王志成企业内部控制制度体系的建立完善与执行

王志成13661021566wangzhicheng@ncepu.edu.cn第0页2010年8月企业内部控制制度体系的建立、完善与执行企业内部控制制度体系的建立、完善与执行华北电力大学经济与管理学院王志成博士13661021566王志成13661021566wangzhicheng@ncepu.edu.cn第1页2010年8月企业内部控制制度体系的建立、完善与执行王志成，管理学（会计）博士，中国注册会计师，华北电力大学会计教研室主任，硕士生导师。北京国家会计学院特聘教师、清华大学职业经理人培训中心特聘教师。曾任德勤华永会计师事务所企业风险管理服务部经理。具有近10年的管理咨询工作经验，主要的咨询领域包括内部控制、全面预算管理、会计核算、工程财务等；主要的客户包括中国电信集团公司、中国移动通信集团公司、中国铝业股份有限公司、中国通信建设总公司、中粮集团公司、国华电力公司等。2002年以来，在北京国家会计学院、清华大学职业经理人培训中心、北京大学产业文化研究所、财政部财政科学研究所、国华电力公司、中国电信集团公司及部分省公司、中国移动通信集团公司及部分省公司、中国总会计师协会做内部控制、会计制度与会计准则、全面预算管理等领域的培训讲座。2008年到2009年，作为财政部内部控制研究课题《企业内部控制实施指引——对子公司的控制》课题组组长，参与了企业内部控制实施指引的起草工作。王志成13661021566wangzhicheng@ncepu.edu.cn第2页2010年8月企业内部控制制度体系的建立、完善与执行今日主题132什么是内部控制与企业风险管理？1.1什么是内部控制？1.2内部控制的历史演进1.3中国企业内部控制规范1.4中国企业内部控制规范1.5内部控制的局限性内部控制的描述、评价与完善2.1控制环境描述2.2控制流程描述2.3设定目标2.4事项识别2.5风险评估2.6风险应对2.7控制评价2.8控制优化内部控制制度体系的执行3.1与内部控制建设有关的部门3.2制度的动态修正3.3制度考核王志成13661021566wangzhicheng@ncepu.edu.cn第3页2010年8月企业内部控制制度体系的建立、完善与执行内部控制是什么？做什么？内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。1.1什么是内部控制？王志成13661021566wangzhicheng@ncepu.edu.cn第4页2010年8月企业内部控制制度体系的建立、完善与执行1、2001年开始的一系列会计丑闻，包括：中国的银广夏、蓝天股份等；美国的安然、世界通信等；欧洲的帕玛拉特等2、美国颁布的sox法案是一部美国法律但是管辖的是在美国上市的企业3、中国企业开始关注内部控制，如中石油、中石化、华能国际、中海油、中国电信、中国移动、中国联通、中国铝业、东方航空、南方航空等。4、中国政府有关部门及监管机构开始关注内部控制国资委财政部、审计署、证监会、银监会、保监会上海证券交易所、深圳证券交易所1.2内部控制为什么会受到如此关注王志成13661021566wangzhicheng@ncepu.edu.cn第5页2010年8月企业内部控制制度体系的建立、完善与执行1.3内部控制的历史演进萌芽期——内部牵制（InternalCheck）公元前3600年-20世纪初期以前发展期——内部控制制度(InternalControl)至20世纪70年代过渡期——内部控制结构(InternalControlStructure)20世纪80年代至90年代成熟期——内部控制整体架构(InternalControlIntegratedFramework)20世纪90年代至今最新——企业风险管理框架(ERMFFamework)2005年王志成13661021566wangzhicheng@ncepu.edu.cn第6页2010年8月企业内部控制制度体系的建立、完善与执行1912年,R.H.蒙哥马利《审计——理论与实践》：“所谓内部牵制是指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度。”某位职员的业务与另一位职员的业务必须是相互弥补、相互牵制的关系即必须进行组织上的责任分工和业务的交叉控制，以便相互牵制，防止发生错误或舞弊很早以前，就已经出现了企业内部控制的初级形式——内部牵制的实践到15世纪末，随着资本主义经济的初步发展，内部牵制也发展到一个新的阶段。以在意大利出现的复式记帐方法为标志，内部牵制逐渐成熟18世纪产业革命以后，企业规模逐渐扩大，公司制企业开始出现。20世纪初，美国的一些企业逐渐摸索出一些组织、调节、制约和检查企业生产经营活动的办法内部牵制制度规定有关经济业务或事项的处理不能由一个人或一个部门总揽全过程1.3.1内部牵制阶段王志成13661021566wangzhicheng@ncepu.edu.cn第7页2010年8月企业内部控制制度体系的建立、完善与执行内部会计控制内部管理控制1.3.2内部控制制度阶段1958年美国注册会计师协会(AICPA)所属的审计程序委员会发布的第29号审计程序公报《独立审计人员评价企业内部控制的范围》，将企业内部控制分为内部会计控制和内部管理控制两类，这一提法也是现在我们所熟知的企业内部控制“制度二分法”的由来王志成13661021566wangzhicheng@ncepu.edu.cn第8页2010年8月企业内部控制制度体系的建立、完善与执行内部控制结构控制环境会计系统控制程序美国注册会计师协会(AICPA)于1988年5月发布了《审计准则公告第55号》（（SAS55）。在公告中，以“企业内部控制结构”概念取代了“企业内部控制制度”，并指出“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”。公告认为企业内部控制结构包括以下三个要素：1.3.3内部控制结构阶段王志成13661021566wangzhicheng@ncepu.edu.cn第9页2010年8月企业内部控制制度体系的建立、完善与执行保证信息能及时有效地沟通的流程•来自高级管理层的信息•政策及流程•培训•道德标准信息及沟通控制活动风险评估控制环境持续监控判定内控制度设计的充分性，执行的有效的流程•信息披露委员会•内部审计对内部、外部影响企业绩效的因素的评估•业务风险管理•流程风险管理•内部审计风险管理企业内部控制的道德意识，是“来自高层的声音”•道德标准•成文的制度及政策确保风险管理活动被及时执行的政策和流程•授权•批准•日常操作流程及系统•职责分离•会计对帐•信息系统控制1.3.4COSO架构王志成13661021566wangzhicheng@ncepu.edu.cn第10页2010年8月企业内部控制制度体系的建立、完善与执行1.3.4内部控制的整体框架(续)企业目标经营效率经营效果会计报告可信性遵循法律法规内部控制控制环境风险评估信息与沟通控制活动监督实施者董事会经理层员工王志成13661021566wangzhicheng@ncepu.edu.cn第11页2010年8月企业内部控制制度体系的建立、完善与执行1.3.4内部控制的整体框架(续)信息与沟通持续监控控制活动风险评估控制环境COSO建立公司层面的目标和风险评估过程制定识别，传达会计准则变化（GAAP)及内部控制或其运行环境变化的程序参股公司层面目标建立具体的活动目标制定必要的政策和程序使该政策和程序所包含的控制在实践中得以贯彻实施管理层制定清晰明确的财务及经营目标并进行差异分析和追踪合理分配工作职责以降低舞弊风险保护文档，记录及实物资产的安全确保信息系统安全，对信息系统安全政策及程序的合规性进行监控信息系统为管理层决策提供支持开放并改善信息系统以适应公司的战略目标管理层提供保证并监控在信息系统开发和测试中的人力和财务资源的参与度管理层对所有主要数据中心建立业务持续计划/灾难恢复计划管理层对员工的责任和职责进行有效沟通并建立针对潜在问题的沟通渠道来自外部的信息在公司内部及时有效的进行沟通，使管理层能够采取及时适合的行动定期评估内部控制及人员实施内部控制管理意见，及时改进缺陷，适当回应监管部门的报告及建议管理层利用内部审计协助进行监控内控中的个别（专项）评价流程汇报内控缺陷流程管理层的正直，道德价值观和行为管理层的控制意识和运作类型管理层对员工能力的承诺董事会和审计委员会的监督组织架构已经权责的分配授权的界面应该清晰人力资源政策和实践王志成13661021566wangzhicheng@ncepu.edu.cn第12页2010年8月企业内部控制制度体系的建立、完善与执行1.3.5企业风险管理八大要素内部环境风险管理理念、风险文化、董事会胜任能力评估、管理方法与经营模式风险偏好目标制定战略目标-其他相关目标-选择目标-风险偏好-风险容忍度事件识别事件-影响战略及目标的因素-方法和技术-事件相互依存性-事件类别-风险和机遇风险评估固有风险-残存风险-可能性和影响-方法和技术-相关性风险对策确认风险对策-评估风险对策-选择对策方案-风险组合观控制活动与风险对策相结合-控制活动类型-一般控制-应用控制-特定主体信息与沟通信息-战略和整合系统-沟通监控个别评估-持续评估事件识别、风险评估、风险对策属原内部控制要素之“风险评估”的细化王志成13661021566wangzhicheng@ncepu.edu.cn第13页2010年8月企业内部控制制度体系的建立、完善与执行1.4中国企业内部控制规范1.4.1国资委2006年6月6日，印发《中央企业全面风险管理指引》，共有十章，七十条，全面启动国有企业风险管理。•第一章总则•第二章风险管理初始信息•第三章风险评估•第四章风险管理策略•第五章风险管理解决方案•第六章风险管理的监督与改进•第七章风险管理组织体系•第八章风险管理信息系统•第九章风险管理文化•第十章附则王志成13661021566wangzhicheng@ncepu.edu.cn第14页2010年8月企业内部控制制度体系的建立、完善与执行1.4中国企业内部控制规范（续）1.4.2财政部、证监会、审计署、银监会、保监会2008年6月28日五部委联合发布《企业内部控制基本规范》。自2009年7月1日起在上市公司范围内实施。•企业内部控制应用指引（征求意见稿）（目前共22项，分别是资金、采购、存货、销售、工程项目、固定资产、无形资产、长期股权投资、筹资、预算、成本费用、担保、合同协议、业务外包、对子公司的控制、财务报告编制与披露、人力资源政策、信息系统一般控制、衍生工具、企业并购、关联交易、内部审计）•企业内部控制评价指引（征求意见稿）•企业内部控制鉴证指引（征求意见稿）王志成13661021566wangzhicheng@ncepu.edu.cn第15页2010年8月企业内部控制制度体系的建立、完善与执行1.4.3证监会和证券交易所•2005年10月，中国证监会出台《关于提高上市公司质量意见》，随后，2005年10月19日，国务院对该意见进行批转。•2006年5月17日，中国证券监督管理委员会发布第32号令——《首次公开发行股票并上市管理办法》。该办法第29条规定“发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告”。•2006年5月12日，深圳证券交易所发布公开征求《上市公司内部控制指引》意见的通知。•2006年6月5日，上海证券交易所出台了《上海证券交易所上市公司内部控制指引》。1.4中国企业内部控制规范（续）王志成13661021566wangzhicheng@ncepu.edu.cn第16页2010年8月企业内部控制制度体系的建立、完善与执行1.5内部控制的局限内部控制的局限主要表现在：内部管理人员滥用职权、蓄意营私舞弊等，