企業內部控制

與內部審計實務邱健

食堂采購內控…大師傅負責采購菜蔬，招標采購糧油醬醋，食堂經理采購清潔用品，自己采購固定資產總結：控制吃回扣，靠人管人不管用；要從源頭控制；要把大權化成小權控制；要用規則法律控制；要讓人自己控制自己。2破冰目

錄4內審定位及開展工作思路1235內部審計實務內審溝通、能力學習與成長案例分析內控體系建設實務54該爆炸事故造成165人遇難(其中參與救援處置的公安消防人員110人，事故企業、周邊企業員工和周邊居民55人)、8人失蹤(其中天津港消防人員5人，周邊企業員工、天津港消防人員家屬3人)，798人受傷(傷情重及較重的傷員58人、輕傷員740人)。事故中心區以大爆坑為爆炸中心，150米范圍內的建筑被摧毀。參與救援的消防車、警車和位于爆炸中心南側的吉運一道和北側吉運三道附近的順安倉儲有限公司、安邦國際貿易有限公司儲存的7641輛商品汽車和現場滅火的30輛消防車在事故中全部損毀，鄰近中心區的貴龍實業、新東物流、港灣物流等公司的4787輛汽車受損。截至2015年12月10日，已核定直接經濟損失68.66億元，其他損失尚需最終核定。5天津港"8·12"特別重大火災爆炸事故“11-22”中石化東黃輸油管道泄漏爆炸特別重大事故

2013年11月22日10時30分許，位于山東省青島經濟技術開發區的中石化東黃輸油管道發生泄漏爆炸特別重大事故，事故共造成62人遇難，136人受傷，直接經濟損失7.5億元。6瑞海公司危險品倉庫運抵區南側集裝箱內的硝化棉由于濕潤劑散失出現局部干燥，在高溫(天氣)等因素的作用下加速分解放熱，積熱自燃，引起相鄰集裝箱內的硝化棉和其他危險化學品長時間大面積燃燒，導致堆放于運抵區的硝酸銨等危險化學品發生爆炸。7事故原因調查發現，瑞海公司實際控制人于某在港口危險貨物物流企業從業多年，熟悉港口經營危險貨物物流企業需要的行政許可及其審批程序。于某通過送錢、送購物卡（券）和出資邀請打高爾夫、請客吃飯等不正當手段，拉攏原天津市交通和港口管理局分管領導和天津市交通運輸委員會港口管理處負責人，要求在行政審批過程中給瑞海公司提供便利。有關負責人濫用職權，違規給瑞海公司先后五次出具相關批復，而這種批復除瑞海公司外從未對其他企業用過。8違規問題瑞海公司另一實際控制人董某也利用其父親（已去世）曾任天津港公安局局長的關系，在港口審批、監管方面打通關節，對瑞海公司無法定許可違法經營也起了很大作用。除董某外，調查組沒有發現該公司人員的親屬有擔任領導職務的公務人員。9違規問題調查認定瑞海公司存在的違法違規問題達10項之多：1、嚴重違反天津市城市總體規劃和濱海新區控制性詳細規劃，未批先建、邊建邊經營危險貨物堆場。2、無證違法經營。以不正當手段獲得經營危險貨物批復。3、違規存放硝酸銨。多種危險貨物嚴重超量儲存。4、違規混存、超高堆碼危險貨物。5、違反有關國家和行業標準，混存不同種類的危險貨物，間距嚴重不足，超高堆碼大量存在。10違規問題調查認定瑞海公司存在的違法違規問題達10項之多：6、違規開展拆箱、搬運、裝卸等作業。7、未按要求進行重大危險源登記備案。8、沒有按照有關法規規定對本單位的港口危險貨物存儲場所進行重大危險源辨識評估，也沒有將重大危險源向天津市交通運輸部門進行登記備案。9、安全生產教育培訓嚴重缺失。未按規定制定應急預案并組織演練。10、事故發生后，沒有立即通知周邊企業采取安全撤離等應對措施，貽誤了疏散時機，導致人員傷亡情況加重。11違規問題公安、檢察機關對49名企業人員和行政監察對象依法立案偵查并采取刑事強制措施。其中，公安機關對24名相關企業人員依法立案偵查并采取刑事強制措施（瑞海公司13人，中介和技術服務機構11人）；涉及瑞海公司行政許可審批的天津市交通運輸委員會、天津港（集團）有限公司、天津海關、天津新港海關、濱海新區規劃和國土資源管理局、天津海事局等單位的有關人員存在受賄問題，檢察機關對25名行政監察對象依法立案偵查并采取刑事強制措施（正廳級2人，副廳級7人，處級16人），其中交通運輸部門9人，海關系統5人，天津港（集團）有限公司5人，安全監管部門4人，規劃部門2人。12事故處理根據事故原因調查和事故責任認定結果，調查組另對123名責任人員提出了處理意見，建議對74名責任人員給予黨紀政紀處分，其中省部級5人，廳局級22人，縣處級22人，科級及以下25人；對其他48名責任人員，建議由天津市紀委及相關部門視情予以誡勉談話或批評教育；1名責任人員在事故調查處理期間病故，建議不再給予其處分。13事故處理2014年4月中下旬，中國移動通信集團廣東有限公司（下稱“廣東移動”）廣州分公司（下稱“廣州移動”）原黨委書記梁春火涉嫌嚴重經濟違紀違法問題被“兩規”。經查，2011年底至2014年4月，梁春火先后任中國移動通信集團廣東有限公司佛山分公司（下稱“佛山移動”）總經理、黨委書記及廣州移動黨委書記期間，利用職務便利，收受他人所送款項共計人民幣290.3萬元、港幣5萬元。2014年12月18日，梁春火被廣州市中院一審判決犯受賄罪，判處有期徒刑8年，并處沒收財產人民幣50萬元。梁春火案件牽涉面較廣，涉案的廣東移動、佛山移動員工及其他社會人員近20名。14案例2

梁春火19歲參加工作之后的30年，堪稱少年得志平步青云的典范：從惠州市郵電局一個小小的載波室機務員做起，直至惠陽郵電局局長，后升任惠州移動分公司總經理、黨委書記，佛山移動總經理、黨委書記，平均每兩年一次的升遷速度，足以說明他的努力與才干。梁春火也一直保持著良好的履職紀錄。期間帶領佛山移動獲得“全國五一勞動獎狀”、“全國精神文明建設工作先進單位”等多個榮譽稱號，個人也獲得了“廣東省五一勞動獎章”、“廣東省電信行業改革開放三十年先進人物（貢獻獎）”、“中國移動通訊優秀黨務工作者”等榮譽。

彼時的梁春火還是嚴于律己的，正如他在自我剖析材料中寫道：“為了防止不廉潔的行為發生，防患于未然，我曾經跟老婆多次明確‘約法’，禁止她介紹朋友、親戚到我任職的公司來投標承攬工程，多年來一直堅持。對自己身邊的工作人員，我也一再告誡提醒，不要做違規的工作?！倍徽{查人曾某在談話中也曾提到，2010年前后他找梁春火關照工程，梁春火沒有幫忙，還告訴他說要避嫌。15案例2轉折點發生在2011年。2011年前后，梁春火妻子從事違規的民間借貸造成上千萬元的虧空后，欠下巨款，家庭陷入經濟危機。于是在短短的四年間，梁春火收受賄賂高達人民幣近300萬元之巨。16案例2斂財第一招：向“重點領域”伸手權力尋租。由于巨額利潤，移動公司的傳輸管道工程、傳輸設備工程、室內分布工程、土建工程、電力工程以及重大設備采購等，向來都是工程承包商和設備供應商虎視眈眈的獵物，稍有機會，他們即將目標瞄準手握大權的企業領導和管理人員。作為移動公司的一把手，梁春火自然也成為目標之一，其收受的好處費正是集中在工程建設項目及物資采購領域。一是作案主體多元。除梁春火外，他的原司機、老部下，公司中層管理人員、公司副總等不同層面的人皆卷入其中，活躍在作案鏈條的各個節點上。二是實施權錢交易。梁春火利用作為一把手在工程招投標、設備采購的決定權進行權力尋租，有的是私企老板直接進行賄賂，有的則是通過他的司機、管理人員或副手穿針引線，再層層撈取回扣。三是涉案金額趨高。梁春火在工程和設備領域的涉案金額約200萬元，而流入他的親信和下屬腰包也不在少數，僅是原佛山移動綜合部副總經理梁永俊就收取回扣高達370萬元，他的原司機黃國勝收取了51萬元，他的兩個副手則分別收受了30萬元和20萬元。17案例2

斂財第二招：“靚號資源”非法倒賣。梁春火的另一個斂財之道，就是審批倒賣特殊手機號碼牟利，則具有行業特殊性。由于社會風俗或個人偏好等原因，手機靚號擁有較大的市場需求和價值，而偏偏它又是一種稀缺資源，并不是在移動營業廳可以隨便選到的，一些投機分子看到這個供需矛盾，于是一種原不允許用于交易的公共資源便進入了不法交易渠道。2011年至2014年，梁春火利用其作為廣州移動黨委書記擁有特殊手機號碼最高審批權的職務便利，將約160個手機靚號分多次賣給某酒家總經理廖某、房產銷售公司總經理程某，計算標準具體以每個號碼尾號相連的位數為準，一個號碼收取3千至1萬元不等，號碼特別好的還會更高些，通過此種方式梁春火從中牟利人民幣約100萬元。18案例2制度設計存漏洞。一是招投標機制不夠完善。國家雖然出臺了招投標法，而且也有相應的配套法規制度防止不法行為，但是實際運作中卻仍存在大量的人為因素，圍標串標、買標賣標成為行業潛規則。

在梁春火案件中，工程項目、設備采購的中標者也基本都是通過“打招呼”提前確定的。佛山移動綜合部副總經理梁某在供述中說：“符某送錢給我一方面是希望我利用職務便利，將招標項目的內部信息透露給他，使他能夠有針對性地制作標書；而且我們在制訂評分規則的過程中，制訂有利于符某所在的公司的評分標準，從而使符某所在的公司提高中標幾率；另外，我也是評標組長，在評標時也可以關照符所在的公司。”充分說明了在不完善的機制內，潛規則如何大行其道。

二是行業制度設計存在缺陷。特殊手機號碼作為一種具有較高市場價值的公共資源，移動分公司黨委書記、總經理具有最高審批權，可以合法地將號碼審批給任何人，卻沒有相應的制度去規定限制其倒賣行為，留下了制度漏洞，自然會讓有所圖謀的人伺機而動。19案例2教訓與啟示討論：看了這些案例后您得到哪些啟示？201、天津港案例：安全風險意識淡薄——風險管理文化未建立違規堆放、混放危險物品…風險在設計階段就要防范內控活動職責未履行到位，風險預案未演練、培訓不到位，各級監督檢查虛設…2、廣州移動案例家庭親情出問題。權力運行缺監督，制度設計存漏洞。1、內控管理階段

傳統規章制度，如財務制度，回款制度等。2、內控風險管理階段

內控體系實施，包含風險管理。3、全面風險管理階段

參照央企全面風險管理指引，ISO31000建立，包含風險文化，偏好，預警等。21內控風險體系建設開展階段建立全面風險管理的評價標準1.企業全員樹立風險意識，努力使風險意識印在腦海里，溶化在血液中，落實在行動上。風險意識是企業家的第一素質。企業家是一個經營冒險事業的組織者，是組織、擁有、管理并承擔這一事業全部風險的人。2.企業對標：與《指引》對標；與國內風險管理標桿企業對標；與國際同行業企業對標。3.沒有意料之外，為意料之中做好了準備。

22目

錄4內審定位及開展工作思路1235內部審計實務內審溝通、能力學習與成長案例分析內控體系建設實務5內控規范定義：內部控制是由企業的董事會、監事會、經理層和全體員工實施的，旨在實現控制目標的過程。COSO定義：內部控制是由企業的董事會，管理層和其他員工實施的，旨在為實現經營的效率和效果，報告的可靠性，遵循適用的法律法規目標提供合理保證的過程。24定義25內控和風險管理的關系26內控和風險管理的關系27內控的局限性-不顧管理風險大小和發生時間-不考慮企業實際業務狀況（品牌地位、運行模式、客戶結構、員工素質等）-在風險控制和投入成本之間不能取得恰當的平衡-利益沖突-組織牽制-不相容職責區分串通舞弊行為缺乏成本觀念越級--上級不按程序越過中間控制層，直接要求更下級辦理業務（非緊急情況）越權--下級職工越過權限范圍，處理上級職工授權范圍內的業務（非緊急情況）濫用職權28內控的局限性-不能依據管理風險變化及時修訂業務程序-不能針對預見到的新業務，及時擬訂新的業務程序政策程序修訂不及時-對內控不重視，缺乏基本的常識，不能有效履行工作職責-職業道德水準低下，缺乏責任心，不按業務程序和工作紀律處理業務-故意犯罪員工素質不佳29對內控的認識誤區誤區建立內控體系是股東董事會為了控制總經理和管理層的措施2.內控管理只是針對管理人員3.民營企業都是自己人，沒必要搞內控4.小企業人少，沒必要搞內控5.用人不疑，疑人不用，內控與此有沖突6.內控體系是煩瑣哲學，建立內控體系將降低企業工作效率7.內控只是針對財務工作，和其他業務無關8.目前沒有發生重大損失的企業，其內控就是完善的9.只要有質量管理體系，沒有內控體系也無所謂10、內控只是內部審計師或內控管理人員的事11、只要員工素質高，沒有內控體系也無所謂12、內控只是監督13、建立內控體系只是為了防止貪污舞弊14、企業已經買了保險，無須再搞內控建設15、搞企業內控，就是寫個業務程序和規章制度16、推行內控只是為了保護股東利益，與雇員和職工利益無關17、。。。。30對內控的認識誤區誤區1、降低內外風險

降低，不能消除2、協助實現目標

組織目標，部門目標，個人目標3、提高管理效率運作效率，協同效率，決策效率。…31內控工作的益處1、策劃2、培訓3、目標確定4、制度流程梳理5、風險評估6、內控評估7、持續機制32分目錄1、組織2、人員3、范圍4、目標5、方案33策劃內控體系推進部門設置：1、歸財務部門管理體現“財務內部控制”為主滿足資本市場的監管要求，符合監管要求2、歸審計部，稽核部管理體現“合規內部控制”為主內控評估主要由內審部門組織完成，審計人員熟悉企業情況，能設計和監控內控體系。341、策劃-組織3、歸風險管理部門管理體現“合規內部控制/風險控制”為主央企風險管理指引出臺4、專職內控部門體現“全面管理內控”的特征行業合規要求和風險管理水平較高企業，內控朝提升管理水平發展，如中石油，中石化，農行等。351、策劃-組織5、政出多門問題制度、流程擁有部門擬定，統一批準，發布，修改361、策劃-組織37企業內控體系和職責權限關系圖董事會負責內控的建立健全和有效實施（十二條）管理層負責組織領導企業內控日常運行（十二條）內控機構負責組織協調內控的建立實施及日常工作（十二條）監事會對董事會建立內控進行監督（十二條）內部審計部門對內控有效性進行監督檢查（十五條）審計委員會負責審查內控，監督有效實施和內控自評（十三條）責任單位掌握內控機構設置、崗位職責、業務流程等情況，明確職責分配，正確行使職權（十四條）決策領導協調監督下設機構監督監督檢查專職和兼職結合來源廣泛經過適當培訓人數看規模和目標確定381、策劃-人員組織規模階段計劃391、策劃-范圍401、策劃-目標落實戰略系統管理分層管理集成共享結構優化落實責任制度流程優化六大目標1、流程架構要關注對戰略性業務發展的支撐，設計要體現公司競爭戰略導向。第一，卓越運營型公司核心流程在供應鏈領域，如豐田汽車、戴爾電腦；

產品領先型公司核心流程在集成產品研發，如蘋果，英特爾；

客戶親密型公司核心流程營銷、銷售與服務，如IBM,家得寶。第二，職能導向還是客戶導向。卓越運營型公司，企業會將更多的精力放在內部運營上，職能導向的流程架構設計比較常見，在充分發揮直線職能制組織架構專業化效率的同時，通過流程優化提升企業運營水平；職能導向流程架構設計如：供應鏈管理、客戶關系管理、質量管理、營銷管理、新產品研發等。客戶親密型公司，流程架構設計則會體現客戶導向，將會采取端到端的流程架構設計模式，流程設計會從客戶端需求觸發到客戶端滿意結束?？蛻魧蛄鞒碳軜嬙O計如：（C2M）從概念到市場，（M2L）從市場到線索，（L2C）從線索到回款，（T2R）從問題到解決。411、策劃-目標2、將核心能力關聯流程作為公司的關鍵流程，通過精細化、精益化管理來提升流程能力與績效。麥當勞3、建立與企業戰略發展階段相匹配的業務模式、管理模式，來支撐未來戰略發展要求。

京東自建物流和阿里外包物流421、策劃-目標431、策劃-目標系統管理441、策劃-目標分層管理1、策劃-目標采購管理流程劃分48練習491、策劃-目標集成（integration）就是一些孤立的事物或元素通過某種方式集中在一起，產生聯系，從而構成一個有機整體的過程。舉個簡單的例子，對于全球化企業，通過推行全球統一流程，不同業務覆蓋多個地區、國家，只有一套統一的流程標準，相比于各分支機構獨立分散管理，效率呈十甚至是上百倍地提升。華為的共享服務模式（財務共享服務中心、人事共享服務中心、全球采購平臺、全球研發平臺）結構優化的第一個方面是完善結構，確保企業流程體系沒有結構性缺失，同時從結構上明確流程體系的重點。結構優化的第二個方面是提升業務、管理模式，通過流程架構層級的優化來系統地優化流程體系，這比單個操作各級流程優化效果更有效、更巨大。不同層面上，跨部門流程都會任命一位流程所有者來管理501、策劃-目標落實外部監管需求，領導指示量化目標（金額及其他）511、策劃-目標預算確定輸出確定（量化）時點確定里程碑確定啟動-培訓-目標-風險評估-制度流程梳理-內控評價改善-建立常態機制521、策劃-方案華為在眾多國際級咨詢公司的幫助下，在借鑒業界領先實踐的基礎上，結合企業實際情況，完成了流程架構的整體設計與持續優化，從而保證了流程體系在結構上處于領先水平。（1）每一個一級流程都是端到端設計的，都是直指利益相關方價值創造需求的，而不是被職能割裂成一段一段的流程碎片。（2）在高階流程架構設計中引入了最佳業務模型，如IPD（集成產品研發）、ISC（集成供應鏈）等，從流程結構上實現了整體優化。（3）真正做到了“橫向拉通，縱向集成”，讓公司流程體系成為一個目標一致、主次分明的整體。（4）體現華為的中長期戰略發展要求，將戰略所需的核心能力落實到架構設計里。53案例由于華為采取全球統一流程的策略，對于近200個國家和地區原則上采用同一套流程標準，推行全球統一流程（少數國家允許做本地化設計）。這種流程管控結構，做到了一次設計、全領域共享，并且共享的是全球最佳業務實踐。同時，由于高度標準，帶來了組織運作效率的大幅提升。華為真正實現了流程驅動組織，是一個典型的流程型組織54案例外訓、內訓CICS（國際注冊內部控制師）流程管理高層、中層、基層分級進行高層：流程架構設置、戰略制定、內控原則等中層：戰略落地、內控方法、具體流程工具等基層：執行552、培訓563、目標目標的設定與明確，以公司總體目標為起點，逐層落實到具體業務和管理負責單位、部門及崗位。定義從宏觀的業務管理領域到具體業務流程的劃分邏輯，同時各部門、崗位的目標、職責、績效定義明確。573、目標583、目標593、目標內部控制目標包括五個方面：（1）合理保證企業經營管理合法合規（合規目標）（2）合理保證企業資產安全

（資產目標）（3）合理保證企業報告及相關信息真實完整

（報告目標）（4）提高經營效率和效果（營運目標）（5）促進企業實現發展戰略（戰略目標）。60內控規范五個目標

61COSO框架思考采購業務流程目標621、梳理2、對標3、內控體系應有內容4、內控原則應用5、五要素嵌入6、七大手段運用7、風險管理嵌入8、梳理中注意事項634、制度流程梳理在公司、業務、部門層面進行流程梳理（如前圖所示）將現有文件、制度、流程按照三個層面進行梳理。了解公司目前有哪些流程，現有業務是如何運行的，各業務流程之間的關系是怎樣的，現有流程體系在架構上存在什么問題。注意：1、不包含通知、公告、函件、備忘錄等。2、ISO體系文件單獨成套，包含在其中。641、梳理內控對標：企業內部控制基本規范（2008年6月，財政部、證監會、審計署、銀監會、保監會聯合發布）企業內部控制配套指引十八項（2010年4月發布）行業指引（2014年起陸續發布，已發布電力石化）COSO框架652、對標662、對標流程對標：APQC是美國生產力與質量中心（AmericanProductivityandQualityCenter）的簡稱。該中心自1991年開始研究開發流程分類框架（簡稱PCF），于1992年發布PCF1.0。最初，APQC提出的流程分類框架是跨行業的，參與設計的80個組織單位希望能創造出“前瞻性標桿式企業流程分類法則”向全球推廣。歷時10年之后，該標準已經被全球數百家企業所認同使用。該分類框架是以“開放性標準標竿合作(OSBC)數據庫”的內容為基礎，并按照全球產業領導者的協同建議整合而成。672、對標2008年，APQC陸續提出了十個行業的流程分類框架，包括跨行業、電力行業、消費品行業、航空航天和國防行業、汽車行業、傳媒行業、醫藥行業、電信行業、石油行業、石化行業的流程分類框架。68APQC69APQC第一級：category類或域是企業流程中的最高一個級別，例如管理客戶服務、管理供應鏈、管理財務資源、管理人力資源等。第二級：ProcessGroup流程組是企業第一級（類或域）的下一級流程，代表一群流程，例如：售后維修、采購、應付款管理、招聘等。第三級：Process流程是一系列將輸入轉化為輸出的相互關聯的活動。流程消耗資源并且需要制訂可重復執行的標準；流程需要遵從一個面向質量、速度、成本績效要求的控制系統。第四級：Activity活動是執行流程要完成的關鍵事項。例如：接收客戶請求，處理客戶抱怨，采購合同洽談等。第五級：Task任務是活動的下一個層級。任務通常顆粒度更細，不同的行業差異會較大。例如：創建業務計劃、獲得資助、設計識別與獎勵方法等。70APQC712、對標APQC流程框架eTOM是enhancedTelecomOperationsMap的英文首字母縮寫，英文全稱為enhancedTelecomOperationsMapTM(eTOM)，即增強的電信運營圖(eTOM)，是信息和通信服務行業的業務流程框架。72ETOM簡介73ETOMeTOM強調業務驅動和以客戶為中心。為了反映出這些，eTOM支持兩種不同的視圖來細化和分組業務流程：（1）垂直的流程分組：該分組描述了端到端的流程，如整個的服務計費所涉及的流程。（2）水平的流程分組：描述了面向功能的流程，如管理供應鏈所涉及的流程。74ETOM（1）客戶導向的流程架構設計，首先面向客戶需求設計了七條端到端垂直業務流程組；然后圍繞如何讓這七條端到端業務流程有效運行，設計了八條使能流程組；最后設計了八條企業共享的管理和支持流程組。（2）端到端流程設計理念：七條端到端垂直業務流程組都是從客戶需求開始到客戶滿意結束。（3）使能流程設計理念：八條面向功能的流程組設計是為七條端到端流程有效運行提供能力保障。75ETOM76借鑒ETOM規劃流程架構示例77企業內部控制規范體系之間的聯系經過兩輪的意見征求過程，五部委于2010年4月26日聯合發布了《企業內部控制配套指引》。

2008年6月28日，財政部、證監會、審計署、銀監會、保監會五部委聯合發布企業內部控制基本規范企業內部控制應用指引企業內部控制評價指引企業內部控制審計指引適用于審計師適用于企業、監管機構、咨詢方、審計師適用于企業記住“一五五五七”一個定義五個目標五項原則五大要素七大手段78內控規范總結內控規范定義：內部控制是由企業的董事會、監事會、經理層和全體員工實施的，旨在實現控制目標的過程。COSO定義：內部控制是由企業的董事會，管理層和其他員工實施的，旨在為實現經營的效率和效果，報告的可靠性，遵循適用的法律法規目標提供合理保證的過程。79一個定義理解內控定義：1、內部控制是個過程，是實現目標的手段，而不是目標本身2、內部控制是依靠人員來實施的，不僅僅是政策手冊和表格，還涉及組織中各個層級人員的活動。3、內部控制只能為企業目標的實現提供合理保證，而不是絕對保證。4、內部控制被用來實現一個和多個彼此獨立又相互交叉類別的目標。80一個定義內部控制目標包括五個方面：（1）合理保證企業經營管理合法合規（合規目標）（2）合理保證企業資產安全

（資產目標）（3）合理保證企業財務報告及相關信息真實完整

（報告目標）（4）提高經營效率和效果（營運目標）（5）促進企業實現發展戰略（戰略目標）。81內控規范五個目標全面性原則：企業建立和實施內部控制要貫穿決策、執行和監督全過程，并覆蓋企業及其所屬單位各種業務和事項。重要性原則：企業要關注重要業務事項和高風險領域。制衡性原則：企業的內部控制體系在治理結構、機構設置、權責分配、業務流程等方面形成相互制約、相互監督的機制并兼顧運營效率。82內控規范五項原則適應性原則：企業內部控制體系要適應企業規模和風險水平，并隨內外部環境和情況變化及時加以調整。成本效益原則：企業在建立和實施內部控制的過程中要權衡實施成本和預期效益。83內控規范五項原則內部環境制定相關政策設置內部機構明確職責權限包含治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等風險評估確定風險承受度識別企業內外部風險進行風險分析制定風險應對策略控制活動不相容職責分離控制授權審批控制會計系統控制財產保護控制預算控制運營分析控制績效考評控制信息與溝通建立信息與溝通制度提高信息有用性加強信息溝通渠道發揮信息技術的作用建立反舞弊機制內部監督日常監督專項監督內部控制缺陷的識別和整改內部控制評價報告84內部控制的原則和要素內控的原則：全面性，重要性，制衡性，適應性，成本效益（一）不相容職務分離控制

所謂不相容職務，是指那些如果由一個人擔任既可能發生錯誤和舞弊行為，又可能掩蓋其錯誤和舞弊行為的職務。不相容職務一般包括：授權批準與業務經辦、業務經辦與會計記錄、會計記錄與財產保管、業務經辦與稽核檢查、授權批準與監督檢查等。

對于不相容的職務如果不實行相互分離的措施，就容易發生舞弊等行為。不相容職務分離的核心是“內部牽制”，因此，單位在設計、建立內部控制制度時，首先應確定哪些崗位和職務是不相容的；其次要明確規定各個機構和崗位的職責權限，使不相容崗位和職務之間能夠相互監督、相互制約，形成有效的制衡機制。85內控七大手段（二）授權審批控制授權批準是指單位在辦理各項經濟業務時，必須經過規定程序的授權批準。授權審批形式通常有常規授權和特別授權之分。常規授權是指單位在日常經營管理活動中按照既定的職責和程序進行的授權，用以規范經濟業務的權力、條件和有關責任者，其時效性一般較長。特別授權是指單位對辦理例外的、非常規性交易事件的權力、條件和責任的應急性授權。單位必須建立授權審批體系，明確：1、授權審批的范圍；2、授權審批的層次；3、授權審批的程序；4、授權審批的責任。單位對于重大業務和事項，應當實行集體決算審批或者聯簽制度，任何個人不得單獨進行決策或者擅自改變集體意見。86內控七大手段（三）會計系統控制

會計作為一個信息系統，對內向管理層提供經營管理的諸多信息，對外可以向投資者、債權人等提供用于投資等決策的信息。會計系統控制主要是通過對會計主體所發生的各項能用貨幣計量的經濟業務進行記錄、歸集、分類、編報等而進行的控制。其內容主要包括：1、依法設置會計機構，配備會計從業人員。從事會計工作的人員，必須取得會計從業資格證書，會計機構負責人應當具備會計師以上專業技術職務資格。大中型企業應當設置總會計師或者財務總監，設置總會計師或者財務總監的單位，不得設置與其職權重疊的副職。2、建立會計工作的崗位責任制，科學合理的分工，相互監督和制約。3、按照規定取得和填制原始憑證，設計良好的憑證格式，對憑證進行連續編號。4、規定合理的憑證傳遞程序，明確憑證的裝訂和保管手續責任。5、合理設置賬戶，登記會計賬簿，進行復式記賬。6、按照《會計法》和統一的會計準則制度的要求編制、報送、保管財務報告。87內控七大手段（四）財產保護控制財產保護控制主要包括：1、財產記錄和實物保管。關鍵是要妥善保管涉及資產的各種文件資料，避免記錄受損、被盜、被毀。對重要的文件資料，應當留有備份，以便在遭受意外損失或毀壞時能恢復，這在計算機處理條件下尤為重要。2、定期盤點和賬實核對。它是指定期對實物資產進行盤點，并將盤點結果與會計記錄進行比較。盤點結果與會計記錄如不一致，可能說明資產管理上出現錯誤、浪費、損失或其他不正常現象，應當分析原因、查明責任、完善管理制度。3、限制接近。它是指嚴格限制未經授權的人員對資產的直接接觸，只有經過授權批準的人員才能接觸該資產。限制接近包括限制對資產本身的接觸和通過文件批準方式對資產使用或分配的間接接觸。一般情況下，對貨幣資金、有價證券、存貨等變現能力強的資產必須限制無關人員的直接接觸。88內控七大手段（五）預算控制

預算控制的內容涵蓋了單位經營活動的全過程，單位通過預算的編制和檢查預算的執行情況，可以比較、分析內部各單位未完成預算的原因，并對未完成預算的不良后果采取改進措施，確保各項預算的嚴格執行。在實際工作中，預算編制不論采用自上而下或自下而上的方法，其決策權都應落實在內部管理的最高層，由這一權威層次進行決策、指揮和協調。預算確定后由各預算單位組織實施，并輔之以對等的權、責、利關系，由內部審計部門等負責監督預算的執行。預算控制的主要環節有：1、確定預算的項目、標準和程序；2、編制和審定預算；3、預算指標的下達和責任人的落實；4、預算執行的授權；5、預算執行過程的監控；6、預算差異的分析和調整；7、預算業績的考核和獎懲。89內控七大手段（六）運營分析控制

運營分析控制要求單位建立運營情況分析制度，管理層應當綜合運用生產、購銷、投資、融資、財務等方面的信息，通過因素分析、對比分析、趨勢分析等方法，定期開展運營情況分析，發現存在的問題，及時查明原因并加以改進。90內控七大手段（七）績效考評控制

績效考評控制要求單位科學設置考核指標體系，對單位內部各職能部門和全體員工的業績進行定期考核和客觀評價，并將考評結果作為確定員工薪酬以及職務晉升、評優、降級、調崗和辭退等的依據。此外，常用的控制方法還有：內部報告控制、復核控制、人員素質控制等。91內控七大手段92內部控制程序的種類系統檢查控制人工檢查控制人工預防控制系統預防控制可取的可信的可信的可取的93《企業內部控制配套指引》的內涵評價指引審計指引應用指引公司管理層自我評價核心：如何控制、設計、建設CPA外部審計（鑒證、審核）內部控制咨詢、培訓內控審計注冊會計師的新業務94《企業內部控制配套指引》的結構發展戰略組織結構人力資源企業文化社會責任資金活動資產管理采購業務銷售業務研究與開發業務外包工程項目擔保業務財務報告全面預算信息系統合同管理內部信息傳遞內部環境類指引控制活動類指引控制手段類指引95公司與業務層面內控的關系業務流程-資金活動業務流程-銷售活動業務流程-資產活動業務流程-采購活動業務流程-研發活動業務流程-外包活動業務流程-擔保活動業務流程-財報活動管理層IT一般控制控制手段全面預算合同管理內部信息傳遞IT應用控制業務層面控制組織架構發展戰略人力資源社會責任企業文化公司層面控制96《企業內部控制配套指引》的特點97《企業內部控制配套指引》的特點98《企業內部控制配套指引》的特點（四）是一般通用指引，對企業的最基本要求，企業需結合行業特點和企業經營管理的特點，分析確定適合本企業的業務流程框架。

99《企業內部控制配套指引》的特點20世紀70-80年代初，美國出現一連串性質嚴重的財務丑聞，導致很多中小金融機構破產倒閉，究其原因，無論內審或外審都沒發出信號，導致出現很多欺詐性財務報告和審計失敗。1985年，美國五個職業協會，美國注冊會計師協會（AICPA),美國會計協會（AAA),美國財務執行官協會（FEI），國際注冊內部審計師協會（IIA），美國管理會計師協會（IMA),共同成立了Committeeofsponsoringorganization(發起組織委員會，簡稱COSO)。100內控控制整合框架目的是共同發起組建“美國反虛假財務報告委員會”，COSO委托此委員會調查這些已破產金融機構審計失敗的原因。1987年，美國反虛假財務報告委員會提交報告，指出這些機構破產倒閉的原因50%多是源于內部控制失效，建議發起組織溝通協作，整合各種內控控制的概念和定義。為此，COSO委托普華永道牽頭組織研究撰寫內部控制框架。1992年9月，COSO發布著名的《內部控制-整合框架》，后在1994年進行補充修改，此后，COSO內部控制-整合框架在全球得到廣泛應用。最新修改在2013年度。101內控控制整合框架COSO框架規定了內部控制的內容，包括五個相互獨立而又相互聯系的要素組成，包括控制環境、風險評估、控制活動、信息與溝通和監督。102COSO框架介紹COSO2013版內控框架變化介紹

舊版COSO內控框架的發布至今已近20年，在這20年里，世界已發生了天翻地覆的變化，網絡化、信息化、全球化、一體化、世界范圍的金融危機、系統風險……，各種機構、組織、企業對內部控制都有了新的需求，這在客觀上要求COSO對舊版的內控框架作出調整，以體現、適應、滿足發展的需要。

COSO于2010年啟動對1994版《內部控制——整合框架》的修訂工作，并于2011年——2012年對所修訂的內容公開征集各方面的意見。歷經三年多的時間，COSO最終完成對舊版內控框架的修訂，正式發布了2013年新版的《內部控制——整合框架》。

103COSO2013版內控框架變化介紹（一）注重原則導向的方法。新框架最顯著的變化是在舊框架的基礎上，提煉出內部控制五要素的17項總體原則。內部控制五要素和17項總體原則作為內部控制的基本內容，構成了企業開展內部控制建設與評價的主要標準。

(二）明確目標設定在內部控制中的角色。舊框架將目標設定作為一個管理過程，認為目標設定是風險評估要素的前提條件。新框架同樣強調目標設定是內部控制的前提，但明確指出目標設定不是內部控制的組成部分。

104COSO2013版內控框架變化介紹（三）強化公司治理的理念。新框架包括了更多的公司治理中有關董事會及其專門委員會（包括審計委員會、薪酬委員會、提名與治理委員會等）的內容。

（四）擴大了報告的范疇。舊框架在內控目標設定中僅僅關注財務報告目標，目的是確保編制可靠的公開發表的財務報告，驅動力主要來自企業面臨的外部監管要求。新框架在報告對象和報告內容兩個維度上進行了擴展。在報告對象上，既要面向外部投資者、債權人和監管部門，確保報告符合有關監管要求；又要面向董事會和經理層，滿足企業經營管理決策的需要。在報告內容上，除了包括傳統的財務報告，還涵蓋了市場調查報告、資產使用報告、人力資源分析報告、內控評價報告等非財務報告。105COSO2013版內控框架變化介紹（五）增加了反欺詐與反腐敗的內容。與舊框架相比，新框架包含了更多的關于反欺詐與反腐敗的內容，并且把管理層評估欺詐風險作為內部控制的17項總體原則之一，重點加以闡述。

（六）考慮了不同商業模式和組織結構的內部控制。隨著經濟全球化的發展、技術的不斷進步和人才競爭的加劇，近年來企業的商業模式和組織結構發生了巨大變化，企業在運營過程中更多地使用第三方提供的產品或服務，管理層更加關注包括供應商和客戶在內的價值鏈管理。為此，新框架專門分析了不同商業模式和組織結構下內部控制的有效性問題。106COSO2013版內控框架變化介紹（七）相對于舊框架，在內控建設和評價中，強調依賴于管理層自身的判斷，而不是像原來一樣要求嚴格基于證據。新框架強調董事會、管理層和內審人員擁有“判斷力”。新版框架還關注在內控建設過程中應注重與效率的結合，建議管理層通過判斷，去除那些失效、冗余乃至完全無效的控制，提升控制的效率和效果，而非單純地為了控制而控制。（八）新框架對于如何確保內控體系的有效性進行了進一步澄清，尤其強調內控五要素中的每一項都會受到其他要素的影響，應視為一個整體來對待，并且描述了不同要素下的控制措施如何影響其它要素下的原則，有助于整合性地看待內控體系和控制措施，而非孤立對待。新版內控框架在指出內控的局限性方面比舊框架更加明確，指出了內控在決策和應對外部事件情況下的局限性。如在新的內控框架強調了內控對天災(外部事件)和人禍(人為失誤)的無能為力。107COSO2013版內控框架變化介紹新版COSO《內部控制—整合框架》提出的17項總體原則(落地）

控制環境1.組織對正直和道德等價值觀做出承諾。2.董事會獨立于管理層，并對內部控制的推進與成效加以監督控制。3.管理層圍繞其目標，在治理層監督下，建立健全組織架構、報告途徑、合理的授權與責任等機制。4.

組織對吸引、開發和保留與認同組織目標的人才做出承諾。5.組織根據其目標，使員工各自擔負起內部控制的相關責任。108COSO2013版內控框架變化介紹風險評估6.就識別和評估與其目標相關的風險，組織做出清晰的目標設定。7.組織對影響其目標實現的風險進行全范圍的識別和分析，并以此為基礎來決定風險應如何進行管理。8.組織在風險評估過程中，考慮潛在的舞弊行為。9.組織識別和評估對內部控制系統可能造成較大影響的改變。109110大數據與風險管理結合案例COSO2013版內控框架變化介紹控制活動10.組織選擇并開展控制活動，將風險對其目標實現的影響降到可接受水平。11.對信息技術，組織應選擇并實施控制以支持其目標的實現。12.組織應通過合理的政策制度和保證這些政策制度切實執行的流程程序來實施控制活動。111COSO2013版內控框架變化介紹信息與溝通13.組織獲取或生成，并使用相關、有質量的信息來支持內部控制發揮作用。14.組織應在其內部溝通傳遞信息，包括內部控制的目標和責任在內的必要信息，以支持內部控制發揮作用。15.組織與外部相關方就影響內部控制發揮作用的事宜進行溝通。112COSO2013版內控框架變化介紹監督活動16.組織選擇、推動并實施持續的、獨立的評估，以確認內部控制的要素是存在且正常運轉的。17.組織在相應的時間范圍內，評價內部控制的缺陷，并視情況與那些應采取正確行動的相關方（如：高級管理層，董事會）進行溝通。

113114如何對標內控環境（公司治理，架構，權責，人力政策，企業文化，合規基調，高層垂范、內部審計等）內控手冊流程制度工作指引評估方案，改善報告表單1153、內控體系內容1163、內控體系內容117戰略落地總結：1、運用流程管理工具建立框架2、用端到端理念，戰略落地理念建立框架3、內控對標，加入規范和指引要求4、運用五原則，七手段、嵌入五要素和風險因素5、完善內控環境，總結內控手冊6、評估方案，改善報告1183、內控體系內容1194、五要素嵌入內部控制的原則和要素內部環境制定相關政策設置內部機構明確職責權限包含治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等風險評估確定風險承受度識別企業內外部風險進行風險分析制定風險應對策略控制活動不相容職責分離控制授權審批控制會計系統控制財產保護控制預算控制運營分析控制績效考評控制信息與溝通建立信息與溝通制度提高信息有用性加強信息溝通渠道發揮信息技術的作用建立反舞弊機制內部監督日常監督專項監督內部控制缺陷的識別和整改內部控制評價報告120內控的原則：全面性，重要性，制衡性，適應性，成本效益如何將五要素落地？五要素應融入每個部門的管理活動，指引是縱向（包含控制活動居多），橫向嵌入五要素，并在內控文件中體現，落實和監督實施。舉例：采購業務1214、五要素嵌入

控制環境：采購、質檢、庫管、付款人員具備良好業務素質、敬業態度和職業道德；設立采購授權制度，分級分權管理；對采購、付款、庫管、質檢人員定期輪換；統籌安排采購計劃、采購、審批、購買、驗收、付款、后評價等環節的職責和審批權限；安排非采購專門部門來審核抽查和監督（內控或審計）；三權分離，采購、需求、招標分開，互不干涉。

風險評估：主要包括質量不合格，價高，規格和數量與合約不符，時間地點與合約不符，供應商管理混亂，收受回扣，庫存不合理積壓或短缺材料，未授權人員辦理采購和付款業務，重復或錯誤應付，采購材料違反國家或企業政策，會計資料虛假不完整等風險。122《企業內部控制配套指引》的落地實施

控制活動：確保采購計劃、訂單合同得到正確的授權審批，保證采購業務合法有效；建立供應商評估和準入制度，確定清單并進行有效管理；價格經招標確定，審計監督保證質量合格，價格公道；入庫驗收合格盡量減少庫存；最大限度集中采購；規定時間和地點交貨，退貨詳細記錄并受到監督；嚴禁未授權人員簽發支票；保證輸入系統和輸出的會計數據真實、準確、合理。

信息溝通：采購部各項規章制度，年度預算和計劃實施、與各部門及內部各種單據，總結報告等

監控：監督復核各項單據，交叉復核。123《企業內部控制配套指引》的落地實施招標中心五要素嵌入124練習全面性原則重要性原則制衡性原則適應性原則成本效益原則1255、內控原則運用126重要性原則重要崗位重要內容重要程序重要結果分權制衡雙向復核雙軌運行雙重保護不相容職責分離控制授權審批控制會計系統控制財產保護控制預算控制運營分析控制績效考評控制1276、七大手段運用128不相容職務分離人事權VS財務權批準權VS受益權評判權VS執行權批準權VS執行權分配權VS受益權定價權VS定單權保管權VS支配權對帳權VS記帳權129公司治理不相容授權原則監事會與董事會、高管層不相容獨立董事與監事會、經理層不相容內審部與經營管理部門不相容董秘與CEO、CFO、監事不相容風險管理部與其他經營管理部門不相容合規管理部與其他經營管理部門不相容授權審批制度文化導向，企業類型各不同，但要兼顧效率和效果，按照重要性原則，根據風險來確定所需要的控制。1306、七大手段運用美的曾推行過“1131”流程工作項目，關鍵要求如下：（1）一個接口：集團各事業部之間，每個單項流程在每個單位只允許有一個接口，實現流程在各單位的單點接觸，流程在各單位內部的流轉由各單位負責進行處理。（2）一個工作日簽批（反饋）：每個流程控制點的停留時間最多一天。（3）三個簽批控制點：每個單項流程原則上為三個簽批控制點，超三個簽批控制點的特殊流程倡導自主改善，盡可能壓縮簽批空間，并對相關簽批控制點予以刪減。（4）一個工作日反饋：對于下達的工作任務在一個工作日內響應，向相關部門反饋執行或解決的時間進度。131案例會計系統控制管理財務，財務管理…監督與服務并重1326、七大手段運用財產保護哪些是公司重要財產？如何保護？只有經過授權的人才能使用資產保護資產的努力應和資產的價值、流動性、損失的風險相關。重要資產和風險高資產雙重保護資產保護包括物理和邏輯兩部分1336、七大手段運用物理安全：1、保險箱、銀行保險柜等安全地方存放可轉讓單據2、通過柵欄、上鎖、房屋等措施限制使用財產3、通過安排保安檢查，使用資產權力限制為經過授權人員使用。4、不具備保護措施的地點，對重要公文、記錄保留復印件，電子拷貝。5、佩戴徽章識別授權員工6、保護資產，適當存放，三防。1346、七大手段運用邏輯安全（通過合乎邏輯程序完成）1、對敏感崗位人員正直性進行調查后聘用2、重要人員不同機出發，專門保健醫生…3、與關鍵員工簽約，保密，競業限制4、為關鍵員工投保5、只有經授權人員才能知道密碼6、處理權限的計算機控制程度7、數據保護，開發和演練災難恢復計劃8、商譽安全，打假投入9、關系維護，投入1356、七大手段運用預算控制預算的是與非？靈活度？應起到引導，激勵而非限制的作用。1366、七大手段運用運營分析非財，非人，重在落實，運用！1376、七大手段運用績效考核如何真正做好績效考核？用好BSC？1386、七大手段運用在流程中加入對應風險特別考慮舞弊風險（COSO2013）標準模板(供參考）：目的、范圍、風險、權責、定義、內容…1397、風險管理嵌入1、職責分清，內控做什么，各部門做什么2、讓流程擁有部門自行修改，不要越俎代庖3、實際應用，不要花架子4、監督和處罰加入5、文件規定彈性的考慮1408、文件梳理注意事項端到端的流程優化：為企業利益相關者直接創造核心價值的流程，從利益相關者需求出發，到為利益相關者提供滿意的產品或服務結束的一條完整的價值鏈。第一，面向最終的產出，而不是面向任務。第二，是從需求到滿意的一個完整的閉環1418、文件梳理注意事項142案例143案例144案例內控模型11359---供參考145高級管理層

執行層道德規范/合規/文化高級領導層中級領導層執行層1個模型3個手段5個環節9個要點一個框架1461個框架-COSO內控框架包括所有部門、業務、流程確保公司資產安全內部控制的五要素內部控制的目標壓力借口機會員工舞弊：收入無法滿足生活上的奢求管理舞弊：管理層無法達成預計盈余的目標受信任或知悉內控所存在的缺失，認為可逾越控制態度偏差、人格特質、道德觀使其做出舞弊并將其行為合理化1個模型-舞弊三角模型147148高層領導應對舞弊三角

...疏解壓力

...消滅機會消除借口高層作用制定政策149反舞弊三角理論關心員工，緩解壓力不同部門各盡其責，形成嚴密的舞弊防范與監控體系加強企業文化建設，在企業內部樹立誠實、正直的共同價值觀，對舞弊的防范起著不可忽視的作用消除借口-加強企業文化建設，完善道德環境消滅機會-發揮內部規章的威懾作用，增加舞弊行為的機會成本疏解壓力-管理責任企業內部的規章制度必須對不允許作為做出明確規定，并應有相應的懲罰措施。“3

No”不能

不想

不敢不敢：在有效監督機制下“不敢”做。不能：找不到漏洞而“不能”做。價值管理監督

不想：堅守正確價值觀而“不想”做。舞弊治理方式151風險規避三個手段

利益沖突調查職權分割風險隱患申報績效考評控制不相容崗位未分離運營分析控制員工能力隱患合規隱患職業健康隱患安全隱患職業操守隱患預算控制風險形成會計控制授權控制合作方隱患環境隱患擁有投資與客戶、供應商競爭對手關系親屬任職裙帶關系員工親屬私人關系152風險形成分析存在利益沖突職權分割控制失效風險隱患未申報風險隱患申報153定期風險評估、自動申報目的內容方法范圍對于風險隱患“全員排查、逐級監督、共同整改”明確風險隱患分級標準，按照級別處理渠道和責任主體，對于不同級別（或類型）的隱患，由不同的專業部門跟進。集團范圍中高層、基層員工、合作方風險隱患申報表—供參考154

項目

風險隱患因素是(否)存在a單位b單位c單位…3風險隱患

3.1安全隱患

3.2環保隱患

3.3職業健康隱患

3.4員工能力方面隱患

3.5員工操守方面隱患

3.6合規風險隱患

3.7內控缺失隱患

3.8管理漏洞隱患

3.9合作方隱患

3.10……

職權分割155目的內容方法范圍各崗位職責、涉及業務流程、各流程環節的職權分布情況等。樣本工廠、銷售區域、分子公司避免不相容職權未分離導致的舞弊，風險、溝通不暢，從而影響經營效率、效果閱讀崗位說明書、編制調查問卷并發放回收、訪談、實地觀察156職權分割—定義職權分割是指將一項決策權交給兩個或兩個以上的人分別行使。只有當他們同時行使職權時才能夠使問題獲得解決。

將職權分割下授，可以使被授權者之間相互制約、相互監督，防止舞弊和錯誤發生。職權分割調查表—借鑒RASIC157流程活動及描述（按循環或按崗位）職責權限支持通知咨詢銷售、應收賬款循環應付賬款、現金支付循環財務循環項目投資循環工資薪金循環采購循環……158職權分割—不相容職務分離人事權VS財務權批準權VS受益權評判權VS執行權批準權VS執行權分配權VS受益權定價權VS定單權保管權VS支配權對帳權VS記帳權159職權分割—公司治理不相容授權原則監事會與董事會、高管層不相容獨立董事與監事會、經理層不相容內審部與經營管理部門不相容董秘與CEO、CFO、監事不相容風險管理部與其他經營管理部門不相容合規管理部與其他經營管理部門不相容160職權分割—牽制基本原則重要崗位重要內容重要程序重要結果分權制衡雙向復核雙軌運行雙重保護161職權與職責對等原則如一個人連續或非連續出現在多個連續或非連續的流程活動中往往代表需要進行職權分割職權是執行任務的自決權職責是完成任務的義務職權=職責162職權分割-2人采購與應付循環張龍趙虎王朝馬漢展昭批準采購X

發放訂單

X

登記收貨記錄

X

資料歸檔

X

保管應付明細記錄

X

審查從供應商處來的信息是否與公司保持的記錄一致X

采購與應付循環張龍趙虎王朝馬漢展昭批準采購X

發放訂單

X

登記收貨記錄

X

資料歸檔

X

保管應付明細記錄

X

審查從供應商處來的信息是否與公司保持的記錄一致X

163職權分割-3人采購與應付循環張龍趙虎王朝馬漢展昭批準采購X

X

發放訂單

X

登記收貨記錄

X

資料歸檔

X

保管應付明細記錄

X

審查從供應商處來的信息是否與公司保持的記錄一致

X

164職權分割-4人采購與應付循環張龍趙虎王朝馬漢展昭批準采購X

X

發放訂單

X

登記收貨記錄

X資料歸檔

X

保管應付明細記錄

X

審查從供應商處來的信息是否與公司保持的記錄一致

X

165職權分割-5人166職權分割的適應性管控的成本效益是永恒原則職權分割和經營/管理規模需適應需結合控制風險可承受度進行辨析不能不顧規模大小盲目分割167臨期品處理職權分割銷售經銷商臨期處理經銷商銷售財務物流分倉業務行銷臨期品收回XX

臨期品存放X

臨期品數量確認XX

臨期品處理申請XX

臨期品搭贈處理活動XX

活動結果實地確認

X

活動結果評估上報結案

X

結案款掛賬轉貨款

X

X流程部門設備部經理工廠總經理設備部-機修組采購部-機

配件采購員申購單

機加工零件圖紙設計

X

審批同意XX

從年初確定的加工廠家選擇

X

同意采購XX

登記臺賬及發票催收

X初步驗收并投入使用

X

財務付款

168機加工零件采購職權分割X利益沖突調查---提案簡明169目的內容方法范圍集團公司及分支選取關鍵崗位抽樣開展合理防止員工和公司之間發生利益沖突，避免和減少潛在的經營管理風險明確利益沖突調查的程序、作用等調查問卷收集，匯總統計分析意義

識別公司存在利益沖突及潛在利益沖突

170項目

舞弊風險因素是/否1利益沖突

1.1在本公司客戶、供應商或競爭對手單位中擁有投資或權益

1.2與本公司內部員工有親屬關系

1.3與本公司內部員工有重要私人關系

1.4在本公司客戶、供應商或競爭對手有親屬任重要崗位

1.5在本公司客戶、供應商或競爭對手有重要私人關系利益沖突調查問卷5個環節171

環節案例1案例2案例3……設計執行設計執行設計執行設計執行人員控制（進入）

管理控制

會計控制

法規控制

思想控制

人員：背景、能力管理：內控制度會計：七大手段之一法規：合規控制思想：文化，價值觀1725個環節鐵銹1739個要點**區域、工廠

**部（職能部門）**部（職能部門）要點設計問題執行問題設計問題執行問題組織架構崗位職責審批權限數據表單作業規范

標準流程

績效考核監督

IT工具

從內控體系設計角度看，完善的內控關鍵點包括：1、供應商引入，資質審查，背景調查保證誠實守信供應商入圍2、倉管人員招聘背景調查，需要沒有前科背景清白的人做此崗位。3、倉庫培訓，倉庫人員應對職業操守和如何應對供應商脅迫賄賂情況進行培訓。4、自查或交叉復核，上級主管應制定計劃對下屬關鍵工作點進行檢查和監督，或設計不同崗位的工作交叉復核。5、二方復核，相關業務部門應進行關鍵控制點進行復核，如品管應對倉庫的重量進行復核。6、系統控制，ERP7、財務控制，財務入賬前應對關鍵項目進行復核，如密度。8、異常分析改善，財務分析發現單價或其他項目異?，F象，在經營管理會上加以發布，并跟進改善。或單列財務分析會，財務分析應成為經營管理的好幫手，同時也是防范舞弊的重要手段。174綜合案例175PDCA循環計劃

執行

檢查

改進

內控模型中任一流程都應按照PDCA循環來進行持續改進，實現公司穩健的可持續發展。目

錄4內審定位及開展工作思路1235內部審計實務內審溝通、能力學習與成長案例分析內控體系建設實務5內部審計是獨立、客觀的確認和咨詢活動，旨在增加價值和改善組織的運營，它通過系統的規范的方法，評價并改善組織的風險管理，控制和治理過程的效果，幫助組織實現其目標。177內審定位與目標-IIA定義存貨盤點發詢證函指標考核符合性測試價值評估效率考察協助外審咨詢建議……...……….企業內部活動的監督者防錯糾弊的檢察員監控企業運作和資源使用的效率和效果協助外部審計人員內控風險管理推進管理咨詢178內部審計在現代企業中的角色和職能維度看門狗臥龍先生價值取向保護股東利益，員工有效履責增加股東利益，改善組織運營工作視角強調控制，重合規與執行強調價值，重建議與設計工作方式監督、鑒證、評價咨詢、建議、服務組織地位嚴格獨立業務伙伴工作方法操作導向風險導向思維角度內部、局地、短期、靜態外部、整體、長期、動態審計形象不良行為監察管制人，醫生伙伴、顧問、經驗教訓傳播者財務審計經營（運營）審計：九大/七大循環；經濟責任（離任）審計；效益（3E/5E）審計IT審計（媒介審計）

工程審計舞弊審計管理審計：

計劃（戰略、計劃、預算）職能/部門

組織（公司治理、管理）

領導（戰略人力）、控制（績效、內控）社會責任審計180內部審計類型流程視角審計類型區別審計類型審計目標關注內容關于贈品的審計?

相關財務信息的真實性、完整性、合法性、準確性等?

會計金額與發票一致，使用會計科目正確?

付款金額對象與合同一致?

贈品入庫、出庫和保管是合理的財務導向?

采購過程的合規性?

采購需求是真實的?

供應商是優質的?

價格是合理的，質量可靠?

贈品的使用符合要求業務導向?

贈品業務的效果效率?

贈品對銷售的拉動?

顧客對贈品的滿意度?

贈品與產品的匹配管理導向領導要求：1、創造高績效，現金價值2、找出重要問題。3、不僅要找問題，最重要推動改善。4、抓舞弊典型，殺一儆百5、傳播優秀經驗，不僅懲惡還要楊善6、…182內審人員的定位邱風邱語：1、促進管理改善2、降低組織風險3、創造審計價值結合領導要求和IIA目標確定階段性目標審計不止發現問題，還要解決問題183內審定位與目標-目標探討外企：審計部，風管部，道德合規部民企：審計部/審計監察部(內控部)國企：審計部，監察部，紀委184各類企業審計職責定位探討1、建章立制內部審計章程內部審計制度離任及任中審計辦法審計報告追蹤及落實管理辦法舉報投訴管理辦法舞弊懲處辦法審計手冊、反舞弊手冊（內部）審計數據庫及檔案管理…185初始階段2、初出江湖找準薄弱點出擊！3、乘勝追擊逐步形成系統化操作186初始階段1、反思多交朋友，線人2、識別真正需求

戰略計劃？老板關心什么？自身能力？

3、轉型常規縱深加大-總體層次提高確認—咨詢審計—內控風險合規現在—未來管理—治理單體—聯合

……187做了一段時間如何打開局面？通用磨坊食品公司總部–美國下屬公司所在國家–超過100個雇員人數–超過39,000人所屬行業–消費食品年收入–167億美元內部審計年度運營成本/預算–不便透露內部審計職能人員人數–20人內部審計職能成立年限–超過40年內部審計總監/首席審計執行官的報告對象–審計委員會主席及(行政上)首席財務官188由于全球內部審計部的很多活動都跨越國界，因此哈里斯和她的團隊會與本地和全球各地區審計師以分包形式合作。全球內部審計部的主要目標是為高級管理層和董事會提供保證，確保公司對財務報告、信息技術和業務運營活動所實施的內部控制均有效運作。我們也致力通過執行特定風險咨詢。“我們通過更有效的合作來達成我們的共同目標─實現適當程度的風險和控制覆蓋范圍，而且通過各個部門之間嚴謹一致的溝通，使得我們在實現上述目標時避免重復工作。”─凱西?哈里斯(CathyHarris)咨詢項目為公司增值，一般針對新興的運營或戰略風險，”哈里斯說，“我們的大部分工作都是保證性質的，但每年或許會執行兩到三個咨詢項目。189通用磨坊食品全球治理委員會在四年前成立，目前主要由全球內部審計部負責推動和籌劃。委員會的使命包括協調內部的治理職能和合規職能；通過知識和數據的有效共享從而推動協作；整合通用流程以提高效率。為配合這一使命，委員會制定了以下核心目標：?