第一章 内控概论

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,审计,*,内部控制设计,Internal Control System,西南财大会计学院,刘新琳,电子邮箱：,lxinlin,课程简介,内部控制作为企业风险管理的重要手段,在维护财 产物资的完整性、保证会计信息的准确性、保证财务活动的合法性、保证经营决策的贯彻执行、保证生产经营活动的经济性、效率性和效果性和保证国家法律法规的遵守执行等方面发挥着至关重要的作用。,本课程以企业,风险管理,为主线，以,企业,内部控制设计为重点，以内部控制理论为基础，以学生内部控制的设计实务操作能力培养为根本，密切结合当前企业当前风险管理实践，将内部控制的基本理论和知识融入内部控制设计的基本技能之中。,本课程的学习目标,是通过对内部控制理论的讲述，使学生了解内部控制的内涵与外延，并在业务循环的基础上，掌握内部控制设计的基本方法、设计和评价体系。,教学目标,教学内容,分为三部分,第一部分为内部控制及设计的基本理论,，即第一章,第二章的内容；,第二部分为业务循环和重要项目的内部控制设计,，即 第三章,第十一章的内容；,第三部分,第十二章为内部控制评价与报告,第一章 内部控制概论,第二章 内部控制设计的基本理论,第三章 货币资金内部控制设计,第四章 采购与付款循环内部控制设计,第五章 销售与收款循环内部控制设计,第六章 存货内部控制设计,第七章 固定资产内部控制设计,第八章 筹资内部控制设计,第九章 对外投资内部控制设计,第十章 研究与开发内部控制设计,第十一章 担保业务内部控制设计,第十二章 内部控制评价与报告,1,、企业内部控制规范讲解,2010,，财政部会计司主编，经济科学出版社，,2010,2,、内部控制，潘琰主编，高等教育出版社，,2008,3,、内部控制,整合框架，方红星主译，东北财经大学出版社，,2008,4,、第三届全国会计知识大赛辅导讲座，内部控制部分，大连出版社，,2007,5,、内部控制案例，朱荣恩主编，复旦大学出版社，,2005,参考书目,6,、,内部控制学，李凤鸣，北京大学出版社，,2002,7,、,企业内部控制基本规范,（,2008,）,8,、,企业内部控制应用指引,（,2010,）,9,、,企业内部控制评价指引,（,2010,）,10,、,企业内部控制审计指引,（,2010,）,11,、,www.coso.org,/,12,、,课件、课外阅读材料,平时成绩：,50%,由书面作业、课堂案例讨论、课堂纪律、期中考试、课程论文组成,期末成绩：,50%,（开卷）,考核方法,前 言,从企业经营风险看内部控制的,必要性,案例分析,引例,华人首富,李嘉诚,教训与启示,常言：,智者从别人失败经验中吸取教训，,聪明者从自己失败经验中吸取教训，,愚者则永不懂从经验中学习。,第一章 内部控制概论,本章参考规范,企业内部控制基本规范,（,2008,）,企业内部控制应用指引第,1,号,组织架构,（,2010,）,企业内部控制应用指引第,2,号,发展战略,（,2010,）,企业内部控制应用指引第,3,号,人力资源,（,2010,）,企业内部控制应用指引第,4,号,社会责任,（,2010,）,企业内部控制应用指引第,5,号,企业文化,（,2010,）,第一节 内部控制的演进,一、国外内部控制发展的历程,内部控制，在内部牵制的基础上，由企业管理人员在经营管理实践中创造,;,并由审计人员理论总结而逐步完善的自我监督和自行调整体系。在其漫长的产生和发展过程中，大体经历了,萌芽期,、,发展期,和,成熟期,三个历史时期。,内部牵制,内部控制系统,内部控制结构,内部控制整合框架,企业风险管理整合框架,内部控制的历史演进,内部控制理论与实践的发展大体上经历了内部牵制、内部控制、内部控制结构、内部控制整合框架、企业风险管理整合框架等五个不同的阶段,（一）内部牵制阶段,内部控制，作为一个专用名词和完整概念，直到,20,世纪,30,年代 才被人们提出、认识和接受。但在此前的人类社会发展史中，早已存在着内部控制的基本思想和初级形式，这就是内部牵制,(Internal check),。,18,世纪产业革命前：内部牵制,公元前,3600,年，,简单,的内部牵制,实践,公元,600,年，,较为完善,的内部牵制,实践,例如，在古罗马时代，对会计账簿实施的,双人记账制,-,某笔经济业务发生后，由两名记账人员同时在各自的账簿上加以登记然后定期核对双方账簿记录，以检查有无记账差错或舞弊行为，进而达到控制财物收支的目的，即是典型的内部牵制措施。,18,世纪产业革命后至,20,世纪,40,年代：,内部牵制,制度,背景：,19,世纪中叶至,20,世纪初，产业革命在英美等国完成,1,、泰罗：,科学管理原理,（,1911,）,2,、法约尔：,工业管理与一般管理,（,1916,）,3,、,AICPA,：,CPA,对财务报表的审查,（,1936,，首次正式使用内部控制）,4,、,20,世纪,30,年代经济大危机,5,、,AICPA,审计程序委员会：,审计程序文告第一号,（,1939,）,L.R.Dicksee,最早于,1905,年提出内部牵制。他认为，,内部牵制由三个要素构成：职责分工；会计记录；人员轮换,。,蒙哥马利于,1912,年提出：所谓内部牵制是指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度。,George,E.Bennett,发展了内部牵制的概念，他于,1930,年给内部牵制制度下了一个完整的定义：内部牵制是帐户和程序组成的协作系统，这个系统使得员工在从事本身工作时，独立地对其他员工的工作进行连续性的检查，以确定其舞弊的可能性。,内部牵制的,目的,：查错防弊为目的，保护的财产安全,手法：职务分离、账目核对,控制对象：以钱、账物等会计事项为主要控制对象,内部牵制的,种类,与,职能：,实物牵制,如钥匙交两个以上的持有,物理牵制,如银库大门按非正确手续操作 就会报警,分权牵制,每项业务由不同的人或部门去执行,簿记牵制,明细账与总账定期核对,柯氏会计辞典,(Kohler,s Dictionary for Accountant),对内部牵制的定义：,为提供有效的组织和经营，并防止错误和其它非法业务发生而制定的业务流程。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权利的方式进行组织上的责任分工，每项业务通过正常发挥其它个人或部门的功能进行交叉检查或交叉控制,。,（二）内部控制制度阶段,实践塑造,和,理论完善,两大使命完成,1,、,AICPA,审计程序委员会：,审计准则暂行公告,“,现场工作准则第二条,”,（,1947,）,2,、,AICPA,审计程序委员会：,内部控制、协调系统诸要素及其对管理部门和,CPA,的必要性,（,1949,年，首次作出权威定义）,3,、,AICPA,审计程序委员会对内部控制定义作出重新表述（,1958,）,定义第一次修正：会计控制与管理控制,4,、,AICPA,审计程序委员会：,审计程序说明第,33,号,（,1963,）,定义第二次修正,5,、,AICPA,审计程序委员会：（,1973,）,定义第三次修正,内部控制定义的提出,1934,年美国,证券交易法,，首先提出了,“,内部会计控制,”,(Internal accounting control system),的概念。其中指出：证券发行人应设计并维护一套能为下列目的提供合理保证的内部会计控制系统：,a.,交易依据管理部门的一般和特殊授权执行；,b.,交易的记录必须满足,GAAP,或其他适当标准编制财务报表和落实资产责任的需要；,c.,接触资产必须经过管理部门的一般和特殊授权；,d.,按适当时间间隔，将财产的账面记录与实物资产进行对比，并对差异采取适当的补救措施。,1936,年美国会计师协会发布的,注册会计师对财务报表的审查,文告，以及,1947,年,审计准则暂行公告,(TSAS),，出于改进审计方式的需要，提出了以内部控制,(Internal Control),为基础的审计程序。,但这期间，无论在审计文献中还是在其他管理著作中，均没有关于内部控制概念的权威性定义。,为了赋予内部控制一个准确完整的定义，审计程序委员会下属的内部控制专门委员会经过两年研究，于,1949,年发表了题为,内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性,的专题报告，对内部控制,首次,做出了如下权威定义：,内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施,。,1958,年，审计程序委员会,(CAP),审计程序公告第,29,号,（,SAP No.29),，对内部控制作了如下划分：,“,广义地说，内部控制按其特点可以划分为会计控制和管理控制,;,1),会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成,;,会计控制包括授权与批准制度,;,记账、编制财务报表、保管财务资产等职务的分离,;,财产的实物控制以及内部审计等控制。,2),管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的关系，包括统计分析、时动研究、经营报告、雇员培训计划和质量控制等,“,。,1972,年，美国会计准则委员会,(ASB),审计准则公告,的制定者，循着,证券交易法,的路线进行研究和讨论，在第,1,号公告,(SAS No.1),中，对管理控制和会计控制提出并通过了如下定义：,1,、内部会计控制,会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成。会计控制旨在保证：,a,、经济业务的执行符合管理部门的一般授权或特殊授权的要求,;,b,、经济业务的记录必须有利于按照一般公认会计原则或其它有关标准编制财务报表，以及落实资产责任,;,c,、只有在得到管理部门批准的情况下，才能接触资产；,d,、按照适当的间隔期限，将资产的账面记录与实物资产进行对比，一经发现差异，应采取相应的补救措施。,2,、内部管理控制,管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。,这种授权活动是管理部门的职责，它直接与管理部门执行该组织的经营目标有关，是对经济业务进行会计控制的起点。,（三）内部控制结构阶段,以会计控制为主的定义，虽为独立审计界认可，却屡屡遭到管理人员代言人的攻击。他们指出，这些定义把精力过多地放在纠错防弊上，过于消极和狭窄。从管理人员,(,和其它有关第三方,),的角度来看，会计控制和管理控制之间的区别并不大，甚至根本没有区别。特别是那些置身于企业经营活动的人们，他们很难接受这种区分。,1980,年,3,月在,“,内部审计师协会,”,代表大会的发言中，凯罗鲁斯先生把美国注册会计师协会在,1958,年将,1949,年的内部控制定义区分为会计控制和管理控制的行为描绘为,“,将美玉击成了碎片,”,。他声称，在这块美玉完全修复以前,-,我们不可能有一个对管理人员有用、为管理人员理解的内部控制定义。,1988,年,4,月美国注册会计师协会发布的,审计准则公告第,55,号,(SAS N0.55),，首次以内部控制结构,(Internal Control Structure),取代原有的,“,内部控制,”,，规定从,1990,年,1,月起以该文告取代,1972,年发布的,审计准则公告第,1,号,。,该文告的颁布和实施可视为内部控制理论研究的一个新的突破性成果。,以,“,财务报表审计对内部控制结构的考虑,”,为题的,审计准则公告第,55,号,指出,:,“,企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序,”,（,AICPA,，,1988,）,要素：一是,控制环境,（,Control Environment,）二是,会计系统,（,Accounting System,）三是,控制程序,（,Control Procedure,）,1,、控制环境,所谓控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。具体包括,:,管理者的思想和经营作风,;,企业组织结构,;,董事会及其所属委员会，特别是审计委员会发挥的职能；,确定职权和责任的方法,;,管理者监控和检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计；,人事工作方针及其执行、影响本企业业务的各种外部关系。例如由银行指定代理人的检查等。,2,、会计系统,会计系统规定各项经济业务的鉴定、分析、归类、登记和编报的方法，明确各项资产和负债的经营管理责任。健全的会计系统应实现下列目标,:,鉴定和登记一切合法的经济业务,;,对各项经济业务按时进行适当分类，作为编制财务报表的依据,;,将各项经济业务按适当的货币价值计价，以使列入财务报表,;,确定经济业务发生的日期，以便按照会计期间进行记录,;,在财务报表中恰当地表述经济业务以及对有关内容进行揭示。,3,、控制程序,控制程序指管理当局所制订的用以保证达到一定目的的方针和程序。它包括下列内容,:,经济业务和经济活动的批准权,;,明确各个人员的职责分工，防止有关人员对正常业务图谋不轨的隐藏错弊,;,职责分工包括,:,指派不同人员分别承担批准业务、记录业务和保管财产的职责,;,凭证和账单的设置和使用，应保证业务和活动得到正确的记载：对财产及其记录的接触和使用要有何保护措施,;,对已登记的业务及其计价要进行复核。,与,1972,年颁布的内部控制定义相比有两个明显的,改动,:,一是正式将内部控制环境纳入内部控制范畴，,二是不再区分会计控制和管理控制。,这些改变可以说是反映了,70,年代后期以来内部控制实务操作和理论研究的一个新动向。,（四）内部控制整体框架阶段,(Internal Control,一,Integrated Framework),1,、内部控制整体框架,-COSO,（,20,世纪,90,年代）,1992,年，美国,“,反对虚假财务报告委员会,”,(National Commission on Fraudulent Reporting),，所属的内部控制专门研究委员会发起机构委员会,(Committee of Sponsoring Organizations of the Tread-way Commission,，简称,COSO,委员会,),，在进行专门研究后提出专题报告：,内部控制一一整体架构,(Internal Control,一,Integrated Framework),，也称,COSO,报告。,1994,年,COSO,委员会提出对外报告的修改篇，扩大了内部控制涵盖范围，增加了与保障资产安全有关的控制，得到了美国审计署,(General Accounting Office,，,GAO),的认可。,与此同时。,AICPA,则全面接受,COSO,报告的内容，于,1995,年据以发布了,审计准则公告第,78,号,(SAS N0.78),，并自,1997,年,1,月起取代了,审计准则公告第,55,号,。,定义：内部控制是受企业董事会、管理层和其他员工影响的，为营运的效率性、财务报告的可靠性、相关法律的遵循性等目标的达成而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式，并与管理的过程相结合。（,COSO,委员会，,1997,）,构成要素：,控制环境、风险评估、控制活动、信息与沟通、监督,控制环境,风险评估,控制活动,信息与沟通,监控,内部控制整体框架（,coso,),监控,控制活动,风险评估,“为识别、分析、管理与公司各种活动相关的风险而建立的机制，包括业务部门与职能部门各方面。”,风险管理是内部控制的组成部分,信息 与,沟通,控制环境,（五）基于企业风险管理整合框架的内部控制阶段,-COSO,（,21,世纪开始至今 ）,2003,年,7,月美国,COSO,颁布了企业风险管理框架的讨论稿，并于,2004,年,4,月颁布正文。,定义：企业风险管理是受企业董事会、管理层和其他员工影响的，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，为企业目标的达成而提供合理保证的过程。这个过程从企业战略制定一直贯穿到企业的各项活动中。（,COSO,委员会，,2003,年）,内部控制的要素,ERM,（企业风险管理）的构成要素,内部环境,目标制定,事项识别,风险评估,风险反映,控制活动,信息和沟通,监控,COSO,报告的,主要贡献,1,明确了建立内部控制的,“,责任,”,。,2,强调内部控制应该与经营管理过程相结合。,3,强调,风险意识,。,4,强调,“,人,”,的重要性。,5,强调,“,软控制,”,的作用。,6,强调信息与沟通的重要性。,7,对环境的考虑越来越多。,8,明确指出内部控制只能做到,“,合理,”,保证。,从“内部控制”到“企业风险管理”,控 制 环 境,风 险 评 估,控 制 活 动,监督,作,业,活,动,1,作,业,活,动,2,循,遵,营,经,告,报,信息与沟通,内 部 环 境,战 略,目 标 设 定,事 件 识 别,风 险 评 估,风 险 应 对,控 制 活 动,信息与沟通,监 控,经 营,报 告,遵 循,子,公,司,业,务,单,位,分,支,机,构,企业整体层次,二、内部控制在中国的发展,（一）早期的内部控制实践,（二）改革开放以来的内部控制发展,1,、,1996,年财政部颁布的,独立审计具体准则第,9,号,内部控制和审计风险,，对企业内部控制的定义、目标和局限性等做出了较为全面的阐述，其作用仅局限于对注册会计师从事审计业务提供具体指引。,2,、,2001,年财政部颁布的,内部会计控制规范,基本规范（试行）,是我国内部控制领域内最具权威的标准，也是上市公司进行内部控制实践所依据标准，但该,规范,仍局限在内部会计控制领域。,3,、,2008,年,5,月,财政部会同证监会、审计署、银监会、保监会制定、颁发了,企业内部控制基本规范,，,自,2009,年,7,月,1,日起在上市公司范围内施行，鼓励非上市的大中型企业执行。规范体现了与新,coso,报告的接轨。,4,、,2010,年,4,月，财政部会同证监会、审计署、银监会、保监会发布了,企业内部控制配套指引,。该配套指引连同此前发布的,企业内部控制基本规范,，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。自年月日起首先在境内外同时上市的公司施行，自年月日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。,企业内部控制配套指引,包括：,企业内部控制应用指引,（,18,项）、,企业内部控制评价指引,企业内部控制审计指引,第二节 内部控制的含义,一、,ERM,框架下的内部控制含义,二、,我国内部控制的含义,一、,ERM,框架下的内部控制含义,（一）定义,由企业董事会、管理层和全体员工共同实施的、应用于战略制定并贯穿整个企业经营过程，旨在识别并管理风险，为实现企业基本目标提供合理保证的一系列控制活动。,理解,强调：,1,、以风险容量控制整体风险：,2,、控制活动是一个过程,3,、人的影响,4,、将控制设计提升到企业战略层面战略目标纳入目标设定,5,、,内部控制只能为实现企业基本目标提供,“,合理,”,保证,ERM,框架下的内控目标,战略目标,-,最初层次的目标，与组织使命相关联并支撑其使命,经营目标,-,有助于组织有效的和高效率的利用其资源，并实现良好的运营,报告目标,-,有助于向信息用户提供真实、可靠、完整的信息,资源目标,-,能够保护主体资源的安全完整,合规目标,-,是组织成功运营的必要保证，将合理保证组织的合规运营,（,二）,ERM,框架下的内部控制目标的要素,内 部 环 境,战 略,目 标 设 定,事 件 识 别,风 险 评 估,风 险 应 对,控 制 活 动,信息与沟通,监 控,经 营,报 告,遵 循,子,公,司,业,务,单,位,分,支,机,构,企,业,整,体,层,次,内控八要素,内部环境,-,是影响、制约组织内部控制建立与执行的各种内部因素的总称。是,内部控制的基础,目标设定,-,组织应当按照战略目标，设定相关的经营目标、报告目标、资源目标与合规目标，并根据所设定的目标合理确定主体整体风险承受能力和具体业务层次上可接受的风险水平。,是事项识别、风险评估和风险应对的前提,事项识别,-,对源于组织内部或外部影响组织目标实现的有利或不利的事故或事项，组织应当在充分调研和科学分析的基础上，准确识别是风险还是机会,风险评估,-,组织针对已识别的风险因素，从风险发生的可能性和影响程度两个方面进行分析，并根据具体情况针对不同的风险类别确定科学合理的定量、定性分析标准,风险应对,-,组织应当根据风险评估情况，结合风险成因、整体风险承受能力和具体业务层次可接受的风险水平，确定风险应对策略,控制活动,-,根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段。,是实施内部控制的具体方式,信息与沟通,-,及时、准确、完整地收集与主体经营管理相关的各种信息，并使这些信息以适当方式在主体有关层次之间进行及时传递、有效沟通和正确运用的过程。,是实施内部控制的重要条件,监控,-,组织对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程。,是实施内部控制的重要保证,二、我国内部控制的含义,（一）定义,内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。,（二）内部控制的目标,内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。,基本规范将内部控制的目标归纳为,5,个方面：,1.,合理保证企业经营管理合法合规。,2.,合理保证企业资产安全。资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题，是单位可持续发展的物质基础。良好的内部控制，应当为资产安全提供扎实的制度保障。,3.,合理保证企业财务报告及相关信息真实完整。,4.,提高经营效率和效果。要求单位结合自身所处的特定的经营、行业和经济环境，通过健全有效的内部控制，不断提高营运活动的盈利能力和管理效率。,5.,促进企业实现发展战略。,案例,-,“,鹿,”,死谁手？,“,三鹿事件,”,内控目标分析：,合法合规性,底线；,资产安全性,警戒线；,信息真实完整性,主线；,经营效率和效果性,生命线 ；,战略实现性,愿景线,（三）内部控制的要素,内部环境,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等，这是企业实施内部控制的重要基础，表明企业实施内部控制，应先从治理结构等入手，现代企业如果没有良好的治理结构，内部控制就会形同虚设。,风险评估,是指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险、合理确定风险应对策略的过程，这是企业实施内部控制的重要环节。,控制活动,是指企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内，这是企业实施内部控制的重要手段。,信息与沟通,是指企业应及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，这是企业实施内部控制的重要条件。,内部监督,是指企业应对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进，这是企业实施内部控制的重要保证。,内部环境,内部环境是企业实施内部控制的基础,一般包括：,治理结构,机构设置及权责分配,内部审计,人力资源政策,企业文化,社会责任等。,内部环境,企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。,股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。,董事会对股东（大）会负责，依法行使企业的经营决策权。,监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。,经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。,从内部控制角度来讲，决策权和经营权相分离，体现了内部控制理念。董事会和经理层应当厘清定位，履行各自相应的职责。董事会应更多地从战略角度对企业发展的重大问题进行决策，经理层应落实董事会决议，更多地抓好决策执行。,治理结构,治理结构是由股东大会、董事会、监事会和管理层组成的，决定公司内部决策过程和利益相关者参与公司治理的办法，主要作用在于协调公司内部不同产权主体之间的经济利益矛盾，克服或减少代理成本,人力资源政策,人力资源政策应当包括下列内容：员工的聘用、培训、辞退与辞职；员工的薪酬、考核、晋升与奖惩；关键岗位员工的强制休假制度和定期岗位轮换制度；掌握国家秘密或重要商业秘密的员工离岗的限制性规定；有关人力资源管理的其他政策。,企业文化,企业文化是一切从事经济活动的组织之中形成的组织文化，是企业在长期的经营实践中形成的共同思想、作风、价值观念和行为准则，是一种具有企业个性的信念和行为方式。企业文化包含四个要素：制度文化、物质文化、行为文化、精神文化。这四者相互影响、相互作用，共同构成企业文化的完整体系。,企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。,风险评估,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。,风险评估,风险评,企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。,风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。,实现企业经营的合法合规，需要进行风险评估；实现资产安全目标，需要进行风险评估；实现财务报告及相关信息真实完整，需要进行风险评估；实现提高经营效率和效果，需要进行风险评估；实现企业发展战略，需要进行风险评估。所以风险评估首先要设定目标。目标设定后，要根据既定目标有计划地全面、系统、持续地收集内外部相关信息。企业可以利用信息化手段，加大信息收集量，提高信息的准确性和及时性，以使企业结合实际情况，及时进行风险评估。,风险识别、分析与评估,企业识别,内部风险,，应当关注下列因素：,（,1,）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。,（,2,）组织机构、经营方式、资产管理、业务流程等管理因素。,（,3,）研究开发、技术投入、信息技术运用等自主创新因素。,（,4,）财务状况、经营成果、现金流量等财务因素。,（,5,）营运安全、员工健康、环境保护等安全环保因素。,（,6,）其他有关内部风险因素。,企业识别,外部风险,，应当关注下列因素：,（,1,）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。,（,2,）法律法规、监管要求等法律因素。,（,3,）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。,（,4,）技术进步、工艺改进等科学技术因素。,（,5,）自然灾害、环境状况等自然环境因素。,（,6,）其他有关外部风险因素。,经济因素,法律因素,社会因素,科学技术因素,自然环境因素,其他因素,人力资源因素,管理因素,自主创新因素,财务因素,安全环保因素,其他因素,外部风险因素,内部风险因素,风险,因素,风险应对,风险应对可以分为四类：,避免风险：指采取措施退出会给企业带来高风险的活动。,减少风险：指减少风险发生的可能性或其影响。,转移风险：指通过转嫁风险或与他人共担风险，降低风险发生时对企业的影响度。,接受风险：指直接接受可能发生的风险及其影响。,风险管理的目的不是去消灭风险，而是将企业风险发生的可能性和影响都控制在可接受的范围内。,风险应对,规避风险（排除,Avoidance ,不作为）,减少风险,（,损失预防与抑制,Loss prevention and control,）,共担风险,（,转移或保险,Transfer,）,接受风险,（,保留或承担,retention or,assumpation,）,规避风险,规避风险,采取措施退出会产生风险的活动。,风险规避可能包括退出一个产品线、减少向新地区市场的扩张或出售某分公司。,任何经济单位对风险的对策，首先考虑到的是避免风险，尤其是对静态风险尽可能予以避免。,避免风险的方法还可以分为完全避免和部分避免两种。完全避免，就要不惜放弃伴随风险而来的盈利机会。部分避免，主要取决于成本因素和非经济因素。如果避免收益大于避免成本，就可以考虑避免，否则可以不要避免。,对一些风险过大的方案应加以回避，如：,拒绝与不守信用的厂商业务往来。,放弃可能明显导致亏损的投资项目。,新产品在试制阶段发现诸多问题而果断停止试制。,对突发性、高风险，其损失巨大而又难以回避的，有意识地采取避险措施。,风险规避可以从三个层面展开：战略风险规避、项目性风险规避、方案风险规避,减少风险,减少风险,采取措施减少风险发生的可能性，减少风险的影响或者两者同时减少。这可能包括各种日常经营决策。,事先从制度、文化、决策、组织和控制上，从培育核心能力上提高企业的防御风险的能力。,减少风险主要有两方面意思：一是控制风险因素，减少风险的发生；二是控制风险发生的频率和降低风险损害程度。,准确的预测，如对汇率预测、利率预测、债务人信用评估等。,决策多方案优选和相机替代。,及时与政府部门沟通获取政策信息。,在发展新产品前，充分进行市场调研。,实行设备预防检修制度以减少设备事故。,选择有弹性的、抗风险能力强的技术方案，进行预先的技术模拟试验，采用可靠的保护和安全措施。,采用多领域、多地域、多项目、多品种的投资以分散风险。,共担风险,共担风险,通过转嫁风险或与他人共担风险，采取措施降低风险发生的可能性或降低风险对企业的影响。,普通的风险共担技术包括购买保险产品、共同分担风险等。,企业以一定代价（如保险费、赢利机会、担保费和利息），采取某种方式（如参加保险、信用担保、租赁经营、套期交易、票据贴现等等），将风险损失转嫁给他人承担，以避免可能给企业带来灾难性损失。,向专业性保险公司投保。,风险共担，如实行合资、联营、增发新股、发行债券、联合开发等。,风险主体转移。如通过技术转让、特许经营、战略联盟、租赁经营和业务外包转让经营风险；通过委托开发、购买专利来转移技术风险。,由于风险转移必然带来利益的流失，因此，企业应当在识别风险的类型和大小，权衡得失后，选择恰当的方式转移。一般地，自然风险宜用投保，较大的财务风险宜用风险共担，过大的技术风险和生产风险宜用风险主体转移。,接受风险,接受风险,不采取任何行动而接受可能发生的风险及其影响。,如果企业有足够的财力和能力承受风险损失时，可以采取风险自担和风险自保，自行消化风险损失。,风险自担，就是风险损失发生时，直接将损失摊入成本或费用，或冲减利润。,风险自保，就是企业预留一笔风险金或随着生产经营的进行，有计划计提风险基金如呆账损失、大修理基金等。这适用于损失较小的风险。,控制活动,控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。,控制活动是指结合具体业务和事项，运用相应的控制政策和程序，或称控制手段实施控制。,控制措施,一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。（后面详细讲解）,信息与沟通,信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。,信息与沟通是指企业及时、准确、完整收集整理与企业经营管理相关的各种内外部信息，并借助信息技术，促使这些信息以恰当的方式在企业各个层级之间进行及时传递、有效沟通和正确使用的过程。,信息与沟通贯穿于内部控制体系的内部环境、风险评估、控制活动、内部监督四个基本要素，同时又是四个基本要素的重要工具，为企业内部控制的有效运行提供信息保证，从而有助于提高企业内部控制的效率和效果。,案例：丰田汽车召回事件,丰田公司,-,杀人车辆,-,消费者和第三者受害,-,丰田自己发现问题,-,公关封锁消息,-,私下更换问题部件,-,因金额巨大拖延,-,解决问题集中爆发,-,媒体曝光,-,丰田陷入漩涡,内部监督,内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。,内部监督分为日常监督和专项监督。日常监督,是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；,专项监督,是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。,专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。,第三节 我国企业内控规范体系的框架结构,主要由一项基本规范、系列（,18,项）应用指引、评价指引、审计指引和企业内部控制制度构成。,我国企业内部控制规范特点,以五要素为框架，适当体现八要素先进理念,以基本规范、应用指引和评价指引为体系,八要素与五要素关系,内部环境,目标制定,事项识别,风险评估,风险反应,控制活动,信息与沟通,监控,内部环境,风险评估,控制活动,信息与沟通,内部监督,我国企业内部控制规范体系,内控基本规范,内控应用指引,内控评价指引,内控审计指引,企业,注册会计师,企业内部控制应用指引,发展战略,人力资源,社会责任,企业文化,资金活动,采购业务,资产管理,销 售业务,工程项目,担保业务,业务外包,财务报告,内部信息传递,信息系统,研究与开发,全,面预算,合同管理,组织架构,一、基本规范,基本规范在内控规范体系中处于最高层次，起统驭作用，描绘了企业建立与实施内控体系必须建立的框架结构，规定了内部控制的定义、目标、原则、要素等基本要求，是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据。,基本规范共七章五十条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。,(1),内部控制的目标。,基本规范指出，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制目标定位于五个方面，包括：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。内部控制的目标定位，是在结合中国企业实际、比较其他国家和经济体企业内控目标之后作出的科学选择。,(2),内部控制的要素。,基本规范确立了五要素的内控框架：,第一，内部环境，,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等，这是企业实施内部控制的重要基础，表明企业实施内部控制，应先从治理结构等入手，现代企业如果没有良好的治理结构，内部控制就会形同虚设。,第二，风险评估，,是指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险、合理确定风险应对策略的过程，这是企业实施内部控制的重要环节。,第三，控制活动,，,是指企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内，这是企业实施内部控制的重要手段。,第四，信息与沟通，,是指企业应及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，这是企业实施内部控制的重要条件。,第五，内部监督,，,是指企业应对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进，这是企业实施内部控制的重要保证。,二、应用指引,应用指引在内控体系中居于主体地位，主要包括两方面的内容：,一是针对企业主要业务与事项的应用指引，,基本涵盖了组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统等，这些都是企业最为常见、带有普遍性、迫切需要加强风险控制的业务环节和领域。,二是针对特殊企业或者行业的应用指引，,比如，商业银行、保险公司、证券公司、信托公司、基金公司、期货公司等金融类企业，由于其经营业务特殊，涉及金融风险，与经济发展和金融安全关系重大，在内部控制方面，除遵循一般内部控制要求外，有必要规定特殊应用指引，构成应用指引的组成部分。,企业内部控制应用指引,企业内部控制应用指引第,1,号,组织架构,企业内部控制应用指引第,2,号,发展战略,企业内部控制应用指引第,3,号,人力资源,企业内部控制应用指引第,4,号,社会责任,企业内部控制应用指引第,5,号,企业文化,企业内部控制应用指引第,6,号,资金活动,企业内部控制应用指引第,7,号,采购业务,企业内部控制应用指引第,8,号,资产管理,企业内部控制应用指引第,9,号,销售业务,企业内部控制应用指引第,10,号,研究与开发,企业内部控制应用指引第,11,号,工程项目,企业内部控制应用指引第,12,号,担保业务,企业内部控制应用指引第,13,号,业务外包,企业内部控制应用指引第,14,号,财务报告,企业内部控制应用指引第,15,号,全面预算,企业内部控制应用指引第,16,号,合同管理,企业内部控制应用指引第,17,号,内部信息传递,企业内部控制应用指引第,18,号,信息系统,三、评价指引,评价指引是为企业管理层对本企业进行内部控制自我评价提供的指引和要求，包括评价内容和标准、评价程序和方法、评价报告的出具和披露等。基本规范规定，企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定，但国家有关法律法规另有规定的除外。,四、,审计指引,审计指引是会计师事务所执行内部控制审计业务的执业准则。基本规范要求，接受委托从事内部控制鉴证的会计师事务所，应当根据基本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。负责内部控制咨询的中介机构，不得同时为同一企业提供内部控制审计服务。需要强调的是，我国企业内部控制审计指引，不同于美国公众公司会计监管委员会,(PCAOB),公布的第五号审计准则。美国内控审计的定位仍在于财务报告的真实性。就我国企业而言，这种定位失去了建立与实施内控体系的本质意义。内控审计的目标，应当与内部控制的目标相协调，财务报告真实性只是内控审计的目标之一，切实防范重大风险、促进企业实现发展战略才是内控审计的根本出发点。,五、,企业内部控制制度,我国内控规范体系总体而言仍属于通用性框架体系。在具体实施中，企业的情况千差万别，各种因素十分复杂，各企业还必须根据基本规范和配套指引，结合企业经营特点和管理要求，建立健全本企业的内部控制制度，只有这样，才能把企业内控规范体系落到实处。,综合案例分析,案例,分析一,案例分析二,讨论案例,1,、巨人,集团案例,2,、发展战略,3,、企业文化,4,、人力资源,5,、社会责任,第一章 思考题,1.,简述内部控制理论产生与发展的历程，并指出每一阶段的特点。,2.,企业风险管理,整合框架,与,内部控制,整合框架,相比有哪些进步？,3.,简述我国新颁布的,企业内部控制规范,的基本框架与具体内容。,4.,你认为内部控制产生和发展的动因是什么？为什么？,5 .,如何理解内部控制目标的含义？,