内部控制理论演进及五大要素.ppt

第二章 内部控制的演进与五大要素 第一节 内部控制的产生动因 1内部控制是企业管理当局履行受托责任的 内在要求 现代制度下，企业所有权和经营权分离 ，股东与经理人之间产生了一种典型的委 托代理关系 2内部控制是提高管理效率的需要 3内部控制是制度管理思想的产物 第二节 内部控制的演变 一 内部牵制阶段 1 在15世纪初期，企业内部已经出现了内部牵制制度 主要由职责分工、会计记账、人员轮换等控制要素构 成 2 到了20世纪30年代，在理论上给出了内部牵制制度较 完整的概念 内部牵制是账户和程序组成的协作系统，这个系统使得 员工在从事本身工作时，独立地对其他员工的工作进行连 续性检查，以确定其舞弊的可能性。 3 内部牵制是基于以下两个基本设想： 1.二个或以上的人或部门无意识地犯 同样错误的机会是很小的； 2.二个或以上的人或部门有意识地合 伙舞弊的可能性大大低于单独一个人或部 门舞弊的可能性 早期的内部牵制重视企业内部的分工和 制衡 内部牵制机能的执行分为四类： （1）实物性牵制 （2）机械牵制（程序性牵制） （3）体制牵制 （4）薄记牵制 二 内部控制论阶段20世纪40年代至70年代 之间 1 20世纪40年代 1949年，美国会计师学会的审计程序委员会在内 部控制一种协调制度要素及其对管理当局和独立审计 人员的重要性报告中，第一次对内部控制进行了比较权 威的定义，标志内部牵制时代的结束。 内部控制包括组织结构及该组织为了保护其财产安 全，检查其会计资料的准确性和可靠性，提高经营效率， 保证既定管理政策得以实施而采取的所有方法和措施。 2 20世纪50年代 1958年10月美国会计师协会的审计程序委 员会发布的审计程序公告第29号对内部控 制定义重新进行表述，将内部控制划分为会计 控制和管理控制。 内部会计控制(Internal AccountingControl)指 与企业的财产安全与完整、会计信息真实与可 靠有关的所有控制程序和方法。 内部管理控制(Internal Administrative Control)指与企业经营效率提升、管理政策落 实等相关的控制制度。 3 20世纪70年代 1972年，美国审计准则委员会（ASB ）在审计准则公告（第1号）中，更加 明确的阐述了内部会计控制和内部管理控 制的定义。 内部会计控制包括（但不限于）组织规 划、保护资产安全以及与财务报表有关的 程序和记录。 内部管理控制包括（但不限于）组织规 划及与管理当局进行经济业务授权的决策 过程有关的程序和记录。 三、 内部控制结构阶段20世纪80年代90 年代 1.控制环境(Control Environment) 反映董事会、管理者、业主和其他人员对 控制的态度和行为。 2.会计系统 (Accounting System) 规定各项经济业务的确认、归集、分类、分 析、登记和编报方法 3.控制程序 (Control Procedure) 指管理当局制定的政策和程序，以保证达到 一定的目的。 四 内部控制框架论阶段20世纪90年代后 1 1992年，美国“反对虚假财务报告委员会”下属的由美 国会计学会AAA、注册会计师协会AICPA、国际内部审计人 员协会IIA、财务经理协会FEI和管理会计学会MAA等组织参与 的“发起组织委员会(COSO) Committee of Sponsoring Organizations Of The Treadway Commission发布报告“内 部控制整体框架”，即“COSO报告” ，标志内部控制框架 阶段开始。 2 COSO委员会( Committee of Sponsoring Organizations Of The Treadway Commission) 提出，“内 部控制是由企业董事会、经理阶层和其他员工实施的，为营运 的效率效果、财务报告的可靠性、相关法令的遵循性等目标的 达成而提供合理保证的过程。” 四、内部控制框架阶段20世纪90年代后 1992年9月，COSO委员会发布了纲领性的内部控制文件 内部控制整体框架，简称“COSO报告” ，并于1994 年进行了增补。 这份报告堪称内部控制发展史上的里程碑，不仅在业内 备受推崇，而且在美国及全球得到了广泛的推广和应用。 COSO报告相关知识点 【（1）COSO报告中内部控制的组成 （2）COSO报告中内部控制的职责 （3）COSO报告的现实意义 （4）COSO报告的局限性 （5）COSO报告对我国企业的启示 】 四、内部控制框架论阶段20世纪90年代后 COSO报告提出了内部控制要素（Internal Control Components）的概念，认为内部控制整体框架包含五个相互 联系的要素： （1）控制环境，包括：管理者的经营风格和经营理念、组织结 构与权责分派体系、人员的品行与素质、人力资源政策及实务 、管理控制方法等； （2）风险评估，包括风险识别和风险分析。 （3）控制活动，是企业对所确认的风险采取必要的措施，以保 证企业目标得以实现的政策和程序。 （4）信息与沟通，指企业必须识别、捕捉、交流外部和内部信 息沟通使员工了解其职责，保持对财务报告的控制。 （5）监控，包括日常性监控和内部审计机构的监控。 五、风险管理阶段21世纪初期以来 COSO委员会在2004年发布了企业风 险管理整合框架（以下简称风险管理框 架）。该框架对风险管理的定义表述是： 风险管理是一个过程，它由公司董事会 、管理层以及其他员工执行，适用于公司战 略的制定和整个公司范围，用来识别可能对 公司产生影响的潜在事项，并将风险控制在 企业可以承受的水平以内，为公司目标的实 现提供合理保证。 企业风险管理整合框架 风险管理框架示意图 （八要素） 2004年，COSO委员会的研究报告企业风险管理框架 指出企业风险管理包括八个相互关联的构成要素。它们来源于管 理当局经营企业的方式，并与管理过程整合在一起。这些构成要 素是： 内部环境内部环境包含组织的基调，它为主体内的人员如 何认识和对待风险设定了基础，包括风险管理理念和风险容量、 诚信和道德价值观，以及他们所处的经营环境。 目标设定必须先有目标，管理当局才能识别影响目标实现 的潜在事项。企业风险管理确保管理当局采取适当的程序去设定 目标，确保所选定的目标支持和切合该主体的使命，并且与它的 风险容量相符。 事项识别必须识别影响主体目标实现的内部和外部事项， 区分风险和机会。机会被反馈到管理当局的战略或目标制订过程 中。 风险评估通过考虑风险的可能性和影响来对其加以 分析，并以此作为决定如何进行管理的依据。风险评估 应立足于固有风险和剩余风险。 风险应对管理当局选择风险应对回避、承受 、降低或者分担风险采取一系列行动以便把风险控 制在主体的风险容限（risk tolerance）和风险容量以内 。 控制活动制订和执行政策与程序以帮助确保风险 应对得以有效实施。 信息与沟通相关的信息以确保员工履行其职责的 方式和时机予以识别、获取和沟通。有效沟通的含义比 较广泛，包括信息在主体中的向下、平行和向上流动。 监控对企业风险管理进行全面监控，必要时加以 修正。监控可以通过持续的管理活动、个别评价或者两 者结合来完成。 四种类型的目标战 略、经营、报告和合规 用垂直方向的栏表 示，八个构成要素用水 平方向的行表示，而一 个主体内的各个单元则 用第三个维度表示。这 种表示方式使我们既能 够从整体上关注一个主 体的企业风险管理，也 可以从目标类别、构成 要素或主体单元的角度 ，乃至其中的任何一个 分项的角度去加以认识 。 内部控制、风险管理的起源、发展与继承示意图 如下： 第三节 内部控制五大要素 评企业内部控制基本规范 五大要素内部环境、风险评估、控制活动、信息 与沟通、 内部监督 （一）内部环境。内部环境是企业实施内部控 制的基础，一般包括治理结构、机构设置及权责 分配、内部审计、人力资源政策、企业文化等。 （二）风险评估。风险评估是企业及时识别、 系统分析经营活动中与实现内部控制目标相关的 风险，合理确定风险应对策略。 （三）控制活动。控制活动是企业根据风险评估 结果，采用相应的控制措施，将风险控制在可承受 度之内。 （四）信息与沟通。信息与沟通是企业及时、准 确地收集、传递与内部控制相关的信息，确保信息 在企业内部、企业与外部之间进行有效沟通。 （五）内部监督。内部监督是企业对内部控制建 立与实施情况进行监督检查，评价内部控制的有效 性，发现内部控制缺陷，应当及时加以改进。 应用指引可以划分为三类，即内部环 境类指引、控制活动类指引、控制手 段类指引， （1）内部环境 内部环境是企业实施内部控制的基础，支配着企业全体员工的 内控意识，影响着全体员工实施控制活动和履行控制责任的态 度、认识和行为。 财政部会计司司长刘玉廷解读企业内部控制配套指引 内部环境类指引有5项，包括组织架构、发展战略、人力资源 、企业文化和社会责任等指引。 财政部会计司司长刘玉廷解读企业内部控制配套指引 财政部会计司解读企业内部控制应用指引第1号 财政部会计司解读企业内部控制应用指引第2号 财政部会计司解读企业内部控制应用指引第3号 财政部会计司解读企业内部控制应用指引第4号 财政部会计司解读企业内部控制应用指引第5号 （所谓控制环境是指董事会、企业管理者的 管理理念、风险偏好，企业文化等影响内部 控制运行的各种因素。这是其他内部控制要 素发挥作用的基础。这些因素是企业内部控 制的基础。 主要包括：管理者的经营风格和经营理念 、董事会及审计委员会、组织结构与权责分 派体系、人员的品行与素质、人力资源政策 及实务、管理控制方法、外部影响） （组织架构、发展战略、人力资源、企业文 化和社会责任） 案例： “哲商”张瑞敏与海尔文化 张瑞敏认为企业的成败不仅仅取决于市场占有率 及利润水准等有形的东西，而更在于是否有着高度一 致的内部价值认同和众口一词的外部形象评价。“人 心齐，泰山移”。 当他在美国GE考察时，发现GE的一个生产120 万台电冰箱的总厂只有质量工程师而没有质量检查员 的时候，受到了极大的冲击，强烈地意识到发挥人的 自觉性与创造性的极端重要性，更加坚定了用文化、 理念来领导企业的决心与信心。在海尔，“企业文化 中心”是一个与“财务中心”、“资产管理中心”等平起平 坐的功能机构，它有职有权，独立承担责任，这在国 内众多企业中恐怕是凤毛麟角。 海尔具有合理的组织结构与权责分派要求 每项经济业务事项必须由两个或两个以上的部 门承担，经过两个或两个以上的岗位处理； 不相容职务进行适当分离； 权利和责任与控 制任务相适应，并落实到具体部门。 从海尔的发展历程看企业内部控制环境建设 从内部环境角度分析世通公司倒闭的原因P269 （2）风险评估 COSO报告认为，环境和风险评估是提高企业内 控效率和效果的关键。 风险是指事件本身的不确定性，具客观性 如何评估？ 首先，找出风险点，即关键控制点 其次，看有无有效的控制措施 最后，提出有针对性的建议措施 具体某一业务流程： 首先，了解内控；通过咨询、调查表形式（在 关键控制点设置问题）； 其次，检查措施执行情况，如“采购”，有无 询价环节、高价购入、对库存材料质量调查，是 否购进不需要的物资、价高的物资、重复付款； 最后，采取措施，审批问题，询价招标采购问 题，验收问题，付款的批准（定单、合同、入库 单、质检报告、发票等才能付款） 整体风险评估： 以财务指标为核心的指标体系， 财务风险（到期债务）经营风险、技术风 险，政策风险，市场风险，汇率、利率风 险，环保风险。 财政部：绩效评价体系 （2）风险评估， COSO报告认为，环境和风险评估是提高企 业内控效率和效果的关键。 所谓风险评估指管理层识别并采取相应的行动来管理对 经营、财务报告、符合性目标有影响的内部和外部的风险。 包括风险识别和风险分析。 企业的风险主要来源于：经营环境的变化；聘用新的人 员；采取新的或改良的信息系统；新技术的应用；新的行业 、产品或经营活动的开发；企业改组；海外经营；新会计方 法的应用。 第二十条 企业应当根据设定的控制目标，全面 系统持续地收集相关信息，结合实际情况，及时 进行风险评估。 第二十一条 企业开展风险评估，应当准确识 别与实现控制目标相关的内部风险和外部风险， 确定相应的风险承受度。 风险承受度是企业能够承担的风险限度，包括整 体风险承受能力和业务层面的可接受风险水平。 第二十二条 企业识别内部风险，应当关注下列因素 ： （一）董事、监事、经理及其他高级管理人员的职业操守 、员工专业胜任能力等人力资源因素。 （二）组织机构、经营方式、资产管理、业务流程等管理 因素。 （三）研究开发、技术投入、信息技术运用等自主创新因 素。 （四）财务状况、经营成果、现金流量等财务因素。 （五）营运安全、员工健康、环境保护等安全环保因素。 （六）其他有关内部风险因素。 第二十三条 企业识别外部风险，应当关注下 列因素： （一）经济形势、产业政策、融资环境、市场竞争、 资源供给等经济因素。 （二）法律法规、监管要求等法律因素。 （三）安全稳定、文化传统、社会信用、教育水平、 消费者行为等社会因素。 （四）技术进步、工艺改进等科学技术因素。 （五）自然灾害、环境状况等自然环境因素。 （六）其他有关外部风险因素。 第二十四条 企业应当采用定性与定量相结合的方 法，按照风险发生的可能性及其影响程度等，对识别 的风险进行分析和排序，确定关注重点和优先控制的 风险。 企业进行风险分析，应当充分吸收专业人员，组 成风险分析团队，按照严格规范的程序开展工作，确 保风险分析结果的准确性。 第二十五条 企业应当根据风险分析的结果，结合风 险承受度，权衡风险与收益，确定风险应对策略。 企业应当合理分析、准确掌握董事、经理及其他 高级管理人员、关键岗位员工的风险偏好，采取适当 的控制措施，避免因个人风险偏好给企业经营带来重 大损失。 第二十六条 企业应当综合运用风险规避、风险降低、 风险分担和风险承受等风险应对策略，实现对风险的有效 控制。 风险规避是企业对超出风险承受度的风险，通过放弃 或者停止与该风险相关的业务活动以避免和减轻损失的策 略。 风险降低是企业在权衡成本效益之后，准备采取适当 的控制措施降低风险或者减轻损失，将风险控制在风险承 受度之内的策略。 风险分担是企业准备借助他人力量，采取业务分包、 购买保险等方式和适当的控制措施，将风险控制在风险承 受度之内的策略。 风险承受是企业对风险承受度之内的风险，在权衡成 本效益之后，不准备采取控制措施降低风险或者减轻损失 的策略。 第二十七条 企业应当结合不同发展阶段 和业务拓展情况，持续收集与风险变化相 关的信息，进行风险识别和风险分析，及 时调整风险应对策略。 论改进我国企业内部控制-由亚细亚失败引发的思考 （3） 控制活动 所谓控制活动指企业对所确认的风险采取必要的措施，以 保证企业目标得以实现的政策和程序。 有关控制活动包括： 业绩评价 信息处理： 包括一般控制与应用控制 职责分离 ： 包括业务授权与业务执行；业务执行与业 务记录；业务记录与业务稽核 实物控制：现金、存货、固定资产、有价证券 控制措施一般包括： 1.不相容职务相互分离控制 日常业务中不相容职务分离控制表P277 案例7-p277 2.授权审批控制 3.会计系统控制 4.财产保护控制 5.预算控制 6.运营分析控制 7.绩效考评控制 8.重大风险预警机制和突发事件应急处理机制 企业可能授予其分公司购置不超过50万元 固定资产的权限，只要拟购置的固定资产 价格低于50万元，分公司都可以自行决定 ，这就是所谓的一般授权。对于超过50万 元的固定资产购置，则可能要求分公司提 前3个月编制预算，并报请总公司批准，这 就是所谓的特殊授权。 案例： 1 朱琳在流金公司从事会计工作10年有余，她对 工作的忘我精神和高度的责任感，深得公司其他 员工和老板的赞誉。最近，公司赋予她更多的职 权和责任。然而，当注册会计师和公司的老板最 后查明朱琳在过去的6年中采用非法手段侵吞了 10万元巨款时，都感到吃惊和失望。朱琳作案的 手法很简单，在向客户发出账单出售产品时，不 登记销售日记账，待收到客户的付款时，不登记 收款，而将款项侵吞。请问，导致朱琳有机可乘 的主要原因是什么? 主要原因是内部控制不健全，没有执行充 分的不相容职务分离。寄送账单与登记销 售是不相容职务，收款与登记收款也是不 相容职务，集朱琳于一身，给她创造了侵 吞销售款而又不容易被发现的机会。 案例： 2 爱乐者协会每周一至周五晚上在文化宫举办音乐会。音乐会开始前 ，协会的一名员工在入场处把门。协会的会员，出示会员卡后可以免 费入场，非会员观众，只有当场支付30元、换取到一张式样统一的入 场券后，才能入场。 每晚演出结束，这位把门的员工将收到的现金，交给协会的出纳 。出纳当面清点，将现金存放入保险柜。每周六上午，出纳和把门的 员工一起将保险柜中存放的所有现金，送存银行，收到银行出具的存 款证明，作为每周登记账目的依据。 爱乐者协会的管理层认识到门票收入的内部控制需要改进，聘请 您帮助出谋划策。 要求：指出门票收入现有内部控制中存在的弱点，针对每项弱点 ，各提供一项改进建议。 1.无法确定购票入场的非会员观众人数。 1.门票应当连续编号，并按照售票顺序依次出票。 2.无法确定把门的员工在收钱的同时，有没有出票。 2.增加另外一名员工，专门负责收票（撕下票根） 3. 无法确定把门的员工是否将当晚的门票收入全部交给出纳 3.演出结束后，收钱（卖票）员工填写收入报告单一式两份，收票员工将 之与自己收到的门票数（票根）核对相符后签字。收钱（卖票）员工将门 票款和其中一份收入报告单交给出纳。票根和另一份收入报告单交给协会 的会计人员。 4. 无法确定出纳在周六送存银行前不动用存放