内部控制制度设计原理.ppt

内部控制理论 The Theory of Internal Control 1 第三讲 内部控制制度设计原理 l企业的一切管理工作都 必须从建立健全内部控 制制度开始 l企业的一切活动都必须 置于内部控制制度之下 l企业的一切内部控制制 度都必须有效且得到认 真执行 2 “灭六国者六国 也，非秦也。 族秦者秦也，非 天也。” 杜牧 【阿房宫赋】 3 对人性的基本估计 一、内部控制制度设计的理念基础 伊梅尔特认为： 他不需要一个新的法律（SOX） 来告诉他什么不该做。因为他自 己及公司的标准不会使其逾越法 律。 4 巴林投资银行前总裁彼得诺里斯 引 咎辞职，闭门思过。他对巴林事件 的 总结是：最基本的一条，就是不要 想 当然认为所有员工都是正直的，诚 实 的，这就是人类本性的可悲处。巴 林 银行信奉的哲学是：雇员都是值得 信 赖的，都信奉巴林银行的文化，都 会 自觉地把公司利益铭记在心。而巴 林 事件告诉我们，里森在服务期间从 未 诚实。诺里斯告诫所有金融结构的 管 理当局，要从里森身上吸取教训， 充 分意识到用人的风险。 前车可鉴：巴林银行的教训 5 企业舞弊理论 l1，关于冰山理论： l压力、机会及借口、 l2，GONE理论 l贪婪、机会、需要及事 后暴露。 l内部控制是防止企业舞 弊发生的最有效方法。 6 冰山理论 l压力、机会及借口 l参见中国注册会计师审计准则第1141 号财 务报表审计中对舞弊的考虑 7 GONE理论 “You can consider your money for GONE” 8 1特征 l对任一从属于组织的个人或 群体具有相对稳定的影响； l多数渗透在组织或对个体的 控制之中以自我防护；基本 不受潜在犯罪人的控制； l在给定的环境下，对所有的 人起同等作用； l其制定和操作由组织控制， 一般与任个人的影响无关； l不受雇员流动变化的影响。 2两类风险要素 l为潜在犯罪人创造舞弊机会 的组织风险（O风险）； l能否揭露欺诈的组织风险（E 风险）； l对揭露的舞弊进行惩罚的性 质和范围，即惩罚是当事人 可接受的还是难以接受的组 织风险。（E风险）； lE风险是2个要素的产物： E1：揭露的概率； E2：事件的处理。 组织因素分析 9 3O风险的控制 O风险属于不可完全消除之风险， 防范和控制O风险的措施： l对每一雇员确定相应的最大限度“舞 弊机会水平”（可容水平）。 l严禁“灾难性”机会水平。 4E风险的控制 l揭露欺诈的概率 揭露欺诈的概率有赖于内部控制制度。 l舞弊惩罚的性质和范围 仅仅揭露欺诈对遏制潜在的欺诈是不 够的，惩罚必须形成一种威慑，使当 事人蒙受的机会成本远大于因欺诈可 能得到的机会收益。 组织因素分析（续） 根本的一点是： 如果发现有人违反这一行为 准则，公司必须“锱铢必较”。 - Dennis Powell 思科CFO 我想告诉我的员工，撒谎欺骗和杀人 放火是同等的罪恶。 所有出现诚信问题的员工，公司一律 开除。 10 l据FBI统计，80年代初，美国 仅计算机欺诈而使银行蒙受 的损失10倍于同期因抢劫所 受损失；至1985年，欺诈造 成的损失26倍于抢劫造成的 损失。 l许多专家的研究得出了一个 难以置信的结论：最具威胁 的欺诈来自企业内部。 l据美国和加拿大的估计：1/3 的企业员工具有不同程度（ 性质）的盗窃企业资产行为 ；以零售企业为例，30%的损 失来自顾客行窃，70%为员工 所偷盗。 个人因素分析 11 安永2002年全球反欺诈调查： 谁是企业的欺诈者？ 2001年为1/3 12 企业欺诈威胁的渊源 13 l据COSO1999年的统计 ,83%的财务欺诈案是 CEO和CFO的杰作 l直接效应：避免税前亏 损以抬高股价 l深层动机：公司管理层 及董事会成员平均拥有 公司股票的32% l利益一致的设计初衷产 生的是损公肥私的结果 管理层是财务欺诈的主要渊源 14 l世上本无所谓最好的制度安排 l制度的设计就取决于企业的控制哲学 l西方哲学强调“性本恶”，制度设计旨在“惩恶”，即使十恶不赦者亦无 机可趁：“零容忍”（Zero tolerance）原则 l中国的类似观念：“防家贼” l控制制度设计的前提：假定“家贼”想“投机”，想“冒险”，想钻空子 “骗钱”，想“捞一把”，而非基于信任，假定“家贼”会“出于公心， 谋求企业利益最大 l控制设计越严密，对家贼的诱惑和提供舞弊的机会就越小，才能做到把人 们的潜在犯罪冲动，封杀在头脑的“黑箱”中。 l控制成本既包括对控制本身的投入，也包括控制引起的可能成本（如流程 环节增加，时间延长等） l控制未必真正影响企业获利的效率，如果时间不能带来直接利益，时间就 不是效率 舞弊理论带来的思考 15 内部控制制度的局限性 两种错误 制度性错误： 因制度设计错误而引起的差错。 人为错误： 与制度设计无关纯粹因人为因素 而产生的错误。分2类： 善意错误： 恶意错误：蓄意破坏、对抗设计 良好的控制制度。 善意人为错误 l管理层或其他员工因信息不 充分，时间限制或其他流程 问题，业务决策和判断失误 ； l对工作指令理解错误 ，疏忽 懈怠，精力不集中，疲劳或 岗位调动 等原因导致控制失 效； l环境变化的不确定性及设计 与运行实际 偏差的不确定性 ； l成本与收益的考虑 人为的蓄意破坏 蓄意破坏的类别：串通、勾结；管理当 局凌驾于控制制度之上。 16 内部控制制度的局限性（续 ） 人为的蓄意破坏 1.蓄意破坏的类别：串通、勾结；管理当局凌驾于控制制度之上。 17 l整体结构原则 l相互牵制原则 l协调配合原则 l程式定位原则 l成本效益原则 二、内部控制制度设计的基本原则 18 （一）整体结构原则 l企业内部控制系统，必须包括控制环境、风险评 估、控制活动、信息与沟通、监督五项要素，并 覆盖各项业务和部门。换言之，各项控制要素、 各业务循环或部门的子控制系统，必须有机构成 为企业内部控制的整体架构。这就要求，各子系 统的具体控制目标，必须对应整体控制系统的一 般目标。 19 1、内部控制制度设计的整体架构 20 模块一：组织结构和授权控制制 度 渗透性制度，与所有制度有 关，是企业内部管理控制系 统的基础。其功能为权力和 责任的分配及权力平衡的制 度安排。 模块二，预算控制和质量控制制度 企业控制制度的核心，与所 有制度和行为有关，是企业 经营活动价值控制的起点。 其功能为，可从资源投入角 度在第一时点控制全部业务 活动的开展与资源的投入， 并 保证其品质。 2、整体架构六大模块 21 模块三：IT环境下的信息系统 与保护财产安全之企业会计责任 及会计记录可靠性有关的组织、 计划、程序、方法。是企业所有 业务活动之价值结果的终点。 设计完善的会计制度至少应包括如下 因素： 严格分工授权 规范的会计政策和会计处理程序 严格的核准制度 帐户体系 凭证帐簿制度 独立稽核 2、整体架构六大模块（续） 22 模块四，流程控制 l流程控制是组织的控制思想 、控制程序和业务活动三位 一体的集成。 l以流程形式将全部业务活动 装入分工牵制的制度化组织 过程，确保企业的控制思想 和控制程序落实到全部具体 的业务过程。 l核心要件：流程设计；流程 环节的权限分割 模块五，业务循环控制 l内部控制的对象，内部控制 的动态表现形式 l内部控制制度结构的前4个 要素均以各交易循环的各项 交易或业务行为为落实对象 ： l构成各交易控制制度的要素 （如授权，批准，流程）； l制约交易活动（预算控制） ； l规范交易活动（会计管理） 。 l业务循环控制制度的功能， 是为实现企业资源运用最优 化的目标提供制度保证。 2、整体架构六大模块（续） 23 模块六，内部审计 l内部控制制度的组成部分，对全部控制制度的设计和执行过程以及 执行结果进行监督检查。 l处于公司治理层次。 l完整意义的内部审计制度应包括： l隶属审计委员会的专门机构 l提出增强内部控制效用的建议； l强调对制度本身及对制度遵循情况的评价； l强调对企业资源综合运用的效率、效果和效益的评价 l检查、评价企业既定经营目标和方针的执行情况 2、整体架构六大模块（续） 24 （二）相互牵制原则 l相互牵制原则，是指一项完整的经济业务活动，必须分 配给具有互相制约关系的两个或两个以上的职位，分别 完成。即在横向关系上，至少要由彼此独立的两个部门 或人员办理以使该部门或人员的工作接受另一个部门或 人员的检查和制约;在纵向关系上，至少要经过互不隶属 的两个或两个以上的岗位和环节，以使下级受上级监督 ，上级受下级牵制。其理论根据是在相互牵制的关系下 ，几个人发生同一错弊而不被发现的概率，是每个人发 生该项错弊的概率的连乘积，因而将降低误差率。需要 分离的职责，主要是:授权、执行、记录、保管、核对。 25 （三）协调配合原则 l协调配合原则，是指在各项经营管理活动中，各部门或 人员必须相互配合，各岗位和环节都应协调同步，各项 业务程序和办理手续需要紧密街接，从而避免扯皮和脱 节现象，减少矛盾和内耗，以保证经营管理活动的连续 性和有效性。协调配合原则，是对相互牵制原则的深化 和补充。贯彻这一原则，尤其要求避免只管牵制错弊而 不顾办事效率的机械做法，而必须做到既相互牵制又相 互协调，从而在保证质量提高效率的前提下完成经营任 务。 26 （四）程式定位原则 l程式定位原则，是指企业单位应该根据各岗位业 务性质和人员要求，相应地赋予作业任务和职责 权限，规定操作规程和处理手续，明确纪律规则 和检查标准，以使职、责、权、利相结合。岗位 工作程式化，要求做到事事有人管，人人有专职 ，办事有标准，工作有检查，以此定奖罚，以增 加每个人的事业心和责任感，提高工作质量和效 率。 27 （五）成本效益原则 l贯彻成本效益原则，即要求企业力争以最小的控 制成本取得最 大的控制效果。因此，在实行内 部控制花费的成本和由此而产生的经济效益之间 要保持适当的比例，也就是说，因实行内部控制 所花费的代价不能超过由此而获得的效益，否则 应舍弃该控制措施。 28 三、内部控制制度设计的步骤 l确定控制目标 l整合控制流程 l识别控制环节 l确定控制措施 29 （一）确定控制目标 内部控制的四项基本目标: l (1)战略目标。 l(2)经营目标。 l(3)报告目标。 l(4)合规目标。 l需要指出的是，以上四项目标均为基本目标或一 般目标。在每项基本控制目标下，还可细化为若 干具体控制目标。 30 （二）整合控制流程 l控制流程，是依次贯穿于某项业务活动始终的基 本控制步骤及相应环节。控制流程，通常同业务 流程相吻合，主要由控制点组成。当企业的业务 流程存在控制缺陷时，则需要根据控制目标和控 制原则加以整合。 31 项目、组织和流程之间的关系 组织 项目 流程 项目是指在既定 的资源和要求的 约束下，为实现 某种目的而相互 联系 的一次性 工作任务。 组织是指具有共同行动目 标的人类群体。 流程是指企业经 营过程的一个阶 段，由若干项作 业组成，而作业 由若干项任务组 成。 32 （三）识别控制环节 l实现控制目标，主要是控制容易发生偏差的业务环节。 这些可能发生错弊因而需要控制的业务环节，通常称为 控制环节或控制点。控制点按其发挥作用的程度而论， 可以分为关键控制点和一般控制点。那些在业务处理过 程中发挥作用最大，影响范围最广，甚至决定全局成效 的控制点，对于保证整个业务活动的控制目标具有至关 重要的影响，即为关键控制点;相比之下，那些只能发挥 局部作用，影响特定范围的控制点，则为一