企业内部控制与风险管理（第二版）内部控制概论第一节内部控制的产生和发展一、国外内部控制的发展历程p3-13（一）内部牵制阶段一般来说内部牵制的执行大致可分为以下四类：一是实物牵制。例如把保险柜的钥匙交给两个以上的工作人员持有。非同时使用这两把以上的钥匙保险柜就打不开。二是机械牵制。例如保险柜的大门若非按正确程序操作就打不开。三是体制牵制。采用双重控制预防错误和舞弊的发生。四是簿记牵制。定期将明细账与总账进行核对。在现代内部控制理论中内部牵制仍占有重要地位成为有关组织机构控制和职务分离控制的基础。内部牵制是基于以下两个基本设想：（1）两个或以上的人或部门无意识地犯同样错误的机会是很小的；（2）两个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。（二）内部控制阶段（三）管理控制和会计控制阶段（四）内部控制结构阶段（五）内部控制整体框架阶段进入２０世纪９０年代后人们对会计控制的研究进入了一个全新的阶段。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。同以往的内部控制理论及研究成果相比COSO报告提出了许多新的、有价值的观点。体现在：p71、明确制定与实施内部控制的“责任”。2、指明内部控制应与经营管理相结合。3、指明内部控制是一个循环往复的过程。4、强调思想、观念更新的重要性。5、要求管理层关注企业各层次的风险。6、指明内部控制的分类及目标。7、指出内部控制只能做到“合理”保证。8、强调要考虑成本与效益原则。（六）内部控制整体框架——风险管理阶段企业风险管理包括八个相互关联的要素各要素贯穿在企业的管理过程之中。1、内部环境2、目标制定3、事项识别4、风险评估5、风险反应6、控制活动7、信息和沟通8、监控相对于内部控制框架而言新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。1、提出一个新的观念——风险组合观（AnEntity—LevelPortfolioViewofRisk）2、增加一类目标——战略目标并扩大了报告目标的范畴3、针对风险度量提出两个新概念——风险偏好（RiskAppetite）和风险容忍度（RiskTolerances）4、增加了三个风险管理要素扩大了相关要素的范围企业风险管理框架新增了三个风险管理要素——“目标制定”、“事项识别”和“风险反应”。二、中国内部控制与风险管理的发展1999年修订的《中华人民共和国会计法》第一次以法律形式对建立健全内部控制提出了原则要求财政部随即连续制定发布了包括《内部会计控制规范——基本规范》在内的七项内部会计控制规范。（一）五部委的《企业内部控制基本规范》及《配套指引》p131、《企业内部控制基本规范》根据《企业内部控制基本规范》企业建立内部控制应当包括五个要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。2、《企业内部控制应用指引》《企业内部控制应用指引》在企业内部控制规范体系中处于主体地位。《企业内部控制应用指引》由18项具体应用指引组成具体包括的内容：已发布的针对企业具体业务或事项的18项应用指引内容涵盖组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递和信息系统等企业最常见、最基本、迫切需要加强控制的环节和领域。《企业内部控制应用指引》可以划分为三类即内部环境类指引、控制活动类指引、控制手段类指引基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。其中内部环境类指引包括组织架构、发展战略、人力资源、社会责任、企业文化5个指引；控制活动类指引包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告9个指引；控制手段类指引包括全面预算、合同管理、内部信息传递、信息系统4个指引。3、《企业内部控制评价指引》内部控制评价是企业内部控制中非常重要的一环。4、《企业内部控制审计指引》内部控制审计是指会计师事务所接受委托对特定基准日内部控制设计和运行的有效性进行审计（二）国资委的《中央企业全面风险管理指引》2006年6月国务院国资委根据《企业国有资产监督管理暂行条例》（国务院令第378号）关于“国有及国有控股企业应当加强内部监督和风险控制”的要求出台了《中央企业全面风险管理指引》旨在进一步加强和完善国有资产监管工作深化国有企业改革加强风险管理促进企业持续、稳定、健康发展。《中央企业全面风险管理指引》对全面风险管理的定义是：围绕企业总体经营目标通过在企业管理的各个环节和经营过程中执行风险管理的基本流程培育