第三章 内部控制的主要内容

第二代 （80年代）
控制结构 • 出发点是财务 风险和符合性 风险 • 确定应该存 在的控制 • 审计目的是评 估控制的设 计、 运行效果和合 规性
第三代 （90年代）
企业风险 • 出发点是对企 业和各种风险 的充分理解 • 确定应该存 在的控制 • 审计目的是评 估控制的设 计、 运行效果和合 规性
内部审计与外部审计的比较
比较对象 选派指定 所需资格 独立性 权利 主要目的 工作范围的限制 报告责任 内部审计
作为内部员工，由 管理层选派指定 由管理层决定需要 仅独立于被审计的机构 只有作为内部职工的权利 由管理层决定，如防错 纠弊、效率考察等 由管理层决定 对审计委员会、董事会或其 他内部机构, 不具鉴证作用
17
风 险
外在风险 宏观经济情况 自然资源 政治因素 社会因素 科技因素……
潜在事 件识别
机 遇
潜在事件识别可通过以下方式： 潜在事件列表 专题谈论会 面谈 发放调查问卷 流程与作业分析 历史资料审查 风险数据库导向
18
风险评估（Risk Assessment）
内涵
指管理层分析对经营、财务报告、符合性目标有 影响的内部或外部风险。 风险评估可以使管理者了解潜在事项如何影响企 业目标的实现。 管理者应从两个方面对风险进行评估——风险发 生的可能性和影响。
人力资源管理
从单纯的人事手续操作处理 发展至：管理和服务双重职能
选才——招聘政策 用才——升迁政策 育才——培训计划 留才——薪酬政策
注重：人力资源开发对公司战略规划的推 进
目标设定（Objective Setting）
内涵
指管理层根据企业的任务或预期，制定企业的战略 目标，并在企业内层层分解和落实。 管理者必须首先确定企业的目标，才能够确定对目 标的实现有潜在影响的事项，并进行相关识别。 企业风险管理就是提供给企业管理者一个适当的过 程，既能够帮助制定企业的目标，又能够将目标与 企业的任务或预期联系在一起，并且保证制定 的目 标与企业的风险偏好相一致。
独立性 成员经验及地位 参与程度 行为方式 与外部审计的沟通
公司治理结构
股东大会 股东大会
通过设置公司治理结构的职责划 分，达到以下几个方面的目的： 1. 平衡股东各方的利益 2. 增加管理的透明度 3. 发挥董事会的作用
董事会 董事会
监事会 监事会
经理 经理
管理当局的哲学理念和行事作 风
内部环境 （Internal Environment）
定义 内容
内部环境：定义
定义：指公司管理层树立的风险观、建立的风险 偏好及承受能力。企业ห้องสมุดไป่ตู้内部环境是其他所有风 险管理要素的基础。
重要概念：
z 风险偏好：是指企业在实现其目标的过程中愿意
接受的风险的数量，企业在制定战略时，应考虑将 该战略的既定收益与企业的风险偏好结合起来，目 的是帮助企业的管理者在不同战略间选择与企业的 风险偏好相一致的战略。
信息与沟通（ （Information Information and and Communication Communication） ）
定义
指为了使职员能执行其职责，企业必须识别、捕捉、交流外 部和内部信息。
外部信息
市场份额 法规要求 客户投诉等信息。
内部信息
会计制度，即由管理当局建立的记录和报告经济业务和事 项、维护资产、负债和业主权益的方法和记录。
内部环境7要素
正直与道德价值观
培育积极健康的企业文化 以身作则 提供道德指南并有效执行 任何人不得凌驾于内部控制制度之上
员工素质
提倡对正义、公理、公德的忠诚，而非狭隘的“公 司忠诚”；公司不能置公理和正义之上。 价值观与基本素质 知识结构与技能 经验及培训
董事会及审计委员会
授权
含义：是领导者通过为员工和下属提供更多的自主权， 以达到组织目标的过程。是领导者智慧和能力的扩展和延 伸，是管理的科学化和艺术化。 1. 明确组织成员之间的关系； 2. 提高决策效率； 3. 增强组织竞争能力。 原则 1、相近原则 2、授要原则 3、明责原则 4、动态原则
集权有道、分权有序、授权有章、用权有度
信息与沟通（ （Information Information and and Communication Communication） ）
沟通的内容
使员工了解其职责，保持对财务报告的控制。 使员工了解在会计制度中他们的工作如何与他人 相联系，如何对上级报告例外情况。
沟通的方式
政策手册 财务报告手册 备查簿 口头交流或管理示例等。
组织架构及部门职责
个 人 行 为
能力素质模型设计
薪酬及激励机制
技 术 支 持
人员配置
人员培训
人力资源管理信息系统
风险防范控制
筹资风险评估：优化资本结构 投资风险评估：项目可行性分析 信用风险评估：信用标准 合同风险评估：法律
电算化系统控制
管理特征： 授权批准口令化 系统失控的隐蔽性 系统缺乏交易痕迹 控制范围扩大 信息存储电磁化使实物保护控制风险加大 电子商务的应用给内部控制产生新的问题？ 效率与风险
第三章 内部控制的主要内容
1 2 3
内部控制的构成要素 内部控制的原则与方法 内部控制的主要程序与设计思路
一、内部控制的构成要素
根据COSO报告，内部控制的整体框架包括八个 因素
内部环境（Internal Environment） 目标设定（Objective Setting） 事项识别（Event Identification） 风险评估（Risk Assessment） 风险反映（Risk Response） 控制活动（Control Activities） 信息与沟通（Information and Communication） 监控 （Monitoring）
不相容职务分离
¾ 集中于一个人办理时发生差错或舞弊的可能性会 增加的两项或几项职务。 交易的记录与资产的保管不相容；同一交易的不 同步骤不相容；出纳与会计、总账与明细账的记 录不相容 授权——执行；执行——审查；执行——记录； 保管——记录；保管——检查；记录总账与记录 明细账、日记账职务分离。
（二）内部控制的基本方式
组织规划控制 授权批准控制 全面预算控制 文件记录控制 实物保护控制 职工素质控制 风险防范控制 内部报告控制 电算化系统控制 内部审计控制 会计系统控制
内部控制 内部控制 制度框架 制度框架
组织规划控制
组织机构设置和组织分工 组织机构设置： 组织机构与企业经营管理需要相适应 组织机构的管理层次： 法人治理结构：董事会、经理、监事会设置—公 司法 职能管理部门：计划部、营销部、财务部、生产 部—自主 组织分工：岗位设立与职责分工 不相容职务分离
通过检查、评估组织内部 的各项活动，评估其效果和 董事会下设的审计委员会 内部审计是内部控制的重要组成部分。是对其他 效率。 进行原因分析、提供 或监事会领导； 咨询建议。 内部控制所进行的再控制 总经理领导； 目的 本企业财务总监领导
内部审计控制
隶属关系 内部审计与外部审计的比较 内部审计的演变历史 内部审计在现代企业中的角色和职能 案例
风险评估
根据当前企业战略，什么是关键的业务风险？
目标 战略 流程 风险 内控
——什么是我们面对的不利事件？
我们是否知道我们真正面临着怎样的风险？ 我们能承受多大的风险？ ——为了优化和管理风险，我们应采取怎样的措施？ 我们有多大的能力来化解新增的风险？
20
风险反映（Risk Response）
内涵：
指在公司战略和目标的指引下，管理层根据风险 偏好和承受能力来选择方法考虑如何应对风险。
规避风险
风险反映 （主要内容）
减少风险 共担风险 接受风险
控制活动（Control Activities）
含义：
指对所确认的风险采取必要的措施，以保证企业 目标得以实现的政策和程序。
类别
交易授权 职责分离 实物控制 信息处理 业绩评价
第四代 （21世纪）
企业风险管理流程 •出发点是对企业和 各种风险的充分理 解 • 确定应该存在的 能有效控制风险的 企业风险管理流程 • 评估在各个企业 风险管理流程的 设计、运行效果 和合规性
监控（Monitoring）
定义
指评价内部控制质量的过程，即对内部控制运行 及改进活动评价。
内容
包括内部审计和与企业外部人员、团体进行交 流。
思考题
在内部控制中如何把制度管理和人本管理结合起 来？ 如何理解内部控制中的“合理保证”的含义？ 内部控制要素（5 vs. 8）之间的关系？
外部审计
作为外部聘请的专业人员， 由股东大会选派指定 由注册会计师协会及其 他资格认定机构确定 既独立于委托人, 又独 立于被审计机构 由相关法律规定 对财务报表发表真实公 允的审计意见 不应受到任何限制 对董事会或股东大会报告, 所出具报告具有鉴证作用
内部审计的演变历史
第一代 （1980之前）
控制 • 出发点是已 有的流程、程 序和控制
保证职工具有忠诚、正直、勤奋的品质；较高的 工作效率与工作能力 招聘程序：资格经历 行为手册：作业标准 培训计划 考核奖惩 信用保险：重要岗位 岗位轮换：查错防弊、增进协作 因岗用人：提高效率
人力资源管理框架
经营目标
组 织 行 为
企业战略
业务流程
人力资源发展战略 绩效管理
授权批准控制
企业在处理经济业务时，必须经过授权批准才能 够实施。每一层次的管理人员既是上级管理人员 的授权对象，又是对下级管理人员的授权主体。 范围、权限、程序、责任 授权批准方式：一般授权、特殊授权？ 授权批准体系： 授权批准范围 授权层次 授权责任
全面预算控制
预算体系的建立，包括预算项目、标准和程序的 确定； 预算的编制和审定； 预算指标的下达及有关负责人或部门的落实； 预算执行的授权； 预算执行过程的监控； 预算差异的分析与调整； 预算业绩的考核。
文件记录控制
管理文件： 组织结构图 工作岗位说明书 会计记录 文件的保管
实物保护控制
限制接近：现金；其他易变现资产—应收票据、有 价证券；存货 定期盘点：与会计记录核对，差异分析与调整 记录保护：职务分离、备份 财产保险：火灾险、盗窃险、责任险 财产记录监控
职工素质控制
事项识别（Event Identification）
含义
事项识别即识别对组织产生影响的潜在风险。
内容
包括内部和外部的反映潜在因素怎样影响战略执 行和目标业绩的要素 也包括区别哪些是风险、哪些是机会以及风险和 机会并存的事项。
事项/风险识别
内在风险 内部管理体制 人力资源 流程设置 信息、技 术……
英雄造时势or时势造英雄？ 集权与分权？ 风险偏好
组织结构
组织结构：为公司活动提供计划、执行、控制和监督职能的整体框 架以实现组织目标。组织结构设计必须覆盖组织活动的全部形式。
回答两个问题： 1、做什么？ 2、如何做？
遵循两个原则： 1、缺一个不可，多 一个冗余 2、部门功能互补
组织架构的设计： 董事会对股东（大）会负责，行使经营决策权， 可设立战略、审计、提名、薪酬与考核等专门委员 会。 监事会对股东（大）会负责，监督董事、经理和 其他高级管理人员依法履行职责。 经理层对董事会负责，主持生产经营管理。 按照科学、精简、高效、透明、制衡的原则，合 理设置内部职能机构。
COSO 内 控 模 型
内 部 控 制 五 要 素
监控
1992
信息与沟通
控制活动
风 险 评 估
控 制 环 境
监控
信 息 与 沟 通
通 与沟 信息
控制活动 风险评估 控制环境
二、内部控制的原则与方法
内部控制原则 内部控制基本方式
（一）内部控制原则
全面性原则 制衡原则 分工与合作原则 成本效益原则 实效性原则 权责利对称原则 制度为本原则 内部控制与外部控制相结合的原则