第六章
风险管理框架下的内部控制
lQIg0G/3 1.内部控制理论的发展阶段
7ys' [G|}r (1)内部牵制阶段
1uo-?k (2)内部控制制度阶段
!X}+JeU' (3)内部控制结构阶段
b 8@}Jv (4)内部控制整合框架阶段
z
0?Me H# (5)全面风险管理阶段
LQF;T7VKS) 2.COSO:Internal Control-IntegratedFramework三项目标
L1kn="5 (1)取得经营的有效性和效率
[vu;B4^" (2)确保
财务报告的可靠性
Xe4 (3)遵循适用的
法律法规 !XTzsN 3.COSO:Internal Control-IntegratedFramework五项要素
C6>_wl] (1)控制环境
4rhHvp (2)风险评估
{MtJP:8Jp (3)控制活动
b'O/u."O (4)信息与沟通
9O- otAGM (5)监督
Mc?_2<u- 4.COSO:Enterprise Risk Management-IntegratedFramework的三个维度
/[/L%;a'p (1)企业的目标
l7t
(2)全面风险管理要素
zTue(Kr (3)企业的各个层级
%p\~ 5.COSO:ERM企业的目标内容
L 0Ckw},, (1)战略目标
%s}{5Qcl/
(2)经营目标
n
KE^km (3)报告目标
O]IAIM (4)合规目标
Ja1 `S+ 6.COSO:ERM全面风险管理要素内容
V d
J (1)内部环境
nzbVI (2)目标设定
^2dQVV. (3)事项识别
D?BegF (4)风险评估
4l0>['K&{ (5)风险应对
H7uh"/A (6)控制活动
Csu9u'.V (7)信息与沟通
IfH/~EtX (8)监督
);HhV,$n 7.COSO:ERM企业各个层级内容
(%6fZ (1)主体层次
_E9[4%f (2)各分部
F*G]Na@6D (3)各业务单元
=o~mZ/ 7=M (4)下属各子公司
I!!cA?W 8.COSO:ERM三个维度之间的关系
CL7_3^2qI (1)风险管理的八个要素都是为企业的四个目标服务
$\m:}\%p (2)企业各个层级都要坚持同样的四个目标
7jw+o*; (3)每个层次都必须从以上八个方面进行风险管理
/\e_B6pF< 9.COSO Internal Control and ERM两份文件异同
jct=Nee| 与COSO内部控制整合框架相比,ERM整合框架具有下列特点:
b|V<Kp (1)内部控制涵盖在企业风险管理活动之中,是其不可分割的组成部分
V1,p<>9
(2)拓展了所需实现目标的内容(增加了更高层次的战略目标、将财务报告扩展至所有报告编制、引入了风险偏好和风险容忍度概念)
$$ $[Vn_H< (3)引入风险组合观
dOaOWMrfdf (4)更加强调风险评估在风险管理中的基础地位,并建议设置首席风险官
I`+,I`~u (5)扩展了控制环境内涵,强调风险管理概念和董事会的独立性
9<&*iIrM (6)扩展了信息与沟通要素,不仅要关注历史信息,还要关注现在和未来可能影响目标实现的各种事项的影响
.8'c
c8 10.内部控制与风险管理的关系
XnYX@p (1)观点1:内部控制包含风险管理
zZd.
U\"2 (2)观点2:风险管理包含内部控制
Ho#nM_ q (3)观点3:内部控制与风险管理是一对既互相联系又互相差别的概念。
#)L}{mHLM- 11.内部控制与风险管理的异同(第3种观点)
xm=Gt$>.o (1)两者均是合理保证目标实现的过程(相同点)
W2`3PEa (2)风险管理更偏向这一过程的前端,更偏向对影响目标实现的因素的分析、评估与应对(不同点)
}x|q*E\ (3)相对于内部控制,风险管理是一个更为独立的过程。内部控制更加重视实施,嵌入企业各业务流程的具体业务活动中(不同点)
n3?
msY(* 12.一个规范,三个指引
BW)@.!C (1)《企业内部控制基本规范》(核心统领)
;pL!cG@ (2)《企业内部控制应用指引》(应用指引)
_|; d
D (3)《企业内部控制评价指引》(事后鉴定)
Kf?
:dF (4)《企业内部控制
审计指引》(事后鉴定)
;0|:.q 13.《企业内部控制基本规范》的五个目标r
sMLXn]m (1)合理保证企业经营管理合法合规
Z6b]EcP)# (2)资产安全(中国特色新增目标)
M]%dFQ (3)合理保证财务报告及相关信息真实完整
;mI^J=V3 (4)提高经营效率和效果
rPr]f; (5)促进企业实现发展战略
J>M 9t%f@ 14.《企业内部控制基本规范》的五个要素
<^$ppwk$ (1)内部环境
4YY!oDN: (2)风险评估
]D~Ibv{Y (3)控制活动
u-jV@Tz (4)信息与沟通
W2%@}IDm (5)内部监督
Ugo! 15.《企业内部控制应用指引》分类
nWc@ufY (1)内部环境类指引:
组织结构、发展战略、人力资源、社会责任、企业文化
e1b?TF@lz (2)控制活动类指引:资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告
,yp#!gE~ (3)控制手段类指引:全面预算、合同管理、内部信息传递、
信息系统 (:]+IjnE 16.内部控制定义解读
ZJ+ad,?, (1)内部控制是一个过程,是实现目的的手段,而非目的本身
w)&4i$Lk6 (2)内部控制受人的影响,涉及企业各层次的人员
gKQs:25 (3)内部控制只能提供合理的保证,而非绝对的保证
#""T>+ (4)内部控制是为了实现五类既相互独立又相互联系的目标
?c8(<_I+ 17.内部控制应当遵循的原则
T++q.oFc
(1)全面性原则
[CI0N
I6F (2)重要性原则
VcsMDa
(3)制衡性原则
/]0SF_dZ (4)适应性原则
a~R.">>$ (5)成本效益原则
]H{*Z3S 18.内部控制实施体系
o&M.9V?~~ (1)以法制为推动
*Ej;}KSv (2)以企业实施为主体
{2Ew^Li (3)以政府监管和社会评价为保障
J8@.qC'! 19.内部控制五要素之内部环境
;K7kBp\d 内部环境是企业实施内部控制的基础。
'.N}oL<gP (1)公司治理结构
B[h^] k (2)内部机构设置与职责分工
4o";p}[b (3)内部审计
LPs5L
E[Pm (4)人力资源政策
~K5A$s2 (5)企业文化
$y.0h( (6)法制环境
G$KQgUN~[ 20.内部控制五要素之风险评估
R
-<8j`[0 (1)确定风险承受度
ZI4dD.B (2)识别风险(内部风险和外部风险)
raSga'uT; (3)风险分析
)/[L)-~y~ (4)风险应对(风险承担、风险规避、风险转移、风险转换)
- q(a~Ge 21.内部控制五要素之控制活动
9Nna-}e?W (1)不相容职务分离控制
Gj%q:[r (2)授权审批控制
@(*A<2;N (3)
会计系统控制
2wPc
yD (4)财产保护控制
T.')XKP)1N (5)预算控制
S[hyN7sI
(6)运营分析控制
1M_Vhs^ (7)绩效考评控制
av5a2r0W1 (企业应当建立重大风险预警机制和突发事件应急处理机制)
zN;P_@U 22.“三重一大”
LXJ;8uW2y (1)重大决策
;ThFB (2)重大事项
z6;hFcO (3)重要人事任免
N(yd<Mw (4)大额资金支付
}CZw'fhVWO 23.《企业内部控制评价指引》要点
bYpeI(zK (1)内部控制自我评价是由企业董事会和管理层实施的
u>vvW|OB[ (2)进行评价的具体内容为内部控制内容中的五个要素以及《基本规范》及《应用指引》中的内容
VpB)5> (3)在确定具体内容后,企业应制定内部控制评价程序,对内部控制有效性进行全面评价,包括:财务报告内部控制有效性和非财务报告内部控制有效性
L<iRqayn (4)同时形成工作底稿,详细记录企业执行评价工作的内容
XHdhSFpm (5)企业在评价工作中明确内部控制缺陷的认定准则
g)ZMU^1 (6)完成评价后,企业应当准备一份内部控制自我评价报告,在其年报中进行披露
5D<ZtsXE (7)企业董事会应当对内部控制评价报告的真实性负责
oP4+:r)LKD 24.内部控制评价应当遵循的原则
F#)bGi (1)全面性原则
|*b-m k (2)重要性原则
$`%Om WW{ (3)客观性原则
gs/o cu 25.内部控制评价的程序
T>b"Gj
/ (1)制定评价控制方案
k?L2LIB< (2)组织评价工作组
7TI6EKr (3)实施评价工作与测试
Ac*J;fI (4)认定控制缺陷
%I!2dXNFRF (5)汇总评价结果
KZcmNli&A (6)编报评价报告
@OFx
nF` 26.实施评价工作与测试的内容要点
P zM yUv (1)了解公司层面基本情况
8HZ+r/j (2)了解各业务层面的主要流程及风险(风险控制矩阵文档、流程图文档、审批权限表文档)
m__pQu: (3)确定检查评价范围和重点
|6^%_kO!| (4)开展现场检查测试(个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法)
Wi!"Vcn 27.按照内部控制缺陷的本质分类
#pK"
^O*! (1)设计缺陷
"lt5gu! `u (2)运行缺陷
GP %hf{ 28.按照内部控制严重程度分类
]e7?l/N[ (1)重大缺陷(也称实质性漏洞)
@^.W|Zh[& (2)重要缺陷
dkDPze9l (3)一般缺陷
3Z me?o*bY 29.内部控制的认定
u,d5/`E h9}*_qc&kV i`+bSg f^"pZS 30.内部控制的整改
WK7?~R%rq (1)对于重大缺陷和重要缺陷的整改方案,应向董事会(审计委员会)、监事会或经理层报告并审定
|S|'o*u (2)如果出现不适合向经理层报告的情形,内部控制评价组应当直接向董事会(审计委员会)、监事会报告
N#-pl:J( (3)重要缺陷并不影响企业内部控制的整体有效性,但是应当引起董事会和管理层的重视
>nih:5J,ja (4)对于一般缺陷,可以与企业管理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告
+w?R4Sxjn 31.内部控制评价报告的披露内容
-}h^'# (1)Responsibilities董事会对内部控制报告真实性的声明,实质就是董事会全体成员对内部控制有效性负责
rcMf1\ (2)Summary内部控制评价工作的总体情况,即概要说明
5E~^-wX (3)Standard内部控制评价的依据,一般指《内控规范》、《评价指引》及企业在此基础上制定的评价办法(
专业标准)
G-RDQ (4)Scope内部控制评价的范围,描述内部控制评价所涵盖的被评价单位。以及纳入评价范围的业务事项
-MTYtw( (5)Process and Method内部控制评价的程序和方法
U-m MKRV (6)Facts内部控制缺陷及其认定情况,主要描述适用于企业的内部控制缺陷具体认定标准(业务标准),并声明与以前年度保持一致,同时,根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷
)
< U9 (7)Improvement内部控制缺陷的整改情况及重大缺陷拟采取的整改措施
f^u-Myk (8)Conclusion & Opinion内部控制有效性的结论,对不存在重大缺陷的情形,出具评价期末内部控制有效结论,对存在重大缺陷的情形,不得作出内部控制有效的结论,并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度
GQCdB> 32.《企业内部控制审计指引》要点
|Nj6RB7 (1)内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计
t8xXGWk0 (2)《企业内部控制审计指引》中重申建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。
注册会计师的责任是在实施审计工作的基础上,获取充分、适当的证据,对内部控制的有效性发表的意见并提供合理保证(和财务报表分工一致)
NT5'U (3)注册会计师应按照《企业内部控制审计指引》以及其他有关的审计准则的要求,计划和实施审计工作,评价控制缺陷,从而整合其对内部控制有效性的意见(注册会计师会对财务报告内部控制的有效性发表审计意见)
02*qf:kTnA (4)如果在审计过程中注意到的非财务报告内部控制的重大缺陷,将会在其内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露
0{8L^
jB/ 33.关于审计委员会(基本结论记住即可,不要求默写)
$of2 lA (1)《基本规范》要求企业在董事会下设立审计委员会
Hk h'h"_r (2)独立的审计委员会的存在已经被国际公认为良好公司治理的一个重要特征
-]D/8,|s (3)董事会关于内部控制的主要目标会授权给审计委员会负责。在一般情况下,审计委员会负责整个风险管理过程,包括确保内部控制系统是充分且有效的。审计委员会应复核企业的内部财务控制以及企业的所有内部控制和风险管理系统
\#B<'J9.` (4)一般来说,审计委员会的组成应全部由独立、非行政董事组成,他们至少拥有相关的财务经验。审计委员会的职能是监督、评估和复核企业内的其他部门和系统
LfFXYX^ (5)审计委员会还应批准年报中有关内部控制和风险管理的陈述
qz (x (6)审计委员会亦会收到管理层关于l企业内运作的内部控制系统的有效性的报告以及内部或外聘审计师关于对控制所执行测试的结论的报告
2ag8?# (7)审计委员会应满足其职责的要求。建议审计委员会每年至少举行三次会议,并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次,讨论与审计相关的事宜,但无需管理层出席
fHH (8)审计委员会成员之间的不同意见如无法内部调解,应提请董事会解决
vPz7*w (9)审计委员会应每年对其权限及其有效性进行复核,并就必要的人员变更向董事会报告
4:N*C7P (10)审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保企业履行对外报告的义务。审计委员会应结合企业财务报表的编制情况,对重大的财务报告事项和判断进行复核。审计委员会还应对财务报表后所附的与财务有关的信息进行复核
!8cV."~ (11)确保充分且有效的内部控制是审计委员会的义务,其中包括负责监督内部审计部门的工作。审计委员会应监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性。它应该核查内部审计的有效性,并批准内部审计主管的任命和解聘,还应确保内部审计部门能直接与董事会主席接触并负有向审计委员会说明的责任
PRTjXq6)5 (12)审计委员会复核及评估年度内部审计工作计划。审计委员会收到关于内部审计部门工作的定期报告,复核和监察管理层对内部审计的调查结果的反应。审计委员会还应确保内部审计部门提出的建议已执行
uZ-ZZE C (13)审计委员会有助于保持内部审计部门对压力或干涉的独立性
;`:YZ+2
Z (14)审计委员会及内部审计师需要确保内部审计部门正在有效运作。它将在四个主要方面对内部审计进行复核,即:
7X/t2Vih@ l 组织中的地位
Fr l 职能范围
|
C<#M< l 技术才能
+)e|> l 专业应尽义务
SZHgXl3: 34.关于内部审计(基本结论记住即可,不要求默写)
b"N!#&O