《聚乙烯纤维长丝公司治理与内部控制.docx》由会员分享,可在线阅读,更多相关《聚乙烯纤维长丝公司治理与内部控制.docx(116页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、泓域/聚乙烯纤维长丝公司治理与内部控制聚乙烯纤维长丝公司治理与内部控制xxx有限责任公司目录一、 产业环境分析4二、 超高分子量聚乙烯纤维简介5三、 必要性分析6四、 公司基本情况7五、 内部控制缺陷的认定9六、 内部控制评价的组织与实施10七、 审计范围与审计目标21八、 审计工作计划与实施24九、 风险图谱28十、 风险分析方法的选择29十一、 风险的分类和评估30十二、 风险的概念及其分类32十三、 风险应对策略35十四、 风险应对策略的选择44十五、 专门委员会46十六、 独立董事及其职责51十七、 资本结构与公司治理结构56十八、 股权结构与公司治理结构60十九、 学习与借鉴阶段64
2、二十、 起步和探索阶段65二十一、 内部控制演进过程总结66二十二、 内部控制的起源69二十三、 项目基本情况71二十四、 发展规划分析73二十五、 法人治理81二十六、 SWOT分析97二十七、 组织机构及人力资源配置108劳动定员一览表109二十八、 项目风险分析110二十九、 项目风险对策113一、 产业环境分析深刻认识国际国内发展环境与形势的重大变化,进一步增强忧患意识、机遇意识和担当精神,在抢抓机遇中增强主动,在应对挑战中保持定力,在改革创新中释放活力,再创经济特区发展新优势。(一)国际环境世界多极化、经济全球化、文化多样化、社会信息化深入发展,世界经济在深度调整中曲折复苏,主要经济
3、体走势分化。全球治理体系深刻变革,国际贸易投资规则体系加快重构,贸易保护主义强化。国际分工格局深度调整,发达国家加紧实施“再工业化”,发展中国家加速吸引劳动密集型产业转移,我国制造业面临高端回流和中低端分流的“双重挤压”。新一轮科技革命和产业变革蓄势待发,以互联网为代表的信息技术加速渗透到经济社会各领域,信息经济正引领社会生产新变革、创造人类生活新空间。深圳必须强化全球视野和前瞻思维,准确把握世界经济格局新趋势,深度融入全球创新链,在新的国际经济坐标系中谋划更高质量发展,建设成为国家参与全球经济竞争的重要引擎。(二)国内环境我国发展仍处于可以大有作为的重要战略机遇期,长期向好的基本面没有改变,
4、发展前景依然广阔。国内经济步入以速度变化、结构优化、动力转换为特征的新常态,增长速度从高速转向中高速,发展方式从规模速度型转向质量效率型,经济结构调整从增量扩能为主转向调整存量、做优增量并举,发展动力从主要依靠资源和低成本劳动力等要素投入转向创新驱动。地区必须增强责任感和使命感,率先开辟新常态下质量型发展新路径,大力发展湾区经济,在服务国家战略中提升城市发展能级、实现特区更大发展。(三)机遇与挑战在改革中创新,在创新中发展,率先进入以质量效益为中心的稳定增长阶段,经济社会发展理念新、质量高、韧劲足、潜力大,有能力、有条件率先适应、把握、引领新常态,实现特区新发展。深圳作为全国先行发展的地区,要
5、向更高发展阶段跨越提升,就必须正视超常规发展和超大型城市建设中积累的矛盾和问题:在经济增速放缓常态化下,经济不稳定性和不确定性加剧,推进结构优化和保持较高经济效益难度增大;城市承载能力严重受限,优质公共资源供给不足,人口压力增大与高端人才短缺并存;快速城市化遗留问题凸显,环境污染、公共安全和城市治理成为制约发展的短板;全面深化改革进入攻坚期和深水区,突破思想观念和利益固化的藩篱难度加大。二、 超高分子量聚乙烯纤维简介超高分子量聚乙烯纤维,又称高强高模聚乙烯纤维,英文简称UHMWPE,是采用平均相对分子量在100万以上的聚乙烯作为基体树脂,通过一系列工艺制成。为了保证纤维具有优良的综合性能,一般
6、采用分子量在300600万的聚乙烯作为基体材料。超高分子量聚乙烯纤维属于高性能纤维,与对位芳纶、碳纤维并称为当今世界三大高性能纤维。超高分子量聚乙烯纤维是目前工业化高性能纤维材料中比强度和比模量最高的纤维,是分子量在100万以上的聚乙烯树脂所纺出的纤维,其断裂伸长率高于碳纤维和芳纶,柔韧性好,在高应变率和低温下力学性能仍然良好,抗冲击能力优于碳纤维、芳纶等。基于超高分子量聚乙烯纤维具有超高强度、超高模量、低密度、耐磨损、耐低温、耐紫外线、抗屏蔽、柔韧性好、冲击能量吸收高及耐强酸强碱化学腐蚀等众多的优异性能,被广泛应用于军事装备、海洋产业、安全防护、体育器材、建筑工程等领域。三、 必要性分析1、
7、提升公司核心竞争力项目的投资,引入资金的到位将改善公司的资产负债结构,补充流动资金将提高公司应对短期流动性压力的能力,降低公司财务费用水平,提升公司盈利能力,促进公司的进一步发展。同时资金补充流动资金将为公司未来成为国际领先的产业服务商发展战略提供坚实支持,提高公司核心竞争力。四、 公司基本情况(一)公司简介公司在“政府引导、市场主导、社会参与”的总体原则基础上,坚持优化结构,提质增效。不断促进企业改变粗放型发展模式和管理方式,补齐生态环境保护不足和区域发展不协调的短板,走绿色、协调和可持续发展道路,不断优化供给结构,提高发展质量和效益。牢固树立并切实贯彻创新、协调、绿色、开放、共享的发展理念
8、,以提质增效为中心,以提升创新能力为主线,降成本、补短板,推进供给侧结构性改革。公司注重发挥员工民主管理、民主参与、民主监督的作用,建立了工会组织,并通过明确职工代表大会各项职权、组织制度、工作制度,进一步规范厂务公开的内容、程序、形式,企业民主管理水平进一步提升。围绕公司战略和高质量发展,以提高全员思想政治素质、业务素质和履职能力为核心,坚持战略导向、问题导向和需求导向,持续深化教育培训改革,精准实施培训,努力实现员工成长与公司发展的良性互动。(二)核心人员介绍1、蒋xx,中国国籍,1978年出生,本科学历,中国注册会计师。2015年9月至今任xxx有限公司董事、2015年9月至今任xxx有
9、限公司董事。2019年1月至今任公司独立董事。2、曹xx,中国国籍,无永久境外居留权,1958年出生,本科学历,高级经济师职称。1994年6月至2002年6月任xxx有限公司董事长;2002年6月至2011年4月任xxx有限责任公司董事长;2016年11月至今任xxx有限公司董事、经理;2019年3月至今任公司董事。3、江xx,中国国籍,无永久境外居留权,1971年出生,本科学历,中级会计师职称。2002年6月至2011年4月任xxx有限责任公司董事。2003年11月至2011年3月任xxx有限责任公司财务经理。2017年3月至今任公司董事、副总经理、财务总监。4、陶xx,中国国籍,无永久境外
10、居留权,1959年出生,大专学历,高级工程师职称。2003年2月至2004年7月在xxx股份有限公司兼任技术顾问;2004年8月至2011年3月任xxx有限责任公司总工程师。2018年3月至今任公司董事、副总经理、总工程师。5、方xx,中国国籍,1976年出生,本科学历。2003年5月至2011年9月任xxx有限责任公司执行董事、总经理;2003年11月至2011年3月任xxx有限责任公司执行董事、总经理;2004年4月至2011年9月任xxx有限责任公司执行董事、总经理。2018年3月起至今任公司董事长、总经理。五、 内部控制缺陷的认定1、内部控制缺陷的分类对于内部控制缺陷的分类,在第一节“
11、内部监督”中已做相关阐述,这里不再赘述。需要强调的是,企业对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门或机构进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。对于按严重程度分类的内部控制,内部控制评价部门或机构和管理层应当合理确定相关目标发生偏差的可容忍水平,从而对严重偏离的情形予以确定。2、内部控制认定程序与整改如果评价工作人员在实施测试中发现控制差异,应分析差异是否属于控制缺陷并评价其严重程度。如果审查了解控制差异的起因和结果后,断定控制目标未能达到。同时,评价工作组人员不能通过增加其他测试程序证明已发现的差异不能代表
12、所有内控的情况,将形成缺陷的结论。管理层应评价其严重程度并在其年度自我评价报告中披露,同时,有责任对有关控制缺陷进行整改,做出补救措施。由于控制缺陷可以分为设计缺陷和执行缺陷,因此,整改方案应根据缺陷的不同类别制定不同的整改方法。对于需整改的内控设计缺陷,企业需在已有的内控管理制度体系中补充相关规定或修改原有规定,按照企业既定的管理制度报批程序对做出的补充或修改进行审批。对于需整改的内控执行缺陷,企业需加强内控的执行力度,要求控制执行人严格按照相关规定执行。对于重大缺陷和重要缺陷的整改方案,应向董事会(审计委员会)、监事会或经理层报告,并由董事会、监事会或经理层审定。如果出现不适合向经理层报告
13、的情形,例如,存在与管理层舞弊相关的内部控制缺陷,内部控制评价组应当直接向董事会(审计委员会)、监事会报告。重要缺陷并不影响企业内部控制的整体有效性,但是应当引起董事会和管理层的重视。对于一般缺陷,可以向企业管理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。六、 内部控制评价的组织与实施内部控制评价是由企业董事会和管理层实施的。进行评价的具体内容应围绕企业内部控制基本规范中提及的内部控制五个要素即内部环境、风险评估、控制活动、信息与沟通、内部监督,以及企业内部控制基本规范及企业内部控制应用指引中的内容。在确定具体内容后,企业应制定内部控制评价程序,对内部控制有效性进行全面评价
14、,包括财务报告内部控制有效性和非财务报告内部控制有效性;同时为内部评价工作形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、关键风险点、采取的控制措施、有关证据资料以及认定结果等;企业还应在评价工作中明确内部控制缺陷的认定准则;完成评价后,企业应当准备一份内部控制自我评价报告,在其年报中进行披露:企业董事会应当对内部控制评价报告的真实性负责。(一)内部控制评价的相关概念内部控制评价一般是指由专门的机构或人员,通过对单位内部控制系统的了解、测试和分析,对其完整性、合理性及有效性提出意见,并进行报告,以利于单位进一步健全和完善内部控制体系。我国企业内部控制基本规范第四十六条指出:企业应当
15、结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。(二)内部控制评价应当遵循的原则根据企业内部控制评价指引第三条的规定,内部控制评价应遵循以下3个原则。1、全面性原则评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。2、重要性原则评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。3、客观性原则评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。(三)内部控制评价的内容根据
16、企业内部控制评价指引的要求,内部控制评价涉及以下7个方面。(1)企业应当根据企业内部控制基本规范、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。(2)企业组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。(3)企业组织开展风险评估机制评价,应当以企业内部控制基本规范有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程
17、中的风险识别、风险分析、应对策略等进行认定和评价。(4)企业组织开展控制活动评价,应当以企业内部控制基本规范和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。(5)企业组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。(6)企业组织开展内部监督评价,应当以企业内部控制基本规范有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结
18、合本企业的内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。(7)内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。(四)内部控制评价的程序根据企业内部控制评价指引第十二条的要求,企业应按照内部控制评价办法规定程序,有序开展内部控制评价工作。内部控制评价程序一般包括制订评价控制方案、组成评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。在
19、这里重点讲解制订评价控制方案、组成评价工作组、实施评价工作与测试、汇总评价结果四个环节。1、制订评价控制方案企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。承担内部控制评价的部门或机构应具备以下条件。(1)能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;(2)具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;(3)与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约;(4)能够得到企业董事会和经理层的支持,通常直接接受董事会及其审计委员会的领导和监事会的监督,有足够的权威性来保证内部控制评价工作的顺利开展。内部控制
20、评价部门或机构应根据内部监督情况和要求,制订评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权审批后实施。这是一个进行内部控制评估前的全面计划,提供内部控制评价的效率和效果。2、组成评价工作组内部控制评价部门或机构在评价方案获得批准后,需要组织评价工作组,具体承担内部控制检查评价任务。评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。企业可根据自身的条件建立内部控制培训机制,为评价工作组成员提供培训,使其尽快掌握内部控制知识,熟悉企业业务流程及应关注重点、评价工作流程、方法以及
21、工作底稿准备的要求。对于拥有内部审计部门的企业来说,内审部门很有可能也同样地担当内部控制评价组的工作。但如果企业决定利用外聘会计师事务所为其提供内部控制评价服务,根据企业内部控制基本规范的要求,则该事务所不应同时为企业提供内部控制的审计服务。3、实施评价工作与测试评价工作组需通过了解企业层面基本情况、各业务层面的主要流程,识别有关主要风险后,才能开展实施及测试设计和运行有效性的内部控制工作。(1)了解公司层面基本情况。评价工作组与被评价单位进行充分沟通,了解其经营业务范围、企业文化、发展战略、组织结构、人力资源等内部环境及内部控制内容中五个要素的运作情况。(2)了解各业务层面的主要流程及风险。
22、在这一阶段,评价工作组把工作重点放在主要业务流程上,如资金管理流程、销售流程和采购流程等。为支持评估工作与相关测试有效进行,企业应建立全面文档记录。文档记录可以帮助评价工作组了解各个主要业务领域的流程,识别相关的风险关注点及可能存在的内部控制措施。评价工作组可审阅的内控流程文档可能有以下几种。风险控制矩阵文档。关注点在于复核风险流程的合理性,例如,文档是否包含了流程面临的所有风险、列示的风险是否得到定期或及时的更新、对于各项风险的重要性水平分析是否合理,以及复核控制点的识别,关键控制点、重要控制点、一般控制点的判断是否合适。流程图文档。关注点在于流程图是否与实际操作及风险控制矩阵描述相符合,流
23、程图是否清楚地标示所有风险点及控制点,流程图中责任部门、岗位以及其他管理机构是否表述清晰、表述的流程路径是否清晰、是否存在交叉,以及内容是否涵盖所有流程实际操作及相应的控制活动。审批权限表文档。关注点在于部门及岗位的描述是否准确、权限的划分和设置是否合理。评价工作组应识别业务流程中的关键业务或固有风险,提出对于每一重大流程在交易过程中“可能出错”而产生重大错误的问题在这些控制点上识别降低风险的控制,这些控制应当能够为防止发生重要的错误或者能发现并更正错误提供合理保证。有些控制可能并不显而易见,可能是电子化或者是人工的,并且同时是高层及基层实施。这些关注点将是评价工作组进行设计或运行有效性并做出
24、结论的地方。例如,银行账户管理中,银行账户的开立、变更及撤销未经合理的审批及授权,对于该风险点应该采取相应控制措施,提交给银行的开立账户申请书需要经过公司总经理书面批准(签章),提交给银行的变更账户申请需要经过财务经理和总经理审批,提交给银行的撤销账户申请需要经过财务经理和总经理审批。再以资金管理流程为例,企业面临的一个关键业务风险可能是客户需求的波动,当客户需求下降时,企业收入减少,进而发生资金的短缺并增加对营运资金需求的压力,资金需求将会直接导致银行融资或企业债券融资的增加进而导致企业的财务费用成本增加。固有风险是指假设不存在相关的内部控制,某一业务风险事项发生的可能性。例如,某企业所处行
25、业的性质决定该类企业资金、在建工程与固定资产的交易比存货(通常为一些低值易耗品)的交易更容易出现差错。一些产生经营风险的外部因素也可能影响固有风险,如“节能减排”的目标要求企业投资建立高效率、低消耗的新型生产线,并对旧装备进行技术改造,这些都会影响资金流。在各重要流程中,管理层可能已实施不同程度的控制以应对风险。例如,在资金管理流程、银行账户的开立的风险点中,可能有的控制措施是要求提交给银行的开立账户申请书需要经过公司总经理书面批准或签章。(3)确定检查评价范围和重点。评价工作组根据掌握的情况确定评价范围、检查重点和抽样数量,进行分工与测试。评价范围、方式、程序和频率,将因企业经营业务调整、经
26、营环境、风险水平等因素而异。(4)开展现场检查测试。评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法,收集被评价单位内部控制设计与运行是否有效的证据,按照要求填写工作底稿、记录有关测试结果。如果发现内部控制出现缺陷,则需与管理层沟通,对有关缺陷进行认定并进行记录。个别访谈。评价工作组人员可以个别访谈企业或被评价单位的不同人员,了解公司内部控制的现状与运行。个别访谈通常用于企业层面与业务层面评价的阶段。调查问卷。调查问卷多用于企业层面的评价,通过扩大对象范围,如企业中的全体员工,收集简单结果,如对公司企业文化的认同。专题讨论。这是一种集合企业中有关专
27、业人员就内部控制执行情况或控制问题进行的分析和讨论。穿行测试。穿行测试是指在流程中任意选取一项交易为样本,获取原始单据,跟踪交易从最初起源,到会计处理、信息系统和财务报告编制,直到这项交易在财务报表中报告出来的全过程。通过执行“穿行测试”,评价工作人员可获取对一个流程的了解,查找潜在的内控设计问题并识别出相关控制。实地查验。这是一个用于业务层面评价的方法。例如,评价工作人员进行实地盘点以测试企业记录存货的数量,或有关控制的有效性。抽样。抽样方法可以分为随机抽样和其他抽样法。随机抽样一般被认为是最具有代表性或是基于统计学的取样方式,从样本库中抽取一定数量的样本,进行控制测试,以获取有关控制的运行
28、状况。随机选取通常是采用计算机来完成。其他抽样如分层抽样、整群抽样及系统抽样等。比较分析。这是一种通过数据分析,识别评价关注点的方法。例如,通过比较月度的销售情况,识别异常区间,进行检查。审阅与检查。这也是在业务层面评价的常用方法,通过核对有关证据而获取有关控制的运行状况,如选择某些调节表上的差异,追溯到相应的单据记录(如银行对账单)或检查调节表是否有相关负责人签字。4、汇总评价结果评价工作组人员应当在其工作底稿中,记录评价所实施的程序及有关结果。企业内部控制评价工作组应当建立评价质量交叉复核制度,有关评价报告应由评价工作组负责人严格审核确认;与被评价单位进行通报,在提交内部控制评价部门或机构
29、前得到被评价单位相关责任人签字确认。如果在评价工作中发现所有差异,如穿行测试及控制测试中发现的与访谈结果的差异、与流程手册的差异,也应在汇总中适当地记录。企业内部控制评价部门或机构应编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。七、 审计范围与审计目标内部控制作为企业中一项重要的管理活动,用
30、来促进提高经营的效率效果,实现企业的发展战略。一些国家和地区,如美国、日本、欧盟等对内部控制审计已提出强制性要求。同样,我国企业内部控制基本规范中除了要求企业为其内部控制的设计与运行情况进行全面的评价、披露年度自我评价报告外,在第十条中明确指出:上市公司和非上市大中型企业聘请符合资格的会计师事务所,根据规范及配套办法和相关执业准则,对企业财务报告内部控制的有效性进行审计并出具审计报告。会计师事务所及其签字的从业人员应当对发布的内部控制审计意见负责。为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。(一)内部控制审计的定义内部控制审计是通过对被审计单位的内控制度的审查
31、、分析测试、评价,确定其可信程度,从而对内部控制是否有效做出鉴定的一种现代审计方法。内部控制审计是内部控制的再控制,它是企业改善经营管理、提高经济效益的自我需要。一般地,企业内部审计部门负责内部控制审计,也可以委托不负责年审的会计师事务所开展内部控制审计。(二)内部控制审计的范围内部控制审计的范围限于特定日期与财务报表相关的内部控制。通常,注册会计师对某特定日期的内部控制进行审核。特定日期可以是会计年度结束日,也可以是某中期结束日。注册会计师对某特定日期的内部控制审核时,应在接近于此日期之前的一段时间内对内部控制进行了解和测试,并对该日期的内部控制有效性发表审核意见。(三)内部控制审计的目标1
32、、内控审计目标的具体界定内部控制审计的目标是检查并评价内部控制的合法性、充分性、有效性及适宜性。内部控制的合法性、充分性、有效性及适宜性,具体表现为其能够保障资产、资金的安全,即保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。2、内控审计目标与财务报表审计目标的联系与区别(1)两者的联系。内部控制审计的前四个目标实际就是财务报表审计的具体目标。企业管理层对外提供的资产负债表,表上反映有多少资产,其明示或暗示了这样几个声明:资产负债表上反映的资产是存在的、是完整的、是属于自身的、金额是正确的。相应地,外部财务报表审计的具体目标也就是鉴证企业管理层的这些声明是否属实。(2)两者的区别
33、。财务报表审计直接评价的是财务报表,或者说直接评价资产、资金本身的安全状态,其目标对象是资产、资金本身,而内部控制审计直接评价的是内部控制能否保障资产、资金的安全,其目标对象是内部控制,而资产、资金只是作为中间的观察对象而存在。财务报表审计主要评价财务报表所反映的存量资产、资金的“静的安全”,一般不评价资产、资金的“动的安全”,即不评价资产、资金在流转中的增值性;而由于内部控制既要保障资产、资金“静的安全”,又要保障其“动的安全”,所以内部控制审计既检查资产、资金的“静的安全”,又检查资产、资金的“动的安全”。八、 审计工作计划与实施(一)审计工作计划企业内部审计指引第六条的规定:注册会计师应
34、该恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。企业内部审计指引第七条的规定:在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响:与企业相关的风险;相关法律法规和行业概况;企业组织结构和经营特点、资本结构等相关事项;企业内部控制最近发生变化的程度:与企业沟通过的内部控制缺陷;重要性、风险等与确定内部控制重大缺陷相关的因素对内部控制有效性的初步判断;可获取的、与内部控制有效性相关的证据的类型和范围。注册会计师应当以风险评估为基础,选择拟测试的控制,确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高,给予该领域的
35、审计关注就越多。注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少本应由注册会计师执行的工作。注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,应当对其专业胜任能力和客观性进行充分评价。注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。(二)审计工作实施企业内部审计指引第十条规定:注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险,选择拟测试控制的基本思路。注册会计师在实施审计工作时,可
36、以将企业层面控制和业务层面控制的测试结合进行。“自上而下”的方法始于财务报表层次,以注册会计师对财务报告内部控制整体风险的了解开始,然后注册会计师将关注重点放在企业层面的控制上,并将工作逐渐下移至重大账户、列报及相关的认定。1、识别企业层面控制通过了解企业与财务报告相关的整体风险,注册会计师可以识别出为保持有效的财务报告内部控制而必需的企业层面内部控制。注册会计师测试企业层面控制,应当把握重要性原则,至少应当关注以下几方面。(1)与内部环境相关的控制。内部环境,即控制环境,包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。在评价控制环境的设计时,注册会计师应当考
37、虑构成控制环境的下列要素,以及这些要素如何被纳入企业业务流程:对诚信和道德价值观念的沟通与落实;对胜任能力的重视;治理层的参与程度:管理层的理念和经营风格;组织结构;6职权与责任的分配;人力资源政策与落实。(2)针对董事会、经理层凌驾于控制之上的风险而设计的控制。注册会计师可以根据对企业舞弊风险的评估做出判断,选择相关的企业层面控制进行测试,并评价这些控制能否有效应对管理层凌驾于控制之上的风险。注册会计师应当特别关注由于管理层凌驾于账户记录控制之上,或规避控制行为而产生的重大错报风险,并考虑企业如何纠正不正确的交易处理。(3)企业的风险评估过程。包括识别与财务报告相关的经营风险和其他经营管理风
38、险,以及针对这些风险采取的措施。注册会计师在对企业整体层面的风险评估过程进行了解和评估时,考虑的主要因素可能包括:企业是否已建立并沟通其整体目标,并辅以具体策略和业务流程层面的计划;是否已建立风险评估过程,包括识别风险,估计风险的重大性,评估风险发生的可能性以及确定需要采取的应对措施;是否已建立某种机制,识别和应对可能对企业产生重大且普遍影响的变化;会计部门是否建立了某种流程,以识别会计准则的重大变化;业务操作发生变化并影响交易记录的流程时,是否存在沟通渠道以通知会计部门;风险管理部门是否建立了某种流程,以识别经营环境,包括监管环境发生的重大变化。(4)对内部信息传递和财务报告流程的控制。注册
39、会计师应当从下列方面了解与财务报告相关的信息系统:对财务报表具有重大影响的各类交易;在信息技术和人工系统中,交易生成、记录、处理和报告的程序;与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目;信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况;企业编制财务报告的过程,包括做出的重大会计估计和披露。财务报告流程的控制可以确保管理层按照适当的会计准则编制合理、可靠的财务报告并对外报告。(5)对控制有效性的内部监督和自我评价。企业对控制有效性的内部监督和自我评价可以在企业层面上实施,也可以在业务流程层面上实施,包括对运行报告的复核和核对、与外部人士的沟通、
40、对其他未参与控制执行人员的监控活动,以及将信息系统记录数据与实物资产进行核对等。2、识别业务层面控制注册会计师测试业务层面控制,应当把握重要性原则,结合企业实际内部控制各项应用指引的要求和企业层面控制的测试情况,重点对生产经营活动中的重要业务与事项的控制进行测试。注册会计师应首先确定企业的重要业务流程和影响重大账户的重要交易类别,了解重要交易从发生到记入账目的整个流程,与重大账户及其相关认定相结合,在重要交易整个流程中确定错报可能会在什么环节发生,即确定相应的控制目标;然后根据确定的审计测试策略、计划对内部控制进行进一步了解和评估,对重要交易流程中设计的防止或发现并纠正可能错报的相关控制加以识
41、别;再通过执行穿行测试,来证实对重要交易流程和相关控制的了解,并确定相关控制是否得到执行;最后对相关控制的设计和是否得到执行进行评价,以确定进一步的审计程序。九、 风险图谱风险图谱是风险分析的重要工具,通过分析公司的风险图谱,可以直观地看到公司的风险分布情况,从而确定风险管理的重要控制点和风险管理解决方案。风险图谱从风险发生的可能性和影响程度两方面对风险进行评级,风险评级要从固有风险、目标剩余风险和实际剩余风险三个层级进行。风险图谱被两条“等风险线”分隔为“红灯区”“黄灯区”和“绿灯区”(1)“红灯区”的风险大多集中在第一象限,其发生的概率和影响程度均较高。公司应该根据风险的属性和风险偏好来选
42、择风险管理方案;(2)“黄灯区”的风险,有两种情况:处于第二象限的风险更多的是一些非常事件,但影响程度较大。对于这类风险,公司应该在采取防范措施的同时,制订应急计划;处于第四象限的风险,其影响程度不是很高而发生概率偏高,这往往与日常经营和遵守法律方面的问题有关,这些风险的累计影响不可低估。对于这类风险要注意日常的管理和监控。(3)“绿灯区”的风险大多集中在第三象限,是指那些发生概率和影响程度均不太高的风险,通常在目前可以接受。公司可以取消与此风险相关的、多余的风险控制措施,从而减少成本和资源消耗以便管理更重要的风险。风险图谱不是一成不变的,公司应该定期评估风险,动态地对风险图谱进行调整和更新。
43、十、 风险分析方法的选择选择风险分析的方法和判断标准,应考虑行业自身特点,区别它们各自的关注点,灵活确定风险分析过程和分析方法。例如,对于金融行业来说,丢失数据风险的损失比短时间业务停顿的风险所带来的损失更为严重:而对于通信行业来说,业务停顿风险带来的损失比少量数据丢失的风险更难以接受。与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反;定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据,而定性分析没有这方面的要求;定性分析较为主观,定量分析基于客观;此外,定量分析的结果很直观,容易理解,而定性分析的结果则很难有统一的解释。企
44、业可以根据自身的具体情况来选择定性或定量的分析方法。当前最常用的分析方法一般都是定量和定性的混合方法,对一些可以明确赋予数值的要素直接赋予数值,对难于赋值的要素使用定性方法,这样不仅更清晰地分析了资产的风险情况,也极大简化了分析的过程,加快了分析进度。十一、 风险的分类和评估(一)风险的分类企业所面临的风险从来源上分,有企业内部和外部两个方面。外部风险包括:科技发展带来的企业技术、管理、信息等方面的风险;顾客需求或预期改变;竞争的存在;自然灾害;政治事件;经济环境的改变等。内部风险主要有:员工的素质和能力;经理人的责任改变;董事会或监督委员会的责任履行情况等。从企业能否对风险进行控制来分,风险
45、分为可控风险和不可控风险两种。(二)风险评估风险评估是一个比较宽泛的概念,在有的内部控制或风险管理标准中,风险评估就是风险管理,包括了风险管理的全过程,可以说是风险管理的代名词。而在有的内部控制或风险管理标准中,风险评估是全面风险管理的一个步骤,包括内容有多有少,如目标确定、风险识别、风险分析、风险评价以及风险应对等。1、COSO92关于风险评估概念COSO内部控制整体框架把风险评估列为内部控制的五要素之内部控制整体框架认为,风险评估是指单位为实现其目标而确认的相关风险,以构成进行风险管理的基础。单位风险可能来自于:(1)经营环境的变化;(2)聘用新的员工;(3)采用新的或改良的信息系统(4)
46、迅猛的发展速度;(5)新技术的运用(6)新的行业、产业或经营活动的开发;(7)企业改组;(8)海外经营;(9)新的会计方法的采用。2、COSO04关于风险评估概念企业风险管理整体框架指出风险评估要对识别的风险进行分析,以便确定对他们进行管理的依据。强调风险评估是风险管理的一个步骤,相当于我国企业内部控制基本规范的风险分析。3、我国企业内部控制基本规范关于风险评估概念我国企业内部控制基本规范借鉴企业风险管理整体框架,认为风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,从而合理确定风险应对策略。即为识别、分析、管理与企业活动相关的市场风险、政策风险、法律风险、汇率风险、经营
47、风险等各种风险而建立的机制。该概念沿用COSO92的要素理念,是相对宽泛的概念,包括COSO04目标设定、事项识别、风险评估和风险应对四大要素的组合。十二、 风险的概念及其分类古人说:“宜未雨而绸缪,毋临渴而掘井。”企业在生产经营的过程中,面临着诸多的风险,如果我们没有妥善地处理,风险事故一旦发生,轻则影响生产经营稳定和企业经济效益,重则危及企业的生存。因此风险评估的目的是为了给企业造就一个安全稳定的生产经营环境,这有助于增加领导层经营管理决策的正确性,进而提高企业的经济效益。(一)风险的概念企业在经营活动中,会遇到各种不确定性事件,这些事件发生的概率及其影响程度是无法事先预知的,进而影响企业
48、目标的实现。所谓风险,就是在一定环境下和一定限期内客观存在的、影响企业目标实现的各种不确定性事件。或者说,风险就是指在一个特定的时间内和一定的环境条件下,人们所期望的目标与实际结果之间的差异程度。因此,风险是一个事项将会发生并给目标实现带来负面影响的可能性。风险具有客观性、普遍性、潜在性、必然性、可识别性、可控性、损失性和不确定性等特点,风险与机会同在。COSO企业风险管理新框架(2016)指出风险是指事项发生并影响战略和业务目标之实现的可能性。该定义兼顾了正面和负面的影响,这和国际风险管理标准ISO31000及中国风险管理标准GBT24353是一致的。为了与我国内部控制规范一致,本书采用COSO04的定义。(二)风险的构成要素风险一般包括以下三项构成要素。1、风险因素风险因素是指促使某一特定风险事故发