内部控制基本理论与框架

（保监会）
寿险公司 内部控制 评价办法 （试行）
(上交所/ 深交所)
内部控制 指引
（银监会）
银行业
金融机构 信息系统 风险管理 的指引
(证监会）
上市公 司信息 披露管 理办法
保险公司 内部审计指引（试行）
保险公司 风险管理指引（试行）
（证监会）
证券公司 合规管理 试行规定
(财政部)
企业
内部控 制基本 规范
2002年
1934年
“AICPA《注册 会计师对财务 报表的审查》 中首次使用了 内部控制这一 专门术语
关于内控的第一 个权威定义， AICPA发表《内部 控制、协调系统 诸要素及其对管 理部门和注册会 计师的重要性》 的专题报告
1988年 1992年 2004年
第
第二、三次修
一
正，最终形成
次
《审计准则公
四、内部控制整合框架阶段
1992年9月，COSO发布了著名的《内部控制——整合 框架》，并于1994年进行了修订。该报告系内部控制发 展历程中的一座重要里程碑，它对内部控制下了一个迄 今为止最为权威的定义：“内部控制是由主体的董事会、 管理层和其他员工实施的，旨在为经营的效率和有效性、 财务报告的可靠性、遵循适用的法律法规等目标的实现 提供合理保证的过程。”
第一，从目标上看，ERM框架不仅涵盖了内部控制框架中的经 营、财务报告和合规三个目标，而且还新提出了一个更具管理 意义和管理层次的战略管理目标，同时还扩大了报告的范畴； 第二，从内容上看，ERM框架除了包括内部控制整合框架中的 五个要素外，还增加了目标制定、风险识别和风险应对三个管 理要素； 第三，从概念上看，ERM框架提出了两个新概念——风险偏好 和风险容忍度；第四，从观念上看，ERM框架提出了一个新的观 念——风险组合观。
美国内部控制的演化历程
内 部 牵 制
美国《证券交 易法》，首先 提出了"内部会 计控制"
内
内
内
风
部
部
部
险
控
控
控
管
制
制
制
理
制 度
AICPA《审 计准则公告 第55号，提
结 构
整 COSO报告，体
框 COSO报告，架
出内部控制
内部控制 框 风险管理
结构定义
整体框架 架 整合框架
1936年 1949年
1953年 1972年
二、内部控制体系阶段
这一阶段从时间上看大致为20世纪40年代至80年代。适应这 一时期资本主义经济快速发展、所有权与经营权进一步分离的 特点，在注册会计师行业的推动下，内部控制由早期的内部牵 制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理 程序和内部审计等比较严密的内部控制系统。
1972年11月，审计准则执行委员会将内部控制一分为 二，由此内部控制进入“制度二分法”或“二要素”阶 段。这一阶段的内部控制正式被纳入制度体系之中，同 时管理控制成为内部控制的一个重要组成部分。
▪ 管理层和监督活动。
▪ 内部审计工作。
信息和沟通
▪ 及时地获取，确定并交流相关
的信息。
▪ 从内部和外部获取信息。
▪ 使得形成从职责方面的指示到
管理层有关管理行动的发现总 结等各方面各类内部控制成功 的措施的信息流。
监 监控 督 信信息息和和沟沟通通 控制活动 风险评估 控制环境
控制环境
▪ 营造单位气氛－让公司员工建立内
三、内部控制结构阶段
进入20世纪80年代，人们对内部控制的研究重点逐步 从一般含义向具体内容深化。1988年美国AICPA发布的 《审计准则公告第55号》首次以“内部控制结构”的概 念代替“内部控制系统”，该公告认为，内部控制结构 由下列三个要素组成：控制环境，会计系统和控制程序。
内部控制结构阶段对于内部控制的发展的贡献主要体 现在两个方面： 其一，首次将控制环境纳入内部控制的范畴。 其二，不再区分会计控制和管理控制，而统一以要素来 表述。
这一阶段的显著变化是将内部控制上升至全面风险管理 的高度来认识。基于这一认识，COSO提出了战略目标、运 营目标、报告目标和合规目标等四类目标，并指出风险管 理包括八个相互关联的构成要素：内部环境、目标设定、 事项识别、风险评估、风险应对、控制活动、信息与沟通 和监控。
相对《内部控制——整合框架》，ERM框架的创新在于
2006
2007
2008
(国资委)
中央企 业全面 风险管 理指引
（银监 会)
商业银 行合规 风险管 理指引
（证监 会）
证券公 司风险 控制指 标管理 办法
（银监 会）
商业银 行内部 控制指
引
(财政部)
企业内部控 制规范-基本
规范
(征求意见稿)
（银监会）
商业银行 操作风险 管理指引
（证监会）
证券公司 监督管理
COSO 报 告 还 明 确 了 内 部 控 制的内容，即内部控制包 括五个相互独立而又相互 联系的构成要素： 控制环境 风险评估 控制活动 信息与沟通和监控。监控
控制 环境
信息 与沟通
风险 评估
控制 活动
COSO内部控制整合框架图
监督
▪ 不断评估内部控制系统的表现
。
▪ 整合实时和独立的评估。
2004年9月，COSO发布了《企业风险管理——整合 框架》（简称ERM框架）。该框架指出，“全面风险 管理是一个过程，它由一个主体的董事会、管理层和 其他人员实施，应用于战略制定并贯穿于企业之中， 旨在识别可能会影响主体的潜在事项、管理风险，以 使其在该主体的风险容量之内，并为主体目标的实现 提供合理保证”。
条例
(财政部) 企业内部控制应用指引 企业内部控制评价指引 企业内部控制审计指引
2020/9/16
7
美国的相关法规多吗？
美国权威性内部控制相关文告一览表
一、内部牵制阶段
控制一词最早产生于17世纪，其原始含义是“由登记者 之外的人对账册进行的核对和检查”。20世纪以前，盛 行的观念和实务都停留在内部牵制阶段。这一阶段社会 生产力还相对落后，大规模商品生产尚不发达，内部牵 制是适应这一阶段的时代背景而产生的。
这一阶段的主要特点是“以任何个人或部门不能单 独控制任何一项或一部分业务权力的方式进行组织上 的责任分工，每项业务通过正常发挥其他个人或部门 的功能进行交叉检查或交叉控制。” 内部牵制机能主要包括：分权牵制、实物牵制、机 械牵制和簿记牵制。 这一阶段的不足之处，在于人们还没有意识到内部 控制的整体性，强调内部牵制机能的简单运用，不够 系统和完善。
部控制。
▪ 因素包括正直，道德价值，能力，
权威和责任。
▪ 是其他内部控制组成部分的基础。
控制活动
▪ 确保管理活动付诸
实施的政策/流程。
▪ 措施包括审批、授
权、确认、建议、 业绩考核、资产安 全和职责分离。
风险评估
▪ 风险评估是为了达
到企业目标而确认 和分析相关的风险 -形成内部控制活 动的基础。
五、企业风险管理整合框架阶段
战略 运营 报告 遵循
内部环境 目标设定 风险识别 风险分析 风险应对 控制活动 信息与沟通
监控
分、子公司
业务板块
分支机构 公司层面
COSO
内部控制的作用与目标
作用——最为现实和基础的目标 目标——三个？四个？ຫໍສະໝຸດ Baidu是五个？
修
告第1号》
正
SOA法案 签发
2020/9/16
5
2020/9/16
内部控制在中国
• 中国古代内部控制的考证…… • 1996年，财政部颁发的《会计基础工作规范》中最早提
出“内部会计控制”，并为《会计法》所沿袭，以及之 后十年在中注协、国家审计署、证监会和中纪委、中组 部相关文告中得以继承
6
近年来内部控制在我国的发展
这个定义反映了一些基本概念 内部控制是一个过程，它是实现目标的手段，而不是 目标本身； 内部控制是由人员来实施的，它并不仅仅是政策手册 和表格，还涉及组织中各个层级人员的活动； 内部控制只能为主体目标的实现提供合理保证，而不 是绝对保证； 内部控制被用来实现一个或多个彼此独立又相互交叉 的类别的目标，内部控制目标包括经营目标、财务报告 目标和合规目标。
为什么需要内部控制？
生活中的内部控制 企业中的内部控制 行政事业部门中的内部控制 公益慈善机构中的内部控制
对于一个组织而言，良好的内部控制意味着什么？
第一篇 内部控制基本理论与框架
内部控制的历史演进
内部 牵制
内部控 制系统
内部控制 结构
内部控制 整合框架
企业风险管理 整合框架
内部控制是组织运营和管理活动发展到一定阶段的产物， 是科学管理的必然要求。 内部控制理论与实践的发展大体上经历了内部牵制、内 部控制系统、内部控制结构、内部控制整合框架等四个 不同的阶段，并已初步呈现向企业风险管理整合框架演 变的趋势。