【正文】 2023年 CIA后續(xù)教育 風險管理、內(nèi)部控制與內(nèi)部審計 1 CIA后續(xù)教育 內(nèi)部審計 是一項為了 增加組織的價值 和改善組織的運營 所進行的 獨立的、客觀 的 確認 和 咨詢 活動。它通過采取 系統(tǒng)化、規(guī)范化 的方法 評價和改進 組織的風險管理、控制及治理過程的 有效性 ，幫助組織 實現(xiàn)其目標 。 2 CIA后續(xù)教育 國際內(nèi)部審計實務標準框架 （ IPPF） 3 CIA后續(xù)教育 4 CIA后續(xù)教育 新版 IPPF所作的重大改變是： (1)程序改進。加強 IPPF的各個部分，提高了透明度并確定了權(quán)威標準的修訂周期。標準的修訂周期目前確定為三年。盡管并非每三年都需要進行修改 IIA仍致力于確保對標準作全面的審核，并視需要進行修訂。 (2)發(fā)展與實務幫助。這二部分不再納入框架體條。它曾經(jīng)包含了內(nèi)部審計師在工作過程中可能會用到的所有資源 (例如培訓、出版物和研究報告等 )。由于新版 IPPF的范圍只包括上述的權(quán)威標準，這項內(nèi)容不再適合于新的框架。 (3)釋義。這是新增的對標準中的術(shù)語和短語作出的進一步闡釋，置于需要加以解釋的相關(guān)標準條款之下。 (4)實務公告。這部分內(nèi)容在范圍上己經(jīng)縮減為只包括用于實施“內(nèi)部審計定義”、《職業(yè)道德規(guī)范》和《標準》的技術(shù)和方法。原框架中涉及工具或技術(shù)方法的內(nèi)容已經(jīng)移至實務指南部分。 (5)實務指南和立場公告。這是 IPPF新增的內(nèi)容。實務指南側(cè)重于在工具和技術(shù)的具體運用方面提供指引，包括詳細的流程、程序、方案和步驟(例如每一步所形成結(jié)果的范例 )。立場公告表明 IIA關(guān)于內(nèi)部審計在特定事項中的角色及職責所持的立場或觀點。 5 CIA后續(xù)教育 IPPF包括兩類指南： 強制性指南， 包括：內(nèi)部審計定義；職業(yè)道德規(guī)范；內(nèi)部審計實務標準。 《標準》的強制性質(zhì)通過使用“必須”一詞加以強調(diào)?！稑藴省分杏谩氨仨殹碧刂笩o條件的強制性要求。在某些例外情況下使用“應當”一詞來表示期待相關(guān)要求得到遵守，除非根據(jù)專業(yè)判斷所涉情形允許偏離《標準》的要求。遵循強制性指南的要求對于內(nèi)部審計師和內(nèi)部審計部門有效地履行職責是至關(guān)重要的。《職業(yè)道德規(guī)范》要求內(nèi)部審計師依據(jù)《標準》提供內(nèi)部審計服務。內(nèi)部審計師是指國際內(nèi)部審計師協(xié)會會員、已經(jīng)或正在獲取 IIA職業(yè)教育資格的人員以及按照內(nèi)部審計定義的界定提供內(nèi)部審計服務的人員。 強制性指南適用于提供內(nèi)部審計服務的個人或機構(gòu)。 6 CIA后續(xù)教育 IPPF包括兩類指南： 強力推薦的指南，包括：立場公告；實務公告；實務指南。強力推薦的指南通過了 IIA的認可，由 IIA國際技木委員會按照規(guī)定的流程制定。這類指南 不具有強制性 ，而是為滿足強制性指南的要求提供一系列適用的解決方案。強力推薦的指南并非旨在為特定情況給出明確的答案，因此更宜于用作指引。針對特定的具體情況， IIA 建議可以尋求獨立專家的意見。強力推薦的指南可以由勝任的內(nèi)部審計師憑借其專業(yè)判斷加以運用。 7 CIA后續(xù)教育 培訓大綱 第一講： 內(nèi)部控制原理與定義 第二講：內(nèi)部控制環(huán)境 第三講： 風險管理與風險評估 第四講： 應用控制評估與測試 第五講： 內(nèi)部控制衡量與報告 8 CIA后續(xù)教育 一、概述 二、 《企業(yè)內(nèi)部控制基本規(guī)范》 三、內(nèi)部控制理論與實務發(fā)展 第一講：內(nèi)部控制原理與定義 9 CIA后續(xù)教育 目前，企業(yè)內(nèi)部控制系統(tǒng)的設(shè)計主要有三種形式： —— 外包給四大會計師事務所； —— 企業(yè)自行設(shè)計； —— 自行設(shè)計與外包相結(jié)合。 10 CIA后續(xù)教育 誰對內(nèi)部控制系統(tǒng)負責 ? ? 最高管理層負有對內(nèi)部控制系統(tǒng)的組織實施的責任； ? 董事會負有監(jiān)督責任； ? 外部和內(nèi)部審計師負有評估內(nèi)部控制有效性的責任； ? 誰擔當設(shè)計和實施內(nèi)部控制的重任？ 11 CIA后續(xù)教育 二、我國《企業(yè)內(nèi)部控制基本規(guī)范》 12 CIA后續(xù)教育 《企業(yè)內(nèi)部控制基本規(guī)范》 ? 2023年 6月，在借鑒和吸收國際監(jiān)管新理念的背景下，我國財政部、審計署、證監(jiān)會、銀監(jiān)會和保監(jiān)會五部委聯(lián)合印發(fā)了《企業(yè)內(nèi)部控制基本規(guī)范》（財會[2023]7號）。 ? 這一被稱為中國版《薩 ? 奧法案》的《企業(yè)內(nèi)部控制基本規(guī)范》是我國第一部加強和完善企業(yè)內(nèi)部控制系統(tǒng)，提高企業(yè)經(jīng)營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展，維護社會主義市場經(jīng)濟秩序和社會公眾利益的重要法規(guī)文件。 13 CIA后續(xù)教育 基本規(guī)范的特點 ? 該規(guī)范的實施給不少企業(yè)帶來脫胎換骨的影響，意味著中國企業(yè)內(nèi)控規(guī)范體系建設(shè)正在向國際標準靠攏（主要借鑒美國 COSO報告）； ? 大力強化內(nèi)部控制是進入美國資本市場的 “入門證”和“通行證” ； ? 對企業(yè)每一項經(jīng)營活動強調(diào) 過程控制 ； ? 以財務報告真實完整的內(nèi)部控制為主線，以防范風險和控制舞弊為中心。 (公司治理 ?) 14 CIA后續(xù)教育 內(nèi)部控制定義、目標和要素 ? 定義： 內(nèi)部控制是由董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。 ? 控制目標： 合理保證企業(yè) (1)經(jīng)營管理合法合規(guī)；(2)資產(chǎn)安全； (3)財務報告及相關(guān)信息真實完整；(4) 提高經(jīng)營效率和效果； (5)促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。 ? 要素： 基本規(guī)范在形式上借鑒了 COSO內(nèi)部控制 5要素框架 ；在內(nèi)容上體現(xiàn)了 COSO風險管理 8要素框架 的實質(zhì)。 15 CIA后續(xù)教育 ? 根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》的執(zhí)行要求，自 2023年 7月 1日起在上市公司范圍內(nèi)施行，鼓勵非上市的大中型企業(yè)執(zhí)行。上市公司應當對本公司內(nèi)部控制有效性進行自我評估，披露年度自我評價報告，并可聘用具有證券、期貨業(yè)務資格的會計師事務所對內(nèi)部控制的有效性進行審計。 16 CIA后續(xù)教育 實施難度和主要問題 （ 1）政出多門，標準要求不統(tǒng)一； （ 2）企業(yè)無所適從，缺乏內(nèi)在動力； （ 3）實施內(nèi)部控制的成本巨大； （ 4）缺乏內(nèi)部控制系統(tǒng)設(shè)計、執(zhí)行和評估 的專業(yè)人才； （ 5）未能將內(nèi)控合規(guī)性成本轉(zhuǎn)化為增強企 業(yè)核心競爭力的優(yōu)勢。 17 CIA后續(xù)教育 內(nèi)部控制的演變 內(nèi)部牽制 內(nèi)部控制制度 內(nèi)部控制結(jié)構(gòu) 內(nèi)部控制整合框架 企業(yè)風險管理整合框架 18 CIA后續(xù)教育 引發(fā)內(nèi)部控制法規(guī)出臺的國際背景 ? 1992年， COSO—— 美國反欺詐財務報告委員會（ Treadway Committee）發(fā)起組織委員會發(fā)布《內(nèi)部控制 —— 整合框 架》構(gòu)建了由三個目標和五項要素組成的內(nèi)部控制框架。 ? 該框架的發(fā)布和廣泛采用 標志著內(nèi)部控制開始在理論上和實務上走出審計范疇 ，從而成為企業(yè)整個管理體系的有機組成部分，同時該框架也為企業(yè)內(nèi)部控制評價提供了指導。 19 CIA后續(xù)教育 與內(nèi)部控制立法相關(guān)的歷史事件 ? 1977年美國國會通過了 《反海外賄賂行為法》 。 ? 20世紀 80年代，美國華爾街發(fā)生了許多金融機構(gòu)破產(chǎn)的事件，給納稅人造成了 1500億美元的損失。財務報告舞弊案件很多，但隨后的調(diào)查發(fā)現(xiàn)幾乎所有案件中審計師都 沒有發(fā)出預警的信號 。 ? 1985年， COSO發(fā)起成立了美國反欺詐財務報告委員會（ Treadway Commission），責成該委員會調(diào)查公司治理中存在的問題。 20 CIA后續(xù)教育 ? 1987年， Treadway Commission 在其報告中指出：大多金融機構(gòu)破產(chǎn)的原因一半以上是內(nèi)部控制失效，該報告引起了各界廣泛的關(guān)注。 ? 1992年， COSO 在《內(nèi)部控制 —— 整合框架》中提出了內(nèi)部控制報告的框架，規(guī)定內(nèi)部控制報告應著重說明 控制系統(tǒng)的有效性 。 21 CIA后續(xù)教育 COSO的五大成員機構(gòu) COSO是“ Committee of Sponsoring Organization”的 英文簡稱，是致力于通過商業(yè)道德、有效的內(nèi)部控制和 公司治理來改進財務報告質(zhì)量的民間組織。 1985年 COSO 成立，目的是共同發(fā)起組建美國反欺詐財務報告委員會。 COSO的五大成員機構(gòu)如下： —— 美國注冊會計師協(xié)會（ AICPA） —— 美國會計師學會 （ AAA） —— 美國財務執(zhí)行官協(xié)會（ FEI） —— 國際內(nèi)部審計師協(xié)會（ IIA） —— 美國管理會計師協(xié)會（ IMA） 22 CIA后續(xù)教育 ? 《 2023年上市公司會計改革和投資者保護法案》(“ Sarbanes0xley Act” , SOX）亦稱《薩班斯 奧克斯利法案》 (簡稱《薩 ?奧法案》 )。 ? 由于該法案 80%的內(nèi)容或措施都與內(nèi)部控制有關(guān)，故被稱為是內(nèi)部控制法案；亦稱為 “ 2023年公司與刑事欺詐責任法案 ”（ the Corporate and Criminal Fraud Accountability Act of 2023）。 23 CIA后續(xù)教育 ? 《薩 ? 奧法案》的意向是增強投資者及公眾對財務報告和公司治理的信任感。《薩 ? 奧法案》的七個意向目標包括如下內(nèi)容： 恢復公眾對公司會計報告的信任感； 促使公司高級管理層對其行為更加負責； 增強財務系統(tǒng)、披露以及內(nèi)部控制措施； 鼓勵和支持自行檢舉者； 確保保留必需的證據(jù)； 增強董事會，尤其是董事會審計委員會的 監(jiān)管職責； 增強獨立審計師的獨立性。 《薩 ? 奧法案》的意向目標 24 CIA后續(xù)教育 20世紀 80年代 ,內(nèi)部控制是企業(yè)管理的重要內(nèi)容，檢查和評價內(nèi)部控制制度是否適當、有效和具有可操作性是內(nèi)部審計的重要工作。從 1991年開始，世界許多大公司開始了兼并、重組和公司治理的過程，企業(yè)面臨的風險普遍增大。 25 CIA后續(xù)教育 20世紀 80年代 ,內(nèi)部控制是企業(yè)管理的重要內(nèi)容，檢查和評價內(nèi)部控制制度是否適當、有效和具有可操作性是內(nèi)部審計的重要工作。從 1991年開始，世界許多大公司開始了兼并、重組和公司治理的過程，企業(yè)面臨的風險普遍增大。 26 CIA后續(xù)教育 20世紀 90年代 —— 風險管理取代內(nèi)部控制 ? 企業(yè)兼并重組實行多樣化經(jīng)營，進入了眾多以前未涉及的領(lǐng)域； ? 實施國際化發(fā)展戰(zhàn)略，控制鏈大大延長； ? 信息技術(shù)在經(jīng)營管理中廣泛應用導致計算機犯罪增加。 在這種情況下，企業(yè)開始注重風險管理， 內(nèi) 部審計重點從以制度為基礎(chǔ)審計 (內(nèi)部控制評審） 轉(zhuǎn)向以風險為基礎(chǔ)審計，或稱風險導向?qū)徲嫛? 27 CIA后續(xù)教育 21世紀初 —— 螺旋式回歸內(nèi)部控制 ? 2023年（企業(yè)兼并重組改革 10年后），上述公司財務丑聞的出現(xiàn)，使許多公司面臨一些災難性問題。同時，也影響了注冊會計師事務所的信譽和形象，各大會計師事務所修改了審計制度方面的要求，例如，會計師事務所不能同時做審計和咨詢業(yè)務。 28 CIA后續(xù)教育 回歸內(nèi)部控制的重要原因 2023年 《 薩 ?奧法案 》 對加強內(nèi)部控制和設(shè)立審計委員會的強制性法律要求 。 29 CIA后續(xù)教育 30 CIA后續(xù)教育 風險管理框架 戰(zhàn) 略 目 標 經(jīng) 營 目 標 報 告 合 法 目 目 標 標 目標制定 事項識別 風險評估 風險反應 控制活動 信息溝通 監(jiān)控 公司 部門 業(yè)務 子公司等分支機構(gòu) 內(nèi)部環(huán)境 31 CIA后續(xù)教育 八要素與五要素關(guān)系 內(nèi)部環(huán)境 目標制定 事項識別 風險評估 風險反應 控制活動 信息溝通 監(jiān)控 內(nèi)部環(huán)境 風險評估 控制活動 信息溝通 監(jiān)控 32 CIA后續(xù)教育 要素 五要素及其相互關(guān)系 監(jiān)控 控制活動 風 險 評 估 內(nèi)部環(huán)境 信 息 溝 通 信 息 溝 通 基礎(chǔ) 手段 保證 載體 依據(jù) 33 CIA后續(xù)教育 ?薩班斯 奧克斯利法案 （ SarbanesOxley Act)對內(nèi)部控制要求； ? 作為統(tǒng)一公司的制度和流程的基礎(chǔ)；及 ? 開始建立與現(xiàn)代企業(yè)制度相適應的公司治理結(jié)構(gòu)和控制環(huán)境。 34 CIA后續(xù)教育 ? 美國的薩班斯 奧克斯利法案 （ SarbanesOxley Act) ?