第一部分(4)课程提纲

培训讲座第一部分（4）课程提纲中国审计网CIA考试培训讲座第一部分（4）课程提纲风险和控制知识要点将大纲中的C部分：理解内部审计在公司治理中的作用和D部分：执行其他内部审计任务和职责以及E部分：治理、风险和控制知识要点归纳成两个问题来讲：第一个问题：公司治理与内部审计；第二个问题：风险和控制要点。COSO委员会认为，内部控制与风险管理有着密切的联系，内部控制是风险管理的一部分，对于内部控制与风险管理的定义及其组成要素分别是：内部控制：内部控制是由董事会、管理层以及其他员工共同实施的，为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个要素：控制环境、风险评估、控制活动、信息与沟通、监督。风险管理：企业风险管理是一个过程，是由董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。它有八个组成要素：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。从COSO的两份报告来看，企业风险管理与内部控制有以下相似或不同之处：第一，它们都是由“董事会、管理层以及其他人员共同实施的”，强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。第二，它们都明确是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。第三，它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类，其中三类与内部控制相重合，即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展，它不仅包括财务报告的准确性，还要求所有对内对外发布的非财务类报告准确可靠。另外，风险管理增加了战略目标，即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略（包括经营目标）制定过程。第四，风险管理与内部控制的组成要素有五个方面是重合的，即（控制或内部）环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中，内涵也有所扩展，例如，内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外，还包括风险管理哲学、风险偏好和风险文化三个新内容。在风险评估要素中，风险管理要求考虑内在风险与剩余风险，以期望值、最坏情形值或概率分布度量风险，考虑时间偏好以及风险之间的关联作用。在信息与沟通方面，风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理，规定了信息的深度与及时性等。第五，风险管理提出了风险组合与整体风险管理的新观念。《企业风险管理框架》借用现代金融理论中的资产组合理论，提出了风险组合与整体管理的观念，要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露，以统筹考虑风险对策，防止分部门分散考虑与应对风险，如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门，并考虑到风险事件之间的交互影响，防止两种倾向：一是部门的风险处于风险偏好可承受能力之内，但总体效果可能超出企业的承受限度，因为个别风险的影响并不总是相加的，有可能是相乘的；二是个别部门的风险暴露超过其限度，但总体风险水平还没超出企业的承受范围，因为事件的影响有时有抵消的效果。此时，还有进一步承受风险，争取更高回报与成长的空间。按照风险组合与整体管理的观点，需要统一考虑风险事件之间以及风险对策之间的交互影响，统筹制定风险管理方案。全面风险管理涵盖了内部控制。内部控制仅是管理的一项职能，而全面风险管理属于风险范畴，贯穿于管理过程的各个方面。一、内部控制。公司治理的核心是内部控制。公司治理是组织应对风险的战略反应，其职责核心就是确保有效的内部控制方案的适当性，因此公司治理中包含一些战略性的内部控制的因素。一个特定组织的管理层为了实现组织的目标，必须要建立相应的内部控制系统，包括具体政策和程序：象内部监督、也可能是管理手册、规章制度等。内部控制的内容，归根结底是由基本要素组成的。这些要素及其构成方式，决定着内部控制的内容与形式。设计内部控制，可以根据企业特征和需求，对内部控制要素加以有机组合。在组织中，所谓的“内部”，既包括股东会、董事会、监事会，也包括组织经营机构，也就是说，它涉及到组织内部的各个环节和各个方面。1.对内部控制概念的理解内部控制的目的：诚信经营、安全经营、稳健扩张。内部控制的原则：全面性、重要性、制衡性、适应性和成本效益。COSO报告指出:内部控制实际上只能帮助而并不能保证基本经营目标的实现，它存在很多固有的局限因素，包括：决策中可能因为经验和知识水平的限制而发生的判断错误；执行人员的失误，如粗心大意、判断失误、执行偏差、对指令有误解等；在建立控制措施时人们对成本和效益的考虑（要简单了解控制失灵和过度控制的问题）；还有可能因管理层的越权；此外，两个以上的人的共谋串通舞弊，也会导致控制失效；还有一个可能的因素就是计划落后于变化也会造成内控的失效。早期的内控制度一般只强调两项目标，一是财务报告的可靠性目标，二是合规性目标。COSO报告在此基础上对企业内部控制的目标进行了完善。内部控制的首要目标是为了合理确保经营的效果和效率。其后才是保证财务报告的可靠性和完整性和遵循相应的法律法规这两个传统的内控目标以及资产的安全。所谓的财务报告的可靠性和完整性。所谓的资产安全包括维护资产的实物特性、价值水平和增值能力，也就是说保证组织资产不因不当行为而损失、不因不当经营而减少、不因不当使用而低效、不因不当处置而贬值。组织资产的保值与增值是组织股东利益的最根本的体现。特别说明的是，前三类目标是COSO内部控制整体框架所明确的内部控制的三个目标。资产安全的目标在更多业界的观点来看其实是第一类效果效率目标的一个具体反映。◇典型试题1：COSO将内部控制看作是一个旨在为实现目标提供合理保证的过程，这些目标是关于：a．财务报告的可靠性。b．经营的效率和效果。c．遵循适用的法律和法规。d．以上均正确。解题思路：d．正确。财务报告的可靠性、经营的效率和效果以及遵循适用的法律和法规都是组织要实现的目标，此外保护资产安全也是组织要实现的目标。◇典型试题2：以下哪项最恰当地描述了内审师审查内部控制系统充分性的目的?a．帮助确定为实现审计目标而实施的必要测试的性质、时间和范围。b．保证内部控制系统的重大弱点得到控制。c．确定内部控制系统能否对经济有效地实现组织目标提供合理保证。d．确定内部控制系统能否保证会计记录的正确和财务报表的公允表述。解题思路：a．不正确。确定必要测试的性质、时间和范围，不仅仅局限于审查内部控制系统的充分性。b．不正确。保证制度弱点得到控制是管理层而非内部审计师的责任，因此不是内部审计师审查内部控制系统的目的。c．正确。根据《实务公告》2100—1第1条，“如果管理层提供指导的方式能够确保组织的目标、目的得以实现，则风险管理、控制和治理程序就是有效的”。d．不正确。内部控制系统不仅仅包括会计和财务方面的内部控制系统，因此会计记录的正确和财务报表的公允表达并不能完整、恰当地描述审查内部控制系统的充分性目的。2、内部控制的框架COSO内部控制整体模型指出，内部控制主要由五个要素组成的，即控制环境、风险评估、控制活动、信息与沟通和监控。五要素中控制环境是整个内控系统的基石，支撑和决定着风险评估、控制活动、信息传递和监督，是建立所有事项的基础；实施风险评估进而管理风险是建立控制活动的重点；控制活动是内部控制的主要组成部分；信息传递贯穿上下，将整个内控结构凝聚在一起，是内部控制的实质；监督位于顶端的重要位置，是内控系统的特殊构成要素，它独立于各项生产经营活动之外，是对其他内部控制的一种再控制。构成内部控制系统的五要素取决于管理层经营企业的方式，并融入管理过程本身。（1）控制环境根据《标准》控制环境是指董事会和管理层对控制的重要性所持的态度和所采取的行动。控制环境为实现内部控制系统的基本目标提供了纪律和框架，是其他四项要素的基础。控制环境包括：治理结构、组织结构、组织制度、人力资源政策、文化建设等等，具体象员工的诚信度、职业道德和才能；董事会经营重点和目标；董事会或审计委员会、沟通、管理理念与经营风格、人事制度和权责划分等方面。在内部环境中的关注点主要要注意：诚信意识、法律意识、职业操守意识和风险意识。◇典型试题：以下因素中．控制环境包括：a．组织结构、管理理念和计划。b．诚信和道德观、权责划分及人力资源管理。c．人员胜任能力、替代资源、法律和规章制度。d．风险评估、职责分配和人力资源管理。解题思路：a．不正确。计划不属于控制环境。b．正确。根据《标准》控制环境是指董事会和管理层对控制的重要性所持的态度和所采取的行动。控制环境为实现内部控制系统的基本目标提供了纪律和框架。控制环境包括：诚信和道德观、能力要求、董事会或审计委员会、沟通、管理理念与经营风格、组织结构、组织文化、权责划分和人力资源管理等方面。C．不正确。根据《标准》，替代资源、法律和规章制度不属于控制环境。d．不正确。风险评估是计划内部审计活动和具体项目时的一个过程，而不属于控制环境。组织结构组织结构是指组织内部的机构设置、职责与权限划分、责任机制、信息传递方式和相应的人员配备。组织结构往往是决定组织内部控制系统的基本条件。决定某组织的组织结构的主要因素包括组织内部分工和部门设置、管理层级、管理跨度以及责任与权限等等。组织结构的类型主要有机构式、有机式两种类型以及一种附加结构。（1）机械式组织结构的特点：制度严格；有很强的官僚色彩；沟通方式一般比较正式，常以命令和控制的形式（集权的决策）：工作任务明确，弹性很小；所要求的技能也很少；比较适应稳定的环境；（2）有机式组织结构的特点：结构弹性很大；能适应变化；以参与的形式沟通（分权的决策）；工作任务不明确，弹性很大；所要求的技能很多；比较适应不确定的环境。有机式组织结构主要包括简单结构、矩阵结构和网络结构；（3）有机的附加结构。在保持总体机械式结构不变的情况下，为了获取有机式结构的灵活性，可以将一个有机式结构单位附加于机械式组织之上。企业为了避免因庞大而复杂所带来的不利，通过创建事业单位，更多的使用团队组织，使得组织结构趋向于更扁平化的方向发展。新的组织结构类型就又应运而生：沙漏型组织。在这种组织中，有三个层级：一是战略管理层；二是很小的中间经理层；三是技术专才层；丛集式组织。从本质上看，这种组织是一群团队构成的；虚拟组织。是一种增值的分包商的弹性网络结构，由因特网、电子邮件、传真、以及电话等这些增值分包商联结在一起。不同组织的内部控制措施不能交叉混用。COSO特别强调：即使两个组织具有相同的目标并且在实现目标方面采取相似的战略，但由于组织环境、所处行业、经营规模与复杂程度、性质和经营范围、历史和企业文化以及影响控制的人员等具体组织，特征的不同，其内部控制活动必然会存在差异。组织的规模越庞大、越复杂，其所要面临的风险／控制内容和挑战也就越多。相对于规模较小、组织结构相对简单的组织中较为稳定的控制活动而言，较大组织中的控制活动趋向多样化且要面临更多的问题要处理。◇典型试题1：以下原则体现了一定的组织结构的特征：Ⅰ．高级管理层能授权下属作出决策，但不能转嫁对决策结果的最终责任。Ⅱ．一个主管的管理跨度不超过7人。Ⅲ．责任应与充分的授权相结合。Ⅳ．各层次的员工都有权进行决策。这些原则中。哪些对等级性和开放性的组织结构都适用?a．I和Ⅲb．I和Ⅳc．II和Ⅲd．Ⅲ和IV解题思路：Ⅰ．正确。管理层可以选择采用自行决策或授权决策等不同的决策方法，但始终应承担对决策结果的责任。Ⅱ．不正确。管理跨度不超过7人的原则并非