企业内部控制与风险管理审计

原始数据提供：车 间及质检、售后服 务、资产管理部门
减值计算：财务部
审核：内审部
生产车间：提供设备耗 水、耗电、耗材数据
质检部：提供该设备生产 产品等级品率和废品率信息
售后服务部：产品返 修率和保修支出的信息
资产管理部：同类设备市 场价格及重置成本的信息
内审部门：实施减值计提的审核 1、原始数据对比分析； 2、原始数据现场验证 3、计算过程验证
财务部门：运 用模型计算
审批：经理层与董事会
生产设备减值报告
第二部分 内部控制评价与审计
一、内部控制（自我）评价的概念
设计有效性和运行有效性
内部控制评价是指由企业董事会和管理层实施的， 对企业内部控制有效性进行评价，形成评价结论， 出具评价报告的过程。
有效性是指企业建立与实施内部控制 能够为控制目标的实现提供合理保证。
③执行业务职务与会计记录相分离； ④财产保管职务与会计记录相分离； ⑤执行业务职务与财产保管职务相分离。
党委在公司治理机制中的地位和作用？ 党管干部与董事会选择经营管理者的关系? 党委与董事会的关系? 党委监督保障与监事会的关系?
某单位原出纳员周某三次挪用、贪污公款达211万元， 被法院以挪用公款罪和贪污罪两罪并罚判处其有期徒 刑20年，但200万元的资金却难以收回。15年前，周 到该单位财务科任出纳，15年的工作经历使周对该单 位的财务状况了如指掌，其中的漏洞也心中有数。周 说：“我可以决定提取现金的数量，支票也由我处理， 可随时加盖支票印鉴。在每月同会计对账时，我同他 们只对总额，而不进行明细核对。另外，我挪用公款， 银行账上有反映，但我们的银行对账单有我保管，单 位也不易发觉。”
风险分担：企业准备借助他人力量， 采取业务分包、购买保险等方式和适 当的控制措施，将风险控制在风险承 受度之内的策略。
（三）控制活动
控制活动是帮助确保管理当局的风险应对得以实施的 政策和程序。
**银行住房按揭贷款目标、风险、应对和控制活动
1. 职务分工：主要解决不相容职务分离
①授权批准职务与执行业务职务相分离； ②执行业务职务与审核监督职务相分离；
1、组织机构 具备条件的企业，应设内控与风险管理职能部门、 董事会可下设内控与风险管理委员会。该委员会的 召集人应由不兼任总经理的董事长担任；董事长兼 任总经理的，召集人应由外部董事或独立董事担任。 该委员会成员中需有熟悉企业重要管理及业务流程 的董事，以及具备风险管理监管知识或经验、具有 一定法律知识的董事。
关注点：
董事会的独立性 董事的知识与经验 专业委员会的设置及权力配置 董事会议事规则 董事会及下属委员会掌握重大信息、敏感信息的充分性与及 时性 董事会及下属委员会对重大问题所采取的行动
2、风险管理理念
受托责任意味着，一个人选择了某种职业，在这种 岗位上，就必须有看护他人利益的责任，如果一个 人为了自身的利益，（无论其出于多么合乎人性的 本能，）而违背这种信托责任，那么就一定会受到 法律追究或者社会道德的谴责。
企业内部控制与风险管理审计
内部控制与风险管理有何异同？
一 《企业内部控制基本规范》与 《中央企业全面风险管理指引》比较
二 美国《内部控制框架》与《风险管理框架》比较
第一部分 企业内部控制系统
一、内部控制的定义
内部控制是由董事会、监事会、经理层和
全体员工实施的、旨在为实现以下控制目
标的过程：
1、将内控作为一项制度来实施，忽视内控环境的建设 2、内控构建中模仿的成份较多，忽视创新和针对性 3、目标、公司层内控、业务层内控拟合程度不高 4、企业内控设计的精细化程度不够执行力度较弱 5、重业务层内控建设、轻公司层内控机制构建 6、内控维护和提升手段不到位
三 按框架要求建立内控体系
(一) 内部环境
③预算指标的下达及相关责任人或部门 的落实； ④预算执行的授权； ⑤预算执行过程的监控； ⑥预算差异的分析与调整； ⑦预算业绩的考核。
5.实物保全控制
①限制接近 ②定期盘点 ③记录保护 ④财产保险 ⑤财产记录监控
6 . 职工素质控制
①建立严格招聘程序，保证应聘人员符合招聘要求；
②制定员工工作规范，用以引导考核员 工行为；
内部控制评价和审计的核心问题是什么？ ----缺陷认定和严重程度评估
内部控制缺陷与局限性是什么关系？
监控期望的变化，并 认清其影响
认识到利益相关者期 望的变化会影响公司 的声誉，尽管看来不 尽合理
（四）信息与沟通 1 外部沟通 2 内部沟通
某软件公司研发部做出了软件升级的计 划，该计划的目标是： （1）运用可拓展商业报告语言（XBRL， Extensible Business Reporting Language）开发完全符合会计准则的低 成本的数据快速导入和转换软件； （2）运用色彩、图形和图表显示财务数 据和运营数据的可视化软件。
险
应
风险规避：企业对超出风 险承受度的风险，通过放
对
弃或者停止与该风险相关 的业务活动以避免和减轻
风险降低：企业在权衡成本效益之后， 准备采取适当的控制措施降低风险或
措
损失的策略。
者减轻损失，将风险控制在风险承受
施
度之内的策略。
选择风险应对措施
风险承受：企业对风险承受 度之内的风险，在权衡成本 效益之后，不准备采取控制 措施降低风险或者减轻损失 的策略。
营销部马上进行了声势浩大的广告宣传 活动，将公司逼入两难的进地：
（1）要么将未达到升级标准的软件仓促 推入市场； （2）要么无期限地推迟达到升级标准软 件的上市时间。 结果公司声誉大受影响。
（五）监督
1 日常经营中的相关监督
2 企业内部监督机构的监督 3 内部控制自我评价 4 内部控制审计
案例：
3.文件记录控制
①建立企业组织机构职能图和授权审批 权限一览表 ②建立全员岗位说明书 ③业务程序手册 ④会计流程与会计记录
4 全面预算控制
预算管理制度体系
预
预
预
预
预
预
预
算
算
算
算
算
算
算
组
指
编
监
报
考
激
织
标
制
控
告
评
励
制
体
程
与
制
制
制
度
系
序
调
度
度
度
与
整
方
制
法
度
体
系
①预算体系的建立，包括ห้องสมุดไป่ตู้算项目、标准 和程序； ②预算的编制和审定；
按照公司2007 年年报披露的净资产16.9 亿元。
上述规定相互冲突，没有任何交易事项符合上述标准，该条 款的约束条件应根据公司现有规模重新合理设置。
B股份有限公司的《公司章程》第一百一十条、《 对外投资管理制度》第六条均规定：交易涉及资产 总额占上市公司最近一期经审计总资产5%以上、绝 对金额超过1000万元等由董事会批准。 《董事会议事规则》第四条规定：交易涉及资产总 额占上市公司最近一期经审计净资产10%以上、或 绝对金额超过1000万元由董事会批准。
指一个或运多行个缺一陷般是缺指陷现的存组设合计，完可好能的严控重制影没响有内按 部整体控设制计的意有图效运性行，，进或而执导行致者企没业有无获法得及必时要防授 范或发现权严或重缺偏乏离胜整任体能控力制以目有标效的地情实形施。控制。
四、内控评价与审计应解决的两个问题
要使内部控制评价指引和审计指引在实践中产生 预期的效果，必须解决好两个关键问题
内部审计：交易性股票投资的审计监督
案例：完美的结合
战略定位：中等城市和大城市二级机场间的短程航运 战略路径：快捷服务+低成本
运营手段：
波音737 直接订票+自动售票 15分钟停泊 无餐饮、指定座位、高等舱
财务手段： 成本优先 分部核算 资金统一控制+分部定额 高薪酬+高持配
二、企业实施内控中存在的问题
7. 信息系统控制
①一般控制 ②应用控制
8. 内部审计控制 (1）独立性
（2）权威性
9 声誉风险控制
因素
控制 方法
内部协调不办
明确聚焦于声誉 管理
认识到这是一个 不可忽视的风险 ，协调各部门进 行主动管理，并 任命专门负责人
声誉与现实的差距
不断变化的看法和期望
客观评价声誉和现 实
分析公司声誉与实 际表现的差距，采 取相应措施
经营管理合法合规
来自于外在强制性
资产安全
财务报告及相关信息真实完整
提高经营的效率和效果 促进企业实现发展战略
较大程度上取决于管理层 的偏好、管理风险
------《企业内部控制基本规范》第3条
1、内部控制是一个过程，而不是目的 2、这一过程贯穿企业管理的各个层面、各个单元 3、力求实现一个或多个不同类型但相互交叉的目标 4、这一过程为目标的实现提供合理保证
如何理解内部控制是一个过程？它 为目标的实现提供合理保证？ ----通过过程把握尽量保证结果正确
案例：##交易性股票投资的控制过程
财务部：在 保证资金流 动性、安全 性前提下提 供资金额度
投资部：投资策略 的制定，包括风险 管理有效性标准、 风险承受度、股票 与债券的比例等。
证券期货部：按规定 进行投资组合、严格 执行每支股票投资额 度以及强行平仓标准 和及时报告制度。
范例：
牢记受托责任 风险管理是强制性的而非随意性的 合理承担风险 决策之前考虑所有形式的风险 以积极的态度执行风险管理的决策与措施
3、诚信与道德价值观
范例：
做法律和道德都允许做的事情 以最恰当的方式通过“规则盲区” 以合法和合理授权的方式使用公司和客户的资源 提供的产品和服务不低于我们的承诺 接收和支付贿赂是我们的耻辱 以尊敬、公正、礼貌对待同事和有业务往来的人 支持慈善、教育、人权和社区服务活动
4、胜任能力 5、权务与职责分配 6、人力资源政策
（二）风险评估
——目标、事项识别、风险评估与应对的关系
企业层面目标
业务层面目标
外部因素
风险评估
事项识别
风险应对
评估风险严重性 评估风险可能性 评估需要采取的行动
内部因素
确定相应的风险承
整体风险承受能力
受度：企业能够承
风
担的风险限度
业务层面的可接受风险水平
内部环境评估----诚信与道德价值观
行为准则和道德标准：守则是否全面可操作；是否定 期确认员工对守则的了解；若不存在守则，企业文化 是否强调诚信与道德 高层管理的基调以及通过语言和行为产生的示范效果
在较高道德标准下开展业务，如针对应工作差错产生 的供应商多给货、采购商多付款等事项
管理层对违背道德和规定的事项的处理：是否对违反 守则的行为做出反应；惩戒措施是否在员工中广泛沟 通；员工是否认识到违背行为准则将承担的后果 管理层对干预或凌驾既定控制的态度
按
严 重
重要缺陷：是指一个或多个控制缺陷的组合， 其严重程度和经济后果低于重大缺陷，但仍有
程
可能导致企业偏离控制目标的情形。
度
分 类
一般缺陷：是指除重大缺陷、重要缺陷之外的 其他控制缺陷。
有效：包括设计有效和运行有效，不存在重大缺陷
设无计效缺：陷存是在指一缺个少或为多实个现重控大制缺目陷标所必 需的控制，或现存控制设计不适当、即 使正常运行也难以实现控制目标。
③定期对员工进行培训，帮助其提高业 务素质，更好完成规定的任务；
④加强考核和奖惩力度，应定期对职工 业绩进行考核，奖惩分明； ⑤对重要岗位员工(如销售、采购、出纳) 应建立职业信用保险机制。 ⑥工作岗位轮换。
7.营运分析控制
资产负债比率 资本性支出与收益性支出的规模与结构 投资回报分析与投资预算 资金在虚拟经济与实体经济之间的流动 成本费用控制
2. 授权批准控制
①授权批准的范围 ②授权批准的层次 ③授权批准的责任
④授权批准的程序
湖北证监局对**股份有限公司发出的限期整改通知 书(节选)：
公司《章程》第143 条第二款第3 点关于董事会决策权限的 规定：“交易的成交金额占公司最近一期经审计净资产的10 ％以上且绝对金额超过1000 万元至50％以下且绝对金额不 超过5000 万元之间的重大交易事项”。
二、评价目标的确定
单个或整体控制目标
《企业内部控制评价指引》第四条规定：企 业结合实际情况，对战略目标、经营管理的 效率和效果目标、财务报告及相关信息真实 完整目标、资产安全目标、合法合规目标等 单个或整体控制目标的实现进行评价。
四、内部控制有效性的标准
缺 陷
重大缺陷：是指一个或多个控制缺陷的组合， 可能导致企业严重偏离控制目标的情形。
不切实际业绩目标的压力：是否存在极端的刺激或诱 惑致使产生不必要和不公平地考验人们对道德价值观 的坚持；薪酬和晋升是否与短期业绩目标结合太紧； 是否存在降低诱惑可能性的控制
1、对违德 行为的惩 戒措施十 分薄弱； 2、年度预 算指标过 高且在奖 金挂钩太 紧密
有明确的员工守则，管理层以身作则，今后应加强对违德行为的惩戒， 并改善预算系统与激励方式