企业内部控制规范建设理论与实务研究.docVIP

企业内部控制规范建设理论与实务研究 　　【摘 要】随着本世纪初世界范围内公司舞弊事件的暴发，内部控制对于加强企业风险管理，防止企业失败的重要作用已经得到了理论界和实务界的普遍认可。本文以大型企业为对象，以COSO风险管理框架为标准，对企业现行内部控制的理论和实务问题进行了粗浅的探讨，希望对深化内部控制研究有所帮助。 　　【关键词】内部控制；风险管理；控制环境；预算管理 　　2004年，为遵循《萨班斯法案》的要求，美国反虚假财务报告委员会发起人委员会（COSO）又发布了《企业风险管理——整合框架》，为强调了风险管理的重要性，将原有的《企业内部控制——整体框架》中的风险评估要素细化为目标确定、事件识别、风险评估、风险反应四个要素，从而将内部控制由五要素扩展为八要素。2008年，我国财政部、证监会等五部委联合发布了《企业内部控制基本规范》之后，我国大型企业开始按照规范要求进行了内部控制方面的重建工作。但是，就整体上而言，我国企业现有企业的内部控制不管是在完整性，还是在系统性方面与标准化的内部控制规范相比，均存在不小的差距，直接影响了内部控制的执行力，迫切要求进一步加强理论研究工作，以便为企业内部控制实践提供理论依据。 　　一、企业内部控制理论综述 　　美国反虚假财务报告委员会总共发布了两个内部控制文件，一个是《企业风险管理——整合框架》，另一个是《企业风险管理——整合框架》。后者主要是针对本世纪初美国一系列公司舞弊事件提出的，更强调了风险管理的重要性，其理念与企业面临的多变的经济环境比较吻合。所以，2008年，我国《企业内部控制基本规范》在形式上采纳了《企业风险管理——整合框架》，但是在理念上全面接受了《企业风险管理——整合框架》，故本文主要以这两个文件为依据，展开对内部控制的研究。（1）内部控制目标。根据COSO企业风险管理框架，企业内部控制目标是保证经营的效果和效率、财务报告的可靠性、法律法规的遵循性、企业资产的安全性和企业战略的实现。该框架不再以财务报告为唯一目标，要求内部控制涵盖企业经营管理的全过程，并且以企业???略为落脚点，提升了内部控制的层次。（2）内部控制的主体和客体。随着内部控制实践和理论的发展，企业内部控制的要素和内容也在不断扩展，企业内部控制的主体和客体也随之不断扩大。内部控制的主体由最初的最高管理层提升到到董事会层，把内部控制提升到了公司治理层面；、和所有员工，内部控制客体范围则由最初的财务活动扩大到企业所有经营活动、董事会、管理层、企业风险项目及企业所有员工。（3）内部控制要素。内部控制是一个框架性的概念，它由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成，各要素相互支持、互相制约，缺一不可。第一，控制环境。控制环境是影响企业战略实现的各种内外因素的组合。控制环境包括公司治理、组织结构、员工的职业道德、管理人员的管理哲学和风格、各部门的权责分配、企业人力资源政策等，为企业战略实现提供了组织构架和运行规则，是其他控制要素发挥作用的前提和基础。外部环境包括行业特征、市场竞争态势、国家产业政策和政府监管等，它是影响企业发展战略实现的外在因素。第二，风险评估。风险评估是对影响企业战略实现的各种风险及其发生概率和影响程度所进行的评定和估算，目的是为企业制定风险管理策略提供依据。风险是指影响企业战略实现的各种不利因素，风险评估的核心是管理风险，所以企业必须将相关的风险与具体的业务活动建立联系，以便借助于业务活动控制对风险进行管理。这就要求企业必须要建立完整和有效的风险评估机制以识别、评估和应对对企业实现战略实现具有重要不利影响的风险因素。第三，控制活动。控制活动指为保证企业战略实现的各种政策和程序，它包括一系列针对经营管理的制度、政策和活动。控制活动应当贯穿于企业经营管理活动的始终和所有的层面，也就是说，控制活动应当作用于企业所有岗位和所有员工。第四，信息与沟通。信息是企业管理的基础，也是企业风险管理的基础。根据风险管理的要求，企业所有员工应当充分了解自己在内部控制中的角色和岗位职责。同时，企业还应当建立的开放的信息收集和沟通渠道，加强与客户和供应商等利益相关者的联系，以保证顾客可以通过信息沟通渠道向企业反聩关于产品或服务的设计或质量要求方面的需求信息，帮助企业提高及时响应市场的能力。第五，监督。监督是对企业内部控制持续性改善的过程，它指的是企业对内部控制完整性和有效性所进行的自我评价，这一督过程是在持续性的监督和专门评价两种方式下进行的，实践中这两种方式是密不可分的。对内部控制的持续性监督内生于企业经营管理过程，与内部控制具有较强的粘合度，因而比较有效。专门评价独立于企业具体的业务活动，它是在企业内部审计部门的组织下对内部控制的有效性所进行的评价，其范围和时间频率取决于持续性监督的效果的强弱。由于专门