當(dāng)代內(nèi)部控制的發(fā)展-課件

1當(dāng)代內(nèi)部控制的發(fā)展

張曉瑜

博士

2案例：英國巴林銀行（BaringsBank）倒閉案破產(chǎn)企業(yè)：巴林銀行，1763年成立，全球最早的商業(yè)銀行，直至破產(chǎn)時(shí)已有233年歷史關(guān)鍵人物：尼克李森(NickLesson)，年齡26歲，英國巴林銀行新加坡期貨交易員事件概要：李森先生在負(fù)責(zé)巴林銀行在新加坡國際貨幣交易所（SIMEY）證券交易工作中，由最初錯(cuò)將買入20份合同造成損失20000英鎊開始，到420份合同的失誤，到非經(jīng)授權(quán)操作期貨指數(shù)和日經(jīng)225股票指數(shù)造成幾千萬英鎊損失，直到1995年2月23日累計(jì)到14億英鎊的損失。其間李森得到由一片贊揚(yáng)、欣賞、高額紅利到逃跑、被抓入獄的戲劇性的變化，而巴林銀行由業(yè)績輝煌到轟然倒塌。3損失金額：14億英鎊損失發(fā)生時(shí)間：1992年3月——1995年2月缺乏有效的風(fēng)險(xiǎn)管理和內(nèi)部控制：1.缺乏不同職責(zé)的劃分和制約，例如允許李森身兼雙職，既擔(dān)任前臺(tái)首席交易員職務(wù)，又負(fù)責(zé)管理后臺(tái)清算。2.對(duì)部門負(fù)責(zé)人的交易金額和權(quán)限缺乏限制；缺乏內(nèi)部監(jiān)督與稽核。思考的問題：1.為什么百年銀行會(huì)毀在一個(gè)20幾歲的交易員手中？

2.巴林銀行毀在遠(yuǎn)在總部之外的非主營業(yè)務(wù)——期權(quán)、期貨交易上，說明了什么？4考慮：若有有效的機(jī)制，可以糾正、遏制。人都會(huì)犯錯(cuò)誤。人走向滅亡，公司走向倒閉。思考：錯(cuò)誤發(fā)生時(shí)，是否有糾錯(cuò)機(jī)制？也就是需要內(nèi)部控制。問題：為什么如此大的銀行，沒有良好的內(nèi)控？回答－對(duì)常規(guī)業(yè)務(wù)有良好的內(nèi)部控制，對(duì)新項(xiàng)目缺乏適當(dāng)?shù)膬?nèi)控。原有內(nèi)控體系不完善。最基礎(chǔ)的內(nèi)部牽制，不相容職責(zé)沒有做好，新加坡的期貨業(yè)務(wù)交易由一個(gè)人操作。即最基礎(chǔ)的內(nèi)控沒有做好。重大業(yè)務(wù)需要授權(quán)，李深權(quán)力大，責(zé)任大，風(fēng)險(xiǎn)也大。5第一章內(nèi)部控制基本理論第二章內(nèi)部控制目標(biāo)與要素第三章COSO與ERM比較第四章《企業(yè)內(nèi)部控制基本規(guī)范》第五章內(nèi)部控制與薩班斯法案第六章內(nèi)部控制程序與方法6第一章內(nèi)部控制基本理論一、內(nèi)部控制的概念內(nèi)部控制絕對(duì)不是：靜態(tài)的結(jié)構(gòu)；某一層次人員的任務(wù)（例如：高級(jí)管理層）；某一部門的任務(wù)（例如：財(cái)務(wù)、內(nèi)部審計(jì)）；某一實(shí)體的任務(wù)（例如：總部、子公司）。7第一章內(nèi)部控制基本理論（續(xù)）概念1：《中國注冊(cè)會(huì)計(jì)師執(zhí)業(yè)準(zhǔn)則第1211號(hào)——了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》第46條規(guī)定：”內(nèi)部控制是被審計(jì)單位為了合理保證財(cái)務(wù)報(bào)告的可靠性、經(jīng)營的效率和效果以及對(duì)法律法規(guī)的遵守，由治理層、管理層和其他人員設(shè)計(jì)和執(zhí)行的政策和程序?！?第一章內(nèi)部控制基本理論（續(xù)）概念2：美國反欺騙性財(cái)務(wù)報(bào)告委員會(huì)（COSO）的定義：內(nèi)部控制是一個(gè)靠組織的董事會(huì)、管理層和其他員工去實(shí)現(xiàn)的過程，實(shí)現(xiàn)這一過程是為了合理的保證：

經(jīng)營的效果性和效率性；財(cái)務(wù)報(bào)告的可信性；對(duì)法律和規(guī)章制度的遵循性。因此，整個(gè)集團(tuán)的共同參與對(duì)于項(xiàng)目的成功至關(guān)重要。9第一章內(nèi)部控制基本理論（續(xù)）概念3：從企業(yè)發(fā)展全球化、競爭日趨激烈趨勢看，結(jié)合企業(yè)風(fēng)險(xiǎn)戰(zhàn)略理論和風(fēng)險(xiǎn)管理理論，內(nèi)部控制系統(tǒng)描述如下：企業(yè)的內(nèi)部控制系統(tǒng)是為保護(hù)資產(chǎn)的安全完整、信息交流與溝通的暢通、實(shí)現(xiàn)組織經(jīng)營的效率與效果、遵守各種法律規(guī)章等目標(biāo)，把各種影響因素控制和抑制在可接受的風(fēng)險(xiǎn)水平下，由企業(yè)管理當(dāng)局設(shè)立的一整套系統(tǒng)的措施與方法。10概念4：內(nèi)部控制是由企業(yè)董事會(huì)、監(jiān)事會(huì)、經(jīng)理層和全體員工實(shí)施的、旨在實(shí)現(xiàn)控制目標(biāo)的過程。

-------《企業(yè)內(nèi)部控制基本規(guī)范》11第一章內(nèi)部控制基本理論（續(xù)）二、內(nèi)部控制的演進(jìn)形成時(shí)間內(nèi)控理論主要內(nèi)容20世紀(jì)30年代內(nèi)部牽制Internalcheck1.內(nèi)部牽制三要素：職責(zé)分工、會(huì)計(jì)記帳、人員輪換。2.內(nèi)部牽制的執(zhí)行分為四類：實(shí)物牽制、機(jī)械牽制、體制牽制、簿記牽制。20世紀(jì)40-70年代發(fā)展階段會(huì)計(jì)控制和管理控制1、1934年，美國《證券交易法》首先提出“內(nèi)部會(huì)計(jì)控制”概念；2、1949年，美國會(huì)計(jì)師協(xié)會(huì)的審計(jì)程序委員會(huì)（CAP）發(fā)表《內(nèi)部控制、協(xié)調(diào)系統(tǒng)諸要素及其對(duì)管理部門和注冊(cè)會(huì)計(jì)師的重要性》的專題報(bào)告，對(duì)內(nèi)部控制首次做出了定義；3、1953年10月，CAP又發(fā)布了《審計(jì)程序公告第19號(hào)》，內(nèi)部控制按其要點(diǎn)劃分為會(huì)計(jì)控制和管理控制。4、1972年，美國準(zhǔn)則委員會(huì)（ASB）《審計(jì)準(zhǔn)則公告》的制定者，對(duì)管理控制和會(huì)計(jì)控制提出并通過了今天廣為人知的定義。1220世紀(jì)70-80年代形成階段內(nèi)部控制結(jié)構(gòu)論1988年美國注協(xié)審計(jì)委《審計(jì)準(zhǔn)則第55號(hào)》首次以“內(nèi)部控制結(jié)構(gòu)：取代“內(nèi)部控制”，指出內(nèi)部控制結(jié)構(gòu)包括三要素：（1）控制環(huán)境；（2）會(huì)計(jì)制度；（3）控制程序20世紀(jì)90年代-21世紀(jì)成熟階段Ⅰ內(nèi)部控制框架1992年，美國”反對(duì)虛假財(cái)務(wù)報(bào)告委員會(huì)”，所屬的內(nèi)部控制專門研究委員會(huì)發(fā)起機(jī)構(gòu)委員會(huì)，在進(jìn)行專門研究后提出專題報(bào)告：《內(nèi)部控制一整體架構(gòu)(InternalControl一IntegratedFramework)》，也稱COSO報(bào)告。五要素21世紀(jì)初至2013年成熟階段Ⅱ風(fēng)險(xiǎn)管理框架2004年9月發(fā)布《企業(yè)風(fēng)險(xiǎn)管理-整合框架》八要素2013年內(nèi)部控制新框架2013年5月發(fā)布COSO新框架13第一章內(nèi)部控制基本理論（續(xù)）三、內(nèi)部控制的法律法規(guī)1996年12月，財(cái)政部發(fā)布《獨(dú)立審計(jì)準(zhǔn)則第9號(hào)——內(nèi)部控制和審計(jì)風(fēng)險(xiǎn)》，提出內(nèi)部控制“三要素”，幫助注冊(cè)會(huì)計(jì)師判斷是否信賴內(nèi)部控制，以確定審計(jì)性質(zhì)、時(shí)間和范圍。1997年5月，中國人民銀行發(fā)布了《加強(qiáng)金融機(jī)構(gòu)內(nèi)部控制的指導(dǎo)原則》，就銀行、保險(xiǎn)公司等金融機(jī)構(gòu)內(nèi)部控制的目標(biāo)、原則、要素、基本要求等作出了規(guī)范。2000年11月，證監(jiān)會(huì)發(fā)布了《公開發(fā)行證券公司信息披露編制規(guī)則》，要求公開發(fā)行證券的商業(yè)銀行、保險(xiǎn)公司、證券公司建立健全內(nèi)部控制制度，并在招股說明書正文中說明內(nèi)部控制制度的完整性、合理性和有效性。同時(shí)，要求注冊(cè)會(huì)計(jì)師對(duì)被審計(jì)者的內(nèi)部控制制度及風(fēng)險(xiǎn)管理的“三性”進(jìn)行評(píng)價(jià)和報(bào)告。142001年1月，證監(jiān)會(huì)發(fā)布了《證券公司內(nèi)部控制指引》，要求所有的證券公司建立和完善內(nèi)部控制機(jī)制和內(nèi)部控制制度。2001年6月，財(cái)政部發(fā)布了《內(nèi)部會(huì)計(jì)控制——基本規(guī)范（試行）》和《內(nèi)部會(huì)計(jì)控制規(guī)范——貨幣資金（試行）》，明確了單位建立和完善內(nèi)部會(huì)計(jì)控制體系的基本框架的要求，以及貨幣資金內(nèi)部控制的要求。2002年2月中國注冊(cè)會(huì)計(jì)師協(xié)會(huì)頒布了《內(nèi)部控制審核指導(dǎo)意見》，規(guī)范注冊(cè)會(huì)計(jì)師就被審核單位管理當(dāng)局在特定日期對(duì)內(nèi)部控制有效性的認(rèn)定進(jìn)行審核，并發(fā)表審核意見。152002年9月中國人民銀行頒布了《商業(yè)銀行內(nèi)部控制指引》，內(nèi)部控制應(yīng)當(dāng)包括內(nèi)部控制環(huán)境、風(fēng)險(xiǎn)識(shí)別與評(píng)估、內(nèi)部控制措施、信息交流與反饋、監(jiān)督評(píng)價(jià)與糾正要素。2002年12月財(cái)政部又發(fā)布了《內(nèi)部會(huì)計(jì)控制——采購與付款（試行）》和《內(nèi)部會(huì)計(jì)控制——銷售與收款（試行）》，之后，有相繼頒布了《內(nèi)部會(huì)計(jì)控制——擔(dān)保（征求意見稿）》、《內(nèi)部會(huì)計(jì)控制——成本費(fèi)用（征求意見稿）》2003年10月，財(cái)政部又發(fā)布了《內(nèi)部會(huì)計(jì)控制——工程項(xiàng)目（試行）》，主張各單位應(yīng)當(dāng)建立適合被單位業(yè)務(wù)特點(diǎn)和管理要求的工程項(xiàng)目內(nèi)部管理制度，并組織實(shí)施。162004年8月中國銀行業(yè)監(jiān)督管理委員會(huì)通過了〈商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法》，該辦法自2005年2月1日施行。2006年6月上海證券交易所發(fā)布《上海證券交易所上市公司內(nèi)部控制指引》，明確公司內(nèi)部控制通常應(yīng)涵蓋經(jīng)營活動(dòng)中所有業(yè)務(wù)環(huán)節(jié)、經(jīng)營活動(dòng)各環(huán)節(jié)之中的各項(xiàng)管理制度、信息管理、專項(xiàng)風(fēng)險(xiǎn)等。172006年6月國資委出臺(tái)了《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》。

2008年6月，五部委出臺(tái)《企業(yè)內(nèi)部控制基本規(guī)范》

2008年6月28日，財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》（以下簡稱基本規(guī)范）?；疽?guī)范自2009年7月1日起先在上市公司范圍內(nèi)施行。第五條企業(yè)建立與實(shí)施有效的內(nèi)部控制，應(yīng)當(dāng)包括下列要素：（一）內(nèi)部環(huán)境。內(nèi)部環(huán)境是企業(yè)實(shí)施內(nèi)部控制的基礎(chǔ)，一般包括治理結(jié)構(gòu)、機(jī)構(gòu)設(shè)置及權(quán)責(zé)分配、內(nèi)部審計(jì)、人力資源政策、企業(yè)文化等。第十五條企業(yè)應(yīng)當(dāng)加強(qiáng)內(nèi)部審計(jì)工作，保證內(nèi)部審計(jì)機(jī)構(gòu)設(shè)置、人員配備和工作的獨(dú)立性。內(nèi)部審計(jì)機(jī)構(gòu)應(yīng)當(dāng)結(jié)合內(nèi)部審計(jì)監(jiān)督，對(duì)內(nèi)部控制的有效性進(jìn)行監(jiān)督檢查。內(nèi)部審計(jì)機(jī)構(gòu)對(duì)監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制缺陷，應(yīng)當(dāng)按照企業(yè)內(nèi)部審計(jì)工作程序進(jìn)行報(bào)告；對(duì)監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制重大缺陷，有權(quán)直接向董事會(huì)及其審計(jì)委員會(huì)、監(jiān)事會(huì)報(bào)告。第四十四條企業(yè)應(yīng)當(dāng)根據(jù)本規(guī)范及其配套辦法，制定內(nèi)部控制監(jiān)督制度，明確內(nèi)部審計(jì)機(jī)構(gòu)（或經(jīng)授權(quán)的其他監(jiān)督機(jī)構(gòu)）和其他內(nèi)部機(jī)構(gòu)在內(nèi)部監(jiān)督中的職責(zé)權(quán)限，規(guī)范內(nèi)部監(jiān)督的程序、方法和要求?！镀髽I(yè)內(nèi)部控制基本規(guī)范及配套指引》

的解讀構(gòu)成《企業(yè)內(nèi)部控制基本規(guī)范》《企業(yè)內(nèi)部控制應(yīng)用指引》《企業(yè)內(nèi)部控制審計(jì)指引》《企業(yè)內(nèi)部控制評(píng)價(jià)指引》第1號(hào)：組織架構(gòu)第2號(hào)：發(fā)展戰(zhàn)略第3號(hào)：人力資源第4號(hào)：社會(huì)責(zé)任第5號(hào)：企業(yè)文化第6號(hào)：資金活動(dòng)第7號(hào)：采購業(yè)務(wù)第8號(hào)：資產(chǎn)管理第9號(hào)：銷售業(yè)務(wù)第10號(hào)：研究與開發(fā)第11號(hào)：工程項(xiàng)目第12號(hào)：擔(dān)保業(yè)務(wù)第13號(hào)：業(yè)務(wù)外包第14號(hào)：財(cái)務(wù)報(bào)告第15號(hào)：全面預(yù)算第16號(hào)：合同管理第17號(hào)：內(nèi)部信息第18號(hào)：信息系統(tǒng)《企業(yè)內(nèi)部控制基本規(guī)范》的解讀目標(biāo)：合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財(cái)務(wù)報(bào)告及相關(guān)信息真實(shí)完整，提高經(jīng)營效率和效果，促進(jìn)企業(yè)實(shí)現(xiàn)發(fā)展戰(zhàn)略。原則：全面性原則重要性原則制衡性原則適應(yīng)性原則成本效益原則要素：1內(nèi)部環(huán)境2風(fēng)險(xiǎn)評(píng)估3控制活動(dòng)4信息與溝通5內(nèi)部監(jiān)督《企業(yè)內(nèi)部控制配套指引》解讀發(fā)布時(shí)間：2010年4月26日主要內(nèi)容：1、《企業(yè)內(nèi)部控制應(yīng)用指引》（18項(xiàng)）2、《企業(yè)內(nèi)部控制評(píng)價(jià)指引》3、《企業(yè)內(nèi)部控制審計(jì)指引》實(shí)施時(shí)間表：2011年1月1日在境內(nèi)外同時(shí)上市的公司實(shí)施；2012年1月1日在上海證券交易所、深圳證券交易所主板上市的公司實(shí)施；在此基礎(chǔ)上，擇機(jī)在中小板和創(chuàng)業(yè)板上市公司實(shí)施，同時(shí)，鼓勵(lì)非上市大中型企業(yè)提前執(zhí)行《企業(yè)內(nèi)部控制審計(jì)指引》概念：指會(huì)計(jì)師事務(wù)所接受委托，對(duì)特定基進(jìn)行準(zhǔn)日內(nèi)部控制設(shè)計(jì)與運(yùn)行的有效性進(jìn)行審計(jì)。它是企業(yè)內(nèi)部控制規(guī)范體系實(shí)施中引入的強(qiáng)制性要求。要點(diǎn)注冊(cè)會(huì)計(jì)師不僅應(yīng)當(dāng)對(duì)企業(yè)財(cái)務(wù)報(bào)告內(nèi)部控制有效性發(fā)表審計(jì)意見，同時(shí)還應(yīng)當(dāng)對(duì)內(nèi)部控制審計(jì)過程中注意到的非財(cái)務(wù)報(bào)告內(nèi)部控制的重大缺陷，在內(nèi)部控制審計(jì)報(bào)告中增加描述段予以說明。這項(xiàng)制度安排是《基本規(guī)范》和《配套指引》的重要制度創(chuàng)新。28審計(jì)責(zé)任劃分董事會(huì)——建立健全和有效實(shí)施、評(píng)價(jià)內(nèi)部控制的有效性注冊(cè)會(huì)計(jì)師——對(duì)內(nèi)部控制的有效性發(fā)表審計(jì)意見29審計(jì)范圍財(cái)務(wù)報(bào)告內(nèi)部控制的有效性非財(cái)務(wù)報(bào)告內(nèi)部控制的重大缺陷披露30整合審計(jì)內(nèi)部控制審計(jì)與財(cái)務(wù)報(bào)表審計(jì)整合31利用被審計(jì)單位人員工作注冊(cè)會(huì)計(jì)師獨(dú)立承擔(dān)責(zé)任32評(píng)價(jià)控制缺陷董事、監(jiān)事和高管層舞弊企業(yè)更正已經(jīng)公布的財(cái)務(wù)報(bào)表注冊(cè)會(huì)計(jì)師發(fā)現(xiàn)當(dāng)期財(cái)務(wù)報(bào)表存在重大錯(cuò)報(bào)，而內(nèi)部控制在運(yùn)行過程中未能發(fā)現(xiàn)審計(jì)委員會(huì)和內(nèi)部審計(jì)部門對(duì)內(nèi)部控制的監(jiān)督無效33《企業(yè)內(nèi)部控制評(píng)價(jià)指引》概念：內(nèi)部控制評(píng)價(jià)是指企業(yè)董事會(huì)或類似決策機(jī)構(gòu)對(duì)內(nèi)部控制有效性進(jìn)行全面評(píng)價(jià)、形成評(píng)價(jià)結(jié)論、出具評(píng)價(jià)報(bào)告的過程。要點(diǎn)1.以客觀性原則替代獨(dú)立性原則，強(qiáng)調(diào)實(shí)質(zhì)性的獨(dú)立。2.內(nèi)部控制評(píng)價(jià)內(nèi)容按照COSO1內(nèi)部控制五要素劃分，與國內(nèi)外的其他監(jiān)管規(guī)定更加融合。3.嚴(yán)格內(nèi)部控制評(píng)價(jià)報(bào)告的披露要求，增加對(duì)期后影響因素的關(guān)注。3536《企業(yè)內(nèi)部控制應(yīng)用指引》要點(diǎn)就企業(yè)如何圍繞內(nèi)控五要素建立健全內(nèi)部控制提供指引；在內(nèi)控規(guī)范體系中占主體地位；37

分類：內(nèi)部環(huán)境類控制活動(dòng)類控制手段類組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、企業(yè)文化、社會(huì)責(zé)任資金活動(dòng)、采購業(yè)務(wù)、資產(chǎn)管理、銷售業(yè)務(wù)、研究與開發(fā)、工程項(xiàng)目、擔(dān)保業(yè)務(wù)、業(yè)務(wù)外包、財(cái)務(wù)報(bào)告全面預(yù)算、合同管理內(nèi)部信息傳遞、信息系統(tǒng)38基本涵蓋了企業(yè)資金流、實(shí)務(wù)流、人力流和信息流等各項(xiàng)業(yè)務(wù)和事項(xiàng)。39第二章內(nèi)部控制目標(biāo)與要素一、內(nèi)部控制的目標(biāo)二、內(nèi)部控制要素40第二章內(nèi)部控制目標(biāo)與要素（續(xù)）一、內(nèi)部控制的目標(biāo)總目標(biāo):為使經(jīng)營目標(biāo)、管理目標(biāo)得到實(shí)現(xiàn)，將影響因素發(fā)現(xiàn)出來并進(jìn)行分析，試圖采取科學(xué)合理的措施將風(fēng)險(xiǎn)程度控制在可以接受的水平之下具體目標(biāo)：一是保證溝通渠道和溝通程序的暢通；二是捕捉風(fēng)險(xiǎn)征兆，識(shí)別風(fēng)險(xiǎn)因素，評(píng)價(jià)風(fēng)險(xiǎn)程度；三是制定合理的風(fēng)險(xiǎn)管理措施和方法；四預(yù)防、發(fā)現(xiàn)、糾正錯(cuò)誤和舞弊；五是保護(hù)資產(chǎn)的安全與完整；六是遵循各種政策、計(jì)劃、程序、法律和法規(guī)；七是從管理的經(jīng)濟(jì)性要求，適時(shí)協(xié)調(diào)控制手段與控制目標(biāo)和組織總目標(biāo)的關(guān)系。41無論內(nèi)部控制設(shè)計(jì)和執(zhí)行的再好，它也只能提供合理的保證，個(gè)別內(nèi)部控制可能會(huì)失效。內(nèi)部控制的局限性表現(xiàn)在：判斷失誤執(zhí)行偏差管理層越權(quán)合伙同謀，內(nèi)部、內(nèi)外的串通舞弊會(huì)使內(nèi)部控制失效內(nèi)部控制受制于成本效益原則人員素質(zhì)、信息傳遞的影響經(jīng)營環(huán)境變化[思考題]為什么即便一個(gè)公司擁有先進(jìn)、有效的內(nèi)部控制，但公司仍然會(huì)存在舞弊事項(xiàng)？內(nèi)部控制的局限42第二章內(nèi)部控制目標(biāo)與要素（續(xù)）二、內(nèi)部控制要素43第二章內(nèi)部控制目標(biāo)與要素（續(xù)）要素一：控制環(huán)境內(nèi)部控制系統(tǒng)的設(shè)計(jì)、執(zhí)行與企業(yè)內(nèi)外環(huán)境緊密聯(lián)系。所謂控制環(huán)境是指對(duì)內(nèi)部控制系統(tǒng)的建立和實(shí)施有影響的所有因素的統(tǒng)稱?？刂骗h(huán)境要素是其它內(nèi)部控制系統(tǒng)要素發(fā)揮作用的基礎(chǔ)，直接影響內(nèi)部控制的貫徹、執(zhí)行。1.企業(yè)戰(zhàn)略和風(fēng)險(xiǎn)管理戰(zhàn)略2.評(píng)價(jià)員工的能力3.董事會(huì)和審計(jì)委員會(huì)4.管理哲學(xué)5.組織架構(gòu)6.責(zé)任的分配與授權(quán)7、人力資源8、誠信的原則和道德價(jià)值觀44第二章內(nèi)部控制目標(biāo)與要素（續(xù)）1.企業(yè)戰(zhàn)略和風(fēng)險(xiǎn)管理戰(zhàn)略組織管理有三種職責(zé)：計(jì)劃、組織和領(lǐng)導(dǎo)。計(jì)劃的功能是確立目的和目標(biāo)；組織意味著集中所需要的人力、工具、原材料和資金，按照政策、計(jì)劃和標(biāo)準(zhǔn)框架把它們安排在各職能部門中去，以達(dá)到目的和目標(biāo)；領(lǐng)導(dǎo)意味著命令、指導(dǎo)和監(jiān)督執(zhí)行。組織管理可分為三個(gè)層次：戰(zhàn)略性的、戰(zhàn)術(shù)性的和營運(yùn)性的。三個(gè)層次的目標(biāo)不同，制定人和執(zhí)行人也是不一樣的，它們都要求計(jì)劃、組織和領(lǐng)導(dǎo)，各個(gè)層次有橫向的平行內(nèi)容，又有縱向的遞進(jìn)關(guān)系，橫縱都需要協(xié)調(diào)，這就產(chǎn)生建立內(nèi)部控制系統(tǒng)的需要，而建立內(nèi)部控制系統(tǒng)又必須依據(jù)戰(zhàn)略、戰(zhàn)術(shù)目標(biāo)的要求，因此，企業(yè)各種戰(zhàn)略決策就成為設(shè)立和評(píng)價(jià)內(nèi)部控制系統(tǒng)的根據(jù)。452員工勝任能力是要求員工具備完成工作任務(wù)所需的知識(shí)和技能。目的是保證員工能夠正確理解相關(guān)規(guī)定、及時(shí)恰當(dāng)分析和處理業(yè)務(wù)。舉例：管理層是否分析某項(xiàng)工作所包含的任務(wù)，并考慮員工需要進(jìn)行職業(yè)判斷的程度和進(jìn)行相關(guān)監(jiān)督的程度在相當(dāng)大的范圍內(nèi)，管理層確定了各項(xiàng)工作所需的知識(shí)和技能存在證據(jù)表明員工具備工作所需的知識(shí)和技能463董事會(huì)或?qū)徲?jì)委員會(huì)獨(dú)立于管理層之上指導(dǎo)和監(jiān)督管理層的工作舉例：董事會(huì)是否對(duì)管理層的決定提出建設(shè)性的置疑是否建立董事會(huì)專門委員會(huì)，他們?cè)趯I(yè)和資歷方面能夠有效的處理相關(guān)的重要問題董事是否有足夠的知識(shí)、行業(yè)經(jīng)驗(yàn)和時(shí)間以有效的工作審計(jì)委員會(huì)是否單獨(dú)見總會(huì)計(jì)師和內(nèi)部、外部審計(jì)師以討論財(cái)務(wù)報(bào)告流程、內(nèi)部控制系統(tǒng)、重大意見和建議及管理層業(yè)績的合理性審計(jì)委員會(huì)是否每年審核內(nèi)部和外部審計(jì)師的工作范圍董事會(huì)是否定期收到關(guān)鍵的信息（例如財(cái)務(wù)報(bào)告、主動(dòng)市場動(dòng)向、重大合同、協(xié)議）是否存在向董事會(huì)報(bào)告重大問題的程序是否監(jiān)督高級(jí)管理人員的薪酬、聘用和解聘董事會(huì)是否明確的強(qiáng)調(diào)高級(jí)管理層應(yīng)該遵守行為準(zhǔn)則董事會(huì)或?qū)徲?jì)委員會(huì)是否會(huì)根據(jù)其發(fā)現(xiàn)采取適當(dāng)行動(dòng)，包括特殊調(diào)查等474、管理哲學(xué)企業(yè)管理層的管理哲學(xué)和經(jīng)營風(fēng)格，直接影響著企業(yè)管理的方式，風(fēng)險(xiǎn)管理更是其中重要的體現(xiàn)。經(jīng)理人的管理哲學(xué)和經(jīng)營風(fēng)格在其“風(fēng)險(xiǎn)偏好”中得到集中表現(xiàn)，加上他的能力就更加體現(xiàn)該經(jīng)理人的個(gè)人魅力。風(fēng)險(xiǎn)規(guī)避風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)控制與抑制風(fēng)險(xiǎn)接受甚至風(fēng)險(xiǎn)利用的風(fēng)險(xiǎn)管理措施485組織結(jié)構(gòu)組織結(jié)構(gòu)是權(quán)責(zé)分工的架構(gòu)，每個(gè)企業(yè)都可根據(jù)自己的需要確定最有效的組織結(jié)構(gòu)。舉例：公司的組織結(jié)構(gòu)是否有利于信息的上傳、下達(dá)和各業(yè)務(wù)活動(dòng)間的流動(dòng)公司業(yè)務(wù)活動(dòng)的職責(zé)和期望是否明確的傳達(dá)給負(fù)責(zé)這些活動(dòng)的管理人員報(bào)告關(guān)系是明確而有效的，能夠向經(jīng)理人員提供與其責(zé)任和權(quán)力有關(guān)的信息管理人員定期根據(jù)變化的業(yè)務(wù)或行為環(huán)境來評(píng)價(jià)公司的組織結(jié)構(gòu)經(jīng)理和監(jiān)管人員擁有足夠的時(shí)的間來有效履行職責(zé)496管理層授權(quán)和職責(zé)分工授權(quán)和職責(zé)分工是按照權(quán)責(zé)對(duì)等的原則，進(jìn)行授權(quán)和責(zé)任分配。將企業(yè)的目標(biāo)分解至每個(gè)員工，使員工的行為與企業(yè)目標(biāo)相聯(lián)系。舉例：決策的責(zé)任是否與其職權(quán)和職責(zé)相對(duì)應(yīng)對(duì)員工進(jìn)行授權(quán)和分配職責(zé)時(shí)，適當(dāng)?shù)男畔⒈怀浞挚紤]崗位描述是否包括了具體的與控制有關(guān)的責(zé)任的描述完成工作所需要的權(quán)限與高級(jí)管理人員參與的程度存在一個(gè)適當(dāng)?shù)钠胶?07人力資源政策和措施人力資源政策和措施是關(guān)于員工聘用、培訓(xùn)、考核、進(jìn)升、薪酬等方面的政策和程序。目的是聘用和保持合格的員工。舉例：現(xiàn)有人力資源政策和程序可以招聘和發(fā)展有能力、可信的人員，能夠支持有效的內(nèi)部控制系統(tǒng)新員工是否能意識(shí)到他們的工作職責(zé)和公司對(duì)他們的期望管理人員是否定期與員工回顧他們的工作表現(xiàn)和今后的改進(jìn)建議管理層對(duì)工作失職采取適當(dāng)?shù)幕貞?yīng)人力資源政策與相應(yīng)的道德標(biāo)準(zhǔn)是否一致是否核查招聘候選人的背景，特別考慮公司不能接受的行為或活動(dòng)518、誠信的原則和道德價(jià)值觀無論是企業(yè)最高管理層還是其他成員都應(yīng)當(dāng)做到：嚴(yán)格一致地保持誠信行為和道德標(biāo)準(zhǔn)；不要盲目追求不切實(shí)際的目標(biāo)，以至形成不必要的壓力。52外部諸多影響因素：某些外部因素的變化，也影響企業(yè)內(nèi)部控制系統(tǒng)政策和程序變化。如證監(jiān)會(huì)、銀監(jiān)會(huì)、保監(jiān)會(huì)、政府審計(jì)、獨(dú)立審計(jì)以及各行業(yè)制度變化和報(bào)告要求，就可能使企業(yè)管理當(dāng)局強(qiáng)化控制意識(shí)而采取特定的內(nèi)部控制系統(tǒng)的政策和程序53要素二：風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)：是任何可能影響實(shí)現(xiàn)目標(biāo)的因素風(fēng)險(xiǎn)評(píng)估：是識(shí)別和分析那些影響目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)的過程，是確定如何管理和控制風(fēng)險(xiǎn)的基礎(chǔ)54目標(biāo)、風(fēng)險(xiǎn)和內(nèi)部控制的關(guān)系確定目標(biāo)行動(dòng)計(jì)劃/評(píng)估風(fēng)險(xiǎn)責(zé)任分配分析控制551公司層面的目標(biāo)：一個(gè)公司要達(dá)到有效控制就必須建立目標(biāo)。公司層面目標(biāo)包括公司期望實(shí)現(xiàn)的目標(biāo)的總體說明，并有相關(guān)的戰(zhàn)略計(jì)劃支持。2業(yè)務(wù)活動(dòng)層面的目標(biāo)：業(yè)務(wù)活動(dòng)層次的目標(biāo)來自公司總的目標(biāo)和戰(zhàn)略計(jì)劃，并與之相聯(lián)系。這些目標(biāo)應(yīng)針對(duì)每個(gè)重要的活動(dòng)并與其他活動(dòng)保持一致。3風(fēng)險(xiǎn)評(píng)估的過程風(fēng)險(xiǎn)識(shí)別：－發(fā)現(xiàn)和分析那些影響目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)，考慮外部因素和內(nèi)部因素；－企業(yè)的風(fēng)險(xiǎn)評(píng)估程序應(yīng)該從企業(yè)層次和業(yè)務(wù)活動(dòng)層次兩個(gè)角度識(shí)別，并分析其相關(guān)影響風(fēng)險(xiǎn)分析：－估計(jì)風(fēng)險(xiǎn)的重要程度；－評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性（或頻率、概率）56舉例：識(shí)別外部風(fēng)險(xiǎn)機(jī)制是否健全：－供貨來源－技術(shù)變革－債權(quán)人的要求－競爭對(duì)手的行為－經(jīng)濟(jì)條件－政治條件－監(jiān)管－自然事件57識(shí)別內(nèi)部風(fēng)險(xiǎn)機(jī)制是否健全：－人力資源－融資－勞動(dòng)關(guān)系－信息系統(tǒng)584應(yīng)對(duì)變化針對(duì)影響企業(yè)或業(yè)務(wù)層面目標(biāo)實(shí)現(xiàn)的事件或活動(dòng)，是否能夠預(yù)見、識(shí)別并采取相應(yīng)措施針對(duì)那些對(duì)企業(yè)有巨大、深遠(yuǎn)影響的變革，是否能夠識(shí)別和處理59要素三：控制活動(dòng)控制活動(dòng)：是為確保管理層指示得以執(zhí)行的政策和程序。它們包括一系列不同的活動(dòng)，如審批、授權(quán)、確認(rèn)、核對(duì)、考核經(jīng)營業(yè)績、資產(chǎn)保護(hù)等。60項(xiàng)目內(nèi)容授權(quán)控制為了保證重要經(jīng)濟(jì)業(yè)務(wù)的有效處理，對(duì)于關(guān)鍵的控制點(diǎn)需執(zhí)行授權(quán)與批準(zhǔn)控制程序。對(duì)經(jīng)濟(jì)業(yè)務(wù)的授權(quán)分一般授權(quán)和特殊授權(quán)。職務(wù)分離控制是指對(duì)處理某種經(jīng)濟(jì)業(yè)務(wù)所涉及的職責(zé)分派給不同的人員，使每個(gè)人的工作都是對(duì)其他有關(guān)人員的一種自動(dòng)檢查。對(duì)于不相容職務(wù)應(yīng)該進(jìn)行適當(dāng)分離，并進(jìn)行檢查，不相容職務(wù)的分離包括在部門間分離和部門內(nèi)部的分離。憑證與記錄控制凡是企業(yè)發(fā)生的經(jīng)濟(jì)業(yè)務(wù)，均應(yīng)留有或填置憑證，如實(shí)記錄。企業(yè)的憑證控制程序應(yīng)能保證有關(guān)人員在處理經(jīng)濟(jì)業(yè)務(wù)時(shí)及時(shí)地編制憑證、合理地傳遞、正確地使用和妥善保管。資產(chǎn)接觸、使用與記錄控制為了限制非授權(quán)人隨意接近資產(chǎn)和記錄，以保證資產(chǎn)和記錄的安全完整。其主要內(nèi)容包括：（1）限制非授權(quán)人接觸某項(xiàng)資產(chǎn)及有關(guān)記錄；（2）建立必要的防護(hù)措施，確保資產(chǎn)的安全完整。如簽批手續(xù)、密碼、防火墻等設(shè)置。獨(dú)立的檢查與評(píng)價(jià)控制由業(yè)務(wù)執(zhí)行者以外的人員對(duì)已執(zhí)行的業(yè)務(wù)的正確性所進(jìn)行的驗(yàn)證，又稱內(nèi)部稽核。內(nèi)部稽核包括如下的審核、復(fù)核和分析：憑證對(duì)憑證、證與賬、賬與賬、賬與表、賬與物、計(jì)劃與實(shí)際、預(yù)算與實(shí)際、現(xiàn)在與歷史、內(nèi)部與外部等。611控制活動(dòng)的關(guān)注點(diǎn)－針對(duì)企業(yè)的每一項(xiàng)業(yè)務(wù)活動(dòng)都有必要和恰當(dāng)?shù)恼吆统绦?。－已確定的控制行為得到恰當(dāng)?shù)膱?zhí)行

－規(guī)定的控制程序是否已實(shí)施，是否正確地按照設(shè)計(jì)意圖執(zhí)行。－出現(xiàn)例外或發(fā)生需要跟蹤的情況時(shí)，是否采取了恰當(dāng)、及時(shí)的措施。－監(jiān)督人員是否審核控制的功能。

622控制活動(dòng)類型－針對(duì)企業(yè)的不同目標(biāo)，控制活動(dòng)可以分為以下三個(gè)類型：即為提高經(jīng)營效率效果、增強(qiáng)財(cái)務(wù)報(bào)告的可靠性、遵守法規(guī)等目標(biāo)的三類控制活動(dòng)；－根據(jù)控制活動(dòng)的不同作用，控制活動(dòng)又可以分為：預(yù)防性控制、檢查性控制、指導(dǎo)性控制、糾錯(cuò)性控制、補(bǔ)償性控制等五種類型；－根據(jù)組織中實(shí)施人員的不同，控制活動(dòng)也可以分為：高層審批、指導(dǎo)并管理業(yè)務(wù)活動(dòng)，信息處理，實(shí)物控制，業(yè)績指標(biāo)分解，責(zé)權(quán)分配等。63要素四：信息和溝通信息和溝通：指相關(guān)信息以某種形式被識(shí)別、獲得和溝通，以促使員工履行自己的職責(zé)。相關(guān)的信息包括從外部獲取的行業(yè)、經(jīng)濟(jì)、監(jiān)管信息以及內(nèi)部產(chǎn)生的信息。信息的識(shí)別和獲取信息加工和報(bào)告內(nèi)部溝通和外部溝通641信息獲取內(nèi)部和外部信息，向管理層報(bào)告企業(yè)既定目標(biāo)的實(shí)現(xiàn)情況及時(shí)向適當(dāng)?shù)娜藛T匯報(bào)足夠的信息以便他們有效的履行其職責(zé)信息系統(tǒng)的建立和修改基于對(duì)信息系統(tǒng)的戰(zhàn)略規(guī)劃－－與這個(gè)企業(yè)的戰(zhàn)略相連，并且著眼于實(shí)現(xiàn)企業(yè)的目標(biāo)和業(yè)務(wù)活動(dòng)層次的目標(biāo)通過承諾適當(dāng)?shù)馁Y源－－人力資源和財(cái)力資源，管理層表現(xiàn)出對(duì)發(fā)展必要的信息系統(tǒng)的支持態(tài)度65舉例：是否存在獲取相關(guān)外部信息的機(jī)制－有關(guān)市場狀況、競爭對(duì)手的計(jì)劃、立法或監(jiān)管的發(fā)展以及經(jīng)濟(jì)變化。對(duì)于實(shí)現(xiàn)企業(yè)目標(biāo)的重要內(nèi)生信息，包括關(guān)鍵的成功因素，是否得到確認(rèn)并定期匯報(bào)。經(jīng)理是否得到了他們履行職責(zé)所需要的信息。是否向不同級(jí)別的管理層匯報(bào)了不同詳細(xì)程度的信息。是否對(duì)信息進(jìn)行了適當(dāng)?shù)膮R總，可以滿足進(jìn)一步詳查的需要，而不僅僅是數(shù)據(jù)的堆砌。信息是否及時(shí)，是否便于有效監(jiān)控有關(guān)事件和活動(dòng)－內(nèi)部的和外部的－并對(duì)經(jīng)濟(jì)、行業(yè)因素和控制問題進(jìn)行迅速反應(yīng)。66是否存在一種機(jī)制來識(shí)別不斷產(chǎn)生的信息需求（如：信息技術(shù)督導(dǎo)委員會(huì)）。信息的需求和優(yōu)先次序由具有充分責(zé)任的高級(jí)管理層來決定。是否訂立了一個(gè)長遠(yuǎn)的信息技術(shù)計(jì)劃，并與戰(zhàn)略決策相聯(lián)系。是否為建立或改進(jìn)信息系統(tǒng)提供了足夠的、必要的資源（經(jīng)理、分析員、具備必要能力的編程人員）。672溝通向員工傳達(dá)其職責(zé)和控制責(zé)任的有效性建立溝通渠道供員工反映他們注意到的可疑問題管理層對(duì)于員工提出的提高生產(chǎn)力、質(zhì)量的建議或其他改進(jìn)建議的接受能力整個(gè)企業(yè)內(nèi)部是否充分交流（比如，采購和生產(chǎn)環(huán)節(jié)的交流）；信息是否完整和及時(shí)；以及信息是否足夠滿足相關(guān)人員有效地履行職責(zé)的需要是否有開放、有效的渠道，與客戶、供應(yīng)商和外部其他方面交流不斷變化的客戶需求外部相關(guān)方了解企業(yè)道德標(biāo)準(zhǔn)的程度在收到客戶、供應(yīng)商、監(jiān)管者和其他外部人員反映的情況后，管理層采取的及時(shí)和適當(dāng)?shù)膽?yīng)對(duì)措施68舉例：員工是否清楚他們的行為要達(dá)到的目標(biāo)，以及他們的工作對(duì)于實(shí)現(xiàn)這些目標(biāo)有什么作用員工是否清楚自己的職責(zé)與他人的職責(zé)如何相互影響除了直接的上司，有沒有其他的渠道可以向上反映情況，例如調(diào)查員或公司律師等。是否允許匿名的反饋。員工是否確實(shí)使用這個(gè)溝通渠道。報(bào)告情況的人員是否得到反饋，并且受到保護(hù)不受報(bào)復(fù)。69銷售人員是否向工程、生產(chǎn)和營銷人員反映客戶需求應(yīng)收賬款負(fù)責(zé)人員是否向信用管理人員匯報(bào)付款不及時(shí)的客戶建議、投訴和收到的其他情況是否得到重視并向內(nèi)部相關(guān)人員匯報(bào)必要的信息是否向上匯報(bào)并采取相應(yīng)的跟進(jìn)措施是否善于接受他人就產(chǎn)品、服務(wù)或其他方面反映的問題，并且對(duì)此進(jìn)行調(diào)查并采取適當(dāng)?shù)男袆?dòng)高級(jí)管理層是否清楚投訴的性質(zhì)以及數(shù)量70要素五：監(jiān)督監(jiān)督：是評(píng)估內(nèi)控系統(tǒng)在一定時(shí)期內(nèi)運(yùn)行質(zhì)量的過程，目的是保證內(nèi)部控制持續(xù)有效。監(jiān)督的方式包括：

－持續(xù)性監(jiān)督－獨(dú)立的評(píng)估71持續(xù)性監(jiān)督：持續(xù)性的監(jiān)督行為發(fā)生在經(jīng)營的過程中，它包括日常的管理、監(jiān)督、比較、核對(duì)和其他常規(guī)性活動(dòng)。獨(dú)立評(píng)估獨(dú)立評(píng)估是獨(dú)立于控制活動(dòng)之外而采取的定期評(píng)估行為。72第三章COSO與ERM比較

相對(duì)于COSO報(bào)告而言，ERM框架中新增加的內(nèi)容：一個(gè)觀念；一個(gè)目標(biāo)；兩個(gè)概念；三個(gè)要素；一個(gè)部門：風(fēng)險(xiǎn)管理部73內(nèi)部環(huán)境戰(zhàn)略目標(biāo)設(shè)定事項(xiàng)識(shí)別風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)應(yīng)對(duì)控制活動(dòng)信息與溝通監(jiān)督經(jīng)營報(bào)告遵循子公司業(yè)務(wù)單位分支機(jī)構(gòu)企業(yè)整體層次74第三章COSO與ERM比較（續(xù)）一、提出一個(gè)新的觀念—風(fēng)險(xiǎn)組合觀內(nèi)部控制框架中沒有預(yù)期到的一個(gè)概念是風(fēng)險(xiǎn)的組合觀。企業(yè)風(fēng)險(xiǎn)管理要求企業(yè)管理者以風(fēng)險(xiǎn)組合的觀點(diǎn)看待風(fēng)險(xiǎn)，對(duì)相關(guān)的風(fēng)險(xiǎn)進(jìn)行識(shí)別并采取措施所承擔(dān)的風(fēng)險(xiǎn)在風(fēng)險(xiǎn)偏好的范圍內(nèi)。75二、增加了一個(gè)目標(biāo)—戰(zhàn)略目標(biāo)，并擴(kuò)大了報(bào)告目標(biāo)的范圍戰(zhàn)略經(jīng)營報(bào)告遵循內(nèi)部環(huán)境戰(zhàn)略目標(biāo)設(shè)定事件識(shí)別風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)應(yīng)對(duì)控制活動(dòng)信息與溝通監(jiān)控經(jīng)營報(bào)告遵循子公司業(yè)務(wù)單位分支機(jī)構(gòu)企業(yè)整體層次76戰(zhàn)略目標(biāo)：處于比其他目標(biāo)更高的層次。戰(zhàn)略目標(biāo)來自一個(gè)主體的使命或愿景，因而經(jīng)營、報(bào)告、和合規(guī)目標(biāo)必須與其協(xié)調(diào)。報(bào)告目標(biāo)：內(nèi)部控制框架中的包括定義為與公開的財(cái)務(wù)報(bào)表的可靠性有關(guān)。在企業(yè)風(fēng)險(xiǎn)管理框架中，報(bào)告被大大地拓展為包含主體所編制的所有報(bào)告，包括對(duì)內(nèi)報(bào)告和對(duì)外報(bào)告。77三、兩個(gè)概念1、風(fēng)險(xiǎn)容量/偏好（riskappetite）一個(gè)主體在追求其使命/愿景的過程中所愿意承受的廣泛意義的風(fēng)險(xiǎn)數(shù)量。它在戰(zhàn)略制定和相關(guān)目標(biāo)的選擇中起到了風(fēng)向標(biāo)的作用。2、風(fēng)險(xiǎn)容限相對(duì)于目標(biāo)的實(shí)現(xiàn)而言所能接受的偏離程度。在確定風(fēng)險(xiǎn)容限的過程中，管理當(dāng)局考慮相關(guān)目標(biāo)的相對(duì)重要性，并使風(fēng)險(xiǎn)容限與風(fēng)險(xiǎn)容量相協(xié)調(diào)。78四、三個(gè)要素1、目標(biāo)設(shè)定（objectivesetting）在風(fēng)險(xiǎn)管理框架中，由于要針對(duì)不同的目標(biāo)分析其相應(yīng)的風(fēng)險(xiǎn)，因此目標(biāo)的制定自然就成為風(fēng)險(xiǎn)管理流程的首要步驟，并將其確認(rèn)為風(fēng)險(xiǎn)管理框架的一部分。2、事項(xiàng)識(shí)別（eventidentification）企業(yè)風(fēng)險(xiǎn)管理和內(nèi)部控制框架都承認(rèn)風(fēng)險(xiǎn)來自于企業(yè)內(nèi)、外部各種因素，而且可能在企業(yè)的各個(gè)層面上出現(xiàn)，并且應(yīng)根據(jù)對(duì)實(shí)現(xiàn)企業(yè)目標(biāo)的潛在影響來確認(rèn)風(fēng)險(xiǎn)。但是，企業(yè)風(fēng)險(xiǎn)管理框架深入探討了潛在事項(xiàng)的概念，認(rèn)為潛在事項(xiàng)是指來自于企業(yè)內(nèi)部和外部資源的，可能影響企業(yè)戰(zhàn)略的執(zhí)行和目標(biāo)實(shí)現(xiàn)的一件或一系列偶發(fā)事項(xiàng)。3、風(fēng)險(xiǎn)應(yīng)對(duì)（riskresponse）風(fēng)險(xiǎn)的四種反應(yīng)方案：規(guī)避、減少、共擔(dān)和接受風(fēng)險(xiǎn)。作為風(fēng)險(xiǎn)管理的一部分，管理者應(yīng)比較不同方案的潛在影響，并且應(yīng)在企業(yè)風(fēng)險(xiǎn)容限范圍內(nèi)的假設(shè)下，考慮風(fēng)險(xiǎn)反應(yīng)方案的選擇。、

第四章

2013年COSO框架新變化2013年5月，COSO發(fā)布新的內(nèi)部控制框架實(shí)施時(shí)間：2014年12月過渡期需要披露使用的版本重大變化：基于原有COSO五要素提出了17條核心內(nèi)控原則，大幅度增強(qiáng)了五要素的可操作性控制環(huán)境---要素1原則1：組織對(duì)正直和道德等價(jià)值觀做出承諾分析：作為控制環(huán)境的基礎(chǔ)要件，恰當(dāng)?shù)穆氊?zé)操守及道德規(guī)范水平將對(duì)組織整體內(nèi)控的設(shè)計(jì)和運(yùn)行水平產(chǎn)生重大影響。因此，組織應(yīng)向其全體成員提出清晰、積極的職業(yè)操守及道德規(guī)范期望。原則2：最高治理層和管理層應(yīng)適當(dāng)分權(quán)。董事會(huì)獨(dú)立于管理層，并對(duì)內(nèi)部控制的推進(jìn)與成效加以監(jiān)督控制。

分析：明確了組織治理范疇下的董事會(huì)基本獨(dú)立性要求，以及管理層建立內(nèi)控體系的責(zé)任及董事會(huì)監(jiān)督職能。原則3：管理層圍繞其目標(biāo)，在治理層監(jiān)督下，建立健全組織架構(gòu)、匯報(bào)條線、合理的授權(quán)與責(zé)任等機(jī)制分析：在明確內(nèi)控體系的目標(biāo)導(dǎo)向特征的前提下，2013COSO框架要求明確管理層的內(nèi)控職責(zé)，并明確了構(gòu)成內(nèi)控體系的關(guān)鍵要素：恰當(dāng)?shù)慕M織結(jié)構(gòu)匯報(bào)路徑職責(zé)分配授權(quán)體系原則:4：組織對(duì)吸引、開發(fā)和保留與認(rèn)同組織目標(biāo)的人才做出承諾。

分析：框架強(qiáng)調(diào)人的因素對(duì)控制環(huán)境的影響。高素質(zhì)的執(zhí)行團(tuán)隊(duì)將有效推動(dòng)內(nèi)控體系的設(shè)計(jì)有效性及執(zhí)行效率，進(jìn)而優(yōu)化內(nèi)控環(huán)境。原則5：組織根據(jù)其目標(biāo)，使員工各自擔(dān)負(fù)起內(nèi)部控制的相關(guān)責(zé)任。分析：此原則同樣在強(qiáng)調(diào)內(nèi)控體系中人的因素。職責(zé)不清會(huì)對(duì)整個(gè)內(nèi)控體系的運(yùn)行產(chǎn)生不利影響，而清晰的內(nèi)控責(zé)任體系將提升內(nèi)控體系整體執(zhí)行力，進(jìn)而優(yōu)化內(nèi)控環(huán)境。84風(fēng)險(xiǎn)評(píng)估---要素2原則6：組織制定清晰的目標(biāo)，進(jìn)而能夠有效識(shí)別和評(píng)價(jià)威脅目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)。分析：內(nèi)部控制的目標(biāo)導(dǎo)向特征使得組織必須首先明確其目標(biāo)，然后才能在此基礎(chǔ)上識(shí)別可能威脅目標(biāo)實(shí)現(xiàn)的各類風(fēng)險(xiǎn)，為后續(xù)控制措施的提出奠定基礎(chǔ)。85原則7：組織在整個(gè)實(shí)體層面識(shí)別可能威脅組織目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)，以便判斷如何對(duì)這些風(fēng)險(xiǎn)進(jìn)行管理。分析：組織在明確其目標(biāo)之后，應(yīng)該采取主動(dòng)積極的管理措施對(duì)各類風(fēng)險(xiǎn)進(jìn)行有效收集、確認(rèn)、分類和評(píng)價(jià)，才能有針對(duì)性的設(shè)計(jì)和執(zhí)行各種控制措施。86原則8：組織在評(píng)價(jià)威脅組織目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)時(shí)，考慮潛在的舞弊。分析：舞弊風(fēng)險(xiǎn)因其存在主觀故意性、隱蔽性、串謀性、危害嚴(yán)重性等特征，而區(qū)別于一般風(fēng)險(xiǎn)。新框架提出應(yīng)在風(fēng)險(xiǎn)評(píng)估階段，對(duì)舞弊風(fēng)險(xiǎn)進(jìn)行考慮。87原則9：組織對(duì)可能對(duì)內(nèi)控體系產(chǎn)生重大影響的變化事項(xiàng)進(jìn)行識(shí)別與評(píng)價(jià)。分析：組織內(nèi)部變化因素（組織結(jié)構(gòu)調(diào)整、兼并收購、業(yè)務(wù)轉(zhuǎn)型等）及外部環(huán)境變化因素（法規(guī)變化、市場條件變化等）可能導(dǎo)致原有內(nèi)控體系無法涵蓋和適應(yīng)組織的各類業(yè)務(wù)活動(dòng)。在風(fēng)險(xiǎn)評(píng)估階段，組織需對(duì)這些變化因素進(jìn)行識(shí)別與評(píng)估。88控制活動(dòng)---要素3原則10：織組選擇并且設(shè)置控制活動(dòng)，以將威脅組織目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)降低到可接受的水平。分析：針對(duì)已識(shí)別的各類風(fēng)險(xiǎn)，組織應(yīng)有針對(duì)性的設(shè)置相應(yīng)的控制活動(dòng)（財(cái)產(chǎn)保護(hù)、不相容職務(wù)分離、會(huì)計(jì)記錄、授權(quán)審批等），以降低風(fēng)險(xiǎn)水平。具體的措施選擇及執(zhí)行程度，受到組織治理層風(fēng)險(xiǎn)偏好的影響。原則11：組織針對(duì)技術(shù)選擇并且設(shè)置一般控制活動(dòng)，以支持組織目標(biāo)實(shí)現(xiàn)。分析：相對(duì)于具體業(yè)務(wù)層面風(fēng)險(xiǎn)，技術(shù)風(fēng)險(xiǎn)具有自身特征。新框架對(duì)與技術(shù)相關(guān)的風(fēng)險(xiǎn)進(jìn)行了強(qiáng)調(diào)。原則12：組織通過制定政策（以明確控制期望）和具體流程（將控制期望轉(zhuǎn)換為具體行為）來貫徹控制活動(dòng)。分析：新框架把控制活動(dòng)的貫徹劃分為一般控制政策及業(yè)務(wù)流程兩個(gè)層面。后者作為前者的具體實(shí)現(xiàn)方式。即政策制定應(yīng)當(dāng)具備明確目標(biāo)，具備實(shí)踐指導(dǎo)性，當(dāng)情況變化時(shí)（出現(xiàn)特例）時(shí)候，如何處理，如果調(diào)整具體流程，應(yīng)以政策為依據(jù)。信息與溝通----要素4原則13：組織獲取或者產(chǎn)生符合使用者需求的、高質(zhì)量的信息，以支持內(nèi)控體系發(fā)揮功能。分析：任何主體在實(shí)施特定指控措施時(shí)，往往都需要獲得一定的信息支持。信息質(zhì)量包括及時(shí)、完整、準(zhǔn)確。質(zhì)量的高低對(duì)控制措施的實(shí)施效果會(huì)產(chǎn)生巨大影響。企業(yè)應(yīng)當(dāng)建立完善信息獲取的渠道和信息產(chǎn)生的方法、工具，進(jìn)一步明確信息輸入、輸出的標(biāo)準(zhǔn)、口徑以及控制措施。原則14：組織在內(nèi)部溝通相關(guān)信息（包括控制目標(biāo)、控制職責(zé)），以支持內(nèi)控體系發(fā)揮功能。分析：控制職責(zé)等信息只有有效轉(zhuǎn)達(dá)至各執(zhí)行主體，各執(zhí)行主體才可能有效的實(shí)施控制措施。同時(shí)，組織成員對(duì)在業(yè)務(wù)管理活動(dòng)中其他組織成員的控制目標(biāo)和責(zé)任有清晰的了解，有助于整體團(tuán)隊(duì)溝通合作，實(shí)現(xiàn)組織整體目標(biāo)。原則15組織與外部相關(guān)各方溝通可能對(duì)內(nèi)控功能發(fā)揮產(chǎn)生影響的事項(xiàng)。分析：任何組織都非孤立存在，其內(nèi)部活動(dòng)必然與外部產(chǎn)生各種聯(lián)系。在必要時(shí)，組織需要就內(nèi)控事項(xiàng)與外部主體進(jìn)行溝通，以滿足外部主體合理利益訴求。監(jiān)督活動(dòng)---要素5原則16：組織選擇、設(shè)計(jì)和執(zhí)行持續(xù)或者單獨(dú)的評(píng)價(jià)，以確認(rèn)內(nèi)控各關(guān)鍵要素存在且持續(xù)發(fā)揮功能。分析：為確保組織內(nèi)控體系正常運(yùn)轉(zhuǎn)，必須建立有效的監(jiān)督機(jī)制。監(jiān)督機(jī)制可以與業(yè)務(wù)執(zhí)行保持一致而實(shí)現(xiàn)持續(xù)監(jiān)督（比如持續(xù)的對(duì)一類管理活動(dòng)予以動(dòng)態(tài)監(jiān)控），也可以采取單獨(dú)評(píng)價(jià)方式（如按照一定時(shí)間間隔執(zhí)行經(jīng)營審計(jì)）。從組織層面上可劃分為業(yè)務(wù)層面的監(jiān)督或者組織層面的獨(dú)立監(jiān)督。原則17：組織對(duì)內(nèi)部控制進(jìn)行評(píng)價(jià)，并及時(shí)將發(fā)現(xiàn)的內(nèi)控缺陷報(bào)給負(fù)責(zé)執(zhí)行糾正性措施的主體，這些主體包括高管層、董事會(huì)、具體視缺陷情況而定。分析：通過原則16監(jiān)督所識(shí)別的內(nèi)控缺陷，應(yīng)有效傳達(dá)至負(fù)責(zé)主體（根據(jù)缺陷所處層級(jí)及影響程度，通常由董事會(huì)或者高管層負(fù)責(zé)），并由后者實(shí)施相應(yīng)的整改，以及時(shí)彌補(bǔ)內(nèi)控缺陷。100第六章：內(nèi)部控制與薩班斯法案一、法案的背景

安然，世通等知名公司相繼暴露出嚴(yán)重的管理層欺詐丑聞，使美國上市公司深陷信用危機(jī)。 會(huì)計(jì)系統(tǒng)的漏洞、管理層的失職、內(nèi)部控制的缺乏以及外部審計(jì)人員的道德風(fēng)險(xiǎn)是導(dǎo)致管理層欺詐丑聞的根本原因。 重建公司信用，規(guī)范高級(jí)管理層與注冊(cè)會(huì)計(jì)師關(guān)系和職業(yè)道德的要求刻不容緩。

2002年6月，布什總統(tǒng)簽署的薩班斯－奧克斯利法案正式生效，該法案由美國眾議院金融服務(wù)委員會(huì)主席奧克斯利和參議院銀行委員會(huì)主席薩班斯聯(lián)合提出，故簡稱《薩班斯－奧克斯利法案》。該法案對(duì)美國《1933年證券法》、《1934年證券交易法》作了不少修訂，在會(huì)計(jì)職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管等方面作出了許多新的規(guī)定。101第六章：內(nèi)部控制與薩班斯法案（續(xù)）二、法案出臺(tái)的目的

-重建公司信用，培育公眾信心，振興證券市場。

-加強(qiáng)公司監(jiān)管，規(guī)范業(yè)務(wù)運(yùn)作。

-增加財(cái)務(wù)報(bào)告與信息披露的透明度。

-確保公司管理層可以從有效監(jiān)控的系統(tǒng)中獲取重要信息。

-公司管理層必須對(duì)美國證券管理委員會(huì)要求存檔的材料和向投資者公布的信息承擔(dān)責(zé)任。102三、法案的主要內(nèi)容

-成立獨(dú)立的公眾公司會(huì)計(jì)監(jiān)察委員會(huì)，監(jiān)管執(zhí)行上市公司審計(jì)職業(yè)

-要求加強(qiáng)注冊(cè)會(huì)計(jì)師的獨(dú)立性

-要求加大公司的財(cái)務(wù)報(bào)告責(zé)任

-要求強(qiáng)化財(cái)務(wù)披露義務(wù)

-加重了違法行為的處罰措施

-增加經(jīng)費(fèi)撥款，強(qiáng)化美國證券管理委員會(huì)的監(jiān)管職能

-要求美國審計(jì)總署加強(qiáng)調(diào)查研究其中與上市公司管理層直接相關(guān)的是：第302節(jié)公司對(duì)財(cái)務(wù)報(bào)告的責(zé)任第404節(jié)管理層對(duì)內(nèi)部控制的評(píng)價(jià)103第302節(jié)公司對(duì)財(cái)務(wù)報(bào)告的責(zé)任

-要求公司首要官員及首要財(cái)務(wù)官在季度/年度報(bào)告中保證

-對(duì)信息披露的控制和程序負(fù)責(zé)（含刑事責(zé)任）

-設(shè)計(jì)必要的內(nèi)部控制手段并確保其執(zhí)行可使高層及時(shí)獲得重要信息

-對(duì)披露控制的有效性進(jìn)行評(píng)估，評(píng)估結(jié)果需存檔

-不可向?qū)徲?jì)委員會(huì)和外部審計(jì)人員隱瞞公司重大的內(nèi)控失敗和人員舞弊行為

-存檔描述內(nèi)部控制的重大變化

-介紹信息披露的控制和程序

-強(qiáng)調(diào)財(cái)務(wù)人員的正直和財(cái)務(wù)報(bào)告系統(tǒng)控制的完整性

-需披露的非財(cái)務(wù)信息包括：重要合同的簽署，戰(zhàn)略合作關(guān)系的解除以及法律訴訟

-美國證券管理委員會(huì)要求

-擴(kuò)大信息披露的控制和財(cái)務(wù)報(bào)告系統(tǒng)內(nèi)部控制程序的認(rèn)證

-將內(nèi)控評(píng)估日改為財(cái)務(wù)報(bào)告截止日104第404節(jié)管理層對(duì)內(nèi)部控制的評(píng)價(jià)

-要求公司管理層在年度報(bào)告中：

-描述他們?cè)诮⒑途S護(hù)一個(gè)針對(duì)財(cái)務(wù)報(bào)告職能行之有效的內(nèi)部控制程序中的責(zé)任

-對(duì)財(cái)務(wù)報(bào)告系統(tǒng)內(nèi)部控制有效性以一個(gè)公認(rèn)架構(gòu)進(jìn)行評(píng)估（例如COSO內(nèi)控架構(gòu)）

-同時(shí)要求外部審計(jì)人員：

-對(duì)管理層評(píng)估結(jié)果進(jìn)行簽證

-美國證券管理委員會(huì)要求

-擴(kuò)大信息披露的控制和財(cái)務(wù)報(bào)告系統(tǒng)內(nèi)部控制程序的認(rèn)證

-將內(nèi)控評(píng)估日改為財(cái)務(wù)報(bào)告截止日105在美國上市的公司，不論規(guī)模，均需遵守薩班斯－奧克斯利法案的有關(guān)規(guī)定。即使上一年注冊(cè)會(huì)計(jì)師出具的是無保留意見的審計(jì)報(bào)告，也不表示公司現(xiàn)有的內(nèi)控系統(tǒng)已經(jīng)符合法案的規(guī)定。根據(jù)法案的規(guī)定，獨(dú)立審計(jì)人員還需另外證明客戶公司的內(nèi)部控制系統(tǒng)是有效的。美國國會(huì)清楚地規(guī)定，公司對(duì)其財(cái)務(wù)報(bào)告和信息披露的公允性、充分性和正確性負(fù)有責(zé)任。法案規(guī)定獨(dú)立審計(jì)人員的主要職責(zé)為：證明管理層對(duì)公司財(cái)務(wù)報(bào)告系統(tǒng)的內(nèi)部控制程序是否有效的評(píng)估是合理的。換句話說，管理層必須獨(dú)立地評(píng)估，執(zhí)行和監(jiān)控內(nèi)部控制程序（但是