经管营销企业内部控制设计与评价专题

2024/9/6主讲人简介1武汉大学博士中南财经政法大学副教授、博士后中国注册会计师硕士研究生导师中南财经政法大学审计教研室主任注册会计师全国考试《审计》阅卷组副组长（2007-2009）中南财经政法大学MBA、MPAcc主讲教师2024/9/6主要内容

2.企业内部控制框架2

1.我国企业内部控制规范体系

3.企业内部控制设计与实施

4.企业内部控制评价2024/9/6引例国美控制权之争3

2008年11月黄光裕由于涉嫌经济犯罪被警方带走，并于2010年因为非法经营、内幕交易和单位行贿被判入狱14年

陈晓接替黄光裕成为国美董事局主席，随后因为引入贝恩资本、实施管理层股权激励等行动与黄光裕矛盾激化，黄光裕要求罢免陈晓2024/9/6引例国美控制权之争4在黄、陈之争中，国美董事局和高管层表示与陈晓“共进退”，而网络投票则显示网民一边倒支持黄光裕2010年9月2日国美临时股东大会上，黄方五项提议仅一项获得通过，陈方三项提议则全部通过，陈晓险胜留任，而董事局获的股票增发授权被取消，结果出乎大多数人意料，但并非最坏的结果2024/9/6引例国美控制权之争5从个人角度，你支持谁？如果你是国美管理层，你支持谁？如果你是国美中小股东，你又支持谁？

你认为黄光裕为何为败北？2024/9/6引例国美控制权之争6图1投票前国美（H股上市）的股权结构2024/9/6引例国美控制权之争7序号姓名性质背景态度1陈晓执行董事，主席去黄2王俊洲执行董事，总裁黄旧部挺陈3魏秋立执行董事黄旧部挺陈4伍健华执行董事黄旧部挺黄5孙一丁执行董事黄旧部挺陈6竺稼非执行董事贝恩挺陈7IanAndrew非执行董事贝恩挺陈8王励弘非执行董事贝恩挺陈9史习平独立非执行董事挺陈10陈玉生独立非执行董事挺陈11ThomasJoseph独立非执行董事挺陈2024/9/6引例国美控制权之争81．撤销股东大会授予董事会的股票增发及买卖之一般授权（通过：54.66%vs.5.34%）2．撤销陈晓执行董事及董事局主席职务（否决：48.11%vs.51.89%）3．撤销孙一丁执行董事职务（否决：48.12%vs.51.88%）4．委任邹晓春为执行董事（否决：48.13%vs.51.87%）5．委任黄燕虹为执行董事（否决：48.17%vs.51.83%）1．重选竺稼为非执行董事（

通过：94.76%vs.5.24%）2．重选IanAndrewReynolds为非执行董事（通过：54.65%vs.45.35%）3．重选王励弘为非执行董事（通过：54.66%vs.45.34%）2024/9/6引例国美控制权之争9

从一开始黄光裕家族的策略就出现了失误，最初黄光裕家族将贝恩等外资机构描绘成掘金国美的国际金融大鳄，这让本来就喜欢在资本运作中保持一致的外资机构都站到了大股东的对立面，而黄光裕家族打出的民族牌更是让机构投资者反感。——评论者

黄光裕在国美电器上市后一直在利用游戏规则不断套现，这让国美电器股价长期低迷，置身其中的机构投资者最初几年都未能从中获得高额回报，很多机构甚至希望黄光裕家族影响越小越好。——评论者2024/9/6引例国美控制权之争102024/9/6我国企业内部控制规范体系我国企业内部控制体系建设最新进展11

2006年5月12日，深圳证券交易所发布《上市公司内部控制指引》征求意见稿2006年5月17日，中国证监会发布第32号令《首次公开发行股票并上市管理办法》，其第29号规定“发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告”2006年6月5日，上海证券交易所出台了《上市公司内部控制指引》2024/9/6我国企业内部控制规范体系我国企业内部控制体系建设最新进展12

2006年7月15日，财政部发起成立“企业内部控制标准委员会”，被认为是“中国版萨班斯法案”出台的前兆2008年6月28日，由财政部、证监会、审计署、银监会、保监会五部委联合发布《企业内部控制基本规范》，要求2009年7月1日在上市公司范围内执行，后延迟至2010年1月1日起由拟定海外上市的公司率先执行2024/9/6我国企业内部控制规范体系我国企业内部控制体系建设最新进展13

2010年4月15日，财政部等五部委正式发布《企业内部控制应用指引第1号——组织架构》等18项应用指引，《企业内部控制评价指引》和《企业内部控制审计指引》，要求自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行，在此基础上择机在中小板和创业板上市公司施行，鼓励非上市大中型企业提前执行2024/9/6我国企业内部控制规范体系我国现行企业内部控制规范体系14企业内部控制基本规范（财政部等五部委，2008）企业内部控制应用指引（2010）企业内部控制评价指引（2010）企业内部控制审计指引（2010）中央企业全面风险管理指引（国资委，2006）上市公司内控指引上市公司内控指引（上证所2006）

上市公司内控指引（深交所2006）特殊行业内控指引商业银行内控指引（银监会2007）证券公司内控指引（证监会2003）保险公司内控指引（保监会即将发布）2024/9/6我国企业内部控制规范体系我国现行企业内部控制规范体系15应用指引内部环境类控制活动类控制手段类组织架构发展战略人力资源社会责任企业文化资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告全面预算合同管理内部信息传递信息系统2024/9/6我国企业内部控制规范体系关于应用指引的几点说明16应用指引是按照大中型工商制造企业的一般需求来考虑的，并不要求企业机械地执行所有18项应用指引

应用指引并未涵盖企业所有的控制领域，也可能包括企业并不涉及到业务领域（例如业务外包），企业需要根据自身实情决定如何使用应用指引

应用指引只是提供了原则性的规定（风险点、业务环节及控制措施），还不是企业可以直接应用的操作手册2024/9/6我国企业内部控制规范体系我国上市公司内部控制进展及问题（德勤，2009）172024/9/6我国企业内部控制规范体系我国上市公司内部控制进展及问题（德勤，2009）182024/9/6我国企业内部控制规范体系我国上市公司内部控制进展及问题（德勤，2009）192024/9/6我国企业内部控制规范体系案例：智利矿难救援奇迹20

2010年8月5日智利北部圣何塞铜矿塌方，33名工人受困地下622米深处，生死未卜17天之后，矿工们向地面传送了一张字条：“我们全部33人都在避难所里，我们状况良好”10月13日工人开始升，69天时间，受困人员全部生还2024/9/6我国企业内部控制规范体系案例：智利矿难救援奇迹21智利政府之所以能够创造此次救援奇迹，是因为每一个地下矿井均被强制要求建设地下避难所或救援室，避难所中，室温维持在32至36摄氏度，有通风口，有生命赖以维持的饮用水2024/9/6我国企业内部控制规范体系案例：领导带班下井制度将扩大至所有矿山企业22

2010年10月15日，国家安监总局昨日下发了《金属非金属地下矿山企业领导带班下井及监督检查暂行规定》，要求地下矿山企业须确保每个班次至少有1名领导带班下井，领导带班下井情况与其经济收入挂钩，对未按照规定带班下井、冒名顶替下井或者弄虚作假的，按照有关规定予以处理2024/9/6我国企业内部控制规范体系案例安监总局责令纠正提拔矿长助理替领导下井做法23针对广西壮族自治区河池市环江县朝阳煤矿提拔7名矿长助理顶替矿领导带班下井的问题，国家安监总局和国家煤监局15日通报称，朝阳煤矿的做法是十分错误的，并责令朝阳煤矿立即纠正这种错误做法2024/9/6企业内部控制框架内部控制的作用与意义24

在我国，建立与实施内控体系，主要是服务大中型企业建立现代企业制度，在防范重大风险的前提下，促进企业可持续发展（刘玉廷，2010）企业不应仅仅为了遵守《企业内部控制基本规范》及企业内部控制配套指引而开展内部控制的建设和评估工作，《企业内部控制基本规范》并不要求企业把现有的管理制度推倒重建，而是在《企业内部控制基本规范》及相关配套规范的指导下，对业务流程进行梳理，识别关键的风险，完善相应的控制机制，发现并整改内部管理问题，使企业能借此契机全面提高内部控制意识和风险管理水平（PwC合伙人赵柏基，2010）2024/9/6企业内部控制框架内部控制的性质25内部控制是企业管理过程的有机组成部分，而不是一个单独和孤立的部分，内部控制应和业务流程和其他管理活动融合在一起

企业以内部控制建设为契机

，对企业现有的规章制度进行梳理和整合（可采用交叉索引办法避免重复），妥善处理内部控制与ISO9000、信息系统特别是ERP的关系2024/9/6企业内部控制框架内部控制的性质26内部控制只是管理系统的组成部分，但绝非全部，它不能涵盖管理活动的全部内容内部控制本身不能为企业指明方向和提供动力，本身不能实现增长和创造利润，它只是保驾护航，使企业不致偏离航向，同时又能避开暗礁险滩

控制应适度而不过度，过度的控制必然遏制创新力，束缚行动，降低效率，导致组织的臃肿、僵化和官僚化，即“大企业病”2024/9/6企业内部控制框架内部控制的局限性27管理层凌驾于内部控制之上可能导致内控失效

两人或多人的串通行为可能会导致内控失效

人为判断失误可能会导致内控失效

误解、疏忽、疲劳可能会导致内控失效

内控可能会因为成本效益考虑而影响其有效性2024/9/6企业内部控制框架案例讨论：十分钟的悲剧282008年9月15日上午10点，雷曼兄弟公司申请破产保护；10点10分，德国国家发展银行（KFW）按照协议向雷曼兄弟公司银行账户转入了3亿欧元，肉包子打狗有去无回。10分钟之内，发生了损失3亿欧元的悲剧。这场悲剧是如何发生的呢？请观看PPT“十分钟的悲剧”，并讨论KFW的内部控制制度为何会失效2024/9/6企业内部控制框架案例讨论：十分钟的悲剧29KFW患上了典型的“大企业病”，其内部控制可能是健全的，部门和岗位职责也可能是清晰的，但从董事长到系统操作员，都习惯于墨守成规、按步就班，并因此丧失了对于风险的敏感度、积极思考的精神和基本的判断能力

因此，内部控制的有效性离不开执行者的态度、观念和判断，它需要执行者拥有主人翁的态度，足够的风险意识和控制意识，以及必要的专业判断能力，而这又受到治理、激励、文化等内部环境因素的深刻影响2024/9/6企业内部控制框架内部控制的设计原则30全面性原则重要性原则制衡性原则适应性原则成本效益原则内控应贯穿于决策、执行和监督的全过程，不留盲区和空白，实现全面、全员和全过程控制内控应重点关注重要业务事项和高风险领域内控应在治理结构、机构设置及权责分配、业务流程等方面相互制约、相互监督内控应与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况变化加以调整内控应权衡成本效益，以适当的成本实现有效控制2024/9/6企业内部控制框架实例：成本高昂的萨班斯法案404条款31

SOX法案404条款要求在美上市公司管理层必须对内部控制的有效性出具自我评估报告，该报告需经注册会计师审计

美国上市公司第一年遵循该条款的平均成本是440万美元，中国在美上市的44家公司第一年合计付出遵循成本近2亿美元2024/9/6企业内部控制框架企业内部控制的基本框架32战略目标合规目标资产安全报告目标经营目标内部环境风险评估控制活动信息与沟通内部监督2024/9/6企业内部控制框架企业内部控制的要素33内部环境风险评估控制活动信息与沟通内部监督内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等内部环境设定了一个组织的基调，影响着员工的控制意识，营造着有利于内部控制有效运行的氛围，它是内部控制其他构成要素的基础

没有良好的内部环境，内部控制将形同虚设2024/9/6企业内部控制框架案例：中石化陈同海案34实施内控制度不仅是外部机构对上市公司的监管要求，更重要的是企业自身制度化管理的内在要求，必须把加强制度化建设作为企业长远发展的一项基本方针，高度重视、常抓不懈。每月交际一、二百万算什么，公司一年上交税款二百多亿。不会花钱，就不会赚钱。2024/9/6企业内部控制框架案例：中石化陈同海案35陈同海在1999年至2007年6月期间，利用其担任中石化集团公司副总经理、总经理和中石化股份有限公司副董事长、董事长的职务便利，在企业经营、转让土地、承揽工程等方面为他人谋取利益，收受他人钱款共计折合人民币约1.95亿元陈同海高达1.95亿元的巨额受贿共有5笔，其中最大的一笔高达1.6亿元，第二笔受贿金额1000万元，其余三笔受贿金额共计2563万元。任职期间每月平均公款花天酒地120万，日均挥霍4万元2024/9/6企业内部控制框架案例：中石化陈同海案36

强势而有决断本来是一个“一把手”的优势，但是在一个公司治理并不完善的环境下，却可能将这种优势推向极致，继而走向另外一面陈同海个人的独断专行早已名声在外，曾有公司约见陈同海，仅谈了40分钟他就同意出资2亿元入股。陈案的发生，与他自认为是“一把手”，自己就什么都可以说了算有很大关系

像中石化集团这样的国有独资公司，没有董事会的制约，企业“一把手”在决策、用钱、用人等方面权力过于集中，缺乏有效监督制约，容易导致滥用权力2024/9/6企业内部控制框架案例：中石化陈同海案37对央企“一把手”，一方面要加强监督，有错必纠、违法必处，另一方面也要支持他们锐意改革、大胆创新的积极性——国资委前主任李荣融2024/9/6企业内部控制框架国资委的对策38建立规范的董事会，实现决策权与执行权分开，有利于解决“内部人控制”问题，有利于解决企业“一把手”权力过大的问题，形成内部制衡机制按照超过半数的要求配备外部董事，继续进行外部董事担任董事长的探索，逐步落实董事会选聘、考核、奖惩经理层的职权，促进国有企业由“一把手”体制向规范的公司治理结构转变完善外派监事会制度，加强当期监督，形成有效的监督机制2024/9/6企业内部控制框架企业内部控制的要素39内部环境风险评估控制活动信息与沟通内部监督风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略风险分析通常包括估计风险的重要性，评估其发生的概率2024/9/6企业内部控制框架风险定义与分类40风险类型涵义战略风险是指企业在战略的制订和实施上出现错误，或因未能随环境的改变而作出适当的调整，而导致经济上的损失财务风险指融资安排、会计核算与管理以及会计或财务报告失误而对企业造成的损失市场风险市场风险是指因市场价格等外界条件变化而使企业产生经济损失的风险营运风险指企业内部流程和信息系统、人为因素或外部事件而给企业造成的经济损失法律风险指企业因违反法律、法规或规定，或侵害其他利益相关者的权益，而导致企业遭受经济或声誉损失的风险2024/9/6企业内部控制框架讨论：贵公司最大的风险来源是什么？412024/9/6企业内部控制框架案例：丰田汽车召回门422010年1月21日，因油门踏板和脚垫的问题，丰田美国公司宣布召回230万辆汽车，召回车型包括RAV4、Matrix、Avalon等8款。之后，因同样问题，丰田欧洲市场又有多达180万辆问题车辆被召回。祸不单行，随后，丰田全球最畅销车型——混合动力普锐斯也加入丰田召回队伍。据媒体统计，因踏板问题，丰田目前的召回数量已超过其去年718万辆的全球销量，为此将付出约135亿人民币的代价

由于丰田公司强调全球扩张，产品开发过程被削弱了，成为业界共识。《华尔街日报》分析认为，在衰退和通缩形势下，近几年日本企业不顾一切地削减成本，是导致投诉激增的一个原因2024/9/6企业内部控制框架风险应对策略43风险规避风险降低风险分担风险承受企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略2024/9/6企业内部控制框架案例：中信泰富巨亏44

2008年10月20日，中信泰富发出盈利预警，由于持有90亿澳元（西澳洲磁铁矿项目资本投资仅需16亿澳币，炒汇金额比实际矿业投资额高出四倍多）衍生品Accumulator（累计期权）而发生实际亏损8.07亿港元，账面浮亏147亿港元，合计155.07亿港元。荣智健之女、财务部主管荣明方由于牵涉其中而被调离财务部，并受到降职及减薪处罚。公告发布当天，中信泰富股价暴跌55%2009年3月25日，中信泰富公布2008年度业绩，净利润亏损126.62亿元，其中澳元外汇合约亏损146.32亿元2009年4月3日，董事局主席荣智健等人遭香港香港警方商业犯罪科调查；4月8日，荣智健辞职2024/9/6企业内部控制框架案例：中信泰富巨亏45累计目标可赎回远期合约(Accumulatedtargetknock-outforwardcontracts，又被形象的称为IKillYouLater)的原理可近似看作中信泰富向对手方购买一个澳元兑美元的看涨期权以及卖出两个看跌期权，行权价格都是0.87。当澳元汇率高于0.87美元时，中信泰富以低于市场价的0.87每天买入1个单位（最低投资额为100万美元）外汇而获利（但获利有上限），但当汇率下降到0.87以下时，则中信泰富必须每天以0.87的高价买入2个单位外汇。这说明，中信泰富完全是在赌澳元继续升值，而澳元在2008年7月至10月间暴跌了近30%2024/9/6企业内部控制框架案例：中信泰富巨亏46荣智健表示对此事并不知情，问题在于财务董事张立宪未有遵守公司对冲风险的政策，进行交易前又未得主席批准，而有会计师表示，实在难以相信这么大型的蓝筹公司，会让其财务董事有这么大的权力，动用数以百亿元计的资金炒卖衍生工具，而主席并不知情有分析人士称最根本原因在于实体企业难脱金融市场引诱，面对泡沫期金融市场的暴利扩大衍生品交易的范围，远远超过保值所需，导致风险难以控制2024/9/6企业内部控制框架案例：中信泰富巨亏47荣氏第一代荣熙泰留给子孙的遗训：“固守稳健、谨慎行事、绝不投机”荣毅仁赠予荣智健的二字箴言：“稳、忍”2024/9/6企业内部控制框架企业内部控制的要素48内部环境风险评估控制活动信息与沟通内部监督

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内

控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等2024/9/6企业内部控制框架案例：我亲历的采购黑洞49

当我知道自己要被调去搞采购时，我知道，该我发财了。要搞钱，几个因素必须齐备：首先是公司管理不严。其次是用料部门领导“懂不懂事”。没有不贪的猫，在金钱的诱惑下，设备科长和我一拍即合。再次，是要找到一个可靠的供货方。在我们公司，除作为固定资产的整机购买要总公司老总们批准外，一般的损耗配件购买，只需下面经手领导批就行了。因此，用料部门平时就“莽”起开条子去库管那儿领，领来当然没用，都存起了。工地上的事，管理部门啷个晓得呢？要领些啥子，领导间相互打个招呼就批了。还有就是“报废”特别多。一个上万元的配件，刚领走几天就“报废”了，接着就急急忙忙来领新的。看看存的料多了，用料部门就会打报告给公司。需要买些什么当然已经列得清清楚楚的了。随后接到公司采购任务通知的采购员，就把存下的料发到已联系好了的供货部门手里。2024/9/6企业内部控制框架案例：我亲历的采购黑洞50

其间，供货方充当了一个洗钱的角色。我们对供货方要求是能提供齐全的合法手续。未买之前，我还会把供方的价格，所购配件数量等详细情况再传回去请老总批准。买后不能直接带回公司，要通过运输部门，以防万一清查时，好拿得出个凭证。购货款纳完税，扣除实际购货的金额，剩下的我们和供货方一般是七三分。去年八月，我在一个建筑机械配件门市买了10万元钱的液压配件，实际只花了500元钱买新货，其余配件都是自己从公司发出去的。一些配件被反复的“买来买去”，自己都认熟了。我们公司谁都知道效益差，说起你都不信，我一个月只拿不到2000元。但我做采购三年，买了一套价值七位数的别墅，老婆没工作、娃儿读的贵族学校。采购中这种“找钱”方式其实很普遍，像建筑行业、电力、铁路等不少行业的采购人员都在这样搞。2024/9/6企业内部控制框架案例讨论请分析该单位采购业务内控存在哪些缺陷？512024/9/6企业内部控制框架几点看法52缺乏存货报废及处置的严格审批程序；采购业务中职责分离不到位，执行采购者不应负责确定供应商，采购业务量大的企业，可考虑设立采购委员会，实施采购招标制；采购货物缺乏严格的验收程序，如果有专人负责验收，不难发现多次采购的配件系同一产品的事实；缺少有效的内部审计制度，如果内审部门能够对采购业务进行独立核查的话，仅仅通过分析程序就可以发现设备科采购量过大和设备报废率过高的事实；“工地上的事，管理部门啷个晓得呢”说明该单位建筑施工缺乏现场控制2024/9/6企业内部控制框架企业内部控制的要素53内部环境风险评估控制活动信息与沟通内部监督

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通

充分利用信息技术促进信息的集成与共享

建立反舞弊机制，提供热线电话、电子邮件、信箱等举报途径2024/9/6企业内部控制框架舞弊的发现途径（ACFE,2008）542024/9/6企业内部控制框架金融计算机网络犯罪典型案例55

2003年10月5日13时12分，甘肃定西地区临洮县太石镇邮政储蓄所的营业电脑一阵黑屏，随即死机。营业员不知何故，急忙将刚刚下班尚未走远的所长叫了回来。所长以为电脑出现了故障，向上级报告之后，没太放在心上。17日，电脑经过修复重新安装之后，工作人员发现打印出的报表储蓄余额与实际不符。经过对账发现，5日13时发生了11笔交易、总计金额达83．5万元的异地账户系虚存（有交易记录但无实际现金）。当储蓄所几天之后进一步与开户行联系时，发现存款已经分别于6日、11日被人从兰州、西安两地取走37．81万元，他们意识到了问题的严重性，于10月28日向临洮县公安局报了案2024/9/6企业内部控制框架金融计算机网络犯罪典型案例56专案组对会宁邮政局进行了调查，发现该局系统维护人员张少强最近活动异常。暗查发现，其办公桌上有一条电缆线连接在了不远处的邮政储蓄专用网络上。专案组基本确认，张少强正是这起金融盗窃案的主谋。11月14日22时，张少强在其住所被专案组抓获。经过审问，张少强交待了全部犯罪事实。10月5日，张少强在会宁利用笔记本电脑侵入邮政储蓄网络后，非法远程登录访问临洮太石邮政储蓄所的计算机，破译对方密码之后进入操作系统，以营业员身份向自己8月末预先在兰州利用假身份证开设的8个活期账户存入了11笔共计83．5万元的现金，并在退出系统前，删除了营业计算机的打印操作系统，造成机器故障。第二天，他在兰州10个储蓄网点提取现金5．5万元，并将30．5万元再次转存到他所开设的虚假账户上。10月11日，张少强乘车到西安，利用6张储蓄卡又提取现金1．8万元2024/9/6企业内部控制框架金融计算机网络犯罪典型案例57张少强今年29岁，毕业于邮电学院，案发前仅是会宁县邮政局的系统维护人员，谈不上精通电脑和计算机网络技术。而邮政储蓄网络的防范措施不可谓不严：邮政储蓄使用的是专用的网络，和互联网物理隔绝；网络使用了安全防火墙系统；从前台分机到主机，其中有数道密码保护。究竟是什么原因，能让张少强如此轻易得手。分析整个案例，不难看出，是管理上存在的漏洞、工作人员安全意识的淡薄，才造成了如此严重的局面。案发前，张少强私搭电缆，从来没有人过问，更没有人阻止，让他轻易地将邮政储蓄专用网络置于自己的掌握之中。而另一方面，临洮县太石镇的邮政储蓄网点竟然一直使用原始密码，不仅没有定期更改，也没有在工作人员之间互相保密，于是张少强很轻松地就突破了数道密码关，直接进入了操作系统，盗走了83．5万元。而且，当工作人员发现已经出了问题时，还认为是内部网络系统出了故障，根本没有想到会有网络犯罪的情况发生2024/9/6企业内部控制框架企业内部控制的要素58内部环境风险评估控制活动信息与沟通内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进

企业应当制定内部控制监督制度，包括日常监督和专项监督，明确内部审计机构和其他内部机构在内部监督中的职责权限

企业应预防和发现内部控制缺陷，编制内部控制自我评价报告2024/9/6企业内部控制框架国企内审部门的设置及隶属关系（中内审，2008）592024/9/6企业内部控制框架国企内审部门的设置及隶属关系（中内审，2008）602024/9/6企业内部控制框架中国农业银行“垂直独立”的内审体系61内部审计机构对全行的经营管理、经营行为和经营绩效进行审计和评价，向董事会负责并向其报告工作，接受监事会的指导，接受审计委员会的检查、监督和评价

审计机构由审计局和十个审计分局组成，审计局统一组织、管理和报告全行审计工作，审计分局是审计局的派出机构，负责指定的内部审计工作，向审计局负责并报告工作2024/9/6企业内部控制框架案例：某企业董事会内部控制专题会议决议62

某公司按照财政部等五部委发布的《企业内部控制基本规范》的要求，建立并实施本公司的内部控制制度。该公司为此召开了董事会全体会议，就内部控制相关重大问题形成决议。摘要如下：(1)控制目标。会议首先确定了公司内部控制的目标是要切实做到经营管理合法合规、资产安全，严格按照法律法规及相关监管要求开展经营活动，确保公司经营管理过程不存在任何风险。(2)内部环境。内部环境是建立和实施内部控制的基础。会议一致通过了优化内部环境的决议，包括：严格规范公司治理结构，各类业务事项均应提交董事会或股东大会审核批准；调整机构设置和权责分配，做到所有不相容岗位或职务严格分离、相互制约、相互监督；完善人力资源政策，建立优胜劣汰机制，同时注重就业和员工权益保护，认真履行社会责任，加强企业文化建设，倡导诚实守信、爱岗敬业，开拓创新和团队协作精神。2024/9/6企业内部控制框架案例：某企业董事会内部控制专题会议决议63

(3)风险评估。会议决定成立专门的风险评估机构，围绕内部控制目标，定期或不定期对内部环境、业务流程等进行全面评估，准确识别公司面临的内外部风险，根据风险发生的可能性和影响程度进行排序，采取相应的风险应对策略。(4)控制活动。会议明确了公司应从以下三个方面强化控制措施：一是实施全面预算管理，将各类业务事项均纳入预算控制;二是将控制措施“嵌入“信息系统中，通过现代化手段实现自动控制;三是完善合同管理制度，所有对外发生的经济行为均应签订书面合同。(5)信息与沟通。会议要求公司完善信息与沟通制度。及时收集、整理与内部控制相关的内外部信息，促进信息在企业内部各层级之间，企业与外部有关方面之间的有效沟通与反馈；同时建立反舞弊机制，实施举报投诉制度和举报人保护制度，及时传达至全体中层以上员工。确保举报、投诉成为公司有效掌握信息的重要途径。2024/9/6企业内部控制框架案例：某企业董事会内部控制专题会议决议64

(6)内部监督。会议强调，内部监督是防止内部控制流于形式的重要保证。为此，公司应当强化内部监督制度，由审计委员会和内部审计机构全权负责内部控制的监督检查，合理保证内部控制目标的实现；审计委员会和内部审计机构在内部监督中发现重大问题，有权直接向董事会和监事会报告。【要求】根据《企业内部控制基本规范》的要求，分析、判断该公司董事会会议形成的上述决议中有哪些不当之处，并简要说明理由2024/9/6企业内部控制框架参考答案65

1.控制目标方面：（1）内部控制目标定位于保证经营管理合法合规、资产安全的观点不恰当。理由：内部控制目标不仅包括合理保证经营合法合规、资产安全，还包括财务报告及相关信息真实完整目标、经营效率和效果目标、促进实现发展战略的目标。（2）确保公司经营管理过程不存在任何风险的观点不恰当。理由：内部控制的任务是将风险控制在可承受度范围内。2.内部环境方面：（1）各类业务事项均应提交董事会或股东大会审核批准的观点不恰当。理由：重要业务事项才需提交董事会或股东大会审核批准。（2）所有不相容岗位或职务严格分离的观点不恰当。理由：不符合成本效益原则。2024/9/6企业内部控制框架参考答案66

3.控制活动方面：（1）将各类业务事项均纳入预算控制的观点不恰当。理由：预算控制措施不适用于不能量化的业务事项。（2）所有对外发生的经济行为均须签订书面合同的观点不恰当。理由：对于零星、即时清结等交易行为，可不签订书面合同。4.信息与沟通方面：举报投诉制度和举报人保护制度仅传达至全体中层以上员工的观点不恰当。理由：举报投诉制度和举报人保护制度应传达至公司全体员工。5.内部监督方面：审计委员会和内部审计机构全权负责内部控制监督检查的观点不恰当。理由：董事会负责内部控制的建立和有效实施；除内部审计机构之外，经理层及公司其他内部机构在内部监督中也须承担相应的职责。2024/9/6企业内部控制设计与实施内部控制设计与实施一般步骤67加强领导，健全机构狠抓培训，提高认识评估风险，梳理流程制定指引，明确权限全面入手，健全制度制定细则，分级实施动态完善，持续修订组织评估，改进缺陷强化责任，严格奖惩2024/9/6企业内部控制设计与实施内部控制设计与实施一般步骤68内控梳理对标内控整改固化内控自评内控审计成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理范围记录内控缺陷设计整改方案完善内控制度更新内控文件制定监督制度跟踪缺陷整改开展自我评价编制自评报告进行模拟审计提供所需证据出具管理声明披露审计报告信息化建设管理层持续整改/内部监督持续开展2024/9/6企业内部控制设计与实施内部控制设计的两个层次69公司层面业务流程层面公司层面控制是确保管理层获得在公司内部各个领域都有适当的控制机制在发挥作用的重要机制，主要是按照内部环境、风险评估、控制活动、信息与沟通和监控五个要素进行设计，尤其是内部环境、信息与沟通、监控的设计，风险评估和控制活动主要作出原则性规定，具体还要围绕业务流程来设计，除此之外还要设计信息技术的一般控制涵盖所有的业务流程，梳理业务环节，识别并评估风险，围绕风险设计有针对性的控制措施，尤其关注高风险业务环节，高风险点应该是强控制点，除此之外还要设计信息技术的应用控制2024/9/6企业内部控制设计与实施示例：中移动香港公司内部控制手册70序号类别内容1手册概述目的、定义、评估架构、遵循要求等2公司层面控制按照控制环境、风险评估、控制活动、信息与沟通和监控五个要素来进行设计3信息技术整体控制对程序和数据的访问、程序变更管理、程序开发、系统运行、终端用户等五个方面4流程层面控制包括资本性支出、收入和计费、存货管理、营运支出、货币资金管理、固定资产和无形资产管理、人工成本管理、会计与财务报告、筹资业务、关联方交易、法律法规遵循（含税务管理）等11个业务流程的管控措施，每个业务流程均包括业务范围、应用系统与电子表格、目标、风险、相关会计科目、流程描述、流程主要控制点等几个部分2024/9/6企业内部控制设计与实施公司层内控示例（中移动香港公司内部控制手册）71

2.1控制环境

2.1.1正直守德的价值取向

管理层必须传递一种信息，即在正直守德的价值取向上是不能妥协的，员工也必须收到并理解这种信息。管理者必须立言、立行以昭示其高水平的道德标准。A1.1是否制定了行为准则和其它原则，以明确可以接受的商业行为、利益冲突的处理方式或员工行为的道德标准并确保这些准则和原则得以有效执行。（注：控制标准）集团公司2002年6月出台了《中国移动通信集团公司员工行为守则》（以下简称为“《守则》”），中国移动参照执行。《守则》对员工精神规范、仪容仪表、工作纪律、待人接物、环境卫生以及组织管理及违反守则的处理办法等方面做出了规定。······

主要涉及部门：人力资源部

文件索引：《关于印发<中国移动通信集团公司员工行为守则>的通知》（中移人[2002]327号）2024/9/6企业内部控制设计与实施内部控制设计思路（中移动香港）72类别目标风险主要控制点4.2.1新业务与产品定价业务流程1.合理确保新业务的定价及现有业务资费标准的调整都经过适当的授权和审批1.新业务与新产品的定价及现有业务资费标准的调整，没有得到管理层的授权HQ06B.1.1授权及批准总部制定的新产品新营销资费方案需经总部市场经营部门负责人或数据业务管理部门负责人审批，并报总部副总审批HQ06B.1.2授权及批准总部制定的数据业务信息费的资费标准，由业务评审会审核，评审结果书面记录在会议纪要上，同时须由总部管理层审批……2024/9/6企业内部控制设计与实施内部控制矩阵（适合于财务报告内部控制）73将主要业务流程的业务目标、主要风险、控制点、适用部门、相关会计报表认定（存在或发生、完整性、权利与义务、估价与分摊、表达与披露等）、报表对应科目等列示在一起的表格

参见中石化资本支出业务流程控制矩阵2024/9/6企业内部控制设计与实施内部控制流程图742024/9/6企业内部控制设计与实施内部控制权限指引75为了明确公司各层级、各部门在内部控制中的权限，更好地落实分级授权制度，可以制定内部控制权限指引

中石化对15大类55项具体业务均规定了相应的权限，明确了从股东大会到分公司处室6个级别的审批权

参见中石化权限指引表2024/9/6企业内部控制评价我国的内部控制评价基本要求76根据《企业内部控制基本规范》，企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定2024/9/6企业内部控制评价我国企业内部控制评价的内容77

《企业内部控制评价指引》要求同时对财务报告内部控制和非财务报告内部控制进行评价企业根据基本规范、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制有效性进行全面评价2024/9/6企业内部控制评价我国企业内部控制评价的组织78基本规范及评价指引要求企业授权内部审计机构或者其他专门机构作为内部控制评价机构，负责内部控制评价的具体组织实施工作在设置内部控制评价机构的基础上，还要求企业成立专门的评价工作组，接受内部控制评价机构的领导，具体承担内部控制评价工作的组织企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务2024/9/6企业内部控制评价我国企业内部控制评价的流程79开始制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告完成2024/9/6企业内部控制评价内部控制缺陷的认定80财务报告内部控制重大缺陷非财务报告内部控制重大缺陷主要依据定量标准。考虑两个因素：（1）缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报；（2）该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小定性标准与定量标准相结合。定量标准，既可以根据缺陷造成直接财产损失的绝对金额制定，也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定；定性标准，可以根据缺陷潜在负面影响的性质、范围等因素确定。非财务报告内部控制缺陷认定标准一经确定，必须在不同评价期间保持一致，不得随意变更2024/9/6企业内部控制评价内部控制缺陷的认定81设计缺陷运行缺陷设计缺陷（deficiencyindesign）包括：（1）达到控制目标所必需的控制缺失；（2）控制设计不合理，如果控制按其设计来运行，控制目标将无法达到运行缺陷（deficiencyinoperation）指设计合理的控制未按设计来运行，或执行控制的人员不具备必要的权威或专业能力来有效地执行控制2024/9/6企业内部控制评价内部控制缺陷的认定82一般缺陷（deficiency）重要缺陷（significantdeficiency）重大缺陷（materialweakness）除重大缺陷、重要缺陷之外的其他缺陷一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标2024/9/6企业内部控制评价内控缺陷对于内控审计报告的影响83缺陷类型缺陷严重程度沟通要求审计报告财务报告内控缺陷一般缺陷与管理层口头或书面沟通无保留意见重要缺陷与管理层和董事会书面沟通无保留意见或带强调事项段无保留意见重大缺陷与管理层和董事会书面沟通否定意见非财务报告内控缺陷一般缺陷与管理层口头或书面沟通不在审计报告中说明重要缺陷与管理层和董事