第五章内部控制与评价

第5章内部控制及评价本章提要本章主要探讨风险管理视角下企业的内部控制及其评价方法。首先阐述企业内部控制的涵义、作用、原则、目标和基本要素。然后梳理内部控制理论的发展脉络，从内部控制理论发展的过程，推敲内部控制理念的变化和演进规律，并提出内部控制设计的框架和方法。接着引出企业内部控制评价的概念，并进一步谈论了内部控制评价的模型、方法、内容和程序。最后以商业银行、保险公司和证券公司为例，分析其内部控制的主要内容及其运行效果的评价。本章主要内容5.1企业内部控制概述5.2企业内部控制机制的设计5.3企业内部控制评价5.4商业银行的内部控制及其评价5.5保险公司的内部控制及其评价5.6证券公司的内部控制及其评价5.1企业内部控制概述5.1.1企业内部控制的涵义内部控制：企业为了保证公司战略目标的实现，而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。四个层面进行理解：1．内部控制的主体2．内部控制的目标和边界3．内部控制的风险性4．内部控制是一个过程5.1.2企业内部控制的作用1．保证国家的方针、政策和法规在企业内部的贯彻实施2．保证会计信息的真实性和准确性3．有效地防范企业经营风险4．维护财产和资源的安全完整5．促进企业的有效经营5.1.3内部控制的基本原则1．合法性原则2．全面性原则3．重要性原则4．有效性原则5．制衡性原则6．适应性原则7．成本效益原则5.1.5内部控制的基本要素内部控制的内容，由基本的5个要素组成：1．控制环境2．风险评估3．控制活动4．信息与沟通5．监控5.1.6内部控制理论的发展1．内部牵制阶段分工协作理论：把一件事情划分为多个阶段，多个层次，让多个人去共同完成，分工协作的过程中大家可以相互检查，互相监督。5.1.6内部控制理论的发展2．内部控制制度阶段内部控制制度：划分为管理控制和会计控制。用计量对企业经营活动进行核算，这就是会计控制，再通过会计信息反馈出经营成果，这两个活动相互牵制和印证，就形成了管理控制。5.1.6内部控制理论的发展3．内部控制结构阶段内部控制结构理论：企业的管理控制过程中，对人的管理尤其重要。要对人的思想、品行和道德价值观有正确的认识，才能采取相关的管理行动。对人的管理构成了控制的环境之一，由此形成了对程序、环境和会计进行控制，这三大要素构成了内部控制结构理论。5.1.6内部控制理论的发展4．内部控制结构整体框架阶段三大目标：营运目标，合法目标，报告目标五大要素：控制环境、控制活动、信息沟通、监督和风险评估5.1.6内部控制理论的发展4．内部控制结构整体框架阶段四大目标：营运目标，合法目标，报告目标、总体目标八大要素：控制环境、控制活动、信息沟通、监督、目标设定、事项识别、风险评估、风险对策5.2企业内部控制机制的设计5.2.1内部控制框架公司内部控制制度应力求全面、完整，至少在以下层面做出安排：（1）公司层面；（2）公司下属部门及附属公司层面；（3）公司各业务环节层面。5.2.1内部控制框架职责分工控制授权控制审核批准控制预算控制财产保护控制会计系统控制内部报告控制经济活动分析控制绩效考评控制信息技术控制公司建立和实施内部控制制度时，通常需要建立包含十方面内容的控制框架体系：5.2.2专项风险的内部控制1．对附属公司的管理控制2．金融衍生品交易的内部控制5.2.3内部控制的监督检查1.监督检查的方式持续性监督检查：是指企业对建立和实施内部控制的整体情况所进行的连续的、全面的、系统的、动态的监督检查。专项监督检查：是指企业对内部控制建立与实施的某一方面或者某些方面的情况所进行的不定期的、有针对性的监督检查。5.2.3内部控制的监督检查2.监督检查的职能部门企业董事会所属审计委员会、内部审计机构或者实际履行内部控制监督职责的其他有关机构。5.2.3内部控制的监督检查3.内部控制自我评估报告（1）企业董事会是否已经对建立健全和有效实施内部控制负责，并履行了指导和监督职责，能够保证财务报告的真实可靠和资产的安全完整；（2）是否已经遵循有关的标准和程序对内部控制设计与运行的健全性、合理性和有效性进行了自我评估；（3）对开展内部控制自我评估所涉及的范围和内容进行简要描述；（4）通过内部控制自我评估，是否可以合理保证本企业的内部控制不存在重大缺陷；（5）如果在自我评估过程中发现内部控制存在重大缺陷，应当披露有关的重大缺陷及其影响，并专项说明拟采取的改进措施；（6）除了已披露的内部控制重大缺陷之外，不存在其他重大缺陷；（7）自资产负债表日至内部控制自我评估报告报出日之间（以下简称报告期内）如果内部控制的设计与运行发生重大变化的，应当说明重大变化情况及其影响。5.2.3内部控制的监督检查4.内控缺陷和违规问题的处理内部控制缺陷：是指内部控制的设计存在漏洞、不能有效防范错误与舞弊，或者内部控制的运行存在弱点和偏差、不能及时发现并纠正错误与舞弊的情形。重大缺陷：是指业已发现的内部控制缺陷可能严重影响财务报告的真实可靠和资产的安全完整。5.2.3内部控制的监督检查4.内控缺陷和违规问题的处理处理方式：企业应当结合其内部控制，对在监督检查中发现的违反内部控制规定的行为，及时通报情况和反馈信息，并严格追究相关责任人的责任，维护内部控制的严肃性和权威性。5.3企业内部控制评价5.3.1企业内部控制评价的涵义企业内部控制评价：每个企业不定期或定期地对自己的内部控制系统进行评估，评估内部控制的有效性及其实施的效率、效果，以期能更好地达成内部控制的目标。5.3.1企业内部控制评价的原则全面性原则重要性原则客观性原则5.3.2企业内部控制评价的模型就目前的企业内部控制评价实践来看，主要有两类内部控制评价模型：详细评价模型风险基础模型5.3.2企业内部控制评价的模型企业内部控制内部控制框架评价设计的有效性测试运行的有效性内部控制的构成要素是否存在？内部控制的构成要素是否有效运行？评价实现内部控制目标的风险确定是否存在重大漏洞有效的内部控制无效的内部控制否是对比图5.1详细评价模型的逻辑框架图5.3.2企业内部控制评价的模型图5.2风险基础模型的逻辑结构图识别和评估企业内部控制目标实现的风险企业实际的内部控制内容识别应对目标风险的相关控制评价相关控制运行有效性的证据评价控制的设计有效性评价控制的运行有效性评价控制缺陷确定是否存在重大漏洞有效的内部控制无效的内部控制否是对比5.3.3企业内部控制评价的方法1.个别访谈法2.调查问卷法3.专题讨论会法4.穿行测试和重新执行法5.抽样法6.比较分析法7.标杆法5.3.4企业内部控制评价的主要内容内部环境的评价风险评估的评价控制活动的评价信息与沟通的评价内部监督的评价5.3.5企业内部控制评价的程序1.制定评价工作方案2.组建评价工作组3.实施现场测试4.认定内部控制缺陷5.汇总评价结果6.编制评价报告5.4商业银行的内部控制及其评价5.4.1商业银行内部控制1．内涵商业银行内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。5.4.1商业银行内部控制2．目标①确保国家法律规定和商业银行内部规章制度的贯彻执行；②确保商业银行发展战略和经营目标的全同实施和充分实现；③确保风险管理体系的有效性；④确保业务记录、财务信息和其他管理信息的及时、真实和完整。5.4.1商业银行内部控制3．要素①内部控制环境②风险识别与评估③内部控制措施④信息交流与反馈⑤监督、评价与纠正5.4.1商业银行内部控制4．原则商业银行的内部控制必须贯彻全面、审慎、有效、独立的原则。5.4.2商业银行内部控制的评价商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果等独立开展的调查、测试、分析和评估等系统性活动。5.4.2商业银行内部控制的评价监管部门对银行内部控制评价的具体内容主要包括以下几个方面，即内部控制环境评价、风险识别与评估评价、内部控制措施评价、监督与纠正评价、信息交流与反馈评价。5.5保险公司的内部控制及其评价5.5.1保险公司内部控制1．内涵保险公司内部控制是保险公司的一种自律行为，是公司为完成既定工作目标，防范经营风险，对内部各种业务活动实行制度化管理和控制的机制、措施和程序的总称。5.5.1保险公司内部控制2．目标（1）确保国家保险法律、法规和行政规章的执行和实施；（2）保证保险公司董事会（国有独资保险公司的出资人）谨慎、稳健的经营方针能够贯彻执行；（3）识别、计量、控制保险业务经营风险和资金运用风险，确保公司稳健运营；（4）保证公司资产的安全，各项报表、统计数字的真实和及时；（5）偿付能力符合监管要求；（6）提高工作效率，按质按量完成公司的各项既定工作任务。5.5.1保险公司内部控制3．要素①内部控制环境②风险识别与评估③内部控制措施④信息交流与反馈⑤监督、评价与纠正5.5.1保险公司内部控制4．原则（1）合法性原则（2）有效性原则（3）全面性原则（4）系统性原则（5）预防性原则（6）制衡性原则5.5.2保险公司内部控制的评价保险公司内部控制评价是指对保险公司及其分支机构的内部控制体系建设、实施和运行结果等独立展开的调查、测试、分析和评估等系统性活动。5.5.2保险公司内部控制的评价内部控制评价包括过程评价和效果评价。过程评价是对内部控制环境、风险识别与评估、风险控制活动、监督评价与纠正、信息交流与反馈等内部控制要素的评价。效果评价是对内部控制主要目标实现程度的评价。5.6证券公司的内部控制及其评价5.6.1证券公司内部控制1．内涵证券公司内部控制是指证券公司为实现经营目标，根据经营环境变化，对证券公司经营与管理过程中的风险进行识别、评价和管理的制度安排、组织体系和控制措施。5.6.1证券公司内部控制2．目标（1）保证经营的合法合规及证券公司内部规章制度的贯彻执行。（2）防范经营风险和道德风险。（3）保障客户及证券公司资产的安全、完整。（4）保证证券公司业务记录、财务信息和其他信息的可靠、完整、及时。（5）提高证券公司经营效率和效果。5.6.1证券公司内部控制3．要素①内部控制环境②风险识别与评估③内部控制措施④信息交流与反馈⑤监督、评价与纠正5.6.1证券公司内部控制4．原则（1）健全性（2）合理性（3）制衡性（4）独立性5.6.2证券公司内部控制的评价证券公司内部控制评价是对证券公司设计的业务和相应的风险控制措施进行有效分析和评估，在于完善证券公司内部控制管理框架，推动证券公司内部控制制度建设，防范和化解各类风险。5.6.2证券公司内部控制的评价内容：评价的内容包括经纪业务、自营业务、投资银行业务、受托投资管理业务、研究咨询业务、业务创新、分支机构管理、财务管理、会计系统管理、信息系统管理、人力资源管理等案例讨论：基建职务犯罪案居高不下