第三讲内部控制制度设计原理

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,第三讲 内部控制制度设计原理,1,企业的一切管理工作都必须从建立健全内部控制制度开始,企业的一切活动都必须置于内部控制制度之下,企业的一切内部控制制度都必须有效且得到认真执行,一、内部控制制度设计的理念基础,2,伊梅尔特认为,：,他不需要一个,新,的,法律（,SOX）,来告诉他什么,不,该,做。因为他自,己及公司的,标准,不会,使其逾越法,律。,巴林投资银行前总裁彼得,诺里斯引,咎辞职，闭门思过。他对巴林事件的,总结是：最基本的一条，就是不要想,当然认为所有员工都是正直的，诚实,的，这就是人类本性的可悲处。巴林,银行信奉的哲学是：雇员都是值得信,赖的，都信奉巴林银行的文化，都会,自觉地把公司利益铭记在心。而巴林,事件告诉我们，里森在服务期间从未,诚实。诺里斯告诫所有金融结构的管,理当局，要从里森身上吸取教训，充,分意识到用人的风险。,3,前车可鉴：巴林银行的教训,企业舞弊理论,1,，关于冰山理论：,压力、机会、借口,2,，,GONE,理论,贪婪、机会、需要、事后暴露。,内部控制是防止企业舞弊发生的最有效方法。,4,冰山理论,压力、机会及借口,参见,中国注册会计师审计准则第,1141,号,财务报表审计中对舞弊的考虑,5,6,G-GREED,（贪婪）,O-OPPORTUNITY,（机会）,N-NEED,（需求）,E-EXPOSURE,（曝光）,与个人强相关,（潜在犯罪人）,与组织强相关,（潜在受害者）,GONE,理论,“,You can consider your money for GONE”,组织因素分析,1.,特征,对任一从属于组织的个人或群体具有相对稳定的影响；,多数渗透在组织或对个体的控制之中以自我防护；基本不受潜在犯罪人的控制；,在给定的环境下，对所有的人起同等作用；,其制定和操作由组织控制，一般与任个人的影响无关；,不受雇员流动变化的影响。,2,两类风险要素,为潜在犯罪人创造舞弊机会的组织风险（,O,风险）；,能否揭露欺诈的组织风险（,E,风险）；,对揭露的舞弊进行惩罚的性质和范围，即惩罚是当事人可接受的还是难以接受的组织风险。（,E,风险）；,E,风险是2个要素的产物：,E1：,揭露的概率；,E2：,事件的处理。,3,O,风险的控制,O,风险,属于不可完全消除之风险，,防范和控制,O,风险的措施：,对每一雇员确定相应的最大限度“舞弊机会水平”（可容水平）。,严禁“灾难性”机会水平。,4,E,风险的控制,揭露欺诈的概率,揭露欺诈的概率有赖于内部控制制度。,舞弊惩罚的性质和范围,仅仅揭露欺诈对遏制潜在的欺诈是,不够,的，惩罚必须形成一种威慑，使,当事人,蒙受的机会成本远大于因欺诈,可能,得到的机会收益。,7,个人因素分析,据,FBI,统计，80年代初，美国仅计算机欺诈而使银行蒙受的损失10倍于同期因抢劫所受损失；至1985年，欺诈造成的损失26倍于抢劫造成的损失。,许多专家的研究得出了一个难以置信的结论：最具威胁的欺诈来自企业内部。,据美国和加拿大的估计：1/3的企业员工具有不同程度（性质）的盗窃企业资产行为；以零售企业为例，30%的损失来自顾客行窃，70%为员工所偷盗。,安永2002年全球反欺诈调查：谁是企业的欺诈者？,8,2001年为1/3,9,XX,公司,董事会,公司管理层,中层管理者,一般员工,董事,虚假财务报告,虚报费用收受回扣,与岗位有关之贪污侵占,与市场联手操纵股价,企业欺诈威胁的渊源,管理层是财务欺诈的主要渊源,10,据,COSO1999,年的统计,83%的财务欺诈案是,CEO,和,CFO,的杰作,直接效应：避免税前亏损以抬高股价,深层动机：公司管理层及董事会成员平均拥有公司股票的32%,利益一致的设计初衷产生的是损公肥私的结果,舞弊理论带来的思考,11,世上本无所谓最好的制度安排,制度的设计就取决于企业的控制哲学,西方哲学强调,“,性本恶,”,，制度设计旨在,“,惩恶,”,，即使十恶不赦者亦无机可趁：,“,零容忍,”,（,Zero tolerance）,原则,中国的类似观念：,“,防家贼,”,控制制度设计的前提：假定,“,家贼,”,想,“,投机,”,，想,“,冒险,”,，想钻空子,“,骗钱,”,，想,“,捞一把,”,，而,非,基于信任，假定,“,家贼,”,会,“,出于公心，谋求企业利益最大,控制设计越严密，对家贼的诱惑和提供舞弊的机会就越小，才能做到把人们的潜在犯罪冲动，封杀在头脑的,“,黑箱,”,中。,控制成本既包括对控制本身的投入，也包括控制,引起,的,可能,成本（如流程环节增加，时间延长等）,控制,未必真正影响企业获利的效率，如果时间不能带来直接利益，时间就不是效率,内部控制制度的局限性,两种错误,制度性错误：,因制度设计错误而引起的差错。,人为错误：,与制度设计无关纯粹因人为因素,而产生的错误。分2类：,善意错误：,恶意错误：,蓄意破坏、对抗设计,良好的控制制度。,善意人为错误,管理层或其他员工因信息不充分，时间限制或其他流程问题，业务决策和判断失误；,对工作指令理解错误，疏忽懈怠，精力不集中，疲劳或岗位调动等原因导致控制失效；,环境变化的不确定性及设计与运行实际偏差的不确定性；,成本与收益的考虑,12,人为的蓄意破坏,蓄意破坏的类别：串通、勾结；管理当局凌驾于控制制度之上。,二、内部控制制度设计的基本原则,整体结构原则,相互牵制原则,协调配合原则,程式定位原则,成本效益原则,13,（一）整体结构原则,企业内部控制系统，必须包括控制环境、风险评估、控制活动、信息与沟通、监督五项要素，并覆盖各项业务和部门。换言之，各项控制要素、各业务循环或部门的子控制系统，必须有机构成为企业内部控制的整体架构。这就要求，各子系统的具体控制目标，必须对应整体控制系统的一般目标。,14,1,、内部控制制度设计的整体架构,15,授权制度,预,算,控,制,制,度,信,息,系,统,控,制,人力资源管理,营销管理,生产管理,采购加工管理,财务控制,研究开发管理,存货物流控制,固定资产管理,流程控制,内部审计监督,质,量,控,制,制,度,组织结构,IT,系,统,管,理,2,、,整体架构六大模块,模块一：组织结构和授权控制制度,渗透性制度，与所有制度有关，是企业内部管理控制系统的基础。其功能为权力和责任的分配及权力平衡的制度安排。,模块二，预算控制和质量控制制度,企业控制制度的核心，与所,有制度和行为有关，是企业,经营活动价值控制的起点。,其功能为，可从资源投入角,度在第一时点控制全部业务,活动的开展与资源的投入，并,保证其品质。,16,2,、,整体架构六大模块（续）,模块三：,IT,环境下的信息系统,与保护财产安全之企业会计责任及会计记录可靠性有关的组织、计划、程序、方法。是企业所有业务活动之价值结果的终点。,设计完善的会计制度至少应包括如下因素：,严格分工授权,规范的会计政策和会计处理程序,严格的核准制度,帐户体系,凭证帐簿制度,独立稽核,17,2,、,整体架构六大模块（续）,模块四，流程控制,流程控制是组织的控制思想、控制程序和业务活动三位一体的集成。,以流程形式将全部业务活动装入分工牵制的制度化组织过程，确保企业的控制思想和控制程序落实到全部具体的业务过程。,核心要件：流程设计；流程环节的权限分割,模块五，业务循环控制,内部控制的对象，内部控制的动态表现形式,内部控制制度结构的前,4,个要素均以各交易循环的各项交易或业务行为为落实对象：,构成各交易控制制度的要素（如授权，批准，流程）；,制约交易活动（预算控制）；,规范交易活动（会计管理）。,业务循环控制制度的功能，是为实现企业资源运用最优化的目标提供制度保证。,18,2,、,整体架构六大模块（续）,模块六，内部审计,内部控制制度的组成部分，对全部控制制度的设计和执行过程以及执行结果进行监督检查。,处于公司治理层次。,完整意义的内部审计制度应包括：,隶属审计委员会的专门机构,提出增强内部控制效用的建议；,强调对制度本身及对制度遵循情况的评价；,强调对企业资源综合运用的效率、效果和效益的评价,检查、评价企业既定经营目标和方针的执行情况,19,（二）相互牵制原则,相互牵制原则，是指一项完整的经济业务活动，必须分配给具有互相制约关系的两个或两个以上的职位，分别完成。即在横向关系上，至少要由彼此独立的两个部门或人员办理以使该部门或人员的工作接受另一个部门或人员的检查和制约,;,在纵向关系上，至少要经过互不隶属的两个或两个以上的岗位和环节，以使下级受上级监督，上级受下级牵制。其理论根据是在相互牵制的关系下，几个人发生同一错弊而不被发现的概率，是每个人发生该项错弊的概率的连乘积，因而将降低误差率。需要分离的职责，主要是,:,授权、执行、记录、保管、核对。,20,（三）协调配合原则,协调配合原则，是指在各项经营管理活动中，各部门或人员必须相互配合，各岗位和环节都应协调同步，各项业务程序和办理手续需要紧密街接，从而避免扯皮和脱节现象，减少矛盾和内耗，以保证经营管理活动的连续性和有效性。协调配合原则，是对相互牵制原则的深化和补充。贯彻这一原则，尤其要求避免只管牵制错弊而不顾办事效率的机械做法，而必须做到既相互牵制又相互协调，从而在保证质量提高效率的前提下完成经营任务。,21,（四）程式定位原则,程式定位原则，是指企业单位应该根据各岗位业务性质和人员要求，相应地赋予作业任务和职责权限，规定操作规程和处理手续，明确纪律规则和检查标准，以使职、责、权、利相结合。岗位工作程式化，要求做到事事有人管，人人有专职，办事有标准，工作有检查，以此定奖罚，以增加每个人的事业心和责任感，提高工作质量和效率。,22,（五）成本效益原则,贯彻成本效益原则，即要求企业力争以最小的控制成本取得最 大的控制效果。因此，在实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比例，也就是说，因实行内部控制所花费的代价不能超过由此而获得的效益，否则应舍弃该控制措施。,23,三、内部控制制度设计的步骤,确定控制目标,整合控制流程,识别控制环节,确定控制措施,24,（一）确定控制目标,内部控制的四项基本目标,:,(1),战略目标。,(2),经营目标。,(3),报告目标。,(4),合规目标。,需要指出的是，以上四项目标均为基本目标或一般目标。在每项基本控制目标下，还可细化为若干具体控制目标。,25,（二）整合控制流程,控制流程，是依次贯穿于某项业务活动始终的基本控制步骤及相应环节。控制流程，通常同业务流程相吻合，主要由控制点组成。当企业的业务流程存在控制缺陷时，则需要根据控制目标和控制原则加以整合。,26,项目、组织和流程之间的关系,27,组织,项目,流程,项目是指在既定的资源和要求的约束下，为实现某种目的而相互联系 的一次性工作任务。,组织是指具有共同行动目标的人类群体。,流程是指企业经营过程的一个阶段，由若干项作业组成，而作业由若干项任务组成。,（三）识别控制环节,实现控制目标，主要是控制容易发生偏差的业务环节。这些可能发生错弊因而需要控制的业务环节，通常称为控制环节或控制点。控制点按其发挥作用的程度而论，可以分为关键控制点和一般控制点。那些在业务处理过程中发挥作用最大，影响范围最广，甚至决定全局成效的控制点，对于保证整个业务活动的控制目标具有至关重要的影响，即为关键控制点,;,相比之下，那些只能发挥局部作用，影响特定范围的控制点，则为一般控制点。,28,（四）确定控制措施,控制点的功能，是通过设置具体的控制技术和手续而实现的。这些为预防和发现错弊而在某控制点所运用的各种控制技术和手续等，通常被概括为控制措施。,29,