2010年内审师辅导治理、风险和控制知识要素(2)内审师资格考试

文章作者 100test 发表时间 2010:01:18 00:37:50
来源 100Test.Com百考试题网

可以选择的控制框架

本部分讨论了7个控制框架和模型。

美国采用的特雷德威委员会下属的发起组织委员会COSO框架

加拿大的控制标准（CoCo框架）

美国的控制自我评估（CSA）

英国议会的关于公司治理财务方面的Cadbury报告

英国的Turnbull模式

南非的King模式

德国的Kon TraG模式

A COSO对内部控制的定义

背景知识介绍：内部控制的发展

第一个阶段是内部控制的雏形——内部牵制。古罗马帝国宫廷库房采取的“双人记账制度”，我国西周时期的内部牵制都是内部控制雏形的表现形式。20世纪初期，西方资本主义经济得到了较大的发展，生产关系和生产力的重大变化，促进了社会化大生产程度的发展，加剧了企业间的竞争，加强企业的内部控制管理成了关系企业生死存亡的关键因素。因而一些企业在非常激烈的竞争中，逐步摸索出一些组织调节、制约和检查企业生产活动的办法，即当时的内部牵制，它基本上是以查错防弊为目的，以职务分离和交互核对为手法，以钱、账、物等会计事项，这也是现代内部控制理论中有关组织控制、职务分离控制的雏形。

第二阶段是内部控制的初步形成——以职务分离、账户核对为主要内容的内部牵制，逐渐演变成由组织结构、职务分离、业务程序、处理手续等因素构成的控制系统。内部控制的该阶段的发展是随着资本主义经济的发展而形成的。竞争的日趋激烈，使得各级管理人员不得不进行全面企业管理的探索。在泰罗等的管理理论的指导下，企业经营管理者从内部牵制原则出发，尝试着组织结构、业务程序、处理手续等方法采取了一系列控制措施，对其所属部门的人员及工作进行组织、制约和调节。至此，控制系统得以形成。

第三阶段：成熟期——内部控制结构。该时期的代表是1988年美国AICPA发布的《审计准则公告第55号》，它以“内部控制结构”代替“内部控制”，并提出内部结构的三要素：控制环境、会计系统和控制程序。这也是我国目前CPA沿用的内部控制结构。

第四阶段：内部控制整体框架。美国COSO委员会在1992年发布的《内部控制——整体框架》由美国注册会计师协会（AICPA）、美国会计学会（AAA）、财务经理协会（FEI）、国际内部审计师协会（IIA）和管理会计师协会（IMA）五大学会共同组成的Treadway委员会，于1992年发表，并于1994年修订的《内部控制——整体框架》报告，标志着内部控制理论与实践进入了整体框架的新阶段，并被世界上许多企业所采用。

目前关于内部控制最具权威的概念是美国COSO委员会在1992年发布的《内部控制——整体框架》的报告中提出的"内部控制是由董事会、管理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。同时提出内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。同时指出了内部控制环境是其他因素构建的基础，由此可见内部控制环境在整个内部控制体系中的重要性。

（简单讲）现在我国对内部控制结构的描述与COSO的内部控制整体框架的构成要素有差异，后者更强调了管理方面的内部控制，而更少地局限于会计，这也是内部控制概念越来越广，涵盖的内容越来越多的具体体现。目前理论界有这样的争论：是否借鉴COSO的关于内部控制的概念体系的争论。

因为现代企业的运营方式和运作环境都发生了极大的改变，财务系统的内部控制和管理的内部控制之间已经相互交织，内部控制就不应该停留在会计系统的内部控制层面上，而应该把两者相结合。同时因为中国已加入WTO，为了与世界接轨，在理论和实务上都应该做适当的调整，因此对于内部控制的理论体系和实际操作都应该在借鉴先进理论和实务操作的基础上，结合我国的实际情况做出适当的调整。

COSO内部控制标准概述

1992年COSO报告对内部控制的定义是：“内部控制是一个受到董事会、管理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率、财务报告的可靠性、法律法规的遵循性。内部控制的定义明确了四个要点：（1）是一个过程；（2）受人为影响；（3）为了达到三个目标；（4）合理保证。

1.一个过程

内部控制不是单一事件，而是一系列行为。

内部控制是业务过程的组成部分，可以整合到业务过程中，并可以监督过程的实施，是管理层的工具，但不能替代管理。

2.人员

内部控制受到董事会，管理层和其他人员的影响，通过人员的行动（董事会，管理层，其它人员）完成，并影响到人员的行动。董事会负有主要的监督责任，是重要的内部控制要素。

3.合理保证

无论内部控制运行如何，只能向管理层和董事会提供目标实现的合理保证。目标实现的可能性受到所有内部控制系统的内在局限的制约。

局限包括：人们决策判断的失误，建立控制的人员考虑的成本和收益等。合谋可以绕过控制，管理层也可以推翻内部控制系统。

4.目标

内部控制系统只能预期对财务报表的可靠性以及遵守法律法规方面的有关目标的实现提供合理保证。

运营目标并不总在实体的控制中。例如投资的特定收益，市场占有率等。因此，内部控制不能防止做出较差的判断和投资，或防止不能实现运营目标的外部事件。对于这些目标，内部控制系统只能向管理层提供合理保证。

5.内部控制要素

五个相互管理的要素，从管理层运营的业务中产生，并纳入到管理中。

控制环境：

内部控制环境主要指企业的核心人员以及这些人的个别属性和所处的工作环境，包括个人诚信正直、道德价值观与所具备的完成组织承诺的能力、董事会与审计委员会、管理阶层的经营理念与营运风格、组织结构、职责划分和人力资源的政策与程序和董事会的重视程度和指导方向。内部控制环境确定了组织内部控制的基调，影响组织中“人”的控制的一贯性。

它包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导

风险评估：

这是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。

控制活动；

这是人们较早关注的方面，它包括确保管理层指令得以实施的政策和程序。

信息和沟通：

它是整个内部控制系统的生命线，为管理层监督各项活动和在必要时采取纠正措施提供了保证。

监控：

监控贯穿于整个内部控制过程中，对其进行评估，并具有一定的独立性。监控的实施途径通常是内部审计。

6.针对审计的两层方法

在审计方法的选择发生冲突时，以ＣＯＳＯ为导向的方法不应当推翻以风险为导向的方法进行审计。

第一层面：可用于组织的各个级别。管理控制。

第二层面：第二层针对活动层面。如流程，子流程，部门。

软性控制：第一层面：控制自我评估，可用于组织的各个级别。管理控制，主管。

硬性控制：在第二层审计过程中得到评价。测试。

7.内部控制目标同内部控制要素的关系

目标是组织要实现的东西，要素是实现目标所需要的东西。

针对三个目标：

（1）经营的效果和效率

（2）财务报告的可靠性

（3）法律法规的遵循性（合规性）。

五个要素对于实现经营目标都很重要，每个要素都与三个目标互相影响。

内部控制可以做，和不可以做的事情，考生应该认真看一看。虽然这些知识我们都在前面涉及到过，考生可以检验有没有正确理解。

8.对于内部控制的责任

对于建立并确保有效的内部控制环境负责的责任人：管理层、审计委员会、董事会，不包括审计师。

审计师负责确保有效的、合理的内部控制系统。管理层：高级管理层，经营经理层，部门经理

COSO研究：每个人对内部控制都负有不同的责任：

管理层：CEO对内部控制系统承担最终责任，对系统有所有权。要设定高层基调。

董事会：管理层对董事会负责，董事会负责监督指导。要有能力、兴趣识别问题。

内部审计师：评价控制系统，监控角色。

其他人员：提供内部控制系统的有关信息。与上级沟通运营中的问题，如舞弊问题等。

9.内部控制的局限性

内部控制根据不同的目标在不同的层面运行，有助于确保管理层认识实体进程，但无法对目标本身的实现提供合理保证。

无法对三个目标中的任何一个提供绝对的保证。这与现实有关，没有哪个系统能完全按照预期做事，最佳期望是取得合理保证。

10.理解内部控制局限性时要考虑的因素

合理保证，判断，控制崩溃，管理层推翻，合谋，成本收益

合理保证：并不意味着内部控制系统经常失败。而是说，即使是有效的内部控制系统，也有可能会经历失败，合理的保证不是绝对的保证。

判断：内部控制的相关决策必须根据人为判断。具有主观性。

控制崩溃：即使设计良好，也会发生崩溃的情况。如员工错误理解操作指令，导致判断错误。或由于无心、疲劳而犯错误。或临时人员，无法正确履行控制职责。

管理层推翻：管理层出于非法目的否决既定的政策或程序，以便获取个人利益或增强组织的财务状况等。如：故意误导银行家、律师、会计师、供应商等，有意签发伪造的采购单。

管理层推翻与管理层干预不同，后者是出于正当目的，控制偏离了既定程序的行为。如对于非标准事项非常必要。

合谋：两人或者多人的合谋活动会使控制失效。不同级别的销售或部门经理可能合谋绕过控制，以达到自己的目的。

成本收益：由于资源的有限性，必须要考虑建立控制的成本与收益。考虑是否建立控制时，要综合考虑失败的风险，对组织的潜在影响，以及建立新控制的成本。收益情况需要主观的评估。（未发生的情况）

成本收益决策的复杂性在于将控制与业务经营的内在关系结合在了起来。在控制整合或建立在管理过程与业务过程的地方，很难区分成本和收益。

将控制结合在一起，可以减少某项风险。成本收益确定方式不同，取决于业务性质。高风险要进行成本收益分析，低风险业务则不必。要发现合适的平衡点。控制过度，会产生副作用。如顾客电话订购不愿意忍受过于繁琐的订单处理。但控制太少存在坏账风险。