企业内部控制2011.ppt

浙江工商大学 张宜霞,1,一、上市公司内部控制相关法规的要求,张宜霞,浙江工商大学 张宜霞,2,主要内容,美国上市公司内部控制相关法规的要求英国上市公司内部控制相关法规的要求中国上市公司内部控制相关法规的要求,浙江工商大学 张宜霞,3,美国上市公司内部控制相关法规的发展 2001年以来，安然系列事件的发生； 2002年7月，美国SOX法案颁布； 2003年6月，SEC发布“最终规则”； 2004年3月，PCAOB发布AS No.2； 2006年7月11日，SEC发布关于管理层报告财务报告内部控制的“concept release”，征求意见； 多次推迟生效日期：cost-effective 2007年，SEC的管理层评价指南 2007年，PCAOB的第5号审计准则,浙江工商大学 张宜霞,4,美国企业内部控制的框架-SEC适当的框架 －（1）没有偏见 （2）允许适当一致的定性和定量衡量公司的内部控制； （3）充分完整，没有忽略那些会改变公司内部控制有效性结论的相关要素； （4）与评价财务报告内部控制相关； 1992年，COSO发布的《内部控制-整合框架》； 2006年6月，COSO发布《财务报告内部控制－小企业指南》；,浙江工商大学 张宜霞,5,2004年，COSO发布的《企业风险管理-整合框架》； 2009年，COSO发布的《监督内部控制系统的指引》； SOX法案302节－“公司对财务报告的责任” 签字官员 （A）对建立及保持内部控制负责； （B）设计了所需的内部控制，以保证这些官员能知道该公司及其纳入合并报表的子公司的所有重大信息，尤其是报告期内的重大信息； （C）评价公司的内部控制在签署报告前90天内的有效性； （D）在该定期报告中发布他们上述评价的结论。

浙江工商大学 张宜霞,8,管理层对外的报告这个报告主要包括： （1）陈述管理层为公司建立和维持充分的财务报告内部控制的责任； （2）一项陈述，确定管理层对公司财务报告内部控制的有效性执行要求的评价时所采用的框架； （3）管理层对公司的财务报告内部控制在最近财务年度的有效性的评估，包括一项有关公司的财务报告内部控制是否有效的陈述这项评估必须包括对管理层识别的公司财务报告内部控制重要弱点（material weaknesses）的披露如果在公司的财务报告内部控制中存在一项或多项重要弱点，就不允许管理层得出结论，认为公司的财务报告内部控制是有效的浙江工商大学 张宜霞,9,内部控制评价报告——对管理层对内部控制的评价，担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告 上述评价和报告应当遵循委员会发布或认可的准则 上述评价过程不应当作为一项单独的业务 美国的内部控制评价与报告体系 公司管理层对财务报告内部控制的有效性进行评价，对内向审计委员会报告、对外发布公开报告； 注册会计师对财务报告内部控制进行审计，对公司财务报告内部控制的有效性发表意见；,浙江工商大学 张宜霞,10,七、SOX法案下的内部控制评价与报告,内部控制评价、审计,内部控制报告,公司管理层对财务报告内部控制有效性的评价,内部控制的对外报告,注册会计师对财务报告内部控制的审计,注册会计师的审计报告,内部控制的对内报告,对内部控制有效性的审计意见,,,,,,,,,,浙江工商大学 张宜霞,11,（4）一项陈述，说明审计财务报表（包括在年度报告中）的已登记公共会计公司已经就管理层对财务报告内部控制的评价出具了鉴证报告。

管理层对内的报告向公司的审计委员会报告内部控制的以下相关情况： （1）内部控制的设计或运行中，对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷，并向公司的审计师指出内部控制的重大缺陷 （2）在内部控制中担任重要职位的人员或其他雇员的欺诈行为，不论行为的影响是否重大浙江工商大学 张宜霞,12,英国上市公司内部控制的监管 1998年，联合规则（Combined Code）； 1999年，turnbull指南； 2003年，SEC的认可； 2005年，turnbull指南的评价与修改，结论：“Turnbull指南不需要做出重大改变 ”； 英美对比：巨大的反差 ??? PK 香港上市公司内部控制监管 参照英国的要求 2005年6月，香港会计师公会制定发布《内部监控与风险管理的基本框架》浙江工商大学 张宜霞,13,,浙江工商大学 张宜霞,14,,日本 2003年6月，日本经济产业省制定发布《新风险时代的内部控制－与风险管理一起发挥作用的内部控制的指南》 2007年，《财务报告内部控制评价与审计准则》 内部控制的构成要素 内部控制的目标 内部控制审计的性质,浙江工商大学 张宜霞,15,中国企业内部控制的规制 2001年开始，《内部会计控制规范》。

2004年，《商业银行内部控制指引》 2006年，企业内部控制标准委员会成立 2006年，国资委发布了《中央企业全面风险管理指引》 2006年，上交所、深交所分别发布了上市公司内部控制指引； 2007年，发布《企业内部控制基本规范》征求意见稿 2007年，《商业银行内部控制评价指引》 2008年6月，发布《企业内部控制基本规范》 2010年4月，发布18个《企业内部控制应用指引》和《企业内部控制评价指引》和《企业内部控制审计指引》浙江工商大学 张宜霞,16,浙江工商大学 张宜霞,17,浙江工商大学 张宜霞,18,浙江工商大学 张宜霞,19,浙江工商大学 张宜霞,20,三、企业内部控制,张宜霞,浙江工商大学 张宜霞,21,企业内部控制的内涵,内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程：经营的有效性和效率；财务报告的可靠性；遵守适用的法律和法规浙江工商大学 张宜霞,22,企业内部控制的内涵,这个定义反映了四个理念： 第一，内部控制是一个过程，它是实现目的的手段，而不是目的本身； 第二，内部控制由人员来实施，并不仅仅是政策手册和表格，还涉及组织中各个层级的人员； 第三，只能期望内部控制为企业的管理层和董事会提供合理保证，而不是绝对保证； 第四，内部控制被用来实现一个或多个彼此独立而又相互交叉类别的目标。

浙江工商大学 张宜霞,23,企业内部控制的目标,内部控制的目标一般分为三类： 经营（operations）目标与企业资源利用的有效性与效率有关； 财务报告（financial reporting）目标与编制可靠的公开财务报表有关； 合规（compliance）目标与企业符合适用的法律和法规有关浙江工商大学 张宜霞,24,企业内部控制的目标,专注于内部控制的不同方面； 互相区别又彼此交叉（某一种目标可以归入一个以上的类别）的类别； 针对不同的需要，可能是不同管理人员的直接责任； 这种分类还有助于区分每个类别的内部控制的预期结果；,浙江工商大学 张宜霞,25,企业内部控制的目标,目标的合理保证 合理保证实现 财务报告的可靠性 对法律和法规的遵循 合理保证了解进展 经营的效率和效果,浙江工商大学 张宜霞,26,内部控制的局限性,判断失误 实施故障 管理层凌驾 串通 成本与效益,浙江工商大学 张宜霞,27,相关各方责任,管理层的责任 积极的控制环境 高层基调 董事会的责任 指导和监督 董事会成员客观、胜任 内部审计师的责任 其他人员的责任 外部各方的责任 －监管方,浙江工商大学 张宜霞,28,相关术语,控制目标，提供了一个据以评价控制有效性的具体目标（target）。

财务报告内部控制的控制目标通常与一个相关认定有关，并阐明了一个评价标准，据以评价公司特定领域的控制程序是否能够合理保证相关认定的错报或漏报能被控制及时的防止或发现浙江工商大学 张宜霞,29,财务报告内部控制缺陷如果一项控制的设计或运行没有使管理层或员工在行使所赋职责的正常过程中及时防止或发现错报，就表明存在一项财务报告内部控制缺陷 （1）设计缺陷：如果（a）实现控制目标所必需的一项控制缺失，或（b）现有的一项控制设计不当，以至于即使该项控制按照设计运行也不会实现控制目标，就表明存在一项设计缺陷 （2）运行缺陷：如果一项设计适当的控制没有按照设计运行，或实施该项控制的人员不具备有效实施该项控制所必需的权力或能力时，就表明存在一项运行缺陷浙江工商大学 张宜霞,30,,财务报表和相关披露，指的是公司按照公认会计原则呈报的财务报表和财务报表附注这里所指的财务报表和相关披露没有扩展到“管理层讨论和分析”的编制或在公司基于公认会计原则的财务报表和附注之外呈报的其他类似财务信息，,浙江工商大学 张宜霞,31,财务报告内部控制，是一个过程，它是由公司首席执行官和首席财务官或履行类似职能的人设计的或在其监督之下的，并由公司董事会、管理层和其他人员实施的，为财务报告的可靠性和按照公认会计原则编制对外财务报表提供合理保证，财务报告内部控制包括的政策和程序要： （1）与保持适当详尽、准确和公允反映公司资产的交易和处置的记录相关； （2）合理保证对交易进行了必要的记录以容许按照公认会计原则编制财务报表，以及公司的收入和支出只根据公司管理层和董事的授权进行； （3）合理保证防止或及时发现未经批准取得、使用或处置那些可能会对财务报表产生重要影响的公司资产。

浙江工商大学 张宜霞,32,管理层的评估，是规则S-B和S-K的308（a）(3)条款规定的那种评估，它包括在管理层财务报告内部控制的年度报告中 重大漏洞，是财务报告内部控制的一个缺陷或多个缺陷的联合，以至于公司年度或中期财务报表的一个重大错报没有被防止或及时发现存在相当的可能性（reasonable possibility）浙江工商大学 张宜霞,33,财务报告的控制可以是预防性控制或探测性控制有效的财务报告内部控制通常包括一个预防性控制和探测性控制的联合 （1）预防性控制的目标是防止能够导致财务报表错报的错误或舞弊的发生 （2）探测性控制的目标是探测那些已经发生的、能够导致财务报表错报的错误或舞弊 相关认定，是一个财务报表的认定，它以相当的可能性包含一个或多个会导致财务报表发生重大错报的错报确定一个认定是否是相关认定是基于固有风险，不考虑控制的影响浙江工商大学 张宜霞,34,在考虑多报风险和低报风险的情况下，如果一个账户或披露以相当的可能性包含一个错报，它单独或与其他错报联合起来对财务报表具有重要影响，那么，这个账户或披露是一个重要账户或披露（significant account or disclosure）。

确定一个账户或披露是否是重大是基于固有风险，不考虑控制的影响 重要缺陷，是一个财务报告内部控制缺陷或多个财务报告内部控制缺陷的联合，它在严重性上小于重大漏洞，但其重要程度足以值得那些负责监督公司财务报告的人注意浙江工商大学 张宜霞,35,企业内部控制的构成要素,控制环境 风险评估 控制活动 信息与沟通 监控,浙江工商大学 张宜霞,36,企业内部控制,,浙江工商大学 张宜霞,37,三、企业风险管理,张宜霞,浙江工商大学 张宜霞,38,主要内容,1制定与发布 2不确定性、价值、事项 3企业风险管理的内容 4企业风险管理的内涵 5企业风险管理的构成要素,浙江工商大学 张宜霞,39,1制定与发布,发布时间与制定机构 2004年9月 ； COSO-反欺诈财务报告委员会发起组织委员会（Committee of Sponsoring Organizations of the Treadway Commission ，“COSO”）； 《企业风险管理－整合框架》(Enterprise Risk Management – Integrated Framework )；,浙江工商大学 张宜霞,40,2。

不确定性、价值、事项,不确定性 企业经营所处的环境，如全球化、技术、重组、变化中的市场、竞争和管制等因素都会导致不确定性 不确定性来源于不能准确地确定事项发生的可能性以及所带来的影响 不确定性也是主体的战略选择所带来和导致的。