Ⅰ、企业内部控制体系(李诗范)

Ⅰ、企业内部控制规范体系中国注册会计师电话：qq8/20221讲解内容一、企业内部控制规范体系概述二、《企业内部控制基本规范》解读三、企业内部控制规范的创新与发展四、企业内部控制的特点、局限性及目标9/8/20222灰社会，潜规则小金库吃回扣假发票偷逃税收豆腐渣工程携款潜逃…经济犯罪贪污腐败、行贿受贿、挪用公款…在你我的身边……保护别人与保护自己9/8/20223浏览世界经济发展史，少数企业因成功经营成为百年老店，而大部分企业则以失败、破产而告终。而企业最终退出历史舞台则是必然的，不可避免的，只不过有的企业来的快些罢了。下述一些企业就是如此：

（1）1995年2月，英国巴林银行由于交易员的个人行为在股指期货投资中损失13.3亿美元；（2）1997年日本八百半公司破产；（3）1998年香港百富勤投资集团破产；（4）2001年12月，美国安然公司申请破产保护，后被披露上市公司财务报告虚假丑闻；（5）2002年5月，世界通讯公司因财务丑闻事件破产，涉案300多亿美元；（6）2004年，德隆系资金链断裂，被接管；9/8/20224

（7）2004年10月，中航油新加坡公司从事石油期权交易，亏损5.54亿美元；（8）2004年12月，长虹集团发布首次预亏财务报告，主要原因是美国AFEX六年累计欠款4．67亿美元，预计无法收回，导致巨额损失；（9）2004年12月，伊利集团高管郑俊怀等5人因挪用巨额公款谋取私利被捕，造成股价大跌；（10）2005年1月，大鹏证券挪用客户保证金，被破产清算；（11）2005年10月，中储铜事件爆出，中国的期货铜交易巨额亏损达数亿美元；（12）2007年4月，农业银行邯郸分行管理员13天偷盗5100万巨款，银监会介入调查；9/8/20225

（13）2008年，美国著名投行贝尔斯登倒闭；（14）2008年9月，美国著名投行雷曼兄弟银行破产；（15）2008年，中信泰富因外汇衍生金融工具而亏损20亿美元；（16）2008年2月，中国海运(集团)总公司韩国釜山分公司4000万美元运费收入遭该公司财务负责人兼审计负责人截留转移，并携款潜逃；（17）2008年，香港合俊集团因金融危机倒闭；当然还有：银广夏造假、达尔曼资金黑洞、托普神话，……9/8/20226一、企业内部控制规范体系概述（一）美国企业内部控制相关法规的背景和内容1、《萨班斯法案》出台背景及重要条款萨班斯-奥克斯利法案（Sarbanes-OxleyAct）是美国立法机构根据安然公司、世界通讯公司等财务欺诈事件破产暴露出来的公司和证券监管问题所立的监管法规，简称《SOX法案》或《索克思法案》。萨班斯·奥克斯利法案全称《2002年公众公司会计改革和投资者保护法案》由参议院银行委员会主席萨班斯和众议院金融服务委员会（CFiS）主席奥克斯利联合提出。该法案对美国《1933年证券法》、《1934年证券交易法》做出大幅修订，在公司治理、会计职业监管、证券市场监管等方面作出了许多新的规定。9/8/20227萨班斯·奥克斯利法案的立法背景2001年12月美国最大的能源公司之一安然公司，突然申请破产保护，此后上市公司和证券市场丑闻不断，特别是2002年6月的世界通信公司会计丑闻事件（虚报利润735亿美元），“彻底打击了投资者对资本市场的信心”（2002国会报告）。美国国会和政府加速通过了该法案以图改变这一局面。法案的第一句话：“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。”美国总统小布什在签署该法案的新闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。萨班斯·奥克斯利法案最初于2002年2月14日提交给国会众议院金融服务委员会，到7月25日国会参众两院最终通过，先后有6个版本：2月14日、4月22日、4月24日、7月15日、7月24日、7月25日（最后版本）。9/8/202282、萨班斯·奥克斯利法案的主要内容最后修订完稿的该法案共分11章，第1至第6章主要涉及对会计职业及公司行为的监管，包括：建立一个独立的公众公司会计监管委员会PCAOB，对上市公司审计进行监管；通过负责合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性；限定公司高管人员的行为，改善公司治理结构等，以增进公司的报告责任；加强财务报告的披露；通过增加拨款和僱员等来提高美国证监会的执法能力。9/8/20229法案第7章要求相关部门在该法案正式生效后的指定日期内（一般都在6个月至9个月）提交若干份研究报告，包括：会计师事务所合并、信贷评等机构、市场违规者、（法律的）执行、投资银行等研究报告，以供相关执行机构参考，并作为未来立法的参照。第8至第11章主要是提高对公司高层主管及白领犯罪的刑事责任，比如：针对安达信销毁安然审计档案事件，制订法规，销毁审计档案最高可判10年监禁，在联邦调查及破产事件中销毁档案最高可判20年监禁；强化公司高管层对财务报告的责任，公司高管须对财务报告的真实性宣誓，提供不实财务报告将获10年或20年的刑事责任。9/8/202210美国2001年至2002年度所爆发的各项公司丑闻事件中，企业管理阶层无疑应当负有最主要的责任，因而，该法案的主要内容之一就是明确公司管理阶层责任（如对公司内部控制进行评估等）、尤其是对股东所承担的受讬责任，同时，加大对公司管理阶层及白领犯罪的刑事责任。企业会计人员以及外部审计人员在这些事件中的负面作用，不容否定，比如，安然通过复杂的特殊目的主体安排，虚构利润、隐瞒债务；而世界通讯则是赤裸裸的假账，提高财务报告的可靠性，成为该法案的另一个主要内容，法案的要求包括：建立一个独立机构来监管上市公司审计；审计师定期轮换；全面修订会计准则；制订关于审计委员会成员构成的标准；要求管理层即时评估内部控制、更即时的财务报告；对审计时提供谘询服务进行限制等。9/8/2022113、萨班斯·奥克斯利法案评论与启示萨班斯·奥克斯利法案标志着美国证券法律根本思想的转变：从披露转向实质性管制。该法案立法匆忙，但经历了将近20次的公开听证；同时，美国国会相关人员对该法案展开了较充分地争论，并尽可能地限制该法案对经济运行的负面影响。比如，针对Gramm提出的小型企业问题，法案保留了由PCAOB按个案审批豁免的权力（第201节）。萨班斯·奥克斯利法案带给其他国家的启示

一是法律重在有效执行，才能起到预期的约束作用。美国公司管理阶层1980年代至1990年代的收入风险结构不合理，期权收益高、法律风险低，美国监管机构事后加大了对公司管理层的法律约束，陆续对公司丑闻事件的当事人提起公诉。安然公司陆续有数十人被起诉。安然的前首席执行官杰弗里·斯基林（J.Skilling）、安然的创始人肯尼斯·雷依(K.Lay)被起诉，2005年5月25日被宣判有罪，分别获185年和165年监禁。世界通讯公司的财务总监、创始人也被起诉判刑。9/8/202212二是建立合理、稳定的预期。人的行为在相当程度上建立在其对未来合理预期之上，而完善的法律制度将保障人建立这种预期的依据。美国公司管理阶层近乎贪婪的预期与其1980年代至1990年代的低风险不无关联。美国监管当局通过起诉与惩罚有错或者有罪管理者，以图形成一种新的预期：公司管理层需要自我约束。三是政府适度管制。绝对无管制的市场容易走向极端和混乱。但前苏联及中国的财经监管历史也证明，高度管制同样不利于经济的发展。虽然安然等丑闻爆发，为政府介入、加强管制提供了绝佳的借口，但美国立法辩论过程中，仍有相当多议员对政府管制持审慎态度。美国总统小布什大力推行的减税政策的经济思想也是：让市场自己运行，政府应当少掌握资源、少介入经济。9/8/2022134、萨班斯·奥克斯利法案下的内部控制框架思考

2001年底发生的安然事件等一系列财务丑闻，暴露了美国核查体系的严重缺陷，而上述核查体系原本是用来保护公众公司的股东、养老金受益人和雇员的利益，并保护美国公众对资本市场的稳定、公正的信心的，安然等一系列事件无疑严重动摇了公众对会计师行业的信心。针对上述公司失败事件，美国国会在2002年出台了《萨班斯—奥克斯利法案》，该法案为公众公司的外部审计师们创建了一个广泛的、新的监督体制，并将对财务报告的内部控制作为关注的具体内容。国会不仅要求管理层报告公司对财务报告的内部控制，而且要求外部审计师证实管理层报告的准确性。可以说，上述事件又一次让内部控制成为关注的焦点。9/8/2022142002年7月发布的《萨班斯—奥克斯利法案》第404节（a），以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。第404节还要求公司的外部审计师对管理层的评估意见出具“证明”，也就是说，向股东和公众提供一个信赖管理层对公司财务报告的内部控制描述的独立理由。法案的第404节以及103节，指导公众公司会计监督委员会（PCAOB）制定用以管理外部审计师的证实工作，并就管理层对内部控制的有效性的评估进行报告的行业标准。

9/8/2022155、COSO报告（1）1992年COSO公布的《内部控制—综合框架》上述《萨班斯—奥克斯利法案》表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。1992年Treadway委员会经过多年研究，针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布《内部控制一整体框架》报告，即通称的COSO报告。9/8/202216报告共分四部分：第一部分是概括；第二部分是定义框架，完整定义内部控制，描述它的组成部分，为公司管理层、董事会和其他人员提供评价其内部控制系统的规则；第三部分是对外部团体的报告，是为报告编制报表中的内部控制的团体提供指南的补充文件；第四部分是评价工具，提供用以评价内部控制系统的有用材料。9/8/202217COSO报告提出内部控制是用以促进效率，减少资产损失风险，帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标：经营的效率和效果：基本经济目标，包括绩效、利润目标和资源、安全；财务报告的可靠性：与对外公布的财务报表编制相关的，包括中期财务报告、合并财务报表中选取的数据的可靠性；符合相应的法律法规。9/8/2022189/8/2022199/8/2022209/8/202221（2）COSO《企业风险管理框架》2004年，COSO提出了内部控制新的概念体系，即《风险管理框架》。这一框架中包括了风险管理的定义；企业风险管理的8个构成要素，即内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息交流和监督；4个风险管理目标，即战略目标、经营目标、报告目标和合法性目标。加强对内部控制中的风险管理的监管不仅有利于遏止财务造假行为，也有利于促进上市公司的持续发展，促进资本市场健康发展。9/8/2022229/8/202223（二）我国企业内部控制规范体系1、内部控制的含义及作用规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。其目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。内部控制的作用表现在以下几个方面：9/8/2022249/8/20229/8/2022

（1）内部控制历来是制度基础。

内部控制历来是包括企业在内的所有组织和机构正常运转的制度基础。它是一个单位为了保障会计信息质量的可靠有效，保护资产的安全完整，确保有关法律法规和规章的贯彻执行，而制定和实施的一个控制系统。3000年以前，中国人称企业经营的通常称法是“生意”，“生”是生存，“意”是意义，“生意”便是生存之意义。由此不难发现古人对长寿之道向来是非常重视的。然而，看一看今天中国企业平均寿命只有6.5--7岁，民营企业只有2.9岁。而列居世界500强或与之相当的跨国公司平均寿命大约在40岁上下之间。9/8/202225

针对我国企业普遍短寿的现状，需要我们思考的，这中间有着什么样的规律？中国企业到底怎么了？

通过对我国企业速生速亡的现象内在因素的考察，中国企业并不缺乏技术和人力的支持，而是一直没有演进生存品质。“练拳不练功，十年一场空”的说法符合企业的实际。中国企业的短命，缘于管理理念过于狭隘地建立在经济学的语言上，它们仅关心利润，利润数字即使再清楚，也只能说明过去，并不能明示将会导致健康恶化的潜在因素。9/8/202226企业的生存品质来源于对环境适应过程中的持续演进，组织生存品质就是内在的管理机制——激励机制、考评体系、规章制度、组织设计等。而其核心就是内部控制系统，该系统有三个维度——人、财、物。一个制度和机制不完整、不规范的公司，一旦出现问题，与其责怪员工不道德、钻漏洞，应先问是谁给了他诱惑，又是谁给了他机会。俗话说“千里之堤，溃于蚁穴”，完善的内部控制体系，并不仅仅是在事后修修补补，更应在事前建立防范体系，防患于未然。

9/8/202227

（2）内部控制是管理工作的基础，是持续健康发展的保证。

管理实践证明，企业一切管理工作都是从建立和健全内部控制开始的；企业的一切决策都是应统驭在完善的内部控制体系之下；企业的一切活动，都无法游离于内部控制之外。9/8/202228（3）企业经营战略实现的需要。财务管理、HR管理、战略管理、经营战略的实现，需要科学管理为保障，而企业内部控制则是企业管理最有效和最基本的手段和方法。综观中外企业的兴衰，成功的企业各有各的策略和优势；失败的企业几乎都与管理不善、控制无力有关。内部控制是企业立足风险丛生的市场的保障，是企业可持续发展的根本。企业越发展，内控越重要。我国企业的不断发展和壮大，更需要借鉴世界成功企业的管理方法和手段。管理实践证明：得控则强、失控则弱、无控则乱。9/8/202229

（4）中国企业融入世界经济的要求

问题：产品标准、商业语言等。中国企业融入国际社会，要求企业要逐步建立符合国际化要求的管理体系，其基础就是要建立现代化的内部控制体系。现实又是这方面的资料十分缺乏，表现：缺乏对内部控制权威的理论诠释；缺乏对内部控制实践经验的介绍，偶尔有之，可操作性差；缺乏对国际惯例的全面、系统介绍，特别是关于各种权威机构的研究报告、指南的介绍。9/8/202230电子商务虚拟组织数字化集成知识经济信息高速公路...正在改变整个商业世界合并与收购WTO/全球化世界经济的发展大趋势9/8/202231迅速的逐步的改进:改进流程新的管理软件重组：合并、分立战略联盟重新定位:综合成本管理综合质量管理变革:价值链重新设计企业文化重新定位速度战术上的战略上的程度世界经济的发展动力9/8/202232目前中国企业里观察到一些乱象上级部门考核缺乏具体可操作性的指标，指标往往单向考核，造成企业为达到指标而不顾国家的整体利益企业领导精力集中于向政府争取和利用优惠政策多于考虑企业长远发展及企业内部管理的完善。成功的企业领导忙于应付政府活动、上级会议、参观、经验介绍等，而真正花在企业经营上的时间越来越少，结果几年之后，企业经济效益严重滑坡。9/8/202233企业内部管理人员考虑权力划分多于考虑企业的整体发展，内部关系裙带风严重。尽管企业内部会议众多，但部门之间各自为政，缺乏正常的沟通环境，经常会议结束问题照旧。老总忙于解决具体事务，缺乏全方位的考虑企业发展。9/8/202234战略定位不明:企业缺乏对产业愿景的认识和自身的定

位，

无法组织和建立未来竞争所需的

资源和竞争力。组织架构紊乱:组织架构不能配合企业战略的实施，难

以整合提升资源。

业务流程松散:业务部门之间联系松散，职能重叠，缺

乏信息共享机制，无法为企业创造附加

价值。这些乱象的背后原因是……9/8/202235激励机制不足:缺乏全面完备的绩效评估制度等激励机制，人才的成长落后于企业的发展。信息技术缺乏:信息系统较落后，信息技术运用程度较低，难以为企业提供决策支持。资金管理低效:企业缺乏成熟的资金运用和投资管理技能，造成资金运用的低效率。9/8/202236中国企业转型面临的挑战员工观念落后，难以接受新的管理理念大部分员工缺乏管理的专业背景与技能，难以接受新的管理体系和不适应与国际接轨的管理运作方式企业性质决定员工缺乏变革的紧迫感，并对于企业变革存在抵触员工习惯于在平均主义的环境中生存，对打破现有分配体制有一定的顾虑企业缺乏集成的信息系统，内部条块分割明显，各自为政，员工对打破现有的运作体系有疑虑管理层与员工之间缺乏上下交流的通畅渠道，以便于管理政策的全面贯彻及实施情况的及时和准确反馈9/8/202237中国企业的当务之急－全方位完善运作架构如何拟定企业经营战略、组织架构、业务流程、信息系统、绩效考核等多方面紧密配合的整体方案；如何根据企业的战略重整业务流程和组织架构，以企业资源系统为龙头来建立内部信息共享；如何有效地运用管理信息系统配合绩效评估体系的设立；如何在转变员工观念的基础上提高素质及整个团队的技能，以求与国际水平接轨。9/8/202238

（5）人类的文明史就是内部控制的发展史

公元前3600年美索不达米亚文化时期付款清单上的“点、勾、圈”；我国公元前1100年周朝的“一家财富之出入、数人耳目之同焉”等财富管理手段，闪耀着内部控制的火花。而内部控制作为一门学科的形成，至今仍处在不断发展的时期。我国财政部对企业的会计和货币资金等基本共性业务制定规范；中国人民银行发布《商业银行内部控制指引》；中国证监会发布了《证券投资基金管理公司内部控制指导意见》；中国注册会计师协会颁布了《企业内部控制审核指导意见》。9/8/20223940职业道德法律法规内部控制不愿不敢不能机会借口压力9/8/202240与三角论一样还是机会！强调“贪婪”！机会O需要N贪婪G暴露E9/8/202241为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，二OO八年五月二十二日以财会[2008]7号文发布，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。9/8/2022422008年6月28日和2010年4月26日分别发布了18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》（涉及银行业务、保险业务、证券业务的由于时机尚不成熟，未制定）。2010年7月出台了操作应用指南，标志着中国企业内部控制规范体系基本建成。为确保企业内控规范体系顺利实施，财政部等五部门要求自2011年1月1日起首先在境内外同时上市的公司施行。自2012年1月1日起扩大到上海、深圳证券交易所主板上市的公司施行；中小板和创业板上市公司择机施行；非上市大中型企业鼓励提前执行。9/8/202243

这些规定或规范为我国企业内部控制的实施起到了推动作用。随着我国企业改革的推进和竞争的日益国际化，企业更需要先进而现实的内部控制、增强企业可持续发展能力。同时，企业内部控制的建立和完善也是广大财务人员实践“诚信为本、操守为重、坚持准则、不做假账”职业操守的根本基础和保障。9/8/202244

内部控制的目标要求企业在保证经营管理合法合规、资产安全、财务报告真实完整，提高经营效率的基础上，实现企业发展战略。该内部控制基本规范的实施，无疑将推动企业内部控制体系建设，有助于防范企业风险，对保护企业资产完整、企业会计信息真实可靠和公允性将大有裨益。9/8/2022452、内部控制制度发展的五个阶段发展阶段时间期望和需求特点内部牵制20世纪20年代预防舞弊，保护所有者权益组织控制、不相容职务分离为核心内部控制制度

20世纪40-70年代提高审计的效率降低审计成本分为会计控制和管理控制不考虑环境因素的影响用于系统基础审计内部控制结构

20世纪70-90年代提高审计的效率降低审计风险用于风险导向审计开始考虑环境对控制的影响，提出三要素：控制环境、会计系统和控制程序内部控制整体框架（ICIF框架）20世纪90年代后服务于组织目标的实现；同时也用于重大错报风险的评估提出内部控制三目标和五要素(控制环境、风险评估、控制活动、信息沟通、监督)全面风险管理整体框架（ERM框架）2004以后联系内部控制与风险管理八要素考虑了战略目标9/8/2022463、企业内控配套指引的层级应用指引1、应用指引（已出台的有18项）：以公司治理为起点，从内部环境开始，到流程、控制点，到控制手段，覆盖了企业经营管理的方方面面和各个环节。分为三类：A类：内部环境类，包括组织架构、发展战略、人力资源、企业文化和社会责任等5项，A类指引对企业层面相关控制加以规范；B类：控制活动类，资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等9项；C类：控制手段类：全面预算、合同管理内部信息传递、信息系统等4项。B、C类指引是从梳理流程开始，找出风险点和薄弱环节，提出控制措施。18项指引通俗易懂，简便易行，具有很强的操作性。处于主体地位，为企业建立健全内部控制制度体系提供指引。9/8/2022472、评价指引：为企业管理层对本企业内部控制的有效性进行自我评价提供的指引（企业自评，管理层自写评价报告）。内部控制评价是企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。要求企业实施内部控制时，要进行自我评价，要求企业管理层特别是董事会，要每年或定期对内部控制的设计和运行情况进行评价，年度要出具内部控制自我评价报告。评价指引的主要内容（5章27条）：（1）内控评价的内容；（2）内控评价的组织；（3）内控缺陷的认定；（4）内控评价报告的格式、目录、工作底稿；（5）报告的披露与报送。9/8/2022483、审计指引（企业内部控制审计指引）：为注册会计师执行内部控制审计业务提供的执业准则。内部控制审计：是指会计师事务所接受审计委托，对特定基准日内部控制设计与运行的有效性进行审计。要求执行内部控制制度的企业，遵循应用指引进行自我评价后，就出具的自我评价报告是否真实，由注册会计师和具有证劵业务资格的会计师事务所进行审计并出具审计意见。审计指引中明确了会计师事务所对企业内部控制进行审计鉴证的责任（必须出具规定格式的内部控制审计报告标准意见/无保留意见/否定意见/拒绝意见）。就像报表审计意见的签署一样。这是一项重要的制度安排，他不象现在简单地在原来基础上加上一个说明段。9/8/202249企业内部控制基本规范

企业内部控制应用指引内部环境类组织架构发展战略人力资源社会责任企业文化控制活动类资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包控制手段类全面预算合同管理内部信息传递信息系统企业内部控制评价指引企业内部控制审计指引9/8/202250二、《企业内部控制基本规范》的解读（一）基本规范框架基本规范包括：总则、内部环境、风险评估、控制措施、信息与沟通、监督检查和附则，共7章50条。总括起来是5个5：5部委联合发布：财政部、证监会、审计署、银监会、保监会5个目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。5个原则：全面性、重要性、制衡性、适应性、成本效益原则5个要素：内部环境、风险评估、控制活动、信息与沟通、内部监督5个核心章50条9/8/202251（二）《规范》的制定目的、依据、适用范围目的：为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益。依据：依据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规，制定本规范。”适用范围：规范适用于中华人民共和国境内设立的大中型企业，小企业和其他单位可以参照本规范建立与实施内部控制。自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行(3-5年内)。时间表：2011年境内外上市的，2012年上交所深交所上市的，择机中小板创业板，鼓励大中型企业提前执行。参照执行：小企业和其他单位不必执行：港澳台地区企业不执行。9/8/202252（三）内部控制的5个目标内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。合规目标：促进单位经营管理合法合规。安全目标：促进维护资产安全。报告目标：促进提高信息报高质量。经营目标：促进提高经营效率和效果。战略目标：促进企业实现发展战略9/8/202253不同内部控制体系的控制目标9/8/202254企业生存与发展战略目标经营目标报告目标分解反映资产目标合规目标前提保证卫士保安谋士高参内部控制目标的关系9/8/202255（四）内部控制的5个原则企业建立与实施内部控制，应当遵循下列原则：1、全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。2、重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。3、制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。4、适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。5、成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。9/8/202256（五）内部控制的5个要素内部控制要素包括：内部环境、风险评估、控制活动、信息与沟通、内部监督。监督控制活动风险评估控制环境信息与沟通信息与沟通内控控制五要素架构9/8/2022571、内部环境规定单位的纪律与架构，影响经营管理目标的制定，塑造单位文化并影响员工的控制意识，是实施内部控制的基础。（1）单位的治理结构。如董事会、监事会、管理层的分工制衡及其在内部控制中的职责权限，审计委员会职能的发挥等；单位的内部机构设置及权责分配，应当有利于提升管理效能，并保证信息通畅流动。（2）规范企业治理结构、内部机构设置与权责分配。常见制度性文件和方法有：公司章程、内部管理制度汇编、员工手册、组织结构图、业务流程图、岗位描述、权限指引等。9/8/202258（3）内部审计机制。设立审计委员会：有条件的企业应当在董事会下设审计委员会，并保证审计委员会及其成员的独立性；未设立审计委员会的企业，应当由董事会授权或者企业章程规定的有关机构承担上述职责。设立专门的内部审计机构的企业，应当保证内部审计机构具有相应的独立性，并配备与履行内部审计职能相适应的人员和工作条件。未设立内部审计机构的企业，应当由董事会授权或者企业章程规定的有关机构承担上述职责。内部审计机构原则上不得置于财会机构的领导之下或者与财会机构合署办公。内部审计机构依照法律规定和企业授权开展审计监督，其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题，视具体情况，可以直接向审计委员会或者董事会报告。内部审计人员应当具备内审人员从业资格，拥有与工作职责相匹配的道德操守和专业胜任能力。9/8/202259（4）单位的人力资源政策。人力资源政策包括：①员工的聘退与培训。②员工的薪酬、考核、晋升与奖惩。③财会等关键岗位员工的轮岗制衡要求。④对掌握重要商业秘密或核心技术等关键岗位员工离岗的限制性规定。建立员工选拔和聘用的标准，重视并加强员工培训，建立和完善员工激励约束机制。（5）单位文化。包括单位整体的风险意识和风险管理理念，董事会、经理层的诚信和道德价值观，单位全体员工的法制观念等。9/8/2022602、风险评估风险：是指一个潜在事项的发生对目标实现产生的影响。风险评估：是单位及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略，是实施内部控制的重要环节。包括：目标设定、风险识别、风险分析和风险应对。目标风险控制行为控制活动环境变化后的管理评估和更新9/8/202261风险因素：通常表现为各种潜在事项和因素，包括经济因素、自然环境因素、法律因素、社会因素、科学技术因素等外部因素，以及人力资源、管理、自主创新、财务、安全环保等内外部因素。9/8/202262各行业前10种最主要风险因素（德勤统计数据）次序银行/保险业/证券制造业其他1内部控制的质量内部控制的质量内部控制的质量2管理人员的能力管理人员的能力管理人员的能力3管理人员的正直程度管理人员的正直程度管理人员的正直程度4会计系统的近期变动单位的规模会计系统的近期变动5单位的规模经济环境恶化业务的复杂性6资产的流动性业务的复杂性资产的流动性7重要人员的变动重要人员的变动单位的规模8业务的复杂性会计系统的近期变动经济环境恶化9快速的增长快速的增长重要人员的变动10政府法规管理人员对完成目标的压力快速的增长9/8/202263风险识别方法：企业可以采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素。风险分析：是指分析和辨认实现有关目标可能发生的风险，以便形成确定应该如何对它们进行管理的依据。风险应对策略：是指企业管理层在评估了相关风险的可能性和后果，以及成本效益之后，选择一系列措施使剩余风险处于期望的风险容限以内。风险回避：企业对走出整体风险承受能力或者具体业务层次上的可接受风险水平的风险，应当实行风险回避。9/8/202264风险承担：企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后无意采取进一步控制措施的，可以实行风险承担。风险降低：企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意单独采取进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险降低。风险分担：企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意借助他们力量，采取包括业务分包、购买保险等进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险分担。9/8/2022653、控制活动控制活动：是指单位管理层根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。常用控制措施（1）职责分工控制不相容职务分离制度。企业应当根据各项经济业务与事项的流程和特点，系统、完整地分析、梳理执行该经济业务与事项涉及的不相容职务，并结合岗位职责分工采取分离措施。不相容职务通常包括：授权、批准、业务经办、会计记录、财产保管、稽核检查等。关键岗位轮换制度。企业应当结合岗位特点和重要程度，明确财会等关键岗位员工轮岗的期限和有关要求，建立规范的岗位轮换制度，对关键岗位的员工，可以实行强制休假制度，并确保在最长不超过5年的时间内进行岗位轮换。9/8/202266（2）授权控制：常规性授权控制、临时性授权控制、集体审议或联签制度。（3）审核批准控制：按照规定的授权和程序，对相关经济业务和事项的事实性、例规性、合理性以有关资料的完整性进行复核与审查，通过签署意见并签字或者签章，作出批准、不予批准或者作其他处理的决定。（4）预算控制：加强预算编制、执行、分析、考核等各环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。9/8/202267（5）财产保护控制：企业应限制未经授权的人员对财产的直接接触和处置，采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施，确保财产的安全完整。（6）会计系统控制：企业应当依据《会计法》、会计准则制度，制定适合本企业的会计制度，明确会计凭证、会计账簿和财务报告以及相关信息披露的处理程序，规范会计政策的选用标准和审批程序，建立、完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能，确保企业财务报告真实、可靠和完整。9/8/202268（7）经济活动分析控制：综合运用生产、购销、投资、财务等方面的信息，利用比较分析、比率分析、因素分析、趋势分析等方法，定期对企业经营管理活动进行分析，发现存在的问题，查找原因，并提出改进意见和应对措施。（8）绩效考评控制：科学设置业绩考核指标体系，对照预算指标、盈利水平、投资回报率、安全生产目标等方面的业绩指标，对各部门和员工当期业绩进行考核和评价，兑现奖惩，强化对各部门和员工的激励与约束（9）信息技术控制：结合实际情况和计算机信息技术应用程度，建立与本企业经营管理业务相适应的信息化控制流程，提高业务处理效率，减少和消除人为操纵因素，同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全、有效运用。9/8/202269女出纳贪污拆迁款250余万元获刑无期

她负责公章、拆迁款领取表、通知拆迁户签字领款；重复记账案例9/8/20227027岁的女出纳员白艳华，利用其担任北京市延庆县八达岭高速公路（三期）领导小组办公室出纳、负责向拆迁户发放拆迁补偿款的职务便利，在2001年至2003年两年半的时间里多次伪造拆迁补偿协议，虚增、贪污拆迁款250余万元，购买了高档住宅、高级轿车，大肆进行挥霍，还用赃款出国留学。北京市第一中级人民法院日前以贪污罪一审判处其无期徒刑。白艳华在2000年8月经人介绍担任出纳员。虽然拆迁补偿协议不由白艳华负责填写，但办公室的公章由她保管，她还负责制作拆迁款领取表，把补偿款从办公室账上支出来到银行办成存折，通知拆迁户签字领款。白艳华就是利用这个机会，伪造、复印已存档的十余人的拆迁补偿协议，并重复记账，将多增加的补偿款以被拆迁人的名字存入银行，再将钱取出后占为己有。【其实就是“发空饷”】2005年春节期间，反贪机关将回国过春节的白艳华抓获归案。案发后追缴部分赃款、赃物，尚有人民币130余万元赃款未能追回。9/8/202271722004年10月18日,北京市第一中级人民法院审理国家自然科学基金委员会会计卞中贪污挪用公款一案。1995～2003年的8年贪污和挪用26笔，近2亿元,占整个基金会年掌控经费的1/10。被判处死缓,剥夺政治权利终身,并处没收个人全部财产。卞中其人:其貌不扬；独来独往；沉默寡言；对女友宣称自己是中国首富小“会计”玩转两个亿9/8/202272内控缺陷：经费管理处无人监督、查账，一人掌控，14年没有内部审计，基金委严重失察办案人员：“查到最后感觉偌大一个基金委，拨款权实际上就掌握在一个会计手中”。手法：打包拨款，退汇重拨，以拨代收；伪造银行进账单、对账单案例9/8/202273时间：2007年4月14日14时许；

地点：河北邯郸市农业银行金库

案值：近5100万元现金人民币被盗(一个多月)

身份：两疑犯为银行现金管理中心管库员农行河北省分行行长瞿建耀：“不出事是偶然，出事是必然。”

疑犯任晓峰：“我在逃跑的时候连饭都没心思吃，但是我看到彩票投注点就想下车买点，没什么其他想法，就是手痒痒。”9/8/2022744、信息与沟通是单位及时、准确收集、传递与内部控制相关的信息，确保信息在单位内部、单位与外部之间进行有效沟通，是实施内部控制的重要条件。信息与沟通的主要环节有：确认、计量、记录有效的经济业务；在财务报告中恰当揭示财务状况、经营成果和现金流量；保证管理层与单位内部、外部的顺畅流通，包括与利益相关者、监管部门、注册会计师、供应商等的沟通。9/8/202275（1）信息收集机制收集内部信息。包括：会计信息、生产经营信息、资本运作信息、人员变动信息、技术创新信息、综合管理信息等。企业可以通过会计资料、经营管理资料、调查研究报告、会议记录纪要、专项信息反馈、内部报刊网络等渠道和方式获取所需的内部信息。收集外部信息。包括：政策法规信息、经济形势信息、监管要求信息、市场竞争信息、进行动态信息、客户信用信息、社会文化信息、科技进步信息等。企业可以通过立法监管部门、社会中介机构、行业协会组织、业务往来单位、市场调查研究、外部来信来访、新闻传播媒体等渠道和方式获取所需的外部信息。9/8/202276（2）信息沟通机制内部沟通：采取互联网络、电子邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等方式，实现内、外部信息在企业内部准确、及时传递和共享，确保董事会、管理层和企业员工之间有效沟通。外部沟通：与投资者和债权人、客户、供应商、监管机构、外部审计师、律师的沟通。（3）反舞弊机制在财务报告和信息披露方面弄虚作假；未经授权、滥用职权或者采取其他不法方式侵占、挪用企业资产；在开展业务活动中非法使用企业资产牟取不当利益；企业高级管理人员舞弊给企业内部控制和经营管理可能千万的重大影响；员工单独或者串通舞弊给企业造成损失。完善投诉、举报管理制度。9/8/2022775、内部监督是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。主要包括对建立并执行内部控制的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。（1）监督检查方式：持续性监督检查、专项监督检查（2）监督检查机构：企业董事会所属审计委员会、内部审计机构或者实际履行内部控制监督职责的其他有关机构。（3）监督检查的责任处理：对在监督检查中发现的违反内部控制规定的行为，应当及时通报情况和反馈信息，并严格追究相关责任人的责任，维护内部控制的严肃生和权威性。9/8/202278三、内部控制规范的创新与发展1、