内部控制框架的建立.ppt

2.内部控制框架的建立,通过本章学习，要求掌握内部控制的目标和要素，理解内部控制整合框架和企业风险管理整合框架中内部控制的重要概念，了解COSO委员会的概况和萨班斯法案对内部控制的要求。,学习目标,1992年9月，COSO委员会提出了报告内部控制整合框架（P18，1994年进行了增补），该报告包括管理层总结、总体构架、外部团体报告、评估工具四个部分。,2.1 内部控制整合框架（参阅教材P17-22）,定义内部控制的定义内部控制是一个受到董事会、经理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率;财务报告的可靠性;法律法规的遵循性（P19）。Internal control is a process,effected by an entitys board of directors,management and other personnel,designed to provide reasonable assurance regarding the achievement of objectives in the following categories:effectiveness and efficiency of operations,reliability of financial reporting,compliance with applicable laws and regulations.,2.1 内部控制整合框架,内部控制是一个过程(Internal control is a process)(见定义)内部控制并非单一的事件或环境，而是针对企业行为的一系列活动。内部控制应该“嵌入”企业之中，而非“外置”在企业之外。人的因素(Internal control is effected by people)(补充)内部控制受到企业董事会、经理层和其他人员的影响。（见定义）同样，内部控制也影响人们的行为。合理保证(Reasonable Assurance)(见定义)内部控制，无论设计和执行多么理想，也只能就企业目标的实现向经理层和董事会提供合理的保证。,2.1 内部控制整合框架,目标(Objectives)内部控制整合框架(P20)经营关于企业资源利用的效率、效果 财务报告关于编制公开财务报表的可靠性 遵循性关于法律和法规的遵循性 Operations relating to effective and efficient use of the entitys resources.Financial reporting relating to preparation of reliable published financial statements.Compliance relating to the entitys compliance with applicable laws and regulations,2.1 内部控制整合框架,企业风险管理整合框架（P24）战略 高层次目标，与使命相关联并支撑其使命经营有效和高效率地利用其资源报告报告的可靠性合规符合适用的法律和法规Strategic relating to high-level goals,aligned with and supporting the entitys mission Operations relating to effective and efficient use of the entitys resources Reporting relating to the reliability of the entitys reporting Compliance relating to the entitys compliance with applicable laws and regulations,2.1 内部控制整合框架,企业内部控制基本规范（P230）企业经营管理合法合规资产安全（safeguarding of assets）财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略,2.1 内部控制整合框架,2.1 内部控制整合框架,2.1 内部控制整合框架,要素（Components）控制环境、风险评估、控制活动、信息和沟通、监控（Control Environment，Risk Assessment，Control Activities，Information and Communication，Monitoring）（P21）,2.1 内部控制整合框架,中国航油（新加坡）股份有限公司成立于1993年，是中央直属大型国企中国航空油料控股公司的海外子公司。在总裁陈久霖的带领下，中航油新加坡公司 从一个濒临破产的贸易型企业发展成工贸结合的 实体企业，净资产从1997年起步时的21.9万美元 增长为2003年的1亿多美元，总资产近30亿元。但2004年以来风云突变，中航油新加坡公司 在高风险的石油衍生品期权交易中蒙受巨额亏损 而破产，成为继巴林银行破产以来最大的投机丑 闻。,案例:2-1：中航油案例分析,2.1 内部控制整合框架,内部环境基础,内部人控制：在中航油新加坡公司的股权结构中，集团公司一股独大，股东会中没有对集团公司决策有约束力的大股东，众多分散的小股东只是为了获取投资收益，对重大决策基本没有话语权。股东会、董事会和管理层三者合一，决策和执行合一，市场规则和内部制度失效，决策与运作过程神秘化、保密化，独断专行决策的流程化和日常化。管理者素质：管理者素质不仅仅是指知识与技能，还包括道德观、价值观、世界观等各方面，直接影响到企业的行为，进而影响到企业内部控制的效率和效果。陈久霖有很多弱点，最明显的就是赌性重，花了太多的时间和精力在投机交易的博弈上，把现货交易看得淡如水。,2.1 内部控制整合框架,风险评估依据,中航油新加坡公司从事的场外石油衍生品交易，具有高杠杆效应、风险大、复杂性强等特点，但由于内部没有合理定价衍生产品，大大低估了所面临的风险，再加上中航油新加坡公司选择的是一对一的私下场外交易，整个交易过程密不透风，因此中航油新加坡公司承担的风险要比场内交易大得多。,2.1 内部控制整合框架,控制活动手段,中航油新加坡公司具有严格的风险监控制度。该制度规定当损失达到35万美元时要向总裁报告和征求意见，在得到总裁同意后才能继续交易；任何导致损失50万美元以上的交易将自动平仓。中航油总共有10位交易员，如果严格按照规定执行，损失的最大限额应是500万美元。在越权从事石油金融衍生产品投机过程中，陈久霖作为一个管理人员，竟然同时具有授权、执行、检查与监督功能，没有遇到任何阻拦与障碍，事后还能一手遮天，隐瞒真实信息，足见中航油新加坡公司在职能分工方面存在严重问题。,2.1 内部控制整合框架,信息与沟通载体,中航油新加坡公司成立了风险委员会，制定了风险管理手册，明确规定损失超过500万美元必须报告董事会。但陈久霖从来不报。中航油新加坡公司从2003年下半年起在海外市场进行石油衍生品的交易，并且交易总量大大超过现货交易总量，明显违背了国家的规定，而母公司知悉以上违规活动是在一年以后。可见，中航油新加坡公司和集团公司之间的信息沟通不顺畅，会计信息失真。,2.1 内部控制整合框架,内部监督 保证,中航油新加坡公司拥有一个由部门领导、风险管理委员会和内部审计部组成的三层“内部控制监督结构”。但在总裁陈久霖面前形同虚设。陈久霖能够将越权投机进行到底，除了他编造虚假信息隐瞒真相之外，集团公司的失察、失控也难辞其咎。从披露的事实来看，控股股东没有对境外上市子公司行为进行实质性控制，既没有督促中航油新加坡公司建立富有实际效力的治理结构，也没有做好日常的内部监管。,2.1 内部控制整合框架,控制环境 控制环境决定了企业的基调，影响企业员工的控制意识。它是其他要素的基础，提供了基本规则和构架。员工的诚信和道德价值观（Integrity and Ethical Values）胜任能力（Commitment to Competence）董事会和审计委员会（Board of Directors or Audit Committee）管理层的经营理念和经营风格（Managements Philosophy and Operating Style）组织结构（Organizational Structure）管理层授权和职责分工（Assignment of Authority and Responsibility）人力资源政策和措施（Human Resource Policies and Practices）,2.1 内部控制整合框架,案例2-2：富士康12连跳事件,截至2010年5月27日，在深圳富士康公司的园区内，共计12名员工坠楼，其中10人死亡，2人身受重伤入院治疗，此外一人割脉自杀未遂。仅仅5月，连续坠楼及割脉者即达7人。“12跳”之后，富士康背上了“血汗工厂”的骂名，领导层在重重压力之下，不得不宣布上调薪酬。这一加薪行为，吞噬了富士康16年的利润，富士康面临着内忧外患。,2.1 内部控制整合框架,富士康12连跳事件世界经理人网站调查结果,2.1 内部控制整合框架,案例2-3：财富人生，平安相伴（视频）组织架构发展战略人力资源社会责任企业文化,2.1 内部控制整合框架,风险评估 每个企业都面临来自内部和外部的风险，这些风险必须进行评估。风险评估的前提是确立目标，这些目标在不同的层次上相互联系并具有内在的一致性。风险评估指对相关风险进行鉴别和分析，以实现目标，形成风险管理的基础。风险管理主要有六步：第一步：背景分析与确定范围；第二步：识别风险；第三步：分析风险；四步：评价风险；第五步：应对风险；第六步：监测与审核。.1目标.1.1目标的种类：经营目标、报告目标、遵循性目标、资产目标、战略目标.1.2目标的层次：公司层目标、业务活动层目标,2.1 内部控制整合框架,.2风险第一步：背景分析与确定范围,2.1 内部控制整合框架,案例2-4：安永风险时空（E&Y Risk Universe TM）,2.1 内部控制整合框架,第二步：识别风险识别内部风险，应当关注下列因素：董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。组织机构、经营方式、资产管理、业务流程等管理因素。研究开发、技术投入、信息技术运用等自主创新因素。财务状况、经营成果、现金流量等财务因素。营运安全、员工健康、环境保护等安全环保因素。识别外部风险、应当关注下列因素：经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。法律法规、监管要求等法律因素。安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。技术进步、工艺改进等科学技术因素。自然灾害，环境状况等自然环境因素。,2.1 内部控制整合框架,案例2-5：各行业的前10种最主要的风险因素,2.1 内部控制整合框架,第三步：分析风险 企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。,2.1 内部控制整合框架,风险可能性的定性与定量分析,2.1 内部控制整合框架,风险损失的定性与定量分析,2.1 内部控制整合框架,第四步：评价风险,对于高风险H，需要立即采取行动，董事会/高管应参与；对于严重风险S，需要高级管理层注意；对于中度风险M，通过具体监控或响应程序加以管理；对于低度风险L，通过日常程序加以管理。,2.1 内部控制整合框架,第五步：应对风险企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。”风险应对一般包括：规避风险、降低风险、分担风险、承受风险四类。,2.1 内部控制整合框架,风险应对策略,风险规避,风险降低,风险分担,风险承受,企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略,企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略,企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略,企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略,2.1 内部控制整合框架,第六步：监测与审核风险是不断变化的。与风险相关的内部控制也必须发生变化。通过对风险的监测与对内部控制有效性的持续审核，有利于企业目标的实现。,2.1 内部控制整合框架,案例2-6：中信泰富巨亏,2008年10月20日，中信泰富发出盈利预警，由于持有90亿澳元（西澳洲磁铁矿项目资本投资仅需16亿澳币）衍生品Accumulator（累计期权）而发生实际亏损8.07亿港元，账面浮亏147亿港元，合计155.07亿港元。荣智健之女、财务部主管荣明方由于牵涉其中而被调离财务部，并受到降职及减薪处罚。公告发布当天，中信泰富股价暴跌55%2009年3月25日，中信泰富公布2008年度业绩，净利润亏损126.62亿元，其中澳元外汇合约亏损146.32亿元2009年4月3日，董事局主席荣智健等人遭香港警方商业犯罪科调查；4月8日，荣智健辞职,2.1 内部控制整合框架,累计目标可赎回远期合约(Accumulated target knock-out forward contracts，又被形象的称为I Kill You Later)的原理可近似看作中信泰富向对手方购买一个澳元兑美元的看涨期权以及卖出两个看跌期权，行权价格都是0.87。当澳元汇率高于0.87美元时，中信泰富以低于市场价的0.87每天买入1个单位（最低投资额为100万美元）外汇而获利（但获利有上限），但当汇率下降到0.87以下时，则中信泰富必须每天以0.87的高价买入 2个单位外汇。这说明，中信泰富完全是在赌澳元继续升值，而澳元在2008年7月至10月间暴跌了近30%,2.1 内部控制整合框架,荣氏第一代荣熙泰留给子孙的遗训：“固守稳健、谨慎行事、绝不投机”荣毅仁赠予荣智健的二字箴言：“稳、忍”,您认为悲剧的根源是什么？,2.1 内部控制整合框架,控制活动 控制活动指为确保管理层指示得以执行的政策和程序。.1控制活动的类型高层复核（Top Level Reviews）职能指导或业务管理（Direct Functional or Activity Management）信息处理（Information Processing）实物控制（Physical Controls）业绩指标分析（Performance Indicators）职责分离（Segregation of Duties）,2.1 内部控制整合框架,.2控制活动的要素政策和程序控制活动通常包含两类要素：确定应该做什么的政策（作为第二个要素基础）和实现该政策的程序。例如，政策可能要求证券交易商的营业部门经理复核客户交易行为。而程序是复核行为本身，必须及时进行，并关注政策里提及的因素，如所交易证券的性质和数量以及与客户证券净值和年纪之间的联系。很多时候，政策以口头形式传达。当政策是长期存在和被广泛接受的，以及在沟通渠道只涉及有限的管理层、人员之间联系密切、易于监管的小企业中，非书面的政策也可以是有效的。不管政策是否是书面的，必须被仔细地、尽责地、一贯地执行。如果程序只是机械地被执行，而对政策的方向没有一个敏锐、持续的关注，那么也是没有益处的。,2.1 内部控制整合框架,信息和沟通 相关的信息必须以一种能使人们行使各自职能的形式和在一定的时限内被识别、掌握和沟通。有效的沟通还必须广泛的进行，要遍及组织的各个方面。.1信息.1.1信息的识别和获取.1.2信息加工和报告信息系统的整合。,2.1 内部控制整合框架,.2沟通.2.1内部沟通所有人员，特别是那些有着重要的经营和财务管理职责的人员，取得管理所需信息，并清楚地知道必须严肃履行内部控制责任。在多数情况下，正常的报告渠道就是适当的沟通渠道。然而，在特定条件下，需要独立的沟通渠道作为一个预防失败的机制。管理层与董事会及其委员之间的沟通至关重要。,2.1 内部控制整合框架,.2.2外部沟通通过开放的沟通渠道，了解顾客、供应商对于产品或服务的设计或质量方面的要求使公司注意顾客的需求和偏好。与外部审计师的沟通，管理层和董事会可以了解重要的控制信息。与股东、监管者、财务分析师以及其它外界的交流，可以了解企业所面临的情况和风险。,.2.3沟通的方式 沟通可以采用诸如政策手册，备忘录，布告通知，录像录音带的形式,又可采用口头传递消息的方式。另一种有影响力的沟通手段是管理层在领导下属工作时的言行。,2.1 内部控制整合框架,案例2-7：十分钟的悲剧,观看PPT“十分钟的悲剧”，请您谈谈谁该为这场“悲剧”负主要责任,2.1 内部控制整合框架,监控 内控系统需要被监控这是一个评估系统在一定时期内运行质量的过程。这一过程通过持续性的监控行为、独立的评估或两者的结合来实现。内部控制的缺陷应自下而上进行报告，重要事项应报知高层管理人员和董事会。持续性监控行为在执行常规管理行为时，经营管理层取得内部控制持续运转的证据。与外界各方的沟通能够印证内部产生的信息或揭示问题。将信息系统所记录的数据与实物资产相核对。内部及外部审计师定期为进一步加强内部控制提供建议。培训研讨会、计划会议及其他会议能提供有关控制是否有效。定期询问职员理解及执行企业相关规定的情况。,2.1 内部控制整合框架,独立评估范围和频率独立评估的范围和频率主要依赖于风险评估和持续性监控程序的有效性。2.2.6.2.2评价主体一是自我评价，即负责某一单位或职责的人员对其控制自身活动的有效性进行评价。二是内部审计人员评估，有时，在董事会、高级管理层、子公司及部门主管的特殊要求下，内审人员也会对内控进行评价。2.2.6.2.3评价程序及方法体系2.2.6.2.4行动计划2.2.6.2.5报告缺陷,2.1 内部控制整合框架,案例2-8：某公司内部控制检查评价办法附件汇总,2.1 内部控制整合框架,案例:2-9：南京银行2010年度内部控制评价报告与内部控制鉴证报告,2.1 内部控制整合框架,控制目标、控制要素与控制单元之间的关系（补充记录于P22）企业内部控制的五个要素都是为实现企业三个控制目标服务的企业各控制单元都要坚持三个控制目标企业各控制单元目标的实现都要从五个方面来进行控制,2.1 内部控制整合框架,各组织架构在内部控制中的角色和职责（P22）企业的每位员工都应担负内部控制的职责。管理层首席执行官负有最终的责任，其确定了“最高层的基调。董事会管理层向董事会负责，董事会提供治理、指导和监督。内部审计师内部审计师在评价、维护企业内控系统有效性方面起重要作用。其他人员从某种程度上说，内部控制是企业中每个人的职责，因此应成为每个人工作职责中明示或暗示的部分。,2.1 内部控制整合框架,COSO的贡献（P22）.1准确定位内部控制基本目标.2内控要素之间的整合体系.3内部控制对目标的实现仅仅提供的是合理保证.4内部控制是一个动态的过程.5强调人与环境的重要性.6糅合了管理与控制的界限,2.1 内部控制整合框架,案例:2-10：综合案例,2.1 内部控制整合框架,内部控制与内部审计,2004年9月COSO企业风险管理整合框架（Enterprise Risk ManagementIntegrated Framework）。,2.2 企业风险管理整合框架,企业风险管理框架的定义（P24）,一个由企业的董事会、管理层和其他员工(2)共同参与的，应用于企业战略制定(3)和企业内部各个层次和部门(4)的，用于识别可能对企业造成潜在影响的事项(5)并在其风险偏好范围内管理风险的，为企业目标(7)的实现提供合理保证(6)的过程(1)。Enterprise risk management is a process,effected by an entitys board of directors,management and other personnel,applied in strategy setting and across the enterprise,designed to identify potential events that may affect the entity,and manage risk to be within its risk appetite,to provide reasonable assurance regarding the achievement of entity objectives.,2.2 企业风险管理整合框架,2.3.1.1 A Process（一个过程，它持续地流动于主体之内）2.3.1.2 Effected by People（由组织中各个层级的人员实施）Applied in Setting Strategy（应用于战略制订）2.3.1.4 Applied in Setting Strategy（贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观）Risk Appetite（旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内）Provides Reasonable Assurance（能够向一个主体的管理当局和董事会提供合理保证）Achievement of Objectives（力求实现一个或多个不同类型但相互交叉的目标）,2.2 企业风险管理整合框架,企业风险管理的目标（P25）,战略 高层次目标，与使命相关联并支撑其使命经营有效和高效率地利用其资源报告报告的可靠性合规符合适用的法律和法规Strategic relating to high-level goals,aligned with and supporting the entitys mission Operations relating to effective and efficient use of the entitys resources Reporting relating to the reliability of the entitys reporting Compliance relating to the entitys compliance with applicable laws and regulations,2.2 企业风险管理整合框架,企业风险管理的要素（P26）,Internal Environment（内部环境）管理当局确立关于风险的理念，并确定风险容量。内部环境为主体中的人们如何看待风险和着手控制确立了基础。所有企业的核心都是人他们的个人品性，包括诚信、道德价值观和胜任能力以及经营所处的环境。,2.2 企业风险管理整合框架,风 险 要 素 Objective Setting（目标设定）：必须先有目标，管理当局才能识别影响它们的实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相一致。Event Identification（事项识别）：必须识别可能对主体产生影响的潜在事项。事项识别涉及到从影响目标实现的内部或外部原因中识别潜在的事项，它包括区分代表风险的事项和代表机会的事项，以及可能二者兼有的事项，机会被反馈到管理当局的战略或目标制订过程中。Risk Assessment（风险评估）：要对识别的风险进行分析，以便形成确定应该如何对它们进行管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。Risk Response（风险应对）：员工识别和评价可能的风险应对，包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相协调。,2.2 企业风险管理整合框架,Control Activities（控制活动）制订和实施政策与程序以帮助确保管理当局所选择的风险应对得以有效实施。Information and Communication（信息与沟通）相关的信息以确保员工履行其职责的方式和动机予以识别、获取和沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。员工获得有关他们的职能和责任的清晰的沟通。Monitoring（监控）对企业风险管理进行全面监控，必要时加以修正。通过这种方式，它能够动态地反应，根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的个别评价或者两者相结合来完成。,2.2 企业风险管理整合框架,董事会：对企业的风险管理负有监督职责 了解管理者在企业内部建立有效的风险管理的程度；获知并认可企业的风险偏好；复核企业的风险组合观并与企业的风险偏好相比较；评估企业最重要的风险并评估管理者的风险反应是否适当。企业的首席执行官：对企业的风险管理最终负责 企业的高层确定风险管理的基调，从而影响企业内部环境中的员工操守和价值观及其他因素。,各组织架构在企业风险管理中的地位和职责（补充，参阅P22）,2.2 企业风险管理整合框架,风险管理员：与企业内其他管理者一起，在各自的职责范围内建立并维护有效的风险管理框架。首席风险管理员也可以担当监督风险管理进度和帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责，并可以成为企业风险管理委员会的一员。内部审计人员：在风险管理的监控中占有重要的地位，这一职责作为其日常职责的一部分。其他员工：从某种程度上讲，风险管理是企业内每一个员工的责任。,2.2 企业风险管理整合框架,风险管理框架建立在内部控制框架的基础上，内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制框架的范围更为广泛，是对内部控制框架的扩展，是一个主要针对风险的更为明确的概念。,企业风险管理框架与内部控制框架的联系与区别,联系（补充于P26）,2.2 企业风险管理整合框架,区别（P26-27）,2.2 企业风险管理整合框架,增加一类目标战略目标，并扩大了报告目标的范畴提出两个新概念风险偏好（risk appetite）和风险容忍度（risk tolerances）。风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。风险容忍度是指在企业目标实现过程中对差异的可接受程度提出一个新观念风险组合观 增加了三个风险管理要素，对其他要素的分析更加深入，范围上也有所扩大。增加了目标制定、事项识别和风险反应三个要素。内部环境、风险评估、信息与沟通范围更大，分析更深入。,2.2 企业风险管理整合框架,内部控制与内部审计,安然事件是如何发生的2001年10月16日，安然公司公布该年度第三季度的财务报告，宣布公司亏损总计达6.18亿美元。2001年11月日，安然向美国证监会递交文件，承认存在财务舞弊：从1997年到2001年间共虚报利润5.86亿美元。2001年11月30日，安然股价跌至0.26美元(最高时达到90.56美元)，市值由峰值时的800亿元美元跌至亿美元。2002年12月日，安然公司正式向破产法院申请破产保护，成为当时美国历史上最大的破产企业。2002年月日，纽约证券交易所将安然公司股票从道琼斯工业平均指数成分股中除名，并停止交易。,安然事件（P35-36）,2.3 萨班斯奥克斯利法案对内部控制的要求,安然公司如何造假 安然复杂的企业结构。安然控股子公司的组织形式。安然的关联交易方式。安然的财务报表的问题。安然崩塌对美国经济的影响 安然的财务危机严重影响了美国乃至全球的股市。安然事件给汇市、债市、期市、金市带来很大影响。安然事件引发了一系列企业倒闭的连锁反应。安然的破产拖累了一批银行，首当其冲的是花旗银行和.摩根大通银行。,2.3 萨班斯奥克斯利法案对内部控制的要求,安然一案，主要罪行之一就是制造假账，通过关联企业形成“利润”，公司高管又暗抛股票进行内部交易。安然公司前任首席执行官斯基林就因此被裁犯有欺诈、共谋、内部交易等19项罪行，被重判24年又4个月徒刑。世界“五大”国际会计师事务所之一的安达信，由于为安然做假账，落得迅速解体的下场。花旗集团、摩根大通、美洲银行等也因涉嫌财务欺诈，向安然案中受害者分别支付了数十亿美元不等的赔偿金。对安然丑闻的“世纪之审”，可以概括为：在刑罚方面，主谋者皆深陷囹圄；在罚款方面，造假者皆倾家荡产；在追究关联企业方面，涉案者几乎无一漏网。,“世纪之审”-安然案件,2.3 萨班斯奥克斯利法案对内部控制的要求,2.4.1.5 美国如何应对安然事件 一是，2002年7月25日，美国国会通过了公众公司会计改革和投资者保护2002年法案。(又称萨班斯-奥克斯利法案，第一句话即为：“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。”）二是美国政府成立一个新的机构，既公众公司会计监管委员会来监管会计行业。（该委员会是一个非赢利公司法人，主要职责是：对为上市公司出具审计报告的会计师事务所进行备案；制定或采纳有关审计、质量控制、道德、独立性及其它标准；对备案的会计师事务所及相关人员进行检查、调查、惩戒。）,2.3 萨班斯奥克斯利法案对内部控制的要求,2.3 萨班斯奥克斯利法案对内部控制的要求,2.4.2 萨班斯奥克斯利法案对内部控制的要求（参阅教材P36-38）,萨班斯法案简介2001年12月，美国最大的能源公司安然公司,突然申请破产保护，此后，公司丑闻不断，规模也“屡创新高”,特别是2002年6月的世界通信会计丑闻事件，“彻底打击了（美国）投资者对（美国）资本市场的信心”。为了改变这一局面，美国国会和政府加速通过了萨班斯奥克斯利法案，其全称为2002年公众公司会计改革和投资者保护法案，由参议院银行委员会主席萨班斯（Paul Sarbanes）和众议院金融服务委员会（Committee on Financial Services）主席奥克斯利（Mike Oxley）联合提出。法案的第一句话就是遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。该法案对美国1933年证券法、1934年证券交易法做出大幅修订，在公司治理、会计职业监管、证券市场监管等方面作出了许多新的规定。,2.3 萨班斯奥克斯利法案对内部控制的要求,萨班斯-奥克斯利法案关键条款概要,2.3 萨班斯奥克斯利法案对内部控制的要求,2.3 萨班斯奥克斯利法案对内部控制的要求,萨班斯法案最重要的条款,404条款 明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。(P34)上市公司必须在年报中提供内部控制报告和内部控 制评价报告。上市公司的管理层需要对企业的内部控制系统作出评价。注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。,2.3 萨班斯奥克斯利法案对内部控制的要求,萨班斯法案对在美上市企业的影响从2006年7月15日起，所有在美上市企业，必须执行萨班斯法案。而该法案中最难操作、最复杂、成本最高的就是404条款的运用，包括完善内部控制。对公司治理的影响信息披露委员会的组建董事会实践的改变审计委员会实践的变化遵循萨班斯法案的合规成本FEI的调查结果（，217/224/321家）CRA International的调查结果（2004-2005，前1000名“四大”客户）,2.3 萨班斯奥克斯利法案对内部控制的要求,FEI的调查结果（，217/224/321家）Year One Costs of Sarbanes-Oxley Section 404 Compliance,2.3 萨班斯奥克斯利法案对内部控制的要求,2.3 萨班斯奥克斯利法案对内部控制的要求,CRA International的调查结果（2004-2005，前1000名“四大”客户）Smaller Company Cost Summary,Larger Company Cost Summary,2.3 萨班斯奥克斯利法案对内部控制的要求,2.3 萨班斯奥克斯利法案对内部控制的要求,高昂的执行成本令404条款备受诟病。很多公司抱怨说，这笔花费价值不大。另外一些公司选择了退市来表达不满和无奈。不少原计划赴美上市的海外公司也纷纷改变了上市地点。,当然，也有人对404条款表示了欢迎。这其中包括从404条款中获益匪浅的中介审计机构以及股权持有者们。他们推行404条款会带来一个前所未有的好光景。从长远来看，或许更多人会认同404条款对于美国资本市场健康发展的作用。毕竟，一旦发生公司丑闻，投资者的损失将远远超过公司目前付出的成本。,萨班斯法案对审计目标的影响财务审计的目标内部控制审计的目标,2.3 萨班斯奥克斯利法案对内部控制的要求,COSO委员会专门研究内部控制问题。1992年9月，COSO委员会发布内部控制整合框架,2004年9月颁布了企业风险管理整合框架内部控制是一个受到董事会、经理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率;财务报告的可靠性;法律法规的遵循性。内部控制的目标要素包括：控制环境、风险评估、控制活动、信息的沟通与交流、监控。企业风险管理的目标包括：战略目标、经营目标、报告目标、合法性目标。企业风险管理的要素包括：内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。萨班斯奥克斯利法案要求管理层要负责每年评价内部控制。,要点归纳,Thank You!,