第6章 内部控制理论框架打造

以案说理 东盟电子：内部控制，成长中的烦恼？

东盟电子是一家以微电子技术为核心竞争力的高科技企业，已经建立了采购付款流程和管理制度，制度管理范围涉及的各个阶段包括付款申请、单据审核、结算付款、账务处理等环节。从表面看起来，感觉控制严谨，层层把关，疏而不漏。但在实际运作中，付款周期很长；采购部门、结算部门和会计部门之间经常发生推诿埋怨；管理数据的提供有重叠，不完整或缺失的现象。通过对采购付款各个环节的管控进行诊断分析，发现流程控制缺乏明确的流程层面的控制点，造成审批手续复杂而使管理制度流于形式。东盟电子的采购付款流程是：

控制点1：采购员负责审核取得付款发票。采购付款业务发生时，采购部门的采购员将付款申请及供应商发票交给结算部门的结算会计；

控制点2：结算会计负责单据合法、金额正确。结算会计审核票据和金额相符后签字，交会计部门的记账会计；

控制点3：会计负责核对供应商台账，确认付款方式和金额（转账冲销还是支付现款）。记账会计审核付款方式后签字，交财务经理；

控制点4：财务经理负责批准付款方式。财务经理审核后签字，交采购管理部门的管理人员；

控制点5：采购管理部门统计员负责登记供应商台账（发票与付款的对应情况），并在统计员进行逐笔登记后，交本部门的经理；

控制点6：采购管理部门经理负责批准（目的不清）。采购管理部门经理签字后，再由统计员交回结算会计；

控制点7：结算会计经理签字确认，结算会计办理付款（结算会计签字不清晰而增加的环节）。

东盟电子管理层聘请外部咨询师进行诊断，在初步分析上述情况，并与企业内部控制制度人员反复讨论、沟通后，咨询师一致认为在上述对流程控制点的描述中，发现的问题是：

各相关部门之间的衔接与控制点关系不清晰，导致重复操作。如控制点5和控制点6与控制点1.

对不能严格履行过程职责的流程参与者不进行考核，而是采取补救方法导致流程复杂化。如控制点3、5、7.

会计核算方法不规范，增加了付款流程的复杂程度。如控制点3和控制点4.

通过深入分析，针对上述采购付款流程，咨询师相应给出了优化建议：

控制点1：采购员负责取得付款发票，填写付款申请（对付款的真实合理负责）。

采购付款业务发生时，采购部门的采购员将付款申请及供应商发票交给采购管理部门；

控制点2：采购管理部门统计员负责核对并登记供应商台账（对发票与付款的对应情况和付款方式负责）。

统计员核对无误并进行登记后签字，交结算会计；

控制点3：结算会计负责审核付款单据（对单据的合法性、金额的正确负责）。

结算会计审核票据和金额相符后签字，提交被授权人审批后，办理付款手续；

经过短短两个月的流程改造，东盟上下同时感觉到新流程与原流程比较，确实进了一大步。简言之，企业的管理制度和流程控制是在工作流程图中明确规定每个人应该做什么、如何做、何时做以及正确进行工作的结果等。同时，规范相关子环节的管控，如本案涉及的会计核算方法，简化冲账环节，也是至关重要的。

“案例简评”

相互牵制和岗位责任是内部控制的基本要求。从横向牵制讲，完成某个环节的工作需有来自彼此独立的两个部门或人员协调运作、相互监督、相互制约、相互证明；从纵向牵制讲，完成某个工作需经过互不隶属的两个或两个以上的岗位和环节，以使下级受上级监督，上级受下级牵制。如，在材料采购控制系统中，采购部门只有凭领导审批后的采购单或合同（纵向牵制）进行采购，而采购的材料必须经过验收（横向牵制）后，才能办理有关手续。岗位责任针对不相容职务分离，在设置岗位时必须考虑到授权岗位和执行岗位的分离、执行岗位和审核岗位的分离、保管岗位和记账岗位的分离等，通过不相容职责的划分，各部门和人员之间相互审查、核对和制衡，避免一个人控制一项交易的各个环节，以防止员工的舞弊行为。

在内部控制中，相互牵制是基础，协调配合是升华，还要充分考虑系统网络原则。按照系统网络原则的要求，各项控制点应在企业管控模式的控制之下，设立要齐全且点点相连、环环相扣、不能脱节。各个控制点的设立必须考虑到控制环境、控制活动对它的影响。

总之，内部控制的设计，应能达到一个基本目标，即在保证企业经济效益最大化的前提下，保证企业顺畅运转而又不失控制，同时，要能对非常规业务进行有效的反应，通过对内部控制的检测和评价，保证企业内部控制能进行有效的自我调节。

应该说，在笔者直接的深度接触集团内部控制、风险管理、资本监管的十多年里，曾经在集团内部控制领域与数十家国内集团打过交道，多位智慧的经理人坦言，他们试图找出一些公司治理方面的共性内容，甚至受思维方式所限，曾在不同场合妄下断言：限制中国企业做大、做强、做久的最大一个障碍就是制度，尤其是风险管理和内部控制。不少企业家，他们可以在一方自留地上把企业做得风生水起，风光无限，但一旦走出家门进行扩张，就难免步履维艰，陷入困境。是中国企业家不像外国企业家聪明吗？当然不能轻易下此结论。但可以肯定的是，我们的企业家普遍缺乏发达国家企业家所具备的先进的风险管理和内部控制的意识、能力和水平，而这恰恰正是集团可持续发展的必要条件。

有这样一个电视节目给我启示不少。曾几何时，杨澜在专访姚明时曾提过一个问题：中国球队和美国球队最大的一个差别是什么？姚明举例说明了一个他认为最大的区别：在中国篮球队里，有很多颇具天赋的球员，他们在发球的时候，可以运用各种天才的姿势把篮球投进篮筐；而在美国的球队，无论哪个天才球员，教练都会在你练习罚球的时候，用尺子丈量你的姿势与标准的差距，并且必须要求你的动作统一规范。表面上的“死板”筑就了美国篮球这样一个常胜将军。可见，任何一个项目，都是由细小的部分与环节所组成，精细化管理工作与控制自然可以成就一番大的事业。

曾经被简称为COSO报告的《内部控制——整合框架》是在美国金融风险加剧、财务欺诈抬头、公众对内部控制寄予厚望的“危难”时刻，由五个职业会计团体联合并潜心研究近4年的时间才诞生的。报告中蕴涵了许多依然“闪光”的理念和思想，如准确定位内部控制基本目标是为企业的经营和管理面“保驾护航”，提出三类目标、五项构成要素概念，强调内部控制是“过程”、强调“人”的重要性、强调董事会在内部控制中的作用、强调内部控制系统是“内置于”（built in）企业经营和管理过程中的一项基础设施，与管理活动的计划、执行和监控职能交织融合在一起，不是后来添加物，同时内控系统应有应对不断变化的客观世界的机制，等等。正因为如此，这一权威性的精神内核需要我们完整、科学地客观解读。本章将在业界公认的COSO的IC和ERM报告下进行进一步的解读。

6.1 美国内部控制框架

美国全国舞弊性财务报告委员会（即Treadway委员会），通过其下COSO委员会，于1992年提出《内部控制——整体框架》（Internal Control—Integrated Framework，简称IC），强调指出，内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程，从而帮助商业和其他组织评估改善内部控制系统。该框架已被借鉴吸收应用于政策、规章和规则的制定。数以千计的企业使用该框架更好地进行控制活动，逐渐实现他们制定的目标。时光的年轮指向2004年，COSO委员会直面美国所发生的安然等一系列影响很大的商业丑闻和公司破产，投资者、公司员工和其他利益相关者所蒙受的巨大损失，深感人们需要有新的法律法规和上市标准来改进公司治理和风险管理，其中对提供重要原则和概念、共同语言和清晰方向和指导的风险管理框架的需要也更为迫切。基于这种价值观与使命感，COSO委员会对企业风险管理的广泛主题进行了更强有力、更加详尽的聚焦，在《内部控制——整体框架》基础上，通过扩充而更加全面地集中于风险管理与控制理念，从而制订了《企业风险管理——整合框架》（Enterprise Risk Management—Integrated Framework，简称ERM）。然而，ERM并无意也不会取代IC，但更确切地说，它把内部控制框架整合进来，企业应该关注这个企业风险管理框架，以满足它们的内部控制需要及接近更全面的风险管理过程。

基于这两个文件的科学价值与借鉴意义，本书对内部控制的理论诠释也主要结合其精神解读为主，并结合我国内部控制的理论与实际态势来分析。

6.1.1 美国内部控制框架的基本解读

1.内部控制的基本内涵

普遍意义上说，内部控制作为一个满足各方需要的通用概念，能够提供一个标准——无论规模大小、公用和私人性质、盈利和非盈利，使各类企业都能以此对其内部控制制度进行评估和改进。

尽管内部控制提供了一个指导性框架，但是，要全面、准确地理解，必须从以下四方面把握：一是内部控制属于一个“过程”。它是实现目的手段，而非目的本身；二是内部控制受“人为影响”，它不仅仅是“政策手册”和“图表”，而且涉及企业各层次的人员，需要各方面在流程中“实施”；三是内部控制只能向企业董事会和经理层提供“合理的保证”，而非“绝对的保证”；四是内部控制是为了实现三类既相互独立又相互联系的目标。

其中，从笔者亲身感觉而言，需要特别强调指出两点：

一是内部控制并非单一的事件或环境，而是针对企业行为的一系列活动。这些活动是潜移默化的，蕴含于管理层的日常经营行为中。企业横向和纵向的经营行为都是通过计划、执行和监控这一基本过程进行的。内部控制是与这一过程密不可分的一部分，使之能够良好运行，并监督运行以保持持续的相关性。它是管理层的工具，而非管理的替代品。这一定义与很多人不同，他们认为内部控制在企业的运营过程之外，是立法者和监管当局给企业增加的负担。内控系统与企业的运营紧密相连，因基本的商业动机而存在。只有内部控制成为企业内部构架中关键的一部分时，才最为有效。

二是内部控制应该“嵌入”企业之中，而非“外置”在企业之外。“嵌入式”控制直接影响企业实现其目标的能力，并支持企业的质量举措。对质量的要求直接与企业的运营和控制相联系。质量举措已成为企业运营构架的一部分：高层管理人员确信质量价值蕴涵于企业的经营方式中。确立质量目标与企业的信息收集、分析及其他过程相联系。运用对有关竞争活动和客户期望的认知来不断推进质量的提高。“嵌入式”控制对成本节约和减少反应时滞有重要作用。多数企业面临高度的市场竞争和节约成本的需要。在现有的过程上增加新程序必然会增加费用。如果将重点放在当前的运营及其对有效内部控制的影响上，并将内部控制嵌入企业的日常经营中，常能使企业避免不必要的程序和成本。将内部控制嵌入企业的运营构架中，有助于针对新的经营行为采取新的控制措施。这种自动反应增加了企业的敏捷度和竞争力。

2.内部控制的基本职能

在辨析上述内涵的基础上，还要理解内部控制能做什么和内部控制不能做什么的问题。

内部控制能做什么？内部控制有助于企业实现其业绩和利润目标，防止资源损失，提高财务报告的可靠性，督促企业遵守相关法律法规，避免企业名誉受到损害以及受到其他不良影响。总之，内部控制有利于企业在既定轨道中前进，避免走弯路和遭遇突然袭击。

内部控制不能做什么？现实中，一些人对内部控制有不合实际的预期，他们存在以下幻想：一是内部控制可以确保企业的成功。它能确保企业实现基本经营目标，至少能保证企业的生存。即使有效的内部控制也仅仅能帮助企业实现经营目标。它提供给管理层关于企业成长过程中的信息。但内部控制不能使一个内在水平糟糕的经理变得杰出。另外，政府政策的变化、竞争对手的行为或经济环境都在管理层控制之外。内部控制不能保证成功，甚至不能保证生存。二是内部控制可以确保财务报告的可靠性和法律法规的遵循性。此观点也是不正确的。内部控制制度，无论设计、运行多么理想，都只能就企业目标的实现向管理层和董事会提供合理的保证，而非“绝对的保证”。经营目标的实现受到任何内控系统都具有的固有局限性的影响。内控系统的内在有限性包括以下现实情况：决策判断可能失误，简单的错误可能导致大纰漏。另外，控制可能因为两个以上人的相互勾结而趋于无效，而经理层有超越内控系统的权力。还有一个局限就是内控系统的设计必须反映以下事实，即出于资源有限性的考虑，内部控制必须考虑成本收益的匹配。

3.内部控制的三维解析

全面而准确地理解和掌握ERM的精神世界，势必需要一个立体的诠释图像，我们来逐一进行透视。

战略目标、运营目标、报告目标以及合规性目标这四类目标，由垂直栏表示，八个要素由水平栏代表，三个维度由机构的各个单元代表。这种刻画描述了注重于机构整体企业风险管理的能力，或者根据目标类别、要素、机构单元或其任何下属单位实行企业风险管理的能力。这样的三维描述构成了一个内部控制的整体框架，这个框架是这样运作的：对于任意给定的目标（例如财务报告的可靠性），管理层必须在部门单位层与行动层（或流程层）按内部控制的八大要素建立内部控制。

三维整合框架为管理层提供了评估内部控制所赖以遵循的标准：

（1）第一维度（正方形的顶层）是目标，内部控制的设计旨在合理保证实现以下四类目标：战略目标（是组织的高层次目标，与其使命紧密联系并支持其使命）、运营目标（利用资源的效果和效率）、报告目标（报告的可靠性）和合规性目标（遵循适用的法律法规）。

（2）第二维度（正方体的正面）是全面风险管理要素（8个）。

第一要素：控制环境——控制环境是其他内部控制要素的基础，它确定了公司的内部控制文化和结构，内容包括内部控制文化（管理层和员工对内部控制的看法等）、董事会和管理层的操守和价值观、能力、公司组织结构、行为准则、授权和责任的分配、规章制度、人力资源政策等。控制环境的主要要求是公司要自上而下培养积极的内部控制文化，建立科学的内部控制组织结构，使整个组织中的员工具有控制意识和自觉的控制态度，特别是高管要积极地进行控制，同时员工的能力与其责任要相匹配。控制环境决定了企业的基调，直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架，是其他要素的基础。控制环境包括员工的诚信度、职业道德和才能；管理哲学和经营风格；权责分配方法、人事政策；董事会的经营重点和目标等；

第二要素：目标设定——在管理当局确认影响目标实现的潜在事件之前，一定存在着各项目标。企业风险管理确保管理当局以适当地过程设定目标，并使选定的目标支持机构的使命，且与之密切相关，并与管理当局的风险偏好保持一致；

第三要素：事件确认——有可能影响机构的潜在事件必须得到确认。事件确认涉及确定影响目标实现的内部或外部的潜在事件，并对表示风险的事件、表示机会的事件以及二者兼而有之的事件进行了区分。各种机会反过来引导管理当局的战略或目标设定过程；

第四要素：风险评估——公司为了达到其内部控制目标而执行的识别及分析相关风险的程序，以便确定如何控制风险的对策，并通过控制活动来降低风险。每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接，保持一致。风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化，需要确立一套机制来识别和应对由这些变化带来的风险；

第五要素：风险响应——员工确认并评价对风险的可能响应，包括规避、接受、减少以及共担风险。管理当局选择一系列行动，以使风险与组织机构的风险容忍度和风险偏好密切相关；

第六要素：控制活动——公司为确保有效控制风险而制定的制度和程序，包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效比较等。控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险，实现经营目标。控制行为体现在整个企业的不同层次和不同部门中；

第七要素：信息和沟通——信息存在于所有经营管理活动中，相关信息应能按照规定的格式和时效性要求进行识别、获取，并在公司内部有效传递。公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告，以助于经营和控制企业。信息系统不仅处理内部产生的信息，还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息，认真履行控制职责。员工必须理解自身在整个内控系统中的位置，理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时，与外部诸如客户、供应商、管理当局和股东之间也需要有效的沟通；

第八要素：监控——一个内部控制的过程必须施以恰当的监控，通过监控活动在必要时对其加以修正。监控可分持续性监控及独立监控，前者为经营过程中的例行监督，后者为内部审计人员、监事会或董事会等其他人员单独进行的评估。内部控制系统需要被监控，即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中，包括企业的日常管理和监督行为、员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报，性质严重的应上报最高管理层和董事会。

这八项要素既相互独立又相互联系，形成一个有机统一体，对不断变化的环境自动作出反应。内部控制制度与企业的经营行为紧密相连，因基本的商业动机而存在。这时内部控制可以支持经营质量和主动的授权，避免不必要的花费，并对环境的变化迅速作出反应。

（3）第三维度（正方体的右侧面）是要求企业在四个层次或单元上（机构层面、部门层面、业务单元和附属企业）实施内部控制。

4.内部控制的角色配置

内部控制自然是以人为承载主体的，因此，人的因素至关重要。内部控制受到企业董事会、经理层和其他人员的影响。它是通过企业员工的言行才实现的。人们确立企业的目标并将内控系统付诸实施。同样，内部控制也影响人们的行为。人们理解、交流和行动的方式并非一成不变，每个人都有独特的背景和才干，具有不同的需求和重点。这些现实既对内部控制产生影响也受到其影响。人们必须知道各自的职责和权限。相应的，在不同职责和执行方式之间应有明确的分工和联系，企业的各层目标也是一样。

企业员工包括董事会、经理层和其他职员。现分别分析其角色与职责：

经理层——总裁应最终负责并具有内控系统的“所有权”。与其他人相比较，总裁制定了最高基调，这将影响诚信度、道德品行以及构成一个积极的控制环境的其他因素。在大公司，总裁通过督导高层管理人员检查其经营行为来完成自身职责。高层管理人员，则向各部门负责人分配具体的控制措施和程序。在规模小些的公司，总裁常常身兼所有者和经理人双重角色，其影响也就更加直接。在任何情况下，对于金字塔式的职责分布结构，每位经理人实际就是他所辖管职责范围内的总裁。经理层中具有特殊意义的是财务总监及其下属，他们的控制行为切入企业经营的各部分。

董事会——经理层对董事会负责，董事会提供管理、指引和核查。高效率的董事会成员应该是实事求是、富有才华和钻研精神的。他们熟悉企业经营及环境，留出足够的时间来完成董事会职责。不诚实的经理层有可能越过内部控制，忽视或压制下属的信息反馈，并故意误报结果以掩盖其行径。一个强有力、活跃的董事会，特别是具备了有效的信息自下而上传递的渠道，以及完善的财务、法律和内审职能后，往往能识别和纠正这样的问题。

内部审计人员——内审人员在评价、维护企业内控系统有效性方面起重要作用。由于在企业中的组织地位和权威性，内部审计在监控方面扮演重要角色。

其他人员——从某种程度上说，内部控制是企业中每个人的职责，因此应成为每个人工作职责中明示或暗示的部分。实际上，所有职员都在产出内控系统需用的信息，或在进行与内控有效运行相关的活动。而且，所有职员都有责任向上层汇报经营中存在的问题、背离准则和违规违法行为。

一些企业外部人员常常有助于企业目标的实现。独立审计师通过实施独立、客观的监控，通过直接的财务报表审计和间接的管理建议，来帮助管理层完成职责。其他能够提供对有效内部控制有用信息的外部人员，包括律师、监管当局、客户、财务分析师、债券评级师和新闻媒体等。外部人员，不属于企业内控系统的一部分，也不对企业内控系统负责。

6.1.2 美国内部控制框架的价值感悟

美国内部控制框架体现了许多颇具价值的观点，能够满足公司内部控制真实和内在的需要：

明确对内部控制的责任——世界内部控制发展史上，COSO第一次明确地阐述了内部控制的制定与实施的责任问题。COSO认为，不仅仅是管理人员、内部审计师或董事会，组织中的每一个人都对内部控制负有责任。确立这种组织思想有利于将企业的所有员工团结一致，使其主动地维护与改善企业的内部控制，而不是与管理阶层相互对立，被动地执行内部控制。

强调内部控制的分类和目标——COSO对内部控制的目标进行了单独的解析和阐释。目标的设定是管理过程的一个重要部分，虽然它不是内部控制的组成要素，但却是内部控制的先决条件。制定目标的过程不是控制活动，但其对内部控制的意义重大，直接影响到内部控制是否有存在的必要。

强调风险意识——每个企业都面临着成功或失败的可能，风险管理对企业至关重要。风险因素时刻影响着每个企业的生存和发展，也影响其在产业中的竞争力以及在市场上的声誉和形象。COSO指出，所有的企业，不论其规模、结构、性质或产业是什么类型，其组织的不同层级都会遭遇风险，管理层须密切注意各层级的风险，并采取必要的管理和控制手段。

强调内部控制应该与企业的经营管理过程相结合——COSO理解的经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。这个过程由组织的某一个单位或部门进行，或由若干个单位或（及）部门共同进行。内部控制是企业经营过程的一部分，与经营过程结合在一起，而不是凌驾于企业的基本活动之上，它使经营达到预期的效果，并监督企业经营过程的持续进行。当然，内部控制只是管理的一种工具，并不能越俎代庖而取代管理。

强调内部控制是一个“动态过程”——内部控制是对企业的整个经营管理活动进行监督与控制的过程。企业的经营活动是永不停止的，企业的内部控制过程也因此不会停止。企业内部控制不是一项制度或一个机械的规定，企业经营管理环境的变化必然要求企业内部控制越来越趋于完善，内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。

强调“人”的重要性——COSO特别强调内部控制受企业的董事会、管理层及其他员工的影响，透过企业人的行为及言语而完成。只有人才可能制定企业的目标，并设置控制的机制；反之，内部控制也影响着人的行动。

明确指出内部控制只能做到“合理”保证——COSO认为，不论设计及执行有多么完善，内部控制都只能为管理阶层及董事会提供达成企业目标的合理保证，而不是绝对保证。

成本与效益原则——COSO明确指出内部控制要建立在成本与效益原则的基础之上。例如内部控制并不是要消除任何滥用职权的可能性，而是要创造一种使“为防范滥用职权而投入的成本与滥用职权的累计损失之比”呈现出合理状态（即经济原则）的机制。因此，没有不花钱的内部控制，也不存在完美无缺的内部控制。

COSO的《内部控制——整合框架》绝对不仅是一个理论模型，它具有很强的操作指导意义。在美国，随着SOA404的实施，很多公众公司已经根据SEC的要求，参照COSO框架建立或完善了与财务报告相关的内部控制体系。笔者接触到的数家在美国上市企业，近年来已经直接感受了美国式内部控制的“暴风骤雨”洗礼，深深感觉到建立以 COSO委员会的《内部控制——整合框架》和《企业风险管理——整合框架》为借鉴原型的内部控制体系已经成为我国企业的大势所趋，这不仅有利于规范公众公司的行为，也有利于我国证券市场与国际资本市场的接轨。

6.2 中国内部控制现状

通过全面的对比分析，可以说，尽管我国已经在内部控制方面取得了长足的进展，但是，总体而言，其间的差距依然明显。随着新的内部控制指引的推出，我国内部控制框架中已借鉴了COSO的《内部控制——整合框架》框架的五大要素，以下进行一一对应的比较：

6.2.1 控制环境要素的对比

控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。影响控制环境的因素是多方面的：董事会、管理者素质，管理者品行及管理哲学、道德操守和行为准则，企业文化、组织结构与权责分派体系，信息系统和人力资源政策及实务。

综合对比，我国企业在内部控制环境方面与美国公司相比，存在以下差距和问题：

1.董事会在内部控制框架中的核心监督地位没有体现

不同的公司治理模式下，董事会在公司治理和公司管理中的地位是不同的。从我国《公司法》规定的董事会、股东大会、总经理之间的权责划分看，董事会在公司管理中居于核心地位，董事会应该对公司内部控制的建立、完善和有效运行负责。原因在于：对于董事会而言，建立内部控制框架是为了通过“不丧失控制的授权”来保证公司有效运行、完成公司的目标；内部控制是董事会抑制管理人员在获取短期盈利机会中的机会主义倾向，保证法律、公司政策及董事会决议得以贯彻实施的手段。

在我国，公司制企业虽然都按《公司法》的要求设立了董事会，但对相当一部分企业来说，董事会并未发挥应有作用，有的甚至形同虚设。因此，政府在颁布有关内部控制制度的指导性规范时，应强调董事会在内部控制框架中的核心监督地位，即董事会应充分理解公司的主要风险，正确设定风险的可接受水平并定期督导内部控制，建立独立的审计委员会帮助董事会行使这方面的职责。

2.管理层不重视内部控制，缺乏对管理层责任的认定和惩罚措施

公司管理层应负责组织制定识别、执行、监督和控制风险的程序，制定有效的内部控制，监督评审内控的充分性和有效性。我国的内部控制基础薄弱，在实践中，管理层不重视内部控制的情况普遍存在。

此外，管理层对内部控制的设计和实施负有责任，对于公众公司，美国SOA明确规定了管理层对内部控制失效需要承担的责任和处罚。我国在有关内部控制的文件及管理体系中，虽明确了管理层对内部控制承担责任，但没有制定明确的惩罚措施。

3.缺乏具有操作性的道德规范与行为准则

内部控制制度执行者是包括高层管理人员在内的全体员工，激励和约束的对象也是企业的员工，员工的道德水准和价值观念被认为是内部控制环境的重要因素，要求内部控制结构的建立要考虑员工道德水准和价值观念的承接性。美国越来越多的公司将道德规范和行为准则的建设直接纳入内部控制结构的内容。例如，某公司为了保证每个人都能持续地理解统驭企业实践的内部控制机制和政策，制订了持续的针对关键管理人员和财会人员的“管理受托方案”，督促他们履行企业道德惯例，从而在企业运营中按照较高的道德标准来增强员工的责任感。而我国则尚无这方面的刚性规定。

道德规范和行为准则在美国已有初步的经验和原则。就我国公司目前现状而言，需要解决的问题是如何在道德规范与行为准则的建设中避免空洞内容，而是根据内部控制结构的要求，针对各岗位的特点建立起具有操作性的行为规范与准则体系。

6.2.2 风险评估要素的对比

环境控制和风险评估，是提高企业内部控制效率和效果的关键，控制和风险的概念紧密相联。根据COSO的《内部控制——整合框架》，以及COSO委员会根据此文件补充的后续资料，发展了具体风险界定和风险评估的步骤和内容：

1.商业风险模型

该模型将风险分类为：环境外部风险、流程风险和信息决策风险三类。对于每类风险再进行细分，例如，环境外部风险包括竞争风险、合法合规性风险、股东关系风险、资本充足风险等；流程风险包括经营效率风险、产品研发风险、信息处理的可靠性风险、相关性风险和安全度以及财务流动性风险、信用风险等；信息决策风险包括定价、计划、预算和战略决策风险等。

2.商业风险管理流程

这两个模型描述了管理层对风险进行评估的流程和界定的方法：首先设定目标，根据目标评估风险，按照风险的重要性和风险发生的可能性界定风险的影响大小，并在风险界定图中进行汇总和排序，再根据风险评估设计流程和内部控制。监督风险管理流程和内部控制的执行，对于仍然存在的风险进行跟进并制定改善方法。

3.评估风险技巧

具体来说，通过计量分析与定性分析来对风险进行排序。计量方法采用涉及金额大小或更复杂的数学计算对风险进行排序，而定性方法则根据经验、知识和综合判断对风险进行排序；定期召开管理层风险评估会议；定期审阅管理报表，进行分析，评估风险；留意外部风险，对外部信息充分掌握评估风险的方法。

我国企业在对风险界定和风险评估方法上没有以上明确规定。新出台的内部控制指引涉及证券公司、商业银行的风险类型和评估，而这些金融企业的风险类型与制造业企业有很大的不同，因此对于系统介绍风险类型和评估方法的内部控制指引体系仍要加强。

6.2.3 控制活动要素的对比

控制活动是确保管理层的指令得以实现的政策和程序，旨在帮助企业保证其已经针对“使企业目标不能达成的风险”采取了必要行动。控制活动出现在整个企业内的各个阶层与各种职能部门，包括诸如审核、授权、验证、调节、复核营业绩效、保障资产安全以及职务分工等多种活动。

COSO《内部控制——整合框架》提出的控制活动包括以下内容：按形式分类，包括：政策、流程、预防性控制、发现性控制、自动控制和操作手册等；按类型分类，包括：普遍性控制（包括信息系统管理控制、安全控制、软件维护和控制）、具体控制、监控等；按目的分类，包括：保证交易及信息的完整性、准确性、恰当授权和有效合法性。

我国内部控制有关文件指引没有像COSO框架一样对控制进行明晰分类，而是根据具体业务流程对于关键控制点进行内部控制描述，例如制造业企业一般根据其经营活动的五大循环（即采购循环、销售循环、付款循环、收款循环和理财循环）等分别设计其控制活动。这些具体控制活动基本上与COSO内部控制框架中的内部控制内容没有区别。

6.2.4 信息沟通与反馈的对比

信息沟通与反馈是指企业须按某种形式及在某个时间之内，辨别、取得适当的信息，并加以沟通，使员工顺利履行其职责。

COSO的《内部控制——整合框架》对信息沟通与反馈有以下要求：

（1）信息类别。包括：内部信息和外部信息；手工信息和计算机处理信息；正式信息和非正式信息。

（2）信息系统提供信息的目标。信息系统提供的信息应及时、有效、高质，能满足各个层次的要求，这样的信息可用于分析从而实现经营管理和战略管理目标。

（3）沟通方式。包括备忘录、电子系统信息、电子邮件、告示贴、视频录像等多种方式。一个良好的信息沟通系统不仅要有向下的沟通管道，还应有向上的、横向的以及对外界的信息沟通管道。

（4）信息系统。一般来说，企业信息系统包括会计信息系统和业务信息系统。业务信息系统的信息有些可用作会计信息系统，有些可以有其他用途，会计信息系统的信息多用于计划、预算、定价和评估等用途。

与COSO内部控制框架中的信息沟通与反馈类似，国内内部控制所强调的信息沟通系统多关注于财务信息，而对于业务信息系统的强调不够。实际上，业务信息系统的健全对于公司风险管理和实现经营目标都有很重要的作用，例如，保险公司对于保单信息、理赔信息的汇总和统计数据库的建立对于正确计算各种准备金和储备防范的偿付性和流动性风险至关重要。

此外，我国企业在实际操作中由于信息处理系统化的程度不高，信息沟通和交流存在滞后、不顺畅的情况，因此建立统一的信息记录、汇总和管理系统是加强信息沟通与反馈的重要方法。

6.2.5 监管要素的对比

如前所述，企业内部控制是一个过程，这个过程是通过纳入管理过程的约束性活动实现的。因此，要确保内部控制制度被切实地执行且执行效果良好、内部控制能够随时适应新情况等，内部控制就必须被监督。监督是一种随着时间推移而评估制度执行质量的过程。

根据COSO的《内部控制——整合框架》要求，监控的内容包括：

（1）监控类型。COSO报告指出，监控类型包括通过日常的、持续的监控活动和进行个别、单独的评估。日常持续的评估包括日常的监控管理、差异分析、比较、调节和控制自我评估等。个别的、单独的评估则会针对高风险领域定期进行。

（2）监督执行。监督执行包括部门、经营流程各环节负责人定期进行的监督活动，以及内部审计师进行的外部监督活动。其中，内部审计的监督活动也是内部控制、风险管理的构成部分。

（3）内部审计的定位。就内部控制而言，内部审计具有极其重要的地位。它既是企业内部控制的一个部分，也是监督内部控制其他环节的主要力量。内部审计的定位应独立于管理层，而向董事会或董事会委托的审计委员会负责。

我国有关内部控制体系中，对于监控的职能与COSO《内部控制——整合框架》基本符合。但在内部审计的定位和实施及企业持续进行控制自我评估方面存在以下差异和问题：

（1）内部审计部门的定位。我国《公司法》和《审计法》均未对内部审计做出法律规定，《会计法》虽提出了内部审计方面的法律要求，但未对内部审计机构设置和定位作出具体规定。目前企业内部审计部门定位有以下几种情况：向董事会负责；向总经理负责；向总会计师或主管财务的副总经理负责。可以预计，如果只设审计部并将其置于总经理的领导之下，董事会对总经理的领导就缺乏监控措施，产生的问题是加剧人为控制的风险。因此，对于公众公司，应同时设审计委员会和审计部，审计部向审计委员会负责，而审计委员会向董事会负责。

（2）内部审计实施。在我国，内部审计缺乏统一的标准和体系，再加上上述机构定位问题，使得内部审计的实施存在很多没有效率和不能及时监控的缺陷。

（3）控制自我评估。企业应不定期或定期地对自己的内部控制系统进行评估，评估内部控制设计的有效性及其实施的效率和效果，以期能更好地达成内部控制的目标。控制自我评估关注业务的过程和控制的成效，由管理部门和相关员工共同进行。进行控制自我评估的目的是使各控制负责人了解哪里存有缺陷以及可能导致的后果，然后让他们自己采取行动改进这种状况，而不是坐等内部审计人员。

我国内部控制体系中有关监控的规定中缺少控制自我评估方面的内容。实践中企业亦缺乏定期或不一定期的自我控制评估。

除了上述内部控制的五大要素方面的差距外，在内部控制定位与目标层面也有区别。由于我国内部控制的发展是循序渐进的。从1996年独立审计的具体准则到最近颁布的新内部控制纲领性文件与系统性规范，已可看出对于内部控制的概念逐步完善，已跟COSO内部控制框架的概念基本一致。例如，逐步明确了内部控制需防范的各种经营和管理风险。因此，对于内部控制定位，在理论上已与国际接轨，所需进行的工作是将内部控制指引扩展到各个行业的企业。但在实践中，有关内部控制的定位仍有待提升，公司对于内部控制和风险管理的定位时常会让步于追求经济效益。对于内部控制的目标，COSO的内容更为广泛，包括了经营的效果和效率，而我国内部控制的目标并没有在《会计法》和《内部会计控制基本规范》中明确说明，但在最近新的内部控制规范文件中，对证券公司、商业银行已经定义了该部分内容，逐渐与COSO框架趋同，然而还没有推广到各个行业。

6.3 国际框架对我们的初步启示

经济与国际接轨的一个重要目标就是相关管制政策的接轨。因为不管何种性质的企业，都要增强自身的竞争力，当然需要吸收先进的技术和经验，使自己强壮起来，才能够到国际市场上分到大蛋糕。同时，不论什么集团，也同样需要在管理与控制方面，渐渐地靠近国际理念，实现内部控制的接轨。对照上述分析，COSO框架对我们内部控制的建设应该具有启发和借鉴意义。

6.3.1 从优化控制环境出发，匹配好内部控制与集团管理的关系

内部控制与企业管理也是一对相互关联的概念。所谓企业管理，就是指由企业管理层或管理机构对企业的经济活动过程进行计划、组织、指挥、协调、控制，以提高经济效益的一系列活动的总和。管理工作有三个基本职责：计划、组织、领导。计划主要是制定组织的目标。组织就是要集中人力、物力、财力资源，按照组织的政策和计划分配到各部门、各单位。领导就是运用行政职权，采取适当的措施，保证组织按照计划运转。为了实现组织的目标必须制定一整套管理制度，这套制度包购计划、组织、领导以及各项政策、规章、制度、标准和程序，这总称为内部控制。企业管理是一个非常宽泛的概念，不但涉及企业的内部经营管理，而且涉及企业的外部关系。内部控制是企业管理的重要组成内容，是企业内部为确保企业目标实现而建立起来的一系列政策、规则、程序，是从风险和控制的角度系统地将企业管理具体化，也可以说是企业管理的具体化。当然，企业管理的方法和工具较多，如六西格玛管理、7S管理体系等，企业内部控制从控制环境、风险评估、控制活动、信息与沟通、监督等角度系统地提出了完善企业管理的方法。企业内部控制建设好了，企业管理水平也就会提高。相反，企业内部控制不健全，企业管理水平也就薄弱。

注重企业控制环境的建设。包括加强董事会的建设，发挥董事会的作用和潜能，使股东及其他利益团体的利益真正受到保护；提高企业管理者的素质，包括知识技能、操守、道德观、价值观、世界观等方面；管理阶层的管理哲学和管理风格，包括企业承受营业风险的种类、整个企业的管理方式、企业管理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法，都深深地影响着内部控制的成效；企业应设立一个良好的信息与沟通系统；制定良好的人力资源政策，培养企业员工，提高员工素质，更好地贯彻和执行内部控制。

6.3.2 从细化市场应对出发，匹配好内部控制与风险管理的关系

从目前的研究与实践看，经历了一些现实案例的洗礼之后，企业对风险和内部控制达到了前所未有的重视程度。风险意识、控制信念，开始渐渐进入相关管理层的视野。

内部控制与风险管理是一对既相互联系又互有差别的概念。一般认为内部控制是为了达到某些目的而进行的一种动态的过程，这个过程是通过纳入管理的大量制度及活动实现的。这些目的一般包括提高经营效率和效果，遵守国家有关法律法规和企业内部规章制度，保证信息的真实、可靠和资产的安全、完整，从而实现企业的战略目标。而风险管理是指围绕特定目标，通过各种手段对风险进行管理，为实现目标提供合理保证的过程和方法。风险管理一般要先收集风险信息，进行风险评估，选择风险管理策略，制定风险管理方案，并对风险管理进行持续的监督和改进，同时还要构建风险管理组织体系和风险管理信息系统，营造风险管理文化。内部控制与风险管理既有联系，又各有侧重，不存在包涵或被包涵关系，也无法完全互相替代。

相同点是两者均是合理保证目标实现的过程。在实际操作中，内部控制的实施经常运用风险管理的方法，内部控制是基于风险的控制过程，是对风险进行评估和管理的必要过程。通过内部控制的实施，将风险控制在可接受的范围内，确保企业的经营按照既定的目标前进。同时风险管理的技术方法也常运用到内部控制的过程中。

两者的差别则主要体现在：风险管理更偏向这一过程的前端，更偏向于对影响目标实现的因素的分析、评估与应对，相对于内部控制，风险管理是一个更为独立的过程。而内部控制更加重视实施，嵌入到企业各业务流程的具体业务活动中，融合在企业的各项规章制度之中，使企业在正常运营过程中自发地防止错误，提高效率，从而合理保证目标的实现。

6.3.3 从强化资本监管出发，匹配好内部控制与内部审计的关系

加强内部控制，必然适时借助于内部审计的工作手段。内部控制必须被监督，监督是一种随着时间的推移而审视、督导制度执行质量的过程，只有施行切实可靠的监控，才能及时发现和解决内部控制过程中出现的问题。

内部控制与内部审计两者之间存在互相促进、互相提升的关系，共同为企业的健康发展发挥保驾护航的作用。

一般认为，内部审计是企业为保证目标的实现，在企业内部通过审查和评价自身经营活动、财务行为、内部控制等的合法、适当、有效而开展的独立的监督评价活动。内部审计是企业治理的重要基石之一，是内部控制的重要组成内容，是内部控制五要素中监督的重要手段，同时也是内部控制不断完善、持续改进的建议与监督主题。相应的，内部控制是内部审计的工作对象之一，内部控制需要内部审计对内部控制的设计是否合理、执行是否有效等方面进行检查、反馈，从而实现自身的不断完善和提高。

当然，两者之间也存在差异，内部控制是一个内涵非常宽泛、连续不断的过程，几乎覆盖了企业周转运营的各个方面。内部审计则是持续不断的检查评价行为，并且，针对不同的审计对象发挥不同的监督作用。

6.4 中国企业内部控制基本规范的出台背景

在中国经济与国际经济日益接轨趋势下，分析美国等发达国家在内部控制领域已经走过的漫漫长路，借鉴其既有的经验与做法，制定符合中国企业特点的内部控制制度，应该是中国经济发展的时代呼声。

6.4.1 经济健康前行的客观要求

尽管在内部控制制度建设方面，多年来已经进步不小，但是，集中的质变则体现于此次内部控制基本规范的出台。在国际国内多种因素共同作用、共同影响下，一整套具有统一性、公认性和科学性的企业内部控制规范，于2006年7月15日出台，应该是中国企业内部控制制度建设史上的一件大事。

从国际形势看，国际资本市场近年来一直致力于强化内部控制。安然、世通等财务舞弊和会计造假案件的发生，严重冲击了美国乃至国际资本市场的正常秩序。研究结果表明，内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。为此，许多国家通过立法强化企业内部控制，内部控制日益成为企业进入资本市场的“入门证”和“通行证”，我国境外上市企业纷纷花巨资聘请海外机构设计内部控制制度，以适应上市地的监管要求。

从国内公司治理看，经济健康发展迫切呼唤加强内部控制。内部控制作为公司治理的关键环节和经营管理的重要举措，在企业发展壮大中具有举足轻重的作用。但从现实情况看，许多企业管理松弛、内控弱化、风险频发，资产流失、营私舞弊、损失浪费等问题还比较突出。为了引导企业进一步加强内部控制，1999年修订的《会计法》，第一次以法律的形式对建立健全内部控制提出原则要求，财政部随即连续制定发布了《内部会计控制规范——基本规范》等7项内部会计控制规范，审计署、国资委、证监会、银监会、保监会以及上海、深圳证券交易所等也从不同角度对加强内部控制提出明确要求。但是，随着市场经济的发展和企业环境的变化，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向风险控制发展；同时，各部门之间的内控要求也有待于进一步协调，以便为进行内部控制自我评估和外部评价提供统一标准。

政府领导为防范风险而重视内部控制。企业与政府其实时常相联，内部控制制度建设也是政府推动的一个企业行为。温家宝总理在十届全国人大四次会议上作《政府工作报告》时强调，要“完善公司治理，健全内控机制”；2004年底和2005年6月，国务院领导同志连续两次就强化企业内部控制问题作出重要批示，其中，2005年6月，在财政部、国资委和证监会联合上报的《关于借鉴〈萨班斯法案〉完善我国上市公司内部控制制度的报告》上作出批示，同意“由财政部牵头，联合证监会及国资委，积极研究制定一套完整公认的企业内部控制指引”；2006年7月15日，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会，许多监管部门、大型企业、行业组织、中介机构、科研院所的领导和专家学者积极参与，为构建我国企业内部控制标准体系提供了组织和机制保障；与此同时，按照科学民主决策精神，公开选聘了86名咨询专家，组织开展了一系列内部控制科研课题，为构建我国内控标准体系提供技术支撑和理论支持。

综合以上各方面情况，研究制定企业内部控制规范，是经济社会发展的迫切要求，是新形势下监管部门落实科学发展观、服务企业改革与发展的重要举措。在各方面的探索积累和共同努力下，制定工作的条件也基本成熟。

6.4.2 内部控制规范的形成原则

企业内部控制规范的制订，是一项政策性、专业性、社会性都很强的工作。在起草企业内部控制规范时，应该遵循以下三项基本原则：

1.立足中国企业现实情况，实行控制制度务实创新

作为企业建立健全内部控制制度的基础依据和基本参照，企业内部控制规范必须与我国企业所处的具体环境相协调，必须与国家有关法律法规相协调，必须与企业经营管理实践相协调。企业内部控制规范只有扎根于我国经济、社会、法律、文化环境和企业鲜活实践中，才能具有强大的生命力，才能发挥应有的积极作用。同时，经济全球化趋势的不断发展、国际国内两个市场、两种资源的有效利用、“请进来”、“走出去”战略的深入实施，又要求我们必须放眼世界、兼收并蓄，取其所长、为我所用。因此，只有认真梳理、总结、提炼我国企业经营管理制度和做法经验，科学研究、分析国外内部控制发展动态、框架模式和成熟实践，并在此基础上强化创新意识和超越意识，着力体现中国魅力，才能切合实际，既使我国企业内部控制规范与国际发展潮流保持协调，又能增强我国在内部控制国际协调与趋同中的影响力和话语权。

本着这一原则，我国《企业内部控制基本规范》合理借鉴了以美国COSO报告为代表的国外内部控制框架，并根据我国国情进行了较大调整和改进：

对国外内部控制框架，尤其是COSO框架的借鉴，主要体现在基本规范中。基本规范在形式上借鉴了COSO报告五要素框架，同时在内容上体现了风险管理八要素框架的实质。主要考虑是：内控基本框架，好比会计要素一样，都存在国际趋同问题，借鉴国际上较为成熟的内控框架，能够使我们一开始就站在一个较高的起点上，并为我国境外上市公司，特别是在美国上市公司符合上市地内控监管要求提供有益参考。至于是五要素还是八要素，综合考虑，五要素框架相对较成熟、较稳定，包括美国证监会等推荐、参照的框架仍是五要素框架，同时，从长远发展趋势看，也应适当体现八要素框架的先进理念。

在借鉴国外内控框架的同时，我们力求创新并取得点滴成果：一是内容创新。基本规范中的五要素框架并未照抄照搬国外的框架，而是根据我国的实际情况作了较大调整，并在内容上大大充实，在表达方式上符合我国法规特点、文化传统和语言习惯，使国外提出的较为宏观、抽象的内控理念转变为了具有针对性、实用性的内控规定。二是体系创新。除基本规范之外，还拟定了十余项具体规范，并随之匹配若干具体规范和应用指南；与此同时，还将研究、制定评价标准和配套实施办法，形成全方位、立体性推进内控体系建设的局面。我国的企业内控体系，将是一个层次分明、内容完整、衔接有序、整体互动的有机统一体。三是机制创新。我国的内控体系建设任务，是各部门、各方面通力合作、合力推进的，这使得内控问题从立法规范、标准建设、宣传培训、组织实施到监督检查等有一个良好的沟通协作机制，避免了单纯从某一局部、某一方面入手可能造成的局限和被动。

2.突出当前控制领域重点部位，解决企业运行的现实问题

经过多年的发展，内部控制涉及的领域已非常广泛，覆盖公司层面、业务层面的几乎所有活动，远远突破了原来的内部牵制、会计控制的范围。但作为由政府部门制定的企业内部控制规范，如果一开始就面面俱到、事无巨细，可能事倍功半，难于操作。只有选择现阶段企业存在的突出问题和市场经济难以解决的问题加以规定，才能做到重点突出，才能取得突破，并带动其他方面逐步规范起来。因此，我们在倡导有条件的企业根据市场自由竞争的需要建立全面内部控制和全面风险管理的同时，根据多数企业的意见，借鉴国际有关做法，提出对有义务对外提供财务报告的企业，至少须确保财务报告的真实可靠，并着重就影响财务报告真实可靠的重要业务与事项进行了规范，引导企业建立健全以财务报告内部控制为核心的内控机制。

基于现实，一个比较理性的初步考虑是：①企业的经营管理活动，归根结底要通过财务报告来反映，抓住了财务报告内部控制这条主线，在一定程度上也抓住了企业经营管理与内部控制的重心和主体；②保证财务报告真实可靠，是企业的法定责任，是维护社会公众利益的基础环节，强化财务报告内部控制机制建设，是提升企业市场形象与诚信度、维护社会公众利益的基本要求；③从政府监管和资本市场监管的角度看，即使是当今世界最发达的国家，也将财务报告内部控制作为企业管理层内部控制自我评估和注册会计师评价的主体，因为满足了财务报告内部控制的要求，能够合理保证企业财务会计信息披露的真实公允，能够有效维护社会公众利益、促进资本市场健康稳定发展。

3.降低因控制而增加的成本，稳步推进内部控制持续深入

在我国，内部控制虽然不是一个新话题，但毕竟现代意义上的内部控制与先前的内部牵制有着本质区别，特别是我国企业在法制意识、制度基础、风险理念、经营风格等方面与欧美企业还存在较大差异。把内部控制作为贯穿企业经营管理与风险控制全过程的系统工程来建设，在我国仍处于探索阶段、起步阶段，还需要一个加强引导、深化认识的过程，还需要一个逐步适应、分步实施、不断完善的过程。因此，企业内部控制规范的制定和有关监管措施的出台，必须考虑企业的接受程度和承受能力，必须考虑企业的实施成本。我国境外上市公司为达到上市地内控监管要求而付出的巨大成本，以及有关国家对相关内控监管要求的激烈论争，为我们提供了诸多思考和启示。在调研过程中，许多企业流露出对实施成本偏高、相关专业人才缺乏等问题的担心，也对政出多门、要求不一、企业无所适从表示顾虑。这表明，强化企业内部控制是趋势、是方向、是进步，但难以一蹴而就。操之过急，可能事与愿违，陷于被动。在现阶段，应当在宣传普及内部控制先进理念和方法的基础上，重点引导企业加强以财务报告内部控制为主线的相关标准建设。

6.5 企业内部控制规范的体系框架

为总结我国经验，借鉴国际惯例，有效利用国际国内资源，充分发挥各方面积极作用，通过三到五年的努力，基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系，以及以监管部门为主导、各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的内部控制实施体系，推动公司、企业和其他非营利组织完善治理结构和内部约束机制，不断提高经营管理水平和可持续发展能力。

根据这一目标，结合现实需求，应当把控制标准体系和评价体系建设摆在优先位置，这既是内控体系建设的基础，又是适应公司监管的迫切需要。在过去一段时间，有关方面借鉴国外尤其是美国的做法，开始推动国内上市公司实行内部控制自我评估制度和注册会计师审计制度，但是，缺乏一套具有统一性、公认性、科学性的企业内部控制标准，使上市公司进行内部控制自我评估、注册会计师进行内控审计缺乏明确标准。基于这一现实情况，结合企业、会计师事务所的呼声，应当把控制标准体系和评价体系建设作为当前及今后两年内的工作重点，其中，控制标准体系建设又是基础和前提。

1.框架结构

借鉴国际经验，征求国内意见，我国企业内部控制标准体系，包括了以下三个层面。

第一层面是基本规范。规定内部控制的基本目标、基本要素、基本原则和总体要求，是制定具体规范和应用指南的基本依据，在内控标准体系中起统驭作用；

第二层面是具体规范。根据基本规范，对企业办理具体业务与事项从内部控制角度作出的具体规定；

第三层面是应用指南。根据基本规范和相关具体规范制定的详细解释和说明，主要是为某些特殊行业、特殊企业、特定内控程序提供操作性更强的指引。

在这样的基本思路下，针对不同所有制形式、不同组织形式、不同业务范围、不同规模的企业在实施内部控制中有不同的要求，这就要求在起草企业内部控制规范时必须进行全面、系统的对比分析，把握差异，提炼共性，尽可能抽取出多数企业普遍存在、普遍关注的共性业务与事项并提出相应的具体控制措施。对特殊行业、特殊企业实施内部控制的特殊要求，在基本规范的统驭下，主要通过制定相关的应用指南来提供操作性更强的指引。

财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》，共有7章、50条。其核心内容主要是在五个原则、五个要素的前提下，具体展现内部风险评估、控制活动、信息与沟通和内部监督的具体内容。

2.恪守原则

企业建立与实施内部控制，应当遵循下列五个原则：一是全面性原则，要求内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项；二是重要性原则，内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域；三是制衡性原则，内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率；四是适应性原则，内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整；五是成本效益原则，内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。

6.5.1 内部环境

企业应当建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

1.法人治理结构的环境

股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权；董事会对股东（大）会负责，依法行使企业的经营决策权；监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责；经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。

董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。此外，企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。

2.内部控制机构

企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权

基于内部审计工作对内部控制的重要性，企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

此外，企业还需要从人力资源政策、职工道德修养和专业胜任能力方面，体现内部控制、强化风险意识的原则。尤其需要加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。

6.5.2 风险评估

企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。企业开展风险评估，应当准确识别与发现控制目标相关的内部风险和外部风险，确定相应的风险承受度。

企业识别内部风险，应当关注下列因素：一是董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素；二是组织机构、经营方式、资产管理、业务流程等管理因素；三是研究开发、技术投入、信息技术运用等自主创新因素；四是财务状况、经营成果、现金流量等财务因素；五是营运安全、员工健康、环境保护等安全环保因素；六是其他有关内部风险因素。

企业识别外部风险，应当关注下列因素：一是经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；二是法律法规、监管要求等法律因素；三是安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；四是技术进步、工艺改进等科学技术因素；五是自然灾害、环境状况等自然环境因素；六是其他有关外部风险因素。

企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。

企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。

企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。

企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

6.5.3 控制活动

企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。在控制活动中，特别要注重下列基础项目的实施：

一是不相容职务分离控制。不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

二是授权审批控制。授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

三是会计系统控制。会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。企业应当依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职权重叠的副职。

四是财产保护控制。财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。

五是预算控制。预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

六是运营分析控制。运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

七是绩效考核控制。绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

八是风险与危机预警控制。企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

对于这些重点控制项目，本书将在第四篇，分别进行详细的阐述。

6.5.4 信息与沟通

企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。

企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。

重要信息应当及时传递给董事会、监事会和经理层。

企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

企业至少应当将下列情形作为反舞弊工作的重点：一是未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益；二是在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等；三是董事、监事、经理及其他高级管理人员滥用职权；四是相关机构或人员串通舞弊。

企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。

6.5.5 内部监督

企业应当制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。

内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。

专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。

企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。

内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。

企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。

内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。