个人收集整理 勿做商业用途
内部控制
第一节 内部控制地定兑和发展
一、内部控制地定义
内部控制是指为确保实现企业目标而实施地程序和政策.内部控制还应确保识别可能阻碍实现这些目标地风险因素并采取预防措施.内部控制和风险管理是出色地公司治理极为重要地组成部分.出色地公司治理意味着董事会必须对企业地所有风险加以识别和管理,就风险管理而言,内部控制系统涉及企业财务、运营、遵守法律法规及其他方面.资料个人收集整理,勿做商业用途 内部控制系统包括两个因素,分别是控制环境和控制政策与程序.控制环境是指企业内对于内部控制地态度及内部控制意识,代表整个企业对于内部控制地价值观.控制政策及程序是指嵌入企业运营中地具体地内部控制.控制政策及程序地设计目地在于,尽可能确保业务行为是有序且有效地.控制政策及程序必须能够根据企业面临地内外部风险而改变,并且应以企业面临地主要风险为重点,并对这些风险作出反应.资料个人收集整理,勿做商业用途 内部控制地思想和框架总体上就是对企业内资掘进行管理地体系,然而基于不同地角度和层次,对内部控制地定义有着不同地认识和分析. 资料个人收集整理,勿做商业用途 (一 ) COSO委员会对内部控制地定义
成立于 1985年地 COSO (Committee of Sponsoring Organization)委员会为全国舞弊报告委员会提供支持.该组织包括美国会计协会 (Ame出an Ac?counting . Association)和美国注册会计师协会 (Ame由an Institute of Ce时ified Public Accountants).现在,COSO委员会负责制订有关大型和小型企业实施内部控制系统地指南. 资料个人收集整理,勿做商业用途 1992年9月COSO委员会提出了《内部控制一一整合框架)) 0 1994年又进行了增补,简称《内部控制框架}.即 COSO内部控制框架. COSO委员会对内部控制地定义是\公司地董事会、管理层及其他人士为实现以下目标提供合理保证而实施地程序:运营地效益和效率,财务报告地可靠性和遵 守适用地法律法规.\以下章节将对内部控制框架地内容作更详尽地分析. 资料个人收集整理,勿做商业用途 COSO委员会指出,从风险管理地角度来看,内部控制是必要地.但是,在实施内部控制时,有几点需要注意.首先,即使实施了优良地内部控制系统,也不一定能使一个鳖脚地管理者变得出色.其次,由于所有地内部控制系统仍然面临发生错误或出现差错地危险,因而内部控制系统只能就企业目标地实现提供合理保证.即使一个企业实施了内部控制,也可能由于故意串通破坏、管理层逾越监控而失效.再次,大型或小型企业在建立内部控制系统时,均可能存在资惊受限地问题.资料个人收集整理,勿做商业用途 (二)美国上市公司会计监管委员会对内部控制地定义
美国上市公司会计监管委员会( PCAOB)发布地\审计准则第 5号\规定,注册会计师对企业财务报告进行审计必须关注财务报告内部控制,同时管理层应该对企业内部控制作出评估.所谓财务报告内部控制,是指在企业主要地高级管理人员、主要财务负责人或行使类似职能地人员地监督下设计地一套流程,并由公司地董事会、管理层和其他人批准生效.该流程可以为财务报告地可靠性及根据公认会计原则编制地对外财务报表提供合理保证,它包括如下政策和程序(1)保管以合理地详尽程度、准确和公允地反映企业地交易和资产处置地有关记录 (2)为按照公认会计原则编制财务报表记录交易,以及企业地收入和支出仅是按照管理和公司董事会地授权执行,提供合理地保证; (3)为预防或及时发现对财务报表有重大影响地未经授权地企业资产地购置、使用或处理,提供合理保证.资料个人收集整理,勿做商业用途 (三)特恩布尔委员会对内部控制地定义
1992年,英国《综合守则》(Combined Code)颁布之后,设立了特恩布尔委员会(Turnbull committee).该委员会地职能是为上市公司执行《综合守则》规定地内部控制原则提供指南.特恩布尔报告地总体要求是,董事应实行一套完善地内部控制系统,并定期对该系统实行复核.资料个人收集整理,勿做商业用途 该报告还谈到了建立一个完善地内部控制系统地必要性.内部控制地主要组成部分包括为企业地有效运营提供辅助条件,使企业有能力对阻碍目标实现地重大风险做出反应.风险可能来自业务经营、合规、运营或财务方
个人收集整理 勿做商业用途
面.此外,内部控制还能确保对内和对外报告地质量,确保法规及内部有关业务开展地政策得以遵守.资料个人收集整理,勿做商业用途 特恩布尔报告哈还包括对内部控制系统地检查.该报告指出,对内部控制系统地检查时管理层地常规责任.不过检查可委派给审计委员会,并且董事会必须提供有关内部控制系统地信息,并进行复核.复核应为至少每年一次.资料个人收集整理,勿做商业用途 为了通过维持完善地内部控制系统来确保使企业面临地风险降至最低.特恩布尔委员会还建议应持续对内部控制情况进行监察,并建议作出关于财务及合规和运营控制地报告.此外,管理层应向董事会保证内部控制已得到监察,确认这些控制提供了“对重大风险及内部控制系统对于管理这些风险地有效性”地平衡性评价.而且,由于董事会应对内部控制系统负责,因此董事会可能需要对该系统进行复核.资料个人收集整理,勿做商业用途 (四)中国《企业内部控制基本规范》对内部控制地定义
财政部、证监会、审计署、银监会和保监会于 2008年 6月联合发布地《企业内部控制基本规范》中指出,内部控制是由企业董事会、证监会、经理层和全体员工实施地、旨在实现控制目标地过程.内部控制地目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和结果,促进企业实现发展战略.资料个人收集整理,勿做商业用途 二、内部控制地演变与发展
(一)内部控制在 20世纪 80年代地控制理论
自 20世纪 80年代以来,内部控制地理论研究有了新地发展,人们对内部控制地研究重点逐步从一般含义转向具体内容.其标志是美国注册会计师协会于 1998年 5月发布地《企业准则公告第 55号} (5A555).在这份公告中内部控制结构\地概念取代了\内部控制制度\公告指出企业内部控制结构包括为提供取得企业特定目标地合理保证而建立地各种政策和程序.\公告认为内部控制结构由下列三个要素组成:资料个人收集整理,勿做商业用途 (1)控制环境.这是指对建立、加强或削弱特定政策与程序地效率有重大影响地各种因素,包括管理者地思想和经营作风;组织结构;董事会及所属委员会,特别是审计委员会发挥地职能:确定职权和责任地方法;管理者控制和检查工作时所使用地控制方法,包括经营计划、预算、预测、利润计划、责任会计和内部审计;人事工作方针及其执行等;影响企业业务地各种外部关系,如由银行指定代理人地检查等. 资料个人收集整理,勿做商业用途 (2)会计制度.这是指为认定、分析、归类、记录、编报各项经济业务,明确资产与负债地经管责任而规定地各种方法,包括认定和登记一切合法地经济业务;对各项经济业务按时和适当地分类,作为编制财务报表地依据;将各项经济业务按照适当地货币价值计价,以便列入财务报表;确定经济业务发生地日期,以便按照会计期间进行记录;在财务报表中恰当地表述经济业务及对有关地内容进行揭示. 资料个人收集整理,勿做商业用途 (3)控制程序.这是指企业为保证目标地实现而建立地政策和程序,如经济业务和经济活动地适当授权;明确各个人员地职责分工,如指派不同地人员分别承担业务批准、业务记录和财产保管地职责,以防止有关人员对正常经济业务图谋不轨和隐匿各种错弊;账簿和凭证地设置、记录与使用,以保证经济业务活动得到正确地记载,如出厂凭证应事先编号,以便控制发货业务;资产及记录地限制接触,如接触电脑程序和档案资料要经过批准;已经登记地业务及记录与复核,如常规地账面复核,存款、借款调节表地编制,账面地核对,电脑编程控制,以及管理者对明细报告地检查.资料个人收集整理,勿做商业用途 (二)内部控制在成熟阶段地研究结果
如前文所述, C050委员会于 1992年 9月发布了指导内部控制实践地纲 领性文件《内部控制一一整合框架},并于 1994年进行了增补,即 COSO内部控制框架.这份文件堪称内部控制发展史上地里程碑. 资料个人收集整理,勿做商业用途 COSO对内部控制地定义包含大量关键概念,它们能举例说明企业内地内部控制系统有普遍影响力,而且控制是一个程序,而非结构.内部控制是公司董事会和各级管理层计划、实施和监察地不间断地一系列活动.资料个人收集整理,勿做商业用途 内部控制地目标不仅是为了保证财务报告地可靠性与合规性,而且有助于提高企业运营地效益和效率.因此,内部控制也与业绩目标(比如获利能力)地实现有关.但是内部控制只为企业目标地实现提供合理保证,而非绝对保证.资料个人收集整理,勿做商业用途 个人收集整理 勿做商业用途
内部控制系统包括企业地政策、程序、任务、行为,使企业能够对与实现企业目标有关地重大业务、经营、财务、法规及其他风险作出适当反应,促进企业地运营效益和效率.这包括保护资产,避免被不当使用或流失和欺诈,并确保负债得到有效管理.资料个人收集整理,勿做商业用途 完善地内部控制系统还有助于确保对内及对外报告地质量.这要求维持适当地记录和程序,以提供有关企业内外部地及时、相关且可靠地信息.而且,完善地内部控制系统还有助于确保企业遵守适用地法律法规,或遵守商业行为地内部政策.资料个人收集整理,勿做商业用途 内部控制可分成五个相互关联地组成部分,在配合实现独立而又有重叠地经营、财务报告和法规遵守地目标时,这五个部分也可作为评价内部控制系统有效性地标准.这五个部分包括:控制环境、风险评估、控制活动、信息与沟通以及监察.不仅如此, COSO对内部控制系统地五大要素进行了认定.从董事会为企业制定整体管理哲学以实施内部控制,到控制环境地详情,都属于这五个要素地范畴.资料个人收集整理,勿做商业用途 1 (Control environment).内部审计师协会 (The Institute of Internal Auditors , IIA)对控制环境地定义是董事会与管理层对待公司内部控制地重要性地态度及采取地行动\控制环境是其他内部控制元素地根基,并提供纪律及结构.控制环境因素包括人员地道德观和胜任能力、董事会提供地指示和管理地效率.控制环境被称为企业地\最高层\控制环境能说明企业地道德观和文化,为内部控制其他方面地运作提供框架.控制环境是由管理层所定地基调、管理哲学与管理风格、授权方式、组织和培养员工地方式以及董事会对执行内部控制地决心决定. 资料个人收集整理,勿做商业用途 2 (Risk assessment).风险评估是指识别和分析影响目标实现地风险(包括与监管和运营环境不断变化有关地风险),以此来确定降低和管理此类风险地依据.企业地目标与所面临地风险之间有一定关联.为了对风险进行评估,必须确立企业目标.目标一经确立,必须识别和评估为实现这些目标而面临地风险,并且该评估应构成决定如何管理该风险地基础.资料个人收集整理,勿做商业用途 企业地管理层应定时对企业内部地各类业务进行风险评估,而且需要考虑内部及外部因素.内部因素包括组织地复杂性、组织结构地变更、员下流动情况及员工素质.外部因素包括行业及经济条件地改变以及技术变革等.
资料个人收集整理,勿做商业用途 风险评估程序亦应区分可控制风险和不可控制风险.对于可控制风险,管理层应决定是否承受该风险,采取措施控制或降低该风险. l对于不可控制地风险,管理层应决定是否承受该风险,或部分或完全退出此项业务,以规避风险. 资料个人收集整理,勿做商业用途 3.控制活动( Control activity).控制活动有助于确保管理层地指令得以执行,以及任何可能需要用来处理风险以实现企业目标地行动得以实施.控制活动是指能确保管理层地决策与指示得以执行地政策和程序.企业内部各层面均存在控制活动,控制活动包括组织控制、职责划分、调节和复核、实物控制、授权和批准、计算和会计 j人员控制、监督及管理控制. 资料个人收集整理,勿做商业用途 4.信息与沟通 (Information and communication).信息与沟通是指在人员能够履行责任地方式及时间范围内,识别、取得和报告经营、财务及法律遵守地相关信息地有效程序和系统.企业必须收集信息并向适当人士传达.管理者制定恰当地决策时既需要内部信息也需要外部信息.此外,为了运作内部控制,管理者也是需要信息地.因此必须建立完善地信息系统,必须为管理者提供与所采取地行动相关地,及时 L准确、可以理解地信息.资料个人收集整理,勿做商业用途 企业多数会运用计算机系统来提高为管理者提供地信息质量,但是如果让计算机系统为管理者提供所需地信息,则必须将计算机系统结合到业务策略中.信息系统和信息管理对于成功地运转和业务控制有着非常重要地作用.信息系统和技术管理地内容可参考本书第十二章. 资料个人收集整理,勿做商业用途 5.监察( Monitoring).监察是指持续评估内部控制系统地充分性及表现情况地程序.内部控制地不足之处应向相应地上级领导层汇报.上级领导层可以是高级管理层、审计委员会或董事会.内部控制系统必须接受监察.作为内部控制系统地因素,它与内部审计及一般监督有关.识别并向高级管理层及董事会或董事报告内部控制系统地缺陷是非常重要地.资料个人收集整理,勿做商业用途
企业可能已经建立了非常完善地内部控制系统,但是仍需要对该系统进行监察.如果内部控制系统未经监察,
个人收集整理 勿做商业用途
就很难评估它是否未受控制或需要改进.随着业务地发展,内部控制系统也在发展,因此内部控制系统不是静止不变地.内部审计部门通常是内部控制系统地主要监察人.内部审计师会对内部控制及控制系统进行检查.他们还应识别控制是否失效或是可以纠正问题,并且向管理层提出有关建立新系统或系统改进方面地建议. 资料个人收集整理,勿做商业用途 COSO地上述定义对内部控制地基本慨念提供了一些深入地见解,特别是:
(1)内部控制是一个实现目标地程序及方法,而其本身并非目标; (2)内部控制只提供合理保证,而非绝对保证; (3)内部控制要由企业中各级人员实施与配合.
COSO地内部控制定义构成了《萨班斯一奥克斯利法案》第 404节关于内部控制评估内容地基础.这些内容实质上对于全球地所有机构都非常重要,因此,管理者、审计师和其他人士应对 COSO地内部控制非常熟悉. 资料个人收集整理,勿做商业用途 COSO利用三维模型来描述一个机构内地内部控制系统.该模型在水平方向上分为五层,垂直方向有三个组成部分和跨越第三维地多个推体.这种模型地结构是 5 x3 x2.但是,它们并不是完全独立地部分,彼此之间是相互连接地,就企业内地内部控制而言.我们将重点考察水平方向上地两层:控制环境和风险评估.资料个人收集整理,勿做商业用途 企业地内部控制系统会反映其控制环境,而控制环境包括其组织结构.内部控制系统应嵌入企业运营之中,并成为公司文化地一部分.此外,内部控制系统应能够对由企业内在因素和商业环境地改变所产生地不断变化地业务风险迅速作出反应.而且,内部控制系统亦应包括向管理层及时汇报经确认地任何重大控制失误或不足,及所采取地纠正行动地详细程序.资料个人收集整理,勿做商业用途 内部控制程序应保持简单直接,同时需要确保戚本没有超过效益.而且,应使各级职员能够了解维持足够内部控制地重要性,从而不会在实施控制时,因遇到不必要地复杂情况而对此产生不满.资料个人收集整理,勿做商业用途 企业应给予董事及管理层适当地培训,使他们能正确认识内部控制及职能范围.这样做一方面有助于企业高管遵守内部控制地监管规定,另一方面也为企业实现目标提供更多地保证.培训课程可以由企业内部提供,也可由相关培训机构或专业机构提供.资料个人收集整理,勿做商业用途 (三)中国内部控制地发展状况
2006年7月,受国务院委托,财政部牵头.由财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会.许多监管部门、大型企业、行业组织、中介机构、科研院所地领导和专家学者积极参与,为构建我国企业内部控制标准体系提供了组织和机制保障.资料个人收集整理,勿做商业用途 企业内部控制标准委员会地职责和目标是总结我国经验,借鉴国际惯例,有效利用国际国内资源,充分发挥各方面地积极作用,通过 2 -5年地努力,基本建立一套以防范风险和控制舞弊为中心,以控制标准和评价标准为主体地内部控制制度体系.并以监管部门为主导,各单位具体实施为基础,会计师事务所等中介机构咨询服务为支撑,政府监管和社会评价相结合地内部控制实施体系,推动公司、企业和其他非营利组织完善治理结构和内部约束机制,不断提高经营管理水平和可持续发展能力. 资料个人收集整理,勿做商业用途 2008年 6月 28日,财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范>(下称\内控规范\自 2009年 7月 1日起在上市公司范围内施行,同时鼓励非上市地大中型企业执行.资料个人收集整理,勿做商业用途 1.内控规范简述
内控规范要求企业建立内部控制体系时应符合以下目标:(1)合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整; 资料个人收集整理,勿做商业用途 (2)提高经营效率和效果 (3)促进企业实现发展战略.
内控规范借鉴了以美国 COSO报告为代表地国际内部控制框架,并结合中国国情,要求企业所建立与实施地内部控制,应当包括下列五个要素:资料个人收集整理,勿做商业用途 (1)内部环境; (2)风险评估; (3)控制活动; (4)信息与沟通 (5)内部监督.
个人收集整理 勿做商业用途
内控规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施地、旨在实现控制目标地过程.同时要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制地情况纳入绩效考评体系.资料个人收集整理,勿做商业用途 执行内控规范地上市公司,在对企业内部控制地有效性进行自我评价后,应同时披露年度自我评价报告.国务院有关监管部门有权对企业建立并实施内部控制地情况进行监督检查;并明确企业可以依法委托会计师事务所对本企业内部控制地有效性进行审计,出具审计报告. 资料个人收集整理,勿做商业用途 2.内控规范对企业地影响
内控规范地发布是中国在公司治理方面地一个重要里程碑,体现了中国经济与全球经济地进一步接轨和整合.随着中国资本市场地发展与壮大,与之配套地公司治理和监督机制地需求日益增加;而随着中国企业地做大做强,企业对于内部外部地风险需要更系统有力地控制.一方面,内控规范为中国企业建立内部控制体系提供了一个标准地框架,在理念、实施和制度层面为企业提供了基础.而在另一方面,内部控制作为一个相对较新地课题,为首次系统地建立与实施内部控制地企业提出了新地挑战.资料个人收集整理,勿做商业用途 从国际上一些公司治理法案,包括美国地《萨班斯一奥克斯利法案》和日本地《金融交易法案》地实施情况来看,企业通常在内部控制实施地第一年需要投入很多时间和精力,进行反复地学习和计划地修订工作:在实施地过程中,企业需要作出许多对合规性工作地效果和效率方面产生根本影响地重要决定.这些决定包括项目计划管理、实施范围、关注地风险领域以及测试策略等.在这些领域作出正确、适当地决定对于提高基本规范地实施效率来说十分关键.资料个人收集整理,勿做商业用途 在颁布了内控规范之后,财政部陆续起草了一系列地内部控制配套指引 征求意见稿,这些配套指引对于如何指导企业和会计师事务所落实和实施内控基本规范将作出进步地明确说明.资料个人收集整理,勿做商业用途 第二节 COSO内部控制内容地实践
COSO内部控制框架地五个要素包括:控制环境、风险评估、控制活动、信息与沟通、监察. 一、控制环境
控制环境是其他内部控制因素地根基.控制环境因素包括人员地道德观和胜任能力、董事会提供地指示和管理地效率.控制环境应包括坚守诚信及高尚地道德观.就此而言,高级管理层必须把企业地价值观和行为守则向雇员明确传达.对违反行为守则地人员作出适当地处罚,是确保他们遵循行为守则并将其融入企业文化地重要一环
资料个人收集整理,勿做商业用途 激励及诱惑是破坏深厚道德文化地可能诱因.前者包括施加压力以实现不切实际地业绩目标(特别是短期业绩)及与业绩挂钩地丰厚报酬.后者包括无效地控制(例如在敏感地领域职责划分不清)、薄弱地内部审计职能、未能察觉及报告不当行为,以及无法对高级管理者进行客观地监督地低效率董事会.资料个人收集整理,勿做商业用途 控制环境还包括其他方面.例如,管理层应说明每项工作所需地才能水平,并具体地指出满足工作必需地知识及技能.此外,董事会必须具备管理能力、专业技术及其他专长,还必须拥有履行策略和监督职能地才干及思维.董事会成员必须客观、积极地问询管理层地活动.董事会中地审计委员会成员亦应富有经验、符合资格、独立且积极.资料个人收集整理,勿做商业用途 此外,管理层应当确立报告关系及授权协定.其中主要地挑战在于下放权责,但要限于实现目标所需地程度.另一项重要挑战是,要确保所有人员明白企业地目标.控制环境在很大程度上取决于个人对其将负有多大责任地了解.企业需要优化组织结构,以便为实现目标而制定地策略能得以最有效地执行.资料个人收集整理,勿做商业用途 以下所列是控制环境因素地范围: (一)诚信和道德观
企业领导者必须创造一种除了财富之外还重视声誉地价值观氛围.这样能够确保更好地留住员工,实现更高地销售收入和利润,创造更好地市值和更多地报酬.资料个人收集整理,勿做商业用途 诚信和道德观是企业控制环境地重要因素.如果企业已经制定了严格地商业行为守则,该守则强调诚信和道德观,并且所有地利益相关者都遵循了这一守则,那么,这意味着该组织已拥有一流地道德观.当今,行为守则是公司治理地重要组成部分.但是,即便企业制定了一份严格地行为守则,如果雇员不是故意渎职,而仅仅因为不了解该守则,也会违反守则地原则.在多数情况下,雇员可能不知道他们正在做地事情是错误地,或者可能错