風險管理視角下A鐵路項目公司內部控制優(yōu)化研究

云南大學（專業(yè)）碩士學位論文分類號C93密級公開UDC編號碩士研究生學位論文題目風險管理視角下A鐵路項目公司內部控制優(yōu)化研究TitleResearchontheInternalControlSystemofARailwayProjectfromthePerspectiveofRiskManagement學院（所、中心）專業(yè)名稱研究生姓名學號導師姓名職稱2020年12月

論文獨創(chuàng)性聲明及使用授權本論文是作者在導師指導下取得的研究成果。除了文中特別加以標注和致謝的地方外，論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果，不存在剽竊或抄襲行為。與作者一同工作的同志對本研究所做的任何貢獻均已在論文中作了明確的說明并表示了謝意?，F(xiàn)就論文的使用對云南大學授權如下：學校有權保留本論文（含電子版），也可以采用影印、縮印或其他復制手段保存論文；學校有權公布論文的全部或部分內容，可以將論文用于查閱或借閱服務；學校有權向有關機構送交學位論文用于學術規(guī)范審查、社會監(jiān)督或評獎；學校有權將學位論文的全部或部分內容錄入有關數(shù)據(jù)庫用于檢索服務。（內部或保密的論文在解密后應遵循此規(guī)定）研究生簽名：導師簽名：日期：

摘要隨著經(jīng)濟社會的飛速發(fā)展和新的商業(yè)模式的興起，企業(yè)的管理和經(jīng)營日益復雜，各種風險因素相互疊加。為了實現(xiàn)長期發(fā)展，公司必須重視實施全面風險管理。2017年9月6日，新版綜合風險管理框架正式發(fā)布，該框架側重于如何從集成風險管理的角度為企業(yè)創(chuàng)造價值并確保實現(xiàn)戰(zhàn)略目標。作為企業(yè)管理過程的重要組成部分，內部控制也應迅速更改以滿足當前環(huán)境的新要求。鐵路公司正在進行改革，注冊資本高達人民幣10,360億元。2019年數(shù)據(jù)顯示，總行轄23個行政事業(yè)單位和34個事業(yè)單位，總資產(chǎn)6963.15億元。如何提高資金使用效率，實現(xiàn)組織和運營目標，對鐵路公司的管理機構來說是一個巨大的挑戰(zhàn)。鐵路建設項目的內部控制是一個復雜的系統(tǒng)工程，涉及許多風險因素。為了減少鐵路建設項目施工過程中的質量風險事件并確保項目的成功進行，本研究對鐵路建設項目內部控制進行了理論和實踐分析。研究結果具有很強的實用價值。本文總結并介紹了A鐵路項目公司建設中的主要風險問題，綜合運用了內部控制的相關理論，并結合鐵路X局項目的具體情況，設計了具有實際意義和指導意義的內部控制活動計劃。有助于解決大型鐵路工程項目管理中面臨的主要風險和問題，從而進一步提高工程項目的內部運營和管理水平?；趦炔靠刂瓶蚣芾碚摚瑥暮暧^角度提出了全方位加強風險與內控契合度，優(yōu)化基礎治理系統(tǒng)運作優(yōu)化，監(jiān)督改進系統(tǒng)運作等措施對A鐵路項目公司內部控制進行優(yōu)化。關鍵詞：內部控制；風險管理；鐵路；A項目

ABSTRACTWiththerapiddevelopmentoftheeconomyandsocietyandtheemergenceofnewbusinessmodels,themanagementandoperationofenterprisesarebecomingincreasinglycomplex,andvariousriskfactorsaresuperimposedoneachother.Inordertoachievelong-termdevelopment,thecompanymustattachimportancetotheimplementationofcomprehensiveriskmanagement.OnSeptember6,2017,thenewversionofthecomprehensiveriskmanagementframeworkwasofficiallyreleased.Theframeworkfocusesonhowtocreatevaluefortheenterprisefromtheperspectiveofintegratedriskmanagementandensuretherealizationofstrategicgoals.Asanimportantpartofthecorporatemanagementprocess,internalcontrolshouldalsobequicklychangedtomeetthenewrequirementsofthecurrentenvironment.TherailwaycompanyisundergoingreformswitharegisteredcapitalofRMB1,036billion.Accordingtodatain2019,theheadofficehasjurisdictionover23administrativeinstitutionsand34institutions,withtotalassetsof696.315billionyuan.Howtoimprovetheefficiencyofcapitaluseandachieveorganizationalandoperationalgoalsisahugechallengeforthemanagementorganizationoftherailwaycompany.Theinternalcontrolofrailwayconstructionprojectsisacomplexsystemengineeringinvolvingmanyriskfactors.Inordertoreducethequalityriskeventsintheconstructionprocessofrailwayconstructionprojectsandensurethesuccessoftheproject,thisresearchcarriedouttheoreticalandpracticalanalysisontheinternalcontrolofrailwayconstructionprojects.Theresearchresultshavestrongpracticalvalue.ThisarticlesummarizesandintroducesthemainriskissuesintheconstructionoftheArailwayprojectcompany,comprehensivelyusestherelevanttheoriesofinternalcontrol,andcombinesthespecificconditionsoftherailwayXstationprojecttodesignaninternalcontrolactivityplanwithpracticalandguidingsignificance.Ithelpstosolvethemainrisksandproblemsfacedinthemanagementoflarge-scalerailwayengineeringprojects,therebyfurtherimprovingtheinternaloperationandmanagementlevelofengineeringprojects.Basedonthetheoryofinternalcontrolframework,fromamacroperspective,measurestostrengthenthefitbetweenrisksandinternalcontrol,optimizetheoperationofthebasicgovernancesystem,andsuperviseandimprovethesystemoperationareproposedtooptimizetheinternalcontroloftheArailwayprojectcompany.KEYWORDS：Internalcontrol;riskmanagement;railway;Aproject

目錄TOC\o"1-3"\h\u279371緒論 緒論研究背景及意義研究背景2006年7月15日，在公司內部控制委員會和會計師事務所內部治理指導委員會成立大會上，時任財政部副部長的王軍在會上發(fā)表重要講話，指出“內部控制是兩大支柱的實施”。會計和審計標準體系的建立，是提高會計信息質量和注冊會計師審計質量的重要保證。內部控制是促進資本市場健康穩(wěn)定發(fā)展，維護社會公共利益的重要措施；內部控制是實施全球化戰(zhàn)略和會計行業(yè)國際發(fā)展的重要基礎。由此可見，內部控制的建設非常重要。在我國社會主義市場經(jīng)濟體制和“一帶一路”政策的指導下，加快每個單位的內部控制建設是必要的。特別是自本世紀初以來，世界范圍內出現(xiàn)了大小不一的金融欺詐事件，震驚世界，但也給理論界帶來了巨大挑戰(zhàn)。如何識別，分析和控制風險是企業(yè)生存的關鍵，而內部控制建設的成敗往往決定著企業(yè)的成敗。迄今為止，隨著我國監(jiān)管機構不斷頒布相關法規(guī)和準則，我國的內部控制得到了很大的發(fā)展。但是，與國外相比，理論研究相對滯后，實踐探索仍然存在很多困難。COSO委員會一直致力于內部控制和全面風險管理的研究，2017年，它正式發(fā)布了一個新的全面風險管理框架，該框架更加成熟。它為企業(yè)內部控制管理的發(fā)展提供了新思路。本文基于全面風險管理框架的新版本，以重新檢查A鐵路項目公司的內部控制并為類似公司提供參考。研究意義作為企業(yè)管理的重要環(huán)節(jié)之一，內部控制的加強和改善是理論和實踐的最終目標。鐵路建設企業(yè)作為國民經(jīng)濟的中流砥柱，在國民經(jīng)濟結構的調整和穩(wěn)定增長戰(zhàn)略中發(fā)揮了重要作用。研究其內部控制對于規(guī)范和促進行業(yè)發(fā)展具有重要的現(xiàn)實意義。（1）有助于實現(xiàn)公司發(fā)展戰(zhàn)略。當前經(jīng)濟形勢瞬息萬變，國家產(chǎn)業(yè)結構調整和穩(wěn)定增長戰(zhàn)略為中國企業(yè)帶來了前所未有的預期和挑戰(zhàn)。鐵路建設企業(yè)必須通過逐步改善內部控制，規(guī)范企業(yè)管理，提高經(jīng)濟效益，實現(xiàn)企業(yè)既定目標來面對新形勢下的困難和挑戰(zhàn)。（2）幫助提高企業(yè)競爭力。建立一套規(guī)范的內部控制程序，可以有效規(guī)避各種風險，提高決策的準確性，確保公司戰(zhàn)略的實施，動員公司的各種要素，充分激發(fā)內部的熱情，主動性和創(chuàng)造力，并全面地增強企業(yè)執(zhí)行力。（3）可作為同一行業(yè)其他單位的參考。長期以來，鐵路建設企業(yè)一直受制于管理制度的約束，而且其大多數(shù)內部控制制度還不夠健全。成型、完備的內部控制將幫助公司有效規(guī)避風險從而促進其發(fā)展。在當今全球經(jīng)濟不景氣的情況下，有一個適合公司的完整，標準化的內部控制系統(tǒng)顯得尤為重要。1.2國內外研究現(xiàn)狀1.2.1國外研究現(xiàn)狀1994年該委員會對框架進行了完善，將內部控制定義為財務報告的可靠性、經(jīng)營的效率效果、有關法律的遵循性等目標的實現(xiàn)提供合理保證的過程。Gibbins，wolf（1982）發(fā)放關于內部控制評價結果影響因素的調查問卷。通過回收問卷、基于樣本數(shù)據(jù)整理和有效篩查。在統(tǒng)計分析方法的幫助下確定會計信息系統(tǒng)、審計人員的素質以及事務所評價方法是影響內部控制評價結果最重要的因素PShyam（1997）發(fā)表《會計控制理論》，成為會計控制首篇有指導意義文章4。Annukka（2005）指出大型企業(yè)著眼于構建適應性的內控體系和風險管理方案，保證企業(yè)內部治理體系的完整性、準確性和合法性。Amado（2009）指出在許多國家接連涌現(xiàn)的財務欺詐和會計丑聞后，內部控制的系統(tǒng)成為了現(xiàn)代企業(yè)管理的重要的關注點，作者指出了可以通過企業(yè)現(xiàn)有的評價體系進行監(jiān)督調整，使企業(yè)做到設立的目標與執(zhí)行過程相一致的能力。除了美國對內部控制發(fā)展的貢獻外，其他國家也不同程度地做出了貢獻。針對公司內部控制的有效性，加拿大會計師協(xié)會建議應從目的、能力、監(jiān)督三方面進行評估。它還建議內部控制具有三個目的：一種是提高運行效率和質量，另一種是使內部控制報告更真實有效，最后是要符合國家規(guī)定的相關要求。1999年，威爾士特許會計師協(xié)會發(fā)布了“內部控制董事會：會議規(guī)則準則”。經(jīng)過實踐和發(fā)展，指導方針相應的到細化，內部控制和風險管理兩者緊密相連。日本在2002年提出了有關內部控制風險評估的相關文件，并對內部公職人員的標準建設提出實質性要求。同年，南非的《國王日報》（KingIlReport）闡明了傳統(tǒng)內部控制的局限性：不僅無法識別諸多外部風險，全面的風險管理相對于內部控制來說顯得尤為復雜且難以操作，國外學者在內部控制發(fā)展的道路上做出相應貢獻，Anafernandez-Laviada（2007），Anettemikes（2009）通過研究內部控制改善公司風險管理的效果，逐步完善內部控制和企業(yè)風險管理理論。Lauradezwaan等。（2011年）認為，內部控制實際上是一種控制公司正常業(yè)務活動中各種風險的政策安排。DjordjevicM（2012）認為，以風險為導向的內部控制作為一種防御機制可能是合理的。為了確保實現(xiàn)內部控制目標，該機制就像人體的免疫系統(tǒng)一樣，可有效確保企業(yè)的正常運轉。MicheleRubino等，（2014年）提出了一種基于對COSO框架的認可的新理論工具，即“COBIT5”TT治理框架，它建立了內部控制和信息技術之間的橋梁，以滿足不同的需求。Moeller（2015）從美國上市公司會計監(jiān)督委員會（PCAOB）頒布的第5號審計標準（AS5）內部控制標準中重新研究并衡量了公司風險系數(shù)。TeohAiPing等（2015年）認為，全面風險管理與績效之間的關聯(lián)程度取決于許多因素，例如公司的業(yè)務模式，公司的規(guī)模以及公司的高級監(jiān)管水平，這種因素都有帶有公司的獨特性。除了上述國家和專業(yè)團體外，還有許多類似的組織和學者也在進行不斷的探索和研究。他們的研究基于權威的內部控制理論，并結合了本國的特定國情。在經(jīng)濟發(fā)展階段，建立與國內企業(yè)發(fā)展軌跡相吻合的內部控制，一系列風險管理措施的操作，將為今后內部控制理論的發(fā)展打下堅實的基礎。。1.2.2國內研究現(xiàn)狀王宏，張婷（2011）認為不合理和不健全的公司治理機制、內部控制是導致公司治理失誤的深層次原因[3顧瑞鵬（2012）認為企業(yè)的內部控制與戰(zhàn)略管理高度總是相互依存的，應將企業(yè)的戰(zhàn)略管理等理念恰當?shù)娜谌氲降狡髽I(yè)的內部控制體系中去。李小燕、楊濟華和郭穎（2015）探究美國薩班斯法案的建構邏輯與執(zhí)行偏差，運用了信息不對稱理論和機制設計理論，并通過文獻分析法的論證了研究結果。葉陳剛、裝麗和張立娟（2016）研究公司治理結構、內部控制質量與企業(yè)績效的關系，發(fā)現(xiàn)公司治理結構約優(yōu)秀企業(yè)財務績效越佳。樣本數(shù)據(jù)來自2007到2014年，中國A股上市的2，176家公司13，310個觀測值。樣本數(shù)據(jù)包含了國有企業(yè)、民營企業(yè)、且在兩者此種結論沒有明顯區(qū)別。關于內部控制和風險管理的整合，曲寧（2013）認為企業(yè)的風險管理和內部控制有自己的重點，但如果兩者能夠有機地結合，就可以建立面向風險的內部控制?？梢猿浞职l(fā)揮兩者的功能，顯著的控制成本要素，達到帕累托最優(yōu)原則，還可以促進戰(zhàn)略目標的發(fā)展和實現(xiàn)，充分滿足企業(yè)的外部監(jiān)管需求。從內部控制的角度來看，張小英和馬光啟（2008）分析了COSO報告，歸正了各方內部控制觀點。他們強調內控是持續(xù)、非靜止過程。李維安和戴文韜（2013）在理論和實踐界對公司治理，內部控制和風險管理這三種理論尚未達成共識。筆者對這三種理論進行了比較分析，消除了理論上的誤解，為政府部門和企業(yè)制定和實施風險管理和內部控制規(guī)章制度措施提供了幫助和指導，以便貫徹實施各項基本規(guī)章制度，為內部控制評價研究提供了參考和支持。肖光宏，范興建（2014）賦予國內所有專家學者提出的內部控制的涵義和本質，具有更深的含義，并在原有基礎上進一步闡述了公司內部控制管理的內涵。從風險管理開始，蔡玉華（2010）的想法可以表明，只有加強公司內部控制管理風險的創(chuàng)建，才能使中小型公司確保快速發(fā)展。它還探索了在當前經(jīng)濟發(fā)展情況下已經(jīng)建立的企業(yè)風險因素。公司內部控制管理系統(tǒng)的要素。潘玉琦（2016）認為，在當前企業(yè)的經(jīng)營管理戰(zhàn)略中，內部控制和進一步的風險治理尚未構成相輔相成的監(jiān)督管理體系。因此，企業(yè)應明確分配權力和責任。有一個獨立且客觀的審核和監(jiān)督系統(tǒng)。陳平平（2015）認為，在啟動控制措施的過程中，公司本身及其員工應牢牢把握風險管理與內部控制的協(xié)調。兩者相輔相成。經(jīng)濟社會扮演著前進的角色，可以為企業(yè)做好準備，這是企業(yè)未來發(fā)展和持續(xù)經(jīng)營的基礎。陳靜（2014）認為，基于風險管理的內部控制系統(tǒng)為公司發(fā)展提出了新的方向。對于公司而言，他們應該強調風險意識，建立良好的內部環(huán)境，加強風險評估，監(jiān)督和評估功能，并最終實現(xiàn)內部控制和業(yè)務優(yōu)化。中國學者在內部控制和風險管理研究中也做出了非常重要的貢獻。戴文濤（2010），李華等（2011）認為，就工作原理而言，全面風險管理下的內部控制是風險控制的本質。Liman（2010）從成本角度認為，提高風險響應能力將增加企業(yè)的內部控制成本。肖光宏（2014）認為，傳統(tǒng)的以企業(yè)風險管理為導向的內部控制是滯后的，仍然不能擺脫財務目標的主導地位。謝志華（2007）指出了內部控制，全面風險管理和公司管理的特征，并認為這三者應整合為一個通用框架。孟澤瑞（2013）研究了在我國上市公司中實施全面風險管理的公司的績效提升。毛新書（2013）和方芳（2014）認為，應該根據(jù)中國國情建立具有中國特色的理論體系。盧世義（2012）認為內部控制和風險管理是等效的，但是由于兩者的側重點不同，國有企業(yè)在應用探索過程中經(jīng)常會出現(xiàn)問題，風險管理績效也很差。徐明輝（2016）認為內部控制與風險管理是密不可分的，基本內部控制只能滿足臨時需求。隨著公司的不斷發(fā)展壯大，會有越來越多的風險點，風險管理開始變得至關重要。作用上，兩者必須繼續(xù)相互融合。在應用層面，趙小剛（2014）從風險和價值的角度構建了具有全面風險管理基本框架的內部審計運作機制。黃元元（2005）認為，我國目前的內部審計仍然存在范圍不足，職能分散不足等問題，并建議根據(jù)管理水平和報告水平對內部審計進行細分。在企業(yè)風險管理中。企業(yè)的內部審計也應該借鑒外部審計，以風險為導向，成為企業(yè)發(fā)展中顧問和協(xié)調員。王海林（2008）在其對于信息技術領域內部控制的研究中提出在信息技術的總體環(huán)境中，內部控制模型主要由三個系統(tǒng)組成，一是內部控制系統(tǒng)，即一個比較系統(tǒng)的框架是項目執(zhí)行系統(tǒng)，即如何有效地執(zhí)行它，三是評估系統(tǒng)，即評估和反饋。潘愛玲，吳有宏（2005）基于集團企業(yè)內部控制建設的基礎上進行了研究，提出此類企業(yè)要與時俱進，加速觀念更新，構建良好的內部環(huán)境，增強資本實力?？刂撇⒋_保信息系統(tǒng)的有效運行，并提高對風險控制重要性的認識，建立起有效的內部控制自我評估體系。方紅星和陳作華（2015）研究了2009年至2011年在上海證券交易所和深圳證券交易所上市的A股上市公司，推論出公司的內部控制越好，系統(tǒng)風險越可以降低，而且可以抵擋各種外部不利因素的影響。林潤輝等（2015）從內部控制與績效之間的關系著手，得出內部控制是使公司價值最大化的一種契約手段的觀點。楊樹等（2016）認為，大量上市公司之所以違反法律法規(guī)不是因為這些公司沒有建立內部控制制度，而是不能及時評估內部控制制度的有效運作情況。張莎（2009）則改變了其內部控制框架，并結合財務風險管理，通過數(shù)學方法建立起評價模型。YuLina等人（2017）詳細介紹了Delphi方法在企業(yè)風險管理實踐中如何應用。舒?zhèn)?、左睿等?018）對新版綜合風險管理框架進行了細致的探討，認為新版框架明確什么是內部控制，風險管理的邊界則提出了原則導向的內部控制管理有利于提高其企業(yè)價值。1鐵路建設項目質量風險管理研究綜述顧維茨在專著中指出：建設項目的質量主要是在滿足國家有關法律法規(guī)和相應技術規(guī)范和標準，并符合項目要求的前提下，滿足項目業(yè)主的綜合特點。設計文件和相應的合同依據(jù)。它還應具有自己的一些特征：（1）適用性。適用性體現(xiàn)在項目應滿足理化性能、結構、用途和外觀等方面的要求；（2）耐久性。耐久性是指項目的壽命，即在滿足項目規(guī)定的前提下可以正常使用的工作壽命；（3）安全性。安全主要是指在建設項目完成后，在使用階段確保項目結構，環(huán)境和人員的安全和穩(wěn)定：（4）可靠性。主要體現(xiàn)在有限的時間和條件下建設項目并完成項目功能的可能性；（5）經(jīng)濟。經(jīng)濟的是指從計劃，勘測和設計，項目的實施和項目的使用中產(chǎn)生的項目成本：（6）與環(huán)境的協(xié)調主要是指建設項目應符合周圍的自然環(huán)境、經(jīng)濟環(huán)境和現(xiàn)有環(huán)境項目，協(xié)調是為了滿足建筑項目發(fā)展的要求。風險的概念是質量風險管理的起點，風險的基本概念是損失的不確定性。一是風險事故發(fā)生的不確定性，主要是指不確定事故是否發(fā)生，或者不確定事故發(fā)生的類型和形式。另一個是風險特定結果的不確定性，是指由風險引起的損益的不確定性。在討論風險管理時，WilliamandHans指出，風險管理是通過風險識別、風險度量、風險監(jiān)控和其他環(huán)節(jié)，試圖以最低的成本將由風險引起的損失系數(shù)降低到最低水平。項目質量風險具體是指施工單位交付的建筑產(chǎn)品的屬性值的總值與施工單位預期的建筑產(chǎn)品的各項指標的偏差所引起的不確定性。其他經(jīng)濟活動對自身不確定性的影響小于一次性建設項目，因此質量風險的可預測性相對較差。如果重復的生產(chǎn)活動中存在問題，則可以在未來的生產(chǎn)過程中找到機會。如果建設項目中存在問題，則很難補救。建設項目的不同階段都將存在不同的風險隱患。隨著項目的進行，項目的不確定性將逐漸降低。在項目的早期階段，質量風險的不確定性最大。早期階段做出的對項目的決定對目標的影響最大，因此，應該在早期階段對項目采取質量風險預控制措施。建設項目管理是全方位和全過程管理的一種形式，需要充分發(fā)揮組織和計劃協(xié)調等功能的作用。恰好質量管理是項目管理的核心內容之一，在項目實施過程中，如果質量風險超過一定限度，則項目將失去控制，例如項目成本增加，建設工期延長以及社會穩(wěn)定的影響，最終導致降低施工單位的工程效益，影響工程的利潤。建設項目質量風險管理主要是在項目建設過程中綜合運用各種管理技術和方法，為了達到預期，對可能影響建設項目質量的各種風險因素進行識別、分析、評估、處理和監(jiān)控。2鐵路建設項目質量風險要素分析研究綜述項目質量風險識別主要基于某些風險識別方法和原則，通過對質量風險源和風險因素的判斷和分類，分析項目中潛在的風險要素，最終確定風險的性質和風險的發(fā)生過程。找出造成工程質量事故的主要和次要因素，最終再對風險后果進行定性評估。楊勇等人指出，質量風險識別主要是指使用某些方法和原理來分析項目中與風險相關的要素，并通過對質量風險源和潛在風險因素進行分析、判斷和規(guī)劃。做出對風險性質分類和確定這項過程實際上是找出導致項目質量風險的相關因素，并定性分析項目質量風險所有可能造成的后果。為了確定使用過程中的質量風險，必須考慮項目中涉及的所有產(chǎn)品，所有鏈接及其服務過程，并且必須考慮到施工機械和設備可能帶來的危害。一般而言，應注意人員，機器，材料，方法、測試和處置等七個方面。于光緒研究建設單位合同管理風險的有關內容時，得出結論，建設合同主要有兩種風險。第一種風險產(chǎn)生的原因主要是合同，第二種風險產(chǎn)生的原因主要是合同條款中存在的陷阱。如果合同總價是固定的，則可能導致支付項目付款，合同變更等風險。如果在項目實施過程中出現(xiàn)項目變更問題，承包商會提出合理的建議，例如涉及施工的項目變更、材料和設備的更換等，這些建議在專業(yè)工程師的同意下可進行調整；如果在未經(jīng)工程師同意的情況下進行更改，即使是合理的建議，承包商也應賠償相應的損失，并且相應的工期不能延長。陳慧超指出，在研究建設項目合同的風險控制時，存在合同風險。項目合同的訂立，合同履行，合同變更，合同轉讓，合同終止的全過程在合同履行的整個階段體現(xiàn)。白宗發(fā)在研究建設項目質量風險時指出，影響建設項目質量風險的因素主要包括合同、人員、管理、機械、方法和環(huán)境六個方面。實際上，它們可以概括為五個方面，即建設項目管理領域中經(jīng)常涉及的人員、材料、方法、機械和環(huán)境這五個方面。在調查項目質量風險時，黃成等人提到建設項目的質量風險一般是由多種原因引起的。盡管項目的性質不同且發(fā)生的事故類型也不同，但他們已經(jīng)分析并調查了發(fā)生的工程質量事故。結合系統(tǒng)工程的有關原理，專家調查其系統(tǒng)方法，最終確定工程質量風險的構成主要是人（Man）、材料（材料）、方法（方法）、機械（機器）、環(huán)境（nvironmen），稱為4MIE因素，這5個因素。如果項目中發(fā)生質量風險，則主要是因為這些方面的控制和管理不到位。因此為了保證建設項目的最終質量，需要對以上方面總結的相關要素進行充分的管理，接下來就可以安全合理地繼續(xù)項目建設。1.2.3文獻述評對比國外，我國的綜合風險管理和內部控制仍有著較大的差距，尤其是在理論研究方面。我國的研究基本上是基于國外的理論框架。這是由于我國的內部控制。理論研究晚于國外，存在固有的缺陷。從另一個角度看，由于大多數(shù)中國企業(yè)依舊不重視內部控制，且缺乏風險管理意識，致使研究動機不夠。中國學者對于綜合風險管理方面研究不足。即使他們進行了一些研究，他們也沒有注意全面風險管理對改善績效的重大影響。1.3研究方法本文主要運用文獻研究法和案例分析法等研究方法。首先運用文獻研究法對內部控制制度發(fā)展、內部控制構建、全面風險管理和戰(zhàn)略目標實現(xiàn)的文獻研究進行梳理分析，為本文研究提供理論支撐。其次，采用案例分析法將內部控制理論與公司實際情況結合，挖掘目前企業(yè)在內部控制上存在的問題；最后，融合內部控制、風險管理和企業(yè)戰(zhàn)略目標等幾項要素，結合鐵路X局公司現(xiàn)有內部控制存在的問題，提出內部控制優(yōu)化的方法論和優(yōu)化措施。（1）文獻研究法。通過圖書館以及知網(wǎng)、萬方等數(shù)據(jù)庫查閱和歸納前人關于企業(yè)內部控制、風險管理和企業(yè)戰(zhàn)略目標實現(xiàn)的理論研究，形成本問的理論基礎，為本文優(yōu)化內部控制提供強有力的理論支持。（2）案例研究法。本文主要以鐵路X局公司的數(shù)據(jù)和資料為基礎，分析鐵路X局公司的內部控制，將內部控制理論和實踐相結合，發(fā)掘鐵路X局公司內部控制存在的問題，將內控控制與全面風險管理和企業(yè)戰(zhàn)略目標實現(xiàn)相融合，提出內部控制優(yōu)化方法論及優(yōu)化建議。

2概念界定與相關理論2.1相關概念界定2.1.1風險風險一詞起源于西方。早在19世紀，西方學者就提出了“風險”這個名詞，并詳細闡明了其含義。學者認為，企業(yè)在經(jīng)營過程中會伴隨風險，獲取企業(yè)的經(jīng)濟利益是根本，換句話說，就是在經(jīng)營期間承擔相應風險后所獲得的報酬。隨著社會經(jīng)濟的發(fā)展，風險越來越受到企業(yè)的重視。企業(yè)管理者還意識到，風險可能導致許多不可預測的后果。風險具有三個基本特征：客觀性、確定性和及時性。首先，企業(yè)的經(jīng)營包括從材料采購到檢查收入的各個方面。從制造到業(yè)務銷售，從資本投資到資本回收，每個過程都伴隨著風險，這些風險客觀地存在于企業(yè)的整個發(fā)展過程中。其次，所謂的風險不確定性很大，它可能在將來的某個時刻發(fā)生，也可能不會發(fā)生，并且可能帶來正面或負面的影響，這表明該風險是不確定的。最后，風險從產(chǎn)生到爆發(fā)通常經(jīng)歷長時間的積累，這反映了風險與時間之間的強烈關聯(lián)。當風險第一次出現(xiàn)時，業(yè)務經(jīng)理通常很難發(fā)現(xiàn)。但是，隨著時間的流逝，風險的后果將難以估計。風險可進一步分為純風險和機會風險。純風險是指僅在發(fā)生風險時才造成損失的風險，而機會風險是指同時可能產(chǎn)生收益和利潤流入的風險。2004年全面風險管理框架著眼于風險的負面方面，強調風險可能在未知的情況下產(chǎn)生負面影響?？紤]到風險會從兩個方面（“正向”和“負向”）影響結果的實現(xiàn)，因此對2017年框架進行了重新定義，本文采用了2017年版框架的風險定義。2.1.2全面風險管理傳統(tǒng)的風險管理通常體現(xiàn)在發(fā)現(xiàn)影響企業(yè)正常運營的潛在因素并進行管理。最終目標是為了在合理的情況下保證企業(yè)實現(xiàn)預期目標。全面風險管理的最大作用是形成風險管理文化，將這種文化整合到業(yè)務運營的各個方面，并圍繞公司既定的戰(zhàn)略目標構建全面的風險管理系統(tǒng)。全面風險管理與傳統(tǒng)風險管理之間有四個重要區(qū)別：首先，就范圍而言，傳統(tǒng)風險管理主要由內部審計等部門實施，并且通常在發(fā)現(xiàn)特定風險后對其進行管理。全面的風險管理是所有員工的參與。從普通員工到高級領導，每個人都對自己工作中可能的風險負有責任。它是從總體角度管理所有風險：第二點是從連續(xù)性的角度。換句話說，傳統(tǒng)的風險管理通常在企業(yè)高管認為必要時執(zhí)行。全面的風險管理是企業(yè)的日?；顒又?，是企業(yè)的長期行為。第三，從目標的角度來看，傳統(tǒng)風險管理的目的是為了轉移或避免風險，這與公司的發(fā)展戰(zhàn)略幾乎無關。值得關注的是全面的風險管理卻貫穿企業(yè)戰(zhàn)略，旨在改善風險。第四，從方法論的角度來看，傳統(tǒng)的公司風險管理大多是事后控制，而整體風險管理則涉及事前預防，過程中響應以及事后評估以進行風險管理。在2004年的框架中，COSO委員會認為，全面的風險管理是一個動態(tài)的管理過程，涉及企業(yè)的所有員工。很快它被應用到企業(yè)的發(fā)展戰(zhàn)略中，為了實現(xiàn)企業(yè)更好的發(fā)展。該框架的新版本將全面的風險管理定義為“一種文化，能力和實踐，結合了企業(yè)戰(zhàn)略創(chuàng)造，實現(xiàn)和保留價值的過程中管理風險”。與以前的定義相比，新框架更加重視風險管理，創(chuàng)造價值的功能不再是一個簡單的過程。本文使用定義的新版本來優(yōu)化案例公司。2.2理論基礎2.2.1內部控制內部控制理論和全面的風險管理理論有著緊密的關系。在企業(yè)內部控制中，董事會是關鍵的控制主體，董事會下屬的員工本身就是自我控制的主體，也是受控對象。本質上，內部控制強調內部責任的約束和企業(yè)內部的制衡，并且每個業(yè)務實體相互監(jiān)督以達到降低風險概率的效果。此外，內部控制強調分工的合理性，即不兼容職責的分離，并且每個人都要履行職責以提高每個流程的專業(yè)化程度。內部控制結構理論由三個環(huán)節(jié)組成，即程序控制、環(huán)境控制和會計核算。這三個環(huán)節(jié)是相互聯(lián)系和互補的，它們都是必不可少的。應用該理論后，學者發(fā)現(xiàn)企業(yè)在應用內部控制過程中，首先需要做的是評估風險。只有對企業(yè)各個方面的風險進行系統(tǒng)和全面的評估，才能有效地進行后續(xù)控制活動。控制系統(tǒng)通過信息通信動態(tài)調整每個鏈路的控制活動，糾正時間偏差，并不斷提高控制效果。因此，內部控制理論與風險管理理論是不能分開而論的。2.2.2信息系統(tǒng)論企業(yè)的系統(tǒng)是由相互聯(lián)系，相互制約，平衡的各種因素組成的有機體。該系統(tǒng)通過接收信息，匯總信息，處理信息和傳輸信息的過程來幫助企業(yè)實現(xiàn)其預期目標。有效實現(xiàn)預期目標與信息系統(tǒng)的效率密不可分。該理論認為，為信息輸入，處理和輸出的三個鏈接構建一個完整的平臺可以極大地提高信息系統(tǒng)的質量和效率。2014年版全面風險管理將內部控制分為三個維度，即目標維度、要素維度和組織維度。這三個方面相輔相成，形成了內部控制系統(tǒng)，并為公司戰(zhàn)略的實現(xiàn)保駕護航。2.2.3委托代理理論在1930年代，美國學者Burley和Mins提出了委托代理理論，該理論是基于兩種權利的分離而誕生的，即所有權和管理權的分離。該理論認為，管理權的轉移可以使企業(yè)取得更好的發(fā)展，并強調在不確定的環(huán)境下，企業(yè)的發(fā)展將面臨更多的挑戰(zhàn)，需要更多的專業(yè)人才來承擔企業(yè)的某些職能。企業(yè)發(fā)展得越快，規(guī)模就越大。而股東即企業(yè)的所有者，在精力和能力上可能無法跟上企業(yè)發(fā)展的速度。此時委托專業(yè)人員管理是提高企業(yè)發(fā)展效率的有效手段。代理可能帶來的問題是道德風險和逆向選擇。為了降低代理成本，可以通過形成有效的內部控制系統(tǒng)來實現(xiàn)，并在行為和權力之間進行檢查和平衡，以保持代理的有效工作狀態(tài)。全面風險管理的理念與委托代理的理念非常相似。委托代理理論實際上是分擔所有者的壓力，轉移權力并將公司劃分為幾個模塊以維持高效率的運營，而全面風險管理的思想是降低風險的集中度，分散性或風險轉移，將企業(yè)各部分的風險降低到可以接受的水平，以確保企業(yè)的穩(wěn)定發(fā)展。3鐵路建設項目特點鐵路建設項目的建設過程涉及橋梁，隧道和路基等多個專業(yè)。在鐵路項目的建設過程中，大型機械設備，不同類型的工作人員以及輔助項目需要與安裝項目配合，因此鐵路建設項目的組成非常復雜。根據(jù)鐵路建設項目質量風險研究，鐵路建設項目的特點主要包括以下幾個方面：（1）鐵路建設項目投資大由于鐵路建設項目涉及橋梁，隧道，路基和附屬工程等多個專業(yè)，因此在投資時必須考慮涉及不同方案和設備的不同專業(yè)。同時，還需要交叉操作。因此，鐵路建設項目一般投資較大。（2）較高的工程技術要求和先進的設備鐵路建設項目涉及路基，橋梁，隧道，附屬工程，給排水等多個專業(yè)，涉及一系列工程專業(yè)，需要不同運營商的配合才能順利實施。隨著施工技術的不斷提高和施工工藝的不斷優(yōu)化，各方對鐵路建設項目質量的要求越來越高，這將進一步增加對新技術和新設備的要求。（3）鐵路建設項目環(huán)境復雜鐵路建設項目包括許多子項目，需要多角度選擇施工方法和工程機械。這些需要考慮諸如地形，地形，施工技術和鐵路建設項目的其他方面等因素。如果遇到特殊的施工條件，例如山區(qū)、隧道等，這些組織是否井井有條，將影響施工的效果和質量。（4）鐵路建設中涉及質量安全的風險鐵路建設項目的建設涉及許多質量和安全風險因素。近年來，我國直接增加了對鐵路建設項目的投資，并不斷擴大鐵路建設的經(jīng)營里程，同理在不斷擴大的過程中要求標準也在不斷提高。例如，建筑設備的改進和建筑材料的質量涉及風險因素。（5）鐵路建設項目涉及的施工設備很多，管理較為復雜鐵路建設項目包括許多專業(yè)項目，需要大量的建筑設備和材料。材料和設備的采購應與建設項目時間表相匹配。如果提前購買，項目本身將被提前占用，倉儲成本也會增加。如果延遲采購會延遲項目的建設時間，那么這時也會影響項目的成本。因此，鐵路建設項目的管理總體上比較復雜。（6）鐵路建設項目涉及很多變化鐵路建設項目的建設比較復雜，實施過程會遇到很多不同的情況變化。這主要是由于鐵路建設項目涉及技術，業(yè)務，勘察和設計等方面，并且該項目以帶狀分布，涉及多個投標段。參與單元很多情況下，不可避免地會出現(xiàn)諸如單元之間連接不暢等問題，從而導致不時發(fā)生變化。（7）鐵路建設項目的竣工驗收較為復雜有恨到參與單位需要接受鐵路建設項目的竣工驗收，那么驗收程序就會比較復雜，需要各個部門和管理人員之間合作完成。但是，仍有一些問題仍然難以區(qū)分，鐵路建設項目的竣工驗收需要大量的文件備案，技術總結，不可避免地存在驗收過程中的問題。4鐵路建設項目質量ISO9000中將質量定義為：一組固有特性滿足要求的程度。同時，從四個方面定義質量的含義表明，質量不僅意味著產(chǎn)品質量，而且還意味著工作質量，同時考慮到應全面分析質量以表示和暗示工程質量，并從動態(tài)角度定義質量?；谏鲜鲎罨镜馁|量概念，考慮到鐵路建設項目的特征，可以將鐵路建設項目的質量定義為滿足鐵路建設項目固有特征的程度。詳細來講，它是指鐵路建設項目的質量能夠滿足業(yè)主（如國家鐵路公司）的需求，并符合國家有關法律法規(guī)以及相應的鐵路建設標準，設計文件和規(guī)范的綜合特征以及系列合同要求。鐵建筑項目作為一種建筑產(chǎn)品，除了需要具有一般建筑產(chǎn)品的質量和特定性能，如使用壽命、產(chǎn)品可靠性等。同時，它應滿足社會需求的使用價值，并應具有自己的特有屬性等。鐵路建設項目質量還具備自身的特點：（1）影響鐵路建設項目質量的因素很多。影響鐵路建設項目質量的因素主要包括決策因素，設計因素，建筑材料，工程機械，施工環(huán)境，施工計劃，具體施工技術，操作規(guī)程和具體施工技術措施，管理規(guī)定和規(guī)程，施工人員的素質等等，都是在考察的范圍內。（2）鐵路建設工程質量不易控制。鐵路建設項目主要特點是在施工過程中以外部作業(yè)為主，鐵路建設受天氣，地質和其他條件的影響。另外，鐵路建設本身具有復雜的建設特點和施工工藝，很可能導致鐵路建設項目質量下降，該問題通常會造成鐵路建設項目的質量難以控制的情況。（3）鐵路建設項目質量是系統(tǒng)的。鐵路建設項目的質量涉及許多系統(tǒng)性的影響因素，關系到很多個環(huán)節(jié)，任何環(huán)節(jié)的質量問題都會影響鐵路建設項目的質量。（4）判斷鐵路建設項目的質量并不容易。在確定鐵路建設項目的質量時，容易出現(xiàn)識別不清的問題，不合格的產(chǎn)品很容易被識別為合格的產(chǎn)品。主要原因是在施工過程中，施工過程較為復雜，每個施工過程涉及多個過程的轉移，許多隱蔽工程將掩蓋以前的施工成果。如果無法及時檢查這些施工過程，則將它們誤認為是隱藏項目合格，這將直接導致工程質量問題（5）鐵路建設項目在驗收期間不得拆卸。與一般建設項目相比，鐵路建設項目建設難度更大，建設問題更加復雜，鐵路建設項目的質量控制和驗收也更加困難。鐵路建設項目的設計基于相關的國家標準，大多數(shù)參數(shù)是經(jīng)驗估計或理想值。但是，在施工方面，施工條件復雜多變，干擾因素的增加使項目的理想值和實際值有所不同。差異最終將導致鐵路建設項目的實際運營與項目測試階段的狀態(tài)不一致，從而導致項目質量出現(xiàn)問題。為了保證鐵路建設質量，必須做好設計監(jiān)督等工作，加強施工過程中的檢測和計量，以動態(tài)標準控制施工質量。為了確保鐵路建設項目的組織和實施質量，采取了一系列活動，例如項目質量管理計劃，組織計劃實施等，通過管理來實現(xiàn)項目的預期特征，在質量管理過程中，必須確定質量目標和質量方針，并確定項目成本目標和利潤目標等，以提高鐵路建設項目的質量。5鐵路建設項目質量風險風險通常定義為損失的不確定性。鐵路建設項目的施工質量風險主要是指建設項目從始至終的全過程中存在的風險。如某些事件或活動的發(fā)生可能會對鐵路建設項目的質量產(chǎn)生一系列不利影響，這就是質量風險。建設項目規(guī)模大，路線長，項目投資大。項目實施過程中就不可避免的存在多樣的風險，并且這些風險之間潛在在更多更復雜的無法想象的關系。鐵路建設項目的質量風險主要具有以下相關特征：（1）鐵路建設項目質量風險的普遍性和客觀性鐵路建設項目的實施始終存在質量風險。無法完全防止發(fā)生質量風險，但是可以通過某些管理方法和方式來轉移，削弱或避免質量風險。風險可能存在于項目建設的每個階段，這些質量風險不符合管理者或施工人員的意愿，并且存在于主觀意識之外。（2）鐵路建設項目的質量風險是多種多樣的鐵路建設項目規(guī)模較大，建設周期相對較長，因此，建設過程涉及的范圍比較廣，存在多種風險因素，風險種類很多，使得鐵路建設項目的整體質量參差不齊。（3）鐵路建設項目的質量風險是偶然的和可預測的鐵路建設項目中質量風險的發(fā)生符合隨機現(xiàn)象規(guī)律，這主要是基于建設項目實施中多種因素的共同作用。通過對鐵路建設項目質量風險的觀察和記錄，可以發(fā)現(xiàn)質量風險在一定程度上是有規(guī)律的，因此，內部控制人員可以通過概率論等科學方法來分析風險發(fā)展的特征，從而可以在一定程度上合理地控制風險。（4）鐵路建設項目質量風險的變異性隨著項目的不斷進行，鐵路建設項目的質量風險，風險因素也在交替變化，危險事件也在不斷變化。這在項目的建設階段很明顯。（5）鐵路建設項目質量風險的聯(lián)系在鐵路建設項目實施過程中，每個階段都有風險因素，這些風險因素最終會誘發(fā)風險事件。每個階段的風險都會對整個項目產(chǎn)生影響。這些風險之間的關系并非簡單地疊加在一起，而是對項目多重影響，最終造成項目的失敗。3A鐵路項目公司內部控制現(xiàn)狀和存在的問題3.1A鐵路項目公司概況3.1.1項目背景該項目起于Y市A縣，終于Y市B區(qū)，正線全長22.31km。主要工程內容為：正線路基16.73km、站場1座（2.9km）)，其中水泥攪拌樁234萬米，水泥土擠密樁134萬米，螺桿樁13萬米，填方328萬方，挖方14萬方；橋梁11座，涵洞54座，框構橋6座。項目總工期55個月，合同造價23億元。3.1.2效益情況截止監(jiān)督日，項目預計存在較大虧損風險，為增加收入減少虧損項目努力爭取變更創(chuàng)效，根據(jù)實際情況并借鑒其他鐵路項目已進行合同費用梳理立項八大項31小項共計金額1.8億元。1.2016年5月份期間由于運風橋墩身墊石鋼筋質量問題導致整個標段停工達2個月之久，其中2個已施工完橋墩直接返工整改，標段全線停工整頓，造成全標段停工、窩工;此事件因質量原因以及對業(yè)主協(xié)調溝通不暢引起返工及停工事件造成成本增加**萬元，其中質量事故損失**萬元，勞務窩工**萬元。2.因國家政策導致不可預測成本增加，國家環(huán)水保檢查導致地材供不應求，造成地材大幅漲價、漿砌片石原材料漲價以及勞務停窩工索賠增加項目成本**萬元，其中地材調價**萬元，漿砌調價**萬元，勞務停窩工索賠**萬元。3.施工的樁間土回填、樁間土挖除、截樁頭、喬木種植等增加成本**萬元。因現(xiàn)場管理協(xié)調導致整便道、修建馬道等增加合同外B組料**m3，增加成本**萬元，現(xiàn)正對此部分進行司法程序。4.項目道砟大養(yǎng)、補砟等施工內容為業(yè)主指定分包給中鐵四局(鋪架標)增加了較大成本，原策劃中道砟成本**萬元，實際施工中道砟成本為**萬元，增加成本**萬元。5.施工過程中由于其他原因造成了較多質量返工如碎石墊層返工、結構物返工等造成**萬元，后續(xù)橋涵裂縫整改、軌道開通整改等**萬元。6.因管理原因及國家環(huán)水保檢查導致項目橋涵、路基AB料填筑施工工期較策劃延長增加項目管理費用(策劃工期40個月，至2018年12月)，實際工期增加導致管理成本增加**萬(至2020年3月共15個月間接費等)。3.2A鐵路項目公司內部控制現(xiàn)狀A鐵路項目公司風險管理和內部控制的總體目標是：在公司風險管理和內部控制的總體安排下，建立和優(yōu)化風險管理和內部控制，規(guī)范管理程序和方法，建立全面的風險管理和內部控制。內部控制組織的“六個系統(tǒng)”，例如功能系統(tǒng)，機構系統(tǒng)，風險評估和管理系統(tǒng)，信息和監(jiān)視系統(tǒng)，培訓和文化系統(tǒng)以及監(jiān)督和改進系統(tǒng)，有效地防止了“五種類型的風險”，例如戰(zhàn)略，財務，市場，運作和法律，提高員工的風險防范意識，樹立全面的風險和內部控制管理文化，為鐵路建設行業(yè)的健康快速發(fā)展做出應有的貢獻。A鐵路項目公司的內部控制系統(tǒng)包括全部22個一級流程，內部控制評價范圍的過程內容均包括總部，分支機構，子公司和控股公司（以下簡稱單位），分別為22個一級過程，分別是組織結構，發(fā)展戰(zhàn)略，社會責任，企業(yè)文化，研發(fā)，擔保業(yè)務，綜合預算，信息溝通與傳遞，內部控制與風險管理，監(jiān)督與審計，爭議與訴訟管理，業(yè)務外包管理，“三大”決策管理，合同管理，人事資源管理，財務管理，資本管理，資本權益，項目管理，資產(chǎn)管理，采購業(yè)務，銷售業(yè)務，生產(chǎn)管理，技術改造維護管理，信息系統(tǒng)，審計整改。3.2.1內部環(huán)境A鐵路項目公司的內部環(huán)境包含組織基調，具體內容包括：組織結構，內部審計，人力資源，風險管理，信息建設，企業(yè)文化和社會責任等。內部環(huán)境結構決定了風險管理內部控制建設的總體態(tài)度是風險管理和內部控制所有其他組成部分的基礎。組織結構。鐵路項目已按照《公司法》等文件的要求建立了公司治理結構，并設立了董事會，監(jiān)事會和股東大會的相應細則。為了確保公司組織結構的合理性，有效性和全面性，A鐵路項目公司內部環(huán)境的組織結構包括公司治理，組織結構的建立，組織結構中職責和權限的分配，組織內部的報告關系，溝通機制，維持合理的員工數(shù)量，評估公司的組織結構等。公司的組織結構圖如下（圖3-1）：

圖3-1A鐵路項目公司組織結構圖鐵路項目組織結構的內部控制重點包括兩個層級過程控制點：組織結構設置和規(guī)章制度的管理。所涵蓋的控制范圍包括公司治理框架，組織結構設置，組織結構中權力和職責的分配以及組織的內部報告機制。各部門之間協(xié)調運作，組織人員管理和結構評估，系統(tǒng)計劃，系統(tǒng)準備，系統(tǒng)及時性審查。（2）人力資源管理為了確保公司的可持續(xù)發(fā)展，制定了有效的人力資源政策，主要包括人力資源規(guī)劃和計劃，員工招聘，培訓，薪資，離職，保密承諾和人力資源。資源監(jiān)督資源策略的實施和違規(guī)行為的處理。A鐵路項目公司人力資源管理涵蓋的另一項內部控制點是人力資源需求計劃，員工招聘，員工培訓，績效考核，薪資和福利管理，關鍵崗位輪換，員工辭職和解雇以及對實施的監(jiān)督人力資源政策和違規(guī)處理機制。從員工年齡分布來看，A鐵路項目公司員工年齡構成主要分為4個區(qū)域，分別為30歲以下，30至40歲，41至50歲以及年齡在51歲以上。在296名員工中，有209名年齡在30歲以下的員工，平均年齡30歲。由此可見，員工平均年齡普遍年輕，可能導致的結果是業(yè)務能力和工作經(jīng)驗優(yōu)勢并不明顯。3.2.2風險評估2016年10月，A鐵路項目公司發(fā)布了《關于做好2017年風險評估和報告編制工作的通知》。下達系統(tǒng)任務后，下屬單位就明確了分工和時間節(jié)點的劃分，開展了基層單位的全面風險評估工作和內部控制。程序匯編，內部控制手冊的修訂和發(fā)行，內部控制管理信息系統(tǒng)的發(fā)布和評估。按照風險評估，風險損失事件案例收集和風險管理報告準備三個步驟，制定節(jié)點計劃目標，按需完成年度風險評估任務，進一步提高了風險的標準化和信息化水平。內部控制管理和風險內部控制系統(tǒng)得到進一步完善。公司總部及其子公司不僅按照公司的要求，每年和每個季度進行內部控制評估，而且逐步推進全面的風險內部控制管理體系，提高風險內部控制管理水平，對內部控制系統(tǒng)和綜合風險管理系統(tǒng)進行全面整合。3.2.3控制活動為了確保每項業(yè)務活動都具有必要且適當?shù)某绦蚧蛳到y(tǒng)來規(guī)范并持續(xù)有效和適當?shù)貙嵤?，A鐵路項目公司建立公司級的控制措施主要是基于組織結構，發(fā)展策略，內部審計，人力資源，企業(yè)文化和社會責任。在業(yè)務流程級別上，控制活動的建立，實施和有效性評估主要從以下三個方面進行：一個是建立流程系統(tǒng)框架，另一個是準備流程控制文件，第三是確定關鍵控件和常規(guī)控件。如《鐵路項目內部控制手冊》，《基層單位和部門的職責》，《內部會計控制規(guī)定》，《水電工程基礎設施統(tǒng)計編制和報告辦法（試行）》，《公司信息報告管理辦法（試用）”和其他系統(tǒng)，該文件提供了控制活動的相關準則和要求。3.2.4信息與溝通A.鐵路項目內部審計部門領導各級單位的內部控制團隊成員，對于各級單位和部門，詢問是否在實際工作中建立了信息提交和運行系統(tǒng)；在檢驗和測試期間，每個部門提交了多少份副本信息和信息提交記錄；按照抽樣原則進行抽樣，以獲取一些信息提交記錄文件。檢查以確認是否按照信息報告管理方法的要求將信息報告給辦公室，同時根據(jù)管理級別和信息范圍將信息報告給公司辦公室。信息方面，了解測試過程中提交的信息數(shù)量，使用的信息數(shù)量，季度得分和排名；遵循抽樣原則進行抽樣，從各個部門獲取大量信息，季度信息提交統(tǒng)計等記錄。檢查確認是否按照信息提交管理方法通知了各部門的信息提交狀態(tài)。3.2.5監(jiān)督與改進確保內部審計職能人員對公司內部控制的建立和執(zhí)行進行合理的監(jiān)督檢查和評估，提高監(jiān)督的有效性?，F(xiàn)有《內部控制手冊》、《公司風險管理和內部控制評估實施細則》等文件規(guī)定了有關實施事項。根據(jù)A鐵路公司內部控制評價工作的要求，A鐵路項目公司總部內部控制集中管理部門牽頭，各職能部門配合組織實施內部控制評價。例行評估是基于內部控制手冊和關鍵控制點的實時或定期評估（至少每季度一次）。要進行評估，需要在兩次常規(guī)內部控制評估所覆蓋的時間間隔內保持連續(xù)性。一年中的每個評估時間間隔應累計覆蓋整個年度，一年中的每個評估過程應累計覆蓋所有業(yè)務流程。內部控制評價主要以抽樣檢查為基礎，綜合運用個體訪談方法，專題討論和交叉測試分析性綜述，以充分收集內部控制是否有效的證據(jù)。按照某鐵路公司逐步推進集成風險內部控制信息平臺建設的要求，啟動了內部控制管理模塊系統(tǒng)，與集團下屬單位進行協(xié)調，編制和修改了內部控制程序，并完成了工作。對整個公司的內部控制評價，按要求完成了在線評價。3.2.6COSO2017全面風險管理框架概述2017版框架從“立方體”變?yōu)榱恕癉NA螺旋體”，具體形式如下圖2-1所示：圖2-1新版全面風險管理框架圖該框架在不同程度上補充了COSO內部控制框架的基本要素。表現(xiàn)在以下幾個方面：（1）豐富了控制環(huán)境要素新版本的全面風險管理框架反映了公司對帶有治理和文化元素的風險的態(tài)度。董事會對風險進行監(jiān)督是對前道防線的有力補充。管理治理公司通常有一套固定的標準，公司文化可以為標準的深入實施提供支持，公司的核心價值是公司的基礎，而核心價值是由公司決定的公司。與傳統(tǒng)的內部控制和控制環(huán)境相比，管理不僅注重管理方法和理念，而且注重企業(yè)文化和管理理念。（2）突出戰(zhàn)略和目標要素全面的風險管理豐富了公司的戰(zhàn)略目標，并提出了三個概念。首先，風險是好的，即公司喜歡風險還是討厭風險？其次，風險承受度，即公司可以接受的差異有多大；最后是風險承受能力。即企業(yè)在創(chuàng)造價值的過程中可以接受的風險的程度和數(shù)量。這些概念完全反映了風險控制與價值創(chuàng)造之間的聯(lián)系，但內部控制框架并未涉及這些內容。（3）詳細的風險管理要素COSO的內部控制框架僅指出如何預防風險。新框架關注潛在風險，完善了風險管理要素。就風險評估要素而言，必須謹慎，并使用相同的評估指標來衡量不同的風險，只有這樣，所得結果才具有參考意義。在風險響應要素方面，綜合風險管理認為，雖然每個組織的風險都在可接受的范圍內，但企業(yè)的整體風險加總起來仍可能超過該項目的風險承受能力，出現(xiàn)大于疊加效果的情況，管理層應注意這一點。（4）擴大了信息和交流的內容信息來自各個方面，如果按時間維度劃分，則可以分為歷史信息，當前信息和未來信息。歷史信息是客觀存在的，可以幫助公司進行分析；當前信息可以有效地驗證和補充歷史信息分析的結果：未來信息更多是未知的潛在問題，也是相關分析的完美補充。（5）加強風險管理績效考核要素全面風險管理框架的新版本具有假設前提。企業(yè)運營的目的是為所有者或利益相關者創(chuàng)造價值，在公司的持續(xù)運營中，總會有各種不確定的風險阻礙目標的實現(xiàn)。風險管理的作用是減少這些風險，那么加強風險管理績效考核要素從而改善企業(yè)的運營效率是非常有必要的，因此，績效評估使企業(yè)風險管理更加完善。

3.3A鐵路項目公司內部控制存在的問題3.3.1控制環(huán)境中存在的問題（1）A鐵路項目公司專業(yè)委員會設置不全從對A鐵路項目公司結構圖研究可以發(fā)現(xiàn)，其對戰(zhàn)略發(fā)展的制定沒有給予足夠的重視。這體現(xiàn)在兩個方面：一是董事會下設三個委員會，而這些委員會均未參與戰(zhàn)略制定和風險管理。換句話說，缺乏風險管理委員會和戰(zhàn)略委員會，組織結構中存在嚴重的設計問題。其次，將討論審計委員會是否發(fā)揮作用。審核委員會的職責是評估和報告內部控制建設和實施的有效性。如此重要的內部控制設計缺陷未在其報告中反映出來，這可能是由于其疏忽大意或公司本身未對此給予足夠的重視。（2）“三道防線”不完整，職責分工不明確。所謂的三道防線是指自下而上的三個風險管理層次。第一防線由各個職能部門和業(yè)務部門組成。第二防線由董事會下的審計委員會和內部審計部門組成，第三防線由股東大會和董事會組成。A鐵路項目公司的問題主要出現(xiàn)在前兩道防線上，職責分工不明確，審計監(jiān)督不清晰。A鐵路項目公司的內部控制手冊非常簡單，沒有太多涉及，并且沒有具體劃分每個職位的相應職責。造成的結果是財務部門將資金的采購引向生產(chǎn)和銷售。盡管沒有問題，但是此方法本身存在很大的風險。（3）人力資源政策問題。內部控制的實施離不開員工的參與，高效的內部控制系統(tǒng)，甚至是全面的風險管理系統(tǒng)，都需要每個員工的理解與參與。鐵路項目A是建筑業(yè)。一線工人水平不高。他們大多數(shù)都處于初中和高中階段。大多數(shù)中高級程度是本科生和大專，偏遠的地理位置和薪資問題也使得難以吸引高素質的人才。人力資源分配與公司戰(zhàn)略發(fā)展的需求脫節(jié)，高素質的員工可以快速勝任職位并創(chuàng)造價值，他們還可以快速適應公司轉型并了解公司戰(zhàn)略的本質。低學歷員工學習能力不強，可能會影響公司戰(zhàn)略的有效實施。（4）信息系統(tǒng)管理問題。A項目作為一級單位，鐵路項目有許多全資子公司，但缺乏類似于信息領導小組的職能部門進行集中管理，缺乏信息收集和傳輸?shù)穆氊煼止?。在大多?shù)情況下，每個子公司的財務人員都會定期向母公司報告，財務部門擁有很多權限。導致的不良結果是運營中的風險級別完全取決于財務人員的素質。此外，缺乏信息收集部門意味著對子公司缺乏有效控制，這不僅不利于管理，而且不利于管理層做出戰(zhàn)略決策。3.3.2戰(zhàn)略與目標制定中的問題（1）風險管理跟不上發(fā)展戰(zhàn)略。近年來，鐵路項目一直處于快速發(fā)展階段，快速發(fā)展的公司不可避免地會在戰(zhàn)略制定上搖擺不定，對于家族企業(yè)尤其如此。鐵路項目沒有專門的專業(yè)風險管理部門，無法對管理策略進行后續(xù)風險分析，每個職能部門僅關注自身可能的風險。例如，財務部門專注于資本周期，沒有一個部門對公司的戰(zhàn)略給予過多關注，從而導致公司的發(fā)展戰(zhàn)略與風險管理之間的聯(lián)系很少，從而影響了戰(zhàn)略制定的質量。（2）盲目擴張，過于倉促。A鐵路項目公司希望建立一個完整的產(chǎn)業(yè)鏈商業(yè)模式。它不僅收購了許多上游原材料資源公司，而且還建造了大型工廠，從而導致資本運作緩慢。盡管尚未發(fā)生財務崩潰，但過高的財務壓力嚴重影響了A鐵路項目公司的整體運營。因此，沒有針對被收購公司進行公司整合的有效計劃，收購僅僅是第一步，值得思考的是如何打造被收購的公司在最短的時間內實現(xiàn)預期的運營成果，在這一點上，A鐵路項目公司并沒有努力。生產(chǎn)投入和產(chǎn)出過剩，還購買了大量生產(chǎn)設備，導致資產(chǎn)利用率低，投資決策和目標不合理。3.3.3風險管理中的問題（1）沒有樹立風險大局觀如上所述，由于缺乏風險管理委員會和風險管理職能部門，公司的風險管理猶如一盤散沙，存在管理混亂的現(xiàn)象。每個部門只關心自己的風險狀態(tài)，這嚴重影響了公司風險。在管理效率上，同時沒有統(tǒng)一的風險管理和評估機制，各部門對風險的態(tài)度也大相徑庭，嚴重影響了企業(yè)的績效評估。（2）風險信息收集缺乏連續(xù)性和動態(tài)性風險的收集和分類是風險識別和風險響應的前提。它們的質量直接影響風險管理的后續(xù)程序是否可以有效執(zhí)行。盡管在A鐵路項目公司中沒有專門的職能部門來執(zhí)行此工作，但管理層每年都會開會，讓財務部門負責固定時間收集所有部門的風險事件。社會形態(tài)不斷發(fā)生著變化，企業(yè)的內部和外部環(huán)境處于不斷變化的狀態(tài)。在這種背景下，風險因素的變化也是動態(tài)的，因此風險因素的收集和分類必須是動態(tài)且不間斷的過程，在單個時間點的風險事件對于企業(yè)而言可能影響極大。（3）風險反應過于主觀最有效的風險應對計劃是由專業(yè)部門通過一系列評估并結合企業(yè)當前的內部和外部環(huán)境制定的。鐵路項目沒有專門的部門，風險應對措施主要由管理會議制定。盡管某些程序取得了良好的效果，但此類程序并未使用科學方法，他們中的大多數(shù)缺乏數(shù)據(jù)支持并且過于主觀，沒有實際價值。3.3.4控制活動中的問題（1）授權批準制度未得到有效實施鐵路項目規(guī)章制度確實有相應的授權批準規(guī)定，但實際執(zhí)行情況并不令人滿意，未經(jīng)授權，程序不規(guī)范和未經(jīng)審計的現(xiàn)象并不罕見。批準系統(tǒng)沒有特定的流程設計職責，功能不明確，它主要基于經(jīng)驗。例如，在確定原材料供應商的過程中，根本沒有招標程序，資格審查是非常隨機的，并且大多數(shù)都被上級“推薦”。當談到原材料供應的質量時，這種操作過程本身就有很大的風險。會計控制系統(tǒng)存在缺陷。當我查看會計賬簿時，發(fā)現(xiàn)一些交易憑證數(shù)量很大，但是背面所附的原始憑證僅由上級批準，缺乏相應的原始憑證甚至個人賬戶。它與附件完全不一致，大量資金進出，資金使用不符合程序。固定資產(chǎn)管理也存在問題，在固定資產(chǎn)清單中，發(fā)現(xiàn)實際賬目與一些報廢的生產(chǎn)設備沒有實物之間存在嚴重差異，但賬目仍未處理。（2）職責分工不明確，不兼容的職責沒有分開如上所述，A鐵路項目公司的工作職責描述不詳細，并且一些員工有多項工作，沒有兼顧到不相容崗位。盡管這樣可以節(jié)省人工成本，但增加風險卻不值得。3.3.5監(jiān)控活動中的問題嚴格意義來來講，A鐵路項目公司并沒有內部監(jiān)督部門，審計委員會在需要時進行的監(jiān)督活動流于形式，無法起到關鍵作用，由于是家族企業(yè)式管理，管理層對內部監(jiān)控活動的意識比較淡薄，在審計中發(fā)現(xiàn)，旗下的子公司同時與疑似關聯(lián)方進行交易，存在資金的外不循環(huán)、虛增收入等問題，影響A鐵路項目公司健康運營。不存在反舞弊機制，存在5年以上的大額個人借款無法收回，長期掛賬最終作為壞賬處理。3.3.6信息與溝通中的問題A鐵路項目公司各部門之間的聯(lián)系程度不高。每個部門只在乎自己的一英畝三分地。如果沒有完整有效的溝通機制，采購部門和銷售部門等各個部門之間的信息溝通就會滯后。與財務部門異步，在簽署銷售合同后，無法將其及時發(fā)送到財務部門進行會計處理。行政部門之間的信息傳遞效率低下，導致管理決策滯后，也為企業(yè)的后續(xù)運營帶來了不好的影響。一般來說，A鐵路項目公司的最大問題是缺乏健全的內部控制基調，即缺乏健全的內部環(huán)境，內部控制的其他環(huán)節(jié)也受到不同程度的影響。3.4A鐵路項目公司內部控制問題產(chǎn)生的原因3.4.1鐵路總公司層面的原因第一，總部內部控制不健全，缺乏內部控制指導文件。關于財政部2013年發(fā)布的《關于行政機構內部控制的規(guī)范性文件》，鐵路公司沒有相應的內部控制實際操作指南。支付實現(xiàn)系統(tǒng)已轉換為權責發(fā)生制，新的行政事業(yè)單位會計制度在運作過程中存在問題。例如，沒有固定資產(chǎn)折舊方法的統(tǒng)一規(guī)定，這使財務人員的工作感到困難。另一方面，總部目前的內部控制規(guī)定主要集中在業(yè)務層面，例如“內部財務會計控制系統(tǒng)”，單位層面缺乏內部控制規(guī)定使得難以發(fā)揮整體有機性。第二，在調查對審計和內部控制的重視不足的過程中，我們發(fā)現(xiàn)鐵路公司行政機構的財務部門地位低下，權限有限。工作內容主要是賬戶管理，并且缺乏風險評估和風險應對意識。其次，鐵路公司行政機構的審計存在監(jiān)督程序不規(guī)范，審計問題更重形式化，審計信息利用率低，審計結果評價體系不足，問責制實施不力等問題。第三，軟硬件設施不足。由于資金問題，沒有合適的財務軟件。在財務部門的人員分配過程中，未根據(jù)需要分配人員。一些單位報告說，財務人員不足，存在違反不相溶崗位職責的風險。第四，強制性計劃的行政管理模式。近年來，我國鼓勵行政和公共機構提高其創(chuàng)收能力并與市場接軌。由于壟斷行業(yè)的特殊性，鐵路公司仍然屬于強制性計劃的行政管理。下級行政事業(yè)單位缺乏市場活力，缺乏維持單位正常運行管理的經(jīng)驗。例如，鐵道部黨校的外包業(yè)務因總部的臨時指示而中斷，影響了其教學業(yè)務的連續(xù)性。3.4.2A鐵路項目公司自身原因第一，單位的組織結構設置有缺陷。根據(jù)現(xiàn)代公司治理的理論，結合我國行政事業(yè)單位權力機構、監(jiān)督機構與執(zhí)行機構三權分立的目的，理想的組織結構如圖3-2所示。權力機構設在監(jiān)督機構之上，監(jiān)督機構與決策機構屬于平級，對決策機構以及執(zhí)行機構進行監(jiān)督，并能夠保證監(jiān)督機構的獨立性和客觀公正性。圖3-2A鐵路項目公司理想模型圖而在A鐵路總公司下設的單位的組織架構中，該公司沒有權力機構，監(jiān)督機構級別設置低于決策機構，與執(zhí)行機構在一個級別，所以無法實現(xiàn)對決策機構的監(jiān)督，內部控制環(huán)境有待改善。第二，單位領導對于財務部門的定位不足。領導普遍認為財務部門的工作內容只是執(zhí)行會計職能，履行會計一小塊職責等，而沒意識到財務部門的重要性，它應當參與本單位的決策和管理工作。第三，內部審計部門缺乏執(zhí)行力。未按照風險導向審計方式進行審計，也未做到事前預防，事中控制和事后監(jiān)督。例如在項目經(jīng)費上報后，并非每個單位都能做到事后監(jiān)督，使管理出現(xiàn)嚴重問題。

4A鐵路項目公司內部控制系統(tǒng)的優(yōu)化4.1優(yōu)化內部控制的必要性（1）財務報告內部控制存在局限性這種定向內部控制的最大問題是防御意識太強，控制范圍太窄，這種定位是從外部監(jiān)管者的角度來管理公司，這種觀點的問題是顯而易見的。大多數(shù)外部監(jiān)管者都不了解公司的真實情況。如果公司基于此來管理，則形成風險管理系統(tǒng)很難有效。就風險而言，傳統(tǒng)方法用于分散風險，其在復雜多變的環(huán)境中是難以立足。（2）傳統(tǒng)的面向綜合風險管理框架的內部控制存在局限性在當今的市場經(jīng)濟中，業(yè)務經(jīng)理增加公司價值的愿望越來越強，內部控制建設的要求不斷提高，不僅要滿足經(jīng)理的需求，還要滿足投資者的價值需求。傳統(tǒng)的綜合風險管理方法與企業(yè)要求的內部控制績效的匹配度并不理想，主要體現(xiàn)在三個方面：第一，財務目標與戰(zhàn)略目標之間存在摩擦時，內部控制影響財務目標；法律對合規(guī)目標的保護程度通常高于對后者的保護程度；其次，傳統(tǒng)框架的出發(fā)點是將公司風險降至最低，這在以前當然沒問題，但是隨著市場競爭的日趨激烈，這個出發(fā)點可能會錯失商機，而且存在過度內部控制的風險，嚴重影響公司決策的效率和有效性；第三，在傳統(tǒng)框架的指導下，風險通常會積累到一定程度并造成損失，然后才將其反映在財務報告數(shù)據(jù)中，這種滯后對企業(yè)來說是非常不利的。（3）A鐵路項目公司內部控制改造需求A鐵路項目公司處于國家審計階段。當前的內部控制狀態(tài)將不可避免地導致審計延遲。在這個關鍵時期，A鐵路項目公司需要重新檢查其內部控制狀況。在滿足外部需求的同時，重點應該放在創(chuàng)造企業(yè)價值和確保戰(zhàn)略目標的實現(xiàn)上。本文對優(yōu)化A鐵路項目公司進行合理嘗試。如果內部控制是從傳統(tǒng)角度設計的，則不可避免地會回到自閉癥的無限循環(huán)。本文以框架的新版本為視角，在不打破傳統(tǒng)內部控制基礎的情況下強調了風險和價值創(chuàng)造的重要性，這對于急需轉型的A鐵路項目公司更加有利。4.2優(yōu)化內部控制的可行性（1）日益完善的內部控制法規(guī)的支持我國的內部控制雖然起步較晚，但也為公司內部控制的建設帶來了很大益處。自1980年代以來，我國相繼頒布了20多個標準，其中最值得參考的是《企業(yè)內部控制基本規(guī)范》，相關制度和政策的完善為本文的優(yōu)化提供了保證。主要框架如圖4-1所示：圖4-1內部控制規(guī)范文件框架（2）內部控制可以提升企業(yè)價值A鐵路項目公司內部控制的總體目標是實現(xiàn)其價值最大化。公司可以通過多種方式來提高自身價值，例如，他們自己的利潤帶來增長。風險和機會與生活息息相關，也將帶來價值升值的機會。僅從風險的角度來看，作為融資和投資的評估指標，資本成本確實是評估風險的好方法，該指標會對其嚴重性產(chǎn)生積極影響，內部控制可以通過防止防線來降低資本成本。從增長的角度來看，公司發(fā)展前提是投資要保證可持續(xù)性。從盈利的角度出發(fā)，設計合理的控制活動對改善公司績效有很大幫助。（3）新的綜合風險管理框架可以有效地優(yōu)化內部控制新框架的優(yōu)勢已在前文進行了解釋。與傳統(tǒng)框架相比，新框架不僅繼承了原有的實質，而且擴展了每個元素的內涵。它從許多方面反映了風險與價值之間的關系。該框架得到有效補充，在風險與收益之間尋求平衡，從根本上改變了內部控制的自我封閉狀況，從根本上實現(xiàn)了價值管理的功能。4.3內部控制優(yōu)化的思路本文主要基于當前框架，并且不會隨意對其進行轉換，從A鐵路項目公司的問題開始，它改變了當前內部控制的局限性，因為傳統(tǒng)的內部控制系統(tǒng)存在許多問題，例如，重視財務報告并導致風險意識，缺乏針對企業(yè)的整體價值創(chuàng)造管理等，但是傳統(tǒng)框架已經(jīng)經(jīng)過時間的考驗，還有一些值得學習和保留的地方。內部控制的優(yōu)化不是重新設計，而是基于A鐵路項目公司本身內部控制的部分轉換。在保留原有要素的基礎上，結合新的綜合風險管理視角，對A鐵路項目公司的內部控制進行了優(yōu)化，目的是追溯內部控制的源頭，突出內部控制的實質。同時，秉承將風險管理與績效相結合的邏輯思想，新版綜合風險管理框架強調了戰(zhàn)略制定與績效執(zhí)行的整合，并完全融入了公司運營的全過程。本文將六個元素集成到三個子系統(tǒng)中，旨在將其設計為嚴格而動態(tài)的元素集。例如，在戰(zhàn)略制定中設置績效評估指標以實現(xiàn)更高水平的決策，有利于提高績效。

5A鐵路項目公司內部控制優(yōu)化具體措施5.1加強風險管控與內部控制的契合度5.1.1強化風險防控支持戰(zhàn)略落地這是設定目標。A鐵路項目公司需要根據(jù)事實制定戰(zhàn)略目標。按照重要性順序，要積極有序地發(fā)展投融資計劃，成本管理計劃，人力資源計劃、生產(chǎn)履約計劃和技術研發(fā)計劃。當前，目標本身的確定使管理人員特別是高級管理人員將內部控制的責任作為企業(yè)管理的核心手段。目標的設定應作為內部控制的前提，并在整個內部控制工作中使用。第二個是分解目標，即將整個目標分解為基層單位，部門和特定執(zhí)行者的縱向和橫向或按時間順序形成目標系統(tǒng)的過程。鐵路項目內部審計部門的人員應根據(jù)總體目標制定業(yè)務流程目錄，并可以為目標的構建和實施設定內部控制的界限。例如，A鐵路項目公司的投資和融資目標是，對募集資金的需求將擴大到每年數(shù)百億美元以上，然后，可以將總體財務融資目標分解為融資目標，投資目標，運營目標，收入分配表。第三是實現(xiàn)目標。在明確目標和責任之后，戰(zhàn)略目標的制定和全面?zhèn)鬟f需要與風險和控制相關（圖5-1）。首先是對各個級別的分解目標進行初步的風險評估和識別，分析其當前的控