第三讲内部控制制度设计原理

1、第三讲 内部控制制度设计原理 1 企业的一切管理工作都必须从建 立健全内部控制制度开始 企业的一切活动都必须置于内部控制制 度之下 企业的一切内部控制制度都必须有效且 得到认真执行 一、内部控制制度设计的理念基础 2 伊梅尔特认为： 他不需要一个新 的法律（SOX） 来告诉他什么不 该做。因为他自 己及公司的标准 不会使其逾越法 律。 对人性的基本估计对人性的基本估计 自觉正直非自觉正直非正直 巴林投资银行前总裁彼得诺里斯引 咎辞职，闭门思过。他对巴林事件的 总结是：最基本的一条，就是不要想 当然认为所有员工都是正直的，诚实 的，这就是人类本性的可悲处。巴林 银行信奉的哲学是：雇员都是值得信

2、赖的，都信奉巴林银行的文化，都会 自觉地把公司利益铭记在心。而巴林 事件告诉我们，里森在服务期间从未 诚实。诺里斯告诫所有金融结构的管 理当局，要从里森身上吸取教训，充 分意识到用人的风险。 3 前车可鉴：巴林银行的教训前车可鉴：巴林银行的教训 企业舞弊理论 1，关于冰山理论： 压力、机会、借口 2，GONE理论 贪婪、机会、需要、事 后暴露。 内部控制是防止企业舞 弊发生的最有效方法。 4 冰山理论 压力、机会及借口 参见中国注册会计师审计准则第中国注册会计师审计准则第1141 号号财务报表财务报表 审计中对舞弊的考虑审计中对舞弊的考虑 5 6 GONE理论理论 “You can consi

3、der your money for GONE” 组织因素分析组织因素分析 1.特征特征 对任一从属于组织的个人或群 体具有相对稳定的影响； 多数渗透在组织或对个体的控 制之中以自我防护；基本不受潜 在犯罪人的控制； 在给定的环境下，对所有的人 起同等作用； 其制定和操作由组织控制，一 般与任个人的影响无关； 不受雇员流动变化的影响。 2两类风险要素两类风险要素 为潜在犯罪人创造舞弊机会的组 织风险（O风险）； 能否揭露欺诈的组织风险（E风 险）； 对揭露的舞弊进行惩罚的性质和 范围，即惩罚是当事人可接受的 还是难以接受的组织风险。（E风 险）； E风险是2个要素的产物： E1：揭露的概率；

4、E2：事件的处理。 3O风险的控制风险的控制 O风险属于不可完全消除之风险， 防范和控制O风险的措施： 对每一雇员确定相应的最大限度 “舞弊机会水平”（可容水平）。 严禁“灾难性”机会水平。 4E风险的控制风险的控制 揭露欺诈的概率 揭露欺诈的概率有赖于内部控制制 度。 舞弊惩罚的性质和范围 仅仅揭露欺诈对遏制潜在的欺诈是 不够的，惩罚必须形成一种威慑， 使当事人蒙受的机会成本远大于因 欺诈可能得到的机会收益。 7 个人因素分析个人因素分析 据FBI统计，80年代初，美国仅计算机欺 诈而使银行蒙受的损失10倍于同期因抢 劫所受损失；至1985年，欺诈造成的损 失26倍于抢劫造成的损失。 许多专

5、家的研究得出了一个难以置信的 结论：最具威胁的欺诈来自企业内部。 据美国和加拿大的估计：1/3的企业员工 具有不同程度（性质）的盗窃企业资产 行为；以零售企业为例，30%的损失来自 顾客行窃，70%为员工所偷盗。 安永2002年全球反欺诈调查： 谁是企业的欺诈者？ 8 2001年为1/3 9 企业欺诈威胁的渊源企业欺诈威胁的渊源 管理层是财务欺诈的主要渊源 10 据COSO1999年的统计,83%的财 务欺诈案是CEO和CFO的杰作 直接效应：避免税前亏损以抬 高股价 深层动机：公司管理层及董事 会成员平均拥有公司股票的32% 利益一致的设计初衷产生的是损 公肥私的结果 舞弊理论带来的思考 1

6、1 世上本无所谓最好的制度安排 制度的设计就取决于企业的控制哲学 西方哲学强调“性本恶”，制度设计旨在“惩恶”，即使十 恶不赦者亦无机可趁：“零容忍”（Zero tolerance）原则 中国的类似观念：“防家贼” 控制制度设计的前提：假定“家贼”想“投机”，想“冒 险”，想钻空子“骗钱”，想“捞一把”，而非基于信任， 假定“家贼”会“出于公心，谋求企业利益最大 控制设计越严密，对家贼的诱惑和提供舞弊的机会就越小， 才能做到把人们的潜在犯罪冲动，封杀在头脑的“黑箱”中。 控制成本既包括对控制本身的投入，也包括控制引起的可能 成本（如流程环节增加，时间延长等） 控制未必真正影响企业获利的效率，如

7、果时间不能带来直接 利益，时间就不是效率 内部控制制度的局限性 两种错误两种错误 制度性错误： 因制度设计错误而引起的差错。 人为错误： 与制度设计无关纯粹因人为因素 而产生的错误。分2类： 善意错误： 恶意错误：蓄意破坏、对抗设计 良好的控制制度。 善意人为错误善意人为错误 管理层或其他员工因信息不充分， 时间限制或其他流程问题，业务 决策和判断失误； 对工作指令理解错误，疏忽懈怠， 精力不集中，疲劳或岗位调动等 原因导致控制失效； 环境变化的不确定性及设计与运 行实际偏差的不确定性； 成本与收益的考虑 12 人为的蓄意破坏人为的蓄意破坏 蓄意破坏的类别：串通、勾结；管理 当局凌驾于控制制度

8、之上。 二、内部控制制度设计的基本原则 整体结构原则 相互牵制原则 协调配合原则 程式定位原则 成本效益原则 13 （一）整体结构原则 企业内部控制系统，必须包括控制环境、风险评估、 控制活动、信息与沟通、监督五项要素，并覆盖各项 业务和部门。换言之，各项控制要素、各业务循环或 部门的子控制系统，必须有机构成为企业内部控制的 整体架构。这就要求，各子系统的具体控制目标，必 须对应整体控制系统的一般目标。 14 1、内部控制制度设计的整体架构 15 2、整体架构六大模块 模块一：组织结构和授权控制制模块一：组织结构和授权控制制 度度 渗透性制度，与所有 制度有关，是企业内部 管理控制系统的基础。

9、 其功能为权力和责任的 分配及权力平衡的制度 安排。 模块二，预算控制和质量控制制度模块二，预算控制和质量控制制度 企业控制制度的核心，与所 有制度和行为有关，是企业 经营活动价值控制的起点。 其功能为，可从资源投入角 度在第一时点控制全部业务 活动的开展与资源的投入，并 保证其品质。 16 2、整体架构六大模块（续） 模块三：模块三：ITIT环境下的信息系统环境下的信息系统 u与保护财产安全之企业会计责任及会计记录可靠性与保护财产安全之企业会计责任及会计记录可靠性 有关的组织、计划、程序、方法。是企业所有业务有关的组织、计划、程序、方法。是企业所有业务 活动之价值结果的终点。活动之价值结果的

10、终点。 u设计完善的会计制度至少应包括如下因素： u严格分工授权 u规范的会计政策和会计处理程序 u严格的核准制度 u帐户体系 u凭证帐簿制度 u独立稽核 17 2、整体架构六大模块（续） 模块四，流程控制模块四，流程控制 流程控制是组织的控制思想、 控制程序和业务活动三位一 体的集成。 以流程形式将全部业务活动 装入分工牵制的制度化组织 过程，确保企业的控制思想 和控制程序落实到全部具体 的业务过程。 核心要件：流程设计；流程 环节的权限分割 模块五，业务循环控制模块五，业务循环控制 内部控制的对象，内部控制的 动态表现形式 内部控制制度结构的前4个要 素均以各交易循环的各项交易 或业务行为

11、为落实对象： 1.构成各交易控制制度的要素 （如授权，批准，流程）； 2.制约交易活动（预算控制）； 3.规范交易活动（会计管理）。 业务循环控制制度的功能，是 为实现企业资源运用最优化的 目标提供制度保证。 18 2、整体架构六大模块（续） 模块六，内部审计模块六，内部审计 内部控制制度的组成部分，对全部控制制度的设计和执行 过程以及执行结果进行监督检查。 处于公司治理层次。 完整意义的内部审计制度应包括： 1.隶属审计委员会的专门机构 2.提出增强内部控制效用的建议； 3.强调对制度本身及对制度遵循情况的评价； 4.强调对企业资源综合运用的效率、效果和效益的评价 5.检查、评价企业既定经营

12、目标和方针的执行情况 19 （二）相互牵制原则 相互牵制原则，是指一项完整的经济业务活动，必须分配 给具有互相制约关系的两个或两个以上的职位，分别完成。 即在横向关系上，至少要由彼此独立的两个部门或人员办 理以使该部门或人员的工作接受另一个部门或人员的检查 和制约;在纵向关系上，至少要经过互不隶属的两个或两个 以上的岗位和环节，以使下级受上级监督，上级受下级牵 制。其理论根据是在相互牵制的关系下，几个人发生同一 错弊而不被发现的概率，是每个人发生该项错弊的概率的 连乘积，因而将降低误差率。需要分离的职责，主要是:授 权、执行、记录、保管、核对。 20 （三）协调配合原则 协调配合原则，是指在各

13、项经营管理活动中，各部门或人 员必须相互配合，各岗位和环节都应协调同步，各项业务 程序和办理手续需要紧密街接，从而避免扯皮和脱节现象， 减少矛盾和内耗，以保证经营管理活动的连续性和有效性。 协调配合原则，是对相互牵制原则的深化和补充。贯彻这 一原则，尤其要求避免只管牵制错弊而不顾办事效率的机 械做法，而必须做到既相互牵制又相互协调，从而在保证 质量提高效率的前提下完成经营任务。 21 （四）程式定位原则 程式定位原则，是指企业单位应该根据各岗位业务性 质和人员要求，相应地赋予作业任务和职责权限，规 定操作规程和处理手续，明确纪律规则和检查标准， 以使职、责、权、利相结合。岗位工作程式化，要求

14、做到事事有人管，人人有专职，办事有标准，工作有 检查，以此定奖罚，以增加每个人的事业心和责任感， 提高工作质量和效率。 22 （五）成本效益原则 贯彻成本效益原则，即要求企业力争以最小的控制成 本取得最 大的控制效果。因此，在实行内部控制花费 的成本和由此而产生的经济效益之间要保持适当的比 例，也就是说，因实行内部控制所花费的代价不能超 过由此而获得的效益，否则应舍弃该控制措施。 23 三、内部控制制度设计的步骤 确定控制目标 整合控制流程 识别控制环节 确定控制措施 24 （一）确定控制目标 内部控制的四项基本目标: (1)战略目标。 (2)经营目标。 (3)报告目标。 (4)合规目标。 需

15、要指出的是，以上四项目标均为基本目标或一般目 标。在每项基本控制目标下，还可细化为若干具体控 制目标。 25 （二）整合控制流程 控制流程，是依次贯穿于某项业务活动始终的基本控 制步骤及相应环节。控制流程，通常同业务流程相吻 合，主要由控制点组成。当企业的业务流程存在控制 缺陷时，则需要根据控制目标和控制原则加以整合。 26 项目、组织和流程之间的关系 27 组织 项目 流程 项目是指在既定 的资源和要求的 约束下，为实现 某种目的而相互 联系 的一次性 工作任务。 组织是指具有共同行动目 标的人类群体。 流程是指企业经 营过程的一个阶 段，由若干项作 业组成，而作业 由若干项任务组 成。 （三）识别控制环节 实现控制目标，主要是控制容易发生偏差的业务环节。这 些可能发生错弊因而需要控制的业务环节，通常称为