第六章
风险管理框架下的内部控制
?y-^Fq|h 1.内部控制理论的发展阶段
RTc@`m3 M (1)内部牵制阶段
R2Tt6 (2)内部控制制度阶段
E5^\]`9P (3)内部控制结构阶段
OvX&5Q5 (4)内部控制整合框架阶段
F=Bdgg9s (5)全面风险管理阶段
w6V/Xp][U 2.COSO:Internal Control-IntegratedFramework三项目标
DJ"PP5d (1)取得经营的有效性和效率
O6G\0
o (2)确保
财务报告的可靠性
inGUN?? (3)遵循适用的
法律法规 t.9s4 9P 3.COSO:Internal Control-IntegratedFramework五项要素
n2mO-ZXud (1)控制环境
D0\>E}Y E (2)风险评估
TTVmm{6 (3)控制活动
qk<jvha (4)信息与沟通
/2Wg=&H (5)监督
\t!~s^ Oox 4.COSO:Enterprise Risk Management-IntegratedFramework的三个维度
9)oi_U. (1)企业的目标
#'Y lO-C (2)全面风险管理要素
b-<0\@`Z# (3)企业的各个层级
PMytk`<`zw 5.COSO:ERM企业的目标内容
N\PdX$ (1)战略目标
\|0z:R;X (2)经营目标
kGV:=h (3)报告目标
qLCNANWnd (4)合规目标
#sw4)*v 6.COSO:ERM全面风险管理要素内容
|cU75
S 1 (1)内部环境
\
\k=N(n (2)目标设定
eNd&47lJ (3)事项识别
=%m{|HQ` (4)风险评估
f}bq (5)风险应对
(mIjG)4t (6)控制活动
BY~Tc5 (7)信息与沟通
G(7%*@SX (8)监督
M(a%Qk?]/ 7.COSO:ERM企业各个层级内容
p*b_"aF 1 (1)主体层次
~X3g_<b_8 (2)各分部
-0^]: (3)各业务单元
_qa]T'8 (4)下属各子公司
+.!D>U$)} 8.COSO:ERM三个维度之间的关系
v[Q)L!
J1 (1)风险管理的八个要素都是为企业的四个目标服务
i.t%a{gL (2)企业各个层级都要坚持同样的四个目标
OIPY,cj~ (3)每个层次都必须从以上八个方面进行风险管理
t5+p]7 9.COSO Internal Control and ERM两份文件异同
8* A%k1+ 与COSO内部控制整合框架相比,ERM整合框架具有下列特点:
"Pwa}{ (1)内部控制涵盖在企业风险管理活动之中,是其不可分割的组成部分
$9`#p/V (2)拓展了所需实现目标的内容(增加了更高层次的战略目标、将财务报告扩展至所有报告编制、引入了风险偏好和风险容忍度概念)
u#Ig!7iUu (3)引入风险组合观
ooVs8T2 (4)更加强调风险评估在风险管理中的基础地位,并建议设置首席风险官
Xfk
DMh (5)扩展了控制环境内涵,强调风险管理概念和董事会的独立性
>:-e (6)扩展了信息与沟通要素,不仅要关注历史信息,还要关注现在和未来可能影响目标实现的各种事项的影响
9vV==A# 10.内部控制与风险管理的关系
D./{f8 (1)观点1:内部控制包含风险管理
(xb2H~WrN (2)观点2:风险管理包含内部控制
Wq4<
9D (3)观点3:内部控制与风险管理是一对既互相联系又互相差别的概念。
3:iEt (iCI 11.内部控制与风险管理的异同(第3种观点)
UH MJ(.Wa- (1)两者均是合理保证目标实现的过程(相同点)
KUJ Lx (2)风险管理更偏向这一过程的前端,更偏向对影响目标实现的因素的分析、评估与应对(不同点)
qx ki (3)相对于内部控制,风险管理是一个更为独立的过程。内部控制更加重视实施,嵌入企业各业务流程的具体业务活动中(不同点)
8%K{l g" 12.一个规范,三个指引
)95k3xo (1)《企业内部控制基本规范》(核心统领)
LFax$CZc (2)《企业内部控制应用指引》(应用指引)
G%I
.u (3)《企业内部控制评价指引》(事后鉴定)
%D4)Bqr (4)《企业内部控制
审计指引》(事后鉴定)
M
KfK9>a 13.《企业内部控制基本规范》的五个目标r
/0/ouA>+ (1)合理保证企业经营管理合法合规
6.)ug7aF (2)资产安全(中国特色新增目标)
d^=)n-!T (3)合理保证财务报告及相关信息真实完整
}&vD(hX (4)提高经营效率和效果
JQQ[jl; (5)促进企业实现发展战略
_Q1p_sdg 14.《企业内部控制基本规范》的五个要素
D"pT?\kO (1)内部环境
?b+Y])SJK (2)风险评估
c]{}|2
u (3)控制活动
;}E}N:A (4)信息与沟通
xqX3uq
(5)内部监督
hP)Zm%@0f 15.《企业内部控制应用指引》分类
;M.Q=#;E (1)内部环境类指引:
组织结构、发展战略、人力资源、社会责任、企业文化
!i torSl (2)控制活动类指引:资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告
+;~N; BT (3)控制手段类指引:全面预算、合同管理、内部信息传递、
信息系统 c]uieig0~ 16.内部控制定义解读
y$%oR6K7- (1)内部控制是一个过程,是实现目的的手段,而非目的本身
9E
^!i (2)内部控制受人的影响,涉及企业各层次的人员
v^JzbO~|gj (3)内部控制只能提供合理的保证,而非绝对的保证
-yf8 (4)内部控制是为了实现五类既相互独立又相互联系的目标
I,hw
0e 17.内部控制应当遵循的原则
\x-2qlZ (1)全面性原则
"%Ok3Rvv (2)重要性原则
gk|>E[. (3)制衡性原则
oMEW5.VX (4)适应性原则
A&M_ J (5)成本效益原则
gHPJiiCv 18.内部控制实施体系
~LuGfPO^ (1)以法制为推动
3Z";a (2)以企业实施为主体
)7
Mss/2T (3)以政府监管和社会评价为保障
<mFDC?j 19.内部控制五要素之内部环境
x#`p.sfVo 内部环境是企业实施内部控制的基础。
j1;[6XG (1)公司治理结构
x[58C + (2)内部机构设置与职责分工
jkL=JAcf~ (3)内部审计
bh@Ct nO (4)人力资源政策
&{? M} 2I (5)企业文化
*,z/q6 (6)法制环境
TO.b-
; 20.内部控制五要素之风险评估
X\m\yv}} (1)确定风险承受度
Sh(ys*y> (2)识别风险(内部风险和外部风险)
Q/SO%E`E (3)风险分析
lMFo)4&P (4)风险应对(风险承担、风险规避、风险转移、风险转换)
wnC} TWxX 21.内部控制五要素之控制活动
U,WMP<5& (1)不相容职务分离控制
ZR\N~. (2)授权审批控制
[P+kQBLpL (3)
会计系统控制
!\7M7 (4)财产保护控制
8lM=v> Xc (5)预算控制
D\_nqx9O (6)运营分析控制
s;I
@En (7)绩效考评控制
7n#-3#_mG (企业应当建立重大风险预警机制和突发事件应急处理机制)
"Ol:ni1 22.“三重一大”
W^8 (1)重大决策
m538p.(LIR (2)重大事项
n$C-^3c (3)重要人事任免
]R""L<K%HF (4)大额资金支付
|yk/iO( 23.《企业内部控制评价指引》要点
~2k.x*$ (1)内部控制自我评价是由企业董事会和管理层实施的
j;`pAN(' (2)进行评价的具体内容为内部控制内容中的五个要素以及《基本规范》及《应用指引》中的内容
#r #[&b (3)在确定具体内容后,企业应制定内部控制评价程序,对内部控制有效性进行全面评价,包括:财务报告内部控制有效性和非财务报告内部控制有效性
LL
e*|: (4)同时形成工作底稿,详细记录企业执行评价工作的内容
GM2
}]9 (5)企业在评价工作中明确内部控制缺陷的认定准则
U*~-\jN1pb (6)完成评价后,企业应当准备一份内部控制自我评价报告,在其年报中进行披露
pL,XHR@Iv (7)企业董事会应当对内部控制评价报告的真实性负责
~
L4NK# 24.内部控制评价应当遵循的原则
:2KHiT5 (1)全面性原则
}B'-*)^|e{ (2)重要性原则
:"Xnu%1 (3)客观性原则
#HgNwM 25.内部控制评价的程序
/p<9C? (1)制定评价控制方案
'etA1]<N (2)组织评价工作组
Bug.>ln1 (3)实施评价工作与测试
Z
01A~_ (4)认定控制缺陷
H[hJUR+# (5)汇总评价结果
<KX9>e (6)编报评价报告
=;-C;gn:w 26.实施评价工作与测试的内容要点
dXxf{|gk> (1)了解公司层面基本情况
8vuTF*{yZ (2)了解各业务层面的主要流程及风险(风险控制矩阵文档、流程图文档、审批权限表文档)
O(I^:_eH (3)确定检查评价范围和重点
`+n0a@BVB (4)开展现场检查测试(个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法)
UK,bfLPt~ 27.按照内部控制缺陷的本质分类
&lLk[/b (1)设计缺陷
//c6vG (2)运行缺陷
3g4=as4w 28.按照内部控制严重程度分类
=W7-;& (1)重大缺陷(也称实质性漏洞)
FQ4R>@
@5 (2)重要缺陷
~qqxHymc (3)一般缺陷
U^KWRqt 29.内部控制的认定
ML>M:Ik+ ht%qjE 1*p6UR& W7n^]~V 30.内部控制的整改
'/<\X{l8 (1)对于重大缺陷和重要缺陷的整改方案,应向董事会(审计委员会)、监事会或经理层报告并审定
{Lal5E4- (2)如果出现不适合向经理层报告的情形,内部控制评价组应当直接向董事会(审计委员会)、监事会报告
4tkT\. (3)重要缺陷并不影响企业内部控制的整体有效性,但是应当引起董事会和管理层的重视
<5G(Y#s/? (4)对于一般缺陷,可以与企业管理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告
fof}I:vO 31.内部控制评价报告的披露内容
lPR^~&/ (1)Responsibilities董事会对内部控制报告真实性的声明,实质就是董事会全体成员对内部控制有效性负责
kFE9}0- (2)Summary内部控制评价工作的总体情况,即概要说明
kKlNhP( (3)Standard内部控制评价的依据,一般指《内控规范》、《评价指引》及企业在此基础上制定的评价办法(
专业标准)
ufk2zL8y (4)Scope内部控制评价的范围,描述内部控制评价所涵盖的被评价单位。以及纳入评价范围的业务事项
7V5c`:" (5)Process and Method内部控制评价的程序和方法
.T7CMkYt (6)Facts内部控制缺陷及其认定情况,主要描述适用于企业的内部控制缺陷具体认定标准(业务标准),并声明与以前年度保持一致,同时,根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷
Y0g]-B (7)Improvement内部控制缺陷的整改情况及重大缺陷拟采取的整改措施
FQ
0&{ulb (8)Conclusion & Opinion内部控制有效性的结论,对不存在重大缺陷的情形,出具评价期末内部控制有效结论,对存在重大缺陷的情形,不得作出内部控制有效的结论,并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度
)yyH_Ax2 32.《企业内部控制审计指引》要点
LN+x!#:e (1)内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计
We$
n (2)《企业内部控制审计指引》中重申建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。
注册会计师的责任是在实施审计工作的基础上,获取充分、适当的证据,对内部控制的有效性发表的意见并提供合理保证(和财务报表分工一致)
9 @CRL= (3)注册会计师应按照《企业内部控制审计指引》以及其他有关的审计准则的要求,计划和实施审计工作,评价控制缺陷,从而整合其对内部控制有效性的意见(注册会计师会对财务报告内部控制的有效性发表审计意见)
a!bW^?PcK (4)如果在审计过程中注意到的非财务报告内部控制的重大缺陷,将会在其内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露
BR|0uJ.M 33.关于审计委员会(基本结论记住即可,不要求默写)
f#&z