1、企業內部控制的設計和評價問題張龍平 中南財經政法大學會計學院 教授、博導中國注冊會計師審計準則委員會 資深委員中國會計準則委員會 咨詢專家中國企業內部控制標準委員會 咨詢專家中國國家審計準則技術咨詢專家組 成員ZLPCALY8一、為什么要如此重視內部控制？ （一）國家整體管制角度 外部、內部、內外結合型（外部干預型）監管 （2001年大陸財政部發布內部會計控制規范） （二）單個企業發展角度 企業（公司）生存、質量與效益的重要性 （二）社會公眾需求角度 關注財務報表同時關注相關內部控制 二、什么是企業內部控制？（一）內部控制的概念 內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現

2、控制目標的過程。（全面內部控制理念）（二）內部控制的5目標 合理保證經營合規、資產安全、財務報告及相關信息真實完整、經營有效性，促進企業實現發展戰略。美國內控目標如下: 美國COSO認為內部控制應實現以下4大目標： 即合理保證實現： （1）戰略的實現； （2）經營（operation）的效率和效果； （3）財務報告（financial reporting）的可靠性； （3）對法律法規的遵守（compliance）。 注：資產安全目標哪去了？（2）（3）（三）內部控制的5要素1、內部環境（控制環境）2、風險評估3、信息與溝通4、控制活動5、內部監督 (對控制的監督)注：內控中5W理論的運用。（5

3、W：who, when,where,what,why. 另外一般加1H,就是how。比如高校的行政人員管理）2、風險評估過程）風險評估過程，是指識別經營風險，包括：管理層如何識別與財務報告相關的經營風險，如何估計該風險的重要性，如何評估風險發生的可能性，以及如何采取措施管理這些風險。（例如：凱迪電力的生物質電廠，主要風險點：科學管理+政策爭取+安全生產+原材料供應+資金安全+成本控制） 3、信息與溝通包括與財務報告相關的信息系統職能：）識別與記錄所有的有效交易；）及時、詳細地描述交易，以便在財務報告中對交易作出恰當分類；）恰當計量交易，以便在財務報告中對交易的金額作出準確記錄；）恰當確定交易生

4、成的會計期間；）在財務報表中恰當列報交易。補充講：實物控制的一般內容 1、建立嚴格的入庫、出庫手續。任何財產物資的購人，領用及銷售都要填制相應的合法憑證，予以準確的計量，及時記錄入賬并進行結算。 2、建立安全、科學的保管制度。安全保管，要求在選擇庫址，庫防設施，安全保衛方面都要有相應的措施和制度。科學保管，要求對財產物資應分門別類地存放在指定的位置，必要時還應進行科學化編號，以便于發料，盤點。 3、財產物資要實行“永續盤存制”。以便隨時在賬上反映出結存數額。 4、建立財產清查制度。企業應根據自身業務特點和管理要求，采用定期盤存或輪番盤存的方法，對財產物資進行清查，妥善處理盤盈盤虧，保證賬實相符

5、。 5、建立檔案的保管制度。要對有關財產管理方面的記錄資料編造清冊，定期清查，妥善保管。 5、對控制的監督對控制的監督，是指某企業（單位）評價內部控制在一段時間內運行有效性的過程，該過程包括及時評價控制的設計和運行，以及根據情況的變化采取必要的糾正措施。（四）內部控制的固有局限性 內部控制存在下列固有局限性，無論如何設計和執行，只能對控制目標的實現，提供合理的保證，而不能提供絕對的保證： 1、在決策時人為判斷可能出現錯誤和由于人為失誤而導致內部控制失效； 2、可能由于兩個或更多人員進行串通或管理層凌駕于內部控制之上而被規避。 補充講：內部牽制機能的執行方式：(1)實物牽制。例如把保險柜的鑰匙交

6、給兩個以上的工作人員持有，非同時使用這兩把以上的鑰匙，保險柜就打不開。(2)機械牽制。例如保險柜的大門不按正確程序操作就打不開。(3)體制牽制。采用雙重控制預防錯誤和舞弊的發生。(4)簿記牽制。定期將明細賬與總賬進行核對。 交叉檢查或交叉控制。強調一個部門或一個人不能完成一項業務活動的全過程，需要適當的職責劃分或職責分工。如同史蒂文J.魯特在超越COSO一書中所描述的那樣：職責劃分的目的是通過增加操作的難度，減少任何個人挪用公款或從事其他非法行為的潛在機會。 （二）內部控制制度階段（2分法） 20世紀50年代：內部會計控制和內部管理控制（三）內部控制結構階段（3分法） 20世紀70年代：控制環

7、境、會計系統和控制程序（四）內部控制框架階段（5分法） 進入20世紀90年代后， COSO報告：控制環境、風險評估、控制活動、信息和溝通、對控制的監督四、企業內部控制規范體系 1、企業內部控制基本規范 2、企業內部控制應用指引 3、企業內部控制評價指引 4、企業內部控制審計指引注：2006年6個部委組建中國企業內部控制標準委員會，迄今工作成果如下： A, 1、已發布自2009-7-1起上市公司執行（5部位聯合發布）。 B, 234于2010-4-26發布，2011-1-1起境內外上市公司執行，2012-1-1起主板執行，在此基礎上，擇機在中小板和創業板上市公司施行。同時，鼓勵非上市大中型企業提

8、前執行。 1、企業內部控制基本規范1個1)五個目標：合規性、可靠性、安全性、經濟性，戰略性（美國COSO是：4個目標，無安全性）2)五個原則：全面性、重要性、制衡性、適應性、成本效益3)五個要素：內部環境、風險評估、信息與溝通、控制活動、內部監督 2、企業內部控制應用指引21個 總體情況：21個應用指引（此次發布18個，涉及銀行、證券和保險等業務的3個指引暫未發布）18個應用指引的分類：（1）內部環境類指引-5個（2）控制活動類指引-9個（3）控制手段類指引-4個注：基本涵蓋了企業資金流、實物流、人力流和信息流等各項業務和事項。 18個應用指引的內容：（1）內部環境類指引5個 組織框架（含治理

9、結構、機構設置、職責分配及不相容職務分離）、發展戰略、人力資源、企業文化、社會責任（含安全生產，產品質量，環境保護與資源節約等） （注：企業自我評價時要以內部環境為基礎）（2）控制活動類指引9個 資金活動、資產管理、采購業務、銷售業務、研究與開發、工程項目、擔保業務、業務外包、財務報告 （注：企業自我評價時要以控制活動為重點）（3）控制手段類指引4個 全面預算、合同管理、內部信息傳遞、信息系統 （注：企業自我評價時應當兼顧控制手段）注：財政部等已出臺一些具體的操作手冊或講解材料重點講：內部控制應用（設計）一、內部控制的設計原則二、內部控制的保障機制三、企業內部控制應用指引的結構四、單項內部控制

10、的具體設計問題一、內部控制設計的5個原則 （一）全面性原則。內控貫穿決策、執行和監督全過程，覆蓋企業及其所屬單位的各種業務和事項。（二）重要性原則。內部控制應當在全面控制的基礎上，關注重要業務事項和高風險領域。（三）制衡性原則。內部控制應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督，同時兼顧運營效率。（四）適應性原則。內部控制應當與企業經營規模、業務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調整。（五）成本效益原則。內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。三、企業內部控制應用指引框架第一章：總則(含本指引制定目的，控制對象（定義）

11、，相關風險，關鍵控制點）第二至N章：具體規定關鍵控制點(不相容崗位分離)（總要求是：職責分工與授權控制，全面實現控制目標）、第一關鍵控制點、第二關鍵控制點N、評估與披露（第-1個關鍵控制點）四、單項內部控制的具體設計（一）明確控制目的（二）明確控制對象（定義）舉例：采購，主要是指企業原材料、商品和勞務的購買、審批、驗收、付款等行為 。（四）明確關鍵控制點舉例:采購關鍵控制點）購買與審批）驗收與付款）評估與披露 （五）具體規定關鍵控制點舉例：采購）購買與審批）驗收與付款）評估與披露 （六）不相容崗位舉例舉例：采購控制的不相容崗位：（）請購與審批。（）供應商的選擇與審批。（）采購合同協議的擬訂、審

12、核與審批。（）采購、驗收與相關記錄。（）付款的申請、審批與執行。3、企業內部控制評價指引1個（1）管理層要提交內部控制評價報告 （年度評價和專項評價）（2）評價工作的組織與實施 1）誰負責：企業主要負責人 2）誰實施：董事會（或類似決策機構）或其授權機構（可借助CPA或外部專家） 3）遵循原則：全面性、重要性和獨立性等原則 4）評價工作程序（即評價方案的設計及實施） 5）評價方法 6）工作底稿編制與復核 （3）年度評價和報告的內容1）評價：對整個年度、整個內部控制在某一基準日 的有效性評價后，發表一個意見。2）報告：需報告內控設計或執行存在的缺陷，包括 重大缺陷。 注：我們隨后講內部控制缺陷有

13、三種： 重大缺陷 重要缺陷 一般缺陷 （4）內部控制缺陷的認定 1）設計缺陷和運行缺陷企業在內部控制評價中，應對內部控制缺陷進行分類分析。 設計缺陷：缺少為實現控制目標所必需的控制，或現存控制設計不適當、即使正常運行也難以實現控制目標。運行缺陷：現存設計完好的控制沒有按設計意圖運行，或執行者沒有獲得必要授權或缺乏勝任能力以有效地實施控制。2）重大缺陷、重要缺陷和一般缺陷重大缺陷：是指一個或多個控制缺陷的組合，可能導致企業嚴重偏離控制目標的情形。重要缺陷：是指一個或多個控制缺陷的組合，其嚴重程度和經濟后果低于重大缺陷，但仍有可能導致企業偏離控制目標的情形。一般缺陷：是指除重大缺陷、重要缺陷之外的

14、其他控制缺陷。 敬請注意：上述缺陷的整改責任人不同：董事會（或監事會監督）；經理層；內部有關單位 （5）內部控制評價報告 1）內部控制責任主體的聲明。2）內部控制評價的總體情況。3）內部控制評價的依據。4）內部控制評價的范圍。5）內部控制評價的程序和方法。6）內部控制缺陷及其認定情況。7）內部控制缺陷的整改措施含重大缺陷的整改措施。8）內部控制有效性的結論（基準日）。 敬請注意：1、存在一個或多個內控重大缺陷的，應作出內控無效的結論。2、評價范圍應為整個內控。3、評價結果要妥當處理。4、缺陷表述方式適當。補充講1：內控的難點1、信息不對稱與內控2、利益沖突（串通）與內控3、管理層逾越與內控 （

15、非常規業務+重大會計估計）4、舞弊與內控 （舞弊三角理論：動機、機會、理由） 補充講2：對國有控股上市公司的建議1、問題一般多出在二級及其以下級別的公司，集團公司本身出大問題的不多。2、最好是設立全資或控股的下級公司，不搞不痛不癢的所謂少量參股。3、子公司、分公司最多設到二級，做好不再設立所謂孫公司或孫子公司。4、對下級公司的授權額度要特別注意控制。5、對二級公司權責利機制和制度要做適當的設計。6、小心和民營企業合作和交往，最好少與他們合作、交往。 4、內部控制審計引子： 1、CPA和企業的責任都在不斷地加大；2、內控審計結果將成為考核企業的重要指標；3、與財務報表審計有聯系，又有區別。建議:

16、 CPA和企業（公司）領導層都要高度重視內部控制問題 背景回顧：美國內部控制審計的發展歷程2002年， 薩班斯奧克斯利法案 2004年3月，PCAOB，AS NO2 2007年6月，PCAOB，AS NO5An audit of Internal Control Over Financial Reporting That is Integrated with An audit of Financial Statements CPA與內控關系發展史： 財務報表審計中不關注內控 財務報表審計中關注與審計相關的內控（新舊國際準則要求不同） 單獨審核（EXAMINATION） 財務報告內部控制 單獨審

17、計財報內控（AUDIT）（跨入雙重審計新時代）， 要求公司管理層先得編制內部控制自評報告，后CPA再審計(1)該項業務屬何種類型？1、鑒證（Assurance Engagement）2、審計(audit)(美國現行做法)3、審核(examination)(美國原來做法)4、非鑒證業務如咨詢服務 （CPA界和審計學界有人主張）（2）內控審計的范圍 1）只負責審計財務報告內部控制 本指引中內部控制審計的范圍，是指企業為了合理保證財務報告真實完整而設計和運行的內部控制，即財務報告內部控制。 2）對非財務報告內部控制的責任 對內部控制審計過程中注意到的非財務報告內部控制的缺陷，注冊會計師應當在內部控制

18、審計報告中予以描述，但無需對其有效性發表審計意見。（3）內控審計業務由誰來做？問題1：同一單位的內部控制審計 和財務報表審計由誰來做？ 1）同一會計師事務所（國外做法） 2）不同的會計師事務所問題2：同一單位內控的咨詢和審計 要不要執行分離？(內控基本規范的規定？業務相容?獨立道德?)（4）對時點還是時期內控發表意見1）只對特定時點相關內控的有效性發表意見（為什么不對時期內控有效性發表意見？）2）為什么還要同時收集特定時期相關內控的有效性 討論：企業該怎么做？（5）與財務報表審計整合進行1）整合的要點內部控制了解和測試2）以風險評估為基礎3）采用自上而下方法選擇擬測試的控制注意：重大缺陷與重大錯報的聯系與區別（6）內部控制審計意見及審計處理 1）需要幾種審計意見（只有3種，不準發表保留意見） 內控存在重大缺陷：否定意見(發現一個后還繼續查嗎?) 審計范圍收到限制：撤消業務約定，或無法表示意見 （此時在審計報告里，還要說明在審計范圍受限前，CPA執行有限審計程序所發現的重大缺陷嗎？） 2）查出內控缺陷的層次及不同的審計處理 Deficiency_缺陷_可能溝通 Significant Defi._重要缺陷_僅溝通即可