李凤娟/主讲厦门大学出版社审计2第八章内部控制与重大错报风险评估–第一节内部控制–第二节重大错报风险评估21世纪会计学系列教材3第一节内部控制4引例:如何对投资企业实行财务监控失去了昔日化油器生产的优势,化油器产品的效益连年滑坡,1999年第一季度起,上海乾通汽车附件有限公司(以下简称乾通公司)的化油器车间出现严重亏损,成为该公司最大的亏损产品。经过慎重研究,决定以原化油器车间为基础,成立上海乾通汽车附件有限公司化油器厂(以下简称化油器厂),成为乾通公司的投资企业。化油器厂是经工商行政部门注册登记的相对独立经营的非法人机构,实行风险承包,具有较大的经营自主权,厂长公开招聘,为了搞活机制、扭亏为盈,乾通公司对化油器厂加强了财务监控。具体做法如下:5引例:如何对投资企业实行财务监控一、实行财务主管委派制在吸取了以往经验教训的基础上,乾通公司提出了对化油器厂的财务主管实行委派制。财务主管由财务部提名,经公司领导讨论,由总经理聘任。财务主管的人选必须具备能坚持国家有关财经法规和会计法,坚持原则,业务水平、政策水平较高,具有较高的职业道德水平和能独挡一面的同志担任。6引例:如何对投资企业实行财务监控1.实行财务主管委派制的好处①财务主管代表乾通公司对化油器厂实行财务监控,具有权威性。财务主管的工资福利待遇是由乾通公司制定并发放,克服了以往财务主管从属于经营者,职责权限也有限,往往是听命于经营者的状况,解决了财务主管的后顾之忧,可以放手大胆工作。7引例:如何对投资企业实行财务监控②实行财务主管委派制,保证财务主管能进入化油器厂的决策,监督经济活动,使其在具体运作中能够发挥财务监控作用,并体现及时性、有效性、经常性等特点,可以改变对财务监控乏力的局面。③可以赋予财务主管一定的权限,并把责、权、利结合起来,更好更有效地实行财务监督控制,防止资产流失,以及违规违纪,甚至违法乱纪现象的发生,有利于提高会计信息的质量与可信度。8引例:如何对投资企业实行财务监控2.财务主管的主要职责①遵守《会计法》及有关财政财经法规,制定化油器厂的会计制度,作为化油器厂经济活动准则;②编制财务收支计划,参与企业其他各项经济计划的制定;③制定企业内部控制制度;④做好会计核算工作;9引例:如何对投资企业实行财务监控⑤与公司资产管理委员会共同制定厂长任期目标、经营责任制、向公司资产管理委员会提出经营目标及考核办法;⑥对财务收入情况进行监督,其中一枚财务印章由财务主管保管,对不合法及有疑问的支出,可以停止支付或暂缓支付。可以采取强制措施,制止厂长滥用职权,决策失误及违反财经法规的行为。对一切可能发生的严重后果,立即向公司资产管理委员会报告,并及时进行处置。10引例:如何对投资企业实行财务监控3.财务主管承担的责任和风险财务主管必须对以下事项承担责任与风险:①不按《会计法》与财经制度办事;②不执行公司资产管理委员会的决议,与经营者串通一气,失去监督职能,违法乱纪;③在重大财务收支及内控制度方面出现重大失误,造成内部控制弱化、财务管理混乱;④应该发现可能发生的损失,未及时采取强制措施而造成重大损失的;⑤滥用权力,干涉企业正常经营活动,造成企业重大经济损失的。11引例:如何对投资企业实行财务监控二、实行目标管理,强化考核指标体系对投资企业的财务管理必须明确目标,确保资产能够增值。原来对车间的考核,指标繁琐,达不到考核的真正目的。考核指标必须反映经营的实际状况,现在对化油器厂的考核主要有以下两个考核指标。1.利润总额指标。此指标是反映经营成果的重要指标,企业的一切经营活动都必须围绕此指标进行。这是衡量化油器厂资产能够保值增值的重要指标。但在注重利润最大化的同时,更要注重经济运行质量能做到帐面利润与实际相符,为此必须考核另一项指标。12引例:如何对投资企业实行财务监控2、现金流量指标。此指标综合体现了企业资金营运的质量,是测试企业资产盈利质量的重要指标。如果没有足够的现金流量支撑利润,那么利润也是虚的,结果是后患无穷,所以现金流量指标,是实行财务监控必不可少的指标。通过考核此指标.可以便化油器厂加强应收帐款管理工作。同时也促使化油器厂认真做好生产计划与准备工作,加强市场信息收集工作、分析工作,生产适销对路的产品,缩短生产周期,保证生产各环节的有效衔接,减少库存,提高资金利用效率。13引例:如何对投资企业实行财务监控三、实行全面预算管理为了尽可能地做到事前控制,便于财务主管监控的可操作性,必须执行全面预算管理。具体做法是编制年度综合计划,包括销售计划、生产计划、利润计划、财务收支计划、劳动工资计划、物资采购计划等等。综合计划的制定围绕考核指标进行,经过各方面反复平衡后,由厂长颁布、下达。综合计划是化油器厂的经济运行大纲,一切经济业务的发生都必须以此为中心展开,任何人都不得跳开综合计划而另搞一套。对计划的执行情况,每月要进行汇总分析控制,并对预算执行结果,奖优罚劣,以形成预算是刚性的思想、人人必须认真贯彻、不折不扣地执行。对计划的修正,必须由厂长主持,经多方面平衡后,确保考核指标的完成才能更改,否则财务主管有权拒绝变更。14引例:如何对投资企业实行财务监控四、实行财务主管考核制度对财务主管也要实行考核。每月的报表、财务收入情况表、预算执行情况,必须在15日之前上交公司。同时,规定财务主管任期三年后进行轮换,发生重大问题时及时更换。每季度由公司对化油器厂的经营状况进行分析,每半年对财务情况进行审计。15内部控制概念及其思想的历史演进(一)内部牵制阶段(二)内部会计与管理控制阶段(三)内部控制结构阶段(四)内部控制整体框架阶段COSO报告对内部控制提出的新定义是:“内部控制是一个为达成下列各类目标而提供合理保证的过程:(1)营运之效果及效率;(2)财务报告之可靠性;(3)相关法令之遵循。上述过程受企业的董事会、管理当局及其他人员的影响。”16内部控制概念及其思想的历史演进COSO报告还将内部控制结构中的三要素扩展为内部控制整体框架中的五个组成要素:(1)控制环境(controlenvironment)。(2)风险评估(riskassessment)。(3)控制活动(controlactivities)。(4)信息与沟通(informationandcommunication)。(5)监控(monitoring)。这五个要素间有着严密的逻辑关系,如图8-1所示。17内部控制概念及其思想的历史演进图8-1内部控制五要素之间的逻辑关系18内部控制概念及其思想的历史演进(五)企业风险管理——综合框架该框架对内部控制的定义明确了以下内容:(1)是一个动态的、贯穿企业实体各个层级和单位的过程;(2)受组织内所有层次人的影响;(3)应用于战略制定;(4)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(5)能够为企业实体的管理层和董事会提供合理保证;(6)为了实现各类目标。19内部控制概念及其思想的历史演进新的COSO报告在以下几个方面得到了发展:(1)增加了一个观念——风险组合观;(2)发展了内部控制的报告目标,该目标涵盖了企业所有的报告;(3)增加了一类新目标——战略目标,(4)提出了两个新概念——风险偏好(riskappetite)和风险容忍度(risktolerance);(5)新增了三个风险管理要素,即“目标制定(objectivesetting)”、“事项识别(eventidentification)”和“风险应对(riskresponse)”ICIF的五要素演变为八个要素,并对原有五个要素进行了深化和扩展(具体见下文的讨论)。20内部控制的构成要素企业的风险管理框架包括四类目标和八个要素。四类目标分别是战略目标、经营目标、报告目标和合法性目标。八个要素分别是内部环境(internalenvironment)、目标制定(objectivesetting)、事项识别(eventidentification)、风险评估(riskassessment)、风险应对(riskresponse)、控制活动(controlactivity)、信息和沟通(information&communication)、监控(monitoring)。该八要素是企业目标实现的保证,渗透于企业管理过程之中。它们相互之间存在直接的关系,可以用一个三维矩阵图来表示(如图8-2所示)。21内部控制的构成要素图8-2企业风险管理框架八要素及四目标关系图22内部控制的构成要素(一)内部环境1.风险管理哲学风险管理哲学是一整套共同拥有的信念和态度,它以企业如何考虑它所做的每一件事为特征,范围涉及从战略的制定、修订到企业的日常经营活动。在对待风险管理的态度上,已经成功接受重大风险的公司与由于冒险进入危险区域而已经面临经济困难和被迫调整政策的企业有显著的不同。让企业所有员工了解企业的风险管理理念有利于提高员工确认和有效管理风险的能力。管理当局在经营中表现的管理哲学理念及行动能清楚地把内部控制是否重要的信号传递给员工,从而对企业的控制环境产生深刻的影响。23内部控制的构成要素2.风险偏好风险偏好是企业在追求价值过程中所愿意接受的风险数量和水平,反映了企业的风险管理哲学,反过来也影响企业的文化和经营方式。3.董事会企业的董事会是内部环境的重要组成部分,它会影响其他内部环境的构成要素。4.诚信原则和道德价值观诚信原则和道德价值观这一因素是指企业道德和行为标准的确立及其传递给企业中各层次的人员的过程。5.培养和评定员工的胜任能力能力是完成工作范围内的任务所需要的知识和技能。24内部控制的构成要素6.组织结构企业的组织结构确定了现有的责任和权力的等级及划分,为计划、执行、控制和监督其活动提供了框架。7.权力和责任的分配方法管理当局要考虑如何以适当的方式将对责权的分配传达给各层次员工。8.人力资源政策及实务招聘、评估、激励员工的政策、程序和方法是控制环境的重要组成部分。25内部控制的构成要素(二)目标制定每个企业都面临着因利用内部或外部资源而带来的风险,目标制定是有效的事项识别、风险评估和风险应对的前提。企业的目标(1)战略目标。(2)经营目标。(3)报告目标。(4)遵循性目标。(三)事项识别事项是指影响目标实现的、来自内外部的潜在事件。事项既可能带来负面的影响,也可能带来正面的影响。26内部控制的构成要素(四)风险评估管理者应从两个方面对风险进行评估——风险发生的风险发生的可能性是指某一特定事项发生的可能性,影响则是指事项的发生将会带来的影响。一个企业风险评估的方法通常是定量方法和定性分析技术的组合。在衡量目标的实现程度时,管理者经常使用业绩计量指标。当考虑某一风险对实现某一特定目标的潜在影响时,使用这些计量指标同样有效。通常一个潜在事项结果是一个可能的范围值,管理者应将其作为制定风险反应方案的基础。27内部控制的构成要素管理者通常只趋于关注中短期的风险,但风险应在企业战略和目标的前提下进行评估。管理当局应在固有风险和剩余风险两个层次的基础上对风险进行评估。(五)风险应对风险应对可分为规避风险、减少风险、共担风险和接受风险四类。选定某一个风险应对方案后,管理当局应在剩余风险的基础上重新评估风险,即从企业总体风险组合的、预测的角度重新计量风险。28内部控制的构成要素(六)控制活动控制活动是指为确保风险应对方案得到正确执行的相关政策和程序。由于企业的控制活动与企业的信息系统广泛相关,因此,应对企业所有的重要系统进行控制。一般控制包括对信息技术管理、信息技术基础设施、保密管理和软件的购买、开发和维护的控制。应用控制的目的是保证数据获得和业务处理过程的完整性、精确性、授权和有效性。29内部控制的构成要素(七)信息与沟通来自企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、获取和传递,以保证企业的员工能够