高顿财经CPA培训中心
第七章 风险管理框架下的内部控制
本章考情分析
本章属于重点章,应重点掌握的内容包括:(1)内部控制的要素;(2)内部控制应用指引(包括18项指引);(3)内部控制自我评价;(4)审计委员会在内部控制中的作用;(5)风险管理、内部控制、公司治理三者的关系。
本章考试的题型主要关注客观题和简答题,近3年平均分值为10分左右。 2015年重点关注COSO《内部控制框架》关于内部控制要素的要求与原则,以及我国《企业内部控制基本规范》关于内部控制要素的要求;内部控制应用指引(包括18项指引);内部控制自我评价;审计委员会在内部控制中的作用,这四个方面内容主要考主观题。
2015年教材主要变化
2015年教材本章内容与2014年教材相比,主要变化有: (1)新增“第一节 内部控制概述”; (2)新增“第二节 内部控制的要素”; (3)第四节新增“企业内部控制审计”,删除“审计委员会与外聘审计师”; (4)第五节删除“公司治理”。
第一节 内部控制概述
一、COSO委员会关于内部控制的定义与框架(★)
成立于1985年的COSO(Committee of Sponsoring Organization)委员会为美国全国舞弊报告委员会提供支持。该组织包括美国会计协会和美国注册会计师协会。COSO委员会负责制定有关大型和小型企业实施内部控制系统的指南。
COSO委员会对内部控制的定义是“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和遵守适用的法律法规。”
COSO委员会的上述定义对内部控制的基本概念提供了一些深入的见解,并特别指出: (1)内部控制是一个实现目标的程序及方法,而其本身并非目标; (2)内部控制只提供合理保证,而非绝对保证; (3)内部控制要由企业中各级人员实施与配合。
1992年9月,COSO委员会提出了《内部控制——整合框架》,1994年、2003年和2013年又进行了增补和修订,简称《内部控制框架》,即COSO内部控制框架。
《内部控制——整合框架》提出了内部控制的三项目标和五大要素。 内部控制的三项目标包括: 取得经营的效率和有效性; 确保财务报告的可靠性; 遵循适用的法律法规。 内部控制的五大要素包括: 高顿财经CPA培训中心
电话:400-600-8011 网址:cpa.gaodun.cn 微信公众号:gaoduncpa
高顿财经CPA培训中心
控制环境(包括员工的正直、道德价值观和能力,管理当局的理念和经营风格,管理当局确立权威性和责任、组织和开发员工的方法等)
风险评估(为了达成组织目标而对相关的风险所进行的辨别与分析) 控制活动(为了确保实现管理当局的目标而采取的政策和程序,包括审批、授权、验证、确认、经营业绩的复核、资产安全性等)、
信息与沟通(为了保证员工履行职责而必须识别、获取的信息及沟通)
监控(对内部控制实施质量的评价,主要包括经营过程中的持续监控,即日常管理和监督、员工履行职责的行动等,也包括个别评价,或者是两者结合)
COSO委员会提出的《内部控制——整合框架》被称为最广泛认可的关于内部控制整体框架的国际标准。2013年5月,COSO委员会发布其最新的内部控制框架,其中一个重大变化是基于原有的COSO五要素提出了17条核心内控原则,从而大幅度增强了五要素的可操作性。
二、我国内部控制规范体系(★)
2008年6月28日,财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》(以下简称《基本规范》)。财政部、证监会、审计署、银监会及保监会于2010年4月26日联合发布了《企业内部控制配套指引》(以下简称《配套指引》),其中包括18项《企业内部控制应用指引》(以下简称《应用指引》)、《企业内部控制评价指引》(以下简称《评价指引》)和《企业内部控制审计指引》(以下简称《审计指引》)。
基本规范、应用指引、评价和审计指引三个类别构成一个相辅相成的整体,标志着适应我国企业实际情况,融合国际先进经验的中国企业内部控制规范体系基本建成 (―)《企业内部控制基本规范》
《企业内部控制基本规范》规定内部控制的目标、要素、原则、和总体要求,是内部控制的总体框架,在内部控制标准体系中起统领作用。
《基本规范》要求企业建立内部控制体系时应符合以下目标:
合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整; 提高经营效率和效果; 促进企业实现发展战略。 《基本规范》借鉴了以美国COSO委员会内部控制整合报告为代表的国际内部控制框架,并结合中国国情,要求企业所建立与实施的内部控制,应当包括下列五个要素: (1)内部环境; (2)风险评估; (3)控制活动; (4)信息与沟通; (5)内部监督。 (二)《企业内部控制应用指引》
《企业内部控制应用指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中占主体地位。
《应用指引》针对组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、 高顿财经CPA培训中心
电话:400-600-8011 网址:cpa.gaodun.cn 微信公众号:gaoduncpa
高顿财经CPA培训中心
采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统共18项企业主要业务的内控领域或内控手段,提出了建议性的应用指引,为企业以及外部审核人,建立与评价内控体系提供了参照性标准。《应用指引》的18项指引,可以划分为三类,即内部环境类指引、控制活动类指引和控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。 (三)《企业内部控制评价指引》和《企业内部控制审计指引》
《企业内部控制评价指引》和《企业内部控制审计指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业“事后控制”的指引,是对企业贯彻《基本规范》和《应用指引》效果的评价与检验。
《评价指引》为企业对内部控制的有效性进行全面评价,形成评价结论、出具评价报告提供指引。该评价指引明确内部控制评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,企业应当确定评价的具体内容及对内部控制设计与运行情况进行全面评价。同时,指引中对内部控制评价的内容、程序、缺陷的认定、评价报告、工作底稿要求、评估基准日等方面做出了规定。
《审计指引》为会计师事务所对特定基准日与财务报告相关内部控制设计与执行有效性进行审计提供指引。它明确注册会计师应对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露。同时,就审计计划工作、审计实施、如何评价控制缺陷、审计期后事项、审计报告内容和方法以及审计工作底稿做出了规定。
第二节 内部控制的要素
一、控制环境(★★★)
(一)COSO《内部控制框架》关于控制环境要素的要求与原则
COSO《内部控制框架》关于控制环境要素的要求为:控制环境决定了企业的基调,直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架,是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能;管理哲学和经营风格;权责分配方法、人事政策;董事会的经营重点和目标等。
根据2013年修订发布的COSO内部控制框架,控制环境要素应当坚持以下原则: 1.企业对诚信和道德价值观做出承诺。
2.董事会独立于管理层,对内部控制的制定及其绩效施以监控。 3.管理层在董事会的监控下,建立目标实现过程中所涉及的组织架构、报告路径以及适当的权利和责任。
4.企业致力于吸引、发展和留住优秀人才,以配合企业目标达成。 5.企业根据其目标,使员工各自担负起内部控制的相关责任。 (二)我国《企业内部控制基本规范》关于内部环境要素的要求
1.企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。
2.董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。
3.企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。
高顿财经CPA培训中心
电话:400-600-8011 网址:cpa.gaodun.cn 微信公众号:gaoduncpa
高顿财经CPA培训中心
4.企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。
5.企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检査中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检査中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。
6.企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容:
(1)员工的聘用、培训、辞退与辞职; (2)员工的薪酬、考核、晋升与奖惩;
(3)关键岗位员工的强制休假制度和定期岗位轮换制度; (4)掌握国家秘密或重要商业秘密的员工离岗的限制性规定; (5)有关人力资源管理的其他政策。
7.企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。
8.企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则,认真履行岗位职责。
9.企业应当加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。
二、风险评估(★★★)
(一)COSO《内部控制框架》关于风险评估要素的要求与原则
COSO《内部控制框架》关于风险评估要素的要求为:每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接,保持一致。风险评估指识别、分析相关风险以实现既定目标,从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化,需要确立一套机制来识别和应对由这些变化带来的风险。
根据2013年修订发布的COSO内部控制框架,风险评估要素应当坚持以下原则: 1.企业制定足够清晰的目标,以便识别和评估有关目标所涉及的风险。 2.企业从全范围的角度来识别实现目标所涉及的风险,分析风险,并据此决定应如何管理这些风险。
3.企业在评估影响目标实现的风险时,考虑潜在的舞弊行为。 4.企业识别并评估可能会对内部控制系统产生重大影响的变更。 (二)我国《企业内部控制基本规范》关于风险评估要素的要求
1.企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。
2.企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
3.企业识别内部风险,应当关注下列因素: (1)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素; 高顿财经CPA培训中心
电话:400-600-8011 网址:cpa.gaodun.cn 微信公众号:gaoduncpa
高顿财经CPA培训中心
(2)组织机构、经营方式、资产管理、业务流程等管理因素; (3)研究开发、技术投入、信息技术运用等自主创新因素; (4)财务状况、经营成果、现金流等财务因素; (5)营运安全、员工健康、环境保护等安全环保因素; (6)其他有关内部风险因素。
4.企业识别外部风险,应当关注下列因素:
(1)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素; (2)法律法规、监管要求等法律因素;
(3)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素; (4)技术进步、工艺改进等科学技术因素; (5)自然灾害、环境状况等自然环境因素; (6)其他有关外部风险因素。
5.企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
6.企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。
7.企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。
8.企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
高顿财经CPA培训中心
电话:400-600-8011 网址:cpa.gaodun.cn 微信公众号:gaoduncpa