企業(yè)內(nèi)部控制200908

企業(yè)內(nèi)部控制專題主講：宋德亮副教授博士deliangsong@簡歷2008年度牛津大學薩伊德商學院訪問學者2003-現(xiàn)在上海國家會計學院副教授2001-2003安永大華會計師事務所項目經(jīng)理1998-2001上海財經(jīng)大學攻讀會計學博士主要講授課程

企業(yè)會計準則

國際會計準則

企業(yè)內(nèi)部控制

企業(yè)風險管理

企業(yè)內(nèi)部審計

風險導向?qū)徲嬙?jīng)審計過的主要客戶 大眾保險股份有限公司審計 浦東發(fā)展銀行股份有限公司審計 中國工商銀行審計 國泰君安證券股份有限公司審計 富國基金管理公司年度審計 漢鼎證券投資基金年度審計 漢盛證券投資基金年度審計 漢興證券投資基金年度審計 漢博證券投資基金年度審計 動態(tài)平衡開放式證券投資基金年度審計曾經(jīng)顧問過的主要項目 孚寶港務公司稅務咨詢 申沃汽車公司納稅籌劃 大眾保險公司內(nèi)部控制設計 安永會計師事務所員工培訓曾經(jīng)培訓過的主要客戶中國銀行中國工商銀行國泰君安證券公司申銀萬國證券公司香港中國保險(集團)有限公司中國國際海運集裝箱(集團)股份有限公司寶山鋼鐵股份有限公司羅地亞（中國）投資有限公司保持聯(lián)系聯(lián)系電話：(021)69768042手機-mail:deliangsong@通訊地址：上海市青浦區(qū)蟠龍路200號郵政編碼：201702概念形成和演進1992年，美國”反對虛假財務報告委員會”(NationalCommissiononFraudulentReporting)，所屬的內(nèi)部控制專門研究委員會發(fā)起機構委員會(CommitteeofSponsoringOrganizationsoftheTreadwayCommission，簡稱COSO委員會)，在進行專門研究后提出專題報告：《內(nèi)部控制一整體架構(InternalControl一IntegratedFramework)》，也稱COSO報告。內(nèi)部控制組成要素與目標及作

業(yè)活動相互間關系圖監(jiān)督信息與溝通控制活動風險評估控制環(huán)境作業(yè)活動1作業(yè)活動2規(guī)經(jīng)營告報合內(nèi)部控制各組成要素關系圖監(jiān)督監(jiān)督溝通控風控制境環(huán)信息與溝通活估評信息險制動概念形成和演進經(jīng)過兩年的修改，1994年COSO委員會提出對外報告的修改篇，擴大了內(nèi)部控制涵蓋范圍，增加了與保障資產(chǎn)安全有關的控制概念的形成和演進COSO報告得到了美國審計總署(GeneralAccountingOffice，GAO)的認可。與此同時。AICPA則全面接受COSO報告的內(nèi)容并修改了審計準則安然事件之后，美國出臺了SOX法案，全面借鑒了COSO報告的成果。標題從“內(nèi)部控制”到“企業(yè)風險管理”內(nèi)部環(huán)境戰(zhàn)略目標設定事項識別風險評估風險應對控制活動信息與溝通監(jiān)督經(jīng)營報告合規(guī)子公司業(yè)務單位分支機構企業(yè)整體層次控制環(huán)境風險評估控制活動監(jiān)督作業(yè)活動1作業(yè)活動2規(guī)合營經(jīng)告報信息與溝通企業(yè)內(nèi)部控制

逐漸成為熱門話題2000年11月，中國證監(jiān)會發(fā)布了公開發(fā)行證券公司信息披露編報規(guī)則1－6號，對金融企業(yè)的信息披露提出了特別規(guī)定。企業(yè)內(nèi)部控制

逐漸成為熱門話題比如在招股說明書中，編報規(guī)則要求申請上市的金融企業(yè)應建立健全內(nèi)部控制制度，并在招股說明書正文中專設一部分，對其內(nèi)部控制制度的完整性、合理性和有效性做出說明。企業(yè)內(nèi)部控制

逐漸成為熱門話題金融企業(yè)還應委托聘請的會計師事務所對其內(nèi)部控制制度及風險管理系統(tǒng)的完整性、合理性和有效性進行評價，提出改進建議，并以內(nèi)部控制評價報告的形式做出報告。若會計師事務所指出該公司以上三性存在缺陷，公司應予披露，并說明準備采取的改進措施。企業(yè)內(nèi)部控制

逐漸成為熱門話題2001年3月修訂的《公開發(fā)行證券公司信息披露的內(nèi)容與格式準則第1號—招股說明書》2001年4月發(fā)布的《公開發(fā)行證券公司信息披露的內(nèi)容與格式準則第11號—上市公司發(fā)行新股招股說明書》證監(jiān)會也對內(nèi)部控制的披露提出了要求企業(yè)內(nèi)部控制

逐漸成為熱門話題發(fā)行人應披露管理當局對內(nèi)部控制制度的完整性、合理性及有效性的自我評估意見同時應披露注冊會計師關于發(fā)行人內(nèi)部控制制度評價報告的結論性意見。如注冊會計師指出以上“三性”存在重大缺陷，發(fā)行人對相關內(nèi)容應予詳盡披露，并說明改進措施。企業(yè)內(nèi)部控制

逐漸成為熱門話題2001年1月，中國證監(jiān)會公布了《證券公司內(nèi)部控制指引》2002年4月中國人民銀行公布了《商業(yè)銀行內(nèi)部控制指引（征求意見稿）》企業(yè)內(nèi)部控制

逐漸成為熱門話題2001年7月，財政部發(fā)布了《內(nèi)部會計控制規(guī)范—基本規(guī)范（試行）》和《內(nèi)部會計控制規(guī)范—貨幣資金（試行）》2002年12月，財政部發(fā)布了《內(nèi)部會計控制規(guī)范——采購與付款（試行）》和《內(nèi)部會計控制規(guī)范——銷售與收款（試行）》2003年10月，財政部發(fā)布了《內(nèi)部會計控制規(guī)范——工程項目（試行）》企業(yè)內(nèi)部控制

逐漸成為熱門話題2004年8月財政部制定了《內(nèi)部會計控制規(guī)范——擔保（試行）》和《內(nèi)部會計控制規(guī)范——對外投資（試行）》企業(yè)內(nèi)部控制

逐漸成為熱門話題內(nèi)部會計控制的內(nèi)容主要包括：貨幣資金、實物資產(chǎn)、對外投資、工程項目、采購與付款、籌資、銷售與收款、成本費用、擔保等經(jīng)濟業(yè)務的會計控制。企業(yè)內(nèi)部控制

逐漸成為熱門話題2006年6月，上海證券交易所發(fā)布了《上海證券交易所上市公司內(nèi)部控制指引》2008年5月，財政部等五部委聯(lián)合發(fā)布《企業(yè)內(nèi)部控制規(guī)范－基本規(guī)范》

企業(yè)內(nèi)部控制規(guī)范－基本規(guī)范第三條本規(guī)范所稱內(nèi)部控制，是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。內(nèi)部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務報告及相關信息真實完整，提高經(jīng)營效率和效果、促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。企業(yè)內(nèi)部控制規(guī)范－基本規(guī)范第五條企業(yè)建立與實施有效的內(nèi)部控制，應當包括下列要素：

(一)內(nèi)部環(huán)境。內(nèi)部環(huán)境是企業(yè)實施內(nèi)部控制的基礎，一般包括治理結構、機構設置及權責分配、內(nèi)部審計、人力資源政策、企業(yè)文化等。

(二)風險評估。風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關的風險，合理確定風險應對策略。

(三)控制活動?？刂苹顒邮瞧髽I(yè)根據(jù)風險評估結果，采用相應的控制措施，將風險控制在可承受度之內(nèi)。

(四)信息與溝通。信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通。

(五)內(nèi)部監(jiān)督。內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查，評價內(nèi)部控制的有效性，發(fā)現(xiàn)內(nèi)部控制缺陷，應當及時加以改進。企業(yè)內(nèi)部控制規(guī)范－基本規(guī)范內(nèi)部監(jiān)督信息與溝通控制活動風險評估內(nèi)部環(huán)境作業(yè)活動1作業(yè)活動2合規(guī)戰(zhàn)略報告運營資產(chǎn)企業(yè)內(nèi)部控制規(guī)范－基本規(guī)范內(nèi)部監(jiān)督溝通控風內(nèi)部境環(huán)信息與溝通活估評信息險制動內(nèi)部環(huán)境治理結構機構設置及權責分配內(nèi)部審計人力資源政策企業(yè)文化風險評估第二十條企業(yè)應當根據(jù)設定的控制目標，全面系統(tǒng)持續(xù)地收集相關信息，結合實際情況，及時進行風險評估。第二十一條企業(yè)開展風險評估，應當準確識別與實現(xiàn)控制目標相關的內(nèi)部風險和外部風險，確定相應的風險承受度。風險評估第二十四條企業(yè)應當采用定性與定量相結合的方法，按照風險發(fā)生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優(yōu)先控制的風險。第二十五條企業(yè)應當根據(jù)風險分析的結果，結合風險承受度，權衡風險與收益，確定風險應對策略。第二十六條企業(yè)應當綜合運用風險規(guī)避、風險降低、風險分擔和風險承受等風險應對策略，實現(xiàn)對風險的有效控制。風險評估風險的來源外部：政治經(jīng)濟社會技術內(nèi)部：顧客供應商現(xiàn)存競爭者潛在競爭者替代品風險應對舉例減少質(zhì)量控制，管理與標準財務控制標準操作程序檢查新員工條件研發(fā)與技術發(fā)展應急計劃結構培訓與其他程序監(jiān)督避免決定退出某一地區(qū)當檢查發(fā)現(xiàn)客戶無信用時，決定不再與該客戶進行交易決定不出售明知是一種不道德的產(chǎn)品接受成本效益原則，如針對風險制定控制與其他回應決定在一個面臨綁架高風險的國家運營——你無法控制接受超過

￡1,000,000的保險費政策為提高銷售數(shù)量，接受高信用風險客戶轉(zhuǎn)移采取保險政策定期維護外包給設備管理公司與供應商簽訂的合同應明確不能滿足約定條件時，可以獲得財務補償與其他公司建立合資公司，與其共同開發(fā)商業(yè)機會控制活動第二十八條企業(yè)應當結合風險評估結果，通過手工控制與自動控制、預防性控制與發(fā)現(xiàn)性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內(nèi)?？刂拼胧┮话惆ǎ翰幌嗳萋殑辗蛛x控制、授權審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評控制等。銷售系統(tǒng)流程供貨計劃表供貨計劃表處理供貨計劃表主檔案產(chǎn)品指示書確認產(chǎn)品指示書發(fā)貨通知單發(fā)貨單供貨計劃表中的單價銷售通知單銷售通知單主檔案發(fā)貨確認銷售通知單傳遞銷售發(fā)票銷售明細帳營業(yè)所市場部專人技術部倉庫

財務部采購流程圖供銷協(xié)調(diào)會議供貨通知書（合同）客戶根據(jù)供貨通知書發(fā)貨倉庫入庫開入庫通知單資材部收發(fā)票品質(zhì)部檢驗合格收料單1342收料單4資材部留存發(fā)票財務部發(fā)票與收料單3核對一致月末將收料單2與收料單3未核對一致的部分暫估入帳收料單1為倉庫留存資材部財務部采購流程圖（續(xù)）國內(nèi)采購付款資材部財務部資金需求表暫支單核準資金使用額度付款供應商余額帳應付帳款部長核準部長核準月末核對成本系統(tǒng)流程圖在產(chǎn)品計算表愿材料消耗分攤表在產(chǎn)品收發(fā)存報表人工成本分攤表制造費用分攤表產(chǎn)成品生產(chǎn)成本計算表銷售成本計算表銷售月報表授信客戶信用評估表合同評審表物料管理

——原材料收發(fā)倉儲管理規(guī)定流程項目責任單位/人分包商交貨合格分包商倉庫點收并登記進貨檢驗倉庫驗收倉儲備料/發(fā)料/作帳定期盤點呆滯料處置倉管員品管倉管員倉管員倉管員倉管員資料及技術部等相關單位人員退貨退貨NGNGOKOKNGNG呆滯材料庫存明細表財產(chǎn)報廢清單財務融資循環(huán)流程圖預算作業(yè)業(yè)主權益股務作業(yè)短期借款作業(yè)中、長期借款作業(yè)出納現(xiàn)象收支作業(yè)零用金作業(yè)一般費用報支營業(yè)外收支作業(yè)印鑒管理背書保證原始憑證記帳憑證會計帳務處理作業(yè)財務報表查核績效評估會計資料保管固定資產(chǎn)循環(huán)流程圖預算差異分析請購工程設計購買/建造生產(chǎn)循環(huán)財務融資循環(huán)采購作業(yè)投保作業(yè)發(fā)包、訂約驗收作業(yè)是否合格付款與合約不符作業(yè)工程進度及監(jiān)工驗收、決算固定資產(chǎn)取得是否增添作業(yè)處分作業(yè)維護作業(yè)保管記錄信息與溝通第三十八條企業(yè)應當建立信息與溝通制度。第三十九條企業(yè)應當對收集的各種內(nèi)部信息和外部信息進行合理篩選、核對、整合，提高信息的有用性。第四十條企業(yè)應當將內(nèi)部控制相關信息在企業(yè)內(nèi)部各管理級次、責任單位、業(yè)務環(huán)節(jié)之間，以及企業(yè)與外部投資者、債權人、客戶、供應商、中介機構和監(jiān)管部門等有關方面之間進行溝通和反饋。信息與溝通第四十一條企業(yè)應當利用信息技術促進信息的集成與共享，充分發(fā)揮信息技術在信息與溝通中的作用。企業(yè)應當加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行。第四十二條企業(yè)應當建立反舞弊機制。內(nèi)部監(jiān)督第四十四條企業(yè)應當制定內(nèi)部控制監(jiān)督制度，明確內(nèi)部審計機構(或經(jīng)授權的其他監(jiān)督機構)和其他內(nèi)部機構在內(nèi)部監(jiān)督中的職責權限，規(guī)范內(nèi)部監(jiān)督的程序、方法和要求。內(nèi)部監(jiān)督分為日常監(jiān)督和專項監(jiān)督。第四十五條企業(yè)應當制定內(nèi)部控制缺陷認定標準。內(nèi)部控制缺陷包括設計缺陷和運行缺陷。上市公司內(nèi)部控制指引公司建立和實施內(nèi)控制度時，應考慮以下基本要素：（一）目標設定，指董事會和管理層根據(jù)公司的風險偏好設定戰(zhàn)略目標。（二）內(nèi)部環(huán)境，指公司的組織文化以及其他影響員工風險意識的綜合因素，包括員工對風險的看法、管理層風險管理理念和風險偏好、職業(yè)道德規(guī)范和工作氛圍、董事會和監(jiān)事會對風險的關注和指導等。（三）風險確認，指董事會和管理層確認影響公司目標實現(xiàn)的內(nèi)部和外部風險因素。上市公司內(nèi)部控制指引（四）風險評估，指董事會和管理層根據(jù)風險因素發(fā)生的可能性和影響，確定管理風險的方法。（五）風險管理策略選擇，指董事會和管理層根據(jù)公司風險承受能力和風險偏好選擇風險管理策略。（六）控制活動，指為確保風險管理策略有效執(zhí)行而制定的制度和程序，包括核準、授權、驗證、調(diào)整、復核、定期盤點、記錄核對、職能分工、資產(chǎn)保全、績效考核等。（七）信息溝通，指產(chǎn)生服務于規(guī)劃、執(zhí)行、監(jiān)督等管理活動的信息并適時向使用者提供的過程。（八）檢查監(jiān)督，指公司自行檢查和監(jiān)督內(nèi)部控制運行情況的過程。中央企業(yè)全面風險管理指引本指引所稱內(nèi)部控制系統(tǒng)，指圍繞風險管理策略目標，針對企業(yè)戰(zhàn)略、規(guī)劃、產(chǎn)品研發(fā)、投融資、市場運營、財務、內(nèi)部審計、法律事務、人力資源、采購、加工制造、銷售、物流、質(zhì)量、安全生產(chǎn)、環(huán)境保護等各項業(yè)務管理及其重要業(yè)務流程，通過執(zhí)行風險管理基本流程，制定并執(zhí)行的規(guī)章制度、程序和措施。中央企業(yè)全面風險管理指引收集風險管理初始信息風險評估風險管理策略風險管理解決方案風險管理的監(jiān)督與改進風險管理組織體系風險管理信息系統(tǒng)風險管理文化附錄：組織危機征兆1.具有影響力的高層經(jīng)理人員沉醉于過去，不思進取，沒有破釜沉舟的勇氣。所以變化以及力主變化的人員都成為威脅或障礙。2.管理層的威信降低甚至遭到挑戰(zhàn)。3.管理層不愿開發(fā)培訓下屬人力資源，因為害怕地位受威脅。4.員工不能或很少從自己的業(yè)績中獲得反饋。5.繁雜的官僚機構和管理系統(tǒng)阻礙了有效業(yè)務活動的開展。組織危機征兆（續(xù)）6.部門內(nèi)部及部門間的沖突沒有得到有效解決，而是出現(xiàn)升級。7.內(nèi)部謠言不斷。8.新員工在組織中放任發(fā)展。進入組織的培訓僅被看作是一件具體的事，而不是一個必經(jīng)的流程。9.員工感到?jīng)]有按業(yè)績計報酬。10.大家對緊急事件沒有表現(xiàn)出應有的緊迫。11.新的想法或創(chuàng)新遭到管理層壓制。13.制定決策和實施決策間隔太長。14.規(guī)則和流程經(jīng)常公然失效，對違規(guī)者也沒有處罰。15.公司的目標不清晰或者高層經(jīng)理的想法不一致。這種混亂間接對經(jīng)營業(yè)績有負面影響。組織危機征兆（續(xù)）16.許多人相互扯皮，盡量少做事，不關心同事。17.崗位、職責不清晰或重復。18.相對次要的決策都得高層把關，各級員工沒有得到自己決策的授權。19.很少有贊揚，特別是高層經(jīng)理的贊揚就更少，這樣員工就會產(chǎn)生疏離和不受關注的感覺。20.公司中一個部門不知道另一個部門做什麼，也懶得關心。組織危機征兆（續(xù)）22.沒有熱情學習和自我發(fā)展，特別是在經(jīng)理層。23.培訓課程沒有根據(jù)學習的需要來開發(fā)，而且培訓通常作為成本而不是作為組織的增殖活動而被裁撤。24.辭職對管理層而言經(jīng)常有驚訝的感覺，此時他們才意識到應該早些接觸這些人。25.沒有能力的人形成了一個小團體，經(jīng)常在一起抱怨，這可能導致內(nèi)部小團體的產(chǎn)生，使組織氛圍緊張。組織危機征兆（續(xù)）26.優(yōu)秀人才流向其他公司，剩下的人沒有離開，也許他們沒有意識到?jīng)]有人想要他們。27.業(yè)務節(jié)奏過快，過程中的很多努力和積極主動的精神產(chǎn)生的價值沒有時間去總結提煉。28.相互責備的文化氛圍不利于創(chuàng)新，阻礙了人們承擔自己責任，每個人都認為“那不是我的錯”。29.招聘人員經(jīng)常按自己的想法找人，原因多種多樣，如維持自己的地位、對無知的擔心、甚至是出于偏見。組織危機征兆（續(xù)）30.變革的想法總要遭到守舊者的大力排擠。32.運動式的工作方法作為解決問題的主要手段。34.組織中成功與業(yè)績存在差距，成功的人未必很有業(yè)績，而業(yè)績好的人即不被認可也沒有收到獎賞，因此他們也不可能獲得成功。35.能干的人沒有作出他們想做的成果和貢獻，但卻在競爭對手那實現(xiàn)了抱負。組織危機征兆（續(xù)）38.無法面對業(yè)績下滑。也許是因為組織中彌漫著一種文化——即不論是整體的還是個體的，只要是沒達到業(yè)績目標，就沒有勇氣去面對，而此時這些困難恰恰是需要解決的。39.高層經(jīng)理離一線太遠，大家根本不了解他。40.組織中大量的時間都浪費了。41.積極主動的人滿負荷工作，因為他們值得信賴，相反不可靠的人卻工作的很少，因為老板不相信他們能做好事。組織危機征兆（續(xù)）42.財務上的業(yè)績顯示較好，實際上也阻礙了進一步預測將來的需求和辨別人員管理、能力等深層次問題的努力。43.關鍵業(yè)務沒有量化到個人身上，導致沒有人對結果負責。44.組織結構和崗位設置使論資排輩大行其道，所以真正的接班人計劃或者憑業(yè)績提升不可能有效實施。45.組織中很少有人感覺良好或快樂。原因很多，例如感到不安全及對將來工作的迷茫。組織危機征兆（續(xù)）47.員工爭相追求自己的目標和個人利益，全然置于組織之上。49.組織中的重要位置大多是新人，他們沿用自己過去的工作模式，沒有考慮到過去的經(jīng)驗與目前公司該崗位要求的差距。50.員工沒有工作作了，經(jīng)常是很少或干脆沒事可做。51.在剛剛產(chǎn)生利潤下滑的征兆或困難時期，平時被大力宣揚的員工價值一樣要成為可以削減的短期成本，公司通常會宣布裁員，根本不考慮中長期的影響。

組織危機征兆（續(xù)）60.當遭到攻擊時（如在報紙或新聞中），組織很少做出反抗。此外，積極主動的推廣活動也很少。61.當事情變糟時，高層管理人員感到?jīng)]有誰應承擔責任，也許他們會反復強調(diào)他們沒有能力影響事態(tài)的發(fā)展。62.組織中提倡“最糟糕的業(yè)績不能低于什麼標準”的文化，“我們做的夠好了”常常是人們做事的標準，但很少有人努力把事情做的更好。組織危機征兆（續(xù)）68.沒有考慮接班人計劃，這就是說未來的關鍵崗位幾乎沒有人才儲備。更糟的是，這種現(xiàn)象可能是出于現(xiàn)任領導害怕給自己建立競爭對手，或者害怕使自己看來沒有那么完美。70.變化總是對一些事件的被動反應，很少有主動的變化。71.客戶投訴按照個案處理或被認為是個別的無理取鬧而不予理會。即