二、風險評估【重點掌握】$lesson$

　　按照COSO立體模型，控制活動的上一層是風險評估。作為整體內部控制結構的一部分，企業應實施一個程序，來評估可能影響其各種內部控制目標實現的潛在風險。風險評估可能是正規的量化風險評估程序，也可能是不太正規的方法，但是應包含對風險評估程序最起碼的理解。例如，企業設定的目標是不改變營銷計劃，那么如果出現新的競爭對手則可能對該企業設置的目標造成壓力，這需要對無法實現該目標的風險做出評估。風險評估是一個具有前瞻性的過程。也就是說，許多企業已經發現，對他們的各類風險水平進行評估的最佳時機是訂立年度計劃或定期計劃的過程。應在所有層面以及企業的所有活動實施這樣的風險評估程序。COSO內部控制架構將風險評估描述成一個可以分為三步的程序。第一步是估計風險的重要性;第二步是評估風險發生的可能性或概率;第三步是考慮如何對風險進行管理，以及應采取何種行動。

　　COSO內部控制架構強調風險分析并非一個理論過程，而且常常對實體的整體成功起到至關重要的作用。管理層是內部控制整體評估的重要一環，他們應采取措施對可能影響整個企業的風險，以及不同的組織活動或實體所面對的風險進行評估。

　　典型例題：

　　[多選題]下列有關風險評估說法不正確的是( )

　　A 風險評估一定是正規的量化風險評估程序

　　B 風險評估是一個具有前瞻性的過程

　　C 管理層在內部控制的整體評估中位置較輕

　　D 風險評估首先是要評估風險發生的可能性或概率

　　【答案】ACD

　　【解析】風險評估可能是正規的量化風險評估程序，也可能是不太正規的方法;管理層是內部控制整體評估的重要一環;風險評估的第一步是估計風險的重要性。

　　三、控制活動【重點掌握】

　　控制活動包括多種政策和程序，有助于確保管理層的有關指示得以執行，處理風險以實現企業目標所需要的行動得以實施。

　　控制活動可以為雇員提供指南(命令式的控制)，設計這些活動旨在防止發生不希望出現的事情(預防性控制)，或者在不希望出現的事情發生時能夠加以識別(偵察式控制)。當不希望出現的事情出現時，應識別程序的缺陷，并主動采取措施加以解決問題。此類活動稱為“糾正性控制”。

　　控制活動可分為運營、財務報告及合規三個類別，但它們之間有時可能會出現重疊。常見的控制活動包括：

　　1.組織控制。組織控制是指組織結構提供的控制，比如組織活動和經營分成若干部門或責任中心，責任區分明確，在企業內授權，確立企業內的報告路徑，協調不同部門或小組之間的活動，比如設立委員會或項目組。

　　2.職責劃分。職責劃分的主要目的是防止具有欺騙性的活動發生或未被查處。管理層可通過在兩個或兩個以上的人員之間分配工作的方式實現這一監控目標。

　　大多數交易可分為三類獨立的職責：認可或發起交易、處理被交易的資產，以及記錄交易。就適當的職責分工而言，不應該由一個人控制一項交易或一個事件的所有關鍵方面，而且一個人履行的職能可通過其他人執行的職能進行檢查。如果一個人為上述活動中的一項以上活動承擔責任，則存在舞弊的可能。職責劃分還可較容易的發現非本意造成的錯誤，因此不應僅將其視為對舞弊的控制。

　　盡管職責劃分能夠避免一個人舞弊的情況，但對于兩人或兩個以上串通舞弊卻是無效的。

　　3. 調節和業績復核。調節和復核業績屬于偵察式控制。所謂調節是指雇員將不同數據連接在一起，識別并找出差異，并且在必要時采取糾正措施。但是更重要的是，執行調節的人員要理解這一程序的重要性以及已識別的差錯的影響。調節包括比較總賬的現金金額與銀行對賬單的現金余額、總賬的應收款金額與相關補貼帳戶總額，以及固定資產的現場盤點與會計記錄中記載的金額。所謂業績復核，是指管理層將當前的業績與預算、以前期間或其它基準相比較，以此反映目標的完成情況。應對其中的差異進行調查，以確定哪些糾正行動是必要的。

　　4.實物控制。實物控制是指保護實物資產不被偷盜或未經許可而獲得或被使用的措施和程序。實物控制包括使用保險箱儲存現金和重要文件，為大樓或其他的區域設立門禁系統，為貴重資產采取兩種保管辦法;必須兩人同時出現才能取得某些資產，定期對存貨進行盤點，以及雇傭保安和利用閉路電視攝像頭等。

　　5.授權和批準。授權和批準亦可作為一種監控工具，來確保政策得以遵守。由于授權和批準旨在控制不希望出現的事件，因此，可視為預防性控制，其主要目的是防止錯誤的發生。

　　一般而言，為了幫助確保控制活動發揮最大的效果，在上級批準及授權時應提供書面指南、權力限制及支持性文件。另外，上級領導嚴肅地履行批準職能是非常重要的。這要求他們能夠積極核查文件，對異常事項進行詢問，以及提醒自己不在空白表格上簽字。

　　6.計算和會計。此類控制要求在會計系統中正確記錄交易。依靠會計記錄能夠追蹤每項交易，核對計算。比如，在發給客戶或批準支付前仔細檢查發票上的數字，確保數字是正確的。

　　7.人員控制。此類控制適用于選擇和培訓雇員，以確保為企業的職位指定了恰當的人員，但個人必須具備適當的素質、經驗和所需的資質。

　　8.監督和管理控制。監督是指承擔責任的個人對其他人員工作的管理。監督控制有助于確保個人按照要求恰當的完成任務。管理控制是由管理層根據其獲取的信息執行的控制。

　　【要點提示】控制活動可分為運營、財務報告及合規三個類別。常見的內部控制活動包括：組織控制、職責劃分、調節和復合、實物控制、授權和批準、計算和會計、人員控制、監督及管理控制等。

　　典型例題：

　　1、[單選題]當不希望出現的事情發生時，應識別程序的缺陷，并主動采取措施加以解決問題，此類活動能夠成為( )。

　　A 命令控制活動

　　B 預防性控制活動

　　C 偵查式控制活動

　　D 糾正性控制活動

　　【答案】D

　　【解析】當不希望出現的事情發生時，應識別程序的缺陷，并主動采取措施加以解決問題。此類活動成為“糾正性控制”。

　　2、[多選題]常見的內部控制活動有( )。

　　A 組織控制

　　B 職責劃分

　　C 調節和復核

　　D 實物控制

　　【答案】ABCD

　　【解析】常見的內部控制活動包括：組織控制、職責劃分、調節和業績復核、實物控制、授權和批準。所以ABCD均正確。

    2011年注冊會計師考后交流及真題分享

    2012年注冊會計師考試招生簡章

    迎雙節隆重推出輔導套餐優惠多多

    2011年注冊會計師考后學員交流

    注會輔導六折七日免費試聽