公司内部控制及内部控制审计管理知识分析(ppt85张)课件.ppt

1、第第1212章内部控制评审（二）章内部控制评审（二）内部控制审计内部控制审计第二节第二节内部控制评价内部控制评价第一节第一节目目 录录内部控制的评价要求内部控制的评价要求内部控制的评价方法内部控制的评价方法内部控制审计的历史演进内部控制审计的历史演进内部控制审计的概念框架内部控制审计的概念框架学习目的与要求学习目的与要求 对上市公司内部控制进行评价与审计是一种最新的国际发对上市公司内部控制进行评价与审计是一种最新的国际发展趋势。通过本章的学习，应熟练了解美国、英国和中国等国展趋势。通过本章的学习，应熟练了解美国、英国和中国等国家上市公司内部控制的评价与报告体系、评价依据与评价方法家上市公司内部

2、控制的评价与报告体系、评价依据与评价方法等；应熟练掌握内部控制评价中的详细评价法和风险基础评价等；应熟练掌握内部控制评价中的详细评价法和风险基础评价法，并能识别其区别与联系；在此基础上，本章还要求学生了法，并能识别其区别与联系；在此基础上，本章还要求学生了解内部控制审计的历史演进过程及其原因，熟悉美国解内部控制审计的历史演进过程及其原因，熟悉美国PCAOBPCAOB的财的财务呈报内部控制审计准则和内部控制审计的概念框架。务呈报内部控制审计准则和内部控制审计的概念框架。综述综述 我国目前正在建立财务呈报内部控制为主的内部控制标准体系，内部控我国目前正在建立财务呈报内部控制为主的内部控制标准体系，

3、内部控制的评审也将成为一种必然趋势。为此，本章将介绍公司管理层对内部制的评审也将成为一种必然趋势。为此，本章将介绍公司管理层对内部控制的评价，阐述审计师对内部控制的审计。控制的评价，阐述审计师对内部控制的审计。萨班斯萨班斯奥克斯利法案奥克斯利法案以及内部控制评审的以及内部控制评审的相关规则与指引的出台相关规则与指引的出台安然、世通等财务安然、世通等财务舞弊与审计合谋案舞弊与审计合谋案件层出不穷件层出不穷上市公司内部控制上市公司内部控制的评审体系的评审体系v公司管理层对财务呈报内部控制有效性进行评价，对公司管理层对财务呈报内部控制有效性进行评价，对内向审计委员会报告、对外发布公开报告。内向审计委

4、员会报告、对外发布公开报告。v审计师对财务呈报内部控制进行审计，对公司财务呈审计师对财务呈报内部控制进行审计，对公司财务呈报内部控制的有效性发表审计意见。报内部控制的有效性发表审计意见。v一一v二二内部控制的评价要求内部控制的评价要求内部控制的评价方法内部控制的评价方法第一节第一节 审计需求的代理理论审计需求的代理理论概述概述 企业内部控制的评价与报告主要涉及企业内部控制评企业内部控制的评价与报告主要涉及企业内部控制评价与报告的要求以及评价的方法等内容。从国际发展的视价与报告的要求以及评价的方法等内容。从国际发展的视角来看，美国和英国等主流市场经济国家的证券监管部门角来看，美国和英国等主流市场

5、经济国家的证券监管部门都针对上市公司内部控制的评价与报告制定了相应的规则，都针对上市公司内部控制的评价与报告制定了相应的规则，提出了明确的要求，并制定了内部控制评价的指引。提出了明确的要求，并制定了内部控制评价的指引。一、内部控制的评价要求一、内部控制的评价要求美国美国Sarbanes-Oxley法案法案为上市公司规定了一个内部控制的为上市公司规定了一个内部控制的评价和报告体系，以提高内部控制评价和报告体系，以提高内部控制的有效性，加强内部控制信息的透的有效性，加强内部控制信息的透明度。明度。302节节“公司对财务报告的责任公司对财务报告的责任”404节节“管理层对内部控制的评价管理层对内部控

6、制的评价”要求上市公司管理层对财务呈报内部控制的有效性进行评价，要求上市公司管理层对财务呈报内部控制的有效性进行评价，对内向审计委员会报告、对外发布公开报告；并要求聘请审计对内向审计委员会报告、对外发布公开报告；并要求聘请审计师对财务呈报内部控制进行审计。师对财务呈报内部控制进行审计。美国上市公司内部控制评价与报告体系（图）美国上市公司内部控制评价与报告体系（图）1评价依据评价依据 SEC 2003年年6月发布的月发布的“最终规则：管理层对财务呈报内部控制的报告和最终规则：管理层对财务呈报内部控制的报告和交易法案定期报告中披露的确认交易法案定期报告中披露的确认”（Final Rule: Man

7、agements Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports）要求，管理层对公司财务呈要求，管理层对公司财务呈报内部控制有效性的评价必须依据报内部控制有效性的评价必须依据。没有偏见没有偏见允许适当一致的定性和定量衡量公司的内部控制允许适当一致的定性和定量衡量公司的内部控制充分完整，没有忽略那些会改变公司内部控制有效性结论的相关要素充分完整，没有忽略那些会改变公司内部控制有效性结论的相关要素与评价财务呈报内

8、部控制相关与评价财务呈报内部控制相关COSO框架框架 并不唯一并不唯一SEC也要求管理层的报告必须包含对管理层在评价过程中确定的公司财务呈报内部控制中所有重要弱点的披露。1评价依据评价依据 对于公司财务呈报内部控制有效性的评价，对于公司财务呈报内部控制有效性的评价，SEC没有提出管理层可以据以断没有提出管理层可以据以断定公司财务呈报内部控制有效的具体标准，但是，定公司财务呈报内部控制有效的具体标准，但是，SEC设定了一个管理层断定公设定了一个管理层断定公司财务呈报内部控制有效的司财务呈报内部控制有效的限度（限度（threshold）。 如果管理层识别出公司财务呈报内部控制中的一个或多个如果管理

9、层识别出公司财务呈报内部控制中的一个或多个重大漏洞（重大漏洞（material weakness），管理层就不能确定公司），管理层就不能确定公司的财务呈报内部控制是有效的。的财务呈报内部控制是有效的。2评价方法评价方法 对公司财务呈报内部控制的评估必须根据足以既能评价内部控制的设计评价内部控制的设计又能测测试内部控制运行有效性试内部控制运行有效性的程序进行。 与非常规和非系统交易的动议和处理相关的控制与非常规和非系统交易的动议和处理相关的控制 与适当会计政策的选择和应用相关的控制与适当会计政策的选择和应用相关的控制 与防止、识别和发现舞弊相关的控制与防止、识别和发现舞弊相关的控制对发起交易、记

10、录、处理和调节账户余额、交易分对发起交易、记录、处理和调节账户余额、交易分类和披露以及财务报表中包含的相关认定的控制类和披露以及财务报表中包含的相关认定的控制需要评估的控制：需要评估的控制：（包括但不限于）（包括但不限于）2评价方法评价方法证据证据为管理层对财务呈报内部控制有效为管理层对财务呈报内部控制有效性的评价结论提供性的评价结论提供合理的支持合理的支持。对内部控制是否用来防止或发现重要错报或遗漏的评价对内部控制是否用来防止或发现重要错报或遗漏的评价对测试进行了适当的规划和实施对测试进行了适当的规划和实施测试的结果得到了适当考虑测试的结果得到了适当考虑 SEC 2003年6月发布的“最终规

11、则：管理层对财务呈报内部控制的报告和交易法案定期报告中披露的确认”的要求，每一个美国或非美国证券发行人的管理层要在发行人首席执行官和首席财务官（或履行类似职能的人）的参与下，评价发行人每一财务年度末财务呈报内部控制的有效性。此外，还要求公司的年度报告要包括管理层的一个内部控制报告内部控制报告。3评价报告评价报告陈述管理层为公司建立和维持充分的财务呈报内部控制的责任。陈述管理层为公司建立和维持充分的财务呈报内部控制的责任。一项陈述，确定管理层对公司财务呈报内部控制的有效性执行要求一项陈述，确定管理层对公司财务呈报内部控制的有效性执行要求的评价时所采用的框架。的评价时所采用的框架。管理层对公司的财

12、务呈报内部控制在最近财务年度的有效性的评估，管理层对公司的财务呈报内部控制在最近财务年度的有效性的评估，包括一项有关公司的财务呈报内部控制是否有效的陈述。包括一项有关公司的财务呈报内部控制是否有效的陈述。一项陈述，说明审计财务报表（包括在年度报告中）的已登记公共一项陈述，说明审计财务报表（包括在年度报告中）的已登记公共会计公司已经就管理层对财务呈报内部控制的评价出具了鉴证报告。会计公司已经就管理层对财务呈报内部控制的评价出具了鉴证报告。3评价报告评价报告 根据根据SOX法案以及法案以及SEC的相关规则，公司管理层不但要定期的相关规则，公司管理层不但要定期对外报出财务呈报内部控制的报告，而且还要

13、向公司的审计委员会报对外报出财务呈报内部控制的报告，而且还要向公司的审计委员会报告内部控制的以下相关情况：告内部控制的以下相关情况：内部控制的设计或运行中，对公司记录、处理、汇总及编报财务数内部控制的设计或运行中，对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷，并向公司的审计师指出内据的功能产生负面影响的所有重大缺陷，并向公司的审计师指出内部控制的重大缺陷。部控制的重大缺陷。在内部控制中担任重要职位的人员或其他雇员的欺诈行为，在内部控制中担任重要职位的人员或其他雇员的欺诈行为，不论行为的影响是否重大。不论行为的影响是否重大。一、内部控制的评价要求一、内部控制的评价要求英国

14、英国Cadbury委员会在其发布的名为委员会在其发布的名为内部控制和财务报告内部控制和财务报告的报告中要求英国的报告中要求英国各公司的董事会公布一份有关其各公司的董事会公布一份有关其内部财务控制制度内部财务控制制度的声明，这份声明必须至少的声明，这份声明必须至少包括以下内容：包括以下内容：p承认董事会对内部财务控制负责；承认董事会对内部财务控制负责；p为内部控制制度对重大的错报或遗漏的事项仅提供合理保证而非绝对保证做出解释；为内部控制制度对重大的错报或遗漏的事项仅提供合理保证而非绝对保证做出解释；p描述董事会为了确保有效的内部财务控制已经建立的关键程序；描述董事会为了确保有效的内部财务控制已经

15、建立的关键程序；p证实董事会已经审核过内部财务控制制度的有效性。证实董事会已经审核过内部财务控制制度的有效性。1994年年鼓励但不要求董事会对内部财务控制制度的有效性发表意见。鼓励但不要求董事会对内部财务控制制度的有效性发表意见。一、内部控制的评价要求一、内部控制的评价要求英国英国当前当前根据英国当前的公司法、根据英国当前的公司法、2003年的年的联合规则联合规则以及以及2005年年10月发布的月发布的Turnbull指南等相关法律法规，英国公司内部控制评价与报告的体系主要包指南等相关法律法规，英国公司内部控制评价与报告的体系主要包括以下内容：括以下内容：n审查内部控制有效性的责任审查内部控制

16、有效性的责任 董事会责任的重要组成部分n审查内部控制有效性的过程审查内部控制有效性的过程n董事会对内部控制的声明董事会对内部控制的声明 有意义的、高级（high-level）的信息对帮助股东理解公司的风险管理过程和内对帮助股东理解公司的风险管理过程和内部控制系统的主要特征来说是必要的部控制系统的主要特征来说是必要的不应当给出令不应当给出令人误解的印象人误解的印象一、内部控制的评价要求一、内部控制的评价要求中国中国1评价与报告的责任主体评价与报告的责任主体内部控制的内容和范围越来越宽泛内部控制的内容和范围越来越宽泛在我国的企业当中尚没有建立起有效的公司治理，董事会的独立性在我国的企业当中尚没有建

17、立起有效的公司治理，董事会的独立性不强，董事会的职责与管理层的职责往往难以清晰的界定。不强，董事会的职责与管理层的职责往往难以清晰的界定。一、内部控制的评价要求一、内部控制的评价要求中国中国2报告的类型报告的类型对外的年度内部控制报告对外的年度内部控制报告对内的内部控制报告对内的内部控制报告随年度财务报告一起对外报出，向随年度财务报告一起对外报出，向资本市场及相关部门呈报。资本市场及相关部门呈报。对监事会、股东大会定期报告企业对监事会、股东大会定期报告企业内部控制的运行情况。内部控制的运行情况。一、内部控制的评价要求一、内部控制的评价要求中国中国对外的年度内部控制报告对外的年度内部控制报告对内

18、的内部控制报告对内的内部控制报告3评价和报告的范围评价和报告的范围财务呈报内部控制财务呈报内部控制涵盖包括合规、报告、涵盖包括合规、报告、经营和战略目标在内的经营和战略目标在内的完整的内部控制完整的内部控制一、内部控制的评价要求一、内部控制的评价要求中国中国4报告的内容报告的内容对外的年度内部控制报告对外的年度内部控制报告对内的内部控制报告对内的内部控制报告董事会、管理层要在报告中就其有效性形成结董事会、管理层要在报告中就其有效性形成结论，清晰说明财务呈报内部控制是否有效。论，清晰说明财务呈报内部控制是否有效。董事会、管理层要对内部控制的设计和运行情董事会、管理层要对内部控制的设计和运行情况进

19、行评价和说明，报告内部控制存在的问题况进行评价和说明，报告内部控制存在的问题以及采取的纠正措施。以及采取的纠正措施。注册会计师对财务呈报内部注册会计师对财务呈报内部控制的审计报告控制的审计报告注册会计师要就被审计单位是否在所有重大方注册会计师要就被审计单位是否在所有重大方面保持了有效的财务呈报内部控制发表意见。面保持了有效的财务呈报内部控制发表意见。我国企业内部控制评价与报告体系（图）我国企业内部控制评价与报告体系（图）二、内部控制的评价方法二、内部控制的评价方法（一）美国（一）美国SEC的解释指南的解释指南 根据指南要求，企业管理层采用自上而下、风险基础的方法评价财务呈报内部根据指南要求，企

20、业管理层采用自上而下、风险基础的方法评价财务呈报内部控制的过程主要包括三个步骤：控制的过程主要包括三个步骤：1识别财务报告风险和控制识别财务报告风险和控制（1）识别财务报告风险）识别财务报告风险评价公认会计原则的规定是如何应用评价公认会计原则的规定是如何应用于公司的业务、经营和交易于公司的业务、经营和交易管理层应用其常识和对企业、企管理层应用其常识和对企业、企业的组织、经营和流程的了解业的组织、经营和流程的了解 同时也应当考虑主体对（比如虚假财务报告、资产滥用和贪污）的脆弱性以及那些风险是否能够导致财务报表的重要错报。1识别财务报告风险和控制识别财务报告风险和控制（2）识别充分应对财务报告风险

21、的控制）识别充分应对财务报告风险的控制控制控制一项单独的控制一项单独的控制是否充分应对了一项财务报告风险是否充分应对了一项财务报告风险如果财务报表发生重要错报的相关财务报告要如果财务报表发生重要错报的相关财务报告要素中的错报相当可能没有被及时阻止或发现素中的错报相当可能没有被及时阻止或发现控制控制不充分不充分如果管理层确定，其控制没有适当设计，一项缺陷存在，如果管理层确定，其控制没有适当设计，一项缺陷存在，必须对其进行评价以确定它是否是一个实质性漏洞。必须对其进行评价以确定它是否是一个实质性漏洞。一个控制的组合一个控制的组合控制控制控制控制控制控制1识别财务报告风险和控制识别财务报告风险和控制

22、（3）对企业层面控制的考虑）对企业层面控制的考虑 管理层在识别和评价财务报告风险和某一财务报告要素的相关控制时要考虑企管理层在识别和评价财务报告风险和某一财务报告要素的相关控制时要考虑企业层面控制的性质以及它们如何与财务报告要素相联系。业层面控制的性质以及它们如何与财务报告要素相联系。一些企业层面的控制是设计在流程、交易或应用层面运行的，并一些企业层面的控制是设计在流程、交易或应用层面运行的，并且可以充分的及时防止或发现能够导致财务报表发生重要错报的且可以充分的及时防止或发现能够导致财务报表发生重要错报的一个或多个财务报告要素的错报。一个或多个财务报告要素的错报。一个企业层面的控制可以用来识别

23、较低层次控制的可能故障，一个企业层面的控制可以用来识别较低层次控制的可能故障，但自身并不能充分应对能够导致财务报表重要错报的财务报告但自身并不能充分应对能够导致财务报表重要错报的财务报告要素的错报没有被及时防止或发现的风险。要素的错报没有被及时防止或发现的风险。控制控制财务报表财务报表要素要素关系越间接，它防止或发现错报的有效性就越低。关系越间接，它防止或发现错报的有效性就越低。1识别财务报告风险和控制识别财务报告风险和控制（4）总体信息技术控制的作用）总体信息技术控制的作用控制控制自动自动依赖于信息技术依赖于信息技术管理层的评价管理层的评价过程通常要考过程通常要考虑的控制虑的控制自动控自动控

24、制制总体总体IT控制控制IT依赖依赖型控制型控制1识别财务报告风险和控制识别财务报告风险和控制（4）总体信息技术控制的作用）总体信息技术控制的作用总体总体IT控制控制公司的实际情况和环境不同而存在差异公司的实际情况和环境不同而存在差异 通常情况下，管理层应当考虑与程序开发有关的总体通常情况下，管理层应当考虑与程序开发有关的总体IT控制目标、程序改变、控制目标、程序改变、计算机运行和对程序和数据的接触是否适用于其实际情况和环境以及适用程度如何。计算机运行和对程序和数据的接触是否适用于其实际情况和环境以及适用程度如何。1识别财务报告风险和控制识别财务报告风险和控制（5）支持评估的证明材料）支持评估

25、的证明材料记录管理层付诸实施的用来充分应对记录管理层付诸实施的用来充分应对财务报告风险的控制的设计财务报告风险的控制的设计支持支持文档记录的形式文档记录的形式文档记录的内容文档记录的内容取决于取决于公司的规模、公司的规模、性质和复杂程度性质和复杂程度v多种方式出现（比如，政策手册、过程模型、流程图、工作描述、单证、内部备忘录、表格等）v多种形式（比如，纸质文档、电子或其他媒介）v不必包括影响财务报告的流程中存在的所有控制。v集中在管理层断定会充分应对财务报告风险的那些控制上。2评价财务呈报内部控制运行有效性的证据评价财务呈报内部控制运行有效性的证据（1）确定支持评估所需要的证据）确定支持评估所

26、需要的证据高中等低中等高控制失败的风险控制失败的风险财务报告要素的错报风险财务报告要素的错报风险 支持评估所需支持评估所需证据的多少主要取证据的多少主要取决于与控制相关的决于与控制相关的财务报告要素的特财务报告要素的特征的影响和控制自征的影响和控制自身特征的影响，即身特征的影响，即对财务呈报内部控对财务呈报内部控制风险的评估。制风险的评估。2评价财务呈报内部控制运行有效性的证据评价财务呈报内部控制运行有效性的证据（1）确定支持评估所需要的证据）确定支持评估所需要的证据财务报告要素财务报告要素的特征的特征管理层需要考虑的因素：管理层需要考虑的因素：财务报告要素的重要性财务报告要素的重要性主要会计

27、余额、交易或其他支持信息对重要错报的敏感性主要会计余额、交易或其他支持信息对重要错报的敏感性控制没有控制没有有效运行有效运行的可能性的可能性控制的类型、复杂性控制的类型、复杂性管理层越过的风险管理层越过的风险运行该项控制所需要的判断运行该项控制所需要的判断该项控制预计要防止或发现的错报的性质和重要性该项控制预计要防止或发现的错报的性质和重要性该项控制对其他控制有效性的依赖程度该项控制对其他控制有效性的依赖程度2评价财务呈报内部控制运行有效性的证据评价财务呈报内部控制运行有效性的证据（2）实施程序，评价财务呈报内部控制运行的证据）实施程序，评价财务呈报内部控制运行的证据管理层管理层评价的评价的程

28、序程序专门为财务呈报内部控制评价而实施专门为财务呈报内部控制评价而实施与员工的日常职责结合在一起与员工的日常职责结合在一起管理层管理层评价的评价的证据证据其他原因而实施的活动其他原因而实施的活动持续监督持续监督直接控制测试直接控制测试影响影响管理层所获取证据的性质管理层所获取证据的性质2评价财务呈报内部控制运行有效性的证据评价财务呈报内部控制运行有效性的证据（3）支持该评估的证据）支持该评估的证据基础控制的风险的评估水平基础控制的风险的评估水平其他情况其他情况管理层评估的依据管理层评估的依据证据的性质证据的性质控制的复杂程度控制的复杂程度运行该项控制所需判断的程度运行该项控制所需判断的程度可能

29、导致财务报表重要错报的财务报告要素错报的风险可能导致财务报表重要错报的财务报告要素错报的风险证明材料单独保存证明材料单独保存不必单独保存其所评价证据的备份2评价财务呈报内部控制运行有效性的证据评价财务呈报内部控制运行有效性的证据（4）多场所的考虑）多场所的考虑充分应对财务充分应对财务报告风险报告风险评价方法与单个场所或业务单元的企业相同评价方法与单个场所或业务单元的企业相同低风险高风险通过自我评估的日常程序或其他持续监督活动，通过自我评估的日常程序或其他持续监督活动，如果结合通过监督单个场所运行结果的集中控如果结合通过监督单个场所运行结果的集中控制获得的证据，就为其评价构成了充分的证据。制获得

30、的证据，就为其评价构成了充分的证据。需要更多关于控制在场所运行有效的证据。需要更多关于控制在场所运行有效的证据。v一一v二二v三三信号传递观信号传递观信息系统观信息系统观审计需求信息理论的经验检验审计需求信息理论的经验检验第二节第二节 审计需求的信息理论审计需求的信息理论3评价控制缺陷与报告评价控制缺陷与报告（1）控制缺陷的评价）控制缺陷的评价缺陷缺陷缺陷缺陷缺陷缺陷缺缺陷陷缺缺陷陷or实质性实质性漏洞漏洞错报概率错报概率潜在错报的影响大小潜在错报的影响大小3评价控制缺陷与报告评价控制缺陷与报告（2）评价结论与报告）评价结论与报告若不能评估某一特定流程的控制，必须确若不能评估某一特定流程的控制

31、，必须确定，这一情况是否重要到要在其报告中得定，这一情况是否重要到要在其报告中得出财务呈报内部控制无效的结论。出财务呈报内部控制无效的结论。清晰的表述其对财务呈报内部控制清晰的表述其对财务呈报内部控制有效性的评估结果有效性的评估结果实质性漏实质性漏洞的性质洞的性质它对财务报告和控它对财务报告和控制环境的影响制环境的影响管理层当前纠正该管理层当前纠正该缺陷的计划缺陷的计划报告还需披露以下内容：报告还需披露以下内容：（二）加拿大（二）加拿大CICA的风险基础评价方法的风险基础评价方法 首先要求上市公司的首先要求上市公司的CEO和和CFO对财务呈报内部控制的设计进行评估和对财务呈报内部控制的设计进行

32、评估和确证（确证（certification）。）。2006年年2007年年 要求对整个财务呈报内部控制的有效性进行评价和确证。加拿大特许会要求对整个财务呈报内部控制的有效性进行评价和确证。加拿大特许会计师协会（计师协会（The Canadian Institute of Chartered Accountants ，CICA）在对财务呈报内部控制的设计进行评价时明确要求采用自上而下、风险基础在对财务呈报内部控制的设计进行评价时明确要求采用自上而下、风险基础的方法。的方法。1总体要求总体要求 管理层应当开发一种方法，通过这种方法使得评价过程和步骤的性质、管理层应当开发一种方法，通过这种方法使得

33、评价过程和步骤的性质、范围和时间建立在主要的财务报告和披露风险上，并确保管理层对财务呈报范围和时间建立在主要的财务报告和披露风险上，并确保管理层对财务呈报内部控制的设计得出可靠的结论。要考虑的因素主要包括：内部控制的设计得出可靠的结论。要考虑的因素主要包括：CEO应当在这个过程中扮演积极的角色，并要被看到。管理层应当开发和记录他们的评估方法，它应包括一定水平的测试。CEO和CFO应当告知审计委员会他们的评价方法和程序，并征求他们的意见。这种评价应当是自上而下和风险基础的，以确保集中关注重要的财务报告和披露风险和问题。评价过程不应当是一个孤立的程序，它应当与管理层的持续控制监控活动相结合，并预见

34、管理层评价和确证财务呈报内部控制有效性的未来需求。1总体要求总体要求使用一个控制框架使用一个控制框架预防型控制和侦测型控制的均衡预防型控制和侦测型控制的均衡CEO和和CFO在规划评价方法时还要考虑的其他问题包括：在规划评价方法时还要考虑的其他问题包括：企业层面的控制和流程层面的控制企业层面的控制和流程层面的控制与子确证流程协同一致与子确证流程协同一致2评价思路评价思路三个阶段三个阶段七个步骤七个步骤（三）普华的内部控制评价方法（三）普华的内部控制评价方法1十二个步骤十二个步骤2七个阶段七个阶段（1）项目启动）项目启动项目监督项目监督项目管理项目管理v项目监督是指内部项目监督是指内部控制的评价需

35、要广泛控制的评价需要广泛的、高层的监督，建的、高层的监督，建立良好的管理框架。立良好的管理框架。v确定该项目各方以确定该项目各方以及涉及的每个部门和及涉及的每个部门和职能的责任有助于使职能的责任有助于使这个项目成功。这个项目成功。v项目管理是指对项目项目管理是指对项目进行强有力的实施，这进行强有力的实施，这主要取决于严格的项目主要取决于严格的项目管理。管理。v项目管理的关键是建项目管理的关键是建立追踪和合并内部控制立追踪和合并内部控制变动的基础设施和方法，变动的基础设施和方法，以确保管理层记录和测以确保管理层记录和测试的控制代表那些实际试的控制代表那些实际的控制。的控制。2七个阶段七个阶段（2

36、）确定评价范围和计划）确定评价范围和计划2七个阶段七个阶段（3）评价服务组织的内部控制）评价服务组织的内部控制使用服务组织了吗？外包的活动、流程和职能对财务报告内部控制来说重大吗？针对外包的流程存在SAS70报告吗？是第二种类型的SAS70报告吗？SAS70报告充分应对了外包流程相关信息处理目标的内部控制吗？SAS70报告期间至少包括6个月的活动，并且表明的日期在财务年度末6个月之内吗？不需要采取进一步行动管理层能够要求适当范围和时间的第二种类型的SAS70报告吗？是是是是是是是是是是否否否否否否是是（续下图）（续下图）管理层已经评价和测试了报告中包括的使用者控制的运行有效性，并确定实施了适当

37、的内部控制以支持服务组织的活动吗？2七个阶段七个阶段（3）评价服务组织的内部控制）评价服务组织的内部控制SAS70报告期间至少包括6个月的活动，并且表明的日期在财务年度末6个月之内吗？是是是是（续上图）（续上图）意见是无保留的吗？管理层已经评价了报告中包括的每一个控制缺陷并断定对内部控制支持相关信息处理目标的能力没有影响吗？是是管理层已经评价和测试了报告中包括的使用者控制的运行有效性，并确定实施了适当的内部控制以支持服务组织的活动吗？管理层能够要求适当范围和时间的第二种类型的SAS70报告吗？管理层应当实施替代程序（如测试使用者控制，测试服务组织的控制，或要求服务组织的审计师实施商定程序），以

38、应对服务组织支持相关信息处理目标而实施的内部控制。管理层应当就其信赖服务组织控制的能力得出结论。否否否否是是2七个阶段七个阶段（4）记录）记录相关记录是管理层评价财务呈报内部控制的依据和证据。相关记录是管理层评价财务呈报内部控制的依据和证据。为了履行职责，管理层在记录内部控制时应当实施四个步骤：为了履行职责，管理层在记录内部控制时应当实施四个步骤：确定记录确定记录的范围的范围记录相关记录相关流程流程记录相关记录相关控制控制评估控制评估控制的设计的设计2七个阶段七个阶段（5）测试以确定内部控制的运行有效性）测试以确定内部控制的运行有效性 测试相关的控制，这些控制必须包括每个单独重要场所的所有重大

39、账户测试相关的控制，这些控制必须包括每个单独重要场所的所有重大账户和披露的所有认定的每一个内部控制要素以及其他场所的特别风险领域。公和披露的所有认定的每一个内部控制要素以及其他场所的特别风险领域。公司必须测试证据以支持管理层对财务呈报内部控制的评估。司必须测试证据以支持管理层对财务呈报内部控制的评估。工作步骤工作步骤2七个阶段七个阶段（6）内部控制缺陷的评价与报告）内部控制缺陷的评价与报告按重要性划分按重要性划分内部控制缺陷内部控制缺陷重大缺陷重大缺陷（significant deficiency）实质性漏洞实质性漏洞（material weakness）识别识别缺陷缺陷了解和评了解和评估缺陷

40、估缺陷评估错报评估错报的可能性的可能性评估潜在的评估潜在的错报大小错报大小识别弥补识别弥补型控制型控制确定缺陷确定缺陷的类别的类别评估缺陷评估缺陷的组合的组合内部控制缺陷的识别、评估内部控制缺陷的识别、评估和分类程序和分类程序7步骤步骤2七个阶段七个阶段（7）沟通）沟通 管理层必须将其发现的所有显著缺陷和实质性漏洞告知审计委管理层必须将其发现的所有显著缺陷和实质性漏洞告知审计委员会和外部审计师。员会和外部审计师。v一一v二二内部控制审计的历史演进内部控制审计的历史演进内部控制审计的概念框架内部控制审计的概念框架第第二二节节 内部控制审计一、内部控制审计的历史演进一、内部控制审计的历史演进（一）

41、麦克森（一）麦克森罗宾斯公司破产事件罗宾斯公司破产事件1938年年债权人债权人米利安米利安汤普森汤普森罗宾斯药材公司罗宾斯药材公司经济往来的过程中经济往来的过程中麦克森麦克森罗宾斯公司罗宾斯公司发现麦克森罗宾斯公司的原料部门的现金积累现金积累和存货金额存货金额存在严重的问题。（一）麦克森（一）麦克森罗宾斯公司破产事件罗宾斯公司破产事件SEC立案调查立案调查表象表象l十余年来的财务报表是由PWC执行审计的，并一直对公司的财务状况和经营成果发表了“正确、适当正确、适当”的审计意见实际实际v1937年12月31日的合并资产负债表的总资产8700万美元之中，有1907.5万美元是虚构资产万美元是虚构资

42、产；1937年的合并损益表上虚假的销售收入和毛利虚假的销售收入和毛利分别达到分别达到1820万美元和万美元和180万美元万美元。v菲利普科斯特是一位使用化名爬上公司领导岗位的有犯罪前科的诈骗犯，与他同谋的三位兄弟也使用化名，并在公司窃据重要地位。v正是他们合伙舞弊合伙舞弊，利用公司内部控制的薄弱，从公司贪污了巨款，使股东和债权人蒙受损失。（一）麦克森（一）麦克森罗宾斯公司破产事件罗宾斯公司破产事件影响影响 该破产案件的披露，给社会和民间审计职业带来了很大的震动，暴露了审计该破产案件的披露，给社会和民间审计职业带来了很大的震动，暴露了审计程序与内部控制的严重缺陷，审计职业的社会声誉受到巨大冲击，

43、引发了社会公程序与内部控制的严重缺陷，审计职业的社会声誉受到巨大冲击，引发了社会公众对独立审计职业的热烈讨论以及众对独立审计职业的热烈讨论以及SEC的严重关注。的严重关注。vSEC认识到审计程序和内部控制存在严重缺陷，通过它们无法发现管理当认识到审计程序和内部控制存在严重缺陷，通过它们无法发现管理当局合谋舞弊行为，所以试图通过修订有关审计的各项规则来强化监督权。局合谋舞弊行为，所以试图通过修订有关审计的各项规则来强化监督权。v美国会计师协会和美国注册会计师协会也就该事件纷纷作出积极的反应，美国会计师协会和美国注册会计师协会也就该事件纷纷作出积极的反应，分别制定了相关的文件、补充规定、专题报告以

44、及九项公认审计准则。分别制定了相关的文件、补充规定、专题报告以及九项公认审计准则。人们在重视内部控制的同时，也开始关注内部控制审计人们在重视内部控制的同时，也开始关注内部控制审计（二）（二）反国外行贿法案反国外行贿法案及相关公告及相关公告20世纪世纪70年代以前年代以前重视内部控制的主要是公司管理当局自身重视内部控制的主要是公司管理当局自身1973年至年至1976年美国年美国“水门事件水门事件”立法机关和行政机关开始注意到内部控制问题内部控制问题。调查显示，过去不少美国大公司进行了非法的国外捐款、可疑的或违法的国外支付非法的国外捐款、可疑的或违法的国外支付。1977年年12月月19日日美国国会

45、正式批准并通过了反国外行贿法案反国外行贿法案（Foreign Corrupt Practices Act，简称，简称FCPA），该法案除了规定禁止各种形式的行贿或具有行贿可疑的行为外，法案还要求在证券交易委员会管辖下的每一家公司必须拥有持续的内部拥有持续的内部会计控制会计控制，以合理保证所有交易事项都得到公司管理当局的授权和认可。（二）（二）反国外行贿法案反国外行贿法案及相关公告及相关公告该法有关内部会计控制的部分内容：该法有关内部会计控制的部分内容：v建立和保持账簿、记录和账户，它们应该充分、详细、正确和建立和保持账簿、记录和账户，它们应该充分、详细、正确和公允地反映公司（指上市公司）的各类

46、交易业务和资产的处理；公允地反映公司（指上市公司）的各类交易业务和资产的处理；v设计和保持充分的内部会计控制制度，并保证依据公司管理当设计和保持充分的内部会计控制制度，并保证依据公司管理当局的一般授权或特殊授权处理各种交易业务；局的一般授权或特殊授权处理各种交易业务；v交易业务的记录必须遵守一般公认会计原则，或其他使用于财交易业务的记录必须遵守一般公认会计原则，或其他使用于财务报表编制的标准，维护对资产的经管责任，只有经过公司管务报表编制的标准，维护对资产的经管责任，只有经过公司管理当局的一般授权或特殊授权才能接触资产；理当局的一般授权或特殊授权才能接触资产；v对管理资产的责任记录应当在适当的

47、时间间隔内同实有资产进对管理资产的责任记录应当在适当的时间间隔内同实有资产进行比较，校对有关差异采取适当的纠正行动。行比较，校对有关差异采取适当的纠正行动。（二）（二）反国外行贿法案反国外行贿法案及相关公告及相关公告1978年年2月月16日日美国证券交易委员会发表了证券交易法第美国证券交易委员会发表了证券交易法第14478号公告，题为号公告，题为“颁颁布布1977年反国外行贿法的通知年反国外行贿法的通知”。由于由于反国外行贿法案反国外行贿法案签署生效，对受新法要求的发行签署生效，对受新法要求的发行者，要审查其会计程序、内部会计控制制度和营业惯例，者，要审查其会计程序、内部会计控制制度和营业惯例

48、，以促使他们采取符合法律要求的必要措施。以促使他们采取符合法律要求的必要措施。（二）（二）反国外行贿法案反国外行贿法案及相关公告及相关公告影响影响 FCPA的颁布使得管理当局的内部控制这一特权被剥夺，的颁布使得管理当局的内部控制这一特权被剥夺，建立适当有效的内部控制成为上市股份公司遵守法律规范的必建立适当有效的内部控制成为上市股份公司遵守法律规范的必要行动。同时，检查和评价客户的内部会计控制也成为外部审要行动。同时，检查和评价客户的内部会计控制也成为外部审计人员进行年度受托财务报表审计不可缺少的内容，这也督促计人员进行年度受托财务报表审计不可缺少的内容，这也督促美国的公司致力于建立健全内部控制

49、，并对其进行审计，以赢美国的公司致力于建立健全内部控制，并对其进行审计，以赢得较好的社会声誉。得较好的社会声誉。（三）（三）COSO报告及报告及SAS781985年年美国注册美国注册会计师协会计师协会会(AICPA)美国会计美国会计学会学会(AAA)内部审计内部审计师协会师协会( IAA)财务经理财务经理协会协会(FEA)全国会计全国会计师协会师协会(NAA)反舞弊财务报告委员会反舞弊财务报告委员会（National Commission On Fraudulent Financial Reporting，亦称Treadway Commission）研究舞弊性财务报告产生的原因及其相关领域（包

50、括内部控制不健全的问题）。研究舞弊性财务报告产生的原因及其相关领域（包括内部控制不健全的问题）。（三）（三）COSO报告及报告及SAS781987年年Treadway 委员会委员会建议建议COSO委员会委员会（The Committee of Sponsoring Organization)1992年年9月月内部控制内部控制整体框架整体框架（Internal Control-Integrated Framework）专题报告，简称COSO报告报告内部控制发展史上的一个里程碑！内部控制发展史上的一个里程碑！（三）（三）COSO报告及报告及SAS781996年年AICPA发布发布审计准则公告第审计