CIA辅导第三科：信息技术部分

2010年CIA后续教育

风险管理、内部控制与内部审计1

内部审计

是一项为了增加组织的价值和改善组织的运营所进行的独立的、客观的确认和咨询活动。它通过采取系统化、规范化的方法评价和改进组织的风险管理、控制及治理过程的有效性，帮助组织实现其目标。2国际内部审计实务标准框架（IPPF）34新版IPPF所作的重大改变是：(1)程序改进。加强IPPF的各个部分，提高了透明度并确定了权威标准的修订周期。标准的修订周期目前确定为三年。尽管并非每三年都需要进行修改IIA仍致力于确保对标准作全面的审核，并视需要进行修订。(2)发展与实务帮助。这二部分不再纳入框架体条。它曾经包含了内部审计师在工作过程中可能会用到的所有资源(例如培训、出版物和研究报告等)。由于新版IPPF的范围只包括上述的权威标准，这项内容不再适合于新的框架。(3)释义。这是新增的对标准中的术语和短语作出的进一步阐释，置于需要加以解释的相关标准条款之下。(4)实务公告。这部分内容在范围上己经缩减为只包括用于实施“内部审计定义”、《职业道德规范》和《标准》的技术和方法。原框架中涉及工具或技术方法的内容已经移至实务指南部分。(5)实务指南和立场公告。这是IPPF新增的内容。实务指南侧重于在工具和技术的具体运用方面提供指引，包括详细的流程、程序、方案和步骤(例如每一步所形成结果的范例)。立场公告表明IIA关于内部审计在特定事项中的角色及职责所持的立场或观点。

5IPPF包括两类指南：1、强制性指南，包括：内部审计定义；职业道德规范；内部审计实务标准。《标准》的强制性质通过使用“必须”一词加以强调。《标准》中用“必须”特指无条件的强制性要求。在某些例外情况下使用“应当”一词来表示期待相关要求得到遵守，除非根据专业判断所涉情形允许偏离《标准》的要求。遵循强制性指南的要求对于内部审计师和内部审计部门有效地履行职责是至关重要的。《职业道德规范》要求内部审计师依据《标准》提供内部审计服务。内部审计师是指国际内部审计师协会会员、已经或正在获取IIA职业教育资格的人员以及按照内部审计定义的界定提供内部审计服务的人员。强制性指南适用于提供内部审计服务的个人或机构。6IPPF包括两类指南：2、强力推荐的指南，包括：立场公告；实务公告；实务指南。强力推荐的指南通过了IIA的认可，由IIA国际技木委员会按照规定的流程制定。这类指南不具有强制性，而是为满足强制性指南的要求提供一系列适用的解决方案。强力推荐的指南并非旨在为特定情况给出明确的答案，因此更宜于用作指引。针对特定的具体情况，IIA建议可以寻求独立专家的意见。强力推荐的指南可以由胜任的内部审计师凭借其专业判断加以运用。7培训大纲第一讲：内部控制原理与定义第二讲：内部控制环境第三讲：风险管理与风险评估第四讲：应用控制评估与测试第五讲：内部控制衡量与报告8一、概述二、《企业内部控制基本规范》三、内部控制理论与实务发展

第一讲：内部控制原理与定义9目前，企业内部控制系统的设计主要有三种形式：

——外包给四大会计师事务所；

——企业自行设计；

——自行设计与外包相结合。10谁对内部控控制系统负负责?最高管理层层负有对内内部控制系系统的组织织实施的责责任；董事会负有有监督责任任；外部和内部部审计师负负有评估内内部控制有有效性的责责任；谁担当设计计和实施内内部控制的的重任？11二、我国《《企业内部部控制基本本规范》12《企业内部部控制基本本规范》2008年年6月，在在借鉴和吸吸收国际监监管新理念念的背景下下，我国财财政部、审审计署、证证监会、银银监会和保保监会五部部委联合印印发了《企企业内部控控制基本规规范》（财财会[2008]7号）。这一被称为为中国版《《萨•奥法案》的的《企业内内部控制基基本规范》》是我国第第一部加强强和完善企企业内部控控制系统，，提高企业业经营管理理水平和风风险防范能能力，促进进企业可持持续发展，，维护社会会主义市场场经济秩序序和社会公公众利益的的重要法规规文件。13基本规范的的特点该规范的实实施给不少少企业带来来脱胎换骨骨的影响，，意味着中中国企业内内控规范体体系建设正正在向国际际标准靠拢拢（主要借借鉴美国COSO报报告）；大力强强化内内部控控制是是进入入美国国资本本市场场的“入门门证””和““通行行证””；对企业业每一一项经经营活活动强强调过程控控制；以财务务报告告真实实完整整的内内部控控制为为主线线，以以防范范风险险和控控制舞舞弊为为中心心。(公司司治理理?)14内部控控制定定义、、目标标和要要素定义：：内部控控制是是由董董事会会、监监事会会、经经理层层和全全体员员工实实施的的、旨旨在实实现控控制目目标的的过程程。控制目目标：：合理保保证企企业(1)经营营管理理合法法合规规；(2)资产产安全全；(3)财财务报报告及及相关关信息息真实实完整整；(4)提提高经经营效效率和和效果果；(5)促促进企企业实实现发发展战战略。。要素：：基本规规范在在形式式上借借鉴了了COSO内内部控控制5要素素框架架；在内内容上上体现现了COSO风风险管管理8要素素框架架的实质质。15根据《《企业业内部部控制制基本本规范范》的的执行行要求求，自自2009年7月1日起起在上上市公公司范范围内内施行行，鼓鼓励非非上市市的大大中型型企业业执行行。上上市公公司应应当对对本公公司内内部控控制有有效性性进行行自我我评估估，披披露年年度自自我评评价报报告，，并可可聘用用具有有证券券、期期货业业务资资格的的会计计师事事务所所对内内部控控制的的有效效性进进行审审计。。16实施难难度和和主要要问题题（1））政出出多门门，标标准要要求不不统一一；（2））企业业无所所适从从，缺缺乏内内在动动力；；（3））实施施内部部控制制的成成本巨巨大；；（4））缺乏乏内部部控制制系统统设计计、执执行和和评估估的专业业人才才；（5））未能能将内内控合合规性性成本本转化化为增增强企企业核心心竞争争力的的优势势。17内部控控制的的演变变内部牵牵制内部控控制制制度内部控控制结结构内部控控制整整合框框架企业风风险管管理整整合框框架18引发内内部控控制法法规出出台的的国际际背景景1992年年，COSO———美国国反欺欺诈财财务报报告委委员会会（TreadwayCommittee）发发起组组织委委员会会发布布《内内部控控制———整整合框框架架》构构建了了由三三个目目标和和五项项要素素组成成的内内部控控制框框架。。该框架的的发布和和广泛采采用标志着内内部控制制开始在在理论上上和实务务上走出出审计范范畴，从而成成为企业业整个管管理体系系的有机机组成部部分，同同时该框框架也为为企业内内部控制制评价提提供了指指导。19与内部控控制立法法相关的的历史事事件1977年美国国国会通通过了《反海外外贿赂行行为法》》;20世纪纪80年年代，美美国华尔尔街发生生了许多多金融机机构破产产的事件件，给纳纳税人造造成了1500亿美元元的损失失。财务务报告舞舞弊案件件很多，，但随后后的调查查发现几几乎所有有案件中中审计师师都没有发出预预警的信号号。1985年年，COSO发起起成立了美美国反欺诈诈财务报告告委员会（（TreadwayCommission）），责成该该委员会调调查公司治治理中存在在的问题。。201987年年，TreadwayCommission在其报告中中指出：大大多金融机机构破产的的原因一半半以上是内内部控制失失效，该报报告引起了了各界广泛泛的关注。。1992年年，COSO在《《内部控制制——整合合框架》中中提出了内内部控制报报告的框架架，规定内内部控制报报告应着重重说明控制系统统的有效效性。21COSO的五大大成员机机构COSO是“CommitteeofSponsoringOrganization””的英文简称称，是致致力于通通过商业业道德、、有效的的内部控控制和公司治理理来改进进财务报报告质量量的民间间组织。。1985年年COSO成立，目目的是共共同发起起组建美美国反欺欺诈财务务报告委委员会。。COSO的五大大成员机机构如下下：——美国国注册会会计师协协会（AICPA）——美国国会计师师学会（（AAA）——美国国财务执执行官协协会（FEI））——国际际内部审审计师协协会（IIA））——美国管理理会计师协会会（IMA））22《2002年年上市公司会会计改革和投投资者保护法法案》(“Sarbanes-0xleyAct”,SOX）亦亦称《萨班斯斯-奥克斯利利法案》(简简称《萨•奥法案》)。。由于该法案80%的内容容或措施都与与内部控制有有关，故被称称为是内部控控制法案；亦亦称为“2002年年公司与刑事事欺诈责任法法案”（theCorporateandCriminalFraudAccountabilityActof2002）。23《萨•奥奥法案》的意意向是增强投投资者及公众众对财务报告告和公司治理理的信任感。。《萨•奥奥法案》的的七个意向目目标包括如下下内容：1、恢复公公众对公司会会计报告的信信任感；2、促使公公司高级管理理层对其行为为更加负责；；3、增强财财务系统、披披露以及内部部控制措施；；4、鼓励和和支持自行检检举者；5、确保保保留必需的证证据；6、增强董董事会，尤其其是董事会审审计委员会的的监管职责；7、增强独独立审计师的的独立性。《萨•奥奥法案》的意意向目标2420世纪80年代,内部部控制是企业业管理的重要要内容，检查查和评价内部部控制制度是是否适当、有有效和具有可可操作性是内内部审计的重重要工作。从从1991年年开始，世界界许多大公司司开始了兼并并、重组和公公司治理的过过程，企业面面临的风险普普遍增大。2520世纪80年代,内部部控制是企业业管理的重要要内容，检查查和评价内部部控制制度是是否适当、有有效和具有可可操作性是内内部审计的重重要工作。从从1991年开始，世界界许多大公司司开始了兼并并、重组和公公司治理的过过程，企业面面临的风险普普遍增大。2620世纪90年代——风风险管理取代代内部控制企业兼并重组组实行多样化化经营，进入入了众多以前前未涉及的领领域；实施国际化发发展战略，控控制链大大延延长；信息技术在经经营管理中广广泛应用导致致计算机犯罪罪增加。在这种情况下下，企业开始始注重风险管管理，内部审计重点从从以制度为基基础审计(内部控制评评审）转向以风险为为基础审计，，或称风险导导向审计。2721世纪初———螺旋式回回归内部控制制2001年（（企业兼并重重组改革10年后），上上述公司财务务丑闻的出现现，使许多公公司面临一些些灾难性问题题。同时，也也影响了注册册会计师事务务所的信誉和和形象，各大大会计师事务务所修改了审审计制度方面面的要求，例例如，会计师师事务所不能能同时做审计计和咨询业务务。28回归内部控制制的重要原因因2002年《《萨•奥法案案》对加强内内部控制和设设立审计委员员会的强制性性法律要求。。2930风险管理框架架战略目标经营目标报告合法目目标标目标制定事项识别风险评估风险反应控制活动信息沟通监控公司部门业务子公司等分支支机构内部环境31八要素与五要要素关系内部环境目标制定事项识别风险评估风险反应控制活动信息沟通监控内部环境风险评估控制活动信息沟通监控32要素---五五要素及其相相互关系监控控制活动风险评估内部环境信息沟通信息沟通基础手段保证载体依据33萨班斯·奥克克斯利法案（（Sarbanes-OxleyAct)对内部控制要要求；作为统一公司司的制度和流流程的基础；；及开始建立与现现代企业制度度相适应的公公司治理结构构和控制环境境。34美国的萨班斯斯·奥克斯利利法案（Sarbanes-OxleyAct)所有在美国上上市的公司均均需遵行强调外部会计计师的独立性性关注公司内部部治理及对外外信息透明、、完整与正确确性以强化内部控控制为核心的的要求外部压力－法法案的强制性性35美国的的萨班班斯··奥克克斯利利法案案（（Sarbanes-OxleyAct)需符合合规定定的时时间：：提交截截止2005年年底的的经审审计师师鉴证证的内内部控控制报报告根据我我们的的经验验，美美国类类似规规模的的上市市公司司需要要一年以上的的时间间进行行准备备。项目的的紧迫迫性36只针对对萨班班斯··奥克克斯利利法案案的要要求和财务务报告告有关关的部部分覆盖的的业务务主体体37内部控控制绝绝对不是：静态的的结构构；某一层层次人人员的的任务务（例例如：：高级级管理理层））；某一部部门的的任务务（例例如：：财务务、内内部审审计））；某一实实体的的任务务（例例如：：总部部、省省级公公司））。内部控控制是：美国反反欺骗骗性财财务报报告委委员会会（COSO）的定定义：内部控控制是一个个靠组组织的的董事会会、管管理层层和其其他员员工去实现现的过程，实现现这一一过程程是为为了合合理的的保证证：经营的的效果果性和和效率率性；；财务报报告的的可信信性；；对法律律和规规章制制度的的遵循循性。。因此，，整个个集团团的共共同参参与对对于项项目的的成功功至关关重要要。38萨班斯斯·奥奥克斯斯利法法案的的要求求的长长远益益处四个关键键信息质质量的驱驱动因素素是行业业领先的的公司进进行变革革的目标标，这些些因素是是遵循萨萨班斯··奥克斯斯利法案案的结果果也是价价值的创创造提供的数数据客观观，形象象的表示示了公司司业绩财务报表表更改的的情况将将很少发发生业绩将更更接近原原有的预预期持续的计计划给管管理层和和投资者者提供了了数据用用于公司司应对商商业环境境的变化化随着时间间的推移移，信息息将快速速的产生生需要快速速的提供供给投资资者相关关信息简单化和和标准化化的信息息使得更更容易被被理解和和接受管理层要要直接看看到推动动业务的的相关因因素及时可预测透明精确Earnings39一、基本本概念阐阐述二、内控控系统整整体架构构三、内部部控制的的实施内部控制制-主要内容容40风险如何何最小化化？

风险最小化加强系统的内部控制对可能的损失投保当可能的风险较大时，寻求较大的回报41内控系统统五要素素架构监督控制活动风险评估控制环境信息与沟通信息与沟通42一些重要要的内控控方法职责分离离控制授权批准准控制内部报告告控制电子信息息技术控控制……43不相容职职务相互互分离控控制－示示例工作职责存在的风险同时负责现金的收取和应收账款的会计记录可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金同时负责购货订单的审批和货物的收取可能以组织的名义为个人购入货物，在收取货物时利用职务之便将货物占为己有，同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息同时负责付款的审批和购货订单签发与审核可能会伪造购货业务并支付货款，从而贪污现金44信息系统统控制－－目标提高资源源使用效效率有效达到企业目标保持数据完整维护资产安全信息系统统控制目目标符合相关关的法律律、法规规和政策策45一般信息息系统控控制信息系统统的组织织和管理理信息系统统操作外包厂商商管理数据安全全危机处理理与业务务持续计计划应用系统统安装与与维护数据库安安装与支支持网络支持持系统软件件支持硬件支持持提高企业业信息系系统的整整体可信信赖程度度的控制制46实施内部部控制制制度逐项复核核内控是是否存在在于现有有流程中中，是否否有效必要时进进一步制制定具体体政策和和管理报报告考虑成本本效益原原则强化对内内控的监监督与评评估最有效的办法业绩考核47实施控制制时的成成本效益益原则48实施内控控时常出出现的误误区管理层在在实施内内控中未未承担应应有职责责过分强调调控制成成本片面强调调人员素素质认为内控控包治百百病49文档记录录的重要要性文档记录录可以为为控制程程序的确确定和控控制的监监管提供供证据内部控制制设计若若缺乏文文档记录录将可能能导致内内部控制制的重大大失效或或重大缺缺陷缺乏足够的证证据来支持公公司的评估结结果会在外部部签证报告中中列为质量的的重大缺陷，，并签发反对对意见报告管理层声明完成评估后，，公司必须向向它的审计师师提供一份关关于内部控制制有效性的书书面声明管理层声明必必须作为一个个独立的报告告包括在管理理当局说明书书中(*)对于拒绝出具具书面的管理理层声明的公公司，外部审审计人员必须须拒绝对其内内部控制系统统发表意见*公司CEO和CFO对该声明书书全权负责，，并对不实的的声明承担刑刑事责任管理层责任———评估财务报告告系统内部控控制的有效性性50实施以风险为为导向的内部部控制体系的的主要做法：：内控体系建设设的基本思路路构建内控体系系基础框架开展年度检讨讨和管理改进进持续改进，内内控体系建设设向纵深发展展51《内部控制手手册》目录第一章前前言第二章内部部控制环境建建设2.1内控组组织及职责权权限2.2诚信和和道德价值观观2.3企业风风险管理理念念2.4人力资资源政策及程程序第三章目标标设定中的风风险考量3.1战略目目标设定和风风险考量3.2运营目目标设定的风风险考量第四章风险险管理4.1风险事事项识别4.2风险评评估4.3风险应应对4.4风险控控制52第五章业业务管理流流程控制5.1流程程控制的制制定5.2流程程控制的执执行第六章信信息与沟通通6.1目标标6.2内部部信息与沟沟通6.3外部部信息与沟沟通6.4信息息系统第七章监监控与评价价7.1持续续监控7.2内控控审计与专专项评价7.3内控控体系有效效性整体评评价第八章管管理改进8.1目标标8.2职责责与权限8.3工作作流程附录一手手册内内容与香港港联交所国国资委内控控相关要求求的对照表表附录二相相关词词汇的定义义532009年年度企业内内部控制自自我评估报报告一、公司内内部控制的的原则和目目标二、、公公司司内内部部控控制制体体系系（一一））内内部部环环境境1.完完善善内内部部控控制制的的治治理理结结构构根根据据《《公公司司法法》》、、《《证证券券法法》》等等法法律律法法规规要要求求，，公公司司拥拥有有较较为为完完善善的的法法人人治治理理结结构构。。…………权权力力机机构构、、决决策策机机构构、、监监督督机机构构间间权权责责分分明明、、各各司司其其职职、、相相互互制制衡衡、、和和谐谐运运作作。。公公司司董董事事会会下下设设战战略略委委员员会会、、审审计计委委员员会会、、提提名名委委员员会会、、薪薪酬酬委委员员会会四四个个专专门门委委员员会会，，委委员员会会的的召召集集人人为为董董事事长长和和三三位位公公司司独独立立董董事事，，保保证证董董事事会会科科学学、、高高效效决决策策．．保保护护股股东东利利益益。。2．．组组织织结结构构公公司司内内部部下下设设总总经经办办、、综综合合部部、、人人力力资资源源部部、、财财务务部部、、生生产产部部、、技技术术部部、、品品保保部部、、业业务务部部、、研研发发中中心心等等部部门门，，各各部部门门间间职职责责明明确确，，配配合合密密切切，，保保证证了了公公司司生生产产经经营营活活动动的的有有序序进进行行。。542009年年度度企企业业内内部部控控制制自自我我评评估估报报告告3．．内内部部审审计计公公司司建建立立了了《《内内部部审审计计制制度度》》，，并并设设有有专专门门的的内内部部审审计计机机构构，，配配备备审审计计人人员员，，接接受受董董事事会会审审计计委委员员会会和和监监事事会会的的指指导导与与监监督督，，不不受受其其他他部部门门和和个个人人的的干干涉涉。。审审计计人人员员独独立立行行使使审审计计职职权权，，每每季季度度对对公公司司财财务务收收支支和和经经济济活活动动进进行行内内部部审审计计监监督督检检查查，，并并出出具具报报告告，，以以确确保保公公司司经经营营安安全全。。4．人力资源源政策公司制制定了系统的的人力资源管管理制度，将将ERP系统统应用于人力力资源的管理理，效果良好好。公司重视视人才队伍建建设，优化人人力资源配置置，对人员招招聘、员工培培训、工资薪薪酬、福利保保障、绩效考考核、内部调调动、职务升升迁等进行了了详细规定，，营造育才、、引才、聚才才、用才的良良好氛围和工工作环境，并并建立了一套套较完善的绩绩效考核体系系，为企业发发展提供智力力和人才的保保证。55(二)控制活活动1．建立健全全管理制度公司治理方面面：公司在2009年修订完完善了公司章章程，规范完完善了《财务务管理制度》》、《董事、、监事和高级级管理人员所所持本公司股股份及其变动动的专项管理理制度》、《《董事会审计计委员会工作作细则》、《《董事会提名名委员会工作作细则》、《《董事会薪酬酬与考核委员员会工作细则则》、《董事事会战略委员员会工作细则则》、《独立立董事工作制制度》、《独独立董事年度度报告工作制制度》、《对对外担保管理理办法》、《《关联交易管管理制度》、、《募集资金金专项存储制制度》、《内内部审计制度度》、《投资资者接待和推推广制度》、、《信息披露露管理制度》》《重大经营营及投资决策策管理制度》》、《东晶电电子2008年度内部控控制自我评价价报告3中信信息内部报告告制度》等十十八项制度。。对公司规范范运作、稳健健经营起到了了有效的监督督、控制和指指导作用。日常经营管理理：公司制定了一一系列的财务务核算、档案案管理、印章章管理等制度度，优化了行行政管理手段段，保证了各各项制度规范范化执行，不不断提高工作作效率和质量量，保证公司司合法合规经经营。会计系统方面面：公司按照《会会计法》、《《证券法》、、《企业内部部控制指引》》及税收有关关法律法规的的规定，编制制了公司《财财务管理制度度》，建立了了较为完善的的财务管理和和内部控制体体系，有效保保证了公司资资产的完整、、安全、效率率。通过严格格的内部控制制体系，控制制财务风险和和成本费用，，规范财务行行为，实现公公司资产的优优化组合和效效益的最大化化。562．控制措施施责任分工控制制：公司高管间的的责任明确，，各部门都有有详尽的岗位位职责。在业业务方各项业业务交易的授授权审批与具具体经办人员员分离。交易授权控制制：对日常的生产产经营活动采采用一般授权权，对重大交交易、投资则则采用授权。。一般授权由由各部门逐级级审批或协调调处理并将事事项的最终处处理意见提交交总经批；特特别授权由董董事会或股东东大会批准。。凭证与记录控控制：制定了较为完完善的凭证与与记录的控制制程序，对所所有经济业务务往操作过程程均经相关人人员签字确认认进行控制。。573．重点控制制(1)关联交交易的内部控控制。为避免由关联联交易产生利利益冲突，公公司制定有《《关联交易管管理制度》，，对关联方和和关联交易、、关联交易的的审批权限和和决策程序等等作了明确的的规定，规范范与关联方的的交易行为，，力求遵循诚诚实守信、公公正、公平、、公开的原有有效的保护公公司及股东的的利益。公司司在2008年度不存在在重大关联交交易事项。(2)募集资资金的内部控控制。根据《《证券券法》》、《《中小小板企企业募募集资资金管管理办办法》》等相相关法法律、、法规规，结结合公公司的的实际际情况况，公公司制制定有有《募募集资资金专专项存存储制制度》》，对对募集集资金金的管管理、、募集集资金金专户户存储储、募募集资资金的的三方方监管管、以以及募募集资资金的的使用用及审审批程程序、、用途途调整整与变变更等等方面面进行行明确确规定定，以以保证证募集集资金金专款款专用用。东东晶电电子2008年年度内内部控控制自自我评评价报报告4公司司在2008年年度没没有违违反《《上市市公司司内部部控制制指引引》及及《募募集资资金专专项存存储制制度》》的情情形发发生。。58(3)重大大投资资的内内部控控制。。公司制制定有有《重重大经经营与与投资资决策策管理理制度度》，，对投投资的的类别别及相相应的的决策策程序序、决决策权权限、、决策策实施施等方方面作作了明明确规规定。。规范范了公公司的的投资资行为为，建建立了了有效效的投投资风风险约约束机机制，，保护护公司司和股股东的的利益益，保保障了了投资资公司司在2008年年度没没有违违反《《上市市公司司内部部控制制指引引》及及《重重大经经营与与投资资决策策管理理制度度》的的情形形发生生。59(4)信息息披露露的内内部控控制。。公司建建立了了《信信息披披露管管理制制度》》、《《重大大信息息内部部报告告制度度》、、《投投资者者接待待和推推广制制度》》。从从信息息披露露机构构和人人员、、信息息的收收集、、报告告、流流转、、审核核、披披露程程序、、保密密措施施、信信息披披露监监督、、责任任追究究等方方面作作了详详细规规定。。公司司严格格按照照中国国证监监会和和深圳圳证券券交易易所的的有关关法律律法规规和公公司制制度规规定的的信息息批露露范围围、事事宜及及格式式，详详细编编制披披露报报告，，将公公司信信息真真实、、准确确、及及时、、完整整地在在指定定的报报纸和和网站站上进进行披披露。。同时时，公公司在在公司司网站站开设设了投投资者者互动动平台台，让让投资资者更更便捷捷的了了解公公司情情况。。公司司在2008年年做好好了信信息披披露机机构及及相关关人员员的培培训和和保密密工作作，未未出现现信息息泄密密事件件。60(5)对外外担保保的内内部控控制。。根据《《关于于规范范上市市公司司对外外担保保行为为的通通知》》及《《公司司章程程》中中对对对外担担保的的要求求，公公司建建立了了《对对外担担保管管理制制度》》，有有效的的防范范了公公司对对外担担保风风险。。公司在在2009年度度没有有违反反《上上市公公司内内部控控制指指引》》及《《对外外担保保管理理制度度》的的情形形发生生。61(三)信息息与沟通公司建立了了较为全面面的生产经经营信息采采集、整理理、分析、、传递系统统，建立了了有效沟通通渠道和机机制，建立立了投资者者互动平台台，为信息息有效运行行提供适当当的保障。。62(四)内部部监督公司设有监监事会，对对股东大会会负责。对对董事、高高级管理人人员执行公公司职务的的行为进行行监督。发发现公司经经营情况异异常，可以以进行调查查，必要时时，可以聘聘请会计师师事务所、、律师事务务所等专业业机构协助助其工作。。东晶电子子2008年度内部部控制自我我评价报告告5董事会会审计委员员会是董事事会设立的的专门工作作机构，主主要负责内内部审计与与外部审计计之间的沟沟通；审核核公司的财财务信息及及其披露；；审查公司司内部控制制制度，对对重大关联联交易进行行审计等。。63三、内部控控制的自我我评价公司目前建建立了较完完善的法人人治理结构构和内部控控制体系，，符合有关关法律法规规和证券监监管部门的的要求，能能够适应公公司现行管管理的要求求和公司发发展的需要要。公司内内部控制制制度严格、、有效，对对控制和防防范经营管管理风险、、保护投资资者的合法法权益、促促使公司规规范运作和和健康发展展起到了积积极的促进进作用。能能保障公司司所属财产产物资的安安全、完整整能按照法法律、法规规和公司章章程规定的的信息披露露的内容和和格式要求求，真实、、准确、完完整、及时时地报送和和披露信息息，确保公公开、公平平、公正地地对待所有有投资者，，切实保护护公司和股股东的利益益。64四、加强公公司内部控控制的建议议公司在发展展，公司的的制度和管管理也在不不断发生变变化，为了了使公司的的内部控制制更有效的的进行，公公司拟定了了加强内部部控制的下下一步工作作：(一)进一一步健全和和完善公司司内部控制制制度按照照《深圳证证券交易所所上市公司司内部控制制指引》的的要求，进进一步加强强和完善公公司的内部部控制制度度，提高内内部控制的的层次性、、系统性和和有效性。。(二)继续续加强对相相关知识的的学习加强强公司董事事、监事、、高级管理理人员和业业务人员对对《公司法法》、《证证券法》以以及与公司司经营和证证券管理相相关的法律律、法规的的学习，不不断提高风风险管理意意识。(三)确保保公司内部部审计工作作的有效开开展继续充充分发挥公公司内部审审计的监督督职能，加加强内部审审计工作，，加大内部部控制制度度执行检查查力度，确确保公司内内部审计工工作的有效效开展。公司内部控控制体系的的有效建设设是一个长长期的过程程，公司在在以后的工工作中将更更加注重内内部控制各各项制度的的建设和执执行，保证证内部控制制制度的健健全和有效效性，促进进公司更快快更好的发发展。某股份有限限公司董事事会审计委委员会二零零九年年四月六日日65第二讲：内内部控制环环境内控环境的的概念内控环境的的10大要要素构建企业内内控环境实实务内控战略规规划员工行为守守则-守则则和政策规规定企业价值观观&高管表表率组织构架、、牵制、分分责制建立内部沟沟通渠道-舞弊举报报、受理机机构、信息息反馈授权制度建建设-岗位位职责、授授权内部监督与与检查-利利益冲突调调查、审计计检查、举举报核查资产保护护-风险险预警、、保险业务流程程开发-系统设设计、系系统整合合、ERP系统统、系统统优化66控制环境境控制环境境——是是指股东东和管理理层对内内部控制制及其重重要性的的态度、、认识和和措施。。控制环环境决定定了企业业的内部部控制基基调并影影响员工工对内部部控制的的认识和和态度。。建立良良好的控控制环境境是实施施有效内内部控制制的基础础。67控制环境境的10大要素素：一、行为为守则和和政策制制度二、企业业价值观观三、高管管的表率率作用四、组织织架构五、员工工的素质质六、内部部沟通渠渠道七、授权权制度八、内部部监督与与检查九、资产产保护十、清晰晰合理的的业务流流程68计划-执执行-检检查-整整改(PDCA)的循循环任何高质量项项目的一个前前提条件是强强调持续改进进。持续改进进的最好方法法可以用PDCA循环予予以说明，该该方法在20世纪30年年代由贝尔系系统的史瓦特特(Shewhart)博士所开发发。这一循环环包括计划(Plan)、执行(Do)、、检查(Check)和和整改(Act)四四个步骤(如图2-3-4所示示)。它也也被称为戴明明(Deming)转轮轮，是质量控控制的主要概概念之一。69PDCA循循环的概念整改计划检查执行70计划(P)：制定计划划——定义目目标，尽可能能用数字说明明。计划应当当清楚地描述述目标和在现现阶段达到目目标所需的政政策。计划应应当确定程序序和实现目标标将使用的手手段和方法。。71执行(D)：执行计划划——创造条条件和进行必必需的教育和和培训，确保保每个人能了了解目标和计计划。培训员员工，使他们们掌握实现计计划所需的程程序和技能，，了解工作的的性质，然后后，依照这些些程序执行工工作。72检查(C)：检查结果果——尽可能能做到经常检检查，以确定定工作是否正正在依照计划划进行，是否否能够获得预预期的结果。。检查执行工工作的程序、、情况变化或或可能出现的的反常现象。。这是PDCA循环的的控制组成部部分。73整改(A)：采取必需需的行动如如果检查流程程发现工作没没有按照计划划执行，或结结果不是预期期所需要的，，应当采取适适当行动改正正问题。寻找找问题产生的的原因，避免免再次发生这这些问题。有有时候可能需需要对员工重重新进行培训训并修改工作作程序。在制制定下一个计计划时，应当当反映这些变变化，并且更更详细地定义义这些问题。。74PDCA循环环确保产品的的质量和服务务符合组织的的期望值，并并且满足预期期的预算和交交货日期的要要求。有时，，过于关注目目前的问题会会限制实现最最佳结果的能能力。反复运运用PDCA的循环可以以不断改进工工作质量和工工作方法，并并且获得预期期的结果。这这一作为改进进工作的概念念可以在图2-3-5的螺旋旋式上升的运运动中看到。。75图2-3-5计划划-执行-检检查-整改的的螺旋式上升升76完善的工作流流程与不完善善的工作流程程比较100%执行程序检查程序0%100%不完善的(粗粗劣定义的)工作流程（例如，生产产一个新产品品)完善的（恰当当第一的）工工作流程（例如，制造造一辆汽车））77控制制层层级级概概览览控制制和和监监控控的的责责任任人人中间间管管理理层层工作作人人员员(董董事事会会））交易易处处理理控控制制（产产品品＆＆服服务务控控制制措措施施））系统统控控制制（流流程程控控制制措措施施））环境境控控制制（管管理理控控制制措措施施））注意意：：COSO使使用用““活活动动””（（Activity））一一词词来来定定义义一一个个作作业业单单位位，，例如如，，采采购购活活动动。。系系统统控控制制和和交交易易处处理理控控制制两两者者被被包包括括在在COSO的的活活动动定定义义中中。。78控制制的的层层级级制制度度控制制和和监监控控的的责责任任人人中间间管管理理层层工作作人人员员(部部门门经经理理)行政政管管理理层层(董董事事会会））交易易处处理理控控制制（产产品品＆＆服服务务控控制制措措施施））系统统控控制制（流流程程控控制制措措施施））环境境控控制制（管管理理控控制制措措施施））信息息沟沟通通监控控79监控控(Monitoring)是是持持续续检检查查以以确确保保实实现现组组织织的的控控制制目目标标。。监控促促使每每个人人能够够对违违反控控制的的行为为和系系统出出现的的问题题作出出反应应。80COSO定定义的的内部部控制制角色色与职职责管理层层管理层层直接接负责责整个个组织织所有有的活活动，，包括括内部部控制制系统统。在在一个个组织织中，，不同同层级级的管管理部部门自自然地地将会会有不不同的的内部部控制制职责责。这这些职职责通通常是是非常常不相相同的的，取取决于于这个个组织织的特特点。。首席执执行官官(CEO)的职职责包包括努努力使使内部部控制制的所所有组组成部部分设设计适适当并并且有有效运运行。。首席席执行行官履履行这这种责责任通通常通通过：：•向向高高级级经经理理提提供供领领导导和和方方向向。。首首席席执执行行官官与与高高级级经经理理们们一一起起构构建建形形成成本本组组织织内内部部控控制制系系统统的的基基本本价价值值观观、、原原则则和和主主要要经经营营政政策策。。•定定期期地地会会见见负负责责主主要要职职能能领领域域销销售售、、生生产产、、采采购购、、人人力力资资源源等等方方面面的的高高级级经经理理，，检检查查他他们们的的履履责责情情况况，，包包括括他他们们如如何何控控制制这这些些业业务务。。首首席席执执行行官官需需要要获获得得运运营营中中内内部部控控制制措措施施的的相相关关信信息息，，了了解解需需要要的的改改进进领领域域和和努努力力方方向向。。为为了了履履行行这这种种责责任任，，最最关关键键的的是是首首席席执执行行官官应应当当明明确确地地规规定定需需要要什什么么信信息息。。81财务主管财务主管及及其职员负负责的监控控具有特别别重要的意意义，他们们的活动最最直接地贯贯穿整个企企业的各个个经营单位位。财务主主管时常参参与制定整整个组织范范围的预算算和计划。。他们经常常从运营与与合规以及及财务的视视角跟踪与与分析业绩绩情况。这这些活动通通常是组织织中心或者者“法人””组织的一一部分，但但是他们普普遍地也负负有监控部部门、子公公司或其他他单位活动动的“虚线线”职责。。就这点而而论，处在在一个组织织财务职能能中的首席席财务官、、首席会计计官、主记记员和其他他人员是管管理层行使使控制方式式的中枢。。82管理层对董董事会或受受托人负责责，董事会会提供治理理、指导和和监督。通通过选择和和监控管理理层，董事事会在规定定其所期望望的正直性性和道德价价值观方面面发挥重要要的作用，，可以通过过监控活动动来证实董董事会的期期望。通过过保留某些些关键的决决策权，董董事会同样样可以在高高阶层目标标的设定和和制定战略略计划中发发挥作用。。董事会负负责对内部部控制整个个系统进行行监督。董事会(包包括董事会会的重要委委员会)83审计委员会会管理层对财财务报表的的可靠性负负责，但是是，有效的的审计委员员会发挥着着重要的监监督作用。。审计委员员会处于一一种独特的的地位，它它通常有权权询问最高高管理层如如何落实其其财务报告告责任，也也有权确保保纠正行动动被采纳。。在最高管管理层凌驾驾于内部控控制之上或或寻求虚报报财务结果果的情况下下，拥有强强有力的内内部审计职职能的审计计委员会经经常处在组组织中能够够识别和采采取整改行行动的最佳佳位置。因因此，审计计委员会必必须履行直直接指出严严重事件或或情况的监监督作用。。84内部审计计师内部审计计师直接接检查内内部控制制的状况况，并提提出改进进措施的的建议。。国际内部部审计师师协会制制定的标标准详细细地规定定了内部部审计的的范围，，应当包包括：检检查和评评价内部部控制系系统的适适当性和和有效性性，以及及履行指指定职责责方面的的业绩质质量。85组织的其他员员工内部控制在某某些程度上是组织中每一一个人的责任任，因此，应当明明确规定每个个员工的岗位位职责。从以以下两个观点点来看这是正正确的：首先，所有员员工在实现控控制目标方面面都发挥一定定的作用。他他们可能提出出可用于内部部控制系统的的信息，例如如，存货记录录、在制品数数据、销售或或者支出报告告，或者来取取实现控制所所需的其他行行动。这些行行动可能包括括执行对账业业务、跟踪例例外报告的情情况、实施现现场观察，或或调查成本差差异的原因和和其他业绩指指标。他们关关注会直接影影响内部控制制系统有效性性的那些活动动。其次，所有的的人员应当负负责将运营中中的问题、违违反行为守则则的行为，或或其他违反政政策的情况以以及非法行为为通知上一级级组织。内部部控制依赖于于互相牵制(checksandbalances)，包括职责责分离和员工工坚守岗位职职责。人事部部门应当理解解员工要抵制制上级参与不不适当活动的的压力，应当当知道在正常常汇报线之外外建立沟通渠渠道用于报告告此类事件的的必要性。86也许没有其他他任何外部当当事方可以像像独立审计师师那样，在帮帮助实现组织织财务报告目目标方面发挥挥重要的作用用。独立审计计师带给管理理层和董事会会一种独立的的和客观的意意见，可以帮帮助组织实现现其财务报告告的责任。外部审计87立法者和监管管者通过立法法要求建立内内部控制措施施，或通过检检查特别的单单位来影响许许多单位组织织的内部控制制系统。许多多相关法律法法规只涉及财财务报告方面面的内部控制制，不过也有有一些特别适适用于政府组组织的法律，，同样涉及运运营与合规的的目标。立法者和监管管者88《萨•奥法案案》指出，组组织的法律委委员会应当向向预先规定的的那一级管理理部门报告重重大的违反控控制的行为。。此外，法律律委员会还应应当向董事会会和首席执行行官提出内部部控制系统法法规要求方面面的忠告。法律委员会（（不包含在COSO的责责任名单中））89区分不同的控控制责任我们己经讨论论了内部控制制和组织控制制。本部分指指出内部控制存在在三个层级，，即环境控制制、系统控制制和交易处理理控制。90首席执行官(CEO)——首席执执行官对内部部控制的整个个系统负责，，包括本组织织中所有的控控制措施。然然而，政府机机构把更多的的重点放在内内部会计控制制而不是控制制措施的其他他类型(参参见首席财务务官对内部会会计控制的讨讨论)。《萨萨•奥法案》》的颁布，要要求首席执行行官证明内部部控制系统的的适当性。注注意：政府机机构不那么关关心管理的效效果性和效率率性以及客户户满意度这类类控制措施。。91首席财务官(CFO)——首席席财务官负有有对内部会计计控制系统的的主要责任。。治理本组织织实际系统的的是内部会计计控制措施；；包括财务记记录、致股东东的报告、业业绩报告等。。92首席运营官(COO)——首席席运营官负有有对质量控制制和统计过程程控制的责任任，主要是对对工作流程的的控制和对这这些流程生产产的产品质量量的控制。在在汽车装配制制造中，统计计过程的控制制将对工作流流程的变更进进行控制，而而质量控制与与从装配流程程生产出来的的汽车质量有有关。93职员的的职能能———职职员职职能包包括推推销、、信息息技术术服务务等。。职员员也具具有控控制工工作流流程和和他们们生产产的产产品的的职能能。例例如，，工资资管理理部门门有一一个工工资流流程，，产生生支付付工资资的支支票和和联邦邦纳税税申报报表的的产品品。职职员必必须控控制系系统的的流程程以及及生产产的产产品。。94控制的的层级级制度度执行管管理层层中间管管理层层职责员工环境系统交易处处理有效性性监控95控制制的的职职责责董事事会会职能能活活动动首席席执执行行官官与与直直接接报报告告职能能活活动动员工工职能能活活动动员工工公司司治治理理监监督督公司司治治理理领领导导与与政政策策规定定控控制制目目标标和和监监控控控制制的的实实施施与与运运行行(环环境境控控制制)(环环境境控控制制)员工工96图2-4-3环环境境控控制制如如何何起起作作用用公司司治治理理(环境控控制)销售给客客户收回资金金开发票给给客户购买要销销售的存存货97控制环境境与公司司风险内部控制制的要求求之一是是风险减减缓(riskmitigation)。。当要求求降低失失败的风风险时，，控制措措施将有有助于实实现这一一目标。。如果没没有担心心完不成成这一目目标的风风险，也也就不需需要控制制措施。。同样地地，控制制措施的的强度应应当以风风险的重重要性为为基础。。98有效控制制环境的的10个个最高属属性——行为守则则政策(CodeofConductPolicy)；——企业业的价值值观(CorporateValues)；——首席席执行官官成为楷楷摸(CEOastheRoleModel)；——组织织结构(职责责分离)(OrganizationalStructure)——人员员的胜任任能力(CompetencyofPersonnel)——职责责与权力力的特别别委派和和沟通(SpecificDelegationandofResponsibilityandAuthority)；；——一般般授权与与责任制制(GeneralAuthorizationandAccountability)；——内部审审计(InternalAuditing)；——资产保保护(AssetSafeguarding)；；——规定的的工作流程程(DefinedWorkProcesses)。。99这10个最最高属性的的简短描述述如下：(1)行为为守则政策策——管理理层对行为为的定义，，所有的员员工，包括括执行管理理层应当证证实履行了了他们的日日常职责。。(2)企业业的价值观观——公司司希望在实实施日常运运营中考虑虑的价值观观。例如，，如果价值值观是“尊尊重每位员员工”，那那么在其他他员工面前前谴责一位位员工的不不适当行为为也将是不不适当的行行为。100(3)首席席执行官成成为楷模———组织的的高级职员员应当以言言传身教的的方式教导导所有员工工遵守行为为守则。(4)组织织结构———必须设定定组织的结结构，并进进行适当的的职责分离离，以便能能以高效和和便捷的方方式完成组组织的使命命。(5)人员员的胜任能能力——为为了以组织织需要的便便捷高效的的方式履行行各自的职职责，每个个员工必须须接受适当当的教育和和培训。101(6)职责责与权力的的特别委派派和沟通———所有层层级的管理理部门必须须有效地与与他们的下下属沟通每每个人的权权限与职责责，以及组组织对他们们履行日常常工作的期期望。(7)一般般授权与责责任制———一般授权权规定责任任的范围和和在实施工工作中个人人的权限。。例如，某某个人的一一般授权是是，可以花花费100美元购购买有助于于日常工作作的杂志和和刊物。责责任制是每每个人要对对他们所代代表的组织织日常工作作活动负责责。(8)内部部审计———组织中的的一个职能能部门，有有权力与责责任评价组组织的绩效效，以及组组织遵守控控制措施的的适当性。。102(9)资产产保护———组织设立立的程序，，用于确保保已购置的的和拥有的的资产得到到适当的保保护，避免免被盗窃和和滥用。(10)规规定的工工作流程———用于实实施工作的的详细的按按部就班的的程序。规规定的工作作程序包括括用人的程程序和计算算机应用程程序。103企业的价值观观组织确立的愿愿景是组织目目标的理想化化表述。例如如，致力于向向没有充足食品的个人提提供食品的组组织其愿景可可能是“消除除世界饥饿””。在实现愿景方方面，组织需需要建立其希希望融合到日日常操作程序序中的价值观。例如，价值观观可能包括：：•所有的员工工必须胜任他他们的工作；；•合理支付薪薪酬；•保护个人的的诚实性；•让客户满意意是我们的第第一目标。104首席执行官成成为楷模对首席执行官官成为楷模最最好的描述是是首席执行官官必须“言行行一致”(walkthetalk)。。如果首席执执行官想要成成为一个楷模模，他必须以以自身的表现现和态度告诉诉组织内所有有员工应该怎怎么做。首席执行官为为了成为一个个楷模，必须须使组织的员员工可视其言言行。105组织结构(职职责分离)管理层决定他他们认为实现现组织使命、、活动和职责责所必需的组组织结构。不不存在“正确确”的组织结结构。然而，，在COSO内部控制制整合框架中中所包括的指指南提供了被被认为是好的的组织结构的的指引。该指指南的描述如如下：组织结构应当当既不能太简简单，以至于于无法