企业内部控制建设

03:04:331内部控制的体系与应用框架基于财政部《企业内部控制基本规范》和《企业内部控制配套指引》的实践——目录——03:04:33内部控制的基本概念内部控制的内容与应用框架建立企业内部控制的程序、步骤和方法123——目录——内部控制的基本概念与一般理论103:04:33一、内控的基本概念—起源与发展03:04:33内部控制可以通俗的理解为：内部控制是在一定的环境下，单位内部控制主体为了达到其特定目标所采用的一系列的管理程序和方法。《周礼》：虑夫掌财用财之吏，渗漏乾后，或者容奸而肆欺……于是一毫财赋之出入，数人之耳目通焉。具体到职务设置上，以货币资金的控制为例，专门设置了职入官、职岁官和职币官，来分掌货币资金的收入、支出和余额，体现了内部牵制思想“在内部控制、预算和审计程序等方面，周代在古代世界是无与伦比的。”（《会计思想史》，迈克尔.查特菲尔德）以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。一、内控的基本概念—从案例说起（资金控制）瑞襄公司出纳员李敏，给人印象兢兢业业、勤勤恳恳、待人热情、工作中积极肯干，不论分内分外的事，她都主动去做，受到领导的器重、同事的信任。而事实上，李敏在其工作的一年半期间，先后利用22张现金支票编造各种理由提取现金98.96万元，均未记入现金日记账，构成贪污罪。其具体手段如下：1）隐匿3笔结汇收入和7笔会计开好的收汇转账单（记账联），共计10笔销售收入98.96万元，将其提现的金额与其隐匿的收入相抵，使32笔收支业务均未在银行存款日记账和银行余额调节表中反映；2）由于公司财务印鉴和行政印鉴合并，统一由行政人员保管，李敏利用行政人员疏于监督开具现金支票；3）伪造银行对账单，将提现的整数金额改成带尾数的金额，并将提现的银行代码“11”改成托收的代码“88”。瑞襄公司在清理逾期未收汇时曾经发现有3笔结汇收入未在银行日记账和余额调节表中反映，但当时由于人手较少未能对此进行专项清查。一、内控的基本概念—从案例说起（资金控制）【案例分析】从本案例中可知，瑞襄公司内部控制疲软、内控监督机制失灵是李敏走上犯罪道路的重要原因。公司存在以下几个管理上的漏洞：（1）出纳兼与银行对账，提供了在编制余额调节表时擅自报销32笔支付现金业务的机会。（2）印鉴管理失控。财务印鉴与行政印鉴合并使用并由行政人员掌管，出纳在加盖印鉴时未能得到有力的监控。（3）未建立支票购入、使用、注销的登记制度。（4）对账单由出纳从银行取得，提供了伪造对账单的可能。（5）凭证保管不善，会计已开好的7笔收汇转账单（记账联）被李敏隐匿，造成此收入无法记入银行存款日记账中。（6）发现问题追查不及时。在清理逾期未收汇时发现了3笔结汇收入未在银行日记账和余额调节表中反映，但由于人手较少未能对此进行专项清查企业内部控制可以通俗地理解为关于企业生产管理运行的规章制度和行为准则。企业内部控制的思想最早开始于18世纪，随着企业大规模化和资本大众化的进程，企业内部控制的要求应运而生，到了20世纪，随着股份制公司的建立和规模的扩大，所有权和经营权出现了分离，出现了组织、调节、制约和监督生产经营活动的一系列方法，为了纠错查弊，开始建立了比较简单的企业内部控制制度。这是企业内控体系建立的初始阶段最早的涉及企业内部控制的规范文档是1929年美国注册会计师协会和联邦储备委员会颁布的《会计报表的验证》1936年在《独立公共会计师对会计报表审查》一文中首次将企业内部控制定义为：为保护公司现金及其他资产的安全、检查账簿记录的准确性而在公司内部采取的各种手段和方法。在1949年美国注册会计师协会又将其修订为：内部控制是企业为保证企业财产的安全完整、检查会计资料的准确性和可靠性，提高企业的经营效率及贯彻既定的经营方针，所设计的总体规划和所采取的与总体规划相适应的一切措施和方法03:04:337一、内控的基本概念—起源与发展到了20世纪50年代，由于全球市场经济竞争的加剧，促使内部控制扩大到企业的各个领域，其内容也愈加丰富，1963年美国审计程序委员会在其发布的“审计程序23号文件”中，对内部控制的定义做了进一步的说明，首次将内部控制划分为内部会计控制和内部管理控制，1994年美国管理会计师协会在其《内部控制结构》中，将内控定义为：内部控制是这样一个整体系统，由管理者建立的旨在以一种有序和有效的方式开展公司的业务，确保其与管理政策和规章一致，保护资产，尽量保证记录的完整性和正确性1994年美国反欺诈财务报告委员会（COSO）制定完成的“内部控制—整体框架”标志着现代企业内部控制体系的完整确立，奠定了现代企业内部控制的全新基础03:04:338一、内控的基本概念—起源与发展中国企业内部控制发展里程碑2002年通过的萨班斯SOX法案—公众公司会计改革与投资者保护法案2006年上海、深圳证券交易所分别颁布的上市公司内部控制指引以及后来的补充指引2008年由财政部、证监会、保监会、银监会、审计署发布的企业内部控制基本规范和配套指引2006年由国务院国有资产监督管理委员会颁布的中央企业全面风险管理指引03:04:339一、内控的基本概念—起源与发展嘉信软件公司员工人数1000余人，年销售毛利2亿2千万，从事电子商务交易平台软件开发。利润大于零，年度经营现金流为负全年新签合同保持20%的增长、员工人数同比增长；良好的外部市场却产生企业亏损，这是典型的企业内部管控缺陷表现特征——劳动生产率低下——讨论题（1）————讨论题（2）——讨论题：集团公司下属企业发生了财会人员欺诈2万元以及经营亏损20亿，对于集团高管而言哪一件事应该倾注更多精力？是否都属于资产安全问题？03:04:3312一、内控的基本概念—起源与发展

内部控制方式内部控制体系是企业领导人管控企业意志的集中体现，其效果反映了企业领导人的掌控能力、以及下属员工的执行能力不同的领导人其统领手法以及风格的变化，影响着内部控制的内容及形式，但公司法人治理结构在其中起着核心作用

内部控制精要内部控制定义内部控制是由企业董事会、经理阶层和其他员工实施的，为资产的安全、营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。13保证资产安全和会计信息真实是企业内部控制发展的主线内部控制要义内部控制的目标呈现出多元化发展的趋势会计控制和管理控制是企业内控的核心03:04:3313一、内控的基本概念—内控定义一、内控的基本概念—控制目标与控制内容内部控制目标尽管企业内部控制经历了丰富多彩的发展历程，但维护资产安全、保证信息可靠、遵循法律法规、提高经营的效率和效果始终是构成内部控制的基本目标；会计控制（含财务控制）和管理控制是企业内部控制的核心控制内容业务流程操作规定流程定义环节任务分解风险点识别风险控制与应对预案操作目标03:04:3314一、内控的基本概念—内控管理框架企业内控管理框架目标维度：战略目标、经营目标、合规目标、报告目标要素维度：控制环境、风险评估、控制活动、信息与沟通、监控结构维度：企业整体、分支机构、业务单位与业务单元、子公司流程维度：任务制定、任务分解、任务操作、风险识别、风险应对03:04:3315一、内控的基本概念—内控管理框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督与反馈控制环境。内部控制环境是企业实施内部控制的基础，影响着组织中员工的控制意识，为内部控制界定了规则和结构。一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等

内部环境要素实施要点：

（1）公司治理；（2）机构与管理职能；（3）内部控制政策；（4）人力资源政策；（5）风险管理体系；（6）内部审计制度；（7）企业文化；（8）管理手册

03:04:3316一、内控的基本概念—内控管理框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督与反馈2、风险评估。风险评估是企业科学系统识别、分析和评价影响企业各级操作目标实现的所有风险因素、局部风险因素或特定领域风险因素的过程。风险评估是企业了解风险和确定风险控制目标的依据，是企业识别控制环节和控制关键点的依据，是企业实施内部控制过程管理不可逾越的关键步骤

风险评估要素实施要点：

（1）风险控制目标；（2）当前风险水平（敞口）；（3）风险容忍度（风险偏好）；（4）关键风险；（5）风险识别、分析、评价的技术与方法；（6）风险应对

03:04:3317一、内控的基本概念—内控管理框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督与反馈3、控制活动。控制活动是指确保管理层的要求得以实施的政策及程序。企业根据风险评估结果，通过这些政策和程序确保采取必要的措施以应对影响企业业务操作目标实现的风险，将风险控制在可承受度之内。控制活动在整个企业内部的各个级别、各个职能展开。

控制活动要素实施要点：

（1）风险管理策略；（2）风险控制方案；（3）风险控制程序；03:04:3318一、内控的基本概念—内控管理框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督与反馈4、信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，使得企业内部控制体系在上下游环节、相关业务的不同控制流程上都能得以平滑运行，互不干扰，发挥出集体效率。

信息与沟通要素实施要点：

（1）信息与沟通制度；（2）信息收集；（3）信息传递与沟通；（4）信息控制；（5）信息技术03:04:3319一、内控的基本概念—内控管理框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督与反馈5、监督与反馈。监督与反馈是企业对内部控制体系建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并提议改进的过程。

信息与沟通要素实施要点：

（1）内部控制体系运转的监督与反馈制度；（2）内部控制有效性评价；（3）内部控制缺陷认定；（4）监督与反馈报告；（5）监测技术03:04:3320一、内控的基本概念—内控五要素相互关系21

监控控制活动风险评估控制环境信息沟通信息沟通基础手段保证载体依据一、内控的基本概念—内控体系建设的产出物战略目标经营目标操作目标业务流程管理风险点识别风险控制内控体系建设风险/损失事件库控制管理规范控制程序文件风险控制文档22一、内控的基本概念—内控体系建设的产出物控制管理规范：企业内部控制管理规范主要解决内部控制组织执行问题，规范的内容包括了业务组织描述，业务操作目标、业务的边界或与其他组织或业务的关联、业务的输入输出描述控制程序文件：控制程序文件详细的描述了业务的流程、环节点、环节点的任务（岗位说明书）以及操作要求及规则风险控制文档：风险控制文档描述了各个业务流程上的风险点、风险发生的特征、风险敞口、风险发生的频率、风险应对的策略等风险/损失事件库：企业运营操作流程中历史上发生的各类风险事件（损失事件）的集合，其中描述了事件的定义，发生背景、类别、属性、损失程度等，管理策略，应对方案等03:04:3323一、内控的基本概念—内控与全面风险管理风险管理内外部环境风险管理战略风险辨识与分析企业内部控制风险应对方法信息交换与沟通风险管理系统运行监控全面风险管理战略风险财务风险市场风险法律风险操作风险内部控制03:04:3324正确做事与做正确的事抬头看路与埋头拉车一、内控的基本概念—内控与合规风险管理合规风险管理大合规/遵从外法和内法小合规/仅遵从外法合规政策内控制度RCSA控制程序文件业务流程风险点损失事件库合规风险识别沟通与交流改进与监控合规作为内控的制约目标03:04:3325一、内控的基本概念—内控与操作风险管理事先管理员工绩效管理内部控制内控环境内控目标内控规则合规风险管理合规监测预警风险暴露、经济资本、风险对冲风险与控制自评估操作风险/运营风险事中管理事后管理沟通与监控03:04:3326一、内控的基本概念—内控与操作风险管理内部控制与狭义合规及广义合规内部控制与三道防线内部控制与风险管理（你中有我、我中有你）内部控制更多的理解03:04:3328企业内部控制的体系与应用框架内部控制的内容与应用框架203:04:3329内部控制是企业经管理的必然要求

监管当局要求

提高企业竞争能力

没有规矩不成方圆

保护资产安全二、控制内容与应用框架——为什么需要内控03:04:3330二、控制内容与应用框架——为什么需要内控企业资产安全股东权益保护（三道防线）法律法规——使之不敢职业道德——使之不愿内部控制——使之不能二、控制内容与应用框架—内部控制支撑理论代理人悖论利益相关者理论权变理论战略发展理论内部控制是由企业董事会、经理阶层和其他员工实施的，为资产的安全性、营运的效率效果、财务报告的全面可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其支撑理论如下：二、控制内容与应用框架—内部控制支撑理论（1）代理人悖论一个没有受到完全监督的人有着从事不诚实或不合意行为的倾向委托人与代理人之间思想和行为上的种种分歧形成了代理人悖论经济人是具有理性的自利主义者，个人行为的基本动力是个人利益，其行为准则是既定目标的最优化代理人悖论经济人悖论主观为自己、客观为别人信任就是懒惰——罗斯福二、控制内容与应用框架—内部控制支撑理论（1）代理人悖论X非效率理论有限理性理论囚徒困境

经济人悖论进一步说明只有在外部压力下才能使经济人的行为趋于最优化囚犯A、B同时被指控犯有某一种罪行，他们的选择只有揭发或抗拒。检察官在他们分别隔离的情况下分别告知，若两人都揭发则每人判八年；若两人都抗拒则每人判两年；若一人揭发一人抗拒，揭发者者判一年、抗拒者判十年。作为经济人A、B该如何选择？

西蒙的有限理性理论认为，人的行为理性是有限的，不是完全的。

完全的理性假设前提之一是可供选择的行为手段是已知的，结果也是已知的。完全的理性假设前提之二经济人有完全的知识和精密的计算能力。

莱宾斯基的X非效率理论指出，微观经济学所假设的利润极大化或成本极小化由于X非效率而不可能实现。

大多数人在大多数时间内其行为是非极大化的，这主要源于人的天生惰性。只有当外部压力充分大时，才会想极大化靠近。道德风险和信息不对称要求企业建立某种约束机制，以保障股东和其代理人的行为观点的尽可能一致性.当委托人不能完全监督代理人的行为时，便存在一种风险：代理人可能做某些不合意的事二、控制内容与应用框架—内部控制支撑理论（2）利益相关者理论

公司总产值最大化

股东财富最大化

经济附加值EVA最大化公司利润最大化企业价值最大化股东价值最大化二、控制内容与应用框架—内部控制支撑理论（2）利益相关者理论股东投资人政府监管当局供应商其他服务者企业员工客户消费者社会相关团体利益相关者理论认为，企业应是利益相关者的企业，包括股东在内的所有利益相关者都对企业的生存和发展注入了一定的专用性投资，同时也分担了企业的一定经营风险，或为企业的经营活动付出了代价，因而都应该拥有企业的所有权企业利益相关者的利益均衡股东中心理论认为，股东是企业的所有者，企业的财产是由他们所投入的实物资本形成的，他们承担了企业的剩余风险，理所当然成为企业剩余索取权与剩余控制权的享有者共赢才能长远二、控制内容与应用框架—内部控制支撑理论（3）权变理论

权变理论要义

超Y理论（采用X或Y理论都有高效和低效的表现）

1、权变理论就是要把环境对管理的作用具体化，并使管理理论与管理实践紧密地联系起来。

2、环境是自变量，而管理的观念和技术是因变量。

3、权变管理理论的核心内容是环境变量与管理变量之间的函数关系就是权变关系

1、不同的人对管理方式的要求不同

2、有人希望有正规化的组织与规章条例来要求自己的工作，而不愿参与问题的决策去承担责任。这种人欢迎以X理论指导管理工作。

3、有的人却需要更多的自治责任和发挥个人创造性的机会，这种人则欢迎以Y理论为指导的管理方式。二、控制内容与应用框架—内部控制支撑理论（3）领导权变理论任何领导形态均可能有效，其有效性完全取决于是否与所处的环境相适应。影响领导者领导风格的环境因素归纳为三个方面：职位权力、任务结构和上下级关系。费德勒模型下属的“成熟度”对领导者的领导方式起重要作用。所以对不同“成熟度”的员工采取的领导方式有所不同，包括命令式、说服式、参与式和授权式。情境领导理论该理论认为只有当员工确切地知道如何达成组织目标时才能起到激励作用，领导应指明达成目标的途径，为下属实现目标扫清道路，创造条件。领导方式包括指示型、支持型、参与型和成就型路径-目标理论该模型将领导行为与参与决策联系在一起，由于认识到常规活动和非常规活动对任务结构的要求各不相同，领导者的行为必须加以调整以适应这些任务结构。领导风格包括独裁、磋商和群体决策。领导者-参与模型二、控制内容与应用框架—内部控制支撑理论（4）发展战略理论波特五力模型（竞争能力模型）BECDA潜在竞争者进入能力替代品替代能力供应商讨价还价能力行业内竞争者竞争能力购买者讨价还价能力愿景战略目标业务战略职能战略二、控制内容与应用框架—内部控制支撑理论（4）发展战略理论企业竞争战略需要在市场营销、研发技术、生产制造、人力资源、财务投资等方面采取何种策略和措施以支持企业愿景、战略目标、业务战略的实现？企业未来要在哪些客户、哪些区域、哪些产品、哪些产业发展？怎样发展？企业未来要达到一个什么样的发展目标企业未来要去到哪里，成为一个什么样的企业愿景战略目标业务战略职能战略业务流程再造应该创造核心竞争能力二、控制内容与应用框架—应用模型战略目标、业务目标、流程目标、岗位目标机制、能力完成任务的操作序列企业内部治理达成目标的操作手法目标政策策略业务流程方法/技术内部控制体系二、控制内容与应用框架—内控覆盖面内控体系对企业经营管理的全面覆盖内控体系对企业经营管理的部分覆盖根据企业内部控制体系建设的全面性原则，一个完整的企业内控系统应该覆盖企业经营管理的各个方面，无论是通过明显的控制文档规定了实现业务目标的操作流程规范，还是通过企业文化、社会道德标准形成的自我约束，规避含糊不清的操作标准是企业内部控制全面覆盖的精要在内控体系建设中，那些在风险事件库支持下，通过控制规范、控制程序文件、风险控制文档建立起来的内控系统并非一次就可以实现全面的业务覆盖，有重点、有顺序的建立控制体系，首先在重要的业务条线上建立内控是合适的策略，也是内控建设重要性原则和适应性原则的体现03:04:3341二、控制内容与应用框架—内控覆盖面组织架构企业文化资产管理销售业务社会责任资金活动发展战略研究与开发担保业务工程项目采购业务人力资源业务外包财务报告全面预算合同管理内部信息传递信息系统企业内控体系覆盖业务条线03:04:3342组织架构组织架构设计、组织架构运行发展战略发展战略制定、发展战略实施人力资源人力资源的引进与开发、人力资源的使用与退出社会责任安全生产、产品质量、环境保护与资源节约、促进就业与员工权益保护企业文化企业文化建设、企业文化评估资金活动筹资、投资、营运采购业务购买、付款03:04:3343二、控制内容与应用框架—内控覆盖面资产管理存货、固定资产、无形资产销售业务销售、收款研究与开发立项与研究、开发与保护工程项目工程立项、工程招标、工程造价、工程建设、工程验收担保业务调查评估与审批、执行与监控业务外包承包方选择、业务外包实施财务报告财务报告编制、财务报告对外提供、财务报告的分析利用03:04:3344二、控制内容与应用框架—内控覆盖面全面预算预算编制、预算执行、预算考核合同管理合同订立、合同履行内部信息传递内部报告形成、内部报告使用信息系统信息系统开发、信息系统的运行与维护03:04:3345二、控制内容与应用框架—内控覆盖面二、控制内容与应用框架—控制类型内部控制结构类型控制环境主导型控制活动主导型环境及活动并重型环境及活动双弱型不同的企业的经营规模、业务范围、竞争状况和风险水平适用的控制类型各有不同，当选择的控制类型与企业的实际情况不相适应时，就会出现控制不足或控制浪费的现象“环境活动双弱型”企业一般来说，存在着明显的控制不足现象，这是一个通常不值得推荐的类型，但“环境活动并重型”并一定能达到最好的控制效果03:04:3346二、控制内容与应用框架—应用框架战略目标操作目标风险评估控制程序信息传递与沟通控制效果监督与反馈原因控制过程控制结果控制03:04:3347二、控制内容与应用框架—应用框架具体控制类型包括：接触控制、信息/数据正确性控制、制衡控制、合规控制、效率/效益控制、安全性控制、欺诈控制、流程控制、检查控制、实物控制、行为控制、限额控制、预算控制、审计控制等操作控制类型预防型引导型探测型纠错型03:04:3348二、控制内容与应用框架—应用框架03:04:3349内部控制强调流程管理，但目标管理也是企业管理的重要方法，二者应用的场合是什么？内部控制是流程管理还是目标管理？03:04:3350建立企业内部控制的程序、步骤和方法3企业内部控制的体系与应用框架三、实现内控的步骤程序方法—建设步骤与流程战略目标分解为经营目标经营目标分解为业务条线工作目标工作目标分解为业务流程操作目标定义业务流程节点和工作面识别工作面风险点风险点分析评价风险应对设计设计控制程序控制管理规范控制程序文件风险控制文档RCSA风险与控制自评估体系03:04:3351三、实现内控的步骤程序方法—业务条线划分组织架构发展战略人力资源社会责任企业文化资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告全面预算合同管理内部信息传递信息系统内部控制体系覆盖的业务条线应包括但不限于如下业务条线03:04:3352三、实现内控的步骤程序方法—风险矩阵项目需求所用技术风险风险影响风险概率%风险等级风险管理项目名称可能性可能造成的损失风险值管控程度R149362R282162R353152.5R427144R562123R68184R77173R87174R97171R1090.54.51R1180.541R123133.5三、实现内控的步骤程序方法—风险矩阵风险影响等级定义或说明关键(critical)一旦风险事件发生,将导致项目失败。严重(serious)一旦风险事件发生,会导致经费大幅增加,项目周期延长,可能无法满足项目的二级需求。一般(moderate)一旦风险事件发生,会导致经费一般程度的增加,项目周期一般性延长,但仍能满足项目一些重要的要求。微小(minor)一旦风险事件发生,经费只有小幅增加,项目周期延长不大,项目需求的各项指标仍能保证。可忽略(negligible)一旦风险事件发生,