1、泓域/半導體設備零部件研發(fā)公司內(nèi)部控制半導體設備零部件研發(fā)公司內(nèi)部控制目錄 TOC o 1-3 h z u HYPERLINK l _Toc114153250 一、 公司概況 PAGEREF _Toc114153250 h 3 HYPERLINK l _Toc114153251 公司合并資產(chǎn)負債表主要數(shù)據(jù) PAGEREF _Toc114153251 h 3 HYPERLINK l _Toc114153252 公司合并利潤表主要數(shù)據(jù) PAGEREF _Toc114153252 h 3 HYPERLINK l _Toc114153253 二、 項目概況 PAGEREF _Toc114153253

2、h 4 HYPERLINK l _Toc114153254 三、 內(nèi)部控制目標的設定 PAGEREF _Toc114153254 h 7 HYPERLINK l _Toc114153255 四、 目標設定的含義 PAGEREF _Toc114153255 h 10 HYPERLINK l _Toc114153256 五、 企業(yè)識別風險關注的因素 PAGEREF _Toc114153256 h 14 HYPERLINK l _Toc114153257 六、 風險識別的方法 PAGEREF _Toc114153257 h 15 HYPERLINK l _Toc114153258 七、 風險的分類和

3、評估 PAGEREF _Toc114153258 h 21 HYPERLINK l _Toc114153259 八、 風險的概念及其分類 PAGEREF _Toc114153259 h 23 HYPERLINK l _Toc114153260 九、 內(nèi)部控制評價的組織與實施 PAGEREF _Toc114153260 h 25 HYPERLINK l _Toc114153261 十、 內(nèi)部控制評價工作底稿與報告 PAGEREF _Toc114153261 h 36 HYPERLINK l _Toc114153262 十一、 審計工作計劃與實施 PAGEREF _Toc114153262 h 3

4、7 HYPERLINK l _Toc114153263 十二、 審計范圍與審計目標 PAGEREF _Toc114153263 h 42 HYPERLINK l _Toc114153264 十三、 內(nèi)部監(jiān)督比較 PAGEREF _Toc114153264 h 45 HYPERLINK l _Toc114153265 十四、 內(nèi)部監(jiān)督的內(nèi)容 PAGEREF _Toc114153265 h 45 HYPERLINK l _Toc114153266 十五、 證券市場與控制權配置 PAGEREF _Toc114153266 h 52 HYPERLINK l _Toc114153267 十六、 經(jīng)理人市

5、場 PAGEREF _Toc114153267 h 61 HYPERLINK l _Toc114153268 十七、 決策機制 PAGEREF _Toc114153268 h 66 HYPERLINK l _Toc114153269 十八、 信息披露機制 PAGEREF _Toc114153269 h 70 HYPERLINK l _Toc114153270 十九、 產(chǎn)業(yè)環(huán)境分析 PAGEREF _Toc114153270 h 76 HYPERLINK l _Toc114153271 二十、 行業(yè)發(fā)展現(xiàn)狀 PAGEREF _Toc114153271 h 78 HYPERLINK l _Toc1

6、14153272 二十一、 必要性分析 PAGEREF _Toc114153272 h 78 HYPERLINK l _Toc114153273 二十二、 SWOT分析 PAGEREF _Toc114153273 h 79 HYPERLINK l _Toc114153274 二十三、 發(fā)展規(guī)劃分析 PAGEREF _Toc114153274 h 87 HYPERLINK l _Toc114153275 二十四、 法人治理結構 PAGEREF _Toc114153275 h 90 HYPERLINK l _Toc114153276 二十五、 項目風險分析 PAGEREF _Toc11415327

7、6 h 102 HYPERLINK l _Toc114153277 二十六、 項目風險對策 PAGEREF _Toc114153277 h 104公司概況（一）公司基本信息1、公司名稱：xx有限公司2、法定代表人：肖xx3、注冊資本：1040萬元4、統(tǒng)一社會信用代碼：xxxxxxxxxxxxx5、登記機關：xxx市場監(jiān)督管理局6、成立日期：2015-9-47、營業(yè)期限：2015-9-4至無固定期限8、注冊地址：xx市xx區(qū)xx（二）公司主要財務數(shù)據(jù)公司合并資產(chǎn)負債表主要數(shù)據(jù)項目2020年12月2019年12月2018年12月資產(chǎn)總額7202.385761.905401.78負債總額3083.8

8、02467.042312.85股東權益合計4118.583294.863088.93公司合并利潤表主要數(shù)據(jù)項目2020年度2019年度2018年度營業(yè)收入14937.5111950.0111203.13營業(yè)利潤3281.262625.012460.95利潤總額2774.942219.952081.20凈利潤2081.201623.341498.46歸屬于母公司所有者的凈利潤2081.201623.341498.46項目概況（一）項目基本情況1、承辦單位名稱：xx有限公司2、項目性質(zhì)：技術改造3、項目建設地點：xx（以最終選址方案為準）4、項目聯(lián)系人：肖xx（二）主辦單位基本情況展望未來，公司將

9、圍繞企業(yè)發(fā)展目標的實現(xiàn)，在“夢想、責任、忠誠、一流”核心價值觀的指引下，圍繞業(yè)務體系、管控體系和人才隊伍體系重塑，推動體制機制改革和管理及業(yè)務模式的創(chuàng)新，加強團隊能力建設，提升核心競爭力，努力把公司打造成為國內(nèi)一流的供應鏈管理平臺。公司將依法合規(guī)作為新形勢下實現(xiàn)高質(zhì)量發(fā)展的基本保障，堅持合規(guī)是底線、合規(guī)高于經(jīng)濟利益的理念，確立了合規(guī)管理的戰(zhàn)略定位，進一步明確了全面合規(guī)管理責任。公司不斷強化重大決策、重大事項的合規(guī)論證審查，加強合規(guī)風險防控，確保依法管理、合規(guī)經(jīng)營。嚴格貫徹落實國家法律法規(guī)和政府監(jiān)管要求，重點領域合規(guī)管理不斷強化，各部門分工負責、齊抓共管、協(xié)同聯(lián)動的大合規(guī)管理格局逐步建立，廣大員

10、工合規(guī)意識普遍增強，合規(guī)文化氛圍更加濃厚。公司不斷推動企業(yè)品牌建設，實施品牌戰(zhàn)略，增強品牌意識，提升品牌管理能力，實現(xiàn)從產(chǎn)品服務經(jīng)營向品牌經(jīng)營轉(zhuǎn)變。公司積極申報注冊國家及本區(qū)域著名商標等，加強品牌策劃與設計，豐富品牌內(nèi)涵，不斷提高自主品牌產(chǎn)品和服務市場份額。推進區(qū)域品牌建設，提高區(qū)域內(nèi)企業(yè)影響力。企業(yè)履行社會責任，既是實現(xiàn)經(jīng)濟、環(huán)境、社會可持續(xù)發(fā)展的必由之路，也是實現(xiàn)企業(yè)自身可持續(xù)發(fā)展的必然選擇；既是順應經(jīng)濟社會發(fā)展趨勢的外在要求，也是提升企業(yè)可持續(xù)發(fā)展能力的內(nèi)在需求；既是企業(yè)轉(zhuǎn)變發(fā)展方式、實現(xiàn)科學發(fā)展的重要途徑，也是企業(yè)國際化發(fā)展的戰(zhàn)略需要。遵循“奉獻能源、創(chuàng)造和諧”的企業(yè)宗旨，公司積極履行

11、社會責任，依法經(jīng)營、誠實守信，節(jié)約資源、保護環(huán)境，以人為本、構建和諧企業(yè)，回饋社會、實現(xiàn)價值共享，致力于實現(xiàn)經(jīng)濟、環(huán)境和社會三大責任的有機統(tǒng)一。公司把建立健全社會責任管理機制作為社會責任管理推進工作的基礎，從制度建設、組織架構和能力建設等方面著手，建立了一套較為完善的社會責任管理機制。（三）項目建設選址及用地規(guī)模本期項目選址位于xx（以最終選址方案為準），占地面積約46.00畝。項目擬定建設區(qū)域地理位置優(yōu)越，交通便利，規(guī)劃電力、給排水、通訊等公用設施條件完備，非常適宜本期項目建設。（四）項目總投資及資金構成本期項目總投資包括建設投資、建設期利息和流動資金。根據(jù)謹慎財務估算，項目總投資21354

12、.12萬元，其中：建設投資16675.25萬元，占項目總投資的78.09%；建設期利息488.17萬元，占項目總投資的2.29%；流動資金4190.70萬元，占項目總投資的19.62%。（五）項目資本金籌措方案項目總投資21354.12萬元，根據(jù)資金籌措方案，xx有限公司計劃自籌資金（資本金）11391.36萬元。（六）申請銀行借款方案根據(jù)謹慎財務測算，本期工程項目申請銀行借款總額9962.76萬元。（七）項目預期經(jīng)濟效益規(guī)劃目標1、項目達產(chǎn)年預期營業(yè)收入（SP）：35300.00萬元。2、年綜合總成本費用（TC）：30873.73萬元。3、項目達產(chǎn)年凈利潤（NP）：3214.50萬元。4、財

13、務內(nèi)部收益率（FIRR）：7.46%。5、全部投資回收期（Pt）：8.03年（含建設期24個月）。6、達產(chǎn)年盈虧平衡點（BEP）：18679.00萬元（產(chǎn)值）。（八）項目建設進度規(guī)劃項目計劃從可行性研究報告的編制到工程竣工驗收、投產(chǎn)運營共需24個月的時間。內(nèi)部控制目標的設定（一）制訂戰(zhàn)略目標企業(yè)的戰(zhàn)略目標一般是穩(wěn)定的，但與其相關的業(yè)務層面的目標具有動態(tài)性，會隨著內(nèi)部和外部的條件而調(diào)整。在企業(yè)風險管理目標的設計過程中，首先要確定企業(yè)層面的目標，即戰(zhàn)略目標。戰(zhàn)略目標需要通過董事會及員工的相互溝通后確定，同時還要有支持其實現(xiàn)的資金預算及戰(zhàn)略計劃。戰(zhàn)略目標的制訂需要經(jīng)過如下5個階段。（1）明確企業(yè)發(fā)展

14、目標。企業(yè)在長期規(guī)劃中應明確自身的發(fā)展目標和發(fā)展方向，通過培訓、發(fā)放宣傳手冊、領導講話等方式將企業(yè)層面的目標清晰地傳達給員工。（2）制訂實現(xiàn)目標的戰(zhàn)略規(guī)劃。企業(yè)通過SWOT分析，在了解自身的優(yōu)勢、劣勢、機會和威脅的基礎上制訂幫助企業(yè)實現(xiàn)目標的戰(zhàn)略規(guī)劃。（3）制訂年度計劃及資金預算。企業(yè)根據(jù)制訂的中長期戰(zhàn)略規(guī)劃，編制年度經(jīng)營計劃。該年度經(jīng)營計劃應符合企業(yè)中長期戰(zhàn)略規(guī)劃的效益目標、投資方向和投資結構。（4）企業(yè)編制年度預算。企業(yè)應按照上下結合、分級編制、逐級匯總的原則編制全面預算，將戰(zhàn)略目標進一步分解、細化與落實。（5）企業(yè)編制企業(yè)預算管理辦法，明確編制預算的基本原則、內(nèi)容、編制依據(jù)等。（二）確定

15、業(yè)務層面目標業(yè)務層面目標包括合規(guī)目標、資產(chǎn)目標、報告目標和經(jīng)營目標它來自企業(yè)戰(zhàn)略目標及戰(zhàn)略規(guī)劃，并制約或促進企業(yè)戰(zhàn)略目標的實現(xiàn)。業(yè)務層面的目標應具體并具有可衡量性，并且與重要業(yè)務流程密切相關。業(yè)務層面目標的制訂需要經(jīng)過如下四個階段。（1）設定業(yè)務層面目標。企業(yè)的總目標及戰(zhàn)略目標規(guī)劃為業(yè)務層面目標的設定指明了方向，業(yè)務層面根據(jù)自身的實際情況及總體目標的要求提出本單位的目標，通過上下不斷溝通最終確定。（2）根據(jù)企業(yè)的發(fā)展變化，定期更新業(yè)務活動的目標。（3）配置資源以保證業(yè)務層面目標的順利實現(xiàn)。企業(yè)在確定各業(yè)務單位的目標之后，將人、財、物等資源合理分配下去，以保證各業(yè)務單位有實現(xiàn)其目標的資源。（4）

16、分解業(yè)務目標并下達。企業(yè)確定業(yè)務層面的目標后，再將其分解至各具體的業(yè)務活動中，明確相應崗位的目標。（三）合理確定風險承受能力為了合理地確定風險承受能力，在目標設定階段，企業(yè)必須解決以下3個基本問題。（1）風險偏好。風險偏好是指企業(yè)在實現(xiàn)其目標的過程中愿意接受的風險程度。可以采用定性和定量兩種方法對風險偏好加以度量。風險偏好與企業(yè)的戰(zhàn)略直接相關，在戰(zhàn)略制定階段，企業(yè)應進行風險管理，考慮將該戰(zhàn)略的既定收益與企業(yè)的風險偏好結合起來，目的是幫助企業(yè)的管理者在不同的戰(zhàn)略之間選擇與企業(yè)的風險偏好相一致的戰(zhàn)略。（2）風險容忍度。風險容忍度是指在企業(yè)目標實現(xiàn)的過程中對差異的可接受程度，是企業(yè)在風險偏好的基礎上

17、設定的對相關目標實現(xiàn)過程中所出現(xiàn)的差異的可容忍限度。企業(yè)風險管理（2016）將風險容忍度確定為可接受的績效變動區(qū)間，該定義更加明確和可度量，有助于組織在給定績效目標下量化可以承受的風險邊界。（3）風險組合觀。風險管理要求企業(yè)管理者以風險組合的觀點看待風險，對相關的風險進行識別并采取措施，以使企業(yè)所承受的風險在風險偏好的范圍內(nèi)。對企業(yè)內(nèi)每個單位而言，其風險可能落在該單位的風險容忍度范圍內(nèi)，但從企業(yè)總體來看，總風險可以超過企業(yè)總體的風險偏好范圍。因此，應以企業(yè)總體的風險組合的觀點看待風險。目標設定的含義我國內(nèi)部控制基本規(guī)范第二十條規(guī)定，企業(yè)應當根據(jù)設定的控制目標，全面、系統(tǒng)、持續(xù)地收集相關信息，結

18、合實際情況，及時進行風險評估。目標設定是風險識別、風險分析和風險應對的前提。在管理當局識別和分析風險并采取行動來管理風險之前，首先必須有目標，確定與目標相關的風險，目標設定是風險評估的前提。目標設定分為三個層次，首先在企業(yè)既定的使命或愿景指導下，管理層制定企業(yè)的戰(zhàn)略目標；其次根據(jù)戰(zhàn)略目標制定業(yè)務層面的目標，并在企業(yè)內(nèi)層層分解和落實；最后根據(jù)設定的目標合理確定企業(yè)整體風險承受能力和具體業(yè)務層次上可接受的風險水平。企業(yè)應當按照戰(zhàn)略目標，設定相關的經(jīng)營目標、財務報告目標、合規(guī)性目標與資產(chǎn)安全目標，并根據(jù)設定的目標合理確定企業(yè)整體風險承受能力和具體業(yè)務層次上的可接受的風險水平。1、戰(zhàn)略目標戰(zhàn)略目標反映

19、了管理層就主體如何努力為其利益相關者創(chuàng)造價值所做出的選擇，是高層次的目標，與其使命相關聯(lián)并支撐其使命。企業(yè)在考慮實現(xiàn)戰(zhàn)略目標的各種方案時，必須考慮與各種戰(zhàn)略相伴的風險及其影響。戰(zhàn)略目標方面的關注點主要包括：（1）對企業(yè)績效現(xiàn)狀進行的評估（2）對內(nèi)部和外部環(huán)境的監(jiān)測分析；（3）戰(zhàn)略目標體系（4）戰(zhàn)略選擇遵循必要的流程，以及獲得了充分的討論；（5）對目標實現(xiàn)與現(xiàn)有資源狀況之間的匹配程度進行的評估；（6）設定戰(zhàn)略目標可接受程度；（7）就戰(zhàn)略目標與企業(yè)內(nèi)部員工和外部相關利益集團之間的溝通。2、經(jīng)營目標經(jīng)營目標與企業(yè)經(jīng)營的效率與效果有關，包括業(yè)績和盈利目標的實現(xiàn)，需要反映企業(yè)運營所處的特定經(jīng)營、行業(yè)和經(jīng)

20、濟環(huán)境。經(jīng)營目標來自公司的戰(zhàn)略目標和戰(zhàn)略計劃，并與之緊密聯(lián)系，是隨著具體對象和不同時段制訂的，這些目標應針對每個重要業(yè)務活動并與其他業(yè)務活動保持一致。經(jīng)營目標方面的關注點主要包括以下幾點：（1）經(jīng)營目標與公司戰(zhàn)略目標及戰(zhàn)略計劃一致；（2）經(jīng)營目標適應公司所處的特定經(jīng)營環(huán)境、行業(yè)和經(jīng)濟環(huán)境等；（3）各個業(yè)務活動目標之間保持一致；（4）所有重要業(yè)務流程與業(yè)務活動目標相關；（5）適當?shù)馁Y源及有效配置（6）管理層制定的公司經(jīng)營目標及其對目標的負責程度。3、報告目標報告目標與財務報告及其相關信息的真實完整有關。可靠的報告能夠為管理層提供適合其既定目標的準確而完整的信息，支持管理層的決策，并對主體活動和業(yè)

21、績實施有效監(jiān)控。報告目標方面的關注點主要包括以下幾點：（1）管理層決策及對公司活動、業(yè)績監(jiān)控的準確、及時、完整的信息的對內(nèi)報告；（2）滿足投資者、監(jiān)管部門及其他相關信息需求者真實、可靠、完整的信息的對外報告；（3）反映信息的全面性，包括財務信息與非財務信息。4、資產(chǎn)安全目標資產(chǎn)安全目標是內(nèi)部控制的基本目標，包括：防止企業(yè)無效率經(jīng)營，損失資產(chǎn)；防止員工舞弊；防止公司資產(chǎn)被盜等。資產(chǎn)的安全與完整對于我國企業(yè)尤其是國有企業(yè)具有非常重要的現(xiàn)實意義，近年來國有資產(chǎn)流失的案件屢有發(fā)生，內(nèi)部控制應該把資產(chǎn)安全作為一個重要的目標來加以實現(xiàn)。資產(chǎn)安全目標方面的關注點主要包括以下幾點：（1）關注企業(yè)日常經(jīng)營活動的

22、效率；（2）提高企業(yè)的生產(chǎn)力和競爭力；（3）防止資產(chǎn)縮水；（4）關注資產(chǎn)使用及處置的授權情況。5、合規(guī)目標合規(guī)目標與企業(yè)各項活動的合法性有關。企業(yè)進行內(nèi)部控制建設必須符合相關的法律和法規(guī)。企業(yè)需要根據(jù)相關的法律法規(guī)制定最低的行為標準并作為企業(yè)的遵循目標，企業(yè)的合規(guī)記錄可能對它在社會上的聲譽產(chǎn)生極大的正面或負面影響。合規(guī)目標方面的關注點主要包括：公司的各項活動符合法律法規(guī)的要求，通常涉及知識產(chǎn)權、市場、價格、稅收、環(huán)境、員工福利以及國際貿(mào)易等。企業(yè)識別風險關注的因素（一）內(nèi)部風險我國企業(yè)內(nèi)部控制基本規(guī)范第二十二條規(guī)定，企業(yè)識別內(nèi)部風險，應當關注下列因素。（1）董事、監(jiān)事、經(jīng)理及其他高級管理人員的

23、職業(yè)操守，員工專業(yè)勝任能力等人力資源因素；（2）組織機構、經(jīng)營方式、資產(chǎn)管理、業(yè)務流程等管理因素；（3）研究開發(fā)、技術投入、信息技術運用等自主創(chuàng)新因素；（4）財務狀況、經(jīng)營成果、現(xiàn)金流量等財務因素；（5）營運安全、員工健康、環(huán)境保護等安全環(huán)保因素；（6）其他有關內(nèi)部風險因素。（二）外部風險我國企業(yè)內(nèi)部控制基本規(guī)范第二十三條規(guī)定，企業(yè)識別外部風險，應當關注下列因素。（1）經(jīng)濟形勢、產(chǎn)業(yè)政策、融資環(huán)境、市場競爭等經(jīng)濟因素；（2）法律法規(guī)、監(jiān)管要求等法律因素；（3）安全穩(wěn)定、文化傳統(tǒng)、社會信用、教育水平、消費者行為等社會因素；（4）技術進步、工藝改進等科學技術因素；（5）自然災害、環(huán)境狀況等自然環(huán)境

24、因素；（6）其他有關外部風險因素。風險識別的方法風險識別是指對企業(yè)面臨的各種風險進行確認的一個動態(tài)、連續(xù)的過程。從風險產(chǎn)生的原因入手，通過各種識別方法發(fā)現(xiàn)客觀存在的不確定性，即辨識風險，下面簡要介紹幾種常用的風險識別方法。（一）風險清單法風險清單是指由專業(yè)人員設計好風險標準的表格或者問卷，全面地羅列一個企業(yè)可能面臨的風險。表格多由風險管理方面的專家提供，包含人們已經(jīng)識別出的最基本的各類風險。該方法的優(yōu)點是經(jīng)濟方便，適合新公司或初次構建風險管理制度的公司適用，幫助他們識別最基本的風險，降低忽略重要風險源的可能性；缺點是表格的初次制作比較費時，問卷回收率可能較低，質(zhì)量難以有效控制。（二）流程圖分析

25、法流程圖分析法是指首先按企業(yè)經(jīng)營過程的內(nèi)在邏輯制作出作業(yè)流程圖，然后對其中的重要環(huán)節(jié)和薄弱之處進行調(diào)查和分析的方法。基本步驟如下。（1）梳理單位各類經(jīng)濟活動的業(yè)務流程，明確業(yè)務環(huán)節(jié)；（2）設計流程圖，把流程圖中的風險揭示出來，確定風險點；（3）解釋流程圖；（4）選擇風險應對策略。流程圖有助于識別企業(yè)經(jīng)營過程中所面臨的風險。其優(yōu)點是可以將復雜的生產(chǎn)過程或業(yè)務流程簡單化，從而發(fā)現(xiàn)風險；其缺點是流程圖的繪制較耗費時間，而且不可能進行定量分析從而無法判斷風險發(fā)生的可能性。（三）現(xiàn)場調(diào)查法現(xiàn)場調(diào)查法相當于對風險進行一次全面的檢查，其主要步驟如下。（1）調(diào)查前的準備工作。包括確定調(diào)查的時間，其中需要明確開

26、始時間、結束時間和持續(xù)時間等，還要明確調(diào)查的對象，包括調(diào)查人數(shù)等。實際工作中一般應事先設計好調(diào)查表格。（2）進行現(xiàn)場調(diào)查和訪問，由被調(diào)查人認真填寫表格，表格填寫應符合規(guī)范，避免出現(xiàn)不符合要求的問卷而影響調(diào)查結果。（3）將調(diào)查結果及時進行反饋，以便發(fā)現(xiàn)潛在的問題?，F(xiàn)場調(diào)查法的優(yōu)點是可以獲得一手的資料而不依賴他人的數(shù)據(jù)，同時在調(diào)查過程中可以與基層人員建立良好的關系。缺點是耗時過多，成本過大，在調(diào)查的過程中，可能會引起一些員工的反感。（四）財務報表分析法財務報表是反映企業(yè)一定時點的財務狀況、一定期間經(jīng)營成果和現(xiàn)金流量的文件，因此分析財務報表有利于認識經(jīng)營風險可能的來源。財務報表分析法主要是通過分析企

27、業(yè)的資產(chǎn)負債表、利潤表、現(xiàn)金流量表和所有者權益變動表以及補充記錄來識別企業(yè)潛在的風險。財務報表分析法具體又分為以下幾種主要方法。1、趨勢分析法趨勢分析法是通過對一個企業(yè)連續(xù)數(shù)期的利潤表和資產(chǎn)負債表的各個項目進行比較，求出金額和百分比增減變動的方向和幅度，以揭示當期財務狀況和經(jīng)營狀況增減變化的性質(zhì)及其趨勢。趨勢分析法通常包括橫向分析法和縱向分析法。橫向分析法又稱水平分析法，是在會計報表中用金額、百分比的形式，將各個項目的本期或多期的金額與基期的金額進行比較分析，以觀察企業(yè)經(jīng)營成果與財務狀況的變化趨勢；縱向分析法又稱垂直分析法，是對會計報表中某一期的各個項目，分別與其中一個作為基期金額的特定項目進

28、行百分比分析，借以觀察經(jīng)營成果與財務狀況的變化趨勢。2、比率分析法比率分析法就是把財務報表的某些項目同其他項目進行比較，這些金額或者數(shù)據(jù)可以選自一張財務報表，亦可以選自兩張財務報表。比率分析法可以分析財務報表所列示項目與項目之間的相互關系，因此運用得比較廣泛。主要有經(jīng)營成果的比率分析、權益狀況的比率分析、流動資產(chǎn)狀況的比率分析。3、因素分析法因素分析法也是財務報表分析中常用的一種技術方法，它是指把整體分解為若干個局部的分析方法，包括比率因素分析法和差異因素分解法。比率因素分解法，是指把一個財務比率分解為若干個影響因素的方法。例如，資產(chǎn)收益率可以分解為資產(chǎn)周轉(zhuǎn)率和銷售利潤率兩個比率的乘積，財務比

29、率是財務報表分析的特有概念。在實際的分析中，分解法和比較法是結合使用的，比較之后需要分解，以深入了解差異的原因。分解之后還需要比較，以進一步認識其特征。不斷的比較和分解，構成了財務報表分析的主要過程。為了解釋比較分析中形成差異的原因，需要使用差異分解法。例如，將產(chǎn)品材料成本差異分解為價格差異和數(shù)量差異。差異分解法又分為定基替代法和連環(huán)替代法兩種。定基替代法是測定比較差異成因的一種定量方法。按照這種方法，需要分別用標準值（歷史的、同業(yè)企業(yè)的或預算的標準）替代實際值，以測定各個因素對財務指標的影響。連環(huán)替代法是另外一種測定比較差異成因的定量分析方法。按照這種方法，需要依次用標準值替代實際值，以測定

30、各個因素對財務指標的影響。（五）事件樹分析法事件樹分析法又稱故障樹法，其實質(zhì)是利用邏輯思維的規(guī)律和形式，從宏觀的角度去分析事故形成的過程。它的理論基礎是，任何一起事故的發(fā)生，必定是一系列事件按時間順序相繼出現(xiàn)的結果，前一事件的出現(xiàn)是隨后事件發(fā)生的條件，在時間的發(fā)展過程中，每一事件有兩種可能的狀態(tài)，即成功和失敗。事件樹法從某一風險結果出發(fā)，運用邏輯推理的方法推導出引起風險的原因，遵循風險事件一中間事件一基本事件的邏輯結構。事件樹分析法的一般步驟如下：（1）定義目標，此時需要考慮影響目標的各種風險因素；（2）做出風險因果圖；（3）全面考慮各風險因素之間的相互關系，從而研究對風險所采取的對策或行動方

31、案。事故樹法的優(yōu)點是把影響企業(yè)整體目標實現(xiàn)的諸多因素及其因果關系一步步清楚地列示出來，有利于下一步進行深入的風險分析。該方法通常用于直接經(jīng)驗較少的風險識別，效果非常直觀，缺點是容易產(chǎn)生遺漏和錯誤。（六）可行性研究可行性研究是在項目計劃階段即對風險進行定性識別的方法。它的工作步驟如下：（1）檢查各部分原始意圖（2）發(fā)現(xiàn)有無偏離原始意圖的情況；（3）尋找偏離原因（4）預測偏離后果。該方法的優(yōu)點是可在項目實施前就發(fā)現(xiàn)風險并加以處理；缺點是比較費時，需要詳細的設計系統(tǒng)圖的支持。（七）其他方法風險管理人員必須始終對新的、變化中的風險保持警惕，經(jīng)常檢查關鍵文檔就是一個好方法。關鍵文檔包括董事會會議的詳細記

32、錄、資金申請表、公司指南、年度報告等，這些文件提供的信息并非詳盡，卻是風險管理中使用最為頻繁的信息資源。面談也是另外一個有利于風險事項識別的重要信息資源。許多信息沒有記錄在文檔文件里面，而只存在于經(jīng)營管理人員和員工的頭腦里。與不同層次不同領域的員工進行面談以便增加識別潛在風險事項的信息資源。一般情況下，可以考慮和以下人員進行面談：經(jīng)營部門經(jīng)理、首席財務官、法律顧問、人力資源部經(jīng)理、基層護理人員、工人和領班、外部人員等。與一般基層工人的談話可以發(fā)現(xiàn)一些不安全的設備和操作方法，這些問題在正規(guī)的報告里面是不會反映出來的而通過與高層管理者的面談，風險防范人員能夠了解最高管理層可以容忍的純粹風險程度，以

33、及希望轉(zhuǎn)移的風險。風險識別是風險管理中最基礎的工作，從定性的經(jīng)驗判斷到各種定量方法，不僅要發(fā)現(xiàn)風險，還要進行風險因素分析，它是一個復雜的系統(tǒng)工程。任何一種方法都不能揭示出企業(yè)面臨的全部風險，更不可能揭示導致風險事故的所有因素，故應將多種方法結合使用。風險的分類和評估（一）風險的分類企業(yè)所面臨的風險從來源上分，有企業(yè)內(nèi)部和外部兩個方面。外部風險包括：科技發(fā)展帶來的企業(yè)技術、管理、信息等方面的風險；顧客需求或預期改變；競爭的存在；自然災害；政治事件；經(jīng)濟環(huán)境的改變等。內(nèi)部風險主要有：員工的素質(zhì)和能力；經(jīng)理人的責任改變；董事會或監(jiān)督委員會的責任履行情況等。從企業(yè)能否對風險進行控制來分，風險分為可控風

34、險和不可控風險兩種。（二）風險評估風險評估是一個比較寬泛的概念，在有的內(nèi)部控制或風險管理標準中，風險評估就是風險管理，包括了風險管理的全過程，可以說是風險管理的代名詞。而在有的內(nèi)部控制或風險管理標準中，風險評估是全面風險管理的一個步驟，包括內(nèi)容有多有少，如目標確定、風險識別、風險分析、風險評價以及風險應對等。1、COSO92關于風險評估概念COSO內(nèi)部控制整體框架把風險評估列為內(nèi)部控制的五要素之內(nèi)部控制整體框架認為，風險評估是指單位為實現(xiàn)其目標而確認的相關風險，以構成進行風險管理的基礎。單位風險可能來自于：（1）經(jīng)營環(huán)境的變化；（2）聘用新的員工；（3）采用新的或改良的信息系統(tǒng)（4）迅猛的發(fā)展

35、速度；（5）新技術的運用（6）新的行業(yè)、產(chǎn)業(yè)或經(jīng)營活動的開發(fā)；（7）企業(yè)改組；（8）海外經(jīng)營；（9）新的會計方法的采用。2、COSO04關于風險評估概念企業(yè)風險管理整體框架指出風險評估要對識別的風險進行分析，以便確定對他們進行管理的依據(jù)。強調(diào)風險評估是風險管理的一個步驟，相當于我國企業(yè)內(nèi)部控制基本規(guī)范的風險分析。3、我國企業(yè)內(nèi)部控制基本規(guī)范關于風險評估概念我國企業(yè)內(nèi)部控制基本規(guī)范借鑒企業(yè)風險管理整體框架，認為風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關的風險，從而合理確定風險應對策略。即為識別、分析、管理與企業(yè)活動相關的市場風險、政策風險、法律風險、匯率風險、經(jīng)營風險等各種

36、風險而建立的機制。該概念沿用COSO92的要素理念，是相對寬泛的概念，包括COSO04目標設定、事項識別、風險評估和風險應對四大要素的組合。風險的概念及其分類古人說：“宜未雨而綢繆，毋臨渴而掘井?！逼髽I(yè)在生產(chǎn)經(jīng)營的過程中，面臨著諸多的風險，如果我們沒有妥善地處理，風險事故一旦發(fā)生，輕則影響生產(chǎn)經(jīng)營穩(wěn)定和企業(yè)經(jīng)濟效益，重則危及企業(yè)的生存。因此風險評估的目的是為了給企業(yè)造就一個安全穩(wěn)定的生產(chǎn)經(jīng)營環(huán)境，這有助于增加領導層經(jīng)營管理決策的正確性，進而提高企業(yè)的經(jīng)濟效益。（一）風險的概念企業(yè)在經(jīng)營活動中，會遇到各種不確定性事件，這些事件發(fā)生的概率及其影響程度是無法事先預知的，進而影響企業(yè)目標的實現(xiàn)。所謂風

37、險，就是在一定環(huán)境下和一定限期內(nèi)客觀存在的、影響企業(yè)目標實現(xiàn)的各種不確定性事件。或者說，風險就是指在一個特定的時間內(nèi)和一定的環(huán)境條件下，人們所期望的目標與實際結果之間的差異程度。因此，風險是一個事項將會發(fā)生并給目標實現(xiàn)帶來負面影響的可能性。風險具有客觀性、普遍性、潛在性、必然性、可識別性、可控性、損失性和不確定性等特點，風險與機會同在。COSO企業(yè)風險管理新框架（2016）指出風險是指事項發(fā)生并影響戰(zhàn)略和業(yè)務目標之實現(xiàn)的可能性。該定義兼顧了正面和負面的影響，這和國際風險管理標準ISO31000及中國風險管理標準GBT24353是一致的。為了與我國內(nèi)部控制規(guī)范一致，本書采用COSO04的定義。（

38、二）風險的構成要素風險一般包括以下三項構成要素。1、風險因素風險因素是指促使某一特定風險事故發(fā)生或增加其發(fā)生的可能性或擴大其損失程度的原因或條件。它是風險事故發(fā)生的潛在原因，是造成損失的內(nèi)在或間接原因。例如，對于建筑物而言，風險因素是指其所使用的建筑材料的質(zhì)量、建筑結構的穩(wěn)定性等；對于人而言，則是指健康狀況和年齡等；對于企業(yè)而言，風險因素則包括企業(yè)人員因素、結構因素、外部環(huán)境因素等。2、風險事故風險事故也稱風險事件，是指造成傷害或財產(chǎn)損失的偶發(fā)事件是造成損失的直接的或外在的原因，是損失的媒介物，即風險只有通過風險事故的發(fā)生才能導致?lián)p失。就某一事件來說，如果它是造成損失的直接原因，那么它就是風險

39、事故；而在其他條件下，如果它是造成損失的間接原因，它便成為風險因素。例如，對于企業(yè)而言，發(fā)生倉庫貨物被盜是風險事故，而安保系統(tǒng)不健全是風險因素。3、損失在風險管理中，損失是指非故意的、非預期的、非計劃的經(jīng)濟價值的減少。通?？梢詫p失分為兩種形態(tài)，即直接損失和間接損失。直接損失是指風險事故導致的財產(chǎn)本身損失和人身傷害，這類損失又稱為實質(zhì)損失：間接損失則是指由直接損失引起的其他損失，包括額外費用損失、收入損失和責任損失。內(nèi)部控制評價的組織與實施內(nèi)部控制評價是由企業(yè)董事會和管理層實施的。進行評價的具體內(nèi)容應圍繞企業(yè)內(nèi)部控制基本規(guī)范中提及的內(nèi)部控制五個要素即內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)

40、部監(jiān)督，以及企業(yè)內(nèi)部控制基本規(guī)范及企業(yè)內(nèi)部控制應用指引中的內(nèi)容。在確定具體內(nèi)容后，企業(yè)應制定內(nèi)部控制評價程序，對內(nèi)部控制有效性進行全面評價，包括財務報告內(nèi)部控制有效性和非財務報告內(nèi)部控制有效性；同時為內(nèi)部評價工作形成工作底稿，詳細記錄企業(yè)執(zhí)行評價工作的內(nèi)容，包括評價要素、關鍵風險點、采取的控制措施、有關證據(jù)資料以及認定結果等；企業(yè)還應在評價工作中明確內(nèi)部控制缺陷的認定準則；完成評價后，企業(yè)應當準備一份內(nèi)部控制自我評價報告，在其年報中進行披露：企業(yè)董事會應當對內(nèi)部控制評價報告的真實性負責。（一）內(nèi)部控制評價的相關概念內(nèi)部控制評價一般是指由專門的機構或人員，通過對單位內(nèi)部控制系統(tǒng)的了解、測試和分析

41、，對其完整性、合理性及有效性提出意見，并進行報告，以利于單位進一步健全和完善內(nèi)部控制體系。我國企業(yè)內(nèi)部控制基本規(guī)范第四十六條指出：企業(yè)應當結合內(nèi)部監(jiān)督情況，定期對內(nèi)部控制的有效性進行自我評價，出具內(nèi)部控制自我評價報告。內(nèi)部控制自我評價的方式、范圍、程序和頻率，由企業(yè)根據(jù)經(jīng)營業(yè)務調(diào)整、經(jīng)營環(huán)境變化、業(yè)務發(fā)展狀況、實際風險水平等自行確定。（二）內(nèi)部控制評價應當遵循的原則根據(jù)企業(yè)內(nèi)部控制評價指引第三條的規(guī)定，內(nèi)部控制評價應遵循以下3個原則。1、全面性原則評價工作應當包括內(nèi)部控制的設計與運行，涵蓋企業(yè)及其所屬單位的各種業(yè)務和事項。2、重要性原則評價工作應當在全面評價的基礎上，關注重要業(yè)務單位、重大業(yè)務

42、事項和高風險領域。3、客觀性原則評價工作應當準確地揭示經(jīng)營管理的風險狀況，如實反映內(nèi)部控制設計與運行的有效性。（三）內(nèi)部控制評價的內(nèi)容根據(jù)企業(yè)內(nèi)部控制評價指引的要求，內(nèi)部控制評價涉及以下7個方面。（1）企業(yè)應當根據(jù)企業(yè)內(nèi)部控制基本規(guī)范、應用指引以及本企業(yè)的內(nèi)部控制制度，圍繞內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督等要素，確定內(nèi)部控制評價的具體內(nèi)容，對內(nèi)部控制設計與運行情況進行全面評價。（2）企業(yè)組織開展內(nèi)部環(huán)境評價，應當以組織架構、發(fā)展戰(zhàn)略、人力資源、企業(yè)文化、社會責任等應用指引為依據(jù)，結合本企業(yè)的內(nèi)部控制制度，對內(nèi)部環(huán)境的設計及實際運行情況進行認定和評價。（3）企業(yè)組織開展風險評估

43、機制評價，應當以企業(yè)內(nèi)部控制基本規(guī)范有關風險評估的要求，以及各項應用指引中所列主要風險為依據(jù)，結合本企業(yè)的內(nèi)部控制制度，對日常經(jīng)營管理過程中的風險識別、風險分析、應對策略等進行認定和評價。（4）企業(yè)組織開展控制活動評價，應當以企業(yè)內(nèi)部控制基本規(guī)范和各項應用指引中的控制措施為依據(jù)，結合本企業(yè)的內(nèi)部控制制度，對相關控制措施的設計和運行情況進行認定和評價。（5）企業(yè)組織開展信息與溝通評價，應當以內(nèi)部信息傳遞、財務報告、信息系統(tǒng)等相關應用指引為依據(jù)，結合本企業(yè)的內(nèi)部控制制度，對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務報告的真實性、信息系統(tǒng)的安全性，以及利用信息系統(tǒng)實施內(nèi)部控制的有效性等進

44、行認定和評價。（6）企業(yè)組織開展內(nèi)部監(jiān)督評價，應當以企業(yè)內(nèi)部控制基本規(guī)范有關內(nèi)部監(jiān)督的要求，以及各項應用指引中有關日常管控的規(guī)定為依據(jù)，結合本企業(yè)的內(nèi)部控制制度，對內(nèi)部監(jiān)督機制的有效性進行認定和評價，重點關注監(jiān)事會、審計委員會、內(nèi)部審計機構等是否在內(nèi)部控制設計和運行中有效發(fā)揮監(jiān)督作用。（7）內(nèi)部控制評價工作應當形成工作底稿，詳細記錄企業(yè)執(zhí)行評價工作的內(nèi)容，包括評價要素、主要風險點、采取的控制措施、有關證據(jù)資料以及認定結果等。評價工作底稿應當設計合理、證據(jù)充分、簡便易行、便于操作。（四）內(nèi)部控制評價的程序根據(jù)企業(yè)內(nèi)部控制評價指引第十二條的要求，企業(yè)應按照內(nèi)部控制評價辦法規(guī)定程序，有序開展內(nèi)部控制

45、評價工作。內(nèi)部控制評價程序一般包括制訂評價控制方案、組成評價工作組、實施評價工作與測試、認定控制缺陷、匯總評價結果及編報評價報告等環(huán)節(jié)。在這里重點講解制訂評價控制方案、組成評價工作組、實施評價工作與測試、匯總評價結果四個環(huán)節(jié)。1、制訂評價控制方案企業(yè)可以授權審計部門或?qū)ｉT機構負責內(nèi)部控制評價組織的實施工作。承擔內(nèi)部控制評價的部門或機構應具備以下條件。（1）能夠獨立行使對內(nèi)部控制系統(tǒng)建立與運行過程及結果進行監(jiān)督的權力；（2）具備與監(jiān)督和評價內(nèi)部控制系統(tǒng)相適應的專業(yè)勝任能力和職業(yè)道德素養(yǎng)；（3）與企業(yè)其他職能機構就監(jiān)督與評價內(nèi)部控制系統(tǒng)方面應當保持協(xié)調(diào)一致，在工作中相互配合、相互制約；（4）能夠得

46、到企業(yè)董事會和經(jīng)理層的支持，通常直接接受董事會及其審計委員會的領導和監(jiān)事會的監(jiān)督，有足夠的權威性來保證內(nèi)部控制評價工作的順利開展。內(nèi)部控制評價部門或機構應根據(jù)內(nèi)部監(jiān)督情況和要求，制訂評價工作方案，明確評價范圍、工作任務、人員組織、進度安排和費用預算等相關內(nèi)容，報經(jīng)董事會或其授權審批后實施。這是一個進行內(nèi)部控制評估前的全面計劃，提供內(nèi)部控制評價的效率和效果。2、組成評價工作組內(nèi)部控制評價部門或機構在評價方案獲得批準后，需要組織評價工作組，具體承擔內(nèi)部控制檢查評價任務。評價工作組成員應具備獨立性、業(yè)務勝任能力和職業(yè)道德素養(yǎng)及吸收企業(yè)內(nèi)部相關機構熟悉情況、參與日常監(jiān)控的負責人或業(yè)務骨干參加。企業(yè)可根

47、據(jù)自身的條件建立內(nèi)部控制培訓機制，為評價工作組成員提供培訓，使其盡快掌握內(nèi)部控制知識，熟悉企業(yè)業(yè)務流程及應關注重點、評價工作流程、方法以及工作底稿準備的要求。對于擁有內(nèi)部審計部門的企業(yè)來說，內(nèi)審部門很有可能也同樣地擔當內(nèi)部控制評價組的工作。但如果企業(yè)決定利用外聘會計師事務所為其提供內(nèi)部控制評價服務，根據(jù)企業(yè)內(nèi)部控制基本規(guī)范的要求，則該事務所不應同時為企業(yè)提供內(nèi)部控制的審計服務。3、實施評價工作與測試評價工作組需通過了解企業(yè)層面基本情況、各業(yè)務層面的主要流程，識別有關主要風險后，才能開展實施及測試設計和運行有效性的內(nèi)部控制工作。（1）了解公司層面基本情況。評價工作組與被評價單位進行充分溝通，了解

48、其經(jīng)營業(yè)務范圍、企業(yè)文化、發(fā)展戰(zhàn)略、組織結構、人力資源等內(nèi)部環(huán)境及內(nèi)部控制內(nèi)容中五個要素的運作情況。（2）了解各業(yè)務層面的主要流程及風險。在這一階段，評價工作組把工作重點放在主要業(yè)務流程上，如資金管理流程、銷售流程和采購流程等。為支持評估工作與相關測試有效進行，企業(yè)應建立全面文檔記錄。文檔記錄可以幫助評價工作組了解各個主要業(yè)務領域的流程，識別相關的風險關注點及可能存在的內(nèi)部控制措施。評價工作組可審閱的內(nèi)控流程文檔可能有以下幾種。風險控制矩陣文檔。關注點在于復核風險流程的合理性，例如，文檔是否包含了流程面臨的所有風險、列示的風險是否得到定期或及時的更新、對于各項風險的重要性水平分析是否合理，以及

49、復核控制點的識別，關鍵控制點、重要控制點、一般控制點的判斷是否合適。流程圖文檔。關注點在于流程圖是否與實際操作及風險控制矩陣描述相符合，流程圖是否清楚地標示所有風險點及控制點，流程圖中責任部門、崗位以及其他管理機構是否表述清晰、表述的流程路徑是否清晰、是否存在交叉，以及內(nèi)容是否涵蓋所有流程實際操作及相應的控制活動。審批權限表文檔。關注點在于部門及崗位的描述是否準確、權限的劃分和設置是否合理。評價工作組應識別業(yè)務流程中的關鍵業(yè)務或固有風險，提出對于每一重大流程在交易過程中“可能出錯”而產(chǎn)生重大錯誤的問題在這些控制點上識別降低風險的控制，這些控制應當能夠為防止發(fā)生重要的錯誤或者能發(fā)現(xiàn)并更正錯誤提供

50、合理保證。有些控制可能并不顯而易見，可能是電子化或者是人工的，并且同時是高層及基層實施。這些關注點將是評價工作組進行設計或運行有效性并做出結論的地方。例如，銀行賬戶管理中，銀行賬戶的開立、變更及撤銷未經(jīng)合理的審批及授權，對于該風險點應該采取相應控制措施，提交給銀行的開立賬戶申請書需要經(jīng)過公司總經(jīng)理書面批準（簽章），提交給銀行的變更賬戶申請需要經(jīng)過財務經(jīng)理和總經(jīng)理審批，提交給銀行的撤銷賬戶申請需要經(jīng)過財務經(jīng)理和總經(jīng)理審批。再以資金管理流程為例，企業(yè)面臨的一個關鍵業(yè)務風險可能是客戶需求的波動，當客戶需求下降時，企業(yè)收入減少，進而發(fā)生資金的短缺并增加對營運資金需求的壓力，資金需求將會直接導致銀行融資

51、或企業(yè)債券融資的增加進而導致企業(yè)的財務費用成本增加。固有風險是指假設不存在相關的內(nèi)部控制，某一業(yè)務風險事項發(fā)生的可能性。例如，某企業(yè)所處行業(yè)的性質(zhì)決定該類企業(yè)資金、在建工程與固定資產(chǎn)的交易比存貨（通常為一些低值易耗品）的交易更容易出現(xiàn)差錯。一些產(chǎn)生經(jīng)營風險的外部因素也可能影響固有風險，如“節(jié)能減排”的目標要求企業(yè)投資建立高效率、低消耗的新型生產(chǎn)線，并對舊裝備進行技術改造，這些都會影響資金流。在各重要流程中，管理層可能已實施不同程度的控制以應對風險。例如，在資金管理流程、銀行賬戶的開立的風險點中，可能有的控制措施是要求提交給銀行的開立賬戶申請書需要經(jīng)過公司總經(jīng)理書面批準或簽章。（3）確定檢查評價

52、范圍和重點。評價工作組根據(jù)掌握的情況確定評價范圍、檢查重點和抽樣數(shù)量，進行分工與測試。評價范圍、方式、程序和頻率，將因企業(yè)經(jīng)營業(yè)務調(diào)整、經(jīng)營環(huán)境、風險水平等因素而異。（4）開展現(xiàn)場檢查測試。評價工作組可綜合運用個別訪談、調(diào)查問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等評價方法，收集被評價單位內(nèi)部控制設計與運行是否有效的證據(jù)，按照要求填寫工作底稿、記錄有關測試結果。如果發(fā)現(xiàn)內(nèi)部控制出現(xiàn)缺陷，則需與管理層溝通，對有關缺陷進行認定并進行記錄。個別訪談。評價工作組人員可以個別訪談企業(yè)或被評價單位的不同人員，了解公司內(nèi)部控制的現(xiàn)狀與運行。個別訪談通常用于企業(yè)層面與業(yè)務層面評價的階段。調(diào)查問卷。調(diào)

53、查問卷多用于企業(yè)層面的評價，通過擴大對象范圍，如企業(yè)中的全體員工，收集簡單結果，如對公司企業(yè)文化的認同。專題討論。這是一種集合企業(yè)中有關專業(yè)人員就內(nèi)部控制執(zhí)行情況或控制問題進行的分析和討論。穿行測試。穿行測試是指在流程中任意選取一項交易為樣本，獲取原始單據(jù)，跟蹤交易從最初起源，到會計處理、信息系統(tǒng)和財務報告編制，直到這項交易在財務報表中報告出來的全過程。通過執(zhí)行“穿行測試”，評價工作人員可獲取對一個流程的了解，查找潛在的內(nèi)控設計問題并識別出相關控制。實地查驗。這是一個用于業(yè)務層面評價的方法。例如，評價工作人員進行實地盤點以測試企業(yè)記錄存貨的數(shù)量，或有關控制的有效性。抽樣。抽樣方法可以分為隨機抽

54、樣和其他抽樣法。隨機抽樣一般被認為是最具有代表性或是基于統(tǒng)計學的取樣方式，從樣本庫中抽取一定數(shù)量的樣本，進行控制測試，以獲取有關控制的運行狀況。隨機選取通常是采用計算機來完成。其他抽樣如分層抽樣、整群抽樣及系統(tǒng)抽樣等。比較分析。這是一種通過數(shù)據(jù)分析，識別評價關注點的方法。例如，通過比較月度的銷售情況，識別異常區(qū)間，進行檢查。審閱與檢查。這也是在業(yè)務層面評價的常用方法，通過核對有關證據(jù)而獲取有關控制的運行狀況，如選擇某些調(diào)節(jié)表上的差異，追溯到相應的單據(jù)記錄（如銀行對賬單）或檢查調(diào)節(jié)表是否有相關負責人簽字。4、匯總評價結果評價工作組人員應當在其工作底稿中，記錄評價所實施的程序及有關結果。企業(yè)內(nèi)部控

55、制評價工作組應當建立評價質(zhì)量交叉復核制度，有關評價報告應由評價工作組負責人嚴格審核確認；與被評價單位進行通報，在提交內(nèi)部控制評價部門或機構前得到被評價單位相關責任人簽字確認。如果在評價工作中發(fā)現(xiàn)所有差異，如穿行測試及控制測試中發(fā)現(xiàn)的與訪談結果的差異、與流程手冊的差異，也應在匯總中適當?shù)赜涗洝Ｆ髽I(yè)內(nèi)部控制評價部門或機構應編制內(nèi)部控制缺陷認定匯總表，結合日常監(jiān)督和專項監(jiān)督發(fā)現(xiàn)的內(nèi)部控制缺陷及其持續(xù)改進情況，對內(nèi)部控制缺陷及其成因、表現(xiàn)形式和影響程度進行綜合分析和全面復核，提出認定意見，并以適當?shù)男问较蚨聲?、監(jiān)事會或者經(jīng)理層報告。重大缺陷應當由董事會予以最終認定。企業(yè)對于認定的重大缺陷，應當及時采

56、取應對策略，切實將風險控制在可承受度之內(nèi)，并追究有關部門或相關人員的責任。內(nèi)部控制評價工作底稿與報告（一）內(nèi)部控制評價工作底稿根據(jù)企業(yè)內(nèi)部控制評價指引第十一條的要求，內(nèi)部控制評價工作應當形成工作底稿，詳細記錄企業(yè)執(zhí)行評價工作的內(nèi)容，包括評價要素、主要風險點、采取的控制措施、有關證據(jù)資料以及認定結果等。評價工作底稿應當設計合理、證據(jù)充分、簡便易行、便于操作。（二）內(nèi)部控制評價報告根據(jù)企業(yè)內(nèi)部控制基本規(guī)范企業(yè)內(nèi)部控制評價指引的相關規(guī)定，企業(yè)應當結合內(nèi)部監(jiān)督情況，定期對內(nèi)部控制的有效性進行自我評價，出具內(nèi)部控制自我評價報告。1、內(nèi)部控制評價報告的內(nèi)容根據(jù)企業(yè)內(nèi)部控制評價指引第二十二條的規(guī)定，內(nèi)部控制

57、評價報告至少應當披露下列內(nèi)容：（1）董事會對內(nèi)部控制報告真實性的聲明；（2）內(nèi)部控制評價工作的總體情況；（3）內(nèi)部控制評價的依據(jù)；（4）內(nèi)部控制評價的范圍：（5）內(nèi)部控制評價的程序和方法；（6）內(nèi)部控制缺陷及其認定情況；（7）內(nèi)部控制的整改情況及對重大缺陷擬采取的整改措施；（8）內(nèi)部控制有效性的結論。2、報告時間及要求內(nèi)部控制評價報告應當報經(jīng)董事會或類似權力機構批準后與審計報告一起對外披露。企業(yè)應當以12月31日作為年度內(nèi)部控制評價報告的基準日，內(nèi)部控制評價報告應當在基準日后4個月內(nèi)報出。企業(yè)內(nèi)部控制評價部門應當關注自內(nèi)部控制評價報告基準日至內(nèi)部控制評價報告發(fā)出日之間是否發(fā)生影響內(nèi)部控制有效性

58、的因素，并根據(jù)其性質(zhì)和影響程度對評價結論進行相應調(diào)整。審計工作計劃與實施（一）審計工作計劃企業(yè)內(nèi)部審計指引第六條的規(guī)定：注冊會計師應該恰當?shù)赜媱潈?nèi)部控制審計工作，配備具有專業(yè)勝任能力的項目組，并對助理人員進行適當?shù)亩綄?。企業(yè)內(nèi)部審計指引第七條的規(guī)定：在計劃審計工作時，注冊會計師應當評價下列事項對內(nèi)部控制、財務報表以及審計工作的影響：與企業(yè)相關的風險；相關法律法規(guī)和行業(yè)概況；企業(yè)組織結構和經(jīng)營特點、資本結構等相關事項；企業(yè)內(nèi)部控制最近發(fā)生變化的程度：與企業(yè)溝通過的內(nèi)部控制缺陷；重要性、風險等與確定內(nèi)部控制重大缺陷相關的因素對內(nèi)部控制有效性的初步判斷；可獲取的、與內(nèi)部控制有效性相關的證據(jù)的類型和范

59、圍。注冊會計師應當以風險評估為基礎，選擇擬測試的控制，確定測試所需收集的證據(jù)。內(nèi)部控制的特定領域存在重大缺陷的風險越高，給予該領域的審計關注就越多。注冊會計師應當對企業(yè)內(nèi)部控制自我評價工作進行評估，判斷是否利用內(nèi)部審計人員、內(nèi)部控制評價人員和其他相關人員的工作以及可利用的程度，相應減少本應由注冊會計師執(zhí)行的工作。注冊會計師利用企業(yè)內(nèi)部審計人員、內(nèi)部控制評價人員和其他相關人員的工作，應當對其專業(yè)勝任能力和客觀性進行充分評價。注冊會計師應當對發(fā)表的審計意見獨立承擔責任，其責任不因為利用企業(yè)內(nèi)部審計人員、內(nèi)部控制評價人員和其他相關人員的工作而減輕。（二）審計工作實施企業(yè)內(nèi)部審計指引第十條規(guī)定：注冊會

60、計師應當按照自上而下的方法實施審計工作。自上而下的方法是注冊會計師識別風險，選擇擬測試控制的基本思路。注冊會計師在實施審計工作時，可以將企業(yè)層面控制和業(yè)務層面控制的測試結合進行?！白陨隙隆钡姆椒ㄊ加谪攧請蟊韺哟?，以注冊會計師對財務報告內(nèi)部控制整體風險的了解開始，然后注冊會計師將關注重點放在企業(yè)層面的控制上，并將工作逐漸下移至重大賬戶、列報及相關的認定。1、識別企業(yè)層面控制通過了解企業(yè)與財務報告相關的整體風險，注冊會計師可以識別出為保持有效的財務報告內(nèi)部控制而必需的企業(yè)層面內(nèi)部控制。注冊會計師測試企業(yè)層面控制，應當把握重要性原則，至少應當關注以下幾方面。（1）與內(nèi)部環(huán)境相關的控制。內(nèi)部環(huán)境，即