【正文】 和首席財務(wù)官（ＣＦＯ）必須對公司財務(wù)報告的真實性負責并宣誓。其中，最為要害的就是第３０２號條款和第４０４號條款。一、《薩班斯—奧克斯利法案》的主要內(nèi)容 p29《薩班斯—奧克斯利法案》共分１１章。第四節(jié) 《薩班斯—奧克斯利法案》對內(nèi)部控制的影響美國參眾兩院在2002年迅速出臺并通過了《公眾公司會計改革與投資者保護法案》，即《薩班斯—奧克斯利法案》。各職能部門具有相對獨立性。概括起來，內(nèi)部控制的構(gòu)成內(nèi)容可從如下方面來考察：p2224（一）合規(guī)、合法性控制（二）授權(quán)、分權(quán)控制（三）不相容職務(wù)控制經(jīng)濟業(yè)務(wù)處理的分工。這些法令規(guī)定了企業(yè)的最低行為標準。二是財務(wù)報告目標（Financial Reporting）：與編制對外公布的財務(wù)報表的可靠性有關(guān)，包括防止對外公布財務(wù)報告的不實。在這份內(nèi)部控制報告中，要求管理層報告公司當前內(nèi)部控制的質(zhì)量，并要求負責財務(wù)報表審計的會計師事務(wù)所對內(nèi)部控制報告加以證實。（6）加強政府管制。由于信息透明度的增大，企業(yè)一旦發(fā)生欺詐行為、管理不善或違反法規(guī)、被處罰款，就會引起社會新聞媒介的廣泛關(guān)注，從而造成公司股票價格的劇烈波動，甚至給公眾留下公司“管理失控”的不良印象。在海外經(jīng)營的跨國企業(yè)會面臨不同于國內(nèi)的政治、經(jīng)濟、文化風險，由于交易活動的復(fù)雜性還會產(chǎn)生國際稅收、匯率波動等風險，這就要求企業(yè)專門設(shè)立管理這些風險的內(nèi)部控制。如果企業(yè)設(shè)有有效的內(nèi)部控制制度，則可以大大減少對企業(yè)的欺詐。近年來，企業(yè)發(fā)生的外部欺詐案件和內(nèi)部欺詐案件呈上升趨勢。如果企業(yè)設(shè)有能夠預(yù)防和發(fā)現(xiàn)違法行為的有效內(nèi)部控制制度，則可以大大降低對企業(yè)的責罰。（2）降低懲罰。企業(yè)面臨的潛在違規(guī)風險包括環(huán)境保護、職工安全等。第二節(jié) 內(nèi)部控制的概念、目標和內(nèi)容一、內(nèi)部控制的概念P18內(nèi)部控制可理解為：內(nèi)部控制是組織內(nèi)部的主體，為了保證經(jīng)濟資源的安全完整，確保經(jīng)濟信息的正確可靠，協(xié)調(diào)經(jīng)濟行為，控制經(jīng)濟活動，規(guī)避經(jīng)營風險，利用組織內(nèi)部因分工而產(chǎn)生的相互制約、相互聯(lián)系的關(guān)系，形成一系列具有控制職能的方法、措施、程序，并予以規(guī)范化、系統(tǒng)化，使之組成一個嚴密的、較為完整的體系。全面風險管理基本流程全面風險管理的基本流程包括：建立初始信息框架、風險評估、制定風險管理策略、提出和實施風險管理解決方案、風險管理的監(jiān)督與改進，在此過程中，信息與溝通貫穿始終。全面風險管理環(huán)境全面風險管理環(huán)境包括風險管理文化、風險管理組織體系、風險管理信息系統(tǒng)。全面風險管理目標全面風險管理的控制目標包括五個，分別是：戰(zhàn)略目標、報告目標、合規(guī)目標、經(jīng)營目標、減災(zāi)目標。《企業(yè)內(nèi)部控制審計指引》內(nèi)部控制審計是指會計師事務(wù)所接受委托，對特定基準日內(nèi)部控制設(shè)計和運行的有效性進行審計（二）國資委的《中央企業(yè)全面風險管理指引》2006年6月，國務(wù)院國資委根據(jù)《企業(yè)國有資產(chǎn)監(jiān)督管理暫行條例》（國務(wù)院令第378號）關(guān)于“國有及國有控股企業(yè)應(yīng)當加強內(nèi)部監(jiān)督和風險控制”的要求，出臺了《中央企業(yè)全面風險管理指引》，旨在進一步加強和完善國有資產(chǎn)監(jiān)管工作，深化國有企業(yè)改革，加強風險管理，促進企業(yè)持續(xù)、穩(wěn)定、健康發(fā)展。其中，內(nèi)部環(huán)境類指引包括組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、社會責任、企業(yè)文化5個指引；控制活動類指引包括資金活動、采購業(yè)務(wù)、資產(chǎn)管理、銷售業(yè)務(wù)、研究與開發(fā)、工程項目、擔保業(yè)務(wù)、業(yè)務(wù)外包、財務(wù)報告9個指引；控制手段類指引包括全面預(yù)算、合同管理、內(nèi)部信息傳遞、信息系統(tǒng)4個指引?！镀髽I(yè)內(nèi)部控制應(yīng)用指引》由18項具體應(yīng)用指引組成，具體包括的內(nèi)容：已發(fā)布的針對企業(yè)具體業(yè)務(wù)或事項的18項應(yīng)用指引，內(nèi)容涵蓋組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、社會責任、企業(yè)文化、資金活動、采購業(yè)務(wù)、資產(chǎn)管理、銷售業(yè)務(wù)、研究與開發(fā)、工程項目、擔保業(yè)務(wù)、業(yè)務(wù)外包、財務(wù)報告、全面預(yù)算、合同管理、內(nèi)部信息傳遞和信息系統(tǒng)等企業(yè)最常見、最基本、迫切需要加強控制的環(huán)節(jié)和領(lǐng)域。（一）五部委的《企業(yè)內(nèi)部控制基本規(guī)范》及《配套指引》p13《企業(yè)內(nèi)部控制基本規(guī)范》根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》，企業(yè)建立內(nèi)部控制應(yīng)當包括五個要素：內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督。提出一個新的觀念——風險組合觀（An Entity—Level Portfolio View of Risk）增加一類目標——戰(zhàn)略目標，并擴大了報告目標的范疇針對風險度量提出兩個新概念——風險偏好（Risk Appetite）和風險容忍度（Risk Tolerances）增加了三個風險管理要素，擴大了相關(guān)要素的范圍企業(yè)風險管理框架新增了三個風險管理要素——“目標制定”、“事項識別”和“風險反應(yīng)”。（六）內(nèi)部控制整體框架——風險管理階段企業(yè)風險管理包括八個相互關(guān)聯(lián)的要素，各要素貫穿在企業(yè)的管理過程之中。指出內(nèi)部控制只能做到“合理”保證。要求管理層關(guān)注企業(yè)各層次的風險。指明內(nèi)部控制是一個循環(huán)往復(fù)的過程。體現(xiàn)在：p7明確制定與實施內(nèi)部控制的“責任”。它認為內(nèi)部控制整體架構(gòu)主要由控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督五項要素構(gòu)成。內(nèi)部牽制是基于以下兩個基本設(shè)想：（1）兩個或以上的人或部門無意識地犯同樣錯誤的機會是很小的；（2）兩個或以上的人或部門有意識地合伙舞弊的可能性大大低于單獨一個人或部門舞弊的可能性。定期將明細賬與總賬進行核對。采用雙重控制預(yù)防錯誤和舞弊的發(fā)生。例如，保險柜的大門若非按正確程序操作就打不開。非同時使用這兩把以上的鑰匙，保險柜就打不開。企業(yè)內(nèi)部控制與風險管理（第二版）第一章 內(nèi)部控制概論第一節(jié) 內(nèi)部控制的產(chǎn)生和發(fā)展一、國外內(nèi)部控制的發(fā)展歷程p313（一）內(nèi)部牽制階段一般來說，內(nèi)部牽制的執(zhí)行大致可分為以下四類：一是實物牽制。例如把保險柜的鑰匙交給兩個以上的工作人員持有。二是機械牽制。三是體制牽制。四是簿記牽制。在現(xiàn)代內(nèi)部控制理論中，內(nèi)部牽制仍占有重要地位，成為有關(guān)組織機構(gòu)控制和職務(wù)分離控制的基礎(chǔ)。（二）內(nèi)部控制階段（三）管理控制和會計控制階段（四）內(nèi)部控制結(jié)構(gòu)階段（五）內(nèi)部控制整體框架階段進入２０世紀９０年代后，人們對會計控制的研究進入了一個全新的階段。同以往的內(nèi)部控制理論及研究成果相比，COSO報告提出了許多新的、有價值的觀點。指明內(nèi)部控制應(yīng)與經(jīng)營管理相結(jié)合。強調(diào)思想、觀念更新的重要性。指明內(nèi)部控制的分類及目標。強調(diào)要考慮成本與效益原則。內(nèi)部環(huán)境目標制定事項識別風險評估風險反應(yīng)控制活動信息和溝通監(jiān)控相對于內(nèi)部控制框架而言，新的COSO報告新增加了一個觀念、一個目標、兩個概念和三個要素，即“風險組合觀”、“戰(zhàn)略目標”、“風險偏好”和“風險容忍度”的概念以及“目標制定”、“事項識別”和“風險反應(yīng)”要素。二、中國內(nèi)部控制與風險管理的發(fā)展1999年修訂的《中華人民共和國會計法》，第一次以法律形式對建立健全內(nèi)部控制提出了原則要求，財政部隨即連續(xù)制定發(fā)布了包括《內(nèi)部會計控制規(guī)范——基本規(guī)范》在內(nèi)的七項內(nèi)部會計控制規(guī)范?！镀髽I(yè)內(nèi)部控制應(yīng)用指引》《企業(yè)內(nèi)部控制應(yīng)用指引》在企業(yè)內(nèi)部控制規(guī)范體系中處于主體地位?！镀髽I(yè)內(nèi)部控制應(yīng)用指引》可以劃分為三類，即內(nèi)部環(huán)境類指引、控制活動類指引、控制手段類指引，基本涵蓋了企業(yè)資金流、實物流、人力流和信息流等各項業(yè)務(wù)和事項?！镀髽I(yè)內(nèi)部控制評價指引》內(nèi)部控制評價是企業(yè)內(nèi)部控制中非常重要的一環(huán)?！吨醒肫髽I(yè)全面風險管理指引》對全面風險管理的定義是：圍繞企業(yè)總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的全面風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理組織體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理總體目標提供合理保證的過程和方法。戰(zhàn)略目標是確保將風險控制在與總體目標相適應(yīng)并可承受的范圍內(nèi)；報告目標是確保內(nèi)外部，尤其是企業(yè)與股東之間實現(xiàn)真實、可靠的信息溝通，包括編制和提供真實、可靠的財務(wù)報告；合規(guī)目標是指企業(yè)應(yīng)當遵守有關(guān)法律法規(guī)；經(jīng)營目標是確保企業(yè)有關(guān)規(guī)章制度和為實現(xiàn)經(jīng)營目標而采取重大措施的貫徹執(zhí)行，保障經(jīng)營管理的有效性，提高經(jīng)營活動的效率和效果，降低實現(xiàn)經(jīng)營目標的不確定性；減災(zāi)目標是確保企業(yè)建立各項重大風險發(fā)生后的危機處理計劃，保護企業(yè)不因災(zāi)害性風險或人為失誤而遭受重大損失。其中，風險管理文化包括對員工進行風險態(tài)度、行為的宣導(dǎo)，進一步深化風險管理“一把手負責制”，建立符合公司戰(zhàn)略目標的風險偏好，完善公司風險政策，以增強企業(yè)全員的風險意識；風險管理組織體系由三道風險管理防線組成，第一道是業(yè)務(wù)職能部門，第二道是風險管理職能部門，第三道是內(nèi)部審計部門和董事會下設(shè)的審計委員會；風險管理信息系統(tǒng)是對風險管理體系設(shè)計方法和結(jié)果進行固化和標準化，并實現(xiàn)對風險的事前、事中和事后控制，以及對風險管理體系的運行績效和有效性進行監(jiān)督檢查及改善。（三）銀監(jiān)會的《商業(yè)銀行內(nèi)部控制指引》商業(yè)銀行內(nèi)部控制的目標包含以下幾點：一是確保國家法律規(guī)定和商業(yè)銀行內(nèi)部規(guī)章制度的貫徹執(zhí)行；二是確保商業(yè)銀行發(fā)展戰(zhàn)略和經(jīng)營目標的全面實施和充分實現(xiàn)；三是確保風險管理體系的有效性；四是確保業(yè)務(wù)記錄、財務(wù)信息和其他管理信息的及時、真實和完整。二、建立內(nèi)部控制的必要性p19（一）科學(xué)管理的要求（二）法律、法規(guī)的要求（三）成本—效益原則的要求P20客觀上要求企業(yè)加強內(nèi)部控制的因素有：（1）避免違規(guī)。如果企業(yè)事先設(shè)置了這相關(guān)內(nèi)部控制程序，可能就會避免這種損失。有些法律在對企業(yè)犯罪量刑時，依據(jù)犯罪的嚴重程度與企業(yè)內(nèi)部控制的有效程度來決定對企業(yè)的懲罰。（3）減少欺詐。在這些發(fā)生內(nèi)、外部欺詐的公司中，內(nèi)部控制薄弱是其共同特征。（4）管理跨國公司風險。（5）樹立良好社會形象。內(nèi)部控制有助于預(yù)防此類問題的發(fā)生，并且在問題發(fā)生時能夠提供與新聞界妥善處理的補救程序。2001年美國Enron公司及之后的一系列公司財務(wù)舞弊案件，引致了2002年《薩班斯—奧克斯利法案》公布實施，其中第404號條款要求在美國證券交易委員會（SEC）備案的上市公司必須提交年度內(nèi)部控制報告，作為向SEC提交的財務(wù)報告的組成部分。三、內(nèi)部控制的目標1992年COSO報告在得到各界普遍認可的內(nèi)部控制概念中提出的目標有三大類：一種是營運目標（Operations）：與企業(yè)資源使用的效率和效果有關(guān)，包括績效和獲利目標，以及保障資產(chǎn)的安全，使其免受損失。三是遵循目標（Compliance）：與企業(yè)遵循相關(guān)法律法規(guī)有關(guān)，它們受外界因素，如環(huán)境保護法等影響。下面從COSO內(nèi)部控制目標的三個方面分別討論：運營的效果和效率財務(wù)報告的可靠性符合相關(guān)的法律和法規(guī)2008年中國財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，提出內(nèi)部控制的目標主要包括：p21確保企業(yè)戰(zhàn)略的實現(xiàn)運營的效果和效率財務(wù)報告的可靠性資產(chǎn)的安全、完整符合相關(guān)的法律和法規(guī)四、內(nèi)部控制的內(nèi)容由于每個單位的性質(zhì)、業(yè)務(wù)、規(guī)模等方面不同，內(nèi)部控制系統(tǒng)的具體內(nèi)容也不盡相同。資產(chǎn)記錄與保管的分工。（四）業(yè)務(wù)程序標準化控制（五）復(fù)查核對控制（六）人員素質(zhì)控制第三節(jié) 計算機環(huán)境下的內(nèi)部控制二、計算機環(huán)境下的內(nèi)部控制p2528計算機系統(tǒng)的內(nèi)部控制制度，從計算機會計系統(tǒng)的建立和運行過程來看，可分為對系統(tǒng)開發(fā)和實施的系統(tǒng)發(fā)展控制、對計算機會計系統(tǒng)各個部門的管理控制、對計算機會計系統(tǒng)日常運行過程的日?？刂?。該法案對1933年證券法和1934年證券交易法進行了大幅修訂，被認為是美國自20世紀30年代經(jīng)濟大蕭條以來涉及范圍最廣、處罰措施最嚴厲、影響力最大的上市公司法案。與美國已有的證券法規(guī)相比，《薩班斯—奧克斯利法案》突出了以下內(nèi)容：設(shè)立獨立的上市公司會計監(jiān)管委員會，負責監(jiān)管執(zhí)行上市公司審計的會計師事務(wù)所；特別加強執(zhí)行審計的會計師事務(wù)所的獨立性；特別強化了公司治理結(jié)構(gòu)并明確了公司的財務(wù)報告責任及大幅增強了公司的財務(wù)披露義務(wù)；大幅加重了對公司管理層違法行為的處罰措施；增加經(jīng)費撥款，強化美國證券交易委員會ＳＥＣ的預(yù)算以及職能。第３０２號條款主要是強調(diào)上市公司財務(wù)報告的真實性。第４０４號條款是《薩班斯—奧克斯利法案》中最難操作、最復(fù)雜的一個條款。內(nèi)部控制活動的記錄不僅要細化到像產(chǎn)品付款時間這樣的細節(jié)，而且對重大缺陷都要予以披露。它涵蓋企業(yè)運營的各個領(lǐng)域，一旦投入實施，必將引起整個企業(yè)控管流程的改變。二、《薩班斯—奧克斯利法案》對內(nèi)部控制的影響對于許多企業(yè)而言，《薩班斯—奧克斯利法案》要求建立嚴密內(nèi)部控制的高昂成本已經(jīng)超出了它們所能承受的范圍，因此，退出資本市場無疑成為最明智的選擇。《薩班斯—奧克斯利法案》的產(chǎn)生將使得中國內(nèi)地在美上市企業(yè)受到以下沖擊：第一也是最重要的沖擊是，中國企業(yè)在美上市的維持成本將大幅升高。因此，這些企業(yè)還有兩點需要注意：一是充分保持審計委員會的獨立性、賦予審計委員會真正的權(quán)利，讓審計委員會充分發(fā)揮在內(nèi)控體系中的重要作用；二是延攬熟悉美國證券法律，特別是《薩班斯—奧克斯利法案》的專業(yè)人才，積累在美應(yīng)訴的寶貴經(jīng)驗，為將來的潛在訴訟做好應(yīng)對準備。第五節(jié) 內(nèi)部控制促進企業(yè)發(fā)展案例第二章 內(nèi)部控制設(shè)計第一節(jié) 財務(wù)報告內(nèi)部控制一、內(nèi)部控制對財務(wù)報告的影響從經(jīng)濟業(yè)務(wù)的發(fā)生到形成賬簿、報表需要一系列的控制活動由此可見，業(yè)務(wù)控制程序和活動并不是單獨存在的，而是滲透于生產(chǎn)經(jīng)營管理活動中。無論哪一個控制環(huán)節(jié)出現(xiàn)問題，都可能會產(chǎn)生記錄核算錯誤或者給不法分子以可乘之機，誘發(fā)舞弊，造成虛假的財務(wù)報告。要使業(yè)務(wù)控制程序和活動能夠得到有效執(zhí)行以保證會計信息的真實可靠，離不開組織結(jié)構(gòu)的好壞和人員素質(zhì)的高低。根據(jù)SEC 2003年6月正式發(fā)布的最終規(guī)則中的定義，財務(wù)報告內(nèi)部控制是指由公司的首席執(zhí)行官、首席財務(wù)官或者公司行使類似職權(quán)的人員設(shè)計或監(jiān)管的，受到公司的董事會、管理層和其他人員影響的，為財務(wù)報告的可靠性和滿足外部使用的財務(wù)報