2内部控制演进与COSO内部控制整合框架

风险管理与内部控制制度设计中山大学南方学院会计系刘璐TEL:13416124398E-Mail:liulu_nf@126.com第二讲内部控制演进与企业内部控制整合框架•为什么关注内部控制？•内部控制的演进•内部控制基本要素为什么要关注内部控制？酒店收款员利用管理漏洞克隆刷卡单套取现金案例舞弊机会：该酒店收款员发现，酒店刷卡的POS机具有重新打印功能，当客人付款结算后，不需要再次刷卡，按“重打”键，即可马上将前面刷卡单据以复制形式重新打印出来，并可在重新打印的银行卡单据上显示符号“****”。引入案例管理漏洞：酒店餐厅设在3楼和4楼，3楼餐厅每班安排两名收款员并设有POS收款机，4楼餐厅未设置POS收款机，4楼客人消费后的刷卡操作，必须到3楼的POS机处完成。一般情况下，刷卡成功完成后，服务人员会立即拿上顾客信用卡和所打印单据返回4楼，收款员可以在无人监督的状况下，立即操纵POS机克隆刷卡单。此后，收款员随意编造签署一个客人的签名，把单据上显示重打的标志符号抹掉，然后撕毁客户留存联，即可将与正式单据的发生金额、卡号、消费时间都完全相同的复制单据，直接作为抵扣当天营业收入中现金收入的凭证，将等值的现金据为己有。造成损失两年多来，收款员通过伪造克隆单据，造成酒店损失7万多元，而未被酒店财务部发现。事后原因分析酒店财务主管为掩饰其挪用公款行为，人为扰乱财务监管稽核制度，致使监管稽查制度未能正常施行。该事件在酒店财务主管挪用公款行为东窗事发后，酒店财务管理制度未能及时恢复，直到新任财务主管上任，财务稽核制度才回到正常轨道，财务部在稽核交款清单时才发现。内部控制的演进内部控制从内部牵制开始，经历了五个阶段：内部牵制阶段（InternalCheck）内部控制制度阶段（InternalControlSystem）内部控制结构阶段（InternalControlStructure）内部控制整体框架阶段（InternalControlIntegratedFramework）企业风险管理整体框架（EnterpriseManagementIntegratedFramework）内部牵制阶段20世纪40年代前——内部控制的萌芽主要特点：以查错防弊为目的。以职务分离和账务核对为方法。以钱、账、物等会计事项为主要控制对象。内部牵制的表现形式实物牵制：由两个以上人员共同掌管必要的实物工具，共同完成一定程序的牵制。机械牵制：只有按照正确的程序操作机械，才能完成一定过程的操作。要求按牵制的原则进行程序设置，而且要求所有的业务活动都要建立切实可行的办理程序。制度牵制：不相容职务相分离。对于每一项经济业务的处理，都要求有二人或二人以上共同分工负责，以相互牵制，互相制约。通过组织分工来实现。簿记牵制：原始凭证与记账凭证、会计凭证与账簿、账簿与账簿、账簿与会计报表之间核对。内部牵制阶段说一说你在生活中看到的内部牵制的例子？公交司机与售票员电影院售票员与检票员地铁买票与进站……内部牵制阶段20世纪40年代至70年代初1936年AICPA发布的《注册会计师对财务报表的审查》文告中，内部控制一词作为审计术语最早出现。1949年美国审计程序委员会（CPA）发布报告：《内部控制：系统协调的制度要素及其对管理层与注册会计师的重要性》，首次对内部控制给出了权威性定义。内部控制制度（二分法）阶段“内部控制包括一个企业内部为保护财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理方针而采取的组织机构的设计和所有相互协调的方法与措施。”“该定义可能要比这个术语所包含的意义来得更广泛，它承认一个内部控制制度已超出了直接与会计和财务部门有关的内容范畴。”内部控制制度阶段1958年，美国审计程序委员会公告第29号，重新表述了内控的定义，将内部控制划分为内部会计控制和内部管理控制（制度二分法）会计控制：与财产安全和财务记录及其可靠性有直接联系。包括如授权批准制度、从事财务记录和簿记与从事经营或财产保管职务分离的控制，财产的实物控制和内部审计。管理控制：主要与经营效率和贯彻管理方针有关，通常只与财务记录有间接的关系。包括如统计分析、业绩报告、雇员培训计划和质量控制。内部控制制度阶段美国注册会计师协会审计准则委员会于1972年12月公布《审计准则公告第1号》(SAS1)，对内部控制定义如下：管理控制包括（但不限于）组织规划以及管理当局进行经济业务授权的决策过程有关的程序和记录。这种授权是与完成该组织目标的职责直接有关的一种管理职能，是对经济业务建立会计控制的起点。会计控制包括组织规划以及与保护财产安全和财务报表可靠性有关的程序和记录，因此它在设计上应能合理保证：1.按管理当局的一般授权或特殊授权处理各项经济业务。2.经济业务的记录必须做到：编制财务报表要遵循公认会计原则，或适用于这些报表的其他标准，保持资产会计责任的记录。3.只有经管理当局授权才能接近资产。4.在一定的间隔期间，将账面载明的资产要和实存资产进行核对，对发生的任何差异采取适当的措施。内部控制制度阶段最高审计机关国际组织（InternationalOrganizationOfSupremeAuditInstitutions）1986年发表的《总声明》：“内部控制作为完整的财务和其他控制体系，包括组织结构、方法程序和内部审计。”国际内部审计师协会（IIA）在1947年首次将内部审计定义为：“内部审计是建立在审查财务、会计和经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务，处理财务与会计问题，有时也涉及经营管理中的问题”。1957年，IIA针对当时内部审计实践的变化，在第一次定义的基础上将内部审计的职能扩大为“为管理提供服务，是一种衡量、评价其他控制有效性的管理控制”。1971年，IIA对内部审计的第三次定义为：“内部审计是建立在审查经营活动基础上的独立评价活动，并为管理提供服务，是一种衡量、评价其它控制有效性的管理控制”。1978年，IIA对内部审计的第四次定义为：“内部审计是建立在组织内部为组织服务的独立评价活动。”1990年，IIA对内部审计的第五次定义为：“内部审计是在一个组织内部建立的一种独立评价职能，目的是作为对该组织的一种服务工作，对其活动进行审查和评价。1993年，IIA对内部审计的第六次定义为：“内部审计是在一个组织内部建立的一种独立评价活动，并作为对该组织的活动进行审查和评价的一种服务。内部审计的目的是协助该组织的管理成员有效地履行他们的职责。为此，内部审计向他们提供与所审查的活动有关的分析、评价、建议、忠告和资料。内部审计的目的是促进有效地控制成本费用。”1999年IIA对内部审计的第七次定义为：“内部审计是一种独立、客观的确认和咨询活动，旨在为增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改进风险管理、控制和治理过程的效果，帮助组织实现其目标。””从IIA的七次定义的变化可以发现，人们对内部审计的职能的认识从监督、评价再拓展到服务，从管理活动定位到控制活动，再到价值活动，其服务对象也越来越广，从简单的财务、会计活动延伸到了企业的经营活动。20世纪70年代-90年代初1988年在美国注册会计师协会《审计准则公告第55号》(SAS55)，该公告首次以“内部控制结构”代替“内部控制制度”。“内部控制结构，包括为合理保证企业特定目标的实现而建立的各种政策和程序。”内部控制结构（三要素）阶段控制环境（环境保证)：是对企业控制的建立和实施有重大影响的一组因素的统称。会计系统（核心)：是指公司为汇总、分析、分类、记录、报告业务处理的各种方法和记录。控制程序（运行机制)：是指为合理保证公司目标实现而建立的政策和程序。内部控制结构阶段20世纪90年代至21世纪初1992年，COSO报告发布，1994年进行修改。1996年，AICPA发布《审计准则第78号》(SAS78)，全面接受COSO报告的内容，从1997年1月1日起以内部控制框架取代内部控制结构。“内部控制是一个过程，受企业董事会、经理阶层和其他员工的影响，旨在保证财务报告的可靠性、经营的效率和效果以及现行法规的遵循。”内部控制整合框架（五要素）阶段TheTread-wayCommissionAICPA(AmericanInstituteofCertifiedPublicAccountants)AAA(AmericanAccountingAssociation)IIA(TheInstituteofInternalAuditors)IMA(InstituteofManagementAccountants)FEI(FinancialExecutivesInstitute)COSO(CommitteeofSponsoringOrganizationsoftheTread-wayCommission)内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程：经营的有效性(做对的事DOtherightthings)和效率(把事情做好Dothethingsright)财务报告的可靠性符合适用的法律和法规什么是内部控制？(COSO)内部控制是一个过程。它是实现目的的手段，而不是目的本身。内部控制由人员来实施。它并不仅仅是政策手册和表格，还涉及组织中各个层级的人员。内部控制为组织的管理层和董事会提供合理保证，而不是绝对保证。内部控制被用来实现一个或多个彼此独立又相互交叉的类别的目标。对内部控制定义的理解过程内部控制并不是一个事项或一种情形，而是渗透到主体的活动中的一系列行为。在组织中的各个单元或职能之内或跨组织单元或职能而实施的经营过程，都是通过规划、执行和监控等基本的管理过程来加以管理的。内部控制使这些过程得以推行，并对他们的实施和持续的关联性进行监控。嵌入式的控制有助于降低成本和缩短反应时间。人员内部控制是由主体的董事会、管理层和其他人员实施的。人员制定主体的目标，并将控制机制付诸实施。同时，内部控制也会影响人员的行动。人们必须知道他们的责任和权限。人员需要把他们所承担的责任与他们履行这些责任的方式，以及企业的目标明确而密切的联系起来。董事主要提供监督，但是也提供指导，并审批特定的交易和政策。董事会是内部控制的一个重要元素。合理保证目标实现的可能性受到所有内部控制都存在的固有局限的影响：决策中的人为判断可能是错误的负责建立控制的人员需要考虑相应的成本和效益可能会由于简单的误差或错误等人为失误而发生故障控制会因为两个或更多人的串通而被规避管理层具有凌驾于内部控制体系之上的能力目标主体的目标通常被分为三类：经营(operation)目标——与主体资源利用的有效性和效率有关财务报告(financialreporting)目标——与编制可靠的公开财务报表有关合规(compliance)目标——与主体符合适用的法律和法规有关以上三类目标互相区别又彼此交叉，根据不同的需要，可能是不同管理人员的直接责任。内部控制可以对财务报告目标与合规目标的实现提供合理保证；但对经营目标而言，内部控制只能就管理层以及履行监督职能的董事会及时了解该主体朝着它们迈进的程度进行合理保证。控制环境（基础）风险评估（依据）控制活动（手段）信息与沟通（载体）监督（保证）内部控制整合框架(五要素)控制环境(ControlEnvironment)所有业务活动的核心都是人员——他们的个人特性，包括诚信、道德价值观和胜任能力——以及他们开展经营所处的环境。控制环境即企业实施内部控制的环境。企业所处的环境分为外部环境与内部环境，企业不论是制定战略规划还是风险管理，都必须分析环境，因为环境对企业的影响不可低估，更不能不引起重视。外部环境包括社会环境和行业环境。社会环境主要有经济环境、技术环境、政治与法律环境、文化环境等等；行业环境主要有当地政