1、企业内部控制专题企业内部控制专题中南财经政法大学中南财经政法大学 沈烈沈烈 教授教授准备一共讲三个大问题内部控制撩起神秘的面纱内部控制撩起神秘的面纱内部控制观念碰撞与误区辨析内部控制观念碰撞与误区辨析内部控制任重而道远内部控制任重而道远第1页,共36页。一、内部控制撩起神秘的一、内部控制撩起神秘的面纱面纱 疑问与神秘:疑问与神秘:内部控制是什么?是不是一个全新的课题或领域?内部控制是什么?是不是一个全新的课题或领域?内部控制是不是高深莫测、难以驾驭、内部控制是不是高深莫测、难以驾驭、难以实施、难有作为?难以实施、难有作为?现实现实:内部控制并不神秘,它就在我们内部控制并不神秘,它就在我们 身边
2、。身边。第2页,共36页。企业里常见的内控现象 财经重地,非请莫入 库房重地,闲人免进 请你签字(或留下指纹)请输入你的密码 一支笔 一人为私,二人为公令人不爽的告示牌令人烦恼的手续令人熟悉的说法和作法生活中随处可见内部控制公交车上的内部控制公交车上的内部控制的士司机的的士司机的“古怪古怪”行为行为上下班刷卡签到签退上下班刷卡签到签退第3页,共36页。现在国人对企业内部控制的重要性和现在国人对企业内部控制的重要性和必要性的认识高度已大大提升了必要性的认识高度已大大提升了 企业生存发展壮大之需 资本市场秩序维护与发展之需 经济与社会健康、持续发展之需 经济国际浸透与融合之需目前,我国许多企业增强
3、了对内部控制的主动性,自觉地花大价钱建立企业内部控制制度。得控则强、失控则弱、无控则乱得控则强、失控则弱、无控则乱。第4页,共36页。我国国务院也意识到内部控制在提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益上的重要意义,责令有关部门研究和规范企业的内部控制问题。2001年起,财政部出台了一系列相关规范。2008年5月22日,财政部会同证监会、审计署、银监会、保监会制定的企业内部控制基本规范(简称“规范”)正式发布,要求自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。第5页,共36页。财政部等五部门颁发“规范”的“通知”要
4、求,执行本“规范”的公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。2010年 4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了企业内部控制配套指引(18项,与2008年5月发布的企业内部控制基本规范,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。同时,鼓励非上市大中型企业提前执行
5、。第6页,共36页。二、内部控制观念碰撞与误二、内部控制观念碰撞与误区辨析区辨析 完整的完整的“内部控制内部控制”是一个什么概念?是一个什么概念?“规范规范”第三条讲:第三条讲:本规范所称内部控制,是由企业董本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。的、旨在实现控制目标的过程。第7页,共36页。(一)内部控制的目标(一)内部控制的目标 目标决定策略、规划和行动 传统观念:三大目标,即(1)保护资产的安全完整(资产保全性目标)(2)保证会计信息的质量(财务报告性目标)(3)确保有关法律法规和规章制度的贯彻执行(合
6、法合规性目标)这可从我国现行的内部控制规范中得到见证第8页,共36页。我国我国“内部会计控制规范内部会计控制规范基本规范基本规范”(2001.6.222001.6.22起试行)起试行)内部会计控制是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。第9页,共36页。新的观念:新的观念:四大主要目标四大主要目标 1)战略目标。合理保证企业战略管理的合理性。2)经营目标。合理保证企业经营的有效性和效率,包括业绩目标和盈利性目标,根据管理者对企业结构和经营选择的不同而变化。3)报告目标。合理保证企业报告的有效性,包括内部
7、和外部报告,既涉及财务信息,也涉及非财务信息。4)合法性目标。合理保证企业的生产经营活动符合相关的法律和法规。第10页,共36页。战略管理是企业的决策者根据内部和外部环境因素,确定企业的中长期发展方向和目标,进行资源的重点配置,制定战略规划并执行战略规划的过程。企业战略与企业的任务和预期相联系,事关企业的发展方向甚至生死存亡,不容有误。企业战略的特点:企业战略的特点:全局性、长远性、指导性、竞争性、风险性。第11页,共36页。企业战略管理:从过程看,包括战略方向 战略目标 战略规划 战略实施 从范围看,包括总体战略 具体战略 从内容看,包括竞争战略、合作战略、组织战略、组织战略、营销战略、人力
8、 资源战略、财务战略、生产 战略、研发/技术战略、跨国 经营战略,产品战略,投资 战略,防守战略,文化战略,等。第12页,共36页。实行战略管理首先必须明确战略方向,明确在相当长的战略时期中,企业准备做什麽。例如:提供什么产品或服务?采用什么技术?面向什么客户群?满足客户什么需求?经营范围多大?是否实行多元化经营?企业要对社会经济发展承担哪些责任?等 这些方向性的决策多由企业高层决策部门作出,无不充斥着风险,均需要内部控制提供合理保证。第13页,共36页。我国“企业内部控制基本规范”(财政部、证监会、审计署、银监会、保监会 2008.5.22联合发布,2009.7.1先在上市公司施行)内部控制
9、的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。即将“资产安全”单独突出出来,形成第五大目标第14页,共36页。(二)内部控制的时空范围(二)内部控制的时空范围 传统观念或误区:1)空间上是对会计、审计所涉范围的控制 2)时间上是对事中和事后的控制 新的观念与认识:1)空间上是全方位的 2)时间上是全时限的 包括事前、事中与事后第15页,共36页。只要关乎企业价值创造和价值最大化的所有领域和事项,包括:战略性的和战术性的战略性的和战术性的 文化的和非文化的文化的和非文化的 可量化的和非量化的可量化的和非量化的 道德的和非道德
10、的道德的和非道德的 理性的和非与理性的理性的和非与理性的,等等,均属于其控制的范围。也就是说,内部控制的空间范围遍布内部控制各大要素所触及的方方面面,即企业上上下下、左左右右所有大大小小的事项,大到公司治理结构,重大对内对外决策,小到一笔现金的支付,或者一张“对账单”的索取。第16页,共36页。(三)内部控制的主客体(三)内部控制的主客体 传统观念或误区:传统观念或误区:1)主体管理层、会计与审计人员)主体管理层、会计与审计人员 2)客体各项能以货币计量的经济活动)客体各项能以货币计量的经济活动 新的观念与认识:新的观念与认识:1)主体企业董事会、监事会、经理层)主体企业董事会、监事会、经理层
11、 和全体员工和全体员工 2)客体与实现控制目标有关的所有活)客体与实现控制目标有关的所有活 动动第17页,共36页。意味着现在意义上内部控制已与过去的不能同日而语意味着现在的内部控制是一场由董事会意味着现在的内部控制是一场由董事会发动的发动的“群众战争群众战争”、“人民战争人民战争”。意识着现在的内部控制是一场意识着现在的内部控制是一场“立体立体”的的“无孔不入无孔不入”的战争的战争主客体的关系与正确的心态主客体的关系与正确的心态下第18页,共36页。企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项
12、并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。2004年9月29日COSO颁布的正式研究报告(企业风险管理整体框架)当然这里有一个责任分工问题,“基本规范”第十二条规定:董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。第19页,共36页。三、内部控制任重而道远三、内部控制任重而道远 从前面的学习中可大体领悟到,内部控制所要追求的境界:企业大大小小的事务基本上都处于监督企业大大小小的事务基本上都处于监督之下、掌控之中之下、掌控之中 形成一种议事程式科学规范,职责清晰、形成一种议事程式科学规范,职责清
13、晰、考核严密,奖罚分明、风险意识和责任意考核严密,奖罚分明、风险意识和责任意识浓厚、相互支撑、相互监督、相互制约识浓厚、相互支撑、相互监督、相互制约的管理文化和内部控制环境的管理文化和内部控制环境第20页,共36页。(一)内部控制是一个动态的过程(一)内部控制是一个动态的过程 不是静止的、一劳永逸的 而是一个长期的、动态的、与时俱进的、不断总结与完善的过程 从大的来说,内部控制发展经历 的五个发展阶段就是例证 从小的来说,每一个控制点的控 制举措也需在不断碰撞中修正 下面再给大家讲一个故事,体验这一过程的曲折与艰辛第21页,共36页。内部控制产生与发展的五个阶段第22页,共36页。(二)内部控
14、制是一多要素支撑的(二)内部控制是一多要素支撑的系统系统 内部控制不是一些制度的简单汇编 而是一个多要素(要件)支撑的系统 我国08年5月发布的“基本规范”中认为内部控制至少应包括五大要素 2004COSO报告认为内部控制应有八大要素构成第23页,共36页。我国内部控制的要素五要素 企业内部控制基本规范企业内部控制基本规范第五条:企业建立与实施有效的内部控制,应当包括下列要素:(一)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。(二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定
15、风险应对策略。第24页,共36页。(三)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。(四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。(应当建立反舞弊机制和举报制度)(五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。第25页,共36页。五大要素的关系 控制环境为基础,风险评估为依据,控制活动为手段(抓手),信息与沟通为载体(条件),监督为保证第26页,共36页。企业风险管理框架报告中认为风险管理包括八
16、个组成要素:内部环境目标设定事件识别风险评估风险对策控制活动信息与沟通监督。第27页,共36页。(三)内部控制应是多方法效用的集合(三)内部控制应是多方法效用的集合 内部控制目标的实现不可能仅仰仗一两种方法和手段的运用,而必须设计、运用一系列方法。因为内部控制的方法是一个体系 每个方法均有其优点和局限性 内部控制目标的实现依赖于方法的联合运用、取长补短第28页,共36页。内部控制的常用方法内部控制的常用方法 1、分权控制、分权控制2、授权批准控制、授权批准控制3、会计系统控制、会计系统控制4、岗位轮换控制、岗位轮换控制5、实物控制、实物控制6、预算控制预算控制7、内部报告控制、内部报告控制 第
17、29页,共36页。8、电子信息技术控制、电子信息技术控制 9、内部审计控制、内部审计控制10、运营分析控制、运营分析控制11、绩效考证控制、绩效考证控制12、档案管理控制、档案管理控制各自功能有别,适用对象各异、产生效果不各自功能有别,适用对象各异、产生效果不尽相同,不能指望其中一两个方法实现全覆尽相同,不能指望其中一两个方法实现全覆盖,必须借助它们的联合效应,进行盖,必须借助它们的联合效应,进行多层面、多层面、多支撑、流程化和规范化控制。多支撑、流程化和规范化控制。第30页,共36页。(四)分权控制与风险管理是内部(四)分权控制与风险管理是内部 控制的基础和灵魂控制的基础和灵魂 分权是贯穿内
18、部控制活动的主线 内部控制过程实际上风险管理的过程正确认识风险 风险管理的基本原理与思想第31页,共36页。广义的风险是指事项预期结果的不确定广义的风险是指事项预期结果的不确定性,既包括具负面效应的不确定性,同性,既包括具负面效应的不确定性,同时也包括具正面效应的不确定性。时也包括具正面效应的不确定性。风险无处不在,无所不有,客观存在于风险无处不在,无所不有,客观存在于大小现存的和潜在的事项之中。大小现存的和潜在的事项之中。风险的正、负面效应在不同时空条件下风险的正、负面效应在不同时空条件下其程度不同,有时可相互转化。其程度不同,有时可相互转化。狭义的风险主要指事项具负面效应的不狭义的风险主要
19、指事项具负面效应的不确定性。但其不等于就是恶魔、损失和确定性。但其不等于就是恶魔、损失和灾难。灾难。第32页,共36页。风险有别于风险有别于“危险危险”,危险专指高负面效应,风险,危险专指高负面效应,风险概念比危险广泛,危险是风险的一部分。概念比危险广泛,危险是风险的一部分。内部控制的风险管理更倾向于狭义的风险管理内部控制的风险管理更倾向于狭义的风险管理 风险管理针对企业所有对控制目标实现有影响的风险管理针对企业所有对控制目标实现有影响的事项,而非局限于重大的财务和经营事项事项,而非局限于重大的财务和经营事项 风险控制不是一味地回避风险,而是一个在特定风险控制不是一味地回避风险,而是一个在特定
20、环境中通过设定目标、识别风险、应对风险(或环境中通过设定目标、识别风险、应对风险(或回避、或降低、或分担和或承受风险)和报告风回避、或降低、或分担和或承受风险)和报告风险的过程险的过程第33页,共36页。会计与出纳由一个人兼任隐藏的是风险还是危险,是需要讨论是以回避还是降低还是分担还是承受来管理的问题吗?思考:对外担保的风险应对的四种情形?风险回避不进行某项担保;风险降低提供有条件的担保,如反 担保、有抵押担保;风险分担联合担保、再担保;风险承受无条件、无对应措施的提 供某项担保。第34页,共36页。风险管理和内部控制仅对目标实现提供合理保证,无法提供绝对保障。风险管理和内部控制过程,可能会受到客观和主观的、外部的和内部的、可预知的和不可预知的因素的干扰,使其管理与控制效果难以达到预期,对此必须有足够的思想和行动上准备。第35页,共36页。这些因素可能是:管控本身的设计缺陷;主观体的串通作弊;主体本身的能力不济;控制客体的复杂性;等 所以并不是一管就成,一控就灵,而是一个曲折、充满艰辛,饱尝失败的过程。内部控制和风险管理贵在不断的总结和咬着牙的坚持。要坚信一点,不是每一次的努力都能成功,但坚持投入了终归总会有回报,而且是大于付出的回报。二战胜利后,当时英国的首相丘吉尔被请到剑桥大学发表演讲,他只讲了一句话:永远,永远,永远不要放弃第36页,共36页。
