内部控制审计案例范例6篇

内部控制审计案例范文1

【关键词】企业 内部控制审计 缺陷

乙股份有限公司（以下简称乙公司）是在中国境内上市的公司，甲是其母公司。2010年2月A会计师事务所接受委托对乙公司2009年度的内部控制进行审计。A会计师事务所在了解乙公司的内外部环境和经营情况后，组成审计项目组。接受委派的注册会计师采取自上而下的方法，通过检查甲公司内部管理制度汇编、员工手册、组织结构图、业务流程图、岗位描述和权限指引等内部资料并结合询问、观察和穿行测试收集到的如下部分内部控制资料。

资料1：乙公司董事长由甲公司的总经理兼任，由于甲公司的总经理工作比较繁忙，经常要往返于国内国外之间，于是将乙公司的经营管理业务授权乙公司总经理全权负责。

资料2：乙公司召开董事会，总经理建议扩展公司业务，涉足房地产。公司独立董事对此提出异议，认为房地产正处于国家调控期间，且与本公司所处的行业关联度小，也没有从事房地产行业的经验和优势，主张在原行业进行扩张。但在表决时，由于董事长的坚定支持，总经理的提议以绝大多数票赞成通过。

资料3：随着国家对房地产业调控措施的加大，公司的房地产业遭受重创，损失近1000万元，但总经理未作出全面、冷静分析的情况下，仍主观认定房地产业将发生逆转，在随后的时间里，进一步加大房地产业的投入。为了满足不断增加的资金需求，乙公司总经理授意公司财务部将董事会明确规定有其他用途的1亿多资金用以房地产业。总经理对资金用途的行为，未向董事会报告；同时，对房地产业发生的损失，也未在公司财务报表中予以反映和披露。

资料4：尽管已在房地产业中遭受巨大损失，但乙公司总经理仍在公开场合表示，乙公司收入稳定，经营状况和财务状况良好。

资料5：乙公司《风险管理手册》中明确规定，《风险管理手册》中还规定公司的止损限额是每年500万元。但是，风险管理委员会没有进行任何必要的风险评估，审计部因直接受命于总经理而选择了附和，乙公司总经理为挽回损失一错再错，董事会对房地产业盈亏情况始终不知情。

资料6：董事长为了取得利润，采取了部分货款不入账的方法偷逃税款，而其中一个业务员在收回货款过程中知道了这个伎俩，该业务员利用有董事长的授权，可以带着合同章单独与客户签订合同，直接结算货款的便利，将货款100万元打入自有账户，被董事长发现后，并以举报偷税漏税相要挟，拒绝退还货款。

根据以上证据资料，分析得出甲公司在内部控制中存在的缺陷有：

——从控制环境看：

（1）董事长为了盈利不择手段，采取了偷逃税款的违法手段，导致业务员以此要挟私拿货款。如果董事长诚实守法，公司就会有个良好氛围，内部控制就有一个坚实基础。

（2）公司组织结构设计存在薄弱环节，董事长工作繁忙，长期在国内国外奔波，无法对乙公司进行管理，未能履行其职责，隔断了重大经营管理信息的顺畅流动，导致对公司重大决策的失察。

（3）董事会软弱无力，没有履行好对经理层的监管职责，没能及时掌握经营管理中的重大信息。

（4）权利和职责没有进行适当的分配，总经理的权限过大，独立董事被边缘化，导致公司做出的重大决策缺乏有效制约。

（5）总经理甲经营风格过于冒进，风险意识十分淡薄，在并不熟悉房地产业的情况下，贸然从事这一高风险业务。

（6）总经理在诚信和道德价值观方面存在严重问题，并向社会失实信息，欺骗投资者。

——从风险评估看：

（1）公司在事项识别时，放弃原本熟悉的行业市场，无视在原行业做大做强的潜在机会，而进入原本经验不足，与原行业无关的房地产业，承担了较高的行业风险。

（2）管理层未对房地产业的风险进行正确的评估，在房地产业持续低迷的情况下，未对其发展态势进行科学全面的分析，且没有认识到主观坚持而带来的巨大风险和严重后果。

（3）风险应对措施乏力，在房地产业开始出现较大损失的情况下，没有采取果断有力的措施将损失控制在可承受范围内，而是通过进一步加大投入给企业带来更大的风险和损失。

（4）公司财务部门未能及时评估、预警和报告填补房地产业窟窿可能引发的巨大财务风险，导致公司状况不断恶化。

（5）公司风险管理部门和人员对房地产业既未履行风险评估职责，也未履行风险提示、预警和报告职责

——从控制活动看：

（1）授权批准严重不当，董事长授权总经理全权负责经营管理事务导致对总经理监管的失控。

（2）由业务员全权办理销售业务的这个过程，从签订合同到收取货款，违背了不相容职务分离的原则，为舞弊行为提供了便利条件。

（3）对重大货币资金支付的控制薄弱，导致董事会明确规定有其他用途的资金被挪作房地产业。

（4）会计系统控制失效，房地产业的损失未被真实、完整地确认、计量、报告和披露；收入不入账，违背了客观性原则。

（5）内部审计控制失效，没有及时揭露房地产业中的错误行为和重大损失。

——从信息与沟通看：

（1）公司内部没有建立、形成一个畅通的信息收集、报告和反馈机制。

（2）董事会与风险管理委员会、经理层和审计部之间没有良好的沟通。

（3）董事会、董事长获取信息能力较弱，长期受经理层蒙蔽，没能及时掌握经营管理中的重大信息。

（4）企业与客户之间缺乏严格的对账制度，缺乏信息的有效沟通。

——从内部监督看：

公司缺乏对内部控制制度执行情况的个别评价和持续监控，导致内部控制制度在实践中没有得到有效执行。

参考文献：

[1]杨录强.内部控制制度存在的问题及其对策[J].财会通讯（理财版）. 2007（6）：105-106

[2]杨有红、汪薇.2006年沪市公司内部控制信息披露研究[J].会计研究.2008（3）：35-42

内部控制审计案例范文2

【关键词】 内部审计; 案例推理; 框架法

中图分类号：F239 文献标识码：A 文章编号：1004-5937（2014）34-0079-04

一、引言

中国内部审计协会颁布的《中国内部审计准则（2013）》对内部审计的定义为：“一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性及有效性，以促进组织完善治理、增加价值和实现目标。”由此，我国内部审计从单纯国家审计的附属发展为公司治理的“四大基石”之一。

作为企业管理中的监督环节和价值链管理的内容，国际上内部审计经历了内置、外包、内置的循环发展过程。笔者认为，随着风险管理及内部控制的加强，内部审计的增值作用将更加明显，职能进一步扩展，其在企业价值链上的地位将得到显著提高。而从我国内部审计的现状来看，还有很长的路要走。王玉兰和简燕玲（2012）发现在设置内部审计机构作为内部控制监督部门并在公开报告中明确实际履职范围的沪市728家上市公司中，内部审计机构实际履职范围涉及组织协调、内部控制建立、实施和日常管理的只有1家，占0.13%;涉及与外部审计沟通和与董事会或最高管理层交流的公司数量为0。张庆龙（2013）对405家企业的调研结果表明，60%的被调查者所在公司的内部审计功能定位核心是监督和查错防弊，只有21%的企业将内部审计功能定位于公司治理导向的价值增值，他认为，除了内部审计的理念落后外，缺少IT技术知识和信息技术的应用是造成审计质量不高的主要原因之一。

本文认为，财政部和中国内部审计协会的相关规范为内部审计在价值链上的地位提升提供了理念支持，可以预计，为了满足外部监管的需求，上市公司及相关企业也会在形式上作出回应。然而，内部审计作用的实质发挥是一个系统工程，需要理念、人力和技术的全面升级。要实现从事后变为事前的定位，必须改进内部审计技术，优化内部审计流程。现阶段知识管理的理念为内部审计流程优化提供了理论框架，信息技术的进步又为其提供了实现的可能性。因此，本文拟在内部审计中引入案例推理概念，运用现代信息技术，为内部审计在价值链中的实际嵌入提供一个可行的建设路径。

二、案例推理方法及在内部审计中应用的可行性

案例推理简称CBR，是人工智能的一种方法，最早出现在1982年美国人Roger Schank的《Dynamic Memory Revisited》一书中。案例推理方法是一种类比推理的方法，它基于人类的认知过程，以以前类似案例为基础，运用一定的计算方法，推理出新问题的解决方案。步骤分为：其一，按照一定的形式描述当前案例;其二，从案例库中检索出与当前问题相应的案例，若该案例与当前案例完全匹配，输出该案例的求解方案，否则修正该案例，形成当前问题的求解;其三，对当前案例的求解进行评价，并将新的案例加入到案例库中，作为以后案例求解的基础。与规则推理相比，该方法能够在信息不完全的情况下通过分析找到可行的解决方案，广泛应用于应急管理等多个领域。

基于案例的推理是否可以应用于内部审计呢？笔者认为，首先，从对内部审计的要求来看《国际内部审计专业实务框架》指出“内部审计部门的计划必须建立在有记录的风险评估基础上，并至少每年制定一次”“内部审计师必须充分了解关键信息技术风险和控制以及可以获得的利用技术的审计方法，以开展工作”“内部审计活动必须应用系统、规范的方法，评估并协助改善治理、风险管理和控制过程”“内部审计师必须制定用以实现业务目标的书面工作方案，工作方案中必须包括识别、分析、评估和记录信息的程序”。这些都对内部审计的知识管理提出了要求，从而从客观上形成了对信息技术在内部审计知识管理领域应用的需求。

其次，从内部审计的表现形式来看，几乎每一个内部审计项目都是一个案例。尽管这些案例的具体内容会有一定的不同，但是，毫无疑问，以往的审计项目一定会为未来的审计计划提供不同程度的借鉴，因此，在此领域应用案例推理技术本就具有基本的条件。

再次，传统的业务范围涉及到财务审计、经济责任审计、合规审计、基建工程项目审计等“确认活动”，总体而言是一种事后审计，除了审计的具体对象和凭证有一定差别外，审计的流程、方法基本都是一致的，具有内在的统一规律性，变化较少，但是，已有的审计案例对于以后年度审计项目的范围、方法、关注的风险重点都会有借鉴意义。因此，有建立案例库的必要性。

最后，随着内部审计的自身发展及在企业价值链地位的提升，案例推理的必要性日趋上升。尽管一些法定审计需要每年进行一次，但是每年严格执行这些审计已不能满足管理和法规的需要。内部审计行为必须应用风险评估和进行控制保证行为。与传统的审计计划根据标准的循环相比，企业经营过程中审计的频率更应该基于风险因素。从完善治理、增加价值角度看，涉及到战略与风险管理审计、知识审计以及其他“咨询活动”时，创新的要求和突破性思维以及前瞻性的眼光对内部审计的自我学习功能提出了挑战，每一个新的审计案例的解决都会进一步拓宽审计知识的覆盖面，以前案例的知识管理就更为重要。审计案例构成要素的多维度和灵活性，使得规则推理很难应用，而审计案例的共通性为建立统一的案例知识框架提供了可能，基于案例的推理技术也正是在此背景下理应在内部审计领域得到更为广阔的应用前景。

三、内部审计案例推理具体流程

CBR最基础的流程可以被定义为4R循环：Retrieve（检索）、Reuse（重用）、Revise（修改）、Retain（存储）。由此，可以建立其在内部审计中的应用框架，如图1所示。

按照图1的要求，将案例推理方法实际应用于内部审计领域，其一进行审计案例的整理和分类;其二要选择恰当的知识表示方法，在系统中建立案例库，同时也为新案例的描述提供框架;其三确定案例检索的算法;其四是明确案例的调整策略和学习策略，以解决新案例产生的问题;最后得出解决方案。

（一）案例的整理

案例库的质量以及在此基础上明确案例知识的表示方法和索引机制等是案例推理方法有效性的重要保证。而案例的搜集、整理和分类是案例库建立的基础，因此是一项非常重要的工作。

传统和法定内部审计项目的案例搜集相对比较简单，一般这些项目都会有成体系的审计计划和执行过程的记录，需要内部审计部门额外关注的是因企业发展过程中发生的各种风险而导致的审计项目的案例收集和整理工作。因为这些工作相对法定项目而言，具有变化多、范围广、突发性等特点，案例的相关要素可能在系统性和完整性方面需要重新整合。更进一步，考虑到内部审计重心的前移，凡是涉及到风险管理的案例都将成为内部审计的未来目标，因此，企业在生产和经营过程中因为内外部环境变化而引发的各种危机案例，都是需要重点搜集和整理的范畴，所以，企业内审部门需要对这些危机案例进行重点分析、整理和分类，按照其发生的领域和原因，如战略、信誉、经营、产品、环境、安全、财务等进行分类，从而为案例能够按照一定的结构组织并存储打下基础。

（二）案例表示

要构建案例库，必须确定案例库结构并选择适当的案例知识表示方式，它不仅是案例推理的数据基础，也关系到案例推理技术成功与否。合理的案例库结构以及案例的知识表示方式能够提高案例检索的精度和速度。更为甚者，当案例库中的案例达到一定的数量时，案例库的设计与组织比检索方法更加重要。

内部审计案例表示是将与审计项目相关的各种经验知识转化为计算机系统可以识别的信息。因此，有必要将一个审计项目的复杂特征，如事件描述、审计内容、审计人员安排、审计方法、审计流程、审计结论、审计建议、后续审计等，在计算机系统中命名为属性，用集合表达为A={A1，A2，A3，…，An}，其中的属性Ai（i=1，2，3，…，n），还可以进一步细分为更多层次（梁莱歆、冯延超，2010）。将案例信息存放在一系列相互关联的数据库中，利用关系数据库的索引技术，可以方便地建立案例索引。本文将在第四部分专门探讨内部审计案例的知识表示方法。

（三）案例检索

案例推理的关键步骤在于案例的匹配，也就是要从已有的案例库寻找新案例的解决方案，其主要依据就是审计项目属性的相似度。从检索的过程来看，审计案例的检索可以分为初步检索和案例匹配两个阶段。初步检索根据项目类型或风险区域等核心属性，从案例库中寻找出与之相似的大类审计项目。这个步骤的具体检索方法可以采用知识引导法。在此基础上，运用一定的算法，精确检验筛选出的项目与新项目的相似性，从而决定是否可以采用已有案例作为决策基础，这就是案例匹配。这个阶段的具体检索方法可以采用最近相邻法。基于风险防控的内部审计案例由于涉及的风险领域及风险特征存在差异，使得特征属性提取需要很好的储存结构。从案例库检索出来的以往审计案例，可能并不能直接运用于新审计项目，只能作为新项目的信息依据，因此在一定程度上会降低对特征值匹配度的精度要求。

（四）审计案例的学习机制

基于案例推理的系统有着机器学习的能力，在系统运行的过程中能够不断吸收新问题及其解决方案进入案例库从而使得系统更加完善。内部审计案例库的自我学习一般遵循如下规则：当新审计案例与案例库中源案例相似度很高，则不需要将新案例加入案例库;当新案审计例与案例库中源案例都不匹配，则可以将新案例加入案例库中;当新审计案例的相似度处于一个领域专家规定的范围内，可以经过案例修改存入生产新的解决方案，并添加入案例库中。由此可以不断丰富内部审计案例库。常规的法定审计项目推理成功的概率较大，因此很容易学习成功，而涉及风险管理及战略导向的内部审计项目的开创性和独特性特点，使检索到的匹配案例与新案例之间很难完全一致，则推理不成功，往往需要领域专家给出问题案例的解，并将问题案例作为新案例入库，从而完成案例库学习。该学习过程会不断丰富和完善审计项目案例库，从而增强内部审计的知识管理效果。

四、内部审计案例的知识表示方法

知识表示就是对于知识的一种描述的能被计算机识别的约定。CBR中用到的知识表示方法包括一阶谓词表示法、框架法、脚本法、过程表示法、语义网络法、面向对象表示法等。在CBR中，要表达的知识通常都是以案例的形式存在的，而要表现这些知识，则需要有一套完整的案例结构描述体系。框架法是一种概念化描述项目的办法，可以用一张简单的框图来清晰地分析一个复杂问题，这种结构的优点在于结构分明，易于理解。本文选择使用框架法来完成内部审计案例知识的表示。

在运用框架法的过程中，首先要确定案例描述的内容。在内部审计案例中必须描述的核心内容有以下几个方面：（1）审计案例的环境描述;（2）案例的风险描述;（3）审计过程描述;（4）审计证据描述;（5）审计结果描述。框架法的结构由“槽”和“侧面”构成。其中，“槽”用来描述对象的属性层次;侧面则是描述某个属性的某个方面。采用框架知识表示方法来描述内部审计案例如表1所示。

五、结语

借助现代化信息技术，内部审计活动和结果会直接影响管理层的活动，并与管理活动一起形成一个统一的结构或框架，体现出持续审计活动的整合性特征。案例推理具有记忆性，对同一个问题不用重复相同的过程，可以直接从案例库中得出结论。同时，该方法能够充分利用案例的隐性知识，通过案例推理的过程补充案例库中内部审计方案的不足，充分发挥领域专家在管理过程中的主导作用。本文将CBR引入内部审计领域，并运用框架法表示相关案例知识，对内部审计系统的信息化和智能化进行了有益的探索。该方法不仅能够处理定量因素，而且结合专家的知识和经验等，充分考虑定性因素的影响，从而为切实提升内部审计在企业价值链上的地位提供了新的路径。

【参考文献】

[1] 中国内部审计协会.中国内部审计准则2013[S].2013.

[2] 何卫红，赵佳.内部审计研究述评：2003―2009[J].审计研究，2011（1）：57-62.

[3] 王玉兰，简燕玲.上市公司内部审计机构设置及履行职责情况研究[J].审计研究，2012（1）：110-112.

[4] 张庆龙.我国企业内部审计职业通用胜任能力框架设计研究――基于问卷调查的分析[J].会计研究，2013（1）：84-92.

[5] Barletta B. An. Introduction to Case-Based Reasoning[J].AI Expert，1991（8）：58-66.

[6] 中国内部审计协会（译）.国际内部审计实务框架2009版[S].

[7] 梁莱歆，冯延超.基于案例推理的R&D 预算管理研究[J].科技进步与对策，2010（23）：12-15.

[8] 柳炳祥，盛昭翰.基于案例推理的企业危机预警系统设计[J].中国软科学，2003（3）：67-70.

[9] 赵卫东，李旗号，盛昭瀚.基于案例推理的决策问题求解研究[J].管理科学学报， 2000，3（4）：29-36.

[10] 仲秋雁，郭素，叶鑫，张英菊. 应急辅助决策中案例表示与检索方法研究[J].大连理工大学学报，2011（1）：137-142.

[11] 周凯波，魏莹，冯珊. 基于案例推理的金融危机预警支持系统[J].计算机工程与应用，2001（14）：18-21.

内部控制审计案例范文3

在专利审查实践中，笔者发现当审查员使用专利法第二条第二款评价专利申请，尤其是涉及计算机程序和商业方法的发明专利申请时，申请人和人常常不能完全理解审查意见，意见陈述答非所问，文本修改不合格，从而导致申请最终被驳回。

本文简单介绍了涉及专利法第二条第二款的发明专利申请的审查原则。审查员在对一项专利申请进行审查，判断其是否为不属于专利法第二条第二款规定的专利保护的客体时，审查对象是以该申请的权利要求所请求保护的技术方案为主，而说明书的内容主要用于解释权利要求所请求保护的技术方案。

在关于保护客体的实际审查中，涉及专利法第二条第二款的发明专利申请主要包括如下三种情况：属于专利法第二十五条第一款第(二)项规定的涉及“智力活动的规则和方法”的发明专利申请；涉及计算机程序的发明专利申请；涉及商业方法的发明专利申请。

案例评析

1.属于专利法第二十五条第一款第(二)项规定的涉及“智力活动的规则和方法”的发明专利申请

专利法第二十五条第一款第(二)项规定，对智力活动的规则和方法不授予专利权。

《专利审查指南》第二部分第一章第4.2节规定：“智力活动的规则和方法是指导人们进行思维、表述、判断和记忆的规则和方法。由于其没有采用技术手段或者利用自然规律，也未解决技术问题和产生技术效果，因而不构成技术方案。它既不符合专利法第二条第二款的规定，又属于专利法第二十五条第一款第(二)项规定的情形。因此，指导人们进行这类活动的规则和方法不能被授予专利权。”

案例1(专利申请号：200410065270.0)

权利要求1：一种裤子、裙子前后臀围区域的尺寸确定方法，特别是指把臀围分成前臀、后臀二个立体区域的尺寸确定方法。首先根据人体重心轴位置，及人体前后中心纵剖面，过重心轴线且垂直于前后中心纵剖面作纵剖面，该剖面分割于臀部，在臀部横剖面图上构成二个区域，前身部位的为前臀区、后身部位的为后臀区。

该申请涉及一种服装尺寸确定方法，该方式仅仅根据人体重心位置来规定了前后臀区，这是一种人为的规定，其特征不是技术特征，解决的问题也不是技术问题，因而不能构成技术手段，该权利要求限定的不是一个技术方案。该发明专利申请既不是专利法保护的客体，又属于专利法第二十五条第一款第(二)项所述的智力活动的规则和方法。对于这类权利要求审查员采取专利法第二条第二款或者第二十五条第一款第(二)项评价，申请人对审查结论也比较容易接受。

2.涉及计算机程序的发明专利申请

《专利审查指南》用一整章对涉及计算机程序的发明专利申请的审查作出了具体规定，足以说明这类发明专利申请具有一定的特殊性。而现行的审查原则是，先判断权利要求请求保护的主题是否涉及计算机程序的专利申请，如果涉及的话，则需要考量该项技术方案是否解决了技术问题，是否采用了技术手段，是否获得了技术效果。

案例2(专利申请号：200910126845.4)

权利要求1：一种机器人的动作富裕量运算显示方法，包括：第1步骤，针对机器人的示教程序中所含的多个示教点的每一个示教点，使表示上述机器人的位置姿势的多个参数中的1个参数或多个参数变化，来计算表示在上述机器人的各关节的动作范围内从上述示教点起算能连续动作的区域的动作富裕量；以及第2步骤，用数值定量地显示各示教点的上述动作富裕量。

本申请涉及工业用机器人的控制。而独立权利要求1的方案要求保护一种机器人的动作富裕量运算显示方法，此为涉及计算机程序的主题。

权利要求1的技术方案的主要内容是利用计算机模拟实际机器人的位置姿势参数，计算富裕量并显示出来。该技术方案实质上是在计算机上仿真机器人的动作，同时计算并显示参数值，该技术方案并没有给计算机以及机器人的内部性能带来改进，也没有给计算机以及机器人的构成或功能带来任何技术上的改变。

尽管说明书中描述了一个对机器人进行控制的技术方案，然而权利要求1所请求保护的只是上述技术方案中的一个仿真步骤，并且从属权利要求2～7的内容也不涉及反馈控制。仅针对该权利要求而言，该方案解决的问题是如何向操作人员直观表达机器人的动作富裕量，其不是技术问题；采用的手段是：变化参数(在计算程序中调整，不是针对机器人的实际调整)――计算(在计算机上通过逆运动学算法模拟实际情况计算)――显示计算结果，其中未采用符合自然规律的技术手段；获得的效果仅仅是模拟实际情况计算得到动作富裕量的数值并加以显示，不是技术效果。由于这些权利要求的方案所解决的问题、采用的手段、获得的效果都是非技术性的，因而不是一种技术方案，不符合专利法第二条第二款的规定，因此不能被授予专利权。

根据《专利审查指南》第二部分第九章的规定可知：如果涉及计算机程序的发明专利申请的解决方案执行计算机程序的目的是为了对外部或内部对象进行遵循自然规律的控制或处理，为了实现一种工业过程、测量或测试过程控制、为了处理外部技术数据、为了改善计算机系统内部性能，则属于专利保护的客体。

但如果涉及计算机程序的发明专利申请的解决方案执行计算机程序的目的不是解决技术问题，或者在计算机上运行计算机程序从而对外部或内部对象进行控制或处理所反映的不是利用自然规律的技术手段，或者获得的不是受自然规律约束的效果，则这种解决方案不属于专利法第二条第二款所说的技术方案，不属于专利保护的客体。

而上述案例中的权利要求所请求技术方案从整体上来看，仅是仿真机器人动作，并未对外部或内部对象进行遵循自然规律的控制或处理，也没有实现一种工业过程、测量或测试过程控制、也不是处理外部技术数据、也不是改善计算机系统内部性能。因此，该技术方案不是可授权的客体。但是该项专利申请的说明书中所描述的对机器人进行控制的技术方案，是一种工业上的过程控制，其为可授权的客体。

3.涉及商业方法的发明专利申请

涉及商业方法的发明专利申请与涉及计算机程序的一样，也具有一定的特殊性，并且由于在《中华人民共和国专利法》《中华人民共和国专利法实施条例》《专利审查指南》中对于这类发明专利申请的审查还没有明文规定，因此申请人和人容易误解这类专利申请的审查意见。1992～2000年，花旗银行在中国申请注册19项金融产品类“商业方法”专利。此事被曝光之后引起了强烈反响，为了谨慎起见，自此专利局对这类申请的审查更为严格，并从上到下形成一种共识，即在明确的开放政策出台之前应当尽可能将这类申请拒之门外，以避免陷入被动的局面。

涉及商业方法的发明专利申请有2种情况：单纯的商业方法；权利要求的部分特征属于商业方法。首

先，单纯的商业方法仅仅是人类智力活动创设的规则和方法，具有主观性，而不是利用自然规律的技术方案。然而，随着电子商务的兴起，越来越多的商业方法发明披上了技术的外衣，这就是第二种情况。对于属于第二种情况的专利申请，虽然没有明文规定，但迄今为止专利局对涉及商业方法的发明仍然倾向于不给予专利保护，而这种倾向不予保护的涉及商业方法的发明特指那些仅利用现有技术(主要是公知的硬件系统)来实现的商业方法。但是对于那些相对现有技术具有技术性贡献(例如硬件结构的改进)的发明，即使包含了商业方法，按照专利法的规定，必须考虑这部分技术性贡献的内容，不应当将方案排除于授权客体之外，这与其他国家的做法没有什么区别。

目前，专利局对于涉及商业方法的专利申请的审查流程如图1所示。

案例3(专利申请号：200810241845.4)

权利要求1：一种医疗设备IC卡扣费管理系统，其特征在于：

所支持的IC卡如下：母卡、白卡、批次卡和一次卡，包括服务器及其控制的母卡发卡机和子卡发卡机，以及至少一个客户机及其控制的刷卡机；

所述服务器是至少包含键盘、显示器、存储设备、串口和网络设备、且安装有IC卡扣费管理系统软件包的计算机；

所述母卡发卡机由所述服务器控制制作唯一母卡和批量白卡；

所述子卡发卡机由所述服务器控制被母卡初始化，以及由所述服务器控制制作批次卡和批量一次卡；

所述客户机控制所述刷卡机被批次卡系统初始化和扣费；

所述刷卡机由所述服务器控制被母卡出厂初始化，以及由所述客户机控制被批次卡系统初始化和对一次卡刷卡扣费。

该申请涉及一种医疗设备IC卡扣费管理系统，其目的在于在医疗设备的经营过程中监管医疗设备使用情况，保证各方按照实际使用情况分享利润。权利要求1所述的医疗设备IC卡扣费管理系统，实质上是利用公知的服务器、发卡机以及刷卡机，来实现对医疗设备使用情况的监管，从而达到合理分配利润的目的。因此，本案中所要解决的问题是对医疗设备的经营情况进行全面掌控管理，所述方案是一种人为规定的设备监管规则，本案的发明目的和实施所述方案获得的效果都不是技术性的，其实际上是利用公知的技术手段来实现一种商业管理的规则。因此，权利要求1不属于专利法第二条第二款规定的技术方案，不是专利保护的客体。总结

上述三个案例，尤其是对于案例2和案例3，申请人比较容易误解审查意见。案例2中，申请人很难理解审查意见中计算和显示这一手段不是技术手段的评述，而案例3中，申请人很难理解为什么不整体判断而是将技术方案分割开来。要解决上述问题，首先要明确“技术”的含义。

“技术”向来是专利制度中的一个非常关键的概念，而在专利审查实践中对技术的认定常常是争论的焦点。但是究竟什么是“技术”，或者更进一步而言，什么是专利法意义上的“技术”，《中华人民共和国专利法》《中华人民共和国专利法实施条例》以及《专利审查指南》都没有给出明确的定义。“技术”一词的英文是“technology”，来源于古希腊的“Techno”与“Logy”两个词，前者的原意是“(应用于工业的)实用科学”，后者的原意是“系统的学问(或理论)”。《现代汉语词典》中的解释是：“人类在认识自然和利用自然的过程中积累起来并在生产劳动中体现出来的经验和知识，也泛指其他操作方面的技巧；也指技术装备”。

笔者在实践中经常看到申请人和人在意见陈述中引用上述定义，然而，专利法意义上的“技术”是比广泛意义上的“技术”一词更为狭义的概念。因为按照上面给出的广泛意义上的词义解释，“技术”是包括规章制度和操作方面的技巧和技能的，而在专利领域，人为创设出来的规则和与人为创设的规则有关的技巧和技能，例如管理技术、立法技术等等，都不属于专利法意义上的“技术”。

在《专利审查指南》中虽然没有明确定义技术的概念，但是明确了技术必须利用了自然规律，因而“是否是利用自然规律的结果”是专利法意义上的“技术”与“非技术”的区别点。专利制度设立的初衷是为了推动科学技术的进步，而不是为了束缚人类的思想，如果对非技术的方案给予独占或排他的权利，既不具有客观稳定的结果，又会大大限制人的思维活动，因此获得专利保护的客体应当具备技术性。

如此一来，之前的问题就容易解释了。案例2的实质内容是仿真机器人的动作，而仿真只是一种模仿，没有利用自然规律，此外机器人的动作由人操纵的也并非是依据自然规律的结果，由此可知，其所采用的手段(例如计算和显示)也不属于技术手段，案例2的方案并不是利用了自然规律的结果，不属于专利法意义上的技术范畴。但同样的手段(例如计算和显示)在其他技术方案中可以属于技术手段，假设案例2的请求保护的主题是机器人控制方法，该方案中同样采用了计算和显示的手段。由于机器人控制方法必须利用控制规律(自然规律)，因此其采用的手段属于技术手段，机器人控制方法属于技术方案。

内部控制审计案例范文4

近年来，在美国上市的公司正受到萨班斯-奥克斯利法案(the Sarbanes-Oxley Act of 2002, 简称SOX法案)的影响。尤其随着其第404条款的逐渐实施，该法案的影响正在席卷全球，包括美国上市公司的中国分公司。可以说，SOX法案对全球的影响力直逼上世纪的“千年虫”事件，由于SOX法案的相对完善性，研究SOX法案对中国公司也有很强的借鉴意义。尤其SOX法案对信息化的要求严格，从公司治理和IT治理的高度提出IT内部控制的要求。

对于上市公司或者希望借鉴上市公司经验的公司来说，应该如何改进自身的IT控制水平？又应该如何治理IT以保证财务报告内部控制的有效性？ 来看一个实际的案例，A公司是一家财富500强企业，全球五大制药公司之一。该公司在全球拥有58000余名员工，年销售收入超过180亿美元，年利润超过40亿美元。随着SOX法案第404条款的实施，一家会计师事务所将对其IT内部控制进行审计。因此，该公司计划在全球信息服务(IS)部门推行合规项目。项目分为以下几个步骤，如图1所示。

精通SOX

SOX法案的产生源自于公司操作的不规范和公司丑闻的披露。它对公司治理有着极为严格和苛刻的要求，要求公司针对产生财务交易的所有作业流程，都做到能见度、透明度、控制、通讯、风险管理和欺诈防范，且这些流程必须详细记录到可追查交易源头的地步。

所有人都清楚IT在现代企业中扮演着重要的角色。在很多公司内部，财务报告流程是由IT系统驱动的。无论是ERP还是其他系统，都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。可以说，IT是保证财务报告内部控制的有效性的基础，IT控制至关重要。

从IT控制的范围来说，IT控制通常包括IT控制环境、计算机运维、系统和数据的访问、系统开发和系统变更。IT控制有一个治理框架，即COBIT框架。COBIT的全称是信息及相关技术的控制目标(Control Objectives for Information and related Technology)。COBIT将IT流程、IT资源及信息与企业的策略与目标联系起来，在企业业务战略指导下，对信息及相关资源进行规划与处理。

制定项目计划

项目计划主要活动包括选择合适的团队和制定详细的项目计划。各国分公司团队组成情况各不相同，以中国区分公司为例，项目团队以中国区CEO、IS部门总监、IS经理和外部咨询顾问组成。对于SOX合规项目，可以采用“差距分析”方法来进行。

风险控制矩阵(Risk and Control Matrices，RCM)是差距分析和审计过程中的一个关键文档。RCM为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。制定RCM可以从以下三点来考虑。首先，是否已识别出了所有风险？其次，已识别的风险是否都与财务交易相关？最后，对于每一个风险，有什么对应的控制？

差距通常可以分为人员差距、流程差距和技术差距。例如，系统日志可以记录系统运维状态，但是如果加上适当的过滤工具，就可以保证对关键的突发事件及时的响应，相关人员不在现场也不会造成不能及时响应。

开展控制评估

第一步，要确定评估的控制范围，可以分为四个步骤：首先，确定财务报告流程中的核心要

素；其次，识别关键的业务流程；再次，确定IT系统范围；最后，确定地理位置的范围。该公司中国区项目组根据财务交易活动，确定了关键的业务流程、支持系统和所在的位置。

第二步，在这些选定的范围内进行风险评估。风险评估使公司更加清晰地认识到，意外事件的发生将如何限制业务目标的达成。风险评估的目的就是辨别潜藏的内在风险与残存风险。

第三步，识别主要控制。对于公司和IT系统来说，存在三种控制：公司级控制、应用控制和通用控制。公司级控制的评估主要包括“高层的声音”(Tone at the top)、诚信、价值观与竞争力、管理哲学与运营风格、权责分配、政策与流程、员工的水平和技能、高层管理者的指示。应用控制主要适用于IT系统所支持的业务流程，以及被设计用来预防或探测非授权业务活动的控制。通用控制用于所有的信息系统，保证安全连续的运作。对这些流程和系统进行风险和控制评估后，就可以制定风险控制矩阵(RCM)。

该公司识别出来的风险涉及领域主要有：制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。

进行控制设计

为了减少这些风险，中国区分公司进行了控制的优化与设计。在公司级控制方面，创建或优化各个制度，包括IS战略计划、逻辑访问控制制度、物理访问控制制度、第三方访问控制制度、环境控制制度、变更管理制度、业务连续性计划及灾备制度等。

在应用、流程及通用控制方面，创建和优化了流程，为重要的流程和应用系统设计了一系列文档，设计的主要流程包括采购管理、资产管理、系统开发生命周期(SDLC)管理、用户管理流程、变更管理流程、第三方访问权管理流程等。

进行内部审计

在控制文档设计完毕后，需要先进行一次内部审计，沟通风险控制矩阵、确定审计范围、制定测试脚本。对于测试不合格的控制，需要纠正缺陷、完善控制的设计与运维，以确保其有效性。

报告管理层

在内部审计通过后，管理层形成正式的书面内部控制结论，迎接外部审计。

在此案例中，需要重点关注的是公司有哪些重要的流程和控制，有哪些相关的风险和需要哪些相关的控制，以及如何设计与评估控制。通常来说，SOX合规项目会非常费时，成本也较高。不过，可以通过外部咨询公司帮助企业做一个快速诊断，以寻找从哪些地方入手做关键改进。

对于大多数公司来说，要达到SOX法案的要求，需要从文化上去改变。从历史事件来看，内部控制有重大缺陷会对整个公司造成灾难，因此主动地去提升内部控制，显得至关重要。

链接:中国企业IT内审的难点

1. 企业在观念上对IT内审的重视程度不够；

2. 企业IT内审的组织架构不清晰，因为IT内审既涉及IT，又包含审计的内容，很多企业不知道该由哪个部门来推动；

内部控制审计案例范文5

一、内部控制的概念和内部控制审计的作用

（一）内部控制是管理者为了维护财产物资的安全完整，保证信息的真实可靠，保证经营管理活动的性、效率性和效果性，以及各项规范的遵循性，而对经济管理活动进行调整、检查和制约所形成的内部管理机制，是组织为实现管理目标而形成的自控系统。

（二）内部控制审计的作用是指审计人员对被审计单位内部控制的调查、测试和评价，即通过调查了解被审计单位内部控制的建立和实施情况，并进行相关测试来对其健全性和有效性做出评价，据以确定实质性测试的范围、重点和规模。它可以减少对报表项目和相关账户的测试工作量，提高审计结论的可信度，保证审计工作质量，提高审计工作效率。同时，通过内部控制的检查，可以向被审计单位管理者指出其内部控制系统存在的薄弱环节，并提出纠正和完善的建议和措施。

二、内部控制审计的程序与方法

从审计工作实际考虑，内部控制审计的程序和方法主要有以下几个步骤：

第一，调查内部控制的建立情况；

第二，初步评价内部控制的健全性，确认内部控制风险，确定内部控制是否可依赖；

第三，符合性测试；

第四，对内部控制做出评价，据以制定实质性审计方案。

（一）调查内部控制的建立情况。

1.调查内部控制环境。对一个公司的内部控制环境进行调查，可采取预先设计好的问卷调查。同时，还要审阅被审计单位的政策和制度手册、会计凭证和相关原始记录。内部控制环境调查主要包括下列：

（1）决策和管理层方面。公司领导能否有效地对经营管理实施控制，公司是通过哪些措施实施控制的，重大投资、购置重要资产、长期工程签订重要经济合同或协议是否经总经理核准，高层管理人员是否能及时采纳外部、内部审计人员所提出的审计建议，公司领导层是否参与资金预算的编制和审核，公司领导层是否对经营业务和财务管理中的失控情况及时采取应急措施，使之恢复正常。

（2）组织机构方面。公司在重大生产经营方面的决策权限是否划分清楚，各部门所拥有的权力和应承担的责任是否有明确规定。

（3）管理制度方面。重大投资和资产购置是否有可行性并经财务部门会审制度，公司内部是否有较严格的经济责任制并对完成情况进行考核，是否有资金预算管理制度、资金归口管理制度、资产定期盘点制度。

（4）信息系统方面。会计信息及相关业务信息的报告制度是否健全，总经理在控制、评估业务活动时是否使用会计、统计和业务资料。

（5）内部审计方面。公司是否建立了内部审计机构，内审工作是否富有成效。

（6）财务主管方面。财务主管是否能参与公司生产经营的重大决策，对重大支出是否亲自核准。

（7）会计机构人员方面。业务分工是否明确并坚持批准、执行和记录职能分开的内部牵制原则，会计人员离职或轮换是否办理交接手续。

（8）会计核算与管理方面。原始凭证是否经稽核人员和有关领导审核，是否有企业财务收支审批制度，是否有会计核算业务手册。

通过对上述内部控制环境信息的调查，评价该公司领导层和管理部门对控制重要性的态度和意识。

2.以物资采购与付款内部控制为例，进一步说明具体业务内部控制点的调查方法。物资采购与付款内部控制是依据公认的管理规则和被审计单位的模式来设计的，它应包括下列内容：

（1）管理环境。采购、财会、验收货物、运输部门是否相互独立，货物验收报告是否分别送交采购部门、存货保管部门、财会部门，未经批准不得存取空白支票，除零星现金外付款必须用支票或通过银行结算，支票及在银行备案的印鉴应由两人分管，不允许签发空白支票。

（2）有效性目标。应付账款登记入账前，应将供应商的发货单应与购货发票、货物验收报告相核对；供应商发货单、验收报告、购货发票应由支票签发人员检查；付款凭证在交回付款会计登账前加盖“付讫”印鉴，以防重复汇付；支票只能由出纳人员汇付。

（3）完整性目标。购货发票和货物验收报告是否预先编号，并且经常按顺序检查，防止丢失。货物拒收退回供应商后，是否及时通知付款会计，供应商发货单是否根据收到日期顺序列出清单，未核对的验收报告是否经常与有关凭证、记录相核对。

（4）批准性目标。需采购项目是否经常收到竞争性报价，采购部门对此是否认真检查；每一项采购是否都经过招投标、货比三家并经领导批准；采购是否由专职采购人员按规定的采购程序进行；支付货款的凭证是否经有关领导批准；签发支票要求两人签章，以实施双重控制。

（5）正确性目标。购入货物的数量、质量是否由独立于采购部门的验收人员来检验；付款会计是否将供应商发货单明细与购货发票、货物验收报告的数量、单价、时间相核对；现金保管和银行、现金账簿登记人员不得核对银行对账单。

（6）归属期目标。会计手册是否规定采购、应付账款入账日期填列应采用收到货物日期，现金支出日记账登记日与支票签发日应相一致。

（二）初步评价内部控制的健全性，确认内部控制风险，确定内部控制是否可依赖。

在对控制环境和具体业务进行调查，对被审计单位内部控制有了一个初步的认识的基础上，应对内部控制的可依赖程度做出初步评价。

1.对内部控制健全性的评价。健全性评价不取决于被审计单位所建立的相关内部控制制度的数量多少，而是要内部控制中是否建立了与上述调查内容相同或功能相同的关键控制点。

2.确认内部控制风险，确定内部控制是否可依赖。内部控制风险确定可采用每点得分制，每建立一个控制点得10分，没有建立控制点或控制点不适用的不得分。用控制点总得分与设计控制点总分相比：

（1）得分比例在75%以上的，可确认为控制风险估计水平“低”，内部控制可依赖程度“高”；

（2）得分比例在50%-75%之间的，可确认为控制风险估计水平“中”，内部控制可依赖程度“中”；

（3）得分比例在25%-50%之间的，可确认为控制风险估计水平“高”，内部控制可依赖程度“低”；

（4）得分比例在25%以下的，可确认为控制风险估计水平“最高”，内部控制不能依赖。

（三）内部控制符合性测试。

通过对内部控制进行初步评价，可基本掌握被审计单位内部控制的强弱环节，为进行符合性测试确定了一个前提。内部控制的符合性测试是针对被审计单位内部控制强度令人满意的部分才须进行符合测试。它的主要目的是，确定被审计单位的各项措施是否真实地存在于经营业务和财务活动之中，所有工作人员在实际执行内部控制过程中是否确实遵守了内部控制的规定，内部控制本身是否有效。

内部控制符合性测试主要以“证据检查法”为主，“询问”、“现场观察”相结合的。测试范围和符合性测试规模的大小，取决于内部控制初步评价中的风险估计水平。风险估计水平低的测试范围就大，风险估计水平高的测试范围就小或直接列入实质性审计的范围。以物资采购与付款内部控制为例，符合性测试程序应包括下列：

1.抽取购货合同（或其他凭证），对购货合同及请购单的下列内容进行核对：

（1）货物名称、规格、型号、请购量；

（2）授权批准、批准采购量、采购报价；

（3）单价、合计金额等。

2.审核与所抽取购货合同有关的供应发票、验收报告、入库单、付款结算凭证、记账凭证，并追查至相关的明细与总账。

3.付款业务内部控制的符合性测试。抽取付款凭证作如下检查：

（1）检查是否实行费用预算控制，是否明确款项支付权限；

（2）编制付款凭证时是否与定货合同、验收单和发票相核对；

（3）检查支付货款的付款凭证和银行存款日记账及有关明细账、总账的记录是否正确；

（4）核对检查计入有关明细账户的原始凭证，如订货单、验收单、购买发票的正确性、合法性及其金额是否与相关明细账一致，有关凭证是否经过批准；

（5）款项支付凭证是否及时入账，货款支出与记账的职责是否分离。

（四）内部控制的最终评价。

在符合性测试中，审计人员会发现被审计单位虽然建立了内部控制但没有完全遵守，有些内部控制没有得到执行，形成部分内部控制本身无效。这就要对被审计单位的内部控制风险估计水平进行调整并做出综合评价，然后利用评价结果制定出实质性审计方案。综合评价的主要内容有：

1.重新调整内部控制的可依赖程度，制定出实质性审计方案。

审计人员在经过内部控制测试后，若发现部分内部控制没有得到切实执行，就应根据内部控制测试结果对内部控制的风险估计水平和可靠性重新进行调整。调整方式是适当扩大实质性审计的范围，即对符合性测试中执行无效的内部控制内容扩大为实质性审计的范围。

2.针对内部控制的缺陷，制定出实质性审计方案。

内部控制测试后，审计人员对内部控制存在的具体缺陷有了初步的了解，但这些缺陷对账户余额产生的只有对账户余额进行实质性审计才能发现。因此，应制定出下一步实质性审计方案，其方案的审计范围应为在初步评价中不得分的内部控制内容和符合性测试中存在缺陷的内部控制内容。

内部控制审计案例范文6

关键词：内部控制 课程体系 案例教学

0 引言

从国内外看，内部控制是企业、非营利组织及政府机构抵御外部风险、防止财务舞弊、提升管理绩效、实现可持续发展的有效途径。内部控制的理论研究、实务操作、人才培养将是未来中国理论界、实务界、教育界所面临的一项长期的系统工程。

1 内部控制课程设置的必要性

1.1 胜任CFO能力框架的构成部分 按照CFO能力框架的要求，CFO核心课程模块包括核心知识、核心技能和职业价值观三大类（上海国家会计学院，P109）。而核心知识包括战略管理、公司治理、财务战略、财务报告、成本管理、风险管理、购并与重组、税收筹划、价值管理与全面预算管理、内部控制与审计、财务分析与预测、财务信息系统与ERP、经管责任与资产管理等。内部控制与审计是企业资产管理和监督的重要机制，CFO在其中要发挥重要作用。在内部控制与审计方面应该掌握的知识包括：①内部控制机制的设计、实施与基本原理，从软件和硬件上来保证内部控制制度的效果和实施；②掌握内部审计的操作流程和制度规范，起到内部监督的作用。

1.2 国内外企业内部控制缺失现状 进入21世纪后，经营环境日益复杂，来自企业内外的风险冲击更加猛烈。从国外看，英国巴林银行由于交易员里森越权违规操作酿成大祸，在14亿美元的巨亏下，巴林银行接受破产的命运；美国的能源巨头安然公司，因财务报表舞弊难以掩盖其经营失败，最终公司倒闭；华尔街五大投行之一的雷曼兄弟，大量投资次贷衍生金融产品，在金融危机中陷入“死亡泥沼”。从国内看，中航油（新加坡）公司原总裁陈久霖期权交易违规操作，最终造成5亿多美元的亏损；邯郸农行两位金库管理员盗取金库资金5100万元；三鹿集团漠视原材料质量控制，导致生产出毒奶粉危害消费者生命安全；双汇瘦肉精事件；新华制药被信永中和出具否定意见内部控制审计报告。诸如此类违法违规、职务欺诈、财务舞弊、经营失败等案件几乎可以天天见诸国内外媒体，而且还仅是“冰山一角”。案件背后的原因是共同的：缺乏对风险的有效防范和控制，风险日积月累，终于一发不可收拾。世界范围内对风险导向内部控制的呼声越来越高，对于我国的企业来说，这个问题更为严峻。继美国颁布“奥克斯利——萨宾斯法案”之后，我国内部控制规范体系的研究和制定日益受到重视。要完善企业的内部控制规范体系，需要实业界和教育界的共同努力。对于培养高级会计应用人才的高校来说，要培养胜任的内部控制人才，离不开卓越的师资、完善的课程设置和有效的教学方法。

2 完善《内部控制》课程体系