注册会计师公司战略与风险管理内控考试复习资料.doc

第五篇内控篇【模块1】企业内部控制五要素（2012年教材第八章，P170-182）【2011年、2010年多选题，2011年、2009年单选题】我国的内控规范指出，企业建立与实施有效的内部控制，应当包括下列五个要素：（1）内部环境。（2）风险评估。（3）控制活动。（4）信息与沟通。（5）内部监督。其中，内部环境是企业实施内部控制的基础，其他内部控制因素的根基。一、内部环境（一）组织结构1.企业在处理“三重一大”问题上，即重大决策、重大事项、重要人事任免及大额资金使用，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。2.审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制的自我评价情况，协调内部控制及其他相关事宜等。审计委员会负责人应具备相应的独立性、良好的职业操守和专业胜任能力。3.内部审计机关则需结合内部审计监督，对企业内部控制的有效性进行监督检查。如果发现的内部控制缺陷属于重大缺陷，机构有权直接向董事会及其审计委员会、监事会报告。（二）权力和责任的分配不相容职务通常包括：可行性研究与决策审批、决策审批与执行、执行与监督检查等。（三）管理哲学和经营风格与战略的发展1.企业在董事会下设立战略委员会，或指定相关机构负责发展战略管理工作，履行相应职责。战略委员会可组织有关部门对发展目标和战略规划进行可行性研究和科学论证，形成发展战略建议方案对发展战略实施情况的监控，定期收集和分析相关信息，及时向董事会报告对于明显偏离发展战略的情况也是战略委员会的职责。2.董事会严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性。方案经董事会审议通过后，报经股东（大）会批准实施。假若董事会在审议方案中如果发现重大问题，应当责成战略委员会对方案作出调整。（四）人力资源政策和实务企业关键岗位人员离职前，应当根据有关法律法规的规定进行工作交接或离任审计。二、风险评估1.支持控制活动的实施的基础是有效的企业风险评估程序。2.风险评估可以是正规的量化评估程序，也可以是不太正规的方法。3.风险评估是个具有前瞻性的过程，企业应在所有层面以及企业的所有活动中实施这样的风险评估程序。4.风险评估是两步式程序。第一步是采用定性与定量相结合的方法，评估风险发生的可能性或频率，以及其为企业带来的影响程度；第二步是对识别的风险进行分析和排序。企业可以综合运用风险规避.风险降低.风险分担和风险承担等风险应对策略，实现对风险的有效控制。三、控制活动（重点掌握，属于难点内容）企业应当结合风险评估结果，运用相应的控制措施，将风险控制在可承受之内。这些措施就是控制活动，目的是确保所需的行动得以有效且适时地执行。控制活动基本分类命令式的控制为雇员提供指南预防性控制设计活动旨在防止发生不希望出现的事情侦察式控制在不希望出现的事情发生时能够加以识别纠正性控制当不希望出现的事情发生时，应识别程序的缺陷，并主动采取措施加以解决问题控制活动可以分为运营、财务报告及合规三个类别，但它们之间有时可能出现重叠。（一）不相容职务分离控制1.企业可以通过在两个或两个以上的人员之间分配工作的方式，相互制约的工作机制实现这一监控目标。例如，企业中负责收付现金的出纳员和记录交易的会计人员应分别由不同的人员负责。适当的职责分工重点是，不应由一个人控制一项交易或一个事件的所有关键方面，而且一个人履行的职能应通过其他人执行的职能进行检查。2.大多数交易都可分成三类独立的职责。第一是认可或发起交易.第二是处理被交易的资产，最后是记录交易。如果一个人为上述交易中的一项以上活动承担责任，则存在舞弊的可能。建立不相容职务分离控制不但可降低舞弊风险，还能较容易地发现非本意造成的人为错误。但是当舞弊涉及两人或两人以上的串通行为，不相容职务分离控制却可能是无效的。3.在有效的公司治理层面上，董事会主席与首席执行官的职责应当分离，以防止一个人取得董事会的支配地位。4.在企业中如果某些职能尚未或无法分离，那么，应由管理层对相关活动进行详细的监管审核，作为一种补偿性控制。（二）授权审批控制1.授权审批控制是指企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。例如，被授权的雇员可能开展了达到某项限制的交易，并且须为超出规定限制的交易取得批准。批准上述超出规定限制的交易时，上级必须在核实该活动符合政策及程序的基础上，才能予以批准。上级审批可作为一种监控工具，来确保政策得以遵守。2.授权审批可视之为预防性控制。3.管理层严肃地履行审批职能是非常重要的。这要求他们能够积极核查文件，对异常事项进行询问，以及提醒自己不在空白表格上签字。（三）会计系统控制1.会计系统控制就是企业严格执行我国统一的会计准则制度、明确会计凭证、会计账簿和财务会计报告的处理程序。会计系统还包括正确地记录交易的过程中，依靠会计记录能够追踪每项交易，核对计算。2.从事会计工作的人员，必须取得会计从业证书。会计机关负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师，并不容许设置与其职权重叠的副职。（四）调节和复核1.调节和复核业绩属于侦察式控制。2.调节是指雇员将不同数据连接在一起，识别并找出差异，并且在必要时采取纠正措施，包括：（1）比较总账的现金金额与银行对账单的现金余额；（2）总账的应收款金额与相关坏账准备账户总额；（3）固定资产的现场盘点与会计记录中记载的金额。3.业绩复核，是指管理层将当前的业绩与预算、以前期间或其他基准相比较，以此反映目标的完成情况，并对其中的差异进行调查，以确定哪些纠正行动是必要的。（五）财产保护控制1.财产保护控制是指保护实物资产不被偷盗或未经许可而获得及被使用的措施和程序，这包括建立财产日常管理制度和定期清查制度。2.财产保护控制包括采用财产记录、使用保险箱储存现金和重要文件、为大楼或其内的区域设立门禁系统、为贵重资产采取两重保管方法（即必须两人同时出现才能取得某些资产）、定期对存货进行盘点、雇用保安和利用闭路电视摄像头等措施。四、信息与沟通控制风险是企业各类程序涉及的所有人员的责任，因此，已识别风险信息以及控制这些风险的办法，必须向每个相关人员传达。（一）信息企业应同时建立反舞弊机制。企业应关注的反舞弊工作重点有：（1）未经授权或采取其他不法方式侵占、挪用企业资产、牟取不当利益；（2）在财务会计报告和信息披露等方面存在不准确、误导性陈述或者重大漏报等；（3）董事、监事或管理人员滥用职权；（4）相关机构或人员串通舞弊等。（二）沟通有效的信息与沟通系统应具备以下特点：（1）能够生成企业经营所需的、关于财务、运营及法规遵守的报告，帮助作出精明的商业决策，以及对外发布可靠的报告；（2）能使得雇员获得信息，且交流他们为实施、管理及控制运转情况所需的信息；（3）能识别和传达相关信息，并且是以一种人员能够有效履行他们的职责的方式进行：使沟通在企业以全方位方式进行。.五、内部监督1.内部监督分为日常监督和专项监督：（1）日常监督是指企业对建立与实施内部控制情况进行常规、持续监督检查；（2）专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化的情况下，对内部控制的某一或某些方面进行针对性的监督检查。2.监督过程是内部控制系统的表现进行评估的过程，可以通过持续的监察活动或单独的评价来实现。内部控制如有缺陷，应向上级报告。（1）日常监督程序已成企业经常性运营活动的组成部分，且为实时执行，应根据改变作出调整。（2）专项监督的范围和频率应根据风险评估结果以及日常监督的有效性等因素予以确定。3.监督方法内部控制的监督方法包括：（1）绩效计量。（2）对企业运营进行测试。（3）为控制环境、风险评估、控制活动、信息与沟通以及控制而制定的政策及程序，常常由硬性控制构成，硬性控制是容易识别、评估及记录的。软性控制是指涉及态度、感知及能力的控制。这些控制在设立或巩固企业的内部控制系统时，不应被高估或低估。4.报告（1）雇员从事常规运营活动时产生的信息，通常通过正常的渠道向他们的上级报告。（2）还应有另一渠道供汇报非常敏感的信息，比如违法或不当举动。（3）有关缺陷的调查结果不仅应向负责有关职能或者活动的个人汇报，还应向比其至少高一级的管理层汇报。管理层为对内部控制系统的有效性取得合理保证，需要对内部控制系统进行的自我评价。评价应至少每年发生一次。【模块2】企业内部控制的应用指引（2012年教材第八章，P183-193）【2011年多选题、2010年简答题】一、资金活动（一）筹资活动1.筹资方案审批阶段。相关的控制措施包括：根据分级授权审批制度，按照规定程序严格审批经过论证的筹资资方案；审批中应实行集体审议或联签制度。2.制定筹资计划阶段。相关的控制措施包括：根据筹资方案，结合当时经济金融形势，分析不同筹资方式的资金成本，正确选择筹资方式。根据授权审批制度报有关部门批准。（二）投资活动1.提出投资方案阶段。可实施控制措施包括：进行投资方案的战略性评估，例如，是否与企业发展战略相符合；进行投资方案的经济性及风险评估，如投资规模、方向与时机是否适当。2.投资方案审批阶段。相关的控制措施包括：根据分级授权审批制度，按照规定程序严格审批经过可行性论证的投资方案；审批中应实行集体审议或联签制度；与被投资方签订投资合同，明确出资时间、金额、方式及双方权利义务以及违约责任等条款，并根据授权审批制度报有关部门审批。（三）营运活动企业在加强日常资金营运管理的过程中支持各项企业主要业务流程，如采购.生产.销售等环节的营运效率。以下列举一些常见的控制措施：风险控制点控制目标控制措施审批合法性未经授权审批不得经办资金收付业务；明确不同级别管理人员的权限复核真实性与合法性会计对于相关凭证进行横向复核（即，平级人员的相互核对）和纵向复核（即，上下级人员的相互核对）收支点收入入账完整，支出手续完备出纳根据审核后的相关收款原始凭证收款或付款，并加盖确认记账真实性出纳人员根据资金收付凭证登记日记账，会计人员根据相关凭证登记有关明细分类账；主管会计登记总分类账对账真实性和财产安全账证核对、账表核对与账实核对保管财产安全与完整授权专人保管资金；定期.不定期盘点银行账户管理防范小金库：加强业务管控开设、使用与撤销的授权票据与印章管理财产安全票据统一印制或购买；票据由专人保管；印章与空白票据分管；财务专用章与企业法人章分管二、采购业务（一）购买1.编制采购计划。企业中的采购部门按照要求部门的生产经营需要，进行分析汇总、与企业现有库存物资作比较，作出适当的计划。企业应要求生产、经营等部门应按照实际需求准确编制需求计划，并把有关计划纳入预算管理。2.请购。企业应该建立采购申请制度并实施相关的控制措施，包括：（1）企业应当依据购买物资或接受劳务的类型，确定归口管理部门，授予相应的请购权，明确相关部门或人员的职责权限及相应的请购和审批程序。（2）具有请购权的部门对于预算内采购项目，应当严格按照预算；执行进度办理请购手续，并根据市场变化提出合理采购申请；对于超预算和预算外采购项目，应先履行预算调整程序，出具备相应审批权限的部门或人员审批后，再行办理请购手续。（3）有关部门对于需求部门的申请，应根据主要考虑清单进行审阅，继而进行审批或拒绝。（二）付款要明确付款审核人的责任和权力，严格审核采购预算、合同、相关单据凭证、审批程序等相关内容，审核无误后按照合同规定及时办理付款。三、资产管理（一）存货1.取得存货。可实施的控制措施包括：根据存货间隔期和当前库存，综合考虑企业生产经营计划及市场供求等决定因素管理存货，以确定存货数量和日期；考虑应用于采购流程的有关管控措施及有关产能计划的考虑。2.验收入库。（1）外购存货的验收，应当重点关注合同、发票等原始单据与存货的数量、质量、规格等核对一致。涉及技术含量较高的货物，必要时可委托具有检验资质的机构或聘请外部专家协助验收。（2）自制存货的验收，应当重点关注产品质量。（3）其他方式取得存货的验收，应当重点关注存货来源、质量状况、实际价值是否符合有关合同或协议的约定。（4）所有验收完成后，应有负责人签字确认。3.盘点清查及销售处置。存货盘点清查的主要目的是检查账实相符，对账实差异进行分析，这包括数量和质量方面。企业应每年进行至少一次年度终的定期盘点清查，并在形成书面报告盘点结果，交代存货盘盈、盘亏、毁损、闲置以及需要报废的存货的情况与责任追究.在按照规定权限批准后处置。（二）固定资产每年至少进行一次固定资产的全面清查。清查中发现问题，应查明原因，追究责任和妥善处理。（三）无形资产（1）企业应全面梳理无形资产的取得及权属关系，加强无形资产权益保护，防范侵权行为和法律风险。（2）企业应关注无形资产具有保密性质的，采取严格保密措施，严防泄露商业秘密，以及应当定期对专利、专有技术等无形资产的先进性进行评估，淘汰落后技术。加大研发投入，促进技术更新换代，不断提升自主创新能力，努力做到核心技术处于同行业领先水平。四、销售业务（一）销售1.计划管理。企业应实施的控制措施包括：根据企业发展战略及实际销售情况，制定月度的销售计划；定期对各产品的销售情况进行分析。2.客户开发与信用管理。可实施的控制措施有：进行市场调查并采用系统方法实施营销战略；建立和不断更新客户的信用动态档案。3.销售定价、订立销售合同。企业应考虑的内控措施包括进行适当的产品战略，应用系统方法实施定价策略。在与客户订立销售合同时，明确双方的权利和义务，审批人员应当对销售合同草案进行严格审核。重要的销售合同，应当征询法律顾问或专家的意见。（二）收款企业应考虑加强各方面的内部控制措施，包括：（1）结合企业销售政策，选择适当的结算方式，加快款项回收；（2）加强商业票据管理，例如，由专人保管应收票据、定期核对盘点、票据和背书应当审查等（3）加强有关对销售、发货、收款业务的会计系统控制，详细记录销售客户、销售合同、销售通知、发运凭证、商业票据、款项合同等情况；（4）加强应收款项的管理，例如：建立应收账款账龄分析制度和逾期应收账款制度，有需要时通过法律程序解决催收无效的逾期应收款并按照国家会计制度适当的有关会计账户；五、研究与开发企业可实施的控制关注点包括：（1）建立完善的立项申请程序，展开可行性研究（2）审批通过，重点关注研究项目对促进企业发展的必要性、技术先进性以及成果转化的可行性。重大的研究项目应当报经董事会或类似机构集体审议（3）落实岗位责任制，监督进程（4）与合作方外包方签订合同，约定明确双方投资、分工、权利义务、研究成果产权归属、研究进度和质量标准等内容（5）确定是否申请专利，或作为非专利技术、商业秘密等（6）界定核心研究人员名单和工作范围，签署保密防议；签订劳动合同时，应当特别约定研究成果归属、离职条件、离职移交程序、离职后保密义务、离职后竞业限制年限及违约责任等（7）建立研究开发活动评估机制六、工程项目1.工程立项阶段。如果工程立项缺乏可行性研究或者可行性研究流于形式，决策不当，盲目上马，可能整个项目失败。企业为应对这些风险可实施的控制措施包括：（1）制定专业标准以确保可行性研究科学，准确和公正；（2）组建项目审评组或委托具有资质的专业及独立于项目可行性研究组的机构对项目可行性研究报告进行审评；（3）规定权限和程序，对工程项目进行决策并要求署名记录。重大工程项目的立项，应到报经董事会或类似权力机构集体审议批准。2.工程招标阶段。大型的工程项目一般采用公开招标方式，选择具有相应资质的承包单位和监理单位。企业可实施的措施包括：（1）依照国家招投标法的规定及遵循公开.公正.平等竞争的原则，发布招标公告，提供载有招标工程的主要条款的招标文件，如技术要求.主要合同条款.评估的标准和方法等；（2）依法组建评标委员会，确保其成员有较高的职业道德水平及专业知识和经验进行客观评标：（3）对投标人的信息采取严格保密措施，例如：限制未经授权人员接触标书.所有人员不在开标前开启投标文件；（4）与中标人订立书面合同，明确双方权利，义务和责任。3.工程造价阶段。如果工程造价信息不对称，技术方案不落实，预算脱离实际，将导致项目投资失控。企业应加强工程造价管理及实施适当内控措施，包括：（1）明确初步设计概算和施工图预算的编制方法；（2）按照规定的权限和程序进行审核批准，确保概预算科学合理；（3）建立设计变更管理制度，因过失造成设计变更而影响造价，应实行责任追究制度。4.工程建设阶段。对施工阶段进行管理，以防质量来达标而影响项目的预期效益。企业可实施的控制措施包括：（1）实行严格的工程监理制度，未经监理人员签字，工程物资不得在工程上使用或者安装，不得进行下一道工序施工，不得拨付工程价款，不得进行竣工验收；（2）施工单位需在施工前列出重要的质量控制点，获得监理机构同意后，实施质量及安全预控；（3）严格控制工程变更，重大的项目变更应当按照项目决策和概预算控制的有关程序和要求重新履行审批手续。5.工程验收阶段。（1）编制竣工决算，开展竣工决算审计、审批决算、组织验收；（2）将整个工程各环节的文件资料按国家有关档案管理规定归档；（3）建立完工项目后评估制度，重点评价工程项目预期目标的实现情况和项目投资效益等，并以此作为绩效考核和责任追究的依据。七、担保业务1.调查评估。强化担保业务中调查评估制度是非常重要的，包括委派具备胜任能力的专业人员或部门负责对担保人进行资信调查及风险评估。在评估过程中，应当尤其关注（1）担保项目是否符合国家法律法规和企业担保政策的要求；（2）担保申请人的资信状况，如基本情况、资产质量、经营情况、偿债能力、盈利水平、信用程度、行业前景等；（3）担保申请人用于担保和第三方担保的资产状况及其权利归属；（4）如果企业要求担保申请人提供反担保的，还应当对与反担保有关的资产状况进行评估。2.审批。企业应健全授权审批制度，可实施的控制措施包括：（1）明确担保业务的授权批准方式权限、程序、责任和相关控制措施，在授权范围内进行审批，不得超越权限审批：（2）对重大担保业务实施集体决策审批，例如必须获得董事会全体人员的23赞成或经股东大会批准；（3）企业内设机构未经授权不得办理担保业务；（4）企业为关联方提供担保时，与关联方存在经济利益或近亲属关系的有关人员在评估与审批环节应当回避；（5）对境外企业进行担保的，应当遵守外汇管理规定，并关注被担保人所在国家的政治、经济、法律等因素；（6）被担保人要求变更担保事项时，企业应当重新履行调查评估与审批程序。八、业务外包业务外包，是指企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织（即承包方）完成的经营行为。有关可实施的控制措施包括：1.明确职责权限，加强过程监控，避免核心业务外包；2.建立和完善业务外包管理制度，如重大业务外包决策应由总会计师、分管会计工作负责人参与，报董事会或类似权利机构审批；明确选择承包方的方式、标准及条件以及应用于选择承包方时的有关保密工作；3.应用企业内部控制应用指引第l5号一全面预算的管控措施确保外包方案的可行性；4.应用企业内部控制应用指引第l6号一合同管理的管控措施明确外包内容、承包方与企业双方的责任与义务，服务和质量标准、保密协议等条款；5.建立与承包方的沟通与协凋，及时搜集相关信息以便有效地解决业务过程存在的问题；6.对重大外包业务或各种意外情况做出预计及建立应急机制；7.外包业务的费用结算和会计处理；8.对承包方履约能力的持续评估，若有重大违约行为，应及时终止合同；9.应用如同项目工程中的验收工作。九、全面预算企业应在组织中健全全面预算的管理体制，包括：（1）设立预算管理委员会履行全面预算管理职责，其成员由企业负责人及内部相关部门负责人组成。预算管理委员会主要的职责有：拟定预算目标和预算政策，制定预算管理的具体措施和办法；组织编制、平衡预算草案：下达经批准的预算、协调解决预算编制和执行中的问题；考核预算执行情况，督促完成预算目标。总会计师或分管会计工作的负责人应当协助企业负责人负责企业全面预算管理工作的组织领导：（2）明确全面预算管理工作机构。例如，在预算管理委员会下设立有关管理工作机构，负责组织企业全面预算管理的各项日常工作，比如预审各预算单位的预算初稿。【模块3】企业内部控制评价（2012年教材第八章，P195-202）内部控制自我评价是由企业董事会和管理层实施的。完成评价后，企业应当准备一份内部控制自我评价报告，在其年报中进行披露。企业董事会应当对内部控制评价报告的真实性负责。一、内部控制评价的程序（一）制定评价控制方案企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。该评价部门或机构应具备以下条件：（1）能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；（2）具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；（3）与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约；（4）能够得到企业董事会和经理层的支持，通常直接接受董事会及其审计委员会的领导和监事会的监督，有足够的权威性来保证内部控制评价工作的顺利开展。（二）组成评价工作组1.评价工作组成员应具备独立性、业务胜任能力和职业道德素养及当吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。2.对于拥有内部审计部门的企业来说，内审部很大可能也同样地担当内部控制评价组的工作。3.如果企业决定利用外聘会计师事务所为其提供内部控制评价服务，根据内控规范的要求，这所事务所不应同时为企业提供内部控制的审计服务。（三）实施评价工作与测试评价工作组需通过了解企业公司层面基本情况、各业务层面的主要流程、识别有关主要风险后，才能开展实施及测试设计和运行有效性的内部控制工作。1.了解公司层面基本情况。了解其经营业务范围、企业文化、发展战略、组织结构、人力资源等内部控制及内部控制内容中五个要素的运作情况。2.了解各业务层面的主要流程及风险。这阶段，评价工作组把工作重点放在主要业务流程中，如资金管理流程、销售流程、采购流程等。每个主要流程一般又分为不同的子流程。【例82】业务流程中的关键业务或固有风险认定以及识别有关的风险关注点。银行账户管理风险点相关控制举例银行账户的开立、变更及撤销未经合理的审批及授权1.提交给银行的开立账户申请书需要经过公司总经理书面批准（签章） 2.提交给银行的变更账户申请需要经过财务经理和总经理审批 3.提交给银行的撤销账户申请需要经过财务经理和总经理审批 公司票据及印鉴未实行适当的职责分离或妥善保管1.开具支票所需法人名章、财务专用章和空白支票分别由现金出纳、主管会计和公司的银行出纳员分别保管 2.在开具现金支票时，公司的银行出纳根据付款申请填写现金支票后上交主管会计和现金出纳审核，审核无误后，由主管会计加盖财务专用章，由现金出纳加盖法人名章 3.确定检查评价范围和重点。一般来说，能够满足所有合规、运营及财务三个方面认定的相关控制均为关键控制点，应当对其进行测试。在测试控制的有效性在两个层面进行：一是控制设计上的有效性；二是控制在实际运行中的有效性。4.开展现场检查测试。如果发现内部控制出现缺陷，则需与管理层沟通，对有关缺陷进行认定并进行记录。【例83】综合运用测试方法的举例银行余额调节表询问询问负责准备及审阅银行余额调节表的人员，了解在流程中如何发现银行调节表中出现的差异，确认有关差异原因，人员实施的步骤以确保相应的财务记录得到及时更正 穿行测试、观察观察调节表准备的过程，在穿行测试中记录流程 审阅与检查选择某些年份的调节表，检查表上存在的差异，追溯到银行对账单以支持有关调节项目的合理性以及检查相关负责人签字（四）汇总评价结果1.企业内部控制评价工作组应当建立评价质量交叉复核制度，有关评价报告应由评价工作组负责人严格审核确认，并与被评价单位进行通报，在提交内部控制评价部门或机构前得到被评价单位相关责任人签字确认。2.企业内部控制评价部门或机构应编制内部控制缺陷认定汇总表，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。二、内部控制缺陷的认定（一）内部控制缺陷的分类1.按照内部控制缺陷的本质分类。按照内部控制本质上的不同，可以把内部控制缺陷分为设计缺陷和运行缺陷。（1）设计缺陷是指企业缺少为实现控制目标的必需控制，或现存的控制并不合理及未能满足控制目标。设计缺陷既可以是系统设计的缺陷，也可以系统外手工控制的设计缺陷。（2）运行缺陷是指设计合理及有效的内部控制，但在运行上没有被正确地执行。这包括不恰当的人员执行，未按设计的方式运行，如频率不当等。2.按照内部控制严重程度分类按其影响程度分为重大缺陷、重要缺陷和一般缺陷。（1）重大缺陷（也称实质性漏洞），是指一个或多个控制缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。（2）重要缺陷是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大，需引起管理层关注。（3）一般缺陷是指除重要缺陷、重大缺陷外的其他缺陷。（二）内部控制认定程序与整改1.如果评价关注人员在实施测试中发现控制差异，应分析差异是否属于控制缺陷及评价其严重程度。（1）如果审查了解控制差异的起因和结果后，断定控制目标未能达到，同时，评价工作组人员不能增加其他测试程序证明已发现的差异不能代表所有内控的情况，将形成缺陷的结论。（2）管理层应评价其严重程度在其年度自我评价报告中披露，并有责任对有关控制缺陷进行整改，作出补救措施。（3）控制缺陷可以分为设计缺陷和执行缺陷，因此，整改方案应根据缺陷的不同类别制定不同的整改方式。对于需整改的内控设计缺陷，企业需在已有的内控管理制度体系中补充相关规定或修改原有规定，按照企业既定的管理制度报批程序对做出的补充或修改进行审批。对于需整改的内控执行缺陷，企业需加强内控的执行力度，要求控制执行人严格按照相关规定执行。2.对于重大缺陷和重要缺陷的整改方案，应向董事会（审计委员会）、监事会或经理层报告并审定。如果出现不合适向经理层报告的情形，例如存在与管理层舞弊相关的内部控制缺陷，内部控制评价组应当直接向董事会（审计委员会）、监事会报告。重要缺陷并不影响企业内部控制的整体有效性，但是应当引起董事会和管理层的重视。对于一般缺陷，可以与企业管理层报告，并视情况考虑是否需要向董事会（审计委员会）、监事会报告。三、内部控制评价报告1.企业应根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，及时编制内部控制评价报告。内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。2.企业应当以12月31日作为年度内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告。3.对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素，企业应当根据其性质和影响程度对评价结论进行相应调整。4.评价指引要求企业在评价报告中至少披露以下内容：（1）董事会对内部控制报告真实性的声明，实质就是董事会全体成员内部控制有效性负责。（6）内部控制缺陷及其认定情况，主要描述适用于企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致，同时，根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。（7）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。（8）内部控制有效性的结论。对不存在重大缺陷的情形，出具评价期末内部控制有效结论；对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。【例84】以银行账户管理的子流程中，假如已认定当中存在缺陷，在企业编制的内部控制评价报告中，应对包含具体、可行整改措施。银行账户管理发现问题及分析管理层整改计划举例缺乏定期对于公司银行账户的检查工作财务部相关负责人，应定期检查银行账户的情况，并将有关规定流程包含于内部流程的操作手册中，以确保负责人员能够在处理银行账户的开立/变更/撤销按照规定流程合理正确的进行银行印鉴及票据等均由一人保管，违背职责分离的原则严格按照职责分离的原理，开具支票所需法人名章、财务专用章和空白支票分别由现金出纳、主管会计和公司的银行出纳员分别进行保管。在开具现金支票时，公司的银行出纳根据付款申请填写现金支票后上交主管会计和现金出纳审核，审核无误后，由主管会计加盖财务专用章，由现金出纳加盖法人名章【模块4】审计委员会（2012年教材第八章，P203-206）【2010年单选题、2009-2011年多选题、2009年简答题】一、审计委员会1.审计委员会的组成应全部由独立、非行政董事组成，他们至少拥有相关的财务经验。审计委员会的职能是监督、评估和复核企业内的其他部门和系统。2.董事会关于内部控制的主要目标会授权给审计委员会负责。在一般情况下，审计委员会负责整个风险管理过程，包括确保内部控制系统是充分且有效的。【教师提示】行政董事可以对公司的人员做出调整和部署，在公司赋有管理权利，基本上可以说是极高的管理者。3.审计委员会应复核企业的内部财务控制以及企业的所有内部控制和风险管理系统，除非这项任务由另外的独立风险委员会或董事会承担。审计委员会还应批准年报中有关内部控制和风险管理的陈述。二、审计委员会履行职责的方式1.董事会应决定委派给审计委员会的责任。2.建议审计委员会每年至少举行三次会议，并于审计周期的主要日期举行。3.审计委员会应每年至少和外聘及内部审计师会面一次，讨论与审计相关的事宜，但无需管理层出席。审计委员会主席可能特别希望与其他关键人员（比如董事会主席、首席执行官、财务总监、高级审计合伙人和内部审计主管）进行私下会面。4.审计委员会成员之间的不同意见如无法内部调解，应提请董事会解决。5.审计委员会应每年对其权限及其有效性进行复核，并就必要的人员变更向董事会报告。管理层对审计委员会有告知义务，并应主动提供信息，而不应等待审计委员会索取。三、审计委员会与内部审计（一）审计委员会对内审的职责确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作。（1）应该核查内部审计的有效性（2）批准对内部审计主管的任命和解聘（3）应确保内部审计部门能直接与董事会主席接触，并负有向审计委员会说明的责任。（4）复核及评估年度内部审计工作计划。（5）收到关于内部审计部门工作的定期报告，复核和监察管理层对内部审计的调查结果的反应。（6）应确保内部审计部门提出的建议己执行。（7）审计委员会应有助于保持内部审计部门对压力或干涉的独立性。（二）内部审计活动1.对内部审计的独立性要求（1）为保持独立性，负责复核特定职能部门的雇员应独立于该职能部门之外，并应直接将相关发现向董事会或其下属的审计委员会报告。（2）内部审计师或内部审计的管理者或董事应直接且定期向董事会报告。（3）审计师必须拥有针对企业内的所有大业务部门、部门及职能进行检查的权力，与企业的任何人员直接进行沟通的权力，以及使用审计工作所需的所有的记录、文档或数据的权力。（4）如果主管审计师向高级管理者（而非董事会）报告日常行政事务，董事会必须采取额外措施保证这种报告关系不会影响独立性；2.对内部审计师的要求（1）内部审计师应具备必要的知识、技巧以及训练，以熟练、专业地实施审计工作。这需要他们培养分析、技术、决策及沟通技巧。审计人员至少应当其有适当的教育背景或经验，以及与所承担的责任相匹配的组织技巧和技术。（2）内部审计师应该善于口头沟通及书面通信，能够理解会计及审计准则、原则及技术，认识及评估与完善的商业实务的偏离之重要性和重大程度。（3）能确认现有或潜在的问题，并在适当的情况下，对程序进行补充。（4）企业内部培训、在机构不同部门工作的经验，以及查阅当前关于审计和银行业的文献，也是保持和提高审计技巧的方法。（三）内部审计师在企业中的地位1.内部审计师的主要作用是，独立且客观地复核及评价企业的活动，以维持或改善企业风险管理、内部控制及公司治理的效益与效率。审计师应将相关结果向董事会或其下属的审计委员会以及高级管理层报告。2.内部审计师必须保持客观和独立。对内部审计的任何约束，都是对他们工作的限制，这可能暗示管理层试图掩盖矛盾。内部审计师应被允许直接与外聘审计师沟通，对此所作的任何限制，也可能印证管理层试图隐瞒某些情况。（四）内部审计师的职能范围1.内部审计师应被允许不受限制地使用企业的账簿记录或进入控制系统。2.对于内部审计部门所作的任何报告和建议，均应采取相应行动，或者管理层应说明尚未针对报告采取行动的原因。（1）基本职能：包括评价会计、运营及行政控制的可靠性、充分性及有效性；确保银行的内部控制能使交易得以迅速及正确地记录，正确地保护资产；确定公司是否遵循了法律法规及其自身制定的政策；管理层是否采取了适当的步骤，来应对控制的不足。（2）扩展职能：为企业增加新产品或服务提供建设性的商业建议。3.内部审计部门的工作应进行适当的规划，并被复核和记录。缺乏文件记录，可能表明尚未执行内部审计工作，或者所执行的工作低于所要求的水平。（五）内部审计报告1.报告的内容：通常审计报告包括工作目标、审计师已实施的程序概述、审计意见及建议。（1）审计工作的目标为报告使用者说明了复核的目的。（2）审计师已实施的程序概述，说明了审计师如何收集和整理能够支持其所发表的意见及所提出的建议的证据。（3）审计意见，对接受复核的内部控制的有效性进行总结。（4）审计师的建议，突出说明了控制上的不足之处，并提出改进措施的建议。2.内部审计人员必须向适当的各方报告审计结果并提出建议，并尽可能在相关工作完成后发布报告。3.内部审计报告的程序（1）完成审计后，内部审计师首先会与部门经理会面，审核内部审计报告草稿，更正任何不精确的信息，并就管理层的承诺和行动达成一致。（2）将内部审计报告终稿提交给有责任且有权力按照建议执行任何纠正举措的管理人员。（3）内部审计师应进一步跟进，并将结果向董事会或其下属的审计委员会报告。跟进活动一般首先获得审核管理层的反应，然后确认纠正措施是及时且有效的。四、审计委员会与外聘审计师1.审计委员会应承担就任命、重新任命或解聘外聘审计师向董事会提出建议的主要责任，监督新审计师的选择过程，批准外聘审计师的业务条款及审计服务的报酬。审计委员会应复核审计师的审计工作范畴，并确信该审计范畴是充分的，并确保于每次年审开始之时已为审计制订了适当的计划。审计委员会执行审计工作完成后的复核。2.审计委员会订立了年度程序，以确保外聘审计师的独立性和客观性。审计委员会确信本企业未雇用审计小组成员的家庭成员，审计师及其员工与本企业无财务、雇佣、投资或业务关系。3.审计委员会还应为企业制定关于由外聘审计师提供非审计服务的政策，并向董事会提出相关建议。提供非审计服务时，不得损害审计师的独立性或客观性。4.审计委员会应制定一项政策，明确外聘审计师不得提供的服务类型，并且说明外聘审计师能够提供的无需请示审计委员会的服务。【模块5】独立董事及董事会主席（2012年教材第八章，P209-210）1.董事会中大部分成员应当是独立董事。独立董事是指独立于公司股东且不在公司中内部任职，并与公司或公司经营管理者没有重要的业务联系或专业联系，能对公司事务做出独立判断的董事。独立董事在上市公司不再担任该独立董事之外的任何其他职务，并与上市公司及其大股东之间不存在妨碍其独立做出客观判断的利害关系的董事。2.董事会应根据董事们披露的利益定期评估每个董事的独立性，以及将每个独立董事所申报的相关信息在企业年度报告的公司治理部分中作出披露。每名董事的任期对于独立性的评估也是非常重要的，企业也应在年度报告中的公司治理部分披露每个董事的任期及独立董事的变动。3.独立董事的职责可以分为四种不同的角色，即战略角色、监督或绩效角色、风险角色和人事管理角色。独立董事的职责角色战略角色独立董事是董事会的正式成员，因此有权利也有责任为企业的战略成功做出贡献，从而保护股东的利益。在他们认为合适的情况下，可能会对战略的任何方面提出挑战，并提供建议帮助制定成功的战略。监督或绩效角色独立董事应当使执行董事对已制定的决策和企业业绩承担责任。他们应当代表股东的利益，并致力于消除因代理问题使股东价值降低的可能性。 风险角色独立董事应当确保企业设有充分的内部控制系统和风险管理系统。人事管理角色独立董事应对董事会执行成员管理的有关责任进行监督。这一般涉及人员任命和薪酬问题，也可能包括合同或纪律方面的问题及接班人计划。4.董事会主席的作用。（1）董事会主席负责领导董事会，以便有效地组织和行使董事会的职能，并通报董事会会议中产生的所有有关董事的问题。董事会主席应当同意并且在必要时制定董事会的议程，确定定期举行董事会议。同时，董事会主席应当确保董事在董事会议召开前获得相关信息。（2）董事会主席的角色还应扩展至配合独立董事的工作。（3）董事会主席和首席执行官之间的分工应经过董事会的同意，并记录在一份职责声明中。首席执行官不应该兼任同一家公司的董事会主席。（4）对于投资者及其他外部的利益相关者或委托人，董事会主席是公司的代表。（5）董事会主席的角色还包括与股东的沟通。第六篇风险篇【模块1】风险特征与种类（2012年教材第九章，P214-217）【2011年多选题、2010、2009年单选题、2009年简答题】一、风险的特性风险具有客观性、普遍性、损失性和可变性四种特性。风险特性相关解读客观性风险是不以企业意志为转移，独立于企业意志之外的客观存在。企业只能采取风险管理办法降低风险发生的频率和损失幅度，而不能彻底消除风险。普遍性个体或企业面临着各式各样的风险损失性只要风险存在，就一定有发生损失的可能。可变性风险的可变性是指在一定条件下风险具有可转化的特性。二、企业可能面对的风险种类在商业活动的层面上，企业可能面对的风险可分为两大类：行业风险和经营风险。（一）行业风险行业风险是指在特定行业中与经营相关的风险。在考虑企业可能面对的行业风险时，以下几个因素是非常关键的：1.生命周期阶段。处于成长期的行业会比处于成熟期或衰退期的行业有利得多。2.波动性。波动性是与变化相关的一个指标。波动性行业是指成长迅速变化，充满上下起伏的行业。波动性行业会涉及较大的不确定性，使计划和决策变得更难。波动性行业包括电子业、软件业、房地产业和建筑业。 3.集中程度（垄断程度）。对企业来说，比较好的情况是在一个受保护的行业中处于垄断地位，就像某些国家公用事业公司或国家政府所管理的公司一样。但是，随着大多数国家的发展、国家企业私有化、关税壁垒降低，以及新兴行业与成熟公司的相互竞争，这些垄断地位已经被推翻，而且各行业变得更具竞争性。（二）经营风险1.市场风险市场风险，有时也称为财务风险或价格风险，它指由于市价的变化而导致亏损的风险。（1）利率风险。利率风险是指因利率提高或降低而产生预期之外损失的风险。（2）汇率风险。汇率风险或货币风险是由汇率变动的可能性，以及一种货币对另一种货币的价值发生变动的可能性导致的。（3）商品价格风险。主要商品的价格出人意料地上涨或下跌，可能使业务面临风险。（4