第10章-内部控制中级财务管理-二版-杨丹课件

第第1010章章 内部控制内部控制Contents内部控制概论10.1内部控制的要素10.2内部控制的措施10.3内部控制的设计与评价10.4了解内部控制的设计与评价了解内部控制的设计与评价掌握内部控制的要素及措施掌握内部控制的要素及措施理解为什么需要内部控制理解为什么需要内部控制了解内部控制的概念了解内部控制的概念学习目的与要求学习目的与要求引导性案例引导性案例法国兴业银行法国兴业银行：2008年1月,因期货交易员杰罗姆凯维埃尔在未经授权情况下在未经授权情况下大量购买欧洲股指期货，形成49亿欧元(约71亿美元)的巨额亏空，创下世界银行业迄今为止因员工违规操作而蒙受的单笔最大金额损失,无论从性质还是规模来说，都堪称史上最大的金融悲剧。中航油中航油：2004年12月，中航油新加坡公司因从事投投机性石油衍生品交易，机性石油衍生品交易，亏损5.54亿美元，不久就向新加坡证券交易所申请停牌，并向当地法院申请破产保护，成为继巴林银行破产以来最大的投机丑闻。1 10 0.1.1 内部控制概论内部控制概论10.1.1 10.1.1 内部控制的发展历程内部控制的发展历程内部控制理论大致可以分为内部牵制、内部控制制度、内部控制结构、内部控制整合框架以及企业风险管理整合框架五个阶段五个阶段。在在内内部部牵牵制制阶阶段段，内部控制的主要内容是账目间的相互核对，内部控制的主要方式是设置不兼容岗位。在在内内部部控控制制制制度度阶阶段段，内部控制以内部会计控制为核心，重点是建立健全规章制度。1 10 0.1.1.1.1 内部控制的发展历程内部控制的发展历程在在内内部部控控制制结结构构阶阶段段，内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，分为内部控制环境、会计制度和控制程序三个方面。内内部部控控制制整整合合框框架架阶阶段段，就是在以上三个阶段的基础上，把内部控制要素整合成五个相互关联的部分。企业风险管理是在内部控制整合框架五要素基础上的拓展，形成了八个相互关联的要素整体。同时，内部控制与风险管理理念贯穿于其中，这个整体被称为企企业风险整合框架业风险整合框架。1 10 0.1.1.1.1 内部控制的发展历程内部控制的发展历程（1）什么是内部控制内部控制的第一个定义第一个定义：内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业执行既定的管理政策。美国注册会计师协会审计程序委员会于1958年发布的第第2929号号审计程序公告审计程序公告,将内部控制分为内部会计控制和内部管理控制两个部分。1977年美国颁布了国外反贿赂实务法案国外反贿赂实务法案，要求上市公司必须建立足以达到控制目标的内部会计控制。这是美国历史上第一个以法律形式出现的内部控制规定，也是美国内部控制发展史上的一个里程碑。COSO(Committee of Sponsoring Organizations of Treadway Commission)是Treadway委员会中专门研究内部控制问题的委员会，而著名的Treadway委员会，创立于1985年，由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEl)、国际内部审计人员协会(IIA)以及管理会计学会(IMA)发起。1 10 0.1.1.1.1 内部控制的发展历程内部控制的发展历程COSO在1992年所发布的、并于1994年做出局部修正的内部控内部控制制整合框架整合框架，已经成为世界通行的内部控制权威文献，被各国审计准则制定机构、银行监管机构和其他方面所采纳。COSO报告将内部控制定义为内部控制定义为：内部控制是一个过程，它受到董事会、管理人员和其他职员的影响，以期为实现经营的效果和效率、财务报告的可靠性及遵守相关的法律法规提供合理保证。用来识别并分析实现经营目标的有关风险，是风险管理的基础。形成组织的氛围，影响员工的控制意识。控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通以适当的形式与频率识别、获取和交换信息以帮助员工执行其职务。帮助确保管理指令得到执行的政策与程序。监控监控评估内部控制绩效的程序。l COSO报告认为，内部控制由5 5个个相互联系的要素组成，即：控制环境、风险评估、控制活动、信息与沟通、监控组成。1 10 0.1.1.1.1 内部控制的发展历程内部控制的发展历程与此同时，COSO委员会也意识到内部控制-整合框架自身也存在一些问题，如过分注重财务报告，而没有从企业全局与战略的高度来关注企业风险。2001年COSO委员会发布了COSO企业风险管企业风险管-理整合框架理整合框架。其对风险管理风险管理的定义为：风险管理是一个过程，受企业董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。1 10 0.1.1.1.1 内部控制的发展历程内部控制的发展历程在内部控制整合框架五个要素的基础上，COSO企业风险管理的构成要素增加到八个八个：内部环境；目标目标设定；设定；事项识别；事项识别；风险评估：风险应对风险应对；控制活动；信息与沟通；监控。八个要素相互关联，贯穿于企业风险管理的过程中。具体来看，企业风险管理整合框架在内部控制整合框架的基础上增加了一个一个新观念，一个一个目标，两个两个概念和三个三个要素，即风险组合观，战略目标，风险偏好、风险可接受程度的概念以及目标设定、事项识别、风险应对要素。1 10 0.1.1.1.1 内部控制的发展历程内部控制的发展历程企业风险管理整合框架与内部控制整合框架的比较企业风险管理整合框架与内部控制整合框架的比较 项目COSOCOSO内部控制整合框架内部控制整合框架COSOCOSO企业风险管理整合框架企业风险管理整合框架基调管理层为达到目标进行内部控制的需求满足管理层为达到目标进行企业风险管理的需求目标经营目标财务报告目标合规目标战略目标(新增)经营目标报告目标合规目标风险观没有提出风险组合观只有风险评估从企业总体层面提出风险组合观环境管理层级员工的内部控制观念管理层及员工的风险观念，并提出风险偏好、风险可接受程度的概念要素控制环境风险评估控制活动信息与沟通监督内部环境(更广义)目标设定(新增)事项识别(新增)风险评估风险应对(新增)控制活动信息与沟通监督1 10 0.1.1.1.1 内部控制的发展历程内部控制的发展历程ITIT管理的框架管理的框架COBITCOBIT(control objectives for information and related technology)作为一个管理内部控制和适当的IT安全水平的参考框架，在1996年提出并经过多次修改和完善。IT治理协会对ITIT管理的定义管理的定义是：“IT管理是执行层和董事的责任，由领导、组织架构和流程组成，确保企业的IT能够维护和发展组织的战略和目标。COSO的关注点是在企业的层面上实施经营的目标，COBIT将关注点集中在信息技术。因此，在COBIT中的内部控制的概念，是将内部控制的概念应用于IT控制，而不是整个企业的经营战略。1 10 0.1.1.1.1 内部控制的发展历程内部控制的发展历程（2）内部控制在中国的发展19961996年年财政部发布独立审计准则第9号内部控制与审计风险 19991999年年20072007年年20082008年年6 6月月2828日日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范。同时发布的规范还包括企业内部控制评价指引、企业内部控制应用指引和中注协主持起草的企业内部控制鉴证指引等配套规范的征求意见稿。1 10 0.1.1.1.1 内部控制的发展历程内部控制的发展历程上述系列规范的发布，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。剖析中国的企业内部控制规范，可以发现其中的“123“1233 35 5结构结构”特点：即1个基本规范，2种内部控制缺陷标准(设计缺陷和运行缺陷)，3项内部控制指引(评价指引、应用指引、鉴证指引)，3点控制目标(法律法规遵循性、资产安全性、财务报告可靠性；经营管理有效性；促进实现发展战略)，5方面内控要素(控制环境、风险评估、控制活动、信息与沟通、内部监督)。指明了内部控制“做什么做什么”、“由谁做由谁做”、“怎样做怎样做”的方向。1 10 0.1.2.1.2 对于内部控制的理解对于内部控制的理解(1)内部控制是一个过程过程，是达到目的的工具工具，不是目 的本身。内部控制是管理过程的一个组成部分。组成部分。内部控制不是附加的，而是嵌入嵌入的。(2)内部控制并不只是政策手册和表格，而是要由组织中各层级人员共同实施的。(3)内部控制为企业管理层和董事会提供合理的保证合理的保证，而不是绝对保证。(4)内部控制通过调整来达到一个或多个独立但又有交叉的目标。1 10 0.2.2 内部控制的要素内部控制的要素10.2.1 10.2.1 内部控制目标内部控制目标促进企业经营管理合法合规促进企业经营管理合法合规促进维护资产安全促进维护资产安全促进信息报告质量的提高促进信息报告质量的提高内部控制的内部控制的目标目标促进实现发展战略促进实现发展战略促进经营效率和效果的提高促进经营效率和效果的提高1 10 0.2.2.2.2 内部控制要素内部控制要素上述五个要素相互关联与配合，形成一个整合系统。这个系统可以对外部环境的改变作出动态反应动态反应。内部环境内部环境风险评估风险评估控制活动控制活动内部控制内部控制要素要素内部监督内部监督信息与沟通信息与沟通1 10 0.2.2.2.2 内部控制要素内部控制要素(1)(1)内部环境内部环境内部环境规定单位的纪律与架构，影响经营管理目标的制定，塑造单位文化氛围并影响员工的控制意识，是实施内部控制的基础。(2)(2)风险评估风险评估 风险评估主要包括目标设定、风险识别、风险分析和风险应对。这些风险通常表现为各种潜在事项和因素，包括经济因素、自然环境因素、法律因素、社会因素、科学技术因素等外部因素以及人力资源、管理、自主创新、财务、安全环保等内部因素。1 10 0.2.2.2.2 内部控制要素内部控制要素在充分识别各种潜在风险因素后，要对固有风险固有风险，即不采取任何防范措施可能造成的损失程度进行评估，同时，重点评估剩余风险剩余风险，即采取了相应应对措施之后仍可能造成的损失程度。进行行业纵向和横向比较是风险评估中的常用方法方法。常用的风险应对措施风险应对措施有：风险规避风险降低风险分担风险承受一般来说，风险应对策略往往是结合运用结合运用的。1 10 0.2.2.2.2 内部控制要素内部控制要素(3)(3)控制活动控制活动 控制活动控制活动是指单位管理层根据风险评估结果，采取相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。常见的控制措施控制措施有：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。1 10 0.2.2.2.2 内部控制要素内部控制要素(4)(4)信息与沟通信息与沟通 信息与沟通信息与沟通是单位及时、准确收集、传递与内部控制相关的信息，确保信息在单位内部、单位与外部之间进行有效沟通，是实施内部控制的重要条件。信息与沟通的主要环节主要环节有：确认、计量、记录有效的经济业务；在财务报告中恰当揭示财务状况、经营成果和现金流量；保证管理层与单位内部、外部的顺畅沟通，包括与利益相关者、监管部门、注册会计师、供应商等的沟通。信息与沟通的方式是灵活多样的，但无论哪种方式，都应当保证信息的真实性、及时性和有用性真实性、及时性和有用性。12.2.2 12.2.2 内部控制要素内部控制要素(5)(5)内部监督内部监督 内部监督内部监督是单位对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，及时加以改进，是实施内部控制的重要保证。内部监督包括日常监督日常监督和专项监督专项监督。监控情况应当形成书面报告，并在报告中揭示内部控制的重要缺陷。1 10 0.2.3.2.3有关各方在内部控制中的职责和作用有关各方在内部控制中的职责和作用(1)董事会 董事会负责单位内部控制的建立健全和有效实施。最大风险 承受能力。(2)审计委员会 审计委员会是董事会下设的专业委员会。(3)管理层 管理层负责组织领导单位内部控制的日常运行。(4)风险管理部门(5)财务部门(6)内部审计部门(7)单位员工 1 10 0.3.3 内部控制的措施内部控制的措施(1)(1)不相容职务分不相容职务分 离控制离控制 (2)(2)授权审批控制授权审批控制 (3)(3)会计系统控制会计系统控制 (4)(4)财产保护控制财产保护控制(5)(5)预算控制预算控制 (6)(6)运营分析控制运营分析控制 (7)(7)绩效考评控制绩效考评控制 (8)(8)内部报告控制内部报告控制(9)(9)信息技术控制信息技术控制1 10 0.3.3 内部控制的措施内部控制的措施(1)(1)不相容职务分离控制不相容职务分离控制 所谓不相容职务不相容职务，是指那些如果由一个人担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。不相容职务一般包括包括：授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等。不相容职务分离的核心核心是“内部牵制”，首先应确定哪些岗位和职务是不相容的；其次要明确规定各个机构和岗位的职责权限。1 10 0.3.3 内部控制的措施内部控制的措施(2)(2)授权审批控制授权审批控制 授权审批授权审批是指单位在办理各项经济业务时，必须经过规定程序的授权批准。授权审批形式通常有常规性授权常规性授权和临时性授权临时性授权之分。单位必须建立授权批准体系授权批准体系。集体决策集体决策审批或者联签制度。1 10 0.3.3 内部控制的措施内部控制的措施(3)(3)会计系统控制会计系统控制 会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等而进行的控制。(4)(4)财产保护控制财产保护控制 财产记录和实物保管。定期盘点和账实核对。限制接近。限制接近包括限制对资产本身的接触和通过文件批准方式对资产使用或分配的间接接触。对货币资金、有价证券、存货等变现能力强的资产（限制无关人员的直接接触）。1 10 0.3.3 内部控制的措施内部控制的措施(5)(5)预算控制预算控制 预算控制的内容涵盖了单位经营活动的全过程，单位通过预算的编制和检查预算的执行情况，可以比较、分析内部各单位未完成预算的原因，并对未完成预算的不良后果采取改进措施，确保各项预算的严格执行。(6)(6)运营分析控制运营分析控制 通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。1 10 0.3.3 内部控制的措施内部控制的措施(7)(7)绩效考评控制绩效考评控制 绩效考评控制要求单位科学设置考核指标体系，对单位内部各职能部门和全体员工的业绩进行定期考核和客观评价，并将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗和辞退等的依据。(8)(8)内部报告控制内部报告控制建立和完善内部报告制度，内部报告方式通常包括：例行报告、实时报告、专题报告、综合报告等。(9)(9)信息技术控制信息技术控制对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制，。设计内部控制制度应遵循以下五条具体规则：全面性原则。重要性原则。制衡性原则。适应性原则。成本效益原则。1 10 0.4.4 内部控制的设计与评价内部控制的设计与评价10.4.1 10.4.1 内部控制的设计内部控制的设计(1)内部控制的设计原则 在企业的实践应用中，设计内部控制的总体思路总体思路是：借鉴内部控制理论，参考内部控制范例，根据内部控制法规，结合企业业务运营过程中的各个核心控制点和核心控制环节，从而设计健全的内部控制系统，并且需要定期进行评价，根据业务变化而做相应调整。1 10 0.4.1.4.1 内部控制的设计内部控制的设计(2)内部控制制度的设计程序 设计内部控制的程序主要包括：确定控制目标；整合控制流程；鉴别控制环节；确定控制措施；绘制流程图或调查表。确定控制目标确定控制目标 控制目标控制目标，既是管理经济活动的基本要求，又是实施内部控制的最终目的，也是评价内部控制的最高标准。整合控制流程整合控制流程 鉴别控制环节鉴别控制环节这些可能发生错弊因而需要控制的业务环节，通常称为控控制环节或控制点制环节或控制点。控制点分为关键控制点和一般控制点，并且在一定条件下是可以相互转化的。如现金控制系统中的“审批”控制点，设有：a主管人员授权办理现金收支业务；b经办人员在现金收支原始凭证上签字或盖章；c部门负责人审核该凭证并签章批准等控制措施。银行存款控制系统的“结算”控制点设有：a出纳员核查原始凭证；b填制或取得结算凭证；c加盖收讫或付讫戳记；d签字或盖章；e登记结算登记簿等控制措施。1 10 0.4.1.4.1 内部控制的设计内部控制的设计 确定控制措施确定控制措施这些为预防和发现错弊而在某控制点所运用的各种控制技术和手续等，通常被概括为控制措施。实际工作中，必须根据控制目标和对象设置相应的控制技术和手续。企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。绘制流程图或调查表绘制流程图或调查表1 10 0.4.1.4.1 内部控制的设计内部控制的设计(3)内部控制设计的形式内部控制的设计形式，主要有内部控制流程图和内部控制制度。控制流程图控制流程图是以流程图的形式直观反映各关键控制点，关键控制环节及其控制措施，并显示各种不相容职务、部门的分离。内部控制制度内部控制制度主要是以企业规章制度的形式存在，作为企业各部门以及各级员工日常业务运作的依据和约束。内部控制制度主要以文字记录形式存在。1 10 0.4.2.4.2 内部控制的评价内部控制的评价（1)评价的原则 风险导向原则。一致性原则。公允性原则。独立性原则。成本效益原则。内部控制评价内部控制评价，是指由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证合理的保证。1 10 0.4.2.4.2 内部控制的评价内部控制的评价(2)评价内容 单位应当对与实现内部控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。内部控制设计有效性有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。1 10 0.4.2.4.2 内部控制的评价内部控制的评价(3)评价程序 企业按照制定评价方案、实施评价活动、编制评价报告等程序开展内部控制评价。内部控制评价机构根据企业整体控制目标，制定内部控制评价工作方案，明确评价目的、范围、组织、标准、方法、进度安排和费用预算等内容，报管理层和董事会审批。实施评价活动是，应当根据所收集的证据，判断相关控制的设计与运行是否有效。1 10 0.4.2.4.2 内部控制的评价内部控制的评价企业在实施内部控制评价中，应对内部控制缺陷进行分类分析。内部控制缺陷一般可分为设计缺陷和运行缺陷。设计缺陷设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。1 10 0.4.2.4.2 内部控制的评价内部控制的评价单位完成内部控制评价后，应编写内部控制评价报告。案例讨论案例讨论1 1案例讨论案例讨论2 2（武钢：企业内审的优秀范本武钢审计部长访谈录）结束语当你尽了自己的最大努力时，失败也是伟大的，所以不要放弃，坚持就是正确的。When You Do Your Best,Failure Is Great,So DonT Give Up,Stick To The End感谢聆听不足之处请大家批评指导Please Criticize And Guide The Shortcomings演讲人：XXXXXX 时 间：XX年XX月XX日