第06章风险管理框架下的内部控制课件

第06章风险管理框架下的内部控制本章属于重点章。重点考核内容包括：（1）内部控制的定义及发展，内部控制5要素的内容；（2）COSO内部控制框架；（3）内部控制的应用；（4）企业内部控制评价；（5）审计委员会；（6）内部控制与公司治理（独立董事）。第06章风险管理框架下的内部控制本章属于重点章。重点考核1第06章风险管理框架下的内部控制课件2第一节企业内部控制理论的演变与发展（了解）第一节企业内部控制理论的演变与发展（了解）3COSO内部控制框架的五要素职能部门业务部门财务报告运营合规控制环境风险评估控制活动信息与沟通监察COSO内部控制框架的五要素职能部门业务部门财务报告4企业风险管理框架——ERM企业风险管理框架——ERM5第二节我国内部控制规范体系几个时间点：2008年6月28日，财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》。2009年7月1日起适用于中华人民共和国境内设立的大中型企业（包括上市公司）执行。同时鼓励小企业和其他单位参照其内容建立与实施内部控制。2010年4月26日发布了《企业内部控制配套指引》。自2011年1月1日起首先在境内外同时上市的公司实施，自2012年1月1日起扩大到上交所、深交所主板上市的公司实施第二节我国内部控制规范体系几个时间点：620个指引20个指引7第三节内部控制基本规范—、内部控制的目标（掌握）

《基本规范》将内部控制的目标归纳为五个方面：

（1）合理保证企业经营管理合法合规；

（2）合理保证企业资产安全；（有效、安全、完整）

（3）合理保证企业财务报告及相关信息真实完整；

（4）提高经营效率和效果；

（5）促进企业实现发展战略。第三节内部控制基本规范—、内部控制的目标（掌握）8二、内部控制的原则（掌握）（一）全面性原则贯穿决策、执行和监督的全过程

覆盖企业及其所属单位

各种业务和事项（二）重要性原则在全面控制的基础上，内部控制应该关注重要业务事项和高风险领域。（三）制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五）成本效益原则又称为成本与效率效果原则，就是指内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。二、内部控制的原则（掌握）（一）全面性原则贯穿决策、执行和监9四、内部控制的要素（本章第一个最重要的重点）内部环境风险评估控制活动信息与沟通内部监督四、内部控制的要素（本章第一个最重要的重点）内部环境风险评10内部环境包括软环境（价值观）和硬环境（制度、规则等）•公司治理结构；•内部机构设置与职责分工；•内部审计；•人力资源政策•企业文化；•法制环境风险评估（1）风险评估的程序：第一步是采用定性与定量相结合的方法，评估风险发生的可能性与频率，以及其为企业带来的影响程度；第二步是对识别的风险进行分析和排序，对重要风险进行管理及采取适当的应对风险行动。（2）风险管理：包括识别和分析影响目标实现的风险（包括与不断变化的监管、运营环境和商业策略有关的风险），以此来确定如何降低和管理此类风险的依据（第5章探讨完整的过程）。控制活动（1）不相容职务分离控制；（2）授权审批控制；（3）会计系统控制；（4）财产保护控制；（5）预算控制；（6）运营分析控制；（7）绩效考评控制等。信息与沟通（1）信息的识别、收集和传达；企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。（2）全方位的有效的沟通。（第十二章展开）内部监督（1）监督工作：监督方法、记录、报告（2）自我评价。内部环境包括软环境（价值观）和硬环境（制度、规则等）风险评估11不相容职务一般包括：授权批准与业务经办业务经办与会计记录会计记录与财产保管业务经办与稽核检查授权批准与监督检查不相容职务一般包括：授权批准与业务经办12第四节内部控制应用指引第四节内部控制应用指引13一、组织架构一、组织架构14（一）组织架构设计与运行中需关注的主要风险治理结构层面的风险治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。内部机构层面的风险内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。（一）组织架构设计与运行中需关注的主要风险治理结构层面的风15（二）内部控制要求与措施企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。（二）内部控制要求与措施企业的重大决策、重大事项、重要人事16二、发展战略（一）制定与实施发展战略需关注的主要风险

（1）缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。

（2）发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。

（3）发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。

二、发展战略（一）制定与实施发展战略需关注的主要风险

（117（二）内部控制要求与措施企业的发展战略方案经董事会审议通过后，报经股东（大）会批准实施。发展战略的宣传，将发展战略及其分解落实情况传递到内部各管理层级和全体员工。（二）内部控制要求与措施企业的发展战略方案经董事会审议通过后18三、人力资源（一）人力资源管理需关注的主要风险

（1）人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。——企业决策层和执行层的高管人员

（2）人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。

——专业技术人员

（3）人力资源退出机制不当，可能导致法律诉讼或企业声誉受损。——企业辞退员工、解除员工劳动合同等而引发的劳动纠纷三、人力资源（一）人力资源管理需关注的主要风险

（1）人力19四、社会责任【主要包括】安全生产、产品质量（含服务）、环境保护、资源节约、促进就业、员工权益保护等。

（一）履行社会责任方面需关注的主要风险

（1）安全生产措施不到位，责任不落实，可能导致企业发生安全事故。

（2）产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。

（3）环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业。

（4）促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。四、社会责任【主要包括】安全生产、产品质量（含服务）、环境20六、资金活动（一）资金活动需关注的主要风险

（1）筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机。

（2）投资决策不当，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下。

（3）资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余。

（4）资金活动管控不严，可能导致资金被挪用、侵占、抽逃或遭受欺诈。六、资金活动（一）资金活动需关注的主要风险

（1）筹资21（二）内部控制要求与措施【两个特别规定】

企业财会部门负责资金活动的日常管理，参与投融资方案等可行性研究。总会计师或分管会计工作的负责人应当参与投融资决策过程。

企业应当采取合法有效措施，强化对子公司资金业务的统一监控。有条件的企业可探索财务公司、资金结算中心等资金集中管理模式。

（二）内部控制要求与措施22营运管理（1）严禁资金的体外循环，切实防范资金营运中的风险。

（2）企业在生产经营及其他业务活动中取得的资金收入应当及时入账，不得账外设账，严禁收款不入账、设立“小金库”。

（3）企业办理资金收付业务，应当遵守现金和银行存款管理的有关规定，不得由一人办理货币资金全过程业务，严禁将办理资金支付业务的相关印章和票据集中一人保管。营运管理23七、采购业务（一）采购业务需关注的主要风险

（1）采购计划安排不合理，市场变化趋势预测不准确，造成库存短缺或积压，可能导致企业生产停滞或资源浪费。

（2）供应商选择不当，采购方式不合理，招投标或定价机制不科学，授权审批不规范，可能导致采购物资质次价高，出现舞弊或遭受欺诈。

（3）采购验收不规范，付款审核不严，可能导致采购物资、资金损失或信用受损。七、采购业务（一）采购业务需关注的主要风险

（1）采购24八、资产管理（一）资产管理的风险八、资产管理（一）资产管理的风险25九、销售业务销售业务（1）销售政策和策略不当，市场预测不准确，销售渠道管理不当等，可能导致销售不畅、库存积压、经营难以为继。（2）客户信用管理不到位，结算方式选择不当，账款回收不力等，可能导致销售款项不能收回或遭受欺诈。（3）销售过程存在舞弊行为，可能导致企业利益受损。（1）销售：计划、客服开发与信用管理、定价与合同、发货（2）收款九、销售业务销售业务（1）销售政策和策略不当，市场预测不准26十、研究与开发研究与开发（1）研究项目未经科学论证或论证不充分，可能导致创新不足或资源浪费。（2）研发人员配备不合理或研发过程管理不善，可能导致研发成本过高、舞弊或研发失败。（3）研究成果转化应用不足、保护措施不力，可能导致企业利益受损。（1）申请（2）审批（3）研究过程（4）合同（5）验收（6）人员（7）评估机制十、研究与开发研究与开发（1）研究项目未经科学论证或论证不27十一、工程项目工程项目（1）立项缺乏可行性研究或者可行性研究流于形式，决策不当，盲目上马，可能导致难以实现预期效益或项目失败。（2）项目招标暗箱操作，存在商业贿赂，可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案。（3）工程造价信息不对称，技术方案不落实，概预算脱离实际，可能导致项目投资失控。（4）工程物资质次价高，工程监理不到位，项目资金不落实，可能导致工程质量低劣，进度延迟或中断。（5）竣工验收不规范，最终把关不严，可能导致工程交付使用后存在重大隐患。企业应当建立和完善工程项目各项管理制度，全面梳理各个环节可能存在的风险点，规范工程立项、招标、造价、建设、验收等环节的工作流程，明确相关部门和岗位的职责权限，做到可行性研究与决策、价款概预算编制与审核、项目实施与支付、竣工决算与审计等不相容职务相互分离，强化工程建设全过程的监控，确保工程项目的质量、进度和资金安全。十一、工程项目工程项目（1）立项缺乏可行性研究或者可行性研28十二、担保业务担保业务（1）对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈。（2）对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致企业承担法律责任。（3）担保过程中存在舞弊行为，可能导致经办审批等相关人员涉案或企业利益受损。（1）受理申请（2）调查评估（3）审批（4）签订担保合同（5）监控十二、担保业务担保业务（1）对担保申请人的资信状况调查不深29十三、业务外包业务外包（1）外包范围和价格确定不合理，承包方选择不当，可能导致企业遭受损失。（2）业务外包监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势。（3）业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案。企业应当建立和完善业务外包管理制度，规定业务外包的范围、方式、条件、程序和实施等相关内容，明确相关部门和岗位的职责权限，强化业务外包全过程的监控，防范外包风险，充分发挥业务外包的优势。企业应当权衡利弊，避免核心业务外包。十三、业务外包业务外包（1）外包范围和价格确定不合理，承包30十四、财务报告（一）编制、对外提供和分析利用财务报告需关注的主要风险

（1）编制财务报告违反会计法律法规和国家统一的会计准则制度，可能导致企业承担法律责任和声誉受损。

（2）提供虚假财务报告，误导财务报告使用者，造成决策失误，干扰市场秩序。

（3）不能有效利用财务报告，难以及时发现企业经营管理中存在的问题，可能导致企业财务和经营风险失控。十四、财务报告（一）编制、对外提供和分析利用财务报告需关注31十五、全面预算全面预算（1）不编制预算或预算不健全，可能导致企业经营缺乏约束或盲目经营。（2）预算目标不合理、编制不科学，可能导致企业资源浪费或发展战略难以实现。（3）预算缺乏刚性、执行不力、考核不严，可能导致预算管理流于形式。编制、执行、考核十五、全面预算全面预算（1）不编制预算或预算不健全，可能导32十六、合同管理（一）合同管理需关注的主要风险

（1）未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈，可能导致企业合法权益受到侵害。

（2）合同未全面履行或监控不当，可能导致企业诉讼失败、经济利益受损。

（3）合同纠纷处理不当，可能损害企业利益、信誉和形象。十六、合同管理（一）合同管理需关注的主要风险

（1）未33十七、内部信息传递指引项目存在风险控制点（内部报告的形成）内部信息传递（一）内部报告系统不健全，内容不完整，可能对整个生产经营管理造成负面影响。（二）内部信息传递不及时、不通畅，可能导致决策失误、相关政策措施难以落实。（三）内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映各种内外部信息。制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享。广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级拓宽内部报告渠道十七、内部信息传递指引项目存在风险控制点（内部报告的形成）内34内部信息传递指引项目存在风险控制点（内部报告的传递）内部信息传递（一）内部报告系统不健全，内容不完整，可能对整个生产经营管理造成负面影响。（二）内部信息传递不及时、不通畅，可能导致决策失误、相关政策措施难以落实。（三）内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。企业各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动，确保企业实现发展目标。应当有效利用内部报告进行风险管理。突出问题和重大风险，应当启动应急预案。严格的内部报告保密制度，防止泄露商业秘密。建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性和信息传递的有效性。内部信息传递指引项目存在风险控制点（内部报告的传递）内部信息35十八、信息系统指引项目存在风险控制点（信息系统的开发）

信息系统（一）缺乏整体规划或者规划不合理，可能导致企业形成信息孤岛、重复建设、资源浪费；（二）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；（三）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。根据信息系统建设整体规划，提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施将生产经营管理全部业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。系统开发全过程的跟踪管理做好信息系统上线的各项准备工作十八、信息系统指引项目存在风险控制点（信息系统的开发）信36信息系统指引项目存在风险控制点（信息系统的运行与维护）

信息系统（一）缺乏整体规划或者规划不合理，可能导致企业形成信息孤岛、重复建设、资源浪费；（二）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；（三）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范确定信息系统的安全等级，建立不同等级信息的授权使用制度建立用户管理制度，加强对重要业务系统的访问权限管理加强网络安全，防范来自网络的攻击和非法侵入建立系统数据定期备份制度加强服务器等关键信息设备的管理信息系统指引项目存在风险控制点（信息系统的运行与维护）信37第五节内部控制的评价与审计一、内部控制评价的内容企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等第五节内部控制的评价与审计一、内部控制评价的内容38二、评价程序制定评价控制方案评价部门或者机构应具备的条件：（1）独立权限；（2）专业胜任能力与职业道德；（3）与相关部门协调；（4）权威性，得到最高管理层的支持。组成评价工作组评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务。实施评价工作与测试了解公司层面基本情况；了解页面层面的主要流程及风险；确定检查评价范围与重点；开展现场检查测试：综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据汇总评价结果二、评价程序制定评价控制方案评价部门或者机构应具备的条件：组39三、内部控制缺陷的认定内部控制缺陷的分类按缺陷的本质分类：设计缺陷与运行缺陷按严重程度分类：重大缺陷、重要缺陷、一般缺陷重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。内部控制认定程序与整改缺陷认定：审查得出结论或者增加测试——增加或者直接判定缺陷性质——扩大范围排除或认定缺陷。整改：企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。三、内部控制缺陷的认定内部控制缺陷的分类按缺陷的本质分类：40第06章风险管理框架下的内部控制课件41四、内部控制评价报告内部控制评价报告至少应当披露下列内容：（一）董事会对内部控制报告真实性的声明。（二）内部控制评价工作的总体情况。（三）内部控制评价的依据。（四）内部控制评价的范围。（五）内部控制评价的程序和方法。（六）内部控制缺陷及其认定情况。（七）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。（八）内部控制有效性的结论。四、内部控制评价报告内部控制评价报告至少应当披露下列内容：42五、内部控制的审计（简单了解，审计的重点）建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。

表明内部控制可能存在重大缺陷的迹象，主要包括：（一）注册会计师发现董事、监事和高级管理人员舞弊。（二）企业更正已经公布的财务报表。（三）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报。（四）企业审计委员会和内部审计机构对内部控制的监督无效。五、内部控制的审计（简单了解，审计的重点）建立健全和有效实施43在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见。（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行44六、审计委员会的监察角色组成与职责审计委员会是董事会下辖的委员会，全部由独立、非行政董事组成，他们至少拥有相关的财务经验。审计委员会的职能是监督、评估和复核企业内的其他部门和系统。在一般情况下，审计委员会负责整个风险管理过程，包括确保内部控制系统是充分且有效的。履责方式（1）建议审计委员会每年至少举行三次会议，并于审计周期的主要日期举行；（2）审计委员会应每年至少与外聘及内部审计师会面一次，讨论与审计相关的事宜，但无需管理层出席；（3）审计委员会成员之间的不同意见如无法内部调解，应提请董事会解决；（4）审计委员会应每年对其权限及其有效性进行复核，并就必要的人员变更向董事会报告。审计委员会与合规审计委员会应结合企业财务报表的编制情况，对重大的财务报告事项和判断进行复核。六、审计委员会的监察角色组成与职责审计委员会是董事会下辖的451、审计委员会与内部审计（1）审计委员会应监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性，其关系范围包括：①核查内部审计的有效性，并批准对内部审计主管的任命和解聘；②确保内部审计部门能直接与董事会主席接触，并负有向审计委员会说明的责任；③复核及评估年度内部审计工作计划；④审计委员会收到关于内部审计部门工作的定期报告，复核和监察管理层对内部审计的调查结果的反应；⑤审计委员会还应确保内部审计部门提出的建议已执行；⑥审计委员会有助于保持内部审计部门对压力或干涉的独立性。（2）在四个主要方面对内部审计进行复核，即组织中的地位、职能范围、技术才能和专业应尽义务。1、审计委员会与内部审计（1）审计委员会应监察和评估内部审46内部审计活动1.企业应根据现行职业准则执行内部审计活动；2.内部审计职能部门的组成，取决于企业的规模、复杂性、经营活动范围和风险概况，以及董事会为审计部门分配的责任；3.内部审计师必须对他们所审计的活动保持独立性；4.审计师必须拥有针对企业内的所有大业务部门、部门及职能主动行动的权力，与企业的任何人员直接进行沟通的权力，以及使用审计工作所需的所有的记录、文档或数据的权力；5.内部审计师应具备实施审计工作所必要的知识、技巧和沟通表达能力，还要参与继续教育和培训以保持和提高审计技巧。内部审计活动1.企业应根据现行职业准则执行内部审计活动；47内部审计师在企业中的地位与作用1.内部审计师的主要作用是独立且客观地复核及评价企业的活动，以维持或改善企业风险管理、内部控制及公司治理的效益与效率；2.审计师应将相关结果向董事会或其下属的审计委员会以及高级管理层报告；3.内部审计师必须保持客观和独立。内部审计师在企业中的地位与作用1.内部审计师的主要作用是独48内部审计师的职能范围1.对内部审计部门的有效性进行复核，确保他们的报告被听取，并采取了相应行动；2.达成内部审计的目的，内部审计的目的包括评价会计、运营及行政控制的可靠性、充分性及有效性等；3.为企业增加新产品或服务提供建设性的商业建议；4.内部审计部门的工作应进行适当的规划，并被复核和记录。内部审计师的职能范围1.对内部审计部门的有效性进行复核，确492、审计委员会与外部审计（1）审计委员会应承担就任命、重新任命或解聘外聘审计师向董事会提出建议的主要责任；（2）批准外聘审计师的业务条款及审计服务的报酬；（3）审计委员会应规定并复核审计师的审计工作范畴，并确信该审计范畴是充分的；（4）审计委员会应确保于每次年审开始之时已为审计制订了适当的计划；（5）审计委员会应订立年度程序，以确保外聘审计师的独立性和客观性；（6）审计委员会执行完工后的复核。2、审计委员会与外部审计（1）审计委员会应承担就任命、重新503、向股东报告内部控制（1）企业董事会应维持完善的内部控制系统，以保护股东投资及公司资产，应将企业业绩及内部控制情况告知股东。（2）企业董事会应对集团内部控制系统的有效性展开复核，并至少每年向股东汇报一次。复核应涉及所有重大控制，包括财务、运营和合规控制以及风险管理系统。董事会无法亲自实施所有的复核工作，因此，需授权给审计委员会和内部审计部门。3、向股东报告内部控制（1）企业董事会应维持完善的内部控制51第06章风险管理框架下的内部控制课件52七、风险管理、内部控制、公司治理（一）公司治理的基本原则1.建立完善的组织结构2.明确董事会的角色和责任3.提倡正直与道德行为4.维护财务报告的诚信及外部审计的独立性5.及时披露信息和提高透明度6.鼓励建立内部审计部门7、尊重股东的权利8.确认利益相关者的合法权益9．鼓励提升业绩10．公平的薪酬和责任七、风险管理、内部控制、公司治理（一）公司治理的基本原则53（二）风险管理、内部控制、公司治理的关系（二）风险管理、内部控制、公司治理的关系54董事会的相关问题独立董事独立董事是独立于公司股东且不在公司内部任职，与公司或公司管理层没有重要的业务联系和专业联系，从而能够不受约束地进行独立判断。董事会中大部分成员应当是独立董事。独立董事的四种角色。独立决策应该制定一个为董事会提供独立的专业意见的程序，保证所有董事都应该在决策中进行独立判断。董事会主席的作用董事长负责领导董事会；配合非执行董事的工作；对于投资者及其他外部的利益相关者或委托人，董事会主席是公司的代表。董事会的相关问题独立董事独立董事是独立于公司股东且不在公司内55第06章风险管理框架下的内部控制本章属于重点章。重点考核内容包括：（1）内部控制的定义及发展，内部控制5要素的内容；（2）COSO内部控制框架；（3）内部控制的应用；（4）企业内部控制评价；（5）审计委员会；（6）内部控制与公司治理（独立董事）。第06章风险管理框架下的内部控制本章属于重点章。重点考核56第06章风险管理框架下的内部控制课件57第一节企业内部控制理论的演变与发展（了解）第一节企业内部控制理论的演变与发展（了解）58COSO内部控制框架的五要素职能部门业务部门财务报告运营合规控制环境风险评估控制活动信息与沟通监察COSO内部控制框架的五要素职能部门业务部门财务报告59企业风险管理框架——ERM企业风险管理框架——ERM60第二节我国内部控制规范体系几个时间点：2008年6月28日，财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》。2009年7月1日起适用于中华人民共和国境内设立的大中型企业（包括上市公司）执行。同时鼓励小企业和其他单位参照其内容建立与实施内部控制。2010年4月26日发布了《企业内部控制配套指引》。自2011年1月1日起首先在境内外同时上市的公司实施，自2012年1月1日起扩大到上交所、深交所主板上市的公司实施第二节我国内部控制规范体系几个时间点：6120个指引20个指引62第三节内部控制基本规范—、内部控制的目标（掌握）

《基本规范》将内部控制的目标归纳为五个方面：

（1）合理保证企业经营管理合法合规；

（2）合理保证企业资产安全；（有效、安全、完整）

（3）合理保证企业财务报告及相关信息真实完整；

（4）提高经营效率和效果；

（5）促进企业实现发展战略。第三节内部控制基本规范—、内部控制的目标（掌握）63二、内部控制的原则（掌握）（一）全面性原则贯穿决策、执行和监督的全过程

覆盖企业及其所属单位

各种业务和事项（二）重要性原则在全面控制的基础上，内部控制应该关注重要业务事项和高风险领域。（三）制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五）成本效益原则又称为成本与效率效果原则，就是指内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。二、内部控制的原则（掌握）（一）全面性原则贯穿决策、执行和监64四、内部控制的要素（本章第一个最重要的重点）内部环境风险评估控制活动信息与沟通内部监督四、内部控制的要素（本章第一个最重要的重点）内部环境风险评65内部环境包括软环境（价值观）和硬环境（制度、规则等）•公司治理结构；•内部机构设置与职责分工；•内部审计；•人力资源政策•企业文化；•法制环境风险评估（1）风险评估的程序：第一步是采用定性与定量相结合的方法，评估风险发生的可能性与频率，以及其为企业带来的影响程度；第二步是对识别的风险进行分析和排序，对重要风险进行管理及采取适当的应对风险行动。（2）风险管理：包括识别和分析影响目标实现的风险（包括与不断变化的监管、运营环境和商业策略有关的风险），以此来确定如何降低和管理此类风险的依据（第5章探讨完整的过程）。控制活动（1）不相容职务分离控制；（2）授权审批控制；（3）会计系统控制；（4）财产保护控制；（5）预算控制；（6）运营分析控制；（7）绩效考评控制等。信息与沟通（1）信息的识别、收集和传达；企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。（2）全方位的有效的沟通。（第十二章展开）内部监督（1）监督工作：监督方法、记录、报告（2）自我评价。内部环境包括软环境（价值观）和硬环境（制度、规则等）风险评估66不相容职务一般包括：授权批准与业务经办业务经办与会计记录会计记录与财产保管业务经办与稽核检查授权批准与监督检查不相容职务一般包括：授权批准与业务经办67第四节内部控制应用指引第四节内部控制应用指引68一、组织架构一、组织架构69（一）组织架构设计与运行中需关注的主要风险治理结构层面的风险治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。内部机构层面的风险内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。（一）组织架构设计与运行中需关注的主要风险治理结构层面的风70（二）内部控制要求与措施企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。（二）内部控制要求与措施企业的重大决策、重大事项、重要人事71二、发展战略（一）制定与实施发展战略需关注的主要风险

（1）缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。

（2）发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。

（3）发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。

二、发展战略（一）制定与实施发展战略需关注的主要风险

（172（二）内部控制要求与措施企业的发展战略方案经董事会审议通过后，报经股东（大）会批准实施。发展战略的宣传，将发展战略及其分解落实情况传递到内部各管理层级和全体员工。（二）内部控制要求与措施企业的发展战略方案经董事会审议通过后73三、人力资源（一）人力资源管理需关注的主要风险

（1）人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。——企业决策层和执行层的高管人员

（2）人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。

——专业技术人员

（3）人力资源退出机制不当，可能导致法律诉讼或企业声誉受损。——企业辞退员工、解除员工劳动合同等而引发的劳动纠纷三、人力资源（一）人力资源管理需关注的主要风险

（1）人力74四、社会责任【主要包括】安全生产、产品质量（含服务）、环境保护、资源节约、促进就业、员工权益保护等。

（一）履行社会责任方面需关注的主要风险

（1）安全生产措施不到位，责任不落实，可能导致企业发生安全事故。

（2）产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。

（3）环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业。

（4）促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。四、社会责任【主要包括】安全生产、产品质量（含服务）、环境75六、资金活动（一）资金活动需关注的主要风险

（1）筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机。

（2）投资决策不当，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下。

（3）资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余。

（4）资金活动管控不严，可能导致资金被挪用、侵占、抽逃或遭受欺诈。六、资金活动（一）资金活动需关注的主要风险

（1）筹资76（二）内部控制要求与措施【两个特别规定】

企业财会部门负责资金活动的日常管理，参与投融资方案等可行性研究。总会计师或分管会计工作的负责人应当参与投融资决策过程。

企业应当采取合法有效措施，强化对子公司资金业务的统一监控。有条件的企业可探索财务公司、资金结算中心等资金集中管理模式。

（二）内部控制要求与措施77营运管理（1）严禁资金的体外循环，切实防范资金营运中的风险。

（2）企业在生产经营及其他业务活动中取得的资金收入应当及时入账，不得账外设账，严禁收款不入账、设立“小金库”。

（3）企业办理资金收付业务，应当遵守现金和银行存款管理的有关规定，不得由一人办理货币资金全过程业务，严禁将办理资金支付业务的相关印章和票据集中一人保管。营运管理78七、采购业务（一）采购业务需关注的主要风险

（1）采购计划安排不合理，市场变化趋势预测不准确，造成库存短缺或积压，可能导致企业生产停滞或资源浪费。

（2）供应商选择不当，采购方式不合理，招投标或定价机制不科学，授权审批不规范，可能导致采购物资质次价高，出现舞弊或遭受欺诈。

（3）采购验收不规范，付款审核不严，可能导致采购物资、资金损失或信用受损。七、采购业务（一）采购业务需关注的主要风险

（1）采购79八、资产管理（一）资产管理的风险八、资产管理（一）资产管理的风险80九、销售业务销售业务（1）销售政策和策略不当，市场预测不准确，销售渠道管理不当等，可能导致销售不畅、库存积压、经营难以为继。（2）客户信用管理不到位，结算方式选择不当，账款回收不力等，可能导致销售款项不能收回或遭受欺诈。（3）销售过程存在舞弊行为，可能导致企业利益受损。（1）销售：计划、客服开发与信用管理、定价与合同、发货（2）收款九、销售业务销售业务（1）销售政策和策略不当，市场预测不准81十、研究与开发研究与开发（1）研究项目未经科学论证或论证不充分，可能导致创新不足或资源浪费。（2）研发人员配备不合理或研发过程管理不善，可能导致研发成本过高、舞弊或研发失败。（3）研究成果转化应用不足、保护措施不力，可能导致企业利益受损。（1）申请（2）审批（3）研究过程（4）合同（5）验收（6）人员（7）评估机制十、研究与开发研究与开发（1）研究项目未经科学论证或论证不82十一、工程项目工程项目（1）立项缺乏可行性研究或者可行性研究流于形式，决策不当，盲目上马，可能导致难以实现预期效益或项目失败。（2）项目招标暗箱操作，存在商业贿赂，可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案。（3）工程造价信息不对称，技术方案不落实，概预算脱离实际，可能导致项目投资失控。（4）工程物资质次价高，工程监理不到位，项目资金不落实，可能导致工程质量低劣，进度延迟或中断。（5）竣工验收不规范，最终把关不严，可能导致工程交付使用后存在重大隐患。企业应当建立和完善工程项目各项管理制度，全面梳理各个环节可能存在的风险点，规范工程立项、招标、造价、建设、验收等环节的工作流程，明确相关部门和岗位的职责权限，做到可行性研究与决策、价款概预算编制与审核、项目实施与支付、竣工决算与审计等不相容职务相互分离，强化工程建设全过程的监控，确保工程项目的质量、进度和资金安全。十一、工程项目工程项目（1）立项缺乏可行性研究或者可行性研83十二、担保业务担保业务（1）对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈。（2）对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致企业承担法律责任。（3）担保过程中存在舞弊行为，可能导致经办审批等相关人员涉案或企业利益受损。（1）受理申请（2）调查评估（3）审批（4）签订担保合同（5）监控十二、担保业务担保业务（1）对担保申请人的资信状况调查不深84十三、业务外包业务外包（1）外包范围和价格确定不合理，承包方选择不当，可能导致企业遭受损失。（2）业务外包监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势。（3）业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案。企业应当建立和完善业务外包管理制度，规定业务外包的范围、方式、条件、程序和实施等相关内容，明确相关部门和岗位的职责权限，强化业务外包全过程的监控，防范外包风险，充分发挥业务外包的优势。企业应当权衡利弊，避免核心业务外包。十三、业务外包业务外包（1）外包范围和价格确定不合理，承包85十四、财务报告（一）编制、对外提供和分析利用财务报告需关注的主要风险

（1）编制财务报告违反会计法律法规和国家统一的会计准则制度，可能导致企业承担法律责任和声誉受损。

（2）提供虚假财务报告，误导财务报告使用者，造成决策失误，干扰市场秩序。

（3）不能有效利用财务报告，难以及时发现企业经营管理中存在的问题，可能导致企业财务和经营风险失控。十四、财务报告（一）编制、对外提供和分析利用财务报告需关注86十五、全面预算全面预算（1）不编制预算或预算不健全，可能导致企业经营缺乏约束或盲目经营。（2）预算目标不合理、编制不科学，可能导致企业资源浪费或发展战略难以实现。（3）预算缺乏刚性、执行不力、考核不严，可能导致预算管理流于形式。编制、执行、考核十五、全面预算全面预算（1）不编制预算或预算不健全，可能导87十六、合同管理（一）合同管理需关注的主要风险

（1）未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈，可能导致企业合法权益受到侵害。

（2）合同未全面履行或监控不当，可能导致企业诉讼失败、经济利益受损。

（3）合同纠纷处理不当，可能损害企业利益、信誉和形象。十六、合同管理（一）合同管理需关注的主要风险

（1）未88十七、内部信息传递指引项目存在风险控制点（内部报告的形成）内部信息传递（一）内部报告系统不健全，内容不完整，可能对整个生产经营管理造成负面影响。（二）内部信息传递不及时、不通畅，可能导致决策失误、相关政策措施难以落实。（三）内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映各种内外部信息。制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享。广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级拓宽内部报告渠道十七、内部信息传递指引项目存在风险控制点（内部报告的形成）内89内部信息传递指引项目存在风险控制点（内部报告的传递）内部信息传递（一）内部报告系统不健全，内容不完整，可能对整个生产经营管理造成负面影响。（二）内部信息传递不及时、不通畅，可能导致决策失误、相关政策措施难以落实。（三）内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。企业各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动，确保企业实现发展目标。应当有效利用内部报告进行风险管理。突出问题和重大风险，应当启动应急预案。严格的内部报告保密制度，防止泄露商业秘密。建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性和信息传递的有效性。内部信息传递指引项目存在风险控制点（内部报告的传递）内部信息90十八、信息系统指引项目存在风险控制点（信息系统的开发）

信息系统（一）缺乏整体规划或者规划不合理，可能导致企业形成信息孤岛、重复建设、资源浪费；（二）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；（三）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。根据信息系统建设整体规划，提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施将生产经营管理全部业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。系统开发全过程的跟踪管理做好信息系统上线的各项准备工作十八、信息系统指引项目存在风险控制点（信息系统的开发）信91信息系统指引项目存在风险控制点（信息系统的运行与维护）

信息系统（一）缺乏整体规划或者规划不合理，可能导致企业形成信息孤岛、重复建设、资源浪费；（二）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；（三）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范确定信息系统的安全等级，建立不同等级信息的授权使用制度建立用户管理制度，加强对重要业务系统的访问权限管理加强网络安全，防范来自网络的攻击和非法侵入建立系统数据定期备份制度加强服务器等关键信息设备的管理信息系统指引项目存在风险控制点（信息系统的运行与维护）信92第五节内部控制的评价与审计一、内部控制评价的内容企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等第五节内部控制的评价与审计一、内部控制评价的内容93二、评价程序制定评价控制方案评价部门或者机构应具备的条件：（1）独立权限；（2）专业胜任能力与职业道德；（3）与相关部门协调；（4）权威性，得到最高管理层的支持。组成评价工作组评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务。实施评价工作与测试了解公司层面基本情况；了解页面层面的主要流程及风险；确定检查评价范围与重点；开展现场检查测试：综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据汇总评价结果二、评价程序制定评价控制方案评价部门或者机构应具备的条件：组94三、内部控制缺陷的认定内部控制缺陷的分类按缺陷的本质分类：设计缺陷与运行缺陷按严重程度分类：重大缺陷、重要缺陷、一般缺陷重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。内部控制认定程序与整改缺陷认定：审查得出结论或者增加测试——增加或者直接判定缺陷性质——扩大范围排除或认定缺陷。整改：企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。三、内部控制缺陷的认定内部控制缺陷的分类按缺陷的本质分类：95第06章风险管理框架下的内部控制课件96四、内部控制评价报告内部控制评价报告至少应当披露下列内容：（一）董事会对内部控制报告真实性的声明。（二）内部控制评价工作的总体情况。（三）内部控制评价的依据。（四）内部控制评价的范围。（五）内部控制评价的程序和方法。（六）内部控制缺陷及其认定情况。（七）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。（八）内部控制有效性的结论。四、内部控制评价报告内部控制评价报告至少应当披露下列内容：97五、内部控制的审计（简单了解，审计的重点）建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。

表明内部控制可能存在重大缺陷的迹象，主要包括：（一）注册会计师发现董事、监事和高级管理人员舞弊。（二）企业更正已经公布的财务报表。（三）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报。（四）企业审计委员会和内部审计机构对内部控制的监督无效。五、内部控制的审计（简单了解，审计的重点）建立健全和有效实施98在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见。（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行99六、审计委员会的监察角色组成与职责审计委员会是董事会下辖的委员会，