中天恒3C框架基于风险管理的内部控制研究报告，历时十年之久，是在认真系统学习研究国内外内部控制、风险管理理论，总结国内外内部控制、风险管理实践经验的基础上，逐步形成的。现将研究背景、研究成果及其主要创新报告如下：

 

 

 

    一、研究背景

 

    内部控制孕育于人类管理活动的实践之中，是伴随着人类社会经济地不断发展及管理活动日趋复杂而不断发展和完善起来的。物换新移，世事更替，内部控制的号角已在全球吹响，我国内部控制大潮更是风起云涌，内部控制理论与实践发生巨大变革时代已经来临，积极投身内部控制建设大潮，推动内部控制理论研究的繁荣昌盛，是时代赋予的神圣而光荣的使命。

 

    内部控制是一项十分重要的工作，关系到主体战略目标的实现，关系到主体持续、健康、稳定的发展。这已经成为人们的共识。美国、英国、澳大利亚、新西兰等国家的民间团体或政府部门早就对内部控制或风险管理进行了系统研究，已经发布了内部控制框架和风险管理框架或标准，我国的理论界和实务界在内部控制及其风险管理方面也进行了积极的探索和实践，取得了初步成效，政府监管部门先后颁布了《中央企业全面风险管理指引》、《企业内部控制基本规范》及其配套指引等。

 

    中国企事业单位构建和实施内部控制，必然要借鉴世界发达国家的标准，但不能照抄照搬，要适合中国企事业单位的特点和实际情况，要有中国人自己的内部控制、风险管理标准。中天恒管理咨询公司和中天恒会计师事务所以构建中国企事业单位自己的内部控制与风险管理标准为己任，于2002年初组建了中天恒3C框架课题组，在大胆借鉴国际权威内部控制与风险管理框架或标准，认真学习汲取国际、国内有关内部控制与风险管理方面大量最新研究成果的基础上，依据我国政府监管部门颁布的内部控制与风险管理方面的有关文件精神，多方面总结我国企事业单位内部控制和风险管理建设实践的经验，历经4年深入研究和举办了几十次的高峰论坛，在2006年3月3日推出了“中国式全面控制框架”（简称“3C框架”）。“3C框架”一经推出，就引起了会计界、审计界、企业管理界以及新闻媒体的广泛关注，对推广全面控制的理念，对内部控制理论研究和内部控制建设起到了一定的推动作用。

 

    又经1年多的研究和实践，于2007年4月19日（农历三月初三）正式推出了“3C框架：中国式全面风险管理标准” （简称“3C全面风险管理标准”）。3C全面风险管理标准包括基本框架、实务标准、操作指南，基本涵盖了COSO全面风险管理框架和国务院国资委颁布的《中央企业全面风险管理指引》的所有内容。3C全面风险管理标准力求自主创新，除增加了实务标准、操作指南这些具有可操作性的内容之外，在基本框架方面也进行了一系列的创新，充分考虑了中国企事业单位的实际情况，在构建中国企事业单位自己的全面风险管理标准方面进行了有益探索。 3C全面风险管理标准推出后，在中国企事业单位得到了广泛推广，推动了中国企事业单位全面风险管理实践。

 

    2008年以来，以财政部等五部委联合发布《企业内部控制基本规范》及其配套指引为标志，开启了我国企业全面建设内部控制体系的新时期。基于外部监管的要求和内部自身提升管理水平的需要，中国企业建立健全内部控制，加强风险管理的热情高涨，大多数中央企业和上市公司已经根据国内外内部控制及风险管理规范要求，设计完成了内部控制和风险管理手册，仅中天恒管理咨询公司参与其设计就有上百家之多。这确实是难得的大好形势。然而，内部控制与风险管理作为现代企业管理的核心内容之一，更多是需要解决实际问题。内部控制与风险管理手册设计固然很重要，但不管其手册设计的多么好，不实用、不执行，就是花瓶，就是摆设，是中看不中用的东西，对提升管理水平确实是没有大多作用。正是基于这种认识，中天恒咨询的重点从研发内部控制与风险管理标准、设计内部控制与风险管理手册，向评审内部控制与风险管理，督导内部控制与风险管理的落地和执行转变。中天恒3C框架课题组历时2年之久的研究与实践，于2010年推出了“企业内部控制规范的超越与应用”、“风险管理实务操作应用”、“预算管理实务操作应用”等研究报告，为内部控制、风险管理、预算管理等真正的落地生根做出了不懈努力。

 

     要使内部控制与风险管理真正落地生根，开花结果，必然要走信息化之路。为此，中天恒专门成立了北京智远天恒信息技术有限公司，对内部控制与风险管理的信息化进行专业、系统地研究与开发，经过1年多的研究与开发，于 2011年推出了“3C框架：内部控制信息系统研究报告”，与2012年初推出了《3C内部控制评价软件》。该软件以《企业内部控制基本规范》及其配套指引为依据，以中天恒3C框架理论为指导，以清晰的设计、大容量的数据库和自动化的操作程序，为企业内部控制评价人员提供一套方便、实用的评价软件，以期大幅提高内部控制评价的质量与效率。3C内部控制评价系统的核心内容由四部分核心模块构成，即任务创建、评价作业、评价报告和缺陷追踪。其中，任务创建模块主要是解决内部控制评什么的问题，评价作业模块主要解决如何评价的问题；评价报告模块则主要解决如何起草内部控制评价报告；缺陷追踪模块则关注对于发现的内控缺陷如何进行分析、评价和整改。

 

     目前，内部控制实践已经发展到与风险管理、公司治理等相融合的新时代。这迫切需要从理论的高度进行总结、提炼，构建全新的、系统的内部控制理论结构(理论框架)，用来指导日益发展了的内部控制实践。内部控制理论是内部控制实践的基础，对指导内部控制实践具有重要的指导意义。然而，长期以来，内部控制被误认为仅仅是一种实用技术，或简单地把政府监管部门、行业协会发布的一些规范当成内部控制理论，本末倒置，致使内部控制理论研究远远滞后于内部控制实践，缺乏超前性、系统性、实用性，严重影响了内部控制科学理论对内部控制丰富实践指导作用的发挥，已经产生了越来越明显的“瓶颈”效应，内部控制理论缺失对内部控制实践的掣肘在很多方面已经显现出来了。一个最为突出的表现是，实践中，内部控制与风险管理已经融合，但国外的权威机构既发布了内部控制框架，又发布了风险管理框架，我国监管部门既制定了全面风险管理指引，要求加强全面风险管理，设立风险管理相关部门，又制定了内部控制规范及其配套指引，要求加强内部控制建设，设立内部控制部门，使得实践中人们难以适从。还有内部控制到底是什么，内部控制边界在哪里，内部控制与风险管理、治理结构等的关系到底是什么，内部控制到底控制什么，内部控制如何构建与实施，内部控制如何评价与审计，等等，一系列内部控制理论和实践的基本问题都需要做出科学、系统、全面地回答。为此，中天恒3C框架课题组总结10年来内部控制与风险管理研究与实践的成果，于2012年又推出了 “中天恒3C框架基于风险管理的内部控制研究报告”，在内部控制理论与实务领域进行了广泛的探索,对提升我国企事业单位内部控制水平、弥补内部控制理论不足、促进内部控制建设真正落地等都具有重大的理论和现实意义。         

 

 

 

    二、研究成果

 

    中天恒3C框架基于风险管理的内部控制研究报告以基于风险管理的内部控制为主题，主要研究成果包括3C基于风险管理的内部控制理论结构、3C基于风险管理的内部控制操作规程、3C基于风险管理的内部控制实务指南三部分，基本涵盖了内部控制理论与实务的主要内容。

 

    （一）3C基于风险管理的内部控制理论结构

 

    这个理论结构，采用了以内部控制假设为起点的逻辑思路，是由内部控制假设、内部控制定义、内部控制作用、内部控制目标、内部控制主体、内部控制内容、内部控制分类、内部控制原则、内部控制流程、内部控制方法、内部控制方式、内部控制融合等为要素组成的有机整体。

 

    这个理论结构，内在结构分为八个层次：内部控制假设是逻辑起点，是第一层次；内部控制定义界定了内控是什么，是第二层次；内部控制作用明确了为什么要内控，是第三层次；内部控制目标承诺了内控想要什么，是第四层次；内部控制主体交待了谁来干内控，是第五层次；内部控制内容、内部控制分类是从不同层面界定了内控干什么，是第六层次；内部控制原则、内部控制流程、内部控制方法、内部控制方式是从总体上阐述了如何干内控，是第七层次；内部控制融合指出了内部控制与风险管理、治理结构相融合是发展局势，指明了内部控制的发展方向，是第八层次。

 

     这个理论结构，是一个相互关联的有机整体，组成要素之间既是相互联系的，也是有主次的。内部控制定义、内部控制目标、内部控制内容、内部控制流程、内部控制方法是内部控制理论结构（理论框架）的基本要素，也是内部控制实践中急需理论上回答的现实问题。当然,内部控制假设、内部控制作用、内部控制原则等要素也是内部控制理论结构（理论框架）的组成部分,只是理论界很重视，实务界不那么关注而已。

 

     这个理论结构，是基于风险管理的内部控制理论结构，就是要以风险管理为基础，把风险管理自始至终融合在内部控制理论结构（理论框架）之中，为基于风险管理的内部控制实践提供理论上的支持。

 

    实践中，内部控制构建与实施过程是复杂多样的，因主体和监管要求的不同而不同。

 

    这个操作规程，把复杂多样的内部控制过程简单归纳为目标确定、风险识别、风险评估、风险应对、控制活动、内部监督等基本程序，从而构成内部控制构建与实施的连续不断的动态过程。

 

    这个操作规程，界定了目标确定是一项复杂的管理工作，内部控制是围绕目标展开的；风险识别是对风险进行评估的前提，是实施有效内部控制的重要步骤；风险评估是内部控制构建和实施的一个关键流程；风险应对是构建和实施有效内部控制的重要环节；控制活动是风险应对策略的具体实施途径，是构建和实施有效内部控制的关键步骤；内部监督，是对内部控制有效性进行监督检查的过程，是构建和实施有效内部控制必不可少的反馈环节。

 

    这个操作规程，明确了上述基本程序可以独立出来，但实际工作中是各自相互联系分不开的，且各个基本程序本身是一个动态的过程，因此，内部控制操作流程并不意味着必须是僵化的、一成不变的。同时，上述基本程序是构建和实施内部控制基本步骤，也是内部控制评价和审计的基本内容。

 

    这个操作规程，吸收了国内外权威内部控制、风险管理研究成果中相当于操作流程类的要素，并尽可能与其相一致、相衔接果，对非操作类的要素，如控制环境（内部环境）、信息与沟通等都进行了摒弃，贯彻了严密的目标——风险——控制的内在逻辑关系，突出了对风险控制的内容，理清了内部控制构建与实施的基本过程，为基于风险管理的内部控制构建与实施提供了明确的操作路径。

 

 

    这个实务指南，摒弃了把内部控制实务重点放在基于五要素（八要素）的内部控制体系上的权威做法，强调内部控制实务范围要涵盖各个部门、各项业务，涉及到各个部门的各个岗位、每个员工以及各项业务的每个环节，要加强重点流程与特殊业务的内部控制，着力抓好资金、投资、采购、基建、销售、产权管理、人力资源管理、质量管理、安全生产等关键业务流程控制，加强境外资产、金融及其衍生业务、重大经济合同和节能减排等特殊业务的内部控制建设，建立重大风险预警与应急机制，制订和落实应急预案。

 

这个实务指南，明确了内部控制实务到底有哪些，因主体的不同而不同，也因管理需要的不同而不同，不能模式化、固定化。

 

     这个实务指南，明确了中国企业内部控制实务范围应以企业内部控制配套指引为起点，特别要结合自身的情况确定内部控制实务的范围和重点，真正让内部控制成为扎根于企业的内生机制，为促进企业战略目标的实现。

 

     这个实务指南，强调了内部控制实务工作要与风险管理实务工作相融合，以减少不必要地重复劳动，提高工作效率。

 

 

 

    三、主要创新

 

     中天恒3C框架基于风险管理的内部控制研究报告，兼容并蓄，博采众长，充分吸收了国内外内部控制理论研究成果，系统总结了我国企事业单位丰富的内部控制实践经验，在大胆借鉴了国外先进理念的基础上，充分考虑了中国企事业单位的实际情况，力求自主创新，既与国际权威框架相趋同，与国内《企业内部控制基本规范》及其配套指引相融合，又突出了自身特色。简单来说，其特色可归纳为以下三个方面。

 

    （一）搭建了基于风险管理的内部控制理论结构

     中天恒3C框架基于风险管理的内部控制研究报告，首先搭建了基于风险管理的内部控制理论结构，为内部控制实践提供理论上的支持。搭建基于风险管理的内部控制理论结构本身就是一个具有挑战性的创新命题，不敢说是填补了内部控制理论的空白，但确实进行了一系列理论创新：

 

该研究报告探讨了内部控制基本假设,确立了内部控制的三个基本假设，即内部控制主体假设、内部控制风险可控假设、内部控制有效假设。

 

     该研究报告提出了内部控制定义集合的新思路，把内部控制定义集合分为广义内部控制定义、不同类型主体内部控制定义和同一主体不同视角内部控制定义三个层次，重新定义了这三个层次的内部控制概念，把内部控制严格界定在控制风险的范畴内，即内部控制仅是控制风险的过程，不是个大箩筐，不是无所不包的，不是什么都能控制的。

 

     该研究报告界定了内部控制本质作为内部控制所特有的一种属性，应是针对风险的检查、纠偏、调整和制约系统，其核心是制约机制。

 

    该研究报告重新定位了内部控制目标，即通过防范风险来合理保证主体目标的实现，将内部控制目标体系分为总体控制目标和具体控制目标两层次，并将总体目标界定为防范战略风险，将具体目标分为防范资产风险、防范信息风险、防范遵循风险、防范经营风险、防范管理风险、防范道德风险等。

 

    该研究报告厘清了内部控制范围边界及其实质内容，把内部控制内容界定为对风险的控制，并从便于控制风险的角度，把内部控制内容分为管理风险控制、业务风险控制、财务风险控制、遵循风险控制、其他风险控制等一级科目，强调内部控制需要建立风险组合观，把分散的风险整合起来进行控制管理。

 

    该研究报告区分了内部控制基本原则和一般原则，把基本原则确定为风险导向原则、制衡性原则、全面性原则，把一般原则确定为适应性原则、有效性原则、成本效益原则、独立性原则等。

 

    该研究报告划分了内部控制工作流程，即内部控制设计、内部控制执行、内部控制监督三大阶段，并把发杂多样的内部控制过程简单归纳为目标确定、风险识别、风险评估、风险应对、控制活动、内部监督等基本程序，从而构成内部控制构建与实施的连续不断的动态过程。

 

    总体来说，中天恒3C基于风险管理的内部控制研究报告吸收了国外内部控制理论研究成果与实践经验，但没有局限于表面化的比较或着全面的照搬，而是借鉴中有选择，吸收中有创新，是趋同与创新并举的。

    该研究报告放弃了内部控制要素这个内容。不论的国外权威框架，还是国内政府监管部门颁布的规范，都把内部控制要素作为一个重要内容来论述的。但内部控制要素到底是什么，由哪些元素构成，每个要素的具体内容包括哪些，结构如何，理论上还没有个统一的结论，在实践中也是比较混乱的，且实用性不大，因此，经反复研究最终还是放弃了内部控制要素这个内容。

 

     该研究报告没有引入“控制环境”（“内部环境”）概念。不论是控制环境，还是内部环境，都认为是内部控制基础，但对这个基础到底包括哪些内容，各类规范的解释各不一样，难有个统一的说法。内部控制基础到底包括哪些内容，可以说，理论是基础，人员是基础，制度是基础，技术是基础，内容应该是非常宽泛的，不是“控制环境”（“内部环境”）这个概念能够涵盖的，倒不如就说内控基础更直接些。事实上，大多内部控制规范界定的“控制环境”具体内容，如治理结构、组织架构、人力资源政策、企业文化、内部审计等，都是内部控制中管理控制或业务控制的重要内容，因此，取消“控制环境”（“内部环境”）这个概念，把相关内容统一到内部控制实务层面一并讨论，这至少显得不重复。该研究报告将COSO内部控制整合框架中“控制环境”要素和我国《企业内部控制基本规范》“内部环境”中的具体内容全部融入了实务指南中了。

 

     该研究报告没有引入“信息与沟通”要素。信息在现代社会很重要，沟通无限，内部控制构建与实施的全过程都涉及“信息与沟通”，不可能也没有必要独立出来，应该贯穿于内部控制构建与实施的全过程。

 

该研究报告摒弃了把内部控制实务重点放在基于五要素（八要素）的内部控制体系上的权威做法。长期以来，人们把内部控制实务的重点放在基于五要素（八要素）的内部控制体系上，不论是内部控制设计，内部控制评价，还是内部控制审计实务的重点均不如此。这或是内部控制长期难以落地、难以发挥有效作用的重要原因。

 

     该研究报告增加了内部控制假设、内部控制内容、内部控制原则、内部控制流程、内部控制方法、内部控制方式、内部控制融合等，突出了内部控制实践问题的理论研究。

 

 

     中天恒3C框架基于风险管理的内部控制研究报告自始至终贯彻了内部控制与风险管理融合的理念，探讨了内部控制与风险管理融合之道，主要体现：

 

     该研究报告把内部控制风险可控假设作为内部控制基本假设之一，为主体构建与实施内部控制提供了一种逻辑上的支持，确定了内部控制构建与实施的前提条件。

 

     该研究报告把内部控制定义为控制风险的过程,内部控制本质应是针对风险的检查、纠偏、调整和制约系统，其核心是制约机制。

 

     该研究报告把内部控制目标定位为通过防范风险来合理保证主体目标的实现。

 

     该研究报告把内部控制内容界定为对风险的控制，这比较符合内部控制本质特征，能够把内部控制所有控制内容都涵盖进去，也比较简单明了。

 

     该研究报告把风险导向原则作为内部控制基本原则之一，强调内部控制应以预防和控制风险为出发点和归宿，应当能够对主体的各种风险进行有效的预防和控制。

 

     该研究报告把目标确定、风险识别、风险评估界定为控制活动的前置环节，突出了风险管理流程与内部控制流程的融合。

 

     该研究报告以政府监管部门颁布的企业内部控制配套指引的要求为起点，每一项内部控制实务均按照关键概念定义、风险管理和内部控制的结构安排，体现了内部控制实务与风险管理实务相融合的理念。

 

 

     内部控制目的之一就是促使企事业单位的各项工作的流程化，其内部控制自身的工作就更应流程化。为此：

 

    该研究报告理论结构中详细地研究了内部控制流程，将内部控制流程划分为内部控制设计、内部控制执行、内部控制监督三大阶段。根据内部控制实际操作需要，在上述三大阶段的基础需要设计出多层次具体的流程，每个具体流程中要明确工作内容、方法、步骤以及相应的表单等。具体确定了3个一级流程，10个二级流程，65个三级流程，其中内部控制设计总计24个三级流程（设计准备8个三级流程、设计实施13个三级流程、试行完善3个三级流程），内部控制执行总计20个三级流程（执行基础8个三级流程、执行实施8个三级流程、执行效果4个三级流程），内部控制监督总计21个三级流程（监督准备5个三级流程、监督实施6个三级流程、监督报告6个三级流程、监督改进4个三级流程）。

 

    该研究报告操作规程把研究重点安排在内部控制构建与实施的过程，突出了对内部控制构建与实施过程中目标确定、风险识别、风险评估、风险应对、控制活动、内部监督等基本程序内容、程序、方法的阐述，力求流程化，增强可操作性。

 

     该研究报告实务指南更加关注对内部控制构建与实施的指导性。为了最大限度适应国家监管部门制定相关规范，避免规范之间不必要的冲突和矛盾，实务指南在力求自主创新的同时，更加强调力求保持与我国已经颁布实施的《企业内部控制基本规范》及其配套指引的相衔接，提供了20多份基于《企业内部控制基本规范》及其配套指引的控制矩阵，以求对对内部控制构建与实施起到一定的指导作用。

    此外，该研究报告在结构形式具有以下几个特点：一是结构逻辑关系简单明了。该研究报告总体结构,从理论到操作，从操作再到实务，依次增进，相互衔接，逻辑关系简单明了。该研究报告具体内容上，把内部控制定义集合分为广义内部控制定义、不同类型主体内部控制定义和同一主体不同视角内部控制定义三个层次；将内部控制目标体系分为总体控制目标和具体控制目标两层次；把内部控制原则区分为基本原则和一般原则两个层次；把内部控制工作流程划分为内部控制设计、内部控制执行、内部控制监督三大阶段，再在上述三大阶段的基础需要设计出多层次具体的流程等等。二是内容力求全面系统。该研究报告既有理论结构，又有操作规程，还有实务指南，内容全面系统。三是理论与应用并重。理论源于对实践的总结，实践需要科学的理论指导。该研究报告融理论与实践，寓实践于理论，体现了理论与实践的融合。

 

     中天恒3C框架基于风险管理的内部控制研究报告在内部控制前沿的探索，虽力求做到自主创新、科学系统、简单实用、具有可操作性，但终究因我们的水平有限，仅是初步探索，恳请批评指正。

 

     虽然我们认为内部控制与风险管理必然要融合，内部控制与治理结构也要融合，但基于内部控制实践现状，内部控制构建和实施重点还没有转移到融合上，实践经验不足，还需要今后进行继续探索。

 

                                                              中天恒3C框架内部控制课题组