企业内部控制基本规范22379945.doc

《企业内部控制基本规范22379945.doc》由会员分享，可在线阅读，更多相关《企业内部控制基本规范22379945.doc（211页珍藏版）》请在三一办公上搜索。

1、企业内部控制基本规范 一 、内部控制演进发展历程及其启示本世纪40年代前的内部牵制，40年代末至70年代的内部控制制度，70年代至90年代初的内部控制结构，90年代开始的内部控制框架结构以及2006年开始的双轨制运行体系。 内部控制的演进遵循着“内部牵制内部控制制度内部控制结构内部控制整体框架双轨制运行”五个历史阶段的演变轨迹。（一）演进发展历程1.内部牵制阶段（会计系统牵制） 内部牵制思想以账目间的相互核对为主要内容并实施岗位分离，这在早期被认为是确保所有账目正确无误的一种理想控制方法。我国系统的内控制度建设是在有了会计法之后。1999年修订的会计法第一次以法律的形式对建立健全内部控制提出原

2、则要求，财政部随即连续制定发布了内部会计控制规范基本规范等7项内部会计控制规范。美国于1934年出台的证券法类似我国的会计法，对内部控制进行了规范。2.内部控制制度阶段 内部控制制度思想认为内部控制应分为内部会计控制和内部管理控制（或称内部业务控制）两个部分，前者在于保护企业资产、检查会计数据的准确性和可靠性，后者在于提高经营效率、促使有关人员遵守既定的管理方针。由内部牵制逐渐演变为涉及组织结构、岗位职责、业务程序、处理手续等因素构成等制度阶段。这一观点是1958年AICPA发布的第29号审计程序公告独立审计人员评价内部控制的范围提出的3.内部控制结构阶段 企业的内部控制结构包括为合理保证企业

3、特定目标的实现而建立的各种政策和程序”，并且明确了内部控制结构的内容为控制环境、会计系统和控制程序三个要素，首次提出控制环境。该观点是1988年AICPA发布的审计准则公告第55号中提出的，我国1997年实施的独立审计具体准则第9号内部控制与审计风险套用了这一理论。4.内部控制框架阶段（COSO报告）内部控制框架包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。这是美国资助组织委员会在1992年发布的内部控制整体框架的报告中提出的。90年代开始的内部控制综合框架是由美国反对虚假财务报告委员会的发起组织委员会（COSO）于1992年9月发布的。COSC报告无疑提供了一个具有

4、广泛适用性的内部控制框架，受到世界各国理论界和实务界的广泛关注，我国亦然。但在我国，实务界在搞中国特色的内部控制，而理论界似乎整个地被COSO报告给征服了，一味肯定无半点微词。其实，COSO报告对如何设计和执行内部控制制度关注不够。或许，它更多地站在审计立场考虑如何理解和评价现存的或正在运行着的内部控制制度。5.内部控制在适应企业内部管理需求与外部监管要求之间的双轨制运行阶段2002年欧盟发布了改革白皮书，出现了了纵向业务合伙人和横向的地区负责人等纵横交错的管控系统。职业判断越来越多，内部控制借助社会中介的力量进行推进。美国“萨班斯”法案中的404条款强调了企业内部控制。两大制度安排：一是上市

5、公司自主对财务报告进行评价；二是会计师事务所强制对上市公司内部控制进行评估和审计。在两大制度的安排下，内部控制开始外部化。(二)启示1.企业应对风险、提升管理、持续发展有需要；2.投资者满足知情、维护权益、投资决策有诉求；3.监管者规范秩序、优化环境、维护市场稳定有要求；4.内部控制是国际通用的管理语言。(三)我国的实践 法规建设、政策指导、领导重视、单位实践、交流合作1.1996年6月17日，财政部发布会计基础工作规范，要求各单位进一步建立健全包括但不限于内部牵制制度的内部会计管理制度。2.1996年12月，财政部发布独立审计具体准则第9号内部控制和审计风险，要求注册会计师在执行审计业务时对

6、企业的内部控制，包括其控制环境、会计系统和控制程序进行审计。3.1997年5月，中国人民银行发布加强金融机构内部控制的指导原则，随后，中国工商银行等金融机构于1998年起陆续指定内部控制暂行规定。4.1997年7月10日，财政部发布会计基础工作规范化管理办法，要求各单位“建立并执行内部控制制度和其他内部会计管理制度，保证会计工作有序进行。5.2006年7月12日，财政部发出财政部关于成立企业内部控制标准委员会的通知。企业内部控制标准委员会由财政部、证监会、国资委联合发起，审计署、银监会、保监会等部门和单位参加。委员会主席由财政部副部长王军担任，副主席由证监会纪委书记李小雪、国资委副主席邵宁担任

7、，秘书长由财政部会计司司长刘玉廷兼任。委员和咨询专家主要来自监管部门、大型企业、高等院校、中介机构和行业组织，具有广泛的代表性。7月15日，企业内部控制标准委员会成立大会暨第一次全体会议在京召开。6.2009年2010年，财政部、审计署报国务院若干专题报告，强调后金融危机时代强化企业内控的重要性和紧迫性，并为下一步有序推进政府及非营利组织内控建设作铺垫。国务院批示同意。7.2010年，温家宝总理政府工作报告，以及贺国强书记中央纪委工作报告，反复强调金融系统风险控制及加强内部控制在廉政建设和反腐败斗争中的积极作用。二、企业内部控制规范的形成过程 1997年爆发亚洲金融危机后第二次修订会计法，实现

8、了几项重大突破，其中重点强化单位内部会计监督（会计控制）。本世纪初，财政部依法制定发布了单位内部会计控制规范体系，包括基本规范和若干具体规范，并自发布之日起实施，发挥了应有的作用。美国安然事件发生后，出台萨班斯法案。其中“404条款”要求公司在年报中披露内部控制评价报告，并聘请注册会计师对公司财务报告内控有效性出具审计报告。这一制度安排适用于在美上市的美国本土和非美国上市公司。2004年底和2005年6月，国务院领导就强化我国企业内部控制问题作出重要批示，要求“由财政部牵头，联合有关部委，积极研究制定一套完整公认的企业内部控制指引”。2006年7月15日，根据国务院领导的有关批示，财政部、国资

9、委、证监会、审计署、银监会、保监会等部门联合发起成立企业内部控制标准委员会，秘书处设在财政部会计司，旨在研究制定具有统一性、公认性和科学性的企业内部控制规范体系。组织若干工作组，以内部会计控制规范为基础，对我国不同地区的各类企业，进行了深入的调查研究，广泛听取大中型企业尤其是高管人员的建议；同时到欧美等发达国家进行企业内部控制考察。2008年5月22日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范。在我国企业内部控制建设史上具有里程碑意义。2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引，包括18项企业内部控制应用指引、企业内部

10、控制评价指引和企业内部控制审计指引，连同此前发布的企业内部控制基本规范，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系建成。见下图。三、企业内部控制基本规范的主要内容基本规范的核心可归纳为：五个目标、五个原则、五个要素，共7章50条（一）五个目标1.企业经营管理合法、合规；2.资产安全；3.财务报告及相关信息真实完整；4.提高经营效率和效果；5.促进企业实现发展战略。(二)五个原则1.全面性原则2.重要性原则3.制衡性原则4.适应性原则5.成本效益原则(三)五个要素1.内部环境：内部环境主要涉及治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。这是企业实

11、施内部控制的重要基础。内部环境主要涉及治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。这是企业实施内部控制的重要基础。2.风险评估：风险评估是指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险、合理确定风险应对策略的过程。这是企业实施内部控制的重要依据。3.控制活动：控制活动是指企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。这是企业实施内部控制的重要手段。 4.信息与沟通：信息与沟通是指企业应及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。这是企业实施内部控制的重要条件。 5.内部监督：内部监督，是

12、指企业应对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时加以改进。这是企业实施内部控制的重要保证。四、关于如何认识新内部控制体系的若干理念创新（一）关于体系本身1.由制约观念到发展观念；2.由结果控制过程控制；3.由会计控制到综合控制；4.由借鉴国际到自主创新。（二）关于体系执行1.由人为分割到一体化推进；2.由遵循指引到内外融合；3.由独立执行评价、审计到充分沟通协调；4.由合规控制到管理控制、价值控制。三个境界：合规控制-管理控制-价值控制（长远目标）全面风险管理-有效风险利用-最终实现风险的彻底利用研究线索：贯穿基本规范和配套指引的一个重要问题决策五、

13、企业内部控制规范的贯彻实施（一）实施时间与实施范围 2010年4月26日，财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会，隆重发布了企业内部控制配套指引（下称“配套指引”）。该配套指引连同2008年5月发布的企业内部控制基本规范，共同构建了中国企业内部控制规范体系，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前施行。（二）实施要求施行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披

14、露年度自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。政府监管部门将对相关企业施行内部控制规范体系的情况进行监督检查。这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措，也是我国应对国际金融危机的重要制度安排。（三）实施体系1.以标准建设为推动 由财政部门同相关政府部门联合研究制定一套科学的、权威的、统一的企业内部控制规范体系，国务院部门和系统在此基础上，根据法律法规和行业监管规则，制定相关政策性文件，明确特定行业、特殊类型企业建立与实施内部控制的具体要求。2.以企业实施为主体 企业应当根据有关法律法规和企业内部控制规范体系，制定本企业的内部控制

15、制度并实施，在组织实施内部控制制度时，应当充分利用信息技术手段，建立内部控制的自我评价和激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。3.以政府监管和社会评价为补充 为推动企业有效实施内部控制规范，财政、审计、证券、银行、保险等政府监管部门应对企业建立与实施内部控制的情况进行监督检查，会计师事务所应对企业内部控制的有效性进行审计，并出具内部控制审计报告。 本章案例案例1：某公司按照财政部、证监会、审计署、银监会和保监会等五部委发布的企业内部控制基本规范的要求，建立并实施本公司的内部控制制度。该公司为此召开了董事会全体会议，就内部控制相关重大问题形成决议。摘要如下： (

16、1)控制目标。会议首先确定了公司内部控制的目标是要切实做到经营管理合法合规、资产安全，严格按照法律法规及相关监管要求开展经营活动，确保会司经营管理过程不存在任何风险。 (2)内部环境。内部环境是建立和实施内部控制的基础。会议一致通过了优化内部环境的决议，包括：严格规范公司治理结构，各类业务事项均应提交董事会或股东大会审核批准；调整机构设置和权责分配，做到所有不相容岗位或职务严格分离、相互制约、相互监督；完善人力资源政策，建立优胜劣汰机制，同时注重就业和员工权益保护，认真履行社会责任，加强企业文化建设，倡导诚实守信、爱岗敬业，开拓创新和团队协作精神。 （3)风险评估。会议决定成立专门的风险评估机

17、构，围绕内部控制目标，定期或不定期对内部环境、业务流程等进行全面评估，准确识别公司面临的内外部风险，根据风险发生的可能性和影响程度进行排序，采取相应的风险应对策略。 (4)控制活动。会议明确了公司应从以下三个方面强化控制措施：一是实施全面预算管理，将各类业务事项均纳入预算控制；二是将控制措施“嵌入”信息系统中。通过现代化手段实现自动控制；三是完善合同管理制度，所有对外发生的经济行为均应签订书面合同。 (5)信息与沟通。会议要求公司完善信息与沟通制度。及时收集、整理与内部控制相关的内外部信息，促进信息在企业内部各层级之间，企业与外部有关方面之间的有效沟通与反馈；同时建立反舞弊机制，实施举报投诉制

18、度和举报人保护制度，及时传达至全体中层以上员工。确保举报、投诉成为公司有效掌握信息的重要途径。 （6)内部监督。会议强调，内部监督是防止内部控制流于形式的重要保证。为此，公司应当强化内部监督制度，由审计委员会和内部审计机构全权负责内部控制的监督检查，合理保证内部控制目标的实现；审计委员会和内部审计机构在内部监督中发现重大问题，有权直接向董事会和监事会报告。 要求：根据企业内部控制基本规范的要求，分析、判断该公司董事会会议形成的上述决议中有哪些不当之处，并简要说明理由。 【分析提示】 1.控制目标方面： （1)内部控制目标定位于保证经营管理合法合规、资产安全的观点不恰当。 理由：内部控制目标不仅

19、包括合理保证经营合法合规、资产安全，还包括财务报告及相关信息真实完整目标、经营效率和效果目标、促进实现发展战略的目标。 （2)确保公司经营管理过程不存在任何风险的观点不恰当。 理由：内部控制的任务是将风险控制在可承受度范围内。 或：内部控制不能完全消除企业面临的全部风险。 2.内部环境方面： (1)各类业务事项均应提交董事会或股东大会审核批准的观点不恰当。 理由：各类业务事项应按照规定的权限和程序进行审核批准。 或：重大业务事项才需要提交董事会审核批准。 或：各类业务事项不需要提交董事会或股东大会审核批准。 (2)所有不相容岗位或职务严格分离的观点不恰当。 理由：不符合适应性原则和成本效益原则

20、的要求 或：受公司规模、业务特点等因素影响，无法对不相容岗位或职务实现有效分离的可不予分离。3控制活动方面： (1)将各类业务事项均纳入预算控制的观点不恰当。 理由：预算控制措施一般不适用于不能量化的业务事项。 (2)所有对外发生的经济行为均须签订书面合同的观点不恰当。 理由：不符合成本效益原则的要求。 或：对于零星、即时清结等交易行为，可不签订书面合同。 4.信息与沟通方面： 举报投诉制度和举报人保护制度仅传达至全体中层以上员工的观点不恰当。 理由：举报投诉制度和举报人保护制度应传达至公司全体员工。 5.内部监督方面： 审计委员会和内部审计机构全权负责内部控制监督检查的观点不恰当。 理由：董

21、事会负责内部控制的建立和有效实施；除内部审计机构之外，经理层及公司其他内部机构在内部监督中也应承担相应的职责。案例2: 世通是美国第二大电信公司，事发前在美国财富500强中排名前100位。然而就在2002年，世通利用把营运性开支反映为资本性开支等弄虚作假的方法被发现，在1998年至2002年期间，虚报利润110亿美元。事发之后，世通的股价从最高的96美元暴跌至90美分。世通于2002年年末申请破产保护令，成为美国历史上最大的破产个案，该公司于2003年年末完成重组。世通的4名主管(包括公司的首行执行官伯纳德埃伯斯和首席财务官)承认串谋讹诈，被联邦法院刑事起诉。 这是美国历史上最大的个案，美国证

22、交会和法院在调查中发现，世通的董事会持续赋予公司的首席执行官伯纳德埃伯斯绝对的权力，让他一人独揽大权，而埃伯斯却缺乏足够的经验和能力领导世通。美国证监会的调查报告指出，世通并非制衡机制薄弱，而是完全没有制衡机制。世通的董事会并没有负起监督管理层的责任，该公司的审计委员会每年召开会议仅花35小时，会议记录草草了事，每年只审阅内审部门的最终审计报告或报告摘要，多年来从未对内审的工作计划提出过任何修改建议。 由于世通为公司的高级管理层提供的丰厚薪酬和奖金远多于他们对公司的贡献，这使得他们形成了一个既得利益的小圈子。这种恶性循环，最终导致了世通倒闭。 要求：从内部环境角度分析世通公司倒闭的原因。 【分

23、析提示】世通公司倒闭的主要原因是治理结构不恰当，内部控制职责执行力度不够，内部控制制衡机制形同虚设。 （1)内部控制治理结构的设置，应该区分股东大会、董事会、监事会、经理层各自的职责权限，实现相互牵制，相互制约的内部控制制衡机制。世通公司首席执行官埃伯斯权力过大，造成对他的监督失效，很容易导致决策失误。 (2)董事会负责监督经理层，监事会监督董事会。适当的监督机制的建立是保证避免发生决策失误和舞弊发生的必要措施。但是世通公司董事会并未承担其监督的职责，下设审计委员会的职责应包括审查内部控制的设计、监督内部控制有效实施和单位开展内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会的

24、职责规定在具体执行中形同虚设，审计委员会既没有认真研究单位内部控制设计的有效性、合理性，也没有起到有效的监督作用，造成世通公司的内部控制长期处于失控状况。 (3)高级管理人员激励奖励机制设计不合理，造成管理层缺乏积极主动性，消极应对。案例3. 中国石油天然气股份有限公司于2000年发行的美国存托股份及H股分别在纽约证券交易所及香港联合交易所挂牌上市。该公司作为境外上市公司为适应国际资本市场的要求成功建立了统一、规范和有效运行的内部管理控制体系。以下六个方面是该公司为保证内部管理控制体系的有效建立采取的措施：(1)提供可靠的组织保障。公司成立了以总裁为主任、财务总监为副主任、各部门主要领导为成员

25、的内部控制工作建设委员会，作为公司内部控制体系建设的最高决策机构，负责决定有关体系建设的重大事项。委员会下设内部控制工作组作为日常办事机构，成员由各部门和下属单位抽调的骨干组成。(2)制定公司内部控制体系框架。2005年3月，公司发布了内部控制体系框架作为内部控制体系建设和实施的纲领性文件。该框架在内容上涵盖了内部控制的五要素，覆盖了生产经营的全过程和主要经营管理岗位，确定了内部控制体系建设的长期和短期工作目标。 (3)全面梳理业务流程。根据管理实际和管理体制的具体情况，公司确定了16大类的业务流程，使用统一的工作方法和工具模板，绘制了近21 000个流程图，编制了近12 000个风险控制文件

26、，并用规范的文字对流程进行具体描述。 (4)开展业务活动风险分析和控制措施设计。结束全面梳理和描述业务流程后，公司根据风险控制分析模板和操作、流程、风险控制示例等对相关业务流程进行风险识别。梳理现有的控制措施和规章制度，找出可能存在的控制缺陷，并对其加以改进。 (5)编制权限指引表。公司按照现行的两级管理体制，设置了基本的五级权限层级，按照关键控制的完整性、准确性、接触性和有效性原则将权限分为审批权、审查权和审核权，并对与财务信息有关的14个一级流程、27个二级流程、63个三级流程、22个四级流程的114项业务审批权限进行了描述。权限指引表需提交公司内部控制工作建设委员会审定发布。 (6)明确

27、各个管理层次的内部控制职责。公司在内部控制体系延伸过程中，明确下属单位责任，实现了建设任务的有机分解和落实。下属单位总经理和总会计师要就本单位内部控制有效性发表声明，并对内部控制审计中发现的控制缺陷负责。在对各单位的内部控制进行审计时，如果没有通过审计，总经理和总会计师要承担主要责任。同时，公司还将体系的有效运行和通过内部控制审计纳入对高管人员的业绩考核，考核权重为5。案例4: X公司是一大型上市公司，X公司董事会起草并制定了非常全面的内部控制规章制度，董事长认为每个员工都是好员工，大家都会自觉的遵守企业制定的规章制度，从而其领导的内部审计部门人手很少，在遇到大型的审计项目时，临时从被审计的部

28、门调取熟悉审计业务的人员。企业另外设有风险管理部门，识别和分析影响目标实现的风险，对于识别出的风险，不论付出多大的代价，一律采取风险消除策略予以应对。企业倡导员工信息传递的真实性，严格规定有关信息必须逐层传达。另外，财务部门人手较为紧张，一人长时间处在同一岗位或者同时兼任多个岗位的现象普遍存在。 要求：指出资料中对于内部控制五要素哪些方面存在问题，简要说明理由。 【分析提示】内部环境存在问题。高级管理层的管理理念作为控制环境的重要因素，认为“大家都会自觉的遵守企业制定的规章制度”将导致控制环境薄弱，控制环境作为其他内部控制因素的根基，薄弱的控制环境必然导致企业内部控制整体的失效。 风险评估存在

29、问题。对于风险应对策略包括风险降低、风险消除、风险转移和风险保留。采取何种的风险策略应该综合的进行考虑，成本效益也是考虑的一个重要方面，不能不考虑付出的代价而一律采取风险消除策略。 控制活动存在问题。财务部门存在长时间处在同一岗位和同时兼任多个岗位的现象，没有做到重要职责的划分。 信息与沟通存在问题。只强调了信息的真实性，没有强调信息传递的及时性，有关信息可以越级进行传递。 内部监督存在问题。内部审计部门丧失了独立性，而且人手较少，无法进行持续的监察活动或单独的评估。案例5: 世界上最大的零售企业沃尔玛百货有限公司，由美国人山姆沃尔顿于1962年创立。在短短几十年，它从乡村走向城市，从北美走向

30、全球，由一家小型折扣商店发展成为世界上最大的零售企业之一。1991年沃尔玛以326亿美元的销售额成为全美零售业的销售冠军。2002年财富评选的“500强”中，沃尔玛更是以2 189 12亿美元的销售收入位居首位。 沃尔玛如何能在如此短的时间内不断壮大，超越对手，坐上世界零售企业的头把交椅呢？主要是因为沃尔玛在复杂的物流信息系统中建立了有效的内部控制框架，具体表现在以下方面： (1)控制环境的建设。沃尔玛有80 000多种商品，为满足全球4 000多家连锁店的配送需要，沃尔玛每年的运输总量超过780 000万箱，总行程达65 00O万公里。没有强大的信息系统，它根本不可能完成如此大规模的商品采购

31、、运输、存储、物流等管理工作。早在20世纪80年代，沃尔玛就建立起自己的商用卫星系统。在强大的技术支持下，如今的沃尔玛已形成了“四个一”，即“天上一颗星”通过卫星传输市场信息；“地上一张网”有一个便于用计算机网络进行管理的采购供销网络；“送货一条龙”通过与供应商建立的计算机化连接，供货商自己就可以对沃尔玛的货架进行补货；“管理一棵树”利用计算机网络把顾客、分店或山姆会员店和供货商像一棵大树有机地联系在一起。 其实，最初提出要建立自己的卫星系统时，山姆-沃尔顿是不太赞成的。他认为目前的信息系统已经可以使沃尔玛在同业中处于领先地位，不必要又将如此多的资金投进去。然而公司的其他高层，包括几位董事和技

32、术总监，深知投资新技术对公司发展和控制成本、提高管理的重要性，他们敢于不断地向山姆施压，以大量的数据证明了建立卫星系统的可行性以及将会给沃尔玛带来的巨大效益。在其他高管的不懈努力下，山姆终于被说服了。待意见统一之后，沃尔玛立刻花费大约7亿美元建成目前拥有的计算机和卫星系统。 沃尔玛作为零售企业，主要采取连锁经营的方式，所以其物流系统是最重要的部门，为了达到减少库存增加运营效率的目的，企业有必要建立强大的信息支持系统，但是要花费较高的成本，这对于企业的高层管理者来说是一个挑战。此时沃尔玛良好的内部控制环境发挥了作用，虽然企业的创立者不同意，但是其他的董事、技术总监能够利用有效的公司治理机制说服山

33、姆沃尔顿，最终成功地为企业带来了巨大的经济效益。这种内部控制环境是一种文化，也是一种机制。 (2)保持应有的风险意识。每次有哪位主管想建立新系统，山姆沃尔顿总要求他们认真地对应用这个系统后可能带来的风险进行评估，并且谨慎地推行系统的应用范围，循序渐进，逐渐推广。1981年，沃尔玛开始试验利用商品条码和电子扫描器实现存货自动控制。公司先定几家商店，在收款台安装读取商品条码的设备。两年后，试验范围扩大到25家店。1984年，试验范围扩大到70家店。1985年，公司宣布将在所有的商店安装条码识别系统，当年又扩大了200多家。到20世纪80年代末，沃尔玛所有商店和配送中心都女装了电子条码扫描系统。一个

34、系统从试验到全面应用相隔近十年时间。 现在超市里的条形码已经为我们所熟悉，但是在20世纪80年代还是新生事物，当时沃尔玛并没有把握证明条形码能够有效减少商品丢失现象和提高销售速度，他们意识到新技术的实行具有较大的风险，因此对风险进行了全面的评估和测试，这种试验型的评估方法并不适用于所有企业。沃尔玛用于将近十年的时间评估一项新技术的风险，可见其对风险评估环节的重视程度。在内部控制实务中，有些企业经常对风险评估走过场，没有经过严格的分析就执行业务，从而扩大了风险。(3)内部控制活动的开展。在沃尔玛总部，高速电脑和各个发货中及各家分店的电脑连接，商店付款台上的激光扫描器会把每件货物的条形码输入电脑，

35、再由电脑进行分类统计。当某一货品库存减少到一定数量时，电脑会发出信号，提醒商店及时向总部要求进货。总部安排货源后，送往离商店最近的一个发货中。再由发货中心的电脑安排发送时间和路线。这样，从商店发出订单到接到货物并把货物提上货架销售，一整套工作完成只要36个小时，这保证了它在拥有巨大规模的同时仍保持高效。 沃尔玛的物流管理系统非常复杂，而且涉及的人员和部门众多，如果不采取有效的控制活动就很可能出现资产的损失。上述例子中，对于存货管理的控制活动体现了总部控制和销售分部控制的结合，既考虑了进货点、进货渠道，又考虑了进货时间和货物的运输路线，这样就通过控制活动完善了整个存货管理的业务过程，而且所耗费的

36、时间很短，这保证了控制活动的效率。 (4)对控制流程的监督。沃尔玛有一个统一的产品代码叫UPC代码，公司可以对它进行扫描、阅读。经理们选择一件商品，扫描一下该商品的UPC代码，不仅可以知道商场目前有多少这种商品，订货量是多少，而且还能知道有多少这种产品正在运输到商店的途中，会在什么时候运到。这些数据都通过主干网和通信卫星传递到数据中心。管理人员不但能实时的对销售情况、物流情况等进行实时监控，还可知道当天回收多少张失窃的信用卡、信息卡以及相应认可体系是否正常工作，并监督当天做成的交易数目。沃尔玛的数据中心也与供应商建立了联系，从而实现了快速反应的供应链管理。厂商通过运营系统可以进入沃尔玛的电脑分

37、销系统和数据中心，直接从中得到某供应商的商品流通动态信息，如不同店铺及不同两品的销售统计、沃尔玛各仓厍的调配状态、销售预测、电子邮件与付款通知等，以此作为安排生产、供货和送货的依据。通过这个信息系统，管理人员掌握到第一手的资料，并对日常运营与企业战略做出分析和决策。 沃尔玛的管理人员利用现代技术和自己的卫星系统，可以全面了解企业上架商品的所有信息，包括库存信息、销售情况、供应商的报价和有关客户的消费情况。这就使得远离销售地点的中高层管理人员能够随时了解各级员工的经营结果，可以进行绩效分析，从而实现对内部控制的监督。应该说，沃尔玛的监督工作进行得较好，但是似乎对经理人员的制衡机制有些欠缺，经理的

38、权力较大，这可能存在潜在的风险。 (5)内部控制系统的信息与沟通机制。一个良好的信息与与勾通系统有助于提高内部控制的效率和效果。企业须按某种形式在某个时间之内，辨别、取得适当的信息，并加以沟通，使员工顺利履行其职责。沃尔玛的信息不仅供内部分店使用，而且与供应商共享。卫星系统每天可将销售点的资料，快速、直接地传递给4 000多家供应商， 以便供应商及时使用，也使供应商快速适应市场需求。对于沃尔玛来说，他们的物流链已经远远超出了本公司的范围，沃尔玛的供应商也被包括进来。20世纪80年代末，沃尔玛通过计算机网络、电子数据交换系统与供应商建立起伙伴关系。比如说，皇后公司和沃尔玛的计算机进行了联网，这样

39、皇后公司随时了解其商品在沃尔玛各分店的销售和库存变动情况，并据此调整公司的生产和发货，提高效率，降低成本。 沃尔玛物流系统的内部控制建立了良好的信息与沟通机制，非常有利于掌握更多的信息，并及时发现业务运行过程中的问题。具体沟通机制有：与供应商建立了关于信息共享系统，使供应商能随时了解货物的供应情况，这样就降低了双方的经营成本；通过强大的网络信息系统掌握了客户的信息，对客户需求进行分析，增加了销售收入；供应商、客户也可以根据企业内部控制的实际情况提出合理化建议，不断改善物流系统的内部控制制度。 【分析提示】从上述沃尔玛的相关内部控制中可以看出，沃尔玛的物流系统内部控制框架是一个完善的系统，值得学

40、习的经验有：企业的高层管理者要重视和积极参与到内部控制过程中；要充分利用现代信息技术提高企业内部控制的效果和效率；控制活动的制定和实施要经过分析；建立内部和外部信息沟通的反馈机制。 企业内部控制应用指引第1号组织架构企业内部控制应用指引第1号组织架构指出，组织架构是指企业按照国家有关法律法规、股东（大）会决议、企业章程，结合本企业实际，明确董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。其中，核心是完善公司治理结构、管理体制和运行机制问题。 一、组织架构对企业的重要性第一，建立和完善组织架构可以促进企业建立现代企业制度。一个企业怎样才能永远保持

41、成功呢？这就要靠制度。这个制度就是现代企业制度。它是以完善的企业法人制度为基础，以有限责任制度为保证，以公司制企业为主要形式，以产权清晰、权责明确、政企分开、管理科学为条件的现代企业制度。可见，现代企业制度的核心是组织架构问题；或者，一个实施现代企业制度的企业，应当具备科学完善的组织架构。也可以说，建立现代企业制度必须从组织架构开始。从发达市场经济国家企业和我国现代企业的实践证明，公司治理、管理体制和运行机制是永恒的主题。第二，建立和完善组织架构可以有效防范和化解各种舞弊风险。串谋舞弊是企业经营发展过程中难以避免的一颗“毒瘤”，也是内部控制建设的难点之一。2004年11月发生的震惊中外的中航油

42、（新加坡）股份公司期权交易巨亏案就是一个典型。第三，建立和完善组织架构可以为强化企业内部控制建设提供重要支撑。组织架构是企业内部环境的有机组成部分，也是企业开展风险评估、实施控制活动、促进信息沟通、强化内部监督的基础设施和平台载体。一个科学高效、分工制衡的组织架构，可以使企业自上而下地对风险进行识别和分析，进而采取控制措施予以应对，可以促进信息在企业内部各层级之间、企业与外部利益相关者之间及时、准确、顺畅的传递，可以提升日常监督和专项监督的力度和效能。二、组织架构指引的主要内容组织架构指引着力解决企业应如何进行组织架构设计和运行，核心是如何加强组织架构方面的风险管控。组织架构指引的主要内容包括

43、：制定指引的必要性和依据，组织架构的本质、设计和运行过程中应关注的主要风险以及如何设计和运行组织架构等。关于组织架构的本质，可从治理结构和内部机构两个层面理解。其中，治理结构即企业治理层面的组织架构。它是企业成为可以与外部主体发生各项经济关系的法人所必备的组织基础，具体是指企业根据相关的法律法规，设置不同层次、不同功能的法律实体及其相关的法人治理结构，从而使得企业能够在法律许可的框架下拥有特定权利、履行相应义务，以保障各利益相关方的基本权益。内部机构则是企业内部机构层面的组织架构。它是指企业根据业务发展需要，分别设置不同层次的管理人员及其由各专业人员组成的管理团队，针对各项业务功能行使决策、计

44、划、执行、监督、评价的权力并承担相应的义务，从而为业务顺利开展进而实现企业发展战略提供组织机构的支撑平台。企业应当根据发展战略、业务需要和控制要求，选择适合本企业的内部组织机构类型。关于组织架构设计和运行的主要风险，组织架构指引从治理结构和内部机构两个角度作了描述。（一）从治理结构层面看，主要风险在于：治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。具体表现为：一是，股东大会是否规范而有效地召开，股东是否可以通过股东大会行使自己的权利；二是，企业与控股股东是否在资产、财务、人员方面实现相互独立，企业与控股股东的关联交易是否贯彻平等、公开、自愿的原则

45、；三是，对与控股股东相关的信息是否根据规定及时完整地披露；四是，企业是否对中小股东权益采取了必要的保护措施，使中小股东能够和大股东同等条件参加股东大会，获得与大股东一致的信息，并行使相应的权利；五是，董事会是否独立于经理层和大股东，董事会及其审计委员会中是否有适当数量的独立董事存在且能有效发挥作用；六是，董事对于自身的权利和责任是否有明确的认知，并且有足够的知识、经验和时间来勤勉、诚信、尽责地履行职责；七是，董事会是否能够保证企业建立并实施有效的内部控制，审批企业发展战略和重大决策并定期检查、评价其执行情况，明确设立企业可接受的风险承受度，并督促经理层对内部控制有效性进行监督和评价；八是，监事

46、会的构成是否能够保证其独立性，监事能力是否与相关领域相匹配；九是，监事会是否能够规范而有效地运行，监督董事会、经理层正确履行职责并纠正损害企业利益的行为；十是，对经理层的权力是否存在必要的监督和约束机制。（二）从内部机构层看，主要风险在于：内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮、运行效率低下。具体表现为：一是，企业内部组织机构是否考虑经营业务的性质，按照适当集中或分散的管理方式设置；二是，企业是否对内部组织机构设置、各职能部门的职责权限、组织的运行流程等有明确的书面说明和规定，是否存在关键职能缺位或职能交叉的现象；三是，企业内部组织机构是否支持发展战略的

47、实施，并根据环境变化及时作出调整；四是，企业内部组织机构的设计与运行是否适应信息沟通的要求，有利于信息的上传、下达和在各层级、各业务活动间的传递，有利于为员工提供履行职权所需的信息；五是，关键岗位员工是否对自身权责有明确的认识，有足够的胜任能力去履行权责，是否建立了关键岗位员工轮换制度和强制休假制度；六是，企业是否对董事、监事、高级管理人员及全体员工的权限有明确的制度规定，对授权情况是否有正式的记录；七是，企业是否对岗位职责进行了恰当的描述和说明，是否存在不相容职务未分离的情况；八是，企业是否对权限的设置和履行情况进行了审核和监督，对于越权或权限缺位的行为是否及时予以纠正和处理。三、组织架构的设计组织架构的设计主要是针对按公司法新设立企业，以及公司法颁布前存在的企事业单位转为公司制企业而言的。已按公司法运作的企业，重点应放在如何健全机制确保组织架