COSO内部控制框架

COSO内部控制框架（精选10篇）

COSO内部控制框架 篇1

始于1823年终于1925年的山西票号 (亦称票庄) (1) , 不仅创造了令人敬仰商业与金融辉煌, 而且创造了内容丰富的经营管理制度。“票庄最要妙诀, 似可以数言以蔽之曰:‘严密内容, 外表信用, 张罗存款, 借水行舟’” (赵子香, 1937) 这些经营管理制度虽然是自发自觉的, 却具有很高的文明程度, 许多制度与现代经营管理制度一脉相承, 颇为相似, 可以用现代经营管理理论加以观察和总结。为了系统总结这些宝贵的文化遗产, 展示其文明的高度, 昭示经营管理的基本规律, 更好地继承晋商优秀的经营管理历史文化, 有效推进现代经营管理制度的建设和发展, 有必要用现代经营管理理论来观察和总结这些宝贵的文化遗产。为此, 本文试图用现代内部控制理论来系统观察和总结票号的内部控制思想、方式、方法、规定和实践, 以充分传承这种优秀文化, 有效推进现代企业内部控制制度的建设和发展。

1992年美国COSO发布 (1994年修订) 的《内部控制——整合框架》, 被公认为最先进的内部控制理论体系。该框架认为, 内部控制是“由一个企业的董事会、管理层和其他人员实施的, 为财务报表的可靠性、经营活动的效率效果、相关法律法规的遵循性等目标的达到提供合理保证的过程。”它由内部环境、风险评估、控制活动、信息与沟通、监控五个要素构成。

一、内部环境

COSO框架认为, 内部环境是影响和制约内部控制建立和运行的各种内部因素的总称。它通常包括:治理结构、高管对内部控制的重视程度、机构设置及其职责分配、组织文化、人力资源政策与实务等。

1. 治理结构。

治理结构是两权分离的经济组织, 所有者对经营管理者进行管理和控制的一种制度安排。有效的治理结构要求经济组织的决策、执行、监督等职权应当合理而明确地分工以便形成相互制衡机制, 为内部控制的建立和有效运行提供动力保障。

票号实行由财东出资, 委托大掌柜全权经营管理的两权分离制度。在这种两权分离的基础上, 票号创立了比较有效的治理机制:“票号成立之初, 当财东起意经营, 聘请经理, 由介绍人之说项, 或自己注意察访, 确实认定此人有尤有为, 能守能攻, 足以担任票号经理之职责, 则以礼招聘, 委以全权, 专采用人莫疑, 疑人莫用之旨。但被委以经理事前须与财东面谈, 侦查财东有否信赖之决心, 始陈述进行业务及驾驭人员之主张, 果双方主见相同, 即算成功。故财东以资力独占一面, 经理以指导下全体同仁独占一面, 即财力人力合作而成一具体之商号也。……财东自将资金全权委诸经理, 系负无限责任, 静候经理年终报告平素营业方针, 一切措施, 毫不过问, 每到例定账期 (或三年、或四年, 即决算期) , 由经理谒清, 约日聚会, 办理决算, 凡扩充业务、赏罚同人, 处置红利, 全由财东裁定执行, 经理为建议首席, 听其咨询。财东所负无限责任既重且大, 特持其眼光远大, 信义待人。……经理既受财东信赖与委托, 得以经理同号事务, 任重道远, 所以事事不出于尤勤惕历之一念, 领导同仁, 崎岖前进, 其权限近乎独裁而非独裁, 实即集权制也, 盖同人均享有建议权, 非任何拘束, 小事亦可便宜行事, 大事则须决之经理。” (颉尊三, 1944)

2. 高管对内部控制的重视。

高管是内部控制的主要制定者、带头执行者和主要监督执行者, 其对内部控制的重视程度直接影响着内部控制的健全有效性, 使内部控制建立和有效运行的政治保障。在东掌分离制度和“人身股”制度的激励与约束下, 拥有充分经营管理自主权的票号的高管——掌柜们都非常重视“号规”等近似现代内部控制制度的建设, 并带头执行和严格监督员工执行这些“号规”。

3. 机构设置与权责分配。

内部控制建设和实施的主要基础是岗位职责分工, 而岗位职责分工是通过机构、岗位设置和职责分配实现的。机构、岗位设置及其职责分配的合理性直接决定着内部控制的健全有效性。为了便于业务开展和内部控制, 票号一般设总号和若干分号。总号和分号的内设机构相似。总号设大掌柜 (总经理) 一人, 二掌柜 (副总经理) 一人, 三掌柜 (总营业) 一人, 会计数人 (组成账房) , 文牍数人 (组成信房) , 外事数人 (兜揽生意者, 包括跑街者和跑外者, 组成营业课) 、庶务 (勤杂) 一人, 练习生若干人。分号设老帮 (经理) 一人, 协帮 (副经理, 兼任营业) 一人, 会计 (内账房) 、文牍、出纳 (外账房) 、营业, 视事的繁简, 设一人或数人 (卫聚贤, 1944) 。

4. 组织文化。

组织文化对员工的品德素质有着潜移默化的重要影响, 从而对内部控制的有效运行有着深刻的影响。票号的财东和掌柜们深谙此道, 票号“发展之原理, 营业以信义和平为宗旨, 伙友以团结精诚为必要, 号章严密完善, 历来经理用全副精神, 始立永久基业。” (雷士炜, 1937) 几乎所有的票号都制定有自己的号训, 称之为“教训”。票号的教训主要包括“重信用, 降虚伪, 节情欲, 敦品性, 贵忠诚, 鄙利己, 奉博爱, 薄嫉恨, 喜辛苦, 戒奢华, 他如恒心、连达、守分、和婉、正直、宽大、刚用、贤明。” (颉尊三, 1944) 而且票号还定有严格的禁例, 如不准宿娼赌博, 不准染习不良嗜好, 不准向财东和掌柜送礼等。票号要求员工“凡事正大光明, 丝毫不讲私情, 所以父子兄弟不能同号, 师徒虽有阶级, 然而心理平等, 例须互相见谅, 所以经理同人, 犹如一家, 上下相习, 戮力一心, 个个报着志存立功, 专事报主, 故业务上之统筹方法, 计算上之经济技巧, 无一不通。每有身份极小而异以一庄领袖, 不肯作弊, 盖恐失其人格耳, 人格一失, 准蔽耳目, 商界上不克容纳矣。”这种优良而浓郁的票号文化, 不仅铸就了票号十分重视诚信的经营特色, 而且极大地降低了票号员工犯错和舞弊的可能性。

5. 人力资源政策与实务。

设计再好的内部控制没有德才兼备的员工严格执行, 也不会达到预期目的。因此, 选贤任能, 加强员工品德素质的培训教育和监督考核, 对内部控制有效运行有着根本性的影响。票号的财东和掌柜们对此格外重视。票号财东选用掌柜的做法前已述及。

票号“选用职员, 教养同人, 非常慎重。当练习生求人说项之时, 恐有不良遗传, 必先问其以上三代做何事业, 出身贵贱, 再侦询本人之履历资格, 当面测其智力, 试其文字。如属合格, 择日进号, 为郑重人格起见, 名曰请进, 及明白宣示各个同人有升任经理之资格, 使其得以安心服务, 随处发挥智能。果为杰出人才, 短期间即可得到相当职务, 促其实地工作, 造就常识经验, 否则一年之间, 开除出号, 令其及早另图别业, 恐一延长, 徒误彼之青年时期。” (颉尊三, 1944) 票号使用的“经理同人, 全须有殷实商保, 倘有越规行为, 保证人负完全责任, 须先弃抗辩权。倘保证人中途废歇, 或撤保, 应速另找, 否则有停职之虞。同人感于如此严厉, 再受号上道德陶冶, 故舞弊情事, 百年不遇。” (颉尊三, 1944) 票号锻炼考察员工大多采用实验法, 采取“远使之而观其忠, 近使之而观其敬, 烦使之而观其能, 卒然问焉而观其智, 急与之期而观其信, 委之以财而观其仁, 告之以危而观其节, 一班两年而观其惰, 派往繁华以观其色, 期在练或磨而不砾, 三里而不淄, 方足以任大事也。故一号之中, 不敢断言尽皆忠、敬、能、智、信、仁、有节有规十全之士, 但不肖之徒难以立足。” (颉尊三, 1944)

为了鼓励高管人员勤奋工作, 票号对于掌柜和重要职员则实行“人身股”激励和约束。“人身股”亦云身力, 一般情况下, 每个结账期 (以四年或三年者居多) 大掌柜 (经理) 可顶“人身股”一股, 偶尔也有一股二、三厘者。其余顶股人员顶股之多寡, 即由经理视人才劳绩而酌定之。这样就形成了资本家出钱, 劳动者出力, 均有股份, 一经获利, 平等分配。以是经理伙友, 莫不殚心竭力, 视营业之盛衰, 为切己之利害。 (陆国香, 1936) 为了防止管理人员营私舞弊, 票号对他们制定了严厉的制裁与控制措施。“至若经理人与总店之关系, 则不但经理人个人对总店负连带责任, 即其家属, 亦不可不负责任。…凡遇破产, 不问原因如何, 均须严惩, …如分店发生损失, 认为经理人过失时, 则经理人及其家属全体, 对于总店均不可不负连带损失赔偿责任。损失赔偿之未终了之前, 下其家属于狱, 将彼等之财产全部没收。”“分号重要职掌之人员, 均有总号选派, 既经派出之后, 家族即由总号赡养, 实则以此为质, 不啻作为保证。在分号任事之时, 一切需要, 悉取于公, 详细列账, 存以备查。关于必要之交际, 均由号中开支公款, 并由号中特备华美衣服, 以供使用;来往家信, 例由总号代转, 不得自由寄发, 借此以便检查;及至任事期满之后, 持账交诸总号, 经总号复核无讹;如因在任事期内, 确能尽力于职务, 或有额外劳绩, 号务大有起色, 则由资本主酌给酬劳为报, 并归还其家属, 或者仍回原号之任;如有不能称职者, 则由总号调回察看, 再定去留;至于舞弊营私, 一经发觉之后, 则酌量情节之轻重, 以定惩戒, 甚至没收其财产, 拘留其妻孥, 不稍宽容, 毫无情面。” (东海, 1917) 同时规定, 派出分号经理及伙友, “不准接眷出外, 不准在外娶小纳妾, 不准宿娼赌博, 不准在外开设商店, 不准捐纳实职官衔, 不准携带亲故在外谋事。” (范椿年, 1935) 票号对分号人员控制之严, 由此可见一斑。

二、风险评估

COSO框架认为, 风险评估是识别和分析影响组织目标实现的相关风险, 未确定应该如何管理这些风险奠定基础的过程。它以组织的目标设定为前提条件, 以风险的识别、分析和应对策略制定为主要内容, 旨在为控制活动的实施提供依据。

1. 目标设定。

风险是目标受各种因素影响而难以实现的可能性。因此, 风险评估首先必须有目标, 管理层才能识别实现这些目标的风险, 并采取必要的措施来管理风险。目标可以明确地陈述, 也可以隐含地表达。通常有盈利等业绩目标、防止资源损失目标、防止虚假信息报告目标等。票号秉承中国传统的谦虚内敛的文化, 大多不公开宣称自己的经营目标, 但是, 追求汇兑差额、放款利息收入最大化、存款利息最小化和信息报告真实性等是众多票号心照不宣的目标。

2. 风险识别。

风险识别就是对组织面临的风险进行全面地辨认的过程。辨认时不但要从组织整体层面全面辨认面临的风险因素, 而且要从各项业务层面全面辨认面临的风险因素。票号兴盛时期十分注重风险的识别。“票号注意于国家兵事, 各省火灾、水灾、旱灾、风灾, 调查货物出产多少, 销处畅旺与否, 皆有银钱松紧关系, 预前早有布置, 临时从容得利。” (冀全禄, 1936) 八国联军侵华时, 日升昌的大掌柜及时撤销了成都、重庆、广州、汉口、张家口、开封等地的分号并辞退了员工, 避免了战乱导致的更大损失。

3. 风险分析与应对策略制定。

风险分析与应对策略制定就是将识别出来的风险因素, 按照其发生的可能性和可能造成的损失大小进行排序, 分清轻重缓急, 确定应对策略, 以便有序、有效地进行控制。票号也十分重视风险分析与应对策略制定。“票庄做生意, 必须视各庄之出产, 四时之遭遇。预测某处之丰歉, 早定计划以兑款, 届时银根松紧, 于中取利, 得贴水, 可卜优胜。” (王之淦, 1937) “经理倘视环境不佳, 恐将损及血本, 必挥其铁腕预筹退步, 绝不肯稍有疏虞, 故营业范围系以环境为比例, 活动为主旨;务使操纵自如, 绝不行险侥幸” (颉尊三, 1944) 为了规避信用风险, 票号规定“小商号与人名, 则曩不交易。”为了规避变现风险, 票号规定“货物抵押即不动产抵押, 则曩不许做。”“票号放款目的, 不图厚利, 但求稳妥与活动, 最忌冒险与迟滞。” (范椿年, 1935)

三、控制活动

COSO框架认为, 控制活动是那些能够合理保证管理层控制风险的指令得以贯彻执行的政策和程序。它是有关人员执行这些政策的活动。它可以发生于整个组织的所有层级和左右职能中。它包括一系列不同的活动, 如职责分离、授权批准、财产保护、会计记录、预算计划、运营分析、内部报告、业绩考评、稽核检查等。

1. 职责分离控制。

职责分离控制是指要尽可能将经济业务的处理过程划分为若干相对独立的职务, 把不同的职务特别是不相容职务分配给不同的岗位人员来执行, 以便形成相互联系、相互制约的机制。它要求任何业务都必须实行分工负责, 不能有一个人包办, 关键岗位的工作人员应当实行定期轮换和强制休假。如前所述, 票号组织机构的设置比较完善, 每个课内部又有严格的分工。如会计课也称为账房。在总号, 账房一般设有管账、副管账各一人, 帮账若干人。管账先生总理全号账目, 包括总号账目和分号账目;负责库存银钱出纳, 包括每天营业开始或进行中向营业课柜台支付低于柜存限额的银两, 营业终了向柜台收取的超过柜存限额的银两交, 以及总号与有关分号之间调剂银两的收付。副管账协助管账先生管理全号账目, 并具体负责总号的账务处理, 帮账在副管账的指导下负责有关账项的抄写, 以及有关数据的算盘计算等具体工作。分号账房一般分为内账房和外账房。内账房负责总清账, 计算利息, 编制月清和年总结等。外账房即汇划账房, 负责与总号、其他分号、客户之间的银两收付和流水账等。 (黄鉴晖, 2002) 这样不仅可以使会计课内管钱与管账工作相对分离, 而且可对柜房的银钱收付进行监督和控制。

营业课也称为柜房。柜房一般设总营业或营业、秤重念唱和书写记录等岗位。柜房出具汇票时, 先由专人验秤银两, 报出数量和成色等信息, 再由专人书写汇票, 最后总营业或营业审批并亲自签章;兑现汇票时, 先由专人审验汇票, 再由总营业或营业审批并亲自签章, 最后由专人秤付银两。“各庄首领 (大掌柜或老帮) 每星期必须实地阅看账簿折据。” (黄鉴晖, 2002) 为了培养员工具有全面的工作能力, 增进各岗位员工之间的相互理解, 同时强化相互监督, 票号十分重视岗位轮换, 规定“久办内事者必使去办外事, 久办外内事者必使去办内务, 彼此事理通达, 自能免除隔阂, 并含有互相监督, 各守名分之效果。”“故有一班 (一个任期, 通常为两年) 而调任别处, 或一处一班而不克续班之例, 意在使号上之人对各地情形知底细, 并可防杜同人舞弊。盖一经交替, 须交代清白, 负责报总号也。” (颉尊三, 1944) 为了体现人文关怀, 也为了加强内部控制, “票庄与旧式的商业机关一样, 没有定期休息, 但各职员依一定服务的年限及地方的远近, 可得多少假期, 总号人员两三个月可以休息七天, ……太原分号一年休息两个月, 天津及其他各地分号, 原先三四年休息半年, 后来因为交通便利, 改为两年或两年半休息一次。东三省及边陲远处, 则五年后休息一年, ……不论几年休息一次, 概称为“班期”, 到休息时回家, 即所谓“下班”。 (陈其田, 1936)

2. 授权审批控制。

授权批准控制就是所有经济业务的办理都应当事先得到授权 (一般授权或特殊授权) , 业务经办人员必须在授权范围内办理有关经济业务, 承担相应经济责任。为了规避经营风险和员工舞弊风险, 票号建有比较健全授权审批控制机制, 包括财东的授权审批控制、大掌柜 (经理) 的授权审批控制和总号的授权审批控制。“凡扩充业务、赏罚同人, 处置红利, 全由财东裁定执行。” (颉尊三, 1944) 票号日常经营管理中的“大事须决之于经理”。票号实行高度的“中央集权, 资本既储总号, 获利也归总号计算, 以总号为中心, 各地分号不过是辅助机关而已, 立法甚为严密。” (陈其田, 1938) 各分号必须严格执行总号规定的经营范围和程序, 超出总号规定的业务和事项都必须向总号请示, 到批准后方可执行。例如, 1884年大德通票号的号规就规定:“遇景逢情, 囤积些实项货物, 预与祁铺 (总号) 达信, 请示可行与否, 遵祁信办理, 不得擅自举办。” (黄鉴晖, 2002)

3. 财产保护控制。

财产安全控制就是为了保护财产安全完整而专门实施的控制政策和程序, 现代常见的财产安全控制政策和程序有:财产物资的专人保管与限制接触、投保财产保险、作永续盘存登记、定期盘点财产、加固财产保管场所、为财产票据设置密码与防伪措施等。票号在长期的实践中摸索出了很多有效地保证银两安全内部控制措施。以最早的票号——日升昌为例, 为了保证银两安全和汇票不致被冒领, 他们不但在人们意想不到的地方 (与出纳室相通的小户休息室地下) 设置秘密银窖, 而且区别生熟客人, 采用不同的汇兑方式:生客来到日升昌办理汇兑一般用对折汇票, 即将汇票对折, 在折缝处加盖骑缝章, 然后一分为二, 一半由顾客自带, 另一半由票号随信寄往分号, 顾客取钱时, 两半汇票拼对相符才可取钱。给熟客办理汇兑, 则将整张汇票交给顾客, 票号只需要在寄往分号的信件中说明取钱人及其数额等信息, 熟客就可凭整张汇票取钱。票号采用四重保险措施:第一重为水印, 日升昌的汇票都印有“昌”字水印。第二重为笔迹, 所有汇票都由号中同一个伙计书写。第三重为在汇票上写明取款人的外貌、声音、衣着等, 第四重为密押。为了防止汇票被人涂改掌柜都要编制一套密码, 可以用来表示签发时间、数额等。总号、分号中都只有经理两三人知道密押。日升昌100多年间共使用了300多套密押, 平均一年换3次密押。为了防止密押被人破译, 汇兑后汇票要被票号收回销毁。 (黄鉴晖, 2002)

4. 会计记录控制。

会计记录控制就是通过全面、连续、系统的会计记录, 如实反映经济活动情况, 保证财产物资安全。它通常包括健全凭证组织、账簿体系和报告内容, 采用科学的记账方法, 选用适当的会计政策, 严格会计档案保管和会计工作交接等。受我国“经商必须理财”传统文化的熏陶, 票号的财东和大掌柜历来重视会计控制, 其会计账簿组织十分详细和完备。“票号账簿, 原属一种旧式簿记, 但其组织之完备, 登记之详密, 亦可称为旧复式簿记。总号除本总号应有之营业各账外, 尚有各分号之营业报告, 亦须分别记账。每月有月清册, 到决算期 (大概齐十月底者居多) , 以月清而统造年清, 绝无丝毫错误。以彼时各地平码之繁杂, 银色之差异, 而到决算时期, 统以本平本色 (即本号资本之平色本位) 折算入账, 曾无发生错讹。” (范椿年, 1935)

“票号账簿大致分为流水账、老账、现金账、浮记账四种。…… (1) 流水账:各项交易均须于此账内先加分录, 然后过入老账。有银流水宝账和钱流水宝账之分。……账内抬头之下分上下两方, 上方记载收入, 下方记载付出。 (2) 老账:依流水账各个抬头, 分别记载之账簿, 该账包含全部财产变动之综合。故据之可知财产状况及营业损益。此账名称虽多, 要亦不外入出老账与收取老账两种。入出老账专载营业上之损益……;”收取老账系表示营业上对内对外之一切资产与负债, 收即银行之负债部分, 取即银行之资产部分;是以出入老账合计之余额, 即等于收取老账之余额。以大德通票号为例, 老账抬头有:万金账 (资本账) 、钱来往宝账、银来往宝账、各铺来往账、外该借贷账、收借贷账、各路存户汇项账、汇银宝账、收出满加账、出入平色宝账、收贴费现利捐项银账, 未到期票项宝账、外庄人本账, 应支账、辛金衣支账、杂役宝账等。 (3) 现金账, 为核计库存而设, 故凡逐日出入现款, 必须登记此账, 其收付合计之余额, 即本日库存之数。 (4) 浮记账:为省时间而设, 因当年票号极盛时代, 逐日交易, 事务过繁, 如往来存款一种, 特别增多, 若逐宗记之流水, 再有流水抄入老账, 实非二三司账员所能胜任;于是, 为增加工作效率计, 乃设此账, 将往来存款暨同仁 (即同行) 暂记等项, 不过流水, 径登此账, 待日终结算时, 只用将收取两方之合计数, 一笔移转于流水账。” (卫聚贤, 1934)

票号实行以账代表的的财务报告方式, “报告使用旧时账册, 如同账本一样。报告内容, 首先是各项总结起来的数字, 并写在前面;其次, 关于各项总结数字的具体花名、数字及地点, 都写在后面。”“这样, 总号看过之后, 不仅可以稽核数字, 而且可以明了都是做了些谁的生意, 有哪些收入和花销, 有没有问题” (黄鉴晖, 2002) 总号“每年年终汇集各庄营业报告表, 造具清册, 报告财东一次。倘有较大之事项, 临时须报告财东, 完成手续。” (颉尊三, 1944) 为了防止密押被人破译, 票号的汇票汇兑后都要被收回销毁, 因此, 票号没有完整的会计凭证体系, 这为事后核查其汇兑业务和账簿记录的正确性带来了困难。因此, 我认为, 现在人们常说的票号一百多年的经营历史上几乎没有发生过差错和舞弊, 是无法考证, 不足为信的。

5. 运营分析控制。

运营分析控制就是组织的管理人员应当注意及时收集各方面的信息, 认真进行分析, 及时发现问题, 找出原因, 加以妥当处理, 保证营运始终平稳有效进行。票号商深知“买卖赔与赚, 行情占一半”的道理, 十分重视运营行情的收集与分析。如祁县乔家大德通号规规定:“须勤阅报纸, 以明当今时务。至于耳目流通, 诸位留意, 更是吾等分内之事。须与伙等时常讨论, 果能尽一份人力, 自可得一份实效。”各分号每日都要根据“跑街”收集的信息进行行情分析, 平时根据总分号之间和各分号之间的书信往来沟通的信息进行行情分析, 还要密切注意相关灾害的发生情况和分号所在地一年四季的农业生产的丰歉情况, 进行行情分析。

6. 业绩考核控制。

业绩考核控制就是组织采取与组织目标相一致的绩效标准, 对员工的工作业绩进行考核, 并据以进行奖惩, 以促进员工勤奋地为组织进行工作的控制方法。业绩考核控制是票号内部控制的主要特色之一, 包括财东对大掌柜的考核, 总号对分号经理的考核, 以及总号和财东对员工的考核。总号对分号经理的考核是通过分号经理每年年关回总号述职考评进行的。例如, “日升昌全国50多家分号, 掌柜每年年关回平遥述职。述完职后, 吃团圆饭, 大家围坐在大园桌边。面冲门位尊, 背对门位卑, 排位时既不是按资历也不是按年龄, 而是看当年的业绩, 业绩最差的背对门坐。连续三年背对门的掌柜就要下课回家。” (王立彦等, 2007) 每次营业决算后, 总号要根据分号纯收益的多少给分号经理一定比例的“花红”, 存于分号, 叫做“经理人损失赔偿准备金”, 计一定的利息, 只要分号经理认真工作, 任期内不出现过失, 离任时就可以连本带利一次性提取。对分号员工的考核, “及至任事期满之后, 持账交诸总号, 经总号复核无讹;如因在任事期内, 确能尽力于职务, 或有额外劳绩, 号务大有起色, 则由资本主酌给酬劳为报, 并归还其家属, 或者仍回原号之任;如有不能称职者, 则由总号调回察看, 再定去留;至于舞弊营私, 一经发觉之后, 则酌量情节之轻重, 以定惩戒, 甚至没收其财产, 拘留其妻孥, 不稍宽容, 毫无情面。” (东海, 1917)

7. 稽核检查控制。

稽核检查控制, 包括稽核控制和内部审计控制。为了及时发现业务和财务活动中的错误与舞弊, 现代企业管理要求在业务和财务活动要嵌入稽核职能, 随之对发生的业务和财务活动及其记录进行及时的、经常地和连续的稽查和核对, 包括账账核对、账证核对、帐表核对、账实核对等;同时还要求在业务和财务部门之外设置独立的内部审计部门, 对业务和财务活动的合理性、合法性和有效性进行独立的、定期的、全面的审查和监督。

山西票号也有比较完善的稽核制度。包括大掌柜或其特派员每年对分号的例行巡视、每年对分号的例行稽核检查, 以及对员工家信的检查和对回家员工的检查等。“大掌柜每年例须巡视各庄一次或两次, 有时另派大员代理。此项举措万分重要, 凡人位之处度不宜, 同人暗行不端, 手续不合潮流, 市面情况变迁, 皆为业务上之阻碍, 视察所得立时处理。” (颉尊三, 1944) 例如, 大德通票号在其1912年的号规中就规定:“每年正月初八日, 选派稽核一二人, 分巡各庄稽核, 当选员不拘住家住外, 临期带祁信 (总号信件) 前往, 稽核之事如下:专查内外事件;账簿折据;本号人位优劣;审查社会之情形, 定进退之标准。稽核员往返各处之川资旅费, 一切零用, 开单结祁, 各庄不得酬送分文, 己身置买衣物等件, 实记实结, 运费厘税, 一同结祁, 以取正己正人。稽核员每到一庄, 协同首领, 对本庄伙友, 宣读章程一遍, 然后依章程次第认真实行查核, 如有违章情事, 若系伙友所犯, 稽核与首领权事之轻重, 有黜陟之权, 不待商祁, 勒令回祁出号, 此层务须被除情面、务稍瞻循, 有负职责。” (卫聚贤, 1944) 对分号员工家信的检查, “来往家信, 例由总号代转, 不得自由寄发, 借此以便检查。” (东海, 1917)

四、信息与沟通

COSO框架认为, 信息与沟通就是及时、准确、完整地收集与企业经营管理相关的各种信息, 并使这些信息以适当的方式在企业有关层级之间、企业与外部有关各方之间进行及时传递、有效沟通和正确应用的过程。信息与沟通是有效实施内部控制的重要条件。“票庄做事, 尽凭信函灵通。” (王之凎, 1937) 因此, 票号十分重视信息收集与沟通, 设有专门的信息收集职位——“跑街”和专门的信息管理部门——信房, 由管信 (文牍) 先生指挥司信数人处理往来文件和信件。票号信息收集与沟通体系十分健全, 包括“跑街”的信息收集、总号与分号的信息与沟通、与其他票号之间的信息沟通、与主要客户之间的信息沟通等等。跑街是票号的日常业务兜揽者和市面信息收集者。“跑街者, 或在本市, 或派往他市, 每晚必至经理前详细报告本日所营事业, 及各庄各行商情, 由是各路银势之松紧, 汇水之涨落, 可以知其梗概, 而筹划营业。” (陆国香, 1936) 总号与分号之间、分号之间的信息与沟通最为重要, 票号不仅规定了报告的时间、事项及内容, 而且设计了内容丰富且能够相互印证牵制的报告体系。各分号遇事都要通报总号, 包括财务、业务、人事、行市、证据等信息, 而总号也许一一答复, 并传达相应的管理信息。各分号对于“每日市面银钱行情, 平稳时由普通信分报联号各庄, 如遇行情暴涨暴落时, 在未通电报前, 用加紧专信报告有直接关系之各分庄, 其无直接关系各庄, 则用普通信报告之;自通电报后, 则由电报报告之。分号每逢月终, 须将本月内之营业, 详细造具清册报告总号, 及联号各分庄;并于造具清册后, 附报后三月之‘比期’ (此三月内预计后三月之生意, 俗称比期) , 详述收交之银, 或有余或不足, 以通消息而资联络, 使各分庄作收交上之预备。每遇年终结账一次, 报告总号, 以结总号之总账, 并分报联号各分庄, 以便核对通年账目之有无错误, 俾清手续。” (陆国香, 1936) “票号所用信札, 分为正报、复报、附报、叙事四项。正报者, 报告本号直接对某分号营业之事项。复报者, 报告本号前次对某分号营业之事项。附报者, 对其他分号报告本号与某分号之各种营业事项。叙事者, 于报告营业之末尾, 再另起稿叙述本处近日市面商务之情状, 及一切其他事务。” (范椿年, 1935)

“从前票号, 各有势力范围之区域, ……营业之偏重。”但是, 各家“票号无不互相联络, 故其关系密而机关广, 彼此声息相通, 所以汇兑敏捷。” (东海, 1917) 为了加强与客户的沟通, 招揽生意, 规避风险, 票号“北京经理经常出入于王公大臣之门, 省会经理亦往来于督抚藩臬之署。” (范椿年, 1935) 为了防止传递信息的失真, 票号规定信房先生不能顶“身股”而实行高薪, 因为如果他享受分红, 就有可能因为书信内容关乎分号业绩高低, 从而关乎自己分红多寡, 而不如实写信, 所以, 无论分号审议发展的如何, 他的年薪都是500两银子, 是分号掌柜年薪的五倍。

五、监督检查

COSO框架认为, 要使内部控制始终保持较高的有效性, 就必须由企业权力机构授权企业相对独立的部门对内部控制进行不断的检查评价, 及时发现和解决其中存在的问题, 包括例行的定期检查和发生重大错弊事件后的不定期检查。票号也很重视包括内部控制制度在内的规章制度检查评价和改进, 不但有前述的比较健全有效的稽核检查控制措施, 而且要定期根据发展变化了的内外部环境, 对票号号规进行全面修订。如大德通票号从1884年成立议定号规起, 于1888年、1901年、1904年、1913年、1921年五次全面修订号规。

总结山西票号的内部控制实践, 可以看出, 尽管当时没有完整的内部控制理论作指导, 但是, 即使用现代内部控制理论框架来观察, 其内部控制结构是相当完整的, 控制措施也是相当有效的, 而且还有不少特色内容值得我们现代人传承、借鉴或学习。比如:

1. 制度控制与文化教育相结合。

票号在尽可能设计和运用好各项规章制度进行制度控制的同时, 尤其重视文化教育对内部控制的作用, 如品德至上的聘用制度、严格的号规禁律、实践考验员工品德等。“票号较优于普通商业之特点, 虽亦以营利为目的, 凡是则以道德信义为根据, 大有儒学正宗之一派, 故力能通有无, 济公私, 显宦信, 足行州里, 施蛮貊, 近悦远来, 开银行先河, 创久远之盛誉耳。” (颉尊三, 1944) 票号的这一经验很值得我们学习。再先进严密的内部控制制度也是要靠人来执行的, 只有具有充分诚信品德的人来执行内部控制制度, 制度才能充分发挥其效用。一些现代企业 (如中航油新加坡分公司) 的经营失败, 并非内部控制制度不健全, 而是其文化建设和教育出现了问题, 这从反面说明票号重视文化教育在内部控制中的作用是何等的英明。在我们大力加强内部控制制度建设的当代, 一定要好好学习票号的经验, 切实加强以诚信为核心的企业文化建设。

2. 治理结构优化与员工人身控制相结合。

票号所设计和实施的以两权分离为特征的“东掌分离”治理结构与现代公司治理结构惊人相似, 足见其先进性。在东家放手让掌柜自主经营的同时, 东家还采取了一系列对员工人身进行控制的措施, 如只任用同乡、相与同乡、富商名流担保、包养 (扣押) 员工家属、不准在外娶小纳妾嫖娼、班期回家探亲应先到总号接受审查, 员工家信要有总号审阅后转交等。这些做法现代看来虽具有封建性, 甚至非法性, 但在当时确实是可行的, 也确实有效。在公司治理结构日益为“内部人控制”所侵害而日益式微的当代, 如何通过合法而有效的方法加强对管理人员的控制, 使其忠心耿耿地为全体股东利益服务, 是亟待我们研究解决的课题。票号在这方面的思路和做法值得我们在完善公司治理和企业管理工作中加以借鉴。

3. 充分激励与严格约束相结合。

票号不但设计和实施了与现代企业“股票期权激励”十分相似的“顶身股”制度, 而且设计和实施了独特的“故身股”、“花红”制度, 把对员工的激励与约束高度统一起来, 成为票号走向成功的“秘密武器”。但是, 顶身股制度规定, 顶身股者不承担亏赔责任, 导致了一些掌柜为了追求红利而不顾风险的问题, 这也是导致票号衰落的重要原因。现代很多企业实施“股票期权激励”制度, 虽然对经理人起到了很好的激励和约束作用, 但是, 由于“内部人控制”日益严重, 自我签订薪酬契约的问题日益普遍, 导致经理人负赢不负亏、薪酬急剧增加, 驱动弄虚作假、虚增利润问题日益严重。这与票号衰落时的情形极为相似, 因此, 票号在这方面的惨痛教训应当引起我们当代人高度的重视。

摘要：山西票号辉煌一百多年, 给人们留下了丰富的商业文化, 其内部控制文化尤其值得称道。即使从现代内部控制理论框架观察, 这种文化也是相当健全与合理而且极具特色的。比如超前的治理结构、有效的人文控制、健全的信息与沟通, 以及严格地绩效考核等, 都值得人们认真的继承和借鉴。

关键词：票号,票号内部控制,COSO框架

COSO内部控制框架 篇2

【摘要】本文通过对现有内部控制最新成果 COSO 理论的述评,研究中国企业 内部控制构建与完善框架。

2001年以来,全球会计舞弊案件频发。人们对企业会计信息更加关注。在 过去,是单纯通过报表审计关注结果,而在新情况下,则是既通过报表审计关 注结果,又要通过构建和完善与财务报告相关的内部控制关注会计信息的生成 过程。

一、内部控制理论新成果—— C0S0报告

从历史的角度来看,内部控制理论大致可以划分为内部牵制思想、内部控 制制度、内部控制结构与内部控制整体框架等几个不同的阶段。到上世纪 90年 代,美国提出内部控制整体框架思想,这一思想成果集中体现在为国际理论与 实务界共同推崇的 COSO 报告。C0S0报告认为,内部控制是一个包括概念、要 素和目标在内的理论框架。

(一内部控制概念

对 C0S0内部控制概念可以从 3个方面来理解: 1.内部控制是动态过程。内部控制是一个过程,是实现目标的手段,而不 是结果本身。组织目标是由组织的宗旨决定的。它包括具体目标和实现目标的 效率。内部控制是防止那些可能影响组织目标有效率地实现的风险因素造成实 际损失、或者使损失降低到最低限度的,贯穿于组织各项活动中的一系列行为 或措施。环境影响内部控制,内部控制随环境变化而变化。

2.内部控制受人员沟通程度的影响。内部控制受到组织内各层次人员的影 响,而不仅仅是简单地制定出一本制度手册或规章。单纯的规章制度只是一种 机械的控制措施。组织虽然按照规章制度来运行,但人是具有个人目标、个人 情感的能动性个体,他们可以在很大程度上影响规章制度的实施效率和效果。他们的行为可能

受到其个人利益的驱使,也可能受其误解或抵触情绪的驱使。因此,内部控制必须建立在充分沟通的基础上。

3.内部控制提供的是合理保证。对管理层或董事会而言,内部控制提供的 只是合理的保证,而不是绝对的保证。内部控制措施,无论设计得多么完美、运行得多么好,组织目标实现的可能性受到内部控制制度所固有的局限性影响 , 内部控制也仅能为董事会和管理部门实现组织目标提供合理的保证。

(二内部控制要素

在对内部控制概念进行界定的基础上,该框架认为,一个完善的企业内部 控制系统应该包括五类耍素: 1.控制环境

控制环境提供企业纪律与架构,塑造企业文化,并影响企业员工的控制意 识,是所有其它内部控制组成要素的基础。控制环境的因素具体包括:诚信的 原则和道德价值观;评定员工的能力;董事会和审计委员会一一组成这两个机 构须考虑的因素主要包括:成员的经验,相对于管理层的独立性,外部董事的 比例;其成员参与管理的程度,所采取措施的适宜性,对管理层提出问题的深 度和广度,他们与内部、外部审计人员的关系实质等;管理哲学和经营风格一 一主要考虑:对待和承担经营风险的方式,依靠文件化的政策、业绩指标以及 报告体系等与关键经理人员沟通,对财务报告的态度和所采取的措施,对信息 处理以及会计功能、人员所持的态度,对现有可选择的会计准则和会计数值估 计所持有的谨慎或冒进态度等;组织结构——即公司活动提供计划、执行,控 制和监督职能的整体框架;责任的分配与授权;人力资源政策及实务。

2.风险评估

每个企业都面临着来自内部和外部的不同风险,这些风险都必须加以评估。评估风险的先决条件是制定目标。风险评估就是分析和辨认实现所定目标可能 发生的风险。

3.控制活动

企业管理阶层辨识风险,继之应针对这种风险发出必要的指令。控制活动 是确保管理阶层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动在企业内的各个阶层和 职能之间都会出现。这主要包括:高层经理人员对企业绩效进行分析;直接部 门管理;对信息处理的控制;实体控制;绩效指标的比较和分工。

4.信息与沟通

企业在其经营过程中,需按某种形式辨识、取得确切的信息并进行沟通, 以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息,同时也 处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理

阶层清楚地获取承担控制责任的信息,而且必须有向上级部门沟通重耍信息的 方法,并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。监控

内部控制系统需被持续监控。监控是由适当的人员,在适当及时的基础上, 评估控制的设计和运作情况的过程。监督活动由持续监督和个别评估所组成, 其可确保企业内部控制能持续有效的运作。

(三内部控制目标

COSO 报告认为,企业建立完善的内部控制体系,旨在达到以下三个目标: 1.经营的效率和效果;

2.财务报告真实、完整;3.恰当地遵循了相关法律、法规。

二、COSO 报告下的内部控制框架理论是否通用

同以往的内部控制理论及研究成果相比, COSO 报告不管是《内部控制—— 总体框架》还是 2004年 10月增补扩充后的《企业风险管理——总体框架》, 都提出了许多新的、有价值的观点。具体体现在:明确了内部控制的“责任主 体”;强调内部控制应该与企业的经营管理过程相结合;强调内部控制是一个 “动态过程”;强调“人”的重要性;强调“软控制”的作用;强调风险意识;强调管理与控制的界限等。

但是,值得注意的是, C0S0报告下的内部控制框架对内部控制的定义及董 事会作用的强调是符合美国股权高度分散这一企业所有权结构的。因为英美公 司治理是典型的外部控制主导型公司治理模式。在这种模式下,分散的股东无 法对公司决策施加有效的影响,从而形成了 “弱股东,强管理”的格局。在这 种情况下,单个股东难以对企业内部控制的设计、运行和监督产生实质性作用。为了避免内部人在管理企业过程中侵犯所有者利益,强调并通过立法的形式明 确并规范以独立董事占多数席位的董事会在企业内部控制中的作用,加强对公 司经理层的监督和约束,从而维护股东权益。而我国的公司治理结构“内部人 控制”现象严重,控股股东“一股独大”,有些控股股东操纵上市公司的股东 大会、董事会和监事会,使股东大会、董事会、监事会形同虚设,造成内部控 制失效。因此,在研究中国企业内部控制问题时,应在 COSO 报告内部控制定义 的基础上,视企业的具体情况强调和注重股东会尤其是控股大股东在企业内部 控制体系中的作用。在这一基础上,运用 COSO 报告内部控制框架研究中国企业 的内部控制现状与改进才会有更强的针对性和实际意义。

三、中国企业内部控制构建与完善框架(一加强法律法规等强制性来约束准则规范

应尽快加强有关企业内部控制方面的法制建设以及内部审计和独立审计等 相关方面的行业准则的制定,为提高企业内控提供外部监督和指导。同时,建 立和强化内部控制责任机制,加大企业相关违规成本,使得建立和完善内部控 制体系成为企业的一种法律责任。目前,我国《审计法》和《独立审计准则》 等对企业内部控制虽有论及,但都是从审计角度出发的,对企业而言并未形成 内控整体框架;《会计法》也没有对企业内部控制提出具体可行的规定。在完 善内部控制规范时,有条件地借鉴 COSO 理论精华,要注意从以下几个方面予以 加强。

1.拓展内部控制的目标

COSO 报告框架的内部控制目标包括经营目标、报告目标和合规性目标三个 方面,而我国内部控制的目标仅局限丁•报告目标和合规性目标。我国应拓展内 部控制的目标,由目前的报告目标、合规性目标向经营目标扩展,以激发企业 对内部控制建设的关注和需求。

2.丰富内部控制的责任主体

2006年 2月我国颁布的《独立审计准则第 1211号——了解被审计单位及 其环境并评估重大错报风险》已将内部控制的责任主体向上扩展到治理层(董 事会,向下扩展到其他员工。应将这种理念运用到我国内部控制基本规范中, 丰富内部控制责任主体,由单一主体向多元主体发展。如前面所分析,值得注 意的是 COSO 报告下的内部控制框架对内部控制的定义及董事会作用的强调是符 合美国股权高度分散这一企业所有权结构的。而同时,笔者认为,在研究中国 企业股东对内部控制的影响及作用时,必须要把股东划分为大股东和中小股东 两个层次。因为在中国特有的经济背景下,上市公司的股权结构基本属于“一 股独大”的情况,中小股东对企业的影响很小甚至没有,而大股东通过参与高 层管理操纵内部控制的情况却非常普遍。在界定董事会对内部控制所富有的职 责时,必须强化大股东层面对内部控制的责任与义务。

3.建立科学的内部控制规范体系

对于我国目前内部控制规范中存在的各种缺陷,有关部门应加快对内部控 制规范的修订,甚至重新制定。考虑到我国的实际情况,可以建立内部控制基 本规范和具体规范两个层次:基本规范应是一套类似于美国 COSO 报告那样的概 念性的制度框架,具有强制力;具体规范可以是具有可操作性的规则,应是参 照性的。有关部门应将内部控制规范的建设提到日程上,建立一套科学的内部 控制规范体系,为企业的内部控制的自我评估和外部审计师的内部控制审计提 供评价依据。关于这一点,在财政部 2006年起草的《内部控制征求意见稿》中, 已有所体现。

(二证券监管机构的职责界定

企业尤其是上市公司一般只对外披露财务会计信息,人们关心的也是每股 收益等数字。对于企业内部控制,人们常常疏忽。而独立审计人员则体会到信 息的真实可靠,来源于企业内部控制,内部控制越好,其信息就越可靠,审计 实质性测试就可相应减少;注册会计师在审计中虽然会对企业内控进行评审, 但一般注重内部会计控制,并且由于审计的时间范围和技术的局限性,企业内 控情况并不能充分了解和揭示;为了提高企业内控意识、提高其信息质量,企 业有必耍在进行内部控制自我评估后,向社会公开披露其内控信息。而在这一 过程中,要使得企业内部控制披露机制真正发挥作用,就必须要界定好证券监 管机构的相关职责。

(三强化企业内部控制的自我完善

1.企 业内部控制目标的定位与企业的发展战略相结合

按照 C0S0报告框架的要求,内部控制目标应该包括三个方面:经营的效率 和效果、财务报告的可靠性以及相关法规的遵循性。笔者认为,企业在构建和 完善内部控制时,必须结合自己发展所处阶段和内外部条件,按照 SWOT 分析法, 将内部控制目标的确定与企业发展战略相适应,以使内部控制体系具有可操作 性和针对性。

2.在 统一的框架内构建和完善符合企业情况的内部控制体系

有了微观层面统一的内部控制规范和体系,企业要按照 C0S0框架中的五个 要素,适当借助外部中介机构的力量,在对控制环境进行深入的调研与分析的 基础上,构建适合自己企业情况的、具有可操作性的微观层面内部控制制度与 体系。

(四会计师事务所的外部监督

COSO内部控制框架 篇3

关键词：COSO内部控制整合框架；网络风险控

信息技术的发展让企业经营环境发生了巨大的变化，越来越多的业务需要在互联网的环境中完成，从订单的生成，处理到收发货和结算，许多业务环节实现了网上操作，人工现场参与越来越少。互联网打破了时间和地域的限制，为企业创造了可观的价值。在受益于互联网的高效和便利的同时，企业也需a要时刻防范网络入侵和应对信息泄漏造成的损失和负面影响。因此企业的内部控制必须做出相应调整以适应网络时代的特点。

COSO内部控制整合框架为企业识别网络风险、管理网络风险和实施控制活动提供了有效的方法，指导企业从控制环境、风险评估、控制活动、信息和沟通、监督五个方面的内控要素来分析网络风险，构建具备安全性、警惕性和可恢复性的网络风险内控体系。

1 网络风险的控制环境

网络风险控制环境是一套标准、流程和结构，能够为组织实施网络风险内部控制提供基础。企业的董事会和管理层应将实现安全性、警惕性、可恢复的网络风险管理机制设定为网络风险管理的首要目标并确保其在企业内执行顺畅， 保证部署足够的资源来保护重要的信息系统，制定适当的措施应对网络风险。由于大多数管理层成员的网络和信息技术知识不足，在了解本企业网络风险概况和应对不断变化的网络风险事件时应积极寻求专业人士的帮助，充分认识信息技术对组织流程和目标的影响；在对企业的资源进行分配时，根据风险评估的结果设定风险承受水平，保证将足够的资源用于保护对实现企业目标至关重要的信息系统。

2 网络风险的评估

网络风险的评估是针对影响企业目标实现的网络风险进行的风险识别和风险评估活动，帮助企业根据风险的严重程度和发生的可能性制定相应的控制程序。面对内外部的网络风险，企业的风险评估可以通过评估其对实现组织目标存在的不利影响和事件发生的可能性这两方面来进行。

①目标识别：评估企业的网络风险首先要评估信息系统对企业实现目标的潜在影响确定其价值，通常影响越大价值越大。COSO整合框架提供了企业的五类关注点：即经营目标、外部财务报告目标、外部非财务报告目标、内部报告目标和合规目标。企业的管理层和重要利益相关方应引导风险评估过程，在业务和信息技术人员的高度配合下，根据企业目标确定需重点保护的关键信息系统，确定企业可接受的风险水平。②对确定的关键系统的风险进行全范围的识别和分析，评估网络风险的严重程度和可能性进而决定如何管理风险。在此过程中企业要重点关注容易遭受攻击的信息系统及可能发生的攻击行为，对这些行为建立预警机制。通过识别攻击者的行为和方式，所用的技术、工具和流程，企业可以更好的预测风险，修补潜在的网络漏洞，设计有效的控制措施，在攻击发生时减小或规避风险，以保证重要资产的安全。③网络风险评估是一个动态的持续的过程。内部的和外部的风险变化对内控体系可能造成重大影响。因此风险评估要预测这些变化并据此调整企业管理网络风险的相关控制。

3 网络风险的控制活动

网络风险的控制活动是指针对网络风险评估的结果，企业应当制定相应的政策和程序，将网络风险控制在可接受范围内。控制活动能防范、发现和应对网络风险，更有效的降低潜在的网络漏洞对实现企业目标的影响。企业可按层级建立多层控制防线，防止攻击者在击破第一道防线后继续侵入信息系统或可以减慢入侵者的入侵速度。

在多层控制防线中，可运用的方法包括：①预防性和发现性控制相结合：有效的预防性控制使攻击者无法进入企业内部信息系统或可以制造障碍延缓攻击者的攻击速度，企业可及时发现并尽早采取措施修补漏洞，可以评估潜在损失，进而完善现有措施以预防和发现未来可能发生的类似攻击。②信息技术一般控制：与其他业务控制相联系的信息技术一般控制会帮助预防和发现网络入侵，使企业面对入侵时具备快速反应和恢复能力。企业应制定在发生网络攻击时应得到通知的人员名单，使相关人员能快速采取进一步措施降低风险。

4 网络风险信息的形成和沟通

信息是企业决策的基础，包括内部信息和外部信息，贯穿于网络风险内控的各个环节。企业应将已经识别的相关高质量信息要求及相关风险分析和应对措施记录成正式的文档，保证流程和控制活动一致性，避免因人员的流动产生执行的偏差。信息的来源包括：①企业内部产生的数据，企业应具备从内部产生的大量数据中生成及时的、相关的、高质量的完整信息的能力，否则企业无法采取恰当的网络风险控制措施。②除了内部信息，企业也可从外部获得数据，包括：a同业组织信息：由于同行业中各个公司的信息系统的价值和运用的技术是相似的，企业可通过与同行业组织共享信息、共同预测网络事件发生趋势，网络攻击行为的方式等，帮助企业预防和发现网络风险事件；b获取政府等外部机构的数据；c外包服务供应商的数据：如果企业将部分业务或流程外包给其他机构，为实现共同的外包服务效益，可将双方相关信息共享。当一方出现影响另一方运营的风险事件，共享与该风险事件相关的信息可以增强双方的快速反应和恢复能力，帮助识别和控制网络风险。

企业信息的质量依赖于有效的数据治理。企业应明确责任和义务，遵循数据治理的相关原则，保护数据和信息避免未经授权的访问和修改，从而保证信息的质量。被识别的信息应能无障碍地传递到企业内部控制的各个环节，包括：①全体员工：自然人具有的一些社会特性，如信任他人、好奇心等使其成为网络风险内控链条上的最薄弱的环节，网络攻击者善于利用人的这些天性，通过发送邮件、赠送免费移动设备等方式，只要员工在企业网络中点击或使用了这些设备，攻击者就可以成功入侵。针对这些情况比较有效的办法是定期开展全员网络安全培训，提升全体员工对网络风险鉴别的能力和网络安全责任感，降低攻击者从普通员工入手开展网络攻击的可能性。培训可以采取专题讲座，例行培训，网络入侵热点问题培训、在企业范围内发布消息等形式，使网络安全信息及时有效地传递给每个员工。②网络风险监管责任人，包括企业的管理层成员、网络信息技术人员等。管理层成员的任务是选择、执行和部署内控，保证内控信息在企业内部共享。网络信息技术人员除在技术上保证信息系统的运行和安全外，还需生成和维护正式的网络控制文档。支持网络风险控制管理目标的正式文档是提升企业管理网络风险能力的有效渠道，也是企业评估控制设計和实施有效性的途径，是保护企业信息系统的有效有段。③董事会。董事会在网络风险控制体系中扮演着重要的角色：通过了解影响企业目标的网络趋势，认识网络风险，设定风险承受度，确定实施控制措施，明确对管理层所确立的风险应对流程和程序的期望。因为大部分董事会成员对于网络和信息技术的相关知识是有限的，网络技术人员或聘请外部专家利用相关信息技术框架和标准，将技术性很强的内容转换为即使是没有专业背景的人员也可以理解的内容就显得十分重要，只有概念清楚了，董事会和管理层才能实现有效沟通，才能保证董事会履行网络风险控制监督职责。董事会层面的沟通除定期进行的网络风险讨论外，也应建立对临时出现的重大网络风险事件与管理层的沟通渠道，董事会可依据管理层提供的相关高质量信息在进行外部沟通前做出迅速反应。④外部机构：包括所有者、客户、供应商、银行、政府机构和其它外部机构。从外部到企业内部的沟通能影响网络风险评估和控制活动；从内部到外部的沟通能向相关方传递与网络事件、活动相关的信息，或者其它可能影响外部相关主体与企业互动的情况。在这些沟通过程中，企业会获取有价值的信息。需要注意的是，企业要加强向外部提供信息的控制，积极的信息可以塑造良好的企业形象，是企业具备可恢复力的一种表现；反之不受控的信息会被其它组织利用，会对企业造成负面影响。由此可见风险管理的标准、制度和流程是多么重要。

5 网络风险相关控制设计及执行的监督

为了减少潜在网络风险，组织应对控制活动的设计和执行的有效性开展持续评估和单独评估，确保控制活动有效并持续进行。由于网络风险管理的专业性使然，在监督过程中专业人员的参与十分必要，企业也可聘请外部专家进行协助。对于有外包服务供应商的企业，监督活动还需要延伸到有共享数据的外包服务供应商的网络。对这方面的监督所需信息，企业可以直接从服务商处获取，如审计报告等，也可考虑其它途径，目标是确保供应商的网络具备安全性及警惕性。

监督活动的有效性能保证企业在面对可能影响其目标实现的网络风险发生变化时，能更好的部署内部控制，保证网络风险的变化是可控的、能预见的。

企业对监督活动中发现的问题应及时进行评估，并及时沟通缺陷，如有重大事项应向高级管理层和董事会报告。通过对问题的有效沟通，企业需要分析产生问题的根本原因并修正控制活动，这也是是实施有效的整改活动的前提。

互联网已渗透到现代生活的各个角落。信息技术的发展使企业时时刻刻地暴露于网络风险之中。如果用被动的方式管理网络风险，遭受网络攻击后产生的后果将非常严重，有可能导致企业经营萎缩甚至破产。技术的发展、企业的创新、黑客手段的成熟都使网络的风险管理变得越来越困难。企业应加强对网络风险管理的重视，适当增加投入，以COSO内部控制整合框架为指引，建立具备安全性、警惕性和可恢复性的信息系统，以实现网络风险内部控制的目标。

参考文献：

COSO内部控制框架 篇4

内部控制思想实践一直在不断丰富, 内部控制理论也随之得到整合。内部控制理论和实践的发展大致经历了内部牵制、内部控制系统、内部控制结构、内部控制整合框架等四个不同的阶段。[1]美国反虚假财务报告全国委员会的发起组织委员会 (COSO) 1992年发布了经典的《内部控制———整体框架》 (简称旧框架) [2], 旨在给公司或组织制定和评价其合规、运营和财务报告三个目标的内部控制体系。尤其是安然事件爆发后, 美国在2002年通过萨班斯———奥克斯利法案 (SOX) , 强制要求上市公司执行财务报告的内部控制, 内部控制成为人们关注的热点。在借鉴COSO内部控制报告的基础上, 我国财政部等五部委也于2008年颁布了《企业内部控制基本规范》。在市场经济不断发展变化的今天, 随着市场竞争压力的加大, 内外部风险因素也在发生着变化, 这必然需要完善的内部控制体系来保障经济社会的健康发展, 可是最近不断对外报出的公司内控失败案例, 不禁让人怀疑现在的内部控制体系是否还依然有效, 我们的内部控制体系是否需要进一步完善来适应社会的发展变化, 基于以上背景的介绍, 内部控制新的框架的出台已经是迫在眉睫, COSO委员会发布了《内部控制———整体框架》, 拟于今年12月执行。本文展开讨论新框架的主要变化, 以及从中得到的启示, 拟促进我国内部控制发展。

二、COSO框架的主要变化

1. 框架结构

根据企业运营和业务环境的变化, 框架结构也进行了调整, 突出了原则导向, 拓展了报告目标。COSO新框架仍然采用了三个目标和五个要素的形式, 三个目标具体是:合规性目标、经营目标和报告目标, 前两个目标的内涵没有发生变化, 但报告目标的内涵得到丰富和补充。

2. 注重以原则为导向的方法

基于内部控制五要素, 新框架提出了17项原则和有关17项原则的81个属性, 是对旧框架的整合和扩展, 也是COSO新框架中最显著的变化。17项原则分别与81个要素相关联, 其中:与控制环境相关的有5项, 分别是诚信和道德价值观的承诺、董事会对内控的监督责任、建立组织结构授权和责任、胜任能力的承诺、内控目标责任考核;与风险评估相关有4项, 分别是确定相关目标、风险的识别和分析、评估舞弊风险、识别和分析显著变化;与控制活动相关的有3项, 分别是选择和开发控制活动、选择和开发技术的通用控制、选择和开发技术的通用控制;与信息和沟通相关的有3项, 分别是使用相关信息、内部沟通、外部沟通;与监控活动相关的有2项, 分别是实施持续的和/或单独的评估、缺陷的评估和沟通。按照要素汇总, 81个属性的大致分布如下:有21个与控制环境相关, 19个与风险评估相关, 16个与控制活动相关有, 14个与信息和沟通相关, 11个与监控活动相关。

3. 突出了对潜在的舞弊的重视

新框架关于舞弊的讨论明显增多, 内部控制17项原则中一项原则是“企业在评估影响实现目标的风险时, 要考虑各种潜在的舞弊”。在企业风险评估的过程中, 针对舞弊风险的评估也是其中一个组成部分。

4. 强化了公司治理的作用

新框架包含了更多公司治理的内容, 尤其是关董事会及其下属的委员会, 包括审计委员会、治理委员会和薪酬委员会等。董事会应保持高度独立性, 尤其是针对管理层, 对内部控制的设计和执行情况加以监督, 明确其监督责任。

三、从COSO框架中得到的启示

从1992年颁布旧框架后, 新框架在保持了旧框架的精神和核心内容的基础上, 针对不断变化的内部控制环境COSO也在积极改进和应对, 提高了企业在激烈而又多变的竞争环境中设计和执行内部控制的可操作性。2008年我国颁布的《企业内部控制基本规范》参照的是旧的COSO框架, 随着我国市场和企业环境不断变化, 我国的内部控制相关配套的规范也需要与时俱进, 在借鉴COSO新框架的基础上, 结合我国具体情况不断改进我国内部控制相关法规, 从新框架中得到以下几点启示:

1. 提高内、外部审计的独立性。

新框架提高了对识别舞弊的风险的重视, 因此就有必要从内部和外部加强审计的独立性。内部审计机构尤其是审计委员会, 需要更高的的独立性, 还要保持其他人员配备方面的独立性。

2. 提高内部控制准则的可操作性。

新框架的最显著的变化是在五个要素基础上提出的17项原则, 还提出了一些有可操作性的具体程序。新框架中的原则和程序有利于指导企业更具体的设计和执行内部控制, 目前我国还有相当一部分企业处于内部控制系统不成熟阶段, 这些具体的操作程序帮助企业更容易地理解内部控制, 从而使内部控制得到更好的执行。

参考文献

[1]CO SO.Internal Control—Integrated Framework (1992) , http://www.coso.org

[2]CO SO.Internal Control—Integrated Framework (2004) , http://www.coso.org

[3]CO SO.Internal Control—Integrated Framework (2013) , http://www.coso.org

[4]林斌, 舒伟, 李万福.CO SO框架的新发展及其评述——基于IC-IF征求意见稿的讨论

[5]宣和, 刘祖基.CO SO内部控制新框架变化及启示分析.财务与会计, 2014.04

[6]郑丹, 杨汉明.CO SO内部控制新框架的变化及对企业可持续发展的影响.财务与会计, 2014.06

COSO内部控制框架 篇5

摘 要 文章通过我国《企业内部控制基本规范》与COSO报告的比较，总结了我国《企业内部控制基本规范》及配套指引的主要特点，并结合目前實际情况提出了完善我国企业内部控制评价制度的个人建议。

关键词 内部控制 外部审计 评价制度

一、引言

2008年6月28日，财政部、证监会、审计署、银监会和保监会联合发布了《企业内部控制基本规范》；2010年4月26日，上述有关部门又联合发布了《企业内部控制配套指引》，从而标志着中国企业内部控制法制化体系已初步形成，中国企业在内部控制制度建设方面取得了决定性成果。本文拟通过对我国《企业内部控制基本规范》与COSO报告之比较，分析与我国企业内部控制的异同，对我国内部控制建设情况进行总结，为进一步完善我国企业内部控制建设提出合理建议。

二、我国《企业内部控制基本规范》与COSO报告之比较分析

1．内部控制的认识比较

COSO报告认为，内部控制是由董事会、管理层和员工共同设计并实施的，旨在为实现组织目标提供合理保证的过程。COSO报告认为内部控制是一过程，是实现目标的手段，是与管理过程融合在一起的，是一个不断发现和解决问题的循环往复的动态过程。内部控制的有效性也只是这个“动态过程”中某个时点上的一种状态。我国《企业内部控制基本规范》所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

2．内部控制的目标比较

COSO报告指出，内部控制是为实现以下三类目标提供合理保证：经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性。为应对未来外部环境变化给企业带来的风险，新COSO报告又增加了战略目标。我国《企业内部控制基本规范》指出内部控制旨在实现以下五类目标：企业战略；经营的效率和效果；财务报告及管理信息的真实、完整；资产安全；遵循国家法律法规和有关监管要求。可知，《基本规范》借鉴了COSO报告的目标，同时考虑到我国国有大型企业比重大、国有资产流失严重的国情，增加了资产安全目标，这是我国内部控制规范对COSO报告的补充。

3．内部控制的构成要素比较

COSO报告认为，为实现内部控制的有效性，需要五个要素的支持：控制环境、风险评估、控制活动、信息和沟通及监督。新COSO报告包含了八个构成要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。我国《企业内部控制基本规范》在形式上借鉴了COSO报告五要素框架，但同时进行了充实和丰富，在内容上体现了新COSO报告风险管理的八要素框架的实质，即内部控制和风险管理日益融合、风险导向成为内部控制未来发展方向的趋势。

4．内部控制的责任主体比较

在COSO报告下，管理层对内部控制负主要责任，不但要向董事会下属的审计委员会报告，还要评估内部控制的有效性并对外发布内部控制报告。我国的《企业内部控制基本规范》对内部控制的主要责任主体的责任分别进行规定：事会负责内部控制的建立健全和有效实施；监事会对董事会建立与实施内部控制进行监督；经理层负责组织领导企业内部控制的日常运行。在COSO报告中，内部控制的责任主体主要是管理层而我国《企业内部控制基本规范》却强调了董事会对内部控制的重要责任，而且更加明确地规定各责任主体对内部控制的责任，使治理层和管理层的责任分工更加明确。

5．内部控制的外部审计比较

在COSO报告下，审计师要在审计财务报表的同时对公司的财务报告内部控制进行审计，既要评价管理层对内部控制的评价，又要对内部控制的有效性发表意见。在我国，执行《企业内部控制基本规范》的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计并出具审计报告。可见，我国《企业内部控制基本规范》和COSO 报告都强制要求对内部控制进行外部审计。

三、完善我国企业内部控制评价制度的建议

《基本规范》及配套指引主要是在借鉴COSO报告的基础上，结合我国的具体情况进行适当修改完善后形成的。《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点，如何从宏观上有效地促进并引导企业提高内控水平，还必须建立一系列规范统一、具体明确、简明实用的《企业内部控制评价制度》，借以督促企业尽快务实地建立健全并持续改进内部控制制度。但至目前，如何建立中国企业内部控制评价制度，理论与实务界仍有诸多不同的看法。

本人认为应由证监会出台统一的内部控制指引，与《内部控制基本规范》相配合，以统一内部控制相关概念界定、内部控制评价目标、内部控制评价要素等。这些制度的协调统一是完善内部控制制度并使之有效运行的基础。在统一明确的制度指引下，上市公司能够通过建立健全内部控制评价体系，合理规避经营风险，保证资产安全，提高经营效率和效果。尽快统一内部控制自我评价制度和注册会计师核实评价制度，降低注册会计师执业风险，合理保证注册会计师的利益。建议借鉴美国的经验，将核实评价的范围限定为与财务报告相关的内部控制评价。

参考文献：

[1]COSO.COSO企业风险管理整合框架:中文版.大连:东北财经大学出版社.2005.

[2]丁宁,杨光浩.关于企业内部控制建设的国际比较分析.现代管理科学.2010(8).

COSO内部控制框架 篇6

近年来我国工程项目建设领域蓬勃发展, 大规模的建筑、交通基础设施建设项目日益增多, 施工企业数量规模急剧增长, 工程项目施工建设市场竞争日益激烈, 对于施工企业的生存与发展也提出了新的要求, 特别是在我国大规模的刺激经济发展的基础设施建设热潮消退之后, 部分施工企业经营发展更是非常困难。因此在当前形势下, 施工企业若想实现自身的稳健发展, 必须强化企业的内部控制, 通过结企业的战略发展规划、管理政策以及财务目标, 系统的制定内部控制管理实施策略, 对企业的各项经营活动形成监测、约束与控制, 进而提高企业内部资源的优化配置与高效率用, 实现企业经营效益的不断提高。

一、现阶段施工企业内部控制管理问题分析

(1) 内部控制环境不利于内控工作的开展。由于工程施工企业高层管理者大多是施工项目技术、管理人员出身, 对于施工技术以及项目管理较为精通, 但是对于企业管理缺乏全面的认识, 没有充分认识到内部管理工作对于企业发展的重要性, 甚至错误的认为内部控制管理只是企业财务管理部门的职责, 因此导致内部控制管理工作开展不力。其次, 企业在自身治理结构上, 仍然采取传统的粗放式企业管理模式, 企业管理规章制度执行力度不足, 各项业务活动决策缺乏科学合理的评估分析, 对内部控制管理的开展增加了新的难度。第三, 企业内部控制文化氛围缺失, 大多数职能部门认为内部控制与自己毫无干系, 因此对于内部控制管理措施的执行也缺乏积极性。

(2) 管理制度体系不健全。健全完善的制度管理体系使企业内部控制管理工作顺利推进的基础保障, 只有系统完善的制度管理体系才能确保企业的经营管理活动能够得到监督与控制。但是由于施工企业施工建设项目较多, 尤其是在财务管理上, 企业总部、项目部均有一套单独的制度, 因此管理体系的整体性较差。

(3) 内部控制管理对于风险的侧重不足。在当前形势下, 施工企业所面临的市场竞争环境日益激烈, 同时风险隐患问题也不断增加。但是部分企业在承担项目建设过程中对于风险控制的侧重不足, 也没有完善的风险评估预警工作, 只是一味的抢占市场, 甚至大量垫资施工, 极易造成企业出现资金风险问题。

(4) 对于施工企业的内部控制缺乏系统完善的监督管理。只有准确的评估分析内部控制管理工作的执行效果, 才能不断的制定调整改进措施。但是一些施工企业对于内部控制监督管理法力, 内部审计工作部门形同虚设, 没有任何实质性的审计, 导致对于业务活动以及管理者的经济责任缺乏准确的审计评估, 造成内部控制管理工作失效。

二、提高施工企业内部控制管理水平措施研究

(1) 优化工程施工企业的内部控制环境。工程施工企业内部控制环境作为施工企业内部控制管理工作开展的基础, 也是内部控制管理体系建设的首要工作。首先, 企业应该对自身的治理结构进行优化, 施工企业的组织结构作为企业经营活动计划、执行、控制以及监督管理的框架结构, 也是企业内部控制环境中需要重点进行优化的内容, 对于施工企业的治理结构应该按照现代企业制度要求以及企业工程项目建设实际需要, 分别成立行政管理部门、工程项目施工管理部门、材料采购保存管理部门以及财务管理部门等职能部门。其次, 应该注重企业文化体系的建设, 这也是影响企业内部控制环境以及内部控制效力的关键因素, 因此企业应该高度重视内部控制文化体系的建设, 通过对企业内部职工整体价值观的塑造, 提高职工对于企业的认同感与归属感, 进而提高对于各项内部控制策略的执行力度, 优化内部控制管理环境。

(2) 完善工程施工企业的制度管理体系。施工企业应该完善自身制度体系, 重点针对施工企业的工程项目审核批准、预算控制、资金管理、财务控制、资产管理、风险控制以及绩效考核等制度措施, 建立完善的制度体系, 进而为企业内部控制制度工作的开展提供依据。

(3) 强化施工企业内部控制管理的风险导向。随着工程项目施工领域市场竞争环境的越发复杂, 施工企业承建工程项目的风险也不断加大, 因此在企业内部控制管理上, 应该对项目建设经营风险的识别分析以及防范控制进行侧重, 以提高内部控制管理的整体效果。在施工项目的风险控制管理上, 应该组织专业的财务分析管理人员, 对项目实施的管理风险以及经营风险进行准确的分析, 并初步确定风险发生概率。然后, 按照风险发生概率以及风险影响程度, 确定风险的防范控制等级, 明确需要优先以及重点控制的风险问题。第三, 施工企业应该综合采取风险规避、风险降低、风险规避以及风险分担等措施, 控制企业风险问题。此外, 企业应该采取控制挂靠队伍与合约垫资以及合理分包等措施, 减少施工企业的风险问题。

(4) 完善内部审计, 强化对于内部控制的监督管理。内部审计工作不仅是评估分析施工企业内部控制管理效果的重要手段, 同时也是营造良好内部控制环境的重要保障措施。对于施工企业的内部审计工作, 应该成立单独审计委员会, 分别对施工企业各个项目的经营收支、资金管理等内容以及企业总体的财务管理活动进行审计监督。通过客观公正的审计工作, 确保企业经营管理财务会计信息的真实准确以及完整可靠, 在审计工作开展上重点审核施工企业的财务报告以及信息披露内容, 确保施工企业各项管理工作的合规合法。

三、结语

作为以工程项目施工建设为主要经营业务的企业而言, 强化内部控制, 推行制度化、标准化、系统化的管理是非常必要的。因此, 施工企业管理部门应该充分认识到内部控制管理工作的重要性, 进而不断优化内部控制环境, 完善内部控制制度体系建设, 通过强化预算管理以及完善内部控制评价等措施, 提高工程施工企业的经营管理水平, 确保施工企业战略发展规划目标得以实现。

参考文献

[1]张丽梅.施工企业内部控制与管理[J].中国商界 (下半月) , 2010 (10) .

COSO内部控制框架 篇7

与企业相比,高等学校内部控制建设相对比较滞后,还没有一套对高校行之有效的内部控制指导性规范,也很少有高校聘请外部力量或自行研究设计一套系统完整、规范合理的内部控制制度体系。

《会计法》第二十七条规定,“各单位应当建立、健全本单位内部会计监督制度。”《高等学校财务制度》中规定高等学校必须“建立严密的内部监督”。这些“监督”既是高等学校管理的任务,更是内部控制的目标。因此,内部控制并非是企业的专利,它同样适用于指导高等学校教学、科研和管理等相关活动。

一、COSO内部控制框架的组成要素

COSO内部控制框架认为,内部控制是由企业董事会、管理部门和其他员工实施的,旨在实现合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略等控制目标的过程。提出内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素构成,其中控制环境是核心,各要素之间又相互作用、相互影响。

(一)控制环境

控制环境主要指企业的核心人员以及这些人的个别属性和所处的工作环境,包括个人诚信正直、道德价值观与所具备的完成组织承诺的能力、董事会与稽核委员会、管理阶层的经营理念与营运风格、组织结构、职责划分和人力资源的政策与程序等,是其他一切要素的基础和核心。

(二)风险评估

风险是一个潜在事项的发生对目标实现产生的影响。任何企业都会面临来自企业内部与外部的风险,风险评估是判别和分析完成目标过程中的风险,从而为风险管理提供基础。

(三)控制活动

控制活动是指保证管理目标得以实现而建立的政策和程序。它能够针对企业目标完成过程中的风险采取必要的行动,它贯穿于整个组织的各个层次和部门。

(四)信息与沟通

信息与沟通是指企业内部各部门的人员必须能够取得他们在执行、管理和控制企业过程中所需的信息,并交换这些信息。所有的人员都必须具有从上层管理部门获取准确信息和上级部门能够获取反馈信息的通道,从而使他们理解自己在内部控制框架中的作用以及本人活动与他人工作的关系。

(五)监督

监督是对内部控制系统有效性进行评估的过程,可以通过持续性监督、独立评估或两者的结合来实现对内部控制系统的监督,并在必要时对其加以纠正。

二、COSO内部控制框架的启示和借鉴

高校内部控制的好坏关系到学校的生存与发展,也必将直接影响教育资金使用效率和高校的办学效益。为了保证高等教育事业的健康发展,实现培养高质量人才和规模发展目标,有效地配置学校经济资源,充分发挥其作用,保护学校资产的安全和完整,为管理者提供真实、可靠和完整的经济信息,高校内部控制制度的机制建设显得极为重要。高校内部控制建设是一项新的工作,也是衡量一个高校管理水平的重要标志。COSO报告具有一定的启发和借鉴意义,在构建我国高校内部控制系统时,可从以下方面着手:

(一)控制环境

控制环境是推动控制工作的发动机,是所有内部控制组成部分的基础,对其他要素起着基础的先导性作用,它奠定了组织的风纪和结构,决定着一个单位的内部氛围和价值取向。近些年来,虽然高校内部控制理论、思想及其内涵得到了进一步的完善和发展,与经营目标有关的内部控制制度的建设在内容上、范围上也越来越广泛,但由于种种原因,控制环境仍不尽人意,内部控制管理观念仍然缺乏,导致责任不清、分工不明确、有章不循、违章不究,从而引发高校职务犯罪、贪污腐败和国有资产流失等现象。因此,加强和完善高校内部控制,首先是内部控制环境的建设。控制环境中的要素包括:价值观、管理哲学与组织结构、发展战略、人力资源、校园文化和社会责任等。

1. 高度重视内部控制建设

高校的内部控制建设如何,领导层起着关键性的作用。这就要求领导层要以身作则,成为内部控制制度的守护神,营造大家都来重视内部控制建设的氛围。首先,领导层必须要让学校的每一个组成人员都能够明确内控制度的目的和意义,使每一个人都能够具有控制觉悟和自觉的控制态度;其次,领导层进行内部控制的态度必须一定要积极主动:第三,必须充分考虑员工的能力与责任要相匹配。同时要时刻关注高校外部环境的变化,加强与政府、社会的联系,强化高校的外部监督机制,构建和谐的外部环境。

2. 建立有效的治理、组织结构

组织结构包括内部机构设置及管理层分工制衡及其在内部控制中的职责权限。建立组织机构,明确责任主体和责任人,其目的是为了进行协调与管理。高校要建立“党委领导,校长管理,教授治学”的内部治理结构,正确处理好学术权力、行政权力和政治权力的关系,处理好决策、行政和监督之间的关系,处理好校院系三级管理者的责、权、利,有助于各种力量之间的协调,从而维护高校发展的基本秩序、提高高校的运行效率、实现学术自由与以人为本的大学理念,进而完成大学的使命。

同时建立能够将学校财务预算层层分解、层层落实的责任中心,其目的是为了实行有效的内部协调与控制,各责任中心是高校内部的组织体系,它既可以是单独的组织机构,也可以是包含在其他组织机构中的承担特定目标和任务的责任岗位。只有将财务预算通过建立责任中心来分解落实高校内部的各个部门、各个层次、各个岗位、各个责任人,使高校的每一个职工都能够明确自己的职责和任务,这样才能实现最有效的内部控制。

3. 人力资源政策

COSO报告特别强调人在内部控制中的作用。内部控制建设的好坏关键在于人才,特别是一些高级管理人才。留住人才,也就留住了根本,因此,我们要树立“以人为本”的思想,将服务理念贯穿于人才管理工作中。要建立科学的聘用、培训、轮岗、考评、晋升、待遇及业绩考评等人力资源管理制度,做到考核及时、奖惩到位,充分激发员工的积极性和责任感。良好的人力资源政策对培养员工、提高员工的素质、更好地贯彻和执行内部控制有很大的帮助。

4. 校园文化

校园文化是指高校在长期的办学过程中创造的物质财富和精神财富的总和。它包括高校物质文化、高校行为文化、高校制度文化、高校精神文化。健康的校园文化崇尚一种严谨务实、开拓创新的思想,能激励师生弘扬传统,增强荣誉感、责任感、使命感,奋发向上的精神风貌,树立一种“校兴我荣,校衰我耻”的氛围。在这种氛围中,上至领导层,下至普通员工,都会自觉维护内部控制制度,并为内部控制建设贡献自己的智慧。校园文化集中体现了“以人为本”的高校人文主义精神,通过培育高校师生员工共同价值观和良好的文化氛围,可以充分发挥校园文化的导向、约束、激励和辐射功能,从而大大提高高校内部的凝聚力和对外界的影响力。

(二)加强风险意识,强化风险管理

风险是一个潜在事项发生对目标实现产生的影响。风险评估是单位及时识别、科学分析经营活动中与实现控制目标相关的风险,合理确定风险应对政策,是实现内部控制的重要环节。随着我国教育体制改革的不断深入,高校所处的内外经济环境发生了很多变化,高校在面对前所未有的发展机遇的同时,不可避免地会遇到各种风险。例如,许多高校只重视学校的扩张,工作重点放在招生人数的增加、校舍建设和其他基本建设的投入上,对盲目扩张、大量贷款的风险没有充分的认识。这种盲目决策行为忽视了内部风险管理,风险意识淡薄,对举债融资的还贷能力缺乏必要的可行性论证,缺乏风险识别、风险预警、风险评估等风险防范措施。对此,高校要有足够的风险管理意识,建立有效的风险管理系统,通过制定与教学、科研、招生、就业、财务等业务相关的目标,设立可辨认、分析与管理相关风险的机制,充分识别各种潜在的风险因素,运用风险应对策略对风险进行全面防范和规避。主要措施有:

1. 建立筹资、投资风险评估制度

目前高校内部所存在的风险主要是财务风险,对于财务风险的控制关键是保证有一个优化的资本结构模式。一个合理的负债规模既要充分利用举债发展来增加对扩大办学规模和提高办学层次的投入又要注意防止过度举债而引起的财务风险增大。因此,建立规范的对外筹资决策机制和程序,通过实行重大筹资决策集体审议联签等制度,加强筹资项目立项、评估、决策、实施等环节上的控制,把风险降低到最小程度。同时充分利用现有的财务和会计数据,系统全面地分析学校的财力,并建立专门的指标体系和预警系统,以便对这些问题做出及时反映,控制财务风险。

2. 建立合同风险控制制度

目前高校在合同管理方面还不够健全,因此,在高校要建立合同风险控制制度,内容包括合同起草、审批、签订、履行、监督和违约时采取应对措施的控制程序,切实减少、防范或避免合同风险发生,同时还要建立现代合同管理制度,对合同实现归口管理,明确责任。财务部门应参与合同风险控制的全过程。

另外,很多高校还存在着内部管理混乱、教育培养成本提高、教育资源浪费、教育质量下降等风险,对于这些内部风险的控制,高校要有足够的风险管理意识,并采取相应的措施,制定各项内部管理制度,设立风险控制点,建立有效的风险管理系统,进行全面的防范和控制。

(三)建立良好的控制活动

高校内部控制建设不是暂时性、偶然性的工作,它需要制度化、规范化的内部控制活动来保障。长期以来,高校的控制活动比较薄弱,内控制度的一些具体规定不科学。例如,重大财务收支活动,没有严格的审批权限,财务人员、监察审计人员不参与或很少参与,导致决策失误;预算执行力度不强,任意调整预算、突破预算,预算的严肃性受到挑战;只重视教学仪器设备的购置,不重视设备的管理、使用等等。制度建设是有效实现内部控制的保证,“以制度管人,依制度行事”应该是现代高校“依法治校”的具体表现,只有制定符合法律法规,具有经济、管理、专业理论依据的完备的、操作性强的内部控制制度,内部控制才有章可循。目前,高校迫切需要加强对以下业务活动的控制。

1. 建立全面预算控制

预算控制是内部控制的重要方面,是高校一切经济活动的指南,学校各项经济活动都必须围绕预算来进行。加强预算控制是高校内部控制的重要环节,由于预算编制涉及面广,必须成立专门的编制预算的委员会,由这一权威层次进行决策、指挥和协调;建立预算工作岗位责任制和授权审批制度,使预算编制、审批、执行、考核等不相容岗位之间能够形成有效的制衡机制;强化预算的编制控制,在科学预测和决策的基础上,制定标准与定额,推行零基预算,审查预算中所列的每一个项目、每一元支出是否合理、必要;预算一经确定,就严格执行,特殊情况需要调整的,必须建立严格、规范的调整审批制度和程序;建立预算执行情况内部报告制度和预算的跟踪、分析、评价制度,比较、分析出现差异的原因,确定责任归属,并采取措施进行控制,确保各项预算的严格执行。

2. 加强实物资产控制

高校实物资产数量多、金额大,分散到学校的教学、科研、服务、管理等各个领域。长期以来,高校总是把教学、科研放在首位,在资产管理方面比较薄弱,缺乏控制意识,控制制度不健全,“重投入,轻管理”,造成了资产流失、闲置、浪费,许多高校存在不同程度的账实不符的情况。高校必须贯彻财、物并重的原则,强化实物资产管理意识,建立资产管理的岗位责任制度,确保不相容岗位相互分离、制约和监督;建立资产管理的业务流程,明确资产的取得与验收、日常保管、处置与转移等环节的控制要求;建立资产验收制度,加强资产的日常保管控制,建立资产分级管理制度、卡片管理制度、维修保养制度、清查、盘点和处置制度,从而对实物资产的全过程进行管理和控制。

3. 加强学费收缴控制

收费工作是高校内部控制的一项重要内容,高校要建立由财务处、学生处、教务处及各学院组成的收费管理体系,明确各部门岗位的责职,建立收费系统维护、应收款编制、款项收取、稽核检查等不相容岗位的相互制衡机制;加强学费收、缴、记的会计控制,对每位学生从入学到离校的应收、已收、已退、欠费等进行全过程的跟踪控制,避免和减少恶意逃费的损失,防范收缴学费过程中的舞弊行为;建立学生收费系统与教学管理信息系统相连接,实现信息资源的共享。

另外,加强成本费用控制,进行教育成本核算。

(四)加强高校信息与沟通

高校组织机构过于庞大、层次过多,因此存在信息沟通渠道不畅通、沟通不及时、沟通机制不健全等情况。在成本效益原则下,为避免人力成本的大幅增加同时又能提高工作效率,高校可以借助于以高校财务管理信息系统为中心的高校信息管理系统平台,利用各信息管理系统之间信息交流沟通协调渠道,建立高校内部控制框架体系。通过框架体系的有机运转将各环节具体的内部控制内容和措施贯彻到高校信息管理系统中的各个内部子系统中去,从而形成一个运转有序流畅的高校内部控制有机整体,借助信息化手段,建立在以高校财务信息系统为中心、其他管理系统环绕的高校信息管理系统,实现多系统的数据共享。使每个人均了解内部控制的有关方面及其在处理业务时所处的地位、应承担的责任和与他人工作的相关性,都清楚在各种情况下应做什么和怎样做、不该做什么和不该怎样做。

(五)加强监督控制

建立高校内部和外部相结合的监督检查体系是高校内部控制实施的重要保障。内部监督是高校对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,对于发现的内部控制缺陷及时加以改进,是实施内部控制的重要保证。高校应逐步完善内部控制监督制度,在机构设置上,设立独立的内部审计机构。内部审计机构是强化内部控制制度的一项基本措施。内部审计工作的职责不仅包括审核会计账目,还包括稽核、评价内部控制制度是否合理、健全、有效,确定有关经济资料的真实性、准确性,业务活动的合规性和效益性,评价内部控制目标是否完成,及时向管理层揭示、反馈学校当前管理工作中的主要风险、薄弱环节与制度缺陷,并提出相应的改进建议。

COSO内部控制框架 篇8

内部控制这个概念由来已久, 但是直到20世纪80年代美国爆发了储蓄和信贷机构崩溃事件, 财务丑闻发展到了极致, 才使人们感到对内部控制的理解和研究还不够。1992年9月美国“反对虚假财务报告委员会” (即COSO委员会) 对内部控制提出专题报告:《内部控制—整合框架》, 1994年又提出了该报告的修简篇。纵观内部控制的发展历程, 我们大致可以分为五个阶段:

(一) 内部牵制阶段

内部控制最初为内部牵制, 其主要特点是以个人或部门不能单独牵制任何一项或一部门业务权力的方式进行组织上的责任分工, 从而使业务权力通过发挥其他个人或部门的职能进行交叉检查或交叉控制。

(二) 内部控制制度阶段

20世纪中叶以后, 内部牵制已经发展成为内部控制。内部控制是指一个单位的各级管理层为了保护其经济资源的安全、完整, 确保经济和会计信息的正确可靠, 协调经济行为, 控制经济活动, 利用单位内部分工而产生的相互制约、相互联系的关系, 形成一系列具有控制职能的方法、措施和程序, 并予以规范化、系统化, 使之成为一个严密、较为完整的体系。

(三) 会计控制、管理控制阶段

内部控制制度发展到后来, 分为内部会计控制 (Internal Accounting Control) 和内部管理阶段 (Internal Administrator Control) 两类, 有的学者也称之为“两点论”。内部会计控制是指与保护财产物资的安全性、会计信息的真实性和完整性以及财务活动合法性有关的控制;管理控制是指保证经营方针、决策的贯彻执行, 促进经营活动经济性、效率性、效果性以及实现经营目标有关的控制。我们可以看出, 在这一阶段内部控制既继承了传统内部控制的职能, 又向决策制定科学化与贯彻有力化方向发展。

(四) 内部控制整合框架阶段

随着现代公司经营向国际化、全球化、多元化经营方向发展, 以“自控制”为基础的组织战略性整体控制成为后工业化时期内部控制发展的方向。“自控制”是相对于“他控制”而言, 即改变传统由外界施加影响、保证目标实现的控制方式转变为企业内部各职能部门之间建立决策制定、风险防范联合机制的内部控制模式转变。

(五) 全面风险管理框架阶段

《内部控制——整合框架》对提高企业内部控制水平有着重要的作用。但是, 由于以下缺陷的存在:过分依赖财务报告、自身利益和公众利益的冲突、判断依据不充分等, COSO 委员会在2004 年发布了《企业风险管理—整合框架》 (以下简称风险管理框架) 。该框架对风险管理的定义表述是:风险管理是一个过程, 它由公司董事会、管理层以及其他员工执行, 适用于公司战略的制定和整个公司范围, 用来识别可能对公司产生影响的潜在事项, 并将风险控制在企业可以承受的水平以内, 为公司目标的实现提供合理保证。

二、内部控制与风险管理的内在联系与区别

(一) 内部控制与风险管理的联系

1992年美国COSO委员会对内部控制的定义是:内部控制是一个为下列各目标之达成提供合理保证的过程: (1) 营运之效果及效率; (2) 财务报告之可靠性; (3) 相关法令之遵循。风险管理是通过对企业生产经营过程中存在的风险采取相应防范措施, 把风险消除在萌芽之中或降低到可供接受的风险水平之内。内部控制整合框架是包含在企业风险管理中一体化的部分, 而企业风险管理又扩大了内部控制整合框架的范围, 以建立一个对风险更加关注的、更强大的概念体系。由此可见, 内部控制和风险是一个相辅相成的概念, 其共同点主要表现为以下几个方面:

1.目标一致

内部控制和风险管理都致力于提高企业经营效率和效果, 根本作用都是维护投资者利益、保全企业资产, 并创造新的价值。内部控制通过对企业治理层权力的制约与平衡, 实现公司决策科学与合理, 而风险管理通过内部决策的制定与审核, 绩效的调查与评估来发现对目标实现有潜在影响的不利因素或机遇, 以掌握主动权, 提升企业防范风险、抓住机遇的能力。

2.参与角色相同

内部控制和风险管理的主体都是公司治理层。其中, 董事会负责战略目标的制定, 识别风险、制定风险应对策略是经理层的主要任务, 政策的执行是运营层的职责。内部控制和风险管理都要求企业上下齐心合力, 协调一致, 从全局出发, 从组织、制度上做好风险应对和防范措施。

3.体现主动应对风险

二者都强调要积极预防风险, 只是内部控制着眼于企业制度建设层面, 从日常经营管理中防范风险, 而风险管理应用于战略制定与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风险, 发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致, 将风险与增长及回报统筹考虑, 促进应对风险的决策, 减小经营风险与损失, 识别与管理企业交叉风险, 为多种风险提供整体的对策, 捕捉机遇以及使资本的利用合理化。因此, 二者都不是风险厌恶性管理理念, 都强调积极防范风险, 充分利用风险中可能存在的机遇。

(二) 内部控制与风险管理的区别

风险管理是在内部控制基础上对风险识别和应对采取的一系列专门管理机制, 通过风险识别机制、风险预警机制、风险处理机制把对企业的生存发展存在影响的各种风险及时识别, 并采取积极的措施消除风险, 利用危机。因此, 风险管理和内部控制的区别表现为以下方面:

1.侧重点不同

内部控制更加侧重内部组织、人员之间的牵制, 而风险管理通过宏观经营形势的识别, 关注对企业可能存在风险或者机遇的事件。

2.要素构成不同

企业风险管理框架在内部控制的基础上, 新增了目标设定、事件识别和风险反应三个要素, 控制环境要素也改成了内部环境。这样就丰富了风险管理的内涵, 还体现风险管理从识别、预警到应对处理的过程。

3.对待风险的理念有差异

风险管理强调从宏观环境、企业全局的角度关注风险, 统筹事件之间的相互影响, 综合考虑风险应对措施。企业内部控制从公司治理的角度, 通过部门之间权力的制约与监督防范风险。因此, 风险管理在对待风险上比内部控制更加主动, 更加有针对性, 它要求按照风险组合与整体管理的思路, 综合考虑风险事件之间以及风险对策之间的交互影响, 统筹制定风险管理方案, 这些内容都是内部控制做不到的。

三、完善内部控制, 加强风险管理

目前我国内部控制建设虽已取得重要成果, 具备相当规模, 但仍有诸多不完善之处。下面就完善内部控制、加强风险管理提出几点建议。

(一) 股权结构改革

我国上市公司股权结构中“一股独大”现象非常普遍。以国有投资者为主体的股权人在缺乏制约机制的情况下, 自觉或不自觉凌驾于内部控制之上, 使内部控制成为“内部人控制”。需改善持股比例, 形成适当的股权结构。

(二) 加强董事会的建设

董事会是联系所有者和经营者的纽带, 也是内部控制的最高层次。能否建设独立性、专业性都比较高的董事会, 对内部控制是否有效至关重要。董事会成员应具有与其职务相适应的知识、才能与经验, 而且还应注意管理的适当程度, 才可能更有效地履行其监控、引导和监督的责任。吸引一定比例的独立董事, 可提高董事会素质, 避免“一言堂”的现象;在董事会下设立审计委员会、提名委员会、法律委员会等专业性决策机构, 可提高董事会的作用与效率。

(三) 突出预算管理

预算管理是内部控制的一个重要方面。通过预算分析, 不仅可以发现内部控制或信息记录方面存在的缺陷, 警示需要采取改进措施的领域, 对内部控制起监控的作用, 而且还能将企业的目标及其资源的配置加以量化, 使之得以实现内部控制活动, 从而保证经营目标的实现。目前全面预算管理已成为企业加强内部控制的重要手段。

(四) 注重内部审计的作用

在现代风险管理进程中, 内部审计部门依据内部控制, 确定审计项目, 以现代企业进行的所有降低和防范风险的活动为测试重点, 评价内部控制体系降低和防范风险的充分性和有效性, 并提出恰当的完善和健全内部控制体系建设的一种方法。国外许多现代企业成功的内部审计实践证明, 以提高企业风险管理水平为目的而实施的以内部控制为导向的内部审计, 为内部审计人员参与风险管理提供了基础, 促进了内部审计与现代企业风险管理要素的结合, 并已经为现代企业管理当局所接受。

(五) 建设优秀的企业文化

提高员工道德修养和建设企业文化是对于企业的软控制。它虽然无形, 却影响着企业的一切经营活动。道德及价值观是构成控制环境的基本要素, 并且影响其他内部控制的组成要素的设计、执行和监督。建设以诚信为本的企业文化, 加强员工的道德修养, 可以降低共谋或滥用职权而造成的内部控制失效。

参考文献

[1]孟焰, 潘秀丽.企业风险管理审计研究[J].审计研究, 2000, (5) .

[2]吴秀波.企业风险管理框架下对企业内部会计控制基本规范的思考[J].审计与经济研究, 2006, (2) .

[3]谢志华.内部控制、公司治理、风险管理:关系与整合.会计研究, 2007, (10) .

[4]周兆生.内部控制与风险管理[J].审计与经济研究, 2004, (4) .

[5]朱荣恩, 贺欣.内部控制框架的新发展——企业风险管理框架[J].审计研究, 2003, (6) .

COSO内部控制框架 篇9

2013年5月COSO正式发布了新整合框架, 该框架较1992版的整合框架相比, 在反映经济环境变化的前提下, 对构成要素、报告目标方面作了如下调整:

1.1 经济环境的变化

新整合框架开门见山地就提出了对其进行修订的客观必要条件就是使其适应日益变化的商业运营环境。COSO自1992年9月发布《内部控制———整合框架》以来已有近22年的时间, 在这过去的二十多年里, 世界经济环境发生了翻天覆地的变化, 主要体现在以下三个方面:一是科学技术的进步。科学技术迅猛发展, 科技已真正成为了推动经济发展的第一生产力;经济全球化进程日益加快, 互联网已成为世界经济发展不可或缺的大平台;科技应用环境千变万化, 已由以往简单集成的应用环境逐步过渡到高端、复杂、移动的应用环境。总之, 科技进步势必影响到内部控制整合框架的构成要素。二是商业模式的改变:随着科技的发展和经济全球化的推进, 经济竞争愈演愈烈, 传统创造企业价值的商业模式已不适应现实经济环境的变化, 新的商业模式层出不穷, 形式各异, 不同的商业模式下内部控制的有效性亦不同。三是治理和监管环境的变化:随着经济发展, 企业组织结构愈来愈复杂, 诸如:董事会、战略管理委员会、内部审计委员会、内部治理委员会等在企业发展中发挥了极其重要的作用, 与此同时内部控制作为公司治理的重要组成部分势必也要随之发生改变。此外, 利益相关者为了保护自身利益也想通过内部控制加强对公司运营的监管, 而诸如政府部门及行业协会等外部监管部门亦想通过内部控制加强对企业的外部管理。因此治理环境及内外部监管环境的变化促使内部控制也应适应环境的变化而变化。

1.2 构成要素的调整

尽管COSO在反映了上述环境变化的同时保留了原框架下内部控制的基本定义和五大要素, 但新内部控制整合框架在其基础上以原则为导向, 从原有内控五大要素中提炼出了17项具体原则及支持每项原则的81个属性, 这是新框架的最大亮点。五大要素及其对应的原则和属性分布如下:与控制环境相关的原则有5项属性有21个, 与风险评估相关的原则有4项属性有19个, 与控制活动相关的原则有3项属性有16个, 与信息和沟通相关的原则有3项属性有14个, 与监控活动有关的原则有2项属性有11个。以控制环境为例说明内控要素及其对应的原则和属性:与控制环境相关的原则有5项, 分别为:对诚信和道德价值观的承诺;董事会对内控负有监督责任;建立相应的组织机构、授权和责任;承诺具有相应的胜任能力;考核内控目标责任。其中第一条原则对应如下四个属性:设定高层基调、制定行为准则、评价准则遵守程度、及时调整偏差。由此可见, 原则是对构成要素的进一步明确化和具体化, 而属性又是对原则的进一步解释和说明。总之, COSO对内控构成要素的调整使其结构更合理、内容更丰满、参考性更强、操作性更明确。

1.3 报告目标的扩大

新旧内控框架均将内部控制目标划分为三大类:经营目标、报告目标和合规性目标。新内控框架对经营目标和合规性目标未作调整, 但与旧框架在设定报告目标时仅仅要求合理保证财务报告的准确性和可靠性相比, COSO在更新的三维框架中扩大了报告目标的类别, 具体包括外部财务报告目标和外部非财务报告目标, 内部财务报告目标和内部非财务报告目标:外部财务报告目标与旧框架中对财务报告目标的界定基本相同, 主要是基于监管环境的变化和相关利益者决策的需求而对外披露的年度财务报告、中期财务报告和其他相关财务公告等;外部非财务报告目标主要是为了满足国家相关法律法规的要求, 主要包括内部控制审计报告、内部控制评价报告、可持续发展报告、环境报告、质量管理报告等;内部财务报告主要是基于为公司内部管理层决策需要而提供的财务信息, 具体包括财务报告、预算报告、银行借款、现金流等;内部非财务报告是为管理层提供的非财务信息, 具体包括股东大会报告、董事会报告、人力资源分析报告、客户满意度调查报告等。

2 对我国内部控制建设的启示

我国的内部控制建设在立足本国国情的前提下借鉴了许多国际先进经验, 因此COSO这次对内部控制整合框架的修改和完善也将对我国的内部控制建设产生深远影响, 对此本人有如下三点启示:

2.1 继续不断推进和加强内部控制制度建设

2008年5月22日, 财政部会同证监会、审计署、银监会和保监会 (以下简称五部委) 联合发布了《企业内部控制基本规范》 (财会[2008]7号) ;为保证该规范的顺利实施, 五部委于2010年4月15日再次联合发布了《企业内部控制配套指引》 (财会[2010]11号) ;结合上述企业内部控制规范及其配套指引实施中出现的具体问题, 相关部委也陆续发布了《企业内部控制规范体系实施中相关问题解释第1号》、《企业内部控制规范体系实施中相关问题解释第2号》、《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》、《关于加快构建中央企业内部控制体系有关事项的通知》等一系列文件;为进一步宣传贯彻企业内部控制规范体系, 在全社会普及内部控制相关知识, 好地推动企业内部控制规范体系的广泛实施, 财政部印了《关于开展企业内部控制知识竞赛活动的通知》 (财[2013]13号) , 决定2013年8月1日至2013年10月3日举办全国企业内部控制知识竞赛。综上所述, 近年来, 财政部的带领和引导下, 我国正日益加快企业内部控制度建设步伐, 面对COSO对内部控制整合框架的新改变, 我们应一如既往, 在立足本国国情的前提下, 积极认真学习新整合框架的具体内容并为之所用。

2.2 把内部控制体系建设和信息系统搭建结合起来

当前, 我国很多企业存在内部控制体系建设和信息系统搭建“两张皮”的现象, 好多企业的内控体系建设仅仅停留在制度层面, 并没有进行相应的流程化和信息化, 为此, 企业应当利用计算机和通信技术等, 对内部控制进行集成、转化和提升, 这不仅可以促进内部控制的有效实施, 而且可以提高企业的现代化管理化水平, 减少人为操纵因素带来的弊端。对此, 企业应当利用信息系统平台执行内控, 具体流程如下:首先结合公司实际情况制定相关的内部控制制度, 其次将相关内控制度流程化, 再次将流程化的程度信息化, 最后将内部控制制度固定化。

2.3 加强培养内部控制人才

随着内部控制体系建设步伐的日益加快, 企业面临着内控人才缺乏的严重现状, 为此, 一方面企业要通过培训、会议等方式加强对内控人才的培养, 另一方面, 从事相关内控业务的人员也应当自觉学习相关理论知识, 不断提高自己的业务水平和业务能力, 为企业内控建设向更快更好的方向发展储备人才基础。

参考文献

[1]企业内部控制整体框架 (征求意见稿) .www.coso.org, 2012-05-18.

[2]董秀琴.COSO内部控制框架最新进展及评价[J].财会通讯, 2013 (3) .

COSO内部控制框架 篇10

随着国家医疗卫生体制改革的深入,传统的公立医院在经营管理方面正面临巨大变革。从行业层面看,提高医院运营效率是公立医院改革的主要目标之一。从公立医院面临的内外部环境看,近几年国家正逐步减少对公立医院的财政投入,转向重点扶持县级以下和社区医疗机构建设。从医疗市场来看,医改明确提出鼓励民间资本进入医疗市场,这对公立医院形成不小的冲击。因此,公立医院必须建立现代医院管理体制,完善内部控制体系,才能保证自身的可持续发展,实现“优质、高效、安全”的医院运营目标。

2012年11月,财政部下达了《行政事业单位内部控制规范(试行)》(以下简称《内控规范》),要求包含公立医院在内的所有行政事业单位自2014年1月起全面实施内部控制,对单位层面和业务层面的内部控制提出了明确要求。2015年11月,财政部再次下达了《关于全面推进行政事业单位内部控制建设的指导意见》,强调内部控制是保障组织权力规范、有序、科学、高效运行的有效手段,也是组织目标实现的长效保障机制。相关文件的出台为公立医院内部控制体系建设提供了制度保证。

本文基于COSO内部控制框架五要素,结合公立医院内部控制现状,剖析其存在的问题,继而逐一提出改进举措。

二、公立医院内部控制现状及存在的问题

根据内部控制五要素理论,针对公立医院内部控制现状及其存在的问题,从内部环境、风险评估、控制活动、信息与沟通、监督五个方面展开阐述。

(一)内部环境

笔者分别从产权关系、治理结构、人力资源政策、职业操守及价值观等要素分析公立医院内部环境,目前主要存在以下几个方面的问题:

1. 产权关系方面。

公立医院资产属于国有资产,卫生主管部门代表国家行使医院所有权,医院的人事、行政管理、监督也都由卫生主管部门履行,即所谓的“管办合一”管理模式。这种模式下医院没有自主经营权,容易导致出资人缺位、执法不公、监督机制失衡、效率低下等问题。

2. 治理结构方面。

公立医院实行的是院长负责制,大多采用集权式的领导方式。医院高层领导绝大多数都是医疗专家,相对缺乏经营管理知识和经验,市场风险防范意识不强,而公立医院面临的市场环境日益复杂,传统的专家管理模式已不能适应医院的发展。虽然大多数公立医院按照要求设立了院长办公会及纪委监察部门,但在现有管理体制下尚未充分发挥作用。

3. 人力资源政策方面。

公立医院人事部门职能定位仍然局限于传统的人事档案管理、人员工资管理、职称晋升管理。在内部绩效考核方面,没有建立科学、规范的绩效考评体系,人浮于事,“大锅饭”、“平均主义”现象严重,缺乏对职工的有效激励。近年来医院粗放式规模扩张,大量招聘人员,缺乏合理的人才选拔制度,导致人员结构失调,许多机构人员冗余,人力成本负担加重,直接影响医院的运营效率。

4. 职业操守及价值观方面。

近年来,公立医院“趋利”经营情况普遍,大多数医院以创收为导向,内部绩效考评多以业务收入为主要指标,形成了过分注重经济效益和个人利益至上的医院价值观。“大处方”、“红包”、“回扣”成为医院公开的秘密,全国多位公立医院院长因经济问题被查处,“弘扬人道”、“救死扶伤”的价值观被扭曲。

(二)风险评估

按照《内控规范》的要求,公立医院应对经济活动中存在的风险进行识别和分析,目前公立医院风险评估主要存在以下两方面问题:

1. 控制目标缺乏。

公立医院的定位决定了其运营既有公益性又有经济性的特点,因此,管理过程中容易出现政事不分的问题。当前大多数公立医院尚未制定明确的经济活动目标,当然就谈不上辨识影响目标达成的各类风险。

2. 在风险识别、风险分析和风险应对方面,普遍缺乏相应的风险管理能力。

公立医院缺乏专业的经济管理人才,工作人员通常对风险的识别和分析能力较弱,对可能发生的风险不够重视,一般在风险发生后才采取应对措施。所以公立医院对风险的反应具有严重的滞后性,采取的应对措施不具针对性,也加大了风险的影响程度。

(三)控制活动

公立医院控制活动应涵盖全部经济活动,本文根据重要性原则,从公立医院经济活动中的预算业务、医疗收入、货币资金、实物资产四个重点方面,对其现状加以分析。

1. 预算业务控制方面。

预算是公立医院开展财务工作的基本依据,在医院内部具有法定效力,主要在预算编制、执行、评价等几个环节存在以下问题:

(1)预算内容局限于业务收入和支出,一般尚未编制业务预算、资本性预算和筹资预算。

(2)预算编制缺乏全员尤其是业务部门的参与,多由财务部门独立完成,导致预算编制数据不合理,最终执行结果与预算往往存在较大偏差,无法发挥预算的计划功能。

(3)预算执行缺乏刚性约束,预算内项目支出配额互相挪用情况普遍存在,超预算时,执行的预算调整程序不规范,随意调整预算,无法通过预算实现经营业务管理的目标。

(4)缺乏预算分析,导致预算出现问题时无法及时纠偏。

(5)缺乏预算结果的绩效考核机制,导致无法合理调配资源,成本支出浪费严重。

2. 医疗收入控制方面。

医疗收入是医院最为重要的收入来源,一般占到医院收入的90%以上。根据医院业务性质,现金交易量大、交易频次高是其主要特点,同时挂号、缴费、退费会涉及病人及家属、临床医技科室人员、财务收款人员等多个部门和多种岗位人员。绝大多数公立医院虽然已经开始使用HIS(医院信息系统)对医疗收入进行电算化管理,但实务中仍然存在如下问题:

(1)结算岗位设置不合理,收款员既负责收费,又办理退费,未体现收支两条线原则,再加上缺乏对收费、退费活动的监督控制,导致舞弊或错误风险。近年来曝光的医院结算人员贪污案件,很多都是在岗位设置上出现了问题。

(2)医疗收费最大的特点是执行政府定价,所有收费项目都必须严格执行物价部门制定的收费标准。而不少医院为牟取经济利益,通过擅自提高收费标准、私自套用收费项目、多记收费频次等各种形式违规收费,使医院面临物价罚款和社会声誉降低的风险。

(3)部分医院医疗收费未统一由财务部门管理,主要表现为部分临床医技科室私自收取病人费用不上缴财务部门,私设“小金库”。

(4)结算票据和印章管理松散。结算票据管理方面,对票据发放至收款员后的使用过程的监督工作不到位,大量空白票据留存在收款员个人手中,HIS系统未对收款与票据打印进行限制,存在收款不出票的程序漏洞;印章管理方面,部分医院印章长期不清理,收款员随意盖章,甚至出现医院收款员未收款就随意盖章允许病人取药、检查的情况。

(5)医疗退费手续不健全,而财务部门又缺乏相应的稽核机制,造成医疗收入损失。门诊退费员可在无相关审批、无结算票据的情况下随意退费,大多数医院由护士兼任住院退费记账员、退费员,其权限过大,可在HIS系统内随意退费,财务部门也无退费稽核程序。

3. 货币资金控制方面。

医院存在大量的资金收支业务,且涉及人员多、交易场所分散,货币资金相关管理岗位是舞弊和贪污等问题的多发区域,主要存在以下问题:

(1)部分医院稽核岗位与收款岗位实际上没有分离,不符合不相容岗位相分离原则。医院收款员利用收款系统漏洞截留营业款、私自利用个人信用卡套取病人缴纳现金的违法违规情况时有发生。

(2)部分医院的资金收支审批权限设置不合理、程序不严格,存在未审批即付款的漏洞。

(3)部分医院缺乏对关键岗位工作人员(如现金出纳、收款员)的监督管理。

4. 实物资产控制方面。

公立医院实物资产主要包括药品、医用耗材、设备等,管理中主要存在如下问题:

(1)资产配置环节。采购前,医院普遍缺乏采购论证,造成诸如库存占用资金大、资产闲置等问题。

采购中,部分医院HIS系统物资管理权限设置不合理,科主任、采购员、保管员均具有出入库、调价等操作权限,容易导致商业贿赂,致使医院高价购入设备、耗材,给医院造成经济损失。

验收环节,缺乏严格的验收程序,验收走过场,一般仅仅是使用科室签字即算完成,对精密、贵重的医疗设备没有具备专业资质的技术人员进行技术鉴定,采购不合格资产的情况时有发生。

(2)资产领用环节。资产领用审批不严格,库管人员随意发放物资,登记不及时、不准确,使得实际领用科室与系统领用登记科室不匹配,给后期资产核实造成极大困难。

(3)资产保管与使用环节。药品是占用医院资金最大的流动资产,大多数医院由药剂部门负责管理药品实物,财务部门负责账务处理,药品实物管理存在白条借药、熟人随意换药等情况,直接导致药品“账实不符”。

耗材管理方面,医院大多未在科室建立二级库房,而采用“以领代支(耗)”的方式核算科室材料使用,这样的核算方式无法真实核算科室材料的使用数量,导致科室耗材成本数据失真;材料发出至科室后,其使用和流转过程未被监督,浪费严重,甚至有医院出现过科室变卖耗材的情况,医疗成本失控;对高值耗材的使用未进行追踪管理,容易造成医疗安全隐患。

(4)资产处置环节。国家对公立医院资产处置有严格的管理规定,必须遵循公开、公平、公正和竞争、择优的原则,严格履行审批手续,并对处置资产取得的收入按照政府非税收入的管理规定实行“收支两条线”管理。实际工作中,很多医院随意处置资产,如自行捐赠、变卖、处置资产,收入自行留用的情况较为普遍。

(5)资产盘点制度未落实,缺乏账实核对程序。以药品为例,医院药房缺乏有效的存货盘点机制,存货盘点通常由实物管理人员自行负责,财务部门、内部审计部门极少参与,存在舞弊风险。

(四)信息与沟通

公立医院通过信息与沟通活动,可以促进部门间的沟通与协调,有利于相关部门提升工作效率。实际工作中主要存在以下问题:

1. 信息化程度较低。

大多数医院虽然建立了HIS系统,但仅仅只是替代了手工操作,信息化功能未充分发挥。

2. 非正式沟通方式使用较多。

医院信息传递多使用口头传达和自上而下的方式,容易造成信息失真。部分医院正式沟通渠道不畅,很多工作依赖非正式沟通,沟通效率低下。

(五)监督

恰当的监督有利于及时发现内部控制设计和实施中的问题和薄弱环节,并及时对其进行改进,确保内部控制体系有效运行。目前公立医院的内部监督的执行力度普遍较弱,主要表现为:

1. 审计部门职能弱化。

实施内部监督的主体内部审计部门的人员配备相对不足,人员素质无法达到实施内部控制的要求,且内部审计主要工作重心集中于工程项目审计,审计部门的内部监督职能大都未能体现,审计部门未发挥应有的监督作用。

2. 内部审计独立性较差。

在传统组织架构下,内部审计独立性无法保证。

三、内部控制改进建议

针对上述公立医院内部控制中存在的问题,为保证公立医院内部控制目标的实现,现围绕内部控制五要素逐一提出改进举措。

(一)优化内部控制环境

1. 探索建立公立医院“管办分开”管理机制,建立明晰的产权关系。

新医改明确指出要建立“管办分开”的公立医院管理体制,如上海市通过成立申康医院发展研究中心改革公立医院产权关系。该中心作为市级公立医疗机构国有资产投资、管理、运营的责任主体和政府办医的责任主体,主要负责资产管理、规划以及院长绩效考核,强化外部监督和评价功能;上海市卫生计生委只作为主管全市卫生工作的政府职能部门,负责卫生行业管理;公立医院作为独立法人单位拥有自我管理、自我发展的自主经营权。通过这一创新模式,公立医院产权关系得以明晰,政府办医政策得以落实,也保证了公立医疗机构的经营效率、医疗效果,体现了公立医疗机构服务社会的非营利性本质。

2. 优化法人治理结构。

充分发挥院长办公会的决策职能,严格执行“三重一大”民主讨论、民主决策的议事规则,同时应选聘懂经营、善管理的人员作为总会计师进入决策机构,充分发挥其经济管理职能。

3. 大力弘扬医务人员“救死扶伤”、“人道主义”的医学精神,建立正确的公立医院价值观。

政府应提高对公立医院的财政补助水平,让医务人员获得与付出成正比的“阳光薪酬”。如国家卫生计生委组织的委预算管理医院经济管理绩效考评中专门引入了公益性指标,在引导医院回归公益性方面取得了良好的效果。

4. 强化公立医院人事管理。

医院内部应实行以劳动服务量、公益性、服务满意度为主的综合绩效考评制度,调动职工积极性,避免单纯考核经济指标的弊端。如华西医院进行全院定编定岗、按岗取酬的制度探索,武汉协和医院引入平衡计分卡、KPI等绩效考核工具加强对医院运营情况的综合考评等,这些医院均在人事管理方面做出了积极的尝试。

(二)建立风险评估机制

1. 公立医院应根据开展的各类经济活动逐项确定控制目标,且应与内部控制整体目标一致。

需要注意的是,行政事业单位经济活动控制目标最终是提高公共服务的效率和效果,而不能以营利为最终目标。

2. 提升公立医院风险识别、风险分析和风险应对能力。

医院应加强对经济管理人员的培训和培养,由内部控制职能部门或牵头部门选派熟悉内部控制制度的人员对医院层面和业务层面的风险进行全面梳理、及时识别,系统分析与控制目标相关的风险,合理确定风险应对策略。如武汉协和医院针对财务风险,编制了财务部门内部所有岗位的风险点及风险控制措施指导手册,并定期开展交叉监督检查。

(三)强化控制活动

针对第二部分中控制活动方面存在的各类问题,下文将在预算业务控制、收入控制、货币资金控制、实物资产控制等方面逐一进行改进。

1. 预算业务控制改进。

下文分别从预算编制、预算执行、预算分析和预算绩效考核等几个方面进行论述。

(1)在预算编制时应以医院战略为导向,以医院发展规划和年度工作计划为依据,综合考虑近年来的收支情况,医疗服务收费价格调整情况,采用零基预算、弹性预算等方法,编制业务预算、财务预算、资本预算及筹资预算等医院全面预算。

(2)预算管理应强调全员参与。如武汉协和医院通过构建多层级的预算组织结构,主要包括临床科室、职能部门、预算工作委员会、院长办公会以及职工代表大会几个层次,借鉴财政预算的“二上二下”流程,提高预算的全员参与程度,提高预算编制的准确性。

(3)加强预算控制。为提高预算执行刚性,应加强医院预算信息化建设,规范预算调整程序,将预算管理融入业务流程,从事前、事中、事后全程加强预算控制,减少人为操作。

(4)加强预算分析。建议设立预算管理员岗位,负责对预算执行情况定期分析、检查,尤其是对未完成预算的项目,从政策变化、环境和条件因素、决策、管理等方面进行分析,提出相应解决办法,及时纠正预算执行过程中的偏差。

(5)重视预算绩效评价。预算管理的最终落脚点是预算绩效,为提高预算绩效,建议在预算编制时设定绩效目标,在年度终了或重大项目实施一段时间后,进行预算绩效评价,从而促进医院发展战略达成。通过开展预算绩效考评,能够合理调配各种资源,找准成本控制点,减少浪费,继而减轻病人负担,实现社会效益和经济效益的“双赢”。

2. 医疗收入控制改进。

为加强医疗收入管理,避免收入流失,医院应采取的主要措施有:

(1)合理设置结算岗位。如设置独立的退费窗口,不经办收费业务,只负责办理退费审核,并选派责任心强、职业素养高的职工负责该项工作;设立医疗收入后台稽核岗位,建议设置三级收入复核制度,每日由复核人员对收入、票据、退费等医疗结算业务结合不同侧重点进行审核,及时发现问题,堵塞漏洞。

(2)严格执行政府定价,杜绝违规收费行为。可在财务部门下设立专门的物价管理岗位负责医院所有医疗收费项目管理,系统管理收费项目并统一标准,定期开展物价自查,确保各项医疗收费符合国家物价规定。

(3)医疗结算应统一由财务部门管理,在财务部门下设医疗结算室,专门负责医院所有门诊、住院病人费用结算,并由财务部门统一进行会计核算,严禁设立账外账,杜绝私设“小金库”。

(4)加强医疗结算信息系统安全管理,提高系统安全等级。如武汉协和医院通过限制系统管理员进行前台操作,利用指纹登录方式取代传统的密码登录,建立系统授权机制,通过增加系统操作日志对所有系统操作留下操作痕迹等方式确保系统安全。

(5)加强票据和印章管理。票据管理方面,财务部门应设立专门岗位对票据的申领、启用、核销、销毁进行管理,对于医疗结算票据建议由专人在信息系统进行票据维护后收款人员方可使用,通过信息系统监控票据使用情况,实现系统自动核销票号,减少手工登记程序;在印章使用管理方面,可依托信息系统加强监控,病人缴费成功后,信息直接传递给相关科室,相关科室通过系统核对盖章后的单据,确认无误之后方能发药、检查治疗,杜绝随意使用印章风险。

(6)建立严格的退费审批环节,加强退费的后台稽核,杜绝“人情”退费。门诊退费方面,必须由医生签名并写明退费原因,同时将结算信息系统与相关检查、治疗科室业务系统联网进行控制,相关科室在系统内取消执行后,财务人员才能办理退费;住院退费方面,建议由财务部门统一管理病房记账人员,记账、退费都执行统一的标准和规范,同时在财务部门设立专职住院病人退费审核岗位,主要职责是动态监督病房退费操作。

(7)加强应收款项的管理。财务部门应定期对医疗收入分类账进行账龄分析、对账,判断是否有异常情况,定期检查医疗收入是否及时、足额收回,对应收未收的医疗收入应及时查明原因,并指派专人负责催收。

3. 货币资金控制改进。

(1)以既方便病人就诊缴费,又要确保货币资金安全,避免货币资金被盗窃、挪用等情况发生为原则,武汉协和医院在货币资金内部控制上进行了如下改进:强化工作日关窗口结账制度,每日安排专人核对HIS系统结账总数和实际现金结余数,确保账实相符,收款员每日将营业款及时足额上缴;与银行合作建立上门收款制度,当日营业款当日全部缴存银行;将单机刷卡POS系统改为联网MIS系统,杜绝收款员刷卡套现;同时在所有收款窗口加设监控探头,增设保险柜用于存放备用零钞,备用金库24小时110联动,确保结算资金安全。

(2)严格执行业务部门审批、会计审核制证、出纳付款、主管二级复核程序,确保不相容岗位分离。

(3)对于涉及货币资金业务岗位,如现金出纳、收款员岗位,首先应加强人员准入方面的管理,选派合适人员从事相关岗位工作。另外,除建立货币资金的定期盘点清查制度,还应加强不定期的专项交叉检查工作,及时发现漏洞,督促相关人员及时整改。

4. 实物资产控制改进。

公立医院应专门成立国有资产管理部门,统一管理实物资产,定期组织全院范围的清产核资,摸清医院的家底。同时还应加强资产管理部门和财务部门之间的信息交流,使双方数据保持一致。具体改进措施如下:

(1)资产配置环节。加强资产采购前的评估分析,并严格执行预算、计划、审核、采购流程,杜绝采购的随意性。

以药品库存管理为例,财务部门应积极参与数据测算,协助药剂部门合理确定采购批量,提高药品周转次数,减少药品资金占用,降低库存药品储存成本和机会成本。

在资产采购过程中资产入库、保管、付款、验收等岗位严格分离,并相互牵制,避免因个人权限过大引发的舞弊行为。

验收环节应根据采购项目确定验收方式,大型设备应由具有相关质量检测资质的机构办理验收程序。

(2)资产领用环节。严格领用审批制度,规范医院科室字典,库管人员准确录入领用科室和人员信息,为后续资产保管、使用、退库、报废、处置等奠定基础。

(3)资产保管与使用环节。药品管理的重点是加强药房实物管理,杜绝“人情换药”、“白条借药”情况的发生,同时药剂部门与财务部门应定期对账,确保药品账实相符。

耗材管理方面,应按照“收入与成本配比”原则,在使用科室建立二级库房,真实反映各临床科室实际耗用材料成本,实现收入与成本的匹配;对高值耗材应实行条形码或射频码追踪管理,由专人进行监督审核,保证材料使用得到有效监控,减少医疗风险隐患。

通过资产管理系统加强资产调配的实物管理,实时追踪资产流向,杜绝权责不清的问题。

(4)资产处置环节。公立医院应严格执行资产处置审核审批程序,待上级主管部门和财政部门批准后,才能对实物资产进行处置,并建立处置资产清单制,对处置资产逐一销账,避免账实不符的情况出现,同时按规定上缴处置收入。

(5)严格执行资产定期盘点制度,除业务部门外,财务部门和内部审计、监察部门都应参与实地盘点,避免出现账外资产、资产流失、资产信息失真、账实不符等情况。

(四)加强信息与沟通

1. 加强信息系统平台建设。

如使用OA办公平台、微信公众号等信息化手段都能为公立医院加强信息沟通的及时性与准确性提供保障。另外,可调研国内外一些管理先进的医疗单位,了解它们正在使用的办公管理系统,通过向它们取经,引入适合本单位情况的一体化办公系统,切实提高公立医院的信息化管理水平和日常办公效率,也为更有效的信息沟通提供渠道保障。

2. 加强信息公开方面的建设。

为避免信息传递失真,医院应拓宽信息公开渠道,创新信息公开方式,扩大信息公开覆盖面。充分发挥医院办公网、院长办公会、职工代表大会等信息传递渠道的作用,做到信息传递畅通,并鼓励职工参与互动。

(五)强化监督

1. 强化内审、纪检的监察职能。

建立内部控制自我评估机制,定期对内部控制工作的建立和实施的有效性进行评定,并撰写内部控制工作自评报告提交院长办公会。

2. 内审与外部监督相结合。

在现有组织架构下,公立医院主管部门应授予内审部门适当的权力,确保其能够独立履行审计职责。

在医院做好内部监督的同时,政府相关部门,如卫生部门、财政部门、税务部门、物价部门、审计部门等还应从不同的角度对公立医院实施有效的、全方位的外部监督。

3. 强化问责机制。

问责机制的核心是明确相应的责任主体,同时根据自评报告和相关监督监察结果与绩效考核挂钩,建立考核评价机制,只有这样才能保障监督能够有效实施,避免检查、监督活动流于形式。

四、结论与展望

公立医院通过对内部环境、风险评估、控制活动、信息与沟通、监督等五项内部控制要素的改进,必将提升其内部控制体系建设水平。随着国家医疗体制改革的深入,一整套行之有效的内部控制体系,也将为公立医院的可持续发展保驾护航。同时,公立医院内部控制体系的建设是一项长期的系统性工程,需要通过不断地摸索和创新持续改进。

摘要：随着医疗卫生体制改革的深入和医疗市场竞争的加剧,为保障公立医院安全、高效运营,加强公立医院内部控制建设具有重要意义。本文基于COSO内部控制框架五要素理论,分析了公立医院内部控制现状以及存在的问题,并逐一提出改进建议,进而提升公立医院内部控制体系建设水平。

关键词：公立医院,内部控制,医改

参考文献

李慧玲,马新丽,赵义全.公立医院内部控制有效性的影响因素分析及建议[J].卫生经济研究,2009(4).

郑大喜.基于财务风险导向的公立医院内部控制框架研究[J].中国卫生经济,2012(2).

许冰.优化公立医院内部控制系统的要素解读[J].卫生经济研究,2011(3).

俞斯海.医院内部控制制度缺失的成因与对策[J].中国卫生经济,2010(1).