企业内部控制重点一至五章

第一章

一内部控制概念的界定：有狭义和广义之分，狭义企业内部控制是指针对财务报告的内部控制，但随着市场经济与企业的发展，内部控制从最初的针对企业管理需要演化到对投资者的保护上。P2

狭义的企业内部控制定义为：由企业董事会监事会经理层和全体员工实施的，旨在实现与财务报告有关的内部控制目标和过程。其目标主要是合理保证企业财务报告及相关信息的真实完整。P2

广义内部控制：内部控制是由企业董事会、管理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法律法规的遵守等目标的实现而提供合理保证的过程。P2

我国2008年制定的《企业内部控制基本规范》所称内部控制是指，由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程

二企业内部控制的特点：P3-4

(一)内部控制是一个过程:是一个动态的过程，它包括一整套制度和一系列行为及相应实施的各种管理活动。（内部控制并不是一个事项或是一种情形，而是渗透到主体活动之中的一系列行为，因此内部控制与制度是两个不同性质的概念。）(二)内部控制需要企业全员参与

内部控制涉及企业各个经营方面、各个环节、各个流程、各个岗位。内部控制对象包括财务资源、人力资源、信息资源和客户关系资源等。

（三）内部控制只能是合理保证

内部控制可以帮助企业实现其业绩和盈利目标，防止资源损失。它可以帮助保证财务报告的可靠性而且它有助于确保企业符合适用的法律法规，避免对其声誉损害以及其他后果。

三、企业内部控制的分类P5

（一）根据企业组织构架，分为治理控制。管理控制和作业控制

治理控制是内部控制的最高层次，具体是指通过对所有权的适当配置，建立合适的委托代理关系，保证企业投资者和其他利益相关者的利益能够有效维护治理控制主要战略和风险控制，侧重于战略目标的制定

管理控制是内部控制的第二层次，主要是企业经营层的职责，是管理者影响组织其他成员以落实组织战略的过程。

作业控制是内部的第三个层次，主要是企业各种具体岗位的职责，侧重于某项具体业务或者某项具体任务的完成，是基层的控制。

(二）根据控制对象，分为人事控制、财务控制、会计控制、生产控制等、(三）根据控制依据，分为制度控制和预算控制

制度控制是指通过制定企业内部控制制度和有关规章，并以此为依据约束企业和各责任中心财务收支的一种控制形式。

预算控制是指以全面预算为依据，对预算主体的财务收支活动进行监管、协调的一种控制形式。

（四）根据控制进程和时序，分为事前控制、事中控制和事后控制

事前控制也称原因控制事中控制也称过程控制事后控制也称结果控制

（五）根据控制范围，分为战略控制和经营控制

战略控制是对企业经营范围、经营模式、组织架构、激励制度、重要人事调动和

长期投资所进行的具有全面性、长期性特点的控制。经营控制是对企业日常经营行为所进行的控制，其特点是局部性、短期性，如广告宣传、销售渠道建设、品种和价格调整、物流调度和人员调度等。

第二节内部控制的演进

一、内部控制萌芽期：内部牵制从原始组织诞生至20世纪40年代，内部控制的发展基本上停留在内部牵制阶段。P8

内部控制主要包括四项职能：1 实物牵制，2 物理牵制3 分权牵制4 薄记牵制

内部牵制是内部控制的思想基础和理论来源，但是囿于当时生产条件和科技水平的限制，在当时只是闪现了内部（会计）控制的思想火花，出现了简单的内部牵制实践，没有也不可能有现代意义上的内部控制思想。

二、内部控制发展期：内部会计控制与内部管理制度

20世纪40-70年代，在内部牵制的基础上，逐渐产生了内部控制制度的概念1949年美国会计师协会的审计程序委员会下属的内部控制专门委员会经过两年研究。发表题为《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》的报告，对内部控制首次做出一个准确完整的权威定义：内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率、推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。

三内部控制成熟期：内部控制结构和内部控制整体架构P13

（一）内部控制结构

1.控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。

2.会计系统是规定各项经济业务的鉴定、分析、归类、、登记和编报的方法、明确各项资产和负债的经营管理责任。

3.控制程序是指管理当局所制定的用以保证达到一定的目的方针和程序。（二）内部控制整体架构

1 控制环境

2 风险评估

3 控制活动

4 信息与沟通，是指企业内部各部门的人员必须能够取得他们在执行、管理和控制企业过程中所需的信息，并交换这些信息

5 监督

COSO报告下的内部控制新发展

一萨班斯——奥克斯利法案

法案的核心404条款是关于管理层对内部控制的评价，该条款要求按照《1934年证券交易法》第13节（a）或15节（b）款编制的年度报告中应包括内部控制报告，公司管理层应评估和披露最近年度的财务呈报内部控制的有效性，病要求公司外部审计师就管理层对内部控制的评估出具意见证明

二企业风险管理框架

企业风险管理的明确定义：企业风险管理是一个过程，该过程由企业董事会、管理层和其他员工共同参与，应用于战略制定，贯穿于企业各层级和部门，为识别影响企业的潜在事项和在风险偏好范围内管理风险而设计，为企业目标的实现提供合理保证；提出了内部环境、目标制定、事项识别、风险评估、风险

反应、控制活动、信息与沟通、监控八个相互联系要素。

1.厘清了风险管理流程：目标制定-事项识别-风险评估-风险反应-控制活动。

2.将风险管理扩展到战略层面，并将战略与风险偏好保持一致

3.明确了企业相关部门的责任。

第二章

高层欺诈形式多样，就一个企业来说，主要有财务报表欺诈、税务欺诈和产品欺诈。

历史上最著名的非雇员欺诈事件之一是旁氏骗局

企业欺诈的表现：P21

员工欺诈具体行为迹象包括：

1 员工生活方式发生变化，如消费习惯、行为、态度、语言方式。等发生变化

2 内部控制、程序、调理或者安全措施的遵守与执行非常差或被忽视。

3 比较少的制度执行检查或者财务信息发生错误、偏差。

4 存货短缺、凭证丢失

5外部审计的结果不被重视

6 越来越多的顾客投诉

公司欺诈具体的行为迹象包括：

1 公司在多家银行开立了账户，并且已超出所需

2 不负责现金交易的人不会按照惯例核对那些银行账户

3 银行账户的收支差额非常大，或者与银行的业务往来非常糟糕

4 紧急借款成为常有的事情

5 现金的流入与支出不断让公司管理人员大感意外

6 短期投资的收益低于市场水平

二企业欺诈及其防范理论分析P23-24

1 欺诈三角理论

该理论欺诈动因主要归纳为三要素：压力机会和合理化借口

机会要素是指：可进行企业欺诈而又能掩盖起来不被发现或者能逃避惩罚的时机，主要有六种情况：缺乏发现企业舞弊行为的内部控制、无法判断工作的质量、缺乏惩罚措施，信息不对称、能力不足和审计制度不健全。

借口：即企业欺诈者必须找到某个理由，使企业欺诈行为与其本人的道德观念，行为准则相吻合，无论这一解释本身是否真正合理。

2 白领犯罪理论

3 薯条欺诈理论

一个人进行欺诈后又能逃脱指控，就能够使欺诈者上瘾。一个人一旦成功地实施了资产盗用计划，或对一个政府官员进行贿赂，以使合同得到保证，并没有受到调查，他将越来越难以停止这样的行动。这被定义为“薯条欺诈理论”

4 烂苹果欺诈理论

如果管理层不注意自己的行为，没有很好履行管理职能的同时进行欺诈，下属就会进行模仿，加剧公司管理的混乱以及损失，这就是所谓的“上梁不正下梁歪”。这个理论跟薯条理论有相同的地方，烂苹果欺诈理论也有从行为学方面分析下属的跟风现象

5冰山一角理论

三企业内部控制防范企业欺诈的核心内容