我国上市公司内部控制失效分析及对策(下)(2)

（二）风险评估
每个企业都面临来自内部和外部的风险，针对企业不同的目标，企业需要进行不同的风险识别，以达到控制风险或规避风险，提高经营效率，达到经营目标的目的。风险评估主要由三部分组成：目标制定，风险评估，风险应对
1目标制定
目标的制定是企业进行风险控制的前提。只有先确立了目标，管理层才能针对目标确定风险并采取相应措施来控制风险。企业的目标可分为营运目标、财务目标和遵循性目标。营运目标是与企业经营的效果和效率有关的目标，包括业绩、盈利和保护资产。财务目标要求公司的财务报告的准确性与真实性，防止财务报告的欺诈。遵循性目标要求企业遵守相关的法律和法规。
具体的目标制定可通过以下控制活动：（1）由管理层建立战略目标、战略规划及相应的业务计划；（2）保证公司目标在公司内部的传达，并通过组织会议等方法了解管理层和公司员工对公司目标的反馈；（3）保证公司战略目标、战略规划及相应的业务计划的一致性，通过预算调整程序保持业务计划、预算目标与公司战略的一致性；（4）建立定期复核公司目标与业务计划的程序，如定期召开会以对公司战略计划和年度发展规划的执行情况进行评估，根据经营环境的变化对战略规划进行调整。
2建立风险评估程序
在企业确定了目标之后，就应该针对其指定的目标进行风险评估。主要包括风险的因素识别，评估风险的重要程度，评估风险发生的可能性，尽可能对企业所面临的风险有充分的认识。
具体控制活动如下：（1）对外部风险因素进行预期和识别，包括技术的进步、客户的需求、现有以及潜在的竞争对手、法律法规的变化、社会经济形势的变化等；（2）对内部风险进行预期和识别，包括信息的损坏，雇员的违规、管理层的失职等；（3）建立风险评估机制和程序，对每项风险因素进行考虑，考虑其在风险中的重要程度，并对其相关性加以研究，综合考虑来确定具体风险的重要程度和发生的可能性；（4）建立风险监控程序，对容易变化的风险因素进行实施监督，及时了解风险的变化，调整风险评估结果；（5）完整记录风险评估过程，将结果反馈给相关责任人，由其进行指导风险评估制度的建立与评估。
3建立风险应对措施
在充分了解企业所面临的风险及其状况后，应建立风险应对机制，来控制或规避风险。否则风险评估将失去意义，企业将暴露在风险之中。
具体控制活动包括：（1）针对可能存在较大风险的业务建立专门的风险应对措施，如重大并购业务，资产的剥离等；（2）针对有重大风险因素的例外事项建立风险应对措施，比如环境发生重大改变而预算也应随之进行相应调整，防止舞弊发生；（3）管理层对风险应对措施进行检查，监控，并建立反馈机制，完善公司的风险预警机制，对风险评估和应对机制的有效性和充分性进行评价，保证风险评估机制有效实施。

（三）控制活动
控制活动是指为确保公司的内部控制制度顺利实施而采取的政策和程序。控制活动主要分为以下几种：
○1业绩评价，将实际业绩与制定的标准和以前的数据进行横向与纵向的比较，将不同的数据根据相关性进行联系分析，从多方面对业绩进行评价。
○2信息处理，保证业务在信息系统中正确、完全和经授权处理的活动。信息处理控制主要包括针对信息系统和信息本身的控制。对信息系统要保证软件程序的完整性、兼容性、效率性，定期对软件进行维护，确保信息安全与完整。对信息要确保其真实性，完整性和时效性，采取不定期对信息核查等措施。
○3实务控制，即资产和记录交叉核对，包括实物安全控制，定期盘点数量，对计算机数据的接触与授权，进行账账对比，账实对比。
○4职责分离，对每一项职能进行分离，尽量向没有一个职员负责超过一个职能的方向努力。尽量做到业务授权、业务执行、业务记录和业务监督的分离，有意识的预防舞弊的发生。
○5风险控制，在制定了风险评估程序和风险应对机制后，应确保该控制有效实施，包括风险控制机制评价程序，建立反馈制度。
具体控制活动内容如下：
1建立必要内部控制制度和程序：（1）管理层应根据公司的业务活动的特点以及风险评估的结果，制定必要的政策和程序；（2）制定政策要遵循以下原则：合法性、健全性、针对性、一贯性、适应性和经济性；（3）同时建立实时监控制机制，关注企业业务变化和环境风险的变化，对相关政策和程序进行调整，提高制度的有效性。
2建立预算管理体系对公司经营活动进行有效控制：（1）完善公司预算管理体系；（2）定期复核关键绩效指标，如预算、利润、市场份额等，与历史数据和制定标准分别进行对比，识别重大差异；（3）将结果定期上报管理层和董事会，制定相应的调整方案。
3制定信息系统的政策与程序，关注信息安全、变更管理、程序开发与维护等领域：（1）管理层建立针对信息安全、隐私和公司整体安全的相关政策与程序；（2）由企业信息部制定包括信息安全、计算机操作、变更管理、程序开发实施与维护等方面的政策和程序，定期审阅和更新这些政策制度，并已下发文件方式传达至员工；（3）企业信息部建立相应敏感数据安全风险评估的政策与程序，协同业务部门评估敏感数据的安全风险，并据此合理确立数据分类标准及安全维护规范；（4）定期复核不同应用系统、数据库和操作系统的系统权限和访问控制以保证安全性；（5）在员工离开原岗位后应及时对用户的权限进行变更。

4保证记账的准确性和有效性，并满足信息披露的相关要求：（1）根据国家会计法和公司法的规定制定记账和结账程序；（2）建立有关法律遵循部门，对财务报告的披露进行复核和确认，评估其是否遵循法律的要求；（3）建立定期盘点制度，定期对实物进行盘点，确保实物与账簿相符，并通过程序设计确保盘点的有效性。
5分离相关职责，运用内部牵制，防止舞弊发生：（1）制定明确的公司岗位责任制度，并以书面形式向员工传达，让每位员工明确自己的权利与义务；（2）在制定公司运营流程时尽量细分每项职责，原则上由不同的员工担任不同的岗位；（3）由人力资源部门进行关键岗位员工背景调查，对于违反职责分离原则的情况进行整改。
6评价风险控制机制，有效控制风险：（1）建立风险评估委员会，不仅制定风险评估程序，同时制定风险评估程序评价机制，定期对风险评估程序进行评价，分析其有效性并进行改进；（2）管理层实施风险评价程序的过程进行检查，确保程序被有效执行；（3）建立风险反馈机制，接受来自方面的风险信息，以之作为参考，完善风险控制机制。

（四）信息与沟通
若使内部控制运行有效，风险管理到位，一个非常重要的前提条件就是信息的获取，要求信息的准确性，相关性，及时性，完整性和安全性。同时，在信息采集到以后，应及时传递到需要的人手中。这体现了信息与沟通的两个核心要素：信息，沟通。
信息是为了业务经营和达成企业的目标——经营的、财务的和遵循性的目标，企业所需要掌握的所有数据和情况。信息主要由信息系统来识别、掌握、加工和报告。对采集到的信息要关注其准确性，相关性，及时性，完整性和安全性。
沟通是信息系统必不可少的另一部分，它既是信息采集的渠道，又是信息采集到后的工作延续。将采集到的信息及时的传递给信息使用者，是沟通的本质作用。同时，还应该保证信息传递的完整性与准确性。沟通主要分为外部沟通和内部沟通。
具体控制活动如下：
1建立并完善信息系统：（1）根据公司的整体战略目标制定信息系统战略，成立信息规划组织，保证有适当的人力和财务资源以开发必要的信息系统；（2）对开发人员进行监控，考虑内部控制检查与权力制衡的设计；（3）收集公司所需要的信息，包括管理层和普通员工，但主要是针对管理层，为管理层的决策提供辅助作用；（4）建立良好的信息传递渠道，保证各个子系统之间沟通顺畅，消除不兼容的现象；（5）建立业务持续计划，并对系统进行定期维护；（6）建立灾难恢复计划，定期将数据备份并保证其隐私性。
2保证信息质量：（1）在开发过程中，信息使用部门应参与相关信息系统的开发与检测，以确保信息的可靠性；（2）建立信息搜集、传递、处理和报告的标准程序，确保信息传递及时性和完整性；（3）针对公司重要信息，建立专门的整理和保管制度，保证信息的完整，并建立相应的授权制度，保证信息安全。
3建立外部信息沟通渠道：（1）针对客户和供应商，建立产品和公司信息的交流渠道，包括购买和销售产品或服务的信息，产品或服务质量的反馈，公司的制度和企业文化的交流等；（2）针对竞争对手建立合作的信息交流渠道，共享公司允许范围内的信息；（3）针对投资者建立定期信息披露制度，使投资者对公司有更多的了解，增加投资者的投资信心；（4）针对监管者建立定期报告制度，上报公司信息，并收集监管者关于公司的意见和建议。
4建立内部信息沟通渠道：（1）建立自上而下信息传递标准程序，传达公司的经营目标和财务目标；（2）建立平行信息传递标准程序，将信息在同级部门之间顺利传递；（3）建立自下而上信息传递标准程序，收集员工工作情况，公司经营目标的偏离情况；（4）建立不合理事项信息沟通渠道，包括匿名举报，保密条款等。

（五）监控要素
监控是内部控制有效运行的必要保障。它的保障作用主要体现在以下三个方面：持续监督，独立评估，防止舞弊。
持续监督是在公司日常经营过程中，对经常发生的经济业务和程序执行进行监督。持续监督工作包括日常经济业务的发生，风险管理系统的运行状况，员工内部控制的执行情况等。
独立评估是由内部审计和第三方对内部控制程序本身以及执行情况进行评估，考察内部控制制度有哪些缺陷，执行不到位的原因，并提出相应整改建议。主要工作包括建立评价程序，选择评价方法和标准，完善内部控制制度。
防止舞弊是监控最为基本的职能之一，针对公司关键点特别进行监控，一旦发现员工舞弊行为，应给予严厉的惩处。
具体控制活动如下：
1持续监控：（1）核对员工在执行日常工作中获得的数据与信息系统中产生的数据，以获得内部控制中信息系统的漏洞和缺陷；（2）定期核对账面记录与实物资产，保证资产安全，确认内部控制有效执行；（3）对公司关键点进行严密监控，监视员工的操作是否有违规行为；（4）定期举行会议或其他方式，向管理层提供内部控制的运行情况以及是否有效。
2独立评估：（1）提高独立评估主体的独立性，包括评估主体直接向董事会负责，评估的工作范围、获取的信息和接触的人员不受限制，有充足的审计资源；（2）建立评价程序，包括制定评估计划，数据采集，情况调查，数据分析，评价结果和整改建议；（3）选择评估方法和评估标准，运用多种审计形式，如经营审计、内控审计、外部检查、独立调研、专项调查等，注重内部审计质量，通过多因素进行内部控制有效性评价；（4）制定反馈程序，对于评估过程中发现的问题，需及时向管理层汇报，提出建议，并监督管理层的整改，使监控真正发挥作用，提高内部控制的有效性。

3防止舞弊：（1）关注舞弊信号，对采购，资产，现金，收入等增设适当的授权审批程序；（2）要求内部审计关注管理层，监控其是否有越权、串通等舞弊行为；（3）建立舞弊行为举报制度，从内部与外部同时监控公司员工行为；（4）针对发现的舞弊行为，成立专门调查委员会，对舞弊行为进行查处，并依法对其进行惩处。

五、结论与展望

本文首先对内部控制的理论进行回顾，并同我国目前的理论研究进行对比，然后以COSO框架为模型，从五要素的角度对我国上市公司目前内部控制状况进行分析，即控制环境，风险控制，控制活动，信息与沟通，监控这五方面，分别进行了详细的分析。本文的一大特点是不仅详细分析了我国内部控制失效现状，还从外部和内部两方面着手，深入探讨了现象背后的成因。通过透析现象背后的原因，更有助于我们找到解决上市公司现有问题的办法。笔者认为法律和资本市场的不完善，理论自身的缺陷，股权结构不合理，企业缺少风险管理意识等，都是造成我国内部控制发展缓慢的原因。
鉴于篇幅有限，本文仅从公司角度入手，以公司的可操作性为前提，并以COSO框架为基准，提出了上市公司完善内部控制的具体的、可操作性很强的对策。虽然企业风险管理框架是目前最为先进的理论，但基于我国目前理论与实务界现状，COSO框架是我国上市公司作为发展期最适合的理论。因此，本文从COSO 模型分析我国上市公司内部控制失效，再有针对性的对COSO五要素分别提出完善内控系统的对策。
本文虽然站在公司角度，系统的分析并完善了内部控制，但内部控制仍有许多要素是公司无法控制的，比如外部环境。因此，若要真正解决我国上市公司内部控制失效问题，还要完善我国的法律，资本市场，公司组织形式，提高人们的道德水平等很多因素，内部控制理论也应该继续完善自身的缺陷。希望在将来的工作和学习中做进一步的研究。

参考文献
[1] Steven J.Root ,Beyond COSO: internal control to enhance corporate governance,New York: Wiled 1998
[2] Y873140, 【以中石化为例：企业实施内部控制问题研究】,首都经济贸易大学2006.3.1，P10
[3] 朱荣恩，贺欣，内部控制框架的新发展——企业风险管理框架，审计研究，2004.9.P1-9
[4] 阎达五，杨有红，内部控制框架的构健，会计研究，2001.2 页码不详
[5] 郭晓梅、唐予华。内部控制制度与会计信息。上海会计，2002.11 页码不详
[6] 李明辉，论内部公司治理与内部控制，广西会计，2002.12 页码不详
[7] 大股东占款容易还款难
[8]网http://www.100paper.com
[9] 胡天存，杨鸥，上市公司控制权配置现状与效率实证研究
http://www.szse.cn/UpFiles/Attach/1691/2004/02/19/1345349687.doc.2004-3-08/2004-4-21
[10] 王军，企业文化：引领企业前进的航标[J],企业研究，2004.4 页码不详
[11] Charles A Saia : Internal Control, the School of Business Quinnipiac College, 1992.12