企业内部控制.ppt

企业内部控制,本章内容：1.内部控制定义1.1加拿大CoCo对内部控制的定义1.2英国Turnbull对内部控制的定义1.3美国COSO对内部控制的定义1.4我国企业内部控制基本规范对内部控制的定义及国内专家观点,2.内部控制的发展2.1内部控制在国外的发展2.2内部控制在我国的发展3.COSO内部控制整合框架4.我国企业内部控制基本规范企业内部控制应用指引5.我国内部控制中存在的问题6.内部控制与审计,1.内部控制的定义,1.1加拿大CoCo对内部控制的定义,CoCo认为：内部控制是指对支持达到目标的资源、系统、过程、结构、任务和文化等企业要素集合体的控制。CoCo是加拿大特许会计师协会(CICA)成立的控制规范委员会（CriteriaofControlBoard）的简称。,CoCo定义了三个方面的目标：（1）运营的效能和效率（2）内部报告和外部报告的可靠性（3）遵循法律法规和内部规章,CoCo定义的三个方面的目标与COSO定义的内部控制目标相比，两者是相似的：CoCo的目标分别对应于COSO的运营，报告及合规目标。,1.2英国Turnbull报告对内部控制的定义,英国Turnbull报告认为：内部控制是由董事会和管理层共同实施，旨在防止风险的发生或使风险降低到可接受水平的系统。该系统包括公司的政策、过程、任务、行为和其他方面；其控制范围包括经营管理、遵循法律、风险控制、人力资源等，财务控制仅仅是其中的一个部分。,1.3美国COSO对内部控制的定义,COSO在其内部控制整合框架（2013）中将内部控制定义为：内部控制是一个由主体董事会、管理层和其他员工实施的，旨在为实现运营、报告、合规目标提供合理保证的过程。COSO是全美反舞弊性财务报告委员会（Treadway）发起组织委员会的简称。,该定义强调内部控制是：,（1）旨在实现目标:目标包括运营目标、报告目标、合规目标（2）一个持续不断的过程：此过程包括持续的任务和活动，是达到目的的手段而非的本身（3）可以提供合理保证：向组织的高级管理层和董事会提供合理保证而非绝对保证（4）与组织的结构相适应：可应用于整个组织或其中一个下属单位、分部、业务单元或业务流程,1.4我国企业内部控制基本规范对内部控制的的定义及国内学者观点,1.4.1我国企业内部控制基本规范对内部控制的定义：本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。,与CoCo报告和Turnbull报告相比，我国企业内部控制基本规范对内部控制的定义与COSO对内部控制的定义类似：1.都强调内部控制是由组织内不同层级实施的，从组织的最高层直到最基层，实施主体包括董事会、管理层和普通员工。Turnbull报告则仅包括董事会和管理层。2.COSO认为内部控制的目标是为企业的报告，合规、运营目标提供合理保证。我国企业内部控制基本规范对内部控制目标的描述也可归结为以上三类。,3.都强调了内部控制是一个过程，体现了内部控制的动态性。而Turnbull报告将内部控制定义为一个系统，体现了内部控制的静态性。在COCO控制指南中，定义“内部控制”不是一个过程，而是组织（包括资源、系统、程序、文化、结构和任务）的一部分，所有这些组成部分结合在一起，确保了组织目标的实现。,1.4.2国内学者对内部控制本质的观点,(1)丁友刚，胡兴国（2007）认为，“内部控制是指组织自身为了降低内部各层级之间代理问题而建立的一套风险控制机制。内部控制的目标是通过保证内部各层级委托代理关系中代理关系中代理人信托责任的履行，进而保证组织目标实现的过程。”(2)谢志华（2007）认为，“尽管三者（内部控制、公司治理、风险管理）在文字表述上存在差异，但就其实质而言是相同的从语义上说，内部控制就是控制风险，控制风险就是风险管理。所以内部控制和风险管理是控制风险的两种不同语义表达形式。”,(3)李维安，戴文涛（2013）认为：“内部控制发展到今天，已经演变成一种过程，内化于企业的各个流程，各个环节，和企业的各类人员相联系，但从内部控制的对象和目标来看，其本质并没有发生变化，依然是一种风险控制活动。”(4)杨雄胜（2011）认为：“内部控制是运用专门段工具及方法，防范与遏制非我与损我，保护与促进自我与益我的系统化制度”。(5)贺伊琦（2011）认为内部控制是企业免疫系统。,(6)古淑萍（2011）认为，内部控制本质上是具有控制职能的企业管理活动集合，是围绕内部控制制度的设计与实施的一个动态过程。(7)李桦和周曙光（2011）认为内部控制的本质是一种风险控制机制。,2.内部控制的发展,内部牵制阶段,内部控制制度阶段,内部控制结构阶段,内部控制整体框架时期,20世纪40年代,20世纪70年代前,20世纪80年代,20世纪90年代至今,2.1内部控制在国外的发展,吴水澎，陈汉文（2000）；张宜霞（2008）；张砚，杨雄胜（2007）等认为，内部控制大致可分为四个阶段：1.内部牵制阶段相关链接：内部牵制内部牵制，它基本是以查错防弊为目的，以职务分离和账目核对为手法，以钱、账、物等会计事项为主要控制对象。内部牵制基于以下两个基本设想：（1）两个或两个以上的人或部门无意识的犯同样错误的机会是很小的；（2）两个或两个以上的人或部门有意识的合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。在现代内部控制理论中，内部牵制仍占重要的地位，成为有关组织机构控制、职务分离控制的基础。,内部控制最初表现为内部牵制，主要体现在账目之间的相互核对，实施岗位分离等。美国会计师协会1936年在由独立的会计师执行的财务报表检查中将内部控制定义为，为保护公司现金和其他资产，检查簿记事务的准确性而在公司内部采用的手段和方法；并提出审计师在制定审计程序时，应审查企业的内部牵制和控制，由此内部控制进入了内部牵制阶段。,2.内部控制制度阶段,1949年，美国会计师协会的审计程序委员会在内部控制，一种协调制度要素及其对管理当局和独立注册会计师的重要性的报告中，对内部控制首次作了权威性的定义：“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”1958年10月该委员会发布的审计程序公告第29号中将内部控制划分为管理控制和会计控制。,会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此相关的方法和程序构成，包括授权和批准制度，财产的实物控制，记账、编制财务报表、保管财物资产等职务的分离，以及内部审计等。管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接相关的方法或程序构成，管理控制的方法和程序一般只与财务记录发生间接的关系。1963年审计程序委员会进一步指出独立审计是主要检查会计控制。(审计的范围缩小了),3.内部控制结构阶段,随着组织规模越来越大，经营环境越来越复杂，“会计控制”越来越不可能在提高审计效率、降低审计成本的同时保证审计质量。由此美国会计师协会1988年发布了第55号审计准则公告会计报表审计中对内部控制结构的关注，不再区分会计控制和管理控制，用“内部控制结构”取代了“内部控制”，并指出“内部控制结构是为合理保证达到特定目标而建立的各种政策和程序”，包括控制环境、会计系统和控制程序三个要素，这标志着内部控制走向结构化和体系化，也拓展了审计师在财务报表审计中考虑内部控制的责任范围。,4.内部控制整体框架时期,20世纪70年代，美国频频发生公司财务失败和可疑的商业行为，全美反欺骗财务报告委员会，即Treadway委员会由此产生。Treadway委员会调查发现其所研究的欺诈性财务报告案例中，有大约50%是由于内部控制失效造成的，于是Treadway委员会成立了COSO委员会来制定内部控制指南。1992年COSO委员会发布了内部控制整体框架报告。在报告中内部控制被定义为由企业董事会、经理阶层和其他员工实施的，为达成营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标而提供合理保证的过程，它包含五个要素：控制环境、风险评估、控制活动、信息与沟通、监督活动等。由此内部会计控制与内部管理控制已经完全融入内部控制的框架整体中，也成为了现代内部控制最具有权威性的框架。,当内部控制发展到整体框架阶段是否意味着最初的内部牵制已失去作用？,相关链接：被神化的内部控制与被冷落的内部牵制（李心合，2013）“事实上，从对内部控制起源和演进的脉络分析中可以看出，内部控制被全能化和被神化的关键性原因，是在内部控制的演进过程中其立场不断地改变和其内容不断地扩充，特别是在审计学内部控制之外扩充了管理学控制、在审计师需要的内部控制之外添加了管理者的内部控制、在与财务报告相关的内部控制之外融合了与价值创造相关的内部控制”,“内部牵制是内部控制的神，是内部控制的灵魂，是内部控制体系中最核心的环节，轻视内部牵制，内部控制就丧失了灵魂”。“目前内部控制体系最薄弱的环节就是内部牵制机制存在严重缺陷，其次是审批体系繁琐、财务与业务缺乏有效融合机制、集团内部管控模式和方法选择不当等，而后者的问题部分地也与内部牵制问题相关联。总体感觉是:内部控制的研究和制度建设的最大问题是有形无神”。“形”在研究上指的是内部控制的框架，在实务中指的是内部管控的流程和措施，而对“神”的理解我认为正是内部牵制。,相关链接：COSO对管理活动和内部控制活动的界定,在被神化的内部控制与被冷落的内部牵制（李心合，2013）中有如下内容：“试想，就连发展战略、公司治理、组织架构、薪酬政策、公司文化、公司社会责任等，都被装进了“内部控制”，还有什么事项或活动不能为“内部控制”所涵盖呢?设计一家公司的内部控制体系，我的感觉就是对一家公司进行全方位的、立体式的设计，事无巨细、包罗万象，事事都必须考虑，事事都必须纳入内部控制体系。”COSO在其内部控制整合框架中对内部控制和管理活动进行了限定。,相关链接：COSO对管理活动和内部控制活动的界定,COSO认为：内部控制是管理层责任的一部分，然而并非管理层的每个决策或措施都属于内部控制。1.建立一个由充分独立于管理层的董事组成的董事会，并使其发挥有效的监督责任，这是内部控制的一部分。但是，许多由董事会达成的决议并不属于内部控制。,2.制定影响主体目标的战略决策并不属于内部控制，组织设定目标时可以采用企业风险管理方法或其他方法。3.设定可接受的风险水平和相关风险偏好是战略规划和企业风险管理的一部分，但不属于内部控制。同样，设定具体目标的风险容忍度也不属于内部控制。4.基于组织风险评估的过程，选择和执行降低风险的控制是内部控制的一部分，然而，为特定风险二抉择优先应对措施，这不属于内部控制。,COSO划分内部控制与管理过程的标准是什么？,例如：“制定影响主体目标的战略决策并不属于内部控制”，制定决策不属于内部控制，但决策过程是否不需要内部控制？,确定问题,确定决策标准,为标准分配权重,形成备择方案,分析备择方案,选择一个方案,实施备择方案,评估决策效果,决策制定过程,2.2内部控制在我国的发展,内部牵制阶段,会计控制阶段,全面控制阶段,1.内部牵制阶段这一时期计划经济占主导地位，二十世纪七十年代末至八十年代，内部牵制更加受到重视。（1）1978年9月12日，国务院颁布会计人员职权条例。（2）1984年4月24日，财政部发布会计人员工作规则。（3）1985年1月21日，第六届全国人民代表大会常务委员会第九次会议通过中华人民共和国会计法，重申了会计岗位责任制的要求。,2.会计控制阶段：（1）1996年6月17日，财政部发布会计基础工作规范，要求各单位进一步建立健全包括但不限于内部牵制制度的内部会计管理制度。（2）1999年修订的会计法，第一次以法律的形式对建立健全内部控制提出原则要求。（3）财政部随后制定发布了内部会计控制规范基本规范（试行）和内部会计控制规范货币资金（试行）等7项内部会计控制规范，要求单位加强内部会计及与会计相关的控制，形成完善的内部牵制和监督制约机制，以堵塞漏洞、消除隐患，保护财产安全，防止舞弊行为，促进经济活动健康发展。,3.全面控制阶段：进入21世纪，随着世界范围的企业合并、资本国际化、贸易壁垒的逐渐消失和金融市场的一体化，内部控制日益成为一个世界性话题，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向全面控制发展。企业需要站在发展全局的角度，全方位加强内部控制制度体系建设，为深化企业改革、加强经营管理、提高企业抗风险能力和可持续发展能力提供技术支持。,中国内部控制的发展,2006,(财政部)企业内部控制鉴证指引企业内部控制评价指引企业内部控制应用指引(征求意见稿),(国资委)中央企业全面风险管理指引,2007,(财政部)企业内部控制规范-基本规范(征求意见稿),2008,(财政部)企业内部控制基本规范,（保监会）寿险公司内部控制评价办法（试行）,保险公司内部审计指引（试行）保险公司风险管理指引（试行）,(证监会）上市公司信息披露管理办法,（银监会）银行业金融机构信息系统风险管理的指引,（银监会）商业银行内部控制指引,（银监会)商业银行合规风险管理指引,（证监会）证券公司风险控制指标管理办法,（证监会）证券公司合规管理试行规定,（证监会）证券公司监督管理条例,（银监会）商业银行操作风险管理指引,内部控制的概念及历史演变过程,（银监会）银行业金融机构信息系统风险管理的指引,(证监会）上市公司信息披露管理办法,（证监会）证券公司合规管理试行规定,(财政部)企业内部控制基本规范,（证监会）证券公司合规管理试行规定,(上交所/深交所)内部控制指引,(国资委)中央企业全面风险管理指引,（银监会)商业银行合规风险管理指引,（银监会）商业银行内部控制指引,(财政部)企业内部控制规范-基本规范(征求意见稿),（银监会）商业银行内部控制指引,（银监会）商业银行操作风险管理指引,(财政部)企业内部控制规范-基本规范(征求意见稿),（银监会）商业银行内部控制指引,3.COSO内部控制整合框架,相关链接：关于COSO和内部控制整合框架,COSO(CommitteeofSponsoringOrganization)是全美反舞弊性财务报告委员会（Treadway）发起组织委员会的简称。自八十年代以来，虚假财务报表时有发生。为此，1985年由美国执业会计师协会(AICPA)、内部审计协会(IIA)、财务经理协会(FEI)、美国会计学会(AAA)、管理会计学会(IMA)等多个专业团体共同发起组成“反虚假财务报告委员会”(Treadway委员会)。两年后，Treadway委员会的赞助机构成立COSO委员会，专门致力于内部控制研究。1992年9月，COSO委员会发布了题为内部控制整合框架的研究报告，这就是著名的COSO报告，成为内部控制领域最权威的文献之一。,控制环境,风险评估,控制活动,信息与沟通,监督活动,组织层面,分部,业务单元,职能部门,运营,报告,合规,组织目标的实现,内部控制五要素,控制环境风险评估控制活动信息与沟通监督活动,原则6-9,原则10-12,原则13-15,原则16-17,原则1-5,内部控制五要素,3.1控制环境,控制环境是一套标准，流程和结构，能够为组织实施内部控制提供基础。,与控制环境要素相关的原则：原则1.组织应展现对诚信和道德价值的承诺。原则2.董事会应展现出其独立于管理层，并对内部控制的开展与成效实施监督。原则3.管理层为实现目标，应在董事会的监督下确立组织结构、汇报路线、合理的权利与责任。,原则4.组织应展现出其对吸引，培养和留用符合组织目标要求的人才。原则5.组织为实现目标，应要求员工承担内部控制的相关责任。,3.2风险评估,风险是指某项事件将发生并对组织实现其目标产生负面影响的可能性，风险评估应通过动态和反复的过程，以识别和评估影响组织目标实现的风险。,与风险评估要素相关的原则：原则6.组织应设定清晰明确的目标，以识别和评估与目标相关的风险。,原则7.组织对影响其目标实现的风险进行全范围的识别和分析，并以此为基础来决定如何管理风险。原则8.组织应在评估影响其目标实现的风险时，考虑潜在的舞弊行为。原则9.组织应识别并评估其对内部控制体系可能造成重大影响的改变。,3.3控制活动,控制活动是通过政策和程序所确立的行动，旨在协助确保管理层关于降低影响实现的风险方针已经落实。政策（Policy）：管理层或董事会成员对如何进行有效控制做出的声明。该声明可以文件的形式呈现，也可以在沟通中明确地指出或者在行动和决定中体现。政策是执行程序的依据。,程序（Procedure）：执行政策的行动。与控制活动相关的原则：原则10.组织应该选择并执行那些可以将影响其目标实现的风险降至可接受水平的控制活动。原则11.针对信息技术，组织应选择并执行一般控制活动以支持其目标的实现。(信息技术一般控制是指涵盖与信息技术基础设施、安全管理以及信息技术的引进、开发和维护相关的活动),原则12.组织应通过政策和程序来实施控制活动。政策是建立预期，程序是将政策付诸行动。,3.4信息与沟通,管理层应从内外部来源获取或生成和使用高质量的、相关的信息以支持内部控制的持续运行。与信息与沟通要素相关的原则：原则13.组织应获取或生成高质量的、相关的信息来支持内部控制的持续运行。,原则14.组织应在内部对内部控制目标和责任等必要信息进行沟通，从而支持内部控制持续运行。原则15.组织应就影响内部控制发挥作用的事项，与外部进行沟通。,3.5监督活动,监督活动旨在评估内部控制五个要素及相关原则是否存在并持续运行。（有观点认为监督活动是对内部控制的再控制）存在并持续运行（PrensentandFunctioning）：“存在”是指在内部控制体系在设计和实施以实现特定目标的过程中，应确定各要素和相关原则存在。“持续运行”是指在内部控制体系的执行以实现特定目标的过程中，应确定各要素和相关原则持续存在。,相关链接：内部控制缺陷内部控制缺陷，是指与一个或多个要素和原则相关，可能会导致主体偏离控制目标的缺点。一项或多项内部控制缺陷的组合，可能会导致主体严重偏离控制目标，即被称为重大缺陷。如果管理层确定某个要素和一个或多个相关原则不存在且未持续运行，或相关要素未共同运行，那么内部控制体系一定存在这一项重大缺陷。与某个要素相关的重大缺陷并不能因为另一个要素的存在并持续运行而改变。同样地，与某项原则相关的重大缺陷也不能通过其他原则的存在并持续运行而改变。,与监督活动要素相关的原则：原则16.组织应选择、开展并实施持续和（或）单独评估，以确认内部控制的各要素存在并持续运行。原则17.组织应评价内部控制缺陷，并及时与整改责任方沟通，必要时还应与高级管理层和董事会沟通,关注点，原则，要素和内部控制有效性的关系,关注点被落实,对应原则存在,对应要素存在,持续运行,内部控制有效,4.我国企业内部控制基本规范和企业内部控制应用指引,2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范，是我国企业内部控制建设的一个重要里程碑。,我国对企业内部控制信息披露的规定,1.财政部办公厅证监会办公厅关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知总体要求所有主板上市公司都应当自2012年起着手开展内控体系建设。各相关上市公司要高度重视，成立或指定专门工作机构，健全风险评估机制，梳理风险管控流程，完善各项经营管理制度，优化内部信息系统，建立内控责任与员工绩效考评挂钩机制，推进企业内部控制规范体系稳步实施。具体实施：（1）中央和地方国有控股上市公司，应于2012年全面实施企业内部控制规范体系，并在披露2012年公司年报的同时，披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。,（2）非国有控股主板上市公司，且于2011年12月31日公司总市值（证监会算法）在50亿元以上，同时2009年至2011年平均净利润在3000万元以上的，应在披露2013年公司年报的同时，披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。（3）其他主板上市公司，应在披露2014年公司年报的同时，披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。,2.公开发行证券的公司信息披露编报规则第21号年度内部控制评价报告的一般规定,第二条凡在中华人民共和国境内公开发行证券并在证券交易所上市的股份有限公司（以下简称公司），按照有关规定需要披露年度内部控制评价报告或需要参照年度内部控制评价报告披露有关内部控制信息时，应遵循本规则。第三条本规则是对年度内部控制评价报告披露的最低要求。不论本规则是否有明确要求，凡对投资者投资决策有重大影响的内部控制信息，公司均应充分披露。,第五条公司编制的年度内部控制评价报告经董事会审议通过，并按定期报告相关要求审核后，与年度报告一并对外披露。第七条公司年度内部控制评价报告应包括以下要素：(1)标题(2)收件人(3)引言段(4)重要声明(5)内部控制评价结论(6)内部控制评价工作情况(7)其他内部控制相关重大事项说明,企业内部控制基本规范,总则内部环境风险评估控制活动信息沟通内部监督附则,COSO内部控制五要素,企业内部控制基本规范,企业内部控制应用指引该指引包括：组织架构发展战略人力资源社会责任企业文化资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告全面预算合同管理内部信息传递信息系统,企业内部控制评价指引,企业内部控制评价指引,总则内部控制评价的内容内部控制评价的程序内部控制缺陷的认定内部控制评价报告,本指引所称内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。,企业内部控制鉴证指引本指引所称企业内部控制鉴证，是指会计师事务所接受委托，对企业内部控制的有效性进行鉴证，并发表鉴证意见。,内部控制鉴证指引,总则制定鉴证计划实施鉴证工作评价控制缺陷完成鉴证工作鉴证报告工作底稿附则,5.我国内部控制中存在的问题及对策,1.企业内部控制制度不完善，控制力度弱化,习惯于行政指挥，家长制管理的现象还普遍存在。各种类型的经济单位未制定完整的内部会计控制体系，相关内部控制制度也散见于内部文件之中。一些单位受到利益驱动，重经营、轻管理，自我防范、自我约束机制尚未建立起来，内部控制的组织网络不健全，以至于内部控制失控；还有些经济单位其内部牵制机能尚未建立，不相容职务没有进行分工控制，例如会计、出纳一人兼，发票、印章一人管。,5.1我国内部控制中存在的问题,2.企业文化落后，内部会计控制人员素质不高（控制环境）,企业文化是企业的经营理念、经营制度依存于企业而存在的共同价值观念的组合。企业内部会计控制的贯彻执行有赖于企业文化建设的支持和维护。企业文化是一个企业的中枢神经，它所支配的是人们的思维方式、行为方式。但很多企业没有良好的企业文化，雇用人员时没有经过严格的考核，有许多是凭关系进入企业：对职工未形成一套关于训练、待遇、业绩考核及晋升的制度；未根据不同的情况对职工进行适当的道德教育。企业的会计人员的胜任能力和正直性值得怀疑，即使有良好的内部会计控制制度也会因为执行者的能力不强或道德有问题而达不到应有的效果。,COSO对控制环境有以下要求：,原则1.组织应展现对诚信和道德价值的承诺。原则4.组织应展现出其对吸引，培养和留用符合组织目标要求的人才。,我国企业内部控制应用指引第3号人力资源中有以下要求：第四条：企业应当重视人力资源建设，根据发展战略，结合人力资源现状和未来需求预测，建立人力资源发展目标，制定人力资源总体规划和能力框架体系，优化人力资源整体布局，明确人力资源的引进、开发、使用、培养、考核、激励、退出等管理要求，实现人力资源的合理配置，全面提升企业核心竞争力。,我国企业内部控制应用指引第5号企业文化中有以下要求：,第五条：企业应当培育体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神，以及团队协作和风险防范意识。企业应当重视并购重组后的企业文化建设，平等对待被并购方的员工，促进并购双方的文化融合。,3.风险意识差，内部压力小（风险评估）,有些内部控制人员风险意识差，从主观上缺乏对问题控制的动力，采用不恰当的控制程序和控制方法，或者错误地估计和判断控制事项，对重大错误或舞弊现象就容易忽略，导致发表与事实相反的控制报告，就会产生控制风险。目前我国有些企业虽然建立了相关的内部会计控制制度，但从总体上来看，仍缺乏科学性与合理性。内部会计控制的设立一直围绕着基础审计来进行，大多数企业侧重于事中和事后控制，而对经营风险和财务风险的事前风险预测和控制较少，只有当某一环节出现问题时才修正内部会计控制制度，使经济单位的会计系统设计形成五花八门的格局，没有形成有机结合。,COSO对风险评估有以下要求：,原则6.组织应设定清晰明确的目标，以识别和评估与目标相关的风险。原则7.组织对影响其目标实现的风险进行全范围的识别和分析，并以此为基础来决定如何管理风险。,4.会计资料不实，会计资料扭曲,一些企业在经济活动中有章不循、执法不严，在经济业务的具体处理过程中，以强调灵活性为由而不按规定程序办理，已建立的内部会计控制制度成了“写在纸上、贴在墙上”的一种形式，使内部会计控制制度失去了应有的刚性和严肃性。比如常规性的印单(票)分管制度、重要空白凭证保管使用制度及会计人员分工中的“内部牵制”原则等得不到真正的落实；会计凭证的填制缺乏合理有效的原始凭证支持；人为捏造会计事实、篡改会计数据、造假账、编假表、报假数、设置账外账、乱挤乱摊成本、隐瞒或虚报收入和利润；资产不清、债务不实等等。,5.共同舞弊，内部控制失效。（管理层凌驾）,共同舞弊，特别是领导干部运用职权，参与其中，情况就更为严重。目前我国会计工作中存在的假账泛滥、信息失真、秩序混乱等问题较为严重。各职能部门私设“小金库”、现金坐支现象普遍，资金管理严重失控；有些单位会计人员素质不高，无视财经纪律，或在领导的授意、指使或强令下，账外设账、隐匿收入、私分资金、弄虚作假、篡改账目、编造虚假会计报表，导致报告严重失实。,COSO对风险评估有以下要求：,原则8.组织应在评估影响其目标实现的风险时，考虑潜在的舞弊行为。相关链接：管理层凌驾与管理层干预管理层凌驾是指出于非法目的而逾越主体控制以获取个人利益，或粉饰主体业绩状况或合规情况。由于故意掩盖，越权行为通常不留记录，也不会被公开。管理层干预在处理非经常性和非常规交易或事项时是必须的，否则此类事项可能无法被恰当处理，因此，管理层干预是必要的。管理层干预通常会被记录在案，并会被公开或向相关人员披露。,根据COSO内部控制整合框架对内部控制有效性的要求，以上问题会导致其所对应的一个或多个原则不存在或未持续运行，从而导致原则所对应的要素未共同运行，最终造成内部控制缺陷。,5.2我国内部控制中存在的问题的对策,1.优化公司治理，将内部控制执行落到实处公司治理结构将为内部控制提供基本的控制环境，有效的内部控制机制以公司治理为前提，建立对企业管理当局的激励与约束的措施，公司治理是制约企业管理当局，强化内部控制的前提条件。科学设计内部机构，合理分配权责，避免机构重叠、职能交叉或缺失而造成推诿扯皮，运行效率低下。管理层应奠定认真执行内部控制的高层基调，重视员工培训，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。（参考企业内部控制应用指引第1号组织架构，企业内部控制基本规范总则）,2.培养诚信敬业的企业文化，提升人员素质企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。（参考企业内部控制基本规范总则企业内部控制应用指引第3号人力资源）,3.强化企业的风险意识，提高企业风险管理能力企业必须形成适应于企业特征的风险文化，根据风险偏好和风险反应来设计控制活动。企业应加强风险评估机制及时识别、科学分析经营活动中出现的相关风险，合理确定风险应对策略，建立一整套风险目标设定、风险识别、风险分析和风险应对的具体措施，将企业风险控制到最低。加强对经营风险和财务风险的事前预测和控制。（参考企业内部控制基本规范风险评估）,4.制定体系完善的企业内部会计控制制度,内部会计控制制度应达到具有可靠的凭证制度、完整的薄记制度、严格的核对制度、科学的预算制度、定期的资产盘点制度、适时适用的监督考核制度、合理的会计政策和规范的会计程序等不同方面的要求。单位内部会计控制制度体系的确定应当在考虑包括内部会计管理体系、会计人员岗位责任制度、财务处理程序制度、内部牵制制度、稽核制度、原始记录管理制度、定额管理制度、计量验收制度、财产清查制度、财务收支审批制度、成本核算制度，共同保证会计资料的真实性和完整性。,5.制定相关机制，遏制贪污腐败在内部控制制度设计与实施中，需要结合流程梳理企业腐败行为的潜在节点，在方法上，要注重牵制机制、举报机制、信息传递机制、查处机制、奖惩机制的应用。此外，舞弊及腐败的动机通常来自于内部环境