如何構(gòu)建企業(yè)內(nèi)部控制體系

如何構(gòu)建企業(yè)內(nèi)部控制體系

國際內(nèi)部控制協(xié)會中國合作伙伴首席代表國際內(nèi)部審計師協(xié)會溝通咨詢委員會委員張玉

一、企業(yè)內(nèi)部控制概論二、我國《企業(yè)內(nèi)部控制基本規(guī)范》

三、國際內(nèi)部控制法規(guī)、框架及指南四、企業(yè)內(nèi)部控制體系構(gòu)建

五、企業(yè)內(nèi)部控制體系的實施與應用六、企業(yè)內(nèi)部控制評價

ICI中國總部一、企業(yè)內(nèi)部控制概論

（一）內(nèi)部控制的演變

（二）為什么需要建設內(nèi)部控制職業(yè)隊伍？（三）誰對內(nèi)部控制系統(tǒng)負責?（四）舞弊案件是如何發(fā)現(xiàn)的？ICI中國總部（一）內(nèi)部控制的演變

內(nèi)部牽制內(nèi)部控制制度內(nèi)部控制結(jié)構(gòu)內(nèi)部控制整合框架企業(yè)風險管理整合框架ICI中國總部

（二）為什么需要建設內(nèi)部控制職業(yè)隊伍？目前，企業(yè)內(nèi)部控制體系設計主要有三種形式：

——外包給四大會計師事務所；

——企業(yè)自行設計；

——自行設計與外包相結(jié)合。ICI中國總部

（三）誰對內(nèi)部控制系統(tǒng)負責?最高管理層負有對內(nèi)部控制系統(tǒng)的組織實施的責任；董事會負有監(jiān)督責任；外部和內(nèi)部審計師負有評估內(nèi)部控制有效性的責任；誰擔當設計和實施內(nèi)部控制的重任？ICI中國總部我國企業(yè)誰對內(nèi)部控制系統(tǒng)負責？

內(nèi)部控制自我表現(xiàn)評價報告的披露要求:(1)聲明企業(yè)董事會對建立健全和有效實施內(nèi)部控制負責，并履行指導和監(jiān)督職責，能夠保證財務報告的真實可靠和資產(chǎn)的安全完整；

……依法應當披露的內(nèi)部控制自我評估報告，經(jīng)董事會審議后公布。

《企業(yè)內(nèi)部控制基本規(guī)范解讀及應用指南》P157ICI中國總部（四）舞弊案件是如何發(fā)現(xiàn)的？安永在2003年全球欺詐調(diào)查報告中指出，最嚴重的舞弊欺詐案件中有85%源自內(nèi)部人作案，50%以上的欺詐是由管理層造成的。美國注冊舞弊檢查師協(xié)會公布舞弊案件檢查結(jié)果發(fā)現(xiàn)的途徑：1、雇員舉報26.3%；2、偶然發(fā)現(xiàn)18.8%；3、內(nèi)審人員發(fā)現(xiàn)18.6%；4、內(nèi)控系統(tǒng)檢查15.4%；5、外部審計11.5%；6、其他9.4%。ICI中國總部案例一：“中行開平案”八年追訴2009年5月6日，美國拉斯維加斯聯(lián)邦法院以洗錢、跨州轉(zhuǎn)運盜竊資金、護照和簽證欺詐等罪名，分別判處中國銀行開平支行前任行長許超凡和許國俊入獄25年和22年，并勒令被告退還4.82億美元的涉案贓款。同案的許超凡之妻鄺婉芳、許國俊之妻余英怡，也分別獲刑8年。至此，震驚全國的中行開平案終于告一段落，出逃北美的三個主犯無一逃脫法律的制裁。ICI中國總部中行開平案是如何被發(fā)現(xiàn)的？2001年10月12日，中國銀行為加強管理，將全國1040處電腦中心統(tǒng)一成一套系統(tǒng)，集中設置在33個中心。一聯(lián)網(wǎng)，電腦中心反映出賬目上虧空8000萬美元，很快又飆升到4.83億美元。數(shù)字過于巨大，以至于工作人員最初以為是電腦系統(tǒng)出現(xiàn)了技術(shù)故障。經(jīng)過幾番復算之后，結(jié)論仍然相同。中行發(fā)生了建國以來規(guī)模最大的銀行資金盜竊案，涉案資金折合人民幣超過40億元，這一“紀錄”迄今未被打破。ICI中國總部案例二:河北邯鄲農(nóng)行金庫失竊案2007年4月14日，邯鄲市農(nóng)業(yè)銀行金庫發(fā)生一起特大盜竊案，被盜現(xiàn)金人民幣近5100萬元。經(jīng)調(diào)查發(fā)現(xiàn)，任曉峰、馬向景有重大作案嫌疑。兩人用1個多月時間多次盜竊金庫共計5100萬元，其中4300萬買了彩票，但幾乎沒有中過獎。最多的一次用1410萬元買了彩票。作案動機：買彩票，想中了大獎，再把錢還進去。ICI中國總部農(nóng)行邯鄲案三大疑點一、參與人數(shù)：雖然兩人串通可以用兩把鑰匙打開金庫大門，但搬運近兩噸重鈔票（疊起來高51米，要裝滿滿6個麻袋

）是一項繁重體力勞動，僅有兩人參與難以想象。二、如何搬運：農(nóng)行金庫處在繁華的鬧市路口，如果不用運鈔車，搬運很容易被發(fā)現(xiàn)。三、如何處置：這些現(xiàn)金既不能逃跑時攜帶，也無法存入銀行，如何處置也是難題。ICI中國總部邯鄲農(nóng)行案主犯寫下12條金庫管理制度建議4月19日，任曉峰在連云港被逮捕。身在看守所內(nèi)的任曉峰根據(jù)自己犯罪經(jīng)過，積極對銀行金庫管理制度提出建議，同時他也在萬般悔恨中寫下了滿滿5頁的懺悔書。任曉峰寫出對銀行金庫管理的一些建議，希望能對防止犯罪事件的再次發(fā)生起到一些作用。ICI中國總部

二、我國《企業(yè)內(nèi)部控制基本規(guī)范》

（一）《企業(yè)內(nèi)部控制基本規(guī)范》的意義（二）內(nèi)部控制定義、目標和要素ICI中國總部（一）《企業(yè)內(nèi)部控制基本規(guī)范》的意義2008年6月，在借鑒和吸收國際監(jiān)管新理念的背景下，我國財政部、審計署、證監(jiān)會、銀監(jiān)會和保監(jiān)會五部委聯(lián)合印發(fā)了《企業(yè)內(nèi)部控制基本規(guī)范》（財會[2008]7號）。這一被稱為中國版《薩?奧法案》的《企業(yè)內(nèi)部控制基本規(guī)范》是我國第一部加強和完善企業(yè)內(nèi)部控制系統(tǒng)，提高企業(yè)經(jīng)營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展，維護社會主義市場經(jīng)濟秩序和社會公眾利益的重要法規(guī)文件。ICI中國總部（二）內(nèi)部控制定義、目標和要素定義：內(nèi)部控制是由董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程?？刂颇繕耍汉侠肀ＷC企業(yè)(1)經(jīng)營管理合法合規(guī)；(2)資產(chǎn)安全；(3)財務報告及相關(guān)信息真實完整；(4)提高經(jīng)營效率和效果；(5)促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。要素：基本規(guī)范在形式上借鑒了COSO內(nèi)部控制5要素框架；在內(nèi)容上體現(xiàn)了COSO風險管理8要素框架的實質(zhì)。ICI中國總部根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》的執(zhí)行要求，自2009年7月1日起在上市公司范圍內(nèi)施行，鼓勵非上市的大中型企業(yè)執(zhí)行。上市公司應當對本公司內(nèi)部控制有效性進行自我評估，披露年度自我評價報告，并可聘用具有證券、期貨業(yè)務資格的會計師事務所對內(nèi)部控制的有效性進行審計。ICI中國總部

三、國際內(nèi)部控制法規(guī)、框架及指南（一）COSO內(nèi)部控制框架及指南簡介（二）美國《反海外賄賂行為法》（三）亂世出重典——?薩?奧法案?（四）COSO《企業(yè)風險管理

——整合框架》（五）內(nèi)部控制與風險管理比較ICI中國總部

（一）COSO內(nèi)部控制框架及指南簡介

1999年9月，英國發(fā)布的Turnbull報告，即《內(nèi)部控制——董事關(guān)于“聯(lián)合規(guī)則”的指南》，該指南把風險管理、內(nèi)部控制和商業(yè)目標聯(lián)系起來。CoCo控制指南是由加拿大注冊會計師協(xié)會的標準委員會在COSO模型的基礎上改編而成。內(nèi)部控制（COSO，Turnbull，CoCo）

披露控制措施（SEC）內(nèi)部控制（SEC）ICI中國總部1992年，COSO——美國反欺詐財務報告委員會（TreadwayCommittee）發(fā)起組織委員會發(fā)布《內(nèi)部控制——整合框架》構(gòu)建了由三個目標和五項要素組成的內(nèi)部控制框架。該框架的發(fā)布和廣泛采用標志著內(nèi)部控制開始在理論上和實務上走出審計范疇，從而成為企業(yè)整個管理體系的有機組成部分，同時該框架也為企業(yè)內(nèi)部控制評價提供了指導。1、COSO《內(nèi)部控制——整合框架》ICI中國總部2、COSO內(nèi)部控制的定義與目標

“內(nèi)部控制是一個流程，受到企業(yè)董事會、管理層和其他人員的影響，旨在為實現(xiàn)下列分類目標提供合理保證：

?

經(jīng)營的效果和效率；（績效）

?

財務報告的可靠性；（報告）三大目標

?

遵從適用的法規(guī)。”（合規(guī)）

因此，整個集團的共同參與對于項目的成功至關(guān)重要。ICI中國總部COSO內(nèi)部控制定義反映的基本概念內(nèi)部控制是一個流程。它是實現(xiàn)目標的手段，而不是結(jié)果本身。內(nèi)部控制受到人的影響。它不僅僅是政策手冊和表格，而且涉及組織每一層級的員工。內(nèi)部控制被期望只能提供合理的保證，而不是對企業(yè)的管理層和董事會提供絕對的保證。內(nèi)部控制促進實現(xiàn)一個或多個別的但又部分交疊的分類目標。ICI中國總部3、COSO內(nèi)部控制五大要素控制環(huán)境(Controlenvironment)風險評估(Riskassessment)控制活動(Controlactivities)信息與溝通(Informationandcommunication)監(jiān)控(Monitoring)ICI中國總部COSO內(nèi)部控制五要素之間的關(guān)系

監(jiān)控活動控制環(huán)境溝通信息控制風險溝通信息活動評估ICI中國總部（二）美國《反海外賄賂行為法》1977年美國國會通過了針對內(nèi)部控制目標的《反海外賄賂行為法》，該法案規(guī)定：內(nèi)部控制不是會計部門的責任，而是美國公司董事會的責任；在該法中確認的內(nèi)部控制目標是:授權(quán)、記錄、使用資產(chǎn)、資產(chǎn)的會計責任。ICI中國總部（三）亂世出重典——?薩?奧法案?進入21世紀，美國先后爆發(fā)了安然、世通、安達信等公司欺詐、會計造假的丑聞，使投資大眾遭受巨大的損失。為了加強公司治理，重建投資者的信心，2002年7月,美國國會頒布了《2002年上市公司會計改革和投資者保護法案》。該法案是1933年以來美國證券立法中影響最深遠的法案。ICI中國總部

1、安然、世通丑聞后美國采取的應對舉措

個體股民的訴訟;證券交易委員會的稽查;(綜合治理)司法部的刑事起訴;國會的調(diào)查。ICI中國總部2、探討財務丑聞和欺詐行為的根源——

一些企業(yè)的商業(yè)道德淪喪,缺乏信托責任,不履行社會責任。公司治理——企業(yè)的心臟；

外部環(huán)境——“外因”；

內(nèi)部控制——“內(nèi)因”、“免疫系統(tǒng)”；內(nèi)部審計——“企業(yè)良心”。

ICI中國總部安然和世通兩位

前內(nèi)部審計主管的不同命運:

安然公司的首席審計執(zhí)行官（CAE）理查德?科西面臨詐騙、洗錢、內(nèi)部交易、虛報公司盈利和做假欺騙審計人員等共34項罪名的指控;世通公司前內(nèi)部審計部主管辛西亞·庫珀因為在世通案件中的突出表現(xiàn)——對38.5億美元費用違規(guī)列入資本支出項目的揭示和向公司審計委員會報告，不僅解脫了其自身的責任，而且成為美國《時代》周刊2002年度“風云人物”之一。ICI中國總部

（四）

COSO《企業(yè)風險管理

——整合框架》2004年9月，COSO發(fā)布了?企業(yè)風險管理——整合框架?(8要素框架)ICI中國總部1、企業(yè)風險管理（ERM）定義企業(yè)風險管理（ERM）定義：ERM是一個流程，由企業(yè)的董事會、管理層和其他員工共同參與，應用于企業(yè)戰(zhàn)略制定，識別可能對企業(yè)造成潛在影響的事項，并在其風險承受度范圍內(nèi)管理風險，為實現(xiàn)企業(yè)目標提供合理保證。ICI中國總部2、風險管理（ERM）組成部分八大要素：內(nèi)部環(huán)境目標設定事件識別風險評估風險應對控制活動信息溝通監(jiān)控四大目標：戰(zhàn)略目標運營目標報告目標合規(guī)目標ICI中國總部3、COSO兩個框架的融合1.內(nèi)部環(huán)境（1）控制環(huán)境2.目標設定3.事件識別

4.風險評估（2）風險評估

5.風險應對（3）控制活動6.控制活動（4）信息與溝通7.信息與溝通（5）監(jiān)控8.監(jiān)控內(nèi)部控制框架企業(yè)風險管理框架ICI中國總部（五）內(nèi)部控制與風險管理比較內(nèi)部控制風險管理●在假定公司面臨的風險●

將處于不斷變化市場中的公基本確定的情況下，主司視為管理對象，著眼于外要著眼于內(nèi)部