2016年《高级会计实务》考试大纲
第五章 企业内部控制
【基本要求】
(一)掌握企业内部控制规范体系框架
(二)零握企业内部控制的目标、原则和要素
(三)零握资金活动等18项内部控制应用指引明确的控制目招、主要风险、关健控制点和主要控制措施
(四)掌握企业内部控制自我评价的内容、程序、方法、评价报告编制与报送要求
(五)笨握企业内部控制注册会计师审计的内容、程序、方法、审计报告编制与披露要求
(六)掌握企业风险管理与内部控制的关系、风险识别与风险应?对策略
【考试内容】
第一节 企业内部控制规范体系框架
企业内部控制规范体系由基本规范和配套指引构成。
一、企业内部控制基本规范
基本规范规定了内部控制的目标、原则、要素等基本要求,是制定配套指引的基本依据。
(一)内部控制目标
内部控制目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
(二)内部控制原则
内部控制原则是企业建立与实施内部控制应当遵循的基本准绳,包括全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。
(三)内部控制要素
1.内部环境,主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
2.风险评估,主要包括目标设定、风险识别、风险分析和风险应对。
3.控制活动,主要包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
4.信息与沟通,主要包括信息质量、沟通制度、信息系统、反舞弊机制。
5.内部监督,包括日常监督和专项监督。
二、企业内部控制配套指引
企业内部控制配套指引由18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》组成。
应用指引分为企业层面控制指引和业务层面控制指引。《企业内部控制评价指引》为企业开展内部控制自我评价提供了自律性要求。《企业内部控制审计指引》为会计师事务所实施内部控制审计工作提供了应用性指导。
第二节 企业内部控制体系建设
一、企业内部控制的组织形式
(一)董事会对内部控制的建立健全和有效实施负责,定期召开董事会议,商讨内部控制建设中的重大问题并作出决策。
(二)董事会下设的审计委员会在内部控制中的职责一般包括审查企业内部控制设计、监督内部控制有效实施、领导开展内部控制自我评价、与中介机构进行沟通协调等。
(三)监事会对董事会建立与实施内部控制进行监督。
(四)经理层负责组织领导企业内部控制的日常运行。
(五)企业可以根据需要成立专门的内部控制工作团队,以项目组的形式运作;也可以成立内部控制专职机构(或岗位),专门负责内部控制在企业内部各部门间的组织协调和日常性事务工作。
(六)内部审计部门在评价内部控制的有效性,以及提出改进建议等方面起着关键作用。
(七)财会部门在保证与财务报告相关的内部控制有效性方面,发挥着十分重要的作用,不仅仅局限于财务活动,而是贯穿企业经营管理的全过程。
(八)企业内部其他各职能部门(或业务单位)及其全体员工都应当在建立与实施内部控制过程中承担相应职责并发挥积极作用。企业可以根据需要在各职能部门(或业务单位)内部设立内部控制岗位,专门负责与本部门相关的内部控制工作,并定期与内部控制职能部门进行沟通。
二、企业层面控制
企业层面控制,是指对企业控制目标的实现具有重大影响,与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。企业内部控制应用指引目前规范了5类与内部环境直接相关的有关控制,包括组织架构、发展战略、人力资源、社会责任、企业文化等方面的控制。
企业在建立健全上述与内部环境直接相关的控制时,应按相关内部控制应用指引的要求,确定主要风险,识别关键控制点,制定并运用相关控制措施。具体
内容参见相关内部控制应用指引。
三、业务层面控制
业务层面控制,是指综合运用各种控制手段和方法,tt■对具体业务和事项实施的控制。
企业内部控制应用指引针对多数企业普遍存在的业务控制,规范了13项涉及业务层面的有关控制,具体包括资金活动、采购业务、资产管理、銷售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面颈算、合同管理、内部信息传递和信息系统等。企业在建立健全上述业务层面控制时,应按相关内部控制应用指引的要求,确定主要风险,识别关键控制点,制定并运用相关控制措施。具体内容参见相关内部控制应用指引。
四、内部控制信息系统建设
利用信息化手段整合和优化内部控制系统,是企业内部控制体系建设的重要内容。
(一)内部控制信息系统建设的基本模式
企业应当根据自身的信息技术条件和管理水平,以及内部控制体系建设所处的阶段,合理选择适合本企业实际的内部控制信息系统建设模式,力求以较低的成本实现较好的控制效果。
1.独立模式,即建立独立运行的内部控制信息系统
2.整合模式,即利用现有管理系统进行整合
3.附加模式,即在现有管理系统中增加内部控制管理功能
(二)内部控制信息系统建设的主要步骤
1.内部控制体系建立
2.内部控制信息系统建设可行性分析
3.对企业现有信息系统进行更新改造
4.全面建成内部控制信息系统
第三节 企业内部控制评价和审计
一、企业内部控制评价
企业董事会或类似权力机构应当定期对内部控制的有效性进行全面评价、形成评价结论、出具评价报告。内部控制有效性是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。
(一)内部控制评价的原则
企业对内部控制设计与运行的有效性实施评价,应当遵循全面性原则、重要性原则和客观性原则。
(二)内部控制评价的内容
企业应当从内部环境、风险评估、控制活动、信息与沟通、内部监督等要素人手,结合企业业务特点和管理要求,确定内部控制评价的具体内容,建立内部控制评价的核心指标体系,对内部控制设计与运行情况进行全面评价。
(三)内部控制评价的程序
企业开展内部控制评价工作,一般程序为:设置内部控制评价部门、制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。
(四)内部控制评价的方法
企业在开展内部控制检查评价工作过程中,应当根据评价内容和被评价单位具体情况,综合运用个别访谈、调査问卷、专题讨论、穿行测试、实地査验、抽样和比较分析等方法,广泛收集被评价单位内部控制设计和运行是否有效的证据。评价方法的选择应当有利于保证证据的充分性和适当性。
(五)内部控制缺陷认定
1.内部控制缺陷的定义和分类
(1)内部控制缺陷按其成因分为设计缺陷与运行缺陷。
(2)内部控制缺陷按其表现形式分为财务报告内部控制缺陷与非财务报告内部控制缺陷。
(3)内部控制缺陷按其严重程度分为重大缺陷、重要缺陷与一般缺陷。
2.内部控制缺陷的认定标准
企业对内部控制评价过程中发现的内部控制缺陷,应当综合分析缺陷的成因、表现形式及重要程度,并按照一定的标准将各项内部控制缺陷分别认定为重大缺陷、重要缺陷和一般缺陷。
(1)财务报告内部控制缺陷的认定标准由该缺陷可能导致财务报表错报的重要程度来确定,主要取决于两方面因素:该缺陷是否可能导致内部控制不能及时防止、发现并纠正财务报表错报;该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。
(2)企业可以根据自身的实际情况,参照财务报告内部控制缺陷的认定标准,合理确定非财务报告内部控制缺陷的定量和定性认定标准。
(3)常见的内部控制重大缺陷情形参见相关内部控制评价指引。
3.内部控制缺陷的报告和整改
(1)内部控制缺陷报告应当采取书面形式,企业应根据内部控制缺陷的严重程度向相关部门报告,还应根据内部控制缺陷的影响程度合理确定内部控制缺陷报告的时限。
(2)企业对于认定的内部控制缺陷,应当制定内部控制缺陷整改方案,按规定权限和程序审批后执行。
(六)内部控制评价报告
1.内部控制评价报告的内容
内部控制评价报告一般包括下列内容:董事会对内部控制报告真实性的声明;内部控制评价工作的总体情况;内部控制评价的依据;内部控制评价的范围;内部控制评价的程序和方法;内部控制缺陷及其认定;内部控制缺陷的整改情况和内部控制有效性的结论。
2.内部控制评价报告的编制
(1)内部控制评价报告按照编制时间的不同,分为定期报告和不定期报告。
(2)内部控制评价报告的编制主体包括单个企业和企业集困的母公司。
(3)内部控制评价报告的编制程序包括:内部控制评价部门对工作底稿进行复核,根据内部控制缺陷判断内部控制的有效性;搜集整理编制内部控制评价
报告所需的相关资料;撰写内部控制评价报告;将内部控制评价报告上报经理层审核、董事会审批后确定。
3.内部控制评价报告的报送
内部控制评价报告报经董事会批准后对外披露或报送相关主管部门,通常应于基准日后4个月内报出。
4.内部控制评价报告的使用
内郁控制评价报告的使用者包括政府监菅部门、投资者及其他利益相关者、中介机构和研究机构等。
二、企业内部控制审计
(一)内部控制审计的涵义
内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
内部控制审计与内郁控制评价、财务报表审计既有内在的关联又有本质的区别。
(二)内部控制审计的程序
1.计划审计工作
2.实施审计工作
注册会计师按照自上而下的方法实施审计工作,将企业层面控制和业务层面控制的测试结合进行。
3.评价控制缺陷
注册会计师需评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷单独或组合起来是否构成重大缺陷并影响其审计结论。
4.完成审计工作
包括取得企业签署的书面声明、与企业沟通控制缺陷、形成审计意见并出具审计报告。
(三)内部控制审计报告
审计意见的类型包括无保留审计意见、带强调段的无保留意见、否定意见、无法表示意见。
第四节 企业风险管理
一、风险管理与内部控制的关系
风险管理是企业从战略制定到日常经营过程中对待风险的一系列信念与态度,目的是确定可能影响企业的潜在事项,并进行管理,为实现企业的目标提供合理的保证。
内部控制的有效实施有赖于风险管理的技术方法,而风险管理离开了内部控制作为手段支撑也将流于形式。我国的企业内部控制规范体系将内部控制与风险管理融为一体。
二、风险识别与风险分析
(一)风险识别
在明确企业发展战略和内部控制目标的前提下,识别企业各类潜在的风险是履行具体控制程序的基础和起点。常用的风险识别技术和方法包括行业风险组合清单、职能部门风险汇总、脑风暴、SWOT(优势一劣势一机会一威胁)分析、问卷调查等。企业可以根据实际情况选用其中一种或多种方法识别风险。
(二)风险分析
风险分析是在风险识别的基础上对风险发生的可能性和影响程度进行描述、分析、判断,并确定风险重要性水平的过程,是风险应对的直接依据。
1.风险分析的程序,主要包括分析风险可能性、分析风险影响程度、确定风险的重要性水平。
2.风险分析的方法,主要包括定性方法、定量方法、定性与定量相结合的方法。常用的定量分析方法主要有敏感性分析、行业标杆比较法、风险价值法、情景分析法、压力测试法、风险矩阵法等。
三、风险应对策略
企业应当根据自身所处的发展阶段、业务拓展情况、整体风险承受度等实际情况,对风险进行识别、分析,在权衡成本效益的基础上选择合适的应对策略,并根据业务开展情况及时调整风险应对策略。
(一)风险规避
风险规避是指某项业务或事项风险发生的可能性大,并且风险发生的不利后果很严重,企业主动放弃或停止该活动,从而避免损失的一种风险应对策略。
(二)风险降低
风险降低是指企业在权衡成本效益之后,采取适当的控制措施降低风险或者
减轻损失,将风险控制在风险承受度之内的策略。风险降低策略包括风险预防策略和风险抑制策略,风险抑制策略主要有风险分散和风险复制两种方法。
(三)风险分担
风险分担是指企业为避免承担风险损失,有意识地将可能产生损失的活动或与损失有关的财务后果转移给其他方的一种风险应对策略,常见的方法有业务分
包、购买保险、出售、开脱责任合同、转移责任条款等。
(四)风险承受
风险承受是指企业不采取任何措施来干预风险发生的可能性和影响。
说明:因考试政策、内容不断变化与调整,正保会计网校提供的以上信息仅供参考,如有异议,请考生以权威部门公布的内容为准!