一 : 中国式内部控制之短板弱环与第一要务

        2006年，被称为中国内部控制年。财政部正紧锣密鼓地制定内部控制规范，国资委也将在年内发布《中央企业内部控制管理暂行办法》和《中央企业内部控制评价暂行办法》证监会所属的上海证券交易所出台了堪称中国版《萨班斯--奥克斯利法案》的《上市公司内部控制指引》。凡此种种，标志着政府有关部门由大力提倡内部控制建设向明确要求，细化规定层面转变。一股内部控制的旋风．伴随着强化内部控制制度建设的全球化浪潮。正席卷而来。那么．中国式内部控制的缺憾究竟在哪里，又如何建立高质量的、有实质性影响的、符合中国企业特点的内部控制体系。
　　莫此为甚：现代企业的骨骼与血液
　　内部控制是企业为了保证其战略目标的实现而对企业战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由董事会、管理层及全体员工共同参与的一项活动。建立健全内部控制制度。保证内控制度的完整性。合理性及实施的有效性，以提高企业经营的效率与效果　增强企业信息披露的可靠性．确保企业行为合法合规。如是观之。内部控制在维护企业肌体健康方面发挥着无可替代的作用。既是企业的骨骼．也是企业的血液。
　　我国大多数企业多年来习惯于渐进地积累管理经验，建立内部控制制度。虽然陆续形成了一些管理办法、条例、暂行规定等文件，但已无法适应现代企业不断提升酌治理水平的需要。事实上。我国古代曾经有过灿烂的内部控制文明"在内部控制。预算和审计程序等方面，周代在古代世界是无与伦比的。"（《会计思想史》　迈克尔•查特菲尔德）然而在现代内部控制的发展史上。占了先机的却是美国人。1947年，美国注册会计师协会(aicpa)下属的审计程序委员会（cap）在其《审计准则暂行公告》中第一次提出了内部控制概念。几十年来。内部控制从"一要素"、"三要素"、"五要素"到最新的"八要素"，内部控制理论与实务被学术界、职业组织、大型企业及政府组织共同推动。不断发展。其中，美国国会"反虚假财务报告委员会"发布的coso报告--《内部控制--整体架构》最为典型。该报告指出："内部控制是由企业董事会。管理层和其他员工制定和实施的，旨在为经营的效果和效率财务报告的可靠性以及相关法律法规的遵循性等目标提供合理保证的过程。"并归纳了内部控制的"五要素"：(1)控制环境；(2)风险评估(3)控制活动；(4)信息与沟通；(5)监控。
　　鉴于企业经营面临的风险日益增大，风险管理与控制在企业运营中越发凸显，2004年9月。coso又提出了《企业风险管理--整合框架》．它既是对《内部控制--整体架构》的超越，也标志着内部控制的转型，在内涵构成上拓展、延伸为"八要素"：(1)目标设定。指董事会和管理层根据公司的风险偏好设定战略目标。(2)内部环境。指公司的组织文化以及其他影响员工风险意识的综合因素。包括员工对风险的看法、管理层风险管理理念和风险偏好，职业道德规范和工作氛围董事会和监事会对风险的关注和指导等。(3)风险确认。指董事会和管理层确认影响公司目标实现的内部和外部风险因素。(4)风险评估。指董事会和管理层根据风险因素发生的可能性和影响，确定管理风险的方法。(5)风险管理策略选择。指董事会和管理层根据公司风险承受能力和风险偏好选择风险管理策略。（6）控制活动。指为确保风险管理策略有效执行而制定的制度和程序，包括核准、授权、验证、调整、复核、定期盘点、记录核对，职能分工　资产保全，绩效考核等。(7)信息沟通。指产生服务于规划。执行、监督等管理活动的信息并适时向使用者提供的过程。(8)检查监督。指公司自行检查和监督内部控制运行情况的过程。
　　美国华尔街的研究显示，公司的治理水平与公司价值成正相关关系。事实上，内部控制包含了公司治理．企业的诚信原则、管理哲学，法人治理结构、组织结构、经营方式企业文化等治理指标即构成控制环境的重要内容。
　　内部控制的发展历程表明，一些影响巨大的公司经营失败或舞弊事件的发生，往往加速了内部控制理论及其实践的成型，并催生了一些里程碑式的文献和立法。最有代表性的当属美国2002年出台的《萨班斯--奥克斯利法案》。该法案的第404条款不仅要求公司管理层定期评估公司财务内控的有效性，并且要求外部审计师对管理层的评估结果和公司内部控制的有效性发表意见。
在我国，随着中航油新加坡分公司违规进行原油期货交易等一系列因内部控制缺失而导致的重大舞弊事件的出现，越来越多的企业认识到完善的内部控制对防范和化解经营风险、防止舞弊具有显著的效用．国内部分大型企业集团开始按照coso报告的基本框架建立内部控制。此外，为满足《萨班斯一奥克斯利法案》第404条款的要求，在美国上市或即将在海外上市的企业已经着手构建内部控制体系。
　　短板弱环：中国式内部控制的缺憾
　　我国建立内部控制的政策、理论与实务，用"木桶理论"解释，存在明显的短板；用"链条定律"解释．存在明显的弱环。无奈的是，短板决定了木桶的盛水量，而弱环决定了整个链条的强度。具体说来．中国式内部控制呈现出以下缺憾：
　　(1)被动的。传统国有企业的粗放经营以及民营企业的人治色彩难以内生为控制的理念．而中庸思想深厚的东方文化也很难发育出要素完备、功能齐全、目标明确的内部控制体系，这就决定了中国式内部控制的需求动力在很大程度上来源于外部的压力，包括融入国际市场经济的渴望以及建立国际一流企业的梦想，这种渴望和梦想使得国内企业不得不按照西方的框架建立相应的内部控制。
　　(2)拿来的。无论是证监会对证券公司内部控制的要求和上交所制定的《上市公司内部控制指引》，还是中国人民银行对商业银行内部控制的规定以及财政部对企业内部会计控制的规范，莫不以美国的控制要素为模板。然而，作为美国企业内部控制圣经的coso报告能否适应中国所有制形式混杂、规模不一、管理者素质参差不齐的现实，远未经过大量的实践检验。
　　(3)政府主导的。政府部门对内部控制的关注首先集中在容易发生舞弊风险的金融领域，特别是商业银行、证券公司等金融风险多发地带。然后由点到面，由金融机构向一般行业扩展。然而，具体企业根据自身需求设计整体内部控制的自发性远远不足。
　　(4)文本的。常见的思维误区是，内部控制就是企业的规章、制度．就是基于财务核算的会计控制。显然，这只是内部控制的一部分，并不是全部。内部控制侧重于对文本制度的全面化、流程化；立足于动态监控、与管理软件(工具)耦合、可评价、可修正。由于我国企业通常强调规章制度的建立而忽视对控制环境、信息与沟通等要素的关注，重要的风险评估往往流于形式。事实上，无论多么完善的控制制度、程序或方法，如果没有诚实、守信、尽责的文化氛围，没有不折不扣、一以贯之的有效执行．终将是没有任何意义的空头文件。　　
　　(5)滞后的。我国内部控制理论和实务的发展滞后于国际成熟的发展形态．在国际上已将coso框架奉为圭臬的1996年，我国出台的有关文件，仍将内部控制囿于控制环境、会计系统、控制程序三要素，落入了传统会计控制的窠臼。即使一些最新的准则、规定，也只采用了coso的"五要素"，而没有顾及到《企业风险管理一一整合框架》的"八要素"。

二 : 企业内部控制五要素

企业内部控制五要素

有效的内部控制至少应当包括以下五项基本要素：

1、内部环境：内部环境是影响、制约企业内部控制建立与执行各种内部因素的总称，是实施内部控制的基础。［www.61k.com］内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。

2、风险评估：风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不正确因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定，风险识别、风险分析和风险应对。

3、控制活动：控制活动是根据风险评估结果、结合风险应对策略采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制活动结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。

4、信息与沟通：信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关的沟通机制等。

5、对控制的监督。监督检查是企业对其内部控制的健全性、合理性有效进行监督检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行连续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。

五要素之间的关系

1、内部环境是基础，是企业建设内部控制的土壤，是一切内控制度、流程、控制点得以实施的根本条件。一个企业内控好坏，首先应对其内控环境进行评价，如果环境不好，就需要更仔细和深入的进行建设，换句话说，如果环境建设得好，具备良好的风险意识和内控文化，即使一些小方面存在控制不足，也并不重要。

2、风险评估、控制活动、信息沟通。这是内控体系核心三个环节。

企业内控 企业内部控制五要素

风险评估是内控建设得方向。(www.61k.com］并不是说企业所有的任何的操作都需要管控，使用无比繁琐的流程进行防范。内控体系强调成本效益原则，注重企业经营效果效率，就必须注重风险评估，以风险为导向的建设内部控制体系，非重大风险可酌情简化，但是重大风险就需要认真将制度、流程和控制环节建设好。

控制活动是内控体系的核心环节，应该是嵌入在业务流程当中得以保证实施，病应该注意留下控制痕迹以供检查监督。

信息沟通包括信息传递和信息系统两个部分。信息采集和信息传递指的是企业部门之间、上下级之间、各管理级层次之间是否存在良好的沟通渠道。信息系统内控合规又是一个大课题，专门可以采用COBIT框架进行建设，主要包括信息系统基础环境、总体控制和应用层控制三部分。

3、监督检查是使内部控制成为闭环的重要组成部分。缺乏这个环节内控工作就不是一个PDCA循环，或者说就不能不断优化和提升，体系就是一个静态儿非动态的，监督检查方式包括了自我评价和独立评价，从事实频率来分可以分为日常监督和专项监督。

内部控制的目标

提高企业运营的效果和效率。这里所谓的效果，就是实现组织目标的程度（比如组织十分取得赢利、利润的多寡等）；效率就是一定资源投入所带来的产出。

财务报告的可靠性和完整性。由于财务报表是综合反映企业经验效果和效率的文件，也是企业风险控制的重要依据，因此财务报告应该是可靠和完整的。这里的可靠性是财务记录应完全忠于企业的资产财产状况、经营过程和经营结果，同时要求对财务记录进行处理的手段和方法是正确的，技术和表达是准确的；所谓完整性，就是财务报告要全面详尽地反映组织的财务状况和经营结果，而非有所保留或有所遗漏。

法律法规和合同的遵循性。法律法规和合同的执行可以从多个方面反映企业的风险。一方面，违反法律和合同，会给企业带来较高的违法或违约层报（诸如罚款、索赔），另一方面，违反法律法规和合同的行为，可能隐含着对企业资产或股东利益严重的危害（诸如转移资产、破坏企业信誉等）。

企业内控 企业内部控制五要素

总结：如何理解内部控制？

内部控制贯穿企业运营的全过程，涉及所有部门。［www.61k.com)

内部控制是一个过程，是实现目标的手段，而不是结果本身。

内部控制会受到企业内部各层次人员的影响，而不是简单地制定出一本制度或规章。

对管理曾或董事会来说，内部控制提供的只是合理的保证，而非绝对的保证。

内部控制的目的在于实现组织的一个或几个目标。

三 : 06中国式内部控制之短板弱环与第一要务

        2006年，被称为中国内部控制年。财政部正紧锣密鼓地制定内部控制规范，国资委也将在年内发布《中央企业内部控制管理暂行办法》和《中央企业内部控制评价暂行办法》证监会所属的上海证券交易所出台了堪称中国版《萨班斯--奥克斯利法案》的《上市公司内部控制指引》。凡此种种，标志着政府有关部门由大力提倡内部控制建设向明确要求，细化规定层面转变。一股内部控制的旋风．伴随着强化内部控制制度建设的全球化浪潮。正席卷而来。那么．中国式内部控制的缺憾究竟在哪里，又如何建立高质量的、有实质性影响的、符合中国企业特点的内部控制体系。
　　莫此为甚：现代企业的骨骼与血液
　　内部控制是企业为了保证其战略目标的实现而对企业战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由董事会、管理层及全体员工共同参与的一项活动。建立健全内部控制制度。保证内控制度的完整性。合理性及实施的有效性，以提高企业经营的效率与效果　增强企业信息披露的可靠性．确保企业行为合法合规。如是观之。内部控制在维护企业肌体健康方面发挥着无可替代的作用。既是企业的骨骼．也是企业的血液。
　　我国大多数企业多年来习惯于渐进地积累管理经验，建立内部控制制度。虽然陆续形成了一些管理办法、条例、暂行规定等文件，但已无法适应现代企业不断提升酌治理水平的需要。事实上。我国古代曾经有过灿烂的内部控制文明"在内部控制。预算和审计程序等方面，周代在古代世界是无与伦比的。"（《会计思想史》　迈克尔•查特菲尔德）然而在现代内部控制的发展史上。占了先机的却是美国人。1947年，美国注册会计师协会(aicpa)下属的审计程序委员会（cap）在其《审计准则暂行公告》中第一次提出了内部控制概念。几十年来。内部控制从"一要素"、"三要素"、"五要素"到最新的"八要素"，内部控制理论与实务被学术界、职业组织、大型企业及政府组织共同推动。不断发展。其中，美国国会"反虚假财务报告委员会"发布的coso报告--《内部控制--整体架构》最为典型。该报告指出："内部控制是由企业董事会。管理层和其他员工制定和实施的，旨在为经营的效果和效率财务报告的可靠性以及相关法律法规的遵循性等目标提供合理保证的过程。"并归纳了内部控制的"五要素"：(1)控制环境；(2)风险评估(3)控制活动；(4)信息与沟通；(5)监控。
　　鉴于企业经营面临的风险日益增大，风险管理与控制在企业运营中越发凸显，2004年9月。coso又提出了《企业风险管理--整合框架》．它既是对《内部控制--整体架构》的超越，也标志着内部控制的转型，在内涵构成上拓展、延伸为"八要素"：(1)目标设定。指董事会和管理层根据公司的风险偏好设定战略目标。(2)内部环境。指公司的组织文化以及其他影响员工风险意识的综合因素。包括员工对风险的看法、管理层风险管理理念和风险偏好，职业道德规范和工作氛围董事会和监事会对风险的关注和指导等。(3)风险确认。指董事会和管理层确认影响公司目标实现的内部和外部风险因素。(4)风险评估。指董事会和管理层根据风险因素发生的可能性和影响，确定管理风险的方法。(5)风险管理策略选择。指董事会和管理层根据公司风险承受能力和风险偏好选择风险管理策略。（6）控制活动。指为确保风险管理策略有效执行而制定的制度和程序，包括核准、授权、验证、调整、复核、定期盘点、记录核对，职能分工　资产保全，绩效考核等。(7)信息沟通。指产生服务于规划。执行、监督等管理活动的信息并适时向使用者提供的过程。(8)检查监督。指公司自行检查和监督内部控制运行情况的过程。
　　美国华尔街的研究显示，公司的治理水平与公司价值成正相关关系。事实上，内部控制包含了公司治理．企业的诚信原则、管理哲学，法人治理结构、组织结构、经营方式企业文化等治理指标即构成控制环境的重要内容。
　　内部控制的发展历程表明，一些影响巨大的公司经营失败或舞弊事件的发生，往往加速了内部控制理论及其实践的成型，并催生了一些里程碑式的文献和立法。最有代表性的当属美国2002年出台的《萨班斯--奥克斯利法案》。该法案的第404条款不仅要求公司管理层定期评估公司财务内控的有效性，并且要求外部审计师对管理层的评估结果和公司内部控制的有效性发表意见。
在我国，随着中航油新加坡分公司违规进行原油期货交易等一系列因内部控制缺失而导致的重大舞弊事件的出现，越来越多的企业认识到完善的内部控制对防范和化解经营风险、防止舞弊具有显著的效用．国内部分大型企业集团开始按照coso报告的基本框架建立内部控制。此外，为满足《萨班斯一奥克斯利法案》第404条款的要求，在美国上市或即将在海外上市的企业已经着手构建内部控制体系。
　　短板弱环：中国式内部控制的缺憾

本文标题：内部控制五要素-中国式内部控制之短板弱环与第一要务
本文地址： http://www.61k.com/1114291.html