第三讲内部控制制度设计原理

1、第三讲 内部控制制度设计原理1企业的一切管理工作都必须从建立健全内部控制制度开始企业的一切活动都必须置于内部控制制度之下企业的一切内部控制制度都必须有效且得到认真执行一、内部控制制度设计的理念基础2伊梅尔特认为：他不需要一个新的法律（SOX）来告诉他什么不该做。因为他自己及公司的标准不会使其逾越法律。对人性的基本估计对人性的基本估计自觉正直非自觉正直非正直巴林投资银行前总裁彼得诺里斯引咎辞职，闭门思过。他对巴林事件的总结是：最基本的一条，就是不要想当然认为所有员工都是正直的，诚实的，这就是人类本性的可悲处。巴林银行信奉的哲学是：雇员都是值得信赖的，都信奉巴林银行的文化，都会自觉地把公司利益铭记

2、在心。而巴林事件告诉我们，里森在服务期间从未诚实。诺里斯告诫所有金融结构的管理当局，要从里森身上吸取教训，充分意识到用人的风险。3前车可鉴：巴林银行的教训前车可鉴：巴林银行的教训企业舞弊理论1，关于冰山理论：压力、机会、借口2，GONE理论贪婪、机会、需要、事后暴露。内部控制是防止企业舞弊发生的最有效方法。4冰山理论压力、机会及借口参见中国注册会计师审计准则第中国注册会计师审计准则第1141 号号财务报表财务报表审计中对舞弊的考虑审计中对舞弊的考虑 56GONE理论理论 “You can consider your money for GONE”组织因素分析组织因素分析1.特征特征对任一从属于

3、组织的个人或群体具有相对稳定的影响；多数渗透在组织或对个体的控制之中以自我防护；基本不受潜在犯罪人的控制；在给定的环境下，对所有的人起同等作用；其制定和操作由组织控制，一般与任个人的影响无关；不受雇员流动变化的影响。2两类风险要素两类风险要素为潜在犯罪人创造舞弊机会的组织风险（O风险）；能否揭露欺诈的组织风险（E风险）；对揭露的舞弊进行惩罚的性质和范围，即惩罚是当事人可接受的还是难以接受的组织风险。（E风险）；E风险是2个要素的产物： E1：揭露的概率； E2：事件的处理。3O风险的控制风险的控制O风险属于不可完全消除之风险，防范和控制O风险的措施：对每一雇员确定相应的最大限度“舞弊机会水平”

4、（可容水平）。严禁“灾难性”机会水平。4E风险的控制风险的控制揭露欺诈的概率揭露欺诈的概率有赖于内部控制制度。舞弊惩罚的性质和范围仅仅揭露欺诈对遏制潜在的欺诈是不够的，惩罚必须形成一种威慑，使当事人蒙受的机会成本远大于因欺诈可能得到的机会收益。7个人因素分析个人因素分析据FBI统计，80年代初，美国仅计算机欺诈而使银行蒙受的损失10倍于同期因抢劫所受损失；至1985年，欺诈造成的损失26倍于抢劫造成的损失。许多专家的研究得出了一个难以置信的结论：最具威胁的欺诈来自企业内部。据美国和加拿大的估计：1/3的企业员工具有不同程度（性质）的盗窃企业资产行为；以零售企业为例，30%的损失来自顾客行窃，7

5、0%为员工所偷盗。安永2002年全球反欺诈调查：谁是企业的欺诈者？82001年为1/39企业欺诈威胁的渊源企业欺诈威胁的渊源管理层是财务欺诈的主要渊源10据COSO1999年的统计,83%的财务欺诈案是CEO和CFO的杰作直接效应：避免税前亏损以抬高股价深层动机：公司管理层及董事会成员平均拥有公司股票的32%利益一致的设计初衷产生的是损公肥私的结果舞弊理论带来的思考11世上本无所谓最好的制度安排制度的设计就取决于企业的控制哲学西方哲学强调“性本恶”，制度设计旨在“惩恶”，即使十恶不赦者亦无机可趁：“零容忍”（Zero tolerance）原则中国的类似观念：“防家贼”控制制度设计的前提：假定“

6、家贼”想“投机”，想“冒险”，想钻空子“骗钱”，想“捞一把”，而非基于信任，假定“家贼”会“出于公心，谋求企业利益最大控制设计越严密，对家贼的诱惑和提供舞弊的机会就越小，才能做到把人们的潜在犯罪冲动，封杀在头脑的“黑箱”中。控制成本既包括对控制本身的投入，也包括控制引起的可能成本（如流程环节增加，时间延长等）控制未必真正影响企业获利的效率，如果时间不能带来直接利益，时间就不是效率内部控制制度的局限性 两种错误两种错误制度性错误：因制度设计错误而引起的差错。人为错误：与制度设计无关纯粹因人为因素而产生的错误。分2类： 善意错误：恶意错误：蓄意破坏、对抗设计良好的控制制度。 善意人为错误善意人为错

7、误管理层或其他员工因信息不充分，时间限制或其他流程问题，业务决策和判断失误；对工作指令理解错误，疏忽懈怠，精力不集中，疲劳或岗位调动等原因导致控制失效；环境变化的不确定性及设计与运行实际偏差的不确定性；成本与收益的考虑 12 人为的蓄意破坏人为的蓄意破坏蓄意破坏的类别：串通、勾结；管理当局凌驾于控制制度之上。二、内部控制制度设计的基本原则整体结构原则相互牵制原则协调配合原则程式定位原则 成本效益原则 13（一）整体结构原则企业内部控制系统，必须包括控制环境、风险评估、控制活动、信息与沟通、监督五项要素，并覆盖各项业务和部门。换言之，各项控制要素、各业务循环或部门的子控制系统，必须有机构成为企业

8、内部控制的整体架构。这就要求，各子系统的具体控制目标，必须对应整体控制系统的一般目标。 141、内部控制制度设计的整体架构152、整体架构六大模块模块一：组织结构和授权控制制模块一：组织结构和授权控制制度度 渗透性制度，与所有制度有关，是企业内部管理控制系统的基础。其功能为权力和责任的分配及权力平衡的制度安排。模块二，预算控制和质量控制制度模块二，预算控制和质量控制制度企业控制制度的核心，与所有制度和行为有关，是企业经营活动价值控制的起点。其功能为，可从资源投入角度在第一时点控制全部业务活动的开展与资源的投入，并保证其品质。 162、整体架构六大模块（续）模块三：模块三：ITIT环境下的信息系

9、统环境下的信息系统u与保护财产安全之企业会计责任及会计记录可靠性与保护财产安全之企业会计责任及会计记录可靠性有关的组织、计划、程序、方法。是企业所有业务有关的组织、计划、程序、方法。是企业所有业务活动之价值结果的终点。活动之价值结果的终点。u设计完善的会计制度至少应包括如下因素：u严格分工授权u规范的会计政策和会计处理程序u严格的核准制度u帐户体系u凭证帐簿制度u独立稽核172、整体架构六大模块（续）模块四，流程控制模块四，流程控制流程控制是组织的控制思想、控制程序和业务活动三位一体的集成。以流程形式将全部业务活动装入分工牵制的制度化组织过程，确保企业的控制思想和控制程序落实到全部具体的业务过

10、程。 核心要件：流程设计；流程环节的权限分割模块五，业务循环控制模块五，业务循环控制内部控制的对象，内部控制的动态表现形式内部控制制度结构的前4个要素均以各交易循环的各项交易或业务行为为落实对象： 1.构成各交易控制制度的要素（如授权，批准，流程）；2.制约交易活动（预算控制）；3.规范交易活动（会计管理）。业务循环控制制度的功能，是为实现企业资源运用最优化的目标提供制度保证。 182、整体架构六大模块（续）模块六，内部审计模块六，内部审计内部控制制度的组成部分，对全部控制制度的设计和执行过程以及执行结果进行监督检查。处于公司治理层次。完整意义的内部审计制度应包括：1.隶属审计委员会的专门机构

11、2.提出增强内部控制效用的建议；3.强调对制度本身及对制度遵循情况的评价； 4.强调对企业资源综合运用的效率、效果和效益的评价 5.检查、评价企业既定经营目标和方针的执行情况 19（二）相互牵制原则相互牵制原则，是指一项完整的经济业务活动，必须分配给具有互相制约关系的两个或两个以上的职位，分别完成。即在横向关系上，至少要由彼此独立的两个部门或人员办理以使该部门或人员的工作接受另一个部门或人员的检查和制约;在纵向关系上，至少要经过互不隶属的两个或两个以上的岗位和环节，以使下级受上级监督，上级受下级牵制。其理论根据是在相互牵制的关系下，几个人发生同一错弊而不被发现的概率，是每个人发生该项错弊的概率

12、的连乘积，因而将降低误差率。需要分离的职责，主要是:授权、执行、记录、保管、核对。 20（三）协调配合原则协调配合原则，是指在各项经营管理活动中，各部门或人员必须相互配合，各岗位和环节都应协调同步，各项业务程序和办理手续需要紧密街接，从而避免扯皮和脱节现象，减少矛盾和内耗，以保证经营管理活动的连续性和有效性。协调配合原则，是对相互牵制原则的深化和补充。贯彻这一原则，尤其要求避免只管牵制错弊而不顾办事效率的机械做法，而必须做到既相互牵制又相互协调，从而在保证质量提高效率的前提下完成经营任务。 21（四）程式定位原则程式定位原则，是指企业单位应该根据各岗位业务性质和人员要求，相应地赋予作业任务和职

13、责权限，规定操作规程和处理手续，明确纪律规则和检查标准，以使职、责、权、利相结合。岗位工作程式化，要求做到事事有人管，人人有专职，办事有标准，工作有检查，以此定奖罚，以增加每个人的事业心和责任感，提高工作质量和效率。 22（五）成本效益原则贯彻成本效益原则，即要求企业力争以最小的控制成本取得最 大的控制效果。因此，在实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比例，也就是说，因实行内部控制所花费的代价不能超过由此而获得的效益，否则应舍弃该控制措施。 23三、内部控制制度设计的步骤确定控制目标整合控制流程识别控制环节确定控制措施24（一）确定控制目标内部控制的四项基本目标: (1

14、)战略目标。 (2)经营目标。 (3)报告目标。 (4)合规目标。 需要指出的是，以上四项目标均为基本目标或一般目标。在每项基本控制目标下，还可细化为若干具体控制目标。 25（二）整合控制流程 控制流程，是依次贯穿于某项业务活动始终的基本控制步骤及相应环节。控制流程，通常同业务流程相吻合，主要由控制点组成。当企业的业务流程存在控制缺陷时，则需要根据控制目标和控制原则加以整合。 26项目、组织和流程之间的关系27组织项目流程项目是指在既定的资源和要求的约束下，为实现某种目的而相互联系 的一次性工作任务。组织是指具有共同行动目标的人类群体。流程是指企业经营过程的一个阶段，由若干项作业组成，而作业由若干项任务组成。（三）识别控制环节实现控制目标，主要是控制容易发生偏差的业务环节。这些可能发生错弊因而需要控制的业务环节，通常称为控制环节或控