如何建立企业内部控制制度探析.doc

毕 业 设 计 如何建立企业内部控制制度探析摘 要随着当今经济条件和形势的发展，为了更好地适应新的社会经济环境，为企业创造经济效益，最大限度地发挥内部控制的作用，要求企业内部控制必须不断完善，必须随之发展，不断地创新。研究我国企业的内部控制构建，对于企业实现可持续发展，以及我国实现经济振兴和全面繁荣，具有重要意义。问题是，虽然对大多数企业管理人员来说，内部控制虽然并不陌生，但是如何进行内部控制的建设和实施的实际操作，却是不知从何下手。从某种程度上讲，现在的主要问题己经不仅仅是要普及内部控制知识，增强内部控制意识的问题，而是如何真正建立和实施内部控制的问题。本文根据我国企业当前内部控制的实际情况，结合国内外内部控制制度相关理论，指出了目前我国企业内部控制制度存在的基本问题，并在此基础提出解决问题的基本措施及建立企业内部控制制度基本过程及方法。本文针对怎么建立企业内部控制制度和有效的执行企业内部控制制度的问题，提出的建立内部控制制度的基本措施以及基本过程和实施方案，期望能够达到帮助企业建立内部控制制度和提高企业的管理水平目的。关键字 COSO报告；内部控制；内部控制执行How to establish enterprise internal control system analysisAbstractIn todays increasingly fierce market competition environment, perfect the internal control system is a priority. With the current economic conditions and the development of the situation, in order to adapt to the new social economic environment for enterprises to create economic benefits, maximizing the role of internal control, requests the enterprise internal control must constantly improve, must then development, incessant innovation. Chinas enterprise internal control building for enterprises to realize the sustainable development, as well as our country to realize the economic revitalization and full prosperity, is of great significance. The problem is, for most enterprise management personnel for, internal control though is not new, but how to carry on the internal control of construction and implementation of the actual operation, but dont know where to start. To some extent, now the ?In this paper, according to the current our country enterprise internal control the actual situation, at home and abroad with the internal control system of combining relevant theory, expounds the present our countrys internal control system problems to solve these problems and the basic processes and methods. How to establish enterprise internal control system and effective implementation of enterprise internal control system, this paper also puts forward the establishment of the internal control system of basic process and the basic measures and implementation plan, so as to improve the management level of enterprises and enterprise competitiveness.Keywords COSO report；internal control；internal control execution不要删除行尾的分节符，此行不会被打印- II -目录摘要IAbstractII第1章 绪论11.1 选题背景及意义11.1.1 选题背景11.1.2 选题意义11.2 国内外相关研究现状21.2.1 国外相关研究现状21.2.2国内相关研究现状31.3研究的内容4第2章 内部控制制度相关理论52.1内部控制制度的发展52.2内部控制制度的概念72.3内部控制制度的目标72.4内部控制制度的基本原则82.4.1合法性原则82.4.2全面性原则92.4.3重要性原则92.4.4有效性原则92.4.5相互制约原则92.4.6适应性原则92.4.7成本效益性原则102.5内部控制制度的要素102.5.1控制环境102.5.2风险评估102.5.3控制活动112.5.4信息与沟通112.5.5监督检查12第3章 我国企业内部控制制度的现状133.1 内部控制环境不完善133.1.1 组织机构不健全133.1.2 企业人员素质不高133.1.3 缺乏良好的企业文化143.2缺乏有效的风险管理机制143.3内部控制措施不完善153.4信息沟通不畅163.5内部监督乏力16第4章 如何建立有效的企业内部控制制度184.1 加强内部控制的基本措施184.1.1 改善内部控制环境184.1.2 加强风险评估机制194.1.3 强化内部控制措施204.1.4 加强信息沟通224.1.5 加强内部监督244.2 建立内部控制制度的基本过程244.2.1 明确控制目标244.2.2 整合控制流程244.2.3 鉴别控制环节264.2.4 确定控制措施264.3 制定企业内部控制制度的实施方案264.3.1 企业内部控制制度执行标准264.3.2 内部控制制度的实施方案27结论30致谢31参考文献32附录A33附录B38千万不要删除行尾的分节符，此行不会被打印。在目录上点右键“更新域”，然后“更新整个目录”。打印前，不要忘记把上面“Abstract”这一行后加一空行第1章 绪论1.1 选题背景及意义1.1.1 选题背景内部控制是现代企业管理的重要组成部分，它对确保企业有序开展各项工作和提高企业管理水平有着十分重要的作用。企业的一切经营活动都不能离开内部控制制度，“有控则强、失控则弱、无控则乱”。在美国，自2002年安然公司出现巨额会计造假案后，随后又爆发了环球电讯、世界通信、雷曼公司等一系列的财务丑闻。而在中国，财务舞弊现象同样引起了社会的关注。2004年，创维数码董事局主席黄宏生绕开董事会私自将公司款项4800万元打入自己的企业，被香港廉政公署拘捕；同年中国航油集团唯一的海外公司中国航油(新加坡)股份公司因严重的资不抵债，向新加坡最高法院申请破产保护；四川长虹因被美国合作伙伴APEX拖欠4.6亿美元巨款而遭受巨大的损失，2008年中信集团下属子公司中信泰富投资Accumulator(累计期权)一类衍生品不慎导致数百亿港元亏损。从这些财务舞弊案例中让当今的现代企业把眼光和注意力都转向了企业的内部控制系统，并逐渐意识到了企业内部控制体系的缺陷、失效所带来的影响和后果。更从上述一系列案中找到了内部控制的关键因素。一些文献也从不同层面、不同角度对此问题进行了研究、探讨，政府相关主管部门也积极推动企业内部控制制度的建设，先后颁布了相关法律法规。如美国的萨班斯一奥克斯利法案、日本颁布的(金融商品交易法。我国的企业内部控制制度基本规范于2008年率先在我国上市公司范围内施行，鼓励非上市的其他大中型企业参照执行。企业内部控制制度基本规范确立了我国企业建立和实施内部控制的基本框架，同时要求公司对其内部控制有效性作出评价并披露年度自我评价报告。因此如何建立和完善企业内部控制已经成为当务之急，它对我国企业的可持续发展经营有着重大而深远的影响。本文在指导老师的指导下对为什么要建立企业内部控制和怎么建立企业内部控制做了一些尝试性的探析。1.1.2 选题意义在知识经济到来的今天，影响企业经营的环境不仅日益复杂，而且越来越不稳定，如何增强企业的竞争实力，提高企业的经济效益，成为企业最关注的问题。然而有效的内部控制是现代企业保证经济效益同时还能保证企业的可持续发展的核心，是企业工作的基础，是企业成功不可或缺的要素。其作用相当的广泛，远不止防弊纠错，比较完善的内控制制度可以发挥一下几个方面的作用。第一，能够保护财产物资的安全完整。内部控制制度对财产物资的保管和使用采取各种控制手段，可以防止和减少财产物资被损坏，杜绝浪费、贪污、盗窃、挪用和不合理使用等问题的出现。第二，能够提高会计资料的正确性和可靠性。正确可靠的会计数据和资料是企业经营管理和决策者对企业预测未来、做出必要条件的有效途径。第三，能够保证国家对企业的宏观控制。第四，能够保证企业高效率经营。有效的内部控制制度，能够合理地对企业内部各个职能部门和人员进行分工控制、协调和考核、促使企业各部门及人员履行职责、明确目标，保证企业的生产经营活动有序、高效地进行。1.2 国内外相关研究现状1.2.1 国外相关研究现状1992年美国反虚假财务报告委员会下属的发起人委员会(The Colnlnittee of Sponsoring Organizations of The National Conunission of Fraudulent Finaneial Reporting)公布了内部控制整体框架报告，即COSO报告。该报告由四个部分组成，第一部分是概括，第二部分完整定义了内部控制并描述其框架的构成部分，第三部分是为编制对外报告提供指南的补充文件，第四部分介绍了评价内部控制的使用工具。COSO报告的主要内容是把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。同时提出内部控制是“过程”，五项控制要素不是内部控制过程中有先后次序上的一道道工序，而是一个多方向交叉的多维的反复的过程。COSO报告中的这些理念和思想，对企业管理、财会工作都有着重要影响，具有很强的现实意义。然而COSO报告自身也存在着局限性，首先忽视了董事会对内控系统重要性，虽然COSO把董事会与内部控制了联系起来，但仅局限于审批或授权的层面上，而对董事会的其它作用和与CEO之间的联系与制衡关注不够。其次评价内部控制的标准过于主观，三目标和五要素有时很难定量地表现出来。再有在防范风险上缺乏能动性。美国国会于2002年7月通过了萨班斯一奥克斯利法案。该法案的核，心就是以法律的形式明确管理层的责任，加重惩罚力度，从法律的角度强制要求上市公司管理层提供内部控制报告，并需经外部审计师鉴证。该法案主要强化了上市公司财务信砂息批露义务，加大了公司的财务报告责任；要求公司进行管理体制的改革，建立有效的内部控制体系；加重了违法行为的处罚措施，明确严重的违法所适用的刑法；强调并加强了审计委员会的角色和独立性；提出了更多的关于审计师独立性的约束。人们在风险管理实践中逐渐认识到，一个企业内部不同部门或不同业务的风险，有的相互叠加放大，有的相互抵消减少。企业如果仅仅从某项业务、某个部门的角度考虑风险，势必会对风险应对不周。因此企业必须根据风险组合的观点，从贯穿整个企业的角度看风险。COSO委员会从2001年起开始进行这方面的研究，2004年4月美国COSO委员会在内部控制整体框架的基础上，结合萨班斯一奥克斯法案在报告方面的要求，同时吸收各方面风险管理研究成果，颁布了企业风险管理整体框架(ERM)。旨在为各国的企业风险管理提供一个统一术语与全面的概念体系。ERM总共分为两部分：第一部分介绍了基本框架，概括了企业风险管理的概念和原则，第二部分用举例的方式介绍了应用技术。风险管理框架主要包括四大目标，八个要素。四大目标分别是战略目标、经营目标、报告目标、合规目标。八个要素为内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。1995年加拿大控制基准委员会(The Canadian Criteria of Control Board，简称COCO委员会)布了关于内部控制的框架性文件控制指南。该指南对内部控制的定义与作用、内部控制的构成要素、内部控制标准、内部控制的参与者几方面进行了阐述。在构成要素方面，COCO内部控制框架选取的四要素与COSO内部控制框架的五要素截然不同。COCO内容控制要素包括目的、承诺、能力、监控和学习四个方面。COCO内部控制框架尤其重视内部控制参与者，即人的作用。COCO框架中的四个要素目的、承诺、能力、监控和学习均与人密切相关。COCO委员会在1999年还发布了评估控制指南，重点评估关于目标的信息和风险管理。1999年英格兰和威尔士特许会计师协会(工CAEW)组成的工作小组公布了内部控制：综合准则董事指南，即特恩布尔报告。旨在为上市公司执行准则中与内部控制相关的要求提供具体指南。其主要内容有：一是公司的内部控制应能够反映其内在控制环境，主要包括控制活动、信息和沟通程序以及持续性监督程序。二是董事会对公司的内部控制负责，应制定正确的内部控制政策，确保内部控制系统得到有效发挥。三是执行风险控制政策是管理层的职责，管理层应确认、评价公司所面临的风险，并执行董事会所设计、运行的内部控制政策。1.2.2国内相关研究现状2008年我国财政部、证监会、审计署、银监会和保监会五部门联合发布了企业内部控制基本规范(简称基本规范)。由于目前我国企业内部控制规范体系仍处于一个起步阶段，必须研究国外内部控制领域的成功经验，因此基本规范借鉴了COSO内部控制框架。基本规范基本沿袭了COSO报告，内部控制的定义、构成要素基本相同；控制目标类似，但基本规范比COSO报告多一项“促进企业实现战略目标”，此战略目标是沿袭2004年风险管理框架中的战略目标定义。然而，基本规范并非完全照搬昭抄COSO的内部控制框架，而是结合了我国企业的实际情况，在内容上做了较大调整，在表达方式上更符合我们国家的习惯。2010年4月，财政部、证监会、审计署、银监会、保监会联合发布了企业内控控制配套指引。该配套指引包括企业内部控制应用指引、企业内部控制评价指引和(企业内部控制审计指引。企业内部控制应用指引从组织结构、企业文化、人力资源、资产管理、销售业务等环节进行了规范，旨在给企业就如何建立及完善内控等问题提供指导。企业内部控制评价指引从评价的原则、内容、程序、缺陷的认定及评价执行报告五方面进行了阐述。企业内部控制配套指引连同企业内部控制基本规范，标志着适应我国企业实际情况、融合国际先进经验的企业内部控制规范体系基本建成。1.3研究的内容本文通过查阅资料对当今企业内部控制制度做了初步的调查，指出了当今我国企业内部控制制度存在的问题，提出了如何建立有效的企业内部控制制度的具体措施。全文共分四章：全文共分四章： 第一章，绪论。介绍了本文选题背景、选题意义、国内外相关研究现状、研究内容。第二章，内部控制制度相关理论。介绍了内部控制制度的发展历史、什么是内部控制制度以及建立内部控制制度的原则、五大要素和内部控制制度的目标。第三章，我国内部控制制度现状。介绍了目前我国企业内部控制制度所存在问题。第四章，如何建立有效的企业内部控制制度。这是本文的主要章节，提出了解决第三章内控控制制度存在的问题的方法，建立内部控制制度的步骤和实施方案。本文以国内外相关理论为基础，尝试性地探析了建立内部控制制度的有效路径。第2章 内部控制制度相关理论2.1内部控制制度的发展现代意义上的内部控制是在长期的经营活动过程中，随着企业对内加强管理和对外满足社会需要而逐渐产生并发展起来的自我检查、自我调整和自我制约的系统。伴随内部控制实践的逐渐丰富，内部控制理论的发展也经历一个漫长的过程，先后出现了内部牵制、内部控制制度、内部控制结构和内部控制整体框架四个阶段和全面风险管理阶段。第一，萌芽期内部牵制阶段。内部牵制是一种非常古老的管理思想，是内部控制的基本思想和初级形式。从巧世纪末到20世纪初，在经济发展较快的西方资本主义国家，内部牵制得到了较快发展，并逐渐演化为企业各项管理制度的核心。早期的内部控制基本上是以查错防弊为目的，主要采用的方法是职务分离和账目之间的相互核对。柯氏会计词典(Kohler Dictionary for Accountant)对内部牵制的定义是：“以提供有效的组织和经营，并防止错误非法业务发生而制定的业务流程。其主要特点是以任何人或部门不能单独控制一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查和交叉控制。实行有效的内部牵制以便使每项业务能完整地经过规定的处理程序，而在这规定的处理程序中，内部牵制机能永远是一个不可缺少的组成部分。”可见，内部牵制思想的核心是强调一项业务必须经过多人甚至多个部门的参与，这样一来任何业务流程都必须经过多道环节和人员的交叉检查和控制，自然可以在很大程度上减少无意识的出现差错和有意识的营私舞弊现象发生的可能性。内部牵制概念是建立在两个基本假设的基础之上的：一是两个或两个以上的人或部门无意识的犯同样的错误的可能性是很小的；二是两个或两个以上的人或部门有意识的串通舞弊的可能性大大低于一个人或一个部门舞弊的可能性。第二，成长期内部控制制度阶段。内部控制的概念是随着经济的发展，在内部牵制的基础上发展起来的。从20世纪40年代至70年代初，在内部牵制的基础上，产生了内部控制制度的概念和实践。第二次世界大战以后，面对日益扩大的生产规模和激烈的竞争环境，管理者一方面实行分权管理，另一方面又需要采取比单纯的内部牵制制度更为完善的控制措施，由此逐步形成了由组织结构、岗位责任、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。为了给内部控制下一个准确而完整的定义，美国注册会计师协会(AICPA)的审计程序委员会(CA卫)经过两年研究，于1949年在内部控制：一种协调制度及其对管理当局和独立注册会计师的重要性的报告中首次对内部控制作出了权威性定义：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施目的在于保护企业的财产，检查会计数据的准确性，提高经营效率，促进企业执行既定的管理政策。”1958年该委员会又发布了第29号审计程序公告(独立审计人员评价内部控制的范围，将内部控制分为内部会计控制和内部管理控制两类。1986年，最高审计机关国际组织在第十二届国际审计会议上发表的总声明对内部控制作出了权威性解释：“内部控制作为完整的财务和其它控制体系，包括组织结构、方法程序和效果性，保证管理决策的贯彻，维护资产和资源的安全，保证会计记录的准确和完整，并提供及时的、可靠的财务和管理信息”。第三，发展期内部控制结构阶段。20世纪80年代以后，西方对于内部控制的理论研究又有了新的发展，人们对内部控制的研究重点逐步从一般涵义向具体内容深化。1988年美国注册会计师协会发布审计准则公告第55号会计报表审计中对内部控制结构的关注，首次以采用内部控制结构的提法替代内部控制，该公告指出：“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。”这是内部控制理论研究中的一个突破性研究结果。具体包括控制环境、会计制度、控制程序等方面的内容。在这三个构成要素中，控制环境是内部控制结构的基础和前提，会计控制是内部控制结构的关键要素，控制程序是保证内部控制结构有效运行的机制。内部控制结构这一概念特别强调了管理者对内部控制的态度、认识和行为等控制环境的重要作用。内部控制结构概念的提出，适应了经济形势发展和企业经营管理的需要，因而得到了会计审计界的认可。20世纪80年代末兴起的风险基础审计法就是在这一概念基础之上产生和发展起来的。我国注册会计师全国统一考试教材对内部控制的阐释也是从这三个方面展开的。第四，成熟期内部控制整体结构框架阶段。1992年，美国国会的“反对虚假财务报告委员会”下属的美国会计学会、美国注册会计师协会(从CPA)、内部审计师协会(AAA)、财务经理人协会(FEI)和管理会计学会(IMA)共同赞助成立的一个专门研究内部控制的问题委员会(Committee of Sponsoring oanizations of the Trea way Commission，简称COSO委员会)，于1992年发布其研究报告内部控制整体框架，提出了内部控制结构概念并将其分为控制环境、风险评估、控制活动、信息与沟通和监督。经过两年的修改，1994年COSO委员会提出对外报告的修改篇，扩大了内部控制涵盖范围，增加了与保障资产安全有关的控制，得到了美国审计署(GAO)的认可。目前，COSO委员会提出的内部控制结构理论被认为是权威的专业机构对于内部控制整体框架的最新解释，己在世界范围内得到广泛的认可。COSO报告将内部控制定义为：“内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程”。其构成要素应该来源于管理阶层经营企业的方式，并与管理的过程相结合。该公告将内部控制分为五个一体性的要素，这五要素之间是不可分割相互联系的有机整体。第五阶段，是企业风险管理和内部控制阶段(主要是20世纪90年代末至今)。这一阶段的标志性成果是科索委员会于2004年9月的研究报告企业风险管理整合框架，并提出了八要素理论，包括内部环境、事项识别、目标设定、风险应对、风险评估、信息与沟通、控制活动、监控。这一时期的明显变化是将内部控制上升至全面风险管理的高度。2.2内部控制制度的概念由于内部控制为许多重要目的服务，从而对更好的内部控制系统的呼声不断增加。内部控制越来越被视为一种解决各种潜在的问题的好办法。内部控制对于不同的人有不同的理解，它引起了商人、立法机构、监管机构和其他人之间的混乱，因而在企业内部发生了错误的传递和期望的差异。如果不清晰地进行定义，那么，当它们被写进法律、规章、规则时，诸多问题就会被混杂在一起。国内外主要有以下几种定义：第一，COSO报告指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。第二，中国财政部对内部会计控制定义：内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。 第三，清华大学会计研究所对内部控制的概述：内部控制是为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵性，而自行检查、制约和调整内部业务活动的自律系统。其贯穿于经营活动的全部过程，包括控环境、风险评估、控制活动、信息与沟通，监督等要素，并受企业董事会、管理阶层及其他人员的影响。2.3内部控制制度的目标内部控制的目标是指内部控制要达到的预期效果和基本任务，内部控制的总体目标是实现企业的目标。COSO关于内控的三大目标是，财务报告的真实可靠、法律法规的遵循、经营的效率效果。从内部控制的发展历程看，内部控制目标呈多重化发展。由最初的防弊纠错、保护资产发展到能使企业提高经营效率和效果，由单纯遵循管理政策发展到对相关法律法规及企业规章的遵守，由最初的只重视会计控制发展到会计控制及管理控制并重，进而形成了内部控制的整体框架，更突出了对风险的重视。企业的内部控制应辐射所有重要的方面，是一种全方位、宽领域的控制。从内部控制理论发展过程看，内部控制的目标有：第一，保护企业资产的安全、完整及对其的有效使用。第二，保证会计信息及其他各种管理信息的存在、可靠和及时提供。第三，保证企业制定的各项管理方针、制度和措施的贯彻执行。第四，尽量压缩、控制成本、费用，减少不必要的成本、费用，以求企业达到更大的盈利目标。第五，预防和控制且尽早尽快查明各种错误和弊端，以及及时、准确地制定和采取纠正措施。第六，保证企业各项生产和经营活动有秩序有效地进行。为了达到内部控制的目的，应预先确立衡量实际绩效的标准;正确记录经济业务执行情况，并将工作实绩与标准目标进行比较，借以发现差异并分析造成差异的原因以及各种因素对差异的影响程度；针对偏离目标和标准的现象，提出纠正的措施予以补救。还应注意一些特定控制程序的执行，如核对会计记录数字的准确性，保持调节表、日常编报资料和试算表，核准与控制各种凭证，同外部资料比较，将现金、有价证券和记录核对预算与执行结果比较等。2.4内部控制制度的基本原则立内部控制制度应遵循的基本原则就是根据内部控制制度的控制目标，对建立和设计内部控制制度具有规律性和普遍意义的知识进行高度抽象概括所形成的、具有指导性的法则和标准。它回答为实现控制目标应当如何指导科学建立和设计内部控制制度的问题。没有正确的指导原则，就不可能设计出科学完善的内部控制制度。通常建立内部控制制度应遵循以下原则：2.4.1合法性原则企业制定的内部控制应当符合国家有关法律、法规的要求，满足政府监管部门的监管要求，应当符合企业集团和本企业制定的管理制度要求。合法性原则是建立内部控制中最根本的原则和基本前提。企业建立的内部控制体系应当是在国家宏观控制和指导下进行，并且与宏观控制制度协调一致。所以，企业在内部控制体系构建和实施过程中一定要遵守国家的各项方针政策，符合法律、法规的要求。2.4.2全面性原则内部控制在层次上应当涵盖企业董事会、管理层和全体员工，在对象上应当覆盖企业各项业务和管理活动，在流程上应当渗透到决策、执行、监督、反馈等各个环节，避免内部控制出现空白和漏洞。企业构建内部控制体系时要综合考虑实际情况，制定出包括企业经济活动各个环节全面的内部控制制度，找出各经济业务处理过程中的关键控制点，将内部控制制度落实到企业的决策、执行、监督和反馈等各环节，保证经济活动的顺利开展。它不仅包括企业最高管理层用来进行授权和指挥，从事经济活动的各种方法，还包括为企业经济活动进行经济决策分析、计划、控制和评价而制定或设置的各种规章制度。2.4.3重要性原则内部控制应当在兼顾全面的基础上突出重点，针对重要业务与事项、高风险领域与环节采取更为严格的控制措施，确保不存在重大缺陷。2.4.4有效性原则内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。2.4.5相互制约原则没有相互制约就没有科学严密的内部控制，一切控制目标均难以实行。所以，相互制约原则是建立和设计内部控制制度应遵循的核心原则。设计时的具体做法是，凡属具有固定风险的经济事项或会计核算所涉及的不相容职务均应予以分离，并从纵向和横向两个方面设计相互监控制约的关系予以严格控制。所谓纵向制约关系就是凡属办理具有固定风险的经济事项或账务处理均应由上下两级参加核查签署，而从纵向上所形成的相互监控制约关系；所谓横向制约关系就是凡属办理具有固定风险的经济事项或账务处理均应由无隶属关系的两个部门或两人参加核查签署，而从横向上所形成的相互监控制约关系。如有人妄图作弊就必须上下左右串通一气方能得逞。巨大的暴露风险将使作弊者望而却步。如发生无意识的差错，也易于及时发现和纠正，从而防止错弊行为的发生，达到科学严密控制的目的。任何人不得拥有凌驾于内部控制之上的特殊权力。2.4.6适应性原则内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求，并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。2.4.7成本效益性原则内部控制应当在保证内部控制有效性的前提下，合理权衡成本与效益的关系，争取以合理的成本实现更为有效的控制。企业应当遵照内部控制的上述基本原则，将内部控制的基本要素与企业内部的各个层级、各项业务和各个环节有机结合，以确保有效实现内部控制的基本目标。2.5内部控制制度的要素企业内部控制涵盖企业经营管理的各个层级、各个方面和各项业务环节。不同所有制形式、不同组织形式、不同行业、不同规模的企业可以结合实际情况，从不同的角度入手建立健全内部控制。但是，建立有效的内部控制，至少应当考虑以下基本要素：2.5.1控制环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。环境要素是推动企业发展的引擎，也是其他一切要素的核心，是内部控制其他要素作用的基础。良好的内部控制需要依靠企业管理者长期不懈的努力来建立和维持，包括一系列的健全有效的内部控制制度和一套公正合理的激励机制。2.5.2风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。其主要包括：第一，目标设定。企业必须制定目标，该目标必须和销售、生产、行销、财务等作业相结合，保证公司的发展目标符合国家要求和公司的情况，保证公司的发展目标得以落实。第二，风险识别。风险识别包括对外部因素(如技术发展、竞争、经济变化)和内部因素(如员工素质、公司活动性质、信息系统处理的特点)进行检查。第三，风险分析。风险分析涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等。第四，风险应对。企业也必须设立可辨认、分析和管理相关风险的机制，以了解自身所面临的风险，并适时加以处理。2.5.3控制活动控制活动是企业根据风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，采用相应的控制措施，将风险控制在可承受度之内。控制活动包括一系列不同的活动，主要有以下几种：第一，不相容职务分离控制。某些职务如由一名雇员担任，既可以弄虚作假，又能够自己掩盖其作弊行为的那些职务。其总体原则：授权审批与申请、授权审批与执行、执行与监督审核、执行与记录、细账与总账、保管财物与使用财务。第二，授权审批控制。授权批准控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。其原则有：目的性原则、信任原则、权责对等原则、充分授权原则、合理性原则等。其范围有：无授权不能行使权力、所有业务不经授权不能执行、所有业务一经授权必须执行。第三，财产保护控制。企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产的安全完整；严格限制未经授权的人员接触和处置财产。第四，预算控制。预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中职责权限，规范预算的编制、制定、下达和执行程序，强化预算约束。预算编制的方法：按其出发点的特征不同，编制全面预算的方法可分为增量预算法和零基预算法。按其业务量基础的数量特征的不同，编制全面预算的方法可分为固定预算法和弹性预算法。按其预算期的时间特征不同，编制全面预算的方法可分为定期预算法和滚动预算法。第五，绩效考评控制。绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，讲考核结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。2.5.4信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。内部信息包括会计制度，即由管理当局建立的记录和报告经济业务和事项，维护资产、负债和业主权益的方法和记录。沟通是使员工了解其职责，保持对财务报告的控制。它包括使员工了解在会计制度中他们的工作如何与他人相联系，如何对上级报告例外情况。沟通的方式有政策手册、财务报告手册、备查簿，以及口头交流或管理示例等。2.5.5监督检查监督检查，是指企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面检查报告并作出相应处理的过程。企业应当加强对内部控制及其实施情况的监督检查。监督检查的方式主要包括持续性监督检查和专项监督检查等。第一，持续性监督检查，是指企业对建立和实施内部控制的整体情况所进行的连续的、全面的、系统的、动态的监督检查。第二，专项监督检查，是指企业对内部控制建立与实施的某一方面或者某些方面的情况所进行的不定期的、有针对性的监督检查。持续性监督检查和专项监督检查应当有机结合。第3章 我国企业内部控制制度的现状现目前我国对内部控制制度的认识和重视程度相对于国外来说，处于一个起步阶段。在我国市场经济尚不完善的条件下，我国企业内部控制制度存在诸多问题。主要体现在以下几方面：3.1 内部控制环境不完善3.1.1 组织机构不健全在市场经济背景下，我国内部控制制度没有形成统一的概念，企业部门分割较多导致权责不清，公司管理混乱等问题。我国资本市场很不健全的运行机制和以及虚置内控组织，法人治理结构还没完善，使交易不规范，非法牟取暴利成为一种普遍现象。虽然我国许多上市公司设立了股东会、董事会、监事会和总经理等机构，但现代企业运行机制不健全和还没有完善，控股股东几乎控制了公司的股东大会、董事会和监事会，股东大会对财务报告的约束比较薄弱。董事会中绝大多数是控股股东代表，而且大多又是企业的管理者，董事会的监控作用被严重弱化，没有明确界定股东会、董事会、审计委员会和管理者的权限，其责任存在错位是必然的现象。监事会成员往往是企业内部人员，与被监督者是上下级关系，对董事和经理的监督作用有限，再加上专业知识的缺乏结果，往往监督流于形式难以发挥作用。目前我国国有企业管理者的产生仍然由政府决定，企业管理者用行政命令的方式对企业进行治理的习惯还没有改变，常常集执行权、控制权、监督权于一身，是明显的内部人控制现象，还不是真正地管理企业。3.1.2 企业人员素质不高企业人员的的业务素质在企业经营中有绝对重要的作用，企业人员素质的高低不同，对企业发展影响也不同。近些年，企业发展迅猛，随之而来的是对会计人员的需求较大。会计队伍扩大速度快，但对会计人员的业务培训、职业道德教育的速度还没有跟上，有些培训流于形式，也没能对会计人员素质的提高起到促进的作用。有些企业会计人素质较低，缺少应有专业知识储备，使内部控制体制的运行不畅。具体表现在，一些不具备会计从业资格的人员也工作在重要的会计工作岗位上，有些老会计人员虽然具备从业资格，但还不能跟上社会进步，时代发展的形势，知识没有及时更新，还在吃老底，不熟悉法律，对新准则、制度懂得也不多，还不加强学习。还有部分会计人员缺少职业道德，无视财经纪律，弄虚作假，造成会计信息不真实，财务报表被歪曲等，这些都不同程度地制约和限制了企业内部控制制度的执行。3.1.3 缺乏良好的企业文化企业文化，是指企业在经营管理过程中形成的、影响企业内部环境和内部控制效力的精神、意识和理念，主要包括企业的整体价值观，高级管理人员的管理理念、经营风格与职业操守，员工的行为守则等。在知识经济的背景下，一个企业有良好的企业文化显得非常的重要。然而很多企业并没有形成自己的独立文化，即使规定出各种规章制度来，但没有形成良好的执行氛围，没有很好地将企业制度与文化、习惯、行为标准很好的结合起来。事实已经证明，没有自己的企业文化作支撑，“为控制而控制”肯定是事倍功半的，只要企业发生一小点的变故，如总经理换人，企业就会成为一盘散沙。企业文化与企业管理的素质是密切相关的。只有管理者有高尚的道德、健康的人格和完善的价值观念，才能影响和激励企业文化的建设。而企业形成独立的文化氛围的基础在员工素质的提高，所以，必须重视和加强对员工的培训教育。但现实情况是员工培训已经步入了“恶性循环”。如承包经营，租赁经营等形式，股份制企业约束机制不到位等，导致经营者的短期行为，不重视职工的教育培训；企业效益不佳，教育基金没有足够来源，从而职工素质得不到提高，进而导致企业效益再度滑坡，形成恶性循环；教育手段软弱，只重视思想品德、制度宣传的软性教育，而忽视对道德败坏，践踏法制者的硬性规定处罚教育，存在有法不依、违法不究的普遍现象；管理措施不力，对管理者、会计人员、内部审计人员缺乏职业化系统管理，内部激励机制不够完善。3.2缺乏有效的风险管理机制由于社会经济环境的变化，企业间的竞争也越来越激烈，企业的经营管理层会面临来自各个方面风险。按照公司目标的不同对风险进行分类,公司风险分为：战略风险，没有制定或制定的战略决策不正确,影响战略目标实现的负面因素；经营风险：经营决策的不当,妨碍或影响经营目标实现的因素。财务风险：包括财务报告失真风险、资产安全受到威胁风险和舞弊风险。财务报告失真风险，没有完全按照相关会计准则的规定组织会计核算和编制财务会计报告,没有按规定披露相关信息,导致财务会计报告和信息披露不完整、不准确、不及时；资产安全受到威胁风险，没有建立或实施相关资产管理制度,导致公司的资产如设备、存货、有价证券和其他资产的使用价值和变现能力的降低或消失；舞弊风险，以故意的行为获得不公平或非正当的收益。然而，从现状看来，企业对所面临的风险认识不足，重视度不够，更缺乏有效地的风险管理机制，企业的风险意识没有提到相应的高度，还停留在计划经济条件下卖方市场的水平上。企业应对管理人员加强相应的管理培训，提高管理人员的风险认识是企业可持续发展的必备条件。3.3内部控制措施不完善由于我国本身的资本市场不健全，使得我国企业对内部控制的重视度不够，加上企业内部环境、内部监督不力等因素影响导致了企业内部控制措施缺乏可操作性。虽然我国于2008年颁布了企业内部控制制度基本规范在一定程度上统一了内部控制制度的标准，但相对于美国COSO报告权威性很高的内部控制制度标准还有很大差距。目前我国企业内部控制活动存在的问题主要体现在以下几方面：第一，企业内部控制目标不明确。有目标才又前进的方向，一个企业有明确的内部控制目标是企业经营管理的基本要求，又是企业的最终目标。然而我国企业由于自身对内部控制制度认识不够，一味追求目前的商业利益忽略了企业本身的最终目标。第二，企业内部控制手段落后，控制方式单一。当今企业只注重企业的生产经营，以及一些看得见、摸得着的资产管理，忽视了内部控制先进化和多样在企业内部控制中的运用，比如：高速发展的信息化手段在企业内部控制的运用；其次由于企业内部环境影响，使得企业内部控制制度很难在企业中发挥作用。第三，内部控制制度设计存在风险。由于企业各种活动面临的风险有差异，根据内部控制的成本-收益原则，内部控制在设计中应根据具体风险评价结果，采取不同程度的控制。对风险高的程序和活动，应加强内部控制，较多地进行控制投入，反之可减少不必要的控制。我国内部控制未能结合风险评估，做出合理的内部控制设计，形成部分行业控制风险较高舞弊屡屡发生的现象。第四，企业内部控制程序没有得到有效的执行。我国企业在会计制度中虽然建立了职责分离相互牵制的制度，但实践中未能有效实施。首先，内部控制的执行需要企业从高层到基层的一致遵守和规范约束。一旦高层以权力破坏内部控制执行，则整个内部控制体系将名存实亡。从企业会计控制程序看，企业中会计职位虽然能做到分离，但仍存在责任不明的状况。内部授权中权责模糊，会计人员往往屈从于外部压力，背离控制程序。其次控制过程中，存在超越权限行事和职位设置与人员配备不当的状况。在职位设置的基础上，企业应选择能够胜任职位要求的人员从事该工作，选择时应考虑相关岗位任职的独立性，要求从客观上减少由于控制活动设计不合理，出现员工舞弊的可能性。在企业中，存在因人设职而非因事设职、因职选任的状况。企业中关联关系繁杂。职位设置中的独立性很难保证。最后，企业热衷于岗位专业化，职位轮换制度应用不普遍。企业强调员工在同一岗位的经验，忽视职位轮换。尤其在小企业中，存在一人身兼数职的现象。在部分家族企业中职责分工制度存在，但回避但原则未得到遵循。一家人承担了从审核、做账到出纳的资金流转全过程。员工长期从事一个固定的职位，不进行职位轮换。这些控制活动上的问题客观上增加了出现舞弊的可能性。3.4信息沟通不畅一个良好的信息沟通系统，是确保组织中每个人都清楚其所承担的职务和责任的保证。企业内部控制信息系统是指对企业经济业务进行记录、处理、归纳、报告并保持相关资产、负债和所有者权益的一记录及方法。信息和沟通系统的作用是协调各方利益，使各级管理者及时掌握营运的状况和组织中发生的问题，确保其对自己责任范围的控制，并且利用反馈信息对工作中的失误采取尽可能的补救措施。经营者通过信息系统了解竞争对手的经营状况，财务成果和市场的发展变化，而且还可以通过财务报告等形式向社会提供必要的会计信息。有的企业人员为了一已私利，利用企业内部控制不完善、内控不严的漏洞，挪用公贪污或盗窃资金，或与外部不法人员相勾结，利用虚假发票非法侵占企业资产，造成国有资产遭受重大损失，致使会计信息失真，违法违纪现象时常发生。3.5内部监督乏力内部控制制度监督可分为内部监督和外部监督两个反方面。第一，由于企业内部控制值和管理机制不健全，企业管理层人员素质不高等因素影响导致企业内部监督没有得到有效的贯彻执行。第二，由于社会环境影响导致企业的外部监督也没有得有效的执行，如会计师事务所的执业环境不规范、业务竞争不正当以及对注册会计师本身监督不力，使得其没有发挥出来应有的监督作用。管理层对内控认识不足，对内部控制制度缺乏重视，造成内部控制制度失效。因此，管理层对内部控制的态度在很大程度上决定了内部控制执行的有效性。由于企业管理层内控意识淡薄，企业对管理层的的行动和权力监督失去制约，而使企业的内部控制远远没有达到某种“控制文化”的程度，也会致使有章不行，执行不力成为普遍问题。管理层把本应由集体决定的权力独揽一身，尤其是在有关财务方面更是体现出管理层的主观意志，时常出现主要领导既批钱又管花钱的事，有些企业一个人承担会计和出纳的两项工作，采购兼验收一个人等现象，造成会计信息失真，严重违反财经法规的问题屡见不鲜。内控制度不健全，甚至于根本就未建立内部控制制度，致使企业缺乏明确的控制制度、标准和程序；制度执行的范围和执行力度往往受管理者的级别影响着，管理者本身不以身作则地遵守有关控制规定，逾越控制，甚至滥用职权，造成了内部控制制度的威慑力和信任度下降，控制制度失效；尽管建立了内部控制制度而且也较为全面，但由于仅停留在纸上，有令不行、执法不严，只用于应付外部审计。使内部控制制度未能发挥有效作用，由于执行过程中监督不力，前紧后松、缺乏跟进，大大削弱了内控的执行力。第4章 如何建立有效的企业内部控制制度COCO将“有效控制”定义为：企业能否可靠地实现其目标取决于其能在多大程度上合理保证企业目标的实现。在多大程度上合理保证企业目标的实现。INTOSAI认为，有效的内部控制应符合三个标准，即适时适量标准、成本效益标准、功能设计的一贯性标准。KPMG（1999）在其内部控制：实务指南中强调内部控制有效性包括设计有效性和执行有效性两方面，而保证内部控制有效性需要一个持续的监督过程。PCAOB（2004）A S2要求管理当局对企业的内部控制进行评估，审计人员要对管理当局就内部控制有效性评价是否公允做出评价，发表审计意见。此外，国外学者Kinney（2000）认为，有效的内部控制过程实质上是对企业大量的信息进行管理以支持企业管理者的管理决策过程和保护企业的资产，合理保证企业目标的实现。Tommie Singleton（2002）认为，建立有效的内部控制环境是为了确保建立充分、相应的政策，配合有效的监督和报告系统以确保管理者的目标能够实现。4.1 加强内部控制的基本措施4.1.1 改善内部控制环境组织控制主要包括：确定单位的组织形式，制定人力资源政策，明确相关的管理职能和报告关系，以及为每个组织单位内部划分责任权限。 第一，企业应当依据中华人民共和国公司法和其他相关法律法规的规定，结合企业章程和实际情况，建立规范的法人治理结构，促进企业内部控制的有效运行；应当科学界定决策、管理、执行、监督各层面的地位、职责与任务，形成有效的分工和制衡机制，切实发挥相关机构的职能作用，为企业内部控制的建立和实施提供强有力的组织结构保障和工作机制保障。根据经营目标、职能划分和管理要求，明确高级管理人员、各职能部门和分支机构以及基层作业单位的职责权限，将权利与责任分解到具体岗位，为内部控制的有效实施创造良好条件；应当通过内部管理制度汇编、员工手册、组织结构图、业务流程图、岗位描述、权限指引等适当方式，使企业员工了解和掌握内部机构设置及权责分配情况，促进企业各层级员工明确职责分工，正确行使职权，并加强对权责履行的监督。第二，人力资源政策是企业的血液，健全完善的人力资源政策，是企业可持续发展的有力保障。它可以提高管理层及企业员工是职业素质，改善企业文化。人力资源政策包括：（1）员工的聘退与培训；（2）员工的薪酬、考核、晋升与奖惩；（3）财会等关键岗位员工的轮岗制衡要求；（4）对掌握重要商业秘密或核心技术等关键岗位员工离岗的限制性规定。企业应当将职业道德素养和专业胜任能力作为选拔和聘用员工的重要标准，并适当关注应聘者的价值取向和行为特征是否与本企业的企业文化和内部控制的有关要求相适应；重视并加强员工培训，制定科学、合理的培训计划，提高培训的针对性和实效性，不断提升员工的道德素养和业务素质；建立和完善针对各层级员工的激励约束机制，通过制定合理的目标、建立明确的标准、执行严格的考核和落实配套的奖惩，促进员工责、权、利的有机统一和企业内部控制的有效执行。如果管理层重视对单位内职工的投资、管理和使用，合理配置组织内的人力资源，职工所创造的价值必然会增加；反之，就会造成人力资源价值的不充分发挥，甚至损失和浪费。4.1.2 加强风险评估