【正文】 控制體系 （一）內(nèi)部環(huán)境 《 公司法 》 、 《 證券法 》 等法律法規(guī)要求，公司擁有較為完善的法人治理結(jié)構(gòu)。奧克斯利法案 （ SarbanesOxley Act) ? 所有在美國上市的公司均需遵行 ? 強調(diào)外部會計師的獨立性 ? 關(guān)注公司內(nèi)部治理及對外信息透明、完整與正確性 ? 以強化內(nèi)部控制為核心的要求 外部壓力－法案的強制性 CIA后續(xù)教育 36 ? 美國的薩班斯 CIA后續(xù)教育 27 20世紀(jì) 90年代 —— 風(fēng)險管理取代內(nèi)部控制 ? 企業(yè)兼并重組實行多樣化經(jīng)營，進入了眾多以前未涉及的領(lǐng)域； ? 實施國際化發(fā)展戰(zhàn)略，控制鏈大大延長； ? 信息技術(shù)在經(jīng)營管理中廣泛應(yīng)用導(dǎo)致計算機犯罪增加。 COSO的五大成員機構(gòu)如下： ——美國注冊會計師協(xié)會（ AICPA） ——美國會計師學(xué)會 （ AAA） ——美國財務(wù)執(zhí)行官協(xié)會（ FEI） ——國際內(nèi)部審計師協(xié)會（ IIA） ——美國管理會計師協(xié)會（ IMA） CIA后續(xù)教育 23 ? 《 2022年上市公司會計改革和投資者保護法案 》(“Sarbanes 0xley Act”, SOX ）亦稱 《 薩班斯 奧克斯利法案 》 (簡稱 《 薩 ?奧法案 》 )。 CIA后續(xù)教育 20 與內(nèi)部控制立法相關(guān)的歷史事件 ? 1977年 美國國會通過了 《 反海外賄賂行為法 》 。 (公司治理 ?) CIA后續(xù)教育 15 內(nèi)部控制定義、目標(biāo)和要素 ? 定義： 內(nèi)部控制是由董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標(biāo)的過程。這類指南 不具有強制性 ，而是為滿足強制性指南的要求提供一系列適用的解決方案。 《 標(biāo)準(zhǔn) 》 中用 “ 必須 ” 特指無條件的強制性要求。這部分內(nèi)容在范圍上己經(jīng)縮減為只包括用于實施 “ 內(nèi)部審計定義 ” 、 《 職業(yè)道德規(guī)范 》 和 《 標(biāo)準(zhǔn) 》 的技術(shù)和方法。盡管并非每三年都需要進行修改 IIA仍致力于確保對標(biāo)準(zhǔn)作全面的審核，并視需要進行修訂。 CIA后續(xù)教育 3 國際內(nèi)部審計實務(wù)標(biāo)準(zhǔn)框架 （ IPPF） CIA后續(xù)教育 4 CIA后續(xù)教育 5 新版 IPPF所作的重大改變是： (1)程序改進。 (3)釋義。立場公告表明 IIA關(guān)于內(nèi)部審計在特定事項中的角色及職責(zé)所持的立場或觀點。 強制性指南適用于提供內(nèi)部審計服務(wù)的個人或機構(gòu)。 CIA后續(xù)教育 11 誰對內(nèi)部控制系統(tǒng)負責(zé) ? ?最高管理層負有對內(nèi)部控制系統(tǒng)的組織實施的責(zé)任； ?董事會負有監(jiān)督責(zé)任； ?外部和內(nèi)部審計師負有評估內(nèi)部控制有效性的責(zé)任； ?誰擔(dān)當(dāng)設(shè)計和實施內(nèi)部控制的重任？ CIA后續(xù)教育 12 二、我國 《 企業(yè)內(nèi)部控制基本規(guī)范 》 CIA后續(xù)教育 13 《 企業(yè)內(nèi)部控制基本規(guī)范 》 ? 2022年 6月，在借鑒和吸收國際監(jiān)管新理念的背景下，我國財政部、審計署、證監(jiān)會、銀監(jiān)會和保監(jiān)會五部委聯(lián)合印發(fā)了 《 企業(yè)內(nèi)部控制基本規(guī)范 》 （財會[2022]7號）。 CIA后續(xù)教育 17 實施難度和主要問題 （ 1）政出多門，標(biāo)準(zhǔn)要求不統(tǒng)一； （ 2）企業(yè)無所適從，缺乏內(nèi)在動力； （ 3）實施內(nèi)部控制的成本巨大； （ 4）缺乏內(nèi)部控制系統(tǒng)設(shè)計、執(zhí)行和評估 的專業(yè)人才； （ 5）未能將內(nèi)控合規(guī)性成本轉(zhuǎn)化為增強企 業(yè)核心競爭力的優(yōu)勢。 ? 1992年， COSO 在 《 內(nèi)部控制 ——整合框架 》 中提出了內(nèi)部控制報告的框架，規(guī)定內(nèi)部控制報告應(yīng)著重說明 控制系統(tǒng)的有效性 。從 1991年開始，世界許多大公司開始了兼并、重組和公司治理的過程，企業(yè)面臨的風(fēng)險普遍增大。 CIA后續(xù)教育 30 CIA后續(xù)教育 31 風(fēng)險管理框架 戰(zhàn) 略 目 標(biāo) 經(jīng) 營 目 標(biāo) 報 告 合 法 目 目 標(biāo) 標(biāo) 目標(biāo)制定 事項識別 風(fēng)險評估 風(fēng)險反應(yīng) 控制活動 信息溝通 監(jiān)控 公司 部門 業(yè)務(wù) 子公司等分支機構(gòu) 內(nèi)部環(huán)境 CIA后續(xù)教育 32 八要素與五要素關(guān)系 內(nèi)部環(huán)境 目標(biāo)制定 事項識別 風(fēng)險評估 風(fēng)險反應(yīng) 控制活動 信息溝通 監(jiān)控 內(nèi)部環(huán)境 風(fēng)險評估 控制活動 信息溝通 監(jiān)控 CIA后續(xù)教育 33 要素 五要素及其相互關(guān)系 監(jiān)控 控制活動 風(fēng) 險 評 估 內(nèi)部環(huán)境 信 息 溝 通 信 息 溝 通 基礎(chǔ) 手段 保證 載體 依據(jù) CIA后續(xù)教育 34 ?薩班斯 因此，整個集團的共同參與對亍項目的成功至關(guān)重要。審計人員獨立行使審計職權(quán)，每季度對公司財務(wù)收支和經(jīng)濟活動進行內(nèi)部審計監(jiān)督檢查，并出具報告，以確保公司經(jīng)營安全。 CIA后續(xù)教育 57 2．控制措施 責(zé)任分工控制： 公司高管間的責(zé)任明確，各部門都有詳盡的崗位職責(zé)。 (2)募集資金的內(nèi)部控制。從信息披露機構(gòu)和人員、信息的收集、報告、流轉(zhuǎn)、審核、披露程序、保密措施、信息披露監(jiān)督、責(zé)任追究等方面作了詳細規(guī)定。 CIA后續(xù)教育 63 (四 )內(nèi)部監(jiān)督 公司設(shè)有監(jiān)事會，對股東大會負責(zé)。 (二 )繼續(xù)加強對相關(guān)知識的學(xué)習(xí)加強公司董事、監(jiān)事、高級管理人員和業(yè)務(wù)人員對 《 公司法 》 、 《 證券法 》 以及與公司經(jīng)營和證券管理相關(guān)的法律、法規(guī)的學(xué)習(xí)，不斷提高風(fēng)險管理意識。持續(xù)改進的最好方法可以用 PDCA循環(huán)予以說明，該方法在 20世紀(jì) 30年代由貝爾系統(tǒng)的史瓦特 (Shewhart)博士所開發(fā)。 CIA后續(xù)教育 73 ? 檢查 (C)：檢查結(jié)果 ——盡可能做到經(jīng)常檢查，以確定工作是否正在依照計劃進行，是否能夠獲得預(yù)期的結(jié)果。有時，過于關(guān)注目前的問題會限制實現(xiàn)最佳結(jié)果的能力。在一個組織中，不同層級的管理部門自然地將會有不同的內(nèi)部控制職責(zé)。 CIA后續(xù)教育 82 財務(wù)主管 財務(wù)主管及其職員負責(zé)的監(jiān)控具有特別重要的意義，他們的活動最直接地貫穿整個企業(yè)的各個經(jīng)營單位。董事會負責(zé)對內(nèi)部控制整個系統(tǒng)進行監(jiān)督。從以下兩個觀點來看這是正確的： 首先，所有員工在實現(xiàn)控制目標(biāo)方面都發(fā)揮一定的作用。獨立審計師帶給管理層和董事會一種獨立的和客觀的意見，可以幫助組織實現(xiàn)其財務(wù)報告的責(zé)任。然而，政府機構(gòu)把更多的重點放在內(nèi)部會計控制而不是控制措施的其他類型 (參見首席財務(wù)官對內(nèi)部會計控制的討論 )。職員也具有控制工作流程和他們生產(chǎn)的產(chǎn)品的職能。 CIA后續(xù)教育 100 這 10個最高屬性的簡短描述如下： (1)行為守則政策 ——管理層對行為的定義，所有的員工，包括執(zhí)行管理層應(yīng)當(dāng)證實履行了他們的日常職責(zé)。例如，某個人的一般授權(quán)是，可以花費 100 美元購買有助于日常工作的雜志和刊物。 在實現(xiàn)愿景方面，組織需要建立其希望融合到日常操作程序中的價值 觀。該指南的描述如下： 組織結(jié)構(gòu)應(yīng)當(dāng)既不能太簡單，以至于無法適當(dāng)?shù)乇O(jiān)督企業(yè)的活動，也不能太復(fù)雜，以至于禁止必要的信息流。 CIA后續(xù)教育 110 ?報告關(guān)系應(yīng)當(dāng)是適當(dāng)?shù)摹?” 這些因素對維護適當(dāng)?shù)膬?nèi)部控制環(huán)境特別重要。 CIA后續(xù)教育 115 組織的每一層級需要清楚理解被委派的權(quán)限與責(zé)任，以及他們與組織中其他人的關(guān)系。 CIA后續(xù)教育 117 大多數(shù)公司考慮的授權(quán)類型是獲得管理層執(zhí)行以下交易事項的一般授權(quán)： ?批準(zhǔn)年度經(jīng)營計劃； ?批準(zhǔn)年度經(jīng)營預(yù)算； ?批準(zhǔn)崗位說明和組織結(jié)構(gòu)圖表； ?企業(yè)和部門經(jīng)核準(zhǔn)的政策和程序手冊； ?管理層提出誰負責(zé)特定資產(chǎn)的書面政策說明； ?管理層提出可以委派誰處理貨幣限制的書面政策說明； ?為每一類資產(chǎn)制定的控制目標(biāo)； ?審批的層次； ?書面政策聲明的授權(quán)層次； ?薪金程序。比較與分析也是評價業(yè)績的一種方法，有助于為交易事項按照管理層的授權(quán)運行提供合理保證，并且有助于在公司所有層級樹立一種負責(zé)任的態(tài)度。因此，內(nèi)部審計職能可以向管理層提供內(nèi)部控制的廣泛目標(biāo)正在被實現(xiàn)的保證。 內(nèi)部審計章程概述其責(zé)任是對高級管理層和 /或董事會負責(zé)。現(xiàn)金是所有資產(chǎn)中流動性最大的資產(chǎn)，最容易遭受私吞和濫用，而像房屋建筑物這樣的固定資產(chǎn)最不容易受到貪污的影響。注意：可信賴的員工通常使用特別的姓名中間的首字母方式與被保護姓名的文件結(jié)合在一起； ?開發(fā)災(zāi)難恢復(fù)計劃，包括萬一資產(chǎn)損失發(fā)生時應(yīng)遵循的程序。如果 某些慣例被發(fā)現(xiàn)是運行工作的最佳方法，為了要保證良好的習(xí)慣做法繼 續(xù)下去，人們將這些習(xí)慣做法轉(zhuǎn)化為績效控制措施 (例如，標(biāo)準(zhǔn)、指導(dǎo)方 針等 )。這種腐蝕是由于該計劃和系統(tǒng)無法改變商務(wù)需求。控制環(huán)境涉及公司從上到下所有員工。 管理層的 “ 高層基調(diào) ” CIA后續(xù)教育 129 作為環(huán)境控制的組織結(jié)構(gòu) 一個公司的組織結(jié)構(gòu)提供其運營的計劃編制、指揮和控制的總體框架。 CIA后續(xù)教育 131 計劃編制是預(yù)定組織將采取什么行動的過程。因此，作為企業(yè)的收購、開設(shè)新的設(shè)施、擴張或縮減業(yè)務(wù)范圍等的計劃編制，應(yīng)當(dāng)包括對企業(yè)這些重大變化方面內(nèi)部控制影響的考慮。這些判斷，當(dāng)它們與控制測試有關(guān)時，應(yīng)當(dāng)識別需要更仔細檢查的交易事項和特別關(guān)注的系統(tǒng)或領(lǐng)域。書面程序和應(yīng)用控制對主管指定的愿望和方向來說是第二位的，因為幾乎沒有人會設(shè)法規(guī)避他們的指令。 現(xiàn)實的控制必須考慮成本效益。 CIA后續(xù)教育 139 運營職責(zé)與財務(wù)記錄職責(zé)分離 如果讓組織的每個部門或處室自己編制記錄和報告，其結(jié)果勢必會造成明顯的篡改業(yè)績。通常，理想的。這可能包括： ?管理層己經(jīng)授權(quán)什么任務(wù)？ ?如何溝通這些任務(wù)？ ?如何分離員工的任務(wù)，以便在控制使用和保護資產(chǎn)方面提供核查？ ?如何監(jiān)控遵守管理層的授權(quán)？ CIA后續(xù)教育 138 控制環(huán)境中職責(zé)分離 員工的任務(wù)與職責(zé)分離是一種制度安排，有助于檢查某一員工的工作；它是一種內(nèi)在的制衡機制，將保管職能從一開始就與會計職責(zé)分離，它具有下列特征： ?員工履行其職責(zé)的勝任能力和可信賴度； ?保存記錄政策的適當(dāng)性； ?對記錄和資產(chǎn)的物理控制和使用控制，記錄的目的是控制。 CIA后續(xù)教育 135 監(jiān)督控制的職責(zé) 組織使用內(nèi)部控制實現(xiàn)下列目標(biāo)： ?保護資產(chǎn)和確保組織負債的適當(dāng)性； ?按照會計系統(tǒng)產(chǎn)生信息的準(zhǔn)確性、可靠性和公正性確保會計事項的適當(dāng)性； ?確保獲得必需的資源，并在實現(xiàn)組織目標(biāo)的過程中有效率和有效果地使用這些資源； ?維護和堅持管理政策。專業(yè)審計文獻指出，遵循會計控制目標(biāo)在很大程度上依賴于人員的勝任能力和正直性、他們被指定職能的獨立性和對規(guī)定程序的理解。 計劃成為組織運營活動的依據(jù)。它包括決定企業(yè)應(yīng)當(dāng)進入或終止的業(yè)務(wù)范圍、產(chǎn)能計劃、長期的人事聘用計劃，等等。一個有效的組織結(jié)構(gòu)應(yīng)當(dāng)將委派職責(zé)方面的差距和重復(fù)降低到最少。 管理層通過履行管理職責(zé) 組織、計劃、指導(dǎo)和控制，創(chuàng)建一個強有力的控制環(huán)境。 CIA后續(xù)教育 127 管理層有責(zé)任建立控制環(huán)境。例如，退休養(yǎng)老金計劃應(yīng)當(dāng)被設(shè)計成保留和獎賞好的員工；計算機系統(tǒng)應(yīng)當(dāng)以及時的方式為用戶提供所需的信息；廣告宣傳計劃應(yīng)當(dāng)有利于銷售產(chǎn)品，銷售網(wǎng)點設(shè)施的設(shè)計就應(yīng)當(dāng)滿足生產(chǎn)和營業(yè)部門的需要。 治理績效的控制措施有許多內(nèi)容，包括： ?標(biāo)準(zhǔn) (Standards)； ?指導(dǎo)方針、指南 (Guidelines) ?程序 (Procedures)； ?經(jīng)營手冊 (Operating manuals)； ?工作方案 (Work programs)； ?績效 (業(yè)績 )審查 (Performance reviews)； ?系統(tǒng)分析 (System analysis)； ?人事審查 (Personnelrev； ews )。 CIA后續(xù)教育 122 資產(chǎn)的實物保護可以通過以下不同的程序予以完成： ?在保險箱、銀行保險柜等安全地方存放可轉(zhuǎn)讓單據(jù)； ?通過使用柵欄、上鎖區(qū)域、房屋建筑物、公文箱等措施來限制使用財產(chǎn)； ?通過安排保安或監(jiān)督檢查，將使用資產(chǎn)的權(quán)利限制在經(jīng)過授權(quán)人員； ?在不具備上述保護措施的地點，對重要公文、文件和記錄保留有復(fù)印的副本； ?在多個區(qū)域中分放資產(chǎn)，反對將所有資產(chǎn)存放在一個地點； ?將重要的資產(chǎn)，例如，貴重金屬、證券和現(xiàn)金存儲在極為牢固的防火的保管庫中； ?佩戴徽章以識別經(jīng)過授權(quán)的員工； ?保護資產(chǎn)，通過適當(dāng)存放使資產(chǎn)避免受風(fēng)、雷、雨等自然因素影響而變質(zhì)。只有經(jīng)過授權(quán)的人員才能使用那些資產(chǎn)。 一個有效的內(nèi)部審計部門將協(xié)助管理層