企业内部控制体系建设 的思路和方法概述
2020/3/21
培训课堂 纪律
不准迟到早退 不准手机铃响 不准接打电话 不准闲话咬耳
主要内容
一、企业内部控制体系的形成过程 二、企业内部控制体系与规范化管理 三、企业内部控制体系建设的理论思路 四、企业内控体系建设实施的内容和要求
一、企业内部控制体系的 形成过程
企业内部控制体系的内涵
企业内
控
注：此为企业管 理角度的定义， 非为会计学角度 的定义。
跟踪 评价 查失 纠偏
它是内部经营风险控制管理制度 的总和，是通过强化对于企业组织运 行过程中工作承担者——各级岗位员 工的无能、失职和贪腐行为的管控以 降低和消除企业经营风险的管理制度 体系。 途径主要是通过权力审核、权力制衡、 履职标准和问责约定扼制和减少岗位 员工的无能、失职和贪腐行为。 其目标是保证企业的财产安全和经营 安全、效益提升，并通过保证企业的 持续稳定发展保证投资人的权益不受 侵犯和稳定增长。
内部控制的五个要素
内部控制设计COSO报告明确的原则
1. 相互牵制原则。它是指一项完整的经济业务活动，必须分配给具有互相制约关系 的两个或两个以上的部门（或岗位）分别完成。
2. 授权控制原则。它是指企业单位应该根据各岗位业务性质和人员要求，相应地赋 予作业任务和职责权限，规定操作规程和处理手续，明确纪律规则和检查标准， 以使职、责、权、利相结合。
企业内部控制体系框架
COSO将内部控制定义为： “内部控制是受企业董事会、管 理层和其他职员共同作用，为实 现经营效果性和效率性、财务报 告的可靠性以及对适用的法律、 法规的遵循性等目标提供合理保 证的一种过程。”
其目标有三：
1. 经营的效果和效率
2. 财务报告的可靠性
3. 法律法规的遵循性
目标中没有把资产安全包括 进来，对于经营效果和效率的合理 保证界定，也是模糊的。
内控 控什么？
内控控什么？
从内部对经营风险进行控制，以规避和减少经营风 险损失。
经
经
营
营
过
风
失程
险
……
中
：
的
损
所
失
有
可
损
能
的 可 能
和 未 意 料
各 种 预 料
措能对 施的各 缺应种 失对可
行 为
工 无 能
岗 位 员
岗 位 员
工
行 为
工 失 职
岗 位 员
的 不 当
履
岗 位 员 工
行 为
工 贪 腐
3. 该委员会在调查中发现，近50％的财务舞弊事件可以全部或部分归咎于内 部控制失败，认为应该建立一个统一的、可操作的内部控制框架。
4. “反对虚假财务报告委员会”的五个发起组织成立了一个委员会，即 COSO，建立之初的目的是负责研究开发一个内部控制的权威性定义和指 南。
5. COSO在1992年9月完成了这项任务，《内部控制--综合性框架》，通常 被称为COSO报告。
2001年12月，美国最大的能源公司——安然公司，突然申请破产保护 ，此后，公司丑闻不断，规模也“屡创新高”，特别是2002年6月的世界通信 会计丑闻事件，“彻底打击了（美国）投资者对（美国）资本市场的信心”（ Congress report, 2002）。为了改变这一局面，美国国会和政府加速通过了 《萨班斯法案》（以下简称SOX法案。法案的第一句话就是“遵守证券法律以 提高公司披露的准确性和可靠性，从而保护投资者及其他目的。”它对在美国 上市的公司提供了合规性要求，使上市公司不得不考虑控制IT风险在内的各种 风险。
4. 2010年9月至2011年1月，COSO在问卷调查的基础上确定对COSO内控框架 进行修订和更新的思路，维护原有框架。
5. 2011年12月，COSO发布了新框架的征求意见稿，2013年5月正式发布。
萨班斯SOX）法案
萨班斯法案，又被称为萨班斯·奥克斯利法案，其全称为《2002年公众 公司会计改革和投资者保护法案》，由参议院银行委员会主席萨班斯（Paul Sarbanes）和众议院金融服务委员会（Committee on Financial Services） 主席奥克斯利（Mike Oxley）联合提出，又被称作《2002年萨班斯-奥克斯利 法案》。
岗 位 员
职 行 为
企业内部控制体系的渊源
1. 上世纪80年代，美国企业虚假财务报告丑闻层出不穷，许多大公司突现经 营失败，立法机构、政府监管机构和职业组织对虚假财务报告问题表现出 了空前的关注。
2. 1985年，美国注册师协会等发起成立了一个民间组织“反对虚假财务报告 委员会”，研究虚假财务报告的产生原因并推荐解决办法。
3. 成本效益原则。贯彻成本效益原则，即要求在实行内部控制花费的成本和由此而 产生的经济效益之间要保持适当的比例，实行内部控制所花费的代价不能超过由 此而获得的效益。
4. 协调配合原则。协调配合原则要求各部门之间、人员之间应相互配合、协调同步 、紧密衔接，避免只管相互牵制而不顾办事效率的做法，导致不必要的扯皮和脱 节现象。
4. 信息与沟通（Information and communication） 。内部控制的全过程 都需要高质量的信息以及顺畅的沟通。高质量信息具有内容相关、正确、 提供及时以及便于获取等特征。高质量的信息还须能以适当的形式及时、 准确地传递至信息需求者。
5. 内部监控（Monitoring） 。这一活动由持续监督、个别评价所组成，目 的是确保企业内部控制能持续有效的达成目标。
2. 2004年，美国公众公司会计监督委员会（PCAOB）发布了第2号审计准则， 要求注册会计师对公众公司财务报告内部控制有效性进行审计，明确提出 COSO内部控制框架可以作为企业内部控制体系建立的参考性标准。
3. 2010年9月，COSO启动了《企业内部控制整体框架》审核与更新项目，并聘 请普华永道会计师事务所（PWC）作为项目的支持方，着手新框架的制订工 作。
内部控制的五个要素
1. 控制环境（Control environment）。 它影响企业员工的行为选择意志 和工作能力，是所有企业内部控制的基础。
2. 风险评价（Risk assessment）。 每个企业都面临来自内部和外部的种种 风险，只有通过评价，才能确定应对方法。
3. 控制活动（Control activity）。 它是确保管理层的指令得以执行的政策 及程序，是管理层识别和评估风险后，对控制这些风险所采取的针对性措 施。
5. 整体结构原则。企业内部控制系统，必须包括控制环境、风险评估、控制活动、 信息与沟通、监督五项要素，并覆盖各项业务和部门。
企业内部控制体系的演变
1. 2001年安然事件爆发后，美国于2002年出台了萨班斯（SOX）法案，美国证 券交易会于2003年6月份就萨班斯法案第404条所制定的“最终条例”明确表 示COSO内部控制框架可以作为评估企业内部控制的标准。