企業(yè)內(nèi)部控制與風險管理

簡歷1997年，畢業(yè)于廈門大學會計系，獲經(jīng)濟學〔會計學〕博士學位?，F(xiàn)任中山大學會計學系教授、博士生導師、系主任、MPAcc中心主任，兼任財政部企業(yè)內(nèi)部控制標準委員會專家咨詢組成員、廣東省內(nèi)部審計協(xié)會副會長、廣東省審計學會副秘書長。曾在美國哈佛大學商學院、德州大學管理學院進修、學習。目前主要研究領域：內(nèi)部控制與風險管理、戰(zhàn)略管理會計、企業(yè)會計準那么、預算管理、業(yè)績評價等。2內(nèi)容提要為什么關注內(nèi)部控制與ERM企業(yè)治理與內(nèi)部控制什么是企業(yè)內(nèi)部控制與ERM基于信息技術的內(nèi)部控制內(nèi)部控制與ERM法規(guī)內(nèi)部控制制度設計與評價開篇小案例中信泰富發(fā)布聲明稱，集團財務董事張立憲和財務總監(jiān)周志賢私自與香港多家主要銀行訂立累積外匯期權合約，結(jié)果在金融海嘯之下導致集團損失155億港元。中信泰富中信泰富於香港注冊成立，聯(lián)交所上市，并為恒生指數(shù)成份股之一。最大股東為中國國際信托投資(香港集團)中信香港持股比例為29%；管理層持股比例為22%；私人及機構(gòu)投資者持股比例為49%。業(yè)務包括投資物業(yè)、根底設施、能源工程、環(huán)保工程、航空以及電訊業(yè)務。中信泰富炒外匯巨虧147億外部原因：澳元持續(xù)貶值從7月中旬到8月澳元兌美元跌幅高達10.8%由于公司簽訂的有關外集合約屬累計期權〔Accumulator〕，虧損可能“無底〞，目前已錄得約8億元實現(xiàn)虧損，以目前匯率計算，至今年底的賬面損失更高達147億元內(nèi)部原因：財務董事未遵守對沖風險政策、內(nèi)部監(jiān)管不到位Ikillyoulater？中信泰富炒外匯巨虧147億〔續(xù)〕財務董事未遵守對沖風險政策榮智健表示，問題是在于財務董事張立憲未遵守公司對沖風險的政策，進行交易前又未得主席批準。財務總監(jiān)周志賢亦沒有盡其監(jiān)督職責，將此等不尋常的對沖交易上報提請主席關注。公司在發(fā)現(xiàn)巨額虧損6周之后，才對外公布事件，此做法令人驚訝，顯示內(nèi)部監(jiān)管存在漏洞。中信泰富集團的股票星期二〔10月21日〕在香港股市一路狂跌，跌幅一度超過50%。為什么關注內(nèi)部控制與風險管理中航油事件2004年12月，中國航油集團唯一的海外公司——中國航油〔新加波〕股份發(fā)布了一個令人震驚的消息：因石油衍生產(chǎn)品交易，總計虧損5.5億美金。為什么需要內(nèi)部控制？中航油開展歷程1993在新加坡成立了合資企業(yè)1995成為CAOSC的全資子公司1998扭虧為盈1999擴展業(yè)務市場區(qū)域和產(chǎn)品種類2000實施風險管理2001上市中航油事件分析Ranked29thmosttransparentcompany中航油巨虧案兩責任人受處原中航油集團總經(jīng)理莢長斌被責令辭職，原中航油集團副總經(jīng)理、中航油總經(jīng)理陳久霖被“雙開〞陳久霖被判4年3個月監(jiān)禁及33.5萬新元罰款；原中航油前財務總監(jiān)林中山被判罰15萬新元(約合人民幣75萬元)及兩年監(jiān)禁；中航油前董事顧炎飛、董事主席莢長斌及非執(zhí)行董事李永吉分別被罰款15萬、40萬、15萬新元中航油事件分析〔續(xù)〕三級控制，預防風險管理完善規(guī)那么，管理風險中航油的微觀風險管理公司審計、風險管理委員會、部門主任?人事管理手冊??財務管理手冊??風險管理手冊?安裝及更新風險管理軟件系統(tǒng)中航油事件分析〔續(xù)〕中航油的微觀風險管理〔續(xù)〕任何一筆交易虧損額25萬美元，將由貿(mào)易人員和風險管理委員會跟蹤觀察，虧損額到達37.5萬美元時，那么由公司管理層決定是否繼續(xù)中止該交易任何一筆交易虧損50萬美元，貿(mào)易人員將被通知立即退出該項交易，并立即平倉止損風險控制員每天按市場價格計算出所有交易活動的盈虧值，同時對交易活動進行監(jiān)控限倉平倉，降低風險中航油事件分析〔續(xù)〕有名無實的治理結(jié)構(gòu)石油衍生交易一年多，從200到5200萬桶，未報告母公司陳久霖擅自決定從事違反國家規(guī)定的投機業(yè)務，未通過董事會〔一人同時進行決策管理和決策控制〕鼓勵機制誤導2350萬元年薪〔03年〕絕大局部來自“非經(jīng)常性損益〞信息披露作假04年公布第三季度盈利約550萬美元，實際帳面損失3.02億美元大股東內(nèi)幕交易獨董以及審計委員會中航油事件分析〔續(xù)〕形同虛設的內(nèi)控制度法規(guī)遵循性風險管理“人治大于法治〞的企業(yè)文化財務經(jīng)理任旅游公司經(jīng)理與公司總裁助理中航油黨委書記任職兩年不知道公司進行期貨交易中航油事件分析〔續(xù)〕銀監(jiān)會總結(jié)嚴格執(zhí)行授權和止損制度健全內(nèi)部控制，完善公司治理提高風險監(jiān)測能力加強檢查，建立風險報告制度政治公眾人物賬戶將強化監(jiān)管反洗錢草案已提交全國人大常委會審議全國人大預算管工委法案主任俞光遠說,近年我國大約有4000名貪官攜帶500億美元逃到國外。?羊城晚報?2005年12月19日為什么需要內(nèi)部控制？為什么需要內(nèi)部控制？2002年諾貝爾經(jīng)濟學獎得主

丹尼爾·卡曼尼說：“在美國的統(tǒng)計顯示，一家公司創(chuàng)立后5年，仍然存活的時機率是30%至35%，我們做了個問卷調(diào)查，問創(chuàng)業(yè)者他們估計自己在5年后的成功率有多少，平均答案是80%至90%，有的甚至答復100%〞?！八麄儺斨泻芸赡苤榔骄晒β手皇?0%至35%，但人們總是以為自己就是那30%至35%，不少人看自身的事情都比現(xiàn)實來得樂觀〞。

——?21世紀經(jīng)濟報道?2004.11.22第3版國內(nèi)民企平均壽命只有2.9年2005年6月30日，中華全國工商聯(lián)合會在總結(jié)民企20多年的開展史后,發(fā)布?中國民營企業(yè)開展報告?藍皮書九成民企是家庭企業(yè)300多萬家私營企業(yè)中，90%以上是家庭企業(yè)，民企自我融資90.5%民企的壽命全國每年新生15萬家,每年死亡10萬家;有60%的民企在5年內(nèi)破產(chǎn).有85%的在10年內(nèi)消亡平均壽命只有2.9年.小結(jié)越是具有創(chuàng)新能力的公司越是更多地使用控制系統(tǒng)混沌理論的初始值與蝴蝶效應AdrianCadbury爵士：公司失敗都是由內(nèi)部控制的失敗引起的Today’sorganizations

areconcernedaboutRiskManagementGovernanceControlAssurance(andConsulting)Objective目標RISK風險Control控制可量化，可衡量，可以到達的業(yè)務目標Anyissuewhichcouldimpactanorganization’sabilitytomeetit’sbjectives.任何可能影響某一組織實現(xiàn)其目標的事項通過管理程序或活動減少風險風險與控制風險是指能夠?qū)ζ髽I(yè)目標產(chǎn)生負面影響〔威脅〕或正面影響的不確定性SOX：基于現(xiàn)有內(nèi)控系統(tǒng)無法防御、檢查或更正財務報表〔如賬戶余額或交易分類〕相關的重大的錯報和漏報控制是一種可以減輕企業(yè)風險的活動，正如我們需要汽車上安裝制動系統(tǒng)內(nèi)容提要為什么關注內(nèi)部控制與ERM企業(yè)治理與內(nèi)部控制什么是企業(yè)內(nèi)部控制與ERM基于信息技術的內(nèi)部控制內(nèi)部控制與ERM法規(guī)內(nèi)部控制制度設計與評價企業(yè)面臨的機遇與風險有限的資源人力、資金、物流、時間、信息、經(jīng)驗……

激約勵束

瞬息萬變的環(huán)境

市場、技術、行業(yè)政策、客戶需求……競爭風險競爭風險企業(yè)制勝的競爭要素置身變化的環(huán)境市場戰(zhàn)略靈活創(chuàng)新迅速應變滿足客戶需求預警風險隱患不斷調(diào)整與改進……實施全面風險管理面對有限的資料效益與效率產(chǎn)品的質(zhì)量人員的績效周轉(zhuǎn)的速度科學的管理風險控制……建立內(nèi)部控制機制企業(yè)治理企業(yè)治理公司治理，即合規(guī)維度經(jīng)營治理，即業(yè)績維度問責保證價值創(chuàng)造，資源利用企業(yè)治理〔續(xù)〕合規(guī)的維度就是所謂的“公司治理〞。它包括董事會的結(jié)構(gòu)和作用以及高管薪酬等問題，涉及決策、鼓勵與監(jiān)督機制的建立，強調(diào)決策、執(zhí)行與監(jiān)督的別離。OECD的?公司治理原那么?，強調(diào)董事對公司戰(zhàn)略性指導和監(jiān)督，董事會需要實施風險評估、財務控制等。理性的治理主體追求治理效率，而理性的經(jīng)營者追求經(jīng)營效率。業(yè)績維度強調(diào)戰(zhàn)略和價值創(chuàng)造。其側(cè)重點在于幫助董事：進行戰(zhàn)略決策；理解其對風險的態(tài)度及其關鍵業(yè)績驅(qū)動因素；并確認其關鍵決策點。內(nèi)部監(jiān)控與風險管理纖夫的故事張五常纖夫的故事三個和尚企業(yè)治理〔續(xù)〕公司治理——影響公司治理成功與失敗的主要因素首席執(zhí)行官的作用董事會的作用行政人員的薪酬企業(yè)道德、文化和高層基調(diào)企業(yè)治理〔續(xù)〕公司治理與內(nèi)部控制的交叉局部是監(jiān)督、信息傳遞與權責分配，治理主體評價內(nèi)部控制效果，經(jīng)營者有責任向治理機關報告內(nèi)部控制執(zhí)行情況企業(yè)治理〔續(xù)〕公司治理外部治理內(nèi)部治理股東其他利益相關者外部市場董事會監(jiān)事會經(jīng)營管理層股份公司審計委員會提名委員會薪酬與考核委員會小結(jié)有人認為，內(nèi)部控制制度是一種最優(yōu)化、最簡捷、最合理的作業(yè)標準一種授權體系和責任化體系一種衡量風險的根底到底什么是內(nèi)部控制？內(nèi)容提要為什么關注內(nèi)部控制企業(yè)治理與內(nèi)部控制什么是企業(yè)內(nèi)部控制與ERM基于信息技術的內(nèi)部控制內(nèi)部控制與ERM法規(guī)內(nèi)部控制制度設計與評價日昇昌晉商的信用體系學徒：從本地找，要有保人管理者：主要從內(nèi)部產(chǎn)生掌柜：考察祖宗幾代人員工：在本地娶妻身股：鼓勵與約束機制關公：保平安、監(jiān)督商會：情感交流網(wǎng)、約束網(wǎng)歸宿：落葉歸根，光宗耀祖什么是內(nèi)部控制？內(nèi)部牽制內(nèi)部控制內(nèi)部控制結(jié)構(gòu)內(nèi)部控制的完整框架〔舊COSO報告〕企業(yè)風險管理〔新COSO報告〕內(nèi)部牽制1905年，最早提出內(nèi)部牽制〔InternalCheck〕的概念職責分工會計記錄人員輪換內(nèi)部牽制的兩個設想是兩個或兩個以上的人或部門無意識地犯同樣的錯誤時機較少；兩個或兩個以上的人或部門有意識地合伙舞弊的可能性大大低于單獨一個或部門舞弊的可能性內(nèi)部牽制〔續(xù)〕內(nèi)部牽制的職能實物牽制物理牽制分權牽制簿記牽制內(nèi)部牽制只是抓住了內(nèi)部控制的局部內(nèi)容內(nèi)部控制結(jié)構(gòu)(1988)控制環(huán)境會計系統(tǒng)控制程序控制環(huán)境企業(yè)控制的建立和實施有重大影響的一組因素的統(tǒng)稱管理哲學和經(jīng)營風格對實現(xiàn)利潤目標、其他目標或預算的態(tài)度對待風險的態(tài)度對控制的需求對內(nèi)部和公開財務報表的重要性和尊嚴的態(tài)度等組織結(jié)構(gòu)董事會的職能授權和分配責任的方式管理控制方法內(nèi)部審計人事政策和實務外部影響內(nèi)部控制組織內(nèi)部的內(nèi)部控制組織外部的內(nèi)部控制

席爾賓斯基三角

會計系統(tǒng)一個的效的會計系統(tǒng)應能做到確認并記錄所有真實的交易及時且充分詳細地描述交易，以便在財務報表上對交易作恰當?shù)姆诸愑嬃拷灰椎膬r值，以便在財務報表上記錄其恰當?shù)呢泿沤痤~確定交易發(fā)生的期間，以便將交易記錄在適當?shù)臅嬈陂g在財務報表中恰當?shù)乇磉_的披露交易及相關事項控制程序同其他兩個要素一樣，為了合理保證公司目標的實現(xiàn)而建立的政策和程序，它既可單獨應用，也可融合于其他兩個要素的特定組成局部恰當授權職責別離〔授權、執(zhí)行、記錄、核準和保管〕憑證和記錄按近控制獨立檢查內(nèi)部控制的完整框架1985年，由AICPA、IIA、FEI、AAA、IMA等共同發(fā)起成立了“全國舞弊性財務報告委員會〞〔即Treadway委員會〕。兩年后，根據(jù)該會的建議，其贊助機構(gòu)又成立了專門研究內(nèi)部控制問題的組織，即COSO委員會。-------1992年美國國會的“反對虛假財務報告委員會〞〔NCFR〕下屬的由AAA、AICPA、IIA、FEI和IMA等專業(yè)團體組織參與的“發(fā)起組織委員會〔COSO〕〞內(nèi)部控制的完整框架1992年，COSO提出了著名的“內(nèi)部控制的完整框架〞的研究報告，1994年進行了增補。COSO報告提出內(nèi)部控制的目標有三個：提高經(jīng)營效率，取得好的經(jīng)營效果合理保證財務報告的可靠性遵循有關的法規(guī)制度內(nèi)部控制的完整框架〔續(xù)〕內(nèi)部控制的要素內(nèi)部環(huán)境風險評估控制活動信息與溝通監(jiān)督五要素及其相互關系

監(jiān)控控制活動風險評估內(nèi)部環(huán)境信息溝通信息溝通根底手段保證載體依據(jù)內(nèi)部控制的完整框架〔續(xù)〕COSO委員會提出，內(nèi)部控制是由企業(yè)董事會、經(jīng)理階層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程。其構(gòu)成要素應該來源于管理階層經(jīng)營企業(yè)的方式，并與管理過程相結(jié)合?？刂骗h(huán)境內(nèi)部環(huán)境評估關注要點誠信與道德價值觀勝任能力董事會或?qū)徲嬑瘑T會管理層的理念和經(jīng)營風格組織結(jié)構(gòu)責任的分配和授權人力資源政策和實踐風險評估風險評估是企業(yè)為到達其目標而執(zhí)行的識別及分析相關風險的程序，為確定如何控制風險而形成的一個根本原那么，包括風險識別和風險分析風險識別包含檢查諸如技術開發(fā)、競爭和經(jīng)濟變化等因素，以及諸如人員質(zhì)量、組織活動的性質(zhì)和信息系統(tǒng)處理的特征等內(nèi)部因素。風險分析涉及重要性的評價、風險發(fā)生可能性的評估，并要考慮如何管理風險風險評估的要點管理層如何識別風險管理如何預測重要性風險管理層如何評估該類風險發(fā)生的可能性〔或頻率〕管理層如何作出控制風險的決策控制活動在實際操作中，控制活動是指確保管理層的指示經(jīng)已被執(zhí)行，同時對風險作出適當反映的相關政策及程序在企業(yè)整體的層面，控制活動同時包括以下方面經(jīng)營業(yè)績回憶信息系統(tǒng)控制〔包括應用控制和信息系統(tǒng)總體控制〕實物控制職責別離信息和溝通信息和溝通系統(tǒng)使當事機構(gòu)的人員能夠掌握和交換所需信息，以便執(zhí)行、管理和控制其經(jīng)營狀況定期獲得、確定并交流相關信息評價內(nèi)部和外部獲取信息交流是與財務報告相關之內(nèi)部控制中，每個人應清晰說明個人在此過程中的作用和責任。交流的特點是：文件化、數(shù)據(jù)化、制度化、流程化監(jiān)督是評估內(nèi)部控制執(zhí)行質(zhì)量的過程，控制的監(jiān)督在不斷的監(jiān)控反復評價或兩者合一的過程中完成它包括定期評估控制設計和操作、執(zhí)行適當?shù)母恼椒ǔ掷m(xù)性監(jiān)督〔日常監(jiān)控〕獨立評估報告缺陷目的是為了確?？刂迫绶桨钢兄掷m(xù)有效，并應環(huán)境的變化作適當?shù)母淖兤髽I(yè)風險管理2003年7月美國COSO公布了企業(yè)風險管理框架的討論稿，并于2004年4月公布正文。同1992年的COSO報告相比，新的COSO報告增加了一個觀念、一個目標、兩個概念和三個要素ERM的定義企業(yè)風險管理的定義一個由企業(yè)的董事會、管理層

和其他員工共同參與的，應用

于企業(yè)戰(zhàn)略制定和企業(yè)內(nèi)部各

個層次和部門的，用于識別可

能對企業(yè)造成潛在影響的事項

并在其風險偏好范圍內(nèi)管理風

險的，為企業(yè)目標的實現(xiàn)提供

合理保證的過程ERM的目標ERM的目標 戰(zhàn)略目標經(jīng)營目標報告目標合法性目標ERM的目標〔續(xù)〕戰(zhàn)略目標高層目標，與實體使命、設想一致并支持前二者。戰(zhàn)略目標反映了管理者關于實體如何為股東創(chuàng)造價值的選擇。經(jīng)營目標這些屬于實體經(jīng)營的效力、效率，包括業(yè)績盈利目的及保護資源防止損失。他們基于管理層關于結(jié)構(gòu)和績效的選擇而變化。報告目標這些屬于報告可靠性。他們包括內(nèi)外部報告，可能包括財務和非財務信息。依從目標這些屬于堅持相關法律規(guī)那么。他們依賴外部因素，有時整個實體有時一個產(chǎn)業(yè)目標趨同。ERM的主要內(nèi)容ERM的構(gòu)成要素內(nèi)部環(huán)境目標制定事項識別風險評估風險反映控制活動信息和溝通監(jiān)控企業(yè)風險管理內(nèi)部環(huán)境表達了整個組織的特征，影響到企業(yè)員工的風險意識，是其他風險管理構(gòu)成要素的根底，為企業(yè)風險管理提供了一個規(guī)那么和概括內(nèi)部環(huán)境包括企業(yè)風險管理哲學、風險偏好和風險文化、董事會的缺陷、企業(yè)員工的忠誠度、價值取向、管理哲學和運營模式、權責劃分、人力資源政策等目標制定每個企業(yè)都要面臨來自企業(yè)內(nèi)部和外部的各種風險，設定目標是企業(yè)進行有效地事項識別、風險評估和風險對策的前提設定目標應當區(qū)分不同的管理層次和內(nèi)部結(jié)構(gòu)，目標應當建立在戰(zhàn)略的高度，為企業(yè)的運營目標、財務報告目標和遵循目標建立一個根底設定目標還應當與企業(yè)風險偏好保持一致事項識別企業(yè)管理層應當識別影響企業(yè)戰(zhàn)略實施成功和企業(yè)目標實現(xiàn)的潛在事項對企業(yè)帶來消極影響的事項被稱為風險，要求管理層進行評估和采取措施企業(yè)管理層在識別潛在事項時，應當從整個企業(yè)組織的角度進行考慮風險評估風險評估與影響企業(yè)目標實現(xiàn)的潛在事項有關，通過風險識別，企業(yè)在職準確判斷自己所隨的風險在性質(zhì)上是何種具體形態(tài)之后，隨之需要進一步把握這這些風險在量上可能到達何種程度，以便決定是否加以控制，如何加強控制。管理層應當從可能性和影響兩個方面來評估事項。通常采用定量和定性的方法，潛在事項正面和負面的影響可以被逐個測試到。對潛在的負面事項的評估包括固有風險評估和剩余風險評估。風險評價模式重要性可能性1234風險反映風險評估結(jié)束之后，管理層應當決定該如何應對風險風險應對策略主要回避、減緩、分擔和接受在制定應對策略時，管理層應考慮本錢效益原那么，在風險容忍度和預期范圍內(nèi)選擇應對策略風險管理風險管理的目標一般是，對于純粹風險，必須盡可能躲避，因為它對企業(yè)有百弊而無一利；對于投機風險應根據(jù)不同情況，分別采取完全躲避、完全不躲避以及局部躲避、局部不躲避的對策防止風險控制風險分散與中和風險承擔風險轉(zhuǎn)移風險集中風險中海殼牌風險評估矩陣結(jié)果

可能性

嚴重性人員環(huán)境成本(美元)工期聲譽ABCDE在行業(yè)中從未發(fā)生過單經(jīng)在石油工業(yè)中發(fā)生單純在股東企業(yè)發(fā)生每年在股東企業(yè)發(fā)生幾次每年在當?shù)匕l(fā)生幾次概率小于1%概率小于10%有可能在每個項目中發(fā)生每個項目發(fā)生多于一次<0.1%<1%<10%<100%>100%1輕微輕微<200.000<3小時輕微

2中度

(RWC)小的單元的影響0.2-2million3-24小時有限影響

持續(xù)改進

3重大傷害

LTI區(qū)域內(nèi)影響2-20million1-10天相當?shù)挠绊?/p>

聯(lián)合改進措施盡量降低

4PTD/單個死亡區(qū)域外大的影響20–200million10天-3月國內(nèi)影響

尋求替代措施立即采取措施5群死重大影響>200million>3月國際影響

控制活動控制活動能有助于確保管理層對風險對策執(zhí)行而采取的政策和程序，它貫穿于整個組織、各個層次和不同的功能部門，具體包括支持、授權、證實、確認、業(yè)績評價、資產(chǎn)保全和責任明確控制活動通常包括兩個要素確定應該做什么和一個政策影響該政策的一系列過程控制活動的種類高層復核〔Top-levelreviews〕直接的職責或活動管理〔Directfunctionaloractivitymanagement〕信息處理〔Informationprocessing〕實物控制〔Physicalcontrols〕業(yè)績指標〔Performanceindicators〕職責別離〔Segregationofduties〕信息與溝通每個企業(yè)都需要識別和記錄那些有關企業(yè)管理的外部事項和內(nèi)部事項的信息——財務信息和非財務信息，并將這些信息以適應的方式在規(guī)定的期限內(nèi)傳達給企業(yè)員工來實施企業(yè)風險管理和其他任務。通過在組織內(nèi)上、下級之間信息傳遞，能夠產(chǎn)生有效的溝通。企業(yè)全體人員都應從管理層處清楚地獲得必須在企業(yè)風險管理中承擔的責任企業(yè)必須建立一種向上反響重要信息的溝通方式，并且在對外方面也要建立一個有效的溝通。信息與溝通〔續(xù)〕有效的溝通包括縱向和橫向，內(nèi)部和外部信息是溝通的根底管理者必須使董事會了解企業(yè)業(yè)績、開展、風險管理執(zhí)行的及時信息風險管理過程和程序的溝通應與企業(yè)預期的風險文化相結(jié)合，并作為企業(yè)風險文化的根底溝通應有一個適當?shù)募軜?gòu)溝通應使員工了解風險管理的重要性、企業(yè)的風險偏好和容忍度，應保證員工能在各業(yè)務部門、業(yè)務流程或職能部門間進行風險信息的溝通監(jiān)督ERM活動應當建立監(jiān)督機制，這種監(jiān)督是對企業(yè)風險管理現(xiàn)狀和各組成局部效績進行評價的過程。通過持續(xù)監(jiān)督和個別評價或者兩者的結(jié)合來實現(xiàn)監(jiān)督，因而ERM管理中的缺陷可由下而上傳遞，使重要的問題傳遞到管理層和董事會持續(xù)監(jiān)督是對日常的管理活動采取的個別評價那么主要是根據(jù)評估風險的性質(zhì)和程度，以及持續(xù)監(jiān)督過程的效率來確立企業(yè)的層級企業(yè)的層級，包括整個企業(yè)、各職能部門、各條業(yè)務線及下屬各個子公司企業(yè)風險管理三個維度的關系是全面風險管理的八個要素都是為企業(yè)的四個目標效勞的企業(yè)各個層級都要堅持服從企業(yè)的四個目標每個層級都必須從以上八個方面進行風險管理，該框架適合各種類型的企業(yè)或機構(gòu)的風險管理內(nèi)容提要為什么關注內(nèi)部控制與ERM企業(yè)治理與內(nèi)部控制什么是企業(yè)內(nèi)部控制與ERM基于信息技術的內(nèi)部控制內(nèi)部控制與ERM法規(guī)內(nèi)部控制制度設計與評價基于信息技術的內(nèi)部控制IT治理、IT控制與信息質(zhì)量ISACA的IT治理定義是董事會及高層管理人員的責任，它并不是單獨的紀律或活動，而是公司治理的一局部，由領導力、組織結(jié)構(gòu)和程序所組成的，以確保能用企業(yè)的IT維持并擴展企業(yè)的策略及目標。COBIT報告成熟度模型IT治理德勤IT治理包括信息系統(tǒng)、技術、通信、商業(yè)、所有利益相關者、合法性和其他問題，其主要任務是保持IT與業(yè)務目標一致，推動業(yè)務開展，促使收益最大化，合理利用IT資源，IT相關風險和適當管理。Ifyou'rejustgettingby,

you'renotreachingyourIQpotential“Gettingby〞MeetingMinimumRequirementsCOBIT4.1COBITControlObjectivesforInformationandRelatedTechnology(信息與相關技術的控制目標)ISACA(信息系統(tǒng)審計與控制協(xié)會)1967年設立1992年發(fā)布最初版本2003年發(fā)布第三個版本2005年11月發(fā)布第四個版本〔cobit4.0〕2007年COBIT4.1IT治理 管理層與董事會的職責，由確保企業(yè)維持信息技術和擴展組織戰(zhàn)略與目標的領導層、組織結(jié)構(gòu)、過程組成價值、風險與控制構(gòu)成了IT治理的核心COBIT〔續(xù)〕COBIT的用途作為IT治理的核心模型作為審計信息系統(tǒng)的標準作為指導信息化的行動COBIT是一個多階段性框架，它將流程置于IT和信息管理工作的核心位置，將IT治理過程或信息化建設過程劃分為控制域、流程，兩者共包含二百多個控制目標。COBIT〔續(xù)〕COBIT4.0和4.1，在監(jiān)控域中增加了評估局部，控制目標由3.0的368個減少至4.0的215個，而4.1減少到210個詳細目標〔IT4個領域、34個IT流程〕在管理指南中，輸入/輸出取代了3.0的關鍵成功因素COBIT參考了全球40多個組織和機構(gòu)有關IT和控制的標準，如COSO、CoCo、ISO、OECD及歐盟等有關IT的標準、框架、指南和最正確實務，是一個目前在國際上被廣泛成認和接受和IT內(nèi)部控制開放性標準COBIT的三維框架圖COBIT框架應用圖企業(yè)目標治理目標信息要求規(guī)劃與組織獲取與實施交付與支持監(jiān)督與評價IT資源應用信息設施人員有效性效率性保密性完整性可用性遵循性可行性COBIT的組成結(jié)構(gòu)執(zhí)行概要框架管理指南審計指南控制目標成熟度模型關鍵成功因素關鍵目標指標關鍵績效指標執(zhí)行工具集高層域控制中層過程控制下層任務活動控制基本標準具體準則執(zhí)業(yè)指南COBIT框架和組成局部〔4.0〕COBIT框架的功能IT4個領域、34個IT流程、318個控制目標7類信息標準管理指南當中的衡量標準、關鍵成功因素和成熟度模型、審計指南當中的通用審計方法IT過程、IT目標與IT資源關系匯總表〔NEXT，P：主要的；S：次要的；√：涉及〕域IT過程IT目標IT資源有效性效率性機密性完整性可用性遵循性可靠性應用信息設備人員規(guī)劃與組織P01P02P03P04P05P06P07P08P09P010定義IT戰(zhàn)略規(guī)劃定義信息體系結(jié)構(gòu)確定技術方向定義IT流程、組織與關系管理IT投資通訊管理目標與方向管理IT人力資源質(zhì)量管理評估與管理IT風險項目管理

PSSPSPPPPPPPSPSPPPPSSSSPPPSSPP√√√√√√√√√√√√√√√√√√√√√√√√√√獲取與實施A11A12A13A14A15A16A17確定自動化的解決方案獲取與維護應用程序軟件獲取與維護技術基礎設施授權操作與使用獲取IT資源改變管理系統(tǒng)的安裝與鑒定及改變PSPPSSSPSPPSSSSSPSPPPPSPSSS√√√√√√√√√√√√√√√√√√√交付與支持DS1DS2DS3DS4DS5DS6DS7DS8DS9DS10DS11DS12DS13定義并管理服務水平第三方服務管理性能與容量管理確保服務的持續(xù)性確保系統(tǒng)安全確定并分配成本教育和培訓用戶服務臺與突發(fā)事件管理配置管理問題管理數(shù)據(jù)管理物理環(huán)境管理操作管理PPSSSSSPPSSSSSPPSPSPPPSSSPPPSPPPSSSPPSPPPPPPSS√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√監(jiān)控ME1ME2ME3ME4IT績效監(jiān)督與評價內(nèi)部控制監(jiān)督與評價確保法則的遵循提供IT治理PPSSSSSPPSSSSSPSPPSSSSS√√√√√√√√√√√√√√√√基于信息技術的內(nèi)部控制〔續(xù)〕基于信息技術的風險管理平臺成熟度模型級別定義說明0：管理過程根本不存在〔缺乏任何IT過程，企業(yè)甚至沒有意識到IT過程問題的存在及其重要性〕1級〔初始級〕：過程混亂，毫無組織2級〔可重復級〕：過程遵循固定模式〔工作很大程度取決于個人能力，出錯率高〕3級〔定義級〕：過程已形成文件并發(fā)布〔出現(xiàn)偏差較少〕4級〔可管理級〕：過程得到監(jiān)控和測量5級〔最優(yōu)級〕：遵循并成功實施最正確慣例〔指企業(yè)對IT內(nèi)控問題和解決方案有前瞻性的理解，并做好準備?；诓粩喔倪M和與其他組織成熟度模型比較運用的結(jié)果，企業(yè)IT過程已經(jīng)被提煉到一個最正確的實踐水平〕內(nèi)部控制一個組織為什么要內(nèi)部控制生存——〔舊COSO〕開展——〔新COSO〕內(nèi)部控制的類型基于崗位的權力制衡〔不相容職位、記錄、檢查〕基于環(huán)境的標準流程〔組織系統(tǒng)、組織結(jié)構(gòu)、業(yè)務歸口、環(huán)節(jié)控制、記錄報告、檢查監(jiān)督〕基于戰(zhàn)略信息的優(yōu)化行為〔ERM〕內(nèi)容提要為什么關注內(nèi)部控制與ERM企業(yè)治理與內(nèi)部控制什么是企業(yè)內(nèi)部控制與ERM基于信息技術的內(nèi)部控制內(nèi)部控制與ERM法規(guī)內(nèi)部控制制度設計與評價內(nèi)部控制法規(guī)美國薩班斯法案SEC與AICPA〔PCAOB〕中國的內(nèi)控標準SOX的目的布什在SOX新聞發(fā)布會上“這是自羅斯?？偨y(tǒng)以來美國商業(yè)界影響最為深遠的改革法案〞公司內(nèi)部治理及風險管理水平的提升，也是對投資者利益的保護〔會給資方帶來溢價，尤其是機構(gòu)投資者〕SOX有助于強投資者的信心提升透明度改革會計行業(yè)“上市公司會計改革與投資者保護法案〞概要成立獨立的上市公司會計監(jiān)管委員會，負責監(jiān)管執(zhí)行上市公司審計的會計師事務所及注冊會計師加強審計師的獨立性加大公司的財務報告責任加強公司的財務披露義務加重對公司管理層違法行為的處分措施增加經(jīng)費撥款，強化SEC的監(jiān)管職能要求美國審計總署加強調(diào)查研究404條款公司的年報中必須包括一份“內(nèi)部控制報告〞該報告要明確指出公司管理層對建立和保持一套完整的、與財務報告相關的內(nèi)部控制系統(tǒng)所負有的責任，并要求管理層在財務年度期末，對公司財務報告相關的內(nèi)部控制體系作出有效性的評估會計事務所的審計師需要對管理層所作的有效性評估發(fā)表意見

薩法404條款的修訂2006年8月9日，SEC對404條款進行了修訂非外鄉(xiāng)中型企業(yè)〔7500萬≤市值≤7億美金)〕從2006年7月15日開始執(zhí)行?薩班斯法案?404條款的第〔1〕點，從2007年7月15日開始執(zhí)行404條款第〔2〕。SEC方案將新上市企業(yè)執(zhí)行404條款的時間推遲到其報完一個年報之后。SEC方案對小企業(yè)執(zhí)行404條款第〔1〕點的時間從2007年7月15日推遲到2007年12月15日之間截止的財政年度，而404條款的第〔2〕點執(zhí)行時間，那么推遲到2021年12月15日之后截止的財政年度。此文件還建議所有的小企業(yè)都需要在實行404條款的第一年度開始準備管理層對內(nèi)控體系的報告。SOX下的內(nèi)部控制與審計SOX的主要內(nèi)容建立健全的內(nèi)部控制機制實施定期的風險評估風險評估的結(jié)果與信息披露領導者的義務與責任發(fā)揮內(nèi)部審計的作用SOX框架下對企業(yè)內(nèi)部控制的要求對企業(yè)內(nèi)部控制的要求立法化內(nèi)部審計成為必須的組織設置中國主要的企業(yè)內(nèi)部控制標準時間文件名稱發(fā)件單位2008/6深圳證券交易所上市公司內(nèi)部控制指引五部門2006/9深圳證券交易所上市公司內(nèi)部控制指引深交所2006/6上海證券交易所上市公司內(nèi)部控制指引上交所2006/6中央企業(yè)全面風險管理指引國資委2004/8中央企業(yè)內(nèi)部審計管理暫行辦法國資委2004/1中央企業(yè)負責人經(jīng)營業(yè)績考核暫行辦法國資委2003/9企業(yè)國有資產(chǎn)監(jiān)督管理暫行條件國資委2002/9商業(yè)銀行內(nèi)部控制指引中國人民銀行2002/1上市公司治理準則證監(jiān)會2001/7內(nèi)部會計控制規(guī)范財政部2000/7會計法人大常委會我國內(nèi)控的主要法規(guī)證監(jiān)會：關于提高上市公司質(zhì)量意見

上海證券交易所：上市公司內(nèi)部控制指引

證監(jiān)會：加強上市公司治理專項活動的通知深圳證券交易所：上市公司內(nèi)部控制指引

國資委：中央企業(yè)全面風險管理指引

財政部等：企業(yè)內(nèi)部控制標準法律法規(guī)企業(yè)內(nèi)部控制標準根本標準17項具體控制標準貨幣資金采購與付款存貨對外投資工程工程固定資產(chǎn)銷售與收款籌資本錢費用擔保財務會計報告編制信息披露預算合同對子公司的控制人力資源政策計算機信息系統(tǒng)我國企業(yè)內(nèi)部控制標準體系根本標準具體標準制度支持財務報表編制相關標準財務報表工程相關標準應用指南貨幣資金采購與付款存貨對外投資工程工程固定資產(chǎn)無形資產(chǎn)資產(chǎn)減值銷售與收款籌資衍生工具本錢費用擔保合同對子公司控制合并與分立效勞外包財務報告編制關聯(lián)交易公允價值信息披露預算人力資源政策計算機系統(tǒng)內(nèi)部審計中介機構(gòu)聘用企業(yè)內(nèi)部控制根本標準〔續(xù)〕總那么內(nèi)部控制的目標、要素與原那么內(nèi)部環(huán)境風險評估控制活動信息與溝通監(jiān)督檢查附那么內(nèi)控標準企業(yè)內(nèi)部控制根本標準〔續(xù)〕內(nèi)部控制的目標企業(yè)戰(zhàn)略經(jīng)營的效率和效果財務報告及相關信息的真實、準確和完整資產(chǎn)的平安完整遵循國家法律、行政法規(guī)和有關監(jiān)管要求企業(yè)內(nèi)部控制根本標準〔續(xù)〕內(nèi)部控制的要素

內(nèi)部環(huán)境風險評估控制活動信息與溝通監(jiān)督檢查

企業(yè)內(nèi)部控制根本標準〔續(xù)〕內(nèi)部環(huán)境影響、制約企業(yè)內(nèi)部控制建立與執(zhí)行的各種內(nèi)部因素的總稱，是實施內(nèi)部控制的根底治理結(jié)構(gòu)組織機構(gòu)設置與權責分配企業(yè)文化人力資源政策內(nèi)部審計治理結(jié)構(gòu)治理結(jié)構(gòu)標準運行企業(yè)應當制定股東會、董事會、監(jiān)事會的議事規(guī)那么，明確界定決策、執(zhí)行、監(jiān)督各層面的地位、職責與任務，形成有效的分工和制衡機制審計委員會設立及其獨立性審計委員會職責內(nèi)部機構(gòu)設置與權責分配機構(gòu)設置權責分派權責分派的知情與監(jiān)督企業(yè)文化企業(yè)文化的概念和內(nèi)容企業(yè)在經(jīng)營管理過程中形成的、影響企業(yè)內(nèi)部環(huán)境和內(nèi)部控制效力的精神、意識和理念，主要包括企業(yè)的整體價值觀、合規(guī)經(jīng)營意識，員工行為守那么、高級管理人員的管理理念和經(jīng)營風格等企業(yè)管理層在企業(yè)文化建設中的責任行為準那么高管人員管理理念和經(jīng)營風格高管人員在信息披露中的責任人力資源政策人力資源政策內(nèi)容員工的聘用、培訓、辭退與辭職員工的薪酬、考核、晉升與獎懲關鍵崗位員工的強制休假制度和定期崗位輪換制度對掌握國家秘密和重要商業(yè)秘密的員工離崗的限制性規(guī)定員工聘用員工培訓鼓勵約束機制內(nèi)部審計內(nèi)部審計的作用內(nèi)部審計機構(gòu)設置與人員配備企業(yè)內(nèi)部控制根本標準〔續(xù)〕風險評估及時識別、科學分析和評估影響企業(yè)目標實現(xiàn)的各種不確定因素并制定應對策略的過程，是實施內(nèi)部控制的重要環(huán)節(jié)風險識別風險分析風險應對

風險識別內(nèi)部風險高級管理人員職業(yè)操守、員工專業(yè)勝任能力、團隊精神等人員素質(zhì)因素組織結(jié)構(gòu)、經(jīng)營方式、資產(chǎn)管理、業(yè)務流程設計、財務報告編制與信息披露等管理因素財務狀況、經(jīng)營成果、現(xiàn)金流量等財務因素研究開發(fā)、技術投入、信息技術運用等技術因素營運平安、員工健康、環(huán)境污染等平安環(huán)保因素風險識別〔續(xù)〕外部風險經(jīng)濟形勢、產(chǎn)業(yè)政策、資源供給、利率調(diào)整、匯率變動、融資環(huán)境、市場競爭等經(jīng)濟因素法律法規(guī)、監(jiān)管要求等法律因素文化傳統(tǒng)、社會信用、教育根底、消費者行為等社會因素技術進步、工藝改進、電子商務等科技因素自然災害、環(huán)境狀況等自然環(huán)境因素風險分析企業(yè)應當對已識別的風險進行風險分析企業(yè)可以從風險發(fā)生的可能性和影響程度兩個方面進行風險分析，并按照風險發(fā)生的可能性大小及其對企業(yè)影響的嚴重程度進行風險排序，確定重點關注的風險企業(yè)應當建立與實際運營情況相適應的風險等級劃分標準

風險應對企業(yè)應當以經(jīng)管理層確定的風險分析結(jié)論為依據(jù)，結(jié)合風險因素、企業(yè)整體風險承受能力以及業(yè)務層面上的可接受風險水平，確定風險應對策略風險應對策略一般包括風險躲避、風險承擔、風險降低和風險轉(zhuǎn)移等企業(yè)應當持續(xù)采集與風險及其變化相關的信息，識別新風險或?qū)υ酗L險的變化進行核查評估，根據(jù)變化情況及時調(diào)整風險應對策略控制活動概念及其分類企業(yè)應當結(jié)合風險應對策略，采取人工控制與自動控制相結(jié)合的控制措施控制措施通常包括職責別離控制、授權審批控制、預算控制、財產(chǎn)保護控制、分析與報告控制、績效考評控制、信息技術控制等信息與溝通的要求對信息采集的要求內(nèi)部信息采集方式外部信息采集方式信息溝通要求信息溝通渠道

反舞弊機制

反舞弊機制反舞弊機制的作用企業(yè)防范、發(fā)現(xiàn)和處理舞弊行為、優(yōu)化內(nèi)部環(huán)境的重要制度安排

企業(yè)反舞弊工作至少應當關注財務報告和信息披露方面存在的虛假記載、誤導性陳述或者重大遺漏等未經(jīng)授權、濫用職權或者采取其他不法方式侵占、挪用企業(yè)資產(chǎn)牟取不當利益高級管理人員舞弊員工單獨或者串通舞弊監(jiān)督檢查的要求內(nèi)部控制缺陷評估與報告缺陷分析

責任追究制度內(nèi)控自我評價內(nèi)控自我評價企業(yè)應當結(jié)合內(nèi)部控制監(jiān)督檢查情況，定期對企業(yè)內(nèi)部控制建立和實施的有效性進行自我評價，形成書面評價報告，提交董事會及其審計委員會內(nèi)部控制自我評價的方式、范圍、程序和頻率，由企業(yè)根據(jù)經(jīng)營業(yè)務調(diào)整、經(jīng)營環(huán)境變化、業(yè)務開展狀況、實際風險水平等確定。國家有關法律、行政法規(guī)和有關監(jiān)管要求另有規(guī)定的，從其規(guī)定企業(yè)內(nèi)部控制根本標準〔續(xù)〕控制活動風險評估結(jié)果，采用適當?shù)目刂拼胧┐龠M企業(yè)實現(xiàn)內(nèi)部控制目標的政策和程序，是實施內(nèi)部控制的具體方式企業(yè)內(nèi)部控制根本標準〔續(xù)〕信息與溝通及時、準確、完整地采集與企業(yè)經(jīng)營管理密切相關的各種信息，并使這些信息以適當?shù)姆绞皆谄髽I(yè)有關層級之間、企業(yè)與外部之間進行及時傳遞、有效溝通和正確使用的過程，是實施內(nèi)部控制的重要條件信息的采集機制企業(yè)內(nèi)、外部之間信息溝通機制

企業(yè)內(nèi)部控制根本標準〔續(xù)〕監(jiān)督檢查企業(yè)對其內(nèi)部控制設計與運行的有效性進行檢查、評價并進行糾正的過程，是實施內(nèi)部控制的重要保證日常監(jiān)督檢查專項監(jiān)督檢查

企業(yè)內(nèi)部控制根本標準〔續(xù)〕內(nèi)部控制原那么合法性原那么全面性原那么重要性原那么有效性原那么制衡性原那么適應性原那么本錢效益原那么企業(yè)內(nèi)部控制根本標準〔續(xù)〕配套制度制定權限企業(yè)內(nèi)部控制應用指引、財務報告內(nèi)部控制自我評價方法、財務報告內(nèi)部控制審計準那么等由財政部會同中國證券監(jiān)督管理委員會、國務院國有資產(chǎn)監(jiān)督管理委員會等部門另行制定內(nèi)部控制責任董事長責任董事長〔或法定代表人〕對企業(yè)內(nèi)部控制的建立健全和有效實施負總責董事會其他成員對企業(yè)內(nèi)部控制的建立健全和有效實施承擔相應責任管理層責任經(jīng)理〔或總裁、廠長〕根據(jù)法定職權、企業(yè)章程和董事會的授權，負責組織領導企業(yè)內(nèi)部控制的日常運行企業(yè)管理層其他成員負責職責分工范圍內(nèi)的內(nèi)部控制的日常運行企業(yè)內(nèi)部控制根本標準〔續(xù)〕內(nèi)控機構(gòu)和組織實施企業(yè)應當成立專門機構(gòu)或者指定適當?shù)臋C構(gòu)負責組織領導和統(tǒng)籌協(xié)調(diào)內(nèi)部控制的建立與實施工作。企業(yè)可以采取分步實施、逐步完善的方法建立健全企業(yè)的內(nèi)部控制對加強分子公司內(nèi)控的要求企業(yè)應當指導、監(jiān)督子公司建立和實施內(nèi)部控制，并作為對子公司績效考核的依據(jù)

上交所內(nèi)部控制指引內(nèi)部控制的框架在以下層面全面、完整公司層面公司下屬部門及附屬公司層面公司各業(yè)務環(huán)節(jié)層面要素目標設定、內(nèi)部環(huán)境、風險確認、風險評估、風險管理策略選擇、控制活動、信息溝通、檢查監(jiān)督信息管理的內(nèi)控制度信息處理部門與使用部門權責的劃分信息處理部門的功能及職責劃分系統(tǒng)開發(fā)及程序修改的控制程序及資料的存取、數(shù)據(jù)處理的控制檔案、設備、信息的平安控制在本所網(wǎng)站或公司網(wǎng)站上進行公開信息披露活動的控制

金融衍生品交易內(nèi)部控制合理制定金融衍生品交易的目標、套期保值的策略制定金融衍生品交易的執(zhí)行制度，包括交易員的資質(zhì)、考核、風險隔離、執(zhí)行、止損、記錄和報告等的政策和程序制定金融衍生品交易的風險報告制度，包括授權、執(zhí)行、或有資產(chǎn)、隱含風險、對沖策略及其他交易細節(jié)制定金融衍生品交易風險管理制度，包括機構(gòu)設置、職責、記錄和報告的政策和程序

內(nèi)部控制檢查監(jiān)督方法董事會或相關機構(gòu)對內(nèi)部控制檢查監(jiān)督的授權公司各部門及下屬機構(gòu)對內(nèi)部控制檢查監(jiān)督的配合義務內(nèi)部控制檢查監(jiān)督的工程、時間、程序及方法內(nèi)部控制檢查監(jiān)督工作報告的方式內(nèi)部控制檢查監(jiān)督工作相關責任的劃分內(nèi)部控制檢查監(jiān)督工作的鼓勵制度

內(nèi)部控制的信息披露公司在內(nèi)部控制的檢查監(jiān)督中如發(fā)現(xiàn)內(nèi)部控制存在重大缺陷或存在重大風險，應及時向董事會報告。公司董事會應及時向本所報告該事項。經(jīng)本所認定，公司董事會應及時發(fā)布公告。公司應在公告中說明內(nèi)部控制出現(xiàn)缺陷的環(huán)節(jié)、后果、相關責任追究以及擬采取的補救措施。

內(nèi)部控制自我評估報告內(nèi)控制度是否建立健全內(nèi)控制度是否有效實施內(nèi)部控制檢查監(jiān)督工作的情況內(nèi)控制度及其實施過程中出現(xiàn)的重大風險及其處理情況對本年度內(nèi)部控制檢查監(jiān)督工作方案完成情況的評價完善內(nèi)控制度的有關措施下一年度內(nèi)部控制有關工作方案

深交所內(nèi)部控制指引目標遵守國家法律、法規(guī)、規(guī)章及其他相關規(guī)定提高公司經(jīng)營的效益及效率保障公司資產(chǎn)的平安確保公司信息披露的真實、準確、完整和公平要素內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險對策、控制活動、信息與溝通、檢查監(jiān)督

重點關注的控制活動對控股子公司的管理控制關聯(lián)交易的內(nèi)部控制對外擔保的內(nèi)部控制募集資金使用的內(nèi)部控制重大投資的內(nèi)部控制信息披露的內(nèi)部控制中國內(nèi)部控制審計準那么中國CPA內(nèi)部控制審計準那么〔2006〕中國內(nèi)部審計協(xié)會內(nèi)部審計準那么第5號〔內(nèi)部控制審計，2003年6月1日實施〕中國CPA內(nèi)部控制審計準那么中國注冊會計師審計準那么第1211號“了解被審計單位及其環(huán)境并評估重大錯報風險〞總那么風險評估程序、信息來源以及工程組內(nèi)部討論了解被審計單位及其環(huán)境了解被審計單位內(nèi)部控制評估重大錯報風險與治理層和管理層溝通審計工作記錄了解被審計單位內(nèi)部控制內(nèi)部控制的內(nèi)涵和要素與審計相關的控制對內(nèi)部控制了解的深度內(nèi)部控制的人工和自動化成份內(nèi)部控制的局限性控制環(huán)境被審計單位的風險過程信息系統(tǒng)與溝通控制活動對控制的監(jiān)督了解被審計單位內(nèi)部控制〔續(xù)〕控制環(huán)境組織結(jié)構(gòu)、職權與責任的分配對誠信和道德價值觀念的溝通與落實管理層的理念和經(jīng)營風格及對勝任能力的重視治理層的參與程度人力資源政策與實務控制環(huán)境的評價結(jié)果，包括控制薄弱環(huán)節(jié)了解被審計單位內(nèi)部控制〔續(xù)〕被審計單位的風險評估過程被審計單位面臨的風險及風險評估過程〔監(jiān)管及經(jīng)營環(huán)境的變化；新員工的參加；新信息系統(tǒng)的使用或?qū)υ到y(tǒng)進行升級；業(yè)務快速開展；新技術；新生產(chǎn)型號、產(chǎn)品和業(yè)務活動；企業(yè)重組；開展海外經(jīng)營；新的會計準那么〕評價風險評估過程的設計與執(zhí)行向管理層詢問識別出的經(jīng)營風險對小型被審計單位的考慮了解被審計單位內(nèi)部控制〔續(xù)〕信息系統(tǒng)與溝通與財務報告相關的信息系統(tǒng)與財務報告相關的信息系統(tǒng)的職能了解與財務報告相關的信息系統(tǒng)管理層凌駕于帳戶記錄控制之上的風險與財務報告相關的溝通與小型被被審計單位的考慮了解被審計單位內(nèi)部控制〔續(xù)〕控制活動授權業(yè)績評價信息處理實物控制職責別離對控制的監(jiān)督了解對控制的持續(xù)監(jiān)督與專門評價與監(jiān)督活動相關的信息來源對小型被審計單位的考慮內(nèi)部控制審計準那么總那么一般原那么內(nèi)部控制的審查與評價內(nèi)部控制審計的報告附那么內(nèi)部控制審計的目的遵守國家有關法律法規(guī)和組織內(nèi)部規(guī)章制度信息的真實、可靠資產(chǎn)的平安、完整經(jīng)濟有效地使用資源提高經(jīng)營效率控制環(huán)境經(jīng)濟性質(zhì)和經(jīng)營類型管理層的經(jīng)營理念管理層倡導的組織文化法人治理結(jié)構(gòu)各項職責分工及相應人員的勝任能力人力資源政策及其執(zhí)行風險管理與控制活動風險管理主要包括識別影響組織目標實現(xiàn)的各類風險建立風險管理機制控制活動主要包括所有經(jīng)營活動應有適當?shù)氖跈嗖幌嗳萋殑諔攧e離有效控制憑證和記錄的真實性資產(chǎn)和記錄的接近限制獨立的業(yè)務復核信息與溝通、監(jiān)督信息與溝通主要包括及時、準確、完整地記錄所有信息保證管理信息系統(tǒng)的有序運行保證管理信息系統(tǒng)的平安可靠監(jiān)督主要包括內(nèi)部審計機構(gòu)實施的獨立監(jiān)督管理層對內(nèi)部控制的自我評估內(nèi)部控制的審查與評價內(nèi)部控制環(huán)境審核重點經(jīng)濟活動的復雜程度管理權限的集中程度管理行為審計的健全性和有效性管理層對逾越既定控制程序的態(tài)度組織文化的內(nèi)容及組織成員對此的理解與認同法人治理結(jié)構(gòu)的健全性和有效性組織各階層人的知識與技能組織結(jié)構(gòu)和職責劃分的合理性重要崗位人員的權責相稱程度及其勝任能力員工聘用程序及培訓制度員工業(yè)績考核與鼓勵機制內(nèi)部控制的審查與評價〔續(xù)〕控制活動適當性、合法性與有效性的評價重點控制活動建立的適當性控制活動對風險的識別和躲避控制活動對組織目標實現(xiàn)的作用控制活動執(zhí)行的有效性內(nèi)部控制的審查與評價〔續(xù)〕組織獲取及處理信息的能力評價重點獲取財務信息、非財務信息的能力信息處理的及時性和適當性信息傳遞渠道的便捷與暢通管理信息系統(tǒng)的平安可靠性內(nèi)部控制的審查與評價〔續(xù)〕內(nèi)部審計人員對內(nèi)部控制評價標準的選擇首先應判斷組織已有標準的適當性。假設認為已有標準不適宜，應向管理層報告假設管理層沒有制定適宜的標準，內(nèi)部審計人員可以基于組織利益最大化的原那么選擇適當?shù)脑u價標準內(nèi)部審計人員對內(nèi)部控制的評價，按工程的性質(zhì)和需要，既可對全部控制要素進行評價，也可以只對局部控制要素進行評價內(nèi)部審計人員可以采用文字表達、調(diào)查問卷、流程圖等方法對內(nèi)部控制進行描述和評價，并記錄于審計工作底稿內(nèi)部控制審計的報告內(nèi)部審計人員應向組織的適當管理層報告內(nèi)部內(nèi)部控制的審計結(jié)果。內(nèi)部控制審計報告應說明審計和評價內(nèi)部控制的目的、范圍、審計結(jié)論、審計決定及對改善內(nèi)部控制的建議；并應當包括被審計單位的反響意見。內(nèi)部審計人員應在必要時進行內(nèi)部控制的后續(xù)審計。中央企業(yè)內(nèi)部審計管理暫行方法2004年國資委第8號令第七條國有控股公司和國有獨資公司，應當依據(jù)完善公司治理結(jié)構(gòu)和完備內(nèi)部控制機制的要求，在董事會下設立獨立的審計委員會。其中主任委員應當由外部董事?lián)蔚诎藯l企業(yè)審計委員會應當履行以下主要職責審議企業(yè)年度內(nèi)部審計工作方案監(jiān)督企業(yè)內(nèi)部審計質(zhì)量與財務信息披露監(jiān)督企業(yè)內(nèi)部審計機構(gòu)負責人的任免，提出有關意見監(jiān)督企業(yè)社會中介審計等機構(gòu)的聘用、更換和報酬支付審查企業(yè)內(nèi)部控制程序的有效性，并接受有關方面的投訴其他重要審計事項小結(jié)法律法規(guī)，使之不敢；內(nèi)部控制，使之不能；職業(yè)道德，使之不愿。內(nèi)容提要為什么關注內(nèi)部控制與ERM企業(yè)治理與內(nèi)部控制什么是企業(yè)內(nèi)部控制與ERM