當代內部控制的發(fā)展-課件

1當代內部控制的發(fā)展

張曉瑜

博士

2案例：英國巴林銀行（BaringsBank）倒閉案破產企業(yè)：巴林銀行，1763年成立，全球最早的商業(yè)銀行，直至破產時已有233年歷史關鍵人物：尼克李森(NickLesson)，年齡26歲，英國巴林銀行新加坡期貨交易員事件概要：李森先生在負責巴林銀行在新加坡國際貨幣交易所（SIMEY）證券交易工作中，由最初錯將買入20份合同造成損失20000英鎊開始，到420份合同的失誤，到非經授權操作期貨指數(shù)和日經225股票指數(shù)造成幾千萬英鎊損失，直到1995年2月23日累計到14億英鎊的損失。其間李森得到由一片贊揚、欣賞、高額紅利到逃跑、被抓入獄的戲劇性的變化，而巴林銀行由業(yè)績輝煌到轟然倒塌。3損失金額：14億英鎊損失發(fā)生時間：1992年3月——1995年2月缺乏有效的風險管理和內部控制：1.缺乏不同職責的劃分和制約，例如允許李森身兼雙職，既擔任前臺首席交易員職務，又負責管理后臺清算。2.對部門負責人的交易金額和權限缺乏限制；缺乏內部監(jiān)督與稽核。思考的問題：1.為什么百年銀行會毀在一個20幾歲的交易員手中？

2.巴林銀行毀在遠在總部之外的非主營業(yè)務——期權、期貨交易上，說明了什么？4考慮：若有有效的機制，可以糾正、遏制。人都會犯錯誤。人走向滅亡，公司走向倒閉。思考：錯誤發(fā)生時，是否有糾錯機制？也就是需要內部控制。問題：為什么如此大的銀行，沒有良好的內控？回答－對常規(guī)業(yè)務有良好的內部控制，對新項目缺乏適當?shù)膬瓤?。原有內控體系不完善。最基礎的內部牽制，不相容職責沒有做好，新加坡的期貨業(yè)務交易由一個人操作。即最基礎的內控沒有做好。重大業(yè)務需要授權，李深權力大，責任大，風險也大。5第一章內部控制基本理論第二章內部控制目標與要素第三章COSO與ERM比較第四章《企業(yè)內部控制基本規(guī)范》第五章內部控制與薩班斯法案第六章內部控制程序與方法6第一章內部控制基本理論一、內部控制的概念內部控制絕對不是：靜態(tài)的結構；某一層次人員的任務（例如：高級管理層）；某一部門的任務（例如：財務、內部審計）；某一實體的任務（例如：總部、子公司）。7第一章內部控制基本理論（續(xù)）概念1：《中國注冊會計師執(zhí)業(yè)準則第1211號——了解被審計單位及其環(huán)境并評估重大錯報風險》第46條規(guī)定：”內部控制是被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規(guī)的遵守，由治理層、管理層和其他人員設計和執(zhí)行的政策和程序?！?第一章內部控制基本理論（續(xù)）概念2：美國反欺騙性財務報告委員會（COSO）的定義：內部控制是一個靠組織的董事會、管理層和其他員工去實現(xiàn)的過程，實現(xiàn)這一過程是為了合理的保證：

經營的效果性和效率性；財務報告的可信性；對法律和規(guī)章制度的遵循性。因此，整個集團的共同參與對于項目的成功至關重要。9第一章內部控制基本理論（續(xù)）概念3：從企業(yè)發(fā)展全球化、競爭日趨激烈趨勢看，結合企業(yè)風險戰(zhàn)略理論和風險管理理論，內部控制系統(tǒng)描述如下：企業(yè)的內部控制系統(tǒng)是為保護資產的安全完整、信息交流與溝通的暢通、實現(xiàn)組織經營的效率與效果、遵守各種法律規(guī)章等目標，把各種影響因素控制和抑制在可接受的風險水平下，由企業(yè)管理當局設立的一整套系統(tǒng)的措施與方法。10概念4：內部控制是由企業(yè)董事會、監(jiān)事會、經理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。

-------《企業(yè)內部控制基本規(guī)范》11第一章內部控制基本理論（續(xù)）二、內部控制的演進形成時間內控理論主要內容20世紀30年代內部牽制Internalcheck1.內部牽制三要素：職責分工、會計記帳、人員輪換。2.內部牽制的執(zhí)行分為四類：實物牽制、機械牽制、體制牽制、簿記牽制。20世紀40-70年代發(fā)展階段會計控制和管理控制1、1934年，美國《證券交易法》首先提出“內部會計控制”概念；2、1949年，美國會計師協(xié)會的審計程序委員會（CAP）發(fā)表《內部控制、協(xié)調系統(tǒng)諸要素及其對管理部門和注冊會計師的重要性》的專題報告，對內部控制首次做出了定義；3、1953年10月，CAP又發(fā)布了《審計程序公告第19號》，內部控制按其要點劃分為會計控制和管理控制。4、1972年，美國準則委員會（ASB）《審計準則公告》的制定者，對管理控制和會計控制提出并通過了今天廣為人知的定義。1220世紀70-80年代形成階段內部控制結構論1988年美國注協(xié)審計委《審計準則第55號》首次以“內部控制結構：取代“內部控制”，指出內部控制結構包括三要素：（1）控制環(huán)境；（2）會計制度；（3）控制程序20世紀90年代-21世紀成熟階段Ⅰ內部控制框架1992年，美國”反對虛假財務報告委員會”，所屬的內部控制專門研究委員會發(fā)起機構委員會，在進行專門研究后提出專題報告：《內部控制一整體架構(InternalControl一IntegratedFramework)》，也稱COSO報告。五要素21世紀初至2013年成熟階段Ⅱ風險管理框架2004年9月發(fā)布《企業(yè)風險管理-整合框架》八要素2013年內部控制新框架2013年5月發(fā)布COSO新框架13第一章內部控制基本理論（續(xù)）三、內部控制的法律法規(guī)1996年12月，財政部發(fā)布《獨立審計準則第9號——內部控制和審計風險》，提出內部控制“三要素”，幫助注冊會計師判斷是否信賴內部控制，以確定審計性質、時間和范圍。1997年5月，中國人民銀行發(fā)布了《加強金融機構內部控制的指導原則》，就銀行、保險公司等金融機構內部控制的目標、原則、要素、基本要求等作出了規(guī)范。2000年11月，證監(jiān)會發(fā)布了《公開發(fā)行證券公司信息披露編制規(guī)則》，要求公開發(fā)行證券的商業(yè)銀行、保險公司、證券公司建立健全內部控制制度，并在招股說明書正文中說明內部控制制度的完整性、合理性和有效性。同時，要求注冊會計師對被審計者的內部控制制度及風險管理的“三性”進行評價和報告。142001年1月，證監(jiān)會發(fā)布了《證券公司內部控制指引》，要求所有的證券公司建立和完善內部控制機制和內部控制制度。2001年6月，財政部發(fā)布了《內部會計控制——基本規(guī)范（試行）》和《內部會計控制規(guī)范——貨幣資金（試行）》，明確了單位建立和完善內部會計控制體系的基本框架的要求，以及貨幣資金內部控制的要求。2002年2月中國注冊會計師協(xié)會頒布了《內部控制審核指導意見》，規(guī)范注冊會計師就被審核單位管理當局在特定日期對內部控制有效性的認定進行審核，并發(fā)表審核意見。152002年9月中國人民銀行頒布了《商業(yè)銀行內部控制指引》，內部控制應當包括內部控制環(huán)境、風險識別與評估、內部控制措施、信息交流與反饋、監(jiān)督評價與糾正要素。2002年12月財政部又發(fā)布了《內部會計控制——采購與付款（試行）》和《內部會計控制——銷售與收款（試行）》，之后，有相繼頒布了《內部會計控制——擔保（征求意見稿）》、《內部會計控制——成本費用（征求意見稿）》2003年10月，財政部又發(fā)布了《內部會計控制——工程項目（試行）》，主張各單位應當建立適合被單位業(yè)務特點和管理要求的工程項目內部管理制度，并組織實施。162004年8月中國銀行業(yè)監(jiān)督管理委員會通過了〈商業(yè)銀行內部控制評價試行辦法》，該辦法自2005年2月1日施行。2006年6月上海證券交易所發(fā)布《上海證券交易所上市公司內部控制指引》，明確公司內部控制通常應涵蓋經營活動中所有業(yè)務環(huán)節(jié)、經營活動各環(huán)節(jié)之中的各項管理制度、信息管理、專項風險等。172006年6月國資委出臺了《中央企業(yè)全面風險管理指引》。

2008年6月，五部委出臺《企業(yè)內部控制基本規(guī)范》

2008年6月28日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內部控制基本規(guī)范》（以下簡稱基本規(guī)范）?；疽?guī)范自2009年7月1日起先在上市公司范圍內施行。第五條企業(yè)建立與實施有效的內部控制，應當包括下列要素：（一）內部環(huán)境。內部環(huán)境是企業(yè)實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等。第十五條企業(yè)應當加強內部審計工作，保證內部審計機構設置、人員配備和工作的獨立性。內部審計機構應當結合內部審計監(jiān)督，對內部控制的有效性進行監(jiān)督檢查。內部審計機構對監(jiān)督檢查中發(fā)現(xiàn)的內部控制缺陷，應當按照企業(yè)內部審計工作程序進行報告；對監(jiān)督檢查中發(fā)現(xiàn)的內部控制重大缺陷，有權直接向董事會及其審計委員會、監(jiān)事會報告。第四十四條企業(yè)應當根據本規(guī)范及其配套辦法，制定內部控制監(jiān)督制度，明確內部審計機構（或經授權的其他監(jiān)督機構）和其他內部機構在內部監(jiān)督中的職責權限，規(guī)范內部監(jiān)督的程序、方法和要求?！镀髽I(yè)內部控制基本規(guī)范及配套指引》

的解讀構成《企業(yè)內部控制基本規(guī)范》《企業(yè)內部控制應用指引》《企業(yè)內部控制審計指引》《企業(yè)內部控制評價指引》第1號：組織架構第2號：發(fā)展戰(zhàn)略第3號：人力資源第4號：社會責任第5號：企業(yè)文化第6號：資金活動第7號：采購業(yè)務第8號：資產管理第9號：銷售業(yè)務第10號：研究與開發(fā)第11號：工程項目第12號：擔保業(yè)務第13號：業(yè)務外包第14號：財務報告第15號：全面預算第16號：合同管理第17號：內部信息第18號：信息系統(tǒng)《企業(yè)內部控制基本規(guī)范》的解讀目標：合理保證企業(yè)經營管理合法合規(guī)、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。原則：全面性原則重要性原則制衡性原則適應性原則成本效益原則要素：1內部環(huán)境2風險評估3控制活動4信息與溝通5內部監(jiān)督《企業(yè)內部控制配套指引》解讀發(fā)布時間：2010年4月26日主要內容：1、《企業(yè)內部控制應用指引》（18項）2、《企業(yè)內部控制評價指引》3、《企業(yè)內部控制審計指引》實施時間表：2011年1月1日在境內外同時上市的公司實施；2012年1月1日在上海證券交易所、深圳證券交易所主板上市的公司實施；在此基礎上，擇機在中小板和創(chuàng)業(yè)板上市公司實施，同時，鼓勵非上市大中型企業(yè)提前執(zhí)行《企業(yè)內部控制審計指引》概念：指會計師事務所接受委托，對特定基進行準日內部控制設計與運行的有效性進行審計。它是企業(yè)內部控制規(guī)范體系實施中引入的強制性要求。要點注冊會計師不僅應當對企業(yè)財務報告內部控制有效性發(fā)表審計意見，同時還應當對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷，在內部控制審計報告中增加描述段予以說明。這項制度安排是《基本規(guī)范》和《配套指引》的重要制度創(chuàng)新。28審計責任劃分董事會——建立健全和有效實施、評價內部控制的有效性注冊會計師——對內部控制的有效性發(fā)表審計意見29審計范圍財務報告內部控制的有效性非財務報告內部控制的重大缺陷披露30整合審計內部控制審計與財務報表審計整合31利用被審計單位人員工作注冊會計師獨立承擔責任32評價控制缺陷董事、監(jiān)事和高管層舞弊企業(yè)更正已經公布的財務報表注冊會計師發(fā)現(xiàn)當期財務報表存在重大錯報，而內部控制在運行過程中未能發(fā)現(xiàn)審計委員會和內部審計部門對內部控制的監(jiān)督無效33《企業(yè)內部控制評價指引》概念：內部控制評價是指企業(yè)董事會或類似決策機構對內部控制有效性進行全面評價、形成評價結論、出具評價報告的過程。要點1.以客觀性原則替代獨立性原則，強調實質性的獨立。2.內部控制評價內容按照COSO1內部控制五要素劃分，與國內外的其他監(jiān)管規(guī)定更加融合。3.嚴格內部控制評價報告的披露要求，增加對期后影響因素的關注。3536《企業(yè)內部控制應用指引》要點就企業(yè)如何圍繞內控五要素建立健全內部控制提供指引；在內控規(guī)范體系中占主體地位；37

分類：內部環(huán)境類控制活動類控制手段類組織架構、發(fā)展戰(zhàn)略、人力資源、企業(yè)文化、社會責任資金活動、采購業(yè)務、資產管理、銷售業(yè)務、研究與開發(fā)、工程項目、擔保業(yè)務、業(yè)務外包、財務報告全面預算、合同管理內部信息傳遞、信息系統(tǒng)38基本涵蓋了企業(yè)資金流、實務流、人力流和信息流等各項業(yè)務和事項。39第二章內部控制目標與要素一、內部控制的目標二、內部控制要素40第二章內部控制目標與要素（續(xù)）一、內部控制的目標總目標:為使經營目標、管理目標得到實現(xiàn)，將影響因素發(fā)現(xiàn)出來并進行分析，試圖采取科學合理的措施將風險程度控制在可以接受的水平之下具體目標：一是保證溝通渠道和溝通程序的暢通；二是捕捉風險征兆，識別風險因素，評價風險程度；三是制定合理的風險管理措施和方法；四預防、發(fā)現(xiàn)、糾正錯誤和舞弊；五是保護資產的安全與完整；六是遵循各種政策、計劃、程序、法律和法規(guī)；七是從管理的經濟性要求，適時協(xié)調控制手段與控制目標和組織總目標的關系。41無論內部控制設計和執(zhí)行的再好，它也只能提供合理的保證，個別內部控制可能會失效。內部控制的局限性表現(xiàn)在：判斷失誤執(zhí)行偏差管理層越權合伙同謀，內部、內外的串通舞弊會使內部控制失效內部控制受制于成本效益原則人員素質、信息傳遞的影響經營環(huán)境變化[思考題]為什么即便一個公司擁有先進、有效的內部控制，但公司仍然會存在舞弊事項？內部控制的局限42第二章內部控制目標與要素（續(xù)）二、內部控制要素43第二章內部控制目標與要素（續(xù)）要素一：控制環(huán)境內部控制系統(tǒng)的設計、執(zhí)行與企業(yè)內外環(huán)境緊密聯(lián)系。所謂控制環(huán)境是指對內部控制系統(tǒng)的建立和實施有影響的所有因素的統(tǒng)稱?？刂骗h(huán)境要素是其它內部控制系統(tǒng)要素發(fā)揮作用的基礎，直接影響內部控制的貫徹、執(zhí)行。1.企業(yè)戰(zhàn)略和風險管理戰(zhàn)略2.評價員工的能力3.董事會和審計委員會4.管理哲學5.組織架構6.責任的分配與授權7、人力資源8、誠信的原則和道德價值觀44第二章內部控制目標與要素（續(xù)）1.企業(yè)戰(zhàn)略和風險管理戰(zhàn)略組織管理有三種職責：計劃、組織和領導。計劃的功能是確立目的和目標；組織意味著集中所需要的人力、工具、原材料和資金，按照政策、計劃和標準框架把它們安排在各職能部門中去，以達到目的和目標；領導意味著命令、指導和監(jiān)督執(zhí)行。組織管理可分為三個層次：戰(zhàn)略性的、戰(zhàn)術性的和營運性的。三個層次的目標不同，制定人和執(zhí)行人也是不一樣的，它們都要求計劃、組織和領導，各個層次有橫向的平行內容，又有縱向的遞進關系，橫縱都需要協(xié)調，這就產生建立內部控制系統(tǒng)的需要，而建立內部控制系統(tǒng)又必須依據戰(zhàn)略、戰(zhàn)術目標的要求，因此，企業(yè)各種戰(zhàn)略決策就成為設立和評價內部控制系統(tǒng)的根據。452員工勝任能力是要求員工具備完成工作任務所需的知識和技能。目的是保證員工能夠正確理解相關規(guī)定、及時恰當分析和處理業(yè)務。舉例：管理層是否分析某項工作所包含的任務，并考慮員工需要進行職業(yè)判斷的程度和進行相關監(jiān)督的程度在相當大的范圍內，管理層確定了各項工作所需的知識和技能存在證據表明員工具備工作所需的知識和技能463董事會或審計委員會獨立于管理層之上指導和監(jiān)督管理層的工作舉例：董事會是否對管理層的決定提出建設性的置疑是否建立董事會專門委員會，他們在專業(yè)和資歷方面能夠有效的處理相關的重要問題董事是否有足夠的知識、行業(yè)經驗和時間以有效的工作審計委員會是否單獨見總會計師和內部、外部審計師以討論財務報告流程、內部控制系統(tǒng)、重大意見和建議及管理層業(yè)績的合理性審計委員會是否每年審核內部和外部審計師的工作范圍董事會是否定期收到關鍵的信息（例如財務報告、主動市場動向、重大合同、協(xié)議）是否存在向董事會報告重大問題的程序是否監(jiān)督高級管理人員的薪酬、聘用和解聘董事會是否明確的強調高級管理層應該遵守行為準則董事會或審計委員會是否會根據其發(fā)現(xiàn)采取適當行動，包括特殊調查等474、管理哲學企業(yè)管理層的管理哲學和經營風格，直接影響著企業(yè)管理的方式，風險管理更是其中重要的體現(xiàn)。經理人的管理哲學和經營風格在其“風險偏好”中得到集中表現(xiàn)，加上他的能力就更加體現(xiàn)該經理人的個人魅力。風險規(guī)避風險轉移風險控制與抑制風險接受甚至風險利用的風險管理措施485組織結構組織結構是權責分工的架構，每個企業(yè)都可根據自己的需要確定最有效的組織結構。舉例：公司的組織結構是否有利于信息的上傳、下達和各業(yè)務活動間的流動公司業(yè)務活動的職責和期望是否明確的傳達給負責這些活動的管理人員報告關系是明確而有效的，能夠向經理人員提供與其責任和權力有關的信息管理人員定期根據變化的業(yè)務或行為環(huán)境來評價公司的組織結構經理和監(jiān)管人員擁有足夠的時的間來有效履行職責496管理層授權和職責分工授權和職責分工是按照權責對等的原則，進行授權和責任分配。將企業(yè)的目標分解至每個員工，使員工的行為與企業(yè)目標相聯(lián)系。舉例：決策的責任是否與其職權和職責相對應對員工進行授權和分配職責時，適當?shù)男畔⒈怀浞挚紤]崗位描述是否包括了具體的與控制有關的責任的描述完成工作所需要的權限與高級管理人員參與的程度存在一個適當?shù)钠胶?07人力資源政策和措施人力資源政策和措施是關于員工聘用、培訓、考核、進升、薪酬等方面的政策和程序。目的是聘用和保持合格的員工。舉例：現(xiàn)有人力資源政策和程序可以招聘和發(fā)展有能力、可信的人員，能夠支持有效的內部控制系統(tǒng)新員工是否能意識到他們的工作職責和公司對他們的期望管理人員是否定期與員工回顧他們的工作表現(xiàn)和今后的改進建議管理層對工作失職采取適當?shù)幕貞肆Y源政策與相應的道德標準是否一致是否核查招聘候選人的背景，特別考慮公司不能接受的行為或活動518、誠信的原則和道德價值觀無論是企業(yè)最高管理層還是其他成員都應當做到：嚴格一致地保持誠信行為和道德標準；不要盲目追求不切實際的目標，以至形成不必要的壓力。52外部諸多影響因素：某些外部因素的變化，也影響企業(yè)內部控制系統(tǒng)政策和程序變化。如證監(jiān)會、銀監(jiān)會、保監(jiān)會、政府審計、獨立審計以及各行業(yè)制度變化和報告要求，就可能使企業(yè)管理當局強化控制意識而采取特定的內部控制系統(tǒng)的政策和程序53要素二：風險評估風險：是任何可能影響實現(xiàn)目標的因素風險評估：是識別和分析那些影響目標實現(xiàn)的風險的過程，是確定如何管理和控制風險的基礎54目標、風險和內部控制的關系確定目標行動計劃/評估風險責任分配分析控制551公司層面的目標：一個公司要達到有效控制就必須建立目標。公司層面目標包括公司期望實現(xiàn)的目標的總體說明，并有相關的戰(zhàn)略計劃支持。2業(yè)務活動層面的目標：業(yè)務活動層次的目標來自公司總的目標和戰(zhàn)略計劃，并與之相聯(lián)系。這些目標應針對每個重要的活動并與其他活動保持一致。3風險評估的過程風險識別：－發(fā)現(xiàn)和分析那些影響目標實現(xiàn)的風險，考慮外部因素和內部因素；－企業(yè)的風險評估程序應該從企業(yè)層次和業(yè)務活動層次兩個角度識別，并分析其相關影響風險分析：－估計風險的重要程度；－評估風險發(fā)生的可能性（或頻率、概率）56舉例：識別外部風險機制是否健全：－供貨來源－技術變革－債權人的要求－競爭對手的行為－經濟條件－政治條件－監(jiān)管－自然事件57識別內部風險機制是否健全：－人力資源－融資－勞動關系－信息系統(tǒng)584應對變化針對影響企業(yè)或業(yè)務層面目標實現(xiàn)的事件或活動，是否能夠預見、識別并采取相應措施針對那些對企業(yè)有巨大、深遠影響的變革，是否能夠識別和處理59要素三：控制活動控制活動：是為確保管理層指示得以執(zhí)行的政策和程序。它們包括一系列不同的活動，如審批、授權、確認、核對、考核經營業(yè)績、資產保護等。60項目內容授權控制為了保證重要經濟業(yè)務的有效處理，對于關鍵的控制點需執(zhí)行授權與批準控制程序。對經濟業(yè)務的授權分一般授權和特殊授權。職務分離控制是指對處理某種經濟業(yè)務所涉及的職責分派給不同的人員，使每個人的工作都是對其他有關人員的一種自動檢查。對于不相容職務應該進行適當分離，并進行檢查，不相容職務的分離包括在部門間分離和部門內部的分離。憑證與記錄控制凡是企業(yè)發(fā)生的經濟業(yè)務，均應留有或填置憑證，如實記錄。企業(yè)的憑證控制程序應能保證有關人員在處理經濟業(yè)務時及時地編制憑證、合理地傳遞、正確地使用和妥善保管。資產接觸、使用與記錄控制為了限制非授權人隨意接近資產和記錄，以保證資產和記錄的安全完整。其主要內容包括：（1）限制非授權人接觸某項資產及有關記錄；（2）建立必要的防護措施，確保資產的安全完整。如簽批手續(xù)、密碼、防火墻等設置。獨立的檢查與評價控制由業(yè)務執(zhí)行者以外的人員對已執(zhí)行的業(yè)務的正確性所進行的驗證，又稱內部稽核。內部稽核包括如下的審核、復核和分析：憑證對憑證、證與賬、賬與賬、賬與表、賬與物、計劃與實際、預算與實際、現(xiàn)在與歷史、內部與外部等。611控制活動的關注點－針對企業(yè)的每一項業(yè)務活動都有必要和恰當?shù)恼吆统绦?。－已確定的控制行為得到恰當?shù)膱?zhí)行

－規(guī)定的控制程序是否已實施，是否正確地按照設計意圖執(zhí)行。－出現(xiàn)例外或發(fā)生需要跟蹤的情況時，是否采取了恰當、及時的措施。－監(jiān)督人員是否審核控制的功能。

622控制活動類型－針對企業(yè)的不同目標，控制活動可以分為以下三個類型：即為提高經營效率效果、增強財務報告的可靠性、遵守法規(guī)等目標的三類控制活動；－根據控制活動的不同作用，控制活動又可以分為：預防性控制、檢查性控制、指導性控制、糾錯性控制、補償性控制等五種類型；－根據組織中實施人員的不同，控制活動也可以分為：高層審批、指導并管理業(yè)務活動，信息處理，實物控制，業(yè)績指標分解，責權分配等。63要素四：信息和溝通信息和溝通：指相關信息以某種形式被識別、獲得和溝通，以促使員工履行自己的職責。相關的信息包括從外部獲取的行業(yè)、經濟、監(jiān)管信息以及內部產生的信息。信息的識別和獲取信息加工和報告內部溝通和外部溝通641信息獲取內部和外部信息，向管理層報告企業(yè)既定目標的實現(xiàn)情況及時向適當?shù)娜藛T匯報足夠的信息以便他們有效的履行其職責信息系統(tǒng)的建立和修改基于對信息系統(tǒng)的戰(zhàn)略規(guī)劃－－與這個企業(yè)的戰(zhàn)略相連，并且著眼于實現(xiàn)企業(yè)的目標和業(yè)務活動層次的目標通過承諾適當?shù)馁Y源－－人力資源和財力資源，管理層表現(xiàn)出對發(fā)展必要的信息系統(tǒng)的支持態(tài)度65舉例：是否存在獲取相關外部信息的機制－有關市場狀況、競爭對手的計劃、立法或監(jiān)管的發(fā)展以及經濟變化。對于實現(xiàn)企業(yè)目標的重要內生信息，包括關鍵的成功因素，是否得到確認并定期匯報。經理是否得到了他們履行職責所需要的信息。是否向不同級別的管理層匯報了不同詳細程度的信息。是否對信息進行了適當?shù)膮R總，可以滿足進一步詳查的需要，而不僅僅是數(shù)據的堆砌。信息是否及時，是否便于有效監(jiān)控有關事件和活動－內部的和外部的－并對經濟、行業(yè)因素和控制問題進行迅速反應。66是否存在一種機制來識別不斷產生的信息需求（如：信息技術督導委員會）。信息的需求和優(yōu)先次序由具有充分責任的高級管理層來決定。是否訂立了一個長遠的信息技術計劃，并與戰(zhàn)略決策相聯(lián)系。是否為建立或改進信息系統(tǒng)提供了足夠的、必要的資源（經理、分析員、具備必要能力的編程人員）。672溝通向員工傳達其職責和控制責任的有效性建立溝通渠道供員工反映他們注意到的可疑問題管理層對于員工提出的提高生產力、質量的建議或其他改進建議的接受能力整個企業(yè)內部是否充分交流（比如，采購和生產環(huán)節(jié)的交流）；信息是否完整和及時；以及信息是否足夠滿足相關人員有效地履行職責的需要是否有開放、有效的渠道，與客戶、供應商和外部其他方面交流不斷變化的客戶需求外部相關方了解企業(yè)道德標準的程度在收到客戶、供應商、監(jiān)管者和其他外部人員反映的情況后，管理層采取的及時和適當?shù)膽獙Υ胧?8舉例：員工是否清楚他們的行為要達到的目標，以及他們的工作對于實現(xiàn)這些目標有什么作用員工是否清楚自己的職責與他人的職責如何相互影響除了直接的上司，有沒有其他的渠道可以向上反映情況，例如調查員或公司律師等。是否允許匿名的反饋。員工是否確實使用這個溝通渠道。報告情況的人員是否得到反饋，并且受到保護不受報復。69銷售人員是否向工程、生產和營銷人員反映客戶需求應收賬款負責人員是否向信用管理人員匯報付款不及時的客戶建議、投訴和收到的其他情況是否得到重視并向內部相關人員匯報必要的信息是否向上匯報并采取相應的跟進措施是否善于接受他人就產品、服務或其他方面反映的問題，并且對此進行調查并采取適當?shù)男袆痈呒壒芾韺邮欠袂宄对V的性質以及數(shù)量70要素五：監(jiān)督監(jiān)督：是評估內控系統(tǒng)在一定時期內運行質量的過程，目的是保證內部控制持續(xù)有效。監(jiān)督的方式包括：

－持續(xù)性監(jiān)督－獨立的評估71持續(xù)性監(jiān)督：持續(xù)性的監(jiān)督行為發(fā)生在經營的過程中，它包括日常的管理、監(jiān)督、比較、核對和其他常規(guī)性活動。獨立評估獨立評估是獨立于控制活動之外而采取的定期評估行為。72第三章COSO與ERM比較

相對于COSO報告而言，ERM框架中新增加的內容：一個觀念；一個目標；兩個概念；三個要素；一個部門：風險管理部73內部環(huán)境戰(zhàn)略目標設定事項識別風險評估風險應對控制活動信息與溝通監(jiān)督經營報告遵循子公司業(yè)務單位分支機構企業(yè)整體層次74第三章COSO與ERM比較（續(xù)）一、提出一個新的觀念—風險組合觀內部控制框架中沒有預期到的一個概念是風險的組合觀。企業(yè)風險管理要求企業(yè)管理者以風險組合的觀點看待風險，對相關的風險進行識別并采取措施所承擔的風險在風險偏好的范圍內。75二、增加了一個目標—戰(zhàn)略目標，并擴大了報告目標的范圍戰(zhàn)略經營報告遵循內部環(huán)境戰(zhàn)略目標設定事件識別風險評估風險應對控制活動信息與溝通監(jiān)控經營報告遵循子公司業(yè)務單位分支機構企業(yè)整體層次76戰(zhàn)略目標：處于比其他目標更高的層次。戰(zhàn)略目標來自一個主體的使命或愿景，因而經營、報告、和合規(guī)目標必須與其協(xié)調。報告目標：內部控制框架中的包括定義為與公開的財務報表的可靠性有關。在企業(yè)風險管理框架中，報告被大大地拓展為包含主體所編制的所有報告，包括對內報告和對外報告。77三、兩個概念1、風險容量/偏好（riskappetite）一個主體在追求其使命/愿景的過程中所愿意承受的廣泛意義的風險數(shù)量。它在戰(zhàn)略制定和相關目標的選擇中起到了風向標的作用。2、風險容限相對于目標的實現(xiàn)而言所能接受的偏離程度。在確定風險容限的過程中，管理當局考慮相關目標的相對重要性，并使風險容限與風險容量相協(xié)調。78四、三個要素1、目標設定（objectivesetting）在風險管理框架中，由于要針對不同的目標分析其相應的風險，因此目標的制定自然就成為風險管理流程的首要步驟，并將其確認為風險管理框架的一部分。2、事項識別（eventidentification）企業(yè)風險管理和內部控制框架都承認風險來自于企業(yè)內、外部各種因素，而且可能在企業(yè)的各個層面上出現(xiàn)，并且應根據對實現(xiàn)企業(yè)目標的潛在影響來確認風險。但是，企業(yè)風險管理框架深入探討了潛在事項的概念，認為潛在事項是指來自于企業(yè)內部和外部資源的，可能影響企業(yè)戰(zhàn)略的執(zhí)行和目標實現(xiàn)的一件或一系列偶發(fā)事項。3、風險應對（riskresponse）風險的四種反應方案：規(guī)避、減少、共擔和接受風險。作為風險管理的一部分，管理者應比較不同方案的潛在影響，并且應在企業(yè)風險容限范圍內的假設下，考慮風險反應方案的選擇。、

第四章

2013年COSO框架新變化2013年5月，COSO發(fā)布新的內部控制框架實施時間：2014年12月過渡期需要披露使用的版本重大變化：基于原有COSO五要素提出了17條核心內控原則，大幅度增強了五要素的可操作性控制環(huán)境---要素1原則1：組織對正直和道德等價值觀做出承諾分析：作為控制環(huán)境的基礎要件，恰當?shù)穆氊煵偈丶暗赖乱?guī)范水平將對組織整體內控的設計和運行水平產生重大影響。因此，組織應向其全體成員提出清晰、積極的職業(yè)操守及道德規(guī)范期望。原則2：最高治理層和管理層應適當分權。董事會獨立于管理層，并對內部控制的推進與成效加以監(jiān)督控制。

分析：明確了組織治理范疇下的董事會基本獨立性要求，以及管理層建立內控體系的責任及董事會監(jiān)督職能。原則3：管理層圍繞其目標，在治理層監(jiān)督下，建立健全組織架構、匯報條線、合理的授權與責任等機制分析：在明確內控體系的目標導向特征的前提下，2013COSO框架要求明確管理層的內控職責，并明確了構成內控體系的關鍵要素：恰當?shù)慕M織結構匯報路徑職責分配授權體系原則:4：組織對吸引、開發(fā)和保留與認同組織目標的人才做出承諾。

分析：框架強調人的因素對控制環(huán)境的影響。高素質的執(zhí)行團隊將有效推動內控體系的設計有效性及執(zhí)行效率，進而優(yōu)化內控環(huán)境。原則5：組織根據其目標，使員工各自擔負起內部控制的相關責任。分析：此原則同樣在強調內控體系中人的因素。職責不清會對整個內控體系的運行產生不利影響，而清晰的內控責任體系將提升內控體系整體執(zhí)行力，進而優(yōu)化內控環(huán)境。84風險評估---要素2原則6：組織制定清晰的目標，進而能夠有效識別和評價威脅目標實現(xiàn)的風險。分析：內部控制的目標導向特征使得組織必須首先明確其目標，然后才能在此基礎上識別可能威脅目標實現(xiàn)的各類風險，為后續(xù)控制措施的提出奠定基礎。85原則7：組織在整個實體層面識別可能威脅組織目標實現(xiàn)的風險，以便判斷如何對這些風險進行管理。分析：組織在明確其目標之后，應該采取主動積極的管理措施對各類風險進行有效收集、確認、分類和評價，才能有針對性的設計和執(zhí)行各種控制措施。86原則8：組織在評價威脅組織目標實現(xiàn)的風險時，考慮潛在的舞弊。分析：舞弊風險因其存在主觀故意性、隱蔽性、串謀性、危害嚴重性等特征，而區(qū)別于一般風險。新框架提出應在風險評估階段，對舞弊風險進行考慮。87原則9：組織對可能對內控體系產生重大影響的變化事項進行識別與評價。分析：組織內部變化因素（組織結構調整、兼并收購、業(yè)務轉型等）及外部環(huán)境變化因素（法規(guī)變化、市場條件變化等）可能導致原有內控體系無法涵蓋和適應組織的各類業(yè)務活動。在風險評估階段，組織需對這些變化因素進行識別與評估。88控制活動---要素3原則10：織組選擇并且設置控制活動，以將威脅組織目標實現(xiàn)的風險降低到可接受的水平。分析：針對已識別的各類風險，組織應有針對性的設置相應的控制活動（財產保護、不相容職務分離、會計記錄、授權審批等），以降低風險水平。具體的措施選擇及執(zhí)行程度，受到組織治理層風險偏好的影響。原則11：組織針對技術選擇并且設置一般控制活動，以支持組織目標實現(xiàn)。分析：相對于具體業(yè)務層面風險，技術風險具有自身特征。新框架對與技術相關的風險進行了強調。原則12：組織通過制定政策（以明確控制期望）和具體流程（將控制期望轉換為具體行為）來貫徹控制活動。分析：新框架把控制活動的貫徹劃分為一般控制政策及業(yè)務流程兩個層面。后者作為前者的具體實現(xiàn)方式。即政策制定應當具備明確目標，具備實踐指導性，當情況變化時（出現(xiàn)特例）時候，如何處理，如果調整具體流程，應以政策為依據。信息與溝通----要素4原則13：組織獲取或者產生符合使用者需求的、高質量的信息，以支持內控體系發(fā)揮功能。分析：任何主體在實施特定指控措施時，往往都需要獲得一定的信息支持。信息質量包括及時、完整、準確。質量的高低對控制措施的實施效果會產生巨大影響。企業(yè)應當建立完善信息獲取的渠道和信息產生的方法、工具，進一步明確信息輸入、輸出的標準、口徑以及控制措施。原則14：組織在內部溝通相關信息（包括控制目標、控制職責），以支持內控體系發(fā)揮功能。分析：控制職責等信息只有有效轉達至各執(zhí)行主體，各執(zhí)行主體才可能有效的實施控制措施。同時，組織成員對在業(yè)務管理活動中其他組織成員的控制目標和責任有清晰的了解，有助于整體團隊溝通合作，實現(xiàn)組織整體目標。原則15組織與外部相關各方溝通可能對內控功能發(fā)揮產生影響的事項。分析：任何組織都非孤立存在，其內部活動必然與外部產生各種聯(lián)系。在必要時，組織需要就內控事項與外部主體進行溝通，以滿足外部主體合理利益訴求。監(jiān)督活動---要素5原則16：組織選擇、設計和執(zhí)行持續(xù)或者單獨的評價，以確認內控各關鍵要素存在且持續(xù)發(fā)揮功能。分析：為確保組織內控體系正常運轉，必須建立有效的監(jiān)督機制。監(jiān)督機制可以與業(yè)務執(zhí)行保持一致而實現(xiàn)持續(xù)監(jiān)督（比如持續(xù)的對一類管理活動予以動態(tài)監(jiān)控），也可以采取單獨評價方式（如按照一定時間間隔執(zhí)行經營審計）。從組織層面上可劃分為業(yè)務層面的監(jiān)督或者組織層面的獨立監(jiān)督。原則17：組織對內部控制進行評價，并及時將發(fā)現(xiàn)的內控缺陷報給負責執(zhí)行糾正性措施的主體，這些主體包括高管層、董事會、具體視缺陷情況而定。分析：通過原則16監(jiān)督所識別的內控缺陷，應有效傳達至負責主體（根據缺陷所處層級及影響程度，通常由董事會或者高管層負責），并由后者實施相應的整改，以及時彌補內控缺陷。100第六章：內部控制與薩班斯法案一、法案的背景

安然，世通等知名公司相繼暴露出嚴重的管理層欺詐丑聞，使美國上市公司深陷信用危機。 會計系統(tǒng)的漏洞、管理層的失職、內部控制的缺乏以及外部審計人員的道德風險是導致管理層欺詐丑聞的根本原因。 重建公司信用，規(guī)范高級管理層與注冊會計師關系和職業(yè)道德的要求刻不容緩。

2002年6月，布什總統(tǒng)簽署的薩班斯－奧克斯利法案正式生效，該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯(lián)合提出，故簡稱《薩班斯－奧克斯利法案》。該法案對美國《1933年證券法》、《1934年證券交易法》作了不少修訂，在會計職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管等方面作出了許多新的規(guī)定。101第六章：內部控制與薩班斯法案（續(xù)）二、法案出臺的目的

-重建公司信用，培育公眾信心，振興證券市場。

-加強公司監(jiān)管，規(guī)范業(yè)務運作。

-增加財務報告與信息披露的透明度。

-確保公司管理層可以從有效監(jiān)控的系統(tǒng)中獲取重要信息。

-公司管理層必須對美國證券管理委員會要求存檔的材料和向投資者公布的信息承擔責任。102三、法案的主要內容

-成立獨立的公眾公司會計監(jiān)察委員會，監(jiān)管執(zhí)行上市公司審計職業(yè)

-要求加強注冊會計師的獨立性

-要求加大公司的財務報告責任

-要求強化財務披露義務

-加重了違法行為的處罰措施

-增加經費撥款，強化美國證券管理委員會的監(jiān)管職能

-要求美國審計總署加強調查研究其中與上市公司管理層直接相關的是：第302節(jié)公司對財務報告的責任第404節(jié)管理層對內部控制的評價103第302節(jié)公司對財務報告的責任

-要求公司首要官員及首要財務官在季度/年度報告中保證

-對信息披露的控制和程序負責（含刑事責任）

-設計必要的內部控制手段并確保其執(zhí)行可使高層及時獲得重要信息

-對披露控制的有效性進行評估，評估結果需存檔

-不可向審計委員會和外部審計人員隱瞞公司重大的內控失敗和人員舞弊行為

-存檔描述內部控制的重大變化

-介紹信息披露的控制和程序

-強調財務人員的正直和財務報告系統(tǒng)控制的完整性

-需披露的非財務信息包括：重要合同的簽署，戰(zhàn)略合作關系的解除以及法律訴訟

-美國證券管理委員會要求

-擴大信息披露的控制和財務報告系統(tǒng)內部控制程序的認證

-將內控評估日改為財務報告截止日104第404節(jié)管理層對內部控制的評價

-要求公司管理層在年度報告中：

-描述他們在建立和維護一個針對財務報告職能行之有效的內部控制程序中的責任

-對財務報告系統(tǒng)內部控制有效性以一個公認架構進行評估（例如COSO內控架構）

-同時要求外部審計人員：

-對管理層評估結果進行簽證

-美國證券管理委員會要求

-擴大信息披露的控制和財務報告系統(tǒng)內部控制程序的認證

-將內控評估日改為財務報告截止日105在美國上市的公司，不論規(guī)模，均需遵守薩班斯－奧克斯利法案的有關規(guī)定。即使上一年注冊會計師出具的是無保留意見的審計報告，也不表示公司現(xiàn)有的內控系統(tǒng)已經符合法案的規(guī)定。根據法案的規(guī)定，獨立審計人員還需另外證明客戶公司的內部控制系統(tǒng)是有效的。美國國會清楚地規(guī)定，公司對其財務報告和信息披露的公允性、充分性和正確性負有責任。法案規(guī)定獨立審計人員的主要職責為：證明管理層對公司財務報告系統(tǒng)的內部控制程序是否有效的評估是合理的。換句話說，管理層必須獨立地評估，執(zhí)行和監(jiān)控內部控制程序（但是