1、2013 年注册会计师考试辅导 公司战略与风险管理 (第六章) 第 1 页第六章 风险管理框架下的内部控制考情分析主要考点(难点或重点)内部控制基本规范(目标、原则、五要素)内部控制应用指引(18 项)内部控制评价与审计审计委员会公司治理原则第一节 内部控制与风险管理的关系本节主要内容简介:企业内部控制理论的演变与发展内部控制与风险管理的关系有控则强,失控则弱;无控则乱,不控则败;一、企业内部控制理论的演变与发展(了解)(一)内部“牵制”阶段 20 世纪 40 年代之前起步阶段行为人层面的控制(点)目的:查错防弊(上下牵制、左右制约)2013 年注册会计师考试辅导 公司战略与风险管理 (第六章
2、) 第 2 页手段:职务分离、账目核对控制对象:钱、账、物等会计事项【意大利】复式记账法 13 世纪起源【基本设想】两个或两个以上的人或部门无意识地犯同样错误要比单独一个人或部门犯错误的机会小。两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。(二)内部控制制度阶段(20 世纪 50 年代至 70 年代)进化阶段(概念的形成、解释、修改)组织层面的控制(面)内部控制开始区分为内部会计控制和内部管理控制两方面,主要通过形成和推行一整套内部控制制度(方法和程序)来实施控制。美国注册会计师协会审计程序委员会:1958 年,第 29 号审计程序公告(SAP29)区分
3、两方面控制1963 年,第 33 号审计程序公告(SAP33)注册会计师主要针对内部会计控制进行检查1972 年,第 54 号审计程序公告(SAP54)对内部会计控制进行了重新定义(三)内部控制结构阶段(20 世纪 80 年代至 90 年代初开始)提高阶段企业层面的控制1988 年 4 月,美国注册会计师协会发布审计准则公告第 55 号(SASNo.55),重点表现在:一、正式将内部控制环境纳入内部控制范畴;二、不再区分内部会计控制和内部管理控制。(四)内部控制整合框架阶段演进阶段基于企业风险控制1992 年 9 月,COSO 发布内部控制:整合框架(IC)【三项目标】:取得经营的效率和有效性
4、;确保财务报告的可靠性;遵循适用的法律法规。【五大要素】:控制环境、风险评估、控制活动、信息与沟通、监督。COSO 内部控制系统2013 年注册会计师考试辅导 公司战略与风险管理 (第六章) 第 3 页一、强调风险评估在内部控制中的重要作用二、强调信息与沟通是强化内部控制的重要途径三、强调对内部控制系统本身的监控是内部控制发挥作用的关键环节(五)全面风险管理阶段提升阶段基于企业全面风险管理2004 年,COSO 发布企业风险管理整合框架(ERM)。风险管理整合框架认为,全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那
5、些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。企业风险管理整合框架(ERM)。【目标】战略目标、经营目标、报告目标和合规目标。【风险管理要素】内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督。【企业的层级】包括主体层次、各分部、各业务单元及下属各子公司。COSO 内部控制系统企业风险管理框架2013 年注册会计师考试辅导 公司战略与风险管理 (第六章) 第 4 页与 COSO 内部控制整合框架相比,ERM 整合框架具有下列 6 个方面的主要特点:(1)内部控制涵盖在企业风险管理活动之中,是其不可分割的组成部分。(2)拓
6、展了所需实现目标的内容。首先,增加了战略目标。其次,将财务报告扩展为企业编制的所有报告。最后,引入风险偏好和风险容忍度的概念。(3)引入风险组合观,从企业角度和业务单元两个角度以“组合”的方式考虑复合风险。(4)更加强调风险评估在风险管理中的基础地位。(5)扩展了控制环境的内涵,强调风险管理概念和董事会的独立性。(6)扩展了信息与沟通要素,企业不仅要关注历史信息,还要关注现在和未来可能影响目标实现的各种事项的影响。二、内部控制与风险管理的关系(了解)(一)内部控制包含风险管理(二)风险管理包含内部控制(三)内部控制与风险管理是一对既互相联系又互相差别的概念【考试小贴士】本节主要介绍了内部控制的
7、发展历史及内部控制与风险管理的关系。不属于考试的主要点,适当了解即可。第二节 我国内部控制规范体系本节主要内容简介:我国内部控制规范体系的建立与发展内部控制规范的框架体系一、我国内部控制规范体系的建立与发展(了解)中国企业内部控制体系从 2001 年出台的企业内部会计控制基本规范开始。(一)企业内部控制基本规范2008 年 6 月 28 日,财政部会同证监会、审计署、银监会、保监会制定并印发企业内部控制2013 年注册会计师考试辅导 公司战略与风险管理 (第六章) 第 5 页基本规范。自 2009 年 7 月 1 日起适用于中华人民共和国境内设立的大中型企业(包括上市公司)执行。同时鼓励小企业
8、和其他单位参照其内容建立与实施内部控制。【目标】合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整;提高经营效率和效果;促进企业实现发展战略。【五个要素】(1)内部环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)内部监督。基本规范在形式上借鉴了 COSO 内部控制整合报告 5 要素框架,同时在内容上体现了 COSO风险管理 8 要素框架的实质。(二)企业内部控制配套指引2010 年 4 月 26 日发布了企业内部控制配套指引:企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引配套指引自 2011 年 1 月 1 日起按已定时间表在境内外不同类型的上市公司
9、施行。同时,鼓励相关非上市大中型企业提前执行。二、内部控制规范的框架体系(掌握)企业内部控制配套指引的结构2013 年注册会计师考试辅导 公司战略与风险管理 (第六章) 第 6 页【考试小贴士】本节内容主要针对我国内部控制规范体系进行了简单介绍,其中四个文件的具体内容会在后续展开,因此不属于复习的主要点,适当了解。第三节 内部控制基本规范本节主要内容简介:内部控制的目标内部控制的原则内部控制的实施体系内部控制的要素、内部控制的目标(掌握)基本规范将内部控制定义为:由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。该定义反映了以下基本概念:内部控制是一个过程,它是实现目的的手
10、段,而非目的本身;内部控制受人的影响,它不仅仅是政策手册和图表,而且涉及企业各层次的人员;内部控制只能向企业董事会和经理层提供合理的保证,而非绝对的保证;内部控制是为了实现五类既相互独立又相互联系的目标。基本规范将内部控制的目标归纳为五个方面:(1)合理保证企业经营管理合法合规;(2)合理保证企业资产安全;(有效、安全、完整)(3)合理保证企业财务报告及相关信息真实完整;(4)提高经营效率和效果;(5)促进企业实现发展战略。二、内部控制的原则(掌握)(一)全面性 贯穿决策、执行和监督的全过程2013 年注册会计师考试辅导 公司战略与风险管理 (第六章) 第 7 页原则 覆盖企业及其所属单位各种
11、业务和事项(二)重要性原则 在全面控制的基础上,内部控制应该关注重要业务事项和高风险领域。(三)制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。(四)适应性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。(五)成本效益原则又称为成本与效率效果原则,就是指内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。三、内部控制的实施体系(掌握)(一)以法制为推动(二)以企业实施为主体(三)以政府监管和社会评价为保障四、内部控制的要素(重点掌握)(一)内部环境是企业实施内部控制的基础
12、。【六大要素】:公司治理结构内部机构设置与职责分工内部审计人力资源政策企业文化法制环境1.公司治理结构【股东(大)会】享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。【董事会】对股东(大)会负责,依法行使企业的经营决策权。【监事会】对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。【经理层】负责组织实施股东(大)会、董事会决议事项,主持企业的生产经营管理工作。与内部控制的关系:2013 年注册会计师考试辅导 公司战略与风险管理 (第六章) 第 8 页【董事会】负责内部控制的建立健全和有效实施。【监事会】对董事会建立与实施内
13、部控制进行监督。【经理层】负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。2.内部机构设置与职责分工企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。3.内部审计企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进
14、行报告。对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。4.人力资源政策(1)员工的聘用、培训、辞退与辞职。(2)员工的薪酬、考核、晋升与奖惩。(3)关键岗位员工的强制休假制度和定期岗位轮换制度。(4)掌握国家秘密或重要商业秘密的员工离岗的限制性规定。(5)有关人力资源管理的其他政策。企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。5.企业文化企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。董事、监事、经理及其他
15、高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则,认真履行岗位职责。6.法制环境企业应当加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。(二)风险评估企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。风险评估的要素归纳为四个方面,即确定风险承受度、识别风险(包括内部和外部风险)、风险分析和风险应对。企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度是企业能够承担的风险限度,包括整体
16、风险承受能力和业务层面的可接受风险水平。企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采2013 年注册会计师考试辅导 公司战略与风险管理 (第六章) 第 9 页取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。(三)控制活动企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。控制活动或控制措
17、施概括为 7 个方面,即不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。1.不相容职务分离控制不相容职务是指那些不能由一个部门或人员兼任,否则可能弄虚作假或易于掩盖其作弊行为的职务。不相容职务一般包括:授权批准与业务经办业务经办与会计记录会计记录与财产保管业务经办与稽核检查授权批准与监督检查【补充资料】企业不相容职务分工的内容会计岗位设置中的不相容职务(1)出纳职务与收入、支出、费用的核算职务,与债权债务的核算职务,与稽核职务,与会计档案的保管职务等均属于不相容职务,应当予以分离。(2)会计核算职务与相应的稽核检查职务属于不相容职务,应予分
18、离。(3)总分类账的登记职务与相关明细分类账的登记职务属于不相容职务,应当分离。(4)开展会计电算化的企业,电算化会计岗位中的软件操作职务、审核记账职务、电算审查职务、档案保管职务等互为不相容职务,均应当予以分离。货币资金业务中的不相容职务(1)钱账分管,即出纳专职负责货币资金的收支业务,除现金和银行存款日记账外,不兼记总账和债权债务等明细账,不负责汇总记账凭证,不抄寄各种往来结算账户对账单。除了出纳外,其他任何人,包括会计人员、单位领导、各种业务人员等,均不得办理货币资金收支业务,包括收付现金和接收、开出银行支票。(2)出纳与核对职务应分离,即库存现金要由专人定期或不定期地进行盘点;银行存款
19、应指定专人及时对账,每月收受银行对账单、编制银行存款余额调节表,应当由出纳、管理现金账和银行存款账以外的人员负责。(3)支票的签发除有专用公章外,还要有会计机构负责人或企业负责人的私章同时盖印才有效。上述支票印签章不能由出纳一人保管。(4)一切付款均须得到恰当批准,即付款经办人与审批人应当分离。2.授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下
20、进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。2013 年注册会计师考试辅导 公司战略与风险管理 (第六章) 第 10 页企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。3.会计系统控制(1)依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书,会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师或者财务总监,设置总会计师或者财务总监的单位,不得设置与其职权重叠的副职。(2)建立会计工作的岗位责任制,对会计人员进行科学合理的分工,使之相互监督和制约。(3)按照规定取得
21、和填制原始凭证。(4)设计良好的凭证格式。(5)对凭证进行连续编号。(6)规定合理的凭证传递程序。(7)明确凭证的装订和保管手续责任。(8)合理设置账户,登记会计账簿,进行复式记账。(9)按照会计法和国家统一的会计准则制度的要求编制、报送、保管财务报告。4.财产保护控制(1)财产记录。妥善保管涉及资产的各种文件资料,避免记录受损、被盗、被毁。严格限制接近记录的人员,保持保管、批准和记录职务分离的有效性。对重要的文件资料,应当留有备份,以便在遭受意外损失或毁坏时重新恢复,这在计算机处理条件下尤为重要。(2)实物保管。主要是限制接近控制和财产保险控制。限制接近控制是指严格限制未经授权的人员对资产的
22、直接接触,只有经过授权批准的人员才能接触该资产。限制接近包括限制对资产本身的接触和通过文件批准方式对资产使用或分配的间接接触。一般情况下,对货币资金、有价证券、存货等变现能力强的资产必须限制无关人员的直接接触。(3)定期盘点和账实核对。是指定期对实物资产进行盘点,并将盘点结果与会计记录进行比较。盘点结果与会计记录如不一致,可能说明资产管理上出现错误、浪费、损失或其他不正常现象,应当分析原因、查明责任、完善管理制度。5.预算控制企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。在实际工作中,预算编制决策权都应落实在内部管理的最高层,由这一权威层次进行决策、指挥和协调。预算确定后由各预算单位组织实施,并辅之以对等的权、责、利关系,由内部审计部门等负责监督预算的执行。6.运营分析控制企业建立运营情况分析制度,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。7.绩效考评控制企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、
