甘肃自考14033内部控制与风险管理考试大纲

甘肃省高等教育自学考试
课程考试大纲
专业名称：会计学（专升本）
专业代码：120203K

课程名称：内部控制与风险管理

课程代码：（14033）

甘肃省高等教育自学考试委员会 制定
2024 年 3 月
《内部控制与风险管理》自学考试大纲

1. 课程性质与设置目的

（1）课程基本信息

课程名称：内部控制与风险管理
教材信息：池国华 庞艳红.内部控制学.北京：高等教育出版社.2020
课程代码：14030
课程类别：统考课程
总学分：5
适用专业：会计学

（2）课程的性质与任务

本课程是培养和检查应考者的内部控制知识及制度评估方法应用而设置的一门专业课程，同时也是一门旨在为企业管理当局进行有效风险管理提供相关信息，是属于现代管理学、会计学和审计学交叉的一门学科，属于一门特色课程。本课程是会计学专业自考本科的主要科目，重在培养考生的专业实践能力，整个课程系统地反映 2006年颁布的《中央企业全面风险管理指引》、2008 年颁布的《企业内控制度基本规范》、2010 年颁布的《企业内部控制规范应用指引》、2013年 COSO 修订后的《内部控制-整合框架》、2017 年 COSO 修订的《企业风险管理—战略和业绩整合框架》等内容，既阐述内部控制与风险管理的理论渊源、理论体系，又分项介绍各重要经济事项的控制程序、控制方法；既论述如何对经济事项进行控制，又介绍如何对内部控制信息进行披露。

课程内容主要包括内部控制与风险管理的基本理论、内部控制的五个要素、企业风险管理八要素、内部控制与风险管理的方式、各种经济业务的内部控制制度的建立程序和方法等，旨在能够为各类企业建立和实施内部控制制度与风险管理提供理论基础和操作建议。

（3）课程学习目标

本课程围绕企业内部控制与风险管理的基本理论、基本方法、基本技能，结合我国企业实际情况以及近几年 COSO 框架的理论、方法及实务的发展情况，针对教学方法、教学内容改革的需要，以提高考生整体素质为基础，突出能力培养，兼顾知识教育、技能训练。并且强化案例教学，实现了从理论到实践再由实践到理论的良性循环。要求考生在学习过程中，从知识目标、技能目标、能力目标三大方面提升自身专业知识素养。

2. 课程内容与考核目标

（一）课程内容

第一章 内部控制与风险管理的发展历程

【学习目标】通过本章的学习，考生应了解美国内部控制与风险管理发展的四个阶段，英国内部控制与风险管理发展史上的三大重要报告和我国内部控制与风险管理的发展历程。同时，考生需掌握内部控制的产生与发展历经的几个阶段，以及每一阶段的特点，掌握与内部控制整合框架阶段相比，企业风险管理整合框架阶段具有的进步性，了解内部控制的现实意义，了解我国内部控制相关法规的发展历程，掌握我国企业内部控制规范框架体系。

【学习内容】本章主要内容为美国、英国和我国内部控制与风险管理的发展历史。
【学习重点】重点是了解内部控制发展历程，思政内容：穿插讲解我国经济发展历史，以此为背景讲解我国内部控制发展的过程。
【学习难点】难点是理解我国内部控制的发展。

第一节 美国内部控制与风险管理的发展
内部控制是组织运营和管理活动发展到一定阶段的产物，是科学管理的必然要求。
内部控制理论与实践的发展大体上经历了内部牵制、内部控制系统、内部控制结构、内部控制整合框架等四个不同的阶段，并已初步呈现向企业风险管理整合框架演变的趋势。

一、内部牵制阶段
控制一词最早产生于 17 世纪，其原始含义是“由登记者之外的人对账册进行的核对和检查”。20 世纪以前，盛行的观念和实务都停留在内部牵制阶段。这一阶段社会生产力还相对落后，大规模商品生产尚不发达，内部牵制是适应这一阶段的时代背景而产生的。
这一阶段的主要特点是“以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制”。
内部牵制机能主要包括：分权牵制、实物牵制、机械牵制和簿记牵制。
这一阶段的不足之处，在于人们还没有意识到内部控制的整体性，强调内部牵制机能的简单运用，不够系统和完善。

二、内部控制体系阶段
这一阶段从时间上看大致为 20 世纪 40 年代至 80 年代。适应这一时期资本主义经济快速发展、所有权与经营权进一步分离的特点，在注册会计师行业的推动下，内部控制由早期的内部牵制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制系统。

三、内部控制结构阶段
进入 20 世纪 80 年代，人们对内部控制的研究重点逐步从一般含义向具体内容深化。1988 年美国 AICPA 发布的《审计准则公告第 55号》首次以“内部控制结构”的概念代替“内部控制系统”，该公告认为，内部控制结构由下列三个要素组成：控制环境，会计系统和控制程序。

四、内部控制整合框架阶段
1992 年 9 月，COSO 发布了著名的《内部控制——整合框架》，并于 1994 年进行了修订。该报告系内部控制发展历程中的一座重要里程碑，它对内部控制下了一个迄今为止最为权威的定义：“内部控制是由主体的董事会、管理层和其他员工实施的，旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程”。

图 1-1 COSO 内部控制整合框架

五、企业风险管理整合框架阶段
2004 年 9 月，COSO 发布了《企业风险管理——整合框架》（简称 ERM 框架）。该框架指出，“全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。

图 1-2 企业风险管理整合框架

第二节 英国内部控制与风险管理的发展
一、卡德伯利报告
二、哈姆佩尔报告
三、特恩布尔报告

第三节 我国内部控制与风险管理的发展
一、起步阶段（1985-1997）
1985 年《会计法》对会计稽核所作出的规定，是我国首次在法律文件上对内部牵制提出的明确要求。
1996 年 6 月，财政部颁发了《会计基础工作规范》。
1997 年 5 月，我国专门针对内控的第一个行政规定出台，中国人民银行颁布了《加强金融机构内部控制的指导原则》，其中要求金融机构建立健全有效的内部控制运行机制。该指导原则对于金融机构内部控制的建设意义重大，为我国金融机构的内部控制制度建设和发展奠定了基础。

二、发展阶段（1998-2004）
1999 年 10 月新修订的《会计法》颁布，该法在第二十七条中明确提出：“各单位应当建立、健全本单位内部会计监督制度，单位内部会计监督制度应当符合下列要求：记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确，并相互分离、相互制约；重大对外投资、资产处置、资金调度和财产清查的范围、期限和组织程序应当明确；对会计资料定期进行内部审计的办法和程序应当明确”。
2004 年底和 2005 年 6 月，国务院领导就强化我国企业内部控制问题作出重要批示，要求“由财政部牵头，联合有关部委，积极研究制定一套完整公认的企业内部控制指引”。

三、建设阶段（2005-2007）
2006 年 7 月，受国务院委托，财政部牵头，由财政部、国资委、证监会、审计署、银监会和保监会联合发起成立了企业内部控制标准委员会，秘书处设在财政部会计司，旨在研究制定“具有统一性、公认性和科学性的企业内部控制规范体系”。在监管部门、大中型企业、行业组织和科研院所等机构领导和专家的积极参与和大力支持下，我国企业内部控制标准体系的机制保障和组织配套形成了。

四、完善阶段（2008 年以后）
2008 年 5 月，财政部等 5 部委联合发布了《企业内部控制基本规范》，要求 2009 年 7 月 1 日起在上市公司范围内施行，并且鼓励非上市的大中型企业也执行基本规范。
2010 年 4 月 15 日，财政部等 5 部委出台《企业内部控制应用指引第 1 号——组织架构》等 18 项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》，要求 2011 年 1 月 1 日起在境内外同时上市的公司实行，在上海证券交易所、深圳证券交易所主板上市公司 2012 年 1 月 1 日起施行，并择机在中小板和创业板上市公司施行，同时也鼓励非上市大中型企业提前执行。

第二章 内部控制与风险管理的框架

【学习目标】本章要求考生掌握 COSO 的内部控制整合框架和风险管理整合框架，了解对二者的差异和内部控制整合框架与风险管理整合框架的新发展。
【学习内容】本章重点内容为 COSO 的内部控制整合框架和企业风险管理整合框架，以及二者之间的比较与最新发展变化。
【学习重点】本章学习重点是 COSO 的发展历程。
【学习难点】本章难点是理解掌握内部控制概念。

第一节 COSO 的内部控制整合框架
一、内部控制的概念
根据《企业内部控制基本规范》的解释，“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”。
（一）内部控制是一种全员控制
内部控制是一种全员控制，即内部控制强调全员参与，人人有责。
（二）内部控制是一种全面控制
内部控制是一种全面控制，是指内部控制的覆盖范围要足够广泛，涵盖企业所有的业务和事项，包含每个层级和环节，而且还要体现多重控制目标的要求。
（三）内部控制是一种全程控制
内部控制是一种全程控制，是指内部控制是一个完整的内部控制体系。
二、内部控制的目标
（一）经营管理合法合规目标
经营管理合法合规目标是指内部控制要合理保证企业在国家法律和法规允许的范围内开展经营活动，严禁违法经营。
（二）资产安全目标
资产安全目标主要是为了防止资产流失。保护资产的安全与完整是企业开展经营活动的物质前提。
（三）财务报告及相关信息真实完整目标
财务报告及相关信息的真实完整目标是指内部控制要合理保证企业提供了真实可靠的财务信息及其他信息。
（四）提高经营的效率和效果目标
提高经营的效率和效果是内部控制要达到的最直接也是最根本的目标。
（五）促进企业实现发展战略目标
促进企业实现发展战略是内部控制的最高目标，也是终极目标。战略与企业目标相关联并且支持其实现的基础，是管理者为实现企业价值最大化的根本目标而针对环境做出的一种反应和选择。
（六）内部控制目标之间的关系

图 2-1 内部控制目标之间的关系
三、内部控制的要素
（一）内部环境
内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
（二）风险评估
风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。
风险评估主要包括目标设定、风险识别、风险分析和风险应对等环节。
（三）控制活动
控制活动是指结合具体业务和事项，运用相应的控制政策和程序，或者控制手段去实施控制。
控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。
（四）信息与沟通
信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。
信息与沟通的主要环节有：确认、计量、记录有效的经济业务；在财务报告中恰当揭示财务状况、经营成果和现金流量；保证管理层与单位内部、外部的顺畅沟通。
（五）内部监督
内部监督是企业对内部控制建立与实施情况监督检查，评价内部控制的有效性，对于发现的内部控制缺陷，及时加以改进。
（六）内部控制五要素之间的关系
图 2-2 内部控制五要素之间的关系
四、 内部控制的原则
（一）全面性原则
（二）重要性原则
（三）制衡性原则
（四）适应性原则
（五）成本效益原则
五、内部控制框架的局限性
（一）内部控制的制度设计局限性
（二）内部控制的制度执行局限性

第二节 COSO 的企业风险管理整合框架
一、 企业风险管理整合框架简介
2004 年，COSO 委员会在借鉴以往有关内部控制研究报告的基本精神的基础上，结合《萨班斯一奥克斯利法案》在财务报告方面的具体要求，发表了新的研究报告——《企业风险管理框架》(EnterpriseRisk Management Framework，简称 ERM 框架) 。
图 2-3 企业风险管理——整合框架

二、 企业风险管理整合框架的创新之处
相对《内部控制——整合框架》，ERM 框架的创新在于：第一，从目标上看，ERM 框架不仅涵盖了内部控制框架中的经营、财务报告和合规三个目标，而且还新提出了一个更具管理意义和管理层次的战略管理目标，同时还扩大了报告的范畴；
第二，从内容上看，ERM 框架除了包括内部控制整合框架中的五个要素外，还增加了目标制定、风险识别和风险应对三个管理要素；
第三，从概念上看，ERM 框架提出了两个新概念——风险偏好和风险容忍度；
第四，从观念上看，ERM 框架提出了一个新的观念——风险组合观。

三、企业风险管理整合框架的要素
企业风险管理包括八个相互关联的构成要素，分别是：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。

第三节 内部控制与风险管理的新发展新《内部控制——整合框架》的发布将有助于公司高管在企业运营、法规遵从以及财务报告等方面采用更为严密的内控措施，提升内控的质量。
新框架的主要变化：
第一、新框架明确列示了用以支持内部控制五大要素的 23 项原则；
第二、新框架明确了目标设定在内部控制中的作用；
第三、新框架反映了科技日益深入的相关性，日益先进的技术会影响
所有内部控制要素的实施方式；
第四、新框架更深入地讨论了有关治理的概念，强调董事会监督对有效的内部控制至关重要；
第五、新框架扩大了报告目标类别，总共有四类报告——内部财务、
内部非财务、外部财务以及外部非财务报告；
第六、新框架加强了对反舞弊预期的考虑；
第七、新框架更加关注非财务目标。

第三章 内部控制原理

【学习目标】考生通过本章的学习，需理解内部控制的定义，理解内部控制的本质，理解并掌握内部控制的要素定义及其作用，理解并掌握内部控制的局限性。
【学习内容】本章主要内容为内部控制定义、内部控制本质、内部控制要素以及内部控制局限性。
【学习重点】重点是学习内部控制定义，内部控制要素。
【学习难点】难点是理解内部控制本质和内部控制局限性。

第一节 内部控制的定义
一、 内部控制的定义
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
——《企业内部控制基本规范》（2008）
二、 对内部控制定义的理解
（一）内部控制是一种全员控制
内部控制是一种全员控制，即内部控制强调全员参与，人人有责。
（二）内部控制是一种全面控制
内部控制是一种全面控制，是指内部控制的覆盖范围要足够广泛，涵盖企业所有的业务和事项，包含每个层级和环节，而且还要体现多重控制目标的要求。
（三）内部控制是一种全程控制
内部控制是一种全程控制，是指内部控制是一个完整的内部控制体系。
（四）内部控制只能提供合理保证
合理保证的理解之一：内部控制只能/只需将风险控制在企业可以承受的范围之内。
合理保证的理解之二：内部控制不能完全消除错误与舞弊。

第二节 内部控制目标
一、经营管理合法合规目标
经营管理合法合规目标是指内部控制要合理保证企业在国家法律和法规允许的范围内开展经营活动，严禁违法经营。
二、资产安全目标
资产安全目标主要是为了防止资产流失。保护资产的安全与完整是企业开展经营活动的物质前提。
三、财务报告及相关信息真实完整目标
财务报告及相关信息的真实完整目标是指内部控制要合理保证企业提供了真实可靠的财务信息及其他信息。
四、提高经营的效率和效果目标
提高经营的效率和效果是内部控制要达到的最直接也是最根本的目标。
五、促进企业实现发展战略目标
促进企业实现发展战略是内部控制的最高目标，也是终极目标。
战略与企业目标相关联并且支持其实现的基础，是管理者为实现企业价值最大化的根本目标而针对环境做出的一种反应和选择。

第三节 内部控制的本质
一、制衡
第一，严格遵循不相容职务分离的原则。
第二，正确处理企业的机构设置和权责分配。
第三，重视企业的业务流程划分。
二、监督
监督的组织基础是科层制，在科层体系中高层权力者做出决策，低层执行者必须保证决策的履行，所以监督是单向的，是高层对低层的控制。
内部控制制度本身具有一定的局限性，因此需要在不同的组织情境下应用不同的控制机制，并使之相互协调与配合，以求最大限度地降低内部控制局限性带来的负面影响。
三、激励
激励机制是通过实施激励计划使代理人与委托人的目标利益函数最大化的趋同，从而将代理人的行为引导至为委托人创造最大化利益的轨道上来，而前面提到的监督和制衡机制的实质是通过约束代理人的行为来保证委托人目标利益实现的。
监督与制衡也具有风险防控与纠正不当行为的作用，但激励的优越性在于能够激发人们防控风险的主动积极性，从而使得这一过程更有效率，并能够在一定程度上减少监督与制衡的必要。

第四章 内部环境

【学习目标】本章要求考生了解企业组织架构、发展战略、人力资源政策、社会责任和企业文化五个方面对企业的内部环境以及企业在内部环境方面需关注的风险。COSO 在 ERM 框架中指出，企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。
企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织及对风险的识别、评估和反应，还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。

【学习内容】根据《企业内部控制基本规范》的定义，“内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等”。企业内部控制应用指引中，内部环境类应用指引具体包括《企业内部控制应用指引第 1 号——组织架构》、《企业内部控制应用指引第 2 号——发展战略》、《企业内部控制应用指引第 3 号——人力资源》、《企业内部控制应用指引

第 4 号——社会责任》、《企业内部控制应用指引第 5 号——企业文化》等,它们分别从不同方面解读了内部环境构成的主要内容。
【学习重点】学习重点是理解和掌握企业组织结构、发展战略、人力资源、企业社会责任与文化对内部控制的影响。
【学习难点】学习难点是要从不同方面了解内部环境构成的主要内容。

第一节 企业组织架构
一、 组织架构的定义与价值
组织架构是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际情况，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。——《企业内部控制应用指引第 1 号——组织架构》。
二、组织架构的关键风险
三、组织架构的管控措施
（一）组织架构的设计
（二）组织架构的运行
四、内部机构组织形式的设计
第二节 发展战略
一、 发展战略的定义与意义
制定公司发展战略是实现健康可持续发展的起点。
发展战略是企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的中长期发展目标与战略规划。
——《企业内部控制应用指引第 2 号——发展战略》
二、发展战略存在的风险
（一）缺乏或实施不到位
（二）过于激进
（三）频繁变动
三、发展战略的制定
（一）建立和健全发展战略制定机构
（二）分析评价影响发展战略的因素
1、影响企业发展战略的因素
2、外部环境的分析
3、内部资源的分析
（三）科学制定发展战略
发展战略可以分为发展目标和战略规划两个层次：
1、制定发展目标
（1）发展目标应当突出主业。
（2）发展目标不能过于激进，不能盲目追逐市场热点，不能脱离企业实际。
（3）发展目标不能过于保守，否则会丧失发展机遇和动力。
（4）发展目标应当组织多方面的专家和有关人员进行研究论证。
2、编制战略规划
3、严格审议和批准发展战略
四、发展战略的实施

第三节 人力资源
一、人力资源的定义与价值
根据《企业内部控制应用指引第 3 号——人力资源》的定义，人力资源是指企业组织生产经营活动而录（任）用的各种人员，包括董事、监事、高级管理人员和一般员工，其本质是企业组织中各种人员所具有的脑力和体力的总和。
二、人力资源的组成
（一）高管人员
（二）专业技术人员
（三）一般员工
三、人力资源管理的主要风险
人力资源管理一般包括引进、开发、使用和退出四个方面。
四、人力资源控制制度设计
（一）高管人员引进和开发控制制度设计
（二）高管人员的使用与退出制度设计
（三）技术人员引进和开发控制制度设计
（四）技术人员的使用与退出制度设计
（五）一般员工引进和开发控制制度设计
（六）一般员工的使用与退出制度设计

第四节 社会责任
一、 企业社会责任的定义
企业社会责任，是指企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量（含服务）、环境保护、资源节约、促进就业、员工权益保护等。
——《企业内部控制应用指引第 4 号——社会责任》
二、社会责任的主要风险
（一）安全生产措施不到位，责任不落实，可能导致企业发生安全事故。
（二）产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。
（三）环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业。
（四）促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。
三、社会责任的主要控制措施
（一）安全生产
（二）产品质量
（三）环境保护与资源节约
（四）促进就业与员工权益保护

第五节 企业文化
一、企业文化的定义与价值
企业文化是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称，主要包括企业的整体价值观，高级管理人员的管理理念、经营哲学与职业操守，员工的行为守则等。
二、企业文化建设应关注的主要风险
（一）缺乏积极向上的企业文化，可能导致员工丧失对企业的信心和认同感，企业缺乏凝聚力和竞争力。
（二）缺乏开拓创新、团队协作和风险意识，可能导致企业发展目标难以实现，影响可持续发展。
（三）缺乏诚实守信的经营理念，可能导致舞弊事件的发生，造成企业损失，影响企业信誉。
（四）忽视企业间的文化差异和理念冲突，可能导致并购重组失败。
三、企业文化的主要控制措施
（一）企业文化的建设
（二）企业文化的传播
（三）企业文化的评估

第五章 风险评估

【学习目标】考生需要理解风险识别的定义，掌握风险识别的方法；理解风险分析的定义，掌握风险分析的方法；理解风险应对的定义，掌握风险应对的策略类型及其选择。
【学习内容】风险评估的每个环节和整个过程。
【学习重点】学习重点是理解和掌握风险评估的每个环节。
【学习难点】学习难点是风险识别的方法、风险应对的策略类型及其选择。

第一节 目标设定
一 、目标设定的含义
目标设定是企业在识别和分析实现目标的风险并采取行动来管理风险之前，采取恰当的程序去设定目标，确保所选定的目标支持和切合企业的发展使命，并且与企业的风险承受能力相一致。
目标设定是企业风险评估的起点，是风险识别、风险分析和风险应对的前提。
图 5-1 目标设定的含义
二、 战略目标的设定
（一）战略目标的内容
（二）战略目标的分解
战略目标可以进行纵向分解和横向分解，还可以运用平衡计分卡法进行分解。
（三）战略目标设定的原则
S（Specific）代表具体，不能笼统；
M（Measurable）代表可计量，可以量化并可被验证；
A（Attainable）代表可行，可以达到；
R（Relevant）代表相关性，实实在在，可以证明和观察；
T（Time-based）代表时限，具有明确的截止期限。
（四）战略目标设定的步骤
1、明确企业发展目标
2、制定实现目标的战略计划
3、编制年度计划
4、企业编制年度预算
（五）战略目标设定的方法
1、时间序列分析法
2、相关分析法
3、盈亏平衡分析法
4、决策矩阵法、决策树法
三、设定业务层面目标
图 5-2 业务层面目标

第二节 风险识别
一、风险识别的概念和内容
（一）风险识别的概念
风险识别是对企业面临的各种潜在事项进行确认。
（二）风险识别的内容
风险识别主要内容包括两方面：一是感知风险事项，二是分析风险事项。
二、风险识别的过程
（一）发现或者调查风险因素
1、自然环境
2、社会经济因素
3、政治及法制因素
4、营运环境
（二）减少风险因素增加的条件
（三）预见危险或者风险
（四）重视风险暴露
三、风险识别的方法
（一）财务报表分析法
1、趋势分析法
2、比率分析法
3、因素分析法
4、杜邦分析法
（二）流程图分析法
（三）事件树分析法
（四）现场调查法
（五）保单对照法

第三节 风险分析
一、风险分析的定义和内容
（一）风险分析的概念
风险分析是结合企业特定条件在风险识别的基础上，运用定量或定性方法进一步分析风险发生的可能性和对企业目标实现的影响程度，并对风险的状况进行综合评价，为制定风险管理策略与选择应对方案提供依据。
（二）风险分析的内容
1、风险发生的可能性分析
可能性分析是指假定企业不采取任何措施去影响经营管理过程，将会发生风险的概率。它通常是通过实际情况的收集和利用专业判断来完成。
2、风险产生的影响程度分析
影响程度分析主要是指对目标现实的负面影响程度分析。
二、 风险分析的方法
（一）定性分析的方法
定性分析方法是目前风险分析中采用比较多的方法，它具有很强的主观性，往往需要凭借分析者的经验和直觉，或者世界的标准和惯例，对风险因素的大小或高低程度进行定性描述。
（二）定量分析的方法
定量分析法，就是对构成风险的各个要素和潜在损失的水平赋予数值或货币计量的金额，从而量化风险分析的结果。
比较常用的定量分析法有情景分析、敏感性分析、VaR、压力测试等。

第四节 风险应对
一、风险应对的概念
风险应对是指在风险分析的基础上，针对企业所存在的风险因素，根据风险分析的原则和标准，运用现代科学技术知识和风险管理方面的理论与方法，提出各种风险解决方案，经过分析论证与评价从中选择最优方案并予以实施，来达到降低风险目的的过程。
三、 风险应对策略
表 5-1 风险应对策略
三、选择风险应对策略
（一）风险应对策略选择时应考虑的因素
风险规避 风险转移
完全放弃
中途放弃
改变条件
保险转移
财务型非保险转移
控制型非保险转移
风险降低 风险承受
损失预防
损失抑制
接受
计划
1、风险承受度
2、成本和效益
3、风险的特性
4、可供选择的措施
（二）风险应对策略选择时应注意的问题
一般情况下，对战略、财务、运营和法律风险，可采取风险承受、风险回避、风险分担等方法。
对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采取风险分担、风险降低等方法。
风险应对策略的选择还可以从企业范围内组合的角度去考虑。

第六章 控制活动

【学习目标】本章要求考生掌握八种不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、合同控制等控制活动的原理。
【学习内容】控制活动是根据风险评估的结果，依据风险应对的策略所采取的，确保管理层的指令得以执行的政策和程序。《基本规范》第 28 条指出，企业应当结合风险评估结果，通过手工控制与自动控制，预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受的限度之内。
【学习重点】控制活动的概念与应用范围
【学习难点】控制活动各大控制措施的实务应用

第一节 不相容职务分离控制
一、不相容职务分离控制的定义
（一）不相容职务的含义
不相容职务是指某些如果由一名员工担任，既可以弄虚作假，又能够自己掩饰作弊行为的职务。这些职务通常包括：授权、批准、业务经办、会计记录、财产保管、稽核检查等。
（二）不相容职务分离控制的含义
不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。
不相容职务分离控制的核心——“内部牵制”
二、不相容职务分离控制的内容
图 6-1 不相容职务分离控制
四、 轮岗与强制性休假制度
对关键岗位实施轮岗或强制休假制度是与不相容职务分离控制的两项重要控制措施，也是内部牵制理念的具体体现。它们的主要作用在于反舞弊。两者可以互为替代。

第二节 授权审批控制
一、授权审批控制的定义
授权审批控制要求企业按照授权审批的相关规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
二、授权控制
（一）授权的种类
1、常规授权
2、特别授权
（二）授权控制的基本原则
1、授权的依据——依事而不是依人
2、授权的界限——不可越权授权
3、授权的“度”——适度授权
4、授权的保障——监督
（三）授权的形式
1、口头
一般适合于临时性与责任较轻的任务。
2、书面
适合比较正式与长期的任务。
三、审批控制
（一）审批控制的原则
1、审批要有界限——不得越权审批
2、审批要有原则——不得随意审批
（二）审批控制的形式
1、口头审批
2、书面审批 （一般尽量采用这种形式）

第三节 会计系统控制
一、会计系统控制的定义
会计系统控制是指利用记账、核对、岗位职责落实和职责分离、档案管理、工作交接程序等会计控制方法，确保企业会计信息真实、准确、完整。
二、会计系统控制的内容
（一）会计准则和会计制度的选择
（二）会计政策选择
（三）会计估计确定
（四）文件和凭证控制
（五）会计档案保管控制
（六）组织和人员控制
（七）建立会计岗位制度
三、会计系统控制的方法
（一）会计凭证控制
（二）会计账簿控制
（三）财务报告控制
（四）会计复核控制

第四节 财产保护控制
一、财产账务保护控制含义
财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。
二、财产实物保护控制的措施
（一）财产档案的建立和保管
（二）限制接近
（三）盘点清查
（四）财产保险

第五节 全面预算控制
一、全面预算控制的定义
企业对一定期间的经营活动、投资活动、财务活动等作出的预算安排。它是一种全方位、全过程、全员参与编制与实施的预算管理模式。预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

图 6-2 全面预算控制
二、全面预算控制的内容
（一）预算控制实施主体
图 6-3 预算控制实施主体
（二）预算控制基本流程
图 6-4 预算控制基本流程
（三）预算控制流程的风险点及控制措施
1、预算编制
2、预算审批
3、预算下达
4、预算指标分解和责任落实
5、预算中控制
6、预算分析
7、预算调整
8、预算考核
第六节 运营分析控制
一、运营分析控制的定义
（一）运营分析的定义
以统计报表、会计核算、管理现象、计划指标和相关资料为依据，运用科学的分析方法对一段时期内的经营管理活动情况进行系统的分析研究，旨在真实地了解经营情况，发现和解决经营过程中的问题，并按照客观规律指导和控制企业经营活动。
（二）运营分析控制
要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过对比分析、比率分析、趋势分析、因素分析、综合分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。
二、运营分析控制的流程
图 6-5 运营分析控制的流程
三、运营分析控制的方法
（一）比较法
（二）比率法
（三）趋势分析法，又叫动态分析法
（四）因素分析法
（五）综合分析法
第七节 绩效考评控制
一、绩效考评控制的定义
（一）绩效考评
对企业各项经营活动和职能部门当期实现的实际业绩，通过将其与预算、计划目标等进行对比，考核和评价其经营业绩。绩效考评是绩效考核和评价的总称。
（二）绩效考评控制
要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
二、绩效考评系统的内容
图 6-6 绩效考评系统的内容
三、绩效考评的三种模式
（一）会计基础绩效考评模式
主要特点：采用会计基础指标作为绩效考评指标。
主要包括综合指数法、综合评分法、功效系数法等.
（二）经济基础绩效考评模式
主要特点：采用经济基础指标作为绩效考评指标。注重于股东价值的创造和股东财富的增加。
典型代表：经济增加值（EVA），即经过调整的税后营业净利润减去投入资本的成本，指企业资本收益与资本成本之间的差额。
（三）战略管理绩效考评模式

第八节 合同控制
一、合同控制的定义
合同控制就是企业通过梳理合同管理的整个流程，分析关键风险点，并采取有效措施，将合同风险控制在企业可接受范围内的整个过程。
二、合同控制的意义
（一）有助于防范企业法律风险，维护合法权益 。
（二）有助于降低企业营运风险，提高经营管理水平 。
（三）有助于控制企业财务风险，提升资金使用效率。
三、合同业务的一般流程
图 6-7 合同业务的一般流程
四、 合同控制的措施
（一）建立分级授权管理制度
（二）实行统一归口管理
（三）明确职责分工
（四）健全考核与责任追究制度

第七章 信息与沟通

【学习目标】本章要求考生了解应用指引的 14、17 和 18 号内容。
【学习内容】本章基于《企业内部控制应用指引第 14 号——财务报告》、《企业内部控制应用指引第 17 号——内部信息传递》和《企业内部控制应用指引第 18 号——信息系统》，介绍了信息与沟通要素相对应的各个业务流程主要风险点和关键管控措施，从而有助于信息与沟通的实现。
【学习重点】理解信息与沟通的重要性。思政内容：穿插讲解数字化转型对企业的重要性。
【学习难点】信息与沟通要素相对应的各个业务流程主要风险点和关键管控措施。

第一节 内部信息传递
一、内部信息传递的内涵
按照《企业内部控制应用指引第 17 号——内部信息传递》的规定，内部信息传递是企业内部管理层级之间以报告为载体和形式传递生产经营管理信息的过程。
二、内部信息传递的总体要求
（一）及时有效性原则
（二）反馈性原则
（三）预测性原则
（四）真实准确性原则
（五）安全保密性原则
（六）成本效益原则
三、内部信息传递基本流程
内部信息传递流程是根据企业生产经营管理的特点来确定，其形式千差万别，没有一个最优的方案。一般来说，内部信息传递至少包括两个阶段，一是信息形成阶段，二是信息使用阶段。
图 7-1 内部信息传递基本流程

第二节 财务报告内部控制
一、财务报告内部控制内涵
财务报告内部控制是指由公司的首席执行官、首席财务官或公司行使类似职权的人员设计或监管的，受到公司董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报告的编制符合公认会计原则提供合理保证的控制程序和控制措施。
二、财务报告内部控制的价值
首先，加强财务报告内部控制有助于提高会计信息质量。
其次，有效的财务报告内部控制有助于防范和化解企业法律责任，确保财务报告合法合规。
最后，有效的财务报告内部控制有助于增强财务报告的可靠性。
三、财务报告的业务流程及其主要风险点
（一）财务报告控制的业务流程
图 7-2 财务报告控制的业务流程
（二）财务报告控制的主要风险点
1、财务报告对外提供前的审核
2、财务报告对外提供前的审计
3、财务报告的对外提供

第三节 管理报告控制
一、管理报告内部控制内涵
为了促进企业生产经营管理信息在内部各管理层级之间的有效沟通和充分利用，财政部等五部委专门制定了《企业内部控制应用指引第 17 号——内部信息传递》，突出强调了管理报告的形成、使用和评估，提出了内部信息传递应当关注的主要风险以及相应的管控措施。
二、管理报告中信息传递的原则
（一）真实准确性
（二）及时有效性
（三）遵守保密规定
三、内部信息传递的业务流程及其主要风险点
（一）内部信息传递的业务流程
图 7-3 内部信息传递的业务流程
（二）内部信息传递的主要风险点
1、建立管理报告指标体系
2、收集内外部信息
3、编制及审核管理报告

第四节 信息系统内部控制
一、信息系统内部控制的目标
按照《企业内部控制应用指引第 18 号——信息系统》的定义，信息系统是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。
二、信息系统内部控制的总体风险
一是信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；
二是系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；
三是系统运行维护和安全措施不到位，可能导致信息泄露或毁损，系统无法正常运行。
三、信息系统的业务流程及其主要风险点
（一）整体流程的关键风险点和主要控制措施
（二）业务外包方式的关键风险点和主要控制措施
（三）外购调试方式的关键风险点和主要控制措施

第八章 内部监督

【学习目标】本章首先介绍了内部监督的作用和定义，其次介绍了内部监督的机构及其职责，再次说明了内部监督的程序、方式与要求以及内部控制缺陷的类型，最后探讨了内部控制评价的定义、标准和内容及内部控制评价报告。
【学习内容】本章重点是内部监督的定义、程序与方法；内部审计的定义、职能、结构与方法和内部控制评价的定义、作用、内容与流程。
【学习重点】内部监督的作用、定义与流程
【学习难点】内部监督的方法、内部控制评价的流程

第一节 内部监督概述
一、内部监督的定义
按照《企业内部控制基本规范》的定义，内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时加以改进。
二、内部监督的意义
内部监督作为内部控制的基本要素之一，对于内部控制的有效运行，以及内部控制的不断完善起着重要的作用。
三、内部监督的程序
（一）建立健全内部监督制度
（二）制定内部控制缺陷标准
1、按影响程度：一般缺陷/重要缺陷/重大缺陷
2、按产生原因：设计缺陷/执行缺陷
3、按表现形式：财务报告内控缺陷/非财务内控缺陷
（三）实施内部监督
（四）记录和报告内部控制缺陷
（五）对内部控制缺陷进行整改
四、内部监督的形式
（一）日常监督
（二）专项监督
（三）日常监督与专项监督的关系
日常监督是专项监督的基础。专项监督的范围和频率应根据风险评估结果以及日常监督的有效性等予以确定。
专项监督是日常监督的补充。一般来说，风险水平较高并且重要的控制，企业对其进行专项监督的频率应较高。
五、内部监督体系的构成及其各机构的职责
（一）内部监督体系的构成
图 8-1 内部监督体系
（二）各内部监督机构的具体职责
1、审计委员会的监督职责
2、监事会的监督职责
3、内部审计机构的监督职责
4、会计机构的监督职责
（三）内部监督的基本要求
1、监督人员应具有胜任能力和独立性
2、关注关键控制：信息的相关性、信息的可靠性、信息的充分性

第二节 内部审计
一、内部审计的定义
2018 年 1 月 12 日，审计署党组书记、审计长胡泽君签署中华人民共和国审计署令第 11 号，公布了新修订的《审计署关于内部审计工作的规定》，自 2018 年 3 月 1 日起施行。
内部审计是对本单位及所属单位财政财务收支、经济活动、内部控制、风险管理实施独立、客观的监督、评价和建议，以促进单位完善治理、实现目标的活动。
二、内部审计的职能
（一）防护性职能
1、监督检查职能
2、评价鉴证职能
（二）建设性职能
1、管理控制职能
2、咨询服务职能
三、 内部审计的机构
（一）内部审计机构的设置原则
1、独立性原则
2、专职高效原则
3、权威性原则
（二）我国内部审计机构设置现状
1、隶属于财务部门
2、与纪检、监察合署的内部审计机构
3、隶属于总经理的内部审计机构
4、设在监事会的内部审计机构
5、在董事会下设审计委员会，在经营管理系统下设内部审计机构
（三）内部审计机构的主要权限

第三节 内部控制评价
一、内部控制评价的定义
内部控制评价是指由企业董事会和管理层实施，对企业内部控制的有效性进行评价，形成评价结论，出具评价报告的过程。
内部控制评价是优化内部控制自我监督机制的一项重要制度安排，是内部控制系统的有机组成部分，它与内部控制的建立与实施构成了一个动态的有机循环。
二、内部控制评价的作用
（一）内部控制评价有助于企业经营者发现并纠正内部控制制度缺陷，完善企业内部控制体系。
（二）内部控制评价有助于寻找并改善企业内部控制的薄弱环节，检验内部控制制度的遵循性。
（三）内部控制评价有助于促进企业健康发展，促使股东增强对企业的信心。
（四）内部控制评价有助于企业实现与政府监管的协调互动。
三、内部控制评价的内容
图 8-3 内部控制评价的内容
四、内部控制评价的流程
图 8-4 内部控制评价的流程
五、内部控制缺陷的定义和种类
（一）内部控制缺陷的定义
内部控制缺陷是内部控制在设计和运行中存在的漏洞，这些漏洞将不同程度地影响内部控制的有效性，影响控制目标的实现。
衡量内部控制有效性的关键步骤就是查找内部控制在设计或运行环节中是否存在重大缺陷。内部控制缺陷的认定通常被视作判断内部控制有效性的一个负向维度。
（二）内部控制缺陷的种类
1、按形成原因：设计缺陷、运行缺陷
2、按影响程度：重大缺陷、重要缺陷和一般缺陷
3、按表现形式：财务报告内部控制缺陷、非财务报告内部控制缺陷

（二）考核目标

1、考核目标
本大纲在考核目标中，按照了解、理解、掌握三个层次规定考生应达到的能力层次要求。三个能力层次是递进关系，各能力层次的含义是：
（1）了解：要求考生能够了解教材中的有关内部控制的起源、发展阶段以及发展趋势等知识点，并能够根据考核的不同要求，做出选择和判断。
（2）理解：要求考生能够领悟和理解重要概念的内涵及外延，并能根据考核的不同要求对具体概念和知识点做正确的表述。
（3）掌握：要求考生能够熟练掌握和识记内部控制基本知识以及内部控制五大要素各方面内容中的重要概念、关键风险点和主要控制措施，并能将这些知识运用到实际案例分析中。
2、考试方法和时长：建议考试采用闭卷形式，考试时长为 120 分钟。
3、推荐学习书目：
（1）工具书：《企业内部控制规范讲解》、《上市公司内部控制体系建设工作指南》、《企业内部控制审计政策解读与操作指引》。
（2）教科书：可在本大纲推荐教材的基础上阅读其他辅助教材，例如：《企业内部控制原理及应用》，宋建波著 ，中国财政经济出版社，2012 版；《内部控制学》，李凤鸣著，北京大学出版社，2002 版。
4、自学方法：可以在“中国大学 MOOC(慕课)_国家精品课程在线学习平台”等相关学习网站上搜索相关课程进行自学。
5、建议学时：136 学时。

（三）主要参考书目

[1]COSO, Internal Control-Integrated Framework, 1992.
[2]COSO, Enterprise Risk Management-Integrated Framework, 2004.
[3]KEN TYSIAC, Newly released COSO framework a fresh look at internal control, Journal of Accountancy, 2013.
[4]COSO Issues Updated Internal Control-Integrated Framework and Related Illustrative Documents, www.coso.org.
[5]（美）Steven J. Root 著，付涛等译，超越 COSO，北京：清华大学出版社，2004.
[6]中华人民共和国财政部等，企业内部控制规范，北京：中国财政经济出版社，2010.
[7]中华人民共和国财政部会计司，企业内部控制规范讲解，北京：经济科学出版社，2010.
[8]（美）Robert R.Moeller 著，秦荣生张庆龙韩非等译，COSO 内部控制实施指南，北京：电子工业出版社，2015.