企业内部控制及其审计

Department of Accounting

企业内部控制及其审计

第一节内部控制失效的案例分析第二节内部控制的基础理论第三节内部控制与 ERM 框架的基本要素第四节内部控制的主要方式第五节内部控制的审计测试与评价

第五章企业内部控制及其审计


案例一：郑百文的“警示” 案例二：安然公司的舞弊案例三：巴黎银行的倒闭案例四：雷曼兄弟公司的损失

第一节内部控制失效的案例分析


案例一：“郑百文”的警示（一）辉煌的历史1 、前身：原来 1986 年成立的郑州百货文化用品批发站；2 、组建： 1987 年 6 月在郑州市百货公司和郑州市钟表文化用品公司合并的基础上组建成立。（ 1 ） 1988 年在全国同行业率先进行股份制改革，成为全国商业批发行业的龙头。（ 2） 1996 年 4月在上海证券交易所挂牌上市。（ 3） 1996 年销售收入 41亿元，名列全国同行业前茅。（ 4 ） 1997 年主营规模和资产收益率等在所有商业上市公司中排第一，进入了国内上市公司一百强。（ 5 ） 1997 年 7 月，郑州市把郑百文树为全市国有企业改革的一面红旗。同年 10 月，郑百文经验被大张旗鼓地推向全国。


（二）神话的破灭 1. 19981. 1998 年，郑百文在中国股市创下每股年，郑百文在中国股市创下每股净亏净亏 2.52.544 元的最高纪录，元的最高纪录，净资产收益率净资产收益率 -1148.46%-1148.46% ，，股票股票交易实行特别处理。郑州会计师事务所出具了无法交易实行特别处理。郑州会计师事务所出具了无法表示意见的审计报告。表示意见的审计报告。

2. 2000 年 4 月公司公告称“本公司 1999 年底总资产 14亿元，总负债 22.28 亿元，每股收益 -4.84 元，每股净资产 -6.58 元，资产负债率高达 159.14% ，天健会计师事务所出具了拒绝表示意见的审计报告。


3. 2000 年 8 月，公司公告停牌重组。 4. 2001 年 9 月 27 日，证监会决定对郑百文予以警告并罚款 200 万元，对该公司董事长李福乾、总经理卢一德及乔鸿祥等 10 名董事分别作出了罚款 30 、 20 、 10 万元的行政处罚，对为该公司出具审计报告的注册会计师龚淑敏、宋大力作出罚款 30 、 20万并暂停证券从业资格等行政处罚。


（三）内部控制分析 1 、控制环境失败

2 、风险意识薄弱

3 、信息系统失真

4 、控制活动失效，监督制度虚设

（ 1 ）法人治理结构极不完善，董事会关注与指导缺失。“控股股东当家”，“内部人控制”。（ 2）管理理念混乱。（ 3 ）经营方针失误，管理模式不科学。工贸银的结合模式，“一石三鸟”的“信用大转盘”理论。（ 4 ）决策随意，损失较大。（ 5 ）激励失误，授权不当。（ 1）负债太高；（ 2）盲目扩张；（ 3）信用危机。（ 1 ）负债太高。负债率高达 159.14% ；（ 2 ）盲目扩张。收购国内几十家商业企业；（ 3 ）信用出现危机。资不抵债加剧了信用危机。（ 1）主观决策；（ 2）任人唯亲；（ 3）缺乏监督。


案例二：安然公司的舞弊（一）安然公司的背景情况：

全球最大的能源交易商；经营业务覆盖 40多个国家和地区；雇员 2万余人；年营业收入突破 1000 亿美元；净利润 10 亿美元；股价最达 90美元；

《财富》杂志排行榜，位居第七；连续 4 年获“美国最具创新精神”称号。


（二）安然公司的背景

1 、安然公司 2001 年 10 月 16 日突然发布公告称，公司前三个季度亏损 6.18 亿美元。

2 、 2001 年 11 月，安然公司在和安达信协商之后，向美国 SEC提交了报告，对 1997 年至 2001 年第二季度的财务报表重新编制，承认高估利润 5.91 亿美元，隐瞒负债 25.85 亿美元。

项目 2000 年 1999 年 1998 年 1997 年资产总额 655 334 293 226 负债总额 516 214 202 158 少数股东权益 24 24 21 11 股东权益 115 96 70 56 营业收入 1008 401 313 203 净利润 10 9 7 1


3 、 2001 年 12 月 2日申请破产：（ 1）股票价格由最高时的 90.75 美元跌至约 50 美分；（ 2）流通股市值由 600 亿美元跌至不足 2 亿美元；（ 3）安然公司高层受到调查；安达信被起诉。4 、安然案件涉及一大批政府要员和国会议员，还使退休基金损失１０亿美元以上，还涉及分布在 84 个国家和地区的安达信的 8.5 万员工。

5 、美国著名的经济学家保罗·克鲁格曼说：“安然公司的崩溃不只是一个公司的垮台问题，它是一个制度的瓦解。而这个制度的失败不是因为疏忽大意或机能不健全，而是因为腐朽。


（三）造假手段：1 、通过 PSE高估利润，隐瞒负债：（ 1 ）自 1997 年以来创立了近 3000 家特殊目的实体（ SPE）其他子公司，其中 900 家设在“避税天堂”的国家和地区。

（ 2 ）滥用 SPE 不并表规定进行表外融资，提高信用等级；（ 3 ）通过与 SPE发生资产买卖、股权转让、对冲交易等业

务，夸大营业规模，编造会计利润。（ 4）利用 SPE 不并表的惯例，将本应纳入合并报表的 3个 SPE排除在合并报表之外，导致 1997 年至 2000 年期间高估利润 4.99 亿美元、低估负债数十亿美元；

（ 5 ）以不符合“重要性”原则为由，未采纳安达信的审计调整建议，导致 1997 年至 2000 年期间高估利润 0.92 亿美元。


2 、利用出售回购和股票转让，操纵利润：（ 1 ） 1999 年 6 月至 2001 年 9 月，安然公司与 LJM公司发生了 24笔交易，交易价格严重偏离公允市价。

（ 2 ）通过与 LJM公司的关联交易，以偏离公允价值的方式虚构利润 5.57 亿美元；

（ 3）通过出售资产给 LJM公司，确认利润 8730 万美元；（ 4）通过受让 LJM公司控制的五个 SPE的股权，确认这些 SPE 与风险管理有关的利润 4.7 亿美元。

3 、策划不具实质的对冲交易，掩盖投资损失：（ 1） 2000 年末安然公司持有高风险投资 90亿美元（ 2 ）为避免利润大起大落，安然与 LJM2 合作设立了 4 家猛兽类 SPE，作为对安然公司交易类证券的避险工具。在短短 5个季度中隐瞒了 10亿美元的损失（占当期利润的 72% ）。


4 、利用能源合同及其他衍生工具操纵利润 2000 年 1999 年 1998 年非衍生金融工具收入 93557 34774 27215

非衍生金融工具成本 (94517) (34761) (26381)

非衍生金融工具毛利 (960) 13 834

非衍生金融工具利得（或损失） 7232 5338 4045

其他费用 (4319) (4549) (3501)

营业利润 1953 802 1378

净利润 979 893 703


5 、利用衍生金融工具操纵利润：（ 1） 2000 年非衍生金融工具的成本大于收入。（ 2）安然公司的非衍生金融工具的毛利处于逐年递减的趋势。（ 3）安然公司正的营业利润主要来自金融衍生工具的利得。剔除衍生金融工具的利得，安然连续 3 年的营业利润都是亏损的。

（ 4 ）安然公司的衍生金融工具利得对报表有着重大影响。 2000年衍生金融工具利得是净利润的将近 8倍。

6 、空挂应收账款，虚增资产和股东权益：（ 1 ） 2000 年 4 月安然向“鹰爪”出售 1.72 亿美元的股票，在未

收到任何认股款的情况下确认实收资本增加。（ 2 ） 2001 年安然向“大灰狼”、“野山猫”出售远期合约并承诺在未来向这两家 SPE发行 8.28 亿美元的安然股票，记录为实收资本和应收票据的增加。两项合计虚增资产和实收资本 10 亿美元。


案例三：巴黎银行的倒闭（一）巴黎银行的基本资料巴林银行集团是英国伦敦城内历史最久、名声显赫的商人银行集团，素以发展稳健，信誉良好而驰名，有包括英国女王伊丽莎白二世的显贵客户群。

该行成立于 1762 年，当初仅是一个小小的家族银行，逐步发展成为一个业务全面的银行集团。巴林银行集团的业务专长是企业融资和投资管理，业务网络点主要在亚洲及拉美新兴国家和地区，在中国上海也设有办事处。


1993 年底，巴林银行的全部资产总额为 59 亿英镑；1994 年净资产 5.41 亿美元，税前利润 1.5 亿美元；1995 年 2 月 26 日巴林银行因遭受巨额损失，无力继续经营而宣布破产。从此，这个有着 233 年经营史和良好业绩的老牌商业银行在伦敦城乃至全球金融界消失。目前该行已由荷兰国际银行保险集团接管。巴林银行破产的直接原因是：新加坡巴黎公司期货经理尼克 ·里森错误地判断了日本股市的走向，期货交易的损失高达 10 亿美元，资不抵债而破产！


二、直接责任人：尼克 · 里森的情况介绍年轻的里森在巴林银行被视为期货和期权方面的专家，

1992 年，巴林总部派他到新加坡分公司成立期货与期权交易部门并出任总经理。在期货交易中，出错在所难免，按规定对出现的各种错误，银行必须迅速妥善处理，并转入电脑中一个被称为“错误账户”的账户中，然后向总部汇报。里森于 1992 年在新加坡任期货交易员时，巴林银行已有一个“ 99905” 的错误账户。 1992 年夏天，伦敦总部全面负责清算工作的经理要求里森另行设立一个“错误账户”，记录较小的错误，并自行处理，里森很快就设立了“ 88888” 的错误账户。


但几周以后，伦敦总部又打来电话，总部配置了新的电脑，要求新加坡分行还是按老规矩办事，所有的错误记录仍经由“ 99905”直接向伦敦报告。 “ 88888”错误账户刚刚建立就搁置不用了，但它却成为一个真正的“错误账户”存于电脑之中。这个被人忽略的账户，提供了里森日后制造假账的机会。 1995 年 1 月份，里森认为日经指数期货将要上涨时，于是他利用上述的私立账户大量买进日经股票指数期货头寸，从事自营投机活动。然而，日本关西大地震打破了李森的美梦，日经指数不涨反跌，李森持有的头寸损失巨大。


若此时他能当机立断斩仓，损失还是能得到控制，但过于自负的李森在 1995 年 1 月 26 日以后，又大幅增仓，导致损失进一步加大。 1995 年 2 月 23 日，李森突然失踪，其所在的巴林新加坡分行持有的日经 2

25 股票指数期货合约超过 6 万张，占市场总仓量的 3

0％以上，预计损失逾 10 亿美元之巨。这项损失，已完全超过巴林银行约 5.41 亿美元的全部净资产值，英格兰银行于 2 月 26 日宣告巴林银行破产。 3 月 6 日英国高等法院裁决，巴林银行集团由荷兰商业银行收购。


（三）巴黎银行在风险管理上的问题1．松散的内部控制。从巴林破产的整个过程看，无论各国金融监管机构或国际金融组织都普遍认为，金融机构内部管理是风险控制的核心问题，而巴林的内部控制却是非常松散的。在日经指数下跌的时候，巴林的财务已经失控，里森已经给巴林带来了不可挽回的损失，但是巴林总部却源源不断的给里森提供资金支持。巴林银行本身的内部控制制度失灵，预警系统失效，最终导致了悲剧的发生；


2 、业务交易部门与行政财务管理部门职责不明。巴林新加坡分部，尼克 ·里森本人就是制度。他分管交易和结算，这种做法给了里森许多自己做决定的机会，里森获得的个人权力过大而受到来自总部的监督约束又太小。虽然公司总部对他的职责非常清楚，却并未采取任何行动，他们生怕因得罪他而失去了这个“星级交易员”。他既负责前台交易又从事行政财务管理，出现这样的情况是有悖于常理的，但是巴林却让此状况维持多年，直到最后的倒闭。


3 、代客交易部门与自营交易部门划分不清。在里森购买日经指数期间，里森用的每一分钱都是来自巴林自身的资产，每一笔交易都是其自营交易。但里森却能用代替客户交易这一简单理由轻松骗过高层。可见巴林在代客交易部门与自营部门划分方面不清晰明了。而交易通过的私设 88888帐户巴林银行也缺乏审核，使故里森钢丝上的舞蹈越跳越失控。


（四）巴黎银行倒闭的主要原因1．巴林银行内部缺乏监管。巴林银行已经有 200 多年

的经营历史，理应有一套完善的内部管理制度，如果个别职员在职权范围内违反操作规程是可能发生的。但一名交易员能够违反制度，擅自越权操作，将相当于其母行资本几倍的资金作赌注，而且能够掩藏几周不为监管部门所知晓，可见巴林银行内部的监管漏洞很多。本来巴林银行后线结算部门应该履行监察职责，但是这个警报系统并没有发挥作用，这抑或是里森与结算部门的人同谋，来欺瞒管理层；或许是既让里森负责前台交易又让他掌管后线结算这种做法的严重恶果。


2．对高风险的衍生性金融交易缺乏监管。衍生工具一旦脱离了贸易保值的初衷而成为投机手段时，风险是极大的，尤其是当交易员孤注一掷时，可能会招致无法挽回的损失。银行管理层应当建立起严密的风险防范机制，经常审查资产负债表中的表内及表外业务，及早发现问题，堵塞漏洞。从巴林银行事件来看，即使是里森用开立虚假户头进行衍生工具交易，以造成代客买卖的假象，但作为巴林银行管理层应该从或有资产的不正常增加中发现问题，这时应该核实该客户的身份、财力等。


3 、对高级管理人员和重要岗位业务人员缺乏资格审查和监督管理。里森因业务熟练被委以重任，但却疏于对他进行考核管理。甚至问题初露时，管理当局也未予以足够重视，使事态逐步扩大，最终导致银行倒闭。

4 、金融机构外部监管不到位。新加坡曾被认为是金融监管很完善的国家，但巴林事件的发生使人们对新加坡监管体系产生了疑问。新加坡金融交易所，对于每股期指保证金以及每次购买上限都不明确，里森的反常举动并没有引起当局的反应。而英国金融监督当局竟然没有察觉巴林银行大量挪用资金的事实，到巴林银行把自己的老本赔光了都还没有察觉。


案例四：雷曼兄弟公司的损失（一）雷曼兄弟公司的损失状况雷曼兄弟公司成立于 1850 年，至今已经有 158 年的历史，截至 2008 年 9 月，雷曼兄弟公司资产总额 6390 亿美元，其中债务总额 6130 亿美元，总股东权益仅为 284 亿美元。该公司持有 1105 亿美元高级无担保票据、 1260 亿美元次级无担保票据和 50 亿美元初级票据。到 2008 年 9 月，由于美国的次贷危机，仅优先债券损失将超过 900 亿欧元折合约 1270 亿美元。股票价格由 2008 年 9 月初的 67.73 美元， 15 日跌至0.19 美元；


（二）雷曼兄弟公司的基本情况雷曼兄弟控股公司（ Lehman Brothers Holdings Inc ）

成立于 1850 年，由德国移民亨利、埃马努埃尔和迈尔创建，迄今为止已有 158 年的历史。主要业务是为公司、机构、政府和投资者提供全方位、多元化的投资银行服务；总部设在美国纽约，并在伦敦、东京和香港设有地区总部。

雷曼兄弟是全球最具实力的股票和债券承销和交易商之一，同时担任全球多家跨国公司和政府的重要财务顾问，其客户群包括美国在线时代华纳、戴尔、富士、 IBM 、英特尔、美国强生、乐金电子、默沙东医药、摩托罗拉、 NEC、百事、菲力普莫里斯、壳牌石油、住友银行及沃尔玛等全球知名企业。


1993 年，雷曼兄弟进入中国，以承销业务为主，同时在 2007年和 2008 年做了 7 笔直接投资业务。曾先后出现在 42 家A股公司的前十大流通股东之列。

（三）雷曼兄弟公司的发展历程 1850 年，雷曼兄弟公司在亚拉巴马州蒙哥马利市成立；1858 年，雷曼兄弟纽约办事处开业；1870 年，雷曼兄弟协助创办了纽约棉花交易所，这是其在商品期货交易方面的第一次尝试；

1887年，雷曼兄弟在纽约证券交易所赢得了交易席位；1889 年，雷曼兄弟第一次承销股票发售；1905 年，雷曼兄弟管理第一宗日本政府债券发售交易；


1923 年，雷曼兄弟承销 1.5亿美元的日本政府债券，为关东大地震的缮后事宜筹集资金；

1929 年，雷曼兄弟雷曼公司创立，该公司为一家著名的封闭式投资公司；

1949 年，雷曼兄弟我公司建立了十大非凡投资价值股票名单 ;1964 年，雷曼兄弟协助东京进入美国和欧洲美元市场，并为

马来西亚和菲律宾政府发行第一笔美元债券；1970 年，雷曼兄弟香港办事处开业；1971 年，雷曼兄弟为亚洲开发银行承销第一笔美元债券； 1973 年，雷曼兄弟设立东京和新加坡办事处，同时被提名为印度尼西亚政府顾问 ;

1975 年，雷曼兄弟收购 Abraham&Co.投资银行 ;1984 年，雷曼被美运通公司收购并与 Shearson 公司合并 ;


1986 年，雷曼兄弟在伦敦证券交易所赢得交易席位 ;1988 年，雷曼兄弟在东京证券交易所赢得交易席位 ;1989 年，雷曼兄弟曼谷办事处开业 ;1990 年，雷曼兄弟汉城办事处开业 ;1993 年，雷曼兄弟与 Shearson 公司分立；北京办事处开业；为中国建设银行承销债券，开创中国公司海外债券私募发行的先河；为中国财政部承销发行海外首笔美元龙债 ;

1994 年，雷曼兄弟聘任为华能国际电力首次纽约股票上市的主承销商，经办中国公司最早在海外的首笔大额融资，涉资 6.25亿美元 ;

1995 年，雷曼兄弟台北办事处开业 ;1997 年，雷曼兄弟承销中国开发银行的扬基债券发行，这是中国政策性银行的首次美元债券发行 ;


1998 年，雷曼兄弟雷曼兄弟公司被收入标准普尔 500 指数，同时其雅加达办事处开业 ;

1999 年，雷曼兄弟与福达投资 (Fidelity Investments)建立战略联盟 , 为零售股民提供投资与调研服务；与东京 --三菱银行就日本并购事宜建立联盟 ;

2000 年，雷曼兄弟公司成立 150周年纪念。同时其墨尔本办事处开业，并与澳大利亚和新西兰银行集团 (“ANZ”)建立了战略联盟 ;

2001 年，雷曼兄弟被收入标准普尔 100 指数；成为阿姆斯特丹股票交易所的一员。

2008 年 9月 15日，由于受次贷危机影响，公司出现巨额亏损，申请破产保护。


（四）雷曼兄弟中国投资概况分析雷曼兄弟在中国的投资业务相对较少，仅有 7 起直投事件，这些投资集中在 2007年和 2008 年之间。在企业投资方面，从 2007年 3月开始，雷曼兄弟先后投资了诺亚舟教育控股有限公司 750万美元，获其 9% 股权；投资金蝶国际 1.32亿美元，获其 7.7% 股份；投资去哪儿软件有限公司 1000万美元；投资天津融创集团 2亿美元，获其 35% 股份；投资奥瑞金制罐集团 4500万美元；投资金龙集团 9000万美元；投资超威电源 3070万美元。在基金投资方面， 2006年雷曼兄弟曾出资 9000万美元与 IBM联合组建中国投资基金，该基金曾投资了中国通信服务股份有限公司； 2008 年 3月，雷曼兄弟旗下公司与中铁二局与在成都成立过合资企业，注册资本为 4054.1万美元，雷曼兄弟持股 49% ；


（五）雷曼公司的破产保护及其影响1 、破产保护： 2008 年 9月 15日，雷曼兄弟向美国联邦破产法庭递交破产保护申请，结束了其 158 年的光辉历程。

雷曼兄弟在美国抵押贷款债券业务上连续 40 年独占鳌头，但终没逃过被次贷危机击溃的厄运。雷曼兄弟持有的巨量与住房抵押贷款相关的“毒药资产”在短时间内价值暴跌，而之前的两大竞购者英国巴克莱银行和美国银行也放弃了对雷曼兄弟的收购计划，无奈之下的雷曼兄弟不得不提交破产申请。

雷曼兄弟的破产申请不包括其任何子公司，在破产法庭监督下雷曼兄弟走上了重组之路。这是垃圾债券专门公司德崇证券商品公司 1990 年破产之后美国金融界最大的一宗破产案。


2 、破产保护的影响：作为曾经的五大投行之一，雷曼兄弟的破产，不仅给华尔街和美国金融市场带来了不利影响，对于那些曾获得过雷曼兄弟投资的中国企业也必然受到影响。 2007 年雷曼兄弟投资的中国旅游搜索网站“去哪儿”声明称，雷曼兄弟对其的投资已经完成，目前境况并不会影响公司。而金蝶软件并未对雷曼兄弟的破产影响做出评价。

美国金融风暴肯定会对的中国市场产生影响，投资机构需更加谨慎的投资，这样才能减少危机来临时所受到的损失。

美国金融危机仍在加剧，雷曼兄弟黯然宣布破产，美林也已转手给美国银行， AIG 无奈重组，甚至冰岛、巴基斯坦等国家也濒临破产边缘，由华尔街蔓延而来的金融风暴已演变成一场汹涌澎湃的经济危机。作为曾经的明星投行，雷曼兄弟也和贝尔斯登一样成为了惨痛的历史。


内部控制如何降低风险？

暴露的数量或金额发生的可能性风险的大小

内部控制

降低


第二节内部控制的基本理论一、内部控制在国外的产生与发展现状：（一）内部控制（ Internal Controls ）的萌芽

内部控制产生

苏美尔文化时期—内部牵制萌芽（ AD3600 ）古代埃及—法老墓碑上有内部控制的记载古代罗马—账簿设置与双人记帐（唱帐）1211佛罗伦萨银行及巴其阿勒的复式记帐法我国西周的司会与宰夫产生完善内部牵制


（二）内部控制在国外的发展阶段： 20世纪 30 年代初期由美国企管人员在内部牵制基础上提出，后经审计人员总结逐步完善形成，具体发展阶段包括：

1 、 20世纪 40 年代以前的“内部牵制”阶段。（ 1 ） 1929 年美注协和联邦储备委员会修订发布《财务会计报表的验证》是最早涉及内部控制的职业文献；

（ 2 ） 1934 年美国《证券交易法》提出了“内部会计控制”；（ 3 ） 40 年代初美国成立“内部稽核协会”；（ 3 ） 1936年美国会计师协会颁布《注册会计师对财务报表

的审查》公告， 1947年颁布《审计准则暂行公告》，为改进审计程序需要提出了以内部控制（ Internal Control ）为基础的审计程序。

（ 5 ） 1949 年美国会计师协会第一次提出“内部控制”概念。


2 、 20世纪 50初至 70 年代末期的“内部控制制度”阶段。内部会计控制与内部管理控制并行。

（ 1 ） 1950 年美国将“内部控制”列入政府法令，这是世界上首次，标志着内部控制制度的产生；日本在《审计标准》中把内部控制组织划分为内部牵制组织和内部审计组织；

（ 2 ） 1951 年日本《企业内部控制大纲》定义了内部控制；（ 3 ） 1958 年 10月美国《审计程序公告第 29号》对内部

控制的定义重新表述，将内部控制划分为会计控制和管理控制。（ 4 ） 1961 年英国《一般审计准则》也定义了内部控制，并

扩充了内部控制的内容；（ 5 ） 1963 年美国审计程序委员会进一步将“内部控制”区

分为“会计控制”和“内部管理控制”；（ 6） 1978 年美提出紧迫任务是建立“内部控制制度”。


3 、 20世纪 80 年代至 90 年代的“内部控制结构”阶段。 1988.4美注协发布“ 55号审计准则” ，自 1990.1.1起执

行，首次以“内部控制结构”一词取代原有的“内部控制”一词，并三要素的控制框架。内部控制结构

控制环境会计制度控制程序管理哲学和经营形态组织机构审计委员会授权和分配责任方式人事政策与外部影响

确认记录所有有效业务及时说明也无类型以便在财务报告中分类采用衡量价值方式以便在报表中记录货币价值确定业务发生期间以便在报表中归集业务在财务报表中恰当表达业务和披露有关事项

授权程序职能分工文件、凭证和记录接近控制独立内部验证


4 、 20世纪 90 年代后的“内部控制整体框架”阶段。 1992 年，美国“反对虚假财务报告委员会”所属的联合发起机构委员会，颁布 COSO报告：


内部控制五要素作用框架图

监督

控制活动风险评估

控制环境

信息与沟通

信息与沟通

控制活动风险评估

监督

控制环境

信息与沟通信息与沟通

基础与保障核心工作


5 、 2002 年 7 月美国正式通过了《萨班斯—奥克斯利法案》，它称为美国乃至全球性的新上市公司准则，新上的公司必须要制定《内部控制手册》或称《业务操作规范》 ;

6、 2004 年 6 月世界银行业巴塞尔委员会颁布《新资本协议》，提出操作风险的概念：

（ 1 ）巴塞尔资本协议的修正过程：1988

1988 年巴塞尔协议：信用风险资本要求操作风险管理：引入操作风险

1998.9 1999.6

新资本协议框架：强调操作风险及其定量分析对银行的重要性

2004.6

巴塞尔协议 II

1992

1988 年巴塞尔协议实施

1996

《资本协议》关于市场风险的修订案：市场风险资本要求操作风险管理与监管的稳健做法

2003.22001.9

操作风险法规政策操作风险高级计量法（ AMA ）原则

2004.1


（ 2 ）操作风险：是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。本定义包括法律风险，但不包括策略风险和声誉风险 (strategic and reputational risk) 。

（ 3 ）我过商业银行目前及未来的风险配置结构：当前资本配置操作风险 20%

市场风险 10%

信用风险 70%

未来资本配置操作风险 30%

市场风险 30%

信用风险 40%

行业趋势


7 、 2004 年的 COSO-ERM框架的产生。（ 1） 2001 年 COSO 顾问委员会开始着手调查，准备构建 ERM框架 ; （ 2） 2002 年完成初稿，并听取反馈意见。（ 3） 2003 年 7月 15号公布企业风险管理框架草案。（ 4） 2004 年 6月最终通过， 8月份公布。 6 、 ERM的 8要素（ 1）内部环境；（ 2）目标设置； COSO的五要素

（ 3）事件识别；（ 1）控制环境；（ 4）风险评估；（ 2）风险评估；（ 5）风险应对；（ 3）控制活动（ 6）控制活动；（ 4）信息与沟通；（ 7）信息与沟通；（ 5）监督；（ 8）监督；

比较


（三）内部控制在国内的发展现状：1 、我国内部控制的产生：我国规范的内部控制产生于

20世纪 90 年代初；在贯彻 COSO报告的过程中，以 1996年 12月财政部发布《独立审计具体准则第 9号—内部控制和审计风险》（ 97年 1月 1日施行）为标志。

2 、我国内部控制的发展（ 1 ） 1997年 5月，中国人民银行颁布《加强金融机

构内部控制的指导原则》，这是我国第一个关于内部控制的行政规定，标志着我国内部控制开始走向规范。

（ 2 ） 1999 年我国第二次修订《会计法》（ 1985 年制订， 1993 年第一次修订， 2000 年 1 月 1 日起执行），对内部会计监督制度的要求作出了明确的要求；


（ 3 ） 1999 年，中国证监会发布了《关于上市公司做好各项资产减值准备等有关事项的通知》，要求上市公司监事会对内部控制制度制定的情况进行监督。

（ 4 ） 2000 年发布《公开发行证券公司信息披露编报规则》，要求商业银行、保险公司、证券公司，建立、健全内部控制制度；

（ 5 ） 2001 年 6 月 22日财政部颁布以下两个规范：（ i ）内部会计控制规范—基本规范（试行）；（ ii ）内部会计控制规范—货币资金（试行）；（ 6） 2002 年 9月 7日人民银行颁布《商业银行内部控制

指引》，仍然以内容控制为主，虽内容丰富，但效果不佳。（ 7） 2003 年以后，我国在会计、审计等方面取消内容控

制式的内部控制，全面采用“要素控制”式的内部控制。


（ 8 ） 2003 年 12月 27 日，经十届人大六次会议批准，主席令 11号发布了《中华人民共和国银行业监督管理法》，自 2004 年 2月 1日起施行。

（ 9 ） 2003 年 12月 27 日，经十届人大六次会议批准，主席令 13号发布了《中华人民共和国商业银行法》，自 2004 年 2月 1日起施行（ 1995.5.10颁布— 7.1起施行）。

（ 10 ） 2004 年 8月 25日证监会颁布《商业银行内部控制评价试行办法》， 2005 年 2月 1日起施行。

（ 11 ） 2004 年 12月 29日证监会颁布《商业银行市场风险管理指引》， 2005 年 2月 1日起施行。

（ 12 ） 2005 年 9月 24日证监会颁布《商业银行个人理财业务管理暂行办法》， 2005 年 11月 1日起施行。


（ 13 ） 2006年 6 月 20日国资委颁布《中央企业全面风险管理指引》，以国资发改革 [2006]108号文发布，共分十章七十条；具体结构框架为：第一章总则；第二章风险管理初始信息；第三章风险评估；第四章风险管理策略；第五章风险管理解决方案；第六章风险管理的监督与改进；第七章风险管理组织体系；第八章风险管理信息化系统；第九章风险管理文化；第十章附则。

（ 14 ） 2008 年 6 月 30日五部委（财政部、证监会、审计署、银监会、保监会）联合发布《企业内部控制基本规范》，自 2009 年 1月日起执行。包括七章五十条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。


2 、我国内部控制的新特点（归纳为四点）（ 1 ）以单位自身为出发点。要求从制度基础审计的角度来

要求对组织的内部控制进行评价；从信息披露的角度来对组织的内部控制予以要求；从组织自身的角度，主要为完善内部会计控制制度。

（ 2 ）目标定位明确具体，但实施过程中存有偏差。（ a ） COSO报告中对内部控制的目标定位为：为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循性。

（ b）《内部会计控制规范》，对单位内部会计控制建设及内部会计监督等作的定位是以内部会计控制为主，同时兼顾与会计相关的控制。

（ c ）我国目前的内部控制以会计控制为主体，还没有完全把管理控制纳入内部控制的范围。


（ 3 ）基本构成直接以内容而非要素形式存在：（ a ） COSO 报告中关于内部控制的内容构成是要素式的，

由五大要素组成，而非内容式的 , 这与我国传统的内部控制观念存在着不相一致。

（ b）《内部会计控制规范》直接列出内部控制的内容，包括：货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制。内容控制方式低效，不适合长期使用。

（ 4 ）内部控制条款有利于按照业务循环方式设置：（ a ）考虑企业自身的经营特点 ; （ b）同时兼顾可操作性和控制成本的合理性 ; （ c ）依据我国实际，逐步从内容控制向要素控制转化；


3 、我国内部控制的规范性建设（ 1 ）控制规范化。我国目前内部控制规范还缺乏一个成型

的体系，规范的缺失与失效都会影响规范的有效性。（ 2 ）目标定位。目前我国内部控制的目标定位与 COSO报告相对完整的定位相比还有较大的距离。随着经济的不断发展和企业状况的不断改善，目标定位应有相应的提高。

（ 3 ）要素控制。提倡 COSO报告的五大要素框架，但在实施过程中不主张脱离实际地进行要素控制。

（ 4 ）设置方式。一定的内部控制设置方式往往与内部控制的基本构成相联系，内容条款也能决定相应的设置方式。

（ 5 ）动态控制。内部控制的规范化是对内部控制执行有效性的检测，内部控制的规范法是一个动态的概念，评价过程中应划分不同的层次，采用不同的标准进行。


二、内部控制定义的演变1 、美国审计程序委员会 1949 年的权威定义：内部控制是企

业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。

2 、内部控制定义经过了三次修改： 1953 年 10月美国审计程序委员会在《审计程序公告第 19号》中进行了第一次修正，把内部控制划分为会计控制和管理控制； 1972 年美国注册会计师协会（ AICPA）进行了第二次修正，主要修正了会计控制的内容；第三次修正： 1972 年美国会计准则委员会在第 1号公告中，对会计控制和管理控制进行了权威性定义：

（ 1 ）会计控制的含义：详见附件。（ 2 ）管理控制的含义：详见附件。

（ 1 ）内部会计控制：由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成，旨在保证：经济业务的执行符合管理部门的一般授权或特殊授权要求 ;经济业务的记录必须有利于按照一般公认会计原则或其它有关标准编制财务报表以及落实资产责任 ;只有在得到管理部门批准的情况下，才能接触资产并按照适当的间隔期限，将其账面记录与实物资产进行对比，一经发现差异，应采取相应补救措施。

（ 2 ）内部管理控制：主要包括：管理机构控制、管理职能控制、管理人员控制、管理过程控制等。内部控制不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及记录，是经济业务会计控制的起点。


3 、 COSO 委员会的内部控制定义：由董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法律的遵循性和防止损失、盗窃等目标的达成而提供合理保证的过程。

4 、巴塞尔银行也委员会的内部控制定义：是一个需要董事会、高级管理部门和各级工作人员共同努力才能实现的过程，他不仅仅是某一时点上实施的程序或政策，而且需要创造控制文化以及有效进行日常监管等实现控制目标。

5 、我国内部审计基本准则中的定义：是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。包括会计控制和管理控制两个主要部分。


三、内部控制的要求 1 、全局性要求； 2 、灵活性要求； 3 、适时性要求； 4 、适度控制的要求； 5 、处理好全面控制与重点控制的关系； 6、充分考虑成本与收益的关系； 7、客观控制的要求：（ 1 ）控制工作应针对企业实际情况；（ 2 ）有效的控制需要客观、准确和适度； 8 、与计划和职位相适应； 9 、与控制人员的个性相适应； 10 、注意关键的例外情况；


四、我国与 COSO内部控制要素的比较（五要素）内部环境（控制环境）风险评估我国 COSO 我国 COSO

治理结构机构设置与权责分配内部审计人力资源政策企业文化法制教育

操守及价值观胜任能力董事会及监督委员会管理哲学和经营风格组织结构权责划分人力资源政策及施行

风险识别风险分析与排序风险应对策略

目标风险辨识风险分析对改变的管理


控制活动信息与沟通监督我国 COSO 我国 COSO 我国 COSO

不相容职务分离授权审批会计系统财产保护预算控制运营分析绩效考评

控制活动种类控制政策及程序与风险评估结合对咨询系统控制

信息收集信息处理沟通和反馈利用信息技术建立反舞弊机制建立举报投诉制度

资讯系统资讯质量内部沟通外部沟通

日常监督专项监督缺陷认定自我评价保存可验证性记录和资料

持续监督个别评估缺失报道


第三节 COSO内部控制与 ERM框架的基本要素

控制环境风险评估控制活动

信息与沟通监督

内部环境目标设置事件识别风险评估风险应对控制活动

信息与沟通监督

内部控制框架与 ERM 框架要素的差异


一、内部环境：是指影响内部控制作用发挥的各种因素，是所有其它内部控制组成要素的基础。

1 、诚信的原则和道德价值观：（ 1）严格一致地保持诚信行为和道德标准；（ 2）不要盲目追求不切实际的目标；（ 3）以致形成不必要的压力；（ 4）对敏感职位分工要准确明细，以加强内部牵制；（ 5）加强组织的内部审核制度 ;；（ 6）发挥董事会职能，使其客观监督企业高层管理者 ;（ 7）制定行为准则、政策、制度等，降低不诚实、非

法和不道德行为。


2 、评定员工的能力：（ 1）管理部门须制定正式或非正式的职务说明书；（ 2）逐项分析并规定各工作岗位所须具备的知识和技能。 3 、董事会和审计委员会。审计委员会隶属于董事会，对经营者及其下属进行监督，建立两机构主要考虑以下因素：

（ 1）成员的经验；（ 2）相对于管理层的独立性；（ 3）外部董事的比例；（ 4）其成员参与管理的程度；（ 5）所采取措施的适宜性；（ 6）对管理层提出问题的深度和广度；（ 7）他们与内部、外部审计人员的关系实质；


4 、管理哲学和经营风格。主要考虑：（ 1）对待和承担经营风险的方式；（ 2）依靠政策、业绩及报告体系等与关键经理人员沟通 ;（ 3）对财务报告的态度和所采取的措施；（ 4）对信息处理以及会计功能、人员所持的态度；（ 5 ）对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度。

5 、组织结构。具体应考虑：（ 1）合适性及其提供管理企业所需信息的沟通能力；（ 2）各主管人员所负责任的适当性；（ 3）主管人员责任，及具有的知识及丰富的经验；（ 4）当环境改变时，企业配合改变其组织结构的程度；（ 5）员工，尤其是管理及监督员工人数的充足程度。


6 、责任的分配与授权（ 1）强调对组织内全部活动有效地分配职责和权限；（ 2 ）对组织成员，特别是关键岗位的人员提供和配备所需

资源并使他们的经验、知识与职责权限相匹配；（ 3）严格授权制度，根据授权确定相应的责任； 7 、人力资源政策及实务（ 1）有完善的招聘与选拔方针及操作性程序；（ 2）对新员工进行企业文化和道德价值观的导向培训；（ 3）对违反行为准则的事项，制订纪律约束与处罚措施；（ 4）对员工制订具有奖励和激励作用的报酬计划；（ 5 ）根据阶段性的业绩评估结果，对员工予以业务指导、职务晋升、以及奖励或惩罚；

（ 6）人力资源的资本化彻底改变了人们传统的分配观念；


二、目标设置1 、目标设置的概念：目标是指计划期预计要实现或达到的指标体系或目的，包括整体目标、局部目标和具体目标。目标设置是企业根据特定环境条件及要求选择或确定目标的过程。

2 、战略目标：是指企业高层次、关系全局及未来的目标，反映管理当局就主体如何努力，为利益相关者创造价值所做出的选择，设置目标主要是指设置战略目标。

3 、相关目标：是指与战略目标相关的其他目标。包括：（ 1 ）经营目标，使企业生产经营或预期要实现或达到

的目标，关系到主体经营的有效性和效率，反映主题运营所处的特定经营、行业和经济环境；


（ 2 ）报告目标，是指企业向企业内部及外部利益相关着报送各种报告的预期目标，包括内部报告和外部报告，涉及企业的财务与非财务信息，这种目标影响报告的可靠性与准确性；

（ 3 ）合规目标，是指主体活动符合相关法律、法规的目标，企业的合规性记录影响其诚信程度，对其声誉产生正面或负面影响。

4 、目标的实现：目标的实现是一个过程，是主体单位中全体人员共同努力的结果；

（ 1）目标设置的恰当性是决定实现效果的关键因素；（ 2）实现目标的关键是保证重要与特定目标；（ 3）识别目标的风险，积极采用目标控制手段。


5 、选定的目标：目标的选择是一中手段，是主体单位根据特定条件与环境，选择实施的目标；

（ 1）目标选择服务于主体使命，与风险容量相协调；（ 2）目标选择要考虑风险管理的要求；（ 3）战略目标与主体使命的协调采用程序化。6 、风险容量：是指主体在追求价值的过程中所愿意

（能够）承受的广泛意义的风险限度（数量及水平）；（ 1）风险容量反映在战略中，指导其资源配置；（ 2）企业配置资源应充分考虑风险容量；（ 3）主体成功的战略实施应保持在它的风险容量内。7 、风险容限：是指主体相对于目标的实现可以接受的

目标的偏离程度，可以计量。


三、事项识别1 、事项：是指源于主体内部或外部影响其战略实施或

目标实现的事件或事故，它来自于正面、负面或兼而有之的影响；

（ 1 ）识别事件是一个认识事项的过程，由于受不确定因素的影响，事项识别带有不确定性；

（ 2）识别事件包括考虑内外影响及正负面影响；（ 3 ）关注具有负面影响的潜在事项以及具有追逐机会

的事项。（ 4）把事件识别与事件发生可能性评估区分开来；（ 5 ）针对于重要目标，即使事项发生的可能性比较低，也不应被忽略。


2 、影响因素：外部与内部因素。（ 1）外部因素以及相关事项： ① 与经济有关的因素及事项包括：价格变动、资本

的可获得性、竞争状况等； ② 自然环境因素及事项包括：洪水、火灾、地震等； ③ 政治因素及事项包括：政策的变化、领导人员的变更、政治运动、法律法规及监管的变化等；

④ 社会因素及事项包括：人口统计、社会习性、家庭结构、工作机生活习惯、恐怖主义活动等；

⑤ 技术因素及事项包括：科技发展、技术进步、电子商务的新方式等。


（ 2）内部因素及事项包括： ① 基础结构及事项包括：增加防护性维护和呼叫中心的资本配置、减少设备停工待料、提高客户满意度等；

② 人员及事项包括：工作场所的意外事故、欺诈行为以及劳动合同到期等；

③ 流程及事项包括：变更及修改管理规程、流程执行状况、对外包客户的监管等；

④ 技术及事项包括：新技术及工艺的采用、人员素质的提高、技术的租赁、开发等；

⑤ 其他因素及事项包括：管理状况、管理机构状况、规章制度、领导者及职工素质等。


3 、事项识别技术（ 1 ）事项目录（ Event Inventories ）：是特定行业内

的公司所供用的潜在事项或不同行业之间所共同的特定过程或活动的详细清单；

（ 2 ）内部分析（ Internal Analysis ）：作为常规性经营计划循环过程的一部分完成，可通过业务单元员工会议、向利益相关者征询信息、利用专家意见等方式进行；

（ 3 ）扩大或底限触发器（ Escalation or Threshold Triggers ）：是指通过将现在的交易或事项与预先确定的标准进行对比，提醒管理当局专注的领域，一旦被触发，可能就需要对某一事项进行进一步的评估或者立即予以应对（预警技术）；


（ 4 ）推进式的研讨或访谈（ Facilitated Workshops and Interviews ）：通过设计的讨论，利用管理当局、员工和其他利益相关者所积累的知识和经验来识别事项；

（ 5 ）过程流动分析（ Process Flow Analysis ）：通过考虑影响一个过程的投入或其中的活动的内部和外部因素，主体能够识别那些可能影响过程目标实现的事项，是构成一个过程的输入、任务、责任和输出的组合；

（ 6 ）首要事项指标（ Leading Event Indicators ）：通过监控与事项有关的数据，来识别可能导致一个事项发生的情形是否存在的技术；

（ 7 ）损失事项数据法（ Loss Event Data Methodologies ）：利用过去损失事项的数据库来识别可能发生的新事项。


4 、相互依赖性：即一个事项的发生会引起其他事项的发生，特别关注依赖性的强的事项组；

（ 1）事项通常不是孤立发生的；（ 2）在事项识别过程中应明确事项之间的联系；（ 3 ）通过评估这种关系可以确定风险管理活动的方向。5 、事项类别：是指受同类因素影响，具有相同性质及关联性的一类事项；

（ 1 ）在主体内横向汇总或业务单元内纵向汇总可以将事项进行分类，事项分类是可变的；

（ 2）管理当局可以通过分类鉴别机会与风险；（ 3）事项分类有利于促进事项识别工作的完整性；6 、区分机会与风险——（详见附件）

（ 1 ）具有负面影响的事项发生会产生风险，需要管理当局的评估于应对；（ 2 ）具有正面影响或抵消风险负面影响的事项发生是机会，管理当局应促进其发生，抓住机会促进价值创造和目标实现；（ 3 ）两者兼有事项的发生具有两面性，管理当局应积极创造条件使其向正面影响转化；（ 4 ）管理当局应特别关注抵消风险负面影响的事项。


四、风险评估

1 、目标。包括整体目标、局部目标和具体目标。整体目标主要包括：营运目标、财务报告目标和遵循目标。

目标风险

控制行为控制活动

环境变化后的管理

评估和更新


2 、风险评估的背景。识别与分析实现控制目标可能发生的风险，是一个动态过程，也是有效内部控制的重要要素。

（ 1）外部因素和内部因素影响会发生什么样的事项以及事项将影响主体目标的程度；

（ 2）重大风险的识别：即根据内部条件和外部环境的分析识别风险，并相应采取措施防范风险。

（ 3）风险评估过程中管理当局应考虑与主体及其活动相关的潜在未来事项的组合；

（ 4）风险评估时管理当局应考虑预期与非预期事项；（ 5）风险评估时要充分考虑固有风险与剩余风险。固有风险是特定条件决定的风险，剩余风险是风险应对后风险。


3 、环境变化的影响。经济、产业及管理的环境都是会改变的，企业的活动应随之改变。影响因素包括：

（ 1 ）行业环境的改变。行业环境是市场环境，反映着供求关系及竞争状况；

（ 2 ）新员工。员工是公司价值的创造者，新员工增加会改变员工结构和职工素质，其变化对控制风险影响极大；

（ 3 ）业务状况的变化。业务的下降会增加经营风险，业务的迅速成长会降低经营风险，但也会造成巨大损失；

（ 4 ）新科技。技术状况决定着公司的生存，新技术的研发、使用等具有两面性，关键看使用状况；

（ 5）新业务、产品、作业。具有与新科技基本相同特性 ;（ 6）公司重组。发展的重要手段，状况决定风险大小；（ 7）国外业务等。风险控制也具两面性，应慎重进行。


4 、估计可能性和影响（ 1 ）可能性表示一个给定事项将会发生的概率，影响代

表它的后果；（ 2 ）管理当局应根据估计的可能性关注不同的事项，特

别关注可能大的事项；（ 3 ）数据来源：即对风险的可能性进行估计的数据通常

来自过去可观察事项的数据；（ 4 ）利用过去的事项对未来进行预测时应保持谨慎，影响事项的因素随时间推移而变化；

（ 5 ）估计的视角：风险估计人员从自己认识的视角进行风险评估具有局限性，他们往往过度信任自己的能力，存在“过度信任偏差”。


5 、风险评估技术（ 1）风险评估方法包括定性与定量相结合的方法；（ 2 ）在不需要定量化、定量数据不充分、方法缺乏准确性、分析复杂的环境等情况下可采用定性评估技术；

（ 3 ）风险评估的定性分析技术很多，常使用访谈、研讨、评分、专家调查等方法；

（ 4）定量风险评估的常用方法：——设定基准（ Benchmarking）：即风险标准；——概率模型：包括风险价值、风险现金流量、风险盈

利以及信贷和经营损失分布的计算等；——非概率模型：根据数据、未来假设进行定量评估。


五、风险应对1 、风险应对的主要类型：（ 1 ）回避（ Avoidance）：退出会产生风险的活动，包括：退出部分生产、拒绝向一个新的地区拓展市场、出售一部分产品或资产等；

（ 2 ）降低（ Reduction ）：采取措施降低风险发生的可能性或影响，或者同时降低两者；

（ 3 ）分担（ Sharing ）：通过转移来降低风险的可能性或影响，如保险、对冲、外包等；

（ 4 ）承受（ Acceptance ）：是指不能采取认可措施去降低或分担风险，只能接受风险的发生。


2 、评价可能的风险应对：（ 1 ）选择一个应对方案，在实施前确定风险容限，选择风险评估方法评价其风险的大小，并检查剩余风险的可接受程度；

（ 2）平衡风险与风险容量可能涉及一个反复的过程；（ 3 ）评价针对固有风险的备选应对，应充分考虑应对可能带来的附加风险；

（ 4 ）管理当局一旦选定一个风险应对，据必须要是定相应的实施计划来执行该应对；

（ 5 ）实施应对计划应加强控制活动，以确保剩余风险能够被主体所接受。


3 、评价选定的风险应对：（ 1 ）评价对风险的可能性何影响的效果。考虑过去的

情形和趋势以及潜在的未来情形，评价备选应对时应利用或衡量相关的目标相同的计量单位；

（ 2 ）评估成本与效益。即评价与估算风险应对的成本及可能的效益，应根据实际需要确定精度，并把风险看作是关联事项；

（ 3 ）应对方案中的机会。风险应对所考虑的内容不应仅仅限于降低已经是别出来的风险，应成分考虑给主体带来的降低风险增加效益的新机会；

（ 4 ）正确处理应对成本与效益之间的关系，提高效率。


4 、组合观：企业风险管理要求从整个主体范围或组合的角度去考虑风险。

（ 1 ）管理当局通常先从各个业务单元、部门或职能机构的角度去考虑风险，由负有责任的管理人员对本单元的风险进行复合评估以确定剩余风险；

（ 2 ）管理当局应充分考虑应对的剩余风险与目标相关的总体风险容量是否相称；

（ 3 ）风险组合观可以通过多种方式来描述，如关注各业务单元的总和、把公司作为一个整体风险以及运用类似风险调整资本或风险资本等标准；

（ 4）从组合角度看风险容易满足风险容量要求。


六、控制活动

1 、概念：是指对所确定的风险所采取的措施，以保证单位目标得以实现的政策和程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。

现金管理

采购和付款

存货管理

人事和薪金资本性采购营销和销售


2 、主要内容：控制活动在企业内的各个阶层和职能之间都会出现，主要包括 :

（ 1 ）相关政策和程序的制定与落实。包括关帐程序、管理层对重要事务的审核、定期审阅政策和程序、管理层负责政策和程序的制定及合理性等；

（ 2 ）管理层对预算、利润、财务以及运营目标的制定及监控。包括管理层阅读指标识别差异、调查差异及纠正措施、与董事会或审计委员会沟通、报表分析说明等 .

（ 3 ）职责合理分工。包括不相容活动的职责分离、使用特定系统的审批制度、定期审阅程序和数据库的内控流程、其他需要说明的职责分工等；


（ 4）实体控制。即实物资产核对与盘点，包括帐实核对程序、盘点方式及内容、管理层的授权保护。

（ 5）财务报告的编制与信息披露。控制要点：控制程序、人员素质要求、审核与修正、需要说明事项等。采取的控制措施：严格按程序控制、定期报告于披露检查、选配高水平的专业人员，建立信息披露发言人制度；

（ 6）对分支机构的控制。控制要点：统一控制环境加强流程管理、实施有效监督。相应措施：制定并统一控制标准、管理制度，加强沟通，定期考核与评价等。


3 、风险应对相结合（ 1 ）管理当局选择了风险应对之后就应及时实施必要

的控制活动；（ 2 ）在选择控制活动时应考虑其关联性，尽量是一项

控制活动实现多项风险应对，以降低控制成本；（ 3）控制活动应重点保证新风险应对的有效实施；（ 4 ）控制活动的选择与评审应与风险应对就，相关目标的相关性及恰当性相联系；

4 、控制活动的类型：（ 1 ）高层复核（ Top-Level Reviews）：高层管理当局对照预算、预测、以前期间和竞争者来复核实际业绩；


（ 2）直接的职能或活动管理（ Direct Functional or Activity Management ）：负责职能机构或活动的管理人员复核业绩报告形式；

（ 3 ）信息处理（ Information Processing ）：是指实施一系列的控制来检查交易的准确性、完整性和授权；

（ 4 ）实物控制（ Physical Conteols ）：对设备、存货、证券、现金和其他资产进行实物保护，定期盘点，并与控制记录相联系；

（ 5 ）业绩指标（ Performance Indicators ）：即把不同些列的经营或财务报告的数据联系起来对比分析，有针对性地实施考核控制的方式；

（ 6 ）职责分离（ Segregation of Duties ） : 把不同人员的职责分开或隔离以降低错误或舞弊的风险。


5 、政策和程序（ 1 ）控制活动的政策：实施控制活动之前必须要确定

控制活动所遵循的政策，这种政策必须仔细地、有意识地和一贯地执行；

（ 2 ）实现政策的程序：即如何执行与贯彻所选择的控制政策，通过灵活、有效地执行程序检查政策选择及实施的效果，并根据效果及时实施后续措施；

6 、对信息系统的控制（ 1 ）一般控制。包括对信息技术管理、信息技术基础结构、安全管理和软件获取、开发与维护的控制：

—— 信息技术管理：指导委员会提供对信息技术活动和改进行动的监督、监控与报告；


—— 信息技术基础结构：将控制应用于系统的界定、获取、安装、配置、整合和维护；

—— 安全管理：类似安全密码等逻辑进入控制限制，进入网络、数据库和应用层，采用用户帐号和相关的今日特权控制以提高安全性；

——软件获取、开发和维护：对软件获取和执行的控制要结合到一项既定程序中，以管理变更事项，包括文件要求、用户接受测试、压力测试和项目风险评估等。

（ 2 ）应用控制：属于特殊控制或重点控制，直接关注数据获取和处理的完整性、准确性、授权和有效性：

——平衡控制活动：通过将人工或自动输入的数据调整为一个控制总和来侦查数据获取的错误；


——核对位数：通过计算机来检验数据； —— 预先确定数据清单：向使用者提供预先确定的可接受的数据清单，以便于控制活动的开展；

—— 逻辑测试：包括对范围限度、价值测试或混合符号测试的运用。

7 、主体的特殊性（ 1 ）主体目标与执行方法的差异决定了控制活动的差

别，个主体应根据各自的特殊性选择有效的控制活动；（ 2 ）各主体的人员素质在很大程度上影响控制活动的效果，提高管理人员素质是提高控制效果的关键因素；

（ 3）控制活动受主体环境状况的影响很大；（ 4）控制活动的效果是多种因素综合作用的结果。


七、信息与沟通：

提高资源使用效率

.有效达到企业目标

保持数据完整.维护资产安全

符合相关的法律、法规和政策

信息系统控制目标


信息与沟通的含义：信息和沟通是指相关信息以某种形式并在某个时段被识别、获得和沟通，以促使员工采取一定的措施或行动履行自己的职责。

（一）信息1 、信息的获取与传递：（ 1）获取内部信息包括：制度信息、需求信息、供应信息、生产信息、销售信息、会计信息等；

（ 2）获取外部信息包括：市场信息、法律法规信息、客户信息等；

（ 3）信息传递：传递到需要的场所和部位。


2 、信息提供的及时性：（ 1 ）管理者及时收到分析信息。包括内部机构与外部

审计师、法律顾问和监管机构的信息沟通，客户信息与供应商信息的提供以及内部信息的系统性、真实性等。

（ 2 ）不同程度的信息传达给不同层次的管理人员。考虑授权与信息流通的合理性；

（ 3 ）筛选信息并及时传达。合理定位外部审计师、董事会和审计委员会、纪委监察部门、内部审计和各业务部门在信息筛选与传达中的职责；

3 、根据信息系统战略计划改进与修订信息系统：（ 1）建立信息技术指导委员会或信息部；（ 2）加强对会计系统的控制；


4 、管理层对必要信息系统开发的承诺：（ 1）加强董事会或审计委员会的监督；（ 2）明确并落实控制责任； 5 、管理层与员工的信息沟通渠道：（ 1）建立充足的沟通渠道，提高沟通效果；（ 2）有效向员工传达其职责；（ 3）沟通的渠道应开放、有效； 6 、员工提出改进建议的机制：（ 1）建立有效的员工参与机制；（ 2）实施有效的奖励制度； 7 、对外部关联方信息的处理：（ 1）对外部关联方信息实行“归口负责”处理与反馈；（ 2）针对不同性质的信息采取不同的处理程序；


8 、关联方对本企业道德标准的关注：（ 1）定期以书面形式向外界公布本企业的道德标准；（ 2 ）及时掌握关联方对本企业道德标准的期望与意见 ;（ 3）建立机构或设立岗位管理，重视道德标准建设；9 、对信息技术及信息系统环境的有效控制（ 1）建设良好的系统控制环境；（ 2）建立统一的信息控制标准和相关政策；（ 3）对控制效果进行及时的考核与评价；10 、对电子数据及财务报表数据的控制（ 1）建立控制流程并有效控制；（ 2）人工控制与子到控制相结合；（ 3）规范电子数据与财务报表控制形式与内容。


11 、信息的深度与及时性（ 1 ）信息基础结构以与主体的需要相一致的时机和深度来追溯和获取信息，以便识别、评估和应对风险，并保持在它的风险容限之内；

（ 2 ）信息流动的及时性需要与主体的内部和外部环境的变动程度相一致，信息的指数增长容易产生“超载”；

12 、信息质量（ 1）内容恰当性——信息是否处于正确的详细程度？（ 2）信息及时性——能否根据需要及时提供信息？（ 3）信息新颖性——是否是最新可利用的信息？（ 4）信息准确性——数据是否正确？（ 5）信息可取性——需要的人能否及时取得信息？


（二）沟通1 、沟通的含义：是指主体内各部门会业务单元之间以

及不同层次的内部人员之间以及与外部利益相关者之间，采用一定的方式和手段，通过信息交流，对某一相关问题或认识达成共识或基本共识的过程。

2 、内部沟通（ 1）共同应当有效地传达，主要包括传达：① 有效的

企业风险管理的重要性和相关性；② 主体的目标；③ 主体的风险容量和风险容限；④ 主体通用的风险管理语言；⑤ 员工在风险管理中的只能与责任等

（ 2 ）一致性：即全体员工，尤其是重要职能部门的负责人都要服从“企业风险管理必须严格执行”；


（ 3 ）沟通渠道畅通：沟通渠道应保证员工能够在各业务单元、过程或职能机构之间进行纵横畅通地沟通；

（ 4 ）沟通障碍应及时清除，不断完善沟通制度，避免“打击报复”、“以上欺下”等情况发生；

（ 5 ）采用多种沟通方式，以最高管理当局的制定的目标及要求为沟通方向，不断完善报告制度；

（ 6）正确处理管理当局与董事会之间的沟通。3 、外部沟通（ 1）即与外部监管者、服务者及利益相关者的沟通；（ 2）与外部沟通也要考虑风险容量和风险容限；（ 3 ）对外沟通可采用多种方式，公开、随即、密切追踪等，应及时在整个组织中产地信息。


4 、沟通方式（ 1）政策手册：正确理解，通过交流达成一致意见；（ 2 ）备忘录：采用个别面谈、小组会议、集体会议等

进行沟通，记录沟通的过程及结果；（ 3 ）电子邮件：采用发送电子邮件方式表达意见并进

行认识交流，达成一致意见；（ 4 ）公告板通知：在人流大或特定的地点张贴公告，传达信息进行沟通；

（ 5）网络发布：利用内部或互联网发布信息沟通；（ 6 ）录像带、广播、电视、传真等手段沟通，即利用

以上手段进行信息传达或意见交换；（ 7）其他沟通手段，可采用合法且有效的多种方式。


八、监督：是由适当的人员，在适当、及时的基础下，评估内部控制的设计和运作质量的过程。它包括持续性的监督活动和独立的评估两种形式。

1 、持续的监督活动：（ 1）常规活动中搜集有关内控体系继续有效的证据；（ 2 ）来自外部关联方的信息支持内部生成的信息，或反映问题；

（ 3）定期对会计系统记录数目与实物资产进行比较；（ 4）对内、外审计师提出加强内控方式建议的反应；（ 5）通过多种形式向管理层反馈控制活动是否有效；（ 6 ）定期陈述遵循行为规范、开展关键控制活动情况 ;（ 7）内部审计活动的有效性；


（ 8）董事会和审计委员监督责任；（ 9）对财务结账流程的控制或监督。2 、独立评估：（ 1）内控体系独立评估的范围和频次；（ 2）评估过程的适当性；（ 3）评估系统的方法论是否合理、适当；（ 4）文件编制标准的适当性。3 、报告缺陷：（ 1）存在收集和报告已确定内控缺陷的机制；（ 2）上报规约的适当性；（ 3）后续行动的适当性


一、目标控制 1 、概念：是指一个部门或者单位的业务活动和管理工作应

有不同层次的明确而且合理的计划和目标，并有特定主题对其执行过程和结果实施监督和检查，进而进行信息反馈和调节的控制方法。

2 、目标控制的特征：未来性、层次控制、全员性、综合性、动态性等。

3 、目标控制的程序：（ 1）综合平衡，确定总目标；（ 2）分解目标；（ 3）执行或实现所设定的目标；（ 4）反馈目标实施情况，修正原目标；

第四节内部控制的基本方式


二、组织规划控制 1 、组织规划（ Organization plan）是对企业组织机构设置、职务分工的合理性和有效性所进行的控制。

2 、不相容职务的分离（核心是内部牵制）（ 1）不相容职务：是指某些职务如由—名雇员担任，既可

以弄虚作假，又能够自己掩盖其作弊行为的那些职务。（ 2）企业经济业务活动的一般步骤：授权、签发、核准、执行和记录。

（ 3）企业应加以分离的主要不相容职务：（ A）业务的授权职务与执行职务要分离；（ B）执行某经济业务的职务与审核该项业务的职务要分离 ; （ C）执行某经济业务的职务与记录该项业务的职务要分离 ; （ D）保管某项财产的职务与记录该项财产的职务要分离；


三、授权批准控制1 、授权批准 (Authorization)：是指企业在处理经济业务时、必须经过授权批准以进行控制。在一个企业中，授权—般由股东授予董事会。然后又由董事会将大部分权力授予企业总经理和有关管理人员。企业每一层次的管理人员既是上级管理人员的授权客体，又是对下级管理人员授权的主体。

2 、授权批准的形式：（ 1 ）一般授权：是对办理经济业务权力、条件和有关责任者的规定。它通常是在管理部门中以采用政策说明书或指令的形式，或在经济业务中规定其办理条件、范围和对该类业务责任者任命形式子以反映的。

（ 2 ）特定授权：与一般授权不同，特定授权只涉及特定的经济业务处理的具体条件及有关具体人员。


3 、保证授权批准的控制：（ 1）明确一般授权和特定授权的责任；（ 2）明确每类经济业务的授权批准程序；（ 3）建立授权批准检查制度，包括：凭证和文件的检查和现场观察。

四、文件记录控制1 、文件记录（ Documentations and Records）是企业内部

控制的重要因素。（ 1 ）健全、正确的文件记录既是其他控制（如组织规划控

制、授权批准控制）有救性的保证；（ 2）是企业保持高效率经营和高质量倍息的手段；（ 3）按文件记录的性质．可分为管理文件相会计记录；（ 4）文件具有客观性，不同的控制人员效果不同；


2 、管理文件：是以书面方式明确企业各级部门、各级管理人员任务、职权和责任以及企收所有的方针程序，以便企业有关人员全面 f解内部控制制度的文件。包括：组织图、岗位工作说明、方针和程序的手册、系统流程图等。

3 、会计记录（ Accounting Records），包括：凭证编号、复式记账、控制账户、账户一览表、业务分批控制、截止日期例行程序、定额备用制等。

五、实物保护1 、实物安全的含义：是指对实物资产的安全保护，它又称为

“附加保护控制” 实物安全控制主要包括以下四部分内容：2 、实物控制的内容：（ 1）限制接近，包括：现金、易变现资产、存货等；（ 2）定期盘点和比较：实物盘点、差异分析、盘点频度等；


（ 3）记录保护：（ A）应该严格限制接近会计记录的人员，以保持保管、批准和记录职务分离的有效性。

（ B）会计记录应妥善保存，以便尽可能减少受损、被盗或被毁的机会；

（ C）对某些重要资料，如定期的财务报告等，应留有后备记录，以便在遭受意外损失或毁坏时重新恢复。

（ 4）保险：是指对财物通过保险制度来减少意外事故损失进行控制。

六、职工素质控制1 、招聘惯例（ Hiring Practices） ;2 、作业标准（ Performance Standards） ;3 、培训计划（ Training Programs） ;


4 、解雇惯例（ Firing Practices） ;5 、考核与晋升（ Evaluation and Promotion Practices）6 、职工信用保险（ Fidelity Bonds）；7 、休假和工作轮换（ Vacations and Job Rotations）；8 、工作环境（ Work Environments）；七、预算控制（见下图）1 、预算（ Budgets）是以金额、数量，其它价值形式或几种形式的综合方式反映企业未来 (通常 1 年 )业务的详细计划。

2 、经营预算：经营预算是企业对一定时期经营成果的汁划，其目的是预测将来一段时期的经营成果，确定合理的收入目标以便指导和促进生产和销售，制订认可的费用限额以控制支出，确定财务须算收入的现金需求。包括销售预算、生产预算、材料预算、人工预算、费用预算等。


企业目标预算利润目标长期销售预测销售预测经营预算

销售预算生产预算

销售费用管理费用材料费用人工费用制造费用

资本预算

财务预算现金预算预计利润表预计资产负债表预计现金流量表


八、业绩报告控制和财务报告控制1 、业绩报告（ Performance Reporting）：又称责任报告，是使企业管理当局掌握信息、加强对经济活动的控制、改善经营、提高效益的重要工具，是内部报告的一种形式。

2 、业绩报告形式的内容：责任的划分、可控与不可控项目划分、报告的时间范围、差异、对报告的解释和说明。

3 、财务报告控制的形式：（ 1）财务报告编制的控制；（ 2）财务报告主要报表的控制，包括三大主要的控制；（ 3）财务报告附表的控制；（ 4）财务报表附注的控制；（ 5）财务报告报出与使用的控制；（ 6）财务报告的反馈与修正；


4 、企业主要的内部控制报告（ 1）货币资金分析报告控制；（ 2）存货分析报告控制（ 3）应收款项分析报告控制（ 4）资产分析报告控制；（ 5）经营分析控制；（ 6）成本、费用分析报告控制；（ 7）筹资和投资分析报告控制；（ 8）财务分析报告控制；九、风险评估控制（ 1）经营风险控制：经营方面原因给盈利带来的不确定性 ;（ 2）筹资风险控制：由于举债给财务成果带来的不确定性 ;（ 3）投资风险控制：投资原因给企业收益带的不确定性；（ 4）信用风险控制：由于信用活动带来的收益不确定性；


第五节内部控制的审计测试与评价一、调查和了解内部控制的整体情况1 、内部控制制度的建立情况；2 、内部控制机构和人员的配置情况；3 、内部控制工作的开展情况；4 、人们对内部控制的认识和态度；5 、内部控制手段配置情况；6 、内部控制信息系统的建立及记录的完善情况；7 、内部控制测试及评价系统的建立情况；8 、内部控制的风险约束；9 、内部控制的规范化建设等；


二、进行内部控制健全性测试和评价（一）概念：是针对被审计单位所实行的内部控制本身是否完善、是否健全所进行的测试和评价。包括：被审计单位在哪些环节采取何种措施进行控制，在评价内部控制度设计上是否存在缺陷和不足等。（二）测试和评价的主要内容1 、确定内部控制的评价模式；2 、描述现行内部控制制度；（ 1）检查内部控制制度是否已经健全；（ 2）检查控制过程的效果及薄弱环节；（ 3）检查控制方法实施与控制责任的实现；（ 4）检查控制效果及错误与舞弊的风险；


（三）健全性测试与评价的记录方法1 、记录法：也称书面说明法，是指审计人员在询问被

审计单位有关人员或查阅有关资料时，针对所了解到的内部控制情况，以文字记录形式加以描述的方法。

（ 1）优点：简便易行。（ 2）缺点：缺乏层次感和形象感，不便于资料整理和

对比分析，还可能遗漏内部控制设计中的重要环节。2 、记录表的设置和记录（ 1）可根据实际需要设计；（ 2）便于记录，各式要规范（ 3）常见各式见下表


内部控制调查记录表编号： 4-1 附件 6 张被调查单位被调查人姓名工作单位职务调查时间调查地点调查事项调查内容 1 、 2 、 3 、 ┋ n单位负责人：（签字） 2003 年 12 月31 日

调查人姓名：（签字） 2003 年 12月 31 日

被调查人姓名：（签字） 2003 年 12 月31 日

被调查人单位：（签字） 2003 年 12月 31 日


（四）健全性测试与评价的调查表法1 、概念：也称内部控制问卷法，是指审计计人员使用内部控

制调查表的形式，向被审计单位经营管理人员或相关当事人检查了解其内部控制是否健全完善的一种方法。审计人员根据其对被审计单位应具备的标准内部控制的理解，事先设计出一系列有针对性的、模式化的调查表，通过被审计单位有关人员的回答，检查其应有的各项控制措施是否存在，应该控制的关键环计是否设置，以此来判断被审计单位内部控制系统的健全程度。

2 、内部控制调查表的设计要求（ 1）确定调查项目；（ 2）确定调查内容；（ 3）确定调查步骤：确定内部控制的目标；根据目标确定

所要调查的控制点及措施；拟订具有针对性的调查问题；

根据企业内部控制的具体内容，设置全面、规范、便于使用的内部控制调查表！以下是设计举例！


3 、现金收入内部控制制度的问题式调查表设计调查部门：审计处；被调查人：王明；调查内容：现金收入内部控制制度；调查日期： 2006 年 12 月 31 日；序号调查问题回答结果被调查者签名进一步审查意见是否不适用1 现钞收入是否通过收银机？2 现金收款员是否同开票员职务分离 ?

3

是否由内部审计人员或其他独立职员核对当日现金收入和发票、现金收银机纸带或销货单？

4 邮寄汇款单是否由独立职员开启？


5 邮寄汇款单开启后是否及时记入邮寄汇款单登记薄？6 所有现金收入业务是否由两人以上职员共同处理 ?7

所有收入的现金是否逐日全部存入银行 ?8 编制的银行解款单是否同现金收入日记帐相核对 ?9 暂不解入银行的现金收入是否经过适当的审批程序 ?10各种发票或销货营业单据是否事先进行编号 ?

11

所有现金收入是否由记帐员根据发票相销贷营业单据逐项登记现金收入帐 ?

12财务经理是否定期审核邮寄汇款单登记簿、现金收入帐、银行解款单 ?


4 、现金支出内部控制制度的问题式调查表设计调查部门：审计处；被调查人：王明；调查内容：现金支出内部控制制度；调查日期： 2006 年 12 月 31

日序号调查问题

回答结果被调查者签名进一步审查意见是否不适用

1 现金支票是否在定额备用金中开支？2 备用金保管人是否同负责现金支出的审批者及负责备用金的补足和支付记录者分离？3 备用金支付时是否有授权人的审批 ?4 作为备用金开支的附属凭证，在现金支付后是否被加盖“已付讫”戳记？5 备用金是否定期清点 ?6 各备用金账是否同有关总帐金额定期核对？


7 所有支票是否事先按顺序编号？8 支票保管者是否同签署者分离？9 作废支票是否加盖“作废”戳记？10 支栗填写者是否同支票签署者分离？11 支票签发时是否有经核准的发票或其他支付凭证 ?12 支票会签制度下．每个支票签署者是否均独立审核支票及附属凭证？13 支票签署者是否得到适当的授权？14 所有支票是否均列明收款人和金额？15 支票签署后，作为签署支票的有关附属凭证是否加盖“已付讫”戳记 ?16 支票签署后是否由专人保管或管理？17 签发支票后是否计入现金日记账？18 财务主管审计及人员是否定期审查？


5 、银行往来内部控制制度问题式调查表设计调查部门：审计处；被调查人：王明；调查内容：银行往来账内部控制制度；调查日期： 2005 年 12 月 31

日序号调查问题

回答结果被调查者签名进一步审查意见是否不适用

1 银行存款户的开设或终止是否经过董事会的审批？2 调节银行往来帐的职员是否同负责现金收支或编制支付凭证的职员职责分离？3 是否定期进行银行往来帐的调节 ? 4 调节银行往来帐的职员是否直接从银行取得银行对帐单？5 调节银行往来帐时是否审核付讫支票的签署和背书？6 调节银行往来账是否进行相关的记录？


（五）健全性测试与评价的流程图法1 、概念：是审计人员以特定的话言符号，通过绘制流程图的形式，描述被审计单位内部控制情况的方法。2 、绘制流程图的步骤：（ 1）选定流程图绘制符号（见符号表）；（ 2）确定流程图控制主线；（ 3）确定流程图反映重点；（ 4）确定流程图绘制方式；（ 5）编制流程图文字说明（见现金控制流程图）；注意：全面设置控制流程，标明分支流程走向；详细注明控

制点和关键控制点；尽可能表明凭证帐表份数及去向；尽量使用符号语言，将文字语言用于“流程图说明表”。


现金控制流程图


控制点控制目标控制措施

审批

保证现金收付真实、合

法，并按照授权进行。

授权办理现金收付业务，经办人员在

现金收付原始凭证上盖章，部门负责

人审批。

审核保证现金收付真实、合

法、正确。

会计主管审核原始及记账凭证，审核

无误后盖章传递。

收付保证现金收付正确、及

时、安全。

出纳复核记帐凭证，收付现金后加盖

“ ”收（付）讫并签章。

复核保证现金收付正确和会

计核算真实。

稽核员审核现金收付记帐凭证及所附

原始凭证，并签章。

记账保证现金安全，收付正

确和会计核算真实。

出纳登记现金日记帐，会计登记相关

明细帐和总帐。

核对保证帐帐相符，会计核

算正确。

稽核员核对相关现金日记帐与相关明

细帐、总帐，误差报批后予以调整。

清点保证帐实相符，先进安

全、正确。

出纳每日盘点库存现金，登记现金结

存表，并与日记帐核对。

清查保证现金完整、正确，

帐实相符

清查小组盘点库存现金，核对日记帐，

编报现金盘点报告单。


三、进行符合性测试和评价（一）概念：是审计人员为了证实内部控制在实际工作中是否得到贯彻执行以及贯彻执行程度如何，而对在健全性评价中被认为健全或基本健全的内部控制所进行的测试评价。（二）测试和评价程序1 、确定符合性测试的范围和内容。即那些经健全性测试和评价被认为是可以信赖的内部控制构成了符合性测试的内容。（ 1）经过健全性评价被认为存在缺陷、错误或薄弱的内部控制，则应排斥在符合性测试的范围之外，直接列为实质性审计的重点内容。（ 2）对查出的内部控制缺陷，再次调查并制定补救措施；（ 3）估计内部控制缺陷的局部和对整体的影响；（ 4）测定该内部控制缺陷的重要程度；（ 5）对内部控制的健全程度作出最后的评价；


2 、确定符合性测试的数量。在确定的范围和内容内，通过采用抽样的方法确定，确定适当的抽样样本是符合性测试的重要内容之一。样本确定一般由下是确定：（ 1）重复抽样的样本容量确定

（ 2）不重复抽样样本容量的确定

在实际工作中可根据控制所发生的频率确定测试样本的数量，大体可按“符合性测试样本数量表” 确定符合性测试的样个数量，详见下表：

）Δ精确确度P)(1）P预计差错率（）T可靠度系数（

2

2 ）样本容量（n

)1()1(

22

2

PPTNNPPTn

）总体容量（）样本容量（


符合性测试样本数量表

3 、确定符合测试的方法：可采用判断抽样、整批抽样、分层抽样、系统抽样和随机抽样等方法。4 、设置并填写“符合性测试表”：该表主要包括测试项目、测试程序、测试方法和数量、测试结果、被查人员、审计人员和日期等要素（见下表）。

序号控制发生的频率建议测试的样本数量1 每月 1次 2-4

2 每旬 1次 3-8

3 每周 1次 4-10

4 每日 1次 10-25

5 全年次数在 1000次以下 25-50

6 全年次数在 1000次以上 50-100


符合性测试登记表序号测试项目测试程序测试方法和数量测试结果被测试人员测试人员即日期备注

1

核对支票、存根和支票零用登记簿查明支票零用是否登记期中检查证据。全年 30 张支票存根

30 张支票全部登记邓萍

李伟2003 年6 月 31 日

2验证电子计算机处理是否正确期中在全部业务中抽查 30个样本

有一笔业务有差错赵刚

肖明2003 年6 月 31 日

3检查支票和印鉴是否有两人分管期中实地观察合乎要求邓萍

王晓明李伟

2003 年6 月 31 日

┇


（三）内部控制符合性测试的方法1 、证据检查法1 ）概念：是指审计人员在符合性测试和评价中，抽取一定数量的收表、凭证等书面证据和其他有关证据，检查其是否存在控制措施线索，以判断内部控制是否得到有效贯彻执行的方法。

2 ）原理：被审计单位的内部控制执行情况，总要在资料文件等证据上表现出来，因此，抽查一定数量的书面证据，即可证明被审计单位制定的内部控制措施，是否在实际工作中得到执行。

3 ）符合性测试表的设计（以现金控制为例）（ 1）现金收入控制系统的测试表；


被评价单位：公司评价项目：现金收入控制系统


（ 2 ）现金支出控制系统的测试表；被评价单位：公司评价项目：现金收入控制系统


2 、重新执行：也称重复检查法，是指审计人员在符台性测试和评价中、抽取某项控制系统的几笔业务、按照被审计单位规定的业务处理程序，从头到尾地重新执行一遍、以检查这些经济业务在办理过程中是否执行了规定的控制措施，并通过其处理结果是否相符，来判断各项控制措施能否有效发挥作用的技术方法。

2 、实地观察法：是指审计人员在符合性测试和评价中、身临被审计单位的工作现场，实地观察有关人员的实际工作情况，以察看其规定的控制措施是否得到严格执行的技术方法。

4 、抽取测试样本的方法：符合作测试数星确定后，可通过判断抽洋法、整批抽样法、分层抽样法、系统抽样法和利用随机数表等方法抽取样本。至于测试样本的方法，主要使用检查证据、穿行试验和实地观察等。

5 、符合性测试与评价的其他方法（ 1）查账类方法；（ 2）技术类方法；（ 3）综合类方法等


（三）符合性评价（ 1）根据《符合性测试表》记录的测试结果，对该各个控

制系统分别作出符合性评价。（ 2 ）对现金收入控制系统，分别测试了：收款、复核、盘点和核对四个控制点。对各控制点发现的问题及补救措施等作出全面细致的评价结论，以便修正和指导今后的现金收入控制工作。特别对核酸手续规定的执行情况、现金盘点及处理等情况进行评价。

（ 3 ）对现金支出控制系统，共测试了：审批、付款、复核和盘点四个控制点。根据测试和审查结果，重点对会计手续的复合性及记账、签章等方面的情况作出评价。

（ 4 ）应用以上的方法对企业全部的控制业务进行符合性测试和评价，得出全面的测试和评价结果。


四、审计实质性测试（ Substantive test）1 、审计实质性测试的概念：是指审计人员依据对被审

计单位内部控制系统的评价结果及由此所确定的审计范围、重点和方法，为进一步搜集确切的审计证据，而直接对被审计单位有关的会计数据、会计资料及其经济活动所进行的实质性审查。因其所审查的主要是会计数据和会计资料，所以也称其为实证性测试。

2 、内部控制测试与审计实质性测试的关系内部控制的健全性测试与符合性测试属于常规性测试，

实质性测试与内部控制测试同属一个审计程序中的两个不同的组成部分，两者既有必然联系，又有实质上的区别，它们之间的联系见下附图。

内部控制的健全性测试

内部控制的符合性测试

内部控制的实质性测试


（ 1）符合性测试与实质性测试的联系复合性测试结果

（控制成功% ） 90以上 95-99 90-95 90以下对系统的最终评价优良一般差

内部控制的可信程度高中低零实质性审计要求的

置信程度 75% 80% 90% 95%


（ 2）内部控制测试与实质性测试的区别


3 、实质性测试的主要内容：（ 1 ）复阅有关经济业务的计划、预算、经济合同、批准文件、会议记录等有关文件；

（ 2）复核有关的会计账目，验证计算结果；（ 3 ）盘点有关的库存现金、材料、在产品与产成品，清理在途材料与发出商品；

（ 4）函证有关经济业务往来的存在；（ 5）验证有关经济业务项目记录的正确性；（ 6）核对相关会计资料的一致性与勾稽关系；（ 7）分析异常经济现象和重要的比率及趋势；（ 8）其他能够支持和证明审计结论的重要事项。


五、进行综合评价 1 、概念：是指在健全性测试与评价和符合性测试与评价的基础上，采用一定的程序和方法对内部控制制度的可靠性进行全面考评，作出相应评价结果优劣结论的过程。 2 、综合评价的目的：区定被审计单位内部控制制度的可靠性，从而决定对他的依赖程度、确定实质性测试的性质、范围、重点和时间安排。 3 、综合评价的内容：组织机构、各种文件、各种制度、业务处理及记录程序、授权批准执行记录核对报告等手续的完备性、人事制度、岗位责任制及其奖罚、关键控制措施、内部控制的经济性及有效性、内部控制的效果和效率等。 4 、在充分调查研究的基础上经过合理判断作出评价，在综合评价中应逐步使用综合评价的定量方法。


企业风险管理框架及其操作

第一节企业风险管理的基础理论第二节审计风险与风险导向审计理论第三节内部控制与 ERM 框架的基本要素第四节风险审计业务与风险形式审计财务报表分析案例

第六章企业风险与风险导向审计


第一节企业风险管理的基础理论一、风险的概念1 、基本含义：是指企业由于生产经营中的不确定性带来的预期目标由于各种原因而不能实现的概率或可能性。

2 、不确定性：企业的经营环境由很多因素组成诸如全球化、技术、法规、重组、不断变化的市场、和竞争都会产生不确定性。不确定性源于无法准确的确定潜在事件发生的可能性和随之带来的结果。不确定性也由于企业战略选择的不同而产生。比如，一个企业基于向国外扩张的成长型策略。这一策略随之带来的是与该国政治环境、资源、市场、渠道、劳动力和成本相关的风险和机会。


二、风险的三要素1 、风险因素：是指促使或引起风险事故发生的条件，以及风险事故发生时，只是损失增加、扩大的条件。包括：

（ 1）实质性风险因素：是指增加某一标的风险事故发生机会或扩大损失严重程度的物质条件，是有形的风险因素；

（ 2）道德性风险因素：是指与人的不正当社会行为相联系的无形因素，表现为恶意行为、不良企图等 ;

（ 3）心理性风险因素：是指由于当事人的主观疏忽或过失导致风险事故发生或损失扩大。


2 、风险事故：也称风险事件，是指引起损失的直接或外在原因，是使风险造成损失的可能性转化为现实的媒介 ;

3 、损失：是指非故意、非计划、非预期的经济价值减少的事实：

（ 1）经济价值减少：强调以货币衡量损失大小，是预期的经济价值不能完全得到实现；

（ 2）非故意、计划、预期性：与当事人的目的相违背，是当事人所不期望的结果；

4 、风险三因素之间的关系：风险因素增加或减少

风险事故风险损失

形成形成实际效果与预期结果之间的变动差额

风险发生△ ＞ 0


三、风险的度量（ 1 ）概率：用百分数或小数表示的随机事件发生的可能性。（ 2 ）期望值：是指一个概率分布中，随机变量的所有可能结果，以各自相应概率为权值计算的加权平均值。（ 3 ）标准离差：反映概率分布中各种可能结果对期望值得偏离程度；

风险度量包括：损失额、发生概率和发生频率三方面内容！

-3σ - 2σ - σ E(R) σ 2σ 3σ

68.26%

95.46%

99.74%σ

P

正态分布图

x

t

dtexF 2

2

2)(

21)(

1101

n

iii PP i

n

iiPXRE

1

)(

)(REq 标准离差（风险度）

n

iii PREX

1

2)]([


四、风险管理的概念及目标1 、风险管理的概念：是指企业为保证其战略目标的实现，由企业风险管理组织和人员组织实施，全体人员参加，对目标实现过程中的风险，本着从实际出发，务求实效、突出重点的原则，以重大风险管理的重要流程和内部控制为重点，凭借信息化平台及现代控制手段，对目标风险实施动态监控，将企业整体风险控制在风险容量与容限内的过程。包括：

（ 1）风险管理不仅仅是对风险本身的管理；（ 2）风险管理目标要符合企业战略目标要求；（ 3）企业风险管理具有偏好，主要取决于管理当局；（ 4）～（ 8 ）——详见附件

（ 4 ）企业风险管理的主体是指企业和相关人员，内容是综合的、全面的；（ 5 ）风险管理的原则：从实际出发、务求实效、以重点风险的管理和重要流程内部控制为重点；（ 6 ）风险管理的方法：采用多种管理技术与工具，并实施定性与定量相结合；（ 7 ）风险管理流程。包括：管理准备、实施、报告、监督、改进，是一个动态的过程；（ 8 ）控制要求：以实现战略目标为前提，将风险控制在风险容量与风险容限范围内。


2 、风险管理的目标：是指企业风险水平要永远控制在主体可接受的范围内，即将风险控制在总目标相适应并可接受的范围内：

（ 1 ）处理危机目标：危机是企业风险发生造成程度不同损失的状况；处理危机的目标是指根据预计要发生的风险提供危机处理解决方案，将危机造成的损失降低到最低程度的过程；

（ 2 ）把握机会目标：机会是正面影响事项发生促进价值创造和目标实现的状况，把握机会目标是指管理者能够根据事项发生的可能性抓住一切发展机会；

（ 3 ）增强风险意识目标：风险意识是对风险管理及控制的人是程度，其目标是增强全社会的风险防范意识。


五、风险管理的基础

风险管理的影响因素

宏观环境分析市场环境分析核心竞争力分析

财务状况分析技术经济分析投资组合分析

抗风险能力分析

外部环境

内部条件


1 、宏观环境分析

PEST分析

政治与法律环境

经济环境

社会及资源环境

技术环境

1 、政治环境及稳定性；2 、国家的法律、法规、政策、方针以及各种规定、制度等；3 、政府及社会团体对企业的态度；4 、国际政治环境等1 、经济发展状况及趋势；2 、经济环境：金融、税收、物价等；3 、社会消费状况及其趋势；4 、经济运行的平稳性及周期性。1 、社会的稳定性；2 、人口状况及其构成；3 、资源状况及其结构等；1 、新技术及发明的状况；2 、技术成果的转化及产品更新周期；3 、人力资源及其利用程度；4 、研究能力及状况等。


2 、市场环境分析

市场环境分析

行业分析

市场议价能力分析企业竞争策略分析

国际市场分析

1 、市场结构分析；2 、市场容量分析3 、市场占有率分析；4 、竞争状况分析等1 、企业与政府的议价能力分析；2 、企业与供应商的议价能力分析；3 、企业与客户议价能力分析；1 、价格竞争策略；2 、产品及服务差异竞争策略；3 、信用竞争策略等；1 、国际市场状况分析；2 、国内外贸易关联性分析；3 、国际市场一体化程度分析等；


3 、核心竞争力分析（ SWOT）优势（ Strengths ） : 内部因素管理结构财务状况产品质量市场份额技术水平人员素质

机会（ Opportunities ）：外部因素市场需求技术变迁政策倾斜社会热点竞争对手出现失误等

威胁（ Threats ）：外部因素客户、供应商或竞争对手发难；行业政策的变化；突发事件的影响；市场状况的变化等。

弱点（ Weakness ）：内部因素资金缺乏管理能力弱化技术老化设备陈旧缺乏技术及管理人员其他方面的弱点。


六、企业主要风险管理形式

风险管理形式

组织风险管理营销风险管理

产品开发风险管理

内部控制风险管理财务风险管理

品牌创立风险管理


七、企业风险管理框架（一） ERM框架的 348构成框架1 、三个维度——是指：企业目标、风险管理要素和企业管理层次；

2 、四方面的目标：（ 1 ）战略目标；（ 2 ）经营目标；（ 3 ）报告目标；（ 4 ）合规目标。3 、八个要素：（ 1 ）内部环境；（ 2 ）目标设置；（ 3 ）事项识别；

（ 4 ）风险评估；（ 5 ）风险应对；（ 6 ）控制活动；

（ 7 ）信息与沟通；（ 8 ）监督。


（二）企业风险管理框架的比较与选择 1 、安达信的企业风险管理模型

1 、竞争者 2 、敏感性 3 、股东关系 4 、资金充足性 5 、金融市场 6、灾难性损失 7、独立／政治 8 、法律 9 、行政管理 10 、行业环境风险

息技术信风险使用权完整性相关性可得到性基础设施

财务风险货币利率流动性结算再投资信用双边关系现金转移流速改变

廉政风险管理欺诈雇员欺诈非法行为无授权使用商誉

授权风险领导能力权力风险限制制度表现能力沟通制度激励制度

营运风险客户满意人力资源产品开发效率能力表现差异循环时间资源商品定价符合性业务中断环境健康和安全过失或损失产品或服务失败商标或产品名侵蚀

营运价格合同投入衡量结盟完整性和精确性管理报告

决策信息风险财务

预算和计划完整性和精确性会计信息财务报告评价税收养老基金投资评估管理报告

战略环境检视业务组合价值衡量组织结构资源分配计划生命周期

流程风险


2 、国际内部审计协会的风险管理框架


3 、澳大利亚与新西兰联合委员会的风险管理框架

沟通和协调

检测审核

确定范围识别风险分析风险评价风险处理风险


4 、 ERM的扩展与完善框架（中国框架）

企业风险管理框架（扩展的 ERM ）

外部环境改善

内部环境优化

事件识别风险应对

评估方法选择

内部控制活动

评估标准控制标准

控制方法确定

评估结果分析

评估标准修正

控制结果分析

控制标准修正

控制措施

考核评价标准

评价方法确定控制目标修正

评价结果分析

内部监督

生态环境净化

生态环境净化

生态环境净化

生态环境净化

控制目标设置

行业监管协会工商部门税务部门质检部门环保部门公检法部门社保部门

人才市场用户与供应商竞争对手债务与债权人资本市场社会审计其他部门

风险评估内部控制效果


第二节审计风险与风险导向审计理论一、审计风险的概念及形式（二）基本含义 :是审计机关或人员在审计过程中，由于种种原因对审计事项判断失误，发表了与事实真相不相符的审计评价或结论，造成被审计人或单位与之有关方面的损失，引起审计主体承担这种损失责任的可能性。包括：

（ 1 ）错误接受风险：是指被审计单位或被审计人的经济活动存在着严重的差错和舞弊，而审计机关或人员却未能发现，发表了无保留意见。

（ 2 ）错误拒绝风险：是指被审计单位或被审计人的经济活动不存在重要的差错和舞弊，但审计机关或审计人员对此予以拒绝，发表了保留意见。


（二）重大差异或缺陷风险1 、基本含义：是指被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性；

2 、评估重大差异或缺陷风险应考虑的因素（ 1 ）管理层的品德和能力；（ 2 ）管理层遭受的异常压力；（ 3 ）要岗位人员的变动情况；（ 4 ）经营活动的复杂性；（ 5 ）影响被审计单位的环境因素；（ 6）容易受损失或被挪用的资产；（ 7）经营活动中运用估计和判断的程度；（ 8 ）内部控制设计及执行情况的预估；（ 9 ）其他因素。


3 、评估重大差异或缺陷风险程序（ 1 ）询问被审计单位相关人员及组织相关管理层；（ 2 ）查阅被审计单位的业务手册、内部控制手册、规

章制度等基础性资料；（ 3 ）查阅被审计单位的战略规划、年度经营计划、财务预算等文件；

（ 4 ）检查交易或事项的凭证和记录；（ 5 ）观察被审计单位的经营活动以及内部控制的执行

情况等；（ 6）选择若干交易进行测试；（ 7）根据测试结果并进行综合评价确定风险状况。


（三）检查风险1 、重大差异或缺陷风险对检查风险有直接影响（ 1 ）重大差异或缺陷风险水平越高，内部审计人员就应实施更为详细的检查程序；

（ 2 ）检查风险必须通过控制降低到可接受的水平；2 、检查风险的影响因素（ 1 ）抽样审计方法的应用；（ 2 ）内部审计人员的专业胜任能力及职业道德水准；（ 3 ）内部审计人员所用审计方法的适当性及有效性；（ 4 ）其他；


二、风险导向审计概念及其特点1 、概念：是指审计人员采用抽样的方式对被审计对象按照一定原则和要求抽取一定的样本，并按根据相关的依据和准则进行审计鉴证，利用抽样样本的结果来推断审计对象状况而发生失误的概率审计方法；

2 、风险导向审计的特点（ 1）主要采用抽样审计的方法；（ 2）需要很强的职业判断；（ 3）主张利用内部控制来降低风险；（ 4）重视环境建设和风险评估等。


三、风险导向审计框架（一）企业风险导向审计的基本思路1 、审计前风险分析（ 1 ）选择审计项目时进行风险因素分析；（ 2 ）制定审计计划时考虑风险程度；（ 3 ）进入被审计单位前进行风险教育；2 、审计实施过程中风险分析（ 1 ）及时了解与掌握最新的环境变化动向；（ 2 ）定期评估风险并召开风险分析碰头会；（ 3 ）提前准备风险应对安排；（ 4 ）定期提供风险分析报告；


3 、审计终结阶段的风险分析（ 1 ）加强审计复核并慎重下结论；（ 2 ）结论与报告充分考虑风险因素；（ 3 ）加强对前期经验的借鉴与对未来结果的预测；（ 4 ）注重总结风险审计经验，并使之程序化、制度化。（二）风险导向审计框架构建原则 1 、便于审计人员的专业判断； 2 、有利于审计业务划分及简化审计工作； 3 、能够体现风险管理的成本效益原则； 4 、体现风险管理的定性与定量相结合特征； 5 、便以提高审计的效率和效益。


（三）风险导向审计框架构结构

风险因素分析

审计计划编制

选择审计项目

审计方案制定

选择审计程序与审计方法

风险导向的审计过程审计复核

审计发现

审计结论与建议

提交审计报告

后续审计与审计评价


四、审计重要性标准的判断基础 1 、判断基础：是指审计人员在采用抽样方式进行审计时，确定抽样风险误差指标的依据或基础指标。通常包括经营活动的业务量、业务的复杂性、内部控制的执行频率、资产总额、收入总额等。

2 、确定重要性标准量的方法：固定比率法和变动比率法。（ 1 ）固定比率法：即在选定的判断基础后，乘上一个固定百分比求出审计对象层次的重要性水平，报表审计初步判断重要性水平时常用的量化指标有：

（ A）税前净利润的 5-10%;（净利润较小时 10% ，较大时 5% ）

（ B ）资产总额的 0.5-1% ；（ C）净资产的 1% ；（ D）营业收入或总收入的 0.5-1% ；


（ E ）我国上市公司报表审计重要性程度的判断基础： ① 总资产或总收入的百分比为基数； ② 选择依据：参考世界四大会计师事务所的做法； ③ 四界四大会计师事务所：普华永道（ PWC）、毕马威

（ KPMG）、德勤（ DDT）和安永（ EY）；（ 2 ）变动比率法：判断基础乘以一个变动比率的方法。3 、审计重要性判断基础确定应考虑的因素：（ 1 ）考虑项目本身在报表中所占的金额比重；（ 2 ）审计的难易程度；（ 3 ）发生差错的可能性；（ 4 ）项目受关注的程度；（ 5 ）审计成本的最小化等。


五、风险识别过程的内部审计1 、基本要求：（ 1 ）实施必要的审计程序（ 2 ）重点关注组织面临的内、外部风险的确认。2 、内部风险：是指内部环境中对组织目标的实现产生影响

的不确定性，其主要来源于以下因素：（ 1 ）组织治理结构的缺陷；（ 2 ）组织经营活动的特点；（ 3 ）组织资产的性质以及资产管理的局限性；（ 4 ）组织信息系统的故障或中断；（ 5 ）组织人员的道德品质、业务素质未达到要求；（ 6）其他。


3 、外部风险：是指外部环境中对组织目标的实现产生影响的不确定性，其主要来源于以下因素：

（ 1 ）国家法律、法规及政策的变化；（ 2 ）经济环境的变化；（ 3 ）科技的快速发展；（ 4 ）行业竞争、资源及市场变化；（ 5 ）自然灾害及意外损失；（ 6）其他。4 、内部风险和外部风险的关系（ 1 ）两者构成整体风险；（ 2 ）内部风险是控制的核心；（ 3 ）外部风险一般不可控制，只能适应；（ 4 ）可通过提高内部风险管理和改善环境减少整体风险。


六、风险评估过程的审计 1 、基本要求：（ 1 ）实施必要的审计程序；（ 2 ）关注重点要素；（ 3 ）评价风险评估方法的适当性和有效性；2 、风险评估过程的重点要素（ 1 ）风险发生的可能性；（ 2 ）风险对组织目标的实现产生影响的严重程度；3 、风险评估的方法（ 1 ）定性方法，是指运用定性术语评估并描述风险发生的可能性及其影响程度。具体方法见前。

（ 2 ）定量方法，是指运用数量方法评估并描述风险发生的可能性及其影响程度。具体方法见前。


4 、审计人员审查风险评估方法重点考虑的因素（ 1 ）已识别的风险的特征；（ 2 ）相关历史数据的充分性与可靠性；（ 3 ）管理层进行风险评估的技术能力；（ 4 ）成本效益的考核与衡量；（ 5 ）其他。5 、内部审计人员评价风险评估方法应遵循的原则（ 1 ）定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性；

（ 2 ）在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；

（ 3 ）定量方法一般情况下会比定性方法提供更为客观的评估结果。


七、风险应对审计1 、基本要求（ 1 ）实施适当的审计程序；（ 2 ）根据风险评估结果作出的风险应对措施；（ 3 ）评价风险应对措施的适当性和有效性；2 、风险管理的具体应对措施（ 1 ）回避，是指采取措施避免进行可产生风险的活动；（ 2 ）接受，是指由于风险已在组织可接受的范围内，因而可以不采取任何措施；

（ 3 ）降低，是指采取适当措施将风险降低到组织可接受的范围内；

（ 4 ）分担，是指采取措施将风险转移给其他组织或保险机构的方法。


3 、评价风险应对措施适当性和有效性应考虑的因素（ 1 ）采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内；

（ 2 ）风险应对措施对本组织经营、管理特点的适用性；（ 3 ）成本效益的考核与衡量；4 、审计结果要求（ 1 ）内部审计人员应向组织适当管理层报告审查和评价风

险管理过程的结果；（ 2 ）内部审计人员应向适当管理层提出具体改进建议；（ 3 ）审查和评价结果应反映在内部控制审计报告中；（ 4 ）必要时应出具风险管理的专项审计报告。


一、审计抽样的概念是指内部审计人员在审计活动中采用适当的抽样方法从被审查和评价的审计总体中抽取一定数量有代表性的样本进行测试，以样本审查结果推断总体特征并作出相应结论的过程。

二、确定抽样总体、选择抽样方法时应考虑的因素1 、以审计目标为依据；2 、考虑被审计单位的实际情况：（ 1 ）被审计单位内部控制制度的健全情况；（ 2 ）被审计单位审计样本资料的多少；（ 3 ）被审计单位经营状况及可借鉴的资料；（ 4 ）其他；

第三节审计抽样


3 、考虑审计项目的具体情况：（ 1 ）审计项目的性质；（ 2 ）审计项目可借鉴的资料；（ 3 ）审计项目的规模及成本（ 4 ）其他情况。三、确定抽样总体当遵循的原则 1 、相关性原则，相关性是指抽样总体与审计目标相关。相

关性原则是指确定抽样总体主要考虑与决策相关的样本；2 、完整性原则，完整性是指抽样总体的内容能全面反映项

目的实际情况。完整性原则是指确定抽样总体要考虑全部的审计样本；

3 、经济性原则，经济性是指抽样总体的确定应符合成本效益原则。经济性原则是指确定抽样总体确定要考虑成本的最低化和利润的最大化的原则。


四、审计抽样的基本方法1 、统计抽样：是指以数理统计方法为基础，按照随机原则从总体中选取样本进行审查，并对总体特征进行推断的审计抽样方法。主要包括发现抽样、连续抽样等属性抽样方法，以及单位均值抽样、差异估计抽样和货币单位抽样等变量抽样方法。

（ 1 ）按照随机原则抽样；（ 2 ）能够科学地确定样本规模；（ 2 ）能量化和控制抽样风险；（ 4 ）具有定量分析的特征；2 、非统计抽样方法：是审计人员根据自己的专业判断和经验进行抽样和推断总体的方法。

（ 1 ）抽样具有主观性；（ 2 ）很难量化和控制抽样风险；（ 3 ）抽样结果依赖于经验水平和判断能力；


五、审计抽样的一般程序(1) 根据审计目标及审计对象的特征制定审计抽样方案；(2) 选取样本；(3) 对样本执行审计测试；(4) 评价样本；(5) 根据样本评价结果推断总体特征；(6) 形成结论。六、审计抽样方案的主要内容1 、审计抽样方案的概念：是指内部审计人员依据审计目标

制定的实施审计抽样行动计划的具体化。


2 、审计抽样方案的主要内容（ 1 ）审计总体：是指审计对象的各个具体单位组成的整体 ;（ 2 ）抽样单位：是指构成审计总体的单位项目；（ 3 ）样本：是指在抽样过程中从审计总体中抽取的部分单位组成的整体；

（ 4 ）误差：是指经营活动及内部控制中存在的差异或缺陷 ;（ 5 ）可容忍误差：是指内部审计人员所愿意接受的差异或

缺陷的最大程度；（ 6）预计总体误差：是指内部审计人员预先估计的审计总体中差异或缺陷发生的概率；

（ 7）可靠程度：是指预计抽样结果能够代表审计总体质量特征的概率；


（ 8 ）抽样风险，是指内部审计人员依据抽样结果得出的结论与总体特征不相符合的可能性；

（ 9 ）样本量，是指能够使内部审计人员对审计总体作出审计结论所确定的抽样单位的数量；（ 10 ）其他因素。

七、预计总体误差、可容忍误差和可靠程度1 、预计总体误差：是指内部审计人员根据前期审计所发现

的误差、被审计单位经营业务和经营环境变化、内部控制的评价及其分析性复核的结果等，来估计和推断审计对象的总体误差。

2 、可容忍误差：是指内部审计人员根据审计抽样可以达到的预期目的确定的能够接受的审计对象总体的最大误差。

3 、可靠程度：是指预计抽样结果能够代表审计对象总体特征的百分比，即可新兰程度的百分比。


八、内部审计人员获取审计证据的方法1 、审计证据：内部审计人员在执行审计业务过程中，为形

成审计意见所获取的证据。2 、获取审计证据的基本方法（ 1 ）选择审计样本；（ 2 ）按照审计方案的要求对样本进行审计；（ 3 ）实施必要的审计程序；3 、取得审计证据应注意的问题（ 1 ）抽样审计证据主要来自样本，样本要符合总体特征；（ 2 ）在对样本进行审计时要选择有效的方法；（ 3 ）利用样本结果推断总体要符合审计程序；


九、抽样结果的评价（一）风险评估的形式1 、抽样风险评估：是指采用一定的方法和程序对抽样审计产

生风险的结果进行的评价与估计 ;2 、非抽样风险评估：是对抽样之外的审计风险进行的评估 ;（二）抽样风险及其类型1 、抽样风险：是由于抽取的样本不能代表总体特征，从而导致不恰当结论所带来的风险。

2 、基本类型：抽样风险包括以下几类：（ 1 ）错误接受风险，是指样本表明审计项目不存在重大差异或缺陷，而实际上却存在着重大差异或缺陷的可能性；

（ 2 ）错误拒绝风险，是指样本表明审计项目存在重大差异或缺陷，而实际上并没有存在重大差异或缺陷的可能性。


（三）非抽样风险及形成原因1 、非抽样风险：是由抽样之外的其它因素造成的风险。2 、形成原因：（ 1 ）审计程序设计及执行不恰当；（ 2 ）抽样过程没有按照规范程序执行；（ 3 ）样本审查结果解释错误。（四）抽样结果的评价1 、抽样结果评价：是指内部审计人员对样本实施必要的审

计后，对抽样结果进行的评价，有定量评价和定性分析。2 、定量评价：是指采用定量的方法对抽样审计结果的质量进行评价，常用的方法有误差分析法，风险度两法等。

3 、定性评价：是指采用综合分析，专家意见、指标分析等非定量的方法对抽样审计结果的质量进行评价的方法。

4 、抽样结果的评价是合理推断审计总体特征的依据。


第四节企业风险审计业务与风险形式审计一、风险导向审计业务范围1 、风险导向贯穿企业全部的审计业务形式（ 1 ）财务收支审计；（ 2 ）经济责任审计；（ 3 ）管理审计；（ 4 ）绩效审计；（ 5 ）固定资产审计；（ 6）公司治理审计；（ 7）公司并购审计；（ 8 ）内部控制审计；（ 9 ）其他一切已经开展及将要开展的审计工作。2 、风险导向贯穿企业全部的审计业务内容（ 1 ）企业供、产、销业务审计；（ 2 ）筹资与投资业务审计；（ 3 ）特殊业务审计等。


3 、风险导向审计包括对风险形式的审计（ 1 ）对风险形式的审计属于管理审计；（ 2 ）风险形式审计不能脱离具体业务内容；（ 3 ）不能把风险（导向）审计理解为对风险的审计。二、企业的主要审计业务（ 1 ）战略管理审计；（ 2 ）预算管理审计；（ 3 ）人力资源（资本）管理审计；（ 4 ）信息系统审计；（ 5 ）筹资审计；（ 6）流动资产审计；（ 7）长期资产审计；（ 8 ）负债审计；（ 9 ）所有者权益审计；（ 10 ）报表审计；（ 11 ）工程项目审计；（ 12 ）营销审计；（ 13 ）成本审计；（ 14 ）税务及筹划审计；（ 15 ）特殊业务审计；（ 16）其他业务审计。


三、企业主要风险形式审计(一 )组织机构风险审计1 、组织机构：是指由不同职能部门构成的，维持组织正常运行的权力结构、职能结构、层次结构的统称。组织机构具有明显的形式，具有自我优化的功能。

2 、传统组织机构形式（ 1 ）直线制：高层直接管理到基层的组织机构；（ 2 ）直线职能制：在直线制的各领导层设置职能部门；（ 3 ）事业部制：按照地域、市场和产品等设立事业部，各

事业部独立经营，但不独立核算、自负盈亏的组织形式；（ 4 ）矩阵制：是指母公司或集团公司按照行业、产品、市场或地域将分公司或子公司划分为形似矩阵的组织机构；


3 、公司制组织机构形式

（ 1 ）两层代理、四权分离的制约关系；（ 2 ）国外股份公司组织机构介绍；（ 3 ）我国的公司治理

股东大会

董事会

总经理

监事会


4 、组织机构风险审计框架组织风险审计规划

战略目标风险初评审计方案资源分配

风险识别风险分析风险评价实施审计

组织风险审计实施

审计总结


4 、组织机构风险审计的主要内容（ 1 ）机构设置的合理性审计（ 2 ）组织职能的有效性审计；（ 3 ）组织目标与机构形式的一致性审计；（ 4 ）组织机构运行的效率与效益审计；（ 5 ）组织机构运行有效性的综合评价。5 、组织机构审计的风险防范（ 1 ）加强对组织机构的考核与评价；（ 2 ）实施必要的组织风险评估与应对；（ 3 ）不断改进与完善组织自机构设置；（ 4 ）实施必要的审计程序选择有效的审计方法。


（二）经营风险审计1 、经营风险的产生

企业总企业总目标目标

具体目标具体目标

利润增长 10％

变动成本增长 30％固定成本0 增长收入增长 20％

价格采购…成本核算人力资源…关键因素关键因素营销物流… 生产管理企业经营风险的形成企业经营风险的形成 —— ——预期利润目标不能实现的概率预期利润目标不能实现的概率


22 、经营风险管理系统、经营风险管理系统设定风险管理流程

目的及目标共同语言结构

决策资料订立策略

避免利用接受

转移减低不断的改善管理能力

设计或引进管理能力

监察风险管理表现

评估风险验明来源量度


3 、营销管理风险审计程序

营销风险审计目标及计划

营销风险识别审计

营销风险分析与评价

风险甄别

风险程度判断

风险威胁

风险管理成本测量

风险管理效益判断

风险征兆捕捉与预警

合理性有效性审核


4 、营销风险审计的内容（ 1 ）营销识别审计，包括：营销组织结构、营销

文件、营销财务报告、营销流程、营销调查、营销问卷分析等。

（ 2 ）营销风险分析与评价审计，包括：风险甄别、风险程度判断、风险威胁等。

（ 3 ）营销风险管理结果审计，包括：风险管理成本测量、风险管理效益判断、风险征兆的捕捉与预警等。


（三）产品开发风险审计1 、产品开发及其风险（ 1 ）概念：是指企业及研发单位采用一定的手段，在特技

术经济条件下，研制与创造新产品的过程；（ 2 ）产品开发风险：是指企业及研发单位所开发的产品达

不到预期目标所产生的损失及其这种损失发生的可能性；2 、产品开发风险审计——是指企业及研发单位对其产品研

发的过程及其效果，实施一定的程序，采用特定的方法，检查与审核可能发生风险的可能性实施的全面审计；

（ 1 ）审计难度较大；（ 2 ）带有很强的不确定性；（ 3 ）发生风险的周期相对较长。


3 、产品开发风险审计产品开发风险审计计划与方案新产品评价指标体系建立

产品开发战略、策略、计划风险审计产品开发创新能力风险审计产品开发业务风险测试与评价

方案及筛选风险审计设计方案及效能审计试制过程与结果审计试制方案与运行结果审计

审计决定与建议


（四）品牌创立风险审计1 、品牌创立及其风险（ 1 ）概念：品牌是产品或企业的标志，品牌价值

是品牌效应所带来的未来递增现金流的贴现值，创立品牌需要很大的投入及较长的培育时间；

（ 2 ）品牌创立风险：是指企业为培育品牌投入一定的开发费应，经过特定的开发期间，而发生品牌开发失败或达不到预期目标的概率；；

2 、品牌创立风险审计——是指企业对企业品牌创立过程及其效果可能发生失败或达不到预期目标的可能性实施的全面审计；


3 、品牌创立风险审计

（ 1 ）品牌创立需要长期且持续的投资；（ 2 ）品牌创立需要有效的策略与适当的投入。

品牌风险审计目标及范围品牌计划与方案风险审计

品牌风险管理的系统性审计品牌风险管理的合理性审计品牌老化风险审计品牌效益风险审计

审计决定与建议审计总结与评价


（五）财务风险审计1 、财务风险：又成为筹资风险，是指由于举债而给企业财务带来的不确定性。

2 、财务风险审计：即采用一定的方法和审计程序，对企业产生财务风险的事项、过程及结果实施的管理审计。

3 、主要财务风险审计事项（ 1 ）筹资程序及过程的风险审计；（ 2 ）贷款利率风险审计；（ 3 ）负债资金的流动性风险审计；（ 4 ）负债资金的通货膨胀风险审计；（ 5 ）负债资金利用效果风险审计


（六）内部控制风险审计1 、内部控制风险：即企业实施内部控制发生失效、低效或意外事故而是内部控制发生损失或不能实现预期控制目标的概率；

2 、内部控制风险审计的主要内容控制环境状况审计；控制目标设置效果审计控制事项识别状况审计；风险评估效果审计；风险应对效果审计；信息系统状况审计；控制者沟通效果审计；控制活动过程审计；监督状况审计；综合评价。


报表分析案例

四川长虹与深康佳财务状况比较分析

南京航空航天大学会计学系


主讲人联系方式姓名：孙涛单位：南京航空航天大学会计学系住址：南京市御道街29号电话 :(025)84893060 （ 0） 84236229（ H）

M P ： 13951941170 邮编： 210016 E-mail: [email protected]

企业内部控制及其审计

Documents

Transcript of 企业内部控制及其审计

企 业 内 部 控 制 及 其 审 计

Documents

Transcript of 企 业 内 部 控 制 及 其 审 计

企业内部控制及其审计

Transcript of 企业内部控制及其审计