2011年注冊會計師考試公司戰略與風險管理精講筆記28

第八章 內部控制

　　第一節 內部控制的定兌和發展

　　一、內部控制的定義

　　內部控制是指為確保實現企業目標而實施的程序和政策。內部控制還應確保識別可能阻礙實現這些目標的風險因素并采取預防措施。內部控制和風險管理是出色的公司治理極為重要的組成部分。出色的公司治理意味著董事會必須對企業的所有風險加以識別和管理，就風險管理而言，內部控制系統涉及企業財務、運營、遵守法律法規及其他方面。

　　內部控制系統包括兩個因素，分別是控制環境和控制政策與程序。控制環境是指企業內對于內部控制的態度及內部控制意識，代表整個企業對于內部控制的價值觀。控制政策及程序是指嵌入企業運營中的具體的內部控制。控制政策及程序的設計目的在于，盡可能確保業務行為是有序且有效的。控制政策及程序必須能夠根據企業面臨的內外部風險而改變，并且應以企業面臨的主要風險為重點，并對這些風險作出反應。

　　內部控制的思想和框架總體上就是對企業內資掘進行管理的體系，然而基于不同的角度和層次，對內部控制的定義有著不同的認識和分析。

　　(一) COSO委員會對內部控制的定義

　　成立于 1985年的 COSO (Committee of Sponsoring Organization)委員會為全國舞弊報告委員會提供支持。該組織包括美國會計協會 (Ame出an Ac¬counting . Association)和美國注冊會計師協會 (Ame由an Institute of Ce時ified Public Accountants)。現在，COSO委員會負責制訂有關大型和小型企業實施內部控制系統的指南。

　　1992年9月COSO委員會提出了《內部控制一一整合框架)) 0 1994年又進行了增補，簡稱《內部控制框架}.即 COSO內部控制框架。 COSO委員會對內部控制的定義是"公司的董事會、管理層及其他人士為實現以下目標提供合理保證而實施的程序:運營的效益和效率，財務報告的可靠性和遵 守適用的法律法規。"以下章節將對內部控制框架的內容作更詳盡的分析。

　　COSO委員會指出，從風險管理的角度來看，內部控制是必要的。但是，在實施內部控制時，有幾點需要注意。首先，即使實施了優良的內部控制系統，也不一定能使一個鱉腳的管理者變得出色。其次，由于所有的內部控制系統仍然面臨發生錯誤或出現差錯的危險，因而內部控制系統只能就企業目標的實現提供合理保證。即使一個企業實施了內部控制，也可能由于故意串通破壞、管理層逾越監控而失效。再次，大型或小型企業在建立內部控制系統時，均可能存在資驚受限的問題。

　　(二)美國上市公司會計監管委員會對內部控制的定義

　　美國上市公司會計監管委員會( PCAOB)發布的"審計準則第 5號"規定，注冊會計師對企業財務報告進行審計必須關注財務報告內部控制，同時管理層應該對企業內部控制作出評估。所謂財務報告內部控制，是指在企業主要的高級管理人員、主要財務負責人或行使類似職能的人員的監督下設計的一套流程，并由公司的董事會、管理層和其他人批準生效.該流程可以為財務報告的可靠性及根據公認會計原則編制的對外財務報表提供合理保證，它包括如下政策和程序(1)保管以合理的詳盡程度、準確和公允地反映企業的交易和資產處置的有關記錄 (2)為按照公認會計原則編制財務報表記錄交易，以及企業的收入和支出僅是按照管理和公司董事會的授權執行，提供合理的保證; (3)為預防或及時發現對財務報表有重大影響的未經授權的企業資產的購置、使用或處理，提供合理保證

(三)特恩布爾委員會對內部控制的定義

　　1992年，英國《綜合守則》(Combined Code)頒布之后，設立了特恩布爾委員會(Turnbull committee)。該委員會的職能是為上市公司執行《綜合守則》規定的內部控制原則提供指南。特恩布爾報告的總體要求是，董事應實行一套完善的內部控制系統，并定期對該系統實行復核。

　　該報告還談到了建立一個完善的內部控制系統的必要性。內部控制的主要組成部分包括為企業的有效運營提供輔助條件，使企業有能力對阻礙目標實現的重大風險做出反應。風險可能來自業務經營、合規、運營或財務方面。此外，內部控制還能確保對內和對外報告的質量，確保法規及內部有關業務開展的政策得以遵守。

　　特恩布爾報告哈還包括對內部控制系統的檢查。該報告指出，對內部控制系統的檢查時管理層的常規責任。不過檢查可委派給審計委員會，并且董事會必須提供有關內部控制系統的信息，并進行復核。復核應為至少每年一次。

　　為了通過維持完善的內部控制系統來確保使企業面臨的風險降至最低。特恩布爾委員會還建議應持續對內部控制情況進行監察，并建議作出關于財務及合規和運營控制的報告。此外，管理層應向董事會保證內部控制已得到監察，確認這些控制提供了“對重大風險及內部控制系統對于管理這些風險的有效性”的平衡性評價。而且，由于董事會應對內部控制系統負責，因此董事會可能需要對該系統進行復核。

　　(四)中國《企業內部控制基本規范》對內部控制的定義

　　財政部、證監會、審計署、銀監會和保監會于 2008年 6月聯合發布的《企業內部控制基本規范》中指出，內部控制是由企業董事會、證監會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和結果，促進企業實現發展戰略。

　　二、內部控制的演變與發展

　　(一)內部控制在 20世紀 80年代的控制理論

　　自 20世紀 80年代以來，內部控制的理論研究有了新的發展，人們對內部控制的研究重點逐步從一般含義轉向具體內容。其標志是美國注冊會計師協會于 1998年 5月發布的《企業準則公告第 55號} (5A555)。在這份公告中內部控制結構"的概念取代了"內部控制制度"。公告指出企業內部控制結構包括為提供取得企業特定目標的合理保證而建立的各種政策和程序。"公告認為內部控制結構由下列三個要素組成:

　　(1)控制環境。這是指對建立、加強或削弱特定政策與程序的效率有重大影響的各種因素，包括管理者的思想和經營作風;組織結構;董事會及所屬委員會，特別是審計委員會發揮的職能:確定職權和責任的方法;管理者控制和檢查工作時所使用的控制方法，包括經營計劃、預算、預測、利潤計劃、責任會計和內部審計;人事工作方針及其執行等;影響企業業務的各種外部關系，如由銀行指定代理人的檢查等。