内部控制讲座暨南大学教授的课件

内部控制讲座

白华

暨南大学会计学系

tbaihua@

内部控制讲座

白华

暨南大学会计学系

tbaihua提纲一、内部控制的基本理论问题二、内部控制的基本内容和方法三、开展内部控制普遍存在的问题与困惑四、如何建设有效的内部控制五、案例提纲一、内部控制的基本理论问题一、内部控制的基本理论问题（一）内部控制的概念与本质（二）内部控制与企业管理、公司治理、风险管理之间的关系（三）内部控制在企业管理中发挥作用的内在机理一、内部控制的基本理论问题（一）内部控制的概念与本质（一）内部控制的概念与本质内部控制是什么？内部控制是制度吗？（一）内部控制的概念与本质背景资料被誉为“中国版《萨班斯法案》”的《企业内部控制基本规范》（下称《基本规范》）和《企业内部控制配套指引》（下称《配套指引》）的发布，标志着中国企业内部控制规范体系基本建成。企业将按要求建立和实施符合监管要求的内部控制系统。那么，这是否意味着企业要做一套专门的内部控制制度？企业原有的一套治理和管理制度与内部控制制度是什么关系？国资委《中央企业全面风险管理指引》要求企业建立风险管理制度，那么，企业是否需要并行多套制度？5背景资料被誉为“中国版《萨班斯法案》”的《企业内部控制基本规6项目地点上市公司数有“内部控制制度”表述的公司数有命名为“内部控制制度”的公司数沪市861861126深市959959224总内部控制是制度”的认可情况统计表

注：有命名为“内部控制制度”的公司数一栏中，包括在2009年年报或招股说明书中有《内部控制制度》、《内部会计控制制度》、《内部牵制制度》和《风险管理制度》等用书名号明确指出建立了此类制度的公司。6项目上市公司数有“内部控制制度”表述的公司数有命名为“内部COSO的权威概念内部控制是由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。——COSO（1992）《内部控制——整合框架》7COSO的权威概念内部控制是由企业董事会、经理层和其他员工实内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

五部委（2008）《企业内部控制基本规范》的概念五部委（2008）《企业内部控制基本规范》的概念1、是一个过程;2、全员参与;3、目标导向;4、合理保证;5、适用范围：不仅适用于企业等营利组织，而且适用于非营利组织。对概念的理解1、是一个过程;对概念的理解10是一个过程有五层含义：1、与经营管理活动融为一体的一个过程；2、是一个从计划到执行到控制的过程；3、是一个五要素相互作用的过程；4、是随着企业规模的扩大和业务的拓展，不断完善的过程；5、是随着理论和实务的发展而不断发展成熟的过程。10是一个过程有五层含义：COSO的观点“组织中各单位或各职能部门内部或跨单位或职能部门所实施的经营过程，都是通过计划、执行和监控等基本的管理过程来加以管理的。内部控制是这些过程的一部分，并与它们整合在一起。内部控制能让这些管理过程发挥作用，并对其实施和持续的关联性进行监控。内部控制是一个管理工具，而不是管理的替代品。”——COSO《内部控制——整合框架》第14页。COSO的观点“组织中各单位或各职能部门内部或跨单位或职能部法约尔的观点“这里，我只讨论管理问题，所以就不谈两个企业之间的控制问题了……我着重谈一下企业内部控制，这种控制的目的是专门为了有助于各部门的工作的顺利进行，而总的来讲也有助于企业运营的顺利进行。”

——工业管理和一般管理，1916,中文版第120页。法约尔的观点“这里，我只讨论管理问题，所以就不谈两个企业之间（二）内部控制与企业管理、公司治理、风险管理之间的关系这四者是同一个意思吗？在神马情况下可以等同呢？（二）内部控制与企业管理、公司治理、风险管理之间的关系1、内部控制与企业管理的关系内部控制是因为外部审计的需要？内部控制是因为外部监管的需要？内部控制是因为内部审计的需要？内部控制是因为企业管理的需要？1、内部控制与企业管理的关系内部控制是因为外部审计的需要？2、内部控制与公司治理的关系内部控制公司治理2、内部控制与公司治理的关系内部控制公司治理3、内部控制与风险管理的关系内部控制风险管理风险管理内部控制风险管理内部控制3、内部控制与风险管理的关系内部控制风险管理风险管理内部控制4、三者之间的关系相互包含的关系

相互嵌合的关系等同的关系

公司治理风险管理内部控制内部控制风险管理公司治理内部控制风险管理公司治理4、三者之间的关系公司治理风险管理内部控制内部控制风险管理公（三）内部控制在企业管理中发挥作用的内在机理COSO（1992）（三）内部控制在企业管理中发挥作用的内在机理COSO（内部控制整合框架由五个相互联系的要素构成，即：控制环境(ControlEnvironment)、风险评估(RiskAppraisal)、控制活动(ControlActivity)、信息与沟通(InformationandCommunication)、监控(Monitoring)。内部控制整合框架由五个相互联系的要素构成，即：控制环境(CoCOSO《企业风险管理——整合框架》EnterpriseRiskManagement（2004）“企业风险管理是一个过程，这个过程受组织的董事会、管理层和其他人员影响，应用于战略制定并贯穿在整个企业之中。企业风险管理旨在识别影响组织的潜在事件，并在其能承受的范围内管理风险，从而为组织目标的实现提供合理的保证。”包括：

内部环境、目标设定、

事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等八要素。COSO《企业风险管理——整合框架》EnterpriseR相互依存、不可分割的内控框架

（以五要素为例）监控控制环境风险评估控制活动信息与沟通信息与沟通监控控制环境风险评估控制活动控制活动信息与沟通监控控制环境风险评估风险评估控制活动信息与沟通监控控制环境控制环境风险评估控制活动信息与沟通监控相互依存、不可分割的内控框架

（以五要素为例）监控控制环境风二、内部控制的基本内容和方法（一）总体概况1、“中国版萨班斯法案”称谓的由来2、五部委内部控制体系介绍（二）《内部控制基本规范》介绍（三）《配套指引》介绍1、《应用指引》本身的逻辑性和“应用”的困难性2、《评价指引》是自律3、《审计指引》是他律二、内部控制的基本内容和方法（一）总体概况（三）《配套指引》（一）总体概况

1、“中国版萨班斯法案”称谓的由来2002年美国颁布《萨班斯法案》。2006年7月15日财政部、证监会、审计署、银监会、保监会发起成立中国企业内部控制标准委员会。2、五部委内部控制体系介绍2008年6月28日《企业内部控制基本准则》发布。2010年4月26日《企业内部控制配套指引》发布，含《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。2011年1月1日在境内外同时上市的公司施行。2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。在全球内部控制标准制定领域享有盛誉的美国科索委员会专门发来贺信，对企业内部控制配套指引的发布表示热烈祝贺，认为中国企业内控规范体系与国际通行的科索内控框架在所有主要方面保持了一致。反对虚假财务报告委员会（NationalCommissiononFraudulentReporting）COSO委员会（CommitteeofSponsoringOrganizationsoftheTreadwayCommission）（一）总体概况

1、“中国版萨班斯法案”称谓的由来（二）《企业内部控制基本规范》介绍

共七章50条，2009年7月1日起实施。第一章总则第二章内部环境第三章风险评估第四章控制活动第五章信息与沟通第六章内部监督第七章附则（二）《企业内部控制基本规范》介绍

共七章50条，2009年第一章总则目的和依据适用范围概念界定原则要素执行要求第一章总则目的和依据第二章内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。第二章内部环境内部环境是企业实施内部控制的基础，一般包括COSO：控制环境第一、概念控制环境是组织的基调，主导或左右着组织成员的控制理念。是其他内部控制要素的基础，决定着控制的边界和结果。第二、控制环境7要素正直与道德价值观员工素质董事会审计委员会管理哲学与行事作风组织结构设计责任与权力分配人力资源政策COSO：控制环境第一、概念正直与董事会管理哲学组织结构责任第三章风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。第三章风险评估风险评估是企业及时识别、系统分析经营活动中风险评估的工具高后果低低高右边后果严重下边可能性大分担减少承受规避可能性风险评估的工具高后果低低高右边后果严重下边可能性大分担减少承风险应对策略风险规避风险减少风险分担风险承受风险应对策略风险规避第四章控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。讨论：控制措施只有这些吗？第四章控制活动控制活动是企业根据风险评估结果，采用相应的第五章信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。第五章信息与沟通信息与沟通是企业及时、准确地收集、传递与内第六章内部监督内部监督是指内部审计吗？内部监督与内部审计是何关系？如何理解全过程跟踪审计？第六章内部监督内部监督是指内部审计吗？（三）《配套指引》介绍

2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，连同此前发布的《企业内部控制基本规范》，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。（三）《配套指引》介绍

2010年4月26日，财政部、证监1、《应用指引》本身的逻辑性和“应用”的困难性《应用指引》目录第1号——组织架构第2号——发展战略第3号——人力资源第4号——社会责任第5号——企业文化第6号——资金活动第7号——采购业务第8号——资产管理第9号——销售业务第10号——研究与开发第11号——工程项目第12号——担保业务第13号——业务外包第14号——财务报告第15号——全面预算第16号——合同管理第17号——内部信息传递第18号——信息系统1、《应用指引》本身的逻辑性和“应用”的困难性《应用指引》2、《评价指引》是自律共五章27条是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。2、《评价指引》是自律共五章27条按要素评价、按要素报告第五条企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。第二十一条内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。按要素评价、按要素报告第五条企业应当根据《企业内部控制基3、《审计指引》是他律

共七章35条第二条本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。第四条注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。（一大亮点！一大历史性进步！）

3、《审计指引》是他律

共七章35条注册会计师审计才用风险导向方法？第十条注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。第十一条注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注：（一）与内部环境相关的控制。（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制。（三）企业的风险评估过程。（四）对内部信息传递和财务报告流程的控制。（五）对控制有效性的内部监督和自我评价。第十二条注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。注册会计师应当关注信息系统对内部控制及风险评估的影响。注册会计师审计才用风险导向方法？第十条注册会计师应当按照三、开展内部控制普遍存在的问题与困惑（一）五部委内控规范与国资委风险管理指引的衔接问题（二）如何理解财务报告内部控制三、开展内部控制普遍存在的问题与困惑（一）五部委内控规范与国（一）五部委内控规范与国资委风险管理指引的衔接问题《中央企业全面风险管理指引》国务院国有资产监督管理委员会文件（国资发改革[2006]108号二○○六年六月六日）第四条本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。（一）五部委内控规范与国资委风险管理指引的衔接问题《中央企业问题一：风险管理中的风险与内部控制中的风险相同？

第三条本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险（带来损失和盈利的可能性并存）。问题一：风险管理中的风险与内部控制中的风险相同？第三条本问题二：风险管理的基本流程与内部控制相同？第五条本指引所称风险管理基本流程包括以下主要工作：

(一)收集风险管理初始信息；

(二)进行风险评估；

(三)制定风险管理策略；

(四)提出和实施风险管理解决方案；

(五)风险管理的监督与改进。问题二：风险管理的基本流程与内部控制相同？问题三：企业制定并执行的规章制度、程序和措施究竟是内部控制系统还是风险管理制度？第六条本指引所称内部控制系统，指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。问题三：企业制定并执行的规章制度、程序和措施究竟是内部控制系问题四：全面风险管理与内部控制系统的目标相同？第七条企业开展全面风险管理要努力实现以下风险管理总体目标：

(一)确保将风险控制在与总体目标相适应并可承受的范围内；

(二)确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；

(三)确保遵守有关法律法规；

(四)确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；

(五)确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。问题四：全面风险管理与内部控制系统的目标相同？问题五：全面风险管理与内部控制系统拟建立的制度相同？第九条企业应本着从实际出发，务求实效的原则，以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点，积极开展全面风险管理工作。具备条件的企业应全面推进，尽快建立全面风险管理体系；其他企业应制定开展全面风险管理的总体规划，分步实施，可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作，建立单项或多项内部控制子系统。通过积累经验，培养人才，逐步建立健全全面风险管理体系。问题五：全面风险管理与内部控制系统拟建立的制度相同？问题六：全面风险管理的三道防线该如何解释？第十条企业开展全面风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。问题六：全面风险管理的三道防线该如何解释？第十条企业开展全结论是什么？

结论是什么？

（二）如何理解财务报告内部控制SEC《最终规则》认为，“财务报告内部控制是一个过程，它由公司的首席执行官和首席财务官或履行类似职能的人员设计或监督，并由公司董事会、管理层和其他人员实施，旨在为财务报告的可靠性和按照一般公认会计原则编制对外财务报表提供合理保证。它包括下列政策和程序：（1）保持合理详细的记录，以准确、公允地反映公司资产的交易和处置情况；（2）对交易进行了必要的记录以合理保证财务报表的编制符合一般公认会计原则，以及公司的收入和支出都经过公司管理层和董事的授权批准；（3）为防止或及时发现未经授权取得、使用或处置那些可能会对财务报表产生重要影响的公司资产提供合理保证。”监管和审计当局说：企业是否亏损与我无关，这是企业自己的事，只要它能在财务报表中如实地反映出来就行。这句话有道理吗？（二）如何理解财务报告内部控制SEC《最终规则》认为，“财务四、如何建设有效的内部控制内部控制的边界？四、如何建设有效的内部控制内部控制的边界？1、内部控制建设的原则第一、全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。

1、内部控制建设的原则第一、全面性原则。内部控制应当贯穿决策内部控制系统设计的整体架构授权制度预算控制信息系统控制人力资源管理营销管理生产管理采购加工管理筹资管理研究开发管理存货管理固定资产管理组织结构企业文化内部控制系统设计的整体架构授权制度信人力资源管理营销管理生产

第二、重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。

第二、重要性原则。内部控制应当在全面控制的基础上，关注重要第三、制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

第三、制衡性原则。内部控制应当在治理结构、机构设置及权责分配

第四、适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

第四、适应性原则。内部控制应当与企业经营规模、业务范围、竞第五、成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。第五、成本效益原则。内部控制应当权衡实施成本与预期效益，以适2、内部控制建设的步骤确定控制目标梳理控制流程识别控制环节（关键控制点）明确控制措施2、内部控制建设的步骤确定控制目标3、内部控制建设的形式内部控制流程图(InternalControlFlowchart)内部控制调查表(InternalControlQuestionnaire)文字记录(Narrative)3、内部控制建设的形式内部控制流程图(InternalC五、案例案例一：如何防范“ChannelStuffing”案例二：中石化内控手册——总则案例三：中石化内控自评报告五、案例案例一：如何防范“ChannelStuffing案例一：如何防范“ChannelStuffing”讨论：

1、案例列举的11个控制点中，哪些是关键控制点？案例一：如何防范“ChannelStuffing”讨论：案例二：中石化内控手册——总则讨论：总则部分存在哪些问题，该如何改进？案例二：中石化内控手册——总则讨论：案例三：中石化内控自评报告讨论：

中石化内控自评报告存在什么问题，该如何改进？案例三：中石化内控自评报告讨论：谢谢！谢谢！内部控制讲座

白华

暨南大学会计学系

tbaihua@

内部控制讲座

白华

暨南大学会计学系

tbaihua提纲一、内部控制的基本理论问题二、内部控制的基本内容和方法三、开展内部控制普遍存在的问题与困惑四、如何建设有效的内部控制五、案例提纲一、内部控制的基本理论问题一、内部控制的基本理论问题（一）内部控制的概念与本质（二）内部控制与企业管理、公司治理、风险管理之间的关系（三）内部控制在企业管理中发挥作用的内在机理一、内部控制的基本理论问题（一）内部控制的概念与本质（一）内部控制的概念与本质内部控制是什么？内部控制是制度吗？（一）内部控制的概念与本质背景资料被誉为“中国版《萨班斯法案》”的《企业内部控制基本规范》（下称《基本规范》）和《企业内部控制配套指引》（下称《配套指引》）的发布，标志着中国企业内部控制规范体系基本建成。企业将按要求建立和实施符合监管要求的内部控制系统。那么，这是否意味着企业要做一套专门的内部控制制度？企业原有的一套治理和管理制度与内部控制制度是什么关系？国资委《中央企业全面风险管理指引》要求企业建立风险管理制度，那么，企业是否需要并行多套制度？68背景资料被誉为“中国版《萨班斯法案》”的《企业内部控制基本规69项目地点上市公司数有“内部控制制度”表述的公司数有命名为“内部控制制度”的公司数沪市861861126深市959959224总内部控制是制度”的认可情况统计表

注：有命名为“内部控制制度”的公司数一栏中，包括在2009年年报或招股说明书中有《内部控制制度》、《内部会计控制制度》、《内部牵制制度》和《风险管理制度》等用书名号明确指出建立了此类制度的公司。6项目上市公司数有“内部控制制度”表述的公司数有命名为“内部COSO的权威概念内部控制是由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。——COSO（1992）《内部控制——整合框架》70COSO的权威概念内部控制是由企业董事会、经理层和其他员工实内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

五部委（2008）《企业内部控制基本规范》的概念五部委（2008）《企业内部控制基本规范》的概念1、是一个过程;2、全员参与;3、目标导向;4、合理保证;5、适用范围：不仅适用于企业等营利组织，而且适用于非营利组织。对概念的理解1、是一个过程;对概念的理解73是一个过程有五层含义：1、与经营管理活动融为一体的一个过程；2、是一个从计划到执行到控制的过程；3、是一个五要素相互作用的过程；4、是随着企业规模的扩大和业务的拓展，不断完善的过程；5、是随着理论和实务的发展而不断发展成熟的过程。10是一个过程有五层含义：COSO的观点“组织中各单位或各职能部门内部或跨单位或职能部门所实施的经营过程，都是通过计划、执行和监控等基本的管理过程来加以管理的。内部控制是这些过程的一部分，并与它们整合在一起。内部控制能让这些管理过程发挥作用，并对其实施和持续的关联性进行监控。内部控制是一个管理工具，而不是管理的替代品。”——COSO《内部控制——整合框架》第14页。COSO的观点“组织中各单位或各职能部门内部或跨单位或职能部法约尔的观点“这里，我只讨论管理问题，所以就不谈两个企业之间的控制问题了……我着重谈一下企业内部控制，这种控制的目的是专门为了有助于各部门的工作的顺利进行，而总的来讲也有助于企业运营的顺利进行。”

——工业管理和一般管理，1916,中文版第120页。法约尔的观点“这里，我只讨论管理问题，所以就不谈两个企业之间（二）内部控制与企业管理、公司治理、风险管理之间的关系这四者是同一个意思吗？在神马情况下可以等同呢？（二）内部控制与企业管理、公司治理、风险管理之间的关系1、内部控制与企业管理的关系内部控制是因为外部审计的需要？内部控制是因为外部监管的需要？内部控制是因为内部审计的需要？内部控制是因为企业管理的需要？1、内部控制与企业管理的关系内部控制是因为外部审计的需要？2、内部控制与公司治理的关系内部控制公司治理2、内部控制与公司治理的关系内部控制公司治理3、内部控制与风险管理的关系内部控制风险管理风险管理内部控制风险管理内部控制3、内部控制与风险管理的关系内部控制风险管理风险管理内部控制4、三者之间的关系相互包含的关系

相互嵌合的关系等同的关系

公司治理风险管理内部控制内部控制风险管理公司治理内部控制风险管理公司治理4、三者之间的关系公司治理风险管理内部控制内部控制风险管理公（三）内部控制在企业管理中发挥作用的内在机理COSO（1992）（三）内部控制在企业管理中发挥作用的内在机理COSO（内部控制整合框架由五个相互联系的要素构成，即：控制环境(ControlEnvironment)、风险评估(RiskAppraisal)、控制活动(ControlActivity)、信息与沟通(InformationandCommunication)、监控(Monitoring)。内部控制整合框架由五个相互联系的要素构成，即：控制环境(CoCOSO《企业风险管理——整合框架》EnterpriseRiskManagement（2004）“企业风险管理是一个过程，这个过程受组织的董事会、管理层和其他人员影响，应用于战略制定并贯穿在整个企业之中。企业风险管理旨在识别影响组织的潜在事件，并在其能承受的范围内管理风险，从而为组织目标的实现提供合理的保证。”包括：

内部环境、目标设定、

事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等八要素。COSO《企业风险管理——整合框架》EnterpriseR相互依存、不可分割的内控框架

（以五要素为例）监控控制环境风险评估控制活动信息与沟通信息与沟通监控控制环境风险评估控制活动控制活动信息与沟通监控控制环境风险评估风险评估控制活动信息与沟通监控控制环境控制环境风险评估控制活动信息与沟通监控相互依存、不可分割的内控框架

（以五要素为例）监控控制环境风二、内部控制的基本内容和方法（一）总体概况1、“中国版萨班斯法案”称谓的由来2、五部委内部控制体系介绍（二）《内部控制基本规范》介绍（三）《配套指引》介绍1、《应用指引》本身的逻辑性和“应用”的困难性2、《评价指引》是自律3、《审计指引》是他律二、内部控制的基本内容和方法（一）总体概况（三）《配套指引》（一）总体概况

1、“中国版萨班斯法案”称谓的由来2002年美国颁布《萨班斯法案》。2006年7月15日财政部、证监会、审计署、银监会、保监会发起成立中国企业内部控制标准委员会。2、五部委内部控制体系介绍2008年6月28日《企业内部控制基本准则》发布。2010年4月26日《企业内部控制配套指引》发布，含《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。2011年1月1日在境内外同时上市的公司施行。2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。在全球内部控制标准制定领域享有盛誉的美国科索委员会专门发来贺信，对企业内部控制配套指引的发布表示热烈祝贺，认为中国企业内控规范体系与国际通行的科索内控框架在所有主要方面保持了一致。反对虚假财务报告委员会（NationalCommissiononFraudulentReporting）COSO委员会（CommitteeofSponsoringOrganizationsoftheTreadwayCommission）（一）总体概况

1、“中国版萨班斯法案”称谓的由来（二）《企业内部控制基本规范》介绍

共七章50条，2009年7月1日起实施。第一章总则第二章内部环境第三章风险评估第四章控制活动第五章信息与沟通第六章内部监督第七章附则（二）《企业内部控制基本规范》介绍

共七章50条，2009年第一章总则目的和依据适用范围概念界定原则要素执行要求第一章总则目的和依据第二章内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。第二章内部环境内部环境是企业实施内部控制的基础，一般包括COSO：控制环境第一、概念控制环境是组织的基调，主导或左右着组织成员的控制理念。是其他内部控制要素的基础，决定着控制的边界和结果。第二、控制环境7要素正直与道德价值观员工素质董事会审计委员会管理哲学与行事作风组织结构设计责任与权力分配人力资源政策COSO：控制环境第一、概念正直与董事会管理哲学组织结构责任第三章风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。第三章风险评估风险评估是企业及时识别、系统分析经营活动中风险评估的工具高后果低低高右边后果严重下边可能性大分担减少承受规避可能性风险评估的工具高后果低低高右边后果严重下边可能性大分担减少承风险应对策略风险规避风险减少风险分担风险承受风险应对策略风险规避第四章控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。讨论：控制措施只有这些吗？第四章控制活动控制活动是企业根据风险评估结果，采用相应的第五章信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。第五章信息与沟通信息与沟通是企业及时、准确地收集、传递与内第六章内部监督内部监督是指内部审计吗？内部监督与内部审计是何关系？如何理解全过程跟踪审计？第六章内部监督内部监督是指内部审计吗？（三）《配套指引》介绍

2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，连同此前发布的《企业内部控制基本规范》，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。（三）《配套指引》介绍

2010年4月26日，财政部、证监1、《应用指引》本身的逻辑性和“应用”的困难性《应用指引》目录第1号——组织架构第2号——发展战略第3号——人力资源第4号——社会责任第5号——企业文化第6号——资金活动第7号——采购业务第8号——资产管理第9号——销售业务第10号——研究与开发第11号——工程项目第12号——担保业务第13号——业务外包第14号——财务报告第15号——全面预算第16号——合同管理第17号——内部信息传递第18号——信息系统1、《应用指引》本身的逻辑性和“应用”的困难性《应用指引》2、《评价指引》是自律共五章27条是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。2、《评价指引》是自律共五章27条按要素评价、按要素报告第五条企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。第二十一条内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。按要素评价、按要素报告第五条企业应当根据《企业内部控制基3、《审计指引》是他律

共七章35条第二条本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。第四条注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。（一大亮点！一大历史性进步！）

3、《审计指引》是他律

共七章35条注册会计师审计才用风险导向方法？第十条注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。第十一条注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注：（一）与内部环境相关的控制。（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制。（三）企业的风险评估过程。（四）对内部信息传递和财务报告流程的控制。（五）对控制有效性的内部监督和自我评价。第十二条注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。注册会计师应当关注信息系统对内部控制及风险评估的影响。注册会计师审计才用风险导向方法？第十条注册会计师应当按照三、开展内部控制普遍存在的问题与困惑（一）五部委内控规范与国资委风险管理指引的衔接问题（二）如何理解财务报告内部控制三、开展内部控制普遍存在的问题与困惑（一）五部委内控规范与国（一）五部委内控规范与国资委风险管理指引的衔接问题《中央企业全面风险管理指引》国务院国有资产监督管理委员会文件（国资发改革[2006]108号二○○六年六月六日）第四条本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。（一）五部委内控规范与国资委风险管理指引的衔接问题《中央企业问题一：风险管理中的风险与内部控制中的风险相同？

第三条本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险（带来损失和盈利的可能性并存）。问题一：风险管理中的风险与内部控制中的风险相同？第三条本问题二：风险管理的基本流程与内部控制相同？第五条本指引所称风险管理基本流程包括以下主要工作：

(一)收集风险管理初始信息；

(二)进行风险评估；

(三)制定风险管理策略；

(四)提出和实施风险管理解决方案；

(五)风险管理的监督与改进。问题二：风险管理的基本流程与内部控制相同？问题三：企业制定并执行的规章制度、程序和措施究竟是内部控制系统还是风险管理制度？第六条本指引所称内部控制系统，指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。问题三：企业制定并执行的规章制度、程序和措施究竟是内部控制系问题四：全面风险管理与内部控制系统的目标相同？第七条企业开展全面风险管理要努力实现以下风险管理总体目标：

(一)确保将风险控制在与总体目标相适应并可承受的范围内；

(二)确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；

(三)确保遵守有关法律法规；

(四)确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；

(五)确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。问题四：全面风险管理与内部控制系统的目标相同？问题五：全面风险管理与内部控制系统拟建立的制度相同？第九条企业应本着从实际出发，务求实效的原则，以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点，积极开展全面风险管理工作。具备条件的企业应全面推进，尽快建立全面风险管理体系