《公司战略与风险管理》指导学习：内部控制(5)

二、风险评估【重点掌握】

按照COSO立体模型，控制活动的上一层是风险评估。作为整体内部控制结构的一部分，企业应实施一个程序，来评估可能影响其各种内部控制目标实现的潜在风险。风险评估可能是正规的量化风险评估程序，也可能是不太正规的方法，但是应包含对风险评估程序最起码的理解。例如，企业设定的目标是不改变营销计划，那么如果出现新的竞争对手则可能对该企业设置的目标造成压力，这需要对无法实现该目标的风险做出评估。风险评估是一个具有前瞻性的过程。也就是说，许多企业已经发现，对他们的各类风险水平进行评估的最佳时机是订立年度计划或定期计划的过程。应在所有层面以及企业的所有活动实施这样的风险评估程序。COSO内部控制架构将风险评估描述成一个可以分为三步的程序。第一步是估计风险的重要性;第二步是评估风险发生的可能性或概率;第三步是考虑如何对风险进行管理，以及应采取何种行动。

COSO内部控制架构强调风险分析并非一个理论过程，而且常常对实体的整体成功起到至关重要的作用。管理层是内部控制整体评估的重要一环，他们应采取措施对可能影响整个企业的风险，以及不同的组织活动或实体所面对的风险进行评估。

典型例题：

[多选题]下列有关风险评估说法不正确的是( )

A 风险评估一定是正规的量化风险评估程序

B 风险评估是一个具有前瞻性的过程

C 管理层在内部控制的整体评估中位置较轻

D 风险评估首先是要评估风险发生的可能性或概率

【答案】ACD

【解析】风险评估可能是正规的量化风险评估程序，也可能是不太正规的方法;管理层是内部控制整体评估的重要一环;风险评估的第一步是估计风险的重要性。

三、控制活动【重点掌握】

控制活动包括多种政策和程序，有助于确保管理层的有关指示得以执行，处理风险以实现企业目标所需要的行动得以实施。

控制活动可以为雇员提供指南(命令式的控制)，设计这些活动旨在防止发生不希望出现的事情(预防性控制)，或者在不希望出现的事情发生时能够加以识别(侦察式控制)。当不希望出现的事情出现时，应识别程序的缺陷，并主动采取措施加以解决问题。此类活动称为“纠正性控制”。

控制活动可分为运营、财务报告及合规三个类别，但它们之间有时可能会出现重叠。常见的控制活动包括：

1.组织控制。组织控制是指组织结构提供的控制，比如组织活动和经营分成若干部门或责任中心，责任区分明确，在企业内授权，确立企业内的报告路径，协调不同部门或小组之间的活动，比如设立委员会或项目组。

2.职责划分。职责划分的主要目的是防止具有欺骗性的活动发生或未被查处。管理层可通过在两个或两个以上的人员之间分配工作的方式实现这一监控目标。

大多数交易可分为三类独立的职责：认可或发起交易、处理被交易的资产，以及记录交易。就适当的职责分工而言，不应该由一个人控制一项交易或一个事件的所有关键方面，而且一个人履行的职能可通过其他人执行的职能进行检查。如果一个人为上述活动中的一项以上活动承担责任，则存在舞弊的可能。职责划分还可较容易的发现非本意造成的错误，因此不应仅将其视为对舞弊的控制。

尽管职责划分能够避免一个人舞弊的情况，但对于两人或两个以上串通舞弊却是无效的。

3. 调节和业绩复核。调节和复核业绩属于侦察式控制。所谓调节是指雇员将不同数据连接在一起，识别并找出差异，并且在必要时采取纠正措施。但是更重要的是，执行调节的人员要理解这一程序的重要性以及已识别的差错的影响。调节包括比较总账的现金金额与银行对账单的现金余额、总账的应收款金额与相关补贴帐户总额，以及固定资产的现场盘点与会计记录中记载的金额。所谓业绩复核，是指管理层将当前的业绩与预算、以前期间或其它基准相比较，以此反映目标的完成情况。应对其中的差异进行调查，以确定哪些纠正行动是必要的。

4.实物控制。实物控制是指保护实物资产不被偷盗或未经许可而获得或被使用的措施和程序。实物控制包括使用保险箱储存现金和重要文件，为大楼或其他的区域设立门禁系统，为贵重资产采取两种保管办法;必须两人同时出现才能取得某些资产，定期对存货进行盘点，以及雇佣保安和利用闭路电视摄像头等。

5.授权和批准。授权和批准亦可作为一种监控工具，来确保政策得以遵守。由于授权和批准旨在控制不希望出现的事件，因此，可视为预防性控制，其主要目的是防止错误的发生。

一般而言，为了帮助确保控制活动发挥最大的效果，在上级批准及授权时应提供书面指南、权力限制及支持性文件。另外，上级领导严肃地履行批准职能是非常重要的。这要求他们能够积极核查文件，对异常事项进行询问，以及提醒自己不在空白表格上签字。

6.计算和会计。此类控制要求在会计系统中正确记录交易。依靠会计记录能够追踪每项交易，核对计算。比如，在发给客户或批准支付前仔细检查发票上的数字，确保数字是正确的。

7.人员控制。此类控制适用于选择和培训雇员，以确保为企业的职位指定了恰当的人员，但个人必须具备适当的素质、经验和所需的资质。

8.监督和管理控制。监督是指承担责任的个人对其他人员工作的管理。监督控制有助于确保个人按照要求恰当的完成任务。管理控制是由管理层根据其获取的信息执行的控制。

【要点提示】控制活动可分为运营、财务报告及合规三个类别。常见的内部控制活动包括：组织控制、职责划分、调节和复合、实物控制、授权和批准、计算和会计、人员控制、监督及管理控制等。

典型例题：

1、[单选题]当不希望出现的事情发生时，应识别程序的缺陷，并主动采取措施加以解决问题，此类活动能够成为( )。

A 命令控制活动

B 预防性控制活动

C 侦查式控制活动

D 纠正性控制活动

【答案】D

【解析】当不希望出现的事情发生时，应识别程序的缺陷，并主动采取措施加以解决问题。此类活动成为“纠正性控制”。

2、[多选题]常见的内部控制活动有( )。

A 组织控制

B 职责划分

C 调节和复核

D 实物控制

【答案】ABCD

【解析】常见的内部控制活动包括：组织控制、职责划分、调节和业绩复核、实物控制、授权和批准。所以ABCD均正确。

2021年的备考序幕已经拉开，欢迎新的小伙伴们加入我们，同舟共济，积极备考，希望大家能够在2021年取得不错的考试成绩。注会2021年特色畅学班、超值精品班、高效实验班等班型为不同学员量身打造，带你高效备考2021年注册会计师。课程详情>> 马上购课>