某央企省级公司的内部控制评价体系建设探索.docx

浙江工业大学硕士学位论文 某央企省级公司的内部控制评价体系建设探索研究生学位论文学 号： 研究生姓名： 学科、专业： MBA 学 院： 经贸管理学院 指导教师： 浙江工业大学研究生院（筹）制2013 年 08 月 11 日填目录1 前言51.1 论文选题的背景、目的和意义51.2 国内外关于该课题的研究现状及趋势71.3研究计划72 控制和内部控制评价相关概念112.1 内部控制和内部控制评价的基本概念112.2 内部控制和内部控制评价理论的历史发展122.2.1 内部控制的发展历程122.2.2 国外内部控制理论的最新进展132.2.3 我国内部控制的最新发展142.2.4 内部控制评价理论的发展142.3 内部控制的五要素183 某央企省级公司的基本情况和内部控制要求213.1 某央企省级公司的基本情况213.1.1 发展历程213.1.2 经营范围213.1.3 资产规模213.2 某央企省级公司建立内部控制的必要性223.2.1 加强内部控制有利于公司深化体制改革223.2.2 加强内部控制有利于国有资产的有效管理223.2.3 加强内部控制有利于适应新的经济环境需要223.2.4 加强内部控制管理有利于防范经济违法事件的发生234 某央企省级公司内部控制评价现状254.1 某央企省级公司内部控制评价的总体情况254.1.1 内部环境方面254.1.2 风险评估方面254.1.3 控制活动方面264.1.4 信息与沟通方面274.1.5 内部监督方面274.2 某央企省级公司内部控制评价体系存在的主要问题274.2.1 企业内部控制的目标不明确284.2.2 企业领导对内部控制建设不够重视284.2.3 内部控制风险意识较淡薄，管理体系不完善284.2.4 内部控制评价制度不够健全284.2.5 内部控制评价机构不健全，监督乏力294.2.6 内部控制忽视信息流通295 某央企省级公司内部控制评价体系建设构想315.1 总体构想315.1.1 提出明确的内部控制目标和评价体系实施规划315.1.2 制定内控评价体系建设指导思想和基本思路315.1.3 建立与实施内部控制评价应遵循的原则325.1.4 实施范围325.2 风险的评估与管理335.2.1 建立风险信息库335.2.2 规范风险分类体系335.2.3 制定统一的风险评估规范335.2.4 收集风险信息345.2.5 围绕重点领域环节，开展风险识别345.2.6 围绕确定风险等级，开展风险评估345.3 内部监督345.3.1 制定统一的执行评价规范355.3.2 建立内控执行责任机制355.3.3 建立内控评价改进机制355.3.4 完善协同监督机制355.4 组织保障和实施安排365.4.1 组织保障365.4.2 实施步骤376 结论与启示39参考文献41附录43致谢45某央企省级公司的内部控制评价体系建设探索1 前言1.1 论文选题的背景、目的和意义美国安然公司倒闭案和世通公司财务欺诈案，促使企业的风险管理问题受到全社会的关注。2002年7月，美国国会通过萨班斯法案，要求所有在美国上市的公司必须建立和完善内控体系。该法案被称为是美国自1934年以来最重要的公司法案，在其影响下，世界各国纷纷出台类似的方案，加强公司治理和内部控制规范，加大信息披露的要求，加强企业全面风险管理。中国在内部控制方面的研究始于20世纪80年代。一些学者将风险管理和安全系统工程理论引入中国，在少数企业中试用并取得比较满意的效果。但中国大部分企业缺乏对风险管理的认识，也没有建立专门的风险管理机构并进行制度建设。2006年经国务院批准，成立了企业内部控制标准委员会。同年6月6日，国资委发布了中央企业全面风险管理指引，这是我国第一个全面风险管理和内部控制方面的指导性文件，意味着中国走上了风险管理的中心舞台。2008年6月28日，财政部、证监会、审计署、银监会、保监会等五部门联合发布了企业内部控制基本规范，并自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。规范的发布，标志着我国企业内部控制规范体系建设取得重大突破，有业内人士和媒体甚至称之为中国版的“萨班斯法案”。为推动中央企业扎实开展管理提升活动，加快构建内部控制体系，夯实基础管理工作，促进实现做强做优、培育具有国际竞争力的世界一流企业的发展目标，在前期推广实施内部控制工作的基础上，国资委和财政部以国资发评价201268号关于加快构建中央企业内部控制体系有关事项的通知，着重要求各中央企业要力争用两年时间，按照企业内部控制基本规范和配套指引的要求，建立规范、完善的内部控制体系。2006年10月，国家国资委针对中国国有企业管理中普遍存在的“六乱”现象，即乱投资、乱担保、乱扩张、乱理财、乱借款、乱放权，正式印发了中央企业全面风险管理指引。指引要求，企业应本着从实际出发，务求实效的原则，以对重大风险、重大事件（指重大风险发生后的事实）的管理和重要流程的内部控制为重点，积极开展全面风险管理工作。该指引是国务院国资委全面落实科学发展观，坚持可持续发展，履行出资人职责，指导和促进企业管理创新，增强企业竞争力，促进企业健康、稳步发展的重要文件。同时也是对加强企业的风险管理具有指导意义的一个技术性较强的管理规范。某中央企业曾经按照国资委和五部委的要求，分别贯彻落实全面风险管理和内部控制工作，均制定了工作方案和具体措施，并选择了相关的省公司进行试点，以总结经验、推广落实。2012年某中央企业根据财政部和国资委对中央企业提出的新要求，要求公司各单位建立以风险管理为导向、内部控制为手段、信息技术为支撑的全面覆盖、全员参与、全程管控、高效协同、防范有力的全面风险管理和内部控制体系。旨在实现四个方面的目标：一是确保风险控制与公司战略目标相适应并在可承受的范围内，保障资产安全。二是确保遵守国家有关法律法规、公司规章制度，保障经营管理合规合法；三是确保财务报告、内外部信息沟通及相关信息真实、可靠；四是确保公司各项决策部署有效执行，提高经营活动的效率和效果，促进战略目标实现。随着我国大力推进企业内部控制体系建设，“得控则强，轻控则弱，失控则乱”的管理理念已经深入人心。健全、有效的内部控制体系与实施全面风险管理可以有效地防范和规避经营风险，并在企业内部有效地形成预防机制、纠错机制、激励机制和合作机制，通过这些机制的有机结合，有助于保证企业的可持续性发展。同时，许多金融危机时的案例也表明了假若企业未能充分利用持续监督程序以支持内部控制有效执行，则会极大导致内控建设和执行的失败，这推动了全球市场监管部门对公司内部控制系统监督问题的进一步关注。在此背景下，COSO委员会于2009年1月发布了监督内部控制系统的指南(Guidance on Monitoring Internal Control Systems，以下简称监督指南)。该指南以风险导向为核心理念，以将监督有效地植入公司的持续控制过程为根本目标，从而能最小化内部控制失败并提高决策所需信息的可靠性，它在实质上推动了内部控制监督要素的应用性发展。监督指南包括三卷：第一卷：指南，提出了监督的特征和目的，并给出了一个有效监督的模型；第二卷：应用，是第一卷的具体展开，详细描述了第一卷提出的监督模型的具体应用；第三卷：案例介绍了4个小案例和3个综合案例，阐述了指南中所提出的概念在企业的实际应用。COSO的监督模型对改进我国企业内部控制具有重要的借鉴意义。有鉴于此，本文将在对监督要素概念发展过程进行梳理的基础上，系统地引介了COSO监督模型的核心内涵，并创新性将其应用在公司的内控中。内部控制管理是企业为防范控制经营风险、确保健康可持续发展而进行的管理活动，是企业经营管理的重要组成部分。从实务上来讲，作为内控五要素之一的监督要素仅停留于概念和原则阐述，未能为企业设计和执行监督程序提供有效的工具，从而成为企业内部控制失败的主要原因。因此，借鉴国内外最佳实践，构建完善、高效的内控评价体系，迅速提升内控管理水平，保证公司内控体系的顺利实施，势在必行。1.2 国内外关于该课题的研究现状及趋势内控评价和监督作为内部控制系统的要素之一，既与其它要素共同作用以实现内部控制的目标，同时又对整个内部控制系统的运行状况进行监控，它是对控制的再控制。1992年COSO委员会发布了内部控制整合框架，在该框架中监督作为内部控制的五要素之一，是指对内部控制系统在一定时期内的运行质量进行评估的过程。企业可以通过持续性的监督活动、单独评估或两者并用来实现这个过程。2004年，COSO委员会在1992年框架的基础上结合萨班斯奥克斯利法案发布了ERM框架，ERM框架对内部控制的内涵进行了扩展，监督作为企业风险管理的八要素之一，是对企业风险管理进行监控以确定企业风险管理的运行是否有效的过程，监督对象在目标、方法、内容等方面进行了扩展，但仍遵循了内部控制监督的基本原则和方法，如持续监督和单独评估方法的使用，评价的主体、过程和方法，对文档的要求，对报告指引的要求等。考虑到较小型上市公司难以承受按大型公司同样的标准执行萨班斯法案404条款，COSO委员会于2006年发布了较小型公众公司财务报告内部控制指南。该指南从内部控制整合框架中提炼了20个基本原则，其中的第19和20条原则特别针对监督要素：(1)持续和独立的评估使管理层确定内控的其他要素是否随着时间在继续发挥作用；(2)及时地识别和沟通内部控制缺陷，将其报告给负责采取纠正行动的部门和恰当的管理层、治理层。因此，该指南把监督要素描述成评估内部控制系统在整体应对或减轻企业实现目标的重大风险方面的有效性这样一个过程。这个过程观阐明了监督并不是为了对个别的控制要素孤立运行的有效性得出结论，监督可以在不同的层级上运行，即监督的过程观。针对上市公司过高的SOX执行成本，COSO委员会认为有必要为有效监督内部控制和遵循萨班斯法案404条款提供更多的指南。随着监督越来越成为企业高效运转和可持续性经营的基础性保证机制，监督要素在内部控制系统中的重要性不断加强。正是基于上述考虑，COSO委员会于2009年1月发布了监督内部控制系统的指南，专门对监督要素进行了系统、全面的阐述，为企业如何更好地运用监督职能提供了系统的操作指南。监督指南提供了监督要素具体应用的原则和方法，以帮助企业更有效地设计、执行和评估监督程序，第一次实现了监督要素从概念阐述到理论模型的跨越式发展。1.3研究计划（一）论文研究的目标、内容、技术路线本文解剖对象为某央企省级公司，探讨企业如何提高监督的效果和效率，如何建立内控监督评价和绩效体系, 迅速提升内控管理水平。本文通过文献检索、参阅相关专业期刊以及实证案例等展开研究，主要采用以下四种方法：1.文献法。在论文撰写初期，拟定论文研究方向，通过查阅相关文献和期刊，从整体上把握企业内控监督评价和绩效体系，梳理自己的认识和理解并提出观点。2实证研究。在论文撰写期间，跟踪观察某央企的企业内控监督评价和绩效体系的建设过程，使本文研究与实际紧密结合，保证研究与实际相对应，使得言之有物。（二）论文写作提纲第一部分：绪论。研究背景、目的和内容；第二部分：相关文献与基础理论。第三部分：某央企内部控制体系概况。第四部分：某央企内控监督评价体系第五部分：结论与展望。（三） 拟突破的重点和难点如何将风险评估的技术和方法融入内部控制评价和监督体系的设计中是一个难点，企业并未真正掌握风险评估的技术和方法,也未根据风险的可能性和重要性对其进行排序，更不用提在设计监督程序时利用风险评估的结果来提高监督的效率。在设计监督程序以获得关于内部控制运行情况的信息时，缺少对关键控制和有说服力的信息的判断，未能根据实际情况的变化来选择监督程序，而是依葫芦画瓢，按部就班，僵化地应用老一套监督程序，造成程序多余或缺失必要的程序，导致监督低效。因此，这将成为本文讨论的难点。（四）论文创新之处COSO监督模型能使企业充分运用监督要素，在促进内部控制有效运行的同时有利于降低对外报告的成本。新的并购、商业活动和IT系统会使控制系统面临更多的压力，有效的监督是降低企业关键内部控制失效的核心流程，COSO监督模型为此提供了一种通行的方法。目前，我国还未针对监督要素出台专门的应用指引，COSO的监督模型对改进我国企业内部控制具有重要的借鉴意义。我国自2009年7月1日起施行的企业内部控制基本规范中对监督要素的规定仅是原则层面的，对于企业具体执行监督的指导还远远不够，在其它相关指引中体现的监督要素也缺乏系统性和完整性。美国公众公司执行SOX 404条款的艰难历程对我国是一个警示，之所以出现企业在披露内部控制有效性时成本过大的问题，重要原因之一在于内部控制系统的监督检查没有规范化，缺乏平时积累。如何有效地执行监督程序，并充分利用监督的结果来支持对内部控制的评估是企业值得关注的问题。因此，为了指导企业如何提高监督的效果和效率，建立内控监督评价和绩效体系对于贯彻企业内部控制基本规范的理念、维护企业内部控制的执行、促进企业内部控制实施的效果和效率起着承上启下的作用。2 控制和内部控制评价相关概念2.1 内部控制和内部控制评价的基本概念内部控制的概念从最初内部牵制发展到后来的内部控制框架，经历了多个阶段的发展。不同的阶段、国家、法律法规对于内部控制概念的规定也有所不同，下面列出的是不同法规报告中关于内部控制的相关概念。1994年，COSO（The Committee of Sponsoring Organization of the Treadway Commission）对其之前发布的内部控制一整体框架报告进行了增补。该报告被认为是内部控制理论里程碑式的发展和完善，它认为“内部控制是由董事会、经理阶层和其他员工所实施的为营运效率效果、财务报告的可靠性、相关法规的遵行性等目标的达成而提供合理保证的过程。” COSO，内部控制一整体框架增补版R，美国，1994年。2001年6月，财政部发布内部会计控制规范基本规范（下称“基本规范”）。基本规范将内部控制定义为：“内部控制是指单位为了保证各项业务活动的有效进行、确保资产的安全完整、防止欺诈和舞弊行为、实现经营管理目标等而制定和实施的一系列具有控制职能的方法、措施和程序。” 财政部，内部会计控制规范基本规范R，北京，2001年。2003年，中国内部审计协会借鉴了COSO报告的基础上发布内部审计具体准则第5号内部控制审计（下称“内部控制审计”）。内部控制审计将内部控制定义为：“组织内部为实现经营目标，保护资产安全完整，保证遵循国家法律法规，提高组织运营的效率及效果，而采取的各种政策和程序。” 中国内部审计协会，内部审计具体准则第5号内部控制审计R，北京，2003年。2004年9月，COSO发布了企业风险管理综合框架。该报告把内部控制定义为“一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。” COSO，企业风险管理综合框架M，美国，2004年。2008年6月28日，我国财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范。该规范明确界定了内部控制的内涵，即“内部控制是指由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。” 财政部、证监会等，企业内部控制基本规范M，北京，2008年。2.2 内部控制和内部控制评价理论的历史发展2.2.1 内部控制的发展历程内部控制的发展阶段经历主要包括内部牵制阶段、内部控制制度（两分法）阶段、内部控制结构阶段、内部控制整合框架阶段和风险管理阶段五个阶段。1、内部牵制阶段一般认为，上世纪40年代以前，内部控制仅停留在内部牵制阶段。所谓内部牵制，是指提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计 朱荣恩，徐建新.现代企业内部控制制度M.北京：中国审计出版社，1996，19。内部牵制思想认为两个或两个以上的员工同时负责一个职位，那么发生错误或者舞弊的可能性比一个员工单独负责的可能性要小，因此内部控制的着眼点在于职责分工和业务流程，并对其记录工作实行交叉控制。具体来说，内部牵制主要通过人员配备和职责划分、业务流程设计、簿记系统记录等来完成。2、内部控制制度阶段20世纪40年代至70年代，内部牵制概念逐渐发展成为内部控制制度或称为内部控制两分法。这个阶段的内控体系的形成主要受下面两方面的影响：一是企业管理的需要，企业为改变传统的生产方式以及经营模式，需要采用更加科学和完善的控制方式，引入更加全面的控制制度；另外，为了适应当时社会经济的关系，保护投资者和债权人的经济利益，各国陆续出台了各种与企业内部控制相关的法律法规文件、报告等，对企业会计内部控制以及各种经济活动的内部管理制度的形成起到推动作用。同时，这一阶段内部控制的目标除了保护组织财产的安全之外，还增加了提供会计信息的可靠性、提高经营效率和遵循既定的管理方针等。3、内部控制结构阶段20世纪80年代至90年代初，内部控制的发展进入了内部控制结构阶段。在这个阶段审计模式的发展与变革客观上仍旧是推动内部控制发展的决定性力量。这一阶段以AICPA于1988年5月发布的审计准则公告第55号(SACNO55)为标志。该公告以“内部控制结构”概念取代了“内部控制制度”，并认为内部控制结构由“控制环境”、“会计制度”和“控制程序”三要素构成 杜晓玲，基于风险管理的内部控制研究D，成都：西南财经大学，2007年：17。这一阶段不再区别会计内部控制和管理内部控制，跳出了“制度二分法”的圈子，特别强调管理者对内部控制制度的态度、认识和行为等控制环境的重要作用。4、内部整合框架阶段1992年COS0报告提出了内部控制的三项目标和五大要素，标志着内部控制进入了一个崭新的发展阶段，堪称内部控制发展史上的里程碑。COSO报告提出了完整的控制框架，即内部控制框架由控制环境、风险评估、控制活动、信息与沟通和监控五个要素构成。内部控制整体框架提供了一个普遍认可、内涵统一的内部控制概念和评价方法，其涵盖的范围比以往任何一个概念都更为广泛。人们对内部控制的认识经历了一个从最初含义模糊狭窄到后来内涵清晰完整的过程，这也是与特定社会历史条件相联系的。随着企业性质、管理制度及经营实践等诸多因素不断发展的影响，内部控制理论必将进一步向前发展。5、风险管理阶段2001年，美国组织委员会委托普华永道开发一个对于管理当局评价和改进他们所在组织的企业风险管理的简便易行的框架，2004年9月企业风险管理整合框架正式文本发布。企业全面风险管理整合框架拓展了内部控制的内容，更有力、更广泛地关注于企业风险管理这一领域。尽管全面风险管理框架也将内部控制框架涵盖在其中，并且很多学者开始将全面风险管理框架与内部控制系统结合起来研究，但是内部控制仍然以其完整的体系、可操作性和富有实效而占据极其重要的地位。2.2.2 国外内部控制理论的最新进展国外的内部控制理论产生于20世纪初期，其发展过程大致经历了内部牵制、二分结构、内部控制结构、内部控制五要素整体框架、全面风险管理框架等几个阶段，详见图2.1。国外的内部控制理论从80年代开始就引入了内部控制环境的概念，并将其视为内部控制最重要的构成和基础。图2.1Committee of Sponsoring Organizations of the Treadway Commission,Interna ControlIntegrated Framework，1992。国外内部控制及风险管理理论的发展2.2.3 我国内部控制的最新发展我国对于内部控制理论的研究起步较晚，直到20世纪末，国内内部控制评价工作仍停留在对内部管理制度执行情况的一般了解上，2000年以后，快速走向健全，特别是2008年财政部等五部委颁布的企业内部控制基本规范是我国内部控制理论研究的里程碑。在基本规范中对内部控制作出了明确的定义：“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”。我国的内部控制理论发展情况见图2.2：图2.2国内内部控制及风险管理理论的发展将国内外关于内部控制内涵的研究发展史对比可发现，我国对内部控制内涵的定义，及制定的内部控制规范与COSO报告中的理论基本趋同，但并不全然相同，这主要是因为我国的特殊国情造成的。事实上萨班斯奥克斯法案（Sarbanes. Oxley Act）对我国民营企业而言操作成本太高，我国大多数中小型家族企业在现在的国情下难以承受；加上公司治理体系不健全，很多家族企业上市后基础较薄弱，实际运营中难以达到萨班斯法案的要求。2.2.4 内部控制评价理论的发展自20世纪90年代起,我国政府开始大力推进企业内部控制建设,陆续出台了相关内部控制规范、指引等文件,其中一些规范对内部控制评价也进行了规定。1996年,财政部发布独立审计具体准则第9号内部控制和审计风险(1997年1月1日开始施行)。该准则从制度基础审计的角度要求对企业内部控制进行评价,要求注册会计师对企业的内部控制情况进行审查,并对内部控制的定义、内容(包括控制环境、会计系统和控制程序)等做了相关规定。2000年发布的公开发行证券公司信息披露编报规则第一号、第三号、第五号，要求商业银行、保险公司、证券公司建立健全内部控制制度,同时要求注册会计师对其内部控制制度及风险管理系统的完整性、合理性和有效性做出说明并进行评价,提出改进建议,并以内部控制评价报告的形式作出报告。针对近年来国内商业银行频繁发生重大金融案件,银监会于2004年9月颁布了商业银行内部控制评价试行办法,该办法指出内部控制评价包括过程评价和结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系要素的评价。结果评价是对内部控制主要目标实现程度的评价。2006年6月,上海证券交易所颁布了上海证券交易所上市公司内部控制指引,要求董事会对公司内部控制制度的建立和实施情况作自我评价并出具评估报告。会计师事务所应参照主管部门有关规定对公司内部控制自我评估进行核实评价。更为重要的是，财政部联合五部委在2010年颁布的内部控制评价指引可以被视为我国内部控制评价理论发展方面的一个里程碑。企业内部控制评价指引的制定发布，为企业开展内部控制自我评价提供了一个共同遵循的标准，为参与国际竞争的中国企业在内部控制建设方面提供了自律性要求，有利于提高投资者、社会公众乃至国际资本市场对中国企业素质的信任度。内部控制评价指引着重从以下方面就企业如何做好内部控制自我评价工作提出指导性意见：第一，关于内部控制评价的内容。评价指引对内部控制评价内容的有关规定，是我国内部控制规范体系建设的一大创新。发达市场经济国家或地区的通行做法一般要求企业对与财务报告相关的内部控制有效性进行自我评价，评价指引则在此基础上更进一步，要求企业根据基本规范、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制有效性进行全面评价，包括财务报告内部控制有效性和非财务报告内部控制有效性。这一制度创新得到了国内企业董事长和总会计师的广泛认可和好评，认为其真正抓住了企业“一把手”关心重视的焦点，最大限度地释放了内部控制的作用和效力；与此同时，也受到了国际社会的关注。在2008年底召开的南非内部控制国际研讨会上，有国际专家专门对评价指引的这一创新进行了评述，认为其是对时下国际金融危机最“积极有效”的应对。第二，关于内部控制评价的组织。内部控制评价工作能否有效实施，很大程度上取决于企业是否具备强有力的组织领导体制。内部控制评价工作对大多数国内企业而言仍是新生事物，为切实指导企业做好该项工作，评价指引专门就内部控制评价的组织领导体制作出明确要求。首先，基本规范及评价指引要求企业授权内部审计机构或者其他专门机构作为内部控制评价机构，负责内部控制评价的具体组织实施工作。这实际上就为内部控制评价工作的开展设置了专门的职能机构。同时，为了确保内部控制评价机构职能的有效发挥，基本规范及评价指引要求内部控制评价机构必须具备一定的设置条件：一是能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；二是具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；三是与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约，在效率上满足企业对内部控制系统进行监督与评价所提出的有关要求；四是能够得到企业董事会和经理层的支持，通常直接接受董事会及其审计委员会的领导和监事会的监督，有足够的权威性来保证内部控制评价工作的顺利开展。其次，在设置内部控制评价机构的基础上，还要求企业成立专门的评价工作组，接受内部控制评价机构的领导，具体承担内部控制评价工作的组织。评价指引要求内部控制评价机构根据经批准的评价方案，挑选具备独立性、业务胜任能力和职业道德素养的评价人员，组成评价工作组，具体实施内部控制评价工作。评价工作组成员应当吸收企业内部相关机构熟悉情况的业务骨干参加。实施评价工作前，评价人员需要接受相关培训，培训内容一般包括内部控制专业知识及相关规章制度、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准、评价人员的权利与义务及评价中需重点关注的问题等。通过内部控制职能机构和评价工作组这种矩阵式的组织设置，可以有效促进内部控制评价工作的开展。第三，关于内部控制缺陷的认定。内部控制缺陷的认定，特别是非财务报告内部控制缺陷的认定，是企业内部控制评价工作中面临的重大挑战之一。对于财务报告内部控制缺陷，可由该缺陷可能导致财务报表错报的重要程度来确定，这种重要程度主要取决于两方面因素：一是该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报；二是该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。因此，财务报告内部控制缺陷一般可以通过定量的方式予以确定。相对而言，非财务报告内部控制缺陷的认定很难形成统一的标准，企业可以根据自身的实际情况，参照财务报告内部控制缺陷的认定标准，合理确定非财务报告内部控制缺陷的定量和定性认定标准。其中：定量标准，既可以根据缺陷造成直接财产损失的绝对金额制定，也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定；定性标准，可以根据缺陷潜在负面影响的性质、范围等因素确定。财政部将在即将发布的内部控制规范讲解中，对内部控制缺陷的认定，尤其是非财务报告内部控制缺陷的认定作出更具指导性的说明。需要强调的是，为避免企业操纵内部控制评价报告，非财务报告内部控制缺陷认定标准一经确定，必须在不同评价期间保持一致，不得随意变更。第四，关于内部控制评价报告。在评价指引发布前，上海、深圳证券交易所的部分上市公司已经尝试对外披露内部控制评价报告。但由于缺少统一的指导，这些对外披露的评价报告格式五花八门、质量参差不起，少则2、3页，多则数百页，不具可比性，也不利于报告使用者理解。为此，评价指引专门对内部控制评价报告进行规范，要求企业在评价报告中至少披露以下内容：一是董事会对内部控制报告真实性的声明，实质就是董事会全体成员对内部控制有效性负责；二是内部控制评价工作的总体情况，即概要说明；三是内部控制评价的依据，一般指基本规范、评价指引及企业在此基础上制定的评价办法；四是内部控制评价的范围，描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项；五是内部控制评价的程序和方法；六是内部控制缺陷及其认定情况，主要描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致，同时，根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷；七是内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；八是内部控制有效性的结论，对不存在重大缺陷的情形，出具评价期末内部控制有效结论，对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。财政部将在内部控制规范讲解中对内部控制评价报告的内容提供进一步指引，包括探索引入使用内部控制评价表，作为对内部控制评价报告的进一步补充。所谓内部控制评价表，就是对评价过程中形成的评价工作底稿的全面整理和综合汇总，是企业对内部控制各构成要素的结论性评估表格，一般由评价内容、业务描述、有效性/缺陷、评价记录等栏目组成。通过使用内部控制评价表，可以使不同企业的内部控制评价报告更具可比性，同时也有利于报告使用者阅读和理解。第五，关于内部控制评价报告的披露或报送。评价指引要求，内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。企业应当以12月31日作为年度内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告。对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素，企业应当根据其性质和影响程度对评价结论进行相应调整。需要说明的是，评价指引起草工作组在调研过程中发现，部分企业担心内部控制评价报告可能存在信息过度披露问题。财政部等部门已经根据调研反馈意见对应用指引和评价指引进行了调整，此次发布的应用指引和企业内部控制评价指引实际上只要求企业对控制缺陷尤其是重大缺陷作出说明，不涉及企业内部其他保密信息，与此同时，在内部控制规范体系的贯彻实施过程中，财政部等部门还将持续关注类似问题，确保在满足法律法规和监管要求的前提下，尽量减少企业负担。以上是从政府已经出台的规范文件来看我国内部控制评价的发展,我国学者对内部控制评价研究也进行了一些研究。目前,我国学者对于内部控制评价方面的研究并不多。比较早期的学者阎金愕(1998)根据国外内部控制评价的新发展并针对国内内部控制评价的薄弱点,在阐述内部控制、内部控制评价、内部控制评价应用等基本理论问题的基础上,结合实例探讨内部控制评价应用实务。近年来,我国学者主要是从评价标准、评价步骤、评价方法和借助案例这四个方面来对内部控制评价进行研究。总体来看,我国内部控制评价的研究和规范建设起步较晚,对企业内部控制评价问题缺乏统一和权威的标准、对评价的具体内容和范围缺乏切实可行的操作指南,这对有效实施内部控制评价造成了极大的障碍。我国学者对内部控制的研究逐步从理论研究向应用研究转变,1997年刘明辉、朱荣恩等学者研究的内部控制评价只是作为一种审计方式,其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险,据以确定实质性测试的性质、时间和范围,还没有作为一项专项鉴证业务而使用,企业自身也没有对内部控制评价产生关注。从2000以后,学者们逐步涉及评价的定性和定量分析方法方面的研究。模糊综合评价法、离差最大化法、BP神经网络技术被应用到内部控制评价上面。并结合实例探讨了内部控制评价应用实务。新COSO报告的发布后开创了内部控制的一个新纪元,国外企业正开始按照这个新的框架探索建立及完善自己公司的内部控制制度。如何借鉴新COSO报告来完善内部控制评价体系的研究势必也是一个新的发展趋势。2.3 内部控制的五要素内部控制理论的发展在内部控制整体框架阶段达到了成熟，虽然COSO在2004年以后又将五要素框架发展成了八要素框架，但是由于八要素框架过于复杂，并基于我国基本国情的考虑，对于我国家族民营上市企业而言，应用内部控制五要素整体框架的理论来建立内部控制体系更为合适。内部控制整体框架包含了控制环境、风险评估、控制活动、信息与沟通和监督五个要素，它的内涵构成以及与八要素框架的区别详见图2.3。内部控制五要素相辅相成，互相作用。控制环境是根基，风险评估是重要环节，控制活动是必要手段，信息与沟通是实现渠道，监督是有效保证。图2.3Committee of Sponsoring Organizations of the Treadway Commission,Interna ControlIntegrated Framework，1992 内部控制五要素框架与八要素框架的比较 3 某央企省级公司的基本情况和内部控制要求3.1 某央企省级公司的基本情况3.1.1 发展历程某央企省级公司的前身为该省电业管理局、水利电力局。水利、电力几经合并、分离后，1977年其中的电力部分分离出来成立了省级电力工业局。1990年，国家电力工业体制进一步改革, 成立省级电力公司（与省级电力工业局两块牌子、一套人马）。1998年改组为国家电力公司的全资子公司。2004年注册登记变更出资人，成为某央企总部的全资子公司。3.1.2 经营范围某央企省级公司作为央企的全资子公司，负责该省电网的建设、运行、管理和经营。公司主要经营业务包括：电力生产供应，组织发电，输变电工程的设计施工和建设，电力设备修造、维修等；兼营业务包括：重点电力基建项目和所属电力企业所需的电力设备、金属材料、木材、电线电缆的调拨、销售；经营批准的进出口业务；信息系统集成、软件开发、销售、运行、维护，技术改造、技术服务、咨询，培训服务等。公司重点发展电网外，还拥有电力建设管理、施工、设计、修造、试验、教育培训、多种经营等方面的力量,成为以发展电力为主、产业门类众多的综合性企业,也是该省经营规模最大的工业企业之一。截止2010年底，公司下设20个职能部门，直接投资及直接管理企业共32家。其中：全资公司13个，公司所属分公司（分支机构）19个，并管理着61家县供电企业。3.1.3 资产规模至2013年末，公司资产总额895亿元，资产负债率73.98%；公司已拥有500千伏变电站31座、容量6425万千伏安、线路6300千米；220千伏变电站230座、容量8394万千伏安、线路13000千米。通过9回500千伏线路分别与上海、江苏、安徽及福建电网相连，向家坝-上海特高压直流途经浙江，基本形成以500千伏为主网架、以220千伏为支撑的电网结构。全年完成售电量2405亿千瓦时，全年全社会用电量达到3117亿千瓦时，统调最高负荷5063万千瓦，最高外购电力1530万千瓦，占统调最高负荷的30.2%；全年外购电量584亿千瓦时，占全社会用电量的18.7%；属于电量不能自足，对外来电能依存度较高的省份之一。公司管辖范围有员工近10万人。3.2 某央企省级公司建立内部控制的必要性3.2.1 加强内部控制有利于公司深化体制改革国资委根据国家整体发展战略和企业的实际，提出“十二五”时期企业改革发展的核心目标是“做强做优企业、培育具有国际竞争力的世界一流企业”。要实现以上目标，确保战略落地，企业必须拥有健全完备、运行高效的内部控制体系作为根本保障。内部控制体系的建立有助于推动企业建立完善公司治理结构，落实“三重一大”决策制度，优化资源配置