06第六章+企业内部控制

高级会计实务内部控制讲义主讲:方燕（教授、注册会计师）2017年7月《高级会计实务》 2017年全国高级会计资格考试辅导1《高级会计实务》 2017年全国高级会计资格考试辅导企业内部控制第一节 企业内部控制规范体系框架为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。《企业内部控制基本规范》适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。国务院有关部门可以根据法律法规、《企业内部控制基本规范》及其配套办法，明确贯彻实施《企业内部控制基本规范》的具体要求，对企业建立与实施内部控制的情况进行监督检查。基本规范在内部控制规范体系中处于最高层次，起统驭作用，确立了企业建立与实施内部控制必须建立的框架结构，规定了内部控制的目标、原则、要素等基本要求，是制定应用指引、评价指引和审计指引的基本依据。2010年4月，财政部会同证监会、审计署、银监会、保监会发布了《企业内部控制配套指引》（以下简称配套指引）。该配套指引连同2008年5月发布的《企业内部控制基本规范》，共同构建了中国企业内部控制规范体系。《企业内部控制配套指引》自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。《企业内部控制配套指引》由《企业内部控制应用指引》（共21项，目前发布18项，涉及银行、证券和保险等业务的3项指引暂未发布）、《企业内部控制评价指引》和《企业内部控制审计指引》组成。其中，应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占居主体地位，应用指引可以划分为三类，即内部环境类指引、控制活动类指引、控制手段类指引；企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引；企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。三者之间既相互独立，又相互联系，形成一个有机整体。注释：《企业内部控制基本规范》是内部控制建设与实施应该遵循的基本原则和总体要求，具有强制性，纳入实施范围的企业应当遵照执行。《企业内部控制配套指引》是对《企业内部控制基本规范》相关规定的进一步补充和说明，具有指导性和示范性，纳入实施范围的企业可以结合所在行业要求和企业自身特点，参照配套指引的规定开展内部控制建设与实施工作。注释：境内外同时上市的公司应当在满足境外监管机构要求的基础上，对照我国企业内部控制规范体系，特别是应当围绕《企业内部控制基本规范》提出的内部控制五目标，对相关控制措施进行适当调整或补充完善。注释：企业应当按照《企业内部控制基本规范》及其配套指引规定和行业管理、市场监管的要求，建设与实施内部控制。中国企业内部控制规范体系与本章各节内容之间的关系如表所示。2《高级会计实务》 2017年全国高级会计资格考试辅导第一节第二节第三节《企业内企业内部部控制基控制规范本规范》体系框架内部环境类指企业层面控制中国企引（5项）业内部《企业内部控制应控制活动类指业务层面控制控制规用指引》（已颁布引（9项）范体系《企业内18项）控制手段类指业务层面控制部控制配引（4项）套指引》《企业内部控制评内部控制评价价指引》《企业内部控制审内部控制审计计指引》中国企业内部控制规范体系与本章各节内容之间的关系内部控制是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。它具有以下几个主要的特点：一、内部控制目标内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。(一)促进遵循国家法律法规守法和诚信是企业健康发展的基石。逾越法律的短期发展终将付出沉重代价。内部控制要求企业必须将发展置于国家法律法规允许的基本框架之下，在守法的基础上实现自身的发展。(二)促进维护资产安全资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题，是企业可持续发展的物质基础。良好的内部控制，应当为资产安全提供扎实的制度保障。(三)促进提高信息报告质量可靠的信息报告能够为企业管理层提供适合其既定目的的准确而完整的信息、支持管理层的决策和对营运活动及业绩的监控；同时，保证对外披露的信息报告的真实、完整，有利于提升企业的诚信度和公信力，维护企业良好的声誉和形象。(四)促进提高经营效率和效果该目标要求企业结合自身所处的特定的经营、行业和经济环境，通过健全有效的内部控制，不断提高营运活动的盈利能力和管理效率。(五)促进企业实现发展战略这是内部控制的终极目标。它要求企业将近期利益与长远利益结合起来，在企业经营管理中努力做出符合战略要求、有利于提升可持续发展能力和创造长久价值的策略选择。例（2008年试题）：明确控制目标。本公司实施内部控制的目标，是保证经营管理合法合规、资产安全完整、财务报告真实可靠，确保聘请会计师事务所进行内部控制审计后获得标准无保留审计意见。3《高级会计实务》 2017年全国高级会计资格考试辅导【解析】A公司实施内部控制的目标定位不当。理由：建立健全内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。二、内部控制原则内部控制原则是企业建立与实施内部控制应当遵循的基本指针。企业建立与实施内部控制应当遵循下列5项原则，即全面性、重要性、制衡性、适应性和成本效益原则。(一)全面性原则内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项实现全过程、全员性控制，不存在内部控制空白点。例（2011年高会试题）：鉴于公司经营管理任务繁重，对18项应用指引没有涵盖的业务不纳入公司内部控制体系建设范畴。【解析】不当，不符合全面性原则。例（2012年高会试题）：资产管理环节。为应对突发事件造成的财产损失风险，《手册》规定，公司采取投保方式对财产进行保全，财产保险业务全权委托外部专业机构开展，公司不再另行制定有关投保业务的控制规定。要求：根据《企业内部控制基本规范》及其配套指引的要求，逐项判断资料中各项内部控制设计是否有效，并逐项说明理由。【解析】资产管理环节的内部控制设计无效。（0.5分）理由：公司应当对财产保险业务外包实施相应的控制。（1分）或：公司不再另行制定有关投保政策的控制规定不符合全面性原则的要求。（1分）例（2015年高会试题）：A公司于2014年3月通过并购实现对A1公司的全资控股，交易前A公司与A1公司不存在关联方关系。甲会计师事务所在对A公司内部控制有效性进行审计的过程中发现：A公司未将A1公司纳入2014年度内部控制建设与实施的范围。要求：判断A公司未将A1公司纳入2014年度内部控制建设与实施范围的做法是否恰当，并说明理由。【解析】A公司未将A1公司纳入2014年度内部控制建设与实施范围的做法不恰当。（1.5分）理由：不符合全面性原则的要求。或：内部控制应当覆盖企业及其所属单位的各种业务和事项。（1.5分）(二)重要性原则内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域，并采取更为严格的控制措施，确保不存在重大缺陷。例如，企业对“三重一大”事项实行集体决策和联签制度，就是重要性原则的体现。重要性原则的应用需要一定的职业判断，企业应当根据所处行业环境和经营特点，从业务事项的性质和涉及金额两方面来考虑是否及如何实行重点控制。(三)制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节；同时，还要求履行内部控制监督职责的机构或人员具有良好的独立性。例（2013年高会试题）：建立信用调查制度。销售经理应对客户的信用状况作充分评估，并在确认符合条件后经审批签订销售合同。【解析】不当，违背了制衡性原则的要求。(四)适应性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化加以调整。适应性原则要求企业建立与实施内部控制应当具有前瞻性，适时地对内部控制系统进行4《高级会计实务》 2017年全国高级会计资格考试辅导评估，发现可能存在的问题，并及时采取措施予以补救。(五)成本效益原则内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。对成本效益原则的判断需要从企业整体利益出发，尽管某些控制会影响工作效率，但可能会避免整个企业面临更大损失，此时仍应实施相应控制。注意：对内控制适当性的判断应考虑是否有补偿性（替代性）控制程序。【例】某小型企业员工数量较少，仅有1名会计人员负责记账和编制报表。出于成本效益原则的考虑，企业指定该会计人员兼任出纳工作。根据制衡性原则，会计和出纳属于不相容岗位，应当相互分离。但考虑到企业规模较小的实际情况，从节约运营成本和促进企业经营效率最大化的角度出发，企业可以指定会计人员出任出纳工作，但企业管理层必须定期或不定期对上述人员的工作进行独立的监督检查（即采取补偿性控制措施），以避免出现舞弊和欺诈行为。这样的安排，既满足了成本效益原则，同时也遵循了制衡性原则的要求。需要指出的是，对于具备一定规模的企业，应当严格遵循不相容岗位相分离的内部控制要求。三、内部控制要素企业建立与实施有效的内部控制，应当包括下列要素：内部环境、风险评估、控制活动、信息与沟通、内部监督5大方面。（一）内部环境内部环境规定企业的纪律与架构，影响经营管理目标的制定，塑造企业文化氛围并影响员工的控制意识，是企业建立与实施内部控制的基础。内部环境主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。1.治理结构：企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。公司治理结构一般包括四个法定刚性机构：（1）股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。（2）董事会对股东（大）会负责，依法行使企业的经营决策权。董事会负责内部控制的建立健全和有效实施。（3）监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。监事会对董事会建立与实施的内部控制进行监督。（4）经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。2.机构设置及权责分配（1）企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。(2)企业内部机构设置虽然没有统一模式，但所采用的组织结构应当有利于提升管理效能，并5《高级会计实务》 2017年全国高级会计资格考试辅导保证信息通畅流动。3.内部审计机制企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。例(2013年高会试题)：关于内部监督。内部审计部门经董事会授权开展内部控制监督和评价，检查发现内部控制缺陷，督促缺陷整改。甲公司内部审计部门和财务部门均由总会计师分管。【解析】存在不当之处。不当之处：总会计师同时分管内部审计部门和财务部门不当。理由：内部审计部门工作的独立性无法得到保证。4、人力资源政策企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：（1）员工的聘用、培训、辞退与辞职。（2）员工的薪酬、考核、晋升与奖惩。（3）关键岗位员工的强制休假制度和定期岗位轮换制度。（4）掌握国家秘密或重要商业秘密的员工离岗的限制性规定。（5）有关人力资源管理的其他政策。企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。5、企业文化企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则，认真履行岗位职责。企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。(二)风险评估风险是指未来的不确定性对企业实现其经营目标的影响。风险按内容分为战略风险、财务风险、市场风险、运营风险、法律风险等；按能否为企业带来盈利机会分为危险性风险、控制性风险和机会性风险；按来源和范围分为内、外部风险；按有效性分为固有风险和剩余风险。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略，是实施内部控制的重要环节。主要包括：目标设定、风险识别、风险分析、风险应对和(风险监控)。例（2012年高会试题）：关于风险评估，甲公司于2012年1月支付2000万元，成为伦敦奥运会的赞助商；于2012年7月支付500万元，捐助西北某受灾地区。内部控制评价工作组在对公司风险评估机制进行评价时，发现上述事项均未履行相应的风险评估程序，建议予以整改。风险管理部门负责人表示，赞助伦敦奥运会对提升企业形象有利而无害，不存在风险；财务部门负责人认为，对外捐助属于履行社会责任，不需要评估风险。【解析】赞同内部控制评价工作组对公司风险评估机制存在缺陷的认定。6《高级会计实务》 2017年全国高级会计资格考试辅导理由：公司应当对赞助和捐赠事项履行风险评估程序。1、目标设定风险是指一个潜在事项的发生对目标实现产生影响的可能性。风险与可能被影响的控制目标相关联。企业必须制定与生产、销售、财务等业务相关的目标，设立可辨认、分析和管理相关风险的机制，以了解企业所面临的来自内部和外部的各种不同风险。2、风险识别企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。企业识别内部风险，应当关注下列因素：①董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。②组织机构、经营方式、资产管理、业务流程等管理因素。③研究开发、技术投入、信息技术运用等自主创新因素。④财务状况、经营成果、现金流量等财务因素。⑤营运安全、员工健康、环境保护等安全环保因素。⑥其他有关内部风险因素。企业识别外部风险，应当关注下列因素：①经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。②法律法规、监管要求等法律因素。③安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。④技术进步、工艺改进等科学技术因素。⑤自然灾害、环境状况等自然环境因素。⑥其他有关外部风险因素。例（2014年高会试题）：开展风险评估。公司根据战略规划和发展目标，组织开展风险评估工作，识别和分析经营管理过程中的各种内部风险，制定风险应对策略并实施相应的控制活动。【解析】仅识别和分析经营管理过程中的各种内部风险的表述不当。 （0.5分）理由：公司不仅要识别内部风险，还要识别与控制目标相关的各类外部风险。 （1分）3、风险分析企业应当在充分识别各种潜在风险因素的基础上，对固有风险（即不采取任何防范措施可能造成的损失程度）进行分析，同时，重点分析剩余风险（即采取了相应应对措施之后仍可能造成的损失程度）。企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。4、风险应对企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。(1)风险承受企业因风险管理能力不足未能辨认出的风险只能承受，对于辨认出的风险，也可能由于以下几种原因采取风险承受策略：①缺乏能力进行主动管理，对这部分风险只能承受；②没有其他备选方案；③从成本效益考虑，风险承受是最适宜的方案。对企业的重大风险.不应采取风险承受的策略。(2)风险规避风险规避是指企业主动回避、停止或退出某一风险的商业活动或商业环境，避免成为风险的承受者。例如：①拒绝与信用等级低的交易对手交易；②外包某项对工人健康安全风险较高的业务；7《高级会计实务》 2017年全国高级会计资格考试辅导③设置网址访问限制，禁止员工下载不安全的软件；④禁止在金融市场做投机业务；⑤出售从事某一业务的子公司；⑥退出某一亏损且没有发展前途的产品线；⑦停止向一个发生战争的国家开展业务。(3)风险分担是指企业为避免承担风险损失，有意识地将可能产生损失的活动或与损失有关的财务后果转移给其他方的一种风险应对策略，包括风险转移和风险对冲。①风险转移。它指企业通过合同将风险转移到第三方，企业对转移后的风险不再拥有所有权。转移风险不会降低其可能的严重程度，只是一方移除后转移到另一方。例如：①保险：保险合同规定保险公司为预定的损失支付补偿，投保人在合同开始时向保险公司支付保险费；②风险证券化：通过证券化保险风险构造的保险连接型证券（ILS），通过发行巨灾保险连接证券可以将巨灾保险市场的承保风险向资本市场转移；③合同约定风险转移：在国际贸易中采用合同约定卖方承担的货物的风险在某个时候改归买方承担。②风险对冲。它指采取各种手段，引入多个风险因素或承担多个风险，使得这些风险能够互相对冲，也就是使这些风险的影响相互抵消。资产组合使用、多种外币结算的使用、多种经营战略、金融衍生品（套期保值、外汇远期）等都属于风险对冲的手段。(4)风险降低风险降低是指企业在权衡成本效益之后，采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。具体包括风险转换、风险补偿和风险控制。①风险转换。它是指企业通过战略调整等手段将企业面临的风险转换成另一种风险，使得总体风险在一定程度上降低。其简单形式就是在减少某一风险的同时，增加另一风险。企业可以通过风险转换在两个或多个风险之间进行调整，以达到最佳效果。例如，企业决定降低目前生产投入，增加研发成本，以期获得高质量产品的技术突破进入高附加值领域。企业风险转换涉及方方面面的运营，可以在无成本或低成本的情况下达到目的。②风险补偿。它是指企业对风险可能造成的损失采取适当的措施进行补偿，以期降低风险。风险补偿体现在企业主动承担风险，并采取措施以补偿可能的损失。例如，企业建立风险准备金或应急资本，以应对临时突发亊件。大型的能源公司一般都在常规保险之外设立自己的安全风险准备金，以保证在企业出现较大的安全亊故时有足够的资金应对大额损失。③风险控制。它是指控制风险事件发生的动因、环境、条件等，来达到减轻风险亊件发生时的损失或降低风险事件发生的概率的目的。例如：厂房生产车间内禁烟、合同签订符合法律要求，等等。在危险性因素管理中可以看到更多风险控制的示例。例（2013年高会试题）关于风险评估。受国际金融危机的持续影响，甲公司境外市场销售额和利润额急剧下降，董事会经审慎研究、集体决策并报股东大会审议通过后，决定调整发展战略，迅速启动“出口转内销”战略。由于国内信用环境尚不成熟，战略调整后可能导致销售账款无法收回的风险明显增大，财务部门提议将销售方式由赊销改为现销，并在批准后实施。要求：根据资料说明财务部门提议采用的风险应对策略类型及其优点和缺点。【分析与解释】财务部门提议采用的是风险规避的应对策略。风险规避策略的优点是：风险规避是管理风险的一种最彻底的措施，是在风险事故发生之前，将所有风险因素完全消除，从而彻底排除某一特定风险发生的可能性。风险规避策略的缺点是：风险规避是相对消极的应对策略。选择这一策略意味着：①放弃可能从风险中获得的收益；②可能影响企业经营绩效；③可能带来新的风险。总结：风险应对策略的选择和调整（2016年高会试题）风险规避策略在采用其他任何风险应对策略都不能将风险降到企业风险承受度以内的情况下8《高级会计实务》 2017年全国高级会计资格考试辅导适用；风险降低和风险分担策略则是通过相关控制措施，将企业的剩余风险与风险承受度保持一致；风险承受则意味着风险在企业可承受范围之内。企业应当根据自身所处的发展阶段、业务拓展情况、整体风险承受度等实际情况，对风险进行识别、分析，在权衡成本效益的基础上选择合适的应对策略，并根据业务开展情况及时调整风险应对策略。企业在选择或调整风险应对策略时应当采用风险组合观。风险组合观要求企业在管理风险时应当着眼于企业整体层面，致力于将风险控制在总体风险承受度范围之内。补充：内部控制与风险管理的关系注释：风险管理是企业从战略制定到日常经营过程中对待风险的一系列信念与态度，目的是确定可能影响企业的潜在事项，并进行管理，为实现企业的目标提供合理的保证。企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。1992年，美国反财务欺诈委员会下属的内部控制专门研究委员会COSO（CommitteeofSponsoringOrganizationsoftheTread-wayCommission），提出《内部控制整体框架（InternalControl-IntegratedFramework）》的专题报告（又称COSO报告），在世界范围内得到广泛应用。内部控制整体框架由控制环境、风险评估、控制活动、信息和沟通和监控五个要素组成。2004年9月，COSO委员会顺应风险管理与内部控制相融合的趋势，吸收了风险管理的研究成果，结合《萨班斯——奥克斯莱法案》，正式颁布《企业风险管理整体框架（EnterpriseRiskManagement-IntegratedFramework）》。企业风险管理整体框架对五个要素进行深化和拓展，演变为内部环境、目标设定、事件识别，风险评估、风险应对、控制活动、信息与沟通和监控八个要素，并首次提出了清晰的风险管理流程：目标制定——事项识别——风险评估——风险反应——控制活动。中国：内部控制的有效实施有赖于风险管理的技术方法，而风险管理离开了内部控制作为手段支撑也将流于形式。我国的企业内部控制规范体系将内部控制与风险管理融为一体。我国内控制基本规范与包括COSO报告在内的世界领先的内部控制框架在所有主要方面保持了一致：形式上，借鉴了COSO报告《内部控制整合框架》（1992）五要素框架。COSO发布的《内部控制整合框架》是目前国际上企业内控建设的主要依据，它划分的内部控制五要素对世界各国的公司治理和上市公司监管的影响很大，相对较成熟、较稳定，包括美国证监会等推荐、参照的仍是5要素框架。内容上，体现了风险管理8要素框架的实质，适当体现《企业风险管理框架》（2004）八要素框架的先进理念。问：如何协调好内部控制与风险管理的关系？答：《企业内部控制基本规范》及其配套指引，充分吸收了全面风险管理的理念和方法，强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险，促进企业实现发展战略，风险管理的目标也是促进企业实现发展战略，二者都要求将风险控制在可承受范围之内。因此，内部控制与风险管理二者不是对立的，而是协调统一的整体。在实际工作中，一些企业的内部控制和风险管理工作由不同机构负责。对此，企业可以对有关机构和业务进行整合，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将内部控制建设和风险管理工作有机结合起来，避免职能交叉、资源浪费、重复劳动，降低企业管理成本，提高工作效率和效果。建议1：详细看教材P229【例5-6】，掌握确定风险应对策略后，会判断企业针对每项风险所9《高级会计实务》 2017年全国高级会计资格考试辅导制定的具体应对措施的种类。建议2：掌握教材P230危险性因素、控制性风险（或不确定风险）和机会风险的管理。例（2016年高会试题）：1.关注产业政策，化解过剩产能。为有效应对产能过剩风险，建议采取下列策略“去产能”；①对本年度拟上马的所有固定资产投资项目进行严格的节能环保等事前评估，严禁开工建设不符合国家产业政策的项目；②对市场较为成熟、利润较为稳定的业务单元，继续保持现有的业务规模和生产能力。2.创新营销模式，缓解库存压力。为有效应对公司产品大量积压的风险，建议采取下列策略“去库存”；①通过“前向一体化”的方式并购营销渠道较广、竞争实力较强的零售商，并将其整合为公司的销售分部；②积极探索线上营销模式，通过“协议买断”的方式将积压产品出售给某电子商务平台公司。要求：逐项指出资料1中①和②项、资料2中①和②项的建议所采取的风险应对策略类型。【解析】1.①采用的风险应对策略为风险规避。②采用的风险应对策略为风险承受。2.①采用的风险应对策略为风险降低。②采用的风险应对策略为风险分担。(三)控制活动控制活动是指企业根据风险应对策略，采用相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。常见的控制措施有：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。1．不相容职务分离控制所谓不相容职务，是指那些如果由一个人担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。不相容职务一般包括：(1)授权批准与业务经办；(2)业务经办与会计记录；(3)会计记录与财产保管；(4)业务经办与稽核检查；对于不相容的职务如果不实行相互分离的措施，就容易发生舞弊等行为。不相容职务分离的核心是“内部牵制”，因此，企业在设计内部控制系统时，首先应确定哪些岗位和职务是不相容的，比如一名雇员既负责签发支票、记录支票登记簿，又负责企业银行账的对账工作，如果该雇员伪造签名，贪污企业的款项，他就有可能隐瞒对贪污款项的支票记录，而且又因掌握对账工作，使得舞弊行为被隐瞒而不被发现。其次要明确规定各个机构和岗位的职责权限，使不相容岗位和职务之间能够相互监督、相互制约，形成有效的制衡机制。2．授权审批控制授权批准是指企业在办理各项经济业务时，必须经过规定程序的授权批准。授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。10《高级会计实务》 2017年全国高级会计资格考试辅导企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。例（2013年高会试题）甲公司在对企业层面和业务层面活动进行全面控制的基础上，重点对资金活动、采购业务、销售业务等实施控制。一是实施货币资金支付审批分级管理。单笔付款金额5万元及5万元以下的，由财务部经理审批；5万元以上、20万元及20万元以下的，由总会计师审批；20万元以上的由总经理审批。【分析与解释】20万元以上资金支付由总经理审批不当。理由：大额资金支付应当实行集体决策或联签制度。3.会计系统控制会计作为一个信息系统，对内能够提供经营管理的诸多信息，对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等而进行的控制。会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。企业应当依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职权重叠的副职。4．财产保护控制财产是企业资金、财物及民事权利义务的总和，按是否具有实物形态，分为有形财产(如资金、财物)和无形财产(如著作权、发明权)，按民事权利义务，分为积极财产(如金钱、财物及各种权益)和消极财产(如债务)。保障财产安全特别是资产安全，是内部控制的重要目标之一，其采取的主要措施包括：(1)财产记录和实物保管。关键是要妥善保管涉及资产的各种文件资料，避免记录受损、被盗、被毁。对重要的文件资料，应当留有备份，以便在遭受意外损失或毁坏时重新恢复，这在计算机处理条件下尤为重要。(2)定期盘点和账实核对。定期盘点和账实核对是指定期对实物资产进行盘点，并将盘点结果与会计记录进行比较。盘点结果与会计记录如不一致，可能说明资产管理上出现错误、浪费、损失或其他不正常现象，应当分析原因、查明责任、完善管理制度。(3)限制接近。限制接近是指严格限制未经授权的人员对资产的直接接触，只有经过授权批准的人员才能接触该资产。限制接近包括限制对资产本身的接触和通过文件批准方式对资产使用或分配的间接接触。一般情况下，对货币资金、有价证券、存货等变现能力强的资产必须限制无关人员的直接接触。5．预算控制预算是企业未来一定时期内经营、资本、财务等各方面的收入、支出、现金流的总体计划。预算控制的内容涵盖了企业经营活动的全过程，企业通过预算的编制和检查预算的执行情况，可以比较、分析内部各企业未完成预算的原因，并对未完成预算的不良后果采取改进措施。在实际工作中，预算编制不论采用自上而下或自下而上的方法，其决策权都应落实在内部管理的最高层，由这一权威层次进行决策、指挥和协调。预算确定后由各预算企业组织实施，并辅之以对等的权、责、利关系，由内部审计等部门负责监督预算的执行。11《高级会计实务》 2017年全国高级会计资格考试辅导预算控制的主要环节有：(1)确定预算的项目、标准和程序；(2)编制和审定预算；(3)预算指标的下达和责任人的落实；(4)预算执行的授权；(5)预算执行过程的监控；(6)预算差异的分析和调整；(7)预算业绩的考核和奖惩。预算控制要求企业实施全面预算管理制度，明确各责任企业在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。6．运营分析控制运营分析是对企业内部各项业务、各类机构的运行情况进行独立分析或综合分析，进而掌握企业运营的效率和效果，为持续的优化调整奠定基础。运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。7．绩效考评控制绩效考评是对所属企业及个人占有、使用、管理与配置企业经济资源的效果进行的评价。在实施绩效考评的过程中，企业董事会及经理层可以根据绩效考评的结果进行有效决策，引导和规范员工行为，促进实现发展战略和提高经营效率效果。绩效考评控制的主要环节有：(1)确定绩效考评目标，绩效考评目标应当具有针对性和可操作性；(2)设置考核指标体系，考核指标既要有定量指标，以反映评价客体的各种数量特征，又要有定性指标，以说明各项非数量指标的影响，同时，针对不同的评价指标赋予相应的权重，体现各项评价指标对绩效考评结果的影响程度和重要程度；(3)选择考核评价标准，评价标准是反映评价指标优劣的具体参照物和对比尺度，企业可以根据评价目标选用不同的评价标准，如历史标准、预算标准、行业标准等；(4)形成评价结果，根据评价指标和评价标准，对企业全体员工的业绩进行定期考核和客观评价，在此基础上形成评价结论；(5)制定奖惩措施，企业应当将绩效考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗和辞退等的依据。绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。8．重大风险预警机制和突发事件应急处理机制企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，保证突发事件得到及时妥善处理。【例】某大型饮料生产和销售企业为应对突发事件，成立危机处理小组，成员由各部门抽调人员组成，包括生产人员、销售人员、包装人员等，同时还安排了专门的应急电话接线员。一旦企业遭遇危机，训练有素的接线员将成为企业危机公关的第一道关口。企业每年均对危机处理小组的成员进行培训，培训内容包括模拟记者采访、模拟处理事件过程、角色扮演和互换等。这一制度安排可以从不同角度控制突发事件的全局态势，为企业遭遇危机事件做好事前准备。(四)信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，是实施内部控制的重要条件。12《高级会计实务》 2017年全国高级会计资格考试辅导企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。信息与沟通的要件主要包括：信息质量、沟通制度、信息系统、反舞弊机制。1．信息质量信息是企业各类业务事项属性的标识，是确保企业经营管理活动顺利开展的基础。企业日常生产经营需要收集各种内部信息和外部信息，并对这些信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；还可以通过行业协会组织、社会中介机构、业务往来企业、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。2．沟通制度信息的价值必须通过传递和使用才能体现。企业应当建立信息沟通制度，将内部控制相关信息在企业内部各管理级次、责任企业、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息须及时传递给董事会、监事会和经理层。例（2012年试题）关于信息与沟通，内部控制评价工作组检查发现，所有风险信息均经由总经理向董事会报告。建议确认为控制缺陷并加以整改，风险管理部门负责人表示，风险管理部门对总经理负责，符合公司组织结构、岗位职责与授权分工的规定，不应认定为控制缺陷。要求：根据资料，假如你是公司审计委员会主席，逐项说明是否赞同内部控制评价工作组的意见，并逐项说明理由。【解析]关于信息与沟通，赞同内部控制评价工作组将所有风险信息均经由总经理向董事会报告认定为控制缺陷。（0.5分）理由：重大信息应及时传递给董事会、监事会和管理层。（1分）或：对于重大风险信息，风险管理部门应向总经理报告同时及时向董事会及其审计委员会报告。（1分）3．信息系统为提高控制效率，企业可以运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。企业利用信息技术对信息进行集成和共享的同时，还应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。4．反舞弊机制舞弊是指企业董事、监事、经理、其他高级管理人员、员工或第三方使用欺骗手段获取不当或非法利益的故意行为，它是需要企业重点加以控制的领域之一。企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。反舞弊工作的重点包括：(1)未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益；(2)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等；(3)董事、监事、经理及其他高级管理人员滥用职权；(4)相关机构或人员串通舞弊。为确保反舞弊工作落到实处，企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办理要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。(五)内部监督13《高级会计实务》 2017年全国高级会计资格考试辅导内部监督是企业对内部控制建立与实施情况监督检查，评价内部控制的有效性，对于发现的内部控制缺陷及时加以改进，是实施内部控制的重要保证。1．企业应当制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。2．内部监督包括日常监督和专项监督。(1)日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。日常监督的常见方式包括：在日常生产经营活动中获得能够判断内部控制设计与运行情况的信息；在与外部有关方面沟通过程中获得有关内部控制设计与运行情况的验证信息；在与员工沟通过程中获得内部控制是否有效执行的证据；通过账面记录与实物资产的检查比较对资产的安全性进行持续监督；通过内部审计活动对内部控制有效性进行持续监督。(2)专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或某些方面进行有针对性的监督检查。专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。专项监督应当与日常监督有机结合，日常监督是专项监督的基础，专项监督是日常监督的补充，如果发现某专项监督需要经常性地进行，企业有必要将其纳入日常监督之中。3．日常监督和专项监督情况应当形成书面报告，并在报告中揭示存在的内部控制缺陷。企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。4．企业应当在日常监督和专项监督的基础上，定期对内部控制的有效性进行自我评价，出具自我评价报告。内部控制自我评价的方式、范围、程序和频率，除法律法规有特别规定的，一般由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。根据《企业内部控制基本规范》的要求，企业应当根据有关法律法规、规范及其配套办法，制定本企业的内部控制制度并组织实施；企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素；运用计算机信息技术手段实施内部控制的企业，在建立健全本企业内部控制时，应当充分考虑手工控制与计算机信息技术控制的特点和差异，但不得因实行计算机信息技术控制而免除或减少必要的控制程序。企业应当建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。【例】（2009年高会试题）某公司按照财政部等五部委发布的《企业内部控制基本规范》的要求，建立并实施本公司的内部控制制度。该公司为此召开了由公司管理层及各部门负责人参加的会议，就相关问题进行专题研究，形成以下决议：(1)控制目标。公司确立的内部控制目标是实现经营管理合法合规、资产安全完整，严格按照法律法规及相关监管要求规定的营业范围和方式开展经营活动，确保公司经营管理过程不存在任何风14《高级会计实务》 2017年全国高级会计资格考试辅导险。(2)内部环境。规范公司治理结构，各类业务事项均应提交总经理办公会审核批准，重大业务事项还应提交董事会或股东大会集体决策；调整机构设置和权责分配，切实做到所有不相容岗位或职务严格分离，相互制约、相互监督。(3)风险评估。成立专门的风险评估机构，围绕内部控制目标，定期或不定期对内部环境、业务流程等进行全面评估，准确识别公司面临的内外部风险，根据风险发生的可能性进行排序，采取相应的风险应对策略。(4)控制活动。根据风险评估结果，采用相应的控制措施实施控制。一是加强全面预算管理，对各类业务事项均采用预算控制的措施；二是将控制措施“嵌入”信息系统之中，实现自动控制；三是完善合同管理制度，所有对外发生的经济行为均应签订书面合同。(5)信息与沟通。完善信息与沟通制度，及时收集、整理与内部控制相关的各种内外部信息，促进信息在企业内部各层级之间、企业与外部有关方面之间的有效沟通和反馈；同时，建立反舞弊机制，实施举报投诉制度和举报人保护制度，及时传达至全体中层以上员工，确保举报、投诉成为公司信息沟通的重要途径。(6)内部监督。内部审计机构全权负责内部控制的监督检查，合理保证内部控制目标的实现；内部审计机构应当正确处理与审计委员会的关系，积极配合审计委员会行使内部控制监督职权；内部审计机构在内部监督中发现重大问题，应当及时向监事会报告。要求：根据《企业内部控制基本规范》，从内部控制目标和要素角度分析、判断公司专题会议形成的决议有哪些不当之处，并简要说明理由。解析：1．目标任务方面(1)内部控制目标定位于保证经营管理合法合规、资产安全完整的观点不恰当。理由：内部控制目标不仅包括合理保证经营合法合规、资产安全完整，还包括财务报告及相关信息真实完整目标、经营效率和效果目标、促进实现发展战略的目标。(2)确保公司经营管理过程不存在任何风险的观点不恰当。理由：内部控制的任务是将风险控制在可承受度范围内，不能完全消除风险。2．内部环境方面。(1)各类业务事项均应提交总经理办公会审核批准的观点不恰当。理由：各类业务事项应当按照规定的权限和程序进行审核批准，并不都需提交总经理办公会审批。(2)所有不相容岗位或职务严格分离的观点不恰当。理由：不符合适应性原则和成本效益原则的要求，对于受企业规模、业务特点等因素所限，无法对不相容岗位或职务实现有效分离的情形，可以不予分离，但仍需采取必要的补偿性控制措施。3．风险评估方面根据风险发生的可能性进行排序，采取相应的风险应对策略的观点不恰当：理由：风险分析包括对风险发生的可能性和影响程度的分析。4．控制活动方面(1)对各类业务事项均采用预算控制措施的观点不恰当。理由：预算控制措施不适用于内部环境等无法量化的内部控制要素。(2)所有对外发生的经济行为均须签订书面合同的观点不恰当。理由：不符合重要性原则和成本效益原则的要求。5．信息与沟通方面15《高级会计实务》 2017年全国高级会计资格考试辅导举报投诉制度和举报人保护制度传达至全体中层以上员工的观点不恰当。理由：举报投诉制度和举报人保护制度应传达至全体员工，特别是基层员工。6．内部监督方面内部审计机构全权负责内部控制监督检查的观点不恰当。理由：不能因为内部审计机构的工作而减轻经理层对内部控制监督检查的责任；除内部审计机构之外，其他内部机构在内部监督中也承担着相应职责权限。第二节 企业内部控制体系建设一、企业内部控制建设的组织形式内部控制建设是一项系统工程，需要企业董事会、监事会、经理层及内部各职能部门共同参与并承担相应的职责。例（2011年高会试题）：总经理：为确保公司内部控制体系建设工作顺利开展，有必要成立内部控制领导小组，建议由董事长任组长，本人担任副组长，管理层其他成员任组员，授权财务部负责内部控制体系建立与实施的全部工作。【解析】总经理的“授权财务部负责内部控制体系建立与实施的全部工作”的观点不当。理由：内部控制建设是一项系统工程，需要企业董事会、监事会、经理层及内部各职能部门其同参与（或：需要企业全体员工共同参与）并承担相应职责，而非仅仅一个财务部就能完成此项工作。1．董事会董事会对内部控制的建立健全和有效实施负责，定期召开董事会议，商讨内部控制建设中的重大问题并作出决策。内部控制建立与实施对企业组织架构最直接的影响就是加大了董事会及其全体董事的责任，其在内部控制中的重要职责为：(1)科学选择经理层并对其实施有效监督；(2)清晰了解企业内部控制的范围；(3)就企业的最大风险承受度形成一致意见；(4)及时知悉企业最重大的风险以及经理层是否恰当地予以应对。2．审计委员会审计委员会是董事会下设的专业委员会，审计委员会在内部控制中的职责一般包括：(1)审查内部控制的设计；(2)监督内部控制有效实施；(3)领导开展内部控制自我评价；(4)与中介机构就内部控制审计和其他相关事宜进行沟通协调。内部控制建立与实施对审计委员会的人员构成、议事规则、报告机制等均有重要影响，要求审计委员会负责人及其成员必须具备相应的独立性、良好的职业操守和专业胜任能力。例（高会2010年试题）强化内部审计，增强监督效能。董事会下设的审计委员会负责审查内部控制、监督内部控制的有效实施等工作，并由审计部经理兼任审计委员会主席；审计部调整职责定位，在开展传统财务审计、经济责任审计的同时，对内部控制的建立与实施进行监督检查和评价。要求：根据《企业内部控制基本规范》和《企业内部控制配套指引》，逐项判断A公司实施方案中的工作安排是否存在不当之处；存在不当之处的，请逐项指出不当之处，并逐项简要说明理由。16《高级会计实务》 2017年全国高级会计资格考试辅导不当之处：由审计部经理兼任审计委员会主席。3．监事会监事会对董事会建立与实施内部控制进行监督。监事会监督不同于审计委员会对经理层的监督，是一种层次更高、独立性更高的再监督。监事会主席及其成员应当定期参加董事会及其审计委员会召开的涉及内部控制的会议，如对董事会及其审计委员会有关内部控制的决策持有异议，或认为董事会和经理层成员存在舞弊行为，还可提议召开独立的监事会议。4．经理层经理层由董事会委任，是公司的代理人，经理层负责组织领导企业内部控制的日常运行。经理作为企业经营管理活动的最高执行者，在内部控制建设过程中尤其承担着重要责任，包括：贯彻董事会及其审计委员会对内部控制的决策意见；为其他高级管理人员提供内部控制方面的领导和指引；定期与采购、生产、营销、财务、人事等主要职能部门和业务单元的负责人进行会谈，对他们控制风险的措施及效果进行督导和核查等。5．内部控制部门企业建立与实施内部控制，可以根据需要成立专门的内部控制工作团队，以项目组的形式运作；也可以成立内部控制专职机构(或岗位)，专门负责内部控制在企业内部各部门间的组织协调和日常性事务工作。内部控制专职机构的职责一般包括：制定内部控制手册并组织落实；确定各职能部门或业务单元对于内部控制的权利和义务；指导内部控制与其他经营计划和管理活动的整合；向董事会及其审计委员会或经理层报告内部控制建设进展情况和存在的问题等。问：实施《企业内部控制基本规范》及其配套指引的企业，是否需要设置专门的内部控制机构？答：根据《企业内部控制基本规范》的规定，企业董事会负责内部控制的建立健全和有效实施。为便于董事会履行好企业内部控制规范体系的设计、建立、运行与改进方面的职责，董事会应当指定专门委员会负责指导内部控制建设与实施工作。一般情况下企业应当成立专门机构负责组织协调内部控制的建立实施及日常工作。对于少数企业受制于岗位编制、专业人员等条件限制，目前尚不具备成立专门的内部控制管理机构的，可暂将内部控制管理职能划归现有机构。随着企业内部控制建设的持续深入和相关条件的不断成熟，企业应考虑成立专门机构，保证有足够的资源支持和协调内部控制工作的开展，确保内部控制工作的相对独立性。6．内部审计部门内部审计部门在评价内部控制的有效性，以及提出改进建议等方面起着关键作用。企业应当授予内部审计部门适当的权力以确保其独立地履行审计职责；对内部审计部门负责人的任免应当慎重；内部审计部门负责人与董事会或审计委员会应保持畅通沟通；应当赋予内部审计部门追查异常情况的权力和提出处理处罚建议的权力。内部审计机构按照本企业主要负责人或者权力机构的要求，履行下列职责：(1)对本企业及所属企业(含占控股地位或者主导地位的企业，下同)的财政收支、财务收支及其有关的经济活动进行审计；(2)对本企业及所属企业预算内、预算外资金的管理和使用情况进行审计；(3)对本企业内设机构及所属企业领导人员的任期经济责任进行审计；(4)对本企业及所属企业固定资产投资项目进行审计；(5)对本企业及所属企业内部控制制度的健全性和有效性以及风险管理进行评审；(6)对本企业及所属企业经济管理和效益情况进行审计；(7)法律、法规规定和本企业主要负责人或者权力机构要求办理的其他审计事项。7．财会部门17《高级会计实务》 2017年全国高级会计资格考试辅导财会部门在保证与财务报告相关的内部控制有效性方面，发挥着十分重要的作用。企业的财务活动应当贯穿单位经营管理全过程，企业开展内部控制工作，要求财会部门不能将眼光仅仅局限于财务活动，而应贯穿企业经营管理的全过程，在制定发展战略、分析评估风险和作出决策等环节扮演好关键的助手和参谋角色。为此，企业经理层应当赋予财会部门负责人参与相应决策的权力，并支持和指导其关注经营管理的更广范畴。8．其他职能部门企业内部各职能部门(或业务单位)及其全体员工都应当在建立与实施内部控制过程中承担相应职责并发挥积极作用。如法律部门应当建立法律顾问制度和重大法律纠纷案件备案制度，做好法律宣传和解释工作，确保企业合法经营；人事部门应当建立举报人保护制度，确保投诉举报机制有效运行，并成为企业反舞弊的重要手段，等等。企业可以根据需要在各职能部门(或业务单位)内部设立内部控制岗位，专门负责与本部门相关的内部控制工作，并定期与内部控制职能部门进行沟通。除上述之外，所有员工都在实现内部控制中承担相应职责并发挥积极作用。企业经理层应当重视员工的作用，并为员工反映诉求提供信息通道。【例】A电力公司是国有大型上市公司。根据企业内部控制规范体系的要求，A公司董事会会议决定全面推进内部控制体系建设工作，为此公司专门成立了内部控制领导小组，由董事长任领导小组组长，总经理任副组长。内控领导小组下设内控办公室，常设机构设在财务部，办公室主任由公司总会计师担任，成员包括了来自公司所有13个部门的、经过培训的20名专职内控测评员。内控办公室除具体办理内控日常工作外，还负责定期向公司审计委员会报告内控执行情况。审计委员会隶属公司董事会，负责内部控制工作的监督检查，受理有关员工投诉，督促管理层及时改正内控不足。审计委员会成员由公司独立董事构成，主席由具备财务、会计专业背景的人员担任。A公司内部控制体系建设的组织形式是最为常见同时也比较合理的模式。内部控制体系建设是关系企业战略目标和长远发展的重要制度安排，涉及企业经营管理的方方面面，必须由一把手亲自领导、各部门广泛参与，才能确保内部控制体系建设和实施的效率效果。需要说明的是，A公司处于内部控制体系建设的初期，因此，没有设立独立的内部控制职能部门，而是由财务部暂行相关职责；随着内部控制体系建设的逐步深入，A公司会从独立性角度考虑，设立专门的内部控制部门，负责内部控制建设的日常事务。例（2014年高会试题）组织领导。董事会对内部控制的建立健全和有效实施负责，对内部控制建设中的重大问题作出决策。经理层负责组织领导公司内部控制日常运行，确定公司最大风险承受度，并对职能部门和业务单元实施内部控制体系进行指导。公司设置内部控制专职机构，负责制定内部控制手册并经批准后组织落实。【解析】存在不当之处。（0.5分）不当之处：经理层确定公司最大风险承受度的表述不当。（0.5分）理由：董事会确定公司最大风险承受度。（1分）问：企业应如何正确把握内部控制的组织实施工作？答：企业在开始实施内部控制时，应当按照《企业内部控制基本规范》（财会〔2008〕7号）（以下简称基本规范）确定的内部控制目标、要素、原则和具体要求开展工作，强化组织领导，夯实内部控制基础。董事会负责内部控制的建立健全和有效实施，监事会对董事会建立与实施内部控制进行监督，经理层负责组织领导企业内部控制的日常运行，全体员工广泛参与内部控制的具体实施。企业的内部控制部门应结合实际，制定内部控制体系建设的分阶段目标，围绕内部控制的五个要素扎实开展工作，深入宣传、认真执行、严格监督、严肃考核，保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，规避生产经营风险。随着实施工作的不18《高级会计实务》 2017年全国高级会计资格考试辅导断深入，企业应当加强内部控制全员、全面、全过程管理，进一步推动管理创新，不断提升管理水平，有效防控经营风险，保证实现价值目标，最终促进企业实现发展战略。企业应当结合所在行业要求和自身特点，按照基本规范的要求，参照《企业内部控制配套指引》（财会〔2010〕11号）（以下简称配套指引）的规定开展内部控制实施工作。目前配套指引针对企业一般性的业务和重点环节制定了原则性的要求，未涵盖行业特点突出的具体业务。在实施过程中，企业应当全面执行基本规范，以配套指引为参考，结合行业管理要求，从自身经营管理的实际出发，识别和评估相关风险，加强对关键和重点业务的控制，保持信息沟通的顺畅，对实施效果做好监督评价，努力构建一套符合实际、业务规范、控制合理、管理有效的内部控制体系。【习题1】(2008年试题）2008年5月22日，财政部、证监会、审计署、银监会、保监会联合发布《企业内部控制基本规范》(以下简称基本规范)，自2009年7月1日起在上市公司范围内施行。2008年6月，A公司(上市公司)召开董事会，研究贯彻执行基本规范事宜。会议责成A公司经理层根据基本规范中关于建立与实施内部控制的五项原则，抓紧拟订本公司实施基本规范的工作方案，报董事会批准后执行。2008年8月，A公司经理层提交了基本规范实施方案，其要点如下：(1)明确控制目标。本公司实施内部控制的目标，是保证经营管理合法合规、资产安全完整、财务报告真实可靠，确保聘请会计师事务所进行内部控制审计后获得标准无保留审计意见。(2)优化内部环境。严格按照《公司法》建立规范的公司治理结构，明确董事会、经理层、监事会在决策、执行、监督等方面的职责权限。为此，建议在董事会下增设审计委员会，由总会计师兼任委员会主任；同时，成立本公司内部控制领导小组，由总会计师兼任组长，全权负责本公司内部控制的建立健全和有效实施；在完善公司人力资源政策方面，以业务能力作为选人、用人的决定性标准，培养一支能力过硬的职工队伍。(3)开展风险评估。紧密围绕设定的控制目标，全面系统持续地收集相关信息，结合本公司实际情况，及时进行风险评估。考虑到外部风险的复杂性和多变性，加之本公司风险分析力量不足，拟对外部风险忽略不计，重点识别和分析内部风险，根据定性分析结果，主要采取风险规避策略应对风险。(4)严格控制活动。综合运用手工控制与自动控制、预防性控制与发现性控制相结合的方法，采用相应的控制措施，将风险控制在可承受范围之内。同时，强化绩效考评控制，将全体员工实施内部控制的情况作为绩效考评的参考指标。(5)加强信息沟通。建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通。充分发挥信息技术在信息与沟通中的作用，只要将单一的会计电算化向全面ERP管理系统转化，将控制流程“固化”在信息系统之中，就能杜绝错误和舞弊现象发生。(6)强化内部监督。研究制定内部控制监督制度，规范内部监督的程序、方法和要求。突出内部监督重点，主要将与财务会计工作密切相关的业务环节和控制流程纳入监督范围。增强监督检查的针对性，把开展专项监督摆在首要位置。重点监督内部控制的运行缺陷，提高内部控制的执行力。为了协调好内部监督与外部审计的关系，建议聘请与本公司合作关系较好的某会计师事务所为建立健全内部控制提供智力支持和咨询服务，并聘请该事务所开展内部控制审计。要求：从内部控制理论和方法角度，指出A公司经理层提交的基本规范实施方案各要点中的不当之处，并简要说明理由。【解析】1．实施方案要点1中：A公司实施内部控制的目标定位不当。理由：建立健全内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。19《高级会计实务》 2017年全国高级会计资格考试辅导2．实施方案要点2中：(1)由总会计师担任审计委员会主任不当。理由：审计委员会负责人应具备相应的独立性。(2)由总会计师兼任内部控制领导小组组长，全权负责本公司内部控制的建立健全和有效实施不当。理由：董事会负责内部控制的建立健全和有效实施。(3)将业务能力作为选人、用人的决定性标准不当。理由：企业选拔、任用员工，既应当看重业务能力，也应当重视职业道德修养。3．实施方案要点3中：(1)对外部风险忽略不计、重点识别和分析内部风险不当。理由：企业在开展风险评估时，应准确识别与实现控制目标相关的内部风险和外部风险。(2)单纯采用定性分析方法不当。理由：开展风险分析，应采用定性与定量相结合的分析方法。(3)主要采取风险规避策略应对风险不当。理由：企业采用何种风险应对策略，应当根据风险评估结果、风险承受度，结合成本效益原则合理确定。4．实施方案要点4中：将员工实施内部控制的情况仅作为绩效考评的参考指标不当。理由：企业应将员工实施内部控制的情况纳入绩效考评体系，作为绩效考评的考核指标。5．实施方案要点5中：认为运用信息技术、实现自动控制就能杜绝错误和舞弊不当。理由：内部控制只能为实现控制目标提供合理保证，信息系统本身也存在风险，需要加强控制。6．实施方案要点6中：(1)主要将与财务会计工作密切相关的业务环节和控制流程纳入监督范围不当。理由：内部监督应当将企业所有重要业务事项和高风险领域纳入监督范围。(2)把开展专项监督摆在首要位置不当。理由：内部监督包括日常监督和专项监督，二者应统筹兼顾、综合应用。(3)同时聘请会计师事务所开展内部控制审计不当。理由：为企业提供内部控制咨询服务的会计师事务所，不得同时为同一企业提供内部控制审计服务。【习题2】(2011年试题)为认真贯彻落实财政部等五部委发布的《企业内部控制基本规范>及《企业内部控制配套指引》的要求，在境内外同时上市的A股份有限公司于2010年末召开内部控制体系建设专题会议，部署实施企业内部控制体系建设。在专题会议上，公司管理层成员发言要点如下：董事长：内部控制对于提升企业内部管理水平和风险防范能力、促进企业持续健康发展意义重大。本公司作为首批实施内部控制规范的企业，应当树立强烈的责任感和使命感。请在座各位务必高度重视，将实现企业经济效益最大化作为内部控制体系建设的唯一目标，全力做好相关工作。总经理：为确保公司内部控制体系建设工作顺利开展，有必要成立内部控制领导小组，建议由董事长任组长，本人担任副组长，管理层其他成员任组员，授权财务部负责内部控制体系建立与实施的全部工作。财务总监：随着多元化战略的成功实施，本公司业务已涵盖制造、能源、金融、房地产四大板块。建议根据财政部等五部委发布的18项应用指引，将上述四大业务板块已有的管理制度与18项应用指引逐一对标，满足相应的控制要求。鉴于公司经营管理任务繁重，对18项应用指引没有涵盖的业务不纳入公司内部控制体系建设范畴。投资总监：财政部等五部委发布的内部控制规范体系对企业投资行为作了严格规范。但考虑到20《高级会计实务》 2017年全国高级会计资格考试辅导本行业投资环境的特殊性，投资机会稍纵即逝，繁杂的投资控制程序可能降低决策效率，导致投资机会丧失。建议简化投资决策审批程序，重大投资项目经投资部论证并直接报董事长审批后即可实施。审计委员会主席：根据监管部门要求，经理层应出具内部控制自我评价报告并聘请会计师事务所对内部控制的有效性进行审计。鉴于负责公司财务报表审计的会计师事务所熟悉本公司业务流程，且具备良好的专业能力，可以考虑将内部控制咨询和内部控制审计工作一并委托该所完成。内审总监：内部控制评价是实施内部控制的重要环节。应当制定科学的内部控制评价方案，对公司经营面临的所有风险和所有业务单位、经济事项进行全面测试和评价。内部控制评价方案报总经理办公会批准后实施。要求：根据《企业内部控制基本规范》和《企业内部控制配套指引》，逐项分析判断A股份有限公司管理层上述成员的发言存在哪些不当之处，并逐项简要说明理由。【解析】1．董事长的“将现实企业经济效益最大化作为内部控制体系建设的唯一目标”的观点不当。(1分)理由：内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息、真实完整、提高经营、效率和效果，促进企业实现发展战略，而不仅仅是实现企业经济效益最大化。（1分）或：内部控制的目标包括合规、资产安全、报告、经营和战略目标。 （1分）评分说明：上述5目标，缺少任何一项均不得分。2．总经理的“授权财务部负责内部控制体系建立与实施的全部工作”的观点不当。（1分）理由：内部控制建设是一项系统工程，需要企业董事会、监事会、经理层及内部各职能部门其同参与（或：需要企业全体员工共同参与）并承担相应职责，而非仅仅一个财务部就能完成此项工作。（1分）3．财务总监的“18项应用指引没有涵盏的业务不纳入公司内部控制体系建设范畴”的观点不当。理由：不符合全面性(0.5分)和重要性（0.5分）原则。或：企业应当根据自身业务的实际情况，针对所有重要业务或事项实施控制，不仅仅局限于18项应用指引涵盖的业务。（1分）4．投资总监的“建议简化投资审批程序，重大投资项目经投资部门论证并直接报董事长审批后即可实施”的观点不当。（1分）理由：重大投资项目，应当按照规定的权限和程序实行集体决策（或：实行联签制度）。（1分）5．审计委员会主席的“经理层应出具内部控制自我评价报告”（1分）和“将内部控制咨询和审计工作一并委托该所完成”（1分）的观点不当。理由：(1)董事会应当定期对内部控制的有效性进行全面评价、形成评价结论、出具内部控制评价报告，而非由经理层出具内部控制评价报告。（1分）(2)为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制咨询服务。（1分）6．内审总监的“对公司经营面临的所有风险和所有业务单位、经济事项进行全面测试和评价”（0.5分）和“内部控制评价方案应报总经理办公会批准后实施”(0.5分)的观点不当。理由：(1)不符合重要性原则。（1分）或：企业应在风险评估的基础上，侧