29
2020/2/29
29
风险持续评估与应对
风险基本类别评估
固有风险
指假定不存在相关内 部控制时，某一帐户 或交易类别单独或连 同其他帐户、交易类 别生重大错报或漏报
的可能性。
2020/2/29 2020/2/29
剩余风险
检
错
查
报
风
险
30 30
风险意识（风险提醒，风险警觉）
风险 应对
2020/2/29 2020/2/29
2020/2/29 2020/2/29
提高透明度 加强平时沟通
举报与投诉
关键点控制与信息披露
岗位或权力行使 的风险管理
不相容岗位分离 轮岗 离岗
38 38
检查与监督
持续监控
个别评价
检查监督的两种基本方式
2020/2/29
39
2020/2/29
39
内部控制 缺陷评价
2020/2/29 2020/2/29
保证绩效
2020/2/29
34
2020/2/29
34
— — —
信息与沟通——信息整合
短 视
短 期
短 见
过 去 式
年 度
货 币 计 量
实信知 时息识 反集共 映成享
平风 衡筝 计分 分析 卡法
传统不足
拓展目标
工具支持
如何突破 左脑思维？
2020/2/29 2020/2/29
信息整合
35 35
信息与沟通——信息体系
检查与监督
自我评估 外部评估
管理层进行
实质性漏洞
超出“风险容量”与“风险 容限”及制度规定的事项未
被发现，或未被纠正
40 40
检查与监督
检查监督 基本制度
内部审计
定期审计 不定期审计 专项审计
2020/2/29
41
2020/2/29
41
控制口径：全员、全过程、全方位
哪些事情绝对不能做？
哪些公众或媒体绝对 不能得罪？
4、对资产和记录的实物控制
资产
记录
安全性
2020/2/29
防止被改和被盗、丢失
20
5、对执行情况的独立检查
❖ 没有一个经常性的检查机制，内部控制很可能随着时 间的推移而发生变化。
❖ 没有人监督和评价其业绩，雇员就可能忘记或者蓄意 不遵守控制措施；也可能会变得粗心大意。
❖ 无论控制的质量如何，都可能会出现舞弊行为和蓄意 错报。
2020/2/29
45
2020/2/29
45
中国企业的内部控制——法规建设
2008 2006 2004
颁发《企业内部控制基本规范》 成立“企业内部控制标准委员会” 颁发《企业内部会计控制规范》
2000
《会计法》颁布
2020/2/29
46
2020/2/29
46
LOGO
2020/2/29
47
信息体系
外部报告体系 内部报告体系
2020/2/29 2020/2/29
财务会计 管理会计 商务智能
36 36
信息与沟通——沟通
沟通
供应商关系管理 客户关系管理 投资者关系管理 员工关系管理
2020/2/29 2020/2/29
薪酬 股份 晋升 忠诚度
37 37
信息与沟通——反舞弊机制 反舞弊机制
2020/2/29
21
审计控制
❖ 国际内部审计师协会工作重点：内部审计和审计委员会之 间特殊的关系上。
❖内部审计是在一个组织内部对各种经营活动与控 制系统的独立评价，以确定既定政策的程序是否 贯彻，建立的标准是否遵循资源的利用、是否合 理有效、以及单位的目标是否达到。
❖ 内审的难点：“身在此山中，要识真面目”
2020/2/29
13
内部控制所要解决的主要问题
❖ 3、通
通
（1）信息流、业务 流、资金流对接； （2）内部报告系统 与持续改进计划； （3）独立检查与自 我评估； （4）风险预警与分 类管理； （5）管理层级与管 理团队。
2020/2/29
14
内部控制关注的主要环节
（1）充分的职责分工； （2）业务和活动的适当授权； （3）充分的凭证和记录； （4）对资产和记录的实物控制； （5）对执行情况的独立检查。
市场风险
利率 汇率
概率法：
风
风险价值（VaR）
险
计
量
方
信用风险 操作风险 法律风险
……
法
因素分析法——破产预测
2020/2/29
28
2020/2/29
28
风险分析
（3）风险分析的目的
风险分析 的目的
1、估计风险的严重性——性质 2、评估风险发生的可能性——概率 3、拟定对策的可行性——控制
2020/2/29
1992 •美国COSO报告《内部控制-整体框架》
2020/2/29
2
COSO委员会的内部控制定义
❖ 内部控制专门研究委员会——发起机构委员会(简称 COSO委员会《内部控制——整体框架》中对内部控 制的定义：
❖ “内部控制是一个要靠组织的董事会成员、管理层和 其他员工去实现的过程，实现这一过程是为了合理地 保证： ▪ 1、经营的效果性和效率性； ▪ 2、财务报告的可信性； ▪ 3、对有关的法律和规章制度的遵循性。
2020/2/29
22
内部控制自我评价（CSA） -----内部审计发展的新方向
❖ 企业不定期或定期的对自己及所属子公司的内部控制 系统进行评价
❖ CSA是一种自我评估运营程序，把传统的只由内部审 计人员从事的内部评价转由公司各部门参与作业的人 员亲自评估，把内部控制作为组织所有成员的事。
❖ 内部审计人员与被评价单位管理人员组成一个小组， 对本部门内部控制的恰当性和有效性进行评估，出具 改进建议的报告，由管理者实施。
一般授权：制定统一遵守的政策，各部 门、个人在政策规定范围内 批准各项业务。
特别授权：个别业务的一次性授权。
2020/2/29
17
创维数码
❖ 2004年11月30日，香港廉政公署发动了一次代号为“虎山 行”的行动，拘捕了创维数码董事局主席黄宏生等10名人 士。
❖ 黄宏生等人无视公司外部股东利益，绕开现有的董事会， 私自将上市公司款项打入自己创办的公司。涉嫌盗取公司 资金4800万元，被香港廉政公署拘捕。
3、充分的凭证和记录
（1）预先连续编号；
（2）业务发生时立即编制；
（3）简单明了，易于理解； （4）一式多联，方便实用，
便于控制； （5）格式有利于正确编制。
①设计科目表，便于正确记
录和分类控制；
②编制制度手册，明确记账
手续，便于利用会计记录 对经济活动实施控制。
2020/2/29
19
4、对资产和记录的实物控制
LOGO
内部控制专题
2020/2/29
1
国际具有影响力的内部控制指南
2005•香港会计师公会
《内部控制与风险管理-基本框架》
2004 •美国COSO委员会 ERM
《企业风险管理-整体框架》 1999
•英格兰及威尔斯特许会计师公会Turnbull指南
《内部控制-综合守则的董事会指南》 1995
•加拿大COCO委员会《控制原则标准》（ COCO 原则）
2020/2/29 2020/2/29
实行分类管 理，有效防 范和控制
25 25
政治 因素
会计 制度
市场
外部 风险
技术 税收
自然 环境
法律
风险识别
基础 设施 技术
内部 风险
制度 信息系统 软硬件
人员
流程
增长
并购重组 跨国经营 一元与多元
2020/2/29
26
2020/2/29
26
风险分析
1、风险敞口（风险可能 带来的最大损失）
通
11
内部控制所要解决的主要问题
❖ 1、权
权
（1）不相容岗位分离； （2）重要岗位轮岗； （3）要害岗位离岗； （4）分权与授权； （5）战略 组织 岗 位 员工能力 绩效
2020/2/29
12
内部控制所要解决的主要问题
❖ 2、事
事
（1）流程规范； （2）作业优化； （3）活动标准； （4）环节控制点与 手续； （5）能力与制度
❖ 创维数码的股票从2004年11月30日起停牌,直到2006年1月15 日复牌,开盘报1.04港元,比复牌前最后交易日收盘价2.67 港元下跌了61%,市值一天蒸发35亿 。
❖ 内部控制是衡量现代企业管理的重要标志，通过实践得 出的结论是:得控则强、失控则弱、无控则乱。
2020/2/29
18
3、充分的凭证和记录
2020/2/29
15
1、充分的职责分工（不相容职务分离）
（1）资产保管与会计相分离； （2）业务授权与相关资产保管相分离； （3）经营责任与记账责任相分离； （4）电子数据处理系统中系统分析员、编程员、计算 机操作员、程序管理员、数据控制员等这些职责相分离。
2020/2/29
16
2、业务与活动的适当授权
时态
预防性：标准与规范
发现性：问题与纠偏
基
本
类
型
人工控制：滞后，立足纠偏
状态
计算机控制：实时、自动，持续改善
2020/2/29
33
2020/2/29
33
控制活动——信息控制
信息控制
一般控制：软件开发与系统维护，安全管理
应用控制：业务流程固化，控制自动实施