當代內(nèi)部控制的發(fā)展-課件

1當代內(nèi)部控制的發(fā)展

張曉瑜

博士

2案例：英國巴林銀行（BaringsBank）倒閉案破產(chǎn)企業(yè)：巴林銀行，1763年成立，全球最早的商業(yè)銀行，直至破產(chǎn)時已有233年歷史關(guān)鍵人物：尼克李森(NickLesson)，年齡26歲，英國巴林銀行新加坡期貨交易員事件概要：李森先生在負責巴林銀行在新加坡國際貨幣交易所（SIMEY）證券交易工作中，由最初錯將買入20份合同造成損失20000英鎊開始，到420份合同的失誤，到非經(jīng)授權(quán)操作期貨指數(shù)和日經(jīng)225股票指數(shù)造成幾千萬英鎊損失，直到1995年2月23日累計到14億英鎊的損失。其間李森得到由一片贊揚、欣賞、高額紅利到逃跑、被抓入獄的戲劇性的變化，而巴林銀行由業(yè)績輝煌到轟然倒塌。3損失金額：14億英鎊損失發(fā)生時間：1992年3月——1995年2月缺乏有效的風險管理和內(nèi)部控制：1.缺乏不同職責的劃分和制約，例如允許李森身兼雙職，既擔任前臺首席交易員職務(wù)，又負責管理后臺清算。2.對部門負責人的交易金額和權(quán)限缺乏限制；缺乏內(nèi)部監(jiān)督與稽核。思考的問題：1.為什么百年銀行會毀在一個20幾歲的交易員手中？

2.巴林銀行毀在遠在總部之外的非主營業(yè)務(wù)——期權(quán)、期貨交易上，說明了什么？4考慮：若有有效的機制，可以糾正、遏制。人都會犯錯誤。人走向滅亡，公司走向倒閉。思考：錯誤發(fā)生時，是否有糾錯機制？也就是需要內(nèi)部控制。問題：為什么如此大的銀行，沒有良好的內(nèi)控？回答－對常規(guī)業(yè)務(wù)有良好的內(nèi)部控制，對新項目缺乏適當?shù)膬?nèi)控。原有內(nèi)控體系不完善。最基礎(chǔ)的內(nèi)部牽制，不相容職責沒有做好，新加坡的期貨業(yè)務(wù)交易由一個人操作。即最基礎(chǔ)的內(nèi)控沒有做好。重大業(yè)務(wù)需要授權(quán)，李深權(quán)力大，責任大，風險也大。5第一章內(nèi)部控制基本理論第二章內(nèi)部控制目標與要素第三章COSO與ERM比較第四章《企業(yè)內(nèi)部控制基本規(guī)范》第五章內(nèi)部控制與薩班斯法案第六章內(nèi)部控制程序與方法6第一章內(nèi)部控制基本理論一、內(nèi)部控制的概念內(nèi)部控制絕對不是：靜態(tài)的結(jié)構(gòu)；某一層次人員的任務(wù)（例如：高級管理層）；某一部門的任務(wù)（例如：財務(wù)、內(nèi)部審計）；某一實體的任務(wù)（例如：總部、子公司）。7第一章內(nèi)部控制基本理論（續(xù)）概念1：《中國注冊會計師執(zhí)業(yè)準則第1211號——了解被審計單位及其環(huán)境并評估重大錯報風險》第46條規(guī)定：”內(nèi)部控制是被審計單位為了合理保證財務(wù)報告的可靠性、經(jīng)營的效率和效果以及對法律法規(guī)的遵守，由治理層、管理層和其他人員設(shè)計和執(zhí)行的政策和程序?！?第一章內(nèi)部控制基本理論（續(xù)）概念2：美國反欺騙性財務(wù)報告委員會（COSO）的定義：內(nèi)部控制是一個靠組織的董事會、管理層和其他員工去實現(xiàn)的過程，實現(xiàn)這一過程是為了合理的保證：

經(jīng)營的效果性和效率性；財務(wù)報告的可信性；對法律和規(guī)章制度的遵循性。因此，整個集團的共同參與對于項目的成功至關(guān)重要。9第一章內(nèi)部控制基本理論（續(xù)）概念3：從企業(yè)發(fā)展全球化、競爭日趨激烈趨勢看，結(jié)合企業(yè)風險戰(zhàn)略理論和風險管理理論，內(nèi)部控制系統(tǒng)描述如下：企業(yè)的內(nèi)部控制系統(tǒng)是為保護資產(chǎn)的安全完整、信息交流與溝通的暢通、實現(xiàn)組織經(jīng)營的效率與效果、遵守各種法律規(guī)章等目標，把各種影響因素控制和抑制在可接受的風險水平下，由企業(yè)管理當局設(shè)立的一整套系統(tǒng)的措施與方法。10概念4：內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。

-------《企業(yè)內(nèi)部控制基本規(guī)范》11第一章內(nèi)部控制基本理論（續(xù)）二、內(nèi)部控制的演進形成時間內(nèi)控理論主要內(nèi)容20世紀30年代內(nèi)部牽制Internalcheck1.內(nèi)部牽制三要素：職責分工、會計記帳、人員輪換。2.內(nèi)部牽制的執(zhí)行分為四類：實物牽制、機械牽制、體制牽制、簿記牽制。20世紀40-70年代發(fā)展階段會計控制和管理控制1、1934年，美國《證券交易法》首先提出“內(nèi)部會計控制”概念；2、1949年，美國會計師協(xié)會的審計程序委員會（CAP）發(fā)表《內(nèi)部控制、協(xié)調(diào)系統(tǒng)諸要素及其對管理部門和注冊會計師的重要性》的專題報告，對內(nèi)部控制首次做出了定義；3、1953年10月，CAP又發(fā)布了《審計程序公告第19號》，內(nèi)部控制按其要點劃分為會計控制和管理控制。4、1972年，美國準則委員會（ASB）《審計準則公告》的制定者，對管理控制和會計控制提出并通過了今天廣為人知的定義。1220世紀70-80年代形成階段內(nèi)部控制結(jié)構(gòu)論1988年美國注協(xié)審計委《審計準則第55號》首次以“內(nèi)部控制結(jié)構(gòu)：取代“內(nèi)部控制”，指出內(nèi)部控制結(jié)構(gòu)包括三要素：（1）控制環(huán)境；（2）會計制度；（3）控制程序20世紀90年代-21世紀成熟階段Ⅰ內(nèi)部控制框架1992年，美國”反對虛假財務(wù)報告委員會”，所屬的內(nèi)部控制專門研究委員會發(fā)起機構(gòu)委員會，在進行專門研究后提出專題報告：《內(nèi)部控制一整體架構(gòu)(InternalControl一IntegratedFramework)》，也稱COSO報告。五要素21世紀初至2013年成熟階段Ⅱ風險管理框架2004年9月發(fā)布《企業(yè)風險管理-整合框架》八要素2013年內(nèi)部控制新框架2013年5月發(fā)布COSO新框架13第一章內(nèi)部控制基本理論（續(xù)）三、內(nèi)部控制的法律法規(guī)1996年12月，財政部發(fā)布《獨立審計準則第9號——內(nèi)部控制和審計風險》，提出內(nèi)部控制“三要素”，幫助注冊會計師判斷是否信賴內(nèi)部控制，以確定審計性質(zhì)、時間和范圍。1997年5月，中國人民銀行發(fā)布了《加強金融機構(gòu)內(nèi)部控制的指導原則》，就銀行、保險公司等金融機構(gòu)內(nèi)部控制的目標、原則、要素、基本要求等作出了規(guī)范。2000年11月，證監(jiān)會發(fā)布了《公開發(fā)行證券公司信息披露編制規(guī)則》，要求公開發(fā)行證券的商業(yè)銀行、保險公司、證券公司建立健全內(nèi)部控制制度，并在招股說明書正文中說明內(nèi)部控制制度的完整性、合理性和有效性。同時，要求注冊會計師對被審計者的內(nèi)部控制制度及風險管理的“三性”進行評價和報告。142001年1月，證監(jiān)會發(fā)布了《證券公司內(nèi)部控制指引》，要求所有的證券公司建立和完善內(nèi)部控制機制和內(nèi)部控制制度。2001年6月，財政部發(fā)布了《內(nèi)部會計控制——基本規(guī)范（試行）》和《內(nèi)部會計控制規(guī)范——貨幣資金（試行）》，明確了單位建立和完善內(nèi)部會計控制體系的基本框架的要求，以及貨幣資金內(nèi)部控制的要求。2002年2月中國注冊會計師協(xié)會頒布了《內(nèi)部控制審核指導意見》，規(guī)范注冊會計師就被審核單位管理當局在特定日期對內(nèi)部控制有效性的認定進行審核，并發(fā)表審核意見。152002年9月中國人民銀行頒布了《商業(yè)銀行內(nèi)部控制指引》，內(nèi)部控制應當包括內(nèi)部控制環(huán)境、風險識別與評估、內(nèi)部控制措施、信息交流與反饋、監(jiān)督評價與糾正要素。2002年12月財政部又發(fā)布了《內(nèi)部會計控制——采購與付款（試行）》和《內(nèi)部會計控制——銷售與收款（試行）》，之后，有相繼頒布了《內(nèi)部會計控制——擔保（征求意見稿）》、《內(nèi)部會計控制——成本費用（征求意見稿）》2003年10月，財政部又發(fā)布了《內(nèi)部會計控制——工程項目（試行）》，主張各單位應當建立適合被單位業(yè)務(wù)特點和管理要求的工程項目內(nèi)部管理制度，并組織實施。162004年8月中國銀行業(yè)監(jiān)督管理委員會通過了〈商業(yè)銀行內(nèi)部控制評價試行辦法》，該辦法自2005年2月1日施行。2006年6月上海證券交易所發(fā)布《上海證券交易所上市公司內(nèi)部控制指引》，明確公司內(nèi)部控制通常應涵蓋經(jīng)營活動中所有業(yè)務(wù)環(huán)節(jié)、經(jīng)營活動各環(huán)節(jié)之中的各項管理制度、信息管理、專項風險等。172006年6月國資委出臺了《中央企業(yè)全面風險管理指引》。

2008年6月，五部委出臺《企業(yè)內(nèi)部控制基本規(guī)范》

2008年6月28日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》（以下簡稱基本規(guī)范）?；疽?guī)范自2009年7月1日起先在上市公司范圍內(nèi)施行。第五條企業(yè)建立與實施有效的內(nèi)部控制，應當包括下列要素：（一）內(nèi)部環(huán)境。內(nèi)部環(huán)境是企業(yè)實施內(nèi)部控制的基礎(chǔ)，一般包括治理結(jié)構(gòu)、機構(gòu)設(shè)置及權(quán)責分配、內(nèi)部審計、人力資源政策、企業(yè)文化等。第十五條企業(yè)應當加強內(nèi)部審計工作，保證內(nèi)部審計機構(gòu)設(shè)置、人員配備和工作的獨立性。內(nèi)部審計機構(gòu)應當結(jié)合內(nèi)部審計監(jiān)督，對內(nèi)部控制的有效性進行監(jiān)督檢查。內(nèi)部審計機構(gòu)對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制缺陷，應當按照企業(yè)內(nèi)部審計工作程序進行報告；對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制重大缺陷，有權(quán)直接向董事會及其審計委員會、監(jiān)事會報告。第四十四條企業(yè)應當根據(jù)本規(guī)范及其配套辦法，制定內(nèi)部控制監(jiān)督制度，明確內(nèi)部審計機構(gòu)（或經(jīng)授權(quán)的其他監(jiān)督機構(gòu)）和其他內(nèi)部機構(gòu)在內(nèi)部監(jiān)督中的職責權(quán)限，規(guī)范內(nèi)部監(jiān)督的程序、方法和要求?！镀髽I(yè)內(nèi)部控制基本規(guī)范及配套指引》

的解讀構(gòu)成《企業(yè)內(nèi)部控制基本規(guī)范》《企業(yè)內(nèi)部控制應用指引》《企業(yè)內(nèi)部控制審計指引》《企業(yè)內(nèi)部控制評價指引》第1號：組織架構(gòu)第2號：發(fā)展戰(zhàn)略第3號：人力資源第4號：社會責任第5號：企業(yè)文化第6號：資金活動第7號：采購業(yè)務(wù)第8號：資產(chǎn)管理第9號：銷售業(yè)務(wù)第10號：研究與開發(fā)第11號：工程項目第12號：擔保業(yè)務(wù)第13號：業(yè)務(wù)外包第14號：財務(wù)報告第15號：全面預算第16號：合同管理第17號：內(nèi)部信息第18號：信息系統(tǒng)《企業(yè)內(nèi)部控制基本規(guī)范》的解讀目標：合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務(wù)報告及相關(guān)信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。原則：全面性原則重要性原則制衡性原則適應性原則成本效益原則要素：1內(nèi)部環(huán)境2風險評估3控制活動4信息與溝通5內(nèi)部監(jiān)督《企業(yè)內(nèi)部控制配套指引》解讀發(fā)布時間：2010年4月26日主要內(nèi)容：1、《企業(yè)內(nèi)部控制應用指引》（18項）2、《企業(yè)內(nèi)部控制評價指引》3、《企業(yè)內(nèi)部控制審計指引》實施時間表：2011年1月1日在境內(nèi)外同時上市的公司實施；2012年1月1日在上海證券交易所、深圳證券交易所主板上市的公司實施；在此基礎(chǔ)上，擇機在中小板和創(chuàng)業(yè)板上市公司實施，同時，鼓勵非上市大中型企業(yè)提前執(zhí)行《企業(yè)內(nèi)部控制審計指引》概念：指會計師事務(wù)所接受委托，對特定基進行準日內(nèi)部控制設(shè)計與運行的有效性進行審計。它是企業(yè)內(nèi)部控制規(guī)范體系實施中引入的強制性要求。要點注冊會計師不僅應當對企業(yè)財務(wù)報告內(nèi)部控制有效性發(fā)表審計意見，同時還應當對內(nèi)部控制審計過程中注意到的非財務(wù)報告內(nèi)部控制的重大缺陷，在內(nèi)部控制審計報告中增加描述段予以說明。這項制度安排是《基本規(guī)范》和《配套指引》的重要制度創(chuàng)新。28審計責任劃分董事會——建立健全和有效實施、評價內(nèi)部控制的有效性注冊會計師——對內(nèi)部控制的有效性發(fā)表審計意見29審計范圍財務(wù)報告內(nèi)部控制的有效性非財務(wù)報告內(nèi)部控制的重大缺陷披露30整合審計內(nèi)部控制審計與財務(wù)報表審計整合31利用被審計單位人員工作注冊會計師獨立承擔責任32評價控制缺陷董事、監(jiān)事和高管層舞弊企業(yè)更正已經(jīng)公布的財務(wù)報表注冊會計師發(fā)現(xiàn)當期財務(wù)報表存在重大錯報，而內(nèi)部控制在運行過程中未能發(fā)現(xiàn)審計委員會和內(nèi)部審計部門對內(nèi)部控制的監(jiān)督無效33《企業(yè)內(nèi)部控制評價指引》概念：內(nèi)部控制評價是指企業(yè)董事會或類似決策機構(gòu)對內(nèi)部控制有效性進行全面評價、形成評價結(jié)論、出具評價報告的過程。要點1.以客觀性原則替代獨立性原則，強調(diào)實質(zhì)性的獨立。2.內(nèi)部控制評價內(nèi)容按照COSO1內(nèi)部控制五要素劃分，與國內(nèi)外的其他監(jiān)管規(guī)定更加融合。3.嚴格內(nèi)部控制評價報告的披露要求，增加對期后影響因素的關(guān)注。3536《企業(yè)內(nèi)部控制應用指引》要點就企業(yè)如何圍繞內(nèi)控五要素建立健全內(nèi)部控制提供指引；在內(nèi)控規(guī)范體系中占主體地位；37

分類：內(nèi)部環(huán)境類控制活動類控制手段類組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、企業(yè)文化、社會責任資金活動、采購業(yè)務(wù)、資產(chǎn)管理、銷售業(yè)務(wù)、研究與開發(fā)、工程項目、擔保業(yè)務(wù)、業(yè)務(wù)外包、財務(wù)報告全面預算、合同管理內(nèi)部信息傳遞、信息系統(tǒng)38基本涵蓋了企業(yè)資金流、實務(wù)流、人力流和信息流等各項業(yè)務(wù)和事項。39第二章內(nèi)部控制目標與要素一、內(nèi)部控制的目標二、內(nèi)部控制要素40第二章內(nèi)部控制目標與要素（續(xù)）一、內(nèi)部控制的目標總目標:為使經(jīng)營目標、管理目標得到實現(xiàn)，將影響因素發(fā)現(xiàn)出來并進行分析，試圖采取科學合理的措施將風險程度控制在可以接受的水平之下具體目標：一是保證溝通渠道和溝通程序的暢通；二是捕捉風險征兆，識別風險因素，評價風險程度；三是制定合理的風險管理措施和方法；四預防、發(fā)現(xiàn)、糾正錯誤和舞弊；五是保護資產(chǎn)的安全與完整；六是遵循各種政策、計劃、程序、法律和法規(guī)；七是從管理的經(jīng)濟性要求，適時協(xié)調(diào)控制手段與控制目標和組織總目標的關(guān)系。41無論內(nèi)部控制設(shè)計和執(zhí)行的再好，它也只能提供合理的保證，個別內(nèi)部控制可能會失效。內(nèi)部控制的局限性表現(xiàn)在：判斷失誤執(zhí)行偏差管理層越權(quán)合伙同謀，內(nèi)部、內(nèi)外的串通舞弊會使內(nèi)部控制失效內(nèi)部控制受制于成本效益原則人員素質(zhì)、信息傳遞的影響經(jīng)營環(huán)境變化[思考題]為什么即便一個公司擁有先進、有效的內(nèi)部控制，但公司仍然會存在舞弊事項？內(nèi)部控制的局限42第二章內(nèi)部控制目標與要素（續(xù)）二、內(nèi)部控制要素43第二章內(nèi)部控制目標與要素（續(xù)）要素一：控制環(huán)境內(nèi)部控制系統(tǒng)的設(shè)計、執(zhí)行與企業(yè)內(nèi)外環(huán)境緊密聯(lián)系。所謂控制環(huán)境是指對內(nèi)部控制系統(tǒng)的建立和實施有影響的所有因素的統(tǒng)稱?？刂骗h(huán)境要素是其它內(nèi)部控制系統(tǒng)要素發(fā)揮作用的基礎(chǔ)，直接影響內(nèi)部控制的貫徹、執(zhí)行。1.企業(yè)戰(zhàn)略和風險管理戰(zhàn)略2.評價員工的能力3.董事會和審計委員會4.管理哲學5.組織架構(gòu)6.責任的分配與授權(quán)7、人力資源8、誠信的原則和道德價值觀44第二章內(nèi)部控制目標與要素（續(xù)）1.企業(yè)戰(zhàn)略和風險管理戰(zhàn)略組織管理有三種職責：計劃、組織和領(lǐng)導。計劃的功能是確立目的和目標；組織意味著集中所需要的人力、工具、原材料和資金，按照政策、計劃和標準框架把它們安排在各職能部門中去，以達到目的和目標；領(lǐng)導意味著命令、指導和監(jiān)督執(zhí)行。組織管理可分為三個層次：戰(zhàn)略性的、戰(zhàn)術(shù)性的和營運性的。三個層次的目標不同，制定人和執(zhí)行人也是不一樣的，它們都要求計劃、組織和領(lǐng)導，各個層次有橫向的平行內(nèi)容，又有縱向的遞進關(guān)系，橫縱都需要協(xié)調(diào)，這就產(chǎn)生建立內(nèi)部控制系統(tǒng)的需要，而建立內(nèi)部控制系統(tǒng)又必須依據(jù)戰(zhàn)略、戰(zhàn)術(shù)目標的要求，因此，企業(yè)各種戰(zhàn)略決策就成為設(shè)立和評價內(nèi)部控制系統(tǒng)的根據(jù)。452員工勝任能力是要求員工具備完成工作任務(wù)所需的知識和技能。目的是保證員工能夠正確理解相關(guān)規(guī)定、及時恰當分析和處理業(yè)務(wù)。舉例：管理層是否分析某項工作所包含的任務(wù)，并考慮員工需要進行職業(yè)判斷的程度和進行相關(guān)監(jiān)督的程度在相當大的范圍內(nèi)，管理層確定了各項工作所需的知識和技能存在證據(jù)表明員工具備工作所需的知識和技能463董事會或?qū)徲嬑瘑T會獨立于管理層之上指導和監(jiān)督管理層的工作舉例：董事會是否對管理層的決定提出建設(shè)性的置疑是否建立董事會專門委員會，他們在專業(yè)和資歷方面能夠有效的處理相關(guān)的重要問題董事是否有足夠的知識、行業(yè)經(jīng)驗和時間以有效的工作審計委員會是否單獨見總會計師和內(nèi)部、外部審計師以討論財務(wù)報告流程、內(nèi)部控制系統(tǒng)、重大意見和建議及管理層業(yè)績的合理性審計委員會是否每年審核內(nèi)部和外部審計師的工作范圍董事會是否定期收到關(guān)鍵的信息（例如財務(wù)報告、主動市場動向、重大合同、協(xié)議）是否存在向董事會報告重大問題的程序是否監(jiān)督高級管理人員的薪酬、聘用和解聘董事會是否明確的強調(diào)高級管理層應該遵守行為準則董事會或?qū)徲嬑瘑T會是否會根據(jù)其發(fā)現(xiàn)采取適當行動，包括特殊調(diào)查等474、管理哲學企業(yè)管理層的管理哲學和經(jīng)營風格，直接影響著企業(yè)管理的方式，風險管理更是其中重要的體現(xiàn)。經(jīng)理人的管理哲學和經(jīng)營風格在其“風險偏好”中得到集中表現(xiàn)，加上他的能力就更加體現(xiàn)該經(jīng)理人的個人魅力。風險規(guī)避風險轉(zhuǎn)移風險控制與抑制風險接受甚至風險利用的風險管理措施485組織結(jié)構(gòu)組織結(jié)構(gòu)是權(quán)責分工的架構(gòu)，每個企業(yè)都可根據(jù)自己的需要確定最有效的組織結(jié)構(gòu)。舉例：公司的組織結(jié)構(gòu)是否有利于信息的上傳、下達和各業(yè)務(wù)活動間的流動公司業(yè)務(wù)活動的職責和期望是否明確的傳達給負責這些活動的管理人員報告關(guān)系是明確而有效的，能夠向經(jīng)理人員提供與其責任和權(quán)力有關(guān)的信息管理人員定期根據(jù)變化的業(yè)務(wù)或行為環(huán)境來評價公司的組織結(jié)構(gòu)經(jīng)理和監(jiān)管人員擁有足夠的時的間來有效履行職責496管理層授權(quán)和職責分工授權(quán)和職責分工是按照權(quán)責對等的原則，進行授權(quán)和責任分配。將企業(yè)的目標分解至每個員工，使員工的行為與企業(yè)目標相聯(lián)系。舉例：決策的責任是否與其職權(quán)和職責相對應對員工進行授權(quán)和分配職責時，適當?shù)男畔⒈怀浞挚紤]崗位描述是否包括了具體的與控制有關(guān)的責任的描述完成工作所需要的權(quán)限與高級管理人員參與的程度存在一個適當?shù)钠胶?07人力資源政策和措施人力資源政策和措施是關(guān)于員工聘用、培訓、考核、進升、薪酬等方面的政策和程序。目的是聘用和保持合格的員工。舉例：現(xiàn)有人力資源政策和程序可以招聘和發(fā)展有能力、可信的人員，能夠支持有效的內(nèi)部控制系統(tǒng)新員工是否能意識到他們的工作職責和公司對他們的期望管理人員是否定期與員工回顧他們的工作表現(xiàn)和今后的改進建議管理層對工作失職采取適當?shù)幕貞肆Y源政策與相應的道德標準是否一致是否核查招聘候選人的背景，特別考慮公司不能接受的行為或活動518、誠信的原則和道德價值觀無論是企業(yè)最高管理層還是其他成員都應當做到：嚴格一致地保持誠信行為和道德標準；不要盲目追求不切實際的目標，以至形成不必要的壓力。52外部諸多影響因素：某些外部因素的變化，也影響企業(yè)內(nèi)部控制系統(tǒng)政策和程序變化。如證監(jiān)會、銀監(jiān)會、保監(jiān)會、政府審計、獨立審計以及各行業(yè)制度變化和報告要求，就可能使企業(yè)管理當局強化控制意識而采取特定的內(nèi)部控制系統(tǒng)的政策和程序53要素二：風險評估風險：是任何可能影響實現(xiàn)目標的因素風險評估：是識別和分析那些影響目標實現(xiàn)的風險的過程，是確定如何管理和控制風險的基礎(chǔ)54目標、風險和內(nèi)部控制的關(guān)系確定目標行動計劃/評估風險責任分配分析控制551公司層面的目標：一個公司要達到有效控制就必須建立目標。公司層面目標包括公司期望實現(xiàn)的目標的總體說明，并有相關(guān)的戰(zhàn)略計劃支持。2業(yè)務(wù)活動層面的目標：業(yè)務(wù)活動層次的目標來自公司總的目標和戰(zhàn)略計劃，并與之相聯(lián)系。這些目標應針對每個重要的活動并與其他活動保持一致。3風險評估的過程風險識別：－發(fā)現(xiàn)和分析那些影響目標實現(xiàn)的風險，考慮外部因素和內(nèi)部因素；－企業(yè)的風險評估程序應該從企業(yè)層次和業(yè)務(wù)活動層次兩個角度識別，并分析其相關(guān)影響風險分析：－估計風險的重要程度；－評估風險發(fā)生的可能性（或頻率、概率）56舉例：識別外部風險機制是否健全：－供貨來源－技術(shù)變革－債權(quán)人的要求－競爭對手的行為－經(jīng)濟條件－政治條件－監(jiān)管－自然事件57識別內(nèi)部風險機制是否健全：－人力資源－融資－勞動關(guān)系－信息系統(tǒng)584應對變化針對影響企業(yè)或業(yè)務(wù)層面目標實現(xiàn)的事件或活動，是否能夠預見、識別并采取相應措施針對那些對企業(yè)有巨大、深遠影響的變革，是否能夠識別和處理59要素三：控制活動控制活動：是為確保管理層指示得以執(zhí)行的政策和程序。它們包括一系列不同的活動，如審批、授權(quán)、確認、核對、考核經(jīng)營業(yè)績、資產(chǎn)保護等。60項目內(nèi)容授權(quán)控制為了保證重要經(jīng)濟業(yè)務(wù)的有效處理，對于關(guān)鍵的控制點需執(zhí)行授權(quán)與批準控制程序。對經(jīng)濟業(yè)務(wù)的授權(quán)分一般授權(quán)和特殊授權(quán)。職務(wù)分離控制是指對處理某種經(jīng)濟業(yè)務(wù)所涉及的職責分派給不同的人員，使每個人的工作都是對其他有關(guān)人員的一種自動檢查。對于不相容職務(wù)應該進行適當分離，并進行檢查，不相容職務(wù)的分離包括在部門間分離和部門內(nèi)部的分離。憑證與記錄控制凡是企業(yè)發(fā)生的經(jīng)濟業(yè)務(wù)，均應留有或填置憑證，如實記錄。企業(yè)的憑證控制程序應能保證有關(guān)人員在處理經(jīng)濟業(yè)務(wù)時及時地編制憑證、合理地傳遞、正確地使用和妥善保管。資產(chǎn)接觸、使用與記錄控制為了限制非授權(quán)人隨意接近資產(chǎn)和記錄，以保證資產(chǎn)和記錄的安全完整。其主要內(nèi)容包括：（1）限制非授權(quán)人接觸某項資產(chǎn)及有關(guān)記錄；（2）建立必要的防護措施，確保資產(chǎn)的安全完整。如簽批手續(xù)、密碼、防火墻等設(shè)置。獨立的檢查與評價控制由業(yè)務(wù)執(zhí)行者以外的人員對已執(zhí)行的業(yè)務(wù)的正確性所進行的驗證，又稱內(nèi)部稽核。內(nèi)部稽核包括如下的審核、復核和分析：憑證對憑證、證與賬、賬與賬、賬與表、賬與物、計劃與實際、預算與實際、現(xiàn)在與歷史、內(nèi)部與外部等。611控制活動的關(guān)注點－針對企業(yè)的每一項業(yè)務(wù)活動都有必要和恰當?shù)恼吆统绦?。－已確定的控制行為得到恰當?shù)膱?zhí)行

－規(guī)定的控制程序是否已實施，是否正確地按照設(shè)計意圖執(zhí)行。－出現(xiàn)例外或發(fā)生需要跟蹤的情況時，是否采取了恰當、及時的措施。－監(jiān)督人員是否審核控制的功能。

622控制活動類型－針對企業(yè)的不同目標，控制活動可以分為以下三個類型：即為提高經(jīng)營效率效果、增強財務(wù)報告的可靠性、遵守法規(guī)等目標的三類控制活動；－根據(jù)控制活動的不同作用，控制活動又可以分為：預防性控制、檢查性控制、指導性控制、糾錯性控制、補償性控制等五種類型；－根據(jù)組織中實施人員的不同，控制活動也可以分為：高層審批、指導并管理業(yè)務(wù)活動，信息處理，實物控制，業(yè)績指標分解，責權(quán)分配等。63要素四：信息和溝通信息和溝通：指相關(guān)信息以某種形式被識別、獲得和溝通，以促使員工履行自己的職責。相關(guān)的信息包括從外部獲取的行業(yè)、經(jīng)濟、監(jiān)管信息以及內(nèi)部產(chǎn)生的信息。信息的識別和獲取信息加工和報告內(nèi)部溝通和外部溝通641信息獲取內(nèi)部和外部信息，向管理層報告企業(yè)既定目標的實現(xiàn)情況及時向適當?shù)娜藛T匯報足夠的信息以便他們有效的履行其職責信息系統(tǒng)的建立和修改基于對信息系統(tǒng)的戰(zhàn)略規(guī)劃－－與這個企業(yè)的戰(zhàn)略相連，并且著眼于實現(xiàn)企業(yè)的目標和業(yè)務(wù)活動層次的目標通過承諾適當?shù)馁Y源－－人力資源和財力資源，管理層表現(xiàn)出對發(fā)展必要的信息系統(tǒng)的支持態(tài)度65舉例：是否存在獲取相關(guān)外部信息的機制－有關(guān)市場狀況、競爭對手的計劃、立法或監(jiān)管的發(fā)展以及經(jīng)濟變化。對于實現(xiàn)企業(yè)目標的重要內(nèi)生信息，包括關(guān)鍵的成功因素，是否得到確認并定期匯報。經(jīng)理是否得到了他們履行職責所需要的信息。是否向不同級別的管理層匯報了不同詳細程度的信息。是否對信息進行了適當?shù)膮R總，可以滿足進一步詳查的需要，而不僅僅是數(shù)據(jù)的堆砌。信息是否及時，是否便于有效監(jiān)控有關(guān)事件和活動－內(nèi)部的和外部的－并對經(jīng)濟、行業(yè)因素和控制問題進行迅速反應。66是否存在一種機制來識別不斷產(chǎn)生的信息需求（如：信息技術(shù)督導委員會）。信息的需求和優(yōu)先次序由具有充分責任的高級管理層來決定。是否訂立了一個長遠的信息技術(shù)計劃，并與戰(zhàn)略決策相聯(lián)系。是否為建立或改進信息系統(tǒng)提供了足夠的、必要的資源（經(jīng)理、分析員、具備必要能力的編程人員）。672溝通向員工傳達其職責和控制責任的有效性建立溝通渠道供員工反映他們注意到的可疑問題管理層對于員工提出的提高生產(chǎn)力、質(zhì)量的建議或其他改進建議的接受能力整個企業(yè)內(nèi)部是否充分交流（比如，采購和生產(chǎn)環(huán)節(jié)的交流）；信息是否完整和及時；以及信息是否足夠滿足相關(guān)人員有效地履行職責的需要是否有開放、有效的渠道，與客戶、供應商和外部其他方面交流不斷變化的客戶需求外部相關(guān)方了解企業(yè)道德標準的程度在收到客戶、供應商、監(jiān)管者和其他外部人員反映的情況后，管理層采取的及時和適當?shù)膽獙Υ胧?8舉例：員工是否清楚他們的行為要達到的目標，以及他們的工作對于實現(xiàn)這些目標有什么作用員工是否清楚自己的職責與他人的職責如何相互影響除了直接的上司，有沒有其他的渠道可以向上反映情況，例如調(diào)查員或公司律師等。是否允許匿名的反饋。員工是否確實使用這個溝通渠道。報告情況的人員是否得到反饋，并且受到保護不受報復。69銷售人員是否向工程、生產(chǎn)和營銷人員反映客戶需求應收賬款負責人員是否向信用管理人員匯報付款不及時的客戶建議、投訴和收到的其他情況是否得到重視并向內(nèi)部相關(guān)人員匯報必要的信息是否向上匯報并采取相應的跟進措施是否善于接受他人就產(chǎn)品、服務(wù)或其他方面反映的問題，并且對此進行調(diào)查并采取適當?shù)男袆痈呒壒芾韺邮欠袂宄对V的性質(zhì)以及數(shù)量70要素五：監(jiān)督監(jiān)督：是評估內(nèi)控系統(tǒng)在一定時期內(nèi)運行質(zhì)量的過程，目的是保證內(nèi)部控制持續(xù)有效。監(jiān)督的方式包括：

－持續(xù)性監(jiān)督－獨立的評估71持續(xù)性監(jiān)督：持續(xù)性的監(jiān)督行為發(fā)生在經(jīng)營的過程中，它包括日常的管理、監(jiān)督、比較、核對和其他常規(guī)性活動。獨立評估獨立評估是獨立于控制活動之外而采取的定期評估行為。72第三章COSO與ERM比較

相對于COSO報告而言，ERM框架中新增加的內(nèi)容：一個觀念；一個目標；兩個概念；三個要素；一個部門：風險管理部73內(nèi)部環(huán)境戰(zhàn)略目標設(shè)定事項識別風險評估風險應對控制活動信息與溝通監(jiān)督經(jīng)營報告遵循子公司業(yè)務(wù)單位分支機構(gòu)企業(yè)整體層次74第三章COSO與ERM比較（續(xù)）一、提出一個新的觀念—風險組合觀內(nèi)部控制框架中沒有預期到的一個概念是風險的組合觀。企業(yè)風險管理要求企業(yè)管理者以風險組合的觀點看待風險，對相關(guān)的風險進行識別并采取措施所承擔的風險在風險偏好的范圍內(nèi)。75二、增加了一個目標—戰(zhàn)略目標，并擴大了報告目標的范圍戰(zhàn)略經(jīng)營報告遵循內(nèi)部環(huán)境戰(zhàn)略目標設(shè)定事件識別風險評估風險應對控制活動信息與溝通監(jiān)控經(jīng)營報告遵循子公司業(yè)務(wù)單位分支機構(gòu)企業(yè)整體層次76戰(zhàn)略目標：處于比其他目標更高的層次。戰(zhàn)略目標來自一個主體的使命或愿景，因而經(jīng)營、報告、和合規(guī)目標必須與其協(xié)調(diào)。報告目標：內(nèi)部控制框架中的包括定義為與公開的財務(wù)報表的可靠性有關(guān)。在企業(yè)風險管理框架中，報告被大大地拓展為包含主體所編制的所有報告，包括對內(nèi)報告和對外報告。77三、兩個概念1、風險容量/偏好（riskappetite）一個主體在追求其使命/愿景的過程中所愿意承受的廣泛意義的風險數(shù)量。它在戰(zhàn)略制定和相關(guān)目標的選擇中起到了風向標的作用。2、風險容限相對于目標的實現(xiàn)而言所能接受的偏離程度。在確定風險容限的過程中，管理當局考慮相關(guān)目標的相對重要性，并使風險容限與風險容量相協(xié)調(diào)。78四、三個要素1、目標設(shè)定（objectivesetting）在風險管理框架中，由于要針對不同的目標分析其相應的風險，因此目標的制定自然就成為風險管理流程的首要步驟，并將其確認為風險管理框架的一部分。2、事項識別（eventidentification）企業(yè)風險管理和內(nèi)部控制框架都承認風險來自于企業(yè)內(nèi)、外部各種因素，而且可能在企業(yè)的各個層面上出現(xiàn)，并且應根據(jù)對實現(xiàn)企業(yè)目標的潛在影響來確認風險。但是，企業(yè)風險管理框架深入探討了潛在事項的概念，認為潛在事項是指來自于企業(yè)內(nèi)部和外部資源的，可能影響企業(yè)戰(zhàn)略的執(zhí)行和目標實現(xiàn)的一件或一系列偶發(fā)事項。3、風險應對（riskresponse）風險的四種反應方案：規(guī)避、減少、共擔和接受風險。作為風險管理的一部分，管理者應比較不同方案的潛在影響，并且應在企業(yè)風險容限范圍內(nèi)的假設(shè)下，考慮風險反應方案的選擇。、

第四章

2013年COSO框架新變化2013年5月，COSO發(fā)布新的內(nèi)部控制框架實施時間：2014年12月過渡期需要披露使用的版本重大變化：基于原有COSO五要素提出了17條核心內(nèi)控原則，大幅度增強了五要素的可操作性控制環(huán)境---要素1原則1：組織對正直和道德等價值觀做出承諾分析：作為控制環(huán)境的基礎(chǔ)要件，恰當?shù)穆氊煵偈丶暗赖乱?guī)范水平將對組織整體內(nèi)控的設(shè)計和運行水平產(chǎn)生重大影響。因此，組織應向其全體成員提出清晰、積極的職業(yè)操守及道德規(guī)范期望。原則2：最高治理層和管理層應適當分權(quán)。董事會獨立于管理層，并對內(nèi)部控制的推進與成效加以監(jiān)督控制。

分析：明確了組織治理范疇下的董事會基本獨立性要求，以及管理層建立內(nèi)控體系的責任及董事會監(jiān)督職能。原則3：管理層圍繞其目標，在治理層監(jiān)督下，建立健全組織架構(gòu)、匯報條線、合理的授權(quán)與責任等機制分析：在明確內(nèi)控體系的目標導向特征的前提下，2013COSO框架要求明確管理層的內(nèi)控職責，并明確了構(gòu)成內(nèi)控體系的關(guān)鍵要素：恰當?shù)慕M織結(jié)構(gòu)匯報路徑職責分配授權(quán)體系原則:4：組織對吸引、開發(fā)和保留與認同組織目標的人才做出承諾。

分析：框架強調(diào)人的因素對控制環(huán)境的影響。高素質(zhì)的執(zhí)行團隊將有效推動內(nèi)控體系的設(shè)計有效性及執(zhí)行效率，進而優(yōu)化內(nèi)控環(huán)境。原則5：組織根據(jù)其目標，使員工各自擔負起內(nèi)部控制的相關(guān)責任。分析：此原則同樣在強調(diào)內(nèi)控體系中人的因素。職責不清會對整個內(nèi)控體系的運行產(chǎn)生不利影響，而清晰的內(nèi)控責任體系將提升內(nèi)控體系整體執(zhí)行力，進而優(yōu)化內(nèi)控環(huán)境。84風險評估---要素2原則6：組織制定清晰的目標，進而能夠有效識別和評價威脅目標實現(xiàn)的風險。分析：內(nèi)部控制的目標導向特征使得組織必須首先明確其目標，然后才能在此基礎(chǔ)上識別可能威脅目標實現(xiàn)的各類風險，為后續(xù)控制措施的提出奠定基礎(chǔ)。85原則7：組織在整個實體層面識別可能威脅組織目標實現(xiàn)的風險，以便判斷如何對這些風險進行管理。分析：組織在明確其目標之后，應該采取主動積極的管理措施對各類風險進行有效收集、確認、分類和評價，才能有針對性的設(shè)計和執(zhí)行各種控制措施。86原則8：組織在評價威脅組織目標實現(xiàn)的風險時，考慮潛在的舞弊。分析：舞弊風險因其存在主觀故意性、隱蔽性、串謀性、危害嚴重性等特征，而區(qū)別于一般風險。新框架提出應在風險評估階段，對舞弊風險進行考慮。87原則9：組織對可能對內(nèi)控體系產(chǎn)生重大影響的變化事項進行識別與評價。分析：組織內(nèi)部變化因素（組織結(jié)構(gòu)調(diào)整、兼并收購、業(yè)務(wù)轉(zhuǎn)型等）及外部環(huán)境變化因素（法規(guī)變化、市場條件變化等）可能導致原有內(nèi)控體系無法涵蓋和適應組織的各類業(yè)務(wù)活動。在風險評估階段，組織需對這些變化因素進行識別與評估。88控制活動---要素3原則10：織組選擇并且設(shè)置控制活動，以將威脅組織目標實現(xiàn)的風險降低到可接受的水平。分析：針對已識別的各類風險，組織應有針對性的設(shè)置相應的控制活動（財產(chǎn)保護、不相容職務(wù)分離、會計記錄、授權(quán)審批等），以降低風險水平。具體的措施選擇及執(zhí)行程度，受到組織治理層風險偏好的影響。原則11：組織針對技術(shù)選擇并且設(shè)置一般控制活動，以支持組織目標實現(xiàn)。分析：相對于具體業(yè)務(wù)層面風險，技術(shù)風險具有自身特征。新框架對與技術(shù)相關(guān)的風險進行了強調(diào)。原則12：組織通過制定政策（以明確控制期望）和具體流程（將控制期望轉(zhuǎn)換為具體行為）來貫徹控制活動。分析：新框架把控制活動的貫徹劃分為一般控制政策及業(yè)務(wù)流程兩個層面。后者作為前者的具體實現(xiàn)方式。即政策制定應當具備明確目標，具備實踐指導性，當情況變化時（出現(xiàn)特例）時候，如何處理，如果調(diào)整具體流程，應以政策為依據(jù)。信息與溝通----要素4原則13：組織獲取或者產(chǎn)生符合使用者需求的、高質(zhì)量的信息，以支持內(nèi)控體系發(fā)揮功能。分析：任何主體在實施特定指控措施時，往往都需要獲得一定的信息支持。信息質(zhì)量包括及時、完整、準確。質(zhì)量的高低對控制措施的實施效果會產(chǎn)生巨大影響。企業(yè)應當建立完善信息獲取的渠道和信息產(chǎn)生的方法、工具，進一步明確信息輸入、輸出的標準、口徑以及控制措施。原則14：組織在內(nèi)部溝通相關(guān)信息（包括控制目標、控制職責），以支持內(nèi)控體系發(fā)揮功能。分析：控制職責等信息只有有效轉(zhuǎn)達至各執(zhí)行主體，各執(zhí)行主體才可能有效的實施控制措施。同時，組織成員對在業(yè)務(wù)管理活動中其他組織成員的控制目標和責任有清晰的了解，有助于整體團隊溝通合作，實現(xiàn)組織整體目標。原則15組織與外部相關(guān)各方溝通可能對內(nèi)控功能發(fā)揮產(chǎn)生影響的事項。分析：任何組織都非孤立存在，其內(nèi)部活動必然與外部產(chǎn)生各種聯(lián)系。在必要時，組織需要就內(nèi)控事項與外部主體進行溝通，以滿足外部主體合理利益訴求。監(jiān)督活動---要素5原則16：組織選擇、設(shè)計和執(zhí)行持續(xù)或者單獨的評價，以確認內(nèi)控各關(guān)鍵要素存在且持續(xù)發(fā)揮功能。分析：為確保組織內(nèi)控體系正常運轉(zhuǎn)，必須建立有效的監(jiān)督機制。監(jiān)督機制可以與業(yè)務(wù)執(zhí)行保持一致而實現(xiàn)持續(xù)監(jiān)督（比如持續(xù)的對一類管理活動予以動態(tài)監(jiān)控），也可以采取單獨評價方式（如按照一定時間間隔執(zhí)行經(jīng)營審計）。從組織層面上可劃分為業(yè)務(wù)層面的監(jiān)督或者組織層面的獨立監(jiān)督。原則17：組織對內(nèi)部控制進行評價，并及時將發(fā)現(xiàn)的內(nèi)控缺陷報給負責執(zhí)行糾正性措施的主體，這些主體包括高管層、董事會、具體視缺陷情況而定。分析：通過原則16監(jiān)督所識別的內(nèi)控缺陷，應有效傳達至負責主體（根據(jù)缺陷所處層級及影響程度，通常由董事會或者高管層負責），并由后者實施相應的整改，以及時彌補內(nèi)控缺陷。100第六章：內(nèi)部控制與薩班斯法案一、法案的背景

安然，世通等知名公司相繼暴露出嚴重的管理層欺詐丑聞，使美國上市公司深陷信用危機。 會計系統(tǒng)的漏洞、管理層的失職、內(nèi)部控制的缺乏以及外部審計人員的道德風險是導致管理層欺詐丑聞的根本原因。 重建公司信用，規(guī)范高級管理層與注冊會計師關(guān)系和職業(yè)道德的要求刻不容緩。

2002年6月，布什總統(tǒng)簽署的薩班斯－奧克斯利法案正式生效，該法案由美國眾議院金融服務(wù)委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯(lián)合提出，故簡稱《薩班斯－奧克斯利法案》。該法案對美國《1933年證券法》、《1934年證券交易法》作了不少修訂，在會計職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管等方面作出了許多新的規(guī)定。101第六章：內(nèi)部控制與薩班斯法案（續(xù)）二、法案出臺的目的

-重建公司信用，培育公眾信心，振興證券市場。

-加強公司監(jiān)管，規(guī)范業(yè)務(wù)運作。

-增加財務(wù)報告與信息披露的透明度。

-確保公司管理層可以從有效監(jiān)控的系統(tǒng)中獲取重要信息。

-公司管理層必須對美國證券管理委員會要求存檔的材料和向投資者公布的信息承擔責任。102三、法案的主要內(nèi)容

-成立獨立的公眾公司會計監(jiān)察委員會，監(jiān)管執(zhí)行上市公司審計職業(yè)

-要求加強注冊會計師的獨立性

-要求加大公司的財務(wù)報告責任

-要求強化財務(wù)披露義務(wù)

-加重了違法行為的處罰措施

-增加經(jīng)費撥款，強化美國證券管理委員會的監(jiān)管職能

-要求美國審計總署加強調(diào)查研究其中與上市公司管理層直接相關(guān)的是：第302節(jié)公司對財務(wù)報告的責任第404節(jié)管理層對內(nèi)部控制的評價103第302節(jié)公司對財務(wù)報告的責任

-要求公司首要官員及首要財務(wù)官在季度/年度報告中保證

-對信息披露的控制和程序負責（含刑事責任）

-設(shè)計必要的內(nèi)部控制手段并確保其執(zhí)行可使高層及時獲得重要信息

-對披露控制的有效性進行評估，評估結(jié)果需存檔

-不可向?qū)徲嬑瘑T會和外部審計人員隱瞞公司重大的內(nèi)控失敗和人員舞弊行為

-存檔描述內(nèi)部控制的重大變化

-介紹信息披露的控制和程序

-強調(diào)財務(wù)人員的正直和財務(wù)報告系統(tǒng)控制的完整性

-需披露的非財務(wù)信息包括：重要合同的簽署，戰(zhàn)略合作關(guān)系的解除以及法律訴訟

-美國證券管理委員會要求

-擴大信息披露的控制和財務(wù)報告系統(tǒng)內(nèi)部控制程序的認證

-將內(nèi)控評估日改為財務(wù)報告截止日104第404節(jié)管理層對內(nèi)部控制的評價

-要求公司管理層在年度報告中：

-描述他們在建立和維護一個針對財務(wù)報告職能行之有效的內(nèi)部控制程序中的責任

-對財務(wù)報告系統(tǒng)內(nèi)部控制有效性以一個公認架構(gòu)進行評估（例如COSO內(nèi)控架構(gòu)）

-同時要求外部審計人員：

-對管理層評估結(jié)果進行簽證

-美國證券管理委員會要求

-擴大信息披露的控制和財務(wù)報告系統(tǒng)內(nèi)部控制程序的認證

-將內(nèi)控評估日改為財務(wù)報告截止日105在美國上市的公司，不論規(guī)模，均需遵守薩班斯－奧克斯利法案的有關(guān)規(guī)定。即使上一年注冊會計師出具的是無保留意見的審計報告，也不表示公司現(xiàn)有的內(nèi)控系統(tǒng)已經(jīng)符合法案的規(guī)定。根據(jù)法案的規(guī)定，獨立審計人員還需另外證明客戶公司的內(nèi)部控制系統(tǒng)是有效的。美國國會清楚地規(guī)定，公司對其財務(wù)報告和信息披露的公允性、充分性和正確性負有責任。法案規(guī)定獨立審計人員的主要職責為：證明管理層對公司財務(wù)報告系統(tǒng)的內(nèi)部控制程序是否有效的評估是合理的。換句話說，管理層必須獨立地評估，執(zhí)行和監(jiān)控內(nèi)部控制程序（但是