2016注册会计师考试《战略与风险管理》第八章重点

　　第八章

　　一、COSO的内部控制观(了解)

　　内部控制是指为确保实现企业目标而实施的程序和政策。内部控制系统包括两个因素，分别是内部环境和控制政策与程序。内部环境是指企业内对于内部控制的态度及内部控制意识，代表整个企业对于内部控制的价值观。控制政策及程序是指嵌入企业运营中的具体的内部控制。

　　(一)内部控制的定义

　　1.COSO委员会对内部控制的定义(P164~165)

　　2.中国《企业内部控制基本规范》对内部控制的定义

　　财政部、监事会、审计署、银监会和保监会于2008年6月联合发布的《企业内部控制基本规范》中指出，内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和结果，促进企业实现发展战略。(这个内部控制目标一定要记住)

　　(二)COSO 内部控制框架的五要素

要素	内容
控制环境	控制环境包括组织人员的道德观和胜任能力；管理哲学和经营风格；管理层分配权限和责任，组织发展员工的方式；董事会提供的关注和方向。内部控制环境影响员工的管理意识，是其他控制要素的基础。
风险评估	风险评估是指识别和分析影响目标实现的风险，以此来确定降低和管理此类风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。
控制活动	控制活动是帮助执行管理层指令的政策和程序。它贯穿整个组织、各种层次和功能，包括：（1）组织控制；（2）职责划分；（3）调节和复核；（4）实物控制；（5）授权和批准；（6）计算和会计；（7）人员控制；（8）监督及管理控制。
信息与沟通	信息系统产生各种报告，包括经营、财务、合规等方面信息，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供应商、监管机构和股东进行有效的沟通。
监察	监察在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到高级管理层和董事会。

　　二、中国内部控制的发展现状及对企业带来的影响(了解)

　　(一)《企业内部控制基本规范》

　　《内控规范》要求企业建立内部控制体系时应符合以下目标：(1)合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整;(2)提高经营效率和效果;(3)促进企业实现发展战略。

　　《内控规范》应当包括下列五个要素：(1)内部环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)内部监督。

　　(二)《企业内部控制配套指引》

　　《企业内部控制配套指引》由《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》三部分组成。

　　三、企业内部控制内容的五个要素(重点)

　　参照COS0内部控制框架概念，我国的《内控规范》指出，企业建立与实施有效的内部控制，应当包括下列五个要素：

　　(1)内部环境。内部环境是企业实施内部控制的基础，是其他内部控制要素的根基。

　　一般包括组织结构、权责分配、战略的发展、人力资源政策、企业文化及社会责任等。

　　(2)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

　　(3)控制活动。控制活动是企业根据风险评估结果，采用相关的控制措施，将风险控制在可承受范围内。

　　(4)信息与沟通。信息与沟通是企业及时准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

　　(5)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时加以改进。

　　(一)内部环境(内部环境类指引)

　　内部环境强调的是一种理念和氛围，而非具体的某种活动、政策或者措施。但内部环境是内部控制的基础和前提。也就是说，公司的内部环境没有问题，那么内部控制才有可能有效。在理解内部环境的时候一定要将其与风险评估和控制活动区分开来。

　　1.组织结构

　　组织结构是企业按照国家有关法律法规、股东(大)会决议和企业章程，结合本企业实际，明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

　　企业要实施发展战略，必须要有科学的组织结构，主要包括治理结构和内部机构设置。

　　2.权力和责任的分配。

　　3.管理哲学和经营风格与战略的发展。

　　4.人力资源政策和实务。

　　5.企业文化与沟通。

　　企业在建设文化环境时可考虑以下方面：

　　(1)积极培育具有自身特色的企业文化，引导和规范员工行为，培育体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神，以及团队协作和风险防范意识。

　　(2)重视并购重组后的企业文化建设，平等对待被并购方的员工，促进并购双方的文化融合。

　　(3)要求董事、监事、经理和其他高级管理人员在企业文化建设中发挥主导和垂范作用，企业文化建设既要注重“上下结合”，更应注重企业治理层和经理层的示范作用。

　　(4)加强企业文化的宣传贯彻，有效沟通，共同遵守，融人生产经营全过程。

　　6. 社会责任

　　企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量(含服务，合同)、环境保护、资源节约、促进就业、员工权益保护等。

　　(二)风险评估

　　风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

　　1.企业内部风险的内容

　　企业内部风险的内容包括：(1)人力资源因素，如董事、监事、经理和其他高级管理人员的职业操守、员工专业胜任能力等;(2)管理因素，如组织机构、经营方式、资产管理、业务流程等;(3)自主创新因素，研究开发、技术投入、信息技术运用;(4)财务因素，如现金流量、经营成果;(5)安全环保因素，如营运安全、环境保护等。

　　2.风险评估程序

　　风险评估的程序分为两步：第一步是采用定性与定量相结合的方法，评估风险发生的可能性或频率，以及其为企业带来的影响程度;第二步是对识别的风险进行分析和排序。随后企业以风险分析的结果为依据，考虑如何对重要风险进行管理及采取适当的风险应对策略。企业可以综合运用风险规避、风险降低、风险转移和风险承担等风险应对策略，实现对风险的有效控制。(这部分内容将在第9、10章详细阐述)

　　(三)控制活动

　　控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受之内。

　　1.控制活动的分类

　　(1)按照控制方式，控制活动分为：①命令式控制，或称作指导性控制，主要是为员工提供指南;②预防性控制，主要是指为了防止错误和舞弊的发生而实施的控制;③侦察性控制，是指当错误或舞弊发生时能够加以识别而进行的控制;④纠正性控制，是指针对识别出来的风险而采取相应应对策略的控制;⑤补偿性控制，是指针对某些环节的不足或缺陷而采取的控制。(这部分的内容很重要，教材上没有作出上述归纳。但是考试的时候经常会问到实务中某项控制活动是属于上述哪种控制。)

　　2.内部控制活动

　　常见的内部控制活动有：①不相容职务分离控制;②授权审批控制;③会计系统控制;④调节和复核;⑤财产保护控制;⑥预算控制;⑦营运分析控制;⑧绩效考评控制。

　　(1)不相容职务分离控制

　　三种职责必须分离：第一是认可或发起交易、第二是处理被交易的资产、最后是记录交易。(这部分内容请结合《审计》各个资金循环来识别出具体的业务活动，这样才能更好的理解不相容职务相分离的本质。比如说在销售收款循环当中，销售发起人作为认可和发起交易人，与记录交易的应收账款和收入会计，处理被交易资产的仓库人员和出纳，这三方就属于必须分离的职务。)

　　董事会主席与首席执行官的职责应当分离

　　(2)授权审批控制

　　授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。

　　企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。(考试的时候经常会说“重大交易事项交由总经理或者财务总监什么的审批。”按我们理解的常理，这个貌似是可以的。但是放在这边却是严重背离内部控制要求的。)

　　(3)会计系统控制

　　会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。

　　(4)调节和复核

　　调节是指雇员将不同数据连接在一起，识别并找出差异，并且在必要时采取纠正措施。所谓业绩复核，是指管理层将当前的业绩与预算、以前期间或其他基准相比较，以此反映目标的完成情况，并对其中的差异进行调查，以确定哪些纠正行动是必要的。

　　(5)财产保护控制

　　财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。

　　企业应当严格限制未经授权的人员接触和处置财产。

　　(6)预算控制

　　预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

　　(7)营运分析控制

　　营运分析控制要求企业建立营运情况分析制度，管理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过对比分析、趋势分析等方法，定期开展营运情况分析，发现存在的问题，及时查明原因并加以改进。

　　(8)绩效考评控制

　　绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

　　(四)信息与沟通

　　信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

　　企业至少应当将下列情形作为反舞弊工作的重点：

　　(1)未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。

　　(2)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大漏报等。

　　(3)董事、监事、经理及其他高级管理人员滥用职权。

　　(4)相关机构或人员串通舞弊。

　　(五)内部监督

　　内部监督是企业对内部控制的建立与实施情况进行监督检查，评价内部控制的有效性，对于发现的内部控制缺陷，应当及时加以改进。

　　1.内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化的情况下，对内部控制的某一个方面或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等因素予以确定。

　　2.企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。

　　四、企业内部控制活动类指引和控制手段类指引(重点关注资金活动、担保业务、业务外包、财务报告、全面预算)

　　(一)资金活动

　　资金活动是指企业筹资、投资和资金运营等活动的总称。资金是企业生产经营循环的血液，是企业生存和发展的基础，决定着企业的竞争能力和可持续发展能力。企业资金活动中可能存在的风险无一不是重要风险，一旦转变为现实，危害重大。

　　企业资金活动面临的重要风险包括：(1)筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机;(2)企业投资决策失误，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下;(3)资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余;(4)资金活动管控不严，可能导致资金被挪用、侵占、抽逃或遭受欺诈。

　　(七)担保业务

　　担保是企业作为担保人按照公平、自愿、互利的原则向被担保人提供一定方式的担保并依法承担相应法律责任的行为。对外担保涉及被担保人和提供担保人(企业)(如对担保的理解有困难，请查阅《经济法》合同法部分。)

　　与担保相关的关键风险包括：(1)如果企业对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈;(2)如果对被担保人在担保期内出现财务困难或经营陷入困境等状况监控不力，应对措施不当，有可能会导致企业承担法律责任;(3)如果被担保人和提供担保人在担程中存在舞弊行为，则会导致经办审批等相关人员涉案或企业利益受损。

　　针对上述风险，《企业内部控制应用指引第12号——担保业务》就此提出了如下管控措施：(1)企业应当对担保申请人进行资信调查和风险评估，并出具书面报告。企业自身不具备条件的，应委托中介机构对担保业务进行调查和评估。对于符合条件的担保申请人，经办人员应当在职责范围内，按照审批人员批准意见办理担保业务;对于审批人员超越权限审批的担保业务，经办人员有权拒绝办理。(2)企业应当加强对子公司担保业务的统一监控，企业内设机构未经授权不得办理担保业务;企业为关联方提供担保的，与关联方存在经济利益或近亲属关系的有关人员在评估与审批环节应当予以回避。(3)企业应当根据审核批准的担保业务订立担保合同，定期监测被担保人的经营情况和财务状况，了解担保项目的执行、资金的使用、贷款的归还、财务运行及风险等情况，确定担保合同有效履行。(4)企业应当加强对担保业务的会计系统控制，建立担保事项台账，及时足额收取担保费用;规范对反担保财产的管理，妥善保管被担保人用于反担保的财产和权利凭证，定期核实财产的存续状况和价值，发现问题及时处理。(5)企业应当在担保合同到期时，全面清理用于担保的财产、权利凭证，按照合同约定及时终止担保关系。

　　(八)业务外包

　　业务外包是企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织(承包方)完成的经营行为。目前，业务外包活动已经广泛应用于电信、手机、金融等各行各业，为企业优化资源配置、加速业务重组、提高经营效率提供了活力。

　　企业在将业务外包的同时，也承担着一些重大风险，主要包括：(1)外包范围和价格确定不合理，承包方选择不当，可能导致企业遭受损失;(2)业务外包监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势;(3)业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案。

　　应对上述风险的措施具体包括：(1)要求企业合理确定外包业务范围，综合考虑成本效益原则，权衡利弊，避免将核心业务外包。(2)要求企业拟定业务外包实施方案，按照规定的权限和程序审核批准。重大外包业务方案应当提交董事会或类似权力机构审批。(3)要求企业按照批准的业务外包实施方案，择优选择外包业务的承包方，签订外包合同，合理确定外包价格，严格控制外包业务成本，切实做到相关业务外包后的成本在保证质量的前提下低于原经营方式。外包业务涉及保密的，还要求企业在外包业务合同或另行签订的保密协议中明确规定承包方的保密义务和责任。(4)要求企业加强业务外包实施的管理，注重与承包方的沟通与协调，并对承包方的履约能力进行持续评估。有确凿证据表明承包方存在重大违约行为，导致外包业务合同无法履行的，企业应当及时终止合同并更换承包方;承包方违约并造成企业损失的，企业应当进行索赔，并追究相关责任人的责任。

　　(九)财务报告

　　财务报告是企业财务信息对外报告的重要形式之一。对上市公司而言，财务报告是投资者进行决策的重要依据;对国有企业，则可能成为政府进行经济决策时关注的重要信息来源。

　　主要风险：(1)企业财务报告的编制违反会计法律法规和国家统一的会计准则制度，导致企业承担法律责任、遭受损失和声誉受损;(2)企业提供虚假财务报告，误导财务报告使用者，造成报告使用者的决策失误，干扰市场秩序;(3)企业不能有效利用财务报告，难以及时发现企业经营管理中的问题，可能导致企业财务和经营风险失控。

　　针对上述风险，《企业内部控制应用指引第14号——财务报告》明确提出了如下管控措施：(1)要求企业编制财务报告时，重点关注会计政策和会计估计;对财务报告产生重大影响的交易和事项的处理，还要按照规定的权限和程序进行审批。(2)要求企业按照国家统一的会计准则制度规定，根据登记完整、核对无误的会计账簿记录和其他有关资料编制财务财告，做到内容完整、数字真实、计算准确，不得漏报或者随意进行取舍;企业集团还应编制合并财务报表，明确合并财务报表的合并范围和合并方法，如实反映企业集团的财务状况、经营成果和现金流量。(3)要求企业依照法律法规和国家统一的会计准则制度的规定，及时对外提供财务报告;财务报告须经注册会计师审计的，注册会计师及其所在的事务所出具的审计报告应当随同财务报告一并提供。(4)要求企业重视财务报告分析工作，定期召开财务分析会议，充分利用财务报告反映的综合信息，全面分析企业的经营管理状况和存在的问题，不断提高经营管理水平。同时明确，这些要求也是依据内控五要素中“信息与沟通”的相关规定提出的要求。总会计师或分管会计工作的负责人应当在财务的分析和利用工作中发挥主导作用;财务报告分析结果应当及时传递给企业内部有关管理层级。

　　(十)全面预算

　　全面预算是企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。全面预算作为一种全方位、全过程、全员参与编制与实施的预算管理模式，通过将企业的资金流与实物流、信息流相整合优化了企业的资源配置，提高了资金的使用效率。然而，企业要想使全面预算管理达到预期的效果，必须要特别关注和防范预算管理中的风险。

　　与全面预算相关的关键风险包括：(1)不编制预算或预算不健全，可能导致企业经营缺乏约束或盲目发展;(2)预算目标不合理、编制不科学，可能导致企业资源浪费或发展目标难以实现;(3)预算缺乏刚性、执行不力、考核不严，可能导致预算管理流于形式。

　　针对上述风险，《企业内部控制应用指引第15号——全面预算》要求企业在加强全面预算工作的组织领导，明确预算管理体制以及各预算执行单位的职责权限、授权批准程序和工作协调机制的基础上，着重做到以下管控措施：(1)企业应当建立和完善预算编制工作制度，明确编制依据、编制程序、编制方法等内容，确保预算编制依据合理、程序适当、方法科学，避免预算指标过高或过低。(2)企业应当根据发展战略和年度生产经营计划，综合考虑预算期内经济政策、市场环境等因素，按照上下结合、分级编制、逐级汇总的程序，编制年度全面预算。企业预算管理委员会应当对预算管理工作机构在综合平衡基础上提交的预算方案进行研究论证，从企业发展全局角度提出建议，形成全面预算草案，并提交董事会审核。企业全面预算按照相关法律法规及企业章程的规定报经审议批准后，应当以文件形式下达。(3)企业应当加强对预算执行的管理。全面预算一经下达，各预算执行单位必须以此为依据，认真组织各项生产经营和投融资活动，严格预算执行和控制。企业预算工作机构和各预算执行单位还应当建立预算执行情况分析制度，定期召开预算执行分析会议，妥善解决预算执行中存在的问题。(4)企业应当建立严格的预算执行考核制度，对各预算执行单位和个人进行考核，切实做到有奖有惩、奖惩分明。必要时，企业可实行预算执行情况内部审计制度。

　　五、内部控制评价指引(重要)

　　内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。在企业内部控制实务中，内部控制评价是极为重要的一环。

　　(一)内部控制评价的内容

　　围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制有效性进行全面评价，包括财务报告内部控制有效性和非财务报告内部控制有效性。

　　企业董事会应当对内部控制评价报告的真实性负责。

　　(二)内部控制评价的程序

　　内部控制评价程序一般包括：制定评价控制方案、组织评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。

　　(三)内部控制缺陷的认定

　　1.内部控制缺陷的分类

　　(1)按照内部控制缺陷的本质分类：内部控制缺陷分为设计缺陷和运行缺陷。

　　①设计缺陷是指缺少为实现控制目标所必需的控制，或者现有控制设计不适当，即使正常运行也难以实现控制目标。

　　②运行缺陷是指设计适当的控制没有按设计意图运行，或者执行人员缺乏必要授权或专业胜任能力，无法有效实施控制。

　　(2)按照内部控制缺陷的严重程度分类：内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。

　　①重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。具体到财务报告内部控制上，就是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表重大错报的一个或多个控制缺陷的组合。

　　②重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。具体就是内部控制中存在的、其严重程度不如重大缺陷、但足以引起内部控制评价组关注的一个或多个控制缺陷的组合。

　　③一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

　　内部控制评价组需要评价其注意到的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。

　　(四)内部控制评价报告

　　企业应当以12月31日作为年度内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告。对于基准日至内部控制评价报告批准日之间发生的影响内部控制有效性的因素，企业应当根据其性质和影响程度对评价结论进行相应调整。

　　《企业内部控制评价指引》专门对内部控制评价报告进行了规范，要求企业在评价报告中至少披露以下内容：

　　1.董事会对内部控制报告真实性的声明，实质就是董事会全体成员对内部控制有效性负责;

　　2.内部控制评价工作的总体情况，即概要说明;

　　3.内部控制评价的依据，一般指《企业内部控制基本规范》、《企业内部控制评价指引》及企业在此基础上制定的评价办法;

　　4.内部控制评价的范围，描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项;

　　5.内部控制评价的程序和方法;

　　6.内部控制缺陷及其认定情况，主要描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致，同时，根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷;

　　7.内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;

　　8.内部控制有效性的结论，对不存在重大缺陷的情形，出具评价期末内部控制有效结论，对存在重大缺陷的情形，不得做出内部控制有效的结论，并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。

　　六、内部控制审计指引(了解)

　　《企业内部控制审计指引》中重申建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。注册会计师的责任是在实施审计工作的基础上，获取充分、适当的证据，对内部控制的有效应发表的意见并提供合理保证。该指引要求注册会计师针对企业财务报告内部控制有效性发表审计意见，而对相关审计过程中注意到的非财务报告内部控制重大缺陷，则要求其增加描述段予以说明。

　　七、审计委员会在企业中的监察角色(重点)

　　(一)审计委员会与内部控制

　　《内控规范》第十三条要求企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制的自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。

　　一般来说，审计委员会的组成应全部由独立、非行政董事组成，他们至少拥有相关的财务经验。在一般情况下，审计委员会负责整个风险管理过程，包括确保内部控制系统是充分且有效的。

　　(二)审计委员会的履责方式

　　审计委员会应每年至少举行三次会议，并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次，讨论与审计相关的事宜，但无需管理层出席。

　　(四)审计委员会与内部审计

　　确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作。审计委员会应监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性。它应该核查内部审计的有效性，并批准对内部审计主管的任命和解聘。它还应确保内部审计部门能直接与董事会主席接触，并负有向审计委员会说明的责任。

　　企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

　　内部审计师应具备必要的知识、技巧以及训练，以熟练、专业地实施审计工作。内部审计师的角色不断改变，这需要他们培养分析、技术、决策及沟通技巧。审计人员至少应当具有适当的教育背景或经验，以及与所承担的责任相匹配的组织技巧和技术。

　　(五)审计委员会与外聘审计师

　　1.审计委员会应承担就任命、重新任命或解聘外聘审计师向董事会提出建议的主要责任。(注意，这里仅仅是建议，不是说审计委员会直接说了算。)

　　2.审计委员会应监督新审计师的选择过程。审计委员会应批准外聘审计师的业务条款及审计服务的报酬。

　　3.审计委员会复核审计师的审计工作范畴，并确信该审计范畴是充分的。

　　4.审计委员会应确保于每次年审开始之时已为审计制订了适当的计划。

　　5.审计委员会执行完工后的复核。

　　6.审计委员会还应为企业制定关于由外聘审计师提供非审计服务的政策，并向董事会提出相关建议。外聘审计师提供非审计服务时，不得损害外聘审计师的独立性或客观性。

　　(六)向股东报告内部控制

　　审计委员会为了向股东汇报而执行的复核应涉及所有重大控制，包括财务、运营和合规控制以及风险管理系统。此外，年报亦应为股东提供有关审计委员会的工作信息。审计委员会主席应出席年度股东大会，并回答股东提出的关于审计委员会工作方面的问题。

　　八、内部控制与公司治理

　　(一)公司治理制度的概念

　　公司治理是用来管理利益相关者之间的关系，决定并控制企业战略方向和业绩的一套机制。公司治理的核心是寻找各种方法确保有效地制定战略决策，管理潜在利益冲突的各方之间秩序的一种方式。因此，公司治理反映了企业的文化、政策、如何处理利益相关者之间的关系及其价值观。

　　(二)公司治理的基本原则

　　1.建立完善的组织结构

　　董事会通常负责监督公司，包括企业控制和问责机制，任免首席执行官(或相应职位)，批准任免财务总监(或相应职位)。

　　2.明确董事会的角色和责任

　　(1)引入独立董事。

　　董事会中大部分成员应当是独立董事。

　　独立董事的职责可以分为四种不同的角色，即战略角色、监督或绩效角色、风险角色和人事管理角色。

　　(2)董事会主席的作用

　　首席执行官不应该兼任同一家公司的董事会主席。

　　3.提倡正直及道德行为

　　良好的公司治理最终需要诚信的人员。

　　4.维护财务报告的诚信及外部审计的独立性

　　企业应要求首席执行官(或相应职位)和首席财务官(或相应职位)，以书面形式向董事会报告，企业的财务报告在所有重大方面按照有关的会计准则真实公允地反映了企业的财务状况和经营成果。

　　保持外部审计师的独立性就是确定他们在为企业提供审计服务的同时，没有向企业提供某些可以影响其独立性的非审计服务，然而这不一定意味着外部审计师不能从事任何非审计工作。

　　5.及时披露信息和提高透明度

　　信息披露的内容包括但不限于三大部分：一是财务会计信息，二是非财务会计信息，三是审计信息。

　　6.鼓励建立内部审计部门

　　为了提高内部审计部门的客观性和业绩，内部审计部门应该直接向董事会或者审计委员会负责。

　　7.尊重股东的权利

　　8.确认利益相关者的合法权益

　　9.鼓励提升业绩

　　董事会和主要管理人员的业绩应定期通过可计量和定性的指标进行审查。提名委员会应负责评估董事会的业绩。

　　10.公平的薪酬和责任