战略决策和运营觉此

监督风险管理和控制

推广适当的道德和价值观

确保组织开展有效的业绩管理、建立有效的问责机制

向组织通报风险和控制信息

协调董事会、外审、内审、其他管理层的工作和信息沟通

具体职责：

复核内审功能的章程、活动、人员配备以及结构

决定首席的任免、更替确保内审范围不受限制

复核内审功能的有效性

定期与首席会晤讨论重要事项

与管理当局及首席讨论与风险评估和风险管理有关的事宜

管理层要求内审人员确认以下活动

有效地识别和监控风险

有效地控制组织过程

确保组织流程是有效的或有效果的

监控风险（识别风险）

评估风险对组织的潜在影响

确定应对风险的策略

关键是保证控制措施处于正确的位置以处理组织风险

①评价被审计领域的现有风险，并向管理层、审委会报告评估结果

②制定系统评价整个组织风险的计划

③当组织出现真空时领导风险管理活动

④用风险自我评估技术推进风险评价

⑤评价与计算机最新发展状况相关联的风险

⑥协助管理层推行贯穿整个组织的风险模型

董事会应当制定战略目标

风险的所有权应当赋予高级经理层

执行管理层应接纳剩余风险

运营层应当负责持续的识别、评估、减轻和监督活动

内审机构应当定期评价并协助其他部门进行风险管理

①职责范围内测试控制的遵循性

②协助管理层设计综合的评价方案，包括测试整个组织的控制

③协助管理层编制关于内部控制有效性的报告

④识别重大的控制缺陷，包括高层基调的要素

⑤推行计算机测试技术

⑥通过控制自我评估（CSA）技术帮助理解和发展职责领域的控制

组织是否建立了关于行为规范和商业管理的到的规范

组织应在多种场合将道德规范向各层次的员工进行讲解，针对部门不同强调的重点不同

组织的代理要参加为他们度身定做的讲座，新员工要进行专门培训

组织保证员工已经阅读、理解并遵守了公司的行为规范和商业管理

组织采取合理措施促进行为规范和商业管理的遵守

高层人员应总体负责家督对行为规范和商业管理的遵守情况

公司行为规范和商业管理是否确认得到遵循

是否建立相关报告机制

报告机制是否充分而有效

机制运转情况和效果如何

是否建立业绩测评系统

业绩测评系统是否充分和可以接受

系统是否有效运行

工作业务框架报高级经理层审批，董事会备案

中期发生重要变化是，及时沟通

资源不足时，应反馈并告知不足的影响

每年至少一次

重要的审计发现和建议，审计工作计划、人才计划和财务预算在执行中出现的重要偏差及其原因

评价目标-充分性及有效性

评价标准

评价程序

假设某风险发生时所产生的影响可以被主体接受的风险

管理层采取了有关措施，包括应对某项风险的控制活动降低负面事件的影响和可能性之后仍然存在的风险。

审计人员对实质上误报的财务资料可能提供不适当意见的风险。审计风险=固有风险*控制风险*检查风险

假定不存在相关的化解风险的控制措施，信息或数据对重大错报的敏感性

由于内部控制的局限性，不能通过内部控制结构、政策或程序及时被预防和发现的风险

由于审计师不能保证100%的检查或审计程序不当而没有发现存在的某些风险

组织对风险的态度，对风险事件的容忍程度，分为爱好、中性、厌恶

与实现一项目标相关的可承受的偏离程度

管理当局为控制风险而采取的一系列程度，旨在把风险控制在主题的风险容限和风险容量以内

市价波动对于企业营运或投资可能产生亏损的风险，如利率、汇率、股价等变动

会计处理与税务对企业盈亏可能产生的风险，如账务处理的妥适性、合法性、税务咨询及处置是否完备。

以不诚实、不良企图、欺诈行为故意促使风险事故发生，或扩大已发生的风险事故所造成的损失

由于行为上的粗心大意和漠不关心，易于印发风险事故发生的机会和扩大损失程度的因素

四类目标

组织维度

八大组成部分

流程因素评价法

关键原则评价法

成熟度评级法

中止、放弃

预防措施

理性或非理性主动承担风险

外包、合并、多元化、套期、保险

事先的管理活动

活动中的控制

事后与标准、预算对比后采取的措施

优点

缺点

信用审核

招投标

职责分析

检查单

密码

授权

检查比较

银行对账单

实物清点

对账

各种政策、指南和手册

胜任能力

要求最低利润率的保证

要求出勤率

事后报告

例外报告

纠错程序

可量化、客观

定性、主观

输入控制

过程控制

输出控制

①目标成本法

②作业成本法（ABC成本法）

①预防型控制

②检查型控制

③纠正型控制

①范围变化控制

②质量控制

③工期控制

A-必须做

B-应该做

C-可以做

二八法则

董事会和管理层对组织内控重要性的态度和措施

包括以下

在既定的经营目标下分析并减少风险（独特之处）

风险评估三方面

内部沟通

外部沟通

风险评价

控制措施

①组织对正直和道德价值观作出承诺

②董事会独立于管理层，并对内部控制的推进和成效进行监督

③管理层在委员会的监督下，围绕其目标建立健全组织架构、汇报关系以及合理的授权和责任机制

④组织对吸引、发展和保留认同组织目标的人才作出承诺

⑤组织本着实现其目标的宗旨，让员工各自担负起内部控制的相关责任

⑥就识别与评估与其目标相关的风险，组织作出清晰的目标设定

⑦组织对影响其目标实现的风险进行全方位的识别和分析，并以此为基础决定如何管理风险

⑧组织在对影响其目标实现的风险进行评估时，考虑潜在的舞弊行为

⑨组织识别和评估可能内部控制体系造成较大影响的改变

⑩组织选择并开展控制活动，将风险对其目标实现的影响降到可接受水平

（11）针对信息技术，组织选择并开展一般控制活动以支持其目标的实现

（12）组织通过合理的政策和确保其得以贯彻执行的程序来开展控制活动

（13）组织获取或生成信息，并使用相关的、优质的信息来支持内部控制发挥作用

（14）组织在其内部沟通传递包括内部控制的目标和责任在内的必要信息以支持内部控制发挥作用

（15）组织与外部相关方就影响内部控制发挥作用的事情进行沟通

（16）组织选择、推动并实施持续和独立的评估以确认内部控制的要素是存在且正常运转的

（17）组织及时评价内控的缺陷，并视情况与那些负责采集纠正措施的相关方（董、高）进行沟通

组织应建立目标并在组织内传达

组织应确定并评估在其实现目标的过程中所面对的各种内部和外部的重大风险

组织应制定、传达并执行那些能帮助组织实现其目标、管理器风险的各种政策。这样人们将会明白组织对他们的期待以及他们做事的自由度

组织应制定并传达并执行那些能帮助组织实现其目标的各种计划

目标和相关的计划应包括可以测量的绩效目标和指标

组织应建立并在组织内传达和实施共同道德价值观

人力资源政策和实务应与组织的道德价值观一致，并有利于实现组织目标

应明确界定权力、职责和责任，并与组织的目标相一致，并有利于实现组织目标

应该在组织中培育一种互信的氛围，以便信息能够在人们之间顺畅地传递，并有助于实现组织目标

员工应具备必要的指示、技能和工具来支持组织目标的实现

沟通程序应支持组织的价值观并有助于组织实现目标

应界定何为充分且相关的信息，并及时沟通信息，以使人们能够履行他们的职责

组织中不同部门的决策和行动应当相互协调

控制活动是组织中不可缺少的部分，在设计控制活动时应考虑组织的目标、实现组织目标的风险，以及控制要素之间的相关性

组织应监控外部和内部的环境因素，以便获得哪些能够表明需要对组织的目标和控制进行重新评估的信息

应根据组织目标和计划中确定的目标和指标来对绩效进行监控

应定期对组织目标和制度建立的假设前提进行质询

当组织目标改变了或确定了报告缺陷时，应重新评估信息需求和相关的信息系统

应建立和实施跟踪程序，以确保进行适当的改变，采取适当的措施

管理层应定期评价组织中控制的有效性，并将评价结果告知对控制负责的人员

目标完成情况

程序执行情况

关注业务与目标是否一致

过程中发现及评估中重大风险暴露

出手或分配虚构或误报的资产

进行非法政治捐赠、行贿、提供回扣，向政府官员或其代理人、客户或供应商支付酬金等不当行为

故意错报或错误评估业务交易、资产、负债或收入

故意对转移支付进行不当定价

进行故意的不当关联交易方交易

故意没有记录或披露重要信息，这些信息有助于外部团队更了解组织的财务情况

开展明令禁止的商业活动

税务诈骗

收受贿赂和回扣

将在正常情况下给组织带来利润的交易转移给外部

贪污，挪用资金，篡改财务记录

故意隐瞒或错报事项或数据

要求为实际上并未提供给机构的服务或商品支付款项

不恰当定价管理

不真实广告

不安全和不健康产品

股票舞弊

税务舞弊

1.红旗并不意味着存在舞弊行为已经发生，而只是警示信号

2.如果不借助风险分析法，一些红旗标志难以被量化和评价

3.没有红旗标志的控制点或行为，也可能存在舞弊

4.红旗编制并非作为审计业务正常内容来收集

1.收益包括记录的应收账款和收到账款

2.支出包括与业务运营成本有关的债务

3.生产集中在于生产与销售的产品或服务有关的成本

4.财务包括或有负债和发行流通的股票

宏观环境

微观环境

金融行业

保险行业

制造业

能源行业

机会类

动机类

合理化

其他类

虚假利润

不适当的资产价值

不适当的披露

权力过于集中

没有解释清晰的差异

现金或存货的异常短缺

文件丢失或对文件修改

发票上项目与收费代码或业务职能无关

多个不同供货商的邮箱地址一致