企业内部控制及内部审计实务

企业内部控制

与内部审计实务邱健

食堂采购内控…大师傅负责采购菜蔬，招标采购粮油酱醋，食堂经理采购清洁用品，自己采购固定资产总结：控制吃回扣，靠人管人不管用；要从源头控制；要把大权化成小权控制；要用规则法律控制；要让人自己控制自己。2破冰目

录4内审定位及开展工作思路1235内部审计实务内审沟通、能力学习与成长案例分析内控体系建设实务54该爆炸事故造成165人遇难(其中参与救援处置的公安消防人员110人，事故企业、周边企业员工和周边居民55人)、8人失踪(其中天津港消防人员5人，周边企业员工、天津港消防人员家属3人)，798人受伤(伤情重及较重的伤员58人、轻伤员740人)。事故中心区以大爆坑为爆炸中心，150米范围内的建筑被摧毁。参与救援的消防车、警车和位于爆炸中心南侧的吉运一道和北侧吉运三道附近的顺安仓储有限公司、安邦国际贸易有限公司储存的7641辆商品汽车和现场灭火的30辆消防车在事故中全部损毁，邻近中心区的贵龙实业、新东物流、港湾物流等公司的4787辆汽车受损。截至2015年12月10日，已核定直接经济损失68.66亿元，其他损失尚需最终核定。5天津港"8·12"特别重大火灾爆炸事故“11-22”中石化东黄输油管道泄漏爆炸特别重大事故

2013年11月22日10时30分许，位于山东省青岛经济技术开发区的中石化东黄输油管道发生泄漏爆炸特别重大事故，事故共造成62人遇难，136人受伤，直接经济损失7.5亿元。6瑞海公司危险品仓库运抵区南侧集装箱内的硝化棉由于湿润剂散失出现局部干燥，在高温(天气)等因素的作用下加速分解放热，积热自燃，引起相邻集装箱内的硝化棉和其他危险化学品长时间大面积燃烧，导致堆放于运抵区的硝酸铵等危险化学品发生爆炸。7事故原因调查发现，瑞海公司实际控制人于某在港口危险货物物流企业从业多年，熟悉港口经营危险货物物流企业需要的行政许可及其审批程序。于某通过送钱、送购物卡（券）和出资邀请打高尔夫、请客吃饭等不正当手段，拉拢原天津市交通和港口管理局分管领导和天津市交通运输委员会港口管理处负责人，要求在行政审批过程中给瑞海公司提供便利。有关负责人滥用职权，违规给瑞海公司先后五次出具相关批复，而这种批复除瑞海公司外从未对其他企业用过。8违规问题瑞海公司另一实际控制人董某也利用其父亲（已去世）曾任天津港公安局局长的关系，在港口审批、监管方面打通关节，对瑞海公司无法定许可违法经营也起了很大作用。除董某外，调查组没有发现该公司人员的亲属有担任领导职务的公务人员。9违规问题调查认定瑞海公司存在的违法违规问题达10项之多：1、严重违反天津市城市总体规划和滨海新区控制性详细规划，未批先建、边建边经营危险货物堆场。2、无证违法经营。以不正当手段获得经营危险货物批复。3、违规存放硝酸铵。多种危险货物严重超量储存。4、违规混存、超高堆码危险货物。5、违反有关国家和行业标准，混存不同种类的危险货物，间距严重不足，超高堆码大量存在。10违规问题调查认定瑞海公司存在的违法违规问题达10项之多：6、违规开展拆箱、搬运、装卸等作业。7、未按要求进行重大危险源登记备案。8、没有按照有关法规规定对本单位的港口危险货物存储场所进行重大危险源辨识评估，也没有将重大危险源向天津市交通运输部门进行登记备案。9、安全生产教育培训严重缺失。未按规定制定应急预案并组织演练。10、事故发生后，没有立即通知周边企业采取安全撤离等应对措施，贻误了疏散时机，导致人员伤亡情况加重。11违规问题公安、检察机关对49名企业人员和行政监察对象依法立案侦查并采取刑事强制措施。其中，公安机关对24名相关企业人员依法立案侦查并采取刑事强制措施（瑞海公司13人，中介和技术服务机构11人）；涉及瑞海公司行政许可审批的天津市交通运输委员会、天津港（集团）有限公司、天津海关、天津新港海关、滨海新区规划和国土资源管理局、天津海事局等单位的有关人员存在受贿问题，检察机关对25名行政监察对象依法立案侦查并采取刑事强制措施（正厅级2人，副厅级7人，处级16人），其中交通运输部门9人，海关系统5人，天津港（集团）有限公司5人，安全监管部门4人，规划部门2人。12事故处理根据事故原因调查和事故责任认定结果，调查组另对123名责任人员提出了处理意见，建议对74名责任人员给予党纪政纪处分，其中省部级5人，厅局级22人，县处级22人，科级及以下25人；对其他48名责任人员，建议由天津市纪委及相关部门视情予以诫勉谈话或批评教育；1名责任人员在事故调查处理期间病故，建议不再给予其处分。13事故处理2014年4月中下旬，中国移动通信集团广东有限公司（下称“广东移动”）广州分公司（下称“广州移动”）原党委书记梁春火涉嫌严重经济违纪违法问题被“两规”。经查，2011年底至2014年4月，梁春火先后任中国移动通信集团广东有限公司佛山分公司（下称“佛山移动”）总经理、党委书记及广州移动党委书记期间，利用职务便利，收受他人所送款项共计人民币290.3万元、港币5万元。2014年12月18日，梁春火被广州市中院一审判决犯受贿罪，判处有期徒刑8年，并处没收财产人民币50万元。梁春火案件牵涉面较广，涉案的广东移动、佛山移动员工及其他社会人员近20名。14案例2

梁春火19岁参加工作之后的30年，堪称少年得志平步青云的典范：从惠州市邮电局一个小小的载波室机务员做起，直至惠阳邮电局局长，后升任惠州移动分公司总经理、党委书记，佛山移动总经理、党委书记，平均每两年一次的升迁速度，足以说明他的努力与才干。梁春火也一直保持着良好的履职纪录。期间带领佛山移动获得“全国五一劳动奖状”、“全国精神文明建设工作先进单位”等多个荣誉称号，个人也获得了“广东省五一劳动奖章”、“广东省电信行业改革开放三十年先进人物（贡献奖）”、“中国移动通讯优秀党务工作者”等荣誉。

彼时的梁春火还是严于律己的，正如他在自我剖析材料中写道：“为了防止不廉洁的行为发生，防患于未然，我曾经跟老婆多次明确‘约法’，禁止她介绍朋友、亲戚到我任职的公司来投标承揽工程，多年来一直坚持。对自己身边的工作人员，我也一再告诫提醒，不要做违规的工作。”而被调查人曾某在谈话中也曾提到，2010年前后他找梁春火关照工程，梁春火没有帮忙，还告诉他说要避嫌。15案例2转折点发生在2011年。2011年前后，梁春火妻子从事违规的民间借贷造成上千万元的亏空后，欠下巨款，家庭陷入经济危机。于是在短短的四年间，梁春火收受贿赂高达人民币近300万元之巨。16案例2敛财第一招：向“重点领域”伸手权力寻租。由于巨额利润，移动公司的传输管道工程、传输设备工程、室内分布工程、土建工程、电力工程以及重大设备采购等，向来都是工程承包商和设备供应商虎视眈眈的猎物，稍有机会，他们即将目标瞄准手握大权的企业领导和管理人员。作为移动公司的一把手，梁春火自然也成为目标之一，其收受的好处费正是集中在工程建设项目及物资采购领域。一是作案主体多元。除梁春火外，他的原司机、老部下，公司中层管理人员、公司副总等不同层面的人皆卷入其中，活跃在作案链条的各个节点上。二是实施权钱交易。梁春火利用作为一把手在工程招投标、设备采购的决定权进行权力寻租，有的是私企老板直接进行贿赂，有的则是通过他的司机、管理人员或副手穿针引线，再层层捞取回扣。三是涉案金额趋高。梁春火在工程和设备领域的涉案金额约200万元，而流入他的亲信和下属腰包也不在少数，仅是原佛山移动综合部副总经理梁永俊就收取回扣高达370万元，他的原司机黄国胜收取了51万元，他的两个副手则分别收受了30万元和20万元。17案例2

敛财第二招：“靓号资源”非法倒卖。梁春火的另一个敛财之道，就是审批倒卖特殊手机号码牟利，则具有行业特殊性。由于社会风俗或个人偏好等原因，手机靓号拥有较大的市场需求和价值，而偏偏它又是一种稀缺资源，并不是在移动营业厅可以随便选到的，一些投机分子看到这个供需矛盾，于是一种原不允许用于交易的公共资源便进入了不法交易渠道。2011年至2014年，梁春火利用其作为广州移动党委书记拥有特殊手机号码最高审批权的职务便利，将约160个手机靓号分多次卖给某酒家总经理廖某、房产销售公司总经理程某，计算标准具体以每个号码尾号相连的位数为准，一个号码收取3千至1万元不等，号码特别好的还会更高些，通过此种方式梁春火从中牟利人民币约100万元。18案例2制度设计存漏洞。一是招投标机制不够完善。国家虽然出台了招投标法，而且也有相应的配套法规制度防止不法行为，但是实际运作中却仍存在大量的人为因素，围标串标、买标卖标成为行业潜规则。

在梁春火案件中，工程项目、设备采购的中标者也基本都是通过“打招呼”提前确定的。佛山移动综合部副总经理梁某在供述中说：“符某送钱给我一方面是希望我利用职务便利，将招标项目的内部信息透露给他，使他能够有针对性地制作标书；而且我们在制订评分规则的过程中，制订有利于符某所在的公司的评分标准，从而使符某所在的公司提高中标几率；另外，我也是评标组长，在评标时也可以关照符所在的公司。”充分说明了在不完善的机制内，潜规则如何大行其道。

二是行业制度设计存在缺陷。特殊手机号码作为一种具有较高市场价值的公共资源，移动分公司党委书记、总经理具有最高审批权，可以合法地将号码审批给任何人，却没有相应的制度去规定限制其倒卖行为，留下了制度漏洞，自然会让有所图谋的人伺机而动。19案例2教训与启示讨论：看了这些案例后您得到哪些启示？201、天津港案例：安全风险意识淡薄——风险管理文化未建立违规堆放、混放危险物品…风险在设计阶段就要防范内控活动职责未履行到位，风险预案未演练、培训不到位，各级监督检查虚设…2、广州移动案例家庭亲情出问题。权力运行缺监督，制度设计存漏洞。1、内控管理阶段

传统规章制度，如财务制度，回款制度等。2、内控风险管理阶段

内控体系实施，包含风险管理。3、全面风险管理阶段

参照央企全面风险管理指引，ISO31000建立，包含风险文化，偏好，预警等。21内控风险体系建设开展阶段建立全面风险管理的评价标准1.企业全员树立风险意识，努力使风险意识印在脑海里，溶化在血液中，落实在行动上。风险意识是企业家的第一素质。企业家是一个经营冒险事业的组织者，是组织、拥有、管理并承担这一事业全部风险的人。2.企业对标：与《指引》对标；与国内风险管理标杆企业对标；与国际同行业企业对标。3.没有意料之外，为意料之中做好了准备。

22目

录4内审定位及开展工作思路1235内部审计实务内审沟通、能力学习与成长案例分析内控体系建设实务5内控规范定义：内部控制是由企业的董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。COSO定义：内部控制是由企业的董事会，管理层和其他员工实施的，旨在为实现经营的效率和效果，报告的可靠性，遵循适用的法律法规目标提供合理保证的过程。24定义25内控和风险管理的关系26内控和风险管理的关系27内控的局限性-不顾管理风险大小和发生时间-不考虑企业实际业务状况（品牌地位、运行模式、客户结构、员工素质等）-在风险控制和投入成本之间不能取得恰当的平衡-利益冲突-组织牵制-不相容职责区分串通舞弊行为缺乏成本观念越级--上级不按程序越过中间控制层，直接要求更下级办理业务（非紧急情况）越权--下级职工越过权限范围，处理上级职工授权范围内的业务（非紧急情况）滥用职权28内控的局限性-不能依据管理风险变化及时修订业务程序-不能针对预见到的新业务，及时拟订新的业务程序政策程序修订不及时-对内控不重视，缺乏基本的常识，不能有效履行工作职责-职业道德水准低下，缺乏责任心，不按业务程序和工作纪律处理业务-故意犯罪员工素质不佳29对内控的认识误区误区建立内控体系是股东董事会为了控制总经理和管理层的措施2.内控管理只是针对管理人员3.民营企业都是自己人，没必要搞内控4.小企业人少，没必要搞内控5.用人不疑，疑人不用，内控与此有冲突6.内控体系是烦琐哲学，建立内控体系将降低企业工作效率7.内控只是针对财务工作，和其他业务无关8.目前没有发生重大损失的企业，其内控就是完善的9.只要有质量管理体系，没有内控体系也无所谓10、内控只是内部审计师或内控管理人员的事11、只要员工素质高，没有内控体系也无所谓12、内控只是监督13、建立内控体系只是为了防止贪污舞弊14、企业已经买了保险，无须再搞内控建设15、搞企业内控，就是写个业务程序和规章制度16、推行内控只是为了保护股东利益，与雇员和职工利益无关17、。。。。30对内控的认识误区误区1、降低内外风险

降低，不能消除2、协助实现目标

组织目标，部门目标，个人目标3、提高管理效率运作效率，协同效率，决策效率。…31内控工作的益处1、策划2、培训3、目标确定4、制度流程梳理5、风险评估6、内控评估7、持续机制32分目录1、组织2、人员3、范围4、目标5、方案33策划内控体系推进部门设置：1、归财务部门管理体现“财务内部控制”为主满足资本市场的监管要求，符合监管要求2、归审计部，稽核部管理体现“合规内部控制”为主内控评估主要由内审部门组织完成，审计人员熟悉企业情况，能设计和监控内控体系。341、策划-组织3、归风险管理部门管理体现“合规内部控制/风险控制”为主央企风险管理指引出台4、专职内控部门体现“全面管理内控”的特征行业合规要求和风险管理水平较高企业，内控朝提升管理水平发展，如中石油，中石化，农行等。351、策划-组织5、政出多门问题制度、流程拥有部门拟定，统一批准，发布，修改361、策划-组织37企业内控体系和职责权限关系图董事会负责内控的建立健全和有效实施（十二条）管理层负责组织领导企业内控日常运行（十二条）内控机构负责组织协调内控的建立实施及日常工作（十二条）监事会对董事会建立内控进行监督（十二条）内部审计部门对内控有效性进行监督检查（十五条）审计委员会负责审查内控，监督有效实施和内控自评（十三条）责任单位掌握内控机构设置、岗位职责、业务流程等情况，明确职责分配，正确行使职权（十四条）决策领导协调监督下设机构监督监督检查专职和兼职结合来源广泛经过适当培训人数看规模和目标确定381、策划-人员组织规模阶段计划391、策划-范围401、策划-目标落实战略系统管理分层管理集成共享结构优化落实责任制度流程优化六大目标1、流程架构要关注对战略性业务发展的支撑，设计要体现公司竞争战略导向。第一，卓越运营型公司核心流程在供应链领域，如丰田汽车、戴尔电脑；

产品领先型公司核心流程在集成产品研发，如苹果，英特尔；

客户亲密型公司核心流程营销、销售与服务，如IBM,家得宝。第二，职能导向还是客户导向。卓越运营型公司，企业会将更多的精力放在内部运营上，职能导向的流程架构设计比较常见，在充分发挥直线职能制组织架构专业化效率的同时，通过流程优化提升企业运营水平；职能导向流程架构设计如：供应链管理、客户关系管理、质量管理、营销管理、新产品研发等。客户亲密型公司，流程架构设计则会体现客户导向，将会采取端到端的流程架构设计模式，流程设计会从客户端需求触发到客户端满意结束。客户导向流程架构设计如：（C2M）从概念到市场，（M2L）从市场到线索，（L2C）从线索到回款，（T2R）从问题到解决。411、策划-目标2、将核心能力关联流程作为公司的关键流程，通过精细化、精益化管理来提升流程能力与绩效。麦当劳3、建立与企业战略发展阶段相匹配的业务模式、管理模式，来支撑未来战略发展要求。

京东自建物流和阿里外包物流421、策划-目标431、策划-目标系统管理441、策划-目标分层管理1、策划-目标采购管理流程划分48练习491、策划-目标集成（integration）就是一些孤立的事物或元素通过某种方式集中在一起，产生联系，从而构成一个有机整体的过程。举个简单的例子，对于全球化企业，通过推行全球统一流程，不同业务覆盖多个地区、国家，只有一套统一的流程标准，相比于各分支机构独立分散管理，效率呈十甚至是上百倍地提升。华为的共享服务模式（财务共享服务中心、人事共享服务中心、全球采购平台、全球研发平台）结构优化的第一个方面是完善结构，确保企业流程体系没有结构性缺失，同时从结构上明确流程体系的重点。结构优化的第二个方面是提升业务、管理模式，通过流程架构层级的优化来系统地优化流程体系，这比单个操作各级流程优化效果更有效、更巨大。不同层面上，跨部门流程都会任命一位流程所有者来管理501、策划-目标落实外部监管需求，领导指示量化目标（金额及其他）511、策划-目标预算确定输出确定（量化）时点确定里程碑确定启动-培训-目标-风险评估-制度流程梳理-内控评价改善-建立常态机制521、策划-方案华为在众多国际级咨询公司的帮助下，在借鉴业界领先实践的基础上，结合企业实际情况，完成了流程架构的整体设计与持续优化，从而保证了流程体系在结构上处于领先水平。（1）每一个一级流程都是端到端设计的，都是直指利益相关方价值创造需求的，而不是被职能割裂成一段一段的流程碎片。（2）在高阶流程架构设计中引入了最佳业务模型，如IPD（集成产品研发）、ISC（集成供应链）等，从流程结构上实现了整体优化。（3）真正做到了“横向拉通，纵向集成”，让公司流程体系成为一个目标一致、主次分明的整体。（4）体现华为的中长期战略发展要求，将战略所需的核心能力落实到架构设计里。53案例由于华为采取全球统一流程的策略，对于近200个国家和地区原则上采用同一套流程标准，推行全球统一流程（少数国家允许做本地化设计）。这种流程管控结构，做到了一次设计、全领域共享，并且共享的是全球最佳业务实践。同时，由于高度标准，带来了组织运作效率的大幅提升。华为真正实现了流程驱动组织，是一个典型的流程型组织54案例外训、内训CICS（国际注册内部控制师）流程管理高层、中层、基层分级进行高层：流程架构设置、战略制定、内控原则等中层：战略落地、内控方法、具体流程工具等基层：执行552、培训563、目标目标的设定与明确，以公司总体目标为起点，逐层落实到具体业务和管理负责单位、部门及岗位。定义从宏观的业务管理领域到具体业务流程的划分逻辑，同时各部门、岗位的目标、职责、绩效定义明确。573、目标583、目标593、目标内部控制目标包括五个方面：（1）合理保证企业经营管理合法合规（合规目标）（2）合理保证企业资产安全

（资产目标）（3）合理保证企业报告及相关信息真实完整

（报告目标）（4）提高经营效率和效果（营运目标）（5）促进企业实现发展战略（战略目标）。60内控规范五个目标

61COSO框架思考采购业务流程目标621、梳理2、对标3、内控体系应有内容4、内控原则应用5、五要素嵌入6、七大手段运用7、风险管理嵌入8、梳理中注意事项634、制度流程梳理在公司、业务、部门层面进行流程梳理（如前图所示）将现有文件、制度、流程按照三个层面进行梳理。了解公司目前有哪些流程，现有业务是如何运行的，各业务流程之间的关系是怎样的，现有流程体系在架构上存在什么问题。注意：1、不包含通知、公告、函件、备忘录等。2、ISO体系文件单独成套，包含在其中。641、梳理内控对标：企业内部控制基本规范（2008年6月，财政部、证监会、审计署、银监会、保监会联合发布）企业内部控制配套指引十八项（2010年4月发布）行业指引（2014年起陆续发布，已发布电力石化）COSO框架652、对标662、对标流程对标：APQC是美国生产力与质量中心（AmericanProductivityandQualityCenter）的简称。该中心自1991年开始研究开发流程分类框架（简称PCF），于1992年发布PCF1.0。最初，APQC提出的流程分类框架是跨行业的，参与设计的80个组织单位希望能创造出“前瞻性标杆式企业流程分类法则”向全球推广。历时10年之后，该标准已经被全球数百家企业所认同使用。该分类框架是以“开放性标准标竿合作(OSBC)数据库”的内容为基础，并按照全球产业领导者的协同建议整合而成。672、对标2008年，APQC陆续提出了十个行业的流程分类框架，包括跨行业、电力行业、消费品行业、航空航天和国防行业、汽车行业、传媒行业、医药行业、电信行业、石油行业、石化行业的流程分类框架。68APQC69APQC第一级：category类或域是企业流程中的最高一个级别，例如管理客户服务、管理供应链、管理财务资源、管理人力资源等。第二级：ProcessGroup流程组是企业第一级（类或域）的下一级流程，代表一群流程，例如：售后维修、采购、应付款管理、招聘等。第三级：Process流程是一系列将输入转化为输出的相互关联的活动。流程消耗资源并且需要制订可重复执行的标准；流程需要遵从一个面向质量、速度、成本绩效要求的控制系统。第四级：Activity活动是执行流程要完成的关键事项。例如：接收客户请求，处理客户抱怨，采购合同洽谈等。第五级：Task任务是活动的下一个层级。任务通常颗粒度更细，不同的行业差异会较大。例如：创建业务计划、获得资助、设计识别与奖励方法等。70APQC712、对标APQC流程框架eTOM是enhancedTelecomOperationsMap的英文首字母缩写，英文全称为enhancedTelecomOperationsMapTM(eTOM)，即增强的电信运营图(eTOM)，是信息和通信服务行业的业务流程框架。72ETOM简介73ETOMeTOM强调业务驱动和以客户为中心。为了反映出这些，eTOM支持两种不同的视图来细化和分组业务流程：（1）垂直的流程分组：该分组描述了端到端的流程，如整个的服务计费所涉及的流程。（2）水平的流程分组：描述了面向功能的流程，如管理供应链所涉及的流程。74ETOM（1）客户导向的流程架构设计，首先面向客户需求设计了七条端到端垂直业务流程组；然后围绕如何让这七条端到端业务流程有效运行，设计了八条使能流程组；最后设计了八条企业共享的管理和支持流程组。（2）端到端流程设计理念：七条端到端垂直业务流程组都是从客户需求开始到客户满意结束。（3）使能流程设计理念：八条面向功能的流程组设计是为七条端到端流程有效运行提供能力保障。75ETOM76借鉴ETOM规划流程架构示例77企业内部控制规范体系之间的联系经过两轮的意见征求过程，五部委于2010年4月26日联合发布了《企业内部控制配套指引》。

2008年6月28日，财政部、证监会、审计署、银监会、保监会五部委联合发布企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引适用于审计师适用于企业、监管机构、咨询方、审计师适用于企业记住“一五五五七”一个定义五个目标五项原则五大要素七大手段78内控规范总结内控规范定义：内部控制是由企业的董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。COSO定义：内部控制是由企业的董事会，管理层和其他员工实施的，旨在为实现经营的效率和效果，报告的可靠性，遵循适用的法律法规目标提供合理保证的过程。79一个定义理解内控定义：1、内部控制是个过程，是实现目标的手段，而不是目标本身2、内部控制是依靠人员来实施的，不仅仅是政策手册和表格，还涉及组织中各个层级人员的活动。3、内部控制只能为企业目标的实现提供合理保证，而不是绝对保证。4、内部控制被用来实现一个和多个彼此独立又相互交叉类别的目标。80一个定义内部控制目标包括五个方面：（1）合理保证企业经营管理合法合规（合规目标）（2）合理保证企业资产安全

（资产目标）（3）合理保证企业财务报告及相关信息真实完整

（报告目标）（4）提高经营效率和效果（营运目标）（5）促进企业实现发展战略（战略目标）。81内控规范五个目标全面性原则：企业建立和实施内部控制要贯穿决策、执行和监督全过程，并覆盖企业及其所属单位各种业务和事项。重要性原则：企业要关注重要业务事项和高风险领域。制衡性原则：企业的内部控制体系在治理结构、机构设置、权责分配、业务流程等方面形成相互制约、相互监督的机制并兼顾运营效率。82内控规范五项原则适应性原则：企业内部控制体系要适应企业规模和风险水平，并随内外部环境和情况变化及时加以调整。成本效益原则：企业在建立和实施内部控制的过程中要权衡实施成本和预期效益。83内控规范五项原则内部环境制定相关政策设置内部机构明确职责权限包含治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等风险评估确定风险承受度识别企业内外部风险进行风险分析制定风险应对策略控制活动不相容职责分离控制授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制信息与沟通建立信息与沟通制度提高信息有用性加强信息沟通渠道发挥信息技术的作用建立反舞弊机制内部监督日常监督专项监督内部控制缺陷的识别和整改内部控制评价报告84内部控制的原则和要素内控的原则：全面性，重要性，制衡性，适应性，成本效益（一）不相容职务分离控制

所谓不相容职务，是指那些如果由一个人担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。不相容职务一般包括：授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等。

对于不相容的职务如果不实行相互分离的措施，就容易发生舞弊等行为。不相容职务分离的核心是“内部牵制”，因此，单位在设计、建立内部控制制度时，首先应确定哪些岗位和职务是不相容的；其次要明确规定各个机构和岗位的职责权限，使不相容岗位和职务之间能够相互监督、相互制约，形成有效的制衡机制。85内控七大手段（二）授权审批控制授权批准是指单位在办理各项经济业务时，必须经过规定程序的授权批准。授权审批形式通常有常规授权和特别授权之分。常规授权是指单位在日常经营管理活动中按照既定的职责和程序进行的授权，用以规范经济业务的权力、条件和有关责任者，其时效性一般较长。特别授权是指单位对办理例外的、非常规性交易事件的权力、条件和责任的应急性授权。单位必须建立授权审批体系，明确：1、授权审批的范围；2、授权审批的层次；3、授权审批的程序；4、授权审批的责任。单位对于重大业务和事项，应当实行集体决算审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体意见。86内控七大手段（三）会计系统控制

会计作为一个信息系统，对内向管理层提供经营管理的诸多信息，对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等而进行的控制。其内容主要包括：1、依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书，会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师或者财务总监，设置总会计师或者财务总监的单位，不得设置与其职权重叠的副职。2、建立会计工作的岗位责任制，科学合理的分工，相互监督和制约。3、按照规定取得和填制原始凭证，设计良好的凭证格式，对凭证进行连续编号。4、规定合理的凭证传递程序，明确凭证的装订和保管手续责任。5、合理设置账户，登记会计账簿，进行复式记账。6、按照《会计法》和统一的会计准则制度的要求编制、报送、保管财务报告。87内控七大手段（四）财产保护控制财产保护控制主要包括：1、财产记录和实物保管。关键是要妥善保管涉及资产的各种文件资料，避免记录受损、被盗、被毁。对重要的文件资料，应当留有备份，以便在遭受意外损失或毁坏时能恢复，这在计算机处理条件下尤为重要。2、定期盘点和账实核对。它是指定期对实物资产进行盘点，并将盘点结果与会计记录进行比较。盘点结果与会计记录如不一致，可能说明资产管理上出现错误、浪费、损失或其他不正常现象，应当分析原因、查明责任、完善管理制度。3、限制接近。它是指严格限制未经授权的人员对资产的直接接触，只有经过授权批准的人员才能接触该资产。限制接近包括限制对资产本身的接触和通过文件批准方式对资产使用或分配的间接接触。一般情况下，对货币资金、有价证券、存货等变现能力强的资产必须限制无关人员的直接接触。88内控七大手段（五）预算控制

预算控制的内容涵盖了单位经营活动的全过程，单位通过预算的编制和检查预算的执行情况，可以比较、分析内部各单位未完成预算的原因，并对未完成预算的不良后果采取改进措施，确保各项预算的严格执行。在实际工作中，预算编制不论采用自上而下或自下而上的方法，其决策权都应落实在内部管理的最高层，由这一权威层次进行决策、指挥和协调。预算确定后由各预算单位组织实施，并辅之以对等的权、责、利关系，由内部审计部门等负责监督预算的执行。预算控制的主要环节有：1、确定预算的项目、标准和程序；2、编制和审定预算；3、预算指标的下达和责任人的落实；4、预算执行的授权；5、预算执行过程的监控；6、预算差异的分析和调整；7、预算业绩的考核和奖惩。89内控七大手段（六）运营分析控制

运营分析控制要求单位建立运营情况分析制度，管理层应当综合运用生产、购销、投资、融资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。90内控七大手段（七）绩效考评控制

绩效考评控制要求单位科学设置考核指标体系，对单位内部各职能部门和全体员工的业绩进行定期考核和客观评价，并将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗和辞退等的依据。此外，常用的控制方法还有：内部报告控制、复核控制、人员素质控制等。91内控七大手段92内部控制程序的种类系统检查控制人工检查控制人工预防控制系统预防控制可取的可信的可信的可取的93《企业内部控制配套指引》的内涵评价指引审计指引应用指引公司管理层自我评价核心：如何控制、设计、建设CPA外部审计（鉴证、审核）内部控制咨询、培训内控审计注册会计师的新业务94《企业内部控制配套指引》的结构发展战略组织结构人力资源企业文化社会责任资金活动资产管理采购业务销售业务研究与开发业务外包工程项目担保业务财务报告全面预算信息系统合同管理内部信息传递内部环境类指引控制活动类指引控制手段类指引95公司与业务层面内控的关系业务流程-资金活动业务流程-销售活动业务流程-资产活动业务流程-采购活动业务流程-研发活动业务流程-外包活动业务流程-担保活动业务流程-财报活动管理层IT一般控制控制手段全面预算合同管理内部信息传递IT应用控制业务层面控制组织架构发展战略人力资源社会责任企业文化公司层面控制96《企业内部控制配套指引》的特点97《企业内部控制配套指引》的特点98《企业内部控制配套指引》的特点（四）是一般通用指引，对企业的最基本要求，企业需结合行业特点和企业经营管理的特点，分析确定适合本企业的业务流程框架。

99《企业内部控制配套指引》的特点20世纪70-80年代初，美国出现一连串性质严重的财务丑闻，导致很多中小金融机构破产倒闭，究其原因，无论内审或外审都没发出信号，导致出现很多欺诈性财务报告和审计失败。1985年，美国五个职业协会，美国注册会计师协会（AICPA),美国会计协会（AAA),美国财务执行官协会（FEI），国际注册内部审计师协会（IIA），美国管理会计师协会（IMA),共同成立了Committeeofsponsoringorganization(发起组织委员会，简称COSO)。100内控控制整合框架目的是共同发起组建“美国反虚假财务报告委员会”，COSO委托此委员会调查这些已破产金融机构审计失败的原因。1987年，美国反虚假财务报告委员会提交报告，指出这些机构破产倒闭的原因50%多是源于内部控制失效，建议发起组织沟通协作，整合各种内控控制的概念和定义。为此，COSO委托普华永道牵头组织研究撰写内部控制框架。1992年9月，COSO发布著名的《内部控制-整合框架》，后在1994年进行补充修改，此后，COSO内部控制-整合框架在全球得到广泛应用。最新修改在2013年度。101内控控制整合框架COSO框架规定了内部控制的内容，包括五个相互独立而又相互联系的要素组成，包括控制环境、风险评估、控制活动、信息与沟通和监督。102COSO框架介绍COSO2013版内控框架变化介绍

旧版COSO内控框架的发布至今已近20年，在这20年里，世界已发生了天翻地覆的变化，网络化、信息化、全球化、一体化、世界范围的金融危机、系统风险……，各种机构、组织、企业对内部控制都有了新的需求，这在客观上要求COSO对旧版的内控框架作出调整，以体现、适应、满足发展的需要。

COSO于2010年启动对1994版《内部控制——整合框架》的修订工作，并于2011年——2012年对所修订的内容公开征集各方面的意见。历经三年多的时间，COSO最终完成对旧版内控框架的修订，正式发布了2013年新版的《内部控制——整合框架》。

103COSO2013版内控框架变化介绍（一）注重原则导向的方法。新框架最显著的变化是在旧框架的基础上，提炼出内部控制五要素的17项总体原则。内部控制五要素和17项总体原则作为内部控制的基本内容，构成了企业开展内部控制建设与评价的主要标准。

(二）明确目标设定在内部控制中的角色。旧框架将目标设定作为一个管理过程，认为目标设定是风险评估要素的前提条件。新框架同样强调目标设定是内部控制的前提，但明确指出目标设定不是内部控制的组成部分。

104COSO2013版内控框架变化介绍（三）强化公司治理的理念。新框架包括了更多的公司治理中有关董事会及其专门委员会（包括审计委员会、薪酬委员会、提名与治理委员会等）的内容。

（四）扩大了报告的范畴。旧框架在内控目标设定中仅仅关注财务报告目标，目的是确保编制可靠的公开发表的财务报告，驱动力主要来自企业面临的外部监管要求。新框架在报告对象和报告内容两个维度上进行了扩展。在报告对象上，既要面向外部投资者、债权人和监管部门，确保报告符合有关监管要求；又要面向董事会和经理层，满足企业经营管理决策的需要。在报告内容上，除了包括传统的财务报告，还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告等非财务报告。105COSO2013版内控框架变化介绍（五）增加了反欺诈与反腐败的内容。与旧框架相比，新框架包含了更多的关于反欺诈与反腐败的内容，并且把管理层评估欺诈风险作为内部控制的17项总体原则之一，重点加以阐述。

（六）考虑了不同商业模式和组织结构的内部控制。随着经济全球化的发展、技术的不断进步和人才竞争的加剧，近年来企业的商业模式和组织结构发生了巨大变化，企业在运营过程中更多地使用第三方提供的产品或服务，管理层更加关注包括供应商和客户在内的价值链管理。为此，新框架专门分析了不同商业模式和组织结构下内部控制的有效性问题。106COSO2013版内控框架变化介绍（七）相对于旧框架，在内控建设和评价中，强调依赖于管理层自身的判断，而不是像原来一样要求严格基于证据。新框架强调董事会、管理层和内审人员拥有“判断力”。新版框架还关注在内控建设过程中应注重与效率的结合，建议管理层通过判断，去除那些失效、冗余乃至完全无效的控制，提升控制的效率和效果，而非单纯地为了控制而控制。（八）新框架对于如何确保内控体系的有效性进行了进一步澄清，尤其强调内控五要素中的每一项都会受到其他要素的影响，应视为一个整体来对待，并且描述了不同要素下的控制措施如何影响其它要素下的原则，有助于整合性地看待内控体系和控制措施，而非孤立对待。新版内控框架在指出内控的局限性方面比旧框架更加明确，指出了内控在决策和应对外部事件情况下的局限性。如在新的内控框架强调了内控对天灾(外部事件)和人祸(人为失误)的无能为力。107COSO2013版内控框架变化介绍新版COSO《内部控制—整合框架》提出的17项总体原则(落地）

控制环境1.组织对正直和道德等价值观做出承诺。2.董事会独立于管理层，并对内部控制的推进与成效加以监督控制。3.管理层围绕其目标，在治理层监督下，建立健全组织架构、报告途径、合理的授权与责任等机制。4.

组织对吸引、开发和保留与认同组织目标的人才做出承诺。5.组织根据其目标，使员工各自担负起内部控制的相关责任。108COSO2013版内控框架变化介绍风险评估6.就识别和评估与其目标相关的风险，组织做出清晰的目标设定。7.组织对影响其目标实现的风险进行全范围的识别和分析，并以此为基础来决定风险应如何进行管理。8.组织在风险评估过程中，考虑潜在的舞弊行为。9.组织识别和评估对内部控制系统可能造成较大影响的改变。109110大数据与风险管理结合案例COSO2013版内控框架变化介绍控制活动10.组织选择并开展控制活动，将风险对其目标实现的影响降到可接受水平。11.对信息技术，组织应选择并实施控制以支持其目标的实现。12.组织应通过合理的政策制度和保证这些政策制度切实执行的流程程序来实施控制活动。111COSO2013版内控框架变化介绍信息与沟通13.组织获取或生成，并使用相关、有质量的信息来支持内部控制发挥作用。14.组织应在其内部沟通传递信息，包括内部控制的目标和责任在内的必要信息，以支持内部控制发挥作用。15.组织与外部相关方就影响内部控制发挥作用的事宜进行沟通。112COSO2013版内控框架变化介绍监督活动16.组织选择、推动并实施持续的、独立的评估，以确认内部控制的要素是存在且正常运转的。17.组织在相应的时间范围内，评价内部控制的缺陷，并视情况与那些应采取正确行动的相关方（如：高级管理层，董事会）进行沟通。

113114如何对标内控环境（公司治理，架构，权责，人力政策，企业文化，合规基调，高层垂范、内部审计等）内控手册流程制度工作指引评估方案，改善报告表单1153、内控体系内容1163、内控体系内容117战略落地总结：1、运用流程管理工具建立框架2、用端到端理念，战略落地理念建立框架3、内控对标，加入规范和指引要求4、运用五原则，七手段、嵌入五要素和风险因素5、完善内控环境，总结内控手册6、评估方案，改善报告1183、内控体系内容1194、五要素嵌入内部控制的原则和要素内部环境制定相关政策设置内部机构明确职责权限包含治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等风险评估确定风险承受度识别企业内外部风险进行风险分析制定风险应对策略控制活动不相容职责分离控制授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制信息与沟通建立信息与沟通制度提高信息有用性加强信息沟通渠道发挥信息技术的作用建立反舞弊机制内部监督日常监督专项监督内部控制缺陷的识别和整改内部控制评价报告120内控的原则：全面性，重要性，制衡性，适应性，成本效益如何将五要素落地？五要素应融入每个部门的管理活动，指引是纵向（包含控制活动居多），横向嵌入五要素，并在内控文件中体现，落实和监督实施。举例：采购业务1214、五要素嵌入

控制环境：采购、质检、库管、付款人员具备良好业务素质、敬业态度和职业道德；设立采购授权制度，分级分权管理；对采购、付款、库管、质检人员定期轮换；统筹安排采购计划、采购、审批、购买、验收、付款、后评价等环节的职责和审批权限；安排非采购专门部门来审核抽查和监督（内控或审计）；三权分离，采购、需求、招标分开，互不干涉。

风险评估：主要包括质量不合格，价高，规格和数量与合约不符，时间地点与合约不符，供应商管理混乱，收受回扣，库存不合理积压或短缺材料，未授权人员办理采购和付款业务，重复或错误应付，采购材料违反国家或企业政策，会计资料虚假不完整等风险。122《企业内部控制配套指引》的落地实施

控制活动：确保采购计划、订单合同得到正确的授权审批，保证采购业务合法有效；建立供应商评估和准入制度，确定清单并进行有效管理；价格经招标确定，审计监督保证质量合格，价格公道；入库验收合格尽量减少库存；最大限度集中采购；规定时间和地点交货，退货详细记录并受到监督；严禁未授权人员签发支票；保证输入系统和输出的会计数据真实、准确、合理。

信息沟通：采购部各项规章制度，年度预算和计划实施、与各部门及内部各种单据，总结报告等

监控：监督复核各项单据，交叉复核。123《企业内部控制配套指引》的落地实施招标中心五要素嵌入124练习全面性原则重要性原则制衡性原则适应性原则成本效益原则1255、内控原则运用126重要性原则重要岗位重要内容重要程序重要结果分权制衡双向复核双轨运行双重保护不相容职责分离控制授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制1276、七大手段运用128不相容职务分离人事权VS财务权批准权VS受益权评判权VS执行权批准权VS执行权分配权VS受益权定价权VS定单权保管权VS支配权对帐权VS记帐权129公司治理不相容授权原则监事会与董事会、高管层不相容独立董事与监事会、经理层不相容内审部与经营管理部门不相容董秘与CEO、CFO、监事不相容风险管理部与其他经营管理部门不相容合规管理部与其他经营管理部门不相容授权审批制度文化导向，企业类型各不同，但要兼顾效率和效果，按照重要性原则，根据风险来确定所需要的控制。1306、七大手段运用美的曾推行过“1131”流程工作项目，关键要求如下：（1）一个接口：集团各事业部之间，每个单项流程在每个单位只允许有一个接口，实现流程在各单位的单点接触，流程在各单位内部的流转由各单位负责进行处理。（2）一个工作日签批（反馈）：每个流程控制点的停留时间最多一天。（3）三个签批控制点：每个单项流程原则上为三个签批控制点，超三个签批控制点的特殊流程倡导自主改善，尽可能压缩签批空间，并对相关签批控制点予以删减。（4）一个工作日反馈：对于下达的工作任务在一个工作日内响应，向相关部门反馈执行或解决的时间进度。131案例会计系统控制管理财务，财务管理…监督与服务并重1326、七大手段运用财产保护哪些是公司重要财产？如何保护？只有经过授权的人才能使用资产保护资产的努力应和资产的价值、流动性、损失的风险相关。重要资产和风险高资产双重保护资产保护包括物理和逻辑两部分1336、七大手段运用物理安全：1、保险箱、银行保险柜等安全地方存放可转让单据2、通过栅栏、上锁、房屋等措施限制使用财产3、通过安排保安检查，使用资产权力限制为经过授权人员使用。4、不具备保护措施的地点，对重要公文、记录保留复印件，电子拷贝。5、佩戴徽章识别授权员工6、保护资产，适当存放，三防。1346、七大手段运用逻辑安全（通过合乎逻辑程序完成）1、对敏感岗位人员正直性进行调查后聘用2、重要人员不同机出发，专门保健医生…3、与关键员工签约，保密，竞业限制4、为关键员工投保5、只有经授权人员才能知道密码6、处理权限的计算机控制程度7、数据保护，开发和演练灾难恢复计划8、商誉安全，打假投入9、关系维护，投入1356、七大手段运用预算控制预算的是与非？灵活度？应起到引导，激励而非限制的作用。1366、七大手段运用运营分析非财，非人，重在落实，运用！1376、七大手段运用绩效考核如何真正做好绩效考核？用好BSC？1386、七大手段运用在流程中加入对应风险特别考虑舞弊风险（COSO2013）标准模板(供参考）：目的、范围、风险、权责、定义、内容…1397、风险管理嵌入1、职责分清，内控做什么，各部门做什么2、让流程拥有部门自行修改，不要越俎代庖3、实际应用，不要花架子4、监督和处罚加入5、文件规定弹性的考虑1408、文件梳理注意事项端到端的流程优化：为企业利益相关者直接创造核心价值的流程，从利益相关者需求出发，到为利益相关者提供满意的产品或服务结束的一条完整的价值链。第一，面向最终的产出，而不是面向任务。第二，是从需求到满意的一个完整的闭环1418、文件梳理注意事项142案例143案例144案例内控模型11359---供参考145高级管理层

执行层道德规范/合规/文化高级领导层中级领导层执行层1个模型3个手段5个环节9个要点一个框架1461个框架-COSO内控框架包括所有部门、业务、流程确保公司资产安全内部控制的五要素内部控制的目标压力借口机会员工舞弊：收入无法满足生活上的奢求管理舞弊：管理层无法达成预计盈余的目标受信任或知悉內控所存在的缺失，认为可逾越控制态度偏差、人格特质、道德观使其做出舞弊并将其行为合理化1个模型-舞弊三角模型147148高层领导应对舞弊三角

...疏解压力

...消灭机会消除借口高层作用制定政策149反舞弊三角理论关心员工，缓解压力不同部门各尽其责，形成严密的舞弊防范与监控体系加强企业文化建设，在企业内部树立诚实、正直的共同价值观，对舞弊的防范起着不可忽视的作用消除借口-加强企业文化建设，完善道德环境消灭机会-发挥内部规章的威慑作用，增加舞弊行为的机会成本疏解压力-管理责任企业内部的规章制度必须对不允许作为做出明确规定，并应有相应的惩罚措施。“3

No”不能

不想

不敢不敢：在有效监督机制下“不敢”做。不能：找不到漏洞而“不能”做。价值管理监督

不想：坚守正确价值观而“不想”做。舞弊治理方式151风险规避三个手段

利益冲突调查职权分割风险隐患申报绩效考评控制不相容岗位未分离运营分析控制员工能力隐患合规隐患职业健康隐患安全隐患职业操守隐患预算控制风险形成会计控制授权控制合作方隐患环境隐患拥有投资与客户、供应商竞争对手关系亲属任职裙带关系员工亲属私人关系152风险形成分析存在利益冲突职权分割控制失效风险隐患未申报风险隐患申报153定期风险评估、自动申报目的内容方法范围对于风险隐患“全员排查、逐级监督、共同整改”明确风险隐患分级标准，按照级别处理渠道和责任主体，对于不同级别（或类型）的隐患，由不同的专业部门跟进。集团范围中高层、基层员工、合作方风险隐患申报表—供参考154

项目

风险隐患因素是(否)存在a单位b单位c单位…3风险隐患

3.1安全隐患

3.2环保隐患

3.3职业健康隐患

3.4员工能力方面隐患

3.5员工操守方面隐患

3.6合规风险隐患

3.7内控缺失隐患

3.8管理漏洞隐患

3.9合作方隐患

3.10……

职权分割155目的内容方法范围各岗位职责、涉及业务流程、各流程环节的职权分布情况等。样本工厂、销售区域、分子公司避免不相容职权未分离导致的舞弊，风险、沟通不畅，从而影响经营效率、效果阅读岗位说明书、编制调查问卷并发放回收、访谈、实地观察156职权分割—定义职权分割是指将一项决策权交给两个或两个以上的人分别行使。只有当他们同时行使职权时才能够使问题获得解决。

将职权分割下授，可以使被授权者之间相互制约、相互监督，防止舞弊和错误发生。职权分割调查表—借鉴RASIC157流程活动及描述（按循环或按岗位）职责权限支持通知咨询销售、应收账款循环应付账款、现金支付循环财务循环项目投资循环工资薪金循环采购循环……158职权分割—不相容职务分离人事权VS财务权批准权VS受益权评判权VS执行权批准权VS执行权分配权VS受益权定价权VS定单权保管权VS支配权对帐权VS记帐权159职权分割—公司治理不相容授权原则监事会与董事会、高管层不相容独立董事与监事会、经理层不相容内审部与经营管理部门不相容董秘与CEO、CFO、监事不相容风险管理部与其他经营管理部门不相容合规管理部与其他经营管理部门不相容160职权分割—牵制基本原则重要岗位重要内容重要程序重要结果分权制衡双向复核双轨运行双重保护161职权与职责对等原则如一个人连续或非连续出现在多个连续或非连续的流程活动中往往代表需要进行职权分割职权是执行任务的自决权职责是完成任务的义务职权=职责162职权分割-2人采购与应付循环张龙赵虎王朝马汉展昭批准采购X

发放订单

X

登记收货记录

X

资料归档

X

保管应付明细记录

X

审查从供应商处来的信息是否与公司保持的记录一致X

采购与应付循环张龙赵虎王朝马汉展昭批准采购X

发放订单

X

登记收货记录

X

资料归档

X

保管应付明细记录

X

审查从供应商处来的信息是否与公司保持的记录一致X

163职权分割-3人采购与应付循环张龙赵虎王朝马汉展昭批准采购X

X

发放订单

X

登记收货记录

X

资料归档

X

保管应付明细记录

X

审查从供应商处来的信息是否与公司保持的记录一致

X

164职权分割-4人采购与应付循环张龙赵虎王朝马汉展昭批准采购X

X

发放订单

X

登记收货记录

X资料归档

X

保管应付明细记录

X

审查从供应商处来的信息是否与公司保持的记录一致

X

165职权分割-5人166职权分割的适应性管控的成本效益是永恒原则职权分割和经营/管理规模需适应需结合控制风险可承受度进行辨析不能不顾规模大小盲目分割167临期品处理职权分割销售经销商临期处理经销商销售财务物流分仓业务行销临期品收回XX

临期品存放X

临期品数量确认XX

临期品处理申请XX

临期品搭赠处理活动XX

活动结果实地确认

X

活动结果评估上报结案

X

结案款挂账转货款

X

X流程部门设备部经理工厂总经理设备部-机修组采购部-机

配件采购员申购单

机加工零件图纸设计

X

审批同意XX

从年初确定的加工厂家选择

X

同意采购XX

登记台账及发票催收

X初步验收并投入使用

X

财务付款

168机加工零件采购职权分割X利益冲突调查---提案简明169目的内容方法范围集团公司及分支选取关键岗位抽样开展合理防止员工和公司之间发生利益冲突，避免和减少潜在的经营管理风险明确利益冲突调查的程序、作用等调查问卷收集，汇总统计分析意义

识别公司存在利益冲突及潜在利益冲突

170项目

舞弊风险因素是/否1利益冲突

1.1在本公司客户、供应商或竞争对手单位中拥有投资或权益

1.2与本公司内部员工有亲属关系

1.3与本公司内部员工有重要私人关系

1.4在本公司客户、供应商或竞争对手有亲属任重要岗位

1.5在本公司客户、供应商或竞争对手有重要私人关系利益冲突调查问卷5个环节171

环节案例1案例2案例3……设计执行设计执行设计执行设计执行人员控制（进入）

管理控制

会计控制

法规控制

思想控制

人员：背景、能力管理：内控制度会计：七大手段之一法规：合规控制思想：文化，价值观1725个环节铁锈1739个要点**区域、工厂

**部（职能部门）**部（职能部门）要点设计问题执行问题设计问题执行问题组织架构岗位职责审批权限数据表单作业规范

标准流程

绩效考核监督

IT工具

从内控体系设计角度看，完善的内控关键点包括：1、供应商引入，资质审查，背景调查保证诚实守信供应商入围2、仓管人员招聘背景调查，需要没有前科背景清白的人做此岗位。3、仓库培训，仓库人员应对职业操守和如何应对供应商胁迫贿赂情况进行培训。4、自查或交叉复核，上级主管应制定计划对下属关键工作点进行检查和监督，或设计不同岗位的工作交叉复核。5、二方复核，相关业务部门应进行关键控制点进行复核，如品管应对仓库的重量进行复核。6、系统控制，ERP7、财务控制，财务入账前应对关键项目进行复核，如密度。8、异常分析改善，财务分析发现单价或其他项目异常现象，在经营管理会上加以发布，并跟进改善。或单列财务分析会，财务分析应成为经营管理的好帮手，同时也是防范舞弊的重要手段。174综合案例175PDCA循环计划

执行

检查

改进

内控模型中任一流程都应按照PDCA循环来进行持续改进，实现公司稳健的可持续发展。目

录4内审定位及开展工作思路1235内部审计实务内审沟通、能力学习与成长案例分析内控体系建设实务5内部审计是独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营，它通过系统的规范的方法，评价并改善组织的风险管理，控制和治理过程的效果，帮助组织实现其目标。177内审定位与目标-IIA定义存货盘点发询证函指标考核符合性测试价值评估效率考察协助外审咨询建议……...……….企业内部活动的监督者防错纠弊的检察员监控企业运作和资源使用的效率和效果协助外部审计人员内控风险管理推进管理咨询178内部审计在现代企业中的角色和职能维度看门狗卧龙先生价值取向保护股东利益，员工有效履责增加股东利益，改善组织运营工作视角强调控制，重合规与执行强调价值，重建议与设计工作方式监督、鉴证、评价咨询、建议、服务组织地位严格独立业务伙伴工作方法操作导向风险导向思维角度内部、局地、短期、静态外部、整体、长期、动态审计形象不良行为监察管制人，医生伙伴、顾问、经验教训传播者财务审计经营（运营）审计：九大/七大循环；经济责任（离任）审计；效益（3E/5E）审计IT审计（媒介审计）

工程审计舞弊审计管理审计：

计划（战略、计划、预算）职能/部门

组织（公司治理、管理）

领导（战略人力）、控制（绩效、内控）社会责任审计180内部审计类型流程视角审计类型区别审计类型审计目标关注内容关于赠品的审计•

相关财务信息的真实性、完整性、合法性、准确性等•

会计金额与发票一致，使用会计科目正确•

付款金额对象与合同一致•

赠品入库、出库和保管是合理的财务导向•

采购过程的合规性•

采购需求是真实的•

供应商是优质的•

价格是合理的，质量可靠•

赠品的使用符合要求业务导向•

赠品业务的效果效率•

赠品对销售的拉动•

顾客对赠品的满意度•

赠品与产品的匹配管理导向领导要求：1、创造高绩效，现金价值2、找出重要问题。3、不仅要找问题，最重要推动改善。4、抓舞弊典型，杀一儆百5、传播优秀经验，不仅惩恶还要杨善6、…182内审人员的定位邱风邱语：1、促进管理改善2、降低组织风险3、创造审计价值结合领导要求和IIA目标确定阶段性目标审计不止发现问题，还要解决问题183内审定位与目标-目标探讨外企：审计部，风管部，道德合规部民企：审计部/审计监察部(内控部)国企：审计部，监察部，纪委184各类企业审计职责定位探讨1、建章立制内部审计章程内部审计制度离任及任中审计办法审计报告追踪及落实管理办法举报投诉管理办法舞弊惩处办法审计手册、反舞弊手册（内部）审计数据库及档案管理…185初始阶段2、初出江湖找准薄弱点出击！3、乘胜追击逐步形成系统化操作186初始阶段1、反思多交朋友，线人2、识别真正需求

战略计划？老板关心什么？自身能力？

3、转型常规纵深加大-总体层次提高确认—咨询审计—内控风险合规现在—未来管理—治理单体—联合

……187做了一段时间如何打开局面？通用磨坊食品公司总部–美国下属公司所在国家–超过100个雇员人数–超过39,000人所属行业–消费食品年收入–167亿美元内部审计年度运营成本/预算–不便透露内部审计职能人员人数–20人内部审计职能成立年限–超过40年内部审计总监/首席审计执行官的报告对象–审计委员会主席及(行政上)首席财务官188由于全球内部审计部的很多活动都跨越国界，因此哈里斯和她的团队会与本地和全球各地区审计师以分包形式合作。全球内部审计部的主要目标是为高级管理层和董事会提供保证，确保公司对财务报告、信息技术和业务运营活动所实施的内部控制均有效运作。我们也致力通过执行特定风险咨询。“我们通过更有效的合作来达成我们的共同目标─实现适当程度的风险和控制覆盖范围，而且通过各个部门之间严谨一致的沟通，使得我们在实现上述目标时避免重复工作。”─凯西•哈里斯(CathyHarris)咨询项目为公司增值，一般针对新兴的运营或战略风险，”哈里斯说，“我们的大部分工作都是保证性质的，但每年或许会执行两到三个咨询项目。189通用磨坊食品全球治理委员会在四年前成立，目前主要由全球内部审计部负责推动和筹划。委员会的使命包括协调内部的治理职能和合规职能；通过知识和数据的有效共享从而推动协作；整合通用流程以提高效率。为配合这一使命，委员会制定了以下核心目标：•