企业内部控制

萨班斯－奥克斯利法案（SOX）概述
SOX法案又称《2002年公众公司会计改革和投资者保护法》，该法案颁布的背景是源于安然、世通等美国企业巨头会计丑闻事件的曝光。

这一系列公司假账丑闻暴露出诸多上市公司治理结构不平衡和外部监督缺失，为了改变这一局面，美国国会和政府加速通过了SOX法案。

该法案要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告；要求企业针对产生财务交易的所有作业流程，都做到透明化、可控制、有效风险管理和欺诈防治，并且这些流程必须详细记录，乃至到可追查交易源头。

SOX Recap(SOX 重点)
Corporate governance(公司监管)
Financial reporting(财务报表)
Executive conduct(高管行为)
Internal controls(内部控制)
法案之主要内容
●第302节公司对财务报告的责任
- 要求公司首要官员及首要财务官在季度/年度报告中保证
- 对信息披露的控制和程序负责（含刑事责任）
- 设计必要的内部控制手段并确保其执行可使高层及时获得重要信息
- 对披露控制的有效性进行评估，评估结果需存档
- 不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为
- 存档描述内部控制的重大变化
- 介绍信息披露的控制和程序
- 强调财务人员的正直和财务报告系统控制的完整性
- 需披露的非财务信息包括：重要合同的签署，战略合作关系的解除以及法律诉讼
- 美国证券管理委员会要求
- 扩大信息披露的控制和财务报告系统内部控制程序的认证
- 将内控评估日改为财务报告截止日
●第404节管理层对内部控制的评价
- 要求公司管理层在年度报告中：
- 描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任
- 对财务报告系统内部控制有效性以一个公认架构进行评估（例如COSO内控架构）
- 同时要求外部审计人员：
- 对管理层评估结果进行签证
- 美国证券管理委员会要求
- 扩大信息披露的控制和财务报告系统内部控制程序的认证
- 将内控评估日改为财务报告截止日
管理层在内部控制中的地位和作用
内部控制的主体:管理层（承担的职责是计划、组织、领导其组织的活动，即对组织的内部控制负责）
内部审计对管理层组织的内部控制进行监督，以协助管理层有效地履行他们的职责。

管理层的工作
明确应检测的控制领域
评估控制设计方案的有效性
检测和记录控制操作的有效性
评估内控缺陷，采取补救措施和对整体有效性进行总结
向审计委员会和审计师传达各种发现
记录评估内控的流程
什么是内部控制
●内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序。

●COSO报告（1992）指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效
果和效率以及现行法规的遵循。

它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。

COSO是指美国反对虚假财务报告委员会所属的内部控制专门研究委员会——发起机构委员会（Committee of Sponsoring Organizations of the Treadway Commission，简称COSO）它包括美国注册会计师协会，内部审师协会，财务经理协会，美国会计学会，管理会计协会。

企业风险管理的要素（COSO风险管理框架把风险管理的要素分为八个）
内部环境(internal environment)
内部环境包含了一个组织的气氛，形成一个组织对风险看法的基础，并且通过组织中的人表现出来。

内部环境主要包括：风险管理哲学和风险偏好；员工诚实性和道德观；以及企业经营环境。

内部环境确认了所有可能发生的预期和未预期的事项。

内部环境要素确立了企业的风险文化。

目标设立(Objective Setting)
在管理层认识到影响其业绩的潜在事项之前，必须存在一定的目标。

企业风险管理使得管理人员能适当的设立目标，并且选择的目标能支持企业的发展任务，并与其风险偏好相一致。

适用于管理层在确立目标时考虑风险战略。

事项识别(Event Identification)
可能有负面影响的事项代表了风险。

可能有正面影响的事项代表了自然弥补（机会），能被引导回管理层的战略或者目标设立过程。

企业必须识别影响企业目标实现的内、外部事项，区分风险和机会。

风险评估(Risk Assessment)
风险评估使得企业能够理解潜在事项可能影响目标的程度。

从两个角度评估风险：可能性和后果。

采用定性和定量的评估方法。

将时间跨度和目标范围相联系。

在一个固有的(inherent)和剩余的(residual)基础上评估风险。

风险应对(Risk Response)
识别并评估对风险的可能反应。

管理层选择如何反应——规避、接受、减少或者分担风险——从而形成一套使风险与企业风险容忍度和风险偏好相一致的行为方式。

评估与管理层偏好相关的选择，潜在风险反应的成本收益，以及某种反应将减少影响或可能性的程度。

根据对风险和反应组合的评估来选择并执行反应。

控制活动(Control Activities)
建立并实施一套制度和程序，来帮助保证有效进行风险反应。

在整个组织、各个层级和各种活动中都发生。

包括一般控制和应用控制。

信息和沟通(Information and Communication)
以一种使职员能够执行其职责的方式识别、捕捉、交流相关信息。

广而言之，有效的沟通存在于企业从上到下、从下到上和平级之间，还包括将相关的信息与企业外部相关方的沟通和交换，如客户、供应商、行政管理部门和股东等。

监督(Monitoring)
企业整个风险管理过程被监督，并且在必要时修正。

通过正在进行的管理活动，或者分别评价风险管理过程，或者双管齐下，来进行监督。

风险处理策略
风险策略
企业风险险管理框架
一个基础：公司治理结构
三道防线
第一道防线：业务单位防线
企业建立的第一道防线，就是要各业务单位就其战略
性风险、信贷风险、市场风场和操作风险等等，系统化地
进行分析、确认、度量、管理和监控。

企业需要把评估风险与内控措施的结果进行记录和存
档，对内控措施的有效性不断进行测试和更新。

第二道防线：风险管理单位防线
第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会
风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括：
•编制规章制度
•对各业务单位的风险进行组合管理
•度量风险和评估风险的界限
•建立风险信息系统和预警系统、厘定关键风险指标
•负责风险信息披露、沟通、协调员工培训和学习的工作
•按风险与回报的分析，为各业务单位分配经济资本金
第三道防线：内审单位防线
第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题
美国内部审计师协会对内部审计的定义：“内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。

内审通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。

”
内部控制制度框架
• 内部控制关键点之一：组织控制制度
• 内部控制关键点之二：请购制度
• 内部控制关键点之三：订货控制制度
• 内部控制关键点之四：购入货物的验收制度
• 内部控制关键点之五：应付账款
• 内部控制关键点之六：付款控制制度。