内部控制文档.docx

1、内部控制文档一、国内外研究综述 1、国外内部控制理论研究 内部控制是20世纪中叶随着现代经济发展而建立起来一个重要管理方法。它内容和定义随着现代经济管理技术进步和管理范围不断拓展而不断丰富和发展。国外对内部控制理论研究以美国为代表从两点论、三点论、五点论发展到八点论，日臻完善。 (1)两点论。1949年美国会计师协会审计程序委员会(CAP)在内部控制，一种协调制度要素及其对管理当局和独立注册会计师重要性报告中，首次对内部控制做出了权威性定义：“内部控制包括组织机构设计和企业内部采取所有相互协调方法和措施。这些方法和措施目在于保护企业财产，检查会计数据准确性，提高经营效率，促进企业执行既定管理政

2、策。此定义将内部控制范畴扩大了，跳出了单纯会计控制。进而，该委员会在1958年10月发布审计程序公告第29号将内部控制划分为会计控制和管理控制。 (2)三点论。1988年美国注册会计师协会(AICPA)发布审计准则公告第55号，首次以“内部控制结构提法替代“内部控制指出：“企业内部控制结构包括为取得企业特定目标合理保证而建立各种政策和程序。该公告将内部控制结构划分为三个要素：控制环境、会计制度、控制程序。该理论与两点论相比，有两个明显特征：一是将内部控制环境纳入到内部控制范畴中，二是不再区分会计控制和管理控制。这些反映了当时有关内部控制实务操作和理论研究新动向。(3)五点论。1992年美国反虚

3、假财务报告委员会发起组织委员会(COSO)在其研究报告I：内部控制整体框架中将内部控制定义为：“内部控制是由企业董事会、经理阶层和其他员工实施，为达到营运效率效果、财务报告可靠性、相关法令 遵循性目标而提供合理保证过程。该报告将内部控制分为五个要素：控制环境、风险评估、控制活动、信息与沟通、监督。这一理论将内部控制从平面结构发展为立体框架模型，对世界各国都产生了极为深远影响，加拿大COCO，英国Cadbury等在一定程度上都借鉴了COSO理论。 (4)八点论。2004年COSO受到美国萨班斯奥克斯法案及国际审计与鉴证准则委员会修订审计准则影响，发布了企业风险管理整体框架(简称ERM)，将内部控

4、制框架扩展为q企业风险管理框架斗。该框架包括四项目标和八个要素，四项目标是：战略目标、经营目标、报告目标、合法目标，八个要素为：内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。可以看出，此框架与之前框架相比，对风险管理倾注了更多关注，而且积极倡导企业战略规划和长远发展。这意味着，内部控制已经由过去面向实际过程控制发展到面向未来过程不确定性控制。这无疑是内部控制理论上又一次质飞跃。2、国内内部控制理论研究 国内对内部控制研究正逐步和国际接轨，但由于本身起步较晚。上世纪90年代，我国股票市场发展初期，会计信息失真情况愈演愈烈，从“深圳原野，、“琼民源，、“红光，到后来

5、“郑百文，、“银广厦，等层出不穷。虚假会计信息给社会带了震荡、给社会经济带来不良影响直接引发了对内部控制关注，首先发难是代表政府监管机构，包括财政部、证券监督管理委员会(以下简称证监会)。当然向其他学科一样，对国外、特别是对美国内部控制理论发展关注与借鉴也大大影响了我国内部控制理论发展。截至目前为止，我国对内部控制研究具有代表性成果体现在以下几个法规中。截至目前为止，我国对内部控制研究具有代表性成果体现在以下几个法规文件之中。二、内部控制理论演进 内部控制是社会生产力发展到一定阶段产物，随着现代经济发展而建立并得 以不断发展，后逐渐成为现代企业管理不可或缺一个部分。关于内部控制理论始于二十世纪

6、四十年代“内部牵制理论，其后经历了内部控制制度理论、内部控制结构理论、内部控制整体框架理论及企业风险管理框架理论等几个不同阶段。 1、内部牵制理论 二十世纪四十年代，美国著名审计学家蒙哥马利在其审计学一书中首先提 出了搿内部牵制制度理论，即凡涉及财产和货币资金收付、结算及其登记任何一项工作，规定须由两人或两人以上来分工掌管，以起到相互制约、内部牵制目。其基本思想是两个人或两个以上行为主体同时犯错可能性小于单一主体，两个人或两个人以上共同舞弊难度远大于一个人。主要设想是要求以任何个人或部门不能单独控制任何一项或一部分业务权利方式进行组织上责任分工，而每项业务可以通过正常发挥其它个人或部门功能进行

7、交叉检查或交叉控制。实践证明，内部牵制机制有效减少了错误和舞弊行为。而且，在现代内部控制理论中，内部牵制仍占有重要地位，是有关组织机构控制、职务分离控制基础。 2、内部控制制度理论 二十世纪四十至七十年代，内部控制理论发展到内部控制制度阶段。这一时期内部控制，强调保护企业资产完整，保证会计资料可靠性和准确性，提高经营效率，并且推动管理部门所制定各项政策得以贯彻执行。前两点是会计控制目标，后两点则是管理控制目标。所以，这一时期内部控制制度思想分为内部会计控制和内部管理控制两个部分。内部会计控制由保全资产和保证财务记录真实准确性相关经营管理计划及程序、凭证记录组成，旨在保证：按照管理层总或具体授权

8、从事经营与交易业务；业务活动凭证纪录，包括财务报表，必须根据公认会计准则或其他法规许可标准来准备；只有管理层授权才被允许接近资产；定期对资产帐面记录与现存资产进行核对，并对可能出现任何差异采取适当措施。内部管理控制包括但不限于与管理层业务授权相关组织机构计划、决策程序及书面规章制度。这种授权是直接与达到机构目标相联系一种管理职责，是建立交易业务会计控制起点。 3、内部控制结构理论 二十世纪八十年代以后，内部控制理论研究又有了新发展。美国注册会计师协会于1988年5月发布了审计准则公告第55号公告，提出了内部控制结构理论企业内部控制结构包括为合理保证企业特定目标实现而建立各种政策和程序。内部控制

9、结构包括控制环境、会计制度和控制程序三个部分：所谓控制环境是指对建立、加强或削弱特定政策和程序效率发生影响各种因素。会计制度规定各项经济业务确认、分析、分类、记录、计量和编报方法，明确各项资产和负债经营管理责任。控制程序指管理当局所制订用以保证达到一定目方针和程序。这一内部控制理论不再区分会计控制和管理控制，并将内部控制环境正式纳入内部控制范畴。 4、内部控制整体框架理论 二十世纪九十年代以后，内部控制已经成为企业管理科学化重要标志，有关内部控制研究也取得了新突破，1992年9月，美国反虚假财务报告委员会发起组织委员会(COSO)提出了内部控制整体框架理论，该理论认为内部控制是一个自行检查、制

10、约和调整内部业务活动自律系统，其贯穿于经营活动全部过程，并受企业董事会、管理阶层及其他人员影响。在COSO报告中第一次提出了“内部控制系统一概念，以此来代替从前“内部控制结构。报告对内部控制定义表述为：内部控制是一个过程，该过程受到公司董事会、管理层和其他人员影响，其目是为下列目标实现提供合理保证。这些目标包括经营有效性和效率、财务报告可靠性与遵守法律法规。COSO委员会认为内部控制由五大相互联系要素构成，即：控制环境、风险评估、控制活动、信息与沟通、监督。 第一，控制环境。控制环境是推动控制工作引擎，是所有内控组成部分基础，反映董事会、管理者、业主和其他人员对控制态度和行为。主要包括以下内容

11、：管理哲学和经营作风、组织机构、董事会和审计委员会职能设置、人事制度和程序、职权与责任确认方法、管理者检查监督工作所用控制方法，还涵盖经营计划、预算、预测、利润计划、责任会计和内部审计制度等。 第二，风险评估。每个企业都面临来自内部和外部不同风险，风险会直接或间接地影响企业生存和发展，所以对于风险都应当加以评估。评估风险首先要制定目标(包括营运目标、财务目标及遵循法律目标等)，而后在经营过程中不断识别和评估实现所定目标可能会发生风险，并有针对性地采取必要措施。 第三，控制活动。控制活动是确保管理方针得以实施一系列制度、程序和措施。它存在于企业内各管理阶层和功能组织之间，主要包括：高层检查分析、

12、直接部门管理、审批、授权、对信息处理控制、会计控制、绩效指标比较、资产保全及职责分工等。 第四，信息和沟通。企业在其经营过程中，必须按某种形式在一定时期内取得适当信息，并及时沟通，以使员工能够更好地执行、管理和控制作业过程。信息包括企业内部所产生信息以及企业外部事项、活动及环境等有关信息。企业所有员工必须从管理层清楚地获得自己应承担控制责任信息，而且必须有向上级部门沟通传递重要信息途径，并对外界如顾客、供应商、政府主管部门和股东等作有效沟通。 第五，监控。监控是确保内部控制得以有效运作重要措施，它是一个不断评估系统质量过程。监控是经营管理部门对内部控制管理监督和稽核部门对内部控制再监督和再评价

13、活动总称。只有持续不断地、经常性地对内部控制进行监控才能维护和提高整个内部控制系统有效性和可靠性。 5、企业风险管理框架理论 二十世纪末期，审计实务界已开始探索以风险管理为核心审计新路子，并形成了风险导向审计崭新模式。COSO报告事实上已经反映了这种动向，“风险评估成为内部控制五大要素之一就是证明，但与审计实务还有差距。进入二十一世纪，这种趋势愈发明显，随着2002年底国际审计与鉴证准则委员会修订审计准则表示对风险导向审计模式全面认同，加上美国萨班斯奥克斯法案直接影响，COSO及时充实了内部控制框架，将其扩展为“企业风险管理框架，并于2004年8月正式布。根据该框架，企业风险管理包括了四项目标

14、和八个要素。四项目标是：战略目标、经营目标、报告目标、合法目标。八个要素为：内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。 新风险管理框架比起内部控制框架，无论在内容还是范围上都有所扩大和提 高，具体表现在： (1)提出一个新观念风险组合观。企业风险管理要求企业管理者以风险组合观点看待风险，对相关风险进行识别并采取措施使企业所承担风险在风险偏好范围内。对企业内每个单位而言，其风险可能落在该单位风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体风险偏好范围。因此，应从企业总体风险组合观点看待风险。企业目标分为经营、财务报告和合法目标。企业风险管理框架也包含

15、三个类似目标，但是其中只有两个目标与内部控制框架中定义相同，财务报告目标界定则有所区别。内部控制框架中财务报告目标只与公开披露财务报表可靠性相关，而企业风险管理框架中报告目标范围有很大扩展，该目标覆盖了企业编制所有报告。此外，企业风险管理框架比内部控制框架增加了一个目标战略目标，该目标层次比其他三个目标更高。企业风险管理既应用于实现企业其他三类目标过 程中，也应用于企业战略制定阶段。(2)增加一类目标一战略目标，并扩大了报 企业目标分为经营、财务报告和合法目标。企业风险管理框架也包含三个类似目标，但是其中只有两个目标与内部控制框架中定义相同，财务报告目标界定则有所区别。内部控制框架中财务报告目

16、标只与公开披露财务报表可靠性相关，而企业风险管理框架中报告目标范围有很大扩展，该目标覆盖了企业编制所有报告。此外，企业风险管理框架比内部控制框架增加了一个目标战略目标，该目标层次比其他三个目标更高。企业风险管理既应用于实现企业其他三类目标过程中，也应用于企业战略制定阶段。 (3)针对风险度量提出两个新概念风险偏好和风险容忍度。针对企业目标实现过程中所面临风险，风险管理框架对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看，风险偏好是指企业在实现其目标过程中愿意接受风险数量。企业风险偏好与企业战略直接相关，企业在制定战略时，应考虑将该战略既定收益与企业风险偏好结合起来，目是要帮助企业管理

17、者在不同战略间选择与企业风险偏好相一致战略。风险偏好概念是建立在风险容忍度概念基础上。风险容忍度是指在企业目标实现过程中对差异可接受程度，是企业在风险偏好基础上设定对相关目标实现过程中所出现差异可容忍限度。在确定各目标风险容忍度时，企业应考虑相关目标重要性，并将其与企业风险偏好联系起来。 (4)增加了三个风险管理要素，对其他要素分析更加深入，范围上也有所扩大。企业风险管理框架新增了三个风险管理要素“目标制定肘、“事项识别”和“风险反应。目标制定指根据企业确定任务或预期，管理者制定企业战略目标，选择战略和确定其他与之相关目标并在企业内层层分解和落实。在风险管理框架中，由于要针对不同目标分析其相应

18、风险，因此目标制定自然就成为风险管理流程 首要步骤，并将其确认为风险管理框架一部分。事项识别指由于不确定性存在，使得企业管理者需要对这些事项进行识别。企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素，而且可能在企业各个层面上出现，并且应根据对 实现企业目标潜在影响来确认风险。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项起因，对企业过去和未来潜在事项以及事项发生趋势进行计量。风险应对可分为规避风险、减少风险、共担风险和接受风险四类，作为风险管理一部分，管理者应比较不同方案潜在影响，并且应在企业风险容忍度范围内假设下，考虑风险应对方案选择。在个别和分组考虑风险各反应方案

19、后，企业管理者应从总体角度考虑企业选择所有风险反应方案组合后对企业总体影响。除上述新增要素外，针对企业将管理重心移至风险管理，风险管理框架更加深入地阐 述了其他要素内涵，并扩大了相关要素范围。以上内部控制理论演进过程是环环相扣，循序渐进，每一阶段都是对之前理论丰富和扩展，内部控制内涵和外延在此过程中得到不断地提升。就我国目前 实际情况而言，虽然有许多人对内部控制认识还很滞后，仍旧停留在内部控制制度 理论和内部控制结构理论阶段，但内部控制整体框架乃至风险管理框架建立已经成为必然趋势。 三、内部控制基本内容1内部控制主体 内部控制产生于单位管理需要，存在于单位生产经营活动之中，是其内部管理重要组成

20、部分，这就决定了内部控制主体只能是单位经营管理者。2内部控制客体 内部控制客体，是指内部控制实施对象，也就是说在什么范围内对什么内容进行控制。内部控制主要是对单位生产经营活动进行管理和控制，因此，内部控制客体就是单位内部生产经营活动。生产经营活动范围相当广泛，既包括活动主体、活动过程，也包括活动结果，具体可归纳为五个方面:单位经营管理者和生产者:单位内部各组成机构:单位各项资产、负债和所有者权益;单位信息载体和信息处理，以及单位各种经济业务活动。3内部控制目标 内部控制目标，是指制定和实施内部控制要实现目或欲达到效果，它是单位内部控制预期结果和基本任务统称。归纳起来，内部控制目标包括:( 1

21、) 维护财产物资安全、完整;( 2 ) 保证会计信息真实、可靠;( 3 ) 保证生产经营活动经济性、效率性和效果性;( 4 )保证各项法律规范遵循。四、风险管理4.1风险和风险管理风险自古有之，古代人类与艰难环境进行不懈争斗，目就是为了减少死亡风险，增加生存几率。随着人类社会和经济文化不断发展，人类自身生存环境已大有改善，可对于企业来说情况却恰恰相反。尤其是二战之后，由于社会、经济结构改变，科学技术进步和跨国公司大量出现，企业面临环境瞬息万变，风险无处不在。风险不仅伴随着企业经营每一个时刻，亦存在于企业生产经营过程每一个环节。只有那些重视风险并对风险进行有效管理企业，才能化风险为机会并在生存中

22、求得发展。4.2风险定义风险一词最初是指不确定性。早在19世纪，西方古典经济学家就提出了风险概念，认为风险是经营活动副产品，经营者收入是其在经营活动中承担风险报酬。最早提出风险概念美国学者海恩斯H(yane)s在其1895年出版著作Risk as Economic Factor中写到：“风险一词在经济学和其他学术领域中并无任何技术上内容，它意味着损害或损失可能性。偶然性因素是划分风险本质特征，某种行为能否产生有害后果应以其不确定性而定。如果某种行为具有不确定性，则该行为就承担了风险”。1972年，J.5.Rosnebloom将风险定义为损失不确定性。在1984年F.GCrnae认为风险是指未来

23、损失不确定性。经济学家对风险这一概念有着大量研究。在这方面，奈特贡献是经典。其贡献在于通过对风险与不确定性区分，来理解人行为对风险本身影响。奈特指出，只有当变化及其结果是不可预测时候，才可能带来特殊形式收入，几这就是利润。只有敢于创新企业家，才可能创造出人们预料收入，才能带来利润。这种不可预测变化及其结果就是不确定性。而风险则是可以被计量。奈特认为，对于可确定风险回报与对于其价值本身不可确定风险回报，二者之间是具有根本差异。奈特讨论不仅仅是对风险和不确定性作出了清楚界定，其论述重心实质上是要指出不确定性之于企业家和人类社会重要意义，从而也指出了不确定性具有比风险更深一层含义，不确定性实质上规定

24、着风险。只有在企业家创造性活动之后，风险才开始存在。80年代初，日本学者武井勋在吸收前人研究成果基础上对风险概念作了新表述，认为风险是特定环境中和特定期间内自然存在导致经济损失变化。包括三个要素：第一，风险与不确定性有差异；第二，风险是客观存在；第三，风险可以被测量。我国学者则将风险定义为在以特定利益为目标行动过程中，若存在与初衷利益相悖可能损失即潜在损失，则称该潜在损失所引致对行动主体造成危害事态为该行动所面对风险。从期望值角度理解风险，风险常常是指相对于某个期望结果可能发生变动状况，有些时候它可能就是指期望值本身(比如保险公司负担损失期望值)。随后风险概念不仅包括损失可能性，而且将获益可能

25、性也包括在内。在C.小阿瑟.威廉姆斯等人所著风险管理与保险一书中，对风险定义是结果中潜在变化。一部分学者定义中只包含了未来结果向不利方向变动可能性，亦即风险损失；而另外学者则将未来结果向有利和不利两方面变动都包括在内，风险之中亦存在机会。但是在奈特之后，人们在很大程度上只是接受了奈特对于风险和不确定性界定，而对于不确定性丰富含义讨论却没有什么实质性进展。围绕风险概念所进行理论讨论也主要是技术层面上，基本上不关注风险概念在政治、社会层面上意义。这一点可以说集中体现在学者们现在己不再对风险概念与不确定性概念区分感兴趣。在实际讨论中，风险和不确定性这两个概念在很大程度上是被混用。甚至有些学者断言，风

26、险和不确定性指是同一概念。通常来讲，风险(就风险损失而言)包含三个要素：危险因素h(azdar)、危险事故印erli)以及损失(1055)。危险因素是指导致不利后果所有因素。危险事故是导致风险损失内部或外在原因，亦即风险通过危险事故发生才能导致损失。损失在风险管理学中定义为非故意、非计划性和非预期经济价值减少。对于风险三要素之间关系，至今存在两种理论：H.W.Hel州hc“骨牌理论”和wiliima Hdadno.rj“能量释放理论”。两种理论均认为危险因素引发危险事故，而危险事故导致损失。但他们侧重点不同，“骨牌理论”强调危险因素、危险事故和损失三张骨牌之所以倾倒主要是人错误所致，其侧重于人

27、为因素。而“能力释放理论”则强调是因事物所承受能量超过其所能容纳能量所致，其侧重于物理因素。不过对上述风险因素分类并无公认统一标准，而对于风险类型，巴塞尔委员会和国际证券组织联合会(orSCO)于1994年发表场外衍生工具交易风险管理文件中定义了6种风险类型：市场风险：市场风险实质上是指公司金融工具或证券价值随市场参数变动而波动所产生风险。这些参数包括利率、汇率、股票指数和商品价格等。信用风险：对银行信用风险传统观点一般仅指对方不履约风险。对风险本质更进一步解释是，信用风险不仅仅是对方违约风险，还可以在更广泛意义上看作是由于公司交易对方在履约能力上变化而导致公司资产经济价值遭受损失风险。清算风

28、险：是指公司不能按期收到对方资金或工具风险。清算风险是一种高度复杂风险，包括限额制定、交易前核查资金状况、交易记录、交易确认相符、超出控制范围报告、支付管理、收款确认、收款失败管理、活动分析和重点管理等。流动性风险：公司一般面临两种类型流动性风险，一种与特定产品或市场相关；另一种与公司活动总体资金状况有关。前者是指由于不充足市场深度或由于市场中断，公司不能够或不能轻易以以前市场价或与之相近价格对冲某一头寸风险；后者是指公司不能在清算日履行付款义务或支付保证金风险。操作风险：是指信息系统或是内部控制方面缺陷，会导致意想不到损失。这种风险由人为错误、系统失灵和不正确程序及控制所引起。法律风险：是指

29、合同不符合法律实施性或文件没有正确表达。这种风险不仅包括文件是否具有法律实施性问题，还包括金融机构是否适当地履行了它对客户法律和条规职责。4.2风险理论分类风险理论发展至今，大体上可以归纳为两类：一是客观实体派风险理论；二是主观建构派风险理论。主观建构派主要依据心理学、社会学、文化人类学与哲学进行风险理论研究。而客观实体派则主要依据保险精算、工程学、经济学与财务理论进行风险理论研究。两种理论都围绕着三个基本问题：第一，如何规范与测度不确定性田ncertainyt)；第二，不利后果包括那些；第三，什么是风险真相或它真实性R(ealiy)t。风险是客观不确定(objectiveUnecrtaint

30、力，是客观存在实体，是可以预测。这些看法是现实论或实证论者主张，称之为客观实体派。此派主要以客观概率概念，规范与测度不确定性。一切不利后果，均以货币观点观察与计价。风险真实性认定，则以数学值高低为认定基础。风险主观构建派思维主要来自心理学者、社会学者、文化人类学者与哲学家贡献。其中，心理学仍保留实证论者或现实论者思维，风险可用个人主观信念强度来测度。社会学、文化人类学与哲学则采取后实证论者或相对论者思维。因此，风险不是测度问题，它是构建过程问题。3.3风险管理产生与发展同任何学科一样，风险管理也是随着人类社会自身进步而产生和发展。人类为了生存和谋求社会进步，就必须对人类周围环境所带来风险做出有

31、效地反应，从而促使风险管理意识出现。人类早期风险意识形成可大致分为三个阶段：人与兽斗争阶段、人与神斗争阶段和互助共济阶段。在人类社会早期，人们面临生存威胁主要来自野兽。人们既要猎取一定数量野兽来充当食物，又必须防止野兽对人类侵害。随着人类工具使用进步和农业发展，人们逐渐意识到生存风险已经不再是野兽，而是人们所无法驾驭自然环境，一系列自然灾害和疾病使当时人们束手无策。当生产力得到进一步发展以及人类协作能力增强，人们开始相互帮助以抗拒风险，即互助共济阶段。企业风险管理思想在19世纪就开始萌芽，它是伴随着工业革命诞生而产生。当时法国科学管理大师H.法约尔在其所著一般与工业管理一书中首先把风险管理思想

32、引入企业经营内。风险管理作为企业一种管理活动，真正起源于20世纪50年代美国。当时美国一些大公司发生重大损失使公司高层管理者开始认识到风险管理重要性。其中一次是1953年8月12日通用汽车公司在密歇根州一个汽车变速箱厂因火灾损失了5000万美元，成为美国历史上损失最为严重巧起重大火灾之一。1952年，格拉尔在其调查报告费用控制新时期风险管理中首次提出并使用了“风险管理”一词。到了60年代，在美国保险管理协会(ASIM)推动下，风险管理教育在美国风行起来。70至80年代，布雷顿森林体系瓦解，使任何经济个体面临着空前财务性风险；同时，科技灾难相继发生(如美国挑战者号航天飞机失事、苏联切尔诺贝利核电站事故等)，使风险管理思维产生巨大变动。人们意识到，管理风险不应只重技术与经济财务，也应注重人为作业绩效与文化社会背景影响，财务性风险管理与危害性风险管理不能各行其是。90年代之后，经济全球一体化及衍生产品发展使企业面临更大不确定性和风险考验。巴林、基德和联邦人寿保险公司破产以及1997年亚洲金融危机将传统风险管理局限性暴露无遗。人们开始反思过去