财务报告内部控制.

南开大学程新生18．1财务信息质量控制机制8．2内部审计机制与财务报告8．3财务报告舞弊的防范8．4财务报告内部控制案例分析财务报告内部控制南开大学程新生2•美国证券交易委员会（SEC）在2003年上市规则中以“财务报告内部控制”（InternalControlOverFinancialReporting）代替传统的内部会计控制，认为“财务报告内部控制是由公司首席执行官、财务执行官或行使类似职权的人员设计或监管的，受到董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计原则提供合理保证的控制程序”，要求上市公司年报中提供一份管理当局对财务报告内部控制及其有效性的报告南开大学程新生3财务报告风险财务报告风险与公司的财务健康性有关，并受到其他三个因素影响：•公司内部控制的质量•公司业务和财务报告的复杂性•管理层错报财务报表的动机南开大学程新生48．1财务信息质量控制机制•对财务信息质量控制分为两个层面，一是从公司治理层面，由利益相关者对经营者主导的财务系统进行监控；二是从企业经营层面，由经营者对分支机构财务组织进行监控南开大学程新生5•内部控制既存在于战略层次上，比如设计完善的资本预算程序；也存在于经营层次上，比如设计良好的生产和采购协调系统；内部控制还存在于会计系统中，例如交易授权•一个企业的内控系统质量会影响风险被正确识别和管理的可能性。不能恰当地处理风险意味着财务报表不能反映未被消除风险导致的结果的可能性很大，或者说明公司实现其经营目标的可能性较小。例如，当管理当局没有识别出与产品相关的风险或未能改进相关控制时，内部控制的缺陷就会显现出来南开大学程新生6•一个企业内部控制的质量不仅影响财务数据的可靠性，而且影响企业做出正确决策和保持生存发展的能力。近来出现的公司经营失败，如安然、世通、以及南方保健公司，都表现出内控系统失效这一特征，而且这些公司的内控系统都经常被最高管理者无视或绕过。针对于此，国会要求所有上市公司对与财务报告相关的内部控制有效性进行报告。然而，认识到内控不仅局限于财务报告方面是非常重要的。内控必须应对组织面临的所有风险。例如，如果没有对限制投机性交易数量的控制，公司将会因欺诈证券交易者而面临重大风险。南开大学程新生7一、股东为中心的监控模式•股东作为物质资本的所有者，在企业中占有至高无上的地位。股东会在法律法规框架内，对经营者主导的财务组织进行监督、控制。股东作为企业所有者，有权派遣董事、监事、财务总监或建立所有者层次控制系统，聘任或解聘经营者、注册会计师•例如，喜来登酒店（国际）分别设置所有者层次财务系统和经营者主导的财务系统，为不同层次的利益主体服务•民营企业以股东为中心的财务报告监控系统南开大学程新生8二、董事会为中心的监控模式•以董事会为核心的控制体系中，可供选择的监控途径有：聘任或解聘经营者、直接领导内部审计、由董事会委派财务总监、设立专职财务董事、授权财务总监领导内部审计、建立审计委员会、聘请独立审计师等对经营者主导的财务组织实施监控等•美国萨班斯法案：404条款，董事会是治理的核心南开大学程新生9三、监事会为中心的监控模式•以德国、日本、奥地利、中国等为代表的公司法要求建立双层制治理结构，其中德国股份公司监事会最具特色。德国股份有监事会、执行董事会，是一种双层垂直治理组织结构，由监事会决定执行董事会人选南开大学程新生10四、管理当局的自我评价•管理当局必须形成一套方法用于识别关键控制，以书面形式证明其存在并测试运行效果，以作为报告内控的基础•大多数上市公司指派财会部门描述和评价控制过程南开大学程新生11公司对财务信息的声明公司对本年度报告的信息负责。合并财务报告是依据公认会计准则编制的，并对经营成果、财务状况、现金流量的所有重大方面都做出了公允的披露。合并报表中的金额是根据当期有效信息和对未来状况和环境的判断估计出来的。年度报告中其他的财务信息与合并财务报表的信息是一致的。管理当局有责任建立并实施一个有效的与财务报告相关的内部控制系统；公司已根据COSO提出的内部控制复合框架对内部控制系统的有效性进行了评价。内部控制系统以适当成本建立并为以下几个方面的作用提供合理保证，即保护资产、正确授权交易执行、恰当记录和报告交易事项。公司的内控系统以书面政策和程序为支撑，并由内审人员支持。去年，公司对内控系统的设计与实施都作了相应地评价，其中包括对控制措施的测试（当测试适用时）。我们的评价是：在200x年12月31日之前与财务报告相关的内部控制可以有效地预防和发现财务报告中的重大错报。我们仍在持续检查和评估内控系统，在合适的方面进行修正以适应当前的情况，并重视仔细挑选、培训和发展专业管理人员。财务信息和内部控制的管理报告1/2南开大学程新生12财务信息和内部控制的管理报告2/2以恰当委托授权和职责划分为前提的组织协作对内控系统是十分重要的。沟通方案是为了确保已制定的政策和程序在公司中得到传播和理解。合并财务报表和内控报告都已经过了独立审计人员的审计，他们提供的审计报告附在下面。他们的审计是以上市公司会计监督委员会颁布的公认审计准则为指导的，包括测试评价公司的内部控制，搜集独立的证据以对公司的财务和控制报告形成公正的意见。审计委员会是由董事会成员中有一定财务专业知识的非公司官员或雇员董事组成。审计委员会的责任包括在董事会推荐股东同意的独立审计人员对公司的合并财务报表进行年度审计。委员会也将检查独立审计人员的审计策略、计划、范围、收费、审计结果、非审计服务以及相关费用；检查内审人员审计计划范围、预算及审计结果；检查公司程序是否有效地更正审计发现的问题。独立审计人员和公司职员，包括内审人员，定期与审计委员会开会讨论审计和财务报告事项。[签名]CEO来源：J.CPenney1999年度报告，P24，已根据新的报告要求作了修正。南开大学程新生13存在事实上缺陷的内控的例子•在我们对东亚公司的内控进行了解、描述和测试的过程中，发现了一个有关记录工程建设成本的事实上的控制缺陷。这个控制缺陷允许部门管理者绕开公司有关成本费用与资本项目的政策而将一些不恰当的费用进行了资本化。影响金额重大，财务报表已就此错报作了更正•部门管理者已被解除岗位，新的控制措施已实施。对此控制和程序的执行已要求进行内审，并向管理当局和审计委员会提交新程序有效性的报告。南开大学程新生148．2内部审计机制与财务报告•审计机制包括内部审计机制和外部审计机制，本书主要分析董事会或审计委员会、内部审计部门实施的内部审计•审计机制存在弱点是财务报告舞弊风险的重要信号。需要分析和潜在的舞弊在所有阶段都应该进行。虽然传统的重点在于交易的记录，但是内部审计主体分析必须包括“高管层态度”因素南开大学程新生15•美国世界通讯公司（简称世通公司）由首席财务官领导内部审计。在2002年，公司内部审计师辛西亚.库伯（CynthiaCooper）在一次例行审计中，发现一张支票有造假行为，随之向首席财务官报告情况。首席财务官是参与舞弊的人员之一，他让辛西娅停止审计。但辛西娅又向审计委员会主席报告，于是审查范围扩大了。经审计发现，公司将38.5亿美元的费用支出（支付给其他电话公司的网络使用费）列为资本支出，隐瞒公司当年巨额亏损。南开大学程新生16•世通成为美国历史上最大的公司欺诈案，总涉案金额110亿美元。丑闻爆光后，世通公司于2002年7月21日被迫申请破产保护，当月即被纳斯达克证券交易所摘牌，美国司法当局以欺诈罪逮捕了财务执行官沙利文。2005年7月13日，曼哈顿联邦地方法院宣判：世界通信公司前总裁伯纳德.埃贝斯25年监禁。南开大学程新生17•2002年的萨班斯—奥克斯利法案要求上市公司管理当局对与财务报告相关的内部控制的有效性进行报告•上市公司会计监督委员会（PCAOB）上市公司管理层必须对与财务报告相关的内部控制的质量进行报告，管理层报告必须指出与财务报告相关的内部控制实质缺陷•要求外部审计人员对内控有效性和财务报告进行全面审计。审计人员必须在审计财务报表的同时也对管理当局有关财务报告内控有效性的认定进行审计南开大学程新生18为了指导管理当局和审计人员，PCAOB对控制缺陷作了如下定义：•设计的缺陷：设计中存在的缺陷包括：（a）缺少达到控制目标的必要控制（b）设计的控制不恰当，所以即使按设计执行也不能达到目的•执行的缺陷：执行中存在的缺陷包括控制虽被合理设计，但却未按设计执行，或者由未经授权审批的人执行控制南开大学程新生19•内控中的重大缺陷：重大缺陷是指这种缺陷可影响公司按公认会计准则可靠地建立、记录、处理、报告外部财务数据的能力。一个重大缺陷，可以有单个缺陷或多个缺陷结合构成，不能防止或发现年度或期间发生的重大金额财务报表错报的可能性微乎其微•内控中的实质缺陷：实质缺陷也是重大缺陷，它单独或与其他重大缺陷相结合，不能防止或发现年度或期间发生的重大金额财务报表错报的可能性微乎其微南开大学程新生20实务要点•内部控制，而非外部控制，应该被视为内部控制的固有部分。这里需要强调“防止或发现”，即内部控制必须存在预防性或察觉性控制，这些控制应该在审计人员执行审计之前就找出并更正所有错误南开大学程新生21评定舞弊风险——高管层态度1/3公司治理董事会是否独立和具有一定的知识？董事会会议是否经常足以理解公司活动和潜在的问题？董事长是否由管理当局控制？管理控制和影响管理当局是否有能力对下级施加不正当的影响，向下级人员灌输对控制系统不正确的忠诚思想？例如向关键人员提供贷款但是最终不收回贷款。审计委员会审计委员会是否独立和具有财务知识？审计委员会活动是否积极？审计委员会是否跟踪followup内部和外部审计的发现？审计委员会是否理解内部控制？审计委员会是否在没有管理当局参与的情况下与审计人员会面？南开大学程新生22治理文化组织治理文化的性质是什么？如何奖励雇员？如何执行监督？销售或收入目标的压力是什么？雇员是否理解他们个人对内部控制的责任？领导能力质量是什么？如何处理错误的处理？内部审计内部审计章程是否与“最佳实践”相一致？内部审计部门的预算是如何提出和审批的？内部审计的范围是如何决定的？内部审计是否执行主要的控制审计或经营审计？内部审计的建议是否被采纳和贯彻？内部审计人员是否胜任工作？内部审计小组或其他组织是否定期地监督公司道德准则的遵循情况？评定舞弊风险——高管层态度2/3南开大学程新生23监督控制组织是否建立了有效的监督和控制制度？监督控制是否能及时揭示出控制失败从而能采取纠正措施？举报组织是否建立了有效的举报机制？举报机制是否对管理当局具有充分的独立性？它是否有足够资源来追究问题？举报机制的总结是否也提供给管理当局和审计委员会？道德准则公司是否有道德准则？有没有证据说明道德准则得到了遵循？有没有审计证据说明不存在不符合准则的情况？雇员或管理者是否定期“堵塞”他们的费用账户？有没有证据证明公司资产被不恰当地使用？关联方交易公司是否制定了关于关联方交易的政策？该政策是否有效？公司是否定期进行关联方交易？关联方交易是否向审计人员和董事会进行充分披露？存在关联方交易的重要经济动机是否能够证明关联方交易的存在？评定舞弊风险——高管层态度3/3南开大学程新生24应向管理当局报告的重大缺陷的例子1/3存在于控制设计中的重大缺陷：•重要程序中缺少正确的职责划分•交易、账户记录和系统输出缺少适当的复核和批准•没有适当保护资产的控制•缺少确保所有项目都已记录的控制•缺少程序，包括用足够的数据或模型来确定影响财务报表的重要估计项目，比如，养老金、保单和其他储备•设计过度复杂的系统，关键职员不能清楚了解系统•缺少接近计算机系统、数据和文件的控制南开大学程新生25应向管理当局报告的重大缺陷的例子2/3控制环境中的重大缺陷：•组织内控制自觉性意识差•不能及时更正以前发现的内控缺陷•存在重大未披露的关联方交易•重大交易的发生是为了达到财务报告目的，而不是经济目的•失效的内部审计，包括内审活动范围受限制•非独立的审计委员会，或审计委员会成员缺乏财务专业知识•