内部控制讲座-暨南大学教授的幻灯片

《内部控制讲座-暨南大学教授的幻灯片》由会员分享，可在线阅读，更多相关《内部控制讲座-暨南大学教授的幻灯片（63页珍藏版）》请在金锄头文库上搜索。

1、内部控制讲座,白华 暨南大学会计学系 ,提纲,一、内部控制的基本理论问题 二、内部控制的基本内容和方法 三、开展内部控制普遍存在的问题与困惑 四、如何建设有效的内部控制 五、案例,一、内部控制的基本理论问题,（一）内部控制的概念与本质 （二）内部控制与企业管理、公司治理、风险管理之间的关系 （三）内部控制在企业管理中发挥作用的内在机理,（一）内部控制的概念与本质,内部控制是什么？ 内部控制是制度吗？,5,背景资料,被誉为“中国版萨班斯法案”的企业内部控制基本规范（下称基本规范）和企业内部控制配套指引（下称配套指引）的发布，标志着中国企业内部控制规范体系基本建成。企业将按要求建立和实施符合监管要

2、求的内部控制系统。那么，这是否意味着企业要做一套专门的内部控制制度？企业原有的一套治理和管理制度与内部控制制度是什么关系？国资委中央企业全面风险管理指引要求企业建立风险管理制度，那么，企业是否需要并行多套制度？,6,“内部控制是制度”的认可情况统计表,注：有命名为“内部控制制度”的公司数一栏中，包括在2009年年报或招股说明书中有内部控制制度、内部会计控制制度、内部牵制制度和风险管理制度等用书名号明确指出建立了此类制度的公司。,7,COSO的权威概念,内部控制是由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。 CO

3、SO（1992）内部控制整合框架,内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。,五部委（2008）企业内部控制基本规范的概念,1、是一个过程; 2、全员参与; 3、目标导向; 4、合理保证; 5、适用范围：不仅适用于企业等营利组织，而且适用于非营利组织。,对概念的理解,10,是一个过程,有五层含义： 1、与经营管理活动融为一体的一个过程； 2、是一个从计划到执行到控制的过程； 3、是一个五要素相互作用的过程； 4、是随着企业规模的

4、扩大和业务的拓展，不断完善的过程； 5、是随着理论和实务的发展而不断发展成熟的过程。,COSO的观点,“组织中各单位或各职能部门内部或跨单位或职能部门所实施的经营过程，都是通过计划、执行和监控等基本的管理过程来加以管理的。内部控制是这些过程的一部分，并与它们整合在一起。内部控制能让这些管理过程发挥作用，并对其实施和持续的关联性进行监控。内部控制是一个管理工具，而不是管理的替代品。” COSO内部控制整合框架第14页。,法约尔的观点,“这里，我只讨论管理问题，所以就不谈两个企业之间的控制问题了我着重谈一下企业内部控制，这种控制的目的是专门为了有助于各部门的工作的顺利进行，而总的来讲也有助于企业运

5、营的顺利进行。” 工业管理和一般管理，1916,中文版第120页。,（二）内部控制与企业管理、公司治理、风险管理之间的关系,这四者是同一个意思吗？ 在神马情况下可以等同呢？,1、内部控制与企业管理的关系,内部控制是因为外部审计的需要？ 内部控制是因为外部监管的需要？ 内部控制是因为内部审计的需要？ 内部控制是因为企业管理的需要？,2、内部控制与公司治理的关系,内部控制,公司治理,3、内部控制与风险管理的关系,4、三者之间的关系,相互包含的关系 相互嵌合的关系 等同的关系,公司治理,风险管理,内部控制,内部控制,风险管理,公司治理,内部控制,风险管理,公司治理,（三）内部控制在企业管理中发挥作用

6、的内在机理,COSO（1992）,内部控制整合框架由五个相互联系的要素构成，即：控制环境(Control Environment) 、风险评估(Risk Appraisal) 、控制活动(Control Activity) 、信息与沟通(Information and Communication) 、监控(Monitoring)。,COSO企业风险管理整合框架Enterprise Risk Management（2004）,“企业风险管理是一个过程，这个过程受组织的董事会、管理层和其他人员影响，应用于战略制定并贯穿在整个企业之中。企业风险管理旨在识别影响组织的潜在事件，并在其能承受的范围内管理

7、风险，从而为组织目标的实现提供合理的保证。” 包括： 内部环境、目标设定、 事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等八要素。,相互依存、不可分割的内控框架 （以五要素为例）,二、内部控制的基本内容和方法,（一）总体概况 1、“中国版萨班斯法案”称谓的由来 2、五部委内部控制体系介绍 （二）内部控制基本规范介绍,（三）配套指引介绍 1、应用指引本身的逻辑性和“应用”的困难性 2、评价指引是自律 3、审计指引是他律,（一）总体概况,1、“中国版萨班斯法案”称谓的由来 2002年美国颁布萨班斯法案。 2006年7月15日财政部、证监会、审计署、银监会、保监会发起成立中国企业内部控制

8、标准委员会。 2、五部委内部控制体系介绍 2008年6月28日企业内部控制基本准则发布。 2010年4月26日企业内部控制配套指引发布，含企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引。 2011年1月1日在境内外同时上市的公司施行。 2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。 鼓励非上市大中型企业提前执行。 在全球内部控制标准制定领域享有盛誉的美国科索委员会专门发来贺信，对企业内部控制配套指引的发布表示热烈祝贺，认为中国企业内控规范体系与国际通行的科索内控框架在所有主要方面保持了一致。 反对虚

9、假财务报告委员会（National Commission on Fraudulent Reporting） COSO委员会（Committee of Sponsoring Organizations of theTreadway Commission）,（二）企业内部控制基本规范介绍,共七章50条，2009年7月1日起实施。 第一章 总则 第二章 内部环境 第三章 风险评估 第四章 控制活动 第五章 信息与沟通 第六章 内部监督 第七章 附则,第一章 总则,目的和依据 适用范围 概念界定 原则 要素 执行要求,第二章 内部环境,内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责

10、分配、内部审计、人力资源政策、企业文化等。,COSO：控制环境,第一、概念 控制环境是组织的基调，主导或左右着组织成员的控制理念。是其他内部控制要素的基础，决定着控制的边界和结果。 第二、控制环境7要素,正直与 道德 价值观,员工素质,董事会 审计 委员会,管理哲学 与 行事作风,组织结构 设计,责任 与 权力分配,人力 资源政策,第三章 风险评估,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。,风险评估的工具,高,后果,低,低,高,右边后果严重,下边可能性大,分担,减少,承受,规避,可能性,风险应对策略,风险规避 风险减少 风险分担 风险承受,

11、第四章 控制活动,控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。 控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。 讨论：控制措施只有这些吗？,第五章 信息与沟通,信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。,第六章 内部监督,内部监督是指内部审计吗？ 内部监督与内部审计是何关系？ 如何理解全过程跟踪审计？,（三）配套指引介绍,2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引。该配套指引

12、包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引，连同此前发布的企业内部控制基本规范，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。,1、 应用指引本身的逻辑性和“应用”的困难性,应用指引目录 第1号组织架构 第2号发展战略 第3号人力资源 第4号社会责任 第5号企业文化 第6号资金活动 第7号采购业务 第8号资产管理 第9号销售业务,第10号研究与开发 第11号工程项目 第12号担保业务 第13号业务外包 第14号财务报告 第15号全面预算 第16号合同管理 第17号内部信息传递 第18号信息系统,2、评价指引是自律,共五章27条

13、是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。,按要素评价、按要素报告,第五条 企业应当根据企业内部控制基本规范、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。 第二十一条 内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。,3、审计指引是他律,共七章35条 第二条 本指引所称内部控制审计，是指会计师事务所

14、接受委托，对特定基准日内部控制设计与运行的有效性进行审计。 第四条 注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。 注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。（一大亮点！一大历史性进步！）,注册会计师审计才用风险导向方法？,第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合

15、进行。 第十一条 注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注： （一）与内部环境相关的控制。 （二）针对董事会、经理层凌驾于控制之上的风险而设计的控制。 （三）企业的风险评估过程。 （四）对内部信息传递和财务报告流程的控制。 （五）对控制有效性的内部监督和自我评价。 第十二条 注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。 注册会计师应当关注信息系统对内部控制及风险评估的影响。,三、开展内部控制普遍存在的问题与困惑,（一）五部委内控规范与国资委风险管

16、理指引的衔接问题 （二）如何理解财务报告内部控制,（一）五部委内控规范与国资委风险管理指引的衔接问题,中央企业全面风险管理指引 国务院国有资产监督管理委员会文件 （国资发改革2006108号二六年六月六日） 第四条 本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。,问题一：风险管理中的风险与内部控制中的风险相同？,第三条 本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战