当代内部控制的发展-课件

1当代内部控制的发展

张晓瑜

博士

2案例：英国巴林银行（BaringsBank）倒闭案破产企业：巴林银行，1763年成立，全球最早的商业银行，直至破产时已有233年历史关键人物：尼克李森(NickLesson)，年龄26岁，英国巴林银行新加坡期货交易员事件概要：李森先生在负责巴林银行在新加坡国际货币交易所（SIMEY）证券交易工作中，由最初错将买入20份合同造成损失20000英镑开始，到420份合同的失误，到非经授权操作期货指数和日经225股票指数造成几千万英镑损失，直到1995年2月23日累计到14亿英镑的损失。其间李森得到由一片赞扬、欣赏、高额红利到逃跑、被抓入狱的戏剧性的变化，而巴林银行由业绩辉煌到轰然倒塌。3损失金额：14亿英镑损失发生时间：1992年3月——1995年2月缺乏有效的风险管理和内部控制：1.缺乏不同职责的划分和制约，例如允许李森身兼双职，既担任前台首席交易员职务，又负责管理后台清算。2.对部门负责人的交易金额和权限缺乏限制；缺乏内部监督与稽核。思考的问题：1.为什么百年银行会毁在一个20几岁的交易员手中？

2.巴林银行毁在远在总部之外的非主营业务——期权、期货交易上，说明了什么？4考虑：若有有效的机制，可以纠正、遏制。人都会犯错误。人走向灭亡，公司走向倒闭。思考：错误发生时，是否有纠错机制？也就是需要内部控制。问题：为什么如此大的银行，没有良好的内控？回答－对常规业务有良好的内部控制，对新项目缺乏适当的内控。原有内控体系不完善。最基础的内部牵制，不相容职责没有做好，新加坡的期货业务交易由一个人操作。即最基础的内控没有做好。重大业务需要授权，李深权力大，责任大，风险也大。5第一章内部控制基本理论第二章内部控制目标与要素第三章COSO与ERM比较第四章《企业内部控制基本规范》第五章内部控制与萨班斯法案第六章内部控制程序与方法6第一章内部控制基本理论一、内部控制的概念内部控制绝对不是：静态的结构；某一层次人员的任务（例如：高级管理层）；某一部门的任务（例如：财务、内部审计）；某一实体的任务（例如：总部、子公司）。7第一章内部控制基本理论（续）概念1：《中国注册会计师执业准则第1211号——了解被审计单位及其环境并评估重大错报风险》第46条规定：”内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。”8第一章内部控制基本理论（续）概念2：美国反欺骗性财务报告委员会（COSO）的定义：内部控制是一个靠组织的董事会、管理层和其他员工去实现的过程，实现这一过程是为了合理的保证：

经营的效果性和效率性；财务报告的可信性；对法律和规章制度的遵循性。因此，整个集团的共同参与对于项目的成功至关重要。9第一章内部控制基本理论（续）概念3：从企业发展全球化、竞争日趋激烈趋势看，结合企业风险战略理论和风险管理理论，内部控制系统描述如下：企业的内部控制系统是为保护资产的安全完整、信息交流与沟通的畅通、实现组织经营的效率与效果、遵守各种法律规章等目标，把各种影响因素控制和抑制在可接受的风险水平下，由企业管理当局设立的一整套系统的措施与方法。10概念4：内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

-------《企业内部控制基本规范》11第一章内部控制基本理论（续）二、内部控制的演进形成时间内控理论主要内容20世纪30年代内部牵制Internalcheck1.内部牵制三要素：职责分工、会计记帐、人员轮换。2.内部牵制的执行分为四类：实物牵制、机械牵制、体制牵制、簿记牵制。20世纪40-70年代发展阶段会计控制和管理控制1、1934年，美国《证券交易法》首先提出“内部会计控制”概念；2、1949年，美国会计师协会的审计程序委员会（CAP）发表《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告，对内部控制首次做出了定义；3、1953年10月，CAP又发布了《审计程序公告第19号》，内部控制按其要点划分为会计控制和管理控制。4、1972年，美国准则委员会（ASB）《审计准则公告》的制定者，对管理控制和会计控制提出并通过了今天广为人知的定义。1220世纪70-80年代形成阶段内部控制结构论1988年美国注协审计委《审计准则第55号》首次以“内部控制结构：取代“内部控制”，指出内部控制结构包括三要素：（1）控制环境；（2）会计制度；（3）控制程序20世纪90年代-21世纪成熟阶段Ⅰ内部控制框架1992年，美国”反对虚假财务报告委员会”，所属的内部控制专门研究委员会发起机构委员会，在进行专门研究后提出专题报告：《内部控制一整体架构(InternalControl一IntegratedFramework)》，也称COSO报告。五要素21世纪初至2013年成熟阶段Ⅱ风险管理框架2004年9月发布《企业风险管理-整合框架》八要素2013年内部控制新框架2013年5月发布COSO新框架13第一章内部控制基本理论（续）三、内部控制的法律法规1996年12月，财政部发布《独立审计准则第9号——内部控制和审计风险》，提出内部控制“三要素”，帮助注册会计师判断是否信赖内部控制，以确定审计性质、时间和范围。1997年5月，中国人民银行发布了《加强金融机构内部控制的指导原则》，就银行、保险公司等金融机构内部控制的目标、原则、要素、基本要求等作出了规范。2000年11月，证监会发布了《公开发行证券公司信息披露编制规则》，要求公开发行证券的商业银行、保险公司、证券公司建立健全内部控制制度，并在招股说明书正文中说明内部控制制度的完整性、合理性和有效性。同时，要求注册会计师对被审计者的内部控制制度及风险管理的“三性”进行评价和报告。142001年1月，证监会发布了《证券公司内部控制指引》，要求所有的证券公司建立和完善内部控制机制和内部控制制度。2001年6月，财政部发布了《内部会计控制——基本规范（试行）》和《内部会计控制规范——货币资金（试行）》，明确了单位建立和完善内部会计控制体系的基本框架的要求，以及货币资金内部控制的要求。2002年2月中国注册会计师协会颁布了《内部控制审核指导意见》，规范注册会计师就被审核单位管理当局在特定日期对内部控制有效性的认定进行审核，并发表审核意见。152002年9月中国人民银行颁布了《商业银行内部控制指引》，内部控制应当包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正要素。2002年12月财政部又发布了《内部会计控制——采购与付款（试行）》和《内部会计控制——销售与收款（试行）》，之后，有相继颁布了《内部会计控制——担保（征求意见稿）》、《内部会计控制——成本费用（征求意见稿）》2003年10月，财政部又发布了《内部会计控制——工程项目（试行）》，主张各单位应当建立适合被单位业务特点和管理要求的工程项目内部管理制度，并组织实施。162004年8月中国银行业监督管理委员会通过了〈商业银行内部控制评价试行办法》，该办法自2005年2月1日施行。2006年6月上海证券交易所发布《上海证券交易所上市公司内部控制指引》，明确公司内部控制通常应涵盖经营活动中所有业务环节、经营活动各环节之中的各项管理制度、信息管理、专项风险等。172006年6月国资委出台了《中央企业全面风险管理指引》。

2008年6月，五部委出台《企业内部控制基本规范》

2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》（以下简称基本规范）。基本规范自2009年7月1日起先在上市公司范围内施行。第五条企业建立与实施有效的内部控制，应当包括下列要素：（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。第十五条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。第四十四条企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。《企业内部控制基本规范及配套指引》

的解读构成《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制审计指引》《企业内部控制评价指引》第1号：组织架构第2号：发展战略第3号：人力资源第4号：社会责任第5号：企业文化第6号：资金活动第7号：采购业务第8号：资产管理第9号：销售业务第10号：研究与开发第11号：工程项目第12号：担保业务第13号：业务外包第14号：财务报告第15号：全面预算第16号：合同管理第17号：内部信息第18号：信息系统《企业内部控制基本规范》的解读目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。原则：全面性原则重要性原则制衡性原则适应性原则成本效益原则要素：1内部环境2风险评估3控制活动4信息与沟通5内部监督《企业内部控制配套指引》解读发布时间：2010年4月26日主要内容：1、《企业内部控制应用指引》（18项）2、《企业内部控制评价指引》3、《企业内部控制审计指引》实施时间表：2011年1月1日在境内外同时上市的公司实施；2012年1月1日在上海证券交易所、深圳证券交易所主板上市的公司实施；在此基础上，择机在中小板和创业板上市公司实施，同时，鼓励非上市大中型企业提前执行《企业内部控制审计指引》概念：指会计师事务所接受委托，对特定基进行准日内部控制设计与运行的有效性进行审计。它是企业内部控制规范体系实施中引入的强制性要求。要点注册会计师不仅应当对企业财务报告内部控制有效性发表审计意见，同时还应当对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加描述段予以说明。这项制度安排是《基本规范》和《配套指引》的重要制度创新。28审计责任划分董事会——建立健全和有效实施、评价内部控制的有效性注册会计师——对内部控制的有效性发表审计意见29审计范围财务报告内部控制的有效性非财务报告内部控制的重大缺陷披露30整合审计内部控制审计与财务报表审计整合31利用被审计单位人员工作注册会计师独立承担责任32评价控制缺陷董事、监事和高管层舞弊企业更正已经公布的财务报表注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现审计委员会和内部审计部门对内部控制的监督无效33《企业内部控制评价指引》概念：内部控制评价是指企业董事会或类似决策机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。要点1.以客观性原则替代独立性原则，强调实质性的独立。2.内部控制评价内容按照COSO1内部控制五要素划分，与国内外的其他监管规定更加融合。3.严格内部控制评价报告的披露要求，增加对期后影响因素的关注。3536《企业内部控制应用指引》要点就企业如何围绕内控五要素建立健全内部控制提供指引；在内控规范体系中占主体地位；37

分类：内部环境类控制活动类控制手段类组织架构、发展战略、人力资源、企业文化、社会责任资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告全面预算、合同管理内部信息传递、信息系统38基本涵盖了企业资金流、实务流、人力流和信息流等各项业务和事项。39第二章内部控制目标与要素一、内部控制的目标二、内部控制要素40第二章内部控制目标与要素（续）一、内部控制的目标总目标:为使经营目标、管理目标得到实现，将影响因素发现出来并进行分析，试图采取科学合理的措施将风险程度控制在可以接受的水平之下具体目标：一是保证沟通渠道和沟通程序的畅通；二是捕捉风险征兆，识别风险因素，评价风险程度；三是制定合理的风险管理措施和方法；四预防、发现、纠正错误和舞弊；五是保护资产的安全与完整；六是遵循各种政策、计划、程序、法律和法规；七是从管理的经济性要求，适时协调控制手段与控制目标和组织总目标的关系。41无论内部控制设计和执行的再好，它也只能提供合理的保证，个别内部控制可能会失效。内部控制的局限性表现在：判断失误执行偏差管理层越权合伙同谋，内部、内外的串通舞弊会使内部控制失效内部控制受制于成本效益原则人员素质、信息传递的影响经营环境变化[思考题]为什么即便一个公司拥有先进、有效的内部控制，但公司仍然会存在舞弊事项？内部控制的局限42第二章内部控制目标与要素（续）二、内部控制要素43第二章内部控制目标与要素（续）要素一：控制环境内部控制系统的设计、执行与企业内外环境紧密联系。所谓控制环境是指对内部控制系统的建立和实施有影响的所有因素的统称。控制环境要素是其它内部控制系统要素发挥作用的基础，直接影响内部控制的贯彻、执行。1.企业战略和风险管理战略2.评价员工的能力3.董事会和审计委员会4.管理哲学5.组织架构6.责任的分配与授权7、人力资源8、诚信的原则和道德价值观44第二章内部控制目标与要素（续）1.企业战略和风险管理战略组织管理有三种职责：计划、组织和领导。计划的功能是确立目的和目标；组织意味着集中所需要的人力、工具、原材料和资金，按照政策、计划和标准框架把它们安排在各职能部门中去，以达到目的和目标；领导意味着命令、指导和监督执行。组织管理可分为三个层次：战略性的、战术性的和营运性的。三个层次的目标不同，制定人和执行人也是不一样的，它们都要求计划、组织和领导，各个层次有横向的平行内容，又有纵向的递进关系，横纵都需要协调，这就产生建立内部控制系统的需要，而建立内部控制系统又必须依据战略、战术目标的要求，因此，企业各种战略决策就成为设立和评价内部控制系统的根据。452员工胜任能力是要求员工具备完成工作任务所需的知识和技能。目的是保证员工能够正确理解相关规定、及时恰当分析和处理业务。举例：管理层是否分析某项工作所包含的任务，并考虑员工需要进行职业判断的程度和进行相关监督的程度在相当大的范围内，管理层确定了各项工作所需的知识和技能存在证据表明员工具备工作所需的知识和技能463董事会或审计委员会独立于管理层之上指导和监督管理层的工作举例：董事会是否对管理层的决定提出建设性的置疑是否建立董事会专门委员会，他们在专业和资历方面能够有效的处理相关的重要问题董事是否有足够的知识、行业经验和时间以有效的工作审计委员会是否单独见总会计师和内部、外部审计师以讨论财务报告流程、内部控制系统、重大意见和建议及管理层业绩的合理性审计委员会是否每年审核内部和外部审计师的工作范围董事会是否定期收到关键的信息（例如财务报告、主动市场动向、重大合同、协议）是否存在向董事会报告重大问题的程序是否监督高级管理人员的薪酬、聘用和解聘董事会是否明确的强调高级管理层应该遵守行为准则董事会或审计委员会是否会根据其发现采取适当行动，包括特殊调查等474、管理哲学企业管理层的管理哲学和经营风格，直接影响着企业管理的方式，风险管理更是其中重要的体现。经理人的管理哲学和经营风格在其“风险偏好”中得到集中表现，加上他的能力就更加体现该经理人的个人魅力。风险规避风险转移风险控制与抑制风险接受甚至风险利用的风险管理措施485组织结构组织结构是权责分工的架构，每个企业都可根据自己的需要确定最有效的组织结构。举例：公司的组织结构是否有利于信息的上传、下达和各业务活动间的流动公司业务活动的职责和期望是否明确的传达给负责这些活动的管理人员报告关系是明确而有效的，能够向经理人员提供与其责任和权力有关的信息管理人员定期根据变化的业务或行为环境来评价公司的组织结构经理和监管人员拥有足够的时的间来有效履行职责496管理层授权和职责分工授权和职责分工是按照权责对等的原则，进行授权和责任分配。将企业的目标分解至每个员工，使员工的行为与企业目标相联系。举例：决策的责任是否与其职权和职责相对应对员工进行授权和分配职责时，适当的信息被充分考虑岗位描述是否包括了具体的与控制有关的责任的描述完成工作所需要的权限与高级管理人员参与的程度存在一个适当的平衡507人力资源政策和措施人力资源政策和措施是关于员工聘用、培训、考核、进升、薪酬等方面的政策和程序。目的是聘用和保持合格的员工。举例：现有人力资源政策和程序可以招聘和发展有能力、可信的人员，能够支持有效的内部控制系统新员工是否能意识到他们的工作职责和公司对他们的期望管理人员是否定期与员工回顾他们的工作表现和今后的改进建议管理层对工作失职采取适当的回应人力资源政策与相应的道德标准是否一致是否核查招聘候选人的背景，特别考虑公司不能接受的行为或活动518、诚信的原则和道德价值观无论是企业最高管理层还是其他成员都应当做到：严格一致地保持诚信行为和道德标准；不要盲目追求不切实际的目标，以至形成不必要的压力。52外部诸多影响因素：某些外部因素的变化，也影响企业内部控制系统政策和程序变化。如证监会、银监会、保监会、政府审计、独立审计以及各行业制度变化和报告要求，就可能使企业管理当局强化控制意识而采取特定的内部控制系统的政策和程序53要素二：风险评估风险：是任何可能影响实现目标的因素风险评估：是识别和分析那些影响目标实现的风险的过程，是确定如何管理和控制风险的基础54目标、风险和内部控制的关系确定目标行动计划/评估风险责任分配分析控制551公司层面的目标：一个公司要达到有效控制就必须建立目标。公司层面目标包括公司期望实现的目标的总体说明，并有相关的战略计划支持。2业务活动层面的目标：业务活动层次的目标来自公司总的目标和战略计划，并与之相联系。这些目标应针对每个重要的活动并与其他活动保持一致。3风险评估的过程风险识别：－发现和分析那些影响目标实现的风险，考虑外部因素和内部因素；－企业的风险评估程序应该从企业层次和业务活动层次两个角度识别，并分析其相关影响风险分析：－估计风险的重要程度；－评估风险发生的可能性（或频率、概率）56举例：识别外部风险机制是否健全：－供货来源－技术变革－债权人的要求－竞争对手的行为－经济条件－政治条件－监管－自然事件57识别内部风险机制是否健全：－人力资源－融资－劳动关系－信息系统584应对变化针对影响企业或业务层面目标实现的事件或活动，是否能够预见、识别并采取相应措施针对那些对企业有巨大、深远影响的变革，是否能够识别和处理59要素三：控制活动控制活动：是为确保管理层指示得以执行的政策和程序。它们包括一系列不同的活动，如审批、授权、确认、核对、考核经营业绩、资产保护等。60项目内容授权控制为了保证重要经济业务的有效处理，对于关键的控制点需执行授权与批准控制程序。对经济业务的授权分一般授权和特殊授权。职务分离控制是指对处理某种经济业务所涉及的职责分派给不同的人员，使每个人的工作都是对其他有关人员的一种自动检查。对于不相容职务应该进行适当分离，并进行检查，不相容职务的分离包括在部门间分离和部门内部的分离。凭证与记录控制凡是企业发生的经济业务，均应留有或填置凭证，如实记录。企业的凭证控制程序应能保证有关人员在处理经济业务时及时地编制凭证、合理地传递、正确地使用和妥善保管。资产接触、使用与记录控制为了限制非授权人随意接近资产和记录，以保证资产和记录的安全完整。其主要内容包括：（1）限制非授权人接触某项资产及有关记录；（2）建立必要的防护措施，确保资产的安全完整。如签批手续、密码、防火墙等设置。独立的检查与评价控制由业务执行者以外的人员对已执行的业务的正确性所进行的验证，又称内部稽核。内部稽核包括如下的审核、复核和分析：凭证对凭证、证与账、账与账、账与表、账与物、计划与实际、预算与实际、现在与历史、内部与外部等。611控制活动的关注点－针对企业的每一项业务活动都有必要和恰当的政策和程序。－已确定的控制行为得到恰当的执行

－规定的控制程序是否已实施，是否正确地按照设计意图执行。－出现例外或发生需要跟踪的情况时，是否采取了恰当、及时的措施。－监督人员是否审核控制的功能。

622控制活动类型－针对企业的不同目标，控制活动可以分为以下三个类型：即为提高经营效率效果、增强财务报告的可靠性、遵守法规等目标的三类控制活动；－根据控制活动的不同作用，控制活动又可以分为：预防性控制、检查性控制、指导性控制、纠错性控制、补偿性控制等五种类型；－根据组织中实施人员的不同，控制活动也可以分为：高层审批、指导并管理业务活动，信息处理，实物控制，业绩指标分解，责权分配等。63要素四：信息和沟通信息和沟通：指相关信息以某种形式被识别、获得和沟通，以促使员工履行自己的职责。相关的信息包括从外部获取的行业、经济、监管信息以及内部产生的信息。信息的识别和获取信息加工和报告内部沟通和外部沟通641信息获取内部和外部信息，向管理层报告企业既定目标的实现情况及时向适当的人员汇报足够的信息以便他们有效的履行其职责信息系统的建立和修改基于对信息系统的战略规划－－与这个企业的战略相连，并且着眼于实现企业的目标和业务活动层次的目标通过承诺适当的资源－－人力资源和财力资源，管理层表现出对发展必要的信息系统的支持态度65举例：是否存在获取相关外部信息的机制－有关市场状况、竞争对手的计划、立法或监管的发展以及经济变化。对于实现企业目标的重要内生信息，包括关键的成功因素，是否得到确认并定期汇报。经理是否得到了他们履行职责所需要的信息。是否向不同级别的管理层汇报了不同详细程度的信息。是否对信息进行了适当的汇总，可以满足进一步详查的需要，而不仅仅是数据的堆砌。信息是否及时，是否便于有效监控有关事件和活动－内部的和外部的－并对经济、行业因素和控制问题进行迅速反应。66是否存在一种机制来识别不断产生的信息需求（如：信息技术督导委员会）。信息的需求和优先次序由具有充分责任的高级管理层来决定。是否订立了一个长远的信息技术计划，并与战略决策相联系。是否为建立或改进信息系统提供了足够的、必要的资源（经理、分析员、具备必要能力的编程人员）。672沟通向员工传达其职责和控制责任的有效性建立沟通渠道供员工反映他们注意到的可疑问题管理层对于员工提出的提高生产力、质量的建议或其他改进建议的接受能力整个企业内部是否充分交流（比如，采购和生产环节的交流）；信息是否完整和及时；以及信息是否足够满足相关人员有效地履行职责的需要是否有开放、有效的渠道，与客户、供应商和外部其他方面交流不断变化的客户需求外部相关方了解企业道德标准的程度在收到客户、供应商、监管者和其他外部人员反映的情况后，管理层采取的及时和适当的应对措施68举例：员工是否清楚他们的行为要达到的目标，以及他们的工作对于实现这些目标有什么作用员工是否清楚自己的职责与他人的职责如何相互影响除了直接的上司，有没有其他的渠道可以向上反映情况，例如调查员或公司律师等。是否允许匿名的反馈。员工是否确实使用这个沟通渠道。报告情况的人员是否得到反馈，并且受到保护不受报复。69销售人员是否向工程、生产和营销人员反映客户需求应收账款负责人员是否向信用管理人员汇报付款不及时的客户建议、投诉和收到的其他情况是否得到重视并向内部相关人员汇报必要的信息是否向上汇报并采取相应的跟进措施是否善于接受他人就产品、服务或其他方面反映的问题，并且对此进行调查并采取适当的行动高级管理层是否清楚投诉的性质以及数量70要素五：监督监督：是评估内控系统在一定时期内运行质量的过程，目的是保证内部控制持续有效。监督的方式包括：

－持续性监督－独立的评估71持续性监督：持续性的监督行为发生在经营的过程中，它包括日常的管理、监督、比较、核对和其他常规性活动。独立评估独立评估是独立于控制活动之外而采取的定期评估行为。72第三章COSO与ERM比较

相对于COSO报告而言，ERM框架中新增加的内容：一个观念；一个目标；两个概念；三个要素；一个部门：风险管理部73内部环境战略目标设定事项识别风险评估风险应对控制活动信息与沟通监督经营报告遵循子公司业务单位分支机构企业整体层次74第三章COSO与ERM比较（续）一、提出一个新的观念—风险组合观内部控制框架中没有预期到的一个概念是风险的组合观。企业风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施所承担的风险在风险偏好的范围内。75二、增加了一个目标—战略目标，并扩大了报告目标的范围战略经营报告遵循内部环境战略目标设定事件识别风险评估风险应对控制活动信息与沟通监控经营报告遵循子公司业务单位分支机构企业整体层次76战略目标：处于比其他目标更高的层次。战略目标来自一个主体的使命或愿景，因而经营、报告、和合规目标必须与其协调。报告目标：内部控制框架中的包括定义为与公开的财务报表的可靠性有关。在企业风险管理框架中，报告被大大地拓展为包含主体所编制的所有报告，包括对内报告和对外报告。77三、两个概念1、风险容量/偏好（riskappetite）一个主体在追求其使命/愿景的过程中所愿意承受的广泛意义的风险数量。它在战略制定和相关目标的选择中起到了风向标的作用。2、风险容限相对于目标的实现而言所能接受的偏离程度。在确定风险容限的过程中，管理当局考虑相关目标的相对重要性，并使风险容限与风险容量相协调。78四、三个要素1、目标设定（objectivesetting）在风险管理框架中，由于要针对不同的目标分析其相应的风险，因此目标的制定自然就成为风险管理流程的首要步骤，并将其确认为风险管理框架的一部分。2、事项识别（eventidentification）企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素，而且可能在企业的各个层面上出现，并且应根据对实现企业目标的潜在影响来确认风险。但是，企业风险管理框架深入探讨了潜在事项的概念，认为潜在事项是指来自于企业内部和外部资源的，可能影响企业战略的执行和目标实现的一件或一系列偶发事项。3、风险应对（riskresponse）风险的四种反应方案：规避、减少、共担和接受风险。作为风险管理的一部分，管理者应比较不同方案的潜在影响，并且应在企业风险容限范围内的假设下，考虑风险反应方案的选择。、

第四章

2013年COSO框架新变化2013年5月，COSO发布新的内部控制框架实施时间：2014年12月过渡期需要披露使用的版本重大变化：基于原有COSO五要素提出了17条核心内控原则，大幅度增强了五要素的可操作性控制环境---要素1原则1：组织对正直和道德等价值观做出承诺分析：作为控制环境的基础要件，恰当的职责操守及道德规范水平将对组织整体内控的设计和运行水平产生重大影响。因此，组织应向其全体成员提出清晰、积极的职业操守及道德规范期望。原则2：最高治理层和管理层应适当分权。董事会独立于管理层，并对内部控制的推进与成效加以监督控制。

分析：明确了组织治理范畴下的董事会基本独立性要求，以及管理层建立内控体系的责任及董事会监督职能。原则3：管理层围绕其目标，在治理层监督下，建立健全组织架构、汇报条线、合理的授权与责任等机制分析：在明确内控体系的目标导向特征的前提下，2013COSO框架要求明确管理层的内控职责，并明确了构成内控体系的关键要素：恰当的组织结构汇报路径职责分配授权体系原则:4：组织对吸引、开发和保留与认同组织目标的人才做出承诺。

分析：框架强调人的因素对控制环境的影响。高素质的执行团队将有效推动内控体系的设计有效性及执行效率，进而优化内控环境。原则5：组织根据其目标，使员工各自担负起内部控制的相关责任。分析：此原则同样在强调内控体系中人的因素。职责不清会对整个内控体系的运行产生不利影响，而清晰的内控责任体系将提升内控体系整体执行力，进而优化内控环境。84风险评估---要素2原则6：组织制定清晰的目标，进而能够有效识别和评价威胁目标实现的风险。分析：内部控制的目标导向特征使得组织必须首先明确其目标，然后才能在此基础上识别可能威胁目标实现的各类风险，为后续控制措施的提出奠定基础。85原则7：组织在整个实体层面识别可能威胁组织目标实现的风险，以便判断如何对这些风险进行管理。分析：组织在明确其目标之后，应该采取主动积极的管理措施对各类风险进行有效收集、确认、分类和评价，才能有针对性的设计和执行各种控制措施。86原则8：组织在评价威胁组织目标实现的风险时，考虑潜在的舞弊。分析：舞弊风险因其存在主观故意性、隐蔽性、串谋性、危害严重性等特征，而区别于一般风险。新框架提出应在风险评估阶段，对舞弊风险进行考虑。87原则9：组织对可能对内控体系产生重大影响的变化事项进行识别与评价。分析：组织内部变化因素（组织结构调整、兼并收购、业务转型等）及外部环境变化因素（法规变化、市场条件变化等）可能导致原有内控体系无法涵盖和适应组织的各类业务活动。在风险评估阶段，组织需对这些变化因素进行识别与评估。88控制活动---要素3原则10：织组选择并且设置控制活动，以将威胁组织目标实现的风险降低到可接受的水平。分析：针对已识别的各类风险，组织应有针对性的设置相应的控制活动（财产保护、不相容职务分离、会计记录、授权审批等），以降低风险水平。具体的措施选择及执行程度，受到组织治理层风险偏好的影响。原则11：组织针对技术选择并且设置一般控制活动，以支持组织目标实现。分析：相对于具体业务层面风险，技术风险具有自身特征。新框架对与技术相关的风险进行了强调。原则12：组织通过制定政策（以明确控制期望）和具体流程（将控制期望转换为具体行为）来贯彻控制活动。分析：新框架把控制活动的贯彻划分为一般控制政策及业务流程两个层面。后者作为前者的具体实现方式。即政策制定应当具备明确目标，具备实践指导性，当情况变化时（出现特例）时候，如何处理，如果调整具体流程，应以政策为依据。信息与沟通----要素4原则13：组织获取或者产生符合使用者需求的、高质量的信息，以支持内控体系发挥功能。分析：任何主体在实施特定指控措施时，往往都需要获得一定的信息支持。信息质量包括及时、完整、准确。质量的高低对控制措施的实施效果会产生巨大影响。企业应当建立完善信息获取的渠道和信息产生的方法、工具，进一步明确信息输入、输出的标准、口径以及控制措施。原则14：组织在内部沟通相关信息（包括控制目标、控制职责），以支持内控体系发挥功能。分析：控制职责等信息只有有效转达至各执行主体，各执行主体才可能有效的实施控制措施。同时，组织成员对在业务管理活动中其他组织成员的控制目标和责任有清晰的了解，有助于整体团队沟通合作，实现组织整体目标。原则15组织与外部相关各方沟通可能对内控功能发挥产生影响的事项。分析：任何组织都非孤立存在，其内部活动必然与外部产生各种联系。在必要时，组织需要就内控事项与外部主体进行沟通，以满足外部主体合理利益诉求。监督活动---要素5原则16：组织选择、设计和执行持续或者单独的评价，以确认内控各关键要素存在且持续发挥功能。分析：为确保组织内控体系正常运转，必须建立有效的监督机制。监督机制可以与业务执行保持一致而实现持续监督（比如持续的对一类管理活动予以动态监控），也可以采取单独评价方式（如按照一定时间间隔执行经营审计）。从组织层面上可划分为业务层面的监督或者组织层面的独立监督。原则17：组织对内部控制进行评价，并及时将发现的内控缺陷报给负责执行纠正性措施的主体，这些主体包括高管层、董事会、具体视缺陷情况而定。分析：通过原则16监督所识别的内控缺陷，应有效传达至负责主体（根据缺陷所处层级及影响程度，通常由董事会或者高管层负责），并由后者实施相应的整改，以及时弥补内控缺陷。100第六章：内部控制与萨班斯法案一、法案的背景

安然，世通等知名公司相继暴露出严重的管理层欺诈丑闻，使美国上市公司深陷信用危机。 会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人员的道德风险是导致管理层欺诈丑闻的根本原因。 重建公司信用，规范高级管理层与注册会计师关系和职业道德的要求刻不容缓。

2002年6月，布什总统签署的萨班斯－奥克斯利法案正式生效，该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，故简称《萨班斯－奥克斯利法案》。该法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。101第六章：内部控制与萨班斯法案（续）二、法案出台的目的

-重建公司信用，培育公众信心，振兴证券市场。

-加强公司监管，规范业务运作。

-增加财务报告与信息披露的透明度。

-确保公司管理层可以从有效监控的系统中获取重要信息。

-公司管理层必须对美国证券管理委员会要求存档的材料和向投资者公布的信息承担责任。102三、法案的主要内容

-成立独立的公众公司会计监察委员会，监管执行上市公司审计职业

-要求加强注册会计师的独立性

-要求加大公司的财务报告责任

-要求强化财务披露义务

-加重了违法行为的处罚措施

-增加经费拨款，强化美国证券管理委员会的监管职能

-要求美国审计总署加强调查研究其中与上市公司管理层直接相关的是：第302节公司对财务报告的责任第404节管理层对内部控制的评价103第302节公司对财务报告的责任

-要求公司首要官员及首要财务官在季度/年度报告中保证

-对信息披露的控制和程序负责（含刑事责任）

-设计必要的内部控制手段并确保其执行可使高层及时获得重要信息

-对披露控制的有效性进行评估，评估结果需存档

-不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为

-存档描述内部控制的重大变化

-介绍信息披露的控制和程序

-强调财务人员的正直和财务报告系统控制的完整性

-需披露的非财务信息包括：重要合同的签署，战略合作关系的解除以及法律诉讼

-美国证券管理委员会要求

-扩大信息披露的控制和财务报告系统内部控制程序的认证

-将内控评估日改为财务报告截止日104第404节管理层对内部控制的评价

-要求公司管理层在年度报告中：

-描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任

-对财务报告系统内部控制有效性以一个公认架构进行评估（例如COSO内控架构）

-同时要求外部审计人员：

-对管理层评估结果进行签证

-美国证券管理委员会要求

-扩大信息披露的控制和财务报告系统内部控制程序的认证

-将内控评估日改为财务报告截止日105在美国上市的公司，不论规模，均需遵守萨班斯－奥克斯利法案的有关规定。即使上一年注册会计师出具的是无保留意见的审计报告，也不表示公司现有的内控系统已经符合法案的规定。根据法案的规定，独立审计人员还需另外证明客户公司的内部控制系统是有效的。美国国会清楚地规定，公司对其财务报告和信息披露的公允性、充分性和正确性负有责任。法案规定独立审计人员的主要职责为：证明管理层对公司财务报告系统的内部控制程序是否有效的评估是合理的。换句话说，管理层必须独立地评估，执行和监控内部控制程序（但是