复合调味料公司内部控制规划.docx

《复合调味料公司内部控制规划.docx》由会员分享，可在线阅读，更多相关《复合调味料公司内部控制规划.docx（107页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、泓域/复合调味料公司内部控制规划复合调味料公司内部控制规划目录一、 学习与借鉴阶段3二、 发展与创新阶段4三、 产权理论6四、 不完全契约理论8五、 内部控制的演进11六、 内部控制的起源24七、 目标设定的含义26八、 内部控制目标的设定30九、 风险识别的方法33十、 风险识别的概念和内容39十一、 公司治理模式趋同论42十二、 公司治理与公司管理的关系48十三、 德日公司治理模式的主要内容49十四、 德日公司治理模式的产生53十五、 公司治理的主体55十六、 董事会模式57十七、 内部控制62十八、 内部控制与企业风险管理的关系分析65十九、 内部控制的相关比较67二十、 企业内部控制规

2、范的基本内容70二十一、 公司简介82二十二、 项目基本情况83二十三、 法人治理结构85二十四、 组织机构管理97劳动定员一览表97二十五、 SWOT分析99一、 学习与借鉴阶段从我国内部控制发展与形成过程可以看出，我国内部控制理论与实践起步较晚、进展不顺利。我国内部控制建设过程是学习与借鉴的过程，是不断学习国际内部控制先进理念、借鉴国外内部控制成功经验的过程。在这一过程中，发挥主导作用的部门主要有全国人民代表大会常务委员会（立法机构）、财政部（主管全国会计工作）、中国注册会计师协会（注册会计师的行业组织）、中国证券监督管理委员会和银监会（之前为人民银行）。除全国人民代表大会常务委员会制定的

3、会计法为国家法律之外，其他部门颁布的内部控制法规都具有非常强的行业特色和部门特色。主要表现在：财政部颁布的内部控制法规主要针对全国会计人员和企业（如内部会计控制规范）；中国注册会计师协会颁布的内部控制法规主要是为注册会计师的审计业务服务；中国证监会发布的内部控制指引、规则主要是针对证券公司的；中国人民银行以及银监会发布的内部控制指导原则、指引主要是针对商业银行的。从2001年财政部颁布内部会计控制规范一基本规范开始，截至2005年12月，我国相关部门正式颁布的关于内部控制的法规与指南汇总。这一阶段的内部控制规范与实践，主要强调内部会计控制，内部控制为会计、审计服务。以内部会计控制规范为例，该规

4、范整个制订过程中存在的问题是：控制理念比较落后，只是强制会计控制问题而忽视了管理控制；制订的组织机构不是很完整，主要是财政部和会计界在制订，其他领域参与者很少；控制规范的体系性、完整性比较差。只有11个控制规范，而且也没有相应的实施指南等；时间太长，没有计划性，影响了实施效果；制订程序也比较差，不严密、不科学。二、 发展与创新阶段2006年至今为我国企业内部控制的发展与创新发展阶段。随着2002年SOX法案的颁布，各国相应出台了有关内部控制的相关政策，我国也不例外。2006年6月，国资委发布了中央企业全面风险管理指引。2006年7月15日，由财政部发起成立了全国内部控制标准委员会；2006年7

5、月，为加强上市公司内部控制，促进上市公司规范运作和健康发展，保护投资者合法权益，上海证券交易所发布了上海证券交易所上市公司内部控制指引；2006年9月，深圳证券交易所发布了深圳证券交易所上市公司内部控制指引；2007年3月，财政部内部控制标准委员会发布了企业内部控制基本规范和17项企业内部控制基本规范具体规范的征求意见稿。2008年6月，财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范发布会暨首届内部控制高层论坛，会议发布了企业内部控制基本规范。同月，还发布了企业内部控制基本规范相关配套指引的征求意见稿。2010年4月，五部委联合发布企业内部控制基本规范及配套指引，包括

6、内部控制应用指引、内部控制评价指引、内部控制审计指引。根据企业内部控制基本规范相关规定，内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。内部控制的目标是合理保证经营的合法合规，资产安全，财务报告及相关信息的真实完整，提高经营的效率、效果，促进企业实现发展战略。内部控制的构成包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。这些都参照了国际上已颁布的关于内部控制的相关法律法规。同时企业内部控制基本规范还规定了建立和实施内部控制的基本原则，即全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则。配套指引还规定自2011年1月1日起在境内外同时上

7、市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行：在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，并出具审计报告。目前，我国内部控制的内容和结构呈现以下特点：内部控制内容范围广泛，不仅包括会计控制也涉及管理控制和风险管理，行业特色比较明显；内部控制结构不尽相同，主要呈现出三种类型，第一种是实务型，直接针对内部控制的实务操纵进行规范，第二种是框架型结构，采用内部控制要

8、素的形式构建内部控制的整体框架体系，类似于COSO的内部控制框架，第三种是框架与实务结合型，既描述内部控制的框架结构，又描述内部控制的实务操作，两者相结合；在构成要素结构上，基本上都与COSO内部控制框架的结构和要素相同，但具体内容上又存在一些差别。三、 产权理论根据交易费用经济学，如果两个企业之间存在高度专用性投资那么通过一体化就可以减少机会主义行为的危害。但是，为什么一个独立的企业主变成另一个企业的雇员之后，他的机会主义行为就会减少呢？或者说，一个独立的企业主与一个雇员之间究竟有什么本质的差别呢？此外，交易费用经济学没有具体考察一体化的产权结构，如果两个企业都具有专用性资产，那么一体化后谁

9、又该拥有企业的所有权呢？产权理论认为，交易费用经济学出现上述缺陷的根本原因在于，它没有给出一个关于一体化成本和收益的清晰解释，从而难以解释企业的规模问题。产权理论把对资产的剩余控制权定义为企业的所有权，强调了剩余控制权对兼并一方带来的收益和对被兼并一方带来的成本，建立了逻辑严密的由产权结构决定企业边界的数学模型，从而提出了企业一体化的理论。产权理论的研究逻辑可概括为：存在专用性投资的企业之间的契约是不完全的，这会影响各方的事前关系，因此应当设计某种最佳产权结构来保证最大化的联合产出。最佳产权结构通常要求将企业的剩余控制权或所有权安排给投资重要的一方，或者投资不可或缺的一方。格罗斯曼和哈特把所有

10、的契约权利分为两类：“具体权利”和“剩余权利”。所谓具体权利，就是契约中已经明确规定了的对物质资产的权利（对另一方来说就是责任），如利润分成比例、交货时间等。所谓剩余权利，就是初始契约中没有规定的所有对物质资产的权利，即“剩余控制权”。拥有剩余控制权的一方，可以按照任何不与先前的契约、惯例或法律相违背的方式决定资产的所有用法。哈特明确将剩余控制权等同于所有权，因为只有资产的所有者应该拥有剩余控制权。在不完全契约下，剩余控制权或所有权的配置，必定会影响当事人的事前专用性投资激励，因此为了最小化对投资激励的扭曲后果，应当让某一方将剩余控制权购买过去。可见，产权理论运用“剩余控制权”概念来重新定义所

11、有权，主要考察在特定交易费用导致契约不完全的情形下，如何确保当事人的事前专用性投资激励问题。由于现实世界的不确定性和契约第三方的不可证实性，缔约双方不可能签订穷尽所有可能情况的合约，一旦缔约后未预料到的情况发生，双方就需要重新谈判，就可能出现合约一方侵占另一方专用性投资利益的“敲竹杠”行为。当专用性投资方在事前预期到事后可能被“敲竹杠”时，就势必造成事前专用性投资激励不足和效率损失。为此，在不完全契约条件下，事前对契约规定之外的剩余控制权的配置至关重要，这就要求实现剩余索取权与剩余控制权相匹配，即让资产的所有者拥有剩余控制权，这样，专用性投资激励不足与“敲竹杠”问题才能得到有效解决。四、 不完

12、全契约理论从代理问题存在的条件中可以发现，委托代理关系的存在并不一定就会产生代理问题，如果作为委托人的股东能够掌握完全信息，并预测出将来所有可能发生的情况，可以通过制定一份完全的契约，详细地规定代理人的所有职责、权利与义务，并就将来可能发生的所有情况、可能产生的所有后果及解决措施在契约中做出相应的规定，从而完全消除因为委托代理关系的产生可能带来的所有问题。例如，一份完全契约将包括：在什么样的情况下经理人员将被撤换；在什么样的情况下公司将出售或购入资产；在什么样的情况下公司应该招收或解雇工人等。如果这样一份完全契约存在的话，即使委托代理关系存在，也不会产生委托代理问题。如果契约完全，所有事情都在

13、合同中预先规定了，那也就没有“剩余”的事项需要决策了，公司治理的结构和机制也就不重要了。因此，当委托代理关系及不完备合同同时存在时，公司治理就将发挥作用。（一）自有交易以来，契约就是不完全的契约不完全的事实比不完全契约理论久远得多。不完全契约理论的初创者是麦克里尔，他在1974年南加利福尼亚法学评论上发表的契约之几个未来发展和1980年在新哈维出版社出版的新社会契约论：现代契约关系的一个调查等著作问世之后，不完全契约理论就在法学界和经济学界，特别是在企业理论家那里产生了广泛而重要的影响。现代企业理论认为，企业是一系列契约（合同）的组合，是个人之间交易产权的一种方式。然而，说企业是“契约”，只是

14、揭示了企业与市场的共性，并没有给出企业的特性。张维迎提出，就契约本身而言，企业与市场的区别主要在于契约的完备性程度不同。一个完备的契约是指准确地描述了与交易有关的所有未来可能出现的状态，以及在每种状态下契约各方的权力和责任。相对而言，市场可以说是一种完备的契约，而企业则是一种不完备的契约。（二）当契约不完全时，将剩余控制权配置给投资决策中相对重要的一方是有效率的由于不确定性的存在，对一项资产的所有者而言，关键的是对该资产剩余权力的拥有，即剩余控制权。据此，哈特将所有权定义为拥有剩余控制权或事后的控制决策权。格罗斯曼、哈特和莫尔等指出，剩余控制权直接来源于对物质资产的所有权。因而，剩余控制权天然

15、地归非人力资本所有。在契约不完备的环境中，物质资本的所有权是权力的基础，而且对物质资产所有权的拥有将导致对人力资本所有者的控制。因此，企业也就是由它所拥有或控制的非人力资本所规定的。（三）企业的剩余控制权由谁行使是由要素使用权交易合约事先安排的企业契约不过是一种特别的市场契约，企业是要素使用权交易合约的履行过程，从而在总体上，要素使用权是剩余控制权交易合约的履行过程、履行载体与结果。不完全契约理论以有限理性和信息非对称假设为前提，把企业的要素所有者划分为人力资本所有者和非人力资本所有者，通过不确定性、资产专用性和机会主义行为等重要概念的引入，分析两类要素所有者的产权特征并讨论企业所有权的最优安

16、排。不完全契约理论认为，由于人们的有限理性、信息的不完全性及交易事项的不确定性，明晰所有的特殊权力的成本过高，拟定完全契约是不可能的，不完全契约是必然和经常存在的。五、 内部控制的演进内部控制起源于内部牵制，其发展演进过程经历了内部控制制度、制度分野、内部控制结构、内部控制整体框架和企业风险管理框架5个阶段。（一）内部控制制度1、内部会计控制概念的提出19291933年的世界性经济危机后，美国于1934年颁布了证券交易法，在证券交易法中首先提出了“内部会计控制”的概念。1936年，美国会计师协会在其发布的注册会计师对财务报表的审查公告中首次提出审计师在制定审计程序时，应审查企业的内部牵制和控制

17、并且从财务审计的角度把内部控制定义为“保护公司现金和其他资产，检查账簿记录事务的准确性，而在公司内部采用的手段和方法”。这是第一次对内部控制进行定义，这里明确规定了内部控制只是作为“会计资料准确性”的保障措施。这反映了作为会计职业界对内部控制工作应解决问题的关注层面，与人们对“内部控制”的理解及当时内部控制的实务是有一定的差距的。因此，这一定义未能为人们所广泛接受，也未引起会计职业界对内部控制应有的重视。2、夯实在评价内部控制基础上的抽样审计1939年1月，美国证券交易委员会对罗宾斯公司审计案做出了结论，指出当时的审计标准（即注册会计师对财务报表审查）是不适当的，审计方法的使用连表面的目的也达

18、不到。这个结论促使美国注册会计师协会建立了审计程序委员会，并于1939年5月提出了名为审计程序的扩展的文件，对当时的审计程序做了修订，其中把强化内部控制制度审计作为主要内容。1941年，美国社会各界已普遍意识到企业内部控制的重要性，认为企业经营范围和规模的变化使得管理必须依靠大量的反映经济活动的分析资料和报告；健全的内部控制有助于防止工作人员出现差错，减少发生不合规现象的可能性；审计部门在审计费用的严格限制下，如果不依靠客户的内部控制系统，那么对大部分企业进行审计是不可能的。在理论上明确了内部控制的主要目标是“防错纠弊”，没有内部控制的企业就不具备基本的审计条件，第一次把内部控制作为现代审计的

19、一个必要前提。但是，有关内部控制至此尚未形成一个权威的定义。3、历史上第一个被广泛接受的内部控制权威定义1949年，美国注册会计师协会所属的审计程序委员会，在其公布的内部控制：一个协调的系统要素及其对管理层和独立公共会计师的重要性的研究报告中，对内部控制做了专门的定义。这个定义成为人类社会有史以来第一个被广泛接受的权威定义，内部控制包括组织的计划和企业为了保护资产、检查会计数据的准确性和可靠性、提高经营效率以及促使遵循既定的管理方针等所采用的所有方法和措施。该报告是从企业经营管理的角度来定义内部控制的，内容不局限于与会计和财务部门直接有关的控制，还包括预算控制、成本控制、定期报告、统计分析、培

20、训计划和内部审计以及技术与其他领域的经营活动，从理论上给出了内部控制的宽泛内涵。该定义得到了公司经理们的普遍赞同，也就是说，审计界给出的内部控制定义从当时管理者的角度来说也是适用的。然而，1949年美国注册会计师协会把内部控制定义为保证目标实现的方法和措施，这是一个理想化的概念，这个定义把内部控制看成万能的工具，即只要实施了内部控制，目标就一定能实现。另外，在财务报表审计中，注册会计师应对内部控制检查到什么程度，该定义在这些方面提供的指导却很少，使得很多从业者对这个近乎无限的内部控制定义感到无所适从。（二）制度分野1、内部控制分为会计控制和管理控制审计界提出内部控制概念的目的是为了满足财务审计

21、的需要，与管理人员对内部控制的理解不一致，因此，审计人员认为1949年的定义内容过于宽泛，超出了他们评价被审计单位所应承担的责任。迫于这种压力，也为了满足审计人员在审计中对内部控制进行检查的业务需要，美国注册会计师协会所属的审计程序委员会于1953年颁发了审计程序说明第19号，对内部控制定义做了正式修正，把内部控制分为会计控制和管理控制，会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此相关的方法和程序构成。会计控制包括授权与批准制度，记账、编制财务报表、保管财务资产等职务分离，财产的实物控制以及内部审计等控制。管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯

22、彻或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的关系，包括统计分析、时效研究、经营报告、雇员培训计划和质量控制等。把内部控制分为会计控制和管理控制，目的是为了明确注册会计师审查企业内部控制的范围。2、注册会计师应主要关注会计有关控制1963年，审计程序委员会在审计程序说明第33号中进一步指出，“注册会计师应主要检查会计控制。”会计控制一般对财务记录产生直接的、重要的影响，审计人员必须对它做出评价。管理控制通常只对财务记录产生间接影响，因此审计人员可以不对其做评价，只是在足以影响财务记录可靠性时才予以审计。这次修正后的内部控制定义，大大缩小了注册会计师的责任范围，

23、但对于“会计控制”的保护资产和保证财务记录可靠性仍然缺乏统一的认识。为了消除这种认识分歧带来的对审计责任问题的模糊认识，1972年，美国注册会计师协会对会计控制又提出并通过了一个较为严格的定义：会计控制是组织计划和所有与下面直接相关的方法和程序：保护资产，即在业务处理和固定资产处置过程中，保护资产免遭过失错误、故意致错或舞弊造成的损失；保证对外界报告的财务资料的可靠性。3、对会计控制和管理控制的重新定义1973年的审计程序公告第1号对会计控制和管理控制再一次做了重新定义：“管理控制包括但不限于组织的计划以及与导致管理层批准交易的决策过程相关的程序和记录。交易的批准是一种直接和实现组织目标的责任

24、相联系的管理职能，是对经济业务进行会计控制的起点。会计控制由组织的计划以及与保障资产和财务记录的可靠性相关，为以下各点提供合理保证而制定的程序和记录组成：经济业务的执行符合管理部门的一般授权或特殊授权的要求；经济业务的记录必须有利于按照公认会计原则或其他标准编制财务报表落实资产责任：只有在得到管理部门批准的情况下，才能接触资产；按照适当的间隔期限，将财产的账面记录与实物资产进行对比，一经发现差异，应采取相应的补救措施。”值得注意的是，内部控制以交易为主要对象，使内部控制具有可操作性。与1949年的定义相比，这些定义过于消极，仅仅从财务审计的实际出发，范围过于狭隘，把过多的精力和目标放在了查错防

25、弊上，人为地限制了内部控制理论与实践的发展，最终的结果是审计师与管理者对内部控制的认识和理解出现了分歧和差异，分化出了审计视角的内部控制和管理视角的内部控制，这一阶段即为制度分野阶段。（三）内部控制结构随着内部控制活动在实践中的运用，人们发现内部控制并非神丹妙药。20世纪70年代初，美国政府在对水门事件的调查中，发现某些公司为了做成贸易和保持贸易关系，竞贿赂某些外国政府官员和政党。而为了掩盖这些不合法支出，他们往往伪造会计记录，或另设账外记录。有鉴于此，1977年后，美国政府就将“每个公司必须设计和建立有效的内部控制制度”以立法形式在反国外行贿法中予以颁布。这是第一次强制性地将建立内部控制制度

26、纳入法律管辖的范围。同时，审计人员在短时间内，要对被审计单位的财务状况和经营情况做出正确评价，也需要依赖被审计单位相关的内部控制制度。否则，审计风险将难以控制。因此，审计与内部控制联系日趋紧密。1985年，反虚假财务报告委员会（通常称为Treadway委员会）成立，1987年，Treadway委员会提交了研究报告，在报告中指出防止虚假财务报告需从报告产生的环境着手，即从最高管理当局开始；所有上市公司需保持良好内部控制，以发现和防范虚假财务报告行为。该委员会还建议，其赞助机构成立COSO委员会，专门研究内部控制问题。（四）内部控制整体框架20世纪90年代，随着美国财务破产事件发生概率的增加和财务

27、舞弊调查的不断深入，内部控制研究取得了新的进展。1992年，COSO委员会提出内部控制一整体框架，并于1994年进行了修订。这就是著名的“COSO报告（简称COSO92）”，它被称为是最广泛认可的关于内部控制整体框架的国际标准。在COSO委员会出具这个报告之前，不同的人对内部控制有不同的见解，由于内部控制内涵的广泛性和多样性使得难以对内部控制有一个公认的了解，这就造成了经商人员、立法者、监管机构和其他有关方的困惑，同时导致企业由于沟通有误和期望不同产生问题。所以COSO内部控制框架是建立在考虑管理层和其他方面的需求和期望的基础上，把对内部控制不同的概念整合到一个框架当中，从而达成对内部控制的共

28、识，确定内部控制的构成要素，试图提供一个标准，无论公司规模大小、公众的还是私人的、营利的还是非营利的业务和企业，都可以参考此标准评估他们的控制系统及如何改进，从而帮助公司和企业管理层更好地控制组织的活动。1、内部控制定义与目标COSO认为“内部控制是由董事会、管理当局和其他职员实施的一个过程，旨在为经营的效率和效果、财务报告的可靠性、相关法令的遵循提供合理保证”。内部控制服务于很多重要目标，人们要求越来越好的内部控制系统和内部控制的相关报告。内部控制也越来越被视为解决各种潜在问题的有效方法。COSO报告指出，内部控制是为实现以下三类目标提供合理保证的：经营的效率和效果、财务报告的可靠性、相关法

29、令的遵循性。第一类目标针对企业的基本业务目标，包括业绩和盈利目标及资产的安全性；第二类目标关注于企业公开发布的财务报告，包括中期和简要财务报表；第三类目标涉及企业所适用的法律及法规的遵循。相互有别、又有交叉的分类满足了不同的需要，表明了不同执行人员的直接责任，此分类也便于区分从每一类内部控制中得到我们所期望的东西。达到这些目标在很大程度上依赖于外部各方标准的设定，取决于企业如何控制其内部行为，但是经营目标的取得，并不完全在公司的控制范围之内，内部控制不能避免错误地判断或决定或者可能导致经营目标无法实现的外部事件。对于这些目标，内部控制系统只有在管理层和董事会在监督职责的范围内及时地指导公司向目

30、标迈进的时候，才能提供合理的保证。内部控制是对企业的整个经营管理活动进行监督与控制的过程，企业的经营活动是永不停止的，企业的内部控制过程也因此不会停止。企业内部控制不是一项制度或一个机械的规定，而是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。2、内部控制因素内部控制包括5个互相关联的构成要素，它们来自管理层经营企业的方式，并贯穿于管理过程之中。这些构成要素包括控制环境、风险评估、控制活动、信息与沟通和监控。（1）控制环境。所有业务的核心都是人员及他们开展经营所处，的环境，包括员工的诚实和职业道德、员工的胜任能力、董事会及监事会的参与、组织机构、权力和责任的规定等。它是由管理

31、层倡导的一种正直、伦理道德风气、管理宗旨、经营方式和人力资源政策，使职员自觉管理其活动和履行他们的责任。管理部门应通过文字描述和范例以及采取相应的监控措施来影响全体职员，以提高他们的伦理道德水准。控制环境是所有事情赖以生存的基础。（2）风险评估。企业为实现其目的而确认分析相关风险，已构成进行风险管理的基础。通常风险来自经营环境的变化、新员工聘用、采用新的信息系统、新技术的应用、企业改组、新会计方法的采用等。管理当局应对目标完成期间与企业相关的风险进行识别、预见，并采取相应避险的管理控制措施。风险评估应测定风险对货币项目及对会计主题形象或信誉方面的重要性、风险发生的概率、如何减轻风险至可以承受的

32、水平。不过，内部控制只能防范风险，不能转嫁、承担、化解或分散风险。所以必须设定目标，整合销售、生产、营销、财务和其他活动，以便使组织协调一致地运行。（3）控制活动。控制活动是为实现内部控制目标提供合理保证而制定的各项政策、程序和规定，对所确认的风险采取必要措施，以保证单位目标实现的程序。它包括业绩评价、信息处理控制、实物控制、职务分离等。（4）信息与沟通。围绕在这些活动周围的信息与沟通系统，能及时反馈各程序执行过程中遇到的问题，使员工能够获得和交换那些执行、管理和控制其经营活动所需要的信息，从而保证控制活动的正常运行。（5）监控。监控是为保证内部控制的适当性和有效性而进行的日常和定期监督、检查

33、。根据内部控制具体实施的机制，内部控制通常又可以分为两个层面：第一个层面是企业的管理制度，又称为“管理控制系统”，它是建立在公司治理基础上，通过检查和改进有关管理政策和程序，有效控制企业运行，不断提高企业的经营效率和效益，实现投资人投入资本的保值增值；第二个层面是企业的会计制度，又称为“会计控制系统”，通过适当的业务权限设置和授权、准确的会计记录、及时的实物盘点，以及公允的报告等程序和方法，保证企业经营和财务状况信息的可靠性，保障投资人财产安全。这一层内部控制制度可以认为是最具体的控制。因而会计信息的存在与有效传递，影响到控制制度有效性地发挥。（五）企业风险管理框架1、产生背景自COSO92发

34、布以来，内部控制框架已经被世界上许多企业采用，但理论界和实务界也纷纷对该框架提出改进建议，认为其对风险强调不够，使得内部控制无法与企业风险管理相结合。因此，2001年，COSO开展了一个项目，委托普华永道开发一个对于管理当局评价和改进他们所在组织的风险管理的简便易行的框架。正是在开发这个框架的期间，2001年12月，美国能源巨头安然公司突然申请破产保护，此后上市公司和证券公司丑闻不断，特别是2002年6月的世界通信公司会计丑闻事件，彻底打击了投资者对资本市场的信心。安然、环球电讯、世界通信、施乐等一批企业纷纷承认存在财务舞弊在国际资本市场上引起轩然大波，这些失败案例在很多方面值得深思。例如，管

35、理层僭越控制、利益冲突、缺乏职责分离、透明度不足或欠缺、风险管理未加统一协调、董事会监督无效，以及会导致职能失调、渎职行为的薪酬结构失衡等，都会对企业产生影响。2、基本概念2003年，COSO发布了名为企业风险管理框架（草稿）的报告，来征求意见。2004年9月，COSO委员会在借鉴以往有关内部控制研究报告的基本精神的基础上，结合萨班斯一奥克斯利法案在财务报告方面的具体要求，正式公布企业风险管理整体框架，简称ERM框架或COSO04。ERM框架在COSO92的基础上进行了适当的补充和拓展，主要包括概要、ERM的意义、框架概览、要素、局限性、相关责任等章节。该报告指出，企业风险管理是一个过程，由一

36、个企业的董事管理当局和其他人员实施，应用于战略制定并贯穿于企业当中，旨在识别可能影响企业的潜在事项，并将风险控制在企业可接受范围之内，为企业目标的实现提供合理保证。这个定义反映了几个基本要素，它表明企业风险管理是：（1）一个过程，它持续地流动于主体之内；（2）由组织中各个层级的人员实施；（3）应用于战略制订；（4）贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；（5）旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；（6）能够向一个主体的管理当局和董事会提供合理保证（7）力求实现一个或多个不同类型但相互交叉的目标。这个定义比较宽泛。它抓住了对于公司和其他组织

37、如何管理风险至关重要的概念，为不同组织形式、行业和部门的应用提供了基础。第一，突出“企业”的重要性。内部控制是企业自己的事，是企业内部积极的需求，而非外部强加的压力，它直接关注特定主体既定目标的实现，并为界定企业风险管理的有效性提供了依据，这是对COSO92内部控制思想的重大突破；第二，突出“风险”的重要性。强调风险管理理念、风险文化、风险偏好（风险承受度），用于制定战略之中，并贯穿于整个企业；第三，突出“管理”的重要性。实现从控制到管理的转变，引入战略观念，同时提升了董事会在战略决策中的地位和作用。3、基本框架企业风险管理包含四大目标、八个相互关联的构成要素以及贯穿于企业的各个层级和单元应用

38、。在主体既定的使命或愿景范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的战略、经营、报告和合规四种类型的目标。企业风险管理的构成要素来源于管理当局经营企业的方式，并与管理过程结合在一起，包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。这8个要素并不是简单的并列关系，它们之间存在着一定的逻辑关系，内部控制是企业风险管理的前提；从目标设定到事项识别、风险评估、风险应对、控制活动，是一个风险管理的过程；信息与沟通、监控是企业风险管理的基础。根据COSO的这份研究报告，内部控制的目标、要素与组织层级之间形成了一个

39、相互作用、紧密相连的有机统一体系。同时，对内部控制的要素的进一步细分和充实，使内部控制与风险管理日益融合，拓展了内部控制。六、 内部控制的起源在人类社会经济发展的长河中，早已融入了内部控制的基本思想。根据史料记载，远在公元前3600年前的美索不达米亚文化时代，就存在着极简单的内部控制实践。例如，古埃及在法老统治时期，就设有监督官负责对全国各级机构和官吏是否忠实履行受托事项、财政收支记录是否准确无误等加以监督。但是，由于社会生产力处于手工劳动阶段，技术水平低下，交通不便，人与人之间社会联系的成本高、有效性低，经济组织和社会活动一般以家庭为基本单位进行，规模小、结构简单。因此，当时的管理是建立在个

40、人观察、判断和直观基础上的传统经验管理，没有形成系统的管理理论，也不可能提出“内部控制”的概念，这一时期的内部控制实践仅仅是人们无意识的行为。15世纪末，借贷复式记账法在意大利出现。自此开始对管理钱、财、物的不同岗位进行分离设立，并利用其钩稽关系进行交互核对。这种方法直到19世纪末期，都还一直被认为是保证所有钱物和账目正确无误的理想牵制方法。20世纪初期，西方资本主义经济得到了较大发展，股份有限公司的规模不断扩大，生产资料的所有者和经营者相互分离。一些企业在非常激烈的竞争中，逐步摸索出了一些组织、调节、制约和检查企业生产活动的办法，即按照人们的主观设想，建立内部牵制制度，以防范和揭露错误。这种

41、设想认为，两个或两个以上的人或部门，无意识地犯同样错误的可能性很小；两个或两个以上的人或部门，有意识地合伙舞弊的可能性也大大低于单独一个人或一个部门舞弊的可能性。这个时期的内部控制主要以差错防弊、保证资产安全为目的，以钱、财、物三分管为主要控制理念。按照这种设想建立起来的会计工作制度，就是内部牵制制度。从内容上看，内部牵制主要包括四项职能：实物牵制，如把保险柜的钥匙交给两个或者两个以上的人保管，这样如果不同时使用两把以上的钥匙，保险柜就无法打开；物理牵制，如仓库的门不按正确的程序操作就打不开，甚至还会自动报警；分权控制，如把每项业务都分别由不同的人或者部门去处理，以预防舞弊或者错误的发生；簿记

42、控制，如定期将明细账和总账进行核对。作为一种管理制度，内部牵制几乎不涉及信息的真实性和工作效率的提高问题，因此，其范围和管理作用都比较有限。到20世纪40年代末期，生产的社会化程度空前提高，所有权和经营权分离，股份有限公司迅速发展，市场竞争进一步加剧。为了在激烈的竞争中生存发展，企业迫切需要在管理上采用更为完善、有效的控制方法。为了适应股份日益分散的实际和保护社会公众投资者的利益，西方国家纷纷以法律的形式要求企业披露会计信息，这样对会计信息的真实性就提出了更高的要求。因此，传统的内部牵制制度已经无法满足上述企业管理和会计信息披露的需要，现代意义上的内部控制的产生已经成为一种必然。七、 目标设定

43、的含义我国内部控制基本规范第二十条规定，企业应当根据设定的控制目标，全面、系统、持续地收集相关信息，结合实际情况，及时进行风险评估。目标设定是风险识别、风险分析和风险应对的前提。在管理当局识别和分析风险并采取行动来管理风险之前，首先必须有目标，确定与目标相关的风险，目标设定是风险评估的前提。目标设定分为三个层次，首先在企业既定的使命或愿景指导下，管理层制定企业的战略目标；其次根据战略目标制定业务层面的目标，并在企业内层层分解和落实；最后根据设定的目标合理确定企业整体风险承受能力和具体业务层次上可接受的风险水平。企业应当按照战略目标，设定相关的经营目标、财务报告目标、合规性目标与资产安全目标，并

44、根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。1、战略目标战略目标反映了管理层就主体如何努力为其利益相关者创造价值所做出的选择，是高层次的目标，与其使命相关联并支撑其使命。企业在考虑实现战略目标的各种方案时，必须考虑与各种战略相伴的风险及其影响。战略目标方面的关注点主要包括：（1）对企业绩效现状进行的评估（2）对内部和外部环境的监测分析；（3）战略目标体系（4）战略选择遵循必要的流程，以及获得了充分的讨论；（5）对目标实现与现有资源状况之间的匹配程度进行的评估；（6）设定战略目标可接受程度；（7）就战略目标与企业内部员工和外部相关利益集团之间的沟通。2、经营目标

45、经营目标与企业经营的效率与效果有关，包括业绩和盈利目标的实现，需要反映企业运营所处的特定经营、行业和经济环境。经营目标来自公司的战略目标和战略计划，并与之紧密联系，是随着具体对象和不同时段制订的，这些目标应针对每个重要业务活动并与其他业务活动保持一致。经营目标方面的关注点主要包括以下几点：（1）经营目标与公司战略目标及战略计划一致；（2）经营目标适应公司所处的特定经营环境、行业和经济环境等；（3）各个业务活动目标之间保持一致；（4）所有重要业务流程与业务活动目标相关；（5）适当的资源及有效配置（6）管理层制定的公司经营目标及其对目标的负责程度。3、报告目标报告目标与财务报告及其相关信息的真实完

46、整有关。可靠的报告能够为管理层提供适合其既定目标的准确而完整的信息，支持管理层的决策，并对主体活动和业绩实施有效监控。报告目标方面的关注点主要包括以下几点：（1）管理层决策及对公司活动、业绩监控的准确、及时、完整的信息的对内报告；（2）满足投资者、监管部门及其他相关信息需求者真实、可靠、完整的信息的对外报告；（3）反映信息的全面性，包括财务信息与非财务信息。4、资产安全目标资产安全目标是内部控制的基本目标，包括：防止企业无效率经营，损失资产；防止员工舞弊；防止公司资产被盗等。资产的安全与完整对于我国企业尤其是国有企业具有非常重要的现实意义，近年来国有资产流失的案件屡有发生，内部控制应该把资产安

47、全作为一个重要的目标来加以实现。资产安全目标方面的关注点主要包括以下几点：（1）关注企业日常经营活动的效率；（2）提高企业的生产力和竞争力；（3）防止资产缩水；（4）关注资产使用及处置的授权情况。5、合规目标合规目标与企业各项活动的合法性有关。企业进行内部控制建设必须符合相关的法律和法规。企业需要根据相关的法律法规制定最低的行为标准并作为企业的遵循目标，企业的合规记录可能对它在社会上的声誉产生极大的正面或负面影响。合规目标方面的关注点主要包括：公司的各项活动符合法律法规的要求，通常涉及知识产权、市场、价格、税收、环境、员工福利以及国际贸易等。八、 内部控制目标的设定（一）制订战略目标企业的战略

48、目标一般是稳定的，但与其相关的业务层面的目标具有动态性，会随着内部和外部的条件而调整。在企业风险管理目标的设计过程中，首先要确定企业层面的目标，即战略目标。战略目标需要通过董事会及员工的相互沟通后确定，同时还要有支持其实现的资金预算及战略计划。战略目标的制订需要经过如下5个阶段。（1）明确企业发展目标。企业在长期规划中应明确自身的发展目标和发展方向，通过培训、发放宣传手册、领导讲话等方式将企业层面的目标清晰地传达给员工。（2）制订实现目标的战略规划。企业通过SWOT分析，在了解自身的优势、劣势、机会和威胁的基础上制订帮助企业实现目标的战略规划。（3）制订年度计划及资金预算。企业根据制订的中长期战略规划，编制年度经营计划。该年度经营计划应符合企业中长期战略规划的效益目标、投资方向和投资结构。（4）企业编制年度预算。企业应按照上下结合、分级编制、逐级汇总的原则编制全面预算，将战略目标进一步分解、细化与落实。（5）企业编制企业预算管理办法，明确编制预算的基本原则、内容、编制依据等。（二）确定业务层面目标业务层面目标包括合规目标、资产目标、报告目标和经