企业内控与风险管理.ppt

企业内部控制与风险管理,2010年10月10日,简历,1997年，毕业于厦门大学会计系，获经济学（会计学）博士学位。现任中山大学会计学系教授、博士生导师、系主任、MPAcc中心主任，兼任财政部企业内部控制标准委员会专家咨询组成员、广东省内部审计协会副会长、广东省审计学会副会长。白云机场等多家上市公司独立董事。曾在美国哈佛大学商学院、德州大学管理学院进修、学习。主要研究领域：内部控制与风险管理、战略管理会计、资本市场与会计信息等。Tel-mail:chinalinbin,2,内容提要,原理企业内控与ERM框架法规主要内控法规与指引实务构建与实施,小案例,中信泰富事件2008年10月，中信泰富发布声明，集团董事和财务总监私自与香港多家银行订立累积外汇期权合约，导致集团损失155亿港元。,为什么关注内部控制？,荣智健,09年2日，中信泰富在港交所网站发布公告，香港证监会对公司展开正式调查，当中涉及董事会主席荣智健、其长子荣明杰及集团董事总经理范鸿龄，以及七位执行董事和七位非执行董事4月8日，荣智健已辞任董事会主席职务星岛网讯中信泰富涉串谋欺诈，荣智健可能被监禁14年,中信泰富,中信泰富於香港注册成立，联交所上市，并为恒生指数成份股之一。最大股东为中国国际信托投资(香港集团)中信香港持股比例为29%；管理层持股比例为22%；私人及机构投资者持股比例为49%。业务包括投资物业、基础设施、能源项目、环保项目、航空以及电讯业务。,中信泰富,特钢制造,铁矿石开采,物业,航空,基础建设,发电,其他,上市子公司,江阴兴澄钢厂新冶钢石家庄钢厂,中澳铁矿项目,香港中国大陆,国泰航空香港空运货站,隧道环境保护,发电厂,澳门电讯中信国安中信资本,大昌行集团中信1616,解读中信泰富外汇杠杆合约,中信泰富的澳元合约（Accumulator），行权价0.87美元/澳元，若澳元升值，中信泰富会获利，但其总利润会被封顶，而一旦汇率下跌，则中信泰富必须每月（部分是每天）以0.87的高价加倍接澳元仓位，最高累计额可达94.4亿澳元。,Ikillyoulater？,中泰事件分析,内部控制与风险管理失败重大事项决策中的治理缺陷（授权与责任问题）荣智健认为外汇期权投资是财务董事“自作主张，并不是通过合法途径”；同时认为，“经过内部审计，证实没有诈骗”。信息披露问题公司在发现巨额亏损6周之后（9月7日已获知可能面临巨额亏损），才对外公布事件，显示内部监管存在漏洞。牵制问题荣方明任中信泰富财务主管，若对财务董事张立宪、财务总监周志贤的交易不知情，为何要调离并受降职和减薪处分。实时监控；风险管理员汇报线路、薪酬体制和考核上应完全与交易员的汇报线路分开。,中泰事件分析（续）,内部控制与风险管理失败（续）制度执行问题公司规定1000万美元以上的合同，应由董事长批准与13家银行一起签单，没有向董事会、交易银行披露张立宪6月底前也做过类似交易并赚过钱，但是没有在公司会计报表中体现出来，所赚的钱放在准备金账户，而不是损益账户，表现为降低澳矿投资的成本澳元已跌3个月，为什么没有及时制止进一步亏损内部交易问题10月21日，中信香港增持200万股，荣增持100万股，分别作价7.392与7.371港元，10月27日中信香港董事蔡星海以3.73港元增持10万股。,西门子全球贿赂案,“历史最大”还是“冰山一角”08年12月16日，西门子承认其故意规避及未能对公司内部实施合理控制，违反国外反贿赂法案中关于账目记录的规定。支付罚金3.5亿美元结束SEC的民事指控支付约4.5亿美元刑事罚金结束司法部的指控在德国慕尼黑，同意支付3.95亿欧元罚金内部调查、律师费用等约10亿美元,内部监控与风险管理,什么是内部控制？,内部牵制内部控制内部控制结构内部控制的完整框架（旧COSO报告）企业风险管理（新COSO报告）,日昇昌,晋商的信用体系,学徒：从本地找，要有保人管理者：主要从内部产生掌柜：考察祖宗几代人员工：在本地娶妻身股：激励与约束机制关公：保平安、监督商会：情感交流网、约束网归宿：落叶归根，光宗耀祖,内部牵制,1905年，L.R.Dicksee最早提出内部牵制（InternalCheck）的概念职责分工会计记录人员轮换内部牵制的两个设想是两个或两个以上的人或部门无意识地犯同样的错误机会较少；两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个或部门舞弊的可能性,内部控制的完整框架,1992年，COSO提出了著名的“内部控制的完整框架”的研究报告，1994年进行了增补。COSO报告提出内部控制的目标有三个：提高经营效率，取得好的经营效果合理保证财务报告的可靠性遵循有关的法规制度,内部控制的完整框架（续）,内部控制的要素内部环境风险评估控制活动信息与沟通监督,控制环境,内部环境评估关注要点诚信与道德价值观胜任能力董事会或审计委员会管理层的理念和经营风格组织结构责任的分配和授权人力资源政策和实践,企业风险管理,2003年7月美国COSO颁布了企业风险管理框架的讨论稿，并于2004年4月颁布正文。同1992年的COSO报告相比，新的COSO报告增加了一个观念、一个目标、两个概念和三个要素,ERM的定义,企业风险管理的定义一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程,ERM的目标,ERM的目标战略目标经营目标报告目标合法性目标,ERM的主要内容,ERM的构成要素内部环境目标制定事项识别风险评估风险反映控制活动信息和沟通监控,ERM的目标（续）,战略目标高层目标，与实体使命、构想一致并支持前二者。战略目标反映了管理者关于实体如何为股东创造价值的选择。经营目标这些属于实体经营的效力、效率，包括业绩盈利目的及保护资源避免损失。他们基于管理层关于结构和绩效的选择而变化。,ERM的目标（续）,报告目标这些属于报告可靠性。他们包括内外部报告，可能包括财务和非财务信息。依从目标这些属于坚持相关法律规则。他们依赖外部因素，有时整个实体有时一个产业目标趋同。,企业风险管理,校训、战略与企业文化,MissionAgeneralobjective,visionary,oftenunwritten,andveryopen-ended,withoutanytimelimitforachievement.CorporateobjectivesUnitobjectives使命传承一种人文精神，简单、易记企业的成功（包括品牌）：把握了产业的本质,知识拓展,世界银行项目FRFAMIS中山大学课题组,校训、战略与企业文化（续）,校训哈佛：与柏拉图为友，与亚里士多德为友，更要与真理为友(AmicusPlato,AmicusAristotle,sedAmicusVERITAS)清华：自强不息，厚德载物厦大：自强不息，止于至善再看国家会计学院、其他高校、单位运动品牌阿迪达斯：一切皆有可能（没有不可能）耐克：释放潜能李宁：中国新一代的希望、运动之美世界共享、我运动我存在、把精彩留给自己、出色源自本色、因为专业，一切皆有可能、MakeTheChange,校训、战略与企业文化（续）,中海壳牌,风险记录簿（影响力可能性）,目标：,大,大,小,风险1,风险2,风险3,风险4,风险5,风险6,影响力,可能性,基本业绩指标,声誉,技能,变革,风险导向审计方法,36,企业层面内部控制框架结构分析,流程/营业场所/交易层面,战略分析备忘录,审计记录,COBIT4.1,COBITControlObjectivesforInformationandRelatedTechnology(信息与相关技术的控制目标)ISACA(信息系统审计与控制协会)1967年设立1992年发布最初版本2003年发布第三个版本2005年11月发布第四个版本（cobit4.0）2007年COBIT4.1,COBIT的三维框架图,COBIT框架和组成部分,COBIT框架的功能IT4个领域、34个IT流程、318个控制目标7类信息标准管理指南当中的衡量标准、关键成功因素和成熟度模型、审计指南当中的通用审计方法IT过程、IT目标与IT资源关系汇总表（NEXT，P：主要的；S：次要的；：涉及）,内容提要,原理企业内控与ERM框架法规主要内控法规与指引实务构建与实施,中国主要的企业内部控制规范,中国主要的企业内部控制规范（续）,企业内部控制标准,基本规范,具体规范（应用指引）,控制手段类指引,控制活动类指引,内部环境类指引,合同管理,财务报告,内部信息传递,组织构架,发展战略,人力资源,企业文化,社会责任,评价指引,审计指引,全面预算,信息系统,业务外包,工程项目,研究与开发,销售业务,采购业务,资产管理,资金活动,担保业务,中国企业内控实施时间表,2010年4月五部委发布企业内控配套指引企业内部控制规范体系将于2011年1月1日起率先在境内外同时上市的公司施行实施2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行择机在中小板和创业板上市公司施行鼓励非上市大中型企业提前执行,中国企业内控实施时间表（续）,执行企业内部控制基本规范及企业内部控制配套指引的上市公司和非上市大中型企业应当对内部控制的有效性进行自我评价披露年度自我评价报告同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告,企业内部控制基本规范（续）,总则内部控制的目标、要素与原则内部环境风险评估控制活动信息与沟通监督检查附则,内控规范,总则,内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程内部控制的目标合理保证企业经营管理合法合规资产安全财务报告及相关信息的真实完整提高经营效率和效果促进企业实现发展战略,总则（续）,建立与实施内部控制的原则全面性原则重要性原则制衡性原则适应性原则成本效益原则,内部控制的要素内部环境风险评估控制活动信息与沟通监督检查,内部环境,内部环境影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础治理结构组织机构设置与权责分配内部审计人力资源政策企业文化,治理结构,治理结构规范运行企业应当制定股东会、董事会、监事会的议事规则，明确界定决策、执行、监督各层面的地位、职责与任务，形成有效的分工和制衡机制审计委员会设立及其独立性审计委员会职责,内部环境（续）,机构设置与权现分配设置内部机构，明确职责权限编制内部管理手册内部审计内部审计的作用内部审计机构设置与人员配备,人力资源政策,人力资源政策内容员工的聘用、培训、辞退与辞职员工的薪酬、考核、晋升与奖惩关键岗位员工的强制休假制度和定期岗位轮换制度对掌握国家秘密和重要商业秘密的员工离岗的限制性规定企业应将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准企业应切实加强员工培训和继续教育,企业文化,企业文化的概念和内容企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。企业员工应当遵守员工行为守则，认真履行岗位职责企业应当加强法制教育,企业内部控制基本规范（续）,风险评估企业应及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略风险识别风险分析风险应对,风险识别,内部风险董事、监事、经理及其他高级管理人员职业操守、员工专业胜任能力、团队精神等人力资源因素组织结构、经营方式、资产管理、业务流程设计、财务报告编制与信息披露等管理因素研究开发、技术投入、信息技术运用等自主创新因素财务状况、经营成果、现金流量等财务因素营运安全、员工健康、环境污染等安全环保因素,风险识别（续）,外部风险经济形势、产业政策、资源供给、利率调整、汇率变动、融资环境、市场竞争等经济因素法律法规、监管要求等法律因素文化传统、社会信用、教育基础、消费者行为等社会因素技术进步、工艺改进、电子商务等技术因素自然灾害、环境状况等自然环境因素,风险分析,企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性,风险应对,企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略,风险应对（续）,风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略,企业内部控制基本规范（续）,控制活动企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。,控制活动概念及其分类,企业应当结合风险应对策略，采取人工控制与自动控制、预防性控制与发现性控制相结合的控制措施，运用相应的控制措施，将风险控制在可承受度之内。控制措施通常包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业应当建立重大风险预警机制和突发事件应急处理机制。,企业内部控制基本规范（续）,信息与沟通企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。信息的采集机制企业内、外部之间信息沟通机制信息技术在信息与沟通中的作用企业应当建立反舞弊机制企业应当建立举报投诉制度和举报人保护制度,反舞弊机制,反舞弊机制的作用企业防范、发现和处理舞弊行为、优化内部环境的重要制度安排企业反舞弊工作至少应当关注未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等董事、监事、经理及其他高级管理人员滥用职权相关机构或人员串通舞弊,中国4家企业涉嫌腐败行为遭世行封杀,2009年1月14日，世行宣布因涉及世行资助的菲律宾公路项目中的腐败行为，对包括4家中国公司在内的7家公司和1名个人进行制裁。“黑名单”中的中国企业是中国路桥集团(被禁8年)，中国建筑工程总公司、中国武夷实业股份有限公司(被禁6年)，及中国地质工程集团公司(被禁5年)我们公司有不同的销售部门，每一个部门都有独立的贿赂预算（羊城晚报，2009/5/18）某大型制药的工作人员对新华社记者说,为什么关注？,舞弊风险管理,职务舞弊定义利用职务之便，通过有意识地滥用或不正当地利用组织的资源或资产增加个人财富的行为舞弊风险美国企业（组织）估计每年因舞弊而造成的损失占其收入的6%应将舞弊风险管理作为风险管理的中心舞弊将导致企业发生经济损失、被暴光、社会形象受损舞弊都具有主观意图计划周密的舞弊不易被发现舞弊分子专找内部控制薄弱的地方下手,舞弊风险管理（续）,一个四维失败现象的发生,薄弱的控制,未加保护的资源,不诚实的雇员,渎职的管理人员,舞弊风险管理（续）,四维成功模式,企业道德规范和舞弊防范政策,保持警觉和积极主动的员工,将内部控制自我评估制度化,训练有素的管理人员,企业内部控制基本规范（续）,内部监督企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。日常监督专项监督,中国企业风险管理框架,中央企业全面风险管理指引总则风险管理初始信息风险评估风险管理策略风险管理解决方案风险管理组织体系风险管理信息系统风险管理文化,企业内部控制配套指引,组织机构设计和运行中的主要风险治理结构层面内部机构层面“三大一重”（重大决策、重大事项、重要人事任免和大额资金支付业务）必须按规定的权限和程序实行集体决策审批或者联签制度,企业内部控制配套指引（续）,发展战略制定发展战略宏观环境分析（经济、政治与法律、社会和文化、技术）行业环境及竞争对手分析（行业新进入者的威胁、供应商的议价能力、购买商的议价能力、替代产品的威胁、同业竞争者的竞争强度）经营环境分析（市场及竞争地位、消费者消费状况、融资者、劳力力市场状况等）实施发展战略实现发展战略的优化调整与转型,企业内部控制配套指引（续）,人力资源核心工作包括引进、开发、使用和退出四个方面,发布招聘信息,审核报名信息,组织面试,考察,公示,接受报名,决策层确定人选,人力资源部聘任,是,是,是,是,结束,否,否,否,否,高管人员引进的一般流程,技术岗位需求与要求,筛选报名材料,初试,复试,制订招聘计划,确定人选,人力资源部聘任,是,是,是,结束,否,否,否,专业技术人员引进的一般流程,发布招聘信息,企业内部控制配套指引（续）,人力资源引进:公开、平等、竞争、择优开发：职业技能、职业品质、员工潜质，促自我实现使用：“凭贡献、讲业绩、论才干”的考核激励机制退出：激发内在动力，保持企业活力,企业内部控制配套指引（续）,人力资源（使用）评级量表法示例,企业内部控制配套指引（续）,评级量表法示例（续）,企业内部控制配套指引（续）,人力资源退出的一般流程,终止劳动关系,退休,离岗,退出申请,退出审核,退出审批,离任审计、工作交接、手续办理,企业内部控制配套指引（续）,社会责任企业在经营发展过程中应履行的社会职责和义务，主要包括安全生产产品质量（含服务）环境保护资源节约促进就业员工权益保护产学研用相结合支持慈善事业等,企业内部控制配套指引（续）,CSR（续）企业如何履行社会责任负责人高度重视建立和完善履行社会责任的体制和运行机制建立责任危机处理机制建立企业社会责任报告制度,企业内部控制配套指引（续）,企业文化在生产经营实践中逐步形成的、为整体团队认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。兰德公司研究表明世界500强之所以强，固然受多种因素的影响，但关键在于以文化力制胜企业并购重组中的文化整合中大整合与文化思科联想并购IBM，柳传志“文化磨合决定收购成败”（评估收购风险主要有市场流失、员工流失、文化磨合与业务整合）,风险管理文化评估表,企业内部控制配套指引（续）,资金活动要求维护资金的安全与完整防范资金活动风险提高资金效益，促进企业健康发展资金营运内部控制的关键控制点审批、复核、收付、记账、对账、银行账户管理、印章保管控制点等,资金运营内部控制的关键风险控制点、控制目标及控制措施,企业内控规范配套指引,采购业务,企业内部控制配套指引（续）,资产管理,生产企业物流流程图,企业内部控制配套指引（续）,资产管理（续）,固定资产基本业务流程图,企业内部控制配套指引（续）,资产管理（续）无形资产基本业务流程图,企业内控配套指引,销售业务,销售业务,企业内控配套指引（续）,工程项目企业自行或者委托其他单位进行的建造、安装活动。,企业内控配套指引（续）,担保业务流程图,担保业务企业担保业务流程受理申请调查评估审批签订担保合同进行日常监控等,企业内控配套指引（续）,业务外包研发资信调查可行性研究委托加工物业管理客户服务IT服务等,业务外包基本流程图,财务报告企业法律事务部门或外聘律师应当对财务报告对外提供的合法合规性进行审核。,企业内控配套指引（续）,企业内控配套指引（续）,全面预算指企业对一定期间的经营活动、投资活动、财务活动等作出的预算安排。,全面预算管理组织体系基本架构图,全面预算（续）,全面预算基本业务流程图,企业内控配套指引（续）,合同管理贯穿企业经营、投资和筹资活动的始终，对防范风险和降低合同风险、促进长期可持续发展意义重大。,企业内部控制配套指引（续）,内部信息传递内部各管理层之间通过内部报告形式传递生产经营管理信息的过程。总体要求真实准确性及时有效性遵守保密原则,建立内部报告指标,收集整理内外部信息,形成内部报告,审核内部报告,有效利用内部报告,定期全面评估,内部报告在规定的范围内流转,保存内部报告,通过,未通过,内部报告形成阶段,内部报告使用阶段,企业内部控制配套指引（续）,信息系统企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。,战略规划,开发建设,运行维护,系统终结,输入控制,处理控制,输出控制,日常运行维护,变更管理,安全管理,一般控制,应用控制,信息系统内部控制,信息系统内部控制框架,开始,提供测试参考资料（需求分析报告、软件设计说明书、）程序源代码、用户初步使用手册,资料是否规范、是滞满足需求,分配人员,建立环境测试,制定测试进度,评估风险,编写测试大纲,编写测试用例,测试设计评审,评审通过,测试用例执行,错误记录,结果确认,测试报告,软件测试总结,测试工作总结,是否符合需求,是否需要其他类型用例再测试,结束,是,是,是,否,根据具体要求修改,否,否,修改相关文档修改相应软件,修改测试用例,是,否,文档测试,测试计划,测试设计,测试实施,测试总结,信息系统测试环节流程,企业内部控制评价指引,内部控制评价定义董事会或类似权力机构对内部控制的有效性进行全面评价、形成评论结论、出具评价报告的过程原则全面性原则重要性原则客观性原则,内部控制评价指引（续）,评价内容内部控制环境评估以组织构架、发展战略、人力资源、企业文化、社会责任等为依据，结合企业的内控制度，对内部环境的设计及实际运行情况进行认定和评价风险评估机制评价对日常经营管理过程中的风险识别、风险分析、应对策略进行认定和评价控制活动评价对控制措施的设计和运行情况进行认定和评价,内部控制评价指引（续）,评价内容（续）信息与沟通评价依据：内部信息传递、财务报告、信息系统等相关指引对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价内部监督评价对内部控制监督机制的有效性进行认定和评价重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用,内部控制评价指引（续）,内部控制评价的程序制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告,内部控制评价指引（续）,主要方法个别访谈调查问卷专题讨论穿行测试实地查验抽样比较分析等,内部控制评价指引（续）,内部控制缺陷设计缺陷和运行缺陷重大缺陷指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标重要缺陷指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标一般缺陷指除重大缺陷、重要缺陷之外的其他缺陷,内部控制评价指引（续）,内部控制评价报告董事会对内部控制报告真实性的声明内部控制评价工作的总体情况内部控制评价的依据内部控制评价的范围内部评价和程序和方法内部缺陷及其认定情况内部控制缺陷整改情况及重大缺陷拟采取的整改措施内部控制有效性的结论,企业内部控制审计指引,内部控制审计指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计责任建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任按指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任,内部控制审计指引（续）,计划审计工作在计划审计工作时，CPA应当评价下列事项对内部控制、财务报表以及审计工作的影响与企业相关的风险相关法律法规和行业概况企业组织结构、经营特点和资本结构等相关重要事项企业内部控制最近发生变化的程度与企业沟通过的内部控制缺陷重要性、风险等与确定内部控制重大缺陷相关的因素对内部控制有效性的初步判断可获取的、与内部控制有效性相关的证据和的类型和范围,内部控制审计指引（续）,实施审计工作CPA应当按照自上而下的方法实施审计工作CPA测试企业层面的控制，至少应当关注与内部控制环境相关的控制针对董事会、经理层凌驾于控制之上的风险而设计的控制，企业的风险评估过程对内部信息传递和财务报告流程的控制对控制有效性的内部监督和自我评价CPA测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试应关注信息系统对内部控制及风险评估的影响,内部控制审计指引（续）,自上而下方法自上而下方法始于财务报表层面，源自审计师对于财务报告内部控制的总体风险的理解审计师专注于整体层面的控制，并向下延伸到重大账户和披露及其相关认定该方法将审计师的注意力引向可能对财务报表和相关披露造成重大错报的账户、披露和认定,内部控制审计指引（续）,实施审计工作（续）CPA在测试企业层面控制和业务层面控制时，应当评价内部控制是否足以应对舞弊风险CPA在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获得充分、适当的证据尽量在接近企业内部控制自我评价基准日实施测试实施的测试需要涵盖足够长的期间,内部控制审计指引（续）,评价控制缺陷表明内部控制可能丰在重大缺陷的迹象，主要包括CAP发现董事、监督和主级管理人员舞弊企业更正已经公布的财务报表CPA发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报企业审计委员会和内部审计机构对内部控制的监督无效,内部控制审计指引（续）,完成审计工作CPA应当与企业沟通审计过程中识别的所有控制缺陷。对期中的重大缺陷和重要缺陷，应当以书面形式与董事会和经理层沟通CPA认为审计委员会和内部审计机构对内部控制的监督无效的，应当就此以书面形式直接与董事会和经理层沟通书面沟通应当在CPA出具内部控制审计报告之前进行,内部控制审计指引（续）,出具审计报告标准内部控制审计报告应当所以然下列要素标题、收件人、引言段企业对内部控制的责任段CPA的责任段内部控制固有局限性的说明段财务报告内部控制审计意见段非财务报告内部控制重大缺陷描述段CPA的签名和盖章会计师事务所的名称、地址及盖章,内部控制审计指引（续）,出具审计报告（续）CPA认为财务报告内部控制不存在重大缺陷，但有一项或多项重大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加强调事项段予以说明CAP认为财务报告内部控制存在一项或多项重大缺陷的，应当对财务报告内部控制发表否定意见CPA出具否定意见的内部控制审计报告，还应当包括下列内容重大缺陷的定义重大缺陷的性质及其对财务报告内部控制的影响程度,内部控制审计指引（续）,记录审计工作CPA应当在审计工作底稿中记录下列内容内部控制审计及重大修改情况相关风险评估和选择拟测试的内部控制的主要过程及结果测试内部控制设计与运行有效性的程序及结果对识别的控制缺陷的评价形成的审计结论和意见其他重要事项,内部控制审计指引（续）,内部控制审计报告标准内部控制审计报告带强调事项段的无保留意见内部控制审计报告否定意见内部控制审计报告无法表示意见内部控制审计报告,小结,法律法规，使之不敢；内部控制，使之不能；职业道德，使之不愿。,内容提要,原理企业内控与ERM框架法规主要内控法规与指引实务构建与实施,内部控制实务,制度反思（中国人寿）海恩法则：每一起严重的事故的背后，必然有29起轻微的事故和300起未遂先兆，以及1000起事故隐患。,内部控制构建,需求分析企业模型（总体设计）建立健全配套制度培训、形成操作管理细则,战略、组织与控制,核心价值观,要规避的风险,关键绩效变量,战略不确定因素,商业战略,信念系统,边界系统,诊断控制系统,交互式控制系统,项目、组织和流程“三位一体”,项目项目是内部控制制度的基本单位。如人事招聘、成本控制、采购计划、员工绩效评估等。如何确定数量战略目标管理粗细体现COSO报告涵盖会计控制、管理控制、业务控制和法规控制等,项目、组织和流程“三位一体”（续）,组织高、中、基层、现场集权、分权设计时考虑企业的控制目标、环境和控制方式建立使组织得以运行保证的经济责任制度和岗位制度,项目、组织和流程“三位一体”（续）,流程流程是企业经营的一个阶段，由若干作业组成，而若干作业由若干任务构成，如设计、开发、营销等每个项目都是通过组织层级、单位和成员按照一定的流程、作业和任务的要求来完成的,流程优化的模板方法,建立企业内部控制的5流程与16个步骤,一、识别风险1、明确内控目标2、评估风险3、识别风险范围4、确定管理战略,二、制定标准5、确认关键绩效区6、确定绩效控制点7、制定内部控制标准,四、检验结果12、常规与抽样检查13、偏差分析14、异常报告15、内部审计,三、选择方法8、实施方法筛选标准9、明确实施内控方法10、确定数据来源11、规定沟通与责任,五、调整改进,是,否,定位,实务内部控制与ERM制度设计内部控制建设与实施要点ERM实务基于财务报表可靠性的内控设计内部控制评估,内部控制系统设计要点,公司层面企业文化、人力资源、组织架构、信息系统、社会责任、发展战略和内部信息传递等业务层面全面预算、合同管理、采购业务、销售业务、研究与开发、资金活动、资产管理（包括存货、固定资产、无形资产）、工程项目、业务外包、财务报告等业务,内部控制系统设计要点（续）,企业文化建设重点在于防范一系列的潜移默化的风险，包括缺乏积极向上的价值观、诚实守信的经营理念，忽视企业并购重组中的文化差异和理念冲突企业文化建设应强调应重视企业文化的培育，根据发展战略和自身特点，确定文化建设的目标和内容企业主要负责人在文化建设中应发挥主导作用，并加强对员工的文化教育和熏陶，全面提升员工的文化修养和内在素质企业文化建设应当融入生产经营过程，确实做到文化建设与发展战略有机结合建立文化评估制度，关注企业核心价值的员工认同感、企业品牌的社会认可度,内部控制系统设计要点（续）,公司具体业务内控体系与企业运营的有机结合是企业必须面对的一个问题。只有从企业的经营目标出发，将内部控制措施有机嵌入企业的日常经营业务之中，才是内部控制的本质所在。与财务报告和披露相关的内部控制是企业内控体系建设和重要内容与财务报告相关的内部控制的有效性是企业财务报告可靠性的基础,中石化内控流程（原油采购）,经营风险,财务风险,合规风险,经营目标,财务目标,合规目标,业务目标,业务风险,中石化内控具体流程（续）,业务流程步骤与控制点主要以文字详细说明控制要求,业务目标,主要控制点相关资料,相关制度目录,业务风险,业务流程步骤与控制点,业务流程图表,中国企业的特点与内控构建的挑战,缺乏对风险意识和企业文化的重视企业治理结构有待完善“人治”代替“法治”的观念根深蒂固内部控制体系与企业运营难以有效结合内部控制的执行难以保