10425企业内部控制第01章

企业内部控制课程性质与设置目的的要求

课程性质企业内部控制是广东省高等教育自学考试现代企业管理（独立本科段）专业必考的专业课，是为了培养和检验自学应考者有关企业内部控制的基本原理、基本知识与基本技能而设置的一门专业课。课程性质与设置目的的要求

《企业内部控制》课程主要讨论企业内部控制的建立健全并如何有效实施的问题，该课程具有综合性、科学性、实践性、系统性与指导性的特点，是学习现代企业管理的基础性课程。课程性质与设置目的的要求

设置本课程的目的：使自学应考者能够较全面、系统地学习当代我国企业（或事业）单位内部控制的基本知识、基本原理和基本技能，掌握现代企业内部控制的基本原则和方法，培养和提高自学应考者正确分析和解决目前企业（或事业）单位内部控制设计与实施的能力，课程性质与设置目的的要求

从而合理保证企业（或事业）战略目标、经营目标、经营目标和合法性等目标的实现，以适应中国特色社会主义和社会主义市场经济下企、事业单位内部控制的需要。本课程重点（或难点）本课程重点（或难点）章为：第四章、第五章、第六章、第七章、第八章；次重点章为：第二章、第三章、第九章；一般章为：第一章、第十章。课程内容与考核目标

考试基本要求要求应考者理解和掌握我国企业内部控制的基本知识、基本原理和基本技能，能运用现代企业内部控制有关知识进行案例分析，具备分析问题和解决问题的基本能力。课程考试的总体要求

本课程的考试，既要考核知识，又要考核能力。因此，在系统掌握本课程的基础知识和基本原理的基础上，注重运用基础知识和基本理论分析和解决实际问题，做到理论联系实际，提高分析和解决实际问题的能力。课程考试的总体要求

课程的基本知识和基本原理包括大纲所列出的考核点，在自学中注意各知识点、基本原理的比较，综合和归纳，及其之间的联系和区别，同时要注意分析实际问题。课程考试的总体要求

大纲规定的考试内容每章先概述全篇的自学要求、考试内容，然后列出本章的考核知识点，再对考核知识点提出不同认识能力层次要求。大纲各章规定的自学要求、考核知识及考核知识点的知识细目都是考试内容。课程考试的总体要求

大纲的考核要求分为“识记”、“领会”、“简单应用”、“综合应用”四个层次，具体含义为：识记：能正确认识和表述科学事实、原理、术语和规律，知道该课程的基础知识，并能进行正确的选择和判断。。课程考试的总体要求

领会：能将所学知识加以解释、归纳，能领悟某一概念或原理与其他概念或原理之间的联系，理解其引申意义，并能做出正确的表述和解释。课程考试的总体要求简单应用：能用所学的概念、原理、方法正确分析和解决较简单问题，具有分析和解决一般问题的能力。综合应用：能灵活运用所学过的知识，分析和解决比较复杂的问题，具有一定解决实际问题的能力。

关于自学教材

指定使用教材：《企业内部控制》，聂新军编，科学出版社，2011年6月第一版。方法指导

1、自学考试内容覆盖较广，因此自学必须注意全面、系统地学习，切忌猜题、押题。2、基本知识和基本理论是分析、解决实际问题的前提，因此，要注重概念、基础知识和基本理论的学习，在此基础上注意联系实际，分析实际问题。方法指导

3、自学考试是终结性考试，应考者应具有一定的综合应用知识能力。大纲对考核知识点及知识点下的知识细目所提出的具体要求，一道试题不是只考核一个知识点，可能是综合考核多个知识点，因而在学完各章以后，应及时对概念、基础知识和基本理论进行归纳，注意它们之间的联系和区别，并注意综合应用的训练。。方法指导

大纲分考试大纲说明、各章考试内容、考核知识点、考核要求，应考者必须全面阅读。关于命题考试的若干要求

本课程的命题考试，根据大纲所规定的考试内容和考试目标来确定考试范围和考核要求，不任意扩大或缩小考试范围，提高或降低考核要求。考试命题要覆盖到大纲所列各章，并适当突出重点章节，体现本课程的内容重点。关于命题考试的若干要求2、

本课题在试题中对不同能力层次要求的分数比例，一般为：识记占20％，领会占30％，简单应用占30％，综合应用占20%。关于命题考试的若干要求3、试题难易度可分为易、较易、较难、难四个等级，每份试卷中，不同难易度试题的分数比例，一般为：易占20％，较易占30％，较难占30％，难占20％。必须注意，难题的难易度与能力层次不是一个概念。关于命题考试的若干要求4、考试题型，一般有：单项选择题、多项选择题、名词解释、简答题、论述题、案例分析题。5、本课程的考试形式为闭卷笔试，考试时间为150分钟。题型一、单项选择题（1分*20=20分）二、多项选择题（2分*10=20分）三、名词解释（3分*5=15分）四、简答题（5分*5=25分五、论述题（1*10分=10分）六、案例分析题（1*13分=13分）第一章内部控制导论学习目的与要求

通过本章的学习，应该掌握内部控制的概念、特点和分类，理解内部控制的“过程观”和内部控制的固有局限性，了解内部控制的历史演进过程的三个重要阶段，掌握内部控制新发展的主要内容。。考试内容

第一节内部控制概述（一）内部控制概念界定（二）企业内部控制的特点（三个）（三）企业内部控制的分类（五种）考试内容

第二节内部控制的演进（一）内部控制萌芽期：内部牵制（二）内部控制发展期：内部会计控制与内部管理控制（三）内部控制成熟期：内部控制结构和内部控制整体架构（四）COSO报告下的内部控制新发展。考核知识点

1、内部控制的概念及其在不同规范中的界定2、企业内部控制的特点3、企业内部控制的分类4、内部牵制的含义与内容5、内部会计控制与内部管理控制的含义考核知识点6、内部控制结构的含义、内容与创新点7、内部控制整体架构的含义、内容与创新点8、《萨班斯—奥克斯利法案》对企业内部控制的影响10、企业风险管理框架的主要内容考试基本要求。考核要求

识记：内部控制的概念、特点和分类，内部控制的历史演进过程的三个重要阶段，内部控制新发展的主要内容。领会：在识记的基础上，能界定内部控制的概念，全面把握内部控制的“过程”观和内部控制的固有局限性，理解企业内部控制从不同层面的分类以及内部控制结构、内部控制整体架构和企业风险管理框架的突破。考核要求

简单应用：在领会的基础上，能运用内部控制基本概念，能通过案例分析内部控制“过程观”和内部控制分类的意义。。考试重点1企业内部控制的特点  P3 是一个过程、需要企业全员参与、只能是合理保证2企业内部控制的分类 根据企业组织构架，分类治理控制、管理控制和作业控制 治理控制是内部控制最高层次，依次递归，作业控制是第三层次  考试重点3、内部控制的演进 一、控制萌芽期：内部牵制 P8 实物牵制、物理牵制、分权牵制、簿记牵制 二、内部控制发展期：内部会计控制盒内部管理控制 内部会计控制是有组织计划以及保护资产和保证财务资料可靠性有关的程序和记录构成。 内部管理控制包括但不限于组织计划以及管理部门授权办理经济业务的决策过程有关的程序及记录。考试重点 三、内部控制成熟期：内部控制结构和内部控制整体架构  P11 重点是：信息与沟通，是指企业内部各部门的人员必须能够取得他们在执行、管理和控制企业过程中所需的信息，并交换这些信息。第一节内部控制概述认识此人么？一、内部控制的含义

（一）狭义内部控制狭义的企业内部控制定义为：P2由企业董事会、监事会、经理层和全体员工实施的，旨在实现与财务报告有关的内部控制目标的过程。其目标主要是合理保证企业财务报告及其相关信息的真实完整。一、内部控制的含义

与财务报告相关的内部控制包括以下三方面的政策和程序：一是保存足够详细的记录，准确、公允地反映企业的交易和资产处置情况；二是合理保证按照企业会计准则和相关会计制度编制财务报表，按要求记录交易，企业发生的收入和支出已经过管理层和董事会的授权；

一、内部控制的含义

三是合理保证及时防止或发现未经授权的、对财务报表有重大影响的取得、使用或处置的企业资产。（二）广义内部控制二对内部控制的特点1、内部控制是一个过程2、内部控制需要企业全员参与3、内部控制只能是合理保证常见现象和需要考虑的问题：①管理者滥予授权使控制形同虚设。②内部控制效果受人员素质影响。③人员联合舞弊。④成本效益问题。二对内部控制的特点（1）内部控制是一个过程内部控制是一个过程，是一个动态的过程，它包括一整套制度和一系列行为及相应实施的各种管理活动。（2）内部控制需要企业全员参与涉及企业各个经营方面、各个环节、各个流程、各个岗位：对象包括财务资源、人力资源、信息资源和客户关系资源等，需要全员参与，多方配合，建立控制系统二对内部控制的特点（3）内部控制只能是合理保证P5

内部控制存在自身的局限性：①企业管理层决策不当；②企业内部控制效果受人员素质影响；③人员舞弊；④成本效益问题。二对内部控制的特点

企业目标的实现还受到外部环境的影响，很难保证营运目标的实现，虽然企业会考虑相关因素发生的可能性和作出相应的计划，但只能降低影响，不能确保营运目标的实现。对内部控制的认识

一年轻人不小心将酒店的地毯烧了三个小洞，退房时服务员说根据酒店规定，每个洞要赔偿100元。年轻人问道：“确定是一个洞赔100元吗？”服务员回答：“是”。于是年轻人点燃烟头将三个小洞烧成一大洞。这一小故事给我们的启示是：①考核标准在哪里，人们的行动就在哪里；②不要光站在自己的角度订立标准；③漏洞有时是致命的。三、企业内部控制的作用

内部控制在经济管理和监督中主要有以下作用：（1）提高会计信息资料的正确性和可靠性（2）保证生产和经管活动顺利进行（3）保护企业财产的安全完整（4）保证企业既定方针的贯彻执行（5）为审计工作提供良好基础

【例题：单选】

内部控制的基本概念是从早期（）思想的基础上逐步发展起来的。A.科学管理B.内部牵制C.内部审计D.管理控制B【例题：单选】

内部控制结构阶段又称三要素阶段，其中不包括（）要素。A.控制环境B.风险评估C.会计系统D.控制程序。B四、企业内部控制的分类

（一）根据企业组织构架分为治理控制（对所有权的控制）管理控制（企业经营层的职责）作业控制（企业内部控制的第三层次，主要是各种具体岗位的职责）（二）根据控制对象，分为人事控制、财务控制、会计控制、生产控制等（三）根据控制依据，分为制度控制预算控制（是指以全面预算为依据，对预算主体的财务收支活动进行监管、协调的一种控制形式）（四）根据控制进程和时序，分为事前控制（又称原因控制）、事中控制（又称过程控制）、和事后控制（又称结果控制）

（五）根据控制范围，分为战略控制（企业经营范围、经营模式、组织模式、激励制度、重要人事调动和长期投资所进行的具有全局性、长期性特点的控制经营控制（对企业日常经营活动行为所进行的控制、具有局部和短期性）

第二节内部控制的演进第二节内部控制的演进第二节内部控制的演进一、萌芽期——内部牵制（1940年代以前）二、发展时期——内部会计控制与内部管理控制（1940~1970）三、内部控制成熟期：内部控制结构和内部控制整体架构四、兴盛期——内部控制结构、内部控制整体架构（1980-2002）五、成熟期——基于企业风险管理整合框架的内部控制（2002-）第二节内部控制的演进（一）萌芽期——内部牵制（1940年代以前）1、基本思想：以账目间的相互核对为主要内容并实施岗位分离。2、产生原因：二战后军用技术民用化导致的产能过剩以及随之而来的海外扩张和海外子公司的成立。

3、思想基础：（1）二个或以上的人或部门无意识地犯同样错误的机会是很小的。（古典概率论）（2）二个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。

4、牵制类型：实物牵制、机械牵制、体制牵制和账簿牵制。第二节内部控制的演进（一）内部牵制的概念

《柯勒会计辞典》指出，内部牵制是指：“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。

第二节内部控制的演进

1936年AICPA“独立公共会计师对财务会计报告的审查”中也指出：内部牵制（InternalCheck）是指以提供有效的组织和经营，并防止错误和其他非法业务发生而采取的各种措施和方法。其目的是为保证公司现金和其他资产的安全，检查帐簿的准确性。（二）内部牵制基于的假设P9第一、两个或两个以上的人或部门无意识地犯同样错误的机会是很小的；第二、两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。

（三）内部牵制的基本内容

第一，识别不相容职务，即对通常不能由一个人兼任的职务。第二，合理界定不同职务的职责与权限，准确地分清责任；第三，分离不相容职务，在进行定岗和分工时，注意将不相容职务分离开来，使其相互牵制、相互制约；第四，必要的保障措施，如物理措施（保险柜、专用钥匙等）或技术措施（网络口令等），定期的岗位轮换等。

（四）内部牵制的分类第一，实物牵制。对核心资产实行两个或两个以上的人同时管理。第二，机械牵制。机械牵制即通过程序或流程操作机械，才能完成一定过程的操作。因此也称为程序牵制。

第三，体制牵制。即通过组织分工来实现的防弊体制。为防止错误和舞弊，对于每一项经济业务的处理，都要求有二人或二人以上共同分工负责，以相互牵制，互相制约的机制。第四，簿记牵制。簿记牵制即原始凭证与记账凭证、会计凭证与账簿、账簿与账簿、账簿与会计报表之间核对的牵制。

总结：值得注意的是，内部牵制主要是通过分工协作来实现对舞弊行为的监控的，无论是部门之间的相互制约还是上下级之间相互制约，往往是从某一环节或部门出发，强调点，忽略面，局限于内部审计的原理。二、形成发展时期——内部控制制度（1940~1970）1、产生原因：审计的发展及审计责任的界定。2、内部的分类：会计控制和管理控制3、各自的特点：内部会计控制在于保护企业资产、检查会计数据的准确性和可靠性，内部管理控制在于提高经营效率、促使有关人员遵守既定的管理方针。内部会计控制内部控制内部管理控制内部会计控制内部管理控制1934年美国发布的《证券交易法》最早提出内部会计控制系统。该法规定：证券发行人应设计并维护一套能提供合理保证的内部会计控制系统。1949年，美国注册会计师协会(AICPA)的审计程序委员会，发布了一份题为《内部控制，一种协调组织要素及其对管理当局和独立注册会计师的重要性》的报告，该报告对内部控制提出了权威性的定义。

1958年，美国审计程序委员会又发布了《独立审计人员评价内部控制的范围》的报告，将内部控制分为内部会计控制和内部管理控制。1972年，美国审计准则委员会(ASB)在《审计准则公告》(第1号)中，重新并且更加明确地阐述了内部会计控制和内部管理控制的定义

二、内部控制形成发展时期--内部控制制度阶段20世纪40-70年代（2分法）美国审计准则委员会(ASB)对内部会计控制和内部管理控制的定义：

内部会计控制：内部会计控制包括但不限于组织规划和所有方法和程序，这些方法和程序与财产安全和财物记录可靠性有直接的联系(财务目标)。

内部管理控制：管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。

二、内部控制形成发展时期--内部控制制度阶段20世纪40-70年代（2分法）

综上所述：1、两分法未能完整地反映内部控制所涵盖的内容，也没有考虑控制环境对内部控制制度设计及实施效果的影响。2、尽管如此，这些概念的界定和分类为内部控制的发展奠定了一定的理论基础，有着承上启下的作用。

三、内部控制成熟期：内部控制结构和内部控制整体架构（1980-2002）三、内部控制结构阶段：1、产生原因：水门事件与«反国家贿赂法»的颁布2、三要素：控制环境、会计制度和控制程序三个要素组成。P12控制环境会计系统控制程序内部控制三、内部控制结构阶段20世纪80年代至90年代初（3分法）

三、内部控制结构阶段20世纪80年代至90年代初（3分法）1988年美国注册会计师协会发布《审计准则公告》第55号，首次将控制环境纳入内部控制结构，不再区分会计控制和管理控制。P11这个公告首次以“内部控制结构”代替“内部控制制度”。明确“企业的内部控制结构”，包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。三、内部控制结构阶段20世纪80年代至90年代初（3分法）控制环境：是指良好的内部控制所需要的外部和内部影响因素。外部因素包括国家政策，行业法规等。内部因素主要表现在股东、董事会、经营者及其他员工对内部控制的态度和行为。会计系统：规定各项经济业务的确认、计量、记录、归集、分类、分析和报告的方法。即建立企业内部会计制度。控制程序：指管理当局为达到控制的目标而制定的政策和程序。三、内部控制结构阶段20世纪80年代至90年代初（3分法）内部控制结构阶段有两个特点：一是将内部控制环境纳入内部控制的范畴，二是不再区分会计控制和管理控制。

四、内部控制整体框架四、内部控制整体框架1、产生原因：财务破产案例增加、审计失效与全国反欺诈性财务报告委员会（COSO）的成立。2、控制主体：P13企业董事会、经理当局以及其他员工3、三大目标：为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。4、五大要素：控制环境、风险评估、控制活动、信息与沟通、监控5、重大突破：一是强调风险评估在内部控制中的重要作用；二是强调信息与沟通是强化内部控制的重要途径；三是强调对内部控制系统本身的监控是内部控制发挥作用的关键环节。五大要素控制环境风险评估控制活动监督信息与沟通

四、内部控制的整体框架阶段—20世纪90年代--21世纪初（5分法）5、重大突破：一是强调风险评估在内部控制中的重要作用；二是强调信息与沟通是强化内部控制的重要途径；三是强调对内部控制系统本身的监控是内部控制发挥作用的关键环节。四、内部控制的整体框架阶段—20世纪90年代--21世纪初（5分法）（一）COSO报告

1992年，美国"反对虚假财务报告委员会"(NationalCommissiononFraudulentReporting)，所属的内部控制专门研究委员会发起机构委员会(CommitteeofSponsoringOrganizationsoftheTread-wayCommission，简称COSO委员会)，

在进行专门研究后提出专题报告：《内部控制一一整体架构(InternalControl一IntegratedFramework)》，也称COSO报告。这一报告已经成为内部控制领域最为权威的文献之一。

【例题：单选】

COSO著名的《内部控制——整合框架》是在（）发布的，该报告是内部控制发展历程中的一座重要里程碑。A.20世纪80年代B.1992年C.2002年D.2004年。B【例题：单选】

代表了成熟阶段的研究成果，堪称内部控制发展史上的里程碑的是（）。A.美国注册会计师协会《企业准则公告第55号》B.英国《综合守则》C.COSO委员会的《内部控制——整合框架》D特恩布尔委员会的特恩布尔报告。C【解析】

COSO委员会的《内部控制一整合框架》堪称内部控制发展史上的里程碑，提出了大量关键定义，构建了完整的内部控制框架，对我国和其他各国内部控制理论的发展均有深远影响。（一）COSO报告COSO报告对内部控制的发展所做出的贡献可以用三句话十二个字概括，那就是“一个定义、三项目标、五种要素”。内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。

它认为内部控制整体架构主要由：控制环境（controlenvironment）；风险评估（riskassessment）；控制活动（controlactivities）；信息与沟通（informationandcommunication）；监督（monitoring）五个要素构成。

下列属于内部控制整合框架构成要素的是（）A.控制环境B.风险评估C.控制活动D.信息与沟通E.监控【例题：多选】ABCDE（一）COSO报告

图1—1COSO内部控制框架（一）COSO报告控制环境：主要指企业内部的文化、价值观、组织结构、管理理念和风格等。风险评估：是指识别和分析与实现目标相关的风险，并采取相应的行动措施加以控制。这一过程包括风险识别和风险分析两个部分。

控制活动：是指企业对所确认的风险采取必要的措施，以保证企业目标得以实现的政策和程序。信息与沟通：是指为了使管理者和员工能执行其职责，企业各个部门及员工之间必须沟通与交流相关的信息。监督：是指评价内部控制的质量，也就是评价内部控制制度的设计与执行情况，包括日常的监督活动、内部审计等。

（一）COSO报告COSO框架将内部控制要素以一个金字塔结构提出图1--2COSO框架五要素图（五）成熟期——基于企业风险管理整合框架的内部控制（2002-）1、产生原因：（1）衍生金融工具的产生和企业风险加大；（2）系列财务舞弊（安然、世通、施乐、默克等）的爆发；（3）《萨班斯-奥克斯利法案》-SOX。2、控制主体：整个企业主体、各职能部门、各业务单元及下属各子公司3、四大目标：战略风险、经营目标、报告目标和合规目标4、八大要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。五、风险管理阶段（企业风险管理整合框架阶段）---21世纪以后（8分法）

2001年11月下旬，美国最大的能源企业安然公司承认自1997年以来，通过非法手段虚报利润5.86亿美元；在与关联公司内部交易中，不断隐藏债务和损失，管理层从中非法获益。消息传出，立刻引起美国金融市场的巨大动荡。安然股价从近90美元跌至不足1美元，许多中小投资者损失惨重。

自安然公司财务欺诈行为被揭露以来，美国大公司会计丑闻频频曝光，投资者信心连遭打击，美国股市因此受到重创，主要股指一度跌至9•11恐怖袭击事件以来的最低水平。世界通信－这只技术股中闪耀的明星，也被逐出纳斯达克市场。

美国魏斯评级公司在调查了7000家公司发布的财务报告后认为，有多达1/3的美国上市公司不同程度存在捏造盈利的问题，信用危机震惊华尔街。美国布鲁金斯学会一项研究认为，会计丑闻使2002年美国经济损失了约370-420亿美元。假帐丑闻使投资者对美国资本市场和会计公司的职业道德失去了信心。因此，加强金融监管以恢复投资者信心已成为当时美国国会、政府和公众的一致呼声。

五、风险管理阶段（企业风险管理整合框架阶段）---21世纪以后（8分法）

一系列公司假账丑闻的发生，已经不是个别公司的问题，而是美国公司制度的缺陷。这个缺陷主要表现在公司治理结构的不平衡和外部监督的缺失。

1、在公司治理结构上，对经营管理者的监督不力是造成假账丑闻的重要原因之一。

2、在公司外部监督上，外部审计对上市公司信息披露的监督功能严重缺失。

（二）萨班斯法案“萨班斯-奥克斯利法案”正是这一背景下的产物。其主要内容以维护广大投资者利益为宗旨，对惩治公司财务欺诈、规范企业行为和加强资本市场监管作出了规定。萨班斯-奥克斯利法案”的主要内容：1、明确了公司管理层的责任2、加强了会计监管3、完善了公司审计制度4、强化上市公司信息披露的监控5、突出了舞弊防范6、严厉了法律制裁（二）萨班斯法案1、明确了公司管理层的责任第一、对披露报告真实、全面、准确负责。第二、对内部控制体系设计、建立、运行有效负责。2、加强了会计监管第一、美国证券交易委员会（SEC）设立独立的上市公司会计监管委员会来监督会计行业。第二、给美国证券交易委员会增加新资金用来对违规行为进行调查、提高员工待遇和升级电脑技术。3、完善了公司审计制度第一、内部审计制度的完善。要求所有的上市公司都必须设立审计委员会，该委员会的成员必须全部是“独立董事”。第二、外部审计监管的强化。禁止上市公司的独立审计人员同时向该上市公司提供包括保管财务数据、设计和执行财务信息制度、资产评估或估价服务等与审计无关的法律或其他专业服务在内的服务业务。4、强化上市公司信息披露的监控

SEC对上市公司信息披露审查权得到了加强。SEC将要求上市公司达到所谓的“永久性”信息披露要求，即SEC必须在三年期限内对每个上市公司提交的信息披露进行审查，并做出审查结论。5、突出了舞弊防范法案对欺诈和舞弊防范措施作了强制规定，要求建立“反舞弊程序和控制”并要求每年进行评估，把发现高层管理人员任何程度上的舞弊行为判定为内部控制无效。

该法案第406条要求SEC制定相关规则，规定每个上市公司必须在其递交给SEC的定期报告的同时披露该公司是否已经制定了适用于高层财务人员的“道德法典”。“道德法典”必须包括以下内容：（a）诚实、道德的行为，包括私人利益与企业利益发生明显冲突时的道德准则；（b）在公众公司提交的报告中应包括充分、公正、准确、及时和易懂的信息披露；（c）要遵守政府的有关法律法规。6、严厉了法律制裁第一、董事和高层管理人员须返还因公司虚假报表取得的激励性报酬和买卖股票收益。第二、对于违反财务报表披露要求的行为，个人的处罚额提高到100万美元，并可同时判处的监禁期限延长到10年，对恣意违反财务报表披露要求的公司主管处罚额高达500万美元，并可判处高达25年的监禁。

另外，按法案要求，2003年6月5日美国证券交易委员会（SEC）颁布了的（最终条例）

(FinalRule)作为《萨-奥法案》的执行细则。2004年3月9日，美国上市公司会计监管委员会（PCAOB）最终确定了内部控制（审计标准）作为404条款的审计细则。（最终条例）（审计标准）均明确提到内部控制框架可以作为企业内部控制体系建立的标准。

PCAOB最终确定的（审计标准）规定管理层的总体责任包括：

1、管理层必须记录与所有重要财务报表会计科目和披露事项之相关认定有关的内控设计；

2、管理层必须测试与所有重要财务报表会计科目和披露事项之相关认定有关的内控，而且测试应当涵盖内部控制的全部要素。

3、管理层必须执行适当程序以获得充分的证据并保留相关记录，来支持其对于公司内部控制的有效性实施的评估。

4、管理层对内部控制实施评估是公司内部控制的一部分，它代表了公司监督内控的一个重要方面。可以使用内部审计师、公司其他人员和第三方协助其进行评估工作但不能将其对公司内部控制进行评估的责任委派给外部审计师或其它任何第三方。

5、如果发现了一个或多个严重不合格（MaterialWeakness），管理层就不能认定公司的内部控制是有效的。

6、404条款管理层报告必须披露所有严重不合格（MaterialWeakness）。五、风险管理阶段（企业风险管理整合框架阶段）---21世纪以后（8分法）（三）风险管理整合框架

2004年10月，COSO委员会对《内部控制一一整体架构(InternalControl一IntegratedFramework)》做了进一步的延伸和扩展，提出了《企业风险管理——整合框架（(EnterpriseRiskManagement一IntegratedFramework)》。P14企业风险管理架构是在1992年COSO报告的基础上，结合《萨班斯-奥克斯法案》在财务报告方面的要求，进行的扩展研究。

（三）风险管理整合框架1、定义：P14

COSO对风险管理框架的定义是：“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理的保证”。（三）风险管理整合框架2、全面风险管理框架：

图1--3全面风险管理框架

3、与内部控制整体架构的比较：（1）提出了一个新的观念—风险组合观（2）增加了一类目标—战略目标，并扩大了报告目标的范畴（3）提出了两个新概念—“风险偏好”和“风险容忍度”（4）增加了三个风险管理要素，对其他要素的分析更加深入，范围上也有所扩大（1）提出了一个新的观念—风险组合观企业风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。（2）提出了两个新概念——“风险偏好”和“风险容忍度”风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的风险偏好结合起来。

风险容忍度的概念是建立在风险偏好概念基础上的，是指在企业目标实现的过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可容忍限度。

3）增加了一类目标——战略目标内部控制架构将企业的目标分为经营、财务报告和合规性三类目标。企业风险管理架构比内部控制架构增加了一类新的目标—战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。（4）增加了三个风险管理要素新增了三个风险管理要素：“目标制定”、“事项识别”和“风险反应”。此外，风险管理架构更加深入地阐述了其他要素的内涵：在控制环境要素上，企业风险管理架构将“控制环境”扩展为“内部环境”。（4）增加了三个风险管理要素在风险评估方面，企业风险管理架构建议从固有风险和残存风险的角度来看待风险；还要求注意相互关联的风险。在信息与沟通方面，企业风险管理架构扩大了企业信息和沟通的构成内容，认为企业的信息应包括来自过去、现在和未来潜在事项的数据。4、其他规定

2013年5月14日，美国反虚假财务报告委员会发起组织（COSO）发布了更新版的《内部控制——整合框架》和相关的说明性文件。COSO还发布了“评价内部控制系统和对外财务报告内部控制（ICEFR）有效性的说明性工具”：方法和范例简编。4、其他规定正如先前所宣布的那样，COSO在过渡期继续其原来的框架仍为有效，该转换过渡期延长至2014年12月15日，之后，COSO将考虑用2013年的框架取而代之。

COSO委员会认为，在过渡期内（2013年5月14日至2014年12月15日），继续使用原来的框架是合适的。

在此期间，COSO委员会认为，对外报告的机构应当明确披露其采用的是原来的框架还是2013年的框架。COSO也将继续在其刊物上提供“规模较小的公共公司财务报告内部控制指引”，直到2014年12月15日之后，将不再可用原来