对内部控制自我评估的研究与启示v51

1课题：内部控制自我评价目录前言...................................................................................................................2第一章内部控制概论....................................................................................6第一节内部控制的定义....................................................................................................6第二节内部控制运行过程................................................................................................7第三节企业对内部控制理解的误区................................................................................8第二章内部控制自我评价的概念...............................................................12第一节内部控制评价与内部控制自我评价..................................................................12第二节内部控制自我评价的概念..................................................................................12第三章内部控制自我评价的必要性...........................................................13第四章美国内部控制自我评价法规指引对我国企业的启示....................17第五章企业内部控制评价体系的建设.......................................................23第一节企业内部控制自我评价体系三维模型..............................................................24第二节组织与人员..........................................................................................................26第三节风险评估..............................................................................................................30第四节方法与程序..........................................................................................................52第五节信息与沟通..........................................................................................................62第六节监督与考核..........................................................................................................642前言一、课题背景进入21世纪以来，美国证券市场相继爆发了安然、世界通讯、施乐、默克制药等一系列财务造假丑闻，这些丑闻使人们对美国上市公司信息披露的真实性产生质疑，动摇了包括美国在内的全球投资者对美国资本市场的信心，同时暴露出美国公司治理结构的不平衡和外部监督的缺失，为美国经济前景蒙上了阴影。为了提高民众对美国资本市场、政府经济政策的信心，消除对上市公司财务报表真实性的担忧，2002年7月30日美国总统布什签署了《萨班斯-奥克斯利法案》（以下简称“萨班斯法案”）。萨班斯法案的出台不仅对美国资本市场产生了巨大的影响，它也引发了其他国家监管机构对内部控制的高度重视。各国纷纷借鉴美国的经验，制定了一系列的监管规定，对企业内部控制的建设、评价和披露提出相关要求。近年来，我国从国内企业的实际情况出发，吸收了国际上的先进成果，在内部控制相关制度体系的构建方面取得了显著进展。特别是2008年6月，财政部、证监会、审计署、银监会及保监会五部委联合发布了《企业内部控制基本规范》，从内部环境、风险评估、控制活动、信息与沟通以及内部监督五大要素的角度，对于中国企业应如何建立和维持有效的内部控制提出了原则性的要求，建立了具有中国特色的内部控制框架。同时，基本规范还要求适用企业对内部控制有效性进行自我评价，披露年度自我评价报告，并可聘请会计师事务所对内部控制的有效性进行审计。此后，财政部等五部委又于2010年4月发布了《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》作为《企业内部控制基本规范》的配套指引，指导企业开展内控建设和评价工作，指导审计师实施内部控制审计。3上述规范和指引均属原则性要求，企业只有在实施过程中准确理解并灵活运用这些原则，才能使企业内部控制的有关工作可以事半功倍。特别是，对于按规定须于2011年1月1日起施实《企业内部控制基本规范》和配套指引的企业，做好内部控制的自我评价工作并按照相关监管规定，按时、保质的披露自我评价报告更是迫在眉睫。许多企业由于是第一次从事内部控制的自我评价工作，缺乏相关工作经验或相关工作经验有限，在实践过程中，当突然遇到这样或那样的实际操作性问题时就会觉得事发突然，无从下手，难以把握，因而会非常急切地希望了解其他具有相关经验的企业和咨询机构在面对同样的问题时如何应对。在上述背景下，本课题以探讨企业在内部控制自我评价过程中可能遇到的问题为出发点，从理论应用和实例分析两个纬度展开研究。二、思路及内容概述第一章，内部控制概论。准确理解内部控制的内涵是研究和实施内部控制自我评价的首要前提。内部控制自我评价工作难以有效实施的问题之一是参与评价的人员没能真正了解什么是内部控制，在执行相关工作过程中，将控制活动与内部管理制度或一般经营活动相混淆。对评价对象的错误理解，导致企业内部控制自我评价工作的工作效率低，成效差，表面上看好像没有发现问题，实际上，真正的控制点没能被包括在测试范围内，而未测试控制点的失效可能引发的风险被掩盖，无人察觉。另一方面，对内部控制的不理解，也使参与内部控制自我评价工作的评价人员无法充分发挥主观能动性，积极地参与到内部控制的持续完善工作中。因此，本文在开篇对内部控制的内涵进行了介绍，以明确本文所研究的内部控制的具体含义，从而为后文的研究及观点阐述奠定基础。4第二章，内部控制自我评价的概念。在阐明内部控制的涵义后，本章节对本文的研究对象—“内部控制自我评价”的概念进行界定。第三章，内部控制自我评价的必要性。对于企业来说，实施内部控制自我评价不仅是为了应付监管机构的要求，同时也是企业自身健全内部控制体系、防范风险的需要。本章节论述了内部控制自我评价工作在内控体系建设、财务报表质量以及企业形象等三方面的重要作用，进而说明企业做好内部控制自我评价的意义。第四章，内部控制自我评价相关法规和指引。各国政府及监管机构在为所辖企业提出该如何搭建内部控制自我评价体系的相关规定和指引前均投入了大量的人力物力，以研究并论证其将提出的指引如何才能具有实务操作性和广泛适用性，并能够切实解决企业在实施内部控制评价的过程中存在的普遍疑惑和问题。因而，这些法规和指引对于企业具有重要的借鉴意义。本章节将美国与中国有关内部控制自我评价的监管制度体系和法规要求进行了比对分析，为企业深入思考该如何搭建适用于本企业的内部控制自我评价体系提供了更为广泛的参考信息。第五章，企业内部控制自我评价体系的建设。众多国内企业在搭建自身的内部控制评价体系的过程中往往只关注评价程序和方法这两个方面的内容，而忽略了仅有程序和方法可能无法确保评价工作能够有效地持续开展。正如建立一个有效的内部控制体系需要内部环境、风险评估、控制活动、信息与沟通和内部监督这五要素相辅相成，内部控制自我评价工作的有效进行也需要一个完整的体系来提供全方位的保障。企业可以考虑从组织与人员、风险评估、方法与程序、信息与沟通、监督与考核这五方面着手建立企业内部控制自我评价体系。本章内容从组织与人员、风险评估、方法与程序、信息与沟通、监督与考5核这五个方面展开，其中各小节均从企业内部控制自我评价过程中可能存在的问题入手展开分析，提示企业予以关注。6第一章内部控制概论第一节内部控制的定义1992年，美国反欺诈财务报告全国委员会（NationalCommissiononFraudulentFinancialReporting）的发起组织委员会(CommitteeofSponsoringOrganizations，简称COSO)发布了著名的《内部控制——整合框架》，即“COSO报告”，提出了内部控制整体框架思想，将内部控制定义为：“内部控制是一个由企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：一是财务报告的可靠性；二是经营的效果和效率；三是符合适用的法律法规。”COSO报告将内部控制结构划分为五个部分，分别是控制环境、风险评估、控制活动、信息与沟通、监督。COSO报告对于内部控制的定义在历经了多年的实践考验后，已成为国际公认的理念，COSO内部控制框架也被广泛地作为企业内部控制体系建立与评价的标准。通过借鉴国外的先进经验和多年的实践摸索，随着《企业内部控制基本规范》的颁布，我国对于内部控制涵义的解读已取得了重大的突破并与国际先进理念接轨。2008年5月，财政部等五部委在联合发布的《企业内部控制基本规范》中对内部控制进行了如下定义：“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”。内部控制目标为五个方面，即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。这一定义首先强调了企业领导者尤其是董事会、监事会和经理层在建立与实施内部控制中的重要作用；其次，明确了内部控制是全体员工的共同责任；此外，明确指出内部控制是一个动态的概念，是对企业生产经营过程的控制，也是对实现企业发展目标的控制，同时还是一个不断优化、完善的过程；最重要的是，该定义将内部控制目标在“合法合规、财务可靠、经营效率与效果”的基7础上进行了细分和扩展：一方面将“资产安全”目标从财务报告目标中细分出来，另一方面增加了“促进企业实现发展战略”的目标。该定义对中国企业的内控体系建设提出了进一步的要求，企业需要通过内控体系的建立和完善，在经营效率和效果方面更上一层楼，从而促进企业实现发展战略。第二节内部控制运行过程如前所述，内部控制不是静态的，而是一个持续优化和完善的过程。这一过程是由设计、执行、评价和改进四个环节所构成的闭环。其中：一、内部控制的设计企业需要针对影响目标实现的风险进行识别、评估和应对，为确保有效实施风险应对，企业需要设计一整套内部控制体系。内部控制设计是内部控制循环的基础。内部控制设计的载体通常是企业制定的各种内部控制制度。二、内部控制的执行内部控制执行是对内部控制设计的运用。内部控制设计的再完美，若不加以实施就如同纸上谈兵，毫无意义。三、内部控制的评价正如一个健康的人也需要定期体检一样，任何一个完善的