如何做好商业银行投资银行业务的风险管理工作

　众所周知，一个没有免疫系统、或免疫力偏低的生命体是不可能健康成长的，而内部控制就是企业“生命体”的免疫系统。因此，欲使城市商业银行这一新生的特殊企业不断成长壮大，就必须在大力拓展各项业务的同时，更加有效地推进其自身免疫系统──内部控制建设，以保证城市商业银行的稳健发展。　　一、城市商业银行建立健全内部控制制度的必要性　　城市商业银行的内部控制指为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。以确保国家法律规定和商业银行内部规章制度的贯彻执行；确保商业银行的发展战略和经营目标的全面实施和充分实现；确保风险管理体系的有效性；确保业务记录、财务信息和其他管理信息的及时、真实和完整为目标。为此，城市商业银行内部控制制度必须保证在各级部门和各级人员中得到正确且充分地贯彻执行，以有效杜绝内部人员的违规操作、内部欺诈与犯罪行为。　　1、城市商业银行的定位　　城市商业银行是中国特定历史条件下金融改革的产物。它承担了支持地方经济发展，特别是支持中小企业的重担。欲使城市商业银行这一新生的特殊企业不断成长壮大，就必须在大力拓展业务的同时，更加有效地推进内部控制制度的建立健全，以保证城市商业银行的稳健发展。　　2、城市商业银行的发展需要　　商业银行特殊的经营对象—货币资金，特殊的经营方式—信用中介，决定了商业银行经营活动“高负债”的基本特征及其在国民经济体系中的特殊地位。建立并不断完善内部控制，既是城市商业银行在追求自身经济利益过程中安全稳健运行的可靠保证，更关系到保障存款人利益，保障市场体系正常有序地运行和国民经济持续协调发展。商业银行内部控制机制不论是对决策层的权力控制，组织设置中的权力制衡，还是操作层的岗位监督，都不是新课题。但巴林银行的倒闭、大和银行的被兼并，以及近年来，金融系统的假按揭、内外部勾结转移资金、员工监守自盗等案件屡有发生，一次又一次以令人触目惊心的事实揭示了商业银行经营活动中的巨大风险，如何建立规范、系统、可靠的商业银行内部控制系统，有效地防范商业银行巨大的经营风险对城市商业银行则显得更为至关重要。　　3、城市商业银行已初步建立内部控制体系　　城市商业银行在原城市信用社基础上组建，人员素质较低、经营管理水平不高、风险高度较集中，内控体系基础薄弱，但经过近十年的发展，随着人员素质、经营管理水平的不断提高，内部控制体系得到了初步建立，防范风险的能力得到不断增强。在《中华人民共和国银行业监督管理法》、中国人民银行下发的《商业银行内部控制指引》、银监会下发的《商业银行集团客户授信业务风险管理指引》等法律、法规和指导性文件的推动下，城市商业银行把加强内部建设作为一项重要工作来抓，在建立健全资金管理、信贷管理、财务管理、审计监督等内部控制制度方面开展了大量的工作，收到了良好效果。　　（1）加强资金管理，提高资金使用、经营效益。按“统一计划、两级经营、比例管理、适时调节、归口调剂、综合平衡”的原则，建立资金、负债比例、债券业务、利率、存款、现金、票据贴现等方面管理规定。初步实现了资金的安全性、流动性和盈利性的统一。　　（2）实行审贷分离，完善贷款风险防范机制。城市商业银行为了防范信贷风险，加强了对信贷工作的管理力度，不断健全信贷风险管理制度。一是成立贷款审查委员会并制定其工作规则，实行严格的审贷分离，采取集体评审的方法，避免人情贷款，降低决策风险；二是加强贷款审批权限管理，根据分支机构的资产风险状况、贷款种类，分别下达贷款的审批权限，促进信贷资金的优化配置；三是根据不同的贷款种类，制定相应的操作规程，使每笔贷款的发放做到程序化和规范化。　　（3）强化财务管理，健全会计内部控制制度。为强化财务管理，规范会计操作，防范会计风险，采取了“一级对外、二级经营”的财务管理体制。一级对外指城市商业银行的税收统一由总部进行缴纳；固定资产、租赁费、钞币运送费等固定费用统一由总部列支，集中管理；大宗物品统一由总部进行采购。二级经营指城市商业银行的各支机构独立对外办理各项业务，各支机构实行指标控制下的费用开支。　　（4）提高审计地位，内部审计权威得到加强。一是坚持集中审计、下审一级的原则，保证审计活动能够独立公正地进行；二是完善审计组织体系，充实审计队伍；三是规范审计程序，扩大审计范围，完善审计手段。　　二、当前城市商业银行内部控制中存在的问题　　中国银行业监督管理委员会副主席唐双宁指出，我国商业银行目前在内部控制方面存在银行公司法人治理结构有待进一步完善；银行尚未真正建立内控文化；控制分散与控制不足并存；部分基层机构内控制度执行情况不容乐观，有章不循、违规操作的现象依然存在；银行分支机构内控制度的检查、评价不足等5个急需要解决的问题。城市商业银行在市场化运行的实践中，与建立规范化商业银行的高标准相比，内部控制建设仍然存在明显不足，迫切需要加以改进。主要表现在：　　1、对内控制度的认识不到位，违规经营时有发生。有的城市商业银行把内部控制简单地理解为各种规章制度的制定、装订、汇总，认为做了整章建制方面的工作，就等于建立了内控机制；有的城市商业银行在把握内控与管理、内控与风险、内控与发展的关系等问题上，认识有偏差，把加强内控与发展和效益对立起来，在业务拓展和风险防范的抉择中，侧重于抓规模、抓效益，不切实际地求得资产规模的扩张，造成违规违章现象发生，以致资产质量低下。　　2、对分支机构的控制不力，管理还有漏洞。有的城市商业银行支行的负责人长期没有交流和轮换，使这些支行存在的问题难以及时被发现，经营风险加大。有的城市商业银行对分支机构的管理，往往是任务、指标布置的较多，对完成任务的过程和手段检查不够，对执行金融方针政策的检查较少。　　3、法人治理结构不完善，缺乏监督制约机制。有的城市商业银行董事会与经营班子、法人代表与经营负责人合二为一，不符合《公司法》、《商业银行法》要求，这实际上导致银行内部制约机制的失效；有的董事长与行长职责不清，权责不明，造成董事长直接经营，行长没有相应权力，或者行长权力过大，缺少董事会约束；有的股东大会及监事会形同虚设，没有发挥应有的监督作用。　　4、稽核机制不建全，影响内部控制的有效落实。有的城市商业银行内部稽核部门力量薄弱，人员素质不高，不能起到查错防漏、纠正违规、强化管理、控制风险的作用。有的内部稽核体制不顺，本身没有处理问题权，有的问题得不到真实反映，使一些问题被积压下来，而且对一些有章不循、建章操作的行为没有相应的制约措施。　　5、现行的内控制度不健全，不适应业务营运发展的需要。有的城市商业银行在实现管理和经营的有效性目标方面，其沿用的内部控制规章还是过去的指标考核办法，考核指标在数量上每年虽然的所变动，但考核的内容和方法明显陈旧，导致一些支行从自身利益出发，置各种制约于不顾，违章操作。有的分支机构抢拉客户，乱用核算科目，篡改账表等问题，都说明了内控制度与业务发展不同步问题。　　6、风险控制系统不健全，对内部控制的评价与监督不够。风险控制是金融机构内部控制中的一个难点，目前城市商业银行以整体风险控制为目标的资产负债比例管理尚处于软约束阶段，以局部风险控制为内涵的授权分责管理还执行不严格，缺乏具体风险评估及控制为核心的信贷风险管理监控、交易风险管理监控的手段，管理制度和评估方法也极不完善。　　三、建立健全城市商业银行内部控制的方法　　1、建立城市商业银行有效内部控制　　城市商业银行有效内部控制（无时不控、无处不控、无事不控、无人不控）要做到“一二三四五”。一是要培育一种在全行上下得到沟通、讲究诚信、勤勉尽责、排斥利益冲突的控制文化。二是要破除两个误区：（1）以运动式的检查监督代替连续性的内部控制，（2）以内部控制规章制度代替内部控制。三是要确立内部控制的三大目标，构筑三位一体的内部控制体系，具体而言，就是要确立经营的效率和效果、财务信息的可靠性和完整性以及遵循法律规章这三大控制目标，构筑前台监控、中台监督和后台评价的三位一体的内部控制体系。四是要建设好前台监督、内部控制、内部稽核和风险管理委员会四支内部控制监督队伍。由于基层网点复核人员配备不充分，可将事后监督关口前移到一线进行事前预防性控制；内部控制应实行集约化管理，整合会计、清算、储蓄、信用卡、信贷、科技等各项监督检查职能，进行检查性控制和指导性控制；内部稽核对内部控制的效果进行独立的后评价，起到纠正性控制作用；风险管理委员会负责对银行的全面风险管理，是内部控制的最高决策机构，发挥战略性控制作用。五是要建立内部控制五要素的分析评价框架，学会运用管理层的监督和控制文化、风险确认和评估、控制活动和职责分离、信息交流和沟通以及监督活动和纠正缺陷这五大要素对城市商业银行的内部控制状况进行分析和评价。　　2、构建“以人为本”的城市商业银行内部控制体系　　在现代公司制下，以保护资产和查错防弊为主要内容的内部控制，明显不能满足需要。这种内控职责不仅仅包括财产的安全完整和会计资料的真实可靠，还将促进单位贯彻其经营方针及提高经营效率纳入其中，这是公司治理结构对内部控制提出的新要求。因此，商业银行的内部控制构建思路是：明确各控制成分之间的相互关系，建立以控制环境为基础、风险评估为依据、控制活动为手段、信息与沟通为载体，监督与控制为保证的内部控制整体框架。　　（1）以“人本主义”作为构建内部控制机制的信条，营造良好的内控管理文化氛围。具体表现在内部环境的控制，包括领导班子与组织机构控制、人力资源管理、安全保卫及法规管理、信息系统控制等方面，既要重视正式约束的建设，也要充分考虑非正式约束的作用。从内控管理降低银行风险的角度看，好的非正式约束有助于人们价值观念、道德规范的形成，自觉约束人们的行为，减少制度对其的强制性。从而节约银行运行中处理磨擦的费用和正式约束制度成本的支出，避免出现再好的正式约束制度由于没有非正式约束的配合导致“好看不中用”尴尬局面。　　（2）以“风险评价”为依据，通过建立内控评价管理办法推动内控管理工作有序开展。　　a.制度建设评价标准，内部控制制度建设评价标准，首先要遵循国家的金融监管政策法律法规；二是遵循“控制论”的基本原理，既要具有完整性和有机结合性，又要以“有效控制”为原则，通过对信用风险、市场风险、操作风险等有效监测分析、有效控制银行经营活动；三是遵循电子技术的程序化和科学化原则，将内控资料规范存储和积累，便于监测、分析和评价工作的顺利开展。　　b.制度执行评价标准　　内控制度执行评价标准包括内控环境、内控风险识别、内控活动的有效性、内控信息的交流反馈。一是内控环境标准，包括：内控执行人员的价值观和道德观是否完整可靠；内控激励约束机制的作用程度是否达到预期目的；各级管理层的内控意识是否牢固树立；内控人员的内控能力是否与其责任相匹配；内控用人机制是否健全有效；内控管理层和监督层对内控是否给予了充分的关注等。二是内控风险识别标准，包括：内控管理的总体目标和分项目标是否明确，二者的关联程度如何，各级管理层为确保整体目标实现的参与情况和承担责任是否清晰、明确；是否建立了对内部和外部内控风险预测和识别机制，即内控风险预测是否透彻和恰当，内控风险评价概率和频率依据是否准确可靠，是否建立了内控风险的预测和识别的反应机制。三是内控活动的有效性标准，包括：银行的每项经营和管理是否都设有恰当的风险监控活动；内部风险控制活动是否保证内控指令得到全面的执行；通过内控活动的实施是否及时有效地化解相关风险。四是内控信息的及时反馈标准，包括：是否建立了各种有效的内控信息交流反馈系统，即内控系统岗位员工通过内控责任的履行，发现可疑和不轨行为是否及时将信息传递给管理层，管理层是否将内控信息以一定方式及时转达给有关人员有效履行其内控职责，达到内控的预期效果；内部控制系统当中每位员工和每个内控管理部门所负有的内控管理信息的交流职责、交流渠道、交流方式、交流时间是否真正明确；内控信息的上传下达和横向交流手段与方式是否切实可行、及时有效等。　　c.内控制度保障评价标准　　一是是否建立和设置了适时跟踪评价反馈内控情况的渠道和工作程序以及组织保障措施。二是内控体系中各个职能部门之间的内控制约关系是否建立和运转有效。三是内控制度的缺陷是否得到及时的发现和纠正。四是随着银行业务的不断拓展和品种的创新，内部控制制度、程序和政策是否得到了及时的调整、修正和完善。　　（3）以“高效信息沟通”为依托，通过电子化信息交流渠道的安全运转，保证银行内控体系有效运作。通过建立风险报告制度保证风险管理的信息沟通，保证决策层能够通过内控评价和风险报告，对内控状况进行检查评价，对风险监测报告进行整理分析，做出有分析依据的判断决策；执行层在责任划分和权限内履行风险内控管理职责监督检查层通过对决策管理层和执行层工作的事后再监督与检查，对违规违纪行为进行处罚。　　只有形成内控管理有标准、部门设置有制约、操作有制度、岗位有职责、过程有监控、风险有监测、工作有评价、事后有考核的全面有效内控制度体系，才能确保城市商业银行实现经营目标。

加强企业内部控制审计的的方式：　　　　(一)提高领导层对内控的重视度，完善内部控制环境。　　良好的控制环境的建立，是制度真正落实的有效保障。影响控制环境的因素是多方面的，包括董事会、企业管理者的素质、企业文化、组织结构等。加强和完善企业内部控制，一是要建立现代企业制度，以企业财务管理为核心，以产权清晰、权责明确、政企分开、管理科学为特点，使企业成为面向国内外市场法人实体和市场竞争主体的一种企业机制。二是要建设企业内部控制环境，包括经营管理的理念，风险管理理念，管理控制方法，组织机构，外部环境影响等。因而为了企业的发展，一定要提升企业领导层和管理者的思想意识，转变其管理观念，使之增强对财务管理重要性的认识，加强对内部会计控制的管理力度，从而提高企业的核心竞争力。　　(二)明确审计方向，确定审计目标，掌握审计重点。　　对于一个企业而言，企业实施内部控制审计的最终目标在于通过这样一个审计活动，完善审计内控制度，维护企业资金的稳定性和安全性，提高企业的运营效率和经营管理水平。因此在审计内容上内部审计人员要通过查阅法、调查表格法等审计方法，了解企业管理信息和流程(传递沟通方式、制度汇编、职责分工、岗位规范和标准)等相关资料，进一步向相关部门和人员了解企业的相关业务及财务资料，对企业主要业务的关键控制点进行测试分析，掌握这类控制点存在的漏洞和不足之处，并采取有效措施加以改进。在审计方法和手段上要全面运用计算机技术、网络信息技术，重视风险分析，保证内控审计工作的顺利开展。最后，企业还要建立起内部控制审计队伍训练培养基地，定期组织相关人员进行培训，不断强化审计人员职业道德意识和审计专业技能，为企业培养一支高素质、高质量的审计团队。　　(三)充分发挥内部控制执行与监督职能。　　内控制度要发挥良好的作用并且得到有效执行，企业必须具备足够的人员及资源，使其能完成所分配的任务，并且应选拔职业道德修养和专业胜任能力的员工，创造良好的环境氛围激发员工的积极性、主动性和创造性，建立绩效评价体系，健全考核奖惩机制，对员工实施科学、有效的监督。　　充分发挥内部审计的作用，使企业内部审计部门应当更多地参与到企业的事前预防和事中的内部控制中，通过对企业会计内部控制的监督和评审，及时发现内部控制制度中的漏洞和隐患，并针对企业会计工作中出现的新情况、新问题等加以技术修正或改进，提出一些有建设性的意见和措施，提高企业的综合实力。

建立和实施内部控制，应当遵循以下基本原则：（一）合法性原则。内部控制应当符合法律、行政法规的规定和有关监管部门的监管要求。（二）全面性原则。内部控制在层次上应当涵盖董事会、管理层和全体员工，在对象上应当覆盖各项业务和管理活动，在流程上应当渗透到决策、执行、监督、反馈等各个环节，避免内部控制出现空白和漏洞。（三）重要性原则。内部控制应当在兼顾全面的基础上突出重点，针对重要业务与事项、高风险领域与环节采取更为严格的控制措施，确保不存在重大缺陷。（四）有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。（五）制衡性原则。的、岗位设置和权责分配应当科学合理并符合内部控制的基本要求，确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。（六）适应性原则。内部控制应当合理体现经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求，并随着外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。（七）成本效益原则。内部控制应当在保证内部控制有效性的前提下，合理权衡成本与效益的关系，争取以合理的成本实现更为有效的控制。

第1号——组织架构、第2号——发展战略、第3号——人力资源、第4号——社会责任、第5号——企业文化、第6号——资金活动、第7号——采购业务、第8号——资产管理、第9号——销售业务、第10号——研究与开发、第11号——工程项目。第12号——担保业务、第13号——业务外包、第14号——财务报告、第15号——全面预算、第16号——合同管理、第17号——内部信息传递、第18号——信息系统。企业的内控体系应当贯穿于企业经营活动的决策、执行和监督的各个阶段、各个层级，涵盖了营管企业每一项经理活动的过程始终，体现了内部控制的全面、全员、全过程控制的特性。制定内控体系的基本准则在于职责分离、授权批准、相互制约、监督检查，企业建立与实施内控体系应当遵循的五项原则：全面性原则；重要性原则；制衡性原则；适应性原则；成本效益原则。建设原则一个企业在生存、发展的过程中，必定会面临各种各样的风险，如决策管理风险、政策法规风险、制度缺陷风险、流动性风险、市场风险、信用风险和操作风险等。在风险面前，企业并不是无能为力的，可以通过建立内控体系来防范和化解风险。内部控制体系的建设一直是国内外一些管理先驱公司的重点内容，对于集团全方位强化基础管理和提升管理水平都有积极的意义。如何从传统的复核、牵制等控制手段到以财务会计活动为中心的会计控制，再经内控整体框架理念而至企业全面风险管理，都是现今集团企业最为关注的问题。

第一章　总则第一条　为促进商业银行建立和健全内部控制，防范金融风险，保障银行体系安全稳健运行，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律规定和银行审慎监管要求，制定本指引。第二条　内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。第三条　商业银行内部控制的目标：　　（一）确保国家法律规定和商业银行内部规章制度的贯彻执行。　　（二）确保商业银行发展战略和经营目标的全面实施和充分实现。　　（三）确保风险管理体系的有效性。　　（四）确保业务记录、财务信息和其他管理信息的及时、真实和完整。第四条　商业银行内部控制应当贯彻全面、审慎、有效、独立的原则，包括：　　（一）内部控制应当渗透商业银行的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查。　　（二）内部控制应当以防范风险、审慎经营为出发点，商业银行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。　　（三）内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正。　　（四）内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。第五条　内部控制应当与商业银行的经营规模、业务范围和风险特点相适应，以合理的成本实现内部控制的目标。第二章　内部控制的基本要求第六条　内部控制应当包括以下要素：　　（一）内部控制环境。　　（二）风险识别与评估。　　（三）内部控制措施。　　（四）信息交流与反馈。　　（五）监督评价与纠正。第七条　商业银行应当建立良好的公司治理以及分工合理、职责明确、相互制衡、报告关系清晰的组织结构，为内部控制的有效性提供必要的前提条件。第八条　商业银行董事会、监事会和高级管理层应当充分认识自身对内部控制所承担的责任。　　董事会负责保证商业银行建立并实施充分而有效的内部控制体系；负责审批整体经营战略和重大政策并定期检查、评价执行情况；负责确保商业银行在法律和政策的框架内审慎经营，明确设定可接受的风险程度，确保高级管理层采取必要措施识别、计量、监测并控制风险；负责审批组织机构；负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。　　监事会负责监督董事会、高级管理层完善内部控制体系；负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责；负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。　　高级管理层负责制定内部控制政策，对内部控制体系的充分性与有效性进行监测和评估；负责执行董事会决策；负责建立识别、计量、监测并控制风险的程序和措施；负责建立和完善内部组织机构，保证内部控制的各项职责得到有效履行。第九条　商业银行应当建立科学、有效的激励约束机制，培育良好的企业精神和内部控制文化，从而创造全体员工均充分了解且能履行职责的环境。第十条　商业银行应当设立履行风险管理职能的专门部门，负责具体制定并实施识别、计量、监测和控制风险的制度、程序和方法，以确保风险管理和经营目标的实现。第十一条　商业银行应当建立涵盖各项业务、全行范围的风险管理系统，开发和运用风险量化评估的方法和模型，对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。第十二条　商业银行应当对各项业务制定全面、系统、成文的政策、制度和程序，在全行范围内保持统一的业务标准和操作要求，并保证其连续性和稳定性。第十三条　商业银行设立新的机构或开办新的业务，应当事先制定有关的政策、制度和程序，对潜在的风险进行计量和评估，并提出风险防范措施。第十四条　商业银行应当建立内部控制的评价制度，对内部控制的制度建设、执行情况定期进行回顾和检讨，并根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善。

2016年2月1日，基金业协会发布《私募投资基金管理人内部控制指引》1、明确禁止私募管理人兼营其他业务指引第八条规定：私募基金管理人应当遵循专业化运营原则，主营业务清晰，不得兼营与私募基金管理无关或存在利益冲突的其他业务。已挂牌新三板的私募机构，多数存在既管理基金，又自行对目标企业投资的情况，其是否构成“兼营与私募基金管理无关或存在利益冲突的其他业务”，值得深的。2、要求防范不正当关联交易、利益输送和内部人控制风险指引第九条规定：私募基金管理人应当健全治理结构，防范不正当关联交易、利益输送和内部人控制风险，保护投资者利益和自身合法权益。该条同样具有很强的针对性，显然是监管层要对不正当关联交易、利益输送、内部人控制等可能严重损害投资人利益的行为加强监管，杜绝老鼠仓。3、要求公平对待各在管基金，严防利益输送指引第十九条规定：私募基金管理人应建立健全相关机制，防范管理的各私募基金之间的利益输送和利益冲突，公平对待管理的各私募基金，保护投资者利益。4、私募基金管理人应具备至少2名高级管理人员，明确风控负责人的责任指引第十一条规定：募基金管理人应当建立有效的人力资源管理制度，健全激励约束机制，确保工作人员具备与岗位要求相适应的职业操守和专业胜任能力。私募基金管理人应具备至少2名高级管理人员。第十二条规定：私募基金管理人应当设置负责合规风控的高级管理人员。负责合规风控的高级管理人员，应当独立地履行对内部控制监督、检查、评价、报告和建议的职能，对因失职渎职导致内部控制失效造成重大损失的，应承担相关责任。5、强调监管尚处于起步阶段，这意味着监管层将继续完善监管、强化规范起草说明阐明：目前，设立私募基金管理机构不设行政审批，并且监管尚处于起步阶段，市场上私募基金管理人的经营管理水平、风险控制能力良莠不齐，给私募基金行业带来的极大的风险隐患。6、内控制度成为监管的重要内容，要求完整、全面、贯穿始终，并被有效执行内控指引对内控制度做了全面要求，并规定管理人内部控制制度必须上传至基金业协会私募基金登记备案系统。（欲了解更多信息，请关注微信公众号：广深港法律智库）基金业协会将按照相关自律规则，对内部控制等合规情况进行业务检查，业务检查可通过现场或非现场方式进行。私募基金管理人未按指引建立健全内部控制，或内部控制存在重大缺陷，导致违反相关法律法规及自律规则的，基金业协会将采取监管措施。

一、基础概念篇x0dx0a 在这里，你将熟悉，内控体系具体是什么，建立内控体系需要解决的误区以及流程体系建立的作业流程。x0dx0ax0dx0a1、x0dx0a内控体系建设涵盖哪些东西，主要内容是什么？x0dx0a国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系，所以他的具体内容与外资企业的sox404体系差不多。一般整个内控体系涵盖的内容含如下几个内控手册，风险数据库，内控评价手册。x0dx0a内控手册为每个作业流程的描述，内容含流程描述、流程图、授权说明、岗位职责分离说明。x0dx0a风险数据库可能导致风险的现象描述的汇总。风险指导致公司资产不安全，作业不合规合法，运营效率效益低下，财务报表数据不真实等。x0dx0a内控评价手册具体含三部分，第一部分检查制度设计合理或者文档的齐全性，第二部分检查控制过程，第三部分检查会计帐务处理控制。x0dx0ax0dx0a2、x0dx0a内控体系与ISO质量体系有什么区别和联系？x0dx0a 目的不同：内控体系是以会计报告为主要目的，而ISO质量体系是以产品质量为主。x0dx0a控制活动不同：在现阶段18个指引来看，内控体系缺少对生产过程控制；而ISO质量体系则以产品质量为主，涵盖产供销价值链，但是缺少会计系统控制。x0dx0a涉及部门不同：在ISO体系内不存在财务部门，以研发、生产、采购、销售部门为主；内控体系几乎涵盖公司各部门，因为有句话说得好，只要是企业在运作的，其最后的运作成果就是财务数值。x0dx0ax0dx0a3、内控体系的控制活动的业务流程如何划分，如何做到将各业务流程进行涵盖？x0dx0ax0dx0a最简单的第一步就是拿到组织架构图，之后看到是否是以事业部为编制的，则是事业部的名称作为一级流程，事业部下属的部门分为二级流程，如果下属的部门涵盖多个职能则划分为三级流程。如销售事业部，则销售循环作为一级流程，下属的商务部负责订单处理的则作为订单处理作为二级流程。如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。则订单处理作为二级流程，订单处理和备货计划制定作为三级流程。x0dx0ax0dx0a4、 单个作业流程具体怎么描述，怎么将业务流程所涵盖的信息进行归纳处理？x0dx0a 作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动。一个完整的作业流程应该包含6项内容，具体如下：x0dx0a 流程控制人：参与到作业流程中的人，具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。x0dx0a 控制频率：作业的时间间隔控制。x0dx0a控制活动：流程是如何作业的。x0dx0a 控制痕迹：作业完成后形成的书面痕迹x0dx0a 控制方式：系统控制还是人工控制。x0dx0a 异常控制：授权体系外的作业流程是如何控制的。x0dx0a 举例如下：描述超市客服处对会员积点兑换控制流程，之前描述了一个出纳盘点流程，大家都熟悉，这次描述复杂点的。x0dx0a 流程控制人：售后服务部的客服专员，客服主官x0dx0a 控制频率： 客户不定期来兑换会员积分。x0dx0a控制活动： 客服专员根据会员要求兑换相应的赠品，同时在xxx系统内扣除积分，并在XX赠品台帐内要求客户签字。x0dx0a 控制痕迹： 形成扣完积分的积分表和留有客户签字的赠品台帐。x0dx0a 控制方式： 兑换的系统积分由XX系统内扣除。x0dx0a 异常控制： 积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。x0dx0a 总的一句话：客户不定期对积分进行兑换，提出兑换的物品，售后服务部的客服专员在XXX系统内扣除积分，同时手工登记赠品台帐，在客户签字的情况下，将赠品进行赠送。如积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。当天营业结束前，客服主管需要对赠品台帐和积分兑换系统进行核对。x0dx0ax0dx0a5、内控体系建立的流程是怎么样的？x0dx0a 大致的作业流程是这样的：x0dx0a（1）x0dx0a组织架构：先建立内控小组，为了使内控体系得到有效落实和贯彻，所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部，如果没有此类部门则最好选一名懂财务的，如财务主管，另外加一名懂业务的作为内控小组的主要作业成员，最好另外辅助2-3名人员。x0dx0a（2）x0dx0a业务运作：总经理或者董事长开内控项目启动会，同时主要成员讲述内控系统的作业和具体要求。会议结束后，内控小组给各部门提交部门的制度，内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价，同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制，最后形成内控手册。由总经理授权下发。x0dx0a（3）x0dx0a内控小组等类似部门不定期进行内控评价，并根据各职能部门的变化对内控手册进行优化等。x0dx0ax0dx0a6、如果业务部比较忙，无法绘制作业流程，那访谈怎么做？x0dx0a 首先编制访谈计划，需要提供给部门接收访谈的人员一个访谈提纲。x0dx0a 访谈一般安排2个人，1人访谈，1人记录。记录人不要求将每句话记下来，只要将讨论的主题，以及讨论的结果记录下来即可。x0dx0a 访谈的时候，先讲明不是来指责部门的作业流程的缺失，而是主要是完善和建立内控体系。访谈的问题主要围绕作业流程进行，而不是扯淡的问，风险在哪里，自己说。x0dx0ax0dx0a7、流程图怎么绘制，采用什么软件？x0dx0a 一般选择微软的visio绘图软件或者smart draw 绘图软件，这两者的区别是visio看上去比较正规，而smart draw 比较好看。x0dx0ax0dx0a8、作业现场是否需要绘制流程图？x0dx0a 最好绘制流程图，因为在描述整个流程的时候，如果不绘制流程图，可能看不到什么遗漏。最好访谈完毕，直接将流程图绘制，之后与业务部门进行核对。x0dx0ax0dx0a9、如何完成制度对表的工作？x0dx0a 制度对表的工作一般可以在进场后的或者访谈结束后，当场完成对制度的评价。制度的评价主要的风险点为：流程描述不清楚或者缺失，岗位职责人或者控制部门不明确，岗位职责未分离，异常流程未描述，控制痕迹或者流程的表单未明确，控制频率未明确，未体现控制方式。（即未描述存在手工或者系统控制。）x0dx0ax0dx0a10、如何完成风险点的汇总x0dx0a 现场的风险点的汇总，不是访谈人说什么风险就是风险点。而是根据访谈人提供的风险点提示，内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。而且在完成风险点之后最好与被访谈人员再次作风险点确认。x0dx0ax0dx0a11、如何完成风险点的报告？x0dx0a 风险报告主要是对现有的流程的分析，所以可以按照事业部，之后将事业部涉及的流程综述，之后对各流程进行评价。而不是一堆风险点的堆砌。看上去100-200张ppt但是看得头晕。而且汇报结束老板对你不爽。x0dx0ax0dx0a12、内控检查与内审的区别和联系在哪里？x0dx0a 内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。所以内控主要是流程稽核，主要的作业模式就是控制点有没有建立。x0dx0a 内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段，核实业务事项是否真实合理。x0dx0a 简单的说，就是。内控是检查你吃饭的顺序，如先吃菜再吃饭或者先吃饭再吃菜。内审就是检查吃法好不好，对于胖人吃大量的肥肉，可以建议减少摄入量。x0dx0ax0dx0a二、体系建立篇x0dx0a 在这里，你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。由于涉及的内容较多，我这里简单的作一个销售模块的内控体系建立，其他模块的建立可在模仿的情况下，分别建立。x0dx0ax0dx0a1、销售模式的确认x0dx0a 一般销售的模式分如下几种，正常销售、国际贸易、团购，涉及到酒类或者其他制造业会涉及到品牌销售模式。x0dx0a 这里解释一下品牌销售模式，即允许被授权商生产与自己相同的产品，贴自己的商标和品牌，收取品牌或者商标费的一种作业模式。x0dx0ax0dx0a2、正常销售的流程划分x0dx0a 由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。其实这提到的可以将其作为一场流程进行控制。x0dx0a 一级流程：为销售流程。x0dx0a二级流程：可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。x0dx0a 三级流程：x0dx0a其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。其中如果是系统控制，则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更，最后由谁来审核。x0dx0a 信用管理流程可以划分为客户准入评价流程，不定期评价流程及信用变更流程。由于这一块基本上很少有客户在进行作业或者处理，所以在调研流程的时候，可能客户不会提供该流程，所以在编制内控手册的时候，需要做好与客户的随时沟通。x0dx0a 合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。x0dx0a 订单处理流程可以划分为正常订单处理流程，订单取消流程和逾期未处理订单流程等。x0dx0a 备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。x0dx0a 发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。x0dx0a 收款入账流程。x0dx0a 发票开具流程含客户提交增值税资质流程和开票流程。x0dx0a 应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账冲销流程。x0dx0ax0dx0a 如果调研或者访谈的时候将上述流程调研清楚，同时在内控手册中描述清楚，那么销售模块基本上就完成了

可以参考上市公司内控规范体系建设《企业内部控制应用指引》。企业内部控制是现代企业管理的重要手段。内部控制有效与否，直接关系到一个企业的兴衰成败。企业实行有效的内部控制制度，有助于促进企业拓展生产，提高经济效益，下面《老板》杂志就简单介绍一下如何建立企业内部控制制度：1、健全管理法律法规和公司制度企业管理内部控制，在很大程度上取决于规章制度的监管，而监管力度的大小与国家颁布的相关法律法规和公司制定的制度有关。所以，国家法律在各行业财务管理中需明确各项权利和职责，对违法行为进行严格惩罚，同时，不断完善各项规章制度，加快各项管理的有效实施；企业管理者需要明确各岗位的工作职责和要求，保证工作和管理的顺利实施。2、组织机构控制组织机构的控制包括组织机构的设置、分工的科学性、部门岗位责任制、人员素质的控制。在设置内部机构时，企业管理者既要考虑工作的需要，也应兼顾内部控制的需要，使机构设置既精炼又合理。因此，对企业内部组织结构和职责分工要有整体规划。3、预算控制预算控制是内部控制的重要组成部分，其内容可以涵盖企业经营活动的全过程，包括筹资、采购、生产、销售、投资等诸多方面。所以企业管理者进行预算控制，是为达到企业既定目标而编制的经营、资本、财务等的年度收支总体计划。4、风险防范控制在市场经济中，企业不可避免的会遇到各种风险，因此为防范规避风险，企业管理者应建立风险评估机制。企业常有的风险评估内容有筹资风险评估、投资风险评估、信用风险评估。5、财产保全控制企业的各种财产物资只有经过授权，才可以被接触或处理，以保证资产的安全。主要内容有：（1）限制接近资产。只有经过企业管理者授权批准的人员才能够接触现金、其他易变现资产、存货资产等。（2）定期盘点实物。企业管理者建立对资产定期盘点制度，对盘点中出现的差异应进行调查，对盘亏资产应分析原因、查明责任。（3）财产保险。企业管理者通过对资产投保增加实物受损后的补偿机会，从而保护实物的安全。

是国家财政部、证监会等五部委联合发布的《企业内控控制基本规范》的配套指南，现在提的比较高，以后会有一个推广的过程，但实话说，操作性还是不太强。

本指引所称合规，是指使商业银行的经营活动与法律、规则和准则相一致。本指引所称合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。合规风险，compliance部门负责，compliance部门往往是法务人员构成。操作风险往往是稽核审计运营等部门管理。操作风险，是从操作环节和操作人员方面去防范和控制，而不反省内部制度流程和经营管理的合规性，就会终日忙于发现与纠正错误，而改善效果却并不理想。合规风险重制度，理顺流程，堵住漏洞，贯穿于银行经营管理的全过程，是银行操作风险、信用风险、市场风险、声誉风险等多种风险产生的重要诱因。合规，英文compliance，根据《商业银行合规风险管理指引》的定义，是“指商业银行的经营活动与法律、规则和准则相一致”。这里的法律、规则、准则，“是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。”简单来说，合规，是确保银行的经营活动符合一切适用于银行业的外部规范的活动。在实际工作中，合规部门一般会将其扩展到“一切内外部规范”。鉴于在实际工作中，合规不仅对外也对内，一般都会把合规与内控两个问题一并讨论。在银监会的诸多监管文件中，明确提到合规与内控相关工作的文件主要有两个，即《商业银行合规风险管理指引》（下称合规指引）和《商业银行内部控制指引》（下称内控指引）。这两份指引，一份指导对外合规工作，一份指导对内合规工作，彼此相辅相成，构成了银行开展合规工作的主要指导文件。此外，《银行业金融机构案防工作办法》及《银行业金融机构案防工作评估办法》虽然主要涉及案件防控工作，但也对合规体系的建设和工作职责提出了具体要求，也是合规工作的重要指导文件。

【答案】：B审慎性原则是指商业银行内部控制应当坚持风险为本、审慎经营的理念，设立机构或开办业务均应坚持内控优先。

首先，你必须认识和理解内部控制的定义和相关概念。1. 内部控制是由企业董事会、管理层和其他人员设计和执行的制度和程序的总称。该等制度和程序能为企业达成以下类别的目标提供合理保证：1）经营运作有成效和效率；2）可靠地对内对外报告和传递信息；3）遵守适用的法律法规。2. 以上定义包含以下的重要概念：1）内部控制是一个流程，是一种达成目标的手段，而非目标本身。2）内控是由企业每个层次能影响到内部控制的人员去执行的。3）内控提供的是合理保证，而非绝对保证。4）内控是为达成企业经营、报告以及合规性三大类别的目标而制定的。其次，可根据你所处生产企业的组织架构和具体情况，参考内部控制的配套指引，设置各层面（包括集团公司、分公司、事业部、职能部门等等）的业务流程和控制制度。最后，把相关的内部控制制度落实执行，并在执行过程中通过持续的监控、评估，适时进行调整、改进、提高。

企业内部控制规范体系简介 ·企业内部控制规范体系概要 ·《企业内部控制基本规范》简单解读 ·内部控制规范的特点、局限性和目标Ⅰ企业内部控制体系概要一、我国企业内部控制规范体系图示 2008年6月28日和2010年4月26日()(18+2项指引的颁布生效.flv)，财政部等五部委分两次联合颁布了《企业内部控制基本规范》、18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，还于2010年7月出台了操作应用指南。这标志着我国内部控制规范体系基本形成。我国企业内部控制规范体系图二、企业内控配套指引的层级应用指引应用指引(已出台的有18项)：以公司治理为起点，从内部环境开始，到流程、控制点，到控制手段，覆盖了企业经营管理的方方面面和各个环节。·18/26个，与会计准则体系层及对应。·分为三类：A 内部环境类5：有组织架构、发展战略、人力资源、企业文化和社会责任等5项，A类指引对企业层面相关控制加以规范；B 控制活动类9：资金活动、采购业务、资产管理等9项；C 控制手段类4：全面预算、合同管理等4项。BC类指引是从梳理流程开始，找出风险点和薄弱环节，提出控制措施。·这18项指引通俗易懂，简便易行，具有很强的操作性。·处于主体地位，为企业建立健全内部控制制度体系提供指引Ⅱ《企业内部控制基本规范》的简单解读一、基本规范的框架基本规范共7章50条。包括：总则、内部环境、风险评估、控制措施、信息与沟通、监督检查和附则。总括起来是5个5： 5部委联合发布：财政部、证监会、审计署、银监会、保监会 5个目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 5个原则：全面性、重要性、制衡性、适应性、成本效益原则 5个要素：内部环境、风险评估、控制活动、信息与沟通、内部监督 5个核心章50条二、《规范》的制定目的与依据“第一条 (目的)为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益， (依据)依据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规，制定本规范。”三、《规范》的适用范围第二条 本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。四、内部控制的5个目标1、内部控制的概念第三条 第一款 本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。（1）内部控制是一个过程，是实现目标的手段，而不是结果本身；重视过程，达到最佳结果。（2）内部控制受到组织内各层次人的影响，而不仅仅是制定出一本制度手册或规章；各层级、各部门、全体员工共同的事情。（3）对管理层或董事会而言，内部控制提供的只是合理的保证，而不是绝对的保证；客观上、不可抗力的因素影响（4）内部控制的目的在于实现企业一个或几个目标，但这些目标可能会有重复和交叉。内部牵制目的查弊纠错，保证资产安全。A. 内部牵制由三个要素构成：职责分工（不相容职务分离）；会计记录；人员轮换B. 内部牵制的两个设想是：两个或两个以上的人或部门无意识地犯同样错误的机会较少；j两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性（评：先天缺陷：串通舞弊）kC. 内部牵制的四项职能是：(1)实物牵制：指两个或两个以上的人员共同掌管必要的实物工具，共同操作才能完成一定程序的牵制。如，钥匙交两个以上的人持有(2)物理牵制主要采取程序制约，利用既定标准或业务处理程序来控制各个部门、岗位或人员。如，银库大门按非正确手续操作就会报警（电脑控制）(3)分权牵制通过组织规划与结构设计把各项业务活动按其作业环节划分后交由不同的部门或人员，实行分工负责，以防止错弊的发生。即每项业务由不同的人或部门去执行。如，授权批准人员与业务经办人员的分离(4)簿记牵制指在簿记组织方面，利用复式记账原理和账簿之间的勾稽关系，互相制约、监督和牵制。如，明细账与总账定期核对 COSO--内部控制整体框架(1992年版)Coso--全面风险管理整体框架(2004版)四、内部控制的5个目标第三条第二款：内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。1. 合规目标：促进单位经营管理合法合规 守法和诚信是单位健康发展的基石，逾越法律的短期发展终将付出沉重代价。内控制度要求单位必须将发展置于国家法律允许的基本框架之下，在守法的基础上实现自身的发展。2. 安全目标：促进维护资产安全 资产安全是投资者、债权人和其他利益相关者普遍关注的重大问题，是单位可持续发展的物质基础。良好的内部控制，应当为资产安全提供扎实的制度保障。3. 报告目标：促进提高信息报高质量 可靠的信息报告能够为单位管理层提供适合其既定目的的准确而完整的信息，能够支持管理层的决策和对营运活动及业绩的监控；同时，能够保证对外披露的信息报告的真实完整，有利于提升单位的诚信度和公信力，维护单位良好的声誉和形象。4. 经营目标：促进提高经营效率和效果为了提高企业的经营效率，客观上要求企业建立包括组织结构、业务流程在内的、具有自我控制和自我调节功能的管理机制：首先，企业应对不相容职务分设不同的岗位，形成相互牵制；其次，企业需要建立决策机制与执行机制相互配合的内控制度；最后，按照现代企业制度的要求建立决策权、执行权、监督权相统一协调的公司治理结构，确保资产安全和经营效率。 是要求企业结合自身所处的经营行业和经济环境，通过健全有效的内部控制，不断提高营运活动的赢利能力和管理效率。5. 战略目标：促进企业实现发展战略这是内部控制的终极目标。它要求单位将近期利益与长远利益结合起来，在单位经营管理中努力作出符合战略要求、有利于提升可持续发展能力和创造长久价值的策略选择。五、内部控制的5个原则第四条 企业建立与实施内部控制，应当遵循下列原则：（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。六、内部控制的5个要素内部环境 风险评估 控制活动 信息与沟通 内部监督第一、内部环境1、内部环境：规定单位的纪律与架构，影响经营管理目标的制定，塑造单位文化并影响员工的控制意识，是实施内部控制的基础。2、包括内容(1)单位的治理结构，比如董事会、监事会、管理层的分工制衡及其在内部控制中的职责权限，审计委员会职能的发挥等；(2)单位的内部机构设置及权责分配，尽管没有统一模式，但所采用的组织结构应当有利于提升管理效能，并保证信息通畅流动；(3)内部审计机制，包括内部审计机构设置、人员配备、工作开展及其独立性的保证等；1）审计委员会–有条件的企业应当在董事会下设审计委员会，并保证审计委员会及其成员的独立性。2）内部审计机构(4)单位的人力资源政策，比如关键岗位员工的强制休假制度和定期岗位轮换制度，对掌握国家秘密或重要商业秘密的员工离岗的限制性规定等；(5)单位文化，包括单位整体的风险意识和风险管理理念，董事会、经理层的诚信和道德价值观，单位全体员工的法制观念等。一般而言，董事会及单位负责人在塑造良好的内部环境中发挥关键作用。企业整体价值观。高级管理人员有责任培育积极向上的整体价值观，培养社会感和遵纪守法意识，倡导爱岗敬业、进取创新、团队协作和遵规守纪精神。高级管理人员的管理理念和经营风格。高级管理人员应当强化风险意识，避免因个人风险偏好可能给企业带来的不利影响和损失。第二、风险评估1、风险：是指一个潜在事项的发生对目标实现产生的影响；2、风险评估：是单位及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略，是实施内部控制的重要环节；3、风险评估主要包括：目标设定、风险识别、风险分析和风险应对；4、风险与可能被影响的控制目标相关联。单位必须制定与生产、销售、财务等业务相关的目标，设立可辨认、分析和管理相关风险的机制，以了解单位所面临的来自内部和外部的各种不同风险；5、风险因素：风险通常表现为各种潜在事项和因素，包括经济因素、自然环境因素、法律因素、社会因素、科学技术因素等外部因素，以及人力资源、管理、自主创新、财务、安全环保等内部因素。 内部风险因素：–高级管理人员职业操守、员工专业胜任能力、团队精神等人员素质因素；–经营方式、资产管理、业务流程设计、财务报告编制与信息披露等管理因素；–财务状况、经营成果、现金流量等基础实力因素；–研究开发、技术投入、信息技术运用等技术因素；–营运安全、员工健康、环境污染等安全环保因素。外部风险因素：–经济形势、产业政策、资源供给、利率调整、汇率变动、融资环境、市场竞争等经济因素；–法律法规、监管要求等法律因素；–文化传统、社会信用、教育基础、消费者行为等社会因素；–技术进步、工艺改进、电子商务等科技因素；–自然灾害、环境状况等自然环境因素。 6、风险识别方法企业可以采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素特别应注意总结、吸取企业过去的经验教训和同行业的经验教训，加强对高危性、多发性风险因素的关注。7、风险分析：风险分析是指分析和辨认实现有关目标可能发生的风险，以便形成确定应该如何对它们进行管理的依据。风险分析标准。企业应当针对已识别的风险因素，从风险发生的可能性和影响程度两个方面进行分析，并确定科学合理的定性、定量分析标准。风险排序。企业应当根据风险分析的结果，依据风险的重要性水平，运用专业判断，按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序，确定应当重点关注的重要风险。8、常用的风险应对策略风险应对是指企业管理层在评估了相关风险的可能性和后果，以及成本效益之后，选择一系列措施使剩余风险处于期望的风险容限以内。风险应对方法：·风险回避。企业对走出整体风险承受能力或者具体业务层次上的可接受风险水平的风险，应当实行风险回避。u2022风险承担。企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后无意采取进一步控制措施的，可以实行风险承担。u2022风险降低。企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意单独采取进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险降低。u2022风险分担。企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意借助他们力量，采取包括业务分包、购买保险等进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险分担。第三、控制活动1、控制活动：是指单位管理层根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。企业应当根据风险评估结果，采用相应控制措施将风险控制在可承受度之内2、常见的控制措施职责分工控制总体控制要求根据企业目标和职能任务，按照科学、精简、高效的原则，合理设置职能部门和工作岗位，明确各部门、各岗位的职责权限，形成各司其职、各负其责、便于考核、相互制约的工作机制。不相容职务分离制度。企业应当根据各项经济业务与事项的流程和特点，系统、完整地分析、梳理执行该经济业务与事项涉及的不相容职务，并结合岗位职责分工采取分离措施。不相容职务通常包括：授权、批准、业务经办、会计记录、财产保管、稽核检查等。u2022关键岗位轮换制度。企业应当结合岗位特点和重要程度，明确财会等关键岗位员工轮岗的期限和有关要求，建立规范的岗位轮换制度，对关键岗位的员工，可以实行强制休假制度，并确保在最长不超过5年的时间内进行岗位轮换。 如物资采购业务批准进行采购与直接办理采购即属于不相容的职务，如果这两个职务由一个人担当，即出现该员工既有权决定采购什么，采购多少，又可以决定采购价格、采购时间等，没有其他岗位或人员的监督、制约，就容易发生舞弊行为。授权控制总体控制要求u2022企业根据职责分工，明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。企业内部各级管理人员必须在授权范围内行使职权和承担责任，业务经办人员必须在授权范围内办理业务。⑴常规性授权控制。常规性授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。企业可以根据常规性授权编制权限指引并以适当形式予以公布，提高权限的透明度，加强对权限行使的监督和管理。⑵临时性授权控制。临时性授权是指企业在特殊情况、特定条件下进行的应急性授权。企业应当加强对临时性授权的管理，规范临时性授权的范围、权限、程序、责任和相关的记录措施。有条件的企业，可以采用远程办公等方式逐步减少临时性授权。⑶ 集体审议或联签制度。企业对于金额重大、重要性高、技术性强、影响范围广的经济业务与事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策意见。审核批准控制企业各部门、各岗位按照规定的授权和程序，对相关经济业务和事项的事实性、例规性、合理性以有关资料的完整性进行复核与审查，通过签署意见并签字或者签章，作出批准、不予批准或者作其他处理的决定。预算控制企业应当加强预算编制、执行、分析、考核等各环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。财产保护控制企业应当限制未经授权的人员对财产的直接接触和处置，采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施，确保财产的安全完整。会计系统控制企业应当依据《中华人民共和国会计法》、国家统一的会计制度，制定适合本企业的会计制度，明确会计凭证、会计账簿和财务报告以及相关信息披露的处理程序，规范会计政策的选用标准和审批程序，建立、完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能，确保企业财务报告真实、可靠和完整。★会计系统控置★企业会计系统的设置要求应依法设置会计机构配备会计人员会计机构负责人应具备会计师以上的专业技术职务资格大中型中央企业应设置总会计师，不得设置与其职务重叠的副职★内部会计控制三要素内部报告控制企业应当建立和完善内部报告制度，明确相关信息的收集、分析、报告和处理程序，及时提供业务流动中的重要信息，全面反映经济活动情况，增强内部管理的时效性和针对性。u2022内部报告方式通常包括例行报告、实时报告、专题报告、综合报告等。经济活动分析控制企业应当综合运用生产、购销、投资、财务等方面的信息，利用比较分析、比率分析、因素分析、趋势分析等方法，定期对企业经营管理活动进行分析，发现存在的问题，查找原因，并提出改进意见和应对措施。绩效考评控制 企业应当科学设置业绩考核指标体系，对照预算指标、盈利水平、投资回报率、安全生产目标等方面的业绩指标，对各部门和员工当期业绩进行考核和评价，兑现奖惩，强化对各部门和员工的激励与约束信息技术控制 企业应当结合实际情况和计算机信息技术应用程度，建立与本企业经营管理业务相适应的信息化控制流程，提高业务处理效率，减少和消除人为操纵因素，同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全、有效运用。第四、信息与沟通1、信息与沟通：是单位及时、准确收集、传递与内部控制相关的信息，确保信息在单位内部、单位与外部之间进行有效沟通，是实施内部控制的重要条件。2、信息与沟通的主要环节有：确认、计量、记录有效的经济业务；在财务报告中恰当揭示财务状况、经营成果和现金流量；保证管理层与单位内部、外部的顺畅流通，包括与利益相关者、监管部门、注册会计师、供应商等的沟通。3、真实及时有用：信息与沟通的方式是灵活多样的，但无论哪种方式，都应当保证信息的真实性、及时性和有用性。信息收集机制（1）内部信息u2022内部信息内容。主要包括：会计信息、生产经营信息、资本运作信息、人员变动信息、技术创新信息、综合管理信息等。u2022内部信息收集方法。企业可以通过会计资料、经营管理资料、调查研究报告、会议记录纪要、专项信息反馈、内部报刊网络等渠道和方式获取所需的内部信息。 （2）外部信息u2022外部信息内容。主要包括：政策法规信息、经济形势信息、监管要求信息、市场竞争信息、进行动态信息、客户信用信息、社会文化信息、科技进步信息等。u2022外部信息收集方法。企业可以通过立法监管部门、社会中介机构、行业协会组织、业务往来单位、市场调查研究、外部来信来访、新闻传播媒体等渠道和方式获取所需的外部信息。信息沟通机制（1）内部沟通u2022企业应当采取互联网络、电子邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时传递和共享，确保董事会、管理层和企业员工之间有效沟通。（2）外部沟通–与投资者和债权人的沟通。企业应当根据《中华人民共和国公司法》、《中华人民共和国证券法》等法律法规、企业章程的规定，通过股东大会、投资者会议、定向信息报告等方式，及时向投资者报告企业的战略规划、经营方针、投融资计划、年度预算、经营成果、财务状况、利润分配方案以及重大担保、合并分立、资产重组等方面的信息，听取投资者的意见和要求，妥善处理企业与投资者之间的关系。–与客户的沟通。企业可以通过客户座谈会、走访客户等多种形式，定期听取客户对消费偏好、销售政策、产品质量、售后服务、货款结算等方面的意见和建议，收集客户需求和客户的意见，妥善解决可能存在的控制不当问题。–与供应商的沟通。企业可以通过供需见面会、订货会、业务洽谈会等多种形式与供应商就供货渠道、产品质量、技术性能、交易价格、信用政策、结算方式等问题进行沟通，及时发现可能存在的控制不当问题。–与监管机构的沟通。企业应当及时向监管机构了解政策和监管要求及其变化，并相应完善自身的管理制度；同时，认真了解自身存在的问题，积极反映诉求和建议，努力加强与监管机构的协调。–与外部审计师的沟通。企业应当定期与外部审计师进行会晤，听取外部审计师有关财务报表审计、内部控制等方面的建议，以保证内部控制的有效运行以及双方工作的协调。–与律师的沟通。企业可以根据法定要求和实际需要，聘请律师参与有关重大业务、项目和法律纠纷的处理，并保持与律师的有效沟通。反舞弊机制反舞弊的内容。企业反舞弊工作至少应当关注：①在财务报告和信息披露方面弄虚作假。②未经授权、滥用职权或者采取其他不法方式侵占、挪用企业资产。③在开展业务活动中非法使用企业资产牟取不当利益。④企业高级管理人员舞弊给企业内部控制和经营管理可能千万的重大影响。⑤员工单独或者串通舞弊给企业造成损失。u2022完善投诉、举报管理制度。企业可以设置舞弊举报热线，明确投诉、举报处理程序、办理时限和办理要求，确保投诉、举报成为企业反舞弊和加强内部控制的重要途径。第五、内部监督监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。监督检查的方式（1）持续性监督检查持续性监督检查是指企业对建立和实施内部控制的整体情况所进行的连续的、全面的、系统的、动态的监督检查。（2）专项监督检查专项监督检查是指企业对内部控制建立与实施的某一方面或者某些方面的情况所进行的不定期的、有针对性的监督检查。监督检查的机构企业董事会所属审计委员会、内部审计机构或者实际履行内部控制监督职责的其他有关机构应当根据国家法律法规要求和企业授权，采取适当的程序和方法，对内部控制的建立与实施情况进行监督检查，形成检查结论并出具书面检查报告。监督检查的责任处理对在监督检查中发现的违反内部控制规定的行为，应当及时通报情况和反馈信息，并严格追究相关责任人的责任，维护内部控制的严肃生和权威性。内部控制缺陷（1）内部控制缺陷的概念。内部控制缺陷是指监督检查过程中发现的内部控制的设计存在漏洞、不能有效防范错误与舞弊，或者内部控制的运行存在弱点和偏差、不能及时发现并纠正错误与舞弊的情形。重大缺陷，是指业已发现的内部控制缺陷可能严重影响财务报告的真实可靠和资产的安全完整。（2）内部控制缺陷的报告。企业对在监督检查过程中发现的内部控制缺陷，应当采取适当的形式及时进行报告。对于监督检查中发现的重大缺陷或者重大风险，应当及时向董事会、审计委员会和总经理汇报。（3）内部控制缺陷的改进。企业应当分析内部控制缺陷产生的原因，并有针对性地提出和实施改进方案。COSO内部 控 制 的 理 论 COSO模型描述了环境控制、风险估计、控制活动、信息与交流以及监控等五种相互关联的控制因素，在控制企业的经营管理过程中的作用。在COSO的报告中，内部控制程序被定义为：受组织内部董事、管理层和其他人影响的，为合理确保以下目标的过程：1、经营的有效性和效率； 2、财务报告的可靠性； 3、对法律法规的遵守。构成了一个企业的管理氛围，是其他内部控制要素的基础。员工的职业道德和操守、胜任能力；管理层的管理哲学和风格；董事会和内部监督机构的设置；内部组织结构设置及责任权限的划分；人力资源政策及执行等。控制活动是确保管理层的决策和指令得以执行的政策和程序。控制活动包括：核准、授权、验证、调节、复核经营绩效、保障资产安全及职务分工等。监督是由适当的人员评估内部控制的设计和运作情况的过程。

债券投资关键岗位不得兼任或混合操作 中国证券报记者独家获悉，中国证券业协会(简称“中证协”)会同中国证券投资基金业协会(简称“中基协”)正在制定《证券基金经营机构债券投资交易业务内控指引》(简称《指引》征求意见稿)，目前正处在征求意见阶段。 据记者了解，《指引》征求意见稿主要内容包括证券基金经营机构开展债券投资交易相关业务的总体要求、债券投资交易相关业务的内控体系要求、风险控制管理要求、业务管理要求、人员管理要求、自律管理要求等方面。 对于内控体系，《指引》征求意见稿要求债券投资交易业务所涉及的合规管理、风险控制、清算交收、财务核算等中后台部门应当集中统一管理。涉及债券投资交易的经纪、自营、承销、资管、投顾等业务应当分开办理，并在人员、账户、资金、信息等方面严格分类，以防范利益冲突。债券投资交易的投资决策、交易执行、风险控制、清算交收等关键岗位应当专人负责、相互监督，不得岗位兼任或者混合操作。 对于风险管理，《指引》征求意见稿在总体层面要求证券基金经营机构自营和资管业务参与债券投资交易应当纳入公司全面风险管理体系，投顾业务涉及债券投资交易的，应当建立健全相应合规与风控制度，重点对自营和资管业务参与债券投资交易进行规定，对投顾业务涉及债券投资交易的情况提出了原则性要求。在具体的风险管理层面，《指引》征求意见稿要求证券基金经营机构证券自营或资管业务参与债券投资交易，应当建立以“风险指标管理”、“内部评级”、“额度管理”和“交易监控”为核心的多维度风险管理体系。 对于业务管理，《指引》征求意见稿从审批权限、业务流程、询价管理、协议管理等方面规范证券基金经营机构债券投资交易业务的开展，并对现券、回购、远期、借贷四类业务应当关注的重点环节提出要求。此外，《指引》要求证券基金经营机构应当根据要求报送相关数据。 业内人士表示，随着债券市场不断发展，监管部门高度重视债券投资交易业务内部控制和风险管理。相关法律法规、规范性文件及自律规则陆续完善，将督促各类市场参与者健全债券交易相关的各项内控制度，规范债券交易行为。

应属于强制披露。

1、内部控制审计和内部审计是两个概念。前者，按照您的内容所述，应该是指外部会计师事务所对企业的内部控制评价进过测试、评估等一系列审计程序后，出具相应的内部控制报告；后者，是企业内部的内部审计团队自行对企业的各种情况实施各种不同类型的保证或咨询业务，最终出具相应的内部审计报告或咨询报告。2、对上市公司进行内部控制审计的事务所，同样可以是对上市公司进行财务报表审计的事务所。内部控制审核和内部控制审计，简单说，前者可以理解为两种情形：1）内部控制制定时，对内部控制涉及或运作的审核，避免其中存在差错或拖沓；2）内部控制执行过程中，对内部控制过程中形成成果的审核，通常视作是对不同岗位权限的运用过程。内部控制审计，既可以由外部会计师事务所来实施，也可以由企业内部的内部审计部门来实施。只是由于外部会计师事务所比企业内部的内部审计部门的独立性更强，因此在上市公司公布年报时，要求其必须提供一份由外部会计师事务所鉴证的内部控制审计报告。

2016年2月1日，基金业协会发布《私募投资基金管理人内部控制指引》，进一步明确了私募基金监管的范围和要求，明确了私募基金内部控制的原则和应当采取的措施。我们对该通知进行了深度解读，以帮助大家能够更好地理解和管理基金。 由于设立私募基金管理人（下称“管理人”）不设行政审批，在中国资本市场高速发展的带动下，截至2015年12月底，基金业协会已登记管理人25,005家。管理人的经营管理水平、风险控制能力良莠不齐，给私募基金行业带来了极大的风险隐患。有鉴于此，中国基金业协会（下称“协会”）发布了《私募投资基金管理人内部控制指引》（下称“《内控指引》”）。 对于管理人而言，《内控指引》的出台意味着更高的监管要求和更大的责任。为了方便管理人理解《内控指引》，我们初步总结了如下十大内控要点：一、明确提出了“专业化”的要求根据《内控指引》第八条，私募基金管理人应当遵循专业化运营原则，主营业务清晰，不得兼营与私募基金管理无关或存在利益冲突的其他业务。《内控指引》本身并未对“与私募基金管理无关或存在利益冲突的其他业务”做出明确定义，但是根据我们之前对协会相关文件的研究，我们理解民间借贷、民间融资、配资业务、小额理财、小额借贷、P2P/P2B、众筹、保理、担保、房地产开发、交易平台等业务均被视为存在利益冲突。此外，如果名称和经营范围不含有“基金管理”、“投资管理”、“资产管理”、“股权投资”等相关字样，协会将不予登记。如果管理人尚未设立，则在前期筹划的时候应当充分考虑前述要求。对于已经登记的管理人也并非完全高枕无忧。我们建议所有管理人进行内查，如果不符合前述要求，很可能在随后的协会核查中被要求整改。二、要求防范不正当关联交易、利益输送和内部人控制风险根据《内控指引》第九条，私募基金管理人应当健全治理结构，防范不正当关联交易、利益输送和内部人控制风险，保护投资者利益和自身合法权益。根据我们的经验，我们提醒管理人注意如下问题：（1）管理人内部是否建立关联交易制度，以防止不正当关联交易损害LP或其他投资人利益？（2）如是，制度是否要求管理人应主动避免可能导致利益冲突的关联交易，发生关联交易的，是否要求履行必要的内部审批程序并进行披露？（3）对关联交易的审批。管理人与其关联方之间是否存在损害LP或其他投资人利益或者显失公平的关联交易，经营行为是否存在利益冲突？（4）对于与关联方相关的业务，是否履行了必要的内部控制程序，是否经过适当的授权和审批？此外，还有诸多其他问题有待于协会的进一步解释和我们的解读，比如，如何设计跟投机制才能避免被认定为不正当关联交易、利益输送和内部人控制风险？是否可以授权GP或者某个LP以参与投资权？三、明确了对人力资源的要求根据《内控指引》第十一条，私募基金管理人应当建立有效的人力资源管理制度，健全激励约束机制，确保工作人员具备与岗位要求相适应的职业操守和专业胜任能力。私募基金管理人应具备至少2名高级管理人员。关于管理人普遍关心的投资团队跟投机制，在《内控指引》中并没有明确提及。前述“激励约束机制”是否包括跟投机制，还有待于协会的进一步解释。前述“高级管理人员”指私募基金管理人的董事长、总经理、副总经理、执行事务合伙人（委派代表）、合规风控负责人以及实际履行上述职务的其他人员。值得注意的是，根据《私募投资基金管理人登记和基金备案办法（试行）》第十六条，从事私募基金业务的专业人员应当具备私募基金从业资格。具备以下条件之一的，可以认定为具有私募基金从业资格：（一）通过基金业协会组织的私募基金从业资格考试；（二）最近三年从事投资管理相关业务；（三）基金业协会认定的其他情形。我们建议所有管理人对基金从业人员的资格进行内查。即使已经通过了基金管理人登记，协会未来也可能会对管理人进行核查。关于从业资格，我们也欢迎基金管理人就此与我们进一步讨论协会的监管趋势。四、明确提出了设置合规风控高级管理人员的要求根据《内控指引》第十二条，私募基金管理人应当设置负责合规风控的高级管理人员。负责合规风控的高级管理人员，应当独立地履行对内部控制监督、检查、评价、报告和建议的职能，对因失职渎职导致内部控制失效造成重大损失的，应承担相关责任。值得注意的一点是，在《私募投资基金管理人内部控制指引（征求意见稿）》中，原文是“负责合规风控的高级管理人员，应当独立地履行对内部控制监督、检查、评价、报告和建议的职能，并与私募基金管理人主要负责人共同对内部控制失效造成的重大损失承担相关责任”。两者对比，不难发现负责合规风控的高级管理人员（下称“合规高管”）从“并与私募基金管理人主要负责人共同对内部控制失效造成的重大损失承担相关责任”变成了“对因失职渎职导致内部控制失效造成重大损失的，应承担相关责任”。这一条对于负责合规高管来说是双刃剑。一方面，合规高管将承担更大的风险；而另一方面，合规高管也会凭借这一条提高合规风控在管理人中的地位。从立法技术而言，在我们看来这一条在《内控指引》中应该是最具四两拨千斤的一条。没有这个条款，管理人的内控制度不免流于形式，而有了这个条款，相信任何一个合规高管都会空前重视管理人的合规建设。

企业内部控制应当遵循全面性、重要性、制衡性、适应性和成本效益原则制定。对企业的所有业务重新树立，优化内部环境，搞好风险评估，加强控制活动，确保信息畅通，强化内部监督，促进企业实现发展战略。1、完善制度建设、实施内部控制。以《企业内部控制规范-基本规范》、《企业内部控制基本规范》、《企业内部控制配套指引》等文件为依据，结合企业实际情况，全面梳理原有管理制度，在符合内部控制要求的前提下，着眼于管理创新、建立适合本企业的内部控制管理体系，明确相关部门人员的指责和权限，推行全面管理，提倡全员参与，建立彼此牵制、彼此连接、彼此制约的内控制度。2、明确控制目标，优化内部控制环境。内部控制制度重点是围绕会计核算和会计监督环节来设置的。一般说来，健全的内部控制制度应能有效预防错误和舞弊的发生。即使发生了，也容易及时发觉和纠正。因此，在设计时必须明确控制目标，充分考虑各项内部控制制度是否符合内部控制基本原则，认真检查关键控制点是否进行了控制，所有的控制目标是否已达到。控制环境是指对建立或实施某项政策发生影响的各种因素，主要反映单位管理者和其他人员对控制的态度、认识和行动。企业内部控制应当建立在共同的道德规范的基础上，强调沟通和感情的交流，消除管理者和被管理者之间的隔膜，强调每一个人的积极性，形成真正意义上的团队精神。只有当企业凝聚起来一种文化氛围、企业价值观、企业精神、经营境界和广大员工所认同的道德规范和行为方式，才能为内部控制程序的执行创造良好的人文环境，也只有企业中的每一个员工目标明确，观念相同，内部控制才能更有效。3、提高会计人员素质。会计人员素质是加强内部控制的关键，企业要通过科学合理的聘用、培训、轮岗、考核、奖励、晋升、淘汰等办法，提高财会人员整体素质。在聘用会计人员上，要制定严格的招聘程序，不仅要选择业务能力强的人，更要注意选择那些具有良好的道德观、价值观的人才。在会计人员安排上，要实行工作岗位轮换制，通过轮换及时发现存在的问题，抑制部分人员的不良动机。要建立考核、奖励、晋升、淘汰机制，定期对会计人员进行业绩、道德品质、思想操守等综合考核，奖优罚劣，充分激发会计人员的积极性和责任感。在培养人才上，不仅要定期进行业务培训，不断提升业务水平，更要注意其职业道德及法制观念的培养。4、加强内部监督。企业内部控制是一个过程，这个过程是通过纳入管理制度及活动实现的。因此，要确保内部控制制度被切实地执行，且执行效果良好，其必须被监督。企业应设置内部审计机构或建立内部控制自我评估系统，加强对本企业内部会计控制的监督和评估，及时发现漏洞和隐患，并针对出现的新问题和新情况及内部控制执行中的薄弱环节，及时修正或改进。做到有章可循，违章必究，违规必罚，以罚促纠。5、实施预算控制，提高内控水平。实行全面预算，搞好各业务事项的事前预测、事中控制、事后分析，将企业的经营目标转化为各生产厂、各部门、各岗位以至个人的具体行为目标。预算控制内容应涵盖企业经营活动的全过程，强化预算控制，通过预算的编制和考核预算的执行情况，动态分析执行结果，及时纠正偏差，确保预算执行到位。并与管理者的绩效工资挂钩，节将超罚，充分发挥预算的灵魂作用。6、加强内外部信息交流与沟通，加强反舞弊机制。企业应建立建立上传下达的有效机制。通过建立组织机构制定岗位责任制来实现。还应注意信息沟通的有效性和及时性。重视和加强反舞弊机制建，通过各种方式，鼓励员工及企业利益方举报和投诉企业内部的违法违纪行为。企业还应注意于外部关系人以适当的形式进行及时沟通与反馈。比如于注册会计师、客户、供应商等。7、会计电算化。会计电算化是现代会计发展的必然，因此我们要加快会计电算化建设，有效地加强会计内部控制与防范计算机风险。部分企业已实施ERP工程，在工作中要运用既定程序对各项会计业务进行检查，建立一套先进的会计内部控制信息系统，用现代化手段对会计数据进行整理分析。在应用软件开发中，设计会计业务处理程序时要将制约、监督等风险控制防范功能融人其中，使操作人员必须按照职责权限和有制约的操作程序才能进人系统处理会计业务，以达到防范技术风险和计算机犯罪。总之，加强实施内部控制能够规范社会主义市场经济秩序，确保国民经济稳定、持续、健康地向前发展。有活力的内部控制制度应该是推动企业创新的制度，只有企业全体职工齐心协力，相互支持，相互激励，企业内部会计控制才能发挥应有的作用，才能促进企业健康有序发展。

根据《内控指引》第八条，基金管理人应当遵循专业化运营原则，主营业务清晰，不得兼营与私募基金管理无关或存在利益冲突的其他业务。《内控指引》本身并未对“与私募基金管理无关或存在利益冲突的其他业务”做出明确定义，但是根据我们之前对协会相关文件的研究，我们理解民间借贷、民间融资、配资业务、小额理财、小额借贷、P2P/P2B、众筹、保理、担保、房地产开发、交易平台等业务均被视为存在利益冲突。此外，如果名称和经营范围不含有“基金管理”、“投资管理”、“资产管理”、“股权投资”等相关字样，协会将不予登记。如果管理人尚未设立，则在前期筹划的时候应当充分考虑前述要求。

企业内部控制基本规范的发布，无论对于巩固企业防范风险舞弊的“防火墙”，还是铸牢促进资本市场健康稳定发展的“安”，都将发挥十分重要的基本作用。日前，在《企业内部控制基本规范》发布会上，财政部副部长王军如是说。 　　王军指出，企业内部控制基本规范的制定发布和若干配套指引的公开征求意见，是继我国企业会计准则、企业审计准则正式颁布和顺利实施之后，财政、审计、证券监管、银行监管、保险监管和国有资产管理部门以实际行动贯彻落实科学发展观、促进企业和资本市场又好又快发展的又一重大举措。我们要像保护眼睛一样保护这个平台，让内部控制这棵幼苗成长为替企业和单位遮荫蔽雨的“参天大树”，为金融安全和经济安全保驾护航的“守护神”。 　　王军表示，这次法规的出台意义深远。构建了一个标准框架。科学地构建了一套内部环境优化、风险评估科学、控制措施得当、信息沟通迅捷、监督制约有力的内部控制框架。可以有效地解决政出多门、要求不一、企业无所适从的问题，有利于提高内部控制的监管效益、降低监管成本，有利于优化企业管理和增强企业竞争实力，有利于保障资本安全、维护资本市场稳定。 　　强化了一种内控理念。进一步强化了企业的社会责任感和风险防范意识，实现了由内部牵制、单一会计控制向全面、全员、全程的风险控制的观念转变，必将在全社会营造一种立信守诚、和谐进取、健康向上的内控文化，对深化企业改革，推进金融改革，健全现代市场体系和构建和谐社会具有重要推动作用。 　　建立了一套内控措施。进一步强化了对财务报告信息和其他管理信息的约束，提高了企业资源管理与利用的安全性和有效性，为维护投资者和社会公众利益提供了有力支持。 　　夯实了一个制度基础。基本规范的制定实施，既是促进企业会计准则体系和其他有关法规制度有效执行的配套制度安排，同时也是推动企业内部各项规章制度令行禁止的重要机制保障。 　　确立了一个实施模式。有效地化解了标准制度与实施过程中不同利益主体之间可能存在的矛盾和冲突，提高了内控标准的严肃性、权威性和公认性，增强了标准的执行力。 　　构筑了一个联动平台。在环环相扣、相互关联的大会计系统之中，完备的会计法规为会计改革与发展创造了良好的法制环境。 　　王军强调，基本规范的发布只是取得了阶段性的成果，下一步的任务更加艰巨，要着力抓好六个方面的工作：一是着力抓好实施准备工作，研究制定具体实施办法，采取有效措施降低企业实施成本，稳步扩大基本规范实施范围。二是着力加强宣传培训，为贯彻实施基本规范营造良好的舆论氛围和社会环境。三是着力健全内控标准体系，逐步建立一套以基本规范为统领，以评价指引、应用指引和鉴证指引等配套办法为补充的内控标准体系，不断完善以法制为推动，以企业实施为主体、以政府监管和社会评价为保障、以各方面积极参与为促进的内控实施体系。四是着力巩固民主决策机制，充分调动各方面的积极性、主动性和创造性，为建设高质量的内控标准体系提供强大智力支持。五是着力推进内控国际趋同，通过促成我国内部控制标准与国际内部控制框架的趋同乃至等效，为我国企业走出去提供支持。六是着力创建有国际影响力的制度体系，致力于创建适应国情、体现原创、纵横交错、互为联系、独树一帜、影响世界的中国会计制度体系，进一步提升中国会计的国际影响力，更好地为经济社会可持续发展服务。 　　企业内部控制有章可循 　　日前，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》（以下简称基本规范）。基本规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。基本规范坚持立足我国国情、借鉴国际惯例，确立了我国企业建立和实施内部控制的基础框架，并取得了重大突破。 　　一是科学界定内部控制的内涵，强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 　　二是准确定位内部控制的目标，要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上，着力促进企业实现发展战略。 　　三是合理确定内部控制的原则，要求企业在建立和实施内部控制全过程中贯彻全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。 　　四是统筹构建内部控制的要素，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。 　　五是开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制。

制定内控体包括的内容：职责分离、授权批准、相互制约、监督检查，企业建立与实施内控体系应当遵循的五项原则：全面性原则；重要性原则；制衡性原则；适应性原则；成本效益原则。扩展资料：企业的内控体系应当贯穿于企业经营活动的决策、执行和监督的各个阶段、各个层级，涵盖了营管企业每一项经理活动的过程始终，体现了内部控制的全面、全员、全过程控制的特性。内部控制体系是为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性，而自行检查、制约和调整内部业务活动的自律系统。参考资料：百度百科-内控体系

首先行业不同，方式方法也不同，以一个行业为例 XY股份有限公司为符合上市公司内控法规要求，提高企业经营管理水平和风险防范能力，促进企业可持续发展，根据财政部、证监会等五部委印发的企业内部控制基本规范及配套指引的要求，聘请外部咨询公司，2011年3月起着手进行内控体系建设工作。根据《企业内部控制基本规范》及其配套指引要求，结合国外公司经验，企业内部控制体系建设通常分为4个阶段，内部控制梳理、内部控制整改固化、内部控制自我评价和内部控制审计，其中前3个阶段是内控建设核心工作，需由企业主导完成，内控审计由审计师在企业配合下实施。为做实做好内控规范体系建设工作，公司于2011年3月正式成立内控工作领导小组，由公司董事长牵头，高层领导主管、总部各部门负责人及各分子公司总经理作为组员，负责组织领导公司内部控制规范化建设工作。2011年3月中旬召开内控实施项目启动会，对公司内控建设工作进行了部署和动员，并制定公司内控实施计划及工作方案。 一、建立内控建设组织架构，明确相关人员职责。内部控制建设作为一项长期系统性地工程，并非一蹴而就，公司决定建立一种长效领导机制持续运作。公司内控体系建设组织架构图如下，并明确董事长为内部控制实施工作的第一责任人；公司总经理、副总经理为内控实施的具体负责人。 （一）内控领导小组职责经第六届第十次董事会审议通过，公司成立风险管理委员会，成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士，作为内控工作领导小组。风险管理委员会对董事会负责，主要履行以下职责:（1）负责营造良好的内部控制建设环境；（2）负责制定公司内部控制战略规划，提出总体建设方案；（3）负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；（4）部署内部控制建设、执行及监督活动等；（5）审议《内控手册》的编制、修改及更新；（6）提交《内部控制评价报告》；（7）协调公司内部控制建设的重大事项；（8）考核内部控制建设的相关人员，保持公司整体利益和方向的一致性。（二）内控项目小组职责1、公司在风险管理委员会下设立风险管理委员会办公室作为内控项目组，主要履行下列职责:（1）全面贯彻执行风险管理委员会关于内部控制建设的精神和方针；（2）制定公司内部控制建设阶段性的目标及实施方案，提交风险管理委员会审核；（3）负责内部控制建设的有效实施和运行，落实内部控制建设的具体责任；（4）研究提出《内部控制评价报告》；（5）负责公司《内控手册》的编制、修改及更新；（6）审核在内部控制建设过程中存在的问题，督促各部门进行整改。2、公司在风险管理委员会办公室细分为4大系统，即风控系统、战略与证券系统、财务系统和运营系统，明确各系统的具体职责。3、风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心及战略人力资源部，配备33名专职人员。各业务单位、职能部门及子公司（事业部）在风险管理委员会办公室的指导下共同参与、实施内控建设工作。4、审核委员会作为公司内部控制体系有效性的监督机构，监督内部控制的有效实施和内部控制自我评价情况，审核及监督外部审计机构是否独立客观及审计程序是否有效，审核公司的财务信息及其披露，协调内部控制审计及其他相关事宜。（三）责任部门及工作预算与内控工作小组相对应，公司确认了内部控制建设的责任部门，即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控项目工作制定了相关预算，包括内控咨询、内控审计及人力成本费用、培训费用等。为保证内控建设工作的专业化、系统化和合理化，公司聘请询公司作为外部咨询机构为公司提供专业支持，协助公司梳理、构建及完善内部控制总体架构，帮助公司识别内部控制存在的薄弱环节和主要风险，有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。 风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控缺陷整改、开展内控评价等工作，为公司培养内部控制建设及评价人才。二、内控体系建设工作具体推进内部控制建设工作，公司将分为五个阶段，时间从2011年4月1日至2012年1月31日，总体安排如下:（一）确定内控实施范围（2011年4月10日前完成）根据证监局文件精神，结合公司实际，本次内控实施范围为股份公司、一家上海子公司及一家广州子公司。按照《企业内部控制基本规范》及其配套指引要求，结合公司业务性质，公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程，以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。 各流程责任人如下（××代表责任人姓名）:流程第一责任人 具体负责人 内控协调人 中介机构责任发展战略 × × ×组织架构 × × × × 注:上述责任人适用于内控建设中的每个阶段。（二）风险识别及评估（2011年5月31日前完成）1、流程梳理:公司通过访谈、审阅文档或问卷调查等方式梳理流程，明确上述12大流程的相应子流程，完善组织架构和审批授权指引，根据统一的模板编制业务流程图。在流程梳理过程中，及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等内控缺失的工作流程，采取相应的措施规范操作流程，避免内部舞弊等重大风险出现，提高工作效率。2、风险识别:结合《企业内部控制基本规范》及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料，从风险发生的可能性和影响程度，对子流程中涉及到的每个控制点进行综合分析，识别固有风险，评价风险等级，形成风险清单。3、文档记录:根据风险等级，识别流程中的关键控制活动，并在流程图中进行编号；编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进行记录。4、查找内控缺陷:将公司现有制度和控制措施流与风险清单进行比对，通过穿行测试、控制测试等手段，获取关于内控设计和运行有效性的证据，查找内控缺陷，形成《风险数据库》和《内控风险诊断和评价报告》。对发现的重大缺陷及时报告董事会及管理层，管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。（三）确定内控缺陷整改方案（2011年6月30日前完成）1、编制《内部控制管理建议书》:公司对发现的内控缺陷进行分类分析，确定内控缺陷的重要性程度，区分设计缺陷和运行缺陷，形成《内部控制管理建议书》。2、制定内控缺陷整改方案:公司根据《内部控制管理建议书》和具体的控制缺陷，提出整改时间及责任部门、人员，形成内控缺陷整改方案。3、提交审议:内控缺陷整改方案应当经过风险管理委员会审议通过。（四）内控缺陷整改（2011年9月30日前完成）1、落实整改、提交报告:责任部门将按照内控缺陷整改方案对发现的缺陷进行逐一整改，完善公司各项内部控制管理制度和控制措施，提交《内控缺陷整改报告》；内控项目组连同中介机构对缺陷整改情况进行运行有效性测试，形成《内控运行测试报告》。2、编制《内部控制手册》:内控项目组根据风险清单和各项内控文档等资料，编制《内部控制手册》，并对手册内容进行实施辅导和推进执行。3、编制《内控自我评估工作指引》:内控项目组编制《内控自我评估工作指引》，为下一步内控自我评价工作的开展奠定基础。4、提交审议:《内控缺陷整改报告》、《内控运行测试报告》、《内部控制手册》及《内控自我评估工作指引》应报风险管理委员会审议。（五）内控持续推进和内控自我评价公司在内控体系成果完成后，将予以持续推进，并根据辖区证监局要求，公司将于每季度结束后的10个工作日内，向证监局报送内控进展情况说明，并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以及拟采取的解决措施等。通过以上工作，公司初步建立健全了内部控制体系，有效提高了内控管理水平。 三、企业内控体系的“落地”和持续推进XY公司在完成内控体系初步建设完成后具体推行过程中，一些部门和员工或因对新的内控制度理解不够，或因由于长期工作习惯难以改变，或因内控制度变革触及自身利益而不愿遵循，使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去，并保持内控体系的持续完善和提高，是管理层迫切需要解决的难题。为了切实将内控制度体系真正“落地”，XY公司通过全方位内控培训、加强内控检查与监督、完善考核及激励机制以及借助第三方专业机构的持续辅导等措施，有力地保证了内控建设的持续维护，公司的内控建设取得了卓有成效的进展。具体来说，采取的主要措施有:（一）完善内控工作组织架构，成立内控部，强化审计部，建立推进内控工作的组织机构和运行机制。通过对国际大企业内控建设的现状和过程的全面考察，XY公司发现要实行有效的内部控制，必须建立相配套的组织架构。为此，公司由管理高层成立了内控工作领导小组，各子公司管理层对应的成立内控管理小组；在部门设置上，XY公司新成立了内控部，各下属子公司根据其规模大小设立内控部或内控负责岗，负责内控建设工作；在内控监督上，转变了原有的审计部的职责，增加了内控评价和检查的功能，并由公司董事会的审计委员会直接领导，在规模较大的子公司同时设立内部审计专员，负责子公司的内控自查。（二）注重内控环境建设，进行全方位内控培训。XY公司通过一系列的培训和辅导，提高各层级管理人员和基础员工对内控理念的认识，营造有利的内控工作开展的文化环境。首先，公司抓好以普及内控基本知识、营造内控实施环境的宣传工作。公司内控部组织编制了《内控宣传册》，在股份公司各职能部门和下属公司主要管理干部范围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识，减少内控推进的思想阻力。其次，公司根据内控规范实施的进度，围绕内部控制的各个方面，开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训，对内控制度的编制和实施起了极大的推进作用。（三）建立内控推进的沟通机制，保证内控建设持续性和问题解决的及时性。自内控制度建设正式推进以来，为了保证推进的执行力，公司开展了全方位的信息沟通机制，实现了信息的实时传递，和通畅的上传下达。首先，XY公司建立了周例会制度。内控领导小组每周组织内控工作例会，由公司董事或审计委员会主任主持，参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报“内控工作一周报告”，汇报内控的进展情况、存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项，并由内控领导小组组长对相关的具体问题提出意见和工作指导，会后股份公司内控部负责对每家子公司进行回复，保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会，并抄送相关子公司的管理层，保证管理高层对内控进展的时刻了解。其次，公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进行工作总结，由内控部在股份公司管理层、子公司管理层以及相关内控负责人之间进行通报，督促各子公司的内控执行力。第三，建立了重大项目的单独汇报机制。各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和股份内控部进行汇报，以实时处理可能的重大风险。此外，股份公司的内控部长、审计部长、财务总监的联系方式向子公司的所有内控负责人和内控专员公开，作为信息直接传递的一个重要渠道，帮助股份公司及时了解下属子公司内控风险。 （四）完善内控评价检查机制，建立了多层次的内控检查体系。为了保证内控制度的落地和真正有效的执行，公司从各子公司到股份公司的内控部和审计部，再到外部独立的第三方中介，建立了全方位的内控评价和检查体系。股份公司内控部对各业务循环定期开展内控检查，通过发放内控调查清单以及内控专员的现场检查，发现子公司在内控建设中的不足，并及时下发风险联系函、风险关注函和风险警示函，以帮助子公司及时进行内控整改和完善。其中联系函主要是对子公司联系函件的回复为主；关注函主要是对子公司发生的业务表示关注，一般要求对方在一定时间内给出书面说明；警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。股份公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化，审计部编制了内控评价底稿通过检查，对子公司形成内控建设的量化评价，并针对检查中发现的问题出具改进建议，并要求各子公司在规定的时间内予以整改，总部内控部对子公司整改措施和整改质量进行全程的监督，整改完成后，审计部及时予以复查，确保审计中发现的问题能及时整改。（五）将内控建设纳入绩效考核，通过奖惩机制实现内控的有效性。首先，为有效发挥各下属子公司的管理者在内控推进中的作用和积极性，自200×年开始，股份公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中，明确了管理班子对于内部控制建设的责任和关键任务。通过这种绩效考核，激励管理层切实关注和推动内控的执行工作，从而为内控工作的推进建立良好环境。其次，对于股份公司向各子公司委派的重要人员也直接与内控建设挂钩。公司出台了《委派内控人员绩效考核管理办法》，对各个子公司的内控负责人实施全面的内控建设考核，明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制，进一步促进了委派内控人员的工作落实力度；其次，对于股份委派的财务负责人，也在其年度考核的总分中（100分制）纳入了相当比重的的内控建设的相关内容，从财务职能加强了对子公司的内控推进。（六）充分发挥专业中介机构力量XY公司在开始建立内控体系即聘请的专业咨询公司提供咨询服务，在整个体系建立过程中，充分发挥咨询公司专业力量，并聘请专业顾问对公司人员进行培训，提高公司人员内控理念和技能。在内控体系初步建立之后，仍继续与咨询公司保持合作，借助咨询公司在专业及独立性方面优势，共同推进公司内控持续建设工作，在内控持续建设工作中，专业咨询公司提供了大量了专业意见和培训辅导服务，帮助公司完善各项成果，使得公司的内控持续建设取得了令人瞩目的成效。 四、企业内控体系建设过程的经验和启示在公司董事会、各层级管理人员和基础员工不懈努力下，公司内部控制体系的建设取得了一系列的良好效果，全公司各级员工的风险管理意识显著提高，对风险的理解和重视切入到各个业务和管理环；强化了各项经营活动的规范化操作，实现了重大经营活动的集体化决策机制，有效防范了决策风险；提高了公司的财务管理水平，保证了从产业公司到股份公司的各层级财务数据的真实公允以及资金、资产的安全；加强了公司对新经营环境下管理风险的关注；完善了公司的风险预警机制，提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。公司在内控体系建设和推进过程中，主要的经验和启示有:1、公司董事会和最高管理层的重视和亲自参与在XY公司董事会，无论是大股东委派董事、非执行董事还是独立董事，都非常重视和关心内部控制体系的建设工作。作为公司的大股东，集团对股份公司的内控建设给予了极大的理解和支持，有力的推动了产业公司的内控建设的进程。董事会的定期会议都将内部控制进展情况作为重要议题沟通，对于内部控制推进中出现的任何问题，董事会层面时刻给予相应和支持。在公司管理层方面，成立了内控领导小组，投入了大量的人力和财力，带领企业员工共同进行内部控制建设，为内部控制的推进提供了良好的内部环境，同时也激发员工的积极性和主动性，推动企业内部控制朝更顺利、更完善的方向发展。2、对内部控制理念以及其与公司其他管理体系关系的认识统一XY公司在内控推进的第一阶段大力推行高频率、大幅度的培训，帮助各级管理者以及基层员工了解内部控制的主要原理和价值，减少内控实施中的思想阻力。其次，公司统一了内控体系与其他管理体系的认识，内部控制和风险管理不是一套孤立的新的体系和制度，而是一种基于“目标－风险－控制－监督”框架的管理思路，这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去，是对企业原有的管理制度的整合和提升。3、制定了清晰明确的内部控制战略规划公司根据自身实际情况，在订并提出了内部控制的五年两步走的规划，并将其纳入到公司的5年战略规划中。第一阶段（3年），通过自上而下的刚性要求，构建全面的统一化的集团内部控制架构，并通过理念灌输形成内控推进的文化范围；第二阶段（2年），通过自下而上的，自觉的内控体系的完善，形成各个产业公司的特色化内部控制。这一从强制到自觉，从理念普及到制度完善再到内控手册的表格化提升的建设步骤，使得公司从管理高层到基层员工的各级人员都明确内部控制不同时期的不同任务及不同发展状态，稳步推进，逐步加深，为内部控制的发展道路勾画了清晰路径。4、因企制宜的实施方案XY公司意识到对于集团化企业，内部控制不能是一刀切的，公司要实行内部控制，需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的内部控制方法。首先公司在吸收了五部委内部控制基本规范和配套指引的相关精髓的基础上，结合企业经营实践，基于先主后次的重要性原则以及成本收益原则，提出了以若干业务循环作为公司内控建设的主要循环范围。其次，考虑公司的人员能力和素质，在内控成果上也没有一步到位册，而是以制度建设为基础，通过制度规范，到流程优化再到风险提炼，逐步实现内部控制的层层递进。第三，在内控推进上，公司充分考虑下属各产业公司的业务特点，确定适合各公司的内部控制方式和侧重点。5、循序渐进的实施步骤（1）自上而下的理念推进向自下而上的流程推进的递进。 在内控实施的第一阶段，公司强调自上而下的理念推进。公司通过内部培训、各种工作会议达成内控理念的统一，并向各子公司传达，之后各子公司则进行自下而上的内控流程推进，即各产业公司根据自身的内部流程，进行制度的完善，并经由公司内控部审核后实施。 （2）由总部出台框架性的制度到各个子公司制订针对性的业务流程的递进。 公司内控部结合外部力量制定框架性的制度，明确各业务循环的关键控制点和操作要求，各产业公司根据自身业务情况，在满足框架制度要求的前提下制定适合企业自身的管理制度，以求更贴近产业公司的经营管理实践。 （3）普遍性、通用性的风险点向专业性、针对性的风险点的递进。 公司首先根据对产业公司实际情况的调研，绘制公司的全面风险数据库，梳理出具有普遍性的通用性主要风险点，之后，各产业公司在实际操作中不断发现专业性、针对不同企业业务特色的独特风险，以实现内部控制的完善。 （4）抓重点公司，抓主要循环和风险、抓典型事件。 公司的内部控制遵循重要性原则，关注重点公司级重要循环与风险，并关注典型事件，以期通过重点带动全面，推动内部控制的发展。 6、借助外部专业中介机构推动内控建设 外部专业机构相对具有更丰富的内控专业力量和实施经验，并且具有客观性和独立性，XY公司在整个体系建立过程中，充分发挥咨询公司专业力量，但也没有完全依赖中介机构甩手不管，而是充分参与和配合，在内控建设过程中，实现知识传递和内控人才培养，取得了较好的实施效果。 --------------转自新浪微博《马军生-内部控制博客》。

构建风险管理下的内部控制体系的要点3.1营造良好的内部控制环境内部控制环境是内部控制实施的根本环境，是推动企业发展的动力，也是其他风险管理因素实施的基础，其对企业内部控制的构建与实施具有重大的影响，可以说企业的控制环境直接决定了其内部控制与风险管理的效率和效果。（1）深化对内部控制的理解，树立风险管理理念。深化对内部控制的理解，首先应突破对传统的内部控制的理解，应认识内部控制不仅局限于会计层面，内部控制包含更高层次的战略目标，在电力设计企业向多元化经营、总承包和海外项目转型发展的过程中，就要从战略高度进行风险管理和内部控制。再者，无论是企业的管理层，还是企业的员工都应具有风险管理意识，并把风险管理意识贯穿于企业的生产经营过程中，包括业务管理、职能管理、质量与安全管理等各方面。风险管理理念的培养可以通过企业领导层的表率作用、相关的培训及相关的规章制度来实现。（2）建立公司治理结构并充分发挥各机构职责。企业各层级各部门之间应分工明确，并相互监督、相互牵制。公司可以通过公司章程的规定及完善相关的激励约束机制来保障公司机构职责的实现。非常重要的一点是，电力设计企业的最高管理机构，要对内部控制的建立和实施负责。企业应下设内控控制与风险管理的建设、监督管理机构，各机构分别负责各方面的工作，并相互监督、相互制约。5.1完善法人治理结构，为全面风险管理的内控体系建设创造一个良好的内部控制环境。建立一个健全的内部控制体系，实际上就是完善法人治理结构的体现，大多数电力设计企业设立了内部审计机构，但多数内部审计机构隶属于财务总监或总经理领导，因此将电力设计企业的内部审计机构升级为公司董事会审计委员的组成部分或工作部门，这样将进一步明确内部审计机构在电力设计企业内部控制方面的主体地位。（3）培养员工的职业道德和胜任能力。企业员工是企业生产经营活动的执行者，员工良好的职业道德可以保证企业经营活动的顺利进行，可以避免舞弊事件的发生。员工的知识和技能必须与所在岗位所需能力相匹配，这是经营活动和内部控制活动得以有效运行的基本保障。为此，企业应以诚信等职业道德作为员工的行为准则，建立奖惩机制，加强员工的再教育，对关键岗位实行定期轮岗制。3.2设定企业战略目标企业应根据企业的使命或愿景来设定企业的战略目标，战略目标是企业的最高目标，其他目标为战略目标服务。企业根据战略目标再层层分解，并由各部门来落实。战略目标的制定应考虑企业的风险容量，企业实现战略目标所面临的风险应在企业风险容量之内。3.3完善风险管理体系企业应建立风险导向型内部控制体系，只有把风险管理落实到企业的各个环节，才能控制风险。完善企业风险管理体系，应关注一下几点：第一，建立风险预警机制。企业应通过目标分析、过程分析等方法来识别影响企业目标实现的内部及外部的潜在事项，分清潜在事项是机会还是风险，明确风险预警标准。风险预警机制的建立对企业及时抓住发展机会，及时评估、处理风险具有重大意义。第二，建立风险评估体系。企业应对已识别的风险进行进一步的分析与评估，分析潜在风险是固有风险还是剩余风险，分析风险发生的可能性及其影响，并关注重大风险。评估现有的内部控制对风险的适用性，是否需要追加程序等。在评估风险时应注意运用风险组合观。第三，建立风险反应机制。风险应对是控制风险的关键步骤，在风险评估后，企业应针对风险发生的可能性、影响的不同程度，采取不同的应对措施，其中应特别关注重大风险。风险应对措施包括回避、降低、承担和分担风险。同时，在风险应对中要考虑成本与效率的问题。3.4建立良好的控制活动企业应建立良好的控制活动以确保管理层应对风险的各种措施得以有效执行，控制活动贯穿于企业各个部门，各个层面及其活动。控制活动应该包括：对员工绩效的分析与考核，部门的自我复核，对信息处理的控制（包括一般控制和应用控制），实物资产的控制，责任划分与不相容职位相分离控制。3.5充分的信息与沟通在经营过程中，企业应建立信息的传递和沟通以确保员工了解内部控制，明确自己的职责。同时通过对外部市场信息、政策信息、顾客信息、竞争对手信息的了解和掌握，通过与各方的沟通，有利于企业及时处理风险、抓住机会，实现更好的发展。企业可以通过员工手册及建立信息收集与处理系统来实现。3.6建立内部控制监督与评价机制对内部控制的监督与评价是确保内部控制制度得到有效执行的重要手段，同时有利于企业管理层及时了解内部控制存在的问题，可以为内部控制的改进提供建议，有利于内部控制体系的不断完善，进而帮助企业控制各种风险。内部控制监督与评价机制的建立主要包括内部和外部两个方面：第一，企业应建立独立、权威的内部审计机构。内部审计机构的设置应与其他职能部门分离开来。内部审计机构应具有执行审计决定和审计结论的权利，可以建立具有较强独立性与权威性的董事会领导型或监事会领导型的内部审计机构。内部审计不应只局限于财务报表审计，应对企业资格内部控制系统进行全面的监督和评价，包括对企业财务信息、经营活动、控制活动进行审计及评价。同时应提高内部审计人员的职业道德和业务素质，及形成不同职务之间相互检查、监督的机制。第二，提高外部监督与评价。由于内部审计主要对企业领导负责，所以内部审计具有固有局限性，可能会导致一些控制缺陷在权力干预下被掩盖，不利于企业内部控制的改善。所以通常需要独立的第三方参与企业的监督与评价，以实现监督的职能。首先，应完善内部控制信息披露制度，使企业接受政府、社会的广泛监督。再者，可以借助第三方审计力量，最常见的就是定期聘请注册会计师对企业内部控制设计及执行情况进行审计及评价，并出具评审报告。这也有利于监督企业内部控制的构建与实施，也有利于及时发现企业内部控制中存在的问题。(2)风险评估中石化根据企业的发展目标，由各部门收集全面的信息来确定企业的风险容量，并根据企业可能面临的内部风险和外部风险建立以内部控制为基础的风险评估和控制体系，对企业目标的实现有重大影响的关键环节进行全面的风险评估。针对各部门面临的风险和责任制定内部控制流程。中石化根据内部审计结果及在管理过程中发现的问题，不断对《内控手册》进行修订，各分（子）公司也不断修订实施细则。动态的风险评估与应对为企业实现目标提供保障。(3)控制活动中石化的控制措施有：不相容职务分离控制、授权审批控制（以授权指引为核心)、会计系统控制（建立了统一的财务管理信息系统)、资金支付控制、财产保护控制、信息技术控制（采用先进的ERP管理信息系统控制）、计划控制、预算控制（全面预算控制）、合同管理控制、运营分析控制和科学的绩效考核控制等。并将手工控制与自动控制相结合，将预防性控制与事中发现控制结合，建立了重大风险预警机制和突发事件应急处理机制。通过业务控制矩阵明确每个控制点的业务目标、风险、责任单位、不相容岗位、记录文档等，为内部控制责任的落实提供指导。对风险的描述就体现了全面风险管理的内部控制的要求。中石化的《内控手册》保障了内部控制活动的进行，《内控手册》包含了采购、资产、信息管理、内部审计等18大类，59个业务流程，包含了企业经营管理活动的各个方面。(4)信息与沟通中石化采用先进的ERP管理信息系统，会计核算系统、资金集中管理系统、全面预算管理系统和各项业务管理等各成体系的信息系统，并实行财务信息系统集中管理。该系统让各业务部门人员的业务操作都统一在ERP系统上进行，企业录入业务数据后，生产、销售各环节即按相应的业务流程生成相关信息，并传送到公司总部数据库进行监控和分析。中石化制定了相关的管理办法和业务流程，从一般控制、应用控制等方面对信息系统进行规范和控制。企业不断完善信息搜集机制，完善信息沟通平台，《内控手册》也有相应的规定来保障企业部门之间、部门与各分或子公司之间及管理层与外界之间的沟通顺畅。中石油按照相关法规的规定定期对外披露信息，对外信息披露由董事会和总裁办公室审核。(5)内部监督中石化设立了审计委员会负责对财务报告和内部控制的审查，由审计部定期独立审查分公司和子公司。企业建立了两极内部控制日常监督机制，两极评价指的是总部综合检查和分公司、子公司自查测试。总部综合检查主要是内控领导小组负责的年度综合检查和审计部对不少于25家分（子）公司进行独立检查，及对总部进行检查。分公司、子公司自查测试工作主要是企业通过部门流程测试和有审计参与的综合检查评价进行自查测试，及总部部门自查和抽查评价。除日常监督外，中石化还建立了针对内部控制一些重大方面的监督检查。此外，中石化制定了《中石化监督制度汇编》，完善了企业的反舞弊制度。通过制定内控控制执行情况指标对内部控制进行考核。每年定期对内部控制的设计及执行情况进行评价，出具内部控制自我评价报告，并向外披露，接受外界的广泛监督，并聘请外部注册会计师对财务报告内部控制进行审计。4.4中石化内部控制的评价中石化制定《内控检查评价与考核办法》及指引来指导企业内部控制的评价。并根据《内控手册》，检查内部控制设计是否健全；据《内控手册》所适用的内容及范围，检查内部控制执行的符合性和有效性。中石化主要以内部控制缺陷认定和量化评分的方式对内部控制进行自我评价。从内部控制要素、业务流程综合检查、单位自查情况等方面对内部控制进行评价，并制定了规范的内部控制自我评价流程图来规范评价，保障评价的公正性。4.5中石化内部控制实施以来取得的效果中石化自2005年实施内部控制以来，不仅提高了企业的管理水平，企业的盈利能力也随之增强，具体来说：中石化制度化管理体制不断完善，逐步形成了以内部控制为保障，具有中国石化特色的制度化管理体系。不仅提高了企业的抗风险能力，保障企业目标的实现，也为国内其他企业内部控制的建立树立了榜样。中石化管理水平不断提高。中石油实行统一的物资釆购管理，规范企业物资采购，为企业节约了材料成本。建立了产品原料等消耗标准，使企业生产经营管理日益精细化。通过建立IT风险控制系统，使企业风险能力日益增强。内部控制及其审计，提高了审计效率和效果，使企业管理水平不断提高。内部控制的实施加快了企业规章制度的建立，明确了各企业机构、部门及各岗位的职责和权力，对业务操作流程的规范也提高了企业管理效率和管理水平。中石化内部控制的实施满足了外部监管的要求。中石化作为在境内外三地上市的公司，其内部控制的实施与披露满足了各上市地的要求，内部控制自实施以来也得到了不断的完善和改进。内部控制的实施使中石化内部环境不断优化，内部控制的实施保障了公司的体制改革，使公司治理结构不断完善，使企业文化得到了统一和贯彻实施，《员工守则》的制定规范了员工的行为，也使风险管理和诚信经营的理念深入人心。

内审要保持独立，不可以在一个部门。内控与内审有关联的地方在于：1、内审是内控环境的一个要素；2、内控的建立健全通常是在审计委员会之下由内审部门牵头完成；3、内控的有效性，要靠内审来评价，就有了“内部控制的内部审计”，在今年的内控指引中叫做“内部控制的评价”。这几个是站在内控的角度去看内审。反过来，站在内审的角度去看内控。4、了解被审计单位的内控情况，是开展内审的前期工作。内控有效的子公司，集团公司对其进行内部审计时，会减少实质性测试的抽样样本。5、内审报告需要对被审计单位提供管理建议书，其中重要的内容就是如何完善内控。

一、基础概念篇 在这里，你将熟悉，内控体系具体是什么，建立内控体系需要解决的误区以及流程体系建立的作业流程。1、内控体系建设涵盖哪些东西，主要内容是什么？国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系，所以他的具体内容与外资企业的sox404体系差不多。一般整个内控体系涵盖的内容含如下几个内控手册，风险数据库，内控评价手册。内控手册为每个作业流程的描述，内容含流程描述、流程图、授权说明、岗位职责分离说明。风险数据库可能导致风险的现象描述的汇总。风险指导致公司资产不安全，作业不合规合法，运营效率效益低下，财务报表数据不真实等。内控评价手册具体含三部分，第一部分检查制度设计合理或者文档的齐全性，第二部分检查控制过程，第三部分检查会计帐务处理控制。2、内控体系与ISO质量体系有什么区别和联系？ 目的不同：内控体系是以会计报告为主要目的，而ISO质量体系是以产品质量为主。控制活动不同：在现阶段18个指引来看，内控体系缺少对生产过程控制；而ISO质量体系则以产品质量为主，涵盖产供销价值链，但是缺少会计系统控制。涉及部门不同：在ISO体系内不存在财务部门，以研发、生产、采购、销售部门为主；内控体系几乎涵盖公司各部门，因为有句话说得好，只要是企业在运作的，其最后的运作成果就是财务数值。3、内控体系的控制活动的业务流程如何划分，如何做到将各业务流程进行涵盖？最简单的第一步就是拿到组织架构图，之后看到是否是以事业部为编制的，则是事业部的名称作为一级流程，事业部下属的部门分为二级流程，如果下属的部门涵盖多个职能则划分为三级流程。如销售事业部，则销售循环作为一级流程，下属的商务部负责订单处理的则作为订单处理作为二级流程。如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。则订单处理作为二级流程，订单处理和备货计划制定作为三级流程。4、 单个作业流程具体怎么描述，怎么将业务流程所涵盖的信息进行归纳处理？ 作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动。一个完整的作业流程应该包含6项内容，具体如下： 流程控制人：参与到作业流程中的人，具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。 控制频率：作业的时间间隔控制。控制活动：流程是如何作业的。 控制痕迹：作业完成后形成的书面痕迹 控制方式：系统控制还是人工控制。 异常控制：授权体系外的作业流程是如何控制的。 举例如下：描述超市客服处对会员积点兑换控制流程，之前描述了一个出纳盘点流程，大家都熟悉，这次描述复杂点的。 流程控制人：售后服务部的客服专员，客服主官 控制频率： 客户不定期来兑换会员积分。控制活动： 客服专员根据会员要求兑换相应的赠品，同时在xxx系统内扣除积分，并在XX赠品台帐内要求客户签字。 控制痕迹： 形成扣完积分的积分表和留有客户签字的赠品台帐。 控制方式： 兑换的系统积分由XX系统内扣除。 异常控制： 积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。 总的一句话：客户不定期对积分进行兑换，提出兑换的物品，售后服务部的客服专员在XXX系统内扣除积分，同时手工登记赠品台帐，在客户签字的情况下，将赠品进行赠送。如积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。当天营业结束前，客服主管需要对赠品台帐和积分兑换系统进行核对。5、内控体系建立的流程是怎么样的？ 大致的作业流程是这样的：（1）组织架构：先建立内控小组，为了使内控体系得到有效落实和贯彻，所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部，如果没有此类部门则最好选一名懂财务的，如财务主管，另外加一名懂业务的作为内控小组的主要作业成员，最好另外辅助2-3名人员。（2）业务运作：总经理或者董事长开内控项目启动会，同时主要成员讲述内控系统的作业和具体要求。会议结束后，内控小组给各部门提交部门的制度，内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价，同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制，最后形成内控手册。由总经理授权下发。（3）内控小组等类似部门不定期进行内控评价，并根据各职能部门的变化对内控手册进行优化等。6、如果业务部比较忙，无法绘制作业流程，那访谈怎么做？ 首先编制访谈计划，需要提供给部门接收访谈的人员一个访谈提纲。 访谈一般安排2个人，1人访谈，1人记录。记录人不要求将每句话记下来，只要将讨论的主题，以及讨论的结果记录下来即可。 访谈的时候，先讲明不是来指责部门的作业流程的缺失，而是主要是完善和建立内控体系。访谈的问题主要围绕作业流程进行，而不是扯淡的问，风险在哪里，自己说。7、流程图怎么绘制，采用什么软件？ 一般选择微软的visio绘图软件或者smart draw 绘图软件，这两者的区别是visio看上去比较正规，而smart draw 比较好看。8、作业现场是否需要绘制流程图？ 最好绘制流程图，因为在描述整个流程的时候，如果不绘制流程图，可能看不到什么遗漏。最好访谈完毕，直接将流程图绘制，之后与业务部门进行核对。9、如何完成制度对表的工作？ 制度对表的工作一般可以在进场后的或者访谈结束后，当场完成对制度的评价。制度的评价主要的风险点为：流程描述不清楚或者缺失，岗位职责人或者控制部门不明确，岗位职责未分离，异常流程未描述，控制痕迹或者流程的表单未明确，控制频率未明确，未体现控制方式。（即未描述存在手工或者系统控制。）10、如何完成风险点的汇总 现场的风险点的汇总，不是访谈人说什么风险就是风险点。而是根据访谈人提供的风险点提示，内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。而且在完成风险点之后最好与被访谈人员再次作风险点确认。11、如何完成风险点的报告？ 风险报告主要是对现有的流程的分析，所以可以按照事业部，之后将事业部涉及的流程综述，之后对各流程进行评价。而不是一堆风险点的堆砌。看上去100-200张ppt但是看得头晕。而且汇报结束老板对你不爽。12、内控检查与内审的区别和联系在哪里？ 内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。所以内控主要是流程稽核，主要的作业模式就是控制点有没有建立。 内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段，核实业务事项是否真实合理。 简单的说，就是。内控是检查你吃饭的顺序，如先吃菜再吃饭或者先吃饭再吃菜。内审就是检查吃法好不好，对于胖人吃大量的肥肉，可以建议减少摄入量。二、体系建立篇 在这里，你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。由于涉及的内容较多，我这里简单的作一个销售模块的内控体系建立，其他模块的建立可在模仿的情况下，分别建立。1、销售模式的确认 一般销售的模式分如下几种，正常销售、国际贸易、团购，涉及到酒类或者其他制造业会涉及到品牌销售模式。 这里解释一下品牌销售模式，即允许被授权商生产与自己相同的产品，贴自己的商标和品牌，收取品牌或者商标费的一种作业模式。2、正常销售的流程划分 由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。其实这提到的可以将其作为一场流程进行控制。 一级流程：为销售流程。二级流程：可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。 三级流程：其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。其中如果是系统控制，则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更，最后由谁来审核。 信用管理流程可以划分为客户准入评价流程，不定期评价流程及信用变更流程。由于这一块基本上很少有客户在进行作业或者处理，所以在调研流程的时候，可能客户不会提供该流程，所以在编制内控手册的时候，需要做好与客户的随时沟通。 合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。 订单处理流程可以划分为正常订单处理流程，订单取消流程和逾期未处理订单流程等。 备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。 发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。 收款入账流程。 发票开具流程含客户提交增值税资质流程和开票流程。 应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账冲销流程。 如果调研或者访谈的时候将上述流程调研清楚，同时在内控手册中描述清楚，那么销售模块基本上就完成了

一、基础概念篇 在这里，你将熟悉，内控体系具体是什么，建立内控体系需要解决的误区以及流程体系建立的作业流程。1、内控体系建设涵盖哪些东西，主要内容是什么？国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系，所以他的具体内容与外资企业的sox404体系差不多。一般整个内控体系涵盖的内容含如下几个内控手册，风险数据库，内控评价手册。内控手册为每个作业流程的描述，内容含流程描述、流程图、授权说明、岗位职责分离说明。风险数据库可能导致风险的现象描述的汇总。风险指导致公司资产不安全，作业不合规合法，运营效率效益低下，财务报表数据不真实等。内控评价手册具体含三部分，第一部分检查制度设计合理或者文档的齐全性，第二部分检查控制过程，第三部分检查会计帐务处理控制。2、内控体系与ISO质量体系有什么区别和联系？ 目的不同：内控体系是以会计报告为主要目的，而ISO质量体系是以产品质量为主。控制活动不同：在现阶段18个指引来看，内控体系缺少对生产过程控制；而ISO质量体系则以产品质量为主，涵盖产供销价值链，但是缺少会计系统控制。涉及部门不同：在ISO体系内不存在财务部门，以研发、生产、采购、销售部门为主；内控体系几乎涵盖公司各部门，因为有句话说得好，只要是企业在运作的，其最后的运作成果就是财务数值。3、内控体系的控制活动的业务流程如何划分，如何做到将各业务流程进行涵盖？最简单的第一步就是拿到组织架构图，之后看到是否是以事业部为编制的，则是事业部的名称作为一级流程，事业部下属的部门分为二级流程，如果下属的部门涵盖多个职能则划分为三级流程。如销售事业部，则销售循环作为一级流程，下属的商务部负责订单处理的则作为订单处理作为二级流程。如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。则订单处理作为二级流程，订单处理和备货计划制定作为三级流程。4、 单个作业流程具体怎么描述，怎么将业务流程所涵盖的信息进行归纳处理？ 作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动。一个完整的作业流程应该包含6项内容，具体如下： 流程控制人：参与到作业流程中的人，具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。 控制频率：作业的时间间隔控制。控制活动：流程是如何作业的。 控制痕迹：作业完成后形成的书面痕迹 控制方式：系统控制还是人工控制。 异常控制：授权体系外的作业流程是如何控制的。 举例如下：描述超市客服处对会员积点兑换控制流程，之前描述了一个出纳盘点流程，大家都熟悉，这次描述复杂点的。 流程控制人：售后服务部的客服专员，客服主官 控制频率： 客户不定期来兑换会员积分。控制活动： 客服专员根据会员要求兑换相应的赠品，同时在xxx系统内扣除积分，并在XX赠品台帐内要求客户签字。 控制痕迹： 形成扣完积分的积分表和留有客户签字的赠品台帐。 控制方式： 兑换的系统积分由XX系统内扣除。 异常控制： 积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。 总的一句话：客户不定期对积分进行兑换，提出兑换的物品，售后服务部的客服专员在XXX系统内扣除积分，同时手工登记赠品台帐，在客户签字的情况下，将赠品进行赠送。如积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。当天营业结束前，客服主管需要对赠品台帐和积分兑换系统进行核对。5、内控体系建立的流程是怎么样的？ 大致的作业流程是这样的：（1）组织架构：先建立内控小组，为了使内控体系得到有效落实和贯彻，所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部，如果没有此类部门则最好选一名懂财务的，如财务主管，另外加一名懂业务的作为内控小组的主要作业成员，最好另外辅助2-3名人员。（2）业务运作：总经理或者董事长开内控项目启动会，同时主要成员讲述内控系统的作业和具体要求。会议结束后，内控小组给各部门提交部门的制度，内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价，同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制，最后形成内控手册。由总经理授权下发。（3）内控小组等类似部门不定期进行内控评价，并根据各职能部门的变化对内控手册进行优化等。6、如果业务部比较忙，无法绘制作业流程，那访谈怎么做？ 首先编制访谈计划，需要提供给部门接收访谈的人员一个访谈提纲。 访谈一般安排2个人，1人访谈，1人记录。记录人不要求将每句话记下来，只要将讨论的主题，以及讨论的结果记录下来即可。 访谈的时候，先讲明不是来指责部门的作业流程的缺失，而是主要是完善和建立内控体系。访谈的问题主要围绕作业流程进行，而不是扯淡的问，风险在哪里，自己说。7、流程图怎么绘制，采用什么软件？ 一般选择微软的visio绘图软件或者smart draw 绘图软件，这两者的区别是visio看上去比较正规，而smart draw 比较好看。8、作业现场是否需要绘制流程图？ 最好绘制流程图，因为在描述整个流程的时候，如果不绘制流程图，可能看不到什么遗漏。最好访谈完毕，直接将流程图绘制，之后与业务部门进行核对。9、如何完成制度对表的工作？ 制度对表的工作一般可以在进场后的或者访谈结束后，当场完成对制度的评价。制度的评价主要的风险点为：流程描述不清楚或者缺失，岗位职责人或者控制部门不明确，岗位职责未分离，异常流程未描述，控制痕迹或者流程的表单未明确，控制频率未明确，未体现控制方式。（即未描述存在手工或者系统控制。）10、如何完成风险点的汇总 现场的风险点的汇总，不是访谈人说什么风险就是风险点。而是根据访谈人提供的风险点提示，内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。而且在完成风险点之后最好与被访谈人员再次作风险点确认。11、如何完成风险点的报告？ 风险报告主要是对现有的流程的分析，所以可以按照事业部，之后将事业部涉及的流程综述，之后对各流程进行评价。而不是一堆风险点的堆砌。看上去100-200张ppt但是看得头晕。而且汇报结束老板对你不爽。12、内控检查与内审的区别和联系在哪里？ 内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。所以内控主要是流程稽核，主要的作业模式就是控制点有没有建立。 内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段，核实业务事项是否真实合理。 简单的说，就是。内控是检查你吃饭的顺序，如先吃菜再吃饭或者先吃饭再吃菜。内审就是检查吃法好不好，对于胖人吃大量的肥肉，可以建议减少摄入量。二、体系建立篇 在这里，你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。由于涉及的内容较多，我这里简单的作一个销售模块的内控体系建立，其他模块的建立可在模仿的情况下，分别建立。1、销售模式的确认 一般销售的模式分如下几种，正常销售、国际贸易、团购，涉及到酒类或者其他制造业会涉及到品牌销售模式。 这里解释一下品牌销售模式，即允许被授权商生产与自己相同的产品，贴自己的商标和品牌，收取品牌或者商标费的一种作业模式。2、正常销售的流程划分 由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。其实这提到的可以将其作为一场流程进行控制。 一级流程：为销售流程。二级流程：可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。 三级流程：其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。其中如果是系统控制，则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更，最后由谁来审核。 信用管理流程可以划分为客户准入评价流程，不定期评价流程及信用变更流程。由于这一块基本上很少有客户在进行作业或者处理，所以在调研流程的时候，可能客户不会提供该流程，所以在编制内控手册的时候，需要做好与客户的随时沟通。 合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。 订单处理流程可以划分为正常订单处理流程，订单取消流程和逾期未处理订单流程等。 备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。 发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。 收款入账流程。 发票开具流程含客户提交增值税资质流程和开票流程。 应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账冲销流程。 如果调研或者访谈的时候将上述流程调研清楚，同时在内控手册中描述清楚，那么销售模块基本上就完成了

内控体系建立的流程是怎么样的？大致的作业流程是这样的：（1）组织架构：先建立内控小组，为了使内控体系得到有效落实和贯彻，所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部，如果没有此类部门则最好选一名懂财务的，如财务主管，另外加一名懂业务的作为内控小组的主要作业成员，最好另外辅助2-3名人员。（2）业务运作：总经理或者董事长开内控项目启动会，同时主要成员讲述内控系统的作业和具体要求。会议结束后，内控小组给各部门提交部门的制度，内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价，同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制，最后形成内控手册。由总经理授权下发。（3）内控小组等类似部门不定期进行内控评价，并根据各职能部门的变化对内控手册进行优化等。

内控体系建立的流程是怎么样的？大致的作业流程是这样的：（1）组织架构：先建立内控小组，为了使内控体系得到有效落实和贯彻，所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部，如果没有此类部门则最好选一名懂财务的，如财务主管，另外加一名懂业务的作为内控小组的主要作业成员，最好另外辅助2-3名人员。（2）业务运作：总经理或者董事长开内控项目启动会，同时主要成员讲述内控系统的作业和具体要求。会议结束后，内控小组给各部门提交部门的制度，内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价，同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制，最后形成内控手册。由总经理授权下发。（3）内控小组等类似部门不定期进行内控评价，并根据各职能部门的变化对内控手册进行优化等。

企业内部控制规范体系简介 ·企业内部控制规范体系概要 ·《企业内部控制基本规范》简单解读 ·内部控制规范的特点、局限性和目标Ⅰ企业内部控制体系概要一、我国企业内部控制规范体系图示 2008年6月28日和2010年4月26日()(18+2项指引的颁布生效.flv)，财政部等五部委分两次联合颁布了《企业内部控制基本规范》、18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，还于2010年7月出台了操作应用指南。这标志着我国内部控制规范体系基本形成。我国企业内部控制规范体系图二、企业内控配套指引的层级应用指引应用指引(已出台的有18项)：以公司治理为起点，从内部环境开始，到流程、控制点，到控制手段，覆盖了企业经营管理的方方面面和各个环节。·18/26个，与会计准则体系层及对应。·分为三类：A 内部环境类5：有组织架构、发展战略、人力资源、企业文化和社会责任等5项，A类指引对企业层面相关控制加以规范；B 控制活动类9：资金活动、采购业务、资产管理等9项；C 控制手段类4：全面预算、合同管理等4项。BC类指引是从梳理流程开始，找出风险点和薄弱环节，提出控制措施。·这18项指引通俗易懂，简便易行，具有很强的操作性。·处于主体地位，为企业建立健全内部控制制度体系提供指引Ⅱ《企业内部控制基本规范》的简单解读一、基本规范的框架基本规范共7章50条。包括：总则、内部环境、风险评估、控制措施、信息与沟通、监督检查和附则。总括起来是5个5： 5部委联合发布：财政部、证监会、审计署、银监会、保监会 5个目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 5个原则：全面性、重要性、制衡性、适应性、成本效益原则 5个要素：内部环境、风险评估、控制活动、信息与沟通、内部监督 5个核心章50条二、《规范》的制定目的与依据“第一条 (目的)为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益， (依据)依据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规，制定本规范。”三、《规范》的适用范围第二条 本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。四、内部控制的5个目标1、内部控制的概念第三条 第一款 本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。（1）内部控制是一个过程，是实现目标的手段，而不是结果本身；重视过程，达到最佳结果。（2）内部控制受到组织内各层次人的影响，而不仅仅是制定出一本制度手册或规章；各层级、各部门、全体员工共同的事情。（3）对管理层或董事会而言，内部控制提供的只是合理的保证，而不是绝对的保证；客观上、不可抗力的因素影响（4）内部控制的目的在于实现企业一个或几个目标，但这些目标可能会有重复和交叉。内部牵制目的查弊纠错，保证资产安全。A. 内部牵制由三个要素构成：职责分工（不相容职务分离）；会计记录；人员轮换B. 内部牵制的两个设想是：两个或两个以上的人或部门无意识地犯同样错误的机会较少；j两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性（评：先天缺陷：串通舞弊）kC. 内部牵制的四项职能是：(1)实物牵制：指两个或两个以上的人员共同掌管必要的实物工具，共同操作才能完成一定程序的牵制。如，钥匙交两个以上的人持有(2)物理牵制主要采取程序制约，利用既定标准或业务处理程序来控制各个部门、岗位或人员。如，银库大门按非正确手续操作就会报警（电脑控制）(3)分权牵制通过组织规划与结构设计把各项业务活动按其作业环节划分后交由不同的部门或人员，实行分工负责，以防止错弊的发生。即每项业务由不同的人或部门去执行。如，授权批准人员与业务经办人员的分离(4)簿记牵制指在簿记组织方面，利用复式记账原理和账簿之间的勾稽关系，互相制约、监督和牵制。如，明细账与总账定期核对 COSO--内部控制整体框架(1992年版)Coso--全面风险管理整体框架(2004版)四、内部控制的5个目标第三条第二款：内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。1. 合规目标：促进单位经营管理合法合规 守法和诚信是单位健康发展的基石，逾越法律的短期发展终将付出沉重代价。内控制度要求单位必须将发展置于国家法律允许的基本框架之下，在守法的基础上实现自身的发展。2. 安全目标：促进维护资产安全 资产安全是投资者、债权人和其他利益相关者普遍关注的重大问题，是单位可持续发展的物质基础。良好的内部控制，应当为资产安全提供扎实的制度保障。3. 报告目标：促进提高信息报高质量 可靠的信息报告能够为单位管理层提供适合其既定目的的准确而完整的信息，能够支持管理层的决策和对营运活动及业绩的监控；同时，能够保证对外披露的信息报告的真实完整，有利于提升单位的诚信度和公信力，维护单位良好的声誉和形象。4. 经营目标：促进提高经营效率和效果为了提高企业的经营效率，客观上要求企业建立包括组织结构、业务流程在内的、具有自我控制和自我调节功能的管理机制：首先，企业应对不相容职务分设不同的岗位，形成相互牵制；其次，企业需要建立决策机制与执行机制相互配合的内控制度；最后，按照现代企业制度的要求建立决策权、执行权、监督权相统一协调的公司治理结构，确保资产安全和经营效率。 是要求企业结合自身所处的经营行业和经济环境，通过健全有效的内部控制，不断提高营运活动的赢利能力和管理效率。5. 战略目标：促进企业实现发展战略这是内部控制的终极目标。它要求单位将近期利益与长远利益结合起来，在单位经营管理中努力作出符合战略要求、有利于提升可持续发展能力和创造长久价值的策略选择。五、内部控制的5个原则第四条 企业建立与实施内部控制，应当遵循下列原则：（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。六、内部控制的5个要素内部环境 风险评估 控制活动 信息与沟通 内部监督第一、内部环境1、内部环境：规定单位的纪律与架构，影响经营管理目标的制定，塑造单位文化并影响员工的控制意识，是实施内部控制的基础。2、包括内容(1)单位的治理结构，比如董事会、监事会、管理层的分工制衡及其在内部控制中的职责权限，审计委员会职能的发挥等；(2)单位的内部机构设置及权责分配，尽管没有统一模式，但所采用的组织结构应当有利于提升管理效能，并保证信息通畅流动；(3)内部审计机制，包括内部审计机构设置、人员配备、工作开展及其独立性的保证等；1）审计委员会–有条件的企业应当在董事会下设审计委员会，并保证审计委员会及其成员的独立性。2）内部审计机构(4)单位的人力资源政策，比如关键岗位员工的强制休假制度和定期岗位轮换制度，对掌握国家秘密或重要商业秘密的员工离岗的限制性规定等；(5)单位文化，包括单位整体的风险意识和风险管理理念，董事会、经理层的诚信和道德价值观，单位全体员工的法制观念等。一般而言，董事会及单位负责人在塑造良好的内部环境中发挥关键作用。企业整体价值观。高级管理人员有责任培育积极向上的整体价值观，培养社会感和遵纪守法意识，倡导爱岗敬业、进取创新、团队协作和遵规守纪精神。高级管理人员的管理理念和经营风格。高级管理人员应当强化风险意识，避免因个人风险偏好可能给企业带来的不利影响和损失。第二、风险评估1、风险：是指一个潜在事项的发生对目标实现产生的影响；2、风险评估：是单位及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略，是实施内部控制的重要环节；3、风险评估主要包括：目标设定、风险识别、风险分析和风险应对；4、风险与可能被影响的控制目标相关联。单位必须制定与生产、销售、财务等业务相关的目标，设立可辨认、分析和管理相关风险的机制，以了解单位所面临的来自内部和外部的各种不同风险；5、风险因素：风险通常表现为各种潜在事项和因素，包括经济因素、自然环境因素、法律因素、社会因素、科学技术因素等外部因素，以及人力资源、管理、自主创新、财务、安全环保等内部因素。 内部风险因素：–高级管理人员职业操守、员工专业胜任能力、团队精神等人员素质因素；–经营方式、资产管理、业务流程设计、财务报告编制与信息披露等管理因素；–财务状况、经营成果、现金流量等基础实力因素；–研究开发、技术投入、信息技术运用等技术因素；–营运安全、员工健康、环境污染等安全环保因素。外部风险因素：–经济形势、产业政策、资源供给、利率调整、汇率变动、融资环境、市场竞争等经济因素；–法律法规、监管要求等法律因素；–文化传统、社会信用、教育基础、消费者行为等社会因素；–技术进步、工艺改进、电子商务等科技因素；–自然灾害、环境状况等自然环境因素。 6、风险识别方法企业可以采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素特别应注意总结、吸取企业过去的经验教训和同行业的经验教训，加强对高危性、多发性风险因素的关注。7、风险分析：风险分析是指分析和辨认实现有关目标可能发生的风险，以便形成确定应该如何对它们进行管理的依据。风险分析标准。企业应当针对已识别的风险因素，从风险发生的可能性和影响程度两个方面进行分析，并确定科学合理的定性、定量分析标准。风险排序。企业应当根据风险分析的结果，依据风险的重要性水平，运用专业判断，按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序，确定应当重点关注的重要风险。8、常用的风险应对策略风险应对是指企业管理层在评估了相关风险的可能性和后果，以及成本效益之后，选择一系列措施使剩余风险处于期望的风险容限以内。风险应对方法：·风险回避。企业对走出整体风险承受能力或者具体业务层次上的可接受风险水平的风险，应当实行风险回避。u2022风险承担。企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后无意采取进一步控制措施的，可以实行风险承担。u2022风险降低。企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意单独采取进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险降低。u2022风险分担。企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意借助他们力量，采取包括业务分包、购买保险等进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险分担。第三、控制活动1、控制活动：是指单位管理层根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。企业应当根据风险评估结果，采用相应控制措施将风险控制在可承受度之内2、常见的控制措施职责分工控制总体控制要求根据企业目标和职能任务，按照科学、精简、高效的原则，合理设置职能部门和工作岗位，明确各部门、各岗位的职责权限，形成各司其职、各负其责、便于考核、相互制约的工作机制。不相容职务分离制度。企业应当根据各项经济业务与事项的流程和特点，系统、完整地分析、梳理执行该经济业务与事项涉及的不相容职务，并结合岗位职责分工采取分离措施。不相容职务通常包括：授权、批准、业务经办、会计记录、财产保管、稽核检查等。u2022关键岗位轮换制度。企业应当结合岗位特点和重要程度，明确财会等关键岗位员工轮岗的期限和有关要求，建立规范的岗位轮换制度，对关键岗位的员工，可以实行强制休假制度，并确保在最长不超过5年的时间内进行岗位轮换。 如物资采购业务批准进行采购与直接办理采购即属于不相容的职务，如果这两个职务由一个人担当，即出现该员工既有权决定采购什么，采购多少，又可以决定采购价格、采购时间等，没有其他岗位或人员的监督、制约，就容易发生舞弊行为。授权控制总体控制要求u2022企业根据职责分工，明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。企业内部各级管理人员必须在授权范围内行使职权和承担责任，业务经办人员必须在授权范围内办理业务。⑴常规性授权控制。常规性授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。企业可以根据常规性授权编制权限指引并以适当形式予以公布，提高权限的透明度，加强对权限行使的监督和管理。⑵临时性授权控制。临时性授权是指企业在特殊情况、特定条件下进行的应急性授权。企业应当加强对临时性授权的管理，规范临时性授权的范围、权限、程序、责任和相关的记录措施。有条件的企业，可以采用远程办公等方式逐步减少临时性授权。⑶ 集体审议或联签制度。企业对于金额重大、重要性高、技术性强、影响范围广的经济业务与事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策意见。审核批准控制企业各部门、各岗位按照规定的授权和程序，对相关经济业务和事项的事实性、例规性、合理性以有关资料的完整性进行复核与审查，通过签署意见并签字或者签章，作出批准、不予批准或者作其他处理的决定。预算控制企业应当加强预算编制、执行、分析、考核等各环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。财产保护控制企业应当限制未经授权的人员对财产的直接接触和处置，采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施，确保财产的安全完整。会计系统控制企业应当依据《中华人民共和国会计法》、国家统一的会计制度，制定适合本企业的会计制度，明确会计凭证、会计账簿和财务报告以及相关信息披露的处理程序，规范会计政策的选用标准和审批程序，建立、完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能，确保企业财务报告真实、可靠和完整。★会计系统控置★企业会计系统的设置要求应依法设置会计机构配备会计人员会计机构负责人应具备会计师以上的专业技术职务资格大中型中央企业应设置总会计师，不得设置与其职务重叠的副职★内部会计控制三要素内部报告控制企业应当建立和完善内部报告制度，明确相关信息的收集、分析、报告和处理程序，及时提供业务流动中的重要信息，全面反映经济活动情况，增强内部管理的时效性和针对性。u2022内部报告方式通常包括例行报告、实时报告、专题报告、综合报告等。经济活动分析控制企业应当综合运用生产、购销、投资、财务等方面的信息，利用比较分析、比率分析、因素分析、趋势分析等方法，定期对企业经营管理活动进行分析，发现存在的问题，查找原因，并提出改进意见和应对措施。绩效考评控制 企业应当科学设置业绩考核指标体系，对照预算指标、盈利水平、投资回报率、安全生产目标等方面的业绩指标，对各部门和员工当期业绩进行考核和评价，兑现奖惩，强化对各部门和员工的激励与约束信息技术控制 企业应当结合实际情况和计算机信息技术应用程度，建立与本企业经营管理业务相适应的信息化控制流程，提高业务处理效率，减少和消除人为操纵因素，同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全、有效运用。第四、信息与沟通1、信息与沟通：是单位及时、准确收集、传递与内部控制相关的信息，确保信息在单位内部、单位与外部之间进行有效沟通，是实施内部控制的重要条件。2、信息与沟通的主要环节有：确认、计量、记录有效的经济业务；在财务报告中恰当揭示财务状况、经营成果和现金流量；保证管理层与单位内部、外部的顺畅流通，包括与利益相关者、监管部门、注册会计师、供应商等的沟通。3、真实及时有用：信息与沟通的方式是灵活多样的，但无论哪种方式，都应当保证信息的真实性、及时性和有用性。信息收集机制（1）内部信息u2022内部信息内容。主要包括：会计信息、生产经营信息、资本运作信息、人员变动信息、技术创新信息、综合管理信息等。u2022内部信息收集方法。企业可以通过会计资料、经营管理资料、调查研究报告、会议记录纪要、专项信息反馈、内部报刊网络等渠道和方式获取所需的内部信息。 （2）外部信息u2022外部信息内容。主要包括：政策法规信息、经济形势信息、监管要求信息、市场竞争信息、进行动态信息、客户信用信息、社会文化信息、科技进步信息等。u2022外部信息收集方法。企业可以通过立法监管部门、社会中介机构、行业协会组织、业务往来单位、市场调查研究、外部来信来访、新闻传播媒体等渠道和方式获取所需的外部信息。信息沟通机制（1）内部沟通u2022企业应当采取互联网络、电子邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时传递和共享，确保董事会、管理层和企业员工之间有效沟通。（2）外部沟通–与投资者和债权人的沟通。企业应当根据《中华人民共和国公司法》、《中华人民共和国证券法》等法律法规、企业章程的规定，通过股东大会、投资者会议、定向信息报告等方式，及时向投资者报告企业的战略规划、经营方针、投融资计划、年度预算、经营成果、财务状况、利润分配方案以及重大担保、合并分立、资产重组等方面的信息，听取投资者的意见和要求，妥善处理企业与投资者之间的关系。–与客户的沟通。企业可以通过客户座谈会、走访客户等多种形式，定期听取客户对消费偏好、销售政策、产品质量、售后服务、货款结算等方面的意见和建议，收集客户需求和客户的意见，妥善解决可能存在的控制不当问题。–与供应商的沟通。企业可以通过供需见面会、订货会、业务洽谈会等多种形式与供应商就供货渠道、产品质量、技术性能、交易价格、信用政策、结算方式等问题进行沟通，及时发现可能存在的控制不当问题。–与监管机构的沟通。企业应当及时向监管机构了解政策和监管要求及其变化，并相应完善自身的管理制度；同时，认真了解自身存在的问题，积极反映诉求和建议，努力加强与监管机构的协调。–与外部审计师的沟通。企业应当定期与外部审计师进行会晤，听取外部审计师有关财务报表审计、内部控制等方面的建议，以保证内部控制的有效运行以及双方工作的协调。–与律师的沟通。企业可以根据法定要求和实际需要，聘请律师参与有关重大业务、项目和法律纠纷的处理，并保持与律师的有效沟通。反舞弊机制反舞弊的内容。企业反舞弊工作至少应当关注：①在财务报告和信息披露方面弄虚作假。②未经授权、滥用职权或者采取其他不法方式侵占、挪用企业资产。③在开展业务活动中非法使用企业资产牟取不当利益。④企业高级管理人员舞弊给企业内部控制和经营管理可能千万的重大影响。⑤员工单独或者串通舞弊给企业造成损失。u2022完善投诉、举报管理制度。企业可以设置舞弊举报热线，明确投诉、举报处理程序、办理时限和办理要求，确保投诉、举报成为企业反舞弊和加强内部控制的重要途径。第五、内部监督监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。监督检查的方式（1）持续性监督检查持续性监督检查是指企业对建立和实施内部控制的整体情况所进行的连续的、全面的、系统的、动态的监督检查。（2）专项监督检查专项监督检查是指企业对内部控制建立与实施的某一方面或者某些方面的情况所进行的不定期的、有针对性的监督检查。监督检查的机构企业董事会所属审计委员会、内部审计机构或者实际履行内部控制监督职责的其他有关机构应当根据国家法律法规要求和企业授权，采取适当的程序和方法，对内部控制的建立与实施情况进行监督检查，形成检查结论并出具书面检查报告。监督检查的责任处理对在监督检查中发现的违反内部控制规定的行为，应当及时通报情况和反馈信息，并严格追究相关责任人的责任，维护内部控制的严肃生和权威性。内部控制缺陷（1）内部控制缺陷的概念。内部控制缺陷是指监督检查过程中发现的内部控制的设计存在漏洞、不能有效防范错误与舞弊，或者内部控制的运行存在弱点和偏差、不能及时发现并纠正错误与舞弊的情形。重大缺陷，是指业已发现的内部控制缺陷可能严重影响财务报告的真实可靠和资产的安全完整。（2）内部控制缺陷的报告。企业对在监督检查过程中发现的内部控制缺陷，应当采取适当的形式及时进行报告。对于监督检查中发现的重大缺陷或者重大风险，应当及时向董事会、审计委员会和总经理汇报。（3）内部控制缺陷的改进。企业应当分析内部控制缺陷产生的原因，并有针对性地提出和实施改进方案。COSO内部 控 制 的 理 论 COSO模型描述了环境控制、风险估计、控制活动、信息与交流以及监控等五种相互关联的控制因素，在控制企业的经营管理过程中的作用。在COSO的报告中，内部控制程序被定义为：受组织内部董事、管理层和其他人影响的，为合理确保以下目标的过程：1、经营的有效性和效率； 2、财务报告的可靠性； 3、对法律法规的遵守。构成了一个企业的管理氛围，是其他内部控制要素的基础。员工的职业道德和操守、胜任能力；管理层的管理哲学和风格；董事会和内部监督机构的设置；内部组织结构设置及责任权限的划分；人力资源政策及执行等。控制活动是确保管理层的决策和指令得以执行的政策和程序。控制活动包括：核准、授权、验证、调节、复核经营绩效、保障资产安全及职务分工等。监督是由适当的人员评估内部控制的设计和运作情况的过程。

仅供参考一、基础概念篇在这里，你将熟悉，内控体系具体是什么，建立内控体系需要解决的误区以及流程体系建立的作业流程。1、内控体系建设涵盖哪些东西，主要内容是什么？国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系，所以他的具体内容与外资企业的sox404体系差不多。一般整个内控体系涵盖的内容含如下几个内控手册，风险数据库，内控评价手册。内控手册为每个作业流程的描述，内容含流程描述、流程图、授权说明、岗位职责分离说明。风险数据库可能导致风险的现象描述的汇总。风险指导致公司资产不安全，作业不合规合法，运营效率效益低下，财务报表数据不真实等。内控评价手册具体含三部分，第一部分检查制度设计合理或者文档的齐全性，第二部分检查控制过程，第三部分检查会计帐务处理控制。2、内控体系与ISO质量体系有什么区别和联系？目的不同：内控体系是以会计报告为主要目的，而ISO质量体系是以产品质量为主。控制活动不同：在现阶段18个指引来看，内控体系缺少对生产过程控制；而ISO质量体系则以产品质量为主，涵盖产供销价值链，但是缺少会计系统控制。涉及部门不同：在ISO体系内不存在财务部门，以研发、生产、采购、销售部门为主；内控体系几乎涵盖公司各部门，因为有句话说得好，只要是企业在运作的，其最后的运作成果就是财务数值。3、内控体系的控制活动的业务流程如何划分，如何做到将各业务流程进行涵盖？最简单的第一步就是拿到组织架构图，之后看到是否是以事业部为编制的，则是事业部的名称作为一级流程，事业部下属的部门分为二级流程，如果下属的部门涵盖多个职能则划分为三级流程。如销售事业部，则销售循环作为一级流程，下属的商务部负责订单处理的则作为订单处理作为二级流程。如商务部有两个功能除了订单处理还涉及到销售货品的备货计划制定。则订单处理作为二级流程，订单处理和备货计划制定作为三级流程。4、 单个作业流程具体怎么描述，怎么将业务流程所涵盖的信息进行归纳处理？作业流程就是描述一个为达到特定的价值目标而由不同的人分别共同完成的一系列活动。一个完整的作业流程应该包含6项内容，具体如下：流程控制人：参与到作业流程中的人，具体描述的时候应注意该控制人所涉及的部门及岗位具体名称。控制频率：作业的时间间隔控制。控制活动：流程是如何作业的。控制痕迹：作业完成后形成的书面痕迹控制方式：系统控制还是人工控制。异常控制：授权体系外的作业流程是如何控制的。举例如下：描述超市客服处对会员积点兑换控制流程，之前描述了一个出纳盘点流程，大家都熟悉，这次描述复杂点的。流程控制人：售后服务部的客服专员，客服主官控制频率： 客户不定期来兑换会员积分。控制活动： 客服专员根据会员要求兑换相应的赠品，同时在xxx系统内扣除积分，并在XX赠品台帐内要求客户签字。控制痕迹： 形成扣完积分的积分表和留有客户签字的赠品台帐。控制方式： 兑换的系统积分由XX系统内扣除。异常控制： 积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。总的一句话：客户不定期对积分进行兑换，提出兑换的物品，售后服务部的客服专员在XXX系统内扣除积分，同时手工登记赠品台帐，在客户签字的情况下，将赠品进行赠送。如积分不够，如客户要求加钱补足积分，则客户专员需得到客服主管的口头授权，在收取钱款后并在赠品台帐做书面说明。当天营业结束前，客服主管需要对赠品台帐和积分兑换系统进行核对。5、内控体系建立的流程是怎么样的？大致的作业流程是这样的：（1）组织架构：先建立内控小组，为了使内控体系得到有效落实和贯彻，所以内控小组的组长最好是总经理或者董事长。主要的作业人员最好是公司的内审部门或者新建的内控部或者风险管理部，如果没有此类部门则最好选一名懂财务的，如财务主管，另外加一名懂业务的作为内控小组的主要作业成员，最好另外辅助2-3名人员。（2）业务运作：总经理或者董事长开内控项目启动会，同时主要成员讲述内控系统的作业和具体要求。会议结束后，内控小组给各部门提交部门的制度，内控小组完成制度的对标和梳理工作。各职能部门限期内提交流程。内控小组根据内控指引对现有的作业流程的描述进行评价，同时开展小组会议对各职能部门未设置的流程及有缺欠的流程进行优化重组。内控小组根据谈论完毕的各流程进行内控手册的编制和流程图的绘制，最后形成内控手册。由总经理授权下发。（3）内控小组等类似部门不定期进行内控评价，并根据各职能部门的变化对内控手册进行优化等。6、如果业务部比较忙，无法绘制作业流程，那访谈怎么做？首先编制访谈计划，需要提供给部门接收访谈的人员一个访谈提纲。访谈一般安排2个人，1人访谈，1人记录。记录人不要求将每句话记下来，只要将讨论的主题，以及讨论的结果记录下来即可。访谈的时候，先讲明不是来指责部门的作业流程的缺失，而是主要是完善和建立内控体系。访谈的问题主要围绕作业流程进行，而不是扯淡的问，风险在哪里，自己说。7、流程图怎么绘制，采用什么软件？一般选择微软的visio绘图软件或者smart draw 绘图软件，这两者的区别是visio看上去比较正规，而smart draw 比较好看。8、作业现场是否需要绘制流程图？最好绘制流程图，因为在描述整个流程的时候，如果不绘制流程图，可能看不到什么遗漏。最好访谈完毕，直接将流程图绘制，之后与业务部门进行核对。9、如何完成制度对表的工作？制度对表的工作一般可以在进场后的或者访谈结束后，当场完成对制度的评价。制度的评价主要的风险点为：流程描述不清楚或者缺失，岗位职责人或者控制部门不明确，岗位职责未分离，异常流程未描述，控制痕迹或者流程的表单未明确，控制频率未明确，未体现控制方式。（即未描述存在手工或者系统控制。）10、如何完成风险点的汇总现场的风险点的汇总，不是访谈人说什么风险就是风险点。而是根据访谈人提供的风险点提示，内控人员通过系统或者会计凭证等书面资料核实完毕之后再归纳汇总至风险点。而且在完成风险点之后最好与被访谈人员再次作风险点确认。11、如何完成风险点的报告？风险报告主要是对现有的流程的分析，所以可以按照事业部，之后将事业部涉及的流程综述，之后对各流程进行评价。而不是一堆风险点的堆砌。看上去100-200张ppt但是看得头晕。而且汇报结束老板对你不爽。12、内控检查与内审的区别和联系在哪里？内控检查的主要目的是建立和明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。所以内控主要是流程稽核，主要的作业模式就是控制点有没有建立。内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段，核实业务事项是否真实合理。简单的说，就是。内控是检查你吃饭的顺序，如先吃菜再吃饭或者先吃饭再吃菜。内审就是检查吃法好不好，对于胖人吃大量的肥肉，可以建议减少摄入量。二、体系建立篇在这里，你将熟悉每个控制活动所涉及的每个流程应该做的内控要点以及关键控制点的描述。由于涉及的内容较多，我这里简单的作一个销售模块的内控体系建立，其他模块的建立可在模仿的情况下，分别建立。1、销售模式的确认一般销售的模式分如下几种，正常销售、国际贸易、团购，涉及到酒类或者其他制造业会涉及到品牌销售模式。这里解释一下品牌销售模式，即允许被授权商生产与自己相同的产品，贴自己的商标和品牌，收取品牌或者商标费的一种作业模式。2、正常销售的流程划分由于正常销售可划分为单次销售或者通过订货会或者其他模式先签订框架合同这种销售模式进行作业。其实这提到的可以将其作为一场流程进行控制。一级流程：为销售流程。二级流程：可以划分为销售定价、信用管理、合同签订、订单处理、备货处理、发货签收、收款入账处理、开票管理、应收款管理等。三级流程：其中销售定价流程可以划分为年度销售定价流程、中期价格变更或者临时价格变更流程。其中如果是系统控制，则需要明确哪个部门的什么岗位在系统中进行价格的录入和变更，最后由谁来审核。信用管理流程可以划分为客户准入评价流程，不定期评价流程及信用变更流程。由于这一块基本上很少有客户在进行作业或者处理，所以在调研流程的时候，可能客户不会提供该流程，所以在编制内控手册的时候，需要做好与客户的随时沟通。合同签订流程可以划分为合同起草、审核、盖章和保管作业流程。订单处理流程可以划分为正常订单处理流程，订单取消流程和逾期未处理订单流程等。备货处理流程可以划分为下发货通知单、物品调配流程和物品调配不足流程。发货签收流程可以划分为发货单制定流程、物流选择流程、出库审核流程和客户收货签收流程。收款入账流程。发票开具流程含客户提交增值税资质流程和开票流程。应收款流程含应收款催收流程、逾期坏账准备计提流程、坏账冲销流程。如果调研或者访谈的时候将上述流程调研清楚，同时在内控手册中描述清楚，那么销售模块基本上就完成了

2016年2月1日，基金业协会发布《私募投资基金管理人内部控制指引》，与征求意见稿相比，正式发布稿又有针对性的增加部分内容。内控指引及起草说明反映了监管层对若干重大问题的监管态度和监管方向，足以令业内人高度重视、认真思考：1、明确禁止私募管理人兼营其他业务指引第八条规定：私募基金管理人应当遵循专业化运营原则，主营业务清晰，不得兼营与私募基金管理无关或存在利益冲突的其他业务。据笔者了解，已挂牌新三板的私募机构，多数存在既管理基金，又自行对目标企业投资的情况，其是否构成“兼营与私募基金管理无关或存在利益冲突的其他业务”，值得深思，笔者认为是很可能存在利益冲突的。2、要求防范不正当关联交易、利益输送和内部人控制风险指引第九条规定：私募基金管理人应当健全治理结构，防范不正当关联交易、利益输送和内部人控制风险，保护投资者利益和自身合法权益。依笔者理解，该条同样具有很强的针对性，显然是监管层要对不正当关联交易、利益输送、内部人控制等可能严重损害投资人利益的行为加强监管，杜绝老鼠仓。3、要求公平对待各在管基金，严防利益输送指引第十九条规定：私募基金管理人应建立健全相关机制，防范管理的各私募基金之间的利益输送和利益冲突，公平对待管理的各私募基金，保护投资者利益。4、私募基金管理人应具备至少2名高级管理人员，明确风控负责人的责任指引第十一条规定：募基金管理人应当建立有效的人力资源管理制度，健全激励约束机制，确保工作人员具备与岗位要求相适应的职业操守和专业胜任能力。私募基金管理人应具备至少2名高级管理人员。第十二条规定：私募基金管理人应当设置负责合规风控的高级管理人员。负责合规风控的高级管理人员，应当独立地履行对内部控制监督、检查、评价、报告和建议的职能，对因失职渎职导致内部控制失效造成重大损失的，应承担相关责任。5、强调监管尚处于起步阶段，这意味着监管层将继续完善监管、强化规范起草说明阐明：目前，设立私募基金管理机构不设行政审批，并且监管尚处于起步阶段，市场上私募基金管理人的经营管理水平、风险控制能力良莠不齐，给私募基金行业带来的极大的风险隐患。6、内控制度成为监管的重要内容，要求完整、全面、贯穿始终，并被有效执行内控指引对内控制度做了全面要求，并规定管理人内部控制制度必须上传至基金业协会私募基金登记备案系统。（欲了解更多信息，请关注微信公众号：广深港法律智库）基金业协会将按照相关自律规则，对内部控制等合规情况进行业务检查，业务检查可通过现场或非现场方式进行。私募基金管理人未按指引建立健全内部控制，或内部控制存在重大缺陷，导致违反相关法律法规及自律规则的，基金业协会将采取监管措施。

企业内部控制通俗的讲，就是企业内控。它是企业为保证经营管理活动正常有序、合法的运行，采取对财务、人、资产、工作流程实行有效监管的系列活动。财政部、证监会等五部委在2008年发布《企业内部控制基本规范》，里面从控制环境、风险评估、控制活动、信息沟通、反馈监督等五个方面对内控的整体框架和基本内容进行了说明；2010年又进一步发布《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》，为内控工作的落地指出了方向。你可以重点看一下这几个主要文件，对内控就会有比较全面的了解了。

　　企业的主要经济活动包括：销售与收款。采购与付款。生存与存货。筹资与投资。货币资金。　　因此企业的内部控制也要从以上几个重要的方面来实施！　　销售与收款的内部控制： ｛销售交易｝1.适当的职责分离：适当的职责分离有助于防止各种有意或无意的错误！　　赊销批准职能与销售职能的分离就是一种理想的控制。 2.正确的授权审批：（1）在销售发生之前，赊销已经正确审批　　（2）非经正当审批，不得发出货物 （3）销售价格，销售条件，运费，折扣等必须经过审批　　（4）审批人应当根据销售与收款授权批准制度的规定在授权范围内进行审批，不得超越审批权限　　3.充分的凭证和记录：只有具备充分的记录手续，才有可能实现其他各项的控制目标。　　4.凭证的预先编号，旨在防止销售以后忘记向顾客开单　　5.按月寄出对账单，由不负责现金出纳和销售及收款的人员寄发，能促使顾客在发行应付账款余额　　不正确后及时反馈有关信息　　6.内部核查程序：（1）销售与收款人员相关岗位及人员的设置情况　　（2）销售与收款业务授权审批制度的执行情况　　（3）销售的管理情况　　（4）收款的管理情况　　（5）销售的退回情况　　因本人零时有事，所以只暂时回答了销售业务的内部控制！ 若觉得可以本人再抽时间回答其他业务内控　　我说的就是企业内控啊，请问你是否了解内控？ 内控是从企业各个业务方面进行操作的！我上面回答的只是销售业务的内控而已！ 还有其他方面的如果你觉得合适我就再发..

内部控制制度是单位内部建立的使各项业务活动互相联系、互相制约的措施、方法和规程。现代化企业管理的产物。企业在竞争日益激烈的外部环境中，为了增强自身的竞争能力，需不断改善内部管理，提高工作效率、提高产品质量。该制度包括的基本要素： (1) 明确合理的职责分工制度。(2) 严格的审批检查制度。(3) 健全的会计制度和企业管理制度。(4) 严密的保管保卫制度。(5) 有效的内部审计制度。(6) 胜任的工作人员。由于内部控制制度的严密程度直接决定着被审单位提供的会计数据和其他经济资料的可靠性，现代审计总是把被审单位现行的内部控制制度当作审查的起点和重点，通过对内部控制制度的调查、核实和评价确定审计工作的范围、深度和侧重点。温馨提示：以上信息仅供参考。应答时间：2021-08-02，最新业务变化请以平安银行官网公布为准。 [平安银行我知道]想要知道更多？快来看“平安银行我知道”吧~ https://b.pingan.com.cn/paim/iknow/index.html

商业银行内部审计指引2017 　　为促进商业银行完善公司治理，加强内部控制和风险管理，健全内部审计体系，提升内部审计的独立性和有效性，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。下面是我为大家带来的商业银行内部审计指引，欢迎阅读。 　　第一章总则 　　第一条为促进商业银行完善公司治理，加强内部控制和风险管理，健全内部审计体系，提升内部审计的独立性和有效性，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。 　　第二条中华人民共和国境内依法设立的商业银行适用本指引。 　　第三条本指引所称内部审计是商业银行内部独立、客观的监督、评价和咨询活动，通过运用系统化和规范化的方法，审查评价并督促改善商业银行业务经营、风险管理、内控合规和公司治理效果，促进商业银行稳健运行和价值提升。 　　第四条商业银行内部审计目标包括：推动国家有关经济金融法律法规和监管规则的有效落实;促进商业银行建立并持续完善有效的风险管理、内控合规和公司治理架构;督促相关审计对象有效履职，共同实现本银行战略目标。 　　第五条商业银行内部审计工作应独立于业务经营、风险管理和内控合规，并对上述职能履行的有效性实施评价。内部审计活动应遵循独立性、客观性原则，不断提升内部审计人员的专业能力和职业操守。 　　第六条银行业监督管理机构依据本指引对商业银行内部审计工作实施监管评估。 　　第二章组织架构 　　第七条商业银行应建立独立垂直的内部审计体系。 　　第八条董事会对内部审计的独立性和有效性承担最终责任。董事会应根据本银行业务规模和复杂程度配备充足、稳定的内部审计人员;提供充足的经费并列入财务预算;负责批准内部审计章程、中长期审计规划和年度审计计划等;为独立、客观开展内部审计工作提供必要保障;对内部审计工作的独立性和有效性进行考核，并对内部审计质量进行评价。 　　第九条董事会应下设审计委员会。审计委员会成员不少于3人，多数成员应为独立董事。审计委员会成员应具有财务、审计和会计等专业知识和工作经验。审计委员会负责人原则上应由独立董事担任。 　　审计委员会对董事会负责，经其授权审核内部审计章程等重要制度和报告，审批中长期审计规划和年度审计计划，指导、考核和评价内部审计工作。 　　第十条监事会对本银行内部审计工作进行监督，有权要求董事会和高级管理层提供审计方面的相关信息。 　　第十一条高级管理层应支持内部审计部门独立履行职责，确保内部审计资源充足到位;及时向审计委员会报告业务发展、产品创新、操作流程、风险管理、内控合规的最新发展和变化;根据内部审计发现的问题和审计建议及时采取有效整改措施。 　　第十二条商业银行可设立总审计师或首席审计官(以下统称“总审计师”)一名。总审计师由董事会负责聘任和解聘。商业银行应及时向银行业监督管理机构报告总审计师的聘任和解聘情况。 　　总审计师对董事会及其审计委员会负责，定期向董事会及其审计委员会和监事会报告工作，并通报高级管理层。总审计师负责组织制定并实施内部审计章程、审计工作流程、作业标准、职业道德规范等内部审计制度，组织实施中长期审计规划和年度审计计划，并对内部审计的整体质量负责。 　　商业银行未设立总审计师的，由内部审计部门负责人承担总审计师的职责。 　　第十三条商业银行应设立独立的内部审计部门，审查评价并督促改善商业银行经营活动、风险管理、内控合规和公司治理效果，编制并落实中长期审计规划和年度审计计划，开展后续审计，评价整改情况，对审计项目的质量负责。内部审计部门向总审计师负责并报告工作。 　　第十四条商业银行应配备充足的内部审计人员，原则上不得少于员工总数的1%。 　　内部审计人员应当具备履行内部审计职责所需的专业知识、职业技能和实践经验，掌握银行业务的最新发展，并通过后续教育和职业实践等途径，学习和掌握相关法律法规、专业知识、技术方法和审计实务的发展变化，保持和提升专业胜任能力。 　　内部审计人员在从事内部审计活动时，应遵循客观、保密原则，秉持诚信正直的道德操守，按规定使用其在履行职责时所获取的信息。内部审计人员不得参与有利益关系的审计项目，不得利用职权谋取私利，不得隐瞒审计发现的问题，不做缺少证据支持的判断，不做误导性陈述。 　　第三章 章程、职责与权限 　　第十五条商业银行应制定内部审计章程。内部审计章程应至少包括以下事项： 　　(一)内部审计目标和范围; 　　(二)内部审计地位、权限和职责; 　　(三)内部审计部门的报告路径以及与高级管理层的沟通机制; 　　(四)总审计师的责任和义务; 　　(五)内部审计与风险管理、内部控制的关系; 　　(六)内部审计活动外包的标准和原则; 　　(七)内部审计与外部审计的关系; 　　(八)对重点业务条线及风险领域的审计频率及后续整改要求; 　　(九)内部审计人员职业准入与退出标准、后续教育制度和人员交流机制; 　　内部审计章程应由董事会批准并报监管部门备案。 　　第十六条商业银行的内部审计事项应包括： 　　(一)公司治理的健全性和有效性; 　　(二)经营管理的合规性和有效性; 　　(三)内部控制的适当性和有效性; 　　(四)风险管理的全面性和有效性; 　　(五)会计记录及财务报告的完整性和准确性; 　　(六)信息系统的持续性、可靠性和安全性; 　　(七)机构运营、绩效考评、薪酬管理和高级管理人员履职情况; 　　(八)监管部门监督检查发现问题的整改情况以及监管部门指定项目的审计工作; 　　(九)其他需要进行审计的事项。 　　第十七条内部审计部门有权获取与审计有关的信息，列席或参加与内部审计职责有关的会议，参加相关业务培训。 　　第十八条内部审计部门有权检查各类经营机构(含分支机构和附属机构)的各项业务和管理活动(含外包业务)，及时、全面获取经营管理相关信息，并就有关问题向审计对象和行内相关人员进行调查、质询和取证。 　　第十九条内部审计部门有权向董事会、高级管理层和相关部门提出处理和处罚建议。 　　第二十条内部审计部门可就风险管理、内部控制等事项提供专业建议，但不得直接参与或负责内部控制设计和经营管理的决策与执行。 　　第四章 审计工作流程 　　第二十一条内部审计部门应根据商业银行的内部审计章程、业务性质、风险状况、管理需求及审计资源的配置情况，确定审计范围、审计重点、审计频率，编制中长期审计规划和年度审计计划，并报审计委员会批准。 　　商业银行的年度内部审计计划应充分考虑监管关注事项，包括但不限于：全面风险管理、资本充足、流动性、内控合规、财务报告等。 　　第二十二条内部审计部门应根据年度审计计划，选派合格、胜任的审计人员组成审计组，收集和研究相关背景资料，了解审计对象的风险概况及内部控制，编制项目审计方案，组织审计前培训并在实施审计前向审计对象下发审计通知书。特殊情况下，审计通知书可以在实施审计时送达。 　　第二十三条内部审计人员应根据项目审计方案，综合运用审核、观察、访谈、调查、函证、鉴定、调节和分析等方法，获取审计证据，并将审计过程和结论记录于审计工作底稿。 　　内部审计采取现场审计与非现场审计相结合的方式，并通过加强非现场审计系统建设，增强内部审计的广度与深度。 　　内部审计部门应加强信息科技在审计工作中的运用，不断完善内部审计管理信息系统。在审计过程中，内部审计人员应做好与审计对象的沟通交流。 　　第二十四条商业银行应建立异议解决机制。对审计对象提出异议的审计结论，应及时进行沟通确认，根据内部审计章程的规定，将沟通结果和审计结论报送至相关上级机构并归档保存。 　　第二十五条内部审计人员在实施必要的审计程序后，应征求审计对象意见并及时完成审计报告。审计报告应包括审计目标和范围、审计依据、审计发现、审计结论、审计建议等内容。 　　内部审计人员应将审计报告发送至审计对象，并上报审计委员会及董事会，同时根据内部审计章程的规定与高级管理层及时沟通审计发现。 　　第二十六条商业银行董事会及高级管理层应采取有效措施，确保内部审计结果得到充分利用，整改措施得到及时落实;对未按要求整改的，应追究相关人员责任。 　　第二十七条内部审计部门应跟进审计发现问题的整改情况。必要时可开展后续审计，评价审计发现问题的整改进度及有效性。 　　第二十八条内部审计部门应建立健全内部审计档案管理制度，妥善保管内部审计档案资料。 　　第二十九条商业银行应建立健全内部审计质量控制制度和程序，定期实施内部审计质量自我评价，并接受内部审计质量外部评估。 　　第五章 部分审计活动外包 　　第三十条商业银行不得将内部审计职能外包，但可将有限的、特定的内部审计活动外包给第三方，以缓解内部审计资源压力并提升内部审计工作的全面性。 　　第三十一条商业银行董事会应对内部审计活动外包承担最终责任。商业银行内部审计活动外包应符合本银行内部审计章程的有关要求。 　　第三十二条商业银行不得将内部审计活动外包给正在为本银行提供外部审计服务的会计师事务所及其关联机构。 　　商业银行不得将内部审计活动外包给近三年内为审计对象提供过与该项审计外包业务相关咨询服务的第三方及其关联机构。 　　第三十三条商业银行应建立内部审计活动外包制度，明确外包提供商的资质标准、准入与退出条件、外包流程及质量控制标准等。 　　商业银行在实施内部审计活动外包时，本银行内部审计人员应参与并监督项目实施，并负责向总审计师报告外包活动的有关情况。 　　第三十四条商业银行总审计师应建立相应的外包审计项目知识转移机制，确保内部审计人员能最大程度地获取专业技能，提升内部审计部门的专业能力。 　　第六章 考核与问责 　　第三十五条商业银行董事会应针对内部审计部门建立科学的激励约束机制，并对总审计师的履职尽责情况进行考核评价，内部审计部门定期对内部审计人员的`专业胜任能力进行评价。 　　内部审计人员的薪酬水平应不低于本机构其他部门同职级人员平均水平。 　　第三十六条 商业银行应建立内部审计责任制，明确规定内部审计人员履职尽责要求以及问责程序。经责任认定，内部审计部门和审计人员已勤勉尽职的，可减轻或免除其责任。 　　第三十七条内部审计结果和整改情况应作为审计对象绩效考评的重要依据。 　　第三十八条审计对象应积极配合内部审计工作。对于拒绝、妨碍内部审计工作及整改不力的行为，商业银行应及时制止,并追究相关责任人的责任。 　　第七章 监管评估 　　第三十九条商业银行内部审计部门应建立与银行业监督管理机构的正式沟通机制，定期讨论银行面临的主要风险、已经采取的风险化解措施以及整改情况。双方沟通的频率应与银行的规模、风险偏好和业务复杂性相匹配。 　　第四十条商业银行内部审计部门应向监管部门提交以下报告： 　　(一)内部审计计划; 　　(二)重要审计发现及其整改情况; 　　(三)向董事会提交的全面审计工作报告; 　　(四)外部机构对银行的审计报告; 　　(五)监管部门监督检查发现问题的整改报告; 　　(六)内部审计质量自我评价报告; 　　(七)银行业监督管理机构要求的其他报告。 　　第四十一条银行业监督管理机构可要求商业银行内部审计部门完成指定项目的审计工作，并将审计结果报送监管部门。 　　第四十二条银行业监督管理机构通过非现场监管、现场检查、监管会谈等方式，对商业银行内部审计的有效性进行评估。评估内容包括： 　　(一)内部审计章程; 　　(二)内部审计的范围、频率和效果; 　　(三)确保内部审计职能充分发挥作用的公司治理机制; 　　(四)银行集团内部审计的有效性; 　　(五)内部审计人员的专业胜任能力; 　　(六)内部审计人员的薪酬机制; 　　(七)内部审计活动外包情况; 　　(八)内部审计报告及审计建议的整改落实情况; 　　(九)内部审计问责情况; 　　(十)其他事项。 　　第四十三条银行业监督管理机构有权根据评估结果对商业银行内部审计工作提出监管意见，要求其限期整改并提交整改报告。内部审计有效性和整改情况应纳入公司治理和内部控制整体有效性评估和监管评级。 　　第八章 附 则 　　第四十四条商业银行应在集团层面建立与其规模、风险偏好和复杂程度相适应的内部审计制度，确保内部审计覆盖集团全部业务和全部机构。董事会对集团内部审计的适当性和有效性承担最终责任。 　　银行集团的内部审计部门应明确集团对附属机构的审计监督机制，并根据审计权限对附属机构实施审计，指导附属机构内部审计机制建设和内部审计工作。 　　附属机构的内部审计部门应根据集团内部审计章程的有关规定，向银行集团总审计师或内部审计部门负责人报告附属机构的内部审计工作。 　　本指引所称银行集团是指在中华人民共和国境内依法设立的商业银行及其附属机构。附属机构包括但不限于境内外的其他商业银行、非银行金融机构及非金融机构。 　　第四十五条农村中小金融机构审计委员会的多数成员原则上应为独立董事。 　　村镇银行已设立监事会的可不设立审计委员会，由监事会履行审计委员会职责。村镇银行已设立审计委员会的，可由董事会聘请主发起行审计部门负责人兼任审计委员会委员。 　　村镇银行未设立内部审计部门的，应设置专门的内部审计岗位，并委托主发起行承担村镇银行的审计职能，确定对村镇银行的审计监督机制，有效实施审计活动。 　　第四十六条商业银行应根据本指引制定实施细则，并报银行业监督管理机构备案。 　　第四十七条银行业监督管理机构负责监管的其他金融机构参照执行本指引。 　　第四十八条本指引自印发之日起施行，《银行业金融机构内部审计指引》(银监发〔2006〕51号)同时废止。 ;

1.把制度建设理解成重新制定规章制度。进行制度梳理的目的是让企业在现有制度的基础上对照市场现状及未来走势加以完善，而不是推倒重来；另外在梳理流程的过程中也要对风险进行识别和排序，将风险分成不同等级，再制定相应的应对措施，不可一拥而上，否则只能适得其反。 2.将内控制度建设当成花瓶式的“摆设”。企业内部的内控制度指引下发了，学习活动也召开了，然后，就此过后，内部控制一切照旧。实在是表面光鲜内里糟。要避免这些问题，企业就要变被动内控为主动内控。要能看到内控产生的长远效益，自觉地做好内控，最好的方法是领导人带头做起，重视执行监督稽查奖惩机制，以制治人。3.追求完美。盲目追求个别和局部的最优可能会导致整体或系统变坏。对于内控，要追求一种对整体或系统而言的稳定持续控制，这才是整体和系统的胜利。

企业内部控制通俗的讲，就是企业内控。它是企业为保证经营管理活动正常有序、合法的运行，采取对财务、人、资产、工作流程实行有效监管的系列活动。财政部、证监会等五部委在2008年发布《企业内部控制基本规范》，里面从控制环境、风险评估、控制活动、信息沟通、反馈监督等五个方面对内控的整体框架和基本内容进行了说明；2010年又进一步发布《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》，为内控工作的落地指出了方向。你可以重点看一下这几个主要文件，对内控就会有比较全面的了解了。

首先行业不同，方式方法也不同，以一个行业为例 XY股份有限公司为符合上市公司内控法规要求，提高企业经营管理水平和风险防范能力，促进企业可持续发展，根据财政部、证监会等五部委印发的企业内部控制基本规范及配套指引的要求，聘请外部咨询公司，2011年3月起着手进行内控体系建设工作。根据《企业内部控制基本规范》及其配套指引要求，结合国外公司经验，企业内部控制体系建设通常分为4个阶段，内部控制梳理、内部控制整改固化、内部控制自我评价和内部控制审计，其中前3个阶段是内控建设核心工作，需由企业主导完成，内控审计由审计师在企业配合下实施。为做实做好内控规范体系建设工作，公司于2011年3月正式成立内控工作领导小组，由公司董事长牵头，高层领导主管、总部各部门负责人及各分子公司总经理作为组员，负责组织领导公司内部控制规范化建设工作。2011年3月中旬召开内控实施项目启动会，对公司内控建设工作进行了部署和动员，并制定公司内控实施计划及工作方案。 一、建立内控建设组织架构，明确相关人员职责。内部控制建设作为一项长期系统性地工程，并非一蹴而就，公司决定建立一种长效领导机制持续运作。公司内控体系建设组织架构图如下，并明确董事长为内部控制实施工作的第一责任人；公司总经理、副总经理为内控实施的具体负责人。 （一）内控领导小组职责经第六届第十次董事会审议通过，公司成立风险管理委员会，成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士，作为内控工作领导小组。风险管理委员会对董事会负责，主要履行以下职责：（1）负责营造良好的内部控制建设环境；（2）负责制定公司内部控制战略规划，提出总体建设方案；（3）负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；（4）部署内部控制建设、执行及监督活动等；（5）审议《内控手册》的编制、修改及更新；（6）提交《内部控制评价报告》；（7）协调公司内部控制建设的重大事项；（8）考核内部控制建设的相关人员，保持公司整体利益和方向的一致性。（二）内控项目小组职责1、公司在风险管理委员会下设立风险管理委员会办公室作为内控项目组，主要履行下列职责：（1）全面贯彻执行风险管理委员会关于内部控制建设的精神和方针；（2）制定公司内部控制建设阶段性的目标及实施方案，提交风险管理委员会审核；（3）负责内部控制建设的有效实施和运行，落实内部控制建设的具体责任；（4）研究提出《内部控制评价报告》；（5）负责公司《内控手册》的编制、修改及更新；（6）审核在内部控制建设过程中存在的问题，督促各部门进行整改。2、公司在风险管理委员会办公室细分为4大系统，即风控系统、战略与证券系统、财务系统和运营系统，明确各系统的具体职责。3、风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心及战略人力资源部，配备33名专职人员。各业务单位、职能部门及子公司（事业部）在风险管理委员会办公室的指导下共同参与、实施内控建设工作。4、审核委员会作为公司内部控制体系有效性的监督机构，监督内部控制的有效实施和内部控制自我评价情况，审核及监督外部审计机构是否独立客观及审计程序是否有效，审核公司的财务信息及其披露，协调内部控制审计及其他相关事宜。（三）责任部门及工作预算与内控工作小组相对应，公司确认了内部控制建设的责任部门，即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控项目工作制定了相关预算，包括内控咨询、内控审计及人力成本费用、培训费用等。为保证内控建设工作的专业化、系统化和合理化，公司聘请询公司作为外部咨询机构为公司提供专业支持，协助公司梳理、构建及完善内部控制总体架构，帮助公司识别内部控制存在的薄弱环节和主要风险，有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。 风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控缺陷整改、开展内控评价等工作，为公司培养内部控制建设及评价人才。二、内控体系建设工作具体推进内部控制建设工作，公司将分为五个阶段，时间从2011年4月1日至2012年1月31日，总体安排如下：（一）确定内控实施范围（2011年4月10日前完成）根据证监局文件精神，结合公司实际，本次内控实施范围为股份公司、一家上海子公司及一家广州子公司。按照《企业内部控制基本规范》及其配套指引要求，结合公司业务性质，公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程，以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。 各流程责任人如下（××代表责任人姓名）：流程第一责任人 具体负责人 内控协调人 中介机构责任发展战略 × × ×组织架构 × × × × …… 注：上述责任人适用于内控建设中的每个阶段。（二）风险识别及评估（2011年5月31日前完成）1、流程梳理：公司通过访谈、审阅文档或问卷调查等方式梳理流程，明确上述12大流程的相应子流程，完善组织架构和审批授权指引，根据统一的模板编制业务流程图。在流程梳理过程中，及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等内控缺失的工作流程，采取相应的措施规范操作流程，避免内部舞弊等重大风险出现，提高工作效率。2、风险识别：结合《企业内部控制基本规范》及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料，从风险发生的可能性和影响程度，对子流程中涉及到的每个控制点进行综合分析，识别固有风险，评价风险等级，形成风险清单。3、文档记录：根据风险等级，识别流程中的关键控制活动，并在流程图中进行编号；编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进行记录。4、查找内控缺陷：将公司现有制度和控制措施流与风险清单进行比对，通过穿行测试、控制测试等手段，获取关于内控设计和运行有效性的证据，查找内控缺陷，形成《风险数据库》和《内控风险诊断和评价报告》。对发现的重大缺陷及时报告董事会及管理层，管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。（三）确定内控缺陷整改方案（2011年6月30日前完成）1、编制《内部控制管理建议书》：公司对发现的内控缺陷进行分类分析，确定内控缺陷的重要性程度，区分设计缺陷和运行缺陷，形成《内部控制管理建议书》。2、制定内控缺陷整改方案：公司根据《内部控制管理建议书》和具体的控制缺陷，提出整改时间及责任部门、人员，形成内控缺陷整改方案。3、提交审议：内控缺陷整改方案应当经过风险管理委员会审议通过。（四）内控缺陷整改（2011年9月30日前完成）1、落实整改、提交报告：责任部门将按照内控缺陷整改方案对发现的缺陷进行逐一整改，完善公司各项内部控制管理制度和控制措施，提交《内控缺陷整改报告》；内控项目组连同中介机构对缺陷整改情况进行运行有效性测试，形成《内控运行测试报告》。2、编制《内部控制手册》：内控项目组根据风险清单和各项内控文档等资料，编制《内部控制手册》，并对手册内容进行实施辅导和推进执行。3、编制《内控自我评估工作指引》：内控项目组编制《内控自我评估工作指引》，为下一步内控自我评价工作的开展奠定基础。4、提交审议：《内控缺陷整改报告》、《内控运行测试报告》、《内部控制手册》及《内控自我评估工作指引》应报风险管理委员会审议。（五）内控持续推进和内控自我评价公司在内控体系成果完成后，将予以持续推进，并根据辖区证监局要求，公司将于每季度结束后的10个工作日内，向证监局报送内控进展情况说明，并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以及拟采取的解决措施等。通过以上工作，公司初步建立健全了内部控制体系，有效提高了内控管理水平。 三、企业内控体系的“落地”和持续推进XY公司在完成内控体系初步建设完成后具体推行过程中，一些部门和员工或因对新的内控制度理解不够，或因由于长期工作习惯难以改变，或因内控制度变革触及自身利益而不愿遵循，使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去，并保持内控体系的持续完善和提高，是管理层迫切需要解决的难题。为了切实将内控制度体系真正“落地”，XY公司通过全方位内控培训、加强内控检查与监督、完善考核及激励机制以及借助第三方专业机构的持续辅导等措施，有力地保证了内控建设的持续维护，公司的内控建设取得了卓有成效的进展。具体来说，采取的主要措施有：（一）完善内控工作组织架构，成立内控部，强化审计部，建立推进内控工作的组织机构和运行机制。通过对国际大企业内控建设的现状和过程的全面考察，XY公司发现要实行有效的内部控制，必须建立相配套的组织架构。为此，公司由管理高层成立了内控工作领导小组，各子公司管理层对应的成立内控管理小组；在部门设置上，XY公司新成立了内控部，各下属子公司根据其规模大小设立内控部或内控负责岗，负责内控建设工作；在内控监督上，转变了原有的审计部的职责，增加了内控评价和检查的功能，并由公司董事会的审计委员会直接领导，在规模较大的子公司同时设立内部审计专员，负责子公司的内控自查。（二）注重内控环境建设，进行全方位内控培训。XY公司通过一系列的培训和辅导，提高各层级管理人员和基础员工对内控理念的认识，营造有利的内控工作开展的文化环境。首先，公司抓好以普及内控基本知识、营造内控实施环境的宣传工作。公司内控部组织编制了《内控宣传册》，在股份公司各职能部门和下属公司主要管理干部范围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识，减少内控推进的思想阻力。其次，公司根据内控规范实施的进度，围绕内部控制的各个方面，开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训，对内控制度的编制和实施起了极大的推进作用。（三）建立内控推进的沟通机制，保证内控建设持续性和问题解决的及时性。自内控制度建设正式推进以来，为了保证推进的执行力，公司开展了全方位的信息沟通机制，实现了信息的实时传递，和通畅的上传下达。首先，XY公司建立了周例会制度。内控领导小组每周组织内控工作例会，由公司董事或审计委员会主任主持，参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报“内控工作一周报告”，汇报内控的进展情况、存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项，并由内控领导小组组长对相关的具体问题提出意见和工作指导，会后股份公司内控部负责对每家子公司进行回复，保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会，并抄送相关子公司的管理层，保证管理高层对内控进展的时刻了解。其次，公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进行工作总结，由内控部在股份公司管理层、子公司管理层以及相关内控负责人之间进行通报，督促各子公司的内控执行力。第三，建立了重大项目的单独汇报机制。各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和股份内控部进行汇报，以实时处理可能的重大风险。此外，股份公司的内控部长、审计部长、财务总监的联系方式向子公司的所有内控负责人和内控专员公开，作为信息直接传递的一个重要渠道，帮助股份公司及时了解下属子公司内控风险。 （四）完善内控评价检查机制，建立了多层次的内控检查体系。为了保证内控制度的落地和真正有效的执行，公司从各子公司到股份公司的内控部和审计部，再到外部独立的第三方中介，建立了全方位的内控评价和检查体系。股份公司内控部对各业务循环定期开展内控检查，通过发放内控调查清单以及内控专员的现场检查，发现子公司在内控建设中的不足，并及时下发风险联系函、风险关注函和风险警示函，以帮助子公司及时进行内控整改和完善。其中联系函主要是对子公司联系函件的回复为主；关注函主要是对子公司发生的业务表示关注，一般要求对方在一定时间内给出书面说明；警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。股份公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化，审计部编制了内控评价底稿通过检查，对子公司形成内控建设的量化评价，并针对检查中发现的问题出具改进建议，并要求各子公司在规定的时间内予以整改，总部内控部对子公司整改措施和整改质量进行全程的监督，整改完成后，审计部及时予以复查，确保审计中发现的问题能及时整改。（五）将内控建设纳入绩效考核，通过奖惩机制实现内控的有效性。首先，为有效发挥各下属子公司的管理者在内控推进中的作用和积极性，自200×年开始，股份公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中，明确了管理班子对于内部控制建设的责任和关键任务。通过这种绩效考核，激励管理层切实关注和推动内控的执行工作，从而为内控工作的推进建立良好环境。其次，对于股份公司向各子公司委派的重要人员也直接与内控建设挂钩。公司出台了《委派内控人员绩效考核管理办法》，对各个子公司的内控负责人实施全面的内控建设考核，明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制，进一步促进了委派内控人员的工作落实力度；其次，对于股份委派的财务负责人，也在其年度考核的总分中（100分制）纳入了相当比重的的内控建设的相关内容，从财务职能加强了对子公司的内控推进。（六）充分发挥专业中介机构力量XY公司在开始建立内控体系即聘请的专业咨询公司提供咨询服务，在整个体系建立过程中，充分发挥咨询公司专业力量，并聘请专业顾问对公司人员进行培训，提高公司人员内控理念和技能。在内控体系初步建立之后，仍继续与咨询公司保持合作，借助咨询公司在专业及独立性方面优势，共同推进公司内控持续建设工作，在内控持续建设工作中，专业咨询公司提供了大量了专业意见和培训辅导服务，帮助公司完善各项成果，使得公司的内控持续建设取得了令人瞩目的成效。 四、企业内控体系建设过程的经验和启示在公司董事会、各层级管理人员和基础员工不懈努力下，公司内部控制体系的建设取得了一系列的良好效果，全公司各级员工的风险管理意识显著提高，对风险的理解和重视切入到各个业务和管理环；强化了各项经营活动的规范化操作，实现了重大经营活动的集体化决策机制，有效防范了决策风险；提高了公司的财务管理水平，保证了从产业公司到股份公司的各层级财务数据的真实公允以及资金、资产的安全；加强了公司对新经营环境下管理风险的关注；完善了公司的风险预警机制，提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。公司在内控体系建设和推进过程中，主要的经验和启示有：1、公司董事会和最高管理层的重视和亲自参与在XY公司董事会，无论是大股东委派董事、非执行董事还是独立董事，都非常重视和关心内部控制体系的建设工作。作为公司的大股东，集团对股份公司的内控建设给予了极大的理解和支持，有力的推动了产业公司的内控建设的进程。董事会的定期会议都将内部控制进展情况作为重要议题沟通，对于内部控制推进中出现的任何问题，董事会层面时刻给予相应和支持。在公司管理层方面，成立了内控领导小组，投入了大量的人力和财力，带领企业员工共同进行内部控制建设，为内部控制的推进提供了良好的内部环境，同时也激发员工的积极性和主动性，推动企业内部控制朝更顺利、更完善的方向发展。2、对内部控制理念以及其与公司其他管理体系关系的认识统一XY公司在内控推进的第一阶段大力推行高频率、大幅度的培训，帮助各级管理者以及基层员工了解内部控制的主要原理和价值，减少内控实施中的思想阻力。其次，公司统一了内控体系与其他管理体系的认识，内部控制和风险管理不是一套孤立的新的体系和制度，而是一种基于“目标－风险－控制－监督”框架的管理思路，这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去，是对企业原有的管理制度的整合和提升。3、制定了清晰明确的内部控制战略规划公司根据自身实际情况，在订并提出了内部控制的五年两步走的规划，并将其纳入到公司的5年战略规划中。第一阶段（3年），通过自上而下的刚性要求，构建全面的统一化的集团内部控制架构，并通过理念灌输形成内控推进的文化范围；第二阶段（2年），通过自下而上的，自觉的内控体系的完善，形成各个产业公司的特色化内部控制。这一从强制到自觉，从理念普及到制度完善再到内控手册的表格化提升的建设步骤，使得公司从管理高层到基层员工的各级人员都明确内部控制不同时期的不同任务及不同发展状态，稳步推进，逐步加深，为内部控制的发展道路勾画了清晰路径。4、因企制宜的实施方案XY公司意识到对于集团化企业，内部控制不能是一刀切的，公司要实行内部控制，需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的内部控制方法。首先公司在吸收了五部委内部控制基本规范和配套指引的相关精髓的基础上，结合企业经营实践，基于先主后次的重要性原则以及成本收益原则，提出了以若干业务循环作为公司内控建设的主要循环范围。其次，考虑公司的人员能力和素质，在内控成果上也没有一步到位册，而是以制度建设为基础，通过制度规范，到流程优化再到风险提炼，逐步实现内部控制的层层递进。第三，在内控推进上，公司充分考虑下属各产业公司的业务特点，确定适合各公司的内部控制方式和侧重点。5、循序渐进的实施步骤（1）自上而下的理念推进向自下而上的流程推进的递进。 在内控实施的第一阶段，公司强调自上而下的理念推进。公司通过内部培训、各种工作会议达成内控理念的统一，并向各子公司传达，之后各子公司则进行自下而上的内控流程推进，即各产业公司根据自身的内部流程，进行制度的完善，并经由公司内控部审核后实施。 （2）由总部出台框架性的制度到各个子公司制订针对性的业务流程的递进。 公司内控部结合外部力量制定框架性的制度，明确各业务循环的关键控制点和操作要求，各产业公司根据自身业务情况，在满足框架制度要求的前提下制定适合企业自身的管理制度，以求更贴近产业公司的经营管理实践。 （3）普遍性、通用性的风险点向专业性、针对性的风险点的递进。 公司首先根据对产业公司实际情况的调研，绘制公司的全面风险数据库，梳理出具有普遍性的通用性主要风险点，之后，各产业公司在实际操作中不断发现专业性、针对不同企业业务特色的独特风险，以实现内部控制的完善。 （4）抓重点公司，抓主要循环和风险、抓典型事件。 公司的内部控制遵循重要性原则，关注重点公司级重要循环与风险，并关注典型事件，以期通过重点带动全面，推动内部控制的发展。 6、借助外部专业中介机构推动内控建设 外部专业机构相对具有更丰富的内控专业力量和实施经验，并且具有客观性和独立性，XY公司在整个体系建立过程中，充分发挥咨询公司专业力量，但也没有完全依赖中介机构甩手不管，而是充分参与和配合，在内控建设过程中，实现知识传递和内控人才培养，取得了较好的实施效果。 --------------转自新浪微博《马军生-内部控制博客》

企业内部控制设计是一项系统工程,合理的设计一程序、方法及人员安排至关重要。笔者认为,企业进行内部控制设计,应当在对企业内部控制系统进行分解的基础上,遵循自上而下的设计程序、风险导向的设计方法及相互协调配合的人员安排。 一、分解企业内部控制系统 进行内部控制设计,首先需要对内部控制系统进行分解。企业内部控制系统是一个整合了治理层次、管理层次、作业层次的控制体系,既包括股东、经营者、管理者等不同层次的主体,也包括不同层次的控制目标和活动。《上海证券交易所上市公司内部控制指引》(2006)中指出公司内控制度应力求全面、完整,至少在公司层面、公司下属部门及附属公司层面和公司各业务环节层面作出安排。财政部《企业内部控制规范一一基本规范》(征求意见稿2007)中也指出企业内部控制应涵盖企业经营管理的各个层级、各个方面和各项业务环节。笔者认为,企业进行内部控制设计时,可以将内部控制系统划分为公司层次和业务活动层次的内部控制。由于公司下属部门及附属公司层面的内部控制主要体现在公司层面对公司下属部门及附属公司的管理控制制度方面、公司下属部门及附属公司的业务活动环节控制方面,......(本文共计1页) [继续阅读本文]

工具书最实用，《企业内部控制规范讲解》、《上市公司内部控制体系建设工作指南》、《企业内部控制审计政策解读与操作指引》、《企业内控精细化管理全案》。企业内部控制就是企业内控，是企业为保证经营管理活动正常有序、合法的运行，采取对财务、人、资产、工作流程实行有效监管的系列活动。企业内控要求保证企业资产、财务信息的准确性、真实性、有效性、及时性;保证对企业员工、工作流程、物流的有效的管控;建立对企业经营活动的有效的监督机制。企业内控的主要过程：企业内控的目的是保证企业资产、财务信息的准确性、真实性、有效性、及时性;保证对企业员工、工作流程、物流的有效的管控;建立对企业经营活动的有效的监督机制，保证企业良好的自我调节能力。企业内控需要三步走:预测--控制--监督:1、预测企业管理层根据资产、财务、以及企业经营活动中产生的各种数据，经过识别、分析，得出企业经营发展的相关风险，合理确定各种风险的应对策略。2、控制以企业预测结果为导向、以流程管理为方法，针对已经或者将要发生的风险进行提前控制。具体的控制对象包括:人力、财务、资源、工作流、物流等企业经营活动中产生风险的对象。通过E化的流程，企业可以做到任何工作流的有迹可循、经营活动的相对透明、财务的严谨真实。3、监督企业内控监督是保证企业内控措施有效实行必要手段。企业内控监督的对象包括:企业人力监督:管理层与管理层、员工与员工、管理层与员工之间的相互监督;财务监督:公司对财务报表、流程、资金流等要求相对透明化，即企业和员工对企业财务管理享有的知情权;工作流监督:企业对经营活动的绝对监督，以E化的流程为基础，保证经营活动的透明化管理，把握细节才能保证企业的正常发展。

　　一、强化内部控制和操作风险管理理念，建立良好的风险控制企业文化氛围 　　对于城市商业银行来说，引进国际银行业先进的操作风险管理理念，形成良好的风险控制企业文化氛围是迫在眉睫的任务。建立良好的操作风险控制文化氛围首先要明确操作风险的科学含义和风险控制手段及方法。 　　现代银行风险管理理论对操作风险给出了明确的定义，即操作风险是指由于内部流程、人员行为和系统失当或失败，以及由于外部事件而导致直接和间接损失的危险。操作风险主要来自内部控制和外部事件两个层面，主要包括：人员风险、制度和流程风险、技术风险以及操作策略风险。 　　银行操作风险的防范主要依赖完善的内部控制，完善的内部控制是有效实施银行操作风险管理的主要手段。巴塞尔银行监管委员会1997年在《有效银行监管的核心原则》中提出：“最重大的操作风险在于内部控制及公司治理机制的失效”。根据2002年9月人民银行颁布的《商业银行内部控制指引》对商业银行内部控制的定义：商业银行内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。 　　与国内其他商业银行相似，锦州市商业银行成立初期注重资产规模的扩张和市场占有率的提高，以期在区域银行市场获得一席之地，完成最初的生存和发展需要。在这一发展阶段，银行的风险意识还处于萌芽状态，虽然从管理层到员工都能够意识到风险的重要性，但是在制度上缺乏风险控制的有效手段和科学方法。随着竞争的日益激烈以及银行风险监管要求的不断深入，管理层深刻地意识到必须形成风险控制企业文化，建立科学的风险管理和内部控制体系，将先进的风险控制手段和方法与银行自身经营特点相结合，做到“实用、管用和会用”，从而全面提升银行的风险管理水平。 　　通过风险管理和内部控制项目的实施，锦州市商业银行引入了科学的银行操作风险管理理念，加强了对管理层和员工的内部控制和操作风险管理理念和方法的培训。在银行内部，将风险管理由高深的理论变为所有银行员工的自觉意识和行为，使从银行高层管理者到基层员工的所有银行员工对内控和操作风险的内容和含义有了准确的理解，清楚地认识到银行内控与操作风险和每名员工的相关程度。通过培训，员工们进一步明确了不同岗位风险的控制方法和手段，做到合理有效地控制风险。 　　在强化对内控和操作风险理念的宣传与培训工作的同时，项目小组对原有绩效考核和薪酬体系进行了重新设计，将包括操作风险管理在内的全面风险管理内容融入其中，使得内部控制和风险管理不仅是对员工日常工作的要求，并且成为衡量部门绩效的成本因素，直接影响部门的经营效益考核结果，进而形成管理者和员工风险管理的激励机制。通过事前培训，事中监督和事后考核，已经将银行内部控制和风险管理理念深入贯彻到每名员工，相信通过一段时间的实施将形成良好的内部控制和风险管理企业文化氛围。 　　二、进一步完善风险控制的组织结构和岗责体系 　　完善的组织架构是保证内部控制和风险管理的组织保障，而科学的岗位职责设计能够确保每名员工在内控和风险管理工作中权、责、利上的明确分工，进而通过合理的绩效考核和激励机制设计保证分工的有力执行。项目小组结合内控和风险管理的科学理念和最佳实践对自身的组织架构进行了改造，对岗位职责进行了重新设计。 　　良好的公司治理结构是商业银行建立有效风险管理制度的基础和前提。锦州市商业银行注重通过加强银行治理，强化股东会、董事会职能，从源头上提高内部控制和风险管理意识。在项目中，进一步强化了董事会和各委员会的职能，确保董事会能够真正在银行重大决策中发挥作用。在完善原有职能的同时，将成立资产负债管理委员会、审计稽核管理委员会、提名管理委员会、信息管理委员会和战略发展委员会，进一步加强对银行的内部控制。 　　在风险管理和内控项目中，锦州市商业银行着重强化了风险管理部和稽核部门的工作职能。垂直独立权威的风险管理组织机制是加强风险管理的组织保障；健全配套的风险管理机制是风险管理的必要手段和配套措施。为全面有效地进行风险管理，成立了由银行董事会及高级管理层直接领导的，以独立风险管理部门为中心，与各个业务部门紧密联系的独立的风险管理体系。风险管理部负责对包括信用风险、市场风险和操作风险在内的银行风险进行全面管理。风险管理部通过运用各种管理手段包括政策约束，流程规范以及有效量化支持工具实施风险管理，将各类风险损失控制在可接受范围内。 　　锦州市商业银行注重通过内部稽核部门发挥监督和控制职能。通过建立全行具有高度权威性与独立性的稽核部门，进一步增强其作为内控重要监督部门在内控评价与监督方面的职能。稽核部是全行最高的稽核管理部门，负责全行下属各经营机构以及各业务管理部门的监督与稽核，同时直接向董事会及稽核审计委员会负责。目前总部正着手对下属机构进行风险分类，根据不同机构风险等级的采用差别化的稽核方式，强化对存在较大风险机构的稽核审计工作。调整后稽核部大大提高了在监督审计方面的稽核检查力度及检查有效性。 　　三、建立科学的内部控制、风险管理制度与流程体系 　　科学有效的管理制度和流程体系是确保内部控制和风险管理质量的基本保证。锦州市商业银行通过完善各部门与业务的内部控制制度以及优化风险控制流程来降低和防范操作风险，将系统、标准的管理方法运用到各类业务的操作风险管理当中，全面梳理各项业务流程，建立有利于全面风险管理的内部控制体系。 　　为更好的体现风险管理的独立性，锦州市商业银行在原有单一的业务线基础上分离出风险管理线，建立了风险经理制度，对每家支行派驻风险经理，负责对支行风险的全面审查工作。风险经理由风险管理部管理，不隶属于每家支行，从而避免由于经济利益的驱动而导致的对风险的忽视。通过实施稽核专员制度，稽核专员负责对支行经营过程中的内部控制、操作风险问题进行现场和非现场检查，并按照各支行内部控制管理水平的不同确定现场稽核频率。 　　项目小组设计了风险信息报告和评估反馈机制。建立覆盖全行的风险信息报告机制的目的在于及时、全面、完整地向决策层和管理层提供银行经营管理中涉及的各类风险与内控状况，及时发现、防范和化解经营风险，确保稳健经营。风险报告路线采取纵向报送与横向报送相结合的矩阵式结构，即部门或者支行向总部对口管理部门报送风险报告的同时，必须向风险管理部门报送。建立制度评估反馈制度的目的在于及时发现、报告和纠正内部控制的缺陷，不断地提高规章制度的适应性和操作性，从而增加对基层机构的控制能力。 　　在制度设计的同时，锦州市商业银行对原有的风险管理流程体系进行了进一步优化。设计中减少了包括贷款审批流程的审批环节，进一步明确了从客户经理、风险经理和最终审批人的风险责任。得益于先进风险控制方法的引入，虽然监控环节减少，但是信息传达的透明度提高，加之激励约束机制与风险责任的直接联系，因此提高了风险管理的质量并且降低了管理成本。 　　四、建立涵盖风险管理内容的绩效和薪酬考评体系 　　实施对员工的有效激励、对风险管理的科学性和效率性具有根本性影响。人们行为的动机在于与之相关的效用激励，忽视风险控制的激励机制只能将员工的行为动机转向单纯的规模和简单的利润导向。为提高对员工的风险约束，项目小组在建立涵盖风险内容的部门绩效考核的基础上重新设计了员工薪酬考评体系，将风险考核纳入了员工激励机制。 　　在对部门绩效考核体系的设计中，项目小组设计了科学的关键绩效指标体系（KPI），运用平衡记分卡实现了绩效考核要素的全面性要求，引入了包括风险调整的资本收益率(RAROC)在内的综合性银行绩效指标，避免了原有考核体系由于指标间相关性造成的激励冲突，将风险成本和风险资本作为重要因素明确地纳入考核，体现了考核标准的科学性。在绩效考核体系的基础上，项目小组设计了包含风险管理激励机制的员工薪酬体系，通过采用不同的薪酬结构和支付期限避免了风险偏好不同员工之间的激励冲突。 　　五、锦州市商业银行内控和操作风险管理的未来规划 　　良好的内控和风险管理体系要通过充分有效地实施才能实现，锦州市商业银行将在未来一段时间内继续完善新体系的实施工作，确保项目设计目标的最终实现，并将继续推动银行信息系统的风险控制工作以及加强风险量化管理精确化的准备工作。 　　银行内部控制和操作风险管理无论是文化氛围的形成，管理体系的搭建，还是管理手段和方法的实施都不是一朝一夕就能完成的，风险和内控项目实施的目的并不是毕其功于一役，而是为持续的内控和风险管理工作奠定坚实的基础。锦州市商业银行将时刻关注国内外银行内部控制和操作风险的最新动态，学习和借鉴先进的管理方法，形成符合自身发展和经营需要的风险管理体系，持续提高自身的风险管理能力和水平，向国际化银行管理水平的发展目标不断迈进。

货币资金内部控制的主要内容：1、职责分工和职权分离制度，货币收支由出纳人员和记账人员分工负责和分别办理，职责分明，职权分离。2、授权和批准制度。所有货币资金的经济活动必须经过投权或按权限进行调查批准。3、内部记录和核对制度。所有货币资金的经济业务必须按会计制度规定进行记录。货币资金的账面数字和实际数字应定期核对相符。4、安全制度。对货币资金须有健全的保护措施，有人负责保管，有人进行内部监督。5、严密的收支凭证和传递手续。货币资金的收支事项，均应有一定的收支赁证和传递手续，使各项业务按正常渠道运行。6、严格执行规章制度。严格执行《现金管理条例》，收入现金应按规定存入银行，遵守关于库存现金限额的规定，并不得坐支现金；严格执行《很行结算制度》，不得开发空头支票和空白支票，不得出借银行存款账户。内部控制的基本目标是确保单位经营活动的效率性和效果性、资产的安全性、经营信息和财务报告的可靠性。1、有助于管理层实现其经营方针和目标。内部控制由若干具体政策、制度和程序所组成，它们首先是为了实现管理层的经营方针和目标而设计的。内部控制可以说渗透于一个单位经营活动的各个方面，只要单位内存在经营活动和经营管理的环节，就需要有相应的内部控制。2、保护单位各项资产的安全和完整，防止资产流失。保护资产一般指对本单位的现金、银行存款和其他货币资金、股票、债券等有价证券、商品、产品以及其他重要实物资产的安全和完整进行保护。3、保证业务经营信息和财务会计资料的真实性、完整性。对一个单位的管理层来说，要实现其经营方针和目标，需要通过各种形式的报告及时地占有准确的资料和信息，以便作出正确的判断和决策。货币资金是单位流动性最强、控制风险最高的资产，是单位生存与发展的基础。完善而有效的货币资金内部控制制度，对加强单位经营管理、保护单位财产安全、保证单位会计信息真实、完整等具有积极的促进作用。货币资金是单位流动资产的重要组成部分，是进行生产经营活动不可缺少的条件，其业务收支十分频繁，流动性极大，此外货币资金既是资本运动的起点，又是资本运动的终点。货币资金具有高度的流动性和控制风险，单位在组织会计核算的过程中，加强货币资金的控制与核算，对于保障单位资产安全完整，提高资金周转速度和使用效益具有重要意义。扩展资料：内部控制的必要性：企业内部控制制度划分为内部管理控制制度与内部会计控制制度两大类。内部管理控制制度是指那些对会计业务、会计记录和会计报表的可靠性没有直接影响的内部控制。例如，企业单位的内部人事管理、技术管理等，就属于内部管理控制。内部会计控制制度是指那些对会计业务、会计记录和会计报表的可靠性有直接影响的内部控制。例如，由无权经管现金和签发支票的第三者每月编制银行存款调节表，就是一种内部会计控制，通过这种控制，可提高现金交易的会计业务、会计记录和会计报表的可靠性。企业单位制定内部控制制度的基本目的在于：保证组织机构经济活动的正常运转，保护企业资产的安全、完整与有效运用，提高经济核算（包括会计核算、统计核算和业务核算）的正确性与可靠性，推动与考核企业单位各项方针、政策的贯彻执行，评价企业的经济效益，提高企业经营管理水平。尤其需要指出的是，企业财务管理系统电算化已经普及，但计算机信息失控、破坏情况日趋严重，从而造成责任不明、相互推卸等问题，其关键在于计算机核算软件存在着密码缺乏牵制性，常用的密码设置方法已不适应电算化会计信息系统的管理和发展。所以财务管理电算化应提高会计信息的保密程度，避免信息泄漏及对实体信息破坏。内部控制贯穿于企业经营管理活动的各个方面，只要企业存在经济活动和经营管理，就需要加强内部控制，建立相应的内部控制制度。检查评价：内部控制的检查与评价是通过内部审计来完成的。内部审计在某种程度上可以理解为对内部控制的控制。通常可按以下程序和步骤：1、确定被审计单位内部控制的标准。内部审计将根据标准对被审计单位的内部控制的现状进行检查和判断。2、检查、判断被审计单位内部控制的健全情况，在分析被审计单位控制缺陷及潜在影响的基础上，即可对被审计单位内部控制的健全性作出评价。3、测试被审计单位内部控制的有效性。内部审计应当科学地选定具有代表性的测试样本，借以正确判断被审计单位内部控制的质量状况。4、写出内部控制检查与评价的最终报告。内部审计人员在其最终报告中，提出若干具体调查结论、意见、评价和建议，供单位最高管理层采纳，同时送交被审计单位的管理人员以改进内部控制。参考资料：百度百科-货币资金参考资料：百度百科-内部控制制度

企业内部控制应当遵循全面性、重要性、制衡性、适应性和成本效益原则制定。对企业的所有业务重新树立，优化内部环境，搞好风险评估，加强控制活动，确保信息畅通，强化内部监督，促进企业实现发展战略。1、完善制度建设、实施内部控制。以《企业内部控制规范-基本规范》、《企业内部控制基本规范》、《企业内部控制配套指引》等文件为依据，结合企业实际情况，全面梳理原有管理制度，在符合内部控制要求的前提下，着眼于管理创新、建立适合本企业的内部控制管理体系，明确相关部门人员的指责和权限，推行全面管理，提倡全员参与，建立彼此牵制、彼此连接、彼此制约的内控制度。　2、明确控制目标，优化内部控制环境。内部控制制度重点是围绕会计核算和会计监督环节来设置的。一般说来，健全的内部控制制度应能有效预防错误和舞弊的发生。即使发生了，也容易及时发觉和纠正。因此，在设计时必须明确控制目标，充分考虑各项内部控制制度是否符合内部控制基本原则，认真检查关键控制点是否进行了控制，所有的控制目标是否已达到。控制环境是指对建立或实施某项政策发生影响的各种因素，主要反映单位管理者和其他人员对控制的态度、认识和行动。企业内部控制应当建立在共同的道德规范的基础上，强调沟通和感情的交流，消除管理者和被管理者之间的隔膜，强调每一个人的积极性，形成真正意义上的团队精神。只有当企业凝聚起来一种文化氛围、企业价值观、企业精神、经营境界和广大员工所认同的道德规范和行为方式，才能为内部控制程序的执行创造良好的人文环境，也只有企业中的每一个员工目标明确，观念相同，内部控制才能更有效。3、提高会计人员素质。会计人员素质是加强内部控制的关键，企业要通过科学合理的聘用、培训、轮岗、考核、奖励、晋升、淘汰等办法，提高财会人员整体素质。在聘用会计人员上，要制定严格的招聘程序，不仅要选择业务能力强的人，更要注意选择那些具有良好的道德观、价值观的人才。在会计人员安排上，要实行工作岗位轮换制，通过轮换及时发现存在的问题，抑制部分人员的不良动机。要建立考核、奖励、晋升、淘汰机制，定期对会计人员进行业绩、道德品质、思想操守等综合考核，奖优罚劣，充分激发会计人员的积极性和责任感。在培养人才上，不仅要定期进行业务培训，不断提升业务水平，更要注意其职业道德及法制观念的培养。4、加强内部监督。企业内部控制是一个过程，这个过程是通过纳入管理制度及活动实现的。因此，要确保内部控制制度被切实地执行，且执行效果良好，其必须被监督。企业应设置内部审计机构或建立内部控制自我评估系统，加强对本企业内部会计控制的监督和评估，及时发现漏洞和隐患，并针对出现的新问题和新情况及内部控制执行中的薄弱环节，及时修正或改进。做到有章可循，违章必究，违规必罚，以罚促纠。5、实施预算控制，提高内控水平。实行全面预算，搞好各业务事项的事前预测、事中控制、事后分析，将企业的经营目标转化为各生产厂、各部门、各岗位以至个人的具体行为目标。预算控制内容应涵盖企业经营活动的全过程，强化预算控制，通过预算的编制和考核预算的执行情况，动态分析执行结果，及时纠正偏差，确保预算执行到位。并与管理者的绩效工资挂钩，节将超罚，充分发挥预算的灵魂作用。6、加强内外部信息交流与沟通，加强反舞弊机制。企业应建立建立上传下达的有效机制。通过建立组织机构制定岗位责任制来实现。还应注意信息沟通的有效性和及时性。重视和加强反舞弊机制建，通过各种方式，鼓励员工及企业利益方举报和投诉企业内部的违法违纪行为。企业还应注意于外部关系人以适当的形式进行及时沟通与反馈。比如于注册会计师、客户、供应商等。7、会计电算化。会计电算化是现代会计发展的必然，因此我们要加快会计电算化建设，有效地加强会计内部控制与防范计算机风险。部分企业已实施ERP工程，在工作中要运用既定程序对各项会计业务进行检查，建立一套先进的会计内部控制信息系统，用现代化手段对会计数据进行整理分析。在应用软件开发中，设计会计业务处理程序时要将制约、监督等风险控制防范功能融人其中，使操作人员必须按照职责权限和有制约的操作程序才能进人系统处理会计业务，以达到防范技术风险和计算机犯罪。总之，加强实施内部控制能够规范社会主义市场经济秩序，确保国民经济稳定、持续、健康地向前发展。有活力的内部控制制度应该是推动企业创新的制度，只有企业全体职工齐心协力，相互支持，相互激励，企业内部会计控制才能发挥应有的作用，才能促进企业健康有序发展。为了进一步推动企业内控工作的深入发展，探索企业如何通过内控体系建设提升管理水平的思路与方法，帮助企业和金融机构解决内控专业人才匮乏的现实问题，提高内控人员和内部审计人员业务素质，中审网校与国际内控协会（The Internal Control Institute ,英文简称ICI）强强联合，将于2013年6月开展国际注册内部控制师资格认证考试。

第一条　为指导国务院国有资产监督管理委员会（以下简称国资委）履行出资人职责的企业（以下简称中央企业）开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展，根据《中华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规，制定本指引。第二条　中央企业根据自身实际情况贯彻执行本指引。中央企业中的国有独资公司董事会负责督导本指引的实施；国有控股企业由国资委和国资委提名的董事通过股东（大）会和董事会按照法定程序负责督导本指引的实施。第三条　本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。第四条　本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。第五条　本指引所称风险管理基本流程包括以下主要工作：（一）收集风险管理初始信息；（二）进行风险评估；（三）制定风险管理策略；（四）提出和实施风险管理解决方案；（五）风险管理的监督与改进。第六条　本指引所称内部控制系统，指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。第七条　企业开展全面风险管理要努力实现以下风险管理总体目标：（一）确保将风险控制在与总体目标相适应并可承受的范围内；（二）确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；（三）确保遵守有关法律法规；（四）确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；（五）确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。第八条　企业开展全面风险管理工作，应注重防范和控制风险可能给企业造成损失和危害，也应把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。第九条　企业应本着从实际出发，务求实效的原则，以对重大风险、重大事件（指重大风险发生后的事实）的管理和重要流程的内部控制为重点，积极开展全面风险管理工作。具备条件的企业应全面推进，尽快建立全面风险管理体系；其他企业应制定开展全面风险管理的总体规划，分步实施，可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作，建立单项或多项内部控制子系统。通过积累经验，培养人才，逐步建立健全全面风险管理体系。第十条　企业开展全面风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。 第十一条　实施全面风险管理，企业应广泛、持续不断地收集与该企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。第十二条　在战略风险方面，企业应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例，并至少收集与该企业相关的以下重要信息：（一）国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；（二）科技进步、技术创新的有关内容；（三）市场对该企业产品或服务的需求；（四）与企业战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；（五）该企业主要客户、供应商及竞争对手的有关情况；（六）与主要竞争对手相比，该企业实力与差距；（七）本企业发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据；（八）该企业对外投融资流程中曾发生或易发生错误的业务流程或环节。第十三条　在财务风险方面，企业应广泛收集国内外企业财务风险失控导致危机的案例，并至少收集该企业的以下重要信息（其中有行业平均指标或先进指标的，也应尽可能收集）：（一）负债、或有负债、负债率、偿债能力；（二）现金流、应收账款及其占销售收入的比重、资金周转率；（三）产品存货及其占销售成本的比重、应付账款及其占购货额的比重；（四）制造成本和管理费用、财务费用、营业费用；（五）盈利能力；（六）成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；(七)与该企业相关的行业会计政策、会计估算、与国际会计制度的差异与调节（如退休金、递延税项等）等信息。第十四条　在市场风险方面，企业应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与该企业相关的以下重要信息：（一）产品或服务的价格及供需变化；（二）能源、原材料、配件等物资供应的充足性、稳定性和价格变化；（三）主要客户、主要供应商的信用情况；（四）税收政策和利率、汇率、股票价格指数的变化；（五）潜在竞争者、竞争者及其主要产品、替代品情况。第十五条　在运营风险方面，企业应至少收集与该企业、本行业相关的以下信息：（一）产品结构、新产品研发；（二）新市场开发，市场营销策略，包括产品或服务定价与销售渠道，市场营销环境状况等；（三）企业组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验；（四）期货等衍生产品业务中曾发生或易发生失误的流程和环节；（五）质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节；（六）因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵；（七）给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险；（八）对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；（九）企业风险管理的现状和能力。第十六条　在法律风险方面，企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与该企业相关的以下信息：（一）国内外与该企业相关的政治、法律环境；（二）影响企业的新法律法规和政策；（三）员工道德操守的遵从性；（四）该企业签订的重大协议和有关贸易合同；（五）该企业发生重大法律纠纷案件的情况；（六）企业和竞争对手的知识产权情况。第十七条　企业对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合，以便进行风险评估。 第十八条　企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。风险评估包括风险辨识、风险分析、风险评价三个步骤。第十九条　风险评估应由企业组织有关职能部门和业务单位实施，也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。第二十条　风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。第二十一条　进行风险辨识、分析、评价，应将定性与定量方法相结合。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法可采用统计推论（如集中趋势法）、计算机模拟（如蒙特卡罗分析法）、失效模式与影响分析、事件树分析等。第二十二条　进行风险定量评估时，应统一制定各风险的度量单位和风险度量模型，并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化，定期对假设前提和参数进行复核和修改，并将定量评估系统的估算结果与实际效果对比，据此对有关参数进行调整和改进。第二十三条　风险分析应包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理。第二十四条　企业在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。第二十五条　企业应对风险管理信息实行动态管理，定期或不定期实施风险辨识、分析、评价，以便对新的风险和原有风险的变化重新评估。 第二十六条　本指引所称风险管理策略，指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。第二十七条　一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。第二十八条　企业应根据不同业务特点统一确定风险偏好和风险承受度，即企业愿意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放弃发展机遇。第二十九条　企业应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置，进一步确定风险管理的优选顺序，明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。第三十条　企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。 第三十一条　企业应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具（如：关键风险指标管理、损失事件管理等）。第三十二条　企业制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。第三十三条　企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。第三十四条　企业制定内控措施，一般至少包括以下内容：（一）建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；（二）建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；（三）建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；（四）建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；（五）建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等；（六）建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩；（七）建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施；(八)建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度；（九）建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括：授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。第三十五条　企业应当按照各有关部门和业务单位的职责分工，认真组织实施风险管理解决方案，确保各项措施落实到位。 第三十六条　企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。第三十七条　企业应建立贯穿于整个风险管理基本流程，连接各上下级、各部门和业务单位的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监督与改进奠定基础。第三十八条　企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送企业风险管理职能部门。第三十九条　企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，要根据本指引第三十条要求对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送企业总经理或其委托分管风险管理工作的高级管理人员。第四十条　企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。第四十一条　企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价，出具风险管理评估和建议专项报告。报告一般应包括以下几方面的实施情况、存在缺陷和改进建议：（一）风险管理基本流程与风险管理策略；（二）企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设；（三）风险管理组织体系与信息系统；（四）全面风险管理总体目标。 第四十二条　企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。第四十三条　企业应建立健全规范的公司法人治理结构，股东（大）会（对于国有独资公司或国有独资企业，即指国资委，下同）、董事会、监事会、经理层依法履行职责，形成高效运转、有效制衡的监督约束机制。第四十四条　国有独资公司和国有控股公司应建立外部董事、独立董事制度，外部董事、独立董事人数应超过董事会全部成员的半数，以保证董事会能够在重大决策、重大风险管理等方面作出独立于经理层的判断和选择。第四十五条　董事会就全面风险管理工作的有效性对股东（大）会负责。董事会在全面风险管理方面主要履行以下职责：（一）审议并向股东（大）会提交企业全面风险管理年度工作报告；（二）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；（三）了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；（四）批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；（五）批准重大决策的风险评估报告；（六）批准内部审计部门提交的风险管理监督评价审计报告；（七）批准风险管理组织机构设置及其职责方案；（八）批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为；（九）督导企业风险管理文化的培育；（十）全面风险管理其他重大事项。第四十六条　具备条件的企业，董事会可下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任；董事长兼任总经理的，召集人应由外部董事或独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事，以及具备风险管理监管知识或经验、具有一定法律知识的董事。第四十七条　风险管理委员会对董事会负责，主要履行以下职责：（一）提交全面风险管理年度报告；（二）审议风险管理策略和重大风险管理解决方案；（三）审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；（四）审议内部审计部门提交的风险管理监督评价审计综合报告；（五）审议风险管理组织机构设置及其职责方案；（六）办理董事会授权的有关全面风险管理的其他事项。第四十八条　企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。第四十九条　企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责，主要履行以下职责：（一）研究提出全面风险管理工作报告；（二）研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；（三）研究提出跨职能部门的重大决策风险评估报告；（四）研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控；（五）负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案；（六）负责组织建立风险管理信息系统；（七）负责组织协调全面风险管理日常工作；（八）负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作；（九）办理风险管理其他有关工作。第五十条　企业应在董事会下设立审计委员会，企业内部审计部门对审计委员会负责。审计委员会和内部审计部门的职责应符合《中央企业内部审计管理暂行办法》（国资委令第8号）的有关规定。内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告。第五十一条　企业其他职能部门及各业务单位在全面风险管理工作中，应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督，主要履行以下职责：（一）执行风险管理基本流程；（二）研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；（三）研究提出本职能部门或业务单位的重大决策风险评估报告；（四）做好本职能部门或业务单位建立风险管理信息系统的工作；（五）做好培育风险管理文化的有关工作；（六）建立健全本职能部门或业务单位的风险管理内部控制子系统；（七）办理风险管理其他有关工作。第五十二条　企业应通过法定程序，指导和监督其全资、控股子企业建立与企业相适应或符合全资、控股子企业自身特点、能有效发挥作用的风险管理组织体系。 第五十三条　企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。第五十四条　企业应采取措施确保向风险管理信息系统输入的业务数据和风险量化值的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批准，不得更改。第五十五条　风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。第五十六条　风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。第五十七条　企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新。第五十八条　已建立或基本建立企业管理信息系统的企业，应补充、调整、更新已有的管理流程和管理程序，建立完善的风险管理信息系统；尚未建立企业管理信息系统的，应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行。 第五十九条　企业应注重建立具有风险意识的企业文化，促进企业风险管理水平、员工风险管理素质的提升，保障企业风险管理目标的实现。第六十条　风险管理文化建设应融入企业文化建设全过程。大力培育和塑造良好的风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进企业建立系统、规范、高效的风险管理机制。第六十一条　企业应在内部各个层面营造风险管理文化氛围。董事会应高度重视风险管理文化的培育，总经理负责培育风险管理文化的日常工作。董事和高级管理人员应在培育风险管理文化中起表率作用。重要管理及业务流程和风险控制点的管理人员和业务操作人员应成为培育风险管理文化的骨干。第六十二条　企业应大力加强员工法律素质教育，制定员工道德诚信准则，形成人人讲道德诚信、合法合规经营的风险管理文化。对于不遵守国家法律法规和企业规章制度、弄虚作假、徇私舞弊等违法及违反道德诚信准则的行为，企业应严肃查处。第六十三条　企业全体员工尤其是各级管理人员和业务操作人员应通过多种形式，努力传播企业风险管理文化，牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理责任重大等意识和理念。第六十四条　风险管理文化建设应与薪酬制度和人事制度相结合，有利于增强各级管理人员特别是高级管理人员风险意识，防止盲目扩张、片面追求业绩、忽视风险等行为的发生。第六十五条　企业应建立重要管理及业务流程、风险控制点的管理人员和业务操作人员岗前风险管理培训制度。采取多种途经和形式，加强对风险管理理念、知识、流程、管控核心内容的培训，培养风险管理人才，培育风险管理文化。 第六十六条　中央企业中未设立董事会的国有独资企业，由经理办公会议代行本指引中有关董事会的职责，总经理对本指引的贯彻执行负责。第六十七条　本指引在中央企业投资、财务报告、衍生产品交易等方面的风险管理配套文件另行下发。第六十八条　本指引的《附录》对本指引所涉及的有关技术方法和专业术语进行了说明。第六十九条　本指引由国务院国有资产监督管理委员会负责解释。第七十条　本指引自印发之日起施行。

众所周知，企业内部控制在执行过程中，总会受到某种力量的推动或是阻碍。笔者认为影响内部控制执行的力量主要有三大方面，它们分别是：内部控制环境、企业资源和内部控制制度本身。 　　 一、内部控制环境对执行的影响 　　 企业作为一个系统，总是在一定的环境下运行。环境又可分为外部环境和内部环境。内部控制系统作为企业的一个子系统，与企业所处的外部环境是相同的。因此，在讨论内部控制环境对执行的影响时，应从内部环境入手，对其进行认真的审视。 　　 根据COSO委员会《内部控制整体框架》及我国五部委颁布的《企业内部控制基本规范》，笔者对内部控制环境做如下定义：内部控制环境决定了一个组织的基调，是企业内部控制机制运行的组织氛围。它影响组织成员对于控制的意识，是内部控制其他要素的基础，提供纲领和结构。而内部控制环境又主要包括哪几个方面呢？又将如何影响内部控制的执行？以下将通过三大方面来阐述内部控制环境对内部控制执行的影响。 　　 1.合理的组织结构。内部控制是以组织结构为基础建立的制度控制，而合理的组织结构是达到内部控制目标的组织保证。首先，合理的组织结构应具备合理的组织纵横结构布局。因为只有适宜的等级层次与管理幅度才有利于内部控制目标的分解及制度的具体化，从而有利于制度的实施。其次，组织各部门之间的分工合作要协调。有学者认为，内部控制制度因素只有适应分工的技术效率的内在要求，其整体的制度效率才能提高。各部门之间分工合作的协调性，可以保证内部控制执行的专业化和有效的管理。最后，明确组织结构中的权责关系。到底谁对内部控制负责？这是内部控制执行过程中必须关注的问题。只有明确了内部控制的责任主体、各执行部门的职责范围和各执行人员的职责权限后才可以确保各部门和人员能够各司其职、各尽其责地执行内部控制的相关制度。 　　 2.合格的执行人员。内部控制不仅包括等级关系的控制，还包括基于平行流程的横向之间的相互控制，内部控制是网络化的立体控制）。基于此，执行人员既为内部控制的执行主体，也为内部控制的执行客体，其对企业内部控制执行的好坏起着决定性的作用。 　　 从权力制衡的角度来看，管理层更多地是内部控制的执行者，重大决策权应归属于董事会（具体是指下设的专业委员会），这样才能达到决策、执行与监督三权分离的效果，否则就会出现管理层权力过大，超越内部控制的制约。因此可将执行者分为两个级别，即管理层和一般员工。管理层是指令的发出者和执行的指挥者。指令的正确性、必要性、可行性、可操作性，指令是否细化量化，直接影响了执行的效果。上司对执行过程的跟进、指导、示范、检查、控制，也是使执行到位的必要工作。企业一般员工的素质、组织道德、知识、能力、经验等因素均会影响其对内部控制的认知和内化程度，从而影响到内部控制的有效执行与否。 　　 3.企业文化。企业文化直接影响着内部控制。企业文化的水平越高，就越有控制意识。控制意识越强的企业通常也存在更好的控制环境，而控制环境设定了企业的内部控制基调，影响员工对内部控制的认识和态度，从而保证内部控制作用的有效发挥。 　　 二、企业资源对执行的影响 　　 内部控制具有全员化、全过程的特点。在实施内部控制的过程中，企业必定要投入大量的资源，主要包括物质资源、人力资源、信息资源以及权威资源。 　　 1.物质资源。物质资源包括企业在实施内部控制过程中所投入的物力和财力，这是内部控制执行的物质基础。物质资源的投入应本着成本效益原则，力求以最小的投入获取最大的产出，既保证内部控制执行活动的正常开展，又要避免不必要的浪费。适量的物质资源的投入，有助于内部控制的有效执行；反之，物质资源投入过量，就会造成资源浪费，达不到内部控制执行的成本效益性。 　　 2.人力资源。内部控制是由人来进行设计并实施的，确保组织内所有成员具有一定水准的诚信、道德观和能力的人力资源方针，是内部控制有效的关键因素之一。人力资源是组织拥有的体现在全体员工体力与智力上的全部经济资源，它虽然不能像物质资源那样容易量化，但对企业内部控制的有效执行，人力资源发挥着更为重要的作用。 　　 3.信息资源。管理层的指令传递与接受，密切关注行动信息的反馈，从而及时调整实施方案，这是执行活动必不可少的双向互动交流，也是确保执行活动有效进行的重要因素。因此，内部控制的执行者不仅应该获得足够的信息资源，而且还应当确保信息渠道的畅通无阻和获取信息的及时性，使信息利用呈现最佳价值，保证内部控制目标的顺利实现。 　　 4.权威资源。权威资源是内部控制执行活动的一种特殊资源。斯特考尔认为“制度是能够自行实行或由某种外在权威施行的行为规范”。负责执行的人员要使其执行活动得以顺利进行，就必须具备相应的权威。而在内部控制的执行过程中，内控制度是施控主体权威的唯一来源。因为内部控制作为非人格的控制机制，在理想执行状态下，其控制对象不限于受控方，施控方本身亦是内控制度的控制对象。与强调等级制的传统科层制中领导的权威来源于领袖气质、人格魅力、伦理道德等是不同的。 　　 三、内部控制制度本身对执行的影响 　　 我国相关部门正式发布的内部控制规范、指南多达几十部，因此企业在建设内部控制过程中可以选择遵循的依据就很多，这使得有些企业无所适从。正如COSO在1992年的报告中所言，中国需要针对企业的管理层投资者、注册会计师、监管部门等各方的需求和期望，“建立一个适应各方需求的通用的内部控制定义；提供一个内部控制标准，无论何种规模、性质的企业和组织都可以参照该标准评估他们的内部控制系统，并确定如何改进。”显然，内部控制制度的完善与否直接影响到企业内部控制的有效执行。而内控规范的可操作性、内控指南的具体性及制度的成本效益性则影响着企业内部控制制度的建立和有效实施。 　　 1.内控规范的可操作性。2008年6月由财政部等五部委制定的《企业内部控制基本规范》正式出台。该规范为中国企业首次构建了一个企业内部控制的标准框架，有效解决政出多门、要求不一、企业无所适从的问题，有利于提高内部控制监管效率、降低监管成本，有利于优化企业管理和增强企业竞争实力。但与美国萨班斯法案的颁布相比，中国企业对《基本规范》的出炉，反应平静；中国IT业界对此法律反应冷淡，因此将尚在修订中的这部规范称为“中国版的萨班斯法案”有着夸大其约束力和影响力的嫌疑。国家会计学院郑洪涛博士认为这部规范的条款十分原则，最大的弊端是缺少权威性和可操作性，因而也缺乏强制约束力。所以该规范的出台并未解决前面COSO提到的“建立一个无论何种规模、性质的企业和组织都可以参照的标准”。 　　 2.内控指南的具体性。财政部等五部委在颁布《企业内部控制基本规范》后，于2009年1月又陆续出台了包括组织架构、社会责任、资金、采购等十项企业内控应用指引。这些应用指引较多为原则性条款且所涵括的企业类型较多，不具针对性和可操作性。于是，市场上出现了很多结合企业内控规范的实务操作指南的书籍和培训机构，但又缺乏具体性和权威性。这些因素都制约着企业内部控制制度的设立和实施。 　　 3.内部控制制度的成本效益性。企业在建立一项制度时都会考虑实施该制度所带来的成本和效益。同样，如果企业实施内部控制的成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施。在现有的大企业中都有建立内部控制，而在小企业里一般没有正规的制度。我国相关部门要求上市公司在2009年7月1日开始施行《企业内部控制基本规范》，鼓励非上市公司施行。因此，原已有内部控制的企业要按规范进行调整，而原来没有正规内部控制制度的企业则要开始建立。企业在投入大量的人力和物力后，内部控制所带来的效益并没有很快显现。而且，由于监管者的内部控制要求具有强制性,但实际上他与管理者对内部控制的需求又存在明显的不一致性,从实施的后果来看, 管理者在企业内部控制建设上的努力在很大程度上成了一种对监管者要求的遵循, 而对企业自身的经营管理意义并没有想象的那么大。因此，内部控制制度的成本效益性在很大程度上影响企业内部控制的有效执行。 　　

内部控制的建设由对企业内部控制制度和体系有影响的所有部门共同进行。各部门通过日常的控制活动对涉及本部门的内控流程与制度的执行情况进行自我评估。审计部门通过日常审计或专项审计等监控活动对企业相关内控流程与制度的执行情况进行相对独立的评估。

1、明确规定处理各种经济业务的职责分工和程序方法企业要健全和强化内部组织机构，是企业经济活动进行计划、指挥和控制的组织基础，其核心问题是合理的职责分工。在一般情况下，处理每项经济业务的全过程，或者在全过程的某几个重要环节都规定要由两个部门或两个以上部门、两名或两名以上工作人员分工负责，起到相互控制的作用。2、明确资产记录与保管的分工规定管钱、管物、管帐人员的相互制约关系，旨在保护资产的安全完整。另外，现金收付的复核制，物资收发的复秤制、复点制等，也都是防错防弊的内部控制制度。3、明确规定保证会计凭证和会计记录的完整性和正确性要求对各种自制原始凭证，在格式、份数、编号、传递程序、各联的用途、有关领导和经办人签章、明细数同合计数及大小写数字一致等方面作出规定。对各种账簿记录，要求帐证的一致或保持一定统驭关系的规定；还有会计核算中规定的双线核对、余额明细核对、各种报表相关数字核对，以及由此而规定的内部稽核制度等。4、明确规定建立财产清查盘点制度为了保证财产物资的安全和完整，除规定物资保管员对每项物资进行收付后，要实行永续盘存办法核对库存帐实外，还要规定财产物资的局部清查和全面清查制度，以保证帐卡物相符或及时处理发生的差错。5、明确规定计算机财务管理系统操作权限和控制方法（1）计算机代替手工填制记账凭证是比较容易的，比手工制作的凭证更规范、效率更高。（2）电算化可以提高会计工作效率和会计工作的水平。（3）对会计电算化进行内部控制，主要是对存取权限进行控制。参考资料来源：百度百科-内部控制制度

应用指引，评价指引，和审计指引的不同：1、应用指引是指如何设置内部控制，其中概括性指引是纲，阐述这一大类中相关管理会计工具方法的共性内容。2、评价指引是公司自己内部评价内控，结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等，明确相关机构或岗位的职责权限。3、审计指引是注册会计师进行内控审计时候看的文件，为了促进企业建立、实施和评价内部控制，规范会计师事务所内部控制审计行为，根据国家有关法律法规和《企业内部控制基本规范》财会。

看书，看不进去的可以下载软件听书，看不懂的反复看。学英语，从背单词，学口语学起。培养自己的兴趣，并且坚持下去，在任何领域你有一技之长都是厉害的。

　　企业内部控制审计是会计师事务所接受委托，对特定基准日企业内部控制设计与运行的有效性进行审计，并发表审计意见，审计内容包括企业治理结构、机构设置、企业文化、人力资源政策等内部控制环境因素，以及企业识别风险的评估程序、应对风险的具体措施和信息传递有效性、保证内部控制规范建设和有效运行的机制等，全面评价企业设计和运行的内部控制是否能够合理保证财务报告及相关信息合法、真实、完整，以及用于保护资产安全的内部控制是否可靠。x0dx0a　　企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。如果注册会计师审计后认为企业内部控制在所有重大方面是有效的，则出具无保留意见的内部控制审计报告；如果注册会计师认为企业内部控制存在重大缺陷，则出具否定意见内部控制审计报告；如果注册会计师审计范围受到限制，则应当解除业务约定或出具无法表示意见的内部控制审计报告。x0dx0a　　内部审计的方法x0dx0a　　一、假设问题存在审计求证法x0dx0a　　审计人员带着疑问和问题去实施审计是目前较为普遍采用的一种审计方法，也是最见成效的。x0dx0a　　二、审前征集审计线索法x0dx0a　　审计线索的提供者一般情况下都是知情者，因为舞弊的最终结果是在使得一部分人受益的同时侵害了另一部分人的利益或是国家利益或是社会公众利益，这些都会促使知情者在安全的情况通过第三者（如审计组）予以遏止的愿望，而信息的不对称性决定了审计人员对审计客体的经济活动行为的了解是不充分的，国家审计所面对的审计客体的经济活动行为也是多样化的，在审计人员处于信息掌握的劣势地位去揭示审计客体舞弊问题往往如大海捞针。x0dx0a　　三、审计经验判断法x0dx0a　　审计经验来源于审计实践是审计人员长期从事审计实践积累的结果，因审计人员的知识结构和持续学习专业技能能力以及接触的审计客体和审计工作时间的差异性，使得每一个审计人员所获取的审计经验存在着巨大的差异性，因此说审计经验具有独有的特性。x0dx0a　　四、追踪资金流向审计法x0dx0a　　按照资金的流程实施审计是审计人员最常用的审计方法之一，此方法适应于专项资金或单一资金的追踪检查，通过资金流转的各个环节检查是否存在资金流转过程中的“跑、冒、滴、漏”行为，直到资金最终的合法、有效、效率和效果使用x0dx0a　　五、走访调查审计法x0dx0a　　当一个单位的管理层有预谋的从事舞弊活动事件时，单位制定的内部控制制度是不起作用的，审计人员所接触到的记录经济活动行为的载体似乎是合规合法的，此时审计人员已经很难就会计资料所记录的事项作出符合审计目标的专业判断，可审计直觉与审计经验使审计人员觉察到问题远非如此简单，审计人员为了进一步证明自己的直觉判断，选择走访调查的审计方法很可能会得到令审计人员十分惊喜的审计线索或审计证据。x0dx0a　　六、分析性复核审计法x0dx0a　　几乎每一个审计项目都要使用的一种方法，分析性复核顾名思义就是在面对审计客体所提供的各种资料记录的载体上，利用审计人员的专业技术知识与经验。x0dx0a　　在审计人员收集到的相关联的审计记录的基础上，利用合理的推断、验证、计算以及法律法规的量度，进一步核实其提供的会计记录的真实性、完整性、合法性和一致性，通过审计人员理性的分析与复核作出具有证明力的审计结论，从而揭示出问题存在的真正根源。x0dx0a　　七、环境因素影响审计法x0dx0a　　环境因素影响审计法是指审计人员在实施审计作业时要要考虑经济与社会发展的大环境下以及审计客体自身环境的影响，可能导致舞弊事件发生的可能性进行审计判断的一种审计方法。x0dx0a　　也就是说审计人员要通过对审计客体的外部环境和内部环境因素的作用力，作出符合审计目标和能够收集审计证据的基本线索依据，有针对性地组织和进行审计作业。x0dx0a　　八、抽样审计与详细审计结合审计法x0dx0a　　抽样审计是确定审计样本的一种审计方法，是基于审计成本与审计时间的制约而考虑的。x0dx0a　　从技术手段上看，抽样审计潜伏着巨大的审计风险或是因样本的确定可能导致舞弊不能被揭示的内在存在性；x0dx0a　　从实现审计的目标来看，抽样审计是在一定成本与时间的基础上能够相对效率的实现审计目标。x0dx0a　　在审计实践中，审计人员确定审计样本是基于内控制度与重要性水平评估的基础上进行，当对某一样本产生怀疑时，审计人员可能会扩大样本的数量或对某一样本的业务流程进行详细审计。x0dx0a　　九、实物观察与计量审计法x0dx0a　　此方法也是审计实践中较为常用的一种审计方法，即通过实物的现场观察与实际计量的手段来核实资产账面记录的真实性、存在性和准确性，通常使用的审计工具是各种类型的度量衡，如卷尺、电子称等计量工具。x0dx0a　　内部审计步骤：x0dx0a　　1公司根据内审时机，提出内审建议，管理都代表批准后实施。x0dx0a　　2建立审核小组x0dx0a　　根据内审活动目的、范围、部门、过程及内审日程安排，审核组长提出审核组名单，经管理者代表批准后建立审核小组。x0dx0a　　3编制审核计划