風險管理與內部控制審計課件

風險管理與內部控制審計1風險管理與內部控制審計1內部控制和風險管理概述1內部控制的完善234課程內容62內部控制與職業(yè)舞弊風險管理與內部控制審計內部控制和風險管理概述1內部控制的完善234課程內容62內部內部控制和風險管理概述1課程內容3內部控制和風險管理概述1課程內容3為什么需要內部控制？由一個案例引發(fā)的思考版權所有，侵權必究Copyright?by2013allrightsreserved為什么需要由一個案例引發(fā)的思考版權所有，侵權必究4三鹿集團的破滅自1993年起，三鹿奶粉產銷量連續(xù)15年實現全國第一。2007年，三鹿集團實現銷售收入100.16億元，同比增長15.3%。按三鹿自己的說法，三鹿一直在快車道上高速行駛，創(chuàng)造了令人振奮的“三鹿速度”。2008年震驚中國的“三鹿牌嬰幼兒配方奶粉重大安全事故”發(fā)生了。2008年9月11日，衛(wèi)生部證實：經調查，高度懷疑三鹿牌嬰幼兒配方奶粉受到三聚氰胺污染。三聚氰胺是一種化工原料，可導致人體泌尿系統產生結石。三鹿毒奶粉事件持續(xù)發(fā)酵，引起廣泛關注，三鹿集團聲譽受到重創(chuàng)，市值嚴重下降，最終以拍賣收場。事件回顧版權所有，侵權必究Copyright?by2013allrightsreserved三鹿集團的破滅自1993年起，三鹿奶粉產銷量連續(xù)15年實現5案例總結和啟示內部控制的重要性

“內部控制能夠幫助我們繞過途中的陷阱，到達目的地。

——MOTOROLA總裁加利·吐克防范、減輕業(yè)務活動中的風險!提高企業(yè)的運行效率防范作弊版權所有，侵權必究Copyright?by2013allrightsreserved案例總結內部控制的重要性版權所有，侵權必究6內部控制為什么被忽視？

版權所有，侵權必究Copyright?by2013allrightsreserved我的員工忠誠可靠，我相信我的員工我們從沒發(fā)生過問題外部審計師在檢查我們的財務報表我沒時間程序耗時又沒有用處我最好還是把時間用在其它戰(zhàn)略問題上面……您同意這種觀點嗎？內控對戰(zhàn)略的落地執(zhí)行有用嗎？內部控制為什么被忽視？版權所有，侵權必究我的員工忠誠可靠，7什么是內部控制？COSO（1992）定義：內部控制是由企業(yè)的董事會、管理當局及其他人員為達到財務報告的可靠性、經營活動的效率性和效果性、相關法律法規(guī)得以遵循等三個目標而提供合理保證的過程?！镀髽I(yè)內部控制基本規(guī)范》（2008）定義：內部控制是由企業(yè)董事會、監(jiān)事會、經理層和全體員工實施的、旨在實現控制目標的過程?？刂颇繕耍汉侠肀ＷC企業(yè)經營管理合法合規(guī)、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業(yè)實現發(fā)展戰(zhàn)略。財務目標：保證財務報告的可靠性；經營目標：保證經營活動的效率性和效果性；遵循目標：保證相關法律法規(guī)得以遵循。共同之處版權所有，侵權必究Copyright?by2013allrightsreserved為什么？什么是內部控制？COSO（1992）定義：內部控制是由企業(yè)8內部控制絕對不是：

靜態(tài)的結構；某一層次人員的任務（例如：高級管理層）；某一部門的任務（例如：財務、內部審計）；某一實體的任務（例如：總部、省級公司）。整個集團的共同參與對于內部控制的順利實施至關重要！版權所有，侵權必究Copyright?by2013allrightsreserved內部控制絕對不是：整個集團的共同參與對于內部控制的順利實施至9內部控制概述1COSO內部控制整合框架控制環(huán)境內部控制活動信息與溝通內部監(jiān)督內部控制的實質-風險管理版權所有，侵權必究Copyright?by2013allrightsreserved內部控制概述1COSO內部控制整合框架控制環(huán)境內部控制活動信10內部控制理論形成和發(fā)展的五個階段：內部牽制、內部控制制度、內部控制結構、內部控制整體框架、企業(yè)風險管理框架。目前應用最為廣泛的是《內部控制整體框架》，ERM《企業(yè)風險管理框架》是對其的拓展，更加強調內控對風險的運用。版權所有，侵權必究Copyright?by2013allrightsreserved內部控制理論形成和發(fā)展的五個階段：內部牽制、內部控制制度、內11

版權所有，侵權必究Copyright?by2013allrightsreserved內部控制由誰負責？外部人員內部其他人員董事會內部審計師管理層Q1：誰是最終負責人？Q2：自上而下OR自下而上？Q3：各主體職責？版權所有，侵權必究內部控制由誰負責？外部人員內部其他人員董事121.組織內的內部控制2.組織外的內部控制內控范圍？內部控制不止局限于公司內部，有時會延伸到企業(yè)外部。例如三鹿奶粉案例，對“奶農”、“奶站”的控制。版權所有，侵權必究Copyright?by2013allrightsreserved1.組織內的內部控制2.組織外的內部控制內控范圍？內部控制不13版權所有，侵權必究Copyright?by2013allrightsreserved版權所有，侵權必究14內部控制是萬能的？NO！內部控制的局限性內部管理人員濫用職權、蓄意營私舞弊等，導致內部控制失去

應有的控制效能。內部人員相互串通作弊導致相關內部控制失去作用。內部人員素質不適應崗位要求，影響內部控制功能的正常發(fā)揮。即使是設置完善的內部控制，也可能因有關人員的疏忽、誤解和判斷錯誤而失效；成本效益問題。

對于不經常發(fā)生或未預計到的經濟業(yè)務，原有的控制可能不適

用；臨時控制若不及時會影響內部控制的作用（滯后性）。版權所有，侵權必究Copyright?by2013allrightsreserved內部控制是萬能的？NO！內部控制的局限性內部管理人員濫用職權15

SOX法案404條款要求在美上市公司管理層必須對內部控制的有效性出具自我評估報告，該報告需經注冊會計師審計。

美國上市公司第一年遵循該條款的平均成本是440萬美元，中國在美上市的44家公司第一年合計付出遵循成本近2億美元。成本高昂的《薩班斯-奧克斯利法案》（SOX法案）404條款版權所有，侵權必究Copyright?by2013allrightsreservedSOX法案404條款要求在美上市公司管理層必須對內部控制的16企業(yè)內部控制基本規(guī)范2008年6月28日，中國財政部等五部委聯合發(fā)布了《企業(yè)內部控制基本規(guī)范》2010年4月26日，五部委聯合發(fā)布《企業(yè)內部控制應用指引》、《企業(yè)內部控制評價指引》、《企業(yè)內部控制審計指引》要求2012年1月1日起在上交所、深交所主板上市的公司施行，擇機在中小板和創(chuàng)業(yè)板上市公司施行；同時鼓勵非上市大中型企業(yè)提前執(zhí)行這標志著中國版的“薩奧法案”已正式啟動版權所有，侵權必究Copyright?by2013allrightsreserved☆☆☆☆企業(yè)內部控制基本規(guī)范2008年6月28日，中國財政部等五部17執(zhí)行企業(yè)內控規(guī)范體系版權所有，侵權必究Copyright?by2013allrightsreserved(1)必須對本企業(yè)內部控制的有效性進行自我評價，披露年度自我評價報告(3)注冊會計師發(fā)現在內部控制審計過程中注意到的企業(yè)非財務報告內部控制重大缺陷，應當提示投資者、債權人和其他利益相關者關注(2)聘請具有證券期貨業(yè)務資格的會計師事務所對其財務報告內部控制的有效性進行審計，出具審計報告執(zhí)行企業(yè)內控規(guī)范體系版權所有，侵權必究(1)必須對本企業(yè)內部18版權所有，侵權必究Copyright?by2013allrightsreservedCOSO立方體內部控制目標內部控制貫穿所有的業(yè)務部門控制活動

確保管理活動付諸實施的政策/流程。措施包括審批、授權、確認、建議、業(yè)績考核、資產安全和職責分離。監(jiān)控不斷評估內部控制系統表現。整合實時和獨立的評估。管理層和監(jiān)督活動。內部審計工作?？刂骗h(huán)境營造單位氣氛－讓公司員工建立內部控制因素包括正直，道德價值，能力，權威和責任是其他內部控制組成部分的基礎信息和溝通及時地獲取，確定并交流相關的信息從內部和外部獲取信息使得形成從職責方面的指示到管理層有關管理行動的發(fā)現總結等各方面各類內部控制成功的措施的信息流風險評估

風險評估是為了達到企業(yè)目標而確認和分析相關的風險-形成內部控制活動的基礎監(jiān)控信息和溝通控制活動風險評估控制環(huán)境營運財務報告合規(guī)性業(yè)務單位A業(yè)務單位B活動2活動1監(jiān)控信息和溝通控制活動風險評估控制環(huán)境營運效率效果財務報告可靠性法律合規(guī)性務單位A業(yè)務單位B活動2活動1業(yè)版權所有，侵權必究COSO立方體內部控制目標內部控制貫穿所有19控制環(huán)境：（ControlEnvironment），反映單位最高管理部門，董事和所有者對控制及其重要性的態(tài)度的各種行為，政策和措施?？刂骗h(huán)境員工的勝任能力管理理念和經營風格組織結構誠信與道德準則授權及職責劃分人力資源政策及實施董事會的關注和監(jiān)督控制環(huán)境的7個要素版權所有，侵權必究Copyright?by2013allrightsreserved控制環(huán)境：（ControlEnvironment），反映單20內部控制的實質—風險管理企業(yè)必須了解它所面臨的風險，并加以控制，即設立可辨識、分析和管理相關風險的機制。內部控制是“企業(yè)風險管理（ERM)”不可分割的一部分風險必須直接與控制目標相關聯、然后通過控制活動進行管理風險是阻礙實現目標的不確定性，用發(fā)生概率和影響程度來衡量版權所有，侵權必究Copyright?by2013allrightsreserved公司目標,風險和內部控制的關系是什么?確定目標評估風險行動計劃/責任分配分析控制什么叫風險？內部控制的實質—風險管理企業(yè)必須了解它所面臨的風險，并加以控21點擊添加文本點擊添加文本點擊添加文本點擊添加文本風險管理八要素07

信息與溝通05風險對策06控制活動08監(jiān)督04風險評估0102目標設定03事件識別內部環(huán)境點擊添加文本點擊添加文本點擊添加文本點擊添加文本風險管理八要22風險應對策略風險規(guī)避風險降低風險分擔風險承受企業(yè)對超出風險承受度的風險，通過放棄或者停止與該風險相關的業(yè)務活動以避免和減輕損失的策略企業(yè)在權衡成本效益之后，準備采取適當的控制措施降低風險或者減輕損失，將風險控制在風險承受度之內的策略企業(yè)準備借助他人力量，采取業(yè)務分包、購買保險等方式和適當的控制措施，將風險控制在風險承受度之內的策略企業(yè)對風險承受度之內的風險，在權衡成本效益之后，不準備采取控制措施降低風險或者減輕損失的策略（Avoid）（Reduce）（Share）（Accept）版權所有，侵權必究Copyright?by2013allrightsreserved風險應對策略風險規(guī)避風險降低風險分擔風險承受企業(yè)對超出風險承23影響程度可能性中等風險Ⅱ轉移高風險Ⅰ避免風險中等風險Ⅳ降低風險低風險Ⅲ接受風險大小高低基本確定很可能有可能不大可能風險應對策略的應用版權所有，侵權必究Copyright?by2013allrightsreserved影響程度可能性中等風險Ⅱ轉移高風險Ⅰ避免風險中等風險Ⅳ降低風24控制活動控制活動：為保障組織目標的實現，針對相關風險采取必要措施的政策和程序，控制活動包括：

職責分離/組織牽制授權審批會計系統控制預算控制財產安全控制電子信息技術控制績效指標考評。。。?！，F金管理資本性采購采購和付款人事和薪金營銷和銷售存貨管理企業(yè)必須基于風險評估的結果訂立控制風險的政策及程序，并予以執(zhí)行。通常可以按業(yè)務分別進行制定。版權所有，侵權必究Copyright?by2013allrightsreserved控制活動控制活動：為保障組織目標的實現，針對相關風險采取必要25信息系統控制信息系統控制26信息

信息始終是企業(yè)管理活動最基本的支持，企業(yè)所有經營活動都離不開信息。溝通：溝通就是指信息的傳遞。溝通的分類:(1)內部溝通;(2)外部溝通。溝通的方式和方法：

“企業(yè)應當采取互聯網絡、電子郵件、電話傳真、信息快報、例行會議、專題報告、調查研究、員工手冊、教育培訓、內部刊物等多種方式，實現所需的內部信息、外部信息在企業(yè)內部準確、及時傳遞和共享，確保董事會、管理層和企業(yè)員工之間有效溝通?！?《企業(yè)內部控制規(guī)范》)信息與溝通版權所有，侵權必究Copyright?by2013allrightsreserved信息信息與溝通版權所有，侵權必究27監(jiān)督控制版權所有，侵權必究Copyright?by2013allrightsreserved監(jiān)督控制版權所有，侵權必究28內部審計與內部控制內部審計：是企業(yè)內部的一個獨立機構。內部審計目的：通過檢查、評估組織內部的各項活動，評估其效果和效率，進行原因分析、提供咨詢建議。上市公司規(guī)模的日益擴大機構和其業(yè)務的日益復雜協助管理層更有效地履行其責任提高企業(yè)的運作效率并增強其活動的附加值審計會計帳目稽查、評估內部控制制度企業(yè)內部職能部門工作效能評估向管理當局提出建議報告為什么要有內部審計？內部審計機構的職責？版權所有，侵權必究Copyright?by2013allrightsreserved內部審計與內部控制內部審計：是企業(yè)內部的一個獨立機構。上市29內控與審計、風險管理和企業(yè)管理的關系？版權所有，侵權必究Copyright?by2013allrightsreserved內控與審計、風險管理和企業(yè)管理的關系？版權所有，侵權必究30內部控制與職業(yè)舞弊2課程內容31內部控制與職業(yè)舞弊2課程內容31職業(yè)舞弊（ACFE）定義：利用個人職權通過有預謀的誤用或濫用組織資源或資產為個人謀取利益。舞弊行為可能損害組織的利益，也可能是為組織謀取利益，但這種謀取的利益是通過不正當手段獲得，當該行為被曝光后，最終會給組織帶來傷害。

舞弊者的范圍涵蓋職員（Employees）、經理層（Managers）及執(zhí)行管理層（Executives/Uppermanagement）職業(yè)舞弊的特點—是秘密的—違背了組織授予舞弊者的職責—以舞弊者直接或間接的財務利益為目的—以組織的資產、收入或儲備金為代價版權所有，侵權必究Copyright?by2013allrightsreserved職業(yè)舞弊（ACFE）定義：利用個人職權通過有預謀的誤用或濫用32簡介

——世界上最大的反舞弊培訓教育機構、也是迄今為止全球唯一一個專門對舞弊予以查核的專業(yè)性組織——擁有37,000名會員，遍及50多個國家，會員包括：舞弊稽查師、審計師、調查員、法務會計、損失預防和安全主管、法律人員、犯罪學家、白領犯罪的研究員宗旨

減少職業(yè)舞弊和白領犯罪版權所有，侵權必究Copyright?by2013allrightsreservedACFE簡介AssociationofCertifiedFraudExaminers美國注冊舞弊稽查師協會簡介版權所有，侵權必究ACFE簡介Association33舞弊三角自我合理化壓力機會舞弊三角理論（ACFE）（1）壓力要素：企業(yè)舞弊者的行為動機。刺激個人為其自身利益而進行企業(yè)舞弊的壓力大體上可分為幾類：經濟壓力，惡癖的壓力，與工作相關的壓力等。（2）機會要素：可進行企業(yè)舞弊而又能掩蓋起來不被發(fā)現或能逃避懲罰的時機，主要有六種情況：缺乏發(fā)現企業(yè)舞弊行為的內部控制，無法判斷工作的質量，缺乏懲罰措施，信息不對稱，能力不足和審計制度不健全。（2）借口要素：真正形成企業(yè)舞弊還有最后一個要素——借口(自我合理化)，即企業(yè)舞弊者必須找到某個理由，使企業(yè)舞弊行為與其本人的道德觀念、行為準則相吻合，無論這一解釋本身是否真正合理。企業(yè)舞弊者常用的理由有：這是公司欠我的，我只是暫時借用這筆資金、會歸還的，目的是善意的，用途正當等。版權所有，侵權必究Copyright?by2013allrightsreserved舞弊自我合理化壓力機會舞弊三角理論（ACFE）（1）壓力要素34內部控制的完善3課程內容35內部控制的完善3課程內容35如何設計基于實質性漏洞的內部控制？版權所有，侵權必究Copyright?by2013allrightsreserved如何設計基于實質性漏洞的內部控制？版權所有，侵權必究36STEP1：明確公司目標1.什么是公司目標？其應該包括什么？目標：就是努力想要達到的狀態(tài)、境界或目的。目標是行為的指向。對于個人而言，由于愿景的不同可以有多種目標。對于企業(yè)而言，有戰(zhàn)略目標、經營目標等。

對于企業(yè)內部不同的專業(yè)部門或崗位來說，圍繞企業(yè)總體要求，都與相應的目標。例如：財務管理要保證工作合規(guī)和報告真實準確；計劃管理要保證完整、真實、準確、及時等。

本質目標

降低企業(yè)經營風險，以實現企業(yè)價值最大化分項目標財務目標、經營目標和遵循目標。業(yè)務目標根據經營業(yè)務內容，如貨幣資金收付、采購與付款、銷售與收款等具體業(yè)務設計的具體目標。版權所有，侵權必究Copyright?by2013allrightsreservedSTEP1：明確公司目標1.什么是公司目標？其應該包括什么？37數量質量時間環(huán)境/安全/健康成本營銷策略依據2.公司目標分解至業(yè)務層面：5321法5個標尺3個步驟細化量化12流程化32個答案結果行動1個原則SMART版權所有，侵權必究Copyright?by2013allrightsreserved數量質量時間環(huán)境/安全成本營銷策略2.公司目標分解至業(yè)務層面38STEP2：企業(yè)風險評估流程風險版權所有，侵權必究Copyright?by2013allrightsreserved3.風險識別STEP2：企業(yè)風險評估流程風險版權所有，侵權必究3.風險識39風險評估其實是一個輸入轉化為輸出的過程輸入事項描述度量單位評估技術方法公司特征評估流程支持資源歷史數據輸出風險分析報告可能性影響程度風險評級風險分析活動4.風險評估版權所有，侵權必究Copyright?by2013allrightsreserved風險評估其實是一個輸入轉化為輸出的過程輸入事項描述輸出風險分40STEP3：制定相關控制識別關鍵績效區(qū)（KPA-KeyPerformanceArea，主要為重要部門和關鍵流程）確定關鍵控制點（CCP-CriticalControlPoint）設定績效控制標準（KPI-KeyPerformanceIndicator），即量化或非量化的指標5.標準制定……核對點記賬點審批點結算點審簽點審核點編審點復核點版權所有，侵權必究Copyright?by2013allrightsreservedSTEP3：制定相關控制識別關鍵績效區(qū)確定關鍵控制點416.政策制定流程圖用符合和圖形來表述內部控制的程序及關鍵二維表對內部控制的關鍵控制點進行記錄文字表述對內部控制的健全程度和執(zhí)行情況的書面敘述以流程圖、二維圖及文字描述的形式編制內控政策版權所有，侵權必究Copyright?by2013allrightsreserved6.政策制定流程圖用符合和圖形來表述內部控制的程序及關鍵二維42如何保障內控的執(zhí)行？版權所有，侵權必究Copyright?by2013allrightsreserved建立內控執(zhí)行文化明確內控執(zhí)行制度培養(yǎng)內控執(zhí)行人才123引入以董事會領導的監(jiān)管體制加強對內控執(zhí)行的監(jiān)督要求對于公司內控運作及有效性作出定期匯報內控執(zhí)行的手段，須融入日常的管理流程通過討論和培訓，使內控的實施得到“全民”的支持通過經驗的分享，不斷加強內控執(zhí)行的認同性開展內控知識培訓，培養(yǎng)員工按照要求嚴格執(zhí)行內控制度的意識建立員工執(zhí)行內控獎懲機制，將內控執(zhí)行情況納入員工績效考核STEP4：控制執(zhí)行如何保障內控的執(zhí)行？版權所有，侵權必究建立內控明確內控培養(yǎng)內43STEP5：檢查監(jiān)督相關控制是否存在內部控制實質性漏洞？（同前）STEP6：方案改進接受差異，不做處理修改/重建業(yè)務流程調整關鍵控制點（CCP）或績效控制標準（KPI）迅速采取糾正措施方案改進相關措施版權所有，侵權必究Copyright?by2013allrightsreservedSTEP5：檢查監(jiān)督相關控制是否存在內部控制實質性漏洞？（44風險管理與內部控制審計4課程內容45風險管理與內部控制審計4課程內容45點擊添加文本點擊添加文本點擊添加文本點擊添加文本風險管理審計與內部控制審計的比較

點擊添加文本點擊添加文本點擊添加文本點擊添加文本風險管理審計46

風險管理與內部控制審計實施要點

-------以經濟責任審計為例

風險管理與內部控制審計實施要點

-------以471、審前調查階段

一些事項的說明：主要工作：初步了解和評價被審計單位內部控制為后續(xù)審計工作確定重點審計方向，以提高審計的效率和質量可根據情況適當減少測試樣本數量1、審前調查階段一些事項的說明：48工作步驟組長或主審在編制審前調查方案時將內部控制審計任務予以明確各小組參加審前調查的人員根據方案進行內部控制測試各小組成員將測試結果提交至綜合協調小組由綜合協調小組長進行匯總，向審計組主審提供對被審計單位內部控制的初步評價報告和對審計實施階段工作重點方向的建議，供主審編制審計方案時參考。工作步驟組長或主審在編制審前調查方案時將內部控制審計任務予以49測試方法查閱歷次內、外部審計檔案，查閱企業(yè)各項內部管理制度和相關文件；詢問被審計單位有關人員；檢查內部控制過程中形成的憑證和記錄；觀察被審計單位的業(yè)務活動和內部控制的實際運行情況；選擇有代表性的業(yè)務進行穿行測試。測試方法查閱歷次內、外部審計檔案，查閱企業(yè)各項內部管理制度和50風險判斷經初步了解后，審計組若判斷被審計單位的內部控制風險高，可采用在審計實施階段不進行內部控制測試和評價的審計策略，直接進入實質性測試。被審計單位根本沒有內部控制或者內部控制信賴程度較低；存在固有風險和控制風險較高；內部控制不健全并且又沒有補償控制、或者內部控制雖然存在，但通過了解發(fā)現其并未得到有效運行；企業(yè)自我監(jiān)督約束機制缺失或管理層對內控的認知和重視程度低等。若審計組認為被審計單位的內部控制風險是可接受的，應考慮在審計實施階段進行較為詳細的內部控制測試和評價，并寫入審計實施方案。風險判斷經初步了解后，審計組若判斷被審計單位的內部控制風險高512、審計實施階段審計實施階段，審計組應主要對被審計單位負責人履行經濟責任的重點業(yè)務及其關鍵控制點進行符合性測試和實質性測試，評價被審計單位內部控制情況。2、審計實施階段審計實施階段，審計組應主要對被審計單位負責人52主要關注點被審計單位是否按合法、合理原則，目標性原則，授權分權原則，職務分管控制原則，業(yè)務程序標準化原則，檢查核對原則，效益原則等建立內部控制制度；內控制度是否全面、完善、有效；制度與制度、制度與部門、部門與部門、部門與個人之間是否銜接相通，有沒有不按程序或越權的行為；部門與部門之間有否橫向制約程序；各職能部門是否嚴格執(zhí)行規(guī)定的內控制度；各種制度的執(zhí)行結果是否達到預期目的。主要關注點被審計單位是否按合法、合理原則，目標性原則，授權分53實施階段內控測試和評價的程序審計組各小組制訂評價計劃，確定人員分工及測試業(yè)務范圍；通過觀察、詢問、填寫調查表等手段進行初步了解；將測試業(yè)務進行分解，找出關鍵控制點，具體對業(yè)務關鍵控制點逐項抽樣進行符合性測試，并將測試結果進行記錄；確定評價標準。評價的標準是由被審計單位管理層負責制定的，內部審計人員要確定管理層是否已經建立標準以及這些標準是否適當。如果有標準，審計人員認為這些標準不適當，應對制定該標準負有責任的管理層報告；如沒有制定內部審計控制標準，內部審計人員應在考慮企業(yè)利益最大化的基礎上，選擇恰當的評價標準；根據測試結果對照評價標準進行評價；綜合協調小組匯總各小組的內部控制評價報告，做為支撐審計報告相關內容的依據。實施階段內控測試和評價的程序審計組各小組制訂評價計劃，確定人54任期項目一般選取測試的范圍和重點籌資計劃的編制及審批；各類重大投資、擔保、資金運作的決策和審批；大宗物資采購的審批和招投標管理，重大工程項目立項審批和工程管理；大型固定資產購買審批和管理；重大銷售合同的審批、價格執(zhí)行、賬款回收；采購計劃的制訂和執(zhí)行；工資及福利的審批和執(zhí)行等。

任期項目一般選取測試的范圍和重點籌資計劃的編制及審批；55

實務操作及案例實務操作及案例56一些問題的說明:該操作案例是根據某公司“內控評價體系項目”并結合任期經濟責任審計的特點編寫的。該操作的核心是將多次經濟責任審計內部控制測試累積的經驗進行分析、總結，將測試的業(yè)務和關鍵控制點、評價標準、評分方法和體系等進行了相對固化，提高了開展內部控制審計的效率，同時兼顧了評價的科學性和客觀性。審前調查階段和審計實施階段的內控測試是類似的，只是深度上有所區(qū)別，這里不再單獨介紹審前調查階段的內控測試。一些問題的說明:該操作案例是根據某公司“內控評價體系項目”并57實施階段內控評價的重點內容籌資計劃的編制及審批；各類重大投資、擔保、資金運作決策和審批；大宗物資采購的審批和招投標管理，重大工程項目立項審批和工程管理；大型固定資產購買審批和管理；重大銷售合同的審批、價格執(zhí)行、賬款回收；采購計劃的制訂和執(zhí)行；工資及福利的審批和執(zhí)行。

實施階段內控評價的重點內容籌資計劃的編制及審批；58具體測試步驟1、根據測試調查表了解被審計單位內部控制現狀2、根據測試工作底稿的內容要求進行逐項抽樣測試,對結果進行記錄3、依次對關鍵控制點、業(yè)務模塊及綜合情況進行評分4、將評價結果進行反饋具體測試步驟1、根據測試調查表了解被審計單位內部控制現狀59ThankyouThankyou60風險管理與內部控制審計61風險管理與內部控制審計1內部控制和風險管理概述1內部控制的完善234課程內容662內部控制與職業(yè)舞弊風險管理與內部控制審計內部控制和風險管理概述1內部控制的完善234課程內容62內部內部控制和風險管理概述1課程內容63內部控制和風險管理概述1課程內容3為什么需要內部控制？由一個案例引發(fā)的思考版權所有，侵權必究Copyright?by2013allrightsreserved為什么需要由一個案例引發(fā)的思考版權所有，侵權必究64三鹿集團的破滅自1993年起，三鹿奶粉產銷量連續(xù)15年實現全國第一。2007年，三鹿集團實現銷售收入100.16億元，同比增長15.3%。按三鹿自己的說法，三鹿一直在快車道上高速行駛，創(chuàng)造了令人振奮的“三鹿速度”。2008年震驚中國的“三鹿牌嬰幼兒配方奶粉重大安全事故”發(fā)生了。2008年9月11日，衛(wèi)生部證實：經調查，高度懷疑三鹿牌嬰幼兒配方奶粉受到三聚氰胺污染。三聚氰胺是一種化工原料，可導致人體泌尿系統產生結石。三鹿毒奶粉事件持續(xù)發(fā)酵，引起廣泛關注，三鹿集團聲譽受到重創(chuàng)，市值嚴重下降，最終以拍賣收場。事件回顧版權所有，侵權必究Copyright?by2013allrightsreserved三鹿集團的破滅自1993年起，三鹿奶粉產銷量連續(xù)15年實現65案例總結和啟示內部控制的重要性

“內部控制能夠幫助我們繞過途中的陷阱，到達目的地。

——MOTOROLA總裁加利·吐克防范、減輕業(yè)務活動中的風險!提高企業(yè)的運行效率防范作弊版權所有，侵權必究Copyright?by2013allrightsreserved案例總結內部控制的重要性版權所有，侵權必究66內部控制為什么被忽視？

版權所有，侵權必究Copyright?by2013allrightsreserved我的員工忠誠可靠，我相信我的員工我們從沒發(fā)生過問題外部審計師在檢查我們的財務報表我沒時間程序耗時又沒有用處我最好還是把時間用在其它戰(zhàn)略問題上面……您同意這種觀點嗎？內控對戰(zhàn)略的落地執(zhí)行有用嗎？內部控制為什么被忽視？版權所有，侵權必究我的員工忠誠可靠，67什么是內部控制？COSO（1992）定義：內部控制是由企業(yè)的董事會、管理當局及其他人員為達到財務報告的可靠性、經營活動的效率性和效果性、相關法律法規(guī)得以遵循等三個目標而提供合理保證的過程?！镀髽I(yè)內部控制基本規(guī)范》（2008）定義：內部控制是由企業(yè)董事會、監(jiān)事會、經理層和全體員工實施的、旨在實現控制目標的過程。控制目標：合理保證企業(yè)經營管理合法合規(guī)、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業(yè)實現發(fā)展戰(zhàn)略。財務目標：保證財務報告的可靠性；經營目標：保證經營活動的效率性和效果性；遵循目標：保證相關法律法規(guī)得以遵循。共同之處版權所有，侵權必究Copyright?by2013allrightsreserved為什么？什么是內部控制？COSO（1992）定義：內部控制是由企業(yè)68內部控制絕對不是：

靜態(tài)的結構；某一層次人員的任務（例如：高級管理層）；某一部門的任務（例如：財務、內部審計）；某一實體的任務（例如：總部、省級公司）。整個集團的共同參與對于內部控制的順利實施至關重要！版權所有，侵權必究Copyright?by2013allrightsreserved內部控制絕對不是：整個集團的共同參與對于內部控制的順利實施至69內部控制概述1COSO內部控制整合框架控制環(huán)境內部控制活動信息與溝通內部監(jiān)督內部控制的實質-風險管理版權所有，侵權必究Copyright?by2013allrightsreserved內部控制概述1COSO內部控制整合框架控制環(huán)境內部控制活動信70內部控制理論形成和發(fā)展的五個階段：內部牽制、內部控制制度、內部控制結構、內部控制整體框架、企業(yè)風險管理框架。目前應用最為廣泛的是《內部控制整體框架》，ERM《企業(yè)風險管理框架》是對其的拓展，更加強調內控對風險的運用。版權所有，侵權必究Copyright?by2013allrightsreserved內部控制理論形成和發(fā)展的五個階段：內部牽制、內部控制制度、內71

版權所有，侵權必究Copyright?by2013allrightsreserved內部控制由誰負責？外部人員內部其他人員董事會內部審計師管理層Q1：誰是最終負責人？Q2：自上而下OR自下而上？Q3：各主體職責？版權所有，侵權必究內部控制由誰負責？外部人員內部其他人員董事721.組織內的內部控制2.組織外的內部控制內控范圍？內部控制不止局限于公司內部，有時會延伸到企業(yè)外部。例如三鹿奶粉案例，對“奶農”、“奶站”的控制。版權所有，侵權必究Copyright?by2013allrightsreserved1.組織內的內部控制2.組織外的內部控制內控范圍？內部控制不73版權所有，侵權必究Copyright?by2013allrightsreserved版權所有，侵權必究74內部控制是萬能的？NO！內部控制的局限性內部管理人員濫用職權、蓄意營私舞弊等，導致內部控制失去

應有的控制效能。內部人員相互串通作弊導致相關內部控制失去作用。內部人員素質不適應崗位要求，影響內部控制功能的正常發(fā)揮。即使是設置完善的內部控制，也可能因有關人員的疏忽、誤解和判斷錯誤而失效；成本效益問題。

對于不經常發(fā)生或未預計到的經濟業(yè)務，原有的控制可能不適

用；臨時控制若不及時會影響內部控制的作用（滯后性）。版權所有，侵權必究Copyright?by2013allrightsreserved內部控制是萬能的？NO！內部控制的局限性內部管理人員濫用職權75

SOX法案404條款要求在美上市公司管理層必須對內部控制的有效性出具自我評估報告，該報告需經注冊會計師審計。

美國上市公司第一年遵循該條款的平均成本是440萬美元，中國在美上市的44家公司第一年合計付出遵循成本近2億美元。成本高昂的《薩班斯-奧克斯利法案》（SOX法案）404條款版權所有，侵權必究Copyright?by2013allrightsreservedSOX法案404條款要求在美上市公司管理層必須對內部控制的76企業(yè)內部控制基本規(guī)范2008年6月28日，中國財政部等五部委聯合發(fā)布了《企業(yè)內部控制基本規(guī)范》2010年4月26日，五部委聯合發(fā)布《企業(yè)內部控制應用指引》、《企業(yè)內部控制評價指引》、《企業(yè)內部控制審計指引》要求2012年1月1日起在上交所、深交所主板上市的公司施行，擇機在中小板和創(chuàng)業(yè)板上市公司施行；同時鼓勵非上市大中型企業(yè)提前執(zhí)行這標志著中國版的“薩奧法案”已正式啟動版權所有，侵權必究Copyright?by2013allrightsreserved☆☆☆☆企業(yè)內部控制基本規(guī)范2008年6月28日，中國財政部等五部77執(zhí)行企業(yè)內控規(guī)范體系版權所有，侵權必究Copyright?by2013allrightsreserved(1)必須對本企業(yè)內部控制的有效性進行自我評價，披露年度自我評價報告(3)注冊會計師發(fā)現在內部控制審計過程中注意到的企業(yè)非財務報告內部控制重大缺陷，應當提示投資者、債權人和其他利益相關者關注(2)聘請具有證券期貨業(yè)務資格的會計師事務所對其財務報告內部控制的有效性進行審計，出具審計報告執(zhí)行企業(yè)內控規(guī)范體系版權所有，侵權必究(1)必須對本企業(yè)內部78版權所有，侵權必究Copyright?by2013allrightsreservedCOSO立方體內部控制目標內部控制貫穿所有的業(yè)務部門控制活動

確保管理活動付諸實施的政策/流程。措施包括審批、授權、確認、建議、業(yè)績考核、資產安全和職責分離。監(jiān)控不斷評估內部控制系統表現。整合實時和獨立的評估。管理層和監(jiān)督活動。內部審計工作?？刂骗h(huán)境營造單位氣氛－讓公司員工建立內部控制因素包括正直，道德價值，能力，權威和責任是其他內部控制組成部分的基礎信息和溝通及時地獲取，確定并交流相關的信息從內部和外部獲取信息使得形成從職責方面的指示到管理層有關管理行動的發(fā)現總結等各方面各類內部控制成功的措施的信息流風險評估

風險評估是為了達到企業(yè)目標而確認和分析相關的風險-形成內部控制活動的基礎監(jiān)控信息和溝通控制活動風險評估控制環(huán)境營運財務報告合規(guī)性業(yè)務單位A業(yè)務單位B活動2活動1監(jiān)控信息和溝通控制活動風險評估控制環(huán)境營運效率效果財務報告可靠性法律合規(guī)性務單位A業(yè)務單位B活動2活動1業(yè)版權所有，侵權必究COSO立方體內部控制目標內部控制貫穿所有79控制環(huán)境：（ControlEnvironment），反映單位最高管理部門，董事和所有者對控制及其重要性的態(tài)度的各種行為，政策和措施?？刂骗h(huán)境員工的勝任能力管理理念和經營風格組織結構誠信與道德準則授權及職責劃分人力資源政策及實施董事會的關注和監(jiān)督控制環(huán)境的7個要素版權所有，侵權必究Copyright?by2013allrightsreserved控制環(huán)境：（ControlEnvironment），反映單80內部控制的實質—風險管理企業(yè)必須了解它所面臨的風險，并加以控制，即設立可辨識、分析和管理相關風險的機制。內部控制是“企業(yè)風險管理（ERM)”不可分割的一部分風險必須直接與控制目標相關聯、然后通過控制活動進行管理風險是阻礙實現目標的不確定性，用發(fā)生概率和影響程度來衡量版權所有，侵權必究Copyright?by2013allrightsreserved公司目標,風險和內部控制的關系是什么?確定目標評估風險行動計劃/責任分配分析控制什么叫風險？內部控制的實質—風險管理企業(yè)必須了解它所面臨的風險，并加以控81點擊添加文本點擊添加文本點擊添加文本點擊添加文本風險管理八要素07

信息與溝通05風險對策06控制活動08監(jiān)督04風險評估0102目標設定03事件識別內部環(huán)境點擊添加文本點擊添加文本點擊添加文本點擊添加文本風險管理八要82風險應對策略風險規(guī)避風險降低風險分擔風險承受企業(yè)對超出風險承受度的風險，通過放棄或者停止與該風險相關的業(yè)務活動以避免和減輕損失的策略企業(yè)在權衡成本效益之后，準備采取適當的控制措施降低風險或者減輕損失，將風險控制在風險承受度之內的策略企業(yè)準備借助他人力量，采取業(yè)務分包、購買保險等方式和適當的控制措施，將風險控制在風險承受度之內的策略企業(yè)對風險承受度之內的風險，在權衡成本效益之后，不準備采取控制措施降低風險或者減輕損失的策略（Avoid）（Reduce）（Share）（Accept）版權所有，侵權必究Copyright?by2013allrightsreserved風險應對策略風險規(guī)避風險降低風險分擔風險承受企業(yè)對超出風險承83影響程度可能性中等風險Ⅱ轉移高風險Ⅰ避免風險中等風險Ⅳ降低風險低風險Ⅲ接受風險大小高低基本確定很可能有可能不大可能風險應對策略的應用版權所有，侵權必究Copyright?by2013allrightsreserved影響程度可能性中等風險Ⅱ轉移高風險Ⅰ避免風險中等風險Ⅳ降低風84控制活動控制活動：為保障組織目標的實現，針對相關風險采取必要措施的政策和程序，控制活動包括：

職責分離/組織牽制授權審批會計系統控制預算控制財產安全控制電子信息技術控制績效指標考評。。。。?，F金管理資本性采購采購和付款人事和薪金營銷和銷售存貨管理企業(yè)必須基于風險評估的結果訂立控制風險的政策及程序，并予以執(zhí)行。通常可以按業(yè)務分別進行制定。版權所有，侵權必究Copyright?by2013allrightsreserved控制活動控制活動：為保障組織目標的實現，針對相關風險采取必要85信息系統控制信息系統控制86信息

信息始終是企業(yè)管理活動最基本的支持，企業(yè)所有經營活動都離不開信息。溝通：溝通就是指信息的傳遞。溝通的分類:(1)內部溝通;(2)外部溝通。溝通的方式和方法：

“企業(yè)應當采取互聯網絡、電子郵件、電話傳真、信息快報、例行會議、專題報告、調查研究、員工手冊、教育培訓、內部刊物等多種方式，實現所需的內部信息、外部信息在企業(yè)內部準確、及時傳遞和共享，確保董事會、管理層和企業(yè)員工之間有效溝通?！?《企業(yè)內部控制規(guī)范》)信息與溝通版權所有，侵權必究Copyright?by2013allrightsreserved信息信息與溝通版權所有，侵權必究87監(jiān)督控制版權所有，侵權必究Copyright?by2013allrightsreserved監(jiān)督控制版權所有，侵權必究88內部審計與內部控制內部審計：是企業(yè)內部的一個獨立機構。內部審計目的：通過檢查、評估組織內部的各項活動，評估其效果和效率，進行原因分析、提供咨詢建議。上市公司規(guī)模的日益擴大機構和其業(yè)務的日益復雜協助管理層更有效地履行其責任提高企業(yè)的運作效率并增強其活動的附加值審計會計帳目稽查、評估內部控制制度企業(yè)內部職能部門工作效能評估向管理當局提出建議報告為什么要有內部審計？內部審計機構的職責？版權所有，侵權必究Copyright?by2013allrightsreserved內部審計與內部控制內部審計：是企業(yè)內部的一個獨立機構。上市89內控與審計、風險管理和企業(yè)管理的關系？版權所有，侵權必究Copyright?by2013allrightsreserved內控與審計、風險管理和企業(yè)管理的關系？版權所有，侵權必究90內部控制與職業(yè)舞弊2課程內容91內部控制與職業(yè)舞弊2課程內容31職業(yè)舞弊（ACFE）定義：利用個人職權通過有預謀的誤用或濫用組織資源或資產為個人謀取利益。舞弊行為可能損害組織的利益，也可能是為組織謀取利益，但這種謀取的利益是通過不正當手段獲得，當該行為被曝光后，最終會給組織帶來傷害。

舞弊者的范圍涵蓋職員（Employees）、經理層（Managers）及執(zhí)行管理層（Executives/Uppermanagement）職業(yè)舞弊的特點—是秘密的—違背了組織授予舞弊者的職責—以舞弊者直接或間接的財務利益為目的—以組織的資產、收入或儲備金為代價版權所有，侵權必究Copyright?by2013allrightsreserved職業(yè)舞弊（ACFE）定義：利用個人職權通過有預謀的誤用或濫用92簡介

——世界上最大的反舞弊培訓教育機構、也是迄今為止全球唯一一個專門對舞弊予以查核的專業(yè)性組織——擁有37,000名會員，遍及50多個國家，會員包括：舞弊稽查師、審計師、調查員、法務會計、損失預防和安全主管、法律人員、犯罪學家、白領犯罪的研究員宗旨

減少職業(yè)舞弊和白領犯罪版權所有，侵權必究Copyright?by2013allrightsreservedACFE簡介AssociationofCertifiedFraudExaminers美國注冊舞弊稽查師協會簡介版權所有，侵權必究ACFE簡介Association93舞弊三角自我合理化壓力機會舞弊三角理論（ACFE）（1）壓力要素：企業(yè)舞弊者的行為動機。刺激個人為其自身利益而進行企業(yè)舞弊的壓力大體上可分為幾類：經濟壓力，惡癖的壓力，與工作相關的壓力等。（2）機會要素：可進行企業(yè)舞弊而又能掩蓋起來不被發(fā)現或能逃避懲罰的時機，主要有六種情況：缺乏發(fā)現企業(yè)舞弊行為的內部控制，無法判斷工作的質量，缺乏懲罰措施，信息不對稱，能力不足和審計制度不健全。（2）借口要素：真正形成企業(yè)舞弊還有最后一個要素——借口(自我合理化)，即企業(yè)舞弊者必須找到某個理由，使企業(yè)舞弊行為與其本人的道德觀念、行為準則相吻合，無論這一解釋本身是否真正合理。企業(yè)舞弊者常用的理由有：這是公司欠我的，我只是暫時借用這筆資金、會歸還的，目的是善意的，用途正當等。版權所有，侵權必究Copyright?by2013allrightsreserved舞弊自我合理化壓力機會舞弊三角理論（ACFE）（1）壓力要素94內部控制的完善3課程內容95內部控制的完善3課程內容35如何設計基于實質性漏洞的內部控制？版權所有，侵權必究Copyright?by2013allrightsreserved如何設計基于實質性漏洞的內部控制？版權所有，侵權必究96STEP1：明確公司目標1.什么是公司目標？其應該包括什么？目標：就是努力想要達到的狀態(tài)、境界或目的。目標是行為的指向。對于個人而言，由于愿景的不同可以有多種目標。對于企業(yè)而言，有戰(zhàn)略目標、經營目標等。

對于企業(yè)內部不同的專業(yè)部門或崗位來說，圍繞企業(yè)總體要求，都與相應的目標。例如：財務管理要保證工作合規(guī)和報告真實準確；計劃管理要保證完整、真實、準確、及時等。

本質目標

降低企業(yè)經營風險，以實現企業(yè)價值最大化分項目標財務目標、經營目標和遵循目標。業(yè)務目標根據經營業(yè)務內容，如貨幣資金收付、采購與付款、銷售與收款等具體業(yè)務設計的具體目標。版權所有，侵權必究Copyright?by2013allrightsreservedSTEP1：明確公司目標1.什么是公司目標？其應該包括什么？97數量質量時間環(huán)境/安全/健康成本營銷策略依據2.公司目標分解至業(yè)務層面：5321法5個標尺3個步驟細化量化12流程化32個答案結果行動1個原則SMART版權所有，侵權必究Copyright?by2013allrightsreserved數量質量時間環(huán)境/安全成本營銷策略2.公司目標分解至業(yè)務層面98STEP2：企業(yè)風險評估流程風險版權所有，侵權必究Copyright?by2013allrightsreserved3.風險識別STEP2：企業(yè)風險評估流程風險版權所有，侵權必究3.風險識99風險評估其實是一個輸入轉化為輸出的過程輸入事項描述度量單位評估技術方法公司特征評估流程支持資源歷史數據輸出風險分析報告可能性影響程度風險評級風險分析活動4.風險評估版權所有，侵權必究Copyright?by2013allrightsreserved風險評估其實是一個輸入轉化為輸出的過程輸入事項描述輸出風險分100STEP3：制定相關控制識別關鍵績效區(qū)（KPA-KeyPerformanceArea，主要為重要部門和關鍵流程）確定關鍵控制點（CCP-CriticalControlPoint）設定績效控制標準（KPI-KeyPerformanceIndicator），即量化或非量化的指標5.標準制定……核對點記賬點審批點結算點審簽點審核點編審點復核點版權所有，侵權必究Copyright?by2013allrightsreservedSTEP3：制定相關控制識別關鍵績效區(qū)確定關鍵控制點1016.政策制定流程圖用符合和圖形來表述內部控制的程序及關鍵二維表對內部控制的關鍵控制點進行記錄文字表述對內部控制的健全程度和執(zhí)行情況的書面敘述以流程圖、二維圖及文字描述的形式編制內控政策版權所有，侵權必究Copyright?by2013allrightsreserved6.政策制定流程圖用符合和圖形來表述內部控制的程序及關鍵二維102如何保障內控的執(zhí)行？版權所有，侵權必究Copyright?by2013allrightsreserved建立內控執(zhí)行文化明確內控執(zhí)行制度培養(yǎng)內控執(zhí)行人才123引入以董事會領導的監(jiān)管體制加強對內控執(zhí)行的監(jiān)督要求對于公司內控運作及有效性作出定期匯報內控執(zhí)行的手段，須融入日常的管理流程通過討論和培訓，使內控的實施得到“全民”的支持通過經驗的分享，不斷加強內控執(zhí)行的認同性開展內控知識培訓，培養(yǎng)員工按照要求嚴格執(zhí)行內控制度的意識建立員工執(zhí)行內控獎懲機制，將內控執(zhí)行情況納入員工績效考核STEP4：控制執(zhí)行如何保障內控的執(zhí)行？版權所有，侵權必究建立內控明確內控培養(yǎng)內103STEP5：檢查監(jiān)督相關控制是否存在內部控制實質性漏洞？（同前）STEP6：方案改進接受差異，不做處理修改/重建業(yè)務流程調整關鍵控制點（CCP）或績效控制標準（KPI）迅速采取糾正措施方案改進相關措施版權所有，侵權必究Copyright?by2013allrightsreservedSTEP5：檢查監(jiān)督相關控制是否存在內部控制實質性漏洞？（104風險管理與內部控制審計4課程內容105風險管理