精品旭光MBA学位论文

精品旭光MBA学位论文 分类号: 密级: MBA 学 位 论 文 论文题目(中文)旭光公司COSO内部控制框架的应用研究 Research on COSO Application in 论文题目(外文) Xuguang Company 研 究 生 姓 名 培 养 单 位 学 科 与 方 向 工商管理会计与财务管理 校内指导教师 校外指导教师 论文提交日期 2010年 3 月 书脊(装订封面) 旭 光 公 司 C O S O 内 部 控 制 框 架 的 应 用 研 究 二 零 一 零 原 创 性 声 明 本人郑重声明:本人所呈交的学位论文，是在导师的指导下独立进行研究所取得的成果。学位论文中凡引用他人已经发表或未发表的成果、数据、观点等，均已明确注明出处。除文中已经注明引用的内容外，不包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研究成果做出重要贡献的个人和集体，均已在文中以明确方式标明。 本声明的法律责任由本人承担。 论文作者签名: 日 期: 关于学位论文使用授权的声明 本人在导师指导下所完成的论文及相关的职务作品，知识产权归属。本人完全了解有关保存、使用学位论文的规定，同意学校保存或向国家有关部门或机构送交论文的纸质版和电子版，允许论文被查阅和借阅;本人授权可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用任何复制手段保存和汇编本学位论文。本人离校后发表、使用学位论文或与该论文直接相关的学术论文或成果时，第一署名单位仍然为。 保密论文在解密后应遵守此规定。 论文作者签名: 导师签名: 日 期: 中文摘要 1992年COSO委员会发布《内部控制---整体框架》的报告，即著名的COSO报告。该报告提出:“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。”同时提出内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。COSO报告提出的这个由“三个目标”和“五个要素”组成的内部控制的整体框架，得到公司董事会、管理当局、投资者、债权人、审计人员及专家学者的普遍认可，成为迄今为止最权威的内部控制的概念。 当今社会，中小企业在我国国民经济中起着重要作用，而内部控制制度是规范中小企业内部管理、提高经济效益的重要保证。旭光公司是一典型的民营电子企业，具有一定的代表性。通过针对旭光公司COSO内部控制整体框架的应用研究，探讨中小企业对内部控制应用的相关问题，从内部环境的完善、企业合理目标的确定、风险系统的建立和完善、控制活动的落实、信息系统的建立和完善、加强内部控制评价以及营造良好外部环境等方面提出了完善旭光公司内部控制的对策建议。 关键词:COSO， 内部控制，旭光公司 ABSTRACT The famous report “Internal control - integrated framework” is issued by the COSO in 1992. The report proposed: “The internal control which is operated by the directors, managers as well as other staffs in the enterprise provides the reasonable assurance of achieving the three targets i.e. the reliability of financial report, the efficiency and effectiveness of operation, compliance of the laws and regulations.” Meanwhile, it stresses five relevant factors in the internal control, i.e. control environment, risk assessment, control activities, information and communication, monitoring. The COSO report which consists of the aforementioned three targets and five factors is generally recognized by the directors, managers, investors, creditors, auditors, experts and scholars. It is by far the most authoritative concept of the internal control. Nowadays, SMEs(medium-sized and small enterprises) play an important role in our national economy. The internal control is the guarantee of improving the internal management and the economic efficiency in a company. Xuguang Company is a typical SME. It is an exploration of the matters of internal control in SMEs as well as the relevant countermeasures such as the essentials and principles of internal control and how to utilize the COSO report to emphasize the internal control in SMEs via the research of the application of the COSO report in Xuguang Company. Key Words: COSO, Internal control, Xuguang Company 目录 一、COSO内部控制框架综述 ................................... 4 (一)COSO内部控制框架提出的背景 .................. 4 (二)COSO内部控制框架的意义....................... 6 二、COSO内部控制框架在企业中的应用 ................... 8 (一)内部控制的重要性 ............................. 9 (二)内部控制的框架 .............................. 12 (三)内部控制的目标和原则 ........................ 14 (四)内部控制的内容 .............................. 17 (五)改善内部控制的关键 .......................... 19 三、旭光公司实行COSO内部控制框架应用情况..20 (一)旭光公司中实行COSO内部控制状况 ............. 20 (二)旭光公司内部控制制度设计原则 ................ 23 四、旭光公司内部控制中应用中存在问题的原因 .......24 (一)会计基础工作薄弱 ............................ 25 (二)法人治理结构不完善 .......................... 26 (三)公司内部法律意识较薄弱 ...................... 27 (四)管理层和员工的素质不高 ...................... 27 五、基于COSO内部控制框架的旭光公司内控体系调整27 六、结论.......................................................................35 参考文献.......................................................................37 致谢 ............................................................................... 1 一、COSO内部控制框架综述 (一)COSO内部控制框架提出的背景 内部控制是指经济单位在社会经济活动中建立的一种相互制约的业务组织形式和职责分工制度、内部的管理控制系统。单位内部特定主体为了实现其既定经营目标确保经营方针的贯彻执行，保证单位经济活动正常进行，保护资产的安全完整、会计信息的真实可靠，保证经营活动的经济性、效率性和效果性，以信息沟通为基础，在单位内部采取一定的方式对影响其目标完成的可控因素所实施的自我调整、约束、规划、评价、综合和控制的一系列方法和程序。 内部控制作为一种制度概念最早是出现在有关审计文献中。1929年美国联邦储备委员会和会计师协会(FRB)修订发布了《会计报告的验证》，1936年又在其基础上修订发布了《注册会计师对会计报表的审查》，其中首次使用了“内部控制”这一专门术语。上世纪70年代以后，与内部控制有关的活动主要集中在制度的设计和审计方面，重在改进内部控制制度的方法和提高审计的质量和效果。在1973年至1976年间，调查水门事件使得立法机关与行政机关关注到内部控制问题。水门案专案检查官办公室及美国证券交易委员会(SEC)所进行的调查分析显示，不少美国公司进行了违法的国内捐款、可疑或违法的国外支付(包括贿赂外国政府官员)。很多职业团体及主管机关也就内部控制的不向层面进行研究，发布指南。如，美国注册会计师协会(AICPA)所属审计人员责任委员会发布了《报告、结论与建议》，并颁布了审计准则公告第30号(1980)、第43号(1982)、第48号(1984):财务经理人员协会(FEI)发布了《美国公司之内部控制:现状》:SEC拟订强制公司对其内部会计控制提出报告书，即《管理阶层对内部会计控制的报告书》;内部审计人员协会(IIA)发布了内部审计准则公告第1号《控制:观念及责任》，等等。1985年，由AICPA、美国审计总署(AAA)、FEI、IIA及管理会计师协会(IMA)共同赞助成立了全国舞弊性财务报告委员会，即 Treadway委员会，该委员会所探讨的问题之一就是舞弊性财务报告产生的原因，其中包括内部控制不健全问题。两年之后，Treadway委员会提出报告则，并提出了很多有价值的建议。内部控制理论又有了新的发展,对内部控制研究重心逐步从一般含义转向具体内容，其标志是美国注册会计师协会于1988年5月发布了《审计准则公告第55号》(SAS55)。公告中以“内部控制结构”概念代替了“内部控制制度”概念，并将控制环境、会计系统和控制程序定为内部控制结构的构成要素。 基于Treadway委员会的建议，其赞助机构又组成了一个专门研究内部控制问题的委员会，COSO委员会。1992年，COSO委员会提出报告《内部控制---整体框架》，1994年进行了增补。COSO委员会提出，内部控制是由企业董事会、经理阶层和其他员工实施的，为经营活动的效率和效果、财务报告的可 靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。同时提出内部控制整体框架包含控制环境、风险评估、控制活动、信息与沟通、监督五个相互联系的要素。在五要素中，控制环境是其他要素赖以存在的基础;风险评估是管理目标出现偏差时得以纠正的保证，是内部控制的依据，由于企业所处环境的千变万化和激烈的市场竞争，企业为了生存和发展，必须建立判别和处理与环境变化相适应的风险评估机制，以识别风险并及时加以处理;控制活动是针对影响企业目标实现的各种风险而采取的活动，是内部控制的手段和措施;信息和沟通是促动控制活动运转的条件和力量;监督所内部控制有效运行的保证。五要素相互联系密切配合，共同构成完整的框架。美国国会于1997年通过了《反国外贿赂法》(简称(FCPA)。FCPA除了具有反贿赂的条款外，还规定了与会计及内部控制有关的条款。FCPA通过立法之后，企业都陆续开始建设内部控制。 (二)COSO内部控制框架的意义 内部控制是人类社会从事生产经营实践活动过程中形成的一种约束控件机制。早期的控制主要在于保护财产的完整安全、会计信息资料的真实正确，侧重于钱物分管、严格程序手续、加强复核审查等的控制。随着商品经济市场的发展和社会生产规模的扩大、经济活动日趋多元化，内部控制逐步发展成近代的内部控制系统。在长期的演变发展过程中，一般认为可以分为萌芽阶段(内 内部控制制度)、成长阶段(内部控制结构)和成熟阶段部牵制)、发展阶段( (内部控制框架)四个阶段。1992年美国COSO委员会提出的《内部控制---整体框架》，成为内部控制理论及实务的突破性进展。随着内部控制的内容由简单到复杂、目标由单元到多元、对象由局部到整体的演进，内部控制已成为公司管理的重要组成部分，并逐步形成了范围广泛、运行严密有序的现代企业内部控制系统，在实现公司效率经营、防止舞弊、规避风险等方面发挥着越来越重要的作用。自2001年美国安然和世通等事件被揭露以来，公司管理层诚信受到普遍质疑，为防止上市公司财务造假，在美国颁布《萨班斯---奥克斯利》法案后，无论是理论界、实务界，还是政府机构、监管部门和中介机构，都开始给予内部控制更多的关注。 同以往的内部控制理论及研究成果相比，COSO报告提出了许多有价值的创新的观点。主要有: 1、明确了内部控制的“责任”。在内部控制发展史上，COSO报告第一次明确地阐述了内部控制的制定与实施的责任问题。报告指出，不仅仅是董事会、 管理人员、内部审计，组织中的每一个人都应该对内部控制负有责任。确立这样组织构思有利于将企业的所有员工团结一致，使其主动地维护及执行企业的内部控制，促使其充分发挥主观能动性，从而实现企业价值的最大化。 2、强调内部控制要与企业的生产经营管理过程相结合。COSO报告认为，生产经营过程是指通过计划、执行及监督等基本的管理过程对企业经营管理。这个过程由组织的某一个单位或部门进行，或由若干个单位或(及)部门共同进行。内部控制是企业生产经营过程的一个重要部分，与经营过程紧密结合在一起，贯穿于企业的基本生产经营活动之中，它使生产经营达到预期的效果，并监督企业生产经营过程的各个环节。 3、强调内部控制是一个持续“动态系统”。内部控制是对企业的整个生产经营管理活动进行监督与控制的过程，企业的生产经营活动的持续发展，使企业的内部控制过程也因此不会停止。企业内部控制是一项制度或一个系统，企业生产经营管理在变化的环境中必然要求企业内部控制系统不断完善和适合新 环境，内部控制是一个发现和解决问题的系统过程。 4、强调“人”的重要作用。COSO报告特别强调，内部控制受企业的董事会、管理阶层及其他员工思想影响，透过企业内的人的行为及言论来完成。人才制定企业的目标，设置控制的机制为达到目标服务。内部控制影响制约着人的行为规范。 5、强调“软控制”的力量。相对于以前的内部控制研究成果，COSO报告更加强调“软控制”的力量。软控制主要是指属于思想层面的事物，如高级管理阶层的管理风格、管理哲学、企业文化、内部控制意识等。 6、强调风险意识。现代社会是一个充满剧烈竞争的社会，每一个企业都面临着成功的机遇和失败的挑战，风险管理是现代企业的主要课题。风险影响着每个企业生存和发展的能力，也影响其在产业中的竞争力及在市场上的信誉和形象。COSO报告指出，不论企业的规模、结构、性质或产业是什么，其组织的不同层级都会存在不同程度的风险，管理阶层须密切注意各层级的风险，并采取必要的内部控制管理措施。 7、揉和了管理与控制的界限。在COSO报告中，内部控制不单是管理的一部分，管理和内部控制的职能与界限已经模糊。 8、强调内部控制目标分类。COSO报告对内部控制的目标进行分析和解释。目标的设定是管理过程的重要组成部分，但不是内部控制的组成要素，但前提是内部控制的基础要素。这个过程不是控制活动，但其对内部控制的控制活动意义重大，直接影响内部控制是否有存在的必要。COSO报告将内部控制目标 分为三类:与经营运作相关的目标、与财务报告有关的目标以及与有关法律、法规有关的目标等。这样的分类高度概括了企业的控制目标，是有利不同的人们从不同方面了解内部控制的不同方面。 9、明确指出内部控制只能做到“合理”的保证。并结合COSO报告说:无论如何完善内部控制系统的设计和执行，内部控制只能为董事会及管理当局实现企业目标提供合理的保证。可能的成就目标，仍受内部控制的先天条件的限制。 10、成本与效益原则。COSO报告明确指出，内部控制制度必须基于成本和利益的原则基础上。内部控制不是消除任何可能的滥用职权，而是创造一个为防止滥用职权而投入的成本和滥用权利的总数量是合理的比率的状态(即经济原则)机制。因此，没有内部控制不花钱，没有完美的内部控制。 二、COSO内部控制框架在企业中的应用 (一)内部控制的重要性 1、完善内部控制是提高会计信息质量的内在要求 防止会计信息失真是一个基本的内部控制目标。内部控制的基本目标包括三个部分，即财务报告目标、经营目标和合规管理目标。事实上，建立内部控制制度是为了防止欺诈的发生。通过内部控制，部门之间和人员之间有了审核、检查和制衡，防止一个人控制着所有的交易过程，可以防止员工欺诈，而且可以降低发生虚假财务会计报告风险。尽管现代企业内部控制的目标已不仅仅局限于防止财务报告欺诈，由防弊为主发展到以兴利为主。然而，以确保可靠的财务报告一直是一个基本的内部控制目标。 在现代企业制度下，所有权和经营管理权高度的分离，资金、财产的提供者不再亲自参与企业的生产经营，委托专门的企业管理者经营管理。用这种方法,管理者和股东及其他资源提供者之间形成的委托---代理关系。受托人必须如实向资源提供者报告企业的财务状况和经营成果，不得隐匿、欺骗。管理部门应负责会计信息的真实性，会计信息披露，管理机关应当承担相应的责任。当然，股东将聘请独立第三方---注册会计师的审查的真实性、公允性，并表达他们的意见。然而，当管理当局也应该建立健全内部控制系统，以确保交，发生已经必要的授权和进行一个完整的、连续的、系统的记录，按照会计准则和其他信息披露的财务报告。这不仅仅是审计的需要，但主要是为了管理当局受托责任的需要。因此，合理保证真实、可靠的会计信息是管理部门建立健全内部控制的重要目标之一。 在1977年，美国发布了“反国外行贿法”，法律定义的内部控制对防止和侦查欺诈行为的作用。这个法案，要求所有上市公司内部控制系统的设计和维护，应该足以提供合理保证以下问题:(1)交易委托管理;(2)做好交易记录编制财务报表及保护资产的责任;(3)仅在授权柄的时候才能接近资产;(4)现有资产与记录的信托责任应相比，采取适当行动来对付任何不符之处。AICPA(1949)、COSO(1992)、内部审计师协会(IIA)，欧洲央行(ECB)，以及我国内部控制的基本规范，也是将确保财务报表的真实的可靠，作为内部控制一个基本目标。 2、内部控制环境是影响会计信息质量的主要因素 1985年，由AICPA、美国审计总署(AAA级)、FEI、IIA、管理会计师协会，联合建立全国舞弊性财务报表委员会，Tread-way委员会,委员会探讨的问题之一是产生欺诈财务报告的原因，包括内部控制不健全的问题。Tread-way委员会(1987)研究后发现，容易导致财务报告欺诈和欺诈是不容易识别情形 有:(1)缺乏警惕的监测报告过程的董事会或审计委员会;(2)内部会计控制薄弱或不存在;(3)非经常性或复杂的交易事务;(4)需要管理当局主观判断的会计估计;(5)缺乏有效的内部审计机构，包括内部审计机构规模不大、在限制范围内进行。其次，如果公司的道德氛围差，这样情况更糟糕。根据美国 止有114例《内部审计》杂志的一项调查显示，自1986年2月到1990年11月欺诈被发现，大多数的欺诈行为与虚假会计信息和内部控制制度不够完善的有关，(杜滨，李若山2000)。另外，根据美国KPMC调查的3000家大、中型企业，52%的欺诈行为通过内部控制被发现，有47%是内部审计检查中发现的。可以看出，内部控制预防财务报告欺诈是显著。企业的控制环境是影响会计信息的质量的主要因素。控制环境，包括员工的诚信和操守，人员能力、管理理念、经营管理、董事会或者审计委员会、组织结构、方式给予的权利和义务，人力资源政策和实施。控制环境构成单位的氛围。 管理当局的诚信和管理理念，是充分的公允公开披露，以防止敌对的隐藏坏消息或是进行盈利的操控。即使一个健全的内部控制也会因执行者的能力不足的和道德问题没有达到预期的效果。如果管理当局本身就是缺少诚实，那么整个公司会形成的副作用的道德观念。Tread-way委员会(1987)指出该高级管理人员的状态---一个企业的环境或财务报告的编制文化是影响财务报告是诚信的最重要的因素。虽然一套书面规则和程序，如果这个企业的管理人员态度松散，更有可能出现财务报告欺诈。事实上，从会计信息失真的原因看，关键往往不是会计人员本身舞弊，而是由于的企业管理当局从自己的报酬、劳动和其他的角度看，有为盈余管理或财务操作，欺骗动机。由于系统原因，会计人员常被迫服从于管理人员，向监管机构提供虚假财务信息，欺骗了外部信息使用者。 管理当局对内部控制和财务报告的关注是防止发生虚报漏报等错误的一个重要方面。不管其他控制元素的存在与否，管理当局由于缺乏诚信或对内部控制不感兴趣，会导致失败的内部控制。管理当局对内部控制支持对防止虚报、漏报的错误的发生很重要。由于管理当局的态度会影响会计人员和其他部门的工作态度，管理当局认为内部控制是重要的，企业的其他人们会觉得是这样，员工将认真履行职责，遵守既定的控制系统，财务报告错误也会减少。反之，如果管理当局不关心内部控制，并没有给予有力的支持，那么员工不会认真落实相关的内部控制制度。事实上，许多企业管理混乱的原因，是由于经营管理领导人不重视内部控制，甚至他们随意破坏内部控制。如Tread-way委员会对1981-1986年时期119个美国证券交易委员会(SEC)起诉的欺诈行为的研究发现，管理当局通常能够越过内部控制制度对财务报表进行影响。在很多情况下， 从我们的观点来看，内部控制失效，会计信息失真管理当局是问题的关键。因此，管理当局的态度是确定内部控制的有效性的关键。 3、内部控制是防止会计信息失真的有力保障 对会计信息失真可以分成两大类:非故意行为和故意性行为。非故意行为是指由于会计人员素质低或失误等原因，导致在会计准则的范围内选择不当的会计政策，导致处理出来的会计信息不能的正确反映财务状况和经营成果，故意行为是会计人员在内部人的授意或胁迫之下，为了企业管理当局的私利，不遵守的国家有关财务会计原则、故意提供虚假财务信息。内部控制的方法，包括责任的划分、授权批准、实物控制、会计系统控制、内部审计。无论是有意或无意的失真，这些控件可以在某种程度上减少或避免会计信息失真的作用。进行有效的控制，必须有一个明确的职责分工，以便所有部门和员工对自己的岗位负责、相互制约。 责任的划分是内部控制的一项基本原则，主要解决不相容职务的分离。所谓不相容的职责是那些由一个人担任，可能出现错误和缺陷也掩盖自己的错误和舞弊的职位。企业内部不相容的职位包括:授权批准职位、业务经办职位、财产保管职位、会计核算和审计监督职责，这些职位所在的位置应该是不同的人来担任。一个更广泛的意义上说，责任的划分，包括两个层次:第一，在公司治理结构的股东大会、董事会、监事会、经理等之间的责任分工;其次、经理领导的内部管理机构、岗位和人员的组织策划和责任的划分。适当的职责分工可以防止错误和欺诈，通过划分的各部门之间的责任和人员的审核、检查和制约,防止一个人控制各方面的事务，可以防止员工欺诈,也可以降低发生虚假财务报告。 授权批准是指交易发生须经适当授权，不得擅自或超出授权范围的交易。因此，清楚地管理各阶层管理人员、员工的职责和权力，如果没有授权的经营活动,造成会计信息失真，相应的人应当承担责任。 企业会计系统的控制要求，根据会计法，统一会计制度和其他有关法律、法规和会计准则、设计适当的财务会计制度，明确帐户处理和企业会计政策，保持足够的证据和记录，建立完善的会计凭证统一编号、审核、保管制度，实行会计人员责任和内部审计制度，禁止未经授权的会计人员处理会计业务。由于在经济业务实行了流程控制、过程控制、凭证编号、核检和其他措施，使经济业务和会计处理得以相关约束、相互联系，以避免发生错误，即使出错，但是也容易自动检测和自动改正以确保正确及完整的会计记录。 内部审计是一种特殊形式的内部控制，这样做的目的是“评价和记录经济活动的真实性、合法性、有效性”(萧英达，2000年)。企业内部审计部门要对 所有的财务信息的可靠性和完整性、企业资产使用的经济有效性进行审查。审计委员会负责执行内部稽核将有助于减少并发现错误或无意故意虚报漏报误差，并使员工尽量减少错误。 从审计的角度出发，与财务报表包含的信息在相关部门，包括:存在或发 价和分摊、表达和披露。存在或发生的事情是指生、完整性、权利与义务、估 在资产负债表上所有资产和权益均存在，损益表的收入、支出、盈亏发生在报表所反映的会计期间。相对应的错误是“虚报错误”。完整性认定是资产负债表上所列的所有财产权利，属于公司财产。符合这个错误是“漏报错误。”双方的权利和义务是公认的资产负债表上的所有资产中列出了公司的权利、所有的债务是公司应尽的义务。估价和分摊是指资产、负债和其他物品以适量的金额填写财务报表。所谓的表达和信息披露是指特定元素的会计报表是否被正确分类、描述和披露。从另一个角度，所谓的会计信息失真,简单地说是远离这些认定，运行有效的内部控制制度可以防止类似错误。如果管理当局的诚实和关注财务报告对这五个认定都有很重要的影响。一份完整的证据证明，检查和批准程序， 权利和为检查和复核已发生的交易提供一个有效的方法来防止和减少假偏误，义务的差错。有效的内部审计能够减少误差和制作虚假会计报表的可能性。 (二)内部控制的框架 进入90年代后，对内部控制的研究进入了一个新阶段。1992年，美国Treadway委员会下属的由美国注册会计师协会、国际内部审计师协会、财务主管协会、管理会计学会和其他组织参加的发起人组织委员会(COSO)发布的一份报告的“内部控制-集成架构”即“COSO报告”，“报告”具有广阔的应用性。 1996年美国注册会计师协会颁布的《审计公告第78号》，完全接受COSO报告的内容，并从1997年1月开始更换1988年发布的《审计标准公告第55号》(SAS 55)。新的指南为内部控制的定义是:“由一个企业的董事长、管理层和其他人员来实现的过程，目的是为下列目标提供合理保证:财务报表的可靠性、营运之效果及效率，符合有关法律、法规。“这个指南将分为五类的内部控制元件，它是控制环境、风险评估、控制活动、信息与通讯、监督。 1、控制环境，构成一个单位的气氛，控制其它部件员工内部的基础。包括: •员工诚信和操守。如有无描述可接受的商业行为、利益冲突、道德进行标准的 行为准则。 •员工的胜任能力。如雇员能否执行质量控制管理要求。 •董事会或审计委员会。如董事会与管理层是否独立。 •管理哲学和经营方式。如管理层对人为操作记录或错误的态度。 •组织结构。如信息是否到达适当的管理阶层。 •赋予的权利和责任的方法。管理者的责任在关键领域是否有足够的规定。 人力资源政策和实施。例如，促进就业、培训、奖励员工政策。 2、风险评估，指的是管理层识别并采取适当的措施来处理对经营、财务报表、符合目标影响内部或外部的风险,包括风险识别、风险分析。风险识别、包括外部因素(如技术开发、竞争,经济形势的变化等)和内部因素(如人员素质、公司活动性质，信息系统处理特性)进行检查。风险分析涉及估计风险的重大 程度、评估风险出现的可能性、考虑如何管理风险。 3、控制活动，指的是确认的风险采取必要措施，确保单位目标的政策和程序的实现。在实践中，控制活动有各种形式，并可以归结为以下类别: (1)绩效评价，是指实际表现和其他标准，如前期业绩，预算和外部的基准规模比较，将不同系列的数据，如财务数据和经营数据，对功能或运行业绩进行评估。这些评价活动对企业管理的有效性和效率非常有用的，但一般与财务报告的可靠性和公允性相关度不高。 (2)信息处理，是指确保业务在信息系统正确、完全和经授权处理的活动。信息处理的控制可分为两类:一般控制和应用控制。一般控制与信息系统的设计和管理有关，如确保软件完整的程序、信息处理时间表、系统文件和数据维护，应用控制和个别数据在信息系统中处理的方式有关，如保证业务的正确性和已授权的程序。 (3)实物控制，也称为资产和记录的接近控制，这些控制活动，包括实物安全控制对计算机和数据资料的接触应授权、定期盘点实物以及把库存控制数据进行比较。实物资产的控制中防止盗窃的程序和财务报告可靠性有关，例如在编制财务报告时，管理层依赖于永续库存管理、库存记录，则存货的接近控制和审计有关。 (4)职责分离，是指各种功能性职责分离，防止雇员从事或单作业隐藏的异常行为。一般来说，下列职责应当分开:业务授权(管理职能)，业务执行(保 保管职能)，业务记录(财会功能)，对业绩的独立检查(监督职能)。理想的职责分离状态是，没有一个办事员负责的一个以上的职能。 4、信息与沟通，是为了让员工履行他们的职责，公司必须确认，捕捉、交流外部和内部信息。外部信息，包括市场份额，法规的要求和客户投诉和其他信息。内部信息，包括会计系统，这是由管理当局建立的记录和报告的经济业务和事项,维护资产、负债和所有者权益方法和记录。一个有效的会计系统应包括:(1)包括可以保证所有的有效业务，方法，详细地记录;(2)序列详细分类记录便于企业提供财务报告;(3)采用恰当的货币价值用来衡量正当业务;(4)以确定业务发生时期确保业务记录在一个合理的会计期间，在适当的财务报告中披露。 沟通是使员工理解他们的职责,维护财务报告的控制。它包括使员工了解在会计制度他们的工作如何与其他人联系、如何向管理层汇报情况。交流的方法有政策手册，财务报告的手册、备查簿,以及如口头交流或管理。 、监控，指内部控制质量评价的过程，即改革内部控制、运作和改进评价5 的活动。包括内部审计与外部人员、单位和组织交流。 事实上上述五种成分内容广泛和相关。控制环境是其他控制成分的基础，在规划和管理活动时，需要对公司可能面临风险作详细的了解和风险评估，风险评估和控制活动必须依靠企业有效的信息沟通;最后，实施有效的监控确保内部控制的实施质量。 (三)内部控制的目标和原则 内部控制目标是内部控制存在和存在的形式的基本问题，也是建立内部控制框架，以及考核、评价内部控制的指导参考点。《企业内部会计控制的基本规范》中，内部控制目标分为五大方面，其中除了含有原来的确保经营目标的实现,防止发现纠错和欺诈，确保财产安全，确保会计信息的真实、完整，保证所有的法律、法规和企业内部控制制度的实施，但也强调:建立风险管理体系，加强风险管理和经营活动，以确保单位各项经营活动平稳运行。建立风险控制系统作为一个独立的目标之一，在中国当前的企业运营的过程中疏忽风险控制、有时还会有一个盲目使用资金和其他隐藏的巨大风险进行的操作，很适合我们的需要，并能在很大程度上促进改善公司治理制度，加快国有企业改革的改善。 根据COSO报告，内部控制的目标包括:实现营运之效果及效率，以确保 可靠的财务报表，确保符合相关规定处理。可以看出，COSO委员会的控制目标包括的内容更普遍，特别是达到营运之效果及效率，企业要实现这一目标涉及企业的各方面的活动，同时也涉及对经营业务取得的效能评估和评价标准的定位问题。 确保商业活动的有效进行，防止错弊，我国内部控制目标的定位主要约束与 会计信息的真实、合法与资产安全性和完整性，这样的目标是相对低调。从长远来看，随着经济的发展和不断完善的业务状况，目标应该相应增加。不仅需要借鉴相关的内部控制的目标，也要考虑我国国情，对我国企业的实际现状，从提高中国企业和完善公司治理结构的角度来看，不仅要遵循正确的前瞻性与发展性，它也有一个立足点和现实的稳定性和可操作性，给中国的内部控制措施以适当的目标定位。 《企业内部控制基本规范》明确内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务会计报告及相关信息的真实、完整，提高运营效率和效果，促进企业的发展战略。这个规范包含三层含义。 、运营有效性和效率。所谓的有效性是指企业目标是符合公司的战略目标1 是为了支持企业战略目标的完成。另一方面，运作效率和内部控制系统，应该能够提高工作效率。是不同于过去或类似的企业，相同的生产成本会降低，同样的投入获得更高的产出，浪费和人为损失减少了，因此资源得到有效使用。 2、财务会计报告及有关的信息准确无误。强调对外报送的、公开的反映了企业的经营效率和效果的财务报告和相关的信息必须真实、完整、可靠。 3、企业经营管理符合法律。内部控制制度应确保经营、管理活动符合适用的法律和法规。 企业建立一个内部控制制度系统不仅要以《企业内部控制基本规范》、《会计法》、《公司法》、《会计基础准则》和其他法律、行政法规为基础，制定本企业规定的具体情况，也有利于企业内部管理，可以有效地提高防范经营风险，保护单位财产，保障国家、集体、员工之间的利益，提高企业效率的。明确企业建立内部控制制度遵循以下原则: 1、合法性原则，也就是说，一个企业必须根据国家法律、法规，在国家标准的规章制度的框架内，研制出一种实用的企业内部控制体系。这是企业建立一个内部控制制度系统的基础，在大部分的违法违规的企业中，是因为他们没有按照法律办事，更重要的是，由于企业的内部控制制度本身本身就脱离国家的规章制度，任意妄为，最后给国家、企业造成损失的，给社会带来不利的影 响。 2、整体性原则，这是一个企业内部控制制度应充分参与各方面的企业财务会计控制，它必须满足公司的长期计划，也注重企业短期目标，还与其他企业内部控制制度的协调。在我们的工作中，通常会有很多的局限性和短视性，经 只是从财务问题进行单方面的思考，结果损失，还与其他的常为了简单方便， 内部控制制度的实施相互矛盾，或者得不到干部和工人的理解，而引起的系统名存实亡，因此在建立一个内部控制制度系统应把握大局，围绕企业的全面实施效果。 3、针对性原则，是指建立内部控制制度是根据企业实际情况，针对企业财务会计的薄弱环节，制定有效的内部控制系统，各个环节和细节必须得到有效控制，提高企业财务会计业务水平。目前我们有很多公司都没有根据企业的实际依照法律、行政法规制定规范企业财务会计制度，从而导致弱的会计与财务管理混乱。 4、一贯性原则，这是一个企业内部控制制度必须具有连续性和一致性，而不能随意更改，否则无法贯彻实施。我们在制定企业内部控制制度，必须高度 必须努力做到尽可能一贯连续。 重视这一点， 5、适应性原则，是指企业管理系统应根据变化的市场环境和财务会计专业的发展及社会发展的及时补充业务内部控制制度。适应性可分为两个方面，一是对外部的适应，另一方面是企业内在的适应。外部适应指的是企业内部控制系统,以适应国家宏观经济发展、产业发展和适应企业的竞争对手机制。内部适应性意味着它需要适应自己的战略规划、发展规模与公司的现状。企业应把握这两个方面，制定适时有用的内部控制制度,使企业财务会计准则向更高和更好的方向发展。 6、经济性原则，是一个企业内部控制制度的建立需要考虑成本的原则,即在使用过程中存在的问题，从经济学的观点必须是合理的。一个系统的研制开发为了控制的企业某些部门、重点，并且最终提高企业管理水平、提高工作效率，如果与此相反，它会变得弊大于利。 7、适用性原则，是指企业内部控制制度应易于所有部门和人员的实际应用，意味着企业内部控制系统的可操作性强，并切实可行。这是发展内部控制制度的一个重点。企业内部控制的适应性系统可以概括为“内容标准、易于理解，操作简便、灵活调整。” 8、发展性原则，对企业内部控制制度的发展应充分考虑宏观经济政策和企业的发展，洞察对手的动作，制定出有发展性和长远视野的规章制度。企业内部控制制度是一项重要的系统，我们需要一个战略高度把它引往一个更全面的 发展方向。 (四)内部控制的内容 内部控制理论在西方发展将近一个世纪，成熟的COSO报告五要素，即控制环境、风险评估、控制活动、信息与沟通和监督。这是一种成熟的市场经济以及西方发达资本市场条件下企业内部控制因素要考虑的要件。我国内部控制的内容范围与COSO报告相比，还有相当大的距离。《内部会计控制的基本准则》的构成未以要素的形式存在，而是直接列表内部控制的内容，包括:货币资金、实物资产、对外投资、工程项目、采购和付款、融资、销售、应收帐款、成本、费用和其他经济核算控制，并且每一个条款都规定相应具体范围。我们可以看到，我们的内部控制的做法是集中在会计领域。《会计法》和《内部会计控制的基本规范》和其他法律规范，主要从财务会计角度规范内部控制;独立审计指南还关注定位会计和公司的责任。《内部会计控制的基本规范》中突出的一部分强调建立风险，加强风险管理和经营活动安全运作，以确保机组的正常运行，风险控制系统的建立为一个独立的内部控制规定加以强调。第24条规定:风险控制要求单位建立意识的风险，为每个风险控制要点建立有效的风险管理体系，通过风险预警、风险识别、风险评估、风险分析、风险报告和其他措施，对财务风险和经营风险进行综合防治。在控制每一个具体的控制条款已经增加了对风险防范的要求。侧重于风险控制、风险管理，在我国当前企业的运营过程中疏忽风险管理造成巨大隐患甚至风险损失有关，适合当前的实际需要，可以在很大程度上促进企业改革与治理结构。 为适应社会主义市场经济发展，企业权利和义务的渐进推行规范中执行到位，其在社会经济生活中发挥着越来越重要的作用，提出了相应的内部控制制度和工作内容也会在这个范围越来越广。企业外部环境文化管理理念，如控制的环境因素和风险因素应包括在内部控制的范围。我们的观点是，它不能无视现实的中国，复制成熟的市场经济条件下的外国企业内部控制理论的元素，不能仅仅局限于对我国现行的内部控制标准范围的内容。对我国现行的法律法规对内部控制的观点，做为外部条件的控制环境和风险评价部分相对薄弱，内部控制在未来的发展中，涉及的范围需要加以强调。 控制主体不仅能区分内部控制和外部控制信号，同时是构建内部控制制度内容的基础。这里以企业背景来分析内部控制制度的内容。正如我们所知，公司由四种经济主体，即、股东、经营者、管理者和普通的员工组成，这四种经济实体拥有他们自己的目标,并有自己的可控的因素，所以，企业内部控制体系 可分为以下四个层次组成: ?以股东为主体的内部控制; ?以经营者为主体的内部控制; ?以管理者为主体的内部控制; 以普通员工为主体的内部控制。 我们这里用内部控制五要素为框架，对四个层次的内部控制作一个整体性的勾画。 1.以股东为主体的内部控制 (1)控制主体:股东。 (2)控制客体:经营者及整个企业的经营业务活动。 (3)控制目标:股东财富最大化、财产安全、能获得信息如实报告。 (4)信息沟通:公司财务报告。 (5)控制手段:建立公司治理结构、委托外部CPA审计、决定公司会计政策、抛售公司股票、对经营者实行承包经营或租赁经营。 2.以经营者为主体的内部控制 (1)控制主体:经营者。 (2)控制客体:管理者及整个企业的经营业务活动。 (3)控制目标:实现公司经营目标、财产安全、能获得信息如实报告。 (4)信息沟通:责任报告。 (5)控制手段:组织控制、预算控制、财务控制、会计控制、政策控制、人事控制、风险控制、内部审计。 3.以管理者为主体的内部控制 (1)控制主体:管理者。 (2)控制客体:普通员工及责任中心的经营业务活动。 (3)控制目标:完成责任目标、资产安全、获得业务运行的真实报告。 (4)信息沟通:公司会计报告和统计报告。 (5)控制手段:管理方法控制、技术方法控制、组织控制、授权批准控制、文件记录控制、实物保护控制、职工素质控制。 4.以普通员工我主体的内部控制 (1)控制主体:普通员工。 (2)控制客体:经营业务活动。 (3)控制目标:完成日常经营业务活动。 (4)信息沟通:质量报告。 (5)控制手段:职工业务技术水平。 (五)改善内部控制的关键 1、健全管理机构。内部控制构建体现在两个方面:第一，一个健康的机构，它是有效的内部控制机制的硬件要素;二是内部机构、各业务人员的科学分工和牵制，它是有效的内部控制机制的软件元素。现在必须解决两个问题:(1)建立一个管理控制机制。例如，一些上市公司基于自己的经营的特点，建立了审计委员会委员、价格、薪酬委员会等是为了改善内部控制机制的一个有益的尝试;(2)实施的职责是不兼容的系统，防止高级管理人员交叉任职、主要体现在董事长和总经理同为一人，董事会、经理人员重叠。 2、建立一个可操作的伦理规范和行为规范。内部控制制度的实施者包括高级管理人员在内的所有员工，激励和约束的对象是企业的员工，员工的道德准则和价值观长久以来一直被视为是一种企业内部控制环境重要的因素，要求内部控制结构的构建要认同员工的道德标准和价值观的承接性，实践表明，基于环境现状态下建立内部控制机制是一种被动的方法，因此，英国和其他国家，越来越多的企业伦理的行为规范建设直接并入内部控制结构的内容。 3、公司必须注重内部控制制度可供选择的管理人才。内部控制系统的设计得如何完美，如果没有合格的人员来完成，也不能起到重要的作用。企业人事政策直接影响到企业可否吸引更高的业务能力的人员来实施内部控制制度。应该禁止帐户设置不合理、记录不真实的情况，充分发挥会计控制系统的功能，你一定要重视内部控制制度管理人员的选拔和培训，提高财会人员的素质，定期进行评估。 4、企业必须发挥内部审计角色的作用。内部审计是加强内部控制制度的一个基本的安全措施，内部审计部不仅包括审核会计记录，包括审计、评估相关的内部控制制度是否完善和企业内各组织机构在执行指定的职能的有效性。并向企业高层管理人员提交一份报告，保证了公司的内部控制制度的健全和更加严格。 5、应发挥国家审计机关、部门审计机构的权威性和监督作用。定期或不定期的对企业内部控制制度进行评价，以杜绝企业管理部门负责人滥用职权所造成的内部控制制度形同虚设的情况。 6、对于体现内部控制外部化。所谓内部控制的外部化是指企业采用外部控制程序，在某些环节替换内部控制，为了达到其特殊控制作用的过程。它包括控制参与者的外部化，还包括控制程序和方法的外部化。换句话说，公司通过使用外部人员参与企业内部控制，也有直接获取外部控制程序、方法来取代的内部控制，它们都属于的内部控制外部化。内部控制的外部化是一系列原因引 起，其中包括:社会分工专业化、企业管理高效的追求、内部控制自身的缺陷、政府的经济管理职能的操作。 内部控制外部化的重点应放在高级经理的控制上。首先，股东和高级经理之间有一个较大的利益冲突，仅仅靠监事会和其他内部控制程序很难保证它的控制结果。第二，高级经理都拥有比较大权利，其取得不当利益或作出其他不合规定行为的途径和手段比较丰富和细腻隐蔽，可控制难度更高，因此需要有相当的技术专长于外部控制程序对其束缚。再次，股东对经营者的控制信息是需要对外披露，经常需要控制必须有很高的中立性。最后，股东和高级管理的关系具有共性，适应共同实施外部控制。 内部控制外部化的内容主要用于经营管理符合规定的控制。根据COSO定义，内部控制的目标是两个，一是保证财务报告体系的可靠性、企业运作遵守法律，即合规性;二是提高企业经营效率和效益，是企业创新能力、盈利能力。内部控制的责任和内容应以此确定。例如，企业经常设置内部审计、会计监管等机构，如使用岗位分工，授权复核，预算控制及其他的方法来控制，确保其业务符合规定;也会使用绩效考核、成本核算、风险分析、人员培训、激励和其它方法来提高企业效益。 因此，把企业一些的外部控制环节和内容由外部控制来实行，一方面可以增加完整的专业化企业经营和管理效率，促进提高内部控制的质量;另一方面，提供更多的业务空间给外部控制，这肯定会协助外部控制的发展和成长。 三、旭光公司实行COSO内部控制框架应用情况 (一)旭光公司中实行COSO内部控制状况 旭光电子有限公司是1998年成立的电子私营有限责任公司，是一家集研制、开发、生产及销售为一体的专业电子元器件生产、配套企业。主要生产经营SMD全系列电子元件:贴片电阻、贴片电容、贴片钽电容、贴片电解电容、贴片二极管、贴片三极管、贴片电感、可调电容、集成电路IC等系列。企业起步时，当时的员工为200-300人，典型的中小企业，经营者是本地人，因此企业处于半家族式经营状态。鉴于这一致命的弊端，企业的经营规模一直上不去，利润 在当地同行中属于中等偏低，竞争能力不强。在实施COSO内部控制框架前，企业存在着许多问题，尤其突出表现为: 1、内部环境(新框架中第一要素) COSO新框架认为，内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。企业内部环境决定其他控制要素能否发挥作用，是内部控制其他要素发挥作用的基础，直接影响到企业内部控制的贯彻和执行以及企业内部控制目标的实现，是企业内部控制的核心。下面是旭光公司控制环境的简要分析。 (1)内部控制意识薄弱。旭光公司几乎没有内部控制意识，从管理层到员工对内部控制几乎没有意识。 (2)组织机构设置不合理。COSO新框架报告认为，企业内部控制环境的一个重要要素是董事会，并认为企业应该建立一个强有力的董事会，董事会要能对企业的经营管理决策真正起到监督引导的作用。旭光公司虽然设立了董事会，但是董事会极不完善，除了董事长，在公司外，其他董事会成员常年在国外，从不问津公司事务，而且董事会下的几个委员会也空缺，公司的事务几乎都由董事长一人说了算。 (3)企业制度不健全，人事政策和实务不完善。COSO新框架报告认为，人是企业最重要的资源，亦是重要的内部控制环境因素。在旭光公司，管理人员普遍未受过全日制正规高等教育，企业亦未对这些管理者进行正规的管理培训。公司员工文化水平偏低，除高层领导外，员工大都只有高中或初中文化，虽然多数员工能做到踏实肯干，基本能胜任自己的工作岗位，但随着公司规模的扩大，业务量的增加势必会难以应付将来更加激烈的竞争。且公司没有人力资源部门，所有的招聘和工资都是由总经理决定。 2、风险管理流程:目标制定-事项识别-风险评估-风险反应-控制活动(新框架中第二至第六要素) 企业风险管理总体框架在内部控制整体框架基础上新增了三个风险管理要素---“目标制定”、“事项识别”和“风险反应”。因而形成清晰的风险管理流程:目标制定-事项识别-风险评估-风险反应-控制活动。旭光公司风险意识极其薄弱，公司也没有相应的风险机制、相应的风险管理机构，发生风险后只会去事后补救，等下次还是一而再的发生，然后在补救，缺少事前风险控制。 (1)目标制定。必须先有目标，管理当局才能识别影响目标实现的潜在事项。管理者应制定本企业的战略目标，选择战略并确定其他与之相关的目标并 在企业内层层分解和落实。旭光公司没有自己企业的战略目标，更别说用战略目标去统筹其他三个目标从而达到层层落实。 (2)事项识别。必须识别影响主体目标实现的内部和外部事项，区分风险和机会。不确定性的存在，使得企业的管理者需要对这些事项进行识别。而潜在事项对企业可能有正面的彭响、负面的影响或者两者同时存在。旭光公司不善于去识别事项，抓不住正面的风险，好多次都和机会擦肩而过。 (3)风险评估。通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估—风险发生的可能性和影响。旭光没有专门的风险评估体系和配备人员，事情来临时只靠个人的主观经验。 (4)风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风险，即从企业总体的角度、或者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。由于旭光公司整体管理人员文化知识不高，高级领导大部分也都是技术出身的，缺乏管理知识，也不具备风险分析、反映素质，而且致命的是没有意识去培养创造这方面的人才。 (5)控制活动。控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序，旨在帮助企业保证其针对“使企业目标不能达成的风险”采取必要行动。旭光公司缺乏风险中控制活动。 3、信息和沟通(新框架中第七要素) 相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换，如客户、供应商、行政管理部门和股东等。旭光公司内部人员关系复杂，工作的上风险大家都窝藏着，很少进行沟通，公司领导也很少进行公司会议和部门会议，整个公司形成一个凝重的企业文化。销售部和财务部也缺少有效的信息沟通，每月销售报表总是存在问题，销售部与仓库也存在矛盾，由于平时销售和仓库出库没有核对，造成月底和年底的核对不上，延误财务报表的质量。 4、监控(新框架中第八要素) COSO新报告认为，企业内部控制是一个过程，这个过程系通过纳入管理 过程的大量制度及活动实现的。要确保内部控制制度被切实地执行且执行的效果良好，内部控制过程就必须被施以恰当的监控。监控是一种随着时间的推移而评估制度执行质量的过程。旭光公司没有监控体系，屡屡发生漏控事件。 内部审计既是企业内部控制的一个部分，也是监督内部控制其他环节的主要力量。在内部控制的监督过程中，内部审计发挥着越来越重要的作用，内部审计过监督控制环境和控制程序的有效性，监督企业的内部控制是否被执行并及时反馈有关执行结果的信息，帮助企业更有效地实现预期控制目标。同时，在监控过程中，内部审计可以促进内部控制环境的建立、为改进内部控制制度提供建设性建议，为组织成功的达到所需要的内部控制水平服务。内部审计是经济监督的再监督，作为内部控制的组成部分之一，它是企业改善经营管理、提高经济效益的自我需要。很遗憾，旭光公司也没有内部审计人员及机构。 (二)旭光公司内部控制制度设计原则 每个公司都有自己公司的特殊企情，我们在参考财政部发布的《企业内部控制规范》上内部会计控制设计原则的基础上，根据大风公司的具体情况，提出大风公司内部控制设计原则: 1、相互牵制原则 此原则理论依据是相互牵制和制约下的几人发生同一错误舞弊现象的概率是每个人发生该项错误舞弊现象的概率的乘积。因而，一项完整的经济业务，需经过两个以上的有相互制约关系的控制环节对其进行监督和核查，其发生错误舞弊现象的机率就很低了，就具体的内部控制措施来说，相互牵制必须考虑横向控制和纵向控制两个方面的制约关系，从横向关系来讲，完成某个环节的工作需有来自彼此独立的两个部门或人员协调运作、相互监督、相互制约、相互证明;从纵向关系来讲，完成某项工作需经过互不隶属的两个或两个以上的岗位和环节，以使下级受上级监督，上级受下级牵制。不管内部控制理论再怎么演进，相互牵制原则都是内部控制的本质理念和精髓。旭光公司的签订、采购、付款等等业务内部控制应该都应体现这个原则。 2、系统原则 系统是具有特定功能的，相互间具有有机联系的许多要素所构成的一个整体。这些要素之间及相互作用，又相互制约来完成某种特定的功能。旭光公司 内部控制设计按照企业风险管理---全面框架八要素建立，新框架本身就是一个完整的系统，因此遵照这种新框架要素设计的内部控制也理所当然要体现这种系统原则。 3、分工、职责明确原则 在旭光公司原有的管理机构或者工作岗位甚至员工中，分工混乱，特别在一些边缘业务上更是责任不明确。这容易导致致命的失控。科学有效的控制制度应该是，组织结构确定后，各个职能部门都必须是专业化的专职部门，对各个部门和人员的职权，职责应进行明确分工和描述，建立岗位责任制，保证每个部门和人员知道自己应该做什么，并在自己的权责范围内执行任务，发挥特长。防止互相推该，相互扯皮，人人都不愿管，发生失误大家都不负责，结果是无法确定责任归属，成了法不责众，起不到惩戒作用，造成工作失去控制的混乱局面，和管理失效，这是我们在设计旭光内部控制制度时应该注意的问题。 4、协调配合原则 在内部控制中，相互牵制是基础，协调配合是升华。协调配合原则要求各部门之间、人员之间应相互配合、协调同步、紧密衔接，减少矛盾和内耗，避免只管相互牵制而不顾办事效率的做法，导致不必要的扯皮和脱节现象，必须做到既相互牵制又相互协调，保证经营管理活动连续、有效地进行。 5、成本效益原则 设计内部控制时，我们也要考虑控制投入成本和控制产出效益之比，一般来讲，我们应该从整体注重企业的风险和业务风险，而不是钻尖于各个小细节。 四、旭光公司内部控制中应用中存在问题的原因 旭光公司注意到COSO内部控制框架的重要性，为了保证公司生产经营业务活动的正常进行和保护资产的安全和完整，根据公司自身的实际情况，建立了相应的内部控制制度，但由于对COSO内部控制框架理解还不够全面清晰，出现了侧重于企业外部环境的梳理，而忽略了内部各岗位、各环节的牵制;侧 重于经营环节的程序控制，而忽略了企业整体的协调;侧重于内部控制制度的学习，而忽略了执行制度的人的素质提高;侧重于对实物、货币的控制，而忽略了会计等专业技术的培训等。存在问题的原因可以概括为以下几个方面: (一)会计基础工作薄弱 旭光公司的会计基础工作还是较薄弱，一些国家统一的会计制度的实施不到位，内部会计控制流于形式，单位负责人非法干预的会计核算工作，会计秩序紊乱，会计信息失真等问题，不仅造成单位会计工作无序、治理混乱，给腐败、贪污和滥用单位资金和侵吞单位资产的不法分子提供了机会，而这些问题影响整个社会，导致财产受损、会计混沌状态，严重扰乱经济发展的秩序和环境。因此，加强财务监督，加强内部控制制度,规范会计行为和治理，已成为解决当前会计混沌、会计信息失真、维护所有者权益的重要措施。 会计基础工作是财务会计工作的基本环节，也是经济管理工作的重要依据。一些企业忽视《会计基础工作规范》的要求，会计机构设置并不完美，员工配置不合理、工作职责不清晰，交接手续不规范、缺乏有效的内部控制制度和会计监督机制。财务会计体系不完善，会计舞弊及会计资料不完整，会计业务处理方法落后，会计电算化渗透不高、不能满足现代企业的要求。 会计处理缺乏完整性、一贯性。公司由于会计工作程序混乱、核算不实而产生的会计信息失真现象较为严重。如重要空白凭证保管使用制度、常规性的印单(票)分管制度及会计人员分工中的“内部牵制”原则等没有真正的落实;会计凭证的填制没有合理有效的原始凭证支持;篡改会计数据、人为捏造会计事实、乱摊乱挤成本、设置账外账、隐瞒或虚报收入和费用;资产核查不清、债务不实等等。存货控制薄弱，造成资金周转呆滞，企业月末存货占用资金往往超过同期营业额的两倍以上，造成周转失灵资金呆滞。应收账款控制不严，造成资金回笼困难，没有严格执行赊销政策;缺乏有力的催收措施，回收期过长;应收款项不能及时兑现或造成呆账;导致应收账款周转缓慢，而且容易造成资金损失。对现金管理不严，造成资金闲置或不足，造成闲置现金未参加生产周转或资金使用没有计划，大量购置不动产，无法应付短期经营急需的资金，陷入财务困境。重钱不重物、对产成品、半成品、原材料、固定资产等的管理不严，保管不善，出了问题也无人查找，资产损失浪费相当严重。 (二)法人治理结构不完善 由于过去我国长期处于计划经济的环境下，很多管理者的治理思想和经营方式还停留在行政领导的身份上，还没有从根本上转变经营理念，没有把企业作为自负盈亏、自主经营的法人实体和经营主体。企业的公司制改革也没有从根本上解决这种问题。旭光公司虽然设置了董事会、监事会，聘任了总经理班子，但是，在实际经营业务工作中，董事会的监控作用严重弱化，“董事”不“懂事”，只是作为一个“虚职”，而且缺少有用的常设机构。同时，由于公司法人治理结构的不完善，往往缺乏有效的内部控制措施。因此，它产生了大量的“内耗”，增加公司的生产经营成本。 内部控制制度的构建及有效运行，依赖于企业内部良好的法人治理结构。现代企业的所有权与经营权的分离，使管理层次增多，管理范围增大，管理职能逐步分解，客观上需要一个规范合理的法人治理结构，增强内部控制，以保障所有者、经营者、债权人等的合法权益。在股份制公司，存在着股东大会、董事会、监事会，其中股东大会选举产生董事会，董事会要维护出资人权益，对股东大会负责。董事会对公司的发展目标和重大生产经营活动作出决策，聘任经营者，并对经营者的经营业绩进行评价和考核。监事会对董事会、公司的财务报告及经营者执行法律和公司章程情况进行监督。这样构成了一个相互制衡、协调运行的内部治理结构，它有助于相互制约、相互监督，保证企业的正常生产经营运转。 但是，旭光公司虽然形式上也构建了法人治理结构，但没有达到内部权力制衡的效果。公司董事长、总经理由一人担任，董事担任监事。公司的董事会成员大多由公司的经理人员担任，董事会不能发挥监督经理人员的作用。监事会成员的薪水和职位的升迁基本由总经理或董事长决定，使监事会形同虚设，不能有效发挥其监督职能。财务会计信息系统的运作由总经理的直接领导，财务监督被架空。相互制衡的法人治理结构无法构建，内部控制制度无法有效运行。会计数据信息失真，专权独断，贪污腐败等现象产生，阻碍了企业的生存发展，影响了社会经济秩序。内部控制制度残缺不全或有关内容不够合理全面;更多的是有章不循有规不依，将已定立的企业内部控制制度“印在纸上、挂在墙上”，以应对有关部门的检查、审计，而不管内部控制制度执行效果情况如何，遇到具体问题多强调灵活处理，使内部控制制度流于形式之外，失去了应有的刚性和严肃性。 (三)公司内部法律意识较薄弱 旭光公司内部法律意识薄弱，法律制度的完善规范是一个长期的、循序渐进的发展过程。随着市场化程度的提高和市场经济改革的深入，相关法律法规制度逐步得到了健全和完善。如《会计法》先后明确要求各单位应当建立健全内部控制制度、内部会计监督，并在此基础上发布与之配套的规章---《内部会计控制规范》。公司管理者的法律意识薄弱:有法不依，执法不严，违法不究，投机取巧，姑息将就，卖人情给面子的现象普遍。内部控制制度重在执行，其中人的因素非常重要，由于单位领导人不够重视，或执行人员业务水平不高，职业道德素质不高，造成内部控制制度仅限于挂在墙上，有名无实，公司内部管理依然失控。公司有的部门负责人私自对外投资，收益不入账，中饱私囊;内部职能部门开设银行账户和私设小金库，资金管理严重失控。 (四)管理层和员工的素质不高 旭光公司经营层、员工的素质不高，人力资源政策不健全。公司员工的能力、个人品质以及对员工的治理是控制环境的主要因素，COSO非常强调“人”在内部控制中的作用。公司治理水平、人员素质都不高，企业治理者价值观扭曲、缺乏敬业精神、缺乏治理能力。人力资源政策缺乏透明度、缺乏激励机制、不能够选拨出合格使用的人才和调动人的积极性。而会计人员素质高低直接影响会计信息的质量优劣，业务素质较差的会计人员由于认识水平的局限性会造成会计数据脱离实际情况，使会计信息出现不实;业务素质的高低又直接影响其职业判断能力，进而影响会计信息的质量。有些企业会计人员由于职业道德和思想素质低，法制观念淡薄，为了企业眼前的利益做假账，为了个人的利益而编假证、假据，化公为私，只会顺从领导的意图从事，而丧失了一名会计工作者应有的职业道德和责任感。 五、基于COSO内部控制框架的旭光公司内控体系调整 (一)完善内部环境 1、日常内部控制监督规范化、制度化 内部控制监督活动由持续监督、个别评估所组成，它是保证企业内部控制持续有效的重要方面。其中持续监督活动，即日常监督活动，主要包括例行的管理和监督活动，以及其他员工为履行其职务所采取的行动，如负责营运的管理者取得内部控制系统生成的资料，并以此与财务会计报告进行对比;与来自外界的团体进行沟通，以验证内部信息的正确性;不相容职务相分离，使不同员工之间可以彼此相互检查，以防止舞弊;把信息系统所记录的资料同实际资产核对;内、外部稽核人员定期提出强化内部控制系统的建议;通过培训课程、规划会议和其他会议把控制是否有效的重要信息反馈给管理层;管理层或内部稽核人员定期要求员工陈述他们是否了解企业的行为述某些特定控制是否都予执行，并验证这些陈述是否确实。日常监督活动是内部控制监督的主要部分，其监督效果的好坏直接决定着企业整个内部控制效果的好坏。从世界各国企业的实践来看，日常监督活动有效的关键是使监督活动规范化、制度化。国内外著名的长寿公司，都制定有关于日常经营管理和监督方面的详细内部文件和细则，它们如同企业内部的法律一样，指引着企业成员开展日常经营活动，以保证企业有条不紊的运转。因此，旭光公司也应从最基本的日常监督活动的规范化和制度化入手，逐步完善企业内部控制。因为，经营企业就是按常规办事，而不是去做一些特立独行的事情，实践也反复证明，不合常规的事情往往无法长久。 2、以内部控制自我评价进行个别评估、发现内部控制缺陷 内部控制自我评价体系(英文简写为CSA)是一种新兴的审计技术和方法，最早由加拿大的海湾资源公司在上世纪八十年代开始运用。其基本特征是:关注业务流程和控制成效;由审计职能部门和业务部门共同进行，内部审计人员和业务流程具体执行人员全体参与;用系统化的方法开展评价活动。目前这种方法在美国、加拿大及欧洲得到了广泛的运用，是西方发达国家的企业进行内部控制的一个新趋势。其原理是，公司从内部控制的有效性及效率效果方面，不定期或定期对自己及所属子公司的内部控制系统进行评价，并提出改进建议，不断提高内部控制水平，以实现企业的管理目标。其方法是，内部审计人员与公司管理人员组成一个小组，管理人员在内部审计人员的帮助下对本部门内部控制的恰当性和有效性进行评价，然后根据评价和集体讨论提出改进建议，并形成报告，最后由管理者实施。因此，一个完整的内部控制自我评价应由以下几个方面构成:管理者的支持;组织研讨会;提出自我评估报告;制定行动计划;确定关键控制点和相应的控制措施。 内部控制自我评价体系是一种自发的自我评估运营程序，能有效提高组织成员关于内部控制的自我意识。它把传统的只有内部审计人员从事的内部控制评估转为由公司各个部门参与作业的人员亲自评估，使公司的所有人员认识到，内部控制评价不仅仅是高级管理人员应考虑的问题，也不只是内部审计部门的责任，而是企业所有成员的责任。内部控制自我评价通常以研讨会的形式进行，目的是使企业员工了解哪里存在缺陷以及其可能导致的后果，然后让他们自己采取行动改进这种状况。研究表明，实施内部控制自我评价对于一个公司加强管理、提高生产效率、改进内部审计程序和业务经营程序以及控制风险等都有积极的作用。因此，旭光公司也应该认真借鉴和学习内部控制自我评价体系，并自觉运用到企业内部控制制度建设之中。 (二)完善现代法人治理结构及建立行之有效的监督与检查 对经营者的控制不但要有以资本市场、商品市场以及法律规章制度为主体的外部控制机制，而且要有以董事会、监事会、审计委员会为主体的内部控制机制。公司治理结构是实行内部控制的制度环境，而内部控制是手段。现代企业需要完善的公司治理结构，公司治理的实现更需要内部控制。COSO规定董事会在公司治理中居于核心地位，董事会应对公司内部控制的建立、完善和有效运行负责，故可下设内部审计委员会专门负责内控工作，这样能够形成以董事会为中心相互制约、相互联系的严密内控系统，即股东会通过监事会对董事会实行内控，董事会通过内部审计对总经理及其他治理者实行内控。 完善内部控制制度，首先需要规范法人治理结构，从所有者的立场出发，不但要把企业最高管理者行使权力的过程纳入内部控制制度的监控范围，而且要将其作为内部控制制度的重点监控对象。明确股东会、董事会、监事会和经理层的职责，使决策系统、管理系统和监督系统各司其职、各负其责、协调运转、有效制衡。完善企业内部管理监督机制，强调监事会对董事会和经理班子及公司财务的监督作用，使会计机构的设立、管理和运行更加适应现代企业制度的要求。规范的法人治理结构有助于克服经营管理层的机会主义等行为，为企业内部监督提供一个较好的控制环境。旭光公司在构建COSO内部控制框架之初，制定了其组织结构见图1。 董事长 总经理 总经理秘书 图1 旭光公司原组织结构图 企业的组织结构模式影响经营效率和效果，也从侧面体现了公司控制权的配置和行使。简单的组织结构，适合小企业和企业建立初期，权力比较集中，经营效率高;但随着企业发展，业务规模拓展迅速，业务流程日趋复杂，过于简单的企业结构已经不能满足全面控制的需要，然而设计繁复庞大的组织机构即没有效率又侵蚀经营效果。可见，内控环境中的组织结构非常重要，它构建了内控制度的骨架。经反复研究和实践，旭光公司最终制定出适合自身发展的组织结构并明确及落实了各功能部门的业务与职责，各司其职。新的组织结构图2如下:重新画图 董事长 总经理 稽核室 采购部 生产部 物流部 市场部 财务部 表1 旭光公司各职能部门及其业务内容 部门名称 主要业务 1、搜集各种经营情报，协助董事长发展各种计划方案 董事长室 2、公司经营合理化各项事务之策划与推动 3、投资分析与管理 1、有关各部门间之协调、沟通与管理工作 总经理室 2、总经理交办事项 1、针对公司内控循环制度之运作作执行稽核任务，并定期提出报告 稽核室 2、协助公司进行合理化各事务之推动与程序 1、人员规划、招募、任用、升迁、考核、福利等人事管理 2、厂房、办公用品、人员接送及消防安全 总务部 3、协助公司内部资讯化，提升工作效率 4、建立资讯网络，即时提供有效资讯作经营决策之用 1、了解市场动态和商品质量、价格等信息 2、采购物美价廉的商品，降低成本、节约开支 采购部 3、对各类物料及设备资料进行整理和归档，保证采购物料的质量能够满足 生产要求 1、 生产计划之拟定、执行与生产资讯回馈 生产部 2、设备维护、产品之制造及生产技术之改进 3、产品研究和发展相关事宜 1、负责商品的运输、验收、保管管理工作及其相关票据传递工作 物流部 2、负责商品库区管理及库存商品帐目建立等工作 1、有关公司品质系统之规划及品质管理计划之拟定 品管部 2、公司品质改善，全面品质改善工作之推展 3、公司品质稽核制度之建立与执行 1、负责国内外市场有关产品制造生产之客户开发、订单接洽 市场部 2、客户服务及市场情报回馈等全盘国内外事务处理 1、一般会计处理及税务处理 财务部 2、现金流量控制、资金运用等事宜 3、仓务管理 重新制定的组织结构中根据COSO内部控制框架的三大目标和五大要素，结合企业的自身特点，重新细化内部各职能部门的业务，尤其增加了内部稽核组织。该企业稽核室有总经理直接指挥，配置稽核主管1名及专任内部稽核人员若干名，执行企业内部的稽核工作。结合企业内部控制制度，制定内部稽核实施细则。稽核室执行与申报“年度稽核计划书”“年度稽核计划执行情形”“内部稽核所见 内部控制缺失与异常事项改善情形”内部稽核相关作业及“自行检查内部控制”协助董事会及经理人检查及复核内部控制之缺失，适时提供改进建议。 内部控制的建设体现在两个方面:一是健全的机构，这是内部控制机制产生作用的硬件要素;二是各内部机构间、各经办人员间的科学分工与牵制，这是内部控制机制产生作用的软件要素。旭光公司中股东会(权力机构)、董事会(决策机构)、监事会(监督机构)、总经理层(日常管理机构)，这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但内部控制机制的运作还必须在这一组织框架下设立满足企业监控需要的职能机 构。目前必须解决两个问题:(1)设立管理控制机构。例如，依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益偿试。机构设置因单位的经营特点和经营规模而异，很难找到一个通用模式，比如设立价格委员会的企业大都是规模很大、采用集中采购方式且采购价格变动较大的企业，设立价格委员会能够有效加强采购环节的价格监督与控制。再比如，通过设立报酬委员会能够提高报酬计划的科学性，加强报酬计划执行中透明度和监控力度。(2)推行职务不兼容制度，杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理为一人，董事会和总经理班子人员重叠。这种交叉任职的后果是董事会与总经理班子之间权责不清、制衡力度锐减。关键人大权独揽，一人具有几乎无所不管的控制权，且常常集控制权、执行权和监督权于一身，并有较大的任意性。交叉任职违背了内部控制的基本假设，必然带来权责含糊，造成办事程序由一个人操纵的现象。事实上，资金调拨、资产处置、对外投资等方面出现的问题重要原因之一在于交叉任职，董事会缺乏独立性。因此，建立内部控制框架首先要在组织机构设置和人员配备上做到董事长和总经理分设、董事会和总经理班子分设，避免人员重叠。 从COSO规定的董事会、股东大会、总经理之间的权责划分看，董事会在公司管理中居于核心地位。董事会应该对公司内部控制的建立、完善和有效运 1)对于董事会而言，建立内部控制框架是为了通过“不丧行负责。原因在于:( 失控制的授权”来保证公司有效运行、完成公司的目标;(2)内部控制是董事会抑制管理人员在获取短期盈利机会中的机会主义倾向，保证法律、公司政策及董事会决议切实贯彻实施的手段;(3)内部控制以及涉及内部控制的信息流动构成解决信息不对称、保证会计信息真实可靠的重要手段，而确保信息质量是董事会不可推卸的责任。 从公司治理的角度看，“内部审计机构的职责除了包括审核企业会计账目外，还包括稽查、评价内部控制制度是否完善和企业内部各组织机构执行指定职能的效率，并向企业最高管理部门提出建议性报告。”在内部控制框架构建中，内部审计的作用在于监督企业经营业务符合内部控制框架的要求，评价内部控制的有效性，提供完善内部控制和纠正错弊的建议。《公司法》和《审计法》均未对内部审计做出法律规定，《会计法》虽提出了内部审计方面的法律要求，但未对内部审计机构设置作出具体规定。COSO指出内部审计机构对评价控制系统的有效性具有重要作用，对公司的治理结构行使监管的职能，设立审计部有以下几种情况:第一，由监事会领导;第二，由董事会领导;第三，接受总会计师或主管财务副总经理领导。这样，有关内部审计的问题需解决以下两点:内部审计机构的设置与内部审计机构的定位。只是设置审计部还是同时设立审 计委员会和审计部，在董事长和总经理同为一人的情况下不存在此间题。在董事长和总经理分设的情况下，如果只设置审计部并将其置于总经理的领导之下，董事会对总经理的领导就缺乏监控措施，产生的问题是加剧内部人控制，同时也无法保证COSO要求“单位负责人对本单位的会计工作和会计资料的真实性、完整性负责”这一条款落到实处。 在组织结构中，监事会、审计委员会、审计部分别对股东会、董事会和总经理负责，同时三者存在着业务指导关系。选择这种制度安排，原因在于在公司治理的制约机制中，董事会是决策机构，这一机构肩负着保证公司管理行为的合法性和可信性职责。从公司治理结构上，审计部对董事会负责(而不是对总经理负责)这一安排，能有效减轻董事会职权弱化、内部人控制现象严重的局面。另外，在业务上接受监事会指导能够在一定程度上产生对董事会的制衡。 (三)加强会计及其他治理人员的岗位培训 旭光公司将改善人力资源的治理机制，提高企业治理者和员工的素质。现代企业间的竞争就是企业人才的竞争。良好的人力资源政策，对培养企业的员工，提高企业员工的素质，更好地贯彻和执行内部控制有很大的帮助。因此首先要确立以人为本的治理思想。以人为本的观念反映到企业内部控制中就是以人的发展为出发点来展开企业内部控制活动的各项内容，创造良好的环境氛围激发员工的积极性、主动性和创造性。其次，在企业中大胆引入竞争和激励机制，通过绩效评价体系、连续培训计划以及完善的社会保障体系等科学的人力资源治理手段来吸引人才、发展人才。尤其要加强会计及其他治理人员的岗位培训，为内部控制培育良好的环境基础。 企业内控制度的中心是财务会计控制，承担内控职责的主要是会计人员。因此，财务会计人员要真正能担当内部控制的重任，更新知识，提高操作能力就显得刻不容缓。科学的内控制度，是对企业经营管理各个环节实施有效监控的制度，它大大突破了财务会计的工作范畴，大大超过了财务会计的知识领域，是投资、营销、金融、市场、生产、材料、信息、机械、法律等多方面知识的融合。没有相应的知识支持，内部控制不可能完全到位。同时内部控制主要是做人的工作，矫正人的行为，需要有相应的组织、指挥和协调工作能力，培养大批这样的“全才”，显然需要很长的过程。对内部控制人员进行职业道德教育和业务培训。职业道德教育要从正反两方面加强对内部控制行为主体“人”的法纪政纪、反腐倡廉等方面的教育，增强自我约束能力，自觉执行各项法律法规，遵守财经纪律，做到奉公守法、廉洁自律;加强继续教育，要特别重视对 那些业务能力差的人员的基础业务知识的培训，以提高其工作能力，减少业务处理的技术错误。 通过反复的实践修改，旭光公司最终在人才的培养、激励和引进方面，制定了较完善的标准和政策，既有各级管理人员的选拔任用管理条例，又有技术能手、拔尖人才、专家队伍的评选标准和办法，在使用上做到人尽其才，才尽其用。同时，公司制定有员工培训管理的程序，为各级人才的进一步提高和发展提供机会。在薪酬管理方面，完善了定岗定薪、优胜劣汰、能上能下的用人竞争机制和绩效考评制度;分配形式上，既有中高层管理人员的年薪制度，又有专家、拔尖人才、高学历人才的薪酬体系，充分调动了广大员工特别是公司骨干的积极性，真正做到了“事业留人、感情留人、待遇留人”，为公司的健康发展提供良好的保证。 在建立激励和约束机制方面:为完善公司治理结构，建立符合现代企业制度要求的公司董事、监事及高级管理人员与公司利益相结合、责权利统一的激励机制，改革经营者现行工资分配制度、绩效考核制度，调动企业经营者的积极性和创造性，提高企业经济效益，对各控股公司的经营者及经理层等高管人员进行定期严格考核。 (四)加强公司相关人员的法律法规教育 完善COSO内部控制框架前，旭光公司员工对法律法规、公司制定的制度还存在认识不足的情况。针对公司的具体情况，公司要加大落实力度，通过教育培训、制度完善、日常监督、内审检查的方式继续加强对《公司法》、《会计法》以及与公司经营和管理有关的法律法规、制度的宣传和学习。 内部控制制度能否发挥其效能，执行是关键，因此一定要做到有法必依，执法必严，违法必究。旭光公司的领导人要转变思想观念，充分重视内部控制制度的作用，变被动的“要我建”为主动的“我要建”，按照新《会计法》的有关规定，充分考虑本单位的规模、生产经营特点、经营战略、员工素质等因素，设立相应的机构。特别是要改变以往内部审计机构从属于财会部门，内部审计人员也多由财务人员兼任的局面，设立单独的内部审计部门，保障其独立性和权威性，充分发挥内部审计对内部控制制度的审查和评价作用，借以维护财经纪律，改善经营管理，提高经济效益。此外，还要提高单位员工的政治和业务素质，可以通过招聘制、考评制、轮换制等，选拔综合素质高，业务技术好，管理能力强的人员担当相应职务。通过思想观念的转变，机构和人员的到位，直接将内部控制制度落到实处。真正做到内部控制，而不是内部人的控制。 内部控制制度的执行者是包括高层管理人员在内的全体员工，激励和约束的对象也是企业员工，员工的道德水准和价值观念长期被认为是内部控制环境的重要因素，要求内部控制结构的建立要考虑员工道德水准和价值观念的承接性。基于环境现状而构建内部控制机制是一种被动性的做法，将道德规范和行为准则的建设直接纳入内部控制结构的内容。为了保证每个人都能持续地理解统驭企业实践的内部控制机制和政策，旭光公司制订一个可持续的针对关键管理人员和财会人员的“管理受托方案”，督促他们履行企业道德惯例，从而在企业运营上按照较高的道德标准来增强员工的责任感。道德规范和行为准则建设是公司管理中面临的共同课题，道德规范与行为准则的建设并不是空白的，应根据内部控制结构的要求，针对各岗位的特点建立起具有操作性的行为规范与准则体系。 六、结论 世界经济瞬间万化，中国如何充实自己的实体经济，不断延伸自身的经济命脉，中小企的生存与发展就是突破。旭光公司就是典型的中小企业，中小企业由于人员较少，机构设置简单，不像大企业职能划分明确，设置的职能部门较多,有利于采取授权控制、会计系统控制、内部审计监督等控制方法，COSO内部控制相对较完善。而中小企业应借助COSO内部控制框架的同时加强对关键点的控制，在实施企业内部控制时，如何找到关键点，通过点的控制起到牵一发而动全身的作用，这是亟须认真考虑的问题。同时中小企业的COSO内控控制框架应用应当结合以下原则: (一)遵循法律法规的有关规定和切合中小企业实际情况的原则 企业内控制度设计要遵循国家统一的规定，以要充分考虑企业自身的生产经营特点和要求，使其具有较强的可操作性。凡是可由企业自主选择的财务事项，企业应根据国家统一规定并结合企业自身的经营方式、生产规模、组织形式等方面的实际情况做出具体规定。有的中小企业业务量较小，会计核算只能采用集中核算方式，即会计机构统一办理。在职责划分上应注意不相容职务的分离，如出纳与稽核的分离,出纳与总帐、明细帐的分离。 (二)岗位责任原则 内部控制的设立是与企业管理模式紧密联系的，企业按照其推行的管理模式设立岗位。因此，体现这一原则首先将经营管理活动划分为若干具体的工作岗位，并根据岗位相应赋予工作任务和职责权限，规定操作规程和处理程序，明确纪律、规则和检查标准，以使责、权、利相结合，做到事事有人管，人人有专职，办事有标准，工作有检查，以此来增强每个人的事业心和责任感，从而提高工作质量和效率。 (三)原则性和灵活性协调配合 企业在制定内部控制时必须遵守国家的法律法规和政策，同时必须注意到 供、产、销各个过程，筹企业营运特点，即企业人、财、物、信息各种因素， 资、投资、收入与分配各个环节，都要充分发挥作用。协调配合原则是指各项经营管理活动中，各部门或人员必须相互配合，各岗位和环节都应协调同步，各项业务程序需要紧密衔接，从而避免相互扯皮和脱节现象，以保证经济管理活动的连续性和有效性。因此，中小企业内控制度的设计不仅要有原则性，而且还应根据其目标、任务、环境、人员素质的高低等因素的变动而具有灵活性。 (四)讲究成本效益原则 成本效益是体现企业成果和竞争力的主要目标，内部控制设计目的就是要规范企业经济行为，保证企业生产经营管理目标的实现。贯彻成本效益原则，即要求企业必须科学地进行生产经营管理，力争以最小的控制成本取得最大的经济效益。企业只有在其提供特定数量与质量的会计信息所带来的效益大于其提供会计信息的成本的情况下，才是有必要的。所以在设计内部控制时要考虑其设计和运行成本与效益的关系，才能实现成本与效益的最佳组合。对重要经济业务活动要进行重点控制，对一项经济业务活动的关键环节实行重点控制。选择关键控制点是实现少花费而高效率控制的重要途径。 当今，中小企业已成为国民经济的重要组成部分，对经济的发展与社会的 稳定起着举足轻重的作用。一些中小企业由于没有建立和完善内部控制制度，经济发展受到严重制约。加强中小企业COSO内部控制框架的建设是促进企业健康发展、良性循环的重要途径。 参考文献 【1】 李连华 著 内部控制理论结构【M】厦门大学出版社，2007，9. 【2】 王宏 著 基于国际视野与科学发展的我国内部控制框架体系研究【M】东北财经大 学出版社,2008,12. 【3】 赵保卿 著 内部控制设计与运行【M】经济科学出版社,2005,5. 【4】 本书编写组.现代企业内部控制【M】企业管理出版社,5005,5. 【5】 吴鑫 著 内部控制工程理论【M】经济科学出版社,2007,11. 【6】 彭志国,刘琳 著 企业内部控制与全面风险管理【M】中国现代经济出版社,2008,11. 【7】 李国盛 著 内部控制的现状、成因、对策及建议[J] 四川会计，2001，2 . 【8】 张俊民 著 企业内部会计控制目标构造及其分层设计[J] 会计研究，2001，5 . 【9】 王纬 著 COSO模型在会计控制中的应用[J] 江苏财会，2002，2 . 【10】 财政部 著 内部会计控制基本规范 内部会计控制基本规范-货币资金[Z]. 【11】 程新生 著 企业会计组织研究【M】中国财政经济出版社，2002 【12】 李维安 著 中国公司治理原则与国际比较【M】中国财政经济出版社，2001. 【13】 夏乐书 著 国际财务管理【M】中国财政经济出版社，1995. 【14】 阎达五、宋建波 著 双元控制主体构架下现代企业会计控制的新思考,会计研究， 2000. 【15】 张炎兴 著 公司治理结构和会计控制观【M】,会计研究，2001. 王海琳 著 价值链内部控制【M】经济科学出版社,2007,2. 【16】 【17】 王满 主编 公司理财学【M】立信会计出版社，2004.5 【18】 【美】查尔斯.T.亨格瑞 瓦特.T.哈理森 米切尔.A.罗宾逊 著 会计学(第三版)【M】 王化成 马如雪 等译.中国人民大学出版社，1997.10 【19】 李连华 著 内部控制理论结构 【M】厦门大学出版社，2007.9.1 【20】 程新华 著 内部控制理论与实务 【M】清华大学出版社，2008.10.17 【21】 曾肇河 著 建筑公司内部控制【M】中国建筑工业出版社，2006.7 【22】 李凤鸣 著 内部控制学【M】北京大学出版社，2002. 【23】 潘秀丽 著 企业内部控制研究【M】中国财经经济出版社，2005. 【24】 柳絮、刘小清 著 企业内部会计控制【M】广东经济出版社，2002. 【25】 李心合 著 企业财务控制实务前沿【M】中国财经经济出版社，2004. 【26】 麻蔚冰、于增彪 著 企业内部控制管理操作手册【M】中国财经经济出版社，2003. 【27】 张宜霞 著 企业内部控制论【M】中国财经经济出版社，2005. 【28】 方红星 著 内部控制、审计与组织效率 会计研究，2002，7. 【29】 王世定 著 企业内部控制制度设计【M】企业管理出版社，2001. 【30】 杨有红 著 内部控制框架-构建与运行【M】浙江人民出版社，2001. 【31】 朱荣恩、徐建新 著 现代企业内部控制制度【M】中国审计出版社，1996. 【32】 郑实桥、周永麟、刘华 著 现代企业内部控制系统【M】立信会计出版社，2000. 【33】 张国康 著 内部控制制度【M】立信会计出版社，2003. 【34】 唐予华、李明辉 著 内部会计控制与会计信息质量研究【M】中国财经经济出版社， 2003. 致谢 本论文是在我的导师教授指导下完成的～论文于2009年3月开始酝酿、构想～并在导师教授指导下进一步明确了论文的主题和框架～初稿形成后～导师又数次提出了修改意见～其认真负责的态度令我收益匪浅。在此～特别感谢导师在百忙之中拨冗对我进行悉心的指导～使我能够如期完成论文。 本论文得以完成～特别感谢在这三年的学习和工作方面的支持和包容～使我可以毫无顾虑的参加学习～最终完成学习课程取得学位～他们给予的支持和鼓励使我拥有无比的信心～在以后人生里我将取得更好的成绩～以报答他们对我的期盼和关爱:谢谢: …… 由于理论及认识的局限～论文中仍然存在一些不足之处～恳请得到各位的指教: