中央财经大学审计学课件第八章了解被审计单位并评估重大错报风险

1、LOGO中央财经大学会计学院中央财经大学会计学院 曹强曹强Auditing第八章第八章 了解被审计单位并评估了解被审计单位并评估重大错报风险重大错报风险创业板创业板创业板创业板创业板创业板创业板创业板本章概要本章概要 1.风险评估概述 2.风险评估程序、信息来源和项目组内部讨论 3.了解被审计单位及其环境 4.了解被审计单位的内部控制 5.评估重大错报风险第一节第一节 风险评估概述风险评估概述 一、含义一、含义 风险评估，是指以了解被审计单位及其环境为内容内容，以充分充分识别和评估财务报表重大错报风险为目的目的，在设计和实施进一步审计程序之前实施的程序。 二、总体要求二、总体要求 1.风险评估

2、是必要程序和规定动作;风险导向审计的基本理念。 2.风险评估是一个连续和动态收集、更新和分析信息的过程。（风险评估贯穿于整个审计过程的始终）第一节第一节 风险评估概述风险评估概述审计风险评估的基本框架审计风险评估的基本框架 实施实施进一进一步审步审计程计程序序识识别别被审计单位的性质被审计单位的性质被审计单位对会计政策被审计单位对会计政策的选择和运用的选择和运用目标、战略与相关目标、战略与相关经营风险经营风险财务业绩的衡量与评价财务业绩的衡量与评价行业状况、法律与监管行业状况、法律与监管环境以及其他外部因素环境以及其他外部因素了解被审计单了解被审计单位及其环境位及其环境内部控制内部控制评评估估

3、第二节第二节 风险评估程序、信息来源和项目组内部讨论风险评估程序、信息来源和项目组内部讨论 一、风险评估程序与信息来源一、风险评估程序与信息来源（一）询问被审计（一）询问被审计单位管理层单位管理层和和内部其他相关人员内部其他相关人员（二）分析程序（二）分析程序（三）观察和检查（三）观察和检查（四）其他审计程序和信息来源（四）其他审计程序和信息来源 二、项目组内部的讨论二、项目组内部的讨论（一）讨论的目标（一）讨论的目标 为项目组成员提供了交流信息和分享见解的机会。 （二）讨论的内容（二）讨论的内容 项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式，特别是由于

4、舞弊导致重大错报的可能性。（三）参与讨论的成员（三）参与讨论的成员：项目组的关键成员及相关专家 （四）讨论的时间和方式（四）讨论的时间和方式 项目组应当根据审计的具体情况，在整个审计过程中持续交换持续交换有关财务报表发生重大错报可能性的信息。 第二节第二节 风险评估程序、信息来源和项目组风险评估程序、信息来源和项目组内部讨论内部讨论 第三节第三节 了解被审计单位及其环境了解被审计单位及其环境 一、了解的内容一、了解的内容（一）行业状况、法律环境与监管环境以及其他外部因素；（二）被审计单位的性质；（三）被审计单位对会计政策的选择和运用；（四）被审计单位的目标、战略以及相关经营风险；（五）被审计单

5、位财务业绩的衡量和评价；（六）被审计单位的内部控制。（六）被审计单位的内部控制。二、行业状况、法律环境与监管环境以及其他外部因素二、行业状况、法律环境与监管环境以及其他外部因素（一）了解的具体内容（一）了解的具体内容（二）实施的风险评估程序实施的风险评估程序第三节第三节 了解被审计单位及其环境了解被审计单位及其环境 三、被审计单位的性质三、被审计单位的性质 所有权结构所有权结构 治理结构治理结构 组织结构组织结构 经营活动经营活动 投资活动投资活动 筹资活动筹资活动四、被审计单位对会计政策的选择和运用四、被审计单位对会计政策的选择和运用 注册会计师应当关注下列重要事项：注册会计师应当关注下列重

6、要事项： 重要项目的会计政策和行业惯例重要项目的会计政策和行业惯例 重大和异常交易的会计处理方法。重大和异常交易的会计处理方法。 在新领域和缺乏权威性标准或共识的领域，采用重要会在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响计政策产生的影响 会计政策的变更。会计政策的变更。 被审计单位何时采用以及如何采用新颁布的会计准则和被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。相关会计制度。第三节第三节 了解被审计单位及其环境了解被审计单位及其环境 五、被审计单位的目标、战略以及相关经营风险五、被审计单位的目标、战略以及相关经营风险（1）行业发展，人力资源；（2）开发新

7、产品或提供新服务；（3）业务扩张；（4）新颁布的会计法规；（5）监管要求；（6）本期及未来的融资条件；（7）信息技术的运用。第三节第三节 了解被审计单位及其环境了解被审计单位及其环境 六、被审计单位财务业绩的衡量和评价六、被审计单位财务业绩的衡量和评价1、注册会计师应当关注下列信息：（1）关键业绩指标；（2）业绩趋势；（3）预测、预算和差异分析；（4）管理层和员工业绩考核与激励性报酬政策；（5）分布信息与不同层次部门的业绩报告；（6）竞争对手的业绩比较；（7）外部机构提供的报告2、应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调查结果和纠正措施，以及相关信息是否显示财

8、务报表可能存在重大错报。 3、财务业绩衡量指标的可靠性。第三节第三节 了解被审计单位及其环境了解被审计单位及其环境 第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制一、内部控制的内涵一、内部控制的内涵 内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。 二、内部控制的要素二、内部控制的要素 三要素论：控制环境、会计系统、控制程序 五要素论：控制环境、风险评估过程 、信息系统和沟通、控制活动、对控制的监控 COSO委员会1992年内部控制报告关注：关注：COSOCOSO委员会有关内控的研究与报

9、告委员会有关内控的研究与报告目标责任主体我国的审计准则采用了我国的审计准则采用了COSOCOSO的内部控制框的内部控制框架对内控要素进行分类。架对内控要素进行分类。控制活动风险评估控制环境监控信息与沟通所有业务活动的核心都是人所有业务活动的核心都是人员（他们的个人特性，包括员（他们的个人特性，包括诚信、道德价值观和胜任能诚信、道德价值观和胜任能力）以及他们开展经营所处力）以及他们开展经营所处的环境。他们是推动企业发的环境。他们是推动企业发展的引擎，也是所有事情赖展的引擎，也是所有事情赖以存在的基础。以存在的基础。企业必须了解和应对它所面临企业必须了解和应对它所面临的风险。它必须设定目标，整的风

10、险。它必须设定目标，整合销售、生产、营销、财务和合销售、生产、营销、财务和其他活动，以便使组织协调一其他活动，以便使组织协调一致地运行。它还必须建立识别、致地运行。它还必须建立识别、分析和管理相关风险的机制。分析和管理相关风险的机制。必须确立和执必须确立和执行控制政策和行控制政策和程序，以帮助程序，以帮助确保那些管理确保那些管理层确定的处置层确定的处置风险以实现企风险以实现企业目标的必要业目标的必要活动得以有效活动得以有效地实施地实施。围绕在这些活动周围的是信息与沟围绕在这些活动周围的是信息与沟通系统。它们使企业的员工能够获通系统。它们使企业的员工能够获得和交换那些执行、管理和控制其得和交换那

11、些执行、管理和控制其经营活动所需的信息。经营活动所需的信息。必须对整个过程进必须对整个过程进行监控，并在必要行监控，并在必要时做出修改。这样，时做出修改。这样，该体系才能做出动该体系才能做出动态反应，随着情况态反应，随着情况的需要而变化。的需要而变化。第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制监监 控控 控制环境控制环境控制控制活活 动动风险评估风险评估这些要素源于管理层经营业务的方式，并与管理的流程整合在一起。COSO内部控制的结构内部控制的结构第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制信息系统信息系统和沟通和沟通信息系统信息系统和沟通和沟通COSOC

12、OSO内部控制三目标与五要素的关系内部控制三目标与五要素的关系内部控制是一个管理过程内部控制是一个管理过程三类目标三类目标遵守法律和法规遵守法律和法规财务报告的可靠性财务报告的可靠性适用的法律和规章适用的法律和规章可信赖的财务报告可信赖的财务报告经营效果和效率经营效果和效率特有的各种交易特有的各种交易控制环境控制环境风险评估风险评估控制活动控制活动监控监控信息与沟通信息与沟通控制环境控制环境风险评估风险评估控制活动控制活动监控监控信息与沟通信息与沟通控制环境控制环境风险评估风险评估控制活动控制活动监控监控信息与沟通信息与沟通第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制第四节第

13、四节 了解被审计单位的内部控制了解被审计单位的内部控制三、与审计相关的内部控制三、与审计相关的内部控制（一）为实现财务报告可靠性目标设计和实施的控制 注册会计师应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。 （二）其他与审计相关的控制 （1）被审计单位内部生成的信息。 （2）经营效率、效果的及对法律法规遵守的控制。 （3）保护资产的内部控制。 四、对内部控制了解的深度四、对内部控制了解的深度 对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度，包括评价控制的设计，并确定其是否得到执行。（一）评价控制的

14、设计 评价控制的设计是指考虑一项控制单独或连同其他控制是否能够防止或发现并纠正重大错报。（二）评价控制的执行 评价控制的执行是指考虑某项控制存在且被审计单位正在使用。 （三）评价控制设计和执行的风险评估程序 第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制五、内部控制的人工和自动化成分五、内部控制的人工和自动化成分 在了解内部控制时，注册会计师应当考虑被审计单在了解内部控制时，注册会计师应当考虑被审计单位是否通过建立有效的控制，以恰当应对由于使用信位是否通过建立有效的控制，以恰当应对由于使用信息技术系统或人工系统而产生的风险。息技术系统或人工系统而产生的风险。 第四节第四节 了解

15、被审计单位的内部控制了解被审计单位的内部控制（三）了解内部控制与测试控制运行有效性的关系 1。询问被审计单位的人员；2。观察特定控制的运用；3。检查文件和报告；4。追踪交易在财务报告信息系统中的处理过程（穿行测试）。除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。 六、内部控制的局限性六、内部控制的局限性 内控的固有局限性内控的固有局限性是指，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证，而非绝对的保证。主要包括： 1、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效； 2、可能两人或更多的人员串通或管理层凌驾于

16、内部控制之上而被规避； 小型被审计单位小型被审计单位由于成本效益原则的限制，注册会计师应当考虑一些关键领域是否存在有效的内部控制。 第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制七、对被审计单位内部控制的评价：从五要素论出发七、对被审计单位内部控制的评价：从五要素论出发（一）控制环境（一）控制环境（二）风险评估（二）风险评估（三）信息系统与沟通（三）信息系统与沟通（四）控制活动（四）控制活动（五）对控制的监督（五）对控制的监督第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制（一）了解控制环境（一）了解控制环境v 了解的具体内容了解的具体内容w 对诚信和道德价值观念

17、的沟通与落实w 对胜任能力的重视w 治理层的参与程度w 管理层的理念和经营风格w 组织结构与职权和责任的分配w 人力资源政策与实务v 控制环境的评估控制环境的评估w 询问与观察并用w 考虑控制环境对重大错报风险评估的影响第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制（二）了解风险评估（二）了解风险评估v风险的来源风险的来源v识别经营风险识别经营风险v评价风险评估过程的设计与执行评价风险评估过程的设计与执行 在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定：w 管理层如何识别与财务报告相关的经营风险管理层如何识别与财务报告相关的经营风险w 如何估计该风险的重要性如何

18、估计该风险的重要性w 如何评估风险发生的可能性如何评估风险发生的可能性w 如何采取措施管理这些风险。如何采取措施管理这些风险。 第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制举例：物资采购流程的风险评估举例：物资采购流程的风险评估一、业务目标：一、业务目标：1 经营目标1.1 按质按量按时和经济高效地满足生产建设物资需求。1.2 物资采购性能价格比最优和总成本最低。2 财务目标2.1 会计核算真实、准确、完整。2.2 资金支付安全。2.3 减少资金占用。3 合规目标3.1 物资采购过程公开、规范有序、合法合规。3.2 物资采购合同或协议符合国家法律、法规以及国家外贸政策和公司内

19、部规章制度。第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制二、业务流程梳理：二、业务流程梳理：1.1.物资供应物资供应职责界定职责界定2.2.物资计划编物资计划编制与审核制与审核3 3采购渠道的采购渠道的确定与控制确定与控制4 4采购价格确采购价格确定与控制定与控制5.5.采购合同签订、采购合同签订、审批与执行审批与执行6.6.采购质量采购质量控制控制7.7.供应物流与供应物流与储备管理储备管理8.8.采购资金使采购资金使用和控制用和控制9.9.绩效评价、绩效评价、考核与监督考核与监督第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制三、风险识别三、风险识别1 经营

20、风险1.1 分散对外采购，不能形成整体和批量采购优势，造成采购资金浪费。1.2 国内外采购割裂，不能在全球范围内搜寻资源，对全球供应市场行情缺乏了解、跟踪、分析和研究，价格监管不力，导致采购性价比不合理。1.3 物资需求计划不准确、不及时，变更频繁，不能有效满足生产建设物资需求，造成物资积压。1.4 物资采购供应不及时、采购物资质量不能满足生产技术要求,影响正常生产建设。1.5 供应商选择不当，指定或变相指定供应商，造成经济损失，滋生腐败。1.6 重复储备、库存结构不合理，储备资金占用大。1.7 物资采购合同或协议对买卖双方的权利、义务和违约责任等表述不清，或未经审核，变更合同或协议条款，导致

21、经济纠纷和经济损失。 第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制2 财务风险2.1 资金分散使用，付款时间、方式、金额不恰当造成资金效益的流失。2.2 多记、错记、漏记物资入库、库存或应付账款，导致财务数据不准确、不完整。 3 合规风险3.1 制度不健全或有漏洞，执行制度不到位和监督考核不力,导致违纪违规问题发生。3.2 物资采购合同或协议不符合国家法律、法规以及国家外贸政策和公司内部规章制度的要求，遭到处罚。 四、风险评估四、风险评估第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制主要业务流程风险识别评估：主要业务流程风险识别评估：采购：无法满足正常的生产经

22、营需要或物资积压；采购成本过高；应付款管理不到位，财务费用过高；销售：市场预测失误；价格管理不到位；信用管理不严格；应收款管理不善，积压资金甚至造成坏帐损失；生产管理：生产计划与销售计划不匹配，产品积压或脱销；生产工艺未及时优化调整；生产安全工作不到位造成事故；存货管理：未进行最优库存管理；存货跌价损失；保管不善、未进行必要的保险、处置不当等原因，造成损失；财务报告：会计政策选择不恰当；业务核算违反准则或内部会计制度；合并报表过程出现错误；财务报表附注编制有误；违反有关披露的监管规定；etc.第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制（三）了解信息系统与沟通（三）了解信息系

23、统与沟通v 注册会计师应当了解与财务报告相关的信息系统；注册会计师应当了解与财务报告相关的信息系统； v 注册会计师应当了解被审计单位内部如何对财务报告的注册会计师应当了解被审计单位内部如何对财务报告的岗位职责，以及与财务报告相关的重大事项进行沟通。岗位职责，以及与财务报告相关的重大事项进行沟通。v 注册会计师还应当了解管理层与治理层之间的沟通，以注册会计师还应当了解管理层与治理层之间的沟通，以及被审计单位与外部的沟通。及被审计单位与外部的沟通。 第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制（四）了解控制活动（四）了解控制活动 注册会计师应当重点考虑一项控制活动单独或连同其他

24、控注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。、账户余额、列报存在的重大错报。 （五）了解对控制的监督（五）了解对控制的监督v 了解对控制的持续监督和专门评价活动了解对控制的持续监督和专门评价活动v 了解对控制的持续监督和专门评价活动应考虑的问题了解对控制的持续监督和专门评价活动应考虑的问题v 了解与监督活动相关的信息来源了解与监督活动相关的信息来源第四节第四节 了解被审计单位的内部控制了解被审计单位的内部控制第五节第五节 评估重大错报风险评估重大错报风险一、识

25、别和评估重大错报风险一、识别和评估重大错报风险 （一）审计程序（一）审计程序v 在了解被审计单位及其环境的过程中识别风险风险，并考虑各项列报；v 将识别的风险与可能发生的错报错报领域相联系；v 考虑识别的风险是否重大重大；v 考虑识别的风险导致财务报表存在重大错报的可能性。第五节第五节 评估重大错报风险评估重大错报风险第五节第五节 评估重大错报风险评估重大错报风险（二）可能表明存在重大错报风险的事项和情况（二）可能表明存在重大错报风险的事项和情况v 宏观方面：包括所在地经济稳定性、市场情况、监管环境、行业环境等。第五节第五节 评估重大错报风险评估重大错报风险第五节第五节 评估重大错报风险评估重

26、大错报风险企业方面：包括进入新的业务领域、采用新技术、发生收购等重大事项、复杂的合营或联营、复杂的融资形式等。该交易附加条件主要包括：收购完成后双方须注册成立新公司，总部设在澳大利亚。新公司名称为兖煤澳大利亚有限公司，2012年底前需在澳大利亚证券交易所上市。届时，中国兖州煤业须将其在兖煤澳大利亚有限公司中的持股比例降至70%以下。新公司须启用澳方人员组成的管理和销售团队，公司多数董事会会议须在澳大利亚召开。新公司首席执行官和首席财政官须多数时间居住在澳大利亚。 澳费利克斯资源有限公司澳费利克斯资源有限公司 第五节第五节 评估重大错报风险评估重大错报风险会计方面：重大会计调整、应用新的准则或制

27、度、会计计量过程复杂、经济业务有重大不确定性等。 （三）重大错报风险的层次（三）重大错报风险的层次 v 某些重大错报风险可能与特定的某类交易、账户余额、某些重大错报风险可能与特定的某类交易、账户余额、列报的认定相关。列报的认定相关。v 某些重大错报风险可能余财务报表整体广泛相关，进而某些重大错报风险可能余财务报表整体广泛相关，进而影响多项认定。影响多项认定。v 控制环境对评估财务报表层次重大错报风险的影响控制环境对评估财务报表层次重大错报风险的影响 。v 控制活动对评估认定层次重大错报风险的影响控制活动对评估认定层次重大错报风险的影响 。第五节第五节 评估重大错报风险评估重大错报风险 在下列两

28、种情况下，应考虑出具保留意见或无法表示意见的审计报告：v 会计纪录的状况和可靠性存在重大问题，不能获取充分适当的审计证据；v 对管理层的诚信存在严重疑虑。第五节第五节 评估重大错报风险评估重大错报风险（四）内部控制对财务报表可审计性的影响（四）内部控制对财务报表可审计性的影响应考虑风险是否属于舞弊风险、是否与近期经济环境、会计处理方法等发生重大变化有关、交易的复杂程度、是否涉及重大的关联方交易、需要主观判断的程度、是否涉及异常的重大交易 了解被审计单位与特别风险相关的控制，评价其设计和执行情况。特别风险的判定 特别风险的处理二、需要特别考虑的重大错报风险二、需要特别考虑的重大错报风险 特别风险

29、：需要特别考虑的重大错报风险。非常规交易非常规交易判断事项判断事项 第五节第五节 评估重大错报风险评估重大错报风险三、仅通过实质性程序无法应对的重大错报风险三、仅通过实质性程序无法应对的重大错报风险了解客户的内控实质性测试初步评价风险最终评价风险控制测试进一步评价风险如果注册会计师认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平，注册会计师应当评价被审计单位针对这些风险设计的控制，并确定其执行情况。第五节第五节 评估重大错报风险评估重大错报风险四、对风险评估的修正四、对风险评估的修正 v注册会计师对认定层次重大错报风险的评估应以获取的审计证据为基础，并可能随着不

30、断获取审计证据而做出相应的变化。v评估重大错报风险与了解被审计单位及其环境一样，也是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。第五节第五节 评估重大错报风险评估重大错报风险第六节与治理层和管理层的沟通第六节与治理层和管理层的沟通v 注册会计师应将注意到的内部控制重大缺陷告知适当层次注册会计师应将注意到的内部控制重大缺陷告知适当层次的管理层或治理层。的管理层或治理层。v 下列情况通常表明内控存在重大缺陷：下列情况通常表明内控存在重大缺陷：w 审计人员发现了重大错报，而内控没有发现审计人员发现了重大错报，而内控没有发现w 控制环境薄弱控制环境薄弱w 存在高层管理人员舞弊

31、迹象存在高层管理人员舞弊迹象v 如果识别出被审计单位未加控制或控制不当的重大错报风如果识别出被审计单位未加控制或控制不当的重大错报风险，或认为被审计单位的风险评估过程存在重大缺陷，注险，或认为被审计单位的风险评估过程存在重大缺陷，注册会计师应当就此类内部控制缺陷与册会计师应当就此类内部控制缺陷与治理层治理层沟通。沟通。 企业内控：内外驱动企业内控：内外驱动l中华人民共和国会计法中华人民共和国会计法(1999/10月修订月修订)l财政部财政部内部会计控制规范内部会计控制规范(2001/6月月)l美国美国萨班斯萨班斯-奥克斯利法案奥克斯利法案(2002/7月月)l国资委国资委中央企业全面风险管理指

32、引中央企业全面风险管理指引 (2006/6月月)l香港联交所香港联交所企业管治常规守则企业管治常规守则(2006/3月修订月修订)l上海证交所上海证交所上市公司内部控制指引上市公司内部控制指引 (2006/6月月)l深圳证交所深圳证交所上市公司内部控制指引上市公司内部控制指引(2006/9月月)l防范风险：保证财务信息真实可靠；保证资产安全防范风险：保证财务信息真实可靠；保证资产安全完整和战略目标实现；保证合规性完整和战略目标实现；保证合规性l规范企业管理：完善法人治理结构，转换经营机制；规范企业管理：完善法人治理结构，转换经营机制；规范完善各项管理制度；融规范完善各项管理制度；融“控制控制”

33、于管理之中，于管理之中，体现现代管理理念和要求体现现代管理理念和要求l全面风险管理：把握机遇全面风险管理：把握机遇外部监管要求企业自身需要我国内部控制规范体系我国内部控制规范体系 20082008年年5 5月月2222日财政部会同证监会、审计署、银日财政部会同证监会、审计署、银监会、保监会制定了监会、保监会制定了企业内部控制基本规范企业内部控制基本规范，自自20092009年年7 7月月1 1日起在上市公司范围内施行，鼓励日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评司，应当对本公司内

34、部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效期货业务资格的会计师事务所对内部控制的有效性进行审计。性进行审计。企业内部控制应用指引企业内部控制应用指引企业内部控制评价指引企业内部控制评价指引企业内部控制审计指引企业内部控制审计指引企业内部控制配套指引企业内部控制配套指引我国内部控制规范体系我国内部控制规范体系20102010年年4 4月月2626日，财政部、日，财政部、证监会、审计署、银监证监会、审计署、银监会、保监会联合发布了会、保监会联合发布了企业内部控制配套指企业内部控制配套指引

35、引。自。自20112011年年1 1月月1 1日日起在境内外同时上市的起在境内外同时上市的公司施行，自公司施行，自20122012年年1 1月月1 1日起在上海证券交易所、日起在上海证券交易所、深圳证券交易所主板上深圳证券交易所主板上市公司施行；在此基础市公司施行；在此基础上，择机在中小板和创上，择机在中小板和创业板上市公司施行。鼓业板上市公司施行。鼓励非上市大中型企业提励非上市大中型企业提前执行。前执行。发展战略发展战略人力资源人力资源企业文化企业文化组织架构组织架构社会责任社会责任采购业务采购业务资产管理资产管理研究与开发研究与开发资金活动资金活动销售业务销售业务我国内部控制规范体系我国内

36、部控制规范体系企业内部控制应用指引企业内部控制应用指引担保业务担保业务业务外包业务外包全面预算全面预算工程项目工程项目财务报告财务报告内部信息传递内部信息传递信息系统信息系统合同管理合同管理我国内部控制规范体系我国内部控制规范体系企业内部控制应用指引企业内部控制应用指引萨班斯萨班斯-奥克斯利法案奥克斯利法案：出台背景：出台背景 系列证券市场舞弊丑闻引发的信任危机 （上市公司、中介机构、监管当局）v 安然事件（2001）：美国能源巨头，号称“全球最大的能源企业”，总收入过千亿美元，曾经排名美国第七大公司，“世界500强”第16位。2001年12月2日申请破产保护，申报资产总额498亿美元，当时成

37、为美国历史上最大的破产案。虚报盈余5.88亿美元，掩盖约10亿美元债务；29名高管出售股票非法获利11亿美元 。v 世界通信公司事件（2002）：著名的全球数据通信供应商， 2001年销售收入352亿美元，列美国第42位，全球500强第90位。 2002年7月17日申请破产保护，申报的资产总额1070亿美元，超过安然破产资产的两倍。 1999年至2001年，虚构营业收益达90多亿美元 。 v 安达信会计师事务所：全球第五大会计师事务所（2001年财政年度其全球营业额为93.4亿美元，普华永道同期收入为223亿美元、德勤为124亿美元、毕马威为117亿美元、安永为99亿美元），美国国内市场老大，

38、最早进入中国市场并保持领先。被SEC勒令在2002年8月底之前停止营业。v 为挽救投资者信心，2002年7月25日，美国国会通过了公众公司会计改革和投资者保护法案，又称为萨班斯奥克斯利法案。 萨班斯萨班斯-奥克斯利法案奥克斯利法案：主要内容：主要内容v 共分11章，第1至第6章主要涉及对审计行业及公司行为的监管，第7章要求相关部门在法案正式生效后的指定日期内提交若干份研究报告，第8至第11章主要是提高对公司高管及白领犯罪的刑事责任。 v 最引人注目的变化：设立了一个新的会计行业监管机构公众公司会计监察委员会(PCAOB) v 302条款：公众公司对财务报告的义务v 404条款：管理层对内部控制

39、的评价v 906条款：公众公司有关财务报告的刑责SOX302条款：公司对财务报告的义务条款：公司对财务报告的义务l公司公司CEO和和CFO要在年报中保证：要在年报中保证：已经审阅过定期报告已经审阅过定期报告报告中不存在重大错报、漏报报告中不存在重大错报、漏报财务报表和财务信息公允反映了公司的财务状况和经营业绩财务报表和财务信息公允反映了公司的财务状况和经营业绩负责建立并执行内部控制机制（包括确保能够获得并表子公司负责建立并执行内部控制机制（包括确保能够获得并表子公司重要信息），并评估在公布报告日之前重要信息），并评估在公布报告日之前90天的内控有效性天的内控有效性已经向审计师和审计委员会披露所

40、有内控缺陷以及对内控有重已经向审计师和审计委员会披露所有内控缺陷以及对内控有重要影响的管理人员是否存在欺诈行为要影响的管理人员是否存在欺诈行为已经说明了评估之后的内部控制有无重大变更，包括对缺陷采已经说明了评估之后的内部控制有无重大变更，包括对缺陷采取的补救措施取的补救措施SOX404条款：管理层对内部控制的评价条款：管理层对内部控制的评价(a) 内部控制方面的要求内部控制方面的要求SEC应当相应地规定，要求按应当相应地规定，要求按1934年证券交易法年证券交易法第第13节节(a)或或15节节(d)编制的年度报告中包括内部控编制的年度报告中包括内部控制报告，包括：制报告，包括： (1) 强调公

41、司管理层建立和维护内部控制系统及相应控制程序充强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；分有效的责任； (2) 公司管理层最近财政年度末对内部控制体系及控制程序有效公司管理层最近财政年度末对内部控制体系及控制程序有效性的评价；性的评价；(b) 内部控制评价报告内部控制评价报告对于本节对于本节(a)中要求的管理层对内部控制的评价，担任公司年报审计中要求的管理层对内部控制的评价，担任公司年报审计师的会计公司应当对其进行测试和评价，并出具评价报告。上述评师的会计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应当遵循价和报告应当遵循SEC发布或认可的准则。上述评价过

42、程不应当作发布或认可的准则。上述评价过程不应当作为一项单独的业务。为一项单独的业务。 SOX906条款：公司有关财务报告的刑责条款：公司有关财务报告的刑责“1350公司官员证明财务报告失败公司官员证明财务报告失败(a)证明定期财务报告。证明定期财务报告。每一份由发行证券的公司根据每一份由发行证券的公司根据1934年证券年证券交易法第交易法第13(a)节或节或15(d)节向节向SEC申报的包含财务报告的定期报告都应申报的包含财务报告的定期报告都应包括公司包括公司CEO和和CFO的书面声明。的书面声明。(b)内容。内容。(a)小节中要求的声明包括财务报告定期报告是完全按照小节中要求的声明包括财务报

43、告定期报告是完全按照1934年证券交易法第年证券交易法第13(a)节或节或15(d)节的要求编写的，定期报告中的节的要求编写的，定期报告中的信息在所有重大方面都公允的反映了公司财务状况和经营成果。信息在所有重大方面都公允的反映了公司财务状况和经营成果。(c)罚则。罚则。无论是谁无论是谁 (1)知道包括财务报告的定期报告没有满足本节的所有要求却根据知道包括财务报告的定期报告没有满足本节的所有要求却根据本节本节(a)和和(b)小节签署证明的，应该被处以最多小节签署证明的，应该被处以最多1,000,000的罚款，的罚款，最多最多10年的监禁，或并罚；或年的监禁，或并罚；或 (2)明知包括财务报告的定

44、期报告没有满足本节的所有要求却根据明知包括财务报告的定期报告没有满足本节的所有要求却根据本节本节(a)和和(b)小节蓄意签署证明的，应该被处以最多小节蓄意签署证明的，应该被处以最多5,000,000的罚的罚款，最多款，最多20年的监禁，或并罚。年的监禁，或并罚。” 萨班斯萨班斯-奥克斯利法案奥克斯利法案：配套措施：配套措施v SEC：2003年6月发布了管理层对财务报告内部控制的报告及1934 交易法定期报告中披露的验证的最终规则 “财务报告内部控制是一个过程，由发行人（美国法律术语，指证券发行人，即上市公司）的CEO、CFO或者行使类似职权的人员设计或监控，受发行人的董事会、管理当局和其他人

45、员所影响，为财务报告的可靠性和(供外部使用的)财务报表的编制符合公认会计原则提供合理的保证。具体包括以下控制政策和程序：(1)保持详细合理的会计记录，准确公允地反映发行人资产的交易和处置情况；(2)为下列事项提供合理的保证：发行人对发生的交易进行必要的纪录，从而使财务报表的编制满足公认会计原则的要求；发行人所有的收支活动均得到管理当局和董事会的合理授权；(3)为防止或及时发现发行人的资产未经授权地取得、使用和处置提供合理保证，这种未经授权的取得、使用和处置可能对财务报表产生重大影响。” v PCAOB：2004年发布了第2号审计准则，用以指导财务报告内部控制审计的计划与实施。（2007/5月通

46、过5号审计准则取代2号，7月底已获SEC批准） v 美国IT治理协会： 2004年5月发布了有关SOX的IT控制目标（2006年4月发布第二版）v COSO委员会 ：2004年9月29日发布企业风险管理（ERM）综合框架，并提出将以ERM取代1992年的内控框架。萨班斯萨班斯-奥克斯利法案奥克斯利法案：配套措施：配套措施年报披露时间受到影响v美国本土的上市公司，3,985家原定2005年3月16日向SEC提交年度报告，但截止到规定时间，只有66%（2,636家）的上市公司准时提交报告v34%的上市公司需要推迟年报披露时间，延迟率比2004年同期上升450% 58%未按SOX404规定时间完成内

47、控报告 美国上市公司首次执行美国上市公司首次执行SOX SOX 概况概况上市公司普遍披露存在内部控制缺陷v 向SEC提交了年度报告的上市公司92%存在内部控制缺陷（一般缺陷、显著缺陷、实质漏洞）v 内部控制存在显著缺陷和实质漏洞约占40%v 内控存在实质性漏洞 (披露不利意见)占13.7% (440家公司)v 外部审计师拒绝表示意见的公司17家v 4大会计师事务所披露内控存在缺陷的公司比例为10.0%至12.1%，4大之外会计师事务所披露内控存在缺陷的公司平均比例为18.6%v 环球电信、朗讯、UT斯达康、北电、花旗银行美国上市公司首次执行美国上市公司首次执行SOX 概况概况披露内部控制不利意

48、见的企业遭受负面影响v 存在内控缺陷的大企业，在披露后5天平均回报率低于标准普尔500指数约3%v 60% 的 CFO在披露前后3个月内被撤换v 20%因此被穆迪投资公司下调了企业信贷评级 由于披露内控存在缺陷公司数目比较多，而且是第一年执行，市场并未激烈反映；但SEC已经表示，第二年对内控披露存在不一致的情况和负面意见将采取更为强硬的姿态美国上市公司首次执行美国上市公司首次执行SOX 概况概况美国上市公司首次执行美国上市公司首次执行SOX404SOX404披露内控缺陷主要原因披露内控缺陷主要原因（样本库：（样本库：154154家年收入在家年收入在2.52.5亿美元以上的公司）亿美元以上的公司

49、） 一般缺陷显著缺陷实质性漏洞信息技术控制36%22%21%收入确认13%10%6%固定资产10%7%9%财务报告和结账9%16%12%采购付款9%13%12%人力资源（工资和福利费用）8%6%15%公司层面的控制3%4%9%其他12%22%16%美国上市公司首次执行美国上市公司首次执行SOX SOX 概况概况美国上市公司首次执行美国上市公司首次执行SOX 概况概况 KPMG调查发现：v第一年发现有的客户缺陷超过12,000 项v规模较大和较复杂的企业客户存在数以千计的缺陷并不少见v提供多样化的产品、并在多个地区经营业务的企业更难保持一致的机构层级，也难通过信息技术的一般监控v规模较小的企业有

50、较多缺陷的认识有错误美国上市公司首次执行美国上市公司首次执行SOX 概况概况上市公司遵从SOX 404 付出昂贵的代价根据国际财务经理协会(FEI)对321家企业的调查结果显示：v 每家企业第一年实施平均成本460万美元v 每家企业平均投入3.5万小时的内部人工v 每家企业平均花费130万美元的外部顾问和软件费用v 全美“财富”1000强的审计费用猛增了103%执行执行SOX的好处的好处v 会转化为公司在市场上的竞争优势、有利于赢得客户的信赖v 公司CEO和CFO等高管可安心于正常的经营管理和业务扩展，减少对引发财务危机的担心v 有利于提高公司治理水平。机构投资者进行投资决策时，公司治理水平和

51、财务表现是两项同等重要的考量指标v 股价表现好。麦肯锡2002年的一项调查显示，有良好公司治理和内控措施的公司股价表现较同行要高出12-14%v 市场风险低，融资成本低。标准普尔研究显示，透明度和信息披露排名靠前的公司市场风险更低，因此可以获得更低的股权融资成本萨班斯萨班斯-奥克斯利法案奥克斯利法案：反思：反思v 应景的政治性法案：具有明显的拼凑和汇编性质，内在逻辑混乱。 v 执行成本过于高昂 v PCAOB设立原则体现的独立性可能仅仅是形式上而非实质性的，效果尚难预料 v 威胁审计独立性的根源依然存在 第四章第二十一条规定：各单位应当建立、健全本单位内部会计监督制度。单位内部会计监督制度应当

52、符合下列要求：v 记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确，并相互分离、相互制约v 重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确v 财产清查的范围、期限和组织程序应当明确v 对会计资料定期进行内部审计的办法和程序应当明确中华人民共和国会计法中华人民共和国会计法(1999修订修订)财政部财政部内部会计控制规范基本规范内部会计控制规范基本规范(2001)v 内部会计控制六原则：合法性、有效性、全面性、不相容职务分离、成本效益和先进性原则v 内部会计控制的内容：货币资金、实物资产、对外投资、工程项目、采

53、购与付款、筹资、销售与收款、成本费用、担保等经济业务 v 内部会计控制的方法：不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制、财产保全控制、风险控制、内部报告控制、电子信息技术控制等v 内部会计控制的检查：由专门机构或者指定专门人员具体负责内部会计控制执行情况的监督检查 v 不相容的职务包括授权批准、业务经办、会计记录、财产保管、稽核检查等职务 企业内部控制规范（2007，征求意见稿）国资委国资委中央企业全面风险管理指引中央企业全面风险管理指引 (200606)v 全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理

54、文化，建立健全全面风险管理体系，包括，从而为实现风险管理的总体目标提供合理保证的过程和方法。 v 风险管理包括以下主要工作：(一)收集风险管理初始信息；(二)进行风险评估；(三)制定风险管理策略；(四)提出和实施风险管理解决方案；(五)风险管理的监督与改进。v 风险管理总体目标包括：(一)确保将风险控制在与总体目标相适应并可承受的范围内；(二)确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；(三)确保遵守有关法律法规；(四)确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标

55、的不确定性；(五)确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。 “三道防线”国有及国有控股企业内部控制指引(讨论稿200708) 上海证交所上海证交所上市公司内部控制指引上市公司内部控制指引(2006)(2006)v内部控制框架包括：三个层面（公司层面；下属部门及附属公司层面；各业务环节层面）；八个基本要素（ERM框架）；应涵盖经营活动中所有业务环节；使用计算机信息系统的，应制定信息管理的内控制度；建立内部会计控制规范。v专项风险的内部控制：附属公司；金融衍生品交易；其他风险。v内部控制的检查监督：应有专门职能部门；应制定内部控制检查监督办

56、法；董事会的内部控制检查监督的责任；检查监督工作资料保存时间不少于10年。v内部控制的信息披露：董事会对公司内部控制自我评估报告形成决议；董事会披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见；公司内部控制自我评估报告至少包括七个方面的内容。附录十四企业管治常规守则 之C.2条款：v 原则：董事会应确保发行人的内部监控系统稳健妥善而且有效，以保障股东的投资及发行人的资产。v 守则条文(C.2.1): 董事应最少每年检讨一次发行人及其附属公司的内部监控系统是否有效，并在企业管治报告中向股东汇报已经完成有关检讨。有关检讨应涵盖所有重要的监控方面，包括财务监控、运

57、作监控及合规监控以及风险管理功能。 v 建议最佳常规 (C.2.2-2.5)附录二十三企业管治报告之3(d)条款： 建议披露的资料之有关内部监控香港联交所主板上市规则香港联交所主板上市规则(2006(2006更新更新) )内控设计的思想基础：内控设计的思想基础：v 制度安排取决于企业的控制哲学v 西方哲学强调“性本恶”（原罪）v 内控设计的思想基础：人性本恶，通过制度设计形成威慑减少舞弊发生的可能性内控设计的思想基础（续）：内控设计的思想基础（续）：v 舞弊产生的渊源分析： You can consider your money GONE! Greed Opportunity Need Exp

58、osure 与个人强相关 与组织强相关 （内部控制的主要着力点）根据E&Y(2002)的全球调查，企业舞弊主体中： 管理层占55%，内部员工占30%，犯罪团伙占6%，客户占5%，供应商占4%内控流程设计思路：内控流程设计思路：1、目标设定： 企业战略目标 经营效果效率目标 财务报告目标 合规目标 具体化为某业务流程的目标2、业务流程梳理暨风险识别： 风险即影响目标实现的不确定性事件。内控流程设计思路（续）：内控流程设计思路（续）：3、风险评估：发生机率、影响程度4、确定风险响应策略： 风险承担、风险转移、风险降低、风险回避 （后三者需要制定相应的控制措施） 风险响应策略的选择受企业整体风险偏好

59、的约束！ （对剩余风险的接受度）案例案例1 W公司主要从事小型电子消费品的生产和销售，产品公司主要从事小型电子消费品的生产和销售，产品的销售以的销售以W公司仓库为交货地点。公司仓库为交货地点。W公司日常交易采用公司日常交易采用自动化信息系统（以下简称系统）和手工控制相结合的自动化信息系统（以下简称系统）和手工控制相结合的方式。方式。B注册会计师负责审计注册会计师负责审计W公司公司208年度财务报告年度财务报告。 资料一：资料一：B注册会计师在审计工作底稿中记录了所了解注册会计师在审计工作底稿中记录了所了解的的W公司情况及其环境，部分内容摘录如下：公司情况及其环境，部分内容摘录如下： （1）由于

60、）由于207年销售业绩未达到董事会制定的目标年销售业绩未达到董事会制定的目标，W公司于公司于208年年2月更换了公司负责销售的副总经理月更换了公司负责销售的副总经理。案例案例1 （2）W公司主要产品的销售模式在公司主要产品的销售模式在208年发生了变年发生了变化。化。208年之前采用代销模式，在代理商对外销售相关年之前采用代销模式，在代理商对外销售相关产品后，产品后，W公司根据代销清单以低于建议零售价公司根据代销清单以低于建议零售价7%的的出厂价向代理商开具代销产品的销售发票，代理商有权出厂价向代理商开具代销产品的销售发票，代理商有权退回未对外销售的产品。退回未对外销售的产品。208年初开始改