-内部控制设计有效性评估-毕马威.pdf

中国移动通信有限公司内审部中国移动通信有限公司内审部培训培训 2011年07月 毕马威毕马威企业咨询企业咨询( (中国中国) )有限公司有限公司 内部控制设计有效性评估内部控制设计有效性评估 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 1 议题议题 内部控制设计有效性评估内部控制设计有效性评估 以风险为导向的内部审计方法以风险为导向的内部审计方法 内部控制的构成内部控制的构成 内部控制设计有效性评估方法内部控制设计有效性评估方法 案例分析案例分析 本文件所载资料是为本文件所载资料是为中国中国移动通信移动通信有限公司有限公司内审部内部培训编撰。任何其他人士不得依赖本文件作任何其他用途，本所概不就此对内审部内部培训编撰。任何其他人士不得依赖本文件作任何其他用途，本所概不就此对 任何其他人士承担任何责任。未经本所书面同意，任何人士不得披露、引用或引述本文件的全部或部分内容。任何其他人士承担任何责任。未经本所书面同意，任何人士不得披露、引用或引述本文件的全部或部分内容。 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 2 以风险为导向以风险为导向的内部的内部审计方法审计方法 通过引入以风险为导向的 内部审计方法 论，通过战略分析、企业风险评估和制 定内审计划三个步骤的执行，有效识别 和定义关键风险点、并对重要风险领域 进行优先级排序 从上到下，集中资源关注残余风险较高 的领域，即固有风险较高及控制风险较 高的机构、业务、流程、系统等 实现规范制定审计规划，合理配置审计 资源，有效履行审计职能，持续监测重 大风险 企业风险评估企业风险评估 报告报告 规划规划 执行执行 企业风险评估企业风险评估 报告报告 规划规划 执行执行 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 3 该方法论的应用：该方法论的应用： 战略分析：战略分析：以从上至下的角度审视公司面临 的内部及外部宏观影响，了解公司的战略目 标和挑战。 企业风险评估：企业风险评估：识别公司面临的重大风险， 通过固有风险评估、关键风险指标分析、以 及控制环境评估相结合的方式对公司面临的 重大风险进行排序。 制定内审计划：制定内审计划：根据企业风险评估阶段对重 大风险深入分析的结论，确认审计重点，综 合考虑审计资源，以制定审计计划。 内审项目执行：内审项目执行：不同的审计对象面临的风险 级别不同，应执行有针对性地审计方法。 报告报告/ /问题的解决和跟踪：问题的解决和跟踪：审计报告的结论以 及审计发现的跟进和处理结果会影响下一次 审计重点的识别。 以风险为导向的内部审计方法以风险为导向的内部审计方法（续）（续） 企业风险评估企业风险评估 报告报告 规划规划 执行执行 企业风险评估企业风险评估 报告报告 规划规划 执行执行 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 4 典型的内部控制审计流程示例典型的内部控制审计流程示例 1 1. .定义审计单元定义审计单元 2 2. .定义风险宇宙定义风险宇宙 3 3. .评估固有风险评估固有风险 4 4. .制定审计计划制定审计计划 5 5. .执行审计计划执行审计计划6 6. .评估剩余风险评估剩余风险 风险持续监控风险持续监控 7 7. .更新更新/ /滚动审计计划滚动审计计划 审计单元 风险类别 风险因素 风险事件 风险影响程度评价 标准 风险发生可能性评 价标准 关键绩效指标 （KPI） 关键风险指标 （KRI） 风险列表 审计计划 审计报告 风险轮廓 热点图 审计计划 风险矩阵 一般情况下，以 区域、机构和流 程划分审计单元 确定风险类别时，考虑 企业实际情况、外部监 管要求、国际通用风险 框架（例如COSO、 Cobit, RiskIT等）、可操 作性、成本效益原则等 风险因素是可能导致企 业风险的事物，其既可 能包括企业外部的经营 驱动力，例如竞争、监 管、经济状况、技术、 资本市场等，也可能包 括企业内部流程，如核 心业务、资源管理等。 通常可以采用分析企业 经营模型的方式来识别 风险因素 风险事件是可能导致某 一特定风险因素转化为 风险的事件。识别风险 事件，即识别哪些事件 可能导致风险的发生 审计规划的制定以风险 评估的结果为重要的参 考标准，同时也应考虑 董事会的意见、外部监 管要求等其他因素 控制有效性整 体评价 风险轮廓是以表格或图形 形式，对每一个审计单元 的所有识别的风险情况进 行罗列，以反映该审计单 元风险分布情况。 对于每个机构，以热点图 形式列示其所有审计单元 固有风险和控制有效性的 分布情况 复 核 审 计 单 元 的 合 理 性 提供 控制 信息 提供风险事件预警 提 供 固 有 风 险 信 息 控制有效性评价 标准 风险矩阵 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 5 典型的内部控制审计流程典型的内部控制审计流程 1 1、定义审计单元、定义审计单元 审计单元是审计计划的基本单元，是在后续阶段进行风险类别和相关风险事件分析审计单元是审计计划的基本单元，是在后续阶段进行风险类别和相关风险事件分析的的基础基础 审计单元的识别和定义，可以审计单元的识别和定义，可以 按照地域和管理架构，如总部，省公司，分公司； 按照业务流程和职能部门，如收入与计费业务流程、资本性支出业务流程等及相关职能部门； 按照信息系统，如业务支撑系统、业务应用系统、OA等； 按照信息技术运营管理流程，如系统开发，项目管理，安全管理等； 按照业务和产品类型，如语音业务，增值业务等； 按照特定数据和信息类型，如财务数据，经营分析数据，客户信息数据等 审计单元审计单元 最终被选定的审计单位最终被选定的审计单位 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 6 典型的内部控制审计流程典型的内部控制审计流程 2 2、定义风险宇宙、定义风险宇宙 风险类别（风险类别（Risk CategoriesRisk Categories） 风险类别是企业决定如何将其风险进行分组的方式，企业将具有相同特性的风险进行分组，以建立企业 的风险组合，将风险按照风险类别进行分组，有助于完整、全面、合理地识别和管理企业面临的风险； 用以定义风险类别的特征一般反映了企业的行业、业务模型或其他在企业内部推动风险管理的因素，并 最终由企业决定。因此，风险类别因企业和行业的不同而不同。 定义风险类别的考虑因素 参考国际通用的风险框架（例如COSO、CobiT、RISK IT等） 考虑外部监管要求（如工信部、上市地监管机构等） 符合企业实际情况（如考虑业务的分布、重要性水平等） 可操作性（考虑是否有利于利用企业现有的资源、是否有利于信息的收集、是否有利于评价和审计的 开展等） 成本效益原则（过细会影响风险评估的效率，过粗会影响风险评估的效果） 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 7 典型的内部控制审计流程典型的内部控制审计流程 2 2、定义风险、定义风险宇宙宇宙（续）（续） 以财务报告内部控制审计为例，可以围绕以下要素进行风险分类：以财务报告内部控制审计为例，可以围绕以下要素进行风险分类： 财务报告认定财务报告认定导致错误的可能导致错误的可能?(举例说明举例说明) C 完整性 是否记录了所有应支的记录？ 是否记录了所有销售记录？ E 存在和发生 是否所有的存货都是真实存在的？ 销售额是否来自验证有效的客户？ A 准确性 是否所有应付记录金额都是准确的？ 是否所有销售记录金额都是准确的？ 发放给员工的工资金额是否都是准确的？ 采购价格的变化是否被准确的捕捉并且被资本化？ V 估价 应收款项的减值是否被恰当的估计？ 存货价值是否按照成本和可变现净值孰低方法记录？ O 权利与义务 公司是否把自有存货记录为资产？ 负债是否表现为公司的真实义务？ P 表达与披露 财务信息是否真实呈现？ 在财务报告中的披露，是否为完整、准确且相关的？ 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 8 泄露 中断 修改 窃取 活动活动 无效设计 无效执行 破坏 不适当使用 内部（员工） 外部（竞争对手，外部人 员，业务伙伴，监管者，市 场） 主体主体 人员和组织 流程 基础设施（设备，IT基础设 施） 企业架构（信息、技术、应 用） 资源资源/资产资产 恶意 意外 故障 自然灾害 威胁类型威胁类型 时长 发生时点（关键，非关键） 检测时点 时间时间 风险轮廓风险轮廓 机密性机密性 业务影响业务影响 完整性完整性可用性可用性合规性合规性可靠性可靠性效率效率效能效能 以信息技术内部控制审计为例，以信息技术内部控制审计为例，可按照以下可按照以下7类潜在的业务影响进行分类：类潜在的业务影响进行分类： 典型的内部控制审计流程典型的内部控制审计流程 2 2、定义风险、定义风险宇宙宇宙（续）（续） 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 9 典型的内部控制审计流程典型的内部控制审计流程 3、评估固有风险、评估固有风险 固有风险固有风险是指在不考虑管理层可能采取的任何改变风险发生可能性或影响行动的前提是指在不考虑管理层可能采取的任何改变风险发生可能性或影响行动的前提 下下，企业企业所面临的风险。所面临的风险。 基本的自上而下基本的自上而下 应对风险的内部控制应对风险的内部控制 固有固有 风险风险 固有固有 风险风险 固有固有 风险风险 固有固有 风险风险 剩余剩余 风险风险 剩余剩余 风险风险 剩余剩余 风险风险 剩余剩余 风险风险 内审部门独内审部门独 立立 评估及评价评估及评价 剩余风险及剩余风险及 向管理层报向管理层报 告告 业务在可业务在可 承受的风承受的风 险范围内险范围内 运作运作 剩余风险剩余风险 = = 固有风险固有风险 X X 控制风险控制风险 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 10 风险风险 评估评估 = = X X 风险的风险的 影响影响 程度程度 风险发风险发 生可能生可能 性性 以风险的影响程度和发生的可能性两个维度来评价固有风险的大小。企业需要根据自身以风险的影响程度和发生的可能性两个维度来评价固有风险的大小。企业需要根据自身 情况制定固有风险的评价标准。情况制定固有风险的评价标准。 企业的风险偏好及承受风险的能力决定了风险影响程度评级标准的确立企业的风险偏好及承受风险的能力决定了风险影响程度评级标准的确立 在确定风险的影响程度时，应考虑在确定风险的影响程度时，应考虑 企业的目标与策略 企业的主要利益相关方如何被已识别的风险影响 主要利益相关方如何对待这些风险 风险风险的影响程度和发生的可能性的影响程度和发生的可能性 典型的内部控制审计流程典型的内部控制审计流程 3、评估固有风险、评估固有风险（续）（续） 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 11 风险的影响程度（风险的影响程度（Risk Impact) 描述描述评级标准（评级标准（ 请综合考虑以下各个方面的因素对请综合考虑以下各个方面的因素对 风险后果的严重性进行评估）风险后果的严重性进行评估） 无关紧 要/ 1分 可能遭受少于人民币XX万元的损失 违反公司内部规定，对公司声誉不会造成影响 发生事故， 但不会影响公司业务 对信息真实或安全性影响不大 次要/2分可能遭受人民币XX万元-人民币YY万元的损失 发生违法违规，对公司声誉造成轻微影响，需要中高管理层关注 发生事故， 但是仅影响内部业务 对信息真实或安全性有轻微影响 中等/3分可能遭受人民币YY万元-人民币ZZ万元的损失 发生违法违规，对公司声誉造成一定影响，需要中高管理层协调 处理 发生事故，对业务有一定影响 影响顾客 对信息真实或安全性有一定影响 主要/4分可能遭受人民币ZZ万元-人民币MM万元的损失 发生较大违法违规，对公司声誉造成较大影响，需要董事会关注 发生较大事故，对业务有重大影响 严重损害公司为客户服务的 能力 对信息真实或安全性有重要影响 灾难性/5 分 可能遭受超过人民币MM万元的损失(2006/12/31 集团公司净资产的 5%) 发生重大违法违规，对公司声誉造成重大影响，需要董事会协调 处理 发生重大事故，公司无法继续经营 对信息真实或安全性有灾难性影响 风险发生的可能性风险发生的可能性 (Risk Likelihood) 描述描述评级标准评级标准 极少发生/1分事件只有在极其例外的情况下发生（8-10 年内或发生可 能性为x%以下） 不大可能/2分事件可能在某些时候发生（5-8 年内或发生可能性为x-y% 之间） 可能/3分事件应该在某些时候发生（3-5 年内或发生可能性为y%- z% 之间） 很可能/4分事件可能在大多数环境下发生（1-2 年内或发生可能性为 z-m% 之间） 几乎确定/5分事件预计会在大多数情况下发生（1 年内或发生可能性为 m%以上） 按需要设计多个影响程度的按需要设计多个影响程度的 考虑因素考虑因素 典型的内部控制审计流程典型的内部控制审计流程 3、评估固有风险、评估固有风险（续）（续） 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 12 固有风险评级固有风险评级 后果的严重性后果的严重性 发生的可能性发生的可能性 无关紧要无关紧要/1分分次要次要/2分分中等中等/3分分主要主要/4分分灾难性灾难性/5分分 几乎确定几乎确定/5分分中等中等（5）较高（较高（10）重大（重大（15）重大（重大（20）重大重大（25） 很可能很可能/4分分中等（中等（4）较高（较高（8）较高（较高（12）重大重大（16）重大重大（20） 可能可能/3分分较低（较低（3）中等（中等（6）较高（较高（9）较高（较高（12）重大重大（15） 不大可能不大可能/2分分较低（较低（2）中等（中等（4）中等（中等（6）较高（较高（8）较高较高（10） 极少发生极少发生/1分分较低（较低（1）较低（较低（2）较低（较低（3）中等中等（4）中等中等（5） 风险矩阵风险矩阵 风险影响程度和可能性之间的关系可以用一个矩阵图表示，并将有关风险的重要性评级。风险影响程度和可能性之间的关系可以用一个矩阵图表示，并将有关风险的重要性评级。 常见的风险矩阵如下常见的风险矩阵如下: : 1 1 3 3：较低：较低 4 4 7 7：中等：中等 8 8 1414：较高：较高 15 15 - - 2525：重大：重大 典型的内部控制审计流程典型的内部控制审计流程 3、评估固有风险、评估固有风险（续）（续） 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 风险风险 编号编号 风险风险 类类别别 风险风险 描述描述 相应相应 的控的控 制点制点 编号编号 风险风险 负责负责 人人 固有风险量化固有风险量化固有固有 风险风险 级别级别 控制控制 目标目标 实现实现 情况情况 剩余风险量化剩余风险量化剩余风剩余风 险级别险级别 发生发生可可 能性能性 判断判断 标准标准1 判断判断 标准标准X 影响程影响程 度度 发生发生 概率概率 判断判断 标准标准1 判断判断 标准标准X 影响影响 程度程度 当决定风险因素影响程度当决定风险因素影响程度 的多个判断标准评级结果的多个判断标准评级结果 不同时，可考虑取其较高不同时，可考虑取其较高 值做为总判断结果。值做为总判断结果。 风险列表风险列表 风险列表按风险分类，对每一个被审计单元的各项风险按照上述步骤制定的风险评价标准进行全面的、风险列表按风险分类，对每一个被审计单元的各项风险按照上述步骤制定的风险评价标准进行全面的、 多维度的统计和分析。多维度的统计和分析。 同时，风险列表中还将风险与相应的控制建立对应关系。同时，风险列表中还将风险与相应的控制建立对应关系。 典型的内部控制审计流程典型的内部控制审计流程 3、评估固有风险、评估固有风险（续）（续） 13 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 14 典型的内部控制审计流程典型的内部控制审计流程 4、制定审计计划、制定审计计划 审计计划的制定应以风险评估的结果为重要的参考标准。同时，亦应考虑以下因素审计计划的制定应以风险评估的结果为重要的参考标准。同时，亦应考虑以下因素 外部监管要求（如SEC、香港交易所） 董事会业务发展战略 监事会的指导 高级管理层的意见 外部审计风险的提示 审计资源的限制 以风险评估作为制定审计计划的重要因素，并应定时基于下列风险因素的变化，更新审计计划：以风险评估作为制定审计计划的重要因素，并应定时基于下列风险因素的变化，更新审计计划： 内部审计结果； 组织架构和高级管理人员的变动； 是否存在新的审计单元、新的业务/产品或新的系统； 是否将外包供应商纳入范围； 是否考虑了分支机构和境外机构； 是否考虑到该审计单元收入比例的大小。 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 审计单元审计单元本次固有风本次固有风 险评估结果险评估结果 上次控制有上次控制有 效性评估效性评估 结果结果 上次剩余上次剩余 风险评估风险评估 结果结果 200X200X年年 （人工小时）（人工小时） 200Y200Y年年 （人工小时）（人工小时） 200Z200Z年年 （人工小时）（人工小时） 收入与计费业务收入与计费业务 流程流程 小计：小计：XXXX小计：小计：YYYY小计：小计：ZZZZ -财务部重大满意中等403020 -市场部较高满意较低161616 -信息技术部中等缺陷中等242424 -XX部门 资本性支出业务资本性支出业务 流程流程 等等等等 合计合计XXXXXX人工小人工小 时时 XXXXXX人工小人工小 时时 XXXXXX人工小人工小 时时 审计的投入与审计程序的复杂性可同时考虑本次固有风险评估结果以及上次审计控制有效审计的投入与审计程序的复杂性可同时考虑本次固有风险评估结果以及上次审计控制有效 性和剩余风险的分析结果性和剩余风险的分析结果 典型的内部控制审计流程典型的内部控制审计流程 4、制定审计计划、制定审计计划（续）（续） 15 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 16 典型的内部控制审计流程典型的内部控制审计流程 5 5、执行审计计划执行审计计划 通过合理的审计程序测试内部控制的设计与执行有效性通过合理的审计程序测试内部控制的设计与执行有效性 测试结果测试结果 内部控制设计有内部控制设计有 效性缺陷效性缺陷 内部控制内部控制 有效性有效性 内部控制执行有内部控制执行有 效性缺陷效性缺陷 内部控制记录内部控制记录 差距分析差距分析 符合性测符合性测 试试 穿行测试穿行测试 评估控制有效性评估控制有效性 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 17 典型的内部控制审计流程典型的内部控制审计流程 5、执行审计计划（续）、执行审计计划（续） 控制矩阵（控制矩阵（Control Matrix） 针对已定义的固有风险确认控制机制，编制控制矩阵 针对每一个审计单元单独编制，引入控制负责人和控制负责部门以明确责任 可以通过对相应的控制进行穿行性测试，对控制的设计的有效性和执行的有效性进行评估及评价。在进 行控制有效性评估时，也应考虑利用企业内部已有的或其他有关信息来源，尽量避免审计工作重复进行 控制有效性的评价机制也是审计工作的一个重要环节，如可以制定如下控制有效性评价标准 评估等级评估等级分值分值描述描述 满意1控制有效，运行正常，为目标的实现提供合理确保 较小缺陷 2 发现少量存在缺陷或无效的控制。尽管这些缺陷的影响不重大，但仍需改进以 合理确保目标的实现 缺陷 3 发现一些存在缺陷或无效的控制。尽管不认为这些缺陷会产生重大影响，但仍 需改进以合理确保目标的实现 重大缺陷 4 由于存在缺陷或无效的控制较多，导致控制不能达到可接受的水平，需要实施 大量改进措施方能合理确保目标的实现 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 18 典型的内部控制审计流程典型的内部控制审计流程 6、评估剩余风险、评估剩余风险 基本的自上而下基本的自上而下 应对风险的内部控制应对风险的内部控制 固有风固有风 险险 固有风固有风 险险 固有固有 风险风险 固有固有 风险风险 剩余剩余 风险风险 剩余剩余 风险风险 剩余剩余 风险风险 剩余剩余 风险风险 内审部门独立内审部门独立 评估及评价剩评估及评价剩 余风险及向管余风险及向管 理层报告理层报告 业务在可承业务在可承 受的风险范受的风险范 围内运作围内运作 剩余风险剩余风险 = = 固有风险固有风险 X X 控制风险控制风险 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 19 安全管理流程 图例图例: : 剩余风险剩余风险 系统开发流程 项目管理流程 较低 中等 较高 重大 图例图例: : 风险评估等级风险评估等级 不太可能 基本确定 较大可能 可能 无关紧要次要中等 主要 极少发生 可能性可能性 灾难性 影响程度影响程度 R5 S2R4 R3 R2 R1 P6 P4 P3 R7 R8 R1 0 R9 按风险偏好调整 风险轮廓风险轮廓 风险轮廓以固有或剩余风险的影响度和可能性为参数表示，风险轮廓的信息来源于前述风险列表 风险轮廓通常会分为公司层面和审计单元层面。公司层面风险轮廓反映了企业所面临的整体风险。而审 计单元层面的风险轮廓帮助将公司层面的风险分解和联系到具体审计单元。 典型的内部控制审计流程典型的内部控制审计流程 6 6、评估剩余风险（续）、评估剩余风险（续） 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 20 典型的内部控制审计流程典型的内部控制审计流程 7. 7.更新更新/ /滚动审计计划滚动审计计划 以年度业务风险为出发点，参考风险持续监测结果以及上年度审计结果，定期对审计计划进行滚动式更新 风险管控部门风险管控部门 定期沟通 根据风险 评估结 果、建立 审计计划 将季度性风 险变化纳入 审计计划 公司高级公司高级 管理人员管理人员 内部审计部门内部审计部门 滚动审计计划滚动审计计划 带来的益处带来的益处 风险分析会定期暴露 新的风险，为将来的 内部审计活动奠定基 础 对于风险评估活动和 审计方法进行专门评 级和优先级排序，使 计划关注风险最高的 领域 滚动的审计计划提升 了资源分配效率，具 有更多的灵活性 年度和季度 风险评估报告 季度风险状况 和其他信息 Q Q1 1Q Q2 2Q Q3 3Q Q4 4 年度业务计划年度业务计划 年度风险评估与季度更新年度风险评估与季度更新 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 议题议题 内部控制设计有效性评估内部控制设计有效性评估 以风险为导向的内部审计方法以风险为导向的内部审计方法 内部控制的构成内部控制的构成 内部控制设计有效性评估方法内部控制设计有效性评估方法 案例分析案例分析 本文件所载资料是为本文件所载资料是为中国中国移动通信移动通信有限公司有限公司内审部内部培训编撰。任何其他人士不得依赖本文件作任何其他用途，本所概不就此对内审部内部培训编撰。任何其他人士不得依赖本文件作任何其他用途，本所概不就此对 任何其他人士承担任何责任。未经本所书面同意，任何人士不得披露、引用或引述本文件的全部或部分内容。任何其他人士承担任何责任。未经本所书面同意，任何人士不得披露、引用或引述本文件的全部或部分内容。 21 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 控制环境控制环境 风险评估风险评估 内部控制的构成内部控制的构成 公司公司层面层面内部内部控制控制 公司公司层面内部控制层面内部控制 业务流程业务流程 财务财务 业务流程业务流程 收入收入 业务流程业务流程 固定资产固定资产 业务流程业务流程 其他其他 信息技术一般性控制信息技术一般性控制 操作系统操作系统/ /数据库数据库/ /网络网络/ /物理环境物理环境 信息与沟通信息与沟通 监控监控 业务流程业务流程层面层面内部内部控制控制 Significant Accounts in Financial Statements 重要科目重要科目/ 财务报表披露财务报表披露 资产负债表资产负债表损益表损益表现金流量表现金流量表其它其它 交易类别交易类别 Significant Accounts in Financial Statements 业务流程中的业务流程中的 应用控制应用控制 流程流程A流程流程B流程流程C 信息技术一般性控制信息技术一般性控制 信息安全与访问控制信息安全与访问控制 程序变更程序变更 程序开发程序开发 信息系统运行与操作管理信息系统运行与操作管理 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 23 内部内部控制控制的的类型类型 预防性控制与检测性控制预防性控制与检测性控制 预防性控制通常发生在错误或例外发 生之前，被设计用来防止错误或异常 的发生； 检测性控制通常发生在错误或例外发 生时或发生之后，被设计用来检测或 纠正错误或异常情况。 示例示例 预防性控制：密码参数配置。 检测性控制 ：审阅系统告警日志。 人工控制、自动化控制及二者结合人工控制、自动化控制及二者结合 由一个或多个员工执行 由应用程序或系统执行 由员工和应用程序或系统共同执行 示例示例 人工控制：定期审阅系统中用户角色 设置及访问权限。 自动控制：用户被赋予不同的角色， 用来限制其操作权限。 人工与自动控制结合：由控制所有者 出具或审阅的越权交易报告。 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 公司公司层面层面内部内部控制控制 Title 控制环境控制环境 信息技术战略规划 对业务战略规划的 关注度 信息技术治理制度 体系的建设 信息技术部门的组 织结构和关系 信息技术治理相关 职权与责任的分配 信息技术人力资源 管理 对用户的信息技术 教育和培训等 风险评估的总体 架构中信息技术 风险评估的管理 过程 信息资产的分类 以及信息资产所 有人的定义等 信息系统架构及 其对财务 业务流程的支持 程度 管理层及治理层 的信息沟通模式 信息技术政策/信 息安全制度的传 达与沟通等 监控管理报告 系统及技术 监控反馈与跟 踪处理程序等 风险评估风险评估信息系统与沟通信息系统与沟通监控管理监控管理 24 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 25 信息技术一般性控制信息技术一般性控制 信息技术一般性控制是指涉及到一个或多个应用的政策或流程，并通过确保信息系统持续有效运行来支信息技术一般性控制是指涉及到一个或多个应用的政策或流程，并通过确保信息系统持续有效运行来支 持应用控制的有效性。持应用控制的有效性。 如果没有充分的如果没有充分的IT一般性控制，则无法一般性控制，则无法保证流程保证流程控制的有效性控制的有效性。 Title 系统/数据访问管理 信息安全管理政策 物理访问管理机制 逻辑访问管理机制 系统设置的职责分 工控制等 应用系统及相关 系统基础架构的 变更 参数设置变更的 授权与审批 系统测试 系统移植到生产 环境的流程控制 等 应用系统及相关系 统基础架构的开发 和采购的授权审批 程序开发的方法论 开发环境、测试环 境、生产环境严格 分离情况 程序的测试、审核、 移植到生产环境等 环节 信息技术资产 管理 系统容量管理 系统物理环境 控制 系统和数据备 份及恢复管理 问题管理 系统的日常运 行管理等 涉及网络、操作系统、数据库、应用系统、涉及网络、操作系统、数据库、应用系统、终端用户计算机的应用终端用户计算机的应用及其相关人员及其相关人员 系统变更管理 系统开发管理系统运行管理 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 26 信息技术一般性控制审计范围的信息技术一般性控制审计范围的确定确定 And TransactionsAnd Transactions Business ProcessesBusiness Processes 业务流程业务流程 Process AProcess A 流程流程A A Process BProcess B 流程流程B B Process CProcess C 流程流程C C Significant Accounts in Financial StatementsSignificant Accounts in Financial Statements重要科目重要科目/ /财务报表披露财务报表披露 Balance Balance SheetSheet 资产负债表资产负债表 IncomeIncome StatementStatement 损益表损益表SCFPSCFP现金流量表现金流量表NotesNotes附注附注OtherOther其他其他 Financial Applications (application controls)Financial Applications (application controls) 财务应用财务应用( (应用控制应用控制) ) Financial Application AFinancial Application A 财务应用财务应用A A Application BApplication B 财务应用财务应用B B IT Services (general controls)IT Services (general controls) IT Services (general controls)IT Services (general controls) Plan & Plan & OrganizeOrganize Plan & Plan & OrganizeOrganize Acquire & Acquire & implementimplement Acquire & Acquire & implementimplement Deliver & Deliver & SupportSupport Deliver & Deliver & SupportSupport MonitorMonitor MonitorMonitor IT Services (general controls)IT Services (general controls)信息技术一般性控制（活动）信息技术一般性控制（活动） Plan & Plan & OrganizeOrganize 程序开发程序开发 Acquire & Acquire & implementimplement 程序变更程序变更 Deliver & Deliver & SupportSupport 运行运行 MonitorMonitor 访问访问 Classes of TransactionsClasses of Transactions交易分类交易分类 Business EventsBusiness Events And TransactionsAnd Transactions 业务活动和交易业务活动和交易 Business EventsBusiness Events 业务活动和交易业务活动和交易 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 27 信息技术一般性控制审计涉及的系统信息技术一般性控制审计涉及的系统/平台示例平台示例 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 28 业务业务流程层面流程层面内部内部控制控制 以以财务财务报表重要科目相关的关键业务报表重要科目相关的关键业务流程流程为例：为例： 资本性支出业务流程 收入与计费业务流程 存货管理业务流程 营运支出业务流程 货币资金管理业务流程 筹资业务流程 当涉及启动、授权、记录、处理和报告交易时，业务流程中的内部控制措施会被用于防范或当涉及启动、授权、记录、处理和报告交易时，业务流程中的内部控制措施会被用于防范或 找出与重要科目、交易种类和披露相关的错误或舞弊。找出与重要科目、交易种类和披露相关的错误或舞弊。 固定资产和无形资产管理业务流程 人工成本管理业务流程 会计和财务报告业务流程 关联方交易业务流程 法律法规遵循业务流程 对对关键业务流程中关键业务流程中控制的评价，应将人工控制和信息系统的自动控制的评价控制的评价，应将人工控制和信息系统的自动控制的评价 结合一起进行。结合一起进行。 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 业务流程业务流程层面内部控制层面内部控制 控制种类控制种类 信息处理信息处理 1. 系统配置/科目映射 2. 异常/编辑报告 3. 接口/转换控制 4. 系统访问 执行复核执行复核 5. 关键绩效指标 6. 管理层审阅 7. 对账 其他其他 8. 安全防护控制 9. 职责分离 29 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 业务流程层面内部控制业务流程层面内部控制 控制种类示例控制种类示例 流程控制种类流程控制种类系统配置系统配置/科目映射科目映射 定义定义可以设置可以设置开启开启或关闭的“开关”或关闭的“开关” 手动部分手动部分策略批准策略批准/凌驾流程凌驾流程控制的能力控制的能力 IT部分部分符合策略的系统配置符合策略的系统配置/安全变更控制安全变更控制 流程控制种类流程控制种类异常异常/编辑报告编辑报告 定义定义 用于校验信息处理完整性和准确性用于校验信息处理完整性和准确性 的报告，的报告，其中其中可能包括审阅数据录可能包括审阅数据录 入准确性、完整性和验证信息控制入准确性、完整性和验证信息控制 总数的初步报告。总数的初步报告。 手动部分手动部分手动对账，审阅和处理手动对账，审阅和处理 IT部分部分自动识别错误客户编号自动识别错误客户编号 流程控制种类流程控制种类接口接口/转换控制转换控制 定义定义 接口：两个节点之间传输数据和信息的方法，接口：两个节点之间传输数据和信息的方法， 并并保证数据保证数据及及信息传输的完整性和准确性信息传输的完整性和准确性； 转换：从原系统向新系统迁移数据的过程。转换：从原系统向新系统迁移数据的过程。 手动部分手动部分手动对账，审阅和处理手动对账，审阅和处理 IT部分部分 程序开发程序开发/变更变更，访问控制，访问控制，异常编辑异常编辑报告报告 真实性真实性 流程控制种类流程控制种类系统访问系统访问 定义定义 通过在系统中配置访问权限确定和定义通过在系统中配置访问权限确定和定义个人个人 用户或用户组访问信息系统处理环境的能力。用户或用户组访问信息系统处理环境的能力。 手动部分手动部分批准，终止审阅批准，终止审阅 IT部分部分可配置的系统和安全控制可配置的系统和安全控制 30 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 流程控制种类流程控制种类关键绩效指标关键绩效指标 定义定义 关键绩效指标是财务的和非财务的定量关键绩效指标是财务的和非财务的定量 测量方法，具有以下特征：测量方法，具有以下特征： 由组织持续或定期收集； 管理层用来评估组织达成既定目标的进度。 手动部分手动部分管理层审阅和签字管理层审阅和签字 IT部分部分系统计算系统计算 流程控制种类流程控制种类管理层审阅管理层审阅 定义定义 由编制人对控制活动进行分析和监督，并由编制人对控制活动进行分析和监督，并 由其他人对编制结果进行审阅。由其他人对编制结果进行审阅。 手动部分手动部分审阅和分析审阅和分析 IT部分部分报告的完整性和准确性报告的完整性和准确性 流程控制种类流程控制种类对账对账 定义定义该控制用以检查两个科目是否一致。该控制用以检查两个科目是否一致。 手动部分手动部分手动对账手动对账 IT部分部分自动对账，报告的完整性和准确性自动对账，报告的完整性和准确性 流程控制种类流程控制种类安全防护控制安全防护控制 定义定义 提供合理的保障，提供合理的保障，以避免或及时发现对以避免或及时发现对 组织资产未经授权的获取、使用或处置组织资产未经授权的获取、使用或处置 的控制被统称为“安全控制”。的控制被统称为“安全控制”。 手动部分手动部分管理层审阅和签字管理层审阅和签字 IT部分部分在线审批在线审批 流程控制种类流程控制种类职责分离职责分离 定义定义 职责分离职责分离包括向包括向不同人不同人分配分配不同不同职责，职责， 如如对对交易授权，记录交易交易授权，记录交易以及以及维护保管维护保管 资产，目的是为了在员工履行自己职责资产，目的是为了在员工履行自己职责 时，时，降低其降低其违规、包庇错误或作假的机违规、包庇错误或作假的机 会。会。 手动部分手动部分岗位职责岗位职责 IT部分部分系统访问，用户角色，用户组系统访问，用户角色，用户组 业务流程层面内部控制业务流程层面内部控制 控制种类示例控制种类示例 31 2011 毕马威企业咨询(中国) 有限公司 中国外商独资企业，是与瑞士实体 毕马威国际合作组织(“毕马威国际”) 相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。 议题议题 内部控制设计有效性评估内部控制设计有效性评估 以风险为导向的内部审计方法以风险为导向的内部审计方法 内部控制的构成内部控制的构成 内部控制设计有效性评估方法内部控制设计有效性评估方法 案例分析案例分析 本文件所载资料是为本文件所载资料是为中国中国移动通信移动通信有限公司有限公司内审部内部培训编撰。任何其他人士不得依赖本文件作任何其他用途，本所概不就此对内审部内部培训编撰。任何其他人士不得依赖本文件作任何其他用途，本所概不就此对 任何其他人士承担任何责任。未经本所书面同意，任何人士不得披露、引用或引述本文件的全部或部分内容。任何其他人士承担任何责任。未经本所书面同意，任何人士不得披