（考前時間安排）（七天免費試聽）

　　第一節 內部控制的定義和發展

　　一、內部控制的定義【熟悉】

　　內部控制是指為確保實現企業目標而實施的程序和政策。內部控制還應確保識別可能阻礙實現這些目標的風險因素并采取預防措施。內部控制和風險管理是出色的公司治理極為重要的組成部分。出色的公司治理意味著董事會必須對企業的所有風險加以識別和管理。就風險管理而言，內部控制系統涉及企業財務、運營、遵守法律法規及其它方面。

　　內部控制系統包括兩個因素，分別是控制環境和控制政策與程序。控制環境是指企業內對于內部控制的態度及內部控制意識，代表整個企業對于內部控制的價值觀。控制政策及程序是指嵌入企業運營中的具體的內部控制。控制政策及程序的設計目的在于，盡可能確保業務行為是有序且有效的。控制政策及程序必須能夠根據企業面臨的內外部風險而改變，并且應以企業面臨的主要風險為重點，并對這些風險做出反應。

　　內部控制的思想和框架總體上就是對企業內資源進行管理的體系，然而基于不同的角度和層次，對內部控制的定義有不同的認識和分析。具體包括四種：美國COSO委員會的定義、美國上市公司會計監督委員會的定義、英國特恩布爾委員會的定義及中國《企業內部控制基本規范》中的定義。

　　1.COSO委員會對內部控制的定義

　　成立于1985年的COSO(committee of sponsoring organization)委員會為美國舞弊報告委員會提供支持。該組織包括美國會計協會(American accounting association)和美國注冊會計師協會(American institute of certified public accountants)。現在COSO委員會負責制定有關大型和小型企業實施內部控制系統的指南。

　　1992年，COSO委員會提出《內部控制――整合框架》，1994年又進行增補，簡稱《內部控制框架》，即COSO內部控制框架。在該框架中，COSO對內部控制的定義是：“公司的董事會、管理層及其他人士為實現以下目標提供合理保證而實施的程序：運營的效益和效率，財務報告的可靠性和遵守適用的法律法規。”

　　COSO委員會指出，從風險管理的角度來看，內部控制是必要的。但是，在實施內部控制時，有幾點需要注意。首先，即使實施了優良的內部控制系統，也不一定能使一個蹩腳的管理者變得出色。此外，由于所有內部控制系統仍然面臨發生錯誤或出現差錯的危險，因而內部控制系統只能就企業目標的實現提供合理保證。即使一個企業實施了內部控制，也可能由于故意串通破壞、管理層逾越監控而失效。還有，大型或小型企業建立內部控制系統時，均可能存在資源受限的問題。

　　2.美國上市公司會計監督管理委員會對內部控制的定義

　　美國上市公司會計監督管理委員會發布的“審計準則第5號”規定，注冊會計師對企業財務報告進行審計必須關注財務報告內部控制，同時管理層應該對企業內部控制作出評估。

　　所謂財務報告內部控制是指，在企業主要的高級管理人員、主要財務負責人或行使類似職能的人員的監督下設計的一套流程，并由公司的董事會、管理層和其他人批準生效，該流程可以為財務報告的可靠性及根據公認會計原則編制對外財務報表提供合理保證，并且包括如下政策和程序：(1)保管以合理的詳盡程度、準確和公允地反映企業的交易和資產處置的有關記錄;(2)為按照公認會計原則編制財務報表記錄交易，以及企業的收入和支出僅是按照管理和公司的董事會的授權執行，提供合理的保證;(3)為預防或及時發現對財務報表有重大影響的未經授權的企業資產的購置、使用或處理，提供合理保證。

　　該定義主要是從保證對外財務報告的可靠性角度定義的。

　　3.特恩布爾委員會對內部控制的定義

　　特恩布爾委員會的職能是為英國上市公司執行《綜合守則》規定的內部控制原則提供指南，其總體要求是，公司董事會應實施一套完善的內部控制系統，并定期對該系統進行復核。

　　該委員會認為：內部控制的主要組成部分包括為企業的有效運營提供輔助條件，使企業有能力對阻礙目標實現的重大風險作出反應。此外，內部控制還應能確保對內和對外的報告的質量。而且，內部控制還應能確保法規及企業內部有關業務開展的政策得以遵守。

　　該定義與COSO的定義基本相似。

　　4.中國《企業內部控制基本規范》對內部控制的定義

　　財政部、證監會、審計署、銀監會和保監會于2008年6月聯合發布的《企業內部控制基本規范》中指出：內部控制是由企業董事會、證監會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和結果，促進企業實現發展戰略。

　　【要點提示】從上述的定義中可以看出，內部控制是為確保實現企業目標而實施的程序和政策，包括控制環境和控制政策與程序。內部控制主要涉及企業財務、運營、遵守法律法規等方面。

　　典型例題:

　　1、[多選題]下列有關內部控制的概述正確的有( )。

　　A就風險管理而言，內部控制系統涉及企業財務、運營、遵守法律法規及其他方面。

　　B內部控制系統包括兩個因素：控制環境和控制政策與程序。

　　C只要實施了優良的內部控制系統，企業目標就一定能實現。

　　D內部控制是一個過程，而非目標。

　　【答案】ABD

　　【解析】ABD均是對內部控制的正確概述。COSO委員會指出，從風險管理的角度來看，內部控制是必要的。即使實施了優良的內部控制系統，也不一定能使一個蹩腳的管理者變得出色。因而內部控制系統只能就企業目標的實現提供合理保證。

　　2、[多選題]內部控制關注以下( )方面。

　　A財務報告及相關信息

　　B經營效率和結果

　　C遵守法規和法律

　　D員工的福利問題

　　【答案】ABC

　　【解析】內部控制是指為確保實現企業目標而實施的程序和政策。就風險管理而言，內部控制系統涉及企業財務、運營、遵守法律法規及其它方面。

　　3、[多選題]一般來講，內部控制系統包括兩個因素，分別是( )。

　　A控制環境

　　B控制政策與程序

　　C控制目標

　　D控制結果

　　【答案】AB

　　【解析】不同時期和不同組織提出的內部控制，其具體要素存在著一定的差異。但是如果題目沒有明確說明依據，只是泛泛提高內部控制系統的兩個要素，則內部控制系統的兩個因素分別是控制環境和控制政策與程序。

   【注冊會計師常見問答】【考情分析會預定中】

    2012年注冊會計師考試招生簡章    2011年注冊會計師考后交流及真題分享

　　二、內部控制的演變和發展【了解】

　　內部控制的演變和發展經歷了如下階段：

　　1.內部控制在20世紀80年代的控制理論

　　自20世紀80年代以來，內部控制的理論研究有了新的發展，人們對內部控制的研究重點從一般含義轉向具體內容，標志是美國注冊會計師協會于1998年5月發布的《企業準則公告第55號》中，用“內部控制結構”的概念取代了“內部控制制度”。公告指出，“企業內部控制結構包括為提供取得企業特定目標的合理保證而建立的各種政策和程序”，公告認為內部控制結構由下列三個因素組成：

　　(1)控制環境。這是指對建立、加強或削弱特定政策與程序的效率有重大影響的各種因素，包括管理者的思想和經營作風;組織結構;董事會及所屬委員會，特別是審計委員會發揮的職能;確定職權和責任的方法;管理者控制和檢查工作時所用的控制方法，包括經營計劃、預算、預測、利潤計劃、責任會計和內部審計;人事工作方針及其執行等;影響企業業務的各種外部關系，如由銀行指定代理人的檢查等。

　　(2)會計制度。這是指為認定、分析、歸類、記錄、編報各項經濟業務，明確資產與負債的經管責任而規定的各種方法，包括認定和登記一切合法的經營業務;對各項經濟業務按時和適當的分類，作為編制財務報表的依據;將各項經濟業務按照適當的貨幣價值計價，以便列入財務報表;確定經濟業務發生的日期，以便按照會計期間進行記錄;在財務報表中恰當地表述經濟業務及對有關的內容進行揭示。

　　(3)控制程序。這是指企業為保證目標的實現而建立的政策和程序，如經濟業務和經濟活動的適當授權;明確各個人員的職責分工等。

　　2.內部控制在成熟階段的研究結果

　　1992年，COSO委員會提出《內部控制――整合框架》，1994年又進行增補，簡稱《內部控制框架》，即COSO內部控制框架。這份報告堪稱內部控制發展史上的里程碑。該報告包含大量關鍵概念，認為內部控制是公司董事會和各級管理層計劃、實施和監察的不間斷的一系列活動。因此，內部控制是一個程序，而非結構。

　　內部控制的目標不僅是為了保證財務報告的可靠性與合規性，而且有助于提高企業運營的效益和效率。因此，內部控制也與業績目標(比如獲利能力)的實現有關。但是內部控制只為企業目標的實現提供合理保證，而非絕對保證。

　　內部控制系統包括企業的政策、程序、任務、行為，使企業能夠對與實現企業目標有關的重大業務、經營、財務、法規及其它風險做出適當反應，促進企業的運營效益和效率。這包括保護資產，避免被不當使用或流失和欺詐，并確保負債得到有效管理。

　　完善的內部控制系統還有助于確保對內及對外報告的質量。這要求維持適當的記錄和程序，以提供有關企業內外部的及時、相關且可靠的信息，而且，完善的內部控制系統還有助于確保企業遵守適用的法律法規，或遵守商業行為的內部政策。

　　COSO內部控制框架將內部控制分為五個相互關聯的組成部分：控制環境、風險評估、控制活動、信息與溝通、監察等。

　　(1)控制環境。內部審計師協會(The Institute of Internal Auditors, IIA)對控制環境的定義是：“董事會與管理層對待公司內部控制的重要性的態度及采取的行為”。控制環境是其他內部控制元素的根基，并提供紀律及結構。控制環境因素包括人員的道德觀和勝任能力、董事會提供的指示和管理的效率。控制環境被稱為企業的“最高層”。控制環境能說明企業的道德觀和文化，為內部控制的其它方面的運作提供框架。控制環境是由管理層所定的基調、管理哲學與管理風格、授權方式、組織和培養員工的方式以及董事會對執行內部控制的決心決定。

　　(2)風險評估。風險評估是指識別和分析影響目標實現的風險(包括與監管和運營環境不斷變化有關的風險)，以此來確定如何降低和管理此類風險的依據。企業的目標與所面臨的風險之間有一定關聯。為了對風險進行評估，必須確立企業目標。目標一經確立，必須識別和評估為實現這些目標而面臨的風險，并且該評估應構成決定如何管理該風險的基礎。

　　(3)控制活動。控制活動有助于確保管理層的指令得以執行，以及任何可能需要用以處理風險以實現企業目標的行動得以實施。控制活動是指能確保管理層的決策與指示得以執行的政策和程序。企業內部各層面均存在控制活動，控制活動包括組織控制、職責劃分、調節和復核、實物控制、授權和批準、計算和會計、人員控制、監督及管理控制。

　　(4)信息與溝通。信息與溝通是指在人員能夠履行責任的方式及時間范圍內，識別、取得和報告經營、財務與法律遵守的相關信息的有效程序和系統。企業必須收集信息并向適當人士傳達。管理者制定恰當的決策之時既需要內部信息也需要外部信息。為了運作內部控制，管理者也需要信息，因此必須建立完善的信息系統。必須為管理者提供與所采取的行動相關的，及時、準確、可以理解的信息。

　　(5)監察。監察是指持續評估內部控制系統的充分性及表現情況的程序。內部控制系統必須接受監察。作為內部控制系統的因素，它與內部審計及一般監督有關。識別并向高級管理層及董事會或董事報告內部控制系統的缺陷是非常重要的。

　　企業可能已經建立了非常完善的內部控制系統，但是仍需要對該系統進行監察。如果內部控制系統未經監察，就很難評估它是否未受控制或需要改進。隨著業務的發展，內部控制系統也在發展，因此內部控制系統不是靜止不變的。內部審計部門通常是內部控制系統的主要監察人。內部審計師會對內部控制及控制系統進行檢查。他們還應識別控制是否失效或是可以糾正的問題。并且向管理層提出有關新系統或系統改進方面的建議。

　　COSO的上述定義對內部控制的基本概念提供了一些深入的見解，特別是;

　　(1) 內部控制是一個實現目標的程序及方法，而其本身并非目標;

　　(2) 內部控制只提供合理保證，而非絕對保證。

　　內部控制要由企業中各級人員實施與配合。

　　圖8-1 COSO內部控制框架

　　COSO利用一個三維模型(見圖8-1)來描述一個機構內的內部控制系統。該模型在水平方向上分為五層，垂直方向有三個組成部分和跨越第三維的多個椎體。這種模型的結構是5×3×2。但是，它們并不是完全獨立的部分，彼此之間是相互連接的，就企業內的內部控制而言，我們將重點考察水平方向上的兩層：控制環境和風險評估。

　　企業的內部控制系統會反映其控制環境，而控制環境包括其組織結構。內部控制系統應嵌入企業運營之中，并成為公司文化的一部分。此外，內部控制系統應能夠對由企業內在因素和商業環境的改變所產生的不斷變化的業務風險做出反應。而且，內部控制系統亦應包括向管理層及時匯報經確認的任何重大控制失誤或不足，及所采取的糾正行動的詳細程序。

　　典型例題

　　【多項選擇題】下列哪些要素包括在COSO內部控制框架中的( )

　　A.控制環境　　　　　　　　　　　　 B.風險評估

　　C.控制活動　　　　　　　　　　　　　　D.信息與溝通

　　【答案】ABCD

　　3. 中國內部控制的發展狀況及對企業帶來的影響

　　(1).中國內部控制的發展

　　2006年7月，受國務院委托，財政部牽頭，由財政部、國資委、證監會、審計署、銀監會、保監會聯合發起成立了企業內部控制標準委員會。許多監管部門、大型企業、行業組織、中介機構、科研院所的領導和老師學者積極參與，為構建我國企業內部控制標準體系提供了組織和機制保障。

　　企業內部控制標準委員會的職責和目標是總結我國經驗，借鑒國際慣例，有效利用國際國內資源，充分發揮各方面的積極作用，通過數年的努力，基本建立一套以防范風險和控制舞弊為中心，以控制標準和評價標準為主體的內部控制制度體系。并以監管部門為主導。各單位具體實施為基礎，會計師事務所等中介機構咨詢服務為支撐，政府監管和社會評價將結合的內部控制實施體系，推動公司、企業和其他非營利組織完善治理結構和內部約束機制，不斷提高經營管理水平和可持續發展能力。

　　(1)《企業內部控制基本規范》

　　2008年6月28日，財政部會同證監會、審計署、銀監會、保監會制定并印發《企業內部控制基本規范》(下稱“內控規范”)。2009年7月1日起適用于大中型企業(包括上市公司)

   【注冊會計師常見問答】【考情分析會預定中】

    2012年注冊會計師考試招生簡章    2011年注冊會計師考后交流及真題分享

　　內控規范要求企業建立內部控制體系時應符合以下目標：

　　一 合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整;

　　二 提高經營效率和效果;

　　三　促進企業實現發展戰略。

　　內控規范借鑒了以美國COSO報告為代表的國際內部控制框架，并結合中國國情，要求企業所建立與實施的內部控制，應當包括下列五個要素：

　　一 內部環境;

　　二 風險評估;

　　三 控制活動;

　　四 信息與溝通;

　　五 內部監督。

　　(2)《企業內部控制配套指引》

　　2010年4月26日聯合發布了《企業內部控制配套指引》(下稱《配套指引》)，當中包括l8項《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》。

　　《配套指引》自2011年1月1日起按已定時間表在境內外不同類型的上市公司施行。同時，鼓勵相關非上市大中型企業提前執行。