内部控制学XXXX【第一部分】

企业内部控制学——“学，然后知不足”1课程说明选修课堂讲授与案例分析案例讨论：小组及个人（每班5个组）期末考查（案例分析）平时30%+期末70%2首先，我们要搞懂

为什么要学这门课？3高速成长的联想

联想各财年(1)的业绩

单位:亿元(港元)项目2001-20022002-20032003-20042004-20052005-2006营业额(增长%)192.7(3.2%)202.3(5.0%)231.8(14.5%)225.5(3)(1.6%)1036.8(4)(359%)净利润(百分比)10.26(42.9%)10.44(2)(21.1%)10.52(3.5%)11.20(6.4%)12(7.1%)注:(1)香港财年是指每年的4月1日至次年的3月31日;(2)指扣除出售投资损益后的净利润;(3)在该财年,联想将一些非核心业务进行了剥离,此为剥离后的营业额;(4)2005年5月1日,联想收购IBM全球个人电脑业务;(5)现任董事局主席是杨元庆,CEO是WilliamAmelio.4现在，假设你们是

联想的管理者！

5

作为联想的管理者，你最关心的是什么？达成目标！6影响企业目标的达成的情况包括:？采购发票索取错误，影响上百万元抵扣税？业务代表直接参与代理的经营业务？公司的采购业务没有统一标准？销售商品在办公区域内丢失？领导进行盲目决策？公司内部职责不明确……7所以：我们需要

——完善内部控制8英国著名历史学家阿诺尔德·

约瑟·

汤因比（1889－1975）曾经说：“一个国家乃至一个民族，其衰亡是从内部开始的，外部力量不过是其衰亡前的最后一击”。这句话恰如其分的解释了内部控制的重要性！9管理企业就好比驾驶一辆车，车速越快，越需要好的控制系统。——美国著名管理学家罗伯特·安东尼

从财务角度看，快速增长会使一个企业的资金变得相当紧张，因此，除非管理层意识到这一结果并采取积极措施加以控制，否则，快速增长可能导致公司破产。——美国资深财务学家Robret.C.希金斯教授10成功内部控制的重要性

之所以要设置内部控制，就是促使企业在迈向获利目标的路上，达成管理理念，并把路上的意外惊吓减到最少。有效的内部控制风险与经营回报的良好平衡11第一部分内部控制总论

---走进内部控制12第一章内部控制概述第一节内部控制的产生与发展第二节内部控制的概念第三节内部控制的功能与局限性第四节美国内部控制制度框架第五节我国内部控制制度框架13远在公元前3600年前的美索不达米亚文化时期，就存在着极简单的内部牵制的实践。在当时，经手钱财的人要为付出的款项提出付款清单，并且另由记录员将这些清单汇总报告，在汇总报告时，记录员要核对付款清单，并在付款清单上打上“点、钩、圈”等核对符号。

借贷记账法的使用？14内部控制历史事实历史事实美索不达米亚文化时期古埃及法老统治时期公元600年前埃及的三官牵制古罗马双人记帐制古希腊官吏考核制封建庄园理财牵制13世纪初叶借贷记帐产生国外历史事实我国历史事实西周上计制度秦代御史监察制度《周礼》中的财赋出入牵制商鞅强调利害关系牵制西汉完善的内部牵制宋太祖的官职分离、职差分离宋朝规定主库三年一易15内部牵制阶段（20世纪30年代及以前）（20世纪40年代——70年代）内部控制制度阶段（20世纪80年代）内部控制结构阶段（20世纪90年代）

“内部控制整体框架”阶段（21世纪开始至今）

“企业风险管理框架”阶段第一节内部控制的产生与发展我们将这五个阶段分别解释如下:

内部控制行为也叫内部控制活动，这是很古老的事情，早在公元前3600年以前就已经出现了内部控制的初级形式。经过人类历史的漫长发展，内部控制理论不断完善，逐渐被人们了解和接受。具体来说，内部控制理论和实务经历了大致五个发展阶段：16内部牵制阶段（20世纪30年代及以前）理论假设“一毫财赋之出入，数人耳目通焉”（朱熹：《周礼理其财之所出》）18世纪产业革命后发展迅速，内部牵制渐趋成熟特点目的：查错防弊手法：职务或责任分离、交互核对主要控制：钱、账、物等会计事项2022/11/6一、内部牵制阶段17这种内部牵制认识基于两个假设：其一，两个或两个以上的人或者部门无意识犯同样错误的几率很小；其二，两个或两个以上的人或者部门有意识的合伙舞弊的可能性大大低于一个人和一个部门舞弊的可能性。这两个假设归结为一点就是：财产物资由两个或两个以上的人或部门经手就像对比一个人或部门经手安全性高，因为首先两个人不会犯相同的错误，其次两个人串通舞弊的可能性也比较小，而且他们之间可以互相监督，促使彼此不敢越雷池半步。

因此，早期的内部牵制就是靠内部分工制衡，实践证明是非常有效的，因为内部分工制衡一方面限制了舞弊，也增强了程度，大大提高工作效率。18那么，单凭内部牵制是否就可以很好的杜绝舞弊行为呢？1939年发生的美国麦克逊·罗宾斯药材公司虚假会计报表案，敲响了仅仅停留在账面审计的警钟。19麦克逊·罗宾斯药材公司案案件事实：人物：公司总裁：有前科的诈骗犯合谋者：总裁的三个兄弟舞弊内容虚构1000万存货和900万应收帐款伪造供货商、销售代理及收款银行对CPA的教训没有调查总裁的背景没有核实应收帐款和存货对责任没有分离的风险缺乏评估2022/11/62020因此，以账户核对和职务分工为主要内容的内部牵制，从20世纪40年代开始逐步演变为由组织结构、岗位职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。即进入内部控制制度阶段。21内部控制制度阶段（20世纪40年代——70年代）1936年，美国会计师协会（AICPA前身）首次正式使用了“内部控制”这一专门术语

1938麦克逊·罗宾斯药材公司案促使审计关注内部控制1949年，美国注册会计师协会（AICPA）审计程序委员会，第一次提出了内部控制的概念，但范围太广；1950年，美国国会规定“各机关应负责对各种款项、财产及其他资产的有效控制，会计记载等应经由适当的内部稽核”。这是世界是第一次将内部控制列入政府法规；2022/11/6二、内部控制制度阶段221958年，美国AICPA将内部控制划分为：

会计控制（InternalAccountingControl）直接与保障财产和财务记录可靠性相关的所有方法和程序

管理控制（InternalAdministrativeControl）与经营效率和坚持经营政策相关与保障财产和财务记录可靠性间接相关23内部控制结构阶段（20世纪80年代）1988年AICPA又对内部控制进行了重新定义，以“内部控制结构”的概念取代了“内部控制制度”。指出“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”特点三要素：控制环境、会计制度、控制程序---早先认为控制环境是管理控制的子集不区分会计控制和管理控制理论体系形成从一般含义向具体内容深化三、内部控制结构阶段24“内部控制整体框架”阶段（20世纪90年代）1992年9月，美国发起组织委员会（COSO）发布了纲领性文件《InternalControl----IntegratedFramework》，并于1994年和1996年进行了增补，这就是现在风行世界的COSO报告。COSO委员会指出：“内部控制是由企业董事会、经理阶层以及其他员工实施的，为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现而提供合理保证的过程”。五要素：控制环境、风险评估、控制活动、信息与沟通、监控2022/11/625四、内部控制整体框架阶段25企业风险管理阶段（21世纪以来）2004年9月，COSO发布了《企业风险管理——整合框架》（EnterpriseRiskManagement：IntegratedFramework）简称ERM框架描述了适用于各类规模组织的企业风险管理的重要构成要素、原则与概念。框架集中关注风险管理，为董事会与管理层识别风险、规避陷阱、把握机遇进而增加股东价值提供了清晰的指南。八要素：

内部环境、目标设定、事项识别、风险评估、风险反映、控制活动、信息与沟通、监控2022/11/626五、企业风险管理阶段26COSO报告的贡献评价2004年新COSO报告的贡献（相对内部控制框架《InternalControl——InternalFramework》而言）：1．增加了一个观念——风险组合观；2．树立了一个目标——战略目标；3．增加了两个概念——风险偏好和风险容忍度；4．增加了三个要素——目标设定、事项识别和风险应对。27在人类历史的发展过程中，为了适应社会经济的发展，内部控制实践经历了不同的阶段1905～1936199719881949～19582005大小早期内控的范围和影响1.内部牵制阶段：保护现金和资产安全及账簿记录的准确性3.内部控制框架阶段：融入了控制环境及控制程序4.内部控制整体框架阶段：形成COSO框架，增加了遵从性目标内控活动可以追溯到人类社会发展早期，例如古罗马采取的“双人记帐制度”和我国西周时的周礼审计制度趋势：全面风险管理L.R.Dicksee提出内部牵制概念，AICPA接受AICPA颁布《审计准则公告第55号》提出内部控制结构AICPA发布了《审计准则公告第78号》，全面接受COSO报告的内容2.内部控制阶段：增加了管理控制以提高经营效率AICPA首次提出内部控制的定义每个阶段并不意味着对前一阶段的否定,而是在其基础上的提升28什么是内部控制？第二节

内部控制的概念29为什么控制++控制什么谁来控制帮助达成组织目标风险:人，物与资金，信息

董事会总裁室经理层员工层

=什么是内部控制30内部控制-被定义为一个过程，这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证：营运的效果和效率财务报表的可靠性相关法令的遵循COSO一、内部控制的含义31内部控制是为达到某一特定目标而设计的过程！含义执行主体：董事会、管理阶层与其他人员目的达成运营效果与效率财务报导的可靠性相关法令的遵循实质是一种“过程”(Itisameanstoanend,notenditself—COSO)是一种受“人”影响的过程，是由“人”执行只能提供合理保证，而非绝对保证不同类别的控制相互配合，以达成目标设计主体：管理阶层32从不同角度、按照不同标准可以将内部控制划分为若干不同类型。（一）按内部控制主体分类董事会控制----公司治理控制管理者控制----管理控制员工控制----任务控制或作业控制（二）按控制实施方式分类（三）按控制目标分类二、内部控制的分类33（四）按控制时间分类1.事前控制事前控制是指在财务收支和企业的经济活动尚未发生之前所进行的控制。2.事中控制事中控制是指在企业经营活动和财务收支活动发生过程中所实施的一系列控制。

3.事后控制事后控制是指将企业经济活动和财务收支活动的实际结果与事先设定的标准进行对照，对有关责任中心和责任人进行考核和评价，并根据考核和评价的结果对其进行相应的奖励或惩罚，从而达到奖优罚劣的控制目的。34（一）内部控制与法人治理

1.内部控制与法人治理的区别法人治理解决的是股东大会、董事会、经理层及监事会之间责权利划分的制度安排问题；而内部控制则是管理层（董事会及经理层）建立的内部管理制度，是管理层对企业生产经营和财务报告产生过程的控制，属于内部管理层面的问题。2.内部控制与法人治理的联系第一，法人治理与内部控制都统一于实现企业的目标第二，良好的内部控制将促进法人治理的完善第三，健全的法人治理又是内部控制有效运行的保证三、内部控制与法人治理及内部审计（P7）35（二）内部控制与内部审计

内部审计内部控制控制不利风险利用有利机遇组织增值构成要素审计对象途径共同目标36（三）内部控制与风险管理（补充说明）内部控制，作为企业的基础性管理控制活动，其产生的一个主要原因是由于企业中存在的委托代理关系。现代企业的所有权和经营权的高度分离，使企业有可能面临职业经理人不履行受托责任、损害股东利益的风险。因此，从维护与促进价值创造这一根本功能来看，风险管理与企业内部控制的目标是一致的。内部控制与风险管理有十分密切的联系。全面风险管理框架建立在内部控制整体框架的基础上，内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制整体框架的范围更为广泛，是对内部控制整体框架的扩展，是一个主要针对风险的更为明确的概念。37一则寓言道出了有效的内部控制对于预防、发现和纠正包括舞弊风险在内的缺陷所具有的效能：

魏文王问名医扁鹊说：“你们家兄弟三人，都精于医术，到底哪一位最好呢？”扁鹊答：“长兄最好，仲兄次之，我最差。”文王再问：“那么为什么你最出名呢？”扁鹊答：“长兄治病，是治病于病情发作之前。由于一般人不知道他事先能铲除病因，所以他的名气无法传出去；仲兄治病，是治病于病情初起时。一般人以为他只能治轻微的小病，所以他的名气只及本乡里；而我是治病于病情严重之时。一般人都看到我在经脉上穿针管放血、在皮肤上敷药等大手术，所以以为我的医术高明，名气因此响遍全国。”表面上说的是治病，实际上蕴涵着内部控制的思想精髓。38第三节

内部控制的功能与局限性391有效抵御风险，实现持续健康发展2保障资产安全、完整3提高会计信息质量一、内部控制的功能（P10）40（一）企业有效抵御风险并实现持续健康发展，迫切需要建立内部控制框架首先，内部控制具有一个强有力的运行机制，为企业抵御风险，实现健康持续发展提供合理保证。其次，内部控制作为一种制度安排，可以将各种资源有机地结合在一起，为企业创造价值。（二）企业保障资产安全、完整，需要健全内部控制体系第一条思路是按照人治的思想来解决这个问题第二条思路是按照技术思路来解决这个问题第三条思路是按照制度管理的思路来解决资产安全和完整的问题41（三）企业提高会计信息质量，需要健全内部控制制度1.会计信息的经济意义（1）会计信息是企业契约机制的核心内容（2）会计信息是企业利益相关者进行决策的信息基础（3）会计信息是资本市场正常运转的必备条件。2.我国会计信息质量的现状及成因（1）现状：不容乐观，舞弊现象普遍存在（P14）（2）成因：第一类是人为造假；第二类是会计处理错误；第三类是会计制度缺陷。3.内部控制是会计信息质量的保证42“一个人做一件好事并不难，难的是一辈子做好事，不做坏事。”设计内部控制制度类似于“做一件好事”，不算太难，但执行内部控制制度类似于“一辈子做好事”，很有难度。那么，我们接下来再谈谈内控的局限性？二、内部控制的局限性（P18）43

企业内部控制作为自我调节和自行制约的内在机制，对于企业管理十二分重要。但任何事务都不可能尽善尽美，内部控制也存在固有的、不可避免得局限性。主要表现如下：

其一，领导者超越权限行事；其二，串通作弊；其三，员工素质低下，缺乏完成岗位职责的胜任能力；其四，成本限制；

其五，修订速度跟不上形势发展；其六，不适用偶发事件。44第四节

美国内部控制制度框架45安然帝国毁灭——《萨班斯-奥克斯利法案》的颁布安然公司曾经是美国第七大能源公司，但由于虚报利润并隐瞒10亿美元巨额债务，于年12月2日申请破产保护。安然的数名前管理人员已经认罪，并同意与政府合作，其中包括前首席财务官安德鲁·法斯托。法斯托被判入狱10年。2006年10月23日，美国安然公司前CEO杰弗里·斯基林在休斯顿地区法庭被判犯有19项罪名，其中包括欺诈、做假账、内部交易以及对审计人员撒谎等，入狱二十四年零四个月。他是2001年震惊世界的安然案中最后一个被判刑的高管，也是此案中被判刑期最重的。与他同被列为被告的安然创始人兼公司主席肯尼思·莱后来因心脏病发作去世，躲过了这次羞辱的审判。46（一）萨班斯法案对内部控制的促进出台背景：2001年11月，安然公司财务丑闻曝光，6个月后，世通公司再度爆发丑闻，美国这一期间有338家上市公司，总计4093亿美元的资产申请破产保护。2002年7月30日美国紧急出台了公司改革法案《萨班斯—奥克斯利法（Sarbanes-OxleysActs）》，又成立了一个新的监管机构来监管会计职业界和公司董事会。47

新动态：萨班斯—奥克斯利法案（Sarbanes-OxleysActs）2002年7月发布的《萨班斯—奥克斯利法案》要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。还要求公司的外部审计师对管理层的评估意见出具“证明”，即向股东和公众提供一个信赖管理层对公司财务报告的内部控制描述的独立理由。企业风险管理(ERM)框架2004年9月份发布，是在1992年整体框架报告的基础上，结合萨班斯—奥克斯利法案的相关要求，在内部控制的内涵、内部控制的目标、内部控制的要素等方面均有所发展，并指出管理层相关角色和任务的变化。48（二）萨班斯法案关于内部控制的内容明确要求上市公司的年报应包括内部控制的评价部分。No.103条款——审计、质量控制和独立性准则及规定，要求外部审计师在每份审计报告中说明审计师对上市公司内部控制构成及程序的测试范围，并在该审计报告或单独的报告中注明。No.302条款——公司对财务报告的责任，要求建立、评价和报告关于财务报告披露的内部控制。No.404条款——提交定期财务报告出台之后，由公司出具一份内部控制评估报告。49《萨班斯—奥克斯利法案》强调1.上市公司会计监管委员会2.审计师的独立性3.公司的职责4.加强财务信息的披露5.分析员的利益冲突6.证券监管委员会的资源与权限7.研究和报告8.公司和刑事舞弊的责任9.加强对白领刑事犯罪的惩罚10.公司税务申报表11.公司的舞弊行为及其相应的责任50温家宝总理在十届全国人大四次会议上的政府工作报告…引进借鉴国外先进管理经验，规范公司治理结构，完善内控机制与管理制度，推进制度创新…….

2006年03月05日第五节

我国内部控制制度框架51案例引入：“鹿”死谁手？河北石家庄三鹿集团股份有限公司（以下简称“三鹿集团”）曾是国内奶粉生产三大巨头之一。作为国家重点龙头企业，三鹿集团先后荣获省以上荣誉称号二百余项。但是，在2008年9月11日，由于三鹿婴幼儿配方奶粉搀杂致毒化学物三聚氰胺事件曝光，三鹿集团迅速破产，引发一场“中国奶业的大地震”，其董事长田文华由此成为千夫指的罪人。究竟谁是导致三鹿破产的罪魁祸首呢？内部控制才是致“鹿”于死地的真正幕后黑手：治理结构问题反映了内部控制的内部环境不合理；风险管理不力说明了风险评估机制不健全；事故发生后反应滞后反映了重大风险的预警机制和突发事件的应急处理机制的缺失，正是控制活动不到位的表现；未向上级部门及时报告和对外披露相关信息反映了其信息与沟通机制的失灵；监督手段落实不到位说明了其内部监督的力度不够。而以上五个方面——内部环境、风险评估、控制活动、信息与沟通和内部监督正是内部控制的五大要素，它们---共同构成了我国《企业内部控制基本规范》的基础。

5253542008年5月22日，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》；自2009年7月1日起在上市公