《《精编》企业内部控制与风险管理》由会员分享,可在线阅读,更多相关《《精编》企业内部控制与风险管理(52页珍藏版)》请在金锄头文库上搜索。
1、企业内部控制与风险管理(第二版)第一章 内部控制概论第一节 内部控制的产生和发展一、国外内部控制的发展历程p3-13(一)内部牵制阶段一般来说,内部牵制的执行大致可分为以下四类:一是实物牵制。例如把保险柜的钥匙交给两个以上的工作人员持有。非同时使用这两把以上的钥匙,保险柜就打不开。二是机械牵制。例如,保险柜的大门若非按正确程序操作就打不开。三是体制牵制。采用双重控制预防错误和舞弊的发生。四是簿记牵制。定期将明细账与总账进行核对。在现代内部控制理论中,内部牵制仍占有重要地位,成为有关组织机构控制和职务分离控制的基础。内部牵制是基于以下两个基本设想:(1)两个或以上的人或部门无意识地犯同样错误的机
2、会是很小的;(2)两个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。(二)内部控制阶段(三)管理控制和会计控制阶段(四)内部控制结构阶段(五)内部控制整体框架阶段进入世纪年代后,人们对会计控制的研究进入了一个全新的阶段。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。同以往的内部控制理论及研究成果相比,COSO报告提出了许多新的、有价值的观点。体现在:p71、明确制定与实施内部控制的“责任”。2、指明内部控制应与经营管理相结合。3、指明内部控制是一个循环往复的过程。4、强调思想、观念更新的重要性。5、要求管理层关注企业各层
3、次的风险。6、指明内部控制的分类及目标。7、指出内部控制只能做到“合理”保证。8、强调要考虑成本与效益原则。(六)内部控制整体框架风险管理阶段企业风险管理包括八个相互关联的要素,各要素贯穿在企业的管理过程之中。1、内部环境2、目标制定3、事项识别4、风险评估5、风险反应6、控制活动7、信息和沟通8、监控相对于内部控制框架而言,新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素,即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。1、提出一个新的观念风险组合观(An EntityLevel Portfolio View
4、of Risk)2、增加一类目标战略目标,并扩大了报告目标的范畴3、针对风险度量提出两个新概念风险偏好(Risk Appetite)和风险容忍度(Risk Tolerances)4、增加了三个风险管理要素,扩大了相关要素的范围企业风险管理框架新增了三个风险管理要素“目标制定”、“事项识别”和“风险反应”。二、中国内部控制与风险管理的发展1999年修订的中华人民共和国会计法,第一次以法律形式对建立健全内部控制提出了原则要求,财政部随即连续制定发布了包括内部会计控制规范基本规范在内的七项内部会计控制规范。(一)五部委的企业内部控制基本规范及配套指引p131、企业内部控制基本规范根据企业内部控制基本
5、规范,企业建立内部控制应当包括五个要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。2、企业内部控制应用指引企业内部控制应用指引在企业内部控制规范体系中处于主体地位。企业内部控制应用指引由18项具体应用指引组成,具体包括的内容:已发布的针对企业具体业务或事项的18项应用指引,内容涵盖组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递和信息系统等企业最常见、最基本、迫切需要加强控制的环节和领域。企业内部控制应用指引可以划分为三类,即内部环境类指引、控制活动类指引、控
6、制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。其中,内部环境类指引包括组织架构、发展战略、人力资源、社会责任、企业文化5个指引;控制活动类指引包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告9个指引;控制手段类指引包括全面预算、合同管理、内部信息传递、信息系统4个指引。3、企业内部控制评价指引内部控制评价是企业内部控制中非常重要的一环。4、企业内部控制审计指引内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计和运行的有效性进行审计(二)国资委的中央企业全面风险管理指引2006年6月,国务院国资委根据企业国有
7、资产监督管理暂行条例(国务院令第378号)关于“国有及国有控股企业应当加强内部监督和风险控制”的要求,出台了中央企业全面风险管理指引,旨在进一步加强和完善国有资产监管工作,深化国有企业改革,加强风险管理,促进企业持续、稳定、健康发展。中央企业全面风险管理指引对全面风险管理的定义是:围绕企业总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的全面风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理组织体系、风险管理信息系统和内部控制系统,从而为实现风险管理总体目标提供合理保证的过程和方法。1、全面风险管理目标全面风险管理的控制目标包括五
8、个,分别是:战略目标、报告目标、合规目标、经营目标、减灾目标。战略目标是确保将风险控制在与总体目标相适应并可承受的范围内;报告目标是确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;合规目标是指企业应当遵守有关法律法规;经营目标是确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;减灾目标是确保企业建立各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。2、全面风险管理环境全面风险管理环境包括风险管理文化、风险管理组织体系、风险管理信息
9、系统。其中,风险管理文化包括对员工进行风险态度、行为的宣导,进一步深化风险管理“一把手负责制”,建立符合公司战略目标的风险偏好,完善公司风险政策,以增强企业全员的风险意识;风险管理组织体系由三道风险管理防线组成,第一道是业务职能部门,第二道是风险管理职能部门,第三道是内部审计部门和董事会下设的审计委员会;风险管理信息系统是对风险管理体系设计方法和结果进行固化和标准化,并实现对风险的事前、事中和事后控制,以及对风险管理体系的运行绩效和有效性进行监督检查及改善。3、全面风险管理基本流程全面风险管理的基本流程包括:建立初始信息框架、风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监
10、督与改进,在此过程中,信息与沟通贯穿始终。(三)银监会的商业银行内部控制指引商业银行内部控制的目标包含以下几点:一是确保国家法律规定和商业银行内部规章制度的贯彻执行;二是确保商业银行发展战略和经营目标的全面实施和充分实现;三是确保风险管理体系的有效性;四是确保业务记录、财务信息和其他管理信息的及时、真实和完整。第二节 内部控制的概念、目标和内容一、内部控制的概念P18内部控制可理解为:内部控制是组织内部的主体,为了保证经济资源的安全完整,确保经济信息的正确可靠,协调经济行为,控制经济活动,规避经营风险,利用组织内部因分工而产生的相互制约、相互联系的关系,形成一系列具有控制职能的方法、措施、程序
11、,并予以规范化、系统化,使之组成一个严密的、较为完整的体系。二、建立内部控制的必要性p19(一)科学管理的要求(二)法律、法规的要求(三)成本效益原则的要求P20客观上要求企业加强内部控制的因素有:(1)避免违规。企业面临的潜在违规风险包括环境保护、职工安全等。如果企业事先设置了这相关内部控制程序,可能就会避免这种损失。(2)降低惩罚。有些法律在对企业犯罪量刑时,依据犯罪的严重程度与企业内部控制的有效程度来决定对企业的惩罚。如果企业设有能够预防和发现违法行为的有效内部控制制度,则可以大大降低对企业的责罚。(3)减少欺诈。近年来,企业发生的外部欺诈案件和内部欺诈案件呈上升趋势。在这些发生内、外部
12、欺诈的公司中,内部控制薄弱是其共同特征。如果企业设有有效的内部控制制度,则可以大大减少对企业的欺诈。(4)管理跨国公司风险。在海外经营的跨国企业会面临不同于国内的政治、经济、文化风险,由于交易活动的复杂性还会产生国际税收、汇率波动等风险,这就要求企业专门设立管理这些风险的内部控制。(5)树立良好社会形象。由于信息透明度的增大,企业一旦发生欺诈行为、管理不善或违反法规、被处罚款,就会引起社会新闻媒介的广泛关注,从而造成公司股票价格的剧烈波动,甚至给公众留下公司“管理失控”的不良印象。内部控制有助于预防此类问题的发生,并且在问题发生时能够提供与新闻界妥善处理的补救程序。(6)加强政府管制。2001
13、年美国Enron公司及之后的一系列公司财务舞弊案件,引致了2002年萨班斯奥克斯利法案公布实施,其中第404号条款要求在美国证券交易委员会(SEC)备案的上市公司必须提交年度内部控制报告,作为向SEC提交的财务报告的组成部分。在这份内部控制报告中,要求管理层报告公司当前内部控制的质量,并要求负责财务报表审计的会计师事务所对内部控制报告加以证实。三、内部控制的目标1992年COSO报告在得到各界普遍认可的内部控制概念中提出的目标有三大类:一种是营运目标(Operations):与企业资源使用的效率和效果有关,包括绩效和获利目标,以及保障资产的安全,使其免受损失。二是财务报告目标(Financia
14、l Reporting):与编制对外公布的财务报表的可靠性有关,包括防止对外公布财务报告的不实。三是遵循目标(Compliance):与企业遵循相关法律法规有关,它们受外界因素,如环境保护法等影响。这些法令规定了企业的最低行为标准。下面从COSO内部控制目标的三个方面分别讨论:1、运营的效果和效率2、财务报告的可靠性3、符合相关的法律和法规2008年中国财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范,提出内部控制的目标主要包括:p211、确保企业战略的实现2、运营的效果和效率3、财务报告的可靠性4、资产的安全、完整5、符合相关的法律和法规四、内部控制的内容由于每个单位的性
15、质、业务、规模等方面不同,内部控制系统的具体内容也不尽相同。概括起来,内部控制的构成内容可从如下方面来考察:p22-24(一)合规、合法性控制(二)授权、分权控制(三)不相容职务控制1、经济业务处理的分工。2、资产记录与保管的分工。3、各职能部门具有相对独立性。(四)业务程序标准化控制(五)复查核对控制(六)人员素质控制第三节 计算机环境下的内部控制二、计算机环境下的内部控制p25-28计算机系统的内部控制制度,从计算机会计系统的建立和运行过程来看,可分为对系统开发和实施的系统发展控制、对计算机会计系统各个部门的管理控制、对计算机会计系统日常运行过程的日常控制。第四节 萨班斯奥克斯利法案对内部控制的影响美国参众两院在2002年迅速出台并通过了公众公司会计改革与投资者保护法案,即萨班斯奥克斯利法案。该法案对1933年证券法和1934年证券交易法进行了大幅修订,被认为是美国自20世纪30年代经济大萧条以来涉及范围最广、处罚措施最严厉、影响力最大的上市公司法案。一、萨班斯奥克斯利法案的主要内容 p29萨班斯奥克斯利法案共分章。与美国已有的证券法规相比,萨班斯奥克斯利法案突出了以下内容:设立独立的上市公司会计监管委员会,
