内部控制学复习要点
内部控制复习知识点
第一章内部控制概论
1、内部控制学的发展阶段:五阶段
① 内部牵制阶段------起步阶段两个设想是:(1)两个或两个以上的人或部门无意识地犯同样的错误机会较少;(2)两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个或部门舞弊的可能性。
② 内部控制制度阶段-----进化阶段
③ 内部控制结构阶段----提高阶段(内部控制结构是指为了实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体,包括控制环境、会计系统及控制程序三个部分。)
④ 内部控制框架阶段----演进阶段
⑤ 风险管理阶段------提升阶段
2 、内部控制框架(COSO 报告):(COSO 委员会提出)内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。
(1)三目标 提高经营效率,取得好的经营效果合理保证财务报告的可靠性
遵循有关的法规制度
(2)五要素控制环境 风险评估 控制活动 信息和沟通 监察
3、风险管理模型:是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。(具有多目标驱动、全员、全过程、合理保证的特性。)
(1)四目标战略目标经营目标报告目标合规目标
(2)八要素内部环境目标设定事项识别风险评估
风险应对控制活动信息与沟通监控
4、我国企业内部控制体系:
(1)定义 内部控制定义:是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
(2)目标是合理保证单位经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进单位实现发展战略。
(3)五要素内部环境、风险评估、控制活动、信cc 息与沟通、内部监督
(4)原则 全面性原则 重要性原则 制衡性原则 适应性原则 成本效益原则
(5)我国企业内部控制体系中
《基本规范》的作用规定内部控制的基本目标、基本要素、基本原则和总体要求,是内部控制的总体框架,在内部控制标准体系中起统领作用。
《应用指引》的作用是对企业按照内部控制原则和内部控制“五要素”建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制体系中占据主体地位。
《评价指引》的作用 是对企业按照内部控制原则和内部控制“五要素”建立健全本企业“事后控制”的指引,是对企业贯彻《基本规范》和《应用指引》效果的评价与检查。
5、内部控制的局限性
① 人为错误:在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。
② 串通舞弊:由于两个或更多的人员进行串通或共谋导致内部控制失效。
③ 滥用职权:管理层的凌驾。
④ 非常性事项:例外事项。
⑤ 制度失效:环境系统的改变。
⑥ 成本效益原则。
第二章 内部环境
1、内部环境的构成内容:主要包括治理结构、内部机构设置与权责分配、内部审计机制、人力资源政策、企业文化和法治环境等。
2、企业处理“三重一大”问题的程序
重大决策、重大事项、重要人事任免、大额资金使用。应当按照规定的权限和程序实行集体决策审批或联签制度。任何个人不得单独进行决策或擅自改变集体决策意见。监督检查中发现任何内部控制缺陷,应按照内部审计工作程序进行报告。如发现的内部控制缺陷属于重大缺陷,内部审计机构有权直接向董事会及其审计委员会、监事会报告。
3、在企业内部控制中的职责
董事会对股东大会负责,依法行使企业的经营决策权。
监事会对股东大会负责,监督企业董事会、经理和其他高级管理人员依法履行职责。
经理层负责组织实施股东大会、董事会决议事项,主持企业的生产经营管理工作。
审计委员会审查企业内部控制的设计;监督内部控制有效实施;领导开展内部控制自我评价;与中介机构就内部控制设计和其他相关事宜进行沟通协调等。
4、人力资源政策包含的内容以及有关选拔、聘用、轮岗、退出原则
人力资源政策概念:是指企业组织生产经营活动而录用的各种人员,包括董事、监事、高级管理人员和全体员工。
选拔、聘用(1)企业应根据人力资源总体规划,结合生产经营实际需要,制订年度人力资源需求计划,完善人力资源引进制度,规范工作流程。
按人力资源能力框架要求,明确各岗位的职责权限、任职条件和工作要求
遵循得才兼备、通过公开招聘、竞争上岗等多种方式选聘优秀人才,重点关注选聘对象的价值取向和责任意识。
(2)企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准。
会计人员职业道德:爱岗敬业、诚实守信、廉洁自律、客观公正、坚持准则、提高技能、参与管理和强化服务等主要内容。(3)企业应设法招聘最具资格的人选、核实潜在雇员的背景,证实他们的学历和工作经验。
(4)通过对应聘者的面试,深入了解应聘者,并向潜在的雇员传递信息,使他们了解企业的价值观、文化和经营风格。
(5)企业确定选聘人员后,应当依法签订劳动合同,建立劳动用工关系。
对于在产品技术、市场、管理等方面掌握或涉及关键技术、知识产权、商业秘密或国家机密的工作岗位,企业应当与该岗位员工签订有关岗位保密协议,明确保密义务。
5、轮岗制定各级管理人员和关键岗位员工定期轮岗制度。明确轮岗范围、轮岗周期、轮岗方式等,形成关键岗位员工的有序流动,可体现以人为本的企业管理及提升员工素质。
6、退出原则企业应按照有关法律法规规定,结合企业实际,明确退出的条件和程序,确保员工退出机制得到有效实施。对于考核不能胜任岗位要求的员工,应当及时暂停其工作,安排再培训或调整工作岗位,安排转岗培训;假若仍不能满足岗位职责要求的,应当根据法律法规的权限和程序解除劳动合同。
7、企业应当与退出员工依法约定保守关键技术、商业秘密、国家机密和竟业限制的期限,确保知识产权、商业秘密和国家机密的安全。企业关键岗位人员离职前,应当根据有关法律法规的规定进行工作交接或离任审计。
5、内部审计机构的职责及报告程序
职责:当结合内部审计监督,对内部控制的有效性进行监督检查。
内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部控制审计工作程序进行报告; 对监督检查中发现的内部重大缺陷,有权直接向董事会及其审计委员会、监事会报告。
程序
1、审计准备与审计计划
2、内部控制环境与业务流程分析
3、审计测试:穿行测试、控制设计测试、符合性测试、实质性测试
4、确认与评估审计发现
5、审计报告
6、企业文化缺失的风险、坚持诚信和道德观是强化内部环境的关键因素。
(1)诚信和道德观是企业建立内部环境的关键因素,直接影响企业内部控制的设计与运行。
(2)企业应制定商业行为守则。商业行为守则应强调诚信和道德观,并且所有利益相关者都遵守守则,那么,这意味着企业已拥有相当高的道德观。
管理层应该明确向员工传达职业道德规范;
管理层的言行与行动方面必须遵守职业道德规范;
可以防止不正当竞争、内幕交易等情况的发生。
(2)行为守则是公司治理的重要组成部分,守则中的内容应当具体、全面及具权威性。
(3)所有管理者及股东都应对企业行为守则的内容、应用和传达方式有充分的了解。
(4)已经过时的行为守则可能不能解决企业面临道德方面的重要问题;如果公司管理者不能反复向所有利益相关者传达行为守则,将会削弱企业内部环境的健全性。
第三章 风险评估
1、风险评估的定义、企业内部风险因素
风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。
企业内部风险因素:
A 、人力资源因素,如董事、监事、经理和其他高级管理人员的职业操守、员工专业胜任能力等;
B 、管理因素,如组织机构、经营方式、资产管理、业务流程等;
C 、自主创新因素,如研究开发、技术投入、信息技术运用;
D 、财务因素,如现金流量、经营成果;
E 、安全环保因素,如营运安全、环境保护等。
2、风险评估的主要环节(四个)以及程序(两步式程序)
主要环节(四个)目标设定、风险识别、风险分析和风险应对
程序(两步式程序)第一步是采用定性与定量相结合的方法,评估风险发生的可能性或频率,以及为企业带来的影响程度;第二步是对识别的风险进行分析和排序。之后企业可利用风险分析的结果为依据,考虑如何对重要风险进行管理及采取适当的应对风险行动。企业可以综合运用风险规避、风险降低、风险分担和风险承担等风险应对策略,实现对风险的有效控制。
3、风险识别主要方法:定性方法
分两个阶段:一是辨别风险,即寻找各种风险及其所在领域;二是分析风险,即分析引起风险事故的各种原因和可能的后果。
风险识别主要有七种方法:现场调查法、风险清单分析法、财务状况分析法、组织结构图分析法、流程图法、事故树法、可行性研究。
4、风险分析的方法:定性方法、定量方法
定性方法:访问、集体讨论、专家咨询、问卷调查以及标杆分析等。定性分析法的质量主要取决于管理层的风险知识和判断能力、对潜在事项的了解等。
定量方法:概率技术、情景分析、压力测试、敏感性分析、计算机模拟等。
5、风险应对策略:4个
风险规避、风险降低、风险承受、风险分担
第四章 控制活动
1、常见的控制活动
不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、营运分析控制、绩效考评控制。
2、不相容职务控制:包含授权审批与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查等。
3、授权控制控制:
类型:常规授权是指企业在日常经营管理活动中按照既定的职责和程序的授权,用以规范办理经济业务的权力、条件和有关责任,其时效性一般较长
特别授权是企业在特殊情况、特定条件下对办理例外的非常规性交易和事项的权力、条件和责任的应急授权
授权的形式可以是书面的,也可以是口头的。
(1)书面形式的授权:制度、备忘录、授权书、委托书等
(2)制度形式存在的岗位职责说明书就是典型的书面形式的常规授权
4、会计系统控制的主要内容
a 依法设置会计机构,配备会计从业人员,建立会计工作的岗位责任制,对会计人员进行科学合理的分工,使之相互监督和制约。
b 选择适用的会计准则和会计制度
c 选择和运用恰当的会计政策
d 根据企业具体情况,作出合理的会计估计
e 采用业务流程图的方式编制业务流程手册
f 会计凭证控制(1)按照规定取得和填制原始凭证。(2)设计良好的凭证格式。(3)对凭证进行连续编号。g 合理设置会计账簿,登记会计账簿,进行复式记账。
H 按照《会计法》和国家统一的会计准则和制度的要求编制、报送、保管财务会计报告。
(1)财务报告编制环节的关键控制点及控制措施
(2)对外提供环节的关键控制点及控制措施
(3)财务报告分析利用环节的关键控制点及控制措施
i 建立会计档案管理
5、财产保护控制以及措施
财产保护控制是指为了确保企业财产物资安全、完整所采用的各种方法和措施。包括建立财产日常管理制度和定期清查制度。包括采用财产记录、使用保险箱储存现金和重要文件、为大楼或其内的区域设立门禁系统、为贵重资产采取双重保管方法(即必须两人同时出现才能取得某些资产)、定期对存货进行盘点、雇用保安和利用闭路电视摄像头等措施,确保财产安全。
主要措施:(1)财产记录和实物保管。(2)定期盘点和账实核对。(3)限制接近。
6、预算控制
预算控制的目的是明确责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
7、运营分析控制:方法
定性分析法可以有专家建议法、专家会议法、主观概率法和特尔菲法(通过函询的方式收集专家意见,对未来进行直观预测的一种定性方法)。
定量分析法可以有对比分析法、比率分析法、趋势分析法、因素分析法。
8、绩效考评控制
绩效考评对企业内部各责任单位和全体员工的绩效定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、辞退等依据。对企业内部环境具有支持作用。
第五章 信息与沟通
1、内部信息、外部信息以及获得信息的渠道
内部信息—会计信息、生产经营信息、资本运作信息、人员变动信息、技术创新信息、综合管理信息。 外部信息—政策法规信息、经济形势信息、监管要求信息、市场竞争信息、行业动态信息、客户信用信息、社会文化信息、科技进步信息。
渠道:1)企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息;
(2)还可以通过行业协会组织、社会中介机构、业务往来企业、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。
2、反舞弊工作的重点内容
(1)未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益;
(2)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等;
(3)董事、监事、经理及其他高级管理人员滥用职权;
(4)相关机构或人员串通舞弊。
3、内、外部沟通
内部沟通
(1)高级管理层应向员工传达清晰的信息,使其明白必须认真履行控制责任。
(2)管理层与董事会及董事会下设的委员会之间的沟通尤为重要。
外部沟通 企业还需与外界投资者、债权人、客户、供应商、中介机构和监管部门等保持有效沟通。
(1)客户和供应商可在产品或服务的设计与质量方面提供非常有用的意见。
(2)与诸如外聘审计师和监管机构的外界各方进行沟通,能对企业内部控制系统运作情况提供非常宝贵的意见。
(3)与股东及财务分析师进行坦诚的沟通,能提供他们所需要的信息。
第六章 内部监督
1、内部监督的类型
内部监督是企业对内部控制建立与实施情况监督检查,评价内部控制的有效性,对于发现的内部控制缺陷及时加以改进,是实施内部控制的重要保证。
类型日常监督和专项监督
2、日常监督的常见方式包括
日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。
(1)在日常生产经营活动中获得能够判断内部控制设计与运行情况的信息;
(2)在与外部有关方面沟通过程中获得有关内部控制设计与运行情况的验证信息;
(3)在与员工沟通过程中获得内部控制是否有效执行的证据;
(4)通过账面记录与实物资产的检查比较对资产的安全性进行持续监督;
(5)通过内部审计活动对内部控制有效性进行持续监督。
3、缺陷的报告程序
1、所有可能影响企业实现目标的内部控制缺陷,均应向能采取必要行动的人员汇报。
雇员从事常规运营活动时产生的信息,通常通过正常的渠道向他们的上级报告,再由后者向上汇报。 此外,还有另一渠道供汇报非常敏感的信息,比如违法或不当举动。
2、通常,有关缺陷的调查结果不仅应向负责有关职能或活动的个人汇报,还应向比其至少高一级的管理层汇报。
此程序可使更高级别的人员监督及采取补救行动,同时有助于向在企业中可能受此活动影响的其他人员传达。
第七章 内部控制评价
1、内部控制评价的原则:三原则
(一)全面性原则:内部控制评价应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项,对实现控制目标的各个方面进行全面、系统、综合评价。
(二)重要性原则: 内部控制评价应当在全面评价的基础上,以风险为导向,根据风险发生的可能性及其对实现控制目标的影响程度,确定需要评价的重要业务单位、重大业务事项和高风险领域。
(三)客观性原则:内部控制评价应当结合企业的行业环境、发展阶段、经营规模、业务特点等经营实际;
2、内部控制评价的程序:、评价人应具备的条件
一般程序为:a 设置内部控制评价部门b 制定评价工作方案c 组成评价工作组d 实施现场测试e 汇总评价结果f 编报评价报告等
评价部门应具备的条件
1、能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力。----授权与独立性
2、具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养。----能力
3、与企业其他职能机构就监督与评价内部控制系统保持沟通协调,在工作中相互配合、相互制约,在效率上满足企业对内部控制系统进行监督与评价所提出的有关要求--- 组织协调
4、能够得到企业董事会和经理层的支持,有足够的权威性来保证内部控制评价工作的顺利开展。----权威性
评价人应具备的条件具备独立性、业务胜任能力和职业道德素养
3、内部控制评价的方法:8种
个别访谈是指企业根据检查评价需要,对被查单位员工进行单独访谈,以获取有关信息。该方法主要用于了解企业及其所属单位内部控制的基本情况。
调查问卷常见于内部环境评价
专题讨论通常用于控制活动评价
穿行测试又称重复检查,就是抽取一定数量的业务,按照被审计单位规定的业务处理程序从头到尾重新执行一次,以检查这些经济业务在实际处理过程中是否按规定的控制程序进行。
实地查验是指企业对财产进行盘点、清查,以及对存货等实物资产的出入库环节进行现场查验,主要用于对资产安全性目标的实现情况所作的评价。通常与抽样法结合运用
抽样针对具体的业务流程,按照业务发生频率及固有风险的高低,从确定的样本库中抽取一定比例的业务样本,对业务样本的控制水平进行判断,进而对整个业务流程的内部控制有效性作出评价。
比较分析指通过分析、比较数据间的关系、趋势或比率等来取得评价证据的方法。
审阅与检查也是业务层面评价的常用方法,通过核对有关证据而获得有关控制的运行状况
4、内部控制缺陷的分类:三种分类
a 内部控制缺陷按其成因分为设计缺陷和运行缺陷。
b 内部控制缺陷按其表现形式分为财务报告内部控制缺陷和非财务报告内部控制缺陷。
c 内部控制缺陷按其严重程度分为重大缺陷、重要缺陷和一般缺陷。
5、财务报告内部控制缺陷的认定标准:重大、重要、一般
财务报告内部控制缺陷的认定标准由该缺陷可能导致财务报表错报的重要程度来确定,这种重要程度主要取决于两方面因素:
第一,该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报;
第二,该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。
重大缺陷
重要缺陷
一般缺陷
6、内部控制缺陷的报告
内部控制缺陷报告应当采取书面形式。
对于一般缺陷和重要缺陷,通常向企业经理层报告,并视情况考虑是否需要向董事会及其审计委员会、监事会报告;对于重大缺陷,应当及时向董事会及其审计委员会、监事会和经理层报告。
企业应根据内部控制缺陷的影响程度合理确定内部控制缺陷报告的时限,一般缺陷、重要缺陷应定期报告,重大缺陷即时报告。
7、内部控制缺陷的整改
企业对于认定的内部控制缺陷,应当制定内部控制缺陷整改方案,按规定权限和程序审批后执行,即明确内部各管理层级和单位整改的职责分工,确保内部控制设计与运行的主要问题和重大风险得到及时解决和有效控制。
对于认定的重大缺陷,还应及时采取应对策略,切实将风险控制在可承受度之内,并追究有关机构或相关人员的责任。董事会应负责重大缺陷的整改,接受监事会的监督。
经理层负责重要缺陷的整改,接受董事会的监督。
内部有关单位负责一般缺陷的整改,接受经理层的监督。
内部控制缺陷整改方案一般包括整改目标、内容、步骤、措施、方法和期限等,整改期限超过一年的,还应在整改方案中明确近期目标和远期目标以及对应的整改工作任务等。
8、内部控制评价报告的编制
1、编制时间。内部控制评价报告按照编制时间的不同,分为定期报告和不定期报告。
定期报告是指企业至少每年进行一次内部控制评价工作,编制评价报告,并由董事会对外发布或以其他方式加以合理利用。年度内部控制评价报告以12月31日作为基准日
不定期报告是指企业处于特定目的或针对特定事项而临时开展内部控制评价工作并编制评价报告。不定期报告的编制时间和编制频率由企业根据实际情况确定。
2、编制主体。内部控制评价报告的编制主体包括单个企业和企业集团的母公司。
单个企业内部控制评价报告是指某一个企业以自身经营业务和管理活动为基础编制的内部控制评价报告; 企业集团内部控制评价报告是企业集团的母公司以母公司及控子公司的经营业务和管理活动为基础编制的内部控制评价报告,是对企业集团内部控制设计与运行有效性的总体评价。
3、编制程序。内部控制评价部门对工作底稿进行复核,根据认定并按照规定的权限和程序审批确定的内部控制缺陷,判断内部控制的有效性。
内部控制评价部门搜集整理编制内部控制评价报告所需的相关资料,同时应根据有关资料撰写内部控制评价报告。
内部控制报告上报经理层审核、董事会审批确定。