内部控制与内部审计培训

内部控制与内部审计张勇贵州财经大学教授博士硕士生导师计划财务处处长zhangy@9/22/20231内部控制与内部审计内容框架内部控制概念的演变1内部控制的目标、要素及局限性2内部控制的最新动态3内部审计定位与功能4内部审计发展趋势59/22/20232内部控制与内部审计开篇案例：内部控制的重要作用据KPMG2006年的欺诈识别手段调查显示，内部控制是企业领导者识别内部欺诈行为最重要的手段，占所有重大欺诈案件的38％。9/22/20233内部控制与内部审计“内部控制能够帮助我们绕过途中的陷阱，到达目的地。”——MOTOROLA总裁加利·吐克“公司失败都是由内部控制的失败引起的。”——英国银行主任AdrianCadbury爵士开篇案例：内部控制的重要作用9/22/20234内部控制与内部审计内部控制概念的演变大致可划分为四个历史阶段：内部牵制：上世纪40年代前内部控制制度：上世纪40年代末至80年代内部控制结构：上世纪80年代至90年代内部控制整体框架：上世纪90年代之后1内部控制概念的演变9/22/20235内部控制与内部审计1.1内部牵制（上世纪40年代前）内部牵制的基本设想：两个或两个以上的人或部门无意识地犯同样错误要比单独一个人或部门犯错误的机会小；两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。实践证明这些设想是合理的，内部牵制机制确实能有效地减少了错误和舞弊行为，因此在现代的内部控制理论中，内部牵制仍占有相当重要的地位。9/22/20236内部控制与内部审计1.2内部控制制度（上世纪40年代末至80年代）1949年，美国会计师协会的审计程序委员会在《内部控制——协调组织要素及其对管理当局和独立职业会计师的重要性》的报告中，对内部控制首次作了定义：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。”1958年10月，审计程序委员会发布了《审计程序公告第29号》，对内部控制定义重新进行了表述，将内部控制划分为内部会计控制内部管理控制9/22/20237内部控制与内部审计1.3内部控制结构（上世纪80年代至90年代）1988年，美国注册会计师协会发布《审计准则公告第55号》（SAS55）。该公告首次以“内部控制结构”代替“内部控制”：“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”。内部控制结构具体包括三个要素控制环境会计系统控制程序9/22/20238内部控制与内部审计1.4内部控制整体框架（上世纪90年代之后）1992年，美国“反对虚假财务报告委员会”（即Treadway委员会）下属的由美国会计学会(AAA)、注册会计师协会(AICPA)、国际内部审计人员协会(IIA)、财务经理协会(FEI)和管理会计学会(IMA)等组织参与的“发起组织委员会(CommitteeofSponsoringOrganizations，简称COSO)”发布了“内部控制整体框架(InternalControl-IntegratedFramework)”报告，即“COSO报告”，该报告对内部控制作了权威定义：内部控制是由企业的董事会、管理当局及其他人员为达到财务报告的可靠性、经营活动的效率性和效果性、相关法律法规得以遵循等三个目标而提供合理保证的过程。9/22/20239内部控制与内部审计2内部控制的目标、要素及其局限性2.1内部控制的目标根据COSO《内部控制整体框架》，内部控制的目标包括：财务目标：保证财务报告的可靠性；经营目标：保证经营活动的效率性和效果性；遵循目标：保证相关法律法规得以遵循。9/22/202310内部控制与内部审计2.2内部控制的要素根据COSO《内部控制整体框架》，内部控制系统由控制环境、风险评估、控制活动、信息与沟通、监督五个要素构成。（如图1-1所示）2内部控制的目标、要素及其局限性9/22/202311内部控制与内部审计图1-1内部控制要素信息与沟通控制环境风险评估控制活动监控

COSO内控要素9/22/202312内部控制与内部审计2.2.1控制环境信息与沟通控制环境风险评估控制活动监控控制环境：构成一个组织的氛围，是其他内部控制要素的基础；是任何企业的核心，是企业的人以及它所处的环境；是推动企业的引擎，也是其他要素的基础。图1-2控制环境9/22/202313内部控制与内部审计控制环境（ControlEnvironment)反映单位最高管理部门，董事和所有者对控制及其重要性的态度的各种行为，政策和措施。包括正直和诚信的道德价值观胜任能力承诺董事会或审计委员会管理哲学与经营风格组织结构职责与权限分配人力资源政策2.2.1控制环境9/22/202314内部控制与内部审计正直和诚实的道德价值观人员正直、诚信的道德品质是内部控制效果的一个决定性因素。思科第四任CFO——DennisPowell曾说，“实施SOX法案确有必要。它实际上是要求我们建立一个完整的控制体系。但另一方面，我不相信能够对财务诚信进行立法，诚信必须根植于企业文化，必须从新员工上班第一天起，使他们认识到诚实是他们工作的核心之一”。9/22/202315内部控制与内部审计胜任能力承诺胜任能力是一个人完成工作任务所必须具备的知识和技能。员工素质对于内控制度的执行相当重要，有些企业内部控制制度很完善，但缺乏相应素质的员工来执行，同样会遇到很多问题。若组织中缺乏对员工培训的关注和预算，将减少管理者的胜任能力承诺。9/22/202316内部控制与内部审计董事会或审计委员会国内外大量研究的结果证实：设有审计委员会的公司比没设审计委员会的公司更少发生财务欺诈、财务报告的可信度更高、更少发生财务重述；而审计委员会的独立性越高，即审计委员会中独立董事所占比例越高，财务报告的可信度也就越高。因此，在董事会中拥有一定数量的独立董事是有必要的，SOX法案也要求审计委员会的成员是独立的。9/22/202317内部控制与内部审计案例：董事会或审计委员会的重要性郑州亚细亚集团公司的注册时间是1993年10月，但直到1995年6月才最后确立。在近两年的时间里，集团公司决策层一直处于不断演变的状态之中，没有按章程规范化运作，董事会从没召集董事们就重大决策进行过表决，凡事都有总经理王某一人拍板，董事会形同虚设。这样的控制环境下，郑州亚细亚集团的没落是毫不奇怪的。9/22/202318内部控制与内部审计管理哲学与经营风格管理层的管理哲学与经营风格深深地影响着内部控制的成效。包括：企业接受风险的程度；关键岗位的人员轮换；管理层的态度对财务报告的态度。9/22/202319内部控制与内部审计管理哲学与经营风格审计署对23家企业的调查结果％金额（亿元）资产不实10.39%负债不实7.89%利润不实38.87其中：虚报94.98%36.92

隐瞒52.89%20.53

潜亏92.77%36.069/22/202320内部控制与内部审计管理哲学与经营风格【案例】张瑞敏的管理哲学与经营风格“名牌战略”理念：“有缺陷的产品就是废品”；“向服务要市场”理念：“电话铃响一遍有人接”；“创造市场”理念：可洗红薯的洗衣机；“要么不干、要干就争第一”理念:每一种产品市场份额前3名；“人人是人才”理念：“赛马不相马”的用人机制9/22/202321内部控制与内部审计组织结构组织结构是指为单位活动提供计划、执行、控制和监督职能的整体框架。组织结构设计有2个限制：少一个不行，多一个冗余；部门功能必须是线型的，而非拦截的。组织设计合理的三个问题：所有的事是否都有人做？行为者是否充分授权行事？所有行为是否有人承担责任？（“7.23”甬温线特别重大铁路交通事故上海铁路局局长龙京、党委书记李嘉、分管工务电务的副局长何胜利予以免职，并进行调查。）9/22/202322内部控制与内部审计权限与职责分配建立权责分配体系必须做到不相容职务相互分离授权审批职务与业务经办相分离；业务经办职务与财产保管职务相分离；业务经办职务与会计记录职务相分离；业务经办职务与审核监督职务相分离；财产保管职务与会计记录职务相分离。9/22/202323内部控制与内部审计不相容职务相互分离控制－示例工作职责存在的风险同时负责现金的收取和应收账款的会计记录可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金同时负责购货订单的审批和货物的收取可能以组织的名义为个人购入货物，在收取货物时利用职务之便将货物占为己有，同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息同时负责付款的审批和购货订单签发与审核可能会伪造购货业务并支付货款，从而贪污现金9/22/202324内部控制与内部审计人力资源政策人力资源政策就是挽留和补充能人，保证企业计划实施和目标实现的关键因素。包括：选才——招聘政策：重能力轻文凭、重诚信轻相貌用才——升迁政策：重能力、重业绩育才——培训计划留才——薪酬政策9/22/202325内部控制与内部审计案例：人力资源政策——通用电气公司美国通用电气公司，简称GE，其历史最早可追溯到1878年爱迪生创建的电灯公司，1892年，爱迪生通用电器公司和托马斯-休斯顿电气公司合并，命名为通用电气公司。目前，该公司在全球100多个国家经营生产，并在26个国家拥有250多个工厂，员工近30万人，销售额与利润长期居世界前茅。近20年来，通用公司实现了从制造业到服务业，再到电子商务的战略调整，生产总值始终保持10％以上的高速增长，股票市值达到了5000多亿美元，位居世界500强前列，在《财富》杂志推出的10名美国最受赞赏的公司中，通用公司位居榜首。从美国通用电气公司发展的历程来看，其良好的内部控制环境起着重要作用。9/22/202326内部控制与内部审计案例：人力资源政策——通用电气公司“通用”通过绘制“活力曲线”确保通用只要表现最好的员工，并人道主义地裁掉不能符合“通用”标准的员工。“活力曲线”将员工分成三类，A类是最好的员工占20%，他们激情满怀，思想开阔，富有远见。B类是属于中间的员工占70%，他们是公司的主体，也是业务成败的关键,C类是最差的员工占10％，他们是那些不能胜任自己工作的人。A类员工得到的奖励应是B类的两到三倍，对B类员工每年也要确认他们的贡献，并提高工资，而C类则必须清除出公司。9/22/202327内部控制与内部审计每年韦尔奇都要求每个公司的领导对他们的员工进行区分，如果一个“通用”的企业领导把分红或股票期权分配方案的推荐意见上交，却没有区分出底部最差的10%，韦尔奇会毫不犹豫地把这些意见全退回去，直到他们真正做出区分。正是这种奖罚分明的措施，使“通用”员工时刻感受到危机感，调动了那些惟恐失去工作的员工的积极性，使企业充满生机和活力。正如韦尔奇在总结其40年管理精华的临别赠言上所说：“通用的成功就在于我们每天招揽全世界最优秀的人才，不管种族和性别，只挑最好的。”案例：人力资源政策——通用电气公司9/22/202328内部控制与内部审计2.2.2风险评估信息与沟通控制环境风险评估控制活动监控风险：是一种潜在的问题或损失。风险评估：确定什么地方可能出错，会有什么影响？即分析和辨识为实现企业目标所可能发生的风险。图1-3风险评估9/22/202329内部控制与内部审计2.2.2风险评估风险评估是降低风险的前提，只有恰当地评估了风险，才会使风险防范“有的放矢”，而所有的内部控制组成部分，从控制环境到监督，都需要评估风险。包括：内外部风险因素分析应关注的风险风险评估模型风险应对策略9/22/202330内部控制与内部审计2.2.2风险评估目标风险控制行为控制活动环境变化后的管理评估和更新9/22/202331内部控制与内部审计如何进行有效的风险管理？各行业的前10种最主要的风险因素次序银行/保险业/证券制造业其他1内部控制的质量内部控制的质量内部控制的质量2管理人员的能力管理人员的能力管理人员的能力3管理人员的正直程度管理人员的正直程度管理人员的正直程度4会计系统的近期变动单位的规模会计系统的近期变动5单位的规模经济环境恶化业务的复杂性6资产的流动性业务的复杂性资产的流动性7重要人员的变动重要人员的变动单位的规模8业务的复杂性会计系统的近期变动经济环境恶化9快速的增长快速的增长重要人员的变动10政府法规管理人员对完成目标的压力快速的增长9/22/202332内部控制与内部审计信息与沟通控制环境风险评估控制活动监控为防范风险所采取的措施和行动。组织必须基于风险评估的结果订立控制风险的政策及程序，并予以执行控制活动能够抵偿风险。2.2.3控制活动图1-4控制活动9/22/202333内部控制与内部审计定义：职责划分就是根据责、权、利相结合的原则，明确规定各职能机构的权限与责任，并根据各职能机构的经营任务与特点划分岗位。如：决策层校长决定学校战略学校定位、理念学校目标中长期规划中级管理层院长、系主任实现学校目标组织教学活动、完成目标执行层教师完成具体教学任务提高教学质量职责划分9/22/202334内部控制与内部审计【案例】：通用电气CEO伊梅尔特对如何授权而不被架空有2个法宝：一是选人，一旦发现隐瞒欺骗，立即开除；二是良好的信息系统，随时可以知道业务和财务状况。授权的原则：决定什么事情要授权出去；选择合适的授权对象；授权不是授责，实行授权之后，管理者不仅对未移交的职权负有全部责任，对已经授权移出的职权也负有同样责任；授权要明确任务职权6W（谁、什么、何时、何地、为什么、怎样）；分步骤地授权；把握进度、定期检查、制定详细的授权计划，对经验不够丰富的员工还要定期与之沟通、观察进度并提供必要的协助；设定绩效标杆进行管理和考核；强调结果，而不要过多地关注过程。交易与业务行为的适当授权9/22/202335内部控制与内部审计业务记录【案例】2002年，《国际金融报》报道，瑞士信贷第一波士顿银行由于隐瞒并销毁了他们在日本分部业务中的记录，受到英国金融监督机构的处罚，被罚金额高达64亿美元（91亿瑞郎）。定义业务记录是企业为反映和控制各项生产经营业务而以文字形式对业务活动的发生、进展和结束等的全过程所进行的记载，其功能是传递有效信息。良好业务记录系统要求预先连续编号；与交易同步编制；信息简明易懂；备份数合理；结构设计完整:(1)交易或业务的完整信息；(2)按审批流程安排的完整授权及批准的记录；(3)对业务或交易过程结果异常现象或不同意见的记录。9/22/202336内部控制与内部审计实物控制与绩效评价实物控制是确保资产实物上安全的程序。严格的入、出库制度；安全、科学的保管制度；限制接近制度；完善的财产清查制度：实地盘存制和永续盘存制相结合的制度；适度的问责制度。绩效评价是由不直接参与活动的第三方对工作情况进行的独立检查，通常也叫内部稽查。9/22/202337内部控制与内部审计预算控制与会计系统控制预算控制要求企业加强预算编制、执行、分析、考核等各环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。会计系统控制要求企业依据《中华人民共和国会计法》、国家统一的会计制度，制定适合本企业的会计制度，明确会计凭证、会计账簿和财务报告以及相关信息披露的处理程序，规范会计政策的选用标准和审批程序，建立、完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能，确保企业财务报告真实、可靠和完整。9/22/202338内部控制与内部审计内部报告控制与经济活动分析控制内部报告控制要求企业建立和完善内部报告制度，明确相关信息的收集、分析、报告和处理程序，及时提供业务活动中的重要信息，全面反映经济活动情况，增强内部管理的时效性和针对性。内部报告方式通常包括例行报、实时报告、专题报告、综合报告等。经济活动分析控制要求企业综合运用生产、购销、投资、财务等方面的信息，利用比较分析、比率分析、因素分析、趋势分析等方法，定期对企业经营管理活动进行分析，发现存在的问题，查找原因，并提出改进意见和应对措施。9/22/202339内部控制与内部审计2.2.4信息与沟通信息与沟通控制环境风险评估控制活动监控为了实现控制目标，保证内部控制各个要素的可靠性，有关信息必须及时沟通。信息沟通贯穿于整个控制。内部控制的神经系统图1-5信息与沟通9/22/202340内部控制与内部审计案例：信息与沟通【案例】研究发现，企业竞争优势的基本演化过程是：1910～1920年强调规模效益;1920～1930年强调科学管理;1930～1940年间是所谓的人际关系管理;1940～1950年强调组织功能结构;1950～1960年强调战略规划;1960～1970年强调经济预测;1970～1980年强调市场战略和组织设计;进入20世纪90年代后，全球化、学习型组织、知识管理、战略人力资源管理和信息技术成为强调的重点内容。9/22/202341内部控制与内部审计2.2.4信息与沟通信息信息始终是企业管理活动最基本的支持，企业所有经营活动都离不开信息。沟通沟通就是指信息的传递。沟通的分类:(1)内部沟通;(2)外部沟通。沟通的方式和方法：“企业应当采取互联网络、电子邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时传递和共享，确保董事会、管理层和企业员工之间有效沟通。”9/22/202342内部控制与内部审计信息与沟通控制环境风险评估控制活动监控监督和评估内部控制系统设计的健全性、合理性和运行的有效性2.2.5监控图1-6监控9/22/202343内部控制与内部审计实施持续的监督活动监督经营管理的日常活动；加强与来自外界团体的沟通：可以验证内部信息的正确性，并能及时反映问题的所在；监督组织结构的运行；把信息系统所记录的资料同实际资产核对；内、外部稽核人员定期提出强化内部控制系统的建议；加强培训课程、规划会议和其他会议的控制，把控制是否有效的重要信息反馈给管理阶层；定期要求员工陈述他们是否了解企业的行为准则，并加以遵守：对于负责业务和财务的员工，则要求他们陈述某些特定控制是否都予执行，管理阶层或内部稽核人员还必须验证这些陈述是否确实；内部审计。9/22/202344内部控制与内部审计个别评估与报告缺陷个别评估尽管持续监督程序可以有效的评价内部控制体系，但企业有时需要组织例外评估以直接监视控制系统的有效性。评估的范围和频率，视风险的大小及控制的重要性而定。报告缺陷员工的告发是识别欺诈的第二大手段，因此，企业必须建立畅通的报告缺陷的渠道，以鼓励员工发现和报告内部控制的缺陷。9/22/202345内部控制与内部审计综合案例1：邯郸农行金库盗窃案之内控分析

案发地：邯郸农行门口

9/22/202346内部控制与内部审计综合案例2：贵阳市财政局出纳侵吞公款案2000年8月初见诸报端的贵阳市财政局出纳许杰侵吞公款7272万元一案，据媒体报道称，是建国以来贵州省最大的一宗经济案件，并冠以“惊天大案”。这宗惊天大案发生于财政、财务主管部门的会计人员身上，数额之巨，是我国会计人员经济犯罪案例中创纪录的。9/22/202347内部控制与内部审计2内部控制的目标、要素及其局限性2.3内部控制的局限性内部控制的设置和运行受制于成本效益原则；内部控制一般仅针对常规业务活动而设置；内部控制可能因经营环境、业务性质的改变而削弱或失效。即使是设置完善的内部控制，也可能因有关人员的疏忽、误解和判断错误而失效；内部控制可能因有关人员相互勾结、内外串通而失效；内部控制可能因执行人员滥用职权或屈从于外部压力而失效；9/22/202348内部控制与内部审计3内部控制的最新动态3.1《萨班斯—奥克斯利法案》21世纪伊始，美国爆发了一系列震惊全球的财务丑闻（如表3-1所示），这些丑闻致使美国国会于2002年草拟并通过了《萨班斯—奥克斯利法案》（Sarbanes0xleyAct2002，以下简称SOX法案）。SOX法案对注册会计师提供服务的独立性、公司内部控制和风险管理提出了更严格的要求，成为当代审计界和内部审计界最为重要的新规则。9/22/202349内部控制与内部审计表3-1２１世纪早期的财务丑闻公司财务丑闻Adelphia（美）母公司高层将公司资金为里加斯家族贷款造成31亿美元的负债,只披露了23亿美元。(德勤，2002)安然（美）在不恰当的表外账户发现大量的会计欺诈事件。(安达信,2002)HealthSouth（美）伪造文件为欺骗性的定期纪录提供支持,以达到分析师的预期（安永，2002）Homestore（美）通过与第三方的交易虚增收入（德勤，

2002）帕玛拉特（意）虚构140亿美元的现金收入。(德勤,2004)Tyco（美）会计舞弊、CEO为个人目的运用公司资金。(毕马威,2005)世界通讯（美）夸大盈余38亿美元。（毕马威,2002）施乐（美）1997-2000年,虚报30亿美元的销售额。(毕马威,2003)9/22/202350内部控制与内部审计3.2企业风险管理整体框架2004年COSO根据SOX法案的要求又提出了企业风险管理整体框架（ERM），将企业内部控制的发展带入了一个新阶段。ERM将风险管理要素分为八个：控制环境、目标设定、事件识别、风险评估、风险反应（为COSO报告的风险评估要素）、控制活动、信息与流通、监督。ERM八要素并没有否定COSO五要素，由于后者比前者更为成熟、稳定，再加上美国证监会推荐、参照的框架是5要素，因此，大多数国家，包括我国设计的内部控制要素还是5要素。9/22/202351内部控制与内部审计3.2企业风险管理整体框架3.2.1ERM与内部控制整体框架的比较比内部控制含义更广一个新目标：战略目标三个新要素：一个要素拓展为了四个要素——目标设定事件识别风险评估风险反应9/22/202352内部控制与内部审计3.2企业风险管理整体框架3.2.2内部控制角色的转型内部控制重心的转变：逐渐转向风险管理内部控制地位的转变：风险管理的组成部分9/22/202353内部控制与内部审计3.3我国的内部控制规范体系我国资本市场自2000年以来也不断爆发财务舞弊案，如2001年发生的“银广夏”等上市公司财务舞弊事件、2004年发生的“中航油事件”。为了引导各组织进一步加强内部控制，我国于1999年修订的《会计法》，第一次以法律的形式对建立健全内部控制提出原则要求，规定“各单位应当建立、健全本单位内部会计监督制度”。9/22/202354内部控制与内部审计表3-2我国企业内部控制规范体系建设历程时间事件机构影响2006年5月12日发布征求《上市公司内部控制指引》意见的通知。深圳证券交易所揭开了中国上市公司内部控制体系制度建设的序幕。2006年5月17日《首次公开发行股票并上市管理办法》发布。中国证券监督管理委员会证监会首次对上市公司内部控制提出具体要求。2006年6月5日《上海证券交易所上市公司内部控制指引》发布。上海证券交易所从2006年年报起上市公司就应披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见。2006年7月15日企业内部控制标准委员会（CICS）成立。财政部会同有关部门标志着既具有中国特色又与国际接轨的一个内部控制时代已经来临。2006年9月28日《上市公司内部控制指引》发布。深圳证券交易所在2007年7月1日文件正式生效后，上市公司均要按要求披露内控制度制订和实施情况。2007年3月2日《企业内部控制规范（征求意见稿）》发布。财政部被业内人士称为是中国版“COSO（内部控制整体框架）与《萨班斯-奥克斯利法案》合体”的内部控制规范。2008年6月28日中国第一部《企业内部控制基本规范》发布。财政部、证监会、审计署、银监会、保监会标志着中国企业内部控制基本规范体系建设取得重大突破。9/22/202355内部控制与内部审计2010年4月15日，我国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》，连同此前2008年6月28日印发的《企业内部控制基本规范》，这些文件的出台标志着我国企业内部控制规范体系已基本建成。9/22/202356内部控制与内部审计4内部审计的定位与功能4.1审计的定义最具代表性的是1973年美国会计学会（AAA）在其颁布的《基本审计概念说明》中的描述：“为了确定关于经济行为及经济现象的结论和所制定的标准之间的一致程度，而对与这种结论有关的证据进行客观收集、评定，并将结果传达给利害关系人的有系统的过程。”参见图1、29/22/202357内部控制与内部审计目标收集、评价审计证据判断相符程度其他沟通方式审计报告既定标准管理层认定图4-1审计是一个系统过程4.1审计的定义9/22/202358内部控制与内部审计会计企业会计准则审计交易记录与报表的编制对财务报表的评价（审计报告）遵循参照审计准则图4-2会计、审