第10章 内部控制实施、评价与信息披露

1、 一、企业内部控制的实施 二、企业内部控制评价体系框架 三、外部机构对内部控制的评价 四、内部机构对内部控制的评价“控制自我评价（CSA） ” 五、内部控制信息披露1、内部控制重在执行、内部控制重在执行“得控则强，失控则弱，无控则乱”温州假运钞案2001年月日傍晚时分许，温州市一辆伪装的假运钞车开到中国银行温州市分行体育中心分理处。车上名人员分别头戴钢盔、手执电棍、身穿经警及银行统一服装，伪装成银行“运钞员”前来运钱。结果不费一枪一弹，轻而易举运走了万人民币和万美金。过了一刻钟，真正运钞车驶来时，分理处所有人员方如梦初醒。法院经审理查明，年月份，被告人潘海兵在日常押运银行钞票工作中，发现中国银

2、行温州分行一些网点营业款尾数箱（钱箱）交接过程中存在漏洞，遂产生冒充该行押运人员骗取营业款的恶念。由此，潘海兵纠集王明国、潘志龙、潘斌武人对行动方案进行了周密预谋和分工。他们制作了冒用他人照片和姓名的假身份证、驾驶证，然后用此假名与两种假证件向一家汽车出租公司租了一辆款式与中国银行温州分行押运款车辆相同的德丽卡面包车，将其伪装成该行的运钞车。月日下午时许，名被告人分别身着经警服、迷彩服、中行制服，戴头盔，持狼牙棒，乘坐伪装的押运车，由潘海兵驾驶，前往中国银行温州分行体育中心分理处。该车按事先选定的位置停下，被告人王明国即冒充银行出纳解款员，潘志龙、潘斌武冒充保卫人员，以接运营业款的名义，骗取该

3、分理处的尾款箱三只，尔后逃离现场。中国银行温州分行体育中心分理处共有三名出纳、两名会计、一名保安。该分理处相关的内控规定：该分理处相关的内控规定：1）保安不能提钱箱；）保安不能提钱箱；2）出纳在保安的警卫下将各自的钱箱送上运钞车，并亲自与车上的）出纳在保安的警卫下将各自的钱箱送上运钞车，并亲自与车上的出纳签交接单；出纳签交接单；3）会计不能签交接单；）会计不能签交接单；4）所有的人都必须在钱箱交接后下班；）所有的人都必须在钱箱交接后下班；5）会计和出纳先走，保安清场，最后一个离开。）会计和出纳先走，保安清场，最后一个离开。2001年月日潘海兵等人作案时，中国银行温州市分行城南支行体育中心分理处

4、临时聘用的储蓄员谷某（女）、陈某（女）在履行银行现钞交接业务过程中，严重不负责任，一个进屋换衣服，一个仍在对帐，没有按规定亲自履行对人对钱的交接业务。而保安人员陈某则擅自“帮助”谷、陈两人将装有巨额现金的只尾箱（钱箱）从分理处营业场所提出来，放到潘海兵等人驾驶的假运钞车上。此过程中，不认识银行指定的运钞员、也不负有交接钱款职责的分理处会计叶某（女）见谷、陈两人都不出来履行尾箱签收职责，就擅自超越职权，将签收簿交由一名假运钞员王明国签收，致使大量现金被运走。 事后深入调查发现，该分理处出纳轮流提前下班、保安帮出纳提钱箱、会计有时帮着签单已是常事。只不过一直未发生重大事故。该案例说明：企业管理漏洞

5、很多，但不仅仅是规章的漏洞，更多的是该案例说明：企业管理漏洞很多，但不仅仅是规章的漏洞，更多的是规章执行的漏洞规章执行的漏洞有章不循。有章不循。中航油（新加坡）爆仓之后，很多人怀疑其内部根本就没有风险控制制度。其实，其风险控制制度在形式上一直是存在的。中航油的风险管理手册由“四大”之一的安永会计师事务所编制，规定非常详尽：设有专门的7人组成的风险管理委员会以及先进的软件监控系统；风险控制的基本结构是交易员、风险控制委员会、审计部、总裁、董事会层层上报，交叉控制。在止损限度上也有规定：每名交易员损失20万美元时要向风险管理委员会汇报；损失达35万美元时要向总裁汇报，得到总裁同意才能继续；任何导致

6、50万美元以上损失的交易将自动平仓。中航油共有10位交易员。按照风险控制制度，最大损失上限不过500万美元，然而损失最终却达到了5.5亿美元，这两个数字之间惊人的差异不由得让我们吃惊：交易损失竟然能通过层层控制和限额逐步蔓延开来，可见公司的风险控制体系已经不复存在。中航油这套获得国家级企业管理现代化创新一等奖的风险管理制度，为什么最终还是没有防住风险？“没有执行的制度充其量只是一个制度文本，而不是真正意义上没有执行的制度充其量只是一个制度文本，而不是真正意义上的制度的制度”。 2、如何有效执行内部控制 （1）内部控制权责体系的界定； 董事会、管理层、内部审计师、其他人员 （2）内部控制执行过程

7、中的持续监督和独立评估 （3）内部控制的动态调整1.董事会责任财务委员会责任监督委员会责任就财务报导责任的质疑确保行动正确性对逾越内控行为的矫正控制资金承诺，保证资本支出与营运计划一致提名委员会责任薪酬委员会责任控制董事会高层管理人员选择监督福利办法是否与目标一致，以及受托责任是否适当解除2.管理阶层的责任财务会计主管责任部门负责人责任主要负责人责任提供领导责任复核责任负责制定有关政策和程序负责执行有关政策和程序对他人所负责任应负相关责任参与整体计划预算制定记录、分析营运绩效预防及侦察不实财务报导3.内部审计师责任复核业务资讯复核单位资讯复核资产安全评估资源使用复核营运计划与执行的一致性5.外

8、部团体责任外部审计责任立法机关与主管部门的责任与往来单位的责任财务分析师、债务评级机构、新闻媒体责任4.其他员工责任提供资讯，采取行动责任负违反责任 自我监督与独立评估并重 1、各级管理层在日常经营管理过程中注重对内部控制有效性的监督。 发现错误、舞弊等异常情况，不仅要就事论事的加以处理，还必须考虑其中是否隐含了内部控制出现漏洞的信号。 2、建立和完善内部审计职能，使内部审计的独立评估成为企业内控监督机制的重要力量。 3、建立有效的舞弊汇报、监察机制，使各种舞弊事件或舞弊迹象能够迅速、有效地汇报给有能力采取行动的管理层甚至董事会。案例：由锦化集团内部盗窃案看内控执行与动态调整1996年，锦化集

9、团从美国引进当时世界上最先进的聚氯乙烯聚合技术及关键设备，对原有生产工艺进行了较大规模的技术改造，使生产环氧丙烷所用原料丙烯的消耗量逐年降低，从技术上看，只要使用丙烯回收装置，每年多回收丙烯是可能的。但是2000年，锦化集团由于尾气含氧超标引起尾气回收装置爆炸，从那以后，公司对尾气排放要求和考核就放松了。车间是否多回收了丙烯，多回收多少，只有车间操作人员掌握，而企业领导并不知情。当时，锦化集团下属氯碱股份有限公司聚醚分厂八万吨环氧丙烷车间工段长程志勇发现，在对本厂丙烯回收装置的尾气排放进行控制后，可使丙烯消耗降低，进而提高环氧丙烷产量，产生超过公司计划的“余量”，他曾问过企业有关负责人：“我们

10、超额完成生产计划，能不能多发点奖金?”得到的回答是：“我没有这个权力。”这就造成了一种局面：一方面，职工超额完成产量的积极性得不到鼓励；另一方面，节能回收装置长期得不到有效利用，大量的环氧丙烷随着尾气排放浪费掉。于是，程志勇就从生产的源头开始，买通了车间主任、段长、班长，为其提供货源；对计量人员、门卫施以小恩小惠，用空车票充当重车票出厂；买通监控人员，删除监控录像自2002年3月至2006年1月，以程志勇为首的28人作案百余起，共盗窃本单位环氧丙烷和聚醚31500余吨，价值31900多万元。他们根据每名成员在作案中所起的作用分赃，每人每次所得少则数千元，最高达到15万元。锦化集团内部盗窃案的发

11、生是否因为企业没有相应的内部控制或是制度锦化集团内部盗窃案的发生是否因为企业没有相应的内部控制或是制度不严密吗不严密吗?回答是否定的。回答是否定的。锦化集团规定：锦化集团规定：1）对于产品的盘点入库，生产车间采取）对于产品的盘点入库，生产车间采取5日盘存制度，每月末统一入库日盘存制度，每月末统一入库。入库时，由生产车间、质管处、仓储中心的成品库共同认定，财务部。入库时，由生产车间、质管处、仓储中心的成品库共同认定，财务部统一办理。每季度还由生产处牵头，抽查车间盘点情况，抽查盘存表报统一办理。每季度还由生产处牵头，抽查车间盘点情况，抽查盘存表报生产处、财务部。生产处、财务部。2）产品出厂也同样有

12、严格的流程。每天早上，由销售公司将产品装罐量）产品出厂也同样有严格的流程。每天早上，由销售公司将产品装罐量通知分厂生产科，由生产科负责通知车间主任，罐装人员接到指令后，通知分厂生产科，由生产科负责通知车间主任，罐装人员接到指令后，负责开锁负责开锁(开锁的钥匙由车间主任和段长保管开锁的钥匙由车间主任和段长保管)，打开防盗盒，连接好充装，打开防盗盒，连接好充装管路，然后开始装车，再经过计量、门卫查验等手续后放行。管路，然后开始装车，再经过计量、门卫查验等手续后放行。从锦化集团近几年的报表看，没有发现产量、产品消耗定额异常。每月月底由6个部门共同参与盘存，也没发现问题。那么，问题究竟出在什么地方?1

13、、企业花大力气引进技术后，丙烯的消耗量逐年降低，但对于尾气排放的要求和考核却没有随之进行科学的核定和控制，对于生产中尾气排放和丙烯的消耗量两个关键风险控制点没有及时针对变化作出调整，致使相应的内部控制失效。2、企业基层的操作人员最了解操作的技巧，因此，在设计操作层面的关键风险控制点时，应该充分听取基层操作人员在实践中总结出来的经验。固化的控制措施和程序，没有随情况变化而积极变更失效的控制既挫伤了基层操作人员动态识别和应对风险的积极性，还给不法分子造成了可乘之机，诱发了员工的犯罪行为。28个涉案人员的说法个涉案人员的说法“企业浪费这么大也没人管，不拿白不拿企业浪费这么大也没人管，不拿白不拿”。

14、1、内部控制评价的概述 2、内部控制评价的内容和标准 3、内部控制评价的程序与方法 概念：概念：内部控制评价是通过评价主体对企业现有的内部控制系统的设计和执行的健全性和有效性进行审查、测试、分析和评价的活动。 目标：目标：防范风险、树立投资者信心、实现内部控制目标。 合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果目标，促进企业实现发展战略。 评价主体：评价主体： 内部评价主体内部评价主体：董事会（审计委员会）、管理层、内审部门 外部评价主体外部评价主体：注册会计师 内部控制评价的作用内部控制评价的作用有助于增强企业外部人对会计信息可靠性的信心 有助于企业

15、加强内部控制，改善经营管理 有助于注册会计师提高工作效率，降低控制风险 内容：内容：三个层面 1）围绕合规性、财务报告及相关信息的真实可靠、资产安全三个目标进行评价 2）围绕具体业务活动循环 3）在年报中围绕内部控制五个要素进行全方位评价控制环境、风险评估、控制活动、信息与沟通、监督。 标准：标准：一般标准：完整性：完整性：企业根据生产经营的需要，应该设置的内部控制都已设置；对生产经营活动的全过程进行自始自终的控制。合理性：合理性：内部控制设计与执行时的适用性（适应企业的特点和要求）和经济性。1）控制点设置是否合理；2）有无安排过多或不必要的控制点；3）在每一个需要控制的地方是否都建立了控制环

16、节；4）控制职能是否划分清楚；5）人员间的分工和牵制是否恰当；有效性：有效性：不与国家法律法规相抵触，且能有效地防止错误与弊端发生。内部控制的有效性以其完整性与合理性为基础，内部控制的完整性与合理性则以其有效性为目的。具体标准：内部控制要素评价标准内部控制作业层级评价标准程序：1、建立内部控制评价机构2、对内部控制制度的建立和执行情况进行调查了解（1）向被审计单位有关管理人员和当事人询问有关内部控制的现状；（2）查阅被审计单位有关内部控制的规章制度和文件资料；（3）查阅以前年度有关被审计单位内部控制方面的审计档案。3、对内部控制制度进行健全性测试与评价4、对内部控制制度进行符合性测试与评价5、

17、对内部控制制度进行综合评价全面分析评价控制缺陷和薄弱环节对整个内控系统的影响；提出改进内部管理的建议。6、编写内部控制制度评价报告制度情况、执行情况、改进意见运用记叙法、调查表法、流程图法等，对被审计单位的内部控制现状作出初步评价。1）内部控制措施是否被采用；2）对于检查出的内部控制缺陷，是否有补偿性措施；3）在确定被审单位没有补偿性措施或者补偿性措施不能全部抵消其影响，说明控制缺陷可能产生某些错弊的性质，以及对整个控制系统的影响程度；4）对内控健全程度作出评价。 对被审计单位内部控制系统中，经过健全性评价被认为健全或基本健全的那部分控制系统所进行的进一步测试。 目的： 检查所谓健全完善的内部

18、控制系统是否得以严格认真的贯彻执行、能否有效地保证各控制目标的实现。 重点： 内部会计控制各组成部分是否按规定的控制步骤、方法运行； 各控制环节运行与其内容是否相符； 各控制环节和控制点的内容、程序、方法等是否正常运行以及相互之间协调配合情况等。制度基础审计方法(一一)制度调查方法制度调查方法(二二)健全性测试方法健全性测试方法（模式、描述、比较）（模式、描述、比较）(三三)符合性测试方法符合性测试方法(四四)制度总评方法制度总评方法(五五)实质测试方法实质测试方法1.调查内容确定调查内容确定2.制度调查技术制度调查技术(审阅、询问、观察、审阅、询问、观察、调查表等调查表等)1.制度描述方法制

19、度描述方法2.比较与评价方法比较与评价方法(1)文字说明法文字说明法(2)调查表法调查表法(3)流程图法流程图法1.业务测试业务测试(检查业务有无按规定方式处理检查业务有无按规定方式处理)2.功能测试功能测试1.可信赖程度评价可信赖程度评价2.薄弱环节评价薄弱环节评价(主观估算、精确估计、趋势主观估算、精确估计、趋势外推、结构模型等外推、结构模型等)内部控制评内部控制评价方法：价方法： 美国内部控制评价的发展现状美国内部控制评价的发展现状 英国内部控制评价的发展现状英国内部控制评价的发展现状 美英内部控制评价比较美英内部控制评价比较 美英内部控制评价模式对我国的启示美英内部控制评价模式对我国的

20、启示 1978年，美国的Cohen委员会(审计师责任委员会)就建议企业管理当局在披露财务报告时，提交一份关于其内部控制系统的评价报告，并要求注册会计师对该报告进行评估。1987年，Treadway(美国反欺诈财务报告委员会)委员会也提出了类似的建议。1992年，由Treadway委员会发起的COSO委员会发布了内部控制整合框架，并提出内部控制报告的框架。以上三者都认为企业提供的内部控制报告应着重说明其内部控制的有效性。 SEC(美国证券交易委员会)曾于1979年和1998年分别提议应强制要求企业披露其内部控制报告，美国政府审计署也曾提过类似的建议，但都没有形成议案。2001年以来，美国的安然、

21、世通等公司的财务舞弊案，引起社会公众的广泛关注，美国的政府监管部门也因此遭到来自各方的批评。此后，美国政府监管部门为了加强上市公司的治理，提高其财务报告的可靠性，对上市公司的内部控制提出了更高的要求。2002年美国国会颁布了SOX法案，该法案第404款规定，根据1934年证券交易法中13(a)或15(d)款递交年报的公司，管理层需要对财务报告的内部控制进行报告，同时该条款要求注册会计师对管理层的报告进行认定和报告。2003年6月，SEC(美国证券交易委员会)提出公司应根据COSO框架对其内部控制的有效性进行评价的要求。2004年9月，COSO委员会发布了企业风险管理整合框架，这份文件拓展了内部

22、控制，它将内部控制框架纳入其中，公司不仅可以借助这个企业风险管理框架来满足其内部控制的需要，而且可借此转向更加全面的风险管理过程。COSO委员会同时还提出将以这个企业风险管理整合框架取代1992年的企业内部控制整合框架，作为企业管理层和注册会计师进行内部控制评价的依据。 美国的内部控制评价和报告模式，局限于财务报告内部控制，即旨在保证财务报告的可靠性，以及财务编报符合公认会计原则的控制程序，对内部控制报告及其有效性负责的主体为企业的管理层。在对财务报告内部控制有效性进行评价后，管理层需对内部审计委员会披露和对外部公开披露其评价报告。此外，负责公司年度财务报告审计的注册会计师需要对财务报告内部控

23、制进行审计，并对管理当局财务报告内部控制有效性评价发表鉴证意见以及对公司财务报告内部控制的有效性发表意见。 1994年，Cadbury委员会在其发布的内部控制和财务报告的报告中就要求英国各公司的董事会公布一份有关其内部控制制度的声明，该报告鼓励但不要求董事会对内部控制的有效性发表意见。英国的内部控制评价与报告体系是根据普通法、公司法、2003年颁布的联合规则和2005年10月颁布的Turnbull指南(特恩布尔指南)等法律法规构建而成。在英国模式下，董事会负责对公司内部控制体系的构建和维护，而且董事会需要对整个内部控制系统的有效性进行评价，而不像美国那样仅仅局限于财务报告内部控制的报告和评价。

24、在英国模式下，董事会每年至少对内部控制的有效性进行一次审查，但在对外报告中主要是对联合规则的使用情况做出说明，即旨在说明其内部控制系统在防范风险方面的有效性，而并不需要对内部控制的有效性做出公开说明。而在美国模式下，管理层需要在年度末对财务报告内部控制的有效性进行评价，并在对外的内部控制报告中陈述评价结果。在英国模式下，注册会计师只需要对董事会的内部控制声明进行审查，并不需要对公司内部控制系统的有效性出具报告。而在美国模式下，注册会计师在审计公司财务报告的同时还须对公司的财务报告内部控制进行审计，既要评价管理层对内部控制的评价，又要对内部控制的有效性发表意见。1、对内部控制评价范围的考虑 美国

25、模式下，内部控制评价的范围主要限于财务报告的领域，管理层需要对财务报告内部控制的情况进行评价。其对于内部控制评价范围的确定更多地是基于对内部控制评价成本的考虑。将内部控制评价的范围限定在与投资者直接相关的财务报告内部控制方面，无疑会在一定程度上降低评价成本。当然，财务报告内部控制评价由于不能涵盖企业各方面的情况，因此，不能完全避免企业风险。在英国模式下。则是对企业全面的内部控制情况进行评价，而不仅仅限于财务报告内部控制。这种全面性的评价有利于全面控制风险。因此如何根据我国企业公司治理现状，在内部控制评价范围的选择和评价成本的控制之间做出权衡是值得我们思考的。 2、对内部控制评价结果中责任承担的

26、考虑 美国模式下，管理层是财务报告内部控制评价的责任主体，该责任主体不但要向董事会下属的审计委员会报告，还应评估内部控制的有效性并对外公开报告，如果通过内部控制评价发现管理层没有履行其对内部控制应承担的责任，并导致企业内部控制系统失效，则管理层会受到来自董事会、市场和监管部门的惩罚。英国模式下，董事会是内部控制评价的责任主体，负责审查内部控制的有效性，并在年度报告中发布内部控制声明。上述差异主要是由两国企业的股权治理结构的不同造成的。美国企业高度分散的股权导致了“强管理层、弱股东”的局面，在美国董事长兼任首席执行官的情况十分普遍，董事长和首席执行官在实际上控制着董事会，因此由管理层负责进行内部

27、控制的评价符合权责相匹配的要求。而在英国，董事长兼任首席执行官的情况较少见，因此董事会成为企业的最高权力机构，由董事会承担内部控制的责任更加符合英国公司治理结构的实际情况。因此，在我国企业内部控制评价中责任主体的确定中，需要充分考虑其股权结构特点及责任追究机制的建立情况，保证内部控制评价的效果。 3、对外部审计师的作用与责任的考虑 在美国模式下，外部审计师除了需要对单位的财务报告进行审计外，还需要对单位财务报告内部控制的有效性以及管理层对财务报告内部控制的评价结果出具审计意见。美国的这种模式其主要目的在于帮助投资者重建对公司的信心。英国模式下，外部审计师只需要对董事会的内部控制声明进行审查，不

28、需要对内部控制的有效性出具审计意见。在我国也存在投资者对公司的信任度不高、甚至是不断降低的情况，因此外部审计师的作用和责任就显得较为重要。我们或许可以借鉴美国的作法，要求外部审计师在对公司进行审计的同时，对公司的内部控制评价报告给与鉴定。 1、了解内部控制 2、记录内部控制 3、内部控制测试 4、管理建议书与内部控制鉴证报告内部控制基本情况调查健全性测试与评价符合测试与评价内部控制综合评价 如何衡量内部控制是否有效？ 制度设计 制度执行 那么，究竟应该由谁来评估“制度设计是否妥当、执行是否有力”呢？ 是企业内部审计人员吗？ 问题缺乏管理层支持、员工对内控认识不足、内审机构独立性缺乏自20世纪8

29、0年代在北美洲，有些公司把控制及风险评估交由各营运单位的管理层自行负责后， 内部控制系统评价也由传统的审计人员检查单据、实施符合性测试程序为导向，转为在审计人员指引下由管理部门和员工共同研讨，提出最佳改进措施的“自我控制评估”（Control Self-Assessment，简称CSA）。“自我控制评估”是一种新兴的审计技术和方法，最早是由加拿大的海湾资源公司在上世纪八十年代开始运用的内部控制自我评价系统。自20世纪 90年代中期起，CSA理念已经被普遍接受，是内部控制系统评价方法的新突破。在美国、加拿大及欧洲得到广泛运用，是西方发达国家公司内部控制的一个新趋势。 国际内部审计师协会（ IIA

30、）在1996年的研究报告中总结了CSA的三个基本特征： 关注业务的过程和控制的成效； 由管理部门和职员共同进行； 用结构化的方法开展自我评估。 概念： 由高层管理当局发动、全员参与的，公司定期或不定期对自己及所属子公司的内部控制系统进行评价，评价内部控制系统的有效性及其实施的效率效果，以期能更好地实现内部控制目标。 基本特征： 关注业务流程和控制成效； 由职能部门和业务部门共同进行； 从内部审计人员到业务流程具体执行人员全体参与； 用结构化的方法开展评价活动。编制内部控制自我评价报告编制内部控制自我评价报告修订完善修订完善补救整改补救整改组织现场检查组织现场检查制定检查方案，报内控领导小组批准

31、制定检查方案，报内控领导小组批准报告管理层报告管理层健全性测试健全性测试符合性测试符合性测试 检查汇总结果检查汇总结果集中培训检查人员集中培训检查人员 1、概念 内部控制信息披露是公司董事会和管理层依据一定的内部控制有效性评价标准对本企业内部控制设计的合理性和执行的有效性进行评估，并将结果传递给外部信息使用者的行为。 “阳光是最好的防腐剂，灯光是最好的警察阳光是最好的防腐剂，灯光是最好的警察”（美国大法官布兰代斯布兰代斯的经典名言） （1）内部控制信息披露是管理当局披露履行受托责任的一种信号传递。 （2）内部控制信息披露可以降低代理成本两权分离下委托人与代理人之间存在信息不对称。 （3）内部控

32、制信息披露可以提高企业财务报告的可靠性。 （4）内部控制信息披露可以向外部使用者提供财务报告以外的增量信息。 （1）披露方式披露方式:自愿披露还是强制披露自愿披露还是强制披露 （2）披露内容披露内容:针对财务报告可靠性的内针对财务报告可靠性的内部控制报告还是完整的内部控制报告部控制报告还是完整的内部控制报告 （3）披露的验证）披露的验证:是否需要注册会计师出是否需要注册会计师出具验证报告具验证报告 （4）内部控制评价标准）内部控制评价标准:官方指定还是不官方指定还是不做限定做限定 （5）责任主体）责任主体:董事会还是高级管理层董事会还是高级管理层 （1）尽管呼声甚高（）尽管呼声甚高（SEC 、

33、GAO 、AICPA ）,但多年以来公司内部但多年以来公司内部控制始终未成为强制性信息披露的内容。控制始终未成为强制性信息披露的内容。 安然、世通等会计丑闻充安然、世通等会计丑闻充分暴露了上市公司内部控制的缺陷，而萨班斯法案的颁布分暴露了上市公司内部控制的缺陷，而萨班斯法案的颁布,标志着上标志着上市公司的内部控制信息开始纳入强制性信息披露范围。市公司的内部控制信息开始纳入强制性信息披露范围。（2）SEC只是针对与财务报告可靠性有关的内部控制提出强制性披只是针对与财务报告可靠性有关的内部控制提出强制性披露。露。 既是存在成本效益方面的考虑既是存在成本效益方面的考虑,同时也是经过重重阻力后折同时也

34、是经过重重阻力后折衷的结果。衷的结果。 （3）管理当局内部控制报告是否要求审计师进行验证，经历了长期）管理当局内部控制报告是否要求审计师进行验证，经历了长期争议的过程。争议的过程。AICPA和和GAO都赞成内部控制报告经过审计师验证。都赞成内部控制报告经过审计师验证。另一方面另一方面,财务经理协会财务经理协会(FEI)、管理会计师协会、管理会计师协会(IMA)曾表示反对。经曾表示反对。经过安然事件等一系列财务舞弊案后，萨班斯法案作为过安然事件等一系列财务舞弊案后，萨班斯法案作为“亡羊补牢亡羊补牢”的的措施之一，明确要求公司对外提供的财务报告内部控制报告必须经过措施之一，明确要求公司对外提供的财

35、务报告内部控制报告必须经过审计师验证。审计师验证。 （4）对于是否需要正式认可的某个）对于是否需要正式认可的某个“一般公认规则框架一般公认规则框架” （管理当局评价财务报告内部控制有效性的规则框架（管理当局评价财务报告内部控制有效性的规则框架 ），），SEC的做法是：建议使用的做法是：建议使用COSO报告提出的内部控制框架报告提出的内部控制框架，但不做强制性的统一要求。，但不做强制性的统一要求。 （5）对于内部控制责任的定位，较传统的观点认为，内部）对于内部控制责任的定位，较传统的观点认为，内部控制理应由公司总经理控制理应由公司总经理(经营层经营层)负责。萨班斯法案总的原则负责。萨班斯法案总的原则是把财务报告可靠性和有关内部控制的责任落实到实际执是把财务报告可靠性和有关内部控制的责任落实到实际执掌