一、序言

　　（一）研究背景

　　1938年，震驚世界的麥克森-羅賓斯公司舞弊案，開始引起了人們對內部控制的重視。二十世紀后期，又相繼發生了一系列聳人聽聞的公司造假和商業欺詐事件，例如美國的安然，世界通信，施樂和默克制藥相繼爆出會計丑聞，歷史悠久的銀行業巨人英國巴林銀行破產，日本最大的金融機構三井住友銀行爆出中行油巨虧事件，這些全都無一例外與公司的管理有著千萬縷的聯系。而內部控制也正是公司管理中最重要的部分之一，內部控制的失效，直接導致公司管理不善，經營出現問題。

　　然而，我國的內部控制思想較國外起步晚，這也導致我國近年來公司丑聞更是頻頻曝光。從早期的“鄭百文”，“銀廣夏”，“麥科特”，“藍田股份”，“東方電子”等上市公司會計造假，到2005年，伊利股份董事長被拘留，創維數碼董事局主席和金正數碼及深圳石化董事長被捕，開開公司高層人員攜款潛逃。反省以上事件，問題無不出在公司的管理經營上，而內部控制不利，是非常重要的一個原因。

　　我國現在內部控制理論還很不完善，內部控制制度還存在很多缺陷。因此，若要建立良好的現代企業制度，必須完善內部控制制度，加強內部控制執行，才能保證企業健康，持續的發展下去。

　　（二）研究意義

　　管理實踐證明，企業的所有管理工作應從建立和完善內部控制制度開始。企業的一切決策和活動都應在完善的內部控制制度下制定和執行，不能游離于內部控制制度之外。完善的內部控制系統對于任何組織，任何單位，無論其規模大小，盈利與否，都至關重要。上述的公司舞弊事件已經證明，單位中的差錯舞弊，經營效率低下，損失浪費嚴重，都是由內部控制的缺陷直接或間接引起的。

　　現代企業的核心是法人治理結構，法人治理結構都是一組規范與法人財產相關各方的責、權、利的經濟安排。其中包括股東大會、董事會、管理者和員工，或者說是法人治理制度的組織結構形態。[1]公司的各項制度實質就是他們之間的權責劃分，而責權利的實現則有賴于建立與公司內外環境相一致的具體控制制度。

　　內部控制已成為現代企業管理的重要組成部分，其內涵相當廣泛，而且其作用也遠不止防弊糾錯。內部控制的目標已擴大到保證會計記錄的準確性，財務信息的可靠性，減少不必要的費用，提高企業經營效率，保護資產，避免異常風險，履行法律責任等。

　　隨著我國加入WTO，國內市場競爭會更加激烈。我國的企業將面臨不僅來自國內的競爭，更有來自國際市場的沖擊。市場競爭歸根結底是切的管理競爭。企業只有具備完善的內部管理制度，才有可能在激烈的市場競爭中取得一席之地。而內部控制制度是企業內部管理制度的一個非常重要的組成部分，對企業確保財務報告的準確性和可靠性、經營活動的效率性和效果性、資產的安全性有著重要的作用。

　　因此，研究我國內部控制的失效原因及對策，具有非常重要的現實意義。通過對內部控制理論和實踐的研究，有助于企業建立完善的內部控制制度，提高企業管理效率，實現企業的各項目標。

　　（三）研究內容及論文結構

　　文章從內部控制失效的角度進行分析，找到我國上市公司內部控制存在的問題并加以完善，以達到強化內部控制效果，提高企業管理效率，杜絕企業舞弊現象的發生。本文以COSO報告為基礎，將內部控制的構成分為五要素，分別為控制環境，風險評估，控制活動，信息與溝通，監控。本文將對其概念、意義、現狀及完善分別進行討論。

　　本文結構如下：

　　第一章，選題的意義。

　　完善的內部控制制度可以規范企業的各種行為，提高企業的經營效率，實現企業的經營目標。但是目前我國很多企業并不具備完善的內部控制制度，即使有內部控制制度，也不一定能發揮其應有的作用。這是我國上市公司普遍存在的問題。本文通過對內部控制失效及其成因的分析，找出企業目前制度存在的不完善之處，提出改進建議，加強內部管理，提高企業競爭力。

　　第二章，理論回顧及研究。

　　通過回顧內部控制的發展，研究其概念及理論，以及COSO報告的主要相關內容，更加深刻的理解內部控制的內涵，作為內部控制應用于實踐的指導，并找到內部控制制度設計的理論依據。

　　第三章，我國企業內部控制現狀及失效成因。

　　通過大量的數據及資料，分析我國目前企業內部控制狀況及存在的問題，將理論與實際相結合，找出現實中的不足，從控制環境，風險評估，控制活動，信息與溝通，監控五個方面分別進行分析，并對現象背后的原因進行深入討論。

　　第四章，完善我國企業內部控制的幾點建議。

　　這部分以公司為立足點，從公司的角度去考慮如何完善內部控制制度，以可操作性為前提，完善COSO五要素，提出具體的改進建議。

　　第五章，總結與展望。

　　通過對我國上市公司內部控制現狀的分析和對內部控制制度的研究，發現內部控制制度中存在較大缺陷的地方，進行深入的思考，探討內部控制理論在中國企業具體運用中存在的主要問題，提出自己的見解。希望有更多人認識內部控制的重要性，結合企業實際情況切實有效的完善內部控制制度，提高企業的競爭力。

　　論文特色：本文的特點在于對內部控制失效做了全面系統的分析。筆者認為雖然研究內部控制理論的文章有很多，但大多數都是從某一方面進行研究，不夠系統、全面。因此本文以五要素為切入點進行系統分析，再從現象到本質，從外部到內部，全面剖析內部控制失效現象背后的原因。

　　另外，在文章第四部分，筆者提出了詳細的完善對策。同其他文章不同之處在于，大多數學者都論述了應該從哪幾方面進行改進，但更多論述的是所選擇改進的幾方面的原因或作用，這在本文第三部分都已進行了論述。筆者認為要對上市公司真正起到借鑒作用，應提出更加具體的改進措施。因此在這一部分，筆者站在公司而不是學者的角度，以可操作行為前提，提出了十分詳細具體的完善內部控制的對策。

　　二、文獻綜述

　?。ㄒ唬﹪鈨炔靠刂蒲芯窟M展自1949年，美國會計師協會審計程序委員會提出內部控制這一概念至今，內部控制的理論經歷了內部牽制，內部控制制度，內部控制結構，內部控制整體框架和企業風險管理這五個階段。這五個階段中，內部牽制階段以賬目間的相互核對和崗位分離為主要內容；內部控制制度階段將內部控制分為內部會計控制和內部管理控制兩部分；內部控制結構階段引入控制環境，將內部控制定義為由控制環境、會計制度和控制程序三要素構成的體系；內部控制整體框架階段將內部控制擴展為控制環境、風險評估、控制活動、信息與溝通以及監督五要素，將內部控制由平面結構發展為立體結構；企業風險管理階段將內部控制融入風險管理，將五要素又擴展為八要素，即內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息與溝通、監控，更加豐富了內部控制的內容。

　　具體發展歷程如下：

　　1 內部牽制——20世紀初，《柯氏會計詞典》中將內部牽制定義為：“以提供有效的組織和經營，并防止錯誤和其他非法業務發生的業務流程設計。其主要特點是以任何個人或部門不能單獨控制任何一項或一部分業務權力的方式進行組織上的責任分工，每項業務通過正常發揮其他個人或部門的功能進行交叉檢查或交叉控制?！?/p>

　　2 內部控制制度——1949年，該委員會在《內部控制，一種協調制度要素及其對管理當局和獨立注冊會計師的重要性》的報告中，對內部控制首次作了權威性定義：“內部控制包括組織機構的設計和公司內部采取的所有相互協調的方法和措施。這些方法和措施都用于保護公司的財產，檢查會計信息的準確性，提高經營效率，推動公司堅持執行既定的管理政策?！?958年，該審計委員會在《審計程序文告的第29號》，正式以文稿形式對內部控制重新進行表述：“內部控制從廣義上說包括會計控制和管理控制?！?972年，該委員會發布的第1號《審計準則公告》給管理控制和會計控制下了一個詳細且權威的定義。該定義如下：“管理控制包括（但不限于）組織規劃以及與管理當局進行經濟業務授權的決策過程有關的程序和記錄。這種授權是與實現組織目標這個責任相聯系的管理功能，并且是建立交易的會計控制的起點；會計控制包括（但不限于）組織規劃以及保護財產安全和財務報表可靠性有關的程序和記錄?！?/p>

　　3 內部控制結構——1988年，美國注冊會計師協會下屬的審計準則委員會（ASB）發布第55號《審計準則公告》（SAS No. 55），正式提出“內部控制結構（Internal Control Structure）”這一概念：企業的內部控制結構包括為合理保證企業特定目標的實現而建立的各種政策和程序，包括控制環境（Control Environment）、會計系統（Accounting System）和控制程序（Control Procedure）。該公告的兩大變化是：一、將控制環境正式納入內部控制范疇，把對控制環境重要性的認識提高到相應的程度。二、不再區分會計控制和管理控制。

　　4 內部控制整體框架——1992年，COSO發布了題為“內部控制一一整體框架”的研究報告。1995年，AICPA發布第78號《審計準則公告》（SAS No.78），全面接受COSO報告的內容。新準則將內部控制定義為“內部控制是由企業董事會、管理層和其他員工實施的，為經營的效率效果、財務報告的可靠性和相關法律的遵循性等目標的實現而提供合理保證的過程”。該準則不僅明確了內部控制的三大目標，而且劃分了內部控制的五要素，分別為控制環境、風險評估、控制活動、信息與溝通、監督。同SAS第55號相比，COSO報告保留了“控制環境”和“控制程序”的合理要素，調整模糊要素“會計系統”為“信息與溝通”，加入新成分“風險評估”和監控，使得內部控制由原來的平面結構發展為立體框架。這樣的結構使內部控制不僅僅局限于會計，而是滲透到企業經營和管理的各個方面。這樣的結構設置也使內部控制更加合理、充實。

　　2002年7月通過的《薩班斯——奧克斯利法案》，特別強調了對公司內部控制的有效性進行評估。要求在年報中提供內部控制報告，評價公司內部控制設計及其執行的有效性，注冊會計師要對企業的內部控制報告進行審核和報告。公司的首席執行官與財務官需出具書面保證，不僅要確保財務報告的真實性，還要確保公司擁有完善的內部控制體系。[2] 5企業風險管理——2004年9月29日，波萊斯沃特豪斯公司代表COSO委員會發布了《企業風險管理——整體框架》（Enterprise Risk Management - Integrated Framework），該框架標志著內部控制新的理論時期的到來。該框架的出臺為企業評價和改善風險管理程序提供了一個可供參考的基點，將內部控制納入風險管理，成為企業經營管理過程的重要組成部分。企業管理風險與之前的內部控制有很大不同。從目標角度，由內部控制整體框架的三大目標重新定義為四大目標：戰略目標、經營目標、報告目標和遵循目標；從構成角度，將五大要素擴展為八大要素：內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息與溝通、監控[3].在內容上，企業風險管理框架包括六個方面：協調風險偏好和戰略決策、提高風險反應決策、降低經營的意外和損失、識別和管理縱橫交錯的企業風險、抓住機遇、提高利用資本的效率。

　　企業管理風險框架新增的目標制定、事項識別和風險反應三個要素體現了內部控制對風險管理的要求，而風險評估、事項識別和風險反應組成了風險管理的預警、判定和防范的系統。企業管理風險框架建立在內部控制框架的基礎上，范圍比內部控制更廣，是一部針對企業風險涵蓋整個企業管理的框架。它要求企業在制定戰略時就考慮風險，要求企業自上而下所有管理人員都要有風險意識。該框架已經將內部控制上升為一種管理理念，它將企業風險、內控制和公司治理緊緊聯系在了一起。

　　提高勞動效率，進一步發展社會生產力。金融對外開放是市場經濟走向成熟的標志，但恰恰是中國對外開放、與國際市場接軌的薄弱環節，中國政府要加大開放力度，重點似應在金融開放上大做文章。誠然，目前韓國市場經濟體制仍處于不斷完善之中，政府調控與市場機制的協調，國際市場與國內市場的促進，經濟發展與社會保障的配套等還存在發展失衡的問題，尚有待于進一步改進。

　?。ǘ┪覈鴥炔靠刂蒲芯楷F狀在我國，內部控制開始進入規范階段是從20世紀90年代開始。隨著中航油巨虧事件，伊利高管被拘，創維數碼董事局主席被捕等事件的曝光，內部控制越來越受到人們的重視。眾多學者紛紛對內部控制進行了細致深入的研究，并取得了顯著的成果。

　　閻達五，楊有紅（2001）認為，保證會計信息的真實性是內部控制發展的主線，會計控制是公司內部控制的核心，內部控制目標隨公司治理機制的完善呈多元化趨勢。內部控制框架在公司制度安排中擔任內部管理監控的角色，成為公司管理中不可缺少的部分。在內部控制框架的構建中應抓住的關鍵問題包括：健全管理機構，理清管理權責，確立董事會在內部控制框架構建中的核心地位，內部審計機構設置與科學定位，強化預算管理和建立具有操作性的道德規范與行為準則。[4]郭曉梅，唐予華（2002）探討了內部控制制度和會計信息對于委托代理問題的意義，并從內部控制制度的構成和控制系統與信息系統的關系入手，分析了會計信息對于內部控制制度的作用，以及內部控制制度對會計信息的反作用。認為內部控制制度與會計信息共生共存，相互影響，加強內部控制制度有助于提高會計信息質量，而會計信息質量的提高又將促進內部控制制度的有效實施最終促進委托代理問題的解決。[5]李明輝（2002）認為一個健全的內部控制體系，應包括：公司所有權、決策權、經營權、監管權的相互制衡，公司決策權和經營權的制衡，公司內部的審計組織模式以及職權范圍，公司的財務控制，公司的內部控制制度和崗位操作規范。并指出我國上市公司內控體系存在三權制衡體系混亂，“內部人”控制現象嚴重，內部審計的地位削弱化的問題。[6]雖然我國很多學者對內部控制都進行了研究，但是推動內部控制的發展主要還是依靠政府。自1986年，財政部就頒發了《會計基礎工作規范》，正式提出了內部控制。該規范將內部會計控制陳述為“單位為了提高會計信息質量，保護資產的安全、完整，確保有關法律法規和規章制度的貫徹執行而制定和實施的一系列控制方法、措施和程序”。

　　1996年財政部發布《獨立審計具體準則第9號——內部控制與審計風險》，要求注冊會計師在會計報表審計時研究和評價被審計單位的內部控制，并對內部控制的定義、內容做出規定。

　　1997年中國人民銀行頒布了《加強金融機構內部控制的指導原則》，這是我國第一個關于內部控制的行政規定。

　　1999年證監會發布《關于上市公司做好各項資產減值準備等有關事項的通知》，要求上市公司本著審慎經營、部門擬定（或修訂）內部控制制度，有效防范化解資產損失風險的原則成立相關監事會對內部控制制度的制定和執行負責監督。

　　1999年新修訂的《會計法》首次以法律的形式對企業的內部控制做出規定，該法明確提出，“各單位應當建立、健全本單位內部會計監督制度。”

　　2000年證監會發布的《公開發行證券公司信息披露編報規則》要求商業上市公司、保險公司、證券公司建立內部控制制度，對內部控制制度的完整性、合理性和有效性進行評價，提出改進建議。

　　2001年中國注冊會計師協會制定《內部控制審核指導意見》明確了對內部控制評價的要求。

　　2001年證監會頒布《證券公司內部控制指引》，指引要求證券公司要健全內部控制機制和完善內部控制制度，以規范公司經營行為，有效防范金融風險；要求證券公司應當按照指引要求，建立運行有效、控制嚴密的內部控制機制，制定科學合理、切實有效的內部控制制度。

　　2001年財政部發布《內部會計控制規范——基本規范（試行）》、《內部會計控制規范——貨幣資金（試行）》，2002年發布《內部會計控制規范——采購與付款（試行）》和《內部會計控制規范——銷售與收款（試行）》，2003年發布《內部會計控制規范——工程項目（試行）》，2004年發布《內部會計控制規范——擔保（試行）》和《內部會計控制規范——對外投資（試行）》，這些制度是企業建立內部控制的指導，也是對內部控制進行評價的標準。

　?。ㄈ├碚摫容^

　　同國外的內部控制理論研究比較，我國對于內部控制的研究仍然存在很多缺陷。比如，內部控制的概念仍不統一。我國尚未提出十分權威的內部控制概念。對內部控制的完整性、有效性更沒有一個公認的標準體系。在現行的規范制度中，審計細則中的《內部控制與審計風險》從報表審計的角度提出了內部控制的要求，而《會計法》是從企業內部會計控制的規定角度規范了內部控制。這就容易導致企業管理者對內部控制產生誤解，認為內部控制就是崗位牽制，或是審計規范等錯誤思想。又如，內部控制的規范體系不夠完整，有的政府部門只是就事論事，臨時解決問題。財政部于1996年頒發《會計基礎工作規范》，對上市公司內部控制報告做了一些規定；2000年證監會發布《公開發行證券的金融企業發行規則》，對公開發行證券的金融企業內部控制披露做了一些規范。整體上并沒有一個系統的、完整的內部控制規范體系，這勢必對內部控制的規范的完整性、合理性造成一定的影響。

　　三、我國上市公司內部控制現狀及成因

　　（一）我國上市公司內部控制現狀1內部控制環境現狀

　?。?）公司治理結構不合理，內部人控制現象嚴重。

　　所謂“內部人控制”是指現代企業中的所有權與經營權相分離的前提下形成的，由于所有者與經營者利益不一致，導致經營者控制公司，即“內部人控制”。當公司的投資權、籌資權、經營權、人事權等都掌握在經營者手中時，股東就很難對其行為進行有效的監督。又由于股東利益與經營者利益在一定程度上存在沖突，經營者會按照自己的利益進行過度投資、過分在職消費，都會不同程度損害股東的長遠利益，提高了代理成本。而公司的治理目標是為了降低代理成本，維護股東權益。

　　（2）“一股獨大”為占款問題埋下隱患股東大會是公司的最高權力機構。但在實踐中，股東大會召集人通過設置各種障礙剝奪中小股東知情權的現象時有發生。中國的大多數上市公司是由國有企業改制而來，因此國家處于絕對或相對控股地位，這就容易導致“一股獨大”。

　　中國證券管理委員會截至2004年12月底的統計數據表明，境內上市公司的流通市值只占市價總值的31.54%，非流通市值占60%以上，上市公司控制權只是在非流通股股東之間配置。2004年廣東證券股份有限公司對1066家上市公司進行實證研究發現，以非流通股為基數，72.62%的上市公司的第一大股東掌握絕對控股權，第一大股東平均持股比例是第二大股東平均持股比例的5.14倍。從樣本總體上看，第一大股東擁有絕對的投票權優勢。在1066家上市公司中，控制主體性質為國有性質的（包括國家股或國有法人股股東）占總樣本的74.20%，民營性質（含自然人）占14.82%，一般法人股性質占10.41%.數據表明，我國上市公司的股權集中于不可流通的國有股，國有股擁有絕對的控股權。股權過于集中使得大股東的決策利益往往傾向于個人，而不是公司。由于國有股本身的產權缺陷，造成了擁有絕對控制權的上市公司高級管理人員凌駕于制度之上。原本大股東通過上市來獲得溢價收益并將其套現是正常的資本運營，但由于國有股未上市流通，使控股公司無法通過出售或收購子公司股份來調整自己的現金流量，當控股公司出現現金流量問題時，就會出現大股東占用上市公司資金的傾向[7].

　?。?）董事會監督作用虛擬化在我國上市公司制度中，董事長是法人代表，但法人代表和總經理的權力邊界沒有明確界定，導致的情況是總經理秉承董事長的意志行事。據有關調查表明，上市公司董事會成員中，100%為內部董事的公司占有效樣本數的22.1%，50%以上為內部董事的公司占有效樣本數的78.2%，董事長和總經理一人兼任的公司占總樣本的47.7%.執行董事的過多導致了董事會對管理團隊的監督在某種意義上是自己監督自己。這種管理團隊難以發揮獨立的經營權管理權，只能執行董事會的命令，使得董事會的監督作用成為擺設。

　　（4）監事會作用有限我國在1993年《公司法》明確規定了上市公司應采用監事會模式進行內部監督。但我國采用的是單層董事會制度，監事會與董事會平行，僅有監督權而無控制權和決策權，也無任免董事會的權利，更無權參與和否決董事會的決策。這使得監事會實際上只是一個受董事會控制的議事機構。

　　1 缺乏風險管理意識自我國加入WTO以后，我國的經濟環境發生了很大的變化。不再是以前單純的競爭環境。以前企業的競爭主要體現在行業內部，不需要考慮到環境的變化對企業的影響，更不用擔心國際金融的起伏對我國經濟的影響。長期在低風險下運營的企業管理者逐漸淡薄了風險意識，不去重視建立一個有效的風險控制體系。在這種情況下，“中航油事件”算是一個犧牲品，因參與石油期貨交易巨虧5.5億美元。在缺乏全面風險管理的情況下，我國企業很難適應新的競爭環境，給企業發展留下了很大的隱患。

　　2 控制活動控制活動是指除其他四方面外，管理當局為滿足財務報告的目標而建立的各種政策和程序。目前有一些企業的內部控制還沒有做到使所有決策和業務過程和操作環節都處于內部控制和監督之下。比如有的公司只有財務才有內部控制制度，操作規程銜接不緊密，管理效應弱化等。有的企業雖然建立了比較完善的內部控制制但由于有關人員相互勾結，內外串通，使內控制度不能發揮其作用，另外，執行人員濫用職權或屈從于權威而不認真執行，致使內控制度形同虛設，不能達到控制的目的。[8]

　　3 信息與溝通流暢的信息溝通是一個內部控制系統有效發揮作用的必要保障。在一個良好的信息系統中，每個人都應該清楚地知道其所承擔的職務與責任。每位員工都必須了解內部控制制度的相關方面，及其如何運作，和在內部控制制度中扮演的角色及所承擔的責任與義務等。并且，在系統的各個子系統之間，信息的傳遞同樣需要保持通暢。但目前，在我國的上市公司中，內部控制的信息系統主要存在以下幾種問題：

　?。?）信息在使用者中傳遞不夠通暢。主要原因是機構組織過于龐大，結構復雜，層次過多，影響了信息溝通的及時性和準確性。我國上市公司一般由董事會、經理層、子公司經理、部門經理、項目主管等層層機構構成，董事會傳達的信息到最終信息接受者幾乎已經沒有了時效性，準確性也應值得懷疑。據學者統計，如果一個信息在高層管理者那里正確性是100%，到了信息的接受者手里可能只剩下20%的正確性。由于各級部門主管都會自己識別信息，加入主觀因素，再進行傳達，層層過濾，最后很有可能導致信息的曲解。

　?。?）各個子信息系統信息流動不通暢。我國企業雖然目前已經開始注重信息的溝通，進行了較多的投入在建設信息系統上。但是投資項目多是單個的獨立系統，缺乏整體效益。每個項目自己運作的比較有成效，但整體卻無法取得明顯的效益，結果構筑了無數的“信息孤島”。另外，企業每個信息系統的建設沒有一個統一的標準，導致信息采集、加工和最終數據結果不能進行共享，這是信息溝通不暢的另一個重要原因。

　　4 監控內部控制的監控工作主要是是靠企業的內部審計部門。內部審計是對會計的控制和再監督，對會計資料進行內部審計，既是企業內部控制的一個組成部分，也是內部控制有效性的反饋機制。即使內部控制制度設計的再完善再有效，若工作人員沒有認真有效地執行，那么制度也只能成為一紙空文。因此，我國企業內部控制實施不利的一個重要因素就是內部控制監督做的不到位。