《第一章内控总论》由会员分享,可在线阅读,更多相关《第一章内控总论(31页珍藏版)》请在金锄头文库上搜索。
1、1企业内部控制主讲人:王荣昌博士一个引子(课程的意义)有关人性性本善性本恶管理让人没有机会犯错令人痛心的诸多事例通晓人性与加强制度建设23主要内容总论(意(意义、概念)、概念)内部控制主要内容(框架)内部控制主要内容(框架)内部控制的内部控制的实施(如何建立内部控制制度)施(如何建立内部控制制度)相关案例分析(穿插在各章中)相关案例分析(穿插在各章中)中国企中国企业内部控制与内部控制与风险管理特性(有管理特性(有时间的的话)4第一章 总论5第一部分:内部控制的意义6为什么需要内部控制聚焦企业内部控制的目标:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,
2、促进企业实现发展战略。想实现的能达到的内部控制是企业的免疫系统预防错漏舞弊企业自我控制的最终目标是为了企业可持续发展。从经济学的角度来看,内部控制可以帮助企业减少内部租值消散。“从仿生学的角度来看,公司对变化的认知能力类似于人体的免疫系统,免疫系统并不是一个特定的器官,也不只有限地分布在人体的某个部位,它遍布人的整个身体,只要发现抗原体,即异质体,它就会自动产生反应。每家公司都需要自己的免疫系统,即对需要作出回应的信息进行确认、收集、解释、传播和共享这样一个严密的流程。每位员工,不管他处于哪个职位或哪个部门,必须要做两项工作:其一,自己的日常工作;其二,对重要的变化信号保持警觉。最后,公司必须
3、以一种严格的方式来衡量这个业务流程,必须为其进展确立一个具体化的目标,对职员的评价和给职员的报酬必须与这个目标的实现相联系。“美迈克尔哈默.2002.企业行动纲领.北京:中信出版社789内控对于企业的意义竞争的焦点逐步集中于竞争的焦点逐步集中于成本、质量和服务水平成本、质量和服务水平快速增长阶段快速增长阶段组织转型阶段组织转型阶段稳定增长阶段稳定增长阶段初步形成服务线初步形成服务线初步形成服务线初步形成服务线保证服务质量保证服务质量保证服务质量保证服务质量建立基础客户群建立基础客户群建立基础客户群建立基础客户群成功的关键成功的关键形成规范的管理控制体系形成规范的管理控制体系形成规范的管理控制体
4、系形成规范的管理控制体系服务线重心转移服务线重心转移服务线重心转移服务线重心转移地域扩张地域扩张地域扩张地域扩张提供高质量高附加值提供高质量高附加值提供高质量高附加值提供高质量高附加值服务服务服务服务维护并发展核心能力维护并发展核心能力维护并发展核心能力维护并发展核心能力研发开发新服务研发开发新服务研发开发新服务研发开发新服务投入必要资源投入必要资源保证公司增长保证公司增长市场环境和业务结构市场环境和业务结构的变化给企业管理结的变化给企业管理结构带来影响构带来影响,同时企业同时企业效率成为问题效率成为问题无法维持早期在业无法维持早期在业务上取得的成功务上取得的成功未能建立有效未能建立有效的管理
5、控制体系的管理控制体系以巩固早期的成功以巩固早期的成功设计并实施新的设计并实施新的管理控制体系以管理控制体系以适应环境变化和适应环境变化和实现企业战略目标实现企业战略目标10讨论:你赞同以下观点吗?“公司的败绩都是由内部控制失败引起的”Adrian Cadbury11第二部分:什么是内部控制内部控制概念内部控制概念内部控制内部控制发展展12内部控制概念萌芽内部控制,作为一个专用名词和完整概念,直到本世纪30年代才被人们提出、认识和接受。但在此前的人类社会发展史中,早已存在着内部控制的基本思想和初级形式,这就是内部牵制(Internalcheck)。在古罗马时代,对会计账簿实施的“双人记账制”某
6、笔经济业务发生后,由两名记账人员同时在各自的账簿上加以登记然后定期核对双方账簿记录,以检查有无记账差错或舞弊行为,进而达到控制财物收支的目的,即是典型的内部牵制措施。13第一个具有权威性的定义为了赋予内部控制一个准确完整的定义,美国审计程序委员会下属的内部控制专门委员会经过两年研究,于1949年发表了题为内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性的专题报告,对内部控制首次做出了如下权威定义:“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率,推动管理部门所制定的各项政策得和准确性、提高经营效率,推
7、动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施以贯彻执行的组织计划和相互配套的各种方法及措施”。此定义强调,内部控制不只限于与会计和财务部门直接有关的控制方面,它还包括预算控制、成本控制、定期报告经营情况、进行统计分析并将统计报告送交有关部门、制定培训计划以培训有关人员使其能够履行职责,以及设立内部审计部门以保证管理部门所制定的各种程序的准确性,并保证其得到贯彻执行等内容。14定义的第一次修正上述范围广泛的内部控制定义及其解释的发布,当时被普遍认为是对内部控制这一重要概念的重大贡献。但该报告所定义的内部控制概念,其内容如此宽泛,以致包括了审计人员对审查内部控制所不愿
8、、也不可能承担的职责。1953年10月,审计程序委员会(CAP)又发布了审计程序公告第19号(SAPNo.19),对内部控制作了如下划分:“广义地说,内部控制按其侧重点可以划分为会计控制和管理控制;1)会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成;会计控制包括授权与批准制度;记账、编制财务报表、保管财务资产等职务的分离;财产的实物控制以及内部审计等控制。2)管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的关系,包括统计分析、时动研究、经营报告、雇员培训
9、计划和质量控制等”。15定义的第二次修正第一次修正后的定义,大大缩小了注册会计师的责任范围,但人们认为对“会计控制”的保护资产和保证财务记录可靠性这两点仍然可能发生误解。即对“保护”一词作广义的解释可能会使人们产生这样一种印象:“决策过程中的任何程序和记录都可以包括在会计控制的保护资产概念中”。为了避免这种宽泛的解释,1972年美国注册会计师协会(AICPA)对会计控制又提出并通过了一个较为严格的定义:“会计控制是组织计划和所有与下面直接有关的方法和程序:1)保护资产,即在业务处理和资产处置过程中,保护资产遭过失错误、故意致错或舞弊造成的损失。2)保证对外界报告的财务资料的可靠性。”16定义的
10、第三次修正1972年,美国准则委员会(ASB)审计准则公告的制定者,循着证券交易法的路线进行研究和讨论,在第1号公告(SASNo.1)中,对管理控制和会计控制提出并通过了今天广为人知的定义:(1)内部会计控制。会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成。会计控制旨在保证:经济业务的执行符合管理部门的一般授权或特殊授权的要求;经济业务的记录必须有利于按照一般公认会计原则或其它有关标准编制财务报表,以及落实资产责任;只有在得到管理部门批准的情况下,才能接触资产;按照适当的间隔期限,将资产的账面记录与实物资产进行对比,一经发现差异,应采取相应的补救措施。(2)内部管理控
11、制。管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。这种授权活动是管理部门的职责,它直接与管理部门执行该组织的经营目标有关,是对经济业务进行会计控制的起点。17上述定义的分析上述内部控制定义的演变反映出一个特点:当前注册计师在开展其审计工作时所运用的会计控制概念,是一种纯技术的、专业化的、适用范围具有严格规定性的、防护色彩很浓的概念,它的主要宗旨是预防和发现错弊。这种以会计控制为主的定义,虽为独立审计界认可,却屡屡遭到管理人员代言人的攻击。他们指出,这些定义把精力过多地放在纠错防弊上,过于消极和狭窄。从管理人员(和其它有关第三方)的角度来看,会计控制和管
12、理控制之间的区别并不大,甚至根本没有区别。特别是那些置身于企业经营活动的人们,他们很难接受这种区分。1980年3月在“内部审计师协会”代表大会的发言中,凯罗鲁斯先生把美国注册会计师协会在1958年将1949年的内部控制定义区分为会计控制和管理控制的行为描绘为“将美玉击成了碎片”。他声称,在这块美玉完全修复以前我们不可能有一个对管理人员有用、为管理人员理解的内部控制定义。18内部控制的定义(一般化)18内部控制内部控制 被定义为一个过程,这个过程受企被定义为一个过程,这个过程受企业的董事会、管理层及其他人员影业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目响。设计这个过程是为达成下列
13、目标提供合理的保证:标提供合理的保证:营运的效果和效率营运的效果和效率财务报表的可靠性财务报表的可靠性相关法规的遵循相关法规的遵循保护资产的安全保护资产的安全实现企业战略目标(新加)实现企业战略目标(新加)业务中的内控举例业务中的内控举例业务中的情景业务中的情景对应内控方面对应内控方面定期汇总和分析公司财务信息财务报告财务报告及时性准确性投资决策投资决策可行性收益性重点项目的投资决策按照政策法规要求进行管理和汇报合规经营合规经营符合性1919企业内部控制的本质企业内部控制的本质内部控制的本质是自我调节,自我约束内部控制的本质是自我调节,自我约束内部控制的本质是自我调节,自我约束内部控制的本质是
14、自我调节,自我约束企业内部控制的本质企业内部控制的本质以外部控制以外部控制为条件为条件以特定目以特定目的为动因的为动因以降低风以降低风险为基础险为基础以成本与利以成本与利益平衡为前益平衡为前提,是相对提,是相对控制控制以多种方式以多种方式为手段,因为手段,因人而异人而异20内部控制的发展历程20“内部牵制内部牵制”阶段阶段“内部控制制度内部控制制度”阶段阶段“内部控制结构内部控制结构”阶段阶段“内部控制整体框架内部控制整体框架”阶阶段段萌芽期萌芽期成长期成长期发展期发展期成熟期成熟期帐目核对、岗位分离帐目核对、岗位分离会计控制、管理控制会计控制、管理控制控制环境、会计制度、控制程序控制环境、会
15、计制度、控制程序控制环境、风险评估、控制活动、控制环境、风险评估、控制活动、信息沟通、监督信息沟通、监督最新阶段最新阶段“企业风险管理整合框架企业风险管理整合框架”阶段阶段增加目标设定、事项识别和风险应对增加目标设定、事项识别和风险应对21内部控制的发展历程(续)内部内部牵制思想制思想以账目间的相互核对为主要内容并实施岗位分离,这在早期被认为是确保所有账目正确无误的一种理想控制方法内部控制制度思想内部控制制度思想认为内部控制应分为内部会计控制和内部管理控制两个部分,前者在于保护企业资产、检查会计数据的准确性和可靠性;后者在于提高经营效率、促使有关人员遵守既定的管理方针西方学术界在对内部会计控制
16、和管理控制进行研究时,逐步发现这两者是不可分割、相互联系的,因此在20世纪80年代提出了内部控制内部控制结构构的概念,认为“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序” ,并且明确了内部控制结构的内容为控制环境、会计制度和控制程序三个方面在90年代美国提出内部控制整体框架内部控制整体框架思想,并逐步将各界对内部控制的认识统一起来目前,我国理论界和实务界对内部控制的认识还很不统一,有的企业则对内部控制还没有概念211992年Treadway委员会经过多年研究,针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括,发布内部控制一整体框架(I
17、nternalcontrol-IntegratedFramework)报告,即通称的COSO报告。该报告第一部分是概括;第二部分是定义框架,完整定义内部控制,描述它的组成部分,为公司管理层、董事会和其他人员提供评价其内部控制系统的规则;第三部分是对外部团体的报告;是为报告编制报表中的内部控制的团体提供指南的补充文件;第四部分是评价工具,提供用以评价内部控制系统的有用材料。2223进入二十一世纪,1993年,美国“反对虚假财务报告委员会”(National Commission on Fraudulent Reporting)所属的内部控制专门研究委员会发起机构委员会(Committee of
18、Sponsoring Organizations of the Tread-way Commission)颁布了企业风险管理框架的讨论稿,并于2004年4月颁布正文ERM:24内部控制整体框架:5 5要素内部控制整体架构内部控制整体架构(Internal Control(Internal Control一一Integrated Framework)Integrated Framework)内部控制是一个内部控制是一个过程,受企程,受企业董事会、管理当局董事会、管理当局和其他和其他员工影响,旨在保工影响,旨在保证财务报告的可靠性、告的可靠性、经营的效果和效率以及的效果和效率以及现行法行法规的遵循
19、。的遵循。 控制控制环境境 风险评估估 控制活控制活动 信息与沟通信息与沟通 监督督25n相相对于内部控制框架而言,于内部控制框架而言,ERM新增加了一个新增加了一个观念、一个目念、一个目标、两个、两个概念和三个要素概念和三个要素n一个一个观念:念:风险组合合观要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可能超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险n一个目一个目标:战略目略目标ERM在原内部控制框架的经营、财务报告和
20、合法性告和合法性目标基础上增加了战略略这一目标,该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段n两个新概念:两个新概念:风险偏好偏好(RiskAppetite)和和风险容忍度容忍度(RiskTolerances) 风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来,目的是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略风险容忍度是指在企业目标实现过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目
21、标实现过程中所出现差异的可容忍限度n三个要素三个要素目标制定事项识别风险反应最新阶段:企业风险管理(ERM)2627n企业一般会比较重视能直接带来业务的部门,例如营业部、市场部等等n而风险管理部门往往被视为替业务部门提供支援的服务中心,重点只在所占用的人力和财务资n风险管理是由公司特定的部门处理,其它部门无需参与n除非发生了严重的事件导致重大损失,否则,风险管理很少是董事会讨论的议题n当经营情况转坏的时候,风险管理部门通常是首批被削减开支的部门以前的看法以前的看法n风险管理是企业能持续发展的重要元素,也是优良的企业管治中很重要的一环n企业必须投放充足的资源,使得风险管理能够在企业里有效的执行n
22、由企业的最高层领导,并需要各部门共同参与和执行n风险管理是需要因应外围和内部环境的改变,而不断的作出评估和修正有关措施n董事会需要向股东负责和交待,确保公司内部有足够的风险管理措施现在的看法现在的看法强调企业管治强调企业管治风险意识提高风险意识提高法规要求法规要求现代企业风险管理的转变:911与安然事件28后安然时代的内控2002年萨班斯-奥克斯莱法案的出台标志着新资本市场监管时代的到来,奠定了后安然时代会计、审计发展和公司治理及证券监管的框架。同时对企业内部控制带来深远的影响。11方面萨班斯奥克斯利法案(SOX)主要解决什么问题监管问题(会计信息的管制)中介问题(安达信)财务管理问题(企业内部控制与风险管理)29SOX中的财务管理问题加强高层管理人员的责任(302与906),规定总裁与财务总监要承担法律责任,而非领导责任。加强会计信息的权力区位,公司必须设置审计委员会,由独立董事组成,专司会计信息的管理,对内部控制进行监督与评价。增加管理层对内部控制的评估(404条款):有没有,执行的怎么样,以利于内部控制的执行。建立一种发展的内部控制体系。国家重视,企业着手。30什么是内部控制?内部控制缺少范畴意义上的概念定义。最新定义的讨论“内部控制是运用专门手段工具及方法,防范与遏制非我与损我,保护与促进自我与益我的系统化制度。”杨雄胜,载20118会计研究31
