企业内部控制与风险管理

《企业内部控制与风险管理》由会员分享，可在线阅读，更多相关《企业内部控制与风险管理（54页珍藏版）》请在装配图网上搜索。

1、编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第54页 共54页企业内部控制与风险管理（第二版）第一章 内部控制概论第一节 内部控制的产生和发展一、国外内部控制的发展历程p3-13（一）内部牵制阶段一般来说，内部牵制的执行大致可分为以下四类：一是实物牵制。例如把保险柜的钥匙交给两个以上的工作人员持有。非同时使用这两把以上的钥匙，保险柜就打不开。二是机械牵制。例如，保险柜的大门若非按正确程序操作就打不开。三是体制牵制。采用双重控制预防错误和舞弊的发生。四是簿记牵制。定期将明细账与总账进行核对。在现代内部控制理论中，内部牵制仍占有重要地位，成为有关组织机构控制和职务分离控制的基

2、础。内部牵制是基于以下两个基本设想：（1）两个或以上的人或部门无意识地犯同样错误的机会是很小的；（2）两个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。（二）内部控制阶段（三）管理控制和会计控制阶段（四）内部控制结构阶段（五）内部控制整体框架阶段进入世纪年代后，人们对会计控制的研究进入了一个全新的阶段。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。同以往的内部控制理论及研究成果相比，COSO报告提出了许多新的、有价值的观点。体现在：p71、明确制定与实施内部控制的“责任”。2、指明内部控制应与经营管理相结合。3、指明内部

3、控制是一个循环往复的过程。4、强调思想、观念更新的重要性。5、要求管理层关注企业各层次的风险。6、指明内部控制的分类及目标。7、指出内部控制只能做到“合理”保证。8、强调要考虑成本与效益原则。（六）内部控制整体框架风险管理阶段企业风险管理包括八个相互关联的要素，各要素贯穿在企业的管理过程之中。1、内部环境2、目标制定3、事项识别4、风险评估5、风险反应6、控制活动7、信息和沟通8、监控相对于内部控制框架而言，新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素，即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。1、提出

4、一个新的观念风险组合观（An EntityLevel Portfolio View of Risk）2、增加一类目标战略目标，并扩大了报告目标的范畴3、针对风险度量提出两个新概念风险偏好（Risk Appetite）和风险容忍度（Risk Tolerances）4、增加了三个风险管理要素，扩大了相关要素的范围企业风险管理框架新增了三个风险管理要素“目标制定”、“事项识别”和“风险反应”。二、中国内部控制与风险管理的发展1999年修订的中华人民共和国会计法，第一次以法律形式对建立健全内部控制提出了原则要求，财政部随即连续制定发布了包括内部会计控制规范基本规范在内的七项内部会计控制规范。（一）五部

5、委的企业内部控制基本规范及配套指引p131、企业内部控制基本规范根据企业内部控制基本规范，企业建立内部控制应当包括五个要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。2、企业内部控制应用指引企业内部控制应用指引在企业内部控制规范体系中处于主体地位。企业内部控制应用指引由18项具体应用指引组成，具体包括的内容：已发布的针对企业具体业务或事项的18项应用指引，内容涵盖组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递和信息系统等企业最常见、最基本、迫切需要加强控制的

6、环节和领域。企业内部控制应用指引可以划分为三类，即内部环境类指引、控制活动类指引、控制手段类指引，基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。其中，内部环境类指引包括组织架构、发展战略、人力资源、社会责任、企业文化5个指引；控制活动类指引包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告9个指引；控制手段类指引包括全面预算、合同管理、内部信息传递、信息系统4个指引。3、企业内部控制评价指引内部控制评价是企业内部控制中非常重要的一环。4、企业内部控制审计指引内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计和运行的有效性进

7、行审计（二）国资委的中央企业全面风险管理指引2006年6月，国务院国资委根据企业国有资产监督管理暂行条例（国务院令第378号）关于“国有及国有控股企业应当加强内部监督和风险控制”的要求，出台了中央企业全面风险管理指引，旨在进一步加强和完善国有资产监管工作，深化国有企业改革，加强风险管理，促进企业持续、稳定、健康发展。中央企业全面风险管理指引对全面风险管理的定义是：围绕企业总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的全面风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理组织体系、风险管理信息系统和内部控制系统，从而为实现风险管

8、理总体目标提供合理保证的过程和方法。1、全面风险管理目标全面风险管理的控制目标包括五个，分别是：战略目标、报告目标、合规目标、经营目标、减灾目标。战略目标是确保将风险控制在与总体目标相适应并可承受的范围内；报告目标是确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；合规目标是指企业应当遵守有关法律法规；经营目标是确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；减灾目标是确保企业建立各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

9、2、全面风险管理环境全面风险管理环境包括风险管理文化、风险管理组织体系、风险管理信息系统。其中，风险管理文化包括对员工进行风险态度、行为的宣导，进一步深化风险管理“一把手负责制”，建立符合公司战略目标的风险偏好，完善公司风险政策，以增强企业全员的风险意识；风险管理组织体系由三道风险管理防线组成，第一道是业务职能部门，第二道是风险管理职能部门，第三道是内部审计部门和董事会下设的审计委员会；风险管理信息系统是对风险管理体系设计方法和结果进行固化和标准化，并实现对风险的事前、事中和事后控制，以及对风险管理体系的运行绩效和有效性进行监督检查及改善。3、全面风险管理基本流程全面风险管理的基本流程包括：建

10、立初始信息框架、风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监督与改进，在此过程中，信息与沟通贯穿始终。（三）银监会的商业银行内部控制指引商业银行内部控制的目标包含以下几点：一是确保国家法律规定和商业银行内部规章制度的贯彻执行；二是确保商业银行发展战略和经营目标的全面实施和充分实现；三是确保风险管理体系的有效性；四是确保业务记录、财务信息和其他管理信息的及时、真实和完整。第二节 内部控制的概念、目标和内容一、内部控制的概念P18内部控制可理解为：内部控制是组织内部的主体，为了保证经济资源的安全完整，确保经济信息的正确可靠，协调经济行为，控制经济活动，规避经营风险，利用组织

11、内部因分工而产生的相互制约、相互联系的关系，形成一系列具有控制职能的方法、措施、程序，并予以规范化、系统化，使之组成一个严密的、较为完整的体系。二、建立内部控制的必要性p19（一）科学管理的要求（二）法律、法规的要求（三）成本效益原则的要求P20客观上要求企业加强内部控制的因素有：（1）避免违规。企业面临的潜在违规风险包括环境保护、职工安全等。如果企业事先设置了这相关内部控制程序，可能就会避免这种损失。（2）降低惩罚。有些法律在对企业犯罪量刑时，依据犯罪的严重程度与企业内部控制的有效程度来决定对企业的惩罚。如果企业设有能够预防和发现违法行为的有效内部控制制度，则可以大大降低对企业的责罚。（3）

12、减少欺诈。近年来，企业发生的外部欺诈案件和内部欺诈案件呈上升趋势。在这些发生内、外部欺诈的公司中，内部控制薄弱是其共同特征。如果企业设有有效的内部控制制度，则可以大大减少对企业的欺诈。（4）管理跨国公司风险。在海外经营的跨国企业会面临不同于国内的政治、经济、文化风险，由于交易活动的复杂性还会产生国际税收、汇率波动等风险，这就要求企业专门设立管理这些风险的内部控制。（5）树立良好社会形象。由于信息透明度的增大，企业一旦发生欺诈行为、管理不善或违反法规、被处罚款，就会引起社会新闻媒介的广泛关注，从而造成公司股票价格的剧烈波动，甚至给公众留下公司“管理失控”的不良印象。内部控制有助于预防此类问题的发

13、生，并且在问题发生时能够提供与新闻界妥善处理的补救程序。（6）加强政府管制。2001年美国Enron公司及之后的一系列公司财务舞弊案件，引致了2002年萨班斯奥克斯利法案公布实施，其中第404号条款要求在美国证券交易委员会（SEC）备案的上市公司必须提交年度内部控制报告，作为向SEC提交的财务报告的组成部分。在这份内部控制报告中，要求管理层报告公司当前内部控制的质量，并要求负责财务报表审计的会计师事务所对内部控制报告加以证实。三、内部控制的目标1992年COSO报告在得到各界普遍认可的内部控制概念中提出的目标有三大类：一种是营运目标（Operations）：与企业资源使用的效率和效果有关，包括

14、绩效和获利目标，以及保障资产的安全，使其免受损失。二是财务报告目标（Financial Reporting）：与编制对外公布的财务报表的可靠性有关，包括防止对外公布财务报告的不实。三是遵循目标（Compliance）：与企业遵循相关法律法规有关，它们受外界因素，如环境保护法等影响。这些法令规定了企业的最低行为标准。下面从COSO内部控制目标的三个方面分别讨论：1、运营的效果和效率2、财务报告的可靠性3、符合相关的法律和法规2008年中国财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范，提出内部控制的目标主要包括：p211、确保企业战略的实现2、运营的效果和效率3、财务报告的

15、可靠性4、资产的安全、完整5、符合相关的法律和法规四、内部控制的内容由于每个单位的性质、业务、规模等方面不同，内部控制系统的具体内容也不尽相同。概括起来，内部控制的构成内容可从如下方面来考察：p22-24（一）合规、合法性控制（二）授权、分权控制（三）不相容职务控制1、经济业务处理的分工。2、资产记录与保管的分工。3、各职能部门具有相对独立性。（四）业务程序标准化控制（五）复查核对控制（六）人员素质控制第三节 计算机环境下的内部控制二、计算机环境下的内部控制p25-28计算机系统的内部控制制度，从计算机会计系统的建立和运行过程来看，可分为对系统开发和实施的系统发展控制、对计算机会计系统各个部门

16、的管理控制、对计算机会计系统日常运行过程的日常控制。第四节 萨班斯奥克斯利法案对内部控制的影响美国参众两院在2002年迅速出台并通过了公众公司会计改革与投资者保护法案，即萨班斯奥克斯利法案。该法案对1933年证券法和1934年证券交易法进行了大幅修订，被认为是美国自20世纪30年代经济大萧条以来涉及范围最广、处罚措施最严厉、影响力最大的上市公司法案。一、萨班斯奥克斯利法案的主要内容 p29萨班斯奥克斯利法案共分章。与美国已有的证券法规相比，萨班斯奥克斯利法案突出了以下内容：设立独立的上市公司会计监管委员会，负责监管执行上市公司审计的会计师事务所；特别加强执行审计的会计师事务所的独立性；特别强化

17、了公司治理结构并明确了公司的财务报告责任及大幅增强了公司的财务披露义务；大幅加重了对公司管理层违法行为的处罚措施；增加经费拨款，强化美国证券交易委员会的预算以及职能。其中，最为要害的就是第号条款和第号条款。第号条款主要是强调上市公司财务报告的真实性。这种强调来自于上市公司首席执行官（）和首席财务官（）必须对公司财务报告的真实性负责并宣誓。第号条款是萨班斯奥克斯利法案中最难操作、最复杂的一个条款。条款规定：在美上市企业，要建立内部控制体系，其中包括控制环境、风险评估、控制活动、信息沟通以及监督个部分。内部控制活动的记录不仅要细化到像产品付款时间这样的细节，而且对重大缺陷都要予以披露。内部控制活动

18、的记录不仅要细化到诸如产品付款时间之类的细节，而且对重大缺陷都必须予以披露。它涵盖企业运营的各个领域，一旦投入实施，必将引起整个企业控管流程的改变。从2006年7月15日起，但凡年销售收入在5亿美元以上的在美国上市的外国公司，都必须开始执行萨班斯奥克斯利法案。二、萨班斯奥克斯利法案对内部控制的影响对于许多企业而言，萨班斯奥克斯利法案要求建立严密内部控制的高昂成本已经超出了它们所能承受的范围，因此，退出资本市场无疑成为最明智的选择。问题的严重性在于，在全球证券交易所争夺上市资源日趋激烈的情况下，许多原来准备到美国上市的国外公司最后到了其他市场，而且这种情况可能会愈演愈烈。萨班斯奥克斯利法案的产生

19、将使得中国内地在美上市企业受到以下冲击：第一也是最重要的冲击是，中国企业在美上市的维持成本将大幅升高。对于已经在美国上市的中国企业而言，必须直面实施萨班斯奥克斯利法案所造成的内控成本上升和诉讼风险增大的影响。因此，这些企业还有两点需要注意：一是充分保持审计委员会的独立性、赋予审计委员会真正的权利，让审计委员会充分发挥在内控体系中的重要作用；二是延揽熟悉美国证券法律，特别是萨班斯奥克斯利法案的专业人才，积累在美应诉的宝贵经验，为将来的潜在诉讼做好应对准备。准备赴美国上市的中国公司，尽管全方位完善公司的内部控制、提交评估报告会带来巨大的执行成本，但在高昂的成本和复杂的操作背后，将看到内部控制健全的

20、公司强大的企业竞争力。第五节 内部控制促进企业发展案例第二章 内部控制设计第一节 财务报告内部控制一、内部控制对财务报告的影响从经济业务的发生到形成账簿、报表需要一系列的控制活动由此可见，业务控制程序和活动并不是单独存在的，而是渗透于生产经营管理活动中。有效的内部控制能确保会计核算系统中确认、计量、记录、报告各步骤都具有真实合法的凭据，并减少核算中的差错，最终提供真实可靠的财务报告。无论哪一个控制环节出现问题，都可能会产生记录核算错误或者给不法分子以可乘之机，诱发舞弊，造成虚假的财务报告。除了业务控制程序和活动外，内部控制其他组成部分也制约着财务报告的真实性、可靠性。要使业务控制程序和活动能够

21、得到有效执行以保证会计信息的真实可靠，离不开组织结构的好坏和人员素质的高低。二、财务报告内部控制的含义财务报告内部控制的目的是确保公司设计的控制程序能为下列事项提供合理的保证：公司的业务活动经过合理的授权；保护公司的资产，避免未经授权或不恰当的使用；业务活动被恰当的记录并报告，从而保证上市公司的财务报告符合公认会计原则的编报要求。根据SEC 2003年6月正式发布的最终规则中的定义，财务报告内部控制是指由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的，受到公司的董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报告编制的符合公认会计原则提供合理保证的控制

22、程序，具体包括以下控制政策和程序。P351、保持详细程度合理的会计记录，准确公允地反映资产的交易和处置情况。2、为下列事项提供合理的保证：公司对发生的交易进行必要的记录，从而使财务报告的编制满足公认会计原则的要求；公司所有的收支活动经过管理层和董事会的合理授权。3、为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证，这种未经授权的取得、使用和处置资产的行为可能对财务报告产生重要影响。由此可见，财务报告内部控制是专为合理保证财务报告的可靠性这一目标而提出的，既然将财务报告内部控制这一概念单独从内部控制中分离出来，说明在保证财务报告可靠性方面，内部控制的确发挥着不可忽视的作用。三、内部

23、控制要素与财务报告认定的关系财务报告中所包含的有关管理当局的认定有：p361、存在或发生。所有资产、负债和所有者权益在资产负债表项目中必须存在，并且所有利润表中的收入、费用、盈利都必须在当期发生。2、完整性。财务报告包括“所有的”交易、资产、负债和所有者权益。3、权利和义务。在财务报告中，企业拥有资产的权利和偿还负责的义务。4、估价或分摊。财务报告中的资产、负债、所有者权益、收入、费用、利润和亏损是根据公认的会计准则来确定的。5、表达与披露。财务报告中记录的数据按照公认的会计准则被合理地分类和披露。特定的内部控制要素与财务报告认定的关系，主要有：1、控制环境与财务报告认定的关系2、风险评估与财

24、务报告认定的关系3、控制活动与财务报告认定的关系4、信息与沟通与财务报告认定的关系5、监控与财务报告认定的关系第二节 内部控制的设计一、内部控制设计的指导思想设计内部控制要遵循科学性、合规性、合理性、成本与效益等基本原则，还要按照控制论、系统和信息论的基本理论和方法加以应用。1、控制论对内部控制设计的指导从控制论的观点看，控制就是按照一定的条件和预定的目标，对一个过程或系统施加影响，使其按照预定的轨道运行，并达到预期目标的一种有组织的行动。2、系统论对内部控制设计的指导系统在不同程度上具有稳定性、动态性和适应性的特征。3、信息论对内部控制设计的指导从信息论的观点看，会计系统是提供资金运动状况即

25、资金流的一个信息系统。二、内部控制设计的基本思路内部控制系统总体设计的思路：一个现代化企业的内部控制系统在总体上说，应该是项目、组织和流程三个方面的综合，形成一个完整的系统。1、内部控制项目。所谓内部控制项目，是指内部制度的基本单位。2、内部控制组织。所谓内部控制组织，是指具有共同行动目标的人类群体。3、内部控制流程。所谓内部控制流程，是指企业经营过程的一个阶段，由若干项目作业组成，而作业由若干项任务组成。在内部控制流程设计中，就是遵循着这种相对的“流程作业任务”三个因素之间的依次关系进行的。P40三、单项内部控制的设计思路所谓单项内部控制的设计就是指对内部控制项目的设计，设计的思路可以按部门

26、进行设计，也可以按项目设计，还可以按流程进行设计。1、按部门设计单项内部控制2、按每个项目设计单项内部控制3、按流程设计单项内部控制第三节 财务报告内部控制的设计一、财务报告内部控制的设计思路企业的业务循环是指处理某一类经济业务的工作程序和先后顺序。二、财务报告内部控制设计的程序P43-44财务报告内部控制的设计程序为：为确保财务报告可靠性的目标评估财务报告重大错报风险；根据财务报告重大错报风险评估设计内部控制系统；由相关部门和人员执行内部控制系统；依据标准对内部控制设计的科学性和执行的有效性进行测试和评价；分析差异及例外事项；采取适当的改进措施。（一）财务报告内部控制的设计设计财务报告内部控

27、制系统应考虑的问题主要有：1、根据组织规模、经营特征，确定哪些业务采取一般控制方式，哪些业务采取特殊控制方式，系统应反映出企业的形态特征。2、根据企业组织机构设置与人员数量素质情况，确定哪些业务采取综合部门控制，哪些业务采用业务部门控制，或实行两方面结合控制，系统应反映出组织机构中所采取措施的责任所在。3、根据具体业务性质及涉及面、复杂程度与危险程度，确定是进行程序控制，还是进行纪律控制、监督检查控制，或者是采用综合控制，特别要注意预防方式、自检与纠正控制的设计。4、根据方便使用的需要，哪些系统用文字说明形式表态，哪些制度用组织系统图或业务流程图表达，或图文并用。5、注意系统设计的适当性、可操

28、作性、经济性与有效性，尽量避免繁杂、不适用、低能和浪费。（二）财务报告内部控制的执行要特别注意以下问题：1、财务报告内部控制的有效执行特别需要一个良好的控制环境，所以，要在企业内部营造一种深厚的控制氛围。2、制定贯彻执行的切实措施，除宣传教育外，还要进行培训和模拟实验，使每个岗位的人员都清楚自己遵循的制度和规定，明白遵守与违反的界限，并提高自我监督与对他人监督的意识，克服执行制度的随意性。3、组织各阶层管理人员，特别是高层管理者要自觉遵守与自己有关的各项控制制度，要自觉接受违反制度后的应有惩罚，大事化小、小事化了会破坏制度的严肃性和权威性。4、注意财务报告内部系统执行中的检查与调节工作，一旦发

29、现违反制度的行为，应按规定进行严肃处理，绝不能姑息迁就，绝不拖延，否则就会一发不可收拾。执行中如发现不协调的环节，应及时调整，保证整个财务报告内部系统执行畅通无阻。（三）财务报告内部控制的评价财务报告内部控制评价根据评价的主体不同，可以分为外部评价和内部评价两种。外部评价主要是指会计师事务所的注册会计师的评价或有关检查部门的评价；内部评价主要是指内部审计人员的评价，或有关管理部门的自我评价。财务报告内部控制评价既可以进行单项评价，又可以综合评价。其评价一般为检查、分析与评定三个阶段。（四）财务报告内部控制的持续改进三、信息技术对财务报告内部控制的影响第四节 内部控制的局限性及其弥补一、内部控制

30、的局限性P48-49企业内部控制系统存在一些固有的局限性，归纳起来主要有以下几方面：1、受成本与效益原则的制约2、受经济活动的不断变化的影响3、受企业环境的影响4、受企业文化的影响5、受串通舞弊的冲击6、受人为错误的影响7、受管理者越权的冲击8、受企业人员素质的影响二、内部控制局限性的弥补1、不断完善内部控制系统2、不断调整内部控制系统3、加强对内部控制实施的检查4、明确实施内部控制的责任人5、加强与内部控制相配套的制度建设6、优化实施内部控制的外部环境第五节 内部控制设计案例第三章 内部控制评价P60对于企业内部控制的评价，可以分为两个步骤：一是通过对内部控制的了解，描述内部控制情况，并做出

31、相应的记录；二是评价内部控制的有效性，确定企业内部控制薄弱的领域，并提出改进的意见和建议。第一节 对内部控制系统的了解一、了解内部控制系统的主要目的与内容通常出于以下原因需要了解企业的内部控制系统：1、确认可能发生的潜在错报、舞弊的种类以及导致发生这些错报与舞弊的因素。2、充分了解企业的信息披露系统以确认其内部的有关凭证、报告、文件和其他可能的信息载体，并表明在审计测试和其他测试中将需要运用的信息或数据。3、如果对企业管理当局的正直性持有怀疑，或其信息载体贫乏以至于很难取得足够有效的证据，那么通过对内部控制系统的了解，可以发现和确定企业的内部控制系统是否有必要作进一步的测试与评估，确定其财务报

32、告是否具有可审性。一般来说，在所有审计中，审计人员都应该了解与审计测试有关的内部控制政策与程序的设计是否有效，以及这些政策和程序是否得到有效执行。因而对内部控制系统进行了解的主要内容包括两个方面，即内部控制的政策与程序在设计上是否有效，设计良好的内部控制政策与程序在实际中是否得到有效执行。二、了解内部控制系统的方法与技术（一）了解内部控制的方法和技术1、询问内部控制相关人员，并查阅相关内部控制文件。2、检查内部控制生成的文件和记录。3、观察内部控制相关的业务活动。4、选择若干具有代表性的交易事项进行“穿行测试”。穿行测试是指每类交易循环中选择一笔或几笔业务进行流程测试，以验证所记录的内部控制情

33、况是否客观和真实。（二）对内部控制系统了解情况进行记录通常审计人员有三种方式来记录对内部控制系统进行了解所获得的情况，即文字叙述方式、内部控制调查问卷方式，以及绘制内部控制系统流程图的方式。（三）评价现有内部控制系统以确定是否存在潜在控制弱点一般来说，需要审计人员记录的内部控制缺陷信息，应该包括缺陷、补偿控制措施、该缺陷可能带来的潜在错报和舞弊可能，以及它对某种控制类型整体和财务报告可靠性的影响程度。（四）报告所发现的内部控制缺陷如果内部控制缺陷造成的潜在影响很大，那么审计人员就应该及时将发现的结果以书面的形式告知有关当事人，要求他们建立应急控制措施，防止控制缺陷带来的后果进一步恶化。当然，最

34、理想的情况是，内部控制缺陷报告应该提交给直接负责该项职责的人或积极参与某个职能，并且能够有权力采取纠正措施的人员。为较快解决问题，在向直接责任人员提交控制缺陷报告的同时，还应该至少将该报告提交给直接责任者的上一级管理层面，这样，可以协助与受纠正措施影响的企业中的其他人员进行沟通。最后，审计人员就应该将发现的内部控制缺陷汇总，以书面的形式向董事会下属的审计委员会报告。第二节 内部控制的描述P62内部控制描述的方法通常有三种：文字表达法、调查表法和流程图法。一、文字表述法文字表述法是指评审人员对企业内部控制健全程度和执行情况的文字叙述。文字表述法的优点是比较灵活，可对被审计单位内部控制的各个环节做

35、出比较深入和具体的描述，不受任何限制。但文字表述法也有其缺点：对内部控制的描述，有时很难用简明易懂的语言来详细说明各个细节，因而有时使用文字表述显得比较冗赘，不利于为有效地进行内部控制评价和控制风险评价提供直接的依据。文字表述法几乎适用于任何类型、任何规模的单位，特别适用于内部控制不健全、内部控制程序比较简单和比较容易描述的小企业。二、调查表法调查表法是将那些与保证会计记录的正确性和可靠性以及与保证财产物资的完整性有密切关系的事项列作调查对象，同评审人员设计成标准化的调查表，并利用表格形式，通过征询来了解内部控制的强弱程度。调查表法的最大优点：一是简便易行，即使没有较高的专业知识和专业技能的人

36、员也能操作；二是能对所调查的对象提供一个概括的说明，有利于评审人员作进一步分析评价；三是编制调查表省时省力，可在评审项目初期就较快地编制完成，可以节省审计人员的工作量；四是调查表“否”栏集中反映内部控制存在的问题，能引起审计人员的高度重视。但是，调查表也有一定的缺陷，表现在：对企业某一环节的内部控制只能按所提问题分别考查，往往难于提供一个完整的、系统的、全面的分析评价；由于调查表格式固定，缺乏弹性，对于不同行业的企业或是特殊情况，往往“不适用”栏填得太多，而使调查表法显得不太适用；此外，审计人员机械地照表提问，往往会使被审计人员漫不经心，易流于形式，失去调查表的意义。三、流程图法流程图法是指用

37、特定的符号和图形，将控制中各种业务处理手续，以及各种文件或凭证的传递流程，用图解的形式直观地表现内部控制的实际情况。绘制流程图一般有两种方法：一种是纵向流程图；另一种是横向流程图。用流程图法描述内部控制，其主要优点有：流程图从整体的角度，以简明的形式描绘内部控制的实际情况，便于较快地检查出内部控制逻辑上的薄弱环节，也便于评审；流程图便于表达内部控制的特征，同时便于修改，在下次评审时，只要根据修改后的内部控制实际情况，稍微变动几根线条、几个符号，就能更新整个流程图。当然，像任何其他方法一样，流程图法也有其不足之处：编制流程图需具备较娴熟的技术和较丰富的工作经验，同时颇费时间；流程图法不能将内部控

38、制中的控制弱点，明显地标明，故评价时，往往需要与其他两种方法相结合。第三节 内部控制评价P67 2010年财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引。该配套指引包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引，并规定自2011年1月1日起在境内外同时上市的公司执行，2012年1月1日起在上海证券交易所、深圳证券交易所主板上市的公司执行。P67 内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。一、内部控制评价的原则企业实施内部控制评价应当遵循下列原则：1、全面性原则。2、重要性原则。3

39、、客观性原则。4、企业应当根据评价指引，结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等，明确相关机构或岗位的职责权限，落实责任制，按照规定的办法、程序和要求，有序开展内部控制评价工作。二、内部控制评价的内容p67-681、内部环境评价。2、风险评估机制评价。3、控制活动评价。4、信息与沟通评价。5、内部监督评价。三、内部控制评价的程序p68企业内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。第四节 内部控制评价报告案例第四章 内部控制审计P77企业内部控制审计，

40、是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照企业内部控制审计指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。第一节 内部控制审计的产生和发展一、国外内部控制审计的产生和发展二、中国内部控制审计的产生和发展企业内部控

41、制基本规范及企业内部控制配套指引的发布，标志着我国在上市公司中强制实施内部控制审计的开始。（一）自愿性内部控制审计为主的阶段（二）强制性内部控制审计阶段第二节 内部控制审计的对象（一）内部控制审计的对象是财务报告内部控制（二）内部控制审计是对企业特定时点内部控制的有效性发表审计意见（三）内部控制审计是基于责任方认定的鉴证业务第三节 内部控制审计程序内部控制审计程序，主要包括：（一）计划审计工作（二）实施审计工作（三）评价控制缺陷P83内部控制缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独

42、或组合起来，是否构成重大缺陷。在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制（替代性控制）的影响。企业执行的补偿性控制应当具有同样的效果。P83表明内部控制可能存在重大缺陷的迹象，主要包括：1、注册会计师发现董事、监事和高级管理人员舞弊。2、企业更正已经公布的财务报表。3、注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报。4、企业审计委员会和内部审计机构对内部控制的监督无效。（四）完成审计工作P84注册会计师对在审计过程中注意到的非财务报告内部控制缺陷，应当区别具体情况予以处理：1、注册会计师认为非财务报告内部控制缺陷

43、为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无须在内部控制审计报告中说明。2、注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。3、注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。（五）出具审计报告（六）关注期后事项（七）记录审计工作第四节 内部控制审计报告P86注册会计师应

44、根据对内部控制有效性的审计结论，出具下列内部控制审计意见之一的审计报告：1、无保留意见。2、带强调事项段的无保留意见。3、否定意见。4、无法表示意见。在内部控制审计意见中没有保留意见，主要是保留意见的信息含量较低，且与否定意见的区分度不清晰，所以在国际上都没有保留意见的内部控制审计报告。（一）无保留意见的内部控制审计报告符合下列所有条件的，注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告：1、企业按照企业内部控制基本规范、企业内部控制应用指引、企业内部控制评价指引以及企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制。2、注册会计师已经按照企业内部控制审计指引的要求

45、计划和实施审计工作，在审计过程中未受到限制。（二）带强调事项段的无保留意见内部控制审计报告注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加强调事项段予以说明。注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见。（三）否定意见内部控制审计报告注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应当对财务报告内部控制发表否定意见。注册会计师出具否定意见的内部控制审计报告，还应当包括下列内容：1、重大缺陷的定义。2

46、、重大缺陷的性质及其对财务报告内部控制的影响程度。（四）无法表示意见内部控制审计报告注册会计师审计范围受到限制的，应当解除业务约定或出具无法表示意见的内部控制审计报告，并就审计范围受到限制的情况，以书面形式与董事会进行沟通。注册会计师在出具无法表示意见的内部控制审计报告时，应当在内部控制审计报告中指明审计范围受到限制，无法对内部控制的有效性发表意见。第五节 内部控制审计案例第五章 内部控制与公司治理第一节 公司治理的含义及不同模式一、公司治理的含义P95公司治理，是指所有者，主要是股东对经营者的一种监督与制衡机制。即通过一种制度安排，来合理地配置所有者与经营者之间的权利与责任关系。公司治理的目

47、标是保证股东利益的最大化，防止经营者对所有者利益的背离。其主要特点是通过股东大会、董事会、监事会及管理层所构成的公司治理结构的内部治理。衡量一个公司的治理水准需要关注治理模式（Governance Model）、控制方式（Control Mechanism）、透明程度（Transparency）三个层次。二、公司治理的不同模式在西方国家，公司治理，特别是股东和经营者在股份有限公司治理结构中的地位和作用，经历了一个从管理层中心到股东会中心，再到董事会中心的变化过程。但是董事会的出现，并没有解决公司所有权与控制权分离而产生的委托代理问题。根据公司治理的基本原则和各国政治、经济与文化的不同特点，国际

48、上形成了三种典型的公司治理模式。（一）以英美为代表的外部监控型公司的治理模式1、公司股权较为分散和有较强的流动性2、公司治理以董事会为核心3、市场机制发达4、以高薪制、高奖金特别是股票期权作为激励经理人员的主要手段5、英美公司治理模式优缺点分析（1）英美公司治理模式优点经营权力高度集中，有利于经营者集中精力、排除干扰搞好经营。股权流动性强，使投资者可以方便地避免投资风险，保护自身利益，也有利于证券市场的健康发展。在市场机制完善健全的前提下，股东通过在证券市场上“用脚投票”，和给经营者带来的并购接管压力足以使其为股东的利益搞好经营。主要依靠外部市场力量进行激励、约束与监督，可以大大减少企业的相关

49、成本，使其治理结构更加精干高效，也有利于经营者创造力的发挥。对银行、企业持有股份的限制，有利于避免由于一家企业经营不善或环境变化等原因带来连锁反应。（2）英美公司治理模式缺点股权高度分散以及机构投资者的消极表现，使股东难以对公司进行有效监督。董事会被经营者控制，内外部董事角色定位不清，使得董事会也很难实施有效的监督。近年来频频出现的大公司会计信息造假丑闻，说明依靠外部力量进行监督的效果是可疑的。由于缺乏有效监督，高层经理人员玩忽职守和以权谋私问题日益突出。高度分散的股权结构造成了经营者的短期行为。股权高度流动性使公司资本结构稳定性差，很容易造成企业被兼并接管的动荡。（二）以日德为代表的内部监控

50、型公司治理模式（1）公司股权集中持有，集团成员起重要作用；（2）银行参与公司治理；（3）资本流通性较弱，证券市场相对不十分活跃。具体而言，日本和德国的情况略有不同。1、日本的公司治理模式以日本而言，主要特点表现为：（1）日本公司的股权结构以法人（主要是金融机构和实业公司）持股为主，而且很少是单方面的，大多数是通过持有对方股份实现相互控制，而且成为安定股东；（2）在主银行体系下，日本公司以间接融资为主、直接融资为辅；（3）日本虽然有重要的股票市场，但并没有起到配置资源的作用，由于终身雇佣制，经理人市场与劳动力市场也相对稳定，因而市场机制的作用较为有限；（4）公司治理组织采用“股东大会董事会（监事

51、）高级经理层”形式。公司设立监事，由股东大会选举产生，监督董事会和经理层，但不设立监事会，权力构造与英美完全不同；（5）经营者激励以终身雇用为主；（6）经营者约束采用公司间相互持股而形成的相互约束和主银行约束。2、德国的公司治理模式德国的情形稍有差异，公司治理的基本特点表现：（1）股权集中，（外部）企业和家族（个人）大量持股；（2）股东权力的行使以“用手投票”为主，通过银行或自行主动行使权力，主要依靠内部机构实施公司治理；（3）公司治理架构实行双层董事会制（监事会和理事会），业务执行职能和监督职能分开，监事会由股东代表和职工代表组成，“是一个实实在在的股东行使控制与监督权力的机构”；（4）银行

52、在公司治理中发挥重要作用；（5）员工参与公司治理，员工代表参加监事会和理事会。3、日德公司治理模式优缺点分析（1）日德公司治理模式优点。由于银行作为大股东参与企业治理，使股东的监督较为有力。股权结构稳定，使公司的长远发展较有保证；严密的内部控制机制对经营者与员工形成有效的激励与约束；银行与企业的特殊关系使得企业债务融资成本低；法人持股把众多分散的企业凝聚成一个整体，促使它们内部形成稳定的交易关系，有利于降低企业经营成本和提高抗御风险的能力。（2）日德公司治理模式缺点。证券市场发展长期滞后；特殊的银企关系造成“泡沫经济”；“企业绑在银行上”造成银行巨额坏账和企业巨额负债，进而影响整个国民经济发展

53、；有特殊关系的合作企业之间不等于没有利益冲突，这种冲突仅仅靠内部治理很难解决。（三）以东亚为代表的家族监控模式1、东亚公司治理模式的特色在东亚家族监控型公司治理模式下，公司所有权与经营权没有实现分离，公司与家族合一，公司的主要控制权在家族成员中配置，表现为高度的集权模式；公司决策家长化，公司的重大决策都由家族中同时也是公司创办的人的家长做出；经营者的激励和约束来自家族利益和亲情，道德风险和利己的个人主义倾向发生的可能性较非家族公司为低，制度的约束和规范相对显得没那么重要；公司与政府关系密切，在发展过程中受政府政治、经济、法律等方面的影响和制约较大；融资来源渠道多元化，银行等金融机构对企业的外部

54、监督较弱；虽设有“股东大会董事会总经理”三级结构的公司治理架构，但由于股权的家族控制，小股东难以对公司的经营管理活动实施必要的监督和控制，家族外相关利益者的监督力度较弱，董事会形同虚设，很难发挥作用。2、东亚公司治理模式的优缺点分析（1）东亚公司治理模式的优点。内部凝聚力强；企业稳定性高；决策迅速；发展速度快；通过变革逐步走向成熟。（2）东亚公司治理模式的缺点。社会化、公开化程度低，社会形象不佳，融资困难；治理机制不健全，难以实现科学决策，不利于企业的长远发展；随着企业规模实力的扩大，内部矛盾不断激化，由于治理机制不健全而很难解决。（四）公司治理模式的发展p1001、环境的变化促使治理模式进行

55、改革（1）英美国家公司经理人员的高薪酬引发不满；（2）中小股东和其他利益相关者的权利保护问题日益突出；（3）全球金融危机的爆发，加强政府监管的呼声日益高涨；（4）公司会计丑闻的出现促使有关各方要求加强公司监督机制的完善；（5）经济全球化推动了治理模式的不断融合；（6）人力资本地位的提高，知识经济时代的到来，要求公司完善激励与约束机制。2、英美公司治理模式的变革（1）放松银行持有公司股票的限制；（2）法人持股比例日益上升，且具有相当的安定性；（3）强化内部监控体制。3、日德公司治理模式的变革（1）强调个人股东的利益，加速证券市场的发展；（2）公司负债呈下降趋势；（3）银行大量抛售所持股份，与公司

56、关系出现松动，对公司的控制力减弱；（4）法人持股比例下降。4、东亚家族公司治理模式的变革（1）股权公开化和社会化；（2）经营管理权由家族成员与非家族成员共同控制；（3）外部股东、合资者、合作者对企业的制约与监督不断增强。5、结论（1）公司治理的不同模式是不同国情与社会条件的产物。（2）现代公司治理机制正在随着环境的变化而发展。（3）现成的、放之于四海而皆准的公司治理模式是不存在的。三、中国公司法对公司治理的规定我国公司实行类似德国模式的“双层会制”，由股东会、董事会、监事会组成，实行双层监督（独立董事、监事会）制。我国公司治理模式的主要特点表现为：1、公司的股权集中，以大股东持股为主，而且成为

57、较为稳定的股东；2、股东权力的行使以“用手投票”为主，通过自行主动行使权力，主要依靠内部机构实施公司治理；3、公司以间接融资为主、直接融资为辅；4、公司治理组织采用“股东大会董事会监事会高级经理层”形式；5、员工参与公司治理，员工代表参加监事会；6、在上市公司及相关公司中实行独立董事制度。P101从实际运作效果来看，中国模式仍存在比较严重的缺陷，需要及时予以改进和完善。1、大股东操纵股东会。2、董事会形同虚设。3、独立董事“不独立”。4、监事会“不监事”。第二节 公司治理与内部控制的关系一、公司治理和内部控制的发展历史1、将内部控制置于公司治理的框架之下阶段2、董事会应对内部控制系统进行报告阶

58、段3、董事会对公司的内部控制负责阶段二、公司治理与内部控制的关系（一）公司治理与内部控制关系的不同观点1、层次论。2、包含论。（二）公司治理与内部控制的异同分析p1051、公司治理与内部控制产生的基础都是委托代理关系。2、公司治理与内部控制都重视权、责、利的制度建设。3、公司治理与内部控制都追求企业价值最大化目标。4、公司治理与内部控制都遵循互相牵制和制衡的原则。5、公司治理与内部控制相辅相成、相互促进。6、公司治理与内部控制的具有不同的内容。综上所述，公司治理与内部控制是密不可分的，一个健全的内部控制机制要有完善的公司治理结构的支撑；内部控制的创新和深化，也将促使公司治理结构的完善和现代企业

59、制度的建立。第三节 公司治理与内部控制的良性互动公司治理与内部控制不但有内在的联系与外在的差异，而且是相互制约、相互促进的。一、公司治理与内部控制的互动（一）公司治理对内部控制的影响1、公司治理是内部控制有效运行的基础2、公司治理是良好内部控制的组织保障（二）内部控制对公司治理的影响1、有效的内部控制能实现利益相关方的制衡2、有效的内部控制能保障董事会控制权的行使3、有效的内部控制能保护中小股东的利益二、加强公司治理，建立健全内部控制机制1、完善公司治理机制，积极推进内部控制外部化进程2、公司治理应对内部控制机制的构建提出基本要求3、加强董事会的独立性和在内部控制中的核心地位4、发挥内部审计为

60、内部控制保驾护航的独特作用5、建立符合公司治理和内部控制要求的激励与约束机制6、发挥全体员工参与公司治理与内部控制建设的积极性三、加强公司治理与内部控制建设应注意的问题1、公司治理和内部控制建设要与特定的环境、文化相适应2、公司治理和内部控制建设的重点落实到风险管理上来3、公司治理和内部控制建设要加快与信息技术的融合4、我国公司治理和内部控制现状所带来的影响和挑战我国公司制改革中形成的“内部人控制”现状，给公司治理和内部控制建设带来了重大的影响和挑战。第四节 内部控制制度建设案例第六章 内部控制与内部审计第一节 内部审计概论一、内部审计的含义P118内部审计是指由部门或单位内部相对独立的审计机

61、构和审计人员对本部门或本单位的财政财务收支、经营管理活动及其经济效益进行审核和评价，查明其真实性、正确性、合法性、合规性和有效性，提出意见和建议的一种专门经济监督活动。其主要目的是通过审计健全内部控制系统，严肃财经纪律，查错揭弊，改善经营管理，提高经济效益。由以上含义可见：内部审计是一种独立管理的保证与咨询活动，目的是为组织增加价值并提高组织的运作效率。二、内部审计的职能由此可见，企业内部审计执行的是管理活动中的检查活动、评价活动和咨询活动，所具有的职能应为检查职能、评价职能和咨询职能。企业经营管理对内部审计的客观需求是内部审计职能的外在决定因素。这种客观需求因需求者的身份不同可分为两类：第一

62、类是董事会和监事会对内部审计的需求；第二类是高级管理层对内部审计的需求。（一）董事会和监事会对内部审计职能的需求1、检查管理者对企业的发展战略和各项目标的贯彻、执行情况；2、检查和评价管理者履行职责的合法合规性，包括对国家和行业的各项法律、法规、规章和规范的遵循情况，以及对企业制定的各项政策、制度、程序的遵循情况；3、检查企业的财务状况、经营成果和现金流量情况，审核企业编制的对内、对外财务报告的合法性、公允性，以及财务信息对外披露形式的恰当性；4、检查和评价企业内部控制系统的有效性，风险管理过程的客观性、合理性，发现并预防各种形式的错误和舞弊，并提出进一步改进的咨询建议；5、评价企业董事会制定的经理人员的业绩，提供反映经理人员业绩的相关信息，以供董事会对其做出业绩考核；6、根据需要提供专项的咨询服务。（二）管理层对内部审计职能的需求1、检查和评价内部控制系统和风险管理过程的设计是否合理、健全，运行是否正常、有效，对存在的缺陷，提供完善和改进的咨询服务；2、检查和评价各经营单位和员工对内部控制系统和风险管理过程的遵循情况，并注重查错防弊；3、关注各项经营活动的效率性和效果性，为提高各部门和企业整体经营活动的效果性和效率性“出谋划策”；4、按