风险与内部控制-普华永道-RISK

一、名词解释1、我国内部控制概念内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

2、ERM框架ERM框架是一个受企业董事会、管理层和其他人士影响的过程，运用于制定战略之中，并且贯穿整个企业，用以识别可能影响该企业的潜在事项，并且将风险控制在风险偏好的范围之内，为达到实体目标提供合理的保证。

3、企业风险管理框架与内部控制框架的联系与区别（P146）ERM框架是在COSO1992的基础上,结合Sarbanes-Oxley Act在报告方面的要求,进行扩展研究得到的。

普华永道的项目参与者认为,新报告中有60%的内容得益于COSO1992 所做的工作。

内部控制是企业风险管理必不可少的一部分①ERM框架新增一个观念:风险组合观（Portfolio View of Risk）一个目标:战略目标两个概念:风险偏好和风险容忍度三个要素:目标制定、事项识别和风险反应②ERM框架要求企业设立一个新的部门：风险管理部4、新版ERM框架的五要和23个原则5、内部控制的原则建立和实施各种内部控制应遵循的具有普遍性和指向性的法则①全面性原则。

内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。

②重要性原则。

内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。

③制衡性原则。

内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

④适应性原则。

内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

⑤成本效益原则。

内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。

6、内部控制的要素①内部环境。

内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

②风险评估。

是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

审计、内控、风险管理三者之间的关系标风险管理侧重的是“可能性”。

因此，风险管理应该是最早的环节，从企业整体评估风险状况，找到应对策略。

这其中，又可分为不可控风险和可控风险。

不可控风险通常通过风险转移、保险、风险接受等方式进行应对；可控的风险通常通过内部控制手段进行应对。

所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为。

那内控执行的效果如何，就通过审计来检查。

审计检查完后有一些发现问题，可能是最早风险评估环节就没考虑到的，那么审计发现问题又回过头来指导风险管理的完善。

所负责部门，每个企业都不太一样。

有的是分设三个部门：风险管理部、内控部、审计部。

也有的将这几块自由排列组合，也有放到一个部门的，甚至放到财务部底下的都有。

风险管理——>内部控制——>风险控制内部审计是内部控制的重要手段。

内部控制和内部审计的互动共进，有效提升公司治理效率。

内部控制是内部审计的“风向标”，内部审计是内部控制的“测试仪”。

三者的本质都是为了控制好风险。

三者区别是：1.内控是让你好好开车别撞人，也别开到沟里去，它是一切风险管理的基础，特别是治理层面的内部控制。

2.风险管理是一个更广的含义，不仅仅是不撞人、不翻车，更要保证方向是对的，速度是合适的，开车的方式是可持续的，还要保证尽量不被别人撞，万一被撞要能扛得住……3.风险管理包括内部控制，但他们都不是一个部门的事情，是一个组织行为。

4.审计是风险管理的一种手段，也是内控要素中监督要素的一种体现。

是风险管理工作具体落地的方式，和之前的两个不在一个层面上。

实务中全面的应用到了风险、内控与审计三个概念的，主要是银行业及部分工业企业（如核电、采矿、化工等）。

其他企业中实际上真正界定了这三个概念并付诸实施的其实很少。

以下只针对银行业有些皮毛理解，如下：对于银行来说，三道防线的概念可以清晰的把风险、内控与审计联系起来。

三道防线示意图风险管理，是一个相对宏观的概念，对于银行来说，也可以说是经营的本质。

内部控制五要素内部控制五要素内部环境风险评估控制活动信息与沟通内部监督内部控制五要素—内部环境治理结构、机构设置及权责分配、内部审计机制、⼈⼒资源政策、企业⽂化（组织架构、发展战略、⼈⼒资源、社会责任、企业⽂化—配套指引）内部控制五要素—风险评估⽬标设定风险识别风险分析风险应对内部控制五要素—控制活动不相容职务分离控制授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制重⼤风险预警机制和突发事件应急处理机制内部控制五要素—信息与沟通信息质量沟通制度信息系统反舞弊机制内部控制五要素—内部监督1.⽇常监督2.专项监督我要纠错| 计算器| 论坛课件形式：打印讲义前⾔内部控制不⼀定保证企业成功，但失败的企业⽆疑都有失控的印记。

内控不是万能的，但没有内控是万万不能的。

企业⽬标与经营风险企业⽬标⽣存发展获利经营风险经营环境的变化（市场/政策/竞争/技术）风险是两⾯性风险给企业带来了什么？Risk 与“危机”企业在不同的发展阶段的风险特征相爱容易相处难的尴尬。

做正确的事；把正确的事做好。

Do the right thing;Do the right things right.内部控制的意义风险存在的客观性与企业选择的主观性为了控制⽽控制 or 为了防范风险⽽控制？实施内部控制能带来什么？⼀个是提⾼企业的运⾏效率⼩企业管理靠⼈，⼤企业呢？制度经济学中的交易成本另⼀个是防范作弊作弊的防范是企业的底线舞弊的三⾓理论防范机制—职业道德教育防范机制—法律法规来硬的能解决⼀切吗？防范机制—内部控制案例—上课时⼿机管理求情式？抢⼿机？还有？。

舞弊三⾓理论内部控制发展的⼏个⾥程碑1.早期的内部控制2.1992年COSO内部控制框架3.2002年美国萨班斯法案4.2004年COSO风险管理框架5.2008年中国内部控制基本规范6.2010年中国内部控制配套指引COSO是什么？内部控制框架1985年，由美国注册会计师协会（AICPA）、美国会计学会（AAA）、财务执⾏官协会（FEI）、国际内部审计师协会（IIA）、管理会计师协会（IMA）共同赞助成⽴—反虚假财务报告委员会（Treadway 委员会）。

内部审计定义在2013年国际内部审计师协会（IIA）发布的新版的《国际内部审计专业实务框架》中，内部审计全新定义为：内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。

它通过应用系统的、规范的方法，评价并改善风险管理、控制及治理过程的效果，帮助组织实现其目标。

可以看出，IIA对内部审计的本质属性从只关注独立性，发展到独立性、客观性并重；业务活动从评价发展为确认和咨询；业务范围从对组织活动的审查和评价，发展到风险管理、控制和治理过程效果的评价和改善；审计目的从协助该组织的管理成员有效地履行他们的职责、促进有效地控制成本费用，发展到增加价值和改善组织的运营、帮助组织实现其目标。

这一新定义，以风险为基础，对内部审计的对象目标职能进行了重新定位，推动风险导向内部审计进一步向前发展2013年8月，中国内部审计协会发布《中国内部审计准则》（中国内部审计协会公告2013年第1号，以下简称《新准则》），并从2014年1月1日起施行。

《新准则》规定，“内部审计是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。

”该定义调整了内部审计的职能、范围、方法、目标等，实现了与国际内部审计协会（IIA）内部审计定义的接轨；除对内部审计人员职业道德规范、内部控制审计准则、绩效审计准则、内部审计质量控制准则、审计计划等做了重大调整外，还对审计计划等13项准则做了修订,进一步完善了现有内审体系的相关规定。

2014年1月，审计署发布《内部审计工作规定（征求意见稿）》，将内部审计定义为“单位（或组织，下同）的内部审计机构或者人员，实施的一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价单位的业务活动、内部控制和风险管理的适.当性和有效性，以促进单位完善治理、增加价值和实现目标。

”不仅充分吸收了国际内部审计的先进理念，也充分考虑了我国内部审计所面临的新形势和新要求。

会计师事务所风险控制制度与内部控制会计师事务所作为专业服务机构，承担着对客户财务报表进行审计等重要职责。

为了保证审计工作的准确性、可靠性和公正性，以及有效应对业务风险，会计师事务所需要建立完善的风险控制制度与内部控制机制。

本文将围绕这一主题进行论述。

一、风险控制制度的重要性风险控制制度是会计师事务所防范各种风险，保证审计质量的基础。

一个完善的风险控制制度可以帮助事务所及其从业人员识别、评估和管理潜在风险，确保工作的可控性。

它包括但不限于以下几个方面。

1.风险管理委员会的建立会计师事务所应该设立专门的风险管理委员会，由经验丰富、能力强的高级合伙人和相关职能人员组成。

该委员会负责制定、监督、评估和更新风险控制制度，并根据需要向事务所的合伙人和从业人员提供相关培训和指导。

2.风险评估与分类会计师事务所应该根据其所涉及的业务特点，对潜在风险进行评估和分类，将风险分为实施风险、信息风险和法律风险等不同类型。

通过科学的工具和方法，进行风险预警和风险监测，及时发现潜在风险并采取相应措施进行管理。

3.风险控制措施的制定与落实会计师事务所应该建立起一套全面、有效的内部控制流程和措施，确保将潜在风险降到最低。

具体而言，可以包括明确的工作指引、审计程序的规范和标准，以及严格的分工与责任制度。

此外，事务所还应该加强对从业人员的培训，提高他们的风险意识和专业技能，提升整体的风险控制能力。

二、内部控制在风险控制中的作用内部控制是会计师事务所保证业务运作的有效性和高效性的重要手段。

通过合理的内部控制机制，可以规范事务所内部各项工作的执行过程，提高资源配置的效率，并减少业务风险。

1.合理的授权与职责分工会计师事务所需要明确每个人员的职责与权限，并建立相应的审批授权制度。

通过严格的职能分工和授权程序，可以使风险得到有效的监测与控制，并避免一些潜在的风险和错误的发生。

2.严格的财务报表审计程序内部控制还包括对财务报表审计程序的规范和制定。

内部控制制度、风险控制方案独立性、合规、商业行为与道德规范合规：公司对于合规拥有严格要求，主要体现在反洗钱、反贿赂、反垄断、数据安全、诉讼等方面。

合伙人和员工都需要确保自身的行为合规，避免介入洗钱业务，防止贿赂行为发生，并确保在为客户提供服务的过程中遵循反垄断和竞争法的规定，并确保数据安全，杜绝信息泄露以及相关后果，妥善应对诉讼等事项。

商业行为与道德规范：商业行为和道德规范的规定主要包括三个方面：对客户的责任、对同仁的责任、对公司的责任。

首先，对客户的责任包括：遵循独立性政策，保持独立；维护客户的机密；防止传播内幕消息并杜绝内幕交易；避免利益冲突；符合相关的注册规定，在为客户提供服务的过程中专业表现稳定；尊重客户的工作方式与财产。

其次，对同仁的责任包括：保持工作与私人生活的合理平衡；以相互尊重、有礼和维护他人尊严的方式对待同仁；尊重员工的隐私；处理好家庭与私人关系；维护好与客户员工的关系；提供多元化和平等的就业机会，在就业方面无歧视；杜绝性骚扰和其他骚扰行为；适当使用通讯工具；维持健康安全的工作环境，在工作场所杜绝暴力、吸毒、酗酒、吸烟等；履行环保义务。

最后，对公司的责任包括：处理好报告和工作时间；保护公司资产，例如知识产权、公司资金等；对雇主履行义务；管理客户风险，承接并延续客户关系；合理处理在公司外部的相关活动；提升公司的公众形象和公共关系；根据授权代表公司签订合同；招聘员工；尊重公平竞争；维护他人的知识产权等。

固定资产管理制度简述1、目的：固定资产管理制度旨在为固定资产的运维和控制提供指导，确保固定资产在规划、采购、安装、使用和维护过程中正常运营，并有助于维持正常的经营活动。

2、界定：购置价格超过一定金额、使用寿命超过一年的实物资产均被列为固定资产。

3、责任：受益部门负责管理、维护、抽查固定资产，并保证固定资产的完整和安全。

财务部负责记账，并在公司内部对固定资产进行预算控制。

运营部负责固定资产的采购，包括选择供应商、制定和执行合同。

内部控制失效案例分析近年来，国内企业的重大危机接二连三地发生，整体来看，突出有三类重大风险：一是多元化投资，二是金融工具投机，三是生产安全事故。

撇开生产安全事故不说，前两类风险具有明显的两大特点：一是风险发生对企业造成的缺失庞大，动辄就会使企业“伤筋动骨”；二是同类事故在大型国有企业时有发生。

鉴于此，我们称此两类风险为大型国有企业典型的高风险业务。

下面我们通过案例对此两类重大风险做深入分析。

1.多元化投资(1)三九集团的财务危机从1992年开始，三九企业集团在短短几年时刻里，通过收购兼并企业，形成医药、汽车、食品、酒业、饭店、农业，房产等几大产业并举的格局。

然而，2004年4月14日，三九医药（000999）发出公告：因工商银行要求提早偿还3.74亿元的贷款，目前公司大股东三九药业及三九集团（三九药业是三九集团的全资公司）所持有的公司部分股权已被司法机关冻结。

至此，整个三九集团的财务危机全面爆发。

截至危机爆发之前，三九企业集团约有400多家公司，实行五级公司治理体系，其三级以下的财务治理已严峻失控；三九系深圳本地债权银行贷款已从98亿升至107亿，而遍布全国的三九系子公司和控股公司的贷款和贷款担保约在60亿至70亿之间，两者合计，整个三九系贷款和贷款担保余额约为180亿元。

三九集团总裁赵新先曾在债务风波发生后对外表示，“你们（银行）都给我钱，使我头脑发热，我盲目上项目。

”案例简评：三九集团财务危机的爆发能够归纳为几个要紧缘故：（1）集团财务治理失控；（2）多元化投资（非主业/非相关性投资）扩张的战略失误；（3）集团过度投资引起的过度负债。

另外，从我国国有上市公司的进展环境来看，中国金融体制对国有上市公司的盲目投资、快速膨胀起到了推波助澜的作用。

（2）华源集团的信用危机华源集团成立于1992年，在总裁周玉成的带领下华源集团13年间总资产猛增到567亿元，资产翻了404倍，旗下拥有8家上市公司；集团业务跳出纺织产业，拓展至农业机械、医药等全新领域，成为名副事实上的“国企大系”。

高级咨询顾问（风险管理和内部控制方向）岗位职责要求高级咨询顾问（风险管理和内部控制方向）是一种需要卓越才能的职业，对该职业的要求高。

他们必须拥有良好的人际沟通能力，熟练掌握风险管理和内部控制领域知识，熟悉建立和优化内部控制系统的具体做法，并能根据不同行业和企业的情况，制定适合的方案和控制措施。

下面我们来详细了解一下高级咨询顾问（风险管理和内部控制方向）的职责和要求。

一、岗位职责1、支持风险管理和内部控制咨询的服务交付工作，独立完成服务项目细节工作。

2、通过诊断内部控制系统，为客户提供咨询，指导并提供风险治理实践支持。

3、为加强风险管理的透明度和完整性提供内部控制审计。

4、不断改进和发展公司的咨询服务，促进协作，推动业务增长。

5、领导并管理团队，在检查内部控制和风险管理方案的过程中，确保项目质量和进度控制。

6、管理和维护客户关系，提供度身定制的咨询解决方案和实施计划。

二、职位要求1、本科或以上学历，主修金融、会计、管理或相关专业。

2、 5年以上的相关工作经验，有大型咨询公司或四大会计师事务所经验者优先。

3、严谨、有条理、细致、严守商业道德和诚信，能够独立思考和工作，善于沟通和合作。

4、熟悉风险管理和内部控制方案，精通制定和优化内部控制方案，并能够向客户解释和建议最佳实践方法。

5、熟练掌握常用的风险管理和内部控制工具和软件，例如普华永道的ACL、德勤公司的Control Self-Assessment和Protiviti 公司的RiskView等。

6、熟悉国家和国际行业规范标准，如SOX、COBIT、COSO等，并能够制定适合不同行业和企业的风险管理和内部控制方案。

7、能够为客户提供高水平的咨询解决方案，优化客户的内部控制，并为客户建立自我风险识别和管理机制。

8、具有优秀的英语口语和写作能力，并拥有跨文化沟通和团队管理的能力。

结语：高级咨询顾问（风险管理和内部控制方向）岗位职责充满挑战和险境，但是这也是一个很有前途和回报的职业。

会计师事务所风险控制制度与内部控制体系的关系在现代商业环境中，会计师事务所作为提供专业审计和咨询服务的重要机构，面临着各种潜在的风险。

为了应对这些风险，会计师事务所需要建立一套完善的风险控制制度，同时保证内部控制体系的有效运行。

本文将探讨会计师事务所风险控制制度与内部控制体系的关系。

一、会计师事务所风险控制制度的定义和要素风险控制制度是指会计师事务所在日常运营中建立的一套制度和程序，旨在识别、评估和应对可能对事务所业务活动造成的各种风险。

一个有效的风险控制制度应包括以下要素：1. 风险识别与评估：会计师事务所需要通过对内外部环境进行综合分析，明确可能存在的风险类型和潜在影响。

这包括法律法规变化、行业竞争、财务造假等。

2. 风险管理政策：会计师事务所应制定具体的政策和指导方针，明确风险处理的原则和方法，包括遵守适用的法规、规范业务流程、保护客户信息等。

3. 内部控制流程：会计师事务所需要确保内部控制流程的设计和执行符合相关的法规和要求。

这包括审计程序的制定、资源分配、信息披露等。

二、内部控制体系对会计师事务所风险控制制度的支持内部控制体系是指会计师事务所内部建立的一套控制措施和程序，旨在确保财务报告的准确性和资产的安全性。

内部控制体系对会计师事务所风险控制制度的支持主要体现在以下几个方面：1. 风险监测和预防：内部控制体系能帮助会计师事务所及时发现潜在风险并采取相应措施。

例如，通过合理的审计程序和内部审计，可以及早发现并防止财务造假等风险。

2. 信息和沟通流畅：内部控制体系提供了一个有效的信息流和沟通机制，确保重要信息能够及时传达。

这对于掌握事务所的整体风险状况、及时采取措施至关重要。

3. 业务流程的规范与监管：内部控制体系有助于规范会计师事务所的业务流程，确保工作按照规定进行并减少错误的发生。

此外，内部控制体系还可以监管员工行为，防止内部违规行为的发生。

三、会计师事务所风险控制制度与内部控制体系的互动会计师事务所的风险控制制度与内部控制体系存在密切的互动关系，二者相辅相成，互相支持。