管理大企业税务风险教材课件

管理大企业税务风险.

企业税务内控系统测试主讲人：许柯谈亮卢强德勤华永会计师事务所管理大企业税务风险.主讲人：声明注意事项本次演讲的所有资料或解释(包括但不限于投影片)(以下统称为“材料”)乃德勤华永会计师事务所有限公司（以下简称“德勤华永”）为内部使用目的而编制的。它仅提供给德勤华永所授权的人士使用。该材料仅供一般指引之用，并非旨在构成任何决策的基础，且不能被解释为德勤华永的建议、意见或推荐。此外，由于德勤华永在编制有关材料时受时间及适用的资料所限，可能并未知悉所有的事实或资料，因此该等材料并不应被视为全面完备的材料。而德勤华永亦不会就材料的准确性、完整性或充分性进行任何陈述。使用者应当自行承担因应用该等材料的内容而产生的风险。本材料为机密文件。除德勤华永所授权的人士外，任何其它人士未经德勤华永事先书面同意，不得以任何方式持有、使用或传播本材料。德勤华永不对任何人承担任何义务和责任（包括但不限于疏忽引起的责任）。德勤华永保留本材料的著作权及其它一切知识产权。声明注意事项许柯德勤华永商务与税务咨询服务部合伙人中国注册会计师(CICPA)中国注册税务师(CICTA)德勤培训讲师：许柯先生是德勤华永会计师事务所上海税务和商务咨询部的合伙人。许先生在中国企业上市的税务方面有丰富的专业经验。同时,他是本所华东区南京分所、杭州分所和苏州分所的主管合伙人，领导着整个江浙地区的税务服务团队。2001年12月，为配合德勤全球战略发展的需要，许先生曾被德勤国际委派到澳大利亚工作一年半，从事国际税务和转让定价税务服务。许先生擅长提供各种与中国的企业在国内、外的主要证券市场上市有关的税务服务；协助大型国有企业、民营企业和跨国公司进行整体税务状况评估和税务筹划；在国内企业境外投资的架构设计与整合也有丰富的经验；此外，他在转让定价方面有资深的经验，为众多跨国公司提供关联交易的税务规划和研究。许柯德勤培训讲师：许柯先生是德勤华永会计师事务所上海税务和商谈亮德勤华永企业险管理服务部合伙人中国注册会计师(CICPA)国际注册内部测试师(CIA)国际注册内部控制自我评估师(CCSA)美国注册信息系统测试师(CISA)思科认证资深网络专员（CCNA)德勤培训讲师：谈亮先生是德勤华永会计师事务所华东区企业风险管理服务部的合伙人，具有超过十年的风险和内控领域的管理咨询经验，主要从事企业风险管理咨询、内部控制以及萨班斯法案相关的测试和咨询服务。谈先生在德勤中国和香港两地拥有综合项目经验，包括内部控制测试、萨班斯法案服务以及风险管理服务经验。他曾为多家跨国公司、外商投资企业、国有大型企业集团、高科技公司及境外上市公司提供内部控制和企业风险管理咨询，特别专注与钢铁和重型制造业，也有着在中国大陆、香港和日本为当地客户提供咨询服务的工作经验。谈先生曾经应邀为多家政府机构和国有大型集团讲授风险管理、内部控制的课程。他受邀在江苏国资委、上海证监局、广东内审协会、广东银行保险证券系统、中国证券业协会以及上海本地的若干个大型国有集团中讲课。他也是代表德勤为上交所《内控指引》提供实施方面专业建议的外部专业组的主要成员之一；著有《中美日企业内部控制实务》一书。谈亮德勤培训讲师：谈亮先生是德勤华永会计师事务所华东区企业风卢强博士德勤华永商务与税务咨询服务部高级经理中国注册会计师(CICPA)中国注册税务师(CICTA)德勤培训讲师：卢强博士是德勤华永会计师事务所上海税务和商务咨询部的税务高级经理，有多年的税务工作经验，其中也包括在税务机关的工作经验。同时,他也是德勤中国的税务技术中心的高级技术经理,是内部的税务技术专家。卢博士擅长提供各种与中国的企业在国内、外的主要证券市场上市有关的税务服务；协助大型国有企业、民营企业和跨国公司进行整体税务状况评估和税务筹划；在国内企业境外投资的架构设计与整合也有丰富的经验。卢博士于2004年获得天津财经大学会计学博士学位。卢博士是中国注册会计师和中国注册税务师。卢强博士德勤培训讲师：卢强博士是德勤华永会计师事务所上海议题

123主题一：企业风险管理和内部控制简介主题二：内控失效的典型案例分析主题三：常用的企业内控测试方法和辅助工具4主题四：大企业的税务风险内控测试简介管理大企业税务风险议题

123主题一：企业风险管理和内部控制简介主题二：内管理大企业税务风险.

管理大企业税务风险.对税务内控进行测试

是管理大企业税务风险的重要手段和必要手段纳税人寓管于测，以测促管

对税务内控进行测试

是管理大企业税务风险的重要手段和必要手段主题一：

企业风险管理和内部控制简介.主题一：

企业风险管理和内部控制简介.风险管理基础知识——风险的定义风险因素事件影响目标业绩的内外部事件风险事件或环境负面影响实体目标业绩的可能性机遇事件产生及正面影响目标业绩的可能性环境影响风险物化可能性的环境或状态正面－向上负面－向下风险因素、事件、环境、机遇及风险定义事件有正面效应、负面效应或两者皆有具有负面效应的事件意味着会产生风险具有正面效应的事件可以抵消不利的影响或产生有利机会周边环境与风险产生的可能性紧密相关例如：劳动力未经培训可能导致频繁发生事故机遇支持创造价值或使价值持续管理层创造时机来支持战略或目标设置的程序，该行为可阐述为抓住机遇具有负面影响的事件会抵制价值创造或者侵蚀已有价值具有负面影响的事件可能来源于看似存在正面效应的机会，如：客户需求量超过其生产能力

风险管理基础知识——风险的定义风险因素风险机遇环境正面－为什么要开展企业风险管理一般来说，企业风险管理是为了：可持续性发展—对单个业务风险或整体风险持续不断地进行识别、确认和评估优化资源分配－通过“风险比较”，将业务计划和风险管理活动进行排序，基于风险业绩指标进行资源分配提高经营效率－使用集中的或共享的风险管理职能、规避风险、简化流程及优化结构（例如，系统，人员等）改进内部沟通机制—有利于理顺汇报渠道，发展一套企业内部进行风险沟通的“共同语言”稳定收益－通过提高对风险的定量分析及剩余风险的应对措施来稳定收益为什么要开展企业风险管理一般来说，企业风险管理是为了：风险识别、风险评估、风险应对是全面风险管理的三个核心步骤；其中，－风险识别是管理基础，－风险评估是资源配置，－风险应对是企业价值的保护和再创造。风险管理的生命力在于与日常管理体系的结合，而非两张皮的概念。某央企提出的“以风险为导向，以流程为纽带，以内控为抓手，以制度为基础”的四位一体，得到国资委高度赞扬。全面风险管理的三个核心步骤风险识别、风险评估、风险应对是全面风险管理的三个核心步骤；其风险管理的基本流程——风险识别德勤风险智能地图行业普遍关键风险战略相关风险管理层关注风险识别关键风险的方法：业内同行关键风险调研企业战略目标相关的关键风险管理层关注的关键风险运用德勤风险智能地图进行风险匹配风险管理及内部控制调查问卷步骤1-风险识别：根据公司整体目标和职能部门目标，从管理企业风险和创造企业价值出发，识别、整理、分析与公司战略发展和业务流程最相关的关键风险。如何准确识别关键风险？风险管理及内控问卷风险管理的基本流程——风险识别战略管理层识别关键风险的方法：风险管理的基本流程——风险评估步骤2-风险评估：按照风险评估标准，通过问卷调查的形式，就风险本身的固有风险和基于现有内控有效性之下的剩余风险进行评估。如何区别固有风险(Inherent

risk)和剩余风险(Residualrisk)的定义？

固有风险：是指假定不存在任何风险管理措施和内部控制，导致企业发生某方面或多方面损失的风险。固有风险考虑的是风险可能造成的最坏影响。

剩余风险：是指在考虑公司现有的风险管理措施和内控有效性之后，仍然会导致企业发生某方面或多方面损失的风险。剩余风险考虑的是经过公司的内控管理之后风险仍有可能造成的影响。需要综合考虑固有风险和内控有效性的评估结果。固有风险—内控有效性=剩余风险多坏?多快?从多个纬度考虑多好?多快?预防或积极准备应对提高改进是否可接受?趋势更好更坏没变化风险管理的基本流程——风险评估步骤2-风险评估：如何区别固风险管理的基本流程——风险应对步骤3-风险应对：按照风险评估结果绘制《风险应对策略图》(MARCIChart)

，制定关键风险的应对方案。L固有风险确认/重新确认准备的有效性MCIAR剩余风险HLR=Redeployment重新部署有限的风险管理资源A-Assurance确认或重新确认风险控制的有效性CI=CumulativeImpact测量累积影响M-Mitigation积极降低风险ARHM象限：此区域风险点的固有风险高且剩余风险水平也高，需采取措施积极降低风险；A象限：此区域风险点的固有风险水平较高，但通过有效的风险控制，剩余风险水平较低。需对风险控制有效性进行监控或确认；R象限：此区域风险点的固有风险与剩余风险水平都较低。对此区域的风险点可以考虑对有限的风险管理资源进行重新部署；CI象限：此区域风险点的固有风险较低，但影响可能累积而造成剩余风险较高。需测量风险的累积影响，确认控制措施。风险管理的基本流程——风险应对步骤3-风险应对：L固有风险风险规避退出引起风险的活动，即在可能的情况下，决定不从事或尽量避免那些继续从事可能会导致风险的活动，如退出生产线、停止一个区域的业务、或出售一部分经营性资产等。风险减轻采取措施来减轻风险的可能性和/或影响，即通过改变风险发生的可能性来减少风险的不利后果，或改变风险的影响来减少损失的范围。减轻风险一般牵涉到所有大量的日常经营决策，例如产品多样化、技术改进、加强人员培训、资本重新分配、改进业务流程等。风险分担通过采取措施来转移和分担一部分风险来减少风险的可能性或影响，这包括与另外的单位合作来共同承担风险，如成立合资企业、购买保险、套期保值、外包业务等。分担风险可能会带来新的风险，因为合作单位可能缺乏期望的能力和资源。风险接受不采取任何措施去影响风险的可能性和影响。这可能是因为该风险属于风险容忍度范围之内；或该风险在企业范围内与其他风险自然抵消；或由于风险应对成本过高，公司决定接受该风险。风险应对方案的基本类型风险管理的基本流程——风险应对基本类型风险规避风险减轻风险分担风险接受风险应对方案的基本类型风险管

设计风险应对方案的思路源头治理：了解风险发生的根源，针对源头设计风险应对方案；整体风险组合观：从整个企业的角度去分析风险，考虑风险组合应对；考虑风险发生的深层次原因（如：隐含在企业战略和文化方面等），提出改善方案；考虑应对方案的效果和成本，选择一个或几个合适的措施，考虑因素包括：-直接的和非直接的成本、有形的和无形的成本、以及财务或非财务成本；-单独的应对方法或组合方法；-慎重考虑那些发生可能性较小但却很严重的风险；-考虑对股东价值的影响；-考虑应对风险的预算和资源分配，区分优先顺序；-应对措施能够结合现在的内部控制缺陷，且该措施的执行可减少该风险的来源；-风险应对措施本身可能带来新的风险。风险数据库：将所识别的风险点与风险类型或业务流程对应，形成风险数据库加以系统化管理；风险管理责任：将关键风险点与风险所属部门和职位对应，落实风险管理责任。风险管理的基本流程——风险应对的主要思路设计风险应对方案的思路源头治理：了解风险发生的根源，针对风险管理的持续发展——建立风险管理信息系统风险管理的持续发展——建立风险管理信息系统

五部委《企业内部控制基本规范》对内部控制的定义财政部、证监会、测试署、银监会、保监会于2008年6月28日联合发布了《企业内部控制基本规范》《企业内部控制基本规范》总则内部监督风险评估控制活动信息与沟通内部环境附则合理保证:企业经营管理合法合规资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略内部控制：由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

五部委《企业内部控制基本规范》对内部控制的定义财政部、证监现代企业管控体制公司治理是现代企业调整所有者和管理者矛盾的体系；风险管理是管理层应对内外的各种挑战和不确定因素的时候，所采用的较为系统的方法和过程；内部控制是现代企业内部日常经营运作的业务过程，管理者负有实施和监督的完全责任。公司治理风险管理内部控制1—包含的关系内部控制与风险管理的关系1现代企业管控体制公司治理是现代企业调整所有者和管理者矛盾的体战略最高端的战略制定和优化，关注有回报的风险运营/财务/合规

防范资产损失等没有回报的风险战略执行战略分解执行过程中的优化和协同，关注有回报和没有回报的风险两部分内控体系建立健全关注的内容风险管理关注的内容2—支撑的关系内部控制与风险管理的关系2战略最高端的战略制定和优化，关注有回报的风险运营/财务/合规3—风险与控制的平衡过度的风险资产的损失业务决策不善不守法丑闻控制风险过度的控制＋官僚作风

生产力＋复杂性＋周期＋非增值性活动内部控制与风险管理的关系33—风险与控制的平衡过度的风险控制风险过度的控制内部控制与风剩余风险（风险敞口）多坏?多快?财务声誉法律法规健康安全环保相关利益者可接受?趋势更好更坏没变化固有风险–内部控制有效性=多好?多快?预防或积极准备应对及恢复提升风险的类型与风险管理者4—风险敞口内部控制与风险管理的关系4剩余风险多坏?可接受?固有风险–内部控制有效性=多好?风险应对从管理大类来说，可以分为两大类风险应对内部控制应急预案适用于内部可控的风险:设定控制目标制定控制活动形成内部控制矩阵监督与自查……适用于不可控的系统性风险:定期的数据监控和报告应急预案的启动套期保值等避险工具的使用信用证……内部控制与风险管理的关系5风险应对从管理大类来说，可以分为两大类风险应对内部控制应急预

五部委《基本规范》及配套指引最新动态更新

2010年4月26日，财政部、证监会、测试署、银监会、保监会联合发布了“关于印发企业内部控制配套指引的通知”

配套指引的主要内容本次发布的配套指引是依据《基本规范》制定的。配套指引将为企业实施内部控制、对内部控制进行自评估及注册会计师对内部控制进行测试提供技术标准和依据。配套指引的具体内容包括：《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制测试指引》

五部委《基本规范》及配套指引最新动态更新2010年4月2五部委《基本规范》及配套指引最新动态更新（续）配套指引的实施时间表

2011年1月1日境内外同时上市的公司施行

2012年1月1日上海证券交易所、深圳证券交易所主板上市公司未定择机在中小板和创业板上市公司施行

未定鼓励非上市的其他大中型企业提前执行五部委《基本规范》及配套指引最新动态更新（续）配套指引的实施主题二：

内控失效的典型案例分析.主题二：

内控失效的典型案例分析.内控失效的典型案例涉嫌增值税犯罪内控机制拷问英迈中国《财富》500强企业、全球最大IT分销商英迈(IngramMicro)卷入了涉嫌虚开及倒卖增值税发票事件。在2008－2010两年多时间里，英迈国际（中国）有限公司（以下简称英迈中国）内部相关员工涉嫌对外倒卖增值税发票，金额高达8000多万元，已被上海市公安局经侦总队拘捕。目前公安局正针对此案进行调查。有专业人士质疑：英迈是一家成立已有30余年的跨国企业，又是纽交所上市公司，其财务制度不可谓不严格完善。在这种情况下，公司普通会计人员长期倒卖增值税发票，金额如此巨大，若非经过授权，便是内部管理制度存在巨大缺失。英迈是全球最大IT分销商，总部位于美国加利福尼亚州圣塔安纳，2009年全球销售收入为295.2亿美元。目前，英迈在中国30个重点城市设立了分支机构，全面代理40多个国际知名品牌的技术产品，产品范围涉及整机、PC组件、外设、数码产品及配件、软件及增值产品等。而在英迈的合作伙伴清单里，既有IBM、英特尔、惠普这样的知名跨国企业，也有联想、海尔这样的本土大公司。在IT分销业，按照流程，通常品牌厂商将产品卖给英迈，向英迈开具发票（进项票），英迈再将产品卖给下级代理或分销商，同时也要开具发票（销项票）。这样，当英迈去纳税时，须将两张票都交给税务机关，税务机关根据差额进行缴税。一位不愿公开姓名分销业内人士说，在产品销售过程中，有些分销商会提出特别要求，即不需要上家开具增值税发票，而是要求扣掉税点，以更低价格“拿货”，或者有些上家在出货时可以直接不带票。这样一来，上家就产生部分“多出来的”增值税发票，这在分销行业非常普遍。英迈内部人士很有可能是利用了这个漏洞进行非法增值税发票交易。“对于另外一些公司来说，则是采取外购增值税发票的方式用以抵扣税款，”该人士说，这样也就滋生了虚开和倒卖增值税票罪案。他经常会收到一些“卖发票”的垃圾邮件，在深圳等地也经常有一些人在卖“票”。增值税发票失控和员工严重舞弊内控失效的典型案例涉嫌增值税犯罪内控机制拷问英迈中国增值税内控失效的典型案例涉嫌增值税犯罪内控机制拷问英迈中国（续）国家会计学院单喆敏教授分析说，根据我国相关会计制度，增值税发票应当计入“应缴税金”一栏，如果虚开或者倒卖增值税发票，则可能不入账。这意味着相关票据金额将不会体现在财务报表之上，企业或者个人有可能形成自己的“小金库”。在接受记者采访时，英迈中国董事长张凡强调，“被调查”并非像外界渲染的那样，这是一起刑事案件，系公司内部普通员工的个人行为，并非公司授意。但是，也有部分人士对此提出质疑。上述分销业内人士说，大的企业，特别是国际性分销企业往往有非常严格的系统流程以及内部风控、签呈体制，为的就是有效避免这种情况的发生，避免职业犯罪。因此，如果是大型企业的内部人员，在公司不知情的情况下虚开和倒卖增值税票可能性非常小。事实上，英迈正是这样一家“大企业”。这家美国公司于1999年通过收购私人内资企业上海英通电子科技有限公司进入中国，是最早提供服务的国际IT分销企业。2005年，通过股权转让等若干资本层面的操作，上海英通成功变身为港资的“英迈中国”，最终成为一家注册资本为4109万美金的外商独资企业。工商登记注册资料显示，2008年英迈中国的营业收入逾88亿，利润总额近3000万。单喆敏教授分析说，发票是原始凭证，处理这些业务受内部控制约束，审计是很容易发现的。如果出现这样的漏洞则表明公司内控失效。曾经代理过增值税发票犯罪案件辩护的上海市汇业律师事务所合伙人吴冬也表示，国家对增值税票据管理有非常严格的制度，近两年来，增值税发票犯罪的案件并不多见，一般有也是多发生在私营企业领域，像英迈这样的案子并不多见。“如果真是公司内部员工个人行为，涉案金额达到8000万以上，则不仅仅是公司内部控制的问题，有关监管制度是否存在漏洞也值得怀疑。”吴冬说。英迈的问题在哪？－见下页案例分析内控失效的典型案例涉嫌增值税犯罪内控机制拷问英迈中国（续）案例分析该案例中，企业（英迈中国）与税务管理相关的流程、风险和内部控制的关系如下：可能存在的违法违规行为对应的税务管理流程影响的业务流程风险内部控制虚开、倒卖增值税发票（销项税）增值税管理流程销售流程1、销售发票（增值税）缺少严格的管理流程。2、增值税发票的开具、审核、备案、入账、申报等各环节缺少必要的职责分离。1、建立严格的增值税发票管理流程，完善从增票的申请、开具、审核、备案、财务入账、税务申报等各个环节的内部审核制度。2、在流程中建立恰当的职责分离机制，确保不相容岗位互相分离。少记、漏记销售收入增值税管理流程销售流程企业所得税财务报告流程会计系统与销售业务系统之间缺少可靠的数据传递流程，难以保证会计系统中销售收入的完整性和准确性。应建立完善的内部审核制度，保证所有销售交易都完整、准确、及时地录入了会计系统，每一笔会计凭证（含增值税发票）都经过了必要的审核。公司层面控制高级管理层缺乏风险意识。公司缺少有效地反舞弊机制。应建立自上而下的监控机制和自下而上的反舞弊机制，并保证反舞弊机制的有效运行。如何透过现象洞察缺失的控制？案例分析该案例中，企业（英迈中国）与税务管理相关的流程、风险案例分析（续）可能存在的违法违规行为对应的税务管理流程影响的业务流程风险内部控制倒卖增值税发票（进项税）增值税管理流程采购流程1、缺少严格的供应商选择和评审流程。2、由于对关键岗位未建立轮岗机制，可能会导致财务舞弊发生的风险。（五部委指引）1、应建立完善的供应商选择流程，对于不符合要求的供应商（如不能按税务局要求开具正式发票），不能与公司进行交易；如特殊情况下确实需要与其进行采购交易的，应得到公司高级管理层的批准，并且由相关人员对交易单据进行充分审核，确保不存在税务漏洞。2、对于公司职位控制薄弱、易发生舞弊行为的高风险岗位实行轮岗制度。少记、漏记采购成本增值税管理流程存货流程企业所得税财务报告流程可能存在游离于财务系统外的存货资产，并漏记流动负债（应付账款）。应建立定期的与供应商对账机制，对账结果应书面存档，对账差异应及时调查原因。公司层面控制公司缺少有效的内部审计职能，或缺少定期的内控自我评估机制应建立有效的内审职能，内审应具备独立性。在具有较好的内控基础的企业中，应建立定期的内控自我评估机制。如何找出风险点并设计控制措施？案例分析（续）可能存在的违法违规行为对应的税务管理流程影响的主题三：

常用的企业内控测试方法.主题三：

常用的企业内控测试方法.企业业务循环概述收入支出工资固定资产存货融资会计和财务报告信息技术客户/订单评估完成订单发货开发票收入确认信贷控制现金收款（收款）监督未清余额维护客户主文档职责分工申请采购（定购）收取货物与服务核对应付账款发票记录应付账款付款维护供应商主文档职责分工收入循环支出循环企业业务循环概述收入客户/订单评估收入循环支出循环企业内控测试的常用方法－访谈管理销售订单客户授权额度的限定销售合同和订单的建立审批,对销售定价和条件的审批销售订单在系统中的输入,以及信息传送至发货和开具发票的程序及控制确保客户发来的订单都被输入系统并处理确保只有有效的订单才被输入系统并处理销售订单的取消程序,确保取消的订单已准确输入处理销售订单,开具销售发票,处理客户销售退回,处理客户销售后调整订单内容发票使用批准的价格和授权发票在合适的期间内开具发票金额准确的计算和记录所有发货的物资均已开票所有发票都对应有效的发货所有开具的发票都已记录退货在合适的期间开具并记录所有对应收账款余额的调整都准确地记录在恰当地会计期间收款程序管理商业票据销售收款记录在恰当的会计期间销售收款准确地得到了记录所有的收款都得到了记录坏账追查和入账企业内控测试的常用方法－访谈管理销售订单企业内控测试的常用方法－穿行测试销售流程评估资料清单1.请提供相关的公司政策和程序销售合同(或订单)管理程序售后服务管理程序,包含客户订单修改,退货发票管理程序,包含增值税发票物流管理程序,包含发货,装运,报关,送货客户收款管理程序2.请提供目前营销中心现有员工岗位名单及岗位职责3.请抽取一笔具有代表性的销售,并提供以下文件:基础合同、一年期合同、客户订单会计系统中录入的该笔客户订单(电脑截屏)会计系统中该笔业务的发货单(电脑截屏)增值税发票和开发票申请书(如样本是外销,请提供国际商务部的英文发票)该笔销售确认销售收入和应收账款的会计分录记录该笔销售收款的会计分录和银行收款单据4.请提供一笔销售订单取消,并提供以下文件:业务联系单会计系统中销售订单取消的记录(电脑截屏)5.请提供发生在一笔销售退回,并提供以下文件:业务联系单销售退回红字发票销售退回的会计分录企业内控测试的常用方法－穿行测试销售流程评估资料清单企业内控测试的常用方法－抽样测试执行频率控制的性质执行的频率测试项目的最小数量人工控制每日多次25人工控制每日一次15人工控制每周一次5人工控制每月一次2人工控制每季度一次1人工控制每年一次1程式化控制如果得到信息技术整体控制的有效支持，为每个程式化控制活动测试一次应用，否则以类似测试人工控制的方式进行测试（如，25个）。信息技术整体控制按照上述指引对信息技术整体控制的人工和程式化方面进行测试。企业内控测试的常用方法－抽样测试执行频率控制的性质执行的频率内控在信息系统中的体现2006年2月的一条新闻报道：“中国移动的手机冲值卡数据库被侵入，造成直接损失370万人民币”；相关链接2006年4月的一条新闻报道：“中国银联瘫痪8小时京沪等地跨行交易中断；相关链接而2006年5月的一条新闻报道“IT高手带领‘内鬼’‘黑’走乐购超市400万；相关链接3个月内，三起事件均是由于信息系统风险管理的不足而造成的，而其结果更是以惊人的方式表现出来，每个事件给企业带来的直接损失均是百万级的，而无形的损失更是难以衡量。内控在信息系统中的体现2006年2月的一条新闻报道：“中国移整体计算机环境控制流程中的控制措施（手工/应用）收入流程采购流程固定资产管理流程存货管理管理流程财务报告与预算管理流程信息系统审计的理论框架（业务驱动）应用控制（ApplicationControl:AC）授权控制输入控制处理控制输出控制边界/接口控制整体计算机环节控制：(GeneralComputerControl:GCC)

信息资源战略及规划信息系统运作与外包供应商的关系信息安全业务连续性计划应用系统的实施及维护数据库的实施及支持网络支持系统软件支持硬件支持整体计算机环境控制流程中的控制措施（手工/应用）收入流程采购信息系统基本结构网络管理系统操作系统平台数据库管理系统应用系统信息系统一般控制信息系统应用控制信息系统基本结构网络管理系统操作系统平台数据库管理系统应用系信息系统一般控制—实例分析我们选择整体计算机控制部分的信息系统操作领域为例：编号控制目标信息系统操作IR02005所有进行批处理或在线作业及产生报表的实时程序均能及时运行并正常完成IR02008所有执行的程序均为合法的IR02010资料依照法律,法规或公司政策保存,以便必要时可随时取得IR02015计算机处理环境能提供符合或超越客户期望的服务IR02020用户对应用软件的使用得到适当的培训IR02030用户对应用软件的使用能得到在适当的支持以确保应用软件功能得以实现信息系统一般控制—实例分析我们选择整体计算机控制部分的信息系应用系统控制—实例分析应用系统控制—实例分析应用系统控制举例—采购流程授权控制只有得到授权的用户可以在系统中生成采购申请，采购订单，入库单和确认发票只有得到授权的用户可以审批采购申请或采购订单。不会将创建采购申请和审批采购申请的权限赋予同一个用户。输入控制系统会对采购申请单，采购订单和入库单进行连续编号。系统对采购订单页面中的重要字段进行了强制的格式和内容校验，比如在日期字段中不允许输入字符内容，当用户选择了采购物料编码后，物料名和采购价格是由系统自动带出，而不能被修改。当输入的采购量超过库存余额的时候，系统会自动报警，确保这种采购订单不能被生成。

处理控制系统提供模拟处理功能，以确保正式生成的单据是符合公司要求的。在进行发票校验的时候，系统自动会在后台进行三单匹配的校验，以确保生产的采购发票上的数量和金额与采购订单以及入库单上的数字保持一致。若操作的处理过程太长或占用系统资源过多，系统会自动警示。

对任何重要单据的修改，系统都会在保存前和用户进行确认。应用系统控制举例—采购流程授权控制输入控制处理控制应用系统控制举例—采购流程（续）输出控制系统会自动提示输出到其他模块的数据是否成功。对于无法正确输出的报表或者内容，系统会以代码的形式告诉用户原因及解决的方法。用户可以定制输出报表的格式，包括字段和每页的记录条数等。当输出内容超过系统负荷时，系统会自动警示。

边界/接口控制系统会提供接口数据传输的状态报表，包括每次接口传输数据的时间，是否成功等信息。系统会对接口传输的数据包的前后状态进行核对，比如检查导入到新模块的数据包大小和老系统中有什么区别。系统会列示导入前后的记录条数和金额总计。应用系统控制举例—采购流程（续）输出控制边界/接口控制《税务风险内控手册》系统地整合了所有与企业税务管理流程相关的各个风险点、控制目标、控制活动、流程负责人、公司现有制度等信息，以及包含了如何测试这些控制的审计步骤，是企业自行管理税务风险或定期自我评估内部控制的有效辅助工具，也可以便于监管机构（如税务局）对企业进行例行检查。版本：2010-62010年6月中国ABC集团有限公司税务风险内控手册企业内控测试的辅助工具－税务风险内控手册税务管理流程及子流程《税务风险内控手册》系统地整合了所有与企业税务管理流程相关的税务风险内控手册的作用《税务风险内控手册》的主要作用包括：手册系统地整合了所有与企业税务管理流程相关的各个风险点、控制目标、控制活动、流程负责人、公司现有制度等信息；既可以使企业管理人员一目了然地了解企业所有适用的重大税务风险和对应的控制活动，也是指导各级员工开展具体工作的指南；手册包含了如何测试这些控制的审计步骤，可以作为企业自行管理税务风险或定期自我评估内部控制的有效辅助工具；手册可以极大地协助外部监管机构（如各级税务机关）快速了解企业存在的与税务管理相关的重大风险点和企业已有的控制活动，以便对企业展开更具有针对性的例行检查或不定期检查，提升外部监管机构的检查效率和效果。税务风险内控手册的作用《税务风险内控手册》的主要作用包括：企业的业务流程可分为“公司层面的内部控制”和“流程层面的内部控制”，其中流程之一就是税务管理流程，其又可按税种进一步划分成各子流程。CE

控制环境RA

风险评估IC

信息与沟通MO

监督税务管理流程－控制活动CE-001

企业文化RA-001

风险策略IC-001

对内沟通MO-001

自我评估VAT增值税管理流程CE-002

治理结构RA-002

风险识别机制IC-002

对外沟通MO-002

独立监控CIT企业所得税管理流程CE-003

内部审计RA-003

风险分析与评估IC-003

沟通系统与渠道MO-003

对下属公司的

管控IIT

个人所得税管理流程CE-004

机构设置权责分配RA-004

风险应对措施IC-004

反舞弊机制BT其它税种管理流程（营业税、房产税）CE-005

人力资源政策TAX纳税申报及所得税返还管理流程流程层面的内部控制公司层面的内部控制税务风险内控手册－税务管理流程企业的业务流程可分为“公司层面的内部控制”和“流程层面的内部税务风险数据库是通过下发、收集、汇总、分析风险调查问卷，采集企业与税务相关的基本风险信息，并结合德勤全球风险管理项目中累积的实践，对税务风险进行分类（固有风险、剩余风险）和评级（很高、高、中、低、很低、不适用），并评估风险发生的可能性。税务风险内控手册－税务风险数据库风险名称针对每个风险点的控制措施税务风险数据库是通过下发、收集、汇总、分析风险调查问卷，采集税务风险应对策略图是通过对风险调研中取得的基础信息，结合领先的德勤全球风险管理工具，形成风险热力图。税务风险内控手册－税务风险应对策略图针对每个风险点的量化评估根据风险评估的结果产生的红黄绿亮灯管理税务风险应对策略图是通过对风险调研中取得的基础信息，结合领先不兼容职责表：通过A、B、C等英文字母表示每个税务管理子流程中涉及的关键职责；通过“X”表示横向和纵向的两个不同职责是否可以兼任；体现了内控流程中的“不兼容职责”需分离的理念；便于手册使用者和管理层的自我检查。其优点在于：合理分工，形成不同岗位间的相互牵制、相互监督，明确岗位责任；降低舞弊发生的可能性。ABC集团税务风险内控手册企业内控测试的辅助工具－税务风险内控手册每个内控流程手册的子流程主要部分均由以下的业务流程目录、不兼容职责表、风险及控制矩阵构成，具体内容参见后页。不兼容职责表：ABC集团税务风险内控手册企业内控测试的辅助工税务风险及控制矩阵：税务风险及控制矩阵高度概括了各税务管理子流程的关键控制节点，成为公司各级管理层的管理抓手，也可作为外部监管机构稽查的重点。通过风险、控制目标、控制活动的匹配，帮助使用者从“知其然”步入“知其所以然”，深化对控制活动的理解，提高对控制活动的把握；任何不熟悉该控制活动的新员工或外部监管机构，都可通过查阅该控制矩阵及相关制度迅速进入角色，从而实现经验共享。税务流程子流程风险编号风险描述固有风险内控有效性剩余风险控制目的编号控制目标控制活动编号控制活动公司相关政策增值税管理流程发票的开具和销售收入的入账VAT-01核对销售、发货、收款记录不当如果对销售、发货、收款业务的会计系统未进行有效控制，可能导致会计记录、销售记录与仓储记录不一致。

433CO-01企业应当加强对销售、发货、收款业务的会计系统控制，详细记录销售客户、销售合同、销售通知、发运凭证、商业票据、款项收回等情况，确保会计记录、销售记录与仓储记录核对一致。CA-01财务部会计月末在ERP系统中导出产成品出库与已开发票汇总，核对并分析其中差异后将《出库及发票对比清单》交于市场销售部和财务经理签字确认。《ABC公司销售管理制度》

增值税管理流程发票的开具和销售收入的入账VAT-02发票管理不当由于缺乏发票管理相关规定和职责分工，可能造成发票领用、入账、核销过程中出现漏洞,造成企业损失的风险。433CO-02按照合同开具发票企业应当严格按照合同规定的条款和价格及发票管理规定开具销售发票。严禁开具虚假发票。CA-02采购部仓库管理员及市场销售部文员对货物出库进行确认后，市场销售部文员根据货物出库情况同时查看合同信息填写《开票申请单》，交由市场销售部经理审核、后交财务经理确认后财务开票专员进行开票。《ABC公司销售管理制度》

企业内控测试的辅助工具－税务风险内控手册税务风险及控制矩阵：税务流程子流程风险编号风险描述固有风险内编号流程章节发现问题建议管理层整改计划１公司层面控制尚需建立风险管理和内部控制的长效机制公司已聘请外部咨询机构初步建立了风险管理体系和内部控制体系，以识别及应对企业内部和外部的风险，加强运营过程中可能存在的内控薄弱点的管控。由于风险管理和内部控制需要长期关注，相关内容需要根据公司外部形势变化和内部要求变化持续更新，因此尚需建立风险管理和内部控制的长效机制。建议积极建立风险管理和内部控制的长效机制，根据公司外部形势变化和内部要求变化持续更新风险管理体系和内部控制体系。运行管理部牵头进行风险管理和内控体系的建设，并着力在外部咨询机构的咨询指导中完成知识的转移，准备下半年的全系统范围的内控自评。在下一年的风险管理和内控手册更新中，对本部和分子公司相关人员进行培训并提供支持，以保证风险管理和内控体系的持续更新和长效机制。２对分子公司的管理缺乏成文的关联交易管理制度公司目前虽然有草拟的《关联交易管理制度》，但并未经过正式颁布，这可能造成各分子公司对公司关联交易制度和标准了解不足、执行不力，不利于公司关联交易的准确识别、统计和管理。建议按照五部委的要求，由本部统一制定关联交易的政策并及时进行颁布实施。总部已草拟了《关联交易管理制度》，待《上证所上市公司关联交易制度实施指引》正式颁布后（据悉可能在今年7月），总部会依据正式的实施指引作出相应完善和修改后尽快颁布下发。税务风险内控手册－附录：税务控制自评报告企业定期安排税务控制自评，既可以便于企业高级管理层及时掌握税务管理流程中存在的控制薄弱环节，以不断完善税务内控；也可以便于外部税务监管机构及时了解企业在税务风险内控方面的工作成果编号流程章节发现问题建议管理层整改计划１公司层面控制尚需建立主题四：

大企业的税务风险内控测试.主题四：

大企业的税务风险内控测试.大企业税务风险内控测试的对象为实现纳税遵从而设计和实施的内部控制企业纳税遵从风险，包括企业未能按照税法的要求，及时、准确地履行税务登记、纳税申报、税款缴纳以及其他纳税义务产生的风险。其他与纳税遵从相关的控制了解被测试企业的税务风险内控体系（一）评价控制的设计–是否已经有税务内控手册？设计是否得当？（二）获取控制设计和执行的审计证据（三）了解内部控制与测试控制运行有效性的关系–税务内控手册得到有效运行了么？税务风险内控的局限性大企业税务风险内控测试的对象为实现纳税遵从而设计和实施的内部评价被测试企业的税务风险内控体系评价控制环境考虑的主要因素可能包括：（1）被测试单位是否有书面的纳税行为规范并向所有员工传达；（2）被测试单位的企业文化是否强调纳税遵从观念的重要性；（3）在纳税方面管理层是否身体力行，高级管理人员是否起表率作用；（4）对违反有关税收政策和行为规范的情况，管理层是否采取适当的惩罚措施；（5）税务风险管理岗位人员的胜任能力；（6）董事会、审计委员会或类似机构是否对税务风险的监控有足够的关注；（7）管理层在承担和监控税务风险方面是风险偏好者还是风险规避者；（8）管理层在选择税务处理方式是倾向于激进还是保守；（9）对于重大的决策事项，管理层是否征询税务风险管理岗位的意见；（10）在被测试单位内部对于税务风险管理是否有明确的职责划分；（11）其他。评价被测试企业的税务风险内控体系评价控制环境评价被测试企业的税务风险内控体系评价被测试单位的风险评估过程（一）被测试单位可能面临的风险1.监管及经营环境的变化。2.企业重组–决策过程是否有纳税风险管理岗位的参与？……3.发展海外经营–

新的问题是否已经纳入了风险管理范畴？如利用双边税收协定避免在东道国多交税？……4.新的会计准则-

新的会计和税务差异有谁来识别？纳税调整如何传递到纳税申报岗位？……5.重大关联交易-决策过程是否有纳税风险管理岗位的参与？……3.新信息系统的使用或对原系统进行升级。4.业务快速发展。5.其他。评价被测试企业的税务风险内控体系评价被测试单位的风险评估过程评价被测试企业的税务风险内控体系被审计单位的风险评估过程（二）对风险评估过程的了解（1）被测试单位是否已建立税务风险评估过程，包括识别风险，估计风险的重大性，评估风险发生的可能性以及确定需要采取的应对措施；（2）会计部门和税务风险管理部门是否建立了某种流程，以识别会计与税务差异的重大变化；（3）当被测试单位业务操作发生变化的流程时，是否存在沟通渠道以通知税务风险管理部门；（4）税务风险管理部门是否建立了某种流程，以识别经营环境包括监管环境发生的重大变化。（5）其他。评价被测试企业的税务风险内控体系被审计单位的风险评估过程评价被测试企业的税务风险内控体系评价控制活动考虑的主要因素可能包括：（1）对被审计单位的主要经营活动是否都有必要的税务风险控制程序；（2）管理层对税务风险控制方面是否有清晰的目标，在被测试单位内部，是否对目标加以清晰的记录和沟通，并且积极地对其进行监控；（3）是否存在计划和报告系统，以识别税务风险的出现，并向适当层次的管理层报告该风险；（4）是否由适当层次的管理层对风险进行调查，并及时采取适当的措施；（5）不同税务风险管理岗位人员的职责应在何种程度上相分离；（6）会计系统中的数据是否与纳税数据定期核对；（7）是否建立了适当的保护措施，以防止未经授权接触文件、记录和资产；（8）其他。评价被测试企业的税务风险内控体系评价控制活动评价被测试企业的税务风险内控体系评价对控制的监督考虑的主要因素可能包括：（1）被测试单位是否定期评价税务风险内部控制；（2）被测试单位人员在履行正常职责时，能够在多大程度上获得税务风险内部控制是否有效运行的证据；（3）与税务机关、中介机构等外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题；（4）管理层是否采纳税务风险管理岗位的建议；（5）管理层是否根据税务机构的检查及建议及时采取纠正措施；（6）是否存在协助管理层监督内部控制的职能部门（如内部审计部门）。（7）其他。评价被测试企业的税务风险内控体系评价对控制的监督评价被测试企业的税务风险内控体系评价信息系统与沟通评价被测试企业的税务风险内控体系评价信息系统与沟通评价被测试企业的税务风险内控的工作模块确定被测试单位的重要税务内控工作模块了解重要内控流程，并记录获得的了解（1）检查被测试单位的手册和其他书面指引，特别是被测试单位文件（如流程图、程序手册、职责描述、文件、表格等；（2）询问被审计单位的适当人员；（3）观察所运用的处理方法和程序；（4）穿行测试。评价被测试企业的税务风险内控的工作模块确定被测试单位的重要税评价被测试企业的税务风险内控的工作模块确定可能发生税务风险的环节控制目标解释1.完整性：所有的有效交易都已记录。必须有程序确保没有漏记实际发生的交易。2.存在和发生：每项已记录的交易均真实。必须有程序确保会计记录中没有虚开发票的项目。3.适当计量交易。必须有程序确保交易以适当的金额入账。4.恰当确定交易生成的纳税义务期间（截止性）。必须有程序确保交易在适当的期间内入账（例如，月、季度、年等）。5.恰当分类。必须有程序确保将交易缴纳正确的流转税（营业税和增值税的划分）。6.正确汇总和过账。必须有程序确保增值税会计处理的准确。举例–增值税应税收入评价被测试企业的税务风险内控的工作模块确定可能发生税务风险的评价被测试企业的税务风险内控的工作模块识别和了解相关控制针对容易发生税务风险的环节，应当确定：（1）被测试单位是否建立了有效的控制，防止或发现并纠正这些错误；（2）被测试单位是否遗漏了必要的控制；（3）是否识别了可以最有效测试的控制。评价被测试企业的税务风险内控的工作模块识别和了解相关控制评价被测试企业的税务风险内控的工作模块识别和了解相关控制针对容易发生税务风险的环节，应当确定：（1）被测试单位是否建立了有效的控制，防止或发现并纠正这些错误；（2）被测试单位是否遗漏了必要的控制；（3）是否识别了可以最有效测试的控制。评价被测试企业的税务风险内控的工作模块识别和了解相关控制评价被测试企业的税务风险内控的工作模块执行穿行测试，证实对工作模块和相关控制的了解（1）确认对工作模块的了解；（2）确认对所有可能发生重大税务风险的环节都已识别；（3）确认所获取的有关流程中的预防性控制和检查性控制信息的准确性；（4）评估控制设计的有效性；（5）确认控制是否得到执行；（6）确认之前所作的书面记录的准确性。评价被测试企业的税务风险内控的工作模块执行穿行测试，证实对工评价被测试企业的税务风险内控的工作模块初步评价和风险评估对控制的评价结论可能是：（1）所设计的内部控制单独或连同其他控制能够防止或发现并纠正重大税务风险，并得到执行；（2）控制本身的设计是合理的，但没有得到执行；（3）控制本身的设计就是无效的或缺乏必要的控制。由于对控制的了解和评价是在穿行测试完成后，但又在测试控制运行有效性之前进行的，因此，上述评价结论只是初步结论，仍可能随控制测试后实施实质性程序的结果而发生变化。评价被测试企业的税务风险内控的工作模块初步评价和风险评估测试举例：增值税发票管理（购销及开具）的税务内控测试举例：增值税发票管理（购销及开具）的税务内控以关联交易定价的测试为例测试步骤与要点（五）审查关联交易是否符合公平交易原则。将同一产品的关联售价/购价与非关联售价/购价进行对比分析（绝对值、趋势）。将关联销售与非关联销售的毛利率进行对比分析（绝对值、趋势）。将关联销售利润率（毛利率、净利率）与可比企业利润率进行对比分析。将关联销售利润率（毛利率、净利率）与可比企业利润率进行对比分析。将关联销售财务指标与集团内部相关财务指标进行对比分析：与集团内同类型关联企业毛利率等财务指标进行对比分析。与集团整体的毛利率等财务指标进行对比分析。与集团部门（关联交易隶属该部门）毛利率等财务指标进行对比分析。分析关联交易利润在本企业与关联企业间的分配是否合理，特别要结合税收优惠，分析该分配比例在优惠期内外是否异常。结合企业享受的税收优惠，分析关联销售利润率变动趋势是否合理；将关联支付费用率与本地区非关联支付指标进行对比分析。税收流程测试实例分析－关联交易税收流程测试实例分析－关联交易管理大企业税务风险教材课件演讲完毕，谢谢观看！演讲完毕，谢谢观看！管理大企业税务风险.

企业税务内控系统测试主讲人：许柯谈亮卢强德勤华永会计师事务所管理大企业税务风险.主讲人：声明注意事项本次演讲的所有资料或解释(包括但不限于投影片)(以下统称为“材料”)乃德勤华永会计师事务所有限公司（以下简称“德勤华永”）为内部使用目的而编制的。它仅提供给德勤华永所授权的人士使用。该材料仅供一般指引之用，并非旨在构成任何决策的基础，且不能被解释为德勤华永的建议、意见或推荐。此外，由于德勤华永在编制有关材料时受时间及适用的资料所限，可能并未知悉所有的事实或资料，因此该等材料并不应被视为全面完备的材料。而德勤华永亦不会就材料的准确性、完整性或充分性进行任何陈述。使用者应当自行承担因应用该等材料的内容而产生的风险。本材料为机密文件。除德勤华永所授权的人士外，任何其它人士未经德勤华永事先书面同意，不得以任何方式持有、使用或传播本材料。德勤华永不对任何人承担任何义务和责任（包括但不限于疏忽引起的责任）。德勤华永保留本材料的著作权及其它一切知识产权。声明注意事项许柯德勤华永商务与税务咨询服务部合伙人中国注册会计师(CICPA)中国注册税务师(CICTA)德勤培训讲师：许柯先生是德勤华永会计师事务所上海税务和商务咨询部的合伙人。许先生在中国企业上市的税务方面有丰富的专业经验。同时,他是本所华东区南京分所、杭州分所和苏州分所的主管合伙人，领导着整个江浙地区的税务服务团队。2001年12月，为配合德勤全球战略发展的需要，许先生曾被德勤国际委派到澳大利亚工作一年半，从事国际税务和转让定价税务服务。许先生擅长提供各种与中国的企业在国内、外的主要证券市场上市有关的税务服务；协助大型国有企业、民营企业和跨国公司进行整体税务状况评估和税务筹划；在国内企业境外投资的架构设计与整合也有丰富的经验；此外，他在转让定价方面有资深的经验，为众多跨国公司提供关联交易的税务规划和研究。许柯德勤培训讲师：许柯先生是德勤华永会计师事务所上海税务和商谈亮德勤华永企业险管理服务部合伙人中国注册会计师(CICPA)国际注册内部测试师(CIA)国际注册内部控制自我评估师(CCSA)美国注册信息系统测试师(CISA)思科认证资深网络专员（CCNA)德勤培训讲师：谈亮先生是德勤华永会计师事务所华东区企业风险管理服务部的合伙人，具有超过十年的风险和内控领域的管理咨询经验，主要从事企业风险管理咨询、内部控制以及萨班斯法案相关的测试和咨询服务。谈先生在德勤中国和香港两地拥有综合项目经验，包括内部控制测试、萨班斯法案服务以及风险管理服务经验。他曾为多家跨国公司、外商投资企业、国有大型企业集团、高科技公司及境外上市公司提供内部控制和企业风险管理咨询，特别专注与钢铁和重型制造业，也有着在中国大陆、香港和日本为当地客户提供咨询服务的工作经验。谈先生曾经应邀为多家政府机构和国有大型集团讲授风险管理、内部控制的课程。他受邀在江苏国资委、上海证监局、广东内审协会、广东银行保险证券系统、中国证券业协会以及上海本地的若干个大型国有集团中讲课。他也是代表德勤为上交所《内控指引》提供实施方面专业建议的外部专业组的主要成员之一；著有《中美日企业内部控制实务》一书。谈亮德勤培训讲师：谈亮先生是德勤华永会计师事务所华东区企业风卢强博士德勤华永商务与税务咨询服务部高级经理中国注册会计师(CICPA)中国注册税务师(CICTA)德勤培训讲师：卢强博士是德勤华永会计师事务所上海税务和商务咨询部的税务高级经理，有多年的税务工作经验，其中也包括在税务机关的工作经验。同时,他也是德勤中国的税务技术中心的高级技术经理,是内部的税务技术专家。卢博士擅长提供各种与中国的企业在国内、外的主要证券市场上市有关的税务服务；协助大型国有企业、民营企业和跨国公司进行整体税务状况评估和税务筹划；在国内企业境外投资的架构设计与整合也有丰富的经验。卢博士于2004年获得天津财经大学会计学博士学位。卢博士是中国注册会计师和中国注册税务师。卢强博士德勤培训讲师：卢强博士是德勤华永会计师事务所上海议题

123主题一：企业风险管理和内部控制简介主题二：内控失效的典型案例分析主题三：常用的企业内控测试方法和辅助工具4主题四：大企业的税务风险内控测试简介管理大企业税务风险议题

123主题一：企业风险管理和内部控制简介主题二：内管理大企业税务风险.

管理大企业税务风险.对税务内控进行测试

是管理大企业税务风险的重要手段和必要手段纳税人寓管于测，以测促管

对税务内控进行测试

是管理大企业税务风险的重要手段和必要手段主题一：

企业风险管理和内部控制简介.主题一：

企业风险管理和内部控制简介.风险管理基础知识——风险的定义风险因素事件影响目标业绩的内外部事件风险事件或环境负面影响实体目标业绩的可能性机遇事件产生及正面影响目标业绩的可能性环境影响风险物化可能性的环境或状态正面－向上负面－向下风险因素、事件、环境、机遇及风险定义事件有正面效应、负面效应或两者皆有具有负面效应的事件意味着会产生风险具有正面效应的事件可以抵消不利的影响或产生有利机会周边环境与风险产生的可能性紧密相关例如：劳动力未经培训可能导致频繁发生事故机遇支持创造价值或使价值持续管理层创造时机来支持战略或目标设置的程序，该行为可阐述为抓住机遇具有负面影响的事件会抵制价值创造或者侵蚀已有价值具有负面影响的事件可能来源于看似存在正面效应的机会，如：客户需求量超过其生产能力

风险管理基础知识——风险的定义风险因素风险机遇环境正面－为什么要开展企业风险管理一般来说，企业风险管理是为了：可持续性发展—对单个业务风险或整体风险持续不断地进行识别、确认和评估优化资源分配－通过“风险比较”，将业务计划和风险管理活动进行排序，基于风险业绩指标进行资源分配提高经营效率－使用集中的或共享的风险管理职能、规避风险、简化流程及优化结构（例如，系统，人员等）改进内部沟通机制—有利于理顺汇报渠道，发展一套企业内部进行风险沟通的“共同语言”稳定收益－通过提高对风险的定量分析及剩余风险的应对措施来稳定收益为什么要开展企业风险管理一般来说，企业风险管理是为了：风险识别、风险评估、风险应对是全面风险管理的三个核心步骤；其中，－风险识别是管理基础，－风险评估是资源配置，－风险应对是企业价值的保护和再创造。风险管理的生命力在于与日常管理体系的结合，而非两张皮的概念。某央企提出的“以风险为导向，以流程为纽带，以内控为抓手，以制度为基础”的四位一体，得到国资委高度赞扬。全面风险管理的三个核心步骤风险识别、风险评估、风险应对是全面风险管理的三个核心步骤；其风险管理的基本流程——风险识别德勤风险智能地图行业普遍关键风险战略相关风险管理层关注风险识别关键风险的方法：业内同行关键风险调研企业战略目标相关的关键风险管理层关注的关键风险运用德勤风险智能地图进行风险匹配风险管理及内部控制调查问卷步骤1-风险识别：根据公司整体目标和职能部门目标，从管理企业风险和创造企业价值出发，识别、整理、分析与公司战略发展和业务流程最相关的关键风险。如何准确识别关键风险？风险管理及内控问卷风险管理的基本流程——风险识别战略管理层识别关键风险的方法：风险管理的基本流程——风险评估步骤2-风险评估：按照风险评估标准，通过问卷调查的形式，就风险本身的固有风险和基于现有内控有效性之下的剩余风险进行评估。如何区别固有风险(Inherent

risk)和剩余风险(Residualrisk)的定义？

固有风险：是指假定不存在任何风险管理措施和内部控制，导致企业发生某方面或多方面损失的风险。固有风险考虑的是风险可能造成的最坏影响。

剩余风险：是指在考虑公司现有的风险管理措施和内控有效性之后，仍然会导致企业发生某方面或多方面损失的风险。剩余风险考虑的是经过公司的内控管理之后风险仍有可能造成的影响。需要综合考虑固有风险和内控有效性的评估结果。固有风险—内控有效性=剩余风险多坏?多快?从多个纬度考虑多好?多快?预防或积极准备应对提高改进是否可接受?趋势更好更坏没变化风险管理的基本流程——风险评估步骤2-风险评估：如何区别固风险管理的基本流程——风险应对步骤3-风险应对：按照风险评估结果绘制《风险应对策略图》(MARCIChart)

，制定关键风险的应对方案。L固有风险确认/重新确认准备的有效性MCIAR剩余风险HLR=Redeployment重新部署有限的风险管理资源A-Assurance确认或重新确认风险控制的有效性CI=CumulativeImpact测量累积影响M-Mitigation积极降低风险ARHM象限：此区域风险点的固有风险高且剩余风险水平也高，需采取措施积极降低风险；A象限：此区域风险点的固有风险水平较高，但通过有效的风险控制，剩余风险水平较低。需对风险控制有效性进行监控或确认；R象限：此区域风险点的固有风险与剩余风险水平都较低。对此区域的风险点可以考虑对有限的风险管理资源进行重新部署；CI象限：此区域风险点的固有风险较低，但影响可能累积而造成剩余风险较高。需测量风险的累积影响，确认控制措施。风险管理的基本流程——风险应对步骤3-风险应对：L固有风险风险规避退出引起风险的活动，即在可能的情况下，决定不从事或尽量避免那些继续从事可能会导致风险的活动，如退出生产线、停止一个区域的业务、或出售一部分经营性资产等。风险减轻采取措施来减轻风险的可能性和/或影响，即通过改变风险发生的可能性来减少风险的不利后果，或改变风险的影响来减少损失的范围。减轻风险一般牵涉到所有大量的日常经营决策，例如产品多样化、技术改进、加强人员培训、资本重新分配、改进业务流程等。风险分担通过采取措施来转移和分担一部分风险来减少风险的可能性或影响，这包括与另外的单位合作来共同承担风险，如成立合资企业、购买保险、套期保值、外包业务等。分担风险可能会带来新的风险，因为合作单位可能缺乏期望的能力和资源。风险接受不采取任何措施去影响风险的可能性和影响。这可能是因为该风险属于风险容忍度范围之内；或该风险在企业范围内与其他风险自然抵消；或由于风险应对成本过高，公司决定接受该风险。风险应对方案的基本类型风险管理的基本流程——风险应对基本类型风险规避风险减轻风险分担风险接受风险应对方案的基本类型风险管

设计风险应对方案的思路源头治理：了解风险发生的根源，针对源头设计风险应对方案；整体风险组合观：从整个企业的角度去分析风险，考虑风险组合应对；考虑风险发生的深层次原因（如：隐含在企业战略和文化方面等），提出改善方案；考虑应对方案的效果和成本，选择一个或几个合适的措施，考虑因素包括：-直接的和非直接的成本、有形的和无形的成本、以及财务或非财务成本；-单独的应对方法或组合方法；-慎重考虑那些发生可能性较小但却很严重的风险；-考虑对股东价值的影响；-考虑应对风险的预算和资源分配，区分优先顺序；-应对措施能够结合现在的内部控制缺陷，且该措施的执行可减少该风险的来源；-风险应对措施本身可能带来新的风险。风险数据库：将所识别的风险点与风险类型或业务流程对应，形成风险数据库加以系统化管理；风险管理责任：将关键风险点与风险所属部门和职位对应，落实风险管理责任。风险管理的基本流程——风险应对的主要思路设计风险应对方案的思路源头治理：了解风险发生的根源，针对风险管理的持续发展——建立风险管理信息系统风险管理的持续发展——建立风险管理信息系统

五部委《企业内部控制基本规范》对内部控制的定义财政部、证监会、测试署、银监会、保监会于2008年6月28日联合发布了《企业内部控制基本规范》《企业内部控制基本规范》总则内部监督风险评估控制活动信息与沟通内部环境附则合理保证:企业经营管理合法合规资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略内部控制：由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

五部委《企业内部控制基本规范》对内部控制的定义财政部、证监现代企业管控体制公司治理是现代企业调整所有者和管理者矛盾的体系；风险管理是管理层应对内外的各种挑战和不确定因素的时候，所采用的较为系统的方法和过程；内部控制是现代企业内部日常经营运作的业务过程，管理者负有实施和监督的完全责任。公司治理风险管理内部控制1—包含的关系内部控制与风险管理的关系1现代企业管控体制公司治理是现代企业调整所有者和管理者矛盾的体战略最高端的战略制定和优化，关注有回报的风险运营/财务/合规

防范资产损失等没有回报的风险战略执行战略分解执行过程中的优化和协同，关注有回报和没有回报的风险两部分内控体系建立健全关注的内容风险管理关注的内容2—支撑的关系内部控制与风险管理的关系2战略最高端的战略制定和优化，关注有回报的风险运营/财务/合规3—风险与控制的平衡过度的风险资产的损失业务决策不善不守法丑闻控制风险过度的控制＋官僚作风

生产力＋复杂性＋周期＋非增值性活动内部控制与风险管理的关系33—风险与控制的平衡过度的风险控制风险过度的控制内部控制与风剩余风险（风险敞口）多坏?多快?财务声誉法律法规健康安全环保相关利益者可接受?趋势更好更坏没变化固有风险–内部控制有效性=多好?多快?预防或积极准备应对及恢复提升风险的类型与风险管理者4—风险敞口内部控制与风险管理的关系4剩余风险多坏?可接受?固有风险–内部控制有效性=多好?风险应对从管理大类来说，可以分为两大类风险应对内部控制应急预案适用于内部可控的风险:设定控制目标制定控制活动形成内部控制矩阵监督与自查……适用于不可控的系统性风险:定期的数据监控和报告应急预案的启动套期保值等避险工具的使用信用证……内部控制与风险管理的关系5风险应对从管理大类来说，可以分为两大类风险应对内部控制应急预

五部委《基本规范》及配套指引最新动态更新

2010年4月26日，财政部、证监会、测试署、银监会、保监会联合发布了“关于印发企业内部控制配套指引的通知”

配套指引的主要内容本次发布的配套指引是依据《基本规范》制定的。配套指引将为企业实施内部控制、对内部控制进行自评估及注册会计师对内部控制进行测试提供技术标准和依据。配套指引的具体内容包括：《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制测试指引》

五部委《基本规范》及配套指引最新动态更新2010年4月2五部委《基本规范》及配套指引最新动态更新（续）配套指引的实施时间表

2011年1月1日境内外同时上市的公司施行

2012年1月1日上海证券交易所、深圳证券交易所主板上市公司未定择机在中小板和创业板上市公司施行

未定鼓励非上市的其他大中型企业提前执行五部委《基本规范》及配套指引最新动态更新（续）配套指引的实施主题二：

内控失效的典型案例分析.主题二：

内控失效的典型案例分析.内控失效的典型案例涉嫌增值税犯罪内控机制拷问英迈中国《财富》500强企业、全球最大IT分销商英迈(IngramMicro)卷入了涉嫌虚开及倒卖增值税发票事件。在2008－2010两年多时间里，英迈国际（中国）有限公司（以下简称英迈中国）内部相关员工涉嫌对外倒卖增值税发票，金额高达8000多万元，已被上海市公安局经侦总队拘捕。目前公安局正针对此案进行调查。有专业人士质疑：英迈是一家成立已有30余年的跨国企业，又是纽交所上市公司，其财务制度不可谓不严格完善。在这种情况下，公司普通会计人员长期倒卖增值