企业战略与风险管理课件_课件

1、第八章 内部控制第一节 内部控制的定义和发展 8.1.1 内部控制的定义了解 8.1.2 内部控制的演变和发展了解第二节 企业内部控制内容的五个要素熟悉 8.2.1 内部环境熟悉 8.2.2 风险评估了解 8.2.3 控制活动 8.2.4 信息与沟通熟悉 8.2.5 内部监督熟悉第三节 企业内部控制的应用熟悉 8.3.1 资金活动熟悉 8.3.2 采购业务熟悉 8.3.3 资产管理 8.3.4 销售业务了解 8.3.5 研究与开发了解 8.3.6 工程项目 8.3.7 担保业务熟悉 8.3.8 业务外包熟悉本章知识结构 8.3.9 财务报告 8.3.10 全面预算及合同管理了解第四节 企业内部

2、控制评价的程序了解 8.4.1 内部控制评价的程序熟悉 8.4.2 内部控制缺陷的认定熟悉 8.4.3 内部控制评价报告了解第五节企业内部控制的审计 8.5.1 内部控制的审计要求熟悉 8.5.2 注册会计师的责任与角色熟悉第六节 审计委员会在企业中的监察角色熟悉 8.6.1 审计委员会与内部控制熟悉 8.6.2 审计委员会履行职责的方式熟悉 8.6.3 审计委员会与合规 8.6.4 审计委员会与内部审计了解 8.6.5 审计委员会与外聘审计师了解 8.6.6 向股东报告内部控制第七节 内部控制与公司治理熟悉 8.7.1 企业中的代理问题熟悉 8.7.2 公司治理制度的概念 8.7.3 公司治

3、理的基本原则一、内部控制的定义和发展（一）内部控制的定义 内部控制是指为确保实现企业目标而实施的程序和政策。 内部控制应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。 就风险管理而言，内部控制系统涉及企业财务、运营、遵守法律法规及其它方面。内部控制系统包括两个因素，分别是控制环境和控制政策与程序。控制环境：企业内对于内部控制的态度及内部控制意识，代表整个企业对于内部控制的价值观。控制政策及程序：嵌入企业运营中的具体的内部控制。其设计目的在于，尽可能确保业务行为是有序且有效的。(二)、内部控制的演变和发展1.内部控制在20世纪80年代的控制理论 美国注册会计师协会于1998年5月发布的企

4、业准则公告第55号中，用“内部控制结构”的概念取代了“内部控制制度”。公告认为内部控制结构由下列三个因素组成：（1）控制环境。（2）会计制度。（3）控制程序。2.内部控制在成熟阶段的控制理论 COSO委员会于1992年9月发布了内部控制整合框架，1994年进行增补，简称内部控制框架，即COSO内部控制框架，这份报告堪称内部控制发展史上的里程碑。 COSO内部控制框架将内部控制分为五个相互关联的组成部分：控制环境、风险评估、控制活动、信息与沟通、监察等。（1）.控制环境：内部审计师协会（The Institute of Internal Auditors, IIA）对控制环境的定义是：“董事会与

5、管理层对待公司内部控制的重要性的态度及采取的行为”。（2）.风险评估：识别和分析影响目标实现的风险（包括与监管和运营环境不断变化有关的风险），以此来确定如何降低和管理此类风险的依据。（3）.控制活动：确保管理层的决策与指示得以执行的政策和程序。企业内部各层面均存在控制活动，包括组织控制、职责划分、调节和复核、实物控制、授权和批准、计算和会计、人员控制、监督及管理控制。（4）.信息与沟通：在人员能够履行责任的方式及时间范围内，识别、取得和报告经营、财务与法律遵守的相关信息的有效程序和系统。（5）.监察：持续评估内部控制系统的充分性及表现情况的程序。COSO的上述定义对内部控制的基本概念提供了一些

6、深入的见解，特别是：（1）内部控制是一个实现目标的程序及方法，而其本身并非目标；（2）内部控制只提供合理保证，而非绝对保证。（3）内部控制要由企业中各级人员实施与配合。 控制环境 风险评估 控制活动 信息与沟通 监察合规运营财务报告职 能 部 门图8-1 COSO内部控制框架COSO利用一个三维模型（见图8-1）来描述一个机构内的内部控制系统。该模型在水平方向上分为五层，垂直方向有三个组成部分和跨越第三维的多个椎体。这种模型的结构是532，它们彼此之间是相互连接的。3.中国内部控制的发展状况及对企业带来的影响（1）.中国内部控制的发展企业内部控制基本规范 （简称内控规范）内控规范要求企业建立内

7、部控制体系时应符合以下目标:a.合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整；b.提高经营效率和效果；c.促进企业实现发展战略。内部规范借鉴了美国COSO报告为代表的国际内部控制框架，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列五个要素： a.内部环境；b.风险评估；c.控制活动； d.信息与沟通；e.内部监督。 企业内部控制配套指引 包括企业内部控制应用指引、企业内部控制评价指引、企业内部控制审计指引。 标志着“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、层次分明、衔接有序、方法科学、体系完备”的企业内部控制规范体系建设目标基本建成

8、。 (2).内控规范对企业的影响 内控规范的发布是中国在公司治理方面的一个重要里程碑，体现了中国经济与全球经济的进一步接轨和整合。随着中国资本市场的发展壮大，与之配套的公司治理和监督机制的需求日益增加；而随着中国企业的做大做强，企业对于内部外部的风险需要更系统有力的控制。内控规范为中国企业建立内部控制体系提供了一个标准的框架，在理念、实施和制度层面为企业提供了基础。而在另一方面，内部控制作为一个相对较新的课题，这为首次系统地建立与实施内部控制的企业提供了新的挑战。二、企业内部控制内容的五个要素我国内控规范指出，企业建立与实施有效的内部控制，应当包括下列五个要素:（1）内部环境；（2）风险评估；

9、（3）控制活动；（4）信息与沟通；（5）内部监督。（一）内部环境1.组织结构 组织结构能够为规划、执行、控制和监督活动提供框架，以实现企业整体目标。企业在设计组织架构时应遵守四大原则：（1）组织结构应根据国家有关法律法规和企业章程，建立规范的公司治理结构，明确董事会、监理会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行及监督等方面的职责权限互相分离，形成制衡。（2）企业应当按照科学、精简、高效、透明制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限。（3）企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行

10、全面梳理，确保企业治理结构、内部职能机构设置和运行机制等符合现在企业制度要求。（4）企业拥有子公司的，应当建立科学的投资管控制度。2.权利和责任的分配 组织结构对总体工作投入的分配与整合作出详细说明。 权力的分配本质上是指按照工作描述确定责任，根据组织结构图形成责任。缺乏对机构和岗位设置的分析，可能存在部门资源与人员配置不合理的情况。3.管理哲学和经营风格与战略的发展（1）要求企业在董事会下设立战略委员会，或制定相关机构负责发展战略管理工作，履行相应职责。（2）进行充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。（3）战略规划应根据企业的发展目标制定，明确发展的阶段性和发展程度，

11、确定每个发展阶段的具体目标、工作任务和实施路径。（4）在宏观环境的情况发生重大变化时，企业应按照规定权限和程序调整发展战略。（5）要求董事会严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性。4.人力资源政策和实务（1）招聘和雇佣（2）新雇员的试用期和岗前培训制（3）建立雇员员工培训长效机制、提升员工素质（4）绩效评估 （5）辞职、解除劳动合同、退休等5.企业文化与沟通（1）积极培育具有自身特色的企业文化（2）重视并购重组后的企业文化建设（3）要求高级管理人员在企业文化建设中发挥主导和垂范作用（4）加强企业文化的宣传贯彻，有效沟通，共同遵守，融入生产经营全过程6.社会责任（

12、1）安全生产：建章建制，即用于监督管理控制加大在人力、物力、资金、技术等方面的投入加强安全教育实施预警报告及在重大生产安全事故时立刻启动应急机制；（2）产品质量；（3）环境保护与资源节约；（4）促进就业，依法保护员工的合法权益；（5）重视产学研用结合、公益事业、慈善事业等。（二）风险评估企业内部风险包括：（1）人力资源因素，（2）管理因素，（3）自主创新因素，（4）财务因素，（5）安全环保因素。内部控制架构中，风险评估程序：（1）采用定性与定量相结合的方法，评估风险发生的可能性或频率，以及其为企业带来的影响程度；（2）对识别的风险进行分析和排序。（三）控制活动 控制活动包括多种政策和程序，有助

13、于确保管理层的有关指示得以执行，处理风险以实现企业目标所需要的行动得以实施。 控制活动可分为运营、财务报告及合规三个类别，但它们之间有时可能会出现重叠。常见的控制活动包括：（1）不相容职务分离控制 要求企业全面系统性分析、梳理业务流程中的不相容职务，防止具有欺骗性的活动发生或未被查出。（2）授权审批控制 企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。（3）会计系统控制 企业严格执行我国统一的会计准则制度、明确会计凭证、会计账簿和财务会计报告的处理程序。（4）调节和复核 调节，是指雇员将不同数据连接在一起，识别并找出差异，并且在必要时采取纠正措施； 业

14、绩复核，是指管理层将当前的业绩与预算、以前期间或其它基准相比较，以此反映目标的完成情况。应对其中的差异进行调查，以确定哪些纠正行动是必要的。 （5）财产保护控制 保护实物资产不被偷盗或未经许可而获得即被使用的措施和程序，包括建立财产日常管理制度和定期清查制度。（6）预算控制 明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。（7）营运分析控制 企业应建立营运分析制度，管理层可综合运用生产、投资、筹资、财务等方面信息，通过不同种类方法，对营运情况进行分析，发现存在问题，及时查明及更进。（8）绩效考评控制 对企业内部各责任单位和全体员工的绩效进行定期考核和客

15、观评价，将考评结果作为确定员工薪酬以及晋升、评优等依据。（四）信息与沟通 信息与沟通是指在人员能够履行责任的方式及时间范围内，识别、取得和报告经营、财务及法律遵守的相关资讯的有效程序和系统。信息和沟通不仅包括最高层将与控制有关的事宜的重要性及个人担当的角色向下级传达，也包括向上级汇报重要信息的渠道以及与外部利用相关者保持有效沟通。（1）信息 信息系统提供运营、财务与合规的相关信息（包括内部产生及外部提供的信息），这些信息有助于运作和控制业务，也是做出精明的决策以及对外报告所必需的。（2）沟通 有效的信息与沟通系统应具备以下特点：能够生成企业经营所需要的、关于财务、运营及法规遵守的报告，帮助做出

16、精明的商业决策、以及对外发布可靠的报告。 信息与沟通系统能使得雇员获得信息，且交流他们为实施、管理及控制运转情况所需的信息；能识别和传达相关信息，并且是以一种人员能够有效执行他们的责任的方式进行；使沟通在企业以全方位方式进行。此外，是信息与沟通系统确立了与外界各方的有效沟通方式。（五）内部监督1.监督工作 内部监督可确保内部控制保持有效的运作，由适当的人员评估控制的设计及运作情况，以及采取适当的跟进行动。内部监督分为日常监督和专项监督。日常监督：职业对建立与实施内部控制情况进行常规、持续监督检查；专项监督：在企业发展战略、组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化的情况下，对内

17、部控制的某一方面或某些方面进行针对性的监督检查。（1）监督方法绩效计量。对企业运营进行测试。为控制环境、风险评估、控制活动、信息及沟通，以及控制而制定的政策及程序，常常由硬性控制构成，而硬性控制是容易识别、评估及记录的。（2）记录 内部控制系统的文件记录，可能因企业的规模及复杂性等而有所不同。适量的文件记录能令评价变得更为有效，还有助于雇员了解系统如何运作以及他们所担当的角色，并使得在需要时修改系统变得更简单。（3）报告 所有可能影响企业实现目标的内部控制缺陷，均应向能采取必要行动的人员汇报。 向适当人士提供有关内部控制的信息，对保持系统的有效性尤为重要。企业可订立规则，确定某一级别的人员做决

18、策时所需的资料。2.自我评价 要使得内部控制系统有效，该系统必须能降低管理层已识别的业务风险。内部控制系统对于管理重大风险以实现业务目标发挥关键作用。 内部控制是否合适，因企业不同而有所差异。内部控制系统是企业不可或缺的一部分，并且是内部控制系统的重要因素。三、企业内部控制的应用（一）资金活动1.筹资活动 企业应按国家法律法规、宏观经济的分析以及企业的发展战略，确立资金活动范围，并在流程中的各个关键控制点建立控制目标和控制措施。（1）提出筹资方案阶段进行筹资方案的战略性评估进行筹资方案的经济性评估进行筹资方案的风险性评估（2）筹资方案审批阶段根据分级授权审批制度，按照规定程序严格审批经过可行性

19、论证的筹资方案审批中应实行集体审议或联签制度（3）制定筹资计划阶段根据筹资方案，结合当时经济金融形势，分析不同筹资方式的资金成本，正确选择筹资方式根据授权审批制度报有关部门批准（4）实施筹资阶段签订筹资协议实施严密的筹资程序控制和岗位分离控制按照筹资合同或协议，正确计提、支付利息或股利建立合乎适用会计准则的筹资业务会计记录（5）筹资活动评价与责任追究阶段促成各部门严格按照确定的用途使用资金进行监督检查及评价等筹资活动过程，追究违规人员责任（1）提出投资方案阶段进行投资方案的战略性评估进行投资方案的经济性及风险评估（2）投资方案审批阶段根据分级授权审批制度，按照规定程序严格审批经过可行性论证的投

20、资方案审批中应实行集体审议或联签制度与被投资方签订投资合同，明确出资时间、金额、方式及双方权利义务以及违约责任等条款，并根据授权审批制度报有关部门审批2投资活动（3）实施投资方案及监督阶段适度适时投放资金，严格控制资金流量和时间按照职务分离制度和授权审批制度，正确履行审批监督责任做好严密的会议记录及相关控制进行分析和评价并将结果反馈给决策层（4）投资资产收回或处置控制阶段跟踪投资到期本金回收转让投资应当由 相关机构或人员合理确定转让价格，报授权批准部门批准对于到期无法收回的投资，建立责任追究制度3.运营活动风险控制点控制目标控制措施审批合法性未经授权审批不得经办资金收付业务；明确不同级别管理人

21、员的权限复核真实性与合法性 会计对相关凭证进行横向复核和纵向复核收支点收入入账完整，支出手续完备出纳根据审核后的相关收款原始凭证收款或付款，并加盖印章确认记账真实性出纳人员根据资金收付凭证登记日记账，会计人员根据相关凭证登记有关明细分类；主管会计登记总分类账对账真实性和财产安全账证核对、账表核对与账实核对保管财产安全与完整授权专人保管资金；定期、不定期盘点银行账户管理防范小金库，加强业务管控开设、使用与撤销的授权票据与印章管理财产安全票据统一印制或购买；票据由专人保管；印章与空白票据分管；财务专用章与企业法人章分管1.购买（1）编制采购计划（2）请购（3）供应商选择、管理与合同（4）验收2.付

22、款（1）严格审查采购发票的真实性、合法性和有效性（2）合理选择付款方式（3）强化会计系统控制（二）采购业务1.存货（1）取得存货（2）验收入库（3）仓储保管及领用发出（4）盘点清查及销售处置2.固定资产3.无形资产（三）资产管理涉及相关风险：（1）销售政策和策略不当，市场预测不准确，销售渠道管理不当（2）客户信用管理不到位，结算方式选择不当，账款回收不利（3）销售过程存在舞弊行为1.销售（1）计划管理（2）客户开发与信用管理（3）销售定价、订立销售合同（4）发货2.收款（四）销售业务（五）研究与开发1.建立完善的立项申请程序2.研究项目可行性3.研究过程管理4.签订合同或协议5.研究成果验收6

23、.明确核心人员名单，签订保密协议7.建立研究开发活动评估机制1.工程立项阶段2.工程招标阶段3.工程造价阶段4.工程建设阶段5.工程验收阶段（六）工程项目（七）担保业务1.受理申请2.调查评估3.审批4.签订担保合同5.监控（八）业务外包 企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织完成的经营行为。（九）财务报告1.财务报告的编制2.财务报告的对外提供3.财务报告的分析利用1.全面预算全面预算是企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。关键风险包括：（1）不编制预算或预算不健全而导致企业缺乏约束，盲目经营（2）预算不合理，编制不科

24、学（3）预算缺乏刚性，执行不力、考核不严、流于形式。对策包括：（1）设立预算管理委员会履行全面预算管理职责（2）明确全面预算管理机构（十）全面预算及合同管理（1）合同订立阶段合同调查合同谈判合同文本拟定和审核合同签署（2）合同履行阶段合同执行、补充、变更与解除合同结算合同登记2.合同管理四、企业内部控制评价的程序 （一）内部控制评价的程序 1.制定评价控制方案 企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。 内部控制评价部门或机构应根据内部监督情况和要求，制定评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权审批后实施。2.组成评价

25、工作组评价工作组成员应具备独立性、业务胜任能力和职业道德素养及当吸收企业内部相关机构熟悉情况，参与日常监控的负责人或业务骨干参加。3.实施评价与测试（1）了解公司层面基本情况（2）了解各业务层面的主要流程及风险（3）确定检查评价范围和重点（4）开展现场检查测试4.汇总评价结果（二）内部控制缺陷的认定1.内部控制缺陷分类（1）按照内部缺陷本质分类设计缺陷：企业缺少为实现控制目标的必须控制，或现存的控制并不合理及未能满足控制目标。运行缺陷：设计合理及有效的内部控制，但在运作上没有被正确的执行。（2）按照内部控制严重程度分类重大缺陷：一个或多个控制缺陷的组合，可能严重影响内部整体控制的有效性，进而导

26、致企业无法及时防范或发现严重偏离整体控制目标的情形。重要缺陷：一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大，需引起管理层关注。一般缺陷：除重大缺陷和重要缺陷外的其他缺陷。2.内部控制认定程序与整改审查了解控制差异的起因和结果。控制目标是否达到？扩大测试范围，重新评估，测试目的是否达到？是否可以增加其他测试程序证明已发现的差异不能代表所有内控的情况该差异不是控制缺陷，不必再考虑设计缺陷/执行缺陷是 否否是 是 否图8-5 内部控制的认定（三）内部控制评价报告 企业应根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制

27、缺陷汇总表等资料，及时编制内部控制评价报告。内部评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。 企业应该以12月31日作为 年度内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告。五五 、 企业内部控制的审计企业内部控制的审计 （一）内部控制的审计要求 内部控制作为企业中的一项重要的管理活动，促进提高经营的效率效果，实现企业的发展战略。一些国家，如美国、日本、欧盟等对内部控制审计已提出要求。在美国及日本等地更实施强制性规定对企业财务报告内部控制进行审计。同样的，我国在2010年4月发布的内控规范中除了要求企业为其内部控制的设计与运行情况进行全面的评价、披露年

28、度自我评价报告外，还要求上市公司及非上市大中型企业聘请符合资格的会计师事务所，根据规范及配套办法和相关执业准则，对企业财务报告内部控制的有效性进行审计并出具审计报告。 企业应做好准备工作，加强内部控制管理，安排时间与资源执行有关的规定。假若内部资源未能配合进行内部控制的设计、实施或评估的工作，如企业缺乏有关经验及素质、或对内控缺乏基础知识，则可以聘请专业人员或会计师事务所提供有关咨询服务。应注意的是内控规范中表明为企业内控提供评价服务的会计师事务所，不得同时为同一企业提供内部控制的审计服务。因此，管理层应在决策上注意有关规定及作出适当的安排。（二）注册会计师的责任与角色 内部控制审计是指会计师

29、事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。 企业 内部控制审计指引中重申建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。注册会计师的责任是在实施审计工作的基础上，获取充分、适当的证据，对内控的有效性发表意见并提供合理的保证。 会计师应按照指引以及其他有关的审计准则要求，计划和实施审计工作，评价控制缺陷，从而整合其对内控有效性的意见。并对其有效性发表审计意见，如果审计过程中注意到的非财务报告内控的重大缺陷，将会在其内控审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。六、审计委员会在企业中的监察角色六、审计委员会在企业中的监察角色（一）审计委员

30、会与内部控制 内控规范要求企业在董事会下设立审计委员会，来负责审查企业内部控制，监督内控的有效实施和自我评价情况，协调内部控制及其他的相关事宜等。 审计委员会的组成应全部由独立、非行政董事组成，他们至少拥有相关的财务经验。审计委员会的职能是监督、评估和复核企业内的其他部门和系统。 董事会关于内部控制的主要目标会授权给审计委员会负责。在一般情况下，审计委员会负责整个风险的管理过程，包括确保内部控制系统是充分且有效的。 就内部控制而言，审计委员会应复核企业的内部财务控制以及企业的所有内部控制和风险管理系统，除非这项任务被另外的独立风险委员会或董事会承担。审计委员会还应批准年报中有关内部控制和风险管

31、理的陈述。审计委员会亦会受到管理层关于企业内运作的内部控制系统的有效性的报告，以及关于内部或外聘审计师对控制所执行测试的结论的报告。 同时，由于审计师与审计委员会之间存在有组织的沟通，因此企业的管理层更愿意将问题及时汇报给审计委员会和董事会，以避免其感觉“意外”，这样也增强了信息在审计委员会和董事会中的流通。（二）审计委员会履行职责的方式 董事会应决定委派给审计委员会的责任。审计委员会应满足其职责的要求。建议审计委员会每年至少举行三次会议，并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次，讨论与审计相关的事宜，但无需管理层出席。审计委员会主席可能特别希望与其他关键人员

32、（比如董事会主席、首席执行官、财务总监、高级审计合伙人和内部审计主管）进行私下会面。审计委员会成员之间的不同意见如无法内部调解，应提请董事会解决。 （三）审计委员会与合规 审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保公司履行了对外报告义务。审计委员会应结合企业财务报表的编制情况，对重大的财务报告事项和判断进行复核。管理层的责任是编制财务报表，审计师的责任是编制审计计划和执行审计。 审计委员会应倾听审计师关于这些问题的看法。如果对拟采用的财务报告的任何方面不满意，审计委员会应告知董事会。审计委员会还应对财务报表后所附的与财务有关的信息（比如，运营和财务复核信息及

33、公司治理部分关于审计和风险管理的陈述）进行复核。 确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作，监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性，核查内部审计的有效性，并批准对内部审计主管的任命和解聘。还应确保内部审计部门能直接与董事会主席接触，并负有向审计委员会说明的责任，确保内部审计部门提出的建议已执行。 它将在四个主要方面对内部审计进行复核，即组织中的地位、职能范围、技术才能和专业应尽义务。（四） 审计委员会与内部审计 企业应根据现行职业准则执行内部审计活动。内部审计职能部门的组成，取决于企业的规模、复杂性、经营活动范围和风险概况，以及董事会

34、为审计部门分配的责任。就大型企业来说，首席审计师常常是在审计员工的帮助下履行其责任的管理者。内部审计职能还可由企业内部或外部服务提供商执行。在许多小企业中，被指定担任兼职审计师的高级职员或普通雇员可能承担着运营方面的责任。 内部审计师必须对他们所审计的活动保持独立性，这样他们才能够自由且客观地执行他们的工作。他们必须提供公正而无偏见的判断。内部审计师或内部审计的管理者或董事应直接且定期向董事会报告。1、内部审计活动 董事会负责将必要的权利委托他人，以使内部审计师能够有效地开展他们的工作。审计师必须拥有针对企业内的所有大业务部门、部门及职能主动行动的权力，与企业的任何人员直接进行沟通的权力，以及

35、使用审计工作所需的所有记录、文档或数据的权力。 内部审计师应该具备必要的知识、技巧以及训练，以熟练、专业地实施审计工作。内部审计师的角色不断改变，这需要他们培养分析、技术、决策及沟通技巧。审计人员至少应当具有适当的教育背景或经验，以及与所承担的责任相匹配的组织技巧和技术。 内部审计师应该善于口头沟通及书面通信，能够理解会计及审计准则、原则及技术，认识及评估与完善的商业实务的偏离之重要性和重大程度。此外，他们能确认现有或潜在的问题，并在适当的情况下，对程序进行补充。 很重要的一点是，内部审计人员（包括审计经理或总监）要参与继续教育和培训。大学、团体或审计行业组织提供的课程和研讨会，为保持审计技巧

36、和熟练度提供了许多的机会。2、内部审计师在企业中的地位 内部审计师的主要作用是，独立且客观地复核及评价企业的活动，以维持或改善企业风险管理、内部控制及公司治理的效益与效率。内部审计师必须了解企业的策略方向、目标、产品、服务和程序。审计师应将相关结果向董事会或其下属的审计委员会以及高级管理层报告。 内部审计师必须保持客观和独立。这意味着内部审计可向高级管理层或审计委员会报告，内部审计师不必担心因提交不利的报告而受到指责。对内部审计的任何约束，比如他们无法看到控制系统的各方面，都是对他们工作的限制，这可能暗示管理层试图掩盖矛盾。最后，内部审计师应被允许直接与外聘审计师沟通。对此所作的任何限制，也可

37、能印证了管理层试图隐瞒某些情况。 内部审计的目的有若干个，包括评价会计、运营及行政控制的可靠性、充分性及有效性；确保银行的内部控制能使交易得以迅速及正确地记录，正确地保护资产；确定公司是否遵循了法律法规及其自己的政策；管理层是否采取了适当的步骤，来应对控制的不足。 越来越多的内部审计师为企业增加新产品或服务提供建设性的商业建议。他们还帮助企业制定及修订新的政策、程序、做法。另一方面，内部审计师常常在兼并、收购和转型活动中发挥作用。3、内部审计师的职能范围 内部审计完成后，最后一项内容即编制审计报告。虽然审计报告没有规定格式，但是，应包含若干不同的部分。报告长度与业务性质有很大关系。通常审计报告

38、包括工作目标、审计师已实施的程序概述、审计意见及建议。 审计工作的目标为报告使用者说明了复核的目的。审计师已实施的程序概述，说明了审计师如何收集和整理能够支持其所发表的意见及所提出的建议的证据。审计意见对接受复核的内部控制的有效性进行总结。最后，审计师的建议突出说明了控制上的不足之处，并提出改进措施的建议。4 内部审计报告 内部审计报告应使董事会及管理层了解主要业务部门、普通业务部门的活动是否遵守了政策和程序，经营程序和内部控制是否有效，以及公司是否已经或必须采取哪些纠正措施。内部审计人员必须向适当的各方报告审计结果并提出审计建议，并尽可能在相关工作完成后发布报告。审计工作底稿应充分记录和支持

39、审计报告。 应对内部审计报告的结构进行设计，以满足企业内部审计职能及被审计领域的需要。审计报告通常包括以下信息，即主要经营成果的简明汇总及结论、审计范畴和目标、审计结果（包括任何汇总表的评级）以及建议（包括将取得的收益以及管理层做出纠正重大缺陷的承诺）。 完成审计后，内部审计师通常会与部门经理会面，审核内部审计报告草稿，更正任何不精确的信息，并就管理层的承诺和行动达成一致。然后，将内部审计报告终稿提交给有责任且有权力按照建议执行任何纠正举措的管理人员。之后，应进一步跟进，使内部审计师能够确定如何部署任何商定的举措，并将未来审计活动重点放在新的领域上。审计师应及时跟进，并将结果向董事会及其下属的

40、审计委员会报告。跟进活动一般首先获得及审核管理层的反应，然后确认纠正措施是及时且有效的。 审计委员会应承担就任命、重新任命或解聘外聘审计师向董事会提出建议的主要责任，应监督新审计师的选择过程，批准外聘审计师的业务条款及审计服务的报酬。审计委员会复核审计师的审计工作范畴，并确信该审计范畴是充分的，并确保于每次年审开始之时已为审计制订了适当的计划。审计委员会执行审计工作完成后的复核。 审计委员会订立了年度程序，以确保外聘审计师的独立性和客观性。审计委员会确信本企业未雇佣审计小组成员的家庭成员，审计师及其员工与本企业无财务、雇佣、投资或业务关系。另外，审计委员会还从审计师获取信息，以维持独立性及对相

41、关专业规定的遵守情况进行监察，包括关于轮换审计合伙人。（五）、审计委员会与外聘审计师 审计委员会与董事会达成一致，对企业关于雇佣外聘会计师事务所原雇员的政策进行监察。审计委员会应监察有多少外聘会计师事务所原雇员现在在本企业担任高级职务。如果这是恰当的，应结合情况考虑这是否损害了审计师在本次审计中应保持的独立性。 审计委员会还应为企业制定关于由外聘审计师提供非审计服务的政策，并向董事会提出相关建议。提供非审计服务时，不得损害审计师的独立性和客观性。 审计委员会应制定一项政策，明确外聘审计师不得提供的服务类型，并且说明外聘审计师能够提供的无需请示审计委员会的服务。 （六）、向股东报告内部控制 企业

42、董事会应维持完善的内部控制系统，以保护股东投资及公司财产，应将企业业绩及内部控制情况告知股东。 股东是企业的所有者，因此，他们有权知悉内部控制系统是否充分，是否足以保障他们的投资。董事会如要为股东提供其所需的保证，则应对集团内部控制系统的有效性展开复核，并至少每年向股东汇报一次。 为了向股东汇报而执行的复核应涉及所有重大控制，包括财务、运营和合规控制以及风险管理系统。此外，年报亦应为股东提供有关审计委员会的工作的信息。审计委员会主席应出席年度股东大会，并回答股东提出的关于审计委员会工作的问题。 企业管理层必须就企业实施的内部控制进行汇报。董事会无法亲自实施所有的复核工作，因此，需授权给审计委员

43、会和内部审计部门。总之，审计和报告工作包括已识别和记录的控制，已核查的文件记录、重大不足，已经测试的控制及书面说明。（一）企业中的代理问题 对于一些家族控制的公司来说，随着业务的日益扩张，它们可能缺乏有效管理公司所需要的各种技能，以使家族回报未能实现最大化。因此，这些公司可能需要家族以外的管理专家代为管理。同样的，一些中小型企业随着公司发展，它们可能需要寻求外部资本而放弃一部分的所有权。这情形可能意味着企业的控制权将从企业家转移到职业管理者手中，公司的所有权也可能分散到成千上万。以上的变化促使管理者作为企业中决策制定专家，是企业所有者的代理。企业的所有者希望管理者运用决策技能运作公司，使公司股

44、东的回报最大化。七、内部控制与公司治理七、内部控制与公司治理 管理者接受委托作为决策专家，为了获得报酬而为企业的所有者承担制定决策的责任时，代理关系就会形成。这种代理关系可以直接影响企业战略的实施。当管理者制定决策所追求的目标与委托人的目标相冲突时，代理问题就会出现。因此，避免管理利益在企业中占主导地位，实施有效的治理机制及良好治理将使企业的战略更好地反映股东的利益。 公司治理是用来管理利益相关者之间的关系，决定并控制企业战略方向和业绩的一套机制。公司治理的核心是寻求各种方法确保有效地制定战略决策，管理潜在利益冲突的各方之间秩序的一种方式。同时，它在合法、合理、可持续性的基础上实现股东价值最大

45、化，同时确保公平对待每一个利益相关者，即企业的客户、员工、投资者、供应方合作伙伴、土地管理部门和社区等。（二）：公司治理制度的概念 长期生存是企业的成功的重要指标，而良好的治理为企业长期生存和成长提供了必要的环境。企业的成长需要投资。良好的企业治理提高了公众对企业的信心，降低了投资的资本成本。全球资本已经没有国界的限制，可以自由的流动。所有国家包括发达国家和发展中国家之间存在着激烈的竞争，以吸引全球的企业家来创造高质量、高收入的就业机会。这些国家需要大量的资本流入。他们认识到，一个有效的治理模式能够更好地吸引投资。 公司治理是一个多面向的主题。公司治理中有一个非常重要的部分是面对责任、受托责任

46、、对股东和其他人资料披露，审计及控制机制。有效的公司治理原则主要包括： 1、建立完善的组织结构 2、明确董事会的角色和责任 3、提倡正直及道德行为 4、维护财务报告的诚信及外部审计的独立性 5、及时披露信息和提高透明度 6、鼓励建立内部审计部门 7、尊重股东的权利 8、确认利益相关者的合法权益 9、鼓励提升业绩 10、公平的薪酬与责任（三）公司治理的基本原则1、建立完善的组织结构 确认并公布董事会和管理层各自的作用和责任是奠定企业中管理和监督的坚实基础的方法之一。换句话说，公司组织的设计应使董事会能够为企业提供战略指导，并对管理层进行有效的监督，明确董事会成员和高级管理层各自的作用和责任，以促

47、进董事会和管理层对于公司及其股东承担责任，并确保权力的平衡，避免个人权利不受约束。为了奠定管理和监督的坚实基础，应该规范和披露董事会和管理层的职能。（1）董事会和管理层的作用 董事会应该以书面形式明确董事会与管理层之间的权责分工，即董事会保留的职能和其授权管理层代其执行的职能。 董事会保留和授权管理层的事项的性质必然取决于企业的规模、复杂程度和所有权结构，以至其传统和企业文化。 披露职责分工有助于那些受公司决策影响的人更好地了解特定公司董事会和管理层各自的责任和贡献。 董事会通常负责监督公司，包括企业控制和问责机制，任免首席执行官（或相应职位），批准任免财务总监（或相应职位），最终批准管理层关

48、于企业发展战略和业绩目标，审查和批准风险管理系统以及内部循环和控制，行为守则和法律的遵守情况，监测高管的业绩和战略的执行情况，并确保他们得到适当的资源，审批和监督主要资本支出，资本管理，并购及资产剥离的过程，审批和监督财务和其他报告。（2）董事及高级管理人员个人责任的分配 董事及高级管理人员清楚地理解企业对他们的期望是适当的。为此，正式的董事任命书列明了非常有用的关键条款和情况。同样，首席执行官和财务总监也 应该有一个正式的职责说明和任命函，以说明他们的任期，职责，权利和责任，并有权终止其职务。2、明确董事会的角色与责任 设计一个有效率、规模适当和信守承诺的董事会可以充分履行其职责和义务。一个

49、有效的董事会有利于履行法律赋予董事的职责，并增加企业价值。这就要求按照上述的方式来设计董事会，使它能够正确理解和胜任解决企业中现有和新出现的问题，可以有效地审查和挑战管理层的业绩和行使独立的判断。董事是由股东选出的，但是董事会及其代表在挑选候选人时发挥着重要的作用。（1）引入独立董事 近几年公司治理实践方面最重要的部分之一就是董事会的独立问题。独立性之所以关键，是因为它可以确保董事会在为利益相关者的最佳利益行动时保持足够的客观性。此外，独立性在确保董事会能够行使其监督或管理的首要责任方面起着关键的作用。 董事会中大部分成员应当是独立董事。独立董事是独立于管理层，不具有任何可能会大大干扰或可以合

50、理地认为有重大干扰的关系，从而能够不受约束地进行独立判断。董事会应根据董事们披露的利益定期评估每个董事的独立性，以及将每个独立董事所申报的相关信息在企业年度报告的公司治理部分中做出披露。独立董事的职责可以分为四种不同的角色，即战略角色、监督或绩效角色、风险角色、人事管理角色。、战略角色。战略角色是指独立董事是董事会的正式成员，因此有权利也有责任为企业的战略成功做出贡献，从而保护股东的利益。企业中管理层必须具备清晰的战略方向，而独立董事应该利用他们从生活阅历，特别是商业经历中得出的大量经验，来确保已选定的战略是稳健的。就该角色而言，在他们认为合适的情况下，可能会对战略的任何方面提出挑战，并提供建

51、议帮助制定成功的战略。、监督或绩效角色。独立董事应该使执行董事对已制定的决策和企业业绩承担责任。在这方面，他们应该代表股东的利益，并致力于消除因代理问题是股东价值降低的可能性。 、风险角色。是指独立董事应该确保企业设有充分的内部控制系统和风险管理系统。、人事管理角色。是指独立董事应对董事会执行成员管理的有关责任进行监督。这一般涉及公司董事、高级管理人员等任命和薪酬问题，也可能包括合同或纪律方面的问题及接班人计划。（2）董事会主席的作用 董事会主席负责领导董事会，以便有效地组织和行使董事会的职能，并通报董事会会议中产生的所有有关董事的问题。他能够促进所有董事的有效贡献，并促进董事会成员之间以及董

52、事会和管理层之间的建设性和相互尊重的关系。 董事会主席的角色还应扩展至配合非执行董事的工作，并促进执行董事与非执行董事之间建立良好的关系。董事会主席需要对企业领导的责任进行明确的分工。董事会主席和首席执行官之间的分工应经过董事会的同意，并记录在一份职责声明中。首席执行官不应该兼任同一家公司的董事会主席。 对于投资者及其他外部的利益相关者或委托人，董事长是公司的代表。他常为企业建立“公众形象”，特别是当企业必须公开为自己进行辩解的时候。与此相关的是，董事长的角色还包括与股东的沟通。这种沟通是以法定的年报形式进行。在许多管辖权内，董事长必须每年在年度股东大会和股东特别大会上以主席声明的形式向股东致

53、函。3、提倡正直及道德行为 良好的公司治理最终需要诚信的人员。每个企业应该确定自己的政策，以影响董事和关键管理人员的适当行为。行为守则是一种引导董事及主要管理人员的有效方式，并能够表明对企业的道德承诺。企业可建立一套行为守则，以指导董事、首席执行官（或相应职务），首席财务官（或相应职务）及任何其他关键人员的行为，以提高投资者的信心。 此外，企业还可以披露董事、经理和员工对公司证券进行交易的政策。这项政策的目的是防止拥有内幕信息的人员，包括董事、首席执行官（或相应职位）、首席财务官（或相应职位），工作人员等利用拥有内幕信息对公司证券进行交易。 企业应考虑采取适当的遵守标准和程序，以促进实施上述的政策，并建立内部审查机制，以评估遵循情况和有效性。这种审查可能涉及内部审计职能。4、维护财务报告的诚信及外部审计的独立性 企业应要求首席执行官（或相应职位）和首席财务官（或相应职位），以书面形式向董事会报告，企业的财务报告在所有重大方面按照有关的会计准则真实公允地反映了该公司的财务状况和经营成果。 同时，企业应该设置一个独立的结构以核实和维护企业财务报告的诚信。它要求建立一个