第一章企業內部控制導論內控與風險評估第一章——企業內部控制導論第一章企業內部控制導論內控與風險評估第一章——企業內部控1教學目標掌握企業內部控制的涵義掌握西方內部控制的發展歷程熟悉內部控制整合框架階段的特點熟悉基于風險管理內部控制的特點了解企業內部控制的作用了解企業內部控制的分類內控與風險評估第一章——企業內部控制導論教學目標掌握企業內部控制的涵義內控與風險評估第一章——企業內2需要說明的幾個問題課程的性質、目的與任務（1）課程性質：《內部控制》是研究企業內部控制理論與制度體系的建設課程。加強內部控制，對于改善企業經營管理，防止其在經營中產生弊端，保障財產安全，提高經營活動的效率和效益都具有十分重要的意義。內控與風險評估第一章——企業內部控制導論需要說明的幾個問題課程的性質、目的與任務內控與風險評估第一章3需要說明的幾個問題課程的性質、目的與任務（2）課程目的：學習該課程，可以了解企業在財產物資管理中存在的問題，學會建立相應的內部會計控制制度，提高其在企業財務會計制度方面的綜合管理能力，為學習走向社會，走向市場，參加企業制度管理做準備。（3）課程任務：讓學生了解企業內部控制制度的基本理論，內部控制制度設計方法，掌握內部控制制度設計的基本原理，能夠設計企業的內部控制制度，最終增強內部控制與管理的能力。內控與風險評估第一章——企業內部控制導論需要說明的幾個問題課程的性質、目的與任務內控與風險評估第一章4需要說明的幾個問題先行課程（1）先行課程：會計學基礎、中級財務會計、高級財務會計、財務管理學等。11、考試方式與成績評定（1）考試方式：開卷，以案例分析、制度設計等作為考試的主要內容或方式，補充進行基礎理論考試。（2）成績評定：平時成績（考勤等）占30分，案例分析主要考核其案例分析的準確性，制度設計主要考核其制度的規范性、合理性、完整性等內容，根據具體情況評分（50分）。基礎理論按照相關題型的要求評分（20分）。內控與風險評估第一章——企業內部控制導論需要說明的幾個問題先行課程內控與風險評估第一章——企業內部控5第一節企業內部控制概述內控與風險評估第一章——企業內部控制導論第一節企業內部控制概述內控與風險評估第一章——企業內部控6一、內部控制的含義

（一）狹義內部控制狹義的企業內部控制定義為：由企業董事會、監事會、經理層和全體員工實施的，旨在實現與財務報告有關的內部控制目標的過程。其目標主要是合理保證企業財務報告及其相關信息的真實完整。與財務報告相關的內部控制包括以下三方面的政策和程序：一是保存足夠詳細的記錄，準確、公允地反映企業的交易和資產處置情況；二是合理保證按照企業會計準則和相關會計制度編制財務報表，按要求記錄交易，企業發生的收入和支出已經過管理層和董事會的授權；三是合理保證及時防止或發現未經授權的、對財務報表有重大影響的取得、使用或處置的企業資產。（二）廣義內部控制

1、內部控制是一個過程

2、內部控制需要企業全員參與

3、內部控制只能是合理保證常見現象和需要考慮的問題：①管理者濫予授權使控制形同虛設。②內部控制效果受人員素質影響。③人員聯合舞弊。④成本效益問題。內控與風險評估第一章——企業內部控制導論一、內部控制的含義內控與風險評估第一章——企業內部7對內部控制的認識（1）內部控制是一個過程（2）內部控制需要企業全員參與（3）內部控制只能是合理保證百度小故事：一年輕人不小心將酒店的地毯燒了三個小洞，退房時服務員說根據酒店規定，每個洞要賠償100元。年輕人問道：“確定是一個洞賠100元嗎？”服務員回答：“是”。于是年輕人點燃煙頭將三個小洞燒成一大洞。這一小故事給我們的啟示是：①考核標準在哪里，人們的行動就在哪里；②不要光站在自己的角度訂立標準；③漏洞有時是致命的。內控與風險評估第一章——企業內部控制導論對內部控制的認識（1）內部控制是一個過程內控與風險評估第一章8二、企業內部控制的作用

內部控制在經濟管理和監督中主要有以下作用：（1）提高會計信息資料的正確性和可靠性（2）保證生產和經管活動順利進行（3）保護企業財產的安全完整（4）保證企業既定方針的貫徹執行（5）為審計工作提供良好基礎內控與風險評估第一章——企業內部控制導論內控與風險評估第一章——企業內部控制導論9三、企業內部控制的分類

（一）根據企業組織構架，分為治理控制、管理控制和作業控制（二）根據控制對象，分為人事控制、財務控制、會計控制、生產控制等（三）根據控制依據，分為制度控制和預算控制（四）根據控制進程和時序，分為事前控制、事中控制和事后控制（五）根據控制范圍，分為戰略控制和經營控制

內控與風險評估第一章——企業內部控制導論內控與風險評估第一章——企業內部控制導論10第二節國外內部控制的演進歷程內控與風險評估第一章——企業內部控制導論第二節國外內部控制的演進歷程內控與風險評估第一章——企業11第二節國外內部控制的演進歷程一、萌芽期——內部牽制（1940年代以前）二、形成發展時期——內部控制制度（1940~1970）三、四、興盛期——內部控制結構、內部控制整體架構（1980-2002）五、成熟期——基于企業風險管理整合框架的內部控制（2002-）內控與風險評估第一章——企業內部控制導論第二節國外內部控制的演進歷程一、萌芽期——內部牽制（1912（一）萌芽期——內部牽制（1940年代以前）1、基本思想：以賬目間的相互核對為主要內容并實施崗位分離。2、產生原因：二戰后軍用技術民用化導致的產能過剩以及隨之而來的海外擴張和海外子公司的成立。

3、思想基礎：（1）二個或以上的人或部門無意識地犯同樣錯誤的機會是很小的。（古典概率論）（2）二個或以上的人或部門有意識地合伙舞弊的可能性大大低于單獨一個人或部門舞弊的可能性。

4、牽制類型：實物牽制、機械牽制、體制牽制和賬簿牽制。內控與風險評估第一章——企業內部控制導論（一）萌芽期——內部牽制（1940年代以前）內控與風險評估第13一、內部控制的萌芽期--內部牽制階段20世紀40年代前（一）內部牽制的概念

《柯勒會計辭典》指出，內部牽制是指：“以提供有效的組織和經營，并防止錯誤和其他非法業務發生的業務流程設計。其主要特點是以任何個人或部門不能單獨控制任何一項或一部分業務權力的方式進行組織上的責任分工，每項業務通過正常發揮其他個人或部門的功能進行交叉檢查或交叉控制。設計有效的內部牽制以使每項業務能完整正確地經過規定的處理程序，而在這規定的處理程序中，內部牽制機制永遠是一個不可缺少的組成部分。”

1936年AICPA“獨立公共會計師對財務會計報告的審查”中也指出：內部牽制（InternalCheck）是指以提供有效的組織和經營，并防止錯誤和其他非法業務發生而采取的各種措施和方法。其目的是為保證公司現金和其他資產的安全，檢查帳簿的準確性。內控與風險評估第一章——企業內部控制導論一、內部控制的萌芽期--內部牽制階段20世紀40年代前內控與14一、內部控制的萌芽期--內部牽制階段20世紀40年代前（二）內部牽制基于的假設第一、兩個或兩個以上的人或部門無意識地犯同樣錯誤的機會是很小的；第二、兩個或兩個以上的人或部門有意識地合伙舞弊的可能性大大低于單獨一個人或部門舞弊的可能性。

內控與風險評估第一章——企業內部控制導論一、內部控制的萌芽期--內部牽制階段20世紀40年代前內控與15一、內部控制的萌芽期--內部牽制階段20世紀40年代前（三）內部牽制的基本內容第一，識別不相容職務，即對通常不能由一個人兼任的職務。第二，合理界定不同職務的職責與權限，準確地分清責任；第三，分離不相容職務，在進行定崗和分工時，注意將不相容職務分離開來，使其相互牽制、相互制約；第四，必要的保障措施，如物理措施（保險柜、專用鑰匙等）或技術措施（網絡口令等），定期的崗位輪換等。

內控與風險評估第一章——企業內部控制導論一、內部控制的萌芽期--內部牽制階段20世紀40年代前內控與16一、內部控制的萌芽期--內部牽制階段20世紀40年代前（四）內部牽制的分類第一，實物牽制。對核心資產實行兩個或兩個以上的人同時管理。第二，機械牽制。機械牽制即通過程序或流程操作機械，才能完成一定過程的操作。因此也稱為程序牽制。第三，體制牽制。即通過組織分工來實現的防弊體制。為防止錯誤和舞弊，對于每一項經濟業務的處理，都要求有二人或二人以上共同分工負責，以相互牽制，互相制約的機制。第四，簿記牽制。簿記牽制即原始憑證與記賬憑證、會計憑證與賬簿、賬簿與賬簿、賬簿與會計報表之間核對的牽制。

內控與風險評估第一章——企業內部控制導論一、內部控制的萌芽期--內部牽制階段20世紀40年代前內控與17一、內部控制的萌芽期--內部牽制階段20世紀40年代前

總結：值得注意的是，內部牽制主要是通過分工協作來實現對舞弊行為的監控的，無論是部門之間的相互制約還是上下級之間相互制約，往往是從某一環節或部門出發，強調點，忽略面，局限于內部審計的原理。內控與風險評估第一章——企業內部控制導論一、內部控制的萌芽期--內部牽制階段20世紀40年代前內控與18二、形成發展時期——內部控制制度（1940~1970）1、產生原因：審計的發展及審計責任的界定。2、內部的分類：會計控制和管理控制3、各自的特點：內部會計控制在于保護企業資產、檢查會計數據的準確性和可靠性，內部管理控制在于提高經營效率、促使有關人員遵守既定的管理方針。內控與風險評估第一章——企業內部控制導論二、形成發展時期——內部控制制度（1940~1970）內控與19內部會計控制內部控制內部管理控制二、內部控制形成發展時期--內部控制制度階段20世紀40-70年代（2分法）

內部會計控制內部管理控制內控與風險評估第一章——企業內部控制導論內部會計控制內部控制內部管理控制二、內部控制形成發展時期--20二、內部控制形成發展時期--內部控制制度階段20世紀40-70年代（2分法）1934年美國發布的《證券交易法》最早提出內部會計控制系統。該法規定：證券發行人應設計并維護一套能提供合理保證的內部會計控制系統。1949年，美國注冊會計師協會(AICPA)的審計程序委員會，發布了一份題為《內部控制，一種協調組織要素及其對管理當局和獨立注冊會計師的重要性》的報告，該報告對內部控制提出了權威性的定義。1958年，美國審計程序委員會又發布了《獨立審計人員評價內部控制的范圍》的報告，將內部控制分為內部會計控制和內部管理控制。1972年，美國審計準則委員會(ASB)在《審計準則公告》(第1號)中，重新并且更加明確地闡述了內部會計控制和內部管理控制的定義內控與風險評估第一章——企業內部控制導論二、內部控制形成發展時期--內部控制制度階段20世紀40-721二、內部控制形成發展時期--內部控制制度階段20世紀40-70年代（2分法）美國審計準則委員會(ASB)對內部會計控制和內部管理控制的定義：

內部會計控制：內部會計控制包括但不限于組織規劃和所有方法和程序，這些方法和程序與財產安全和財物記錄可靠性有直接的聯系(財務目標)。

內部管理控制：管理控制包括但不限于組織計劃以及與管理部門授權辦理經濟業務的決策過程有關的程序及其記錄。

內控與風險評估第一章——企業內部控制導論二、內部控制形成發展時期--內部控制制度階段20世紀40-722二、內部控制形成發展時期--內部控制制度階段20世紀40-70年代（2分法）綜上所述：1、兩分法未能完整地反映內部控制所涵蓋的內容，也沒有考慮控制環境對內部控制制度設計及實施效果的影響。2、盡管如此，這些概念的界定和分類為內部控制的發展奠定了一定的理論基礎，有著承上啟下的作用。

內控與風險評估第一章——企業內部控制導論二、內部控制形成發展時期--內部控制制度階段20世紀40-723三、四、興盛期——內部控制結構和內部控制整體架構（1980-2002）三、內部控制結構階段：1、產生原因：水門事件與?反國家賄賂法?的頒布2、三要素：控制環境、會計制度和控制程序三個要素組成。內控與風險評估第一章——企業內部控制導論三、四、興盛期——內部控制結構和內部控制整體架構（1980-24控制環境會計系統控制程序內部控制三、內部控制結構階段20世紀80年代至90年代初（3分法）

內控與風險評估第一章——企業內部控制導論控制環境會計系統控制程序內部控制三、內部控制結構階段20世紀25三、內部控制結構階段20世紀80年代至90年代初（3分法）1988年美國注冊會計師協會發布《審計準則公告》第55號，首次將控制環境納入內部控制結構，不再區分會計控制和管理控制。這個公告首次以“內部控制結構”代替“內部控制制度”。明確“企業的內部控制結構”，包括為提供取得企業特定目標的合理保證而建立的各種政策和程序。

內控與風險評估第一章——企業內部控制導論三、內部控制結構階段20世紀80年代至90年代初（3分法）內26三、內部控制結構階段20世紀80年代至90年代初（3分法）控制環境：是指良好的內部控制所需要的外部和內部影響因素。外部因素包括國家政策，行業法規等。內部因素主要表現在股東、董事會、經營者及其他員工對內部控制的態度和行為。會計系統：規定各項經濟業務的確認、計量、記錄、歸集、分類、分析和報告的方法。即建立企業內部會計制度。控制程序：指管理當局為達到控制的目標而制定的政策和程序。內控與風險評估第一章——企業內部控制導論三、內部控制結構階段20世紀80年代至90年代初（3分法）內27三、內部控制結構階段20世紀80年代至90年代初（3分法）內部控制結構階段有兩個特點：一是將內部控制環境納入內部控制的范疇，二是不再區分會計控制和管理控制。

內控與風險評估第一章——企業內部控制導論三、內部控制結構階段20世紀80年代至90年代初（3分法）內28三、四、興盛期——內部控制結構和內部控制整體架構（1980-2002）四、內部控制整體框架1、產生原因：財務破產案例增加、審計失效與全國反欺詐性財務報告委員會（COSO）的成立。

2、控制主體：企業董事會、經理當局以及其他員工3、三大目標：為達到財務報告的可靠性、經營活動的效率和效果、相關法律法規的遵循等三個目標而提供合理保證的過程。4、五大要素：控制環境、風險評估、控制活動、信息與溝通、監控5、重大突破：一是強調風險評估在內部控制中的重要作用；二是強調信息與溝通是強化內部控制的重要途徑；三是強調對內部控制系統本身的監控是內部控制發揮作用的關鍵環節。內控與風險評估第一章——企業內部控制導論三、四、興盛期——內部控制結構和內部控制整體架構（1980-29控制環境風險評估控制活動監督信息與溝通

四、內部控制的整體框架階段—20世紀90年代--21世紀初（5分法）內控與風險評估第一章——企業內部控制導論控制環境風險評估控制活動監督信息與溝通四、內部控制的整30四、內部控制的整體框架階段—20世紀90年代--21世紀初（5分法）（一）COSO報告

1992年，美國"反對虛假財務報告委員會"(NationalCommissiononFraudulentReporting)，所屬的內部控制專門研究委員會發起機構委員會(CommitteeofSponsoringOrganizationsoftheTread-wayCommission，簡稱COSO委員會)，在進行專門研究后提出專題報告：《內部控制一一整體架構(InternalControl一IntegratedFramework)》，也稱COSO報告。這一報告已經成為內部控制領域最為權威的文獻之一。

內控與風險評估第一章——企業內部控制導論四、內部控制的整體框架階段—20世紀90年代--21世紀初（31四、內部控制的整體框架階段—20世紀90年代--21世紀初（5分法）（一）COSO報告COSO報告對內部控制的發展所做出的貢獻可以用三句話十二個字概括，那就是“一個定義、三項目標、五種要素”。內部控制是一個過程，受企業董事會、管理當局和其他員工影響，旨在保證財務報告的可靠性、經營的效果和效率以及現行法規的遵循。它認為內部控制整體架構主要由：控制環境（controlenvironment）；風險評估（riskassessment）；控制活動（controlactivities）；信息與溝通（informationandcommunication）；監督（monitoring）五個要素構成。

內控與風險評估第一章——企業內部控制導論四、內部控制的整體框架階段—20世紀90年代--21世紀初（32四、內部控制的整體框架階段—20世紀90年代--21世紀初（5分法）（一）COSO報告

圖1—1COSO內部控制框架內控與風險評估第一章——企業內部控制導論四、內部控制的整體框架階段—20世紀90年代--21世紀初（33四、內部控制的整體框架階段—20世紀90年代--21世紀初（5分法）（一）COSO報告控制環境：主要指企業內部的文化、價值觀、組織結構、管理理念和風格等。風險評估：是指識別和分析與實現目標相關的風險，并采取相應的行動措施加以控制。這一過程包括風險識別和風險分析兩個部分。控制活動：是指企業對所確認的風險采取必要的措施，以保證企業目標得以實現的政策和程序。信息與溝通：是指為了使管理者和員工能執行其職責，企業各個部門及員工之間必須溝通與交流相關的信息。監督：是指評價內部控制的質量，也就是評價內部控制制度的設計與執行情況，包括日常的監督活動、內部審計等。內控與風險評估第一章——企業內部控制導論四、內部控制的整體框架階段—20世紀90年代--21世紀初（34四、內部控制的整體框架階段—20世紀90年代--21世紀初（5分法）（一）COSO報告COSO框架將內部控制要素以一個金字塔結構提出圖1--2COSO框架五要素圖內控與風險評估第一章——企業內部控制導論四、內部控制的整體框架階段—20世紀90年代--21世紀初（35（五）成熟期——基于企業風險管理整合框架的內部控制（2002-）1、產生原因：（1）衍生金融工具的產生和企業風險加大；（2）系列財務舞弊（安然、世通、施樂、默克等）的爆發；（3）《薩班斯-奧克斯利法案》-SOX。2、控制主體：整個企業主體、各職能部門、各業務單元及下屬各子公司3、四大目標：戰略風險、經營目標、報告目標和合規目標4、八大要素：內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。內控與風險評估第一章——企業內部控制導論（五）成熟期——基于企業風險管理整合框架的內部控制（200236五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）

2001年11月下旬，美國最大的能源企業安然公司承認自1997年以來，通過非法手段虛報利潤5.86億美元；在與關聯公司內部交易中，不斷隱藏債務和損失，管理層從中非法獲益。消息傳出，立刻引起美國金融市場的巨大動蕩。安然股價從近90美元跌至不足1美元，許多中小投資者損失慘重。自安然公司財務欺詐行為被揭露以來，美國大公司會計丑聞頻頻曝光，投資者信心連遭打擊，美國股市因此受到重創，主要股指一度跌至9?11恐怖襲擊事件以來的最低水平。世界通信－這只技術股中閃耀的明星，也被逐出納斯達克市場。美國魏斯評級公司在調查了7000家公司發布的財務報告后認為，有多達1/3的美國上市公司不同程度存在捏造盈利的問題，信用危機震驚華爾街。美國布魯金斯學會一項研究認為，會計丑聞使2002年美國經濟損失了約370-420億美元。假帳丑聞使投資者對美國資本市場和會計公司的職業道德失去了信心。因此，加強金融監管以恢復投資者信心已成為當時美國國會、政府和公眾的一致呼聲。

內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以37五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）

一系列公司假賬丑聞的發生，已經不是個別公司的問題，而是美國公司制度的缺陷。這個缺陷主要表現在公司治理結構的不平衡和外部監督的缺失。

1、在公司治理結構上，對經營管理者的監督不力是造成假賬丑聞的重要原因之一。

2、在公司外部監督上，外部審計對上市公司信息披露的監督功能嚴重缺失。

內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以38五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（二）薩班斯法案“薩班斯-奧克斯利法案”正是這一背景下的產物。其主要內容以維護廣大投資者利益為宗旨，對懲治公司財務欺詐、規范企業行為和加強資本市場監管作出了規定。“薩班斯-奧克斯利法案”的主要內容：1、明確了公司管理層的責任2、加強了會計監管3、完善了公司審計制度4、強化上市公司信息披露的監控5、突出了舞弊防范6、嚴厲了法律制裁內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以39五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（二）薩班斯法案1、明確了公司管理層的責任第一、對披露報告真實、全面、準確負責。第二、對內部控制體系設計、建立、運行有效負責。內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以40五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（二）薩班斯法案2、加強了會計監管第一、美國證券交易委員會（SEC）設立獨立的上市公司會計監管委員會來監督會計行業。第二、給美國證券交易委員會增加新資金用來對違規行為進行調查、提高員工待遇和升級電腦技術。內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以41五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（二）薩班斯法案3、完善了公司審計制度第一、內部審計制度的完善。要求所有的上市公司都必須設立審計委員會，該委員會的成員必須全部是“獨立董事”。第二、外部審計監管的強化。禁止上市公司的獨立審計人員同時向該上市公司提供包括保管財務數據、設計和執行財務信息制度、資產評估或估價服務等與審計無關的法律或其他專業服務在內的服務業務。內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以42五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（二）薩班斯法案4、強化上市公司信息披露的監控

SEC對上市公司信息披露審查權得到了加強。SEC將要求上市公司達到所謂的“永久性”信息披露要求，即SEC必須在三年期限內對每個上市公司提交的信息披露進行審查，并做出審查結論。內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以43五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（二）薩班斯法案5、突出了舞弊防范法案對欺詐和舞弊防范措施作了強制規定，要求建立“反舞弊程序和控制”并要求每年進行評估，把發現高層管理人員任何程度上的舞弊行為判定為內部控制無效。該法案第406條要求SEC制定相關規則，規定每個上市公司必須在其遞交給SEC的定期報告的同時披露該公司是否已經制定了適用于高層財務人員的“道德法典”。“道德法典”必須包括以下內容：（a）誠實、道德的行為，包括私人利益與企業利益發生明顯沖突時的道德準則；（b）在公眾公司提交的報告中應包括充分、公正、準確、及時和易懂的信息披露；（c）要遵守政府的有關法律法規。內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以44五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（二）薩班斯法案6、嚴厲了法律制裁第一、董事和高層管理人員須返還因公司虛假報表取得的激勵性報酬和買賣股票收益。第二、對于違反財務報表披露要求的行為，個人的處罰額提高到100萬美元，并可同時判處的監禁期限延長到10年，對恣意違反財務報表披露要求的公司主管處罰額高達500萬美元，并可判處高達25年的監禁。內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以45五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（二）薩班斯法案

另外，按法案要求，2003年6月5日美國證券交易委員會（SEC）頒布了的（最終條例）

(FinalRule)作為《薩-奧法案》的執行細則。2004年3月9日，美國上市公司會計監管委員會（PCAOB）最終確定了內部控制（審計標準）作為404條款的審計細則。（最終條例）（審計標準）均明確提到內部控制框架可以作為企業內部控制體系建立的標準。內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以46五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（二）薩班斯法案

PCAOB最終確定的（審計標準）規定管理層的總體責任包括：

1、管理層必須記錄與所有重要財務報表會計科目和披露事項之相關認定有關的內控設計；

2、管理層必須測試與所有重要財務報表會計科目和披露事項之相關認定有關的內控，而且測試應當涵蓋內部控制的全部要素。

3、管理層必須執行適當程序以獲得充分的證據并保留相關記錄，來支持其對于公司內部控制的有效性實施的評估。

4、管理層對內部控制實施評估是公司內部控制的一部分，它代表了公司監督內控的一個重要方面。可以使用內部審計師、公司其他人員和第三方協助其進行評估工作但不能將其對公司內部控制進行評估的責任委派給外部審計師或其它任何第三方。

5、如果發現了一個或多個嚴重不合格（MaterialWeakness），管理層就不能認定公司的內部控制是有效的。

6、404條款管理層報告必須披露所有嚴重不合格（MaterialWeakness）。內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以47五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（三）風險管理整合框架

2004年10月，COSO委員會對《內部控制一一整體架構(InternalControl一IntegratedFramework)》做了進一步的延伸和擴展，提出了《企業風險管理——整合框架（(EnterpriseRiskManagement一IntegratedFramework)》。企業風險管理架構是在1992年COSO報告的基礎上，結合《薩班斯-奧克斯法案》在財務報告方面的要求，進行的擴展研究。內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以48五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（三）風險管理整合框架1、定義：

COSO對風險管理框架的定義是：“企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制定并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理的保證”。內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以49五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（三）風險管理整合框架2、全面風險管理框架：

圖1--3全面風險管理框架

內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以50五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（三）風險管理整合框架3、與內部控制整體架構的比較：

（1）提出了一個新的觀念—風險組合觀（2）增加了一類目標—戰略目標，并擴大了報告目標的范疇（3）提出了兩個新概念—“風險偏好”和“風險容忍度”（4）增加了三個風險管理要素，對其他要素的分析更加深入，范圍上也有所擴大內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以51五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（三）風險管理整合框架3、與內部控制整體架構的比較：（1）提出了一個新的觀念—風險組合觀企業風險管理要求企業管理者以風險組合的觀點看待風險，對相關的風險進行識別并采取措施使企業所承擔的風險在風險偏好的范圍內。內控與風險評估第一章——企業內部控制導論五、風險管理階段（企業風險管理整合框架階段）---21世紀以52五、風險管理階段（企業風險管理整合框架階段）---21世紀以后（8分法）（三）風險管理整合框架3、與內部控制整體架構的比較：（2）提出了兩個新概念——“風險偏好”和“風險容忍度”風險偏好是指企業在實現其目標的過程中愿意接受的風險的