搜索
非财务经理的财务课程III企业风险管理与内部控制旧时王谢堂前燕,飞入寻常百姓家何以热门萨班斯法案•法案产生之背景安然,世通等知名公司相继暴露出严重的管理层欺诈丑闻,使美国上市公司深陷信用危机。会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人员的道德风险是导致管理层欺诈丑闻的根本原因。重建公司信用,规范高级管理层与注册会计师关系和职业道德的要求刻不容缓。2002年6月,布什总统签署的萨班斯-奥克斯利法案正式生效,该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,故简称《萨班斯-奥克斯利法案》。该法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订,在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。萨班斯-奥克斯利法案概述法案出台之目的-重建公司信用,培育公众信心,振兴证券市场。-加强公司监管,规范业务运作。-增加财务报告与信息披露的透明度。-确保公司管理层可以从有效监控的系统中获取重要信息。-公司管理层必须对美国证券管理委员会要求存档的材料和向投资者公布的信息承担责任。萨班斯-奥克斯利法案概述•法案之主要内容-成立独立的公众公司会计监察委员会,监管执行上市公司审计职业-要求加强注册会计师的独立性-要求加大公司的财务报告责任-要求强化财务披露义务-加重了违法行为的处罚措施-增加经费拨款,强化美国证券管理委员会的监管职能-要求美国审计总署加强调查研究其中与上市公司管理层直接相关的是:第302节公司对财务报告的责任第404节管理层对内部控制的评价萨班斯-奥克斯利法案概述(续)法案之主要内容•第302节公司对财务报告的责任-要求公司首要官员及首要财务官在季度/年度报告中保证-对信息披露的控制和程序负责(含刑事责任)-设计必要的内部控制手段并确保其执行可使高层及时获得重要信息-对披露控制的有效性进行评估,评估结果需存档-不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为-存档描述内部控制的重大变化-介绍信息披露的控制和程序-强调财务人员的正直和财务报告系统控制的完整性-需披露的非财务信息包括:重要合同的签署,战略合作关系的解除以及法律诉讼-美国证券管理委员会要求-扩大信息披露的控制和财务报告系统内部控制程序的认证-将内控评估日改为财务报告截止日萨班斯-奥克斯利法案概述(续)萨班斯-奥克斯利法案概述(续)法案之主要内容•第404节管理层对内部控制的评价-要求公司管理层在年度报告中:-描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任-对财务报告系统内部控制有效性以一个公认架构进行评估(例如COSO内控架构)-同时要求外部审计人员:-对管理层评估结果进行签证-美国证券管理委员会要求-扩大信息披露的控制和财务报告系统内部控制程序的认证-将内控评估日改为财务报告截止日•管理层声明–完成评估后,公司必须向它的审计师提供一份关于内部控制有效性的书面声明–管理层声明必须作为一个独立的报告包括在管理当局说明书中(*)–对于拒绝出具书面的管理层声明的公司,外部审计人员必须拒绝对其内部控制系统发表意见*公司CEO和CFO对该声明书全权负责,并对不实的声明承担刑事责任管理层责任——评估财务报告系统内部控制的有效性企业内部控制监管浪潮内部控制的发展1、20世纪30、40年代,内部控制主要集中于会计控制和行政控制目的主要是通过减少盗窃和舞弊来保护公司的资产。2、后来,因为出现了对国外代表的不法付款、贪污或类似的行为,所以焦点变为遵守法律和法规。3、在80年代,焦点进一步拓展到了欺诈性财务报告。4、现在,根据COSO报告,对内部控制的审查延伸致与完成各种企业目标有关的整个企业活动范围,及此过程中所有的有关任务。内部控制概念的演变•(一)内部牵制制度阶段•1、L.R.Dicksee最早于1905年提出内部牵制(InternalCheck),他认为,内部牵制由三个要素构成:职责分工;会计记录;人员轮换。•2、GeorgeE.Bennett发展了内部牵制的概念,他于1930年给内部牵制制度下了一个完整的定义:内部牵制是帐户和程序组成的协作系统,这个系统使得员工在从事本身工作时,独立地对其他员工的工作进行连续性的检查,以确定其舞弊的可能性。•3、20世纪40年代以前,通常使用的都是“内部牵制”,主要是为保护财产安全而设置。内部牵制的两个设想是:两个或两个以上的人或部门无意识地犯同样的错误机会较少;两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个或部门舞弊的可能性。其四项职能是:实物牵制如钥匙交两个以上的持有物理牵制如银库大门按非正确手续操作就会报警分权牵制每项业务由不同的人或部门去执行簿记牵制明细帐与总帐定期核对•(二)内部控制阶段•1947年,AICPA下属的审计程序委员会在其《审计准则暂行公告》中第一次正式提出了内部控制这一概念。1949年,审计程序委员会发布了一分特别报告“内部控制——一种协调制度要素及其对管理当局和独立审计人员的重要性”。该报告首次给内部控制制度下了如下权威定义:•包括组织的组成结构及该组织为保护其财产安全、检查其会计资料的准确性和可靠性,提高经营效率,保证既定的管理政策得以实施而采取的所有方法和措施。•吉姆斯•D•威廉森在《现代主计长手册》第五版中指出:“为了合理地保障企业特定目标的实现,企业管理当局制定了许多政策和程序。这个政策和程序集合就是内部控制制度。”(P161)•(三)管理控制和会计控制阶段•1、1958年,审计程序委员会发布的第29号《审计程序公告》指出:“内部控制,从广义上包括既有会计又有管理特征的控制……”。•2、1963年,审计程序委员会发布的第33号《审计程序公告》指出:“独立审计人员主要关注会计控制。……但是,如果独立审计人员认为某些管理控制可能对财务记录可靠性有影响,他应当考虑评价管理控制”。•3、1972年,AICPA下属审计准则委员会发布的第1号《审计准则公告》给管理控制和会计控制所下的权威定义是:•管理控制包括但不限于确保交易由管理当局授权的组织结构、程序及有关记录。这种授权是与实现组织目标这个责任联系的管理功能,并且是建立交易的会计控制的起点。会计控制是与资产安全、财务记录可靠及下列事项提供合理保证的组织结构、程序及记录。交易的实施是依据管理当局一般授权或特别授权;交易的记录要满足以下需要:能按GAAP或应用于会计报告的其他标准来编制财务报表;保持资产的经管责任;只能根据管理当局的授权才能接近资产;帐面数定期与实际数相核对,并对差异采取恰当行动。•显然,这个概念将管理控制和企业目标相联系,但未将会计控制与企业目标相联系。•(四)内部控制结构阶段•1、1988年,审计准则委员会发布第55号《审计准则公告》,提出“内部控制结构”这一概念,该公告自1990年1月起取代了第1号审计准则公告的相关内容。这意味内部控制结构取代了内部管理控制和内部会计控制。•2、第55号公告指出:内部控制结构是指为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体,包括控制环境、会计系统及控制程序三个部分。••8、加拿大的COCO报告(核心控制委员会制定)•(1)上个世纪九十年代初,CICA开始研究“内部控制结构”,1999年正式发布了“控制、风险与治理”报告。•(2)控制指南所指的组织的控制涉及高级、中级管理当局、所有者、投资者和债权人、董事会、其它管制团体、审计。目的是为管理当局达到组织目标而设计、实施和不断改进控制提供一个框架。•(3)为组织的有效控制制订一套标准,它包括控制的定义和20个控制标准,并为发展、评估和改进控制提供一个框架;•(4)明确董事会及管理当局的控制责任,评估董事会控制的效率及责任;•(5)对组织评估的指南包括:•是否很可能达到目标;•是否使组织有足够的能力学习与适应;•是否能适当地驾驭所面临的风险;•是否能适当地把握机会并采取行动等•9、2000年7月,国际电脑稽核协会所属的信息系统审计与控制基金会修订完成了《信息控制目标及其相关技术》COBIT(ControlObjectivesofInformationandRelatedTechnology)。•COBIT的目标是为信息系统审计提供公认的信息安全和控制评价标准,它将信息系统的作业过程划分为规划和组织、获得和建设、交付和运行、监督4个阶段,各阶段共包括34个具体步骤。•建立电子商务系统的内部控制程序和政策应以COBIT框架的34项作业步骤作为控制流程主线,针对各步骤的作业内容、控制目标和固有风险,选择COSO报告中的相应控制要素及注意焦点来构成本环节的相应控制政策。•(八)我国内部控制概况•一)内部控制法规•在我国,从20世纪九十年代起,政府开始加大对企业内部控制的监管。•1、1986年,财政部发布了《会计基础工作规范》。•2、1996年,财政部发布《独立审计具体准则第9号——内部控制和审计风险》,要求注册会计师审查企业内部控制,并提出内部控制的内容、控制环境、会计系统和控制程序。•3、1997年,国家审计署《国家审计基本准则》将“内部控制”的测试当作“作业准则”予以规定。•4、1997年5月,中国人民银行颁布《加强金融机构内部控制的指导原则》,这是我国第一个关于内部控制的行政规定。内容包括:总则;内部控制的目标、原则;内部控制的要素与内容;对建立内容控制的基本要求;内部控制制度的管理与监督;附则。•5、1999年中国证监会发布《关于上市公司做好各项资产减值准备等有关事项的通知》,要求上市公司本着审慎经营、有效防范化解资产损失风险的原则责成相关部门拟定(或修订)内部控制制度,监事会对内部控制制度制定和执行情况进行监督。•6、1999年的《会计法》将“内部控制”当作会计信息“真实与完整”的基本手段之一。•••7、2000年中国证监会发布《公开发行证券公司信息披露编报规则》第1、3、5号,要求商业银行、保险公司、证券公司建立健全内部控制制度,并对内部控制制度的完整性、合理性和有效性作出说明。同时要求注册会计师对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价,提出改进意见,并以内部控制评价报告的形式作出报告。•9、2000年7月实施的《会计法》明确要求各单位应当建立、健全本单位内部会计监督制度,并具体要求:•记帐人员与经济业务事项和会计事项的审批人员、经办人员、财物的保管人员的职责权限应当明确,并相互分离、相互制约;•重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确;•财产清查的范围、期限和组织程序应当明确;•对会计资料定期进行内部审计的办法和程序应当明确。•10、2001年1月,证监会发布《证券公司内部控制指引》,将公司内部控制分为内部控制机制(公司的内部组织结构及其相互之间的运行制约关系)和内部控制制度(公司为防范金融风险,保护资产安全与完整,促进各项经营活动的有效实施而制定的各种业务操作程序、管理方法与控制措施的总称)。内容包括:总则;内部控制的目标和原则;内部控制的基本要求;内部控制的主要内容;附则。•11、2001年2月,财政部会计司发布《内部会计控制基本规范(征求意见稿)》和《加强货币资金会计控制的若干规定(征求意见稿)》。•(1)《内部会计控制基本规范》•总则;内部控制的目标和原则;内部控制的内容;内部控制的方法;内部控制的检查;附则。•(2)《加强货币资金会计控制的若干规定》•总则;岗位分工及授权批准;现金和银行存款的管理;票据及有关印章的保管;监督检查;附则。•12、我国《创业板招股说明书》(征求意见稿)第96条规定:“发行人应当披露对内部控制制度完整性、合理性及有效性作出说明。注册会计师应对发行人的内部控制制度进行审核,出具评价意见。发行人应披露注册会计师的评价意见”。这与美国鉴证业务准则第6号、台湾《公开发行公司建立内部控制实施要点》要求企业对外出具内部控制报告,并要求注册会计师进行鉴