内部控制审计案例范文

在专利审查实践中，笔者发现当审查员使用专利法第二条第二款评价专利申请，尤其是涉及计算机程序和商业方法的发明专利申请时，申请人和人常常不能完全理解审查意见，意见陈述答非所问，文本修改不合格，从而导致申请最终被驳回。

本文简单介绍了涉及专利法第二条第二款的发明专利申请的审查原则。审查员在对一项专利申请进行审查，判断其是否为不属于专利法第二条第二款规定的专利保护的客体时，审查对象是以该申请的权利要求所请求保护的技术方案为主，而说明书的内容主要用于解释权利要求所请求保护的技术方案。

在关于保护客体的实际审查中，涉及专利法第二条第二款的发明专利申请主要包括如下三种情况：属于专利法第二十五条第一款第(二)项规定的涉及“智力活动的规则和方法”的发明专利申请；涉及计算机程序的发明专利申请；涉及商业方法的发明专利申请。

案例评析

1.属于专利法第二十五条第一款第(二)项规定的涉及“智力活动的规则和方法”的发明专利申请

专利法第二十五条第一款第(二)项规定，对智力活动的规则和方法不授予专利权。

《专利审查指南》第二部分第一章第4.2节规定：“智力活动的规则和方法是指导人们进行思维、表述、判断和记忆的规则和方法。由于其没有采用技术手段或者利用自然规律，也未解决技术问题和产生技术效果，因而不构成技术方案。它既不符合专利法第二条第二款的规定，又属于专利法第二十五条第一款第(二)项规定的情形。因此，指导人们进行这类活动的规则和方法不能被授予专利权。”

案例1(专利申请号：200410065270.0)

权利要求1：一种裤子、裙子前后臀围区域的尺寸确定方法，特别是指把臀围分成前臀、后臀二个立体区域的尺寸确定方法。首先根据人体重心轴位置，及人体前后中心纵剖面，过重心轴线且垂直于前后中心纵剖面作纵剖面，该剖面分割于臀部，在臀部横剖面图上构成二个区域，前身部位的为前臀区、后身部位的为后臀区。

该申请涉及一种服装尺寸确定方法，该方式仅仅根据人体重心位置来规定了前后臀区，这是一种人为的规定，其特征不是技术特征，解决的问题也不是技术问题，因而不能构成技术手段，该权利要求限定的不是一个技术方案。该发明专利申请既不是专利法保护的客体，又属于专利法第二十五条第一款第(二)项所述的智力活动的规则和方法。对于这类权利要求审查员采取专利法第二条第二款或者第二十五条第一款第(二)项评价，申请人对审查结论也比较容易接受。

2.涉及计算机程序的发明专利申请

《专利审查指南》用一整章对涉及计算机程序的发明专利申请的审查作出了具体规定，足以说明这类发明专利申请具有一定的特殊性。而现行的审查原则是，先判断权利要求请求保护的主题是否涉及计算机程序的专利申请，如果涉及的话，则需要考量该项技术方案是否解决了技术问题，是否采用了技术手段，是否获得了技术效果。

案例2(专利申请号：200910126845.4)

权利要求1：一种机器人的动作富裕量运算显示方法，包括：第1步骤，针对机器人的示教程序中所含的多个示教点的每一个示教点，使表示上述机器人的位置姿势的多个参数中的1个参数或多个参数变化，来计算表示在上述机器人的各关节的动作范围内从上述示教点起算能连续动作的区域的动作富裕量；以及第2步骤，用数值定量地显示各示教点的上述动作富裕量。

本申请涉及工业用机器人的控制。而独立权利要求1的方案要求保护一种机器人的动作富裕量运算显示方法，此为涉及计算机程序的主题。

权利要求1的技术方案的主要内容是利用计算机模拟实际机器人的位置姿势参数，计算富裕量并显示出来。该技术方案实质上是在计算机上仿真机器人的动作，同时计算并显示参数值，该技术方案并没有给计算机以及机器人的内部性能带来改进，也没有给计算机以及机器人的构成或功能带来任何技术上的改变。

尽管说明书中描述了一个对机器人进行控制的技术方案，然而权利要求1所请求保护的只是上述技术方案中的一个仿真步骤，并且从属权利要求2～7的内容也不涉及反馈控制。仅针对该权利要求而言，该方案解决的问题是如何向操作人员直观表达机器人的动作富裕量，其不是技术问题；采用的手段是：变化参数(在计算程序中调整，不是针对机器人的实际调整)――计算(在计算机上通过逆运动学算法模拟实际情况计算)――显示计算结果，其中未采用符合自然规律的技术手段；获得的效果仅仅是模拟实际情况计算得到动作富裕量的数值并加以显示，不是技术效果。由于这些权利要求的方案所解决的问题、采用的手段、获得的效果都是非技术性的，因而不是一种技术方案，不符合专利法第二条第二款的规定，因此不能被授予专利权。

根据《专利审查指南》第二部分第九章的规定可知：如果涉及计算机程序的发明专利申请的解决方案执行计算机程序的目的是为了对外部或内部对象进行遵循自然规律的控制或处理，为了实现一种工业过程、测量或测试过程控制、为了处理外部技术数据、为了改善计算机系统内部性能，则属于专利保护的客体。

但如果涉及计算机程序的发明专利申请的解决方案执行计算机程序的目的不是解决技术问题，或者在计算机上运行计算机程序从而对外部或内部对象进行控制或处理所反映的不是利用自然规律的技术手段，或者获得的不是受自然规律约束的效果，则这种解决方案不属于专利法第二条第二款所说的技术方案，不属于专利保护的客体。

而上述案例中的权利要求所请求技术方案从整体上来看，仅是仿真机器人动作，并未对外部或内部对象进行遵循自然规律的控制或处理，也没有实现一种工业过程、测量或测试过程控制、也不是处理外部技术数据、也不是改善计算机系统内部性能。因此，该技术方案不是可授权的客体。但是该项专利申请的说明书中所描述的对机器人进行控制的技术方案，是一种工业上的过程控制，其为可授权的客体。

3.涉及商业方法的发明专利申请

涉及商业方法的发明专利申请与涉及计算机程序的一样，也具有一定的特殊性，并且由于在《中华人民共和国专利法》《中华人民共和国专利法实施条例》《专利审查指南》中对于这类发明专利申请的审查还没有明文规定，因此申请人和人容易误解这类专利申请的审查意见。1992～2000年，花旗银行在中国申请注册19项金融产品类“商业方法”专利。此事被曝光之后引起了强烈反响，为了谨慎起见，自此专利局对这类申请的审查更为严格，并从上到下形成一种共识，即在明确的开放政策出台之前应当尽可能将这类申请拒之门外，以避免陷入被动的局面。

涉及商业方法的发明专利申请有2种情况：单纯的商业方法；权利要求的部分特征属于商业方法。首

先，单纯的商业方法仅仅是人类智力活动创设的规则和方法，具有主观性，而不是利用自然规律的技术方案。然而，随着电子商务的兴起，越来越多的商业方法发明披上了技术的外衣，这就是第二种情况。对于属于第二种情况的专利申请，虽然没有明文规定，但迄今为止专利局对涉及商业方法的发明仍然倾向于不给予专利保护，而这种倾向不予保护的涉及商业方法的发明特指那些仅利用现有技术(主要是公知的硬件系统)来实现的商业方法。但是对于那些相对现有技术具有技术性贡献(例如硬件结构的改进)的发明，即使包含了商业方法，按照专利法的规定，必须考虑这部分技术性贡献的内容，不应当将方案排除于授权客体之外，这与其他国家的做法没有什么区别。

目前，专利局对于涉及商业方法的专利申请的审查流程如图1所示。

案例3(专利申请号：200810241845.4)

权利要求1：一种医疗设备IC卡扣费管理系统，其特征在于：

所支持的IC卡如下：母卡、白卡、批次卡和一次卡，包括服务器及其控制的母卡发卡机和子卡发卡机，以及至少一个客户机及其控制的刷卡机；

所述服务器是至少包含键盘、显示器、存储设备、串口和网络设备、且安装有IC卡扣费管理系统软件包的计算机；

所述母卡发卡机由所述服务器控制制作唯一母卡和批量白卡；

所述子卡发卡机由所述服务器控制被母卡初始化，以及由所述服务器控制制作批次卡和批量一次卡；

所述客户机控制所述刷卡机被批次卡系统初始化和扣费；

所述刷卡机由所述服务器控制被母卡出厂初始化，以及由所述客户机控制被批次卡系统初始化和对一次卡刷卡扣费。

该申请涉及一种医疗设备IC卡扣费管理系统，其目的在于在医疗设备的经营过程中监管医疗设备使用情况，保证各方按照实际使用情况分享利润。权利要求1所述的医疗设备IC卡扣费管理系统，实质上是利用公知的服务器、发卡机以及刷卡机，来实现对医疗设备使用情况的监管，从而达到合理分配利润的目的。因此，本案中所要解决的问题是对医疗设备的经营情况进行全面掌控管理，所述方案是一种人为规定的设备监管规则，本案的发明目的和实施所述方案获得的效果都不是技术性的，其实际上是利用公知的技术手段来实现一种商业管理的规则。因此，权利要求1不属于专利法第二条第二款规定的技术方案，不是专利保护的客体。总结

上述三个案例，尤其是对于案例2和案例3，申请人比较容易误解审查意见。案例2中，申请人很难理解审查意见中计算和显示这一手段不是技术手段的评述，而案例3中，申请人很难理解为什么不整体判断而是将技术方案分割开来。要解决上述问题，首先要明确“技术”的含义。

“技术”向来是专利制度中的一个非常关键的概念，而在专利审查实践中对技术的认定常常是争论的焦点。但是究竟什么是“技术”，或者更进一步而言，什么是专利法意义上的“技术”，《中华人民共和国专利法》《中华人民共和国专利法实施条例》以及《专利审查指南》都没有给出明确的定义。“技术”一词的英文是“technology”，来源于古希腊的“Techno”与“Logy”两个词，前者的原意是“(应用于工业的)实用科学”，后者的原意是“系统的学问(或理论)”。《现代汉语词典》中的解释是：“人类在认识自然和利用自然的过程中积累起来并在生产劳动中体现出来的经验和知识，也泛指其他操作方面的技巧；也指技术装备”。

笔者在实践中经常看到申请人和人在意见陈述中引用上述定义，然而，专利法意义上的“技术”是比广泛意义上的“技术”一词更为狭义的概念。因为按照上面给出的广泛意义上的词义解释，“技术”是包括规章制度和操作方面的技巧和技能的，而在专利领域，人为创设出来的规则和与人为创设的规则有关的技巧和技能，例如管理技术、立法技术等等，都不属于专利法意义上的“技术”。

在《专利审查指南》中虽然没有明确定义技术的概念，但是明确了技术必须利用了自然规律，因而“是否是利用自然规律的结果”是专利法意义上的“技术”与“非技术”的区别点。专利制度设立的初衷是为了推动科学技术的进步，而不是为了束缚人类的思想，如果对非技术的方案给予独占或排他的权利，既不具有客观稳定的结果，又会大大限制人的思维活动，因此获得专利保护的客体应当具备技术性。

如此一来，之前的问题就容易解释了。案例2的实质内容是仿真机器人的动作，而仿真只是一种模仿，没有利用自然规律，此外机器人的动作由人操纵的也并非是依据自然规律的结果，由此可知，其所采用的手段(例如计算和显示)也不属于技术手段，案例2的方案并不是利用了自然规律的结果，不属于专利法意义上的技术范畴。但同样的手段(例如计算和显示)在其他技术方案中可以属于技术手段，假设案例2的请求保护的主题是机器人控制方法，该方案中同样采用了计算和显示的手段。由于机器人控制方法必须利用控制规律(自然规律)，因此其采用的手段属于技术手段，机器人控制方法属于技术方案。

内部控制审计案例范文

关键词：内部控制课程体系案例教学

0引言

从国内外看，内部控制是企业、非营利组织及政府机构抵御外部风险、防止财务舞弊、提升管理绩效、实现可持续发展的有效途径。内部控制的理论研究、实务操作、人才培养将是未来中国理论界、实务界、教育界所面临的一项长期的系统工程。

1内部控制课程设置的必要性

1.1胜任CFO能力框架的构成部分按照CFO能力框架的要求，CFO核心课程模块包括核心知识、核心技能和职业价值观三大类（上海国家会计学院，P109）。而核心知识包括战略管理、公司治理、财务战略、财务报告、成本管理、风险管理、购并与重组、税收筹划、价值管理与全面预算管理、内部控制与审计、财务分析与预测、财务信息系统与ERP、经管责任与资产管理等。内部控制与审计是企业资产管理和监督的重要机制，CFO在其中要发挥重要作用。在内部控制与审计方面应该掌握的知识包括：①内部控制机制的设计、实施与基本原理，从软件和硬件上来保证内部控制制度的效果和实施；②掌握内部审计的操作流程和制度规范，起到内部监督的作用。

1.2国内外企业内部控制缺失现状进入21世纪后，经营环境日益复杂，来自企业内外的风险冲击更加猛烈。从国外看，英国巴林银行由于交易员里森越权违规操作酿成大祸，在14亿美元的巨亏下，巴林银行接受破产的命运；美国的能源巨头安然公司，因财务报表舞弊难以掩盖其经营失败，最终公司倒闭；华尔街五大投行之一的雷曼兄弟，大量投资次贷衍生金融产品，在金融危机中陷入“死亡泥沼”。从国内看，中航油（新加坡）公司原总裁陈久霖期权交易违规操作，最终造成5亿多美元的亏损；邯郸农行两位金库管理员盗取金库资金5100万元；三鹿集团漠视原材料质量控制，导致生产出毒奶粉危害消费者生命安全；双汇瘦肉精事件；新华制药被信永中和出具否定意见内部控制审计报告。诸如此类违法违规、职务欺诈、财务舞弊、经营失败等案件几乎可以天天见诸国内外媒体，而且还仅是“冰山一角”。案件背后的原因是共同的：缺乏对风险的有效防范和控制，风险日积月累，终于一发不可收拾。世界范围内对风险导向内部控制的呼声越来越高，对于我国的企业来说，这个问题更为严峻。继美国颁布“奥克斯利——萨宾斯法案”之后，我国内部控制规范体系的研究和制定日益受到重视。要完善企业的内部控制规范体系，需要实业界和教育界的共同努力。对于培养高级会计应用人才的高校来说，要培养胜任的内部控制人才，离不开卓越的师资、完善的课程设置和有效的教学方法。

2完善《内部控制》课程体系

内部控制审计案例范文篇3

近年来，在美国上市的公司正受到萨班斯-奥克斯利法案(theSarbanes-OxleyActof2002,简称SOX法案)的影响。尤其随着其第404条款的逐渐实施，该法案的影响正在席卷全球，包括美国上市公司的中国分公司。可以说，SOX法案对全球的影响力直逼上世纪的“千年虫”事件，由于SOX法案的相对完善性，研究SOX法案对中国公司也有很强的借鉴意义。尤其SOX法案对信息化的要求严格，从公司治理和IT治理的高度提出IT内部控制的要求。

对于上市公司或者希望借鉴上市公司经验的公司来说，应该如何改进自身的IT控制水平？又应该如何治理IT以保证财务报告内部控制的有效性？来看一个实际的案例，A公司是一家财富500强企业，全球五大制药公司之一。该公司在全球拥有58000余名员工，年销售收入超过180亿美元，年利润超过40亿美元。随着SOX法案第404条款的实施，一家会计师事务所将对其IT内部控制进行审计。因此，该公司计划在全球信息服务(IS)部门推行合规项目。项目分为以下几个步骤，如图1所示。

精通SOX

SOX法案的产生源自于公司操作的不规范和公司丑闻的披露。它对公司治理有着极为严格和苛刻的要求，要求公司针对产生财务交易的所有作业流程，都做到能见度、透明度、控制、通讯、风险管理和欺诈防范，且这些流程必须详细记录到可追查交易源头的地步。

所有人都清楚IT在现代企业中扮演着重要的角色。在很多公司内部，财务报告流程是由IT系统驱动的。无论是ERP还是其他系统，都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。可以说，IT是保证财务报告内部控制的有效性的基础，IT控制至关重要。

从IT控制的范围来说，IT控制通常包括IT控制环境、计算机运维、系统和数据的访问、系统开发和系统变更。IT控制有一个治理框架，即COBIT框架。COBIT的全称是信息及相关技术的控制目标(ControlObjectivesforInformationandrelatedTechnology)。COBIT将IT流程、IT资源及信息与企业的策略与目标联系起来，在企业业务战略指导下，对信息及相关资源进行规划与处理。

制定项目计划

项目计划主要活动包括选择合适的团队和制定详细的项目计划。各国分公司团队组成情况各不相同，以中国区分公司为例，项目团队以中国区CEO、IS部门总监、IS经理和外部咨询顾问组成。对于SOX合规项目，可以采用“差距分析”方法来进行。

风险控制矩阵(RiskandControlMatrices，RCM)是差距分析和审计过程中的一个关键文档。RCM为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。制定RCM可以从以下三点来考虑。首先，是否已识别出了所有风险？其次，已识别的风险是否都与财务交易相关？最后，对于每一个风险，有什么对应的控制？

差距通常可以分为人员差距、流程差距和技术差距。例如，系统日志可以记录系统运维状态，但是如果加上适当的过滤工具，就可以保证对关键的突发事件及时的响应，相关人员不在现场也不会造成不能及时响应。

开展控制评估

第一步，要确定评估的控制范围，可以分为四个步骤：首先，确定财务报告流程中的核心要

素；其次，识别关键的业务流程；再次，确定IT系统范围；最后，确定地理位置的范围。该公司中国区项目组根据财务交易活动，确定了关键的业务流程、支持系统和所在的位置。

第二步，在这些选定的范围内进行风险评估。风险评估使公司更加清晰地认识到，意外事件的发生将如何限制业务目标的达成。风险评估的目的就是辨别潜藏的内在风险与残存风险。

第三步，识别主要控制。对于公司和IT系统来说，存在三种控制：公司级控制、应用控制和通用控制。公司级控制的评估主要包括“高层的声音”(Toneatthetop)、诚信、价值观与竞争力、管理哲学与运营风格、权责分配、政策与流程、员工的水平和技能、高层管理者的指示。应用控制主要适用于IT系统所支持的业务流程，以及被设计用来预防或探测非授权业务活动的控制。通用控制用于所有的信息系统，保证安全连续的运作。对这些流程和系统进行风险和控制评估后，就可以制定风险控制矩阵(RCM)。

该公司识别出来的风险涉及领域主要有：制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。

进行控制设计

为了减少这些风险，中国区分公司进行了控制的优化与设计。在公司级控制方面，创建或优化各个制度，包括IS战略计划、逻辑访问控制制度、物理访问控制制度、第三方访问控制制度、环境控制制度、变更管理制度、业务连续性计划及灾备制度等。

在应用、流程及通用控制方面，创建和优化了流程，为重要的流程和应用系统设计了一系列文档，设计的主要流程包括采购管理、资产管理、系统开发生命周期(SDLC)管理、用户管理流程、变更管理流程、第三方访问权管理流程等。

进行内部审计

在控制文档设计完毕后，需要先进行一次内部审计，沟通风险控制矩阵、确定审计范围、制定测试脚本。对于测试不合格的控制，需要纠正缺陷、完善控制的设计与运维，以确保其有效性。

报告管理层

在内部审计通过后，管理层形成正式的书面内部控制结论，迎接外部审计。

在此案例中，需要重点关注的是公司有哪些重要的流程和控制，有哪些相关的风险和需要哪些相关的控制，以及如何设计与评估控制。通常来说，SOX合规项目会非常费时，成本也较高。不过，可以通过外部咨询公司帮助企业做一个快速诊断，以寻找从哪些地方入手做关键改进。

对于大多数公司来说，要达到SOX法案的要求，需要从文化上去改变。从历史事件来看，内部控制有重大缺陷会对整个公司造成灾难，因此主动地去提升内部控制，显得至关重要。

链接:中国企业IT内审的难点

1.企业在观念上对IT内审的重视程度不够；

2.企业IT内审的组织架构不清晰，因为IT内审既涉及IT，又包含审计的内容，很多企业不知道该由哪个部门来推动；