如何构建企业内部控制体系

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,55,如何构建企业内部控制体系,国际内部控制协会中国合作伙伴首席代表,国际内部审计师协会沟通咨询委员会委员,1,一、,企业内部控制概论,二、,我国企业内部控制基本规范,三、,国际内部控制法规、框架及指南,四、企业内部控制体系构建,五、企业内部控制体系的实施与应用,六、企业内部控制评价,2,一、,企业内部控制概论,（一）,内部控制的演变,（二）为什么需要建设内部控制职业队伍？,（三）谁对内部控制系统负责?,（四）舞弊案件是如何发现的？,3,（一）内部控制的演变,内部牵制,内部控制制度,内部控制结构,内部控制整合框架,企业风险管理整合框架,4,（二）,为什么需要建设内部控制职业队伍？,目前，企业内部控制体系设计主要有三种形式：,外包给四大会计师事务所；,企业自行设计；,自行设计与外包相结合。,5,（三）谁对内部控制系统负责?,最高管理层负有对内部控制系统的组织实施的责任；,董事会负有监督责任；,外部和内部审计师负有评估内部控制有效性的责任；,谁担当设计和实施内部控制的重任？,6,我国企业谁对内部控制系统负责？,内部控制自我表现评价报告的披露要求:,(1)声明企业董事会对建立健全和有效实施内部控制负责，并履行指导和监督职责，能够保证财务报告的真实可靠和资产的安全完整；, ,依法应当披露的内部控制自我评估报告，经董事会审议后公布。,企业内部控制基本规范解读及应用指南P157,7,（四）舞弊案件是如何发现的？,安永在2003年全球欺诈调查报告中指出，最严重的舞弊欺诈案件中有85%源自内部人作案，50%以上的欺诈是由管理层造成的。,美国注册舞弊检查师协会公布舞弊案件检查结果发现的途径：,1、雇员举报 26.3%；,2、偶然发现 18.8%；,3、内审人员发现 18.6%；,4、内控系统检查 15.4%；,5、外部审计 11.5%；,6、其他 9.4%。,8,案例一：“中行开平案”八年追诉,2009年5月6日，美国拉斯维加斯联邦法院以洗钱、跨州转运盗窃资金、护照和签证欺诈等罪名，分别判处中国银行开平支行前任行长许超凡和许国俊入狱25年和22年，并勒令被告退还4.82亿美元的涉案赃款。,同案的许超凡之妻邝婉芳、许国俊之妻余英怡，也分别获刑8年。,至此，震惊全国的中行开平案终于告一段落，出逃北美的三个主犯无一逃脱法律的制裁。,9,中行开平案是如何被发现的？,2001年10月12日，中国银行为加强管理，将全国1040处电脑中心统一成一套系统，集中设置在33个中心。一联网，电脑中心反映出账目上亏空8000万美元，很快又飙升到4.83亿美元。数字过于巨大，以至于工作人员最初以为是电脑系统出现了技术故障。经过几番复算之后，结论仍然相同。,中行发生了建国以来规模最大的银行资金盗窃案，涉案资金折合人民币超过40亿元，这一“纪录”迄今未被打破。,10,案例二: 河北邯郸农行金库失窃案,2007年4月14日，邯郸市农业银行金库发生一起特大盗窃案，被盗现金人民币近5100万元。经调查发现，任晓峰、马向景有重大作案嫌疑。,两人用1个多月时间多次盗窃金库共计5100万元，其中4300万买了彩票，但几乎没有中过奖。最多的一次用1410万元买了彩票。,作案动机：买彩票，想中了大奖，再把钱还进去。,11,农行邯郸案三大疑点,一、参与人数：,虽然两人串通可以用两把钥匙,打开金库大门，但搬运近两吨重钞票（叠,起来高51米，要装满满6个麻袋,）是一项,繁重体力劳动，仅有两人参与难以想象。,二、如何搬运：,农行金库处在繁华的闹市路,口，如果不用运钞车，搬运很容易被发现。,三、如何处置：,这些现金既不能逃跑时携带，,也无法存入银行，如何处置也是难题。,12,邯郸农行案主犯写下12条金库管理制度建议,4月19日，任晓峰在连云港被逮捕。身在看守所内的任晓峰根据自己犯罪经过，积极对银行金库管理制度提出建议，同时他也在万般悔恨中写下了满满5页的忏悔书。,任晓峰写出对银行金库管理的一些建议，希望能对防止犯罪事件的再次发生起到一些作用。,13,二、我国企业内部控制基本规范,（一）企业内部控制基本规范的意义,（二）内部控制定义、目标和要素,14,（一）企业内部控制基本规范的意义,2008年6月，在借鉴和吸收国际监管新理念的背景下，我国财政部、审计署、证监会、银监会和保监会五部委联合印发了企业内部控制基本规范（财会20087号）。,这一被称为中国版萨,奥法案的企业内部控制基本规范是我国第一部加强和完善企业内部控制系统，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益的重要法规文件。,15,（二）内部控制定义、目标和要素,定义：,内部控制是由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。,控制目标：,合理保证企业(1)经营管理合法合规；(2)资产安全； (3)财务报告及相关信息真实完整；(4) 提高经营效率和效果； (5)促进企业实现发展战略。,要素：,基本规范在形式上借鉴了,COSO内部控制5要素框架,；在内容上体现了,COSO风险管理8要素框架,的实质。,16,根据企业内部控制基本规范的执行要求，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。上市公司应当对本公司内部控制有效性进行自我评估，披露年度自我评价报告，并可聘用具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。,17,三、国际内部控制法规、框架及指南,（一）,COSO,内部控制框架及指南简介,（二）,美国,反海外贿赂行为法,（三）乱世出重典萨,奥法案,（四）COSO企业风险管理 整合框架,（五）内部控制与风险管理比较,18,（一）COSO内部控制框架及指南简介,1999年9月，英国发布的Turnbull报告，即内部控制董事关于“联合规则”的指南，该指南把风险管理、内部控制和商业目标联系起来。,CoCo控制指南是由加拿大注册会计师协会的标准委员会在COSO模型的基础上改编而成。,内部控制,（COSO，Turnbull，CoCo）,披露控制措施（SEC）,内部控制,（SEC）,19,1992年， COSO美国反欺诈财务报告委员会（ Treadway Committee）发起组织委员会发布内部控制整合框 架构建了由三个目标和五项要素组成的内部控制框架。,该框架的发布和广泛采用,标志着内部控制开始在理论上和实务上走出审计范畴,，从而成为企业整个管理体系的有机组成部分，同时该框架也为企业内部控制评价提供了指导。,1、COSO内部控制整合框架,20,2、COSO 内部控制的定义与目标,“内部控制是一个流程，受到企业董事会、,管理层和其他人员的影响，旨在为实现下列分,类目标提供,合理保证：,经营的效果和效率；（绩效）,财务报告的可靠性；（报告）,三大目标,遵从适用的法规。”（合规）,因此，整个集团的共同参与对于项目的成功至关重要。,21,COSO内部控制定义反映的基本概念,内部控制是,一个流程,。它是实现目标的手段，而不是结果本身。,内部控制,受到人的影响,。它不仅仅是政策手册和表格，而且涉及组织每一层级的员工。,内部控制被期望只能提供,合理的保证,，而不是对企业的管理层和董事会提供绝对的保证。,内部控制,促进实现,一个或多个别的但又部分交叠的分类,目标,。,22,3、COSO内部控制五大要素,控制环境(Control environment),风险评估(Risk assessment),控制活动(Control activities),信息与沟通(,Information and communication,),监控(Monitoring),23,COSO内部控制五要素之间的关系,监控活动,控制环境,沟,通,信,息,控制,风险,沟,通,信,息,活动,评估,24,（二）美国,反海外贿赂行为法,1977年美国国会通过了针对内部控制目标的反海外贿赂行为法，该法案规定：内部控制不是会计部门的责任，,而是美国公司董事会的责任；,在该法中确认的内部控制目标是:,授权、记录、使用资产、资产的会计责任。,25,（三）乱世出重典萨,奥法案,进入21世纪，美国先后爆发了安然、世通、安达信等公司欺诈、会计造假的丑闻，使投资大众遭受巨大的损失。,为了加强公司治理，重建投资者的信心， 2002年7月,美国国会颁布了2002年上市公司会计改革和投资者保护法案。,该法案是1933年以来美国证券立法中影响最深远的法案。,26,1、安然、世通丑闻后美国采取的应对举措,个体股民的诉讼;,证券交易委员会的稽查; (综合治理),司法部的刑事起诉;,国会的调查。,27,2,、探讨财务丑闻和欺诈行为的根源,一些企业的商业道德沦丧,缺乏信托责任,不,履行社会责任。,公司治理 企业的心脏；,外部环境 “外因”；,内部控制 “内因”,、,“免疫系统”；,内部审计 “企业良心”,。,28,安然和世通两位前内部审计主管的不同命运:,安然公司的首席审计执行官（CAE）理查德科西面临诈骗、洗钱、内部交易、虚报公司盈利和做假欺骗审计人员等共34项罪名的指控;,世通公司前内部审计部主管辛西亚,库珀因为在世通案件中的突出表现,对38.5亿美元费用违规列入资本支出项目的揭示和向公司审计委员会报告，不仅解脱了其自身的责任，而且成为美国时代周刊2002年度“风云人物”之一。,29,（四）,COSO企业风险管理 整合框架,2004年9月，COSO发布了,企业风险管理整合框架, (8要素框架),30,1、企业风险管理（ERM）定义,企业风险管理（ERM）定义：ERM是,一个流程,，由企业的董事会、管理层和其他,员工共同参与,，应用于企业,战略制定,，识别可能对企业造成潜在影响的事项，并在其,风险承受度,范围内管理风险，为实现企业目标提供,合理保证,。,31,2、风险管理（ERM）组成部分,八大要素：,内部环境,目标设定,事件识别,风险评估,风险应对,控制活动,信息沟通,监控,四大目标：,战略目标,运营目标,报告目标,合规目标,32,3、COSO两个框架的融合,1.内部环境,（1）控制环境,2.目标设定,3.事件识别,4.风险评估,（2）,风险评估,5.风险应对,（,3）控制活动,6.控制活动,（4）,信息与沟通,7.,信息与沟通,（5）监控 8,.,监,控,内部控制框架,企业风险管理框架,33,（五）内部控制与风险管理比较,内部控制 风险管理,在假定公司面临的风险,将处于不断变化市场中的公,基本确定的情况下，主 司视为管理对象，着眼于外,要着眼于内部制度和流 部环境变化和相应的内部资,程的建设； 源配置与运行效率调整；,关键是要求公司的业务,目标是基于市场状况权衡不,遵循既定的风险控制政策 同领域的风险和回报以实现,利润最大化；,以风险为导向的内部控制,基于内部控制的全面风险管理,34,过去的内部控制建设是,企业的内部行为；,内部控制制度是否建立建立后是否真正执行，以及如何设计、执行和评估内部控制系统,没有法规要求；,无须接受外部监管机构和独立审计师的检查监督；,内部控制测评方法作为防范审计风险的手段,。,今天的内部控制建设已不再是企业的内部行为，,而,是,透明度极高的公司治理行为,；,内部控制系统从设计与开发、执行与维护、信息文档记录与监控，到对外披露的财务报告均应遵从法规要求和公认的COSO内部控制框架；,披露内部控制自评报告，并接受独立审计师的检查监督；,内部控制成为企业管理的组成部分，并受到政府监管机构的监管和投资大众的普遍关注；,内部控制已,成为企业防范风险，实现既定目标的免疫系统。,新旧内部控制的重要区别,35,四、企业内部控制体系构建,（一）内部控制系统是一个流程,（二）董事会的监控措施,（三）有效控制环境的10个重要特征,（四）风险管理的六个组成部分,（五） 规定业务系统的循环周期,36,（一）内部控制系统是一个流程,37,38,（二）董事会的监控措施,董事会实现监控职责的措施如下：,要求首席执行官提供控制环境的适,当保证；,所有重大的违反控制的行为和纠正,行动都应当通知董事会；,任命独立审计师和内部审计师帮助,他们评价控制措施的适当性。,39,（三）有效控制环境的10个重要特征：,（1）,行为守则政策；,（2）企业的道德价值观；,（3）首席执行官成为楷模 “言行一致”；,（4）组织架构适当的职责分离；,（5）员工的胜任能力；,（6）职责的特别授权与沟通；,（7）一般授权与责任制 ；,（8）内部审计；,（9）资产保护；,（10）规定工作流程。,40,41,42,（四） 风险管理的六个组成部分,风险管理是组织用于识别、量化和控制风险的所有活动，涉及：,风险识别,风险衡量,控制措施,应变计划,监控,整改,风险管理的目标：,选择1：降低和消除,风险,选择2：以（承担）,风险换收益,答案：取决于企业不同的风险承受度,43,44,（五） 规定业务系统的循环周期,循环周期是与系统相关的组合。,这一模型将业务系统流程梳理为以下6个周期：,收入周期,支出周期,生产或转化周期,融资周期,对外财务报告周期,流程管理周期,45,五、企业内部控制体系的实施与应用,（内部控制实务案例）,46,六、企业内部控制评价,（一）评估方案的重要性和必要性,（二）,国际内部控制控协会评估项目框架,（三）内部控制有效性衡量与评估,（四）审计委员会应关注的“头10件大事”,47,（一） 评估方案的重要性和必要性,评估方案是执行某一系统或业务活动评价的一种“程序”，是检查人员在完成某项评估时应遵循的一系列步骤。评估方案是围绕流程期间的目标和为了实现这些目标必需面对的风险而建立的。,评估方案可以从广泛的多渠道来源获得，包括：,先前的评估；,评估教科书和手册；,互联网搜索；,注册会计师事务所；,通过专业协会，例如IIA获得可用的方案；,朋友和同事提供的评估方案。,48,49,（二）,国际内部控制控协会评估项目框架,50,ICI评估方案框架的6个组成部分,ICI评估方案框架包括6个组成部分,即：,评价企业,风险管理计划,；,评估,控制环境,；,实施业务评估方案（评估和测试应,用,控制措施,）；,评价与正在被评估活动相关的,信息,与沟通；,评价与正在被评估活动相关的,监控,；,评价与业务周期相关活动的交接。,51,该法案中的404条款，是萨班斯法案中最难操作、最复杂、耗费成本最高的一个条款。条款规定，在美上市企业，要建立内部控制体系，其中包括控制环境、风险评估、控制活动、信息沟通以及监督5个部分。,内部控制活动的记录不仅要细化到像产品付款时间这样的细节，而且对重大缺陷都要予以披露。,统计显示，大型美国公司仅在“404合规工作”第一年建立内部控制系统的平均成本就高达430万美元，成本包括：内部人员35000工时的投入、130万美元的外部顾问和软件费用，以及150万美元的额外审计费用。,52,（三） 汇总7个层面核查清单得出的,内部控制有效性工作底稿,53,（四）审计委员会应关注的“头10件大事”,建立有效的内部审计职能,确保组织的道德价值观,有效沟通,监控内部信息的使用,关注预警信号,控制利益冲突,询问异常问题,确保外部审计师的独立性,寻求其他方的税务服务,考虑各种影响,54,谢谢大家！,55,