企业内部控制-陈国庆

企业内部控制主讲：陈国庆经济学博士/管理学博士后\国际注册管理咨询师（CMC）助理：程云18610035543目录解读企业内部控制1内部控制的发展2内部控制体系3内部控制开展4内部控制简化5内部控制几种关系处理6一、解读企业内部控制（一）标准定义一、解读企业内部控制这个定义反映了某些基本概念：内部控制是个流程，是达到目的的工具，不是目的本身；内部控制受到人的因素的影响，它并不只是政策手册和表格，而是组织中各个级别的人员内部控制为企业的管理层和董事会提供合理的保证，而不是绝对保证内部控制通过调整来达到一个或多个单独但又有交叉的目标。1、定义内部控制是一个流程，受企业中董事会、管理层和其他人员的影响，被设计出来为下列各类目标的实现提供合理的保证：①运行的效果性和效率性②财务报表的可靠性③法律法规的遵循性2、基本理解流程人合理保证目标1、核心内容逻辑关系内部控制内部牵制务分离不相容识职责分离程序分段内控评价自我评价内审评价改善控制预防性控制检查性控制（二）核心内容一、解读企业内部控制2、关于内部牵制（1）实物牵制—两人以上共事掌管实物工具（2）机械牵制—只有按正确程序才能操作机械（3）体制牵制—通过组织分工、业务分段，实现人事配合。主要做法是设置机构、划分职责（4）簿记牵制—原始凭证与记帐凭证、会计凭证与帐簿、帐簿与会计报表核对的牵制。根本点:增设核对点和平衡点，以加强上下、左右制约。一、解读企业内部控制3、关于不相容职务分离类型凡是有两种或两种以上职务交由一个人或一个部门去承担就容易发生错误或弊端，这两种或两种以上职务就叫做不相容职务。（1）职责分离职责分配中要贯彻职责分离精神。管理职务授权批准作业执行记录计算物资保管检查核对多数属于不相容职务职责分配中不易将两种或两种以上的职务交由一个人或一个部门去承担。特别是批准与执行、执行与记录绝对不能由一人承担一、解读企业内部控制（2）程序分段业务处理中要贯彻程序分段和各段工作均核对前段工作的精神。业务处理程序计划申请阶段审核批准阶段办理手续阶段实施执行阶段记录登记阶段物资保管阶段帐实核对阶段均属不相容职务每段作业处理过程输入前段转后段全部资料处理1.核对前段作业2.处理本段作业输出1.总结前段与本段作业2.转移后段作业控制1.自动牵制2.稽核检查一、解读企业内部控制执行到位很重要4、内部控制评价（1）涵义:对照理想的合适的理论模式，对现行内部控制的恰当性与有效性，进行分析和价值评定。（2）目的:检查单位为达到经营目标所付出努力的有效性。（3）内容:1）应该有的是不是都有（应该有的规矩是不是都有）2）应该做的是不是都做到了（应该执行的规矩是不是都执行）（4）方式:自我评价：组织营运单位的管理阶层自我负责、自我评价内审评价—风险评估、可信赖程度评价、薄弱环节评价一、解读企业内部控制（三）功能作用一、解读企业内部控制专业部门业务管理监督公司内控监督过去管理现有控制外部机构集团公司监督区别流程显现明晰责权落实制度独立监督控制风险改进优化强调执行1、官方认为：（三）功能作用一、解读企业内部控制2、民间认为：①保护干部②资产安全③信息真实④控制风险二、内部控制的发展1905～1936199719881949～19582005大小早期内控的范围和影响2.内部牵制阶段：保护现金和资产安全及账簿记录的准确性5.内部控制框架阶段：融入了控制环境及控制程序6.一体化控制阶段：形成COSO框架，增加了遵从性目标1、内控活动可以追溯到人类社会发展早期，例如古罗马采取的“双人记帐制度”和我国西周时的周礼审计制度–L.R.Dicksee提出内部牵制概念，AICPA接受–AICPA颁布《审计准则公告第55号》提出内部控制结构–AICPA发布了《审计准则公告第78号》，全面接受COSO报告的内容3.内部控制阶段：增加了管理控制以提高经营效率–AICPA首次提出内部控制的定义每个阶段并不意味着对前一阶段的否定,而是在其基础上的提升70年代4.会计控制与管理控制并重阶段：二个控制分立和整合不断交替7.与风险管理融合阶段：综合框架八要素靠近风险管理二、内部控制的发展（一）内部控制在美国内部控制思想自古就有，主要是牵制思想从理财渗透到政治、军事、生活之中，例如：中国西周时期的周礼审计制度，古罗马“双人记账制度”等，我们日常生活中也普遍看到牵制的行为。1、早期阶段（1900年以前）2、内部牵制阶段（1905—1936）20世纪40年代以前，内部控制就是指“内部牵制”，即：两个或两个以上的人或部门无意识地犯同样的错误机会较少；两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个或部门舞弊的可能性。控制手段包括：实物牵制、物理牵制、分权牵制、会计牵制。3、内部控制阶段（1949—1958）1949年，美国注册会计师协会的审计程序委员会在发布了一分特别报告“内部控制——一种协调制度要素及其对管理当局和独立审计人员的重要性”。该报告首次给内部控制作出如下定义：包括组织的组成结构及该组织为保护其财产安全、检查其会计资料的准确性和可靠性，提高经营效率，保证既定的管理政策得以实施而采取的所有方法和措施。二、内部控制的发展（一）内部控制在美国4、管理控制与会计控制并行阶段（20世纪70年代）1972年，AICPA下属审计准则委员会发布的第1号《审计准则公告》进一步提出了管理控制的概念：管理控制包括但不限于确保交易由管理当局授权的组织结构、程序及有关记录。这种授权是与实现组织目标这个责任联系的管理功能，并且是建立交易的会计控制的起点。这个概念将管理控制和企业目标相联系，但未将会计控制与企业目标相联系。5、内部控制结构化阶段（1988年）1988年，审计准则委员会发布第55号《审计准则公告》，提出“内部控制结构”这一概念取代了内部管理控制和内部会计控制。该公告指出：内部控制结构是指为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体，包括控制环境、会计系统及控制程序三个部分。二、内部控制的发展（一）内部控制在美国6、内部控制完整框架阶段（1992年）1992年，著名的COSO委员会提出了“内部控制的完整框架”研究报告，1994年进行了增补。为内部控制构建了一整套框架体系。报告指出：企业所设立的目标是一个企业努力的方向，而内部控制组成要素则是为实现或达成该目标所必须的条件，两者之间存在直接的关系。每一个要素适用于所有的目标类别，也与每一个目标都有关。对于任何企业或企业中的任何部门，内部控制都极为重要。7、与风险管理融合阶段（2004年）2004年9月，COSO又提出了《企业风险管理-综合框架》，涵盖了内部控制整体框架内容又学习全面风险管理，在内控五要素基础上又增强了目标设定、事项识别、风险应对成为八大要素，又引入了战略目标。二、内部控制的发展（一）内部控制在美国（二）内部控制在中国二、内部控制的发展1、中国政府一直重视内部控制建设（链接）2、内部控制在中国的现状（链接）3、财政部的要求（链接）4、证监会的要求（链接）5、国资委的要求（链接）三、内部控制体系（一）美国体系三、内部控制体系1、《内部控制—整体框架》介绍（1）五要素及其相互关系保证内部监督控制活动风险评估内部环境信息沟通信息沟通基础手段载体依据（一）美国体系三、内部控制体系1、《内部控制—整体框架》介绍（2）依据过程的全方位控制内部环境风险评估控制活动信息与沟通监控作业层面部门层面公司层面效率效果报表可靠遵守法规（3）具体内容（链接）三、内部控制体系2、《企业风险管理—综合框架》介绍（一）美国体系内部环境目标制定事项识别风险评估风险反应控制活动信息沟通监控内部环境风险评估控制活动信息沟通监控Publiccompanyaccountingreformandinvestorprotectionactof2002参议院银行委员会主席萨班斯，众议院金融服务委员会主席奥克斯利联合提出。PaulS.SarbanesMichaelG.OxleySecuritiesLitigationReformActYes387No130Notvoting15Sarbanes-OxleyActYes522No3Notvoting9Congressionalvotes25thJuly2002（1）提出者：三、内部控制体系3、SBS法案介绍（一）美国体系第302节公司对财务报告的责任-要求公司首要官员及首要财务官在季度/年度报告中保证对信息披露的控制和程序负责（含刑事责任）设计必要的内部控制手段并确保其执行可使高层及时获得重要信息对披露控制的有效性进行评估，评估结果需存档不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为存档描述内部控制的重大变化-介绍信息披露的控制和程序强调财务人员的正直和财务报告系统控制的完整性需披露的非财务信息包括：重要合同的签署，战略合作关系的解除以及法律诉讼（2）主要内容三、内部控制体系第404节管理层对内部控制的评价-要求公司管理层在年度报告中：描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任对财务报告系统内部控制有效性以一个公认架构进行评估（例如COSO内控架构）-同时要求外部审计人员：对管理层评估结果进行签证（2）主要内容（3）七个特点（链接）三、内部控制体系三、内部控制体系总览图（二）中国体系企业内部控制应用指引•共18项，用以指导企业开展内部控制建设，并为企业及事务所的内部控制评价及审计提供参考。内容包含制定该项指引的总体目标、涉及事项的定义、相关风险描述、业务流程规范和关键控制点要求等标准性内容。企业内部控制评价指引•用以指导企业开展内部控制评价，以满足基本规范的实施要求。内容包含评价原则、评价制度要求、评价的内容、评价的程序、缺陷的认定、评价报告。企业内部控制审计指引•用以规范注册会计师执行企业内部控制审计业务。内容包含审计目标、计划审计工作、实施审计工作、评价控制缺陷、完成审计工作、出具审计报告、记录审计工作、审计报告参考格式。企业内部控制基本规范•《基本规范》从内部环境、风险评估、控制活动、信息与沟通以及内部监督五大要素的角度，对于中国企业应如何建立、维持有效的内部控制提出了原则性的要求，建立了具有中国特色的内部控制框架。2008年6月28日发布《应用指引》、《评价指引》和《审计指引》构成企业内部控制配套指引企业内部控制配套指引用于指导企业如何更加有效实施基本规范。2010年4月26日发布（二）中国体系三、内部控制体系1、《基本规范》解读（链接）2、《应用指引》解读（链接）3、《评价指引》解读（链接）四、内部控制开展（结合案例）（一）内部控制开展的动因四、内部控制开展（结合案例）国家出资企业应当建立健全内部监督管理和风险控制制度法律规定行政规范要求上市公司全面执行《企业内部控制基本规范》及相关的评价、应用、鉴证指引明确了详细而具体的风险控制要求上市公司监管要求年报中需依据重要性原则披露企业的风险因素及相应的措施外部监管要求内部管理提升与日常管理的融合与业务管理工作的融合内控组织体系的完善与绩效管理的融合更新完善的要求内控手册及自评工作内容的及时更新管控工作在完成重点流程的完善的同时，向全部流程的覆盖需要在总部层面完善的基础上向所有分（子）公司推广全面性提升提升内部控制与风险管理水平企业施行内部控制与风险管理的驱动因素（二）内部控制开展过程四、内部控制开展（结合案例）1、准备工作①建立内部控制组织（领导机构、工作机构）②理清咨询机构（可不聘请）③制定内部控制建设规划④确定内部控制工作范围a.业务单位范围b.业务流程范围c.IT系统和其他限制性因素⑤编制工作计划⑥开展内部控制和宣传（二）内部控制开展过程四、内部控制开展（结合案例）2、内部控制体系建设①风险评估（风险事件收集、风险分析评估）②流程梳理和评估a.流程相关概念b.建立流程框架c.梳理内部控制流程d.识别流程风险和控制e.记录内部控制f.评估内部控制③内部控制缺陷和整改④