【正文】 風險評價分為４個等級：一般風險、重大風險、顯著缺陷、實質(zhì)性漏洞，分別扣減綜合得分的 5%、10%、 50%、 100%?？紤]哪些 IT系統(tǒng)需進入內(nèi)控范圍，需考慮 ?外部監(jiān)管要求，如監(jiān)管層要求的外部審計是與財務(wù)報告披露相關(guān)的內(nèi)部控制，以此來考量，則需要關(guān)注的只是哪些 IT系統(tǒng)會支持信息最終記入財務(wù)報告并對外披露。如人事招聘、成本控制、采購計劃、員工績效評估等。 戰(zhàn)略規(guī)劃 開發(fā)建設(shè) 運行維護 系統(tǒng)終結(jié) 輸入控制 處理控制 輸出控制 日常運行維護 變更管理 安全管理 一般控制 應用控制 信息系統(tǒng) 內(nèi)部控制 信息系統(tǒng)內(nèi)部控制框架 開始 提供測試參考資料（需求分析報告、軟件設(shè)計 說明書、）程序源代碼、用戶初步使用手冊 資料是否規(guī)范、是滯滿足需求 分配 人員 建立環(huán) 境測試 制定測 試進度 評估 風險 編寫測試大綱 編寫測試用例 測試設(shè)計評審 評審通過 測試用例執(zhí)行 錯誤記錄 結(jié)果確認 測試報告 軟件測試總結(jié) 測試工作總結(jié) 是否符合需求 是否需要其他類型用例再測試 結(jié)束 是 是 是 否 根據(jù)具體 要求修改 否 否 修改相關(guān)文檔 修改相應軟件 修改測試用例 是 否 文檔 測試 測試 計劃 測試 設(shè)計 測試 實施 測試 總結(jié) 信 息 系 統(tǒng) 測 試 環(huán) 節(jié) 流 程 企業(yè)內(nèi)部控制評價指引 ?內(nèi)部控制評價定義 ?董事會或類似權(quán)力機構(gòu)對內(nèi)部控制的有效性進行全面評價、形成評論結(jié)論、出具評價報告的過程 ?原則 ?全面性原則 ?重要性原則 ?客觀性原則 內(nèi)部控制評價指引（續(xù)） ?評價內(nèi)容 ?內(nèi)部控制環(huán)境評估 ?以組織構(gòu)架、發(fā)展戰(zhàn)略、人力資源、企業(yè)文化、社會責任等為依據(jù)，結(jié)合企業(yè)的內(nèi)控制度，對內(nèi)部環(huán)境的設(shè)計及實際運行情況進行認定和評價 ?風險評估機制評價 ?對日常經(jīng)營管理過程中的風險識別、風險分析、應對策略進行認定和評價 ?控制活動評價 ?對控制措施的設(shè)計和運行情況進行認定和評價 內(nèi)部控制評價指引（續(xù)） ?評價內(nèi)容（續(xù)） ?信息與溝通評價 ?依據(jù)：內(nèi)部信息傳遞、財務(wù)報告、信息系統(tǒng)等相關(guān)指引 ?對 信息收集、處理和傳遞 的及時性、 反舞弊機制 的健全性、 財務(wù)報告 的真實性、 信息系統(tǒng) 的安全性，以及 利用信息系統(tǒng)實施內(nèi)部控制 的有效性等進行認定和評價 ?內(nèi)部監(jiān)督評價 ?對內(nèi)部控制監(jiān)督機制的有效性進行認定和評價 ?重點關(guān)注 ?監(jiān)事會 、 審計委員會 、 內(nèi)部審計機構(gòu) 等是否在內(nèi)部控制設(shè)計和運行中有效發(fā)揮監(jiān)督作用 內(nèi)部控制評價指引（續(xù)） ?內(nèi)部控制評價的程序 ?制定評價工作方案 ?組成評價工作組 ?實施現(xiàn)場測試 ?認定控制缺陷 ?匯總評價結(jié)果 ?編報評價報告 內(nèi)部控制評價指引（續(xù)） ?主要方法 ?個別訪談 ?調(diào)查問卷 ?專題討論 ?穿行測試 ?實地查驗 ?抽樣 ?比較分析等 內(nèi)部控制評價指引（續(xù)） ?內(nèi)部控制缺陷 ?設(shè)計缺陷和運行缺陷 ?重大缺陷 ?指一個或多個控制缺陷的組合，可能導致企業(yè)嚴重偏離控制目標 ?重要缺陷 ?指一個或多個控制缺陷的組合，其嚴重程度和經(jīng)濟后果低于重大缺陷，但仍有可能導致企業(yè)偏離控制目標 ?一般缺陷 ?指除重大缺陷、重要缺陷之外的其他缺陷 內(nèi)部控制評價指引（續(xù)） ?內(nèi)部控制評價報告 ?董事會對內(nèi)部控制報告真實性的聲明 ?內(nèi)部控制評價工作的總體情況 ?內(nèi)部控制評價的依據(jù) ?內(nèi)部控制評價的范圍 ?內(nèi)部評價和程序和方法 ?內(nèi)部缺陷及其認定情況 ?內(nèi)部控制缺陷整改情況及重大缺陷擬采取的整改措施 ?內(nèi)部控制有效性的結(jié)論 企業(yè)內(nèi)部控制審計指引 ?內(nèi)部控制審計 ?指會計師事務(wù)所接受委托，對特定基準日內(nèi)部控制設(shè)計與運行的有效性進行審計 ?責任 ?建立健全和有效實施內(nèi)部控制，評價內(nèi)部控制的有效性是企業(yè) 董事會的責任 ?按指引的要求，在實施審計工作的基礎(chǔ)上對內(nèi)部控制的有效性發(fā)表審計意見，是 注冊會計師的責任 內(nèi)部控制審計指引（續(xù)） ?計劃審計工作 ?在計劃審計工作時， CPA應當評價下列事項對內(nèi)部控制、財務(wù)報表以及審計工作的影響 ?與企業(yè)相關(guān)的風險 ?相關(guān)法律法規(guī)和行業(yè)概況 ?企業(yè)組織結(jié)構(gòu)、經(jīng)營特點和資本結(jié)構(gòu)等相關(guān)重要事項 ?企業(yè)內(nèi)部控制最近發(fā)生變化的程度 ?與企業(yè)溝通過的內(nèi)部控制缺陷 ?重要性、風險等與確定內(nèi)部控制重大缺陷相關(guān)的因素 ?對內(nèi)部控制有效性的初步判斷 ?可獲取的、與內(nèi)部控制有效性相關(guān)的證據(jù)和的類型和范圍 內(nèi)部控制審計指引（續(xù)） ?實施審計工作 ?CPA應當按照自上而下的方法實施審計工作 ?CPA測試企業(yè)層面的控制，至少應當關(guān)注 ?與內(nèi)部控制環(huán)境相關(guān)的控制 ?針對董事會、經(jīng)理層凌駕于控制之上的風險而設(shè)計的控制， ?企業(yè)的風險評估過程 ?對內(nèi)部信息傳遞和財務(wù)報告流程的控制 ?對控制有效性的內(nèi)部監(jiān)督和自我評價 ?CPA測試業(yè)務(wù)層面控制，應當 ?把握重要性原則，結(jié)合企業(yè)實際、企業(yè)內(nèi)部控制各項應用指引的要求和企業(yè)層面控制的測試情況，重點對企業(yè)生產(chǎn)經(jīng)營活動中的重要業(yè)務(wù)與事項的控制進行測試 ?應關(guān)注信息系統(tǒng)對內(nèi)部控制及風險評估的影響 內(nèi)部控制審計指引（續(xù)） ?自上而下方法 ?自上而下方法始于財務(wù)報表層面，源自審計師對于財務(wù)報告內(nèi)部控制的總體風險的理解 ?審計師專注于整體層面的控制，并向下延伸到重大賬戶和披露及其相關(guān)認定 ?該方法將審計師的注意力引向可能對財務(wù)報表和相關(guān)披露造成重大錯報的賬戶、披露和認定 內(nèi)部控制審計指引（續(xù)） ?實施審計工作（續(xù)） ?CPA在測試企業(yè)層面控制和業(yè)務(wù)層面控制時，應當評價內(nèi)部控制是否足以應對舞弊風險 ?CPA在確定測試的時間安排時，應當在下列兩個因素之間作出平衡，以獲得充分、適當?shù)淖C據(jù) ?盡量在接近企業(yè)內(nèi)部控制自我評價基準日實施測試 ?實施的測試需要涵蓋足夠長的期間 內(nèi)部控制審計指引（續(xù)） ?評價控制缺陷 ?表明內(nèi)部控制可能豐在重大缺陷的跡象，主要包括 ?CAP發(fā)現(xiàn)董事、監(jiān)督和主級管理人員舞弊 ?企業(yè)更正已經(jīng)公布的財務(wù)報表 ?CPA發(fā)現(xiàn)當期財務(wù)報表存在重大錯報，而內(nèi)部控制在運行過程中未能發(fā)現(xiàn)該錯報 ?企業(yè)審計委員會和內(nèi)部審計機構(gòu)對內(nèi)部控制的監(jiān)督無效 內(nèi)部控制審計指引（續(xù)） ?完成審計工作 ?CPA應當與企業(yè)溝通審計過程中識別的所有控制缺陷。 企業(yè)內(nèi)控配套指引（續(xù)） 企業(yè)內(nèi)控配套指引（續(xù)） ?全面預算 ?指企業(yè)對一定期間的經(jīng)營活動、投資活動、財務(wù)活動等作出的預算安排。 A B C D E 10 8 6 4 2 積極性 責任感 對分配的任務(wù)是否不講條件，主動積極，盡量多做工作，主動進行改良、改進，向困難挑戰(zhàn)。 A B C D E 10 8 6 4 2 表達力 是否能充分理解上級指示，能否進行一般的聯(lián)絡(luò)，說明工作。 ? “黑名單” 中的中國企業(yè)是中國路橋集團 (被禁 8年 )，中國建筑工程總公司、中國武夷實業(yè)股份有限公司 (被禁 6年 )，及中國地質(zhì)工程集團公司 (被禁 5年 ) ?我們公司有不同的銷售部門，每一個部門都有獨立的賄賂預算（羊城晚報， 2023/5/18） ?某大型制藥的工作人員對新華社記者說 為什么 關(guān)注 ？ 舞弊風險管理 ?職務(wù)舞弊定義 ?利用職務(wù)之便，通過有意識地濫用或不正當?shù)乩媒M織的資源或資產(chǎn)增加個人財富的行為 ?舞弊風險 ?美國企業(yè)（組織）估計每年因舞弊而造成的損失占其收入的 6% ?應將舞弊風險管理作為風險管理的中心 ?舞弊將導致企業(yè)發(fā)生經(jīng)濟損失、被暴光、社會形象受損 ?舞弊都具有主觀意圖 ?計劃周密的舞弊不易被發(fā)現(xiàn) ?舞弊分子專找內(nèi)部控制薄弱的地方下手 舞弊風險管理（續(xù)） ?一個四維失敗現(xiàn)象的發(fā)生 薄弱的控制 未加保護的資源 不 誠 實 的 雇 員 瀆 職 的 管 理 人 員 舞弊風險管理（續(xù)） ?四維成功模式 企業(yè)道德規(guī)范和 舞弊防范政策 保持警覺和積極 主動的員工 將內(nèi)部控制自我 評估制度化 訓練有素的 管理人員 企業(yè)內(nèi)部控制基本規(guī)范（續(xù)） ?內(nèi)部監(jiān)督 ?企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查，評價內(nèi)部控制的有效性，發(fā)現(xiàn)內(nèi)部控制缺陷，應當及時加以改進。 ?控制措施通常包括不相容職務(wù)分離控制、授權(quán)審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評控制等。FA他們包括內(nèi)外部報告，可能包括財務(wù)和非財務(wù)信息。戰(zhàn)略目標反映了管理者關(guān)于實體如何為股東創(chuàng)造價值的選擇。 西門子全球賄賂案 ?“歷史最大”還是“冰山一角” ?08年 12月 16日，西門子承認其故意規(guī)避及未能對公司內(nèi)部實施合理控制，違反 《 國外反賄賂法案 》 中關(guān)于賬目記錄的規(guī)定。 ?信息披露問題 ?公司在發(fā)現(xiàn)巨額虧損 6周之后（ 9月 7日已獲知可能面臨巨額虧損），才對外公布事件，顯示內(nèi)部監(jiān)管存在漏洞。 ?最大股東為中國國際信托投資 (香港集團 ) ?中信香港持股比例為 29%；管理層持股比例為22%；私人及機構(gòu)投資者持股比例為 49%。曾在美國哈佛大學商學院、德州大學管理學院進修、學習。企業(yè)內(nèi)部控制與風險管理 林斌 2023年 10月 10日 簡歷 1997年，畢業(yè)于廈門大學會計系，獲經(jīng)濟學（會計學）博士學位。 主要研究領(lǐng)域：內(nèi)部控制與風險管理、戰(zhàn)略管理會計、資本市場與會計信息等。 ?業(yè)務(wù)包括投資物業(yè)、基礎(chǔ)設(shè)施、能源項目、環(huán)保項目、航空以及電訊業(yè)務(wù)。 ?牽制問題 ?榮方明任中信泰富財務(wù)主管，若對財務(wù)董事張立憲、財務(wù)總監(jiān)周志賢的交易不知情，為何要調(diào)離并受降職和減薪處分。 ?支付罰金 SEC的民事指控 ?支付約 ?在德國慕尼黑 ，同意支付 ?內(nèi)部調(diào)查、律師費用等約 10億美元 內(nèi)部監(jiān)控與風險管理 什么是內(nèi)部控制？ ?內(nèi)部牽制 ?內(nèi)部控制 ?內(nèi)部控制結(jié)構(gòu) ?內(nèi)部控制的完整框架（舊 COSO報告） ?企業(yè)風險管理（新 COSO報告） 日昇昌 晉商的信用體系 ?學徒 ： 從本地找，要有保人 ?管理者 ： 主要從內(nèi)部產(chǎn)生 ?掌柜 ： 考察祖宗幾代人 ?員工 ： 在本地娶妻 ?身股 ： 激勵與約束機制 ?關(guān)公 ： 保平安、監(jiān)督 ?商會 ： 情感交流網(wǎng)、約束網(wǎng) ?歸宿 ： 落葉歸根，光宗耀祖 內(nèi)部牽制 ?1905年， （ Internal Check） 的概念 ?職責分工 ?會計記錄 ?人員輪換 ?內(nèi)部牽制的兩個設(shè)想是 ?兩個或兩個以上的人或部門無意識地犯同樣的錯誤機會較少； ?兩個或兩個以上的人或部門有意識地合伙舞弊的可能性大大低于單獨一個或部門舞弊的可能性 內(nèi)部控制的完整框架 ?1992年， COSO提出了著名的“內(nèi)部控制的完整框架”的研究報告， 1994年進行了增補。 ?經(jīng)營目標 ?這些屬于實體經(jīng)營的效力、效率，包括業(yè)績盈利目的及保護資源避免損失。 ?依從目標 ?這些屬于堅持相關(guān)法律規(guī)則。MIS 中山大學課題組 校訓、戰(zhàn)略與企業(yè)文化（續(xù)） ?校訓 ?哈佛： 與柏拉圖為友，與亞里士多德為友，更要與真理為友 (Amicus Plato, Amicus Aristotle, sed Amicus VERITAS ) ?清華： 自強不息，厚德載物 ?廈大： 自強不息，止于至善 ?再看國家會計學院、其他高校、單位 …… ?運動品牌 ?阿迪達斯： 一切皆有可能（沒有不可能） ?耐克： 釋放潛能 ?李寧： 中國新一代的希望、運動之美世界共享、我運動我存在、把精彩留給自己、出色源自本色、因為專業(yè)，一切皆有可能、 Make The Change 校訓、戰(zhàn)略與企業(yè)文化（續(xù)） 中海殼牌 風險評估矩陣 結(jié)果 可能性 嚴 重 性 人 員 環(huán) 境