企业内部控制规范：逻辑结构与操作实务.ppt

企业内部控制规范：逻辑架构与操作实务 企业内部控制规范解读,财政部财政科学研究所 徐玉德,内部控制专题清华,2023/2/21,主要内容,二、中国企业内部控制的发展与逻辑架构,2,一、全球化视野下的企业内部控制,三、企业内部控制基本规范解读,四、企业内部控制配套指引解读,一、全球化视野下的企业内部控制,（一）为什么要实施内部控制（二）国外内部控制的发展与演进（三）全球化视野下内部控制的特点,管理的五大职能,计划组织人事领导控制,控制机制,预定状态参数(计划、标准),调节行为(行政的、经济的、法律的、文化的),参数比较分析(差异及原因),实际状态参数(记录、报表、印象),控制对象(运行中的系统),必要条件,控制前提,核心环节,控制能力,欺诈、腐败与造假,案例一：美国安然公司(Enron)2001年，安然是美国最大的石油和天然气企业之一年末，安然宣布第三季度录得6.4亿美元的亏损，美国证监会对该公司进行调查，发现该公司在1997以来虚报利润5.8亿美元年末，安然申请破产保护令，但在之前10个月内，公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利2006，安然公司主席及首席执行官被美国法院认定有罪安然公司前创始人受6项欺诈及做假指控，最高判刑为45年监禁，而4项银行欺诈指控还将给他带来最高120年监禁的判决针对前首席执行官的19项指控的可判刑期加起来也将高达185年首席财务官也被判刑10年调查发现：安然的董事会及审计委员会均采取不干预(“hands-off”)监控政策 事件发生之后，部分董事表示不太了解安然的财务状况、期货及期权的业务 安然重视短期的业绩指标 安然管理高层常常藐视或推翻公司制定的内控制度,案例二：美国世通公司(Worldcom)世通是美国第二大的电信公司2002年，被发现利用把营运性开支反映为资本性开支等方法，虚报利润735亿美元2002年末申请破产保护令，成为美国历史上最大的破产个案美国法院处罚认定四名主管(包括公司的CEO和CFO)承认串谋讹诈，被联邦法院刑事起诉2005年董事长及首席执行官被判入狱25年，当时已经63岁调查发现：世通的董事会持续赋予公司的首席执行官(Bernard Ebbers)绝对的权力，让他一人独揽大权美国证监会的调查报告指出：世通完全没有制衡机制世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金,欺诈、腐败与造假,国内近年来的案例琼民源银广夏巨人集团,欺诈、腐败与造假,案例引发的反思,1.熟悉企业本身的业务与相关风险？切记：避免制定不切实际的目标或盲目扩展投资，使企业承受无谓的风险2.建立内控和相互制衡的机制？切记：权力过分集中就会出现腐败的情况3.紧盯着现金？所有犯案、挪用公款和偷窃行为均与现金有关常言：“会计数字只是参考意见，现金才真正令你感到踏实。”4.合理制定绩效评估与激励机制？“如果你发现精明的员工做出蠢事，你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。”,案例引发的反思,5.建立规范和健全的财务报告系统？财务报告系统必须有能力为企业提供及时、准确和具高分析性的财务资料，以帮助管理层管理业务和赢取股东的信心6.深化企业风险管理文化？建立健康的企业文化及价值观，企业必须 由上而下，身体力行，建立严谨的“风纪”，使员工能上行下效 订立管理原则和行为规范 通过绩效管理的方法，鼓励正确的行为和态度加强培训和沟通 企业必须建立有效机制，使员工能从企业本身或其他企业所犯的错误(或接近犯错)的经验中，吸取教训,为什么控制,+,+,控制什么,谁来控制,帮助达成组织目标,风险:人，物与资金，信息,董事会 总裁室 经理层 员工层,=,什么是内部控制,实现有效控制的过程,衡量成效,纠正偏差,确立标准,结果,执行,制定控制标准衡量工作绩效纠正偏差,内部控制的类型,1预防性控制2检查性控制3纠正性控制4补偿性控制,事前事中事后,内控的作用：错弊三角理论,机会,借口,压力,内控的作用：GONE理论,与三角论一样的，还是机会！强调“贪婪”！,机会O,需要N,贪婪G,暴露E,一、全球化视野下的企业内部控制,（一）为什么要实施内部控制（二）国外内部控制的发展与演进 到源头去，到师傅那儿去（三）全球化视野下内部控制的特点,西方内部控制的五段路,192040年代,194070年代,21世纪以来,内部牵制,内控制度,全面风险管理,复杂性,198090年代,内控结构,1990年代,内控整体框架,二分法三分法五要素八要素?,内部控制制度阶段,以“表”为目的内控评价成为抽样审计的出发点，开始超出会计范畴。,要评价,不评价,内部控制结构阶段,以“法”为目的水门事件1979反国外贿赂法1979年，SEC新要求,1974，尼克松辞职,1988年，AICPA，审计准则公告第55号,内控是为合理保证企业特定目标的实现而建立的各种政策和程序。,COSO“整体框架”,值得强调的新观点,动态：动态过程，管控融合软化：环境影响，软性控制全面：全员控制，强调责任平衡：合理保证，成本效益,在其他国家,加拿大COCO，1995英国ICAEW，1999，Turnbull报告巴塞尔银行监管委员会，1997,全面风险管理阶段,2001，安然事件2002，SOX法案2004，ERM,安然事件,罪过安然：债务和权益的假账安达信：独立性；销毁审计档案对审计的影响：审计模式是制度基础还是风险导向审计；如何确保独立性,SOX法案第404条款,要求公司年报中包括一份“内部控制报告”，该报告应明确：管理层负责建立内控管理层评估内控的有效性,中国企业的美式挑战？,企业风险管理(ERM)的定义,由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。,CRO，首席风险官,为啥？,谁做？,做啥？,企业风险管理(ERM)框架,ERM相比94版框架的变化,目标：增加战略目标，报告目标变广风险观念：提出企业总体层面的风险组合环境：提出风险偏好、风险容忍度概念要素：从控制环境到内部环境，更宽新增目标设定、事项识别、风险应对三个要素,一、全球化视野下的企业内部控制,（一）为什么要实施内部控制（二）国外内部控制的发展与演进（三）全球化视野下内部控制的特点,二、中国企业内部控制的发展与逻辑架构,（一）中国企业内部控制的沿革与发展（二）新内控规范体系的逻辑架构出台背景、部门利益权衡、基本架构（三）新规范体系的创新与发展（四）新规范体系适用范围及实施要求,二、中国企业内部控制的发展与逻辑架构,（一）中国企业内部控制的沿革与发展（二）新内控规范体系的逻辑架构出台背景、部门利益权衡、基本架构（三）新规范体系的创新与发展（四）新规范体系适用范围及实施要求,背景介绍,根据经济发展需要和国务院领导指示精神，2006年7月15日，财政部会同国资委、证监会、审计署、证监会、银监会、保监会等部门发起成立企业内部控制标准委员会，合力推进中国内部控制标准体系建设。,背景介绍,事件1：2007年3月5日，发布企业内部控制基本规范和17项具体规范（征求意见稿）。事件2：2007年5月，南京内控研讨会确定以全面风险管理为导向的中国内控体系建设模式。事件3：2008年3月-4月，与COSO委员会就中国内控规范国际趋同展开会谈，并得到“在所有主要方面与国际先进框架保持一致”的认可。事件4：2008年6月28日，由财政部、证监会、审计署、银监会、保监会五部委联合发布企业内部控制基本规范事件5：2009年4月，企业内控配套指引正式会签五部委。事件6：2010年4月15日，财政部等五部委正式发布企业内部控制应用指引第1号组织架构等18项应用指引，企业内部控制评价指引和企业内部控制审计指引自2011年1月1日起在境内外同时上市的公司施行，自2012年起在上海证券交易所、深圳证券交易所主板上市公司施行，在此基础上择机在中小板和创业板上市公司施行，鼓励非上市大中型企业提前执行,背景介绍,2023/2/21,我国企业内部控制规范体系架构,体系构成,36,2023/2/21,我国企业内部控制规范体系架构,应用指引体系,37,规范体系的创新与发展,1.构建了一个标准框架构建了一个内部环境优化、风险评估科学、控制措施得当、信息沟通迅捷、监督制约有力的内部框架结构形成了由基本规范、应用指引、评价指引、审计指引四部分组成的层次分明、衔接有序的内部控制标准体系2.强化了一种内部控制理念强调“建立健全教育、制度与监督并重，惩防并举，重在防御”的反舞弊长效机制要求企业将有效实施内部控制纳入绩效考评体系，实现由内部牵制、但以会计控制向全面、全员、全程的风险控制观念转变3.建立了一套内部控制措施对授权审批控制、会计系统控制、财产保护控制、预算控制、营运分析控制和绩效考评控制等提出了严格规范和要求强化了对财务报告信息和其他管理信息的约束，提高企业资源管理与利用的安全性与有效性,规范体系的创新与发展,4.夯实了一个制度基础促进会计准则体系和其他有关法规制度有效执行推动企业各项规章制度令行禁止的重要机制保障5.确立了一个实施模式以政府部门合理推动为主导、各单位组织实施为基础、会计事务所等中介服务机构为支撑自我评价、政府监管和社会评价有机结合的内部控制标准建设与实施模式6.搭建了一个联动平台完备的会计法规为会计改革与发展创造良好的法制环境健全的会计审计准则为提高会计信息质量和做好资本市场信息披露工作提供制度基础统一的内部控制规范体系为确保会计审计准则的有效实施和维护社会公众利益构筑了一道“防火墙”协调的会计监管为促进会计审计、内控目标的实现提供机制保障创新人才评价机制和会计考试制度为科技事业的发展壮大提供人才保证科学的信息化标准和业务规范为会计工作现代化提供技术支撑,二、中国企业内部控制的发展与逻辑架构,（一）中国企业内部控制的沿革与发展（二）新内控规范体系的逻辑架构出台背景、部门利益权衡、基本架构（三）新规范体系的创新与发展（四）新规范体系适用范围及实施要求,适用范围及实施要求,必须执行：境内大中型企业基本规范自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行(3-5年内)时间表：2011年境内外上市的，2012年上交所深交所上市的，择机中小板创业板，鼓励大中型企业提前执行执行的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计(按年),中国企业规模的划分标准,根据国家统计局统计上大中小企业划分办法，以从业人员数、销售额和资产总额三项指标为划分依据将工业、建筑业、交通运输、仓储和邮政业、批发和零售业、住宿和餐饮业的企业划分划分企业规模,三、企业内部控制基本规范解读,（一）企业内部控制五大目标（二）企业内部控制五个原则（三）企业内部控制五大要素,基本规范-五个目标,三、企业内部控制基本规范解读,（一）企业内部控制五大目标（二）企业内部控制五个原则（三）企业内部控制五大要素,基本规范-五个原则,什伍连坐制；.99法则,三、企业内部控制基本规范解读,（一）企业内部控制五大目标（二）企业内部控制五个原则（三）企业内部控制五大要素,2023/2/21,我国企业内部控制基本规范,内部控制的要素,48,内部环境,风险评估,控制活动,信息与沟通,内部监督,内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等 内部环境设定了一个组织的基调，影响着员工的控制意识，营造着有利于内部控制有效运行的氛围，它是内部控制其他构成要素的基础,2023/2/21,我国企业内部控制基本规范,内部控制的要素,49,内部环境,风险评估,控制活动,信息与沟通,内部监督,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略 风险分析通常包括估计风险的重要性，评估其发生的概率,2023/2/21,我国企业内部控制基本规范,内部控制的要素,50,内部环境,风险评估,控制活动,信息与沟通,内部监督,控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内 控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等,2023/2/21,我国企业内部控制基本规范,内部控制的要素,51,内部环境,风险评估,控制活动,信息与沟通,内部监督,内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进,四、企业内部控制配套指引解读,四、企业内部控制配套指引解读,（一）应用指引（二）评价指引（三）审计指引,应用指引,应用指引由18个项目构成，分为三个层面：企业层面：组织架构；发展战略；人力资源；社会责任；企业文化（5项）业务层面：资金活动；采购业务；资产管理；销售业务；研究与开发；工程项目；担保业务；业务外包（11项）综合层面：全面预算；合同管理；财务报告；内部信息传递 信息系统（5项）涵盖了企业层面和业务层面的主要控制环节，覆盖了企业资金流、人力流、实物流和信息流的方方面面。,应用指引-企业层面,企业层面-组织架构,研究表明，组织架构往往与企业发展战略相适应，并为人力资源管理提供基本框架。组织架构包括公司治理层面和内部机构设置层面。“一支笔”、“一杆枪”打天下的时代不复存在。垂直型和矩阵式组织架构是否仍然适用？,企业层面-组织架构,组织架构设计与运行关注的主要风险：治理结构形同虚设，缺乏科学决策和良性运行机制，可能导致企业经营失败，难以实现发展战略。（董监高、六会“会审”、三重一大决策）组织机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉、推诿扯皮，运行效率低下。,企业层面-发展战略,企业失败的两个主要原因：过度激进导致风险爆炸（90年代多元化浪潮）；观望保守丧失发展机会发展战略的两层含义：发展目标和战略规划如何确保发展目标制定过程的科学性？如何确保战略规划（中长期、短期计划）的有效实施？,企业层面-发展战略,制定与实施发展战略关注的主要风险：缺乏明确的发展战略或实施不到位，可能导致盲目发展，丧失发展机遇、动力和后劲。发展战略过于激进，脱离企业实际或偏离主业，可能导致企业过度扩张或经营失败。发展战略因主观原因频繁变动，可能损害企业发展的连续性或导致资源浪费。,企业层面-人力资源,见时事兵事，过绝于人。（孙子兵法）中国企业人力资源现状：人员冗余与合适人才供给不足并存。高安德：中国要成功实现从制造业到服务业为主的转型，必须着手提高大学毕业生的素质。人力资源控制的核心：大胆使用，严密监控；人样用你，贼样防你。,人力资源规划岗位分析招聘与选拔招聘程序筛选与录用招聘面谈招聘测试,企业层面-人力资源,企业层面-人力资源,人力资源管理关注的主要风险：人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术泄密。（华为现象）人力资源退出机制不当，可能导致法律诉讼或企业声誉受损。,企业层面-社会责任,米尔顿弗里德曼：商业的本质就是盈利拉帕波特：企业价值最大化即股东价值最大化理查德瓦格纳：企业至上宗旨是对股东利益的反馈、收益性和现金流量。思考：社会责任与企业盈利真的是不相容的吗？对于这个问题，会计利润表早就给出答案！,企业层面-社会责任,履行社会责任关注的主要风险：安全生产措施不到位，责任不落实，可能导致企业发生安全生产事故。产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损甚至破产。环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲或停业。促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展。,企业层面-企业文化,文化建设与内控运行有着极大的互动作用。中国企业文化=领导文化？（从领导做起）文化建设是一项长期而又重要的任务，必须要和制度建设、法制建设协同进行。,企业层面-企业文化,加强文化建设关注的主要风险：缺乏积极向上的企业文化，可能导致员工丧失对企业的认同感，企业缺乏竞争力。缺乏开拓创新、团队协作和风险意识，可能导致企业发展目标难以实现，影响可持续发展。忽视企业并购重组中的文化差异和理念冲突，可能导致并购重组失败。,应用指引-业务层面,业务层面控制,财务报告,银行、证券、保险业务,资金活动,采购业务,资产管理,销售业务,担保业务,业务外包,研究开发,工程项目,业务层面-研究与开发,国家经济增长靠提高“国民生产总值”企业价值增长靠提高“销售、利润、股价”(华尔街模式：通过资本买卖哄抬企业股价)反思：这样的观点对不对？！真正的经济增长从来只能依靠“真正的技术革新”真正的企业增长也只能依靠“研发与自主创新”,业务层面-研究与开发,开展研究与开发活动关注的主要风险：研究项目未经科学论证或论证不充分，可能导致创新不足或资源浪费。研发过程管理不善，可能导致研发成本过高、舞弊或研发失败。研究成果转化利用不足、保护措施不力，可能导致企业利益受损。,业务层面-担保业务,三角债债转股担保由第三方为债务人的商业信用和经济行为担保，承担债务人的责任和义务。担得起，保得住（能不能担？有没有实力保？）,业务层面-担保业务,办理担保业务关注的主要风险：对担保申请人的资信状况调查流于形式，审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈。对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致企业承担连带经济责任。担保过程中存在舞弊行为，可能导致经办审批等相关人员涉案或企业利益受损。,业务层面-业务外包,手机行业：成熟量产型产品外包（爱立信二代手机外包）电信行业：话音业务外包金融行业：IT服务外包（国开行与惠普的战略性外包合作）财富：全球年收入5000万美元以上的公司普遍存在外包业务，且这一趋势仍在增长。全球所有外包业务活动，60%集中在美国。利：分担风险；加速业务重构；提高效率；优化配置 弊：减少监控；人才流失；文化冲突；商业泄密；核心外包,业务层面-业务外包,业务外包关注的主要风险：外包范围确定不合理、承包方选择不当，可能导致企业遭受损失。外包业务监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势。业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案。,应用指引-其他指引,综合控制,信息系统,内部信息传递,合同管理,全面预算,综合控制-全面预算,全面预算与内部控制（1）预算与内部环境：预算有利于优化组织环境（2）预算与风险评估：预算以风险评估为基础（3）预算与控制活动：预算过程即价值与数量控制（4）预算与信息沟通：自上而下、自下而上信息流（5）预算与内部监督：预算考评是监督的组成部分 为此，全面预算指引主要回答两个问题：第一，如何利用预算强化内控；第二，为了更好达到第一层目标，预算过程本身应当如何管控。,综合控制-全面预算,实行全面预算管理关注的主要风险：缺乏预算或预算体系不健全，可能导致企业盲目经营。预算目标不合理、预算编制不科学，可能导致企业资源浪费或发展目标难以实现。预算缺乏刚性、执行不力、考核不严，可能导致预算管理流于形式。,综合控制-合同管理,合同是经济活动中最常见的契约形式。市场经济就是合同经济。合同的本质是对交易行为中权利义务关系进行合法化的过程。合同包括书面合同与口头合同。劳务合同的特殊性。,综合控制-合同管理,合同管理关注的主要风险：未订立合同、合同内容存在重大疏漏，可能导致企业合法权益受到侵害。合同履行不力或监控不当，可能导致诉讼失败，经济利益受损。合同纠纷处理不当，可能损害企业信誉和形象。,四、企业内部控制配套指引解读,（一）应用指引（二）评价指引（三）审计指引,自我评价制度和外部审计制度,美国：反国外贿赂法（1977）萨班斯法案（2002）日本：金融工具交易法（2006）中国：企业内部控制基本规范 执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。,评价指引,评价的目标和责任主体评价的依据和内容评价的程序和方法内控缺陷的认定和整改评价报告的编制与报送,评价指引-评价报告,评价报告=评价表+附注评价表是对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素的综合性评定。报告附注是对评价过程和结论的进一步描述。,评价指引-报告附注,董事会对内部控制报告真实性的声明。内部控制评价工作的总体情况。内部控制评价的依据。内部控制评价的范围。内部控制评价的程序和方法。内部控制缺陷及其认定情况。缺陷整改情况及重大缺陷拟采取的整改措施。内部控制有效性的结论。,四、企业内部控制配套指引解读,（一）应用指引（二）评价指引（三）审计指引,审计指引,评价指引与审计指引的关系评价指引与审计指引的区别 根本出发点不同（管理改进；信息真实）评价目标不同（战略目标等；财务目标）评价范围不同 评价结论不同,五、我国企业内部控制制度实施及面临的挑战,（一）企业内部控制制度设计与评价（二）我国企业实施内部控制面临的挑战（三）实施内部控制必须树立十个理念,依 据借鉴内部控制理论参考内部控制范例根据内部控制法规结合企业管理实际,内控设计的原则与依据,原 则相互牵制原则协调配合原则岗位匹配原则成本效益原则整体结构原则,内部控制设计步骤,调研访谈整合控制流程鉴别控制环节确定控制措施,规划与确定目标,流程诊断优化,手册与培训,定期评价与修改调整,资金支付业务流程,销售与收款业务流程,销售部门,会计部门,仓储部门,接受客户订单,开出销售单,信用审核,开出销售发票，通知仓库发货,记账，追讨账款,顾客,接受通知，发货,流程图的另一种画法,内控自评概述,评价内容：五要素的有效性评价组织：专门机构和人员内控缺陷的认定：尤其非财务报告类；定量与定性评价报告：工作底稿；评价表,五、我国企业内部控制制度实施及面临的挑战,（一）企业内部控制制度设计与评价（二）我国企业实施内部控制面临的挑战（三）实施内部控制必须树立十个理念,内部控制的局限,成本限制；合谋、串通；有规不依管理层凌驾于内控之上；屈从于外部压力而失效；人为错误精力分散、身体不适、粗心大意理解错误、判断失误、曲解指令,内部控制的局限,经济活动的不断变化内控仅针对常规业务活动因经营环境、业务性质的改变而削弱或失效。,我国企业内部控制十大问题,1、出纳领取银行对账单、编制银行存款余额调节表2、领导“一只笔”审批，缺乏完善内控制度和流程保障3、过于依赖业务人员，企业资源掌握在个人手中，企业对业务开展失去控制4、内部控制制度文字描述性东西较多，清晰的流程图和配套表单较少5、内部控制制度“救火式”的较多，制度体系缺乏系统性和完整性，甚至政出多门，相互打架6、员工临时休假或出差时，缺乏明确的工作交接制度7、人员招聘时注重笔试和面试的考察，忽视背景调查。背景调查是不难发现问题的8、关键岗位无强制轮换或带薪休假制度9、过分强调控制成本，经常将效率作为弱化或逾越内部控制的理由10、说一套，做一套，制度放空炮,2023/2/21,我国上市公司内部控制存在的问题（安永，2010）,97,五、我国企业内部控制制度实施及面临的挑战,（一）企业内部控制制度设计与评价（二）我国企业实施内部控制面临的挑战（三）实施内部控制必须树立十个理念,2023/2/21,企业内部控制的十个现代理念,理念一内部控制只是管理系统的一部分,99,管理的四个基本职能：计划、组织、领导和控制 内部控制本身不能为企业指明方向和提供动力，本身不能实现增长和创造利润，它只是保驾护航，使企业不致偏离航向，同时又能避开暗礁险滩 内部控制是管理层采用的工具，而不是管理的替代品,2023/2/21,企业内部控制的十个现代理念,理念二控制应适度而不过度,100,过犹不及，过度的控制必然遏制创新力，束缚行动，降低效率，导致组织的臃肿、僵化和官僚化，即“大企业病”内部控制不是越多越好，也不是管得越细越好，而是要知道哪里应加强控制，哪里应减少控制,2023/2/21,企业内部控制的十个现代理念,理念三内部控制重在预防，而非事后纠错,101,内部控制按其功用分为两大类，及预防性控制（preventive controls）和检查性控制（detective controls），但前者是最重要的，体现了控制的本质,2023/2/21,企业内部控制的十个现代理念,理念四内部控制只能合理保证目标实现,102,管理中只有满意，没有最优 内部控制存在固有局限性：内控建设必须符合成本效益原则，可能因为环境变化而失效，可能因为人为失误或误解而失效，可能因为串通舞弊而失效，可能因为管理层凌驾于内部控制之上而失效 内控旨在将风险降低至可以接受的程度，而不是消除风险,2023/2/21,企业内部控制的十个现代理念,理念五控制和风险之间应有对应关系,103,目标、战略、风险、控制是前后连贯、环环相扣的，根据目标制定战略，目标与战略合理或执行不力产生风险，控制旨在将降低风险 越是风险高的环节，越应该强化内部控制,2023/2/21,企业内部控制的十个现代理念,理念六内部控制应“嵌入”到企业的管理系统之中,104,控制本身就是管理的基本职能之一，没有必要在现有管理系统之外另起炉灶搞一个孤立的内部控制系统 虽然企业设有以控制职能为主的部门（例如，财务部、内部审计部等），也有大量的事后控制活动（例如业绩考评），但更多的控制活动是融合在正常的业务活动之中的 内部控制绝不仅仅是财务、会计、审计、纪检、监察等专职机构的事，每个部门、每位员工都是控制主体,2023/2/21,企业内部控制的十个现代理念,理念七将自动化控制和人工控制有机结合,105,计算机的好处是只认程序指令不认人，信息系统可以将控制措施“固化”于其中，有利于减少人为失误和控制被规避的可能性 人工控制适合于需要酌情判断和需要监控自动化控制系统的场合“要想死得快，就上ERP，要想死得早，就找麦肯锡”，“不上ERP是等死，上ERP是找死”值得思考,2023/2/21,企业内部控制的十个现代理念,理念八合适的内部控制才是好的内部控制,106,由于行业和规模，以及文化和管理理念方面的差别，各个公司和它们对于内部控制的需求相差甚远，因此适合于A企业的内部控制不一定适合B企业 内部控制的建设没有固定和统一的模式，企业应该在内部控制目标和原则的指导下，构建满足企业实际需要的、行之有效的内部控制制度,2023/2/21,企业内部控制的十个现代理念,理念九内部控制需要领导真正理解和重视,107,在中国，任何事情只有在领导真正重视的时候才办得好，领导重视事情不一定办得好，但领导不重视事情一定办不好 领导仅仅口头上重视是不行的，还必须行动上重视，言行一致且树立榜样 领导对于内部控制真正重视的表现是带头遵循内部控制，不谋求凌驾于内部控制之上,2023/2/21,企业内部控制的十个现代理念,理念十内部控制需要良好企业文化的支持,108,即使是最精细的内部控制体系也无法涵盖企业的所有活动和行为，因此必须有正确的价值观念来指导人的行为，使人们在没有明确指示的情况下也能明白如何去做 讲人情、讲关系的企业文化是内部控制的大敌，内部控制将由于人情和关系而无法执行到位，而且还会因为串谋而失效,