2011年注册会计师考试公司战略与风险管理精讲笔记28(2)

　　(2)会计制度。这是指为认定、分析、归类、记录、编报各项经济业务，明确资产与负债的经管责任而规定的各种方法，包括认定和登记一切合法的经济业务;对各项经济业务按时和适当的分类，作为编制财务报表的依据;将各项经济业务按照适当的货币价值计价，以便列入财务报表;确定经济业务发生的日期，以便按照会计期间进行记录;在财务报表中恰当地表述经济业务及对有关的内容进行揭示。

　　(3)控制程序。这是指企业为保证目标的实现而建立的政策和程序，如经济业务和经济活动的适当授权;明确各个人员的职责分工，如指派不同的人员分别承担业务批准、业务记录和财产保管的职责，以防止有关人员对正常经济业务图谋不轨和隐匿各种错弊;账簿和凭证的设置、记录与使用，以保证经济业务活动得到正确的记载，如出厂凭证应事先编号，以便控制发货业务;资产及记录的限制接触，如接触电脑程序和档案资料要经过批准;已经登记的业务及记录与复核，如常规的账面复核，存款、借款调节表的编制，账面的核对，电脑编程控制，以及管理者对明细报告的检查。

　　(二)内部控制在成熟阶段的研究结果

　　如前文所述， C050委员会于 1992年 9月发布了指导内部控制实践的纲 领性文件《内部控制一一整合框架}，并于 1994年进行了增补，即 COSO内部控制框架。这份文件堪称内部控制发展史上的里程碑。

　　COSO对内部控制的定义包含大量关键概念，它们能举例说明企业内的内部控制系统有普遍影响力，而且控制是一个程序，而非结构。内部控制是公司董事会和各级管理层计划、实施和监察的不间断的一系列活动。

　　内部控制的目标不仅是为了保证财务报告的可靠性与合规性，而且有助于提高企业运营的效益和效率。因此，内部控制也与业绩目标(比如获利能力)的实现有关。但是内部控制只为企业目标的实现提供合理保证，而非绝对保证。

　　内部控制系统包括企业的政策、程序、任务、行为，使企业能够对与实现企业目标有关的重大业务、经营、财务、法规及其他风险作出适当反应，促进企业的运营效益和效率。这包括保护资产，避免被不当使用或流失和欺诈，并确保负债得到有效管理。

　　完善的内部控制系统还有助于确保对内及对外报告的质量。这要求维持适当的记录和程序，以提供有关企业内外部的及时、相关且可靠的信息。而且，完善的内部控制系统还有助于确保企业遵守适用的法律法规，或遵守商业行为的内部政策。

　　内部控制可分成五个相互关联的组成部分，在配合实现独立而又有重叠的经营、财务报告和法规遵守的目标时，这五个部分也可作为评价内部控制系统有效性的标准。这五个部分包括:控制环境、风险评估、控制活动、信息与沟通以及监察。不仅如此， COSO对内部控制系统的五大要素进行了认定。从董事会为企业制定整体管理哲学以实施内部控制，到控制环境的详情，都属于这五个要素的范畴。

　　1 (Control environment)。

　　内部审计师协会 (The Institute of Internal Auditors , IIA)对控制环境的定义是董事会与管理层对待公司内部控制的重要性的态度及采取的行动"。控制环境是其他内部控制元素的根基，并提供纪律及结构。控制环境因素包括人员的道德观和胜任能力、董事会提供的指示和管理的效率。控制环境被称为企业的"最高层"。控制环境能说明企业的道德观和文化，为内部控制其他方面的运作提供框架。控制环境是由管理层所定的基调、管理哲学与管理风格、授权方式、组织和培养员工的方式以及董事会对执行内部控制的决心决定

2 (Risk assessment)。

　　风险评估是指识别和分析影响目标实现的风险(包括与监管和运营环境不断变化有关的风险)，以此来确定降低和管理此类风险的依据。企业的目标与所面临的风险之间有一定关联。为了对风险进行评估，必须确立企业目标。目标一经确立，必须识别和评估为实现这些目标而面临的风险，并且该评估应构成决定如何管理该风险的基础。

　　企业的管理层应定时对企业内部的各类业务进行风险评估，而且需要考虑内部及外部因素。内部因素包括组织的复杂性、组织结构的变更、员下流动情况及员工素质。外部因素包括行业及经济条件的改变以及技术变革等。

　　风险评估程序亦应区分可控制风险和不可控制风险。对于可控制风险，管理层应决定是否承受该风险，采取措施控制或降低该风险。 l对于不可控制的风险，管理层应决定是否承受该风险，或部分或完全退出此项业务，以规避风险。

　　3.控制活动( Control activity)。

　　控制活动有助于确保管理层的指令得以执行，以及任何可能需要用来处理风险以实现企业目标的行动得以实施。控制活动是指能确保管理层的决策与指示得以执行的政策和程序。企业内部各层面均存在控制活动，控制活动包括组织控制、职责划分、调节和复核、实物控制、授权和批准、计算和会计 j人员控制、监督及管理控制。

　　4.信息与沟通 (Information and communication)。

　　信息与沟通是指在人员能够履行责任的方式及时间范围内，识别、取得和报告经营、财务及法律遵守的相关信息的有效程序和系统。企业必须收集信息并向适当人士传达。管理者制定恰当的决策时既需要内部信息也需要外部信息。此外，为了运作内部控制，管理者也是需要信息的。因此必须建立完善的信息系统，必须为管理者提供与所采取的行动相关的，及时 L准确、可以理解的信息。

　　企业多数会运用计算机系统来提高为管理者提供的信息质量，但是如果让计算机系统为管理者提供所需的信息，则必须将计算机系统结合到业务策略中。信息系统和信息管理对于成功的运转和业务控制有着非常重要的作用。信息系统和技术管理的内容可参考本书第十二章。

　　5.监察( Monitoring)。

　　监察是指持续评估内部控制系统的充分性及表现情况的程序。内部控制的不足之处应向相应的上级领导层汇报。上级领导层可以是高级管理层、审计委员会或董事会。内部控制系统必须接受监察。作为内部控制系统的因素，它与内部审计及一般监督有关。识别并向高级管理层及董事会或董事报告内部控制系统的缺陷是非常重要的。