中国内部控制标准体系

中国内部控制标准体系内蒙古工业大学管理学院李崇刚副教授李崇刚副教授硕士生导师管理学（会计与审计）硕士内蒙古会计学会理事联系电话邮：中国内部控制标准体系简介第一部分中国内部控制标准体系简介（一）企业内部控制基本规范（二）企业内部控制应用指引（三）企业内部控制评价指引（四）企业内部控制审计指引基本规范的制定主体企业内部控制标准委员会财政部国资委证监会审计署保监会银监会联合发起成立在该委员会之下专门设立政府于非盈利组织内部控制标准咨询专家组并启动相关课题研究工作企业内部控制标准委员会主席副主席成员（31）财政部副部长王军证监会纪委书记李小雪国资委副主任绍宁监管部门理论界实务界内部控制标准体系基本规范以评价指引、应用指引、鉴证指引等配套办法为补充以其为统领是重中之重评价指引鉴证指引应用指引（征求意见稿）（征求意见稿）（征求意见稿）1、五个目标：合规性、可靠性、安全性、经济性，战略性（COSO：3个目标，无安全性和战略性）2、五个原则：全面性、重要性、制衡性、适应性、成本效益3、五个要素：内部环境、风险评估、信息与沟通、控制活动、内部监督（一）企业内部控制基本规范——1个（二）企业内部控制应用指引—15个1、组织框架（含治理结构、机构设置、职责分配及不相容职务分离）、发展战略、人力资源、企业文化、社会责任2、资金、资产、采购、销售、研发、工程项目3、全面预算、合同、内部报告、信息系统

注：财政部等还将出台具体的操作手册或讲解材料思考问题：如何设计和应用？应用指引征求意见稿（22）财务报表项目相关指引（17）资

金无形资产合同协议采购存货固定资产销售工程项目担保企业并购成本费用衍生工具筹资预算长期股权投资业务外包对子公司的控制财务报表编制相关指引（2）制度支持指引（3）财务报告编制与披露关联交易信息系统一般控制人力资源政策内部审

计（三）企业内部控制评价指引1、管理层要提交内部控制评价报告（年度评价和专项评价）2、评价组织与实施A.谁负责：企业主要负责人B.谁实施：董事会（或类似决策机构）或其授权机构（可借助CPA或外部专家）C.遵循原则：全面性、重要性和独立性D.评价方案设计及实施E.评价方法（访谈、问卷、专题讨论、穿行测试、统计抽样、比较分析等）F.工作底稿编制与复核（三）企业内部控制评价指引3、年度评价和报告的内容A.评价：对整个年度、整个内部控制在某一基准日的有效性评价后，发表一个意见。B.报告：内控设计或执行方面的重大缺陷A).重大缺陷B).重要缺陷C).一般缺陷（三）企业内部控制评价指引4、内部控制缺陷的认定A，设计缺陷和运行缺陷企业在内部控制评价中，应对内部控制缺陷进行分类分析。

1、设计缺陷：缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。

2、运行缺陷：现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。（三）企业内部控制评价指引B,重大缺陷、重要缺陷和一般缺陷重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形。重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形。一般缺陷，是指除重大缺陷、重要缺陷之外的其他控制缺陷。注意：缺陷的整改责任人不同：董事会（监事会监督）、经理层、内部有关单位（三）企业内部控制评价指引

5、内部控制评价报告（一）组织实施内部控制评价的总体情况。（二）内部控制责任主体的声明。（三）内部控制评价的范围和内容。（四）内部控制评价的标准和依据。（五）内部控制评价的程序和方法。

（六）内部控制重大缺陷及其认定情况。（七）内部控制重大缺陷的整改措施及责任追究情况。（八）内部控制有效性的结论（基准日）。

注意：存在一个或多个内部控制重大缺陷的，应当作出内部控制无效的结论。（四）内部控制审计企业（公司）领导层要高度重视CPA和企业的责任在不断加大内部控制审计结果将成为企业的重要考核指标与财务报表审计有很大不同内部控制基本规范简介第二部分基本规范的主要内容

基本规范的框架结构基本规范（7章50条）总则内部环境风险评估控制活动附则内部监督信息与沟通内部控制基本规范坚持立足我国国情，借鉴国际惯例，确立了我国企业建立和实施内部控制的基本框架。规定了内部控制的 目标 要素 原则 要求是制定应用指引和评价指引的基本依据基本规范内部控制实施机制的建立以企业为主体以中介机构审计为重要组成部分以政府监管为促进要求企业根据有关法律法规、本规范及其配套办法，制定本企业的内部控制制度并组织实施.要求企业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系明确企业可以依法委托事务所对本企业内部控制的有效性进行审计，出具审计报告。事务所及其签字的业务人员应当对发表的内部控制审计意见负责。为企业内部控制提供咨询的事务所，不得同时为同一企业提供内部审计服务。国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查基本规范的适用范围自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计小企业和其他有关单位可以参照本规范建立与实施内部控制适用范围内部控制的定义·由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程科学的界定内部控制的内涵，有利于企业树立全面、全员、全过程控制的理念。内部控制的目标合理保证经营管理合法合规（合规性目标）资产安全财务报告及相关信息真是完整（报告目标）提高经营效率和效果 （经营目标）着力促进企业实现发展战略（战略目标）ERM的四目标内部控制的5要素框架内部环境风险评估控制活动信息与沟通内部监督监控控制环境风险评估控制活动信沟通息与沟通信息与五要素间的关系内部环境 重要基础 前提风险评估 重要环节 基础控制活动 重要手段 主体 信息与沟通 重要条件 保障内部监督 重要保证 手段COSO内部环境治理结构机构设置与权责分配内部审计人力资源政策企业文化诚信的原则和道德价值观评定员工的能力董事会和审计委员会管理哲学和经营风格组织结构职责的划分与授权人力资源政策及程序

COSO治理结构根据国家有关法律法规和企业章程：建立规范的公司治理结构和议事规则明确决策、执行、监督等方面的职责权限形成科学有效的职责分工和制衡机制企业应当做什么？规范的公司治理结构及其职责权限依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权依法行使企业经营决策权负责内控的建立健全与实施主持企业的生产经营管理工作负责组织实施股东大会、董事会决议事项股东大会董事会经理层监事会审计委员会监督企业董事经理和其他高级管理人员依法履行职责对董事会建立与实施内部控制进行监督负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等负责组织领导企业内部控制的日常运行机构设置与权责分配企业应当结合业务特点和内部控制要求设置内部机构明确职责权限将权力与责任落实到各责任单位通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。具体要求股东大会各责任单位各责任人审计委员会监事会经理层董事会内部各职能部门事业部制组织结构图某集团公司酒店事业部房地产事业部……某事业部某事业部客房管理部餐饮娱乐部

人力资源部其他职能部门工程管理部技术管理部人力资源部

其他职能部门

…

…

…

…杜邦公司组织结构图内部审计企业应通过设置独立的内部审计机构，配备独立的内审人员来加强内部审计工作，保证其工作的独立性。内部审计机构的职能之一结合内部审计监督，对内部控制的有效性进行监督评价；监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。人力资源政策员工的聘用、培训、辞退与辞职。员工的薪酬、考核、晋升与奖惩。关键岗位员工的强制休假制度和定期岗位轮换制度。掌握国家秘密或重要商业机密的员工离岗的限制性规定。有关人力资源管理的其他政策。主要包括人力资源政策将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准切实加强员工培训和继续教育，不断提升员工素质。选聘员工的标准企业文化建设企业应当加强文化建设培育积极向上的价值观和社会责任感倡导诚实守信、爱岗敬业、开拓创新和团队协作精神树立现代管理观念，强化风险意识董事、监事、经理及其其他高级管理人员应当在企业文化建设中发挥主导作用企业员工应遵守员工行为守则，认真履行岗位职责增强董事、监事、经理及其其他高级管理人员和员工的法制观念建立健全法律顾问制度和重大法律纠纷案件备案制度风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。□目标设定□风险识别□风险分析□风险应对主括包括ERM中四要素目标设定企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行分析评估。风险识别内部风险因素人力资源因素董事、监事、经理及其高级管理人员的职业操守、员工专业胜任能力等管理因素组织机构、经营方式、资产管理、业务流程等自主创新因素研究开发、技术投入、信息技术运用等财务因素财务状况、经营成果、现金流量等安全环保因素营运安全、员工健康、环境保护等其他有关内部风险因素风险识别外部风险因素经济因素经济形势、产业政策、融资环境、市场竞争、资源供给等法律因素法律法规、监管要求等社会因素安全稳定、文化传统、社会信用、教育水平、消费者行为等科学技术因素技术进步、工艺改进等自然环境因素自然灾害、环境状况等其他有关外部风险因素风险的分析与应对风险分析采用定性、定量相结合的方法；按照风险发生的可能性及其影响程度等；对识别的风险进行分析和排序；确定关注重点和优先控制的风险风险应对策略风险规避风险降低风险分担风险承受与ERM相同控制活动不相容职务分工控制授权审批控制会计系统控制预算控制财产保护控制运营分析控制绩效考评控制业绩检查信息处理实物控制职责分离主要包括COSO不相容职务的分工控制

不相容职务分离控制要求企业全面系统地分析，梳理业务流程中所涉及的不相容职务，实施相应的分离措施；形成各司其职，各负其责，相互制约的工作机制。不相容职务的分工控制交易的授权和交易的执行职务的相分离交易的执行与审核监督职务的相分离交易的执行与相关资产的保管职务相分离交易的执行与会计记录职务相分离资产的保管和会计记录职务相分离注意不相容职务分离，要贯彻实质重于形式的原则授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围，审批程序和相应责任企业应编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权：企业在日长发经营管理活动中按照既定的职责和程序进行的授权，如，出纳会计的职责权限特别授权：企业在特殊情况、特定条件下进行的授权授权审批控制各级管理人员应当在授权范围内行使职权和承担责任企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。授权审批案例A公司规定：为对货币资金开支实行严格控制，在年度预算内的资金预算如下：√5万元以下的开支由财务处长审批√5万—20万元的开支由总会计师审批√20万—50万元的开支由总会计师签署意见，总经理审批；√50万元以上的开支由董事会商讨决定。▼某日，公司采购部门送来付款申请及相关凭证，要求按采购合同约定以转账支票支付上月采购某种货物的货款6万元。▼碰巧，当日总会计师在外出差，负责预算内资金支付的出纳小王也因病请假，小王的名章和票据经财务处长同意由小张保管，但小张平时只负责零星开支和与银行对账，不经手支票开立事务。▼因此，财务处长答复采购部门，暂时无法支付货款。但采购部说按合同，当日若无法付款，将支付供货方一定的违约金。授权审批案例此种情况下，财务科长启动特殊授权程序：1）他立即与总会计师取得联系，说明具体情况，总会计师同意先由财务处长代签，出差回来后再办理补签手续，财务处长将总会计的特殊授权意见及时告知相关复核人员。2）财务处长授权小张暂行小王职权，待小王病假回来后仍各归其位，各负其责。3)向管理公司法定代表人图章的小李说明情况，取得其支持。至此，特殊授权程序完成，采购货款得以顺利支付。会计系统控制会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证，会计账薄和财务会计报告的处理程序，保证会计资料真实完整企业应当依法设置会计机构，配备会计从业人员从事会计工作的人员，必须取得会计从业资格证书会计机构负责人应当具备会计师以上专业技术职务资格大中型企业应当设置总会计师，设置总会计师的企业，不得设置与其职权重叠的副职。财产保护控制要求企业建立财产日常管理制度和定期清查制度采取财产记录，实物保管，定期盘点，帐实核对等措施，确保财产安全企业应当严格限制未经授权的人员接触和处置财产预算控制要求企业实施全面预算管理制度明确各责任单位在预算管理中的职责权限规范预算的编制、审定、下达和执行程序，强化预目的预算约束。运营分析控制要求企业建立运营情况分析制度经理层应当综合运用生产、购销、投资、筹贷、财务等方面的信息。通过因素分析，对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进绩效考评控制企业应建立和实施绩效考评制度科学设置考核指标体系对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价将考核结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据控制活动企业应根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。企业应建立重大风险预警机制和突发事件应急处理机制。明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案，明确责任人员、规范处理程序，确保突发事件得到及时妥善处理□外部信息获取渠道行业协会组织社会中介机构业务往来单位市场调查来信来访网络媒体有关监督部门等□内部信息获取渠道财务会计资料经营管理资料调研报告专项信息内部刊物办公网络等信息与沟通“管理就是沟通，沟通再沟通”通用电气CEO杰克.威尔逊信息与沟通□信息沟通的对象企业内部各管理级次、责任单位、业务环节之间与外部投资者、债权人、客户、供应商、中介机构和监管部门之间□信息沟通结果处理信息沟通过程中发现的问题应当及时报告并加以解决重要信息应当及时传递给董事会监事会经理层信息与沟通

◆企业应建立反舞弊机制（第42条）□至少应该将下列情形作为反舞弊工作的重点：未经授权或者采取其他不法方式侵占、挪用企业资产、牟取不当利益。在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等董事、监事、经理及其他高级管理人员滥用职权相关机构或人员串逃舞弊◆企业应当建立举报投诉制度和举报人员保护制度，设置举报专线（第43条）内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应及时加以改正。监督主体：-内部审计机构（或经授权的其他监督机构）-其他内部机构（各职能管理部门）内部监督监督方式

-日常监督

-专项监督企业应定期对内部控制的有效性进行自我评价并出具内部控制自我评价报告

内部监督内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况。就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。企业的一切管理工作应从建立健全内部控制开始企业的一切决策应统驭在完善的内部控制之下企业的一切活动都不能游离于内部控制之外

我们提倡这样一种理论内部控制审计的理论与实务第三部分关键词审计基准日财务报告内部控制合理保证有效性与重大缺陷管理层与注册会计师所承担的责任内部控制审计1.审计基准日内部控制是一个流程，但内部控制的有效性是该流程在某个时点的情况或状态注册会计师对于内部控制有效性的审计意见应当与财务报告审计意见保持同一日期内部控制审计2.财务报告内部控制审计师仅对财务报告内部控制的有效性发表审计意见企业财务报告控制目标包括合理保证企业财务报告的真实完整。如果企业建立了有效的财务报告内部控制，那么：保存足够详细的记录，准确、公允地反映企业的交易和资产处置情况。合理保证按照企业会计准则和相关会计制度编制财务报表，发生的收入和支出已经过企业管理层和董事会的授权。合理保证及时防止或发现未经授权的、对财务报表有重大影响的取得、使用或处置企业资产。内部控制审计3.合理的保证内部控制本身，包括财务报告内部控制在内，是有局限性的合理的保证不等于绝对的保证合理的保证取决于审计师具备适当的胜任能力及审慎，并执行了适当的审计步骤从而得出的结论内部控制审计4.有效性与重大缺陷有效的财务报告内部控制，能够为企业按照适用的会计准则和相关会计制度的规定编制真实完整的财务报表提供合理保证缺陷的分类：“一般缺陷”“重要缺陷”“重大缺陷”如果存在一个或多个重大缺陷，财务报告内部控制应被认定为无效。即使财务报表不存在重大错报，财务报告内部控制也可能存在重大缺陷。内部控制审计5.管理层与注册会计师所承担的责任设计、实施和保持有效的财务报告内部控制，并评价其有效性是企业管理层的责任。财务报告内部控制审计并不能减轻企业管理层的责任。注册会计师在实施审计工作的基础上对财务报告内部控制的有效性发表审计意见，而财务报告内部控制审计工作本身不能减轻企业管理层的责任注册会计师在企业财务报告内部控制审计或财务报表审计中实施的程序也并不能作为企业财务报告内部控制的组成部分。 内部控制审计内部控制审计

需要明确的几个问题1、内控审计的范围2、内控审计业务由谁来做？3、对时点还是时期内控发表意见？4、与财务报表审计整合进行5、内控审计意见的决策6、内部控制审计报告标准格式

1、内控审计的范围本指引中内部控制审计的范围，是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制，即财务报告内部控制。注册会计师应当向企业询问非财务报告内部控制设计的合理性和执行的有效性，并取得董事会对非财务报告内部控制遵循情况的书面声明。对内部控制审计过程中注意到的非财务报告内部控制的缺陷，注册会计师应当在内部控制审计报告中予以描述，但无需对其有效性发表审计意见。本指引以下章节条款中所指内部控制，除非特别指明均指财务报告内部控制。2、内控审计业务由谁来做？

问题1:同一单位的内部控制审计和财务报表审计由谁来做？

A,同一会计师事务所（国外做法）B,不同的会计师事务所问题2：同一单位的內控的咨询和审计由谁来做？(内控基本规范的规定.业