企业内部控制理论与案例（黄娟）

1

企业内部控制理论与案例

西南财经大学会计学院黄娟教授/博士2内容一、内部控制的实践发展二、内部控制的理论溯源三、中国《企业内部控制基本规范》

的主要内容四、内部控制的案例分析3一、内部控制的实践发展（一）“内部”与“控制”（二）内部控制的实践发展历程

1、核对与检查

2、查错与防弊

3、风险管理

4

一、内部控制的实践发展（一）“内部”与“控制”1、“内部”

组织内部，而且包含组织相关的外部服务供应组织完成的流程。2、“控制”§H·法约尔：“在一个企业里，控制就是要证实一下是否各项工作都与已定计划相符，是否与下达的指示及已定原则相符合。控制的目的在于指出工作中的缺点和错误，以便加以纠正并避免重犯。”

§《现代汉语词典》：“掌握住不使任意活动或超出范围”。3、控制与监督5（二）内部控制的实践发展历程1、核对与检查

“‘凡是有会计行为的社会，都会有某种形式的会计检查……埃及人通过让两个官吏同时对税收加以记录，来实施这样的控制。在希腊，官吏离任时，其账簿应接受检查。罗马人发展了这样一种精巧的会计制度，即相互核对批准支出的官吏的记录和实际处理金钱收支的官吏的记录……热那亚市政厅的总账被复制成2册，由城市审计官保管”。——迈克尔·查特菲尔德的《会计思想史》

公元前3600年前的美索不达米亚文化时期（

ancientMesopotamiancivilization）赫曼霍特(Chuemhotl)墓石记载62、查错与防弊南海事件——以账表导向为特征的独立审计模式。

§

以账表导向为特征的独立审计模式——基础制度审计或系统导向审计阶段。

73、风险管理：审计风险管理——经营风险管理

“优秀的内部控制所能防止的侵吞行为比优秀的审计师所能发现的更多。”

———《阿伦斯审计学》

安然事件（2001）§毕马威：《以战略系统观组织审计》§安永：BEAT（BusinessEnvironmentAnalysisTemplate)§德勤：“AS/2”风险导向审计技术§2000年7月至8月，国际审计与鉴证准则委员会联合美国审计准则委员会成立了“风险分析联合项目组”

8

二、内部控制的理论溯源（一）内部控制理论的发展（二）内部控制的局限性9（一）内部控制理论的发展1、18世纪产业革命前：内部牵制2、18世纪产业革命后至20世纪40年代：内部牵制制度3、20世纪40年代至80年代：内部控制制度（制度二分法）4、20世纪80年代：内部控制结构（结构三分法）5、20世纪90年代：内部控制整体框架（要素五分法）6、21世纪开始至今：企业风险管理框架101、18世纪产业革命前：内部牵制——萌芽期1、公元前3600年，简单的内部牵制实践2、公元600年，较为完善的内部牵制实践3、15世纪末，借贷复式记账法的出现4、我国西周时代(公元前1100年至前770年)，内部牵制制度已基本形成：“一毫财赋之出入，数人耳目之通焉”

112、18世纪产业革命后至20世纪40年代：内部牵制制度背景：19世纪中叶至20世纪初，产业革命在英美等国完成1、泰罗：《科学管理原理》（1911）2、法约尔：《工业管理与一般管理》（1916）职务分离、帐户核对（内部牵制）——组织结构、职务分离、业务程序、处理手续（内部牵制制度）3、AICPA：《CPA对财务报表的审查》（1936，首次正式使用内部控制）4、20世纪30年代经济大危机5、麦克森—罗宾斯案件6、AICPA审计程序委员会：《审计程序文告第一号》（1939）7、SEC审计报告要求（1940）

123、20世纪40年代至80年代：内部控制制度（制度二分法）实践塑造和理论完善两大使命完成1、AICPA审计程序委员会：《审计准则暂行公告》——“现场工作准则第二条”（1947）2、AICPA审计程序委员会：《内部控制、协调系统诸要素及其对管理部门和CPA的必要性》（1949年，首次作出权威定义）3、AICPA审计程序委员会对内部控制定义作出重新表述（1958）——定义第一次修正：会计控制与管理控制4、AICPA审计程序委员会：《审计程序说明第33号》（1963）——定义第二次修正5、AICPA审计程序委员会：（1973）——定义第三次修正6、SEC：《反国外贿赂法》（1977）7、SEC：《管理层报告》（1979）134、20世纪80年代：内部控制结构（结构三分法）

1、虚假财务报告全国委员会：《Treadway》（1987）2、AICPA审计程序委员会：《审计程序说明第55号》（1988）

内部控制——内部控制结构14(1)控制环境它是指对建立、加强、或削弱特定政策和程序效率发生影响的各种因素，具体包括：管理者的思想和经营作风;企业组织机构：董事会及其所属委员会，特别是审计委员会发挥的职能;确定职权和责任的方法;管理者监控和检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计;人事工作方针及其执行：影响本企业业务的各种外部关系，例如由银行指定代理人的检查等。

15（2）会计制度

会计制度规定各项经济业务的鉴定、分析、归类、登记和编报的方法，明确各项资产和负债的经营管理责任。健全的会计系统应实现下列目标:鉴定和登记一切合法的经济业务;对各项经济业务按时进行适当分类，作为编制财务报表的依据；将各项经济业务按适当的货币价值计价，以使列入财务报表;确定经济业务发生的日期，以便按照会计期间进行记录;在财务报表中恰当地表述经济业务以及对有关内容进行揭示。

16(3)控制程序

控制程序指管理当局所制订的用以保证达到一定目的的方针和程序，它包括下列内容:经济业务和经济活动的批准权；明确各个人员的职责分工，防止有关人员对正常业务图谋不轨的隐藏错弊，具体包括指派不同人员分别承担批准业务、记录业务和保管财产的职责;凭证和账单的设置和使用，应保证业务和活动得到正确的记载;对财产及其记录的接触和使用要有保护措施;对已登记的业务以及计价要进行复核。175、20世纪90年代：内部控制整体框架（要素五分法）——旧COSO报告1985年，由AICPA、IIA、FEI、AAA、IMA等共同发起成立了“全国舞弊性财务报告委员会”（即Treadway委员会）。两年后，根据该会的建议，其赞助机构又成立了专门研究内部控制问题的组织，即COSO委员会。-------1992年美国国会的“反对虚假财务报告委员会”（NCFR）下属的由AAA、AICPA、IIA、FEI和IMA等专业团体组织参与的“发起组织委员会（COSO）”18内部控制

-被定义为一个过程，这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证：营运的效果和效率财务报表的可靠性相关法令的遵循194、COSO五大要素控制环境(ControlEnvironment)、风险评价(RiskAssessment)、控制活动(ControlActivities)、信息与沟通(InformationandCommunication)、监控(Monitoring)

监督控制活动风险评估控制环境信息与沟通信息与沟通201、控制环境(ControlEnvironment)指董事会与管理层对内部控制的态度、认知度和行动。包括:①员工的诚实性和道德观，如有无描述可接受的商业行为、利益冲突、道德行为标准的行为准则。②员工的胜任能力，如雇员是否能够胜任质量管理要求。③董事会或审计委员会，如董事会是否独立于管理层。④管理哲学和经营方式，如管理层对人为操纵的或错误记录的态度。⑤组织结构，如信息是否到达合适的管理阶层。⑥授予权利和责任的方式，关键部门经理的职责是否有充分规定。⑦人力资源政策和实施，如是否有关于雇佣、培训、提升和奖励雇员的政策。212、风险评价(RiskAssessment）

管理层识别并采取相应行动，来管理对经营、财务报告、符合性目标有影响的内部或外部风险，包括风险识别和风险分析。风险识别包括对外部因素(如技术发展、竞争、经济变化)和内部因素(如员工素质、公司活动性质、信息系统处理的特点)进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等。223、控制活动(ControlActivities)它是指帮助确保管理层的指令得到实施的政策和程序。①业绩评价(PerformanceReview)。是指将实际业绩与其它标准，如前期业绩、预算和外部基准尺度进行比较，对功能或运行业绩进行评价。②信息处理(InformationProcessing)。是指保证业务在信息系统中正确、完全和经授权处理的活动。③实物控制(PhysicalControls)。也称为资产和记录接近控制。④职责分离(SegregationofDuties)。是指将各种功能性职责分离，以防止单独作业的雇员从事或隐藏不正常行为。234、信息与沟通(InformationandCommunication)、、

是指为了使职员能执行其职责，企业必须识别（Identification)、捕捉(Capture)、交流(exchange)内外部信息。外部信息包括市场份额、法规要求和客户投诉等信息。内部信息包括会计制度，即由管理当局建立的记录和报告经济业务及事项，维护资产、负债和业主权益的方法和记录。

245、监控(Monitoring)

是指评价内部控制质量的进程，包括持续监控、独立评价或两者结合的方式。持续监控建立于单位内部的业务循环当中，包括日常的管理监控活动.例如分部和总部采购、生产和销售部门的经理保持日常经营联系，对与他们观点不同的报告会提出质疑，从而保证互相之间的监督。256、21世纪开始至今：企业风险管理框架（新COSO报告）2002年7月美国COSO颁布了企业风险管理框架的讨论稿，并于2004年4月颁布正文。视频：《企业风险管理框架》266、21世纪开始至今：企业风险管理框架（新COSO报告）新COSO报告与旧COSO报告的区别同1992年的COSO报告相比，新的COSO报告增加了一个观念、一个目标、两个概念和三个要素。对应风险管理的需要，新框架还要求企业设立一个新的部门——风险管理部。27“观念”指风险组合观，即企业风险管理要求企业管理者以风险组合的观点看待风险，对风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。“目标”指战略目标，即企业的目标包括战略目标，并且该目标覆盖了企业编制的所有报告。“概念”指针对风险度量提出的风险偏好和风险容忍度的概念。风险偏好指企业在实现其目标的过程中愿意接受的风险的数量。风险容忍度指在企业目标实现过程中对差异的可接受程度。“要素”指目标制定、事项识别和风险反映。28风险管理的主要内容企业风险管理（ERM）的目标 战略目标经营目标报告目标合法性目标29内部控制的要素ERM的构成要素内部环境目标制定事项识别风险评估风险反映控制活动信息和沟通监控30萨班斯－奥克斯利法案内容介绍31

（二）内部控制的局限性321、内部控制客观环境的局限性

（1）资本市场发育不完全，对内部控制信息缺乏接受力（2）投资者风险意识淡簿，对内部控制的重要性缺乏认知力（3）公司内部缺乏制衡机制，已有的内部控制系统缺乏运行基础33

2、内部控制系统自身的局限性1、受成本效益法则的限制

2、受串通舞弊的限制

3、受管理越权的限制

4、受人为错误的限制

5、受制度滞后的限制34三、中国《企业内部控制基本规范》的主要内容（一）我国内部控制的发展（二）我国《企业内部控制基本规范》的九大转变（三）我国《企业内部控制基本规范》的框架与内容35（一）我国内部控制的发展我国内部控制规范一览表：三个层次第一层次：内部牵制，20世纪70年代末至80年代。第二层次：会计控制，20世纪90年代。第三层次：全面风险控制，21世纪至今。36（三）我国《企业内部控制基本规范》的框架与内容37一次重大改革，一场内控风暴2008年5月22日，由财政部、证监会、审计署、银监会、保监会等五大部委联合发布《企业内部控制基本规范》；2010年4月26日发布《企业内部控制配套指引》；此次发布的《企业内部控制配套指引》包括：

《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》38五大部委联合发布《企业内部控制基本规范》和《应用指引》一场中国式的内控盛宴，在历经两年的精心准备之后，终于在各方的期待中盛大开席。发布会由财政部、证监会、审计署、银监会、保监会等五大部委联合召开，来自世界银行、国际会计准则理事会（ＩＡＳＢ）、国际会计师联合会（ＩＦＡＣ）等国际组织的官员和委员们与我国会计界百位与会代表共同见证了这一历史性的时刻。这是我国继实施与国际接轨的企业会计准则和审计准则之后，在会计审计领域推出的又一与国际接轨的重大改革。39重要性《指引》的推出，与2008年《企业内部控制基本规范》（以下简称“《规范》”）的发布，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。财政部副部长王军在参加此次新闻发布会时用如下关键词来评价此次企业内部控制规范体系的发布：“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、层次分明、衔接有序、方法科学、体系完备。”王军特别指出，下一步财政部将着力推进企业内部控制规范国际交流与合作，争取在内部控制建设所依据的规范、内部控制审计所遵循的准则及注册会计师相关业务监管要求等方面，建立互认机制，切实降低中国企业境外融资成本。40一部实用的指引2008年《企业内部控制基本规范》发布时，有外方评价：“这是中国政府在正确的时间、正确的方向上，为促进中国经济发展走出的正确一步。”时隔两年，世界对中国再次投来赞赏的目光。世界银行高级专家陈楠希女士认为，《指引》为企业战略、董事会职责、风险评估、员工薪酬、诚实守信、受托责任和审计等问题设定了良好实务标准，有助于企业管理当局防范经营和管理风险、提升公司治理水平。在全球内部控制标准制定领域享有盛誉的美国科索委员会专门发来贺信，对《指引》的发布表示热烈祝贺，认为中国企业内控规范体系与国际通行的科索内控框架在所有主要方面保持了一致。41中国式的内控风暴即将掀起实施时间表明确规定：自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。42企业内部控制配套指引主要内容配套指引《企业内部控制应用指引》（包括21项应用指引。此次发布18项，涉及银行、证券和保险等业务的3项指引暂未发布）、《企业内部控制评价指引》和《企业内部控制审计指引》组成。（一）企业内部控制应用指引应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占据主体地位；（二）企业内部控制评价指引评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引；（三）企业