2013中华会计网校会计继续教育讲义：企业内部控制操作实务

本篇文章由会计继续教育网整理推荐:希望大家能够喜欢！

2013中华会计网校会计继续教育讲义：企业内部控制操作实务

目　录 
　　一、内部控制的定义和发展
　　二、企业内部控制内容的五个要素
　　三、企业内部控制的应用
　　四、企业内部控制评价的程序
　　五、企业内部控制的审计
　　六、审计委员会在企业中的监察角色
　　七、内部控制与公司治理

第一节　内部控制的定义和发展

　　一、内部控制的定义 
　　内部控制是指为确保实现企业目标而实施的程序和政策。内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。内部控制和风险管理是出色的公司治理极为重要的组成部分。出色的公司治理意味着董事会必须对企业的所有风险加以识别和管理。就风险管理而言，内部控制系统涉及企业财务、运营、遵守法律法规及其他方面。
　　内部控制系统包括两个因素，分别是内部环境和控制政策与程序。
　　内部环境：企业内对于内部控制的态度及内部控制意识，代表整个企业对于内部控制的价值观。
　　控制政策及程序：嵌入企业运营中的具体的内部控制。其设计目的在于，尽可能确保业务行为是有序且有效的。
　　对内部控制定义的不同认识与分析
　　（一）COSO委员会对内部控制的定义
　　COSO是全国虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文缩写。根据《萨班斯法案》第404节条款以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。
　　公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。
　　（二）美国上市公司会计监督管理委员会对内部控制的定义
　　所谓财务报告内部控制，是指在企业主要的高级管理人员、主要财务负责人或行使类似职能的人员的监督下设计的一套流程，并由公司的董事会、管理层和其他人批准生效，该流程可以为财务报告的可靠性及根据公认会计原则编制的对外财务报表提供合理保证。
　　（三）特恩布尔委员会对内部控制的定义
　　控制的主要组成部分包括为企业的有效运营提供辅助条件，使企业有能力对阻碍目标实现的重大风险作出反应。此外，内部控制还应能确保对内和对外报告的质量。而且，内部控制还应能确保法规及企业内部有关业务开展的政策得以遵守。
　　（四）中国《企业内部控制基本规范》对内部控制的定义
　　财政部、证监会、审计署、银监会和保监会于2008年6月联合发布的《企业内部控制基本规范》中指出：内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和结果，促进企业实现发展战略。
　　【要点提示】从上述的定义中可以看出，内部控制是为确保实现企业目标而实施的程序和政策，包括内部环境和控制政策与程序。内部控制主要涉及企业财务、运营、遵守法律法规等方面。
　　典型例题:
　　【多选题1】下列有关内部控制的概述正确的有（　）。
　　A.就风险管理而言，内部控制系统涉及企业财务、运营、遵守法律法规及其他方面
　　B.内部控制系统包括两个因素：内部环境和控制政策与程序
　　C.只要实施了优良的内部控制系统，企业目标就一定能实现
　　D.内部控制是一个过程，而非目标
　　【答案】ABD
　　【解析】实施内部控制系统能够为实现企业目标提供合理保证。
　　【多选题2】内部控制关注的方面包括（　）。
　　A.报告及相关信息
　　B.经营效率和结果
　　C.遵守法规和法律
　　D.员工的福利问题
　　【答案】ABC
　　【解析】内部控制是指为确保实现企业目标而实施的程序和政策。就风险管理而言，内部控制系统涉及企业财务、运营、遵守法律法规及其他方面。
　　【多选题3】一般来讲，内部控制系统包括两个因素，分别是（　）。
　　A.内部环境
　　B.控制政策与程序
　　C.控制目标
　　D.控制结果
　　【答案】AB
　　【解析】不同时期和不同组织提出的内部控制，其具体要素存在着一定的差异。但是如果题目没有明确说明依据，只是泛泛提出内部控制系统的两个要素，则内部控制系统的两个因素分别是内部环境和控制政策与程序。

　　二、内部控制的演变与发展 
　　（一）内部控制在20世纪80年代的控制理论
　　美国注册会计师协会于1998年5月发布的《企业准则公告第55号》中，用“内部控制结构”的概念取代了“内部控制制度”。
　　公告认为内部控制结构由下列三个因素组成：
　　（1）控制环境
　　（2）会计制度
　　（3）控制程序
　　（二）内部控制在成熟阶段的研究成果
　　COSO委员会于1992年9月发布了《内部控制——整合框架》，1994年进行了增补，简称《内部控制框架》，即COSO内部控制框架，这份报告堪称内部控制发展史上的里程碑。
　　COSO内部控制框架将内部控制分为五个相互关联的组成部分：控制环境、风险评估、控制活动、信息与沟通、监察等。
　　1.控制环境：内部审计师协会（The Institute of Internal Auditors, IIA）对控制环境的定义是：“董事会与管理层对待公司内部控制的重要性的态度及采取的行动”。
　　2.风险评估：识别和分析影响目标实现的风险（包括与监管和运营环境不断变化有关的风险），以此来确定降低和管理此类风险的依据。
　　3.控制活动：确保管理层的决策与指示得以执行的政策和程序。企业内部各层面均存在控制活动，包括组织控制、职责划分、调节和复核、实物控制、授权和批准、计算和会计、人员控制、监督及管理控制。
　　4.信息与沟通：在人员能够履行责任的方式及时间范围内，识别、取得和报告经营、财务与法律遵守的相关信息的有效程序和系统。
　　5.监察：持续评估内部控制系统的充分性及表现情况的程序。
　　COSO的上述定义对内部控制的基本概念提供了一些深入的见解，特别是：
　　（1）内部控制是一个实现目标的程序及方法，而其本身并非目标；
　　（2）内部控制只提供合理保证，而非绝对保证；
　　（3）内部控制要由企业中各级人员实施与配合。
　　COSO利用一个三维模型（见图）来描述一个机构内的内部控制系统。该模型在水平方向上分为五层，垂直方向有三个组成部分和跨越第三维的多个椎体。这种模型的结构是5×3×2，它们彼此之间是相互连接的。
　　
　　图　COSO内部控制框架
　　典型例题
　　【多选题】下列要素包括在COＳO内部控制框架中的有（　）。
　　A.控制环境
　　B.风险评估
　　C.控制活动
　　D.信息与沟通
　　【答案】ABCD
　　【解析】COＳO内部控制框架包括控制环境、风险评估、控制活动、信息与沟通、监察五项内容。
　　（三）中国内部控制的发展状况及对企业带来的影响
　　1.中国内部控制的发展
　　2006年7月，受国务院委托，财政部牵头，由财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会。许多监管部门、大型企业、行业组织、中介机构、科研院所积极的领导和专家学者积极参与，为构建我国企业内部控制标准体系提供了组织和机制保障。
　　（1）《企业内部控制基本规范》 （简称《内控规范》）
　　《内控规范》要求企业建立内部控制体系时应符合以下目标：
　　①合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整；
　　②提高经营效率和效果；
　　③促进企业实现发展战略。
　　《内部规范》借鉴了美国COSO报告为代表的国际内部控制框架，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列五个要素：
　　①内部环境
　　②风险评估
　　③控制活动
　　④信息与沟通
　　⑤内部监督
　　（2）《企业内部控制配套指引》
　　包括《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》。标志着“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、层次分明、衔接有序、方法科学、体系完备”的企业内部控制规范体系建设目标基本建成。
　　2.《内控规范》对企业的影响
　　内控规范的发布是中国在公司治理方面的一个重要里程碑，体现了中国经济与全球经济的进一步接轨和整合。随着中国资本市场的发展与壮大，与之配套的公司治理和监督机制的需求日益增加；而随着中国企业的做大做强，企业对于内、外部的风险需要更系统有力的控制。一方面，《内控规范》为中国企业建立内部控制体系提供了一个标准的框架，在理念、实施和制度层面为企业提供了基础。而在另一方面，内部控制作为一个相对较新的课题，为首次系统地建立与实施内部控制的企业提供了新的挑战。
　　【要点提示】 COSO内部控制框架是内部控制发展史上的里程碑。COSO内部控制框架构成了美国《萨班斯——奥克斯利法案》关于内部控制评估内容的基础，也是中国内部控制框架制定的重要依据。COSO内部控制框架对企业管理者、审计师和其他人士非常重要，应熟悉该框架的内容。
　　典型例题:
　　【多选题】下列各项中，属于建立内部控制时应当符合的目标有（　）。
　　A.合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整
　　B.识别、评估和控制风险
　　C.提高经营效率和效果
　　D.促进企业实现发展战略
　　【答案】ACD
　　【解析】内部控制目标包括：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整；提高经营效率和效果；促进企业实现发展战略。选项B识别、评估和控制风险是方式、是手段，而不是内部控制的目标。

 

第二节　企业内部控制内容的五个要素

　　我国《内控规范》指出，企业建立与实施有效的内部控制，应当包括下列五个要素
　　（1）内部环境
　　（2）风险评估
　　（3）控制活动
　　（4）信息与沟通
　　（5）内部监督

　　一、内部环境 
　　（一）组织结构
　　组织结构能够为规划、执行、控制和监督活动提供框架，以实现企业整体目标。
　　企业在设计组织架构时应遵守四大原则：
　　
　　（1）建立规范的公司治理结构

股东（大）会	享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权
董事会	对股东（大）会负责、依法行使企业的经营决策权、并按股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持
监事会	对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责
经理层	负责组织实施股东（大）会、董事会决议事项、主持企业的生产经营管理工作

　　【注意】
　　企业在处理“三重一大”问题上，即
　　①重大决策；
　　②重大事项；
　　③重要人事任免；
　　④大额资金使用。应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。
　　（2）合理设置内部职能机构
　　合理设置内部职能包括在董事会下设立审计委员会和加强内部审计工作，保证内部审计机关设置、人员配备和工作的独立性。
　　【补充定义】内部审计：根据中国内部审计协会的解释，内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。内部审计的范围主要包括财务会计、管理会计和内部控制检查。

机构	职责
审计委员会	负责审查企业内部控制，监督内部控制的有效实施和内部控制的自我评价情况，协调内部控制及其他相关事宜等。 审计委员会负责人应具备相应的独立性、良好的职业操守和专业胜任能力
内部审计机关	需结合内部审计监督，对企业内部控制的有效性进行监督检查。 监督检查工作中发现任何内部控制缺陷，应按照企业内部审计工作程序进行报告。 如果发现的内部控制缺陷属于重大缺陷，机构有权直接向董事会及其审计委员会、监事会报告

　　（3）企业应当根据组织结构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保企业治理结构、内部职能机构设置和运行机制等符合现代企业制度要求。企业梳理治理结构，应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履行情况，以及董事会、监事会和经理层的运行效果。
　　（4）加强对子公司的监控，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重大事项。
　　（二）权力和责任的分配
　　权力的分配本质上是指按照工作描述确定责任，根据组织结构图形成责任。
　　常见问题：在组织机构的设置及书面说明和规定、未有体现不相容职务相互分离的要求；没有明确清晰的岗位说明书，职责划分不清晰；权力不适当下放等。
　　企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。
　　内部环境的强弱取决于各人员对其将负有多大责任的了解。
　　（三）管理哲学和经营风格与战略的发展
　　企业发展战略的重要风险：
　　缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。
　　发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。
　　针对以上风险的应对措施（第二号指引）：
　　1.要求企业在董事会下设立战略委员会，或指定相关机构负责发展战略管理工作，履行相应职责。
　　2.进行充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。
　　3.战略规划应根据企业的发展目标制定，明确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径。
　　4.在宏观环境发生重大变化时，企业应按照规定权限和程序调整发展战略。
　　5.要求董事会严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性。
　　（四）人力资源政策和实务
　　人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。
　　人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。
　　人力资源退出机制不当，可能导致企业面临法律诉讼或企业声誉受损。
　　人力资源政策和实务可在多方面实践：
　　（1）招聘和雇佣　　
　　（2）新员工的试用期和岗前培训制
　　（3）建立员工培训长效机制、提升员工素质
　　（4）绩效评估
　　（5）辞职、解除劳动合同、退休等
　　（五）企业文化与沟通
　　缺乏积极向上的企业文化，可能导致员工丧失对企业的信心和认同感，企业缺乏凝聚力和竞争力；
　　缺乏开拓创新、团队协作和风险意识，可能导致企业发展目标难以实现，影响可持续发展；
　　缺乏诚实守信的经营理念，可能导致舞弊事件的发生，造成企业损失，影响企业信誉；
　　如果在企业并购重组时，忽视企业间的文化差异和理念冲突，可能导致并购重组失败。
　　企业在建设文化环境时可考虑以下几方面：
　　（1）积极培育具有自身特色的企业文化
　　（2）重视并购重组后的企业文化建设
　　（3）要求高级管理人员在企业文化建设中发挥主导和垂范作用
　　（4）加强企业文化的宣传贯彻，有效沟通，共同遵守，融入生产经营全过程
　　（六）社会责任
　　安全生产措施不到位，责任不落实，可能导致企业发生安全事故。
　　产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。
　　环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业。
　　促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。
　　企业可通过完善以下业务层面以实现社会责任：
　　1.安全生产；
　　①建章建制，即用于监督管理控制
　　②加大在人力、物力、资金、技术等方面的投入
　　③加强安全教育
　　④实施预警报告及在重大生产安全事故时立刻启动应急机制
　　2.产品质量；
　　3.环境保护与资源节约；
　　4.促进就业，依法保护员工的合法权益；
　　5.重视产学研用结合、公益事业、慈善事业等。
　　典型例题:
　　【单选题】在我国的内部控制框架中，作为其他 要素基础的是（　）。
　　A.内部环境
　　B.风险评估
　　C.控制活动
　　D.监察
　　【答案】A
　　【解析】内部环境是企业实施内部控制的基础，其他内部控制因素的根基。
　　【多选题】下列属于内部环境建设内容的有（　）
　　A.授权审批　
　　B.信息传递
　　C.组织结构　
　　D.社会责任
　　【答案】CD
　　【解析】内部环境涉及组织结构、权力和责任的分配、管理哲学和经营风格与战略的发展、人力资源政策和实务、企业文化与沟通、社会责任等六大方面。

　　二、风险评估 
　　企业内部风险包括：
　　（1）人力资源因素；
　　（2）管理因素；
　　（3）自主创新因素；
　　（4）财务因素；
　　（5）安全环保因素。
　　内部控制架构中，风险评估程序：
　　（1）采用定性与定量相结合的方法，评估风险发生的可能性或频率，以及其为企业带来的影响程度；
　　（2）对识别的风险进行分析和排序。
　　典型例题:
　　【多选题】下列有关风险评估说法不正确的是（　）。
　　A.风险评估一定是正规的量化风险评估程序
　　B.风险评估是一个具有前瞻性的过程
　　C.管理层在内部控制的整体评估中位置较轻
　　D.风险评估首先是要评估风险发生的可能性或概率
　　【答案】ACD
　　【解析】风险评估可能是正规的量化风险评估程序，也可能是不太正规的方法；管理层是内部控制整体评估的重要一环；风险评估的第一步是估计风险的重要性。ACD不正确。
　　【单选题】风险评估的最佳时机应该是（　）。　　　
　　A.制定年度计划或定期计划的过程
　　B.具体执行过程中
　　C.年度预算编制时
　　D.业绩考核时
　　【答案】A
　　【解析】制定年度计划或定期计划的过程是风险评估的最佳时机。

　　三、控制活动 
　　控制活动包括多种政策和程序，有助于确保所需的行动得以有效且适时地执行，处理风险以实现企业目标所需要的行动得以实施。
　　控制活动可分为运营、财务报告及合规三个类别，但它们之间有时可能会出现重叠。
　　控制活动的类型：

命令式控制	为雇员提供指南
预防性控制	设计活动旨在防止发生不希望出现的事情
侦察式控制	在不希望出现的事情发生时能够加以识别
纠正性控制	当不希望出现的事情发生时，应识别程序的缺陷，并主动采取措施加以解决问题

　　常见的内部控制活动包括：
　　（一）不相容职务分离控制
　　要求企业全面系统性分析、梳理业务流程中的不相容职务，防止具有欺骗性的活动发生或未被查出。在有效的公司治理层面上，应防止一个人取得董事会的支配地位。在企业中如果某些职位尚未或无法分离，应由管理层进行详细的监察审核，作为一种补偿性控制。
　　（二）授权审批控制
　　企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
　　（三）会计系统控制
　　企业严格执行我国统一的会计准则制度、明确会计凭证、会计账簿和财务会计报告的处理程序。
　　（四）调节和复核
　　调节，是指雇员将不同数据连接在一起，识别并找出差异，并且在必要时采取纠正措施。
　　业绩复核，是指管理层将当前的业绩与预算、以前期间或其他基准相比较，以此反映目标的完成情况。应对其中的差异进行调查，以确定哪些纠正行动是必要的。
　　（五）财产保护控制
　　保护实物资产不被偷盗或未经许可而获得及被使用的措施和程序，包括建立财产日常管理制度和定期清查制度。
　　（六）预算控制
　　明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。
　　（七）营运分析控制
　　企业应建立营运分析制度，管理层可综合运用生产、投资、筹资、财务等方面信息，通过不同种类方法，对营运情况进行分析，发现存在的问题，及时查明及改进。
　　（八）绩效考评控制
　　对企业内部各责任单位和全体员工的绩效进行定期考核和客观评价，将考评结果作为确定员工薪酬以及晋升、评优等依据。
　　【补充资料】日常业务中不相容职务分离控制

分离原则	不相容职务
不得由一人办理货币资金业务的全过程	（1）会计职务与出纳职务分离，出纳人员不得兼任稽核、会计档案保管和收入、支出、费用、债权、债务账目的登记工作； （2）会计职务与审计职务分离； （3）支票保管职务与印章保管职务分离； （4）支票审核职务与支票签发职务分离，支票签发职务由出纳担任，其他会计人员不得兼任； （5）银行印鉴保管职务、企业财务章保管职务、人名章保管职务分离，不得由一人保管支付款项所需的全部印章
不得由同一部门或个人办理合同业务的全过程	（1）合同签署（或委托签署）职务与条款订立职务分离； （2）条款订立职务与法律顾问职务分离； （3）合同谈判职务与合同定价职务分离； （4）合同履行职务与收付款职务分离； （5）合同审计职务与上述职务分离
不得由同一部门或个人办理固定资产采购业务的全过程	（1）批准采购业务与采购经办职务分离； （2）询价定价职务与确定供应商职务分离； （3）采购职务与验收职务分离； （4）付款审批职务与付款执行职务分离； （5）采购职务、入库登记职务、会计记录职务分离
不得由同一部门或个人办理投资业务的全过程	（1）投资计划的编制职务与投资审批的职务分离； （2）投资业务的操作职务与会计记录职务分离； （3）有价证券的保管职务与会计记录职务分离； （4）投资股利、利息的经办职务与会计核算职务分离
直系亲属“回避”	（1）企业领导人的直系亲属不得担任本企业的会计机构负责人、会计主管职务； （2）会计机构负责人、会计主管人员的直系亲属不得在本企业会计机构中担任出纳职务； （3）纪委委员的直系亲属不得担任本企业或下属企业的主要领导人职务

　　典型例题：
　　【单选题】在我国内部控制框架中，控制活动的类别可分为（　）。
　　A.运营、财务报告及合规三个类别
　　B.运营、信息及合规三个类别
　　C.信息、财务报告及监察三个类别
　　D.运营、信息及监察三个类别
　　【答案】A
　　【解析】控制活动可分为运营、财务报告及合规三个类别。
　　【单选题】下列属于预防性控制的是（　）。
　　A.每月末给债务单位寄发对账单
　　B.为机加工人员制定操作业务规范守则
　　C.复核毛利率的合理性
　　D.如果没有付款，办理发货业务时，计算机系统会提示并记录，终止业务
　　【答案】D
　　【解析】选项B为命令式控制，命令式的控制可为雇员提供指南；选项D属于预防性控制，预防性控制旨在防止发生不希望出现的事情；选项A和C属于侦察式控制，侦察式控制旨在不希望出现的事情发生时能够加以识别；纠正性控制指当不希望出现的事情发生时，应识别程序的缺陷，并主动采取措施加以解决问题。
　　【单选题】某企业由于规模较小，人员紧张，因此存在一定程度的职务模糊，为了降低风险，公司经理对无法实现职务分离的岗位内容增强了监控，此为哪种控制类型（　）。
　　A.预防性控制　　
　　B.命令式控制
　　C.侦察式控制
　　D.补偿式控制
　　【答案】D
　　【解析】在有效的公司治理层面上，应防止一个人取得对董事会的支配地位。在企业中如果某些职位尚未或无法分离，应由管理层进行详细的监管审核，作为一种补偿性控制。
　　【单选题】甲公司财务部只有3名员工：1名财务经理，1名会计和1名出纳。甲公司下列日常资金运营管理的控制活动中，属于侦察式控制的是（　）。
　　A.出纳不能负责登记银行日记账
　　B.财务专用章、企业法人章分别由出纳和会计保管
　　C.财务经理虽然不负责编制任何会计凭证，但必须复核会计、出纳编制的全部会计凭证
　　D.财务经理复核由会计人员按月编制的银行存款余额调节表，并调查异常调节项目
　　【答案】D
　　【解析】本题考察侦察式控制，在不希望出现的事情发生时能够加以识别。选项A这句话本身就是错误的，出纳负责登记银行日记账；选项B和选项C均属于预防性控制；选项D属于侦察式控制。

　　四、信息与沟通【重点掌握】
　　信息与沟通是指在人员能够履行责任的方式及时间范围内，识别、取得和报告经营、财务及法律遵守的相关资讯的有效程序和系统。信息和沟通不仅包括最高层将与控制有关事宜重要性及个人担当的角色向下级传达，也包括向上级汇报重要信息的渠道以及与外部利益相关者保持有效沟通。
　　（一）信息
　　企业所需的信息通常包括内部信息和外部信息：
　　内部信息——会计信息、生产经营信息、资本运作信息、人员变动信息、技术创新信息、综合管理信息；
　　外部信息——政策法规信息、经济形势信息、监管要求信息、市场竞争信息、行业动态信息、客户信用信息、社会文化信息、科技进步信息。
　　信息系统提供运营、财务与合规的相关信息（包括内部产生及外部提供的信息），这些信息有助于运作和控制业务，也是作出精明的决策以及对外报告所必需的。
　　（二）沟通
　　有效的信息与沟通系统应具备以下特点：能够生成企业经营所需要的、关于财务、运营及法规遵守的报告，帮助作出精明的商业决策，以及对外发布可靠的报告。
　　信息与沟通系统能使得员工获得信息，且交流他们为实施、管理及控制运转情况所需的信息；能识别和传达相关信息，并且以员工能够有效履行职责的方式进行，使沟通在企业以全方位方式进行。此外，是信息与沟通系统确立了与外界各方的有效沟通方式。
　　典型例题:
　　【多选题】下列有关信息与沟通的说法正确的有（　）。
　　A.信息系统可以是正式的或非正式的
　　B.与客户、供应商、监管机构及雇员进行商讨，为识别风 险及商机提供有用的信息，这属于正式的信息系统
　　C.有效的沟通只须在企业高层内进行即可，无需向雇员传达清晰的信息，只需监督其履行职责即可
　　D.企业除了在内部需要进行全方位的沟通，还需与外界各方（比如股东、客户、供应商和监管机构）保持有效沟通
　　【答案】AD
　　【解析】信息系统有正式和非正式之分,与客户、供应商、监管机构及雇员进行商讨，这属于非正式的信息系统。有效的沟通必须在企业全方位内进行，也包括向雇员传达相关信息等。

　　五、内部监督【重点掌握】
　　（一）监督工作
　　内部监督可确保内部控制保持有效的运作，由适当的人员评估控制的设计及运作情况，以及采取适当的跟进行动。
　　内部监督分为日常监督和专项监督。
　　日常监督：企业对建立与实施内部控制情况进行常规、持续监督检查。
　　专项监督：在企业发展战略、组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化的情况下，对内部控制的某一方面或某些方面进行针对性的监督检查。
　　1.监督方法
　　内部监督控制的方法包括：
　　（1）绩效计量。
　　（2）对企业运营进行测试。
　　（3）为控制环境、风险评估、控制活动、信息及沟通，以及控制而制定的政策及程序，常常由硬性控制构成，而硬性控制是容易识别、评估及记录的。
　　2.记录
　　内部控制系统的文件记录，可能因企业的规模及复杂性等而有所不同。适量的文件记录能使评价变得更为有效，还有助于雇员了解系统如何运作以及他们所担当的角色，并使得在必要时修改系统变得更简单。
　　3.报告
　　所有可能影响企业实现目标的内部控制缺陷，均应向能采取必要行动的人员汇报。向适当人士提供有关内部控制的信息，对保持系统的有效性尤为重要。企业可订立规则，确定某一级别的人员做决策时所需的资料。
　　（二）自我评价
　　要使得内部控制系统有效，该系统必须能降低管理层已识别的业务风险。内部控制系统对于管理重大风险以实现业务目标发挥关键作用。
　　内部控制是否合适，因企业不同而有所差异。内部控制系统是企业不可或缺的一部分，并且是内部控制系统的重要因素。
　　【单选题】下列属于软性控制的是（　）。
　　A.风险评估程序　　　　　
　　B.绩效考核
　　C.公司治理结构要求　　　
　　D.价值观的传递
　　【答案】D
　　【解析】ABC都属于硬性控制。D属于软性控制。
　　【多选题】评估内部控制活动的方法包括（　）。
　　A.绩效计量
　　B.评估
　　C.对企业运营进行测试
　　D.评估硬性控制和软性控制
　　【答案】ACD
　　【解析】评估内部控制的方法包括：绩效计量、对企业运营进行测试、实施硬性控制和软性控制。
　　【多选题】企业下列各项活动中，属于内部控制活动的有（　）。
　　A.办公楼设置门禁系统
　　B.人力资源部门安排员工年度考核评价
　　C.员工如请事假，需向部门经理申请及获得批准
　　D.复核行政部门向贵州捐款建设希望小学是否符合预算
　　【答案】ABCD
　　【解析】选项A属于控制活动中的财产保护控制；选项B属于控制活动中的绩效考评控制；选项C属于控制活动中的授权审批批准；选项D属于控制活动中的调节与复核。

 

第三节　企业内部控制的应用

　　一、资金活动 
　　资金活动是指企业筹资、投资和资金运营等活动的总称。
　　资金活动可能面对的风险：
　　（1）筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机。
　　（2）投资决策失误，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下。
　　（3）资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余。
　　（4）资金活动管控不严，可能导致资金被挪用、侵占、抽逃或遭受欺诈。
　　典型例题
　　【多选题】筹资方案必须进行可行性论证，可实施的控制性测试包括（　）。
　　A.战略性评估　　
　　B.经济性评估
　　C.风险性评估　　　
　　D.分级授权审批测试
　　【答案】ABC
　　【解析】战略性评估、经济性评估和风险性评估是筹资方案可行性论证需要考虑的要素。

　　二、采购业务 
　　风险：
　　采购计划安排不合理，市场变化趋势预测不准确，造成库存短缺或积压，而导致企业生产停滞或资源浪费；
　　供应商选择不当，采购方式不合理，招投标或定价机制不科学，授权审批不规范，而导致采购物资质次价高，出现舞弊或遭受欺诈；
　　采购验收不规范，付款审核不严，而导致采购物资、资金损失或信用受损。
　　关键的内部控制：
　　不相容职务分离控制：（补充内容）
　　请购与审批；
　　供应商的选择与审批；
　　采购合同协议的拟订、审核与审批；
　　采购、验收与相关记录；
　　付款的申请、审批与执行。
　　典型例题
　　【多选题】采购环节涉及的关键控制点包括（　）。
　　A.供应商选择　　　　　　　　
　　B.验收
　　C.请购　　　　　　　　　　　
　　D.付款
　　【答案】ABCD
　　【解析】采购控制包括购买和付款两个环节，其中购买环节包括了采购计划、请购、供应商选择和验收。
　　【多选题】甲公司管理层为了改进完善内部控制，正在重新检查本公司现有的职责、岗位设置的合理性。下列各项中，属于兼任不相容岗位的情况有（　）。
　　A.财务部主任同时担任采购部的审批主管
　　B.记录存货明细账的会计人员同时负责存货的实物管理
　　C.行政部经理兼任工会主席
　　D.销售部经理同时负责客户信用的调查评估与销售合同的审批签订
　　【答案】ABD
　　【解析】本题考核内部控制-控制活动-不相容职务分离控制。行政部经理可以担任工会主席，ABD选项中的职务均为不相容职务。

　　三、资产管理 
　　风险：
　　因存货积压或短缺或固定资产更新改造不够、使用效能低下、维护不当、产能过剩而导致的价值贬损及有关风险；
　　或是因无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患而导致企业法律纠纷、缺乏可持续发展能力。
　　典型例题
　　【多选题】存货管控与固定资产管控不相一致的管理流程有（　）。
　　A.验收
　　B.盘点清查
　　C.领用发出
　　D.运行维护
　　【答案】CD
　　【解析】验收和盘点清查是存货与固定资产共有的控制程序；领用发出属于存货控制环节，运行维护属于固定资产控制环节。

　　四、销售业务 
　　风险：
　　（1）销售政策和策略不当，市场预测不准确，销售渠道管理不当；
　　（2）客户信用管理不到位，结算方式选择不当，账款回收不力；
　　（3）销售过程存在舞弊行为。
　　关键的内部控制：
　　不相容职务分离控制：
　　客户信用管理、与销售合同协议的审批、签订销售合同协议的审批、签订与办理发货销售货款的确认、回收与相关会计记录、销售退回货品的验收、处置与相关会计记录、销售业务经办与发票开具、管理坏账准备的计提与审批、坏账的核销与审批
　　典型例题
　　【单选题】下列说法中错误的是（　）。
　　A.销售计划不合理可导致产品结构和生产安排不合理
　　B.账款回收不力必然属于客户管理不当造成的后果
　　C.销售业务管控包括收款控制环节
　　D.规范销售环节不利于企业扩大市场份额
　　【答案】B
　　【解析】结算方式选择不当也可以引发账款无法收回。
　　【多选题】下列各项甲公司内部控制的安排中，不能有效预防坏账损失发生的内部控制有 （　）。
　　A.在与客户谈判过程中，授权甲公司业务员将销售价格尽量降低到客户最希望的程度，以降低客户因交易金额过大而发生拒付款项的可能性
　　B.在与新客户建立业务关系前，甲公司市场部必须系统调查新客户的资信状况
　　C.在销售合同中明确规定预收账款在整个交易金额中的比例，并要求客户对未付款项提供担保
　　D.甲公司法律部必须在欠款客户破产清算过程中及时申报其债权，并要求合理清偿
　　【答案】AD
　　【解析】本题考查企业内部控制的应用中的销售业务。选项BC不能起到约束作用。

　　五、研究与开发

关键控制点	控制目标及控制措施
1.控制目标及控制措施	建立完善的立项申请程序，展开可行性研究。
2.审批	审批通过，重点关注研究项目对促进企业发展的必要性、技术先进性以及成果转化的可行性。重大的研究项目应当报经董事会或类似机构集体审议。
3.过程管理	落实岗位责任制，监督进程。
4.签订合同	与合作方／外包方签订合同，约定明确双方投资、分工、权利义务、研究成果产权归属、研究进度和质量标准等内容。
5.成果验收	确定是否申请专利，或作为非专利技术、商业秘密等。
6.研究人员管理	界定核心研究人员名单和工作范围，签署保密协议；签订劳动合同时，应当特别约定研究成果归属、离职条件、离职移交程序、离职后保密义务、离职后竞业限制年限及违约责任等。
7.研发后评估	建立研究开发活动评估机制。

　　六、工程项目 
　　风险：
　　如果工程立项缺乏可行性研究或者可行性研究流于形式，决策不当，盲目上马，可能导致整个项目失败；
　　如果项目招标“暗箱操作”，存在商业贿赂将导致因中标人在实质上未能承包项目而影响项目进度或质量，以及使企业涉及违法的商业活动；
　　如果工程造价信息不对称，技术方案不落实，预算脱离实际，将导致项目投资失控；
　　质量未达标而影响项目的预期效益；
　　竣工验收不规范，最终把关不严。
　　关键的内部控制：
　　（1）不相容职务分离控制
　　可行性研究与决策；
　　概预算编制与审核；
　　项目实施与价款支付；
　　竣工决算与审计。
　　（2）业务流程
　　

　　七、担保业务 
　　风险：
　　企业对担保申请人的资信状况调查不深，审批不严或越权审批而导致企业担保决策失误或遭受法律责任；
　　对被担保人在担保期内出现财务困难或经营陷入困境等状况监控不力，应对措施不当而导致企业承担法律责任；
　　被担保人和提供担保人在担保过程中存在舞弊行为而导致经办审批等相关人员涉案或企业的利益受损。
　　关键的内部控制
　　1.不相容职务分离控制
　　担保业务的评估与审批
　　担保业务的审批与执行
　　担保业务的执行与核对
　　担保业务相关财产保管和担保业务记录
　　2.业务流程
　　
　　典型例题
　　【多选题】下列说法中错误的是（　）。
　　A.企业在担保业务中，只能以担保申请人的身份出现
　　B.被担保人的某种不适当行为可能形成对担保人的经济责任，但无需承担法律责任
　　C.担保业务流程具体包括：受理申请、调查评估、签订合同、日常监控等环节
　　D.对担保人进行跟踪和监督，不符合监控的基本措施
　　【正确答案】ABCD
　　【答案解析】企业也可以作为被担保人；被担保人可能承担法律责任；担保业务流程必须有审批环节；企业可以定期监测被担保企业，包括实施跟踪和监督，确保合同有效履行。

　　八、业务外包 
　　——《企业内部控制应用指引第13号-业务外包》
　　风险：
　　外包范围和价格确定不合理；　
　　承包方选择不当、业务外包监控不严、服务质量低劣；　
　　或是业务外包存在商业贿赂等舞弊行为。

　　九、财务报告 
　　风险：　　
　　企业财务报告的编制违反会计法律法规和国家统一的会计准则制度而导致企业承担法律责任和声誉受损；　　
　　企业提供虚假财务报告，误导财务报告使用者，造成决策失误，干扰市场秩序；　　
　　企业不能有效利用财务报告，难以及时发现企业经营管理中的问题，可能导致企业财务和经营风险失控。
　　典型例题
　　【多选题】财务报告控制中正确的说法是（　）。
　　A.控制决策风险
　　B.减少管理问题
　　C.可降低承担法律责任的风险
　　D.对企业声誉没有影响
　　【正确答案】ABC
　　【答案解析】财务报告控制对企业有影响，选项D错误。

　　十、全面预算及合同管理 
　　（一）全面预算
　　全面预算是企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。
　　关键风险包括：
　　（1）不编制预算或预算不健全而导致企业缺乏约束，盲目经营；
　　（2）预算目标不合理、编制不科学；
　　（3）预算缺乏刚性、执行不力、考核不严、流于形式。
　　对策包括：
　　（1）设立预算管理委员会履行全面预算管理职责；
　　（2）明确全面预算管理工作机构。
　　（二）合同管理
　　风险：　　
　　如果企业未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈、合同未全面履行或监控不当，将导致企业的合法权益受到侵害。如果合同纠纷处理不当，将导致企业利益、信誉或形象受到损害。
　　关键的内部控制：　　
　　业务流程：合同管理从大方面可以划分为合同订立阶段和合同履行阶段。

 

第四节　企业内部控制评价的程序

　　一、内部控制评价的程序 
　　（一）制订评价控制方案
　　企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。　　
　　该评价部门或机构应具备以下条件：
　　（1）能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；
　　（2）具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；
　　（3）与企业其他职能机构就监督与评价内部控制系统方面应当保持协凋一致，在工作中相互配合、相互制约；
　　（4）能够得到企业董事会和经理层的支持，通常直接接受董事会及其审计委员会的领导和监事会的监督，有足够的权威性来保证内部控制评价工作的顺利开展。
　　（二）组成评价工作组
　　评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。
　　（三）实施评价工作与测试
　　1.了解公司层面基本情况；
　　2.了解各业务层面的主要流程及风险。
　　3.确定检查评价范围和重点
　　4.开展现场检查测试
　　评价工作组可综合运用不同评价方法，搜集被评价单位内部控制设计与运行是否有效的证据，按照要求填写工作底稿、记录有关测试结果。　　
　　如果发现内部控制出现缺陷，则需与管理层沟通，对有关缺陷进行认定并进行记录。

评价方法	做法	适用情况
个别访谈	个别访谈企业或被评价单位的不同人员，了解公司内部控制的现状与运行	用于企业层面与业务层面评价的阶段
调查问卷	通过扩大对象范围，如企业中的全体员工搜集简单结果	多用于企业层面的评价（内部环境）
专题讨论	集合企业中有关专业人员就内部控制执行情况或控制问题进行分析和讨论	常用于控制活动评价

　　（四）汇总评价结果
　　评价工作组人员应当在其工作底稿中，记录评价所实施的程序及有关结果。
　　企业内部控制评价工作组应当建立评价质量交叉复核制度，有关评价报告应由评价工作组负责人严格审核确认，与被评价单位进行通报，在提交内部控制评价部门或机构前得到被评价单位相关责任人签字确认。
　　企业内部控制评价部门或机构应编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。
　　典型例题
　　【多选题】下列说法中错误的是（　）。
　　A.固有风险是某项业务风险发生的可能性
　　B.内部控制的存在能够减少或者消除固有风险
　　C.穿行测试主要是通过抽样检验公司业务是否符合内控要求的方法
　　D.对于关键业务或固有风险的充分检验和分析，可以为防止重大错误的出现提供充分证据
　　【正确答案】ACD
　　【答案解析】固有风险必须是假定不存在内控的情况下；穿行测试必须强调追踪交易的信息处理过程；风险监控只能部分合理保证而不能充分保证。

　　二、内部控制缺陷的认定 
　　（一）内部控制缺陷分类
　　1.按照内部缺陷本质分类
　　设计缺陷：企业缺少为实现控制目标的必须控制，或现存的控制并不合理及未能满足控制目标。
　　运行缺陷：设计合理及有效的内部控制，但在运作上没有被正确地执行。
　　2.按照内部控制严重程度分类
　　（1）重大缺陷：一个或多个控制缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。
　　（2）重要缺陷：一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大，需引起管理层关注。
　　（3）一般缺陷：除重大缺陷和重要缺陷外的其他缺陷。
　　（二）内部控制认定程序与整改
　　
　　图　内部控制的认定
　　整改方案应根据缺陷的不同类别制定不同的整改方式。

内控设计缺陷：企业需在已有的内控管理制度体系中补充相关规定或修改原有规定，按照企业既定的管理制度报批程序对做出的补充或修改进行审批。 内控执行缺陷：企业需加强内控的执行力度，要求控制执行人严格按照相关规定执行。

重大缺陷和重要缺陷：整改方案应向董事会（审计委员会）、监事会或经理层报告并审定。如果出现不合适向经理层报告的情形，例如存在与管理层舞弊相关的内部控制缺陷，内部控制评价组应当直接向董事会（审计委员会）、监事会报告。重要缺陷并不影响企业内部控制的整体有效性，但是应当引起董事会和管理层的重视。 一般缺陷：可以与企业管理层报告，并视情况考虑是否需要向董事会（审计委员会）、监事会报告。

　　典型例题
　　【单选题】未建立定期的现金盘点程序具体属于的内控缺陷类别是（　）。
　　A.设计缺陷　　
　　B.运行缺陷
　　C.重大缺陷　　
　　D.一般缺陷
　　【正确答案】A　
　　【答案解析】该程序属于企业内部控制的必要内容，公司却没有设定该制度。因此属于设计缺陷。

　　三、内部控制评价报告 
　　企业应根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，及时编制内部控制评价报告。内部评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。
　　企业应该以12月31日作为年度内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告。
　　典型例题
　　【单选题】内部控制评价报告要求中正确的是（　）。
　　A.12月31日是企业内部控制评价报告的报出日
　　B.内部控制评价报告必须与公司年报一同由相关会计师事务所出具
　　C.内部控制基准日后发生的事项不再调整
　　D.内部控制报告的真实有效性由全体董事会成员负责
　　【正确答案】D
　　【答案解析】12月31日是基准日；评价报告是企业自己提供的，且董事会负责；内控评价报告报出日与基准日之间发生的事项需要调整。

 

第五节　企业内部控制的审计

　　一、内部控制的审计要求 
　　内部控制作为企业中一项重要的管理活动，促进提高经营的效率效果，实现企业的发展战略。我国在2010年4月发布的《内控规范》中除了要求企业为其内部控制的设计与运行情况进行全面的评价、披露年度自我评价报告外，还要求上市公司及非上市大中型企业聘请符合资格的会计师事务所，根据规范及配套办法和相关执业准则，对企业财务报告内部控制的有效性进行审计并出具审计报告。

　　二、注册会计师的责任与角色 
　　内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。
　　《企业内部控制审计指引》中重申建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。注册会计师的责任是在实施审计工作的基础上，获取充分、适当的证据，对内控的有效性发表意见并提供合理保证。
　　注册会计师应按照《审计指引》以及其他有关的审计准则的要求，计划和实施审计工作，评价控制缺陷，从而整合其对内控有效性的意见。并对其有效性发表审计意见，如果在审计过程中注意到的非财务报告内部控制的重大缺陷，将会在其内控审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

 

第六节　审计委员会在企业中的监察角色

　　一、审计委员会与内部控制
　　《内控规范》要求企业在董事会下设立审计委员会，来负责审查企业内部控制，监督内控的有效实施和自我评价情况，协调内部控制及其他的相关事宜等。
　　审计委员会的组成应全部由独立、非行政董事组成，他们至少拥有相关的财务经验。审计委员会的职能是监督、评估和复核企业内的其他部门和系统。
　　董事会关于内部控制的主要目标会授权给审计委员会负责。在一般情况下，审计委员会负责整个风险的管理过程，包括确保内部控制系统是充分且有效的。

　　二、审计委员会履行职责的方式 
　　董事会应决定委派给审计委员会的责任。审计委员会应满足其职责的要求。建议审计委员会每年至少举行三次会议，并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次，讨论与审计相关的事宜，但无须管理层出席。审计委员会主席可能特别希望与其他关键人员（比如董事会主席、首席执行官、财务总监、高级审计合伙人和内部审计主管）进行私下会面。审计委员会成员之间的不同意见如无法内部调解，应提请董事会解决。
　　典型例题：
　　【多选题】审计委员会履行职责的方式包括（　）。
　　A.每年举行会议
　　B.每年与外聘及内部审计师会面
　　C.审计委员会主席可以与其他关键人员（如董事会主席、首席执行官、财务总监、高级审计合伙人和内部审计主管）进行私下会面
　　D.应每年对其权限及其有效性进行复核
　　【正确答案】ABCD
　　【答案解析】上述各项都可以作为审计委员会履行职责的方式。
　　【多选题】甲公司是一家非上市大型企业，为了提前实施《企业内部控制基本规范》，正在考虑设立审计委员会。下列各项关于甲公司设立审计委员会的具体方案内容中，正确的有（　）。
　　A.在董事会下设立审计委员会
　　B.审计委员会的主要活动之一是核查对外报告规定的遵守情况
　　C.确保充分有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作
　　D.审计委员会应每两年对其权限及其有效性进行复核，并就必要的人员变更向董事会报告
　　【正确答案】ABC
　　【答案解析】本题考核的是审计委员会的监察角色。 审计委员会每年对其权限及其有效性进行复核，所以D选项错误。选项ABC属于审计委员会的内容。

　　三、审计委员会与合规
　　审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保企业履行了对外报告义务。审计委员会应结合企业财务报表的编制情况，对重大的财务报告事项和判断进行复核。管理层的责任是编制财务报表，审计师的责任是编制审计计划和执行审计。
　　审计委员会应倾听审计师关于这些问题的看法。如果对拟采用的财务报告的任何方面不满意，审计委员会应告知董事会。审计委员会还应对财务报表后所附的与财务有关的信息（比如，运营和财务复核信息及公司治理部分关于审计和风险管理的陈述）进行复核。

　　四、审计委员会与内部审计 
　　确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作，监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性，核查内部审计的有效性，并批准对内部审计主管的任命和解聘，还应确保内部审计部门能直接与董事会主席接触，并负有向审计委员会说明的责任，确保内部审计部门提出的建议已执行。
　　它将在四个主要方面对内部审计进行复核，即组织中的地位、职能范围、技术才能和专业应尽义务。
　　内部审计报告
　　内部审计完成后，最后一项内容即编制审计报告。虽然审计报告没有规定格式，但是，应包含若干不同的部分。报告长度与业务性质有很大关系。通常审计报告包括工作目标、审计师已实施的程序概述、审计意见及建议。
　　审计工作的目标为报告使用者说明了复核的目的。审计师已实施的程序概述，说明了审计师如何收集和整理能够支持其所发表的意见及所提出的建议和证据。审计意见对接受复核的内部控制的有效性进行总结。最后，审计师的建议突出说明了控制上的不足之处，并提出改进措施的建议。
　　内部审计师的职能范围
　　内部审计的目的有若干个，包括评价会计、运营及行政控制的可靠性、充分性及有效性；确保企业的内部控制能使交易得以迅速及正确地记录，正确地保护资产；确定公司是否遵循了法律法规及其自身制定的政策；管理层是否采取了适当的步骤，来应对控制的不足。
　　越来越多的内部审计师为企业增加新产品或服务提供建设性的商业建议。他们还帮助企业制定及修订新的政策、程序、方法。而且，内部审计师常常在兼并、收购和转型活动中发挥作用。

　　五、审计委员会与外聘审计师
　　审计委员会应承担就任命、重新任命或解聘、外聘审计师向董事会提出建议的主要责任，监督新审计师的选择过程，批准外聘审计师的业务条款及审计服务的报酬。审计委员会应复核审计师的审计工作范畴，并确信该审计范畴是充分的，并确保于每次年审开始之时已为审计制订了适当的计划。审计委员会执行审计工作完成后的复核。

　　六、向股东报告内部控制
　　企业董事会应维持完善的内部控制系统，以保护股东投资及公司财产，并将企业业绩及内部控制情况告知股东。
　　股东是企业的所有者，因此，他们有权知悉内部控制系统是否充分，是否足以保障他们的投资。董事会如要为股东提供其所需的保证，则应对集团内部控制系统的有效性展开复核，并至少每年向股东汇报一次。
　　为了向股东汇报而执行的复核应涉及所有重大控制，包括财务、运营和合规控制以及风险管理系统。此外，年报亦应为股东提供有关审计委员会的工作信息。审计委员会主席应出席年度股东大会，并回答股东提出的关于审计委员会工作方面的问题。
　　典型例题：
　　【多选题】通常内部审计报告包括（　）。
　　A.工作目标
　　B.审计师已实施的程序概括
　　C.审计意见及建议
　　D.遵循的相关法规
　　【正确答案】ABC
　　【答案解析】通常审计报告包括工作目标、审计师已实施的程序概述、审计意见及建议。
　　【多选题】审计委员会对内部审计进行复核涉及的方面（　）。
　　A.内部审计在组织中的地位
　　B.内部审计的职能范围
　　C.内部审计师的技术才能
　　D.内部审计师的专业应尽义务
　　【正确答案】ABCD
　　【答案解析】审计委员会在四个方面对内部审计进行复核，即内部审计在组织中的地位、职能范围、技术才能和专业应尽义务。
　　【多选题】下列各项中，属于审计委员会的职责有（　）。
　　A.批准外聘会计师事务所的业务条款及审计服务的报酬
　　B.监察和评估内部审计职能在企业整体风险管理系统中的有效性
　　C.对重大的财务报告事项和判断进行复核
　　D.在内部审计完成后，依据有关工作目标、已实施审计程序、意见及建议编制审计报告
　　【正确答案】ABC
　　【答案解析】审计委员会应结合企业财务报表的编制情况，对重大的财务报告事项和判断进行复核。管理层的责任是编制财务报表，审计师的责任是编制审计计划和执行审计。审计委员会不负责编制审计报告。因此D是错误的。

 

第七节　内部控制与公司治理

　　一、企业中的代理问题
　　对一些家族控制的公司来说，随着业务的日益扩张，它们可能缺乏有效管理公司所需要的各种技能，以使家族回报未能实现最大化。因此，这些公司可能需要家族以外的管理专家代为管理。同样的，一些中小型企业随着公司发展，它们可能需要寻求外部资本而放弃一部分的所有权。这情形可能意味着企业的控制权将从企业家转移到职业管理者手中，公司的所有权也可能分散到成千上万、从不过问公司的日常管理的股东手中。以上的变化促使管理者作为企业中决策制定专家，是企业所有者的代理。企业的所有者希望管理者运用决策技能运作公司，使公司股东的回报最大化。
　　管理者接受委托作为决策专家，为了获得报酬而为企业的所有者承担制定决策的责任时，代理关系就会形成。这种代理关系可以直接影响企业战略的实施。当管理者制定决策所追求的目标与委托人的目标相冲突时，代理问题就会出现。因此，避免管理利益在企业中占主导地位，实施有效的治理机制及良好治理将使企业的战略更好地反映股东的利益。

　　二、公司治理制度的概念
　　公司治理是用来管理利益相关者之间的关系，决定并控制企业战略方向和业绩的一套机制。
　　公司治理的核心是寻求各种方法确保有效地制定战略决策，管理潜在利益冲突的各方之间秩序的一种方式。同时，它在合法、合理、可持续性的基础上实现股东价值最大化，同时确保公平对待每一个利益相关者，即企业的客户、员工、投资者、供应方合作伙伴、土地管理部门和社区等。
　　公司治理反映了企业的文化、政策、如何处理利益相关者之间的关系及其价值观。

　　三、公司治理的基本原则
　　公司治理是一个多面向的主题。公司治理中有一个非常重要的部分是面对责任、受托责任、对股东和其他人资料披露，审计及控制机制。有效的公司治理原则主要包括：
　　1.建立完善的组织结构；
　　2.明确董事会的角色和责任；
　　3.提倡正直及道德行为；
　　4.维护财务报告的诚信及外部审计的独立性；
　　5.及时披露信息和提高透明度；
　　6.鼓励建立内部审计部门；
　　7.尊重股东的权利；
　　8.确认利益相关者的合法权益；
　　9.鼓励提升业绩；
　　10.公平的薪酬和责任。
　　典型例题：
　　【单选题】非执行董事是指非执行董事是董事会的正式成员，有权利也有责任为企业的战略成功做出贡献，从而保护股东的利益，体现的是非执行董事的（　）。
　　A.战略角色
　　B.监督或绩效角色
　　C.风险角色
　　D.人事管理角色
　　【正确答案】A
　　【答案解析】战略角色是指非执行董事是董事会的正式成员，因此有权利也有责任为企业的战略成功做出贡献，从而保护股东的利益；监督或绩效角色是指非执行董事应当使执行董事对已制定的决策和企业业绩承担责任；风险角色是指非执行董事应当确保企业设有充分的内部控制系统和风险管理系统；人事管理角色是指非执行董事应对董事会执行成员管理的有关责任进行监督。

　　小结: 
　　内部控制是公司风险管理的重要组成部分。内部控制是指企业为确保实现企业目标而实施的程序和政策。
　　本讲座共分七部分。第一部分介绍了内部控制的不同定义，阐述了内部控制的演变和发展过程；第二部分介绍了内部控制的五个要素：内部环境、风险评估、控制活动、信息与沟通、内部监督；第三部分企业内部控制的应用，介绍的有关业务流程和控制手段；第四部分分析了企业内部控制评价的程序及内部控制缺陷的认定；第五部分介绍了内部控制的审计；第六部分分析了审计委员会在内部控制中的监察角色；第七部分讲述了内部控制与公司治理。其中，内部控制的五个要素、企业内部控制的应用是重点。

　　案例分析——万科内部控制审计报告
　　按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了万科企业股份有限公司（以下简称“贵公司”）2011年12月31日的财务报告内部控制的有效性。
　　一、企业对内部控制的责任
　　按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定，建立健全和有效实施内部控制，并评价其有效性是贵公司董事会的责任。
　　二、注册会计师的责任
　　我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。
　　三、内部控制的固有局限性
　　内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。
　　四、财务报告内部控制审计意见
　　我们认为，贵公司于2011年12月31日按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
　　附：万科内部控制审计报告 主 要 内 容
　　一、综述
　　二、内部环境
　　三、风险评估
　　四、控制活动
　　五、信息与沟通
　　六、内部监督
　　七、重点控制活动中的问题及整改计划
　　八、内部控制自我评价结论
　　一、 综述
　　在董事会、管理层及全体员工的持续努力下，本公司已经建立起一套比较完整且运行有效的内部控制体系，从公司层面到各业务流程层面均建立了系统的内部控制及必要的内部监督机制，为本公司经营管理的合法合规、资产安全、财务报告及相关信息的真实、完整提供了合理保障。
　　2011年度，本公司参照财政部、中国证监会等五部委联合发布的《企业内部控制基本规范》及《企业内部控制应用指引》、《企业内部控制评价指引》、深圳证券交易所《上市公司内部控制指引》等相关规定，坚持以风险导向为原则，结合本公司的经营管理实际状况，对公司的内部控制体系进行持续的改进及优化，以适应不断变化的外部环境及内部管理的要求。
　　公司进一步加强覆盖总部、各一线公司及各业务部门的三级自我评估体系建设，持续组织总部各专业部门及各一线公司对内控设计及执行情况进行系统的自我评价，评价内容涵盖内部环境、风险评估、控制活动、信息与沟通、内部监督等要素的具体要求，同时通过风险检查、内部审计、监事巡查等方式对公司内部控制的设计及运行的效率、效果进行独立评价，具体评价结果阐述如下。
　　二、内部环境
　　1.治理结构
　　公司按照《公司法》、《证券法》等法律、行政法规、部门规章的要求，建立了规范的公司治理结构，制定了符合公司发展的各项规则和制度，明确决策、执行、监督等方面的职责权限，形成了科学有效的职责分工和制衡机制。股东大会、董事会、监事会分别按其职责行使决策权、执行权和监督权。股东大会享有法律法规和公司章程规定的合法权利，依法行使公司经营方针、筹资、投资、利润分配等重大事项的决定权。
　　董事会对股东大会负责，依法行使企业的经营决策权。董事会建立了审计、薪酬与提名、投资与决策三个专业委员会，提高董事会运作效率。董事会11名董事中，有4名独立董事。独立董事担任各个专业委员会的召集人，涉及专业的事项首先要经过专业委员会通过然后才提交董事会审议，以利于独立董事更好地发挥作用。监事会对股东大会负责，除了通常的对公司财务和高管履职情况进行检查监督外，还通过组织对一线公司的巡视，加强对各一线公司业务监督。管理层负责组织实施股东大会、董事会决议事项，主持企业日常经营管理工作。
　　公司坚持与第一大股东及其关联企业在业务、人员、资产、机构及财务等方面完全分开，保证了公司具有独立完整的业务及自主经营能力。
　　2.机构设置及权责分配
　　公司结合自身业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。
　　董事会负责内部控制的建立健全和有效实施。董事会下设立审计委员会，审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，指导及协调内部审计及其他相关事宜等。监事会对董事会建立与实施内部控制进行监督。管理层负责组织领导企业内部控制的日常运行。
　　公司在内控责任方面明确各一线公司第一负责人为内控第一负责人，落实各一线公司的内控责任，在总部统一的管理框架下，能动地制定内控工作计划并监督落实。总部及一线公司持续进行内控宣传培训工作，提升各级员工的内控意识、知识和技能。
　　公司总部设立财务与内控管理部具体负责组织协调内部控制的建立、实施及完善等日常工作，通过梳理业务流程、编制内部控制评估表、内控调查表、调查问卷、专项研讨会等，组织总部、各一线公司、各业务部门进行自我评估及定期检查，推进内控体系的建立健全。总部各专业部门及各一线公司均设有内控专员等相关内控管理岗位，负责本单位内部控制的日常管理工作。
　　3.内部审计
　　公司审计监察部负责内部审计及内部监察工作，通过开展综合审计、专项审计或专项调查等业务，评价内部控制设计和执行的效率与效果，对公司内部控制设计及运行的有效性进行监督检查，促进公司内控工作质量的持续改善与提高。对在审计或调查中发现的内部控制缺陷，依据缺陷性质按照既定的汇报程序向监事会、审计委员会或管理层报告，并督促相关部门采取积极措施予以改进和优化。
　　4.人力资源政策
　　公司制定和实施有利于企业可持续发展的人力资源政策，将职业道德和专业能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。
　　《万科职员手册》明确了“以德为先”原则，是否具备良好的职业道德，是公司判断人才的首要标准。人力资源部定期进行专业人员的专业化考试，培养专业人员全面的知识和技能。每年人力资源部制定相关培训计划，组织具体培训活动。
　　为进一步完善职业道德风险防范体系，公司设立了“万科阳光网”作为举报职务舞弊的专门网站，用于宣传万科的反舞弊政策，收集各类举报信息，预防和发现职务舞弊。公司还建立了全体员工的潜在利益冲突申报平台，发布了《职员职务行为准则》、《员工内部购房制度》等制度，并定期对员工购置万科物业的情况进行公示；公司制定了关键岗位员工强制休假制度，以加强员工的自律及预防舞弊行为的发生。
　　5.企业文化
　　公司秉承“创造健康丰盛的人生”的核心价值观，倡导“客户是我们永远的伙伴”、“人才是万科的资本”、“阳光照亮的体制”及“持续的增长和领跑”等价值理念，专注于为客户提供优质的生活空间和服务，充分尊重人才，追求开放透明的体制和公平的回报，积极促进公司业绩的持续增长和市场地位的提升，推动公司向绿色企业转型，在投资者、客户、员工等各方面，实现产品和服务的均好发展。
　　公司高度重视企业文化的宣传和推广，每年组织全公司范围内的“目标与行动”专题活动，由公司管理层进行公司目标和价值观的宣讲，并要求所有员工签署受训确认书。在任用和选拔优秀人才时，一贯坚持“德才兼备、以德为先”的原则，把持续培养专业化、富有激情和创造力的职业经理队伍作为公司发展的一项重要使命。
　　三、风险评估
　　为促进公司持续、健康、稳定发展，实现经营目标，公司根据既定的发展策略，结合不同发展阶段和业务拓展情况，全面系统持续地收集相关信息，及时地进行风险评估，动态进行风险识别和风险分析，并相应调整风险应对策略。
　　公司由相关部门负责对经济形势、产业政策、市场竞争、资源供给等外部风险因素以及财务状况、资金状况、资产管理、运营管理等内部风险因素进行收集研究，并采用定量及定性相结合的方法进行风险分析及评估，为管理层制订风险应对策略提供依据。
　　2011年，面对严厉的宏观调控政策、严峻的市场形势及各种新的挑战，公司着重于提升专业能力和管理效率，致力改善经营质量，促进公司发展由规模速度型向质量效益型转变。报告期内，公司坚持稳健经营策略，发挥“战略纵深”优势，综合运用各种渠道，以合理的价格获取优质土地资源，“量出为入”进行存货管理。与此同时，公司严格控制成本，积极开展成本对标，提高集中采购比例，不断深入推动成本优化；加强费用预算管理和监督，降低费用水平；并积极拓展融资渠道，应对可能出现的风险，保障各城市和区域的均衡发展，持续提升为股东创造价值的能力。
　　四、控制活动
　　本公司的主要控制措施包括：
　　1.不相容职务分离控制
　　公司在岗位设置前会对各业务流程中所涉及的不相容职务进行分析、梳理，考虑到不相容职务分离控制要求，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。
　　2.授权审批控制
　　公司各项需审批业务有明确的审批权限及流程，明确各岗位办理业务和事项权限范围、审批程序和相应责任。公司及各一线公司的日常审批业务通过在信息化平台上进行自动控制以保证授权审批控制的效率和效果。
　　3.会计系统控制
　　公司严格遵照国家统一的会计准则和会计制度，建立了规范的会计工作秩序，制定了《万科集团会计管理及核算规范》及各项具体业务核算制度，加强公司会计管理，提高会计工作的质量和水平。与此同时，公司通过不断加强财务信息系统的建设和完善，财务核算工作全面实现信息化，保证会计信息及资料的真实、完整。
　　4.财产保护控制
　　公司建立了财产日常管理制度和定期清查制度，通过设立台账对各项实物资产进行记录、管理，坚持采取定期盘点以及账实核对等措施，保障公司财产安全。
　　5.预算控制
　　公司通过编制营运计划及成本费用预算等实施预算管理控制，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，并通过对营运计划的动态管理强化预算约束，评估预算的执行效果。
　　6.运营分析控制
　　公司建立了运营情况分析制度，并通过运营管理平台，实现了对公司运营的信息化管理。公司管理层通过月度经营例会、季度经营例会、年度经营例会、总裁办公会及其他专项会议等形式，定期不定期开展运营情况分析，及时发现潜在的风险并及时调整公司经营策略。
　　7.绩效考评控制
　　公司制定了《万科集团绩效考核管理办法》以明确规范绩效考核工作，坚持客观公正、规范透明、绩效导向原则，按期组织季度考核、年度考核，使绩效考核结果能为薪酬分配、优才甄选与培养、团队优化、薪金福利调整等提供决策依据。
　　公司将上述控制措施在下列主要业务活动中综合运用，对各种业务及事项实施有效控制，促进内部控制有效运行。 ①销售；②成本；③资金；④采购；⑤重大投资；⑥对子公司的管理；⑦关联交易；⑧对外担保；⑨募集资金使用；⑩信息披露
　　五、信息与沟通
　　公司制定了包括《万科集团信息管理办法》、《万科集团信息保密制度》、《集团总部会议管理规定》等在内的各项制度，规范公司内经营管理信息传递活动。日常经营过程中，建立了定期与不定期的业务与管理快报、专项报告等信息沟通制度，便于全面及时了解公司经营管理信息，并通过各种例会、办公会等方式管理决策，保证公司的有效运作。
　　公司致力于信息安全管理体系建设，制定了一系列信息安全方针、策略和制度，以保护公司信息安全。通过持续运用信息化手段、优化信息流程、整合信息系统，不断提高管理决策及运营效力。流程与信息管理部作为信息化工作的执行及管理机构,负责公司财务系统、业务运营系统和办公管理系统的规划、开发与管理，组织公司各类信息系统的开发与维护，在全公司范围内提供信息系统共享服务。
　　在与客户、合作伙伴、投资者和员工关系方面，公司已建立起较完整透明的沟通渠道，在完善沟通的同时发挥了对公司管理的监督作用。对客户，公司本着“与客户一起成长，让万科在投诉中完美”的客户理念，设立了覆盖总部、地产、物业的多种投诉沟通渠道，与客户进行良性互动；对投资者，公司除了通过法定信息披露渠道发布公司信息外，投资者还可以通过电话、电子邮件、访问公司网站、直接到访公司、参与公司组织的网络路演和见面会等方式了解公司信息，公司建立网络辅助系统及时响应投资者的各类需求，保证投资者及时了解公司的经营动态，通过互动加强对公司的理解和信任；对员工，设立多条内部沟通渠道，保证沟通顺畅有效；对合作伙伴，倡导合作共生共赢，保持良好的合作关系。
　　六、内部监督
　　公司已经建立起涵盖总部、区域、一线三个层面的监督检查体系，通过常规检查、专项检查以及聘请第三方检查等多种形式对各业务领域的控制执行情况进行评估和督查，有利于提高内控工作质量。公司设立专门负责受理违反职业道德行为的阳光网（http://5198.vanke.com），并对外公示，提供多种举报渠道，鼓励实名举报。审计监察部履行内部反舞弊职能，开展专项调查，发挥监督作用。监事会建立了对各一线公司的巡查机制，通过现场走访、员工约谈等方式，共同促进内控管理水平提高。
　　七、重点控制活动中的问题及整改计划
　　公司针对内部管理风险，提出了“实质内控”的内控管理模式，关注内控的建设，强调对风险的实质性消除或降低，避免内控缺陷的重复发生。同时，注重通过IT手段或流程方法根本性的解决问题，最终提升内控管理水平。通过公司自我评价及整改，截至2011年12月31日，本公司内部控制体系基本健全，未发现对公司治理、经营管理及发展有重大影响之缺陷及异常事项。
　　八、内部控制自我评价结论
　　董事会认为，公司已经建立起的内部控制体系在完整性、合规性、有效性等方面不存在重大缺陷。但由于内部控制固有的局限性、内部环境以及宏观环境、政策法规持续变化，可能导致原有控制活动不适用或出现偏差，对此公司将及时进行内部控制体系的补充和完善，为财务报告的真实性、完整性，以及公司战略、经营目标的实现提供合理保障。

此文章是由会计继续教育网(www.kjzjxjy.com)收集和整理，部分文章来自互联网，如不慎侵犯贵方版权，请与我们联系QQ 见网站底部，我们将及时处理！—— 转载请注明文章来源及原始链接，谢谢合作！

• TAG：企业内部控制