第三讲_内部控制制度设计原理

33
（四）确定控制措施

控制点的功能，是通过设置具体的控制技术和手 续而实现的。这些为预防和发现错弊而在某控制 点所运用的各种控制技术和手续等，通常被概括 为控制措施。
34
四、内部控制制度设计的形式

内部控制流程图 (Internal Control Flowchart) 内部控制调查表 (Internal Control Questionnaire) 文字记录(Narrative)
个人因素分析



据FBI统计，80年代初，美国 仅计算机欺诈而使银行蒙受的 损失10倍于同期因抢劫所受损 失；至1985年，欺诈造成的损 失26倍于抢劫造成的损失。 许多专家的研究得出了一个难 以置信的结论：最具威胁的欺 诈来自企业内部。 据美国和加拿大的估计：1/3 的企业员工具有不同程度（性 质）的盗窃企业资产行为；以 零售企业为例，30%的损失来 自顾客行窃，70%为员工所偷 盗。
8
组织因素分析
1．特征 对任一从属于组织的个人或群 体具有相对稳定的影响； 多数渗透在组织或对个体的控 制之中以自我防护；基本不受 潜在犯罪人的控制； 在给定的环境下，对所有的人 起同等作用； 其制定和操作由组织控制，一 般与任个人的影响无关； 不受雇员流动变化的影响。
2．两类风险要素 为潜在犯罪人创造舞弊机会的 组织风险（O风险）； 能否揭露欺诈的组织风险（E 风险）； 对揭露的舞弊进行惩罚的性质 和范围，即惩罚是当事人可接 受的还是难以接受的组织风险。 （E风险）； E风险是2个要素的产物： E1：揭露的概率； E2：事件的处理。
9
组织因素分析（续）
3．O风险的控制 O风险属于不可完全消除之风险， 防范和控制O风险的措施：

4．E风险的控制 揭露欺诈的概率 揭露欺诈的概率有赖于内部控制制度。 舞弊惩罚的性质和范围 仅仅揭露欺诈对遏制潜在的欺诈是不 够的，惩罚必须形成一种威慑，使当 事人蒙受的机会成本远大于因欺诈可 能得到的机会收益。

对每一雇员确定相应的最大限度“舞 弊机会水平”（可容水平）。 严禁“灾难性”机会水平。
我想告诉我的员工，撒谎欺骗和杀人 放火是同等的罪恶。 所有出现诚信问题的员工，公司一律 开除。
根本的一点是： 如果发现有人违反这一行为 准则，公司必须“锱铢必较”。
-- Dennis Powell 思科CFO
10
“ 也灭 ，六 非国 秦者 也六 。国
一、内部控制制度设计的理念基础
对人性的基本估计
伊梅尔特认为： 他不需要一个新的法律（SOX） 来告诉他什么不该做。因为他自 己及公司的标准不会使其逾越法 律。
4
前车可鉴：巴林银行的教训
巴林投资银行前总裁彼得· 诺里斯引 咎辞职，闭门思过。他对巴林事件的 总结是：最基本的一条，就是不要想 当然认为所有员工都是正直的，诚实 的，这就是人类本性的可悲处。巴林 银行信奉的哲学是：雇员都是值得信 赖的，都信奉巴林银行的文化，都会 自觉地把公司利益铭记在心。而巴林 事件告诉我们，里森在服务期间从未 诚实。诺里斯告诫所有金融结构的管 理当局，要从里森身上吸取教训，充 分意识到用人的风险。
22
2、整体架构六大模块（续）
模块四，流程控制 流程控制是组织的控制思想、 控制程序和业务活动三位一 体的集成。 以流程形式将全部业务活动 装入分工牵制的制度化组织 过程，确保企业的控制思想 和控制程序落实到全部具体 的业务过程。 核心要件：流程设计；流程 环节的权限分割
模块五，业务循环控制 内部控制的对象，内部控制 的动态表现形式 内部控制制度结构的前4个 要素均以各交易循环的各项 交易或业务行为为落实对象： 1. 构成各交易控制制度的要素 （如授权，批准，流程）； 2. 制约交易活动（预算控制）； 3. 规范交易活动（会计管理）。 业务循环控制制度的功能， 是为实现企业资源运用最优 化的目标提供制度保证。
27
（五）成本效益原则
贯彻成本效益原则，即要求企业力争以最小的控 制成本取得最 大的控制效果。因此，在实行内 部控制花费的成本和由此而产生的经济效益之间 要保持适当的比例，也就是说，因实行内部控制 所花费的代价不能超过由此而获得的效益，否则 应舍弃该控制措施。

28
三、内部控制制度设计的步骤

21
2、整体架构六大模块（续）
模块三：IT环境下的信息系统
与保护财产安全之企业会计责任 及会计记录可靠性有关的组织、 计划、程序、方法。是企业所有 业务活动之价值结果的终点。 设计完善的会计制度至少应包括如下 因素：
•
•
• • • •
严格分工授权 规范的会计政策和会计处理程序 严格的核准制度 帐户体系 凭证帐簿制度 独立稽核
26
（四）程式定位原则

程式定位原则，是指企业单位应该根据各岗位业 务性质和人员要求，相应地赋予作业任务和职责 权限，规定操作规程和处理手续，明确纪律规则 和检查标准，以使职、责、权、利相结合。岗位 工作程式化，要求做到事事有人管，人人有专职， 办事有标准，工作有检查，以此定奖罚，以增加 每个人的事业心和责任感，提高工作质量和效率。
19
1、内部控制制度设计的整体架构
20
2、整体架构六大模块
模块一：组织结构和授权控制制度
模块二，预算控制和质量控制制度
渗透性制度，与所有制度有 关，是企业内部管理控制系 统的基础。其功能为权力和 责任的分配及权力平衡的制 度安排。
企业控制制度的核心，与所 有制度和行为有关，是企业 经营活动价值控制的起点。 其功能为，可从资源投入角 度在第一时点控制全部业务 活动的开展与资源的投入，并 保证其品质。
11
安永2002年全球反欺诈调查： 谁是企业的欺诈者？
2001年为1/3
12
企业欺诈威胁的渊源
13
管理层是财务欺诈的主要渊源



据COSO1999年的统 计,83%的财务欺诈案是 CEO和CFO的杰作 直接效应：避免税前亏损 以抬高股价 深层动机：公司管理层及 董事会成员平均拥有公司 股票的32% 利益一致的设计初衷产生 的是损公肥私的结果
确定控制目标 整合控制流程 识别控制环节 确定控制措施
29
（一）确定控制目标
内部控制的四项基本目标: (1)战略目标。 (2)经营目标。 (3)报告目标。 (4)合规目标。 需要指出的是，以上四项目标均为基本目标或一 般目标。在每项基本控制目标下，还可细化为若 干具体控制目标。
25
（三）协调配合原则

协调配合原则，是指在各项经营管理活动中，各部门或 人员必须相互配合，各岗位和环节都应协调同步，各项 业务程序和办理手续需要紧密街接，从而避免扯皮和脱 节现象，减少矛盾和内耗，以保证经营管理活动的连续 性和有效性。协调配合原则，是对相互牵制原则的深化 和补充。贯彻这一原则，尤其要求避免只管牵制错弊而 不顾办事效率的机械做法，而必须做到既相互牵制又相 互协调，从而在保证质量提高效率的前提下完成经营任 务。
23
2、整体架构六大模块（续）
模块六，内部审计 内部控制制度的组成部分，对全部控制制度的设计和执行过程以及 执行结果进行监督检查。 处于公司治理层次。 完整意义的内部审计制度应包括： 1. 隶属审计委员会的专门机构 2. 提出增强内部控制效用的建议； 3. 强调对制度本身及对制度遵循情况的评价； 4. 强调对企业资源综合运用的效率、效果和效益的评价 5. 检查、评价企业既定经营目标和方针的执行情况
内部控制理论
The Theory of Internal Control
1
第三讲 内部控制制度设计原理


企业的一切管理工作都必 须从建立健全内部控制制 度开始 企业的一切活动都必须置 于内部控制制度之下 企业的一切内部控制制度 都必须有效且得到认真执 行
2
【 杜 阿 牧 房 宫 赋 】
3
族 天秦 也者 。秦 ”也 ， 非
24
（二）相互牵制原则

相互牵制原则，是指一项完整的经济业务活动，必须分 配给具有互相制约关系的两个或两个以上的职位，分别 完成。即在横向关系上，至少要由彼此独立的两个部门 或人员办理以使该部门或人员的工作接受另一个部Байду номын сангаас或 人员的检查和制约;在纵向关系上，至少要经过互不隶属 的两个或两个以上的岗位和环节，以使下级受上级监督， 上级受下级牵制。其理论根据是在相互牵制的关系下， 几个人发生同一错弊而不被发现的概率，是每个人发生 该项错弊的概率的连乘积，因而将降低误差率。需要分 离的职责，主要是:授权、执行、记录、保管、核对。
14
舞弊理论带来的思考



世上本无所谓最好的制度安排 制度的设计就取决于企业的控制哲学 西方哲学强调“性本恶”，制度设计旨在“惩恶”，即使十恶不赦者亦无 机可趁：“零容忍”（Zero tolerance）原则 中国的类似观念：“防家贼” 控制制度设计的前提：假定“家贼”想“投机”，想“冒险”，想钻空子 “骗钱”，想“捞一把”，而非基于信任，假定“家贼”会“出于公心， 谋求企业利益最大 控制设计越严密，对家贼的诱惑和提供舞弊的机会就越小，才能做到把人 们的潜在犯罪冲动，封杀在头脑的“黑箱”中。 控制成本既包括对控制本身的投入，也包括控制引起的可能成本（如流程 环节增加，时间延长等） 控制未必真正影响企业获利的效率，如果时间不能带来直接利益，时间就 不是效率
15
内部控制制度的局限性
两种错误 • 制度性错误： 因制度设计错误而引起的差错。 善意人为错误 管理层或其他员工因信息不充 分，时间限制或其他流程问题， 业务决策和判断失误； 对工作指令理解错误，疏忽懈 • 人为错误： 怠，精力不集中，疲劳或岗位 与制度设计无关纯粹因人为因素 调动等原因导致控制失效； 而产生的错误。分2类： 环境变化的不确定性及设计与 善意错误： 运行实际偏差的不确定性； 恶意错误：蓄意破坏、对抗设计 成本与收益的考虑 良好的控制制度。 人为的蓄意破坏 蓄意破坏的类别：串通、勾结；管理当 局凌驾于控制制度之上。
流程
32
流程是指企业经 营过程的一个阶 段，由若干项作 业组成，而作业 由若干项任务组 成。
（三）识别控制环节

实现控制目标，主要是控制容易发生偏差的业务环节。 这些可能发生错弊因而需要控制的业务环节，通常称为 控制环节或控制点。控制点按其发挥作用的程度而论， 可以分为关键控制点和一般控制点。那些在业务处理过 程中发挥作用最大，影响范围最广，甚至决定全局成效 的控制点，对于保证整个业务活动的控制目标具有至关 重要的影响，即为关键控制点;相比之下，那些只能发挥 局部作用，影响特定范围的控制点，则为一般控制点。
5
企业舞弊理论



1，关于冰山理论： 压力、机会及借口、 2，GONE理论 贪婪、机会、需要及事后 暴露。 内部控制是防止企业舞弊 发生的最有效方法。
6
冰山理论

压力、机会及借口 参见中国注册会计师审计准则第1141 号——财 务报表审计中对舞弊的考虑

7
GONE理论
“You can consider your money for GONE”
30
（二）整合控制流程

控制流程，是依次贯穿于某项业务活动始终的基 本控制步骤及相应环节。控制流程，通常同业务 流程相吻合，主要由控制点组成。当企业的业务 流程存在控制缺陷时，则需要根据控制目标和控 制原则加以整合。
31
项目、组织和流程之间的关系
组织 项目是指在既定 的资源和要求的 约束下，为实现 某种目的而相互 联系 的一次性 工作任务。 项目 组织是指具有共同行动目 标的人类群体。
16
内部控制制度的局限性（续）
人为的蓄意破坏 1.蓄意破坏的类别：串通、勾结；管理当局凌驾于控制制度之上。
17
二、内部控制制度设计的基本原则
整体结构原则 相互牵制原则 协调配合原则 程式定位原则 成本效益原则

18
（一）整体结构原则

企业内部控制系统，必须包括控制环境、风险评 估、控制活动、信息与沟通、监督五项要素，并 覆盖各项业务和部门。换言之，各项控制要素、 各业务循环或部门的子控制系统，必须有机构成 为企业内部控制的整体架构。这就要求，各子系 统的具体控制目标，必须对应整体控制系统的一 般目标。