2011年注册会计师考试公司战略与风险管理预习辅导60(3)

　　要求：

　　(1)指出COSO内部控制的三大目标和五大控制要素。

　　(2)根据COSO内部控制的相关理念，对该总经理上述四点说法逐一进行分析，分别指出每一说法是否正确并说明原因。

　　【答案】

　　(1)COSO内部控制的三大目标是：提高企业运营的效益和效率;保证财务报告的可靠性;法律法规的遵从性。

　　COSO内部控制的五大要素包括：控制环境、风险评估、控制活动、信息与沟通、监察。

　　(2)该总经理的四点说法都不正确。

　　①内部控制是一个实现目标的程序及方法，而其本身并非目标，该总经理将内部控制作为公司一个长期目标是错误的。

　　②内部控制只提供合理保证，而非绝对保证，该总经理认为所有经营目标都将实现是假设内部控制将提供绝对保证，所以是错误的。

　　③内部控制要由企业中各级人员实施与配合，该总经理将公司内部控制建设全部归于高级管理人员，忽略了其他员工的参与和配合，所以是错误的。

　　④内部控制缺陷应向上级领导层报告，上级领导层可以是高级管理层、审计委员会或董事会。内部控制系统必须接受监察。因此，对于出现的内部控制缺陷直接向同级管理层报告，无需向上级领导层报告的说法错误。

　　【例题3·简答题】在总结某知名企业集团破产的过程中，人们发现如下情况：

　　资料一：为了满足公司大规模扩张的需要，为把资金从上市公司转移出来，集团采取以上市公司存款为大股东贷款担保的方式“掏钱”。在难以得到上市公司过半数董事同意的情况下，集团制造虚假的上市公司董事会决议：一是未经授权代理董事签字;二是非董事人员或前任董事在决议上签字。为了便于控制，三年来公司高管和董事会成员频繁更换，仅董事长就更换4人，最近一次董事会成员更是几乎全部更换，仅保留一位原董事。公司的重大决策听命于个别核心人物，董事会对公司实际控制人未形成有效约束。由于一股独大和股权分置的股权结构，股东大会也无法对大股东和实际控制人肆意侵吞上市公司利益的行为形成制约。

　　资料二：在该集团，长期以来不少公司高层“把公司的钱装进自己的兜”，一些中层更是把公司用于奖励员工的奖金截留提成，业务人员则签署大量的虚假合同来骗取提成。

　　资料三：在公司快速发展的过程中，被鲜花和掌声陶醉的公司管理层听不进任何不同意见。一位资深高层曾委婉地对时任董事长身边人员的某些做法提出批评时，被该董事长当场驳回。此后，员工再也不敢、也不愿向上层提意见，信息沟通系统几乎不存在。会计信息系统由管理层随意控制，高层管理者把“公司钱揣分自己腰包”。在该公司，信息系统已经不再是一个管理和控制的工具，而是高层管理者的话筒，信息随其意愿而变。

　　资料四：公司早在1997年就有了审计部。然而内部审计部门的运作情况极不理想，很少对内部控制运行情况进行监督，也未就附属公司管理失控、部分管理者“把公司钱装进自己兜里”等重大风险点进行报告。在一定程度上，内部审计部门的作用主要是做给银行和政府部门看的，是公司获取政府青睐和取得银行贷款的“道具”。重大决策，包括重大对外担保、大额资金划转等都是由公司个别管理人员以邮件的形式授权或通过邮件发出划款指令，其他人员及内部审计部门全无发言权。

　　要求：

　　(1)资料一反映了该公司哪方面的问题，简单阐明理由。

　　(2)简述COSO内部控制框架的构成要素和常见的内部控制活动。

　　(3)资料二反映了该公司COSO报告要素中的哪些方面出现了问题，简单阐明理由。

　　(4)资料三反映了该公司COSO报告要素中的哪些方面出现了问题，简单阐明理由。

　　(5)资料四反映了该公司COSO报告要素中的哪些方面出现了问题，简单阐明理由。

　　【答案】

　　(1)资料一表明该公司在公司治理方面存在严重问题。董事会和管理层作用被误用，董事和高级管理人员也没有尽到个人责任。

　　(2)COSO内部控制框架的五个要素包括：控制环境、风险评估、控制活动、信息与沟通、监察。

　　常见的八项内部控制活动包括：组织控制;职责划分;调节和复核;实物控制;授权和批准;计算和会计;人员控制;监督及管理控制。

　　(3)表明该公司的控制环境和控制活动出现了问题。该公司员工道德和价值观出现了严重问题，这属于控制环境的问题;公司没有及时发现问题并纠正，表明企业的控制活动不到位。

　　(4)表明该公司的控制环境、信息与沟通出现了问题。高层管理者是企业文化的倡导者，自己不以身作则，道德缺失，可见该公司控制环境极其恶劣。大多信息不能有效上传下达，表明信息出现了严重的传递不畅。

　　(5)表明该公司的监察出现了问题。内部审计形同虚设，没有发挥真正的监督作用。

　　【例题4·简答题】A公司总经理在年度工作报告中对该公司的风险管理作了如下的介绍和描述：

　　(1)该公司将在未来2年内完成企业的风险管理;

　　(2)企业风险管理的有效实施仅依赖于公司中层以上管理人员的工作;

　　(3)风险管理只适用于向A公司这样的大中型企业;

　　(4)公司风险管理将为实现公司目标提供绝对保证;

　　(5)公司的风险管理仅对能够影响企业的现有事项进行识别。

　　要求：请逐一分析上述关于公司风险管理的理解是否恰当，并解释原因。

　　【答案】

　　这五点理解都不恰当。

　　(1)风险管理是一个正在进行并贯穿整个企业的过程，强调全过程管理。因此不能说在某个阶段完成。

　　(2)风险管理受到企业各个层次人员的影响，强调全员管理。因此不能说仅依赖于公司中层以上管理人员的工作。

　　(3)风险管理适用于各个级别和单位的企业。因此不能说只适用于大中型企业。

　　(4)风险管理只能对企业的管理层和董事会提供合理保证，即实现企业的目标提供合理保证，而非绝对保证。

　　(5)风险管理的目的是确定可能影响企业的潜在事项并进行管理。因此不能说仅对能够影响企业的现有事项进行识别