内控与风险评估第一章企业内部控制导论讲解

1、第一章 企业内部控制导论 教学目标 ?掌握企业内部控制的涵义 ?掌握西方内部控制的发展历程 ?熟悉内部控制整合框架阶段的特点 ?熟悉基于风险管理内部控制的特点 ?了解企业内部控制的作用 ?了解企业内部控制的分类 需要说明的几个问题 ?课程的性质、目的与任务 （1）课程性质：内部控制是研究企业内部控制理论与制度体系的建设课程。加强内部控制，对于改善企业经营管理，防止其在经营中产生弊端，保障财产安全，提高经营活动的效率和效益都具有十分重要的意义。 需要说明的几个问题 ?课程的性质、目的与任务 （2）课程目的：学习该课程，可以了解企业在财产物资管理中存在的问题，学会建立相应的内部会计控制制度，提高其

2、在企业财务会计制度方面的综合管理能力，为学习走向社会，走向市场，参加企业制度管理做准备。 （3）课程任务：让学生了解企业内部控制制度的基本理论，内部控制制度设计方法，掌握内部控制制度设计的基本原理，能够设计企业的内部控制制度，最终增强内部控制与管理的能力。 需要说明的几个问题 ?先行课程 ?（1）先行课程：会计学基础、中级财务会计、高级财务会计、财务管理学等。 ?11、考试方式与成绩评定 ?（1）考试方式：开卷，以案例分析、制度设计等作为考试的主要内容或方式，补充进行基础理论考试。 ?（2）成绩评定：平时成绩（考勤等）占 30分，案例分析主要考核其案例分析的准确性，制度设计主要考核其制度的规范

3、性、合理性、完整性等内容，根据具体情况评分（ 50分）。基础理论按照相关题型的要求评分（ 20分）。 第一节 企业内部控制概述 ?一、内部控制的含义 （一）（一）狭义内部控制 狭义的企业内部控制定义为：由企业董事会、监事会、经理层和全体员工实施的，旨在实现与财务报告有关的内部控制目标的过程。其目标主要是合理保证企业财务报告及其相关信息的真实完整。 与财务报告相关的内部控制包括以下三方面的政策和程序： 一是保存足够详细的记录，准确、公允地反映企业的交易和资产处置情况； 二是合理保证按照企业会计准则和相关会计制度编制财务报表，按要求记录交易，企业发生的收入和支出已经过管理层和董事会的授权； 三是合

4、理保证及时防止或发现未经授权的、对财务报表有重大影响的取得、使用或处置的企业资产。 （二）广义内部控制 1、内部控制是一个过程 2、内部控制需要企业全员参与 3、内部控制只能是合理保证 常见现象和需要考虑的问题：管理者滥予授权使控制形同虚设。内部控制效果受人员素质影响。人员联合舞弊。成本效益问题。 对内部控制的认识 ?（1）内部控制是一个过程 ?（2）内部控制需要企业全员参与 ?（3）内部控制只能是合理保证 百度小故事：百度小故事： 一年轻人不小心将酒店的地毯烧了三个小洞，退房时服务员说根据酒店规定，每个洞要赔偿 100元。年轻人问道：“确定是一个洞赔 100元吗？”服务员回答：“是”。于是年

5、轻人点燃烟头将三个小洞烧成一大洞。这一小故事给我们的启示是：考核标准在哪里，人们的行动就在哪里；不要光站在自己的角度订立标准；漏洞有时是致命的。 ?二、企业内部控制的作用 内部控制在经济管理和监督中主要有以下作用： （1）提高会计信息资料的正确性和可靠性 （2）保证生产和经管活动顺利进行 （3）保护企业财产的安全完整 （4）保证企业既定方针的贯彻执行 （5）为审计工作提供良好基础 ?三、企业内部控制的分类三、企业内部控制的分类 （一）根据企业组织构架，分为治理控制、管理控制和作业控制 （二）根据控制对象，分为人事控制、财务控制、会计控制、生产控制等 （三）根据控制依据，分为制度控制和预算控制

6、（四）根据控制进程和时序，分为事前控制、事中控制和事后控制 （五）根据控制范围，分为战略控制和经营控制 第二节 国外内部控制的演进历程 第二节 国外内部控制的演进历程 ?一、萌芽期内部牵制（1940年代以前） ?二、形成发展时期内部控制制度（19401970） ?三、四、兴盛期内部控制结构、内部控制整体架构（1980-2002） ?五、成熟期基于企业风险管理整合框架的内部控制（2002-） ?（一）萌芽期内部牵制（1940年代以前） ?1、基本思想：以账目间的相互核对为主要内容并实施岗位分离。 ?2、产生原因：二战后军用技术民用化导致的产能过剩以及随之而来的海外扩张和海外子公司的 成立。 ?

7、3、思想基础： （1）二个或以上的人或部门无意识地犯同样错误的机会是很小的。 （古典概率论） （2）二个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。 4、牵制类型：实物牵制、机械牵制、体制牵制和账簿牵制。 ?一、内部控制的萌芽期 -内部牵制阶段20世纪40年代前 ?（一）内部牵制的概念 ? 柯勒会计辞典指出，内部牵制是指：“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵

8、制以使每项业务能完整正确地经过规定的处理程序，而在这规定的处理程序中，内部牵制机制永远是一个不可缺少的组成部分。” ? 1936年AICPA “ 独立公共会计师对财务会计报告的审查”中也指出：内部牵制（Internal Check ）是指以提供有效的组织和经营，并防止错误和其他非法业务发生而采取的各种措施和方法。其目的是为保证公司现金和其他资产的安全，检查帐簿的准确性。 ?一、内部控制的萌芽期 -内部牵制阶段内部牵制阶段20世纪40年代前 ?（二）内部牵制基于的假设 第一、两个或两个以上的人或部门无意识地犯同样错误的机会是很小的； 第二、两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于

9、单独一个人或部门舞弊的可能性。 ?一、内部控制的萌芽期 -内部牵制阶段内部牵制阶段20世纪40年代前 ?（三）内部牵制的基本内容 第一，识别不相容职务，即对通常不能由一个人兼任的职务。 第二，合理界定不同职务的职责与权限，准确地分清责任； 第三，分离不相容职务，在进行定岗和分工时，注意将不相容职务分离开来，使其相互牵制、相互制约； 第四，必要的保障措施，如物理措施（保险柜、专用钥匙等）或技术措施（网络口令等），定期的岗位轮换等。 ?一、内部控制的萌芽期一、内部控制的萌芽期 -内部牵制阶段内部牵制阶段20世纪世纪40年代前年代前 ?（四）内部牵制的分类 第一，实物牵制实物牵制。对核心资产实行两个

10、或两个以上的人同时管理。 第二，机械牵制机械牵制。机械牵制即通过程序或流程操作机械，才能完成一定过程的操作。因此也称为程序牵制。 第三，体制牵制。即通过组织分工来实现的防弊体制。为防止错误和舞弊，对于每一项经济业务的处理，都要求有二人或二人以上共同分工负责，以相互牵制，互相制约的机制。 第四，簿记牵制。簿记牵制即原始凭证与记账凭证、会计凭证与账簿、账簿与账簿、账簿与会计报表之间核对的牵制。 ?一、内部控制的萌芽期 -内部牵制阶段20世纪40年代前 总结：值得注意的是，内部牵制主要是通过分工协作来实现对舞弊行为的监控的，无论是部门之间的相互制约还是上下级之间相互制约，往往是从某一环节或部门出发，

11、强调点 ，忽略面，局限于内部审计的原理。 ?二、形成发展时期内部控制制度（19401970） ?1、产生原因：审计的发展及审计责任的界定。 ?2、内部的分类：会计控制和管理控制 ?3、各自的特点：内部会计控制在于保护企业资产、检查会计数据的准确性和可靠性 ，内部管理控制在于提高经营效率、促使有关人员遵守既定的管理方针。 内部控制内部控制 ?二、内部控制形成发展时期-内部控制制度阶段20世纪40-70年代（2分法） 内部会计控制 内部管理控制 ?二、内部控制形成发展时期 -内部控制制度阶段内部控制制度阶段 20世纪40-70年代（2分法） ?1934年美国发布的证券交易法最早提出内部会计控制系统

12、。该法规定：证券发行人应设计并维护一套能提供合理保证的内部会计控制系统。 ?1949年，美国注册会计师协会(AICPA)的审计程序委员会，发布了一份题为内部控制，一种协调组织要素及其对管理当局和独立注册会计师的重要性的报告，该报告对内部控制提出了权威性的定义。 ?1958年，美国审计程序委员会又发布了独立审计人员评价内部控制的范围的报告，将内部控制分为内部会计控制和内部管理控制。 ?1972年，美国审计准则委员会(ASB)在审计准则公告(第1号)中，重新并且更加明确地阐述了内部会计控制和内部管理控制的定义 ?二、内部控制形成发展时期二、内部控制形成发展时期 -内部控制制度阶段内部控制制度阶段

13、20世世纪纪40-70年代（年代（2分法）分法） ? 美国审计准则委员会(ASB)对 内部会计控制和内部管理控制的定义： 内部会计控制：内部会计控制包括但不限于组织规划和所有方法和程序，这些方法和程序与财产安全和财物记录可靠性有直接的联系(财务目标)。 内部管理控制：管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。 ?二、内部控制形成发展时期 -内部控制制度阶段内部控制制度阶段 20世纪40-70年代（2分法） ? 综上所述：1、两分法未能完整地反映内部控制所涵盖的内容，也没有考虑控制环境对内部控制制度设计及实施效果的影响。2、尽管如此，这些概念的界定和

14、分类为内部控制的发展奠定了一定的理论基础，有着承上启下的作用。 ?三、四、兴盛期兴盛期内部控制结构内部控制结构和内部控制整体架构（和内部控制整体架构（1980-2002） ?三、内部控制结构阶段：三、内部控制结构阶段： ?1、产生原因：水门事件与?反国家贿赂法?的颁布 ?2、三要素：控制环境、会计制度和控制程序三个要素组成。 控制环境 会计系统 控制程序 内部控制 ?三、内部控制结构阶段20世纪80年代至90年代初（3分法） ?三、三、内部控制结构阶段内部控制结构阶段20世纪世纪80年代至年代至90年代初（年代初（3分法）分法） ?1988年美国注册会计师协会发布审计准则公告第55号，首次将控

15、制环境纳入内部控制结构首次将控制环境纳入内部控制结构，不再区分会计控制和管理控制。 ?这个公告首次以“内部控制结构”代替“内部控制制度”。明确“企业的内部控制结构”，包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。 ?三、内部控制结构阶段内部控制结构阶段20世纪80年代至90年代初（3分法） ?控制环境：是指良好的内部控制所需要的外部和内部影响因素。外部因素包括国家政策，行业法规等。内部因素主要表现在股东、董事会、经营者及其他员工对内部控制的态度和行为。 ?会计系统：规定各项经济业务的确认、计量、记录、归集、分类、分析和报告的方法。即建立企业内部会计制度。 ?控制程序：指管理当局为

16、达到控制的目标而制定的政策和程序。?三、内部控制结构阶段内部控制结构阶段20世纪80年代至90年代初（3分法） ? 内部控制结构阶段有两个特点：一是将内部控制环境纳入内部控制的范畴，二是不再区分会计控制和管理控制。 ?三、四、兴盛期兴盛期内部控制结构和内部内部控制结构和内部控制整体架构（1980-2002） ?四、内部控制整体框架 ?1、产生原因： 财务破产案例增加、审计失效与全国反欺诈性财务报告委员会（COSO）的成立。 ?2、控制主体：企业董事会、经理当局以及其他员工 ?3、三大目标：为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。 ?4、五

17、大要素：控制环境、风险评估、控制活动、信息与沟通、监控 ?5、重大突破：一是强调风险评估在内部控制中的重要作用；二是强调信息与沟通是强化内部控制的重要途径；三是强调对内部控制系统本身的监控是内部控制发挥作用的关键环节。 控制环境 风险评估 控制活动 监督 信息与沟通 四、内部控制的整体框架阶段20世纪90年代-21世纪初（5分法） ?四、四、内部控制的整体框架阶段内部控制的整体框架阶段 20世纪世纪90年代年代-21世纪世纪初（初（5分法）分法） ?（一）COSO报告 ? 1992年，美国 反对虚假财务报告委员会(National Commission on Fraudulent Report

18、ing)，所属的内部控制专门研究委员会发起机构委员会(Committee of Sponsoring Organizations of the Tread-way Commission，简称COSO委员会)，在进行专门研究后提出专题报告：内部控制一一整体架构(Internal Control 一Integrated Framework) ，也称COSO报告。这一报告已经成为内部控制领域最为权威的文献之一。 ?四、内部控制的整体框架阶段 20世纪90年代-21世纪初（5分法） ?（一）COSO报告 ?COSO报告报告对内部控制的发展所做出的贡献可以用三句话十二个字概括，那就是“一个定义、三项目标

19、、五种要素”。 ?内部控制内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由：控制环境（control environment）；风险评估（risk assessment）；控制活动（control activities）；信息与沟通（information and communication）；监督（monitoring）五个要素构成。 ?四、四、内部控制的整体框架阶段内部控制的整体框架阶段 20世纪世纪90年代年代-21世世纪初（纪初（5分法）分法） ?（一）COSO报告 图11 COSO内部

20、控制框架 ?四、内部控制的整体框架阶段内部控制的整体框架阶段 20世纪90年代-21世纪初（5分法） ?（一）COSO报告 ?控制环境：主要指企业内部的文化、价值观、组织结构、管理理念和风格等。 ?风险评估：是指识别和分析与实现目标相关的风险，并采取相应的行动措施加以控制。这一过程包括风险识别和风险分析两个部分。 ?控制活动控制活动：是指企业对所确认的风险采取必要的措施，以保证企业目标得以实现的政策和程序。 ?信息与沟通：是指为了使管理者和员工能执行其职责，企业各个部门及员工之间必须沟通与交流相关的信息。 ?监督：是指评价内部控制的质量，也就是评价内部控制制度的设计与执行情况，包括日常的监督活

21、动、内部审计等。 ?四、四、内部控制的整体框架阶段内部控制的整体框架阶段 20世纪世纪90年代年代-21世世纪初（5分法） ?（一）COSO报告 ?COSO框架将内部控制要素以一个金字塔结构提出 图1-2 COSO框架五要素图 ?（五）成熟期基于企业风险管理整合框架的内部控制（2002-） ?1、产生原因：（1）衍生金融工具的产生和企业风险加大；（2）系列财务舞弊（安然、世通、施乐、默克等）的爆发；（ 3）萨班斯-奥克斯利法案-SOX。 ?2、控制主体：整个企业主体、各职能部门、各业务单元及下属各子公司 ?3、四大目标：战略风险、经营目标、报告目标和合规目标 ?4、八大要素：内部环境、目标设定

22、、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。 ?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法） 2001年11月下旬，美国最大的能源企业安然公司承认自1997年以来，通过非法手段虚报利润5.86亿美元；在与关联公司内部交易中，不断隐藏债务和损失，管理层从中非法获益。消息传出，立刻引起美国金融市场的巨大动荡。安然股价从近90美元跌至不足1美元，许多中小投资者损失惨重。自安然公司财务欺诈行为被揭露以来，美国大公司会计丑闻频频曝光，投资者信心连遭打击，美国股市因此受到重创，主要股指一度跌至9?11恐怖袭击事件以来的最低水平。世界通信这只技术股中闪耀的明星，也被

23、逐出纳斯达克市场。美国魏斯评级公司在调查了7000家公司发布的财务报告后认为，有多达1/3的美国上市公司不同程度存在捏造盈利的问题，信用危机震惊华尔街。美国布鲁金斯学会一项研究认为，会计丑闻使2002年美国经济损失了约370-420亿美元。假帐丑闻使投资者对美国资本市场和会计公司的职业道德失去了信心。因此，加强金融监管以恢复投资者信心已成为当时美国国会、政府和公众的一致呼声。 ?五、风险管理阶段（企业风险管理整合框架阶段）五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（世纪以后（8分法）分法） 一系列公司假账丑闻的发生，已经不是个别公司的问题，而是美国公司制度的缺陷。这个缺陷主要

24、表现在公司治理结构的不平衡和外部监督的缺失。 1、在公司治理结构上，对经营管理者的监督不力是造成假账丑闻的重要原因之一。 2、在公司外部监督上，外部审计对上市公司信息披露的监督功能严重缺失。 ?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法） ?（二）萨班斯法案 “萨班斯-奥克斯利法案”正是这一背景下的产物。其主要内容以维护广大投资者利益为宗旨，对惩治公司财务欺诈、规范企业行为和加强资本市场监管作出了规定。 ?“萨班斯-奥克斯利法案”的主要内容： ?1、明确了公司管理层的责任 ?2、加强了会计监管 ?3、完善了公司审计制度 ?4、强化上市公司信息披露的监控 ?5、突出了舞

25、弊防范 ?6、严厉了法律制裁 ?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法） ?（二）萨班斯法案 ?1、明确了公司管理层的责任 第一、对披露报告真实、全面、准确负责。 第二、对内部控制体系设计、建立、运行有效负责。 ?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法） ?（二）萨班斯法案 ?2、加强了会计监管 第一、美国证券交易委员会（SEC）设立独立的上市公司会计监管委员会来监督会计行业。 第二、给美国证券交易委员会增加新资金用来对违规行为进行调查、提高员工待遇和升级电脑技术。 ?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分

26、法） ?（二）萨班斯法案 ?3、完善了公司审计制度 第一、内部审计制度的完善。要求所有的上市公司都必须设立审计委员会，该委员会的成员必须全部是“独立董事”。 第二、外部审计监管的强化。禁止上市公司的独立审计人员同时向该上市公司提供包括保管财务数据、设计和执行财务信息制度、资产评估或估价服务等与审计无关的法律或其他专业服务在内的服务业务。 ?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法） ?（二）萨班斯法案 ?4、强化上市公司信息披露的监控 SEC对上市公司信息披露审查权得到了加强。SEC将要求上市公司达到所谓的“永久性”信息披露要求，即SEC必须在三年期限内对每个上市公

27、司提交的信息披露进行审查，并做出审查结论。 ?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法） ?（二）萨班斯法案 ?5、突出了舞弊防范 法案对欺诈和舞弊防范措施作了强制规定，要求建立“反舞弊程序和控制”并要求每年进行评估，把发现高层管理人员任何程度上的舞弊行为判定为内部控制无效。 该法案第406条要求SEC制定相关规则，规定每个上市公司必须在其递交给SEC的定期报告的同时披露该公司是否已经制定了适用于高层财务人员的“道德法典”。“道德法典”必须包括以下内容：（a）诚实、道德的行为，包括私人利益与企业利益发生明显冲突时的道德准则；（b）在公众公司提交的报告中应包括充分、公

28、正、准确、及时和易懂的信息披露；（c）要遵守政府的有关法律法规。 ?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法） ?（二）萨班斯法案 ?6、严厉了法律制裁 第一、董事和高层管理人员须返还因公司虚假报表取得的激励性报酬和买卖股票收益。 第二、对于违反财务报表披露要求的行为，个人的处罚额提高到100万美元，并可同时判处的监禁期限延长到10年，对恣意违反财务报表披露要求的公司主管处罚额高达500万美元，并可判处高达25年的监禁。 ?五、风险管理阶段（企业风险管理整合框架阶段）五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法）分法） ?（二）萨班斯法案 另

29、外，按法案要求，2003年6月5日美国证券交易委员会（SEC）颁布了的（最终条例） (Final Rule)作为萨-奥法案的执行细则。2004年3月9日，美国上市公司会计监管委员会（PCAOB）最终确定了内部控制（审计标准）作为404条款的审计细则。（最终条例）（审计标准）均明确提到内部控制框架可以作为企业内部控制体系建立的标准。 ?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法） ?（二）萨班斯法案 PCAOB最终确定的（审计标准）规定管理层的总体责任包括： 1、管理层必须记录与所有重要财务报表会计科目和披露事项之相关认定有关的内控设计； 2、管理层必须测试与所有重要财

30、务报表会计科目和披露事项之相关认定有关的内控，而且测试应当涵盖内部控制的全部要素。 3、管理层必须执行适当程序以获得充分的证据并保留相关记录，来支持其对于公司内部控制的有效性实施的评估。 4、管理层对内部控制实施评估是公司内部控制的一部分，它代表了公司监督内控的一个重要方面。可以使用内部审计师、公司其他人员和第三方协助其进行评估工作但不能将其对公司内部控制进行评估的责任委派给外部审计师或其它任何第三方。 5、如果发现了一个或多个严重不合格（Material Weakness），管理层就不能认定公司的内部控制是有效的。 6、404条款管理层报告必须披露所有严重不合格（Material Weakn

31、ess）。 ?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法） ?（三）风险管理整合框架 2004年10月，COSO委员会对内部控制一一整体架构(Internal Control一Integrated Framework)做了进一步的延伸和扩展，提出了企业风险管理整合框架（(Enterprise Risk Management一Integrated Framework)。 企业风险管理架构是在1992年COSO报告的基础上，结合萨班斯-奥克斯法案在财务报告方面的要求，进行的扩展研究。 ?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法） ?（三）风险管

32、理整合框架 ?1、定义： COSO对风险管理框架的定义是：“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理的保证”。 ?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法） ?（三）风险管理整合框架 ?2、全面风险管理框架： 图1-3 全面风险管理框架 ?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法） ?（三）风险管理整合框架 ?3、与内部控制整体架构的比较： （1）提出了一个新的观念 风险组合观 （

33、2）增加了一类目标战略目标，并扩大了报告目标的范畴 （3）提出了两个新概念“ 风险偏好”和“风险容忍度” （4）增加了三个风险管理要素，对其他要素的分析更?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法） ?（三）风险管理整合框架 ?3、与内部控制整体架构的比较： ?（1）提出了一个新的观念风险组合观 企业风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。 ?五、风险管理阶段（企业风险管理整合框架阶段） -21世纪以后（8分法） ?（三）风险管理整合框架 ?3、与内部控制整体架构的比较： ?（2）提出了两个新概念“ 风险偏好”和“风险容忍度” 风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的