内部控制五要素内部环境风险评估控制活动信息与沟通内部监督内部控制五要素—内部环境治理结构、机构设置及权责分配、内部审计机制、人力资源政策、企业文化（组织架构、发展战略、人力资源、社会责任、企业文化—配套指引）内部控制五要素—风险评估目标设定风险识别风险分析风险应对内部控制五要素—控制活动不相容职务分离控制授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制重大风险预警机制和突发事件应急处理机制内部控制五要素—信息与沟通信息质量沟通制度信息系统反舞弊机制内部控制五要素—内部监督1.日常监督2.专项监督我要纠错| 计算器| 论坛课件形式：打印讲义前言内部控制不一定保证企业成功，但失败的企业无疑都有失控的印记。

内控不是万能的，但没有内控是万万不能的。

企业目标与经营风险企业目标生存发展获利经营风险经营环境的变化（市场/政策/竞争/技术）风险是两面性风险给企业带来了什么？Risk 与“危机”企业在不同的发展阶段的风险特征相爱容易相处难的尴尬。

做正确的事；把正确的事做好。

Do the right thing;Do the right things right.内部控制的意义风险存在的客观性与企业选择的主观性为了控制而控制 or 为了防范风险而控制？实施内部控制能带来什么？一个是提高企业的运行效率小企业管理靠人，大企业呢？制度经济学中的交易成本另一个是防范作弊作弊的防范是企业的底线舞弊的三角理论防范机制—职业道德教育防范机制—法律法规来硬的能解决一切吗？防范机制—内部控制案例—上课时手机管理求情式？抢手机？还有？。

舞弊三角理论内部控制发展的几个里程碑1.早期的内部控制2.1992年COSO内部控制框架3.2002年美国萨班斯法案4.2004年COSO风险管理框架5.2008年中国内部控制基本规范6.2010年中国内部控制配套指引COSO是什么？内部控制框架1985年，由美国注册会计师协会（AICPA）、美国会计学会（AAA）、财务执行官协会（FEI）、国际内部审计师协会（IIA）、管理会计师协会（IMA）共同赞助成立—反虚假财务报告委员会（Treadway 委员会）。

基于该委员会的建议，成立COSO委员会（Committee Of Sponsoring Organization），专门研究内部控制问题。

1992年9月，COSO委员会提出了报告《内部控制——整体框架》，即COSO内部控制框架。

COSO认为：企业内部控制是由企业董事会、经理层以及其他员工共同实施的，为经营活动的效率与效果、财务报告的准确性、相关法律法规的遵循等目标的实现而提供合理保证的过程。

内部控制的三个目标1.经营的效果和效率2.财务报告的可靠性3.法律法规的遵循性内部控制的五项要素1.控制环境2.风险评估3.控制活动4.信息与沟通5.监督五要素关系及其作用内部控制—目标与要素关系2001年小布什的烦恼2002年美国萨班斯法案2001年12月，安然公司财务丑闻曝光，6个月后，世通公司再度爆发丑闻，美国这一期间有338家上市公司，总计4093亿美元的资产申请破产保护。

2002年7月30日美国出台了公司改革法案《萨班斯—奥克斯利法案（Sarbanes-Oxleys Acts）》，又成立了一个新的监管机构（公众公司会计监督委员会，PCAOB），负责监管执行公众公司审计的会计师事务所及注册会计师，以保护投资者利益并增进公众利益。

萨班斯法案的基本目标“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。

”我要纠错| 计算器| 论坛课件形式：打印讲义萨奥法案解决的主要内容：SOX用法律强制性手段要求上市公司以会计信息真实与完整为线索提交企业内控机制及报告体系。

SOX法案共分十一章。

第一至第六章主要涉及对会计职业及公司行为的监管。

第八至第十一章主要是提高对公司高管及“白领犯罪”的刑事责任。

比如对故意进行证券欺诈的行为最高可判处25年入狱；CEO和CFO必须签字保证其报送给SEC 的财务报告的合法性及公允性。

萨奥法案解决的主要问题：监管问题以前：民不举，官不纠现在：加大证券监督机构的权限中介问题以前：中介机构不独立安达信、普华永道、毕马威、安永、德勤企业内部财务管理问题财务风险管理与内部控制乱世用重典—SOX 法案SOX是继美国1933年的《证券法》、1934年《证券交易法》以来又一部里程碑意义的法律，其效力涵盖了注册于SEC之下的所有公司。

SOX的严肃性在于：公司治理被正式纳入联邦法律管辖范围，财会欺诈者—无论是CEO还是CFO 都将被投入监狱。

SOX强调了公司内控的重要性，从管理者、内审及外审等几个层面对公司内控作了具体规定，并设定了问责机制和相应的惩罚措施。

SOX404条款内容-管理层对公司内部控制的评估内部控制方面的要求：要求公司年报中包括一份“内部控制报告”，该报告应包括以下内容：（1）明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任；（2）包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序的有效性的评估。

内部控制评价报告受托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则就管理层关于内部控制的评估进行测试和评价，并出具评价报告。

404条款与内部控制框架404条款并未要求管理层声明其采用了哪一个内部控制框架。

但是PCAOB在其2004年9月发布的第2号审计准则中，推荐使用COSO内部控制框架。

如果使用其他内部控制框架，该框架也必须包括COSO所包含的要素。

如果使用非COSO内部控制框架，就必须证明该框架优于COSO内部控制框架。

这实际上确定了内部控制框架在遵从COSO，COSO在SOX404条款方面的绝对主导地位。

昂贵的404条款国际财务执行官（FEI）对321家企业的调查：美国大型企业第一年实施第404节的总成本将超过460万美元。

这些成本包括35000小时的内部人员投入、130万美元的外部顾问和软件费用以及150万美元的额外审计费用（增幅达到35%）。

全球著名的通用电气公司就表示，404条款致使公司在执行内部控制规定上的花费已经高达3000万美元。

COSO风险管理框架作为对SOX法案的积极反应，2004年9月，COSO委员会颁布了《企业风险管理—整合框架》。

该风险管理框架就是在COSO1992年的研究成果—《内部控制框架》报告的基础上，结合SOX法案的要求，进行扩展研究提出来的，被公认是目前满足SOX法案所要求的企业内部控制体系的最佳实践依据。

企业风险管理是一个过程，它由一个主体的董事会、管理者和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。

COSO风险管理的四个目标战略目标（strategic）高层次目标，与使命相关联并支撑其使命；经营目标（operations）有效和高效率地利用其资源；报告目标（reporting）报告的可靠性；合规目标（compliance）符合适用的法律和法规。

从内部控制到风险管理中国内部控制基本规范及配套指引2008年5月，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。

2010年4月，五部委联合发布了《企业内部控制配套指引》。

内控基本规范的“5×5”五目标：合规、资产、报告、经营、战略五原则：全面性、重要性、制衡性、适应性、成本效益五要素：内控环境、风险评估、控制活动、信息与沟通、内部监督五十条：7章（总则+五要素+附则）五部门：配套指引的实施（原计划）配套指引的结构企业内部控制基本规范中国版的萨班斯法案—（进口改装版）内部控制的定义是企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。

——强调领导者的责任——明确内控是全体员工的共同责任——指明内控是一个过程只有起点、没有终点内部控制的五目标合理保证企业经营管理合法合规维护资产安全（中国特色）保证财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略我要纠错| 计算器| 论坛课件形式：打印讲义内部控制的五原则1.全面性内控应当贯穿决策、执行和监督的全过程内控应当覆盖各种业务和事项2.重要性关注重要业务事项和高风险领域3.制衡性治理结构、机构设置及权责分配、业务流程兼顾运营效率4.适应性企业经营规模、业务范围、竞争状况和风险水平及时调整5.成本效益内部控制的五要素1.内部环境是实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

2.风险评估是及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

3.控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

4.信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

5.内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

5×5×5如何有效实施内部控制？企业建立和实施内控，要做好三个方面：1.制定本企业的内控制度并组织实施2.根据修订后的内控制度与管控流程，优化现有的信息系统3.建立和完善实施内控的激励约束机制与绩效考评聘请CPA对内控的建立与实施情况进行审计为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。

强化政府的行政监督内部环境是企业建立和实施内部控制的基础，一般包括治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化等。

——应用指引（第1至5号）:组织架构、发展战略、人力资源、社会责任、企业文化企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。

企业的内部环境不仅影响企业战略目标的制定、业务活动的组织运行和对风险的识别、评估和反应，它还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。

上海房地产中介职业经理人空降民企，如何适应？基本规范中的内部环境要求企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

具体包括以下四个方面：股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。

董事会对股东（大）会负责，依法行使企业的经营决策权。

监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。