第七章 风险管理框架下的内部控制
第二节 内部控制的要素
三、控制活动(★★★)
(一)COSO《内部控制框架》关于控制活动要素的要求与原则
COSO《内部控制框架》关于控制活动要素的要求为:控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险,实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。
根据2013年修订发布的COSO内部控制框架,控制活动要素应当坚持以下原则: 1.企业选择并制定有助将目标实现风险降低至可接受水平的控制活动。 2.企业为用以支持目标实现的技术选择并制定一般控制政策。 3.企业通过政策和程序来部署控制活动:政策用来确定所期望的目标;程序则将政策付诸于行动。
(二)我国《企业内部控制基本规范》关于控制活动要素的要求 1.企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
2.不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。
3.授权审批控制要求企业根据常规授权和特別授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。
企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。
4.会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报吿的处理程序,保证会计资料真实完整。企业应当依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师。设置总会计师的企业,不得设置与其职权重叠的副职。
5.财产保护控制要求企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。
6.预算控制要求企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
7.运营分析控制要求企业建立运营情况分析制度,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营
情况分析,发现存在的问题,及时查明原因并加以改进。
8.绩效考评控制要求企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
9.企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
10.企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
四、信息与沟通(★★★)
(一)COSO《内部控制框架》关于信息与沟通要素的要求与原则
COSO《内部控制框架》关于信息与沟通要素的要求为:公允的信息必须被确认、捕获并以一定形式及时传递,以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告,以助于经营和控制企业。信息系统不仅处理内部产生的信息,还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。
有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息,认真履行控制职责。员工必须理解自身在整个内控系统中的位置,理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时,与外部诸如客户、供应商、管理当局和股东之间也需要有效的沟通。
根据2013年修订发布的COSO内部控制框架,信息与沟通要素应当坚持以下原则: 1.企业获取或生成和使用相关的高质量信息,以支持内部控制其他要素发挥效用。 2.企业用于内部沟通的内部控制信息,包括内部控制目标和职责范围,必须能够支持内部控制的其他要素发挥效用。
3.企业就影响内部控制其他要素发挥效用的事项与外部相关方进行沟通。 (二)我国《企业内部控制基本规范》关于信息与沟通要素的要求 1.企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序确保信息及时沟通,促进内部控制有效运行。
2.企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调査、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。
3.企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。
4.企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
5.企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调査、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点:(1)未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益;(2)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等;(3)董事、监事、经理及其他高级管理人员滥用职权;(4)相关机构或人员串通舞弊。
6.企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。
五、监控(★★★)
(一)COSO《内部控制框架》关于监控要素的要求与原则
COSO《内部控制框架》关于监控要素的要求为:内部控制系统需要被监控,即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中,包括企业的日常管理和监督行为、员工履行各自职责的行为。
独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报,性质严重的应上报最高管理层和董事会。
根据2013年修订发布的COSO内部控制框架,监控要素应当坚持以下原则: 1.企业选择、制定并实行持续或 单独的评估,以判定内部控制各要素是否存在且发挥效用。
2.企业及时评估内部控制缺陷,并将有关缺陷及时通报给负责整改措施的相关方,包括高级管理层和董事会(如适当)。
(二)我国《企业内部控制基本规范》关于内部监督要素的要求
1.企业应当根据本规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。
内部监督分为日常监督和专项监督。
日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检査;
专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。
2.企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。
内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。
3.企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的,从其规定。
4.企业应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。
【例题1·多选题】甲公司管理层为了改进完善内部控制,正在重新检查本公司现有的职责、岗位设置的合理性。下列各项中,属于兼任不相容岗位的情况有( )。(2011年)
A.财务部主任同时担任采购部的审批主管
B.记录存货明细账的会计人员同时负责存货的实物管理 C.行政部经理兼任工会主席
D.销售部经理同时负责客户信用的调查评估与销售合同的审批签订 【答案】ABD
【解析】本题考核的是不相容职务分离控制的内容。不相容职务分离控制要求企业全面
系统地分析、梳理业务流程中的不相容职务,防止具有欺骗性的活动发生或未被查出。企业可以通过在两个或两个以上的人员之间分配工作的方式,相互制约的工作机制来实现这一监控目标。行政部门经理负责企业内部的行政管理业务,工会主席只负责工会工作,并不会涉及到企业内部的行政业务,所以这两个职务不属于不相容职务;选项A、B、D都属于不相容职务。
【例题2·多选题】企业的下列各项活动中,属于内部控制活动的有( )。(2010年考题改编)
A.办公楼设立门禁系统
B.人力资源部门安排员工年度考核评价
C.员工如请事假,需向部门经理申请及获得批准 D.为一投资项目编制预算 【答案】ABCD
【解析】办公楼设立门禁系统,属于控制活动中的财产保护控制,所以,选项A正确;人力资源部门安排员工年度考核评价,属于控制活动中的绩效考评控制(当然也属于内部环境中的人力资源,这本不矛盾,因为内部控制的五因素是可以交叉的),所以,选项B正确;员工如请事假,需向部门经理申请及获得批准,属于控制活动中的授权和批准,所以,选项C正确;为一投资项目编制预算,属于控制活动中预算控制,所以,选项D正确。 【例题3·多选题】下列选项中,违反不相容职务分离控制要求的有( )。 A.甲公司由出纳负责开出银行支票,并编制银行存款余额调节表 B.乙公司由会计部门根据考勤记录和扣款记录计算员工工资额 C.丙公司规定非实物保管人员应限制接近资产,不得办理物资收发 D.丁公司规定销售人员不得接触销售现款 【答案】AB
【解析】除了出纳外,其他任何人,包括会计人员、单位领导、各种业务人员等,均不得办理货币资金收支业务,包括收付现金和接收、开出银行支票。银行存款应指定专人及时对账,每月收受银行对账单、编制银行存款余额调节表,应当由出纳、管理现金账和银行存款账以外的人员负责,选项A错误。在工资业务中,起薪止薪决定、考勤记录、工薪发放、工资记录等职务应相互分离,一般涉及企业的劳动工资部门或人事部门、车间或班组、会计部门等职能部门。劳动工资管理部门的主要职责是根据考勤记录和扣款记录计算工资额。会计部门的主要职责是根据工资结算单编制工资费用分配表并编制记账凭证入账。选项B错误。
三、但愿有一天你会记起,我曾默默地,毫无希望地爱过你。我这扇门曾为你打开,只为你一人打开,现在,我要把它关上了。 四、你看我的时候我装做在看别处,你在看别处的时候我在看你。 五、陆上的人喜欢寻根究底,虚度很多的光阴。冬天担忧夏天的迟来,夏天担心冬天的将至。所以你们不停到处去追求一个遥不可及,四季如夏的地方,我并不羡慕。 六、没想到的是,一别竟是一辈子了。 七、朋友们都羡慕我,其实羡慕他们的人是我。爱你,很久了,等你,也很久了,现在,我要离开你了,比很久很久还要久…… 八、Do something today that your future self will thank you for. 从现在开始,做一些让未来的你感谢现在的自己的事。 九、有个懂你的人,是最大的幸福。这个人,不一定十全十美,但他能读懂你,能走进你的心灵深处,能看懂你心里的一切。最懂你的人,总是会一直的在你身边,默默守护你,不让你受一点点的委屈。真正爱你的人不会说许多爱你的话,却会做许多爱你的事。 十、很久很久,没有对方的消息,也不再想起这个人,也是不想再想起。 十一、我不怕我会忘记他,他在我心底开出了花。 十二、我还在原地等你,你却已经忘记曾来过这里。
注会考试科目《公司战略》第七章 风险管理框架下的内部控制02
