CIA辅导第三科：信息技术部分

2010年CIA后续教育

风险管理、内部控制与内部审计1CIA后续教育内部审计计是一项为为了增加组织织的价值值和改善组织织的运营营所进行的的独立的、、客观的确认和咨询活动。它它通过采采取系统化、、规范化化的方法评价和改改进组织的风风险管理理、控制制及治理理过程的的有效性，帮助组组织实现其目目标。2CIA后后续教育育国际内部部审计实实务标准准框架（IPPF）3CIA后后续教育育4CIA后后续教育育新版IPPF所所作的重重大改变变是：(1)程程序改进进。加强强IPPF的各各个部分分，提高高了透明明度并确确定了权权威标准准的修订订周期。。标准的的修订周周期目前前确定为为三年。。尽管并并非每三三年都需需要进行行修改IIA仍仍致力于于确保对对标准作作全面的的审核，，并视需需要进行行修订。。(2)发发展与实实务帮助助。这二二部分不不再纳入入框架体体条。它它曾经包包含了内内部审计计师在工工作过程程中可能能会用到到的所有有资源((例如培培训、出出版物和和研究报报告等))。由于于新版IPPF的范围围只包括括上述的的权威标标准，这这项内容容不再适适合于新新的框架架。(3)释释义。这这是新增增的对标标准中的的术语和和短语作作出的进进一步阐阐释，置置于需要要加以解解释的相相关标准准条款之之下。(4)实实务公告告。这部部分内容容在范围围上己经经缩减为为只包括括用于实实施“内内部审计计定义””、《职职业道德德规范》》和《标标准》的的技术和和方法。。原框架架中涉及及工具或或技术方方法的内内容已经经移至实实务指南南部分。。(5)实实务指南南和立场场公告。。这是IPPF新增的的内容。。实务指指南侧重重于在工工具和技技术的具具体运用用方面提提供指引引，包括括详细的的流程、、程序、、方案和和步骤((例如每每一步所所形成结结果的范范例)。。立场公公告表明明IIA关于内内部审计计在特定定事项中中的角色色及职责责所持的的立场或或观点。。5CIA后后续教育育IPPF包括两两类指南南：1、强制性指指南，包括：内内部审计计定义；；职业道道德规范范；内部部审计实实务标准准。《标准》》的强制制性质通通过使用用“必须须”一词词加以强强调。《《标准》》中用““必须””特指无无条件的的强制性性要求。。在某些些例外情情况下使使用“应应当”一一词来表表示期待待相关要要求得到到遵守，，除非根根据专业业判断所所涉情形形允许偏偏离《标标准》的的要求。。遵循强强制性指指南的要要求对于于内部审审计师和和内部审审计部门门有效地地履行职职责是至至关重要要的。《《职业道道德规范范》要求求内部审审计师依依据《标标准》提提供内部部审计服服务。内内部审计计师是指指国际内内部审计计师协会会会员、、已经或或正在获获取IIA职业业教育资资格的人人员以及及按照内内部审计计定义的的界定提提供内部部审计服服务的人人员。强制性指指南适用用于提供供内部审审计服务务的个人人或机构构。6CIA后后续教育育IPPF包括两两类指南南：2、强力力推荐的的指南，，包括：：立场公公告；实实务公告告；实务务指南。。强力推推荐的指指南通过过了IIA的认认可，由由IIA国际技技木委员员会按照照规定的的流程制制定。这这类指南南不具有强强制性，而是为为满足强强制性指指南的要要求提供供一系列列适用的的解决方方案。强强力推荐荐的指南南并非旨旨在为特特定情况况给出明明确的答答案，因因此更宜宜于用作作指引。。针对特特定的具具体情况况，IIA建建议可以以寻求独独立专家家的意见见。强力力推荐的的指南可可以由胜胜任的内内部审计计师凭借借其专业业判断加加以运用用。7CIA后后续教育育培训大纲纲第一讲：：内部控制制原理与与定义第二讲：：内部控控制环境境第三讲：：风险管理理与风险险评估第四讲：：应用控制制评估与与测试第五讲：：内部控制制衡量与与报告8CIA后后续教育育一、概述述二、《企业内内部控制制基本规规范》三、内部部控制理理论与实实务发展展第一讲：：内部控控制原理理与定义义9CIA后后续教育育目前，企企业内部部控制系系统的设设计主要要有三种种形式：：

——外包包给四大大会计师师事务所所；

——企业业自行设设计；

——自行行设计与与外包相相结合。。10CIA后后续教育育谁对内部部控制系系统负责责?最高管理理层负有有对内部部控制系系统的组组织实施施的责任任；董事会负负有监督督责任；；外部和内内部审计计师负有有评估内内部控制制有效性性的责任任；谁担当设设计和实实施内部部控制的的重任？？11CIA后后续教育育二、我国国《企业业内部控控制基本本规范》》12CIA后后续教育育《企业内内部控制制基本规规范》2008年6月月，在借借鉴和吸吸收国际际监管新新理念的的背景下下，我国国财政部部、审计计署、证证监会、、银监会会和保监监会五部部委联合合印发了了《企业业内部控控制基本本规范》》（财会会[2008]]7号））。这一被称称为中国国版《萨萨•奥法案》》的《企企业内部部控制基基本规范范》是我我国第一一部加强强和完善善企业内内部控制制系统，，提高企企业经营营管理水水平和风风险防范范能力，，促进企企业可持持续发展展，维护护社会主主义市场场经济秩秩序和社社会公众众利益的的重要法法规文件件。13CIA后后续教育育基本规范范的特点点该规范的的实施给给不少企企业带来来脱胎换换骨的影影响，意意味着中中国企业业内控规规范体系系建设正正在向国国际标准准靠拢（（主要借借鉴美国国COSO报告告）；大力强化化内部控控制是进进入美国国资本市市场的“入门证证”和““通行证证”；对企业每每一项经经营活动动强调过程控制制；以财务报报告真实实完整的的内部控控制为主主线，以以防范风风险和控控制舞弊弊为中心心。(公司治治理?))14CIA后后续教育育内部控制制定义、、目标和和要素定义：内部控制制是由董董事会、、监事会会、经理理层和全全体员工工实施的的、旨在在实现控控制目标标的过程程。控制目标标：合理保证证企业((1)经经营管理理合法合合规；((2)资资产安全全；((3)财财务报告告及相关关信息真真实完整整；(4)提提高经营营效率和和效果；；(5)促进进企业实实现发展展战略。。要素：基本规范范在形式式上借鉴鉴了COSO内部控控制5要要素框架架；在内容容上体现现了COSO风险管管理8要要素框架架的实质。。15CIA后后续教育育根据《企企业内部部控制基基本规范范》的执执行要求求，自2009年7月月1日起起在上市市公司范范围内施施行，鼓鼓励非上上市的大大中型企企业执行行。上市市公司应应当对本本公司内内部控制制有效性性进行自自我评估估，披露露年度自自我评价价报告，，并可聘聘用具有有证券、、期货业业务资格格的会计计师事务务所对内内部控制制的有效效性进行行审计。。16CIA后后续教育育实施难度度和主要要问题（1）政政出多门门，标准准要求不不统一；；（2）企企业无所所适从，，缺乏内内在动力力；（3）实实施内部部控制的的成本巨巨大；（4）缺缺乏内部部控制系系统设计计、执行行和评估估的专业人人才；（5）未未能将内内控合规规性成本本转化为为增强企企业核心竞竞争力的的优势。。17CIA后后续教育育内部控制制的演变变内部牵制制内部控制制制度内部控制制结构内部控制制整合框框架企业风险险管理整整合框架架18CIA后后续教育育引发内部部控制法法规出台台的国际际背景1992年，COSO———美国反反欺诈财财务报告告委员会会（TreadwayCommittee））发起组组织委员员会发布布《内部部控制———整合合框架架》构建建了由三三个目标标和五项项要素组组成的内内部控制制框架。。该框架的的发布和和广泛采采用标志着内内部控制制开始在在理论上上和实务务上走出出审计范范畴，从而成成为企业业整个管管理体系系的有机机组成部部分，同同时该框框架也为为企业内内部控制制评价提提供了指指导。19CIA后后续教育育与内部控控制立法法相关的的历史事事件1977年美国国会会通过了了《反海外贿贿赂行为为法》;20世纪80年代，美美国华尔尔街发生生了许多多金融机机构破产产的事件件，给纳纳税人造造成了1500亿美元的的损失。。财务报报告舞弊弊案件很很多，但但随后的的调查发发现几乎乎所有案案件中审审计师都都没有发出出预警的的信号。1985年，COSO发起成立立了美国国反欺诈诈财务报报告委员员会（TreadwayCommission），责成成该委员员会调查查公司治治理中存存在的问问题。20CIA后后续教育育1987年，TreadwayCommission在其报告告中指出出：大多多金融机机构破产产的原因因一半以以上是内内部控制制失效，，该报告告引起了了各界广广泛的关关注。1992年，COSO在《《内部控控制———整合框框架》中中提出了了内部控控制报告告的框架架，规定定内部控控制报告告应着重重说明控制系统统的有效效性。21CIA后后续教育育COSO的五大成成员机构构COSO是“CommitteeofSponsoringOrganization””的英文简称称，是致致力于通通过商业业道德、、有效的的内部控控制和公司治理理来改进进财务报报告质量量的民间间组织。。1985年COSO成立，目目的是共共同发起起组建美美国反欺欺诈财务务报告委委员会。。COSO的五大成成员机构构如下：：

——美国注册册会计师师协会（（AICPA）——美国会计计师学会会（（AAA）——美国财务务执行官官协会（（FEI）——国际内部部审计师师协会（（IIA）——美国管理理会计师师协会（（IMA）22CIA后后续教育育《2002年上市公公司会计计改革和和投资者者保护法法案》(“Sarbanes-0xleyAct””,SOX）亦称《萨班斯-奥克斯利利法案》(简称《萨•奥法案》)。由于该法法案80%的内容或或措施都都与内部部控制有有关，故故被称为为是内部部控制法法案；亦亦称为“2002年公公司与刑刑事欺诈诈责任法法案”（theCorporateandCriminalFraudAccountabilityActof2002）。。23CIA后后续教育育《萨••奥法法案》的的意向是是增强投投资者及及公众对对财务报报告和公公司治理理的信任任感。《《萨••奥法法案》的的七个意意向目标标包括如如下内容容：1、恢恢复公众众对公司司会计报报告的信信任感；；2、促促使公司司高级管管理层对对其行为为更加负负责；3、增增强财务务系统、、披露以以及内部部控制措措施；4、鼓鼓励和支支持自行行检举者者；5、确确保保留留必需的的证据；；6、增增强董事事会，尤尤其是董董事会审审计委员员会的监管职责责；7、增增强独立立审计师师的独立立性。《萨••奥法法案》的的意向目目标24CIA后后续教育育20世纪纪80年年代,内部控制制是企业业管理的的重要内内容，检检查和评评价内部部控制制制度是否否适当、、有效和和具有可可操作性性是内部部审计的的重要工工作。从从1991年开开始，世世界许多多大公司司开始了了兼并、、重组和和公司治治理的过过程，企企业面临临的风险险普遍增增大。25CIA后后续教育育20世纪纪80年年代,内部控制制是企业业管理的的重要内内容，检检查和评评价内部部控制制制度是否否适当、、有效和和具有可可操作性性是内部部审计的的重要工工作。从从1991年开始，，世界许许多大公公司开始始了兼并并、重组组和公司司治理的的过程，，企业面面临的风风险普遍遍增大。。26CIA后后续教育育20世纪纪90年年代———风险管管理取代代内部控控制企业兼并并重组实实行多样样化经营营，进入入了众多多以前未未涉及的的领域；；实施国际际化发展展战略，，控制链链大大延延长；信息技术术在经营营管理中中广泛应应用导致致计算机机犯罪增增加。在这种情情况下，，企业开开始注重重风险管管理，内部审计重点点从以制制度为基基础审计计(内部控控制评审审）转向以风风险为基基础审计计，或称称风险导导向审计计。27CIA后后续教育育21世纪纪初———螺旋式式回归内内部控制制2001年（企企业兼并并重组改改革10年后）），上述述公司财财务丑闻闻的出现现，使许许多公司司面临一一些灾难难性问题题。同时时，也影影响了注注册会计计师事务务所的信信誉和形形象，各各大会计计师事务务所修改改了审计计制度方方面的要要求，例例如，会会计师事事务所不不能同时时做审计计和咨询询业务。。28CIA后后续教育育回归内部部控制的的重要原原因2002年《萨萨•奥法法案》对对加强内内部控制制和设立立审计委委员会的的强制性性法律要要求。29CIA后后续教育育30CIA后后续教育育风险管理理框架战略目标经营目标报告合法目目标标目标制定定事项识别别风险评估估风险反应应控制活动动信息沟通通监控公司部门业务子公司等等分支机机构内部环境境31CIA后后续教育育八要素与与五要素素关系内部环境境目标制定定事项识别别风险评估估风险反应应控制活动动信息沟通通监控内部环境境风险评估估控制活动动信息沟通通监控32CIA后后续教育育要素----五要要素及其其相互关关系监控控制活动动风险评估估内部环境境信息沟通信息沟通基础手段保证载体依据33CIA后后续教育育萨班斯·奥克斯利利法案（Sarbanes-OxleyAct))对内部控控制要求求；作为统一一公司的的制度和和流程的的基础；；及开始建立立与现代代企业制制度相适适应的公公司治理理结构和和控制环环境。34CIA后后续教育育美国的萨萨班斯··奥克斯斯利法案案（Sarbanes-OxleyAct))所有在美美国上市市的公司司均需遵遵行强调外部部会计师师的独立立性关注公司司内部治治理及对对外信息息透明、、完整与与正确性性以强化内内部控制制为核心心的要求求外部压力力－法案案的强制制性35CIA后后续教育育美国的萨萨班斯··奥克斯斯利法案案（Sarbanes-OxleyAct))需符合规规定的时时间：提交截止止2005年底底的经审审计师鉴鉴证的内内部控制制报告根据我们们的经验验，美国国类似规规模的上上市公司司需要一年以上的时时间进行行准备。。项目的紧紧迫性36CIA后后续教育育只针对萨萨班斯··奥克斯斯利法案案的要求求和财务报报告有关关的部分分覆盖的业业务主体体37CIA后后续教育育内部控制制绝对不是：静态的结结构；某一层次次人员的的任务（（例如：：高级管管理层））；某一部门门的任务务（例如如：财务务、内部部审计））；某一实体体的任务务（例如如：总部部、省级级公司））。内部控制制是：美国反欺欺骗性财财务报告告委员会会（COSO）的定义：内部控制制是一个靠靠组织的的董事会、、管理层层和其他他员工去实现的的过程，实现这这一过程程是为了了合理的的保证：：经营的效效果性和和效率性性；财务报告告的可信信性；对法律和和规章制制度的遵遵循性。。因此，整整个集团团的共同同参与对对于项目目的成功功至关重重要。38CIA后后续教育育萨班斯··奥克斯斯利法案案的要求求的长远远益处四个关键键信息质质量的驱驱动因素素是行业业领先的的公司进进行变革革的目标标，这些些因素是是遵循萨萨班斯··奥克斯斯利法案案的结果果也是价价值的创创造提供的数数据客观观，形象象的表示示了公司司业绩财务报表表更改的的情况将将很少发发生业绩将更更接近原原有的预预期持续的计计划给管管理层和和投资者者提供了了数据用用于公司司应对商商业环境境的变化化随着时间间的推移移，信息息将快速速的产生生需要快速速的提供供给投资资者相关关信息简单化和和标准化化的信息息使得更更容易被被理解和和接受管理层要要直接看看到推动动业务的的相关因因素及时可预测透明精确Earnings39CIA后后续教育育一、基本本概念阐阐述二、内控控系统整整体架构构三、内部部控制的的实施内部控制-主要内容容40CIA后后续教育育风险如何何最小化化？

风险最小化加强系统的内部控制对可能的损失投保当可能的风险较大时，寻求较大的回报41CIA后后续教育育内控系统统五要素素架构监督控制活动风险评估控制环境信息与沟通信息与沟通42CIA后后续教育育一些重要要的内控控方法职责分离离控制授权批准准控制内部报告告控制电子信息息技术控控制……43CIA后后续教育育不相容职职务相互互分离控控制－示示例工作职责存在的风险同时负责现金的收取和应收账款的会计记录可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金同时负责购货订单的审批和货物的收取可能以组织的名义为个人购入货物，在收取货物时利用职务之便将货物占为己有，同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息同时负责付款的审批和购货订单签发与审核可能会伪造购货业务并支付货款，从而贪污现金44CIA后后续教育育信息系统统控制－－目标提高资源源使用效效率有效达到企业目标保持数据完整维护资产安全信息系统统控制目目标符合相关关的法律律、法规规和政策策45CIA后后续教育育一般信息息系统控控制

信息系统统的组织织和管理理信息系统统操作外包厂商商管理数据安全全危机处理理与业务务持续计计划应用系统统安装与与维护数据库安安装与支支持网络支持持系统软件件支持硬件支持持提高企业业信息系系统的整整体可信信赖程度度的控制制46CIA后后续教育育实施内部部控制制制度逐项复核核内控是是否存在在于现有有流程中中，是否否有效必要时进进一步制制定具体体政策和和管理报报告考虑成本本效益原原则强化对内内控的监监督与评评估

最有效的办法业绩考核47CIA后后续教育育实施控制制时的成成本效益益原则48CIA后后续教育育实施内控控时常出出现的误误区

管理层在在实施内内控中未未承担应应有职责责过分强调调控制成成本片面强调调人员素素质认为内控控包治百百病

49CIA后后续教育育文档记录录的重要要性文档记录录可以为为控制程程序的确确定和控控制的监监管提供供证据内部控制制设计若若缺乏文文档记录录将可能能导致内内部控制制的重大大失效或或重大缺缺陷缺乏足够够的证据据来支持持公司的的评估结结果会在在外部签签证报告告中列为为质量的的重大缺缺陷，并并签发反反对意见见报告管理层声声明完成评估估后，公公司必须须向它的的审计师师提供一一份关于于内部控控制有效效性的书书面声明明管理层声声明必须须作为一一个独立立的报告告包括在在管理当当局说明明书中(*)对于拒绝绝出具书书面的管管理层声声明的公公司，外外部审计计人员必必须拒绝绝对其内内部控制制系统发发表意见见*公司司CEO和CFO对该声明明书全权权负责，，并对不不实的声声明承担担刑事责责任管理层责责任———评估财务务报告系系统内部部控制的的有效性性50CIA后后续教育育实施以风风险为导导向的内内部控制制体系的的主要做做法：内控体系系建设的的基本思思路构建内控控体系基基础框架架开展年度度检讨和和管理改改进持续改进进，内控控体系建建设向纵纵深发展展51CIA后后续教育育《内部控控制手册册》目录录第一章前前言言第二章内内部控控制环境境建设2.1内内控组织织及职责责权限2.2诚诚信和道道德价值值观2.3企企业风险险管理理理念2.4人人力资源源政策及及程序第三章目目标设设定中的的风险考考量3.1战战略目标标设定和和风险考考量3.2运运营目标标设定的的风险考考量第四章风风险管管理4.1风风险事项项识别4.2风风险评估估4.3风风险应对对4.4风风险控制制52CIA后后续教育育第五章业业务管管理流程程控制5.1流流程控制制的制定定5.2流流程控制制的执行行第六章信信息与与沟通6.1目目标6.2内内部信息息与沟通通6.3外外部信息息与沟通通6.4信信息系统统第七章监监控与与评价7.1持持续监控控7.2内内控审计计与专项项评价7.3内内控体系系有效性性整体评评价第八章管管理改改进8.1目目标8.2职职责与权权限8.3工工作流程程附录一手手册内容容与香港港联交所所国资委委内控相相关要求求的对照照表附录二相相关词汇汇的定义义53CIA后后续教育育2009年度企企业内部部控制自自我评估估报告一、公司司内部控控制的原原则和目目标二、公司司内部控控制体系系（一）内内部环境境1.完善内部部控制的的治理结结构根据据《公司法》、《证券法》等法律法法规要求求，公司司拥有较较为完善善的法人人治理结结构。……权力机构构、决策策机构、、监督机机构间权权责分明明、各司司其职、、相互制制衡、和和谐运作作。公司司董事会会下设战战略委员员会、审审计委员员会、提提名委员员会、薪薪酬委员员会四个个专门委委员会，，委员会会的召集集人为董董事长和和三位公公司独立立董事，，保证董董事会科科学、高高效决策策．保护护股东利利益。2．组织结结构公司司内部下下设总经经办、综综合部、、人力资资源部、、财务部部、生产产部、技技术部、、品保部部、业务务部、研研发中心心等部门门，各部部门间职职责明确确，配合合密切，，保证了了公司生生产经营营活动的的有序进进行。54CIA后后续教育育2009年度企企业内部部控制自自我评估估报告3．内部审审计公司司建立了了《内部审计计制度》，并设有有专门的的内部审审计机构构，配备备审计人人员，接接受董事事会审计计委员会会和监事事会的指指导与监监督，不不受其他他部门和和个人的的干涉。。审计人人员独立立行使审审计职权权，每季季度对公公司财务务收支和和经济活活动进行行内部审审计监督督检查，，并出具具报告，，以确保保公司经经营安全全。4．人力资资源政策策公司制制定了系系统的人人力资源源管理制制度，将将ERP系统应用用于人力力资源的的管理，，效果良良好。公公司重视视人才队队伍建设设，优化化人力资资源配置置，对人人员招聘聘、员工工培训、、工资薪薪酬、福福利保障障、绩效效考核、、内部调调动、职职务升迁迁等进行行了详细细规定，，营造育育才、引引才、聚聚才、用用才的良良好氛围围和工作作环境，，并建立立了一套套较完善善的绩效效考核体体系，为为企业发发展提供供智力和和人才的的保证。。55CIA后后续教育育(二)控制活动动1．建立健健全管理理制度公司治理理方面：：公司在2009年修订完完善了公公司章程程，规范范完善了了《财务管理理制度》、《董事、监监事和高高级管理理人员所所持本公公司股份份及其变变动的专专项管理理制度》、《董事会审审计委员员会工作作细则》、《董事会提提名委员员会工作作细则》、《董事会薪薪酬与考考核委员员会工作作细则》、《董事会战战略委员员会工作作细则》、《独立董事事工作制制度》、《独立董事事年度报报告工作作制度》、《对外担保保管理办办法》、《关联交易易管理制制度》、《募集资金金专项存存储制度度》、《内部审计计制度》、《投资者接接待和推推广制度度》、《信息披露露管理制制度》《重大经营营及投资资决策管管理制度度》、《东晶电子子2008年度内部部控制自自我评价价报告3中信息内内部报告告制度》等十八项项制度。。对公司司规范运运作、稳稳健经营营起到了了有效的的监督、、控制和和指导作作用。日常经营营管理：：公司制定定了一系系列的财财务核算算、档案案管理、、印章管管理等制制度，优优化了行行政管理理手段，，保证了了各项制制度规范范化执行行，不断断提高工工作效率率和质量量，保证证公司合合法合规规经营。。会计系统统方面：：公司按照照《会计法》、《证券法》、《企业内部部控制指指引》及税收有有关法律律法规的的规定，，编制了了公司《财务管理理制度》，建立了了较为完完善的财财务管理理和内部部控制体体系，有有效保证证了公司司资产的的完整、、安全、、效率。。通过严严格的内内部控制制体系，，控制财财务风险险和成本本费用，，规范财财务行为为，实现现公司资资产的优优化组合合和效益益的最大大化。56CIA后后续教育育2．控制措措施责任分工工控制：：公司高管管间的责责任明确确，各部部门都有有详尽的的岗位职职责。在在业务方方各项业业务交易易的授权权审批与与具体经经办人员员分离。。交易授权权控制：：对日常的的生产经经营活动动采用一一般授权权，对重重大交易易、投资资则采用用授权。。一般授授权由各各部门逐逐级审批批或协调调处理并并将事项项的最终终处理意意见提交交总经批批；特别别授权由由董事会会或股东东大会批批准。凭证与记记录控制制：制定了较较为完善善的凭证证与记录录的控制制程序，，对所有有经济业业务往操操作过程程均经相相关人员员签字确确认进行行控制。。57CIA后后续教育育3．重点控控制(1)关联交易易的内部部控制。。为避免由由关联交交易产生生利益冲冲突，公公司制定定有《关联交易易管理制制度》，对关联联方和关关联交易易、关联联交易的的审批权权限和决决策程序序等作了了明确的的规定，，规范与与关联方方的交易易行为，，力求遵遵循诚实实守信、、公正、、公平、、公开的的原有效效的保护护公司及及股东的的利益。。公司在在2008年度不存存在重大大关联交交易事项项。(2)募集资金金的内部部控制。。根据《证券法》、《中小板企企业募集集资金管管理办法法》等相关法法律、法法规，结结合公司司的实际际情况，，公司制制定有《募集资金金专项存存储制度度》，对募集集资金的的管理、、募集资资金专户户存储、、募集资资金的三三方监管管、以及及募集资资金的使使用及审审批程序序、用途途调整与与变更等等方面进进行明确确规定，，以保证证募集资资金专款款专用。。东晶电电子2008年度内部部控制自自我评价价报告4公司在2008年度没有有违反《上市公司司内部控控制指引引》及《募集资金金专项存存储制度度》的情形发发生。58CIA后后续教育育(3)重大投资资的内部部控制。。公司制定定有《重大经营营与投资资决策管管理制度度》，对投资资的类别别及相应应的决策策程序、、决策权权限、决决策实施施等方面面作了明明确规定定。规范范了公司司的投资资行为，，建立了了有效的的投资风风险约束束机制，，保护公公司和股股东的利利益，保保障了投投资公司司在2008年度没有有违反《上市公司司内部控控制指引引》及《重大经营营与投资资决策管管理制度度》的情形发发生。59CIA后后续教育育(4)信息披露露的内部部控制。。公司建立立了《信息披露露管理制制度》、《重大信息息内部报报告制度度》、《投资者接接待和推推广制度度》。从信息息披露机机构和人人员、信信息的收收集、报报告、流流转、审审核、披披露程序序、保密密措施、、信息披披露监督督、责任任追究等等方面作作了详细细规定。。公司严严格按照照中国证证监会和和深圳证证券交易易所的有有关法律律法规和和公司制制度规定定的信息息批露范范围、事事宜及格格式，详详细编制制披露报报告，将将公司信信息真实实、准确确、及时时、完整整地在指指定的报报纸和网网站上进进行披露露。同时时，公司司在公司司网站开开设了投投资者互互动平台台，让投投资者更更便捷的的了解公公司情况况。公司司在2008年做好了了信息披披露机构构及相关关人员的的培训和和保密工工作，未未出现信信息泄密密事件。。60CIA后后续教育育(5)对外担保保的内部部控制。。根据《关于规范范上市公公司对外外担保行行为的通通知》及《公司章程程》中对对外外担保的的要求，，公司建建立了《对外担保保管理制制度》，有效的的防范了了公司对对外担保保风险。。公司在2009年度没有有违反《上市公司司内部控控制指引引》及《对外担保保管理制制度》的情形发发生。61CIA后后续教育育(三)信息与沟沟通公司建立立了较为为全面的的生产经经营信息息采集、、整理、、分析、、传递系系统，建建立了有有效沟通通渠道和和机制，，建立了了投资者者互动平平台，为为信息有有效运行行提供适适当的保保障。62CIA后后续教育育(四)内部监督督公司设有有监事会会，对股股东大会会负责。。对董事事、高级级管理人人员执行行公司职职务的行行为进行行监督。。发现公公司经营营情况异异常，可可以进行行调查，，必要时时，可以以聘请会会计师事事务所、、律师事事务所等等专业机机构协助助其工作作。东晶晶电子2008年度内部部控制自自我评价价报告5董事会审审计委员员会是董董事会设设立的专专门工作作机构，，主要负负责内部部审计与与外部审审计之间间的沟通通；审核核公司的的财务信信息及其其披露；；审查公公司内部部控制制制度，对对重大关关联交易易进行审审计等。。63CIA后后续教育育三、内部部控制的的自我评评价公司目前前建立了了较完善善的法人人治理结结构和内内部控制制体系，，符合有有关法律律法规和和证券监监管部门门的要求求，能够够适应公公司现行行管理的的要求和和公司发发展的需需要。公公司内部部控制制制度严格格、有效效，对控控制和防防范经营营管理风风险、保保护投资资者的合合法权益益、促使使公司规规范运作作和健康康发展起起到了积积极的促促进作用用。能保保障公司司所属财财产物资资的安全全、完整整能按照照法律、、法规和和公司章章程规定定的信息息披露的的内容和和格式要要求，真真实、准准确、完完整、及及时地报报送和披披露信息息，确保保公开、、公平、、公正地地对待所所有投资资者，切切实保护护公司和和股东的的利益。。64CIA后后续教育育四、加强强公司内内部控制制的建议议公司在发发展，公公司的制制度和管管理也在在不断发发生变化化，为了了使公司司的内部部控制更更有效的的进行，，公司拟拟定了加加强内部部控制的的下一步步工作：：(一)进一步健健全和完完善公司司内部控控制制度度按照《深圳证券券交易所所上市公公司内部部控制指指引》的要求，，进一步步加强和和完善公公司的内内部控制制制度，，提高内内部控制制的层次次性、系系统性和和有效性性。(二)继续加强强对相关关知识的的学习加加强公司司董事、、监事、、高级管管理人员员和业务务人员对对《公司法》、《证券法》以及与公公司经营营和证券券管理相相关的法法律、法法规的学学习，不不断提高高风险管管理意识识。(三)确保公司司内部审审计工作作的有效效开展继继续充分分发挥公公司内部部审计的的监督职职能，加加强内部部审计工工作，加加大内部部控制制制度执行行检查力力度，确确保公司司内部审审计工作作的有效效开展。。公司内部部控制体体系的有有效建设设是一个个长期的的过程，，公司在在以后的的工作中中将更加加注重内内部控制制各项制制度的建建设和执执行，保保证内部部控制制制度的健健全和有有效性，，促进公公司更快快更好的的发展。。

某股份有有限公司司董事会会审计委委员会二零零九九年四月月六日65CIA后后续教育育第二讲：：内部控控制环境境内控环境境的概念念内控环境境的10大要素构建企业业内控环环境实务务内控战略略规划员工行为为守则-守则和政政策规定定企业价值值观&高管表率率组织构架架、牵制制、分责责制建立内部部沟通渠渠道-舞弊举报报、受理理机构、、信息反反馈授权制度度建设-岗位职责责、授权权内部监督督与检查查-利益冲突突调查、、审计检检查、举举报核查查资产保护护-风险预警警、保险险业务流程程开发-系统设计计、系统统整合、、ERP系统、系系统优化化66CIA后后续教育育控制环境境控制环境境——是是指股东东和管理理层对内内部控制制及其重重要性的的态度、、认识和和措施。。控制环环境决定定了企业业的内部部控制基基调并影影响员工工对内部部控制的的认识和和态度。。建立良良好的控控制环境境是实施施有效内内部控制制的基础础。67CIA后后续教育育控制环境境的10大要素素：一、行为为守则和和政策制制度二、企业业价值观观三、高管管的表率率作用四、组织织架构五、员工工的素质质六、内部部沟通渠渠道七、授权权制度八、内部部监督与与检查九、资产产保护十、清晰晰合理的的业务流流程68CIA后后续教育育计划-执执行-检检查-整整改(PDCA)的循循环任何高质质量项目目的一个个前提条条件是强强调持续续改进。。持续改改进的最最好方法法可以用用PDCA循环予以以说明，，该方法法在20世纪30年代由贝贝尔系统统的史瓦瓦特(Shewhart)博士所开开发。这这一循环环包括计计划(Plan)、执行(Do))、检查(Check))和整改(Act)四个步骤骤(如图2-3--4所示)。它也被被称为戴戴明(Deming)转轮，是是质量控控制的主主要概念念之一。。69CIA后后续教育育PDCA循环环的概念念整改改计划检查查执行行70CIA后后续教育育计划((P)：：制定计计划———定义目目标，尽尽可能用用数字说说明。计计划应当当清楚地地描述目目标和在在现阶段段达到目目标所需需的政策策。计划划应当确确定程序序和实现现目标将将使用的的手段和和方法。。71CIA后后续教育育执行((D)：：执行计计划———创造条条件和进进行必需需的教育育和培训训，确保保每个人人能了解解目标和和计划。。培训员员工，使使他们掌掌握实现现计划所所需的程程序和技技能，了了解工作作的性质质，然后后，依照照这些程程序执行行工作。。72CIA后后续教育育检查((C)：：检查结结果———尽可能能做到经经常检查查，以确确定工作作是否正正在依照照计划进进行，是是否能够够获得预预期的结结果。检检查执行行工作的的程序、、情况变变化或可可能出现现的反常常现象。。这是PDCA循环环的控制制组成部部分。73CIA后后续教育育整改((A)：：采取必必需的行行动如如果检查查流程发发现工作作没有按按照计划划执行，，或结果果不是预预期所需需要的，，应当采采取适当当行动改改正问题题。寻找找问题产产生的原原因，避避免再次次发生这这些问题题。有时时候可能能需要对对员工重重新进行行培训并并修改工工作程序序。在制制定下一一个计划划时，应应当反映映这些变变化，并并且更详详细地定定义这些些问题。。74CIA后后续教育育PDCA循环确确保产品品的质量量和服务务符合组组织的期期望值，，并且满满足预期期的预算算和交货货日期的的要求。。有时，，过于关关注目前前的问题题会限制制实现最最佳结果果的能力力。反复复运用PDCA的循环环可以不不断改进进工作质质量和工工作方法法，并且且获得预预期的结结果。这这一作为为改进工工作的概概念可以以在图2-3-5的螺螺旋式上上升的运运动中看看到。75CIA后后续教育育图2--3--5计计划-执执行-检检查-整整改的螺螺旋式上上升76CIA后后续教育育完善的工工作流程程与不完完善的工工作流程程比较100%%执行程序序检查程序序0%100%%不完善的的(粗劣定义义的)工作流程程（例如，，生产一一个新产产品)完善的（（恰当第第一的））工作流流程（例如，，制造一一辆汽车车）77CIA后后续教育育控制层级级概览控制和监监控的责责任人中间管理理层工作人员员(董事会））交易处理理控制（产品＆＆服务控控制措施施）系统控制制（流程控控制措施施）环境控制制（管理控控制措施施）注意：COSO使用“活活动”（（Activity）一词来来定义一一个作业业单位，，例如，采采购活动动。系统统控制和和交易处处理控制制两者被被包括在在COSO的活动定定义中。。78CIA后后续教育育控制的层层级制度度控制和监监控的责责任人中间管理理层工作人员员(部门经理理)行政管理理层(董事会））交易处理理控制（产品＆＆服务控控制措施施）系统控制制（流程控控制措施施）环境控制制（管理控控制措施施）信息沟通通监控79CIA后后续教育育监控((Monitoring))是持续续检查以以确保实实现组织织的控制制目标。。监控促使使每个人人能够对对违反控控制的行行为和系系统出现现的问题题作出反反应。80CIA后后续教育育COSO定义的的内部控控制角色色与职责责管理层管理层直直接负责责整个组组织所有有的活动动，包括括内部控控制系统统。在一一个组织织中，不不同层级级的管理理部门自自然地将将会有不不同的内内部控制制职责。。这些职职责通常常是非常常不相同同的，取取决于这这个组织织的特点点。首席执行行官((CEO)的职职责包括括努力使使内部控控制的所所有组成成部分设设计适当当并且有有效运行行。首席席执行官官履行这这种责任任通常通通过：•向高级级经理提提供领导导和方向向。首席席执行官官与高级级经理们们一起构构建形成成本组织织内部控控制系统统的基本本价值观观、原则则和主要要经营政政策。•定期地地会见负负责主要要职能领领域销销售、生生产、采采购、人人力资源源等方面面的高级级经理，，检查他他们的履履责情况况，包括括他们如如何控制制这些业业务。首首席执行行官需要要获得运运营中内内部控制制措施的的相关信信息，了了解需要要的改进进领域和和努力方方向。为为了履行行这种责责任，最最关键的的是首席席执行官官应当明明确地规规定需要要什么信信息。81CIA后后续教育育财务主管管财务主管管及其职职员负责责的监控控具有特特别重要要的意义义，他们们的活动动最直接接地贯穿穿整个企企业的各各个经营营单位。。财务主主管时常常参与制制定整个个组织范范围的预预算和计计划。他他们经常常从运营营与合规规以及财财务的视视角跟踪踪与分析析业绩情情况。这这些活动动通常是是组织中中心或者者“法人人”组织织的一部部分，但但是他们们普遍地地也负有有监控部部门、子子公司或或其他单单位活动动的“虚虚线”职职责。就就这点而而论，处处在一个个组织财财务职能能中的首首席财务务官、首首席会计计官、主主记员和和其他人人员是管管理层行行使控制制方式的的中枢。。82CIA后后续教育育管理层对对董事会会或受托托人负责责，董事事会提供供治理、、指导和和监督。。通过选选择和监监控管理理层，董董事会在在规定其其所期望望的正直直性和道道德价值值观方面面发挥重重要的作作用，可可以通过过监控活活动来证证实董事事会的期期望。通通过保留留某些关关键的决决策权，，董事会会同样可可以在高高阶层目目标的设设定和制制定战略略计划中中发挥作作用。董董事会负负责对内内部控制制整个系系统进行行监督。。董事会(包括董事事会的重重要委员员会)83CIA后后续教育育审计委员员会管理层对对财务报报表的可可靠性负负责，但但是，有有效的审审计委员员会发挥挥着重要要的监督督作用。。审计委委员会处处于一种种独特的的地位，，它通常常有权询询问最高高管理层层如何落落实其财财务报告告责任，，也有权权确保纠纠正行动动被采纳纳。在最最高管理理层凌驾驾于内部部控制之之上或寻寻求虚报报财务结结果的情情况下，，拥有强强有力的的内部审审计职能能的审计计委员会会经常处处在组织织中能够够识别和和采取整整改行动动的最佳佳位置。。因此，，审计委委员会必必须履行行直接指指出严重重事件或或情况的的监督作作用。84CIA后后续教育育内部审计计师内部审计计师直接接检查内内部控制制的状况况，并提提出改进进措施的的建议。。国际内部部审计师师协会制制定的标标准详细细地规定定了内部部审计的的范围，，应当包包括：检检查和评评价内部部控制系系统的适适当性和和有效性性，以及及履行指指定职责责方面的的业绩质质量。85CIA后后续教育育组织的其其他员工工内部控制制在某些些程度上上是组织中中每一个个人的责责任，因此，应应当明确确规定每每个员工工的岗位位职责。。从以下下两个观观点来看看这是正正确的：：首先，所所有员工工在实现现控制目目标方面面都发挥挥一定的的作用。。他们可可能提出出可用于于内部控控制系统统的信息息，例如如，存货货记录、、在制品品数据、、销售或或者支出出报告，，或者来来取实现现控制所所需的其其他行动动。这些些行动可可能包括括执行对对账业务务、跟踪踪例外报报告的情情况、实实施现场场观察，，或调查查成本差差异的原原因和其其他业绩绩指标。。他们关关注会直直接影响响内部控控制系统统有效性性的那些些活动。。其次，所所有的人人员应当当负责将将运营中中的问题题、违反反行为守守则的行行为，或或其他违违反政策策的情况况以及非非法行为为通知上上一级组组织。内内部控制制依赖于于互相牵牵制(checksandbalances)，包包括职责责分离和和员工坚坚守岗位位职责。。人事部部门应当当理解员员工要抵抵制上级级参与不不适当活活动的压压力，应应当知道道在正常常汇报线线之外建建立沟通通渠道用用于报告告此类事事件的必必要性。。86CIA后后续教育育也许没有有其他任任何外部部当事方方可以像像独立审审计师那那样，在在帮助实实现组织织财务报报告目标标方面发发挥重要要的作用用。独立立审计师师带给管管理层和和董事会会一种独独立的和和客观的的意见，，可以帮帮助组织织实现其其财务报报告的责责任。外部审计计87CIA后后续教育育立法者和和监管者者通过立立法要求求建立内内部控制制措施，，或通过过检查特特别的单单位来影影响许多多单位组组织的内内部控制制系统。。许多相相关法律律法规只只涉及财财务报告告方面的的内部控控制，不不过也有有一些特特别适用用于政府府组织的的法律，，同样涉涉及运营营与合规规的目标标。立法者和和监管者者88CIA后后续教育育《萨•奥奥法案》》指出，，组织的的法律委委员会应应当向预预先规定定的那一一级管理理部门报报告重大大的违反反控制的的行为。。此外，，法律委委员会还还应当向向董事会会和首席席执行官官提出内内部控制制系统法法规要求求方面的的忠告。。法律委员员会（不不包含在在COSO的责任名名单中））89CIA后后续教育育区分不同同的控制制责任我们己经经讨论了了内部控控制和组组织控制制。本部部分指出出内部控制制存在三三个层级级，即环环境控制制、系统统控制和和交易处处理控制制。90CIA后后续教育育首席执行行官((CEO)———首席执执行官对对内部控控制的整整个系统统负责，，包括本本组织中中所有的的控制措措施。然然而，政政府机构构把更多多的重点点放在内内部会计计控制而而不是控控制措施施的其他他类型((参见见首席财财务官对对内部会会计控制制的讨论论)。《《萨•奥奥法案》》的颁布布，要求求首席执执行官证证明内部部控制系系统的适适当性。。注意：：政府机机构不那那么关心心管理的的效果性性和效率率性以及及客户满满意度这这类控制制措施。。91CIA后后续教育育首席财务务官((CFO)———首席席财务官官负有对对内部会会计控制制系统的的主要责责任。治治理本组组织实际际系统的的是内部部会计控控制措施施；包括括财务记记录、致致股东的的报告、、业绩报报告等。。92CIA后后续教育育首席运营营官((COO)———首席席运营官官负有对对质量控控制和统统计过程程控制的的责任，，主要是是对工作作流程的的控制和和对这些些流程生生产的产产品质量量的控制制。在汽汽车装配配制造中中，统计计过程的的控制将将对工作作流程的的变更进进行控制制，而质质量控制制与从装装配流程程生产出出来的汽汽车质量量有关。。93CIA后后续教育育职员的职职能———职员员职能包包括推销销、信息息技术服服务等。。职员也也具有控控制工作作流程和和他们生生产的产产品的职职能。例例如，工工资管理理部门有有一个工工资流程程，产生生支付工工资的支支票和联联邦纳税税申报表表的产品品。职员员必须控控制系统统的流程程以及生生产的产产品。94CIA后后续教育育控制的层层级制度度执行管理理层中间管理理层职责员工环境系统交易处理理有效性监控95CIA后后续教育育控制的职职责董事会职能活动动首席执行行官与直直接报告告职能活动动员工职能活动动员工公司治理理监督公司治理理领导与与政策规定控制制目标和和监控控制的实实施与运运行(环境控制制)(环境控制制)员工96CIA后后续教育育图2-4-3环环境控制制如何起起作用公司治理理(环境控制制)销售给客客户收回资金金开发票给给客户购买要销销售的存存货97CIA后后续教育育控制环境境与公司司风险内部控制制的要求求之一是是风险减减缓((riskmitigation)。。当要求求降低失失败的风风险时，，控制措措施将有有助于实实现这一一目标。。如果没没有担心心完不成成这一目目标的风风险，也也就不需需要控制制措施。。同样地地，控制制措施的的强度应应当以风风险的重重要性为为基础。。98CIA后后续教育育有效控制制环境的的10个最高属属性——行为守则则政策((CodeofConductPolicy)；——企业业的价值值观((CorporateValues))；——首席席执行官官成为楷楷摸((CEOastheRoleModel)；——组织织结构((职责责分离))(OrganizationalStructure))——人员员的胜任任能力((CompetencyofPersonnel)——职责责与权力力的特别别委派和和沟通((SpecificDelegationandofResponsibilityandAuthority)；；——一般般授权与与责任制制(GeneralAuthorizationandAccountability))；——内部部审计((InternalAuditing)；；——资产产保护((AssetSafeguarding))；——规定定的工作作流程((DefinedWorkProcesses))。。99CIA后后续教育育这10个个最高属属性的简简短描述述如下：：(1)行为守则则政策——管理层对