益、促进国家法律制度贯彻实施、保护资产安全、验证会计信息可靠、促使业务运营与管理政策一致、提升员工道德水平等等。虽然内部控制不能防止所有职员的舞弊行为，但有助于尽早发现舞弊行为并限制其不利影响。4.2内部控制有一定目标

内部控制有一定目标，而不只是政策、守则或表格，而且内部控制也不仅仅是单位的事，它涉及到整个社会的经济秩序和国家、公众的利益，其制定和实施受企业内、外环境影响。因为企业的内部控制首先表现为所有者对经营者的控制，其次表现为企业内部自身的控制内容，另外还表现为社会对企业的控制内容。所以，企业的经营者、员工既是施控体，也会是受控体，而内部控制都是针对他们设立和实施的。显然，企业内、外部环境直接影响到控制的效率与效果。4.3内部控制不是单一的独立部分内部控制不是单一的独立部分。它是一种程序，意味着向某一终点努力，但不是终点本身；它是贯穿在企业经营过程并与经营过程结合在一起的连续行动的过程，从而使经营过程发挥其应有的功能，并监督企业经营过程的持续进行。4.4内部控制有局限性内部控制有局限性，即内部控制系统越严格，成本就越昂贵。并且，由于效率与控制是相互防碍而非相互促进，所以过于复杂的内控系统也可能使人纠缠于复杂的公式程序中。只能期待内部控制为公司管理层提供合理的保证，而不是绝对的保证。因为，一方面，企业的内部控制应能合理地确保基本经营目标的实现；但不能把一个本质上很坏的经营者变好，不能左右政府政策和计划的改变，以及竟争对手的行为和客观经济条件的变化；而另一方面，内部控制应能确保财务报告的可靠和合法合规，但不能绝对保证做到这一点，而只能合理保证。这些目标的实现受到内控制度内在的限制，包括决策者失误和决策错误导致的经营中断。控制还可能被两个或两个以上的人合谋制约，管理层也有能力践踏内部控制制度。此外，内控制度的设计还受到人、财、物等资源的约束。内部控制的建立健全和完善是一个长期的工作，我国的内部控制规范才刚刚开始，在此过程中，适当地借鉴美国等发达国家的有益经验和实际做法，可以为我国的会计服务市场的发展和内部控制评价的认识提供新的视角。目前，如何遵循404条款对财务报告内部控制有效性进行评价，美国的证券交易委员会已经形成了最终的规则，而美国的注册会计师公会还没有形成最终的审计准则，我们应进一步关注其进展，并结合我国的实际情况，加强建立健全符合我国国情的内部控制评价框架，以完善我国的内部控制评价工作。5如何改善我国企业内部控制制度

我国自20世纪90年代起开始加大政府对内部控制的推动作用。现有的法律法规和行政规范中多项涉及到内部控制的内容。可以看出，政府监管部门对单位内部控制的建立健全提出了一定的要求，但没有对管理层进行内部控制制度有效性评价提供实质性指导，从而造成不同公司的管理层在进行内部控制的有效性评价时没有一个统一的标准。与此同时，我国的内部会计规范才刚刚开始，一套完整的内部会计控制规范体系的建立还有待时日，这也给内部控制有效性评价增加了难度。《萨班斯——奥克斯利法案》404条款、证券交易委员会发布的最终规则以及会计师事务所提供的报告，对我国财务报告内部控制有效性评价具有一定的启发和借鉴意义，应该在如下方面做出努力：5.1通过法律法规对内部控制有效性评价进行强制性规定目前，仅有2001年10月证监会发布“关于做好证券公司内部控制评审工作的通知”中对内部控制评审提出了明确的规定，即要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审，会计师事务所应当向证券公司提交内部控制评审报告。而在其他规范中，没有对管理层进行财务报告内部控制有效性评价提出强制性规定。面对我国上市公司的经营失败和公司舞弊指控的增多，财务报告内部控制的重要性日益显现，这就对财务报告内部控制有效性进行评价提出了新的要求。我们应借鉴国外的经验，在相关法律法规中对内部控制评价提出明确的要求，以将财务报告错误表述的风险降低到一个恰当的水平。5.2建立统一科学的评价标准

美国的相关法律条款和实务都对在内部控制评价的早期确定科学的评级标准提出了要求，认为应采用诸如C0SO报告提出的内部控制完整框架的公认标准，作为财务报告内部控制有效性评价的标准。目前我国内部控制评价实务中，管理层建立健全有效的内部控制，一般是参照财政部发布的《内部会计控制规范——基本规范（试行）》进行的，内容主要是以单位的内部会计控制为主，同时兼顾与会计有关的控制；独立审计师内部控制审核业务则是根据中国注册会计师协会发布的《内部控制审核指导意见》进行的。由于缺乏一套完整的内部控制体系，造成内部控制有效性评价流于形式，没有和财务报告审计中的内部控制评价明显区分开来。因此，投入一定的人力、物力、财力，尽早建立一套完整的、公认的内部控制标准，使内部控制评价有章可循是必要的。5.3明确内部控制评价的内容

目前我国理论与实务界没有对内部控制评价的内容形成一致的意见。由于独立审计师对财务报告内部控制有效性进行审计时，主要是针对财务报告形成过程中所有重要的内部控制有效性进行评价，因此在确定内部控制评价的内容时，一方面应根据注册会计师与委托人达成的业务约定书内容，另一方面，还需要考虑审计师在审计初期确定的审核标准。5.4设计一套科学的行动指南为管理层进行内部控制有效性评价提供指引。可以借鉴KPMG和McGladrey＆Pullen会计师事务所报告中的做法，在单位内部组建由高级管理人员组成的专门小组，分步骤有计划地对内部控制的设计和执行情况进行检查和评价。单位可以聘请年报审计的注册会计师之外的中介机构或有关专业人员协助对本单位的内部控制的建立健全及有效性进行评价，并对评价过程中发现的重大控制缺陷或重要控制弱点进行必要的改进，保证财务报告的编报质量，降低财务风险。5.5明确内部控制评价的时间范围

尽管独立审计师发表的内部控制评价报告是针对特定时点进行的（一般是与所审计会计报表期间的期末资产负债表日相一致），但审计人员对内部控制有效性与否进行的测试工作则涵盖了一段时间。因此，KPMG会计师事务所提供的报告要求，管理层应该保证投入运行的内部控制必须运行了一段足够的时间，以便于审计师实行执行有效性测试工作。在确定我国内部控制有效性评价的时间范围时，应借鉴国外的有益经验，针对一段时间内的内部控制的有效性进行评价，并在管理层关于财务报告内部控制的申明中明确报告的期间范围，对超过一定期限的内部控制评价结果，还需要取得额外的证据来支持最终的评价结果。5.6管理层评价与外部审计师审核的协调一致性管理层对内部控制有效性负责，必须选择适当的控制标准对公司的内部控制有效性进行评价，并获取足够的证据来支持最终的评价结果，同时需要签署一份关于公司内部控制有效性的书面申明。而审计师需要对管理层最终形成的内部控制评价报告意见提供足够的恰当证据。所以管理层应该加强与外部审计师的交流和沟通，例如所确定的重要的内部控制内容及原因；对重要内部控制形成的文件的完整性以及设计的合理性如何；在进行重要控制的执行有效性评价时采取的程序是否科学合理；发现的内部控制缺陷及其重要性如何，采用的改进措施是否有效等。管理层、内部审计人员以及管理层雇用的第三方的测试工作只能作为外部审计人员内部控制评价工作的一部分，但审计师还需要重复相关的测试工作，并进行