【www.myl5520.com--自荐书】
内部控制复习思考题
篇一:1.coso于2013年发布的《内部控制——整合框架》,与1992年的框架相比,保持不变和发
内部控制复习思考题(应对简答题) ——梦醒原创 建议:按照题目的顺序去复习书上的内容,有些名词解释可以补充在简答题中。
第一章 总论
1.内部控制的产生与发展历经几个阶段?每一阶段都有什么特点?
(1)A.内部牵制阶段;B.内部控制系统阶段;C.内部控制结构阶段
D.内部控制整合框架阶段;E.企业风险管理整合框架阶段
(2)特点:
A.内部牵制阶段:是起步阶段——行为人层面的控制点。
B.内部控制系统阶段:进化阶段——组织层面的控制(面)
C.内部控制结构阶段:提高阶段——企业层面的控制
D.内部控制整合框架阶段:演进阶段——基于企业风险的控制
E.企业风险管理整合框架阶段:提升阶段——企业全面风险管理
2.《企业风险管理——整合框架》与《内部控制——整合框架》相比具有哪些进步?
(1)内部控制涵盖在企业风险管理活动之中,是其不可分割的组成部分。
(2)拓展了所需实现目标的内容
A.首先,增加了战略目标;B.其次,将财务报告扩展为企业编制的所有报告:
C.最后,引入风险偏好和风险容忍度的概念。
(3)引入风险组合观,从企业角度和业务单元两个角度以“组合”的方式考虑符合风险。
(4)更加强调风险评估在风险管理中的基础地位。
(5)扩展了控制环境的内涵,强调风险管理概念和董事会的独立性。
(6)扩展了信息与沟通要素,企业不仅要关注历史信息,还要关注现在和未来可能影响目标实现的各种事项的影响。
3.简要概括我国新颁布的《内部控制——整合框架》,与1992年的框架相比,保持不变和发生变化的主要有哪些方面?
(1)不变的内容包括:A.内部控制的核心定义;B.内部控制仍然包括3个目标和5个要素;
C.有效的内部控制必须具备全部5个要素;D.在设计、执行内部控制和评价其有效性的过程中,判断仍然起重要作用。
(2)变化的内容包括:A.关注的商业和经营环境发生了变化;B.扩充了经营和报告目标;
C.将支撑5个要素的基本概念提炼成原则;D.针对经营、合规和新增加的非财务报告目标提供了补充的方法和实例。
4.简要概括我国企业内部控制规范的框架体系?
(1)基本规范是内部控制体系的最高层次,起统驭作用;
(2)应用指引是对企业按照内部控制原则和内部控制五要素建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中占据主体地位;
(3)企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引;
(4)企业内部控制审计指引是注册会计师和会计师事务所所执行内部控制审计业务的执业准则。
(5)三者之间既相互独立,又相互联系,形成一个有机整体。
第二章 内部控制的基本理论
5.如何理解内部控制的定义?
定义:内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
(1)内部控制是一种全员控制,强调全员参与,人人有责。
(2)内部控制是一种全面控制,指内部控制的覆盖范围要足够广泛,涵盖企业所有的业务和事项,包含每个层级和环节,而且还要体现多重控制目标的要求。
(3)内部控制是一种全程控制,指内部控制是一个完整的内部控制体系。
6.内部控制的目标分为几个层次?各个目标之间的关系如何?
(1)合规目标是内部控制的基础性目标,实现其他内控目标的保证。指内部控制要合理保证企业在国家法律和法规允许的范围内开展经营活动,严禁违法经营。
(2)资产安全目标主要是为了防止资产损失。具有制衡作用。
(3)报告目标是指内部控制要合理保证企业提供真实可靠的财务信息及其他信息。
(4)经营目标是提高经营的效率和效果。它是内部控制要达到的最直接也是最根本的目标。
(5)战略目标是促进企业实现发展战略,是内部控制的最高目标,也是终极目标。
(6)关系:A.内部控制的五个目标不是彼此孤立的,而是相互联系、共同构成了一个完整的内部控制目标体系。
B.其中,战略目标是最高目标,是与企业使命相联系的终极目标;
C.经营目标是战略目标的细化、分解与落实,是战略目标的短期化与具体化,是内部控制的核心目标;
D.资产目标是实现经营目标的物质前提;
E.报告目标是经营目标的成果体现与反映;
F.合规目标是实现经营目标的有效保证。
7.企业建立与实施内部控制应把握哪些原则?全面性原则、重要性原则与成本效益原则具有怎样的内在联系?
(1)原则:全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则。
(2)关系:全面性原则贯穿决策、执行和监督的全过程,覆盖企业及其所属单位各种业务和事项;重要性原则在全面控制的基础上,内部控制应该关注重要业务事项和高风险领域。成本效益原则是指内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
8.我国《企业内部控制基本规范》规定内部控制包含哪五个元素?它们之间具有怎样的联系?
(1)五要素:内部环境、风险评估、控制活动、信息与沟通、内部监督
(2)联系:A.内部环境属于内部控制的基础,对其他要素产生影响。
B.内部监督是针对于内部控制其他要素,是自上而下的单项检查,是对内部控制的质量进行评价的过程;
C.风险评估是采取控制活动的根据;
D.控制活动是有效控制企业的风险,尽量避免风险的发生,尽量降低企业的损失;
E.信息与沟通在这五个要素处于一个承上启下、沟通内外的关键地位。控制环境与其他组成因素之间的相互作用需要通过信息与沟通这一桥梁才能发挥作用;风险评估、控制活动和内部监督的实施需要以信息与沟通结果为依据,它们的结果也需要通过信息与沟通渠道来反映。
9.内部控制存在那些局限性?
(1)越权操作:不仅打乱了正常的工作秩序和工作流程,而且还会为徇私舞弊、违法违规创造一定的条件。
(2)合谋串通:串通的结果完全破坏了内部牵制的设想,削弱了制度的约束力,使内部控制制度无效。
(3)成本限制:成本效益原则的存在是内部控制始终围绕着控制目标展开,但同时也制约了内部控制制度难以达到尽善尽美,因此企业实施内部控制应当量力而行,突出重点,兼顾一般,在符合成本效益的范围内开展并改进。
第三章 内部环境
10.内部环境要素在内部控制中的地位及作用如何?
(1)首先,内部环境是内部控制的基础;
(2)其次,内部环境与内部控制相互联系相互依存;
(3)再次,内部环境与内部控制相互制衡;
(4)最后,内部控制与内部环境是互动关系。
11.何谓企业的组织架构?它分为哪几个层面?
(1)组织架构是指企业按照国家有关法律、法规、股东(大)会决议、企业章程,结合本企业实际情况,明确董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
(2)它分为治理结构和内部机构两个层面。
12.如何理解企业发展战略的意义及其重要性?
(1)发展战略可以为企业找准市场定位;
(2)发展战略是企业执行层的行动准则;
(3)发展战略也是内部控制的最高目标。
(4)发展战略是企业在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的中长期发展目标与战略计划。战略的失败是企业最彻底的失败,它甚至会导致企业的消亡。(重要性)
13.如何理解人力资源管理中的主要风险?
(1)人力资源缺乏或过剩、结构不合理、开发机制不健全,可能导致企业发展战略难以实现;
(2)人力资源激励约束制度不合理、关键岗位人员管理不完善,可能导致人才流失、经营效率低下或关键技术、商业机密和国家机密泄露;
(3)人力资源退出机制不当,可能导致法律诉讼或企业声誉受损。
14.如何理解企业的社会责任?它具体包括哪些内容?
(1)意义:A.企业是在价值创造中履行社会责任;
B.履行社会责任可以提高企业的经济效益;
C.履行社会责任可以实现企业的可持续发展。
(2)内容:①企业高管人员应给予充分重视;
②企业应建立或完善履行社会责任的体制和运行机制;
③企业应建立责任危机处理机制;
④应建立良好的企业社会责任报告制度;
⑤应着力防范安全生产风险;
⑥应有效控制产品质量风险;
⑦应切实降低环境保护与资源节约风险;
⑧应切实规避促进就业与员工权益保护风险;
⑨应重点管理产学研用结合风险;
⑩应格外关注慈善事业风险。
15.如何理解企业文化?其作用有哪些?
(1)定义:企业文化是指企业在生产经营实践中逐步形成的价值观、经营理念和企业精神,以及在此基础上形成的行为规范的总称。
(2)作用:企业文化建设可以为企业提供精神支柱,可以提升企业的核心竞争力,还可以为内部控制有效性 提供有力保证。
16.如何理解诚信和道德价值观的意义?
(1)人的道德价值观影响着人的行为。企业员工具有良好的道德标准标准并形成良好的道德氛围,对控制系统的有效运行非常重要。
(2)员工的诚信和道德价值观是指员工行为的准则,是告诉员工什么行为可接受、什么行为不可接受,以及遇到不正当行为应该采取的行动。
第四章 风险评估
17.企业战略目标设定的原则是什么?
SMART基本原则
(1)S(Specific)代表具体,不能笼统;
(2)M(Measurable)代表可计量,可以量化并可被验证;
(3)A(Attainable)代表可行,可以达到;
(4)R(Relevant)代表相关性,实实在在,可以证明和观察;
(5)T(Time-based)代表时限,具有明确的期限。
18.企业战略目标的设定方法有哪些?
(1)时间序列分析法:利用一组数列,进行统计规律分析,构造出拟合这个时间序列的最佳数学模型。
(2)相关分析法:也称回归分析,是测定经济现象之间相关关系的规律性,并据以进行预测、设定战略目标的程式化分析方法。
(3)盈亏平衡分析法:又称保本点分析法,或量本利分析法,是根据产品的业务量、成本、利润之间相互制约关系的综合分析,预测利润、控制成本、判断经营状况。
(4)决策矩阵法、决策树法:以矩阵为基础,先分别计算出各备选方案在不同条件下的可能结果,然后按客观概率的大小,计算出各个备选方案的期望值,经过比较后,从中选择优化的战略目标。
19.影响风险事件发生的因素有哪些?
(1)自然环境:这是企业面临的最基本的风险来源,自然环境的改变不可避免地会对许多行业带来重大影响。
(2)社会经济因素:人们的价值观不断改变,物质要求不断提高,人类行为及社会框架也间接成为风险源。
(3)政治及法制元素:政治环境是最难以捉摸的风险源,执政党的变更、外交关系的建立、区域联盟的形成都会对商业活动产生巨大的影响。
(4)营运环境:企业的内部运作过程也是产生风险及不确定性的来源。
20.风险识别的方法有哪些?各种方法的优点和局限性是什么?
(1)财务报表分析法:是通过资产负债表、利润表、现金流量表和其他附表等财务信息的分析来识别风险事项。
A.优点:能综合反映一个风险管理单位的财务状况,经济单位存在的许多问题都能够从财务报表中反映出来,具有可靠性和客观性的特点。
B.缺点:专业性较强,缺乏财务相关的专业知识就无法识别;另外它不能反映以非货币形式存在的问题。
(2)流程图分析法:是将风险主体的全部生产经营过程,按其内在的逻辑联系绘成作业流程图,针对流程中的关键环节和薄弱环节调查和分析风险。
A.优点:它迫使工作人员熟悉主体运作中技术层面上的问题,可以将复杂的生产过程或业务流程简单化,从而使他们增加发现公司中一些特殊问题的可能。
B.缺点:流程图的绘制要耗费太多时间,另外也不能进行定量分析以判断风险发生可能性的大小。
(3)事件树分析法:又称故障树法,其实质是利用逻辑思维的规律和形式,从宏观的角度去分析事故形成的过程。
A.优点:是一个动态过程,可以指出防止事故发生的途径,能够找出消除事故的根本措施。
B.缺点:需要大量的资料和时间,一般只有在风险很大或者隐患很深的系统中才使用这种分析方法。
(4)现场调查法
A.优点:能够有效的获知主体经营情况。可以发现原本已经忽视的风险。
B.缺点:需要带上专业管理人员,并且必须带上必备专业工具,还有照相机或录音笔之类便于记录现场情况的设备。
(5)保单对照法
A.突出了对风险管理主体可保风险的调查;
B.对一些不可保风险事项的识别具有相当的局限性。
(6)其他方法:经常检查关键文档,面谈等。
21.风险分析的核心内容是什么?
(1)简单地说,就是分析风险发生的可能性和影响程度。
(2)可能性分析:指假定企业不采取任何措施去影响经营管理过程,将会发生风险的概率。
(3)影响程度分析:是指对目标现实的负面影响程度分析。
(4)在进行风险分析的过程中,公司从自身的具体状况出发,运用适当的风险分析技术,定量或定性地评估相关事项,根据风险分析的结果,按风险发生的可能性及影响程度进行排序分析,分清哪些是主要风险,哪些是次要风险,从而筛选出企业的关键风险。1.coso于2013年发布的《内部控制——整合框架》,与1992年的框架相比,保持不变和发。
22.定量分析法和定性分析法有哪些具体方法?如何理解两类方法之间的关系?1.coso于2013年发布的《内部控制——整合框架》,与1992年的框架相比,保持不变和发。
(1)定性分析的操作方法多种多样,有问卷调查、集体讨论、专家资讯、人员访谈等,最常见的定性分析方法是风险评估图法。
(2)常用的定量分析法有情景分析、敏感性分析、风险价值、压力测试等。
(3)关系:定性分析法与定量分析法相互补充,相辅相成。通过定量分析可以对风险进行精确分析,而且定量分析的结果很直观,容易理解。与定量分析法相比较,定性分析的可行性较好但精确度不够。因此,风险分析中,定量分析与定性分析技术的结合是必要的,两者可以互补其不足。
23.风险应对策略有哪些?各种策略的优点和局限性是什么?
(1)风险规避:分为完全放弃,中途放弃,改变条件。
A.优点:风险规避是通过中断风险源,规避可能产生的潜在损失或不确定性,是处理风险的一种有用的、极为普遍的方法。
B.缺点:有些风险无法规避,对企业而言有些基本风险绝对无法规避;有些风险可以规避但成本过大,即对某些风险即使可以避免,但就经济效益而言也许不合适;消极的避免风险,只能是企业安于现状,不求进取。
(2)风险降低:分为损失预防、损失抑制。
优点:积极改善风险特性,使其能为企业所接受,从而使企业不丧失获利的机会
风险承受度、成本与效益、风险的特性、可供选择的措施。
第五章 控制活动
25.内部控制的主要控制活动有哪几种?它们之间具有什么关系?
(1)内部控制的主要控制活动有不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制和合同控制。
(2)关系:①有共同目标,即作为控制措施,它们的目标都是将风险控制在可承受度之内; ②相辅相成,缺一不可。首先,不相容职务分离控制和授权审批控制贯穿于其他六项控制活动,是其他六项控制活动有效实施的基础,而其他六项控制活动实施过程中又存在交叉协作,相互联系,相辅相成。其次,八项控制活动贯穿于企业所有层级和职能部门,且相互之间又存在相辅相成的关系,任何一项控制活动实施不到位都会造成企业风险控制的失败,因此这八项控制活动缺一不可。
26.何为不相容职务分离控制?它的内容包括什么?
(1)不相容职务分离是指企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。
(2)内容包括:可行性研究与决策审批、业务执行与审核监督、会计记录与业务执行、业务执行财产保管、财产保管与会计记录。
27.何为授权审批控制?它的基本原则包括哪些?
(1)授权审批控制是指企业按照授权审批的相关规定,明确岗位办理业务和事项的权限范围、审批程序和相应责任。
(2)授权基本原则:授权要依事不依人,不可越权授权,适度授权,以监督为保障
(3)审批基本原则:不得越权审批,不得随意审批。
COSO内部控制整合框架执行纲要2013年5月版
篇二:1.coso于2013年发布的《内部控制——整合框架》,与1992年的框架相比,保持不变和发
内部控制整合框架
执行纲要
内部控制帮助组织达到重要的目标,维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系,该体系且能够适应变化的商业和运营环境,将风险降低到可接受的水平,并且促进规范决策和组织的治理。
设计并实施一套有效的内部控制体系是充满挑战的;每天保持制度运行的效果和效率会让人可望而不可及。崭新且不断更新的商业模型,对技术的深入应用和依赖,日益繁多的监管要求和检查,全球化和其他挑战要求每一个组织的内部控制体系都能够更加敏捷地适应不断变化的商业、运营和监管的环境。
一套有效的内部控制体系除了对制度和流程严格遵守外,还要求判断力。管理层和董事注会1通过其判断来决定多少控制是充分的。管理层和其他员工每天通过其判断,在组织内选取,推进和实施各类控制。管理层和内部审计师,以及其他的员工,通过其判断来监控和测试内部控制体系的有效性。
注1:本框架使用“董事会”一词,泛指治理层,包括:董事会,理事会,一般合伙人,所有者和监事会等。
本框架在内部控制方面,对管理层,董事会,外部的利益相关者和其他与组织产生互动关系的相关方有所帮助,且不会过分死板;而这有赖于对内部控制体系构成要素的理解,有赖于对内部控制体系能够有效实施的时机的洞见。
对于管理层和董事会,本框架提供:
? 一套工具,将内部控制推广到各类型的组织,无论行业或法律形式,无论在组织层面,经营单元层面或职能层面;
? 一种原则导向的方法,能够灵活设计,实施和推进内部控制,并留有判断空间——这些原则可在组织层面、运营层面和职能层面应用;
? 一些要求,具体阐述有效的内部控制体系的要素和原则是如何存在和发挥作用,如何在一起产生协调作用;
? 一套工具,识别和分析风险,开发和管理合适的风险应对措施将风险控制在可接受的水平,且更关注反舞弊措施;
? 一个机会,将基于财务报告的内部控制扩大应用范围,满足各种其他的报告、运营和遵循目标;
? 一个机会,清理那些在降低风险方面价值不大的无效,冗余和低效的控制。 对于外部利益相关者和组织的其他相关方,本框架的应用可使其:
? 对于董事会针对内部控制的监管更有信心;
? 对于组织实现目标更有信心;
? 对组织识别,分析和应对来自商业与运营环境风险与变化的能力更有信心; ? 更了解有效的内部控制体系的具体要求;
? 更了解管理层如何通过其判断清理那些无效,冗余和低效的控制。
内部控制不是一个按部就班的过程而是一个动态和整合的过程。本框架可以适用于各类型的组织:大型,中型或小型;盈利,非盈利或政府机构。然而,每个组织都可以有权选择,实施不同的内部控制。例如,一个小型组织的内控体系可以不那么正式和结构清晰,但仍保持有效。
以下,本文将对内部控制提供总览,包括定义,各类别的目标,必要要素和相关原则的
描述,以及对一个有效内部控制体系的要求。本文也将讨论内部控制的局限性——为什么没有一个内部控制体系是完美的。
定义内部控制
内部控制定义如下:
内部控制是一套流程,受组织的董事会,管理层和其他员工所影响,被设计并用来为组织提供合理保证,使其实现运营,报告和遵循目标。
以上定义体现了一些基础概念。内部控制是:
? 使组织实现多个种类的目标,如运营,报告和遵循;
? 一个持续不断的过程,包括各种任务和活动——一个达到目的的手段,而非目的本
身;
? 受人的影响——不仅仅是制度和流程手册,体系和表单,而是组织各个层级的人和
他们所采取的行动;
? 可以向组织的高级管理层和董事会提供合理保证——而非绝对保证;
? 可以适应组织的结构——可灵活应用于整个组织或一个分支机构,业务部,运营单
元或业务流程。
这个定义被设定的包含广泛,包括了关于组织如何设计,实施和推进内部控制的一些重要的基础概念,为不同的组织架构,行业和地理区域的组织提供了操作支持。
目标
本框架提供了三个类型的目标,使得组织可以关注于内部控制的不同方面:
运营目标——组织运营的效果和效率,包括运营和财务绩效目标,资产安全不受损失。 报告目标——内、外部的财务和非财务报告的可靠性、及时性、透明度,以及其他监管者、公认的标准制定机构和组织政策所要求的方面。
遵循目标——遵守对组织适用的法律法规。
内部控制的要素
内部控制包括五个相关关联的要素。
控制环境
控制环境是一套标准、流程和结构,能够为内部控制的实施提供基础。董事会和高级管理层为内部控制的重要性(包括期待的行为准则)提供高层定调(the tone at the top)。组织各个层级的管理活动强化了这种期望。控制环境包括了组织正直和道德的价值观;促进董事会行使公司治理的监控职责的机制;吸引、开发和保留人才的机制;严格的绩效衡量、激励和汇报机制以保证绩效实现。控制环境会对内部控制的整体体系产生全面影响。
风险评估
每个组织都面临着来自内外部的各类风险。风险是潜在事件发生并对组织实现其目标产生负面影响的可能性。风险评估包括了根据组织要实现的目标,动态和反复的识别和评估风险的过程。将全组织范围的影响目标实现的风险同已经建立的风险容忍度一同考量后,风险评估就为决定风险如何进行管理打下了基础。
风险评估的先决条件是组织各个层级的目标的确立。管理层要结合运营、报告和遵循的三大类目标,明确相应的具体目标,以便识别和分析相关的风险。管理层也要考虑这些目标
对于组织的可持续性。风险评估还要求管理层考虑可能导致内控失效的外部环境和内部商业模式的可能变化。
控制活动
控制活动是通过制度和流程所确立的行动,旨在确保管理层降低影响组织目标实现的风险的方针得以实现。在组织的各个层级,业务的各个环节,信息技术的整个环境中都应实施控制活动。从性质上,可以是预防性的,也可以是检查性的;应覆盖手工和自动控制;包括授权和批准,复核,对账和业务绩效评估。不相容职责分离也是典型的应选取和推进的控制活动。如果不相容职责分离无法实施,管理层应选择和推进替代性的控制活动。
信息与沟通
信息对于组织而言,对推进内控、促进其目标实现是非常必要的。管理层从内外部获得或生成,并且使用相关的有质量的信息来支持内部控制其他要素的正常运转。
沟通是一个持续和不断重复的提供、分享和获得必要的信息的过程,。内部沟通是一个手段,使得信息能够在整个组织向上、向下和横向扩散,能够帮助员工接受来自高管层的清晰的信息——控制的职责必须认真实施。外部沟通包括两个部分:将外部的相关信息传入组织内部,以及根据其要求和期望,提供信息给外部的相关方。
监督活动
持续的评价,独立的评价,或者两者的某种组合可以用来确认内部控制的五个要素以及每个要素下的原则是否存在并发挥作用。嵌入整个业务体系的持续评价可以提供及时的信息;独立的评价需要定期开展,其范围和频率可能因风险评估,持续评价的有效程度以及管理层的其他考虑而有所不同。评价中的发现应结合监管者、标准订立机构和管理层、董事会所设定的标准进行评估;缺陷应当视情况传递给管理层和董事会。
目标和要素的关系
组织要实现的目标,为了实现目标所必须的要素,组织的组织架构(如运营单元,法律实体及其他)这三者之间存在着直接的关系。这个关系可以以一个立方体的形式展现。
运营、报告和遵循三类目标以纵列表示。
内部控制的五个要素以横行表示。
组织的组织架构以第三维表示。
要素及原则
本框架确立了十七项原则代表了与每个控制要素相关的基本概念。因为这些原则直接从控制要素中提炼,一个组织可以直接应用全部这些原则来实施内部控制。
这些原则都可以应用于运营、报告和遵循三类目标。这些每个控制要素内的原则如下: 控制环境
1. 组织对正直和道德等价值观做出承诺。
2. 董事会独立于管理层,并对内部控制的推进与成效加以监督控制。
3. 管理层围绕其目标,在治理层监督下,建立健全组织架构、汇报条线、合理的授权
与责任等机制。
4. 组织对吸引、开发和保留与认同组织目标的人才做出承诺。
5. 组织根据其目标,使员工各自担负起内部控制的相关责任。
风险评估1.coso于2013年发布的《内部控制——整合框架》,与1992年的框架相比,保持不变和发。
6. 就识别和评估与其目标相关的风险,组织做出清晰的目标设定。
7. 组织对影响其目标实现的风险进行全范围的识别和分析,并以此为基础来决定风险
应如何进行管理。
8. 组织在风险评估过程中,考虑潜在的舞弊行为。
9. 组织识别和评估对内部控制体系可能造成较大影响的改变。
控制活动
10. 组织选择并开展控制活动,将风险对其目标实现的影响降到可接受水平。
11. 对(信息)技术,组织选择并开展一般控制以支持其目标的实现。
12. 组织通过合理的政策制度和保证这些政策制度切实执行的流程程序,来实施控制活
动。
信息与沟通
13. 组织获取或生成,并使用相关、有质量的信息来支持内部控制发挥作用。
14. 组织在其内部沟通传递包括内部控制的目标和责任在内的必要信息以支持内部控
制发挥作用。
15. 组织与外部相关方就影响内部控制发挥作用的事宜进行沟通。
监督活动
16. 组织选择、推动并实施持续且(或)独立的评估以确认内部控制的要素是存在且正
常运转的。
17. 组织在相应的时间范围内,评价内部控制的缺陷,并视情况与那些应采取正确行动
的相关方(如:高级管理层,董事会)沟通。
内部控制的有效性
本框架对一个有效的内部控制体系设定了要求。
一个有效的体系应当为组织目标的实现提供合理保证。一个有效的内部控制体系将影响组织目标实现的风险降低到可接受的水平,无论这些风险与一个、两个或三个类别的目标相关。
一个有效的内部控制体系要求:
? 五个要素及相关的原则都存在且发挥作用。
“存在”是指这些控制要素和相关原则都已包含在内部控制体系的设计和运行中,以实现具体目标。“发挥作用”是指这些控制要素和相关原则,确定的持续的存在于内部控制体系的运行和行为中。
? 五个控制要素共同运行,发