【正文】 ? 憑證和賬單的設(shè)計和使用應(yīng)保證經(jīng)濟業(yè)務(wù)和活動得到正確的職務(wù)分離的記載（如 連續(xù)編號 ） ? 財產(chǎn)及其記錄的接觸使用要有保護措施（如 限制接近 ） ? 對已登記的業(yè)務(wù)及其計價進行復(fù)核（ 獨立稽核 ） 28 （ Internal Control一 Integrated Framework） ? 1992年 ， 美國反財務(wù)欺詐委員會下屬的 內(nèi)部 控 制 專 門 研 究 委 員 會 COSO（ Committee of Sponsoring Organizations of the Treadway Commission） ， 提出 《 內(nèi)部控制整體框架 （ Internal ControlIntegrated Framework） 》 的專題報告 （ 又稱 COSO報告 ） ， 在世界范圍內(nèi)得到廣泛應(yīng)用 。 29 ? COSO報告指出 ， 內(nèi)部控制是一個 過程 ， 受企業(yè)董事會 、 管理當局和其他員工影響 ， 旨在保證財務(wù)報告的可靠性 、 經(jīng)營的效果和效率以及現(xiàn)行法規(guī)的遵循 。 ? 內(nèi)部控制是一個 “ 發(fā)現(xiàn)問題 解決問題 發(fā)現(xiàn)新問題 解決新問題 ” 的循環(huán)往復(fù)的過程 ， 是企業(yè)經(jīng)營過程的一部分 ， 目標 是在合法經(jīng)營的前提下 ， 提高經(jīng)營的效率與效果 ， 向外界提供可信的財務(wù)報告 。 但它并不是一門純粹的技術(shù) ， 相反它是 “ 人為 ” 的 ， 需要 全員參與 ， 其設(shè)計和執(zhí)行效果受制于 “ 人 ” 的因素 。 30 ? 內(nèi)部控制整體架構(gòu)主要由控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)督 五項要素 構(gòu)成： （ 1） 控制環(huán)境 （ Control Environment） ? 提供企業(yè)紀律與架構(gòu)，塑造企業(yè)文化，并影響企業(yè)員工的控制意識，是所有其它內(nèi)部控制組成要素的 基礎(chǔ) 。 ? 員工的誠實和職業(yè)道德 ? 員工的勝任能力 ? 董事會及審計委員會的參與 ? 管理哲學(xué)和經(jīng)營作風(fēng) ? 組織機構(gòu) ? 權(quán)力和責任的規(guī)定 ? 人力資源政策與執(zhí)行 31 （ 2） 風(fēng)險評估 （ Risk Assessment） ? 分析和辨認 實現(xiàn)所定目標可能發(fā)生的風(fēng)險 （評估風(fēng)險的先決條件，是制定目標）。 ? 經(jīng)營環(huán)境的變化 ? 聘用新員工 ? 采用新的或改良的信息系統(tǒng) ? 迅猛的發(fā)展速度 ? 新技術(shù)的采用 ? 企業(yè)改組 ? 新的行業(yè)、產(chǎn)品或經(jīng)營活動的開發(fā) ? 海外經(jīng)營 ? 新會計方法的采用 32 （ 3） 控制活動 （ Control Activities） ? 確保管理層的指令得以執(zhí)行的 政策及程序 ，如核準、授權(quán)、驗證、調(diào)節(jié)、復(fù)核營業(yè)績效、保障資產(chǎn)安全及職務(wù)分工。 ? 政策規(guī)定應(yīng)該做什么，程序則使政策產(chǎn)生效果 ，政策是程序的基礎(chǔ)。 ? 控制活動是針對 關(guān)鍵控制點 而制定的： ? 業(yè)績評價 ? 信息處理控制 ? 實物控制 ? 職務(wù)分離 ? 授權(quán)與批準 33 （ 4） 信息與溝通 （ Information and Communication） ? 企業(yè)在其經(jīng)營過程中，需按某種形式辨識、取得確切的信息，并進行溝通，以使員工能夠履行其責任。 ? 企業(yè)所有職員必須從 最高管理階層 清楚地獲取承擔控制責任的信息，有向 上級部門 溝通重要信息的方法，并對 外界顧客、供應(yīng)商、政府主管機關(guān)和股東 等做有效的溝通。 34 ? 會計系統(tǒng)是信息系統(tǒng)最為重要的組成部分 ： ? 確認、記錄所有有效的經(jīng)濟業(yè)務(wù) ? 序時詳細記錄經(jīng)濟業(yè)務(wù)，以便適當歸類、提供財務(wù)報報告 ? 采用適當?shù)呢泿艃r值計量經(jīng)濟業(yè)務(wù) ? 確定經(jīng)濟業(yè)務(wù)發(fā)生時期，并保證在合理的會計期記錄經(jīng)濟業(yè)務(wù) ? 在財務(wù)報告中恰當披露經(jīng)濟業(yè)務(wù) 35 （ 5） 監(jiān)控 （ Monitoring） ? 由適當?shù)娜藛T，在適當及時的基礎(chǔ)上，評估控制的設(shè)計和運作情況的過程，由 持續(xù)監(jiān)督、個別評估 組成，確保企業(yè)內(nèi)部控制持續(xù)有效運作。 ? 在監(jiān)控過程中，有兩項職能發(fā)揮著重要作用： ? 一是 內(nèi)部審計 ，它是 內(nèi)部控制的最高層次 ，是 控制中的控制 。 ? 二是 控制自我評估 （ Control Self Appraisal，CSA）。它的基本特征是：時刻關(guān)注企業(yè)內(nèi)部經(jīng)濟業(yè)務(wù)事項的進展情況和內(nèi)部控制的成效；由企業(yè)內(nèi)部全體人員共同參與和實施；利用 目標管理 的方法開展評估活動。 36 五要素及其相互關(guān)系 監(jiān)控 控制活動 風(fēng) 險 評 估 控制環(huán)境 信 息 溝 通 信 息 溝 通 基礎(chǔ) 手段 保證 載體 依據(jù) 37 （四）最新發(fā)展 ——企業(yè)風(fēng)險管理（ enterprise risk management ） ? 2022年 9月， COSO委員會順應(yīng) 風(fēng)險管理與內(nèi)部控制相融合 的趨勢，吸收了風(fēng)險管理的研究成果，結(jié)合 《 薩班斯 ——奧克斯萊法案 》 ，正式頒布 《 企業(yè)風(fēng)險管理整體框架（ Enterprise Risk ManagementIntegrated Framework） 》 。 38 ⒈ 定義與目標 ? COSO指出， 企業(yè)風(fēng)險管理 是由企業(yè)的董事會、管理層和其他人員實施的，應(yīng)用于戰(zhàn)略制定并貫穿整個企業(yè)的一個過程，旨在識別可能影響企業(yè)的潛在事件，并在企業(yè)的風(fēng)險容量內(nèi)管理風(fēng)險，為實現(xiàn)企業(yè)的以下目標提供合理的保證： （ 1） 戰(zhàn)略目標 ，為最高層次的目標； （ 2） 經(jīng)營目標 ，包括資源運用的效果和效率； （ 3） 報告目標 ，即報告的可靠性； （ 4） 遵循性目標 ，即合法合規(guī)性。 39 ⒉ 組成要素 （ 1） 內(nèi)部環(huán)境 （ Internal Environment） ? 內(nèi)部環(huán)境為如何看待風(fēng)險和著手控制確立了 基礎(chǔ) ： ? 風(fēng)險管理哲學(xué) ? 風(fēng)險文化 ? 董事會 40 ? 誠心和道德觀 ? 能力承諾 ? 管理哲學(xué)和經(jīng)營風(fēng)險 ? 風(fēng)險偏好 ? 組織結(jié)構(gòu) ? 權(quán)利和責任的分配 ? 人力資源政策和實踐 41 （ 2） 目標設(shè)定 （ Objective Setting） ? 管理當局采取恰當?shù)某绦蛉ピO(shè)定目標，保證選定的目標支持主體的 使命 ，并與其相銜接，以及與它的 風(fēng)險容量 相適應(yīng)。 ? 戰(zhàn)略目標 ? 相關(guān)目標 ? 選定目標 ? 風(fēng)險偏好 ? 風(fēng)險承受度 42 （ 3） 事項識別 （ Event Identification） ? 從影響目標實現(xiàn)的 內(nèi)部或外部資源 中，識別潛在的事項，包括區(qū)分 表示風(fēng)險的事項或表示機會的事項 ，以及可能二者兼有的事項。 ? 事件 ? 影響戰(zhàn)略和目標的因素 ? 方法論和技巧 ? 實踐相互依賴性 ? 事件類別 ? 風(fēng)險和機遇 43 （ 4） 風(fēng)險評估 （ Risk Assessment） ? 企業(yè)管理當局 對識別的風(fēng)險進行分析 ，作為確定如何對它們進行管理的依據(jù)。 ? 內(nèi)部和剩余風(fēng)險 ? 可能性和影響 ? 方法論和技巧 ? 相互關(guān)系 44 （ 5） 風(fēng)險反應(yīng) （ Risk Response） ? 管理當局識別、評價可能的風(fēng)險應(yīng)對措施，包括 回避、承擔、降低和分擔風(fēng)險 ，使風(fēng)險 與主體的風(fēng)險容量相適應(yīng) 。 ? 識別風(fēng)險反應(yīng) ? 評價風(fēng)險反應(yīng) ? 選擇反應(yīng) ? 組合觀 45 （ 6） 控制活動 （ Control Activities） ? 企業(yè) 制定和實施政策與程序 ，以幫助確保管理當局所選擇的風(fēng)險應(yīng)對策略得以有效實施。 ? 與風(fēng)險反應(yīng)相結(jié)合 ? 控制活動的類型 ? 一般控制 ? 應(yīng)用控制 ? 主體特性 46 （ 7） 信息與溝通 （ Information and Communication） ? 各個層級都需要 借助信息來識別、評估和應(yīng)對風(fēng)險 ，員工也需要獲得有關(guān)他們的 職能和責任的清晰溝通 。 ? 信息 ? 戰(zhàn)略整合系統(tǒng) ? 溝通 47 （ 8） 監(jiān)控 （ Monitoring） ? 整個企業(yè)風(fēng)險管理應(yīng)處于監(jiān)控之下，必要時還應(yīng)進行修正，能夠動態(tài)地反應(yīng)、根據(jù)條件的要求而變化。監(jiān)控通過 持續(xù)的管理活動、對企業(yè)風(fēng)險管理的單獨評價 或者兩者的結(jié)合來完成。 ? 個別評估 ? 持續(xù)評估 48 ⒊ 角色職責 ? 在企業(yè)風(fēng)險管理整體框架中，體現(xiàn)了 全員參與、全面控制 的思想，各方的角色職責相互協(xié)同： （ 1） 董事會 在風(fēng)險管理方面負有總體責任。董事會需要批準企業(yè)的風(fēng)險偏好，復(fù)核企業(yè)的風(fēng)險組合觀并與企業(yè)的風(fēng)險偏好相比較，評估企業(yè)最重要的風(fēng)險并評估管理者的風(fēng)險反應(yīng)是否適當。 （ 2） CEO必須確定目標和戰(zhàn)略方案，并將其分為戰(zhàn)略目標、經(jīng)營目標、報告目標和遵循目標。 （ 3） 管理層 需要識別風(fēng)險和影響風(fēng)險的事項，評估風(fēng)險，采取控制措施。 49 （ 4） 風(fēng)險主管或風(fēng)險經(jīng)理 在其職責范圍內(nèi)建立并維護有效的風(fēng)險管理框架，也負有幫助其他管理人員在企業(yè)內(nèi)向上、向下和橫向報告有關(guān)風(fēng)險信息的職責。 （ 5） 內(nèi)部審計人員 在企業(yè)風(fēng)險管理監(jiān)控中發(fā)揮重要作用。他們對管理層的風(fēng)險管理過程的充分性和有效性進行檢查、評價、報告和提出改進建議，協(xié)助管理層和董事會履行職責。 （ 6） 執(zhí)法人員 可以考慮采用本企業(yè)風(fēng)險管理整體框架的定義和內(nèi)容對企業(yè)的管理加以規(guī)范。 （ 7）對財務(wù)管理、審計等提供指導(dǎo)的 專業(yè)組織 ，應(yīng)根據(jù)本框架的精神考慮他們的標準和指引。 50 （五）企業(yè)風(fēng)險管理整體框架與內(nèi)部控制整體框架的比較 ⒈ 目標發(fā)展與風(fēng)險觀念 ? 內(nèi)部控制整體框架把財務(wù)報告的可靠性界定為編制可靠的公開財務(wù)報表，包括中期和簡要財務(wù)報表，以及從這些財務(wù)報表中摘出的數(shù)據(jù)（如利潤分配數(shù)據(jù)）。 ? 企業(yè)風(fēng)險管理整體框架則將財務(wù)報告的可靠性發(fā)展為 報告的可靠性 ，將財務(wù)報告的范圍拓展到內(nèi)部的和外部的、財務(wù)的和非財務(wù)的報告。 51 ? 企業(yè)風(fēng)險管理整體框架提出了 新的目標 ——戰(zhàn)略目標 ，并置于最高層次。企業(yè)風(fēng)險管理的范圍與內(nèi)容，擴展到戰(zhàn)略高度。 ? 企業(yè)風(fēng)險管理整體框架首次提出總體層面上的 風(fēng)險組合觀 ，管理層在確定戰(zhàn)略目標和戰(zhàn)略時，需將戰(zhàn)略與風(fēng)險偏好保持一致，選擇與企業(yè)風(fēng)險偏好相一致的戰(zhàn)略，以風(fēng)險組合的觀點看待風(fēng)險。 52 ⒉ 風(fēng)險管理流程 ? 內(nèi)部控制整體框架由控制環(huán)境、風(fēng)險評估、控制活動、信息和溝通和監(jiān)控五個要素組成。 ? 企業(yè)風(fēng)險管理整體框架對這五個要素進行深化和拓展，演變?yōu)閮?nèi)部環(huán)境、目標設(shè)定、事件識別，風(fēng)險評估、風(fēng)險應(yīng)對、控制活動、信息與溝通和監(jiān)控八個要素，并首次提出了清晰的 風(fēng)險管理流程： ? 目標制定 ——事項識別 ——風(fēng)險評估 ——風(fēng)險反應(yīng) ——控制活動。 ? 以企業(yè)內(nèi)部環(huán)境為基礎(chǔ)，借助信息與溝通進行，并處于監(jiān)控之下 。 53 ⒊ 角色與職責變化 ? 董事會 ：風(fēng)險管理方面扮演更加重要的角色 ——負有總體責任，且變得更加機警，需要批準企業(yè)的風(fēng)險偏好，復(fù)核企業(yè)的風(fēng)險組合觀并與企業(yè)的風(fēng)險偏好相比較，評估企業(yè)最重要的風(fēng)險并評估管理者的風(fēng)險反應(yīng)是否適當。企業(yè)風(fēng)險管理的成功與否，將在很大程度上依賴于董事會。 ? 首席執(zhí)行官 （ CEO）：確定目標和戰(zhàn)略方案，并將其分為戰(zhàn)略目標、經(jīng)營目標、報告目標和遵循目標。每一個業(yè)務(wù)單元、分部、子公司的領(lǐng)導(dǎo)，也需要識別各自的目標，并與企業(yè)的總體目標相聯(lián)系。 54 ? 管理層 ：識別風(fēng)險和影響風(fēng)險的事項、評估風(fēng)險并采取控制措施。 ? 內(nèi)部審計人員 ：原來對內(nèi)審委員會負責，現(xiàn)在可能要對內(nèi)審委員會和風(fēng)險主管負責，并在企業(yè)風(fēng)險管理監(jiān)控中發(fā)揮重要作用，對管理層風(fēng)險管理過程的充分性和有效性進行檢查、評價、報告和提出改進建議，協(xié)助管理層和董事會履行職責。 ? 風(fēng)險主管或風(fēng)險經(jīng)理 ：為新增的一個角色，與企業(yè)內(nèi)其他管理者一起，在各自的職責范圍內(nèi)建立并維護有效的風(fēng)險管理框架，也負有幫助其他管理人員在企業(yè)內(nèi)向上、向下和橫向報告有關(guān)風(fēng)險信息的職責，并可以成為企業(yè)風(fēng)險管理委員會的一員。 55 ⒋ 圖示比較 56 八要素與五要素關(guān)系 內(nèi)部環(huán)境 目標制定 事項識別 風(fēng)險評估 風(fēng)險反應(yīng) 控制活動 信息與溝通 監(jiān)控 控制環(huán)境 風(fēng)險評估 控制活動 信息與溝通 監(jiān)控 57 三、我國內(nèi)部控制規(guī)范體系 ? 企業(yè)內(nèi)部控制基本規(guī)范（ 2022）： ? 既有類似 薩班斯法案 的強制力，又有與 COSO報告一樣的對內(nèi)控實務(wù)的示范作用。 ? 企業(yè)內(nèi)部控制配套指引（ 2022） ? 由 21項應(yīng)用指引（銀行、證券和保險業(yè)務(wù)的 3項指引暫未發(fā)布）、評價指引和審計指引組成。 ? 應(yīng)用指引 在配套指引乃至整個內(nèi)部控制規(guī)范體系中占據(jù) 主體地位 ； ? 評價指引 是為企業(yè) 管理層 對本企業(yè)內(nèi)部控制有效性進行自我評價提供的指引； ? 審計指引 是為 注冊會計師和會計師事務(wù)所 執(zhí)行內(nèi)部控制審計業(yè)務(wù)的執(zhí)業(yè)準則。 58