1、内部控制的管理机制和解决方案中国人民大学商学院张玉周主要内容 内部控制的演变内部控制的演变 内部控制的框架结构内部控制的框架结构 内部控制的建立内部控制的建立 内部控制实务内部控制实务 内部控制评价内部控制评价第一章 内部控制的演变内部控制的演变我国企业内部控制的进程及现状一、内部控制的演变 内部牵制 内部控制制度初级阶段 管理控制和会计控制 内部控制结构 内部控制框架 萨班斯法案(1)内部牵制阶段起源于古埃及和中国周朝,成熟于15世纪的借贷记账法产生时代。主要思想:任何一个人或部门,都不能完全独立处理某一项业务,不能独立享有某项权力。任何一项业务都必须有两个人或部门完成,以便相互监督。目的:
2、确保所有账目正确无误 内部牵制由三个要素构成:职责分工、会计记录、人员轮换作用和意义:在现代内部控制中,仍占有重要地位,是组织控制、职务分离的前身。(2)内部控制制度初级阶段内部控制的思想产生于18世纪产业革命,是企业大规模化和资本大众化的结果。到20世纪初,由于两权分离,企业逐步建立了简单的内部控制制度。重点是建立健全规章制度控制目的:保护财产的安全完整、会计资料的准确性和可靠性控制对象:对单项活动的控制,但主要是会计活动设计的方面。(3)管理控制和会计控制阶段 20世纪50年代后,美国的“审计程序第23号文件”中,将内部控制划分为内部管理控制和内部会计控制。控制目的:前者在于提高经营效率、
3、促使有关人员遵守既定的管理方针;后者保护企业资产的安全,检查会计数据的准确性和可靠性 控制对象:企业经济活动及其产生的会计信息。(4)内部控制结构阶段 1988年,美国注册会计师协会首次提出内部控制结构的概念,即:“为了合理保证实现公司的具体目标而建立的一系列政策和程序”,控制结构划分为:控制环境、会计制度及控制程序三个要素。控制环境:经营管理的观念、方式和风格等因素会计系统的核心作用,对每笔业务活动的“轨迹”予以记录控制程序:对每类业务活动规定相应的程序主要内容交易授权职责划分:不相容职务相互分离,凭证与记录的控制(5)内部控制框架背景:在美国,20世纪70年代中期,与内部控制有关的活动大部
4、分集中在制度的设计和审计方面,重在改进内部控制制度和方法。1973年至1976年对水门事件(美国公司进行违法的国内捐款和贿赂外国政府官员)的调查使得立法机关与行政机关开始注意到内部控制问题。针对调查的结果,美国国会于1979年通过了反国外贿赂法(简称FCPA)。FCPA除了规定了关于反贿赂的条款外,还规定了与会计及内部控制有关的条款。因此美国许多机构都加强了对内部控制的研究并提出许多建议。1985年,由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会(National Commission On Fraudulent Financial
5、Reporting),该委员会旨在探讨财务报告中的舞弊产生的原因,并寻找解决措施。两年后,该委员会提出了很多有价值的建议。基于该委员会的建议,其赞助机构成立了一个下属机构COSO委员会(committee of sponsoring organizations,发起机构委员会),专门研究内部控制问题。1992年9月,COSO委员会提出了报告内部控制整体框架,即COSO内部控制框架。COSO内控框架的提出标志着内部控制理论发展到新的阶段。被广泛地选择作为构建和完善内部控制体系的标准。COSO内部控制框架并非唯一的内部控制框架,但却是美国证券交易委员会唯一推荐使用的内部控制框架。萨班斯法案第 40
6、4 条款的最终细则也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。COSO报告要点 三个目标:与营运有关的目标即经营的效率与效果、与财务报告有关的目标即财务报告的可靠性、与法规的遵循性有关的目标。五个要素:内控环境、风险评估、内控活动、信息与沟通、监督 三个层次:高层、业务、人员(6)企业风险管理总体框架 2004年9月,COSO又提出了企业风险管理-整合框架它既是对内部控制-整体架构的超越,也标志着内部控制的转型,在内涵构成上拓展、延伸为八要素:(1)提出一个新观念风险组合观;(2)增加一类目标战略目标;(3)提出两个新概念风险偏好、风险容忍度;(4)增加三个风险管理要素目标
7、制定、事项识别、风险反应。背景 据普华永道一项调查发现,近年美国投资者对公司提起的民事集团诉讼分别为:1999年207起,2000年201起,2001年483起。也就是说,2001年超过前两年的总和。有关研究也指出,近三年已有700多家美国公司的财务报表进行了重编,而且呈逐年上升的趋势,其中1999年有234家,2000年有258家,2001年达到305家。(7)萨班斯法案2001年12月2日安然公司(Enron)向美国破产法院纽约南区法院申请破产保护。股票流通市值由颠峰时600亿美元跌至不足2亿美元。安然公司在财富500强排行榜上雄居第七,曾连续四年荣膺“美国最具创新精神奖”,纽约时报也称其
8、为“美国新式工作场所的典范”。1997年到2000年连续四年进行会计造假,利用特殊目的实体(SPE)、出售回购、股权转让、对冲交易、空挂应收票据等方式共虚增利润6亿多美元。2001年安然公司美国第二大长途电话公司世界通信公司(WorldCom):1999-2000年期间的虚假收入33亿美元。2001年初到2002年第一季度,通过将大量的费用支出计入资本项目的手法,虚增收入38亿美元,虚增利润16亿多美元。如果剔除虚增的利润,该公司为净亏损。世界通信公司的股票由曾经最高时达64.50美元的股价跌至仅几美分。2002 年7月30日,世界通信公司被纳斯达克摘牌。2002年8月2日,该公司两名高级财务
9、主管沙利文(Scott D.Sullivan)和迈尔斯(David Myers)被纽约联邦法院提起刑事诉讼。2002年世界通信公司2002年6月28日美国媒体披露:全球最大的复印机制造商、曾是美国“最可信赖的50家公司”的施乐公司(Xerox)自1997年至2001年间虚报收入60多亿美元,虚增利润14亿美元。2002年施乐公司(Xerox)布什的讲话2002年7月9日,布什在纽约华尔街对工商界领导发表了30分钟的讲话,公布了打击公司不法行为的计划 美国证交会:美国证交会:重新拾回联邦证券法授予的权威重新拾回联邦证券法授予的权威 美国审计总署(美国审计总署(GAO):):2002年5月3日,美
10、国审计总署应参议院银行委员会主席保罗萨班斯的要求,向该委员会提交了一份报告会计职业:监管、审计独立性与财务报告问题:建立一个监督管理会计职业的新政府机构 美国国会的改革法案美国国会的改革法案各界反应美国国会的改革法案美国国会的改革法案美国国会改革法案的产生过程美国国会改革法案的产生过程 2002年4月24日,美国众议院以334赞成、90票反对的绝对优势通过了金融服务委员会主席、共和党人奥克斯利(Oxley)提交的2002公司与审计的责任、义务和透明度法案。该法案共分22个部分,分别涉及注册会计师监管、信息披露、公司管制、档案留存、分析师利益冲突、信用评级机构监管等内容。最为引人注目的是该法案要
11、求建立独立的“公共监管组织”,监管注册会计师行业。2002年7月15日,民主党控制的美国参议院以97票赞成、0票反对的结果,通过了银行委员会主席、民主党人萨班斯(Sarbanes)提交的2002公众公司会计改革与投资者保护法案,要求以更为严厉的改革措施取代众议院法案。参众两院的法案存在以下主要区别:(1)SEC的权限不同。(2)独立监管机构的组成不同。(3)对会计审计准则的制定和审批权的规定不同。(4)对非审计服务的禁止范围不同。参众两院以出人意料的速度达成协议,在参议院法案的基础上,接受众议院的建议稍做改动后,形成了统一的2002萨班斯奥克斯利法案,并于2002年7月25日下午先后在众议院和
12、参议院高票表决通过后,提交给布什总统签署。2002年7月30日上午,美国总统布什签署了2002萨班斯奥克斯利法案。布什称,这是美国自富兰克林德兰诺罗斯福总统时代以来“最为彻底的公司改革法案”,“公司犯罪再没有容易到手的金钱,只有艰难面对的时日”,“这项法律正告公司会计师:你们行业的严格标准必须毫无例外地得到遵守,审计师要接受审查,会计师要承担起责任”。触犯萨班斯法案,企业高管就有可能面临监禁等法律制裁,公司声誉下跌,投资人失去信心,股价大跌,企业失去再融资能力,最后不得不被迫退市。萨班斯法案的主要内容 成立独立的公众公司会计监管委员会授权美国SEC对公众公司会计监管委员会实施监督 加强注册会计
13、师的独立性 加大公司的责任 强化财务披露 加大违法处罚力度故意进行证券欺诈的犯罪最高可判处25年入狱。对犯有欺诈罪的个人和公司的罚金最高分别可达500万美元和2500万美元。故意破坏或捏造文件以阻止、妨碍或影响联邦调查的行为将视为严重犯罪,将处以罚款或判处20年入狱,或并处罚款和判刑。萨班斯法案与内控、合规管理的关系 要求CEO和CFO对外公布年度财务报告时,必须对公司财务状况的真实性和内控体系的有效性发表诚信声明,并由外部会计师事务所进行尽职调查后出具内控审计意见。萨班斯法案不是针对银行的法案,但适用于上市银行,其精神与银行合规风险管理体系有高度的内在统一性。该法案要求报告和披露的事项也恰好
14、是银行合规管理部门的重要工作原理和职责。二、国内内部控制的进程及现状 起步阶段 会计控制阶段 全面内部控制1、起步阶段2000年之前1、1986年,财政部发布了会计基础工作规范2、1996年,财政部发布独立审计具体准则第9号内部控制和审计风险。3、1997年,国家审计署国家审计基本准则。4、1997年5月,中国人民银行颁布加强金融机构内部控制的指导原则。2000年以前国内有关内部控制的权威规定主要有两个:中国人民银行制定的加强金融机构内部控制的指导原则(1997年5月)中国注册会计师协会制定的独立审计具体准则第9号 内部控制与审计风险(1997年1月)。两者在不同程度上都借鉴了COSO内部控制
15、整体控制的一些理念。2、会计控制阶段2000-2007年1999年修订的会计法,第一次以法律的形式对建立健全内部控制提出原则要求,财政部随即连续制定发布了内部会计控制规范基本规范等7项内部会计控制规范。审计署、国资委、证监会、银监会、保监会以及上海、深圳证券交易所等也从不同角度对加强内部控制提出明确要求。1、2000年7月实施的会计法,将“内部控制”当作会计信息“真实与完整”的基本手段之一。2、2001年1月,证监会发布证券公司内部控制指引。3、2001年2月,财政部会计司发布内部会计控制基本规范(征求意见稿)和加强货币资金会计控制的若干规定(征求意见稿)。42001年6月22日,财政部发布内
16、部会计控制规范基本规范(试行)和内部会计控制规范货币资金(试行)。5、2001年10月证监会发布关于做好证券公司内部控制评审工作的通知。6、2002年财政部发布独立审计实务公告内部控制审核。7、我国内部会计控制规范采购与付款、销售与收款、工程项目8、2006年,上交所、深交所发布年,上交所、深交所发布上市公司内部控制指引上市公司内部控制指引3、全面内部控制 市场竞争的要求:各类舞弊案件频发市场竞争的要求:各类舞弊案件频发随着市场经济的发展和企业环境的变化,单纯依赖会计控制随着市场经济的发展和企业环境的变化,单纯依赖会计控制已难以应对企业面对的市场风险,会计控制必须向风险控制已难以应对企业面对的
17、市场风险,会计控制必须向风险控制发展;发展;同时,各部门之间的内控要求也有待于进一步协调,以便为同时,各部门之间的内控要求也有待于进一步协调,以便为进行内部控制自我评估和外部评价提供统一标准。进行内部控制自我评估和外部评价提供统一标准。领导高度重视内部控制制度建设领导高度重视内部控制制度建设温家宝总理在十届全国人大四次会议上作温家宝总理在十届全国人大四次会议上作政府工作报告政府工作报告时强调,要时强调,要“完善公司治理,健全内控机制完善公司治理,健全内控机制”;2004年底和年底和2005年年6月,国务院领导同志连续两次就强化企业内部控制月,国务院领导同志连续两次就强化企业内部控制问题作出重要
18、批示,问题作出重要批示,2005年年6月,在财政部、国资委和证监会联合上报的月,在财政部、国资委和证监会联合上报的关于借鉴萨班关于借鉴萨班斯法案斯法案 完善我国上市公司内部控制制度的报告完善我国上市公司内部控制制度的报告上作出批示,同意上作出批示,同意“由财政部牵头,联合证监会及国资委,积极研究制定一套完整公认的由财政部牵头,联合证监会及国资委,积极研究制定一套完整公认的企业内部控制指引企业内部控制指引”;2006年年7月月15日,财政部、国资委、证监日,财政部、国资委、证监会、审计署、银监会、保监会联合发起成会、审计署、银监会、保监会联合发起成立立企业内部控制标准委员会企业内部控制标准委员会
19、,陆续发布了,陆续发布了17项内部控制规范征求意见稿。项内部控制规范征求意见稿。2008年年6月月28日,证监会、财政部、审计日,证监会、财政部、审计署、银监会及保监会于联合发布了我国第署、银监会及保监会于联合发布了我国第一部一部企业内部控制基本规范企业内部控制基本规范),于,于2009年年7月起首先在上市公司范围内施行。月起首先在上市公司范围内施行。我国内部控制实施我国内部控制实施体系构想 总结我国经验,借鉴国际惯例,有效利用总结我国经验,借鉴国际惯例,有效利用国际国内资源,充分发挥各方面积极作用,国际国内资源,充分发挥各方面积极作用,通过三到五年的努力,基本建立一套:通过三到五年的努力,基
20、本建立一套:以防范风险和控制舞弊为中心、以控制标准和以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系,以及以评价标准为主体的内部控制制度体系,以及以监管部门为主导、各单位具体实施为基础、会监管部门为主导、各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的内部控制实施体系,监管和社会评价相结合的内部控制实施体系,主要包括基本规范、具体规范和应用指南主要包括基本规范、具体规范和应用指南 基本规范基本规范5个基本目标、个基本目标、5个基本要素,三个层次。个基本要素,三个层次。具体规范,是对企业办理具体
21、业务与事项从内部具体规范,是对企业办理具体业务与事项从内部控制角度作出的具体规定。初步拟定为控制角度作出的具体规定。初步拟定为26项,可项,可以概括分为以下三类:以概括分为以下三类:第一类是对与企业财务报表项目相关的控制规范;第一类是对与企业财务报表项目相关的控制规范;第二类是与财务报表编报相关的控制规范;第二类是与财务报表编报相关的控制规范;第三类制度支持:是为实现有效的财务报告内部控制第三类制度支持:是为实现有效的财务报告内部控制所必需的事前、事中和事后制度支持的控制规范。所必需的事前、事中和事后制度支持的控制规范。应用指南应用指南根据基本规范和相关具体规范制定的详细解释和说明,根据基本规
22、范和相关具体规范制定的详细解释和说明,主要是为某些特殊行业、特殊企业、特定内控程序提主要是为某些特殊行业、特殊企业、特定内控程序提供操作性强的指引。供操作性强的指引。已发布的规范:现有内控体系 内部控制基本规范 内部控制应用指引 内部控制评价指引 内部控制鉴证指引“基本规范”的5个5 5个目标 5个原则 5个要素 50条 5个部门 合规、资产、报告、经营、战略 全面性、重要性、制衡性、适应性、成本效益 内控环境、风险评估、控制活动、信息与沟通、内部监督 7章(总则+五要素+附则)“配套指引”的实施2011-1-1,在境内外同时上市的公司,在境内外同时上市的公司2012-1-1,沪深主板,沪深主
23、板择机,中小板和创业板择机,中小板和创业板鼓励,非上市大中型企业鼓励,非上市大中型企业“配套指引”的结构核心,核心,“如何如何控制控制”,设计,设计(建设)(建设)评价指引评价指引审计指引审计指引应用指引应用指引公司管理层自公司管理层自我评价我评价CPA外部审外部审计(鉴证、计(鉴证、审核)审核)咨询、培训咨询、培训审计审计注册会计师的新业务注册会计师的新业务事务所不能事务所不能同时做同时做应用指引的结构评价指引评价指引审计指引审计指引应用指引应用指引1.组织架构组织架构2.发展战略发展战略3.人力资源人力资源4.社会责任社会责任5.企业文化企业文化控制环境类控制环境类控制手段类控制手段类控制活动类控制活动类6.资金活动资金活动7.采购业务采购业务8.资产管理资产管理9.销售业务销售业务10.研究与开发研究与开发11.工程项目工程项目12.担保业务担保业务13.业务外包业务外包14.财务报告财务报告 15.全面预算全面预算16.合同管理合同管理17.内部信息内部信息传递传递18.信息系统信息系统