Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,内部控制的自我评价与外部评价,内部控制的自我评价与外部评价,1,小组成员及分工,小组成员及分工,2,案例讲解的流程,案例讲解的流程,3,Part1,：美国内控评价法律体系概况,Part1：美国内控评价法律体系概况,4,美国内部控制部分法规制度及职业标准,法规制度与职业标准名称,颁布机构与时间,与内控与风险管理相关内容及意义,1,、,反海外贿赂行为法,美国国会、,1977,年,该法案明确规定：内部控制不是会计部门的责任，而是美国公司董事会的责任。该法案确认的内部控制目标主要涉及授权、记录、使用资产和资产的会计责任四个领域,。,2,、内部控制,整合框架,COSO,、,1992,年,COSO,内部控制,整合框架构建了由三大目标和五项要素组成的内部控制框架。该框架的发布和广泛采用标志着内部控制在理论上和实务上走出审计范畴，从而成为企业整个管理体系的有机组成部分，该框架同时也为企业内部控制评价提供了指导。,美国内部控制部分法规制度及职业标准法规制度与职业标准名称颁布,5,美国内部控制部分法规制度及职业标准,法规制度与职业标准名称,颁布机构与时间,与内控与风险管理相关内容及意义,3,、,企业风险管理,整合框架,COSO,、,2004,年,9,月,COSO,企业风险管理,整合框架,构建了由四大目标和八项要素组成的企业风险管理框架，实现了内部控制,5,要素与风险管理,8,要素的有机结合，其重点是强化内部控制环境和风险应对问题。,4,、萨班斯,-,奥克斯利法案,美国国会、,2002,年,7,月,萨班斯法案是1933年以来美国证券立法中影响最深远的法案。它通过加强上市公司财务信息披露的可靠性和内部控制有效性，确保审计师的独立性以及改善公司治理结构来“重获投资者的信心”。成立新的监管机构上市公司会计监督委员会（,PCAOB,）加强对上市公司和独立审计师的监管。,美国内部控制部分法规制度及职业标准法规制度与职业标准名称颁布,6,美国内部控制部分法规制度及职业标准,法规制度与职业标准名称,颁布机构与时间,与内控与风险管理相关内容及意义,5,、与财务报表审计相融合的内部控制审计（简称第,5,号审计准则）,PCAOB,、,2007,年,5,月,指引审计师将审计重点放在最重要的内部控制事件的审计。要求审计师重点关注公司内部控制中那些可能会导致财务报告中的重大错报不能被发现或预防的高风险领域，并沿用了第,2,号审计准则指南中强调的从上到下的审计方法。,6,、关于管理层报告财务报告内部控制的指引,SEC,、,2007,年,6,月,为了对管理层有关财务报告内部控制的评价和评估提供指引。该指引提出了一种方法，管理层可以据以对财务报告内部控制实施自上而下、以风险为基础的评价。,7,、金融工具公允价值计量审计和利用专家工作的相关问题,PCAOB,、,2007,年,12,月,PCAOB,发布了审计实务提示（,Staff Audit Practice Alert,）第,2,号金融工具公允价值计量审计和利用专家工作的相关问题。该提示是在美国次贷危机的背景下发布的，主要为了提醒注册会计师注意美国公允价值会计审计准则中的有关规定。,美国内部控制部分法规制度及职业标准法规制度与职业标准名称颁布,7,基于内控评价,COSO,五要素的解读,内控环境,：主要包括组织架构、企业文化、人力资源管理、发展战略、社会责任五个子要素。内控环境确定了公司的总体态度，是内部控制所有其他组成要素的基础。管理层在对控制环境评估时，也应该考虑反舞弊机制、审计委员会或其他监管职能的有效性。,风险评估,：由业务风险评估、固有风险、舞弊风险三个子要素构成。企业要充分识别企业的外部环境（如：政治、经济、法律法规等方面）存在的，并对相关控制目标有影响的风险。其次，充分的风险评估过程要包括对重大风险的评估、对风险发生可能性的评估，以及应对风险方法的确定。,控制活动,：包括不相容职务分离控制、授权审批控制、会计系统控制、信息系统控制等。控制活动在整个公司所有级别和职能部门实施，确保管理层的指令得到执行。控制活动要注重具体信息处理的目标。,基于内控评价COSO五要素的解读内控环境：主要包括组织架构、,8,基于内控评价,COSO,五要素的解读,信息与沟通,：要素包括一套能够支持信息确认、获取、交流的系统。在评估信息与沟通要素时，管理层须考虑内部和外部生成的数据以及数据的质量。此外，管理层还应关注财务信息至关重要的系统和程序。,内部监督,：由持续监督、独立评估、缺陷报告三个要素组成。定期监督主要工作是管理层定期对内控系统进行审核。对监督过程发现的内控缺陷，应当分析缺陷的性质及产生原因，并提出整改方案。企业应当结合内控监督情况定期对内控的有效性进行自我评价，并出具内控自我评价报告,。,基于内控评价COSO五要素的解读信息与沟通：要素包括一套能够,9,萨班斯,404,条款主要内容,1.,管理层内部控制方面要求,要求公司年报中包括一份内部控制报告，该报告应包括以下内容：,(1),明确指出公司管理层对建立和保持一套完整的，并与财务报告相关的内部控制系统和程序所负有的责任；,(2),包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序的有效性的评估。,2.,审计师内部控制评价报告,受托的上市公司审计师应按照上市公司会计监管委员会审核发布的或采用的准则就管理层关于内部控制的评估进行测试和评价，并出具评价报告。,萨班斯404条款主要内容1.管理层内部控制方面要求,10,PCAOB,第,5,号和第,2,号审计准则对比,指引审计师将注意力投向最重要的控制,内控审计准则提案内容沿用了,PCAOB,关于第,2,号审计准则指南中强调的至上而下的方法。在使用至上而下的方法时，审计师要从财务报表和公司层面的控制开始，确定将要测试的控制，并将财务报表要素和公司层面的控制与重要账目、相关论断以及其他重要控制所在的重大流程联系在一起。,强调风险评估的重要性,该提案要求审计师在每一决策点的风险评估中采用至上而下的方法。审计师对重要账目和相关论断的确定要求审计师应清楚存在的相关风险。审计师的风险评估应内控审计具有普遍影响。从审计师开始对公司实质性漏洞风险评估开始，以至对单独账户、论断或控制层面风险的分析，审计师应不断调整审计程序，以反映审计师掌握的信息，包括内控审计和财务报表审计的经验。,PCAOB第5号和第2号审计准则对比指引审计师将注意力投向最,11,PCAOB,第,5,号和第,2,号审计准则对比,修订重大缺陷和实质性漏洞的定义,用“合理可能性”替代“微小可能性”,重新确定实质性漏洞的定义，以去除重大缺陷,用“重大”取代“不仅仅是不合理”,修订实质性漏洞的重要指标,第,2,号审计准则对那些至少为重大缺陷和实质性漏洞的重要指标的环境 进行描述。此类环境包括已发布的财务报表重编以及无效的控制环境。为保证提案的要求不会迫使审计师在缺陷不存在的情况下，做出缺陷存在的结论，委员会修改了关于将上述环境认为是至少具有重大缺陷的要求。,PCAOB第5号和第2号审计准则对比修订重大缺陷和实质性漏洞,12,PCAOB,第,5,号和第,2,号审计准则对比,明确实质性在审计中的作用,审计师在计划和执行内部控制审计中采用的实质性方法应与年度财报中采用的方法一致。,删除评价管理层评估过程的的要求,为强调适当的审计工作范围，简化报告，准则提案要求审计师对内部控制只能发表一个意见。提案删除了对管理层的评估分别发表单独意见的要求。若审计师对内控持相反意见，应在管理层报告的实质性漏洞进行单独、详尽的描述。若管理层未能公正反应实质性漏洞，审计报告中应包含一段解释以及必要信息。,PCAOB第5号和第2号审计准则对比明确实质性在审计中的作用,13,PCAOB,第,5,号和第,2,号审计准则对比,调整审计准则，适用较小公司的规模,较小公司的财务报告通常与较大、较复杂的公司不同，并且较小公司内部控制系统通常能够利用不同的方式较好的处理风险。审计师应执行的程序要依赖于公司规模和复杂程度的具体情况,简化要求,特定性和细节性水平降低，鼓励审计师根据实际情况进行职业判断,对陈述报告进行了重组，以更好的反映内控审计流程,要求陈述的方式更具有可读性，让客户和审计师更好理解,PCAOB第5号和第2号审计准则对比调整审计准则，适用较小公,14,Part2,：中国内控自我评价体系,Part2：中国内控自我评价体系,15,我国与内部控制相关的部分法规制度,法规与指引名称,颁布机构与时间,与内控与风险管理相关内容,1,、,证券公司内部控制指引,中国证监会、2003年12月,引导证券公司规范经营，完善证券公司内部控制机制，增强证券公司的自我约束能力，推动证券公司现代企业制度建设，防范和化解金融风险。,2,、证券公司融资融券业务试点内部控制指引,中国证监会、2006年6月30日,指导证券公司建立健全融资融券业务试点的内部控制机制，防范与融资、融券业务有关的各类风险。,3,、商业银行内部控制指引,中国银监会、,2007,年,7,月,3,日,该指引首次提出要对内部控制进行全流程评价，将内部控制体系的五大要素有机地联系在一起。,我国与内部控制相关的部分法规制度法规与指引名称颁布机构与时,16,我国与内部控制相关的部分法规制度,法规与指引名称,颁布机构与时间,与内控与风险管理相关内容,4,、银行业金融机构信息系统风险管理指引和商业银行操作风险管理指引,中国银监会、,2006,年、,2007,年,银监会先后发布了银行业金融机构信息系统风险管理指引和商业银行操作风险管理指引，为银行业金融机构的操作风险管理提出系统性的要求和指导。,5,、上海证券交易所上市公司内部控制指引,上交所、,2006年6月5日,该指引要求上市公司应从2006年年度报告起披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见。,6,、深圳证券交易所上市公司内部控制指引,深交所、2006年9月28日,从国有企业管理实践的内在需求以及国有资产出资人监管的角度出发，对中央企业开展风险管理工作的目标、全面风险管理体系建设的内容、流程以及工具和方法进行了详细阐述，并提出了明确的执行要求。,我国与内部控制相关的部分法规制度法规与指引名称颁布机构与时间,17,我国与内部控制相关的部分法规制度,法规与指引名称,颁布机构与时间,与内控与风险管理相关内容,7,、中央企业全面风险管理指引,国资委、,2006,年,6,月,从国有企业管理实践的内在需求以及国有资产出资人监管的角度出发，对中央企业开展风险管理工作的目标、全面风险管理体系建设的内容、流程以及工具和方法进行了详细阐述，并提出了明确的执行要求。,8,、企业内部基本规范,五部委、2008年5月,我国第一部加强和完善企业内部控制系统，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益的重要法规文件。,9,、,企业内部控制应用指引,、,企业内部控制评价指引,、,企业内部控制审计指引,五部委、,2010,年,4,月,配套指引通知要求执行,企业内部基本规范,及企业内部控制配套指引的上市公司和非上市大中型企业，对其内控的有效性进行自我评价，披露年度自我评价报告，并出具内控有效性的审计报告。,我国与内部控制相关的部分法规制度