第一章企业内部控制概述

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,企业内部控制学（第二版）,企业内部控制学（第二版）,1,第一章内部控制概述,第二章内部控制要素,内部环境,第三章内部控制要素,风险评估,第四章内部控制要素,控制活动,第五章内部控制要素,信息与沟通,第六章内部控制要素,监控,第七章内部控制设计的原则与方法,第八章内部控制评价概论,第九章内部控制评价体系,本章概要,第一节内部控制的产生与发展,第二节内部控制的概念,第三节内部控制的功能与局限性,第四节美国内部控制制度框架,第五节我国内部控制制度框架,第一章内部控制概述,第一节内部控制的产生与发展,内部控制的五个发展阶段,2024/9/21,6,内部牵制阶段,（,20,世纪,30,年代及以前）,（,20,世纪,40,年代,70,年代）,内部控制制度阶段,（,20,世纪,80,年代）,内部控制结构阶段,（,20,世纪,90,年代）,“,内部控制整体框架”阶段,（,21,世纪开始至今）,“,企业风险管理框架”阶段,企业内部控制学（第二版）,3,一、内部牵制阶段,二、内部控制制度阶段,三、内部控制结构阶段,(1),控制环境,(Control Environment),是指对建立、加强或削弱特定政策与程序的效率有重大影响的各种因素,包括管理者的思想和经营作风,组织结构,董事会及其所属委员会,特别是审计委员会发挥的职能,确定职权和责任的方法,管理者监控和检查工作时所使用的控制方法,包括经营计划、预算、预测、利润计划、责任会计和内部审计,人事工作方针及其执行等,影响企业业务的各种外部关系,如由银行指定代理人的检查等。,(2),会计制度,(Accounting System),是指为认定、分析、归类、记录、编报各项经济业务,明确资产与负债的经管责任而规定的各种方法,包括鉴定和登记一切合法的经济业务,对各项经济业务按时和适当地分类,作为编制财务报表的依据,将各项经济业务按照适当的货币价值计价,以便列入,企业内部控制学（第二版）,4,财务报表,确定经济业务发生的日期,以便按照会计期间进行记录,在财务报表中恰当地表述经济业务及对有关的内容进行揭示。,(3),控制程序,(Control Procedure),是指企业为保证目标的实现而建立的政策和程序,如经济业务和经济活动的适当授权,;,明确各个人员的职责分工,如指派不同的人员分别承担业务批准、业务记录和财产保管的职责,以防止有关人员对正常经济业务图谋不轨和隐匿各种错弊,;,账簿和凭证的设置、记录与使用,以保证经济业务活动得到正确的记载,如出厂凭证应事先编号,以便控制发货业务,;,资产及记录的限制接触,如接触电脑程序和档案资料要经过批准,;,已经登记的业务及其记录与复核,如常规的账面复核,存款、借款调节表的编制,账面的核对,电脑编程控制,以及管理者对明细报告的检查等。,四、内部控制框架阶段,2013,年,5,月,14,日，,COSO,委员会发布了,内部控制,综合框架,，对五要素和内控有效性方面作了如下完善和提升。,企业内部控制学（第二版）,5,(5),强化公司治理的概念,(6),充实反舞弊和反欺诈的相关内容,五、风险管理阶段,(1),细化提出用语支持,5,个要素的,17,项原则,(2),明确“目标设定”在内部控制中的作用,(3),扩大报告目标范畴,(4),强调“企业自身的判断”,一、内部牵制,(Internal Check),阶段,(20,世纪,30,年代以前,),人类社会经济发展史中，早已存在着内部控制的基本思想和初级形式,内部牵制。,远在,公元前,3600,年,的,美索不达米亚文化的记载,中，就可找到内部牵制的踪迹。在当时极为粗糙的财务管理活动中，记录员要核对付款清单，并在付款清单上打上,“,点、勾、圈,”,等核对符号，表明检查账目的工作已经完成。这表示简单的内部牵制措施已经出现在原始的会计实践中。,当时的内部牵制活动仅是由于经济发展、管理需要产生的自觉不自觉的活动。人们从未对内部牵制本身的重要性和必要性加以认识，提出某些见解，仅是凭经验进行着最粗糙最简单的内部牵制活动。,到了,13,世纪末，会计上出现了复式簿记之后，内部牵制的发展有了新的进步。在当时，作为会计控制的复式簿记是以单纯的记账人与保管人相分离的职责分工为基础的。,15,世纪末，借贷复式记账法在意大利出现。自此，开始对管理钱财物的不同岗位进行分离，并利用其勾稽关系进行交互核对以达到互相牵制的目的。,20,世纪初期，西方资本主义经济得到了较大发展，股份有限公司的规模不断扩大，内部分工越来越细，生产资料所有者和经营者相互分离。为了保护资产，保证会计纪录的正确性，提高管理水平以在激烈的竞争中获胜，一些企业逐步摸索出一些组织、调节、制约和检查企业生产活动的办法，即按照人们的主观设想建立内部牵制制度，以防范和揭露错误。这里所指的,所谓的内部牵制,是指企业内部明确各方面的权限、职责，便于在经济活动中相互联系、相互制约、自动检验错误、防止舞弊的一种控制机制。,基于该内部牵制定义建立起来的会计工作制度，就叫做内部牵制制度。,至此，内部牵制开始走向成熟。,这段时期的内部牵制，基本上是辅助会计职能，以查错防弊为目的，以职务分离和交互核对为手法。,人们对上述内部牵制的基本思想,查错防弊,，长期以来没有根本的异议，以致在现代的内部牵制理论中，内部牵制仍占有相当重要的地位，并成为现代内部控制理论中有关组织控制、职务分离的雏形。,根据,柯勒会计辞典,(Kohler,s Dictionary for Accountants),的解释，内部牵制是指：,以提供有效的组织和经营，并防止错误和其他非法业务发生的,业务流程设计,。,其主要特点是,以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵制以使每项业务能完整正确地经过规定的处理程序，而在这规定的处理程序中，内部牵制机制永远是一个不可缺少的组成部分。,内部牵制的定义,1,L.R.,迪克西,(L.R.Dicksee),最早于,1905,年提出,内部牵制，他认为，内部牵制由三个要素构成：,职责分工；会计记录；人员轮换,。,内部牵制的定义,2,1912,年，,R.H.,蒙哥马利,(Robert H.Montgomery),出版了,审计理论与实践,，后来被审计届誉为审计师,“,圣经,”,的不朽名著，书中指出，所谓内部牵制，是指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度,某位职员的业务也与另外一位职员的业务必须是相互弥补、相互牵制的关系，即,必须进行组织上的责任分工和业务的交叉检查或交叉控制，以便相互牵制，防止发生错误或弊端。,内部牵制的定义,3,1930,年,乔治,E.,本利特,(George E.Bennett),发展了内部牵制的概念，给内部牵制下了一个完整的定义：,内部牵制是账户和程序组成的协作系统，这个系统使得员工在从事本职工作时，独立地对其他员工的工作进行连续性的检查，以确定其舞弊的可能性。,内部牵制的定义,4,案例：,“,全能,”,会计,中天集团是一家大型企业，设有自己的财务公司并在内部设立分支机构。财务公司在上海的分公司是由一位名叫马庆的人同时兼任资金调拨、制单、记账、印鉴等多项业务。,2003,年,9,月,30,日，马庆没有经过经理的授权批准，就按该企业上海某开户银行的,“,要求,”,(,据事后调查，银行是为了满足存款期末余额的考核指标,),，通过银行转账支票将分公司在该行活期账户上的,3000,万元转成在该银行的定期存款，同时该行给分公司开具了大额定期存款单据。,10,月,8,日，该银行又将这笔,3000,万元定期存款转回到活期存款账户。最后经追查，银行给该笔业务开具的定期单利率为零，并且活期存款也少支付,8,天利息共,1.38,万元。,从本案可以看出，马庆一人同时兼任资金调拨、制单、记账、印签等多项不相容岗位工作，违背了内部牵制的基本原则，以至于内部缺乏相互制约以防范风险的机制，结果使资金管理出现了漏洞，从而带来较大风险隐患，发生款项挪用也就在所难免了。,内部牵制基于两个设想：,第一，两个或两个以上的人或部门,无意识地犯同样错误,的机会是很小的；,第二，两个或两以上的人或部门,有意识地合伙舞弊,的可能性大大低于单独一个人或一个部门舞弊的可能性。,内部牵制理念的科学性,现实生活中内部牵制的形式,实物牵制：如钥匙交两个以上的人持有,物理牵制：如银库大门按非正确手续操作就会报警,分权牵制：每项业务由不同的人或部门去执行,簿记牵制：明细账与总账定期核对,二、内部控制,(Internal Control),制度阶段,(20,世纪,40,年代,70,年代,),内部牵制基本是以查错防弊为目的，以职务分离和账目核对为手法，以钱、账、物等会计事项为主要控制对象。内部控制作为一个专用名词和完整概念，,直到,20,世纪,40,年代才被人们提出、认识和接受，但核心是内部会计控制,。,1.,最早提出内部会计控制系统的是,1934,年美国发布的,证券交易法,。该法规定：证券发行人应设计并维护一套能为下列目的提供合理保证的内部会计控制系统：,(1),交易的记录必须满足公认的会计准则或其他适当标准编制财务报表和落实资产责任的需要；,(2),交易依据管理部门的一般和特殊授权执行；,(3),接触资产必须经过管理部门的一般授权和特殊授权；,(4),按照适当时间间隔要将财产的账面记录与实物资产核对，并对差异采取适当的补救措施。,2.1949,年，美国注册会计师协会,(AICPA),所属的审计程序委员会发表了一份题为,内部控制：系统协调的要素及其对管理部门和独立公共会计师的重要性,的特别报告。该报告首次正式对内部控制提出了权威性的定义：,内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。,3.1958,年，美国注册会计师协会的审计程序委员会在其发布的,审计程序公告第,29,号,对内部控制的定义作了进一步的说明，并,首次将内部控制划分为内部会计控制和内部管理控制,。,由此，内部控制进入,“,制度二分法,”,或,“,二要素,”,阶段。,内部会计控制,包括与财产安全和会计记录的准确性、可靠性有直接联系的所有方法和程序，如授权与批准控制、从事财物记录与审核的职务及从事经营与财产保管的职务实行分离控制、实物控制和内部审计等。,内部管理控制,主要是与贯彻管理方针和提高经营效率有关的所有方法和程序，一般与财务会计只是间接相关，如统计分析、业绩报告、员工培训、质量控制等。,4.1972,年，美国审计准则委员会,(ASB),在,审计准则公告,(,第,1,号,),中，重新并且更加明确地阐述了内部会计控制和内部管理控制的定义。,内部会计控制包括,(,但不限于,),组织规划、保护资产安全以及与财务报表可靠性有关,的程序和记录。,内部管理控制包括,(,但不限于,),组织规划及与管理当局进行经济业务授权的决策过程有关,的程序和记录。,三、内部控制结构,(Internal Control Structure),阶段,(20,世纪,80,年代,),1988,年，美国注册会计师协会发布,审计准则公告第,55,号,(SAS55),，并规定从,1990,年,1,月起取代,1972,年发布的,审计准则公告第,l,号,。该公告首次以,“,内部控制结构,”,代替,“,内部控制制度,”,，明确,“,企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序,”,。,该公告认为，,内部控制结构由控制环境、会计制度和控制程序三个要素组成,。,控制环境是指对建立、加强或削弱特定政策与程序的效率有重大影响的各种因素。,具体包括：,管理者的思想和经营作风；,组织结构；,董事会及其所属委员会，特别是审计委员会发挥的职能；,确定职权和责任的方法；,管理者监控和检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计；,人事工作方针及其执行；,影响本企业业务的各种外部关系，如与银行的关系等。,1.,控制环境,会计制度是指为确认、归类、分析、登记和编报各项经济业务，明确资产和负债的经管责任而规定的各种方法。,也就是要建立企业内部的会计制度。,健全的会计制度应实现下列目标：,鉴定和登记一切合法的经济业务；,对各项经济业务按时进行适当分类，作为编制财务报表的依据；,将各项经济业务按适当的货币价值计价，以使列入财务报表；,确定经济业务发生的日期，以便按照会计期间进行记录；,在财务报表中恰当地表述经济业务以及对有关内容进行揭示。,2.,会计制度,控制程序指管埋当局所制订的用以保证达到一定目的的,方法和程序,。,包括：,经济业务和经济活动的批准权；,明确各个员工的职责分工；,资产和记录的接触控制；,业务的独立审核等。,3.,控制程序,1.,控制环境首次被纳入内部控制的范畴。,2.,不再区分会计控制和管理控制而统一以要素来表述。,内部控制融会计控制和管理控制于一体，从,“,制度二分法,”,阶段步入,“,结构分析法,”,阶段即,“,三要素阶段,”,，这是内部控制发展史上的一次重要改变。,内部控制结构理论的特点,四、内部控制整合框架阶段,(Internal Control Integrated Framework),20,世纪,90,年代后，人类进入了信息经济时代，快捷的信息传递速度为资本流动创造了便利条件，但也带来了更多的经营风险。,1985,年美国为了遏制日益猖獗的会计舞弊活动，成立了一个,反财务舞弊委员会,(The Committee of Sponsoring Organizations of the Treadway Commission,，,COSO,委员会,),，也称,Treadway,委员会,，调查导致会计舞弊活动的原因，并提出了解决方案。,COSO,的来历,COSO(Committee of Sponsoring Organizations),是,Treadway,委员会的发起组织委员会的简称。,Treadway,委员会即反欺诈财务报告全国委员会,(National Commission on Fraudulent Finacial Reporting),，由于其首任主席的姓名而通常被称之为,Treadway,委员会。,该委员会由美国注册会计师协会,(AICPA),、美国会计协会,(AAA),、国际财务经理协会,(FEI),、内部审计师协会,(IIA),、管理会计师协会,(IMA),等,5,个组织于,1985,年发起设立。,1987,年，,Treadway,委员会发布一份报告，建议其发起组织沟通协作，整合各种内部控制的概念和定义。,1992,年,9,月，,COSO,发布了著名的,内部控制,整合框架,(Internal Control,Integrated Framework,，简称,COSO,报告,),，并于,1994,年进行了修订。该报告系内部控制发展历程中的一座重要里程碑，其对内部控制的发展所做出的贡献可以用三句话十二个字概括，那就是,“,一个定义、三项目标、五种要素,”,。,合规目标,报告目标,经营目标,COSO,定义,COSO,委员会在,COSO,报告中，将内部控制定义为：,“,内部控制是董事会、经理阶层和其他员工实施的，为,营运的效率效果,、,财务报告的可靠性,、,相关法律法规的遵循性,等目标的实现由企业而提供合理保证的过程,”,。,COSO,报告将内部控制的组成分成五个相互独立而又相互联系的五个要素：,控制环境,(Control Environment),风险评估,(Risk Appraisal),控制活动,(Control Activity),信息与沟通,(Information and Communication),监控,(Monitoring),内部控制整体框架的提出标志着内部控制理论发展到一个崭新的阶段，它是内部控制发展史上的又一里程碑。,内部控制五要素,企业内部控制整体框架,图,1-1 COSO,的企业内部控制整体框架图,1,控制环境,控制环境主要指企业内部的文化、价值观、组织结构、管理理念和风格等。,这些因素是企业内部控制的基础，将对企业内部控制的运行及效果产生广泛而深远的影响。,具体来说，,控制环境包括,员工的忠诚和职业道德、人员胜任能力、管理者的管理哲学和经营风格、董事会及审计委员会、组织机构、权责划分、人力资源政策及执行等方面。,2,风险评估,风险评估是指识别和分析与实现目标相关的风险，并采取相应的行动措施加以控制。这一过程包括风险识别和风险分析两个部分。通常，企业的风险主要来自于外部环境和内部条件的变化。,风险识别包括,对外部因素,(,如技术发展、竞争、经济变化,),和内部因素,(,如员工素质、公司活动性质、信息系统处理的特点,),进行检查。,风险分析则,涉及估计风险的重大程度、风险发生的可能性、如何控制风险等。,3,控制活动,控制活动是指企业对所确认的风险采取必要的措施，以保证企业目标得以实现的政策和程序。,一般来说，与内部控制相关的控制活动包括,职务分离、实物控制、信息处理控制、业绩评价等,。,职务分离,是指为了防止单个雇员舞弊或隐藏不正当行为而进行的职责划分。一般来说，应该分离的职责有：业务授权与业务执行、业务执行与业务记录、业务记录与业务稽核等。,实物控制,指对企业的具体实物所进行的控制行为，如针对现金、存货、固定资产、有价证券等所进行的控制。,信息处理控制,可分为两类：一般控制和应用控制。一般控制通常与信息系统的设计和管理有关。应用控制则与个别数据在信息系统中处理的方式有关。,业绩评价,是指将实际业绩与业绩标准进行比较，以便确定业绩的完成程度和质量。,4,信息与沟通,信息与沟通是指为了使管理者和员工能执行其职责，企业各个部门及员工之间必须沟通与交流相关的信息。这些信息既有外部的信息，也有内部的信息。通常而言，,信息与沟通包括,确认记录有效的经济业务、采用恰当的货币价值计量、在财务报告中恰当揭示。,沟通的目的,主要是让员工了解其职责，了解其在工作中如何与他人相联系，如何向上级报告例外情况。,沟通的方式,一般有政策手册、财务报告手册、备查簿，口头交流或管理示例等。,5,监督,监督是指评价内部控制的质量，也就是评价内部控制制度的设计与执行情况，,包括日常的监督活动、内部审计等,。,监督活动通常是,由内部审计、财务会计、人力资源等部门执行,。他们定期或不定期地对内部控制制度的设计与执行情况进行检查和评估，与有关人员交流内部控制有效与否的信息，并提出改进意见，以保证内部控制能够随环境的变化而不断改进。,和以前的内部控制理论相比，,COSO,报告提出了许多新的、有价值的观点。,明确了对内部控制的责任。,强调内部控制应该与企业的经营管理过程相结合。,强调内部控制是一个,“,动态过程,”,。,强调,“,人,”,的重要性。,强调,“,软控制,”,的作用。,强调风险意识。,揉合了管理与控制的界限。,强调内部控制的分类及目标。,明确指出内部控制只能做到,“,合理,”,保证。,强调成本与效益原则。,五、风险管理阶段,2004,年,9,月，,COSO,委员会在借鉴以往有关内部控制研究报告的基本精神的基础上，结合,萨班斯一奥克斯利法案,在财务报告方面的具体要求，发表了新的研究报告,企业风险管理框架,(Enterprise Risk Management Framework,，简称,ERM,框架,),。,企业风险管理框架,指出：,“,全面风险管理,是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于企业战略制定并贯穿于企业各种经营活动之中，目的是识别可能会影响企业价值的潜在事项，管理风险于企业的风险容量之内，并为企业目标的实现提供保证。,”,这一阶段的显著变化是将内部控制上升至全面风险管理的高度来认识。,所谓,“,萨班斯,-,奥克斯利法案,”,，是指,2002,年,6,月,18,日美国国会参议院银行委员会以,17,票赞成对,4,票反对通过由奥克斯利和参议院银行委员会主席萨班斯联合提出的会计改革法案,2002,上市公司会计改革与投资者保护法案,。这一议案在美国国会参众两院投票表决通过后，由布什总统在,2002,年,7,月,30,日签署成为正式法律，称作,2002,年萨班斯,-,奥克斯利法案,。,萨班斯,-,奥克斯利法案,设立独立的上市公司会计监管委员会，负责监管执行上市公司审计的会计师事务所；,特别加强执行审计的会计师事务所的独立性；,特别强化了公司治理结构并明确了公司的财务报告责任及大幅增强了公司的财务披露义务；,大幅加重了对公司管理层违法行为的处罚措施；,增加经费拨款，强化美国证券交易委员会,(SEC),的预算以及职能。,“,萨班斯法案,”,主要内容,“,萨班斯法案,”,素以条款严苛而著称，其中的,404,条款则是该法案中最难操作、最复杂、耗费成本最高的一个条款。,这一令人生畏的,404,条款规定：,所有在美上市企业都要建立内部控制体系，其中包括控制环境、风险评估、控制活动、信息沟通以及监督,5,个部分。而且，法案对企业建立的内部控制活动的记录作了许多详细而严格的细节上的规定。,如此一来，,404,条款就成为外国公司迈入美国股市的,“,高门槛,”,。,404,条款,条款如此严苛，惩戒又如此严厉的法案自然令大批在美上市的外国公司不寒而栗。,据悉，在美上市的中国企业共有,46,家，其中不乏像网通、移动、百度这样的行业巨头。但是，中国企业此前从未经历过这样严厉的,“,美国规则,”,的考验。,据有关专家估算，此次中国在美国上市的,46,家公司在应对萨班斯法案方面的直接投入总共高达,10,亿元人民币，而大型央企由于公司治理方面相对较弱，其在人力、时间、资源方面的投入更高。,有报道称，国际财务执行官组织对,321,家企业的调查显示，每家遵守萨法的美国大型企业第一年实施,404,条款总成本平均超过,460,万美元，大名鼎鼎的通用电气公司更是花费了高达,3000,万美元的巨款来完善内部控制系统以符合,404,条款的要求。,ERM,框架提出了,战略目标,、,经营目标,、,报告目标,和,合规目标,四类目标，并将内部控制的要素进一步扩展为,内部环境、,目标制定,、,事项识别,、风险评估、,风险应对,、控制活动、信息与沟通、监控,等八个要素。,企业风险管理框架,(ERM,框架,),图,1-2,企业风险管理整合框架图,企业风险管理整合框架,(ERM,框架,),1.,内部环境：内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观以及他们所处的经营环境。,2.,目标制定：必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。,3.,事项识别：必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会应被反馈到管理当局的战略或目标制订过程中。,4.,风险评估：通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。,5.,风险应对：管理当局选择风险应对、回避、承受、降低或者分担风险，采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。,6.,控制活动：制订和执行政策与程序以帮助确保风险应对得以有效实施。,7.,信息与沟通：确保有关员工履行其职责的信息得以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。,8.,监控：对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。,1.,从目标上看，,ERM,框架不仅涵盖了内部控制框架中的经营性、财务报告可靠性和合法性三个目标，而且还新提出了一个更具管理意义和管理层次的战略管理目标，同时还扩大了报告的范畴。,2.,从内容上看，,ERM,框架除了包括内部控制整体框架中的五个要素外，还增加了目标制定、风险识别和风险应对三个管理要素。,3.,从概念上看，,ERM,框架提出了两个新概念,风险偏好和风险容忍度。,4.,从观念上看，,ERM,框架提出了一个新的观念,风险组合观。,ERM,框架的创新,需要说明的是，,企业风险管理框架,虽然较晚于,内部控制,整体框架,产生，但是它并不是要完全替代,内部控制,整体框架,。,在企业管理实践中，内部控制是基础，风险管理只是建立在内部控制基础之上的、具有更高层次和更有综合意义的控制活动。如果离开良好的内部控制系统，所谓的风险管理只能是一句空话而已。,内部控制、风险管理的起源、发展与继承示意图如下：,案例：,“,中航油事件,”,引发的内控新思考,中航油新加坡公司于,2001,年底获批在新加坡上市，在取得中国航油集团公司授权后，自,2003,年开始做油品套期保值业务。但在此期间，总裁陈久霖擅自扩大业务范围，从事石油衍生品期权交易。,2004,年,12,月，中航油新加坡公司因从事投机性石油衍生品交易，亏损,5.54,亿美元，不久就向新加坡证券交易所申请停牌，并向当地法院申请破产保护，成为继巴林银行破产以来最大的投机丑闻。,2005,年,3,月，新加坡普华永道在种种猜疑下提交了针对此亏损事件所做的第一期调查报告。报告中认为，中航油新加坡公司的巨额亏损由诸多因素造成，,主要包括：,2003,年第四季度对未来油价走势的错误判断；公司未能根据行业标准评估期权组合价值；缺乏推行基本的对期权投机的风险管理措施；对期权交易的风险管理规则和控制，管理层也没有做好执行的准备等。,2002,年中航油的年报显示其当年的投机交易盈利，,2002,年下半年，中航油开始进行石油期权交易，到年底也收益颇多，此时就面临着事项识别中的识别机会与风险问题。当我们看到该事项为公司赚取了大量利润的同时，应该也清醒地认识到，其可能产生巨大风险。但是，中航油的决策者风险意识淡薄，判断、控制和驾驭风险的能力明显偏弱。如果管理当局在赚取巨额利润的同时，能认清形势，清醒地意识到可能产生的风险，或许中航油的事件就不会发生。,第二节内部控制的概念,企业内部控制学（第二版）,6,一、内部控制的含义,1.,内部控制由企业内部全体人员参与,2.,内部控制的实施范围覆盖企业所有内部事务,3.,内部控制以相互牵制为核心,通过组织结构的制衡安排和控制政策的标准化得以实现,4.,内部控制是一个实施过程,二、内部控制的分类,(,一,),按内部控制主体分类,(,二,),按控制实施方式分类,(,三,),按控制目标分类,企业内部控制学（第二版）,7,三、内部控制与法人治理及内部审计,(,一,),内部控制与法人治理,1.,内部控制与法人治理的区别,内控：实现企业目标,法人治理：实现各相关主体权责利的对等,2.,内部控制与法人治理的联系,(1),法人治理与内部控制都统一于实现企业的目标,(2),良好的内部控制将促进法人治理的完善,(3),健全的法人治理又是内部控制有效运行的保证,(,二,),内部控制与内部审计,企业内部控制学（第二版）,8,图,11,内部控制与内部审计的关系,第三节内部控制的功能与局限性,企业内部控制学（第二版）,9,一、内部控制的功能,(,一,),有效抵御风险,实现持续健康发展,(,二,),保障资产安全、完整,(,三,),提高会计信息质量,1.,会计信息是企业契约机制的核心内容,2.,会计信息是企业利益相关者进行决策的信息基础,3.,会计信息是资本市场正常运转的必备条件,企业内部控制学（第二版）,24,二、内部控制的局限性,(,一,),成本限制,(,二,),人为错误,(,三,),串通舞弊,(,四,),滥用职权,(,五,),制度失效,(,六,),非经常性事项,第四节美国内部控制制度框架,企业内部控制学（第二版）,25,一、萨奥法案出台的背景,二、萨奥法案的主要内容,三、萨奥法案的核心,:404,条款,1.,规则要求,(1),表明公司管理层有建立和维持财务报告内部控制系统及相关控制程序充分效的职责。,(2),包含管理层在最近一个财政年度年底对财务报告内部控制系统及程序有效进行评估的结果。,2.,内部控制评估与报告,四、实务界执行萨奥法案的反馈,第五节我国内部控制制度框架,企业内部控制学（第二版）,26,一、我国内部控制制度框架体系,企业内部控制学（第二版）,27,图,12,我国企业内部控制规范体系,企业内部控制学（第二版）,26,二、企业内部控制基本规范,企业内部控制学（第二版）,28,表,12,企业内部控制基本规范,与萨奥法案的区别,企业内部控制基本规范,萨奥法案,适用范围,除上市公司外,还鼓励非上市公司与其他大中型,企业加强企业内部控制管理,只限于上市公司,具体规定,原则性规定,详细,严厉程度,没有规定未达标如何处罚,企业必须达到法案要求,否则要受到严厉惩罚,(,一,),内部控制的目标,内部控制的目标是,合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略。,上述五个目标是一个完整的内部控制目标体系的不可或缺的组成部分，即通过内部控制，要保证企业在合法经营的前提下，,保障资产的安全完整，提供真实可靠的财务报告及其他信息，保证其经营既有效果又有效率，,从而实现其,战略目标,。,企业内部控制学（第二版）,30,表,13COSO,、,ERM,、基本规范中控制目标的比较,内部控制,整合框架,企业风险管理,整体框架,企业内部控制基本规范,目标,经营的效率效果性,财务报告的可靠性,法律和法规的遵从性,战略目标,经营目标,报告目标,合法目标,经营管理合法合规,资产安全,财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略,（,1,）战略目标,战略目标在这个目标体系中是最高层次的,其他目标都应当与战略目标协调一致,都在为战略目标服务。,公司战略：单一经营、多元化经营,业务战略：成本优势、产品差异战略,（,2,）经营目标,经营目标是企业实现战略目标的核心和关键，战略目标是与企业使命有关的总括性目标，它的实现需要通过分解和细化为经营目标才能得以落实，没有经营目标，战略目标制定的再好也没有任何意义。,（,3,）报告目标,报告目标即内部控制要合理保证企业提供了真实可靠的财务报告及其他信息。它是内部控制目标体系的基础目标。,企业报告包括内部报告和外部报告。如果说战略目标和经营目标是站在企业自身的视角下提出的，那么报告目标则是更多地基于企业外部的需求。对外部使用者来说,真实可靠的财务报告能够公允地反映企业的财务状况和经营成果,从而有利于信息使用者的决策。,当然非财务信息的重要性也是不言而喻的。,蓝田事件,（,4,）合规目标,合规目标与企业活动的合法性有关。合规目标即内部控制要确保企业遵循了国家有关法律法规的规定，不得违法经营。,（,5,）资产安全目标,保护资产一直是内部会计控制的一个主要目标，在,COSO,框架中没有将保护资产作为一个主要目标,而是作为控制程序组成要素的一个子集。,我国的,企业内部控制基本规范,重新将其作为内部控制目标的一部分是有其特殊用意的。我国是一个产权多元化的国家，国有资产流失现象严重，保护资产安全与完整,对资产所有者来说具有特别紧迫的现实意义。,资产安全目标是实现其他目标的物质前提。,图 内部控制目标关系图,内部控制目标关系图,企业内部控制学（第二版）,31,(,二,),内部控制的要素,1.,内部环境,2.,风险评估,3.,控制活动,4.,信息与沟通,5.,内部监督,三、应用指引,(,一,),内部环境类指引,1.,组织架构,2.,发展战略,3.,人力资源,企业内部控制学（第二版）,32,5.,企业文化,(,二,),控制活动类指引,(1),资金活动。,(2),采购业务。,(3),资产管理。,(4),销售业务。,(5),研究与开发。,(6),工程项目。,(7),担保业务。,(8),业务外包。,(9),财务报告。,(,三,),控制手段类指引,4.,社会责任,企业内部控制学（第二版）,33,2.,合同管理,3.,内部信息传递,4.,信息系统,四、内部控制评价指引,1.,内部控制评价的内容,2.,内部控制评价的组织,3.,内部控制缺陷的认定,4.,内部控制评价报告,5.,内部控制评价报告的披露或报送,1.,全面预算,企业内部控制学（第二版）,34,3.,整合审计,4.,利用被审计单位人员的工作,5.,审计方法,6.,评价控制缺陷,7.,出具审计报告,五、内部控制审计指引,1.,审计责任划分,2.,审计范围,Thank You !,我国内部控制的相关法规,会计法,有关内部会计监督的规定,审计署有关内部控制的规定,银监会有关内部控制的规定,保监会有关内部控制的规定,证监会有关内部控制的规定,国资委有关内部控制的规定,财政部,企业内部控制基本规范,及其配套指引,一、,会计法,有关内部会计监督的规定,1999,年颁布的新,会计法,是我国第一部体现内部会计控制要求的法律，该法将企业,(,单位,),内部控制制度当做保障会计信息,“,真实和完整,”,的基本手段之一。,1985,年,1,月,21,日颁布,会计法,1993,年,12,月,29,日第一次修订,会计法,1999,年,10,月,31,日再次修订的,会计法,于,2000,年,7,月,1,日起正式施行,1999,年颁布的新,会计法,第,27,条规定：,各单位应当建立、健全本单位内部会计监督制度。单位内部会计监督制度应当符合下列要求：,(1),记帐人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确，并相互分离、相互制约；,(2),重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确；,(3),财产清查的范围、期限和组织程序应当明确；,(4),对会计资料定期进行内部审计的办法和程序应当明确。,”,这是对各单位建立内部会计监督制度问题作出的原则性规定。,1999,年颁布的新,会计法,第,27,条虽然没有直接提到内部控制，但其具体监督内容都符合内部控制的基本要求。这是我国对内部控制的最高法律规范。,但是因为是,会计法,，规范的内容局限于内部会计控制的要求，没有涉及全部内部控制的内容。,二、审计署有关内部控制的规定,2004,年，为了规范审计人员在审计过程中对被审计单位内部控制的测评行为，保证审计工作质量，根据,中华人民共和国国家审计基本准则,，制定,审计机关内部控制测评准则,，并规定,2004,年,2,月,1,日起施行。,该准则共,24,条，主要是规定了内部控制测评的程序与方法。,三、银监会有关内部控制的规定,2004,年,8,月,20,日，中国银行业监督管理委员会,(,简称银监会,),第,25,次主席会议通过,商业银行内部控制评价试行办法,，自,2005,年,2,月,1,日起施行。,2007,年,7,月,26,日，银监会发布,商业银行内部控制指引,，首次以法规形式明确商业银行内部控制。,四、保监会有关内部控制的规定,早在,1999,年，中国保险监督管理委员会,(,简称保监会,),就颁布了,保险公司内部控制制度建设指导原则,，该,指导原则,对于推动保险公司加强内控建设起到了积极的作用。但由于缺乏相应的配套措施，公司落实情况不尽如人意。,2006,年,1,月,10,日,保监会颁布,寿险公司内部控制评价办法,(,试行,),，旨在通过加强并规范内部控制评价工作，最终推动寿险公司完善内部控制。,五、证监会有关内部控制的规定,1999,年，中国证监会发布,关于上市公司做好各项资产减值准备等有关事项的通知,，开始要求上市公司建立内部控制。,2000,年,11,月，证监会发布,公开发行证券公司信息披露编报规则,，要求商业银行、保险公司、证券公司必须建立健全内部控制，并对内部控制的完整性、合理性和有效性做出说明。,2001,年,1,月,31,日，证监会发布,证券公司内部控制指引,，要求证券公司健全内部控制机制，完善内部控制，以规范公司经营行为；要求证券公司应当按照指引的要求，建立运行高效，制定科学合理、切实有效的内部控制。,2002,年,12,月,19,日，证监会发布,证券投资基金管理公司企业内部控制指导意见,，首次系统地提出基金公司企业内部控制的目标和要求。,2006,年,5,月,17,日，证监会发布,首次公开发行股票并上市管理办法,第,29,条规定,“,发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告,”,这是中国首次对上市公司内部控制提出具体的要求。,2006,年,6,月,5,日，上海证券交易所正式对外发布了,上海证券交易所上市公司内部控制指引,，并要求从,2006,年,7,月,1,日起正式实施。这是我国首部指导上市公司建立健全内控机制的规范性文件。,2006,年,9,月,28,日，深圳证券交易所发布了,深圳证券交易所上市公司内部控制指引,，要求深市主板上市公司自今日至,2007,年,6,月,30,日期间建立起完备的内部控制制度，并从,2007,年年报开始，按照,内控指引,的要求披露内控制度制定和实施情况。,六、国资委有关内部控制的规定,2006,年月,6,日，国务院国有资产监督管理委员会，简称国资委,),出台了,中央企业全面风险管理指引,。该指引共,10,章,70,条，借鉴了发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法，以及国内有关内控机制建设方面的规定，对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述。,七、财政部,企业内部控制基本规范,及其配套指引,从,2001,年,6,月,22,日财政部印发,内部会计控制规范,基本规范,(,试行,),及,内部会计控制规范,货币资金,(,试行,),的通知,(,财会字,200141,号,),以后，财政部陆续发布了内部会计控制规范,采购与付款、销售与收款、工程项目、担保、对外投资等个会计内控规范，另外发布成本费用、预算个会计内控规范征求意见稿。,原,内部会计控制规范,基本规范,(,试行,),包括六章，具体结构包括总则、内部会计控制的目标和原则、内部会计控制的内容、内部会计控制的方法、内部会计控制的检查、附则。,2001,年的内部会计控制规范其内容涉及货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制。,内部会计控制规范的适用范围为所有单位。但企业与国家机关、社会团体、事业单位和其他经济组织在业务流程上有很大的不同，甚至是完全不同，其内控很难规定一致，该会计内控体系执行起来也出现困难。因此该套规范体系并没有在实践中得到普遍的应用。整合我国有关内部控制规章制度制定并出台统一的内部控制规范显然迫在眉睫。,总理语录,引进借鉴国外先进管理经验，规范公司治理结构，完善内控机制与管理制度，推进制度创新。,温家宝总理在十届全国人大四次会议上的政府工作报告，,2006,年,3,月,5,日,各上市公司和相关企业的总经理、总会计师和其他高级管理人员，要进一步强化法制意识、风险意识和责任观念，主动关心、亲身参与、大力支持内控规范的学习培训和贯彻执行，自愿担当起本单位内控制度建设的推动者和实践者，确保内控规范在本单位的顺利实施。,企业内部控制标准委员会秘书长、财政部会计司司长刘玉廷，,2010,2005,年,6,月，国务院领导在财政部、国资委和证监会联合上报的,关于借鉴,完善我国上市公司内部控制制度的报告,上作出批示，同意,“,由财政部牵头，联合证监会及国资委，积极研究制定一套完整公认的企业内部控制制度指引,”,。,2006,年,7,月,15,日，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立具有广泛代表性的,企业内部控制标准委员会,，由财政部副部长王军任委员会主席，财政部会计司司长刘玉廷任秘书长，共同研究推进企业内部控制规范体系建设问题。,2007,年,3,月,2,日，财政部公布,企业内部控制规范,(,征求意见稿,),。颁布的规范征求意见稿共有,18,个规范，其中,1,个基本规范、,17,个具体规范。,2008,年,6,月,12,日，财政部发布了,企业内部控制应用指引,(,征求意见稿，以下简称,“,应用指引,”,),、,企业内部控制评价指引,(,征求意见稿，以下简称,“,评价指引,”,),、,企业内部控制审计指引,(,征求意见稿，以下简称,“,审计指引,”,),。,2008,年,6,月,28,日，,企业内部控制规范,基本规范,正式发布。基本规范的印发，标志着企业内部控制规范体系建设取得重大突破。,2010,年,4,月,26,日，财政部会同证监会、审计署、银监会、保监会联合制定了,企业内部控制配套指引第,1,号,组织构架,等,18,项应用指引、,企业内部控制评价指引,和,企业内部控制审计指引,(,以下简称,“,企业内部控制配套指引,”,),。,2010,年颁布的企业内部控制配套指引与,2008,年颁布的内部控制基本规范，,共同构建了中国企业内部控制规范体系，,标志着,“,以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,”,的企业内部控制建设与应用体系已经建成,。,企业内部控制配套指引和基本规范,自,2011,年,1,月,1,日起,首先在境内外同时上市的公司施行，,自,2012,年,1,月,1,日起扩大到在沪深主板上市的公司施行,；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。,我国企业内部控制标准体系,图 我国企业内部控制标准体系,我国的企业内部控制体系，是在总结我国企业管理实践经验、借鉴国际先进成果的基础上形成的，为大中型企业建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系提供了很好的指引，是企业建立健全并有效实施内控制度的标准指南。,2007,年至,2010,年企业内部控制体系变化如下图。,我国企业内部控制的发展变化,2007,年企业内部控制体系,2008,年企业内部控制体系,2010,年企业内部控制体系,内部,环境,是企业实施内部控制的基础，一般包括,治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化,等。,是任何企业的核心，是企业的人以及它所处的环境,提供了企业纪律与架构，塑造了企业文化，并影响企业员工的控制意识,是推动企业的引擎，也是其他要素的基础,内部环境,治理结构,企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。,内部环境,机构设置及权责分配,企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。,制衡原则,权责利相对等,机构部门与岗位,内部环境,内部审计,企业应当在董事会下设立审计委员会，并加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性，内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。,当前内审机构的设置,财务会计部,纪委或监察室,总经理,监事会,董事会,内部审计机构的独立性,机构设置,机构与人员保持独立性,人员任免,制定章程,内部环境,人力资源政策,企业应当制定和实施有利于企业可持续发展的人力资源政策，并应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。,内容,员工的聘用、培训、辞退与辞职,员工的薪酬、考核、晋升与奖惩,关键岗位员工的强制休假制度和定期岗位轮换制度,掌握国家秘密或重要商业秘密的员工离岗的限制性规定,其他,内部环境,企业文化,指企业在经营管理过程中形成的、影响企业内部环境和内部控制效力的精神、意识和理念，主要包括企业的整体价值观，高级管理人员的管理理念、经营哲学与职业操守，员工的行为守则等。,风险评估,(risk assessment),定义：风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。,评估风险的先决条件，是建立风险评估体系三步骤：风险确认识别；风险分析与评估；风险控制与报告。,第二十二条 企业识别内部风险，应当关注下列因素：,（一）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。（二）组织机构、经营方式、资产管理、业务流程等管理因素。（三）研究开发、技术投入、信息技术运用等自主创新因素。（四）财务状况、经营成果、现金流量等财务因素。（五）营运安全、员工健康、环境保护等安全环保因素。（六）其他有关内部风险因素。,第二十三条企业识别外部风险，应当关注下列因素：,（一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。（二）法律法规、监管要求等法律因素。（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。（四）技术进步、工艺改进等科学技术因素。（五）自然灾害、环境状况等自然环境因素。（六）其他有关外部风险因素。,第二十四条企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。,第二十五条企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。,第二十六条企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实