内部控制与风险管理第七章 内部控制行为的监督.ppt

第七章 内部控制行为的监督 本章提要 引例：内部审计发现的巨额财务舞弊——美国世界通信公司案例 第一节 内部控制的内部监督 第二节 内部控制的社会监督 关键术语 思考题 本章学习目标 1、内部审计的定义 2、内部审计的模式 3、内部审计的活动 4、美国对内部控制的监管体系 5、我国对内部控制的监管体系 内部审计发现的巨额财务舞弊——美国世界通信公司案例 2002年6月25日世纪通信向媒体宣布，内部审计发现，2001年度以及2002年第一节度，世界通信虚增利润38.52亿元。此消息一出，对早已是风声鹤唳的华尔街市场又一沉重的打击，世界通信的股价跌至0.06美分。许多美国媒体将世界通信的英文缩写“WorldCom”改为“World-Con”（世界骗局）。 第一节 内部控制的内部监督 一、内部审计的定义 内部审计的概念包括以下个含义： 1.内部审计的目标 2.内部审计的性质 3.内部审计的范围 本书对内部审计定义如下：企业内部审计是企业内部的一种独立的、客观的监督、评价和咨询活动，它的目的是发现并预防错误和舞弊，提高企业的运做效率，为企业增加价值。它采取系统化、规范化的方法对企业的内部控制、风险管理进行检查和评价，并提供建议等咨询，来提高它们的效率，从而帮助实现企业的目标。与外部审计相比，企业内部审计具有相对独立性、内向服务性、范围广泛性和形式灵活性的特点。 二、内部审计模式 1．监事会领导模式 2．董事会领导模式 3．总经理领导模式 三、内部审计的活动 内部审计的活动可以归纳为以下几类： （一）风险分析 企业需要系统的过程来识别风险，从而控制不利结果的出现。比如，在产品进入市场之前进行市场调查、客户分析、新产品的成本分析，判断新成品是否能马努市场需要的风险；评价高管层基调建设情况；分析公司治理风险等。审计人员不可能对每一个事项进行审查风险分析可以帮助审计人员判断哪些领域应该优先审计。 （二）信息系统的安全和可靠性测试 企业的大部分信息都保存在计算机系统里，也有一部分信息打印存档。许多企业的经营系统已经通过企业资源规划系统（ERP）紧密结合起来，要求经常测试计算机嘻嘻系统。内部审计人员利用各种技术来顶起执行信息安全性测试，确保信息系统的安全和可靠性。 （三）控制有效性测试 一个独立的客观的内部审计部门通过对风险管理过程、内部控制和经营有效性的独立评估来帮助管理层。内部审计人员通常也对控制文件的有效性进行测试，这些控制文件可以为内部控制的质量提供保证。内部审计人员关注业务流程是否有效执行，也关注银行存款余额调节或订购单处理是否合理等。 （四）经营审计 经营审计是对企业经济活动效率、效果和经济性所做的评估。经营审计不局限于符合会计记录，其目的在于评估业务活动的质量和效率，识别改进的机会已经为改进意见。审计人员、管理人员和审计委员会将经营审计目标建立在风险分析与企业发展机会联系的基础上，风险越高，所接受的审计就越多。 （五）符合性审计 符合性审计是一种针对经营活动和会计处理是否与管理政策以及相关法律法规想一致的审计，例如法律法规的符合性、公司政策的符合性、经营目标实现的符合性审计等。符合性审计可以改善经营效率并未企业遵守相关法律法规提供保证，能够增加企业的价值。 （六）内部审计报告 向管理当局报告 向审计委员会报告 内部控制的社会监督 第二节 一、美国对内部控制的监管体系 （一）监管规范制定主体 在美国具有权威性的COSO报告是由美国注册会计师协会（AICPA）、内部审计师协会（IIA）、财务经理协会（FEI）、美国会计学会（AAA）和管理会计学会（IMA）等多个专业团体发起组织的COSO委员会（COSO，即“发起组织委员会”，Committee of Sponsoring Organizations of the Treadway Commission的缩写）提出的。美国COSO委员会是非官方的职业自律组织，所形成的内部控制规范是职业界的自我管理和自我规范，是一种自律性的标准。尽管安然事件后由SEC依据SOX法案〔《2002年公众公司会计改革和投资者保护法》（Public Company Accounting and Investor Protection Act of 2002），该法案又称为《2002年萨班斯－奥克斯利法案》（Sarbanes-Oxley Act 2002）〕成立的PCAOB，开始在监管中体现官方的作用，但仍然是自律为主。 （二）监管规范框架比较 美国涉及内部控制的监管规范框架包括三个层次：联邦层次的法律、行政法层次的规范及行业自律层次的制度。 （三）监管主体 20世纪90年代以前，美国关于内部控制制度的研究分散于不同的组