一、序言

　　（一）研究背景

　　1938年，震惊世界的麦克森-罗宾斯公司舞弊案，开始引起了人们对内部控制的重视。二十世纪后期，又相继发生了一系列耸人听闻的公司造假和商业欺诈事件，例如美国的安然，世界通信，施乐和默克制药相继爆出会计丑闻，历史悠久的银行业巨人英国巴林银行破产，日本最大的金融机构三井住友银行爆出中行油巨亏事件，这些全都无一例外与公司的管理有着千万缕的联系。而内部控制也正是公司管理中最重要的部分之一，内部控制的失效，直接导致公司管理不善，经营出现问题。

　　然而，我国的内部控制思想较国外起步晚，这也导致我国近年来公司丑闻更是频频曝光。从早期的“郑百文”，“银广夏”，“麦科特”，“蓝田股份”，“东方电子”等上市公司会计造假，到2005年，伊利股份董事长被拘留，创维数码董事局主席和金正数码及深圳石化董事长被捕，开开公司高层人员携款潜逃。反省以上事件，问题无不出在公司的管理经营上，而内部控制不利，是非常重要的一个原因。

　　我国现在内部控制理论还很不完善，内部控制制度还存在很多缺陷。因此，若要建立良好的现代企业制度，必须完善内部控制制度，加强内部控制执行，才能保证企业健康，持续的发展下去。

　　（二）研究意义

　　管理实践证明，企业的所有管理工作应从建立和完善内部控制制度开始。企业的一切决策和活动都应在完善的内部控制制度下制定和执行，不能游离于内部控制制度之外。完善的内部控制系统对于任何组织，任何单位，无论其规模大小，盈利与否，都至关重要。上述的公司舞弊事件已经证明，单位中的差错舞弊，经营效率低下，损失浪费严重，都是由内部控制的缺陷直接或间接引起的。

　　现代企业的核心是法人治理结构，法人治理结构都是一组规范与法人财产相关各方的责、权、利的经济安排。其中包括股东大会、董事会、管理者和员工，或者说是法人治理制度的组织结构形态。[1]公司的各项制度实质就是他们之间的权责划分，而责权利的实现则有赖于建立与公司内外环境相一致的具体控制制度。

　　内部控制已成为现代企业管理的重要组成部分，其内涵相当广泛，而且其作用也远不止防弊纠错。内部控制的目标已扩大到保证会计记录的准确性，财务信息的可靠性，减少不必要的费用，提高企业经营效率，保护资产，避免异常风险，履行法律责任等。

　　随着我国加入WTO，国内市场竞争会更加激烈。我国的企业将面临不仅来自国内的竞争，更有来自国际市场的冲击。市场竞争归根结底是切的管理竞争。企业只有具备完善的内部管理制度，才有可能在激烈的市场竞争中取得一席之地。而内部控制制度是企业内部管理制度的一个非常重要的组成部分，对企业确保财务报告的准确性和可靠性、经营活动的效率性和效果性、资产的安全性有着重要的作用。

　　因此，研究我国内部控制的失效原因及对策，具有非常重要的现实意义。通过对内部控制理论和实践的研究，有助于企业建立完善的内部控制制度，提高企业管理效率，实现企业的各项目标。

　　（三）研究内容及论文结构

　　文章从内部控制失效的角度进行分析，找到我国上市公司内部控制存在的问题并加以完善，以达到强化内部控制效果，提高企业管理效率，杜绝企业舞弊现象的发生。本文以COSO报告为基础，将内部控制的构成分为五要素，分别为控制环境，风险评估，控制活动，信息与沟通，监控。本文将对其概念、意义、现状及完善分别进行讨论。

　　本文结构如下：

　　第一章，选题的意义。

　　完善的内部控制制度可以规范企业的各种行为，提高企业的经营效率，实现企业的经营目标。但是目前我国很多企业并不具备完善的内部控制制度，即使有内部控制制度，也不一定能发挥其应有的作用。这是我国上市公司普遍存在的问题。本文通过对内部控制失效及其成因的分析，找出企业目前制度存在的不完善之处，提出改进建议，加强内部管理，提高企业竞争力。

　　第二章，理论回顾及研究。

　　通过回顾内部控制的发展，研究其概念及理论，以及COSO报告的主要相关内容，更加深刻的理解内部控制的内涵，作为内部控制应用于实践的指导，并找到内部控制制度设计的理论依据。

　　第三章，我国企业内部控制现状及失效成因。

　　通过大量的数据及资料，分析我国目前企业内部控制状况及存在的问题，将理论与实际相结合，找出现实中的不足，从控制环境，风险评估，控制活动，信息与沟通，监控五个方面分别进行分析，并对现象背后的原因进行深入讨论。

　　第四章，完善我国企业内部控制的几点建议。

　　这部分以公司为立足点，从公司的角度去考虑如何完善内部控制制度，以可操作性为前提，完善COSO五要素，提出具体的改进建议。

　　第五章，总结与展望。

　　通过对我国上市公司内部控制现状的分析和对内部控制制度的研究，发现内部控制制度中存在较大缺陷的地方，进行深入的思考，探讨内部控制理论在中国企业具体运用中存在的主要问题，提出自己的见解。希望有更多人认识内部控制的重要性，结合企业实际情况切实有效的完善内部控制制度，提高企业的竞争力。

　　论文特色：本文的特点在于对内部控制失效做了全面系统的分析。笔者认为虽然研究内部控制理论的文章有很多，但大多数都是从某一方面进行研究，不够系统、全面。因此本文以五要素为切入点进行系统分析，再从现象到本质，从外部到内部，全面剖析内部控制失效现象背后的原因。

　　另外，在文章第四部分，笔者提出了详细的完善对策。同其他文章不同之处在于，大多数学者都论述了应该从哪几方面进行改进，但更多论述的是所选择改进的几方面的原因或作用，这在本文第三部分都已进行了论述。笔者认为要对上市公司真正起到借鉴作用，应提出更加具体的改进措施。因此在这一部分，笔者站在公司而不是学者的角度，以可操作行为前提，提出了十分详细具体的完善内部控制的对策。

　　二、文献综述

　　（一）国外内部控制研究进展自1949年，美国会计师协会审计程序委员会提出内部控制这一概念至今，内部控制的理论经历了内部牵制，内部控制制度，内部控制结构，内部控制整体框架和企业风险管理这五个阶段。这五个阶段中，内部牵制阶段以账目间的相互核对和岗位分离为主要内容；内部控制制度阶段将内部控制分为内部会计控制和内部管理控制两部分；内部控制结构阶段引入控制环境，将内部控制定义为由控制环境、会计制度和控制程序三要素构成的体系；内部控制整体框架阶段将内部控制扩展为控制环境、风险评估、控制活动、信息与沟通以及监督五要素，将内部控制由平面结构发展为立体结构；企业风险管理阶段将内部控制融入风险管理，将五要素又扩展为八要素，即内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控，更加丰富了内部控制的内容。

　　具体发展历程如下：

　　1 内部牵制——20世纪初，《柯氏会计词典》中将内部牵制定义为：“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。”

　　2 内部控制制度——1949年，该委员会在《内部控制，一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中，对内部控制首次作了权威性定义：“内部控制包括组织机构的设计和公司内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护公司的财产，检查会计信息的准确性，提高经营效率，推动公司坚持执行既定的管理政策。”1958年，该审计委员会在《审计程序文告的第29号》，正式以文稿形式对内部控制重新进行表述：“内部控制从广义上说包括会计控制和管理控制。”1972年，该委员会发布的第1号《审计准则公告》给管理控制和会计控制下了一个详细且权威的定义。该定义如下：“管理控制包括（但不限于）组织规划以及与管理当局进行经济业务授权的决策过程有关的程序和记录。这种授权是与实现组织目标这个责任相联系的管理功能，并且是建立交易的会计控制的起点；会计控制包括（但不限于）组织规划以及保护财产安全和财务报表可靠性有关的程序和记录。”

　　3 内部控制结构——1988年，美国注册会计师协会下属的审计准则委员会（ASB）发布第55号《审计准则公告》（SAS No. 55），正式提出“内部控制结构（Internal Control Structure）”这一概念：企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序，包括控制环境（Control Environment）、会计系统（Accounting System）和控制程序（Control Procedure）。该公告的两大变化是：一、将控制环境正式纳入内部控制范畴，把对控制环境重要性的认识提高到相应的程度。二、不再区分会计控制和管理控制。

　　4 内部控制整体框架——1992年，COSO发布了题为“内部控制一一整体框架”的研究报告。1995年，AICPA发布第78号《审计准则公告》（SAS No.78），全面接受COSO报告的内容。新准则将内部控制定义为“内部控制是由企业董事会、管理层和其他员工实施的，为经营的效率效果、财务报告的可靠性和相关法律的遵循性等目标的实现而提供合理保证的过程”。该准则不仅明确了内部控制的三大目标，而且划分了内部控制的五要素，分别为控制环境、风险评估、控制活动、信息与沟通、监督。同SAS第55号相比，COSO报告保留了“控制环境”和“控制程序”的合理要素，调整模糊要素“会计系统”为“信息与沟通”，加入新成分“风险评估”和监控，使得内部控制由原来的平面结构发展为立体框架。这样的结构使内部控制不仅仅局限于会计，而是渗透到企业经营和管理的各个方面。这样的结构设置也使内部控制更加合理、充实。

　　2002年7月通过的《萨班斯——奥克斯利法案》，特别强调了对公司内部控制的有效性进行评估。要求在年报中提供内部控制报告，评价公司内部控制设计及其执行的有效性，注册会计师要对企业的内部控制报告进行审核和报告。公司的首席执行官与财务官需出具书面保证，不仅要确保财务报告的真实性，还要确保公司拥有完善的内部控制体系。[2] 5企业风险管理——2004年9月29日，波莱斯沃特豪斯公司代表COSO委员会发布了《企业风险管理——整体框架》（Enterprise Risk Management - Integrated Framework），该框架标志着内部控制新的理论时期的到来。该框架的出台为企业评价和改善风险管理程序提供了一个可供参考的基点，将内部控制纳入风险管理，成为企业经营管理过程的重要组成部分。企业管理风险与之前的内部控制有很大不同。从目标角度，由内部控制整体框架的三大目标重新定义为四大目标：战略目标、经营目标、报告目标和遵循目标；从构成角度，将五大要素扩展为八大要素：内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控[3].在内容上，企业风险管理框架包括六个方面：协调风险偏好和战略决策、提高风险反应决策、降低经营的意外和损失、识别和管理纵横交错的企业风险、抓住机遇、提高利用资本的效率。

　　企业管理风险框架新增的目标制定、事项识别和风险反应三个要素体现了内部控制对风险管理的要求，而风险评估、事项识别和风险反应组成了风险管理的预警、判定和防范的系统。企业管理风险框架建立在内部控制框架的基础上，范围比内部控制更广，是一部针对企业风险涵盖整个企业管理的框架。它要求企业在制定战略时就考虑风险，要求企业自上而下所有管理人员都要有风险意识。该框架已经将内部控制上升为一种管理理念，它将企业风险、内控制和公司治理紧紧联系在了一起。

　　提高劳动效率，进一步发展社会生产力。金融对外开放是市场经济走向成熟的标志，但恰恰是中国对外开放、与国际市场接轨的薄弱环节，中国政府要加大开放力度，重点似应在金融开放上大做文章。诚然，目前韩国市场经济体制仍处于不断完善之中，政府调控与市场机制的协调，国际市场与国内市场的促进，经济发展与社会保障的配套等还存在发展失衡的问题，尚有待于进一步改进。

　　（二）我国内部控制研究现状在我国，内部控制开始进入规范阶段是从20世纪90年代开始。随着中航油巨亏事件，伊利高管被拘，创维数码董事局主席被捕等事件的曝光，内部控制越来越受到人们的重视。众多学者纷纷对内部控制进行了细致深入的研究，并取得了显著的成果。

　　阎达五，杨有红（2001）认为，保证会计信息的真实性是内部控制发展的主线，会计控制是公司内部控制的核心，内部控制目标随公司治理机制的完善呈多元化趋势。内部控制框架在公司制度安排中担任内部管理监控的角色，成为公司管理中不可缺少的部分。在内部控制框架的构建中应抓住的关键问题包括：健全管理机构，理清管理权责，确立董事会在内部控制框架构建中的核心地位，内部审计机构设置与科学定位，强化预算管理和建立具有操作性的道德规范与行为准则。[4]郭晓梅，唐予华（2002）探讨了内部控制制度和会计信息对于委托代理问题的意义，并从内部控制制度的构成和控制系统与信息系统的关系入手，分析了会计信息对于内部控制制度的作用，以及内部控制制度对会计信息的反作用。认为内部控制制度与会计信息共生共存，相互影响，加强内部控制制度有助于提高会计信息质量，而会计信息质量的提高又将促进内部控制制度的有效实施最终促进委托代理问题的解决。[5]李明辉（2002）认为一个健全的内部控制体系，应包括：公司所有权、决策权、经营权、监管权的相互制衡，公司决策权和经营权的制衡，公司内部的审计组织模式以及职权范围，公司的财务控制，公司的内部控制制度和岗位操作规范。并指出我国上市公司内控体系存在三权制衡体系混乱，“内部人”控制现象严重，内部审计的地位削弱化的问题。[6]虽然我国很多学者对内部控制都进行了研究，但是推动内部控制的发展主要还是依靠政府。自1986年，财政部就颁发了《会计基础工作规范》，正式提出了内部控制。该规范将内部会计控制陈述为“单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行而制定和实施的一系列控制方法、措施和程序”。

　　1996年财政部发布《独立审计具体准则第9号——内部控制与审计风险》，要求注册会计师在会计报表审计时研究和评价被审计单位的内部控制，并对内部控制的定义、内容做出规定。

　　1997年中国人民银行颁布了《加强金融机构内部控制的指导原则》，这是我国第一个关于内部控制的行政规定。

　　1999年证监会发布《关于上市公司做好各项资产减值准备等有关事项的通知》，要求上市公司本着审慎经营、部门拟定（或修订）内部控制制度，有效防范化解资产损失风险的原则成立相关监事会对内部控制制度的制定和执行负责监督。

　　1999年新修订的《会计法》首次以法律的形式对企业的内部控制做出规定，该法明确提出，“各单位应当建立、健全本单位内部会计监督制度。”

　　2000年证监会发布的《公开发行证券公司信息披露编报规则》要求商业上市公司、保险公司、证券公司建立内部控制制度，对内部控制制度的完整性、合理性和有效性进行评价，提出改进建议。

　　2001年中国注册会计师协会制定《内部控制审核指导意见》明确了对内部控制评价的要求。

　　2001年证监会颁布《证券公司内部控制指引》，指引要求证券公司要健全内部控制机制和完善内部控制制度，以规范公司经营行为，有效防范金融风险；要求证券公司应当按照指引要求，建立运行有效、控制严密的内部控制机制，制定科学合理、切实有效的内部控制制度。

　　2001年财政部发布《内部会计控制规范——基本规范（试行）》、《内部会计控制规范——货币资金（试行）》，2002年发布《内部会计控制规范——采购与付款（试行）》和《内部会计控制规范——销售与收款（试行）》，2003年发布《内部会计控制规范——工程项目（试行）》，2004年发布《内部会计控制规范——担保（试行）》和《内部会计控制规范——对外投资（试行）》，这些制度是企业建立内部控制的指导，也是对内部控制进行评价的标准。

　　（三）理论比较

　　同国外的内部控制理论研究比较，我国对于内部控制的研究仍然存在很多缺陷。比如，内部控制的概念仍不统一。我国尚未提出十分权威的内部控制概念。对内部控制的完整性、有效性更没有一个公认的标准体系。在现行的规范制度中，审计细则中的《内部控制与审计风险》从报表审计的角度提出了内部控制的要求，而《会计法》是从企业内部会计控制的规定角度规范了内部控制。这就容易导致企业管理者对内部控制产生误解，认为内部控制就是岗位牵制，或是审计规范等错误思想。又如，内部控制的规范体系不够完整，有的政府部门只是就事论事，临时解决问题。财政部于1996年颁发《会计基础工作规范》，对上市公司内部控制报告做了一些规定；2000年证监会发布《公开发行证券的金融企业发行规则》，对公开发行证券的金融企业内部控制披露做了一些规范。整体上并没有一个系统的、完整的内部控制规范体系，这势必对内部控制的规范的完整性、合理性造成一定的影响。

　　三、我国上市公司内部控制现状及成因

　　（一）我国上市公司内部控制现状1内部控制环境现状

　　（1）公司治理结构不合理，内部人控制现象严重。

　　所谓“内部人控制”是指现代企业中的所有权与经营权相分离的前提下形成的，由于所有者与经营者利益不一致，导致经营者控制公司，即“内部人控制”。当公司的投资权、筹资权、经营权、人事权等都掌握在经营者手中时，股东就很难对其行为进行有效的监督。又由于股东利益与经营者利益在一定程度上存在冲突，经营者会按照自己的利益进行过度投资、过分在职消费，都会不同程度损害股东的长远利益，提高了代理成本。而公司的治理目标是为了降低代理成本，维护股东权益。

　　（2）“一股独大”为占款问题埋下隐患股东大会是公司的最高权力机构。但在实践中，股东大会召集人通过设置各种障碍剥夺中小股东知情权的现象时有发生。中国的大多数上市公司是由国有企业改制而来，因此国家处于绝对或相对控股地位，这就容易导致“一股独大”。

　　中国证券管理委员会截至2004年12月底的统计数据表明，境内上市公司的流通市值只占市价总值的31.54%，非流通市值占60%以上，上市公司控制权只是在非流通股股东之间配置。2004年广东证券股份有限公司对1066家上市公司进行实证研究发现，以非流通股为基数，72.62%的上市公司的第一大股东掌握绝对控股权，第一大股东平均持股比例是第二大股东平均持股比例的5.14倍。从样本总体上看，第一大股东拥有绝对的投票权优势。在1066家上市公司中，控制主体性质为国有性质的（包括国家股或国有法人股股东）占总样本的74.20%，民营性质（含自然人）占14.82%，一般法人股性质占10.41%.数据表明，我国上市公司的股权集中于不可流通的国有股，国有股拥有绝对的控股权。股权过于集中使得大股东的决策利益往往倾向于个人，而不是公司。由于国有股本身的产权缺陷，造成了拥有绝对控制权的上市公司高级管理人员凌驾于制度之上。原本大股东通过上市来获得溢价收益并将其套现是正常的资本运营，但由于国有股未上市流通，使控股公司无法通过出售或收购子公司股份来调整自己的现金流量，当控股公司出现现金流量问题时，就会出现大股东占用上市公司资金的倾向[7].

　　（3）董事会监督作用虚拟化在我国上市公司制度中，董事长是法人代表，但法人代表和总经理的权力边界没有明确界定，导致的情况是总经理秉承董事长的意志行事。据有关调查表明，上市公司董事会成员中，100%为内部董事的公司占有效样本数的22.1%，50%以上为内部董事的公司占有效样本数的78.2%，董事长和总经理一人兼任的公司占总样本的47.7%.执行董事的过多导致了董事会对管理团队的监督在某种意义上是自己监督自己。这种管理团队难以发挥独立的经营权管理权，只能执行董事会的命令，使得董事会的监督作用成为摆设。

　　（4）监事会作用有限我国在1993年《公司法》明确规定了上市公司应采用监事会模式进行内部监督。但我国采用的是单层董事会制度，监事会与董事会平行，仅有监督权而无控制权和决策权，也无任免董事会的权利，更无权参与和否决董事会的决策。这使得监事会实际上只是一个受董事会控制的议事机构。

　　1 缺乏风险管理意识自我国加入WTO以后，我国的经济环境发生了很大的变化。不再是以前单纯的竞争环境。以前企业的竞争主要体现在行业内部，不需要考虑到环境的变化对企业的影响，更不用担心国际金融的起伏对我国经济的影响。长期在低风险下运营的企业管理者逐渐淡薄了风险意识，不去重视建立一个有效的风险控制体系。在这种情况下，“中航油事件”算是一个牺牲品，因参与石油期货交易巨亏5.5亿美元。在缺乏全面风险管理的情况下，我国企业很难适应新的竞争环境，给企业发展留下了很大的隐患。

　　2 控制活动控制活动是指除其他四方面外，管理当局为满足财务报告的目标而建立的各种政策和程序。目前有一些企业的内部控制还没有做到使所有决策和业务过程和操作环节都处于内部控制和监督之下。比如有的公司只有财务才有内部控制制度，操作规程衔接不紧密，管理效应弱化等。有的企业虽然建立了比较完善的内部控制制但由于有关人员相互勾结，内外串通，使内控制度不能发挥其作用，另外，执行人员滥用职权或屈从于权威而不认真执行，致使内控制度形同虚设，不能达到控制的目的。[8]

　　3 信息与沟通流畅的信息沟通是一个内部控制系统有效发挥作用的必要保障。在一个良好的信息系统中，每个人都应该清楚地知道其所承担的职务与责任。每位员工都必须了解内部控制制度的相关方面，及其如何运作，和在内部控制制度中扮演的角色及所承担的责任与义务等。并且，在系统的各个子系统之间，信息的传递同样需要保持通畅。但目前，在我国的上市公司中，内部控制的信息系统主要存在以下几种问题：

　　（1）信息在使用者中传递不够通畅。主要原因是机构组织过于庞大，结构复杂，层次过多，影响了信息沟通的及时性和准确性。我国上市公司一般由董事会、经理层、子公司经理、部门经理、项目主管等层层机构构成，董事会传达的信息到最终信息接受者几乎已经没有了时效性，准确性也应值得怀疑。据学者统计，如果一个信息在高层管理者那里正确性是100%，到了信息的接受者手里可能只剩下20%的正确性。由于各级部门主管都会自己识别信息，加入主观因素，再进行传达，层层过滤，最后很有可能导致信息的曲解。

　　（2）各个子信息系统信息流动不通畅。我国企业虽然目前已经开始注重信息的沟通，进行了较多的投入在建设信息系统上。但是投资项目多是单个的独立系统，缺乏整体效益。每个项目自己运作的比较有成效，但整体却无法取得明显的效益，结果构筑了无数的“信息孤岛”。另外，企业每个信息系统的建设没有一个统一的标准，导致信息采集、加工和最终数据结果不能进行共享，这是信息沟通不畅的另一个重要原因。

　　4 监控内部控制的监控工作主要是是靠企业的内部审计部门。内部审计是对会计的控制和再监督，对会计资料进行内部审计，既是企业内部控制的一个组成部分，也是内部控制有效性的反馈机制。即使内部控制制度设计的再完善再有效，若工作人员没有认真有效地执行，那么制度也只能成为一纸空文。因此，我国企业内部控制实施不利的一个重要因素就是内部控制监督做的不到位。