风险管理与内部控制审计课件

风险管理与内部控制审计1风险管理与内部控制审计1内部控制和风险管理概述1内部控制的完善234课程内容62内部控制与职业舞弊风险管理与内部控制审计内部控制和风险管理概述1内部控制的完善234课程内容62内部内部控制和风险管理概述1课程内容3内部控制和风险管理概述1课程内容3为什么需要内部控制？由一个案例引发的思考版权所有，侵权必究Copyright©by2013allrightsreserved为什么需要由一个案例引发的思考版权所有，侵权必究4三鹿集团的破灭自1993年起，三鹿奶粉产销量连续15年实现全国第一。2007年，三鹿集团实现销售收入100.16亿元，同比增长15.3%。按三鹿自己的说法，三鹿一直在快车道上高速行驶，创造了令人振奋的“三鹿速度”。2008年震惊中国的“三鹿牌婴幼儿配方奶粉重大安全事故”发生了。2008年9月11日，卫生部证实：经调查，高度怀疑三鹿牌婴幼儿配方奶粉受到三聚氰胺污染。三聚氰胺是一种化工原料，可导致人体泌尿系统产生结石。三鹿毒奶粉事件持续发酵，引起广泛关注，三鹿集团声誉受到重创，市值严重下降，最终以拍卖收场。事件回顾版权所有，侵权必究Copyright©by2013allrightsreserved三鹿集团的破灭自1993年起，三鹿奶粉产销量连续15年实现5案例总结和启示内部控制的重要性

“内部控制能够帮助我们绕过途中的陷阱，到达目的地。

——MOTOROLA总裁加利·吐克防范、减轻业务活动中的风险!提高企业的运行效率防范作弊版权所有，侵权必究Copyright©by2013allrightsreserved案例总结内部控制的重要性版权所有，侵权必究6内部控制为什么被忽视？

版权所有，侵权必究Copyright©by2013allrightsreserved我的员工忠诚可靠，我相信我的员工我们从没发生过问题外部审计师在检查我们的财务报表我没时间程序耗时又没有用处我最好还是把时间用在其它战略问题上面……您同意这种观点吗？内控对战略的落地执行有用吗？内部控制为什么被忽视？版权所有，侵权必究我的员工忠诚可靠，7什么是内部控制？COSO（1992）定义：内部控制是由企业的董事会、管理当局及其他人员为达到财务报告的可靠性、经营活动的效率性和效果性、相关法律法规得以遵循等三个目标而提供合理保证的过程。《企业内部控制基本规范》（2008）定义：内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。控制目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。财务目标：保证财务报告的可靠性；经营目标：保证经营活动的效率性和效果性；遵循目标：保证相关法律法规得以遵循。共同之处版权所有，侵权必究Copyright©by2013allrightsreserved为什么？什么是内部控制？COSO（1992）定义：内部控制是由企业8内部控制绝对不是：

静态的结构；某一层次人员的任务（例如：高级管理层）；某一部门的任务（例如：财务、内部审计）；某一实体的任务（例如：总部、省级公司）。整个集团的共同参与对于内部控制的顺利实施至关重要！版权所有，侵权必究Copyright©by2013allrightsreserved内部控制绝对不是：整个集团的共同参与对于内部控制的顺利实施至9内部控制概述1COSO内部控制整合框架控制环境内部控制活动信息与沟通内部监督内部控制的实质-风险管理版权所有，侵权必究Copyright©by2013allrightsreserved内部控制概述1COSO内部控制整合框架控制环境内部控制活动信10内部控制理论形成和发展的五个阶段：内部牵制、内部控制制度、内部控制结构、内部控制整体框架、企业风险管理框架。目前应用最为广泛的是《内部控制整体框架》，ERM《企业风险管理框架》是对其的拓展，更加强调内控对风险的运用。版权所有，侵权必究Copyright©by2013allrightsreserved内部控制理论形成和发展的五个阶段：内部牵制、内部控制制度、内11

版权所有，侵权必究Copyright©by2013allrightsreserved内部控制由谁负责？外部人员内部其他人员董事会内部审计师管理层Q1：谁是最终负责人？Q2：自上而下OR自下而上？Q3：各主体职责？版权所有，侵权必究内部控制由谁负责？外部人员内部其他人员董事121.组织内的内部控制2.组织外的内部控制内控范围？内部控制不止局限于公司内部，有时会延伸到企业外部。例如三鹿奶粉案例，对“奶农”、“奶站”的控制。版权所有，侵权必究Copyright©by2013allrightsreserved1.组织内的内部控制2.组织外的内部控制内控范围？内部控制不13版权所有，侵权必究Copyright©by2013allrightsreserved版权所有，侵权必究14内部控制是万能的？NO！内部控制的局限性内部管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去

应有的控制效能。内部人员相互串通作弊导致相关内部控制失去作用。内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。即使是设置完善的内部控制，也可能因有关人员的疏忽、误解和判断错误而失效；成本效益问题。

对于不经常发生或未预计到的经济业务，原有的控制可能不适

用；临时控制若不及时会影响内部控制的作用（滞后性）。版权所有，侵权必究Copyright©by2013allrightsreserved内部控制是万能的？NO！内部控制的局限性内部管理人员滥用职权15

SOX法案404条款要求在美上市公司管理层必须对内部控制的有效性出具自我评估报告，该报告需经注册会计师审计。

美国上市公司第一年遵循该条款的平均成本是440万美元，中国在美上市的44家公司第一年合计付出遵循成本近2亿美元。成本高昂的《萨班斯-奥克斯利法案》（SOX法案）404条款版权所有，侵权必究Copyright©by2013allrightsreservedSOX法案404条款要求在美上市公司管理层必须对内部控制的16企业内部控制基本规范2008年6月28日，中国财政部等五部委联合发布了《企业内部控制基本规范》2010年4月26日，五部委联合发布《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》要求2012年1月1日起在上交所、深交所主板上市的公司施行，择机在中小板和创业板上市公司施行；同时鼓励非上市大中型企业提前执行这标志着中国版的“萨奥法案”已正式启动版权所有，侵权必究Copyright©by2013allrightsreserved☆☆☆☆企业内部控制基本规范2008年6月28日，中国财政部等五部17执行企业内控规范体系版权所有，侵权必究Copyright©by2013allrightsreserved(1)必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告(3)注册会计师发现在内部控制审计过程中注意到的企业非财务报告内部控制重大缺陷，应当提示投资者、债权人和其他利益相关者关注(2)聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告执行企业内控规范体系版权所有，侵权必究(1)必须对本企业内部18版权所有，侵权必究Copyright©by2013allrightsreservedCOSO立方体内部控制目标内部控制贯穿所有的业务部门控制活动

确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监控不断评估内部控制系统表现。整合实时和独立的评估。管理层和监督活动。内部审计工作。控制环境营造单位气氛－让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估

风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监控信息和沟通控制活动风险评估控制环境营运效率效果财务报告可靠性法律合规性务单位A业务单位B活动2活动1业版权所有，侵权必究COSO立方体内部控制目标内部控制贯穿所有19控制环境：（ControlEnvironment），反映单位最高管理部门，董事和所有者对控制及其重要性的态度的各种行为，政策和措施。控制环境员工的胜任能力管理理念和经营风格组织结构诚信与道德准则授权及职责划分人力资源政策及实施董事会的关注和监督控制环境的7个要素版权所有，侵权必究Copyright©by2013allrightsreserved控制环境：（ControlEnvironment），反映单20内部控制的实质—风险管理企业必须了解它所面临的风险，并加以控制，即设立可辨识、分析和管理相关风险的机制。内部控制是“企业风险管理（ERM)”不可分割的一部分风险必须直接与控制目标相关联、然后通过控制活动进行管理风险是阻碍实现目标的不确定性，用发生概率和影响程度来衡量版权所有，侵权必究Copyright©by2013allrightsreserved公司目标,风险和内部控制的关系是什么?确定目标评估风险行动计划/责任分配分析控制什么叫风险？内部控制的实质—风险管理企业必须了解它所面临的风险，并加以控21点击添加文本点击添加文本点击添加文本点击添加文本风险管理八要素07

信息与沟通05风险对策06控制活动08监督04风险评估0102目标设定03事件识别内部环境点击添加文本点击添加文本点击添加文本点击添加文本风险管理八要22风险应对策略风险规避风险降低风险分担风险承受企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略（Avoid）（Reduce）（Share）（Accept）版权所有，侵权必究Copyright©by2013allrightsreserved风险应对策略风险规避风险降低风险分担风险承受企业对超出风险承23影响程度可能性中等风险Ⅱ转移高风险Ⅰ避免风险中等风险Ⅳ降低风险低风险Ⅲ接受风险大小高低基本确定很可能有可能不大可能风险应对策略的应用版权所有，侵权必究Copyright©by2013allrightsreserved影响程度可能性中等风险Ⅱ转移高风险Ⅰ避免风险中等风险Ⅳ降低风24控制活动控制活动：为保障组织目标的实现，针对相关风险采取必要措施的政策和程序，控制活动包括：

职责分离/组织牵制授权审批会计系统控制预算控制财产安全控制电子信息技术控制绩效指标考评。。。。。现金管理资本性采购采购和付款人事和薪金营销和销售存货管理企业必须基于风险评估的结果订立控制风险的政策及程序，并予以执行。通常可以按业务分别进行制定。版权所有，侵权必究Copyright©by2013allrightsreserved控制活动控制活动：为保障组织目标的实现，针对相关风险采取必要25信息系统控制信息系统控制26信息

信息始终是企业管理活动最基本的支持，企业所有经营活动都离不开信息。沟通：沟通就是指信息的传递。沟通的分类:(1)内部沟通;(2)外部沟通。沟通的方式和方法：

“企业应当采取互联网络、电子邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时传递和共享，确保董事会、管理层和企业员工之间有效沟通。”(《企业内部控制规范》)信息与沟通版权所有，侵权必究Copyright©by2013allrightsreserved信息信息与沟通版权所有，侵权必究27监督控制版权所有，侵权必究Copyright©by2013allrightsreserved监督控制版权所有，侵权必究28内部审计与内部控制内部审计：是企业内部的一个独立机构。内部审计目的：通过检查、评估组织内部的各项活动，评估其效果和效率，进行原因分析、提供咨询建议。上市公司规模的日益扩大机构和其业务的日益复杂协助管理层更有效地履行其责任提高企业的运作效率并增强其活动的附加值审计会计帐目稽查、评估内部控制制度企业内部职能部门工作效能评估向管理当局提出建议报告为什么要有内部审计？内部审计机构的职责？版权所有，侵权必究Copyright©by2013allrightsreserved内部审计与内部控制内部审计：是企业内部的一个独立机构。上市29内控与审计、风险管理和企业管理的关系？版权所有，侵权必究Copyright©by2013allrightsreserved内控与审计、风险管理和企业管理的关系？版权所有，侵权必究30内部控制与职业舞弊2课程内容31内部控制与职业舞弊2课程内容31职业舞弊（ACFE）定义：利用个人职权通过有预谋的误用或滥用组织资源或资产为个人谋取利益。舞弊行为可能损害组织的利益，也可能是为组织谋取利益，但这种谋取的利益是通过不正当手段获得，当该行为被曝光后，最终会给组织带来伤害。

舞弊者的范围涵盖职员（Employees）、经理层（Managers）及执行管理层（Executives/Uppermanagement）职业舞弊的特点—是秘密的—违背了组织授予舞弊者的职责—以舞弊者直接或间接的财务利益为目的—以组织的资产、收入或储备金为代价版权所有，侵权必究Copyright©by2013allrightsreserved职业舞弊（ACFE）定义：利用个人职权通过有预谋的误用或滥用32简介

——世界上最大的反舞弊培训教育机构、也是迄今为止全球唯一一个专门对舞弊予以查核的专业性组织——拥有37,000名会员，遍及50多个国家，会员包括：舞弊稽查师、审计师、调查员、法务会计、损失预防和安全主管、法律人员、犯罪学家、白领犯罪的研究员宗旨

减少职业舞弊和白领犯罪版权所有，侵权必究Copyright©by2013allrightsreservedACFE简介AssociationofCertifiedFraudExaminers美国注册舞弊稽查师协会简介版权所有，侵权必究ACFE简介Association33舞弊三角自我合理化压力机会舞弊三角理论（ACFE）（1）压力要素：企业舞弊者的行为动机。刺激个人为其自身利益而进行企业舞弊的压力大体上可分为几类：经济压力，恶癖的压力，与工作相关的压力等。（2）机会要素：可进行企业舞弊而又能掩盖起来不被发现或能逃避惩罚的时机，主要有六种情况：缺乏发现企业舞弊行为的内部控制，无法判断工作的质量，缺乏惩罚措施，信息不对称，能力不足和审计制度不健全。（2）借口要素：真正形成企业舞弊还有最后一个要素——借口(自我合理化)，即企业舞弊者必须找到某个理由，使企业舞弊行为与其本人的道德观念、行为准则相吻合，无论这一解释本身是否真正合理。企业舞弊者常用的理由有：这是公司欠我的，我只是暂时借用这笔资金、会归还的，目的是善意的，用途正当等。版权所有，侵权必究Copyright©by2013allrightsreserved舞弊自我合理化压力机会舞弊三角理论（ACFE）（1）压力要素34内部控制的完善3课程内容35内部控制的完善3课程内容35如何设计基于实质性漏洞的内部控制？版权所有，侵权必究Copyright©by2013allrightsreserved如何设计基于实质性漏洞的内部控制？版权所有，侵权必究36STEP1：明确公司目标1.什么是公司目标？其应该包括什么？目标：就是努力想要达到的状态、境界或目的。目标是行为的指向。对于个人而言，由于愿景的不同可以有多种目标。对于企业而言，有战略目标、经营目标等。

对于企业内部不同的专业部门或岗位来说，围绕企业总体要求，都与相应的目标。例如：财务管理要保证工作合规和报告真实准确；计划管理要保证完整、真实、准确、及时等。

本质目标

降低企业经营风险，以实现企业价值最大化分项目标财务目标、经营目标和遵循目标。业务目标根据经营业务内容，如货币资金收付、采购与付款、销售与收款等具体业务设计的具体目标。版权所有，侵权必究Copyright©by2013allrightsreservedSTEP1：明确公司目标1.什么是公司目标？其应该包括什么？37数量质量时间环境/安全/健康成本营销策略依据2.公司目标分解至业务层面：5321法5个标尺3个步骤细化量化12流程化32个答案结果行动1个原则SMART版权所有，侵权必究Copyright©by2013allrightsreserved数量质量时间环境/安全成本营销策略2.公司目标分解至业务层面38STEP2：企业风险评估流程风险版权所有，侵权必究Copyright©by2013allrightsreserved3.风险识别STEP2：企业风险评估流程风险版权所有，侵权必究3.风险识39风险评估其实是一个输入转化为输出的过程输入事项描述度量单位评估技术方法公司特征评估流程支持资源历史数据输出风险分析报告可能性影响程度风险评级风险分析活动4.风险评估版权所有，侵权必究Copyright©by2013allrightsreserved风险评估其实是一个输入转化为输出的过程输入事项描述输出风险分40STEP3：制定相关控制识别关键绩效区（KPA-KeyPerformanceArea，主要为重要部门和关键流程）确定关键控制点（CCP-CriticalControlPoint）设定绩效控制标准（KPI-KeyPerformanceIndicator），即量化或非量化的指标5.标准制定……核对点记账点审批点结算点审签点审核点编审点复核点版权所有，侵权必究Copyright©by2013allrightsreservedSTEP3：制定相关控制识别关键绩效区确定关键控制点416.政策制定流程图用符合和图形来表述内部控制的程序及关键二维表对内部控制的关键控制点进行记录文字表述对内部控制的健全程度和执行情况的书面叙述以流程图、二维图及文字描述的形式编制内控政策版权所有，侵权必究Copyright©by2013allrightsreserved6.政策制定流程图用符合和图形来表述内部控制的程序及关键二维42如何保障内控的执行？版权所有，侵权必究Copyright©by2013allrightsreserved建立内控执行文化明确内控执行制度培养内控执行人才123引入以董事会领导的监管体制加强对内控执行的监督要求对于公司内控运作及有效性作出定期汇报内控执行的手段，须融入日常的管理流程通过讨论和培训，使内控的实施得到“全民”的支持通过经验的分享，不断加强内控执行的认同性开展内控知识培训，培养员工按照要求严格执行内控制度的意识建立员工执行内控奖惩机制，将内控执行情况纳入员工绩效考核STEP4：控制执行如何保障内控的执行？版权所有，侵权必究建立内控明确内控培养内43STEP5：检查监督相关控制是否存在内部控制实质性漏洞？（同前）STEP6：方案改进接受差异，不做处理修改/重建业务流程调整关键控制点（CCP）或绩效控制标准（KPI）迅速采取纠正措施方案改进相关措施版权所有，侵权必究Copyright©by2013allrightsreservedSTEP5：检查监督相关控制是否存在内部控制实质性漏洞？（44风险管理与内部控制审计4课程内容45风险管理与内部控制审计4课程内容45点击添加文本点击添加文本点击添加文本点击添加文本风险管理审计与内部控制审计的比较

点击添加文本点击添加文本点击添加文本点击添加文本风险管理审计46

风险管理与内部控制审计实施要点

-------以经济责任审计为例

风险管理与内部控制审计实施要点

-------以471、审前调查阶段

一些事项的说明：主要工作：初步了解和评价被审计单位内部控制为后续审计工作确定重点审计方向，以提高审计的效率和质量可根据情况适当减少测试样本数量1、审前调查阶段一些事项的说明：48工作步骤组长或主审在编制审前调查方案时将内部控制审计任务予以明确各小组参加审前调查的人员根据方案进行内部控制测试各小组成员将测试结果提交至综合协调小组由综合协调小组长进行汇总，向审计组主审提供对被审计单位内部控制的初步评价报告和对审计实施阶段工作重点方向的建议，供主审编制审计方案时参考。工作步骤组长或主审在编制审前调查方案时将内部控制审计任务予以49测试方法查阅历次内、外部审计档案，查阅企业各项内部管理制度和相关文件；询问被审计单位有关人员；检查内部控制过程中形成的凭证和记录；观察被审计单位的业务活动和内部控制的实际运行情况；选择有代表性的业务进行穿行测试。测试方法查阅历次内、外部审计档案，查阅企业各项内部管理制度和50风险判断经初步了解后，审计组若判断被审计单位的内部控制风险高，可采用在审计实施阶段不进行内部控制测试和评价的审计策略，直接进入实质性测试。被审计单位根本没有内部控制或者内部控制信赖程度较低；存在固有风险和控制风险较高；内部控制不健全并且又没有补偿控制、或者内部控制虽然存在，但通过了解发现其并未得到有效运行；企业自我监督约束机制缺失或管理层对内控的认知和重视程度低等。若审计组认为被审计单位的内部控制风险是可接受的，应考虑在审计实施阶段进行较为详细的内部控制测试和评价，并写入审计实施方案。风险判断经初步了解后，审计组若判断被审计单位的内部控制风险高512、审计实施阶段审计实施阶段，审计组应主要对被审计单位负责人履行经济责任的重点业务及其关键控制点进行符合性测试和实质性测试，评价被审计单位内部控制情况。2、审计实施阶段审计实施阶段，审计组应主要对被审计单位负责人52主要关注点被审计单位是否按合法、合理原则，目标性原则，授权分权原则，职务分管控制原则，业务程序标准化原则，检查核对原则，效益原则等建立内部控制制度；内控制度是否全面、完善、有效；制度与制度、制度与部门、部门与部门、部门与个人之间是否衔接相通，有没有不按程序或越权的行为；部门与部门之间有否横向制约程序；各职能部门是否严格执行规定的内控制度；各种制度的执行结果是否达到预期目的。主要关注点被审计单位是否按合法、合理原则，目标性原则，授权分53实施阶段内控测试和评价的程序审计组各小组制订评价计划，确定人员分工及测试业务范围；通过观察、询问、填写调查表等手段进行初步了解；将测试业务进行分解，找出关键控制点，具体对业务关键控制点逐项抽样进行符合性测试，并将测试结果进行记录；确定评价标准。评价的标准是由被审计单位管理层负责制定的，内部审计人员要确定管理层是否已经建立标准以及这些标准是否适当。如果有标准，审计人员认为这些标准不适当，应对制定该标准负有责任的管理层报告；如没有制定内部审计控制标准，内部审计人员应在考虑企业利益最大化的基础上，选择恰当的评价标准；根据测试结果对照评价标准进行评价；综合协调小组汇总各小组的内部控制评价报告，做为支撑审计报告相关内容的依据。实施阶段内控测试和评价的程序审计组各小组制订评价计划，确定人54任期项目一般选取测试的范围和重点筹资计划的编制及审批；各类重大投资、担保、资金运作的决策和审批；大宗物资采购的审批和招投标管理，重大工程项目立项审批和工程管理；大型固定资产购买审批和管理；重大销售合同的审批、价格执行、账款回收；采购计划的制订和执行；工资及福利的审批和执行等。

任期项目一般选取测试的范围和重点筹资计划的编制及审批；55

实务操作及案例实务操作及案例56一些问题的说明:该操作案例是根据某公司“内控评价体系项目”并结合任期经济责任审计的特点编写的。该操作的核心是将多次经济责任审计内部控制测试累积的经验进行分析、总结，将测试的业务和关键控制点、评价标准、评分方法和体系等进行了相对固化，提高了开展内部控制审计的效率，同时兼顾了评价的科学性和客观性。审前调查阶段和审计实施阶段的内控测试是类似的，只是深度上有所区别，这里不再单独介绍审前调查阶段的内控测试。一些问题的说明:该操作案例是根据某公司“内控评价体系项目”并57实施阶段内控评价的重点内容筹资计划的编制及审批；各类重大投资、担保、资金运作决策和审批；大宗物资采购的审批和招投标管理，重大工程项目立项审批和工程管理；大型固定资产购买审批和管理；重大销售合同的审批、价格执行、账款回收；采购计划的制订和执行；工资及福利的审批和执行。

实施阶段内控评价的重点内容筹资计划的编制及审批；58具体测试步骤1、根据测试调查表了解被审计单位内部控制现状2、根据测试工作底稿的内容要求进行逐项抽样测试,对结果进行记录3、依次对关键控制点、业务模块及综合情况进行评分4、将评价结果进行反馈具体测试步骤1、根据测试调查表了解被审计单位内部控制现状59ThankyouThankyou60风险管理与内部控制审计61风险管理与内部控制审计1内部控制和风险管理概述1内部控制的完善234课程内容662内部控制与职业舞弊风险管理与内部控制审计内部控制和风险管理概述1内部控制的完善234课程内容62内部内部控制和风险管理概述1课程内容63内部控制和风险管理概述1课程内容3为什么需要内部控制？由一个案例引发的思考版权所有，侵权必究Copyright©by2013allrightsreserved为什么需要由一个案例引发的思考版权所有，侵权必究64三鹿集团的破灭自1993年起，三鹿奶粉产销量连续15年实现全国第一。2007年，三鹿集团实现销售收入100.16亿元，同比增长15.3%。按三鹿自己的说法，三鹿一直在快车道上高速行驶，创造了令人振奋的“三鹿速度”。2008年震惊中国的“三鹿牌婴幼儿配方奶粉重大安全事故”发生了。2008年9月11日，卫生部证实：经调查，高度怀疑三鹿牌婴幼儿配方奶粉受到三聚氰胺污染。三聚氰胺是一种化工原料，可导致人体泌尿系统产生结石。三鹿毒奶粉事件持续发酵，引起广泛关注，三鹿集团声誉受到重创，市值严重下降，最终以拍卖收场。事件回顾版权所有，侵权必究Copyright©by2013allrightsreserved三鹿集团的破灭自1993年起，三鹿奶粉产销量连续15年实现65案例总结和启示内部控制的重要性

“内部控制能够帮助我们绕过途中的陷阱，到达目的地。

——MOTOROLA总裁加利·吐克防范、减轻业务活动中的风险!提高企业的运行效率防范作弊版权所有，侵权必究Copyright©by2013allrightsreserved案例总结内部控制的重要性版权所有，侵权必究66内部控制为什么被忽视？

版权所有，侵权必究Copyright©by2013allrightsreserved我的员工忠诚可靠，我相信我的员工我们从没发生过问题外部审计师在检查我们的财务报表我没时间程序耗时又没有用处我最好还是把时间用在其它战略问题上面……您同意这种观点吗？内控对战略的落地执行有用吗？内部控制为什么被忽视？版权所有，侵权必究我的员工忠诚可靠，67什么是内部控制？COSO（1992）定义：内部控制是由企业的董事会、管理当局及其他人员为达到财务报告的可靠性、经营活动的效率性和效果性、相关法律法规得以遵循等三个目标而提供合理保证的过程。《企业内部控制基本规范》（2008）定义：内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。控制目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。财务目标：保证财务报告的可靠性；经营目标：保证经营活动的效率性和效果性；遵循目标：保证相关法律法规得以遵循。共同之处版权所有，侵权必究Copyright©by2013allrightsreserved为什么？什么是内部控制？COSO（1992）定义：内部控制是由企业68内部控制绝对不是：

静态的结构；某一层次人员的任务（例如：高级管理层）；某一部门的任务（例如：财务、内部审计）；某一实体的任务（例如：总部、省级公司）。整个集团的共同参与对于内部控制的顺利实施至关重要！版权所有，侵权必究Copyright©by2013allrightsreserved内部控制绝对不是：整个集团的共同参与对于内部控制的顺利实施至69内部控制概述1COSO内部控制整合框架控制环境内部控制活动信息与沟通内部监督内部控制的实质-风险管理版权所有，侵权必究Copyright©by2013allrightsreserved内部控制概述1COSO内部控制整合框架控制环境内部控制活动信70内部控制理论形成和发展的五个阶段：内部牵制、内部控制制度、内部控制结构、内部控制整体框架、企业风险管理框架。目前应用最为广泛的是《内部控制整体框架》，ERM《企业风险管理框架》是对其的拓展，更加强调内控对风险的运用。版权所有，侵权必究Copyright©by2013allrightsreserved内部控制理论形成和发展的五个阶段：内部牵制、内部控制制度、内71

版权所有，侵权必究Copyright©by2013allrightsreserved内部控制由谁负责？外部人员内部其他人员董事会内部审计师管理层Q1：谁是最终负责人？Q2：自上而下OR自下而上？Q3：各主体职责？版权所有，侵权必究内部控制由谁负责？外部人员内部其他人员董事721.组织内的内部控制2.组织外的内部控制内控范围？内部控制不止局限于公司内部，有时会延伸到企业外部。例如三鹿奶粉案例，对“奶农”、“奶站”的控制。版权所有，侵权必究Copyright©by2013allrightsreserved1.组织内的内部控制2.组织外的内部控制内控范围？内部控制不73版权所有，侵权必究Copyright©by2013allrightsreserved版权所有，侵权必究74内部控制是万能的？NO！内部控制的局限性内部管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去

应有的控制效能。内部人员相互串通作弊导致相关内部控制失去作用。内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。即使是设置完善的内部控制，也可能因有关人员的疏忽、误解和判断错误而失效；成本效益问题。

对于不经常发生或未预计到的经济业务，原有的控制可能不适

用；临时控制若不及时会影响内部控制的作用（滞后性）。版权所有，侵权必究Copyright©by2013allrightsreserved内部控制是万能的？NO！内部控制的局限性内部管理人员滥用职权75

SOX法案404条款要求在美上市公司管理层必须对内部控制的有效性出具自我评估报告，该报告需经注册会计师审计。

美国上市公司第一年遵循该条款的平均成本是440万美元，中国在美上市的44家公司第一年合计付出遵循成本近2亿美元。成本高昂的《萨班斯-奥克斯利法案》（SOX法案）404条款版权所有，侵权必究Copyright©by2013allrightsreservedSOX法案404条款要求在美上市公司管理层必须对内部控制的76企业内部控制基本规范2008年6月28日，中国财政部等五部委联合发布了《企业内部控制基本规范》2010年4月26日，五部委联合发布《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》要求2012年1月1日起在上交所、深交所主板上市的公司施行，择机在中小板和创业板上市公司施行；同时鼓励非上市大中型企业提前执行这标志着中国版的“萨奥法案”已正式启动版权所有，侵权必究Copyright©by2013allrightsreserved☆☆☆☆企业内部控制基本规范2008年6月28日，中国财政部等五部77执行企业内控规范体系版权所有，侵权必究Copyright©by2013allrightsreserved(1)必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告(3)注册会计师发现在内部控制审计过程中注意到的企业非财务报告内部控制重大缺陷，应当提示投资者、债权人和其他利益相关者关注(2)聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告执行企业内控规范体系版权所有，侵权必究(1)必须对本企业内部78版权所有，侵权必究Copyright©by2013allrightsreservedCOSO立方体内部控制目标内部控制贯穿所有的业务部门控制活动

确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监控不断评估内部控制系统表现。整合实时和独立的评估。管理层和监督活动。内部审计工作。控制环境营造单位气氛－让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估

风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监控信息和沟通控制活动风险评估控制环境营运效率效果财务报告可靠性法律合规性务单位A业务单位B活动2活动1业版权所有，侵权必究COSO立方体内部控制目标内部控制贯穿所有79控制环境：（ControlEnvironment），反映单位最高管理部门，董事和所有者对控制及其重要性的态度的各种行为，政策和措施。控制环境员工的胜任能力管理理念和经营风格组织结构诚信与道德准则授权及职责划分人力资源政策及实施董事会的关注和监督控制环境的7个要素版权所有，侵权必究Copyright©by2013allrightsreserved控制环境：（ControlEnvironment），反映单80内部控制的实质—风险管理企业必须了解它所面临的风险，并加以控制，即设立可辨识、分析和管理相关风险的机制。内部控制是“企业风险管理（ERM)”不可分割的一部分风险必须直接与控制目标相关联、然后通过控制活动进行管理风险是阻碍实现目标的不确定性，用发生概率和影响程度来衡量版权所有，侵权必究Copyright©by2013allrightsreserved公司目标,风险和内部控制的关系是什么?确定目标评估风险行动计划/责任分配分析控制什么叫风险？内部控制的实质—风险管理企业必须了解它所面临的风险，并加以控81点击添加文本点击添加文本点击添加文本点击添加文本风险管理八要素07

信息与沟通05风险对策06控制活动08监督04风险评估0102目标设定03事件识别内部环境点击添加文本点击添加文本点击添加文本点击添加文本风险管理八要82风险应对策略风险规避风险降低风险分担风险承受企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略（Avoid）（Reduce）（Share）（Accept）版权所有，侵权必究Copyright©by2013allrightsreserved风险应对策略风险规避风险降低风险分担风险承受企业对超出风险承83影响程度可能性中等风险Ⅱ转移高风险Ⅰ避免风险中等风险Ⅳ降低风险低风险Ⅲ接受风险大小高低基本确定很可能有可能不大可能风险应对策略的应用版权所有，侵权必究Copyright©by2013allrightsreserved影响程度可能性中等风险Ⅱ转移高风险Ⅰ避免风险中等风险Ⅳ降低风84控制活动控制活动：为保障组织目标的实现，针对相关风险采取必要措施的政策和程序，控制活动包括：

职责分离/组织牵制授权审批会计系统控制预算控制财产安全控制电子信息技术控制绩效指标考评。。。。。现金管理资本性采购采购和付款人事和薪金营销和销售存货管理企业必须基于风险评估的结果订立控制风险的政策及程序，并予以执行。通常可以按业务分别进行制定。版权所有，侵权必究Copyright©by2013allrightsreserved控制活动控制活动：为保障组织目标的实现，针对相关风险采取必要85信息系统控制信息系统控制86信息

信息始终是企业管理活动最基本的支持，企业所有经营活动都离不开信息。沟通：沟通就是指信息的传递。沟通的分类:(1)内部沟通;(2)外部沟通。沟通的方式和方法：

“企业应当采取互联网络、电子邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时传递和共享，确保董事会、管理层和企业员工之间有效沟通。”(《企业内部控制规范》)信息与沟通版权所有，侵权必究Copyright©by2013allrightsreserved信息信息与沟通版权所有，侵权必究87监督控制版权所有，侵权必究Copyright©by2013allrightsreserved监督控制版权所有，侵权必究88内部审计与内部控制内部审计：是企业内部的一个独立机构。内部审计目的：通过检查、评估组织内部的各项活动，评估其效果和效率，进行原因分析、提供咨询建议。上市公司规模的日益扩大机构和其业务的日益复杂协助管理层更有效地履行其责任提高企业的运作效率并增强其活动的附加值审计会计帐目稽查、评估内部控制制度企业内部职能部门工作效能评估向管理当局提出建议报告为什么要有内部审计？内部审计机构的职责？版权所有，侵权必究Copyright©by2013allrightsreserved内部审计与内部控制内部审计：是企业内部的一个独立机构。上市89内控与审计、风险管理和企业管理的关系？版权所有，侵权必究Copyright©by2013allrightsreserved内控与审计、风险管理和企业管理的关系？版权所有，侵权必究90内部控制与职业舞弊2课程内容91内部控制与职业舞弊2课程内容31职业舞弊（ACFE）定义：利用个人职权通过有预谋的误用或滥用组织资源或资产为个人谋取利益。舞弊行为可能损害组织的利益，也可能是为组织谋取利益，但这种谋取的利益是通过不正当手段获得，当该行为被曝光后，最终会给组织带来伤害。

舞弊者的范围涵盖职员（Employees）、经理层（Managers）及执行管理层（Executives/Uppermanagement）职业舞弊的特点—是秘密的—违背了组织授予舞弊者的职责—以舞弊者直接或间接的财务利益为目的—以组织的资产、收入或储备金为代价版权所有，侵权必究Copyright©by2013allrightsreserved职业舞弊（ACFE）定义：利用个人职权通过有预谋的误用或滥用92简介

——世界上最大的反舞弊培训教育机构、也是迄今为止全球唯一一个专门对舞弊予以查核的专业性组织——拥有37,000名会员，遍及50多个国家，会员包括：舞弊稽查师、审计师、调查员、法务会计、损失预防和安全主管、法律人员、犯罪学家、白领犯罪的研究员宗旨

减少职业舞弊和白领犯罪版权所有，侵权必究Copyright©by2013allrightsreservedACFE简介AssociationofCertifiedFraudExaminers美国注册舞弊稽查师协会简介版权所有，侵权必究ACFE简介Association93舞弊三角自我合理化压力机会舞弊三角理论（ACFE）（1）压力要素：企业舞弊者的行为动机。刺激个人为其自身利益而进行企业舞弊的压力大体上可分为几类：经济压力，恶癖的压力，与工作相关的压力等。（2）机会要素：可进行企业舞弊而又能掩盖起来不被发现或能逃避惩罚的时机，主要有六种情况：缺乏发现企业舞弊行为的内部控制，无法判断工作的质量，缺乏惩罚措施，信息不对称，能力不足和审计制度不健全。（2）借口要素：真正形成企业舞弊还有最后一个要素——借口(自我合理化)，即企业舞弊者必须找到某个理由，使企业舞弊行为与其本人的道德观念、行为准则相吻合，无论这一解释本身是否真正合理。企业舞弊者常用的理由有：这是公司欠我的，我只是暂时借用这笔资金、会归还的，目的是善意的，用途正当等。版权所有，侵权必究Copyright©by2013allrightsreserved舞弊自我合理化压力机会舞弊三角理论（ACFE）（1）压力要素94内部控制的完善3课程内容95内部控制的完善3课程内容35如何设计基于实质性漏洞的内部控制？版权所有，侵权必究Copyright©by2013allrightsreserved如何设计基于实质性漏洞的内部控制？版权所有，侵权必究96STEP1：明确公司目标1.什么是公司目标？其应该包括什么？目标：就是努力想要达到的状态、境界或目的。目标是行为的指向。对于个人而言，由于愿景的不同可以有多种目标。对于企业而言，有战略目标、经营目标等。

对于企业内部不同的专业部门或岗位来说，围绕企业总体要求，都与相应的目标。例如：财务管理要保证工作合规和报告真实准确；计划管理要保证完整、真实、准确、及时等。

本质目标

降低企业经营风险，以实现企业价值最大化分项目标财务目标、经营目标和遵循目标。业务目标根据经营业务内容，如货币资金收付、采购与付款、销售与收款等具体业务设计的具体目标。版权所有，侵权必究Copyright©by2013allrightsreservedSTEP1：明确公司目标1.什么是公司目标？其应该包括什么？97数量质量时间环境/安全/健康成本营销策略依据2.公司目标分解至业务层面：5321法5个标尺3个步骤细化量化12流程化32个答案结果行动1个原则SMART版权所有，侵权必究Copyright©by2013allrightsreserved数量质量时间环境/安全成本营销策略2.公司目标分解至业务层面98STEP2：企业风险评估流程风险版权所有，侵权必究Copyright©by2013allrightsreserved3.风险识别STEP2：企业风险评估流程风险版权所有，侵权必究3.风险识99风险评估其实是一个输入转化为输出的过程输入事项描述度量单位评估技术方法公司特征评估流程支持资源历史数据输出风险分析报告可能性影响程度风险评级风险分析活动4.风险评估版权所有，侵权必究Copyright©by2013allrightsreserved风险评估其实是一个输入转化为输出的过程输入事项描述输出风险分100STEP3：制定相关控制识别关键绩效区（KPA-KeyPerformanceArea，主要为重要部门和关键流程）确定关键控制点（CCP-CriticalControlPoint）设定绩效控制标准（KPI-KeyPerformanceIndicator），即量化或非量化的指标5.标准制定……核对点记账点审批点结算点审签点审核点编审点复核点版权所有，侵权必究Copyright©by2013allrightsreservedSTEP3：制定相关控制识别关键绩效区确定关键控制点1016.政策制定流程图用符合和图形来表述内部控制的程序及关键二维表对内部控制的关键控制点进行记录文字表述对内部控制的健全程度和执行情况的书面叙述以流程图、二维图及文字描述的形式编制内控政策版权所有，侵权必究Copyright©by2013allrightsreserved6.政策制定流程图用符合和图形来表述内部控制的程序及关键二维102如何保障内控的执行？版权所有，侵权必究Copyright©by2013allrightsreserved建立内控执行文化明确内控执行制度培养内控执行人才123引入以董事会领导的监管体制加强对内控执行的监督要求对于公司内控运作及有效性作出定期汇报内控执行的手段，须融入日常的管理流程通过讨论和培训，使内控的实施得到“全民”的支持通过经验的分享，不断加强内控执行的认同性开展内控知识培训，培养员工按照要求严格执行内控制度的意识建立员工执行内控奖惩机制，将内控执行情况纳入员工绩效考核STEP4：控制执行如何保障内控的执行？版权所有，侵权必究建立内控明确内控培养内103STEP5：检查监督相关控制是否存在内部控制实质性漏洞？（同前）STEP6：方案改进接受差异，不做处理修改/重建业务流程调整关键控制点（CCP）或绩效控制标准（KPI）迅速采取纠正措施方案改进相关措施版权所有，侵权必究Copyright©by2013allrightsreservedSTEP5：检查监督相关控制是否存在内部控制实质性漏洞？（104风险管理与内部控制审计4课程内容105风险管理