内部控制讲座-暨南大学教授的课件.ppt

1、内部控制讲座白华白华暨南大学会计学系暨南大学会计学系提纲 一、内部控制的基本理论问题一、内部控制的基本理论问题 二、内部控制的基本内容和方法二、内部控制的基本内容和方法 三、开展内部控制普遍存在的问题与困惑三、开展内部控制普遍存在的问题与困惑 四、如何建设有效的内部控制四、如何建设有效的内部控制 五、案例五、案例一、内部控制的基本理论问题 （一）内部控制的概念与本质（一）内部控制的概念与本质 （二）内部控制与企业管理、公司治理、（二）内部控制与企业管理、公司治理、风险管理之间的关系风险管理之间的关系 （三）内部控制在企业管理中发挥作用的（三）内部控制在企业管理中发挥作用的内在机理内在机理（一）

2、内部控制的概念与本质内部控制是什么？内部控制是什么？内部控制是制度吗？内部控制是制度吗？背景资料 被誉为“中国版萨班斯法案”的企业内部控制基本规范（下称基本规范）和企业内部控制配套指引（下称配套指引）的发布，标志着中国企业内部控制规范体系基本建成。企业将按要求建立和实施符合监管要求的内部控制系统。那么，这是否意味着企业要做一套专门的内部控制制度？企业原有的一套治理和管理制度与内部控制制度是什么关系？国资委中央企业全面风险管理指引要求企业建立风险管理制度，那么，企业是否需要并行多套制度？56项目地点上市公司数 有“内部控制制度”表述的公司数有 命 名 为“内部控制制度”的公司数沪市8618611

3、26深市959959224总计18201820350“内部控制是制度内部控制是制度”的认可情况统计表的认可情况统计表 注：有命名为“内部控制制度”的公司数一栏中，包括在2009年年报或招股说明书中有内部控制制度、内部会计控制制度、内部牵制制度和风险管理制度等用书名号明确指出建立了此类制度的公司。COSO的权威概念 内部控制是由企业董事会、经理层和其他内部控制是由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报员工实施的，为营运的效率效果、财务报告的可靠性、相关法律法规的遵循性等目告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。标的实现而提供合理保证的过程。 COS

4、OCOSO（19921992）内部控制内部控制整合框架整合框架7 内部控制，是由企业董事会、监事会、内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控经理层和全体员工实施的、旨在实现控制目标的过程。制目标的过程。 内部控制的目标是合理保证企业经营管内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，关信息真实完整，提高经营效率和效果，促进企业实现发展战略。促进企业实现发展战略。 五部委（五部委（20082008）企业内部控制企业内部控制基本规范基本规范的概念的概念 1、是一个过程; 2、全员

5、参与; 3、目标导向; 4、合理保证; 5、适用范围：不仅适用于企业等营利组织，而且适用于非营利组织。对概念的理解10是一个过程 有五层含义： 1、与经营管理活动融为一体的一个过程； 2、是一个从计划到执行到控制的过程； 3、是一个五要素相互作用的过程； 4、是随着企业规模的扩大和业务的拓展，不断完善的过程； 5、是随着理论和实务的发展而不断发展成熟的过程。COSO的观点 “组织中各单位或各职能部门内部或跨单位或职能部门所实施的经营过程，都是通过计划、执行和监控等基本的管理过程来加以管理的。内部控制是这些过程的一部分，并与它们整合在一起。内部控制能让这些管理过程发挥作用，并对其实施和持续的关联

6、性进行监控。内部控制是一个管理工具，而不是管理的替代品。” COSO内部控制整合框架第14页。法约尔的观点“这里，我只讨论管理问题，所以就不谈两个企业之间的控制问题了我着重谈一下企业内部控制，这种控制的目的是专门为了有助于各部门的工作的顺利进行，而总的来讲也有助于企业运营的顺利进行。” 工业管理和一般管理，1916,中文版第120页。（二）内部控制与企业管理、公司治理、风险管理之间的关系 这四者是同一个意思吗？ 在神马情况下可以等同呢？1、内部控制与企业管理的关系 内部控制是因为外部审计的需要？ 内部控制是因为外部监管的需要？ 内部控制是因为内部审计的需要？ 内部控制是因为企业管理的需要？2、

7、内部控制与公司治理的关系内部控制公司治理3、内部控制与风险管理的关系内部控制内部控制风险管理风险管理风险管理风险管理内部控制内部控制风险管风险管理理内部控内部控制制4、三者之间的关系 相互包含的关系 相互嵌合的关系 等同的关系 公司治理风险管理内部控制内部控制风险管理公司治理内部控制风险管理公司治理（三）内部控制在企业管理中发挥作内部控制在企业管理中发挥作用的内在机理用的内在机理 COSO（1992） 内部控制整合框架由五个相互联系的要素构成，即：控制环境(Control Environment) 、风险评估(Risk Appraisal) 、控制活动(Control Activity) 、信

8、息与沟通(Information and Communication) 、监控(Monitoring)。COSO企业风险管理整合框架Enterprise Risk Management（2004） “企业风险管理是一个过程，这个过程受组织的董事会、管理层和其他人员影响，应用于战略制定并贯穿在整个企业之中。企业风险管理旨在识别影响组织的潜在事件，并在其能承受的范围内管理风险，从而为组织目标的实现提供合理的保证。” 包括： 内部环境、目标设定、 事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等八要素。相互依存、不可分割的内控框架（以五要素为例）监控控制环境风险评估控制活动信息与沟通信息与

9、沟通监控控制环境风险评估控制活动控制活动信息与沟通监控控制环境风险评估风险评估控制活动信息与沟通监控控制环境控制环境风险评估控制活动信息与沟通监控二、内部控制的基本内容和方法二、内部控制的基本内容和方法（一）总体概况（一）总体概况1 1、“中国版萨班斯法案中国版萨班斯法案”称谓的由来称谓的由来2 2、五部委内部控制体系介绍、五部委内部控制体系介绍（二）（二）内部控制基本规范内部控制基本规范介绍介绍（三）（三）配套指引配套指引介绍介绍1 1、应用指引应用指引本身的逻辑性和本身的逻辑性和“应应用用”的困难性的困难性2 2、评价指引评价指引是自律是自律3 3、审计指引审计指引是他律是他律（一）总体概

10、况1 1、“中国版萨班斯法案中国版萨班斯法案”称谓的由来称谓的由来2002年美国颁布萨班斯法案。2006年7月15日财政部、证监会、审计署、银监会、保监会发起成立中国企业内部控制标准委员会。 2 2、五部委内部控制体系介绍、五部委内部控制体系介绍2008年6月28日企业内部控制基本准则发布。2010年4月26日企业内部控制配套指引发布，含企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引。2011年1月1日在境内外同时上市的公司施行。 2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提

11、前执行。在全球内部控制标准制定领域享有盛誉的美国科索委员会专门发来贺信，对企业内部控制配套指引的发布表示热烈祝贺，认为中国企业内控规范体系与国际通行的科索内控框架在所有主要方面保持了一致。 反对虚假财务报告委员会（National Commission on Fraudulent Reporting）COSO委员会（Committee of Sponsoring Organizations of theTreadway Commission）（二）企业内部控制基本规范介绍 共七章50条，2009年7月1日起实施。 第一章 总则 第二章 内部环境 第三章 风险评估 第四章 控制活动 第五章 信息

12、与沟通 第六章 内部监督 第七章 附则 第一章 总则 目的和依据 适用范围 概念界定 原则 要素 执行要求第二章 内部环境 内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 COSO：控制环境第一、概念 控制环境是组织的基调，主导或左右着组织成员的控制理念。是其他内部控制要素的基础，决定着控制的边界和结果。第二、控制环境7要素正直与道德价值观员工素质董事会审计委员会管理哲学与行事作风组织结构设计责任与权力分配人力资源政策第三章 风险评估 风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。 风

13、险评估的工具高后果低低高右边后果严重下边可能性大分担减少承受规避可能性风险应对策略 风险规避 风险减少 风险分担 风险承受第四章 控制活动 控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。 控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。讨论：控制措施只有这些吗？第五章 信息与沟通 信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。第六章 内部监督 内部监督是指内部审计吗？ 内部监督与内部审计是何关系？ 如何理解全过程跟踪审计？（三）配

14、套指引介绍 2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引。该配套指引包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引，连同此前发布的企业内部控制基本规范，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。1、 应用指引本身的逻辑性和“应用”的困难性起草中起草中待起草待起草待起草待起草起草中待起草待起草征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见具体规范制度支持财务报表项目相关规范财务报表编报相关规范货币

15、资金存货对外投资工程项目固定资产无形资产衍生工具筹资销售与收款采购与付款成本费用预算人力资源政策计算机信息系统内部审计担保合同关联交易企业合并与分立财务报告编制资产减值公允价值信息披露对子公司的控制服务外包中介机构聘用应用指引应用指引目录目录第第1 1号号组织架构组织架构第第2 2号号发展战略发展战略 第第3 3号号人力资源人力资源第第4 4号号社会责任社会责任 第第5 5号号企业文化企业文化 第第6 6号号资金活动资金活动第第7 7号号采购业务采购业务第第8 8号号资产管理资产管理第第9 9号号销售业务销售业务第第1010号号研究与开发研究与开发第第1111号号工程项目工程项目 第第1212

16、号号担保业务担保业务第第1313号号业务外包业务外包 第第1414号号财务报告财务报告 第第1515号号全面预算全面预算第第1616号号合同管理合同管理第第1717号号内部信息传递内部信息传递第第1818号号信息系统信息系统2、评价指引是自律 共五章27条 是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。按要素评价、按要素报告 第五条 企业应当根据企业内部控制基本规范、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。 第二十一条 内部控

17、制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。3、审计指引是他律 共七章35条第二条 本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。 第四条 注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。 注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

18、（一大亮点！一大历史性进步！） 注册会计师审计才用风险导向方法？第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。第十一条 注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注：（一）与内部环境相关的控制。（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制。（三）企业的风险评估过程。（四）对内部信息传递和财务报告流程的控制。（五）对控制有效性的内部监督和自我评价。第十二条 注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内

19、部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。注册会计师应当关注信息系统对内部控制及风险评估的影响。三、开展内部控制普遍存在的问题与困惑 （一）五部委内控规范与国资委风险管理指引的衔接问题 （二）如何理解财务报告内部控制（一）五部委内控规范与国资委风险管理指引的衔接问题中央企业全面风险管理指引 国务院国有资产监督管理委员会文件 （国资发改革2006108号二六年六月六日） 第四条本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，

20、包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。 问题一：风险管理中的风险与内部控制中的风险相同？ 第三条本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险（带来损失和盈利的可能性并存）。 问题二：风险管理的基本流程与内部控制相同？ 第五条本指引所称风险管理基本流程包括以下主要工作： (一)收集风险管理初始信息； (二)进行风险

21、评估； (三)制定风险管理策略； (四)提出和实施风险管理解决方案； (五)风险管理的监督与改进。问题三：企业制定并执行的规章制度、程序和措施究竟是内部控制系统还是风险管理制度？ 第六条本指引所称内部控制系统，指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。 问题四：全面风险管理与内部控制系统的目标相同？ 第七条企业开展全面风险管理要努力实现以下风险管理总体目标： (一)确保将风险控制在与总体

22、目标相适应并可承受的范围内； (二)确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告； (三)确保遵守有关法律法规； (四)确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性； (五)确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。 问题五：全面风险管理与内部控制系统拟建立的制度相同？ 第九条企业应本着从实际出发，务求实效的原则，以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点，积极开

23、展全面风险管理工作。具备条件的企业应全面推进，尽快建立全面风险管理体系；其他企业应制定开展全面风险管理的总体规划，分步实施，可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作，建立单项或多项内部控制子系统。通过积累经验，培养人才，逐步建立健全全面风险管理体系。 问题六：全面风险管理的三道防线该如何解释？ 第十条企业开展全面风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线，即 各有关职能部门和业务单位为第一道防线； 风险管理职能部门和董事会下设的风险

24、管理委员会为第二道防线； 内部审计部门和董事会下设的审计委员会为第三道防线。 结论是什么？（二）如何理解财务报告内部控制SEC最终规则认为，“财务报告内部控制是一个过程，它由公司的首席执行官和首席财务官或履行类似职能的人员设计或监督，并由公司董事会、管理层和其他人员实施，旨在为财务报告的可靠性和按照一般公认会计原则编制对外财务报表提供合理保证。它包括下列政策和程序：（1）保持合理详细的记录，以准确、公允地反映公司资产的交易和处置情况；（2）对交易进行了必要的记录以合理保证财务报表的编制符合一般公认会计原则，以及公司的收入和支出都经过公司管理层和董事的授权批准；（3）为防止或及时发现未经授权取得

25、、使用或处置那些可能会对财务报表产生重要影响的公司资产提供合理保证。”监管和审计当局说：企业是否亏损与我无关，这是企业自己的事，只要它能在财务报表中如实地反映出来就行。 这句话有道理吗？四、如何建设有效的内部控制四、如何建设有效的内部控制 内部控制的边界？1、内部控制建设的原则第一、全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。内部控制系统设计的整体架构 第二、重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。 第三、制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率

26、。 第四、适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。 第五、成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。2、内部控制建设的步骤 确定控制目标 梳理控制流程 识别控制环节（关键控制点） 明确控制措施3、内部控制建设的形式 内部控制流程图 (Internal Control Flowchart) 内部控制调查表 (Internal Control Questionnaire) 文字记录(Narrative) 五、案例 案例一：如何防范“Channel Stuffing ” 案例二：中石化内控手册总则 案例三：中石化内控自评报告案例一：如何防范“Channel Stuffing ” 讨论： 1、案例列举的11个控制点中，哪些是关键控制点？案例二：中石化内控手册总则 讨论： 总则部分存在哪些问题，该如何改进？案例三：中石化内控自评报告 讨论： 中石化内控自评报告存在什么问题，该如何改进？谢谢！