企业内部控制基本规范解读

企业内部控制基本规范解读大信会计师事务所中京睿信管理咨询有限公司刘全山(CPA/CTA/MBA)* 企业为什么需要内部控制 企业内部控制五大目标 企业内部控制五大要素目录 企业各管理层内控职责、内控设计原则与实施机制 企业内部控制基本规范的影响与内控局限 内部控制咨询、内部控制审计与内部控制审核**企业为什么需要内部控制？—合理保证财务报告及相关信息真实完整世通公司造假案件和安然、安达信事件震惊了整个世界，美国政府认为这是公司上下串通、内外勾结的严重结果，所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。内控制自我评价CPA内控审计CFO、CEO签名财务报告（法律责任）上市公司PCAOB（政府监管）增强CPA的独立性强化财务披露义务一、加大公司董事会的财务报告责任：1、加大管理层对内控的负责；2、审计委员会必须有财务专家；3、审计委员会负责选择和监督会计师事务所，并决定会计师事务所的付费标准二、加强了对公司高级管理层的收入监管加大违法的处罚（最高可以25年）5年轮换向公司审计委员会报告NO.1**企业为什么需要内部控制？—合理保证财务报告及相关信息真实完整我国证监会：1.《首次公开发行股票并上市》（2006年修订）“发行人的内部控制在所有重大方面是有效的,并由注册会计师出具了无保留结论的内部控制鉴证报告”,这是我国首次对上市公司内部控制提出具体的要求。2.《创业板上市管理办法》(征求意见稿）3.信息披露内容与格式要求（1）《公开发行证券公司信息披露编报规则第1号－商业银行招股说明书内容与格式特别规定》（2000年）（2）《公开发行证券的公司信息披露内容与格式准则第9号――首次公开发行股票并上市申请文件》（2006年修订）（3）《公开发行证券的公司信息披露内容与格式准则第10号――上市公司公开发行证券申请文件》（4）《公开发行证券的公司信息披露内容与格式准则第2号－年度报告的内容与格式》（2005年修订）（5）《公开发行证券的公司信息披露内容与格式准则第2号－年度报告的内容与格式》（2007年修订）**企业为什么需要内部控制？—合理保证财务报告及相关信息真实完整财政部1.财政部于2001年先后发布了《内部会计控制规范——基本规范》和多项具体控制规范。2.2005年6月，财政部、国资委和证监会联合上报了《关于借鉴〈萨班斯法案〉完善我国上市公司内部控制制度的报告》，决定研究制定一套完整公认的企业内部控制指引。并由财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了“企业内部控制标准委员会”。3.2006年7月至9月,企业内部控制标准委员会草拟完成了内部控制基本规范和17项具体控制规范。4.2008年6月28日5部委联合发布《内部控制基本规范》。被业界称为中国版的《萨班斯法案》，上市公司2009年7月1日执行**企业为什么需要内部控制？—合理保证财务报告及相关信息真实完整上交所：上交所于2006年6月5日制定了《上海证券交易所上市公司内部控制指引》。深交所：深交所于2006年9月28日制定了《深圳证券交易所上市公司内部控制指引》。国资委2006年6月6日,国资委发布了《关于印发〈中央企业全面风险管理指引〉的通知》上市公司满足了证券监管机构的要求，只不过是建立内部控制机制的一部分，而不是全部。换句话说，实现透明可靠的财务报告，只是内部控制的第一级基本目标。**企业为什么需要内部控制？—企业经营管理合法合规和企业资产安全济南轻骑：●摩托车制造业的龙头企业；●鼎盛时期曾经拥有香港、内地三家上市公司；●目前留下了不足5亿的总资产，负债却高达60多亿元；●拖欠职工工资和生活费28个月，拖欠社会保险5年多。张家岭本人：●曾经在市场经济大潮中呼风唤雨、力挽狂澜的业界领军人物；●曾被评为全国劳模，荣获五一劳动奖章。●然而，2008年6月，当张家岭却是因贪污受贿、挪用公款，被开除党籍、开除公职。●涉及厅级干部5人，轻骑集团高层管理人员20人，一般人员19人，涉案金额高达10.9亿元。张家岭涉嫌六宗罪●信用证诈骗：骗开信用证２９４笔，给银行造成损失７．９亿多元；●偷逃税：采取伪造账簿、记账凭证等手段，偷逃税１０２４万余元；●贪污罪：集团旗下公司虚开工资，其中３７８万余元占为己有；●挪用公款罪：将新大洲公司的６５０万元供他人私人使用，至今未追回；●受贿：收受单位及个人贿赂共５０．５万余元；●私分国有资产济南轻骑集团案涉案额超10亿**企业为什么需要内部控制？—企业经营管理合法合规和企业资产安全骗开信用证：１９９５年５月至１９９９年６月，张家岭因集团资金短缺、资不抵债，指使下属利用虚构贸易开出信用证，将信用证在境外贴现后供轻骑集团使用的融资手段，先后在１２家银行骗开信用证２９４笔，金额折合人民币４0.８亿多元，给银行造成损失７．９亿多元。偷税费：轻骑集团光速分公司为了少交税，向张家岭汇报并经张同意后，采取伪造账簿、记账凭证、在账簿上不列、少列收入的手段，偷逃税１０２４万余元。收受贿赂：先后四次收受吕某某人民币10万元，并利用自己的职务便利为其在企业经营、职务安排上谋取利益。侵占国有财产：轻骑集团下属置业公司改制为民营企业进行审计评估时，将公司经营收入3893万元隐匿，改制后被张家岭等民营企业的股东非法占有帐实不符，巨额潜亏：截至2005年底，销售总公司库存商品余额为1.5亿余元，但实际已经没有库存了，账实严重不符，造成巨额潜亏。擅自决定担保：安排海南新大洲摩托车有限公司借款650万元给张某某个人经商使用。投资损失：截至2005年底，轻骑集团外贸公司先后在海外70多个国家和地区设立122家公司，投入资金和产品9600多万元。如今，已形成损失8100多万元。内控缺失，效益下滑，问题暴露！**企业为什么需要内部控制？—企业经营管理合法合规和企业资产安全“我知罪认罪悔罪”（几点原因）一、因为生产经营过程中没有风险控制、追踪机制，企业处于高位风险经营。“顺利时能快速成长，但经不起风吹草动，一旦出问题很难把握。”二、缺乏学习，法律知识欠缺。“生产经营中理想化色彩很浓，凭想当然做事。”所以发生了信用证诈骗这样的事。三、对自我的约束和改造不够，个人主义、利欲主义慢慢地滋生起来。张家岭总结自己犯罪的几点教训1、有时为了企业的扩大增长，可以不顾一切，加之权力过于集中，就很难听到相反的意见”，2、“随着企业的增长扩张，个人的权力不断增大，在生产经营中对决策后的风险估计不足，也缺乏对决策风险的追踪和控制，往往愿望是好的，其结果未必好，带有一定程度的理想化色彩”3、“由于权力过于集中，又缺乏自我改造和约束的能力和自觉性，失去了监督”。失去监督，绝对权力导致绝对的腐败张家岭曾经略带得意地说过：兼任董事长调动资金就方便，下属知道我用钱了，也不会问钱是公用还是私用。“上梁不正下梁歪”张家岭的所作所为潜移默化地影响了班子成员和中层干部中的个别人。他们心思游离于工作之外，或跑官要官、投机钻营，或结党营私、中饱私囊。**企业为什么需要内部控制？—管理企业的各种风险 在现代市场经济条件下，企业面对的是来自方方面面的压力与风险，决策风险、经营风险，财务风险、法律风险，生产的成本风险、销售的价格风险，以及人流、物流、资金流的运行风险，特别是还面临着人的风险。 如何规避风险，实现企业的可持续发展是国有企业高管人员普遍面临的一大课题。 不断建立健全企业风险防范体系与重大事项科学决策机制，充分发挥教育的感染力、制度的约束力和监督的威慑力，不断提高企业决策与生产经营水平，不断提升企业的核心竞争力，打造真正的百年强企。 我们应该积极的看待内部控制,它使董事们自信地运营公司,达到他们运营和赢利的目标,同时防止资源的流失.内部控制在协助管理层防止资源流失,保证信息的可靠性和系统整体恰当运转方面是必不可少的。一个国家乃至一个民族，其衰亡是从内部开始的，外部力量不过是其衰亡前的最后一击。——英国历史学家诺德.汤因比（1889－1975）**企业为什么需要内部控制？—揭露舞弊强有力的手段内部控制内部审计员工举报偶然发现匿名提供线索客户举报管制机构举报/法律调查供应商举报外部审计揭露舞弊欺诈行为的手段2003年1998年1994年77%65%63%54%41%34%19%16%12%51%43%58%37%35%41%16%11%4%52%47%51%28%26%34%8%15%5%KPMG的调查（1994-2004）**企业为什么需要内部控制？有什么大不了？内控来解决：风险管理！需要更有力的内部控制Political(政治)Legal(法律)Competition(竞争)Economic(经济)Technology(科技)Beech-NutFoods质量控制的合规性ArcherDanielsMidland控制价格的指控ForeignExchange(外汇风险)Reputation/media(声誉/媒体)Accounting(会计信息)Supplier(供应商)Financialcontrols(财务控制)People(人)Product/Production(产品/生产)Security/fraudactivity(安全/欺诈行为)不幸的风险转轮Managementinformation(管理信息)攘外必先安内！**企业为什么需要内部控制？Source:ChristopherCoxspeechattheSECroundtableinMay2006在404条款颁布后一年里，各家公司确认并纠正的内部控制的缺陷成百上千；对225家上市公司的分析表明，在第一年，其关键控制措施予以纠正的愈40%，新实施的超过25%。404条款实施2-3年后的效应 年份 报告公司数 报告的重大缺陷数 报告有缺陷的公司 2005 3900 1500 16% 2006 3000 400 7%** 企业为什么需要内部控制 企业内部控制五大目标 企业内部控制五大要素目录 企业各管理层内控职责、内控设计原则与实施机制 企业内部控制基本规范的影响与内控局限 内部控制咨询、内部控制审计与内部控制审核** 企业内部控制定义内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。企业内部控制五大目标(NO.3)** 企业内部控制目标 1、战略目标 2、营运目标 3、报告目标 4、资产目标 5、合规目标企业内部控制五大目标** 促进实现发展战略 战略目标要求企业将近期利益与长远利益结合起来，在企业经营管理中努力作出符合战略要求、有利于提升可持续发展能力和创造长久价值的选择。 案例：山东某果脯生产商对包装设备的选择企业内部控制五大目标（战略目标）** 促进提高经营效率与效果 它要求企业结合自身所处的特定的经营、行业和经济环境，通过健全有效的内部控制，不断提高运营活动的盈利能力和管理效率。 案例：江苏某公司参股国际大公司企业内部控制五大目标（营运目标）** 促进提高信息报告质量； 可靠的信息报告为企业管理提供适合其既定目的的准确而完整的信息，支持管理层的决策和对营运活动及业绩的监控； 同时，保证对外披露的信息报告的真实、完整，有利于提升企业的诚信度和公信力，维护企业良好的声誉和形象； 报告目标要求企业通过内部控制，保证信息报告的真实、完整、可靠。 案例：2005年度十大财务舞弊公司排行榜企业内部控制五大目标（报告目标）**企业内部控制五大目标（报告目标）2005年度十大财务舞弊公司排行榜 序号 公司名称 入选理由 相关处罚 1 科龙电器000921 影响深远，德勤因长期为科龙提供服务而受到各方面的广泛关注 顾雏军被刑事拘留 2 银河科技000806 资本家玩造系工程如演戏，资本游戏何时休？ 财务人员被吊销职业资格，审计师被暂停执业，事务所受警告 3 ST天一000908 审计署04年会计师事务所检查头号案件，造假团队庞大名目多金额大 董事长、总经理分别被警告和罚款处分 4 秦丰农业600248 造假金额超过亿元，追溯后双连亏 被中国证监会立案调查 5 ST金荔600762 造假金额大，影响恶劣 董事、副总经理欧阳述安涉嫌挪用资金被逮捕 6 山东巨力000880 首家被追究刑事责任的欺诈发生股票上市公司 原董事长、财务处长被刑事诉讼 7 ST圣方000602 大股东视上市公司为唐僧肉，大股东大捞，小股东小捞，管理层白捞 审计师被追究刑事责任，前董事长已被刑事拘留 8 大治特钢000708 重大会计差错数额巨大，性质十分恶劣 无 9 天津磁卡600800 屡查屡犯，九死九生，又再次造假被立案调查 无 10 天香集团600225 04年虚假盈利，05年惊爆股市首家涉嫌重大财务欺诈资金运作路线图 无** 促进维护资产安全完整； 资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题，是企业可持续发展的物质基础。良好的内部控制，应当为资产安全完整提供扎实的制度保障； 案例：国企会计贪念下藏3600万爆出全国小金库第一案企业内部控制五大目标（资产目标）** 促进国家法律法规有效遵循； 守法和诚信是企业健康发展的基石。逾越法律发展终将付出沉重代价。合规性目标要求企业必须将发展置于国家法律法规允许的基本框架之下，在守法的基础上实现自身的发展。 案例：天津某生产无线信号屏蔽装置公司企业内部控制五大目标（合规目标）** 企业为什么需要内部控制 企业内部控制五大目标 企业内部控制五大要素目录 企业各管理层内控职责、内控设计原则与实施机制 企业内部控制基本规范的影响与内控局限 内部控制咨询、内部控制审计与内部控制审核** 内部环境是影响、制约企业内部控制建立与执行和各种内部因素的总称，是实施内部控制的基础； 公司治理(NO.11-13) 正直与道德价值观(NO.18) 机构设置(NO.14) 权责分配(NO.11) 管理者的经营风格和经营理念(NO.18) 人力资源政策(NO.16-17)企业内部控制五大要素(之一:控制环境CH2)** 公司治理—董事会主席与CEO之作用分离(NO.11) 2003年秋及2004年冬，McKinsey对150位美国的公司董事及40个机构投资者的调查显示：分离董事会主席与CEO功能为头等大事，以强化：（1）董事会的独立性；（2）对管理层的监督 董事会主席与CEO作用的分离，在欧洲、加拿大、澳大利亚是普遍现象：（1）美国公司里的董事长兼CEO的超过70%；（2）英国不到10%企业内部控制五大要素(之一:控制环境-公司治理) 世界通信免除破产后不得不实施有史以来最严格的公司治理政策 MCI同意接受法庭为其指定的监管人布雷顿（前SEC主席）提出的全部78项建议，其中包括：1、CEO不得兼任董事长；2、董事会每年更换一人** 公司治理—董事会的独立性与委员会制度(NO.12)企业内部控制五大要素(之一:控制环境-公司治理)GE公司-董事会的主要责任1、监督管理层服务于股东及其他利益相关者的利益2、通过公司治理途径确保董事会的独立并完全掌握GE面临的关键风险和战略戴尔公司 戴尔的董事会除了戴尔外全部为独立董事； 公司避免与董事们发生包括贷款在内的任何财务关系；董事们不得染指公司的交易行为。独立董事有用吗？巴菲特认为，独立董事根本没必要。巴菲特当过20多家上市公司的独立董事，并与约250位董事有往来，其中大多是独董。这些人是正人君子，但鲜有称职之辈，因为他们不符合下列标准：（1）商业头脑（2)对公司所在行业有认识（3）维护股东利益之心** 公司治理—董事会与审计委员会(NO.13)企业内部控制五大要素(之一:控制环境-公司治理) 董事会负责内部控制的建立健全和有效实施 对本公司内部控制的有效性进行自我评价，披露年度自我评价报告。企业应当在董事会下设立审计委员会，审计委员会负责人应当具备（1）相应的独立性（2）良好的职业操守（3）专业胜任能力NO.13 审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。** 正直与与道德价值观—企业文化的核心(NO.18)企业内部控制五大要素(之一:控制环境-正直与与道德价值观) 一个渗透所有层次之良好公司道德氛围，对公司的健康运作，对公共大众，都是根本。1、有益于公司控制制度的效用2、有助于影响人们的行为方式而无须借助精心设计的制度3、一个强调受托报告责任的道德氛围，可防止公司的财务报告欺诈“此时此刻，美国最大的经济需求是更高的道德标准：由严格的法律加强的、相关企业领导人支持的道德标准。”——布什2002年七月于华尔街“目前经济制度惟一不能解决的就是道德风险问题。”——克鲁格曼※MCI全部50000多员工接受由纽约大学斯登商学院专门为其设计的职业道德培训※90名高层管理者参加了弗吉利亚大学达顿商学院为期2天的职业道德培训※其弗州总部办公室高悬公司行为准则：要敢于说真话；不做错事。** 正直与与道德价值观—企业文化的核心(NO.18)企业内部控制五大要素(之一:控制环境-正直与与道德价值观) 公司道德氛围的强化。1、书面公司行为规程2、全体员工的签署※公司行为规程重申什么是每一个摩托罗拉员工必须遵守的准则：做正确的事；每一天；无任何借口。戴尔公司 员工每年都要签署公司行为规程确认书； 违者开除或者移交刑事处理。 定义明确的道德标准，可接受行为的指南，可推进组织所有层次之道德决策，有助于解决道德两难** 正直与与道德价值观—持续一贯的企业文化(NO.18)企业内部控制五大要素(之一:控制环境-正直与与道德价值观) Timewillchange. Ourproductswillchange. Ourpeoplewillchange. Ourcustomerswillchange. Whatwillnotchangeisourcommitmenttoourkeybeliefs. 始创于1837年的宝洁成功守业160多年 宝洁为什么如此成功？前董事长艾德●哈尼斯的解释是：“虽然我们最大的资产是我们的员工，但指引方向的却是原则及理念的一致性。”这个原则及理念是著名的宝洁之道，其中第一条：强调内部高度统一的价值观我们公司全球运营愈120年，公司拥有一以贯之的道德文化，这就是公司之为百年老店的原因之一。——某CFO** 正直与与道德价值观—高层基调(NO.18-3)企业内部控制五大要素(之一:控制环境-正直与与道德价值观) 公司行为规程的成功，取决于管理层和董事会的全力支持 确认规程效用最具影响的要素，是高层管理人员和董事们的态度与行为从波音公司CEO辞职看企业道德规程 03－12－1波音CFO麦克.希尔森为争取国防部220亿美元订单从某官员处获得竞争对手空中客车的报价，结果双双入狱；CEO菲尔.康迪也因此丑闻而辞职，由哈里接任； 05－2－7日哈里（只干了15个月）被除名，董事会认为其行为违反了公司的行为准则，影响了其判断能力，对公司声誉和董事会的领导能力造成了伤害。案例：南通某企业接到2000万美元的订单，但美国客户考察企业通知SA8000不合格限60日内改正，否则订单泡汤；不合格包括： 职工宿舍人均面积不达标； 车间地面电线裸露；…………………….老外的观点：细节观察出企业对员工的道德感** 机构设置—组织能力的形式(NO.14)企业内部控制五大要素(之一:控制环境-机构设置) 通过完整的架构设计，形成实现组织目标的能力和路径 是规定组织内部之功能、责任、权限、报告路径的线型结构 组织结构设计必须覆盖组织活动的全部形式：1、规划、预算与决算—计划决策做什么的组织安排2、执行—落实决策与计划的组织安排3、控制—保证执行正确安全的组织安排4、监督—保证执行与控制的组织安排组织结构的设计因素：1、确认授权和责任的关键领域2、确认报告路径 机构按组织功能配置 决策与执行分离 部门与个人分离 按职能重要性配置管理层 机构无级别** 权责分配(NO.11,NO.14)企业内部控制五大要素(之一:控制环境-权责分配) 组织机构设计的关键不在形式，而在权力与责任的配置方法1、授权配置2、对分散营运活动的监督3、责任的分配与监督4、政策与流程的建立和监督 书面政策与流程手册1、规范的工作描述2、具体的责任细节3、责任的分配与监督 道德准则 可接受行为的规程 利益冲突禁止说明 授权与责任分配1、覆盖组织全部活动2、如何授权和分配责任3、向谁授权并分配责任 通过授权与责任分配，使每个人1、知道其行为如何与他人工作一起共同作用二组织目标的实现2、必须报告其责任如何履行判断标准1、凡事有人做2、行为者充分授权3、人人承担责任** 权责分配(NO.31-3)企业内部控制五大要素(之一:控制环境-权责分配)会计权责分配之乱、怪乱(职权重叠)：总会计师财务总监CFO财务副总（一个都不能少）怪：CEO兼财务负责人卧榻之旁，岂容他人酣睡？！总裁直管，无高管财务负责人！30%的企事业单位未设置总会计师被调查的1450家单位中（多数为事业单位）未设置的原因？上级主管部门没任命：31%一把手直接掌管：29%领导职数限制：18%领导不重视：16%没有合格人选：8%其他原因：5%—2003（经济日报）** 管理者的经营风格和经营理念—企业生存发展的哲学(NO.18)企业内部控制五大要素(之一:控制环境-管理者的经营风格和经营理念)百年企业是如何炼成的？伊梅特尔： 通用优秀的管理系统不是一个人创立的，个人也无法使其运转；1、不管谁是通用电气的CEO，这个公司仍然享有盛名；2、通用的价值在于管理系统和人才的深度和广度；3、明星CEO的模式应该抛弃；4、一个公司的成功是整体的成功； 企业家应当把时间花在建立良好的管理团队系统上 我对中国CEO们的建议是，应该花30-40%以上的时间来培养人才 我国每年新生民营企业都在15万家以上，但每年死亡的企业数却有上10万家之巨； 60%的民企会在5年内破产，85%会在10年内消失，总体平均寿命只有短短的不足3年； 日本民间企业的平均寿命在30年以上，美国企业超过40年，全球500强或相当国际公司平均寿命40-50岁。——[新闻晨报]2002-9-24B1从温州模式到“4万家温州企业沉没” 据2008年7月的温州企业专题调查1、30万家制造企业20%停产或半停产2、>4万家企业倒闭 无抗风险能力之企业根基问题：1、无产品创新能力 2、管理混乱无序3、缺乏能真正形成商誉的品牌4、无企业文化** 人力资源政策—职位不是奖赏(NO.17)企业内部控制五大要素(之一:控制环境-人力资源政策)1、德高者得上位，功高者得奖酬2、企业用人的问题：看工作成果选择领导者，把管理职位当作绩效报酬，忽略最重要的品格3、一个只凭亮丽业绩数字登上领导职位者，很难不被高位带来的名利冲昏头，这是我认为应以“人格”作为选择领导人之依据的主因——稻盛和夫 中国银行双鸭山分行一位副行长说：胡伟东、王林的工作表现一直“不错”，甚至很多年被评为先进但就是这个表面的“先进人物”实际上去是一个贪婪的犯罪分子。 分析这两年发生的金融大案，证明了该观点的现实性和正确：那些落马的官员大多是以前的业务能手或营销能手，甚至于精英人才；而那些出事的分支行则多为前几年发展较快、业绩突出的分支机构。如高山案中的中行松街支行和支行行长高山；中行开平支行案中的开平支行和余振东、许凡超以及山西太原7.28金融诈骗案中的杜建国。** 人力资源政策—用人规则(NO.18)企业内部控制五大要素(之一:控制环境-人力资源政策)现代组织用人的逻辑常识：1、以相信人为起点（用人不疑之公平）2、有限信任，系统控制（性本恶前提，制度制约之公平）（案例：河南新天地科技集团有限公司）3、行为规则预设（行为方式判断标准的公开）4、行为结果计量标准预设（行为结果判断标准的公开）5、以事实和结果证明人与行为是否可信（事实基础）6、在公平、公开基础上的个人选择责任心是优秀人才的基本素质：1、正确选择的人才选无须驾驭，当你感到有必要严格驾驭某人时，那就是用人不当；2、正确的人选得到的不是一份工作或职位，而是承担了责任；3、正确的人选言出必行，忠于承诺；困难时期企业最大的财富，就是员工的责任。**CEO究竟管什么？●人的选择●人的评价●文化的传递●大宗并购我最大的成就就是发现人才，发现一大批人才。他们比绝大多数的CEO还要优秀。——韦尔奇授权而不被架空的法宝： 选人 一旦发现隐瞒欺骗，立即开除 人力资源政策—用人是领导基础企业内部控制五大要素(之一:控制环境-人力资源政策)最令我骄傲的应该是：把正确的人挑选出来放到正确的位置上去。——邓凯达伊士曼科达总裁兼CEO伊梅尔特（通用CEO）**人与制度关系的哲学： 你不能仅靠规则，最重要的是要拥有诚实的、有能力的商业领袖； 但要把他们置于一个系统，有足够的检查和平衡，就可以得到最佳结果 人力资源政策—用人与制度的辩证关系企业内部控制五大要素(之一:控制环境-人力资源政策)人与制度之间的关系： 员工素质很好，有信用，有正义感，即使控制措施缺失，企业也能行为规范 员工油滑、无原则、无正义感，即使有制度，企业也可能蒙受损失 如何招人，如何评价，如何训练和育化，是内部控制执行的关键**企业内部控制五大要素(之一:控制环境-我国企业现状)缺乏绩效考核对内部控制与风险管理的引导机制法人治理结构不健全，内部控制的外部约束较弱公司治理结构中责任不到位高管层缺乏自主控制意识没有形成重视风险的控制文化**概念(NO.20) 组织对实现其目标有关风险群的辩认和分析，为如何控制风险建立基础。企业内部控制五大要素(之二:风险评估CH3-概念与特征)特征 所有组织在所有层次都面临风险，这与组织规模、性质、结构、行业无关 风险影响公司的1、生存能力2、行业竞争能力3、维护财务安全和良好公共形象的能力4、维护产品、服务质量，人员素质的能力 风险评估渗透内部控制的所有要素、组织的所有层次 不存在能使风险为零的有效途径●微软离破产只有18个月，也永远只有18个月！（比尔·盖次）●每一次我听到别人说我成功时，都像听到一次悼词！（享利·福特）**内部风险(NO.22) 顾客 供应商 现存竞争者 潜在竞争者 替代品企业内部控制五大要素(之二:风险评估-要素分类)波特五力分析模型**外部风险（NO.23) 政治环境 经济人口 社会文化 技术自然企业内部控制五大要素(之二:风险评估-要素分类)pest分析模型**各行业的前10种最主要的风险因素（德勤统计数据）企业内部控制五大要素(之二:风险评估-要素分类) 次序 银行/保险业/证券 制造业 其他 1 内部控制的质量 内部控制的质量 内部控制的质量 2 管理人员的能力 管理人员的能力 管理人员的能力 3 管理人员的正直程度 管理人员的正直程度 管理人员的正直程度 4 会计系统的近期变动 单位的规模 会计系统的近期变动 5 单位的规模 经济环境恶化 业务的复杂性 6 资产的流动性 业务的复杂性 资产的流动性 7 重要人员的变动 重要人员的变动 单位的规模 8 业务的复杂性 会计系统的近期变动 经济环境恶化 9 快速的增长 快速的增长 重要人员的变动 10 政府法规 管理人员对完成目标的压力 快速的增长**风险判断原则(NO.21;NO.25) 风险偏好(整体风险承受能力) 风险容忍度(业务层面的可接受水平)企业内部控制五大要素(之二:风险评估-风险判定原则)风险重要度确定流程 基于分析的人为判断（董事会或管理层基于经验） 对每一个判断标准给出定量权重 权重数应反映风险对组织活动和目标的相对重要影响 计算每一个风险的加权数 排列风险优先控制顺序**注：控制措施中，a为制定目标、指标及管理方案；b为制定管理程序；c为培训与教育；d为应急预案与响应；　　e为加强现场监督检查；f为保持现有措施。案例:职业健康安全管理——各类OHS重大危险因素及其危险控制计划清单企业内部控制五大要素(之二:风险评估-风险分析方法NO.24) 作业活动 危险因素 可能导致的事故 危险级别 控制措施 备注 （a～f） 运行人员进行定期切换试验 1、指挥失误 人身伤亡及设备损坏 3 C、f 　 　 2、操作失误 人身伤亡及设备损坏 3 C、f 　 　 3、监护失误 人身伤亡及设备损坏 3 C、f 　**注：判别依据中a为不符合法律法规及其他要求；b为曾经发生过事故仍未采取有效控制措施；c为相关方有合理抱怨或要求；d为直接观察到可能导致事故的危险，且无适当控制措施；e为LEC法半定量评价。案例:职业健康安全危险辨识与危险评价结果一览表企业内部控制五大要素(之二:风险评估-风险分析方法NO.24) 序号 作业活动 危险因素 可能导致的事故 判别依据 作业条件危险性评价 危险级别 现有控制措施 备注 (a—e) L E C D 1 定期切换试验 　 　 e 　 　 　 　 　 　 　 1.1 高压系统与高压阀门试验 (1.1)密封不良.应力集中(破裂漏汽) 烫伤 e 1 1 3 3 1 加强维护 　 　 　 (1.2)防护装置和设施缺陷支撑不当(掉落) 轧伤 e 1 0.5 3 1.5 1 加强维护 　 　 　 (1.4)机械噪声流体噪声(环境和流体流动) 听力 e 3 3 1 9 1 加耳塞 　 　 　 (1.7)流体飞溅(流体流出) 烫伤 e 1 1 3 3 1 做好安全措施 　 　 　 (1.9)能造成灼伤的高温物体(周围高温物体高温流体气体) 烫伤 e 1 1 3 3 1 做好安全措施 　**风险降低 质量控制，管理与标准 财务控制 标准操作程序 检查新员工条件 研发与技术发展 应急计划 结构培训与其他程序 监督企业内部控制五大要素(之二:风险评估-风险应对策略NO.25-27)风险承受 成本效益原则，如针对风险制定控制与其他回应 决定在一个面临绑架高风险的国家运营风险规避 决定退出某一地区 当检查发现客户无信用时，决定不再与该客户进行产易 决定不出售明知是一种不道德的产品风险分担 采取保险政策 定期维护外包给设备管理公司 与供应商签订的合同不能满足约定条件时，可以获得财务补偿与其他公司建立合资公司，与其共同开发商业机会**概念 确保管理指令付诸实施的政策和程序 属于组织的基础行为企业内部控制五大要素(之三:控制活动CH4)特征 内部控制的通用原则应用于整个业务的组织 会计系统帮助管理层控制营运过程 会计领域之内部控制措施确保：1、所有交易均经授权2、所有交易均已3、未经授权不得接触资产4、会计记录仅描述真实资产的运动**职务分离的目的：确保没有一个人被赋予过多的责任：无人能利用其正当工作地位进行犯罪和非法隐瞒。企业内部控制五大要素(之三:控制活动-不相容职务分离NO.29)授权资产保管执行资产处置维护记录的受托报告责任交易授权维护记录的受托报告责任资产保管**案例:大和银行1995年Daiwa银行纽约office1、11年间，30000起未经授权交易导致$1.1billion债券交易损失（平均损失$400,000/交易日）2、Daiwa允许交易员滨中泰南集授权销售、保管债券、记录交易职责于一身3、DaiwaBank被罚$340million；关闭在美业务4、1996年，交易员被判处4年监禁，罚款$2.5million5、2000年，日本大阪法院命令大和银行11名高管为银行的损失支付赔偿$775million企业内部控制五大要素(之三:控制活动-不相容职务分离)案例:巴林银行（BaringBros.andCo.,） 1995年2月23日，232年历史的巴林银行因交易损失$1billion宣告破产，掘墓人：NickLesson 新加坡国际货币交易3月5日发布一份报告，将该损失归结为内部控制缺失1、前台交易与后台交易必须分开,此为银行基本控制2、1994年夏,银行内部审计对里森身兼此两职提出警告并建议分离3、管理层惟恐利润与奖金减少而继续纵容里森独挑大梁**案例:国家自然科学基金委出纳贪污案 国家自然科学基金委会计从1995年到2003年的八年期间里，贪污、挪用公款人民币两亿余元。 担负着资金收付的出纳职能，同时所有的银行单据和银行对账单也都由他一手经办，使得他得以作案长达八年都没有引起过怀疑。一名大学生上班伊始便到定点银行拿对账单，使得这桩涉案金额超过2亿元的大案也因此浮出水面。企业内部控制五大要素(之三:控制活动-不相容职务分离)**授权控制目的 确保每一项交易均经管理层在其个人权限范围内批准企业内部控制五大要素(之三:控制活动-授权控制NO.30)授权分类 一般授权:授权范围严格定义;执行条件严格定义-预算、权限 特殊授权：按业务性质和价值决定批准流程和层级授权结构 范围 权限：封闭权限（NO.30企业各级管理人员应当在授权范围内行使职权和承担责任） 程序：批准的起点 责任**一般控制措施 IT组织与操作控制措施1、IT部门内部职责分离2、IT与用户部门职责分离 系统开发与文化控制措施1、新系统与开发及程序更改的审核、测试和批准2、文件化控制 硬件与系统软件控制措施 接触控制措施1、未经授权不得使用IT设备、数据文件和计算机程序2、接触控制涵盖物理硬件、软件及流程的安全 数据与流程控制措施企业内部控制五大要素(之三:控制活动-信息处理控制NO.40)**计算机应用控制措施企业内部控制五大要素(之三:控制活动-信息处理控制)IT控制一般控制操作控制接触控制 用户-IDS/Passwords Data安全 网络安全 保密管理措施 接触授权输出控制 对比控制 发送控制 接触处理控制 审计线索 界面控制 汇集控制输入控制 数据录入控制 系统编辑 职责分离 交易授权**物理控制措施（财产保护控制) 直接物理接触控制 通过文件编制或处理的间接接触企业内部控制五大要素(之三:控制活动-物理控制NO.32)**独立稽核 目的：稽核保证控制流程的执行并发现过程的问题 与业务无直接关系之第三方（含管理层）的独立审核，包括：1、对流程的突击检查；2、会计记录与物理资产的比较3、对已执行任务的审核；4、财务数据与非财务运营数据的比较企业内部控制五大要素(之三:控制活动-独立稽核NO.15;NO.34)案例：2003年河南工商银行票据诈骗案1、该案之案犯得手的关键在票据审核环节出了问题2、按照规定，办理票据贴现至少要审核以下内容：转出行营业执照、经营许可证；核实办理该业务的人员身份；检查授权书；转出行票据原件正规增值税发票和供销合同的原件及复印件。3、令人费解的是：向来以票据业务著称的工商银行华信支行的相关人员居然没有发现问题。4、原因在于上述内控制度早已被他们束之高阁，根本就没有落实。在现实中，制定制度是一回事，执行又是另外一回不，有制度≠制度得以执行。**预算控制（NO.33）企业实施全面预算，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。企业内部控制五大要素(之三:控制活动-其他)绩效考评控制（NO.35）要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。重大风险预警机制和突发事件应急处理机制(NO.37)企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。**说一套，做一套，制度放空炮：执行力较弱中国企业虽然有相关的制度，但执行力较弱。很多出问题的案例往往都不是因为制度缺乏规定，而恰恰是制度有明文规定却未能遵照执行。中航油（新加坡）事件：有完整的风险管理（安永会计师事务所制定）解决途径： 将内部控制制度“固化”于企业信息系统，使员工必须遵循和执行事先设定好的业务流程和操作标准：（海尔的ERP系统。） 文化建设，促使员工自觉遵循 对内部控制执行情况加以检查监督，并制定相应的奖惩措施。企业内部控制五大要素(之三:控制活动-我国企业的问题1)**经常将效率作为弱化或逾越内部控制的理由：涉及到原有利益格局的打破和调整 将各项职能都较给某一个部门或某一个人去执行，没有必要的授权批准和审核，在效率上可能会很高，但由此产生的风险也急剧上升。因此，为了防止一些重大风险给企业带来灾难性损失，牺牲一定程度的效率是控制风险所必须付出的成本。 现实中经常碰到的情形是，在企业推行新的内部控制制度，往往会涉及到原有利益格局的打破和调整，这时一些管理人员便表明上以影响效率为由来反对内部控制新举措推行，实际是由于个人或部门利益受到影响。 作为企业的领导者，不能过分强调成本因素而忽视内部控制制度的建设，应当合理权衡内部控制的成本和效率的关系。企业内部控制五大要素(之三:控制活动-我国企业的问题2)**缺乏关键岗位强制轮换或带薪休假制度：“螺丝钉”在一个地方时间拧长了会容易生锈(NO.16-3)案例：仪征化纤“严格控制”下的硕鼠公行 1999—2005年，公司营销部财务人员挪用资金5000多万元 仪征化纤有严格的内部管理制度？1、一年审计4次！2、超过2000元的招待费由公司领导签字3、二级单位业务人员出差，飞机票由公司主要公司负责人批准 这是偶然事件？——6年5000万元/10年未换岗美国货币管理局要求全美的银行雇员每年休假一周，在雇员休假期间，安排其他接替人员做他的工作。对我国企业来说，对一些关键岗位，例如财务、采购中的部分岗位，通过建立强制轮换和带薪休假制度，既可以提升员工的工作能力，同时是防范和发现舞弊的一项有效措施。企业内部控制五大要素(之三:控制活动-我国企业的问题3)**过于依赖业务人员，企业资源掌握在个人手中：企业对业务开展失去控制。 现实中经常可以看到，不少企业的业务员一旦跳槽或离职，原有的客户和业务关系也被随之带走，形成企业对业务人员过于依赖的局面。 更有甚者，有的企业业务员明地里使用单位各项资源，暗地里为自己或亲友开拓业务、谋取私利，严重损害了企业利益。 2003年初，花旗银行台湾区总经理陈圣德率领二十多位主管集体跳槽，花旗银行在短短两三个月内就基本恢复了业务正常开展。可行的方法：采取建立统一的客户档案和客户关系管理系统、同一笔业务有两人以上共同参与、适当进行工作轮换和加强财务对业务过程的控制等措施，将业务员手中的客户资源转化为企业资源，让客户认的是企业本身而不是认个人。企业内部控制五大要素(之三:控制活动-我国企业的问题3)**领导“一只笔”审批：缺乏完善内控制度和流程保障。 事无巨细都由领导来审批，疲于应付，审批“一只笔”变成签字“一只笔”； 缺乏相关信息，控制流于形式，“一只笔”就会失去控制作用，审批就会演变成一种过场；加大了责任，也不利于对领导的制约和监督，可能导致腐败。 合理的内部控制应当按照重要性程度大小，适当分层授权，逐级审批。企业内部控制五大要素(之三:控制活动-我国企业的问题3)**内部控制制度“救火式”的较多 制度体系缺乏系统性和完整性，甚至政出多门，相互打架。 很多企业的内部控制制度都是在发展中逐步建立起来，经常是发现管理中出现了某种问题，于是相应地出台一个制度来规范。 只能防范已发生过的风险，而对未发生的风险则考虑不足。 这样的制度体系无论在内容上还是形式上，都缺乏系统性和完整性 企业应有一套规范的制度制定程序和形式规范，包括制度的编号、格式、分类、内容、审批程序、执行及其他应注意事项进行统一的规范化管理，并以书面形式予以约束。企业内部控制五大要素(之三:控制活动-我国企业的问题3)**预防控制措施 防止问题发生的控制措施预设计 输入及操作的监督 尽可能预测潜在的问题并调整 若预测表明存在问题，立即纠正控制过程的三个阶段 预防（Prevention） 察觉(Detection) 纠正(Correction)企业内部控制五大要素(之三:控制活动-过程分布NO.36)预防控制措施举例 雇用合格的员工 职责分离 物资资产的接触控制 使用设计完善的文件（预防错误） 设置切合实际的交易授权流程 现金流的监督、预测系统 结合库存结构预测的存货控制系统 销售信用授权系统**察觉控制措施 能在第一时间发现问题发生 过程的衡量及即时调整 即时反映计划实施中的偏离控制过程的三个阶段 预防（Prevention） 察觉(Detection) 纠正(Correction)企业内部控制五大要素(之三:控制活动-过程分布NO.36)察觉控制措施举例 计算的双重审核 执行情况及变异的定期报告 基于BOM的成本制度及差异 非正常库存项目的报告 应收款项的核对调节 银行往来调节 检查预编号文本单据号码的连续 定期信用审核 内部审计**纠正控制措施 设置流程以纠正察觉控制发现的问题 确认问题的原因 改正导致问题产生的错误 修正业务处理系统，以降低重复发生率控制过程的三个阶段 预防（Prevention） 察觉(Detection) 纠正(Correction)企业内部控制五大要素(之三:控制活动-过程分布NO.36)纠正控制措施举例 报告披露存货异常大量短缺 调查表明，供应商发货迟缓解决方案： 提早定单发放 更换供应商**有效信息系统的基本标准 能以报告形式向管理层传递组织目标实施绩效的信息（内部和外部） 按授权路径向适当人员及时提供详尽得当的信息，以使其有效履行责任 信息系统的开发和变更，必须基于相关的战略规划，以同时满足组织目标、操作过程目标和应用目标的需求 管理层为信息系统的开发和变更投入必要的人力和财力 所有基本数据中心均建立了灾难拯救计划企业内部控制五大要素(之四:信息与沟通-信息系统NO.7;NO.41)**沟通系统的基本标准 管理层能以有效的渠道和方式向员工传递他们的工作职责和控制责任 建立渠道以使人们能举报可疑的不当行为 对来自客户、供应商、政府机构及其他外部信息，管理层能基于沟通系统采取及时、合理的跟踪措施 组织能通过沟通系统进行监督并满足外部立法、管制机构的强制要求 能使客户、供应商等外部人士知道公司已建立的道德规程和政策企业内部控制五大要素(之四:信息与沟通-沟通系统NO.40)**与财务报告过程相关的会计系统 有效会计系统必须能提供完整的审计线索或交易线索 设计完善的会计制度至少应包括如下因素：1、严格分工授权2、规范、适用的会计政策和会计处理程序3、严格的批准制度和流程4、独立稽核5、账户体系6、凭证账簿制度7、制度化的会计处理流程企业内部控制五大要素(之四:信息与沟通-会计系统NO.31)**举报渠道 企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。 企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。企业内部控制五大要素(之四:信息与沟通-举报渠道NO.42-43)**概念 评估内部控制运行质量的过程1、内部控制设计和实施的及时评估2、必要的纠正手段有效监督行为的路径(NO.44-45) 持续的监督方案 独立评估 向审计委员会报告控制缺陷企业内部控制五大要素(之五:监督CH6-概念与路径)**持续监督可采取多种形式(NO.44) 内部审计功能1、内部控制的规范综合测试2、内部控制制度不同侧面的轮回测试 职能部门的即时自我监督1、基于外部投诉2、基于内部信息或报告企业内部控制五大要素(之五:监督-持续监督)持续监督的信息来源1、控制活动的例外报告2、政府机构报告3、员工反馈4、客户投诉5、内部审计报告**实施自我评估的七个步骤 评估内部控制强度与缺陷 测试控制强度 将测试结果记录在案 提出改进问题的行动方案 撰写报告 披露内部控制的缺陷 将报告交给分管领导和内部审计机构企业内部控制五大要素(之五:监督-自我评估NO.46)公众公司管理层必须对内部控制措施进行定期评估，以支持其对内部控制制度有效性的认定。** 巩固成果 随时调整问题 坚持才有效益企业内部控制五大要素(之五:监督-独立定期评估)公众公司管理层必须对内部控制措施进行定期评估，以支持其对内部控制制度有效性的认定。** 企业为什么需要内部控制 企业内部控制五大目标 企业内部控制五大要素目录 企业各管理层内控职责、内控设计原则与实施机制 企业内部控制基本规范的影响与内控局限 内部控制咨询、内部控制审计与内部控制审核**1、科学选择恰当的管理层并对其进行监督；2、清晰了解管理层实施有效的风险管理的内部控制的范围；3、知道并同意企业的最大风险承受能力；4、及时知悉最重大的风险以及管理层是否恰当地予以应对。企业各管理层内控职责、内控设计原则与实施机制董事会管理层风险管理人员1、负责组织领导企业内部控制的日常运行；2、定期与主要职能部门的高级管理人员进行会谈，以便对他们的职责，包括他们如何管理风险进行检查。1、建立风险管理政策；2、确定各业务单元对于风险管理的权利和义务；3、提高整个企业的风险管理能力；4、指导风险管理与其他经营计划和管理活动的整合；5、建立一套通用的风险管理语言；6、帮助管理人员制订报告规程；7、向总经理（CEO）报告进展和暴露的问题**1、财务负责人的活动应贯穿企业经营活动管理全过程，而不仅是财务活动；2、其在制宁目标，确定战略、分析风险和作出管理决策时应扮演一个关键的角色；3、管理层当赋予财务负责人参与决策的权力，并支持其关注经营管理的更广范畴，局限财务负责人的关注领域和知悉范围，会削弱、制约企业的管理能力。企业各管理层内控职责、内控设计原则与实施机制1、在评价内部控制有效性及提出改进建议方面起着关键作用；2、企业应赋予内部审计部门适当的权力以确保其审计职责的履行；对内部审计部门负责人的任免应当慎重；内部审计部门负责人与董事会或审计委员会应保持畅通；应当赋予内部审计部门追查异常情况的权力和提出处理处罚建议的权力。1、所有员工都在实现内部控制中承担相应职责并发挥积极作用；2、管理层应当重视员工的作用，并为员工反映诉求提供信息通道。财务负责人内部审计人员企业员工**内控设计原则（NO.5）1、全面性原则2、重要性原则3、制衡性原则4、适应性原则5、成本效益原则企业各管理层内控职责、内控设计原则与实施机制1、企业应当建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。2、国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监督检查。内控实施机制(NO.8-10)3、接受企业委托从事内部控制审计的会计师事务所，应当