音频完毕-mpacc2015内控讲义

企业内部控制

理论与实务

中南财经政法大学沈烈教授

讲授人：沈烈

男

52岁教授、博士生导师

CPA、中国注册税务师

现代企业内部控制研究所所长湖北省会计学会常务理事、武汉市会计学会常务理事、湖北省总会计师协会理事、湖北省审计学会理事、湖北省会计准则咨询专家、财政部中南地区内部控制咨询专家、湖北省国资委总会计师考核委员会委员、湖北省会计高级技术职务评委、教育部国家级精品课程终评会评委.第一部分加强企业内部控制的必要性与紧迫性第二部分《企业内部控制规范》的主要特点第三部分企业内部控制的观念碰撞与误区辨析第四部分企业内部控制建设思路与典型案例分析

第一部分加强企业内部控制的必要性与紧迫性

为什么要大张旗鼓搞企业内部控制为什么要大张旗鼓搞企业内部控制？企业生存发展壮大之需资本市场秩序维护与发展之需经济与社会健康、持续发展之经济国际浸透与融合之需

令人心有余悸的金融风暴企业寿命统计表企业类型平均寿命国际跨国公司40中国----走出去20中国----一般10中国----民营企业2.9第二部分《企业内部控制规范》

的主要特点一、发布二、实施范围与基本要求三、主要特点一、企业内部控制规范的发布《企业内部控制基本规范》

已2008年5月22日正式发布；《企业内部控制配套指引》（20项）于2010年4月26日正式发布。企业内部控制规范的框架体系企业内部控制基本规范企业内部控配套指引企业内部控制应用指引（18项）企业内部控制评价指引（1项）企业内部控制审计指引（1项）企业内部控制指引解读（讲解）

二、实施范围与要求《企业内部控制基本规范》要求自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。《企业内部控制配套指引》的实施范围和要求：2011年1月1日起-----在境内外同时上市的公司施行；2012年1月1日起-----在上交所和深交所主板上市的公司施行；（后改为分类分批实施）在此基础上，择机在中小板和创业板上市公司施行；鼓励非上市大中型企业提前执行。执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。上市公司聘请的会计师事务所应当具有证券、期货业务资格。非上市大中型企业聘请的会计师事务所不要求一定具备证券、期货业务资格。三、主要特点（一）涵盖范围广泛（二）融入全新理念（三）务实可行有效（四）地位影响特殊（二）融入全新理念由制约观念到发展观念；由结果控制到过程控制；由执行层面到决策层面；由会计控制到综合控制；(由查错防弊到全面风控）由借鉴国际到自主创新；由条块分割到一体化推进；由强制遵循到内化融合；由宽松披露到双重评价。换句话说，该规范体系全面吸收了世界领域的先进观念与研究成果，充分体现了基本规范中的“四个五”的要求，真正将我国企业内部控制规范提高到了一个新的高度。五个全（全方位、全时限、全过程、全方法和全人员）第三部分企业内部控制的观念碰

撞与误区辨析

完整的“内部控制”是一个什么概念？

“规范”第三条讲：

本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

一、关于内部控制的目标二、关于内部控制的时空范围三、关于内部控制的主客体四、关于内部控制的现实可行性五、关于内部控制建设过程六、关于内部控制要素七、关于内部控制的方法八、关于内部控制与风险管理九、关于内部控制的效用一、关于内部控制的目标目标决定策略、规划和行动传统观念：三大目标（1）保护资产的安全完整（2）保证会计信息的质量（3）确保有关法律法规和规章制度的贯彻执行

新的观念：四大主要目标

1）战略目标。即合理保证企业发展战略的合理性。

2）经营目标。即合理保证企业经营的有效性和效率。

3）报告目标。

即合理保证企业报告的有效性。

4）合法性目标。

即合理保证企业的生产经营活动符合相关的法律和法规。

我国“企业内部控制基本规范”

（财政部、证监会、审计署、银监会、保监会

2008.5.22联合发布，2009.7.1先在上市公司施行)内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。即将“资产安全”单独突出出来，形成第五大目标二、关于内部控制的时空范围传统观念或误区：

1）空间上是对会计、审计所涉范围的控制

2）时间上是对事中和事后的控制新的观念与认识：

1）空间上－－是全方位的

2）时间上－－是全时限的

事前、事中、事后

误区原因三、关于内部控制的现实可行性误解：高深莫测、难以驾驭、难以实施、难有作为正解：－－局部确有难度、有反复、但总体上完全能够驾驭

－－内部控制实际就在我们身边，

只要我们有心，就可为，且大有可为常见的内控现象财经重地，非请莫入库房重地，闲人免进请你签字（或留下指纹）请输入你的密码一支笔一人为私，二人为公令人不爽的告示牌令人烦恼的手续令人熟悉的说法和作法四、关于内部控制的主客体传统观念或误区：1）主体－－管理层、会计与审计人员2）客体－－各项能以货币计量的经济活动新的观念与认识：1）主体－－企业董事会、监事会、经理层和全体员工2）客体－－与实现控制目标有关的所有活动“基本规范”的相关规定：第十二条董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。

企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。

企业应当建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。安监局新规五、关于内部控制建设的过程误解：是静止的、一劳永逸正解：是一个动态的、与时俱进的、不断总结与完善的过程从大的来说，内部控制发展经历的五个发展阶段就是例证从小的来说，每一个控制点的控制举措也需在不断碰撞中修正下面给大家讲一个故事内部控制产生与发展的五个阶段六、关于内部控制的要素误区：1）我国坚持的是传统的五要素

2）COSO主张的八要素较之我国的五要素先进辨析：

1）我国内部控制的现状就连五要素都不具备

2）我国08年5月发布的“基本规范”中的五要素实际上与COSO的八要素实质相同我国内部控制的要素－－五要素《企业内部控制基本规范》第五条：企业建立与实施有效的内部控制，应当包括下列要素：

（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化、法制观念等。广深供水公司所宣导的“诚信、廉洁、效益”、“安全、高效、造福粤港”以及“政治水、经济水、生命水”的企业核心理念就是独特的企业文化表现社会责任定位

（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

控制对象---目标设定----风险识别（有不有？是什么样的？）---风险测度---风险应对（态度与策略）

（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。（建立反舞弊机制和举报制度）“所有的权力在系统中实现,所有的交易在系统中运行,所有的资源在系统中受控”

（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。五大要素的关系

控制环境为基础，风险评估为依据，控制活动为手段（抓手），信息与沟通为载体（条件），内部监督为保证《企业风险管理框架》报告中认为风险管理包括八个组成要素:①内部环境②目标设定③事件识别④风险评估⑤风险对策⑥控制活动⑦信息与沟通⑧监督。七、关于内部控制的方法误区：运用好一两个重要的方法即可，其他方法可有可无正解：1）内部控制的方法是一个体系，每个方法均有其优点和局限性，内部控制目标的实现依赖于方法的联合运用、取长补短

2）风险控制是内部控制方法的基础和灵魂、是贯穿内部控制活动的主线（调）内部控制的常用方法

1、分权控制2、授权批准控制（应急反应机制）3、会计系统控制4、岗位轮换控制5、实物控制6、预算控制7、内部报告控制

8、电子信息技术控制

9、内部审计控制

10、运营分析控制

11、绩效考证控制

12、档案管理控制

…

思考：要求矿长带队下井是什么控制方法？各自功能有别，适用对象各异、产生效果不尽相同，不能指望其中一两个方法实现全覆盖，必须借助它们的联合效应，进行多层面、多支撑、流程化和规范化控制。

周久耕事件曝光？法律控制？借力控制？文化控制？舆论控制？八、关于内部控制与风险管理传统观念或误区：

1）风险是恶魔，意味着损失和灾难

2）风险管理就是控制风险，控制风险就是识别并回避风险（或实现风险最小化）

3）风险管理的范围是企业的重大财务与经营事项

4）风险管理是内部控制的方法之一

新的观念与认识：广义的风险是指事项预期结果的不确定性，既包括具负面效应的不确定性，同时也包括具正面效应的不确定性。风险无处不在，无所不有，客观存在于大小现存的和潜在的事项之中。风险存在明显在不同时空条件下其程度不同，有时可相互转化。狭义的风险主要指事项具负面效应的不确定性。但其不等于就是恶魔、损失和灾难。风险有别于“危险”，危险专指高负面效应，风险概念比危险广泛，危险是风险的一部分。内部控制的风险管理更倾向于狭义的风险管理风险管理针对企业所有对控制目标实现有影响的事项，而非局限于重大的财务和经营事项风险控制不是一味地回避风险，或一味追求风险最小化的过程，而是一个在特定环境中通过设定目标、识别风险、应对风险，将风险控制在自己可承受的范围的过程风险应对的策略－－或回避、或降低、或分担和或承受风险送孩子上学的风险控制内部控制与风险管理的关系COSO认为内部控制与风险管理的关系是：内部控制是企业风险管理不可分割的部分。风险管理涵盖了内部控制，但并不是对内部控制框架的取代。但我国理论界与实务界并不完全接受。较为普遍认同的看法：现代内部控制即是以风险管理为主线、为主调或导向的控制过程，无所谓谁涵盖谁，谁包容谁的问题。九、关于内部控制的效用误区：其一，内部控制是灵丹妙药，无所不能其二，内部控制无用论正确的思想态度：既非“仙丹”亦非“花瓶”，风险管理和内部控制仅对目标实现提供合理保证，无法提供绝对保障。（交通护栏的启示）风险管理和内部控制过程，可能会受到客观和主观的、外部的和内部的、可预知的和不可预知的因素的干扰，使其管理与控制效果难以达到预期，对此必须有足够的思想和行动上准备。（执行监督，十分钟的悲剧）贵在坚持把一切平凡的事做好即不平凡，把一切简单的事做对即不简单。设计是有基础的，而基础可能会有变化好的设计，执行不坚决、不彻底、不协调，一样会出问题

这些因素可能是：管控本身的设计缺陷；主观体的串通作弊；主体本身的能力不济；控制客体的复杂性；等

所以并不是一管就成，一控就灵，而是一个曲折、充满艰辛，饱尝失败的过程。内部控制和风险管理贵在不断的总结和咬着牙的坚持。要坚信一点，不是每一次的努力都能成功，但坚持投入了终归总会有回报，而且是大于付出的回报。

二战胜利后，当时英国的首相丘吉尔被请到剑桥大学发表演讲，他只讲了一句话：永远，永远，永远不要