企業(yè)內(nèi)部控制(郭致星)

1《企業(yè)內(nèi)部控制》模塊考試大綱

CERM

注冊企業(yè)風險管理師培訓專用課件一、考試目的本模塊測試考生對企業(yè)內(nèi)部控制基本理論和專業(yè)知識的掌握情況，考核考生運用內(nèi)部控制這一企業(yè)風險管理措施與手段支持和落實企業(yè)風險治理對策的能力，考核考生在綜合分析診斷企業(yè)全面和系統(tǒng)性風險問題時運用企業(yè)內(nèi)部控制管理基本知識的能力，以及在一定程度上考核考生設(shè)計、實施和評價企業(yè)內(nèi)部控制體系的專業(yè)水平。2二、考試基本要求2.1掌握以下內(nèi)容2.1.1內(nèi)部控制概述1.內(nèi)部控制相關(guān)概念2.內(nèi)部控制目標3．內(nèi)部控制的原則4.內(nèi)部控制類型、要點、措施和方法5.內(nèi)部控制的范圍6.良好的內(nèi)部控制特征7.內(nèi)部控制的地位與作用8.企業(yè)內(nèi)部控制框架3二、考試基本要求2.1.2內(nèi)部控制的五大要素1.控制環(huán)境2.風險評估3.控制活動4.信息與溝通5.監(jiān)控2.1.3內(nèi)部控制體系設(shè)計、實施與評價1.內(nèi)部控制體系設(shè)計考慮要點2.內(nèi)部控制體系設(shè)計基本方法3．關(guān)鍵業(yè)務控制設(shè)計實務要點4.內(nèi)部控制體系建立與實施5.內(nèi)部控制體系評價要點二、考試基本要求2.1.4內(nèi)部控制與相關(guān)管理實踐的關(guān)系1.內(nèi)部控制與公司治理2.內(nèi)部控制目標與平衡計分卡3.內(nèi)部控制與流程管理4.內(nèi)部控制與操作風險管理及合規(guī)風險管理的關(guān)系5.內(nèi)部控制在企業(yè)全面風險管理中的作用6.內(nèi)部控制體系與其他管理體系的關(guān)系二、考試基本要求2.2了解以下內(nèi)容2.2.1了解內(nèi)部控制發(fā)展歷史與未來發(fā)展趨勢2.2.2了解本地區(qū)與國際范圍內(nèi)部控制理論與實踐2.2.3了解內(nèi)部控制的局限性2.2.4了解有關(guān)內(nèi)部控制重要的國際準則（例如COSO標準、薩班斯法案、ISO31000等）2.2.5了解管理控制與財務控制的不同2.2.6內(nèi)部控制人員素質(zhì)要求三、要點內(nèi)容3.1內(nèi)部控制概述3.2內(nèi)部控制的五大要素的描述與實施要點3.3內(nèi)部控制體系設(shè)計、實施與評價3.4內(nèi)部控制與相關(guān)管理實踐的關(guān)系3.5了解內(nèi)部控制發(fā)展歷史與未來發(fā)展趨勢3.1.1.內(nèi)部控制相關(guān)概念。1.管理：管理是指導和控制企業(yè)的協(xié)調(diào)活動。管理活動通常包括：制定企業(yè)的戰(zhàn)略（包括企業(yè)發(fā)展的方針、政策、目標等），以及相關(guān)的策劃、控制、保證和改進活動（亦有表述為“計劃、組織、協(xié)調(diào)、控制、指揮”等活動）。2.控制：控制是管理活動/職能的一部分，控制的目的是為了致力于實現(xiàn)相關(guān)目標、滿足相關(guān)要求。3.內(nèi)部控制：依照ISO/IEC導則73《風險管理—術(shù)語》，內(nèi)部控制是一類控制風險的措施，是一種風險治理的解決方案，旨在最小化風險。內(nèi)部控制包括所有相關(guān)的政策、手段措施、實踐和其他策劃好的行動等。依照目前COSO的定義，內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。從COSO—內(nèi)部控制框架延伸而來，目前一般用內(nèi)部控制要素和內(nèi)部控制目標來描述內(nèi)部控制的主體框架。內(nèi)部控制包括控制環(huán)境、風險評估、控制活動、信息及交流、內(nèi)部監(jiān)督等五個相互關(guān)聯(lián)的過程要素。內(nèi)部控制的目標包括：戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。3.1.1.內(nèi)部控制相關(guān)概念。4.內(nèi)部控制政策：被企業(yè)決策高層批準的所有風險控制目標和風險控制方向。有關(guān)于內(nèi)部控制政策的進一步解釋請看后文。5.內(nèi)部控制活動：是指確保管理層的要求得以實施的政策及程序。6.內(nèi)部控制體系：內(nèi)部控制體系是企業(yè)為實現(xiàn)經(jīng)營管理目標，通過制定并實施系統(tǒng)化的政策、程序和方案，對風險進行有效識別、分析、評價、控制、監(jiān)測和改進的動態(tài)過程和機制。7.內(nèi)部控制自我評估：內(nèi)部控制自我評估（ControlSelf—Assessment,CSA）系由企業(yè)操作人員/管理人員/審計人員開展的、用以評估內(nèi)部控制有效性的過程。其目的是對達成所有經(jīng)營管理目標提供合理的保證（assurance）。內(nèi)部控制自我評估亦稱“風險控制自我評估”或“CRSA”。實施內(nèi)部控制自我評估的方法一般包括：問卷調(diào)查、流程圖、檢查表等方法。8.內(nèi)部控制評價：內(nèi)部控制評價是指對企業(yè)內(nèi)部控制體系建設(shè)、實施和運行結(jié)果獨立開展的調(diào)查、測試、分析和評估等系統(tǒng)性活動。內(nèi)部控制評價包括過程評價和結(jié)果評價。過程評價是對內(nèi)部控制的控制環(huán)境、風險評估、控制活動、信息與交流、監(jiān)督管理等體系要素的評價。3.1.2內(nèi)部控制目標內(nèi)部控制目標一般包括戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標，是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務報告報告及相關(guān)信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。企業(yè)內(nèi)部控制的基本目標是通過風險管理和內(nèi)部控制來實現(xiàn)價值持續(xù)增加的經(jīng)營目標。1．戰(zhàn)略目標2．經(jīng)營目標3．報告目標4．合規(guī)目標

3.1.2內(nèi)部控制目標此外，由于企業(yè)管理控制源自于企業(yè)財務控制的率先實踐，因此從財務審計標準的角度來看，企業(yè)內(nèi)部控制（例如其中的財務控制內(nèi)容）的具體目標設(shè)定可參照以下八個方面：1．保護資產(chǎn)（safeguardingofassets）2．保護會計記錄的可靠性（reliabilityofaccounting—record）

3．及時提供可靠的財務信息（timelypreparationofreliablefinancialinformation）

4．盈利和盡量減少不必要的花費（profitabilityandminimizationofunnecessarycosts）

5．避免無意識地面臨風險敞口（avoidanceofunintentionalexposuretorisk）

6．預防和查明錯誤和不正?，F(xiàn)象（preventionordetectionoferrorsandirregularities）

7．保證授予的職責得到正確履行（assurancethatdelegatedresponsibilityhavebeenproperlydischarged）

8．履行法律責任（dischargeofstatutoryresponsibilities）3.1.3內(nèi)部控制的原則1.全面性原則2.重要性原則3.制衡性4.適應性原則5.成本效益原則6.預防性原則7.持續(xù)改進原則8.合規(guī)性原則3.1.3內(nèi)部控制的原則9．有效性原則10．獨立性原則11．權(quán)威性和優(yōu)先性原則12．可控性原則13．與管理過程相結(jié)合原則14．風險評估先導性原則3.1.4內(nèi)部控制類型、要點、措施和方法1．控制類型按照控制過程順序分類：環(huán)境和結(jié)構(gòu)控制、政策控制、預防性控制、操作控制（例如流程和程序）、發(fā)現(xiàn)性控制、糾錯性控制。按照控制目的分類，有以下四類：⑴預防型：以防止發(fā)生不良事態(tài)為目的的控制。較探測型控制而言，這種控制因為避免了錯誤、省去了糾錯費用而具有更大的成本效益。⑵引導型：引發(fā)或促使某一良性事態(tài)發(fā)生的控制。這種類型的控制同樣具備成本效益，并有助于防止錯誤的產(chǎn)生。⑶探測型：發(fā)現(xiàn)已經(jīng)發(fā)生的不良事態(tài)。盡管總體上比前兩種類型開支更大，但探測型控制能夠衡量預防型和引導型控制的有效性，并能夠發(fā)現(xiàn)通過預防制度不能有效控制的錯誤。⑷糾錯型：確保已經(jīng)發(fā)生過的不良事態(tài)不會再度發(fā)現(xiàn)的控制。3.1.4內(nèi)部控制類型、要點、措施和方法2．控制要點⑴對于可能導致偏離內(nèi)部控制政策、目標的運行情況，應建立并保持書面程序和要求，并在程序中規(guī)定人員適任條件要求、授權(quán)要求、操作要求和控制標準。⑵對于重要活動應考慮采用諸如“四眼原則”的制衡機制；實施連續(xù)記錄和監(jiān)督檢查。⑶在可能的情況下，應考慮運用計算機系統(tǒng)進行控制。⑷對于采購或外包的設(shè)施、設(shè)備、系統(tǒng)和服務中已識別的風險，應建立并保持控制程序，并將有關(guān)程序和要求通報供方，確保其遵守企業(yè)相關(guān)的控制要求。⑸對于產(chǎn)品、組織結(jié)構(gòu)、流程、計算機系統(tǒng)的設(shè)計過程，應建立有效的控制程序。3.1.4內(nèi)部控制類型、要點、措施和方法3．內(nèi)部控制措施控制措施所涉及的范圍一般可包括（但不限于此）：目標控制、指標和標準控制、決策控制、預防控制、政策及制度控制、組織與結(jié)構(gòu)控制、員工素質(zhì)控制、信息控制、流程控制、程序控制、關(guān)鍵風險點強化控制、計劃和預算控制、預測和預警控制、監(jiān)測檢查及監(jiān)督控制、審計控制、記錄控制、報告控制、追蹤控制、糾錯控制、試點控制、績效考核控制等。

3.1.4內(nèi)部控制類型、要點、措施和方法以下為一些通常采用的控制措施具體舉例：⑴檢查控制。⑵行為控制。⑶實物控制。⑷風險暴露限制的審查。⑸審批與授權(quán)。⑹驗證與核實。⑺不兼容崗位的適當分離。3.1.4內(nèi)部控制類型、要點、措施和方法4．控制方法⑴前饋控制（ForwardControl）：活動開始之前所作出的控制。這種方法屬于預防性控制，是事前之控制用以阻止錯誤的發(fā)生。⑵實時性控制（ConcurrentControl）：在活動進行中加以控制，讓發(fā)生問題和矯正行動之時間間隔降至最低。⑶回饋控制（FeedbackControl）：在活動發(fā)生后所采取的控制行動。3.1.5內(nèi)部控制的范圍本考試大綱本模塊依照戰(zhàn)略、操作、財務和聲譽四大板塊思路繪制出企業(yè)應設(shè)置內(nèi)部控制的領(lǐng)域分布圖（如下圖），供參考。3.1.6良好的內(nèi)部控制特征1．及時――內(nèi)部控制體系應及早發(fā)現(xiàn)潛在或?qū)嶋H偏差以期減少損失。管理人員應對潛在問題作出預測，確保一旦出現(xiàn)問題就能夠采取有效控制措施加以阻止并（或）予以確認和糾正。2．節(jié)約――內(nèi)部控制體系應作出“合理保證”，即以合理的較低費用實現(xiàn)預期的控制目標?？梢詫嵤┙^對控制，但有可能得不償失。內(nèi)部控制體系應通過減少追加資金以外的開支及潛在損失來支付自身費用。因此，管理部門應將需要防止、查實或糾正的開支與相關(guān)控制制度的費用進行比較；效率與節(jié)約必須與控制的有效性一并考慮。然而，如果出于對安全、環(huán)境、敏感問題或提高信譽的考慮，某些控制應予以批準。3．責任感――內(nèi)部控制體系應促使員工對所肩負的任務表現(xiàn)出責任感。管理人員需要內(nèi)部控制體系以使其盡職盡責，因此，他們應諳悉內(nèi)部控制的目的及操作。4．配置――內(nèi)部控制措施應配置于最能發(fā)揮效力之處，如適當?shù)刂糜陉P(guān)鍵過程之前、當中或結(jié)束時。5．靈活性――內(nèi)部控制體系應能夠適應因時間關(guān)系所引起的程序變化，必須經(jīng)過修訂才能繼續(xù)有效的內(nèi)部控制體系則不足取。6．確認起因――如果控制不但能發(fā)現(xiàn)問題，而且還能追本溯源，則有助于迅速實施糾正措施。7．恰當――控制應符合管理之需要及目標。3.1.7內(nèi)部控制的地位與作用3.1.8企業(yè)內(nèi)部控制的框架1．目前企業(yè)內(nèi)部控制框架的實施狀況本考試大綱目前建議的企業(yè)內(nèi)部控制框架（三維）：目標層面：戰(zhàn)略目標、運營目標、報告目標（修正之出強調(diào)風險報告）和合規(guī)目標要素層面：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控結(jié)構(gòu)層面：企業(yè)整體層面、分支機構(gòu)、業(yè)務單位、子公司2．未來企業(yè)內(nèi)部控制框架的發(fā)展3.2內(nèi)部控制的五大要素的描述與實施要點

內(nèi)部控制具體包括：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控等五大要素。3.2.1控制環(huán)境1.內(nèi)部環(huán)境要素描述內(nèi)部控制環(huán)境是企業(yè)實施內(nèi)部控制的基礎(chǔ)，影響著組織中員工的控制意識。控制環(huán)境是其他內(nèi)部控制因素的基礎(chǔ)，為內(nèi)部控制界定了規(guī)則和結(jié)構(gòu)。一般包括治理結(jié)構(gòu)、機構(gòu)設(shè)置及權(quán)責分配、內(nèi)部審計、人力資源政策、企業(yè)文化等。3.2.1控制環(huán)境2.內(nèi)部環(huán)境要素實施要點⑴公司治理⑵機構(gòu)與管理職能⑶內(nèi)部控制政策內(nèi)部控制政策應：與企業(yè)的經(jīng)營宗旨和發(fā)展戰(zhàn)略相一致；體現(xiàn)持續(xù)改進內(nèi)部控制的要求；符合現(xiàn)行法律法規(guī)要求；規(guī)范內(nèi)部控制實施的結(jié)構(gòu)框架和過程框架；描述企業(yè)的風險偏好與風險容忍度，體現(xiàn)出側(cè)重控制的風險類型；體現(xiàn)出對不同地區(qū)、行業(yè)、產(chǎn)品的風險控制要求；傳達給適用崗位的員工，指導員工實施風險控制措施；可為風險相關(guān)方所獲取，并尋求互利合作；定期進行評審，確保其持續(xù)的適宜性和有效性。3.2.1控制環(huán)境⑷企業(yè)文化⑸人力資源人力資源政策（主要包括但不限于）：員工的聘用、培訓、辭退與辭職。員工的薪酬、考核、晉升與獎懲。關(guān)鍵崗位員工的強制休假制度和定期崗位輪換制度。掌握重要商業(yè)秘密的員工離崗的限制性規(guī)定。有關(guān)人力資源管理的其他政策。⑹風險管理⑺內(nèi)部審計⑻管理手冊3.2.2風險評估1.風險評估要素描述企業(yè)科學系統(tǒng)識別、分析和評價影響企業(yè)各級目標實現(xiàn)的所有風險因素、局部風險因素或特定領(lǐng)域風險因素的這一過程被稱為風險評估。風險評估是企業(yè)了解風險和確定風險控制目標的依據(jù)，是企業(yè)識別控制環(huán)節(jié)和控制關(guān)鍵點的依據(jù)，是企業(yè)實施內(nèi)部控制過程管理不可逾越的關(guān)鍵步驟，是企業(yè)實施全面風險管理的方法論支撐基礎(chǔ)。每個組織（企業(yè)）都要面對需要評估的各種內(nèi)部和外部的風險。風險評估的一個前提條件是要確立與不同級別相聯(lián)系并內(nèi)在統(tǒng)一的目標。風險評估就是要識別并分析影響組織（企業(yè)）目標實現(xiàn)的相關(guān)風險，并為決定如何管理和控制這些風險提供決策依據(jù)。由于經(jīng)濟、行業(yè)、法規(guī)和經(jīng)營條件等的不斷變化，相應的機制和風險也會產(chǎn)生改變，從而也要求風險評估的實施必須是及時的和周期持續(xù)的。3.2.2風險評估2．風險評估要素實施要點⑴風險評估相關(guān)概念和原則①風險控制目標②固有風險、剩余風險和當前風險水平③風險忍受度風險忍受度是企業(yè)能夠承擔的風險限度，包括整體風險承受能力和業(yè)務層面的可接受風險水平。④關(guān)鍵風險⑤風險評估技術(shù)和方法3.2.2風險評估⑵風險識別①內(nèi)部風險識別關(guān)注因素—董事、監(jiān)事、經(jīng)理及其他高級管理人員的職業(yè)操守和決策水平/風格?！獑T工專業(yè)勝任能力等人力資源因素。—組織機構(gòu)、經(jīng)營方式、資產(chǎn)管理、業(yè)務流程等管理因素。—研究開發(fā)、技術(shù)投入、信息技術(shù)運用等自主創(chuàng)新因素?！攧諣顩r、經(jīng)營成果、現(xiàn)金流量等財務因素。—營運質(zhì)量和安全、員工健康、環(huán)境保護等安全環(huán)保因素?！畔⒌挠行?、內(nèi)部控制的有效性和公司治理有效性等識別。—合規(guī)風險的識別。

—其他有關(guān)內(nèi)部風險因素。3.2.2風險評估②外部風險識別關(guān)注因素—經(jīng)濟形勢、產(chǎn)業(yè)政策、投融資環(huán)境、市場競爭、資源供給等經(jīng)濟因素。—法律法規(guī)、監(jiān)管要求等法律因素?！踩€(wěn)定、文化傳統(tǒng)、社會信用、教育水平、消費者行為等社會因素?！夹g(shù)進步、工藝改進等科學技術(shù)因素?！匀粸暮?、環(huán)境狀況等自然環(huán)境因素?！獠客话l(fā)事件影響。—其他有關(guān)外部風險因素。3.2.2風險評估⑶風險分析風險分析是為了更多或更精確地了解風險的特征，企業(yè)應當采用定性與定量相結(jié)合的方法，按照風險發(fā)生的可能性及其影響程度等，對識別的風險進行分析。另外，在風險分析時還往往對風險的敏感性和不確定性等特征實施分析。⑷風險評價⑸風險治理對策①風險規(guī)避②移走滋生風險的根源③改善風險的特征④風險分擔/風險轉(zhuǎn)移⑤風險承受⑥風險應對⑹選擇內(nèi)部控制這一風險改善對策的落實措施3.2.3控制活動1．控制活動要素描述2．控制活動要素實施要點⑴企業(yè)應根據(jù)風險管理策略，針對各類風險或每一項重大風險制定風險管理解決方案。方案一般應包括風險解決的具體目標，所需的組織領(lǐng)導，所涉及的管理及業(yè)務流程，所需的條件、手段等資源，風險事件發(fā)生前、中、后所采取的具體應對措施以及風險管理工具。⑵企業(yè)制定風險管理解決的外包方案，應注重成本與收益的平衡、外包工作的質(zhì)量、自身商業(yè)秘密的保護以及防止自身對風險解決外包產(chǎn)生依賴性風險等，并制定相應的預防和控制措施。⑶企業(yè)制定風險解決的內(nèi)控方案，應滿足合規(guī)的要求，堅持經(jīng)營戰(zhàn)略與風險策略一致、風險控制與運營效率及效果相平衡的原則，針對重大風險所涉及的各管理及業(yè)務流程，制定涵蓋各個環(huán)節(jié)的全流程控制措施；對其他風險所涉及的業(yè)務流程，要把關(guān)鍵環(huán)節(jié)作為控制點，采取相應的控制措施。⑷控制活動是體現(xiàn)控制政策的程序或行動，往往是控制措施的組合。前文有關(guān)于企業(yè)控制措施的相關(guān)內(nèi)容已給出了基本的概念。以下是一些可稱之為常見的體現(xiàn)在企業(yè)各項控制活動中的內(nèi)控措施，包括：①授權(quán);②報告;③批準;④問責;⑤審計檢查;⑥考核評價;⑦重大風險預警;⑧法律顧問;⑨制衡，明確規(guī)定不相容職責的分離。3.2.4信息與溝通1．信息與溝通要素描述2．信息與溝通要素實施要點⑴信息與溝通制度⑵信息收集⑶信息傳遞和溝通⑷以信息為基礎(chǔ)的控制措施⑸文件信息控制⑹信息技術(shù)3.2.5監(jiān)控1．監(jiān)控要素描述監(jiān)控是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查，評價內(nèi)部控制的有效性，發(fā)現(xiàn)內(nèi)部控制缺陷，并提議改進。2．監(jiān)控要素實施要點⑴內(nèi)部控制監(jiān)控制度企業(yè)應當根據(jù)相關(guān)規(guī)范制定內(nèi)部控制監(jiān)控制度，明確內(nèi)部審計機構(gòu)（或經(jīng)授權(quán)的其他監(jiān)督機構(gòu)）和其他內(nèi)部機構(gòu)在內(nèi)部監(jiān)控中的職責權(quán)限，規(guī)范內(nèi)部監(jiān)控的措施類別、程序、方法和要求。內(nèi)部監(jiān)控分為日常監(jiān)督和專項監(jiān)控。3.2.5監(jiān)控

⑵內(nèi)部控制缺陷認定企業(yè)應當制定內(nèi)部控制缺陷認定標準，對監(jiān)督過程中發(fā)現(xiàn)的內(nèi)部控制缺陷，應當分析缺陷的性質(zhì)和產(chǎn)生的原因，提出整改方案，采取適當?shù)男问郊皶r向董事會、監(jiān)事會或者經(jīng)理層報告。內(nèi)部控制缺陷包括設(shè)計缺陷和運行缺陷。企業(yè)應當跟蹤內(nèi)部控制缺陷整改情況，并就內(nèi)部監(jiān)督中發(fā)現(xiàn)的重大缺陷，追究相關(guān)責任單位或者責任人的責任。⑶內(nèi)部控制自我評價企業(yè)應當結(jié)合內(nèi)部監(jiān)控情況，定期對內(nèi)部控制的有效性進行自我評價，出具內(nèi)部控制自我評價報告。內(nèi)部控制自我評價的方式、范圍、程序和頻率，由企業(yè)根據(jù)經(jīng)營業(yè)務調(diào)整、經(jīng)營環(huán)境變化、業(yè)務發(fā)展狀況、實際風險水平等自行確定。國家有關(guān)法律法規(guī)另有規(guī)定的，從其規(guī)定。

3.2.5監(jiān)控

⑷監(jiān)控報告監(jiān)控報告（除非就某一監(jiān)控方面監(jiān)管機構(gòu)提出特別要求）因企業(yè)不同和因監(jiān)控的目標任務不同而不同。一般監(jiān)控報告應報告監(jiān)控發(fā)現(xiàn)的事實和監(jiān)控發(fā)現(xiàn)的潛在問題，有時也報告目標實現(xiàn)的可能性評估，如有必要也可給出就發(fā)現(xiàn)問題的應對建議。⑸記錄控制應建立相關(guān)文檔的保存和記錄制度，以規(guī)定內(nèi)部控制相關(guān)活動中所涉及記錄的標識、生成、貯存、保護、檢索、保存期限和處置。記錄應保持清晰、易于識別和檢索，以提供符合要求和內(nèi)部控制體系有效運行的證據(jù)，并可追溯到相關(guān)的活動。

3.3內(nèi)部控制體系設(shè)計、實施與評價3.3.1內(nèi)部控制體系設(shè)計考慮要點企業(yè)在實施內(nèi)部控制的設(shè)計時要考慮內(nèi)部控制的目標和政策，要體現(xiàn)企業(yè)內(nèi)部控制管理的總體原則（本考試大綱本模塊的前文中已陳述了這一原則），要考慮內(nèi)部控制的成本許可與實施的可行性，應征求企業(yè)利益相關(guān)者的建議并與他們實施充分的溝通和協(xié)商。3.3.1內(nèi)部控制體系設(shè)計考慮要點具體來講，企業(yè)的內(nèi)部控制體系的設(shè)計，一般可主要考慮以下要點：1.企業(yè)戰(zhàn)略的澄清及確認，以及企業(yè)目標管理體系的建立；2.企業(yè)內(nèi)部控制政策的制訂。內(nèi)部控制政策一般包括企業(yè)的組織結(jié)構(gòu)，運營模式，部門及崗位職責、授權(quán)、報告路線，與目標相關(guān)的風險偏好及風險容忍度，風險管理基本對策；3.企業(yè)管理及業(yè)務流程（程序）的梳理、整合與優(yōu)化；4.了解和確認企業(yè)的風險管理目標和內(nèi)部控制目標，遵循內(nèi)部控制政策；5.在遵循內(nèi)部控制的原則基礎(chǔ)上，識別、評估、監(jiān)測、報告、控制和改進相關(guān)風險。3.3.1內(nèi)部控制體系設(shè)計考慮要點

在設(shè)計企業(yè)內(nèi)部控制時，在基于上述要點的基礎(chǔ)上，還應進一步考慮以下內(nèi)容：—有關(guān)控制指標界定或標準確定—內(nèi)部控制要識別和考慮企業(yè)關(guān)鍵業(yè)務、關(guān)鍵業(yè)績、關(guān)鍵流程與關(guān)鍵控制點—預警考慮—考慮合規(guī)要求—考慮風險評估結(jié)果建議—評價現(xiàn)有風險控制水平和風險控制能力—識別和確定企業(yè)所接受的風險控制水平—考慮控制成本—評價控制措施與非控制措施的風險應對效果和成本，進而做出控制措施選擇—基于企業(yè)關(guān)鍵風險控制點的內(nèi)部控制的流程和程序設(shè)計—確定控制措施、程序和控制活動—從制度著手的內(nèi)部控制—從標準化和規(guī)范化角度著手的內(nèi)部控制—確定應急措施—確定控制資源—考慮常規(guī)控制和非常規(guī)控制，考慮風險控制的壓力極限—提出企業(yè)風險控制能力的建設(shè)和提升目標，設(shè)計合理的企業(yè)風險控制能力3.3.2內(nèi)部控制體系設(shè)計的基本方法企業(yè)應建立以企業(yè)經(jīng)營管理目標為指針，以流程管理和風險管理為基礎(chǔ)的，以“業(yè)務條線及管理職能、風險管理、審計”三道防線為機制，以內(nèi)部控制五要素為框架的文件化的內(nèi)部控制體系。企業(yè)內(nèi)部控制體系的設(shè)計應至少體現(xiàn)以下主要方法：1.原則為本的方法(Principle—BasedApproach)2.績效為本的方法(Performance—BasedApproach)3.流程為本的方法(Process—BasedApproach)4.職責為本的方法(Responsibility—BasedApproach)5.風險為本的方法(Risk—BasedApproach)6.體系為本的方法(System—BasedApproach)3.3.3關(guān)鍵業(yè)務控制設(shè)計實務要點企業(yè)內(nèi)部控制的設(shè)計應包括戰(zhàn)略、操作、報告、合規(guī)等幾個層面。然而，在企業(yè)中最為關(guān)注的內(nèi)控焦點仍然是基于關(guān)鍵業(yè)務、關(guān)鍵業(yè)績、關(guān)鍵流程和關(guān)鍵風險點的內(nèi)部控制的設(shè)計和有效運行的問題。由于內(nèi)部控制的發(fā)展歷經(jīng)了幾個重要時期的沿革，似乎每一個企業(yè)都感到自身在內(nèi)部控制管理方面都或多或少的按照傳統(tǒng)內(nèi)控的某些理念做過一些工作（例如制訂了各種制度），然而當如今企業(yè)需要在ERM的框架下重新梳理內(nèi)部控制體系時卻感到不知從何下手！原因是因為尚不能準確定位ERM時代內(nèi)部控制設(shè)計的發(fā)展改進方向，不全面了解當代“管理控制”發(fā)展的最新設(shè)計思路和設(shè)計視角，也不十分清晰在ERM框架下實施“管理控制”的具科學性的程序和步驟。針對這一問題，為增加對內(nèi)部控制學科實用性的指導力度，本考試大綱本模塊特選擇以“關(guān)鍵業(yè)務內(nèi)部控制設(shè)計”為解說點，以陳述本模塊所推介的有關(guān)該設(shè)計的程序或步驟，供讀者或考生們參考。3.3.3關(guān)鍵業(yè)務控制設(shè)計實務要點風險指標確認（考慮風險偏好、風險容忍度以及考慮合規(guī)）風險評估（包括風險識別、風險分析和風險評價三個階段）在風險評估的評價階段，評價內(nèi)控水平：（1）確認關(guān)鍵風險點（2）評估目前的內(nèi)控水平狀況（可適度測試）（3）確定適合于企業(yè)狀況的內(nèi)控應有水平（4）內(nèi)控資源評價3.3.3關(guān)鍵業(yè)務控制設(shè)計實務要點4.基于風險評估的結(jié)果，為所選定的關(guān)鍵業(yè)務制訂內(nèi)部控制的框架方案其中這一方案中應列出對已識別出來的每一個關(guān)鍵風險的控制措施，例如包括：在這一關(guān)鍵業(yè)務中，圍繞著某一被識別出來的關(guān)鍵風險點，可采用的控制行動包括：（1）在遵從企業(yè)整體風險的管理政策的基礎(chǔ)之上，為該關(guān)鍵風險制定風險管理政策（例如其中聲明風險容忍度，合規(guī)要求，聲明該關(guān)鍵風險的控制責任等）（2）制定風險管理計劃（例如，該計劃陳述落實風險管理政策的安排，并且還應包括應急計劃預案等）（3）考慮和設(shè)置預警（如有必要，或者有可能）（4）恰當?shù)闹贫ɑ蛐抻喒芾碇贫龋?）以該關(guān)鍵風險治理和控制為思維出發(fā)點，考慮相關(guān)風險的關(guān)聯(lián)性或可能的疊加效果（6）圍繞著關(guān)鍵風險點，設(shè)計合理與充足的各類控制活動（7）將該關(guān)鍵風險的控制并入到所關(guān)注業(yè)務的流程控制中去，實施控制平衡（8）圍繞關(guān)鍵風險點，結(jié)合各類控制活動，設(shè)定總體控制程序（9）為關(guān)鍵風險設(shè)置監(jiān)控機制和報告機制（10）為關(guān)鍵風險設(shè)計周期性評價機制3.3.3關(guān)鍵業(yè)務控制設(shè)計實務要點5、實施關(guān)鍵風險的控制框架6、監(jiān)督上述框架的實施7、不斷改進這一框架3.3.4內(nèi)部控制體系的建立與實施建立和實施內(nèi)部控制體系的方法包括以下步驟：1.確定企業(yè)各相關(guān)方的需求和期望；2.澄清及確認組織的戰(zhàn)略和經(jīng)營管理目標；3.確定實現(xiàn)企業(yè)經(jīng)營管理目標必需的組織機構(gòu)、職責、權(quán)限，以及報告路線；4.制訂相關(guān)的內(nèi)部控制政策、管理程序、業(yè)務流程；5.識別相關(guān)風險，并制訂相關(guān)控制措施；6.確定和提供實現(xiàn)經(jīng)營管理目標必需的資源；7.規(guī)定測量（檢查或考核）每個業(yè)務及管理過程和風險的方法；8.識別與評估所產(chǎn)生的風險，并采取相應的控制措施改進管理并使剩余風險處于可接受水平；9.建立和應用持續(xù)改進內(nèi)部控制體系的過程，尤其包括自我評價、風險評估與報告、審計等；10.不斷優(yōu)化控制環(huán)境，并與企業(yè)全面風險管理的大環(huán)境相吻合與協(xié)調(diào)。3.3.5內(nèi)部控制體系評價要點1.內(nèi)部環(huán)境⑴內(nèi)部環(huán)境評價原則企業(yè)董事會應負責審批企業(yè)的策略和政策；了解企業(yè)運作的風險（特別是關(guān)鍵性風險），確定企業(yè)對這些風險的承受力，并確保高級管理層采取必要措施識別、監(jiān)管和控制這些風險；審批企業(yè)機構(gòu)的框架，確保高級管理層對內(nèi)部控制體系的有效性實行監(jiān)管。高級管理層有責任執(zhí)行企業(yè)董事會審批的策略；制定合適的內(nèi)部控制政策；監(jiān)管內(nèi)部控制體系的有效性。企業(yè)董事會和高級管理層有責任提高自身的職業(yè)道德與廉潔自律的標準，在機構(gòu)內(nèi)部形成一種文化氛圍，向各級人員說明并強調(diào)內(nèi)部控制體系的重要性。企業(yè)的各級人員都應了解其自身的崗責，都應具備完成其崗責的能力，都應了解他們在內(nèi)部控制程序中所分配的角色和應起的作用，并應在這一程序中全力以赴履行各自的職責。企業(yè)應建立健全全面風險管理體系，為企業(yè)內(nèi)部控制的有效實施提供基礎(chǔ)性、體系性和全面性的支持環(huán)境。3.3.5內(nèi)部控制體系評價要點⑵內(nèi)部環(huán)境評價要點①誠信與倫理價值觀管理層必須讓雇員了解，誠信與倫理價值觀是不能妥協(xié)的，雇員必須接受和理解這一點。管理層必須通過言行表現(xiàn)出對高尚道德標準的承諾。●行為規(guī)范及有關(guān)經(jīng)營行為、利益沖突，倫理道德標準的政策是否存在并得到實施?！瘛案邔踊{(diào)”（包括明確什么是對、什么是錯的道德規(guī)范）是否已經(jīng)建立。它在整個機構(gòu)的交流程度如何?！裉幚砼c雇員、供應商、客戶、投資商、貸款方、保險公司、競爭對手、稽核人員等的關(guān)系。●對不遵守公司政策、程序和違反行為規(guī)范的行為是否采取了恰當?shù)难a救措施。補救措施在多大程度上得以實施，并使企業(yè)內(nèi)每位員工都能了解?！窆芾韺訉Ω深A和超越內(nèi)部控制的態(tài)度?！駥崿F(xiàn)不現(xiàn)實的經(jīng)營目標（特別是達到短期效果）的壓力。達到這些經(jīng)營自標后，存在的報酬獎勵范圍。3.3.5內(nèi)部控制體系評價要點②對員工能力的承諾管理層必須明確規(guī)定每項具體工作對職員能力的要求，并將這些能力要求以所需的知識與技能的方式表達。●對每項工作是否制定了正式或非正式的工作要求，或用其他方式對工作加以描述?！裾_分析從事某項工作所需的知識與技能3.3.5內(nèi)部控制體系評價要點③董事會與審計委員會一個活躍、有效的董事會將發(fā)揮重要的監(jiān)督功能，因為管理層很可能凌駕于內(nèi)部控制之上。董事會在保證內(nèi)部控制的有效性方面將發(fā)揮重要作用?！癖O(jiān)督工作獨立于管理層之外是非常必要的，即便很難做到，顯得過于追根究底，還是應該提出問題?！袢绻斜匾獙唧w事務給予更深刻、更直接的關(guān)注，董事會是否能發(fā)揮應有作用，董事會的知識及經(jīng)驗●與財務會計主管、內(nèi)部稽核員和外部審計師召開會議的頻率和及時性●向董事會和稽核委員會成員提供的信息是否充分和及時，以使管理層的且標、戰(zhàn)略、公司的財務狀況、經(jīng)營業(yè)績、重要協(xié)議的條款得到監(jiān)督。●董事會和稽核委員會處理敏感信息、調(diào)查不當行為的有效性與及時性?！袷欠癖O(jiān)督高級官員和內(nèi)部稽核主管制定了獎懲政策和對他們的任免制度●建立恰當“高層基調(diào)”作用●董事會或稽核委員會是否根據(jù)其發(fā)現(xiàn)的問題采取行動，包括必要時進行的特別調(diào)查。3.3.5內(nèi)部控制體系評價要點④管理層經(jīng)營理念與運作風格管理層的運作風格對企業(yè)經(jīng)常會產(chǎn)生廣泛的影響。當然有些影響是無形的，但是人們還是能看到積極或消極的跡象?！衲艹惺艿慕?jīng)營風險的性質(zhì)，如管理層是否經(jīng)常涉足高風險領(lǐng)域，還是在承受風險方面過于保守?！裰饕毼簧系娜藛T變遷，如經(jīng)營、會計、數(shù)據(jù)處理、內(nèi)部稽核等職位?！窆芾韺訉?shù)據(jù)處理和會計部門的態(tài)度，以及對財務報表和財產(chǎn)保全的可靠性的關(guān)注。●高級管理層與經(jīng)營管理層聯(lián)系的頻率，尤其是當經(jīng)營部門是按照地理范圍分布時的聯(lián)系頻率?！駥ω攧請蟾娌扇〉膽B(tài)度和行動、包括應用會計原則所引致的糾紛。3.3.5內(nèi)部控制體系評價要點⑤組織結(jié)構(gòu)組織結(jié)構(gòu)不應過于簡單，以避免不能很好地監(jiān)督企業(yè)的沽動；同時也不應過于復雜，以避免阻礙必要的信息交流，管理人員應充分理解其內(nèi)部控制責任并具備與其職位相稱的經(jīng)驗及知識水平。●企業(yè)機構(gòu)結(jié)構(gòu)的合理性；是否能夠提供必要的信息交流以便對經(jīng)營活動進行管理。●主要管理人員的職責定義，經(jīng)理對其職責的理解是否充分?！裰饕芾砣藛T是否具備與其職責相稱的知識與經(jīng)驗?！袷欠窬哂星‘?shù)膱蟾骊P(guān)系?！袢绻闆r改變，機構(gòu)結(jié)構(gòu)在多大程度上能得到調(diào)整?！衿髽I(yè)是否具備足夠的職員，特別是管理和監(jiān)督崗上是否具備足夠的職員。3.3.5內(nèi)部控制體系評價要點⑥職權(quán)及分配職責的委任、授權(quán)和相關(guān)政策的建立為責任制和控制提供了基礎(chǔ)，并決定了個人的不同作用。●職責的委托、授權(quán)用以實現(xiàn)機構(gòu)目標和目的，處理經(jīng)營活動和遵循管理制度，包括對信息系統(tǒng)和授權(quán)的改變做出反映?！衽c控制有關(guān)的標準及程序，包括對雇員的工作要求是否恰當?！衿髽I(yè)是否具有足夠的員工，特別是數(shù)據(jù)處理和會計人員，是否具備與公司規(guī)模、活動及制度復雜性相應的能力?！袷跈?quán)范圍與委任職責是否相互符合⑦人力資源政策與實踐人力資源政策是選拔和吸引人才、實施企業(yè)計劃及目標的關(guān)鍵?！衿赣?、培訓、提升、酬賞雇員的政策措施在多大程度上到位?！窆蛦T在多大程度上了解其職責和管理層對其工作的要求●對違反公司規(guī)定及辦事程序的行為，是否采取恰當?shù)难a救措施?！袢耸鹿芾響偷赖录皞惱順藴室?guī)定的明確程序?qū)θ藛T進行考核?！駥刚叩谋尘罢{(diào)查是否充分，特別是審查其以往是否有過本企業(yè)無法接受的行為或舉動?！袷欠裰贫ǔ浞值谋Ａ?、晉升雇員的標準和信息收集技術(shù)（如工作業(yè)績評價），以及與行為準則或其他行為規(guī)范有關(guān)的制度是否有恰當標準。3.3.5內(nèi)部控制體系評價要點2．風險評估⑴風險評估評價原則高級管理層應確保能夠識別和評價可能對企業(yè)目標的實現(xiàn)產(chǎn)生不利影響的內(nèi)部及外部風險因素。這種評價應包括企業(yè)所面臨的各種風險，如戰(zhàn)略風險、財務風險、信用風險、市場風險、運作風險、法律風險、信譽風險和合規(guī)風險等。高級管理層應確保對影響企業(yè)實現(xiàn)其策略和目標的風險進行及時評估、連續(xù)評估或周期性實施評估，這可能需要對內(nèi)部控制體系加以改進，以便有效地控制任何新的或以前未加以控制的風險，以便有效監(jiān)控剩余風險的變化。高級管理層應確保企業(yè)實施風險評估的方法正確、科學和得當，評估結(jié)果可信。盡可能提高風險評估標準化的程度。3.3.5內(nèi)部控制體系評價要點⑵風險評估評價要點①企業(yè)組織的總體目標●企業(yè)的總體目標是否就企業(yè)的目的和指導原則作了有效規(guī)定，同時這些規(guī)定又能與企業(yè)的經(jīng)營直接聯(lián)系起來。●雇員和董事會是否了解企業(yè)的總體目標?！衿髽I(yè)策略與企業(yè)總體目標的關(guān)系及一致性●企業(yè)經(jīng)營計劃和預算與企業(yè)總體目標、策略計劃和目前狀況是否一致。②經(jīng)營目標●經(jīng)營目標及總體目標、策略計劃之間是否存在聯(lián)系?！窠?jīng)營目標之間是否相互聯(lián)系●經(jīng)營目標同所有的重大業(yè)務是否具有相關(guān)性●經(jīng)營目標的具體化●是否具有實現(xiàn)目標所需要的資源●確定與實現(xiàn)總體目標相關(guān)的關(guān)鍵目標（重要成功因素）●各級管理層在目標制定過程中的參與程度，及他們對待這些目標的嚴肅性。3.3.5內(nèi)部控制體系評價要點③風險評估過程和方法評價風險評估方法的科學性和風險評估過程的組織方式等均影響到風險評估控制要素所產(chǎn)生結(jié)果的可信度，進而影響到整個企業(yè)內(nèi)部控制體系的建設(shè)基礎(chǔ)和相應的資源配置。因此，應對企業(yè)風險評估結(jié)果的可信性實施評價和校正?！耧L險評估過程中對風險關(guān)聯(lián)性的考慮程度與合適度●是否具有恰當?shù)陌l(fā)現(xiàn)內(nèi)部風險的機制●企業(yè)是否具備適當機制來發(fā)現(xiàn)外部風險●企業(yè)參與風險評估的人員素質(zhì)評價●風險識別的透徹性評價，特別指識別與實現(xiàn)企業(yè)重大經(jīng)營目標有關(guān)的重要風險，是否識別的透徹和無明顯遺漏●風險分析過程的完整性、科學性和相關(guān)性，包括對風險大小的估計，對其發(fā)生的可能性分析并決定需要采取何種行動?！耧L險評估方法的科學性評價，風險評估結(jié)果的可信性評價3.3.5內(nèi)部控制體系評價要點④管理變化狀況評價經(jīng)濟、行業(yè)管理環(huán)境在不斷變化，企業(yè)也在發(fā)展，因此需要有某種機制發(fā)現(xiàn)這些變化并對變化的情況作出反應?！袷欠翊嬖谀撤N機制對日常事務或影響經(jīng)營和總體目標實現(xiàn)的其他活動進行預測、識別和采取適當措施（如果某項活動很容易受環(huán)境變化的影響，那么這種機制就應由負責這項活動的經(jīng)理來管理）?！袷欠翊嬖谀撤N機制，識別可能對整個企業(yè)產(chǎn)生重大全面影響的變化并對之作出反應，從而引最高管理層的重視?！裥鹿蛦T●新的或重新設(shè)計的信息系統(tǒng)●迅速發(fā)展●新技術(shù)●新方法、新產(chǎn)品、新經(jīng)營活動、收購新公司●公司重組●跨國經(jīng)營3.3.5內(nèi)部控制體系評價要點

3．控制活動⑴控制活動評價原則⑵控制活動評價要點①是否為企業(yè)的每一次經(jīng)營活動都制定相應政策及實施程序②現(xiàn)有控制活動是否得到充分實施③圍繞著企業(yè)每一個關(guān)鍵風險點的控制活動分派是否完善和充足。4．信息與溝通⑴信息與溝通評價原則高級管理層應確保掌握充分的、綜合的有關(guān)企業(yè)戰(zhàn)略、經(jīng)營、合規(guī)和財務等信息，以及掌握有關(guān)影響決策的事件和條件的外部市場信息。這些信息應及時、可靠、有深度、充分并具有連續(xù)性。3.3.5內(nèi)部控制體系評價要點⑵信息與溝通評價要點①信息—信息由信息系統(tǒng)發(fā)現(xiàn)、捕捉、