企業內部控制鑒證二零零九年六月八日企業內部控制鑒證

第一部分內部控制和薩賓斯法案介紹

第二部分企業內部控制基本規范解讀

企業內部控制的基本規范課件

內部控制和薩賓斯法案介紹

只針對薩賓斯法案的要求--和財務報告有關的部分覆蓋的業務主體內部控制的專注點只針對薩賓斯法案的要求內部控制的專注點內部控制的廣泛性內部控制絕對不是不是：靜態的結構；某一層次人員的任務（例如：高級管理層）；某一部門的任務（例如：財務、內部審計）；某一實體的任務（例如：總部、省級公司）。內部控制是：美國反欺騙性財務報告委員會（COSO）的定義：內部控制是一個靠組織的董事會、管理層和其他員工去實現的過程，實現這一過程是為了合理的保證：

經營的效果性和效率性；財務報告的可信性；對法律和規章制度的遵循性。因此，整個集團的共同參與對于項目的成功至關重要。內部控制的廣泛性內部控制絕對不是不是：美國反欺騙性財務報告委規范要求的長遠益處四個關鍵信息質量的驅動因素是行業領先的公司進行變革的目標，這些因素是遵循規范的結果，也是價值的創造提供的數據客觀，形象的表示了公司業績財務報表更改的情況將很少發生業績將更接近原有的預期持續的計劃給管理層和投資者提供了數據用于公司應對商業環境的變化隨著時間的推移，信息將快速的產生需要快速的提供給投資者相關信息簡單化和標準化的信息使得更容易被理解和接受管理層要直接看到推動業務的相關因素及時可預測透明精確Earnings規范要求的長遠益處四個關鍵信息質量的驅動因素是行業領先的公司

走進內部控制–主要內容主要內容一、基本概念闡述二、內控系統整體架構三、內部控制的實施

走進內部控制–主要內容主要內容一、基本概念闡述

一、基本概念闡述一、基本概念闡述經營回報公司管理層經營回報與風險經營回報公司管理層經營回報與風險什么是風險？風險是某一事件或行為對企業經濟利益可能的威脅商業風險和管理風險什么是風險？風險是某一事件或行為對企業經濟商業風險和管理風險財務和經營信息不足政策、計劃、程序、法律和標準貫徹失敗資產流失資源浪費和無效使用不能達到企業的目的和目標管理風險管理風險習慣上分為以下五類：財務和經營信息不足資源浪費和無效使用管理風險管理風險習慣上分經營中斷法律訴訟商業欺詐競爭失敗無益開支資產損失決策失誤風險的后果？經營中斷法律訴訟商業欺詐競爭失敗無益開支資產損失決策失誤風險

風險最小化加強系統的內部控制對可能的損失投保當可能的風險較大時，尋求較大的回報風險如何最小化？風險最小化加強系統的內部控制對可能的損失投保當可能的風險較

暴露的金額發生的可能性風險的大小內部控制降低內部控制如何降低風險？暴露的金額發生的風險的大小內部控制降低內部控制成功有效的內部控制風險與經營回報的良好平衡內部控制的重要性成功有效的風險與經營回報的良好平衡內部控制的重要性COSO報告《內部控制－整體架構》AICPA《審計準則公告第78》號《會計法》（第四章第27條）財政部《內部會計控制規范》 證監會《證券公司內部控制指引》證監會《商業銀行內部控制指引》征求意見稿財政部等五部委《企業內部控制基本規范》內部控制的重要性（續）COSO報告《內部控制－整體架構》內部控制的重要性（續）什么是內部控制？什么是內部控制？18內部控制

-被定義為一個過程，這個過程受企業的董事會、管理層及其他人員影響。設計這個過程是為達成下列目標提供合理的保證：營運的效果和效率財務報表的可靠性相關法令的遵循COSO內部控制的定義18內部控制-COSO內部控制的定義二、內部控制整體架構

二、內部控制整體架構 內控系統的整體架構企業內部控制的基本規范課件監督控制活動風險評估控制環境信息與溝通信息與溝通內控系統五要素架構目標有效率且有效果的使用公司資源財務報告

的可靠性遵循適用

的法律、法規監督控制活動風險評估控制環境信息與溝通信息與溝通內控系統五要是任何企業的核心，是企業的人以及它所處的環境

是推動企業的引擎，也是其他要素的基礎控制環境的組成要素：管理哲學和經營風格---傳達公司的正直、誠實的道德規范組織結構---董事會及其委員會職能職責分配和授權--權利、職責分工人事政策--保證員工正直并有能力勝任工作控制環境是任何企業的核心，是企業的人以及它所處的環境

是推動企業的引是任何企業的核心，是企業的人以及它所處的環境是推動企業的引擎，也是其他要素的基礎控制環境的組成要素：管理哲學和經營風格組織結構董事會及其委員會職能職責分配和授權人事政策控制環境是任何企業的核心，是企業的人以及它所處的環境控制環境的組成要控制環境－管理哲學和經營風格審計署對23家企業的調查結果項目％金額（億元）資產不實10.39%負債不實7.89%利潤不實38.87

其中：虛報94.98%36.92

隱瞞52.89%20.53

潛虧92.77%36.06控制環境－管理哲學和經營風格控制環境－管理哲學和經營風格審計署對23家企業的調查結果項獨立董事專門委員會設立審計委員會，及委員會成員資格要求審計委員會職責專門委員會與外部中介機構監事會監事會職責監事會與外部中介機構控制環境－董事會及委員會職能獨立董事控制環境－董事會及委員會職能企業必須了解它所面臨的風險，并加以控制。即設立可辨識、分析和管理相關風險的機制風險評估就是分析和辨識為實現企業目標所可能發生的風險。目標風險控制行為控制活動環境變化后的管理評估和更新風險評估企業必須了解它所面臨的風險，并加以控制。即設立可辨識、分析和風險分為：公司整體層面的風險具體業務活動層面的風險

風險分析的步驟：評估風險的重要性評估風險發生的可能性（或發生的頻率）考慮如何管理風險，即評估應采取何種行動風險評估風險分為：風險評估對應予以特別關注的環境變化保持警覺:法規或經營環境的改變新加入的員工、較高的人員流動性新的或改善過的信息系統公司經理迅速發展時期新技術的出現新業務、新產品、新的經營活動或并購公司重組跨國經營風險評估對應予以特別關注的環境變化保持警覺:風險評估次序銀行/保險業/證券 制造業其他1

內部控制的質量內部控制的質量內部控制的質量2

管理人員的能力 管理人員的能力管理人員的能力3 管理人員的正直程度管理人員的正直程度管理人員的正直程度4

會計系統的近期變動單位的規模會計系統的近期變動5

單位的規模經濟環境惡化業務的復雜性6

資產的流動性業務的復雜性資產的流動性7

重要人員的變動重要人員的變動單位的規模8

業務的復雜性會計系統的近期變動經濟環境惡化9

快速的增長快速的增長重要人員的變動10

政府法規管理人員對完成目標的壓力快速的增長近期變動 如何有效地進行風險管理各行業的前10種最主要的風險因素如何有效地進行風險管理企業必須基于風險評估的結果訂立控制風險的政策及程序，并予以執行。通?？梢园礃I務分別進行制定?，F金管理資本性采購采購和付款人事和薪金營銷和銷售存貨管理控制活動企業必須基于風險評估的結果訂立控制風險的政策及程序，并予以執控制活動的類型事前 事中 事后檢查性控制補償性控制預防性控制糾正性控制

事前 事中 事后控制活動的類型控制活動的類型事前 事中 事后事前 事審批（高層審閱）保護實物資產異常報告制度關鍵績效指標分析職責分工控制活動審批（高層審閱）控制活動你的批準意味著什么？你已經檢查過文件的正確性、完整性以及適當性你同意文件的內容你有同意的基礎，即:你，或者你指派的適當人員，而非文件的編制者，已經審核了有關信息你對自己的審批負全責控制因素活動-----審批你的批準意味著什么？控制因素活動-----審批在開展任何業務之前都應進行授權

授權以后，為了避免濫用權力，還要經常對業務流程進行審查按性質的不同分為綜合授權和特別授權要對授權做好記錄，并提供證明文件避免兩個極端：“層層審批”和“一支筆”授權批準控制授權批準控制控制活動因素-保護實物資產例如:實物與會計記錄的定期核對把文件鎖起來!!!財務報表!!!保護數據中心、本地局域網控制室以 及工作站設備標簽安全系統/警報系統設圍墻配置保安工作證件隱藏的攝像鏡頭返回控制活動因素-保護實物資產例如:返回例如:超過還款期限的應收賬款報告加班統計報告重復付款報告未享受到的折扣重點是發現異常情況并及時跟進控制因素活動---異?；顒訄蟾胬?控制因素活動---異?；顒訄蟾媛氊煼蛛x控制授權批準控制內部報告控制電子信息技術控制……一些重要的內控方法一些重要的內控方法職責分離控制一些重要的內控方法一些重要的內控方法不同人員或部門之間的職責分工可以通過一系列檢查措施，例如:降低發生錯誤的風險，并控制人為蓄意的操縱.避免獨立個人同時負責一項完整的交易的發生、授權和記錄，或避免獨立個人在保管資產的同時負責記錄其變動.通過崗位輪換,使更多的高級管理者參與日常運營的主要活動,以外部視角來觀察各個部門的運營.控制因素活動---職責分工不同人員或部門之間的職責分工可以通過一系列檢查措施，例如:降工作職責存在的風險同時負責現金的收取和應收賬款的會計記錄可能會通過注銷應收賬款和截留應收賬款等調節賬簿的方法來私自挪用現金同時負責購貨訂單的審批和貨物的收取可能以組織的名義為個人購入貨物，在收取貨物時利用職務之便將貨物占為己有，同時不向會計部門遞交原始憑證或者在原始憑證上反映虛假信息同時負責付款的審批和購貨訂單簽發與審核可能會偽造購貨業務并支付貨款，從而貪污現金不相容職務相互分離控制－示例工作職責存在的風險同時負責現金的收取和應收賬款的會計記錄可能內部報告控制完善內部管理報告系統內部報告上報時間及報告路線內部報告的分析和跟進內部報告的分發控制內部報告控制內部報告的分析和跟進信息系統控制－目標提高資源使用效率有效達到企業目標保持數據完整維護資產安全信息系統控制目標符合相關的法律、法規和政策信息系統控制－目標信息系統控制－目標提高資源使用效率有效達到企業目標保持數據完提高企業信息系統的整體可信賴程度的控制信息系統的組織和管理信息系統操作數據安全危機處理與業務持續計劃外包廠商管理網絡支持系統軟件支持應用系統安裝與維護硬件支持數據庫安裝與支持一般信息系統控制信息系統的組織和管理信息系統操作數據安全危機處理與業務持續計貫穿在風險評估和控制活動過程中這些系統使企業內的人員能取得他們在執行、管理和控制企業營運時必須的資訊，并交換這些資訊信息系統：內部、外部溝通：使員工知悉其在業務經營、財務報告及法律遵循方面的責任信息與溝通貫穿在風險評估和控制活動過程中信息與溝通信息通過信息系統識別、采集、加工和匯報信息信息系統經常被認為是經營活動的一個組成部分信息與溝通信息信息與溝通信息質量

內容相關–是不是所需要的信息?提供及時–

是不是在需要時可以及時提供?時效性–是不是最新的?正確性–數據是不是正確?可獲得性–是不是可以從正常渠道輕松獲得?信息與溝通信息質量

信息與溝通內部每一各人都需要了解內部控制系統的相關方面，系統如何工作，以及他（她）本人在系統中的角色和職責

外部與外部單位的交流經常能提供履行內部控制職能所需要的重要信息監查部門例如證監會、財政部等提供的審閱或檢查結果能夠揭示控制的弱點與股東、監管部門、金融分析師和其他外部單位的溝通應提供與其需求相關的信息，以便其比較容易地理解企業所面臨的環境和風險下一步信息與溝通(續)內部下一步信息與溝通(續)監督整個內部控制的執行過程必須被監督確保內部控制制度隨情況的改變而作出動態的反應應建立檢查和報告體制監督是誰的職責?管理層應對內控執行情況進行持續監督內部審計部門應進行定期、不定期的個別評估監督監督整個內部控制的執行過程必須被監督監督是誰的職責?持續監控管理者審閱管理信息比較內部信息與外部信息適當的組織結構和監督責任設置信息與實務的比較利用內外部審計師的工作主動納諫要求員工定期聲明自省行為個別評價匯報內部控制缺陷返回控制環境風險評估控制活動信息與溝通監督監督持續監控返回控制環境風險評估控制活動信息與溝通監督與會計報表中所有重要科目及信息披露

相關的所有報表認定存在或發生

完整性權利和責任價值表述和披露返回與會計報表中所有重要科目及信息披露

相關的所有報表認定存在或

上市公司會計監察委員會發布第2號審計準則

對審計師工作內容的要求根據準則規定，審計師必須進行以下工作進行項目計劃;評估管理層的評估過程;理解與財務報告相關的內部控制情況；測試并評估與財務報告相關的內部控制的設計有效性；測試并評估與財務報告相關的內部控制的運行有效性；以及就與財務報告相關的內部控制的有效性形成一個結論

上市公司會計監察委員會發布第2號審計準則

對審計師工上市公司會計監察委員會發布第2號審計準則

對審計師取得審計證據途徑的要求評估和測試管理層的評估流程評估和測試他人（如：內部審計師）對內部控制進行的工作獨立對于財務報告相關的內部控制的有效性進行測試準則規定了審計師取得審計證據的以下途徑：上市公司會計監察委員會發布第2號審計準則

對審計師取得審計證上市公司會計監察委員會發布第2號審計準則對審計師的要求確認評估對象：確認需要測試的控制措施，包括對所有重要會計報表科目及信息披露的相關會計認定所采取的控制措施；評估控制的失效風險：評估由于控制措施失效而導致會計報表錯記的可能性、此類錯記的嚴重性，以及其他控制措施實現相同控制目標的程度；確認評估范疇：確認應納入評估范圍的具體公司地址或業務單元(針對擁有多個辦公地點或業務單元的公司)；評估控制的有效性：對所有會計報表重要科目及信息披露的相關會計認定所實施的控制措施在設計及實踐方面的有效性進行評估；評估缺陷的嚴重性：確認在財務報告內部控制系統中所發現的不足是否會構成重大缺陷或實質性漏洞；溝通：就主要發現與相關方面進行溝通；及形成結論：評估主要發現是否與評估結果相一致。審計師需要確定管理層是否進行了以下評估工作：上市公司會計監察委員會發布第2號審計準則對審計師的要求確認評內部控制的主體:管理層（承擔的職責是計劃、組織、領導其組織的活動，即對組織的內部控制負責）內部審計對管理層組織的內部控制進行監督，以協助管理層有效地履行他們的職責。管理層在內部控制中的地位和作用管理層在內部控制中的地位和作用

三、內部控制的實施

三、內部控制的實施實施內部控制制度最有效的辦法業績考核逐項復核內控是否存在于現有流程中，是否有效必要時進一步制定具體政策和管理報告考慮成本效益原則強化對內控的監督與評估實施內部控制制度實施內部控制制度最有效的辦法業績考核逐項復核內控是否存在于現實施控制時的成本效益原則企業內部控制的基本規范課件

管理層在實施內控中未承擔應有職責過分強調控制成本片面強調人員素質認為內控包治百病

實施內控時常出現的誤區

中國：80％－組織日常財務工作70％－審核財務報表及管理報表60％－制定投融資決策55％－制定內控30％－制定公司長遠規劃

美國：財務管理及內部控制收購與兼并制定公司長遠規劃信息技術規劃與各經營部門協調

調查結果－總會計師職責分布 中國： 美國：

管理層在實施內控中未承擔應有職責過分強調控制成本片面強調人員素質認為內控包治百病

實施內控時常出現的誤區 實施內控時常出現的誤區

管理層在實施內控中未承擔應有職責過分強調控制成本片面強調人員素質認為內控包治百病

實施內控時常出現的誤區 實施內控時常出現的誤區

管理層在實施內控中未承擔應有職責過分強調控制成本片面強調人員素質認為內控包治百病

實施內控時常出現的誤區

人為因素使內控失效對控制責任的誤解執行時的大意疲勞舞弊時間推移使控制措施逐漸失效

包治百?。浚瓋瓤氐墓逃芯窒扌詫刂曝熑蔚恼`解執行時的大意疲勞舞弊 包治百??？－內控的固有局限性管理層違規形式主義利益的沖突法律法規的意外變化競爭對手的行動經濟環境變化等其它影響內控實施效果的因素企業內部控制的基本規范課件薩班斯－奧克斯利法案介紹薩班斯－奧克斯利法案介紹目錄薩班斯－奧克斯利法案概述-法案之背景與目的

-法案之主要內容

-法案對于在美國上市公司的規定與影響目錄(一)法案產生之背景安然，世通等知名公司相繼暴露出嚴重的管理層欺詐丑聞，使美國上市公司深陷信用危機。會計系統的漏洞、管理層的失職、內部控制的缺乏以及外部審計人員的道德風險是導致管理層欺詐丑聞的根本原因。重建公司信用，規范高級管理層與注冊會計師關系和職業道德的要求刻不容緩。2002年美國通過的《薩賓斯-奧克斯利法案》（Sarbanes-OxleyAct），是美國繼安然、世通、安達信等連串公司財務丑聞事件披露后，為強化上市公司內部治理和增強資本市場信息披露而出臺的一部重要法律。布什總統在簽署法案時，稱“它是美國證券市場發展過程中的一個里程碑”。

薩班斯－奧克斯利法案概述

(一)法案產生之背景薩班斯－奧克斯利法案概述薩班斯－奧克斯利法案概述法案的文本中大部分內容都是參議院銀行委員會主席、馬里蘭州民主黨參議員保羅·薩賓納斯（PaulSarbanes）提出的方案，在此基礎上，薩賓納斯參議員和俄亥俄州共和黨眾議員麥克·奧克斯萊（MichaelOxley）共同主刀，兩院于6月25日達成妥協通過了107屆國會最后版本(第610號文件)，這部法案遂以兩位議員的名字命名為《薩賓納斯—奧克斯萊法案》（Sarbanes-OxleyActof2002）(以下簡稱《薩賓法案》)。法案推出時距安然公司會計造假案件事發僅9個月、世通公司倒閉才幾個星期，美國兩黨這次完成立法之迅速一致，在美國立法史上堪稱罕見。薩班斯－奧克斯利法案概述法案的文本中大部分內容都是參議院銀行薩班斯－奧克斯利法案概述《薩賓法案》的制定出人意料的順利，主要緣自兩黨對加強公司治理和保護投資者利益這個問題上認識的一致。美國一些經濟分析家還認為，“《薩賓法案》某種程度上幫助布什贏得了競選連任”。因為雖然反恐戰爭的勝利使布什聲譽看漲，但如果反腐失當，將使其功虧一簣而重蹈老布什贏了戰爭、輸了經濟、失了連任的覆轍，所以，布什政府在反腐與反恐兩條戰線上同時作戰，美國經濟也進入了打擊欺詐與懲治腐敗的新時期，投資者權益保護再次被提到一個前所未有的高度為這屆政府贏取了民心和信心。薩班斯－奧克斯利法案概述《薩賓法案》的制定出人意料的順利，主薩班斯－奧克斯利法案概述這部法案被美國各界寄予了厚望，它被認為是徹底杜絕公司造假的有力武器。自從2001年底安然（Anron）公司會計造假、2002年6月世界通信（Worldcom）公司假賬丑聞曝光以來，投資者信心受到重創，人們對市場誠信標準發生動搖，紐約股市連續劇烈震蕩，美國整體經濟也遭受拖累，就連布什的公眾支持率也由2002年早期的90%左右下滑到了65%。連串丑聞引發了人們對公司治理、會計、審計、證券交易誠信和監管等問題的廣泛討論，人們開始認識到造假不是某個公司的個案，而是一個帶有普遍性的問題，這可能是由于美國資本市場和企業層面存在著的系統性的缺陷所致，投資者和民眾要求政府立法加以撥亂反正的呼聲越來越高。在這種情況下，民主、共和兩黨也不得不加緊行動，快速反應，以順應民眾的呼聲。薩班斯－奧克斯利法案概述這部法案被美國各界寄予了厚望，它被認薩班斯－奧克斯利法案概述

2002年6月，布什總統簽署的薩班斯－奧克斯利法案正式生效，該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯合提出，故簡稱《薩班斯－奧克斯利法案》。該法案對美國《1933年證券法》、《1934年證券交易法》作了不少修訂，在會計職業監管、公司治理、證券市場監管等方面作出了許多新的規定。法案的初衷是增強信息披露，保護投資者利益。但它出臺后卻引起了美國一些上市公司的爭議，一些人認為該法案造成了企業的財務成本,在一定程度上已影響了外國公司在華爾街市場上市融資的決心。薩班斯－奧克斯利法案概述2002年6月，布什總統簽署的薩薩班斯－奧克斯利法案概述法案出臺之目的

-重建公司信用，培育公眾信心，振興證券市場。

-加強公司監管，規范業務運作。

-增加財務報告與信息披露的透明度。

-確保公司管理層可以從有效監控的系統中獲取重要信息。

-公司管理層必須對美國證券管理委員會要求存檔的材料和向投資者公布的信息承擔責任。薩班斯－奧克斯利法案概述法案出臺之目的薩班斯法案的所有內容目錄薩班斯法案正文目錄

第一章

公眾公司會計監察委員會

第101節組建,管理條款

第102節在委員會注冊

第103節審計,質量控制和獨立性準則及規定

第104節對注冊的會計師事務所的檢查

第105節調查和懲戒程序

第106節外國注冊的會計師事務所

第107節SEC對委員會的監管

第108節會計準則

第109節資金

薩班斯法案的所有內容目錄薩班斯法案正文目錄

第一章公眾公司薩班斯法案的所有內容目錄第二章審計師的獨立性

第201節審計師執業范圍之外的業務

第202節事前許可

第203節負責審計合伙人的輪換

第204節審計師向審計委員會報告

第205節保持一致性的修訂

第206節利益的沖突

第207節關于強制輪換注冊的會計師事務所的研究

第208節對SEC的授權

第209節州級管理當局的考慮

薩班斯法案的所有內容目錄第二章審計師的獨立性

第201節薩班斯法案的所有內容目錄第三章公司的責任

第301節公眾公司審計委員會

第302節公司對財務報告的責任

第303節對審計不正當的影響

第304節沒收獎金及收益

第305節對公司官員及董事的處罰

第306節禁止在養老基金的管制期內進行內部交易

第307節關于律師職業責任的規定

第308節投資者公平基金

薩班斯法案的所有內容目錄第三章公司的責任

第301節公眾薩班斯法案的所有內容目錄第四章強化財務信息披露

第401節定期報告中的披露

第402節強化利益沖突的信息披露

第403節同管理層和主要股東有關的經濟業務的披露

第404節管理層對內部控制的評價

第405節例外情形

第406節高級財務管理人員的道德守則

第407節同審計委員會財務專家有關的信息披露

第408節加強定期信息披露的復核

第409節實時信息披露

薩班斯法案的所有內容目錄第四章強化財務信息披露

第401節薩班斯法案的所有內容目錄第五章利益沖突的分析

第501節如何管理執業證券分析師及證券交易所

第六章委員會的組成及其權利

第601節財政撥款方面的權利

第602節SEC的執業許可權

第603節聯邦法院規定的市場禁入權

第604節證券經紀人和交易商的從業資格薩班斯法案的所有內容目錄第五章利益沖突的分析

第501節薩班斯法案的所有內容目錄第七章研究及報告

第701節審計總署對會計師事務所合并行為的研究及報告

第702節SEC對評級機構的研究及報告

第703節關于違法者和違法行為的研究和報告

第704節執法行為研究

第705節投資銀行研究

薩班斯法案的所有內容目錄第七章研究及報告

第701節審計薩班斯法案的所有內容目錄第八章公司欺詐及其刑事責任

第801節小標題

第802節篡改文件的刑事責任

第803節違反證券欺詐法不能免除債務

第804節證券欺詐的限制性條款

第805節對聯邦判決指南關于妨礙司法公正和廣義欺詐犯罪的回顧

第806節保護提供欺詐證據的公眾公司的雇員

第807節公眾公司欺騙股東的刑事責任薩班斯法案的所有內容目錄第八章公司欺詐及其刑事責任

第80薩班斯法案的所有內容目錄第九章強化白領刑事責任

第901節小標題

第902節企圖和陰謀進行欺詐犯罪活動

第903節郵件及電傳欺詐的刑事責任

第904節違反美國《1974年退休雇員收入保障法》的刑事責任

第905節修改關于白領犯罪行為的判決指南

第906節公司對財務報告的責任

薩班斯法案的所有內容目錄第九章強化白領刑事責任

第901節薩班斯法案的所有內容目錄第十章公司納稅申報表

第1001節參議院要求考慮公司首席執行官簽署納稅申報表

第十一章公司欺詐責任

第1101節小標題

第1102節篡改記錄或者阻止官方調查

第1103節SEC的暫時凍結權

第1104節聯邦判決指南的修改

第1105節SEC有權禁止有關人士擔任公司官員或者董事

第1106節按照《1934年證券交易法》加重刑事責任

第1107節對舉報人打擊報復薩班斯法案的所有內容目錄第十章公司納稅申報表

第1001節法案之主要內容

-成立獨立的公眾公司會計監察委員會，監管執行上市公司審計職業

-要求加強注冊會計師的獨立性

-要求加大公司的財務報告責任

-要求強化財務披露義務

-加重了違法行為的處罰措施

-增加經費撥款，強化美國證券管理委員會的監管職能

-要求美國審計總署加強調查研究其中與上市公司管理層直接相關的是：第302節公司對財務報告的責任第404節管理層對內部控制的評價薩班斯－奧克斯利法案概述(續)法案之主要內容

-成立獨立的公眾公司會計監察委員會，監管執法案之主要內容第302節公司對財務報告的責任

-要求公司首要官員及首要財務官在季度/年度報告中保證

-對信息披露的控制和程序負責（含刑事責任）

-設計必要的內部控制手段并確保其執行可使高層及時獲得重要信息

-對披露控制的有效性進行評估，評估結果需存檔

-不可向審計委員會和外部審計人員隱瞞公司重大的內控失敗和人員舞弊行為

-存檔描述內部控制的重大變化

薩班斯－奧克斯利法案概述(續)法案之主要內容薩班斯－奧克斯利法案概述(續)薩班斯－奧克斯利法案概述(續)-介紹信息披露的控制和程序

-強調財務人員的正直和財務報告系統控制的完整性

-需披露的非財務信息包括：重要合同的簽署，戰略合作關系的解除以及法律訴訟

-美國證券管理委員會要求

-擴大信息披露的控制和財務報告系統內部控制程序的認證

-將內控評估日改為財務報告截止日薩班斯－奧克斯利法案概述(續)-介紹信息披露的控制和程薩班斯－奧克斯利法案概述(續)法案之主要內容第404節管理層對內部控制的評價（最嚴厲，對中國在美上市公司是最大挑戰）

-要求公司管理層在年度報告中：

-描述他們在建立和維護一個針對財務報告職能行之有效的內部控制程序中的責任

-對財務報告系統內部控制有效性以一個公認架構進行評估（例如COSO內控架構）

-同時要求外部審計人員：

-對管理層評估結果進行鑒證

-美國證券管理委員會要求

-擴大信息披露的控制和財務報告系統內部控制程序的認證

-將內控評估日改為財務報告截止日薩班斯－奧克斯利法案概述(續)法案之主要內容薩班斯－奧克斯利法案概述(續)404條款法案第四章規定了“加強財務披露”（EnhancedFinancialDisclosure）的內容，其中的第404條款最為關鍵，該條款也叫內部控制條款（InternalControlReport）,主要明確了上市公司（包括場外交易市場”OvertheCounterMarket”的掛牌企業）管理層及外部審計師對于公司財務內部控制的責任和義務。---負責公司內部控制的管理層需要在公司內部各個業務環節設立至少5年的信息數據保存和保留系統，防止這些數據被篡改、盜用、刪除的可能性；---公司管理層必須每年在年報中就公司產生財務報告的各個業務流程的內控系統分別做出評價和真實性報告,并向證監會提交10-K表。---外部公共審計師對于公司管理層評估過程以及內控系統結論要進行相應的獨立檢查并出具正式意見---任何導致財務報告信息失真的內部控制環節中的虛假數據，不論有無證據證明其是否蓄意，都要予以罰款、監禁甚至兩者并處。薩班斯－奧克斯利法案概述(續)404條款美國證交會有關薩班斯法案404條款的最終條例對管理層報告書內容的要求作出外部審計師已就管理層對內部控制系統作出的評估并發表核證報告的陳述。管理層為公司設立和維持足夠的財務報告內部控制系統的責任陳述；管理層為評估公司財務報告內部控制系統的有效性而采用的評估架構陳述;管理層在公司最近的財政年度做出的對公司與財務報告相關的內部控制有效性的評估包括一份公司與財務報告相關的內部控制是否有效的聲明。聲明必須披露管理層發現的任一公司與財務報告相關的內部控制的實質性漏洞。在公司與財務報告相關的內部控制存在某一或更多實質性漏洞時，管理層不得做出公司與財務報告相關的內部控制有效的聲明；及美國證交會有關薩班斯法案404條款的最終條例對管理層報告書內對控制缺陷的評估顯著缺陷該缺陷會導致年報或中期報告中的并非無關緊要的錯漏無法被預防或偵測出來的可能性并非十分微小。實質性漏洞該缺陷或缺陷集合會導致年報或中期報告中的實質性錯漏無法被預防或偵測出來的可能性并非十分微小。

嚴重顯著缺陷=實質性漏洞需要作個別和整體的評估必需向審計委員會報告一個單獨的實質性漏洞可能會導致否定意見404條款相關法規要求的工作對控制缺陷的評估顯著缺陷實質性漏洞需要作個別和整體的評估4對財務會計制度的選擇和使用的控制防范欺詐舞弊的程序和控制對非經常性和非系統性交易的控制對期末財務報表流程的控制根據上市公司會計監管委員會的第2號審計準則如果公司的內部控制在以下任何一方面存在不足，即被認為存在顯著缺陷之處顯著缺陷根據上市公司會計監管委員會的第2號審計準則如果公司的內部修改已發布的財務報表外部審計師在年度審計中發現的重大誤報不是由該公司首先發現無效的審計委員會監管對財務報表流程可靠性至關重要的內部控制或風險評估失效處于高度監管行業中的公司，其合規控制失效(此處所述的合規控制僅限于因該合規控制失效所導致的違規對財務報告可靠性具有重大影響)發現高級管理層任何程度的舞弊已經發現并報告的重大控制不足在經過合理的時間后并未

加以改正低效率的控制環境如果出現以下情況，則意味著公司的內控存在顯著缺陷之處，同時也是出現重大漏洞的一個重要信號顯著缺陷和實質性漏洞的信號修改已發布的財務報表如果出現以下情況，則意味著公司的內控存在上市公司會計監察委員會發布第2號審計準則承擔公司財務報告內部控制有效性的責任；采用適當的控制標準(比如COSO標準)，評價公司財務報告內部控制的有效性；以充分的證據(包括文檔文件)為評估結果提供有力支持；針對公司最近財年財務報告內部控制的有效性提交書面評估。

公司管理層在對財務報告內部控制審計中的責任上市公司會計監察委員會發布第2號審計準則承擔公司財務報告內部薩班斯－奧克斯利法案概述(續)此外，法案第三章專門規定了上市公司的責任，例如，為確保獨立董事對上市企業運行的獨立和嚴格的監管，在304條款對獨立董事的資格、報酬也做出了嚴格限制。第305條還規定了公司董事和管理層薪酬（Officers&DirectorBarsPenalty）確定的辦法，尤其是對股票期權（StockOption）行權、兌現的期限做了嚴格限制，該條規定，公司首席執行官等高層管理人員的報酬由有公司薪酬委員會決定，該委員會必須全部由與公司經理人沒有關系的獨立董事組成，公司給予高層管理人員或董事會成員的股票期權計劃必須獲得股東的批準。第306條還禁止公司管理層和董事會成員在養老基金管制期間（PensionFundBlackoutPeriod）進行內部交易（InsideTrade），并對1974年雇員退休保障法（EmployeeRetirementSecurityActOf1974）的部分條款進行了修改和增補。薩班斯－奧克斯利法案概述(續)薩班斯－奧克斯利法案概述(續)（二）針對會計行業的有關條款：1、成立上市公司會計監督委員會（PublicCompanyAccounting

OversightBoard,簡稱PCAOB）法案第一章就“上市公司會計監督委員會”PCAOB的組成、管理形式、執行準則、監督程序等進行了詳細規定，由SEC在90天內成立一個5人組成的上市公司會計監督委員會，任何為上市公司提供審計和會計服務的會計師事務所都要在PCAOB注冊登記，按照統一的審計質量控制和審計標準進行會計服務，PCAOB有權對注冊的會計師事務所和審計人員進行監管、調查和懲戒。薩班斯－奧克斯利法案概述(續)薩班斯－奧克斯利法案概述(續)2、確保審計獨立性（AuditorIndependence）法案第208條（a）款重申了審計和會計利益回避制度（NonAuditService），禁止為上市公司進行財務審計的注冊會計師事務所為同一家公司提供稅務安排、投資銀行業并購安排、金融信息咨詢等非審計服務，避免同一家會計師既當裁判員，又當運動員。上市公司在聘請注冊會計師前需要事先向公司審計委員會（AuditingCommittee）報告，并且對會計師事務所要定期強制輪換（AuditorPartnerRotation）。審計委員會對會計師事務所的聘請、變更等事項要及時向公眾披露，會計師或審計師與上市公司內部管理層或董事會有利益沖突的，要及時實行強制回避（MandatoryRotationOfPublicAccountingFirms）。PCAOB保留對上市公司審計委員會的決定加以糾正的權利。薩班斯－奧克斯利法案概述(續)2、確保審計獨立性（Audit薩班斯－奧克斯利法案概述(續)3、規定審計委員會（AuditCommittee）的功能法案301條款規定，審計委員會要和上市公司首席執行官和首席財務官一樣，對公司財務報告承擔責任，禁止在審計過程中的不當行為。從事審計的會計師事務所要在法案頒布180天以內，向SEC的PCAOB注冊登記。4、規定外部財務審計在公司內部控制中的地位和作用法案第103款規定，對管理層財務報告內部控制評估的審計師報告，需要評價公司的內部控制政策和程序是否包括詳細程度合理的紀錄，以準確公允地反映公司的資產交易和處置情況；內部控制是否合理保證公司對發生的交易活動進行了必要的紀錄，以滿足財務報告編制符合“公認會計原則”（GenerallyAcceptedAccountingPrinciples,簡稱GAAP）的要求；是否合理保證公司的管理層和董事會對公司的收支活動進行了合理授權。薩班斯－奧克斯利法案概述(續)3、規定審計委員會（Audit薩班斯－奧克斯利法案概述(續)此外，第806條和1107條（InformantRetaliation）規定了對揭發上市公司欺詐行為的個人提供更多的法律保護(WhistleblowerProtection)，任何公司管理層，如果被發現對為調查機構提供信息的雇員進行報復、歧視、妨礙其受雇，或其它有害行為的，將會受到罰款或10年監禁?？傊端_賓法案》對未來企業運作、證券市場監管、會計和審計體制設置了種種嚴格的規定，很多內容改變了以往的監管理念和商業道德準則，是對一系列制度缺陷和漏洞的修正和彌補。由于法案嚴格的內容規定和頒布后即時生效的特點，迫使許多上市公司立即予以足夠關注，充分體現了一種“亂世用重典”的立法思想，堪稱20世紀30年代大蕭條以來美國所出臺的最嚴厲的打假法規薩班斯－奧克斯利法案概述(續)此外，第806條和1107條在美國上市的公司，不論規模，均需遵守薩班斯－奧克斯利法案的有關規定。即使上一年注冊會計師出具的是無保留意見的審計報告，也不表示公司現有的內控系統已經符合法案的規定。根據法案的規定，獨立審計人員還需另外證明客戶公司的內部控制系統是有效的。美國國會清楚地規定，公司對其財務報告和信息披露的公允性、充分性和正確性負有責任。法案規定獨立審計人員的主要職責為：證明管理層對公司財務報告系統的內部控制程序是否有效的評估是合理的。換句話說，管理層必須獨立地評估，執行和監控內部控制程序（但是可以聘請獨立審計人員以外的咨詢人員協助就緒及評估工作）。獨立審計人員則可以在一個限定的范圍內對公司已有的內部控制程序提出優化建議和協助。法案對上市公司的規定和影響主要體現在公司治理、管理層責任方面的規定。法案對于在美國上市公司的規定與影響在美國上市的公司，不論規模，均需遵守薩班斯－奧克斯利法案的有董事會成員的責任風險管理和控制職業操守和公司守法透明度和信息披露法案對于在美國上市公司的規定與影響

公司治理

董事會成員的責任職業操守和公司守法法案對于在美國上市公司的規董事會成員和審計委員會有進行自我評估和接受后續教育的責任紐約證券交易所和納斯達克證券交易所的規定公司治理的要求公司內控的失敗提高了董事會接受相關培訓，改進內控程序的重要性

法案要求公司對員工的職業道德作出書面規定要求審計委員會建立內部舉報激勵機制

職業操守和公司守法董事會成員的責任董事會成員和審計委員會有進行自我評估和接受后續教育的責任美國證券管理委員會公布了以下新的規定管理層信息與分析非通用會計準則下的財務處理資產負債表表外事項美國證券管理委員會建議成立信息披露委員會透明度和信息披露美國證券管理委員會公布了以下新的規定透明度和信息披露公司財務報告系統內部控制報告書的規定必須陳述下列情況以評估公司內部控制程序：管理層承認對公司內部控制有效性負有責任公司必須使用適當的控制標準（例如COSO)來評估內部控制的有效性公司必須提供充分的證據來支持其評估結果公司必須書面記錄與提交其對內部控制有效性的評估結論

管理層責任——評估財務報告系統內部控制的有效性公司財務報告系統內部控制報告書的規定

管理層責任——評估財務管理層責任—評估財務報告系統內部控制的有效性需要提供下列證據和文件來支持評估結論：

評估需包括分支機構和業務單元的認定重要內部控制的認定重要內部控制程序的設計控制實施的有效性內控之重大失敗和/或重大缺陷的認定評估結果管理層責任—評估財務報告系統內部控制的有效性需要提供下列證據在判定控制的重要性時必須考慮下列因素：控制失敗將導致財務報告失真的可能性用其他控制手段達到相同控制目的的程度重要的控制包括:會計系統初始化、帳務處理、重要帳戶余額記錄、交易類別和披露方面的控制反舞弊控制跨部門的共同控制，缺少它，其他重要控制程序不能獨立發生作用同時使用才能達到一定控制目標的重要控制程序對重大的非常規和非系統的交易監控的程序對期末財務報告步驟實施監控的程序

管理層責任——評估財務報告系統內部控制的有效性在判定控制的重要性時必須考慮下列因素：

管理層責任——評估財測試內部控制實施效果的方法：內部審計人員對內部控制有效性進行測試在管理層的領導下由其他人對內部控制的有效性進行測試使用外部服務機構的評估自我評估步驟測試需考慮的因素測試手段不能僅限于問詢的方式需測試的控制程序和測試的時間可能會受到公司風險評估和監控步驟的影響所有重要的分支機構和重要的控制程序都要進行評估公司不可以使用獨立審計人員對內部控制程序的測試結果來支持其作出的內部控制程序有效的結論

管理層責任——評估財務報告系統內部控制的有效性測試內部控制實施效果的方法：

管理層責任——評估財務報告系統文檔記錄的重要性

文檔記錄可以為控制程序的確定和控制的監管提供證據內部控制設計若缺乏文檔記錄將可能導致內部控制的重大失效或重大缺陷缺乏足夠的證據來支持公司的評估結果會在外部簽證報告中列為質量的重大缺陷，并簽發反對意見報告管理層聲明完成評估后，公司必須向它的審計師提供一份關于內部控制有效性的書面聲明管理層聲明必須作為一個獨立的報告包括在管理當局說明書中對于拒絕出具書面的管理層聲明的公司，外部審計人員必須拒絕對其內部控制系統發表意見*公司CEO和CFO對該聲明書全權負責，并對不實的聲明承擔刑事責任管理層責任——評估財務報告系統內部控制的有效性文檔記錄的重要性*公司CEO和CFO對該聲明書全權負責，

項目情況介紹企業內部控制的基本規范課件國務院有關部門可以根據法律法規、本規范及其配套辦法，明確貫徹實施本規范的具體要求，對企業建立與實施內部控制的情況進行監督檢查強調外部會計師的獨立性關注公司內部治理及對外信息透明、完整與正確性以強化內部控制為核心的要求規范的強制性國務院有關部門可以根據法律法規、本規范及其配套辦法，明確貫徹本項目的目標期望通過本項目建立一套能實現以下目標的內部控制系統：滿足企業內部控制基本規范對內部控制要求；作為統一公司的制度和流程的基礎；開始建立與現代企業制度相適應的公司治理結構和控制環境。本項目的目標期望通過本項目建立一套能實現以下目標的內部控制系內部控制鑒證項目進度表（初步計劃）關鍵流程和子流程（財務報表相關內控流程）訪談提綱、時間表、記錄、資料清單流程文字描述（穿行測試）流程圖確認流程文字描述和流程圖控制矩陣內部控制和流程差異性分析內控設計差異分析報告（問題，建議，改進方案）符合性測試計劃符合性測試工作底稿內控實施差異分析報告（問題，建議，改進方案）內部控制鑒證項目進度表（初步計劃）

內控項目培訓---配合支持企業內部控制的基本規范課件培訓內容訪談配合測試配合培訓內容訪談配合訪談內容訪談配合

Ⅰ.個人形式訪談技巧與步驟

1.訪談準備

2.進入訪談

3.訪談記錄

4.信息校驗

5.后續跟進

Ⅱ.團隊形式訪談步驟與技巧訪談內容訪談配合Ⅰ.個人形式訪談技巧與步1訪談準備進行資料準備制訂訪談大綱安排訪談計劃明確訪談目的了解訪談目的；確定需要準備哪些信息；按流程而不是部門決定訪談參與者；制定計劃及估計所需資源;公司的戰略、愿景和使命；公司的組織架構和部門崗位職責；訪談相關的運營流程；了解訪談的范圍深度和時間根據所需了解信息，準備訪談概要以及相關例子；排定訪談時間根據來訪者的需求調整訪談計劃；進入訪談1訪談準備進行資料準備制訂訪談大綱安排訪談計劃明確訪談2進入訪談努力營造與他人分享信息的環境及心理氛圍環境因素：安靜區域個人可以放松的區域考慮潛在干擾因素心理因素：音調友好；顯示出對他們的興趣表達明確坦誠放松直接到達主題2進入訪談努力營造與他人分享信息的環境及心理氛圍環境因2進入訪談---流程介紹來訪者對于內部流程參與的程度沒有你深入，所以要假設他們對流程了解不多。

●自上而下

●逐步分層2進入訪談---流程介紹來訪者對于內部流程參與的程度沒有2進入訪談—流程介紹自上而下逐層分步開始點控制點終結點流程活動控制方法相關人員產生憑證

2進入訪談—流程介紹自上而下逐層分步開始點流程活動2進入訪談----回答采訪

聽懂問題，明確來訪者提出問題的目的，以及所希望了解的內容；直接切入主題，消除可能產生歧義之處在回答前深入思考；列舉輔助案例，以便進一步解釋說明。2進入訪談----回答采訪聽懂問題，明確來訪者提出問2進入訪談—訪談收尾

在大多數訪談中，您能闡述所需間是很有限的；結束面談時，若有任何疑問，可以向來訪者補充；向來訪者表達誠意，如果之后有補充，或者項目組有其他問題，會積極配合。2進入訪談—訪談收尾在大多數訪談中，您能闡述所需3信息校驗

安排其它相關人士包括流程上游或下游的員工）進行交叉檢查；與來訪者一起審核數據。3信息校驗安排其它相關人士包括流程上游4后續跟進跟進訪談還未解決的問題；提供訪談中所需資料；留下聯系號碼。4后續跟進跟進訪談還未解決的問題；培訓內容訪談配合Ⅰ個人形式訪談步驟與技巧Ⅱ團隊形式訪談步驟與技巧

1.定義與使用場合

2.步驟

3.訪談準備

4.進入訪談培訓內容Ⅰ個人形式訪談步驟與技巧定義與使用場合

定義參與7-10個擁有某些共同特征的人進行團隊訪談，就某些焦點問題進行深入討論。小貼示：集體訪談需要明確的焦點及進行團隊訪談必備的技巧。使用場合深入了解參與者對程序、產品及機遇等的理解、感受及思維式。如果適當提出焦點問題，集體訪談將是有用的工具。定義與使用場合定義2步驟1.了解訪談目標2.確定參與者5.生成訪談大綱4.制定訪談計劃3.邀請參與者7.分析及解釋具體流程8.撰寫訪談紀要6.參與團隊9.跟進準備實施分析報告跟進2步驟1.了解訪談目標2.確定參與者5.生成訪3訪談準備

確定面談目標確定需要準備哪些信息辨別信息訪談者決定訪談參與者制定計劃及估計所需資源確定訪談提綱3訪談準備確定面談目標4進入訪談確保不會偏離主題。

注意時間，確保團隊完成任務。

每個參與者都應參與—沒有人主導沒有人被排除在外。仔細聆聽討論。

尊重及使用不同的角度及觀點。4進入訪談

測試配合企業內部控制的基本規范課件目錄●流程測試目的

●流程測試步驟目錄定義流程測試是內部控制的重要組成部分實施測試的主要目的---測試運用環境與流程描述是否相符定義流程測試是內部控制的重要組成部分測試步驟明確測試目的進行資料準備審核測試樣本測試步驟明確測試目的測試步驟—具體要求明確測試目的進行資料準備測試資料審核了解流程測試目的；確定需要準備哪些資料；按流程而不是部門進行資料分類；根據項目小組所選樣本，提供相關憑證和文件；審核測試樣本與流程描述是否相符；回答項目小組所提出的問題測試步驟—具體要求明確測試目的進行資料準備測試資料審核了解流測試步驟—具體要求主審分配測試任務測試員記錄測試結果主審審核測試結果與內控部門負責人溝通測試結果項目經理確認最終測試結果審計部審核測試結果內控部風險處測試崗審核測試結果測試步驟—具體要求主審分配測試任務

控制測試

是

在本年度測試該控制該控制是否針對特別風險該控制在最近兩年是否被測試過考慮是否在本年度測試該控制：控制是否有變化顯示需要測試的因素，如復雜的人工控制為滿足每年測試一部分控制的要求而測試

是

否

否

本審計期間測試某項控制的決策圖控制測試是在本年度測試該業務層面跟單測試—記錄跟單測試結果測試結果說明：名稱控制措施描述測試步驟及發現備注：根據測試的需要填寫備注信息。業務層面跟單測試—記錄跟單測試結果測試結果說明：業務層面跟單測試—記錄跟單測試結果如果在跟單測試過程中，發現了例外事項，則需要在測試處填寫該例外事項所對應的共性問題的索引號。如果發現多類共性問題，要標出記號加以區分如果在跟單測試過程中發現的關控例外的處理方法例外事項全部為關鍵控制點的例外事項，則認為該流程不存在例外，并將對應測試任務的測試狀態記錄為“控制有效”業務層面跟單測試—記錄跟單測試結果如果在跟單測試過程中，發現根據抽樣的情況，填寫實際的控制頻率，應抽取樣本數量，實際抽取的樣本數量，樣本量差異原因等信息。注：實際的控制頻率如果對應控制點執行的頻率與系統中的一致則不需要修改如果需要修改請在此處填寫每年，每季，每月，每周，每天，每日多次

業務層面關控測試—記錄樣本信息和樣本量差異原因根據抽樣的情況，填寫實際的控制頻率，應抽取樣本數量，業務層面業務層面關控測試—記錄樣本信息

和樣本量差異原因內控測試抽樣是種固定樣本抽樣，按照某個內控循環的交易頻次來確定樣本量，有兩種不同的方法，一是按照日交易頻次，二是按照年交易頻次，兩者實質上是一樣的，形式略有差別。某個循環日平均交易頻次在一次以上的，或年交易頻次在1000以上的，（四大的標準略有差異，這是我服務的那家的標準），至少抽40個樣本，日平均交易頻次在一次以下的，或年交易頻次在1000以下的，至少抽25個樣本，在抽樣中，如果發現一個樣本錯誤，則擴大三倍的樣本量，再發現樣本錯誤，則該內控循環不可信賴，需做詳細測試。IPO業務中有些重要的循環即使達不到年交易頻次1000，也會抽40個樣本。至于為什么選40和25，簡而言之像前面講的審計確信度的取值是一樣的，是長期的數理統計的結果，涉及很深的高等數學的知識。業務層面關控測試—記錄樣本信息

和樣本量差異原因內控測試抽樣業務層面關控測試—記錄例外信息如果測試的過程中發現了例外，需要記錄例外事項的相關信息。例外事項說明：名稱關鍵控制點例外事項詳細說明及原因。例外事項類型：發現例外事項時需要選擇對應的例外事項類型。其中關控測試對應的例外事項類型都以關控測試作為前綴例外事項數量改進意見：針對例外事項，填寫對應的整改建議。業務層面關控測試—記錄例外信息如果測試的過程中發現了例外，需

企業內部控制基本規范

企業內部控制基本規范

二00八年五月二十二日

為了加強和規范企業內部控制，提高企業經營管理水平和風險防范能力，促進企業可持續發展，維護社會主義市場經濟秩序和社會公眾利益，根據國家有關法律法規，財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制基本規范》，規定自2009年7月1日起在上市公司范圍內施行，鼓勵非上市的大中型企業執行。要求執行本規范的上市公司，應當對本公司內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計。

企業內部控制基本規范

二00八年五月二十二日

為了加強和企業內部控制基本規范

實施的范圍適用于中華人民共和國境內設立的大中型企業。小企業和其他單位可以參照本規范建立與實施內部控制。大中型企業和小企業的劃分標準根據國家有關規定執行。實施的時間

自2009年7月1日起實施。

企業內部控制基本規范

實施的范圍

企業內部控制基本規范

定義

內部控制，是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。

目標

內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。

企業內部控制基本規范

定義

企業內部控制基本規范

建立與實施內部控制，應當遵循的原則：

(一)全面性原則決策、執行和監督全過程，覆蓋企業及其所屬單位的各種業務和事項。

(二)重要性原則

在全面控制的基礎上，關注重要業務事項和高風險領域。

（三)制衡性原則

在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督，同時兼顧運營效率。

(四)適應性原則

與企業經營規模、業務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調整。

(五)成本效益原則

內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。

企業內部控制基本規范

建立與實施內部控制，應當遵循的原則：

企業內部控制基本規范

內部控制五要素：

(一)內部環境

內部環境是企業實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。

(二)風險評估

風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。

(三)控制活動

控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。

(四)信息與溝通

信息與溝通是企業及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間進行有效溝通。

(五)內部監督

內部監督是企業對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷，應當及時加以改進。

企業內部控制基本規范

內部控制五要素：

企業內部控制基本規范

內部環境

建立規范的公司治理結構和議事規則，明確決策、執行、監督等方面的職責權限，形成科學有效的職責分工和制衡機制。

股東(大)會

行使企業經營方針、籌資、投資、利潤分配等重大事項的表決權。

董事會

行使企業的經營決策權。

監事會

對股東(大)會負責，監督企業董事、經理和其他高級管理人員依法履行職責。

經理層

負責組織實施股東(大)會、董事會決議事項，主持企業的生產經營管理工作。

企業內部控制基本規范

內部環境

建立規范的公司治理結構和議

企業內部控制基本規范

內部控制的實施董事會負責內部控制的建立健全和有效實施。監事會對董事會建立與實施內部控制進行監督。經理層負責組織領導企業內部控制的日常運行。企業應當成立專門機構或者指定適當的機構具體負責組織協調內部控制的建立實施及日常工作。董事會下設立審計委員會負責審查企業內部控制，監督內部控制的有效實施和內部控制自我評價情況，協調內部控制審計及其他相關事宜等。

審計委員會負責人應當具備相應的獨立性、良好的職業操守和專業勝任能力。

企業內部控制基本規范

內部控制的實施

企業內部控制基本規范

企業應當通過編制內部管理手冊，使全體員工掌握內部機構設置、崗位職責、業務流程等情況，明確權責分配，正確行使職權。企業應當加強內部審計工作，保證內部審計機構設置、人員配備和工作的獨立性。內部審計機構應當結合內部審計監督，對內部控制的有效性進行監督檢查。內部審計機構對監督檢查中發現的內部控制缺陷，應當按照企業內部審計工作程序進行報告；對監督檢查中發現的內部控制重大缺陷，有權直接向董事會及其審計委員會、監事會報告。

企業內部控制基本規范

企業應當通過編制內部管理手冊，使全體

企業內部控制基本規范

企業應當制定和實施有利于企業可持續發展的人力資源政策。人力資源政策應當包括下列內容：

(一)員工的聘用、培訓、辭退與辭職。

(二)員工的薪酬、考核、晉升與獎懲。

(三)關鍵崗位員工的強制休假制度和定期崗位輪換制度。

(四)掌握國家秘密或重要商業秘密的員工離崗的限制性規定。

(五)有關人力資源管理的其他政策

企業內部控制基本規范

企業應當制定和實施有利于企業可持續發

企業內部控制基本規范

企業應當將職業道德修養和專業勝任能力作為選拔和聘用員工的重要標準，切實加強員工培訓和繼續教育，不斷提升員工素質。企業應當加強文化建設，培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業、開拓創新和團隊協作精神，樹立現代管理理念強化風險意識。董事、監事、經理及其他高級管理人員應當在企業文化建設中發揮主導作用。企業員工應當遵守員工行為守則，認真履行崗位職責。企業應當加強法制教育，增強董事、監事、經理及其他高級管理人員和員工的法制觀念，嚴格依法決策、依法辦事、依法監督，建立健全法律顧問制度和重大法律糾紛案件備案制度。

企業內部控制基本規范

企業應當將職業道德修養和專業勝任能力

企業內部控制基本規范

風險評估企業應當根據設定的控制目標，全面系統持續地收集相關信息，結合實際情況，及時進行風險評估。內部風險

(一)董事、監事、經理及其他高級管理人員的職業操守、員工專業勝任能力等人力資源因素。

(二)組織機構、經營方式、資產管理、業務流程等管理因素。

(三)研究開發、技術投入、信息技術適用等自主創新因素。

(四)財務狀況、經營成果、現金流量等財務因素。

(五)營運安全、員工健康、環境保護等安全環保因素。

(六)其他有關內部風險因素。

企業內部控制基本規范

風險評估

企業內部控制基本規范

外部風險

(一)經濟形勢、產業政策、融資環境、市場競爭、資源供給等經濟因素。

(二)法律法規、監管要求等法律因素。

(三)安全穩定、文化傳統、社會信用、教育水平、消費者行為等社會因素。

(四)技術進步、工藝改進等科學技術因素。

(五)自然災害、環境狀況等自然環境因素。

(六)其他有關外部風險因素。

確定風險承受度

風險承受度是企業能夠承擔的風險限度，包括整體風險承受能力和業務層面的可接受風險水平。

企業內部控制基本規范

外部風險

企業內部控制基本規范

風險分析

企業應當采用定性與定量相結合的方法，按照風險發生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優先控制的風險。確定風險應對策略

根據風險分析的結果，結合風險承受度，權衡風險與收益。

合理分析、準確掌握董事、經理及其他高級管理人員、關鍵崗位員工的風險偏好，采取適當的控制措施，避免因個人風險偏好給企業經營帶來重大損失。通過風險規避、風險降低，風險分擔和風險承受等風險應對策略，實現對風險的有效控制

企業內部控制基本規范

風險分析

企業內部控制基本規范

風險規避

是企業對超出風險承受度的風險，通過放棄或者停止與該風險相關的業務活動以避免和減輕損失的策略。

風險降低

是企業在權衡成本效益之后，準備采取適當的控制措施降低風險或者減輕損失，將風險控制在風險承受度之內的策略。風險分擔

是企業準備借助他人力量，采取業務分包，購買保險等方式和適當的控制措施，將風險控制在風險承受度之內的策略。

風險承受

是企業對風險承受度之內的風險，在權衡成本效益之后，不準備采取控制措施降低風險或者減輕損失的策略。

企業內部控制基本規