企业内部控制基本规范解读与案例分析

章节摘录

　　第一章　内部控制整体框架　　第一节　概述　　一、内部控制定义及其理解　　人类社会各方面的活动都需要进行调节与控制，大至一个国家的社会活动和经济活动，小至一个企事业单位的业务活动、管理活动、收支事项，无不例外。控制是驾驭、支配的意思，通过控制使人类的行为（或活动）处于掌握、支配之中，不超出其统一、协调的范围和界限。　　从当代管理学角度来解释，所谓控制，就是操作、管巡、指挥、调节的意思。当这种控制措施在单位系统内部实施时，通常就称其为内部控制。一般地说，内部控制是指企、事业单位和机关团体等为了提高经营效率，充分有效地获取和使用各种资源，达到既定的管理目标，而在内部实施组织管理、计划管理和程序管理，促使各个经营环节充分发挥其相互制约、相互调节作用的一种先进的管理方法。内部控制实质上是有效地执行组织策略的必备工具。有关内部控制的含义，国内外专家众说纷纭。　　（一）组织与协调论　　加拿大的R．J．安德逊认为，内部控制包含企业管理部门设置的全部协调系统和组织计划，以使企业尽可能有条不紊和高效率地进行业务活动，保证达到管理目标。“全部协调系统”，强调在典型的组织中存在许多单独的系统，每个系统都有自身的控制。一些控制本身可以独立地达到某种控制目标，同时，一项控制本身的力量会加强或减弱另一项控制的有效性，而另一些控制则是相互关联的，只有相关的控制联合起来才能达到一定的预期控制目标。　　澳大利亚的R．D．怀特和R．J．麦克威卡认为，内部控制由组织计划和企业管理人员为管理上尽可能有秩序地达到业务目的而建立的所有协调制度组成。在典型的组织内存在许多本身具有控制作用的单个制度。有些控制，彼此间存在着内部联系，以共同达到预期的控制目的；有些则可能是独立的，某一种控制的性质既不提高，也不削弱另外一种制度的作用。　　1984年10月，最高审计机关国际组织维也纳第六次学术讨论会的会议纪要表明，内部控制是单位为了保护资财的安全，检查财务资料和管理资料的准确性和可靠性，提高经营效率，鼓励执行既定的政策，达到预定的计划、目的和目标，而在内部正式通过的计划、进行协调的方法和程序。　　（二）规章制度论　　制度论认为，内部控制是与确保经营活动安全、信息及资料正确等目标相关的内部管理制度。1970年，日本会计研究学会审计特别委员会认为，内部控制是企业经营者为了维护企业资产、确保会计记录的正确性和可靠性，综合地计划、调整和考核经营活动而规定的制度、组织、方法及手续的总称。它包括预算控制制度、内部审计控制制度等制度；包括会计　组织、账户组织、内部牵制组织等组织；包括资产管理方法、各种文件管理方法等方法；包括货物收付手续、会计手续等手续；等等。　　中国台湾地区学者张永康认为，内部控制作为企业的管理制度，是近代增加管理效能的一种方法，藉以维护资产安全，核对会计资料是否可靠，有利于提高业务效能，并有助于执行管理政策。不论错误属“有意的”抑或“无意的”，若内部控制发挥效力，自能发觉。中国台湾地区学者许成也认为，控制制度一般包括内部牵制及内部稽核。前者系设计在业各处理过程中，使业务适当分解，或经由特定程序而自能产生牵制作用，其或基于主管阶层的管理监督，或基于业务关系的自动证实；后者则为特置的专业人员，依据企业目标或既定的计划规章，就企业内部各单位的业务执行情形，定期或不定期地予以查核，提出意见，两者的有效配合，即为现代管理的内部控制制度。　　美国的库克和温克尔认为，内部控制是公司里的一种制度。它包括公司的组织规划、任务和责任的委派，账户和报表的设计，以及为保护公司资产，保障会计及其他业务资料和报告的正确、可靠所采取的措施。内部控制是推动和判断公司经营效率，传达管理方针，并促进和衡量其遵循情况等的措施和方法。　　1986年，智利审计署在最高审计机关国际组织第十二次大会上表明，内部控制实质上是由企业所应拥有或应建立的各种程序和秩序组成的一种制度，其目的是为了实现企业目标。内部控制也是保证企业行政管理的规定得以贯彻执行，以及保证所提供的信息合适有用的一种制度。这种制度还能使资源使用经济有效，而且又不违反法纪。内部控制不仅仅是在经济业务处理过程中，企业管理部门和各个职能部门的工作人员之间相互联系而又相互制约的职责分工制度，而且还包括实现企业目标而实施的一切控制的方法措施。　　我国的一些学者也认为，内部控制是企业、事业、机关、学校、团体的一种管理制度。随着经济的发展和科学技术的进步，内部控制制度的作用已经远远超越了单纯防止舞弊行为的范围，并已经远远超越了陈旧的会计概念的范围。现代内部控制包括的内容很广泛，诸如预算控制、统计分析、工序改进、质量管理等内容。　　（三）程序与过程论　　美国会计师学会审计程序委员会认为，内部控制包含企业内部的组织计划和与计划相配合的各种方法及措施，借以保证各项资产安全，会计数据正确、可靠，增进工作效率，鼓励职工贯彻执行已规定的管理政策。　　加拿大的一些专家认为，内部控制是为了防止和发现差错和舞弊行为而提出的，是管理当局承认采纳的程序，以及管理当局为了比较有效地达到管理目标所采取的各种方法。加拿大的E．M．戴伊认为，内部控制是管理人员对于整个管理过程的监督过程，或者说，整个内部控制是一个管理、监督的过程。它要对企业的整个经营进行控制，对整个经营过程进行半衡。　　瑞典的专家认为，内部控制可定义为机构内部的组织和程序。　　美国COSO报告就将内部控制定义为一个过程。COSO（Committee of Spnsoring Organizadons of the Treadway Commission）1992年的定义，“内部控制是由企业董事会、经理阶层和其他员工实施的（effected），为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程（process）”。　　（四）基本规范的定义　　我国《企业内部控制基本规范》第三条有关内部控制的定义体现了过程观的思想。　　规范中明确提出：内部控制，是由企业董事会、监事会、经理层和全体员工买施的、旨在实现控制目标的过程。　　从这个定义可以看出，内部控制的边界扩充到了公司治理层，内部控制的广度覆盖到全员，内部控制的实质不仅仅是管理方法或管理制度，它是一个过程及其过程中的管理要素。　　二、内部控制的目标　　德鲁克指出，管理企业就是要平衡各种各样的需求和目标。目标在一个组织中具有有非常重要的作用，管理没有目标就像航海没有罗盘。内控目标设定是事项识别、风险评估和风险应对的前提。先有目标，管理当局才能识别影响目标实现的潜在事项。在我国《企业内部控制基本规范》的第三条也首先提出了内部控制的目标。　　《企业内部控制基本规范》规定我国企业内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。　　从这个定义中可以看出我国内部控制的目标包括五个方面：一是合法合规性；二是资产安全性；三是财务信息的真实完整性；四是效率效果性；五是战略实现性。相比较与C0s0报告中的三目标，我们的内部控制目标有了较大的超越；相比较与美国内部控制风险整合框架的四目标：我们的目标有超越也有保守。我们肯定了资产安全的目标，但我们的信息目标还是强调了财务信息，而风险整合框架中囊括所有的信息。　　（一）COSO《内部控制——整合框架》中目标体系的分析　　美国COSO报告针对内部控制的框架肯定了目标设定的重要性。风险评估随经济、行业、监管和经营条件变化而不断变化，需建立一套机制来辨认和处理相应的风险。风险评估的前提条件，是在各个管理层次上制定协调一致的目标。在管理当局找出风险并采取必要措施之前，首先要确定目标。内部控制在这方面的目标主要是，在整个组织内部制定协调一致的目标，并找出关键性的成功因素。确定和分析风险的过程是一个持续的过程，它是有效内部控制的一个关键性因素。COSO内部控制模型强调了内部控制的分类和目标。提出目标的设定虽然不是内部控制的组成要素，但却是内部控制的先决条件，也是促成内部控制的要件。框架将内部控制目标分为三类：与营运有关的目标、与财务报告有关的目标以及与法令的遵循有关的目标等。这样的分类高度概括了企业控制目标，有利于不同的人从不同的视角关注企业内部控制的不同方面。　　（二）OOCO框架下内部控制目标体系的分析　　加拿大的COCO框架认为，内部控制的目的在于企业应当确立各种目标并在企业内部有效传递关于目标的信息。目标包括企业的使命、前景、策略；此外，还包括较低层次上更具体的目标，这些目标的确立是为了使企业员工能够对他们的工作有更好的理解。　　目标的确立是确定必须达到的要求以及识别和权衡相关风险和机会的过程，它是一个连续的过程，要求对企业的经营业绩和内外部环境进行实时的监控。目标的确立可以有正式的程序，也可以采用某种非正式的方式。　　为实现企业目标和应对风险，企业应当制定相关政策，同时要让企业员工充分理解并切实执行这些政策，以便使企业员工清楚地知道企业对他们的期望以及在多大范围内能自主选择他们的行动。这一原则内在地要求企业不定期地对现存的政策进行审查，防止政策过于细节化或者与控制目标完全不相关。　　为了协调和控制为实现企业目标而作出的各种努力，企业应当制订相关的计划并向企业员工有效地传递关于这些计划的信息。计划是一个连续的过程，计划不应当是静态的计划。计划包括在企业内部有效地配置各种物质资源和人力资源。资源的充分性主要取决于企业所期望达到的目标以及预期的风险。目标和相关的计划应当包括可计量的业绩目标及其评价指标。　　同时，内部控制框架的目标设定的内涵在于内部控制的有效性的实现。有效的内部控制将在以下几个方面有助于企业的成功：①有效的内部控制使有关人员在应对风险（包括企业未能发现有利的机会并加以利用和企业缺乏应有的适应性的风险）时能充分发挥自己的专业判断能力和创造性思维；②有效的内部控制使人们在面临可预期的风险时有足够的应变能力；③有效的内部控制能够为有关人员提供及时可靠的信息并使他们能够在适当的时候和适当的环境中对这些信息加以利用；④有效的内部控制能够提高企业经营的效率和效果，并使企业外部的利益相关者对企业更有信心。　　（三）《COSO企业风险管理——整合框架》目标体系　　1．《COS0企业风险管理——整合框架》目标概述　　《COSO企业风险管理——整合框架》“目标制定”要素规定根据企业确定的任务或预期，由管理者确定企业的战略目标，选择战略方案，确定相关的子目标并在企业内层层分解和落实，各子目标都应遵循企业的战略方案并与战略方案相联系。在能够确定对目标的实现有潜在影响的事项之前，管理者就应确定企业的目标。而企业风险管理就是提供给管理者一个适当的过程，既能够制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且这些目标还与企业的风险偏好相一致。　　在《企业风险管理框架》中，企业的目标可以分为四类：　　战略目标是指企业的高层次目标，与企业的任务和预期相联系并支持企业的任务和预期的实现。　　经营目标是指企业经营的效率和效果，包括经营业绩目标和盈利能力目标，由于管理者对企业结构和经营的不同选择，各企业的经营目标也不尽相同。　　报告目标是指企业报告的有效性，包括企业内部和外部的报告，既包括财务信息，也包括非财务信息。　　合法性目标是指企业经营活动和相关对外报告符合相关的法律和堆蜘　　2．目标与企业风险管理构成要素之间的关系　　目标是指一个主体力图实现什么，企业风险管理的构成要素则意味着需要什么来实现它们，两者之间有着直接的关系。这种关系可以通过一个三维矩阵以立方体的形式表示出来。　　四种类型的目标：战略、经营、报告和合规——用垂直方向的栏表示，八个构成要素用水平方向的行表示，而一个主体内的各个单元则用第三个维度表示，如图1-1所示。这种表示方式使我们既能够从整体上关注一个主体的企业风险管理，也可以从目标类别、构成要素或主体单元的角度，乃至其中的任何一个分项的角度去加以认识。　　3．《企业风险管理框架》对目标体系改进　　企业风险管理框架提出了四类目标：①战略（strategic）目标，即高层次目标，与使命相关联并支撑使命；②经营（operatins）目标，高效率地利用资源；③报告（reporring）目标，报告的可靠性；④合规（compliance）目标，符合适用的法律和法规。　　这种对企业目标的分类可以使企业的管理者和董事会注意企业风险管理的不同方面。企业的某一个特定目标可能不仅仅属于某一类目标。企业的这些目标既相互区别但又相互重叠，可以明确企业的不同需要，并且可以分派给企业的某一个执行官作为其直接职责。这种分类还可以区分企业不同类别目标的期望之间的区别。　　有效的风险管理应该能够为企业目标的实现提供合理的保证，包括报告的可靠性、合法合规性目标等。这两类目标的实现都在企业的控制范围内，其实现依赖于相关活动执行的好坏。在这个目标体系中，增加了内部控制整合框架中所没有的一类目标，即战略目标。虽然是平行的方式列示，但是，战略目标在这个目标体系中是最高层次的，其他三类目标都应当从属于战略目标，都是在为战略目标服务。另外，战略目标和经营目标的实现并不总在企业的控制范围内。对于这两类目标，企业风险管理只能合理保证管理者和董事会从宏观上及时了解企业目标实现的程度。企业风险管理框架针对风险度量提出两个新概念：风险偏好和风险容忍度。这两个因素对目标实现起着重要作用。在企业目标实现的过程中，对差异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可容忍限度。在确定各目标的风险容忍度时，企业应考虑相关目标的重要性，并将其与企业风险偏好联系起来。将风险控制在风险容忍度之内能够在更大的程度上保证企业的风险被控制在风险偏好的范围内，也就能够从更高程度上保证企业目标的实现。　　此外，企业风险管理框架的报告目标也有所拓展。在内部控制框架中，报告指的是公布的财务报表，报告目标主要关注公布的财务报表的可靠性，而在企业风险管理框架中，报告包括由企业编制、向内部和外部散发的所有报告。而且，范围也从财务报表的财务信息扩展到了更广泛的非财务信息。尽管在企业风险管理框架中，并没有明确表示其遵守目标与内部控制的遵守目标有什么不同，但是，负责拟定企业风险管理框架的普华水道在其2004年的一份名为《整合一驱动绩效》（Integrity-Driven Performance）的报告中认为，“主要关注遵守法律、法规的传统合规方法是不充分的，遵守内部治理、道德与风险标准和政策在防止遭受与声誉相关的风险方面更有效”。该报告对“遵守”的内涵进行了拓展，提出了一个新视角的“遵守”，给出了一个遵守风险的新定义。遵守风险是指“由于没有能够遵守法律法规、内部规则和政策以及顾客、雇员和社会等主要利益相关者的期望而导致对组织的经营模式、声誉和财务状况产生损害的风险”。

书籍目录

第一章  内部控制整体框架  第一节  概述    一、内部控制定义及其理解    二、内部控制的目标    三、制定企业内部控制的规范缘由和出发点    四、企业内部控制规范的适用    五、中国企业内部控制规范发展的历程  第二节  内部控制要素    一、《企业内部控制基本规范》规定的内控要素    二、国际类似内部控制框架的要素比较  第三节  企业内部控制的建立与实施    一、企业建立与实施内部控制的原则    二、企业内部控制建立的思路与相关要求    三、企业内部控制实施的配套措施第二章  内部环境  第一节  概述  第二节  内部环境内涵    一、公司治理结构和议事规则    二、审计委员会    三、内部机构设置、岗位职责、业务流程    四、内部审计    五、人力资源政策    六、职业道德修养和专业胜任能力    七、企业文化、价值观和社会责任感    八、法制观念  第三节  内部控制环境国际比较    一、内部牵制阶段：尚未出现内部控制环境一说    二、内部会计控制与内部管理控制阶段：逐步意识到控制环境因素    三、内部控制结构阶段：逐步重视控制环境要素    四、内部控制整体框架阶段：重视控制环境要素    五、企业风险管理框架阶段：明确内部环境要素第三章  风险评估  第一节  概述  第二节  风险识别    一、风险识别的必要性    二、风险识别的内外部因素和分析框架    三、风险识别技术和方法  第三节  风险评估    一、评估方法    二、实用评估技术  第四节  风险应对    一、概述    二、风险应对策略——风险回避    三、风险应对策略——风险降低    四、风险应对策略——风险转移    五、风险应对策略——风险承受    六、风险应对策略——风险利用    七、风险应对策略——企业整体风险管理    八、实用风险管理工具第四章  控制活动  第一节  概述  第二节  控制措施与方法    一、不相容职务分离控制    二、授权审批控制    三、会计系统控制    四、财产保护控制    五、预算控制    六、运营分析控制    七、绩效考评控制第五章  信息与沟通  第一节  概述    一、信息系统    二、沟通  第二节  信息技术及信息与沟通    一、信息收集方法与技术    二、信息处理方法与技术    三、信息沟通方法与技术  第三节  现有的信息技术内部控制模型    一、eSAC模型    二、COBIT模型    三、信息技术环境下内部控制框架的构建  第四节  反舞弊机制、举报投诉制度和举报人保护制度    一、建立反舞弊机制    二、举报投诉制度和举报人保护制度第六章  内部监督  第一节  概述  第二节  日常监督与专项监督    一、日常监督    二、专项监督    三、美国《企业风险管理整合框架》中的监督  第三节  内部控制缺陷认定与整改    一、美国COSO报告中的报告缺失    二、美国《企业风险管理整合框架》中的报告缺陷  第四节  内部控制自我评价    一、二号准则中的内控评价    二、五号准则中的内控评价    三、SEC最高准则中要求的内控评价附录  企业内部控制基本规范  企业财务通则主要参考文献

编辑推荐

　　内容全面，案例丰富，讲解深入浅出，具有很强的可读性和实用性。

作者简介

《企业内部控制基本规范解读与案例分析》对《企业内部控制基本规范》作了详细的解读。内容包括：内部控制整体框架；内部环境；风险评估；控制活动；信息与沟通；内部监督等。

图书封面

---

 企业内部控制基本规范解读与案例分析下载

---