王志成：企业内部控制制度体系的建立、完善与执行

1、企业内部控制制度体系的建立、完善与执行华北电力大学 经济与管理学院王志成 博士1366 1021 566王志成，管理学（会计）博士，中国注册会计师，华北电力大学会计教研室主任，硕士生导师。北京国家会计学院特聘教师、清华大学职业经理人培训中心特聘教师。曾任德勤华永会计师事务所企业风险管理服务部经理。具有近10年的管理咨询工作经验，主要的咨询领域包括内部控制、全面预算管理、会计核算、工程财务等；主要的客户包括中国电信集团公司、中国移动通信集团公司、中国铝业股份有限公司、中国通信建设总公司、中粮集团公司、国华电力公司等。2002年以来，在北京国家会计学院、清华大学职业经理人培训中心、北京大学产业文化

2、研究所、财政部财政科学研究所、国华电力公司、中国电信集团公司及部分省公司、中国移动通信集团公司及部分省公司、中国总会计师协会做内部控制、会计制度与会计准则、全面预算管理等领域的培训讲座。2008年到2009年，作为财政部内部控制研究课题企业内部控制实施指引对子公司的控制课题组组长，参与了企业内部控制实施指引的起草工作。今日主题132什么是内部控制与企业风险管理？1.1什么是内部控制？1.2 内部控制的历史演进1.3 中国企业内部控制规范1.4 中国企业内部控制规范1.5 内部控制的局限性内部控制的描述、评价与完善2.1 控制环境描述2.2 控制流程描述2.3 设定目标2.4 事项识别2.5 风

3、险评估2.6 风险应对2.7 控制评价2.8 控制优化内部控制制度体系的执行3.1 与内部控制建设有关的部门3.2 制度的动态修正3.3制度考核内部控制是什么？做什么？内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。1.1 什么是内部控制？1、2001年开始的一系列会计丑闻，包括：中国的银广夏、蓝天股份等；美国的安然、世界通信等；欧洲的帕玛拉特等2、美国颁布的sox法案是一部美国法律但是管辖的是在美国上市的企业3、中国企业开始关注内部控

4、制，如中石油、中石化、华能国际、中海油、中国电信、中国移动、中国联通、中国铝业、东方航空、南方航空等。4、中国政府有关部门及监管机构开始关注内部控制国资委财政部、审计署、证监会、银监会、保监会上海证券交易所、深圳证券交易所1.2内部控制为什么会受到如此关注1.3 内部控制的历史演进1912年,R.H.蒙哥马利审计理论与实践：“所谓内部牵制是指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度。”某位职员的业务与另一位职员的业务必须是相互弥补、相互牵制的关系即必须进行组织上的责任分工和业务的交叉控制，以便相互牵制，防止发生错误或舞弊很早以前，就已经出现了企业内部控制的初级形式内部牵制的实

5、践到15世纪末，随着资本主义经济的初步发展，内部牵制也发展到一个新的阶段。以在意大利出现的复式记帐方法为标志，内部牵制逐渐成熟18世纪产业革命以后，企业规模逐渐扩大，公司制企业开始出现。20世纪初，美国的一些企业逐渐摸索出一些组织、调节、制约和检查企业生产经营活动的办法内部牵制制度规定有关经济业务或事项的处理不能由一个人或一个部门总揽全过程1.3.1 内部牵制阶段内部会计控制内部管理控制1.3.2 内部控制制度阶段 1958年美国注册会计师协会 (AICPA) 所属的审计程序委员会发布的第29号审计程序公报独立审计人员评价企业内部控制的范围，将企业内部控制分为内部会计控制和内部管理控制两类，这

6、一提法也是现在我们所熟知的企业内部控制“制度二分法”的由来内部控制结构控制环境会计系统控制程序美国注册会计师协会 (AICPA) 于1988年5月发布了审计准则公告第55号（SAS55）。在公告中，以“企业内部控制结构”概念取代了“企业内部控制制度”，并指出“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”。公告认为企业内部控制结构包括以下三个要素：1.3.3 内部控制结构阶段保证信息能及时有效地沟通的流程来自高级管理层的信息政策及流程培训道德标准信息及沟通控制活动风险评估控制环境持续监控判定内控制度设计的充分性，执行的有效的流程信息披露委员会内部审计对内部、外部影

7、响企业绩效的因素的评估业务风险管理流程风险管理内部审计风险管理企业内部控制的道德意识，是“来自高层的声音”道德标准成文的制度及政策确保风险管理活动被及时执行的政策和流程授权批准日常操作流程及系统职责分离会计对帐信息系统控制业务操作财务报告合规1.3.4 COSO架构1.3.4 内部控制的整体框架(续)1.3.4 内部控制的整体框架(续)信息与沟通持续监控控制活动风险评估控制环境COSO建立公司层面的目标和风险评估过程制定识别，传达会计准则变化（GAAP)及内部控制或其运行环境变化的程序参股公司层面目标建立具体的活动目标制定必要的政策和程序使该政策和程序所包含的控制在实践中得以贯彻实施管理层制定

8、清晰明确的财务及经营目标并进行差异分析和追踪合理分配工作职责以降低舞弊风险保护文档，记录及实物资产的安全确保信息系统安全，对信息系统安全政策及程序的合规性进行监控信息系统为管理层决策提供支持开放并改善信息系统以适应公司的战略目标管理层提供保证并监控在信息系统开发和测试中的人力和财务资源的参与度管理层对所有主要数据中心建立业务持续计划/灾难恢复计划管理层对员工的责任和职责进行有效沟通并建立针对潜在问题的沟通渠道来自外部的信息在公司内部及时有效的进行沟通，使管理层能够采取及时适合的行动定期评估内部控制及人员实施内部控制管理意见，及时改进缺陷，适当回应监管部门的报告及建议管理层利用内部审计协助进行监

9、控内控中的个别（专项）评价流程汇报内控缺陷流程管理层的正直，道德价值观和行为管理层的控制意识和运作类型管理层对员工能力的承诺董事会和审计委员会的监督组织架构已经权责的分配授权的界面应该清晰人力资源政策和实践1.3.5 企业风险管理八大要素内部环境风险管理理念、风险文化、董事会胜任能力评估、管理方法与经营模式风险偏好目标制定战略目标-其他相关目标-选择目标-风险偏好-风险容忍度事件识别事件-影响战略及目标的因素-方法和技术-事件相互依存性-事件类别-风险和机遇风险评估固有风险-残存风险-可能性和影响-方法和技术-相关性风险对策确认风险对策-评估风险对策-选择对策方案-风险组合观控制活动与风险对策

10、相结合-控制活动类型-一般控制-应用控制-特定主体信息与沟通信息-战略和整合系统-沟通监控个别评估-持续评估事件识别、风险评估、风险对策属原内部控制要素之“风险评估”的细化1.4 中国企业内部控制规范1.4.1 国资委2006年6月6日，印发中央企业全面风险管理指引 ，共有十章，七十条，全面启动国有企业风险管理。第一章总则第二章风险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化第十章附则1.4 中国企业内部控制规范（续）1.4.2 财政部、证监会、审计署、银监会、保监会2008年6月28

11、日五部委联合发布企业内部控制基本规范。自2009年7月1日起在上市公司范围内实施。企业内部控制应用指引（征求意见稿） （目前共22项，分别是资金、采购、存货、销售、工程项目、固定资产、无形资产、长期股权投资、筹资、预算、成本费用、担保、合同协议、业务外包、对子公司的控制、财务报告编制与披露、人力资源政策、信息系统一般控制、衍生工具、企业并购、关联交易、内部审计）企业内部控制评价指引（征求意见稿）企业内部控制鉴证指引（征求意见稿）1.4.3 证监会和证券交易所2005年10月，中国证监会出台关于提高上市公司质量意见，随后，2005年10月19日，国务院对该意见进行批转。2006年5月17日，中国

12、证券监督管理委员会发布第32号令首次公开发行股票并上市管理办法。该办法第29条规定“发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告”。2006年5月12日，深圳证券交易所发布公开征求上市公司内部控制指引意见的通知。2006年6月5日，上海证券交易所出台了上海证券交易所上市公司内部控制指引。1.4 中国企业内部控制规范（续） 1.5内部控制的局限内部控制的局限主要表现在：内部管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制效能。内部人员相互串通作弊导致相关内部控制失去作用。内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。成本效益问题。

13、对于不经常发生或未预计到的经济业务，原有的控制可能不适用。临时控制若不及时会影响内部控制的作用。1 风险管理基本框架总结信息沟通与控制环境今日主题132什么是内部控制与企业风险管理？1.1什么是内部控制？1.2 内部控制的历史演进1.3 中国企业内部控制规范1.4 中国企业内部控制规范1.5 内部控制的局限性内部控制的描述、评价与完善2.1 控制环境描述2.2 控制流程描述2.3 设定目标2.4 事项识别2.5 风险评估2.6 风险应对2.7 控制评价2.8 控制优化内部控制制度体系的执行3.1 与内部控制建设有关的部门3.2 制度的动态修正3.3制度考核2.1 内部控制的原则2.2 内部控制

14、评价的总思路2.3.1 描述内部控制环境任何企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守、价值观和能力等，它们既是构成环境的重要要素之一，又与环境相互影响、相互作用。环境要素是推动企业发展的引擎，也是其他一切要素的核心。风险管理观念风险文化诚信与价值观员工的胜任能力，如雇员是否能胜任质量管理要求董事会或审计委员会，如董事会是否独立于管理层管理哲学和经营方式，如管理层对人为操纵的或错误的记录的态度组织结构，如信息是否到达合适的管理阶层 21制度流程化流程化岗位化控制制度化2.3.2.1 控制流程描述原则没有明确为制度的内部控制，是小企业的有机组织形式；随着组织结构的扩大

15、，组织的规则必须形成成文的制度。没有流程化的制度往往有缺陷且难以发现，故而不能执行；由于企业改革、规模扩大、重组等原则造成的组织结构变化，使得流程经常不符合企业组织；流程化解释随意化。不能到达岗位的流程化是说明流程；通过岗位的流程化衔接，实现流程化。1234将企业分解为相对独立的最末级业务单元。将每一个业务单元分解为不同的业务领域。将每一个业务领域分解为不同的业务模式。将每一种业务模式分为不同的业务阶段。流程描述2.3.2.2 控制流程（续）-描述方法2.3.2.3 控制流程常见业务领域研究与开发工程项目担保业务业务外包财务报告全面预算合同管理内部信息传递信息系统组织架构发展战略人力资源社会责

16、任企业文化资金活动采购业务资产管理销售业务 2.3.2.3常见业务领域举例资金 2.3.2.3常见业务领域举例采购与付款 2.3.2.3常见业务领域举例销售与收款 2.3.2.3常见业务领域举例研究与开发 2.3.2.3常见业务领域举例工程项目 2.3.2.3常见业务领域举例资产管理要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。运营分析控制 绩效考评控制 预算控制 要求企业建立运营情况分析制度

17、，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。要求企业建立财产日常管理制度和定期清

18、查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。2.3.2.4 控制流程（续）常见控制方法常见风险控制方法*资料来源：2.4.1 设定目标*资料来源：战略目标财务战略市场战略技术战略人才战略运营目标经营的效率经营的效果报告目标财务报告非财务报告合法性目标符合法律符合法规符合上级企业的规定风险管理目标33示 例所有开具的贷项通知单都已记录发票都已记录在适当期间。贷项通知单都已记录在适当期间应收账款依照采用的会计政策反映现存的营业环境及经济情况现金收款记录在收到的时期内准确地输入现金收款数据以待处理所有的现金收款数据已输入以待处理现金收款的数据是真实的，且仅输入以待处理一次

19、应收账款的及时足额收回。只有真实有效的变更才可记入顾客主文档所有的顾客主文档的真实的变更已输入及处理顾客主文档的变更是准确的及时处理顾客主文档的变更确保顾客主文档数据及时更新2.4.1 设定目标（续）由管理当局批准订单的价格及销售条款订单或取消的订单已准确输入所有从顾客接到的订单已经输入及处理仅输入及处理有效的订单。使用经核准的交易条款及价格开具发票发票已经准确地计算并记录。贷项通知单及应收账款的调整已准确地计算和记录所有已发货的货物均已开具发票。所有退货的贷项通知单及应收账款的调整已依照组织政策执行。发票代表有效的发货所有贷项通知单均与退货或其它有效的调整有关所有开具的发票都已记录2.4.2

20、 事项识别1234考虑影响企业目标实现的各种企业内外部的因素，外部因素包括经济、商业、自然环境、政治、社会和技术因素等，内部因素反映出管理者所做的选择，包括企业的基础设施、人员、生产过程和技术等事项。事项识别要求对事项进行分类汇总，并且在目标的级次上，加以细化、系统化，形成动态事项数据库；潜在的事项可能对企业有正面的影响、也可能有负面的影响或者两种影响同时存在。对企业有潜在负面影响的事项是企业的风险，对企业有潜在正面影响的事项则是企业的机遇。一个企业事项识别的方法可以包含不同的技术及其与相应的工具的组合。事项识别技术既针对过去，又针对未来。事项识别事件识别的方法头脑风暴问卷调查业务流程分析个别

21、事件分析调查审计行业参照情景分析风险发生可能性评级测定每一种风险发生的概率在没有风险管理措施的情况下，可能造成损失的可能性判断发生可能性标准定义低即使不采取措施，风险几乎也不带来损失中不采取措施，风险就会造成损失高不采取措施，风险很容易造成损失风险影响程度评级测定每一种风险造成的影响在没有风险管理措施的情况下，可能造成损失的程度需要事先设定风险的度量因素和等级划分影响程度标准定义低不采取措施，风险损失不对关键指标造成影响中不采取措施，风险损失对关键指标造成影响高不采取措施，风险损失对资源造成巨大浪费2.4.3 风险评估987654321123456789高需要行动低监督/重新部署?中等密切监督

22、/确定和准备中等密切监督/确定和改善影响程度可能性2.4.3 风险评估（续）依据企业能够承受的风险系数（风险损失与承受能力的比值）确定风险对策风险对策的四种基本模式规避转嫁承担化解2.4.4 风险应对转嫁规避承担化解战略流程技术人员资本市场保险风险组织解决方案财务解决方案控制流程评价3212.4.5 控制流程评价评价针对性控制措施设计的完整与合理，是否存在冗余的控制明确某一流程的主要目标和风险评价针对性控制措施执行的有效2.4.6 内部控制评价的方法生产与存货管理流程控制矩阵本流程目标个数：39有效控制目标个数：12目标目标类别风险分析控制活动评价和结论制度规定实际做法2.3项目成本预算的编制由独立于生产部门的部门完成生产项目成本预算编制人，由项目承担单位指定，负责项目成本预算的具体编制和预算执行过程中的调整工作，并对编制质量负责。由项目负责人编制。现有的项目成本预算是由项目负责人编制，且没有独立的标准成本数据库，成本预算在成本控制中的作用受限。2.4.6 控制矩阵2.4.7 缺陷汇总2.5.1 控制流程化优化组织结构的必要修正；部门职责划分；岗位划分；岗位职责明确。控制规定具体化；表格；单据；分析模板；填表说明。以岗位为对象，重新设计流程；流程与制度之间的关系；部门之间的沟通与研讨；规范与实际之间的差异处理。今日主题1