【正文】 ? 憑證和賬單的設計和使用應保證經濟業(yè)務和活動得到正確的職務分離的記載（如 連續(xù)編號 ） ? 財產及其記錄的接觸使用要有保護措施（如 限制接近 ） ? 對已登記的業(yè)務及其計價進行復核（ 獨立稽核 ） 28 （ Internal Control一 Integrated Framework） ? 1992年 ， 美國反財務欺詐委員會下屬的 內部 控 制 專 門 研 究 委 員 會 COSO（ Committee of Sponsoring Organizations of the Treadway Commission） ， 提出 《 內部控制整體框架 （ Internal ControlIntegrated Framework） 》 的專題報告 （ 又稱 COSO報告 ） ， 在世界范圍內得到廣泛應用 。 29 ? COSO報告指出 ， 內部控制是一個 過程 ， 受企業(yè)董事會 、 管理當局和其他員工影響 ， 旨在保證財務報告的可靠性 、 經營的效果和效率以及現(xiàn)行法規(guī)的遵循 。 ? 內部控制是一個 “ 發(fā)現(xiàn)問題 解決問題 發(fā)現(xiàn)新問題 解決新問題 ” 的循環(huán)往復的過程 ， 是企業(yè)經營過程的一部分 ， 目標 是在合法經營的前提下 ， 提高經營的效率與效果 ， 向外界提供可信的財務報告 。 但它并不是一門純粹的技術 ， 相反它是 “ 人為 ” 的 ， 需要 全員參與 ， 其設計和執(zhí)行效果受制于 “ 人 ” 的因素 。 30 ? 內部控制整體架構主要由控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督 五項要素 構成： （ 1） 控制環(huán)境 （ Control Environment） ? 提供企業(yè)紀律與架構，塑造企業(yè)文化，并影響企業(yè)員工的控制意識，是所有其它內部控制組成要素的 基礎 。 ? 員工的誠實和職業(yè)道德 ? 員工的勝任能力 ? 董事會及審計委員會的參與 ? 管理哲學和經營作風 ? 組織機構 ? 權力和責任的規(guī)定 ? 人力資源政策與執(zhí)行 31 （ 2） 風險評估 （ Risk Assessment） ? 分析和辨認 實現(xiàn)所定目標可能發(fā)生的風險 （評估風險的先決條件，是制定目標）。 ? 經營環(huán)境的變化 ? 聘用新員工 ? 采用新的或改良的信息系統(tǒng) ? 迅猛的發(fā)展速度 ? 新技術的采用 ? 企業(yè)改組 ? 新的行業(yè)、產品或經營活動的開發(fā) ? 海外經營 ? 新會計方法的采用 32 （ 3） 控制活動 （ Control Activities） ? 確保管理層的指令得以執(zhí)行的 政策及程序 ，如核準、授權、驗證、調節(jié)、復核營業(yè)績效、保障資產安全及職務分工。 ? 政策規(guī)定應該做什么，程序則使政策產生效果 ，政策是程序的基礎。 ? 控制活動是針對 關鍵控制點 而制定的： ? 業(yè)績評價 ? 信息處理控制 ? 實物控制 ? 職務分離 ? 授權與批準 33 （ 4） 信息與溝通 （ Information and Communication） ? 企業(yè)在其經營過程中，需按某種形式辨識、取得確切的信息，并進行溝通，以使員工能夠履行其責任。 ? 企業(yè)所有職員必須從 最高管理階層 清楚地獲取承擔控制責任的信息，有向 上級部門 溝通重要信息的方法，并對 外界顧客、供應商、政府主管機關和股東 等做有效的溝通。 34 ? 會計系統(tǒng)是信息系統(tǒng)最為重要的組成部分 ： ? 確認、記錄所有有效的經濟業(yè)務 ? 序時詳細記錄經濟業(yè)務，以便適當歸類、提供財務報報告 ? 采用適當?shù)呢泿艃r值計量經濟業(yè)務 ? 確定經濟業(yè)務發(fā)生時期，并保證在合理的會計期記錄經濟業(yè)務 ? 在財務報告中恰當披露經濟業(yè)務 35 （ 5） 監(jiān)控 （ Monitoring） ? 由適當?shù)娜藛T，在適當及時的基礎上，評估控制的設計和運作情況的過程，由 持續(xù)監(jiān)督、個別評估 組成，確保企業(yè)內部控制持續(xù)有效運作。 ? 在監(jiān)控過程中，有兩項職能發(fā)揮著重要作用： ? 一是 內部審計 ，它是 內部控制的最高層次 ，是 控制中的控制 。 ? 二是 控制自我評估 （ Control Self Appraisal，CSA）。它的基本特征是：時刻關注企業(yè)內部經濟業(yè)務事項的進展情況和內部控制的成效；由企業(yè)內部全體人員共同參與和實施；利用 目標管理 的方法開展評估活動。 36 五要素及其相互關系 監(jiān)控 控制活動 風 險 評 估 控制環(huán)境 信 息 溝 通 信 息 溝 通 基礎 手段 保證 載體 依據(jù) 37 （四）最新發(fā)展 ——企業(yè)風險管理（ enterprise risk management ） ? 2022年 9月， COSO委員會順應 風險管理與內部控制相融合 的趨勢，吸收了風險管理的研究成果，結合 《 薩班斯 ——奧克斯萊法案 》 ，正式頒布 《 企業(yè)風險管理整體框架（ Enterprise Risk ManagementIntegrated Framework） 》 。 38 ⒈ 定義與目標 ? COSO指出， 企業(yè)風險管理 是由企業(yè)的董事會、管理層和其他人員實施的，應用于戰(zhàn)略制定并貫穿整個企業(yè)的一個過程，旨在識別可能影響企業(yè)的潛在事件，并在企業(yè)的風險容量內管理風險，為實現(xiàn)企業(yè)的以下目標提供合理的保證： （ 1） 戰(zhàn)略目標 ，為最高層次的目標； （ 2） 經營目標 ，包括資源運用的效果和效率； （ 3） 報告目標 ，即報告的可靠性； （ 4） 遵循性目標 ，即合法合規(guī)性。 39 ⒉ 組成要素 （ 1） 內部環(huán)境 （ Internal Environment） ? 內部環(huán)境為如何看待風險和著手控制確立了 基礎 ： ? 風險管理哲學 ? 風險文化 ? 董事會 40 ? 誠心和道德觀 ? 能力承諾 ? 管理哲學和經營風險 ? 風險偏好 ? 組織結構 ? 權利和責任的分配 ? 人力資源政策和實踐 41 （ 2） 目標設定 （ Objective Setting） ? 管理當局采取恰當?shù)某绦蛉ピO定目標，保證選定的目標支持主體的 使命 ，并與其相銜接，以及與它的 風險容量 相適應。 ? 戰(zhàn)略目標 ? 相關目標 ? 選定目標 ? 風險偏好 ? 風險承受度 42 （ 3） 事項識別 （ Event Identification） ? 從影響目標實現(xiàn)的 內部或外部資源 中，識別潛在的事項，包括區(qū)分 表示風險的事項或表示機會的事項 ，以及可能二者兼有的事項。 ? 事件 ? 影響戰(zhàn)略和目標的因素 ? 方法論和技巧 ? 實踐相互依賴性 ? 事件類別 ? 風險和機遇 43 （ 4） 風險評估 （ Risk Assessment） ? 企業(yè)管理當局 對識別的風險進行分析 ，作為確定如何對它們進行管理的依據(jù)。 ? 內部和剩余風險 ? 可能性和影響 ? 方法論和技巧 ? 相互關系 44 （ 5） 風險反應 （ Risk Response） ? 管理當局識別、評價可能的風險應對措施，包括 回避、承擔、降低和分擔風險 ，使風險 與主體的風險容量相適應 。 ? 識別風險反應 ? 評價風險反應 ? 選擇反應 ? 組合觀 45 （ 6） 控制活動 （ Control Activities） ? 企業(yè) 制定和實施政策與程序 ，以幫助確保管理當局所選擇的風險應對策略得以有效實施。 ? 與風險反應相結合 ? 控制活動的類型 ? 一般控制 ? 應用控制 ? 主體特性 46 （ 7） 信息與溝通 （ Information and Communication） ? 各個層級都需要 借助信息來識別、評估和應對風險 ，員工也需要獲得有關他們的 職能和責任的清晰溝通 。 ? 信息 ? 戰(zhàn)略整合系統(tǒng) ? 溝通 47 （ 8） 監(jiān)控 （ Monitoring） ? 整個企業(yè)風險管理應處于監(jiān)控之下，必要時還應進行修正，能夠動態(tài)地反應、根據(jù)條件的要求而變化。監(jiān)控通過 持續(xù)的管理活動、對企業(yè)風險管理的單獨評價 或者兩者的結合來完成。 ? 個別評估 ? 持續(xù)評估 48 ⒊ 角色職責 ? 在企業(yè)風險管理整體框架中，體現(xiàn)了 全員參與、全面控制 的思想，各方的角色職責相互協(xié)同： （ 1） 董事會 在風險管理方面負有總體責任。董事會需要批準企業(yè)的風險偏好，復核企業(yè)的風險組合觀并與企業(yè)的風險偏好相比較，評估企業(yè)最重要的風險并評估管理者的風險反應是否適當。 （ 2） CEO必須確定目標和戰(zhàn)略方案，并將其分為戰(zhàn)略目標、經營目標、報告目標和遵循目標。 （ 3） 管理層 需要識別風險和影響風險的事項，評估風險，采取控制措施。 49 （ 4） 風險主管或風險經理 在其職責范圍內建立并維護有效的風險管理框架，也負有幫助其他管理人員在企業(yè)內向上、向下和橫向報告有關風險信息的職責。 （ 5） 內部審計人員 在企業(yè)風險管理監(jiān)控中發(fā)揮重要作用。他們對管理層的風險管理過程的充分性和有效性進行檢查、評價、報告和提出改進建議，協(xié)助管理層和董事會履行職責。 （ 6） 執(zhí)法人員 可以考慮采用本企業(yè)風險管理整體框架的定義和內容對企業(yè)的管理加以規(guī)范。 （ 7）對財務管理、審計等提供指導的 專業(yè)組織 ，應根據(jù)本框架的精神考慮他們的標準和指引。 50 （五）企業(yè)風險管理整體框架與內部控制整體框架的比較 ⒈ 目標發(fā)展與風險觀念 ? 內部控制整體框架把財務報告的可靠性界定為編制可靠的公開財務報表，包括中期和簡要財務報表，以及從這些財務報表中摘出的數(shù)據(jù)（如利潤分配數(shù)據(jù)）。 ? 企業(yè)風險管理整體框架則將財務報告的可靠性發(fā)展為 報告的可靠性 ，將財務報告的范圍拓展到內部的和外部的、財務的和非財務的報告。 51 ? 企業(yè)風險管理整體框架提出了 新的目標 ——戰(zhàn)略目標 ，并置于最高層次。企業(yè)風險管理的范圍與內容，擴展到戰(zhàn)略高度。 ? 企業(yè)風險管理整體框架首次提出總體層面上的 風險組合觀 ，管理層在確定戰(zhàn)略目標和戰(zhàn)略時，需將戰(zhàn)略與風險偏好保持一致，選擇與企業(yè)風險偏好相一致的戰(zhàn)略，以風險組合的觀點看待風險。 52 ⒉ 風險管理流程 ? 內部控制整體框架由控制環(huán)境、風險評估、控制活動、信息和溝通和監(jiān)控五個要素組成。 ? 企業(yè)風險管理整體框架對這五個要素進行深化和拓展，演變?yōu)閮炔凯h(huán)境、目標設定、事件識別，風險評估、風險應對、控制活動、信息與溝通和監(jiān)控八個要素，并首次提出了清晰的 風險管理流程： ? 目標制定 ——事項識別 ——風險評估 ——風險反應 ——控制活動。 ? 以企業(yè)內部環(huán)境為基礎，借助信息與溝通進行，并處于監(jiān)控之下 。 53 ⒊ 角色與職責變化 ? 董事會 ：風險管理方面扮演更加重要的角色 ——負有總體責任，且變得更加機警，需要批準企業(yè)的風險偏好，復核企業(yè)的風險組合觀并與企業(yè)的風險偏好相比較，評估企業(yè)最重要的風險并評估管理者的風險反應是否適當。企業(yè)風險管理的成功與否，將在很大程度上依賴于董事會。 ? 首席執(zhí)行官 （ CEO）：確定目標和戰(zhàn)略方案，并將其分為戰(zhàn)略目標、經營目標、報告目標和遵循目標。每一個業(yè)務單元、分部、子公司的領導，也需要識別各自的目標，并與企業(yè)的總體目標相聯(lián)系。 54 ? 管理層 ：識別風險和影響風險的事項、評估風險并采取控制措施。 ? 內部審計人員 ：原來對內審委員會負責，現(xiàn)在可能要對內審委員會和風險主管負責，并在企業(yè)風險管理監(jiān)控中發(fā)揮重要作用，對管理層風險管理過程的充分性和有效性進行檢查、評價、報告和提出改進建議，協(xié)助管理層和董事會履行職責。 ? 風險主管或風險經理 ：為新增的一個角色，與企業(yè)內其他管理者一起，在各自的職責范圍內建立并維護有效的風險管理框架，也負有幫助其他管理人員在企業(yè)內向上、向下和橫向報告有關風險信息的職責，并可以成為企業(yè)風險管理委員會的一員。 55 ⒋ 圖示比較 56 八要素與五要素關系 內部環(huán)境 目標制定 事項識別 風險評估 風險反應 控制活動 信息與溝通 監(jiān)控 控制環(huán)境 風險評估 控制活動 信息與溝通 監(jiān)控 57 三、我國內部控制規(guī)范體系 ? 企業(yè)內部控制基本規(guī)范（ 2022）： ? 既有類似 薩班斯法案 的強制力，又有與 COSO報告一樣的對內控實務的示范作用。 ? 企業(yè)內部控制配套指引（ 2022） ? 由 21項應用指引（銀行、證券和保險業(yè)務的 3項指引暫未發(fā)布）、評價指引和審計指引組成。 ? 應用指引 在配套指引乃至整個內部控制規(guī)范體系中占據(jù) 主體地位 ； ? 評價指引 是為企業(yè) 管理層 對本企業(yè)內部控制有效性進行自我評價提供的指引； ? 審計指引 是為 注冊會計師和會計師事務所 執(zhí)行內部控制審計業(yè)務的執(zhí)業(yè)準則。 58