-内部控制设计有效性评估-毕马威

中国移动通信有限公司内审部培训2011年07月毕马威企业咨询(中国)有限公司——内部控制设计有效性评估©2011毕马威企业咨询(中国)有限公司—中国外商独资企业，是与瑞士实体—毕马威国际合作组织(“毕马威国际”)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。1议题内部控制设计有效性评估以风险为导向的内部审计方法内部控制的构成内部控制设计有效性评估方法案例分析本文件所载资料是为中国移动通信有限公司内审部内部培训编撰。任何其他人士不得依赖本文件作任何其他用途，本所概不就此对任何其他人士承担任何责任。未经本所书面同意，任何人士不得披露、引用或引述本文件的全部或部分内容。©2011毕马威企业咨询(中国)有限公司—中国外商独资企业，是与瑞士实体—毕马威国际合作组织(“毕马威国际”)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。2以风险为导向的内部审计方法通过引入以风险为导向的内部审计方法论，通过战略分析、企业风险评估和制定内审计划三个步骤的执行，有效识别和定义关键风险点、并对重要风险领域进行优先级排序从上到下，集中资源关注残余风险较高的领域，即固有风险较高及控制风险较高的机构、业务、流程、系统等实现规范制定审计规划，合理配置审计资源，有效履行审计职能，持续监测重大风险企业风险评估报告规划执行企业风险评估报告规划执行©2011毕马威企业咨询(中国)有限公司—中国外商独资企业，是与瑞士实体—毕马威国际合作组织(“毕马威国际”)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。3该方法论的应用：战略分析：以从上至下的角度审视公司面临的内部及外部宏观影响，了解公司的战略目标和挑战。企业风险评估：识别公司面临的重大风险，通过固有风险评估、关键风险指标分析、以及控制环境评估相结合的方式对公司面临的重大风险进行排序。制定内审计划：根据企业风险评估阶段对重大风险深入分析的结论，确认审计重点，综合考虑审计资源，以制定审计计划。内审项目执行：不同的审计对象面临的风险级别不同，应执行有针对性地审计方法。报告/问题的解决和跟踪：审计报告的结论以及审计发现的跟进和处理结果会影响下一次审计重点的识别。以风险为导向的内部审计方法（续）企业风险评估报告规划执行企业风险评估报告规划执行©2011毕马威企业咨询(中国)有限公司—中国外商独资企业，是与瑞士实体—毕马威国际合作组织(“毕马威国际”)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。4典型的内部控制审计流程示例1.定义审计单元2.定义风险宇宙3.评估固有风险4.制定审计计划5.执行审计计划6.评估剩余风险风险持续监控7.更新/滚动审计计划审计单元————风险类别————风险因素————风险事件————风险影响程度评价标准————风险发生可能性评价标准————关键绩效指标（KPI）————关键风险指标（KRI）————风险列表审计计划审计报告风险轮廓热点图审计计划风险矩阵一般情况下，以区域、机构和流程划分审计单元确定风险类别时，考虑企业实际情况、外部监管要求、国际通用风险框架（例如COSO、Cobit,RiskIT等）、可操作性、成本效益原则等风险因素是可能导致企业风险的事物，其既可能包括企业外部的经营驱动力，例如竞争、监管、经济状况、技术、资本市场等，也可能包括企业内部流程，如核心业务、资源管理等。通常可以采用分析企业经营模型的方式来识别风险因素风险事件是可能导致某一特定风险因素转化为风险的事件。识别风险事件，即识别哪些事件可能导致风险的发生审计规划的制定以风险评估的结果为重要的参考标准，同时也应考虑董事会的意见、外部监管要求等其他因素控制有效性整体评价风险轮廓是以表格或图形形式，对每一个审计单元的所有识别的风险情况进行罗列，以反映该审计单元风险分布情况。对于每个机构，以热点图形式列示其所有审计单元固有风险和控制有效性的分布情况复核审计单元的合理性提供控制信息提供风险事件预警提供固有风险信息控制有效性评价标准————风险矩阵©2011毕马威企业咨询(中国)有限公司—中国外商独资企业，是与瑞士实体—毕马威国际合作组织(“毕马威国际”)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。5典型的内部控制审计流程——1、定义审计单元审计单元是审计计划的基本单元，是在后续阶段进行风险类别和相关风险事件分析的基础审计单元的识别和定义，可以−按照地域和管理架构，如总部，省公司，分公司；−按照业务流程和职能部门，如收入与计费业务流程、资本性支出业务流程等及相关职能部门；−按照信息系统，如业务支撑系统、业务应用系统、OA等；−按照信息技术运营管理流程，如系统开发，项目管理，安全管理等；−按照业务和产品类型，如语音业务，增值业务等；−按照特定数据和信息类型，如财务数据，经营分析数据，客户信息数据等审计单元≠最终被选定的审计单位©2011毕马威企业咨询(中国)有限公司—中国外商独资企业，是与瑞士实体—毕马威国际合作组织(“毕马威国际”)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。6典型的内部控制审计流程——2、定义风险宇宙风险类别（RiskCategories）风险类别是企业决定如何将其风险进行分组的方式，企业将具有相同特性的风险进行分组，以建立企业的风险组合，将风险按照风险类别进行分组，有助于完整、全面、合理地识别和管理企业面临的风险；用以定义风险类别的特征一般反映了企业的行业、业务模型或其他在企业内部推动风险管理的因素，并最终由企业决定。因此，风险类别因企业和行业的不同而不同。定义风险类别的考虑因素−参考国际通用的风险框架（例如COSO、CobiT、RISKIT等）−考虑外部监管要求（如工信部、上市地监管机构等）−符合企业实际情况（如考虑业务的分布、重要性水平等）−可操作性（考虑是否有利于利用企业现有的资源、是否有利于信息的收集、是否有利于评价和审计的开展等）−成本效益原则（过细会影响风险评估的效率，过粗会影响风险评估的效果）©2011毕马威企业咨询(中国)有限公司—中国外商独资企业，是与瑞士实体—毕马威国际合作组织(“毕马威国际”)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。7典型的内部控制审计流程——2、定义风险宇宙（续）以财务报告内部控制审计为例，可以围绕以下要素进行风险分类：财务报告认定导致错误的可能?(举例说明)C完整性•是否记录了所有应支的记录？•是否记录了所有销售记录？E存在和发生•是否所有的存货都是真实存在的？•销售额是否来自验证有效的客户？A准确性•是否所有应付记录金额都是准确的？•是否所有销售记录金额都是准确的？•发放给员工的工资金额是否都是准确的？•采购价格的变化是否被准确的捕捉并且被资本化？V估价•应收款项的减值是否被恰当的估计？•存货价值是否按照成本和可变现净值孰低方法记录？O权利与义务•公司是否把自有存货记录为资产？•负债是否表现为公司的真实义务？P表达与披露•财务信息是否真实呈现？•在财务报告中的披露，是否为完整、准确且相关的？©2011毕马威企业咨询(中国)有限公司—中国外商独资企业，是与瑞士实体—毕马威国际合作组织(“毕马威国际”)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。8泄露中断修改窃取活动无效设计无效执行破坏不适当使用内部（员工）外部（竞争对手，外部人员，业务伙伴，监管者，市场）主体人员和组织流程基础设施（设备，IT基础设施）企业架构（信息、技术、应用）资源/资产恶意意外故障自然灾害威胁类型时长发生时点（关键，非关键）检测时点时间风险轮廓机密性业务影响完整性可用性合规性可靠性效率效能以信息技术内部控制审计为例，可按照以下7类潜在的业务影响进行分类：典型的内部控制审计流程——2、定义风险宇宙（续）©2011毕马威企业咨询(中国)有限公司—中国外商独资企业，是与瑞士实体—毕马威国际合作组织(“毕马威国际”)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。9典型的内部控制审计流程——3、评估固有风险固有风险是指在不考虑管理层可能采取的任何改变风险发生可能性或影响行动的前提下，企业所面临的风险。基本的自上而下应对风险的内部控制固有风险固有风险固有风险固有风险剩余风险剩余风险剩余风险剩余风险内审部门独立评估及评价剩余风险及向管理层报告业务在可承受的风险范围内运作剩余风险=固有风险X控制风险©2011毕马威企业咨询(中国)有限公司—中国外商独资企业，是与瑞士实体—毕马威国际合作组织(“毕马威国际”)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。10风险评估=X风险的影响程度风险发生可能性以风险的影响程度和发生的可能性两个维度来评价固有风险的大小。企业需要根据自身情况制定固有风险的评价标准。企业的风险偏好及承受风险的能力决定了风险影响程度评级标准的确立在确定风险的影响程度时，应考虑企业的目标与策略企业的主要利益相关方如何被已识别的风险影响主要利益相关方如何对待这些风险风险的影响程度和发生的可能性典型的内部控制审计流程——3、评估固有风险（续）©2011毕马威企业咨询(中国)有限公司—中国外商独资企业，是与瑞士实体—毕马威国际合作组织(“毕马威国际”)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。11风险的影响程度（RiskImpact)描述评级标准（请综合考虑以下各个方面的因素对风险后果的严重性进行评估）无关紧要/1分•可能遭受少于人民币XX万元的损失•违反公司内部规定，对公司声誉不会造成影响•发生事故，但不会影响公司业务•对信息真实或安全性影响不大次要/2分•可能遭受人民币XX万元-人民币YY万元的损失•发生违法违规，对公司声誉造成轻微影响，需要中高管理层关注•发生事故，但是仅影响内部业务•对信息真实或安全性有轻微影响中等/3分•可能遭受人民币YY万元-人民币ZZ万元的损失•发生违法违规，对公司声誉造成一定影响，需要中高管理层协调处理•发生事故，对业务有一定影响–影响顾客•对信息真实或安全性有一定影响主要/4分•可能遭受人民币ZZ万元-人民币MM万元的损失•发生较大违法违规，对公司声誉造成较大影响，需要董事会关注•发生较大事故，对业务有重大影响–严重损害公司为客户服务的能力•对信息真实或安全性有重要影响灾难性/5分•可能遭受超过人民币MM万元的损失(2006/12/31集团公司净资产的5%)•发生重大违法违规，对公司声誉造成重大影响，需要董事会协调处理•发生重大事故，公司无法继续经营•对信息真实或安全性有灾难性影响风险发生的可能性(RiskLikelihood)描述评级标准极少发生/1分事件只有在极其例外的情况下发生（8-10年内或发生可能性为x%以下）不大可能/2分事件可能在某些时候发生（5-8年内或发生可能性为x-y%之间）可能/3分事件应该在某些时候发生（3-5年内或发生可能性为y%-z%之间）很可能/4分事件可能在大多数环境下发生（1-2年内或发生可能性为z-m%之间）几乎确定/5分事件预计会在大多数情况下发生（1年内或发生可能性为m%以上）按需要设计多个影响程度的考虑因素典型的内部控制审计流程——3、评估固有风险（续）©2011毕马威企业咨询(中国)有限公司—中国外商独资企业，是与瑞士实体—毕马威国际合作组织(“毕马威国际”)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。12固有风险评级后果的严重性发生的可能性无关紧要/1分次要/2分中等/3分主要/4分灾难性/5分几乎确定/5分中等（5）较高（10）重大（15）重大（20）重大（25）很可能/4分中等（4）较高（8）较高（12）重大（16）重大（20）可能/3分较低（3）中等（6）较高（9）较高（12）重大（15）不大可能/2分较低（2）中等（4）中等（6）较高（8）较高（10）极少发生/1分较低（1）较低（2）较低（3）中等（4）中等（5）风险矩阵风险影