班斯法案》对于内部控制的要求,按照COSO内部控制框架建立内部控制体系。
信息部门的负责人最后补充提出“下次会议应该讨论有关于信息系统控制方面的问题,这类风险在当前显得尤为严重。”
<1>、描述以下各方在微动态公司的内部控制制度的建立、维护、评价工作中的作用: A.管理层B.审计委员会C.外部审计师D.内部审计部门。 <2>、说明微动态公司审计委员会在财务报告编制过程中的职责。
<3>、讨论审计委员会在以下方面的特点:A.组成、规模和成员任期B.与管理层、外部审计师和内部审计部门的长期关系。
<4>、说明内部审计的主要3个方面和COSO内部控制框架的5个方面并解释。 <5>、请解释职责分离的内涵和意义。
<6>、定义预防性控制和检查性措施,以及固有风险和控制风险。 <7>、描述常用的网络、硬件和设施方面的控制措施。
答案部分
一、单项选择题
1、D 2、C 3、D 4、B 5、D 6、A 7、D 8、C 9、D 10、D 11、D 12、C 13、B 14、A 15、D 16、B 17、C 18、A 19、A 20、C 21、C 22、D 23、D 24、B 25、A 26、D 27、D 28、C 29、D 30、D 31、D 32、A 33、A 34、C 35、D 36、C 37、A 38、D 39、C 40、B 41、C 42、D 43、B 44、C 45、C 46、C 47、B 48、A 49、A 50、B
二、案例分析题
1、
<1> 该公司的内部控制有4个缺陷:①汤姆在雇佣了鲍勃和迈克后就不再具体管理和仔细检査公司的业务。②鲍勃和迈克的管理权限太大而且缺乏必要的监督和检查。③公司没有正规的雇佣政策以雇佣合适的员工;汤姆没有好好筛选求职的员工,此外对鲍勃和迈克也没有进行背景检查。④公司缺乏必需的内部控制,例如职责分离、授权和检查等内部控制手段。因此,迈克既可以发订单也可以接收货物,而这两项责任本应该分隔开来,而汤姆则负责接受付款、保留记录、银行对帐及签写支票和批准支付。由于缺少基本的内部控制,从而给雇员的欺诈打开了方便之门。 <2> 通过建立合适的内部控制机制,从而使进行欺诈或掩盖欺诈的机会被消除。通过题干的描述,公司需要尽快建立这些内部控制机制:①职责分离。②授权系统。③独立检查。④合适的记录。建立这样的控制机制,就不会有一个部门或个人,从开始到结束,全面地操纵一笔交易。在记录交易和银行对账时,一个人只履行一项功能。同样,迈克不应该同时拥有授权购买、接收存货和给生产发放原材料的职能。另外,公司也应该分离准备支票、签写支票和批准支付的责任。汤姆应该授权采购和批准支付。他也可以考虑再雇佣一个人从而把保留记录和银行对账的职责分离开。另外,公司必须建立更好的雇佣政策,例如要求员工休假、进行内部审计和对雇员的表现进行监察。
<3> 即使最好的内部控制也无法确保欺诈能被彻底消除。内部控制只是为防止欺诈提供了合理的但不是绝对的保证。内部控制不是欺诈的屏障,也不能绝对阻止欺诈的发生。内部控制的有效性要依赖于执行内部控制的人员的能力和可靠性。 2、
<1> A.管理层负有保护公司全部资产安全的责任。管理层需要建立、维护、评估内部控制系统的有效性。 B.审计委员会的主要责任是协助公司董事会完成其监管职责,具体包括在会计政 策、内部控制、会计实务领域。 C.外部审计师负责检查公司的控制结构,具体包括控制环境、会计系统和控制程 序,最终评估财务报表鉴证业务的控制风险。另外,外部审计师需要将检查中发现的公司内部控制系统的任何重大缺陷报告公司。
D.内部审计部门负责经营审计和财务审计的工作,保证建立合适的控制政策和控 制程序,并且将发现的问题及时报告审计主管或审计委员会。内部审计部门也应协助外部审计师的检查工作。
<2> 微动态公司审计委员会在财务报告编制过程中的职责包括:①确认公司控制系 统的有效性和效率性,识别各种风险,以及确保财务报表正确地反映了公司的资产负债 状况、经营状况和现金流的状况。②检查内部审计部门和外部审计师发现的问题。③作 为审计师和董事会的沟通渠道。
<3> A.审计委员会至少包含3名外部独立董事。审计委员会最大的规模没有限制,但是一般为3至5名成员。成员任期由董事会确定,保证委员会成员的连续性和流动性。
B.审计委员会由董事会选举产生,其主要责任是协助公司董事会完成其监管职责,具体包括在会计政策、内部控制、会计实务领域。审计委员会检查公司管理层、外部审计师和内部审计部门保证财务报表信息可靠性方面的工作。审计委员会有责任选择外部审计师,协助解决审计工作中发生的问题,讨论管理层和外部审计师发现的问题。
<4> 内部审计的主要3个方面:①财务审计:确保公司的财务报告公正地反映公司的运营状况和财务状况,受众是董事会和高级管理层。财务审计的指导方针应该具有前瞻性,审计人员应该评估内部控制的充分性,进行若干实质性测试。②运营审计:是非财务审计,与运营的效率和效果有关。③合规性审计:确定公司遵守现行法律和法规以及专业和行业标准,第一步是确定管理层是否有识别现行政策、程序、标准以及法规的系统,第二步是控制措施是否得到应用和执行。
COSO内部控制框架的5个方面:①控制环境:它包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提 供的关注和方向。控制环境影响员工的管理意识,是其他部分的基础。②风险评估:是确认和分析实现目标过程中的相关风险,是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化,需建立一套机制来辨认和处理相应的风险。③控制活动:是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。④信息和交流:信息系统产生各种报告,包括经营、财务、守规等方面,使得对经营的控制成为可能。处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。⑤监控:监控在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层和董事会。
<5> 职责分离是预防性控制措施的一种,目的是为了防止错误的出现。四种职责必须分离:①授权执行交易。②记录交易。③资产的保管。④定期对账。
<6> ①预防性控制措施,目的是为了防止错误的出现,具体包括职责分离、监督审查、双重控制、编辑和准确度检查、合理性检查、完整性检查。②检测性控制措施,事后检查所发生的错误,对预防性措施提供补充。③固有风险是指财务报表受重大虚假陈述影响的程度。④控制风险是指内部控制没有预防或发现的风险。
<7> ①设备和硬件控制,包括控制非授权进入、对自然灾害和其他灾害进行保护、对进入数据中心控制、保护计算机设备免遭电压突变影响、硬件设备能应对数据峰值处理等方面。②网络控制是为了经过授权的员工可以访问和改变存储在中央计算机中的数据,防止未经授权的人员使用这些数据。③数据加密和传输是指将数据从一种易于以当地语言读取的形式转化为只能使用密钥读取的代码,这样可以减少未经授权人员的使用。④路由验证程序和信息确认程序可以降低数据被截取或数据阐述错误。⑤病毒防护软件检查计算机中的每个文件以明确系统是否有病毒,如果发件就会清除。⑥防火墙是软件和硬件的结合,限制对公司计算机网络的访问。⑦入侵侦测系统可以分析网络中的反常或者未经授权的行为,并加以警告。