内部控制的原理、术语与概念(1)

1、1内部控制技能分类之一内部控制的原理、术语与概念主讲人：2 一、企业实施内控规范面临的几个问题 二、中概股事件对加强内控的启示 三、内控相关理论、法规与框架 四、我国企业内控发展不同阶段的重点3一、企业实施内控规范面临的几个问题二、中概股事件对加强内控的启示三、内控相关理论、法规与框架四、我国企业内控发展不同阶段的重点一、企业实施内控规范面临的几个问题 （一）2011年首批执行内控规范体系上市公司情况 （二）企业实施内控规范面临的几个问题4（一）2011年首批执行内控规范体系上市公司情况内控风暴2011年68家A+H上市公司与证监会确定的200多家试点企业在资本市场率先执行内控规范体系。经过一

2、年实践，首批执行内控规范体系的上市公司普遍存在的问题：1.专业内控人才储备不足；2.实施内控规范体系的成本效益不匹配；3.缺乏内控缺陷的认定标准；4.上市公司难以把握执行内控规范体系的广度和深度，尤其是如何协调中美企业执行内控规范体系的差异部分等。2012年1月1题起，中国企业内部控制体系建设由点及面进入攻坚阶段。 按照企业内部控制规范的要求，上海证劵交易所、深圳证劵交易所主板上市公司1400多家企业正式执行内控规范体系，由此拉开了上市公司全面实施内控规范体系的大幕。5（二）企业实施内控规范面临的几个问题 1.企业内控归口部门牵头机构？ 2.内部控制与风险管理的关系 3.内控高端专业人才储备不

3、足 4.内部控制和内部审计的关系 5.如何开展内控的外部咨询服务？ 6.如何提供内控的外部咨询服务？ 7.如何确保内控体系有效运行？61.企业内控归口部门牵头机构？企业内控归口部门有以下几种模式：（1）归口财务部门以“财务内控”为主：（2）归审计部、稽查部以“合规内控”为主（3）成立风险管理部门以“合规内控/风险内控”为主 （一些开展了全面风险管理的央企）（4）成立专门的内控部门呈现”全面管理内控“特征 （正式为商业银行的主流趋势，列，工行、农行成立了内控合规部） 72.内部控制与风险管理的关系 内部控制（过程控制） 在假定公司面临的风险基本确定的情况下，主要着眼于内控制度和流程管理的基础建设

4、； 关键是要求公司的业务遵循相关的控制政策，程序和制度，降低的外风险，实现既定目标； 八大控制措施 三大目标五要素 风险管理（前端控制） 将处于不断变化市场中的公司规为管理对象，着眼外部环境变化和相应内部资源配置与运行效率调整； 目标是基于市场状况权衡不同领域风险和回报，实现利润最大化 以风险换收益三大机制：内部控制、对冲、经济资本配置 四大目标八大要素8目标2、内部控制与风险管理的关系？ 风险风险管理措施/策略内部控制策略相同点基本规范和风险指引从理念上基本相同，都要求从源头“目标”出发，识别并评估与实现目标相关的风险，确定风险应对策略，进行建立并维护必要的内部控制措施 。相同点二者在内容上

5、各有侧重：l风险指引侧重点在于对风险管理的基本流程进行介绍，明确了风险管理的五大步骤，同时对风险管理的组织体系，信息系统、风险管理文化进行了要求。l基本规范侧重于对企业应当建立什么样的内部控制体系详细介绍，包括要求企业从内部环境，风险评估，控制活动，信息和沟通，内部监督等要素方面建立与实施有效的内部控制。区别收集风险管理相关的信息风险管理监督与改进提出和实施风险处置解决方案进行风险评估制定风险管理策略（一）内部环境（五）内部监督（二）风险评估（三）控制活动（四）信息与沟通93.内控高端专业人才储备不足 目前，企业内部控制体系设计主要有三种形式： 内控体系设计外包利用外部咨询服务； 企业自行设计

6、“学中干，干中学”； 自行设计与外包评价相结合。 为了解决企业内部控制专业人才紧缺状况，财政部将会同有关部门积极研究内部控制专业技术资格认证机制。104.内部控制和内部审计的关系内部审计与内部控制的关系是二者均合理保证企业发展战略的实现，二者之间的联系体现在：n内部控制更加重视实施，控制措施融合在企业的各项规章制度之中，嵌入各业务的流程的具体业务活动中，使企业在政策运营过程中自发地防止错误，提高效率，从而合理保证目标的实现。内部审计是评价和检验内部控制有效性的重要手段。通过对内部控制设计和运行的情况进行评审，监督实施效果，对内控缺陷提出审计建议和管理提案。董事会和管理层根据审计意见和建议，下达

7、改进内控缺陷的指令，推动相关部门完善业务流程，提高工作效率。115.如何开展内控的外部咨询服务？实施内部控制规范体系过程中的内部控制信息化建设： 一方面是指在企业信息化建设过程中，将具体的内部控制建设要求纳入信息系统建设需求中，通过信息系统手段执行控制，实现控制目标； 另一方面是指建立内部控制管理系统，实施内部控制指标评价体系、内部控制过程梳理及指标评价工作流程化，通过内部控制管理系统管理相关的内部控制实施工作。12一、企业实施内控规范面临的几个问题二、中概股事件对加强内控的启示三、内控相关理论、法规与框架四、我国企业内控发展不同阶段的重点 二、中概股事件对加强内控的启示 （一）中国概念股信任

8、危机的源头 （二）香橼、浑水公司击倒中国概念股的手法 （三）中概股事件的启示13（一）中国概念股信任危机的源头：审计师举报客户造假 经济观察报 2011年05月27日 一个举报，引发了华尔街的中国概念股整体的信任危机。 目前，中国企业在美国股市正迎来空前的信任危机，美国证监会列出了170多个借壳上市的黑名单，其中大多数是中国企业。 2 011年3月初，一家美国龙昌会计事务所对审计的包括纳伟仕、岳鹏成电机，中国晒乐照明等4家中国客户，向美国证监会举报了它们涉嫌财务造假，并指出尚有若干家公司亦有造假嫌疑。其中晒乐照明已经收到美国证交所（NYSEAMex）的退市通知。 中概股遭穆迪“红旗”警告反弹面

9、临夭折 2011年7月12日，评级机构穆迪对61加中非金融企业展开全面审查，并给予“红旗”警告，其中被点名的几家“高风险”中概股无一例外出现暴跌，包括在香港上市的西部水泥、永辉焦煤等，以及在美国上市的赛维LDK太阳能等六家民营企业 ，焦点直指中资企业的财务报表和信息披露方面存在不透明、虚报夸大等问题。 第一财经日报 嵇晨 2011-07-13 14（二）香橼、浑水公司击倒中国概念股的手法 空头通过“建立空头仓位 发布质疑报告 法律事务所起诉 恐慌蔓延股价暴跌空头获利”这一环扣一环的操作，将若干中国概念股技术性击倒。 香橼、浑水公司发展中国概念“瑕疵”的路径：成立包括会计、法律、财务和行业背景的

10、调查团队对被质疑公司展开详细的尽职调查：上市公司频繁更换外部审计师；CFO辞职或上市公司频繁更换财务总监；寻查夸大资产、伪造销售交易；调查虚假的重大合同，等等。15（三）内部控制程序的尽职调查 企业提供的财务报表是尽职调查的基础资料，因此财务报表的可靠性会影响到尽职调查结果的可靠性。 财务报表的可靠性视乎企业本身内控程序是否完善，因此，在一般情况下，进行尽职调查时应考虑内控程序的情况。 内部控制程序1、企业控制环境2、企业整体组织架构3、会计主管和人员的资历、素质4、每月会计结账程序5、基本内控程序的执行，譬如：（1）有否编制银行存款差异调节度（2）有否经常与客户和供应商对账（3）有否编制固定

11、资产卡（4）有否编制应收账款帐账龄分析（5）有否设有内部审计部门16（四）中概股事件的启示启示之一：合法经营，降低违规风险在全球经济恶化的环境下，上市公司面临的各种经营风险日益增大，中概股部分企业的财务不诚信行为，几乎让全部中国公司都付出了沉重代价，第三方沽空研究机构的尽职调查顺势做空间伺机捞钱进行谋利，但他以公众监督的方式间接促进企业经营管理的合规合法。启示之二：持久发展是根本任何一个企业都期望以最快赶超同行，成为一流的企业，进而做大、做强。但是那种昙花一现式的企业不能算是真正的优秀企业，对于上市公司来说只有注重修炼内功，加强管理和内部控制，把握企业利润。主营业务增长率、负债创造新的利润增长

12、点，实现持久发展才是根本。启示之三：建立良好市场生态对于上市公司而言，良好的市场生态就是投资者、广大客户、同业竞争者、政府、媒体等建立一种相互依存于合作的市场食物链关系。世界经济已进入“信用经济”时代，信誉是企业持续发展的支撑平台，上市公司要切实履行信托责任和社会责任，为国民经济的快速稳定发展发挥应有的作用。174、中美审计跨境监管合作达成初步协议 2012年10月15日，证监会、财政部已经与美国公众公司会计监察委员会（PCAOB）签订了美方来华观察中方检查的协议，同意PCAOB派员工以观察员身份来华视察在美注册的境内会计事务所质量控制的检查。证监会称，美方观察人员不能获取任何文件资料。 业内

13、认为此举或将改善中国企业赴美IPO低迷问题，中概股遇寒或有改善。摘自新京报2012年10月16日2011年年2012年上半年年上半年中概股美国主板上市退市统计18三、内控相关理论、法规与框架 （一）内部控制的本质 （二）内部控制的昨天、今天和明天 （三）2002年美国萨班斯奥克斯利法案 （四）1977年美国反海外贿赂行为法案 （五）COSO两个框架简介及其融合一、企业实施内控规范面临的几个问题二、中概股事件对加强内控的启示三、内控相关理论、法规与框架四、我国企业内控发展不同阶段的重点19 （一）内部控制的本质企业进入全面内部控制时代外部控制必须与内部控制相结合才能发挥效益以业务流程为载体，成本

14、效益平衡为前提，提升企业核心竞争力全员参与控制，以多种控制措施为手段，信息化系统为管理平台以降低和控制风险为导向，有助于提高企业风险防范能力内部控制参透到企业经营管理全过程，有助于提升企业管理水平打造企业自身的免疫系统内部控制的本质是自我管理、自我约束20（二）内部控制的昨天、今天和明天过去的内部控制建设是企业的内部行为：内控制度是否建立，建立后是否真正执行，以及如何设计、执行和评估内部控制系统没有法规要求：无须接受外部监管机构和独立审计师的检查监督内部控制测评方法为防范审计风险的手段今天的内部控制制度建设已不再是企业的内部行为：内控系统从设计、执行与监控、文档记录，到对外披露的财务报告均应遵

15、从法规要求和公认的coso内部控制框架：企业披露内控自评报告，并接受外部审计师的审计检查：内控建设成为企业管理的组成部分，并受到政府监管机构的监管和投资大众的普遍关注：明天的全面内控成为企业防范风险，实现发展战略的免疫系统，将内控合规成本转化为增强企业的核心竞争力。211、企业内控的发展历程萌芽期成长期成熟期发展期融合期昨 天今 天内部牵制20世纪40年代之前内部控制整合框架1992年内部控制制度20世纪40年代-70年代内部控制结构20世纪80年代企业风险管理整合框架2004年账目核对、岗位分离会计控制、管理控制控制环境、会计制度、控制程序控制环境、风险评估、控制活动、信息沟通、监控内部环境

16、、目标设定、事件识别、风险评估、风险应对、控制活动、信息沟通、监控22明天的内控：提升企业核心竞争力明天在内控环境建设方面形成的企业文化，规章制度与激励机制都将转化为有效的公司治理机制，增强企业软实力，提升核心竞争力。公司治理定义现代公司制企业在决策、执行、激励和监督方面所遵循的一种制度或程序，旨在对管理层执行的风险和控制过程加以监督，确保经营者的行为符合股东和利益相关者的利益。债 权人 雇员 政 府 社区 股东经营者供应商竞争者232、内部控制局限性人员素质不适应岗位要求，影响内部控制功能的正常发挥。人员相互串通作弊导致相关内部控制失去作用。陈旧的制度已不适用。对于不经常发生的经济业务，原有

17、的控制可能不适用。管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制技能。成本效益原则。 人员素质串通舞弊内部控制局限成本限制修订不及时滥用职权非经常事项24（三）2002年美国萨班斯奥克斯利法案 进入21世纪，美国前后爆发了安然、世通、安达信等公司的欺诈、会计造假的丑闻，使投资大众遭受巨大的损失 为了加强公司治理，重建投资者的信心，2002年7月美国会颁布了2002年上市公司会计改革和投资者保护法案。 萨奥法案是1993年以来美国证劵理发中影响最深远的法案。该法案通过提高上市公司依据证劵法作出的公司披露的准确性和可靠性，达到保护投资者和其他相关目的。（11章67条款）25萨奥法案对

18、内控的影响 2001年12月，美国国会开始举行安然听证会； 2002年3月，众议院代表提出法案； 2002年7月25日，参众两院通过萨奥法案； 2002年7月30日萨奥法案由美国总统布什签署生效。影响：n萨奥法案导致美国现行证劵法、公司法和会计法进行多处重大修改，新增了许多相当严厉的法律规定。1.中国版萨奥法案、企业内部控制规范体系出台。应对措施之一：美国国会出台萨奥法案26 应对举措之二：美国总统重申对公司社会责任的要求 1 .运用一切法律手段披露并根治腐败，通过立法加重惩罚公司欺诈犯罪行为，将刑期从五年延长到十年；2. 努力使公司汇集摆脱阴影，使公众投资者及时得到真实和公允的财务消息；3.

19、 政府将采取措施保证8千多万股民和养老金投资者利益；4. 提出树立美国企业责任心计划影响：1.明确公司和刑事欺诈责任；2.强调企业高管履行社会责任；3.CEO、CFO到政府监管部门宣誓保证财务报告的真是完善。27应对举措之三：将违法的举证责任转移到企业l 美国司法监管机构对公司治理的设计是利用法律法规增强企业的合规性，让企业自觉自愿地遵守法律。l 在新法律设计中，首席执行官、首席财务官都必须签署他们对公司和社会责任的文件，并对公司的年度和季度财务报告签署个人书面声明，确保财务信息的真实可靠。l 今后企业如在发生财务丑闻和欺诈行为，证交会可以根据他们签署的文件，以“伪证罪”的名义直接对他们起诉。

20、影响：1.2002年7月，SEC命令近1000家上市公司的领导人书面证明2001年的财务报告是真实公允的。2.效果：美国时代华纳公司自行检举。3.签署财务报告真实完整的声明。4.强化文档记录管理，要求企业保留必需的证据。 28应对举措之四：强化公司治理 影响：1.企业增强内部审计职能；2.将内控合规成本转化为增强企业的核心竞争力；3.强化控制环境和公司治理；4.增强信息披露的透明度。l 为了让企业自觉遵守法律法规，树立企业经营管理新道德文化，coso、ILA等职业组织提出公司治理方向是：加强对管理层职业道德的劝说，落实会计制度改革对财务报表透明化的要求，设立外部独立董事职位，强化内部控制机制，

21、要求内部审计和外部审计人员的自律。l 用一种激励的方法来促进公司遵守最佳行业惯例。29（四）1977年反海外贿赂行为法案1、美国反海外贿赂行为法案的适用性l 美国反海外贿赂行为法案是一种非常重要的成文法，对美国企业的国际化运营产生了重要约束作用。l 它主要有两组条款构成：记录与会计条款，以及反贿赂条款。其中记录与会计条款的对企业建立健全内部控制以及强化企业内部管理，起到了里程碑般的作用。l 不论是COSO委员会于1992年所有发布的内部控制框架，还是其后于2001年正式发布的企业风险管理框架，乃至美国国会于200年通过的萨班斯-奥克斯利法案，都可以找到FCPA的影子。302、该法案确认的内部控

22、制目标l 美国反海外贿赂行为法案规定：内部控制不是会计部门的责任，而是美国公司董事会的责任：l 在该法中确认的内部控制目标是： 授权根据管理层的一般授权或特别授权执行交易； 记录交易记录必须：按照一般公认会计原则或其他适用这类声明的标准所允许的方式编制财务报表；维护资产的会计责任。 使用资产按照管理层的授权使用资产。 资产的会计责任在合理的时间间隔内对现有资产的实际库存和账面记录进行对比，对任何相关的差异情况采取适当行动。313、反舞弊机制 舞弊是指被审计单位的管理层、治理层、员工或第三方使用欺骗手段获取不正当或非法利益的故意行为 舞弊和错误的区别在于故意与非故意行为 舞弊分为管理层舞弊与员工

23、舞弊 反舞弊机制包括企业的价值观、沟通 与信访举报制度、内部审计32（1）舞弊案件是如何发现的？ 发现舞弊方法及比例雇员举报 26.3%偶然发现 18.8%内部控制 18.6%内部审计 15.4%外部审计 11.5%客户举报 8.6%匿名举报 6.2%卖方举报 5.1%执法部门通报 1.7%美国注册舞弊检查师协会2003年公布舞弊案件检查结果发现的途径33（2）舞弊审计的观点l 用财务审计的方法查舞弊，最高的概率不超过20%l 财务审计是对照法规、财会制度进行检查，查明的；l 舞弊审计是查异常现象，需要像侦探那样思考分析问题；l 做过弊的人最能查舞弊l 冰山理论：法务会计：法庭证据的四因素：动

24、机；机会；需要； 获利赃款。 犯罪行为学如何预防法律法规使之不敢职业道德使之不愿内部控制使之不能34 （3）防范舞弊的有效手段35（五）COSO两个框架简介及其融合 1、COSO内部控制整合框架 2、COSO企业风险管理（ERM）框架 3、COSO两个框架的融合36COSO的五大成员机构 coso是“committee of sponsoring organization的英文简称，是致力于通过商业道德、有效的内部控制和公司之力来改进财务质量的民间组织。1985年coso成立，目的是共同发起组建美国反欺诈财务报告委员会。coso的五大成员机构如下： 美国注册会计师协会（AICPA) 美国会计师

25、会（AAA） 美国财务执行官协会（FEI) 国际内部审计师协会（IIA） 美国管理会计师协会（IMA）371、coso内部控制整合框架1992年出台coso内部控制定义： 内部控制是一个流程，受到企业董事会、管理层和其他人员的影响，旨在为实现下列分类目标提供合理保证：l经营的效果和效率；（运营）l财务报告的可靠性；（报告）l遵从适用的法规。（合规）因此，整个集团的共同参与对于项目的成功至关重要。382、coso企业风险管理（ERM）框架 重点解决“控下不控上”的问题四大目标：战略目标运营目标报告目标合规目标涉及的组织机构：附属机构，子公司经营单位部门实体内内 部部 环环 境境目目 标标 设设

26、定定事事 项项 识识 别别风风 险险 分分 析析风风 险险 应应 对对控控 制制 活活 动动信信 息息 与与 沟沟 通通监监 控控战战 略略运运 营营报报 告告遵遵 循循分、子公司业务单位分支机构公司层面八大要素：l内部环境l目标设定l事件识别l风险评估l风险应对l控制活动l信息沟通l监控39 3、coso两个框架的融合 从内部控制框架到企业风险管理框架coso1：企业内部控制整合框架 1992年出台coso2：企业风险管理框架 2004年9月40coso的内控逻辑框架信息与沟通风险评估风险评估事项识别控制环境风险应对目标设定监控控制活动41 四、我国企业内控发展不同阶段的的重点 （一）企业内

27、部控制发展不同阶段 （二）我国企业内部控制规范体系简介 （三）企业内控实施难的原因一、企业实施内控规范面临的几个问题二、中概股事件对加强内控的启示三、内控相关理论、法规与框架四、我国企业内控发展不同阶段的重点42（一）企业内部控制发展不同阶段l 2001年内部会计控制规范 以资产负债项目为主线；l 2007年企业内部控制规范 以财务报告内部控制为主线；l 2008年后企业内部控制规范体系 以防范风险和控制舞弊为中心。431、我国不同机构部分内部控制 规范简介44452、企业内部控制的新特点 由会计控制扩展到业务控制，并体现多样性； 金融企业的内部控制高于非金融业 外部审计对企业的内部控制有较大

28、的推动力； 对内部控制的定位和要求越来越高； 内部控制的范围和内容扩大化、系统化； 传统管理理念难以适应快速变化的外部环境46（二）我国企业内部控制规范体系简介l 企业内部控制规范体系“以防范风险和控制舞弊为中心、以控制标准和平阿基标准为主体、结构合理、层次分明、衔接有序、方法科学、体系完备”。l 这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措，也是我国应对国际金融危机的重要制度安排。 企业内控建设是一把手工程！471、企业内部控制目标 定义：内部控制是 由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。1.战略目标2.运营目标3.报告目标4.资产目标5.合规目标

29、482、企业内部控制规范体系的关系企业内部控制应用指引企业内部控制审计指引企业内部控制评价指引基本规范配套指引企业内部控制规范体系控制标准评价标准适用于监管机构、企业、咨询顾问等适用于企业、适用于外部审计师中国企业内部控制规范体系之间的关系493、原则与要素总 则内部控制遵循原则：全面性、重要性、制衡性、适应性、成本效益（一）内部环境（二）风险评估（三）控制活动（四）信息与沟通（五）内部监督制定相关政策设置内部机构明确职责权限不相容职责分离控制授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制建立信息沟通制度提高信息有用性加强信息沟通渠道发挥信息技术作用建立反舞弊机制日常监督

30、专项监督内部控制缺陷的识别和整改内部控制 评价报告确定风险承受度识别企业内部、外部风险进行风险分析制定风险应对策略附则，配套指引及实施时间504、内部控制规范体系的具体内容企 业 内 部 控 制 基 本 规 范企 业 内 部 控 制 应 用 指 引组织机构发展战略人力资源社会责任企业文化全面预算合同管理内部信息传递信息系统资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告内部环境类控制活动类控制手段类企 业 内 部 控 制 评 价 指 引企 业 内 部 控 制 审计 指 引515、内部控制评价内容l 根据我国企业内部控制评价指引第五条，评价内容应围绕以下要点： （1）内

31、部环境评价； （2）风险评估评价； （3）控制活动评价； 五大要素 （4）信息与沟通评价； （5）内部监督评价；l 内部控制评价当形成工作底稿，详细记录企业执行评价工作内容，包括：评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。52内部控制缺陷分类企业内部控制评价指引第17条指出：“企业在日常监督、专项监督和年度评价工作中，应当充分发挥内部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷”。 重大缺陷（实质性漏洞），是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标； 重要缺

32、陷，是指一个多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。 一般缺陷，是指除出重大缺陷、重要缺陷之外的其他缺陷。53内部控制评价报告的披露或报送l评价指引要求，内部控制评价报告应当报董事会或类似权力机构批准后对外披露或报送相关部门。企业应当以12月31日作为年度内部控制评价报告的基准日，并以基准日后4个月内报出内部控制评价报告。54（三）企业内控实施难的原因主要原因：1、东西方管理行为模式不同2、实施内部控制的成本巨大；3、涉及组织内部利益格局调整；4、内部控制高端人才储备不足；5、缺乏操作指南信息系统技术支持；6、内控合规性成本未能转化为增强企业核心竞争力的优势。551、东西方管理行为模式不同 东西方管理行为模式不尽相同，我们应把人与事的管理有机结合起来，建立以责任为基础，以行为规