第七章_内部控制系统及其评审(207页PPT).pptx

第七章第七章 内部控制系统及其评审内部控制系统及其评审 第一节第一节 内部控制系统内部控制系统第二节第二节 财务报告内部控制财务报告内部控制 第三节第三节 内部控制的描述内部控制的描述第四节第四节 内部控制的评价内部控制的评价 第五节第五节 内部控制审计内部控制审计第一节第一节 内部控制系统内部控制系统一、内部控制的定义一、内部控制的定义 内部控制是被审计单位为了实现其发展战略、提高经营活动的效率、确保信息的可靠性、保护财产的安全完整、法律法规得到遵守，而由治理层、管理层和相关人员设计并执行的各项政策和相互制约相互联系的关系、是一个严密与完整的体系。可从以下几方面理解内部控制的定义可从以下几方面理解内部控制的定义 1.1.内控的目标是合理保证内控的目标是合理保证：（1 1）财务报告的可靠性；财务报告的可靠性；（2 2）经营的效率和效果；）经营的效率和效果；（3 3）在所有经营活动中遵守法律法规。）在所有经营活动中遵守法律法规。2.2.设计和实施内部控制的责任主体是治理设计和实施内部控制的责任主体是治理层、管理层和其他人员。层、管理层和其他人员。3.3.实现内部控制目标的手段是设计和执行实现内部控制目标的手段是设计和执行控制政策及程序。控制政策及程序。股东会股东会公司治理层次公司治理层次 （corporate corporate governancegovernance）董事会董事会经理层经理层生产工人生产工人监事会监事会辅助工人辅助工人办公人员办公人员研发人员研发人员销售人员销售人员临时人员临时人员内部控制层次内部控制层次（internal internal controlcontrol）内部控制的国际发展内部控制的国际发展内部牵制阶段内部牵制阶段内部控制的产生内部控制的产生内部控制两要素阶段内部控制两要素阶段内部控制三要素阶段内部控制三要素阶段-内部控制结构内部控制结构内部控制五要素阶段内部控制五要素阶段-内部控制整体框架内部控制整体框架内部控制八要素阶段内部控制八要素阶段-企业风险管理整体框架企业风险管理整体框架内部牵制内部牵制内部牵制的理念产生于上世纪内部牵制的理念产生于上世纪4040年代以前年代以前主要特点：任何个人或部门不能单独控制任何一项或一部分业务主要特点：任何个人或部门不能单独控制任何一项或一部分业务权力，必须进行组织上的责任分工。权力，必须进行组织上的责任分工。内部牵制的形式内部牵制的形式实物牵制：例如把保险柜的钥匙交给二个以上的工作人员持有。实物牵制：例如把保险柜的钥匙交给二个以上的工作人员持有。机械牵制：例如保险柜的大门若非按正确程序操作就打不开。机械牵制：例如保险柜的大门若非按正确程序操作就打不开。体制牵制：采用双重控制预防错误和舞弊的发生。体制牵制：采用双重控制预防错误和舞弊的发生。簿记牵制：定期将明细账与总账进行核对。簿记牵制：定期将明细账与总账进行核对。内部牵制的基本理念内部牵制的基本理念二个或以上的人或部门无意识地犯同样错误的机会是很小的；二个或以上的人或部门无意识地犯同样错误的机会是很小的；二个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部二个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。门舞弊的可能性。内部控制的产生内部控制的产生19491949年，美国会计师协会的审计程序委员会在内部控制，一种协调年，美国会计师协会的审计程序委员会在内部控制，一种协调制度要素及其对管理当局和独立注册会计师的重要性的报告中，对制度要素及其对管理当局和独立注册会计师的重要性的报告中，对内部控制首次作了权威性定义：内部控制首次作了权威性定义：“内部控制包括组织机构的设计和企业内部采取的所有相互协内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。理政策。”此定义及其相应的解释，当时被普遍认为是对认识内部控制这一概念此定义及其相应的解释，当时被普遍认为是对认识内部控制这一概念的重大贡献，因为在此之前内部控制概念从未受到如此的重视。的重大贡献，因为在此之前内部控制概念从未受到如此的重视。内部控制两要素阶段内部控制两要素阶段1958年10月美国审计程序委员会发布了第29号审计程序公告对内部控制进行了重新定义，将内部控制划分为会计控制和管理控制两要素。内部会计控制：内部会计控制：包括组织规划的与财产安全和财物记录可靠性有直接联系的所有方法和程序，包括授权与批准控制、职务分离控制、财产实物控制和内部审计等。内部管理控制：内部管理控制：包括组织规划的与经营效率和贯彻管理方针有关的所有方法和程序，一般包括统计分析、业绩报告、员工培训和质量控制等。内部控制三要素的发展内部控制三要素的发展19881988年美国年美国AICPAAICPA发布了第发布了第5555号审计准则公告，号审计准则公告，首次以首次以“内部控制结构内部控制结构”代替代替“内部控制内部控制”，指出，指出“企业的内部控制结构包括所有为确保实现企业特企业的内部控制结构包括所有为确保实现企业特定目标而建立的各种政策和程序定目标而建立的各种政策和程序”。内部控制结构包括内部控制结构包括三个要素三个要素：控制环境控制环境：反映董事会、管理者、所有者对控：反映董事会、管理者、所有者对控制的态度和行为。制的态度和行为。会计系统会计系统：规定各项经济业务的确认、归集、：规定各项经济业务的确认、归集、分类、登记和编报方法。分类、登记和编报方法。控制程序控制程序：指管理当局为保证实现目标而制定：指管理当局为保证实现目标而制定的政策和程序。的政策和程序。内部控制三要素的发展内部控制三要素的发展内部控制结构的特点：内部控制结构的特点：正式将控制环境纳入内部控制范畴。以前人们正式将控制环境纳入内部控制范畴。以前人们将控制环境作为内部控制的外部因素，但渐渐将控制环境作为内部控制的外部因素，但渐渐地认识到控制环境是内部控制的一个组成部分，地认识到控制环境是内部控制的一个组成部分，是内部控制体系得以建立和运行的基础及保证。是内部控制体系得以建立和运行的基础及保证。二是不再区分会计控制与管理控制，这是因为二是不再区分会计控制与管理控制，这是因为通过研究发现，这两者往往是不可分割的，是通过研究发现，这两者往往是不可分割的，是相互关系的。相互关系的。“COSO”“COSO”与与“美国反欺诈财务报告委员会美国反欺诈财务报告委员会”美国反欺诈财务报告委员会美国反欺诈财务报告委员会(National Commission on National Commission on Fraudulent Financial Reporting)Fraudulent Financial Reporting)的成立：的成立：由美国会计学会（由美国会计学会（AAAAAA）、美国注册会计师协会（）、美国注册会计师协会（AICPAAICPA）、）、财务经理协会（财务经理协会（FEIFEI）、内部审计师协会（）、内部审计师协会（IIAIIA）、管理会计）、管理会计协会（协会（IMAIMA）于）于19851985年发起设立年发起设立19851985年，美国五大会计职业团体为发起设立年，美国五大会计职业团体为发起设立TreadwayTreadway委员会，委员会，并成立了一个并成立了一个“发起组织委员会发起组织委员会”，这是一个自发的民间组，这是一个自发的民间组织，其目的是发起设立美国反欺诈财务报告委员会，并提供织，其目的是发起设立美国反欺诈财务报告委员会，并提供财务支持。财务支持。由包括来自产业界、会计师事务所、投资公司以及纽约交由包括来自产业界、会计师事务所、投资公司以及纽约交易所代表的六个委员组成易所代表的六个委员组成主席由前美国主席由前美国SECSEC委员委员James TreadwayJames Treadway担任，所以简称担任，所以简称“Treadway“Treadway 委员会委员会”主要目的是研究导致财务报告欺诈的因素，为上市公司及主要目的是研究导致财务报告欺诈的因素，为上市公司及其独立审计师、其独立审计师、SECSEC及其他监管者、教育机构提供建议。及其他监管者、教育机构提供建议。1987年Treadway报告研究的主要问题研究的主要问题重大舞弊对财务报表的影响程度重大舞弊对财务报表的影响程度舞弊行为的可预防程度舞弊行为的可预防程度独立审计在揭露管理欺诈舞弊中的作用独立审计在揭露管理欺诈舞弊中的作用审计准则是否需作进一步的修改审计准则是否需作进一步的修改“COSO”“COSO”与与“内部控制整体框架内部控制整体框架”（五要素）（五要素）自自19871987年的年的TreadwayTreadway报告和报告和19881988年年9 9个审计准则公告发布个审计准则公告发布后，后，COSOCOSO对内部控制问题又进行了较深入系统的研究，于对内部控制问题又进行了较深入系统的研究，于19921992年发布了内部控制年发布了内部控制整体框架报告，该报告是整体框架报告，该报告是国际内部控制理论发展的又一重要里程碑。国际内部控制理论发展的又一重要里程碑。COSOCOSO认为，内部控制是由企业董事会、经理阶层和其认为，内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证性、相关法令的遵循性等目标的实现而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的的过程。其构成要素应该来源于管理阶层经营企业的方式，并与管理的过程相结合。方式，并与管理的过程相结合。内部控制整体框架内部控制整体框架控 制 环 境风 险 评 估控 制 活 动监督作业活动1作业活动2循遵营经告报信息与沟通“内部控制整体框架内部控制整体框架”的特点的特点1 1明确对内部控制的明确对内部控制的“责任责任”2 2强调内部控制应该与企业的经营管理过程相结合强调内部控制应该与企业的经营管理过程相结合3 3强调内部控制是一个强调内部控制是一个“动态过程动态过程”4 4强调强调“人人”的重要性的重要性5 5强调强调“软控制软控制”的作用的作用6 6。强调风险意识。强调风险意识7 7揉和了管理与控制的界限揉和了管理与控制的界限8 8强调内部控制的分类及目标强调内部控制的分类及目标9 9明确指出内部控制只能做到明确指出内部控制只能做到“合理合理”保证保证1010成本与效益原则成本与效益原则控制环境控制环境控制环境不仅包括非正式的经常是无形的控制环境不仅包括非正式的经常是无形的软控制，例如道德价值观，诚信原则，管软控制，例如道德价值观，诚信原则，管理哲学，胜任的能力等，同时还包括组织理哲学，胜任的能力等，同时还包括组织结构和职责划分等更为正式的控制。控制结构和职责划分等更为正式的控制。控制的其他要素发挥作用都依赖于这一基础的的其他要素发挥作用都依赖于这一基础的可靠性。可靠性。风险评估风险评估在风险评估过程中，管理层识别并分析实在风险评估过程中，管理层识别并分析实现其目标过程中所面临的风险，从而制定现其目标过程中所面临的风险，从而制定决定如何管理风险的制度基础。管理层应决定如何管理风险的制度基础。管理层应该在审计师开始审计之前，识别那些重大该在审计师开始审计之前，识别那些重大的风险，并基于这些风险发生的可能性和的风险，并基于这些风险发生的可能性和影响采取措施缓和这些风险。随后，审计影响采取措施缓和这些风险。随后，审计师对这一风险评估过程进行评价。师对这一风险评估过程进行评价。控制活动控制活动控制活动是指确保管理层的指令得以实现控制活动是指确保管理层的指令得以实现的机制，包括那些被识别能够缓和风险的的机制，包括那些被识别能够缓和风险的活动。这些控制很大程度上是基于审批活活动。这些控制很大程度上是基于审批活动。运输货物、支付帐单、等待客户定单、动。运输货物、支付帐单、等待客户定单、购买资产等活动都需要实施具体的，基于购买资产等活动都需要实施具体的，基于活动的控制。所以要求具备大量的有关特活动的控制。所以要求具备大量的有关特定活动的知识来决定应该实施怎样的针对定活动的知识来决定应该实施怎样的针对性控制。性控制。信息与沟通信息与沟通COSOCOSO框架的第四个控制要素是信息与沟通。框架的第四个控制要素是信息与沟通。信息是指员工能够获得其工作中所需要的信息是指员工能够获得其工作中所需要的信息，沟通是指信息向上的、向下的、横信息，沟通是指信息向上的、向下的、横向的、在组织内外自由的流动。向的、在组织内外自由的流动。监督监督监督要素包括经理人员日常的监督，审计监督要素包括经理人员日常的监督，审计师和其他群体定期的审核以及经理人员用师和其他群体定期的审核以及经理人员用以揭示和纠正已知的缺陷与不足的程序。以揭示和纠正已知的缺陷与不足的程序。监督可以用来保证其他控制的运行，这也监督可以用来保证其他控制的运行，这也就解释了为什么内部审计被看作是监督的就解释了为什么内部审计被看作是监督的一部分。一部分。1987-19971987-1997欺诈性财务报告研究欺诈性财务报告研究19871987年年TreadwayTreadway报告发布后，美国公开发报告发布后，美国公开发行股票公司财务报告舞弊情况究竟如何，行股票公司财务报告舞弊情况究竟如何，需要进行全面的分析需要进行全面的分析COSOCOSO发起并赞助了对发起并赞助了对1987.1-1997.121987.1-1997.12美国美国欺诈性财务报告的研究欺诈性财务报告的研究研究者从这研究者从这1111年期间受到年期间受到SECSEC处罚的约处罚的约300300家公司中随机选取了约家公司中随机选取了约200200家公司进行了全家公司进行了全面的研究面的研究19991999年年3 3月发布了研究报告月发布了研究报告1987-19971987-1997欺诈性财务报告研究欺诈性财务报告研究研究发现：研究发现：存在财务报告欺诈舞弊问题的一般是小公司，大多不在纽存在财务报告欺诈舞弊问题的一般是小公司，大多不在纽约证券交易所或美洲证券交易所上市的公司约证券交易所或美洲证券交易所上市的公司进行欺诈舞弊的大多是公司高层，进行欺诈舞弊的大多是公司高层，72%72%的案例显示由公司的案例显示由公司CEOCEO参与参与有欺诈舞弊情况的公司，董事会和审计委员会都很弱，审计有欺诈舞弊情况的公司，董事会和审计委员会都很弱，审计委员会很少碰头，董事会由内部人控制委员会很少碰头，董事会由内部人控制大部分公司由发起人和公司董事拥有大部分公司由发起人和公司董事拥有当公司发生欺诈舞弊情况时，后果非常严重，大部分导致破当公司发生欺诈舞弊情况时，后果非常严重，大部分导致破产、股权重大变更或直接退市产、股权重大变更或直接退市安然事件爆发安然事件爆发安然公司安然公司19851985年成立，年成立，20012001年财富世界年财富世界500500强中排第强中排第1616位，营业收入位，营业收入13871387亿美元，亿美元，20012001年年1111月安然重新公布月安然重新公布1997199720002000年的财务报表，累计减少利润近年的财务报表，累计减少利润近6 6亿美金，亿美金，20012001年年1212月申请破产保护，破产资产总额月申请破产保护，破产资产总额498498亿美元，亿美元，为美国历史之最。股票最高价超过为美国历史之最。股票最高价超过9090美元，最低价不到美元，最低价不到2020美分。美分。20022002年年1 1月月1616日日,纽约证交所将安然公司摘牌纽约证交所将安然公司摘牌,公司正式破产公司正式破产,整个案件造成市值损失整个案件造成市值损失320320亿美元亿美元,财产财产损失损失500500亿美元。亿美元。世通事件爆发世通事件爆发世通公司是美国第二大电信公司，世通公司是美国第二大电信公司，20022002年，被发现利年，被发现利用将营运性开支列作资本性开支等弄虚作假的手法，用将营运性开支列作资本性开支等弄虚作假的手法，在在1998-20021998-2002期间，虚报收入期间，虚报收入110110亿美元。亿美元。事发之后，世通的股价从最高的事发之后，世通的股价从最高的64.564.5美元暴跌至美元暴跌至3 3美美元。世通于元。世通于20022002年年7 7月申请破产保护令，以月申请破产保护令，以10701070亿美亿美元的资产、元的资产、410410亿美元的债务成为美国历史上最大的亿美元的债务成为美国历史上最大的破产个案，刷新了美国历史上的破产规模记录。破产个案，刷新了美国历史上的破产规模记录。7 7月月3030日日,纳斯达克证交所将世通公司摘牌。整个案件造纳斯达克证交所将世通公司摘牌。整个案件造成市值损失成市值损失12001200亿美元亿美元,财产损失财产损失10001000亿美元。亿美元。20022002年美国萨班斯法案年美国萨班斯法案 20022002年年7 7月月2525日美国通过的公司改革法案日美国通过的公司改革法案（Sarbanes-Oxley ActSarbanes-Oxley Act），使传统的注），使传统的注册会计师行业自律模式被打破，代之以政册会计师行业自律模式被打破，代之以政府监督下的独立监管为主的模式，即由美府监督下的独立监管为主的模式，即由美国证券交易委员会（国证券交易委员会（SECSEC）监督下的公众公）监督下的公众公司会计监管委员会（司会计监管委员会（PCAOBPCAOB）来负责制定或）来负责制定或审批审计准则、事务所质量控制准则、职审批审计准则、事务所质量控制准则、职业道德准则、独立性准则以及其他与审计业道德准则、独立性准则以及其他与审计报告相关的准则。实际上意味着报告相关的准则。实际上意味着AICPAAICPA正在正在逐步失去审计准则制定权。逐步失去审计准则制定权。20022002年美国萨班斯法案年美国萨班斯法案302302条款条款:由由CEOCEO和和CFOCFO在内的企业管理层，对公司财在内的企业管理层，对公司财务报告的内部控制按季度和年度就以下事项发表声务报告的内部控制按季度和年度就以下事项发表声明：明：对建立和维护与财务报告有关的内部控制负责。对建立和维护与财务报告有关的内部控制负责。设计所需的内部控制，以保证管理层能知道该公司及其子公司的设计所需的内部控制，以保证管理层能知道该公司及其子公司的所有重大信息，尤其是报告期内的重大信息。所有重大信息，尤其是报告期内的重大信息。与财务报告有关的内部控制的任何变更都已得到恰当的披与财务报告有关的内部控制的任何变更都已得到恰当的披露，这里的变更指最近一个会计季度已经产生，或者合理露，这里的变更指最近一个会计季度已经产生，或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。预期将对于财务报告有关的内部控制产生重大影响的变更。对对ITIT内部控制的有效性予以评估。内部控制的有效性予以评估。20022002年美国萨班斯法案年美国萨班斯法案404404条款条款：管理层在其年度文件中提供关于与财务报告：管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容：求包括以下内容：管理层有责任为企业建立和维护恰当的与财务报告有关的管理层有责任为企业建立和维护恰当的与财务报告有关的内部控制。内部控制。识别管理层所采用的内部控制框架，以便按要求评估公司与识别管理层所采用的内部控制框架，以便按要求评估公司与财务报告有关的内部控制的有效性。财务报告有关的内部控制的有效性。对从一上个会计年度末以来与财务报告有关的内部控制的有对从一上个会计年度末以来与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。制是否有效的公开声明。20022002年美国萨班斯法案年美国萨班斯法案404404条款（续）条款（续）：年度审计报告中，注册会计师事务所发表的财务审计报告，年度审计报告中，注册会计师事务所发表的财务审计报告，包括管理层对与财务报告有关的内部控制有效性评估的证包括管理层对与财务报告有关的内部控制有效性评估的证明报告。明报告。管理层关于公司针对财务报告内部控制有效性评估的书面结论，管理层关于公司针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。应包含在其对财务报告内部控制的报告和其对审计师的信函中。管理层对公司面向财务报告的内部控制的有效性必须发表直接意管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。见。如果与财务报告有关的内部控制中有一个或多个重要缺陷，如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层将不能对财务报告的内部控制有效性作出评估结论，管理层将不能对财务报告的内部控制有效性作出评估结论，而且，管理层应该披露自最近一个会计年度末以来财务报而且，管理层应该披露自最近一个会计年度末以来财务报告内部控制方面的所有重要缺陷。告内部控制方面的所有重要缺陷。20022002年美国萨班斯法案年美国萨班斯法案404404条款要求，每个公司都要将公司任何一个岗位条款要求，每个公司都要将公司任何一个岗位的职务、职责描述得一目了然，这项工作需要大量的职务、职责描述得一目了然，这项工作需要大量材料和文件支持。同时上市公司要保证在对交易进材料和文件支持。同时上市公司要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度行财务记录的每一个环节都有相应的内部控制制度（例如产品销售的条件、记录付款的时间和人员等）（例如产品销售的条件、记录付款的时间和人员等）。此外，还要指出内部控制的缺陷所在。此外，还要指出内部控制的缺陷所在。要完成这些工作绝非易事，特别是对于组织分散，业要完成这些工作绝非易事，特别是对于组织分散，业务范围复杂的大型公司而言，组织越分散，业务越复务范围复杂的大型公司而言，组织越分散，业务越复杂就意味着要做的杂就意味着要做的 工作越繁杂，这促使他们不得不工作越繁杂，这促使他们不得不投入更多来实施投入更多来实施404404条款所要求的内部控制措施。条款所要求的内部控制措施。20022002年美国萨班斯法案年美国萨班斯法案404404条款的遵循成本第一年最高，包括关键内部控制的初条款的遵循成本第一年最高，包括关键内部控制的初始存档和补救。以后年度的遵循成本会大幅度减少。始存档和补救。以后年度的遵循成本会大幅度减少。根据国际财务执行官根据国际财务执行官(FEI)(FEI)对对321321家企业的调查结果，每家企业的调查结果，每家需要遵守萨班斯法案的美国大型企业第一年实施家需要遵守萨班斯法案的美国大型企业第一年实施404404条款的总成本将超过条款的总成本将超过460460万美元。万美元。全球著名的通用电气公司表示，全球著名的通用电气公司表示，404404条款致使公司在执条款致使公司在执行内部控制规定上的花费高达行内部控制规定上的花费高达30003000万美元。万美元。内部控制的主要缺陷内部控制的主要缺陷控制环境控制环境无效的审计委员会无效的审计委员会缺乏由高层管理推动的全公司范围的内部控制缺乏由高层管理推动的全公司范围的内部控制管理流程管理流程缺乏反舞弊和举报机制缺乏反舞弊和举报机制会计政策和程序过时、不一致、没有完整记录会计政策和程序过时、不一致、没有完整记录或缺乏有效沟通或缺乏有效沟通对非常规、复杂或特殊对非常规、复杂或特殊 交易的帐务处理的控交易的帐务处理的控制不充分制不充分内部控制的主要缺陷内部控制的主要缺陷风险评估风险评估缺乏正式的企业风险管理流程或程序缺乏正式的企业风险管理流程或程序内部控制的主要缺陷内部控制的主要缺陷控制活动控制活动缺乏有效运行和记录完整的公司层面控制缺乏有效运行和记录完整的公司层面控制错误报告和信息披露编制流程无效错误报告和信息披露编制流程无效对分支机构的控制无效对分支机构的控制无效内部控制的主要缺陷内部控制的主要缺陷信息与沟通信息与沟通缺乏对信息系统的有效控制缺乏对信息系统的有效控制缺乏对财务报告中使用的终端用户应用程序缺乏对财务报告中使用的终端用户应用程序（如电子表格）和数据的控制（如电子表格）和数据的控制内部控制的主要缺陷内部控制的主要缺陷监督监督董事会和审计委员会对风险和控制的理解不充董事会和审计委员会对风险和控制的理解不充分分无效的内部审计无效的内部审计缺乏正式的对财物结账流程的控制或监督缺乏正式的对财物结账流程的控制或监督不能对外包流程的控制进行评估和测试不能对外包流程的控制进行评估和测试内部控制的主要缺陷内部控制的主要缺陷文件记录文件记录缺乏完整全面的文档记录缺乏完整全面的文档记录缺乏内部控制执行的证据缺乏内部控制执行的证据内部控制的主要缺陷内部控制的主要缺陷管理层对控制有效性的评价管理层对控制有效性的评价公司的内控评价工作人员缺乏专业知识和经验公司的内控评价工作人员缺乏专业知识和经验管理层内控评价范围不充分管理层内控评价范围不充分测试流程和程序不充分测试流程和程序不充分COSOCOSO的企业风险管理的企业风险管理企业风险管理框架的建立背景企业风险管理框架的建立背景二十世纪九十年代以来愈演愈烈的商业丑闻，使得投资者和其他二十世纪九十年代以来愈演愈烈的商业丑闻，使得投资者和其他利益相关者遭受了巨大的损失，人们在加强内部控制的同时，开利益相关者遭受了巨大的损失，人们在加强内部控制的同时，开始认识到全面风险管理的重要性，希望建立一个能有效地帮助管始认识到全面风险管理的重要性，希望建立一个能有效地帮助管理策识别、评价和管理风险的思维框架。理策识别、评价和管理风险的思维框架。20012001年，年，COSOCOSO设立研究项目，委托设立研究项目，委托PwCPwC研发一个能被管理层用研发一个能被管理层用来评价和改进其企业风险管理的框架。来评价和改进其企业风险管理的框架。20032003年年7 7月，公布研究报告讨论稿。月，公布研究报告讨论稿。20042004年年9 9月，研究报告月，研究报告“企业风险管理：整体框架（企业风险管理：整体框架（Enterprise Risk Management Integrated Enterprise Risk Management Integrated FrameworkFramework）”正式发布。正式发布。COSOCOSO企业风险管理（企业风险管理（20042004）企业风险管理框架（企业风险管理框架（Enterprise Enterprise Risk Management FrameworkRisk Management FrameworkERMERM）认为）认为“全面风险管理是一个过程。这个过程受全面风险管理是一个过程。这个过程受董事会、管理层和其它人员的影响。这个董事会、管理层和其它人员的影响。这个过程从企业战略制定一直贯穿到企业的各过程从企业战略制定一直贯穿到企业的各项活动中，用于识别哪些可能影响企业的项活动中，用于识别哪些可能影响企业的潜在事件并管理风险，使之在企业的风险潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的偏好之内，从而合理确保企业取得既定的目标。目标。”从从“内部控制内部控制”到到“企业风险管理企业风险管理”控控 制制 环环 境境风风 险险 评评 估估控控 制制 活活 动动监督监督作作业业活活动动1 1作作业业活活动动2 2循循遵遵营营经经告告报报信息与沟通信息与沟通内内 部部 环环 境境战战 略略目目 标标 设设 定定事事 件件 识识 别别风风 险险 评评 估估风风 险险 应应 对对控控 制制 活活 动动信息与沟通信息与沟通监监 督督经经 营营报报 告告遵遵 循循子子公公司司业业务务单单位位分分支支机机构构企企业业整整体体层层次次COSOCOSO企业风险管理（企业风险管理（20042004）ERMERM框架有三个维度；框架有三个维度；第一维是企业的目标，企业的目标有四个，即战略目标、经营第一维是企业的目标，企业的目标有四个，即战略目标、经营目标、报告目标和合规目标。目标、报告目标和合规目标。第二维全面风险管理要素有第二维全面风险管理要素有8 8个，即内部环境；目标设定；事件识别；个，即内部环境；目标设定；事件识别；风险评估；风险对策；控制活动；信息和交流；监控。风险评估；风险对策；控制活动；信息和交流；监控。第三个维度是企业的层级，包括整个企业、各职能部门、各第三个维度是企业的层级，包括整个企业、各职能部门、各条业务线及下属各子公司。条业务线及下属各子公司。ERMERM三个维度的关系是，企业风险管理的三个维度的关系是，企业风险管理的8 8个要素都是为企业的四个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上次都必须从以上8 8个方面进行风险管理。个方面进行风险管理。该框架适合各种类型的企业或机构的风险管理。该框架适合各种类型的企业或机构的风险管理。企业风险管理企业风险管理综合框架（综合框架（ERMERM）企业目标可以从以下四个方面来考虑：企业目标可以从以下四个方面来考虑：战略战略经营经营报告报告遵循遵循内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 督经 营报 告遵 循子公司业务单位分支机构企业整体层次ERMERM框架（续）框架（续）ERMERM考虑了组织中所有层次上的活动：考虑了组织中所有层次上的活动：企业整体层次企业整体层次分支机构或者子公司分支机构或者子公司业务单元环节业务单元环节内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 督经 营报 告遵 循子公司业务单位分支机构企业整体层次COSOCOSO的企业风险管理的企业风险管理企业风险管理框架包括八个基本要素企业风险管理框架包括八个基本要素1.1.内部环境内部环境2.2.目标制定目标制定3.3.事件识别事件识别4.4.风险评估风险评估5.5.风险应对风险应对6.6.控制活动控制活动7.7.信息和沟通信息和沟通8.8.监督监督 内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 督经 营报 告遵 循子公司业务单位分支机构企业整体层次1.内部环境建立风险管理理念。应认识到未预期事件建立风险管理理念。应认识到未预期事件与预期事件一样可能发生。与预期事件一样可能发生。建立企业的风险文化。建立企业的风险文化。考虑所有的其他组织行为如何影响风险文考虑所有的其他组织行为如何影响风险文化。化。2.2.目标设定目标设定在设定目标时，管理层应该考虑风险战略。在设定目标时，管理层应该考虑风险战略。形成企业的风险偏好（形成企业的风险偏好（risk appetiterisk appetite）从高层从高层次的视角来确定管理层和董事会乐意接受多大风险。次的视角来确定管理层和董事会乐意接受多大风险。风险容忍度（风险容忍度（risk tolerancerisk tolerance），是指目标变化程度），是指目标变化程度的可接受水平，是与风险偏好相联系的。的可接受水平，是与风险偏好相联系的。3.3.事件（风险）识别事件（风险）识别区分风险和机会。区分风险和机会。带来负面影响的事件代表风险。带来负面影响的事件代表风险。带来正面影响的事件代表自动抵消（机会），管理带来正面影响的事件代表自动抵消（机会），管理层应该在战略制定中重新考虑这些事件的存在。层应该在战略制定中重新考虑这些事件的存在。考虑发生在内部的或发生在外部的可能影响战略和目标考虑发生在内部的或发生在外部的可能影响战略和目标实现的事件。实现的事件。指出内部资源与外部资源应如何结合起来，相互作用指出内部资源与外部资源应如何结合起来，相互作用来影响风险的组合。来影响风险的组合。风险识别风险识别战略风险战略风险经营风险经营风险业务管理风险业务管理风险资源管理风险资源管理风险法律事务风险法律事务风险4.4.风险评估风险评估使得企业了解潜在事件影响目标的程度。使得企业了解潜在事件影响目标的程度。从两个角度评估风险从两个角度评估风险风险发生的可能性风险发生的可能性风险发生的影响力风险发生的影响力不仅可以用来评估风险，还可以用来衡量相关目标。不仅可以用来评估风险，还可以用来衡量相关目标。结合运用定性的和定量的风险评估方法。结合运用定性的和定量的风险评估方法。将时间纬度与目标纬度联系起来。将时间纬度与目标纬度联系起来。既要评估固有风险，还要评估剩余风险。既要评估固有风险，还要评估剩余风险。5.5.风险应对风险应对识别并评价潜在的风险应对方案。识别并评价潜在的风险应对方案。根据企业的风险偏好、潜在风险应对方案的成根据企业的风险偏好、潜在风险应对方案的成本效益以及应对方案能够降低风险影响力和本效益以及应对方案能够降低风险影响力和（或）可能性的程度来评估各种方案。（或）可能性的程度来评估各种方案。在评估风险组合和应对方案的基础上，选择并在评估风险组合和应对方案的基础上，选择并实施应对方案。实施应对方案。风险应对风险应对风险应对总体策略：风险应对总体策略：战略风险：公司治理战略风险：公司治理经营风险：内部控制经营风险：内部控制风险应对具体对策：风险应对具体对策：风险转移（保险、套期保值、期货）风险转移（保险、套期保值、期货）风险避免（退出交易活动）风险避免（退出交易活动）风险承担（考虑成本效益原则）风险承担（考虑成本效益原则）风险减少（加强控制）风险减少（加强控制）可能性高减少避免低接受转移低高影响风险应对风险应对6.6.控制活动控制活动控制活动是保证风险应对方案以及其他企控制活动是保证风险应对方案以及其他企业指令得到执行的相关政策和程序。业指令得到执行的相关政策和程序。控制活动存在于整个企业，包括各个层面控制活动存在于整个企业，包括各个层面和各个职能。和各个职能。控制活动包括操作控制和一般的信息技术控制活动包括操作控制和一般的信息技术控制。控制。7.7.信息与沟通信息与沟通管理层必须以一定的格式和时间间隔识别、捕管理层必须以一定的格式和时间间隔识别、捕捉和传递有关信息，以保证企业的员工能够执捉和传递有关信息，以保证企业的员工能够执行各自的职责。行各自的职责。沟通的意义广泛，包括企业内自上而下、自下沟通的意义广泛，包括企业内自上而下、自下而上以及横向的沟通。而上以及横向的沟通。8.8.监督监督通过以下三种方式对通过以下三种方式对ERMERM的其他几个要素进行的其他几个要素进行监控：监控：持续的监控活动持续的监控活动个别评估个别评估两者的结合两者的结合 与内部控制与内部控制整体框架的关系整体框架的关系扩展并详尽阐述了扩展并详尽阐述了COSO“COSO“控制框架控制框架”中的内部中的内部控制要素。控制要素。将目标设定作为一个单独的组成部分。目标是将目标设定作为一个单独的组成部分。目标是内部控制的内部控制的“前提前提”。扩展了控制框架的扩展了控制框架的“财务报告财务报告”和和“风险评估风险评估”。二、内部控制的目标？中国萨班斯法案中国萨班斯法案企业内部控制基本规范（以下简称规范）企业内部控制基本规范（以下简称规范）规范第三条规范第三条:内部控制的目标是合理保证企业经营管理合法内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。率和效果，促进企业实现发展战略。从这个定义中可以看出我国内部控制的目标包括五个方面：从这个定义中可以看出我国内部控制的目标包括五个方面：一是合法合规性；一是合法合规性；二是资产安全性；二是