第八章 内部控制
本章考情分析
本章属于特别重点章。本章应重点掌握的内容包括:(1)企业内部控制的五个要素;(2)企业内部控制的应用;(3)企业内部控制评价的程序;(4)企业内部控制的审计;(5)审计委员会在企业中的监察角色;(6)内部控制与公司治理。
本章考试的题型主要关注客观题、简答题和综合题,近3年平均分值为10分左右。2012年主要关注:《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》、审计委员会在企业中的监察角色以及内部控制与公司治理的相关内容。
最近3年题型题量分析
题型 单项选择题 多项选择题 简答题 综合题 合计 2009年 1题1分 1题1.5分 1.5题7.5分 3.5题10分 2010年 1题1分 2题3分 1题6分 4题10分 2011年 1题1分 3题4.5分 0.17题5分 4.17题10.5分 2012年教材主要变化 2012年教材本章内容与2011年教材相比有一些变化:
1.第二节企业内部控制内容的五个要素,增加了 “建立完善的组织结构有助于企业的持续发展”一段;
2.第四节企业内部控制评价的程序,增加了部分举例。
本章基本结构框架
内部控制的定义和发展
企业内部控制内容的五个要素 企业内部控制的应用 内部控制 企业内部控制评价的程序 企业内部控制的审计 审计委员会在企业中的监察角色 内部控制与公司治理
1
第一节 内部控制的定义和发展
内部控制的定义 内部控制的 定义和发展 内部控制的演变与发展 一、内部控制的定义(★)
(一)COSO对内部控制的定义
1992年9月,COSO委员会提出了《内部控制——整合框架》。1994年又进行了增补,简称《内部控制框架》,即COSO内部控制框架。这份文件堪称内部控制发展史上的里程碑。
1.COSO对内部控制的定义 公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率、财务报告的可靠性、遵守适用的法律法规。
2.在实施内部控制时,有三点需要注意:
(1)即使实施了优良的内部控制系统,也不一定能使一个蹩脚的管理者变得出色。(内部控制只是管理的一种工具,并不能取代管理) (2)由于所有的内部控制系统仍然面临发生错误或出现差错的危险,因而内部控制系统只能就企业目标的实现提供合理保证。即使一个企业实施了内部控制,也可能由于故意串通破坏、管理层逾越监控而失效。 (3)各类企业建立内部控制系统时,均可能存在资源受限的问题,要考虑成本效益原则。 (二)中国《企业内部控制基本规范》对内部控制的定义
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
《企业内部控制基本规范》要求企业建立内部控制体系时应符合以下目标: 1.合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整; 2.提高经营效率和效果; 3.促进企业实现发展战略。
二、内部控制的演变与发展(★★)
(一)内部控制在20世纪80年代的控制理论
1988年美国审计准则委员会发布的第55号审计准则公告《财务报表审计中内部控制结构的考虑》,较大幅度地修改了对内部控制的定义。内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序。内部控制由三个要素组成:控制环境、会计制度和控制程序。
(二)内部控制在成熟阶段的研究结果
1985年,由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会,该委员会旨在探讨财务报告中的舞弊产生的原因,并寻找解决措施。
基于该委员会的建议,成立COSO委员会(Committee of Sponsoring Organization of the Treadway Committee,美国反虚假财务报告全国委员会的发起组织委员会),专门研究
2
内部控制问题。1992年9月,COSO委员会提出了报告《内部控制——整合框架》(1994年进行了增补),即COSO内部控制框架。
该框架指出“内部控制是受企业董事会、管理层和其他人员影响,为经营的效率和效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”
控制环境
风险评估
COSO内部控制框架 控制活动
信息与沟通
监察
这五要素取决于管理层经营企业的方式,并融入管理过程本身。 1.COSO内部控制整体框架的要点
(1)强调“软控制”的功能。相对于以前的内部控制而言,框架更加强调那些属于管理文化层面的软性管理因素。 (2)强调内部控制应与企业的经营管理过程相结合。框架认为,经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。内部控制是企业经营管理过程的一部分,与经营过程结合在一起,而不是凌驾于企业的基本活动之上,它使经营达到预期的效果,并监督企业经营过程的持续进行。不过,内部控制只是管理的一种工具,并不能取代管理。 (3)突出强调信息系统的作用。框架认为,完备的信息处理系统是实现内部控制目标的重要保障,信息系统不仅处理企业内部产生的经营信息,而且也处理来自企业外部的各类经济、法律或行政信息。
(4)明确对内部控制的“责任”。COSO框架第一次明确地阐述了内部控制的制定与实施的责任问题。框架指出,不仅仅是董事会、管理人员、内部审计人员,组织中的每一个人都对内部控制环节负有责任。
(5)强调内部控制的分类和目标。目标的设定虽然不是内部控制的组成要素,但却是内部控制的先决条件,也是促成内部控制的要件。框架将内部控制目标分为三类:与营运有关的目标、与财务报告有关的目标以及与法令的遵循性有关的目标等。这样的分类高度概括了企业控制目标,有利于不同的人从不同的视角关注企业内部控制的不同方面。
(6)内部控制只能做到“合理”保证。框架认为:不论设计及执行有多么完善完整,内部控制都只能为管理阶层及股东达成企业经营目标提供合理保证。而目标最终是否达成,还受内部控制本身的限制性条件制约等。
2.COSO 内部控制框架的五要素 (1)控制环境
控制环境是由管理层所定的基调、管理哲学与管理风格、授权方式、组织和培养员工的方式以及董事会对执行内部控制的决心所决定。控制环境影响员工的管理意识,是其他控制要素的基础。 (2)风险评估
风险评估是指识别和分析影响目标实现的风险,以此来确定降低和管理此类风险的依据。它随经济、行业、监管和经营条件而不断变化,需建立一套机制来辨认和处理相应的风险。
3
(3)控制活动
控制活动是指能确保管理层的决策与指示得以执行的政策和程序。它贯穿整个组织、各种层次和功能,包括:组织控制、职责划分、调节和复核、实物控制、授权和批准、计算和会计、人员控制、监督及管理控制 (4)信息与沟通
信息与沟通是指在人员能够履行责任的方式及时间范围内,识别、取得和报告经营、财务及法律遵守的相关信息的有效程序和系统。
【提示1】信息系统产生各种报告,包括经营、财务、合规等方面信息,使得对经营的控制成为可能。处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供应商、监管机构和股东进行有效的沟通。 (5)监察
监察是指持续评估内部控制系统的充分性及表现情况的程序。监察在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告,严重的问题要报告到高级管理层和董事会。
【提示2】内部控制是指为确保实现企业目标而实施的程序和政策。内部控制系统包括两个因素,分别是内部环境和控制政策与程序。内部环境是指企业内对于内部控制的态度及内部控制意识,代表整个企业对于内部控制的价值观。控制政策及程序是指嵌入企业运营中的具体的内部控制。
【提示3】内部控制的“五要素”不是内部控制过程中先后顺序上的一道道工序,而是一个多方向交叉的、多维的、反复的过程。
(三)中国内部控制的发展现状及对企业带来的影响 1.《企业内部控制基本规范》
2008年6月28日,财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》 (下称“内控规范”)。自2009年7月1日起适用于中华人民共和国境内设立的大中型企业(包括上市公司)执行。同时鼓励小企业和其他单位参照其内容建立与实施内部控制。
《内控规范》借鉴了以美国COSO报告为代表的国际内部控制框架,并结合中国国情,要求企业所建立与实施的内部控制,应当包括下列五个要素:(1)内部环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)内部监督。
2.《企业内部控制配套指引》
根据国家有关法律法规,财政部在会同证监会、审计署、银监会、保监会在2008年6月发布的《企业内部控制基本规范》的基础上,于2010年4月26日,制定发布了《企业内部控制配套指引》。《企业内部控制配套指引》连同2008年6月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。同时,鼓励非上市大中型企业提前执行。
《企业内部控制配套指引》由《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》三部分组成。其中,《企业内部控制应用指引》是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引,在《企业内部控制配套指引》乃至整个内部控制规范体系中占居主体地位。
4
