coso内部控制框架论文

coso内部控制框架论文（通用8篇）

coso内部控制框架论文 篇1

基于COSO框架的企业内部控制问题研究

【摘要】 内部控制在现代市场经济的环境下，对于企业和相关机构来说日益重要，本文针对美国虚假财务报告委员会下属的发起人委员会发布的《COSO—内部控制框架》，从几个方面阐述了企业内部控制的主要内容和体系建设。同时，鉴于现状提出了改善对策，并浅谈了报告对我国企业内部控制的启示。

【关键词】内部控制 COSO 内控体系

所谓内部控制(Interna l Control), 是在内部牵制的基础上, 由企业管理人员在经营管理实践中创造、并经审计人员理论总结而逐步完善的自我监督和自行调整体系, 它是企业为管理当局的需要, 保证经营目标的实现而建立的一种相互联系、相互制约的控制制度和体系@。1992 年美国国会的反对虚假财务报告委员会(NCFR)下属的美国会 计 学 会(AAA)、美国注册会计师协会(A ICPA)、内部审计师协会(IIA)、财务经理协会(FE I)和管理会计协会(IM A)等参与的发起组织委员会(COSO)发布报告, 提出了内部控制结构概念并将其分为控制环境、风险评估、控制活动、信息与沟通、监测等 5项要素。@目前 COSO委员会提出的内部控制结构理论已在世界范围内得到广泛认可, 被认为是权威的专业机构对于内部控制整体框架的最新解释。但近年来，随着安然、世通等一批巨人企业的倒下，引发了公众对企业的信任危机，从而导致COSO新内控框架的建立，该框架提出了全新的风险管理理念和技术，对企业内部控制具有极大的理论和实践意义。

一、COSO内部控制的发展历程

内部控制的概念是在实践中逐步产生、发展和完善起来的。早在 1977 年，作为美国“水门事件”的调查结果，立法者和监管团体为了制止美国公司向外国政府官员行贿，通过了“国外腐败实务法案”并要求公司管理层加强会计内部控制的条款。1978 年，美国执业会计协会下面的柯恩委员提出报告，一是建议公司管理层在披露财务报表时，提交一份关于内控系统的报告；二是建议外部独立审计师对管理者内控报告提出审计报告。1980 年后，内部控制审计的职业标准逐渐成形。2002年的萨班斯—奥克斯利法案，再次表明完善公司内部控制必须以COSO 框架为基础，充分理解其财务报告的可靠性目标和合规性目标。然而十多年以后，安然、世通等新一轮财务丑闻的相继上演，在世界范围内掀起了加强企业风险管理的浪潮，要求完善公司治理结构与提高企业风险管理能力的呼声日益高涨。在这一背景下，COSO委员会在1992 年COSO报告的基础上，结合《萨班斯 － 奥克斯利法案》的相关要求，于2004年9月正式发布了《企业风险管理—整体框架》，即COSO新报告（简称“ERM”框架”）。ERM框架虽然继承了IC-IF框架的部分内容，但无 论是在内涵目标还是在要素方面均有重 1 大突破，标志着内部控制理论进入了新的发展阶段。

二、COSO内部控制系统框架五大组成部分分析

COSO认为内部控制涵盖了五大组成部分的丰富内容 :控制环境、风险评估、控制活动、信息与交流和监督评审。其中引入了“全息论”的概念 :这五大组成部分和三大目标是紧密相联的 ,就象一个人体的细胞包含了人体的各种信息那样 ,一个组织中的任何一个机构、一项业务或一位成员都包含或反映出该组织中的三大目标和五大组成部分等各种信息。具体含义如下 :

1、控制环境:控制环境是推动控制工作的发动机 ,是所有其他内控组成部分的基础。它奠定组织的风纪和结构 ,并且涉及到所有活动的核心—人 ,特别是人的控制觉悟 ,还反映了企业的各级管理层对内控的要求。控制环境中的要素

有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、织结构、规章制度和人事政策等等。主要的问题是管理层要充分说明内控的完整性;公司要有积极的控制环境 ,使整个组织中的员工具有控制觉悟和自觉的控制态度 ,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配。

2、风险评估:是识别和分析那些妨碍实现经营管理目标的困难因素的活动 ,对风险的分析评估构成风险管理决策的基础。风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险 ,需要不时调整内控 ,以便恰当地处理任何新的或过去不加控制的风险。

3、控制活动:是为了合理地保证经营管理目标的实现 ,指导员工实施管理指令 ,管理和化解风险而采取的政策和程序 ,包括高层检查、直接管理、信息加工、实物控制、确定指标、责分离等。在控制活动中主要关注控制与风险评估过程的联系、制活动的适当形式及其实施、对执行政策和管理指令的保证、制活动的针对性(尤其是对信息系统的控制)等等。

4、信息与交流 :存在于所有经营管理活动中 ,使员工得以搜集和交换为开展经营、事管理和进行控制等活动所需要的信息 ,包括管理者对员工的工作业绩的经常性评价。在信息方面要注意内部信息和外部信息的搜集和整理;在交流方面也要注意内部和外部信息的交流渠道和方式;在信息技术的发展中注意控制信息系统。

5、监督评审 :是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。监督评审可以是持续性的或分别单独的 ,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和 2 对政策程序的调整等等。

COSO所提出内控理论影响深远 ,现在无论是一般生产性企业、通领域的企业还是金融服务业等都在该框架下纷纷制订了相应具体的内控制度、建立了较为完善的内控机制 ,成为世界各国不同企业纷纷效仿和跟进的标杆。

三、内部控制体系现状分析

全面认识COSO框架的内容对我们的工作具有非常好的指导作用，在执行过程中通过对比我们可以及时发现工作中存在的不足，这也是分析和评价内部控制的关键所在，只有全面、彻底地了解其局限及当前存在的主要问题，才能切实提出加强内部控制的有力措施。

内部控制固有的局限性

内部控制体系有其固有的局限性，只能为管理人员达到其目的提供合理的保证，管理层在制定制度时会遇到许多无法预料的因素，也会遇到许多内部控制本身就无法控制的情况，例如：

（1）内部控制只适于正常且经常反复出现的业务事项，而不能对例外事项（包括意外事故）进行控制；

（2）对于工作人员因粗心、精力不集中、身体欠佳、判断失误或误解上级发出的指令而造成的这种人为错误无能为力；

（3）内部控制还受到控制成本的限制；

（4）当工作人员合伙舞弊和内外串通共谋时也无法控制；（5）当管理人员滥用职权或不能正确使用权力时无法控制；

因此，尽管管理层力争取得有效的控制效果，但由于上述及其他限制因素存在，内部控制不可能完美无缺。

当前企业内部控制存在的一些问题

目前一些企业的财务内部控制还没有达到能够使各类财务决策力、各项财会业务过程、各个操作环节、各个财会人员的行为都处于紧密的内部制约和监控之下的科学、有效的财务内部控制水平。理论上忽视对企业财务内部控制及其风险的研究，误导财务管理实际工作对财务内部控制的疏忽和松懈。主要表现在以下四个方面：

（1）企业管理层重生产、轻经营；重开发、轻内部管理，甚至把财务内部控制仅仅看成是财务管理部门的事，而没有把财务内部控制放在整个企业经营管理的策略高度来考虑；

（2）有的企业虽有为数不少的财会规章制度，但仅仅是纸上谈兵，流于形式，而未得到切实的贯彻执行；

（3）忽视财务内部稽核和内部审计的作用。有的企业没有财会部门的稽核，3 有的内部稽核不规范，未形成制度；

（4）在日常财务管理方面，思想工作不深入，对职工的个人行为和思想状况了解不够，使一些事故隐患长期得不到发现。

四、加强企业内部控制制度建设的对策

（一）建立科学有效的组织结构

组织结构是企业采用的按不同任务或职位来划分和调配劳动力的方法，设置科学合理的企业组织机构是实现公司运营目标的基础，企业的各项决策方式和最终的战略方案都会受到组织结构的影响，内控制度也不例外。组织结构的类型众多，职能制组织结构、事业部制组织结构、矩阵制组织结构以及战略业务单位组织结构等，不同的组织结构要求企业有不同的业务执行方案，部门设置也有不同，董事会在设置机构时，必须做好效率、人员成本和控制力度之间的平衡，权利明确清晰，责任到位，然后配以适用于不同组织结构的内控制度，才能充分发挥内控的监督、检查和激励作用，避免利益冲突引起的不必要的损失。

（二）增强内部控制意识

从 COSO 提出的五个要素中我们也可看出控制环境对内部控制的建设极其重要，内部控制是由单位治理层及员工共同实施的旨在实现控制目标的过程，不论是管理层还是基层员工都应该对内部控制有足够的重视，树立在内部控制制度的约束下开展经营活动的理念，使企业的各项经济活动真正纳入到企业的内部控制系统，最大限度的降低非可控性。

（三）提高内控人员素质

企业应加强内部管理人员尤其是财会人员的培训学习，培养其鉴别会计信息的真实性、完整性及财务活动合法性的能力，提高内部控制人员的自我约束力和综合素质。要定期对职工进行内控知识的宣传和教育，加强思想道德建设和法律法规的学习，使企业上下对内部控制制度有正确的认识，消除阻碍因素，顺利推动内控工作的进行。

（四）内控建设要与企业文化建设相联系

企业文化强大的整合作用，使得越来越多的高管在企业文化的建设上投入更多的精力，没有文化的企业就是一个没有灵魂的躯壳，良好的企业文化是企业可持续发展的重要基础。拥有良好企业文化的企业，能够将全体员工的积极性和责任感充分调动起来，对企业的发展予以最全力的贡献，高度关注企业的命运，这就可以自然地预防像总经理的舞弊风险、决策低效率等问题，在此基础上建立的内部控制也能够起到事半功倍的效果。海尔一直都很重视企业文化建设，力求把“质量重于一切”的理念深入到每个员工，而其内部控制的建设也与质量第一的企业文化紧密相连，两者相互促进，保证了海尔持久的市场声誉和较高的顾客信 4 任度。

（五）完善内部控制测试

完整的内控制度不仅仅是指规章制度的制定，还应该包括后期的控制测试和监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证，只有对结果进行科学的分析得出有利于改进内部控制建设的信息和措施建议，才能够达到进行制度控制的效果，避免内部控制流于形式而带来的效益小于成本的困境。目前我国三大电信运营商均在美国上市，每年均面临《萨班斯奥克斯利法案》的严格审核，为了通过审核，电信运营商采取一系列措施加强内部控制测试，全程监控，保证内部控制的有效落实，比如检查式测试、常态化测试、咨询式测试，提高了电信运营商内控建设的科学性和系统性，同时其成功实践也为其他上市公司加强内部控制管理提供了有益参考。

（六）做好内部审计工作

企业内部控制涉及企业运行过程方方面面，对其具体的执行需要进行不断地跟踪，跟踪取得的最终效果关键取决于企业自身的监督，而内部审计就是进行这种跟踪的有效措施。内部审计是企业经济活动的评价监督部门，也是内部控制系统一个特殊的构成要素，是对内部控制的再控制。与其他形式的审计相比，内部审计部门作为企业自身内部的一个职能部门对企业的经营活动、会计核算、控制程序等方面有更准确的认识和深入的了解，使其对企业内部监督的有效性成为可能。充分发挥内部审计的作用，可以为改进内部控制提供建设性意见，有效防范内部控制失控，促进企业控制目标的实现。企业对具备内审专业人员的需求以及内部审计职业考试的持续升温加也证明了内部审计对企业的重要性。

五、COSO报告对我国企业内部控制的启示

（一）建立以风险管理为核心的企业内部控制体系

新的COSO框架最突出的特点是提高了对企业风险的关注程度,使企业内部控制逐渐呈现与风险管理一体化的趋势,即以风险管理为主导,建立适应企业风险管理战略的新的内部控制。企业内部控制开始走向范围更宽泛的风险管理。

我国企业应加强对风险的认识,将风险管理提升到一定的高度,逐步建立以风险管理为核心的内部控制体系。由于控制是需要成本的,董事会与管理层要将精力主要放在风险管理上,而不是对所有细节的控制上。对风险的管理是否及时、有效往往会关系到企业的生死存亡。只有将风险管理作为核心的内部控制才能为企业的存续和发展提供更大的支持。企业风险管理需要企业管理者建立一种企业总体层面上的风险组合观,对相关的风险进行识别并采取措施使企业所承担的总体风险在风险偏好的范围内。在制定目标时,要针对不同的目标分析其相应的 5 风险,并根据对实现企业目标的潜在影响来确认风险,从固有风险和残存风险的角度进行风险评估,对规避、减少、共担和接受等风险反应方案,企业管理者应比较不同方案的潜在影响,在企业风险容忍度范围内的假设下考虑风险反应方案的选择。

（二）重视企业的内部环境建设,强化董事会的内部控制功能

内部环境有着丰富的内涵,它由许多因素共同构成,包括企业风险管理理念、企业风险偏好、董事会的监管、企业员工的诚实性、道德标准和能力、权责的分派以及企业的人力资源政策等。内部环境设定了企业的基调,同时也是决定一个企业的内部控制优劣的基础。企业要加强对内部环境的建设,只有拥有良好的内部环境,才能保证具体内部控制措施的实施,才能真正建立起有效的体系。

在构成内部环境的要素中,董事会是重要的组成部分,对其他要素有着重大影响,建立健全董事会功能是企业最根本的内部控制。安然、世通等特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。而在我国,受体制等方面的影响,很多企业的董事会形同虚设,内部控制缺乏应有的股东监督机制,更多地维系在经营者的觉悟上,关键人控制现象十分突出。企业应该认识到董事会对企业的所有活动负有最终责任,要充分发挥董事会的监管作用,确保企业的各项活动符合其风险偏好、不超出其风险容忍度的范围,这样才能使企业健康地发展下去。

（三）加强监督机制,提高内部控制效率

公司治理的监督机制包括内部监督机制与外部监督机制,其中内部监督机制是指股东大会、董事会、监事会等监督机制;外部监督机制是指媒体、中介机构等监督机制。在目前我国很多企业缺乏完善的公司治理机制、内部环境较差的情况下,要使内部控制有效执行,必须借助于企业内、外部的监督机制,定期和不定期地对内部控制制度的执行情况进行检查与考核,不断发现问题、解决问题,从而不断修改或调整有关的控制环节和措施,促使内部控制日趋合理有效。

（四）突出人的作用,增强内部控制执行的自觉性

无论多好的制度,若得不到切实的执行也不能发挥其应有的作用。内部控制并非仅仅是政策手册与表格,而是由具体的人来执行和实施的。在加强企业内部控制管理的过程中,人的因素十分的重要。这里所说的人,不仅仅是企业的管理人员、董事会成员或内部审计人员,而应包括来自企业内每一个阶层的每一个员工。一个良好的内部控制系统应确保企业内每一个员工都能清楚地知道其所拥有的权力和承担的责任,树立每一个员工都应对企业的内部控制负有责任的观念,促使他们团结合作,主动实施并完善企业的内部控制,为企业总体目标的实现认真履行自己的职责。

结语

在现代企业管理中，依据内部控制框架建立合适规范的企业内部控制规范对经济发展具有非常重要的意义，同时对会计学尤其是内部审计的发展具有重大影响。

【参考文献】：

［1］COSO ,internalcontrol-integrated framework ,1992.［2］Goldberg.Your Merge: Will it really add value? [J].The Journal of corporate accounting and finance, 2001.［3］吴水澎.企业内部控制理论的发展与启示 [ J].会计研究, 2000.［4］盖瑞・・米勒《管理困境———科层的政治经济学》上海 :上海人民出版社 ,2002年.［5］宋建波． 企业内部控制［Ｍ］．中国人民大学出版社，2004． ［6］周兆生.内部控制与风险管理 [J ].审计与经济,2004.［7］罗伯特・西蒙斯《控制》北京 :机械工业出版社 ,2004年.

coso内部控制框架论文 篇2

1992年美国COSO发布 (1994年修订) 的《内部控制——整合框架》, 被公认为最先进的内部控制理论体系。该框架认为, 内部控制是“由一个企业的董事会、管理层和其他人员实施的, 为财务报表的可靠性、经营活动的效率效果、相关法律法规的遵循性等目标的达到提供合理保证的过程。”它由内部环境、风险评估、控制活动、信息与沟通、监控五个要素构成。

一、内部环境

COSO框架认为, 内部环境是影响和制约内部控制建立和运行的各种内部因素的总称。它通常包括:治理结构、高管对内部控制的重视程度、机构设置及其职责分配、组织文化、人力资源政策与实务等。

1. 治理结构。

治理结构是两权分离的经济组织, 所有者对经营管理者进行管理和控制的一种制度安排。有效的治理结构要求经济组织的决策、执行、监督等职权应当合理而明确地分工以便形成相互制衡机制, 为内部控制的建立和有效运行提供动力保障。

票号实行由财东出资, 委托大掌柜全权经营管理的两权分离制度。在这种两权分离的基础上, 票号创立了比较有效的治理机制:“票号成立之初, 当财东起意经营, 聘请经理, 由介绍人之说项, 或自己注意察访, 确实认定此人有尤有为, 能守能攻, 足以担任票号经理之职责, 则以礼招聘, 委以全权, 专采用人莫疑, 疑人莫用之旨。但被委以经理事前须与财东面谈, 侦查财东有否信赖之决心, 始陈述进行业务及驾驭人员之主张, 果双方主见相同, 即算成功。故财东以资力独占一面, 经理以指导下全体同仁独占一面, 即财力人力合作而成一具体之商号也。……财东自将资金全权委诸经理, 系负无限责任, 静候经理年终报告平素营业方针, 一切措施, 毫不过问, 每到例定账期 (或三年、或四年, 即决算期) , 由经理谒清, 约日聚会, 办理决算, 凡扩充业务、赏罚同人, 处置红利, 全由财东裁定执行, 经理为建议首席, 听其咨询。财东所负无限责任既重且大, 特持其眼光远大, 信义待人。……经理既受财东信赖与委托, 得以经理同号事务, 任重道远, 所以事事不出于尤勤惕历之一念, 领导同仁, 崎岖前进, 其权限近乎独裁而非独裁, 实即集权制也, 盖同人均享有建议权, 非任何拘束, 小事亦可便宜行事, 大事则须决之经理。” (颉尊三, 1944)

2. 高管对内部控制的重视。

高管是内部控制的主要制定者、带头执行者和主要监督执行者, 其对内部控制的重视程度直接影响着内部控制的健全有效性, 使内部控制建立和有效运行的政治保障。在东掌分离制度和“人身股”制度的激励与约束下, 拥有充分经营管理自主权的票号的高管——掌柜们都非常重视“号规”等近似现代内部控制制度的建设, 并带头执行和严格监督员工执行这些“号规”。

3. 机构设置与权责分配。

内部控制建设和实施的主要基础是岗位职责分工, 而岗位职责分工是通过机构、岗位设置和职责分配实现的。机构、岗位设置及其职责分配的合理性直接决定着内部控制的健全有效性。为了便于业务开展和内部控制, 票号一般设总号和若干分号。总号和分号的内设机构相似。总号设大掌柜 (总经理) 一人, 二掌柜 (副总经理) 一人, 三掌柜 (总营业) 一人, 会计数人 (组成账房) , 文牍数人 (组成信房) , 外事数人 (兜揽生意者, 包括跑街者和跑外者, 组成营业课) 、庶务 (勤杂) 一人, 练习生若干人。分号设老帮 (经理) 一人, 协帮 (副经理, 兼任营业) 一人, 会计 (内账房) 、文牍、出纳 (外账房) 、营业, 视事的繁简, 设一人或数人 (卫聚贤, 1944) 。

4. 组织文化。

组织文化对员工的品德素质有着潜移默化的重要影响, 从而对内部控制的有效运行有着深刻的影响。票号的财东和掌柜们深谙此道, 票号“发展之原理, 营业以信义和平为宗旨, 伙友以团结精诚为必要, 号章严密完善, 历来经理用全副精神, 始立永久基业。” (雷士炜, 1937) 几乎所有的票号都制定有自己的号训, 称之为“教训”。票号的教训主要包括“重信用, 降虚伪, 节情欲, 敦品性, 贵忠诚, 鄙利己, 奉博爱, 薄嫉恨, 喜辛苦, 戒奢华, 他如恒心、连达、守分、和婉、正直、宽大、刚用、贤明。” (颉尊三, 1944) 而且票号还定有严格的禁例, 如不准宿娼赌博, 不准染习不良嗜好, 不准向财东和掌柜送礼等。票号要求员工“凡事正大光明, 丝毫不讲私情, 所以父子兄弟不能同号, 师徒虽有阶级, 然而心理平等, 例须互相见谅, 所以经理同人, 犹如一家, 上下相习, 戮力一心, 个个报着志存立功, 专事报主, 故业务上之统筹方法, 计算上之经济技巧, 无一不通。每有身份极小而异以一庄领袖, 不肯作弊, 盖恐失其人格耳, 人格一失, 准蔽耳目, 商界上不克容纳矣。”这种优良而浓郁的票号文化, 不仅铸就了票号十分重视诚信的经营特色, 而且极大地降低了票号员工犯错和舞弊的可能性。

5. 人力资源政策与实务。

设计再好的内部控制没有德才兼备的员工严格执行, 也不会达到预期目的。因此, 选贤任能, 加强员工品德素质的培训教育和监督考核, 对内部控制有效运行有着根本性的影响。票号的财东和掌柜们对此格外重视。票号财东选用掌柜的做法前已述及。

票号“选用职员, 教养同人, 非常慎重。当练习生求人说项之时, 恐有不良遗传, 必先问其以上三代做何事业, 出身贵贱, 再侦询本人之履历资格, 当面测其智力, 试其文字。如属合格, 择日进号, 为郑重人格起见, 名曰请进, 及明白宣示各个同人有升任经理之资格, 使其得以安心服务, 随处发挥智能。果为杰出人才, 短期间即可得到相当职务, 促其实地工作, 造就常识经验, 否则一年之间, 开除出号, 令其及早另图别业, 恐一延长, 徒误彼之青年时期。” (颉尊三, 1944) 票号使用的“经理同人, 全须有殷实商保, 倘有越规行为, 保证人负完全责任, 须先弃抗辩权。倘保证人中途废歇, 或撤保, 应速另找, 否则有停职之虞。同人感于如此严厉, 再受号上道德陶冶, 故舞弊情事, 百年不遇。” (颉尊三, 1944) 票号锻炼考察员工大多采用实验法, 采取“远使之而观其忠, 近使之而观其敬, 烦使之而观其能, 卒然问焉而观其智, 急与之期而观其信, 委之以财而观其仁, 告之以危而观其节, 一班两年而观其惰, 派往繁华以观其色, 期在练或磨而不砾, 三里而不淄, 方足以任大事也。故一号之中, 不敢断言尽皆忠、敬、能、智、信、仁、有节有规十全之士, 但不肖之徒难以立足。” (颉尊三, 1944)

为了鼓励高管人员勤奋工作, 票号对于掌柜和重要职员则实行“人身股”激励和约束。“人身股”亦云身力, 一般情况下, 每个结账期 (以四年或三年者居多) 大掌柜 (经理) 可顶“人身股”一股, 偶尔也有一股二、三厘者。其余顶股人员顶股之多寡, 即由经理视人才劳绩而酌定之。这样就形成了资本家出钱, 劳动者出力, 均有股份, 一经获利, 平等分配。以是经理伙友, 莫不殚心竭力, 视营业之盛衰, 为切己之利害。 (陆国香, 1936) 为了防止管理人员营私舞弊, 票号对他们制定了严厉的制裁与控制措施。“至若经理人与总店之关系, 则不但经理人个人对总店负连带责任, 即其家属, 亦不可不负责任。…凡遇破产, 不问原因如何, 均须严惩, …如分店发生损失, 认为经理人过失时, 则经理人及其家属全体, 对于总店均不可不负连带损失赔偿责任。损失赔偿之未终了之前, 下其家属于狱, 将彼等之财产全部没收。”“分号重要职掌之人员, 均有总号选派, 既经派出之后, 家族即由总号赡养, 实则以此为质, 不啻作为保证。在分号任事之时, 一切需要, 悉取于公, 详细列账, 存以备查。关于必要之交际, 均由号中开支公款, 并由号中特备华美衣服, 以供使用;来往家信, 例由总号代转, 不得自由寄发, 借此以便检查;及至任事期满之后, 持账交诸总号, 经总号复核无讹;如因在任事期内, 确能尽力于职务, 或有额外劳绩, 号务大有起色, 则由资本主酌给酬劳为报, 并归还其家属, 或者仍回原号之任;如有不能称职者, 则由总号调回察看, 再定去留;至于舞弊营私, 一经发觉之后, 则酌量情节之轻重, 以定惩戒, 甚至没收其财产, 拘留其妻孥, 不稍宽容, 毫无情面。” (东海, 1917) 同时规定, 派出分号经理及伙友, “不准接眷出外, 不准在外娶小纳妾, 不准宿娼赌博, 不准在外开设商店, 不准捐纳实职官衔, 不准携带亲故在外谋事。” (范椿年, 1935) 票号对分号人员控制之严, 由此可见一斑。

二、风险评估

COSO框架认为, 风险评估是识别和分析影响组织目标实现的相关风险, 未确定应该如何管理这些风险奠定基础的过程。它以组织的目标设定为前提条件, 以风险的识别、分析和应对策略制定为主要内容, 旨在为控制活动的实施提供依据。

1. 目标设定。

风险是目标受各种因素影响而难以实现的可能性。因此, 风险评估首先必须有目标, 管理层才能识别实现这些目标的风险, 并采取必要的措施来管理风险。目标可以明确地陈述, 也可以隐含地表达。通常有盈利等业绩目标、防止资源损失目标、防止虚假信息报告目标等。票号秉承中国传统的谦虚内敛的文化, 大多不公开宣称自己的经营目标, 但是, 追求汇兑差额、放款利息收入最大化、存款利息最小化和信息报告真实性等是众多票号心照不宣的目标。

2. 风险识别。

风险识别就是对组织面临的风险进行全面地辨认的过程。辨认时不但要从组织整体层面全面辨认面临的风险因素, 而且要从各项业务层面全面辨认面临的风险因素。票号兴盛时期十分注重风险的识别。“票号注意于国家兵事, 各省火灾、水灾、旱灾、风灾, 调查货物出产多少, 销处畅旺与否, 皆有银钱松紧关系, 预前早有布置, 临时从容得利。” (冀全禄, 1936) 八国联军侵华时, 日升昌的大掌柜及时撤销了成都、重庆、广州、汉口、张家口、开封等地的分号并辞退了员工, 避免了战乱导致的更大损失。

3. 风险分析与应对策略制定。

风险分析与应对策略制定就是将识别出来的风险因素, 按照其发生的可能性和可能造成的损失大小进行排序, 分清轻重缓急, 确定应对策略, 以便有序、有效地进行控制。票号也十分重视风险分析与应对策略制定。“票庄做生意, 必须视各庄之出产, 四时之遭遇。预测某处之丰歉, 早定计划以兑款, 届时银根松紧, 于中取利, 得贴水, 可卜优胜。” (王之淦, 1937) “经理倘视环境不佳, 恐将损及血本, 必挥其铁腕预筹退步, 绝不肯稍有疏虞, 故营业范围系以环境为比例, 活动为主旨;务使操纵自如, 绝不行险侥幸” (颉尊三, 1944) 为了规避信用风险, 票号规定“小商号与人名, 则曩不交易。”为了规避变现风险, 票号规定“货物抵押即不动产抵押, 则曩不许做。”“票号放款目的, 不图厚利, 但求稳妥与活动, 最忌冒险与迟滞。” (范椿年, 1935)

三、控制活动

COSO框架认为, 控制活动是那些能够合理保证管理层控制风险的指令得以贯彻执行的政策和程序。它是有关人员执行这些政策的活动。它可以发生于整个组织的所有层级和左右职能中。它包括一系列不同的活动, 如职责分离、授权批准、财产保护、会计记录、预算计划、运营分析、内部报告、业绩考评、稽核检查等。

1. 职责分离控制。

职责分离控制是指要尽可能将经济业务的处理过程划分为若干相对独立的职务, 把不同的职务特别是不相容职务分配给不同的岗位人员来执行, 以便形成相互联系、相互制约的机制。它要求任何业务都必须实行分工负责, 不能有一个人包办, 关键岗位的工作人员应当实行定期轮换和强制休假。如前所述, 票号组织机构的设置比较完善, 每个课内部又有严格的分工。如会计课也称为账房。在总号, 账房一般设有管账、副管账各一人, 帮账若干人。管账先生总理全号账目, 包括总号账目和分号账目;负责库存银钱出纳, 包括每天营业开始或进行中向营业课柜台支付低于柜存限额的银两, 营业终了向柜台收取的超过柜存限额的银两交, 以及总号与有关分号之间调剂银两的收付。副管账协助管账先生管理全号账目, 并具体负责总号的账务处理, 帮账在副管账的指导下负责有关账项的抄写, 以及有关数据的算盘计算等具体工作。分号账房一般分为内账房和外账房。内账房负责总清账, 计算利息, 编制月清和年总结等。外账房即汇划账房, 负责与总号、其他分号、客户之间的银两收付和流水账等。 (黄鉴晖, 2002) 这样不仅可以使会计课内管钱与管账工作相对分离, 而且可对柜房的银钱收付进行监督和控制。

营业课也称为柜房。柜房一般设总营业或营业、秤重念唱和书写记录等岗位。柜房出具汇票时, 先由专人验秤银两, 报出数量和成色等信息, 再由专人书写汇票, 最后总营业或营业审批并亲自签章;兑现汇票时, 先由专人审验汇票, 再由总营业或营业审批并亲自签章, 最后由专人秤付银两。“各庄首领 (大掌柜或老帮) 每星期必须实地阅看账簿折据。” (黄鉴晖, 2002) 为了培养员工具有全面的工作能力, 增进各岗位员工之间的相互理解, 同时强化相互监督, 票号十分重视岗位轮换, 规定“久办内事者必使去办外事, 久办外内事者必使去办内务, 彼此事理通达, 自能免除隔阂, 并含有互相监督, 各守名分之效果。”“故有一班 (一个任期, 通常为两年) 而调任别处, 或一处一班而不克续班之例, 意在使号上之人对各地情形知底细, 并可防杜同人舞弊。盖一经交替, 须交代清白, 负责报总号也。” (颉尊三, 1944) 为了体现人文关怀, 也为了加强内部控制, “票庄与旧式的商业机关一样, 没有定期休息, 但各职员依一定服务的年限及地方的远近, 可得多少假期, 总号人员两三个月可以休息七天, ……太原分号一年休息两个月, 天津及其他各地分号, 原先三四年休息半年, 后来因为交通便利, 改为两年或两年半休息一次。东三省及边陲远处, 则五年后休息一年, ……不论几年休息一次, 概称为“班期”, 到休息时回家, 即所谓“下班”。 (陈其田, 1936)

2. 授权审批控制。

授权批准控制就是所有经济业务的办理都应当事先得到授权 (一般授权或特殊授权) , 业务经办人员必须在授权范围内办理有关经济业务, 承担相应经济责任。为了规避经营风险和员工舞弊风险, 票号建有比较健全授权审批控制机制, 包括财东的授权审批控制、大掌柜 (经理) 的授权审批控制和总号的授权审批控制。“凡扩充业务、赏罚同人, 处置红利, 全由财东裁定执行。” (颉尊三, 1944) 票号日常经营管理中的“大事须决之于经理”。票号实行高度的“中央集权, 资本既储总号, 获利也归总号计算, 以总号为中心, 各地分号不过是辅助机关而已, 立法甚为严密。” (陈其田, 1938) 各分号必须严格执行总号规定的经营范围和程序, 超出总号规定的业务和事项都必须向总号请示, 到批准后方可执行。例如, 1884年大德通票号的号规就规定:“遇景逢情, 囤积些实项货物, 预与祁铺 (总号) 达信, 请示可行与否, 遵祁信办理, 不得擅自举办。” (黄鉴晖, 2002)

3. 财产保护控制。

财产安全控制就是为了保护财产安全完整而专门实施的控制政策和程序, 现代常见的财产安全控制政策和程序有:财产物资的专人保管与限制接触、投保财产保险、作永续盘存登记、定期盘点财产、加固财产保管场所、为财产票据设置密码与防伪措施等。票号在长期的实践中摸索出了很多有效地保证银两安全内部控制措施。以最早的票号——日升昌为例, 为了保证银两安全和汇票不致被冒领, 他们不但在人们意想不到的地方 (与出纳室相通的小户休息室地下) 设置秘密银窖, 而且区别生熟客人, 采用不同的汇兑方式:生客来到日升昌办理汇兑一般用对折汇票, 即将汇票对折, 在折缝处加盖骑缝章, 然后一分为二, 一半由顾客自带, 另一半由票号随信寄往分号, 顾客取钱时, 两半汇票拼对相符才可取钱。给熟客办理汇兑, 则将整张汇票交给顾客, 票号只需要在寄往分号的信件中说明取钱人及其数额等信息, 熟客就可凭整张汇票取钱。票号采用四重保险措施:第一重为水印, 日升昌的汇票都印有“昌”字水印。第二重为笔迹, 所有汇票都由号中同一个伙计书写。第三重为在汇票上写明取款人的外貌、声音、衣着等, 第四重为密押。为了防止汇票被人涂改掌柜都要编制一套密码, 可以用来表示签发时间、数额等。总号、分号中都只有经理两三人知道密押。日升昌100多年间共使用了300多套密押, 平均一年换3次密押。为了防止密押被人破译, 汇兑后汇票要被票号收回销毁。 (黄鉴晖, 2002)

4. 会计记录控制。

会计记录控制就是通过全面、连续、系统的会计记录, 如实反映经济活动情况, 保证财产物资安全。它通常包括健全凭证组织、账簿体系和报告内容, 采用科学的记账方法, 选用适当的会计政策, 严格会计档案保管和会计工作交接等。受我国“经商必须理财”传统文化的熏陶, 票号的财东和大掌柜历来重视会计控制, 其会计账簿组织十分详细和完备。“票号账簿, 原属一种旧式簿记, 但其组织之完备, 登记之详密, 亦可称为旧复式簿记。总号除本总号应有之营业各账外, 尚有各分号之营业报告, 亦须分别记账。每月有月清册, 到决算期 (大概齐十月底者居多) , 以月清而统造年清, 绝无丝毫错误。以彼时各地平码之繁杂, 银色之差异, 而到决算时期, 统以本平本色 (即本号资本之平色本位) 折算入账, 曾无发生错讹。” (范椿年, 1935)

“票号账簿大致分为流水账、老账、现金账、浮记账四种。…… (1) 流水账:各项交易均须于此账内先加分录, 然后过入老账。有银流水宝账和钱流水宝账之分。……账内抬头之下分上下两方, 上方记载收入, 下方记载付出。 (2) 老账:依流水账各个抬头, 分别记载之账簿, 该账包含全部财产变动之综合。故据之可知财产状况及营业损益。此账名称虽多, 要亦不外入出老账与收取老账两种。入出老账专载营业上之损益……;”收取老账系表示营业上对内对外之一切资产与负债, 收即银行之负债部分, 取即银行之资产部分;是以出入老账合计之余额, 即等于收取老账之余额。以大德通票号为例, 老账抬头有:万金账 (资本账) 、钱来往宝账、银来往宝账、各铺来往账、外该借贷账、收借贷账、各路存户汇项账、汇银宝账、收出满加账、出入平色宝账、收贴费现利捐项银账, 未到期票项宝账、外庄人本账, 应支账、辛金衣支账、杂役宝账等。 (3) 现金账, 为核计库存而设, 故凡逐日出入现款, 必须登记此账, 其收付合计之余额, 即本日库存之数。 (4) 浮记账:为省时间而设, 因当年票号极盛时代, 逐日交易, 事务过繁, 如往来存款一种, 特别增多, 若逐宗记之流水, 再有流水抄入老账, 实非二三司账员所能胜任;于是, 为增加工作效率计, 乃设此账, 将往来存款暨同仁 (即同行) 暂记等项, 不过流水, 径登此账, 待日终结算时, 只用将收取两方之合计数, 一笔移转于流水账。” (卫聚贤, 1934)

票号实行以账代表的的财务报告方式, “报告使用旧时账册, 如同账本一样。报告内容, 首先是各项总结起来的数字, 并写在前面;其次, 关于各项总结数字的具体花名、数字及地点, 都写在后面。”“这样, 总号看过之后, 不仅可以稽核数字, 而且可以明了都是做了些谁的生意, 有哪些收入和花销, 有没有问题” (黄鉴晖, 2002) 总号“每年年终汇集各庄营业报告表, 造具清册, 报告财东一次。倘有较大之事项, 临时须报告财东, 完成手续。” (颉尊三, 1944) 为了防止密押被人破译, 票号的汇票汇兑后都要被收回销毁, 因此, 票号没有完整的会计凭证体系, 这为事后核查其汇兑业务和账簿记录的正确性带来了困难。因此, 我认为, 现在人们常说的票号一百多年的经营历史上几乎没有发生过差错和舞弊, 是无法考证, 不足为信的。

5. 运营分析控制。

运营分析控制就是组织的管理人员应当注意及时收集各方面的信息, 认真进行分析, 及时发现问题, 找出原因, 加以妥当处理, 保证营运始终平稳有效进行。票号商深知“买卖赔与赚, 行情占一半”的道理, 十分重视运营行情的收集与分析。如祁县乔家大德通号规规定:“须勤阅报纸, 以明当今时务。至于耳目流通, 诸位留意, 更是吾等分内之事。须与伙等时常讨论, 果能尽一份人力, 自可得一份实效。”各分号每日都要根据“跑街”收集的信息进行行情分析, 平时根据总分号之间和各分号之间的书信往来沟通的信息进行行情分析, 还要密切注意相关灾害的发生情况和分号所在地一年四季的农业生产的丰歉情况, 进行行情分析。

6. 业绩考核控制。

业绩考核控制就是组织采取与组织目标相一致的绩效标准, 对员工的工作业绩进行考核, 并据以进行奖惩, 以促进员工勤奋地为组织进行工作的控制方法。业绩考核控制是票号内部控制的主要特色之一, 包括财东对大掌柜的考核, 总号对分号经理的考核, 以及总号和财东对员工的考核。总号对分号经理的考核是通过分号经理每年年关回总号述职考评进行的。例如, “日升昌全国50多家分号, 掌柜每年年关回平遥述职。述完职后, 吃团圆饭, 大家围坐在大园桌边。面冲门位尊, 背对门位卑, 排位时既不是按资历也不是按年龄, 而是看当年的业绩, 业绩最差的背对门坐。连续三年背对门的掌柜就要下课回家。” (王立彦等, 2007) 每次营业决算后, 总号要根据分号纯收益的多少给分号经理一定比例的“花红”, 存于分号, 叫做“经理人损失赔偿准备金”, 计一定的利息, 只要分号经理认真工作, 任期内不出现过失, 离任时就可以连本带利一次性提取。对分号员工的考核, “及至任事期满之后, 持账交诸总号, 经总号复核无讹;如因在任事期内, 确能尽力于职务, 或有额外劳绩, 号务大有起色, 则由资本主酌给酬劳为报, 并归还其家属, 或者仍回原号之任;如有不能称职者, 则由总号调回察看, 再定去留;至于舞弊营私, 一经发觉之后, 则酌量情节之轻重, 以定惩戒, 甚至没收其财产, 拘留其妻孥, 不稍宽容, 毫无情面。” (东海, 1917)

7. 稽核检查控制。

稽核检查控制, 包括稽核控制和内部审计控制。为了及时发现业务和财务活动中的错误与舞弊, 现代企业管理要求在业务和财务活动要嵌入稽核职能, 随之对发生的业务和财务活动及其记录进行及时的、经常地和连续的稽查和核对, 包括账账核对、账证核对、帐表核对、账实核对等;同时还要求在业务和财务部门之外设置独立的内部审计部门, 对业务和财务活动的合理性、合法性和有效性进行独立的、定期的、全面的审查和监督。

山西票号也有比较完善的稽核制度。包括大掌柜或其特派员每年对分号的例行巡视、每年对分号的例行稽核检查, 以及对员工家信的检查和对回家员工的检查等。“大掌柜每年例须巡视各庄一次或两次, 有时另派大员代理。此项举措万分重要, 凡人位之处度不宜, 同人暗行不端, 手续不合潮流, 市面情况变迁, 皆为业务上之阻碍, 视察所得立时处理。” (颉尊三, 1944) 例如, 大德通票号在其1912年的号规中就规定:“每年正月初八日, 选派稽核一二人, 分巡各庄稽核, 当选员不拘住家住外, 临期带祁信 (总号信件) 前往, 稽核之事如下:专查内外事件;账簿折据;本号人位优劣;审查社会之情形, 定进退之标准。稽核员往返各处之川资旅费, 一切零用, 开单结祁, 各庄不得酬送分文, 己身置买衣物等件, 实记实结, 运费厘税, 一同结祁, 以取正己正人。稽核员每到一庄, 协同首领, 对本庄伙友, 宣读章程一遍, 然后依章程次第认真实行查核, 如有违章情事, 若系伙友所犯, 稽核与首领权事之轻重, 有黜陟之权, 不待商祁, 勒令回祁出号, 此层务须被除情面、务稍瞻循, 有负职责。” (卫聚贤, 1944) 对分号员工家信的检查, “来往家信, 例由总号代转, 不得自由寄发, 借此以便检查。” (东海, 1917)

四、信息与沟通

COSO框架认为, 信息与沟通就是及时、准确、完整地收集与企业经营管理相关的各种信息, 并使这些信息以适当的方式在企业有关层级之间、企业与外部有关各方之间进行及时传递、有效沟通和正确应用的过程。信息与沟通是有效实施内部控制的重要条件。“票庄做事, 尽凭信函灵通。” (王之凎, 1937) 因此, 票号十分重视信息收集与沟通, 设有专门的信息收集职位——“跑街”和专门的信息管理部门——信房, 由管信 (文牍) 先生指挥司信数人处理往来文件和信件。票号信息收集与沟通体系十分健全, 包括“跑街”的信息收集、总号与分号的信息与沟通、与其他票号之间的信息沟通、与主要客户之间的信息沟通等等。跑街是票号的日常业务兜揽者和市面信息收集者。“跑街者, 或在本市, 或派往他市, 每晚必至经理前详细报告本日所营事业, 及各庄各行商情, 由是各路银势之松紧, 汇水之涨落, 可以知其梗概, 而筹划营业。” (陆国香, 1936) 总号与分号之间、分号之间的信息与沟通最为重要, 票号不仅规定了报告的时间、事项及内容, 而且设计了内容丰富且能够相互印证牵制的报告体系。各分号遇事都要通报总号, 包括财务、业务、人事、行市、证据等信息, 而总号也许一一答复, 并传达相应的管理信息。各分号对于“每日市面银钱行情, 平稳时由普通信分报联号各庄, 如遇行情暴涨暴落时, 在未通电报前, 用加紧专信报告有直接关系之各分庄, 其无直接关系各庄, 则用普通信报告之;自通电报后, 则由电报报告之。分号每逢月终, 须将本月内之营业, 详细造具清册报告总号, 及联号各分庄;并于造具清册后, 附报后三月之‘比期’ (此三月内预计后三月之生意, 俗称比期) , 详述收交之银, 或有余或不足, 以通消息而资联络, 使各分庄作收交上之预备。每遇年终结账一次, 报告总号, 以结总号之总账, 并分报联号各分庄, 以便核对通年账目之有无错误, 俾清手续。” (陆国香, 1936) “票号所用信札, 分为正报、复报、附报、叙事四项。正报者, 报告本号直接对某分号营业之事项。复报者, 报告本号前次对某分号营业之事项。附报者, 对其他分号报告本号与某分号之各种营业事项。叙事者, 于报告营业之末尾, 再另起稿叙述本处近日市面商务之情状, 及一切其他事务。” (范椿年, 1935)

“从前票号, 各有势力范围之区域, ……营业之偏重。”但是, 各家“票号无不互相联络, 故其关系密而机关广, 彼此声息相通, 所以汇兑敏捷。” (东海, 1917) 为了加强与客户的沟通, 招揽生意, 规避风险, 票号“北京经理经常出入于王公大臣之门, 省会经理亦往来于督抚藩臬之署。” (范椿年, 1935) 为了防止传递信息的失真, 票号规定信房先生不能顶“身股”而实行高薪, 因为如果他享受分红, 就有可能因为书信内容关乎分号业绩高低, 从而关乎自己分红多寡, 而不如实写信, 所以, 无论分号审议发展的如何, 他的年薪都是500两银子, 是分号掌柜年薪的五倍。

五、监督检查

COSO框架认为, 要使内部控制始终保持较高的有效性, 就必须由企业权力机构授权企业相对独立的部门对内部控制进行不断的检查评价, 及时发现和解决其中存在的问题, 包括例行的定期检查和发生重大错弊事件后的不定期检查。票号也很重视包括内部控制制度在内的规章制度检查评价和改进, 不但有前述的比较健全有效的稽核检查控制措施, 而且要定期根据发展变化了的内外部环境, 对票号号规进行全面修订。如大德通票号从1884年成立议定号规起, 于1888年、1901年、1904年、1913年、1921年五次全面修订号规。

总结山西票号的内部控制实践, 可以看出, 尽管当时没有完整的内部控制理论作指导, 但是, 即使用现代内部控制理论框架来观察, 其内部控制结构是相当完整的, 控制措施也是相当有效的, 而且还有不少特色内容值得我们现代人传承、借鉴或学习。比如:

1. 制度控制与文化教育相结合。

票号在尽可能设计和运用好各项规章制度进行制度控制的同时, 尤其重视文化教育对内部控制的作用, 如品德至上的聘用制度、严格的号规禁律、实践考验员工品德等。“票号较优于普通商业之特点, 虽亦以营利为目的, 凡是则以道德信义为根据, 大有儒学正宗之一派, 故力能通有无, 济公私, 显宦信, 足行州里, 施蛮貊, 近悦远来, 开银行先河, 创久远之盛誉耳。” (颉尊三, 1944) 票号的这一经验很值得我们学习。再先进严密的内部控制制度也是要靠人来执行的, 只有具有充分诚信品德的人来执行内部控制制度, 制度才能充分发挥其效用。一些现代企业 (如中航油新加坡分公司) 的经营失败, 并非内部控制制度不健全, 而是其文化建设和教育出现了问题, 这从反面说明票号重视文化教育在内部控制中的作用是何等的英明。在我们大力加强内部控制制度建设的当代, 一定要好好学习票号的经验, 切实加强以诚信为核心的企业文化建设。

2. 治理结构优化与员工人身控制相结合。

票号所设计和实施的以两权分离为特征的“东掌分离”治理结构与现代公司治理结构惊人相似, 足见其先进性。在东家放手让掌柜自主经营的同时, 东家还采取了一系列对员工人身进行控制的措施, 如只任用同乡、相与同乡、富商名流担保、包养 (扣押) 员工家属、不准在外娶小纳妾嫖娼、班期回家探亲应先到总号接受审查, 员工家信要有总号审阅后转交等。这些做法现代看来虽具有封建性, 甚至非法性, 但在当时确实是可行的, 也确实有效。在公司治理结构日益为“内部人控制”所侵害而日益式微的当代, 如何通过合法而有效的方法加强对管理人员的控制, 使其忠心耿耿地为全体股东利益服务, 是亟待我们研究解决的课题。票号在这方面的思路和做法值得我们在完善公司治理和企业管理工作中加以借鉴。

3. 充分激励与严格约束相结合。

票号不但设计和实施了与现代企业“股票期权激励”十分相似的“顶身股”制度, 而且设计和实施了独特的“故身股”、“花红”制度, 把对员工的激励与约束高度统一起来, 成为票号走向成功的“秘密武器”。但是, 顶身股制度规定, 顶身股者不承担亏赔责任, 导致了一些掌柜为了追求红利而不顾风险的问题, 这也是导致票号衰落的重要原因。现代很多企业实施“股票期权激励”制度, 虽然对经理人起到了很好的激励和约束作用, 但是, 由于“内部人控制”日益严重, 自我签订薪酬契约的问题日益普遍, 导致经理人负赢不负亏、薪酬急剧增加, 驱动弄虚作假、虚增利润问题日益严重。这与票号衰落时的情形极为相似, 因此, 票号在这方面的惨痛教训应当引起我们当代人高度的重视。

摘要：山西票号辉煌一百多年, 给人们留下了丰富的商业文化, 其内部控制文化尤其值得称道。即使从现代内部控制理论框架观察, 这种文化也是相当健全与合理而且极具特色的。比如超前的治理结构、有效的人文控制、健全的信息与沟通, 以及严格地绩效考核等, 都值得人们认真的继承和借鉴。

coso内部控制框架论文 篇3

控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的认识和态度，是COSO框架其他四要素的基础。

（一）当前高校财务控制环境存在的主要问题 具体如下：

（1）主体缺乏现代管理体制，管理缺乏内部控制观念。我国绝大部分高校属于国家全额投资的公立学校，即唯一的股东就是国家，高校校长、书记等领导人员由上级委派。审计部门是主管教育委员会（监事委员会），校党委是高校的权力决策机构（治理层），高校中层以上管理者（行政处级干部）相当于企业的管理层。这样的权利结构，不同于现代化企业的股东会（决策者）、董事会（执行者）和监事会（监督者）的“三足鼎立”，机制上可以互相牵制，可以获得真正的理财自主权。我国高校虽然由过去国家统包统揽计划政策逐步转向自主化、市场化、独立办学的专门实体。但无论是主管部门教委，还是学校管理者，旧体制带来的影响在较长一段时间内难以消除，仍有部分管理人员思想僵化，内部控制观念比较淡薄。

（2）管理层不重视对内部控制制度的制定与实施。一方面 ，部分高校管理者只注重教学、扩招、创收和科研工作，缺乏内部会计控制管理理念，对内部会计控制制度建设缺乏足够重视，认识上存在误区，认为内部会计控制仅仅是财务部门的事。一些高校虽然制定了有关内部会计控制的规章制度，却常常不照章办事，有的高校部门负责人甚至带头不执行内部会计控制，滥用职权破坏既定的内部控制程序，内部会计控制制度没能得到有效的执行。

（3）资产配置不合理，资金收支控制意识淡薄。高校资金属于财政无偿拨款，长期以来重计划而轻执行、轻考核，大多数高校未采用市场机制来优化资源配置，而仅仅只考虑学校内部各职能部门对成本的核算和对其进行的考核。在一些资产的管理和配置上存在薄弱环节，如高校在后勤社会化改革校办产业发展和重大支出项目安排中，不时会出现缺乏相关的决策程序和责任制度，没有经过科学谨慎的论证，也没有相关的风险防范和控制措施等现象。

（二）改善高校财务控制环境，建立有效内部控制制度 一个良好的内部控制环境并不能够完全消除各种舞弊事件的发生，但是却可以起到很好的预防作用 ，所以必须加强高校控制环境的建设。加强高校控制环境的建设主要体现在以下几个方面。

（1）树立诚信的道德价值观，创建良好的控制环境。诚信道德价值观是控制环境的重要组成部分，影响到重要业务流程的设计和运行效率，内部控制的有效性直接依赖于负责创建、管理和监控内部控制人员的诚信和道德价值观念。因此，高校员工的诚实性和道德观要求，不仅仅是对于财务部门专业会计人和治理层、管理层的基本要求，也是对全校教职工的要求。

（2）强化治理层的参与深度，树立成本效益意识。财务内部控制是一个系统工程，涉及方方面面的人和事，如果没有领导的重视和参与 ，单靠财务部门根本是不可能的，只有认识到财务内部控制的重要性，才能使财务内部控制落 实到位。高校的控制环境在很大程度上受高校领导（治理层）的影响，因此治理层必须从一个最高最广的视角来思考对其最有效控制目标的实现方法，并对最有效的方法给予前瞻性的考虑，确保所有流程系统是有效的，以此实现财务控制目标。

（3）建立一支高素质高水平的财会队伍。各高校应做到严把用人关 ，选拔德才兼备的财务人员、财务管理人员，确保财会队伍具有较高的道德水准和专业素质；加强职业道德教育和会计继续教育，形成自我控制为主、自检自律为主要手段的财务内部控制制约机制；要对某些岗位实行强制休假制度和定期或不定期的轮换制度，以便相互牵制、相互监督、相互制约。

二、高校财务风险评估分析

风险评估是通过对影响组织的各种不确定因素，即潜在的风险和危机的来源、性质、数量、影响等进行识别、分析、评价，得出综合评估结论，在此基础上采取应对策略，对风险进行管理和控制的系统理论和方法。这一环节是COSO内部控制整体框架的独特之处。

（一）当前高校财务风险评估存在的主要问题 主要包括：

（1）高校财务风险管理意识薄弱。在我国现阶段，对风险的评估管理仍处于探索、研究，并仅在一些特殊行业、高科技领域和大中型企业管理中处于起步阶段，远未达到普及推行、广泛应用的程度。因而在我国高校风险意识普遍淡薄，更谈不上对风险进行评估和管理，高校面临的财务生存与发展的风险逐步加大。

（2）尚未建立系统的财务风险评估体系。在竞争激烈和风险因素不断增加的形势下，完善的风险管理与风险预警模式在我国高校还处于空白状态，是一个完全崭新的课题，也尚无成功的经验可以借鉴。如对投资立项、评估、实施和决算等环节控制松弛，不能有效防范和控制投资风险；筹资活动不规范，不能科学合理地确定筹资规模、结构、方式、资金成本，不能有效防范和控制筹资风险。因此，尚未建立系统的风险评估体系使得财务风险增加，并像一个定时炸弹一样时刻威胁着高校的发展。

（二）识别财务风险，建立有效财务内部控制制度 目前多元化资金来源、高校大规模扩建以及高校的竞争压力，给我国高校的经营带来了经营和财务风险。只有对这些风险进行识别和评估才有助于管理者了解事件本质，只有在对风险进行识别和评估的基础上 ，才能够进一步针对财务风险作出恰当反应，以保证财务内部的有效控制 。

（1）识别与评估高校财务风险。高校风险管理部门必须对可能发生的财务风险因素进行预测、感知和统计，识别高校面临的客观风险源和主观风险源，判断所发现或预测的因素是否存在，以及这种因素的影响程度。风险评价包括对风险成因、发生概率、危害程度、影响范围、损失大小、预期时间等因素进行定量与定性分析，是高校风险评估管理体系中最主要的环节。通过对所有潜在的风险发生概率和程度、规避或减小风险的可能性估值等数据进行测算、分析和评价，并与高校治理层能够承受的或公认的安全指标进行比较，得出风险评估结果，并决定是否发布风险预警。

（2）预防与应对高校财务风险。在财务风险识别与评估的基础上，按照改变风险后果的性质、风险发生的概率和后果大小等方面状况，并开展财务风险管理的成本效益原则，提出处置与应对风险的意见、办法和措施等应对策略。

三、高校财务控制活动分析

控制活动是指为确保管理层指示得以执行的政策和程序，它贯穿于企业所有层次和部门，是实施内部控制的具体方式和核心内容，包括与批准、授权、业绩评价、信息处理、实物控制、资产保护以及职责分离等相关的活动。

（一）当前高校财务控制活动存在的主要问题 具体包括：

（1）实物控制存在缺陷。高校管理层应但了解实物控制，设计控制流程和规章制度，例如：现金的日清月结，有价证券和存货的定期盘点控制等财务制度。然而现实工作中，这些最基本保证资产安全的要求 ，往往在实际工作中流于形式，从而影响资产安全，财务报表的可靠性产生影响。

（2）职责分离控制存在缺陷。高校应将不相容职责分配给不同的人员，从而形成各个职责间的相互牵制与监督，以防范同一员工在履行多项职责时可能发生在的舞弊和错误。最典型的职责分工，如：出纳人员不得负责收入、费用、债权、债务账簿的登记工作以及稽核和会计档案保管的工作；财务授权与财务记录不能为同一人等。在高校挪用学生收费资金的事件频频发生 ，其中有的财务人员擅自开具收据而收款不入账 ，就是未控制收款人员与票据管理人员没有分离造成的后果。

（二）加强高校财务控制活动，建立有效内部控制制度 控制活动是为了合理地保证学校教育事业管理目标的实现，并指导教职员工实施管理指令而采取的活动。为了化解风险，在设计控制活动时保证单位各种职能部门均渗透到不同的控制活动中去，就应建立严密的内部控制体系，为内部控制的有效实施奠定坚实基础。

（1）加强对内部控制活动的了解。在了解控制活动时，高校管理层应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及防止或发现并纠正各类交易、账户余额、列报存在的重大错报。针对识别和了解的重大错报领域而采取相应的控制活动，从而有效地降低财务风险。

（2）建立预防财务风险的审计机制。进行风险导向审计，针对可能产生的各类财务风险，采取相应的风险防范预警措施，从源头上控制财务风险。内部审计部门或者内部控制部门都应该在管理层的支持下牵头建立对企业发展有效的风险管理流程，内部审计部门可以成为一个十分有效的风险管理工作的推动者。如建立预防过度举债或不良举债的审计指标，保证适度的举债规模；建立和完善预算审计制度，确保总预算和项目预算没有赤字；加大高校财务收支的日常审计，加强对大额现金支出的管理，严格会计核算制度，保证每年的事业收支的合法性、真实性等。

四、高校财务信息系统与沟通分析

信息与沟通是单位及时准确收集、传递与内部控制相关信息，是确保信息在单位内部、外部之间进行有效沟通和实施内部有效控制的重要条件，是整个内部控制系统的生命线，为管理层监督各项活动和在必要时采取纠正措施提供了保证。

（一）当前高校财务信息系统与沟通存在的主要问题 包括：

（1）缺乏外部沟通，削弱了外部各部门的支持。高校地方经济发展的协同效应是不可低估的，通过与利益相关门及监管部门的沟通使其认识到高校对地方经济发展的重要作用，提升其影响力，可以获得更多的拨款资助与政策支持。而高校往往相对较封闭、独立，公开的沟通渠道往往被各种障碍所阻塞，因此取得外部各部门各方面的支持较少。

（2）内部沟通的障碍影响工作效率及效果。大部分高校虽然实现了办公系统自动化，但是储存于网络系统中的财务信息安全、可靠、完好性并未得到足够的重视，没有一个有效的机制使得相关信息在管理层能及时共享，使各个层面拥有所需信息。因为各个部门之间不能及时准确地获取和归集信息，缺乏适当的沟通程序从而产生沟通障碍，导致工作的效率及效果受到影响。

（二）改善高校财务信息系统与沟通，建立有效内部控制制度 目前高校内外部甚至各部门内不能在第一时间掌握有效信息，导致决策失误甚至徇私舞弊事件时有发生，所以高校应建立一套公开透明的信息披露机制，建立上行沟通和下行沟通网络，达到对外、对内的无障碍沟通。

（1）建立有效的纵向沟通机制。高校的纵向沟通是指高校与外部环境中的主体沟通，如主管部门的教委、其他政府部门、相关企事业单位。通过建立信任，适时采用走动管理，安排正式或者非正式的纵向沟通机制，降低高校财务风险。

（2）建立高效的横向沟通制度。结合高校实际，不仅仅要实现纵向沟通，还要实现高校财务、教学、后勤等各部门、各环节的横向沟通，改造现有信息系统，把内控的流程和风险点固化到信息系统中，“将内控信息化”。汇集各种内控信息数据，做好各部门之间的协调和相互促进工作，加强部门间信息交流和资源共享，增进相互之间的理解和沟通，全面提升内控制度的有效性。

五、高校财务控制监督分析

监督是对控制活动的一种再控制，基本形式有内部审计和内部控制的自我评估两种。主要目的是单位对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，对于发现的内部控制缺陷加以改进 ，是确保各项控制活动得以实现监督的一种措施。

（一）当前高校财务控制监督存在的主要问题 包括：

（1）高校内部审计不到位。内部审计是高校内部的一种独立客观的监督和评价活动，是控制环境的要素之一，是确保高校经营活动及内部控制的适当性、合法性和有效性。然而现实问题是高校的内部审计机构独立性和权威性不强，未得到足够重视，其监督未起到应有的牵制和约束作用；内部审计人员素质参差不齐，监督管理岗位人员缺位、职责游离，缺乏独立工作环境；内审工作范围过于狭窄，局限于对财务收支及有关经济活动进行检查和评价 ，很少触及高校管理的其他领域。

（2）专项监督不确定。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定，由于日常监督不到位，专项监督也难以开展。

（二）改善高校控制监督体系，建立有效内部控制制度 高校必须充分发挥内部审计部门的监督作用，加强内部审计制度建设，保证高校内部控制制度的有效运行，预防财务风险。针对目前内部审计制度中存在的问题，高校可以采取以下措施来完善内审制度。

（1）提高认识，重视内部审计工作。高校治理层应充分认识到内部审计在现代高校管理中的重要性，为内部审计配置适宜的人力、技术、经济资源，提高内部审计机构和内部审计人员的地位，充分调动内部审计人员的工作热情。作为内部审计部门，不仅要发现问题，更重要的是帮助分析查找问题产生的原因，提出切实可行的改进措施并督促落实整改，以规范财务行为，提高经济效益。审计部门还应力争将内部审计部门的宗旨、权限和职责以书面的形式形成章程得到高级管理层的批准或直接汇报，并提出合理化建议，从而赢得管理局的重视。

（2）改善配置，加强专项审计。高校在资金供给不足的情况下，为适应其发展需要，在利用银行贷款进行规模扩张时， 内部审计部门应对贷款项目实施全方位、全过程监控，定期对贷款资金的使用情况进行分析评价，进行专项审计，建立重大项风险预警提示制度防范财务风险；通过对国家财政拨入的专项目资金进行审计，控制资金投向和投量，确保专款专用，使其项目达到预期要求。

综上所述，本文初步探讨了COSO 框架在高校内控中的应用以及怎样完善高校财务内部控制，然而COSO本身的局限以及高校自身的特殊性致使COSO在高校财务内控中的实际应用效果仍值得商榷。COSO报告本身存在一定的局限性。从控制目标维度看，COSO有效性目标在与控制流程特别是其中的风险评估与控制活动相衔接时，存在着逻辑跳跃或者说逻辑断层; 而从控制流程维度看COSO 内部控制框架流程的落脚点是对风险的控制而非对企业目标的落实， 这意味着内部控制框架流程与内部控制框架目标之间存在着逻辑错位。逻辑断层和逻辑错位的存在，是COSO内部控制整体框架概念被质疑缺乏可操作性的主要原因。

COSO 报告主要是针对企业的内控而设计的，尽管目前高校已经面临着与企业类似的自主经营、自负盈亏的问题 ，但高校还是有其自身的特殊性。在我国，高校依然是非盈利性的组织机构，其收入很大程度上依然取决于政府的财政生均拨款，此外相对企业而言，高校承担着更多的社会职能。这些区别导致高校在控制环境建设、风险评估、风险识别及应对、控制活动的实施、沟通与监督体系的建立等方面与企业存在一定的差别，需要进一步的探讨与研究。

参考文献：

［1］渠苏平：《高校财务风险防范措施刍议》，《财会通讯》2007年第10期。

coso内部控制框架论文 篇4

随着金融业的全球化，宏观金融风险的产生和国际传导出现新的特点，我国银行业既面临机遇，同时也面临着更大的经营风险。而内部控制已成为保障商业银行实现经营目标的动态过程和机制。因此，研究我国商业银行在新型监管环境里的内部控制，具有很好的现实意义。

本文首先阐述了商业银行内部控制的基本体系，指出商业银行内部控制的目标是商业银行利用其资产及其他资源来使自身免受损失的有效性和效率，而这个目标也决定了内部控制的基本原则、整体框架和五个要素必须贯穿于商业银行经营管理的全过程。文中讨论了国内外与商业银行内部控制相关的法规理论的发展情况，分析了商业银行保证可靠的财务报告和有效的内部控制的必要性和紧迫性，以及当前新型的监管环境对我国商业银行内部控制的要求。

文中阐明了完善我国商业银行内部控制的基本内容，提出了几个关键的思路，包括健全商业银行治理结构；重视内部控制环境的培育，使全体员工具有控制觉悟和自觉的控制态度；加强对商业银行策略的评价，使其经营目标与相应策略保持一致；重视内部控制的制度风险，消除风险产生的源头，根据新型监管环境的要求，加强对新兴业务的控制制度的评审；妥善处理控制效果与控制成本的平衡，以最少的资源来获取得最佳的控制效果等。文中从控制环境、风险识别与评估、控制活动、信息交流与反馈、监督评价与纠正机制等五个方面剖析了我国商业银行内部控制的现状，分析了金融全球化和监管国际化的形势对采取国际化战略的商业银行的影响，并提出了完善其内部控制整体框架的改进措施。

coso内部控制框架论文 篇5

一、单项选择题

1.内部控制是以査错防弊为目的，以职务分离和账目核对为手段以钱、账、物等会计事项为主要控制对象。以上描述的阶段是（）。A.内部控制制度阶段 B.内部牵制阶段 C.内部控制结构阶段 D.全面风险管理阶段

2.下列说法错误的是（）。

A.内部控制是一个过程，是实现目的的手段而非目的本身 B.内部控制受企业各个层次人员的影响 C.内部控制提供的是绝对保证

D.内部控制是为了实现五类既相互独立又相互联系的目标

3.在构建内部控制体系时，应将该体系贯穿于决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项，也应考虑各子体系之间各自的独立性和相互联系，使之成为一个有机体，协同合作，更充分地发挥内部控制体系的作用。以上体现了内部控制的原则中的（）。

A.全面性原则 B.重要性原则 C.制衡性原则 D.适应性原则

4.下列各项不属于内部控制实施体系的是（）。A.以法制为推动 B.以企业实施为主体

C.以政府监管和社会评价为保障 D.以道德舆论为保障

5.保护环境现在已经成为许多企业追求的，在提高生产，为企业带来效益的同时还需要重视环境保护。这样不仅有利于企业的发展，也有助于生存环境的美好。许多企业这样做，主要是抓住了内部环境中的（）。A.组织架构 B.企业文化 C.社会责任 D.人力资源

6.下列各项属于企业筹资应该采取的措施的是（）。

A.企业应当对筹资方案进行科学论证，不得依据未经论证的方案开展筹资活动 B.企业应当加强资金全过程的管理

C.企业应当加强投资收回和处置环节的控制，对投资收回、转让、核销等决策和审批程序作出明确规定

D.企业应当充分发挥全面预算管理在资金综合平衡中的作用，严格按照预算要求组织协调资金调度，确保资金及时收付，实现资金的合理占用和营运良性循环 7.下列各项不属于工程项目不相容职务的是（）。A.可行性研究与决策 B.预算编制与审核 C.项目实施与价款支付 D.价款支付与可行性研究

8.下列不属于财务报告风险的是（）。

A.企业财务报告的编制违反会计法律法规和国家统一的会计准则制度而导致企业承担法律责任和声誉受损

B.企业提供虚假财务报告，误导财务报告使用者，造成决策失误，干扰市场秩序

C.建立处理重大事项的机制，如与相关部门沟通、评价影响以及确定重大事项的会计处理 D.企业不能有效利用财务报告，难以及时发现企业经营管理中的问题，可能导致企业财务和经营风险失控

9.下列有关内部控制评价的说法中错误的是（）。

A.企业应当按照制定评价方案、实施评价活动、编制评价报告等程序开展内部控制评价 B.内部控制有效性是企业建立与实施内部控制能够为控制目标的实现提供合理的保证 C.内部控制缺陷按其本质可分为设计缺陷和运行缺陷 D.企业实施内部控制评价，仅包括对内部控制设计有效性的评价，不包括对运行有效性的评价

10.内部控制自我评价报告的主要内容不包括（）。A.评价范围和程序

B.重大缺陷拟采取的整改措施 C.财务报表审计意见

D.内部控制缺陷及其认定情况

11.下列关于内部控制审计要求说法不正确的是（）。

A.上市公司和非上市大中型企业聘请符合资格的会计师事务所，根据规范及配套办法和相关执业准则，对企业财务报告内部控制的有效性进行审计并出具审计报告

B.《内控规范》中表明为企业内部控制提供评价服务的会计师事务所，可以同时为同一企业提供内部控制审计服务

C.会计师事务所及其签字的从业人员应当对发布的内部控制审计意见负责 D.上市公司聘请的会计事务所应当具有证券、期货业务资格

12.甲上市公司董事会由下述人员构成：董事长于勇、总经理张洋、技术总监李强、财务总监王鹏、独立董事赵孟（某会计师事务所合伙人）、独立董事徐斌（某律师事务所合伙人）、独立董事蒋帆（另一家上市公司董事长）。最符合公司治理结构要求的上市公司审计委员会的构成是（）。A.赵孟、徐斌、蒋帆 B.张洋、王鹏、赵孟 C.于勇、赵孟、蒋帆 D.于勇、张洋、王鹏

二、多项选择题

1.企业采购业务的不相容岗位至少包括（）。A.请购与审批

B.供应商的选择与审批

C.采购合同协议的拟订、审核与审批 D.采购、验收与相关记录

2.收款是企业中一个非常重要的步骤，以下属于收款中会涉及的风险的有（）。A.企业信用管理不到位 B.结算方式选择不当 C.票据管理不善 D.账款回收不力

3.某大型集团公司为强化担保业务内部控制，制定了担保业务内部控制制度。在该制度规定的下列内容中，符合内部控制要求的有（）。A.重大对外担保业务由集团公司统一审批，严禁子公司自行对外担保或者子公司之间提供互保

B.对外担保业务应当履行严格的风险评估程序，并形成书面评估报告；被担保人要求变更担保事项的，公司应当重新履行评估与审批程序

C.对外担保业务应当指定专人进行跟踪分析，密切关注担保项目的进展情况

D.对于与担保业务相关的抵押物，可以在担保有效期间内进行投资管理，使其保值增值 4.内部控制的设计缺陷是指（）。A.缺少为实现控制目标所必需的控制

B.现有控制设计不适当，即使正常运行也难以实现控制目标 C.设计适当的控制没有按设计意图运行

D.执行人员缺乏必要授权或专业胜任能力，无法有效实施控制 5.以下关于企业内部控制评价报告的说法正确的有（）。A.企业应根据内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，及时编制内部控制评价报告

B.内部控制评价报告应当报经职业经理人批准后对外披露或报送相关部门 C.企业应当以12月31日作为内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告 D.以上均正确

6.以下关于企业内部控制审计说法错误的有（）。A.内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计

B.如果企业的财务报表的年末日为12月31日，通常此日也会定为基准日为内部控制的有效性发表意见

C.注册会计师的责任是在实施审计工作的基础上，获取充分、适当的证据，对内部控制的有效性发表意见并提供绝对保证

D.注册会计师仅对财务报告内部控制的有效性发表审计意见 7.以下关于审计委员会责任说法错误的有（）。

A.审计委员会的任务不会因企业的规模、复杂性及风险状况而有所不同 B.建议审计委员会每年至少举行三次会议，并于审计周期的主要日期举行 C.审计委员会成员之间的不同意见如无法内部调解，应提请管理层解决

D.审计委员会应每年对其权限及其有效性进行复核，并就必要的人员变更向董事会报告 8.以下属于内部审计师的职能的有（）。

A.评价会计、运营及行政控制的可靠性、充分性及有效性

B.确保企业的内部控制能使交易得以迅速及正确地记录，正确地保护资产 C.为企业增加新产品或服务提供建设性的商业建议

D.帮助企业制定及修订新的政策、程序、做法，在兼并、收购和转型活动中发挥作用 9.下列各项属于企业内部控制理论发展阶段的有（）。A.内部牵制阶段 B.内部控制制度阶段 C.内部控制结构阶段 D.全面风险管理阶段

10.下列属于阐述内部控制与风险管理关系的理论的有（）。A.内部控制包含风险管理 B.风险管理包含内部控制 C.内部控制与风险管理是一对既相互联系又相互差别的概念 D.以上均正确

11.下列各项属于内部控制目标的有（）。A.合理保证企业经营管理合法合规 B.合理保证企业资产安全

C.合理保证企业财务报告及相关信息真实完整 D.提高经营效率和效果

三、简答题

1.玫琳凯早在2002年就开展了“春蕾项目”，旨在帮助贫困女童重返校园。截至目前，玫琳凯已累计捐资435万元，在全国妇联的指导和帮助下,在全国各地建成了10所玫琳凯春蕾小学，并连续资助60个班次、3000人次的贫困女童重返校园。要求：

（1）该案例体现的是内部控制应用指引中哪方面的内容。（2）该内容实施不好会遇到怎样的风险。

2.2004年的三鹿“假蛋白”奶粉事件，被媒体称为“大头娃娃”事件，发生在安徽。该事件是由奶粉中蛋白质含量严重不足引起的，最终导致食用该奶粉的婴儿严重营养不良。经媒体披露后，全国各地纷纷要求三鹿婴幼儿奶粉退出市场。该事件暴露出来的是其奶源采购环节的风险管理不到位的问题。最终导致三鹿退出了市场。要求：

（1）简述采购业务的主要风险。

（2）简述付款过程中应该采取的控制措施。

四、综合题

甲公司为在上海证券交易所和美国纽约证券交易所同时上市的公司，该公司审计委员会决定聘请大华会计师事务所（不具有证券、期货业务资格）为其提供内部控制评价服务和内部控制的审计服务，大华会计师事务所仅就甲公司财务报告内部控制的有效性进行评价和审计，并对财务报告内部控制的有效性发表审计意见。在评审过程中，大华会计师事务所注册会计师王明和陈娟了解了甲公司内部控制的设计，评价了内部控制设计的合理性，测试和评价了内部控制执行的有效性，并编制了相关评价工作底稿。评价工作底稿中记载的有关甲公司内部控制设计和运行的部分内容摘录如下：

（1）为加强货币支付管理，货币资金支付审批实行分级管理办法：单笔付款金额在10万元以下的，由财务部经理审批；单笔付款金额在10万元以上、50万元以下的，由财务总监审批；单笔付款金额在50万元以上的，由总经理审批。

（2）为统一财务管理、提高会计核算水平，设置内部审计部，与财务部一并由总会计师分管。内部审计的主要职责是对公司内部控制的健全、有效，会计及相关信息的真实、合法、完整，资产的安全、完整，经营绩效以及经营合规性进行检查、监督和评价。

（3）为保证公司投资业务的不相容职务相互分离、制约和监督，投资业务分由不同部门或不同职员负责。其中：投资部的A职员负责对外投资预算的编制；投资部门的B职员负责对外投资项目的可行性分析论证及审批；财务部负责对外投资业务的相关会计记录。

（4）企业建立了采购申请制度，依据购买物资或接受劳务的类型，确定归口管理部门，明确相关部门或人员的职责权限及相应的请购和审批程序。具有请购权的部门对于预算内采购项目，应当严格按照预算执行进度办理请购手续，对于超预算和预算外采购项目，应在办理请购手续后，及时报请具备审批权限的部门和人员审批。

（5）C职员在核对商品装运凭证和相应的经批准的销售单后，开具销售发票。具体程序为：根据已授权批准的商品价目表填写销售发票的金额，根据商品装运凭证上的数量填写销售发票的数量；销售发票的其中一联交财务部D职员据以登记与销售业务相关的总账和明细账。（6）2010年10月，董事长马某上任后，将其战友的女儿王某调入财务部任出纳，兼管会计档案保管工作，王某没有会计从业资格证书。财务部经理张某具备初级会计职称。财务部归总会计师李某和主管财务的副总经理白某分管。

（7）该公司的某一子公司在销售完成后通知出纳人员办理货款结算，并进行账务处理。公司未设独立的客户信用调查机构，在财务部门和销售部门也没有专人负责此项工作。

（8）公司董事长郑某在2009年和2010年间未经公司董事会同意，先后挪用1590万元和1400万元，分别给了M公司和N公司用于经营。事后得知，M公司是甲公司的第5大股东，它是由郑某等人以亲属名义注册的私人企业，而N公司的企业法人就是郑某。要求：

（1）甲公司审计委员会聘请大华会计师事务所为其提供内部控制评价服务和内部控制的审计服务以及业务内容是否符合《企业内部控制基本规范》、《企业内部控制配套指引》的要求，并说明理由。

（2）假定甲公司的其他内部控制不存在缺陷，请指出甲公司上述内部控制在设计与运行方面的缺陷，并简要说明理由。

参考答案及解析

一、单项选择题 1.【答案】B 【解析】第一阶段，起步阶段，即内部牵制阶段。最初的内部控制定义就是内部牵制，它基本是以査错防弊为目的，以职务分离和账目核对为手段以钱、账、物等会计事项为主要控制对象。所以选项B正确。2.【答案】C 【解析】内部控制只能向企业董事会和经理层提供合理保证，而非绝对保证。所以选项C的说法错误。3.【答案】A 【解析】所谓全面性，就是强调内部控制应当贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项。所以选项A正确。4.【答案】D 【解析】内部控制实施体系包括以法制为推动、以企业实施为主体、以政府监管和社会评价为保障。5.【答案】C 【解析】企业应当按照国家有关环境保护与资源节约的规定，结合本企业实际情况，建立环境保护与资源节约制度，履行其社会责任。所以选项C正确。6.【答案】A 【解析】选项A属于企业筹资应该采取的措施；选项B、D属于企业营运应该采取的措施；选项C属于企业投资应该采取的措施。7.【答案】D 【解析】选项A、B、C都属于不相容职务，选项D是相容职务。8.【答案】C 【解析】选项C属于控制措施；选项A、B、D属于财务报告的风险。9.【答案】D 【解析】企业实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价。10.【答案】C 【解析】《评价指引》要求企业在评价报告中至少披露以下内容：（1）董事会对内部控制报告真实性的声明；（2）内部控制评价工作的总体情况；（3）内部控制评价的依据；（4）内部控制评价的范围；（5）内部控制评价的程序和方法；（6）内部控制缺陷及其认定情况；（7）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；（8）内部控制有效性的结论。11.【答案】B 【解析】《内控规范》中表明为企业内部控制提供评价服务的会计师事务所，不得同时为同一企业提供内部控制审计服务。12.【答案】A 【解析】审计委员会是董事会下辖的委员会，全部由独立、非行政董事组成，他们至少拥有 相关的财务经验。

二、多项选择题 1.【答案】ABCD 【解析】选项A、B、C、D均属于采购业务中的不相容职务。2.【答案】ABCD 【解析】收款风险：客户信用管理不到位，结算方式选择不当，票据管理不善，账款回收不力，可能导致销售款项不能收回或遭受欺诈；或是收款过程中存在舞弊，可能导致企业经济利益受损。3.【答案】ABC 【解析】企业应当加强对反担保财产的管理，妥善保管被担保人用于反担保的权利凭证，定期核实财产的存续状况和价值，发现问题及时处理，确保反担保财产安全完整。4.【答案】AB 【解析】按照内部控制缺陷的本质分类，内部控制缺陷分为设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制，或者现有控制设计不适当，即使正常运行也难以实现控制目标。运行缺陷是指设计适当的控制没有按设计意图运行，或者执行人员缺乏必要授权或专业胜任能力，无法有效实施控制。5.【解析】AC 【解析】内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门，所以选项B说法不正确。6.【答案】CD 【解析】注册会计师的责任是在实施审计工作的基础上，获取充分、适当的证据，对内部控制的有效性发表意见并提供合理保证；注册会计师会对财务报告内部控制的有效性发表审计意见，如果在审计过程中注意到的非财务报告内部控制的重大缺陷，将会在其内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。7.【答案】AC 【解析】审计委员会的任务会因企业的规模、复杂性及风险状况而有所不同；审计委员会成员之间的不同意见如无法内部调解，应提请董事会解决。8.【答案】ABCD 【解析】选项A、B、C、D均属于内部审计师的职能。9.【答案】ABCD 【解析】内部控制理论经历了内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整合框架阶段和全面风险管理阶段。10.【答案】ABCD 【解析】目前理论界对内部控制与风险管理的关系有三种观点：（1）内部控制包含风险管理（2）风险管理包含内部控制（3）内部控制与风险管理是一对既相互联系又相互差别的概念。11.【答案】ABCD 【解析】《基本规范》将内部控制的目标归纳为五个方面：（1)合理保证企业经营管理合法合规；（2)合理保证企业资产安全；（3)合理保证企业财务报告及相关信息真实完整；(4)提高经营效率和效果；(5)促进企业实现发展战略。

三、简答题 1.【答案】（1）该资料体现的是内部控制应用指引中的社会责任。社会责任，是指企业在经营发展过 程中应当履行的社会职责和义务，主要包括安全生产、产品质量（含服务）、环境保护、资源节约、促进就业、员工权益保护等。

（2）安全生产措施不到位，责任不落实，可能导致企业发生安全事故；产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产；环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业；促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。2.【答案】

（1）①采购计划安排不合理，市场变化趋势预测不准确，造成库存短缺或积压，而导致企业生产停滞或资源浪费；②供应商选择不当，采购方式不合理，招投标或定价机制不科学，授权审批不规范，而导致采购物资质次价高，出现舞弊或遭受欺诈；③采购验收不规范，付款审核不严，而导致采购物资、资金损失或信用受损。

（2）①企业应当加强采购付款的管理，完善付款流程，明确付款审核人的责任和权力，严格审核采购预算、合同、相关单据凭证、审批程序等相关内容，审核无误后按照合同规定及时办理付款；②企业应当加强预付账款和定金的管理；③企业应当加强对购买、验收、付款业务的会计系统控制，详细记录供应商情况、请购申请、采购合同、采购通知、验收证明、人库凭证、商业票据、款项支付等情况，确保会计记录、采购记录与仓储记录核对一致；④企业应当建立退货管理制度，对退货条件、退货手续、货物出库、退货货款回收等作出明确规定，并在与供应商的合同中明确退货事宜，及时收回退货货款。

四、综合题 【答案】

（1）审计委员会应承担就任命、重新任命或解聘外聘审计师向董事会提出建议，而决定权在于董事会。

甲公司聘请大华会计师事务所为其提供内部控制评价服务和内部控制的审计服务以及业务内容不符合《企业内部控制基本规范》、《企业内部控制评价指引》和《企业内部控制审计指引》的要求。①《企业内部控制审计指引》规定，禁止会计师事务所针对同一客户既承担内部控制审计业务，同时又承担内部控制咨询和代行内部控制自我评价业务。

②《企业内部控制评价指引》要求对内部控制有效性要进行全面评价，包括财务报告内部控制有效性和非财务报告内部控制有效性。③《企业内部控制审计指引》要求上市公司聘请的从事内部控制审计的会计师事务所要具有证券、期货业务资格。④《企业内部控制审计指引》要求注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。这些规定传达出一个重要的信息，即：注册会计师审计的范围应当覆盖企业内部控制整体而不限于财务报告内部控制。（2）①“单笔付款金额在50万元以上的，由总经理审批”不恰当。《企业内部控制应用指引第1号——组织结构》明确要求，企业的重大决策、重大事项、重要人事任免及大额资金支付业务等（即通常所说的“三重一大”），应当按照规定的权限和程序实行集体决策审批或者联签制度；任何个人不得单独进行决策或者擅自改变集体决策意见。因此，对公司总经理的货币资金支付审批权限，也应设定上限，超过设定审批权限的，应通过集体决策和审批进行“特别授权”，甚至由公司董事会集体决策和审批，总经理、董事长等也不能例外。②内部审计部与财务部一并由总会计师分管不恰当。内部审计是一项自我独立评价活动，为保证内部审计独立，必须做到机构独立、工作独立、人员独立，财会部门的工作是内部审计的主要工作对象，总会计师分管内部审计部将影响内部审计部工作的独立性。

③“投资部的B职员负责对外投资项目的可行性分析论证及审批”不恰当，违背了不相容职务分离控制的要求。《企业内部控制应用指引第6号——资金活动》明确规定，对外投资项目的可行性分析论证和审批属于两个不相容岗位，应相互分离。

④《企业内部控制应用指引第7号——采购业务》要求企业建立采购申请制度，依据购买物资或接受劳务的类型，确定归口管理部门，明确相关部门或人员的职责权限及相应的请购和审批程序。具有请购权的部门对于预算内采购项目，应当严格按照预算执行进度办理请购手续，对于超预算和预算外采购项目，应先履行预算调整程序，由具备审批权限的部门和人员审批后，再行办理请购手续。⑤“销售发票的其中一联交财务部D职员据以登记与销售业务相关的总账和明细账”不恰当。登记总账和明细账属于不相容职务，应当予以分离。

⑥不恰当。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备中级会计师以上专业技术职务资格。此外，大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职权重叠的副职。出纳人员不得兼管稽核、会计档案保管和收入、费用、债权债务账目的登记工作。⑦该公司的某一子公司违反了《企业内部控制应用指引第9号——销售业务》的岗位分工的规定。1）该子公司的出纳人员同时负责办理货款结算和账务处理，这是极其严重的内部控制漏洞，很容易造成货币资金的舞弊、销售收入做假账等行为。

2）公司没有专门的客户信用管理专人和机构，不能了解和掌握客户的资信情况，会使销售款项不能收回或遭受欺诈。

coso内部控制框架论文 篇6

第七章 风险管理框架下的内部控制

第二节 内部控制的要素

三、控制活动（★★★）

（一）COSO《内部控制框架》关于控制活动要素的要求与原则

COSO《内部控制框架》关于控制活动要素的要求为：控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险，实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

根据2013年修订发布的COSO内部控制框架，控制活动要素应当坚持以下原则： 1.企业选择并制定有助将目标实现风险降低至可接受水平的控制活动。2.企业为用以支持目标实现的技术选择并制定一般控制政策。3.企业通过政策和程序来部署控制活动：政策用来确定所期望的目标；程序则将政策付诸于行动。

（二）我国《企业内部控制基本规范》关于控制活动要素的要求 1.企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

2.不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

3.授权审批控制要求企业根据常规授权和特別授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。

企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

4.会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作,明确会计凭证、会计账簿和财务会计报吿的处理程序，保证会计资料真实完整。企业应当依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职权重叠的副职。

5.财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。

6.预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

7.运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营

高顿财经CPA培训中心

电话：400-600-8011 网址：cpa.gaodun.cn 微信公众号：gaoduncpa

高顿财经CPA培训中心

情况分析，发现存在的问题，及时查明原因并加以改进。

8.绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

9.企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

10.企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

四、信息与沟通（★★★）

（一）COSO《内部控制框架》关于信息与沟通要素的要求与原则

COSO《内部控制框架》关于信息与沟通要素的要求为：公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告，以助于经营和控制企业。信息系统不仅处理内部产生的信息，还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。

有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息，认真履行控制职责。员工必须理解自身在整个内控系统中的位置，理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时，与外部诸如客户、供应商、管理当局和股东之间也需要有效的沟通。

根据2013年修订发布的COSO内部控制框架，信息与沟通要素应当坚持以下原则： 1.企业获取或生成和使用相关的高质量信息，以支持内部控制其他要素发挥效用。2.企业用于内部沟通的内部控制信息，包括内部控制目标和职责范围，必须能够支持内部控制的其他要素发挥效用。

3.企业就影响内部控制其他要素发挥效用的事项与外部相关方进行沟通。

（二）我国《企业内部控制基本规范》关于信息与沟通要素的要求 1.企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序确保信息及时沟通，促进内部控制有效运行。

2.企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调査、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

3.企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。

4.企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

5.企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调査、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点：（1）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益；（2）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等；（3）董事、监事、经理及其他高级管理人员滥用职权；（4）相关机构或人员串通舞弊。

高顿财经CPA培训中心

电话：400-600-8011 网址：cpa.gaodun.cn 微信公众号：gaoduncpa

高顿财经CPA培训中心

6.企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。

五、监控（★★★）

（一）COSO《内部控制框架》关于监控要素的要求与原则

COSO《内部控制框架》关于监控要素的要求为：内部控制系统需要被监控，即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中，包括企业的日常管理和监督行为、员工履行各自职责的行为。

独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报，性质严重的应上报最高管理层和董事会。

根据2013年修订发布的COSO内部控制框架，监控要素应当坚持以下原则：

1.企业选择、制定并实行持续或 单独的评估，以判定内部控制各要素是否存在且发挥效用。

2.企业及时评估内部控制缺陷，并将有关缺陷及时通报给负责整改措施的相关方，包括高级管理层和董事会（如适当）。

（二）我国《企业内部控制基本规范》关于内部监督要素的要求

1.企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。

内部监督分为日常监督和专项监督。

日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检査；

专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。

2.企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。

内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。

3.企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。

4.企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。

【例题1·多选题】甲公司管理层为了改进完善内部控制，正在重新检查本公司现有的职责、岗位设置的合理性。下列各项中，属于兼任不相容岗位的情况有（）。（2011年）

A.财务部主任同时担任采购部的审批主管

B.记录存货明细账的会计人员同时负责存货的实物管理 C.行政部经理兼任工会主席

D.销售部经理同时负责客户信用的调查评估与销售合同的审批签订 【答案】ABD 【解析】本题考核的是不相容职务分离控制的内容。不相容职务分离控制要求企业全面

高顿财经CPA培训中心

电话：400-600-8011 网址：cpa.gaodun.cn 微信公众号：gaoduncpa

高顿财经CPA培训中心

系统地分析、梳理业务流程中的不相容职务，防止具有欺骗性的活动发生或未被查出。企业可以通过在两个或两个以上的人员之间分配工作的方式，相互制约的工作机制来实现这一监控目标。行政部门经理负责企业内部的行政管理业务，工会主席只负责工会工作，并不会涉及到企业内部的行政业务，所以这两个职务不属于不相容职务；选项A、B、D都属于不相容职务。

【例题2·多选题】企业的下列各项活动中，属于内部控制活动的有（）。（2010年考题改编）

A.办公楼设立门禁系统

B.人力资源部门安排员工考核评价

C.员工如请事假，需向部门经理申请及获得批准 D.为一投资项目编制预算 【答案】ABCD 【解析】办公楼设立门禁系统，属于控制活动中的财产保护控制，所以，选项A正确；人力资源部门安排员工考核评价，属于控制活动中的绩效考评控制（当然也属于内部环境中的人力资源，这本不矛盾，因为内部控制的五因素是可以交叉的），所以，选项B正确；员工如请事假，需向部门经理申请及获得批准，属于控制活动中的授权和批准，所以，选项C正确；为一投资项目编制预算，属于控制活动中预算控制，所以，选项D正确。【例题3·多选题】下列选项中，违反不相容职务分离控制要求的有（）。A.甲公司由出纳负责开出银行支票，并编制银行存款余额调节表 B.乙公司由会计部门根据考勤记录和扣款记录计算员工工资额 C.丙公司规定非实物保管人员应限制接近资产，不得办理物资收发 D.丁公司规定销售人员不得接触销售现款 【答案】AB 【解析】除了出纳外，其他任何人，包括会计人员、单位领导、各种业务人员等，均不得办理货币资金收支业务，包括收付现金和接收、开出银行支票。银行存款应指定专人及时对账，每月收受银行对账单、编制银行存款余额调节表，应当由出纳、管理现金账和银行存款账以外的人员负责，选项A错误。在工资业务中，起薪止薪决定、考勤记录、工薪发放、工资记录等职务应相互分离，一般涉及企业的劳动工资部门或人事部门、车间或班组、会计部门等职能部门。劳动工资管理部门的主要职责是根据考勤记录和扣款记录计算工资额。会计部门的主要职责是根据工资结算单编制工资费用分配表并编制记账凭证入账。选项B错误。

高顿财经CPA培训中心

coso内部控制框架论文 篇7

与企业相比,高等学校内部控制建设相对比较滞后,还没有一套对高校行之有效的内部控制指导性规范,也很少有高校聘请外部力量或自行研究设计一套系统完整、规范合理的内部控制制度体系。

《会计法》第二十七条规定,“各单位应当建立、健全本单位内部会计监督制度。”《高等学校财务制度》中规定高等学校必须“建立严密的内部监督”。这些“监督”既是高等学校管理的任务,更是内部控制的目标。因此,内部控制并非是企业的专利,它同样适用于指导高等学校教学、科研和管理等相关活动。

一、COSO内部控制框架的组成要素

COSO内部控制框架认为,内部控制是由企业董事会、管理部门和其他员工实施的,旨在实现合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略等控制目标的过程。提出内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素构成,其中控制环境是核心,各要素之间又相互作用、相互影响。

(一)控制环境

控制环境主要指企业的核心人员以及这些人的个别属性和所处的工作环境,包括个人诚信正直、道德价值观与所具备的完成组织承诺的能力、董事会与稽核委员会、管理阶层的经营理念与营运风格、组织结构、职责划分和人力资源的政策与程序等,是其他一切要素的基础和核心。

(二)风险评估

风险是一个潜在事项的发生对目标实现产生的影响。任何企业都会面临来自企业内部与外部的风险,风险评估是判别和分析完成目标过程中的风险,从而为风险管理提供基础。

(三)控制活动

控制活动是指保证管理目标得以实现而建立的政策和程序。它能够针对企业目标完成过程中的风险采取必要的行动,它贯穿于整个组织的各个层次和部门。

(四)信息与沟通

信息与沟通是指企业内部各部门的人员必须能够取得他们在执行、管理和控制企业过程中所需的信息,并交换这些信息。所有的人员都必须具有从上层管理部门获取准确信息和上级部门能够获取反馈信息的通道,从而使他们理解自己在内部控制框架中的作用以及本人活动与他人工作的关系。

(五)监督

监督是对内部控制系统有效性进行评估的过程,可以通过持续性监督、独立评估或两者的结合来实现对内部控制系统的监督,并在必要时对其加以纠正。

二、COSO内部控制框架的启示和借鉴

高校内部控制的好坏关系到学校的生存与发展,也必将直接影响教育资金使用效率和高校的办学效益。为了保证高等教育事业的健康发展,实现培养高质量人才和规模发展目标,有效地配置学校经济资源,充分发挥其作用,保护学校资产的安全和完整,为管理者提供真实、可靠和完整的经济信息,高校内部控制制度的机制建设显得极为重要。高校内部控制建设是一项新的工作,也是衡量一个高校管理水平的重要标志。COSO报告具有一定的启发和借鉴意义,在构建我国高校内部控制系统时,可从以下方面着手:

(一)控制环境

控制环境是推动控制工作的发动机,是所有内部控制组成部分的基础,对其他要素起着基础的先导性作用,它奠定了组织的风纪和结构,决定着一个单位的内部氛围和价值取向。近些年来,虽然高校内部控制理论、思想及其内涵得到了进一步的完善和发展,与经营目标有关的内部控制制度的建设在内容上、范围上也越来越广泛,但由于种种原因,控制环境仍不尽人意,内部控制管理观念仍然缺乏,导致责任不清、分工不明确、有章不循、违章不究,从而引发高校职务犯罪、贪污腐败和国有资产流失等现象。因此,加强和完善高校内部控制,首先是内部控制环境的建设。控制环境中的要素包括:价值观、管理哲学与组织结构、发展战略、人力资源、校园文化和社会责任等。

1. 高度重视内部控制建设

高校的内部控制建设如何,领导层起着关键性的作用。这就要求领导层要以身作则,成为内部控制制度的守护神,营造大家都来重视内部控制建设的氛围。首先,领导层必须要让学校的每一个组成人员都能够明确内控制度的目的和意义,使每一个人都能够具有控制觉悟和自觉的控制态度;其次,领导层进行内部控制的态度必须一定要积极主动:第三,必须充分考虑员工的能力与责任要相匹配。同时要时刻关注高校外部环境的变化,加强与政府、社会的联系,强化高校的外部监督机制,构建和谐的外部环境。

2. 建立有效的治理、组织结构

组织结构包括内部机构设置及管理层分工制衡及其在内部控制中的职责权限。建立组织机构,明确责任主体和责任人,其目的是为了进行协调与管理。高校要建立“党委领导,校长管理,教授治学”的内部治理结构,正确处理好学术权力、行政权力和政治权力的关系,处理好决策、行政和监督之间的关系,处理好校院系三级管理者的责、权、利,有助于各种力量之间的协调,从而维护高校发展的基本秩序、提高高校的运行效率、实现学术自由与以人为本的大学理念,进而完成大学的使命。

同时建立能够将学校财务预算层层分解、层层落实的责任中心,其目的是为了实行有效的内部协调与控制,各责任中心是高校内部的组织体系,它既可以是单独的组织机构,也可以是包含在其他组织机构中的承担特定目标和任务的责任岗位。只有将财务预算通过建立责任中心来分解落实高校内部的各个部门、各个层次、各个岗位、各个责任人,使高校的每一个职工都能够明确自己的职责和任务,这样才能实现最有效的内部控制。

3. 人力资源政策

COSO报告特别强调人在内部控制中的作用。内部控制建设的好坏关键在于人才,特别是一些高级管理人才。留住人才,也就留住了根本,因此,我们要树立“以人为本”的思想,将服务理念贯穿于人才管理工作中。要建立科学的聘用、培训、轮岗、考评、晋升、待遇及业绩考评等人力资源管理制度,做到考核及时、奖惩到位,充分激发员工的积极性和责任感。良好的人力资源政策对培养员工、提高员工的素质、更好地贯彻和执行内部控制有很大的帮助。

4. 校园文化

校园文化是指高校在长期的办学过程中创造的物质财富和精神财富的总和。它包括高校物质文化、高校行为文化、高校制度文化、高校精神文化。健康的校园文化崇尚一种严谨务实、开拓创新的思想,能激励师生弘扬传统,增强荣誉感、责任感、使命感,奋发向上的精神风貌,树立一种“校兴我荣,校衰我耻”的氛围。在这种氛围中,上至领导层,下至普通员工,都会自觉维护内部控制制度,并为内部控制建设贡献自己的智慧。校园文化集中体现了“以人为本”的高校人文主义精神,通过培育高校师生员工共同价值观和良好的文化氛围,可以充分发挥校园文化的导向、约束、激励和辐射功能,从而大大提高高校内部的凝聚力和对外界的影响力。

(二)加强风险意识,强化风险管理

风险是一个潜在事项发生对目标实现产生的影响。风险评估是单位及时识别、科学分析经营活动中与实现控制目标相关的风险,合理确定风险应对政策,是实现内部控制的重要环节。随着我国教育体制改革的不断深入,高校所处的内外经济环境发生了很多变化,高校在面对前所未有的发展机遇的同时,不可避免地会遇到各种风险。例如,许多高校只重视学校的扩张,工作重点放在招生人数的增加、校舍建设和其他基本建设的投入上,对盲目扩张、大量贷款的风险没有充分的认识。这种盲目决策行为忽视了内部风险管理,风险意识淡薄,对举债融资的还贷能力缺乏必要的可行性论证,缺乏风险识别、风险预警、风险评估等风险防范措施。对此,高校要有足够的风险管理意识,建立有效的风险管理系统,通过制定与教学、科研、招生、就业、财务等业务相关的目标,设立可辨认、分析与管理相关风险的机制,充分识别各种潜在的风险因素,运用风险应对策略对风险进行全面防范和规避。主要措施有:

1. 建立筹资、投资风险评估制度

目前高校内部所存在的风险主要是财务风险,对于财务风险的控制关键是保证有一个优化的资本结构模式。一个合理的负债规模既要充分利用举债发展来增加对扩大办学规模和提高办学层次的投入又要注意防止过度举债而引起的财务风险增大。因此,建立规范的对外筹资决策机制和程序,通过实行重大筹资决策集体审议联签等制度,加强筹资项目立项、评估、决策、实施等环节上的控制,把风险降低到最小程度。同时充分利用现有的财务和会计数据,系统全面地分析学校的财力,并建立专门的指标体系和预警系统,以便对这些问题做出及时反映,控制财务风险。

2. 建立合同风险控制制度

目前高校在合同管理方面还不够健全,因此,在高校要建立合同风险控制制度,内容包括合同起草、审批、签订、履行、监督和违约时采取应对措施的控制程序,切实减少、防范或避免合同风险发生,同时还要建立现代合同管理制度,对合同实现归口管理,明确责任。财务部门应参与合同风险控制的全过程。

另外,很多高校还存在着内部管理混乱、教育培养成本提高、教育资源浪费、教育质量下降等风险,对于这些内部风险的控制,高校要有足够的风险管理意识,并采取相应的措施,制定各项内部管理制度,设立风险控制点,建立有效的风险管理系统,进行全面的防范和控制。

(三)建立良好的控制活动

高校内部控制建设不是暂时性、偶然性的工作,它需要制度化、规范化的内部控制活动来保障。长期以来,高校的控制活动比较薄弱,内控制度的一些具体规定不科学。例如,重大财务收支活动,没有严格的审批权限,财务人员、监察审计人员不参与或很少参与,导致决策失误;预算执行力度不强,任意调整预算、突破预算,预算的严肃性受到挑战;只重视教学仪器设备的购置,不重视设备的管理、使用等等。制度建设是有效实现内部控制的保证,“以制度管人,依制度行事”应该是现代高校“依法治校”的具体表现,只有制定符合法律法规,具有经济、管理、专业理论依据的完备的、操作性强的内部控制制度,内部控制才有章可循。目前,高校迫切需要加强对以下业务活动的控制。

1. 建立全面预算控制

预算控制是内部控制的重要方面,是高校一切经济活动的指南,学校各项经济活动都必须围绕预算来进行。加强预算控制是高校内部控制的重要环节,由于预算编制涉及面广,必须成立专门的编制预算的委员会,由这一权威层次进行决策、指挥和协调;建立预算工作岗位责任制和授权审批制度,使预算编制、审批、执行、考核等不相容岗位之间能够形成有效的制衡机制;强化预算的编制控制,在科学预测和决策的基础上,制定标准与定额,推行零基预算,审查预算中所列的每一个项目、每一元支出是否合理、必要;预算一经确定,就严格执行,特殊情况需要调整的,必须建立严格、规范的调整审批制度和程序;建立预算执行情况内部报告制度和预算的跟踪、分析、评价制度,比较、分析出现差异的原因,确定责任归属,并采取措施进行控制,确保各项预算的严格执行。

2. 加强实物资产控制

高校实物资产数量多、金额大,分散到学校的教学、科研、服务、管理等各个领域。长期以来,高校总是把教学、科研放在首位,在资产管理方面比较薄弱,缺乏控制意识,控制制度不健全,“重投入,轻管理”,造成了资产流失、闲置、浪费,许多高校存在不同程度的账实不符的情况。高校必须贯彻财、物并重的原则,强化实物资产管理意识,建立资产管理的岗位责任制度,确保不相容岗位相互分离、制约和监督;建立资产管理的业务流程,明确资产的取得与验收、日常保管、处置与转移等环节的控制要求;建立资产验收制度,加强资产的日常保管控制,建立资产分级管理制度、卡片管理制度、维修保养制度、清查、盘点和处置制度,从而对实物资产的全过程进行管理和控制。

3. 加强学费收缴控制

收费工作是高校内部控制的一项重要内容,高校要建立由财务处、学生处、教务处及各学院组成的收费管理体系,明确各部门岗位的责职,建立收费系统维护、应收款编制、款项收取、稽核检查等不相容岗位的相互制衡机制;加强学费收、缴、记的会计控制,对每位学生从入学到离校的应收、已收、已退、欠费等进行全过程的跟踪控制,避免和减少恶意逃费的损失,防范收缴学费过程中的舞弊行为;建立学生收费系统与教学管理信息系统相连接,实现信息资源的共享。

另外,加强成本费用控制,进行教育成本核算。

(四)加强高校信息与沟通

高校组织机构过于庞大、层次过多,因此存在信息沟通渠道不畅通、沟通不及时、沟通机制不健全等情况。在成本效益原则下,为避免人力成本的大幅增加同时又能提高工作效率,高校可以借助于以高校财务管理信息系统为中心的高校信息管理系统平台,利用各信息管理系统之间信息交流沟通协调渠道,建立高校内部控制框架体系。通过框架体系的有机运转将各环节具体的内部控制内容和措施贯彻到高校信息管理系统中的各个内部子系统中去,从而形成一个运转有序流畅的高校内部控制有机整体,借助信息化手段,建立在以高校财务信息系统为中心、其他管理系统环绕的高校信息管理系统,实现多系统的数据共享。使每个人均了解内部控制的有关方面及其在处理业务时所处的地位、应承担的责任和与他人工作的相关性,都清楚在各种情况下应做什么和怎样做、不该做什么和不该怎样做。

(五)加强监督控制

建立高校内部和外部相结合的监督检查体系是高校内部控制实施的重要保障。内部监督是高校对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,对于发现的内部控制缺陷及时加以改进,是实施内部控制的重要保证。高校应逐步完善内部控制监督制度,在机构设置上,设立独立的内部审计机构。内部审计机构是强化内部控制制度的一项基本措施。内部审计工作的职责不仅包括审核会计账目,还包括稽核、评价内部控制制度是否合理、健全、有效,确定有关经济资料的真实性、准确性,业务活动的合规性和效益性,评价内部控制目标是否完成,及时向管理层揭示、反馈学校当前管理工作中的主要风险、薄弱环节与制度缺陷,并提出相应的改进建议。

coso内部控制框架论文 篇8

COSO风险管理整合框架认为，主体的目标包括：①战略目标，是高层次的目标，它应与组织的使命一致并支持该使命；②经营目标，组织应当有效和高效率地利用其资源；③报告目标，组织应当提供可靠的报告；④遵循目标（合规目标），即组织应当遵循相关的法律规章。企业风险管理实际就是为实现上述目标提供合理的保证。

COSO风险管理整合框架强调，企业风险管理包含以下方面的作用：

1．协调风险偏好和战略。管理层在评估不同的战略、确定相关目标、建立相关风险的管理机制时，应考虑组织的风险偏好。

2．改进风险反应决策。企业风险管理要求识别并在不同的风险应对策略（包括规避、降低、分担与接受风险）中做出选择。

3．减少经营意外与损失。提高组织识别潜在的事项并作出反应，减少意外事项及相关的成本或损失的能力。

4．识别并管理多个企业之间以及企业内部的风险。每一个企业都面临无数的、会影响组织不同方面的风险，企业风险管理应当有助于对相关关联的影响作出有效的反应，并对多个企业的风险作出整体性反应。

5．抓住机会。通过考虑所有潜在事项，管理层应当能够识别并实现机会。

6．改善资本的配置。在获得关于风险的信息后，管理层可以有效地评估总体资本需求并改进资本的配置。

企业风险管理所固有的这些作用，有助于管理层实现组织的经营和盈利目标，并防止资源损失。企业风险管理有助于保证提供有效的财务报告和对法律规章的遵循，并有助于避免组织声誉的损害及相关不良后果。总之，企业风险管理不仅帮助企业到达期望的目的地，还有助于避开前进途中的隐患和意外。

COSO风险管理整合框架指出，企业风险管理包含八个相互关联的要素。这些要素来源于管理层管理企业的方法，并与管理过程合成一个整体。这些要素包括：

1．内部环境。内部环境包含了组织的风格，它确定了组织人员如何看待和处理风险的基础，是其他要素的基础。内部环境具体包括风险管理哲学、风险偏好、董事会、诚实度和道德价值观、组织结构、胜任能力、人力资源政策与实务、权责分配。

2．目标设定。在管理层辨别影响其目标实现的潜在事项之前，必须有目标。企业风险管理要求管理层设定目标，选择的目标需要能够支持组织的使命并与组织使命相一致，并与其风险偏好相一致。

3．事项识别。即识别那些影响组织目标实现的内外部事项，并区分为风险和机会。机会将被考虑进管理层的战略或目标设定过程中。

4．风险评估。必须对风险加以分析，考虑其发生的可能性以及影响，并作为确定这些风险应如何加以管理的基础。应当对固有风险和残存风险加以评估。

5．风险应对。管理层应在不同的风险应对（包括回避、接受、降低、分担风险）中做出选择，从而采取一系列与组织的风险容忍度和风险偏好相一致的行动。

6．控制活动。应建立相关的政策和程序，以确保风险应对策略得到有效的执行。控制活动通常包括两个要素：一是确定应该做什么的政策，二是实现政策的程序。

7．信息与沟通。应当按照特定的格式和时间框架来识別、捕捉相关信息并加以传递沟通，从而使人们可以履行其职责。有效的沟通存在于较广泛的意义上，包括向下、向上以及平行相互沟通。

8．监控。整个企业风险管理都应当加以监控并根据需要作出调整。监督可以通过持续性的管理活动、单独评价或者二者同时来实现。

从以上COSO风险管理整合框架内容和要求上来看，对社会保险经办机构构建风险管理体系有如下启示：

1．要将风险管理与内部控制联系在一起。风险管理涵盖了内部控制，将之作为一个子系统，从时间先后和内容上来看，风险管理比内部控制更广泛，是对内部控制的拓展和延伸。内部控制的动力来自对风险的认识和管理，对于单位的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。同时，维持充分的内控系统也是许多法律法规的合规要求。因此，社会保险经办机构应当建立并维持有效的内部控制系统以实现风险管理。

2．风险管理应当融入到日常经办活动中。风险管理针对的是经办活动中对目标实现产生影响的风险事项，因此，风险管理必须与经办活动紧密地结合在一起，要涵盖组织机构、登记征缴、待遇核定、基金核算和信息技术等环节，在经办活动中处处体现风险管理的理念与做法，这不仅有助于及时识别社会保险经办机构所面临的风险事项，也有助于降低风险管理成本、提高风险管理效率。

3．重视个人的作用。COSO框架强调每个人在企业风险管理中的作用，明确指出：在企业中，不仅仅是董事会或者风险管理官员，其他人员，如内部审计师、财务官员以及组织中的每一个人都对企业风险管理负有一定的责任，都能够对其过程施加一定的影响，因而所有员工的职能与责任都应该被很好地界定和沟通。因此，社会保险经办机构要建立多层级风险责任机制，机构负责人对风险管理的整体有效性负有领导责任，各部门负责人对本部门风险管理的有效性承担责任，其他人员主动识别、报告和控制自身经办行为的风险，并对自身经办风险行为承担责任。这有利于督促经办机构的所有职工重视风险管理问题，把维护及改善经办机构的风险管控当作自己的事，而不是站在与领导层对立的角度，被动地执行各自的任务。

4．构建畅通的信息与沟通渠道。信息和沟通对于良好的风险管理相当重要，职工要了解风险管理措施，并有顺畅的向上沟通风险管理的渠道，领导层要及时向职工了解经办机构面临的重大风险及其管理情况。在大多数情况下，一个组织中的正常报告途径就是恰当的沟通渠道。但是，在一些情况下，如果正常的渠道不起作用，就需要单独的沟通途径来充当自动预防故障机制，如设立意见箱、网络投诉、网络互动等，给职工提供直接向领导层沟通的渠道，这样，信息的向上流动才不会被闭塞。

5．对风险管理过程进行监控。风险管理是一个持续的、动态的过程，社保经办机构的内、外部环境在不断地变化，这决定了原先的控制未必有效，因此，必须对风险管理过程进行监控，从而找出其缺陷和不足并及时采取补救措施。监控可以通过持续的活动或者专门评价两种方式进行。持续监控发生在管理活动的正常进程中，包括关键风险指标的差异分析、新出现的风险或原有风险的重大变化，以及应对非预期的突发事件等。专门评价的范围和频率主要取决于管理风险过程中的相关控制的重要性，程度较高的风险事项往往会被经常评价。

6．正确把握风险偏好。COSO框架在风险管理方面提出了一个重要概念——风险偏好，它是为了实现企业目标、企业和员工在承担风险的种类、大小等方面的基本态度。在实际工作中我们不难发现，不同的人风险偏好存在差异性，这就是为什么对同一风险事项，有的人高度重视，采取积极防控措施，而有的人却不以为然，疏于防范的原因，而这两种态度有可能会产生截然不同的后果。因此，社保经办机构在确定风险应对方案时，要合理分析、准确掌握各级管理人员、关键岗位工作人员的风险偏好，采取适当的控制措施，避免因个人风险偏好给经办管理带来重大损失。