内部控制评审（二）课件

第12章内部控制评审（二）课件使用厦门大学陈汉文教授《审计理论》，网络下载。第12章内部控制评审（二）课件使用厦门大学陈汉文教授《审计内部控制审计第二节内部控制评价第一节目录内部控制的评价要求内部控制的评价方法内部控制审计的历史演进内部控制审计的概念框架内部控制审计第二节内部控制评价第一节目录内部控制的评价要学习目的与要求对上市公司内部控制进行评价与审计是一种最新的国际发展趋势。通过本章的学习，应熟练了解美国、英国和中国等国家上市公司内部控制的评价与报告体系、评价依据与评价方法等；应熟练掌握内部控制评价中的详细评价法和风险基础评价法，并能识别其区别与联系；在此基础上，本章还要求学生了解内部控制审计的历史演进过程及其原因，熟悉美国PCAOB的财务呈报内部控制审计准则和内部控制审计的概念框架。学习目的与要求对上市公司内部控制进行评价与审计综述

我国目前正在建立财务呈报内部控制为主的内部控制标准体系，内部控制的评审也将成为一种必然趋势。为此，本章将介绍公司管理层对内部控制的评价，阐述审计师对内部控制的审计。《萨班斯—奥克斯利法案》以及内部控制评审的相关规则与指引的出台安然、世通等财务舞弊与审计合谋案件层出不穷上市公司内部控制的评审体系公司管理层对财务呈报内部控制有效性进行评价，对内向审计委员会报告、对外发布公开报告。审计师对财务呈报内部控制进行审计，对公司财务呈报内部控制的有效性发表审计意见。综述我国目前正在建立财务呈报内部控制一二内部控制的评价要求内部控制的评价方法第一节审计需求的代理理论一二内部控制的评价要求内部控制的评价方法第一节审计需求的概述企业内部控制的评价与报告主要涉及企业内部控制评价与报告的要求以及评价的方法等内容。从国际发展的视角来看，美国和英国等主流市场经济国家的证券监管部门都针对上市公司内部控制的评价与报告制定了相应的规则，提出了明确的要求，并制定了内部控制评价的指引。概述企业内部控制的评价与报告主要涉及企业内部一、内部控制的评价要求——美国Sarbanes-Oxley法案为上市公司规定了一个内部控制的评价和报告体系，以提高内部控制的有效性，加强内部控制信息的透明度。302节“公司对财务报告的责任”404节“管理层对内部控制的评价”要求上市公司管理层对财务呈报内部控制的有效性进行评价，对内向审计委员会报告、对外发布公开报告；并要求聘请审计师对财务呈报内部控制进行审计。一、内部控制的评价要求——美国Sarbanes-Oxley法美国上市公司内部控制评价与报告体系（图）美国上市公司内部控制评价与报告体系（图）1．评价依据

SEC2003年6月发布的“最终规则：管理层对财务呈报内部控制的报告和交易法案定期报告中披露的确认”（FinalRule:

Management’sReportsonInternalControlOverFinancialReportingandCertificationofDisclosureinExchangeActPeriodicReports）要求，管理层对公司财务呈报内部控制有效性的评价必须依据一个适当的、公认的控制框架。没有偏见允许适当一致的定性和定量衡量公司的内部控制充分完整，没有忽略那些会改变公司内部控制有效性结论的相关要素与评价财务呈报内部控制相关COSO框架并不唯一1．评价依据SEC2003年6月发布的“最终SEC也要求管理层的报告必须包含对管理层在评价过程中确定的公司财务呈报内部控制中所有重要弱点的披露。1．评价依据对于公司财务呈报内部控制有效性的评价，SEC没有提出管理层可以据以断定公司财务呈报内部控制有效的具体标准，但是，SEC设定了一个管理层断定公司财务呈报内部控制有效的限度（threshold）。如果管理层识别出公司财务呈报内部控制中的一个或多个重大漏洞（materialweakness），管理层就不能确定公司的财务呈报内部控制是有效的。SEC也要求管理层的报告必须包含对管理层在评价过程中确定的公2．评价方法对公司财务呈报内部控制的评估必须根据足以既能评价内部控制的设计又能测试内部控制运行有效性的程序进行。与非常规和非系统交易的动议和处理相关的控制2与适当会计政策的选择和应用相关的控制3与防止、识别和发现舞弊相关的控制4对发起交易、记录、处理和调节账户余额、交易分类和披露以及财务报表中包含的相关认定的控制1需要评估的控制：（包括但不限于）2．评价方法对公司财务呈报内部控制的评估必须根据2．评价方法证据为管理层对财务呈报内部控制有效性的评价结论提供合理的支持。对内部控制是否用来防止或发现重要错报或遗漏的评价对测试进行了适当的规划和实施测试的结果得到了适当考虑2．评价方法证据为管理层对财务呈报内部控制有效性的评价结论提

SEC2003年6月发布的“最终规则：管理层对财务呈报内部控制的报告和交易法案定期报告中披露的确认”的要求，每一个美国或非美国证券发行人的管理层要在发行人首席执行官和首席财务官（或履行类似职能的人）的参与下，评价发行人每一财务年度末财务呈报内部控制的有效性。此外，还要求公司的年度报告要包括管理层的一个内部控制报告。3．评价报告陈述管理层为公司建立和维持充分的财务呈报内部控制的责任。1一项陈述，确定管理层对公司财务呈报内部控制的有效性执行要求的评价时所采用的框架。2管理层对公司的财务呈报内部控制在最近财务年度的有效性的评估，包括一项有关公司的财务呈报内部控制是否有效的陈述。3一项陈述，说明审计财务报表（包括在年度报告中）的已登记公共会计公司已经就管理层对财务呈报内部控制的评价出具了鉴证报告。4SEC2003年6月发布的“最终规则：管理层对3．评价报告根据SOX法案以及SEC的相关规则，公司管理层不但要定期对外报出财务呈报内部控制的报告，而且还要向公司的审计委员会报告内部控制的以下相关情况：内部控制的设计或运行中，对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷，并向公司的审计师指出内部控制的重大缺陷。在内部控制中担任重要职位的人员或其他雇员的欺诈行为，不论行为的影响是否重大。3．评价报告根据SOX法案以及SEC的相关规一、内部控制的评价要求——英国Cadbury委员会在其发布的名为《内部控制和财务报告》的报告中要求英国各公司的董事会公布一份有关其内部财务控制制度的声明，这份声明必须至少包括以下内容：承认董事会对内部财务控制负责；为内部控制制度对重大的错报或遗漏的事项仅提供合理保证而非绝对保证做出解释；描述董事会为了确保有效的内部财务控制已经建立的关键程序；证实董事会已经审核过内部财务控制制度的有效性。1994年鼓励但不要求董事会对内部财务控制制度的有效性发表意见。一、内部控制的评价要求——英国Cadbury委员会在其发布的一、内部控制的评价要求——英国当前根据英国当前的公司法、2003年的《联合规则》以及2005年10月发布的Turnbull指南等相关法律法规，英国公司内部控制评价与报告的体系主要包括以下内容：审查内部控制有效性的责任董事会责任的重要组成部分审查内部控制有效性的过程董事会对内部控制的声明

有意义的、高级（high-level）的信息对帮助股东理解公司的风险管理过程和内部控制系统的主要特征来说是必要的不应当给出令人误解的印象一、内部控制的评价要求——英国当前根据英国当前的公司法、20一、内部控制的评价要求——中国1．评价与报告的责任主体董事会（主）管理层（辅）内部控制的内容和范围越来越宽泛在我国的企业当中尚没有建立起有效的公司治理，董事会的独立性不强，董事会的职责与管理层的职责往往难以清晰的界定。一、内部控制的评价要求——中国1．评价与报告的责任主体董事会一、内部控制的评价要求——中国2．报告的类型对外的年度内部控制报告对内的内部控制报告随年度财务报告一起对外报出，向资本市场及相关部门呈报。对监事会、股东大会定期报告企业内部控制的运行情况。一、内部控制的评价要求——中国2．报告的类型对外的年度内部控一、内部控制的评价要求——中国对外的年度内部控制报告对内的内部控制报告3．评价和报告的范围财务呈报内部控制涵盖包括合规、报告、经营和战略目标在内的完整的内部控制一、内部控制的评价要求——中国对外的年度内部控制报告对内的内一、内部控制的评价要求——中国4．报告的内容对外的年度内部控制报告对内的内部控制报告董事会、管理层要在报告中就其有效性形成结论，清晰说明财务呈报内部控制是否有效。董事会、管理层要对内部控制的设计和运行情况进行评价和说明，报告内部控制存在的问题以及采取的纠正措施。注册会计师对财务呈报内部控制的审计报告注册会计师要就被审计单位是否在所有重大方面保持了有效的财务呈报内部控制发表意见。一、内部控制的评价要求——中国4．报告的内容对外的年度内部控我国企业内部控制评价与报告体系（图）我国企业内部控制评价与报告体系（图）二、内部控制的评价方法（一）美国SEC的解释指南根据指南要求，企业管理层采用自上而下、风险基础的方法评价财务呈报内部控制的过程主要包括三个步骤：识别财务报告风险和控制评价财务呈报内部控制运行有效性的证据评价控制缺陷与报告二、内部控制的评价方法（一）美国SEC的解释指南1．识别财务报告风险和控制（1）识别财务报告风险评价公认会计原则的规定是如何应用于公司的业务、经营和交易管理层应用其常识和对企业、企业的组织、经营和流程的了解考虑财务报告要素错报的来源和潜在可能性识别那些对财务报表造成重要错报的来源同时也应当考虑主体对欺诈活动（比如虚假财务报告、资产滥用和贪污）的脆弱性以及那些风险是否能够导致财务报表的重要错报。1．识别财务报告风险和控制（1）识别财务报告风险评价公认会计1．识别财务报告风险和控制（2）识别充分应对财务报告风险的控制控制一项单独的控制是否充分应对了一项财务报告风险如果财务报表发生重要错报的相关财务报告要素中的错报相当可能没有被及时阻止或发现控制不充分如果管理层确定，其控制没有适当设计，一项缺陷存在，必须对其进行评价以确定它是否是一个实质性漏洞。一个控制的组合控制控制控制1．识别财务报告风险和控制（2）识别充分应对财务报告风险的控1．识别财务报告风险和控制（3）对企业层面控制的考虑管理层在识别和评价财务报告风险和某一财务报告要素的相关控制时要考虑企业层面控制的性质以及它们如何与财务报告要素相联系。企业层面控制一些企业层面的控制是设计在流程、交易或应用层面运行的，并且可以充分的及时防止或发现能够导致财务报表发生重要错报的一个或多个财务报告要素的错报。一个企业层面的控制可以用来识别较低层次控制的可能故障，但自身并不能充分应对能够导致财务报表重要错报的财务报告要素的错报没有被及时防止或发现的风险。控制财务报表要素关系越间接，它防止或发现错报的有效性就越低。1．识别财务报告风险和控制（3）对企业层面控制的考虑1．识别财务报告风险和控制（4）总体信息技术控制的作用控制自动依赖于信息技术管理层的评价过程通常要考虑的控制自动控制总体IT控制IT依赖型控制1．识别财务报告风险和控制（4）总体信息技术控制的作用控制自1．识别财务报告风险和控制（4）总体信息技术控制的作用总体IT控制公司的实际情况和环境不同而存在差异通常情况下，管理层应当考虑与程序开发有关的总体IT控制目标、程序改变、计算机运行和对程序和数据的接触是否适用于其实际情况和环境以及适用程度如何。1．识别财务报告风险和控制（4）总体信息技术控制的作用总体I1．识别财务报告风险和控制（5）支持评估的证明材料记录管理层付诸实施的用来充分应对财务报告风险的控制的设计支持评估文档记录的形式文档记录的内容取决于公司的规模、性质和复杂程度多种方式出现（比如，政策手册、过程模型、流程图、工作描述、单证、内部备忘录、表格等）多种形式（比如，纸质文档、电子或其他媒介）不必包括影响财务报告的流程中存在的所有控制。集中在管理层断定会充分应对财务报告风险的那些控制上。1．识别财务报告风险和控制（5）支持评估的证明材料记录管理层2．评价财务呈报内部控制运行有效性的证据（1）确定支持评估所需要的证据高中等低中等高控制失败的风险财务报告要素的错报风险较少证据较多证据支持评估所需证据的多少主要取决于与控制相关的财务报告要素的特征的影响和控制自身特征的影响，即对财务呈报内部控制风险的评估。2．评价财务呈报内部控制运行有效性的证据（1）确定支持评估所2．评价财务呈报内部控制运行有效性的证据（1）确定支持评估所需要的证据财务报告要素的特征管理层需要考虑的因素：财务报告要素的重要性主要会计余额、交易或其他支持信息对重要错报的敏感性控制没有有效运行的可能性控制的类型、复杂性管理层越过的风险运行该项控制所需要的判断该项控制预计要防止或发现的错报的性质和重要性该项控制对其他控制有效性的依赖程度2．评价财务呈报内部控制运行有效性的证据（1）确定支持评估所2．评价财务呈报内部控制运行有效性的证据（2）实施程序，评价财务呈报内部控制运行的证据管理层评价的程序专门为财务呈报内部控制评价而实施与员工的日常职责结合在一起管理层评价的证据其他原因而实施的活动持续监督直接控制测试评估风险的大小影响管理层所获取证据的性质2．评价财务呈报内部控制运行有效性的证据（2）实施程序，评价2．评价财务呈报内部控制运行有效性的证据（3）支持该评估的证据基础控制的风险的评估水平其他情况管理层评估的依据证据的性质支持性证明材料控制的复杂程度运行该项控制所需判断的程度可能导致财务报表重要错报的财务报告要素错报的风险……因素增加证明材料单独保存不必单独保存其所评价证据的备份2．评价财务呈报内部控制运行有效性的证据（3）支持该评估的证2．评价财务呈报内部控制运行有效性的证据（4）多场所的考虑充分应对财务报告风险评价方法与单个场所或业务单元的企业相同低风险高风险通过自我评估的日常程序或其他持续监督活动，如果结合通过监督单个场所运行结果的集中控制获得的证据，就为其评价构成了充分的证据。需要更多关于控制在场所运行有效的证据。2．评价财务呈报内部控制运行有效性的证据（4）多场所的考虑充一二三信号传递观信息系统观审计需求信息理论的经验检验第二节审计需求的信息理论一二三信号传递观信息系统观审计需求信息理论的经验检验第二节3．评价控制缺陷与报告（1）控制缺陷的评价缺陷缺陷缺陷缺陷缺陷or实质性漏洞定性因素定量因素错报概率潜在错报的影响大小……补偿性控制的影响3．评价控制缺陷与报告（1）控制缺陷的评价缺陷缺陷缺陷缺陷缺3．评价控制缺陷与报告（2）评价结论与报告

若不能评估某一特定流程的控制，必须确定，这一情况是否重要到要在其报告中得出财务呈报内部控制无效的结论。清晰的表述其对财务呈报内部控制有效性的评估结果实质性漏洞的性质它对财务报告和控制环境的影响管理层当前纠正该缺陷的计划报告还需披露以下内容：3．评价控制缺陷与报告（2）评价结论与报告（二）加拿大CICA的风险基础评价方法首先要求上市公司的CEO和CFO对财务呈报内部控制的设计进行评估和确证（certification）。2006年2007年要求对整个财务呈报内部控制的有效性进行评价和确证。加拿大特许会计师协会（TheCanadianInstituteofCharteredAccountants，CICA）在对财务呈报内部控制的设计进行评价时明确要求采用自上而下、风险基础的方法。（二）加拿大CICA的风险基础评价方法首先要求上1．总体要求

管理层应当开发一种方法，通过这种方法使得评价过程和步骤的性质、范围和时间建立在主要的财务报告和披露风险上，并确保管理层对财务呈报内部控制的设计得出可靠的结论。要考虑的因素主要包括：CEO应当在这个过程中扮演积极的角色，并要被看到。2管理层应当开发和记录他们的评估方法，它应包括一定水平的测试。3CEO和CFO应当告知审计委员会他们的评价方法和程序，并征求他们的意见。5这种评价应当是自上而下和风险基础的，以确保集中关注重要的财务报告和披露风险和问题。1评价过程不应当是一个孤立的程序，它应当与管理层的持续控制监控活动相结合，并预见管理层评价和确证财务呈报内部控制有效性的未来需求。41．总体要求管理层应当开发一种方法，通过这种方法1．总体要求使用一个控制框架1预防型控制和侦测型控制的均衡2CEO和CFO在规划评价方法时还要考虑的其他问题包括：COCO框架COSO框架《财务呈报内部控制－较小公共公司指南》Turnbull指南COBIT框架企业层面的控制和流程层面的控制3与子确证流程协同一致41．总体要求使用一个控制框架1预防型控制和侦测型控制的均衡22．评价思路三个阶段七个步骤2．评价思路三个阶段（三）普华的内部控制评价方法1．十二个步骤1、评估重要错报风险2、识别公司层面的控制3、识别相关财务报表认定4、识别重大流程5、确定应当包括在评价范围内的场所或业务单元6、记录控制的设计7、确定应当测试的控制8、评价控制的设计有效性9、测试和记录控制的运行有效性10、评价内部控制缺陷，并对总体有效性形成结论11、向审计委员会和审计师通报发现的问题12、记录评估内部控制的过程（三）普华的内部控制评价方法1．十二个步骤1、评估重要错报风2．七个阶段（1）项目启动项目监督项目管理项目启动项目监督是指内部控制的评价需要广泛的、高层的监督，建立良好的管理框架。确定该项目各方以及涉及的每个部门和职能的责任有助于使这个项目成功。项目管理是指对项目进行强有力的实施，这主要取决于严格的项目管理。项目管理的关键是建立追踪和合并内部控制变动的基础设施和方法，以确保管理层记录和测试的控制代表那些实际的控制。2．七个阶段（1）项目启动项目监督项目管理项目启动项目监督是2．七个阶段（2）确定评价范围和计划2．七个阶段（2）确定评价范围和计划2．七个阶段（3）评价服务组织的内部控制使用服务组织了吗？外包的活动、流程和职能对财务报告内部控制来说重大吗？针对外包的流程存在SAS70报告吗？是第二种类型的SAS70报告吗？SAS70报告充分应对了外包流程相关信息处理目标的内部控制吗？SAS70报告期间至少包括6个月的活动，并且表明的日期在财务年度末6个月之内吗？不需要采取进一步行动管理层能够要求适当范围和时间的第二种类型的SAS70报告吗？是是是是是否否否是（续下图）管理层已经评价和测试了报告中包括的使用者控制的运行有效性，并确定实施了适当的内部控制以支持服务组织的活动吗？2．七个阶段（3）评价服务组织的内部控制使用服务组织了吗？外2．七个阶段（3）评价服务组织的内部控制SAS70报告期间至少包括6个月的活动，并且表明的日期在财务年度末6个月之内吗？是是（续上图）意见是无保留的吗？管理层已经评价了报告中包括的每一个控制缺陷并断定对内部控制支持相关信息处理目标的能力没有影响吗？是管理层已经评价和测试了报告中包括的使用者控制的运行有效性，并确定实施了适当的内部控制以支持服务组织的活动吗？管理层能够要求适当范围和时间的第二种类型的SAS70报告吗？管理层应当实施替代程序（如测试使用者控制，测试服务组织的控制，或要求服务组织的审计师实施商定程序），以应对服务组织支持相关信息处理目标而实施的内部控制。管理层应当就其信赖服务组织控制的能力得出结论。否否是2．七个阶段（3）评价服务组织的内部控制SAS70报告期间至2．七个阶段（4）记录相关记录是管理层评价财务呈报内部控制的依据和证据。为了履行职责，管理层在记录内部控制时应当实施四个步骤：确定记录的范围记录相关流程记录相关控制评估控制的设计2．七个阶段（4）记录相关记录是管理层评价财务呈报内部控制的2．七个阶段（5）测试以确定内部控制的运行有效性测试相关的控制，这些控制必须包括每个单独重要场所的所有重大账户和披露的所有认定的每一个内部控制要素以及其他场所的特别风险领域。公司必须测试证据以支持管理层对财务呈报内部控制的评估。识别要测试的控制确定将要实施测试的人制定和实施测试计划评价测试结果工作步骤2．七个阶段（5）测试以确定内部控制的运行有效性2．七个阶段（6）内部控制缺陷的评价与报告按重要性划分内部控制缺陷重大缺陷（significantdeficiency）实质性漏洞（materialweakness）识别缺陷了解和评估缺陷评估错报的可能性评估潜在的错报大小识别弥补型控制确定缺陷的类别评估缺陷的组合内部控制缺陷的识别、评估和分类程序7步骤2．七个阶段（6）内部控制缺陷的评价与报告按重要性划分内部控2．七个阶段（7）沟通管理层必须将其发现的所有显著缺陷和实质性漏洞告知审计委员会和外部审计师。2．七个阶段（7）沟通管理层必须将其发现的所有显一二内部控制审计的历史演进内部控制审计的概念框架第二节

内部控制审计一二内部控制审计的历史演进内部控制审计的概念框架第二节内部一、内部控制审计的历史演进（一）麦克森·罗宾斯公司破产事件1938年债权人米利安·汤普森·罗宾斯药材公司经济往来的过程中麦克森·罗宾斯公司发现麦克森·罗宾斯公司的原料部门的现金积累和存货金额存在严重的问题。一、内部控制审计的历史演进（一）麦克森·罗宾斯公司破产事件1（一）麦克森·罗宾斯公司破产事件SEC立案调查表象十余年来的财务报表是由PWC执行审计的，并一直对公司的财务状况和经营成果发表了“正确、适当”的审计意见实际1937年12月31日的合并资产负债表的总资产8700万美元之中，有1907.5万美元是虚构资产；1937年的合并损益表上虚假的销售收入和毛利分别达到1820万美元和180万美元。菲利普·科斯特是一位使用化名爬上公司领导岗位的有犯罪前科的诈骗犯，与他同谋的三位兄弟也使用化名，并在公司窃据重要地位。正是他们合伙舞弊，利用公司内部控制的薄弱，从公司贪污了巨款，使股东和债权人蒙受损失。（一）麦克森·罗宾斯公司破产事件SEC立案调查表象十余年来的（一）麦克森·罗宾斯公司破产事件影响该破产案件的披露，给社会和民间审计职业带来了很大的震动，暴露了审计程序与内部控制的严重缺陷，审计职业的社会声誉受到巨大冲击，引发了社会公众对独立审计职业的热烈讨论以及SEC的严重关注。SEC认识到审计程序和内部控制存在严重缺陷，通过它们无法发现管理当局合谋舞弊行为，所以试图通过修订有关审计的各项规则来强化监督权。美国会计师协会和美国注册会计师协会也就该事件纷纷作出积极的反应，分别制定了相关的文件、补充规定、专题报告以及九项公认审计准则。人们在重视内部控制的同时，也开始关注内部控制审计……（一）麦克森·罗宾斯公司破产事件影响该破产案件的（二）《反国外行贿法案》及相关公告20世纪70年代以前重视内部控制的主要是公司管理当局自身1973年至1976年美国“水门事件”立法机关和行政机关开始注意到内部控制问题。调查显示，过去不少美国大公司进行了非法的国外捐款、可疑的或违法的国外支付。1977年12月19日美国国会正式批准并通过了《反国外行贿法案》（ForeignCorruptPracticesAct，简称FCPA），该法案除了规定禁止各种形式的行贿或具有行贿可疑的行为外，法案还要求在证券交易委员会管辖下的每一家公司必须拥有持续的内部会计控制，以合理保证所有交易事项都得到公司管理当局的授权和认可。（二）《反国外行贿法案》及相关公告20世纪70年代以前重视内（二）《反国外行贿法案》及相关公告该法有关内部会计控制的部分内容：建立和保持账簿、记录和账户，它们应该充分、详细、正确和公允地反映公司（指上市公司）的各类交易业务和资产的处理；设计和保持充分的内部会计控制制度，并保证依据公司管理当局的一般授权或特殊授权处理各种交易业务；交易业务的记录必须遵守一般公认会计原则，或其他使用于财务报表编制的标准，维护对资产的经管责任，只有经过公司管理当局的一般授权或特殊授权才能接触资产；对管理资产的责任记录应当在适当的时间间隔内同实有资产进行比较，校对有关差异采取适当的纠正行动。（二）《反国外行贿法案》及相关公告该法有关内部会计控制的部分（二）《反国外行贿法案》及相关公告1978年2月16日美国证券交易委员会发表了证券交易法第14478号公告，题为“颁布1977年反国外行贿法的通知”。由于《反国外行贿法案》签署生效，对受新法要求的发行者，要审查其会计程序、内部会计控制制度和营业惯例，以促使他们采取符合法律要求的必要措施。（二）《反国外行贿法案》及相关公告1978年2月16日美国证（二）《反国外行贿法案》及相关公告影响

FCPA的颁布使得管理当局的内部控制这一特权被剥夺，建立适当有效的内部控制成为上市股份公司遵守法律规范的必要行动。同时，检查和评价客户的内部会计控制也成为外部审计人员进行年度受托财务报表审计不可缺少的内容，这也督促美国的公司致力于建立健全内部控制，并对其进行审计，以赢得较好的社会声誉。（二）《反国外行贿法案》及相关公告影响FCPA的颁布使（三）COSO报告及SAS781985年美国注册会计师协会(AICPA)美国会计学会(AAA)内部审计师协会(IAA)财务经理协会(FEA)全国会计师协会(NAA)反舞弊财务报告委员会（NationalCommissionOnFraudulentFinancialReporting，亦称TreadwayCommission）研究舞弊性财务报告产生的原因及其相关领域（包括内部控制不健全的问题）。（三）COSO报告及SAS781985年美国注册会计师协会(（三）COSO报告及SAS781987年Treadway委员会建议COSO委员会（TheCommitteeofSponsoringOrganization)1992年9月《内部控制—整体框架》（InternalControl-IntegratedFramework）专题报告，简称COSO报告内部控制发展史上的一个里程碑！（三）COSO报告及SAS781987年Treadway建（三）COSO报告及SAS781996年AICPA发布《审计准则公告第78号》（SAS78）（SAS55）取代内部控制是由公司董事会、经理阶层和其他员工实施的，为财务报告的可靠性、经营的效果和效率、相关法令的遵循性等目标的达成提供合理保证的过程，其构成要素应来源于管理阶层经营公司的方式，并与公司管理的过程相结合。（三）COSO报告及SAS781996年AICPA发布《审计（三）COSO报告及SAS78COSO报告第一次全面论述了公司的内部控制，将人们关注的焦点牵引到内部控制问题上来。《审计准则公告第78号》是对内部控制的进一步肯定和细化，提出风险控制的意识，进一步促进了内部控制审计的发展。（三）COSO报告及SAS78COSO报告第一次全面论述了公（四）《萨班斯－奥克斯利法案》及其404条款2007年《萨班斯－奥克斯利法案》标志着上市公司的内部控制信息开始纳入强制性信息披露范围首次提出对“财务呈报内部控制”的有效性进行审计该法案要求，根据1934年证券交易法中13(a)或15(d)款要求递交年报的公众公司管理当局应当对公司内部控制的有效性进行披露报告，独立审计人员必须对管理当局的这份评估报告进行审计。（四）《萨班斯－奥克斯利法案》及其404条款2007年《萨班（四）《萨班斯－奥克斯利法案》及其404条款实践层面SEC通过制定规则来具体执行萨班斯利法案404条款，这些规则为CEO和CFO对公司财务呈报内部控制（entity’sinternalcontroloverfinancialreporting）和披露控制（disclosurecontrol）的报告提供了指南；PCAOB通过为独立审计人员制定审计准则，直接影响独立审计人员该类审计合约的计划与实施；COSO委员会制定内部控制标准框架，作为管理当局和独立审计人员进行内部控制评价的基础。（四）《萨班斯－奥克斯利法案》及其404条款实践层面SEC通（四）《萨班斯－奥克斯利法案》及其404条款萨班斯法案404条款的规定引起了法律界和职业界的广泛关注，SEC和AICPA也分别提出了自己的最终规则（FinalRule）和征求意见稿。针对上述最终规则和征求意见稿，各会计师事务所也积极行动，典型的有McGladrey&Pullen和KPMG等会计师事务所制定了财务呈报内部控制评价的操作指引，对财务呈报内部控制有效性评价提出了具体的操作建议。（四）《萨班斯－奥克斯利法案》及其404条款萨班（四）《萨班斯－奥克斯利法案》及其404条款1.SEC的最终规则（2003年8月）

SEC的最终规则对管理当局如何披露公司财务呈报内部控制提出了具体的要求，规定上市投资公司之外的公司在年报中应提供一份管理当局对公司财务呈报内部控制评估的报告，并要求该内部控制报告必须包括：管理当局签署由其负责建立和维护充分的公司财务呈报内部控制的声明；公司在最近财年末对财务呈报内部控制的有效性进行评估；说明管理当局进行公司财务呈报内部控制有效性评估遵循的框架标准；提供负责该公司财务报表审计的独立审计人员事务所的审计人员对公司管理当局财务呈报内部控制有效性的评估报告发表的独立审计报告。（四）《萨班斯－奥克斯利法案》及其404条款1.SEC的最终（四）《萨班斯－奥克斯利法案》及其404条款1.SEC的最终规则（2003年8月）财务呈报内部控制是一个过程，由公司的CEO、CFO或者行使类似职权的人员设计或监控，受公司的董事会、管理当局和其他人员所影响，为财务呈报的可靠性和财务报表（供外部使用的）的编制符合公认会计原则提供合理的保证。保持详细合理的会计记录，准确公允地反映公司资产的交易和处置情况；1为下列事项提供合理的保证：公司对发生的交易进行必要的纪录，从而使财务报表的编制满足公认会计原则的要求；公司所有的收支活动均得到管理当局和董事的合理授权；2为下列事项提供合理保证，即防止或及时发现公司的资产未经授权地取得、使用和处置。3具体包括以下控制政策和程序：（四）《萨班斯－奥克斯利法案》及其404条款1.SEC的最终（四）《萨班斯－奥克斯利法案》及其404条款1.SEC的最终规则（2003年8月）“财务报告可靠性”目标“遵循相关法律法规”目标（仅保留了诸如证券交易委员会财务报告要求这类与财务报表编制直接相关的法律法规）“财务报告可靠性”目标“经营活动的效率和效果”目标“遵循相关法律法规”目标内部控制COSO报告SEC的最终规则（四）《萨班斯－奥克斯利法案》及其404条款1.SEC的最终（四）《萨班斯－奥克斯利法案》及其404条款2.AICPA的征求意见稿（2003年3月18日）主要内容包括：（1）对一些审计准则公报（SASs）和鉴证事务准则公报（SSAE）进行了修订，使之在财务呈报内部控制有效性审计中更好地发挥作用。（2）作为一项完整的活动，公众公司（publiccompany）审计包括财务报表审计和财务呈报内部控制审计两个部分。（3）独立审计人员需要对审计工作进行计划，对公司的内部控制进行了解，对其设计有效性和执行有效性进行评价，进而发表独立审计意见。（4）对内部控制缺陷进行了定义。（5）对财务呈报内部控制评价发表无保留审计报告的限制条件做了规定。（四）《萨班斯－奥克斯利法案》及其404条款2.AICPA的（四）《萨班斯－奥克斯利法案》及其404条款3.KPMG的报告（1）明确了审计人员对财务呈报内部控制有效性审计程序的构成要素。——要求审计人员对财务呈报内部控制每个层面的重要控制的设计和执行有效性、每个重要会计账户、交易类别、披露和相关认定进行评价。根据他人的工作来改变亲自执行测试的性质、时间和范围，但这要求审计人员重复他人的一部分测试工作，并对每个重要账户、交易类别、披露和相关认定的控制执行独立性测试。√不能将其他人员（如内审人员）的评估结果作为对重要账户余额、交易类别和披露的控制执行有效性的审计证据。（四）《萨班斯－奥克斯利法案》及其404条款3.KPMG的关注点不同（四）《萨班斯－奥克斯利法案》及其404条款3.KPMG的报告（1）界定了财务呈报内部控制有效性审计与财务报表审计的关系。目标不同财务报表审计的目的是对财务报表是否在所有重大方面遵循了公认会计原则而发表审计意见。财务呈报内部控制审计的目标是对公司是否在所有重大方面建立健全了财务报告的有效内部控制发表意见。财务报表审计联系财务呈报内部控制审计都需要对财务呈报内部控制的设计和执行有效性进行评价关注点不同（四）《萨班斯－奥克斯利法案》及其404条款3.（五）PCAOB的财务呈报内部控制审计准则1.第2号审计准则（2004年3月9日）PCAOB发布第2号审计准则：《与财务报表审计相关的财务呈报内部控制的审计》（AuditingStandardNo.2-AnAuditofInternalControlOverFinancialReportingPerformedinConjunctionwithAnAuditofFinancialStatements,简称AS.2）对内部控制的审计涉及以下内容：评价管理当局就公司财务呈报内部控制有效性评估的过程；评价财务呈报内部控制设计和执行的有效性；形成对财务呈报内部控制是否有效的审计意见。（五）PCAOB的财务呈报内部控制审计准则1.第2号审计准则（五）PCAOB的财务呈报内部控制审计准则ASNo.2框架准则应用财务呈报内部控制审计的目标财务呈报内部控制相关定义管理层评估框架COSO框架财务呈报内部控制的固有局限合理保证的概念财务呈报内部控制审计中的管理当局的责任财务呈报内部控制审计重要性分析财务呈报内部控制审计舞弊分析财务呈报内部控制审计的实施适用的一般准则、外勤工作准则、报告准则制定审计计划评估管理层评价过程了解财务呈报内部控制测试和评估设计的有效性测试和评估运行的有效性使用他人工作成果形成审计意见(续下表)（五）PCAOB的财务呈报内部控制审计准则ASNo.2框架（五）PCAOB的财务呈报内部控制审计准则ASNo.2框架管理当局的书面声明财务呈报内部控制审计和财务报表审计的关系财务报告内部控制审计中的控制测试财务报表审计中的控制测试控制测试对实质性程序的影响实质性程序对审计师关于内部控制运行有效性结论的影响证据要求财务呈报内部控制审计报告管理层报告审计师对管理层报告的评价审计师对管理层的财务呈报内部控制评价报告的评估审计师评价管理当局财务呈报内部控制披露认定的审计责任应有的管理层声明审计师评价责任财务呈报内部控制审计的沟通要求有效期(续上表)（五）PCAOB的财务呈报内部控制审计准则ASNo.2框架（五）PCAOB的财务呈报内部控制审计准则在实施AS.2过程中，两大特点日益显现：（1）财务呈报内部控制审计产生了重大的收益。（2）这些收益也带来了重大的成本。（五）PCAOB的财务呈报内部控制审计准则在实施AS.2过程（五）PCAOB的财务呈报内部控制审计准则2.第5号审计准则（2007年7月25日）PCAOB发布第5号审计准则:《与财务报表审计相结合的财务报告内部控制审计》（AuditingStandardNo.5-AnAuditofInternalControloverFinancialReportingThatIsIntegratedwithAnAuditofFinancialStatements，简称ASNo.5）ASNo.5没有减少ASNo.2的要求，不仅会保持高质量的内部控制，而且还会增加对风险的关注；ASNo.5的其主要目的是为了简化程序以便具有更强的可操作性和更广泛的适用性，能更有效地适用于小型且结构较不复杂的公司。ASNo.2取代（五）PCAOB的财务呈报内部控制审计准则2.第5号审计准（五）PCAOB的财务呈报内部控制审计准则2.第5号审计准则（2007年7月25日）ASNO.5框架审计计划采用自上而下的方法确定需要测试的控制（usingatop-downapproach）测试控制评价控制缺陷审计工作汇总（wrapping-up）内部控制审计报告前言（五）PCAOB的财务呈报内部控制审计准则2.第5号审计准二、内部控制审计的概念框架

PCAOB的AS.5为审计人员对公司财务呈报内部控制有效性审计确定要求并提供指南。以下将详细介绍内部控制审计的概念框架，主要包括：财务呈报内部控制的概念、审计目标、一般缺陷、重大缺陷、实质性漏洞、固有局限、合理保证、重要性和舞弊分析、审计人员的责任等。二、内部控制审计的概念框架PCAOB的AS.5为审计人员（一）财务呈报内部控制的概念财务呈报内部控制是一个过程，由公司的主要执行官员、主要财务官员或者行使类似职权的人员设计或监控，受公司的董事会、管理当局和其他人员所影响，为财务报告的可靠性和财务报表（供外部使用的）的编制符合公认会计原则提供合理的保证。保持详细合理的会计记录，准确公允地反映公司资产的交易和处置情况；1为下列事项提供合理的保证：公司对发生的交易进行必要的记录，从而使财务报表的编制满足公认会计原则的要求；公司所有的收支活动均得到管理当局和董事会的合理授权；2为下列事项提供合理保证，即防止或及时发现公司的资产未经授权地取得、使用和处置。3具体包括以下控制政策和程序：（一）财务呈报内部控制的概念财务呈报内部控制是一（二）内部控制审计的目标财务呈报内部控制审计的目标：经过审计，审计人员就公司财务呈报内部控制发表审计意见。管理当局特定日期评估结论中不存在实质性漏洞合理保证（二）内部控制审计的目标财务呈报内部控制审计的目标：经过（三）一般缺陷、重大缺陷和实质性漏洞一般缺陷（controldeficiency）重大缺陷（significantdeficiency）实质性漏洞(materialweakness)在日常执行控制设计的程序过程中，控制的设计或执行无法让管理当局或员工防止或及时发现错报。设计缺陷执行缺陷一项一般缺陷或数项一般缺陷的集合，可能无法防止或及时发现季报、年报中错报的重大错报（significantmisstatement）。一项一般缺陷或数项一般缺陷的集合，很可能无法防止或及时发现季报、年报中的实质性错报（materialmisstatement）。（三）一般缺陷、重大缺陷和实质性漏洞一般缺陷重大缺陷实质性漏（三）一般缺陷、重大缺陷和实质性漏洞防止性控制发现性控制发现性控制防止性控制发现性控制防止性控制发现性控制控制第一时间防止导致财务报表错报的差错或舞弊发现导致财务报表错报的已发生的差错或舞弊（三）一般缺陷、重大缺陷和实质性漏洞防止性控制发现性控制发现（四）固有局限和合理保证固有局限合理保证内部控制固有局限内部控制的设计和执行受制于成本与效益原则；内部控制一般仅针对常规业务活动而设计；即使设计完整的内部控制，也可能因执行人员的粗心大意、精力分散、判断失误以及指令的误解而失效；内部控制可能因执行人员相互勾结、内外串通而失效；内部控制可能因执行人员滥用职权或屈从于外部压力而失效；内部控制可能因经营环境、业务性质的改变而削弱或失效……（四）固有局限和合理保证固有合理保证内部控制固有局限（五）重要性和舞弊重要性某一内部控制缺陷造成的财务报告错报可能影响财务报告使用者的判断或决策的程度定量分析重要性分析定性分析内部控制不能预防或发现的单个财务报表错报或数项财务报表错报的集合，是否将对财务报表造成数量上的重大影响。内部控制不能预防或发现的单个财务报表错报或数项财务报表错报的集合以及与财务呈报内部控制的其他有关信息是否将影响一个理性的会计报表使用者依赖该信息所作的判断或决策。（五）重要性和舞弊重要性某一内部控制缺陷造成的财务报告错报可（五）重要性和舞弊评价财务呈报内部控制缺陷的重要性错报的可能性错报程度的大小会计账户、披露和相关认定的性质（如关联交易涉及更大的风险）对导致损失或舞弊的相关资产或负债的不确定审计人员判断的主观性、复杂性或程度已知或已发现的控制有效执行的例外事项产生的原因或频率控制之间相互依赖或重复缺陷导致可能发生的未来结果缺陷的相互关系交易数量或金额反映出的缺陷会计账户或交易分类反映出当期发生或将来会被发现的缺陷（五）重要性和舞弊评价财务呈报内部控制缺陷的重要性错报的可能（六）审计人员的责任在财务呈报内部控制审计过程中，审计人员的责任主要包括：获取、评价财务呈报内部控制设计和执行有效性的审计证据，为发表审计意见提供合理保证。审计人员还需要明确：那些依赖财务呈报内部控制提供信息的信息使用者包括投资者、债权人、董事会、审计委员会及专门机构，如银行和保险；财务报表的外部使用者关心财务呈报内部控制的信息主要原因在于能提高财务报表的质量，增强他们对财务报表的信心。财务呈报内部控制的信息不仅为公司管理当局和员工予以警示，还为公司外部那些坚持改进财务呈报内部控制的人们（如审计委员会和专门机构的监管部门）予以警示。（六）审计人员的责任在财务呈报内部控制审计过程中，审计人第12章内部控制评审（二）课件使用厦门大学陈汉文教授《审计理论》，网络下载。第12章内部控制评审（二）课件使用厦门大学陈汉文教授《审计内部控制审计第二节内部控制评价第一节目录内部控制的评价要求内部控制的评价方法内部控制审计的历史演进内部控制审计的概念框架内部控制审计第二节内部控制评价第一节目录内部控制的评价要学习目的与要求对上市公司内部控制进行评价与审计是一种最新的国际发展趋势。通过本章的学习，应熟练了解美国、英国和中国等国家上市公司内部控制的评价与报告体系、评价依据与评价方法等；应熟练掌握内部控制评价中的详细评价法和风险基础评价法，并能识别其区别与联系；在此基础上，本章还要求学生了解内部控制审计的历史演进过程及其原因，熟悉美国PCAOB的财务呈报内部控制审计准则和内部控制审计的概念框架。学习目的与要求对上市公司内部控制进行评价与审计综述

我国目前正在建立财务呈报内部控制为主的内部控制标准体系，内部控制的评审也将成为一种必然趋势。为此，本章将介绍公司管理层对内部控制的评价，阐述审计师对内部控制的审计。《萨班斯—奥克斯利法案》以及内部控制评审的相关规则与指引的出台安然、世通等财务舞弊与审计合谋案件层出不穷上市公司内部控制的评审体系公司管理层对财务呈报内部控制有效性进行评价，对内向审计委员会报告、对外发布公开报告。审计师对财务呈报内部控制进行审计，对公司财务呈报内部控制的有效性发表审计意见。综述我国目前正在建立财务呈报内部控制一二内部控制的评价要求内部控制的评价方法第一节审计需求的代理理论一二内部控制的评价要求内部控制的评价方法第一节审计需求的概述企业内部控制的评价与报告主要涉及企业内部控制评价与报告的要求以及评价的方法等内容。从国际发展的视角来看，美国和英国等主流市场经济国家的证券监管部门都针对上市公司内部控制的评价与报告制定了相应的规则，提出了明确的要求，并制定了内部控制评价的指引。概述企业内部控制的评价与报告主要涉及企业内部一、内部控制的评价要求——美国Sarbanes-Oxley法案为上市公司规定了一个内部控制的评价和报告体系，以提高内部控制的有效性，加强内部控制信息的透明度。302节“公司对财务报告的责任”404节“管理层对内部控制的评价”要求上市公司管理层对财务呈报内部控制的有效性进行评价，对内向审计委员会报告、对外发布公开报告；并要求聘请审计师对财务呈报内部控制进行审计。一、内部控制的评价要求——美国Sarbanes-Oxley法美国上市公司内部控制评价与报告体系（图）美国上市公司内部控制评价与报告体系（图）1．评价依据

SEC2003年6月发布的“最终规则：管理层对财务呈报内部控制的报告和交易法案定期报告中披露的确认”（FinalRule:

Management’sReportsonInternalControlOverFinancialReportingandCertificationofDisclosureinExchangeActPeriodicReports）要求，管理层对公司财务呈报内部控制有效性的评价必须依据一个适当的、公认的控制框架。没有偏见允许适当一致的定性和定量衡量公司的内部控制充分完整，没有忽略那些会改变公司内部控制有效性结论的相关要素与评价财务呈报内部控制相关COSO框架并不唯一1．评价依据SEC2003年6月发布的“最终SEC也要求管理层的报告必须包含对管理层在评价过程中确定的公司财务呈报内部控制中所有重要弱点的披露。1．评价依据对于公司财务呈报内部控制有效性的评价，SEC没有提出管理层可以据以断定公司财务呈报内部控制有效的具体标准，但是，SEC设定了一个管理层断定公司财务呈报内部控制有效的限度（threshold）。如果管理层识别出公司财务呈报内部控制中的一个或多个重大漏洞（materialweakness），管理层就不能确定公司的财务呈报内部控制是有效的。SEC也要求管理层的报告必须包含对管理层在评价过程中确定的公2．评价方法对公司财务呈报内部控制的评估必须根据足以既能评价内部控制的设计又能测试内部控制运行有效性的程序进行。与非常规和非系统交易的动议和处理相关的控制2与适当会计政策的选择和应用相关的控制3与防止、识别和发现舞弊相关的控制4对发起交易、记录、处理和调节账户余额、交易分类和披露以及财务报表中包含的相关认定的控制1需要评估的控制：（包括但不限于）2．评价方法对公司财务呈报内部控制的评估必须根据2．评价方法证据为管理层对财务呈报内部控制有效性的评价结论提供合理的支持。对内部控制是否用来防止或发现重要错报或遗漏的评价对测试进行了适当的规划和实施测试的结果得到了适当考虑2．评价方法证据为管理层对财务呈报内部控制有效性的评价结论提

SEC2003年6月发布的“最终规则：管理层对财务呈报内部控制的报告和交易法案定期报告中披露的确认”的要求，每一个美国或非美国证券发行人的管理层要在发行人首席执行官和首席财务官（或履行类似职能的人）的参与下，评价发行人每一财务年度末财务呈报内部控制的有效性。此外，还要求公司的年度报告要包括管理层的一个内部控制报告。3．评价报告陈述管理层为公司建立和维持充分的财务呈报内部控制的责任。1一项陈述，确定管理层对公司财务呈报内部控制的有效性执行要求的评价时所采用的框架。2管理层对公司的财务呈报内部控制在最近财务年度的有效性的评估，包括一项有关公司的财务呈报内部控制是否有效的陈述。3一项陈述，说明审计财务报表（包括在年度报告中）的已登记公共会计公司已经就管理层对财务呈报内部控制的评价出具了鉴证报告。4SEC2003年6月发布的“最终规则：管理层对3．评价报告根据SOX法案以及SEC的相关规则，公司管理层不但要定期对外报出财务呈报内部控制的报告，而且还要向公司的审计委员会报告内部控制的以下相关情况：内部控制的设计或运行中，对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷，并向公司的审计师指出内部控制的重大缺陷。在内部控制中担任重要职位的人员或其他雇员的欺诈行为，不论行为的影响是否重大。3．评价报告根据SOX法案以及SEC的相关规一、内部控制的评价要求——英国Cadbury委员会在其发布的名为《内部控制和财务报告》的报告中要求英国各公司的董事会公布一份有关其内部财务控制制度的声明，这份声明必须至少包括以下内容：承认董事会对内部财务控制负责；为内部控制制度对重大的错报或遗漏的事项仅提供合理保证而非绝对保证做出解释；描述董事会为了确保有效的内部财务控制已经建立的关键程序；证实董事会已经审核过内部财务控制制度的有效性。1994年鼓励但不要求董事会对内部财务控制制度的有效性发表意见。一、内部控制的评价要求——英国Cadbury委员会在其发布的一、内部控制的评价要求——英国当前根据英国当前的公司法、2003年的《联合规则》以及2005年10月发布的Turnbull指南等相关法律法规，英国公司内部控制评价与报告的体系主要包括以下内容：审查内部控制有效性的责任董事会责任的重要组成部分审查内部控制有效性的过程董事会对内部控制的声明

有意义的、高级（high-level）的信息对帮助股东理解公司的风险管理过程和内部控制系统的主要特征来说是必要的不应当给出令人误解的印象一、内部控制的评价要求——英国当前根据英国当前的公司法、20一、内部控制的评价要求——中国1．评价与报告的责任主体董事会（主）管理层（辅）内部控制的内容和范围越来越宽泛在我国的企业当中尚没有建立起有效的公司治理，董事会的独立性不强，董事会的职责与管理层的职责往往难以清晰的界定。一、内部控制的评价要求——中国1．评价与报告的责任主体董事会一、内部控制的评价要求——中国2．报告的类型对外的年度内部控制报告对内的内部控制报告随年度财务报告一起对外报出，向资本市场及相关部门呈报。对监事会、股东大会定期报告企业内部控制的运行情况。一、内部控制的评价要求——中国2．报告的类型对外的年度内部控一、内部控制的评价要求——中国对外的年度内部控制报告对内的内部控制报告3．评价和报告的范围财务呈报内部控制涵盖包括合规、报告、经营和战略目标在内的完整的内部控制一、内部控制的评价要求——中国对外的年度内部控制报告对内的内一、内部控制的评价要求——中国4．报告的内容对外的年度内部控制报告对内的内部控制报告董事会、管理层要在报告中就其有效性形成结论，清晰说明财务呈报内部控制是否有效。董事会、管理层要对内部控制的设计和运行情况进行评价和说明，报告内部控制存在的问题以及采取的纠正措施。注册会计师对财务呈报内部控制的审计报告注册会计师要就被审计单位是否在所有重大方面保持了有效的财务呈报内部控制发表意见。一、内部控制的评价要求——中国4．报告的内容对外的年度内部控我国企业内部控制评价与报告体系（图）我国企业内部控制评价与报告体系（图）二、内部控制的评价方法（一）美国SEC的解释指南根据指南要求，企业管理层采用自上而下、风险基础的方法评价财务呈报内部控制的过程主要包括三个步骤：识别财务报告风险和控制评价财务呈报内部控制运行有效性的证据评价控制缺陷与报告二、内部控制的评价方法（一）美国SEC的解释指南1．识别财务报告风险和控制（1）识别财务报告风险评价公认会计原则的规定是如何应用于公司的业务、经营和交易管理层应用其常识和对企业、企业的组织、经营和流程的了解考虑财务报告要素错报的来源和潜在可能性识别那些对财务报表造成重要错报的来源同时也应当考虑主体对欺诈活动（比如虚假财务报告、资产滥用和贪污）的脆弱性以及那些风险是否能够导致财务报表的重要错报。1．识别财务报告风险和控制（1）识别财务报告风险评价公认会计1．识别财务报告风险和控制（2）识别充分应对财务报告风险的控制控制一项单独的控制是否充分应对了一项财务报告风险如果财务报表发生重要错报的相关财务报告要素中的错报相当可能没有被及时阻止或发现控制不充分如果管理层确定，其控制没有适当设计，一项缺陷存在，必须对其进行评价以确定它是否是一个实质性漏洞。一个控制的组合控制控制控制1．识别财务报告风险和控制（2）识别充分应对财务报告风险的控1．识别财务报告风险和控制（3）对企业层面控制的考虑管理层在识别和评价财务报告风险和某一财务报告要素的相关控制时要考虑企业层面控制的性质以及它们如何与财务报告要素相联系。企业层面控制一些企业层面的控制是设计在流程、交易或应用层面运行的，并且可以充分的及时防止或发现能够导致财务报表发生重要错报的一个或多个财务报告要素的错报。一个企业层面的控制可以用来识别较低层次控制的可能故障，但自身并不能充分应对能够导致财务报表重要错报的财务报告要素的错报没有被及时防止或发现的风险。控制财务报表要素关系越间接，它防止或发现错报的有效性就越低。1．识别财务报告风险和控制（3）对企业层面控制的考虑1．识别财务报告风险和控制（4）总体信息技术控制的作用控制自动依赖于信息技术管理层的评价过程通常要考虑的控制自动控制总体IT控制IT依赖型控制1．识别财务报告风险和控制（4）总体信息技术控制的作用控制自1．识别财务报告风险和控制（4）总体信息技术控制的作用总体IT控制公司的实际情况和环境不同而存在差异通常情况下，管理层应当考虑与程序开发有关的总体IT控制目标、程序改变、计算机运行和对程序和数据的接触是否适用于其实际情况和环境以及适用程度如何。1．识别财务报告风险和控制（4）总体信息技术控制的作用总体I1．识别财务报告风险和控制（5）支持评估的证明材料记录管理层付诸实施的用来充分应对财务报告风险的控制的设计支持评估文档记录的形式文档记录的内容取决于公司的规模、性质和复杂程度多种方式出现（比如，政策手册、过程模型、流程图、工作描述、单证、内部备忘录、表格等）多种形式（比如，纸质文档、电子或其他媒介）不必包括影响财务报告的流程中存在的所有控制。集中在管理层断定会充分应对财务报告风险的那些控制上。1．识别财务报告风险和控制（5）支持评估的证明材料记录管理层2．评价财务呈报内部控制运行有效性的证据（1）确定支持评估所需要的证据高中等低中等高控制失败的风险财务报告要素的错报风险较少证据较多证据支持评估所需证据的多少主要取决于与控制相关的财务报告要素的特征的影响和控制自身特征的影响，即对财务呈报内部控制风险的评估。2．评价财务呈报内部控制运行有效性的证据（1）确定支持评估所2．评价财务呈报内部控制运行有效性的证据（1）确定支持评估所需要的证据财务报告要素的特征管理层需要考虑的因素：财务报告要素的重要性主要会计余额、交易或其他支持信息对重要错报的敏感性控制没有有效运行的可能性控制的类型、复杂性管理层越过的风险运行该项控制所需要的判断该项控制预计要防止或发现的错报的性质和重要性该项控制对其他控制有效性的依赖程度2．评价财务呈报内部控制运行有效性的证据（1）确定支持评估所2．评价财务呈报内部控制运行有效性的证据（2）实施程序，评价财务呈报内部控制运行的证据管理层评价的程序专门为财务呈报内部控制评价而实施与员工的日常职责结合在一起管理层评价的证据其他原因而实施的活动持续监督直接控制测试评估风险的大小影响管理层所获取证据的性质2．评价财务呈报内部控制运行有效性的证据（2）实施程序，评价2．评价财务呈报内部控制运行有效性的证据（3）支持该评估的证据基础控制的风险的评估水平其他情况管理层评估的依据证据的性质支持性证明材料控制的复杂程度运行该项控制所需判断的程度可能导致财务报表重要错报的财务报告要素错报的风险……因素增加证明材料单独保存不必单独保存其所评价证据的备份2．评价财务呈报内部控制运行有效性的证据（3）支持该评估的证2．评价财务呈报内部控制运行有效性的证据（4）多场所的考虑充分应对财务报告风险评价方法与单个场所或业务单元的企业相同低风险高风险通过自我评估的日常程序或其他持续监督活动，如果结合通过监督单个场所运行结果的集中控制获得的证据，就为其评价构成了充分的证据。需要更多关于控制在场所运行有效的证据。2．评价财务呈报内部控制运行有效性的证据（4）多场所的考虑充一二三信号传递观信息系统观审计需求信息理论的经验检验第二节审计需求的信息理论一二三信号传递观信息系统观审计需求信息理论的经验检验第二节3．评价控制缺陷与报告（1）控制缺陷的评价缺陷缺陷缺陷缺陷缺陷or实质性漏洞定性因素定量因素错报概率潜在错报的影响大小……补偿性控制的影响3．评价控制缺陷与报告（1）控制缺陷的评价缺陷缺陷缺陷缺陷缺3．评价控制缺陷与报告（2）评价结论与报告

若不能评估某一特定流程的控制，必须确定，这一情况是否重要到要在其报告中得出财务呈报内部控制无效的结论。清晰的表述其对财务呈报内部控制有效性的评估结果实质性漏洞的性质它对财务报告和控制环境的影响管理层当前纠正该缺陷的计划报告还需披露以下内容：3．评价控制缺陷与报告（2）评价结论与报告（二）加拿大CICA的风险基础评价方法首先要求上市公司的CEO和CFO对财务呈报内部控制的设计进行评估和确证（certification）。2006年2007年要求对整个财务呈报内部控制的有效性进行评价和确证。加拿大特许会计师协会（TheCanadianInstituteofCharteredAccountants，CICA）在对财务呈报内部控制的设计进行评价时明确要求采用自上而下、风险基础的方法。（二）加拿大CICA的风险基础评价方法首先要求上1．总体要求

管理层应当开发一种方法，通过这种方法使得评价过程和步骤的性质、范围和时间建立在主要的财务报告和披露风险上，并确保管理层对财务呈报内部控制的设计得出可靠的结论。要考虑的因素主要包括：CEO应当在这个过程中扮演积极的角色，并要被看到。2管理层应当开发和记录他们的评估方法，它应包括一定水平的测试。3CEO和CFO应当告知审计委员会他们的评价方法和程序，并征求他们的意见。5这种评价应当是自上而下和风险基础的，以确保集中关注重要的财务报告和披露风险和问题。1评价过程不应当是一个孤立的程序，它应当与管理层的持续控制监控活动相结合，并预见管理层评价和确证财务呈报内部控制有效性的未来需求。41．总体要求管理层应当开发一种方法，通过这种方法1．总体要求使用一个控制框架1预防型控制和侦测型控制的均衡2CEO和CFO在规划评价方法时还要考虑的其他问题包括：COCO框架COSO框架《财务呈报内部控制－较小公共公司指南》Turnbull指南COBIT框架企业层面的控制和流程层面的控制3与子确证流程协同一致41．总体要求使用一个控制框架1预防型控制和侦测型控制的均衡22．评价思路三个阶段七个步骤2．评价思路三个阶段（三）普华的内部控制评价方法1．十二个步骤1、评估重要错报风险2、识别公司层面的控制3、识别相关财务报表认定4、识别重大流程5、确定应当包括在评价范围内的场所或业务单元6、记录控制的设计7、确定应当测试的控制8、评价控制的设计有效性9、测试和记录控制的运行有效性10、评价内部控制缺陷，并对总体有效性形成结论11、向审计委员会和审计师通报发现的问题12、记录评估内部控制的过程（三）普华的内部控制评价方法1．十二个步骤1、评估重要错报风2．七个阶段（1）项目启动项目监督项目管理项目启动项目监督是指内部控制的评价需要广泛的、高层的监督，建立良好的管理框架。确定该项目各方以及涉及的每个部门和职能的责任有助于使这个项目成功。项目管理是指对项目进行强有力的实施，这主要取决于严格的项目管理。项目管理的关键是建立追踪和合并内部控制变动的基础设施和方法，以确保管理层记录和测试的控制代表那些实际的控制。2．七个阶段（1）项目启动项目监督项目管理项目启动项目