【备考干货】24年CPA《战略》第七章考点详解（4）

内部控制系统，指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。

（一）美国 COSO 关于内部控制的框架

《企业内部控制——整合框架》提出了内部控制的三项目标和五大要素，如下图所示。

（二）我国内部控制规范体系

1.《企业内部控制基本规范》

《企业内部控制基本规范》规定内部控制的目标、要素、原则和总体要求，是内部控制的总体框架，在内部控制标准体系中起统领作用。

（1）要求企业建立内部控制体系时应符合以下目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整；提高经营效率和效果；促进企业实现发展战略。

（2）应当包括下列 5 个要素：内部环境、风险评估、控制活动、信息与沟通和内部监督。

2.《企业内部控制应用指引》

《企业内部控制应用指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业内部控制所提供的指引，在整个内部控制规范体系中占据主体地位。

《应用指引》针对组织结构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统共 18 项企业主要业务的内控领域，提出了建议性的应用指引，为企业以及外部审核人，建立与评价内控体系提供了参照性标准。

3.《企业内部控制评价指引》和《企业内部控制审计指引》

《企业内部控制评价指引》和《企业内部控制审计指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业“事后控制”的指引，是对企业贯彻《基本规范》和《应用指引》的效果进行评价与检验的指引。

《评价指引》为企业对内部控制的有效性进行全面评价，形成评价结论、出具评价报告提供指引。

《审计指引》为会计师事务所对特定基准日与财务报告相关内部控制设计与执行有效性进行审计提供指引。

（三）内部控制的要素

1. 控制（内部）环境

（1）COSO《内部控制框架》关于控制环境要素的要求与原则

① COSO《内部控制框架》关于控制环境要素的要求为：

控制环境决定了企业的基调，直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架，是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能；管理哲学和经营风格；权责分配方法、人事政策；董事会的经营重点和目标等。

②根据 2013 年修订发布的 COSO 内部控制框架，控制环境要素应当坚持以下原则：

A. 企业对诚信和道德价值观作出承诺；

B. 董事会独立于管理层，对内部控制的制定及其绩效施以监控；

C. 管理层在董事会的监控下，建立目标实现过程中所涉及的组织架构、报告路径以及适当的权利和责任；

D. 企业致力于吸引、发展和留任优秀人才，以配合企业达成目标；

E. 企业根据其目标，使员工各自担负起内部控制的相关责任。

（2）我国《企业内部控制基本规范》关于内部环境要素的要求

2. 风险评估

（1）COSO《内部控制框架》关于风险评估要素的要求与原则

① COSO《内部控制框架》关于风险评估要素的要求为：

每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接，保持一致。风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础。

②根据 2013 年修订发布的 COSO 内部控制框架，风险评估要素应当坚持以下原则：

A. 企业制定足够清晰的目标，以便识别和评估有关目标所涉及的风险。

B. 企业从整个企业的角度来识别实现目标所涉及的风险，分析风险，并据此决定应如何管理这些风险。

C. 企业在评估影响目标实现的风险时，考虑潜在的舞弊行为。

D. 企业识别并评估可能会对内部控制系统产生重大影响的变更。

（2）我国《企业内部控制基本规范》关于风险评估要素的要求

3. 控制活动

（1）COSO《内部控制框架》关于控制活动要素的要求与原则

① COSO《内部控制框架》关于控制活动要素的要求为：

控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险，实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

②根据 2013 年修订发布的 COSO 内部控制框架，控制活动要素应当坚持以下原则：

A. 企业选择并制定有助将目标实现风险降低至可接受水平的控制活动。

B. 企业为用以支持目标实现的技术选择并制定一般控制政策。

C. 企业通过政策和程序来部署控制活动：政策用来确定所期望的目标；程序则将政策付诸行动。

（2）我国《企业内部控制基本规范》关于控制活动要素的要求

4. 信息与沟通

（1）COSO《内部控制框架》关于信息与沟通要素的要求与原则

① COSO《内部控制框架》关于信息与沟通要素的要求为：

公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告，以助于经营和控制企业。信息系统不仅处理内部产生的信息，还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息，认真履行控制职责。员工必须理解自身在整个内控系统中的位置，理解个人行为与其他员工工作的相关性。

员工必须有向上传递重要信息的途径。同时，与外部诸如客户、供应商、管理当局和股东之间也需要有效的沟通。

②根据 2013 年修订发布的 COSO 内部控制框架，信息与沟通要素应当坚持以下原则：

A. 企业获取或生成和使用相关的高质量信息，以支持内部控制其他要素发挥效用。

B. 企业于内部沟通的内部控制信息，包括内部控制目标和职责范围，必须能够支持内部控制的其他要素发挥效用。

C. 企业就影响内部控制其他要素发挥效用的事项与外部方进行沟通

（2）我国《企业内部控制基本规范》关于信息与沟通要素的要求

5. 监控（即内部监督）

（1）COSO《内部控制框架》关于监控要素的要求与原则

① COSO《内部控制框架》关于监控要素的要求为：

内部控制系统需要被监控，即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。内部控制的缺陷应该自下而上进行汇报，性质严重的应上报最高管理层和董事会。

②根据 2013 年修订发布的 COSO 内部控制框架，监控要素应当坚持以下原则：

A. 企业选择、制定并实行持续及 / 或单独的评估，以判定内部控制各要素是否存在且发挥效用。

B. 企业及时评估内部控制缺陷，并将有关缺陷及时通报给负责整改措施的相关方，包括高级管理层和董事会（如适当）。

（2）我国《企业内部控制基本规范》关于内部监督要素的要求

企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。

1. 信息采集方面，企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。

2. 信息存储方面，企业应建立良好的数据架构，解决好数据标准化和存储技术问题。

3. 信息加工、分析和测试方面，风险基础信息经风险管理信息系统加工和提炼，成为可进行分析的风险管理信息。风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态。

4. 信息传递方面，风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。

5. 信息报告和披露方面，风险管理信息系统能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。