《内部控制案例研究.ppt》由会员分享,可在线阅读,更多相关《内部控制案例研究.ppt(593页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、内部控制案例研究 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望内容提要内容提要一、内部控制建设的一、内部控制建设的意义意义二、内部控制二、内部控制观念观念的演变的演变 三、我国内部控制三、我国内部控制规范规范体系体系四、内部控制典型四、内部控制典型案例案例(T10)五、内部控制五、内部控制业务业务分析分析 2一、内部控制建设的意义一、内部控制建设的意义(一)宏观背景(一)宏观背景企业内部控制规范:如箭在弦企业内部控制规范:如箭在弦n2010年年4月,财政部会同证
2、监会、审计署、国资委、月,财政部会同证监会、审计署、国资委、银监会、保监会等部门制定了企业内部控制银监会、保监会等部门制定了企业内部控制应用应用指引指引第第1号号组织架构等组织架构等18项应用指引、企项应用指引、企业内部控制业内部控制评价指引评价指引和企业内部控制和企业内部控制审计指引审计指引,连同,连同2008年年5月发布的企业内部控制月发布的企业内部控制基本规基本规范范,共同构建了,共同构建了中国企业内部控制规范体系中国企业内部控制规范体系。n企业内部控制企业内部控制基本规范基本规范2010年年1月月1日由日由境外境外上市公司上市公司先期执行,先期执行,2011年境内上市公司年境内上市公司
3、执行。执行。3n企业内部控制企业内部控制配套指引配套指引自自2011年年1月月1日起在日起在境内外同时上市境内外同时上市的公司施行,自的公司施行,自2012年年1月月1日起在上海证券交易所、深圳证券交易所日起在上海证券交易所、深圳证券交易所主板主板上市公司上市公司施行。在此基础上,施行。在此基础上,择机在中小板和择机在中小板和创业板上市公司施行,鼓励非上市大中型企业创业板上市公司施行,鼓励非上市大中型企业提前执行提前执行。n执行企业内部控制基本规范及企业内部控执行企业内部控制基本规范及企业内部控制配套指引的上市公司和非上市大中型企业,制配套指引的上市公司和非上市大中型企业,应当对内部控制的有效
4、性进行自我评价,披露应当对内部控制的有效性进行自我评价,披露年度自我评价报告年度自我评价报告,同时应当聘请会计师事务,同时应当聘请会计师事务所所对财务报告内部控制的有效性进行审计对财务报告内部控制的有效性进行审计并出并出具审计报告。具审计报告。4n德勤德勤2007-2008年对国内上市公司的内部控制实年对国内上市公司的内部控制实施状况,进行了跟踪调查。施状况,进行了跟踪调查。德勤发现:德勤发现:56的公的公司没有建立,或现有内部控制机制尚不完善;司没有建立,或现有内部控制机制尚不完善;72的公司没有持续监控内部控制的有效机制,或的公司没有持续监控内部控制的有效机制,或未得到任何改善。未得到任何
5、改善。n就企业内控水平而言,海外上市公司的水平最高,就企业内控水平而言,海外上市公司的水平最高,其次是国内的上市公司,随后是其他未上市的大其次是国内的上市公司,随后是其他未上市的大型企业,型企业,中小企业的内控审计建设最为薄弱中小企业的内控审计建设最为薄弱。n内控是对企业内控是对企业业务流程的再造业务流程的再造,执行企业需要增,执行企业需要增设专门岗位和专业人员,制定相应流程。设专门岗位和专业人员,制定相应流程。n建立以基本规范为统领,以评价指引、应用指引建立以基本规范为统领,以评价指引、应用指引和内部控制鉴证指引为补充的内控标准体系,以和内部控制鉴证指引为补充的内控标准体系,以法制为推动、以
6、企业实施为主体、以政府监管和法制为推动、以企业实施为主体、以政府监管和社会评价为保障、以各方面积极参与为促进的社会评价为保障、以各方面积极参与为促进的内内控实施体系,已如箭在弦,不得不发控实施体系,已如箭在弦,不得不发。5国际资本市场:国际资本市场:“入门证入门证”和和“通行证通行证”n许多国家通过立法强化企业内部控制许多国家通过立法强化企业内部控制,内部控,内部控制日益成为企业进入制日益成为企业进入资本市场的资本市场的“入门证入门证”和和“通行证通行证”。n研究结果表明,内部控制存在缺陷,是导致企研究结果表明,内部控制存在缺陷,是导致企业业经营失败经营失败并最终铤而走险、欺骗投资者和社并最终
7、铤而走险、欺骗投资者和社会公众的重要原因。会公众的重要原因。n我国境外上市企业纷纷我国境外上市企业纷纷花巨资花巨资聘请海外机构设聘请海外机构设计内部控制制度(聘请海外机构做设计,需要计内部控制制度(聘请海外机构做设计,需要5000万元左右万元左右;而请国内公司做设计,需要;而请国内公司做设计,需要500万元左右),以适应上市地的监管要求。万元左右),以适应上市地的监管要求。6n例如,例如,美国美国SOX法案第法案第404条款(公认最严格、条款(公认最严格、最复杂、执行成本最高)最复杂、执行成本最高)强调,公众公司内控活强调,公众公司内控活动的动的操作流程都必须清楚地定义并保存相关记录,操作流程
8、都必须清楚地定义并保存相关记录,任何一个岗位的职务、职责都应描述得一目了然任何一个岗位的职务、职责都应描述得一目了然,在对交易进行财务记录的每一个环节都应有相应在对交易进行财务记录的每一个环节都应有相应的内部控制制度,并指出内部控制的缺陷所在。的内部控制制度,并指出内部控制的缺陷所在。n它还特别规定,公众公司管理层负有建立和维护它还特别规定,公众公司管理层负有建立和维护内部控制系统以及保证相应控制程序充分有效的内部控制系统以及保证相应控制程序充分有效的责任,编制的年度报告须包括责任,编制的年度报告须包括内部控制报告内部控制报告,体,体现管理层对现管理层对最近财政年度末最近财政年度末对内部控制体
9、系及控对内部控制体系及控制程序有效性的评价,并由担任公司制程序有效性的评价,并由担任公司年报审计年报审计的的会计师事务所对其出具评价报告(但会计师事务所对其出具评价报告(但不作为一项不作为一项单独的业务单独的业务)。)。7风险控制:天使风险控制:天使Or魔鬼魔鬼n内部控制与风险管理是一个事情的两个方面,正内部控制与风险管理是一个事情的两个方面,正因为因为有风险才需要控制有风险才需要控制。n为了引导企业进一步加强内部控制,为了引导企业进一步加强内部控制,1999年修订年修订的会计法,第一次以法律的形式对建立健全的会计法,第一次以法律的形式对建立健全内部控制提出原则要求。内部控制提出原则要求。n但
10、从现实情况看,许多企业管理松弛、但从现实情况看,许多企业管理松弛、内控弱化、内控弱化、风险频发风险频发,资产流失、营私舞弊、损失浪费等问,资产流失、营私舞弊、损失浪费等问题还比较突出。题还比较突出。n随着市场经济的发展和企业环境的变化,随着市场经济的发展和企业环境的变化,单纯依单纯依赖会计控制已难以应对企业面对的市场风险,会赖会计控制已难以应对企业面对的市场风险,会计控制必须向风险控制发展计控制必须向风险控制发展。8n以史为鉴以史为鉴英国议会曾否决将电力、煤气引英国议会曾否决将电力、煤气引入伦敦的千家万户入伦敦的千家万户n否决引入电力的理由否决引入电力的理由:n“如果把电通到千家万户之后,每一
11、户人家至如果把电通到千家万户之后,每一户人家至少都得有一个电插头吧?那个少都得有一个电插头吧?那个电插头的杀伤力电插头的杀伤力绝对不可低估,简直就是现代化的杀伤性武器!绝对不可低估,简直就是现代化的杀伤性武器!如果在全伦敦、全英国普及用电,就等于是给如果在全伦敦、全英国普及用电,就等于是给每一个英国人,包括所有的大人、小孩、坏人、每一个英国人,包括所有的大人、小孩、坏人、精神病患者等等,都发了一把枪,使他们精神病患者等等,都发了一把枪,使他们每个每个人都具备了把别人或者自己随便杀死的武器和人都具备了把别人或者自己随便杀死的武器和能力。这实在是太可怕了!能力。这实在是太可怕了!”9n否决引入煤气
12、否决引入煤气的理由:的理由:n“如果千家万户都用煤气,肯定需要储存煤气的如果千家万户都用煤气,肯定需要储存煤气的巨大煤气罐吧?巨大煤气罐吧?把那么多个大煤气罐摆放在伦敦,把那么多个大煤气罐摆放在伦敦,那就等于放了数个巨大的那就等于放了数个巨大的炸药包炸药包。任何一个。任何一个国家总有一些坏人,如果这些坏人自己不想活了,国家总有一些坏人,如果这些坏人自己不想活了,一旦把巨大的一旦把巨大的炸药包炸药包点着,两千多年的文明点着,两千多年的文明古城岂不是毁于一旦了吗?古城岂不是毁于一旦了吗?难道有谁能承担得了难道有谁能承担得了这个责任吗?这个责任吗?”n教训:内部控制的宗旨是兴利除弊,教训:内部控制的
13、宗旨是兴利除弊,兴利是要作兴利是要作“天使天使”,除弊则是要驱除,除弊则是要驱除“魔鬼魔鬼”,但切忌,但切忌“好心办坏事好心办坏事”。n英国历史上的决策失误英国历史上的决策失误曾否决将电力、煤气曾否决将电力、煤气引入伦敦的千家万户,就是引入伦敦的千家万户,就是真理走向谬误、控制真理走向谬误、控制变成桎梏的反面例子变成桎梏的反面例子。10(二)权威观点(二)权威观点n周礼:虑夫掌财用财之吏,渗漏乾后,或者周礼:虑夫掌财用财之吏,渗漏乾后,或者容奸而肆欺容奸而肆欺于是于是一毫财赋之出入,数人之耳一毫财赋之出入,数人之耳目通焉目通焉。q具体到职务设置上,以货币资金的控制为例,专门具体到职务设置上,以
14、货币资金的控制为例,专门设置了设置了职入官、职岁官和职币官职入官、职岁官和职币官,来分掌货币资金,来分掌货币资金的收入、支出和余额,体现了内部牵制思想。的收入、支出和余额,体现了内部牵制思想。q“在在内部控制、预算和审计程序内部控制、预算和审计程序等方面,周代在古等方面,周代在古代世界是代世界是无与伦比无与伦比的。的。”(会计思想史,迈克(会计思想史,迈克尔尔.查特菲尔德)查特菲尔德)11nWillieHackett&Sybilc.Mobley:内部控制:内部控制作为一种作为一种常识常识出现,是出现,是利润动机的自然产物利润动机的自然产物。第一位倡导者一旦发明获取利润的方法,就会第一位倡导者一
15、旦发明获取利润的方法,就会建立控制和保护利润的制度,说明了内部控制建立控制和保护利润的制度,说明了内部控制对兴利的意义。对兴利的意义。nCOSO:之所以要设置内部控制,就是促使企:之所以要设置内部控制,就是促使企业在迈向获利目标的路上,达成管理理念,并业在迈向获利目标的路上,达成管理理念,并把路上的意外惊吓减到最少把路上的意外惊吓减到最少。12nBasleCommitteeonBankingSupervision:著名商业银行著名商业银行失败事件的原因,除了内部控制失失败事件的原因,除了内部控制失效外,很难再找到其他因素。效外,很难再找到其他因素。n巴林银行新加坡期货公司执行经理尼克巴林银行新
16、加坡期货公司执行经理尼克里森:里森:“有一群人本来可以揭穿并阻止我的把戏,但他有一群人本来可以揭穿并阻止我的把戏,但他们没有这样做。我不知道他们的疏忽与们没有这样做。我不知道他们的疏忽与罪犯级的罪犯级的疏忽疏忽之间的界限何在,也不清楚他们是否对我负之间的界限何在,也不清楚他们是否对我负有什么责任。但如果是在任何其他一家银行,我有什么责任。但如果是在任何其他一家银行,我是不会有机会开始这项犯罪的。是不会有机会开始这项犯罪的。”q形象地说,健全、完善的内部控制制度是可以形象地说,健全、完善的内部控制制度是可以“治病救人治病救人”的,因为的,因为“一个不好的制度会让好人一个不好的制度会让好人变成坏人
17、,而一个好的制度会让坏人变成好人变成坏人,而一个好的制度会让坏人变成好人”。13n国国际际会会计计公公司司KPMG(毕毕马马威威)1998年年以以美美国国5000家家公公司司组组织织为为对对象象开开展展欺欺诈诈调调查查,统统计计结结果果显显示示:舞舞弊弊被被发发现现的的概概率率大大致致为为雇雇员员通通报报58%,内内部部控控制制51%,内内部部审审计计师师43%,客客户户举举报报41%,偶偶然然发发现现37%,管管理理当当局局调调查查35%,匿匿名名举举报报35%,热热线线通通报报25%,雇雇员员调调查查21%,政政府府/警警察察通通报报16%,外外部部审审计计师师4%,其他来源其他来源20%
18、(允许复选)。(允许复选)。n美美国国注注册册舞舞弊弊审审查查师师协协会会2002年年的的调调查查报报告告显显示示,约约占占90%的的受受害害公公司司缺缺乏乏适适当当的的内内部部控控制制制制度度,或或者者内内部部控控制制制制度度被被员员工工忽忽视视,没没有有得得到很好地执行到很好地执行。14n内部控制已成为时下企业管理层、审计师、内部控制已成为时下企业管理层、审计师、各国政府,以及相关监管部门各国政府,以及相关监管部门万众瞩目的焦万众瞩目的焦点点。q这个今日在经济管理领域的许多方面仍然这个今日在经济管理领域的许多方面仍然发挥重要作用的内部控制思想,其发展应发挥重要作用的内部控制思想,其发展应归
19、功于历代归功于历代企业家、政府官员、会计人员企业家、政府官员、会计人员和著书立说者和著书立说者们们的不懈努力。他们不是在的不懈努力。他们不是在实践中实践中应用应用这一思想,就是至少这一思想,就是至少提倡提倡应用应用这一思想。这一思想。汤姆汤姆.李(李(Tom.Lee)15美国国家审计师的惊世之举!美国国家审计师的惊世之举!n2010年年3月月12日,美国政府责任署(日,美国政府责任署(TheU.S.GovernmentAccountabilityOffice,GAO),也是国家审计师,),也是国家审计师,对美国政府公布对美国政府公布的的2009财年的财务报告无法发表审计意见,因财年的财务报告无
20、法发表审计意见,因为普遍存在实质性内部控制薄弱环节为普遍存在实质性内部控制薄弱环节和其他局和其他局限性。限性。n归因于四个机构:归因于四个机构:美国国防部、美国国土安全美国国防部、美国国土安全部、美国国务院和美国航天局部、美国国务院和美国航天局。1617二、内部控制观念的演变二、内部控制观念的演变(一)萌芽期一一内部牵制(一)萌芽期一一内部牵制n“Controls”一词最初从拉丁语一词最初从拉丁语“contrarotulus”派生而来,意为派生而来,意为“对比卷宗对比卷宗”。n它起源于古罗马时代对会计账簿实施的它起源于古罗马时代对会计账簿实施的“双人双人记账制记账制”,即某笔经济业务发生后,由
21、两名记,即某笔经济业务发生后,由两名记账人员同时在各自的账簿上加以登记,然后定账人员同时在各自的账簿上加以登记,然后定期核对双方账簿记录,以检查有无记账差错或期核对双方账簿记录,以检查有无记账差错或舞弊行为,进而达到控制财物收支的目的。舞弊行为,进而达到控制财物收支的目的。18n对比卷宗和双人记账制体现的是对比卷宗和双人记账制体现的是内部牵制思想内部牵制思想,其其基本原理基本原理就是:两个或两个以上的人或部门,就是:两个或两个以上的人或部门,无意识地犯同样错误的可能性,低于单独一个无意识地犯同样错误的可能性,低于单独一个人或一个部门错误的可能性;有意识地合伙舞人或一个部门错误的可能性;有意识地
22、合伙舞弊的可能性,低于单独一个人或一个部门舞弊弊的可能性,低于单独一个人或一个部门舞弊的可能性(的可能性(联合概率降低联合概率降低)。)。n柯氏会计词典将内部牵制定义为:柯氏会计词典将内部牵制定义为:“用以用以提供有效的组织和经营,并防止错误和其他非提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计。其主要特点是:法业务发生的业务流程设计。其主要特点是:以任何个人或部门不能单独控制任何一项或一以任何个人或部门不能单独控制任何一项或一部分业务权力的方式,进行组织上的责任分工;部分业务权力的方式,进行组织上的责任分工;每项业务通过正常发挥其他个人或部门的功能,每项业务通过正常发挥其他
23、个人或部门的功能,进行进行交叉检查或交叉控制交叉检查或交叉控制。”19n内部牵制内部牵制以不相容职务分离和授权批准控制为以不相容职务分离和授权批准控制为标志标志,至今仍然是控制活动的思想精髓。所谓,至今仍然是控制活动的思想精髓。所谓不相容职务,是指那些如果由一个人担任,既不相容职务,是指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为,因而必须予以分离的职务,如和舞弊行为,因而必须予以分离的职务,如授授权批准、业务经办、会计记录、财产保管和稽权批准、业务经办、会计记录、财产保管和稽核检查核检查。20(二)发展期一一内部控制制度(
24、二)发展期一一内部控制制度n美国审计程序委员会下属的内部控制专美国审计程序委员会下属的内部控制专门委员会于门委员会于1949年对内部控制首次做出年对内部控制首次做出了如下权威定义:了如下权威定义:n“内部控制是企业所制定的旨在内部控制是企业所制定的旨在保护资保护资产、保证会计资料可靠性和准确性、提产、保证会计资料可靠性和准确性、提高经营效率,推动管理部门所制定的各高经营效率,推动管理部门所制定的各项政策得以贯彻执行项政策得以贯彻执行的组织计划和相互的组织计划和相互配套的各种方法及措施配套的各种方法及措施”。21n1958年年10月,美国审计程序委员会对内部控制作月,美国审计程序委员会对内部控制
25、作了如下划分(了如下划分(两分法两分法):):(1)会计控制会计控制n由组织计划和所有保护资产、保护会计记录可靠性由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成,包括授权与批准制或与此有关的方法和程序构成,包括授权与批准制度;记账、编制财务报表、保管财务资产等职务的度;记账、编制财务报表、保管财务资产等职务的分离;财产的实物控制以及内部审计等控制。分离;财产的实物控制以及内部审计等控制。(2)管理控制管理控制n由组织计划和所有为提高经营效率、保证管理部门由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的所制定的各项政策得到贯彻执行或
26、与此直接有关的方法和程序构成,包括统计分析、时动研究、经营方法和程序构成,包括统计分析、时动研究、经营报告、雇员培训计划和质量控制等。报告、雇员培训计划和质量控制等。22n1977年的年的反国外贿赂法案(反国外贿赂法案(ForeignCorruptPracticesAct)是最早的关于内)是最早的关于内部控制要求的法律,要求美国所有的上市公司部控制要求的法律,要求美国所有的上市公司必须建立内部会计控制制度必须建立内部会计控制制度,以防范公司资金,以防范公司资金被用于不法目的。被用于不法目的。n但但 1980年年3月,在国际内部审计师协会代表大月,在国际内部审计师协会代表大会的发言中,凯罗鲁斯把
27、会的发言中,凯罗鲁斯把内部控制的两分法内部控制的两分法描描绘为绘为“将美玉击成了将美玉击成了碎片碎片”。他声称,。他声称,在这块在这块美玉完全修复(破镜重圆)以前,我们不可能美玉完全修复(破镜重圆)以前,我们不可能有一个对管理人员有用、为管理人员理解的内有一个对管理人员有用、为管理人员理解的内部控制定义部控制定义。23(三)成熟期(三)成熟期内部控制结构内部控制结构(1988)和内部控制整体架构()和内部控制整体架构(1992)1.内部控制结构内部控制结构(InternalControlStructure)n1988年,美国注册会计师协会指出:年,美国注册会计师协会指出:“企业的企业的内部控制
28、结构包括为合理保证企业特定目标的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序实现而建立的各种政策和程序”。n内部控制结构内部控制结构不再将内部控制割裂不再将内部控制割裂成会计控制成会计控制和管理控制两部分,并正式和管理控制两部分,并正式将控制环境纳入内将控制环境纳入内部控制范畴。部控制范畴。24(1)控制环境控制环境n对对建立、加强或削弱特定政策和程序效率建立、加强或削弱特定政策和程序效率发生影发生影响的各种因素,反映董事会、经理层、其他管理响的各种因素,反映董事会、经理层、其他管理人员对内部控制的人员对内部控制的态度、认识和行动态度、认识和行动:q管理当局的思想和经营作
29、风管理当局的思想和经营作风q企业组织机构企业组织机构q董事会及其所属委员会的作用董事会及其所属委员会的作用q确定职权和责任的方法确定职权和责任的方法q监控和检查工作时所有控制方法,包括经营计划、监控和检查工作时所有控制方法,包括经营计划、预算,利润计划、责任会计和内部审计预算,利润计划、责任会计和内部审计q人事工作方针及其执行人事工作方针及其执行q影响本企业业务的各种外部关系影响本企业业务的各种外部关系25(2)会计系统会计系统n确认和登记一切确认和登记一切合法合法的经济业务的经济业务n对各种经济业务进行对各种经济业务进行按时和适当的分类按时和适当的分类,作为,作为编制会计报表的依据编制会计报
30、表的依据n将各种经济业务按适当的货币价值将各种经济业务按适当的货币价值计价计价,以便,以便列入会计报表列入会计报表n确定经济业务发生的日期,以便分确定经济业务发生的日期,以便分会计期间会计期间进进行记录行记录n在会计报表中在会计报表中恰当表述恰当表述经济业务以及有关内容经济业务以及有关内容26(3)控制程序控制程序n管理当局所制订的,用以保证达到一定目标的方管理当局所制订的,用以保证达到一定目标的方针和程序针和程序:q经济业务和活动的批准和授权(经济业务和活动的批准和授权(授权批准控制授权批准控制)q明确各个人员的职责分工(明确各个人员的职责分工(不相容职务分离不相容职务分离)q凭证和账单的设
31、计和使用应保证经济业务和活动得凭证和账单的设计和使用应保证经济业务和活动得到正确的职务分离的记载(如到正确的职务分离的记载(如连续编号连续编号)q财产及其记录的接触使用要有保护措施(如财产及其记录的接触使用要有保护措施(如限制接限制接近近)q对已登记的业务及其计价进行复核(对已登记的业务及其计价进行复核(独立稽核独立稽核)272.内部控制整体架构(内部控制整体架构(Internal Control一一Integrated Framework)n1992年年,美美国国反反财财务务欺欺诈诈委委员员会会下下属属的的内内部部控控制制专专门门研研究究委委员员会会COSO(CommitteeofSpons
32、oringOrganizationsoftheTread-wayCommission),提提出出内内部部控控制制整整体体框框架架(InternalControl-IntegratedFramework)的的专专题题报报告告(又又称称COSO报告报告),),在世界范围内得到广泛应用在世界范围内得到广泛应用。28nCOSO报报告告指指出出,内内部部控控制制是是一一个个过过程程,受受企企业业董董事事会会、管管理理当当局局和和其其他他员员工工影影响响,旨旨在在保保证证财财务务报报告告的的可可靠靠性性、经经营营的的效效果果和和效效率率以以及及现行法规的遵循。现行法规的遵循。n内内部部控控制制是是一一个个
33、“发发现现问问题题-解解决决问问题题-发发现现新新问问题题-解解决决新新问问题题”的的循循环环往往复复的的过过程程,是是企企业业经经营营过过程程的的一一部部分分,目目标标是是在在合合法法经经营营的的前前提提下下,提提高高经经营营的的效效率率与与效效果果,向向外外界界提提供供可可信信的的财财务务报报告告。但但它它并并不不是是一一门门纯纯粹粹的的技技术术,相相反反它它是是“人人为为”的的,需需要要全全员员参参与与,其其设设计计和和执行效果受制于执行效果受制于“人人”的因素。的因素。29n内部控制整体架构主要由控制环境、风险评估、内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督控
34、制活动、信息与沟通、监督五项要素五项要素构成:构成:(1)控制环境控制环境(ControlEnvironment)n提供企业纪律与架构,塑造企业文化,并影响企提供企业纪律与架构,塑造企业文化,并影响企业员工的控制意识,是所有其它内部控制组成要业员工的控制意识,是所有其它内部控制组成要素的素的基础基础。q员工的诚实和职业道德员工的诚实和职业道德q员工的胜任能力员工的胜任能力q董事会及审计委员会的参与董事会及审计委员会的参与q管理哲学和经营作风管理哲学和经营作风q组织机构组织机构q权力和责任的规定权力和责任的规定q人力资源政策与执行人力资源政策与执行30(2)风险评估风险评估(RiskAssess
35、ment)n分析和辨认分析和辨认实现所定目标可能发生的风险实现所定目标可能发生的风险(评估(评估风险的先决条件,是制定目标)。风险的先决条件,是制定目标)。q经营环境的变化经营环境的变化q聘用新员工聘用新员工q采用新的或改良的信息系统采用新的或改良的信息系统q迅猛的发展速度迅猛的发展速度q新技术的采用新技术的采用q企业改组企业改组q新的行业、产品或经营活动的开发新的行业、产品或经营活动的开发q海外经营海外经营q新会计方法的采用新会计方法的采用31(3)控制活动控制活动(ControlActivities)n确保管理层的指令得以执行的确保管理层的指令得以执行的政策及程序政策及程序,如核,如核准、
36、授权、验证、调节、复核营业绩效、保障资准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工。产安全及职务分工。n政策规定应该做什么,程序则使政策产生效果政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。政策是程序的基础。n控制活动是针对控制活动是针对关键控制点关键控制点而制定的:而制定的:q业绩评价业绩评价q信息处理控制信息处理控制q实物控制实物控制q职务分离职务分离q授权与批准授权与批准32(4)信息与沟通信息与沟通(InformationandCommunication)n企业在其经营过程中,需按某种形式辨识、取得企业在其经营过程中,需按某种形式辨识、取得确切的信息,并进行
37、沟通,以使员工能够履行其确切的信息,并进行沟通,以使员工能够履行其责任。责任。n企业所有职员必须从企业所有职员必须从最高管理阶层最高管理阶层清楚地获取承清楚地获取承担控制责任的信息,有向担控制责任的信息,有向上级部门上级部门沟通重要信息沟通重要信息的方法,并对的方法,并对外界顾客、供应商、政府主管机关外界顾客、供应商、政府主管机关和股东和股东等做有效的沟通。等做有效的沟通。33n会计系统是信息系统最为重要的组成部分会计系统是信息系统最为重要的组成部分:q确认、记录所有有效的经济业务确认、记录所有有效的经济业务q序时详细记录经济业务,以便适当归类、提供财务序时详细记录经济业务,以便适当归类、提供
38、财务报报告报报告q采用适当的货币价值计量经济业务采用适当的货币价值计量经济业务q确定经济业务发生时期,并保证在合理的会计期记确定经济业务发生时期,并保证在合理的会计期记录经济业务录经济业务q在财务报告中恰当披露经济业务在财务报告中恰当披露经济业务34(5)监控监控(Monitoring)n由适当的人员,在适当及时的基础上,评估控制由适当的人员,在适当及时的基础上,评估控制的设计和运作情况的过程,由的设计和运作情况的过程,由持续监督、个别评持续监督、个别评估估组成,确保企业内部控制持续有效运作。组成,确保企业内部控制持续有效运作。n在监控过程中,有两项职能发挥着重要作用:在监控过程中,有两项职能
39、发挥着重要作用:q一是一是内部审计内部审计,它是,它是内部控制的最高层次内部控制的最高层次,是,是控制控制中的控制中的控制。q二是二是控制自我评估控制自我评估(ControlSelfAppraisal,CSA)。它的基本特征是:时刻关注企业内部经济)。它的基本特征是:时刻关注企业内部经济业务事项的进展情况和内部控制的成效;由企业内业务事项的进展情况和内部控制的成效;由企业内部全体人员共同参与和实施;利用部全体人员共同参与和实施;利用目标管理目标管理的方法的方法开展评估活动。开展评估活动。35五要素及其相互关系五要素及其相互关系 监控监控控制活动控制活动风风险险评评估估控控制制环环境境信信息息沟
40、沟通通信信息息沟沟通通基础基础手段手段保证保证载体载体依据依据36(四)最新发展(四)最新发展企业风险管理企业风险管理(enterprise risk management)n2004年年9月,月,COSO委员会顺应委员会顺应风险管理与内风险管理与内部控制相融合部控制相融合的趋势,吸收了风险管理的研究的趋势,吸收了风险管理的研究成果,结合萨班斯成果,结合萨班斯奥克斯莱法案,正奥克斯莱法案,正式颁布企业风险管理整体框架(式颁布企业风险管理整体框架(EnterpriseRiskManagement-IntegratedFramework)。)。37定义与目标定义与目标nCOSO指出,指出,企业风险
41、管理企业风险管理是由企业的董事会、是由企业的董事会、管理层和其他人员实施的,应用于战略制定并贯管理层和其他人员实施的,应用于战略制定并贯穿整个企业的一个过程,旨在识别可能影响企业穿整个企业的一个过程,旨在识别可能影响企业的潜在事件,并在企业的风险容量内管理风险,的潜在事件,并在企业的风险容量内管理风险,为实现企业的以下目标提供合理的保证:为实现企业的以下目标提供合理的保证:(1)战略目标战略目标,为最高层次的目标;,为最高层次的目标;(2)经营目标经营目标,包括资源运用的效果和效率;,包括资源运用的效果和效率;(3)报告目标报告目标,即报告的可靠性;,即报告的可靠性;(4)遵循性目标遵循性目标
42、,即合法合规性。,即合法合规性。38组成要素组成要素(1)内部环境内部环境(InternalEnvironment)n内部环境为如何看待风险和着手控制确立了内部环境为如何看待风险和着手控制确立了基基础础:q风险管理哲学风险管理哲学q风险文化风险文化q董事会董事会39q诚心和道德观诚心和道德观q能力承诺能力承诺q管理哲学和经营风险管理哲学和经营风险q风险偏好风险偏好q组织结构组织结构q权利和责任的分配权利和责任的分配q人力资源政策和实践人力资源政策和实践40(2)目标设定目标设定(ObjectiveSetting)n管理当局采取恰当的程序去设定目标,保证选管理当局采取恰当的程序去设定目标,保证选
43、定的目标支持主体的定的目标支持主体的使命使命,并与其相衔接,以,并与其相衔接,以及与它的及与它的风险容量风险容量相适应。相适应。q战略目标战略目标q相关目标相关目标q选定目标选定目标q风险偏好风险偏好q风险承受度风险承受度41(3)事项识别事项识别(EventIdentification)n从影响目标实现的从影响目标实现的内部或外部资源内部或外部资源中,识别潜中,识别潜在的事项,包括区分在的事项,包括区分表示风险的事项或表示机表示风险的事项或表示机会的事项会的事项,以及可能二者兼有的事项。,以及可能二者兼有的事项。q事件事件q影响战略和目标的因素影响战略和目标的因素q方法论和技巧方法论和技巧q
44、实践相互依赖性实践相互依赖性q事件类别事件类别q风险和机遇风险和机遇42(4)风险评估风险评估(RiskAssessment)n企业管理当局企业管理当局对识别的风险进行分析对识别的风险进行分析,作为确,作为确定如何对它们进行管理的依据。定如何对它们进行管理的依据。q内部和剩余风险内部和剩余风险q可能性和影响可能性和影响q方法论和技巧方法论和技巧q相互关系相互关系43(5)风险反应风险反应(RiskResponse)n管理当局识别、评价可能的风险应对措施,包管理当局识别、评价可能的风险应对措施,包括括回避、承担、降低和分担风险回避、承担、降低和分担风险,使风险,使风险与主与主体的风险容量相适应体
45、的风险容量相适应。q识别风险反应识别风险反应q评价风险反应评价风险反应q选择反应选择反应q组合观组合观44(6)控制活动控制活动(ControlActivities)n企业企业制定和实施政策与程序制定和实施政策与程序,以帮助确保,以帮助确保管理当局所选择的风险应对策略得以有效管理当局所选择的风险应对策略得以有效实施。实施。q与风险反应相结合与风险反应相结合q控制活动的类型控制活动的类型n一般控制一般控制n应用控制应用控制q主体特性主体特性45(7)信息与沟通信息与沟通(InformationandCommunication)n各个层级都需要各个层级都需要借助信息来识别、评估和应对借助信息来识别
46、、评估和应对风险风险,员工也需要获得有关他们的,员工也需要获得有关他们的职能和责任职能和责任的清晰沟通的清晰沟通。q信息信息q战略整合系统战略整合系统q沟通沟通46(8)监控监控(Monitoring)n整个企业风险管理应处于监控之下,必要时整个企业风险管理应处于监控之下,必要时还应进行修正,能够动态地反应、根据条件还应进行修正,能够动态地反应、根据条件的要求而变化。监控通过的要求而变化。监控通过持续的管理活动、持续的管理活动、对企业风险管理的单独评价对企业风险管理的单独评价或者两者的结合或者两者的结合来完成。来完成。q个别评估个别评估q持续评估持续评估47角色职责角色职责n在企业风险管理整体
47、框架中,体现了在企业风险管理整体框架中,体现了全员参与、全员参与、全面控制全面控制的思想,各方的角色职责相互协同:的思想,各方的角色职责相互协同:(1)董事会董事会在风险管理方面负有总体责任。董事在风险管理方面负有总体责任。董事会需要批准企业的风险偏好,复核企业的风险会需要批准企业的风险偏好,复核企业的风险组合观并与企业的风险偏好相比较,评估企业组合观并与企业的风险偏好相比较,评估企业最重要的风险并评估管理者的风险反应是否适最重要的风险并评估管理者的风险反应是否适当。当。(2)CEO必须确定目标和战略方案,并将其分为必须确定目标和战略方案,并将其分为战略目标、经营目标、报告目标和遵循目标。战略
48、目标、经营目标、报告目标和遵循目标。(3)管理层管理层需要识别风险和影响风险的事项,评需要识别风险和影响风险的事项,评估风险,采取控制措施。估风险,采取控制措施。48(4)风险主管或风险经理风险主管或风险经理在其职责范围内建立并在其职责范围内建立并维护有效的风险管理框架,也负有帮助其他管维护有效的风险管理框架,也负有帮助其他管理人员在企业内向上、向下和横向报告有关风理人员在企业内向上、向下和横向报告有关风险信息的职责。险信息的职责。(5)内部审计人员内部审计人员在企业风险管理监控中发挥重在企业风险管理监控中发挥重要作用。他们对管理层的风险管理过程的充分要作用。他们对管理层的风险管理过程的充分性
49、和有效性进行检查、评价、报告和提出改进性和有效性进行检查、评价、报告和提出改进建议,协助管理层和董事会履行职责。建议,协助管理层和董事会履行职责。(6)执法人员执法人员可以考虑采用本企业风险管理整体可以考虑采用本企业风险管理整体框架的定义和内容对企业的管理加以规范。框架的定义和内容对企业的管理加以规范。(7)对财务管理、审计等提供指导的)对财务管理、审计等提供指导的专业组织专业组织,应根据本框架的精神考虑他们的标准和指引。应根据本框架的精神考虑他们的标准和指引。49(五)企业风险管理整体框架与内部控(五)企业风险管理整体框架与内部控制整体框架的比较制整体框架的比较 目标发展与风险观念目标发展与
50、风险观念n内部控制整体框架把财务报告的可靠性界内部控制整体框架把财务报告的可靠性界定为编制可靠的公开财务报表,包括中期定为编制可靠的公开财务报表,包括中期和简要财务报表,以及从这些财务报表中和简要财务报表,以及从这些财务报表中摘出的数据(如利润分配数据)。摘出的数据(如利润分配数据)。n企业风险管理整体框架则将财务报告的可企业风险管理整体框架则将财务报告的可靠性发展为靠性发展为报告的可靠性报告的可靠性,将财务报告的,将财务报告的范围拓展到内部的和外部的、财务的和非范围拓展到内部的和外部的、财务的和非财务的报告。财务的报告。50n企业风险管理整体框架提出了企业风险管理整体框架提出了新的目标新的目