第八章内部控制

第八章内部控制考情分析本章主要介绍了内部控制的定义，COSO内部控制系统的五大要素，我国内控基本规范五要素，内部控制的应用、评价和审计，审计委员会的监察角色、内部控制与公司治理等内容。复习时应重点理解我国内部控制系统五大要素、内部控制的应用、评价和审计、审计委员会、公司治理基本原则等几大内容。本章基本内容框架如下本章主要考点1.COSO内部控制系统的五大要素2.我国内部控制内容的五大要素3.内部控制的应用4.内部控制评价的程序5.审计委员会的监察角色6. 基本的公司治理原则第一节内部控制的定义和发展 本节主要内容简介：内部控制的定义内部控制的演变与发展一、内部控制的定义（理解）内部控制是指为确保实现企业目标而实施的程序和政策。内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。内部控制系统包括两个因素：控制环境：是指企业内对于内部控制的态度及内部控制意识，代表整个企业对于内部控制的价值观。控制政策与程序：是指嵌入企业运营中的具体的内部控制。目的是尽可能确保业务行为是有效且有序的。1.COSO委员会对内部控制的定义成立于1985年，负责制定有关大型和小型企业实施内部控制系统的指南。COSO委员会对内部控制的定义是“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。”（运营、财务报告和合规）COSO观点：即使实施了优良的内部控制系统，也不一定能使一个蹩脚的管理者变得出色。内部控制系统只能就企业目标的实现提供合理保证。大型或小型企业在建立内部控制系统时，均可能存在资源受限的问题。2.美国上市公司会计监管委员会对内部控制的定义依据美国上市公司会计监管委员会（PCAOB）发布的审计准则第5号（2007年，与财务报告审计相融合的内部控制审计）规定，注册会计师对企业财务报告进行审计必须关注财务报告内部控制，同时管理层应该对企业内部控制做出评估。所谓财务报告内部控制是指，在企业主要的高级管理人员、主要财务负责人或行使类似职能的人员的监督下设计的一套流程，并由公司的董事会、管理层和其他人批准生效，该流程可以为财务报告的可靠性及根据公认会计原则编制对外财务报表提供合理保证，并且包括如下政策和程序：一个保管两个保证：保管记录保管以合理的详尽程度、准确和公允地反映企业的交易和资产处置的有关记录保证记录和收入支出符合相关授权为按照公认会计原则编制财务报表记录交易，以及企业的收入和支出仅是按照管理和公司董事会的授权执行，提供合理的保证保证预防或及时发现未经授权的重大资产相关行为为预防或及时发现对财务报表有重大影响的未经授权的企业资产的购置、使用或处理，提供合理保证3.特恩布尔委员会对内部控制的定义1992年，英国综合守则颁布之后，设立了特恩布尔委员会。该委员会的职能是为上市公司执行综合守则规定的内部控制原则提供指南。特恩布尔报告的总体要求是，董事应施行一套完善的内部控制系统，并定期对该系统进行复核（建议对内部控制系统进行持续监察）。内部控制系统应确保：（1）对风险做出反应内部控制的主要组成部分包括为企业的有效运营提供辅助条件，使企业有能力对阻碍目标实现的重大风险做出反应。（2）保证报告质量内部控制还能确保对内和对外报告的质量。（3）合规（法规、企业政策）内部控制还能确保法规及企业内部有关业务开展的政策得以遵守。董事会：对公司的内部控制负责，并制定正确的内部控制政策，以确保企业日常运作的顺利进行管理层：执行内部控制政策4.中国企业内部控制基本规范对内部控制的定义：2008年6月内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和结果，促进企业实现发展战略。二、内部控制在国际间的演变与发展（理解）（一）内部控制在二十世纪80年代的控制理论标志：美国注册会计师协会于1988年5月发布的企业准则公告第55号（SAS55）在这份公告中，“内部控制结构”的概念取代了“内部控制制度”。公告指出：“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。”公告认为内部控制结构由下列三个要素组成：控制环境、会计制度和控制程序。要素含义内容控制环境是指对建立、加强或削弱特定政策与程序的效率有重大影响的各种因素。包括管理者的思想和经营作风；组织结构；董事会及所属委员会，特别是审计委员会发挥的职能；确定职权和责任的方法；管理者控制和检查工作时所使用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计；人事工作方针及其执行等；影响企业业务的各种外部关系，如由银行指定代理人的检查等。会计制度是指为认定、分析、归类、记录、编报各项经济业务，明确资产与负债的经管责任而规定的各种方法。包括认定和登记一切合法的经济业务；对各项经济业务按时和适当的分类，作为编制财务报表的依据；将各项经济业务按照适当的货币价值计价，以便列入财务报表；确定经济业务发生的日期，以便按照会计期间进行记录；在财务报表中恰当地表述经济业务及对有关的内容进行揭示。控制程序是指企业为保证目标的实现而建立的政策和程序。如经济业务和经济活动的适当授权；明确各个人员的职责分工；账簿和凭证的设置、记录与使用，以保证经济业务活动得到正确的记载；资产及记录的限制接触；已经登记的业务及记录与复核。（二）内部控制在成熟阶段的研究成果COSO内部控制系统COSO委员会于1992年9月发布了内部控制整合框架，并于1994年进行了增补，即COSO内部控制框架（内部控制发展史上的里程碑）。内部控制是公司董事会和各级管理层计划、实施和监察的不间断的一系列活动。作用： 对内对外报告的可靠 对风险做出适当反应，促进运营的效率和效益（为企业目标的实现提供合理保证） 合规：法律法规 + 商业行为的内部政策内部控制可分成五个相互关联的组成部分，包括：控制环境、风险评估、控制活动、信息与沟通以及监察。也可作为评价内部控制系统有效性的标准。内部审计部门通常是内部控制系统的主要监察人。COSO认定的内部控制系统的五大要素及其含义五大要素具体含义备注控制环境是指“董事会与管理层对待公司内部控制的重要性的态度及采取的行动”。控制环境是其它内部控制元素的根基，并提供纪律及结构，被称为企业的“最高层”。控制环境因素包括人员的道德观和胜任能力、董事会提供的指示和管理的效率。 控制环境是由管理层所定的基调、管理哲学与管理风格、授权方式、组织和培养员工的方式以及董事会对执行内部控制的决心所决定。 风险评估是指识别和分析影响目标实现的风险（包括与监管和运营环境不断变化有关的风险），以此来确定如何降低和管理此类风险的依据。企业的目标与所面临的风险之间有一定关联。为了对风险进行评估，必须确立企业目标。 考虑内外各种因素及其变化 区分可控制风险和不可控制风险 控制活动是指能确保管理层的决策与指示得以执行的政策和程序。控制活动有助于确保管理层的指令得以执行，以及任何可能需要用以处理风险以实现企业目标的行动得以实施。包括组织控制、职责划分、调节和复核、实物控制、授权和批准、计算和会计、人员控制、监督及管理控制。 信息与沟通是指在人员能够履行责任的方式及时间范围内，识别、取得和报告经营、财务及法律遵守的相关信息的有效程序和系统。必须为管理者提供与所采取的行动相关的，及时、准确、可以理解的信息。监察是指持续评估内部控制系统的充分性及表现情况的程序。 出现不足时，应向上级领导（高级管理层、审计委员会或董事会）汇报。 企业需要对内部控制系统进行监察。内部审计部门通常是内部控制系统的主要监察人。 本框架的作用：向学习者传递一个整体框架的概念，也就是说内部控制的要素、实施主体、目标是相互融合的。任何一个目标的实现都需要所有的实施主体共同努力，都体现在每一个要素的构成里。企业的每一项活动，也应该与内控的目标和要素紧密结合。内部控制就是实施主体为达成内控目标而采取的一系列政策、程序和方法的过程。COSO对内部控制基本概念的深入见解：内部控制是一个实现目标的程序及方法，而其本身并非目标；内部控制只提供合理保证，而非绝对保证；内部控制要由企业中各级人员实施与配合。2002年，美国国会通过萨班斯-奥克斯利法案：COSO的内部控制定义构成了萨班斯-奥克斯利法案第404节关于内部控制评估内容的基础。（三）中国内部控制的发展状况1.企业内部控制基本规范2008年6月28日，财政部会同证监会、审计署、银监会、保监会制定并印发企业内部控制基本规范（下称“内控规范”）。2009年7月1日起适用于大中型企业（包括上市公司）内控规范要求企业建立内部控制体系时应符合以下目标：（1）合理保证企业经营管理合法合规（2）资产安全（3）财务报告及相关信息真实完整；（4）提高经营效率和效果；（5）促进企业实现发展战略。内控规范借鉴了以美国COSO报告为代表的国际内部控制框架，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列五个要素：（1）内部环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）内部监督。2.企业内部控制配套指引2010年4月26日联合发布了企业内部控制配套指引（下称配套指引），当中包括l8项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引。配套指引自2011年1月1日起按已定时间表在境内外不同类型的上市公司施行。同时，鼓励相关非上市大中型企业提前执行。企业内部控制应用指引针对组织结构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统共18项企业主要业务的内控领域或内控手段，提出了建议性的应用指引，为企业以及外部审核人，建立与评价内控体系提供了参照性标准。企业内部控制评价指引为企业对内部控制的有效性进行全面评价，形成评价结论、出具评价报告提供指引。该评价指引明确内部控制评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，企业应当确定评价的具体内容及对内部控制设计与运行情况进行全面评价。同时，指引中对内部控制评价的内容、程序、缺陷的认定、评价报告、工作底稿要求、评估基准日等方面做出了规定。企业内部控制审计指引为会计师事务所对特定基准日与财务报告相关内部控制设计与执行有效性进行审计提供指引。它明确注册会计师应对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露。同时，就审计计划工作、审计实施、如何评价控制缺陷、审计期后事项、审计报告内容和方法以及审计工作底稿做出了规定。【本节考试小贴士】：本节内容主要介绍的是内部控制的基础性知识，2011年的教材增加了我国内控发展的一些内容。不属于考试的重点内容。从近两年考试情况看，基本没有涉及题目。因此，复习时理解其中的一些主要点即可。第二节企业内部控制内容的五个要素 本节主要内容简介：我国的内控规范内部控制五个要素内部环境风险评估控制活动信息与沟通内部监督一、内部环境（掌握）内部环境规定了企业的纪律与框架，影响经营管理目标的制定，塑造企业文化并影响员工的控制意识，是建立与实施内控的基础。（一）组织结构组织结构能够为规划、执行、控制和监督活动提供框架，以实现企业整体目标。组织控制的缺陷会对整个控制环境产生不利影响。尽管权力界限划分明确，但企业内在的效率低下问题会随着组织规模的扩大而变得更为严重。这种效率低下问题常常会造成控制程序失灵。对组织架构设汁与运行的效率和效果，企业应当定期进行全面评估，发现组织架构设计与运行中存在缺陷的，应当进行优化调整。按照企业内部控制应用指引第l号-组织结构（第1号指引）的要求，企业在设计组织架构时应遵守四大原则：1.建立规范的公司治理结构。股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东（大）会负责，依法行使企业的经营决策权，并按股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。经理层负责组织实施股东（大）会、董事会决议事项、主持企业的生产经营管理工作。【注意】企业在处理“三重一大”问题上，即（1）重大决策、（2）重大事项、（3）重要人事任免、（4）大额资金使用，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。2.设置内部职能机构。合理设置内部职能包括在董事会下设立审计委员会和加强内部审计工作，保证内部审计机关设置、人员配备和工作的独立性。【补充定义】内部审计：根据中国内部审计协会的解释，内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。内部审计的范围主要包括财务会计、管理会计和内部控制检查。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制的自我评价情况，协调内部控制及其他相关事宜等。审计委员会负责人应具备相应的独立性、良好的职业操守和专业胜任能力。 内部审计机关需结合内部审计监督，对企业内部控制的有效性进行监督检查。监督检查工作中发现任何内部控制缺陷，应按照企业内部审计工作程序进行报告。 如果发现的内部控制缺陷属于重大缺陷。机构有权直接向董事会及其审计委员会、监事会报告。 3.企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保企业治理结构、内部职能机构设置和运行机制等符合现代企业制度要求。企业梳理治理结构，应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履行情况，以及董事会、监事会和经理层的运行效果。4.加强对子公司的监控。（二）权力和责任的分配权力的分配本质上是指按照工作描述确定责任，根据组织结构图形成责任。常见问题：在组织机构的设置及书面说明和规定中没有体现不相容职务相互分离的要求；没有明确清晰的岗位说明书，职责划分不清晰；权力不适当下放等等。企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。内部环境的强弱取决于各人员对其将负有多大责任的了解。（三）管理哲学和经营风格与战略的发展1.管理哲学和经营风格：高级管理层对企业的控制环境有着不可忽视的影响。管理哲学和经营风格均是企业内部环境的一部分。2.发展战略： 风险缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。 第2号指引控制措施要求企业在董事会下设立战略委员会，或指定相关机构负责发展战略管理工作，履行相应职责。战略委员会主要职责：战略规划的可研和论证；对战略实施进行监控。进行充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。战略规划应根据企业的发展目标制定，明确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径。同时，制定年度工作计划，编制全面预算以确保战略得以有效实施。在宏观环境的情况发生重大变化时，企业应当按照规定权限和程序调整发展战略。要求董事会严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性。方案经董事会审议通过后，报经股东（大）会批准实施。但是，假若董事会在审议方案中如果发现重大问题，应当责成战略委员会对方案做出调整。 （四）人力资源政策和实务企业内部控制应用指引第3号一人力资源人力资源是指企业组织生产经营活动而录（任）用的各种人员，包括董事、监事、高级管理人员和全体员工。风险：人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。人力资源退出机制不当，可能导致企业面临法律诉讼或企业声誉受损。人力资源政策和实务包括：1.招聘和雇用。2.新雇员的试用期和岗前培训制。3.建立雇员员工培训长效机制、提升员工素质。4.绩效评估。5.辞职、解除劳动合同、退休等。（五）企业文化与沟通企业文化是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。相关文件：企业内部控制应用指引第5号一企业文化 风险缺乏积极向上的企业文化，可能导致员工丧失对企业的信心和认同感，企业缺乏凝聚力和竞争力；缺乏开拓创新、团队协作和风险意识，可能导致企业发展目标难以实现，影响可持续发展；缺乏诚实守信的经营理念，可能导致舞弊事件的发生，造成企业损失，影响企业信誉；如果在企业并购重组时，忽视企业间的文化差异和理念冲突，可能导致并购重组失败。 第5号指引控制措施积极培育具有自身特色的企业文化，引导和规范员工行为，培育体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神，以及团队协作和风险防范意识。重视并购重组后的企业文化建设，平等对待被并购方的员工，促进并购双方的文化融合。要求董事、监事经历和其他高级管理人员在企业文化建设中发挥主导和垂范作用，企业文化建设既要注重“上下结合”，更应注重企业治理层和经理层的示范作用。加强企业文化的宣传贯彻，有效沟通，共同遵守，融入生产经营全过程。建立企业文化的过程中，坚持诚信和道德观是强化内部环境的重要因素。（制定行为守则、传达行为守则、更新行为守则） （六）社会责任社会责任是强化内部环境中不可缺的一个元素，它代表企业管理层的形象和管理风格及责任使命感。社会职责和义务主要包括：安全生产、产品质量（含服务，合同）、环境保护、资源节约、促进就业、员工权益保护等。 风险安全生产措施不到位，责任不落实，可能导致企业发生安全事故。产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业。促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。 控制措施安全生产。产品质量。环境保护与资源节约。促进就业，依法保护员工的合法权益。重视产学研用结合、公益事业（比如接纳大学生实习等）、慈善事业等。 二、风险评估（理解）作为整体内部控制结构的一部分，企业应开展风险评估，准确识别与实现控制目标的潜在外部风险和内部风险并确定相应的风险承受程度。在内部控制架构中，风险评估可被描述为一个两步式程序。第一步是采用定性与定量相结合的方法，评估风险发生的可能性或频率，以及其为企业带来的影响程度；第二步是对识别的风险进行分析和排序。随之而来的是企业可利用风险分析的结果为依据，考虑如何对重要风险进行管理及采取适当的应对风险行动。三、控制活动（掌握）（一）控制活动可分为运营、财务报告及合规三个类别（二）控制活动的类型 命令式的控制为雇员提供指南预防性控制设计活动旨在防止发生不希望出现的事情侦察式控制在不希望出现的事情发生时能够加以识别纠正性控制当不希望出现的事情发生时，应识别程序的缺陷，并主动采取措施加以解决问题（三）内部控制活动常见的内部控制活动有：（1）不相容职务分离控制；（2）授权审批控制；（3）会计系统控制；（4）调节和复核；5）财产保护控制；（6）预算控制；（7）营运分析控制；（8）绩效考评控制； 控制活动内容例子不相容职务分离控制【补充概念】所谓不相容职务是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和弊端行为的职务。它要求每项经济业务都要经过两个或两个以上的部门或人员的处理，使得单个人或部门的工作必须与其他人或部门的工作相一致或相联系，并受其监督和制约。企业可以通过在两个或两个以上的人员之间分配工作的方式，相互制约的工作机制实现这一监控目标。大多数交易都可分成三类独立的职责。第一是认可或发起交易、第二是处理被交易的资产，最后是记录交易。当舞弊涉及两人或两人以上的串通行为，不相容职务分离控制可能是无效的。在企业中如果某些职能尚未或无法分离，那么，应由管理层对相关活动进行详细的监管审核，作为一种补偿性控制。【补充资料】不相容职务一般包括：（1）授权批准与业务经办（2）业务经办与会计记录（3）会计记录与财产保管（4）业务经办与稽核检查（5）授权批准与监督检查 例如，企业中负责收付现金的出纳员和记录交易的会计文员应分别由不同的人员负责。例如，在有效的公司治理层面上，董事会主席与首席执行官的职责应当分离，以防止一个人取得董事会的支配地位。 授权审批控制（预防性控制）是指企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。常规授权：企业在日常经营管理活动中按照既定的职责和程序进行的授权，以规范经济业务的权力、条件和有关责任者。特别授权：企业在特殊情况、特定条件下进行的授权。特别授权的对象是某些例外的经济业务。根据内控规范第三十条的要求，企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。 例如.被授权的雇员可能开展了达到某项限制的交易，并且须为超出规定限制的交易取得批准。批准上述超出规定限制的交易时，上级必须在核实该活动符合政策及程序的基础上，才能予以批准。例子：某汽车零部件企业采购业务的授权审批制度：l 采购预算内采购额在0.2万元以内的，采购经理审批；采购额在0.2 1万元的，由财务总监审批；采购额在12万元以上的，由财务总监审核，总经理审批。l 采购预算及计划外采购项目均由财务总监审核，总经理审批。 会计系统控制企业严格执行我国统一的会计准则制度、明确会计凭证、会计账簿和财务会计报告的处理程序。正确地记录交易的过程中，依靠会计记录能够追踪每项交易，核对计算。内控规范第三十一条要求，从事会计工作的人员，必须取得会计从业证书。会计机关负责人应当具备会计师以上专业技术职务资格。此外，大中型企业应当设置总会计师，并不容许设置与其职权重叠的副职。 例如，企业应在向客户发货或批准支付前仔细检查发票上的数字，确保数字是正确的，且企业对业务处理的文件记录和凭证应编制连续号码，以避免记录的重复或遗漏。调节和复核（侦察式控制） 调节是指雇员将不同数据连接在一起，识别并找出差异，并且在必要时采取纠正措施。业绩复核，是指管理层将当前的业绩与预算、以前期间或其他基准相比较，以此反映目标的完成情况，并对其中的差异进行凋查，以确定哪些纠正行动是必要的。 调节包括比较总账的现金金额与银行对账单的现金余额、总账的应收款金额与相关补贴账户总额，以及固定资产的现场盘点与会计记录中记载的金额财产保护控制财产保护控制是指保护实物资产不被偷盗或未经许可而获得或被使用的措施和程序。包括建立财产日常管理制度和定期清查制度。 例如采用财产记录、使用保险箱储存现金和重要文件、为大楼或其内的区域设立门禁系统、为贵重资产采取两重保管方法（即必须两人同时出现才能取得某些资产）、定期对存货进行盘点、雇用保安和利用闭路电视摄像头等措施，确保财产安全。预算控制目的是明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。营运分析控制管理层可综合运用生产、投资、筹资、财务等方面信息，通过不同种类的方法，如对比分析、趋势分析等方法，对营运情况（如企业目标所实现的成果）进行分析，发现存在的问题，及时查明及更进。绩效考评控制对企业内部各责任单位和全体员工的绩效进行定期考核和客观评价，将考评结果作为确定员工薪酬以及晋升、评优等依据。这种控制活动对企业内部环境具有支持作用。 【补充资料】日常业务中不相容职务分离控制 分离原则不相容职务不得由一人办理货币资金业务的全过程（1）会计职务与出纳职务分离，出纳人员不得兼任稽核、会计档案保管和收入、支出、费用、债权、债务账目的等级工作（2）会计职务与审计职务分离（3）支票保管职务与印章保管职务分离（4）支票审核职务与支票签发职务分离，支票签发职务由出纳担任，其他会计人员不得兼任；（5）银行印鉴保管职务、企业财务章保管职务、人名章保管职务分离，不得由一人保管支付款项所需的全部印章 不得由同一部门或个人办理合同业务的全过程（1）合同签署（或委托签署）职务与条款订立职务分离；（2）条款订立职务与法律顾问职务分离；（3）合同谈判职务与合同定价职务分离；（4）合同履行职务与收付款职务分离；（5）合同审计职务与上述职务分离； 不得由同一部门或个人办理固定资产采购业务的全过程（1）批准采购业务与采购经办职务分离；（2）询价定价职务与确定供应商职务分离；（3）采购职务与验收职务分离；（4）付款审批职务与付款执行职务分离；（5）采购职务、入库登记职务、会计记录职务； 不得由同一部门或个人办理投资业务的全过程（1）投资计划的编制职务与投资审批的职务分离；（2）投资业务的操作职务与会计记录职务分离；（3）有价证券的保管职务与会计记录职务分离；（4）投资股利、利息的经办职务与会计核算职务分离； 直系亲属“回避”（1）企业领导人的直系亲属不得担任本企业的会计机构负责人、会计主管职务；（2）会计机构负责人、会计主管人员的直系亲属不得在本企业会计机构中担任出纳职务；（3）纪委委员的直系亲属不得担任本企业或下属企业的主要领导人职务； 例子：A 公司是一家为某旅游景点提供缆车服务的缆车公司。该公司拥有50多名会员，这些会员在支付一定的年费后，可以免费在任何缆车站点乘坐缆车。非会员若要乘坐缆车，则需先付费才能在任意站点上车。管理层发现公司对从游客手中赚取的收入的控制较弱，因而认为应当实施一些更为适当的制度。为了解决这些问题，公司采取以下内控措施：答疑编号2275080401：针对该题提问1.为所有游客（包括会员及非会员）提供一张带编号的票证。会员和非会员票证上的号码分属两种序列。2.在电子现金收款机上记录收取的所有乘车费，并将车票收入按照现金缴费和信用卡缴费进行区分。3.每日营业结束后，由未参与售票的雇员对收款机中的现金进行清点，并与收款机中记录的现金总额进行核对。如有不同，应进行调查。4.由缆车公司主管尽快将收取的现金存入银行。【例题3单选题】在COSO内部控制框架中，控制活动的类别可分为（）。【2009】A.运营、财务报告及合规三个类别B.运营、信息及合规三个类别C.信息、财务报告及监察三个类别D.运营、信息及监察三个类别答疑编号2275080402：针对该题提问正确答案A答案解析控制活动可分为运营、财务报告及合规三个类别。【例题4单选题】下列属于预防性控制的是（）。A.每月末给债务单位寄发对账单B.为机加工人员制定操作业务规范守则C.复核毛利率的合理性D.如果没有付款，办理发货业务时，计算机系统会提示并记录，终止业务答疑编号2275080403：针对该题提问正确答案D答案解析选项B为命令式控制，命令式的控制可为雇员提供指南；选项D属于预防性控制，预防性控制旨在防止发生不希望出现的事情；选项A和C属于侦察式控制，侦察式控制旨在不希望出现的事情发生时能够加以识别；纠正性控制指当不希望出现的事情发生时，应识别程序的缺陷，并主动采取措施加以解决问题。四、信息与沟通（理解）信息与沟通是指在人员能够履行责任的方式及时间范围内，识别、取得和报告经营、财务及法律遵守的相关资讯的有效的程序和系统。（一）信息 内部信息会计信息、生产经营信息、资本运作信息、人员变动信息、技术创新信息、综合管理信息。外部信息政策法规信息、经济形势信息、监管要求信息、市场竞争信息、行业动态信息、客户信用信息、社会文化信息、科技进步信息。【注意】内控规范中强调在信息与沟通一环中企业应同时建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在舞弊工作的权限、规范舞弊案件的举报、调查、处理、报告和补救措施。企业应关注的反舞弊工作重点有：（1）未经授权或采取其他不法方式侵占、挪用企业资产、牟取不当利益；（2）在财务会计报告和信息披露等方面存在不正确、误导性陈述或者重大漏报等；（3）董事、监事或管理人员滥用职权；（4）相关机构或人员串通舞弊等。（二）沟通有效的沟通必须在企业内以全方位方式进行。高级管理层和雇员之间管理层与董事会及董事会下辖的委员会之间企业与外界各方（比如股东、客户、供应商和监管机构）之间有效的信息与沟通系统应具备以下特点：（1）能够生成企业经营所需的、关于财务、运营及法规遵守的报告，帮助做出精明的商业决策，以及对外发布可靠的报告；（2）能使得雇员获得信息，且交流他们为实施、管理及控制运转情况所需的信息；（3）能识别和传达相关信息，并且是以一种人员能够有效履行他们的职责的方式进行。五、内部监督（理解）内控规范第六章要求企业制定内部控制监督机制：明确内部审计机关和企业内部机构在内部监督中的权责，规范内部监督的程序、方法和要求。制定内部控制缺陷认定标准，并定期对内部控制的有效性进行自我评估及按法律法规要求委派会计师进行内部控制的审计。（一） 监督工作监督过程是对内部控制系统的表现进行评估的过程，可以通过持续的监察活动或单独的评价来实现。监督适用于企业内的活动，以及为企业提供相关服务的外部承包商。内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制情况进行常规、持续监督检查。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位等发生较大凋整或变化的情况下，对内部控制的某一或某些方面进行针对性的监督检查。1.监督方法：内部控制的监督方法包括： 绩效计量内控系统要为目标的实现提供合理保证，因此可以通过对企业绩效的测评来判断内控系统的有效性对企业运营进行测试通过内部审计部门完成，复核成本效益原则政策及程序（硬性控制）软控制（软性控制是指涉及态度、感知及能力的控制）2.记录内部控制系统的文件记录【说明】规模较小的企业可能备有较少的文件记录，但这并不一定表示它们的内部控制无效。3.报告所有可能影响企业实现目标的内部控制缺陷，均应向能采取必要行动的人员汇报。两条途径：常规运营活动时产生的信息，通常通过正常的渠道向上级报告另一渠道供汇报非常敏感的信息（向上级汇报一些例外事项）例如，企业管理层发现公司会计账簿上的存货总额与盘点记录相差较大，于是成立小组进行调查，并把调查结果及加强内部控制的建议上报给最高领导。管理层的这种做法属于对内部控制监控做出的及时反应。（二）自我评价管理层为对内部控制系统的有效性取得合理保征，需要对内部控制系统进行的自我评价。【例题5简答题】甲公司为一家拟上市的医药生产公司，该公司董事会目前正在审查公司的内部控制系统。甲公司管理层一直致力于实现最高水平的内部控制，以使股东对公司的管理层更加有信心，同时提高甲公司的社会信誉。但是最近甲公司的信誉由于内部出现的事件而受到了负面影响。事件的起因是，一种口服药的部分批次所包含的菌群和菌落超出了相关药品安全标准的规定，药品生产质量检验部的一名员工对外进行了披露。该员工曾就此问题向其所在部门的领导进行反映，但并未得到任何答复，遂向媒体投诉。在接受媒体采访时，该员工指出，甲公司一向缺乏严谨的工作作风，此次漠视药品安全标准规定只是公司对待类似问题的一个例子。【2009】要求：（1）根据我国最近制定的相关内部控制原则，说明甲公司的内部控制系统有哪些地方不符合相关内控原则的要求。答疑编号2275080404：针对该题提问正确答案（1）根据我国最近制定的相关内部控制原则，可以判断，该公司的内部控制系统在以下几个方面不符合相关规定：第一，内部环境。内部环境是其他内部控制因素的根基。该公司在生产经营的过程中，出现了一种口服药的部分批次所包含的菌群和菌落超出了相关药品安全标准的规定，而且根据投诉员工的说法，公司一向缺乏严谨的工作作风，此次漠视药品安全标准规定只是公司对待类似问题的一个例子，说明该公司某些员工，特别是管理层的人员缺乏基本的道德观和诚信观，未能履行自身承担的社会责任。第二，风险评估，公司对药品出现问题给企业带来的风险重视不够，未能主动对其采取措施，造成员工向媒体投诉，使公司遭受损失。第三，信息与沟通，有效的沟通应当在企业内部以全方位的方式进行，包括管理者与普通员工的沟通，也包括企业与外部各方的有效沟通。该公司员工在发现问题后向其所在部门的领导进行反映，但并未得到任何答复，说明内部沟通出现了问题。同时，该员工在没有得到答复的情况下，向外部媒体投诉，表明该公司对外沟通的渠道也存在问题。【本节考试小贴士】本节内容在2011年进行了全面改写，主要涉及的是我国内控基本规范的相关内容。属于考试的主要出题点，题型也较为丰富，选择题、简答题、案例分析题均有涉及，建议全面复习。前两年类似内容考试情况统计如下： 知识点时间题型内部控制整体框架2009简答一道控制活动2009单选一道2010多选一道，简答一道复习时重点记忆五大要素的名称，以及内部环境、控制活动、信息与沟通三大要素所包含的内容。第三节企业内部控制的应用本节主要内容简介（企业一些主要内部业务流程）资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告全而预算及合同管理本节学习的基本逻辑体系一、资金活动 企业内部控制应用指引第6号一资金活动资金活动是指企业筹资、投资和资金营运等活动的总称。资金活动涉及三项主要内容：资金活动可能面对的风险：1.筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机。2.投资决策失误，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下。3.资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余。4.资金活动管控不严，可能导致资金被挪用、侵占、抽逃或遭受欺诈。（一）筹资活动1.风险：缺乏完整的筹资战略规划而未能对企业资金现状获得全面认识，缺乏完善的授权审批制度而未能对筹资条款的认真审核、无法保证支付筹资成本或缺乏严密的跟踪管理制度，将加大企业在此活动中所面临的风险。2.关键的内部控制：（1）不相容职务分离：（补充内容）筹资方案的拟定与决策；筹资合同或协议的审批与订立；与筹资有关的各种款项偿付的审批与执行；筹资业务的执行与相关会计记录；（2）业务流程关键控制点及措施 关键控制点控制目标控制措施1.提出筹资方案阶段针对筹资方案可行性进行论证。进行筹资方案的战略性评估；行筹资方案的经济性评估；进行筹资方案的风险性估。 2.筹资方案审批阶段进行审批，选择批准最优筹资方案根据分级授权审批制度，按照规定程序严格审批经过论证的筹资方案；审批中应实行集体审议或联签制度。 3.制定筹资计划阶段制定切实可行的具体筹资计划，科学规划筹资活动，保证低成本、高效率筹资根据筹资方案，结合当时经济金融形势，分析不同筹资方式的资金成本，正确选择筹资方式；根据授权审批制度报有关部门批准。 4.实施筹资阶段保证筹资活动正确、合法、有效进行签订筹资协议，明确规模、如利率、担保等商定条件与权利义务，以及违约责任等；按照岗位分离与授权审批制度，各环节和各责任人正确履行审批管理与监督责任，实施严密的筹资程序控制和岗位分离控制；按照筹资合同或协议，正确计提、支付利息或股利；建立合乎适用会计准则的筹资业务会计记录。 5.筹资活动评价与责任追究阶段保证筹集资金的正确有效使用，维护筹资信用促成各部门严格按照确定的用途使用资金；进行监督检查及评价筹资活动过程，追究违规人员责任。 （二）投资活动1.风险：投资活动与企业战略不符带来的风险；投资与筹资在资金数量、期限、成本与收益上不匹配的风险；投资活动忽略资产结构与流动性或与资本性投资相关之支出被挪作他用或被盗用等的风险2.关键的内部控制：（1）不相容职务分离：（补充内容）投资项目的可行性研究与评估投资的决策与执行投资处置的审批与执行投资绩效评估与执行（2）业务流程关键控制点及措施 关键控制点控制目标控制措施1.提出投资方案阶段进行投资方案可行性论证进行投资方案的战略性评估；进行投资方案的经济性及风险评估 2.投资方案审批阶段进行审批，选择批准最优投资方案根据分级授权审批制度，按照规定程序严格审批经过可行性论证的投资方案；审批中应实行集体审议或联签制度；与被投资方签订投资合同，明确出资时间、金额、方式及双方权利义务以及违约责任等条款.并根据授权审批制度报有关部门审批 3.实施投资方案及监督阶段保证投资活动按计划合法、有序、有效进行根据投资计划按进度适时投放资金，严格控制资金流量和时间；以投资计划为依据，按照职务分离制度和授权审批制度，各环节和各责任人正确履行审批监督责任，对项目实施过程进行监督和控制，防止各种舞弊行为，保证项目建设的质量和进度要求；做好严密的会计记录及相关控制；进行分析和评价并将结果反馈给决策层，以便及时调整投资策略或制定投资退出策略。 4.投资资产收回或处置控制阶段确保投资资产的处理符合企业的利益跟踪投资到期本金的回收；转让投资应当由相关机构或人员合理确定转让价格，报授权批准部门批准；对于到期无法收回的投资，建立责任追究制度。 （三）营运活动1.风险：（补充内容）生产经营各环节资金不平衡；资金循环不合理，使用效率降低，出现资金闲置和沉淀等低效现象；资金安全出现问题，出错、舞弊现象发生；2.关键的内部控制：（1）关键控制点及措施 风险控制点控制目标控制措施审批合法性未经授权审批不得经办资金收付业务；明确不同级别管理人员的权限复核真实性与合法性会计对于相关凭证进行横向复核（即平级人员的相互核对）和纵向复核（即，上下级人员的相互核对） 收支点收入入账完整，支出手续完备出纳根据审核后的相关收款原始凭证收款或付款，并加盖确认记账真实性出纳人员根据资金收付凭证登记日记账，会计人员根据相关凭证登记有关明细分类账；主管会计登记总分类账对账真实性和财产安全账证核对、账表核对与账实核对保管财产安全与完整授