內部控制中級財務管理二版楊丹

1、第第1010章章 內部控制內部控制Contents內部控制概論10.1內部控制的要素10.2內部控制的措施10.3內部控制的設計與評價10.4了解內部控制的設計與評價了解內部控制的設計與評價掌握內部控制的要素及措施掌握內部控制的要素及措施理解為什么需要內部控制理解為什么需要內部控制了解內部控制的概念了解內部控制的概念學習目的與要求學習目的與要求引導性案例引導性案例法國興業(yè)銀行法國興業(yè)銀行 ：2008年1月,因期貨交易員杰羅姆凱維埃爾在未經授權情況下在未經授權情況下大量購買歐洲股指期貨，形成49億歐元(約71億美元)的巨額虧空，創(chuàng)下世界銀行業(yè)迄今為止因員工違規(guī)操作而蒙受的單筆最大金額損失,無論從

2、性質還是規(guī)模來說，都堪稱史上最大的金融悲劇。 中航油中航油 ：2004年12月，中航油新加坡公司因從事投機投機性石油衍生品交易，性石油衍生品交易，虧損5.54億美元，不久就向新加坡證券交易所申請停牌，并向當地法院申請破產保護，成為繼巴林銀行破產以來最大的投機丑聞。10.1 10.1 內部控制概論內部控制概論1 10 0.1.1 .1.1 內部控制的發(fā)展歷程內部控制的發(fā)展歷程內部控制理論大致可以分為內部牽制、內部控制制度、內部控制結構、內部控制整合框架以及企業(yè)風險管理整合框架五個階段五個階段。在內部牽制階段在內部牽制階段，內部控制的主要內容是賬目間的相互核對，內部控制的主要方式是設置不兼容崗位。

3、在內部控制制度階段在內部控制制度階段，內部控制以內部會計控制為核心，重點是建立健全規(guī)章制度。10.1.1 10.1.1 內部控制的發(fā)展歷程內部控制的發(fā)展歷程在內部控制結構階段在內部控制結構階段，內部控制被認為是為合理保證企業(yè)特定目標的實現而建立的各種政策和程序，分為內部控制環(huán)境、會計制度和控制程序三個方面。內部控制整合框架階段內部控制整合框架階段，就是在以上三個階段的基礎上，把內部控制要素整合成五個相互關聯的部分。企業(yè)風險管理是在內部控制整合框架五要素基礎上的拓展，形成了八個相互關聯的要素整體。同時，內部控制與風險管理理念貫穿于其中，這個整體被稱為企企業(yè)風險整合框架業(yè)風險整合框架。10.1.1

4、 10.1.1 內部控制的發(fā)展歷程內部控制的發(fā)展歷程（1）什么是內部控制內部控制的第一個定義第一個定義：內部控制包括組織機構的設計和企業(yè)內部采取的所有相互協調的方法和措施。這些方法和措施用于保護企業(yè)的財產，檢查會計信息的準確性，提高經營效率，推動企業(yè)執(zhí)行既定的管理政策。美國注冊會計師協會審計程序委員會于1958年發(fā)布的第第2929號號審計程序公告審計程序公告,將內部控制分為內部會計控制和內部管理控制兩個部分 。1977年美國頒布了國外反賄賂實務法案國外反賄賂實務法案，要求上市公司必須建立足以達到控制目標的內部會計控制。這是美國歷史上第一個以法律形式出現的內部控制規(guī)定，也是美國內部控制發(fā)展史上的

5、一個里程碑。COSO(Committee of Sponsoring Organizations of Treadway Commission)是Treadway委員會中專門研究內部控制問題的委員會，而著名的Treadway委員會，創(chuàng)立于1985年，由美國注冊會計師協會(AICPA)、美國會計學會(AAA)、財務經理協會(FEl)、國際內部審計人員協會(IIA)以及管理會計學會(IMA)發(fā)起。10.1.1 10.1.1 內部控制的發(fā)展歷程內部控制的發(fā)展歷程COSO在1992年所發(fā)布的、并于1994年做出局部修正的內部控內部控制制整合框架整合框架，已經成為世界通行的內部控制權威文獻，被各國審計準

6、則制定機構、銀行監(jiān)管機構和其他方面所采納。COSO報告將內部控制定義為內部控制定義為：內部控制是一個過程，它受到董事會、管理人員和其他職員的影響，以期為實現經營的效果和效率、財務報告的可靠性及遵守相關的法律法規(guī)提供合理保證。用來識別并分析實現經營目標的有關風險，是風險管理的基礎。形成組織的氛圍，影響員工的控制意識?？刂骗h(huán)境控制環(huán)境風險評估風險評估控制活動控制活動信息與溝通信息與溝通以適當的形式與頻率識別、獲取和交換信息以幫助員工執(zhí)行其職務。幫助確保管理指令得到執(zhí)行的政策與程序。監(jiān)控監(jiān)控評估內部控制績效的程序。l COSO報告認為，內部控制由5 5個個相互聯系的要素組成，即：控制環(huán)境、風險評估、

7、控制活動、信息與溝通、監(jiān)控組成。10.1.1 10.1.1 內部控制的發(fā)展歷程內部控制的發(fā)展歷程與此同時，COSO委員會也意識到內部控制-整合框架自身也存在一些問題，如過分注重財務報告，而沒有從企業(yè)全局與戰(zhàn)略的高度來關注企業(yè)風險。2001年COSO委員會發(fā)布了COSO企業(yè)風險管企業(yè)風險管-理整合框理整合框架架。其對風險管理風險管理的定義為：風險管理是一個過程，受企業(yè)董事會、管理層和其他員工的影響，包括內部控制及其在戰(zhàn)略和整個公司的應用，旨在為實現經營的效率和效果、財務報告的可靠性以及法規(guī)的遵循提供合理保證。 10.1.1 10.1.1 內部控制的發(fā)展歷程內部控制的發(fā)展歷程在內部控制整合框架五個

8、要素的基礎上，COSO企業(yè)風險管理的構成要素增加到八個八個：內部環(huán)境；目標目標設定；事項識別；設定；事項識別；風險評估：風險應對風險應對；控制活動；信息與溝通；監(jiān)控。八個要素相互關聯，貫穿于企業(yè)風險管理的過程中。具體來看，企業(yè)風險管理整合框架在內部控制整合框架的基礎上增加了一個一個新觀念，一個一個目標，兩個兩個概念和三個三個要素，即風險組合觀，戰(zhàn)略目標，風險偏好、風險可接受程度的概念以及目標設定、事項識別、風險應對要素。10.1.1 10.1.1 內部控制的發(fā)展歷程內部控制的發(fā)展歷程企業(yè)風險管理整合框架與內部控制整合框架的比較企業(yè)風險管理整合框架與內部控制整合框架的比較 項目COSOCOSO內

9、部控制整合框架內部控制整合框架COSOCOSO企業(yè)風險管理整合框架企業(yè)風險管理整合框架基調管理層為達到目標進行內部控制的需求滿足管理層為達到目標進行企業(yè)風險管理的需求目標經營目標財務報告目標合規(guī)目標戰(zhàn)略目標(新增)經營目標報告目標合規(guī)目標風險觀沒有提出風險組合觀只有風險評估從企業(yè)總體層面提出風險組合觀環(huán)境管理層級員工的內部控制觀念管理層及員工的風險觀念，并提出風險偏好、風險可接受程度的概念要素控制環(huán)境風險評估控制活動信息與溝通監(jiān)督內部環(huán)境(更廣義)目標設定(新增)事項識別(新增)風險評估風險應對(新增)控制活動信息與溝通監(jiān)督10.1.1 10.1.1 內部控制的發(fā)展歷程內部控制的發(fā)展歷程ITI

10、T管理的框架管理的框架COBITCOBIT(control objectives for information and related technology)作為一個管理內部控制和適當的IT安全水平的參考框架，在1996年提出并經過多次修改和完善。IT治理協會對ITIT管理的定義管理的定義是：“IT管理是執(zhí)行層和董事的責任，由領導、組織架構和流程組成，確保企業(yè)的IT能夠維護和發(fā)展組織的戰(zhàn)略和目標。 COSO的關注點是在企業(yè)的層面上實施經營的目標，COBIT將關注點集中在信息技術。因此，在COBIT中的內部控制的概念，是將內部控制的概念應用于IT控制，而不是整個企業(yè)的經營戰(zhàn)略。10.1.1 1

11、0.1.1 內部控制的發(fā)展歷程內部控制的發(fā)展歷程（2）內部控制在中國的發(fā)展19961996年年財政部發(fā)布獨立審計準則第9號內部控制與審計風險 19991999年年20072007年年20082008年年6 6月月2828日日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯合發(fā)布了企業(yè)內部控制基本規(guī)范。同時發(fā)布的規(guī)范還包括企業(yè)內部控制評價指引、企業(yè)內部控制應用指引和中注協主持起草的企業(yè)內部控制鑒證指引等配套規(guī)范的征求意見稿。 10.1.1 10.1.1 內部控制的發(fā)展歷程內部控制的發(fā)展歷程上述系列規(guī)范的發(fā)布，標志著適應我國企業(yè)實際情況、融合國際先進經驗的中國企業(yè)內部控制規(guī)范體系基本建成。剖析中國的企業(yè)

12、內部控制規(guī)范，可以發(fā)現其中的“1231233 35 5結構結構”特點：即1個基本規(guī)范，2種內部控制缺陷標準(設計缺陷和運行缺陷)，3項內部控制指引(評價指引、應用指引、鑒證指引)，3點控制目標(法律法規(guī)遵循性、資產安全性、財務報告可靠性；經營管理有效性；促進實現發(fā)展戰(zhàn)略)，5方面內控要素(控制環(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督)。指明了內部控制“做什么做什么”、“由誰做由誰做”、“怎樣做怎樣做”的方向。 10.1.2 10.1.2 對于內部控制的理解對于內部控制的理解(1) 內部控制是一個過程過程，是達到目的的工具工具，不是目 的本身。 內部控制是管理過程的一個組成部分。組成部分。

13、 內部控制不是附加的，而是嵌入嵌入的。(2) 內部控制并不只是政策手冊和表格，而是要由組織中各層級人員共同實施的。(3) 內部控制為企業(yè)管理層和董事會提供合理的保證合理的保證，而不是絕對保證。(4) 內部控制通過調整來達到一個或多個獨立但又有交叉的目標。10.2 10.2 內部控制的要素內部控制的要素1 10 0.2.1 .2.1 內部控制目標內部控制目標促進企業(yè)經營管理合法合規(guī)促進企業(yè)經營管理合法合規(guī)促進維護資產安全促進維護資產安全促進信息報告質量的提高促進信息報告質量的提高內部控制的內部控制的目標目標促進實現發(fā)展戰(zhàn)略促進實現發(fā)展戰(zhàn)略促進經營效率和效果的提高促進經營效率和效果的提高10.2.

14、2 10.2.2 內部控制要素內部控制要素上述五個要素相互關聯與配合，形成一個整合系統。這個系統可以對外部環(huán)境的改變作出動態(tài)反應動態(tài)反應。內部環(huán)境內部環(huán)境風險評估風險評估控制活動控制活動內部控制內部控制要素要素內部監(jiān)督內部監(jiān)督信息與溝通信息與溝通10.2.2 10.2.2 內部控制要素內部控制要素(1)(1)內部環(huán)境內部環(huán)境內部環(huán)境規(guī)定單位的紀律與架構，影響經營管理目標的制定，塑造單位文化氛圍并影響員工的控制意識，是實施內部控制的基礎。(2)(2)風險評估風險評估 風險評估主要包括目標設定、風險識別、風險分析和風險應對。 這些風險通常表現為各種潛在事項和因素，包括經濟因素、自然環(huán)境因素、法律因

15、素、社會因素、科學技術因素等外部因素以及人力資源、管理、自主創(chuàng)新、財務、安全環(huán)保等內部因素。10.2.2 10.2.2 內部控制要素內部控制要素在充分識別各種潛在風險因素后，要對固有風險固有風險，即不采取任何防范措施可能造成的損失程度進行評估，同時，重點評估剩余風險剩余風險，即采取了相應應對措施之后仍可能造成的損失程度。進行行業(yè)縱向和橫向比較是風險評估中的常用方法方法。常用的風險應對措施風險應對措施有：風險規(guī)避風險降低風險分擔風險承受一般來說，風險應對策略往往是結合運用結合運用的。 10.2.2 10.2.2 內部控制要素內部控制要素(3)(3)控制活動控制活動 控制活動控制活動是指單位管理層

16、根據風險評估結果，采取相應的控制措施，將風險控制在可承受度之內，是實施內部控制的具體方式。常見的控制措施控制措施有：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制、績效考評控制等。10.2.2 10.2.2 內部控制要素內部控制要素(4) (4) 信息與溝通信息與溝通 信息與溝通信息與溝通是單位及時、準確收集、傳遞與內部控制相關的信息，確保信息在單位內部、單位與外部之間進行有效溝通，是實施內部控制的重要條件。信息與溝通的主要環(huán)節(jié)主要環(huán)節(jié)有：確認、計量、記錄有效的經濟業(yè)務；在財務報告中恰當揭示財務狀況、經營成果和現金流量；保證管理層與單位內部、外部的順暢溝通

17、，包括與利益相關者、監(jiān)管部門、注冊會計師、供應商等的溝通。信息與溝通的方式是靈活多樣的，但無論哪種方式，都應當保證信息的真實性、及時性和有用性真實性、及時性和有用性。12.2.2 12.2.2 內部控制要素內部控制要素(5)(5)內部監(jiān)督內部監(jiān)督 內部監(jiān)督內部監(jiān)督是單位對內部控制建立與實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現內部控制缺陷，及時加以改進，是實施內部控制的重要保證。內部監(jiān)督包括日常監(jiān)督日常監(jiān)督和專項監(jiān)督專項監(jiān)督。監(jiān)控情況應當形成書面報告，并在報告中揭示內部控制的重要缺陷。10.2.310.2.3有關各方在內部控制中的職責和作用有關各方在內部控制中的職責和作用(1)董事會 董

18、事會負責單位內部控制的建立健全和有效實施。最大風險 承受能力。 (2)審計委員會 審計委員會是董事會下設的專業(yè)委員會。(3)管理層 管理層負責組織領導單位內部控制的日常運行。 (4)風險管理部門 (5)財務部門 (6)內部審計部門 (7)單位員工 10.3 10.3 內部控制的措施內部控制的措施(1) (1) 不相容職務分不相容職務分 離控制離控制 (2) (2) 授權審批控制授權審批控制 (3) (3) 會計系統控制會計系統控制 (4) (4) 財產保護控制財產保護控制(5) (5) 預算控制預算控制 (6) (6) 運營分析控制運營分析控制 (7) (7) 績效考評控制績效考評控制 (8)

19、 (8) 內部報告控制內部報告控制(9) (9) 信息技術控制信息技術控制10.3 10.3 內部控制的措施內部控制的措施(1) (1) 不相容職務分離控制不相容職務分離控制 所謂不相容職務不相容職務，是指那些如果由一個人擔任既可能發(fā)生錯誤和舞弊行為，又可能掩蓋其錯誤和舞弊行為的職務。不相容職務一般包括包括：授權批準與業(yè)務經辦、業(yè)務經辦與會計記錄、會計記錄與財產保管、業(yè)務經辦與稽核檢查、授權批準與監(jiān)督檢查等。不相容職務分離的核心核心是“內部牽制”，首先應確定哪些崗位和職務是不相容的；其次要明確規(guī)定各個機構和崗位的職責權限。10.3 10.3 內部控制的措施內部控制的措施(2) (2) 授權審批

20、控制授權審批控制 授權審批授權審批是指單位在辦理各項經濟業(yè)務時，必須經過規(guī)定程序的授權批準。授權審批形式通常有常規(guī)性授權常規(guī)性授權和臨時性授權臨時性授權之分。 單位必須建立授權批準體系授權批準體系。 集體決策集體決策審批或者聯簽制度。10.3 10.3 內部控制的措施內部控制的措施(3)(3)會計系統控制會計系統控制 會計系統控制主要是通過對會計主體所發(fā)生的各項能用貨幣計量的經濟業(yè)務進行記錄、歸集、分類、編報等而進行的控制。 (4)(4)財產保護控制財產保護控制 財產記錄和實物保管。定期盤點和賬實核對。限制接近。 限制接近包括限制對資產本身的接觸和通過文件批準方式對資產使用或分配的間接接觸。對

21、貨幣資金、有價證券、存貨等變現能力強的資產（限制無關人員的直接接觸 ）。10.3 10.3 內部控制的措施內部控制的措施(5)(5)預算控制預算控制 預算控制的內容涵蓋了單位經營活動的全過程，單位通過預算的編制和檢查預算的執(zhí)行情況，可以比較、分析內部各單位未完成預算的原因，并對未完成預算的不良后果采取改進措施，確保各項預算的嚴格執(zhí)行。(6)(6)運營分析控制運營分析控制 通過因素分析、對比分析、趨勢分析等方法，定期開展運營情況分析，發(fā)現存在的問題，及時查明原因并加以改進。10.3 10.3 內部控制的措施內部控制的措施(7)(7)績效考評控制績效考評控制 績效考評控制要求單位科學設置考核指標體

22、系，對單位內部各職能部門和全體員工的業(yè)績進行定期考核和客觀評價，并將考評結果作為確定員工薪酬以及職務晉升、評優(yōu)、降級、調崗和辭退等的依據。(8)(8)內部報告控制內部報告控制建立和完善內部報告制度，內部報告方式通常包括：例行報告、實時報告、專題報告、綜合報告等。(9)(9)信息技術控制信息技術控制對計算機信息系統開發(fā)與維護、訪問與變更、數據輸入與輸出、文件存儲與保管、網絡安全等方面的控制，。設計內部控制制度應遵循以下五條具體規(guī)則：全面性原則。重要性原則。制衡性原則。適應性原則。成本效益原則。10.4 10.4 內部控制的設計與評價內部控制的設計與評價1 10 0.4.1 .4.1 內部控制的設

23、計內部控制的設計(1)內部控制的設計原則 在企業(yè)的實踐應用中，設計內部控制的總體思路總體思路是：借鑒內部控制理論，參考內部控制范例，根據內部控制法規(guī)，結合企業(yè)業(yè)務運營過程中的各個核心控制點和核心控制環(huán)節(jié)，從而設計健全的內部控制系統，并且需要定期進行評價，根據業(yè)務變化而做相應調整。10.4.1 10.4.1 內部控制的設計內部控制的設計(2)內部控制制度的設計程序 設計內部控制的程序主要包括：確定控制目標；整合控制流程；鑒別控制環(huán)節(jié)；確定控制措施；繪制流程圖或調查表。確定控制目標確定控制目標 控制目標控制目標，既是管理經濟活動的基本要求，又是實施內部控制的最終目的，也是評價內部控制的最高標準。

24、整合控制流程整合控制流程 鑒別控制環(huán)節(jié)鑒別控制環(huán)節(jié)這些可能發(fā)生錯弊因而需要控制的業(yè)務環(huán)節(jié)，通常稱為控控制環(huán)節(jié)或控制點制環(huán)節(jié)或控制點?？刂泣c分為關鍵控制點和一般控制點，并且在一定條件下是可以相互轉化的。 如現金控制系統中的“審批”控制點，設有：a主管人員授權辦理現金收支業(yè)務；b經辦人員在現金收支原始憑證上簽字或蓋章；c部門負責人審核該憑證并簽章批準等控制措施。銀行存款控制系統的“結算”控制點設有：a出納員核查原始憑證；b填制或取得結算憑證；c加蓋收訖或付訖戳記；d簽字或蓋章；e登記結算登記簿等控制措施。10.4.1 10.4.1 內部控制的設計內部控制的設計 確定控制措施確定控制措施這些為預防和

25、發(fā)現錯弊而在某控制點所運用的各種控制技術和手續(xù)等，通常被概括為控制措施。實際工作中，必須根據控制目標和對象設置相應的控制技術和手續(xù)。企業(yè)應當綜合運用風險規(guī)避、風險降低、風險分擔和風險承受等風險應對策略，實現對風險的有效控制。 繪制流程圖或調查表繪制流程圖或調查表10.4.1 10.4.1 內部控制的設計內部控制的設計(3) 內部控制設計的形式內部控制的設計形式，主要有內部控制流程圖和內部控制制度?？刂屏鞒虉D控制流程圖是以流程圖的形式直觀反映各關鍵控制點，關鍵控制環(huán)節(jié)及其控制措施，并顯示各種不相容職務、部門的分離。內部控制制度內部控制制度主要是以企業(yè)規(guī)章制度的形式存在，作為企業(yè)各部門以及各級員工日常業(yè)務運作的依據和約束。內部控制制度