第2章内部控制体系框架

授权及目标
• 交易授权是指在处理各项经济业务时，必须经过授权批准以
进行控制。（一般授权与特殊授权）
授权目标：
授权不足与侵权对企业管理的制度
◆未经授权不能被执行
的破坏：
◆不经合法授权，不能行使相应权力 ◆授权不足
疑） • 以事实结果证明是否可信 • 行为、工作专业化 • 专业人员对专业负责（客观标准
）
历史表明： 当个人道德崩溃， 公司道德荡然无存， 财务灾难接踵而至。
员工素质要求
中国
西方
逻辑特征 等级和团队
总体的 综合的 非线性的 围棋逻辑 注重等级
功能的——就事论事 分解的 线性的 象棋逻辑 团队取向
人或事
• 财务管理：财务垂直管理、审计日常监督
• 总裁万隆也不避讳：“管理是企业的生命， 双汇赢就赢在管理上。
春都集团
• 妖言决策：收购和兼并了洛阳市旋宫大厦、 等10多家扭亏无望企业；投资茶饮料等10 多个大型项目；
• 资金失控：12亿元贷款中，6．6亿元项目占 用，2．3亿元用于兼并亏损企业，2亿欠款 ；
企业的魂如果是企业家，这个企业就 是最不可靠的企业。
，个人的影响力不具有举足轻重 的地位
•
企业的成就和持续发展应基于成熟的 制度，而非变异的个人；
• 在民主制度下，容易产生一位平
庸的总统，但不易产生一位独裁 • 任何个人不应对企业的发展拥有绝对
的总统。独裁远比平庸更可怕。 的致命的影响；
• 权力是履行责任的器物，而非推卸责 任或转嫁责任的工具；
• 1992年，COSO在进行了深入研究之后发布了一份关于内部控制的纲领性文件， 即《内部控制—整体框架》（Internal Control — Integrated Framework，简 称IC-IF），它标志着内部控制理论与实践进入了整体框架的阶段。COSO内部控 制报告分四部分：
• 第一部分“管理层总结”，是对内部控制总体构架的高度总结，针对总裁和高级 管理人员、董事会成员、律师和监管当局而写的。
• 1984年漯河肉联厂的资产总额是468万元，企业累计亏损534万元
• 洛阳肉联厂当时的资产总额是2000万元，当年实现利税200万元。
• 1986年，中国第一根火腿肠在洛阳肉联厂诞生， 1992年漯河肉联厂生产出第一根火 腿肠。
• 1993年，春都集团实现工业总产值、利税分别达到11．599亿元、1．082亿元，而双 汇集团仅为8．57亿元和7045万元。
• 第二部分“总体构架”，对内部控制进行了定义，阐述其构成要素，为管理层、 董事会及他人提供了评估内部控制有效性的准则。
• 第三部分“外部团体报告”，对那些已经或准备公开披露其对编制财务报表进行 内部控制的企业提供了指导。
• 第四部分“评估工具”，提供了对内控系统进行评估的有用资料。
• COSO对内部控制定义为：内部控制是受企业董事会、管理 当局和其他职员的影响，旨在取得经营效果与效率；财务报 告的可靠性；遵循法规等目标而提供合理保证的一种过程。
★考虑应如何管理风险，也即评估应采取什么样
的行动。
“SWOT”分析法
• 风险一般对策
回避风险 接受风险 转移风险 减少风险
企业内部控制要素（控制活动）
控制环境 风险评估 控制活动 信息沟通
监控
控制活动是管理者为了确保管理指令能够得以 有效实施而制定的各种政策和程序。
◆授权及目标 ◆职责划分 ◆业务流程与操作规程 ◆业务记录 ◆规章制度 ◆独立检查规章制度 ◆标准
What management were doing”。 -- Nell Minow editor of The Corporate Library
• 6个成员中至少有1人与公司存在不当经济关系。问题的 关键在独立，而安然审计委员会的独立董事却与公司管 理层穿连裆裤。 --Delaware 大学教授Charles Elson
• 财务虚假：1998年亏损4994万元，上报省贸 易厅为利润2055万元。
• 集团新任总裁赵海均坦言：“现在看来，春
• 同是国务院确定的全国520家重点企业
都在发展中确实是轻视了管理。”
• 同是地处中原的肉类加工企业（漯河肉联厂和洛阳肉联厂）
• 都始建于1958年，又都于1984年由省管下放到地方。
第2章 内部控制体系框架
Contents
1
COSO报告
2
ERM框架
3
其他内部控制架构
4
萨班斯－奥克斯利法案
• COSO：the Committee of Sponsoring Organizations of the Treadway Commission
年 1987
1992 1996
1999
2004 2006
2009 2009
2009
COSO发布的报告一览表 报告
Report of the National Commission on Fraudulent Financial Reporting（反欺诈性财务报告全国委员会报 告）
Internal Control — Integrated Framework（内控整体框架） Guidance on Monitoring Internal Control Systems Internal Control Issues in Derivatives Usage（金融衍生工 具使用中的内部控制问题）
中国的组织ቤተ መጻሕፍቲ ባይዱ化： • 以不相信人为起点 • 用人控制人 • 以关系判断亲疏、可信与否 • 行为、工作非专业化 • 对个人负责（好恶标准）
问题： 人的品质难以确认； 人是流动的； 人是变异的
企业能否做大、做强、 做长、做快的基本区别
国外现代化组织： • 以相信人为起点（用人不疑） • 用系统控制人（制度制约用人不
监控
控制环境是指对建立、加强或削弱特定政 策和程序效率发生影响的各种因素。 包括： ◇正直与道德价值观 ◇员工素质要求 ◇董事会与审计委员会 ◇管理层哲学理念与行事作风 ◇组织结构 ◇责任与权利分配 ◇人力资源政策及实务
控制环境是组织的基调，主导或左右着组织成员的控制理 念。是其他内部控制要素的基础，决定着控制的边界和 结果。
管理当局的责任: • CEO:负责建立有效的内部控制,在整个组织内倡导控制意识; • CFO:核心作用,设计,推行和监管组织的财务信息报告行为 • C- LEVEL:确保其分管活动的accountable
董事会与审计委员会的责任: • 董事会:公司治理的监督责任.确认管理当局是否履行其建立和维护
内部控制的责任 • 审计委员会:警惕管理当局凌驾控制之上或财务欺诈行为,并采取适
Guidance on Monitoring Internal Control（监管内部控制的指南） Effective Enterprise Risk Oversight: The Role of the Board of Directors（有效的企业风险监督：董事会的 作用）
Strengthening Enterprise Risk Management for Strategic Advantage（为策略优势而加强风险管理）
侧重人的方面 侧重事或物的方面
特殊性或原则 因时因地制宜 忠诚于原则的
整体或个人 注重整体的 注重个人的
董事会及审计委员会
董事会 审计委员会 监事会
安然审计委员会:不议事的议员主席,不治公司病的癌症中心总裁
• 安然的审计委员会为何没能对后来暴露的财务问题引起 警觉？
“All the checks and balances failed at Same time. No-one wanted to challenge
控制环境7要素
正直与道德价值观
（Integrity and ethical values）
• 是企业道德与行为准则的凝结，以及如何将这些价值观 教化员工并诉诸实际行动
• 内部控制作为企业文化相当脆弱
任何人不得凌驾于内部控制制度之上
企业管理状态很大程度上反映出首席执 行官的品质——格林斯潘
正直与道德价值观
• 破除个人即企业的封建观念 • 打碎企业家个人英雄的迷信
•
企业与个人是独立的法律个体，个人 必须服务企业，而非企业听命于个人 ；
• 管理者是企业行为的代理人
不是救世主
• 设计良好且制约任何人的制度并实施 之，是拯救企业灵魂的使者。
企业内部控制要素（控制环境）
控制环境 风险评估 控制活动 信息沟通
• 五个重要组成要素：控制环境、风险评估、控制活动、信息 及沟通与监督
• COSO的贡献。
内部控制为谁而设？
不是由某个人或哪个层级的人提出来， 专门针对某一个或某一群特定层级的人的制 度。
而是为整个企业设计的系统，是针对在 该企业环境下的所有人，没有人能脱离该系 统而自由运作。
谁对内部控制承担责任？
• 春都：同力水泥（000885） • 双汇发展（000895）
企业内部控制要素（风险评估）
控制环境 风险评估 控制活动 信息沟通
监控
指企业根据发展战略制定经营目标后， 对实现目标的经营过程中的风险进行 判别和分析，并采取相应的行动。
◆目标的设立和达成 ◆风险的识别和分析 ◆改变的管理
风险评估
当措施制止.
内部审计的责任： 定期检查评估组织内部控制的有效并提出改进建议，但对内部控制的建
立和维护不承担主要责任。
其他员工的责任： 对任何与不遵循控制规定或非法行为相关的问题，有责任按组织层次向
上报告。
制度是组织持续成功的灵魂
• 美国的成就归功于制度者多， • 企业的生命不是企业家的生命。一个
归功于英雄者少 • 在制度健全且有效运行的组织内
• 问题2在成员的地域组成：审计委员会成员来自美国、 英国、巴西及香港,难得凑齐讨论日常事务。
管理当局的哲学理念和行事作风
双汇集团
• 理性决策：形成以肉类加工为主，养殖、屠 宰、包装、彩印等紧密联系的产业群体， 1998年集团实现利税2．95亿元，去年又 突破了5亿元大关。
• 资金控制：产品销售一律现款现货制度，原 料采购实行生产试用合格后付款制度。
2010 2010-12-9
2011-1-11
Fraudulent Financial Reporting: 1998-2007 — An Analysis of U.S. Public Companies(欺诈性财务报告-1998 至2007：美国公众公司分析)
Board Risk Oversight – A Progress Report: Where Boards of Directors Currently Stand in Executing their Risk Oversight Responsibilities COSO’s 2010 Report on ERM: Current State of Enterprise Risk Oversight and Market Perceptions of COSO’s ERM Framework Two Thought Paper: Embracing Enterprise Risk Management: Practical Approaches for Getting Started Developing Key Risk Indicators to Strengthen Enterprise Risk Management
Fraudulent Financial Reporting: 1987-1997—An Analysis of U.S. Public Companies（欺诈性财务报告-1987 至1997：美国公众公司分析）
Enterprise Risk Management — Integrated Framework（风险管理整体框架） Internal Control over Financial Reporting — Guidance for Smaller Public Companies（财务报告的内部控 制——对小企业的指南）
风险是不能实现目标的可能性。目标的设定是风险评估的先决条 件
存活能力 整体品质
风险影响 公共形象
竞争能力 财务稳固
制定目标
辩识风险
采取管理风险的行动
风险的识别与分析
◆风险总体结构
• 外部
• 内部——（单位整体层级及作业层级风险）
◆风险分析过程
★估计风险的严重程度；
★评估风险发行的可能性（或频率）
◆风险分析方法