2008年6月28日,财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制基本规范》,对我国企业尤其是上市公司建立健全内部控制提出了明确要求。作者根据该规范的要求对本书第1版做了相应的修订。全书分为4部分,共9章,**介绍了内部环境、风险评估、控制活动、信息与沟通和内部监督5要素,分别阐述了其关注要点和主要控制措施及程序,并给出了具体的操作实务。本书还增加了《中国上市公司2008年内部控制白皮书》,使读者更为具体、直观地了解我国上市公司内部控制的现状。

第1部分 内部控制与企业风险管理框架
第1章 我国的内部控制与企业风险管理
1.1 我国内部控制与企业风险管理的发展
1.2 上海证券交易所《上市公司内部控制指引》
1.3 深圳证券交易所《上市公司内部控制指引》
1.4 国务院国有资产监督管理委员会《**企业全面风管理指引》
1.5 财政部、证监会、审计署、银监会、保监会《企业内部控制基本规范》
第2章 COSO内部控制与企业风险管理整合框架
2.1 COSO《内部控制整合框架》的概述及发展
2.2 COSO《企业风险管理整合框架》的构成要素
2.3 COSO内部控制与《企业风险管理整合框架》的比较
第2部分 内部控制与企业风险管理操作实务
第3章 内部环境
3.1 治理结构
3.2 机构设置与权责分配
3.3 内部审计
3.4 人力资源政策
3.5 企业文化
第4章 风险评估
4.1 目标设定
4.2 风险识别
4.3 风险分析
4.4 风险应对
第5章 控制活动
5.1 控制活动的实施
5.2 销售与收款业务流程
5.3 采购与付款业务流程
5.4 生产管理业务流程
5.5 固定资产管理业务流程
5.6 货币资金管理业务流程
5.7 关联交易业务流程
5.8 对外担保业务流程
5.9 投资管理业务流程
5.10 研发业务流程
5.11 人力资源管理业务流程
第6章 信息与沟通
6.1 信息
6.2 沟通
6.3 信息系统总体控制
6.4 信息系统的应用控制
6.5 信息披露
6.6 反舞弊
第7章 内部监督
7.1 日常监督
7.2 专项监督
7.3 报告缺陷
第8章 内部控制评价
8.1 评价人员的职责和权限
8.2 评价流程
8.3 评价方法
8.4 保存评价的工作底稿
第3部分 IT治理与内部控制
第9章 IT治理与内部控制
9.1 治理的背景
9.2 IT治理的形成
9.3 IT治理的要点
9.4 COBIT 4.0
9.5 COBIT 4.0的原理与框架
9.6 IT流程、IT治理、COSO、COBIT IT资源和COBIT信息特征的直接关系
9.7 COSO-COBIT-SOX
9.8 ITIL
9.9 BS7799/ISO/IEC17799
第4部分 中国上市公司2008年内部控制白皮书
中国上市公司2008年内部控制白皮书摘要
一、研究综述
二、分类统计分析
三、回归分析
附录
附录A 《企业内部控制基本规范》(2008-6-28)
附录B 国务院国有资产监督管理委员会《**企业全面风险管理指引》(2006-6-6)
附录C 上海证券交易所《上市公司内部控制指引》(2006-6-5)
附录D 深圳证券交易所《上市公司内部控制指引》(2006-9-28)
附录E 《萨班斯法案》(SOX)摘录(302、404、906)
参考文献

第1部分 内部控制与企业风险管理框架
第1章 我国的内部控制与企业风险管理
1.1 我国内部控制与企业风险管理的发展
20世纪90年代发生的安然、世通等事件在很大程度上与内部控制失灵有关,为此,美国国会推出了《萨班斯一奥克斯利法案》(以下简称《萨班斯法案》),旨在从法律上加强在美国上市公司的内部控制建设和监控,以免企业陷入危机。美国的这一举措引起了国际社会对内部控制及风险管理的普遍关注,其他**纷纷效仿,陆续建立起与内部控制及风险管理相关的制度。我国的资本市场在某种程度上落后于发达**的资本市场,尤其是近几年,我国上市公司频繁发生重大违法、违规事件,这在相当程度上与国内内部控制建设缺失、风险管理落后有关,因此,健全内部控制机制,加强企业的风险管理水平,对于我国企业尤其是上市公司而言,已经显得十分迫切和必要了。此外,建立和完善内部控制制度也有利于强化企业内部管理、提高工作效率、增加经营效益,是上市公司建立规范、**的现代企业制度的内在要求。
显然,我国的监管当局已经充分意识到加强内部控制和企业风险管理建设的重要性了。2005年lo月,自证监会《关于提高上市公司质量意见》出台后,我国相继出台了一系列与内部控制和企业风险管理相关的制度。相比美国《萨班斯法案》的出台过程,我国关于内部控制建设和风险管理方面法规出台的密度和力度引人注目。
2006年5月17日,中国证券监督管理委员会发布了《**公开发行股票并上市管理办法》该办法第29条规定“发行人的内部控制在所有重大方面是有效的,并由注册会计师出具了无保留结论的内部控制鉴证报告”。这是中国**对上市公司内部控制提出具体的要求。
2006年6月5日,上海证券交易所(以下简称“上交所”)出台了《上市公司内部控制指引》,要求上市公司建立内部控制体系,并于2006年7月1日全面执行。
2006年6月6日,国务院国有资产监督管理委员会(以下简称“国资委”)发布了《**企业全面风险管理指引》,文件强调:企业全面风险管理是一项十分重要的工作,关系国有资产的保值、增值和企业的持续、健康、稳定发展。
为了指导企业开展全面风险管理工作,进一步提高企业管理水平,增强企业竞争力,促进企业稳步发展,要求结合企业实际情况执行风险管理指引。
2006年9月28日,继上交所和国资委之后,深圳证券交易所(以下简称“深交所”)也出台了《上市公司内部控制指引》,敦促上市公司建立健全的公司内部控制制度,并于2007年7月1日起正式执行。
2006年7月15日,根据我国市场经济发展要求和国务院领导重要指示,财政部会同审计署、证监会、银监会、保监会等部门成立了中国企业内部控制标准委员会,向全国乃至全世界郑重地发出了创建中国企业内部控制标准体系的宣言。经过两年的努力,我国**部《企业内部控制基本规范》于2008年6月28日由五部委联合发布,并将于2009年7月1日起首先在上市公司范围内实施。此外,企业内部控制评价指引和22项内部控制指引,以及内部控制鉴证指引草案也一并公布,并公开征求意见。
这些都是监管层对上市公司内部控制建设由提倡向明确要求转变的标志性事件。企业的内部控制机制和风险管理体系,是为满足企业生产经营管理的内在需要而产生的。上交所、深交所和国资委及财政部、证监会、审计署、银监会、保监会推出的一系列与内部控制和企业风险管理有关的指引和规范,无疑给上市公司提供了具有操作性和实用性的指导,必将大力推动我国上市公司内部控制的健全和发展。
值得一提的是,上交所、深交所、国资委和财政部、证监会、审计署、银监会、保监会在相应的内部控制或风险管理的指引和规范中都将董事会视为企业内部控制和风险管理的*高责任人,董事会要对内部控制和风险管理的*终执行情况负责。虽然目前国内大部分的上市公司都在一定程度上建有内部控制制度,并且设有审计委员会对重大事项进行审核,然而对于内部控制的实质很多人并不十分清晰,有相当一部分人将其视为是对董事会层面以下的经理层层面的约束。监管层将董事会置于内部控制和风险管理活动主导者的地位,打破了企业原来对于内部控制认识的局限性,有利于企业从战略决策的高度开展内部控制与风险管理建设工作。
事实上,企业内部控制与风险管理建设是一项十分复杂的系统工程。在美国上市的企业为满足美国《萨班斯法案》关于内部控制的要求,常常需要耗费一年甚至几年的时间,且通常都是在中介机构的协助下进行的。监管当局显然已经意识到企业完善内部控制和风险管理的难度,并分别以不同的形式使上市公司做好实施内部控制和风险管理的预备工作,且在相应指引中建议企业在实施的过程中聘请中介机构协助。
可以预见,在未来的几年中,我国上市公司的内部控制和风险管理建设将会广泛展开并取得质的飞跃,同时也会带动众多非上市公司提升企业的内部控制和风险管理水平。
1.2 上海证券交易所《上市公司内部控制指引》
1.2.1 目的、定义及对上市公司的要求
上海证券交易所(以下简称“上交所”)发布《上市公司内部控制指引》(以下简称《内部控制指引》)的目的,旨在推动和指导上交所上市公司建立健全的内部控制制度并有效实施,提高上市公司风险管理水平,保护投资者的合法权益。
上交所在对内部控制进行定义时明确了内部控制是董事会、管理层及全体员工共同参与的一项活动,同时也明确了内部控制与企业战略目标之间的关系,指出“内部控制是指上市公司为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排”。
对于内部控制的披露,上交所在《内部控制指引》中做了强制性的规定,要求在定期报告中披露内部控制制度的实施情况及公司对于内部控制制度的自我评估报告,外部审计要对公司所发布的自我评估报告进行核实和评价。当企业发生重大的内部控制风险时,也要及时以公告的形式告知广大投资者。
1.2.2内部控制的框架
上交所《内部控制指引》要求企业在建立内部控制时,在公司层面、公司下属部门及附属公司层面及公司各业务环节层面均做出安排,以此保证内部控制制度的全面和完整。
上交所在借鉴国际经验的基础上,结合我国实际,为上市公司建立和实施内部控制制度设定了一个基本框架,具体包含目标设定、内部环境、风险确认、风险评估、风险管理策略选择、控制活动、信息沟通和检查监督八个要素。
(1)目标设定,指董事会和管理层根据公司的风险偏好设定战略目标。
(2)内部环境,指公司的组织文化及其他影响员工风险意识的综合因素,包括员工对风险的看法、管理层的风险管理理念和风险偏好、职业道德规范和工作氛围、董事会和监事会对风险的关注和指导等。
(3)风险确认,指董事会和管理层确认影响公司目标实现的内部和外部风险因素。
(4)风险评估,指董事会和管理层根据风险因素发生的可能性和影响,确定管理风险的方法。
(5)风险管理策略选择,指董事会和管理层根据公司风险承受能力和风险偏好选择风险管理策略。
(6)控制活动,指为确保风险管理策略的有效执行而制定的制度和程序,包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等。
(7)信息沟通,指产生服务于规划、执行、监督等管理活动的信息并适时向使用者提供的过程。
(8)检查监督,指公司自行检查和监督内部控制运行情况的过程。
上交所要求上市公司在符合企业本身总体战略目标的基础上,根据自身特点,结合运作经验,针对各下属部门、附属公司及各业务环节,自行建立各自的内部控制制度,强调内���控制制度的个性化和适用性。
实现控制目标,主要是控制容易发生偏差的业务环节。对于业务环节层面的内部控制,上交所列举了公司经营活动经常涉及的十大主要业务环节,包括销货及收款环节、采购及付款环节、生产环节、固定资产管理环节、货币资金管理环节、关联交易环节、担保与融资环节、投资环节、研发环节和人事管理环节,并特别强调公司在内部控制制度的制定过程中,可以根据自身所处行业及生产经营特点对上述业务环节进行调整。然而对于以上各项业务环节,上交所并未针对某项具体业务给出规范性的操作指引,只是列出了具体业务环节所包含的一些流程。例如,对销货及收款环节的内部控制,列出了该环节需要考虑订单处理、信用管理、运送货物、开出销货发票、确认收入及应收账款、收到现款及其记录等流程,对于该业务环节的控制目标的设立、控制流程的整合、控制环节的鉴别、控制措施的确定等方面并未做出详细的规定。这就需要上市公司结合企业自身及业务特点,健全各业务流程的内部控制,必要时可借助中介机构的力量来完成。
上交所要求上市公司内部控制除涵盖经营活动各环节外,还应包括贯穿于经营活动各环节中的各项管理制度,如印章使用管理制度、票据领用管理制度、预算管理制度、资产管理制度、质量管理制度、担保管理制度、职务授权及代理制度、定期沟通制度、信息披露管理制度及对附属公司的管理制度等。对于会计层面的内部控制,上交所要求上市公司根据**财政主管部门的有关规定来进行。对于金融等特殊行业的公司建立内部控制制度,还应遵循有关主管部门的规定。
……

我一直关注美国《萨班斯法案》对中国企业的影响。2006年,法案的正式生效,标志着美国证券市场要从单纯的监管转向严格的过程控制。对于已进入全流通时代的中国资本市场来讲,众多上市公司也将面临同样的挑战。通过COS0与COBIT的中国化运用,实现企业内部控制机制和风险管理水平的全面升级,正是大家完成良性蜕变的历史机遇。因此,此书的出版,切准了一个独特的时代节点,非常符合企业实际需求! ——伊利集团董事长 潘刚 《企业内部控制基本规范》的发布,为上市公司进一步完善内部控制指明了方向,有利于企业的发展壮大。本书为企业实施新的内部控制规范和规范风险管理提供了操作指南,符合企业满足《企业内部控制基本规范》监管要求和提升管理水平的需要。 ——新疆青松建材化工(集团)股份有限公司 甘军 上市公司董事会和高层管理者应该建立风险管理意识,努力构建完善的内部控制体系,在公司内全面推进内部控制与企业风险管理。本书操作性极强,为上市公司构建内部控制体系、实行全面风险管理提供了较强的指导参考。 ——柳工股份董事长 王晓华 本书基于国内监管当局对内部控制和风险管理的要求, 并借鉴国际风险管理的框架,详细阐述了企业建设内部控制与风险管理的关注点和所应采取的主要措施,具有较强的借鉴意义。 ——潍柴动力董事长 谭旭光