企業(yè)內部控制與風險管理

林斌2010年10月10日企業(yè)內部控制與風險管理

林斌2010年10月10日1簡歷

1997年，畢業(yè)于廈門大學會計系，獲經濟學（會計學）博士學位。現(xiàn)任中山大學會計學系教授、博士生導師、系主任、MPAcc中心主任，兼任財政部企業(yè)內部控制標準委員會專家咨詢組成員、廣東省內部審計協(xié)會副會長、廣東省審計學會副會長。白云機場等多家上市公司獨立董事。曾在美國哈佛大學商學院、德州大學管理學院進修、學習。主要研究領域：內部控制與風險管理、戰(zhàn)略管理會計、資本市場與會計信息等。

Tel-mail:chinalinbin@

2簡歷1997年，畢業(yè)于廈門大學會計系，獲經濟學（2內容提要原理企業(yè)內控與ERM框架法規(guī)主要內控法規(guī)與指引實務構建與實施內容提要原理3小案例

中信泰富事件

2008年10月，中信泰富發(fā)布聲明，集團董事和財務總監(jiān)私自與香港多家銀行訂立累積外匯期權合約，導致集團損失155億港元。

為什么關注內部控制？小案例中信泰富事件為什么關注4榮智健

09年2日，中信泰富在港交所網站發(fā)布公告，香港證監(jiān)會對公司展開正式調查，當中涉及董事會主席榮智健、其長子榮明杰及集團董事總經理范鴻齡，以及七位執(zhí)行董事和七位非執(zhí)行董事4月8日，榮智健已辭任董事會主席職務星島網訊中信泰富涉串謀欺詐，榮智健可能被監(jiān)禁14年榮智健09年2日，中信泰富在港交所網站發(fā)布公告，香港證5中信泰富中信泰富於香港注冊成立，聯(lián)交所上市，并為恒生指數(shù)成份股之一。最大股東為中國國際信托投資(香港集團)中信香港持股比例為29%；管理層持股比例為22%；私人及機構投資者持股比例為49%。業(yè)務包括投資物業(yè)、基礎設施、能源項目、環(huán)保項目、航空以及電訊業(yè)務。中信泰富中信泰富於香港注冊成立，聯(lián)交所上市，并為恒生指數(shù)成份6中

信

泰

富

特鋼制造鐵礦石開采物業(yè)航空基礎建設發(fā)電其他上市子公司江陰興澄鋼廠新冶鋼

石家莊鋼廠中澳鐵礦項目

香港中國大陸國泰航空香港空運貨站隧道環(huán)境保護發(fā)電廠

澳門電訊中信國安中信資本大昌行集團中信1616中

信

泰

富特鋼制造鐵礦石開采物業(yè)航空基礎建設發(fā)電其他7解讀中信泰富外匯杠桿合約中信泰富的澳元合約（Accumulator），行權價0.87美元/澳元，若澳元升值，中信泰富會獲利，但其總利潤會被封頂，而一旦匯率下跌，則中信泰富必須每月（部分是每天）以0.87的高價加倍接澳元倉位，最高累計額可達94.4億澳元。解讀中信泰富外匯杠桿合約中信泰富的澳元合約（Accumula8Ikillyoulater？Ikillyoulater？9中泰事件分析內部控制與風險管理失敗重大事項決策中的治理缺陷（授權與責任問題）榮智健認為外匯期權投資是財務董事“自作主張，并不是通過合法途徑”；同時認為，“經過內部審計，證實沒有詐騙”。信息披露問題公司在發(fā)現(xiàn)巨額虧損6周之后（9月7日已獲知可能面臨巨額虧損），才對外公布事件，顯示內部監(jiān)管存在漏洞。牽制問題榮方明任中信泰富財務主管，若對財務董事張立憲、財務總監(jiān)周志賢的交易不知情，為何要調離并受降職和減薪處分。實時監(jiān)控；風險管理員匯報線路、薪酬體制和考核上應完全與交易員的匯報線路分開。中泰事件分析內部控制與風險管理失敗10中泰事件分析（續(xù)）內部控制與風險管理失敗（續(xù)）制度執(zhí)行問題公司規(guī)定1000萬美元以上的合同，應由董事長批準與13家銀行一起簽單，沒有向董事會、交易銀行披露張立憲6月底前也做過類似交易并賺過錢，但是沒有在公司會計報表中體現(xiàn)出來，所賺的錢放在準備金賬戶，而不是損益賬戶，表現(xiàn)為降低澳礦投資的成本澳元已跌3個月，為什么沒有及時制止進一步虧損內部交易問題10月21日，中信香港增持200萬股，榮增持100萬股，分別作價7.392與7.371港元，10月27日中信香港董事蔡星海以3.73港元增持10萬股。中泰事件分析（續(xù)）內部控制與風險管理失?。ɡm(xù)）11西門子全球賄賂案“歷史最大”還是“冰山一角”08年12月16日，西門子承認其故意規(guī)避及未能對公司內部實施合理控制，違反《國外反賄賂法案》中關于賬目記錄的規(guī)定。支付罰金3.5億美元結束SEC的民事指控支付約4.5億美元刑事罰金結束司法部的指控在德國慕尼黑，同意支付3.95億歐元罰金內部調查、律師費用等約10億美元西門子全球賄賂案“歷史最大”還是“冰山一角”12內部監(jiān)控與風險管理內部監(jiān)控與風險管理13企業(yè)內部控制與風險管理課件14什么是內部控制？內部牽制內部控制內部控制結構內部控制的完整框架（舊COSO報告）企業(yè)風險管理（新COSO報告）什么是內部控制？內部牽制15日昇昌日昇昌16晉商的信用體系學徒：從本地找，要有保人管理者：主要從內部產生掌柜：考察祖宗幾代人員工：在本地娶妻身股：激勵與約束機制關公：保平安、監(jiān)督商會：情感交流網、約束網歸宿：落葉歸根，光宗耀祖晉商的信用體系學徒：從本地找，要有保人17內部牽制1905年，L.R.Dicksee最早提出內部牽制（InternalCheck）的概念職責分工會計記錄人員輪換內部牽制的兩個設想是兩個或兩個以上的人或部門無意識地犯同樣的錯誤機會較少；兩個或兩個以上的人或部門有意識地合伙舞弊的可能性大大低于單獨一個或部門舞弊的可能性內部牽制1905年，L.R.Dicksee最早提出內部牽制18內部控制的完整框架1992年，COSO提出了著名的“內部控制的完整框架”的研究報告，1994年進行了增補。COSO報告提出內部控制的目標有三個：提高經營效率，取得好的經營效果合理保證財務報告的可靠性遵循有關的法規(guī)制度內部控制的完整框架1992年，COSO提出了著名的“內部控19內部控制的完整框架（續(xù)）內部控制的要素內部環(huán)境風險評估控制活動信息與溝通監(jiān)督內部控制的完整框架（續(xù)）內部控制的要素20企業(yè)內部控制與風險管理課件21企業(yè)內部控制與風險管理課件22控制環(huán)境內部環(huán)境評估關注要點誠信與道德價值觀勝任能力董事會或審計委員會管理層的理念和經營風格組織結構責任的分配和授權人力資源政策和實踐控制環(huán)境內部環(huán)境評估關注要點23企業(yè)風險管理2003年7月美國COSO頒布了企業(yè)風險管理框架的討論稿，并于2004年4月頒布正文。同1992年的COSO報告相比，新的COSO報告增加了一個觀念、一個目標、兩個概念和三個要素企業(yè)風險管理2003年7月美國COSO頒布了企業(yè)風險管理框架24ERM的定義企業(yè)風險管理的定義一個由企業(yè)的董事會、管理層

和其他員工共同參與的，應用

于企業(yè)戰(zhàn)略制定和企業(yè)內部各

個層次和部門的，用于識別可

能對企業(yè)造成潛在影響的事項

并在其風險偏好范圍內管理風

險的，為企業(yè)目標的實現(xiàn)提供

合理保證的過程ERM的定義企業(yè)風險管理的定義25ERM的目標ERM的目標 戰(zhàn)略目標經營目標報告目標合法性目標ERM的目標ERM的目標 26ERM的主要內容ERM的構成要素內部環(huán)境目標制定事項識別風險評估風險反映控制活動信息和溝通監(jiān)控ERM的主要內容ERM的構成要素27ERM的目標（續(xù)）戰(zhàn)略目標高層目標，與實體使命、構想一致并支持前二者。戰(zhàn)略目標反映了管理者關于實體如何為股東創(chuàng)造價值的選擇。經營目標

這些屬于實體經營的效力、效率，包括業(yè)績盈利目的及保護資源避免損失。他們基于管理層關于結構和績效的選擇而變化。ERM的目標（續(xù)）戰(zhàn)略目標28ERM的目標（續(xù)）報告目標

這些屬于報告可靠性。他們包括內外部報告，可能包括財務和非財務信息。依從目標

這些屬于堅持相關法律規(guī)則。他們依賴外部因素，有時整個實體有時一個產業(yè)目標趨同。ERM的目標（續(xù)）報告目標29企業(yè)風險管理企業(yè)風險管理30校訓、戰(zhàn)略與企業(yè)文化MissionAgeneralobjective,visionary,oftenunwritten,andveryopen-ended,withoutanytimelimitforachievement.CorporateobjectivesUnitobjectives使命傳承一種人文精神，簡單、易記企業(yè)的成功（包括品牌）：把握了產業(yè)的本質知識拓展世界銀行項目FR·FA·MIS中山大學課題組校訓、戰(zhàn)略與企業(yè)文化Mission知識世界銀行項目FR·F31校訓、戰(zhàn)略與企業(yè)文化（續(xù)）校訓哈佛：與柏拉圖為友，與亞里士多德為友，更要與真理為友(AmicusPlato,AmicusAristotle,sedAmicusVERITAS)清華：自強不息，厚德載物廈大：自強不息，止于至善再看國家會計學院、其他高校、單位……運動品牌阿迪達斯：一切皆有可能（沒有不可能）耐克：釋放潛能李寧：中國新一代的希望、運動之美世界共享、我運動我存在、把精彩留給自己、出色源自本色、因為專業(yè)，一切皆有可能、MakeTheChange校訓、戰(zhàn)略與企業(yè)文化（續(xù)）校訓32校訓、戰(zhàn)略與企業(yè)文化（續(xù)）校訓、戰(zhàn)略與企業(yè)文化（續(xù)）33中海殼牌風險評估矩陣結果

可能性

嚴重性人員環(huán)境成本(美元)工期聲譽ABCDE在行業(yè)中從未發(fā)生過單經在石油工業(yè)中發(fā)生單純在股東企業(yè)發(fā)生每年在股東企業(yè)發(fā)生幾次每年在當?shù)匕l(fā)生幾次概率小于1%概率小于10%有可能在每個項目中發(fā)生每個項目發(fā)生多于一次<0.1%<1%<10%<100%>100%1輕微輕微<200.000<3小時輕微

2中度

(RWC)小的單元的影響0.2-2million3-24小時有限影響

持續(xù)改進

3重大傷害

LTI區(qū)域內影響2-20million1-10天相當?shù)挠绊?/p>

聯(lián)合改進措施盡量降低

4PTD/單個死亡區(qū)域外大的影響20–200million10天-3月國內影響

尋求替代措施立即采取措施5群死重大影響>200million>3月國際影響

中海殼牌風險評估矩陣結果可能性嚴人環(huán)成工聲34風險記錄簿（影響力—可能性）索引風險影響力可能性%風險值風險規(guī)避措施執(zhí)行人日期檢查KPI風險1風險2目標：大大小風險1風險2風險3風險4風險5風險6影響力可能性基本業(yè)績指標聲譽技能變革風險記錄簿（影響力—可能性）索引風險影響力可能性%風險值風險35風險導向審計方法36了解企業(yè)業(yè)務目標了解業(yè)務戰(zhàn)略了解企業(yè)商業(yè)模式了解戰(zhàn)略組織結構了解戰(zhàn)略的關鍵成功因素分析風險來源和如何威脅企業(yè)達成戰(zhàn)略目標評估風險對達成戰(zhàn)略目標的影響評估風險發(fā)生可能性了解風險的性質了解管理層對風險的反應和責任評估企業(yè)內部控制框架分析剩余風險審計項目排優(yōu)分配資源到風險領域獲得審計委員會批準分析業(yè)務流程評估內部控制設計識別內部控制設計可改進的領域識別關鍵控制點測試關鍵控制點果效記錄審計結果向管理層報告提出建議及分析管理層的回應評估管理層整改計劃向審計委員會報告識別關鍵整改計劃跟蹤關鍵整改工作是否完成向管理層和審計委員會報告風險分析圖

及

風險登記冊審計計劃審計報告戰(zhàn)略分析企業(yè)風險評估制定內部審計計劃執(zhí)行內部審計審計報告跟蹤解決問題使風險受控制企業(yè)層面內部控制框架結構分析流程/營業(yè)場所/交易層面戰(zhàn)略分析備忘錄審計記錄風險導向審計方法36了解企業(yè)業(yè)務目標分析風險來源和如何威脅企36COBIT4.1COBITControlObjectivesforInformationandRelatedTechnology(信息與相關技術的控制目標)ISACA(信息系統(tǒng)審計與控制協(xié)會)1967年設立1992年發(fā)布最初版本2003年發(fā)布第三個版本2005年11月發(fā)布第四個版本（cobit4.0）2007年COBIT4.1COBIT4.1COBIT37COBIT的三維框架圖COBIT的三維框架圖38COBIT框架和組成部分COBIT框架的功能IT4個領域、34個IT流程、318個控制目標7類信息標準管理指南當中的衡量標準、關鍵成功因素和成熟度模型、審計指南當中的通用審計方法IT過程、IT目標與IT資源關系匯總表（NEXT，P：主要的；S：次要的；√：涉及）COBIT框架和組成部分COBIT框架的功能39域IT過程IT目標IT資源有效性效率性機密性完整性可用性遵循性可靠性應用信息設備人員規(guī)劃與組織P01P02P03P04P05P06P07P08P09P010定義IT戰(zhàn)略規(guī)劃定義信息體系結構確定技術方向定義IT流程、組織與關系管理IT投資通訊管理目標與方向管理IT人力資源質量管理評估與管理IT風險項目管理

PSSPSPPPPPPPSPSPPPPSSSSPPPSSPP√√√√√√√√√√√√√√√√√√√√√√√√√√獲取與實施A11A12A13A14A15A16A17確定自動化的解決方案獲取與維護應用程序軟件獲取與維護技術基礎設施授權操作與使用獲取IT資源改變管理系統(tǒng)的安裝與鑒定及改變PSPPSSSPSPPSSSSSPSPPPPSPSSS√√√√√√√√√√√√√√√√√√√交付與支持DS1DS2DS3DS4DS5DS6DS7DS8DS9DS10DS11DS12DS13定義并管理服務水平第三方服務管理性能與容量管理確保服務的持續(xù)性確保系統(tǒng)安全確定并分配成本教育和培訓用戶服務臺與突發(fā)事件管理配置管理問題管理數(shù)據管理物理環(huán)境管理操作管理PPSSSSSPPSSSSSPPSPSPPPSSSPPPSPPPSSSPPSPPPPPPSS√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√監(jiān)控ME1ME2ME3ME4IT績效監(jiān)督與評價內部控制監(jiān)督與評價確保法則的遵循提供IT治理PPSSSSSPPSSSSSPSPPSSSSS√√√√√√√√√√√√√√√√域IT過程IT目標IT資源有效性效率性機密性完整40內容提要原理企業(yè)內控與ERM框架法規(guī)主要內控法規(guī)與指引實務構建與實施內容提要原理41中國主要的企業(yè)內部控制規(guī)范時間文件名稱發(fā)件單位2010/4企業(yè)內部控制配套指引五部委2008/5企業(yè)內部控制基本規(guī)范五部委2006/9深圳證券交易所上市公司內部控制指引深交所2006/6上海證券交易所上市公司內部控制指引上交所2006/6中央企業(yè)全面風險管理指引國資委2006/中國CPA內部控制審計準則財政部中注協(xié)2004/8中央企業(yè)內部審計管理暫行辦法國資委2003/6內部控制審計準則中國內審協(xié)會2002/9商業(yè)銀行內部控制指引中國人民銀行2002/1上市公司治理準則證監(jiān)會2001/7內部會計控制規(guī)范財政部2000/7會計法人大常委會中國主要的企業(yè)內部控制規(guī)范時間文件名稱發(fā)件單位2010/4企42中國主要的企業(yè)內部控制規(guī)范（續(xù)）2005年關于提高上市公司質量意見的通知國務院2007/12中央企業(yè)財務內部控制評價工作指引國資委關于2009年中央企業(yè)開展全面風險管理工作有關事項的通知國資委2005/2商業(yè)銀行內部控制評價試行辦法銀監(jiān)會2007/7商業(yè)銀行內部控制指引銀監(jiān)會2006/1壽險公司內部控制評價辦法（試行）保監(jiān)會1999/8保險公司內部控制制度建設指導原則保監(jiān)會2005/2保險中介機構內部控制指引（試行）保監(jiān)會2000/4關于加強期貨公司內部控制的指導原則證監(jiān)會2002/12證券投資基金管理公司企業(yè)內部控制指導意見證監(jiān)會2003/12證券公司內部控制指引證監(jiān)會中國主要的企業(yè)內部控制規(guī)范（續(xù)）2005年關于提高上市公司質43企業(yè)內部控制標準基本規(guī)范具體規(guī)范（應用指引）控制手段類指引控制活動類指引內部環(huán)境類指引合同管理財務報告內部信息傳遞組織構架發(fā)展戰(zhàn)略人力資源企業(yè)文化社會責任評價指引審計指引全面預算信息系統(tǒng)業(yè)務外包工程項目研究與開發(fā)銷售業(yè)務采購業(yè)務資產管理資金活動擔保業(yè)務企業(yè)內部控制標準基本規(guī)范具體規(guī)范（應用指引）控制手段類指引44中國企業(yè)內控實施時間表2010年4月五部委發(fā)布《企業(yè)內控配套指引》企業(yè)內部控制規(guī)范體系將于2011年1月1日起率先在境內外同時上市的公司施行實施2012年1月1日起在上海證券交易所、深圳證券交易所主板上市公司施行擇機在中小板和創(chuàng)業(yè)板上市公司施行鼓勵非上市大中型企業(yè)提前執(zhí)行中國企業(yè)內控實施時間表2010年4月五部委發(fā)布《企業(yè)內控配套45中國企業(yè)內控實施時間表（續(xù)）執(zhí)行《企業(yè)內部控制基本規(guī)范》及企業(yè)內部控制配套指引的上市公司和非上市大中型企業(yè)應當對內部控制的有效性進行自我評價披露年度自我評價報告同時應當聘請會計師事務所對財務報告內部控制的有效性進行審計并出具審計報告中國企業(yè)內控實施時間表（續(xù)）執(zhí)行《企業(yè)內部控制基本規(guī)范》及企46企業(yè)內部控制基本規(guī)范（續(xù)）總則內部控制的目標、要素與原則內部環(huán)境風險評估控制活動信息與溝通監(jiān)督檢查附則內控規(guī)范企業(yè)內部控制基本規(guī)范（續(xù)）總則內控47總則內部控制由企業(yè)董事會、監(jiān)事會、經理層和全體員工實施的、旨在實現(xiàn)控制目標的過程內部控制的目標

合理保證企業(yè)經營管理合法合規(guī)資產安全財務報告及相關信息的真實完整提高經營效率和效果促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略總則內部控制48總則（續(xù)）建立與實施內部控制的原則全面性原則重要性原則制衡性原則適應性原則成本效益原則內部控制的要素

內部環(huán)境風險評估控制活動信息與溝通監(jiān)督檢查

總則（續(xù)）建立與實施內部控制的原則內部控制的要素49內部環(huán)境內部環(huán)境影響、制約企業(yè)內部控制建立與執(zhí)行的各種內部因素的總稱，是實施內部控制的基礎治理結構組織機構設置與權責分配內部審計人力資源政策企業(yè)文化內部環(huán)境內部環(huán)境50治理結構治理結構規(guī)范運行企業(yè)應當制定股東會、董事會、監(jiān)事會的議事規(guī)則，明確界定決策、執(zhí)行、監(jiān)督各層面的地位、職責與任務，形成有效的分工和制衡機制審計委員會設立及其獨立性審計委員會職責治理結構治理結構規(guī)范運行51內部環(huán)境（續(xù)）機構設置與權現(xiàn)分配設置內部機構，明確職責權限編制內部管理手冊內部審計 內部審計的作用內部審計機構設置與人員配備內部環(huán)境（續(xù)）機構設置與權現(xiàn)分配52人力資源政策人力資源政策內容員工的聘用、培訓、辭退與辭職員工的薪酬、考核、晉升與獎懲關鍵崗位員工的強制休假制度和定期崗位輪換制度對掌握國家秘密和重要商業(yè)秘密的員工離崗的限制性規(guī)定企業(yè)應將職業(yè)道德修養(yǎng)和專業(yè)勝任能力作為選拔和聘用員工的重要標準企業(yè)應切實加強員工培訓和繼續(xù)教育人力資源政策人力資源政策內容53企業(yè)文化企業(yè)文化的概念和內容企業(yè)應當加強文化建設，培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業(yè)、開拓創(chuàng)新和團隊協(xié)作精神，樹立現(xiàn)代管理理念，強化風險意識。企業(yè)員工應當遵守員工行為守則，認真履行崗位職責企業(yè)應當加強法制教育企業(yè)文化企業(yè)文化的概念和內容54企業(yè)內部控制基本規(guī)范（續(xù)）風險評估企業(yè)應及時識別、系統(tǒng)分析經營活動中與實現(xiàn)內部控制目標相關的風險，合理確定風險應對策略風險識別風險分析風險應對企業(yè)內部控制基本規(guī)范（續(xù)）風險評估55風險識別內部風險董事、監(jiān)事、經理及其他高級管理人員職業(yè)操守、員工專業(yè)勝任能力、團隊精神等人力資源因素組織結構、經營方式、資產管理、業(yè)務流程設計、財務報告編制與信息披露等管理因素研究開發(fā)、技術投入、信息技術運用等自主創(chuàng)新因素財務狀況、經營成果、現(xiàn)金流量等財務因素營運安全、員工健康、環(huán)境污染等安全環(huán)保因素

風險識別內部風險56風險識別（續(xù)）外部風險經濟形勢、產業(yè)政策、資源供給、利率調整、匯率變動、融資環(huán)境、市場競爭等經濟因素法律法規(guī)、監(jiān)管要求等法律因素文化傳統(tǒng)、社會信用、教育基礎、消費者行為等社會因素技術進步、工藝改進、電子商務等技術因素自然災害、環(huán)境狀況等自然環(huán)境因素風險識別（續(xù)）外部風險57風險分析企業(yè)應當采用定性與定量相結合的方法，按照風險發(fā)生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優(yōu)先控制的風險

企業(yè)進行風險分析，應當充分吸收專業(yè)人員，組成風險分析團隊，按照嚴格規(guī)范的程序開展工作，確保風險分析結果的準確性

風險分析企業(yè)應當采用定性與定量相結合的方法，按照風險發(fā)生的可58風險應對企業(yè)應當綜合運用風險規(guī)避、風險降低、風險分擔和風險承受等風險應對策略，實現(xiàn)對風險的有效控制風險規(guī)避是企業(yè)對超出風險承受度的風險，通過放棄或者停止與該風險相關的業(yè)務活動以避免和減輕損失的策略風險降低是企業(yè)在權衡成本效益之后，準備采取適當?shù)目刂拼胧┙档惋L險或者減輕損失，將風險控制在風險承受度之內的策略風險應對企業(yè)應當綜合運用風險規(guī)避、風險降低、風險分擔和風險承59風險應對（續(xù)）風險分擔是企業(yè)準備借助他人力量，采取業(yè)務分包、購買保險等方式和適當?shù)目刂拼胧?，將風險控制在風險承受度之內的策略風險承受是企業(yè)對風險承受度之內的風險，在權衡成本效益之后，不準備采取控制措施降低風險或者減輕損失的策略風險應對（續(xù)）風險分擔是企業(yè)準備借助他人力量，采取業(yè)務分包、60企業(yè)內部控制基本規(guī)范（續(xù)）控制活動企業(yè)根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。

企業(yè)內部控制基本規(guī)范（續(xù)）控制活動61控制活動概念及其分類企業(yè)應當結合風險應對策略，采取人工控制與自動控制、預防性控制與發(fā)現(xiàn)性控制相結合的控制措施，運用相應的控制措施，將風險控制在可承受度之內。控制措施通常包括不相容職務分離控制、授權審批控制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。企業(yè)應當建立重大風險預警機制和突發(fā)事件應急處理機制。

控制活動概念及其分類企業(yè)應當結合風險應對策略，采取人工控制與62企業(yè)內部控制基本規(guī)范（續(xù)）信息與溝通企業(yè)及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通。信息的采集機制企業(yè)內、外部之間信息溝通機制信息技術在信息與溝通中的作用企業(yè)應當建立反舞弊機制企業(yè)應當建立舉報投訴制度和舉報人保護制度企業(yè)內部控制基本規(guī)范（續(xù)）信息與溝通63反舞弊機制反舞弊機制的作用企業(yè)防范、發(fā)現(xiàn)和處理舞弊行為、優(yōu)化內部環(huán)境的重要制度安排

企業(yè)反舞弊工作至少應當關注未經授權或者采取其他不法方式侵占、挪用企業(yè)資產，牟取不當利益在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等董事、監(jiān)事、經理及其他高級管理人員濫用職權相關機構或人員串通舞弊反舞弊機制反舞弊機制的作用64中國4家企業(yè)涉嫌腐敗行為遭世行封殺2009年1月14日，世行宣布因涉及世行資助的菲律賓公路項目中的腐敗行為，對包括4家中國公司在內的7家公司和1名個人進行制裁?！昂诿麊巍敝械闹袊髽I(yè)是中國路橋集團(被禁8年)，中國建筑工程總公司、中國武夷實業(yè)股份有限公司(被禁6年)，及中國地質工程集團公司(被禁5年)我們公司有不同的銷售部門，每一個部門都有獨立的賄賂預算（羊城晚報，2009/5/18）某大型制藥的工作人員對新華社記者說為什么關注？中國4家企業(yè)涉嫌腐敗行為遭世行封殺2009年1月14日，世行65舞弊風險管理職務舞弊定義利用職務之便，通過有意識地濫用或不正當?shù)乩媒M織的資源或資產增加個人財富的行為舞弊風險美國企業(yè)（組織）估計每年因舞弊而造成的損失占其收入的6%應將舞弊風險管理作為風險管理的中心舞弊將導致企業(yè)發(fā)生經濟損失、被暴光、社會形象受損舞弊都具有主觀意圖計劃周密的舞弊不易被發(fā)現(xiàn)舞弊分子專找內部控制薄弱的地方下手舞弊風險管理職務舞弊定義66舞弊風險管理（續(xù)）一個四維失敗現(xiàn)象的發(fā)生薄弱的控制未加保護的資源不誠實的雇員瀆職的管理人員舞弊風險管理（續(xù)）一個四維失敗現(xiàn)象的發(fā)生薄弱的控制未加保護的67舞弊風險管理（續(xù)）四維成功模式企業(yè)道德規(guī)范和舞弊防范政策保持警覺和積極主動的員工將內部控制自我評估制度化訓練有素的管理人員舞弊風險管理（續(xù)）四維成功模式企業(yè)道德規(guī)范和保持警覺和積極將68企業(yè)內部控制基本規(guī)范（續(xù)）內部監(jiān)督企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現(xiàn)內部控制缺陷，應當及時加以改進。日常監(jiān)督專項監(jiān)督企業(yè)內部控制基本規(guī)范（續(xù)）內部監(jiān)督69中國企業(yè)風險管理框架中央企業(yè)全面風險管理指引總則風險管理初始信息風險評估風險管理策略風險管理解決方案風險管理組織體系風險管理信息系統(tǒng)風險管理文化中國企業(yè)風險管理框架中央企業(yè)全面風險管理指引70企業(yè)內部控制配套指引組織機構設計和運行中的主要風險治理結構層面內部機構層面“三大一重”（重大決策、重大事項、重要人事任免和大額資金支付業(yè)務）必須按規(guī)定的權限和程序實行集體決策審批或者聯(lián)簽制度企業(yè)內部控制配套指引組織機構71企業(yè)內部控制配套指引（續(xù)）發(fā)展戰(zhàn)略制定發(fā)展戰(zhàn)略宏觀環(huán)境分析（經濟、政治與法律、社會和文化、技術）行業(yè)環(huán)境及競爭對手分析（行業(yè)新進入者的威脅、供應商的議價能力、購買商的議價能力、替代產品的威脅、同業(yè)競爭者的競爭強度）經營環(huán)境分析（市場及競爭地位、消費者消費狀況、融資者、勞力力市場狀況等）實施發(fā)展戰(zhàn)略實現(xiàn)發(fā)展戰(zhàn)略的優(yōu)化調整與轉型企業(yè)內部控制配套指引（續(xù)）發(fā)展戰(zhàn)略72企業(yè)內部控制配套指引（續(xù)）人力資源核心工作包括引進、開發(fā)、使用和退出四個方面發(fā)布招聘信息審核報名信息組織面試考察公示接受報名決策層確定人選人力資源部聘任是是是是結束否否否否高管人員引進的一般流程技術崗位需求與要求篩選報名材料初試復試制訂招聘計劃確定人選人力資源部聘任是是是結束否否否專業(yè)技術人員引進的一般流程發(fā)布招聘信息企業(yè)內部控制配套指引（續(xù)）人力資源發(fā)布招聘信息審核報名信息組73企業(yè)內部控制配套指引（續(xù)）人力資源引進:公開、平等、競爭、擇優(yōu)開發(fā)：職業(yè)技能、職業(yè)品質、員工潛質，促自我實現(xiàn)使用：“憑貢獻、講業(yè)績、論才干”的考核激勵機制退出：激發(fā)內在動力，保持企業(yè)活力企業(yè)內部控制配套指引（續(xù)）人力資源74企業(yè)內部控制配套指引（續(xù)）人力資源（使用）評級量表法示例考核項目考核要素說明評定基本能力知識是否充分具備現(xiàn)任職務所要求的基礎理論知識和實際業(yè)務知識。ABCDE108642業(yè)務能力理解力是否能充分理解上級指示，干脆利落地完成本職能工作，不需上級反復指示和指導。ABCDE108642判斷力是否能充分理解上級指示，正確把握現(xiàn)狀，隨機應變，恰當處理。ABCDE108642表達力是否能充分理解上級指示，能否進行一般的聯(lián)絡，說明工作。ABCDE108642交涉力在和企業(yè)內外的對手交涉時，是否具有使對方誠服接受同意或達成協(xié)商的表達交涉力。ABCDE108642企業(yè)內部控制配套指引（續(xù)）人力資源（使用）考核項目考核要素說75企業(yè)內部控制配套指引（續(xù)）評級量表法示例（續(xù)）考核項目考核要素說明評定工作態(tài)度紀律性是否嚴格遵守工作紀律和規(guī)定，對待上下級、同級和企業(yè)外部人士有禮貌；嚴格遵守工作匯報制度，按時提出工作報告。ABCDE108642協(xié)調性在工作中，是否充分考慮到別人的處境，是否主動協(xié)助上級、同級和企業(yè)外部人員。ABCDE108642積極性責任感對分配的任務是否不講條件，主動積極，盡量多做工作，主動進行改良、改進，向困難挑戰(zhàn)。ABCDE108642評定標準：

A：非常優(yōu)秀，理想狀態(tài)B：優(yōu)秀，滿足要求C：基本滿足要求D：略有不足E：不能滿足要求分數(shù)換算：評語：評定人員簽字：企業(yè)內部控制配套指引（續(xù)）評級量表法示例（續(xù)）考核項目考核要76企業(yè)內部控制配套指引（續(xù)）人力資源退出的一般流程終止勞動關系退休離崗退出申請退出審核退出審批離任審計、工作交接、手續(xù)辦理企業(yè)內部控制配套指引（續(xù)）人力資源終止勞動關系退休離崗退出申77企業(yè)內部控制配套指引（續(xù)）社會責任企業(yè)在經營發(fā)展過程中應履行的社會職責和義務，主要包括安全生產產品質量（含服務）環(huán)境保護資源節(jié)約促進就業(yè)員工權益保護產學研用相結合支持慈善事業(yè)等企業(yè)內部控制配套指引（續(xù)）社會責任78企業(yè)內部控制配套指引（續(xù)）CSR（續(xù)）企業(yè)如何履行社會責任負責人高度重視建立和完善履行社會責任的體制和運行機制建立責任危機處理機制建立企業(yè)社會責任報告制度企業(yè)內部控制配套指引（續(xù)）CSR（續(xù)）79企業(yè)內部控制配套指引（續(xù)）企業(yè)文化在生產經營實踐中逐步形成的、為整體團隊認同并遵守的價值觀、經營理念和企業(yè)精神，以及在此基礎上形成的行為規(guī)范的總稱。蘭德公司研究表明 世界500強之所以強，固然受多種因素的影響，但關鍵在于以文化力制勝企業(yè)并購重組中的文化整合中大整合與文化思科聯(lián)想并購IBM，柳傳志“文化磨合決定收購成敗”（評估收購風險主要有市場流失、員工流失、文化磨合與業(yè)務整合）

企業(yè)內部控制配套指引（續(xù)）企業(yè)文化80目標A全體銀行員工知道銀行的經營目標B全體員工知道實現(xiàn)目標過程中主要的風險和挑戰(zhàn)C銀行的政策幫助銀行實現(xiàn)其目標和控制風險D全體員工了解銀行的期望以及銀行行動的權限E銀行有幫助目標實現(xiàn)的適當計劃F運行管理目標和指導定位于操作及相關風險的管理盡職G建立商業(yè)指導和倫理行為標準并在組織內實行H銀行對待員工的方式與其倫理價值觀和目標一致I權力、責任、目標責任和相關風險被明確定義和傳達J決策由適當?shù)娜俗龀鯧決策是及時的L銀行員工相互信任并且管理人員支持有關經營目標和結果的討論公開進行能力M銀行有足夠的具備必要知識、技能和手段，能幫助銀行實現(xiàn)目標的員工N銀行的溝通方式支持其價值觀并有助于實現(xiàn)銀行的目標O及時、相關、準確和完整的信息被傳達用于幫助銀行工作P不同部門的決策和行動有統(tǒng)一的協(xié)調Q控制活動和操作及相關風險管理是銀行經營活動的必要組成監(jiān)測與學習R銀行能經常監(jiān)測環(huán)境以判斷是否需要調整目標S銀行能監(jiān)測違背目標和方向的行為T銀行能挑戰(zhàn)隱藏在目標后面的義務承擔U隨著目標改變和問題發(fā)現(xiàn)銀行重新評價信息需求和系統(tǒng)V重要的問題報告給高級的管理人員W重要的問題被追究到底以保證采取必要的改變和行動X銀行能評估控制效力并且將它報告給需要知道的人風險管理文化評估表A全體銀行員工知道銀行的經營目標B全體員工知道實現(xiàn)目標過程中81企業(yè)內部控制配套指引（續(xù)）資金活動要求維護資金的安全與完整防范資金活動風險提高資金效益，促進企業(yè)健康發(fā)展

資金營運內部控制的關鍵控制點審批、復核、收付、記賬、對賬、銀行賬戶管理、印章保管控制點等企業(yè)內部控制配套指引（續(xù)）資金活動82資金運營內部控制的

關鍵風險控制點、控制目標及控制措施風險控制點控制目標控制措施審批合法性未經授權不得經辦資金收付業(yè)務；明確不同級別管理人員的權限復核真實性與合法性會計對相關憑證進行橫向復核和縱向復核收支點收入入賬完整，支出手續(xù)完備出納根據審核后的相關收付款原始憑證收款和付款，并加蓋戳記記賬真實性出納人員根據資金收付憑證登記日記賬，會計人員根據相關憑證登記有關明細分類賬；主管會計登記總分類賬對賬真實性和財產安全賬證核對、賬表核對與賬實核對保管財產安全與完整授權專人保管資金；定期、不定期盤點銀行賬戶管理財產防范小金庫；加強業(yè)務管控安全與完整開設、使用與撤消的授權；是否有賬外賬票據與印章管理財產安全票據統(tǒng)一印制或購買；票據由專人保管；印章與空白票據分管；財務專用章與企業(yè)法人章分管資金運營內部控制的

關鍵風險控制點、控制目標及控制措施風險控83企業(yè)內控規(guī)范配套指引采購業(yè)務企采84企業(yè)內部控制配套指引（續(xù)）資產管理生產企業(yè)物流流程圖企業(yè)內部控制配套指引（續(xù)）資產管理生產企業(yè)物流流程圖85企業(yè)內部控制配套指引（續(xù)）資產管理（續(xù)）固定資產基本業(yè)務流程圖企業(yè)內部控制配套指引（續(xù)）資產管理（續(xù)）固定資產基本業(yè)務流程86企業(yè)內部控制配套指引（續(xù)）資產管理（續(xù)）無形資產基本業(yè)務流程圖企業(yè)內部控制配套指引（續(xù)）資產管理（續(xù)）87企

業(yè)

內

控

配

套

指

引

銷售業(yè)務銷售業(yè)務企

業(yè)

內

控

配

套

指

引

銷售業(yè)務銷88企業(yè)內控配

套指引（續(xù)）工程項目企業(yè)自行或者委托其他單位進行的建造、安裝活動。企業(yè)內控配

套指引（續(xù)）工程項目89企業(yè)內控配套指引（續(xù)）擔保業(yè)務流程圖擔保業(yè)務企業(yè)擔保業(yè)務流程受理申請調查評估審批簽訂擔保合同進行日常監(jiān)控等

企業(yè)內控配套指引（續(xù)）擔保業(yè)務流程圖擔保業(yè)務90企業(yè)內控配套指引（續(xù)）業(yè)務外包研發(fā)資信調查可行性研究委托加工物業(yè)管理客戶服務IT服務等業(yè)務外包基本流程圖企業(yè)內控配套指引（續(xù)）業(yè)務外包業(yè)務外包基本流程圖91財務報告企業(yè)法律事務部門或外聘律師應當對財務報告對外提供的合法合規(guī)性進行審核。

企業(yè)內控配套指引（續(xù)）財務報告企業(yè)內控配套指引（續(xù)）92企業(yè)內控配套指引（續(xù)）全面預算指企業(yè)對一定期間的經營活動、投資活動、財務活動等作出的預算安排。

全面預算管理組織體系基本架構圖企業(yè)內控配套指引（續(xù)）全面預算

全面預算管理93全面預算（續(xù)）全面預算基本業(yè)務流程圖全面預算（續(xù)）全面預算基本94企業(yè)內控

配套指引（續(xù)）合同管理貫穿企業(yè)經營、投資和籌資活動的始終，對防范風險和降低合同風險、促進長期可持續(xù)發(fā)展意義重大。企業(yè)內控

配套指引（續(xù)）合同管理95企業(yè)內部控制配套指引（續(xù)）內部信息傳遞內部各管理層之間通過內部報告形式傳遞生產經營管理信息的過程。總體要求真實準確性及時有效性遵守保密原則

建立內部報告指標收集整理內外部信息形成內部報告審核內部報告有效利用內部報告定期全面評估內部報告在規(guī)定的范圍內流轉保存內部報告通過未通過內部報告形成階段內部報告使用階段企業(yè)內部控制配套指引（續(xù)）內部信息傳遞建立內部報告指標收集整96企業(yè)內部控制配套指引（續(xù)）信息系統(tǒng)企業(yè)利用計算機和通信技術，對內部控制進行集成、轉化和提升所形成的信息化管理平臺。戰(zhàn)略規(guī)劃開發(fā)建設運行維護系統(tǒng)終結輸入控制處理控制輸出控制日常運行維護變更管理安全管理一般控制應用控制信息系統(tǒng)內部控制信息系統(tǒng)內部控制框架企業(yè)內部控制配套指引（續(xù)）信息系統(tǒng)戰(zhàn)略規(guī)劃開發(fā)建設運行維護系97開始提供測試參考資料（需求分析報告、軟件設計說明書、）程序源代碼、用戶初步使用手冊資料是否規(guī)范、是滯滿足需求分配人員建立環(huán)境測試制定測試進度評估風險編寫測試大綱編寫測試用例測試設計評審評審通過測試用例執(zhí)行錯誤記錄結果確認測試報告軟件測試總結測試工作總結是否符合需求是否需要其他類型用例再測試結束是是是否根據具體要求修改否否修改相關文檔修改相應軟件修改測試用例是否文檔測試測試計劃測試設計測試實施測試總結信息系統(tǒng)測試環(huán)節(jié)流程開始提供測試參考資料（需求分析報告、軟件設計資料是否規(guī)范、是98企業(yè)內部控制評價指引內部控制評價定義董事會或類似權力機構對內部控制的有效性進行全面評價、形成評論結論、出具評價報告的過程原則全面性原則重要性原則客觀性原則企業(yè)內部控制評價指引內部控制評價定義99內部控制評價指引（續(xù)）評價內容內部控制環(huán)境評估 以組織構架、發(fā)展戰(zhàn)略、人力資源、企業(yè)文化、社會責任等為依據，結合企業(yè)的內控制度，對內部環(huán)境的設計及實際運行情況進行認定和評價風險評估機制評價對日常經營管理過程中的風險識別、風險分析、應對策略進行認定和評價控制活動評價對控制措施的設計和運行情況進行認定和評價內部控制評價指引（續(xù)）評價內容100內部控制評價指引（續(xù)）評價內容（續(xù)）信息與溝通評價依據：內部信息傳遞、財務報告、信息系統(tǒng)等相關指引對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務報告的真實性、信息系統(tǒng)的安全性，以及利用信息系統(tǒng)實施內部控制的有效性等進行認定和評價內部監(jiān)督評價對內部控制監(jiān)督機制的有效性進行認定和評價重點關注監(jiān)事會、審計委員會、內部審計機構等是否在內部控制設計和運行中有效發(fā)揮監(jiān)督作用內部控制評價指引（續(xù)）評價內容（續(xù)）101內部控制評價指引（續(xù)）內部控制評價的程序制定評價工作方案組成評價工作組實施現(xiàn)場測試認定控制缺陷匯總評價結果編報評價報告內部控制評價指引（續(xù)）內部控制評價的程序102內部控制評價指引（續(xù)）主要方法個別訪談調查問卷專題討論穿行測試實地查驗抽樣比較分析等內部控制評價指引（續(xù)）主要方法103內部控制評價指引（續(xù)）內部控制缺陷設計缺陷和運行缺陷重大缺陷指一個或多個控制缺陷的組合，可能導致企業(yè)嚴重偏離控制目標重要缺陷指一個或多個控制缺陷的組合，其嚴重程度和經濟后果低于重大缺陷，但仍有可能導致企業(yè)偏離控制目標一般缺陷指除重大缺陷、重要缺陷之外的其他缺陷內部控制評價指引（續(xù)）內部控制缺陷104內部控制評價指引（續(xù)）內部控制評價報告董事會對內部控制報告真實性的聲明內部控制評價工作的總體情況內部控制評價的依據內部控制評價的范圍內部評價和程序和方法內部缺陷及其認定情況內部控制缺陷整改情況及重大缺陷擬采取的整改措施內部控制有效性的結論內部控制評價指引（續(xù)）內部控制評價報告105企業(yè)內部控制審計指引內部控制審計指會計師事務所接受委托，對特定基準日內部控制設計與運行的有效性進行審計責任建立健全和有效實施內部控制，評價內部控制的有效性是企業(yè)董事會的責任按指引的要求，在實施審計工作的基礎上對內部控制的有效性發(fā)表審計意見，是注冊會計師的責任企業(yè)內部控制審計指引內部控制審計106內部控制審計指引（續(xù)）計劃審計工作在計劃審計工作時，CPA應當評價下列事項對內部控制、財務報表以及審計工作的影響與企業(yè)相關的風險相關法律法規(guī)和行業(yè)概況企業(yè)組織結構、經營特點和資本結構等相關重要事項企業(yè)內部控制最近發(fā)生變化的程度與企業(yè)溝通過的內部控制缺陷重要性、風險等與確定內部控制重大缺陷相關的因素對內部控制有效性的初步判斷可獲取的、與內部控制有效性相關的證據和的類型和范圍內部控制審計指引（續(xù)）計劃審計工作107內部控制審計指引（續(xù)）實施審計工作CPA應當按照自上而下的方法實施審計工作CPA測試企業(yè)層面的控制，至少應當關注與內部控制環(huán)境相關的控制針對董事會、經理層凌駕于控制之上的風險而設計的控制，企業(yè)的風險評估過程對內部信息傳遞和財務報告流程的控制對控制有效性的內部監(jiān)督和自我評價CPA測試業(yè)務層面控制，應當把握重要性原則，結合企業(yè)實際、企業(yè)內部控制各項應用指引的要求和企業(yè)層面控制的測試情況，重點對企業(yè)生產經營活動中的重要業(yè)務與事項的控制進行測試應關注信息系統(tǒng)對內部控制及風險評估的影響內部控制審計指引（續(xù)）實施審計工作108內部控制審計指引（續(xù)）自上而下方法自上而下方法始于財務報表層面，源自審計師對于財務報告內部控制的總體風險的理解審計師專注于整體層面的控制，并向下延伸到重大賬戶和披露及其相關認定該方法將審計師的注意力引向可能對財務報表和相關披露造成重大錯報的賬戶、披露和認定內部控制審計指引（續(xù)）自上而下方法109內部控制審計指引（續(xù)）實施審計工作（續(xù)）CPA在測試企業(yè)層面控制和業(yè)務層面控制時，應當評價內部控制是否足以應對舞弊風險CPA在確定測試的時間安排時，應當在下列兩個因素之間作出平衡，以獲得充分、適當?shù)淖C據盡量在接近企業(yè)內部控制自我評價基準日實施測試實施的測試需要涵蓋足夠長的期間內部控制審計指引（續(xù)）實施審計工作（續(xù)）110內部控制審計指引（續(xù)）評價控制缺陷表明內部控制可能豐在重大缺陷的跡象，主要包括CAP發(fā)現(xiàn)董事、監(jiān)督和主級管理人員舞弊企業(yè)更正已經公布的財務報表CPA發(fā)現(xiàn)當期財務報表存在重大錯報，而內部控制在運行過程中未能發(fā)現(xiàn)該錯報企業(yè)審計委員會和內部審計機構對內部控制的監(jiān)督無效內部控制審計指引（續(xù)）評價控制缺陷111內部控制審計指引（續(xù)）完成審計工作CPA應當與企業(yè)溝通審計過程中識別的所有控制缺陷。對期中的重大缺陷和重要缺陷，應當以書面形式與董事會和經理層溝通CPA認為審計委員會和內部審計機構對內部控制的監(jiān)督無效的，應當就此以書面形式直接與董事會和經理層溝通書面溝通應當在CPA出具內部控制審計報告之前進行內部控制審計指引（續(xù)）完成審計工作112內部控制審計指引（續(xù)）出具審計報告標準內部控制審計報告應當所以然下列要素標題、收件人、引言段企業(yè)對內部控制的責任段CPA的責任段內部控制固有局限性的說明段財務報告內部控制審計意見段非財務報告內部控制重大缺陷描述段CPA的簽名和蓋章會計師事務所的名稱、地址及蓋章內部控制審計指引（續(xù)）出具審計報告113內部控制審計指引（續(xù)）出具審計報告（續(xù)）CPA認為財務報告內部控制不存在重大缺陷，但有一項或多項重大事項需要提請內部控制審計報告使用者注意的，應當在內部控制審計報告中增加強調事項段予以說明CAP認為財務報告內部控制存在一項或多項重大缺陷的，應當對財務報告內部控制發(fā)表否定意見CPA出具否定意見的內部控制審計報告，還應當包括下列內容重大缺陷的定義重大缺陷的性質及其對財務報告內部控制的影響程度內部控制審計指引（續(xù)）出具審計報告（續(xù)）114內部控制審計指引（續(xù)）記錄審計工作CPA應當在審計工作底稿中記錄下列內容內部控制審計及重大修改情況相關風險評估和選擇擬測試的內部控制的主要過程及結果測試內部控制設計與運行有效性的程序及結果對識別的控制缺陷的評價形成的審計結論和意見其他重要事項內部控制審計指引（續(xù)）記錄審計工作115內部控制審計指引（續(xù)）內部控制審計報告標準內部控制審計報告帶強調事項段的無保留意見內部控制審計報告否定意見內部控制審計報告無法表示意見內部控制審計報告內部控制審計指引（續(xù)）內部控制審計報告116小結法律法規(guī)，使之不敢；內部控制，使之不能；職業(yè)道德，使之不愿。小結法律法規(guī)，使之不敢；117內容提要原理企業(yè)內控與ERM框架法規(guī)主要內控法規(guī)與指引實務構建與實施內容提要原理118內部控制實務制度反思（中國人壽）海恩法則：每一起嚴重的事故的背后，必然有29起輕微的事故和300起未遂先兆，以及1000起事故隱患。內部控制實務制度反思（中國人壽）119內部控制構建需求分析企業(yè)模型（總體設計）建立健全配套制度培訓、形成操作管理細則內部控制構建需求分析120戰(zhàn)略、組織與控制核心價值觀要規(guī)避的風險關鍵績效變量戰(zhàn)略不確定因素商業(yè)戰(zhàn)略信念系統(tǒng)邊界系統(tǒng)診斷控制系統(tǒng)交互式控制系統(tǒng)戰(zhàn)略、組織與控制核心要規(guī)避關鍵績戰(zhàn)略不商業(yè)戰(zhàn)略信念系統(tǒng)邊界系121項目、組織和流程“三位一體”項目項目是內部控制制度的基本單位。如人事招聘、成本控制、采購計劃、員工績效評估等。如何確定數(shù)量戰(zhàn)略目標管理粗細體現(xiàn)COSO報告涵蓋會計控制、管理控制、業(yè)務控制和法規(guī)控制等項目、組織和流程“三位一體”項目122項目、組織和流程“三位一體”（續(xù)）組織高、中、基層、現(xiàn)場集權、分權設計時考慮企業(yè)的控制目標、環(huán)境和控制方式建立使組織得以運行保證的經濟責任制度和崗位制度項目、組織和流程“三位一體”（續(xù)）組織123項目、組織和流程“三位一體”（續(xù)）流程流程是企業(yè)經營的一個階段，由若干作業(yè)組成，而若干作業(yè)由若干任務構成，如設計、開發(fā)、營銷等每個項目都是通過組織層級、單位和成員按照一定的流程、作業(yè)和任務的要求來完成的項目、組織和流程“三位一體”（續(xù)）流程124流程優(yōu)化的模板方法步驟診斷和評估現(xiàn)行流程提出并評估流程改進方案批準流程改進方案及實施計劃實施流程改進方案并評估實施結果主要工作內容1、通過訪談、實地考察和討論會了解目前流程現(xiàn)狀2、評估現(xiàn)行流程1、提出流程改進方案2、評估改進后的流程1、取得領導批準2、制定實施計劃1、按計劃實施流程改造2、監(jiān)控實施過程，調整實施方案3、評估實施結果交付主要物件1、現(xiàn)行流程圖2、現(xiàn)行流程的問題和原因分析3、現(xiàn)行流程和關鍵績效指標1、未來流程圖2、未來流程帶來的效益及實施時需要的資源、可能的限制和對企業(yè)的影響3、未來流程的關鍵績效指標1、批準后的流程2、實施計劃1、最終實施的方案2、實施結果評估報告流程優(yōu)化的模板方法步驟診斷和評估提出并評估流程批準流程改進方125建立企業(yè)內部控制的5流程與16個步驟一、識別風險1、明確內控目標2、評估風險3、識別風險范圍4、確定管理戰(zhàn)略二、制定標準5、確認關鍵績效區(qū)6、確定績效控制點7、制定內部控制標準四、檢驗結果12、常規(guī)與抽樣檢查13、偏差分析14、異常報告15、內部審計三、選擇方法8、實施方法篩選標準9、明確實施內控方法10、確定數(shù)據來源11、規(guī)定溝通與責任五、調整改進是否建立企業(yè)內部控制的5流程與16個步驟一、識別風險二、制定標準126定位實務內部控制與ERM制度設計內部控制建設與實施要點ERM實務基于財務報表可靠性的內控設計內部控制評估定位實務127內部控制系統(tǒng)設計要點公司層面企業(yè)文化、人力資源、組織架構、信息系統(tǒng)、社會責任、發(fā)展戰(zhàn)略和內部信息傳遞等業(yè)務層面全面預算、合同管理、采購業(yè)務、銷售業(yè)務、研究與開發(fā)、資金活動、資產管理（包括存貨、固定資產、無形資產）、工程項目、業(yè)務外包、財務報告等業(yè)務內部控制系統(tǒng)設計要點公司層面128內部控制系統(tǒng)設計要點（續(xù)）企業(yè)文化建設重點在于防范一系列的潛移默化的風險，包括缺乏積極向上的價值觀、誠實守信的經營理念，忽視企業(yè)并購重組中的文化差異和理念沖突企業(yè)文化建設應強調應重視企業(yè)文化的培育，根據發(fā)展戰(zhàn)略和自身特點，確定文化建設的目標和內容企業(yè)主要負責人在文化建設中應發(fā)揮主導作用，并加強對員工的文化教育和熏陶，全面提升員工的文化修養(yǎng)和內在素質企業(yè)文化建設應當融入生產經營過程，確實做到文化建設與發(fā)展戰(zhàn)略有機結合建立文化評估制度，關注企業(yè)核心價值的員工認同感、企業(yè)品牌的社會認可度內部控制系統(tǒng)設計要點（續(xù)）企業(yè)文化129內部控制系統(tǒng)設計要點（續(xù)）公司具體業(yè)務內控體系與企業(yè)運營的有機結合是企業(yè)必須面對的一個問題。只有從企業(yè)的經營目標出發(fā)，將內部控制措施有機嵌入企業(yè)的日常經營業(yè)務之中，才是內部控制的本質所在。與財務報告和披露相關的內部控制是企業(yè)內控體系建設和重要內容與財務報告相關的內部控制的有效性是企業(yè)財務報告可靠性的基礎內部控制系統(tǒng)設計要點（續(xù)）公司具體業(yè)務130中石化內控流程（原油采購）經營風險財務風險合規(guī)風險經營目標財務目標合規(guī)目標業(yè)務目標業(yè)務風險中石化內控流程（原油采購）經營風險財務風險合規(guī)風險經營目標財131中石化內控具體流程（續(xù)）業(yè)務流程步驟與控制點主要以文字詳細說明控制要求業(yè)務目標主要控制點相關資料相關制度目錄業(yè)務風險業(yè)務流程步驟與控制點業(yè)務流程圖表中石化內控具體流程（續(xù)）業(yè)務流程步驟與控制點主要以文字詳細說132中國企業(yè)的特點與內控構建的挑戰(zhàn)缺乏對風險意識和企業(yè)文化的重視企業(yè)治理結構有待完善“人治”代替“法治”的觀念根深蒂固內部控制體系與企業(yè)運營難以有效結合內部控制的執(zhí)行難以保證內部控制信息溝通不暢信息系統(tǒng)控制薄弱中國企業(yè)的特點與內控構建的挑戰(zhàn)缺乏對風險意識和企業(yè)文化的重視133基于財務報表可靠性的內控設計財務報告計劃矩陣會計報表項目年月日真實性相關內控流程完整性相關內控流程權力和義務相關內控流程估價或分攤相關內控流程表達和披露相關內控流程準確性相關內控流程資產負債表10.11.11.15.21.11.51.19.6

貨幣資金利潤表

營業(yè)收入披露

高管薪酬基于財務報表可靠性的內控設計財務報告計劃矩陣會計報表項目年真134財務報告可靠性的改進（續(xù)）認定從審計師的角度來說的，是指被審計單位管理當局在其編制的會計報表中對各會計賬項所做的陳說或暗示

管理當局對財務報告會計信息的認定可分為存在或發(fā)生完整性權利和義務估價或分攤表達與披露

財務報告可靠性的改進（續(xù)）認定135財務報告可靠性的改進（續(xù)）存在或發(fā)生認定指在資產負債表上所有資產和權益均存在收益表上的所有收入、費用、利潤和損失發(fā)生在報表所反映的會計期間內相對應的錯誤是“虛報錯誤”

完整性認定指資產負債表上所列的所有資產和權益都存在且屬于公司所有收益表上所列示的收入、費用、利潤和損失均發(fā)生在收益表所反映的會計期間內相對應的錯誤是“漏報錯誤”

財務報告可靠性的改進（續(xù)）存在或發(fā)生認定136財務報告可靠性的改進（續(xù)）權利和義務認定指在資產負債表上所列示的所有資產均屬公司的權利，所有負債均屬公司的義務估價或分攤認定指資產、負債等項目以恰當?shù)慕痤~列入財務報表表達與披露認定指會計報表上的特定要素被恰當?shù)丶右苑诸?、說明和披露

財務報告可靠性的改進（續(xù)）權利和義務認定137重要賬戶與支持業(yè)務流程貨幣資金資金管理、采購與支出、收入與成本核算、固定資產、工資與人事，財務報告與關賬應收賬款收入與成本核算、財務報告與關賬存貨采購與支出、收入與成本核算、存貨管理、財務報告與關賬長期股權投資資金管理、財務報告與關賬固定資產固定資產、財務報告與關賬商譽固定資產、財務報告與關賬短期借款資金管理、財務報告與關賬應付賬款采購與支出、固定資產、財務報告與關賬應付職工薪酬工資與人事、財務報告與關賬應繳稅費工資與人事、財務報告與關賬、收入與成本、人事實收資本資金管理、財務報告與關賬營業(yè)收入收入與成本核算、財務報告與關賬財務費用財務報告與關賬、資金管理…………重要賬戶與支持業(yè)務流程貨幣資金資金管理、采購與支出、收入與成138企業(yè)內部控制與風險管理課件139企業(yè)內部控制與風險管理課件140按重要性確定具體的項目范圍確定重要性水平目的：降低風險和成本，提高工作效率選擇關鍵指標總資產：0.5～1%凈資產：1%主營業(yè)務收入：0.5～1%稅后利潤：5%～10%……按重要性確定具體的項目范圍確定重要性水平141支持業(yè)務流程正常運轉的IT系統(tǒng)IT系統(tǒng)除重要單位及重要的流程外，內控范圍還應包括支撐這些單位中這些業(yè)務流程正常運轉的IT系統(tǒng)不同的IT系統(tǒng)為不同的目標服務?？紤]哪些IT系統(tǒng)需進入內控范圍，需考慮外部監(jiān)管要求，如監(jiān)管層要求的外部審計是與財務報告披露相關的內部控制，以此來考量，則需要關注的只是哪些IT系統(tǒng)會支持信息最終記入財務報告并對外披露。內部要滿足管理層的需要支持業(yè)務流程正常運轉的IT系統(tǒng)IT系統(tǒng)142“采購-付款”業(yè)務活動的內控制度流程財務主管應付會計出納總經理審批檢查采購部門采購合同會簽審批供應商送貨預估賬入庫單檢查付款申請審核審批付款發(fā)票正式賬月末對帳月末對帳月末對帳（Ⅰ）（Ⅲ）（Ⅳ）月度采購計劃月度付款計劃檢查“采購-付款”業(yè)務活動的內控制度流程財務主管應付會計出納總經143企業(yè)內部控制與風險管理課件144中石化內控評價與考核檢查評價總部每年統(tǒng)一組織內控執(zhí)行情況綜合檢查，根據各單位適用的業(yè)務流程及控制點分值，量化內控的有效性評價結果。結合定期測試、自查和日常內控執(zhí)行情況，綜合計算各單位內控有效性的總得分。中石化內控評價與考核檢查評價145中石化內控評價與考核（續(xù)）檢查評價（續(xù)）根據風險評價結果對總得分進行修正。風險評價分為４個等級：一般風險、重大風險、顯著缺陷、實質性漏洞，分別扣減綜合得分的5%、10%、50%、100%。中石化內控評價與考核（續(xù)）檢查評價（續(xù)）146中石化內控評價與考核（續(xù)）考核兌現(xiàn)在高層管理人員業(yè)績獎金考核和各單位經營目標考核體系中設置“內部控制執(zhí)行情況”指標，考核結果將直接與領導人員年度業(yè)績獎金和各單位效益工資兌現(xiàn)。中石化內控評價與考核（續(xù)）考核兌現(xiàn)147總結從小企業(yè)演變成大企業(yè)，需要三個條件來支持完善的內控制度和ERM：企業(yè)內部免疫機制發(fā)育健全的管理組織：脊椎動物的骨架明確的戰(zhàn)略：與別人不一樣的存在總結從小企業(yè)演變成大企業(yè)，需要三個條件來支持148建議閱讀書籍財政部等：企業(yè)內部控制規(guī)范（2010），中國財經出版社財政部：企業(yè)內部控制規(guī)范講解（2010），經濟科學出版社德勤：構建風險導向的內部控制（2009），中信出版社COSO：內部控制（整合框架），2008，東北財大出版社COSO：企業(yè)風險管理（整合框架），2005，東北財大出版社COSO：企業(yè)風險管理（應用技術），2005，東北財大出版社COSO：財務報告內部控制（較小型公眾公司指南），2009，東北財大出版社PCAOB：第5號審計準則（與財務報表審計相結合的財務報告內部控制審計），2008，東北財大出版社建議閱讀書籍財政部等：企業(yè)內部控制規(guī)范（2010），中國財經149

謝謝！謝謝！150企業(yè)內部控制與風險管理

林斌2010年10月10日企業(yè)內部控制與風險管理

林斌2010年10月10日151簡歷

1997年，畢業(yè)于廈門大學會計系，獲經濟學（會計學）博士學位。現(xiàn)任中山大學會計學系教授、博士生導師、系主任、MPA