刘素云

摘要

企业实施内部控制的目的是为了实行风险管理，促进企业战略目标、经营目标、合规目标和报告目标的实现。近20年来，尤其是近6年来，我国企业在内部控制建设方面取得了很大的成绩，但仍然存在很多问题。本文首先阐述了内部控制实施的重要作用，介绍了美国内部控制发展的现状，对美国和我国企业内部控制发展做了简单比较。

本文从内部控制的建设、内部控制实施两方面分析了我国内部控制存在的问题，对内部控制建设和实施过程中产生的问题进行了原因分析，经过分析认为，我国应加强内部控制的法制化建设，促进内部控制在我国全方位施行；应当建立公司法人治理结构，充分发挥内部控制的全方位控制功能；应当加强内部控制建设水平，提高内部控制建设和实施质量；应当加强对内部控制的监督检查。

【关键词】企业  内部控制  问题

  1 导论

1.1  研究背景和选题意义

1.1.1  研究背景            

   内部控制是为了达到经营活动的效率与效果、财务报告的可靠性、保护资产的安全与完整，确保有关法律、法规和规章制度的贯彻执行而制定和实施的一系列控制方法、措施和程序。在经济发达国家，内部控制制度被广泛采用，并日趋完善，在企业风险管理和审计业务中发挥着积极的作用。随着资本市场的发展和上市公司风险的日益加剧，现代审计也从制度基础审计向风险导向审计发展，内部控制制度的审计工作作为规避和防范风险的重要手段，已经成为当代审计技术的重要基石。

近20年来，内部控制理论与实务的发展十分迅速，1992年，COSO委员会发布的《内部控制----整合框架》树立了内部控制领域的里程碑，但其仅仅提出了关于内部控制的宽泛定义和基本原则，显然也不足以作为管理层评估和报告内部控制的操作指南。COSO委员会于2004年发布的《企业风险管理---整合框架》，虽然拓展了1992年框架，并且特别关注了企业风险管理这一更加宽泛的领域，但也没有提供具体的内部控制评估指南。

我国内部控制的研究是随着审计工作的恢复而逐步发展起来的。早在20世纪80年代，学术界就开始了这一领域的探索和研究。中国审计学会、中国内部审计学会亦多次组织理论和实务界人士开展相关研究，并取得了一批研究成果。令人可喜的是，进入新世纪，我国内部控制建设在政府、行业的推动下，正从理论研究向政策指导、实务应用领域迅速展开。2001年财政部颁布的《内部会计控制规范—基本规范》及一系列具体的规范性文件是内部控制进入食物规范的新的转折。这些规范性文件的颁布和实施，标志着我国内部控制建设进入了一个崭新的阶段。之后到2006年底以前，由证监会、财政部、中国人民银行、上交所、深交所等陆续出台了相关行业或相关板块的内部控制规范或指引。2008年5月22日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，并于6月28日在北京发布，自2009年7月1日起先在上市公司范围内施行。2010年4月26日，五部委联合发布了内部控制应用指引18个，审计指引及评价指引各1个共20个指引。标志着我国内部控制体系建设取得了重要的阶段性成果，为我国企业构建和实施企业内部控制提供了较为具体的指南。

1.1.2  选题意义 

目前，内部控制已经在上市公司范围内施行并逐步在央企及大型国企推行，要求上市公司和各相关大中型企业，切实抓紧建立健全各公司的内部控制制度体系并按规定要求稳步有效实施。

1．内部控制的实施符合我国现阶段的基本国情。我国内部控制基本框架的制定是在借鉴COSO报告研究成果的基础上，结合我国的实际情况建立的，着眼于促进经济健康运行、规范资本市场秩序、完善现代企业制度的长远目标，对完善我国会计法规体系、推动我国会计准则与国际会计准则趋同起着推动作用。

2．有利于提高公司财务报告信息质量，提升财务报告的有效性。健全的内部控制，可以规范企业会计行为，保证会计信息的确认、计量、记录和报告过程，真实反映企业生产经营的实际情况，及时发现和纠正错误和舞弊，从而保证会计信息的真实性和准确性，体现资本市场“公开、公平、公正”的原则，保证投资者的合法权益。

3．有效防范企业经营风险。企业生产经营活动的健康有序发展，有赖于其对给类风险的有效防范与控制。内部控制制度的制定与实施，为企业进行事前决策、事中执行及时候的总结、检查监督提供了交易事项的经营风险全过程控制的执行依据。

4．有效的维护资产和资源的安全与完整。建立和完善内部控制，能够有效的监督和制约企业资产的采购、验收、计量、记录及期末盘点等各个环节。同时可以利用会计、统计、业务等各部门对同一交易记录和报告，将企业的生产、营销、财务的工作进行有效稽核，使各部门有机配合从而实现企业的经营目标。

5．促进企业提高经营的效率和效果。健全有效的内部控制，可以利用会计、统计、业务等各部门对同一交易记录和报告，将企业的生产、营销、财务的工作进行有效稽核，使各部门有机配合从而实现企业的经营目标。同时配合企业合理的监督、考核和奖惩机制，能较好的激发员工的工作热情和潜能，从而提升企业的经营管理水平、盈利能力和企业发展能力，提高企业经营的效率和效果，增强公司整体的竞争力。

1.2  内部控制的研究和发展

1.2.1  内部控制在国外的研究和发展

目前关于内部控制的研究国外大致经历了内部牵制、内部控制、内部控制结构、内部控制整体框架、企业风险管理整合框架五个阶段的演变。内部牵制思想是在实施岗位分离的基础上施行账目之间的相互核对，这一方法早期被认为是确保所有账目核算正确的一种理想控制的方法。内部控制制度阶段，理论界将内部控制应分为内部会计控制和内部管理控制两部分，即内部控制制度“二分法”。内部会计控制着重于报告企业资产、检查会计数据的准确性和可靠性；内部管理控制着重于提高企业整体经营效率、促进相关人员遵守企业既定的管理制度。但学术界在对内部会计控制和管理控制进行进一步研究时发现两者是不可分割、相互联系的。因此20世纪80年代诞生了内部控制结构的概念，认为企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序。20世纪90年代，美国COSO委员会提出内部控制整体框架思想，并逐步将社会各界对内部控制的认识统一结合起来,这也是内部控制发展相对完善的一个阶段。2001年COSO委员会又根据实际情况的变化,又启动了企业风险管理项目研究，提出了企业风险管理框架，将内部控制上升到风险管理的高度，使内部控制的发展进入了一个崭新的时期。

1、内部牵制阶段（20世纪40年代前）

这一时期的内部牵制本质上是出于会计核算的现实需要而自发产生的，无论从控制的概念和方法上都比较单一，被称为单要素内部控制。这一时期又可分为内部牵制的萌芽和内部会计控制两个阶段：在20世纪40年代之前，内部控制的发展基本停留在内部牵制阶段。内部牵制是以纠错防弊为主要目的，以职务分离和账目核对为手段，以钱财和会计事项为控制对象的一种管理手段。最早追溯到五千多年前，就出现了内部控制思想的萌芽。苏美尔文化的史料记载中会计账簿数字边的标记、古埃及谷物和银子入库时的职务分离、古罗马帝国宫廷库房的“双人记账”、我国周朝留下的记录“一毫财赋之出入，数人之耳目通焉”，均反映了内部牵制的基本原理。15世纪，随着资本主义的发展和会计体系的成熟，以意大利复式簿记的出现为标志，内部牵制发展为以账目间的相互核对为主要内容并实施一定程度的岗位分离；1905年，L.R.Dicksee提出了内部牵制的三个要素：职责分工、会计记录、人员轮换；1912年蒙可马利出版的《审计——理论与实践》表达了内部牵制思想的理念；1930年，George E.Bennett给出了内部牵制的定义：内部牵制是账户和程序组成的协作系统，这个系统使得员工在从事本身工作时，独立地对其他员工的工作进行连续性检查，以确定其舞弊的可能性。内部会计控制的概念最早出现于1934年美国颁布的《证券交易法》，第一次使用“内部会计控制”的术语，作为根除“大危机”中虚假会计信息泛滥的根本措施之一。1936年美国会计师协会发布的《注册会计师对财务报表的审查》文章中第一次提出了内部控制的概念，将其定义为：为保护现金和其他资产，检查账簿记录准确性而在公司内部采用的各种手段和方法。1939年美国会计师协会在其公布的《审计程序文告第1号》中第一次增加了对内部控制审查的内容。但是审计界、会计界和管理界真正将注意力转移到内部控制制度的研究与应用上，则是20世纪40年代后期。随着时间的推移和研究的深入，内部控制的内容逐渐丰富。

2、内部控制制度阶段（40年代未至70年代）

这一时期的内部控制发展突破了原有的仅在会计领域的控制，延伸到管理领域，此时的内部控制可称为两要素内部控制。1947年,美国注册会计师协会(AICPA)所属的审计程序委员会（CPA）在其《审计准则暂行公告》中又明确了内部控制的概念，这对于原先的内部会计控制从理念上来说是一大进步。1949年，美国注册会计师协会（AICPA）所属的审计程序委员会（CPA）发表了《内部控制：系统协调的要素及其对管理部门和独立会计师的重要性》的专题报告，将内部控制界定为：一个企业为保护资产完整、保护会计资料的准确和可靠、提高经营效率、贯彻管理部门制定的各项政策，所制订的政策、程序、方法和措施。”从该概念可以看出，该定义对内部控制提出了三个目标：合法性、合规性、完整性。按照这个定义，内部控制已开始突破了与财务会计直接有关的控制局限，包括了成本控制、预算控制、定期报告经营情况、进行统计分析并保证管理部门所制定政策方针的贯彻执行等内容。1958年，美国注册会计师协会（AICPA）所属的审计程序委员会（CPA）发布的《审计程序公告第29号》中指出：内部控制，从广义上是既包括会计控制又包括管理特征的控制。因此该公告将内部控制区分为会计控制和管理控制两个部分，其中前者涉及与财务安全和会计记录的准确性、可靠性有直接联系的方法和程序，后者则是与贯彻管理方针和提高经营效率有关的方法和程序。这就是内部控制“制度二分法”的由来。1963年，美国注册会计师协会（AICPA）发布的《审计程序公告第33号》指出：独立审计人员主要关注会计控制，但是，如果独立审?人员认为某些管理控制可能对财务记录可靠性有影响，他应当考虑评价管理控制。这是从审计视角将内部控制从会计领域延伸到管理领域，扩大了独立审计师的审计范围。1972年，美国注册会计师协会（AICPA）下属的审计准则委员会将以往发布的《审计程序公告》进行汇编，并以《审计准则公告第1号》（SAS No.1）重新公布，并给会计控制和管理控制下了一个详细的定义。该定义指出：会计控制是与资产安全、财务记录可靠及下列事项提供合理保证的组织结构、程序及记录：（1）交易的实施是依据管理当局一般授权或特别授权；（2）交易的记录要满足能按一般公认会计原则或应用于会计报告的其他标准来编制财务报表和保持资产的经管责任的需要；（3）只能根据管理当局的授权才能接近资产；（4）账面数定期与实际数核对，并对差异采取恰当行动。管理控制包括但不限于确保交易由管理当局授权的组织结构、程序及有关记录，这种授权是与实现组织目标相联系的管理功能，并且是会计控制的起点。1986年最高审计机关国际组织指出：内部控制作为完整的财务和其它控制体系，包括组织结构、方法程序和内部审计。它是由管理者根据总体目标而建立的，目的在于帮助企业的经营活动合理化，具有经济性、效率性和效果性；保证管理决策的贯彻；维护资产和资源的安全；保证会计记录的准确和完整，并提供及时、可靠的财务和管理信息。这一概念的内涵相当宽泛。

3、内部控制结构阶段（80年代至90年代）

这一时期是内部控制发展进入相对繁荣期，出现了专门的机构具体研究内部控制问题，并进行了富有成果的研究。此时期的内部控制可称为三要素内部控制。1985 年由美国注册会计师协会（AICPA）、美国会计协会（AAA）、国际财务经理协会（FEI）、内部审计师协会（IIA）、管理会计师协会（IMA）联合发起成立了反欺诈财务报告全国委员会(National Commission on Fraudulent Financial Reproting), 即Treadway委员会(Treadway Commission, 该委员会的首任主席由James S.Treadway担任，因此被称为Treadway委员会)，而目前COSO就是Treadway委员会的发起组织委员会(The Committee of Sponsoring Organizations of the TreadayCommission)的简称，当时成立的主要动机是资助“财务报告舞弊研究全国委员会”。“财务报告舞弊研究全国委员会”最初负责研究导致财务报告舞弊的因素，并寻找解决之道，对公众公司、会计师事务所、证监会及其他监督机构提出建议，之后专门研究内部控制问题。1988年美国注册会计师协会（AICPA）发布《审计准则公告第55号》（SAS No.55），并从1990年起取代1972年发布的《审计准则公告第1号》（SASNo.1）。该公告第一次以“内部控制结构”概念替代“内部控制制度”，将内部控制定义为：内部控制是由管理者建立的，旨在以一种有序的和有效的方式进行公司的业务，确保其与管理政策和规章的一致，保护资产，确保记录的完整和正确性的一个整体系统。该公告第一次把控制环境纳入审计人员应考虑的范围，认为控制环境、会计制度和控制程序共同构成内部控制结构的三个要素。其中控制环境是实现内部控制目标的环境保证，会计制度是内部控制结构的关键要素，控制程序是保证内部控制结构有效运行的机制。这一概念突破了“制度二分法”的局限，特别强调了管理者对内部制度的态度、认识和行为等控制环境因素的重要作用，并且不再区分内部会计控制和内部管理控制。从此，内部控制从“制度二分法”阶段步入“结构三分法”。

4、内部控制整合框架阶段（90年代以后）

随着内部控制发展的成熟，人们对其认识的深化，内部控制的外涵和内延都得到了空前的发展。这一时期的内部控制可称为五要素内部控制。1992年COSO委员会发布了《内部控制——整体框架》（Internal Control——Internal Framework，简称IC-IF），1994年，又对报告进行了修改和增补，这就是著名的COSO报告。该报告将内部控制定义为：内部控制是受公司董事会、管理层和其他人员影响的，为达到经营活动的效率效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。提出了内部控制的三大控制目标：财务报告的可靠性；经营的效果和效率；符合适用的法律和法规。并提出内部控制的五大要素：控制环境、风险评估、控制活动、信息与沟通、监控。从这一定义可以看出，此时的内部控制发展已经进入了成熟期，尤其是从原的先的“方法程序观”向“过程观”的转变、从“静态”向“动态”的转变，这是内部控制发展的根本性变革。因此，该概念一经公布就得到了理论界和实务界的认可，这也是目前关于内部控制公认的最具权威性的概念。1996年，美国注册会计师协会（AICPA）会计标准部公布了《审计准则第78号》（SAS No.78），于1997年1月起生效，用于取代1988年的《审计准则公告第55号》（SAS No.55）。在该准则中COSO报告的基本原则被全面接受并得以体现，并认为COSO报告将成为美国企业建立合理的内部控制结构所需要的，预测将会有越来越多的企业承认并采纳该报告。1998年9月巴塞尔银行监管委员会在吸收1994年COSO报告研究成果基础上发布了《银行组织内部控制系统框架》，将COSO报告提出的内部控制制度的整体框架成功地应用于银行业，并系统地提出评价商业银行内部控制体系的十三条指导原则。《框架》指出：有效的内部控制制度是银行管理的一个关键组成部分，是银行安全、高效运营的基础。有效的内部控制可以帮助银行实现长期盈利、提供可靠的财务与管理报告、遵守法律、法规、政策、计划、内部管理规定与程序、减少意外损失或声誉损害等目标。并提出五个相互关联的要素: 管理层监督与控制文化、风险识别与评估、控制活动与岗位分离、信息与沟通、监督活动与错误纠正。这是内部控制理论首次在银行业的实践，由此商业银行内部控制研究取得历史性突破。

5、企业风险管理整合框架

理论界和实务界认识到一个实体的失败归根结底是内部控制的失败，人们对内部控制的关注由企业内部、行业协会转向了由政府部门强力推行。这一时期的内部控制可称为八要素内部控制。2002年6月，美国国会参议院银行委员会通过了由奥克斯利和参议院银行委员会主席萨班斯联合提出的会计改革法案《2002上市公司会计改革与投资者保护法案》，这一议案在美国国会通过后，由布什总统签署成为正式法律，称为《萨班斯—奥克斯利法案》（《Sarbanes-Oxley法案》，简称SOX法案）。该法案对美国《1993年证券法》、《1994年证券交易法》进行了修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新规定。2003年7月，COSO委员会发布了《企业风险管理——整合框架（征求意见稿）》，经过一年多的意见反馈、研究和修改，2004年9月发布了最终文本《企业风险管理整合框架》（Enterprise Risk Management，简称ERM），该报告是在《内部控制——整体框架》的基础上，结合《萨班斯——奥克斯利法案》的相关要求扩展研究得到的，共包括十二章，这是内部控制经过从“方法程序观”向“过程观”转变后的又一次大的发展，将内部控制提升到“风险观”的理念。COSO希望新框架能够衡量管理团队处理风险的能力，能够衡量组织风险管理是否有效，能够成为组织董事会和管理者的一个有效工具。他将原COSO1992年报告中的三大目标进一步细化为四大目标：战略目标、经营目标、报告目标、合法性目标。将原先五要素中的风险评估扩展为三个，至此，内部控制共包括八个要素：内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。ERM框架将风险管理定义为：企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。需要说明的是ERM并不是要取代原先的内部控制，它是突破原先的内部控制向更高层次——企业战略层次的发展，由此可以极大提升内部控制在企业中的地位。

无论是从内部控制“制度二分法”到内部控制“结构三分法”，还是从内部控制整合框架五要素到企业风险管理框架八要素，美国的内部控制规范在内涵和外延上不断拓展和进步。从美国的内部控制的发展过程我们可以清晰地看到其发展的一步步演进和完善，经历了从“方法程序观”到“过程观”，再到目前“风险观”的发展；内部控制定义经历了从静态的“方法、措施”到动态的“过程”，再到目前综合的“企业风险管理”的变化，体现了从静态到动态、从以制度为本到以人为本、从细节控制到风险管理的动态演进；从最初以纠错防弊为目的的自发产生到随着环境变化由企业内部、行业协会制度的制定，再到由政府部门强力推行的一种逻辑演绎。这对我国当前内部控制的发展都极具启示意义。

1.2.2  内部控制在我国的研究和发展

在我国法律法规文件中，1986年财政部颁布的《会计基础工作规范》，首先提出内部控制。规范提出内部会计控制的要求；

1996年12月，财政部颁布《独立审计具体准则第9号—内部控制和审计风险》，要求注册会计师审查企业内部控制；

1997年5月，中国人民银行发布《加强金融机构内部控制的指导原则》，要求各金融机构必须建立科学完善的内部控制制度，以有效防范金融风险，保证金融业安全稳健运行；

1999年，证监会发布《关于上市公司做好各项资产减值准备等有关事项的通知》，要求上市公司本着审慎经营、有效防范化解企业资产损失风险的原则责成相关部门拟定（或修订）内部控制制度，监事会对内部控制制度的制定和执行情况进行监督；

1999年8月，保监会发布《保险公司内部控制制度建设指导原则》的通知，指出内部控制要素包括组织机构控制、授权经营控制、财务会计控制、资金运用控制、业务流程控制、单证和印鉴管理控制、人事和劳动管理控制、计算机系统控制、稽核监督控制、信息反馈等；

2000年4月，证监会发布《关于加强期货经纪公司内部控制的指导原则》，指出内部控制内容包括内部机构公职、授权分责控制、岗位责任控制、风险监控、资金管理控制、会计系统控制、结算控制、计算机系统风险控制、内部稽核控制等；

2000年，证监会发布《公开发行证券公司信息披露编报规则》第1号、第3号、第5号，要求商业银行、保险公司、证券公司建立健全内部控制制度，并对内部控制制度的完整性、合理性和有效性做出说明，同时要求注册会计师对其内部控制制度及风险管理系统的完整性、合理性和有效性做出说明并进行评价，提出改进建议，以内部控制评价报告的形式做出报告；

2001年1月，证监会发布《证券公司内部控制指引》，内容包括?境控制、业务控制、资金管理控制、会计系统控制、电子信息系统控制、内部稽核控制等；

2001年6月，财政部颁布《内部会计控制规范—基本规范（试行）》和《内部会计控制规范——货币资金（试行）》，提出内容以单位内部会计控制为主，同时兼顾与会计相关的控制；

2002年2月，中国注册会计师协会发布《内部控制审核指导意见》，目的是规范注册会计师执行与会计报表相关的内部控制审核业务，就被审计单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核，并发表审核意见；

2002年9月，中国人民银行发布《商业银行内部控制指引》，明确内部控制的要素包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正5个部分，内部控制的内容涵盖组织机构、岗位分工、授权分责、稽核监控、会计控制、计算机控制等各个方面；

2002年12月，财政部颁布《内部会计控制规范—销售与收款（试行）》、《内部会计控制规范—采购与收款（试行）》的通知，要求加强企业销售与收款、采购与付款的内部控制，规范相关行为，防范销售与收款、采购与付款过程中的差错与舞弊。内容涵盖：岗位分工与授权批准、请购与审批、销售与发货、采购与验收、付款与收款以及监督检查等控制；

2005年10月，证监会出台《关于提高上市公司质量意见》；要求通过完善上市公司法人治理结构，建立健全上市公司内部控制制度、严格遵循信息披露规则提高上市公司透明度等措施，提高上市公司经营管理及规范运作水平。

2006年5月17日，证监会发布《首次公开发行股票并上市管理办法》，第29条规定“发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留意见的内部控制鉴证报告”；

2006年6月5日，上交所出台《上市公司内部控制指引》，要求上市公司建立内部控制体系，并于2006年7月1日全面执行；

2006年6月6日，国务院国资委发布《中央企业全面风险管理指引》，强调：企业全面风险管理是一项十分重要的工作，关系到国有资产保值增值和企业持续、健康、稳定发展。为了指导企业开展全面风险管理工作，进一步提高企业管理水平，增强企业竞争力，促进企业稳步发展，要求结合企业实际情况执行风险管理指引。

2006年9月28日，深交所出台《上市公司内部控制指引》，要求上市公司于2006年7月1日全面执行；

2008年5月22日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，并于6月28日在北京发布，自2009年7月1日起先在上市公司范围内施行；

2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》，包括应用指引18个，审计指引、评价指引各1个。

连同此前发布的《企业内部控制基本规范》，标志着适应我国企业现在的实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成起来了。为确保企业内控规范体系平稳顺利地实施，财政部等五部门制定了实施时间表：自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。

1.3  研究方法和基本框架

本文主要采用规范研究，通过文献回顾，在分析国外及我国内部控制发展历程的基础上，对我国内部控制发展缓慢的原因进行分析，同时借鉴国外内部控制的理论成果和实践经验，总结规律，提出自己的一些见解，对我国企业内部控制目前存在的问题提出对策、建议。

本文分为五部分：

第一部分，介绍了选题背景，研究意义和研究方法。

第二部分，主要阐述了美国企业和我国企业内部控制发展的现状。

第三部分，我国企业内部存在的问题，主要从制度建设、企业内控实施过程两方面进行了论述。

第四部分，分析了我国内部控制建设和实施过程中产生上述问题的内外部原因。

第四部分，论述改善我国内部控制建设的对策。

   2 美国企业与我国企业内部控制发展现状

 2.1 美国企业内部控制发展现状

2002年7月30日，在安然和世通等公司丑闻的阴影下，为了重振投资者对美国资本市场的信心，布什总统签署了《2002年萨班斯—奥克斯利法案》，其第404节规定的内部控制要求的核心内容是管理层和审计师依据一个“适当的内部控制框架评估公司的财务报告内部控制有效性”。但是，第404节中“关于管理层对控制的有效性提供的书面意见和对内部控制有效性声明提供的支持性文件，以及，最重要的是，公司的外部审计师对公司内部控制和管理层关于控制的陈述提供他们自己的意见的要求造成了”来自美国公司，包括代表大公司和小公司的利益集团的空前反对和阻挠。

2006年美国管理会计师协会（IMA）对《萨班斯-奥克斯利法案》公布4年来的状况做了一个调查，调查中发出20966份问卷，收回2098份，根据收回的问卷，认为404节在美国受到反对和阻挠的原因在于：

 1、美国商会认为，SEC第404节损害了“美国公司和美国资本市场的长期竞争能力”，“首次公开发行已经移出美国，而且大部分转移到伦敦”。

2、虽然COSO框架提供了评价内部控制的标准，但是它没有向管理层提供证明和测试内部控制的方法或者评价已发现的缺陷的方法”。

3、成本增加。国际财务经理协会在2005年3月15日之后一个星期内完成的第四次调查报告显示，平均销售收入为50亿美元的公司平均发生“134万美元的的内部成本，172万美元的外部成本，13万美元的审计费用，额外的审计费用超过财务报表审计费用的57%。

4、企业采用404节条款没有增加利益。纳斯达克也对其股票发行企业进行了调查，尽管SEC在2005年5月15日发布了指南，PCAOB也呼吁采用从上到下、风险导向审计，然而这份报告发现“……对SOX的认同度持续降低，只有7%的受访者说在执行404节企业利益增加了，而26%的受访者说利益降低了，67%的受访者说他们的利益水平没有发生任何变化”。

5、内部控制评审指南的缺位以及外部审计界对当前指南的滥用是大多数公众公司感到受挫的原因。

IMA向COSO委员会提出一些政策建议：1、应当在公司执行第404节规定的新的需求下重新评估COSO 1992框架的适应性；2、应当仔细和客观评估管理层按照目前框架的指导对内部控制进行评估和报告是否对最小化一些“不希望出现”的负面效应有效率和效果。

为顺应形势要求，2010年9月，COSO启动了《企业内部控制整体框架》审核与更新项目，并聘请普华永道会计师事务所（PWC）作为项目的支持方，着手新框架的制订工作。2010年9月至2011年1月，COSO对700多家使用COSO内控框架的单位进行问卷调查。结果显示，大部分反馈意见支持对COSO内控框架进行修订和更新，但不建议推倒重来。2011年12月，COSO发布了新框架的征求意见稿，面向全球公开征求意见。2013年5月，COSO正式发布新的内部控制框架。

与旧框架相比，新框架细化了内控框架的结构内容。提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则组合起来就构成了内部控制的标准，适用于所有的组织。每一项总体原则又由代表其重要特征的多个关注点所支持。这些关注点旨在为管理层提供具体的指引，协助其设计、实施和执行内部控制，以及评估相关原则是否存在和发挥效用。每个关注点都与17个原则中的某个原则相对应，而每一项原则也都与五要素中的某个要素相对应。扩大了报告目标的范畴。旧框架中的内控三个目标之一是财务报告的可靠性，目的是为了满足外部监管要求，确保编制可靠的公开发表的财务报告。这里的财务报告是指对外公布的财务报告，如上市公司的年报和季报，而新的内控框架在报告对象和报告内容两个维度上对这个目标进行了扩展。在报告对象上，既要面向外部投资者、债权人和监管部门，确保报告符合有关监管要求；又要面向董事会和经理层，满足企业经营管理决策的需要。在报告内容上，除了包括传统的财务报告，还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。归纳起来，新的COSO内控框架共有四类报告目标：内部财务报告、内部非财务报告、外部财务报告以及外部非财务报告。新框架对报告目标的扩展与我国内控规范体系中对报告范畴的有关规定基本相同。强调管理层判断的使用。新的COSO框架对五要素的分解不是按照子要素来进行的，而是作为“原则”来呈现的，即强调“基于原则”的内控实施和管理层判断的使用。新框架并未要求对17项原则及其关注点进行单独评估以确定其是否存在或有效。管理层可以自由判断新框架所提供关注点的合适度或者相关度，然后根据企业的具体情况，来选择和考虑与某?特定原则密切相关的关注点。可以说，在这一点上COSO新框架吸取了自2002年美国萨班斯法案通过以后，旧框架实施成本高的教训，使内控实施更加灵活，同时节省了实施成本。强化公司治理的理念。新框架包括了更多的公司治理中有关董事会及其下属专门委员会（包括审计委员会、薪酬委员会、提名与治理委员会等）的内容，强调董事会的监督对内部控制有效性的重要作用。这与我国《企业内部控制基本规范》及《组织架构》应用指引中有关公司治理的规定相一致。增加了反舞弊与反腐败的内容，并且把管理层评估舞弊风险作为内部控制的17项总体原则之一，重点加以阐述。这与我国内部控制规范体系在反腐败工作中的重要作用不谋而合。充分考虑了不同商业模式和组织结构的内部控制。随着经济全球化的发展、技术的不断进步和人才竞争的加剧，近年来企业的商业模式和组织结构发生了巨大变化，企业在运营过程中更多地使用第三方提供的产品或服务，管理层更加关注包括供应商和客户在内的价值链管理。为此，新框架专门分析了不同商业模式和组织结构下内部控制的有效性问题。

　　新框架并没有改变旧框架关于内部控制的基本概念和核心内容，而是对旧框架的某些概念和指引进行更新和改进，以期反映近年来企业经营环境的演变、监管机构的要求和其他利益相关者的期望。COSO前任主席David L. Landsittel表示：“新框架无意改变内部控制原有的定义、评估方法或管理模式，而是给使用者提供了更加全面、准确的内部控制概念、指引和案例。”

　　COSO将于2014年12月15日用新的内控框架替代1992年版的内控框架。COSO认为，旧框架中的重要概念和原则是基本合理的，并且被市场广泛接受，因此，在过渡期（2013年5月14日至2014年12月15日）内应该允许旧框架正常使用。但是，在过渡期间，企业在为外部报告目标而运用COSO内部控制框架时，需要明确披露他们使用的是1992年版本还是2013年版本。 COSO鼓励企业在可行的情况下，尽快将内部控制程序及相关文件转换成2013年版的新框架。为此，COSO还在其网站上公布了一个新旧框架转换实施方案，供使用者参考。

2.2  内部控制在我国企业的发展现状

根据财政部等五部委联合印发的《关于印发企业内部控制配套指引的通知》，自2012年1月1日起在上海证券交易所、深证证券交易所主板上市公司开始实施《企业内部控制基本规范》和《企业内部控制配套指引》。为稳步推进主板上市公司有效实施企业内部控制规范体系，确保内部控制见识落到实处，在充分考虑上市公司公司治理基础、业务成熟度等差异情况下，财政部办公厅及证监会办公厅2012年8月14日《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》，决定在主板上市公司分类分批推进实施企业内部控制规范体系。

1.中央和地方国有控股上市公司，应于2012年全面实施企业内部控制规范体系，并在披露2012年公司年报的同时，披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。

2．非国有控股主板上市公司，且于2011年12月31日公司总市值在50亿元以上，同时2009年制2011年平均净利润在3000万元以上的，应在披露2013年公司年报的同时，披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。

3.其他主板上市公司，应在披露2014年公司年报的同时，披露董事会对公司内部控制的自我评价报告及注册会计师出具的财务报告内部控制审计报告。

4.特殊情况：（1）主板上市公司因进行破产重整、借壳上市或重大资产重组的，无法按照上述规定建立健全内控体系时，应在上述相关交易完成后的下一个会计年度披露内控自我评价报告各审计报告；（2）今上市的主板上市公司应在上市的当年度开始建设内部控制相关体系，在上市的下一年度披露年报的同时，披露内部控制自我评价报告和审计报告。

2.3我国企业和美国企业内控实施现状对比

从美国内部控制实施来看，自1992年美国COSO委员会发布《内部控制—整合框架》，已经经过了20多年时间，由于执行过程不尽如人意，自2002年开始国会剥夺审计师的行业自律，要求公司评估和报告其内部控制以及由独立审计师对内部控制报告进行认证，到收到外部压力，重新修订COSO框架，并于2014年12月5日用新的内控框架替代1992年版的内控框架，美国的内部控制走过了一个艰难的过程，依然没有一个完善的框架，说明内部控制的完善是一个非常艰难的过程。根据美国管理会计师协会2006年的调查，只有18%的受访者认为，外部审计师和管理层在使用COSO1992框架评估和得出企业内部控制制度的结论时能够在很大程度上达到很高的一致性。如下图，当按照公司规模分析时，发现只有约13%的小型公众公司和约19%的大中型公众公司的受访者相信COSO 1992框架能够产生很高水平的一致性。

管理层和外部审计师用COSO1992得出的结论之间的一致性

比较我国，虽然实施时间短，真正有了内部控制制定标准至今不满6年，要求上市公司实施内部控制并且由注册会计师对内部控制报告进行鉴证仅3年时间，但我国企业实施内部控制的效果却令人惊异。根据财政部会计司和证监会会计部发布的《我国境内外同时上市公司2011年执行企业内控规范体系情况分析报告——基于2011年内控评价报告、内控审计报告的分析》，2011年，我国67加“A+H”公司首先出具内部控制审计报告，其中只有“新华制药”对内部控制作出无效的结论，被会计师事务所出具否定意见外，其余66家均认为“报告期内，公司对纳入评价范围的业务与事项均已建立了内部控制，并得以有效执行，达到了公司内部控制的目标，不存在重大缺陷”。

根据财政部会计司和证监会会计部《我国上市公司2012年实施企业内部控制规范体系情况分析报告》2012年，共有1532家上市公司披露了内部控制审计报告，占沪、深交易所2492家上市公司的比例为61.48%。其中，内部控制审计结论为标准无保留意见的上市公司为1506家，占比98.30%；非标意见共26家，其中带强调事项段的无保留意见为22家，占比1.44%，否定意见为4家，分别是：北大荒（600598）、贵糖股份（000833）、天津磁卡（600800）、海联讯（300277），占比0.26%。

事实上，中美之间企业实施内部控制的结论，就揭露了我国企业实施内部控制的问题。

  3  我国企业内部控制存在的问题

我国企业内部控制的发展时间短，是造成我国企业内部控制制度设计与执行中存在的问题的主要原因。在6年时间里，我国完成了《企业内部控制基本规范》以及20个配?指引的制定和发布，自2011年首先在“A+H”公司实行对内部控制报告实施审计并出具审计报告，到2012年开始的对国有及国有控股上市公司内部控制进行审计并出具审计报告，所经历的时间实在太有限。无论政策的制定者、政策的实施者，无论是企业还是注册会计师，都要在很短的时间里对这些内容进行消化、要对企业内部管理制度进行再造、要判断内部控制缺陷的标准都是比较困难的。

即使在美国，自1992年COSO委员会发布《内部控制—整合框架》以来的20多年时间里，美国各界，包括行业自律、政府部门、企业都对内部控制的建设和实施进行了深入的讨论。大家普遍认为《内部控制—整合框架》树立了内部控制领域的一个里程碑，其对内部控制的定义被广泛采纳，但仅仅在理论和原则上的探讨无法满足控制公司财务风险的需要。尤其是安然、世通等公司的财务丑闻迫使美国于2002年通过《2002公众公司会计改革与投资者保护法案》即《萨班斯-奥克斯利法案》，又称SOX法案，法案在实施过程中，国际管理会计委员会对法案的实施进行了调查，提出修改建议，新修订的框架于2014年12月5日实施。美国内部控制发展的历程从侧面反映了在我国有效实施内部控制也应当是需要一个相当长的过程。

3.1 我国企业内部控制制度建设方面存在的问题

自2010年4月27日，财政部等颁布《企业内部控制配套指引》，包括18个应用指引，1个评价指引及1个审计指引，我国内部控制规范框架体系构建告一段落，分析目前的内部控制规范体系，存在以下问题：

3.1.1  加强企业内部控制的法制化建设

1、我国的内部控制是在财政部、证监会等部门的推动下进行的，颁布的多是部门规章，针对的主要是上市公司中的国有及国有控股企业，尚没有在所有企业实施内部控制的相关制度性规定；

2、内部控制规范要求注册会计师在对企业内部控制制度的建设以及其实施的有效性出具审计报告，但未明确注册会计师对企业内部控制实施审计过程中企业和注册会计师的责任；

3、内部控制规范中未明确企业未建立有效的内部控制制度或内部控制制度未得到有效执行时应承担的法律责任，以及注册会计师在对企业内部控制出具审计报告过程中未尽职尽责时应承担的法律责任。

3.1.2 要跳出财务讲内部控制

从内部控制在我国的演变过程看，一直是由财政部门推动的，因而，企业其他人员都将内部控制认为是财务部门的工作，于己无关，加之企业对内部控制的宣传不到位，企业的大多数员工，包括大多数的管理人员，对内部控制都没有正确的认识，不知道内部控制涉及到企业内部的全员、全方位、全过程。从我国内部控制的研究者来看，也多是财务管理、会计审计专业的人员，使得内部控制打下财务烙印，在一些企业，连财务人员也对内部控制认识模糊，仅认为内部控制针对“与财务报告相关的领域”，事实上，“与财务报告相关的内部控制”只是内部控制中的一个重要组成部分，甚至一小部分，要达到企业管理的总体目标，在一定程度上，“非与财务报告相关的内部控制”更为重要。

3.1.3  我国的内部控制规范没有建立起内部控制缺陷标准

我国内部控制规范对企业内部控制制度缺陷分为一般缺陷、重要缺陷和重大缺陷，但没有对内部控制缺陷提出具体标准。在2012年纳入内部控制审计报告实施范围的853家上市公司中，575家披露了内部控制缺陷认定标准，占比67.41%；278家未披露内部控制缺陷认定标准，占比32.59%。内部控制缺陷标准在不同企业并不相同，使得内部控制缺陷认定没有在不同企业间没有可比性。

2012年的内部控制审计报告共对21家企业的内部控制“与财务相关内部控制”出具非标准的审计报告，“与财务报告相关的内部控制”产生的重要缺陷或重大缺陷直接导致财务报告数据失真，因而这些缺陷容易判断，但“非财务报告内部控制重大缺陷”却需要注册会计师的专业判断。2012年对吉林森工（600189）等6家企业“非财务报告内部控制”重大缺陷出具了非标审计意见，例如，对*ST南化（600301）的审计意见为带强调事项段：“我们注意到南化股份的“重大问题决策、重要干部任免、重大项目投资决策、大额资金使用”即“三重一大”决策制度中部分重大事项的范围、权限和决策程序未作明确规定。

又例如：对北大荒（SH600598）披露非财务报告内部控制的重大缺陷：“我们注意到贵公司的非财务报告内部控制存在重大缺陷，主要包括：贵公司和部分子公司的公司治理机制不健全或者未能有效运作；与信息披露有关的内部控制存在缺陷，重大信息内部报告制度未有效执行，导致贵公司未及时识别出需履行信息披露义务的事项和及时履行信息披露义务。”

3.1.4内部控制规范体系不完整或不科学

1、内部控制规范体系不完整

在已经颁布的《企业内部控制配套指引》中的18个配套指引，包括了从组织架构、发展战略等“非财务报告内部控制”，也包括包括资金管理、采购管理、财务报告等“与财务报告相关的内部控制”，但没有包括“税务管理”、“生产管理”等内容。比如税务管理，由于我国企业经营的外部环境恶劣，企业的税务风险非常大，尤其是一些民营企业，税务风险的产生意味着法律风险的产生，会给企业带来灭顶之灾；再比如生产管理，生产管理是一个企业实现价值的重要组成部分，生产管理的优劣决定企业产品质量、生产成本、劳动效率等多方面，事关企业的市场竞争能力，事关企业能否长足发展，但在现行的规范中没有相关内容。

2、内部控制规范体系不科学

比如第15项指引“全面预算”第四条规定“预算管理工作机构一般设在财会部门。总会计师或分管会计工作的负责人应当协助企业负责人负责企业全面预算管理工作的组织领导”，这样的规定，既不符合内部控制“不相容职责分离控制”原则，也不符合《公司法》规定的公司分层治理机制。

经济业务活动中的不相容职务分离有四大原则：决策与执行分离、执行与审核分离、执行与记录分离以及保管与记录分离。

在全面预算体系中，财务部门是执行部门之一，尤其是集团公司为集权管理模式下，财务部门承担对成员单位的资金调拨、财务费用、往来款、现金流量、利润分配、贷款担保、金融性投资、关联交易结算等相关内容的审核和监控，首先是全面预算的执行者。将全面预算管理办公室设在财务部门，即使人员独立于财务部门内的其他机构，也不能对财务部门承担的预算执行职责进行有效考核和奖惩。

作为公司总会计师，分管财务部门，同时通过授权成为全面预算的决策人员，在财务部门承担的预算执行职责当中，决策和执行不能实现分离，很难独善其身。

财务部门在现行的全面预算体系中，还承担审核职能，尤其是以现金流量为核心的全面预算体系中，所有的预算指标都会量化为财务指标，通过财务指标的分解实现对预算目标的控制，在这个体系中，财务部门作为执行者与审核者不能实现分离。

各个业务部门预算执行的结果，会形成财务部门的原始凭证，记录于财务部门的会计处理中，财务部门作为预算执行部门与记录部门重叠，不符合执行与记录分离的原则，最好的是，预算执行部门形成的结果以另外的形式记录并保管于独立于财务部门的部门当中，避免财务部门篡改自己部门的预算目标和执行记录。

财务部门是全面预算的工作部门，通过授权，可以承担预算调整和预算分析考核的职能，面对本部门不能完成的预算目标，财务部门是自己调整预算目标还是放松对自己部门的考核？

3.2  我国内部控制实施过程中存在的问题

3.2.1 企业管理层对内部控制的建设并不重视

自2012年，由于要求853家国有及国有控股的上市公司在2012年年度报告中披露企业内部控制审计报告，企业开始进入内部控制建设阶段。由于对内部控制的理解不到位，很多企业认为内部控制是加在企业管理层头上的“紧箍咒”，对内部控制的建设并不积极，认识也不到位。在内控规范体系实施过程中，仍存在部分企业的董事会、高管对内部控制的认识及重视程度不够，仍将内控规范的实施简单定位于满足监管要求，甚至仍习惯凌驾于内部控制之上。内控规范体系与已有管理体系的融合、内控体系的持续提升优化仍需深化，内控评价工作存在走过场现象。部分企业内控体系与已有管理体系的融合仍需深化，存在将内控规范的要求与原有管理体系完全割裂，出现“两张皮”现象，或与原有管理制度出现交叉重复，既浪费了资源，也降低了效率。部分企业重要领域的内控提升优化工作有待提高，虽已制定了基本的内控制度，但在推动内控体系实施方面力度不足，内控缺陷整改侧重管理制度完善，不重视后续运行的监督和信息化手段的运用。部分企业存在内控评价范围不全面、重点不突出、缺陷认定标准不恰当、缺陷认定随意性强、评价结论不客观等评价工作“走过场”的现象。

企业对内部控制不重视，从内部控制项目建设费用也能看出。由于企业不重视，只是把内部控制项目建设作为应付监管使用，导致在项目建设过程中降价竞争的局面，内部控制项目建设成为注册会计师行业收费沦落最快的项目。

3.2.2  企业在内部控制建设中部门参与不够

企业?部控制的建设，强调多部门参与。企业内部控制制度的设计涉及到多种控制思维视角，其核心是构筑内部控制框架，要以标准化的控制方法令不同的人操作同样的业务或过程能够产生重复性和一致性，因此需要按照企业的业务流程设计控制程序。企业业务流程是企业内部不仅仅限于一个单独部门的一系列相关业务活动，从而强调内部控制的制定要多部门参与、相互配合。下图列示了美国企业受访者认为的他们公司的各种群体在SOX 302/404工作中的角色和责任，其执行工作的责任分配就证明了这一点：

美国企业SOX执行工作的责任分配

内部控制强调有，且得到有效执行，但在我国，内部控制的工作似乎只存在?“有”和“审计”两个部分。在实现“有”的过程，主要是董事会秘书处牵头完成，在“审计”阶段，主要由董事会秘书和财务部门完成，财务部门配合中介机构审计，董事会秘书处负责披露，而企业的其他部门在这个过程中不见了身影。

3.2.3  内部控制不能与企业战略相配合

原因之一是，企业本身战略目标不清晰，在公司战略规划与执行上还处于粗浅阶段，公司战略与公司管理结合不够。缺乏战略导向性的内部控制，难以起到提升公司核心竞争力和价值的作用。

另一原因是，即使公司的战略目标清晰，但内部控制对企业的战略目标不够重视。《企业内部控制基本规范》提出的内部控制目标是企业战略、经营的效率和效果、财务报告的可靠性、资产的安全完整、遵循国家法律法规和有关监管要求。提出企业有义务对外提供财务报告，要确实现保财务报告目标的同时，实现其他目标。

《企业内部控制基本规范》对目标的定位很高，包括的内容很广泛。尽管在内部控制不能依靠会计控制，但规范仍将重心放在财务报告的真实可靠上。防止会计信息失真、保障资产安全等应该是企业报告目标的一部分，是实现内部控制的结果而不是主要目的。内部控制作为企业的作为控制机制，其目标应与企业战略目标一致。

在内部控制实施过程中，内部控制的各项配套指引是有相互联系的有机整体，各项目标的实现一定要以战略目标为前提。很多企业在内部控制建设过程中，并没有把战略目标的实施分解到各项配套指引中，各项业务流程中体现不出如何实施企业目标。

3.2.4  内部控制建设不能体现企业个性

目前出现的各企业的内部控制手册，从内容和表现体例上都千篇一律，不能体现本企业的特点和个性，不能体现本企业的管理方式和管理特点。

例如，某企业母公司是几个管理型机构，公司的生产都在子公司实现，产品销售由销售公司完成，但在公司内部控制中没有对子公司的定位，并不能体现母公司如何对子公司实施控制，没有专门的内容突出公司对子公司重大人事管理、重大经营事项的管理、对子公司财务报告的管理以及对子公司的监督等。

2012年，两家上市公司*ST长油（600087）和北大荒（600598）在内部控制自我评价中都发现子公司的管控方面存在着重大缺陷，并对上市公司内部控制目标的实现产生重大不利影响。因此，对于上市公司而言，不仅需要建立健全母公司的内部控制体系，同时也须加强分子公司的内部控制体系建设。

3.2.5  内部控制专业人才缺乏

内部控制建设是一项系统性工程，需要既了解所处行业特点、公司的整体运营情况及面临的风险，又熟悉内控建设的基本方式方法、信息技术及财务报告基本概念等方面情况的综合性人才。从部分公司的内控建设实践来看，人才缺乏已成为制约推进内控建设的瓶颈。很多内控部门负责人及实际工作人员是在“边建边学边摸索”，虽然在推进内控建设的过程逐步积累起一定的经验，但常会因此而走许多弯路。一些企业虽然建立了很好的在企业内部培养内控人才的机制，但毕竟人才的培养需要一个过程。

3.2.6  缺乏支撑内部控制实施的信息化系统

内部控制制度的实施，需要信息化作为支持系统。《中国上市公司2013年内部控制白皮书》在上市公司内控建设过程中存在的问题中指出，上市公司在内部控制体系的建设和评价过程中，过渡依赖手工操作，信息化程度不高，严重影响了内部控制的效率与效果。

3.2.7 有些中介机构专业胜任能力不足、执业质量不高、低价竞争、独立性等问题突出

部分内控咨询机构对内控规范体系理解不深、掌握不牢，行业知识匮乏，专业胜任能力不足。很多的咨询机构在证监会强制上市公司出具内部控制审计报告之前，几乎没有内部控制的专业积累，在市场突然出现后，才仓促上马，在为客户提供咨询的同时学习内部控制的相关知识，他们对内部控制的实质、内部控制各指引之间的关系根本不了解，不可能做出有质量的产品。

部分咨询机构对实施企业所处行业以及企业经营管理的现状了解不够深入，咨询服务存在模式化、生搬硬套的现象。2012年，由于时间紧迫，很多企业和咨询机构是为了满足制度安排，完成任务而进行的内部控制项目建设，根本无暇对企业生产经营、管理制度、管理方式等做深入了解，没有对企业的了解，不可能做出有质量的产品。

部分咨询机构专业人员缺乏。我国的会计师事务所以前更多的是关注审计业务，本身对咨询人才的培养就不足。

另外，内部控制咨询费用过低，也影响了专业机构的胜任能力。根据统计，2012年，在1504家上市公司中，730家在年报中披露其支付了内部控制审计费用，占比48.54%；在这730家上市公司中，697家单独披露了内部控制审计费用的数额，33家未披露具体的内部控制审计费用数额。697家上市公司单独披露的内部控制审计费用总额为336，108，362元，平均每家公司花费的内部控制审计费用为482,221元。其中，规范的内部控制审计报告的费用的平均值较高，为486,059元。

    没有机构对企业内部控制项目建设费用进行统计，但据我们了解，内部控制项目建设费用比内部控制审计费用并没有高出很多。通常，一家公司的内部控制项目建设大概需要5个月时间，项目组需要大约5名事务所至少项目经理级的专业人才才能胜任并顺利完成，达不到这个级别的人员基本没有项目建设的能力。根据2012年我国准侧会计师行业人均年业务收入30万元计算，项目的收入规模应当不少于75万元。由于项目经理投入到咨询业务，项目组其他人员就有可能闲置，所以，内部控制咨询项目的收入应当比75万更多。但事实上，企业对内部控制建设并不重视，只是应付的态度，导致企业竞相压价，这项业务刚刚开始就进入恶性竞争状况。咨询机构为了降低成本，派出大量没有专业能力的人员。没有专业人员的参与，不可能做出有质量的产品。

内部控制项目建设中，咨询机构的独立性不足，也影响了执业质量。《企业内部控制基本规范》第一章总则中第十条规定：为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。实际执行中我们发现部分上市公司聘请的内部控制咨询机构与为其提供内部控制审计的会计师事务所是一致的，或是两者之间存在着关联关系，如：*ST济柴（000617）；黔源电力（002039）；恒邦股份（002237）；锦龙股份（000712）；青海华鼎（600243）；冠豪高新（600433）；交大昂立（600530）；氯碱化工（600618）；双钱股份（600623）；三爱富（600636）；中华企业（600675）；山西汾酒（600809）；安信信托（600816）；杉杉股份（600884）；珠海港（000507）；西藏城投（600773）；新黄浦（600638）；宁波海运（600798）等。

  4 存在上述问题的原因分析

 4.1外部原因

当前，我国企业的外部环境还不完善，存在着一些不利因素影响内部控制机制的有效发挥。首先，计划经济体制的长期影响是内部控制不受重视的重要原因。经济体制改革后，理论上要求的政企分开在执行中并不彻底。其次，从法规建设上看，我国尚未形成类似美国COSO报告的权威的内部控制标准体系。第三，从实施的层面上看，我国企业内部控制实践刚起步，而《企业内部控制基本规范》也只是自2009年7月1日起在上市公司范围内施行，仅鼓励非上市的大中型企业执行，执行时间短。

4.2内部原因

内部因素的影响是内部控制薄弱的根本原因。

4.2.1 公司治理结构不完善

内部治理与公司内部控制具有一定的一致性，两者是相辅相成的。表现形式上来说，内部控制是公司内部治理的延伸和具体化，所以健全完善的内部治理是内部控制有效实施的保障。但目前我国公司的内部治理存在着很大的问题：如董事会构建机制不健全，董事会未能真正行使权力和履行责任；从人员配备上未能真正隔断董事和管理层的脐带，不能保证董事会成员的独立性；企业管理者未能对内部控制担负起责任，而将责任推卸给财务人员。合理和完善的内部治理结构有助于内部控制的实施和公司经营目标的实现，在不完善的内部治理结构下，公司内部控制的实施得不到实施基础和环境的保障。

4.2.2人员素质偏低，观念落后

从目前情况来看，由于我国市场经济起步晚，企业内部控制实施时间短，企业人员的素质远未达到内部控制的要求。由于管理者对企业内部控制的建立健全负有主要责任，因此管理者的素质自然成为决定内部控制质量的重要因素。在动荡的市场经济条件下，缺乏理论知识和实践经验的企业管理者在面对内部控制爆发的问题时，显得束手无策。

4.2.3风险意识薄弱

我国企业内部控制的目标除了对财务体系的控制，还包括企业的有效经营、制定的各项管理措施、措施的执行和企业风险的防范。企业风险评估意识不强，缺乏风险目标设定、风险识别、风险分析及风险应对策略，难以实现对风险的有效控制。

4.2.4内部审计的监督职能严重弱化

要确保内部控制被切实执行、内部控制能够随时适应环境的变化，内部控制就必须被监督。

5 改进我国内部控制的对策

5.1 加强内部控制法制建设，促进内部控制在我国企业全方位施行

5.1.1将内部控制建设提高到法律高度，体现内部控制的权威性

美国、日本、韩国等国家都已将内部控制的建设上升到法律的高度，而我国的内部控制法制建设还处于部门规章层面，并未上升至法律法规层面。为确保内?控制得以有效执行，内部控制信息披露能够真实准确，投资者的利益得到切实维护，明确内部控制建设、执行、审计各主体的责任，监管机构应加强内部控制的法制建设，并借鉴美国的《萨班斯法案》，强化对隐瞒内部控制缺陷、虚假披露内部控制有效性的相关管理人员的处罚力度。因此，我国应当效仿美国的做法，将内部控制体系的建设由国家立法部门作出专门规定，或者在《会计法》、《注册会计师法》等相关法律中作出相应的规定，以建立企业实施内部控制的权威性，将对企业建立和实施内部控制的范围扩大到所有企业，明确企业和中介机构在建立和实施内部控制中不同主体的责任。

在法制建设中，要落实《公司法》关于公司治理的分层原则，强调企业治理层和管理层对内部控制建设和实施的责任，提高企业治理层和管理层对内部控制的重视。改变目前许多企业治理层和管理层重叠任职现象，明确公司治理层和管理层在内部控制建设、实施中不同主题的法律责任。

5.1.2制定内部控制缺陷认定标准，供企业和审计机构参考

查找并纠正企业内部控制设计和运行中的缺陷，是开展企业内部控制评价的一项重要工作，是不断完善企业内部控制的重要手段。《企业内部控制基本规范》及其配套指引没有对内部控制缺陷的认定标准进行统一规定，企业需要根据自身所处行业、经营规模、发展阶段、风险偏好等存在差异，结合企业规模、行业特征、风险水平等因素，研究确定适合本企业的内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。企业确定的内部控制缺陷标准应当从定性和定量的角度综合考虑，并保持相对稳定。通过不断的实践，总结经验，形成一套行之有效的内部控制缺陷认定方法。

　　财政部、证监会、审计署、银监会、保监会等有关部门，应当根据内部控制执行和试点情况，分行业、分类型总结企业的内部控制缺陷认定标准，供企业和审计机构参考。

5.2  建立公司法人治理结构，充分发挥内部控制的全方位控制功能

公司治理结构是在经营权和所有权分离的基础上，有效处理企业各利益相关者之间关系的制度安排。企业应按照我国《公司法》的要求，参照国际同类企业的通行做法，结合本企业实际情况，建立规范的法人治理结构，以促进企业内部控制的有效运行，保证内部控制功能发挥，是实行内部控制的制度环境。内部控制在公司治理结构中担当的是内部管理监控系统的角色，有利于企业受托者实现企业经营管理目标，完成受托责任的一种手段。所以，企业要建立法人治理结构，这样有利于充分发挥各部门和每个人的作用，调动整个企业的活力，实现内部控制所具有的全方位控制功能。

5.3  加强企业内部控制建设水平，提高企业内部控制建设和实施质量

5.3.1推进内部控制专业人才的培养，提升公司内控建设和实施的水平

无论是企业还是审计机构，内控人才短缺，已经成为制约内控制度建立和实施的瓶颈。同时，由于内控缺陷标准的缺失，使得内控实施过程中对缺陷的判断随意性增加，偏离企业实际。

5.3.2拓宽企业内部控制体系建设的范围，合理保证内部控制目标的实现

上市公司不仅应关注自身内部控制体系的建设，同时也应重视分子公司的内部控制体系建设工作，在充分考虑分子公司业务特征的基础之上，督促其建立完善的内部控制制度，合理保证整体内部控制目标的实现。

5.3.3加强对中介机构独立性和低价竞争的监管，提高内部控制咨询和审计质量

有相当一部分上市公司存在将内控咨询或评价与内控审计业务直接或间接委托给某一中介机构的现象，购买审计意见的行为明显。有部分中介机构成立咨询公司，并隐瞒其关联关系，承接其内部控制审计客户的内部控制咨询业务，严重违反了《企业内部控制基本规范》等相关规定对于中介机构独立性的要求。建议监管机构应当加强对中介机构的监管力度，防止和杜绝将内控咨询或评价与内控审计业务捆绑，避免内控审计流于形式。

另外，内部控制项目咨询服务质量是企业建立和实施内部控制的关键，一些咨询机构不惜以降价争夺市场，有了市场又不能派出有专业能力的人员完成，导致项目质量低下。监管部门应当加大对低价竞争的查处力度，保证内部控制建设的质量。

5.4  加强对内部控制的监督检查

5.4.1加强内部审计

内部审计是内部控制的重要环节之一，也是监督内部控制的主要力量。要充分发挥内部审计的作用，首先需要保证内部审计的独立性，使它受董事会的直接领导，内部审计提出的内部控制设计和执行过程中的问题董事会能够也必须直接作出改进的指示，这样内部审计才能真正在内部控制的施行过程中真正发挥作用，推动内部控制健康有序的发展。内部审计工作人员的工作不应该仅仅局限于对内部控制施行结果的查缺补漏，还应该积极参与到内部控制的建设和实施过程中来，对现有的内部控制状况作出评价，提出合理性建议。同时还需加强审计人员的专业知识，除了扎实的财务知识外，法律、管理和良好的人际关系都是应该具备的素质。

5.4.2加强外部监督  

外部监督有政府和社会的监督。政府的监督起强有力的规范制约作用，政府部门应定期对企业的内部控制进行监督检查，提出经营过程中的不足，提出改进作用，对严重违纪的企业作出惩罚。

为什么会出现审计过程流于形式、审计技术标准未建立、审计人才不足以及审计意见无价值等内部控制审计问题？为什么会出现内部控制项目咨询收费畸低而内部控制审计收费却相对较高？原因在于对内部控制审计监督检查不到位。

对于投资者而言，大家财务报?审计意见的关注度大于内部控制审计报告的审计意见，认为财务报告审计意见能反映公司财务真实情况，而内部控制审计反映的管理问题似乎无甚大碍，殊不知，良好的管理是实现该战略目标、经营目标和报告目标的前提，如此高度统一的内部控制审计意见不能反映公司的真实管理水平，给投资者带来的不确定因素远远大于财务报告反映的问题。在这样重大的问题上，监管部门没有给出明确的监管意见。

由于没有法律风险，审计机构对内部控制审计流于形式不可避免。对一些中介机构而言，内部控制审计是来钱的买卖，审计投入较以前单纯的财务审计并不成比例增加，收入却增加不少，令人兴奋的是，这种审计没有财务审计那样巨大的审计风险。因此，中介机构怠于建立内部控制审计技术标准，怠于培养内部控制审计的专门人才，有的中介机构甚至没有健全的内部控制审计底稿，在实施审计时，许多不具备专业能力的助理人员在没有缺陷认定标准的状态下实施判断，这样的审计结果可想而知。

对企业而言，内部控制项目建设是为了满足监管部门的要求，并不真正付诸实施；内部控制审计，也是为了满足监管部门要求，却要取得社会形象。同样都是应付，目的不同。在人员能力要求高、工作量巨大、时间耗费长的内部控制项目实施阶段，竞相压价；在要得到内部控制审计意见的时候，虽然工作量很小，却付费不菲。

因此，加大对内部控制建设和实施、监督检查力度，才是避免内部控制审计流于形式的根本途径，才能有效的促进内部控制在我国的健康发展。

结束语

本文首先在对内部控制体系在国内外的研究和发展历程做了初步的介绍，接着对内部控制的发展现状从国内和国外两个方面进行对比分析，引出我国内部控制建设和实施过程中存在的问题，总结产生问题的原因，最后提出改进我国内部控制建设的对策。

任何理论的发展和完善都离不开实践，我国企业的内部控制建设刚刚?步，虽然在许多企业取得了长足发展，但总体还处于探索阶段，内部控制体系建设尚不完善，还未建立起适合我国企业的内部控制体系，在以后的工作中，一方面要加强对国外先进的内部控制体系的研究，另一方面需要我国企业结合自身的具体特点，积极将理论应用于实践。内部控制作为我国企业管理创新的重要手段，只要我们以高涨的工作热情，严谨的科学态度，不断加以探索，假以时日，适合中国国情的内部控制体系一定会建立完善起来。

由于笔者水平和能力有限，加之一些主客观因素的影响，使得本文还存在许多不足之处，希望通过今后不断的学习和工作实践，能够更加深刻地对相关问题理解和认识。衷心地欢迎各位专家和老师批评指正。

参考文献

1、财政部等 《企业内部控制基本规范》2008年5月26日发布。

2、财政部等 《企业内部控制配套指引》2010年4月27日发布。

3、财政部办公厅、证监会办公厅《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》，2012年8月14日发布。

4、财政部  《关于印发企业内部控制规范体系实施中相关问题解释第1号的通知》　　财会〔2012〕3号。

5、财政部  《关于印发企业内部控制规范体系实施中相关问题解释第2号的通知》 财会〔2012〕18号。

   6、财政部会计司证监会会计部  《我国境内外同时上市公司2011年执行企业内控规范体系情况分析报告——基于2011年内控评价报告、内控审计报告的分析》。

7、财政部会计司 证监会会计部 《我国上市公司2012年实施企业内部控制规范体系情况分析报告》。

8、迪博企业风险管理技术有限公司  《中国上市公司2013年内部控制白皮书》2013-06-26 证券时报网。

9、财政部会计司  《美国、加拿大企业内部控制调研报告》。

10、美国Treadway委员会发起组织委员会  《内部控制—整合框架》。

11、（美）COSO制定发布  《企业风险管理—整合框架》。

12、美国管理会计师协会（IMA）发布，张先治、袁克利主译  《财务报告内部控制与风险管理》。

12、亚洲风险与危机管理协会风险管理系列丛书  《企业全面风险管理基础》。

13、胡为民等  《内部控制与企业风险管理—实务操作指南》。

14、郑洪涛 张颖《企业内部控制学》（第二版），大连，东北财经大学出版社，2012.8。

15、中国会计报  《内控制度安排更着重于风险控制》  2008-08-01。

16、北大荒（SH600598）2012年年报。

17、ST长油（SH600087）2012年年报。

18、吉林森工（600189）2012年年报。

19、*ST南化（600301）2012年年报。