企业内部控制概论.ppt

第一章 总 论,广东金融学院 会计系罗书章,预备问题1：财务部现有人员3人分别任出纳、会计及总账会计，现有如下工作：银行、现金业务；凭证填制；凭证审核；记账；报表；资金分析；工商税务事项；问题：如何分工？预备问题2：财务部现有如下工作内容：登记现金、银行日记账；开具结算票据；开户印鉴保管；空白凭单保管；填制记账凭证；登记明细账问题：出纳能否全部担当？为什么？,预备问题3：企业内部的经营管理风险能否被完善的控制制度彻底杜绝？为什么？预备问题4：内部控制涉及的几个关系 会计；审计内部审计；公司治理预备问题5：以商业银行为代表的金融机构在内部控制方面与工商企业相比，有什么特殊性？,一、国外内部控制的发展历程 1、内部牵制(Internal Check)内部控制的实践可以追溯到公元前3600年前的美索不达米亚文化、古代埃及、古罗马帝国以及中国的周代。基本是建立在个人观察、判断和直观基础上的传统经验管理，并未形成系统的管理理论，也没有直接的内部控制概念，核心是经验总结和传承。随着资本主义在15世纪的发展，复式记账法的出现，资本与技术的发展，推动了管理和内部控制的发展，以账目间的相互核对为主要内容、实施职能分离的内部牵制开始得到广泛应用。,1.1 内部控制的演进,1912年，美国的R.H.蒙哥马利在其审计理论与实践一书中，提出了内部控制的概念，“所谓内部控制是指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度。也就是一名员工与另一名员工必须是相互控制、相互稽核。”内部牵制要求在企业经营管理中凡涉及财产物资和货币资金的收付、结算及其登记工作，应当由两个或两个以上的员工来处理，以便彼此牵制，查错防弊。从内容上看主要包括实物牵制、物理牵制、分权牵制和簿记牵制四项职能。实物牵制。如保险柜的双钥匙制；出纳的票据与印鉴分离；物理牵制。如密码锁；监控警报系统等；分权牵制。如采购的订货、付款与验收；簿记牵制。例如账证、账实、账账相符；,1.1 内部控制的演进,2、内部控制制度 Internal Control 1934年美国证券交易法，首先提出了“内部会计控制”。1934年美国会计师协会在独立注册会计师对财务报表的审查公告中，首次提出审计师在制定审计程序时，应审查企业的内部牵制和控制，并且从财务审计的角度把内部控制定位为“保护公司现金和其他资产，检查簿记事务的准确性，而在公司内部采用的手段和方法。”1958年10月，AICPA所属的审计程序委员会将上述定义分解为会计控制和管理控制，其后又多次完善。“将美玉击成碎片”,1.1 内部控制的演进,宽口径，目标一致，审计责任重,窄口径，目标分野，审计责任轻,3、内部控制结构（Internal Control Structure）1988年，AICPA在审计准则公报 No.55会计报表审计中对内部控制结构的关注中，不再区分会计控制和管理控制，用“内部控制结构”取代“内部控制”，“包括为合理保证企业特定目标而建立的各种政策和程序”，这一结构包括控制环境、会计制度和控制程序三个要素。这一概念特别强调了包括管理人员对内控的态度、认识和行为等控制环境的重要作用，要求审计师在评估控制风险时除关注会计系统和控制程序外，应对企业面临的内外环境进行评价。控制目标亦趋多元化。,1.1 内部控制的演进,从审计角度把内部控制予以人为的割裂，是审计自我认可的风险界定，并不为社会接受，当在狭小的风险范围内进行审计时，必然造成审计风险的积累，并导致行业风险。,4、内部控制整合框架：IC-IF（Internal Control Integrated Framework）1985年，由AICPA、美国审计署（AAA）、管理会计师协会（IMA）等共同赞助成立了Treadway委员会（“反对虚假财务报告委员会National Commission on Fraudulent Financial Reporting”）,并进一步推进赞助成立COSO委员会（Committee of Sponsoring Organizations of the Treadway Commission），专门研究内部控制问题。1992年，COSO委员会提出内部控制整体框架,即著名的COSO报告，指出内部控制整体框架的五要素:控制环境、风险评估、控制活动、信息和沟通、监督。COSO报告把内部控制视为:企业经营过程的组成部分，是管理的一种工具，是一种提供合理保证的过程，被认为是内部控制理论的最新发展和完善。,1.1 内部控制的演进,1996年美国注册会计师协会发布No.78审计准则公告（SAS78），全面接受COSO报告的内容，并从1997年1月起取代1988年发布的No.55审计准则公告（SAS55）。新准则将内部控制定义为：“由一个企业的董事长、管理层和其他人员实现的过程，旨在为了下列目标提供合理保证：财务报告的可靠性、经营的效果和效率、符合使用的法律和法规。”,1.1 内部控制的演进,9294版COSO报告的经典应用,5、新COSO报告：企业风险管理（ERM）Tread-way委员会于2004年底，针对国际企业界频繁发生的高层管理人员舞弊现象，同时基于理论界和实务界对其1994年修订的内部控制整体框架的批评，如对风险强调不够，企业内部控制无法与风险管理相结合等等，废除了沿用很久的企业内部控制报告，同时结合萨班斯奥克斯利法案的相关要求，颁布了一个概念全新的COSO报告，即企业风险管理总体框架 ERM（Enterprise Risk Management）。名称从“企业内部控制”变更为“企业风险管理”的变化是具有特殊意义的，将企业内控从原有的对具体内部控制制度落实的细节上，转为要求董事会将主要精力放在有可能产生重大风险环节上，将风险管理作为内部控制的最主要的内容。注:萨班斯奥克斯利法案（Sarbanes-Oxley ACT，SOX）,1.1 内部控制的演进,二、内部控制在中国的发展 1、早期的内部控制实践 2、改革开放后的内部控制发展 3、2007年以来的内部控制制度建设,1.1 内部控制的演进,以学习和引进为主,本部分小结：内部控制与其他理论一样，其产生与发展都是基于社会经济环境的一定需要，最初是基于管理的某种需要，后来基本上是外部审计的推动，可以说企业管理、外部审计以及技术和资本的发展在内部控制理论和实践的发展中起了巨大的推动作用。最早提出内部控制概念的是会计和审计人员，目的在于提高审计效率，高效、低成本地完成审计任务，从而使内部控制从内容侧重点和形式上都有着浓重的审计印记。但审计对企业内部控制的考虑侧重于财务报表相关内容，视野偏窄，反而限制了内部控制的发展，并形成了一定行业风险。由此也催生了对内部控制的重新思考，使其向纵深发展。,1.1 内部控制的演进,一、基于ERM框架的内部控制概念 1、控制活动 2、五个目标 3、八个要素二、四组关系 1、与企业风险管理的关系:战略与战术 2、与公司治理的关系：基础与保证 3、与审计及内部审计的关系：规划与监督 4、与会计的关系：多方面重合 方法、手段；内容交叉；控制目标；流程：资金流、物流、信息流,1.2 内部控制的含义,行车中的刹车,审计部门对内部控制的研究属于外加，根本目的是为了回避自身的职业风险，只有企业的管理部门和会计部门对内部控制的研究才能是内在性，从而有将管理控制与会计控制融合的驱动。AICPA在1988年的No.55审计准则公报会计报表审计中对内部控制结构的关注指出“企业的内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序”，特别强调了包括管理人员对内控的态度、认识和行为等控制环境的重要作用，认为这些环境因素是实现控制目标的环境保证，要求审计师在评估控制风险时除关注会计系统和控制程序外，应对企业面临的内外环境进行评价，并在审计报告中声明免责。2002年，中国注册会计师协会发布内部控制审核指导意见对业务约定书签订、审核计划拟订、审核程序履行、审核报告出具等作出了规定，基本可以满足会计师事务所的需要。,审计中的“内部控制测试”,内部控制与内部会计控制的关系,一般理解 内部控制是企业各项管理工作的基础，企业持续健康发展的保证。管理实践证明，企业一切管理工作，都是从建立和健全内部控制开始的；企业的一切活动，都无法游离于内部控制之外。内部控制可以理解为内部管理控制、包括人力资源控制、财务控制、生产控制、营销控制、会计控制及审计控制等，从其内涵看，包括合理性和合法性两个层面，目前已出现通过立法的形式来保证内控制度效力的趋势。解决企业内部控制问题并不是某部门单独的事情。无论工程技术、企业管理、审计还是、财务会计部门，都难以单独就内部控制问题作出完整的答案。内部会计控制需要从两个方面理解：会计对企业经营管理过程的控制；对会计工作、人员及组织的控制。,内部控制与内部会计控制的关系,我国内部会计控制规范的理解 2001年6月，财政部印发内部会计控制规范基本规范（试行），将两者的关系理解为三种：宽口径：包括会计控制和管理控制等内部控制的全部内容；窄口径：仅限于“内部会计控制”；中口径：以单位内部会计控制为主，同时兼顾与会计相关的控制，如工程预算、对外投资等,三、我国企业内部控制基本规范的理解 第三条 本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。四、基本规范的五要素 内部环境、风险评估、控制活动、信息与沟通、内部监督,1.2 内部控制的含义,一、内部控制的重要性：基于内控目标的拓展 1、防止组织失败：战略目标、风险管理 2、提高报告信息质量：决策、监督的基础 3、保护资源安全完整：控制的具体效果 4、实现组织合规经营：法律法规的外在约束 5、有助于克服人性弱点：机制硬化二、控制失效的巨大损失：三、内部控制的局限性 1、人为失误 2、故障（意外）3、串谋 4、成本效益：隐性与显性 5、管理越权 6、非常规,1.3 内部控制的重要性与局限性,The End,新COSO报告的发展,ERM框架对内部控制的定义重新明确为：是一个过程；被人影响；应用于战略制定；贯穿整个企业的所有层级和单位；旨在识别影响组织的事件并在组织的风险 偏好范围内管理风险；合理保证；为了实现各类目标。,【内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。】,内部控制,新COSO报告的发展,新COSO报告提出了风险偏好、风险容忍度等问题，使得新的定义更加明确、具体，并涵盖了内部控制所有的合理内容。ERM框架在对1994年COSO报告五要素（控制环境、风险评估、控制活动、信息和沟通、监督）的基础上，对其进行深化和拓展，将其演变为8要素。由于原报告仅提出风险识别，没有区分风险和机会。ERM框架将风险定义为“可能有负面影响的事项”，并且引入了风险偏好、风险容忍度等概念，将原有的“风险评估“这一要素，发展为目标设定、事项识别、风险评估和风险反应四个,新COSO报告的发展,五个目标,1、战略：高层次目的，协调、支撑主体的目标,2、经营：资源利用的效率、效果,3、报告：主体报告的可靠性,5、资源：保护所拥有资源的安全、完整,4、合规：主体符合适用的法律、法规,是前述经营等目标的综合与泛化,新COSO报告的发展,一、企业风险管理对内部控制内涵的发展 ERM框架对内部控制的定义重新明确为：是一个过程；被人影响；应用于战略制定；贯穿整个企业的所有层级和单位；旨在识别影响组织的事件并在组织的风险偏好范围内管理风险；合理保证；为了实现各类目标。新COSO报告提出了风险偏好、风险容忍度等问题，使得新的定义更加明确、具体，并涵盖了内部控制所有的合理内容。新的ERM框架非常明确了对保护资产概念的运用，认为“保护资产”和“保护资源”是一个广义的概念，将目标范围集中为特定的报告目标，使得保护资产适用于所有未经授权的获得、使用、处置资产。ERM框架还将纠正错误的管理行为明确地列为控制活动之一。,二、企业风险管理对内部控制目标的发展 ERM将“财务报告的可靠性”发展为“报告的可靠性”，并将报告拓展为“内部的和外部的”、“财务的和非财务的报告”，涵盖了企业的所有报告。此外，ERM还提出了一类新的目标战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。三、企业风险管理对内部控制要素的发展 ERM框架在对1994年COSO报告五要素（控制环境、风险评估、控制活动、信息和沟通、监督）的基础上，对其进行深化和拓展，将其演变为8要素。由于原报告仅提出风险识别，没有区分风险和机会。ERM框架将风险定义为“可能有负面影响的事项”，并且引入了风险偏好、风险容忍度等概念，将原有的风险评估这一要素，发展为目标设定、事项识别、风险评估和风险反应四个。,新COSO报告的发展,四、相关角色和任务的变化 新老COSO报告都将组织的董事会、管理层和内部审计和其他职员看成是相关责任人。在内部控制框架和ERM框架中，董事会都提供管理、指引和核查。董事会在企业风险管理方面扮演更加重要的角色负总体责任，并且要求其变得更加警惕；CEO必需识别目标和战略方案，管理层需要识别风险和影响风险的事项、评估风险并采取控制措施；内部审计人员在监督和评价成果方面承担重要任务，但不对建立ERM体系承担主要责任；引入风险主管（经理）的概念，除了需要和其他管理人员一起在自己的职责范围内建立起风险管理外，还要帮助其他经理人报告企业风险信息，并可能是风险管理委员会的成员。,新COSO报告的发展,Sarbanes-Oxley ACT，SOX,2001年12月,美国最大的能源公司安然公司,突然申请破产保护,2002年6月，世通公司继发会计丑闻，这些连续爆发的实践“彻底打击了(美国)投资者对(美国)资本市场的信心”(Congress Report,2002)。2002年4月24日美国众议院以334票赞成、90票反对通过了由众议院财务服务委员会主席、共和党人Oxley提交的第3763号法案公司与审计的责任、义务和透明度2002年法案。6月18日参议院银行委员会也以17票赞成、4票反对的结果，批准将该委员会主席、民主党人Sarbanes提交的公众公司会计改革和投资者保护2002年度法案送交参议院表决通过，这两个法案合称2002年萨班斯奥克斯利法案，亦称“公众公司会计改革与投资者保护法案”。法案的第一句话就是遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的.,Sarbanes-Oxley ACT，SOX,SOX法案的主要内容之一就是明确公司管理层责任(如对公司内部控制进行评估等),尤其是对股东所承担的受托责任,同时,加大对公司管理层及白领犯罪的刑事责任.提高财务报告的可靠性,成为SOX法案的另一个主要内容。企业会计人员以及外部审计人员在这些事件中的负面作用,不容否定,比如,安然通过复杂的“特殊目的主体”安排,虚构利润,隐瞒债务,而世界通讯则是赤裸裸的假账。法案的要求包括:建立一个独立机构来监管上市公司审计,审计师定期轮换,全面修订会计准则,制订关于审计委员会成员构成的标准,要求管理层及时评估内部控制,更及时的财务报告,对审计时提供咨询服务进行限制等。,我国内控制度状况,一、我国内部会计控制规范的理解 2001年6月，财政部印发内部会计控制规范基本规范（试行）同时颁布内部会计控制规范货币资金（试行）二、内部控制基本规范 2008年5月，中国版的SOX法案正式颁布，并于2009年1月1日起实施。在形式上借鉴了COSO 报告5要素框架，同时在内容上体现了风险管理8要素框架的实质。2010年，20项指引,应用指引第1号组织架构应用指引第2号发展战略应用指引第3号人力资源应用指引第4号社会责任应用指引第5号企业文化应用指引第6号资金活动应用指引第7号采购业务应用指引第8号资产管理应用指引第9号销售业务应用指引第10号研究与开发,应用指引第11号工程项目应用指引第12号担保业务应用指引第13号外包业务应用指引第14号财务报告应用指引第15号全面预算应用指引第16号合同管理应用指引第17号内部信息传递应用指引第18号信息系统企业内部控制审计指引企业内部控制评价指引,企业内部控制应用指引,资产规模对照表（2007）,