内部控制案例研究.docx
《内部控制案例研究.docx》由会员分享,可在线阅读,更多相关《内部控制案例研究.docx(156页珍藏版)》请在冰点文库上搜索。
内部控制案例研究
内部控制案例研究
一、内部控制建设的意义
(一)宏观背景⒈企业内部控制规范:
如箭在弦2010年4月,财政部会同证监会、审计署、国资委、银监会、保监会等部门制定了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》,连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系。
《企业内部控制基本规范》2010年1月1日由境外上市公司先期执行,2011年境内上市公司执行。
企业内部控制配套指引自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。
在此基础上,择机在中小板和创业板上市公司施行,鼓励非上市大中型企业提前执行。
执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。
德勤2007-2008年对国内上市公司的内部控制实施状况,进行了跟踪调查。
德勤发现:
56%的公司没有建立,或现有内部控制机制尚不完善;72%的公司没有持续监控内部控制的有效机制,或未得到任何改善。
就企业内控水平而言,海外上市公司的水平最高,其次是国内的上市公司,随后是其他未上市的大型企业,中小企业的内控审计建设最为薄弱。
内控是对企业业务流程的再造,执行企业需要增设专门岗位和专业人员,制定相应流程。
建立以基本规范为统领,以评价指引、应用指引和内部控制鉴证指引为补充的内控标准体系,以法制为推动、以企业实施为主体、以监管和社会评价为保障、以各方面积极参与为促进的内控实施体系,已如箭在弦,不得不发。
⒉国际资本市场:
“入门证”和“通行证”许多国家通过立法强化企业内部控制,内部控制日益成为企业进入资本市场的“入门证”和“通行证”。
研究结果表明,内部控制存在缺陷,是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。
我国境外上市企业纷纷花巨资聘请海外机构设计内部控制制度(聘请海外机构做设计,需要5000万元左右;而请国内公司做设计,需要500万元左右),以适应上市地的监管要求。
例如,美国SOX法案第404条款(公认最严格、最复杂、执行成本最高)强调,公众公司内控活动的操作流程都必须清楚地定义并保存相关记录,任何一个岗位的职务、职责都应描述得一目了然,在对交易进行财务记录的每一个环节都应有相应的内部控制制度,并指出内部控制的缺陷所在。
它还特别规定,公众公司管理层负有建立和维护内部控制系统以及保证相应控制程序充分有效的责任,编制的年度报告须包括内部控制报告,体现管理层对最近财政年度末对内部控制体系及控制程序有效性的评价,并由担任公司年报审计的会计师事务所对其出具评价报告(但不作为一项单独的业务)。
⒊风险控制:
天使Or魔鬼内部控制与风险管理是一个事情的两个方面,正因为有风险才需要控制。
为了引导企业进一步加强内部控制,1999年修订的《会计法》,第一次以法律的形式对建立健全内部控制提出原则要求。
但从现实情况看,许多企业管理松弛、内控弱化、风险频发,资产流失、营私舞弊、损失浪费等问题还比较突出。
随着市场经济的发展和企业环境的变化,单纯依赖会计控制已难以应对企业面对的市场风险,会计控制必须向风险控制发展。
以史为鉴——英国议会曾否决将电力、煤气引入伦敦的千家万户否决引入电力的理由:
“如果把电通到千家万户之后,每一户人家至少都得有一个电插头吧?
那个电插头的杀伤力绝对不可低估,简直就是现代化的杀伤性武器!
如果在全伦敦、全英国普及用电,就等于是给每一个英国人,包括所有的大人、小孩、坏人、精神病患者等等,都发了一把,使他们每个人都具备了把别人或者自己随便杀死的武器和能力。
这实在是太可怕了!
”否决引入煤气的理由:
“如果千家万户都用煤气,肯定需要储存煤气的巨大煤气罐吧?
把那么多个大煤气罐摆放在伦敦,那就等于放了数个巨大的‘包’。
任何一个国家总有一些坏人,如果这些坏人自己不想活了,一旦把巨大的‘包’点着,两千多年的文明古城岂不是毁于一旦了吗?
难道有谁能承担得了这个责任吗?
”教训:
内部控制的宗旨是兴利除弊,兴利是要作“天使”,除弊则是要驱除“魔鬼”,但切忌“好心办坏事”。
英国历史上的决策失误——曾否决将电力、煤气引入伦敦的千家万户,就是真理走向谬误、控制变成桎梏的反面例子。
(二)权威观点《周礼》:
虑夫掌财用财之吏,渗漏乾后,或者容奸而肆欺……于是一毫财赋之出入,数人之耳目通焉。
具体到职务设置上,以货币的控制为例,专门设置了职入官、职岁官和职币官,来分掌货币的收入、支出和余额,体现了内部牵制思想。
“在内部控制、预算和审计程序等方面,周代在古代世界是无与伦比的。
”(《会计思想史》,迈克尔.查特菲尔德)
WillieHackett&Sybilc.Mobley:
内部控制作为一种常识出现,是利润动机的自然产物。
第一位倡导者一旦发明获取利润的方法,就会建立控制和保护利润的制度,说明了内部控制对兴利的意义。
COSO:
之所以要设置内部控制,就是促使企业在迈向获利目标的路上,达成管理理念,并把路上的意外惊吓减到最少。
BasleCommitteeonBankingSupervision:
著名商业银行失败事件的原因,除了内部控制失效外,很难再找到其他因素。
巴林银行新加坡期货公司执行经理尼克·里森:
“有一群人本来可以揭穿并阻止我的把戏,但他们没有这样做。
我不知道他们的疏忽与罪犯级的疏忽之间的界限何在,也不清楚他们是否对我负有什么责任。
但如果是在任何其他一家银行,我是不会有机会开始这项犯罪的。
”形象地说,健全、完善的内部控制制度是可以“治病救人”的,因为“一个不好的制度会让好人变成坏人,而一个好的制度会让坏人变成好人”。
国际会计公司KPMG(毕马威)1998年以美国5000家公司组织为对象开展欺诈调查,统计结果显示:
舞弊被发现的概率大致为雇员通报58%,内部控制51%,内部审计师43%,客户举报41%,偶然发现37%,管理当局调查35%,匿名举报35%,热线通报25%,雇员调查21%,/警察通报16%,外部审计师4%,其他来源20%(允许复选)。
美国注册舞弊审查师协会2002年的调查报告显示,约占90%的受害公司缺乏适当的内部控制制度,或者内部控制制度被员工忽视,没有得到很好地执行。
内部控制已成为时下企业管理层、审计师、各国,以及相关监管部门万众瞩目的焦点。
这个今日在经济管理领域的许多方面仍然发挥重要作用的内部控制思想,其发展应归功于历代企业家、官员、会计人员和著书立说者们的不懈努力。
他们不是在实践中应用这一思想,就是至少提倡应用这一思想。
——汤姆.李(Tom.Lee)
●美国国家审计师的惊世之举!
!
!
2010年3月12日,美国责任署(TheU.S.GovernmentAccountabilityOffice,GAO),也是国家审计师,对美国公布的2009财年的财务报告无法发表审计意见,因为普遍存在实质性内部控制薄弱环节和其他局限性。
归因于四个机构:
美国国防部、美国国土安全部、美国国务院和美国航天局。
二、内部控制观念的演变
(一)萌芽期一一内部牵制“Controls”一词最初从拉丁语“contrarotulus”派生而来,意为“对比卷宗”。
它起源于古罗马时代对会计账簿实施的“双人记账制”,即某笔经济业务发生后,由两名记账人员同时在各自的账簿上加以登记,然后定期核对双方账簿记录,以检查有无记账差错或舞弊行为,进而达到控制财物收支的目的。
对比卷宗和双人记账制体现的是内部牵制思想,其基本原理就是:
两个或两个以上的人或部门,无意识地犯同样错误的可能性,低于单独一个人或一个部门错误的可能性;有意识地合伙舞弊的可能性,低于单独一个人或一个部门舞弊的可能性(联合概率降低)。
《柯氏会计词典》将内部牵制定义为:
“用以提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计。
其主要特点是:
以任何个人或部门不能单独控制任何一项或一部分业务权力的方式,进行组织上的责任分工;每项业务通过正常发挥其他个人或部门的功能,进行交叉检查或交叉控制。
”内部牵制以不相容职务分离和授权批准控制为标志,至今仍然是控制活动的思想精髓。
所谓不相容职务,是指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为,因而必须予以分离的职务,如授权批准、业务经办、会计记录、财产保管和稽核检查。
(二)发展期一一内部控制制度美国审计程序委员会下属的内部控制专门委员会于1949年对内部控制首次做出了如下权威定义:
“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率,推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。
1958年10月,美国审计程序委员会对内部控制作了如下划分(两分法):
(1)会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成,包括授权与批准制度;记账、编制财务报表、保管财务资产等职务的分离;财产的实物控制以及内部审计等控制。
(2)管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成,包括统计分析、时动研究、经营报告、雇员培训计划和质量控制等。
1977年的《反国外贿赂法案(ForeignCorruptPracticesAct)》是最早的关于内部控制要求的法律,要求美国所有的上市公司必须建立内部会计控制制度,以防范公司被用于不法目的。
但1980年3月,在国际内部审计师协会代表大会的发言中,凯罗鲁斯把内部控制的两分法描绘为“将美玉击成了碎片”。
他声称,在这块美玉完全修复(破镜重圆)以前,我们不可能有一个对管理人员有用、为管理人员理解的内部控制定义。
(三)成熟期——内部控制结构(1988)和内部控制整体架构(1992)
1.内部控制结构(InternalControlStructure)
1988年,美国注册会计师协会指出:
“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”。
内部控制结构不再将内部控制割裂成会计控制和管理控制两部分,并正式将控制环境纳入内部控制范畴。
(1)控制环境对建立、加强或削弱特定政策和程序效率发生影响的各种因素,反映董事会、经理层、其他管理人员对内部控制的态度、认识和行动:
管理当局的思想和经营作风企业组织机构董事会及其所属委员会的作用确定职权和责任的方法监控和检查工作时所有控制方法,包括经营计划、预算,利润计划、责任会计和内部审计人事工作方针及其执行影响本企业业务的各种外部关系
(2)会计系统确认和登记一切合法的经济业务对各种经济业务进行按时和适当的分类,作为编制会计报表的依据将各种经济业务按适当的货币价值计价,以便列入会计报表确定经济业务发生的日期,以便分会计期间进行记录在会计报表中恰当表述经济业务以及有关内容(3)控制程序管理当局所制订的,用以保证达到一定目标的方针和程序:
经济业务和活动的批准和授权(授权批准控制)
明确各个人员的职责分工(不相容职务分离)
凭证和账单的设计和使用应保证经济业务和活动得到正确的职务分离的记载(如连续编号)
财产及其记录的接触使用要有保护措施(如限制接近)
对已登记的业务及其计价进行复核(稽核)
2.内部控制整体架构(InternalControl一IntegratedFramework)
1992年,美国反财务欺诈委员会下属的内部控制专门研究委员会COSO(CommitteeofSponsoringOrganizationsoftheTread-wayCommission),提出《内部控制整体框架(InternalControl-IntegratedFramework)》的专题报告(又称COSO报告),在世界范围内得到广泛应用。
COSO报告指出,内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。
内部控制是一个“发现问题-解决问题-发现新问题-解决新问题”的循环往复的过程,是企业经营过程的一部分,目标是在合法经营的前提下,提高经营的效率与效果,向外界提供可信的财务报告。
但它并不是一门纯粹的技术,相反它是“人为”的,需要全员参与,其设计和执行效果受制于“人”的因素。
内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成:
(1)控制环境(ControlEnvironment)
提供企业纪律与架构,塑造企业文化,并影响企业员工的控制意识,是所有其它内部控制组成要素的基础。
员工的诚实和职业道德员工的胜任能力董事会及审计委员会的参与管理哲学和经营作风组织机构权力和责任的规定人力资源政策与执行
(2)风险评估(RiskAssessment)
分析和辨认实现所定目标可能发生的风险(评估风险的先决,是制定目标)。
经营环境的变化聘用新员工采用新的或改良的信息系统迅猛的发展速度新技术的采用企业改组新的行业、产品或经营活动的开发海外经营新会计方法的采用(3)控制活动(ControlActivities)
确保管理层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工。
政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。
控制活动是针对关键控制点而制定的:
业绩评价信息处理控制实物控制职务分离授权与批准(4)信息与沟通(InformationandCommunication)
企业在其经营过程中,需按某种形式辨识、取得确切的信息,并进行沟通,以使员工能够履行其责任。
企业所有职员必须从最高管理阶层清楚地获取承担控制责任的信息,有向上级部门沟通重要信息的方法,并对外界顾客、供应商、主管机关和股东等做有效的沟通。
会计系统是信息系统最为重要的组成部分:
确认、记录所有有效的经济业务序时详细记录经济业务,以便适当归类、提供财务报报告采用适当的货币价值计量经济业务确定经济业务发生时期,并保证在合理的会计期记录经济业务在财务报告中恰当披露经济业务(5)监控(Monitoring)
由适当的人员,在适当及时的基础上,评估控制的设计和运作情况的过程,由持续监督、个别评估组成,确保企业内部控制持续有效运作。
在监控过程中,有两项职能发挥着重要作用:
一是内部审计,它是内部控制的最高层次,是控制中的控制。
二是控制自我评估(ControlSelfAppraisal,CSA)。
它的基本特征是:
时刻关注企业内部经济业务事项的进展情况和内部控制的成效;由企业内部全体人员共同参与和实施;利用目标管理的方法开展评估活动。
五要素及其相互关系监控控制活动风险评估控制环境信息沟通信息沟通基础手段保证载体依据(四)最新发展——企业风险管理(enterpriseriskmanagement)
2004年9月,COSO委员会顺应风险管理与内部控制相融合的趋势,吸收了风险管理的研究成果,结合《萨班斯——奥克斯莱法案》,正式颁布《企业风险管理整体框架(EnterpriseRiskManagement-IntegratedFramework)》。
⒈定义与目标COSO指出,企业风险管理是由企业的董事会、管理层和其他人员实施的,应用于战略制定并贯穿整个企业的一个过程,旨在识别可能影响企业的潜在事件,并在企业的风险容量内管理风险,为实现企业的以下目标提供合理的保证:
(1)战略目标,为最高层次的目标;
(2)经营目标,包括资源运用的效果和效率;(3)报告目标,即报告的可靠性;(4)遵循性目标,即合法合规性。
⒉组成要素
(1)内部环境(InternalEnvironment)
内部环境为如何看待风险和着手控制确立了基础:
风险管理哲学风险文化董事会诚心和道德观能力承诺管理哲学和经营风险风险偏好组织结构权利和责任的分配人力资源政策和实践
(2)目标设定(ObjectiveSetting)
管理当局采取恰当的程序去设定目标,保证选定的目标支持主体的使命,并与其相衔接,以及与它的风险容量相适应。
战略目标相关目标选定目标风险偏好风险承受度(3)事项识别(EventIdentification)
从影响目标实现的内部或外部资源中,识别潜在的事项,包括区分表示风险的事项或表示机会的事项,以及可能二者兼有的事项。
事件影响战略和目标的因素方法论和技巧实践相互依赖性事件类别风险和机遇(4)风险评估(RiskAssessment)
企业管理当局对识别的风险进行分析,作为确定如何对它们进行管理的依据。
内部和剩余风险可能性和影响方法论和技巧相互关系(5)风险反应(RiskResponse)
管理当局识别、评价可能的风险应对措施,包括回避、承担、降低和分担风险,使风险与主体的风险容量相适应。
识别风险反应评价风险反应选择反应组合观(6)控制活动(ControlActivities)
企业制定和实施政策与程序,以帮助确保管理当局所选择的风险应对策略得以有效实施。
与风险反应相结合控制活动的类型一般控制应用控制主体特性(7)信息与沟通(InformationandCommunication)
各个层级都需要借助信息来识别、评估和应对风险,员工也需要获得有关他们的职能和责任的清晰沟通。
信息战略整合系统沟通(8)监控(Monitoring)
整个企业风险管理应处于监控之下,必要时还应进行修正,能够动态地反应、根据的要求而变化。
监控通过持续的管理活动、对企业风险管理的单独评价或者两者的结合来完成。
个别评估持续评估⒊角色职责在企业风险管理整体框架中,体现了全员参与、全面控制的思想,各方的角色职责相互协同:
(1)董事会在风险管理方面负有总体责任。
董事会需要批准企业的风险偏好,复核企业的风险组合观并与企业的风险偏好相比较,评估企业最重要的风险并评估管理者的风险反应是否适当。
(2)CEO必须确定目标和战略方案,并将其分为战略目标、经营目标、报告目标和遵循目标。
(3)管理层需要识别风险和影响风险的事项,评估风险,采取控制措施。
(4)风险主管或风险经理在其职责范围内建立并维护有效的风险管理框架,也负有帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责。
(5)内部审计人员在企业风险管理监控中发挥重要作用。
他们对管理层的风险管理过程的充分性和有效性进行检查、评价、报告和提出改进建议,协助管理层和董事会履行职责。
(6)执法人员可以考虑采用本企业风险管理整体框架的定义和内容对企业的管理加以规范。
(7)对财务管理、审计等提供指导的专业组织,应根据本框架的精神考虑他们的标准和指引。
(五)企业风险管理整体框架与内部控制整体框架的比较⒈目标发展与风险观念内部控制整体框架把财务报告的可靠性界定为编制可靠的公开财务报表,包括中期和简要财务报表,以及从这些财务报表中摘出的数据(如利润分配数据)。
企业风险管理整体框架则将财务报告的可靠性发展为报告的可靠性,将财务报告的范围拓展到内部的和外部的、财务的和非财务的报告。
企业风险管理整体框架提出了新的目标——战略目标,并置于最高层次。
企业风险管理的范围与内容,扩展到战略高度。
企业风险管理整体框架首次提出总体层面上的风险组合观,管理层在确定战略目标和战略时,需将战略与风险偏好保持一致,选择与企业风险偏好相一致的战略,以风险组合的观点看待风险。
⒉风险管理流程内部控制整体框架由控制环境、风险评估、控制活动、信息和沟通和监控五个要素组成。
企业风险管理整体框架对这五个要素进行深化和拓展,演变为内部环境、目标设定、事件识别,风险评估、风险应对、控制活动、信息与沟通和监控八个要素,并首次提出了清晰的风险管理流程:
目标制定——事项识别——风险评估——风险反应——控制活动。
以企业内部环境为基础,借助信息与沟通进行,并处于监控之下。
⒊角色与职责变化董事会:
风险管理方面扮演更加重要的角色——负有总体责任,且变得更加机警,需要批准企业的风险偏好,复核企业的风险组合观并与企业的风险偏好相比较,评估企业最重要的风险并评估管理者的风险反应是否适当。
企业风险管理的成功与否,将在很大程度上依赖于董事会。
首席执行官(CEO):
确定目标和战略方案,并将其分为战略目标、经营目标、报告目标和遵循目标。
每一个业务单元、分部、子公司的领导,也需要识别各自的目标,并与企业的总体目标相联系。
管理层:
识别风险和影响风险的事项、评估风险并采取控制措施。
内部审计人员:
原来对内审委员会负责,现在可能要对内审委员会和风险主管负责,并在企业风险管理监控中发挥重要作用,对管理层风险管理过程的充分性和有效性进行检查、评价、报告和提出改进建议,协助管理层和董事会履行职责。
风险主管或风险经理:
为新增的一个角色,与企业内其他管理者一起,在各自的职责范围内建立并维护有效的风险管理框架,也负有帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责,并可以成为企业风险管理委员会的一员。
⒋图示比较八要素与五要素关系内部环境目标制定事项识别风险评估风险反应控制活动信息与沟通监控控制环境风险评估控制活动信息与沟通监控三、我国内部控制规范体系企业内部控制基本规范(2008):
既有类似萨班斯法案的强制力,又有与COSO报告一样的对内控实务的示范作用。
企业内部控制配套指引(2010)
由21项应用指引(银行、证券和保险业务的3项指引暂未发布)、评价指引和审计指引组成。
应用指引在配套指引乃至整个内部控制规范体系中占据主体地位;评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引;审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。
(一)基本规范⒈内部控制框架基本规范与包括COSO报告在内的世界领先的内部控制框架在所有主要方面保持了一致:
形式上,借鉴了COSO报告《内部控制整合框架》(1992)五要素框架。
COSO发布的《内部控制整合框架》是目前国际上企业内控建设的主要依据,它划分的内部控制五要素对世界各国的公司治理和上市公司监管的影响很大,相对较成熟、较稳定,包括美国证监会等推荐、参照的仍是5要素框架。
内容上,体现了风险管理8要素框架的实质,适当体现《企业风险管理框架》(2004)八要素框架的先进理念。
⒉内部控制目标内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
内部控制的目标:
合理保证企业经营管理合法合规(Low)
资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略(High)
⒊内部控制要素①内部环境(重要基础)
一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
②风险评估(重要环节)
及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
内部风险因素:
董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素组织机构、经营方式、资产管理、业务流程等管理因素研究开发、技术投入、信息技术运用等自主创新因素财务状况、经营成果、现金流量等财务因素营运安全、员工健康、环境保护等安全环保因素外部风险因素:
经济形势、
升级会员 