注会《风险》第七章 风险管理框架下的内部控制01

第七章风险管理框架下的内部控制

本章考情分析

本章属于重点章，应重点掌握的内容包括：（1）内部控制的要素；（2）内部控制应用指引（包括18项指引）；（3）内部控制自我评价；（4）审计委员会在内部控制中的作用；（5）风险管理、内部控制、公司治理三者的关系。

本章考试的题型主要关注客观题和简答题，近3年平均分值为10分左右。

2015年重点关注COSO《内部控制框架》关于内部控制要素的要求与原则，以及我国《企业内部控制基本规范》关于内部控制要素的要求；内部控制应用指引（包括18项指引）；内部控制自我评价；审计委员会在内部控制中的作用，这四个方面内容主要考主观题。

2015年教材主要变化

2015年教材本章内容与2014年教材相比，主要变化有：

（1）新增“第一节内部控制概述”；

（2）新增“第二节内部控制的要素”；

（3）第四节新增“企业内部控制审计”，删除“审计委员会与外聘审计师”；

（4）第五节删除“公司治理”。

第一节内部控制概述

一、COSO委员会关于内部控制的定义与框架（★）

成立于1985年的COSO（Committee of Sponsoring Organization）委员会为美国全国舞弊报告委员会提供支持。该组织包括美国会计协会和美国注册会计师协会。COSO委员会负责制定有关大型和小型企业实施内部控制系统的指南。

COSO委员会对内部控制的定义是“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。”

COSO委员会的上述定义对内部控制的基本概念提供了一些深入的见解，并特别指出：（1）内部控制是一个实现目标的程序及方法，而其本身并非目标；

（2）内部控制只提供合理保证，而非绝对保证；

（3）内部控制要由企业中各级人员实施与配合。

1992年9月，COSO委员会提出了《内部控制——整合框架》，1994年、2003年和2013年又进行了增补和修订，简称《内部控制框架》，即COSO内部控制框架。

《内部控制——整合框架》提出了内部控制的三项目标和五大要素。

内部控制的三项目标包括：

取得经营的效率和有效性；

确保财务报告的可靠性；

遵循适用的法律法规。

内部控制的五大要素包括：

控制环境（包括员工的正直、道德价值观和能力，管理当局的理念和经营风格，管理当局确立权威性和责任、组织和开发员工的方法等）

风险评估（为了达成组织目标而对相关的风险所进行的辨别与分析）

控制活动（为了确保实现管理当局的目标而采取的政策和程序，包括审批、授权、验证、确认、经营业绩的复核、资产安全性等）、

信息与沟通（为了保证员工履行职责而必须识别、获取的信息及沟通）

监控（对内部控制实施质量的评价，主要包括经营过程中的持续监控，即日常管理和监督、员工履行职责的行动等，也包括个别评价，或者是两者结合）

COSO委员会提出的《内部控制——整合框架》被称为最广泛认可的关于内部控制整体框架的国际标准。2013年5月，COSO委员会发布其最新的内部控制框架，其中一个重大变化是基于原有的COSO五要素提出了17条核心内控原则，从而大幅度增强了五要素的可操作性。

二、我国内部控制规范体系（★）

2008年6月28日，财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》（以下简称《基本规范》）。财政部、证监会、审计署、银监会及保监会于2010年4月26日联合发布了《企业内部控制配套指引》（以下简称《配套指引》），其中包括18项《企业内部控制应用指引》（以下简称《应用指引》）、《企业内部控制评价指引》（以下简称《评价指引》）和《企业内部控制审计指引》（以下简称《审计指引》）。

基本规范、应用指引、评价和审计指引三个类别构成一个相辅相成的整体，标志着适应我国企业实际情况，融合国际先进经验的中国企业内部控制规范体系基本建成（―）《企业内部控制基本规范》

《企业内部控制基本规范》规定内部控制的目标、要素、原则、和总体要求，是内部控制的总体框架，在内部控制标准体系中起统领作用。

《基本规范》要求企业建立内部控制体系时应符合以下目标：

合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整；

提高经营效率和效果；

促进企业实现发展战略。

《基本规范》借鉴了以美国COSO委员会内部控制整合报告为代表的国际内部控制框架，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列五个要素：（1）内部环境；

（2）风险评估；

（3）控制活动；

（4）信息与沟通；

（5）内部监督。

（二）《企业内部控制应用指引》

《企业内部控制应用指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占主体地位。

《应用指引》针对组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、

采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统共18项企业主要业务的内控领域或内控手段，提出了建议性的应用指引，为企业以及外部审核人，建立与评价内控体系提供了参照性标准。《应用指引》的18项指引，可以划分为三类，即内部环境类指引、控制活动类指引和控制手段类指引，基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。

（三）《企业内部控制评价指引》和《企业内部控制审计指引》

《企业内部控制评价指引》和《企业内部控制审计指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业“事后控制”的指引，是对企业贯彻《基本规范》和《应用指引》效果的评价与检验。

《评价指引》为企业对内部控制的有效性进行全面评价，形成评价结论、出具评价报告提供指引。该评价指引明确内部控制评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，企业应当确定评价的具体内容及对内部控制设计与运行情况进行全面评价。同时，指引中对内部控制评价的内容、程序、缺陷的认定、评价报告、工作底稿要求、评估基准日等方面做出了规定。

《审计指引》为会计师事务所对特定基准日与财务报告相关内部控制设计与执行有效性进行审计提供指引。它明确注册会计师应对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露。同时，就审计计划工作、审计实施、如何评价控制缺陷、审计期后事项、审计报告内容和方法以及审计工作底稿做出了规定。

第二节内部控制的要素

一、控制环境（★★★）

（一）COSO《内部控制框架》关于控制环境要素的要求与原则

COSO《内部控制框架》关于控制环境要素的要求为：控制环境决定了企业的基调，直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架，是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能；管理哲学和经营风格；权责分配方法、人事政策；董事会的经营重点和目标等。

根据2013年修订发布的COSO内部控制框架，控制环境要素应当坚持以下原则：

1.企业对诚信和道德价值观做出承诺。

2.董事会独立于管理层，对内部控制的制定及其绩效施以监控。

3.管理层在董事会的监控下，建立目标实现过程中所涉及的组织架构、报告路径以及适当的权利和责任。

4.企业致力于吸引、发展和留住优秀人才，以配合企业目标达成。

5.企业根据其目标，使员工各自担负起内部控制的相关责任。

（二）我国《企业内部控制基本规范》关于内部环境要素的要求

1.企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

2.董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。

3.企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。