【优胜行动派️学习日记】
[打卡宝宝]:王燕
[打卡日期]:2019/7/5
[学习内容]:内控笔记
[学习笔记]:
第二章 内控的前世今生
1949年,美国注册会计师协会所属的审计程序委员会在“内部控制:
一种协调制度要素及其对管理当局和独立审计人员的重要性”的报告中,第一次正式给出了内部控制的定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。
这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”
“内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序”,明确了内部控制结构包括控制环境、会计系统和控制程序三个要素。
控制环境是内部控制结构的基础和前提,会计系统是内部控制结构的关键要素,控制程序是保证内部控制结构有效运行的机制。内部控制结构这一概念特别强调了控制环境的重要作用,包括管理者对内部控制的态度、认识和行为等。
1992年9月,COSO(Committee of Sponsoring Organization)发布了指导内部控制实践的纲领性文件《内部控制——整合框架》(COSO报告)。COSO报告指出:“内部控制是由企业董事会、管理层和其他员工实施的,旨在为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现提供合理保证的过程。
。2002年7月,美国国会通过了著名的《萨班斯-奥克斯利法案》。该法案的第404条款明确规定,公司管理层需要对财务报告内部控制的有效性进行报告和评价,独立会计师要对管理层提供的内部控制评价报告进行鉴证。因此,该条款成了最“昂贵”的法律条款。该法案不仅明确了公司的首席执行官和首席财务官对内部控制负直接责任,并将承担经济与刑事后果,而且大幅度提高了对会计舞弊的处罚力度,强化了对内部审计与外部审计的监管。
2004年9月,COSO结合《萨班斯-奥克斯利法案》的具体要求,在内部控制整合框架概念的基础上,提出了《企业风险管理——整合框架》(ERM框架),使内控进入了一个新的发展阶段。
新框架延续并保留了内部控制的核心概念、内部控制五大核心要素和内部控制有效性的评价标准。
2.内控的定义
1996年美国注册会计师协会发布了《审计准则公告第78号》(SAS 78),全面接受COSO报告的内容。新准则还将内部控制划分为五大要素,分别是控制环境、风险评估、控制活动、信息与沟通、监督。
1992年,COSO委员会提出《内部控制——整合框架》,将内部控制定义为:“内部控制是受企业董事会、管理层和其他职员共同作用,为实现经营效率和效果、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。”
《企业内部控制基本规范》在实践中的应用范围包括三类企业,第一类是上市公司,其必须实施。第二类是国有企业。按国资委出台的风险管理指引要求,国有企业要全面贯彻风险管理,而风险管理和内部控制是相通的,最终落脚到内部控制,所以对国有企业来说,内部控制也是必须开展的。第三类是非上市的民营企业,在执行上有较大的自由度。
内控的定义方式有两种,一种是从控制要素的角度进行阐述,另一种则是从原则的角度进行阐述,并且存在由要素向原则转变的趋势。
3.定义的解读
内部控制是一种全员控制,强调企业全体员工共同参与,人人有责。全员共同参与的内控才是真正的内控,其不单是上级对下级的控制,也不单是对某个部门或某个职能的控制。
上至董事长,下至基层岗位的一般员工都是内部控制的主体,只是不同层级的人员或机构,在企业的内部控制中的地位和承担的职责有所不同。
4.全过程
相对于结果,内控更关注过程。内控不是一套静态的管理制度,也不是某个一成不变的控制措施,而是动态的管理过程。
要在明确控制目标的基础上,识别出影响目标实现的有关风险,并找出关键控制点,进而围绕这些关键控制点制定相应的控制措施并实施这些控制措施,对相关运行情况进行监督与评价,根据发现的问题进一步完善相应的控制措施。
内控不仅涉及所有的过程与环节,还涉及这些过程与环节的所有阶段,包括事前、事中、事后。事前控制,就是所谓的“关口前移,预防在先”。
事前控制是一种预防性控制,控制者事先通过调查研究,预测风险点及其发生概率,设计预防措施、关键控制点与保护性措施。
事中控制是指控制者在实际执行有关控制目标或标准的过程中,及时获得实际状况的信息反馈,以及时发现问题、解决问题。
事后控制则是指控制者在实际行动发生以后,分析、比较实际业绩与控制目标或标准之间的差异,然后采取相应的措施防错纠偏,并给予造成差错者以适当的处罚。
第五章 内控控什么
1. 内控要控的就两个字:风险。
在出海捕捞打鱼的生活中,“风”即意味着“险”,这就是“风险”一词的由来。
现代意义上的风险一词,已经大大超越了“遇到危险”的狭隘含义,而是指“遇到破坏或损失的机会或危险”。
广义的风险是指在特定的客观条件下,特定时期内,某一事件的实际结果相较于预期结果的变动程度,变动程度越大,风险越大,反之,则越小。
狭义上说,风险是指可能发生损失的不确定性,强调可能存在损失,而这种损失是不确定的。
风险的不确定性是指,不知道其会在什么时间、什么地点、在什么样的情况下发生,也难以预测损失的严重程度,比如日本福岛的核泄漏、美国的经济危机等。
风险的存在可能产生两种结果,损失或收益,据此我们可以将其分为纯粹风险和机会风险。
以上是按风险的性质分类。按不同的分类方法,风险还有很多分类结果,比如按内容分为战略风险、运营风险、财务风险等;按产生原因分为自然风险、社会风险、政治风险、经济风险、技术风险;按风险标的分为财产风险、人身风险、责任风险、信用风险等。
举例来说,财务风险是指因企业资本结构不合理、融资方式不当导致企业没有偿债能力而产生的风险。财务风险的来源主要是负债。负债有有利的一面,它可以在一定程度上起到财务杠杆的作用。但运用不当,负债比例太高,杠杆率太高,再遇到经营不善,资金流不充裕,企业的还本付息的压力就会很大,就会产生破产的风险。
财务风险除主要来自于负债之外,包括现金流风险、资金管理风险、预算管理风险、会计与报告风险、成本费用风险、担保风险、税务管理风险、关联交易风险和资本运作风险等。
2.风险管理能力
企业在经营过程中遇到一些风险是很正常的,尤其是企业做大了以后,总是会遇到这样那样的问题,有风险并不可怕,可怕的是没有面对风险的准备和规避风险的能力。如果风险是内控的“鱼”,那么,风险管理能力就是内控的“渔”。
组织的内部控制就是要通过风险评估来找出组织的关键风险点,估计这些风险点的风险系数,选择对组织影响重大的风险点进行管理,从而把风险控制在组织的风险承受能力范围之内。
内控制度不仅要在风险发生之时去面对解决,也要在风险未发生之前进行防范,更要打造组织自身对风险的抵抗力与免疫力。
组织也是一样的,其只需对重大的或经常发生的风险建立日常的管控机制,对一般的风险或者采取承受策略,或者采取转移策略,再辅以应急反应和处理机制建设,妄想组织上下无一漏洞,简直是天方夜谭。
预警系统是内控机制之一,是内控机制中常用的一种警示装置。该系统可以侦测组织的各项变化,一旦设定的指标出现异常变动便会示警,提醒相关职能部门或管理者及时纠正偏差,使组织回归正常的运营轨道。
[坚持习惯]:
读书+10000步+破所知障+精减+早起
[今日感悟]:高级管理层是内部控制体系的设计者和执行的管理者与监督者,一旦超越内控设定的权限,控制程序就难以阻止其行为,导致控制程序失效。