内部控制文档

一、国内外研究综述1、国外内部控制理论研究内部控制是20世纪中叶随着现代经济的发展而建立起来的一个重要的管理方法。它的内容和定义随着现代经济管理技术的进步和管理范围的不断拓展而不断丰富和发展。国外对内部控制理论的研究以美国为代表从两点论、三点论、五点论发展到八点论，日臻完善。(1)两点论。1949年美国会计师协会的审计程序委员会(CAP)在内部控制，一种协调制度要素及其对管理当局和独立注册会计师的重要性》报告中，首次对内部控制做出了权威性定义：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施的目的在于保护企业的财产，检查会计数据的准确性，提高经营效率，促进企业执行既定的管理政策。此定义将内部控制的范畴扩大了，跳出了单纯的会计控制。进而，该委员会在1958年10月发布的《审计程序公告第29号》将内部控制划分为会计控制和管理控制。(2)三点论。1988年美国注册会计师协会(AICPA)发布《审计准则公告第55号》，首次以“内部控制结构的提法替代“内部控制指出：“企业内部控制结构包括为取得企业特定目标的合理保证而建立的各种政策和程序。该公告将内部控制结构划分为三个要素：控制环境、会计制度、控制程序。该理论与两点论相比，有两个明显特征：一是将内部控制环境纳入到内部控制范畴中，二是不再区分会计控制和管理控制。这些反映了当时有关内部控制实务操作和理论研究的新动向。(3)五点论。1992年美国反虚假财务报告委员会发起组织委员会(COSO)在其研究报告I：内部控制——整体框架》中将内部控制定义为：“内部控制是由企业董事会、经理阶层和其他员工实施的，为达到营运的效率效果、财务报告的可靠性、相关法令的遵循性目标而提供合理保证的过程。该报告将内部控制分为五个要素：控制环境、风险评估、控制活动、信息与沟通、监督。这一理论将内部控制从平面结构发展为立体框架模型，对世界各国都产生了极为深远的影响，加拿大的COCO，英国的Cadbury等在一定程度上都借鉴了COSO的理论。(4)八点论。2004年COSO受到美国《萨班斯——奥克斯法案》及国际审计与鉴证准则委员会修订的审计准则的影响，发布了《企业风险管理——整体框架》(简称ERM)，将内部控制框架扩展为q企业风险管理框架斗。该框架包括四项目标和八个要素，四项目标是：战略目标、经营目标、报告目标、合法目标，八个要素为：内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。可以看出，此框架与之前的框架相比，对风险管理倾注了更多的关注，而且积极倡导企业的战略规划和长远发展。这意味着，内部控制已经由过去面向实际过程的控制发展到面向未来过程的不确定性的控制。这无疑是内部控制理论上又一次质的飞跃。2、国内内部控制理论研究国内对内部控制的研究正逐步和国际接轨，但由于本身起步较晚。上世纪90年代，我国股票市场发展初期，会计信息失真的情况愈演愈烈，从“深圳原野，，、“琼民源，，、“红光，’到后来的“郑百文，，、“银广厦，’等层出不穷。虚假会计信息给社会带了的震荡、给社会经济带来的不良影响直接引发了对内部控制的关注，首先发难的是代表政府的监管机构，包括财政部、证券监督管理委员会(以下简称证监会)。当然向其他学科一样，对国外、特别是对美国内部控制理论发展的关注与借鉴也大大影响了我国内部控制理论的发展。截至目前为止，我国对内部控制研究具有代表性的成果体现在以下几个法规中。截至目前为止，我国对内部控制研究具有代表性的成果体现在以下几个法规文件之中。二、内部控制的理论演进内部控制是社会生产力发展到一定阶段的产物，随着现代经济的发展而建立并得以不断发展，后逐渐成为现代企业管理不可或缺的一个部分。关于内部控制的理论始于二十世纪四十年代的“内部牵制理论，其后经历了内部控制制度理论、内部控制结构理论、内部控制整体框架理论及企业风险管理框架理论等几个不同的阶段。1、内部牵制理论二十世纪四十年代，美国的著名审计学家蒙哥马利在其《审计学》一书中首先提出了搿内部牵制制度的理论，即凡涉及财产和货币资金的收付、结算及其登记的任何一项工作，规定须由两人或两人以上来分工掌管，以起到相互制约、内部牵制的目的。其基本思想是两个人或两个以上行为主体同时犯错的可能性小于单一主体，两个人或两个人以上共同舞弊的难度远大于一个人。主要设想是要求以任何个人或部门不能单独控制任何一项或一部分业务权利的方式进行组织上的责任分工，而每项业务可以通过正常发挥其它个人或部门的功能进行交叉检查或交叉控制。实践证明，内部牵制机制有效减少了错误和舞弊行为。而且，在现代内部控制理论中，内部牵制仍占有重要的地位，是有关组织机构控制、职务分离控制的基础。2、内部控制制度理论二十世纪四十至七十年代，内部控制理论发展到内部控制制度阶段。这一时期的内部控制，强调保护企业资产的完整，保证会计资料的可靠性和准确性，提高经营效率，并且推动管理部门所制定的各项政策得以贯彻执行。前两点是会计控制的目标，后两点则是管理控制的目标。所以，这一时期内部控制制度思想分为内部会计控制和内部管理控制两个部分。内部会计控制由保全资产和保证财务记录的真实准确性相关的经营管理计划及程序、凭证记录组成，旨在保证：按照管理层总的或具体的授权从事经营与交易业务；业务活动的凭证纪录，包括财务报表，必须根据公认的会计准则或其他法规许可的标准来准备；只有管理层授权才被允许接近资产；定期对资产的帐面记录与现存资产进行核对，并对可能出现的任何差异采取适当的措施。内部管理控制包括但不限于与管理层业务授权相关的组织机构的计划、决策程序及书面的规章制度。这种授权是直接与达到机构的目标相联系的一种管理职责，是建立交易业务会计控制的起点。3、内部控制结构理论二十世纪八十年代以后，内部控制的理论研究又有了新的发展。美国注册会计师协会于1988年5月发布了审计准则公告第55号》公告，提出了内部控制结构理论——企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序。内部控制结构包括控制环境、会计制度和控制程序三个部分：所谓控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。会计制度规定各项经济业务的确认、分析、分类、记录、计量和编报的方法，明确各项资产和负债的经营管理责任。控制程序指管理当局所制订的用以保证达到一定目的的方针和程序。这一内部控制理论不再区分会计控制和管理控制，并将内部控制环境正式纳入内部控制范畴。4、内部控制整体框架理论二十世纪九十年代以后，内部控制已经成为企业管理科学化的重要标志，有关内部控制的研究也取得了新的突破，1992年9月，美国反虚假财务报告委员会发起组织委员会(COSO)提出了内部控制整体框架理论，该理论认为内部控制是一个自行检查、制约和调整内部业务活动的自律系统，其贯穿于经营活动的全部过程，并受企业董事会、管理阶层及其他人员影响。在COSO报告中第一次提出了“内部控制系统一的概念，以此来代替从前的“内部控制结构。报告对内部控制的定义表述为：内部控制是一个过程，该过程受到公司董事会、管理层和其他人员的影响，其目的是为下列目标的实现提供合理的保证。这些目标包括经营的有效性和效率、财务报告的可靠性与遵守法律法规。COSO委员会认为内部控制由五大相互联系的要素构成，即：控制环境、风险评估、控制活动、信息与沟通、监督。第一，控制环境。控制环境是推动控制工作的引擎，是所有内控组成部分的基础，反映董事会、管理者、业主和其他人员对控制的态度和行为。主要包括以下内容：管理哲学和经营作风、组织机构、董事会和审计委员会的职能设置、人事制度和程序、职权与责任的确认方法、管理者检查监督工作所用的控制方法，还涵盖经营计划、预算、预测、利润计划、责任会计和内部审计制度等。第二，风险评估。每个企业都面临来自内部和外部的不同风险，风险会直接或间接地影响企业的生存和发展，所以对于风险都应当加以评估。评估风险首先要制定目标(包括营运目标、财务目标及遵循法律目标等)，而后在经营过程中不断识别和评估实现所定目标可能会发生的风险，并有针对性地采取必要的措施。第三，控制活动。控制活动是确保管理方针得以实施的一系列制度、程序和措施。它存在于企业内的各管理阶层和功能组织之间，主要包括：高层检查分析、直接部门管理、审批、授权、对信息处理的控制、会计控制、绩效指标的比较、资产保全及职责分工等。第四，信息和沟通。企业在其经营过程中，必须按某种形式在一定时期内取得适当的信息，并及时沟通，以使员工能够更好地执行、管理和控制作业过程。信息包括企业内部所产生的信息以及企业外部的事项、活动及环境等有关的信息。企业所有员工必须从管理层清楚地获得自己应承担控制责任的信息，而且必须有向上级部门沟通传递重要信息的途径，并对外界如顾客、供应商、政府主管部门和股东等作有效的沟通。第五，监控。监控是确保内部控制得以有效运作的重要措施，它是一个不断评估系统的质量的过程。监控是经营管理部门对内部控制的管理监督和稽核部门对内部控制的再监督和再评价活动的总称。只有持续不断地、经常性地对内部控制进行监控才能维护和提高整个内部控制系统的有效性和可靠性。5、企业风险管理框架理论二十世纪末期，审计实务界已开始探索以风险管理为核心的审计新路子，并形成了风险导向审计的崭新模式。COSO报告事实上已经反映了这种动向，“风险评估成为内部控制的五大要素之一就是证明，但与审计实务还有差距。进入二十一世纪，这种趋势愈发明显，随着2002年底国际审计与鉴证准则委员会修订审计准则表示对风险导向审计模式的全面认同，加上美国《萨班斯——奥克斯法案》的直接影响，COSO及时充实了内部控制框架，将其扩展为“企业风险管理框架，并于2004年8月正式布。根据该框架，企业风险管理包括了四项目标和八个要素。四项目标是：战略目标、经营目标、报告目标、合法目标。八个要素为：内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。新的风险管理框架比起内部控制框架，无论在内容还是范围上都有所扩大和提高，具体表现在：(1)提出一个新的观念——风险组合观。企业风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点看待风险。企业的目标分为经营、财务报告和合法目标。企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与内部控制框架中的定义相同，财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而企业风险管理框架中的报告目标的范围有很大的扩展，该目标覆盖了企业编制的所有报告。此外，企业风险管理框架比内部控制框架增加了一个目标——战略目标，该目标的层次比其他三个目标更高。企业的风险管理既应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。(2)增加一类目标一战略目标，并扩大了报企业的目标分为经营、财务报告和合法目标。企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与内部控制框架中的定义相同，财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而企业风险管理框架中的报告目标的范围有很大的扩展，该目标覆盖了企业编制的所有报告。此外，企业风险管理框架比内部控制框架增加了一个目标——战略目标，该目标的层次比其他三个目标更高。企业的风险管理既应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。(3)针对风险度量提出两个新概念——风险偏好和风险容忍度。针对企业目标实现过程中所面临的风险，风险管理框架对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看，风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的风险偏好结合起来，目的