公司内部控制及内部控制审计管理知识分析(ppt 85页).ppt

第12章内部控制评审（二）,课件使用厦门大学陈汉文教授审计理论，网络下载。,目录,内部控制的评价要求,内部控制的评价方法,内部控制审计的历史演进,内部控制审计的概念框架,学习目的与要求,对上市公司内部控制进行评价与审计是一种最新的国际发展趋势。通过本章的学习，应熟练了解美国、英国和中国等国家上市公司内部控制的评价与报告体系、评价依据与评价方法等；应熟练掌握内部控制评价中的详细评价法和风险基础评价法，并能识别其区别与联系；在此基础上，本章还要求学生了解内部控制审计的历史演进过程及其原因，熟悉美国PCAOB的财务呈报内部控制审计准则和内部控制审计的概念框架。,综述,萨班斯奥克斯利法案以及内部控制评审的相关规则与指引的出台,安然、世通等财务舞弊与审计合谋案件层出不穷,上市公司内部控制的评审体系,公司管理层对财务呈报内部控制有效性进行评价，对内向审计委员会报告、对外发布公开报告。,审计师对财务呈报内部控制进行审计，对公司财务呈报内部控制的有效性发表审计意见。,一,二,内部控制的评价要求,内部控制的评价方法,第一节审计需求的代理理论,概述,企业内部控制的评价与报告主要涉及企业内部控制评价与报告的要求以及评价的方法等内容。从国际发展的视角来看，美国和英国等主流市场经济国家的证券监管部门都针对上市公司内部控制的评价与报告制定了相应的规则，提出了明确的要求，并制定了内部控制评价的指引。,一、内部控制的评价要求美国,Sarbanes-Oxley法案,为上市公司规定了一个内部控制的评价和报告体系，以提高内部控制的有效性，加强内部控制信息的透明度。,302节“公司对财务报告的责任”,404节“管理层对内部控制的评价”,要求上市公司管理层对财务呈报内部控制的有效性进行评价，对内向审计委员会报告、对外发布公开报告；并要求聘请审计师对财务呈报内部控制进行审计。,美国上市公司内部控制评价与报告体系（图）,1评价依据,SEC2003年6月发布的“最终规则：管理层对财务呈报内部控制的报告和交易法案定期报告中披露的确认”（FinalRule:ManagementsReportsonInternalControlOverFinancialReportingandCertificationofDisclosureinExchangeActPeriodicReports）要求，管理层对公司财务呈报内部控制有效性的评价必须依据一个适当的、公认的控制框架。,没有偏见,允许适当一致的定性和定量衡量公司的内部控制,充分完整，没有忽略那些会改变公司内部控制有效性结论的相关要素,与评价财务呈报内部控制相关,COSO框架,并不唯一,SEC也要求管理层的报告必须包含对管理层在评价过程中确定的公司财务呈报内部控制中所有重要弱点的披露。,1评价依据,对于公司财务呈报内部控制有效性的评价，SEC没有提出管理层可以据以断定公司财务呈报内部控制有效的具体标准，但是，SEC设定了一个管理层断定公司财务呈报内部控制有效的限度（threshold）。,如果管理层识别出公司财务呈报内部控制中的一个或多个重大漏洞（materialweakness），管理层就不能确定公司的财务呈报内部控制是有效的。,2评价方法,对公司财务呈报内部控制的评估必须根据足以既能评价内部控制的设计又能测试内部控制运行有效性的程序进行。,需要评估的控制：（包括但不限于）,2评价方法,证据,SEC2003年6月发布的“最终规则：管理层对财务呈报内部控制的报告和交易法案定期报告中披露的确认”的要求，每一个美国或非美国证券发行人的管理层要在发行人首席执行官和首席财务官（或履行类似职能的人）的参与下，评价发行人每一财务年度末财务呈报内部控制的有效性。此外，还要求公司的年度报告要包括管理层的一个内部控制报告。,3评价报告,3评价报告,根据SOX法案以及SEC的相关规则，公司管理层不但要定期对外报出财务呈报内部控制的报告，而且还要向公司的审计委员会报告内部控制的以下相关情况：,一、内部控制的评价要求英国,Cadbury委员会在其发布的名为内部控制和财务报告的报告中要求英国各公司的董事会公布一份有关其内部财务控制制度的声明，这份声明必须至少包括以下内容：承认董事会对内部财务控制负责；为内部控制制度对重大的错报或遗漏的事项仅提供合理保证而非绝对保证做出解释；描述董事会为了确保有效的内部财务控制已经建立的关键程序；证实董事会已经审核过内部财务控制制度的有效性。,1994年,鼓励但不要求董事会对内部财务控制制度的有效性发表意见。,一、内部控制的评价要求英国,当前,根据英国当前的公司法、2003年的联合规则以及2005年10月发布的Turnbull指南等相关法律法规，英国公司内部控制评价与报告的体系主要包括以下内容：审查内部控制有效性的责任董事会责任的重要组成部分审查内部控制有效性的过程董事会对内部控制的声明有意义的、高级（high-level）的信息,对帮助股东理解公司的风险管理过程和内部控制系统的主要特征来说是必要的,不应当给出令人误解的印象,一、内部控制的评价要求中国,1评价与报告的责任主体,董事会（主）,管理层（辅）,一、内部控制的评价要求中国,2报告的类型,对外的年度内部控制报告,对内的内部控制报告,随年度财务报告一起对外报出，向资本市场及相关部门呈报。,对监事会、股东大会定期报告企业内部控制的运行情况。,一、内部控制的评价要求中国,对外的年度内部控制报告,对内的内部控制报告,3评价和报告的范围,财务呈报内部控制,涵盖包括合规、报告、经营和战略目标在内的完整的内部控制,一、内部控制的评价要求中国,4报告的内容,对外的年度内部控制报告,对内的内部控制报告,董事会、管理层要在报告中就其有效性形成结论，清晰说明财务呈报内部控制是否有效。,董事会、管理层要对内部控制的设计和运行情况进行评价和说明，报告内部控制存在的问题以及采取的纠正措施。,注册会计师对财务呈报内部控制的审计报告,注册会计师要就被审计单位是否在所有重大方面保持了有效的财务呈报内部控制发表意见。,我国企业内部控制评价与报告体系（图）,二、内部控制的评价方法,（一）美国SEC的解释指南,根据指南要求，企业管理层采用自上而下、风险基础的方法评价财务呈报内部控制的过程主要包括三个步骤：,1识别财务报告风险和控制,（1）识别财务报告风险,评价公认会计原则的规定是如何应用于公司的业务、经营和交易,考虑财务报告要素错报的来源和潜在可能性,识别那些对财务报表造成重要错报的来源,同时也应当考虑主体对欺诈活动（比如虚假财务报告、资产滥用和贪污）的脆弱性以及那些风险是否能够导致财务报表的重要错报。,1识别财务报告风险和控制,（2）识别充分应对财务报告风险的控制,如果财务报表发生重要错报的相关财务报告要素中的错报相当可能没有被及时阻止或发现,控制,不充分,如果管理层确定，其控制没有适当设计，一项缺陷存在，必须对其进行评价以确定它是否是一个实质性漏洞。,1识别财务报告风险和控制,（3）对企业层面控制的考虑,管理层在识别和评价财务报告风险和某一财务报告要素的相关控制时要考虑企业层面控制的性质以及它们如何与财务报告要素相联系。,企业层面控制,一些企业层面的控制是设计在流程、交易或应用层面运行的，并且可以充分的及时防止或发现能够导致财务报表发生重要错报的一个或多个财务报告要素的错报。,一个企业层面的控制可以用来识别较低层次控制的可能故障，但自身并不能充分应对能够导致财务报表重要错报的财务报告要素的错报没有被及时防止或发现的风险。,控制,财务报表要素,关系越间接，它防止或发现错报的有效性就越低。,1识别财务报告风险和控制,（4）总体信息技术控制的作用,控制,自动,依赖于信息技术,管理层的评价过程通常要考虑的控制,1识别财务报告风险和控制,（4）总体信息技术控制的作用,总体IT控制,公司的实际情况和环境不同而存在差异,通常情况下，管理层应当考虑与程序开发有关的总体IT控制目标、程序改变、计算机运行和对程序和数据的接触是否适用于其实际情况和环境以及适用程度如何。,1识别财务报告风险和控制,（5）支持评估的证明材料,记录管理层付诸实施的用来充分应对财务报告风险的控制的设计,支持,评估,取决于公司的规模、性质和复杂程度,多种方式出现（比如，政策手册、过程模型、流程图、工作描述、单证、内部备忘录、表格等）,多种形式（比如，纸质文档、电子或其他媒介）,不必包括影响财务报告的流程中存在的所有控制。,集中在管理层断定会充分应对财务报告风险的那些控制上。,2评价财务呈报内部控制运行有效性的证据,（1）确定支持评估所需要的证据,支持评估所需证据的多少主要取决于与控制相关的财务报告要素的特征的影响和控制自身特征的影响，即对财务呈报内部控制风险的评估。,2评价财务呈报内部控制运行有效性的证据,（1）确定支持评估所需要的证据,财务报告要素的特征,管理层需要考虑的因素：,财务报告要素的重要性,主要会计余额、交易或其他支持信息对重要错报的敏感性,控制没有有效运行的可能性,控制的类型、复杂性,管理层越过的风险,运行该项控制所需要的判断,该项控制预计要防止或发现的错报的性质和重要性,该项控制对其他控制有效性的依赖程度,2评价财务呈报内部控制运行有效性的证据,（2）实施程序，评价财务呈报内部控制运行的证据,管理层评价的程序,专门为财务呈报内部控制评价而实施,与员工的日常职责结合在一起,管理层评价的证据,其他原因而实施的活动,持续监督,直接控制测试,评估风险的大小,影响,管理层所获取证据的性质,2评价财务呈报内部控制运行有效性的证据,（3）支持该评估的证据,证据的性质,控制的复杂程度,运行该项控制所需判断的程度,可能导致财务报表重要错报的财务报告要素错报的风险,因素增加,证明材料单独保存,不必单独保存其所评价证据的备份,2评价财务呈报内部控制运行有效性的证据,（4）多场所的考虑,集中运行的控制,充分应对财务报告风险,评价方法与单个场所或业务单元的企业相同,单个场所控制,低风险,高风险,一,二,三,信号传递观,信息系统观,审计需求信息理论的经验检验,第二节审计需求的信息理论,3评价控制缺陷与报告,（1）控制缺陷的评价,缺陷,or,实质性漏洞,定性因素,定量因素,错报概率,潜在错报的影响大小,补偿性控制的影响,3评价控制缺陷与报告,（2）评价结论与报告,实质性漏洞的性质,它对财务报告和控制环境的影响,管理层当前纠正该缺陷的计划,报告还需披露以下内容：,（二）加拿大CICA的风险基础评价方法,首先要求上市公司的CEO和CFO对财务呈报内部控制的设计进行评估和确证（certification）。,2006年,2007年,要求对整个财务呈报内部控制的有效性进行评价和确证。加拿大特许会计师协会（TheCanadianInstituteofCharteredAccountants，CICA）在对财务呈报内部控制的设计进行评价时明确要求采用自上而下、风险基础的方法。,1总体要求,管理层应当开发一种方法，通过这种方法使得评价过程和步骤的性质、范围和时间建立在主要的财务报告和披露风险上，并确保管理层对财务呈报内部控制的设计得出可靠的结论。要考虑的因素主要包括：,1总体要求,CEO和CFO在规划评价方法时还要考虑的其他问题包括：,COCO框架,COSO框架财务呈报内部控制较小公共公司指南,Turnbull指南,COBIT框架,2评价思路,三个阶段七个步骤,（三）普华的内部控制评价方法,1十二个步骤,2七个阶段,（1）项目启动,项目监督,项目管理,项目启动,项目监督是指内部控制的评价需要广泛的、高层的监督，建立良好的管理框架。确定该项目各方以及涉及的每个部门和职能的责任有助于使这个项目成功。,项目管理是指对项目进行强有力的实施，这主要取决于严格的项目管理。项目管理的关键是建立追踪和合并内部控制变动的基础设施和方法，以确保管理层记录和测试的控制代表那些实际的控制。,2七个阶段,（2）确定评价范围和计划,2七个阶段,（3）评价服务组织的内部控制,使用服务组织了吗？,外包的活动、流程和职能对财务报告内部控制来说重大吗？,针对外包的流程存在SAS70报告吗？,是第二种类型的SAS70报告吗？,SAS70报告充分应对了外包流程相关信息处理目标的内部控制吗？,SAS70报告期间至少包括6个月的活动，并且表明的日期在财务年度末6个月之内吗？,不需要采取进一步行动,管理层能够要求适当范围和时间的第二种类型的SAS70报告吗？,是,是,是,是,是,否,否,否,是,（续下图）,管理层已经评价和测试了报告中包括的使用者控制的运行有效性，并确定实施了适当的内部控制以支持服务组织的活动吗？,2七个阶段,（3）评价服务组织的内部控制,SAS70报告期间至少包括6个月的活动，并且表明的日期在财务年度末6个月之内吗？,是,是,（续上图）,意见是无保留的吗？,管理层已经评价了报告中包括的每一个控制缺陷并断定对内部控制支持相关信息处理目标的能力没有影响吗？,是,管理层已经评价和测试了报告中包括的使用者控制的运行有效性，并确定实施了适当的内部控制以支持服务组织的活动吗？,管理层能够要求适当范围和时间的第二种类型的SAS70报告吗？,管理层应当实施替代程序（如测试使用者控制，测试服务组织的控制，或要求服务组织的审计师实施商定程序），以应对服务组织支持相关信息处理目标而实施的内部控制。,管理层应当就其信赖服务组织控制的能力得出结论。,否,否,是,2七个阶段,（4）记录,相关记录是管理层评价财务呈报内部控制的依据和证据。,为了履行职责，管理层在记录内部控制时应当实施四个步骤：,确定记录的范围,记录相关流程,记录相关控制,评估控制的设计,2七个阶段,（5）测试以确定内部控制的运行有效性,测试相关的控制，这些控制必须包括每个单独重要场所的所有重大账户和披露的所有认定的每一个内部控制要素以及其他场所的特别风险领域。公司必须测试证据以支持管理层对财务呈报内部控制的评估。,识别要测试的控制,确定将要实施测试的人,制定和实施测试计划,评价测试结果,2七个阶段,（6）内部控制缺陷的评价与报告,按重要性划分,内部控制缺陷,重大缺陷（significantdeficiency）,实质性漏洞（materialweakness）,识别缺陷,了解和评估缺陷,评估错报的可能性,评估潜在的错报大小,识别弥补型控制,确定缺陷的类别,评估缺陷的组合,内部控制缺陷的识别、评估和分类程序7步骤,2七个阶段,（7）沟通,管理层必须将其发现的所有显著缺陷和实质性漏洞告知审计委员会和外部审计师。,一,二,内部控制审计的历史演进,内部控制审计的概念框架,第二节内部控制审计,一、内部控制审计的历史演进,（一）麦克森罗宾斯公司破产事件,1938年,经济往来的过程中,发现麦克森罗宾斯公司的原料部门的现金积累和存货金额存在严重的问题。,（一）麦克森罗宾斯公司破产事件,SEC立案调查,（一）麦克森罗宾斯公司破产事件,影响,该破产案件的披露，给社会和民间审计职业带来了很大的震动，暴露了审计程序与内部控制的严重缺陷，审计职业的社会声誉受到巨大冲击，引发了社会公众对独立审计职业的热烈讨论以及SEC的严重关注。,SEC认识到审计程序和内部控制存在严重缺陷，通过它们无法发现管理当局合谋舞弊行为，所以试图通过修订有关审计的各项规则来强化监督权。,美国会计师协会和美国注册会计师协会也就该事件纷纷作出积极的反应，分别制定了相关的文件、补充规定、专题报告以及九项公认审计准则。,人们在重视内部控制的同时，也开始关注内部控制审计,（二）反国外行贿法案及相关公告,20世纪70年代以前,重视内部控制的主要是公司管理当局自身,1973年至1976年美国“水门事件”,立法机关和行政机关开始注意到内部控制问题。调查显示，过去不少美国大公司进行了非法的国外捐款、可疑的或违法的国外支付。,1977年12月19日,美国国会正式批准并通过了反国外行贿法案（ForeignCorruptPracticesAct，简称FCPA），该法案除了规定禁止各种形式的行贿或具有行贿可疑的行为外，法案还要求在证券交易委员会管辖下的每一家公司必须拥有持续的内部会计控制，以合理保证所有交易事项都得到公司管理当局的授权和认可。,（二）反国外行贿法案及相关公告,该法有关内部会计控制的部分内容：,建立和保持账簿、记录和账户，它们应该充分、详细、正确和公允地反映公司（指上市公司）的各类交易业务和资产的处理；,设计和保持充分的内部会计控制制度，并保证依据公司管理当局的一般授权或特殊授权处理各种交易业务；,交易业务的记录必须遵守一般公认会计原则，或其他使用于财务报表编制的标准，维护对资产的经管责任，只有经过公司管理当局的一般授权或特殊授权才能接触资产；,对管理资产的责任记录应当在适当的时间间隔内同实有资产进行比较，校对有关差异采取适当的纠正行动。,（二）反国外行贿法案及相关公告,1978年2月16日,美国证券交易委员会发表了证券交易法第14478号公告，题为“颁布1977年反国外行贿法的通知”。,由于反国外行贿法案签署生效，对受新法要求的发行者，要审查其会计程序、内部会计控制制度和营业惯例，以促使他们采取符合法律要求的必要措施。,（二）反国外行贿法案及相关公告,影响,（三）COSO报告及SAS78,1985年,美国注册会计师协会(AICPA),美国会计学会(AAA),内部审计师协会(IAA),财务经理协会(FEA),全国会计师协会(NAA),反舞弊财务报告委员会（NationalCommissionOnFraudulentFinancialReporting，亦称TreadwayCommission）,研究舞弊性财务报告产生的原因及其相关领域（包括内部控制不健全的问题）。,（三）COSO报告及SAS78,1987年,Treadway委员会,建议,COSO委员会（TheCommitteeofSponsoringOrganization),1992年9月,内部控制发展史上的一个里程碑！,（三）COSO报告及SAS78,1996年,AICPA,发布,（SAS55）,取代,内部控制是由公司董事会、经理阶层和其他员工实施的，为财务报告的可靠性、经营的效果和效率、相关法令的遵循性等目标的达成提供合理保证的过程，其构成要素应来源于管理阶层经营公司的方式，并与公司管理的过程相结合。,（三）COSO报告及SAS78,（四）萨班斯奥克斯利法案及其404条款,2007年,标志着上市公司的内部控制信息开始纳入强制性信息披露范围,首次提出对“财务呈报内部控制”的有效性进行审计,该法案要求，根据1934年证券交易法中13(a)或15(d)款要求递交年报的公众公司管理当局应当对公司内部控制的有效性进行披露报告，独立审计人员必须对管理当局的这份评估报告进行审计。,（四）萨班斯奥克斯利法案及其404条款,实践层面,SEC通过制定规则来具体执行萨班斯利法案404条款，这些规则为CEO和CFO对公司财务呈报内部控制（entitysinternalcontroloverfinancialreporting）和披露控制（disclosurecontrol）的报告提供了指南；,PCAOB通过为独立审计人员制定审计准则，直接影响独立审计人员该类审计合约的计划与实施；,COSO委员会制定内部控制标准框架，作为管理当局和独立审计人员进行内部控制评价的基础。,（四）萨班斯奥克斯利法案及其404条款,萨班斯法案404条款的规定引起了法律界和职业界的广泛关注，SEC和AICPA也分别提出了自己的最终规则（FinalRule）和征求意见稿。针对上述最终规则和征求意见稿，各会计师事务所也积极行动，典型的有McGladrey&Pullen和KPMG等会计师事务所制定了财务呈报内部控制评价的操作指引，对财务呈报内部控制有效性评价提出了具体的操作建议。,（四）萨班斯奥克斯利法案及其404条款,1.SEC的最终规则（2003年8月）,SEC的最终规则对管理当局如何披露公司财务呈报内部控制提出了具体的要求，规定上市投资公司之外的公司在年报中应提供一份管理当局对公司财务呈报内部控制评估的报告，并要求该内部控制报告必须包括：管理当局签署由其负责建立和维护充分的公司财务呈报内部控制的声明；公司在最近财年末对财务呈报内部控制的有效性进行评估；说明管理当局进行公司财务呈报内部控制有效性评估遵循的框架标准；提供负责该公司财务报表审计的独立审计人员事务所的审计人员对公司管理当局财务呈报内部控制有效性的评估报告发表的独立审计报告。,（四）萨班斯奥克斯利法案及其404条款,1.SEC的最终规则（2003年8月）,财务呈报内部控制是一个过程，由公司的CEO、CFO或者行使类似职权的人员设计或监控，受公司的董事会、管理当局和其他人员所影响，为财务呈报的可靠性和财务报表（供外部使用的）的编制符合公认会计原则提供合理的保证。,具体包括以下控制政策和程序：,（四）萨班斯奥克斯利法案及其404条款,1.SEC的最终规则（2003年8月）,“财务报告可靠性”目标“遵循相关法律法规”目标（仅保留了诸如证券交易委员会财务报告要求这类与财务报表编制直接相关的法律法规）,“财务报告可靠性”目标“经营活动的效率和效果”目标“遵循相关法律法规”目标,内部控制,COSO报告,SEC的最终规则,（四）萨班斯奥克斯利法案及其404条款,2.AICPA的征求意见稿（2003年3月18日）,主要内容包括：（1）对一些审计准则公报（SASs）和鉴证事务准则公报（SSAE）进行了修订，使之在财务呈报内部控制有效性审计中更好地发挥作用。（2）作为一项完整的活动，公众公司（publiccompany）审计包括财务报表审计和财务呈报内部控制审计两个部分。（3）独立审计人员需要对审计工作进行计划，对公司的内部控制进行了解，对其设计有效性和执行有效性进行评价，进而发表独立审计意见。（4）对内部控制缺陷进行了定义。（5）对财务呈报内部控制评价发表无保留审计报告的限制条件做了规定。,（四）萨班斯奥克斯利法案及其404条款,3.KPMG的报告,（1）明确了审计人员对财务呈报内部控制有效性审计程序的构成要素。,要求审计人员对财务呈报内部控制每个层面的重要控制的设计和执行有效性、每个重要会计账户、交易类别、披露和相关认定进行评价。,关注点不同,（四）萨班斯奥克斯利法案及其404条款,3.KPMG的报告,（1）界定了财务呈报内部控制有效性审计与财务报表审计的关系。,目标不同,财务报表审计的目的是对财务报表是否在所有重大方面遵循了公认会计原则而发表审计意见。,财务呈报内部控制审计的目标是对公司是否在所有重大方面建立健全了财务报告的有效内部控制发表意见。,都需要对财务呈报内部控制的设计和执行有效性进行评价,（五）PCAOB的财务呈报内部控制审计准则,1.第2号审计准则（2004年3月9日）,PCAOB,发布,对内部控制的审计涉及以下内容：评价管理当局就公司财务呈报内部控制有效性评估的过程；评价财务呈报内部控制设计和执行的有效性；形成对财务呈报内部控制是否有效的审计意见。,（五）PCAOB的财务呈报内部控制审计准则,(续下表),（五）PCAOB的财务呈报内部控制审计准则,(续上表),（五）PCAOB的财务呈报内部控制审计准则,在实施AS.2过程中，两大特点日益显现：,（1）财务呈报内部控制审计产生了重大的收益。,（2）这些收益也带来了重大的成本。,（五）PCAOB的财务呈报内部控制审计准则,2.第5号审计准则（2007年7月25日）,PCAOB,发布,ASNo.5没有减少ASNo.2的要求，不仅会保持高质量的内部控制，而且还会增加对风险的关注；ASNo.5的其主要目的是为了简化程序以便具有更强的可操作性和更广泛的适用性，能更有效地适用于小型且结构较不复杂的公司。,ASNo.2,取代,（五）PCAOB的财务呈报内部控制审计准则,2.第5号审计准则（2007年7月25日）,二、内部控制审计的概念框架,（一）财务呈报内部控制的概念,财务呈报内部控制是一个过程，由公司的主要执行官员、主要财务官员或者行使类似职权的人员设计或监控，受公司的董事会、管理当局和其他人员所影响，为财务报告的可靠性和财务报表（供外部使用的）的编制符合公认会计原则提供合理的保证。,具体包括以下控制政策和程序：,（二）内部控制审计的目标,财务呈报内部控制审计的目标：经过审计，审计人员就公司财务呈报内部控制发表审计意见。,管理当局特定日期,评估结论中不存在实质性漏洞,合理保证,（三）一般缺陷、重大缺陷和实质性漏洞,一般缺陷（controldeficiency）,重大缺陷（significantdeficiency）,实质性漏洞(materialweakness),在日常执行控制设计的程序过程中，控制的设计或执行无法让管理当局或