如何构建企业内部控制体系国际内部控制协会中国合作伙伴首席代表国际内部审计师协会沟通咨询委员会委员张玉2ICI中国总部一、企业内部控制概论二、我国《企业内部控制基本规范》三、国际内部控制法规、框架及指南四、企业内部控制体系构建五、企业内部控制体系的实施与应用六、企业内部控制评价3ICI中国总部一、企业内部控制概论(一)内部控制的演变(二)为什么需要建设内部控制职业队伍?(三)谁对内部控制系统负责?(四)舞弊案件是如何发现的?4ICI中国总部(一)内部控制的演变内部牵制内部控制制度内部控制结构内部控制整合框架企业风险管理整合框架5ICI中国总部(二)为什么需要建设内部控制职业队伍?目前,企业内部控制体系设计主要有三种形式:——外包给四大会计师事务所;——企业自行设计;——自行设计与外包相结合。6ICI中国总部(三)谁对内部控制系统负责?•最高管理层负有对内部控制系统的组织实施的责任;•董事会负有监督责任;•外部和内部审计师负有评估内部控制有效性的责任;•谁担当设计和实施内部控制的重任?7ICI中国总部我国企业谁对内部控制系统负责?•内部控制自我表现评价报告的披露要求:(1)声明企业董事会对建立健全和有效实施内部控制负责,并履行指导和监督职责,能够保证财务报告的真实可靠和资产的安全完整;……•依法应当披露的内部控制自我评估报告,经董事会审议后公布。《企业内部控制基本规范解读及应用指南》P1578ICI中国总部(四)舞弊案件是如何发现的?•安永在2003年全球欺诈调查报告中指出,最严重的舞弊欺诈案件中有85%源自内部人作案,50%以上的欺诈是由管理层造成的。•美国注册舞弊检查师协会公布舞弊案件检查结果发现的途径:1、雇员举报26.3%;2、偶然发现18.8%;3、内审人员发现18.6%;4、内控系统检查15.4%;5、外部审计11.5%;6、其他9.4%。9ICI中国总部案例一:“中行开平案”八年追诉•2009年5月6日,美国拉斯维加斯联邦法院以洗钱、跨州转运盗窃资金、护照和签证欺诈等罪名,分别判处中国银行开平支行前任行长许超凡和许国俊入狱25年和22年,并勒令被告退还4.82亿美元的涉案赃款。•同案的许超凡之妻邝婉芳、许国俊之妻余英怡,也分别获刑8年。•至此,震惊全国的中行开平案终于告一段落,出逃北美的三个主犯无一逃脱法律的制裁。10ICI中国总部中行开平案是如何被发现的?•2001年10月12日,中国银行为加强管理,将全国1040处电脑中心统一成一套系统,集中设置在33个中心。一联网,电脑中心反映出账目上亏空8000万美元,很快又飙升到4.83亿美元。数字过于巨大,以至于工作人员最初以为是电脑系统出现了技术故障。经过几番复算之后,结论仍然相同。•中行发生了建国以来规模最大的银行资金盗窃案,涉案资金折合人民币超过40亿元,这一“纪录”迄今未被打破。11ICI中国总部案例二:河北邯郸农行金库失窃案•2007年4月14日,邯郸市农业银行金库发生一起特大盗窃案,被盗现金人民币近5100万元。经调查发现,任晓峰、马向景有重大作案嫌疑。•两人用1个多月时间多次盗窃金库共计5100万元,其中4300万买了彩票,但几乎没有中过奖。最多的一次用1410万元买了彩票。•作案动机:买彩票,想中了大奖,再把钱还进去。12ICI中国总部农行邯郸案三大疑点一、参与人数:虽然两人串通可以用两把钥匙打开金库大门,但搬运近两吨重钞票(叠起来高51米,要装满满6个麻袋)是一项繁重体力劳动,仅有两人参与难以想象。二、如何搬运:农行金库处在繁华的闹市路口,如果不用运钞车,搬运很容易被发现。三、如何处置:这些现金既不能逃跑时携带,也无法存入银行,如何处置也是难题。13ICI中国总部条金库管理制度建议•4月19日,任晓峰在连云港被逮捕。身在看守所内的任晓峰根据自己犯罪经过,积极对银行金库管理制度提出建议,同时他也在万般悔恨中写下了满满5页的忏悔书。•任晓峰写出对银行金库管理的一些建议,希望能对防止犯罪事件的再次发生起到一些作用。14ICI中国总部二、我国《企业内部控制基本规范》(一)《企业内部控制基本规范》的意义(二)内部控制定义、目标和要素15ICI中国总部(一)《企业内部控制基本规范》的意义•2008年6月,在借鉴和吸收国际监管新理念的背景下,我国财政部、审计署、证监会、银监会和保监会五部委联合印发了《企业内部控制基本规范》(财会[2008]7号)。•这一被称为中国版《萨•奥法案》的《企业内部控制基本规范》是我国第一部加强和完善企业内部控制系统,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益的重要法规文件。16ICI中国总部(二)内部控制定义、目标和要素•定义:内部控制是由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。•控制目标:合理保证企业(1)经营管理合法合规;(2)资产安全;(3)财务报告及相关信息真实完整;(4)提高经营效率和效果;(5)促进企业实现发展战略。•要素:基本规范在形式上借鉴了COSO内部控制5要素框架;在内容上体现了COSO风险管理8要素框架的实质。17ICI中国总部•根据《企业内部控制基本规范》的执行要求,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。上市公司应当对本公司内部控制有效性进行自我评估,披露年度自我评价报告,并可聘用具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。18ICI中国总部三、国际内部控制法规、框架及指南(一)COSO内部控制框架及指南简介(二)美国《反海外贿赂行为法》(三)乱世出重典——«萨•奥法案»(四)COSO《企业风险管理——整合框架》(五)内部控制与风险管理比较19ICI中国总部(一)COSO内部控制框架及指南简介•1999年9月,英国发布的Turnbull报告,即《内部控制——董事关于“联合规则”的指南》,该指南把风险管理、内部控制和商业目标联系起来。•CoCo控制指南是由加拿大注册会计师协会的标准委员会在COSO模型的基础上改编而成。内部控制(COSO,Turnbull,CoCo)披露控制措施(SEC)内部控制(SEC)20ICI中国总部•1992年,COSO——美国反欺诈财务报告委员会(TreadwayCommittee)发起组织委员会发布《内部控制——整合框架》构建了由三个目标和五项要素组成的内部控制框架。•该框架的发布和广泛采用标志着内部控制开始在理论上和实务上走出审计范畴,从而成为企业整个管理体系的有机组成部分,同时该框架也为企业内部控制评价提供了指导。1、COSO《内部控制——整合框架》21ICI中国总部、COSO内部控制的定义与目标“内部控制是一个流程,受到企业董事会、管理层和其他人员的影响,旨在为实现下列分类目标提供合理保证:•经营的效果和效率;(绩效)•财务报告的可靠性;(报告)三大目标•遵从适用的法规。”(合规)因此,整个集团的共同参与对于项目的成功至关重要。22ICI中国总部内部控制定义反映的基本概念•内部控制是一个流程。它是实现目标的手段,而不是结果本身。•内部控制受到人的影响。它不仅仅是政策手册和表格,而且涉及组织每一层级的员工。•内部控制被期望只能提供合理的保证,而不是对企业的管理层和董事会提供绝对的保证。•内部控制促进实现一个或多个别的但又部分交叠的分类目标。23ICI中国总部、COSO内部控制五大要素•控制环境(Controlenvironment)•风险评估(Riskassessment)•控制活动(Controlactivities)•信息与沟通(Informationandcommunication)•监控(Monitoring)24ICI中国总部(二)美国《反海外贿赂行为法》•1977年美国国会通过了针对内部控制目标的《反海外贿赂行为法》,该法案规定:内部控制不是会计部门的责任,而是美国公司董事会的责任;•在该法中确认的内部控制目标是:授权、记录、使用资产、资产的会计责任。26ICI中国总部(三)乱世出重典——«萨•奥法案»•进入21世纪,美国先后爆发了安然、世通、安达信等公司欺诈、会计造假的丑闻,使投资大众遭受巨大的损失。•为了加强公司治理,重建投资者的信心,2002年7月,美国国会颁布了《2002年上市公司会计改革和投资者保护法案》。•该法案是1933年以来美国证券立法中影响最深远的法案。27ICI中国总部、安然、世通丑闻后美国采取的应对举措个体股民的诉讼;证券交易委员会的稽查;(综合治理)司法部的刑事起诉;国会的调查。28ICI中国总部、探讨财务丑闻和欺诈行为的根源——一些企业的商业道德沦丧,缺乏信托责任,不履行社会责任。公司治理——企业的心脏;外部环境——“外因”;内部控制——“内因”、“免疫系统”;内部审计——“企业良心”。29ICI中国总部安然和世通两位前内部审计主管的不同命运:•安然公司的首席审计执行官(CAE)理查德•科西面临诈骗、洗钱、内部交易、虚报公司盈利和做假欺骗审计人员等共34项罪名的指控;•世通公司前内部审计部主管辛西亚·库珀因为在世通案件中的突出表现——对38.5亿美元费用违规列入资本支出项目的揭示和向公司审计委员会报告,不仅解脱了其自身的责任,而且成为美国《时代》周刊2002年度“风云人物”之一。30ICI中国总部(四)COSO《企业风险管理——整合框架》•2004年9月,COSO发布了≪企业风险管理——整合框架≫(8要素框架)31ICI中国总部、企业风险管理(ERM)定义•企业风险管理(ERM)定义:ERM是一个流程,由企业的董事会、管理层和其他员工共同参与,应用于企业战略制定,识别可能对企业造成潜在影响的事项,并在其风险承受度范围内管理风险,为实现企业目标提供合理保证。32ICI中国总部、风险管理(ERM)组成部分八大要素:•内部环境•目标设定•事件识别•风险评估•风险应对•控制活动•信息沟通•监控四大目标:战略目标运营目标报告目标合规目标33ICI中国总部、COSO两个框架的融合1.内部环境(1)控制环境2.目标设定3.事件识别4.风险评估(2)风险评估5.风险应对(3)控制活动6.控制活