内部控制与风险管理框架

内部控制与风险管理框架第一部分内部控制的发展与演变一、内部控制的渊源和早期发展二、内部控制的初步形态：内部牵制三、内部控制理论和实践的分野四、内部控制的发展与演变五、国际上较有影响的内部控制准则或指南六、我国内部控制规范建设的情况一、内部控制的渊源和早期发展内部控制的渊源十分久远，自从有了人类的群体活动和组织之后，就会产生对组织的成员及其活动进行控制的需要内部控制的发轫最早可以追溯到公元前3600年—公元前3200年的苏美尔文化时期古埃及、古波斯、古希腊、古罗马和古代中国都有原始内部牵制制度的雏形原始的内部牵制制度最早是为部落、城邦、庄园、国家服务的中世纪资本主义生产关系萌芽，商业组织开始出现，内部牵制进入企业领域，开启了一个广阔的发展空间控制（control）一词最早产生于17世纪，其原始含义是“由登记者之外的人对帐册进行的核对和检查”二、内部控制的初步形态：内部牵制内部控制是从内部牵制（internalcheck）的基础上发展起来的20世纪以前，盛行的观念和实务都停留在内部牵制阶段内部牵制的目的是纠错防弊，其前提性假设是：两个或多个人犯同一种错误的概率较小，两个或多个人串通舞弊的可能性较小，难度较大内部牵制的基本思路是分工和牵制主要的牵制机能包括：分权牵制、实物牵制、机械牵制和簿记牵制三、内部控制理论和实践的分野审计视角下的内部控制20世纪以后，审计职业界出于摆脱全面查核、提高审计效率的考虑，开始关注内部控制20世纪中叶，审计和内部控制的发展不断交织，进而互动和耦合，直接导致了制度基础审计模式的诞生此后，内部控制逐渐确立了在审计中的地位，成为推动审计模式演变和探索审计理论与方法的重要因素之一内部控制与审计的交叉和耦合，是推动内部控制理论与实践发展的最主要的力量管理视角下的内部控制现代管理学说把控制看作管理的一项核心职能，围绕着管理所展开的控制研究和实践，是内部控制发展的一个重要分支，我们一般把这个分支统称为管理控制几乎所有的著名管理大师，包括法约尔、德鲁克、钱德勒、罗宾斯等，在他们的管理学著作中，都涉及到控制问题围绕着管理控制，形成了自我控制论、控制过程论、控制系统论、控制动力论、生态控制论等多个分支这个学派随着控制论、系统论和现代管理学的发展而不断发展而专以控制研究而著称的前沿观点以哈佛大学西蒙斯教授的管理杠杆理论最具代表性战略管理会计视角下的内部控制随着现代管理会计的发展，战略管理会计学派的一个分支将组织内的控制系统区分为战略规划、管理控制和作业控制三个层次管理控制主要是多事业部制的公司对其战略业务单元（SBU）所进行的战略业绩考评和控制系统这个学派的主要代表是哈佛大学的安东尼教授和卡普兰教授四、内部控制的发展与演变内部控制阶段1936，AIA，《独立公共会计师对财务报表的检查》，首次提出内部控制的概念注册会计师在制定审计程序时，应考虑的一个重要因素是审查企业的内部牵制和控制，企业的会计制度和内部控制越健全，财务报表需要测试的范围就越小内部控制是为了保护公司现金和其他资产，核对簿记的准确性，而在公司内部采用的手段和方法1938年，麦克森—罗宾斯事件：PW的审计程序中缺少对内部控制和会计处理程序的审查1939年10月，AIA审计程序委员会发布SAP1《审计程序的扩展》，首次增加内部控制审查的内容1940年10月，SEC正式要求审计师在签署的审计报告中增加类似的内容1949年，AIA审计程序委员会（CAP），《内部控制：一个协调的系统要素及其对管理层和独立公共会计师的重要性》，首次给出内部控制的权威定义内部控制包括组织的计划和为了保护资产、核对会计资料准确性和可靠性、提高经营效率、以及促使遵循管理层所制定的各项政策所采取的各种方法和措施内部控制系统阶段1958年10月，CAP发布了SAP29“独立审计师评价内部控制的范围”，将内部控制划分为会计控制和管理控制1963年10月，CAP在SAP33“审计准则与程序（汇编）”中强调：独立审计师应主要检查会计控制1972年11月，SAP54“审计师对内部控制的研究与评价”，对管理控制和会计控制的定义进行了修订和充实1972年11月，AudSEC发布SAS1“审计准则和程序汇编”会计控制包括组织的计划和与保护资产和保证财务资料的可靠性有关的程序和记录管理控制包括但不限于组织的计划和与管理层授权办理经济业务的决策过程有关的程序和记录1977年，《反国外腐败行为法案》（FCPA），要求公众公司保持充分的内部会计控制，采纳SAS1的定义1979年，SEC要求公众公司在年度报告中增加管理层报告，对公司内部会计控制是否为FCPA规定的内部控制目标提供合理保证作出说明，并要求注册会计师进行审查、发表意见内部控制结构阶段1988年4月，ASB发布SAS55“财务报表审计中对内部控制的考虑”，引入“内部控制结构”的概念内部控制结构包括为合理保证企业特定目标的实现而建立的各项政策和程序内部控制结构包括3个要素：控制环境，会计体系，控制程序内部控制整合框架阶段1992年9月，COSO发布《内部控制——整合框架》（1994年局部修订）COSO成立于1987年，是Treadway委员会（反欺诈财务报告全国委员会）的发起组织委员会，后者成立于1985年，由AICPA，AIA，IIA，FEI，IMA发起成立内部控制的3个目标：经营的有效性和效率，财务报告的可靠性，对适用法律法规的遵循内部控制的5个构成要素：控制环境，风险评估，控制活动，信息与沟通，监控1995年12月，ASB发布SAS78“财务报表审计中对内部控制的考虑：对SAS55的修正”，全面采纳COSO的内部控制框架SOX404及相关规则采用的也是这个框架监控控制环境风险评估控制活动信沟通息沟通信息与企业风险管理整合框架：未来趋势？2004年9月，COSO正式发布《企业风险管理——整合框架》ERM的4个目标：战略，经营，报告，合规ERM的8个构成要素：内部环境，目标设定，事项识别，风险评估，风险应对，控制活动，信息与沟通，监控内部环境目标设定事项识别风险评估风险应对控制活动信息与沟通监控子公司业务单元分部企业层次五、国际上较有影响的内部控制准则或指南国际上较有影响的内部控制框架、准则和指南1．美国，COSO，《内部控制——整合框架》，1992年9月（1994年局部修订）（它是目前最有影响的框架性文件，是此后诸多准则、指南的蓝本。也是美国公认审计准则相关规定、SOX法案相关要求的主要参照）2．美国，GAO（审计总署，2004年改名为政府问责署，简称仍为GAO），《联邦政府内部控制准则》，1999年11月（内部控制进入公共部门的代表性标志）3．巴塞尔银行业监管委员会，《银行业机构内部控制系统框架》，1998年9月（权威而影响广泛的金融机构内部控制国际指南）4．英国，FRC（财务报告委员会），《Turnbull内部控制指南》，2005年10月修订（Turnbull内部控制指南最初由ICAEW（英格兰与威尔士特许会计师协会）于1999年发布）5．加拿大，CoCo（控制标准委员会，隶属于加拿大特许会计师协会（CICA）），《控制指南》，1995年与风险管理相结合的权威内部控制框架、准则和指南1．美国，COSO，《企业风险管理——整合框架》，2004年9月2．英国，IRM（风险管理学会），AIRMIC（保险与风险管理师协会），ALARM（全国公共部门风险管理论坛），《风险管理准则》，2002年3．澳大利亚，新西兰，AS/NZS4360，《风险管理准则》，2004年（最初的版本于1995年发布）4．加拿大，CAN/CSA-Q850-97，《风险管理指南》，1997年10月5．南非，King委员会报告II，《公司治理报告》，2002年（其中包括内部控制和风险管理）6．中国香港特别行政区，香港会计师公会（HKICPA），《内部控制与风险管理——基本框架》，2005年6月7．日本，经济产业省风险管理与内部控制研究会，《风险新时代的内部控制》，2005年6月与信息技术相结合的权威内部控制准则和指南1．国际标准组织（ISO），ISO17799，《信息系统安全》，2005年2．ISACA（信息系统审计与控制协会），ITGI（IT治理协会），《信息与相关技术的控制目标》（COBIT），2003年（最初的版本于1996年发布）3．IIARF（内部审计师协会研究基金会），《系统可审计性与控制》（SAC），最初于1991年发布，1994年修订六、我国内部控制规范建设的情况财政部《内部会计控制规范》2001年6月22日，《内部会计控制规范——基本规范（试行）》，《内部会计控制规范——货币资金（试行）》2002年12月23日，《内部会计控制规范——采购与付款（试行）》，《内部会计控制规范——销售与收款（试行）》2003年10月22日，《内部会计控制规范——工程项目(试行)》2004年8月19日，《内部会计控制规范——担保（试行）》，《内部会计控制规范——对外投资（试行）》商业银行、保险机构内部控制指引1997年5月16日，中国人民银行，《加强金融机构内部控制的指导原则》（已废止）2002年9月7日，中国人民银行，《商业银行内部控制指引》2004年12月25日，中国银监会，《商业银行内部控制评价试行办法》2005年2月28日，中国保监会，《保险中介机构内部控制指引（试行）》证券公司、基金公司内部控制指引2001年1月31日，中国证监会，《证券公司内部控制指引》（已废止）2002年12月3日，中国证监会，《证券投资基金管理公司内部控制指导意见》2003年12月15日，中国证监会，《证券公司内部控制指引》（修订）2006年6月30日，中国证监会，《证券公司融资融券业务试点内部控制指引》2007年2月13日，中国证监会，《证券投资基金销售机构内部控制指导意见（征求意见稿）》上市公司内部控制指引2006年6月5日，《上海证券交易所上市公司内部控制指引》，自2006年7月1日起施行2006年9月28日，《深圳证券交易所上市公司内部控制指引》，自2007年7月1日起施行其他2006年6月6日，国务院国有资产监督管理委员会，《中央企业全面风险管理指引》2002年2月，中国注册会计师协会，《内部控制审核指导意见》2006年7月6日，财政部企业内部控制标准委员会成立主席：王军（财政部副部长）副主席：李小雪（中国证券监督管理委员会纪委书记）邵宁（国务院国有资产监督管理委员会副主任）秘书长：刘玉廷（财政部会计司司长）委员：29人2008年5月22日，财政部、证监会、审计署、银监会、保监会发布《企业内部控制基本规范》自2009年7月1日起在上市公司范围内施行鼓励非上市的大中型企业执行2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，并规定自2011年1月1日起在境内外同时上市的公司执行，2012年1月1日起在上交所、深交所主板上市公司执行。《指引》连同此前发布的《规范》，标志着适合我国企业内部控制规范体系已基本建成。内部控制标准体系基本规范应用指引评价指引审计指引需要面对的问题《企业内部控制基本规范》与两个交易所《上市公司内部控制指引》之间的关系《企业内部控制基本规范》与《中央企业全面风险管理指引》之间的关系第二部分内部控制整合框架一、定义二、控制环境三、风险评估四、控制活动五、信息与沟通六、监控七、内部控制的局限八、职能与责任一、定义内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程：经营的有效性和效率财务报告的可靠性遵循适用的法律和法规这个定义反映了一些基本概念：内部