高级审计理论与实务之内部审计dnjc.pptx

《高级审计理论与实务之内部审计dnjc.pptx》由会员分享，可在线阅读，更多相关《高级审计理论与实务之内部审计dnjc.pptx（152页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、高级审计理论与实务高级审计理论与实务 -内部审计内部审计 高莹高莹2002年12月21日，美国时代周刊把2002年风云人物授予美国三位敢讲真话、勇于揭露自己公司和组织内部腐败行为的职业妇女，其中两位世界通讯公司（WorldCom）副总裁辛西娅库珀（CynthiaCoope）、安然（Enron）公司前副总裁莎朗沃特金斯（SherronWatkins）。辛西娅库珀则是在2002年5月底挺身而出，揭发世界通讯公司在财务报告中做手脚；莎朗沃特金斯也是从一开始就向安然公司总裁揭发公司财会作假账，提醒安然高层“有问题的会计账目”将使公司在会计丑闻中自我爆炸。国内外控制失灵大案国内外控制失灵大案国内外控制失

2、灵大案国内外控制失灵大案国外案例国内案例安然事件（Enron）：高管被宣判有罪郑百文：风险意识薄弱郑州亚细亚集团：不重视风险管理的教训巴林银行(Barings Bank)：不见过程的败落秦池：“标王的没落巨人集团：衰落房利美:认罚4亿暂平风波南方保健:以罚金换和解免于欺诈起诉中航油：内部控制失灵四川长虹：对运营风险掌握不足通用汽车：因会计业务问题遭调查伊利乳业案例回放从内部控制失灵案例看内部审计从内部控制失灵案例看内部审计 1控制失灵大案没完没了控制失灵大案没完没了控制失灵大案没完没了控制失灵大案没完没了国外案例国内案例。中行失控之痛国家自然基金会：小会计何以制造惊天大案 ST源药：承认年报披

3、露存在虚假朝华集团：年报巨亏15亿 会计师集体无语明星电力：陷入资金黑洞 德隆系案：引出伊斯兰国际信托非法圈钱 G丰原神话故事背后是：10亿元级造假大案 案例回放魔鬼交易员：魔鬼交易员：法国兴业银行72亿美元巨额亏损案的始作俑者31岁的杰洛米科维尔。增强企业的控制力与风险的管理增强企业的控制力与风险的管理增强企业的控制力与风险的管理增强企业的控制力与风险的管理案例带来的思考案例带来的思考财务造假行为为什么能在财务造假行为为什么能在企业畅通无阻企业畅通无阻?企业内部制约机制为什么企业内部制约机制为什么没有发挥作用没有发挥作用?内部审计到底有没有起到内部审计到底有没有起到它应该有的作用它应该有的作

4、用?怎样做才能更好地发挥内怎样做才能更好地发挥内部审计的作用部审计的作用?案例警示增强企业的控制力与风险的管理增强企业的控制力与风险的管理增强企业的控制力与风险的管理增强企业的控制力与风险的管理案例带来的思考案例带来的思考 企企业业在在实现实现目目标标的道路的道路上，机遇与上，机遇与风险风险并存。并存。始始终终能保持能保持竞竞争力的企争力的企业业，是那些，是那些拥拥有良好的内部有良好的内部控制力与控制力与风险风险防范的企防范的企业业案例警示越来越多的公司开始进行内部审计，使得越来越多的公司开始进行内部审计，使得外部审计师可能更多地依靠内部审计外部审计师可能更多地依靠内部审计内部审计部门对审计技

5、术的运用内部审计部门对审计技术的运用,以及内部以及内部审计的组织独立性对外部审计的影响已经审计的组织独立性对外部审计的影响已经成为越来越重要的问题成为越来越重要的问题从与外部审计的关系看内部内部审计从与外部审计的关系看内部内部审计 21.内部审计内部审计1.1 内部审计的发展内部审计的发展1.2 内部审计的定义内部审计的定义1.3 内部审计角色的变化内部审计角色的变化2.内部控制的自我评价内部控制的自我评价3.风险的评估与管理的确认和评价风险的评估与管理的确认和评价1.1内部审计的发展管理需要审查运营情况会计为导向外部审计师的助手管理为导向-评审整个控制过程评价和改善组织的风险管理、控制和治理

6、过程的效果内部审计的变化-定义的演变年份定 义1947 年 内部审计是建立在审查财务、会计和其它经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务，处理财务与会计问题，有时也涉及经营管理中的问题。1957年 内部审计是建立在审查财务、会计和经营活动基础上的独立评价活动。它为管理提供服务，是一种衡量、评价其它控制有效性的管理控制。1971年 内部审计是建立在审查经营活动基础上的独立评价活动，并为管理提供服务，是一种衡量、评价其它控制有效性的管理控制。1978年 内部审计是在一个组织机构内部所建立的独立评价职能，它以检查和评价各类活动的形式为该组织机构服务。1990年 内部审计是在一个

7、组织内部建立的一种独立评价职能，目的是作为对该组织的一种服务工作，对其活动进行审查和评价。1993年 内部审计是在一个组织内部建立的一种独立评价活动，并作为对该组织的活动进行审查和评价的一种服务。内部审计的目的是协助该组织的管理成员有效地履行他们的职责。为此，内部审计向他们提供与所审查的活动有关的分析、评价、建议、忠告和资料。内部审计的目的是促进有效地控制成本费用。1999年 内部审计是一种独立、客观的确认和咨询活动，旨在为增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改进风险管理、控制和治理过程的效果，帮助组织实现其目标。财务财务导向导向管理管理导向导向业务业务导向导向风险风

8、险导向导向1.2什么是内部审计?国际内部审计师协会(IIA)在内部审计实务标准中对内部审计的定义:“内部审计是一种独立、客观的确认和咨询活动,其目的在于增加组织的价值和改善组织的运营。它通过采用系统化、规范化的方法,评价和改善组织的风险管理、控制和治理过程的效果,帮助组织实现其目标。”“确认”（Assurance）“确认”具有兼容性在传统的财务审计、合规审计、经营审计、效率和效果审计的基础上，尽可能地融合控制与风险管理审计等新的内容确认活动的业务类型主要包括：财务审计、业绩审计、舞弊审计、系统安全审计、尽职调查审计等。确认业务确认业务舞弊调查舞弊调查风险和控制自我评估风险和控制自我评估第三方审

9、计与合同审计第三方审计与合同审计质量审计质量审计尽职审计尽职审计安全审计安全审计隐私审计隐私审计绩效审计绩效审计经营审计经营审计财务审计财务审计信息技术审计信息技术审计咨询业务咨询业务内部控制培训内部控制培训业务流程审核业务流程审核标杆管理标杆管理信息技术和系统开发信息技术和系统开发设计绩效测评系统设计绩效测评系统“咨询”(Consulting)“咨询”是为客户提供建议及相关的服务活动，这种服务的性质和范围与客户协商确定，它的目的是在内部审计人员不承担管理层职责的前提下，增加组织价值并改进组织的治理、风险管理以及控制过程“不承担管理层职责”，以维护内部审计在提供咨询服务中的独立性和客观性1.3

10、 内部审计角色的变化内部审计角色的变化萨班斯奥克斯利法案（萨班斯奥克斯利法案（SOA）对内部审计对内部审计的影响的影响内部审计在公司治理中的角色内部审计在公司治理中的角色内部审计在内部控制中的角色内部审计在内部控制中的角色内部审计在风险管理中的角色内部审计在风险管理中的角色内部审计与外部审计内部审计与外部审计萨班斯奥克斯利法案（萨班斯奥克斯利法案（SOA）与内部审计与内部审计内部审计人员需求的增加内部审计人员需求的增加内部审计功能和角色的提升内部审计功能和角色的提升萨班斯奥克斯利法案（萨班斯奥克斯利法案（SOA）的由来）的由来20012001年年1212月，美国最大的能源公司月，美国最大的能源

11、公司安然公司，安然公司，突然申请破产保护突然申请破产保护20022002年年6 6月的世界通信会计丑闻事件月的世界通信会计丑闻事件 针对安然、世通等财务欺诈事件，针对安然、世通等财务欺诈事件，20022002年年8 8月美国月美国国会出台了国会出台了20022002年公众公司会计改革和投资者保年公众公司会计改革和投资者保护法案。该法案由美国众议院金融服务委员会主护法案。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作出，又被称作20022002年萨班斯年萨班斯奥克斯利法案奥克斯利法案（简称萨班斯法案）。（简称

12、萨班斯法案）。萨班斯奥克斯利法案的影响萨班斯奥克斯利法案的影响法案对美国法案对美国19331933年证券法、年证券法、19341934年证券交年证券交易法作了不少修订，在会计职业监管、公司治易法作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。理、证券市场监管等方面作出了许多新的规定。美国总统布什在签署美国总统布什在签署“SOA“SOA法案法案”的新闻发布会上的新闻发布会上称称“这是自罗斯福总统以来美国商业界影响最为这是自罗斯福总统以来美国商业界影响最为深远的改革法案深远的改革法案”。引自布什总统在签署法案时的演讲。由于罗斯福总统引自布什总统在签署法案时的演讲。由于

13、罗斯福总统签署了签署了19331933年的证券法和年的证券法和19341934年的证券交易法年的证券交易法，这句话的实际含义是：，这句话的实际含义是：SOXSOX法案是自证券法和法案是自证券法和证券交易法以来美国资本市场最大幅度的变革。证券交易法以来美国资本市场最大幅度的变革。萨班斯奥克斯利法案的实施萨班斯奥克斯利法案的实施根据法案第一章，要求专门成立公众公司会计监察根据法案第一章，要求专门成立公众公司会计监察委员会（委员会（PCAOBPCAOB）：）：委员会的组建为了保护投资者以及公众的利益，兹组建公众公司会计监察委员会。委员会的目的是监督公众公司的审计以及相关事项，以便为购买及持有其证券的

14、公司或公众投资者编制准确、独立的审计报告。委员会应当是一个法人，作为非盈利公司持续经营，直至被国会出台的法案解散。法律地位委员会不应作为美国政府的部门或机构。鉴于委员会承担的职能，委员会雇佣的任何委员或职员，以及所属机构不应视为联邦政府的官员、雇员或机构。5人组成，3人非CPA，主席可1人CPA，但5年未执业萨班斯奥克斯利法案的实施萨班斯奥克斯利法案的实施20042004年年3 3月月9 9日，日，PCAOBPCAOB发布了其第发布了其第2 2号审计标准：号审计标准：“与财务报与财务报表审计相关的针对财务报告的内部控制的审计表审计相关的针对财务报告的内部控制的审计”，并于，并于6 6月月181

15、8日经日经SECSEC批准批准 ，对上市公司内控进行专门规定。当中阐述，对上市公司内控进行专门规定。当中阐述在美国上市的公司在其内部设立和维持足够财务报告内部控在美国上市的公司在其内部设立和维持足够财务报告内部控制系统的责任。制系统的责任。PCAOB07年年5月28日通过审计准则第日通过审计准则第5号号内部控制审计内部控制审计-理理论上外部审计师虽然不再要求对管理层的内部控制评估出具论上外部审计师虽然不再要求对管理层的内部控制评估出具意见，减轻了管理层的内部控制自我评估的压力，增强了管意见，减轻了管理层的内部控制自我评估的压力，增强了管理层自我评估的灵活性，允许采用和外审不同的方法，针对理层自

16、我评估的灵活性，允许采用和外审不同的方法，针对不同的范围进行测试，允许将自我评估的范围扩大到财务报不同的范围进行测试，允许将自我评估的范围扩大到财务报告相关风险之外的其它领域。告相关风险之外的其它领域。萨班斯奥克斯利法案萨班斯奥克斯利法案-SEC.404-SEC.404 第第404404节管理层对内部控制的评价节管理层对内部控制的评价(a)(a)内部控制方面的要求内部控制方面的要求SECSEC应当相应的规定，要求按应当相应的规定，要求按19341934年证券年证券交易法第交易法第1313节节(a)(a)或或1515节节(d)(d)编制的年度报告中包括内部控制报告，包编制的年度报告中包括内部控制

17、报告，包括：括：(1)(1)强调公司管理层强调公司管理层建立建立和和维护维护内部控制系统及相应控制程序内部控制系统及相应控制程序充分有效充分有效的责任；的责任；(2)(2)发行人管理层最近财政年度末对内部控制体系及控制程序发行人管理层最近财政年度末对内部控制体系及控制程序有效性的有效性的评价评价；(b)(b)内部控制评价报告内部控制评价报告对于本节对于本节(a)(a)中要求的管理层对内部控制的评价，担任公司年报审计的会中要求的管理层对内部控制的评价，担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应当

18、遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。业务。萨班斯奥克斯利法案（萨班斯奥克斯利法案（SOA）对内部审计的影响）对内部审计的影响条款条款主题主题要求规则要求规则 101建立建立PCAOB5人，人，2人人CPA，主席可，主席可1人人CPA，但，但5年未从业年未从业 103审计、质量控制、独立审计准则审计、质量控制、独立审计准则对事务所登记、检查发布新审计准则对事务所登记、检查发布新审计准则 104会计师事务所检查会计师事务所检查对在对在SEC备案的会计师事务所检查备案的会计师事务所检查 201受禁止的业务受禁

19、止的业务内部审计外包，簿记、财务系统设计内部审计外包，簿记、财务系统设计 203审计合伙人轮换审计合伙人轮换5年轮换一次年轮换一次 301审计委员会的独立性审计委员会的独立性所有审计委员会成员必须是独立董事所有审计委员会成员必须是独立董事 302公司对财务报告的责任公司对财务报告的责任CEO、CFO必须对定期财务报告给予保证必须对定期财务报告给予保证 305高级官员和董事的限制和惩罚高级官员和董事的限制和惩罚违法行为，给投资者带来损失补偿，禁止担任高层管理人员和董违法行为，给投资者带来损失补偿，禁止担任高层管理人员和董事事404内部控制报告内部控制报告管理层负责每年评价内部控制（描述建立和维护

20、，对有效性进行管理层负责每年评价内部控制（描述建立和维护，对有效性进行评估）评估）407财务专家财务专家审计委员会的一位董事必须是财务专家审计委员会的一位董事必须是财务专家 409实时披露实时披露财务报告必须迅速公开方式发布财务报告必须迅速公开方式发布 1105高级官员或董事禁入令高级官员或董事禁入令个人有证券欺诈行为，个人有证券欺诈行为，SEC有权禁止其担任上市公司高层管理人有权禁止其担任上市公司高层管理人员和董事员和董事内部审计在公司治理中的角色内部审计在公司治理中的角色通过评价本组织治理的有效性和实际业绩，可以识别治理过程的薄弱环节，并给与恰当的建议。-适当的提升组织的道德和价值-确保有

21、效的组织绩效管理和问责性-和组织的的适当领域有效的沟通风险和控制信息-董事会、外部审计师、内部审计师和管理层协调活动并沟通信息评价组织与道德有关的目标、方案和活动的设计、执行的效果内部审计在机构中的位置内部审计在机构中的位置股东大会股东大会董事会董事会监事会监事会总经理总经理内部稽核内部稽核财务财务采购采购生产生产信息信息销售销售人事人事研法研法成员成员成员成员成员成员成员成员成员成员成员成员成员成员内部审计在机构中的位置内部审计在机构中的位置股东大会股东大会董事会董事会监事会监事会总经理总经理审计审计委员会委员会管理管理委员会委员会薪酬薪酬委员会委员会提名提名委员会委员会内部审计内部审计内部

22、审计在内部控制中的角色内部审计在内部控制中的角色内部审计活动应该评价组织控制的效果和效率，促进控制的持续改进，以帮助组织保持有效的控制-识别风险、评估、提建议内部控制的演进内部控制的演进内部牵制内部牵制内部牵制内部牵制内部控制制度内部控制制度内部控制制度内部控制制度内部控制结构内部控制结构内部控制结构内部控制结构维护资源安全维护资源安全保证会计信息可靠保证会计信息可靠提高效率和效益提高效率和效益内部控制的目标内部控制的目标经营活动的效率效果经营活动的效率效果财务报告的可靠性财务报告的可靠性遵循相关的法律法规遵循相关的法律法规战略目标战略目标经营目标经营目标报告目标报告目标 遵循性目标遵循性目标

23、内部控制整体框架内部控制整体框架内部控制整体框架内部控制整体框架企业风险管理框架企业风险管理框架企业风险管理框架企业风险管理框架19851985年，由年，由AICPAAICPA、美国审计总署（、美国审计总署（AAAAAA）、财务经理协）、财务经理协会（会（FEIFEI）、及管理会计师协会（）、及管理会计师协会（IMAIMA）共同赞助成立了）共同赞助成立了反对虚假财务报告委员会，即反对虚假财务报告委员会，即TreadwayTreadway委员会，该委员委员会，该委员会所探讨的问题之一就是舞弊性财务报告产生的原因，会所探讨的问题之一就是舞弊性财务报告产生的原因，其中包括内部控制不健全的问题。其中包

24、括内部控制不健全的问题。基于基于TreadwayTreadway委员会的建议，其赞助机构又组成了一个委员会的建议，其赞助机构又组成了一个专门研究内部控制问题的委员会，即专门研究内部控制问题的委员会，即COSOCOSO委员会委员会（Committee of Sponsoring Organization of the Committee of Sponsoring Organization of the Treadway Committee)Treadway Committee)。COSO COSO内部控制整体框架内部控制整体框架 内部控制整体框架内部控制整体框架19921992年，年，COSO

25、 COSO委员会提出了报告内部控制委员会提出了报告内部控制整体框架整体框架“内部控制是受董事会、管理当局和其他职员的影响，旨在内部控制是受董事会、管理当局和其他职员的影响，旨在取得经营效果和效率；报告的可靠性；遵循适当法律等目标取得经营效果和效率；报告的可靠性；遵循适当法律等目标而提供合理保证的一种过程。而提供合理保证的一种过程。”内部控制是企业经营过程的一部分，与经营过程结合在一起，内部控制是企业经营过程的一部分，与经营过程结合在一起，而不是凌驾于企业的基本活动之上，它使经营达到预期的效而不是凌驾于企业的基本活动之上，它使经营达到预期的效果，并监督企业经营过程的持续进行。内部控制只是管理的果

26、，并监督企业经营过程的持续进行。内部控制只是管理的一种工具，并不能取代管理。一种工具，并不能取代管理。COSOCOSO内控框架内控框架监控监控-手段手段评估内部控制系统及时整合独立评估管理层和监督机构 的工作内部审计信息与沟通信息与沟通-保障保障定期获取、确定并 交流相关的信息评审内部和外部获 取的信息信息流 职责指导管理层 总结成功措施控制活动控制活动-主体主体保证落实管理层的政策、流程措施包括审批、授权、确认、建议、业务考核、资产保全和权限分离控制环境控制环境-前提前提 管理哲学和经营风格正直、道德价值、能力、权威和责任董事会和审计委员会人力资源政策和实务是其他要素的基础风险评估风险评估-

27、基础基础指管理层识别并采取相应行动来管理对经营、财务报告等有影响的内部或外部风险，包扩风险识别和风险分析。信息与沟通信息与沟通控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监控监控COSOCOSO内部控制框架要素内部控制框架要素内部控制框架要素内部控制框架要素案例引入：沃尔玛的内部控制案例引入：沃尔玛的内部控制2002-2005年一直在年一直在财富评选的财富评选的“500”“500”强中居于首位强中居于首位源于有效的物流系统内部控制框架源于有效的物流系统内部控制框架有效的治理机制使企业建立了强大的信息系统支持有效的治理机制使企业建立了强大的信息系统支持对风险进行全面的评估

28、和测试对风险进行全面的评估和测试对存货管理的控制活动体现了总部控制和销售分部控制相对存货管理的控制活动体现了总部控制和销售分部控制相结合，保证了控制活动的效率结合，保证了控制活动的效率利用现代技术和自己的卫星系统，管理人员掌握第一手资利用现代技术和自己的卫星系统，管理人员掌握第一手资料，监督业务流程，对日常运营和企业战略做出分析和决料，监督业务流程，对日常运营和企业战略做出分析和决策策与内部分店和供应商信息的共享提高了内部控制的效率和与内部分店和供应商信息的共享提高了内部控制的效率和效果效果内部审计在内部控制中的作用内部审计在内部控制中的作用-评价评价聘请安永会计事务所制定了风险管理手册。风险

29、管理手册规定：损失超过500万美元，必须报告董事会，并立即采取止损措施。向母公司提供假账，2006年6月已经在石油期货交易上面临3580万美元的潜在损失。2004年10月，油价上涨，中航油新加坡公司应向与其交易的多家银行支付5000万美元的保证金，导致其现金流量枯竭，实际损失和潜在损失5.54亿美元。内部审计在内部控制中的作用内部审计在内部控制中的作用-评价评价内部控制设计中（控制措施）包含独立的监督部门保证内部控制执行的可能性。内部控制的评价能够发现内部控制设计和执行中的缺陷，有利于修正内部控制的设计，保证内部控制的有效运行。内部控制设计和评价之间的关系：内部控制设计和评价之间的关系：内部控

30、制设计中（控制措施）包含独立的监督部门保证内部控制执行的可能性。内部控制的评价能够发现内部控制设计和执行中的缺陷，有利于修正内部控制的设计，保证内部控制的有效运行。内部审计在风险管理中的角色内部审计在风险管理中的角色帮助组织确认并评价重要的风险暴露，并促进风险管理和控制系统的改进-监控、评价组织风险管理系统的效果-评价组织与完成目标有关的治理、运营和信息系统的风险暴露内部审计在风险管理中的作用内部审计在风险管理中的作用 确认、评价、检查确认、评价、检查辨认风险要素判断风险要素的相对重要性比较衡量每个风险要素的程度评估风险并使之量化风险排序根据风险程度配置审计资源内部审计在风险管理中的作用内部审

31、计在风险管理中的作用 建议建立风险管理机制建议建立风险管理机制 （预警、控制、转化）（预警、控制、转化）2.企业内部控制评价企业内部控制评价(1)(1)公司层面的评价公司层面的评价(2)(2)业务层面的评价业务层面的评价(3)(3)评估整体控制的有效性评估整体控制的有效性评估阶段评估阶段:管理层出具管理层出具内部控制内部控制报告报告制定程序，确立项目小组，项目进度制定程序，确立项目小组，项目进度时间进度：时间进度：方法方法 COSO 中对内部控制的定义是一个很好的开端。选择适合的项目小组以及制定详细的项目计划是项目成功的关键。以评估公司层面的控制作为评估工作的开始。此阶段是一个复杂而费时的阶段

32、，需要记录并理解各交易环节的流程及其相关的控制。最后的阶段是根据评估结果形成总体评价。制订监督程序。准备资料，进行详细测试，并修正控准备资料，进行详细测试，并修正控制的不足。制的不足。审计师对管理层声明的审验审计师对管理层声明的审验项目计划项目计划准备资料并评估控制准备资料并评估控制测试并监督控制测试并监督控制报告报告理解内部理解内部控制的概控制的概念念组织项组织项目小组目小组进行评进行评估估评估公评估公司层面司层面的控制的控制理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估整体控制的有效评估整体控制的有效性，确定应改进的地性，确定应改进的地方并建立监督系统

33、方并建立监督系统内部控制框架内部控制框架COSO内控框架内控框架Committee of Sponsoring Organisation of The Treadway Commission(COSO)为内控开发了一个全面的框架这个内控框架是唯一被美国证监会确认为完整、全面和不偏依的内控框架构建内部控制须分两个层面：公司层面流程、交易及资讯科技应用层面COSO COSO 内控框架内控框架内控环境风险评估控制活动信息和沟通监控业务部门业务功能整体营运财务报告合规管理层管理层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建的地方并建立监督系

34、统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估评估理解内理解内部控制部控制的概念的概念组织项目小组进行评估组织项目小组进行评估高层参与各业务部门之参与财务、内审、计算机管理部门之参与管理层管理层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建的地方并建立监督系统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估

35、评估理解内理解内部控制部控制的概念的概念方面方面需考虑的因素需考虑的因素高管层的诚信、道德和行为控制意识和经营风格胜任能力和承担董事会或审计委员会的监管组织结构、权限和责任人力资源政策和程序风险评估流程对重要事件的预测、识别和反应机制识别会计准则差异、业务操作和内部控制变化的程序提供完整的业绩报告与业务策略相联系持续开发、测试和监控计算机系统和程序计算机业务持续性系统和应急计划便于职员履行职责而建立的沟通渠道有必要的政策和程序有明确的财务目标，并对其主动监控合理的职责分离预算与实际情况的定期比较对文件、记录和财产的适当保管对内部控制的定期评估实施改进建议建立内部审计职能以实施监控控制环境风险评

36、估信息和沟通控制活动监控如何构建内部控制如何构建内部控制公司层面的评估公司层面的评估管理层关于内部控制的报告评估内控的整体的有效性，找出有待改进的地方，并建立一个监控体系在流程、交易和应用层面，理解和评估内部控制在全公司层面评估内部控制组织项目小组实施评估工作理解内部控制的定义管理层管理层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建的地方并建立监督系统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估评估理解内理解内部控制

37、部控制的概念的概念 (1)公司层面的评价公司层面的评价公司层面的公司层面的内控内控控控制制环境环境企业道德规范与价值观员工的行为操守与企业文化公司治理结构和政策董事会及各委员会的构成企业规章制度董事会与管理层之间的关系、权力和职责管理层管理层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建的地方并建立监督系统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估评估理解内理解内部控制部控制的概念的概念公司层面的公司层面的内控内控风

38、险评估风险评估企业是否拥有既定的程序以确定、评估和度量影响企业达标的风险？-先进的内审部门？-风险管理部门？-全面风险评估？企业有否详细记录评估风险的结果？有否进行详细的讨论和沟通？管理层管理层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建的地方并建立监督系统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估评估理解内理解内部控制部控制的概念的概念公司层面的公司层面的内控内控信息和沟通信息和沟通企业的架构是否能够令各部门及业

39、务单位明确各自的职责及促进沟通企业是否拥有一个合适的电子平台-处理管理信息和数据-确保信息能够及时发放-确保各类信息和报告的准确性和可用性管理层管理层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建的地方并建立监督系统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估评估理解内理解内部控制部控制的概念的概念规章制度 审批程序资产实物的安全 特殊报告 表现指标 信息系统控制职责划分公司层面的公司层面的内控内控控制活动控制活动管理

40、层管理层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建的地方并建立监督系统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估评估理解内理解内部控制部控制的概念的概念公司层面的内控公司层面的内控控制活动控制活动规章制度 董事会及各委员会的章程企业风险政策员工招聘守则企业采购政策会计及财务管理守则管理层管理层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建的地方并建立监督

41、系统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估评估理解内理解内部控制部控制的概念的概念 公司层面的内控公司层面的内控控制活动控制活动审批程序 一种预防性的控制措施确保规章制度得以落实执行知识与经验分享责任的承担管理层管理层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建的地方并建立监督系统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组

42、织项目项目小组小组进行进行评估评估理解内理解内部控制部控制的概念的概念公司层面的内控公司层面的内控控制活动控制活动资产实物的安全 档案/库存上锁减少利用现金交易 办工室安全系统/警铃资料数据库进入的限制保安人员员工身份证机器上的标记隐型录相机管理层管理层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建的地方并建立监督系统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估评估理解内理解内部控制部控制的概念的概念公司层面的内控公司

43、层面的内控控制活动控制活动特殊报告逾期应收款报告工作超时完成报告原材料不合格报告机器故障报告 产品不合格或退货报告存货台帐红字报告管理层管理层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建的地方并建立监督系统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估评估理解内理解内部控制部控制的概念的概念公司层面的内控公司层面的内控控制活动控制活动表现指标预算与实际比较项目管理报告财务指标报告系统可用性报告 员工利用率报告管理层管理

44、层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建的地方并建立监督系统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估评估理解内理解内部控制部控制的概念的概念公司层面的内控公司层面的内控控制活动控制活动职责划分一种员工之间相互制约的控制，以减少出错或越权的情况不能由同一人发起、批准和记录一宗交易不能由同一人保管和记录资产定期轮换职责，在日常运作中的主要控制点应有高管人员的参与或由独立的人员作出审查管理层管理层出具出具内部控内

45、部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建的地方并建立监督系统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估评估理解内理解内部控制部控制的概念的概念公司层面的内控公司层面的内控控制活动控制活动风险控制风险控制 平衡的区域平衡的区域 高高 低低过份控制过份控制 低低 高高风风险险程程度度控制效果控制效果控制控制不够不够管理层管理层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建

46、的地方并建立监督系统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估评估理解内理解内部控制部控制的概念的概念监控是对一定时期内内部控制执行质量的评价程序，考虑相关内部控制是否能够满足最初设计的目标，并保证在不同情况下进行适当的修改。考虑并记录是否定期对内部控制进行评价；管理层是否采纳内部和外部审计师关于内部控制的建议；是否存在内部审计部门以协助管理层进行监控。公司层面的公司层面的内控内控监控监控管理层管理层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，

47、确定应改进确定应改进的地方并建的地方并建立监督系统立监督系统理解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估评估理解内理解内部控制部控制的概念的概念程序、交易及资讯科技应用层面程序、交易及资讯科技应用层面评估因素评估因素:竞争力、完整性、员工的忠诚度及管理层的监管能力管理层之间的摩擦职责划分控制的稳定性关键账项关键账项管理层对财务管理层对财务报表的认定报表的认定?可能发生的错误可能发生的错误控制控制关键流程关键流程固有风险及主固有风险及主要经营风险要经营风险20042004Financial

48、FinancialStatementsStatements财务报告财务报告从财务角度从财务角度从程序角度从程序角度选出容易发生重大差选出容易发生重大差错的关键错的关键 账账 项项*存在存在(资产负债表资产负债表)与与发生发生(利润表利润表)完整性（资产负债表完整性（资产负债表/利润表利润表 ）估价估价(资产负债表资产负债表)与计与计量量(利润表利润表)权利与义务权利与义务(资产负债资产负债表表)类型类型:交易流程交易流程惯例惯例特殊特殊估计估计对每一种认定应考虑：对每一种认定应考虑：在流程的哪一交易环节容易发生错误？例如:帐户帐户：现金或应付程序程序：支付认定认定：估价是否有人工或自动的程序确

49、保支票或转账的数目与审批的付款数目一致？检验检验:对差错的监督防止防止:防止出现差错由何人来执行?是否有程序自动控制?识别处理系统评估评估/监督监督*单项差错或几项差错如不被发现，可能对财务报表造成重大影响，或导致非法行为或利益冲突。即使造成非重大影响，也会对公司的信誉、与客户及投资者的关系，以及公众形象造成负面影响。确认财务帐户及其相关系统确认财务帐户及其相关系统记录系统及控制记录系统及控制评估评估/监督监督步骤步骤行为行为主要关注点主要关注点管理层管理层出具出具内部控内部控制制报告报告评估整体控评估整体控制的有效性，制的有效性，确定应改进确定应改进的地方并建的地方并建立监督系统立监督系统理

50、解并分别评理解并分别评估程序、交易估程序、交易及应用层面的及应用层面的风险风险评估评估公司公司层面层面的控的控制制组织组织项目项目小组小组进行进行评估评估理解内理解内部控制部控制的概念的概念 (2)业务层面的评价业务层面的评价重要性重要性Staff Accounting Bulletin No.99-“Staff Accounting Bulletin No.99-“重要性重要性”指引指引上市公司和审计人员在估计项目的重要性时必须同时考虑金额的和性质的因素。404的要求管理层有责任建立和维护健全的内部控制制度以确保财务报表所有重大方面的合理和准确性企业内部控制缺陷（报表、科目）的确认和衡量企业