CMA P1-5内部控制 讲义

内部控制企业为什么需要内部控制？确保企业能有效实现其目的和目标评估企业的绩效需要准确的报告，这依赖于内控确保下属能切实履行管理层的指示，同样依赖于内控内控为公司建立和实现其目标提供了一个结构安排内控是检查组织行动、政策和决策的有效机制本章的主要内容包括：公司治理、风险与合规性内部审计系统控制与安全措施Topic1公司治理、风险与合规性首先定义风险以及审计师必须评估的风险类型。其次探讨了如何设计控制措施以处理风险问题，以及管理理念和内部控制结构在风险控制中的角色。再次，美国政府通过《萨班斯-奥克斯利法案》（SOX）和《美国国外贪腐防治法》（ForeignCorruptPracticesAct，FCPA）施加的控制，以及内部控制的类型和控制方法。风险的含义及公式“风险”是指暴露在各种可能增加损失可能性的条件下的敞口。从内部控制的角度，可以将“风险”定义为某项威胁发生的概率，乘以控制措施未能成功预防或检测到该项威胁的概率，再乘以该项威胁导致的损失额。风险＝P（t）×P（f）×（损失额）其中，P＝概率，t＝威胁，f＝控制无效管理层减少风险的手段防止威胁发生。P（t）增大系统控制力度。P（f）购买保险或采取其他措施以降低可能的损失规模。（损失额）控制措施的设计应由风险评估驱动。控制措施应能限制资产发生潜在损失的风险或者重大信息存在虚假陈述的风险。影响风险的因素独立绩效检查的频率。组织控制方法的充分性。权责相匹配的充分性。执行控制措施的连续性。资产、记录、软件或数据的物理控制的充分性；以及在限制相关使用权方面，系统控制的充分性。组织需要制定合理的控制政策和程序以定期监控风险，同时需要定期进行独立审计以监控内部控制措施的履行情况。风险的类型审计师对风险进行评估，将风险划分为三种类型：1.固有风险（inherentrisk，IR）。a）指在内部控制缺位时，财务报表中存在重大虚报的可能性。b）固有风险是指错误或不正当行为（欺诈）发生的可能性。c）错误是非故意行为，它与组织中某些个人的能力相关。d）欺诈是故意行为，它与组织中某些个人的诚信度相关。e）员工的能力与诚信是有效的内部控制的两大基石。2.控制风险（controlrisk，CR）。a）是指公司的内部控制可能无法预防或发现超出可接受程度的虚报。b）控制风险是指控制无效发生的可能性。3.失侦风险（detectionrisk，DR）或称计划检查风险。a）是指审计证据未能发现超出可接受审计风险的虚报。b）是指某项错误或欺诈未被审计程序察觉，并且审计师也愿意接受这一事实。可接受审计风险（acceptableauditrisk，AAR）指审计失灵发生的可能性。可接受审计风险是指这样一种可能性：审计师将得出结论认为财务报表“公允反映”并签发无保留意见的审计报告，而事实上财务报表存在重大虚报。可接受审计风险代表审计师愿意接受的审计失败风险。AAR取决于三个因素：1.管理层诚信——管理层诚信度越低，可接受审计风险也越低。2.财务报表使用者的数目——财务报表使用者越多，可接受审计风险就越低。3.被审单位的财务状况——被审单位的财务状况越糟糕，可接受审计风险就越低。可接受审计风险的公式AAR＝IR×CR×DRDR＝AAR/（IR×CR）审计师将根据以上三个因素来设定可接受审计风险，并评估固有风险和控制风险。通常情况下，如果固有风险较高，控制风险也会较高；反之亦然。因为诚信度缺失或能力低下往往会导致控制不力。计算得出的失侦风险越低，审计师将要求越多的审计支持证据。针对安然、世通等财务欺诈事件，美国国会出台了《2002年上市公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作《2002年萨班斯—奥克斯利法案》（SOX法案）。法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。萨班斯法案主要包括以下几个方面的内容：一、成立独立的上市公司会计监察委员会（PCAOB），监管执行公众公司审计职业加强注册会计师的独立性加大公司的财务报告责任强化财务披露义务加重了违法行为的处罚措施强化SEC的监管职能美国审计总署加强调查研究SOX201条款：禁止外部审计人员提供非审计服务：（1）涉及被审计客户的会计记录及财务报表的簿记或其他业务；（2）设计及执行财务信息系统；（3）评估或估价业务、公正业务或出具实物捐赠报告书；（4）精算业务；（5）内部审计外部化业务；（6）代行使管理或人力资源职能；（7）作为客户的经纪人或经销商，投资顾问，或提供投资银行服务；（8）提供与审计无关的法律服务或专家服务；（9）任何委员会所规定的未被许可的业务。SOX203条款：负责审计合伙人的轮换对审计某发行证券的公司的注册会计师事务所而言，如果该所负责（或负责协调）该审计项目的合伙人或负责复核该审计项目的合伙人已连续超过5年对该公司的审计或复核负责，则该事务所提供上述审计业务的行为是非法的。至少5年更换一次负责审计的审计合伙人。SOX302条款：要求上市公司主要经理人员对公司财务报告的准确性和完整性做出保证，进而保证财务报告的真实性。（1）签字的官员已审阅过该报告；（2）该官员认为报告中不存在重大的错报、漏报；（3）该官员认为报告中的会计报表及其他财务信息在所有重大方面，公允地反映了公司在该报告期末的财务状况及该报告期内的经营成果。（4）签字官员：（A）对建立及保持内部控制负责；（B）设计了所需的内部控制，以保证这些官员能知道该公司及其并表子公司的所有重大信息，尤其是报告期内的重大信息；（C）评价公司的内部控制在签署报告前90天内的有效性；（D）在该定期报告中发布他们上述评价的结论；（5）签字官员已向公司的审计师及董事会下属的审计委员会（或担任同等职务的人员）披露了如下内容：（A）内部控制的设计或执行中，对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷。以及向公司的审计师指出内部控制的重大缺点；（B）在内部控制中担任重要职位的管理人员或其他雇员的欺诈行为，而不论该行为的影响是否重大；（6）签字官员应在报告中指明在他们对内部控制评价之后，内部控制是否发生了重大变化，或是其他可能对内部控制产生重要影响的因素，包括对内部控制的重大缺陷或重要缺点的更正措施。SOX404条款：管理层对内部控制的评价（a）内部控制方面的要求——SEC应当相应的规定，要求按《1934年证券交易法》第13节（a）或15节（d）编制的年度报告中包括内部控制报告，包括：（1）强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；（2）发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价；（b）内部控制评价报告——对于本节（a）中要求的管理层对内部控制的评价，担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。设计内部控制以处理风险在设计和评估内部控制时，最广为接受的模型是“内部控制整合框架”。该模型于1992年由COSO发布，目前PCAOB与AICPA已将内部控制整合框架视作美国审计准则的基础。2004年，发起人委员会COSO将该原始模型纳入到《企业风险管理整合框架》中。企业风险管理整合框架不仅包含内部控制，而且可以就企业层面的风险管理提供相关指导。内部控制定义内部控制是一套流程，受组织的董事会，管理层和其他员工所影响，被设计并用来为组织提供合理保证，使其实现运营，报告和遵循目标。内部控制是什么？使组织实现多个种类的目标，如运营，报告和遵循；一个持续不断的过程，包括各种任务和活动——一个达到目的的手段，而非目的本身；受人的影响——不仅仅是制度和流程手册，体系和表单，而是组织各个层级的人和他们所采取的行动；可以向组织的高级管理层和董事会提供合理保证——而非绝对保证；可以适应组织的结构——可灵活应用于整个组织或一个分支机构，业务部，运营单元或业务流程。COSO的内部控制整合框架《内部控制整合框架（2013）》（InternalControl-IntegratedFramework），继续使用内部控制的核心定义，并且保留了最初的内部控制5要素，内容如下：1.控制环境：是指组织的管理理念和风险偏好，包括诚信、道德价值观以及组织所处的营运环境。2.风险评估：旨在确定风险发生的概率及其重要性程度。风险分为固有风险和剩余风险。3.控制活动：制定和实施有助于确保风险反应得到有效执行的政策和程序。4.信息与沟通：相关信息必须以某种形式并在某个时间框架内进行确认、捕捉和交流，以使人们能成功地从事工作。这里假设数据交流具有安全性和准确性。5.监督活动：监控需通过持续的管理行为、独立的评估或两者相结合的方式来实施。内部审计人员、审计委员会、披露委员会和管理层可能都需参与到监控中来。COSO（2013）确立了十七项原则代表了与每个控制要素相关的基本概念。因为这些原则直接从控制要素中提炼，一个组织可以直接应用全部这些原则来实施内部控制。这些原则都可以应用于运营、报告和遵循三类目标。控制环境组织对正直和道德等价值观做出承诺。董事会独立于管理层，并对内部控制的推进与成效加以监督控制。管理层围绕其目标，在治理层监督下，建立健全组织架构、汇报条线、合理的授权与责任等机制。组织对吸引、开发和保留与认同组织目标的人才做出承诺。组织根据其目标，使员工各自担负起内部控制的相关责任。风险评估就识别和评估与其目标相关的风险，组织做出清晰的目标设定。组织对影响其目标实现的风险进行全范围的识别和分析，并以此为基础来决定风险应如何进行管理。组织在风险评估过程中，考虑潜在的舞弊行为。组织识别和评估对内部控制体系可能造成较大影响的改变。控制活动组织选择并开展控制活动，将风险对其目标实现的影响降到可接受水平。对（信息）技术，组织选择并开展一般控制以支持其目标的实现。组织通过合理的政策制度和保证这些政策制度切实执行的流程程序，来实施控制活动。信息与沟通组织获取或生成，并使用相关、有质量的信息来支持内部控制发挥作用。组织在其内部沟通传递包括内部控制的目标和责任在内的必要信息以支持内部控制发挥作用。组织与外部相关方就影响内部控制发挥作用的事宜进行沟通。监督活动组织选择、推动并实施持续且（或）独立的评估以确认内部控制的要素是存在且正常运转的。组织在相应的时间范围内，评价内部控制的缺陷，并视情况与那些应采取正确行动的相关方（如：高级管理层，董事会）沟通。COSO对一个有效的内部控制体系设定了要求：一个有效的体系应当为组织目标的实现提供合理保证。一个有效的内部控制体系将影响组织目标实现的风险降低到可接受的水平，无论这些风险与一个、两个或三个类别的目标相关。一个有效的内部控制体系要求：五个要素及相关的原则都存在且发挥作用。五个控制要素共同运行，发挥整合的作用。COSO列出的六种控制活动1.权责的划分（工作描述），即要求董事会聘任CEO和其他管理人员，由管理人员负责招聘、培训员工，从而使公司的日常运营能得以顺利开展。2.交易授权系统，即有助于规避重复和虚假的支付，保证公司资产安全，同时生成可靠的会计信息。包括批准签名、对账以及记录这些行为的表格。3.充分的文件和记录，即必不可少的一个内容。文件可以是纸质或电子形式。提前给各种文件如发票、采购订单和支票编号，有助于预防盗窃和低效。4.资产安全，即要求具备良好的授权系统与职责分离制度，降低欺诈与盗窃的可能性。生产活动与销售活动不应由会计人员来履行。5.独立验证，即可能由内部人员（如内部审计人员）或外部人员来履行。6.合适的职责分离，要求将交易的授权与交易的执行、交易的记录以及由交易导致的资产保管相分离。信息技术职能应向CEO报告，而不是向其他管理层报告。内部控制的局限性组织所建立的目标的合理性是内部控制的先决条件；决策中，人为判断出错以及产生偏差是客观存在的；人为的低级错误所产生的失效；管理层凌驾于内部控制之上；管理层、