1、第二章 内部控制的演进与五大要素,第一节 内部控制的产生动因 1内部控制是企业管理当局履行受托责任的内在要求现代制度下,企业所有权和经营权分离,股东与经理人之间产生了一种典型的委托代理关系 2内部控制是提高管理效率的需要 3内部控制是制度管理思想的产物,第二节 内部控制的演变,一 内部牵制阶段1 在15世纪初期,企业内部已经出现了内部牵制制度主要由职责分工、会计记账、人员轮换等控制要素构成 2 到了20世纪30年代,在理论上给出了内部牵制制度较完整的概念内部牵制是账户和程序组成的协作系统,这个系统使得员工在从事本身工作时,独立地对其他员工的工作进行连续性检查,以确定其舞弊的可能性。,3 内部牵
2、制是基于以下两个基本设想:1.二个或以上的人或部门无意识地犯同样错误的机会是很小的;2.二个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性 早期的内部牵制重视企业内部的分工和制衡,内部牵制机能的执行分为四类:(1)实物性牵制 (2)机械牵制(程序性牵制) (3)体制牵制 (4)薄记牵制,二 内部控制论阶段20世纪40年代至70年代之间 1 20世纪40年代1949年,美国会计师学会的审计程序委员会在内部控制一种协调制度要素及其对管理当局和独立审计人员的重要性报告中,第一次对内部控制进行了比较权威的定义,标志内部牵制时代的结束。内部控制包括组织结构及该组织为了保护其
3、财产安全,检查其会计资料的准确性和可靠性,提高经营效率,保证既定管理政策得以实施而采取的所有方法和措施。,2 20世纪50年代1958年10月美国会计师协会的审计程序委员会发布的审计程序公告第29号对内部控制定义重新进行表述,将内部控制划分为会计控制和管理控制。内部会计控制(Internal AccountingControl)指与企业的财产安全与完整、会计信息真实与可靠有关的所有控制程序和方法。内部管理控制(Internal Administrative Control)指与企业经营效率提升、管理政策落实等相关的控制制度。,3 20世纪70年代1972年,美国审计准则委员会(ASB)在审计准
4、则公告(第1号)中,更加明确的阐述了内部会计控制和内部管理控制的定义。内部会计控制包括(但不限于)组织规划、保护资产安全以及与财务报表有关的程序和记录。内部管理控制包括(但不限于)组织规划及与管理当局进行经济业务授权的决策过程有关的程序和记录。,三、 内部控制结构阶段20世纪80年代90年代 1.控制环境(Control Environment)反映董事会、管理者、业主和其他人员对控制的态度和行为。 2.会计系统 (Accounting System)规定各项经济业务的确认、归集、分类、分析、登记和编报方法 3.控制程序 (Control Procedure)指管理当局制定的政策和程序,以保证
5、达到一定的目的。,四 内部控制框架论阶段20世纪90年代后1 1992年,美国“反对虚假财务报告委员会”下属的由美国会计学会AAA、注册会计师协会AICPA、国际内部审计人员协会IIA、财务经理协会FEI和管理会计学会MAA等组织参与的“发起组织委员会(COSO) Committee of Sponsoring Organizations Of The Treadway Commission发布报告“内部控制整体框架”,即“COSO报告” ,标志内部控制框架阶段开始。2 COSO委员会( Committee of Sponsoring Organizations Of The Treadway
6、 Commission) 提出,“内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。”,四、内部控制框架阶段20世纪90年代后,1992年9月,COSO委员会发布了纲领性的内部控制文件内部控制整体框架,简称“COSO报告” ,并于1994年进行了增补。这份报告堪称内部控制发展史上的里程碑,不仅在业内备受推崇,而且在美国及全球得到了广泛的推广和应用。COSO报告相关知识点【(1)COSO报告中内部控制的组成 (2)COSO报告中内部控制的职责 (3)COSO报告的现实意义 (4)COSO报告的局限性 (5)CO
7、SO报告对我国企业的启示 】,四、内部控制框架论阶段20世纪90年代后,COSO报告提出了内部控制要素(Internal Control Components)的概念,认为内部控制整体框架包含五个相互联系的要素: (1)控制环境,包括:管理者的经营风格和经营理念、组织结构与权责分派体系、人员的品行与素质、人力资源政策及实务、管理控制方法等; (2)风险评估,包括风险识别和风险分析。 (3)控制活动,是企业对所确认的风险采取必要的措施,以保证企业目标得以实现的政策和程序。 (4)信息与沟通,指企业必须识别、捕捉、交流外部和内部信息沟通使员工了解其职责,保持对财务报告的控制。 (5)监控,包括日常
8、性监控和内部审计机构的监控。,五、风险管理阶段21世纪初期以来,COSO委员会在2004年发布了企业风险管理整合框架(以下简称风险管理框架)。该框架对风险管理的定义表述是:风险管理是一个过程,它由公司董事会、管理层以及其他员工执行,适用于公司战略的制定和整个公司范围,用来识别可能对公司产生影响的潜在事项,并将风险控制在企业可以承受的水平以内,为公司目标的实现提供合理保证。 企业风险管理整合框架,风险管理框架示意图 (八要素),2004年,COSO委员会的研究报告企业风险管理框架指出企业风险管理包括八个相互关联的构成要素。它们来源于管理当局经营企业的方式,并与管理过程整合在一起。这些构成要素是:
9、 内部环境内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。 目标设定必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。 事项识别必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。,风险评估通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。 风险应对管理当局选择风险应对回避、承
10、受、降低或者分担风险采取一系列行动以便把风险控制在主体的风险容限(risk tolerance)和风险容量以内。 控制活动制订和执行政策与程序以帮助确保风险应对得以有效实施。 信息与沟通相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。 监控对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。,四种类型的目标战略、经营、报告和合规用垂直方向的栏表示,八个构成要素用水平方向的行表示,而一个主体内的各个单元则用第三个维度表示。这种表示方式使我们既能够从整体上关注一个主体的企
11、业风险管理,也可以从目标类别、构成要素或主体单元的角度,乃至其中的任何一个分项的角度去加以认识。,内部控制、风险管理的起源、发展与继承示意图如下:,第三节 内部控制五大要素,评企业内部控制基本规范 五大要素内部环境、风险评估、控制活动、信息与沟通、 内部监督(一)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 (二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。,(三)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。 (四)信
12、息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。 (五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。,应用指引可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引,,(1)内部环境 内部环境是企业实施内部控制的基础,支配着企业全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。 财政部会计司司长刘玉廷解读企业内部控制配套指引 内部环境类指引有5项,包括组织架构、发展战略、人力资源、企业文化和社会责任等指引。财政
13、部会计司司长刘玉廷解读企业内部控制配套指引 财政部会计司解读企业内部控制应用指引第1号 财政部会计司解读企业内部控制应用指引第2号 财政部会计司解读企业内部控制应用指引第3号 财政部会计司解读企业内部控制应用指引第4号 财政部会计司解读企业内部控制应用指引第5号,(所谓控制环境是指董事会、企业管理者的管理理念、风险偏好,企业文化等影响内部控制运行的各种因素。这是其他内部控制要素发挥作用的基础。这些因素是企业内部控制的基础。主要包括:管理者的经营风格和经营理念、董事会及审计委员会、组织结构与权责分派体系、人员的品行与素质、人力资源政策及实务、管理控制方法、外部影响) (组织架构、发展战略、人力资
14、源、企业文化和社会责任),案例: “哲商”张瑞敏与海尔文化张瑞敏认为企业的成败不仅仅取决于市场占有率及利润水准等有形的东西,而更在于是否有着高度一致的内部价值认同和众口一词的外部形象评价。“人心齐,泰山移”。当他在美国GE考察时,发现GE的一个生产120万台电冰箱的总厂只有质量工程师而没有质量检查员的时候,受到了极大的冲击,强烈地意识到发挥人的自觉性与创造性的极端重要性,更加坚定了用文化、理念来领导企业的决心与信心。在海尔,“企业文化中心”是一个与“财务中心”、“资产管理中心”等平起平坐的功能机构,它有职有权,独立承担责任,这在国内众多企业中恐怕是凤毛麟角。,海尔具有合理的组织结构与权责分派要
15、求每项经济业务事项必须由两个或两个以上的部门承担,经过两个或两个以上的岗位处理;不相容职务进行适当分离; 权利和责任与控制任务相适应,并落实到具体部门。从海尔的发展历程看企业内部控制环境建设 从内部环境角度分析世通公司倒闭的原因P269,(2)风险评估COSO报告认为,环境和风险评估是提高企业内控效率和效果的关键。风险是指事件本身的不确定性,具客观性 如何评估?首先,找出风险点,即关键控制点 其次,看有无有效的控制措施最后,提出有针对性的建议措施,具体某一业务流程:首先,了解内控;通过咨询、调查表形式(在关键控制点设置问题);其次,检查措施执行情况,如“采购”,有无询价环节、高价购入、对库存材
16、料质量调查,是否购进不需要的物资、价高的物资、重复付款;最后,采取措施,审批问题,询价招标采购问题,验收问题,付款的批准(定单、合同、入库单、质检报告、发票等才能付款),整体风险评估: 以财务指标为核心的指标体系, 财务风险(到期债务)经营风险、技术风险,政策风险,市场风险,汇率、利率风险,环保风险。 财政部:绩效评价体系,(2)风险评估, COSO报告认为,环境和风险评估是提高企业内控效率和效果的关键。所谓风险评估指管理层识别并采取相应的行动来管理对经营、财务报告、符合性目标有影响的内部和外部的风险。包括风险识别和风险分析。企业的风险主要来源于:经营环境的变化;聘用新的人员;采取新的或改良的
17、信息系统;新技术的应用;新的行业、产品或经营活动的开发;企业改组;海外经营;新会计方法的应用。,第二十条 企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。第二十一条 企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。 风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。,第二十二条 企业识别内部风险,应当关注下列因素: (一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。 (二)组织机构、经营方式、资产管理、业务流程等管理因素。 (三)研究开发、技术
18、投入、信息技术运用等自主创新因素。 (四)财务状况、经营成果、现金流量等财务因素。 (五)营运安全、员工健康、环境保护等安全环保因素。 (六)其他有关内部风险因素。,第二十三条 企业识别外部风险,应当关注下列因素:(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。 (二)法律法规、监管要求等法律因素。 (三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 (四)技术进步、工艺改进等科学技术因素。 (五)自然灾害、环境状况等自然环境因素。 (六)其他有关外部风险因素。,第二十四条 企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险
19、进行分析和排序,确定关注重点和优先控制的风险。 企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。 第二十五条 企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。 企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。,第二十六条 企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。 风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策
20、略。 风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。 风险分担是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。 风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。,第二十七条 企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。论改进我国企业内部控制-由亚细亚失败引发的思考,(3) 控制活动所谓控制活动指企业对所确认的风险采取必要的措施,以保证企业目标得以实
21、现的政策和程序。 有关控制活动包括:业绩评价 信息处理: 包括一般控制与应用控制职责分离 : 包括业务授权与业务执行;业务执行与业务记录;业务记录与业务稽核实物控制:现金、存货、固定资产、有价证券,控制措施一般包括:1.不相容职务相互分离控制 日常业务中不相容职务分离控制表P277 案例7-p277 2.授权审批控制 3.会计系统控制 4.财产保护控制 5.预算控制 6.运营分析控制 7.绩效考评控制 8.重大风险预警机制和突发事件应急处理机制,企业可能授予其分公司购置不超过50万元固定资产的权限,只要拟购置的固定资产价格低于50万元,分公司都可以自行决定,这就是所谓的一般授权。对于超过50万
22、元的固定资产购置,则可能要求分公司提前3个月编制预算,并报请总公司批准,这就是所谓的特殊授权。,案例: 1 朱琳在流金公司从事会计工作10年有余,她对工作的忘我精神和高度的责任感,深得公司其他员工和老板的赞誉。最近,公司赋予她更多的职权和责任。然而,当注册会计师和公司的老板最后查明朱琳在过去的6年中采用非法手段侵吞了10万元巨款时,都感到吃惊和失望。朱琳作案的手法很简单,在向客户发出账单出售产品时,不登记销售日记账,待收到客户的付款时,不登记收款,而将款项侵吞。请问,导致朱琳有机可乘的主要原因是什么?,主要原因是内部控制不健全,没有执行充分的不相容职务分离。寄送账单与登记销售是不相容职务,收款
23、与登记收款也是不相容职务,集朱琳于一身,给她创造了侵吞销售款而又不容易被发现的机会。,案例: 2爱乐者协会每周一至周五晚上在文化宫举办音乐会。音乐会开始前,协会的一名员工在入场处把门。协会的会员,出示会员卡后可以免费入场,非会员观众,只有当场支付30元、换取到一张式样统一的入场券后,才能入场。每晚演出结束,这位把门的员工将收到的现金,交给协会的出纳。出纳当面清点,将现金存放入保险柜。每周六上午,出纳和把门的员工一起将保险柜中存放的所有现金,送存银行,收到银行出具的存款证明,作为每周登记账目的依据。爱乐者协会的管理层认识到门票收入的内部控制需要改进,聘请您帮助出谋划策。要求:指出门票收入现有内部
24、控制中存在的弱点,针对每项弱点,各提供一项改进建议。,1.无法确定购票入场的非会员观众人数。 1.门票应当连续编号,并按照售票顺序依次出票。 2.无法确定把门的员工在收钱的同时,有没有出票。 2.增加另外一名员工,专门负责收票(撕下票根) 3. 无法确定把门的员工是否将当晚的门票收入全部交给出纳 3.演出结束后,收钱(卖票)员工填写收入报告单一式两份,收票员工将之与自己收到的门票数(票根)核对相符后签字。收钱(卖票)员工将门票款和其中一份收入报告单交给出纳。票根和另一份收入报告单交给协会的会计人员。 4. 无法确定出纳在周六送存银行前不动用存放在保险箱的票款。 4.出纳被要求在演出结束的第二天
25、上午就将票款送存银行。 5.将银行提供的存款证明作为每周登记账目的依据,缺乏核对手段。 5.在票根、收入报告单以及银行的存款证明三者核对无误后,据此登记账目。,(4)信息与沟通 信息与沟通是及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业外部之间进行有效沟通。重要信息应当及时传递给董事会、监事会和经理层。企业必须识别、捕捉、交流外部和内部信息 沟通使员工了解其职责,保持对财务报告的控制 1.信息质量 2.沟通制度 3.信息系统 4.反舞弊机制,(5)内部监督 内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。内部监
26、督分为日常监督和专项监督: 日常性监控,如企业管理层、部门主管及相关岗位的职员。特设内部审计机构的监控,保证内部审计机构的独立性、权威性。,日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。,4 五要素关系:相互独立,相互联系 环境是基础, 控制活动是核心, 风险评估是控制的前提, 信息与沟通是条件 监控是保证 案例7-5P284分析资料中内控五要素哪些方面存在问题,简要说明理由,阅读材料:1 从海尔的发展历程看企业内部控制环境建设 2 企业风险管理整体框架,作 业,1、内部控制的主体包括哪些? 2、按控制时间不同可将内部控制分为哪几类? 3、目前,人们对内部控制存在哪些不当的观念和误解? 4、什么是实体物资控制?主要包括哪些? 5、2004年COSO委员会在企业风险管理整合框架中提出了几要素观? 6、试举一个实物牵制的例子。 7、请结合自己的认识,谈谈内部控制与审计学的关系。,
