2012年《公司战略与风险管理》辅导：第八章第一节

   （考前时间安排）（七天免费试听）

　　第一节 内部控制的定义和发展

　　一、内部控制的定义【熟悉】

　　内部控制是指为确保实现企业目标而实施的程序和政策。内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。内部控制和风险管理是出色的公司治理极为重要的组成部分。出色的公司治理意味着董事会必须对企业的所有风险加以识别和管理。就风险管理而言，内部控制系统涉及企业财务、运营、遵守法律法规及其它方面。

　　内部控制系统包括两个因素，分别是控制环境和控制政策与程序。控制环境是指企业内对于内部控制的态度及内部控制意识，代表整个企业对于内部控制的价值观。控制政策及程序是指嵌入企业运营中的具体的内部控制。控制政策及程序的设计目的在于，尽可能确保业务行为是有序且有效的。控制政策及程序必须能够根据企业面临的内外部风险而改变，并且应以企业面临的主要风险为重点，并对这些风险做出反应。

　　内部控制的思想和框架总体上就是对企业内资源进行管理的体系，然而基于不同的角度和层次，对内部控制的定义有不同的认识和分析。具体包括四种：美国COSO委员会的定义、美国上市公司会计监督委员会的定义、英国特恩布尔委员会的定义及中国《企业内部控制基本规范》中的定义。

　　1.COSO委员会对内部控制的定义

　　成立于1985年的COSO(committee of sponsoring organization)委员会为美国舞弊报告委员会提供支持。该组织包括美国会计协会(American accounting association)和美国注册会计师协会(American institute of certified public accountants)。现在COSO委员会负责制定有关大型和小型企业实施内部控制系统的指南。

　　1992年，COSO委员会提出《内部控制――整合框架》，1994年又进行增补，简称《内部控制框架》，即COSO内部控制框架。在该框架中，COSO对内部控制的定义是：“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。”

　　COSO委员会指出，从风险管理的角度来看，内部控制是必要的。但是，在实施内部控制时，有几点需要注意。首先，即使实施了优良的内部控制系统，也不一定能使一个蹩脚的管理者变得出色。此外，由于所有内部控制系统仍然面临发生错误或出现差错的危险，因而内部控制系统只能就企业目标的实现提供合理保证。即使一个企业实施了内部控制，也可能由于故意串通破坏、管理层逾越监控而失效。还有，大型或小型企业建立内部控制系统时，均可能存在资源受限的问题。

　　2.美国上市公司会计监督管理委员会对内部控制的定义

　　美国上市公司会计监督管理委员会发布的“审计准则第5号”规定，注册会计师对企业财务报告进行审计必须关注财务报告内部控制，同时管理层应该对企业内部控制作出评估。

　　所谓财务报告内部控制是指，在企业主要的高级管理人员、主要财务负责人或行使类似职能的人员的监督下设计的一套流程，并由公司的董事会、管理层和其他人批准生效，该流程可以为财务报告的可靠性及根据公认会计原则编制对外财务报表提供合理保证，并且包括如下政策和程序：(1)保管以合理的详尽程度、准确和公允地反映企业的交易和资产处置的有关记录;(2)为按照公认会计原则编制财务报表记录交易，以及企业的收入和支出仅是按照管理和公司的董事会的授权执行，提供合理的保证;(3)为预防或及时发现对财务报表有重大影响的未经授权的企业资产的购置、使用或处理，提供合理保证。

　　该定义主要是从保证对外财务报告的可靠性角度定义的。

　　3.特恩布尔委员会对内部控制的定义

　　特恩布尔委员会的职能是为英国上市公司执行《综合守则》规定的内部控制原则提供指南，其总体要求是，公司董事会应实施一套完善的内部控制系统，并定期对该系统进行复核。

　　该委员会认为：内部控制的主要组成部分包括为企业的有效运营提供辅助条件，使企业有能力对阻碍目标实现的重大风险作出反应。此外，内部控制还应能确保对内和对外的报告的质量。而且，内部控制还应能确保法规及企业内部有关业务开展的政策得以遵守。

　　该定义与COSO的定义基本相似。

　　4.中国《企业内部控制基本规范》对内部控制的定义

　　财政部、证监会、审计署、银监会和保监会于2008年6月联合发布的《企业内部控制基本规范》中指出：内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和结果，促进企业实现发展战略。

　　【要点提示】从上述的定义中可以看出，内部控制是为确保实现企业目标而实施的程序和政策，包括控制环境和控制政策与程序。内部控制主要涉及企业财务、运营、遵守法律法规等方面。

　　典型例题:

　　1、[多选题]下列有关内部控制的概述正确的有( )。

　　A就风险管理而言，内部控制系统涉及企业财务、运营、遵守法律法规及其他方面。

　　B内部控制系统包括两个因素：控制环境和控制政策与程序。

　　C只要实施了优良的内部控制系统，企业目标就一定能实现。

　　D内部控制是一个过程，而非目标。

　　【答案】ABD

　　【解析】ABD均是对内部控制的正确概述。COSO委员会指出，从风险管理的角度来看，内部控制是必要的。即使实施了优良的内部控制系统，也不一定能使一个蹩脚的管理者变得出色。因而内部控制系统只能就企业目标的实现提供合理保证。

　　2、[多选题]内部控制关注以下( )方面。

　　A财务报告及相关信息

　　B经营效率和结果

　　C遵守法规和法律

　　D员工的福利问题

　　【答案】ABC

　　【解析】内部控制是指为确保实现企业目标而实施的程序和政策。就风险管理而言，内部控制系统涉及企业财务、运营、遵守法律法规及其它方面。

　　3、[多选题]一般来讲，内部控制系统包括两个因素，分别是( )。

　　A控制环境

　　B控制政策与程序

　　C控制目标

　　D控制结果

　　【答案】AB

　　【解析】不同时期和不同组织提出的内部控制，其具体要素存在着一定的差异。但是如果题目没有明确说明依据，只是泛泛提高内部控制系统的两个要素，则内部控制系统的两个因素分别是控制环境和控制政策与程序。

   【注册会计师常见问答】【考情分析会预定中】

    2012年注册会计师考试招生简章    2011年注册会计师考后交流及真题分享

　　二、内部控制的演变和发展【了解】

　　内部控制的演变和发展经历了如下阶段：

　　1.内部控制在20世纪80年代的控制理论

　　自20世纪80年代以来，内部控制的理论研究有了新的发展，人们对内部控制的研究重点从一般含义转向具体内容，标志是美国注册会计师协会于1998年5月发布的《企业准则公告第55号》中，用“内部控制结构”的概念取代了“内部控制制度”。公告指出，“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”，公告认为内部控制结构由下列三个因素组成：

　　(1)控制环境。这是指对建立、加强或削弱特定政策与程序的效率有重大影响的各种因素，包括管理者的思想和经营作风;组织结构;董事会及所属委员会，特别是审计委员会发挥的职能;确定职权和责任的方法;管理者控制和检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计;人事工作方针及其执行等;影响企业业务的各种外部关系，如由银行指定代理人的检查等。

　　(2)会计制度。这是指为认定、分析、归类、记录、编报各项经济业务，明确资产与负债的经管责任而规定的各种方法，包括认定和登记一切合法的经营业务;对各项经济业务按时和适当的分类，作为编制财务报表的依据;将各项经济业务按照适当的货币价值计价，以便列入财务报表;确定经济业务发生的日期，以便按照会计期间进行记录;在财务报表中恰当地表述经济业务及对有关的内容进行揭示。

　　(3)控制程序。这是指企业为保证目标的实现而建立的政策和程序，如经济业务和经济活动的适当授权;明确各个人员的职责分工等。

　　2.内部控制在成熟阶段的研究结果

　　1992年，COSO委员会提出《内部控制――整合框架》，1994年又进行增补，简称《内部控制框架》，即COSO内部控制框架。这份报告堪称内部控制发展史上的里程碑。该报告包含大量关键概念，认为内部控制是公司董事会和各级管理层计划、实施和监察的不间断的一系列活动。因此，内部控制是一个程序，而非结构。

　　内部控制的目标不仅是为了保证财务报告的可靠性与合规性，而且有助于提高企业运营的效益和效率。因此，内部控制也与业绩目标(比如获利能力)的实现有关。但是内部控制只为企业目标的实现提供合理保证，而非绝对保证。

　　内部控制系统包括企业的政策、程序、任务、行为，使企业能够对与实现企业目标有关的重大业务、经营、财务、法规及其它风险做出适当反应，促进企业的运营效益和效率。这包括保护资产，避免被不当使用或流失和欺诈，并确保负债得到有效管理。

　　完善的内部控制系统还有助于确保对内及对外报告的质量。这要求维持适当的记录和程序，以提供有关企业内外部的及时、相关且可靠的信息，而且，完善的内部控制系统还有助于确保企业遵守适用的法律法规，或遵守商业行为的内部政策。

　　COSO内部控制框架将内部控制分为五个相互关联的组成部分：控制环境、风险评估、控制活动、信息与沟通、监察等。

　　(1)控制环境。内部审计师协会(The Institute of Internal Auditors, IIA)对控制环境的定义是：“董事会与管理层对待公司内部控制的重要性的态度及采取的行为”。控制环境是其他内部控制元素的根基，并提供纪律及结构。控制环境因素包括人员的道德观和胜任能力、董事会提供的指示和管理的效率。控制环境被称为企业的“最高层”。控制环境能说明企业的道德观和文化，为内部控制的其它方面的运作提供框架。控制环境是由管理层所定的基调、管理哲学与管理风格、授权方式、组织和培养员工的方式以及董事会对执行内部控制的决心决定。

　　(2)风险评估。风险评估是指识别和分析影响目标实现的风险(包括与监管和运营环境不断变化有关的风险)，以此来确定如何降低和管理此类风险的依据。企业的目标与所面临的风险之间有一定关联。为了对风险进行评估，必须确立企业目标。目标一经确立，必须识别和评估为实现这些目标而面临的风险，并且该评估应构成决定如何管理该风险的基础。

　　(3)控制活动。控制活动有助于确保管理层的指令得以执行，以及任何可能需要用以处理风险以实现企业目标的行动得以实施。控制活动是指能确保管理层的决策与指示得以执行的政策和程序。企业内部各层面均存在控制活动，控制活动包括组织控制、职责划分、调节和复核、实物控制、授权和批准、计算和会计、人员控制、监督及管理控制。

　　(4)信息与沟通。信息与沟通是指在人员能够履行责任的方式及时间范围内，识别、取得和报告经营、财务与法律遵守的相关信息的有效程序和系统。企业必须收集信息并向适当人士传达。管理者制定恰当的决策之时既需要内部信息也需要外部信息。为了运作内部控制，管理者也需要信息，因此必须建立完善的信息系统。必须为管理者提供与所采取的行动相关的，及时、准确、可以理解的信息。

　　(5)监察。监察是指持续评估内部控制系统的充分性及表现情况的程序。内部控制系统必须接受监察。作为内部控制系统的因素，它与内部审计及一般监督有关。识别并向高级管理层及董事会或董事报告内部控制系统的缺陷是非常重要的。

　　企业可能已经建立了非常完善的内部控制系统，但是仍需要对该系统进行监察。如果内部控制系统未经监察，就很难评估它是否未受控制或需要改进。随着业务的发展，内部控制系统也在发展，因此内部控制系统不是静止不变的。内部审计部门通常是内部控制系统的主要监察人。内部审计师会对内部控制及控制系统进行检查。他们还应识别控制是否失效或是可以纠正的问题。并且向管理层提出有关新系统或系统改进方面的建议。

　　COSO的上述定义对内部控制的基本概念提供了一些深入的见解，特别是;

　　(1) 内部控制是一个实现目标的程序及方法，而其本身并非目标;

　　(2) 内部控制只提供合理保证，而非绝对保证。

　　内部控制要由企业中各级人员实施与配合。

　　图8-1 COSO内部控制框架

　　COSO利用一个三维模型(见图8-1)来描述一个机构内的内部控制系统。该模型在水平方向上分为五层，垂直方向有三个组成部分和跨越第三维的多个椎体。这种模型的结构是5×3×2。但是，它们并不是完全独立的部分，彼此之间是相互连接的，就企业内的内部控制而言，我们将重点考察水平方向上的两层：控制环境和风险评估。

　　企业的内部控制系统会反映其控制环境，而控制环境包括其组织结构。内部控制系统应嵌入企业运营之中，并成为公司文化的一部分。此外，内部控制系统应能够对由企业内在因素和商业环境的改变所产生的不断变化的业务风险做出反应。而且，内部控制系统亦应包括向管理层及时汇报经确认的任何重大控制失误或不足，及所采取的纠正行动的详细程序。

　　典型例题

　　【多项选择题】下列哪些要素包括在COSO内部控制框架中的( )

　　A.控制环境　　　　　　　　　　　　 B.风险评估

　　C.控制活动　　　　　　　　　　　　　　D.信息与沟通

　　【答案】ABCD

　　3. 中国内部控制的发展状况及对企业带来的影响

　　(1).中国内部控制的发展

　　2006年7月，受国务院委托，财政部牵头，由财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会。许多监管部门、大型企业、行业组织、中介机构、科研院所的领导和老师学者积极参与，为构建我国企业内部控制标准体系提供了组织和机制保障。

　　企业内部控制标准委员会的职责和目标是总结我国经验，借鉴国际惯例，有效利用国际国内资源，充分发挥各方面的积极作用，通过数年的努力，基本建立一套以防范风险和控制舞弊为中心，以控制标准和评价标准为主体的内部控制制度体系。并以监管部门为主导。各单位具体实施为基础，会计师事务所等中介机构咨询服务为支撑，政府监管和社会评价将结合的内部控制实施体系，推动公司、企业和其他非营利组织完善治理结构和内部约束机制，不断提高经营管理水平和可持续发展能力。

　　(1)《企业内部控制基本规范》

　　2008年6月28日，财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》(下称“内控规范”)。2009年7月1日起适用于大中型企业(包括上市公司)

   【注册会计师常见问答】【考情分析会预定中】

    2012年注册会计师考试招生简章    2011年注册会计师考后交流及真题分享

　　内控规范要求企业建立内部控制体系时应符合以下目标：

　　一 合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整;

　　二 提高经营效率和效果;

　　三　促进企业实现发展战略。

　　内控规范借鉴了以美国COSO报告为代表的国际内部控制框架，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列五个要素：

　　一 内部环境;

　　二 风险评估;

　　三 控制活动;

　　四 信息与沟通;

　　五 内部监督。

　　(2)《企业内部控制配套指引》

　　2010年4月26日联合发布了《企业内部控制配套指引》(下称《配套指引》)，当中包括l8项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。

　　《配套指引》自2011年1月1日起按已定时间表在境内外不同类型的上市公司施行。同时，鼓励相关非上市大中型企业提前执行。