内部控制与风险管理（第3版）课件：内部监督

内部监督内部控制与风险管理学习目标

包商银行发生风险事件的根源在于监督失效2019年5月24日，包商银行因出现严重信用风险，被人民银行、银保监会联合接管。这是中国金融发展史上的一个重大事件，诸多中小银行风险背后的根源在于公司治理失灵，以及与之相关的金融腐败和违法犯罪。包商银行的风险根源在于公司治理全面失灵包商银行公司治理最突出的特点是“形似而神不至”。从表面上看，包商银行有较为完善的公司治理结构，股东大会、董事会、监事会、经营层的“三会一层”组织架构健全、职责明确，各项规章制度一应俱全。但实际上，包商银行有的只是形式上的公司治理框架。“大股东控制”和“内部人控制”两大公司治理顽症同时出现，加之地方“监管捕获”、贪腐渎职，导致形式上的公司治理架构和机制基本失灵，给各类违法违规和舞弊行为提供了滋生土壤和宽松环境。引例（一）党的领导缺失，党委主要负责人附庸于大股东并演化为内部控制人，总行党委、纪委的作用被严重弱化，逐渐成了摆设。

（二）大股东操纵股东大会，干预银行正常经营，通过各种方式进行利益输送。

（三）董事会形同虚设，缺乏全面有效的风险管理体系，风险管控职能失效，核心作用被董事长个人取代。

（四）监事会监督职能弱化，监事专业性不足、独立性不强，监督履职失灵。

包商银行监督失效的具体表现（五）管理层凌驾于制度之上，以领导指示或领导集体决策代替规章制度。

包商银行监督失效的具体表现（二）大股东操纵股东大会，干预银行正常经营，通过各种方式进行利益输送。

包商银行机构股东有79户，持股比例为97.05％，其中，明确归属明天集团的机构股东有35户，持股比例达89.27％，远超50％的绝对控股比例。2005年以来，明天集团通过大量的不正当关联交易、资金担保及资金占用等手段进行利益输送。（三）董事会形同虚设，缺乏全面有效的风险管理体系，风险管控职能失效，核心作用被董事长个人取代。

据接管组掌握的情况，在2015年12月二级资本债募集说明书披露的董事会１３人名单里，有相当数量的董事并不参与决策，甘于被收买，只拿钱不尽责，甚至凭借特殊关系和名气，替人站岗放哨，站台背书。（一）党的领导缺失，党委主要负责人附庸于大股东并演化为内部控制人，总行党委、纪委的作用被严重弱化，逐渐成了摆设。

接管组发现，长期以来，包商银行党委形同虚设，“党的核心作用”早已被“董事长的核心作用”取代。包商银行纪委对大量的举报线索不立案、不查处、不追究；对一些严重违法违规放贷案件只做内部处理，不报案。党内监督问责机制完全失效。包商银行监督失效的具体表现（四）监事会监督职能弱化，监事专业性不足、独立性不强，监督履职失灵。

包商银行的７名监事中，４名职工监事均为包商银行中高层管理者，双重身份导致职工监事很大程度上必须听命于董事会或者管理层；部分监事缺乏必要的专业知识和能力，难以很好地履行职责。（五）管理层凌驾于制度之上，以领导指示或领导集体决策代替规章制度。

由于包商银行缺乏制衡机制和有效监督，管理层不仅违规为大股东“明天系”套取巨额资金提供帮助，而且通过本行工会注册企业和成立中微小集团公司等关联交易的方式套取信贷资金，这些贷款基本形成不良贷款，大多数关联交易都未通过董事会决议审批。包商银行发生风险事件，一方面说明其内部控制存在重大缺陷，未能保证企业持续健康发展，另一方面说明董事会、监事会等机构没有充分发挥监督作用，导致公司管理存在严重漏洞、经营出现重大损失。企业要规避上述风险，就需要按照《企业内部控制基本规范》及其配套指引的要求，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求；同时企业应当结合内部监督情况，定期对内部控制评价的有效性进行自我评价，出具内部控制自我评价报告。分析10.2内部审计10.3内部控制评价10.1内部监督概述CONTENTS目录10.1

内部监督概述内部监督的定义10.1.1内部监督的程序10.1.2内部监督的形式10.1.31.内部监督的定义

内部监督是企业对内部控制的实施情况进行的监督检查，目的在于评价内部控制的有效性，发现内部控制缺陷，并及时加以改进。内部监督作为企业内部控制的重要组成部分，是企业的利益相关者对企业代理人的经营行为、过程或决策等经营活动实施客观、及时的监控所涉及的一系列监督制度的总称。案例10-1

P349华为如何构建内部控制三道防线体系2.内部监督的程序1.建立健全内部监督制度2.制定内部控制缺陷标准3.实施监督4.记录和报告内部控制缺陷5.对内部控制缺陷进行整改2.内部监督的程序（1）建立健全内部监督制度

内部监督制度的主要内容包括但不限于:明确监督的组织架构、岗位设置、岗位职责、相关权限、工作方法、信息沟通的方式以及各种表格和报告样本等。（2）制定内部控制缺陷标准

明确内部控制缺陷的认定标准是内部监督工作的关键步骤，它直接影响内部监督工作的效率和效果。

内部控制缺陷可以分为一般缺陷、重要缺陷和重大缺陷。按照缺陷的来源，内部控制缺陷可分为设计缺陷与执行缺陷。按照缺陷的内容，内部控制缺陷可以分为财务报告内部控制缺陷和非财务报告内部控制缺陷。案例10-2

P350前董事长占用挪用资金，新开源内部监督失效案例10-3

P351海螺水泥的内部控制缺陷认定标准2.内部监督的程序（3）实施监督对内部控制建立情况与实施情况进行监督检查，最直接的动机是找出企业内部控制存在的问题和薄弱环节。

一方面，针对已经存在的内部控制缺陷，及时采取应对措施，减少控制缺陷可能给企业带来的损害。举例在监督检查中发现销售人员直接收取货款的控制缺陷，应采取对客户进行核查和对应收账款进行分析等方法加以补救。另一方面，针对潜在的内部控制缺陷，采取相应的预防性控制措施，尽可能避免缺陷的产生，或者当缺陷发生时，尽可能降低风险和损失。举例在监督检查中发现企业对汇率风险缺少控制，经理层应及时设立外汇交易止损系统，防止风险扩大。2.内部监督的程序（4）记录和报告内部控制缺陷

《企业内部控制基本规范》第四十七条规定，企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。

按照内部控制要素分类，相关文档记录包括:（1）内部环境文档；（2）风险评估文档；（3）控制活动文档；(4)信息与沟通文档；（5）内部监督文档。2.内部监督的程序（4）记录和报告内部控制缺陷企业应制定相关的管理规定，明确缺陷报告的职责、报告的内容，对缺陷报告程序及跟进措施等方面加以规范。

举例企业下属业务部门和其他控制人员在工作中发现内部控制的缺陷，应及时以书面形式向上级主管部门和内部控制主管部门报告。内部控制缺陷的报告对象至少应包括与该缺陷直接相关的责任单位、负责执行整改措施的人员、责任单位的上级单位。针对重大缺陷，内部监督机构有权直接上报董事会及其审计委员会和监事会。2.内部监督的程序（5）对内部控制缺陷进行整改通过内部监督，可以发现内部控制在建立与实施中存在的问题和缺陷，进而采取相应的整改计划和措施，切实落实整改，促进内部控制系统的改进。案例10-4

P355海亮集团的内部审计3.内部监督的形式《企业内部控制基本规范》第四十四条将内部监督分为日常监督和专项监督两种形式。内部监督专项监督日常监督3.内部监督的形式日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。1）日常监督的功能作用：获取内部控制执行的证据。印证内外部信息。核对数据记录和实物资产。配合内外部审计提出的建议。（1）日常监督2）日常监督的优缺点：日常监督能够持续地提供内部控制是否有效的信息，能够较快地发现问题。但对于风险发生的可能性较低但影响程度大的业务事项如突发事件，进行日常监督的成本较高。案例10-2

P350前董事长占用挪用资金，新开源内部监督失效3.内部监督的形式（1）日常监督3）日常监督的适用范围:日常监督根植于企业日常、重复发生的活动之中，能够较快地识别问题。日常监督的程度越大，其有效性就越高，企业所需的专项监督就越少。案例10-2

P350前董事长占用挪用资金，新开源内部监督失效案例10-5

P357联动销售模式下万孚生物固定资产内部监督问题3.内部监督的形式专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。1）专项监督的功能作用：及时发现内部控制缺陷，修正与完善内部控制系统。关注高风险且重要的项目。（2）专项监督2）专项监督的优缺点：专项监督能够从一个新的角度关注内部控制系统的有效性，是对日常监督的有效补充。但专项监督往往发生在事实出现之后，具有一定滞后性。案例10-2

P350前董事长占用挪用资金，新开源内部监督失效3.内部监督的形式

（2）专项监督３）专项常监督的适用范围:专项监督的范围和频率应根据风险评估结果以及日常监督的有效性等予以确定。一般来说，风险水平较高并且重要的控制，企业对其进行专项监督的频率应较高。

总之，日常监督是专项监督的基础，专项监督是日常监督的补充。二者的有机结合有利于确保企业内部控制系统随时间的变化保持其有效性。案例10-2

P350前董事长占用挪用资金，新开源内部监督失效案例10-6

P359山东高速集团的财务管理监督机制10.2

内部审计内部审计的定义10.2.1内部审计的职能10.2.2内部审计的机构10.2.31.内部审计的定义

内部审计和国家审计（政府审计）、社会审计（事务所审计、独立审计）并称三大类审计。在2001年1月国际内部审计师协会（IIA）发布的《国际内部审计专业实务框架》中，内部审计被定义为：内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。

2003年6月，中国内部审计协会发布《中国内部审计准则》，对内部审计给出定义：内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。1.内部审计的定义

2018年1月12日，审计署党组书记、审计长胡泽君签署中华人民共和国审计署令第11号，公布了新修订的《审计署关于内部审计工作的规定》，明确了内部审计的定义，指出内部审计是对本单位及所属单位财政财务收支、经济活动、内部控制、风险管理实施独立、客观的监督、评价和建议，以促进单位完善治理、实现目标的活动。同时进一步明确内部审计职责范围。

2021年10月23日第十三届全国人民代表大会常务委员会第三十一次会议通过了关于修改《中华人民共和国审计法》的决定，其中涉及内部审计的主要是将第二十九条改为第三十二条，修改为：“被审计单位应当加强对内部审计工作的领导，按照国家有关规定建立健全内部审计制度。审计机关应当对被审计单位的内部审计工作进行业务指导和监督。”案例10-7

P361以内审监督服务国家电网高质量发展2.内部审计的职能内部审计的职能可以概括为两大类，即防护性／批判性职能和建设性／咨询性职能。内部审计的职能建设性/咨询性职能防护性/批判性职能2.内部审计的职能1）监督职能。内部审计监督就是检查和督促组织内部人员在其授权范围内有效地履行其职责，以保证组织的各项活动在符合政府的法律法规、组织的方针政策以及公认管理原则的正常轨道上运行。2）评价职能。内部审计的评价是指内部审计人员依据一定的审计标准对所检查的活动及其效果进行合理的分析和判断。为实现组织目标所从事的一切生产、经营、管理活动，都是评价的对象。（1）防护性／批判性职能案例10-2

P350前董事长占用挪用资金，新开源内部监督失效2.内部审计的职能1）控制职能。控制职能是指内部审计作为一种管理控制，通过独立的评价活动来衡量和评价其他内部控制的适当性和有效性。

2）服务职能。服务职能是指通过对经济活动的分析和评价，向组织内成员提供改进工作的建议和咨询服务，从而帮助组织内成员有效地履行其职责，提高其工作质量和效率。（2）建设性／咨询性职能案例10-2

P350前董事长占用挪用资金，新开源内部监督失效案例10-8

P363内部审计助力中国电建战略目标实现

《审计署关于内部审计工作的规定》第十二条规定，内部审计机构或者履行内部审计职责的内设机构应当按照国家有关规定和本单位的要求，履行下列职责：2.内部审计的职能（3）对本单位及所属单位财政财务收支进行审计；（2）对本单位及所属单位发展规划、战略决策、重大措施以及年度业务计划执行情况进行审计；（1）对本单位及所属单位贯彻落实国家重大政策措施情况进行审计；（4）对本单位及所属单位固定资产投资项目进行审计；（5）对本单位及所属单位的自然资源资产管理和生态环境保护责任的履行情况进行审计；

2.内部审计的职能（9）对本单位内部管理的领导人员履行经济责任情况进行审计；（7）对本单位及所属单位经济管理和效益情况进行审计；（10）协助本单位主要负责人督促落实审计发现问题的整改工作；（11）对本单位所属单位的内部审计工作进行指导、监督和管理；（8）对本单位及所属单位内部控制及风险管理情况进行审计；（6）对本单位及所属单位的境外机构、境外资产和境外经济活动进行审计；

（12）国家有关规定和本单位要求办理的其他事项。

2）专职高效原则：所谓专职，是指内部审计部门及人员应该是专门从事审计工作的机构和人员。所谓高效，是指内部审计机构的设置应该精干，因事纳人。3）权威性原则：内部审计机构的组织地位和设置层次越高，权威性越大，内部审计的作用就发挥得越充分。1）独立性原则：独立性是内部审计的基本特征，设立内部审计机构必须符合审计独立性的要求。无论是企业层级的还是部门层级的内部审计机构，都必须保持其组织上和业务上的独立性3.内部审计的机构（1）内部审计机构的设置原则案例10-9P366万达内部如何“防腐”？（1）规模小

规模小的企业只设置单一的内部审计机构，服务于企业高层管理的需要。

（2）规模大规模大的企业可以在董事会下设审计委员会，在高层管理机构下设内部审计部门，分别行使各自对受托责任的审计职权。（2）内部审计机构的设置方式3.内部审计的机构在实际工作中，可以根据企业规模大小，分别设立单层审计机构或双层审计机构。案例10-8

P363内部审计助力中国电建战略目标实现案例10-10P367中国核电的大监督体系3.内部审计的机构（3）内部审计机构的主要权限

《审计署关于内部审计工作的规定》第十三条规定，内部审计机构或者履行内部审计职责的内设机构应有下列权限：（1）要求被审计单位按时报送发展规划、战略决策、重大措施、内部控制、风险管理、财政财务收支等有关资料（含相关电子数据，下同），以及必要的计算机技术文档。（2）参加单位有关会议，召开与审计事项有关的会议。（3）参与研究制定有关的规章制度，提出制定内部审计规章制度的建议。（4）检查有关财政财务收支、经济活动、内部控制、风险管理的资料、文件和现场勘察实物。（5）检查有关计算机系统及其电子数据和资料。3.内部审计的机构（3）内部审计机构的主要权限（6）就审计事项中的有关问题，向有关单位和个人开展调查和询问，取得相关证明材料。（7）对正在进行的严重违法违规、严重损失浪费行为及时向单位主要负责人报告，经同意作出临时制止决定。（8）对可能转移、隐匿、篡改、毁弃会计凭证、会计账簿、会计报表以及与经济活动有关的资料，经批准，有权予以暂时封存。（9）提出纠正、处理违法违规行为的意见和改进管理、提高绩效的建议。（10）对违法违规和造成损失浪费的被审计单位和人员，给予通报批评或者提出追究责任的建议。（11）对严格遵守财经法规、经济效益显著、贡献突出的被审计单位和个人，可以向单位党组织、董事会（或者主要负责人）提出表彰建议。案例10-11

P370万科集团的内部审计10.3

内部控制评价内部控制评价的定义10.3.1内部控制评价的原则10.3.2内部控制评价的内容10.3.3内部控制评价的程序10.3.41.内部控制评价的定义内部控制评价是指由企业董事会和管理层实施，对企业内部控制的有效性进行评价，形成评价结论，出具评价报告的过程。

解释内部控制评价，是优化内部控制自我监督机制的一项重要制度安排，是内部控制系统的有机组成部分，它与内部控制的建立和实施构成一个动态的有机循环。案例10-12

P371我国上市公司2019年内部控制评价报告披露情况1.全面性原则2.重要性原则3.客观性原则2.内部控制评价的原则按照《企业内部控制评价指引》的要求，企业实施内部控制评价至少应当遵循下列原则：

案例10-13

P374某研究所2019年内部控制评价情况报告全面性原则评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。重要性原则评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。客观性原则评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。2.内部控制评价的原则1.内部环境评价2.风险评估评价3.控制活动评价3.内部控制评价的内容按照《企业内部控制评价指引》的规定，企业应当根据《企业内部控制基本规范》《企业内部控制应用指引》以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。4.信息与沟通评价5.内部监督评价3.内部控制评价的内容（1）内部环境评价

企业组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。（2）风险评估评价

企业开展风险评估评价，应当遵从《企业内部控制基本规范》有关风险评估的要求，以各项应用指引中所列主要风险为依据，对已经识别的评估对象面临的各种风险、承受风险的能力、风险消减对策等进行认定和评估。（3）控制活动评价

企业组织开展控制活动评价，应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。3.内部控制评价的内容（4）信息与沟通评价

企业组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关指引为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性进行认定和评价。（5）内部监督评价

企业组织开展内部监督评价，应当以《企业内部控制基本规范》有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。案例10-14

P377民生银行内部控制重大缺陷引发的违规事件4.内部控制评价的程序

1.制定评价工作方案2.组成评价工作组3.实施现场测试《企业内部控制评价指引》第十二条规定，企业应当按照内部控制评价办法规定的程序，有序开展内部控制评价工作。内部控制评价程序一般包括制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。4.认定控制缺陷5.汇总评价结果6.编报评价报告（1）制定评价工作方案

内部控制评价机构应当以内部控制目标为依据，结合企业内部监督情况和管理要求，分析企业经营管理过程中影响内部控制目标实现的高风险领域和重要业务事项，确定检查评价方法。制定科学合理的评价工作方案，经董事会批准后实施。评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既可以以全面评价为主，又可以根据需要采用重点评价的方式。4.内部控制评价的程序（2）组成评价工作组

企业内部控制评价部门应当根据经批准的评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。