内部控制

　　谈电算化会计信息系统的内部控制　　作者：佚名 文章来源：不详 点击数：177 更新时间：2006-7-31 0:15:46　　[摘 要]通过对电算化会计信息系统内部控制的特点的分析，初步探讨了其主要内容和可能存在的问题，并对如何加强和完善电算化会计信息系统的内部控制提出了建议。　　[关键词]电算化；会计信息系统；内部控制　　内部控制一般包括内部管理控制和内部会计控制，电算化会计信息系统的内部控制则是内部会计控制的特殊形式，也是内部会计控制深层次的发展。随着计算机技术、网络技术、通讯技术和数据库技术等高新技术的飞速发展和在各个领域（包括会计领域）的广泛应用，会计工作经历了从手工会计到会计电算化再到网络会计的发展过程，会计处理的流程也随之发生了变化；会计数据处理的工具也从算盘发展到计算机单机和计算机网络，会计账簿、企业财务报告从传统的纸介质形式向电子账簿、网络财务报告形式转变，构成了电算化会计信息系统。在电算化会计信息系统环境下，这些变革无疑也给内部会计控制带来了新的问题和挑战。本文通过对电算化会计信息系统内部控制的特点的分析，初步探讨了其主要内容和可能存在的问题，并对如何加强和完善电算化会计信息系统的内部控制提出了建议。　　一、与手工会计系统相比，电算化会计信息系统内部控制的特点　　内部会计控制是处理会计业务时所形成的自我调节和自我约束的有机体，包括了一系列既相互联系又相互制约的制度和手续。它是会计活动健康有序运行的重要保证，也是开展审计工作的基本条件和重要内容。“中华人民共和国会计法”规定各单位必须建立健全内部会计控制制度，《会计法》关于内部会计控制制度的主要内容包括：职责明确、相互制约、严格程序、如实记录、定期检查等[1].经过多年的研讨、实践、积累，手工会计系统的内部控制已形成了一整套行之有效的方法和制度，然而，随着现代信息技术在财会领域的广泛应用，使得原有的会计内部控制制度和方法在各方面都受到了挑战。本文认为，与手工会计系统的内部控制相比，电算化会计信息系统的内部控制有以下几方面的特点：　　1.内部控制的措施和方式发生了变化。主要体现在2个方面：一是原手工会计系统下的一些内部控制措施在实施电算化后没有必要存在。例如，制作科目汇总表、凭证汇总表，试算平衡的操作，以及总账、明细账核对等。由于计算机自动计算汇总一般不会出错，除非在计算机病毒的影响、非法操作和数据受损等情况下才会出现试算不平衡等现象，因此以上措施没有必要存在。二是原手工会计系统下的一些内部控制措施，在电算化后转移到了计算机内部。例如，记账凭证里金额的借贷平衡、各账户的发生额平衡、账户的余额平衡检查等，也就没有必要存在了。一般来讲，电算化会计信息系统的内部控制措施分为以组织措施为主的一般控制和以计算机系统程序控制为主的应用控制，并且组织控制是应用控制的基础和保障；而控制的方式由人工控制转变为计算机控制为主，并与人工控制相结合。　　2.内部控制制度有了新的内容。由于计算机技术、网络技术等现代信息技术的引入，一方面使一些会计工作的形式发生变化，另一方面也给会计工作增加了一些新的工作内容；同时使内部会计控制的范围更广，包含了手工会计系统所没有的一些内部控制，因而电算化会计信息系统下的内部控制制度也必须要有新的内容。例如，计算机硬件及软件分析、程序设计、计算机维护人员及计算机操作人员的内部控制规章；计算机病毒防治，计算机系统内及磁盘内会计信息的安全保护，网络系统的安全控制规章；计算机操作管理员、系统管理员、系统维护员岗位责任制度；软件使用权限的控制、修改程序的控制、数据备份的控制、科目代码的控制、结账时间的控制和设备的接触控制等系统的权限控制制度等。　　3.内部控制的重点发生了转移。手工会计信息系统内部控制的重点是会计凭证保管、整理、归档的控制，记账程序的控制，会计人员岗位责任的控制，账证、账表和账实核对等的控制；电算化会计信息系统内部控制的重点将由传统的财务部门转移到电子数据处理部门，内部控制放在原始数据输入计算机的控制、会计信息输出的控制、人机交互处理的控制、计算机系统之间连接的控制、系统的安全控制等方面，控制的要求也更加严格。　　二、电算化会计信息系统内部控制的主要内容　　电算化会计信息系统的内部控制可以划分为：一般控制和应用控制两大类。它们都是用来预防、发现、纠正系统所发生的错误、舞弊和故障，使系统能正常运行；是提供可靠和及时的信息保证。与手工会计系统相比，它们也是计算机应用于会计信息系统所产生的特殊控制。　　（一）电算化会计信息系统的一般控制　　电算化会计信息系统的一般控制是面向整个系统的控制，其对象涉及人员、设备和程序等。电算化会计信息系统一般控制影响到计算机应用的成败，是应用控制的基础，它为数据处理提供了良好的环境。电算化会计信息系统一般控制主要包括系统的组织控制、操作控制、系统安全控制、系统开发控制和系统维护控制等相互配合的系统运行环境方面的控制。　　1.组织控制。组织控制的目的主要是减少电算化部门发生错误及舞弊行为的可能性。它的某些内容在原理上与手工会计系统的控制并没有多少区别，如职责分工、适当分权、职位轮换等。组织控制的基本原则是不相容的职责由不同的人员或部门来承担，基本目标是建立恰当的组织机构和职责分工制度。电算化会计信息系统从建立到运行的整个生存周期中，根据职能不同化分为两大部门即系统开发部门和系统应用部门，系统开发部门主要承担系统的开发研制以及系统的维护工作等，系统应用部门主要负责日常会计处理工作。两部门的人员要严格分工，系统开发人员一般不能从事系统应用操作，因为他们都是计算机专业人员，精通计算机并且了解电算化系统采用的各种控制技术、保密措施，可以轻易地进入系统进行不留痕迹的修改、破坏等操作。组织控制就是要使有关人员的越权处理活动难以进行，相互牵制、相互制约，以此来防止差错、舞弊和犯罪行为的发生，保证电算化系统的可靠运行。　　2.操作控制。为了保证数据处理的准确性和安全性，必须制定和执行各种标准的操作管理规程。例如，建立完备的机房管理制度，明确哪些人能上机操作、操作次序如何，严禁无关人员进入电算化机房，还要按有关规定记载上机日志等。为了防止舞弊行为，程序员不得参与操作，操作员不得接触参与程序设计、不得更动软件和打开数据库修改数据；操作员不得随意更换计算机所配置的系统参数及所安装的软件、并且不得在工作计算机上做任何与会计核算业务无关的事情，如在工作计算机上玩游戏。　　3.系统安全控制。电算化会计信息系统应该层层设防、严加防范，主要包括硬件安全控制、软件安全控制、网络安全控制和实体安全控制等。访问授权是计算机技术中一种常见的控制手段，它可以保证会计信息只能由授权人访问，以防止非授权者的访问、复制、修改和破坏，并且系统一旦被破坏仍保证能利用会计档案备份迅速恢复正常。无论是正常操作还是非法操作都必须由上机日志记录在案，即使发生问题，也可以根据权限范围以及上机日志迅速追查事故原因，以便分清责任、解决问题。　　4.系统开发控制。它是一种预防性控制，目的是防止电算化系统开发阶段的错误和偏差，确保系统开发过程及内容符合内部控制的要求和有关标准。开发系统前，要进行有效的可行性研究，使系统的每项设计都等满足单位的会计工作要求，并能适当满足单位发展前景的要求；系统开发过程中还要留下审计线索，以保证日后审计工作的需要。电算化系统正式投入运行前，要对有关人员进行培训，还要和手工会计工作并行一段时间（大约3个月），并经过有关主管部门和财政部门的评审验收，以证明新系统的合理合法性。　　5.系统的维护控制。为了适应系统运行环境的变化，系统维护涉及到电算化系统功能的调整、扩充和完善，包括软件的修改升级、计算机硬件和通讯设备的维修或更新等。对电算化系统进行维护必须经过周密计划，维护过程的每一环节都应设置必要的控制，如系统操作员不能直接参与软件的修改，所有与系统维护有关的活动都应严格记录并存档。　　（二）电算化会计信息系统的应用控制　　电算化会计信息系统的应用控制是指影响系统特定用途的控制，即为适应会计处理的特殊要求而建立及实施的控制。应用控制是一般控制的深化，可以在一般控制的基础上，直接深入到具体的业务数据处理，为数据处理的准确性、完整性和可靠性提供最后的保证。应用控制主要包括3个方面：输入控制、处理控制、输出控制。　　1.输入控制。目前电算化系统的数据输入手段有键盘手工输入、软盘转入和网络传送等，其中键盘手工输入应用得最多，也最易出错。只有输入正确的数据，才能进行正确的处理。输入控制包括4个方面：（1）经济业务在由计算机处理前经过适当的批准；（2）经济业务没有被遗漏、添加、重复或不正当的更换；（3）经济业务准确地转变为机器可读的形式，并被纪录在数据文件中；（4）不正确的经济业务被剔除、改正。在数据输入过程中，目前使用的大部分软件都设置了各种控制程序。例如，建立科目代码名称字典文件，输入科目代码时提示科目名称，当有新增科目代码自动追加到科目名称字典中供用户使用；建立科目对应关系参照文件，记账凭证输入完毕后，计算机自动判断该科目的对应关系是否正确，如果不对，提示用户进行修改。　　2.处理控制。处理控制是对数据处理的准确性和可靠性的控制。数据处理的准确、可靠，虽然在很大程度上依赖于输入数据的准确性、计算机硬件和软件安装的可靠性，但是，即使这方面都有其保证措施，仍然可能出现一些问题。例如，程序逻辑错误、计算错误、处理非法数据、重复输入等情况。因此，还必须设置处理控制措施，采用各种技术手段对输入数据的准确性进行校验。例如，在账务处理系统下未经复核的凭证不能记账，上月未结账本月不能结账；又如利用会计账户的余额进行控制，费用和收入类账户在期末一般没有余额，资产类账户的期末余额一般在借方，负债类和所有者权益类账户的余额一般在贷方，因此可以将这个基本内容作为余额合理性标准编入程序，当程序运行时就可以对所有账户余额进行合理性检查。　　3.输出控制。财务软件的输出功能一般包括查询输出、打印输出和向软盘输出或运用网络输出等方式。输出控制的主要目的是为了保证计算机输出结果的正确性、可靠性、及时性和必要的保密性，保证输出的接触人员是仅限于经过授权的人员。为此，要对打印或下载的文档资料严格控制，对储存输出数据的各种磁盘或其他磁性介质也要采取各种控制措施，并建立输出资料控制制度，由专人负责分发、保管并登记输出资料的使用者、分发日期、打印份数或下载情况；同时对发生的差错、丢失、泄密等事故要进行记录，仔细检查、分析形成事故的原因是操作员的过错还是程序本身的，并能采取相应的避免措施或改进措施。软件应对各种输出要求进行权限设置，未经授权，计算机拒绝执行其输出要求。例如在网上传输要设置网络口令，只有当口令正确时才能执行输出操作；又如对向软盘输出的情况，计算机应首先检查软盘的安全性，以防止计算机病毒的侵蚀。　　三、电算化会计信息系统内部控制存在的问题　　在电算化会计信息系统环境下，有形记录较手工会计系统大为减少，账务处理结果及数据文件都存储在计算机或磁盘等电子介质上，不像手工会计系统那样直观，特别是在磁盘上更改数据不会留下任何痕迹，而在计算机内部，会计数据无论是形态还是结构却发生了变化，这对会计数据的真实性、有效性和完整性都造成了威胁，一旦出现舞弊行为，后果将是严重的和难以发现的。目前，在会计工作实践中，电算化会计信息系统内部控制存在的问题主要表现在以下3个方面。　　1.数据的安全性差。手工会计系统中数据的处理和储存都分散于各个不同的部门和人员，而电算化系统的突出特点是会计数据处理的自动化、集中化，因此给数据安全带来了一定的威胁。例如，电算化系统都有必要的财务分工功能，每个操作员都设置有自己的口令和不同的工作权限，并且每个操作员都应保守自己的口令秘密。但是在电算化实践中，（1）一部分单位虽然设置有不同的财务分工，却往往是一个操作员身兼数职，可以以不同的身份进入系统进行不同的操作，这样，财务分工的控制就名存实亡。（2）未经授权的计算机专业人员可以利用计算机技术和网络技术轻易地浏览各种数据文件，造成会计机密数据被泄漏。（3）会计数据文件大量地保存在磁性材料中，一旦发生火灾、水灾、盗窃之类的事件，就可能使全部数据丢失和毁损；同时磁性材料对外界环境的要求比较高，要防火、防水、防磁和防尘，对环境温度也有一定要求，因此增加了数据的脆弱性。如果不加强电算化会计信息系统数据安全方面的控制，数据丢失和毁损的可能性就会大大增加，并造成财务软件的程序控制失效。为了保证会计信息的安全性、可靠性，财政部曾制定了相关的规则，对财务软件必须具有的安全性做了一些具体规定和指导意见。　　2.差错的反复性和严重性。手工会计系统中数据处理环节分散于多个部门、多个员工，一个部门或人员的差错往往可以在下个环节发现和纠正。所以，一般情况下一定时间内差错重复发生的可能性不大，发生重大差错的可能性也不大。电算化系统数据处理自动化、集中化，再加上计算机运行的高速性、程序运行的重复性，使得处理结果一旦发生错误，往往就会在短时间内迅速蔓延，造成多种数据文件、账簿及整个系统的会计数据失真，并且可能使系统出现反复性差错。正如信息处理中的一句名言：“垃圾进，垃圾出”，也就是说如果输入数据出错，以后的处理环节再正确，也只能输出错误的信息。电算化系统数据处理的高速性和集中性都使得出现差错的危险性增大，因此，电算化会计信息系统数据输入、数据处理各环节和系统硬件设施等方面都需要加强控制。　　3.管理和监督的有效性差。根据财政部的有关规定，以计算机代替手工记账的单位必须达到一定条件，并且需要经有关财政部门或上级主管部门的审批；运用互联网输出、输入或处理数据，还需要到公安部门登记注册。但是，实际上部分单位未经审批就直接采用计算机代替手工记账；更为严重的是，有些单位未能满足相关条件就正式使用计算机代替手工记账。例如，计算机和手工并行三个月且取得与手工相一致的结果是审批的必要条件之一，有些单位未完成这一环节、也未经审批，就直接实施了会计电算化。计算机代替手工记账的单位必须建立完善的电算化管理制度，有些单位虽然建立了内部管理制度，但徒有虚名并没有切实执行。例如，按职权分离原则，系统开发人员不应直接接触或者正式操作电算化会计系统，凭证的输入和复核人员必须由不同的人员执行，但有些单位系统开发人员则可以随时接触会计核算系统，甚至顶班操作；也有一些单位由同一个人按照不同的姓名口令进入系统去完成凭证输入和复核两项不兼容的工作。　　四、电算化会计信息系统内部控制的加强和完善　　电算化会计信息系统的内部控制实际执行了一部分审计工作，它是一项技术性强并相当复杂的工作，因此必须加强和完善电算化会计信息系统的内部控制，以保证系统的正常运行和财务数据的安全可靠，减少甚至消除可能发生的危害。提升单位或企业的整体管理水平，以保障单位或企业管理目标的实现，主要措施应有以下几个方面。　　1.强化风险意识。会计信息化是会计发展的必然趋势，与手工会计系统相比，电算化会计信息系统具有明显的优越性，但是电算化系统有不同于手工会计系统的特点及其风险，必须建立更加严密的、系统的内部控制制度。各级领导和财会部门、信息部门人员都应对会计信息化树立正确的思想认识，营造风险防范从我做起的氛围。目前，社会中计算机犯罪行为的增加，使我们更应认识到电算化会计信息系统加强内部控制的重要性。强化系统的内部控制，既是预防电脑犯罪的重要措施，也是减少差错的有效保障。　　2.在法规、准则制度上完善对电算化会计信息系统的内部控制机制的规范。目前，财政部已陆续颁布了一系列内部会计控制规范文件，如“内部会计控制规范———基本规范（试行）”“内部会计控制规范———货币资金（试行）”“内部会计控制规范———采购与付款（试行）”“内部会计控制规范———销售与收款（试行）”。但我国有关部门颁布的电算化方面的政策法规还不多，参照国际惯例，电算化会计信息系统内部控制的内容应以准则的方式对外发布。实施电算化会计信息系统的单位可以结合自身的特点，制定切实可行的内部会计控制制度及方法。财政部和主管部门应制定内部控制工作指南，对单位电算化会计信息系统内部会计控制工作提出指导和建议。　　3.加强与使用电算化系统有关的审批、评审和验收等工作的监督机制。使用电算化会计信息系统的单位必须具备几个基本条件，各级财政部门和业务主管部门应加强审批的各项管理措施，以保证实现会计电算化的单位都具有良好的内部控制制度，特别是对于商品化的财务软件，要加强对软件的评审管理。评审的内容主要是针对软件是否符合国家统一的会计制度，软件的安全性、可靠性以及软件的售后服务功能等方面。验收工作主要是检查与软件相配合的运行环境和管理制度的建立情况。　　4.加强内部审计。内部审计是单位或企业内部控制系统的重要组成部分，也是强化内部会计监督的制度安排。电算化会计信息系统的运作往往是“人机”对话的特殊形态，对网络环境下的会计信息审核必须运用更复杂的查核技术，只有精通计算机网络知识、熟悉审计财务程序的人员才能胜任此项工作，这给内部审计加大了难度[2].内部审计制度是保障内部控制的重要手段之一，通过内部审计可以了解现有的一些内部控制措施是否能满足为内部会计系统提供准确、可靠的信息，以及这些控制措施能否有效地运作以达到预期的目的。在电算化系统运行过程中，审计人员对会计业务处理等工作进行评价和检验，有利于检测财务软件的可靠性，发现存在的问题、提出解决问题的建议，有利于提高会计核算质量和管理水平。　　5.人员控制。人员控制是电算化系统管理的根本，会计电算化人才的缺乏是制约我国会计信息化工作发展的关键环节。为此，首先要通过各种培训提高会计人员的计算机业务水平和职业道德水准、增强遵守各项法规的自觉性，实行考核合格才准上岗的制度；其次要通过各类院校培养既懂会计又掌握一定计算机知识及技能的专业人才充实到会计队伍中；第三，会计人员不仅要具备财会知识和计算机知识，同时还要掌握一定的管理知识；最后，业务主管应当熟悉整个会计电算化处理业务，以便对系统会计工作流程进行监控和指导。　　总之，任何计算机系统都不是无懈可击的，任何规章制度也不是天衣无缝的，因此，完善有效的计算机系统及管理制度是电算化会计信息系统安全之本；提高会计电算化人员素质，规范和完善电算化会计信息系统操作和管理章程，重视内部审计，增强数据安全意识，是当前强化电算化会计信息系统内部控制的关键问题。　　[参考文献]　　[1]陈玉菁。新《会计法》对会计监督理论的影响[J].上海会计，2001，（8）：10-11.　　[2]唐勇军，时薛原。网络环境下的会计信息内部控制研究[J].财会通讯，2003，（10）：58-59.

内部控制有如下功能：着重于组织、批准、权限及保护措施等方面的责任控制功能；着重于财产安全、防止错误及舞弊、查找和校正非法行为等方面的差错和舞弊控制功能；着重于如何充分协调和组织，发挥系统效能，使系统高效地运行的效率控制功能。 　　要建立适应电算化会计信息系统的内部控制应考虑到它对内部控制的特殊要求，主要体现在以下几方面：首先，计算机的使用改变了企业会计核算的环境；其次，电算化会计系统改变了会计凭证的形式；最后，计算机的使用提高了控制舞弊、犯罪的难度。随着计算机使用范围的扩大，储存在计算机磁性媒介上的数据容易被篡改，有时甚至能不留痕迹地篡改，因此计算机舞弊和犯罪的情况就会比较多，计算机犯罪又具有很大的隐蔽性和危害性，发现计算机舞弊和犯罪的难度更大，造成的危害和损失也更大，因此，电算化会计信息系统的内部控制不仅难度大、复杂，而且还要有各种控制的计算机技术手段。要控制这些计算机犯罪，就要采取一些有效的措施：第一，实行用户权限分级授权管理，建立网络环境下的会计信息岗位责任。第二，建立健全对病毒、电脑黑客的安全防范措施。第三，从电算化网络软件的设计入手，增加软件本身的限制功能。第四，建立会计信息资料的备份制度，对重要的会计信息资料要实行多级备份。第五，强化审计线索制。第六，建立进入网络环境的权限制。 　　由此可见，电算化会计信息系统的内部控制是范围大、控制程序复杂的综合性控制，是控制的重点为职能部门和计算机数据处理部门并重的全面控制，是人工控制和计算机自动控制相结合的多方位控制。 from 教人做会计的理臣教育　　电算化会计信息系统的内部控制一般包括两类，即一般控制和应用控制。它们均是计算机应用于会计信息系统所产生的特殊控制，用来预防、发现和纠正系统中所发生的错误、舞弊和故障，使系统能正常运行，其提供及时可靠的会计信息的重要保证。前者是面向整个过程的控制，而后者则是面向某一局部（输入、处理、输出）的控制。这两类控制在互联网环境下面临着许多新问题，例如交易的授权、完整性及正确性不如传统环境下那么明显，黑客对网上数据的截取与修改使会计人员心有余悸等等，因而，如何保证网络化会计信息的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性，是会计信息网络化的关键。

一、电算化会计信息系统内部控制的主要内容 电算化会计信息系统的内部控制可以划分为：一般控制和应用控制两大类。它们都是用来预防、发现、纠正系统所发生的错误、舞弊和故障，使系统能正常运行；是提供可靠和及时的信息保证。与手工会计系统相比，它们也是计算机应用于会计信息系统所产生的特殊控制。 （一）电算化会计信息系统的一般控制 电算化会计信息系统的一般控制是面向整个系统的控制，其对象涉及人员、设备和程序等。电算化会计信息系统一般控制影响到计算机应用的成败，是应用控制的基础，它为数据处理提供了良好的环境。电算化会计信息系统一般控制主要包括系统的组织控制、操作控制、系统安全控制、系统开发控制和系统维护控制等相互配合的系统运行环境方面的控制。 1.组织控制。组织控制的目的主要是减少电算化部门发生错误及舞弊行为的可能性。它的某些内容在原理上与手工会计系统的控制并没有多少区别，如职责分工、适当分权、职位轮换等。组织控制的基本原则是不相容的职责由不同的人员或部门来承担，基本目标是建立恰当的组织机构和职责分工制度。电算化会计信息系统从建立到运行的整个生存周期中，根据职能不同化分为两大部门即系统开发部门和系统应用部门，系统开发部门主要承担系统的开发研制以及系统的维护工作等，系统应用部门主要负责日常会计处理工作。两部门的人员要严格分工，系统开发人员一般不能从事系统应用操作，因为他们都是计算机专业人员，精通计算机并且了解电算化系统采用的各种控制技术、保密措施，可以轻易地进入系统进行不留痕迹的修改、破坏等操作。组织控制就是要使有关人员的越权处理活动难以进行，相互牵制、相互制约，以此来防止差错、舞弊和犯罪行为的发生，保证电算化系统的可靠运行。 2.操作控制。为了保证数据处理的准确性和安全性，必须制定和执行各种标准的操作管理规程。例如，建立完备的机房管理制度，明确哪些人能上机操作、操作次序如何，严禁无关人员进入电算化机房，还要按有关规定记载上机日志等。为了防止舞弊行为，程序员不得参与操作，操作员不得接触参与程序设计、不得更动软件和打开数据库修改数据；操作员不得随意更换计算机所配置的系统参数及所安装的软件、并且不得在工作计算机上做任何与会计核算业务无关的事情，如在工作计算机上玩游戏。 3.系统安全控制。电算化会计信息系统应该层层设防、严加防范，主要包括硬件安全控制、软件安全控制、网络安全控制和实体安全控制等。访问授权是计算机技术中一种常见的控制手段，它可以保证会计信息只能由授权人访问，以防止非授权者的访问、复制、修改和破坏，并且系统一旦被破坏仍保证能利用会计档案备份迅速恢复正常。无论是正常操作还是非法操作都必须由上机日志记录在案，即使发生问题，也可以根据权限范围以及上机日志迅速追查事故原因，以便分清责任、解决问题。 4.系统开发控制。它是一种预防性控制，目的是防止电算化系统开发阶段的错误和偏差，确保系统开发过程及内容符合内部控制的要求和有关标准。开发系统前，要进行有效的可行性研究，使系统的每项设计都等满足单位的会计工作要求，并能适当满足单位发展前景的要求；系统开发过程中还要留下审计线索，以保证日后审计工作的需要。电算化系统正式投入运行前，要对有关人员进行培训，还要和手工会计工作并行一段时间（大约3个月），并经过有关主管部门和财政部门的评审验收，以证明新系统的合理合法性。 5.系统的维护控制。为了适应系统运行环境的变化，系统维护涉及到电算化系统功能的调整、扩充和完善，包括软件的修改升级、计算机硬件和通讯设备的维修或更新等。对电算化系统进行维护必须经过周密计划，维护过程的每一环节都应设置必要的控制，如系统操作员不能直接参与软件的修改，所有与系统维护有关的活动都应严格记录并存档。 （二）电算化会计信息系统的应用控制 电算化会计信息系统的应用控制是指影响系统特定用途的控制，即为适应会计处理的特殊要求而建立及实施的控制。应用控制是一般控制的深化，可以在一般控制的基础上，直接深入到具体的业务数据处理，为数据处理的准确性、完整性和可靠性提供最后的保证。应用控制主要包括3个方面：输入控制、处理控制、输出控制。 1.输入控制。目前电算化系统的数据输入手段有键盘手工输入、软盘转入和网络传送等，其中键盘手工输入应用得最多，也最易出错。只有输入正确的数据，才能进行正确的处理。输入控制包括4个方面：（1）经济业务在由计算机处理前经过适当的批准；（2）经济业务没有被遗漏、添加、重复或不正当的更换；（3）经济业务准确地转变为机器可读的形式，并被纪录在数据文件中；（4）不正确的经济业务被剔除、改正。在数据输入过程中，目前使用的大部分软件都设置了各种控制程序。例如，建立科目代码名称字典文件，输入科目代码时提示科目名称，当有新增科目代码自动追加到科目名称字典中供用户使用；建立科目对应关系参照文件，记账凭证输入完毕后，计算机自动判断该科目的对应关系是否正确，如果不对，提示用户进行修改。 2.处理控制。处理控制是对数据处理的准确性和可靠性的控制。数据处理的准确、可靠，虽然在很大程度上依赖于输入数据的准确性、计算机硬件和软件安装的可靠性，但是，即使这方面都有其保证措施，仍然可能出现一些问题。例如，程序逻辑错误、计算错误、处理非法数据、重复输入等情况。因此，还必须设置处理控制措施，采用各种技术手段对输入数据的准确性进行校验。例如，在账务处理系统下未经复核的凭证不能记账，上月未结账本月不能结账；又如利用会计账户的余额进行控制，费用和收入类账户在期末一般没有余额，资产类账户的期末余额一般在借方，负债类和所有者权益类账户的余额一般在贷方，因此可以将这个基本内容作为余额合理性标准编入程序，当程序运行时就可以对所有账户余额进行合理性检查。 3.输出控制。财务软件的输出功能一般包括查询输出、打印输出和向软盘输出或运用网络输出等方式。输出控制的主要目的是为了保证计算机输出结果的正确性、可靠性、及时性和必要的保密性，保证输出的接触人员是仅限于经过授权的人员。为此，要对打印或下载的文档资料严格控制，对储存输出数据的各种磁盘或其他磁性介质也要采取各种控制措施，并建立输出资料控制制度，由专人负责分发、保管并登记输出资料的使用者、分发日期、打印份数或下载情况；同时对发生的差错、丢失、泄密等事故要进行记录，仔细检查、分析形成事故的原因是操作员的过错还是程序本身的，并能采取相应的避免措施或改进措施。软件应对各种输出要求进行权限设置，未经授权，计算机拒绝执行其输出要求。例如在网上传输要设置网络口令，只有当口令正确时才能执行输出操作；又如对向软盘输出的情况，计算机应首先检查软盘的安全性，以防止计算机病毒的侵蚀。二、 电算化会计信息系统内部控制存在的问题 在电算化会计信息系统环境下，有形记录较手工会计系统大为减少，账务处理结果及数据文件都存储在计算机或磁盘等电子介质上，不像手工会计系统那样直观，特别是在磁盘上更改数据不会留下任何痕迹，而在计算机内部，会计数据无论是形态还是结构却发生了变化，这对会计数据的真实性、有效性和完整性都造成了威胁，一旦出现舞弊行为，后果将是严重的和难以发现的。目前，在会计工作实践中，电算化会计信息系统内部控制存在的问题主要表现在以下3个方面。 1.数据的安全性差。手工会计系统中数据的处理和储存都分散于各个不同的部门和人员，而电算化系统的突出特点是会计数据处理的自动化、集中化，因此给数据安全带来了一定的威胁。例如，电算化系统都有必要的财务分工功能，每个操作员都设置有自己的口令和不同的工作权限，并且每个操作员都应保守自己的口令秘密。但是在电算化实践中，（1）一部分单位虽然设置有不同的财务分工，却往往是一个操作员身兼数职，可以以不同的身份进入系统进行不同的操作，这样，财务分工的控制就名存实亡。（2）未经授权的计算机专业人员可以利用计算机技术和网络技术轻易地浏览各种数据文件，造成会计机密数据被泄漏。（3）会计数据文件大量地保存在磁性材料中，一旦发生火灾、水灾、盗窃之类的事件，就可能使全部数据丢失和毁损；同时磁性材料对外界环境的要求比较高，要防火、防水、防磁和防尘，对环境温度也有一定要求，因此增加了数据的脆弱性。如果不加强电算化会计信息系统数据安全方面的控制，数据丢失和毁损的可能性就会大大增加，并造成财务软件的程序控制失效。为了保证会计信息的安全性、可靠性，财政部曾制定了相关的规则，对财务软件必须具有的安全性做了一些具体规定和指导意见。 2.差错的反复性和严重性。手工会计系统中数据处理环节分散于多个部门、多个员工，一个部门或人员的差错往往可以在下个环节发现和纠正。所以，一般情况下一定时间内差错重复发生的可能性不大，发生重大差错的可能性也不大。电算化系统数据处理自动化、集中化，再加上计算机运行的高速性、程序运行的重复性，使得处理结果一旦发生错误，往往就会在短时间内迅速蔓延，造成多种数据文件、账簿及整个系统的会计数据失真，并且可能使系统出现反复性差错。正如信息处理中的一句名言：“垃圾进，垃圾出”，也就是说如果输入数据出错，以后的处理环节再正确，也只能输出错误的信息。电算化系统数据处理的高速性和集中性都使得出现差错的危险性增大，因此，电算化会计信息系统数据输入、数据处理各环节和系统硬件设施等方面都需要加强控制。 3.管理和监督的有效性差。根据财政部的有关规定，以计算机代替手工记账的单位必须达到一定条件，并且需要经有关财政部门或上级主管部门的审批；运用互联网输出、输入或处理数据，还需要到公安部门登记注册。但是，实际上部分单位未经审批就直接采用计算机代替手工记账；更为严重的是，有些单位未能满足相关条件就正式使用计算机代替手工记账。例如，计算机和手工并行三个月且取得与手工相一致的结果是审批的必要条件之一，有些单位未完成这一环节、也未经审批，就直接实施了会计电算化。计算机代替手工记账的单位必须建立完善的电算化管理制度，有些单位虽然建立了内部管理制度，但徒有虚名并没有切实执行。例如，按职权分离原则，系统开发人员不应直接接触或者正式操作电算化会计系统，凭证的输入和复核人员必须由不同的人员执行，但有些单位系统开发人员则可以随时接触会计核算系统，甚至顶班操作；也有一些单位由同一个人按照不同的姓名口令进入系统去完成凭证输入和复核两项不兼容的工作。 三、电算化会计信息系统内部控制的加强和完善 电算化会计信息系统的内部控制实际执行了一部分审计工作，它是一项技术性强并相当复杂的工作，因此必须加强和完善电算化会计信息系统的内部控制，以保证系统的正常运行和财务数据的安全可靠，减少甚至消除可能发生的危害。提升单位或企业的整体管理水平，以保障单位或企业管理目标的实现，主要措施应有以下几个方面。 1.强化风险意识。会计信息化是会计发展的必然趋势，与手工会计系统相比，电算化会计信息系统具有明显的优越性，但是电算化系统有不同于手工会计系统的特点及其风险，必须建立更加严密的、系统的内部控制制度。各级领导和财会部门、信息部门人员都应对会计信息化树立正确的思想认识，营造风险防范从我做起的氛围。目前，社会中计算机犯罪行为的增加，使我们更应认识到电算化会计信息系统加强内部控制的重要性。强化系统的内部控制，既是预防电脑犯罪的重要措施，也是减少差错的有效保障。 2.在法规、准则制度上完善对电算化会计信息系统的内部控制机制的规范。目前，财政部已陆续颁布了一系列内部会计控制规范文件，如“内部会计控制规范———基本规范（试行）”“内部会计控制规范———货币资金（试行）”“内部会计控制规范———采购与付款（试行）”“内部会计控制规范———销售与收款（试行）”。但我国有关部门颁布的电算化方面的政策法规还不多，参照国际惯例，电算化会计信息系统内部控制的内容应以准则的方式对外发布。实施电算化会计信息系统的单位可以结合自身的特点，制定切实可行的内部会计控制制度及方法。财政部和主管部门应制定内部控制工作指南，对单位电算化会计信息系统内部会计控制工作提出指导和建议

一、应收账款和应付账款的内部控制 　　应收账款是企业本身在生产经营过程当中产生的，债权性资产类科目所包含的款项。应付账款本身是归集企业尚未支付的短期流动负债的会计科目，也可以从一般意义上而言，表示应当及时偿付的企业债务。对两者的内部控制，分别从属于资产类科目和负债类的财务和经营管理控制。 　　（一）应收账款的内部控制 　　应收账款在财务工作的作用属于资产类科目的一个环节，因此，对应收账款的控制工作应当注重对相关科目的会计操作流程进行梳理和对重点环节的把握。资产类科目本身在企业本身的生产经营当中是形成企业权益的主要方面。企业拥有的经济价值和财务价值的直接表现就在于企业本身具有的资产规模的大小，但同其他资产具有实质性差别的是，应收账款本身是账面存在的资产，而不是企业的生产经营过程当中能够直接实际控制的资产项目。在权责发生制的企业会计准则得以确立之前，应收账款项目甚至由于不能在当期直接反映于企业实际控制的资产事项当中，而不被计入资产类科目。在权责发生制会计准则得以确定的情况下，企业的会计操作过程将直接根据事项的发生而不是金额的偿付流动来进行账面的反映和计量，因此产生了账面资产这一概念。在账面积压的资金存在偿付风险，一旦不能得到及时的付款，应收账款科目就将成为企业需要面临的呆账和坏账，这种风险对企业的资金回笼和持续经营具有严重的威胁。应收账款的产生流程包括事项的发生和财务工作处理，以及财务账户冲销等三个环节，其中事项发生过程是进行内部控制工作所需要注重的难点，而应收账款事项的发生过程事实上并不产生于企业的财务工作过程，因此其内部控制过程需要向企业的其他经营管理过程进行延伸。 　　（二）对应付账款项目的内部控制 　　应付账款科目是企业本身面临的流动负债的重要组成部分，是企业在过去的事项当中形成的应当进行及时偿付款项的义务。该种义务的履行将使得企业本身面临的经济利益流出企业本身，但及时履行付款义务过程应当作为企业经营管理的重要责任，并同企业本身的商业信用具有极大的关系。 　　企业内部控制过程当中的应付账款项目管理应当立足于应付账款的基本产生过程，并依照内部控制的基本原则把握企业内部控制需要着力解决的基本问题。应付账款项目的产生过程主要表现为企业的负债的产生过程。负债类项目本身是企业的付款义务的直接表现，负债类项目往往产生于企业生产经营过程当中的资金短缺和生产规模变动过程。控制应付账款的产生应当着力于企业本身的资金链条的管理，以及企业的生产经营决策的改进过程，其生产经营决策主要集中于超出财务工作范围的其他方面。在资金的调配使用工作当中具有决定意义的决策是财务管理工作所要解决的基本问题，因此进行应付账款的内部控制对加强企业的财务管理和经营决策的科学程度具有直接的要求。 　　 　　 二、对应收账款和应付账款的内部控制过程的改进 　　（一）拓展同金融机构的联系加强应收账款管理 　　应收账款管理工作过程本身往往涉及到金融业务，在现代的经济贸易管理过程当中，同商业银行进行紧密联系，实现应收账款的代收和委托，对企业的生产经营过程当中的引起关系的改善和资金回笼过程具有十分重大的意义。 　　为加强金融领域内的应收账款控制工作，应当主动与金融机构拓展保理业务。保理业务是进行保付代理业务的简称，也称承购应收账款，是商业银行或其下属机构对赊销产生的应收账款项目，进行生产融资、销售账户处理和应收账款代收，以及买方担保的一种综合金融业务，这种金融业务主要针对应收账款项目而存在。一般情况下银行的保付代理业务主要针对已经在途的物资进行，通过将这些货物的应收账款项目进行买断，银行将直接具有大量的可销售货物债权，而卖方本身将直接取得大量的现金回流，减轻企业本身的资金长期在账面挤压，资金利用效率不高的问题。 　　进行应收账款项目的控制往往伴随银行本身的生产经营项目的拓宽，同时也需要企业内部加强对应收账款的账面处理。由于进行代理业务产生的费用进行合理的摊销，需要企业的账面工作能够合理的将经济利益的流出和减值进行计量和分摊。 　　（二）加强企业的现金流管理，实现应付账款控制 　　进行应付账款控制需要企业的管理人员进行财务管理工作的优化，实现对现金流量的优化。企业拥有资产的最终目的是实现未来的现金流，在进行现金流量管理的过程当中，不应当仅仅进行对资金等值计算而产生的时间价值进行计量和评估，也应当根据企业生产经营的可能的风险因素，进行不同时间节点上的增量现金流的预估，确保企业在不同的生产经营时间节点，能够及时的支取一定的货币资金及时的清偿相关的债务。 　　对应付账款的内部控制工作应当立足于企业的生产经营全局进行。应付账款作为负债类科目的重要组成部分是企业的生产经营中的商业信誉的直接表现，各种商业信用本身对企业生产发展和销售业务的拓宽具有十分重要的现实意义。立足企业的生产经营全局，使不同的生产经营环节和企业管理环节，更加注重应负担的责任与义务的履行所产生的经济利益的流出，从而更加有效的进行应收款的管理和控制。

内部控制风险类型如下：1、信息技术风险。例如网络安全漏洞、数据泄露和丢失、系统故障、系统错误操作等，这些风险可能会导致企业信息安全、业务连续性和数据完整性等方面的问题。2、人为风险。例如内部员工盗窃、贪污、舞弊等行为，或者存在对公司利益产生威胁的雇员、承包商或客户。3、管理风险。例如管理层作风腐败、管理层缺乏责任意识、重要信息缺乏披露或披露不准确、缺少有效的管理过程等。4、物流风险。例如物流过程中的丢失、损坏或延误等问题，以及物流操作中存在的安全、环境和法律合规等方面的问题。5、法律风险。例如合同纠纷、诉讼、法规法律违规、政治冲突等问题，这些风险可能会影响企业的经营活动、现金流、信誉度以及公众形象等方面。总之，内部控制风险是企业日常运营不可避免的问题，企业应对这些风险采取有效措施和强化管理，以确保内部控制体系的稳定和可靠性，促进企业的健康发展。控制风险的方法：1、识别风险。企业需要识别可能出现的各种风险类型，并对其潜在影响进行评估，以便制定有效的风险控制策略。2、制定风险控制策略。针对不同类型的风险，制定相应的风险控制策略，建立相应的控制机制和规程。例如，可以设立风险管理部门，实行定期的好陆风险评估和监测，并采取相应的治理和预防措施。3、加强内部控制。建立内部控制体系，包括完善的制度、流程、管理机制等。通过内部管控，在内部消除和降低风险，从而促进企业的正常运作。4、做好风险管理。采取多元化的风险管理手段，建立各种风险保障计划和策略，例如货物保险、法律风险缓解、财务风险缓解等，帮助企业在面对风险时能够有效解决问题，减少潜在损失，保障运营。5、增强风险防范意识。通过员工培训、意识教育等方式，提高员工对于风险的认识和防范能力，使员工更具有主动性和积极性，避免造成额外的风险。6、可持续发展。控制风险是企业管理过程中必须要重视的兆袜拆一项工作。企业应从识别风险、制定风险控制策略、加强内部控制、做好风险管理以及增强风险防范意识等方面入手，有序地进行风险管理，保障企业的正常运作和可持续发展。

　　进行有效的内部控制与企业风险管理的方法有以下：　　（1）。企业内控需要三步走：预测——控制——监督：　　1、 预测：企业管理层根据资产、财务、以及企业经营活动中产生的各种数据，经过识别、分析，得出企业经营发展的相关风险，合理确定各种风险的应对策略；　　2、 控制：以企业预测结果为导向、以流程管理为方法，针对已经或者将要发生的风险进行提前控制。具体的控制对象包括：人力、财务、资源、工作流、物流等企业经营活动中产生风险的对象。通过E化的流程，企业可以做到任何工作流的有迹可循、经营活动的相对透明、财务的严谨真实；　　3、 监督：企业内控监督是保证企业内控措施有效实行必要手段。企业内控监督的对象包括：企业人力监督：管理层与管理层、员工与员工、管理层与员工之间的相互监督；财务监督：公司对财务报表、流程、资金流等要求相对透明化，即企业和员工对企业财务管理享有的知情权；工作流监督：企业对经营活动的绝对监督，以E化的流程为基础，保证经营活动的透明化管理，把握细节才能保证企业的正常发展。　　（2）。加强规章制度体系建设的完善。一方面，以企业风险管理的整合框架为准绳，制定完善的企业内部风险管理制度；另一方面，需要对现行管理制度的清理、修改、补充和废止，及时发现并弥补制度设计和执行上的缺陷，不断完善制度体系。　　加强常规性的调查分析。风险具有不确定性，总会在不同阶段和领域表现出一些征兆，应从消费领域、本行业相关企业的生产领域及企业内部各部门投入资金进行调查，收集有用的显性和隐性的风险信息，对企业可能发生的风险开列清单，预先予以警示。

选择风险应对策略时应考虑的因素有：盈利能力指标；准备金充足程度指标；资本充足程度指标。 1.盈利能力指标：盈利能力指标包括成本收入比、资产利润率和资本利润率。成本收入比为营业费用加折旧与营业收入之比，不应高于45％；资产利润率为税后净利润与平均资产总额之比，不应低于0.6％；资本利润率为税后净利润与平均净资产之比，不应低于11％；2.准备金充足程度指标：准备金充足程度指标包括资产损失准备充足率和贷款损失准备充足率。资产损失准备充足率为一级指标，为信用风险资产实际计提准备与应提准备之比，不应低于100％；贷款损失准备充足率为贷款实际计提准备与应提准备之比，不应低于100％，属二级指标； 3.资本充足程度指标：资本充足程度指标包括核心资本充足率和资本充足率，核心资本充足率为核心资本与风险加权资产之比，不应低于4％；资本充足率为核心资本加附属资本与风险加权资产之比，不应低于8％。 拓展资料：1、企业应根据风险评价的结果及经营运行情况等，确定不可接受的风险，制定并落实控制措施，将风险尤其是重大风险控制在可以接受的程度。企业在选择风险控制措施时： 应考虑：可行性；安全性；可靠性； 应包括：工程技术措施；管理措施；培训教育措施；个体防护措施。 2、企业应将风险评价的结果及所采取的控制措施对从业人员进行宣传、培训，使其熟悉工作岗位和作业环境中存在的危险、有害因素，掌握、落实应采取的控制措施。风险回避是投资主体有意识地放弃风险行为，完全避免特定的损失风险。简单的风险回避是一种最消极的风险处理办法，因为投资者在放弃风险行为的同时，往往也放弃了潜在的目标收益。所以一般只有在以下情况下才会采用这种方法： （1）投资主体对风险极端厌恶。 （2）存在可实现同样目标的其他方案，其风险更低。 （3）投资主体无能力消除或转移风险。 （4）投资主体无能力承担该风险，或承担风险得不到足够的补偿。

风险管理与内部控制委员会运行机制优化后,规定由独立董事担任主席，通过查询得知，风险管理委员会由主任、常任委员和秘书组成。风险管理委员会设主席一名,由独立董事担任,负责主持委员会工作；主席在委员内选举，并报请董事会批准产生。

会计学、经济法、税法、财务管理、内部控制和风险战略管理与审计的关系如下：会计学提供了财务信息的收集、记录和报告技能；经济法和税法则提供了有关企业运作和纳税义务的法律框架；财务管理涉及企业资金的筹集、分配和投资决策；内部控制可以帮助企业确保其财务信息的准确性和可靠性；而风险战略管理和审计则有助于企业评估其风险并采取适当措施来管理这些风险，同时也可以对企业的财务信息进行审计和验证。因此，这些学科相互关联，共同构成了财务和企业管理的综合体系。会计学是一门涉及记录、分类、汇总和报告财务交易的学科，旨在提供对企业和组织财务健康状况的精确描述和分析。它包括财务会计、管理会计和审计等领域。经济法是指针对市场经济活动制定的法律规范体系，旨在保障市场经济的有序运行和公平竞争。它涵盖了合同法、公司法、金融法、知识产权法等多个子领域，主要内容包括经济组织的设立与经营、合同的订立与执行、财务会计、税收、知识产权保护、反垄断等方面的法律规定。学习财经类专业注意事项：1、培养数理思维能力：财经类专业涉及到大量的数据分析和计算，因此需要具备扎实的数学、统计和逻辑思维能力。2、关注实际应用：财经类专业的知识和技能需要与实际应用相结合，因此需要关注行业动态和实践经验，参加实习和实践活动。3、多读经典著作：财经领域有许多经典著作，如《货币的性质和作用》、《证券分析》等，可以通过阅读这些经典著作来深入了解财经领域的核心理论。4、提高英语水平：因为财经类专业与国际市场密切相关，英语是必不可少的工具。建议提前学好英语，尤其是英文财经文献的阅读和理解。5、学会团队合作和沟通：财经类专业需要与其他专业人员和客户进行密切合作，因此需要具备良好的沟通和团队合作能力。6、注意职业道德和诚信意识：财经类专业涉及到大量的金融交易和信息处理，需要遵守职业道德规范，保持诚信，严格保护客户和公司利益。

　企业内部控制措施通常包括风险控制、授权审批、不相容岗位分离控制、会计系统控制、预算控制、财产保护控制、系统自动控制、内部报告控制等。　　企业内部控制措施通常包括的内容　　1、风险控制　　风险控制要求单位树立风险意识，针对各个风险控制点，建立有效的风险管理系统、通过风险预警、风险识别、风险评估、风险分析、风险报告等措施，对财务风险和经营风险进行全面防范和控制。　　2、授权批准控制　　授权批准控制要求单位明确规定涉及会计及相关工作的授权批准的范围、权限、程序、责任等内容，单位内部的各级管理层必须在授权范围内行使职权和承担责任，经办人员也必须在授权范围内办理业务。　　3、不相容岗位分离控制　　不相容岗位分离控制要求单位不相容职务分离的原则，合理设置会计及相关工作岗位，明确职责权限，形成相互制衡机制。主要包括：授权批准、业务经办、会计记录、财产保管、稽核检查等职务。　　4、会计系统控制　　会计系统控制要求单位依据《会计法》和国家统一的会计制度，制定适合本单位的会计制度，明确会计凭证、会计账簿和财务会计报告的处理程序，建立和完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能。　　5、预算控制　　预算控制要求单位加强预算控制、执行、分析、考核等环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。预算内资金实行责任人限额审批，限额以上资金实行集体审批。严格控制无预算的资金支出。　　6、财产保全控制　　财产保全控制要求单位限制未经授权的人员对财产的直接接触，采取定期盘点、财产记录、账实核对、财产保险等措施，确保各种财产的安全完整。　　7、系统自动控制　　在信息技术飞速发展的今天，大多数企业都有自己的信息系统，应尽量使用系统自动控制代替人工控制。　　8、内部报告控制　　内部报告控制要求单位建立和完善内部报告制度，全面反映经济活动情况，及时提供业务活动中的重要信息，增强内部管理的时效性和针对性。　　企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。

仅供参考：作者：刘宁宁链接：http://www.zhihu.com/question/26532559/answer/40181214来源：知乎著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。第一，合规管理有广义，狭义之分。狭义的合规，是指对外部法规的遵循。狭义的合规，主要是依据银监会《商业银行合规风险管理指引》，“规”主要是指银行外部的法律法规。第三条 本指引所称法律、规则和准则，是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。本指引所称合规，是指使商业银行的经营活动与法律、规则和准则相一致。本指引所称合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。广义的合规，“规”还包括银行内部的规章制度。第二，内部控制要同时考虑外部法规、内部制度。从这个意义上，内部控制与广义的合规类似。根据《商业银行内部控制指引》（2014）第四条 商业银行内部控制的目标：　　（一）保证国家有关法律法规及规章的贯彻执行。　　（二）保证商业银行发展战略和经营目标的实现。　　（三）保证商业银行风险管理的有效性。　　（四）保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。第三，控制风险是合规管理、内部控制的都共同目标。 但是，内控的目标不光是控制风险，企业内部经营效率效果评价、流程优化乃至企业文化都属于内控范畴。 第四，控制风险的手段之一，是定下行为规则，在规则内行事，制度就是一种规则。但是，是否符合了制度就能控制风险？显然不是。这也是银行内控管理、合规管理的尴尬之处。

内部控制是在一定的环境下，单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标，而在单位内部实施的各种制约和调节的组织、计划、程序和方法。企业建立与实施有效的内部控制，主要内容包括 ：1、内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。2、风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。3、控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。4、信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。5、内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。温馨提示：以上信息仅供参考。应答时间：2021-04-15，最新业务变化请以平安银行官网公布为准。 [平安银行我知道]想要知道更多？快来看“平安银行我知道”吧~ https://b.pingan.com.cn/paim/iknow/index.html

内部控制与企业风险管理之间的联系是十分紧密的。内部控制的实质是风险控制，风险管理是内部控制的主要内容，企业风险管理包容内部控制。但两者之间的关系并不是简单的相互关系，两者之间存在着相互依存的、不可分离的内在联系。1.1组成部分重合内部控制与风险管理的组成要素中，其中控制环境、风险评估、控制活动、信息与沟通以及监督这五个要素是重合的。1.2最终目标相同内部控制与风险管理的目标都包括：经营目标、合规性目标、报告目标。1.3参与主体相同内部控制与风险管理都是全员参与的过程，最终责任人都是管理者，且两者的实施主体、过程也是一致的。1.4风险防范是内部控制的一个重要目标，有了风险防范的目标，内部控制才显得十分重要，其也才有发挥作用的广大空间。1.5风险包含内部风险和外部风险，内部风险存在于企业的各个生产经营活动环节；内部控制其实是一种管理规范，其建立过程控制体系，并描述关键控制点，通过流程的形式直接直观的描述企业生产经营业务过程。内部控制的执行过程正好为风险信息的收集带来了极大的便利。所以，内部控制是风险管理的重要的手段之一。1.6内部控制的一个基本作用是控制风险；风险管理是指在企业生产经营过程中，对企业可能面临的风险进行识别、评估和控制，最终目标也是控制风险。总而言之，风险管理是内部控制的发展，风险管理拓展了内部控制内涵，内部控制发展成了以风险为导向的内部控制。因此，我们将内部控制与风险管理一体化，将他们作为一个整体进行理解与处理。

第二道防线方向。内部控制管理职能部门与风险合规部门在内部控制中属于第二道保险，就是第二道防线方向。内部控制制度是单位内部建立的使各项业务活动互相联系、互相制约的措施、方法和规程。

1、内部控制审计与风险管理审计的联系：内部控制的设计和执行应该针对风险管理的要求，而风险的管理很大程度依赖内部控制的设计和执行。所以，内部控制审计和风险管理审计在有些地方是互相渗透的，目的都是为了增加企业价值。2、风险管理审计与内部控制审计的区别：从内部控制与风险管理的关系我们可以看到，内部控制是风险管理体系的一个部分，风险管理是内部控制在功能和范围上的延伸，是一种大范围的前置控制体系。从现代内部审计的理念来看，要与企业的战略管理相一致，审计领域要拓展，审计关口要前移，而从内部控制审计向风险管理审计的过渡，恰恰反映了这种功能的转化。

大数据与会计。大数据与会计专业为顺应数字经济时代科技和产业变革创新，将大数据、物联网、人工智能、区块链等新一代信息技术与专业教学相结合，在宽厚的财务基础上建设好数字化内控及风险管理方向专业课程，培养适应社会需要的高素质技术技能型人才。大数据与会计专业属于新兴专业，就业前景广泛，人才需求量大，金融危机对世界经济的影响巨大，各大企业都迫切需要增加对世界市场存在的风险的规避和管理。

电网企业全面风险管理框架（一）第一个维度是电网发展目标体系1.战略目标：电网发展高层次目标，与电网企业战略发展相关联并支撑电网企业目标实现。2.经营报告：高效率地利用电网企业所占有的各种资源。3.报告目标：电网企业风险管理报告的准确性、及时性、可靠性。4.合规目标：符合电网企业相关业务所在国家的法律与法规。（二）第二个维度是电网企业管理要素1.内部环境：电网企业内部员工确立风险理念，并确定各类风险管理的风险容量，电力企业的核心都是内外部人员以及经营所处的环境，内部环境的认知为员工确立了怎么样看待风险和风险的基础。2.目标设定：确立电网企业管理目标，发现影响管理目标实现的潜在事项。确保风险管理中采取恰当的风险管理程序进行目标设定，并确保目标的选定支持电网企业发展需求并适应其风险容纳程度。3.事项识别：对可能产生影响的各种潜在事项必须进行识别，包括风险事项和机会事项，以及可能二者兼而有之的事项。事项的识别应追溯到电网企业战略目标制定的过程。4.风险评估：对识别出的电网企业风险进行分析，以便确认电网企业风险管理的准确依据，风险评估过程应注意风险可能与被影响的目标有关，评估要考虑到风险的可能性和实际影响。5.风险应对：制定电网企业风险应对措施，包括风险降低、转移、承担或分担。一系列控制措施的选择要使风险与电网企业自身的风险承受能力相适应。6.控制活动：电网企业进行合理的风险控制过程，以确保有效实施所制定的风险控制措施。7.信息与沟通：电网企业的各个层级部门都需要借助可靠的信息渠道来识别、评估以及应对潜在风险或已经发送的风险事项。8.监控：整个电网企业风险管理处于内审部门的监控之下，必要时外部专家还会进行完善和补充，监控方式应能够动态地反映风险管理状况，并使之根据内外部环境条件的要求而变化。监控通过持续的电网企业的经营管理活动，对企业风险管理的单独评价或者两者的结合来完成。（三）第三个维度是主体单元，包括集团、企业、业务部门、分支机构四个层面电网企业全面风险管理三道防线的构建电网企业全面风险管理的框架是由一个基础、三道防线来构架的。这个基础指的是电网公司治理结构三道防线分别是公司各级业务部门、风险管理与内部控制委员会及办公室三道防线为公司各级审计部门。第一道防线为公司各级业务部门，电网企业日常业务经常面临各种不同特征的风险，电网业务部门是电网企业的第一道防线，因此必须把电网企业全面风险管理手段融入到相应的工作和流程中，才能建立好防范风险的第一道防线。这也是内控流程层面上的重要问题。第二道防线是风险管理与内部控制委员会及办公室。在电网监管部门的要求下，电网企业开始建立风险管理委员会。第二道防线在电网业务部门之上建立一个更高层次的风险管理功能部门——风险管理与内部控制委员会，主要是要确保企业风险管理方法在业务部门得到落实，并持续性监控相关工作的进展。其主要职责是对各类电网业务单位所存在的不同风险进行有效的组合性管理，披露相关风险信息，协助各业务单位完成符合全面风险管理要求的管理工作。第三道防线是公司各级审计部门。第三道防线是内控制度得以有效执行的最重要部门，在配备足够的具有专业知识技能的人员基础上，使其具有相对的独立性和权威性。现代电网企业建立风险管理系统是持续发展之道，而不是一种可有可无的选择。随着电网企业外部环境的风云变换，其所存在的风险也随之复杂变化，这更加迫切要求电网企业应该在内部控制的发生可能性和影响程度的基础上进行风险的组合排序，把对电网企业内外部风险的考虑融入到电网企业的内部控制决策流程中。

内部控制更侧重于银行内部各层级、各部门和人员之间，合理构建相互联系和相互制约关系，以达到控制风险的目的。企业内部风险包括：产品风险、营销风险、财务风险、组织与管理风险等，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而实现风险管理和控制。内控五要素内容1、内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。2、风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。3、控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。4、信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。5、内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

······风险管理是审计的依据，风险变动就会直接导致审计的失败！

1、环境风险。指由于外部环境意外变化打乱了企业预定的生产经营计划，而产生的经济风险。引起环境风险的因素有：国家宏观经济政策变化，使企业受到意外的风险损失。企业的生产经营活动与外部环境的要求相违背而受到的制裁风险。社会文化、道德风俗习惯的改变使企业的生产经营活动受阻而导致企业经营困难。2、市场风险。指市场结构发生意外变化，使企业无法按既定策略完成经营目标而带来的经济风险。导致市场风险的因素主要有：企业对市场需求预测失误，不能准确地把握消费者偏好的变化。竞争格局出现新的变化，如新竞争者进入，所引发的企业风险。市场供求关系发生变化。3、技术风险。这是指企业在技术创新的过程中，由于遇到技术、商业或者市场等因素的意外变化而导致的创新失败风险。其原因主要有：技术工艺发生根本性的改进。出现了新的替代技术或产品。技术无法有效地商业化。4、生产风险。指企业生产无法按预定成本完成生产计划而产生的风险。引起这类风险的主要因素有：生产过程发生意外中断生产计划失误，造成生产过程紊乱5、财务风险。由于企业收支状况发生意外变动给企业财务造成困难而引发的企业风险。6、人事风险。凡是涉及企业人事管理方面的风险就称为人事风险。

1、内部控制审计与风险管理审计的联系：内部控制的设计和执行应该针对风险管理的要求，而风险的管理很大程度依赖内部控制的设计和执行。所以，内部控制审计和风险管理审计在有些地方是互相渗透的，目的都是为了增加企业价值。2、风险管理审计与内部控制审计的区别：从内部控制与风险管理的关系我们可以看到，内部控制是风险管理体系的一个部分，风险管理是内部控制在功能和范围上的延伸，是一种大范围的前置控制体系。从现代内部审计的理念来看，要与企业的战略管理相一致，审计领域要拓展，审计关口要前移，而从内部控制审计向风险管理审计的过渡，恰恰反映了这种功能的转化。

　　　　会计内部控制的五要素是　　1.控制环境　　控制环境提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识，是所有其它内部控制组成要素的基础。控制环境的因素具体包括：诚信的原则和道德价值观、评定员工的能力、董事会和审计委员会、管理哲学和经营风格、组织结构、责任的分配与授权、人力资源政策及实务。　　2.风险评估　　每个企业都面临来自内部和外部的不同风险，这些风险都必须加以评估。评估风险的先决条件，是制定目标。风险评估就是分析和辨认实现所定目标可能发生的风险。具体包括：目标、风险、环境变化后的管理等等。　　3.控制活动　　企业管理阶层辩识风险，继之应针对这种风险发出必要的指令。控制活动，是确保管理阶层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。 控制活动在企业内的各个阶层和职能之间都会出现，这主要包括：高层经理人员对企业绩效进行分析、直接部门管理、对信息处理的控制 、实体控制、绩效指标的比较、分工。　　4.信息与沟通　　企业在其经营过程中，需按某种形式辨识、取得确切的信息，并进行沟通，以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息，同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息，而且必须有向上级部门沟通重要信息的方法，并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。主要包括：信息系统、沟通　　5.监控　　内部控制系统需要被监控。监控是由适当的人员，在适当及时的基础下，评估控制的设计和运作情况的过程。监控活动由持续监控、个别评估所组成，其可确保企业内部控制能持续有效的运作。具体包括：持续的监控活动、个别评估、报告缺陷。　　它们之间的关系是：　　（一）会计控制是各要素组成的动态系统　内部控制的内容由最初的行为控制到最新的八要素的变化，说明了内部控制的关注重心由单一个体向系统整体发展，而且站在全局的高度统领企业整体。会计控制如同内部控制一样，并不是各种制度、措施的简单加总，也不能简单地停留在只用制度加以规范的阶段，致使制度流于形式，因此，应转变传统观念，以新的角度诠释和思考，应认识到会计控制不仅是由多个因素组成的系统，而且在这个系统中，这些因素相互关联，形成了动态的过程，即内部会计控制的构建不仅涉及到部门内的具体岗位设置、业务操作等相对细节的 问题 ，更为重要的是它需要相关各职能部门的通力协作，共同营造良好的控制环境、关注业务的风险评估、在各负其责的同时加强部门间的信息沟通，只有这样，才能不断促进会计控制的良性运行，真正达到防范资金风险确保资金安全的目的。　　　　（二）内部环境的建设是基础　会计控制作为一个系统或机制，离不开所存在的环境，而且在不同的环境下，会计控制作用的发挥程度不尽相同，会计控制作用是否有效，很大程度上取决于单位管理层对内部会计控制的重视程度、全体员工对内部会计控制认识的 影响 ，它是充分有效的内部会计控制体系得以建立和运行的基础及保证，因此，应逐渐认识到内部环境也是内部会计控制的一个组成部分。许多案件的深刻教训也警示我们，案件的发生不是没有制度，而是制度没有得到真正落实，制度之所以落实难的原因就在于，没有一个良好的环境来约束人的行为，防范人的道德风险。因此，内部环境是基础，必须从营造良好的环境做起，提倡风险管理文化，增强员工的诚实性和道德观，即将风险管理意识贯穿到每一个员工、每一个部门、每一个岗位，使风险意识深入到人心，同时强调全员的参与，塑造企业文化，形成良好的内部环境氛围。　　　　（三）风险要素的管理是关键　控制的目的就是要防范风险，若不存在风险也就没有实施控制的必要，COSO报告指出，所有的企业，不论其规模、结构与性质，其组织的不同层级都会遭遇风险，管理当局必须密切关注各层级的风险，并采取措施尽量将风险控制在可接受水平。随着 计算 机技术在会计核算中的运用，会计控制所涉及的风险包括 法律 风险、声誉风险、资产风险、信息技术风险、效率风险和操作风险，这些风险与核算业务的流程息息相关，因此，内部会计控制的构建应从风险因素出发，加强对业务资金流程的 分析 ，即首先要按业务性质进行归类，找出各个流程中的主要风险点；其次要按照业务风险的信息结构和风险源的性质，有针对性地制定出 科学 适用的风险计量 方法 ，同时要结合控制流程的概念，找出相应的控制措施，建立一套完备的业务流程风险控制体系。　　（四）事前事中的控制是切入点　内部控制的目标是从控制当事人的行为观到提高会计信息质量的信息观、最终到管理企业风险战略观的转变，这是从事中控制到事前管理的发展，是从降低风险到风险控制直至风险管理的一个过程。同样，会计控制中事后控制的出现就是对事前、事中控制的不信任，也就是说，若事前、事中真能够做到把握住风险，事后控制存在的意义不大，另外一方面，事后控制一般只就会计核算的“结果”进行监督，前台在核算及业务处理过程中，是否全面、严格地执行有关制度，事后控制只从所提供的核算资料的形式上进行审验或被动地接受前台的反映的结果，而且事后控制有其固有的局限性，即时间的滞后性，因此，要把风险在变为实际的损失之前降低到可接受的最低水平，真正做到防患于未然，就要加强事前、事中的控制，做到及早发现和识别，及早将风险消灭在萌芽状态。　　（五）信息的沟通交流是保障　内部会计控制作为一个动态系统，它包括不同环节之间持续不断的信息流和资金流，且其每个控制环节都执行不同程序，并与其它环节相互作用与影响。因此，整体会计控制价值最大化的实现需要加强上下级之间、不同部门之间和同一部门内的交流和沟通，这就需要，一方面某部门牵头组织各成员间的沟通，以实现信息共享，优势互补，有针对性地开展工作，同时有助于消除部门间的误解和疑虑；另一方面各职能部门要加强自身员工间的沟通，培养和提高员工参与会计控制的意识，以便开展自评。由此可以看出，信息交流渠道是否畅通，直接影响内部控制动态过程的实现，同时也有助于控制环境的完善、风险管理的加强；否则，相关职能部门将处于相对封闭的状态，各自为战，造成信息资源的过度浪费。实践中，最有效的解决方法就是促使信息沟通的制度化，形成一种约束机制，有利于各职能部门在明确各自职责的同时，从整体上实现会计控制的目标。

风险管理包括风险管理。 风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理当中包括了对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。，风险的识别、风险的预测和风险的处理是企业风险管理的主要步骤。风险的识别　　风险的识别是风险管理的首要环节。只有在全面了解各种风险的基础上，才能够预测危险可能造成的危害，从而选择处理风险的有效手段。　　风险识别方法很多，常见的方法有：　　2.1.1◆生产流程分析法　　生产流程分析法是对企业整个生产经营过程进行全面分析，对其中各个环节逐项分析可能遭遇的风险，找出各种潜在的风险因素。生产流程分析法可分为风险列举法和流程图法。　　1.风险列举法指风险管理部门根据该企业的生产流程，列举出各个生产环节的所有风险。　　2.流程图法指企业风险管理部门将整个企业生产过程一切环节系统化、顺序化，制成流程图，从而便于发现企业面临的风险。　　2.1.2◆财务表格分析法　　财务表格分析法是通过对企业的资产负债表、损益表、营业报告书及其他有关资料进行分析，从而识别和发现企业现有的财产、责任等面临的风险。　　2.1.3保险调查法　　采用保险调查法进行风险识别可以利用两种形式：　　通过保险险种一览表，企业可以根据保险公司或者专门保险刊物的保险险种一览表，选择适合该企业需要的险种。这种方法仅仅对可保风险进行识别，对不可保风险则无能为力。　　委托保险人或者保险咨询服务机构对该企业的风险管理进行调查设计，找出各种财产和责任存在的风险。风险的预测　　风险预测实际上就是估算、衡量风险，由风险管理人运用科学的方法，对其掌握的统计资料、风险信息及风险的性质进行系统分析和研究，进而确定各项风险的频度和强度，为选择适当的风险处理方法提供依据。风险的预测一般包括以下两个方面：　　2.2.1预测风险的概率：通过资料积累和观察，发现造成损失的规律性。一个简单的例子：一个时期一万栋房屋中有十栋发生火灾，则风险发生的概率是1/1000。由此对概率高的风险进行重点防范。　　2.2.2预测风险的强度：假设风险发生，导致企业的直接损失和间接损失。对于容易造成直接损失并且损失规模和程度大的风险应重点防范。风险的处理（风险控制）　　风险的处理常见的方法有：　　2.3.1避免风险：消极躲避风险。比如避免火灾可将房屋出售，避免航空事故可改用陆路运输等。因为存在以下问题，所以一般不采用。　　可能会带来另外的风险。比如航空运输改用陆路运输，虽然避免了航空事故，但是却面临着陆路运输工具事故的风险。　　会影响企业经营目标的实现。比如为避免生产事故而停止生产，则企业的收益目标无法实现。　　2.3.2预防风险：采取措施消除或者减少风险发生的因素。例如为了防止水灾导致仓库进水，采取增加防洪门、加高防洪堤等，可大大减少因水灾导致的损失。　　2.3.3自保风险：企业自己承担风险。途径有：　　小额损失纳入生产经营成本，损失发生时用企业的收益补偿。　　针对发生的频率和强度都大的风险建立意外损失基金，损失发生时用它补偿。带来的问题是挤占了企业的资金，降低了资金使用的效率。　　对于较大的企业，建立专业的自保公司。　　2.3.4转移风险：在危险发生前，通过采取出售、转让、保险等方法，将风险转移出去。内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。内部控制的目的在于改善经营管理、提高经济效益。它是因加强经济管理的需要而产生的，是随着经济的发展而发展完善的。最早的控制主要着眼于保护财产的安全完整，会计信息资料的正确可靠，侧重于从钱物分管、严格手续、加强复核方面进行控制。随着商品经济的发展和生产规模的扩大，经济活动日趋复杂化，才逐步发展成近代的内部控制系统。内部控制的种类　　内部控制制度的重点是严格会计管理，设计合理有效的组织机构和职务分工，实施岗位责任分明的标准化业务处理程序。按其作用范围大体可以分为以下两个方面：1、内部会计控制　　内部会计控制其范围直接涉及会计事项各方面的业务，主要是指财会部门为了防止侵吞财物和其他违法行为的发生，以及保护企业财产的安全所制定的各种会计处理程序和控制措施。例如，由无权经管现金和签发支票的第三者每月编制银行存款调节表，就是一种内部会计控制，通过这种控制，可提高现金交易的会计业务、会计记录和会计报表的可靠性。2、内部管理控制　　内部管理控制范围涉及企业生产、技术、经营、管理的各部门、各层次、各环节。其目的是为了提高企业管理水平，确保企业经营目标和有关方针、政策的贯彻执行。例如，企业单位的内部人事管理、技术管理等，就属于内部管理控制。

　　内部控制制度和风险控制制度不相同，他们是两个不同的概念。　　内部控制的基本目标是确保单位经营活动的效率性和效果性、资产的安全性、经营信息和财务报告的可靠性。　　1.有助于管理层实现其经营方针和目标。内部控制由若干具体政策、制度和程序所组成，它们首先是为了实现管理层的经营方针和目标而设计的。内部控制可以说渗透于一个单位经营活动的各个方面，只要单位内存在经营活动和经营管理的环节，就需要有相应的内部控制。　　2.保护单位各项资产的安全和完整，防止资产流失。保护资产一般指对本单位的现金、银行存款和其他货币资金、股票、债券等有价证券、商品、产品以及其他重要实物资产的安全和完整进行保护。　　3.保证业务经营信息和财务会计资料的真实性、完整性。对一个单位的管理层来说，要实现其经营方针和目标，需要通过各种形式的报告及时地占有准确的资料和信息，以便作出正确的判断和决策。　　企业所面临的风险按形成的原因一般可分为经营风险和财务风险两大类。　　经营风险是指因生产经营方面的原因给企业盈利带来的不确定性。比如，由于原材料供应地的政治经济情况变化等带来的供应方面的风险，新产品、新技术开发试验不成功，生产组织不合理等因素带来的生产方面的风险，销售决策失误等带来的销售方面的风险，此外还有劳动力市场供求关系变化，自然环境变化，税收调整以及其他宏观经济政策的变化等方面等因素，也会直接或间接地影响企业正常经营活动。经营风险多数情况来源于企业外部，尽管如此，企业仍应采取有效的内控措施加以防范。　　财务风险又称筹资风险，是指由于举债而给企业财务成果带来的不确定性。对财务风险的控制，关键是要保证有一个合理的资本结构，维持适当的负债水平，既要充分利用举债经营这一手段获取财务杠杆的收益，提高自有资金盈利能力，同时也要注意防止过度举债而引起的财务风险的加大，避免陷入财务困境。

一、施工企业内部控制管理现状近年来，随着市场经济的发展和企业改革的不断深入，大部分施工企业在一定程度和范围内建立了内部控制制度，为了加强对管理提升的组织领导，推进内部控制管理的深入开展，一些企业成立了专项小组，加强对日常工作的督导和协调工作，并制定了管理目标，使企业基础管理工作明显加强，管理创新机制得到明显改善，但当前施工企业的内部控制现状并不理想，体现在企业管理运作的方方面面，主要表现为：有内控无制度，自发的控制；有制度无控制，制度不具备操作性；有控制有制度，未形成体系，存在缺陷。二、施工企业内部控制管理中存在的问题1、内部控制意识淡薄。目前，施工企业的许多一线人员甚至是管理人员认为内部控制管理是公司领导和部分部门的责任，员工对自己在内部控制管理中所起到的作用模糊不清，一些政策和相关程序的实施没有得到有效的贯彻落实；风险意识没有提高到应有的高度，企业的高层没有经营风险的概念，缺少风险防范机制；甚至某些施工项目的经济部门利用内部控制不严的漏洞贪污受贿、挪用项目建设资金，违规违纪现象时有发生。2、内部控制制度不健全。有些施工企业对内控制度不够重视，虽然对工程项目的关键过程进行了控制，但缺少完整细化的运作流程，不便于业务人员的学习和执行。部分制度规范滞后、设计不完善，没有对所有的部门和员工进行覆盖。3、内控制度不能有效执行。有的施工企业有规章制度，但流于形式，或为应付上级检查而制定；有的制度本身制定不合理，过于理想化，或随着新情况的出现，原有制度已不能适应却没有及时修改，从而使制度不具备可操作性；有的施工企业对内部控制执行情况既没有检查监督，也没有奖惩措施，缺乏保证内控制度执行的机制，内控制度成为摆设。4、内部监督独立性不强。内部监督过于集中在财务领域的内部审计职能，监控上缺乏独立性。在对内部控制实施监督中，虽然有些施工企业设置了审计部门，但是在实际操作中，内部审计部门基本上与其他职能部门平行，且内部审计受制于人，致使监督职能无法履行。5、信息沟通不畅。大部分施工企业没有一个开放和畅通的信息反馈渠道，企业对反映问题的员工没有相应的保护和激励措施，造成管理层无法真实、全面地了解企业运行的情况。6、风险体系未建立、评估机制不健全。一些施工企业未建立风险内控体系，没有明确承担相应风险的主体，面临风险时各部门互相推诿责任，错失化解或减小风险的最佳时机。受知识能力的限制，相关人员对潜在的风险缺乏整体性认识和系统性分类，对风险评估方式、方法、程序的缺乏了解，没有对企业的风险承受度进行评估分析，无法应对各类风险的冲击。三、加强施工企业内部控制管理的措施1、强化风险意识，培育内部控制理念。内部控制的实质是风险管理，市场竞争日益激烈，企业经营者不仅要有竞争观念，也要有风险意识，不仅企业经营者有风险意识，全体员工也要有。通过召开风险内控专题会，强调风险内控工作的重要性和必要性，充分调动企业建立健全内部控制的主动性，从上到下营造内部控制学习的积极氛围，培育良好的内部控制环境，确保风险内控工作开展的有效性。2、健全企业内部控制制度。施工企业应该根据自身实际情况，制定满足管理需要的内控制度，明确规定各种业务的职责分工和程序，从市场开发、人力资源、安全质量、物资设备采购、全面预算、信息化运用、法律合规、反腐倡廉等方面进行制度完善；所属项目部在贯彻落实上级规章制度的同时，结合项目实际对相关制度进行细化，协同推进内控制度；根据企业运行情况，弥补内部控制制度缺陷，进一步修改、完善各项管理制度，保证内部控制制度体系的完整性。3、建立健全风险内控管理体系，提高风险防控能力。在风险理念的作用下，内部控制已扩展为企业风险管理框架，企业必须了解它所面临的风险，并加以控制，建立健全可辨识、分析和管理风险的管理体系，完善风险预警系统和控制预案机制，建立健全以前期防范、中期控制为主，后期救济为辅的法律风险防范机制，及时应对和化解来自各方面的风险和危机，为企业改革发展提供坚强的安全环境保障。4、加强企业内部控制评价系统的应用，全面总结，落实整改。企业管理者应对风险造成的损失和应对中的教训进行总结，开展自我评价，进行缺陷认定，对诊断发现的短板和瓶颈问题，集中精力全面整改，为下一步的内部控制管理工作奠定基础，以风险为契机，不断完善企业管理的薄弱环节。5、强化内部监督职能。内部审计应当保持相对的独立性和权威性，强化内部审计的职能优势，以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度，针对资产管理、全面预算、劳务管理等内容进行审查评价，促进企业改善内部控制管理。6、加强信息管理和沟通。建立信息管理系统和内部共享的沟通平台，推行资金集中管理使用、经营市场统筹开发、物资设备集中采购、劳务队伍合规择优选用、闲置资产集中利用等措施，保证部门之间可以有效地传递信息，使管理层及相关部门能够实时掌握企业的运行情况，便于及时发现问题，调整策略，解决问题。有了畅通的信息系统，也要明确相关的责任，营造良好的工作氛围， 提高内部控制执行的质量。7、建立健全防腐败体系，提升反腐倡廉能力。扎实推进廉政文化建设，使广大干部廉洁从政、拒腐防变的思想基础更巩固，进一步形成以廉为荣、以贪为耻的风尚，为企业改革发展营造环境。8、建立绩效考核机制，发挥利益导向作用。对各单位开展绩效考核和评价，并将考核结果作为职工薪酬、职务晋升、评先评优的依据，有利于增强施工企业管理层对工程项目的管控力，约束、激励广大员工，改善工作作风，充分发挥各单位的主观能动性，营造全员重视、全员参与内部控制的氛围，为内部控制管理提供源源不断的动力。四、小结。内部控制是企业防范风险，实现既定目标的免疫系统，加强内部控制管理任重道远，必须将近期利益与长远利益结合起来，改变“重效益、轻质量”的经营观念，在工程项目的日常管理中强化内部控制实施，注重内控制度的监督，继续贯彻落实风险内控各项工作，不断提升企业风险管理意识，提高内部控制水平。

1、COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示。2、企业风险管理整合框架在内部控制整合框架的基础上增加了一个新观念，一个战略目标，两个概念和三个要素。即风险组合观，战略目标，风险偏好、风险容限的概念以及目标设定、事项识别、风险应对要素。①在内部控制郑和框架的基础上，企业风险管理框架引入了风险组合观。②内部控制整合框架将企业的目标分成三类，即经营目标、报告目标、合规性目标。③企业风险管理构架引入风险偏好和风险容限两个概念。温馨提示：以上信息仅供参考。应答时间：2021-04-08，最新业务变化请以平安银行官网公布为准。 [平安银行我知道]想要知道更多？快来看“平安银行我知道”吧~ https://b.pingan.com.cn/paim/iknow/index.html

【内部控制和企业全面风险管理区别：】1、侧重点不同：内部控制更多的是强调企业内部的管控，管控实现的途径是比较多的；而企业全面风险管理则不然，强调的更多的企业全面的风险管控，不单单是内部风险、也包括外部风险；2、实现方法不同：内部控制更多的采用管理手段进行；而风险管理则更多的要求预防性的措施方案，都具有一定的预先性，但是明显的不同；【内部控制和企业全面风险管理联系：】企业全面风险管理需要通过内部控制来实现，内部控制是全面风险管理的一种实现方式。

内部控制与企业全面风险管理的区别和联系　　区别在于：　　1. 两者目标不同。风险管理的目标相较于内部控制增加了一个战略目标，战略目标的制定是企业治理层面需要参与解决的问题，这表明风险管理属于治理层次，而内部控制属于企业管理层次；此外，风险管理把财务目标扩展为报告目标，不仅包括了财务报告目标，还包括了非财务类报告，弥补了内控目标体系重财务信息轻其他信息的缺陷；　　2. 两者组成要素不同。相比起内控的五大要素，风险管理增加了“目标设定、事件识别和风险应对”三个因素，丰富了风险管理内容，体现了风险组合观；　　3. 两者的范畴不一致。内控仅仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标，而全面风险管理则贯穿于管理过程的各个方面，尤其是在事前制定目标时就充分考虑了风险的存在；　　4. 两者的活动不一致。内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，而风险管理包含了风险管理目标和战略的设定、风险评估方法的选择等一系列活动；　　5. 两者对风险的定义不同。全面风险管理框架将风险明确定义为“对企业财务目标产生的负面影响事件发生的可能性”，将正面影响视作机会，将风险和机会区分开来，而内部控制框架中，尚未区分风险和机会；　　6. 两者对风险对策不一致，全面风险框架引入风险偏好和风险容忍度。在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有提出的。　　它们之间的联系有：　　1. 内控或风险管理的根本作用都是维护投资者利益、保全企业资产，并创造新的价值。从理论上说，企业的内部控制是企业制度的组成部分，风险管理则是在新的技术与市场条件下对内控的自然扩展，在内控的基础上增加了一个目标即战略目标和三个要素：目标设定、事件识别、风险应对；　　2. 内控是企业风险管理的必要环节，在全面风险管理中扮演关键角色，内控应被管理者看作是范围更广的风险管理的必要组成部分，对于企业所面临的运营风险，内控是必要的。　　内部控制是由主体的董事会、管理层和其他员工实施的，旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程。　　全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。　　内部控制与风险管理关系十分密切，内部控制和企业全面风险管理既有横向交叉又有纵向融合，风险管理是企业为了适应时代的变化，以内部控制为架构演变成另一种以达到某种目标的过程和方法。二者在要素、目标、含义等方面有很多联系和相同的地方，既是独立又有关联的体系，是针对企业所不同的需求而演变成的两种过程与目标。

主要内容：对内部控制相关理论的全面介绍内部控制环境内部控制的实质——风险管理内部控制活动内部审计简介职业舞弊内控的建立和执行萨奥法案及公司治理（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

区别：（1）两者的范畴不一致。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标；而全面风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部控制。（2）两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。（3）两者对风险的定义不一致。在COSO委员会的全面风险管理框架中，把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”（将产生正面影响的事件视为机会），将风险与机会区分开来；而在，COSO委员会的内部控制框架中，没有区分风险和机会。（4）两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程。这些内容都是内部控制框架中没有的，也是其所不能做到的。联系：1）全面风险管理涵盖了内部控制。COSO2003年7月公布了全面风险管理框架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。从时间先后和内容上来看，全面风险管理是对内部控制的拓展和延伸。（2）内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。从国际国内发展趋势来看，随着内部控制或风险管理的不断完善和变得更加全面，它们之间必然相互交叉、融合，直至统一。内部控制国外较为经典的是 ASB 对内部控制的定义。1972 年，美国审计准则委员会(ASB)所做的《审计准则公告》，该公告循着《证券交易法》的路线进行研究和讨论，对内部控制提出了如下定义:"内部控制是在一定的环境下，单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标，而在单位内部实施的各种制约和调节的组织、计划、程序和方法。

1.各自实质的理解：x0dx0a1.1 战略管理为达到内部控制中实现企业发展战略目标的一种管理控制手段或是实现战略目标的控制方法；x0dx0a1.2 风险管理为实现企业整体内部控制目标，进而对影响目标实现的风险进行风险识别、风险分析、风险应对的一种风险评估机制；属于内部控制体系中的风险评估要素；x0dx0a1.3 内部控制实质为一种由全体员工为合理保证实现企业目标的一系列控制活动。详见《企业内部控制规范》。x0dx0a x0dx0a2.各自关系x0dx0a2.1战略管理，战略管理的目标实为实现战略目标，战略目标作为内部控制的五大控制目标之一，涉及企业长远利益的实现问题，因此战略管理其实是内部控制体系中为实现战略目标而执行的一系列控制活动；x0dx0a2.2风险管理，风险管理的目标实为评估影响目标实现的风险并提出风险管理策略；内部控制体系中的一大要素即是“风险评估”，其实为达到内部控制目标的风险评估机制，如目标设定、风险识别、风险分析、风险应对。x0dx0a2.2.1 目标设定x0dx0a2.2.2 风险识别 x0dx0a2.2.3 风险分析 （风险发生的概率、风险发生后的影响程度）实为对风险属性的确定x0dx0a2.2.4 风险应对 （如风险规避、风险降低、风险转移，风险承受）x0dx0a x0dx0a3.总结x0dx0a以前我国《内部控制基本规范》的提到的内部控制的定义及实质内容来看，战略管理、风险管理实为实现内部控制目标的一种有效控制活动和管理工具，从属于公司内部控制体系。如果你所指为CPa教材中的《公司战略与风险管理》一书，我想可能是作者从有利于读者理解的角度，从不同唯度来阐释现代企业管理的方法和理念。x0dx0a x0dx0a另外，财会〔2012〕3号 《关于印发企业内部控制规范体系实施中相关问题解释第1号的通知》对内部控制与风险管理的关系也进行了解释：x0dx0a x0dx0a4.如何协调好内部控制与风险管理的关系？x0dx0a 　　答：《企业内部控制基本规范》及其配套指引，充分吸收了全面风险管理的理念和方法，强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险，促进企业实现发展战略，风险管理的目标也是促进企业实现发展战略，二者都要求将风险控制在可承受范围之内。因此，内部控制与风险管理二者不是对立的，而是协调统一的整体。x0dx0a 　　在实际工作中，一些企业的内部控制和风险管理工作由不同机构负责。对此，企业可以对有关机构和业务进行整合，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将内部控制建设和风险管理工作有机结合起来，避免职能交叉、资源浪费、重复劳动，降低企业管理成本，提高工作效率和效果。x0dx0ax0dx0a供参考。

1.各自实质的理解：1.1 战略管理为达到内部控制中实现企业发展战略目标的一种管理控制手段或是实现战略目标的控制方法；1.2 风险管理为实现企业整体内部控制目标，进而对影响目标实现的风险进行风险识别、风险分析、风险应对的一种风险评估机制；属于内部控制体系中的风险评估要素；1.3 内部控制实质为一种由全体员工为合理保证实现企业目标的一系列控制活动。详见《企业内部控制规范》。 2.各自关系2.1战略管理，战略管理的目标实为实现战略目标，战略目标作为内部控制的五大控制目标之一，涉及企业长远利益的实现问题，因此战略管理其实是内部控制体系中为实现战略目标而执行的一系列控制活动；2.2风险管理，风险管理的目标实为评估影响目标实现的风险并提出风险管理策略；内部控制体系中的一大要素即是“风险评估”，其实为达到内部控制目标的风险评估机制，如目标设定、风险识别、风险分析、风险应对。2.2.1 目标设定2.2.2 风险识别 2.2.3 风险分析 （风险发生的概率、风险发生后的影响程度）实为对风险属性的确定2.2.4 风险应对 （如风险规避、风险降低、风险转移，风险承受） 3.总结以前我国《内部控制基本规范》的提到的内部控制的定义及实质内容来看，战略管理、风险管理实为实现内部控制目标的一种有效控制活动和管理工具，从属于公司内部控制体系。如果你所指为CPa教材中的《公司战略与风险管理》一书，我想可能是作者从有利于读者理解的角度，从不同唯度来阐释现代企业管理的方法和理念。 另外，财会〔2012〕3号 《关于印发企业内部控制规范体系实施中相关问题解释第1号的通知》对内部控制与风险管理的关系也进行了解释： 4.如何协调好内部控制与风险管理的关系？ 　　答：《企业内部控制基本规范》及其配套指引，充分吸收了全面风险管理的理念和方法，强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险，促进企业实现发展战略，风险管理的目标也是促进企业实现发展战略，二者都要求将风险控制在可承受范围之内。因此，内部控制与风险管理二者不是对立的，而是协调统一的整体。 　　在实际工作中，一些企业的内部控制和风险管理工作由不同机构负责。对此，企业可以对有关机构和业务进行整合，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将内部控制建设和风险管理工作有机结合起来，避免职能交叉、资源浪费、重复劳动，降低企业管理成本，提高工作效率和效果。供参考。

企业内部控制的风险管理机制 　　伴随着我国社会经济的不断发展，在内部控制当中逐渐的纳入了科学的理念，就是风险管理，让企业在开展内部控制的过程中，逐渐的进行着研究的阶段。在我国，风险管理的角度成为了对企业内部管理的主要出发点，风险管理具体的给予了相应的理论和观点，作用在企业的内部控制当中，展现出了一定程度的效用。下面是我为大家带来的企业内部控制的风险管理机制，欢迎阅读。 　　一、分析企业风险管理和内部控制的关系 　　外部关系。风险管理以及企业的内部控制，都可以将企业目标作为载体，给予科学、合理的保障，企业内部控制和风险管理的组成要素中包含5个层面，分别为：沟通与信息、监督、控制活动、环境、风险评估。这一系列要素的重合，具体是由两者在实现机制的相似性以及两者目标的重合来显示的。风险管理当中还蕴含着新型的观念，就是整体风险管理和风险组合。 　　内部关系。以风险作为关键，在内部控制的前提下，风险管理逐渐的成为了组织发展的重点，风险管理是以自然的发展状态作用在企业的内部控制当中，其中是技术的不断发展推进了企业内部控制方面，逐渐的趋向于风险管理。 　　二、企业内部控制的风险管理中所存在的问题 　　2.1不够健全的企业内部控制监督机制。 　　在企业内部控制中所实行的机制是持续的过程，在这一持续的过程当中，需要创建管理规定和制度进行必要的约束，以此来实现企业的经营目标。所以，想要保证顺畅的执行企业管理制度，同时生成优质的执行效果，对于企业的内部控制机制建立方面，需要与经营环境有所适应，要透彻的了解到经营环境中所不断产生的新环境与新问题，一定要持续的监督企业内部控制，保障企业的事前监督能够有效的与事后监督融合为一体。 　　2.2不健全的企业风险控制体系 　　当前是信息化的时代，国内企业会不断的增加不确定性的因素，企业在生产经营的过程中，会产生越来越多的风险，创设风险管理部门，能够有效的对风险进行必要的风险应对、风险评估、风险识别，是十分重要的.履行对策，尤其是利用基础工具以及金融衍生工具的结合，能够将不同特色的金融产品创造出来。可是，国内企业却存在着薄弱的管理方面以及风险控制的意识，不能够专门的创设风险管理部门，那么对于风险控制、风险评估以及风险识别就不能正常开展。 　　2.3薄弱的企业风险控制意识 　　现如今拥有着竞争较为激烈的国际市场，在我国不断增添着外资企业，促使国内的企业存在较大的压力，会产生较为复杂的风险。在激烈竞争的市场当中，我国的企业基本上在企业风险意识方面，都处在薄弱的形势下，企业中的管理人员一般只是重视财务的防线，对于管理方面以及风险控制的意识十分薄弱，较多的企业会因其而产生较大的亏损，最为主要的原因就是因为这一部分企业中，所涉及到的管理人员不能够拥有较为全面的风险控制意识，同时存在较为严重的投机心理，促使企业内部亏损十分严重的情况时有发生。 　　2.4不够完善的企业公司治理结构 　　对于企业内部控制而言，公司治理结构的完善性，是能够推进企业合理运行的基础和核心条件，同时还能保障有效的实施内部控制制度。按照我国相关公司法内容，上市级别的公司需要创建健全的监事会、董事会以及股东大会等权利机构，可是在实际的实施落实方面，缺失着较为完善的治理结构。在我国较多的企业对于设置权利机构方面，会以重叠的现象出现，还会产生董事会当中的内部董事拥有着较高比重等方面的问题。 　　三、改善企业内部控制的风险管理措施 　　3.1加强企业内部监督机制 　　对于企业内部审计的独立性需充分的保持。对于企业内部的审计工作能否具备相应的权威性，最为重要的条件就是是否能够达成独立性的内部审计，然而对于内部审计的独立性方面是企业内部审计机构的设置模式来制约的，若企业内部审计机构是独立性设置，就说明内部审计符合独立性条件，同时还是审计人员能否保证公正审计的前提条件。所以，企业需要将独立性的内部审计部门有所保持，要明确内部审计工作不会受到个人的制约以及任何部门的制约，需要将审计委员会下设到企业的董事会中，按照企业的不同风险和不同规模，相应的创设审计部门，对于企业内部的审计工作可以进行直接领导，保障内部审计可以拥有一定的独立性和权威性。 　　将风险导向的审计制度在企业内部实行。在公司的内部，企业内部审计是较为独立以及客观的监督、咨询活动，创建内部审计制度的具体原因就是避免错误和舞弊的生成，继而有效的提升企业的总体运作成效，可以加强企业的价值。内部审计制度若是风险导向型的，需要通过系统化、规范化的方式进行应对，便于对不同业务循环和部门进行测试，是以风险应对、风险评价以及风险识别为条件的审计活动，对于风险的导向性较为关注。 　　相对风险导向所涉及到的内部审计模式当中，企业的内部审计人员具体要担任风险减少者或者保险人的身份，需要在企业生产经营的每一环节以及每一方面中积极的参加，尤其是在风险应对、风险评估以及风险识别等重要的环节中，要合理的应用自身的优点，有效的提升企业的风险管理能力和风险管理水平，力求将较客观的建议和管理措施提供给企业管理者，在第一时间消除企业生产经营当中的风险点，要控制风险损失在最低的限度内。 　　3.2公司风险的应对管理体系需不断的完善 　　细分企业的风险事项。为了能够让风险事项的识别，可以利用较为科学的对策，企业需要将所面对的不同风险，科学的细分为公司层面风险以及业务活动层面风险。在一般情况下，造成企业存在公司层面风险的因素主要为外部和内部，其中的内部因素具体包含：战略风险、财务风险、经营风险以及组织风险;外部因素具体包含：政治因素、市场竞争、技术因素、自然灾害以及法律法规等。业务层面风险中具体指的是，在生产经营活动以及企业管理职能当中所存在的不同风险，在企业处在的行业以及面对的市场有所不同的情况下，存在着的风险也会有所不同。 　　所以，企业需要按照自身的相应特点，适当的选取公司层面风险因素或者企业业务活动层面风险的划分方法，同时要把企业正在面对的不同风险细致的进行识别，同时通过定性和定量相互融合的方式，对公司所潜在的风险进行必要的识别。 　　全面识别公司风险事项。想要完善开展企业的风险管理，最为主要的条件就是及时的识别不同种类的经营风险，风险识别一方面是企业风险管理过程中的主要起点和基础，另一方面还是企业内部控制当中最为首要和困难的工作。企业在经营生产的过程中，有必要及时应对、全面识别不同类别的风险，要将风险和机会分清，便于让企业可以适时针对性的对策，或者找准基于对风险进行解除。利用建立健全的企业风险事项识别体系，能够保证管理人员不会对战略目标产生偏移[7]。 　　3.3将风险管理理念优质的培育在企业内部 　　优质的风险管理理念，一方面是企业风险管理所具备的核心，另一方面还是开展内部控制的具体环境要素。企业的风险管理是相应的信念与态度，也就是在实际生产活动当中所执行的信念与态度，会与企业的文化风险以及经营风格有着直接的联系，同时也能够制约企业目标的实现与否，会将企业的价值观显示出来，同时，风险应对、风险评估以及风险识别都是企业在进行风险管理的主要表现形式。所以，需要将风险管理理念在企业内部良好树立，才可以在企业整体中主动的抑制企业的不同风险层面，从而使得企业能够顺畅的发展。 　　企业对风险的认知态度就是风险管理理念，要在一定程度上被不同岗位员工一致认同，才可以对企业内部风险开展准确的发现与评估，有对其有效的应对。风险管理理念需要企业的内部不同层次员工和不同岗位员工，都能够正确的认知风险管理，可以利用不同的有效途径，在第一时间让员工意识到风险管理的重要性，同时要让员工了解到，企业在经营的过程中会面临的不同层面的问题，以及会承受的后果，才可以让企业员工拥有相应的风险意识和危机意识，从而在实际的生产工作当中，主动的发展企业内部所产生的经营风险，积极的上报所存在的风险，让企业能够拥有充分的时间，用针对性的措施应对风险类别。 　　3.4对企业法人治理结构需不断的完善 　　企业的法人治理结构主要指的是，公司的股东大会、董事会、监事会以及经理层之间，所构成的权责明确、约束与激励的契约关系，能够协调运转、互相的制衡。科学的公司治理结构具体包含：透明管理议事规则、民主管理议事规则、业务执行系统、反馈系统以及内部监督系统等。 　　对特别事项的应对。想要对企业经营当中的极为特别的事项有所应对，需要按照需求将专业的委员会设立在董事会中。企业需要按照具体的发展战略需求，临时性的调整有关的人员将专业委员会构成，以此来有效的发挥出委员会成员的专业知识和资历，让其可以合理的解决有关的核心问题。例如：在企业的董事会下设风险管理委员，将领导作用发挥在风险防范以及风险识别控制当中，在职责范畴中创建合理的防范对策，第一时间在企业内部横向、向上以及向下之间传达相应的风险信息，尤其是在遭遇大型的风险事项的阶段，需要立刻评估风险，以保障企业内部控制机制的健全性、合理性以及遵循性。 　　严格关注企业独立董事的作用。在企业的内部控制当中，独立董事需要发挥出一定的监督地位，有必要对独立董事的作用充分的肯定。应该强化监管公司的独立董事，需要将独立董事的承担风险以及收入紧密的联系在一起，以法律途径明确公司独立董事的法律责任，对于相关舞弊企业中的独立董事加强处罚的力度。同时，若想要将独立董事的作用和职责真正的发挥出来，需要在在法律的角度上明确独立董事的独立特性。 ;

内部控制和企业全面风险管理既有横向交叉又有纵向融合，它们之间的联系有：1.内控或风险管理的根本作用都是维护投资者利益、保全企业资产，并创造新的价值。从理论上说，企业的内部控制是企业制度的组成部分，风险管理则是在新的技术与市场条件下对内控的自然扩展，在内控的基础上增加了一个目标即战略目标和三个要素：目标设定、事件识别、风险应对；2.内控是企业风险管理的必要环节，在全面风险管理中扮演关键角色，内控应被管理者看作是范围更广的风险管理的必要组成部分，对于企业所面临的运营风险，内控是必要的。当然，二者也有些许不同，区别在于：1.两者目标不同。风险管理的目标相较于内部控制增加了一个战略目标，战略目标的制定是企业治理层面需要参与解决的问题，这表明风险管理属于治理层次，而内部控制属于企业管理层次；此外，风险管理把财务目标扩展为报告目标，不仅包括了财务报告目标，还包括了非财务类报告，弥补了内控目标体系重财务信息轻其他信息的缺陷；2.两者组成要素不同。相比起内控的五大要素，风险管理增加了“目标设定、事件识别和风险应对”三个因素，丰富了风险管理内容，体现了风险组合观；3.两者的范畴不一致。内控仅仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标，而全面风险管理则贯穿于管理过程的各个方面，尤其是在事前制定目标时就充分考虑了风险的存在；4.两者的活动不一致。内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，而风险管理包含了风险管理目标和战略的设定、风险评估方法的选择等一系列活动；5.两者对风险的定义不同。全面风险管理框架将风险明确定义为“对企业财务目标产生的负面影响事件发生的可能性”，将正面影响视作机会，将风险和机会区分开来，而内部控制框架中，尚未区分风险和机会6.两者对风险对策不一致，全面风险框架引入风险偏好和风险容忍度。在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有提出的。

风险管理是个大概念，而内部控制相对风险管理来说就更加具体和有针对性了。x0dx0a怎么理解呢？我举一个例子x0dx0a首先了解一下固有风险和剩余风险的概念。前者是当你设定好一个目标后还未开展任何风控活动就面临的所有潜在风险。剩余风险就是当你设定好目标后，认识了潜在风险，那么通过一些列的控制活动来降低、规避、转嫁这些潜在风险后还有未能被控制的潜在风险。x0dx0a其中这个一些列的控制活动中对自身（企业内部）进行控制的称为内部控制。因为外部风险是不可控的，只能预测。x0dx0a在ISO31000的框架中，Internal Control 就是 Risk Management中的第四个关键点。x0dx0ax0dx0a我想你这么理解可以方便一些。

内部控制，是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。企业建立与实施有效的内部控制，应当包括下列要素：1、内部环境：内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、人力资源政策、企业文化等； 2、风险评估：风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略； 3、控制活动：控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内； 4、信息与沟通：信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通；5、内部监督：内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。应答时间：2021-01-08，最新业务变化请以平安银行官网公布为准。 [平安银行我知道]想要知道更多？快来看“平安银行我知道”吧~ https://b.pingan.com.cn/paim/iknow/index.html

对内部控制相关理论的全面介绍内部控制整合框架包括哪些内容？企业发展的基石，内部控制的核心观念内部控制的局限性-成本效益原则及其它 内部控制的基础如何建立良好的控制环境 风险管理，使企业获得竞争优势的法宝危机管理的金科玉律 内部审计的含义内部审计在组织架构中的位置内部审计与内部控制的关系 什么样的人才会舞弊职业舞弊对企业造成的危害是什么？如何看待职业舞弊与内部控制？ 内控体系建立和执行的五个阶段确定和分解目标、识别风险如何建立控制政策：二维表、流程图、文字描述如何有效执行内控如何监督内控的执行状况：执行过程中的监督和独立的评估 萨奥法案的含义及其内容框架审计人员的独立性应如何理解

COSO（全美反舞弊性财务报告委员会发起人委员会）认为内部控制是为下述三大目标的实现提供合理的保证，即：uf06c 1、经营的有效性和效率uf06c 2、财务报告的可靠性uf06c 3、遵守法律法规为了实现内部控制的上述目标，企业必须建立有效的内部控制体系。但什么是有效的内部控制体系？如何建立、评价和改进企业的内部控制？这已日益成为困扰大多数企业的一个问题。2002年7月30日《萨班斯——奥克斯利法案》（“萨奥法案”）的颁布，标志着世界上最发达资本市场的监管者已经将内部控制体系的建立、维护、评价和报告看作是经营者的重要责任。2008年5月22日，中国财政部等五部委联合发布了《企业内部控制基本规范》，将自2011年1月1日起首先在境内外同时上市的公司施行，2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行，鼓励非上市的大中型企业执行，这标志着中国版的“萨奥法案”已正式启动。随着社会法制化的推进及企业竞争的加剧，企业只有建立、健全并执行行之有效的内部控制体系，才能够获得持续稳定的发展，做到基业长青。

亲，您知道吗，企业需要内部控制与风险管理有四点原因: 一、企业的内部控制是保证企业正常经营的基础，内部控制的好坏直接关系到一个企业的经营成败。 为了提高企业效益，加强管理，减少工作失误，合理的调配各种有一资源，需要我们建立现代科学合理的企业内部控制制度，企业内部控制制度的建立完善与否是现代企业管理水平的标志之一。 二、是为了防范风险与树立投资者信心。 实施企业内部控制评价符合国际惯例，有助于揭示企业内控重大缺陷，维护投资者利益和资本市场秩序。投资者对投资行为的选择，不仅仅基于财务数据和相关信息，还要基于对公司内部控制系统设计与运行质量的分析，以判断企业的抗风险能力。 企业的风险来自于两大类:一是来自于违背外部强制性规定，包括合规性、财务报告及相关信息的真实可靠、资产的安全；二是来自于内部管理系统的适应性，包括战略定位与实施手段、管理的效率与经营的效果。第一类风险的发生将使企业承担违规成本，导致企业价值下降，第二类风险的发生将直接影响企业获取现金流的能力，增加投资回报的不确定性。企业建立内部控制系统就是为了防范上述风险。 三、推行内部控制是企业加强交流沟通，促进信息对称的根本途径。 可强化单位内外对内部控制制度的理解，促进各相关单位或部门之间信息的对称和透明，加强部门之间在授权、不相容职务相分离、独立业务审核、资产和记录的接近限制等具体控制环节的协作和配合，按照成本效益原则优化内部控制结构，并根据各部门沟通反馈的因管理环境或业务性质的改变情况，适时调整、完善内部控制系统，从而保证内部控制的健全有效。 四、推行内部控制是企业改善内部控制，加强内部监督制约的有效手段。 内部控制的有效执行，仅靠各部门和相关人员的自主执行是不够的，常常会因为相关部门和相关人员的串通作弊或不作为而失效，因此还需要建立健全监督机制，对内部控制运行质量不断进行评估，即对内部控制设计、运行及修整活动进行评价。通过审查和评价内部控制的健全性和有效性，评价相关部门和人员执行内部控制制度的情况，监督其充分、有效地执行内部控制制度。

这是我今年写论文用到的案例，都是今年的，一个成功的一个失败的。海尔公司风险防范的成功经验海尔集团是世界第四大白色家电制造商、中国最具价值的品牌。海尔旗下拥有240多家法人单位，在全球30多个国家建有本土化的设计中心、制造基地和贸易公司，全球员工总数超过五万人，重点发展科技、贸易、金融、工业四大支柱产业，已发展成为具有相当规模的跨国企业集团。美国次贷危机引发的金融风暴席卷全球，作为制造业大国的中国同样面临着巨大挑战。世界著名的消费市场研究机构 EuromonITor International（欧睿国际）最新发布的监测数据显示，2008年海尔品牌在全球冰箱市场份额已达到6.3%，超过LG和伊莱克斯等品牌，跃居全球第一。海尔之所以能在金融风暴席卷全球的大环境下中取得如此佳绩，很大程度上得益于其对风险防范的强化和创新。海尔主要采取了以下措施对风险实施管控：2.1.1 进行全面内控，建立内部监控机制内部监控机制：为了保证集团的运行安全，平稳的达成战略目标，海尔建立了一套对风险进行防范和控制的体系，其核心是针对子公司的组织、治理、战略，以及业务运作的各种制度与流程中可能存在（漏洞，规定空白，人为干扰，缺乏可行性，制度与执行制度的部门与岗位之间冲突，缺乏科学规范，制度过粗，或制度之间存在原则冲突等方面）的问题，为防范、管理乃至消除上述问题而建立一个系统性的、不依赖人的、制度性工作体系。 全员内控：海尔的风险防范是一个全员内控的理念。风险防范已经不仅仅局限于财务部、审计部、法律部等部门，而是将其渗透到了公司的各个层面，无论是从董事会层到经理层，再到员工层，还是从集团战略层到执行层，再到各个职能业务层，全面的风险防范意识已经渗透到了企业的每个层面、每个员工。 2.1.2 减少存货、加快资金回收，降低经营风险在美国次贷危机发生后，海尔及时做出了各类风险应对措施，例如在全国范围内取消仓库，按订单生产，像冰箱一年几千万的产量，库存量几乎为零，极大地降低了存货在流动资金中所占的比重。这样一下子就增加了企业的现金流量，在一定程度上降低了经营风险。2.1.3 建立财务公司财务公司是海尔集团进行业务流程再造的助推器。财务公司的建立解决了企业内部财务关系混乱的局面。企业有了较完善的内部财务监控机制。财务公司实现了资产与资金的双重增值，是提高资金利用率、降低财务成本的金融工具，也是资金流整合的金融载体。到2008年底，历经6年的发展，海尔财务公司已经初步完成了由一个单纯的资金集中管理服务商到一个集约化金融服务、集团化金融管理、集成化金融支持三位一体的海尔特色金融服务综合供应商的蜕变，构筑了海尔品牌冲击世界500强的核心竞争力。海尔通过建立财务公司，把财务风险控制模型注入到集团产业内部，全面构建了集团产业财务风险防范体系，整体提高了海尔集团的财务风险防范能力。用创新变革应对风险，在风险面前，海尔走创新之路应对风险。风险和机遇并存，能否规避风险、抓住机遇，主要看企业自身的竞争力。2.2 合俊集团风险防范的失败教训创办于1996年的合俊集团，是国内规模较为大型的OEM型玩具生产厂商。在世界五大玩具品牌中，合俊集团已是其中三个品牌的制造商，并于2006年9月成功在香港联交所上市，到2007年的时候，销售额超过9.5亿港元。然而进入2008年之后，合俊集团的情况急剧下降。在2008年10月，这家在玩具界举足轻重的大型玩具公司没能躲过这次全球性金融风暴，成为中国企业实体受金融危机影响而倒闭的第一案。表面上看起来，合俊集团是被金融风暴吹倒的，但是只要关注一下最近两年合俊集团的发展动态就会发现，合俊集团倒闭的真正原因主要有以下两点：2.2.1投资缺乏科学性，盲目多元化2007年9月，合俊集团计划进入矿业，以3亿元的价格收购了福建天成矿业48.96%股权。天成矿业的主要任务是在中国开采贵金属及矿产资源，拥有福建省大安银矿。2008年2、3月份，合俊集团付给天成矿业2.69亿元的现金，直接导致厂里资金链出现问题。全球金融危机爆发后，整个玩具行业的上下游供应链进入恶性循环，再加上2008年的生产成本持续上涨，塑料成本上升20%，最低工资上调12%即人民币升值7%等大环境的影响，导致了合俊集团的资金链断裂。这家银矿却一直没能拿到开采许可证，没法给公司带来任何收益，对于天成矿业的巨额投入合俊集团不但没能收回成本，反而令其陷入资金崩溃的绝境。2.2.2内部管理失控导致成本上升对自然灾害的风险评估、应对能力不足。2008年6月，合俊集团在樟木头的厂房遭受水灾，存货遭受巨额损失。水灾导致物料报废致使生产被迫中断，合俊集团耗费将近一个月的时间才重新恢复生产。此次水灾也严重的影响了该集团原材料供应的稳定性及现金流量，从而影响了集团的经营效率。因为水灾造成的存货损失约为6750万港元。合俊集团在物料管理上也很松散，公司物品常常被盗，原材料当废品卖。而且生产上也没有质量监控，返工甚至报废的情况经常发生。合俊集团财务风险防范的失败最终导致了合俊集团的倒闭。

首先是识别，识别企业发展不同阶段企业风险；之后在不同时期，采取不同措施和方案，进行内部控制与企业风险管理；1 内部控制重要性：　　内部控制不是万能的，但是没有内部控制是万万不能的，也就是说内部控制是企业风险管理中必不可少的基础性工作；2 认识企业风险管理的首要问题：　　进行企业风险管理，首选问题是识别企业风险，即认识企业风险特征和企业不同时期的不同企业风险类别；3 企业发展阶段不同，内部控制与企业风险管理的内容涉及因素各不相同，因此需采用不同对应措施：　　企业初级阶段的风险是产品质量问题，因此从企业内部质量控制进行企业市场形象建立是该阶段企业风险管理重要问题；　　企业发展阶段的风险是市场拓展问题，因此，经营、市场、产品销售等问题内部控制成为企业风险管理中必须关注的问题；　　企业发展进入规模阶段的风险是内外交加风险管理问题，有涉及到内部的人、财、物综合配置与控制，及市场管理等诸多方面问题，由此，企业内部管的诸多因素应运而生成为企业风险管理的必不可少的因素。

　　随着高新技术时代的到来，人们对内部控制的理解和认识不断深化，内部控制理论在实践中得到进一步的应用、发展和完善。国外的内部控制理论发展较为成熟，已经进入了风险管理阶段。我国的内部控制理论也在不断完善，从开始关注内部控制到意识到风险管理的重要性，基于风险管理的内部控制也正在成为一种新的趋势，并越来越重要。 　　在世界经济一体化深入发展中，一些企业在激烈竞争中忽视自身的风险管理与内部控制，追求高额利润，最终造成对社会的危害和企业的破产倒闭，曾经令人信服的三鹿集团便是如此。因此企业必须树立风险管理观念，在风险管理的基础上加强内部控制，提高企业经济效益，达到企业的经营目标。本文拟从风险管理的视角探讨内部控制的相关问题，以期对完善内部控制及其研究提供启示。 　　一、风险管理与内部控制的关系浅析 　　1.风险管理与内部控制理论 　　企业的风险管理是由企业的全体员工共同参与的，应用于企业战略制定和内部控制的、用于识别可能对企业造成潜在影响的事项，将风险降到最低，为企业经营目标的实现提供合理保证的一个过程。 　　企业的内部控制是企业董事会、管理层对企业内外部风险管理过程中可能出现的操风险进行管理，维护企业资产完整、保证会计信息质量、提高经营活动效率，以及确保有关法律法规和 规章制度 的执行而制定和实施的一系列控制方法、程序和措施。 　　2.内部控制与风险管理的关系 　　(1)内部控制与风险管理的目标一致。企业内部控制的最初目的是防范其运行中潜在的各种风险，即对风险进行控制就是风险管理。企业在生产经营环节实施有效的监控措施，为实现经营活动的效率和效果创造有力的条件，以更好实现预期目标。因此实现风险管理的目标，离不开有效的内部控制；同时要达到内部控制目标，也离不开对风险的有效管理，即二者的目标是一致的。 　　(2)内部控制与风险管理有不同的侧重点。企业内部控制侧重于制度层面，通过规章制度来规避风险；风险管理侧重于交易层面，通过市场化的自由竞争或交易来规避风险。内部控制并没有完全渗透到企业管理，而风险管理贯穿于企业管理过程的各个方面。 　　(3)内部控制与风险管理相互补充、促进。风险管理是识别和评价企业的各种内外部风险，通过内部控制来消除、转移、分散和减轻风险，从而达到企业经营目标。内部控制是风险管理的关键环节，风险管理又依赖于对内部控制的管理和评价，二者相互补充。同时企业应从内部控制做起，提高员工特别是中、高层管理者的风险意识；企业的风险管理越完善，内部控制的目标才能更好的实现，二者在相互促进中不断完善和发展，最后有利于企业自身的发展。 　　二、基于风险管理视角的内部控制分析：来自三鹿集团经营失败的案例 　　三鹿集团是国内最大的奶粉生产企业，其主导产品三鹿配方奶粉被国家技术监督局列为全国首批重点保护的13个品牌之一。2008年由于三鹿婴幼儿配方奶粉掺杂致毒化学物质三聚氰胺，企业形象一落千丈，并把三鹿集团推向破产的边缘。2009年2月12日，法院正式宣布三鹿集团破产。究竟因为什么三鹿集团失信于民，让其从巅峰状态走到了死亡的边缘，以下将从三鹿集团的内部控制与风险管理方面分析其失败的原因。 　　1.从企业的控制环境来看，三鹿集团的企业组织结构不严密，股权分散，其最大股东是三鹿乳业公司，第二大股东是新西兰恒天然集团，还有一些零散小股东。由此使企业面临控制环境的风险，企业经营中出现集权现象，出现内部人员的权利无法相互监督和制约，增加了企业面临的风险。 　　2.就企业的风险评估来说，国际上公认的高风险领域是食品行业，乳制品行业就是其中的一员。为保证食品的源头安全，必须进行风险评估来证实奶源的质量安全。三鹿集团为了保证充足的原奶供应，实现自己的目标，在采购环节弱化了质量控制，从而导致了毒奶粉事件的出现，让企业走上了灭亡的道路。 　　3.信息与沟通和企业的内部监督方面，三鹿集团在这两方面也有内部漏洞。三鹿集团管理层不能有效地管理各个部门和分公司，信息资源缺乏，隐瞒问题没得到沟通、披露和解决。三鹿集团的组织机构不完善，无法对大股东的权利进行有效的监督和制约。同时缺乏对奶站员工的有效监督措施，无法保证原奶质量，这两方面的漏洞也加大了企业的风险，最终加快了企业各种问题的爆发。 　　4.企业的风险管理意识方面，企业的管理层受高利益的诱惑，盲目进行企业产业链扩张，缺乏风险管理意识。三鹿集团为追求高额利润，仅重视产业链中销售以下的环节，而忽视了风险管理和奶源的质量，导致了毒奶粉事件的发生，使企业的经营管理走向失败。 　　三、基于风险管理视角完善内部控制的建议 　　1.建立合理的内部控制组织结构 　　企业内部控制组织结构的设计要满足企业风险管理的要求，通过实行岗位分工，明确各自的职责权限，建立规范的企业法人治理结构，形成有效的监督约束机制。三鹿集团的大股东缺乏别人的监督和制约，应该完善企业内部控制组织结构，建立风险管理委员会，及时预防企业风险的发生，可能会阻止企业走上灭亡的道路。 　　2.加强风险评估，强化风险控制活动 　　对企业存在的风险，应及时进行正确的风险评估和分析，并采取相应的措施，预防风险的发生和管理企业的风险。三鹿集团的风险预警和突发事件的应急处理不好，即控制活动的不合理，才造成了三鹿的毒奶粉事件，对社会造成巨大的伤害。 　　3.完善信息与沟通渠道，加强内部监督和评价 　　实行风险控制时，要保证企业的内部信息畅通。流畅的信息可以帮助企业及时发现薄弱环节，并做出风险反映，提高内部控制的效率和效果。企业应该加强对风险管理的监督，保证企业风险管理效力的持久性。此外企业应根据内部控制标准开展自我评估，加强企业的内部审计风险管理环节，保证风险管理正常运行。 　　4.提高风险意识，建立风险预警机制 　　提高全体员工特别是企业管理者的风险意识，加强对风险控制和管理的重视程度，鼓励员工参与到企业风险管理的各个环节，帮助企业将风险控制在一定程度内。 　　企业应该根据自身的实际情况树立正确的风险观，建立健全风险预警系统，加强风险识别防范能力，保证企业的正常运行，实现企业的经营目标和最高战略。

作者：刘宁宁链接：http://www.zhihu.com/question/26532559/answer/40181214来源：知乎著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。第一，合规管理有广义，狭义之分。狭义的合规，是指对外部法规的遵循。狭义的合规，主要是依据银监会《商业银行合规风险管理指引》，“规”主要是指银行外部的法律法规。第三条 本指引所称法律、规则和准则，是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。本指引所称合规，是指使商业银行的经营活动与法律、规则和准则相一致。本指引所称合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。广义的合规，“规”还包括银行内部的规章制度。第二，内部控制要同时考虑外部法规、内部制度。从这个意义上，内部控制与广义的合规类似。根据《商业银行内部控制指引》（2014）第四条 商业银行内部控制的目标：　　（一）保证国家有关法律法规及规章的贯彻执行。　　（二）保证商业银行发展战略和经营目标的实现。　　（三）保证商业银行风险管理的有效性。　　（四）保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。第三，控制风险是合规管理、内部控制的都共同目标。 但是，内控的目标不光是控制风险，企业内部经营效率效果评价、流程优化乃至企业文化都属于内控范畴。 第四，控制风险的手段之一，是定下行为规则，在规则内行事，制度就是一种规则。但是，是否符合了制度就能控制风险？显然不是。这也是银行内控管理、合规管理的尴尬之处。

从价格上来讲，海尔用较高的价格，TCL用较低的价格，格兰仕也采用较低的价格战略。这就是企业内部控制应对风险的多样性。财务风险的化解，可以通过报表合并，通过母公司报表的蛛丝马迹，就可以判断出资金运营的效率。要增强企业运营的效果，增加财务运营的成效，就要进行财务的各种风险处理和风险的化解，通过集中资金的方式，不仅减少资金运营的风险和财务的各种风险，包括投资、资金运用、支付等这些风险，同时也可以极大地加强资金的流动性，进行余缺的调剂，减少财务费用。【案例】神华集团财务集中模式是造就这个煤炭公司走向世界，成为世界一流煤炭企业的有效保障。神华集团通过四个统一、两个集中和一个优化实现财务集中。四个统一是指统一核算业务，统一税费管理，统一预算管理，统一财务制度。十几个矿井的大小不一样，地质条件不一样，成立运行的时间、生产力的状况、结构也不一致。这种情况下企业对财务进行统一的过程中遇到了极大的困难。但恰恰是突破这种困难之后，才使集团的财务呈现高效率的状态。企业通过资金集中和人员集中两大集中方式，极大地减少了各个分属矿井的资金使用风险，使企业既满足了生产的需要，同时也减少了资金运用的风险，实现了企业社会化的责任。企业的另一个优化就是信息优化，不断加强信息建设的投入，使信息化的财务管理融合到企业的现代化管理当中，加强信息化系统的建设。神华煤炭的财务集中模式极大地顺应了企业的现代化管理的要求。企业煤炭的产量直线上升，成本和库存则保持在平稳的下降状态。这就是财务控制的效果。点评：和全国同行业的大型企业集团进行比较可以看出，神华煤炭在财务的管理中进行财务创新，采用财务集中模式进行财务活动的控制，在资本运用中呈现很好的效果。企业内部控制必须要分析风险，认识风险，但目的不是为了风险而风险，而是要采取风险对策解决风险。但是风险的对策再好，如果没有落实到实际的工作中，在各个业务的层次中没有体现出来，也是没有任何效果的。所以企业需要在内部实施风险对策，展开控制的活动。管理层的控制活动控制的活动就是能够有效地实现风险反应的措施和方法。对控制活动的分析可以从两个方面来展开，一个是纵向，一个是横向。纵向是把控制活动分为决策层、管理层、执行层和操作层四个层次；横向是指各个部门人、财、物之间的衔接。企业的内部控制活动就是在纵向和横向交错作用的过程中展开。下面就从高层管理人员对企业的绩效分析、部门管理、对信息处理的控制、实物的控制、绩效指标的比较和分工等几方面来分析内部控制的内容。管理层记录经营活动(如：市场的扩展、生产过程改良、成本的控制)的结果，然后再与预算、预测、前期及竞争者的绩效相比较，以衡量目标达成的程度和监督计划(如：新产品开发、合资经营、融资行为)的执行情况。高层管理人员在内部控制当中的功能要抓住两个方面的关键点。第一个是指标，就是对他的工作进行定义和划分；第二个是绩效，就是对他的运行效果进行考核。作为高层管理人员，应该在思想上接战略，下接业务的运行，不需要操心太多具体的业务操作。?指标从传统的思维模式来讲，一位领导如果能够深入基层和人民群众打成一片，同吃、同住、同劳动，这就算是一位好领导。但是现代企业管理要改变这种观念，领导人一次两次和人民群众做做秀就可以了，平时需要花大量的精力去思考更大的问题。例如各个部门怎样分派工作，每个部门应该管什么，怎样去管？哪些工作归A部门，哪些归B部门，哪些归C部门。资源怎样从C部门调到A部门，从A部门又调到D部门。通过部门之间的调整，科学地设计指标，对部门绩效进行考核，极大地促进企业的经营效率。至于每一道工序，每一个厂角，每一个安全，每一个角落应该是什么样子可以让下面的人负责。企业对绩效的考核方法需要有整体指标，还要有KPI，也就是关键绩效指标。企业要获得投资者的认可，就必须有一个大的发展空间和良好的回报。企业在发展的每个阶段都有不同的重点，因此在整体目标里面，划分出的关键绩效指标也会在不同阶段有不同的侧重点。企业要对能够给企业带来重大影响的关键部门和关键的业务过程进行把握和了解。进行总体的分析，查找到底是技术的问题，还是生产的问题；是人员的问题，还是支持系统的问题；是财务的问题，还是市场的问题，或者是顾客满意度的问题。因此，要对关键指标进行分解，让每个人明确自身肩负的工作因素指标。作为领导，是否能够对目标企业进行兼并收购，如果收购的话企业需要做哪些准备工作，对将来的发展会产生怎样的影响，领导者要站在全局的高度，高瞻远瞩地思考这些问题。?绩效企业要了解敌人，也要了解自己。企业自身的经营状况以及进行外延扩大再生产之后，是否能够保证安全性，造血功能有没有提升。如果企业资产在不断的扩大，资产负债率却在不断地降低，说明企业的经营效率在提高。企业的绩效就是从整体经营状况中体现出来。而很多的企业在发展的时候，受到发展上的限制瓶颈，从规模上进行减少，外延上降低，这是可以理解的。但是企业的产量越来越低，资产负债率越来越高，资产负债率越来越高的后果可能就是企业费用增加到收入的1/4，雪上加霜的还有居高不下的应收账款。这样等到下一个业务循环开始的时候，面临的就是更高的成本费用和资金来源。恶性循环的结果就是企业濒临破产，最后不得不清算倒闭。这就是不懂经营、不懂财务的领导掌管企业的悲惨结局。所以企业干得越多，亏得越多，关键就是领导没有从财务和企业的经营效率入手，对企业的全局进行控制把握。企业运行的时候，不光是财务效益的问题，不仅是整个资产运营的状况，同时还是安全性和承载能力的问题，更多的还是长远发展能力的问题。所以企业在进行内部控制的时候，作为企业的领导人和财务主管，应该从全局着手，从更高层次着眼，遵循科学的指标体系，对生产经营和各部门的职责来展开控制活动。部门管理的控制活动负责某一部门的经理人员复核自己所负责部门的业绩报告，检查本部门各业务活动的情况，以便辨认趋势。部门管理是内部控制活动的第二项内容。部门管理说的是在企业管理里面，部门处于执行阶段和层次，这个层次应该起到的效果叫令行禁止，提高效率。战略一旦确定之后，决定战略能否实现的因素就是执行。能不能够执行就靠各个部门怎样去完成本部门的工作。例如公司每年都会编制预算，年底进行结算的时候就要考察有没有实现当初的预定目标。这个实现的过程就需要各部门去完成。财务部门的控制管理企业的风险追根到底出现在执行层上面，部门负责直接管理的工作，对它的工作业绩要进行报告，对生产效率进行分析。财务部作为一个业务部门，在企业控制的部门管理中应该取得价值领航的作用。财务部告诉业务部门某项工作该不该干，如果干的话能够取到怎样的效果，是亏损还是盈利。对于应收账款的催收、统计和分析，财务部和销售部门共同进行回收款项的时候，财务部门应该及时通知销售部门的主管人员，通知法律事务部和信用管理部，对相关数据进行调整分解，重新确立企业的信用额度和账期。在成本核算当中，财务部应该科学地进行计量分析，用作业成本法的方式对每个产品进行分析，而不只是进行整体概括的描述。因为通过传统方式对材料进行总体的分析是不够的，需要让决策者知道哪一个产品是赚钱的，哪一个产品是不赚钱的。作为财务部长，一方面要承接上级企业财务功能，另一方面要把承接的功能分解到每一个会计身上，对每个主管会计进行培训，来进行掌握，协助他们掌握相应的工作要点。让其能够在生产经营管理过程中得到成本数据和专业信息，作为财务管理的基础。财务部长起到的作用就是引领主管会计做好他所从事的具体业务，而不需要过分干预具体工作内容。一个企业永恒的主题，就是竞争，就是面对风险的时候，怎样根据企业的核心竞争力和风险偏好，在风险中转危为安。企业进行风险管理的时候，可以把这种管理作为一个区位图，按照时间的序列和业务发展的过程做一个总体规划。然后把总的规划分解到每一个时段、每一个单位和每一个体系。一个项目的完成需要很多部门的协调沟通，如果有一个部门拖延了时期，跟它的工作内容衔接的另一个部门的工作也会受到影响，从而拖延整个项目的实现进度。就像完成一次大的战役一样，每个兵种，每个兵团，每个连队和每个小分队，都应该在指定的时间到达指定的高地，这样才能把握战局，如果其中有队伍没有抢占高地，很有可能输掉整个战局。操作层的控制活动这个层面涉及到具体落实工作内容的关键环节。中国人有这样的一个观念，就是不管是做生产经营管理也好，或者是生产过程也好，很多时候都是以一种随意的心态去做事情。中国有几千年的农业文明作为基础，农业文明的特征是个体性，随意性，季节性，靠天吃饭。这样的传统思想会影响到企业管理工作，一个领导实行一种方案，一个领导有一种想法，一个领导采取一种战略，每个部门要根据不同老总的偏好调整心态，改变工作方式和工作作风，这种随意的工作方式以个人为导向，而不是以工作为导向，这是一种误区。【案例】有一个中国人和一个印度人到美国学习五星级饭店的管理，最后出现了非常有趣的现象，刚开始美国人特别喜欢中国人，因为中国人非常聪明，教了三天就把一个月的东西全学会了，而三天以来印度人怎么都学不会。但是到第五天就发生了变化，印度人慢慢学会了一点，而中国人就开始忘了一点，到了一个月之后，印度人全部学会了所教的知识，中国虽然学会了，但根据自己的爱好做了改动，最后的结果是，印度人一旦学会之后，一辈子都不会改变，准确地执行了五星级宾馆的标准体系。而中国人学会完了之后回到中国来，加上自己的想象和一种认识，对原有的标准进行了的改造，最后搞得不伦不类，所以中国没有真正的五星级酒店。点评：这个笑话讲的道理就是中国人太聪明有自己的想法固然是好事，但是如果自作聪明就会聪明反被聪明误，把正确的事情弄得一塌糊涂。企业管理当中也存在这个问题，每个人的思想不同，上级的命令传到下面的时候执行起来就变了味道。中央的一号文件下发到地方的时候就已经发生了很大的变化，总是落不到实处。所以，在内部控制的过程当中，要克服这种农业文明给人的思想影响的弱点。工业文明的最大特点就是集约化和规模化。机械生产依靠的就是规模取胜，工业化的前提是有统一的标准，这样才能保证生产统一规格、统一质量的产品。中国人适合做古董，不适合做产品，就是这个道理。因为古董每一个都是不一样的，而且越是不一样，价格越高。但是做现代工业产品管理现代企业就不能这样。在企业内部控制里面，需要运用工业文明的思想方式，对每一个人的管理和资源使用、政策制定进行规范化，科学化。这样才能让顾客满意，让社会安全，让产品安全，让市场有效。【案例】中餐与麦当劳、肯德基做饺子和做麦当劳、肯德基哪一个更容易？中国人会说做饺子容易，可是外国人学做饺子怎么都学不会。一个外国人千里迢迢到中国来学做馅饼，怎么都搞不明白，最后实在不行，就把所有的料放在饼的上面一烤，就成了今天的比萨。中餐非常好吃，但是中国菜不好做，因为差异性很大，口味很丰富，所以没有任何一家中餐企业能把中国饮食做成国际性的大企业，最重要的原因就是中餐没有固定的标准。这给我们带来了另外一个深层次的思考，就是在企业管理过程当中，如果没有标准，没有规范，工作程序无法复制，工作就没有效率和效果，就不能满足现代工业社会最基本的规模化要求。企业需要依靠产品的稳定性达到规模效益。为什么麦当劳、肯德基到中国来能迅猛的发展？就是因为它的产品非常规范，有统一的成本和业务流程标准，包括它的原料、生产工艺、服务也都采取标准化模式，很容易进行复制，所以连锁店开遍全国，遍地开花。点评：中餐之所以没能够像麦当劳、肯德基那样在全球范围内迅速发展开来的重要原因就是缺乏食物的标准，没能够从具体业务的操作层面上对工作过程进行控制，所以中餐现在还是局限于个体店面，无法迅速复制。在企业内部控制里面要讲求标准，把工业化的思想变成具体的业务流程和操作规程。业务流程的意思就是业务的各个环节怎样进行职能划分和业务分工。它按层次可以分为一级流程、二级流程、三级流程等，依次数下去。一级流程就是大的几个方面，每一个方法，每一个业务，每一项业务的几个步骤就是二级流程；每一个步骤的几个业务点就是三级流程，每一个业务的点的几个方式和方法，就是四级流程，每一个四级流程的几个业务，几个计量方式，或者是统计方式，就是五级流程。每个流程和其他的流程之间的转化和衔接，就是流程接口。这属于企业内控制里面的一个流程体系，做内部控制就是把流程规范化和标准化。企业要在美国上市必须要有非常规范的企业内部控制的流程和规程。例如采购之后，采购的物资怎样转化成资产，采购之前的业务流程是怎样规定的，采购之后该做哪些处理，所有的这些过程都要包含在一个规范的流程体系里面。这些工作完成之后，要跟财务部的工作进行衔接，也就是转资的过程。转资的过程当中，财务处长和财务处资产科的科长具体需要做哪些工作，在这个流程体系里面都要有很规范的规定和描述。企业存在哪些风险，这些风险会造成哪些危害，如何针对这些不确定性的危害采取措施？由这些问题出发进行分析研究从而形成内部控制制度，以管理文档的形式体现出来。在这个管理文档里面，对各个层次、各个部门、各个业务的过程都要有非常形象的描述，这种描述就叫做内部控制的风险管理流程。对风险进行科学的认识之后，形成一种形象的流转截图，这就是内部控制的风险的流程，对各个部门，各个层次，各项业务点进行总结分析，形成一个科学有效的业务管理模式，对业务环节的操作要求，把不可控的或者是定性的业务点，转化成一个定量、可执行、可分解的业务动作，加以规范和实施。第十讲 内部控制活动（下）信息处理的控制第一类是一般控制（general control），它帮助管理层确保系统能持续、适当的运转；(一般控制包括：对资料中心运作的控制；对系统软件的控制；存取安全的控制；对应用系统的发展及维护的控制。)第二类是应用控制(application control)，它包括应用软件中的电算化步骤及相关的人工程序。(应用控制包括：输入控制；输出控制)在内部控制里面，横向的连接就靠信息，财务部和业务部门，业务部门和管理部门，管理部门和设计部门之间都要靠信息衔接。设计一种产品需要根据市场的反馈，根据财务的预测，根据售后部门的反馈意见而形成的。所以信息要科学地进行收集和传导。财务控制也是这样，收入的确认，资产状况的确认和采购、销售、库存的这些信息，要及时准确地进行衔接，对采购的主体、数量做详细的记录。信息的生成和转化也非常重要，如果业务部门采购了一百，填写信息的时候写成一万，在信息生成的环节就出现了问题，这也是财务部门非常挠头的一件事情。【案例】一个煤炭企业的老总，要开除一个矿长，因为企业的成本控制非常严格，结果今年全年的成本指标被这个矿长突破了，矿井中采矿的机器里面有一个大型设备，需要用美国非常高级的润滑油，采购润滑油的账目上写了个100没有后面的单位，不知道是公斤还是吨，后来填了个吨，下面的人很奇怪也没敢反对，因为是矿长要求采购的，于是一直到上面批准签字，其他部门也没看、这种润滑油很贵，结果到货后发现几十年都用不完。这就是信息生成之后，没有对信息本身进行处理和风险的防范，从理论上来讲有职责去管理它，但事实上很难做到毫无纰漏。后来虽然这个矿长承认了错误，还是下岗了。我们可以看到，对一个小小的信息的处理，最后会变成一个企业总体的战略失误。在企业里，无论是采购，还是生产销售，所有的业务环节，最后无不打上财务的烙印，被会计信息所反映，折射整个生产经营管理的过程。所以内部控制要从会计入手。萨班斯—奥克斯利法案也是从会计信息入手加强企业的内部控制管理，因为对会计信息的管理融合了所有资源，体现的是横向联系和控制的过程。

COSO1992的全称是《内部控制-整体框架》( Internal Control-Integrated Framework )，主要内容是三目标五要素，三目标是经营增效、财报质量和法律合规，五要素是控制环境、风险评估、控制活动、信息和交流、监控。 在实践过程中，COSO1992被认为存在一些方面的局限性，包括对董事会作用认识的不够充分、内部控制管理报告内容局限于财报和固定时点、内部控制系统不涉及战略规划/风险评估/风险管理、内部控制的有效性评价方法基本是主管判断等。作为COSO1992的起草者，COSO委员会即美国全国虚假财务报告委员会The Committee of Soponsoring Organization of The National Commission of Fraudulent Financial Reporting（下属Treadway委员会）对1992版本进行了重大更新，并于2004年9月提出了新版本的框架-《 企业风险管理-整体框架 》( Enterprise Risk Management-Integrated Framework )。 值得一提的是，2006年，我国国资委发布《 中央企业全面风险管理指引 》，指引借鉴了COSO1992、COSO2004、萨班斯法案及其他各国风险管理标准，提出企业风险管理包括三部分： 风险管理流程 、 风险管理体系 和 风险管理解决方案 。流程包括初始信息收集、风险评估、风险管理策略、解决方案的设计和实施、监督和改进。管理体系包括组织体系和信息系统。管理文化包括目标、内涵和培育方法。 对比国资委《中央企业全面风险管理指引》和COSO1992、COSO2004，可以看出风险管理概念在20世纪末、21世纪初国内国际的一系列风险事件爆发后，逐渐深入人心，被广为接受。COSO2004作为引领潮流的风险管理框架，具体是什么内容呢？ 首先回顾1992版本与2004版本在主要结构与内容上的区别：在框架内容上，从三目标五要素更新为四目标八要素；在实施对象上，从业务单位-具体活动的简单结构扩张到董事会-部门-业务单位-附属机构的多维度结构。 图中COSO2004为英文，其四目标的中文含义是： 战略、经营、报告 与 合规 。做适当的延申理解，其含义应当是支持战略决策、提升经营绩效、保证报告质量、符合法律法规。八要素的中文含义是： 内部环境、目标设置、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督检查 。侧面的实施对象为董事会-部门-业务单位-附属机构。 与COSO2004内部控制框架一样，目标与要素的关系是相互交叉关联的，每一个要素的实施都与目标的达成有关。对比2004与1992版本中要素的区别，风险评估、控制活动、监控、信息与沟通依然保留，控制环境被内部环境取代，增加了 目标设置 、 事项识别 、 风险应对 三个要素。而目标在两个版本中的区别则非常明显，2004版增加了 战略 。 联系目标与要素的变化，要素目标设置的含义被解释为管理者制定企业的战略目标、选择战略方案、确定相关的子目标并在企业内层层分解和落实。可以认为直接与战略目标的实现相关。 事项识别要素可以认为是对原风险评估要素的延申细化，事项识别要素的含义是管理者考虑会影响事项发生的各种企业内外因素，尝试识别某一事项是否会发生、何时发生、结果如何。风险评估使企业了解潜在事项如何影响企业目标的实现，管理者应从风险发生的可能性与造成的影响程度评估风险。事项识别-风险评估-风险应对密不可分。 风险应对要素的出现应当被视为2004版本框架相对于1992版本的重要改变，是对1992内部控制框架被动风险管理局限性的修正。提出了风险容忍度与成本效益原则下风险反应方案的设计与执行。这是主动的、预测性的风险管理措施。 从1992框架的“控制环境”到2004版本的“内部环境”，将风险管理框架的要求拓展到控制系统之外，涵盖了组织、战略、文化的部分，我认为是此处变化的主要含义，欢迎探讨。 除了这些重大变化，2004版本框架对重要概念的定义也是我们所关心的。 在这一版本中，“风险”被定义为“一个事项将会发生并给目标实现带来负面影响的可能性”。而与之相对的，“机会”被定义为“一个事项将会发生并给目标实现带来正面影响的可能性”。价值的保值与增值被认为是“机会”所特有的。“事项”被认为是“源于内部或外部的影响目标实现的事故或事件”。 “企业风险管理”被定义为“一个过程，由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。具体的目标内容不属于企业风险管理的范畴，但制定该目标的过程则是企业风险管理关心的一部分。 首先，企业风险管理被认为是一个过程；其次，风险容量在这个过程中至关重要，在既定战略之下将指导资源配置。风险容量被认为是主体内部环境的一部分。 那么，如何评价COSO2004框架下企业风险管理的有效性呢？ 1、这八个要素都必须正常存在和运行。在小型机构之中，各个构成要素的方法可能不太正式或健全，但在每一个主体中这些基本的概念都应当存在。 2、通常一个主体作为整体评价风险管理有效性，例如董事会必须存在。但也存在单独评价一个业务单元的情况，此时，只有存在类似的机构提供此要素的功能，该单元的风险管理才能被认为有效。 实际上如何检验和确保有效性的问题，并未在框架中得到一个明显的解决方案。如何评价风险管理的有效性是我非常困惑的地方。 最后还有一个明显的疑问：“内部控制与风险管理的关系是怎样的？” COSO2004给出了观点“内部控制是企业风险管理不可分割的一部分，这份企业风险管理框架涵盖了内部控制，从而构建一个更强有力的概念和管理工具”： 1、全面风险管理（企业风险管理的另一个名字）涵盖了内部控制，内部控制是风险管理的子系统。 2、内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理。对于企业面临的大部分运营风险、或者说企业的所有业务流程之中的风险，内部控制系统是必要的、有效的风险管理方法。同时，维持充分的内控系统也是国内外许多法律法规的基本要求。因此，满足内部控制系统的要求也是企业风险管理体系建设起来之后应该达到的状态。 3、两者在活动上不一致，全面风险管理包含的风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动都不在内部控制的范围内。而对风险进行评估、控制活动、信息与交流活动及监察纠正是都包含的。内部控制没有将企业战略考虑在框架之中。这也是上文中强调的COSO1992与COSO2004在目标上的区别。 4、两者对风险的对策不一致，全面风险管理提出风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念与方法，有利于企业的发展战略与风险偏好相适配，联系风险、增长与汇报，参与经济资本的分配，支持业务决策。内部控制缺乏这些手段。可以说这是COSO1992与COSO2004在目标-要素上的区别。

风险管理的基本目标是：企业和组织在面临风险和意外事故的情形下能够维持生存，风险管理方案应使企业和组织能够在面临损失的情况时得到持续发展。内部控制的基本目标是确保单位经营活动的效率性和效果性、资产的安全性、经营信息和财务报告的可靠性。

风险管理包括风险管理。 风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理当中包括了对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。，风险的识别、风险的预测和风险的处理是企业风险管理的主要步骤。风险的识别　　风险的识别是风险管理的首要环节。只有在全面了解各种风险的基础上，才能够预测危险可能造成的危害，从而选择处理风险的有效手段。　　风险识别方法很多，常见的方法有：　　2.1.1◆生产流程分析法　　生产流程分析法是对企业整个生产经营过程进行全面分析，对其中各个环节逐项分析可能遭遇的风险，找出各种潜在的风险因素。生产流程分析法可分为风险列举法和流程图法。　　1.风险列举法指风险管理部门根据该企业的生产流程，列举出各个生产环节的所有风险。　　2.流程图法指企业风险管理部门将整个企业生产过程一切环节系统化、顺序化，制成流程图，从而便于发现企业面临的风险。　　2.1.2◆财务表格分析法　　财务表格分析法是通过对企业的资产负债表、损益表、营业报告书及其他有关资料进行分析，从而识别和发现企业现有的财产、责任等面临的风险。　　2.1.3保险调查法　　采用保险调查法进行风险识别可以利用两种形式：　　通过保险险种一览表，企业可以根据保险公司或者专门保险刊物的保险险种一览表，选择适合该企业需要的险种。这种方法仅仅对可保风险进行识别，对不可保风险则无能为力。　　委托保险人或者保险咨询服务机构对该企业的风险管理进行调查设计，找出各种财产和责任存在的风险。风险的预测　　风险预测实际上就是估算、衡量风险，由风险管理人运用科学的方法，对其掌握的统计资料、风险信息及风险的性质进行系统分析和研究，进而确定各项风险的频度和强度，为选择适当的风险处理方法提供依据。风险的预测一般包括以下两个方面：　　2.2.1预测风险的概率：通过资料积累和观察，发现造成损失的规律性。一个简单的例子：一个时期一万栋房屋中有十栋发生火灾，则风险发生的概率是1/1000。由此对概率高的风险进行重点防范。　　2.2.2预测风险的强度：假设风险发生，导致企业的直接损失和间接损失。对于容易造成直接损失并且损失规模和程度大的风险应重点防范。风险的处理（风险控制）　　风险的处理常见的方法有：　　2.3.1避免风险：消极躲避风险。比如避免火灾可将房屋出售，避免航空事故可改用陆路运输等。因为存在以下问题，所以一般不采用。　　可能会带来另外的风险。比如航空运输改用陆路运输，虽然避免了航空事故，但是却面临着陆路运输工具事故的风险。　　会影响企业经营目标的实现。比如为避免生产事故而停止生产，则企业的收益目标无法实现。　　2.3.2预防风险：采取措施消除或者减少风险发生的因素。例如为了防止水灾导致仓库进水，采取增加防洪门、加高防洪堤等，可大大减少因水灾导致的损失。　　2.3.3自保风险：企业自己承担风险。途径有：　　小额损失纳入生产经营成本，损失发生时用企业的收益补偿。　　针对发生的频率和强度都大的风险建立意外损失基金，损失发生时用它补偿。带来的问题是挤占了企业的资金，降低了资金使用的效率。　　对于较大的企业，建立专业的自保公司。　　2.3.4转移风险：在危险发生前，通过采取出售、转让、保险等方法，将风险转移出去。内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。内部控制的目的在于改善经营管理、提高经济效益。它是因加强经济管理的需要而产生的，是随着经济的发展而发展完善的。最早的控制主要着眼于保护财产的安全完整，会计信息资料的正确可靠，侧重于从钱物分管、严格手续、加强复核方面进行控制。随着商品经济的发展和生产规模的扩大，经济活动日趋复杂化，才逐步发展成近代的内部控制系统。内部控制的种类　　内部控制制度的重点是严格会计管理，设计合理有效的组织机构和职务分工，实施岗位责任分明的标准化业务处理程序。按其作用范围大体可以分为以下两个方面：1、内部会计控制　　内部会计控制其范围直接涉及会计事项各方面的业务，主要是指财会部门为了防止侵吞财物和其他违法行为的发生，以及保护企业财产的安全所制定的各种会计处理程序和控制措施。例如，由无权经管现金和签发支票的第三者每月编制银行存款调节表，就是一种内部会计控制，通过这种控制，可提高现金交易的会计业务、会计记录和会计报表的可靠性。2、内部管理控制　　内部管理控制范围涉及企业生产、技术、经营、管理的各部门、各层次、各环节。其目的是为了提高企业管理水平，确保企业经营目标和有关方针、政策的贯彻执行。例如，企业单位的内部人事管理、技术管理等，就属于内部管理控制。

1、内部控制审计与风险管理审计的联系：内部控制的设计和执行应该针对风险管理的要求，而风险的管理很大程度依赖内部控制的设计和执行。所以，内部控制审计和风险管理审计在有些地方是互相渗透的，目的都是为了增加企业价值。2、风险管理审计与内部控制审计的区别：从内部控制与风险管理的关系我们可以看到，内部控制是风险管理体系的一个部分，风险管理是内部控制在功能和范围上的延伸，是一种大范围的前置控制体系。从现代内部审计的理念来看，要与企业的战略管理相一致，审计领域要拓展，审计关口要前移，而从内部控制审计向风险管理审计的过渡，恰恰反映了这种功能的转化。

一、健全企业风险管理机制的必要性企业自注册成立的第一天起,就面临着各种各样的风险。比如:国家宏观经济政策调控风险、经营环境风险、组织性失误风险和领导层决策失误风险等。忽视这些风险,现代企业就难以应对突如其来的各种风险因素的冲击,不堪承受难以估量的财务损失和经营困境。亚洲金融风暴是一个非常发人深省的例子。期间,不少发展迅速但长期忽视风险管理的企业的潜在问题集中浮现出来。由于这些企业的决策层事前低估了经营非核心业务的风险、业务扩张所需资金的风险、借贷带来高负债的风险以及国际投机资本市场等多种风险,因而引发巨大的灾难,最终导致许多企业被迫宣告破产或被并购。由于当今现代企业面对着许多隐藏在不同层次的各种风险,使利润的增长变得不稳定,而同时现代企业又要面对投资者不断提高的各种要求,因而迫切需要采取各种方法控制风险,避免损失。所谓风险管理,就是指现代企业为实现所定目标,对可能发生的各种风险进行一系列防范、控制的管理活动,是一种涉及多层次、多方面的现代企业管理职能。风险管理同时也是一个过程,是由现代企业的董事会、管理层以及利益相关人员共同实施的,应用于制定现代企业战略及各个层面的活动,旨在识别和防范可能影响现代企业的各种潜在危机,并按照现代企业的风险理念健全完善风险管理机制,为现代企业目标的实现提供合理的保证。一般认为它有八个组成要素:企业经营环境、企业目标设定、危机预警识别、风险评估水平、风险因应对策、危机控制活动、信息与沟通、监控能力。现代企业风险管理的手段不应是在企业内部另外增加一个成本高昂的官僚管理机构,它应该能够帮助企业建立并强化应对困难的组织能力,这也是现代企业能够在当今不断变化的全球经济中生存所必须拥有的一种关键能力,就是现代企业必须构建一种切实有效的内部控制框架体系。二、内部控制与内部审计的有机联系现代企业内部控制体系属于现代企业的内部管理系统之一,包括为保障现代企业正常经营所采取的一系列必要的管理措施。内部控制贯穿于现代企业经营的各个方面,只要存在现代企业的经营管理,只要现代企业的经营管理存在着风险,便需要有相应的内部控制。一个运转良好的内部控制体系能够保证企业经营方针和计划的贯彻与执行;维护现代企业资产的安全与完整;保证所有的交易和事项的真实性、合法性;确保会计报表的编制符合财经法规、财务准则和制度的相关要求;同时能防止、披露和纠正错误与舞弊现象的发生。内部控制是现代企业风险管理的重要内容。内部审计既是内部控制的一个组成部分,又是内部控制的一种特殊形式。1986年第十二届国际审计会议上发表的《总声明》中,就把内部审计与组织结构、方法程序一起列为内部控制的重要组成部分。可见,内部审计职能作为内部控制的一个要素,是管理当局用来监督相关控制程序的手段,即是对内部控制的再控制,进而提高现代企业风险管理水平。美国COSO委员会报告及《萨班尼斯———奥克斯利法》法案为内部审计人员参与和进行风险管理提供了可以借鉴的工作指南和参考依据并得到广泛的认可,这在很大程度上表明:以现代企业风险管理为导向,开展对内部控制审计,将成为内部审计工作发展的主要方向。三、现代企业风险管理导向下的内部控制审计工作内部审计是现代企业内部一种独立客观的监督和评价活动,是现代企业风险管理的重要组成部分。它通过审查与评价现代企业本身及所属单位财务收支,经济活动的真实性、合法性及有效性,促进现代企业加强业务管理,实现经济目标。目前,我国大部分大中型现代企业都设置了内部审计部门,但存在着一些突出的问题。比如:内部审计部门不能向股东大会、董事会或监事会独立提交审计报告;内部审计工作范围局限于核实财会方面的交易,较少触及现代企业业务流程方面的风险管理和监测,从而未能就现代企业风险管理担起监督作用;内审部门的隶属关系、角色、职责不明确,缺乏独立性;内部审计人员的水平和内审方法有待提高,缺乏一套系统化和科学化的内审程序等等。在现代企业风险管理进程中,内部控制审计工作是以影响和控制现代企业经营目标实现的各种内部控制制度为依据确定审计项目,以现代企业进行的所有降低和防范风险的活动为测试重点,评价内部控制体系减低和防范风险的充分性和有效性,并提出恰当的完善和健全内部控制体系建议的一种方法。国外许多现代企业成功的内部审计实践证明,以提高企业风险管理水平为目的而实施的以内部控制为导向的内部审计,为内部审计人员参与风险管理提供了基础,促进了内部审计与现代企业风险管理要素的结合,并已经为现代企业管理当局所接受。1•开展内部控制的自我检测。内部控制自我检测是一种新兴的审计技术,最早是由加拿大公司开始运用的内部控制系统,几年来他们总结了一套系统的技术和方法,大大推动了该公司内部控制的发展和完善。目前这种方法在欧美一些发达国家开展的较多。内部控制自我检测的方法就是内部审计人员与被审计单位管理人员组成一个小组,管理人员在内部审计人员的帮助下,对本部门内部控制的恰当性和有效性进行评估,然后根据评估提出审计报告,由管理者实施。对现代企业而言,内部控制自我检测提供了一个风险管理的工具,保证了内部审计人员和管理人员共同对风险进行控制。可以综合地控制现代企业的各方面,包括相关的社会效益,使现代企业对内部控制有一个更全面的了解。不仅要考虑发现的问题如何改进,促进各部门更有效地履行责任,还要使控制措施便于理解,使企业董事会更了解管理的情况以及风险。同时,也降低了审计成本,使内部审计达到更好的效果。2•对现代企业内部控制进行穿行测试审计。此项审计指利用模拟业务将被审计单位的有关数据和业务嵌入被审计单位的内部控制体系当中,进行业务的模拟运行,来获得测试结果,将测试结果与被审计单位的会计信息对比来获得审计证据。此种方法可以对内部控制体系本身的质量和功能进行审计,体系的好坏直接影响企业的抗风险能力,因此体系自身的审计亦是复杂的市场经济环境下必不可少的内容。在设计时可采用平行虚拟业务测试、非正常业务测试、平行运行测试等方法。3•评价内部控制对现代企业风险的监控能力。内部审计评价内部控制体系对现代企业风险管理的监控能力,是指内部审计部门评估企业内部控制体系的内容和运行以及一段时期的监控质量的一个过程。现代企业的内部控制体系可以通过两种方式对风险管理进行监控———全面监控和个别监控。持续监控和个别监控都是用来保证提高现代企业的风险管理水平的。监控还包括对现代企业风险管理的记录。对现代企业风险管理进行记录的程度根据现代企业的规模、经营的复杂性和其他因素的影响而有所不同。适当的记录通常会使风险管理的监控更为有效果和有效率。当现代企业管理者打算向外部利害方提供关于现代企业风险管理效率的报告时,他们应考虑现代企业内部控制体系的记录模式并保持有关的记录所具有的威慑力。4•评估现代企业内部控制体系对风险的反应能力。对风险的反应可以分为规避风险、减少风险、抵御风险和遭受风险四类。规避风险是指采取措施退出会给现代企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。抵御风险是指通过转嫁风险或与他人共担风险,降低风险发生的可能性或降低风险对现代企业的影响。遭受风险则是在风险来临时未能采取任何行动而被动承受可能发生的风险及其影响。内部审计人员可以在对上述四种风险来临或可能来临时,企业的反应和应对能力上,评估和评价现代企业业已建立的内部控制体系防范和应对现代企业风险的效力,即从现代企业总体的角度或组合风险的角度重新考量内部控制体系的功效。

转载以下资料供参考内部控制的一般方法通常包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。1、职责分工控制，要求根据企业目标和职能任务，按照科学、精简、高效的原则，合理设置职能部门和工作岗位，明确各部门、各岗位的职责权限，形成各司其职、各负其责、便于考核、相互制约的工作机制。企业在确定职责分工过程中，应当充分考虑不相容职务相互分离的制衡要求。不相容职务通常包括：授权批准、业务经办、会计记录、财产保管、稽核检查等。2、授权控制，要求企业根据职责分工，明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。企业内部各级管理人员必须在授权范围内行使职权和承担责任，业务经办人员必须在授权范围内办理业务。3、审核批准控制，要求企业各部门、各岗位按照规定的授权和程序，对相关经济业务和事项的真实性、合规性、合理性以及有关资料的完整性进行复核与审查，通过签署意见并签字或者盖章，作出批准、不予批准或者其他处理的决定。4、预算控制，要求企业加强预算编制、执行、分析、考核等各环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。5、财产保护控制，要求企业限制未经授权的人员对财产的直接接触和处置，采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施，确保财产的安全完整。6、会计系统控制，要求企业根据《中华人民共和国会计法》、《企业会计准则》和国家统一的会计制度，制定适合本企业的会计制度，明确会计凭证、会计账簿和财务会计报告以及相关信息披露的处理程序，规范会计政策的选用标准和审批程序，建立、完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能，确保企业财务会计报告真实、准确、完整。7、内部报告控制，要求企业建立和完善内部报告制度，明确相关信息的收集、分析、报告和处理程序，及时提供业务活动中的重要信息，全面反映经济活动情况，增强内部管理的时效性和针对性。内部报告方式通常包括：例行报告、实时报告、专题报告、综合报告等。8、经济活动分析控制，要求企业综合运用生产、购销、投资、财务等方面的信息，利用因素分析、对比分析、趋势分析等方法，定期对企业经营管理活动进行分析，发现存在的问题，查找原因，并提出改进意见和应对措施。9、绩效考评控制，要求企业科学设置业绩考核指标体系，对照预算指标、盈利水平、投资回报率、安全生产目标等业绩指标，对各部门和员工当期业绩进行考核和评价，兑现奖惩，强化对各部门和员工的激励与约束。10、信息技术控制，要求企业结合实际情况和计算机信息技术应用程度，建立与本企业经营管理业务相适应的信息化控制流程，提高业务处理效率，减少和消除人为操纵因素，同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全、有效运行。11、与财务报告相关的内部控制，内部控制被定义为一个流程，该流程由公司的首席执行官和财务总监或类似人员设计并监督其运行，并由公司董事会、管理层和其他相关人员实行；从而对财务报告的可靠性以及对外披露的财务报告的编制是否符合公认会计准则提供合理保证。这一流程包括如下政策和程序：·公司的相关记录在合理的程度上正确和公允的反映了公司对交易的记录和对资产的处置。 　　·公司对相关交易的记录能够为公司按照公认会计准则准备财务报告提供合理的保证，以及公司的收入和支出都经过了公司管理层和董事的授权批准。 　　·能够防止和及时发现对财务报告产生重大影响的非法行为，这种行为包括对公司资产不合法的占有、利用和处置。

内部控制与企业全面风险管理的区别和联系　　区别在于：　　1. 两者目标不同。风险管理的目标相较于内部控制增加了一个战略目标，战略目标的制定是企业治理层面需要参与解决的问题，这表明风险管理属于治理层次，而内部控制属于企业管理层次；此外，风险管理把财务目标扩展为报告目标，不仅包括了财务报告目标，还包括了非财务类报告，弥补了内控目标体系重财务信息轻其他信息的缺陷；　　2. 两者组成要素不同。相比起内控的五大要素，风险管理增加了“目标设定、事件识别和风险应对”三个因素，丰富了风险管理内容，体现了风险组合观；　　3. 两者的范畴不一致。内控仅仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标，而全面风险管理则贯穿于管理过程的各个方面，尤其是在事前制定目标时就充分考虑了风险的存在；　　4. 两者的活动不一致。内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，而风险管理包含了风险管理目标和战略的设定、风险评估方法的选择等一系列活动；　　5. 两者对风险的定义不同。全面风险管理框架将风险明确定义为“对企业财务目标产生的负面影响事件发生的可能性”，将正面影响视作机会，将风险和机会区分开来，而内部控制框架中，尚未区分风险和机会；　　6. 两者对风险对策不一致，全面风险框架引入风险偏好和风险容忍度。在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有提出的。　　它们之间的联系有：　　1. 内控或风险管理的根本作用都是维护投资者利益、保全企业资产，并创造新的价值。从理论上说，企业的内部控制是企业制度的组成部分，风险管理则是在新的技术与市场条件下对内控的自然扩展，在内控的基础上增加了一个目标即战略目标和三个要素：目标设定、事件识别、风险应对；　　2. 内控是企业风险管理的必要环节，在全面风险管理中扮演关键角色，内控应被管理者看作是范围更广的风险管理的必要组成部分，对于企业所面临的运营风险，内控是必要的。　　内部控制是由主体的董事会、管理层和其他员工实施的，旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程。　　全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。　　内部控制与风险管理关系十分密切，内部控制和企业全面风险管理既有横向交叉又有纵向融合，风险管理是企业为了适应时代的变化，以内部控制为架构演变成另一种以达到某种目标的过程和方法。二者在要素、目标、含义等方面有很多联系和相同的地方，既是独立又有关联的体系，是针对企业所不同的需求而演变成的两种过程与目标。

　　内部控制与风险管理的定义。所谓的内部控制所指的就是企业的董事会、经理层以及全体职员所共同实施的，目的是要实现企业的经营目标，要保护企业资产的完整性，要保证企业会计信息资料的正确性，要保证企业经营活动的经济性、效率性以及效果性的一系列的自我调整、自我约束、自我评价以及自我控制的方法和措施。对于企业的内部控制来讲，它主要包含了五个彼此之间相互联系的要素，这五个要素分别是控制环境、风险评估、控制活动、信息与沟通以及监控。　　风险管理的定义。企业的风险管理指的是一个受到企业董事会、管理当局以及其他职工影响的，并且可能会对企业产生影响的事项，它为企业目标的实现提供保障。　　内部控制与风险管理之间的关系。企业内部控制与风险管理两者之间具有一致性，主要表现在三个方面：一是企业内部控制以及风险管理的实现都需要各方的参与;二是两者都贯穿于企业的整个日常经营管理活动当中;三是两者的最终目的都是要实现企业的价值。具体来看，企业的内部控制是包含在企业的风险管理当中的，属于风险管理的一个部分。企业的风险管理和企业的内部控制相比较起来，它是站在更高的战略层次上来分析问题的，它比内部控制更加细化，能够更好的解决企业经营活动当中所出现的各种各样的风险问题。内部控制所发挥的主要作用则是体现在会计控制以及审计活动方面。随着内部控制以及风险管理的不断健全和完善，二者之间必定会相互交叉，且相互融合，最终相互统一。强化职工业务素质培训，提升其业务能力。随着现代企业制度的建立及完善，企业面临着十分严峻的挑战，在这样的背景之下，企业现有人员的业务能力以及法制观念已远远不能满足企业发展的需要。所以，企业要提升员工的风险意识和职业技能。为此，企业就要针对自身的人员现状，采取多种形式的培训，使企业全体员工的职业意识以和职业技能不断提高，使其和社会经济发展的需求相适应，进而为企业创造更高的经济效益。　　强化风险管理在企业内控中的地位。随着我国各项相关制度以及规范的不断健全和完善，企业的内部控制所欠缺的不再是相关的制度及政策，而是欠缺能够让相关制度得到有效执行的风险流程。对于企业的工作流程来讲，其最根本的任务就是通过把技术和人有效运作于企业当中，促进企业技术性以及社会性的整体绩效的发挥。那么，企业在制定具体工作流程的时候，可以通过把企业的制度与企业制度的执行人之间进行有效的衔接这种方式，使工作的价值得到增加，使工作的效率得到提升，从而减少企业的风险。　　重视企业内控监督机构的建设。企业的内部控制得以有效的实施，离不开有效的监督措施。对于企业的监督工作来讲，必须要把风险作为导向，把对重大风险的控制作为评估的重点。具体而言，健全和完善企业内部审计监督机构，应该做好以下几方面：一要进一步把企业内部审计的独立性加以增强，保证审计的客观公正性;二要把企业的审计内容从财务审计逐渐转变成为管理审计，从而使企业的管理流程以及内控水平得到提升;三要把事前审计和始终审计作为审计的重点，实现对整个过程的有效审计，真正做好风险防范。　　完善风险评估体系并建立起动态的评估机制。在很多情况之下，控制和风险总是紧密联系在一起的，而实行内部控制的最主要依据就是风险评估，所以要本着定性和定量相结合的原则、成本收益的原则、全面性的原则以及有效反馈的原则，不断把企业的风险评估体系加以完善。企业在实行风险评估的时候，主要是对筹资风险、投资风险、信用风险以及合同风险等等进行评估和报告。---希望能帮助到您---千万别忘记点击 采纳答案和顶一下哦----------

1.要创造良好的 控制环境，注重建立具有风险意识的 企业文化。2.要有强烈的 风险意识和 内控责任。风险管理的起点是 风险识别，是进行有效风险管理的基础和关键。3.要充分利用内控规范并使其得到不断地优化。

内部控制与风险管理的定义。所谓的内部控制所指的就是企业的董事会、经理层以及全体职员所共同实施的，目的是要实现企业的经营目标，要保护企业资产的完整性，要保证企业会计信息资料的正确性，要保证企业经营活动的经济性、效率性以及效果性的一系列的自我调整、自我约束、自我评价以及自我控制的方法和措施。对于企业的内部控制来讲，它主要包含了五个彼此之间相互联系的要素，这五个要素分别是控制环境、风险评估、控制活动、信息与沟通以及监控。风险管理的定义。企业的风险管理指的是一个受到企业董事会、管理当局以及其他职工影响的，并且可能会对企业产生影响的事项，它为企业目标的实现提供保障。内部控制与风险管理之间的关系。企业内部控制与风险管理两者之间具有一致性，主要表现在三个方面：一是企业内部控制以及风险管理的实现都需要各方的参与;二是两者都贯穿于企业的整个日常经营管理活动当中;三是两者的最终目的都是要实现企业的价值。具体来看，企业的内部控制是包含在企业的风险管理当中的，属于风险管理的一个部分。企业的风险管理和企业的内部控制相比较起来，它是站在更高的战略层次上来分析问题的，它比内部控制更加细化，能够更好的解决企业经营活动当中所出现的各种各样的风险问题。内部控制所发挥的主要作用则是体现在会计控制以及审计活动方面。随着内部控制以及风险管理的不断健全和完善，二者之间必定会相互交叉，且相互融合，最终相互统一。强化职工业务素质培训，提升其业务能力。随着现代企业制度的建立及完善，企业面临着十分严峻的挑战，在这样的背景之下，企业现有人员的业务能力以及法制观念已远远不能满足企业发展的需要。所以，企业要提升员工的风险意识和职业技能。为此，企业就要针对自身的人员现状，采取多种形式的培训，使企业全体员工的职业意识以和职业技能不断提高，使其和社会经济发展的需求相适应，进而为企业创造更高的经济效益。强化风险管理在企业内控中的地位。随着我国各项相关制度以及规范的不断健全和完善，企业的内部控制所欠缺的不再是相关的制度及政策，而是欠缺能够让相关制度得到有效执行的风险流程。对于企业的工作流程来讲，其最根本的任务就是通过把技术和人有效运作于企业当中，促进企业技术性以及社会性的整体绩效的发挥。那么，企业在制定具体工作流程的时候，可以通过把企业的制度与企业制度的执行人之间进行有效的衔接这种方式，使工作的价值得到增加，使工作的效率得到提升，从而减少企业的风险。重视企业内控监督机构的建设。企业的内部控制得以有效的实施，离不开有效的监督措施。对于企业的监督工作来讲，必须要把风险作为导向，把对重大风险的控制作为评估的重点。具体而言，健全和完善企业内部审计监督机构，应该做好以下几方面：一要进一步把企业内部审计的独立性加以增强，保证审计的客观公正性;二要把企业的审计内容从财务审计逐渐转变成为管理审计，从而使企业的管理流程以及内控水平得到提升;三要把事前审计和始终审计作为审计的重点，实现对整个过程的有效审计，真正做好风险防范。完善风险评估体系并建立起动态的评估机制。在很多情况之下，控制和风险总是紧密联系在一起的，而实行内部控制的最主要依据就是风险评估，所以要本着定性和定量相结合的原则、成本收益的原则、全面性的原则以及有效反馈的原则，不断把企业的风险评估体系加以完善。企业在实行风险评估的时候，主要是对筹资风险、投资风险、信用风险以及合同风险等等进行评估和报告。

一、强化内部控制和操作风险管理理念，建立良好的风险控制企业文化氛围在强化对内控和操作风险理念的宣传与培训工作的同时，项目小组对原有绩效考核和薪酬体系进行了重新设计，将包括操作风险管理在内的全面风险管理内容融入其中，使得内部控制和风险管理不仅是对员工日常工作的要求，并且成为衡量部门绩效的成本因素，直接影响部门的经营效益考核结果，进而形成管理者和员工风险管理的激励机制。通过事前培训，事中监督和事后考核，已经将银行内部控制和风险管理理念深入贯彻到每名员工，相信通过一段时间的实施将形成良好的内部控制和风险管理企业文化氛围。 二、进一步完善风险控制的组织结构和岗责体系完善的组织架构是保证内部控制和风险管理的组织保障，而科学的岗位职责设计能够确保每名员工在内控和风险管理工作中权、责、利上的明确分工，进而通过合理的绩效考核和激励机制设计保证分工的有力执行。项目小组结合内控和风险管理的科学理念和最佳实践对自身的组织架构进行了改造，对岗位职责进行了重新设计。三、建立科学的内部控制、风险管理制度与流程体系科学有效的管理制度和流程体系是确保内部控制和风险管理质量的基本保证。锦州市商业银行通过完善各部门与业务的内部控制制度以及优化风险控制流程来降低和防范操作风险，将系统、标准的管理方法运用到各类业务的操作风险管理当中，全面梳理各项业务流程，建立有利于全面风险管理的内部控制体系。

每个企业有不同的发展目标，在实现目标的过程中有很多不确定性因素，这种不确定性就是风险。首先，要辨识影响企业目标达成的种种风险;其次，对种种风险进行评估，并根据企业的风险承受度，采取应对措施，应对措施包括有风险承受(就是不采取措施控制此风险)、风险分担(将风险分担给其他第三方)、风险转移(将风险转移给第三方)、风险规避(就是不从事这业务了)、风险控制(采取控制措施去降低风险，降低到企业可承受的范围内)、风险对冲，等等。再次，企业决定要对此风险进行管理，就采取内部控制的方式进行，也就是内部控制是实现风险控制的落地手段。最后，还要对种种风险进行监控。好了，针对题目回答。风险管理，就是包括了风险辨识、评估、应对、监控等等一系列的动作。风险控制，就是风险应对策略的其中一种，就是为了降低风险到企业风险承受范围内。内部控制，就是实现风险控制的落地手段，当然不仅仅包括流程和制度的规范，也包括了职责分离、业务授权、分权等方式。

内部控制主要指的是财务风险。而风险管理范围广的多。按照风险的来源不同，可以分为外部风险和内部风险。（1）企业外部风险包括：顾客风险、竞争对手风险、政治环境风险、法律环境风险、经济环境风险等；（2）企业内部风险包括：产品风险、营销风险、财务风险、人事风险、组织与管理风险等。内部控制，是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。应用于会计领域最广泛的制度。风险管理是指如何在项目或者企业一个肯定有风险的环境里把风险减至最低的管理过程。风险管理[1] 当中包括了对风险的量度、评估和应变策略。

企业内部控制与风险管理分析 　　企业内部控制在定义和内涵上，属于全面风险管理系统的子系统，涵盖在全面风险管理的范畴内，隶属于其中的一个重要部分。 　　 【摘要】 随着近些年经济全球化的进一步加剧，使得世界各国有着更为紧密的经济联系。我国企业也由此面临着很大的机遇与挑战。本文通过对我国企业风险管理与内部控制内涵进行梳理，系统性阐述了企业风险管理和内部控制之间的关系，同时指出企业风险管理和内部控制中的问题，最后提出相应的发展策略及建议，以为我国企业持续有效平稳发展提出一些参考建议。 　　 【关键词】 风险管理 内部控制 问题 对策 　　一、企业风险管理和内部控制的内涵 　　(一)风险管理 　　在企业经营发展过程中，那么会存在或多或少的风险，通过有效方式对企业风险进行正确辨识以及科学预防，降低或者预防风险危害企业，此行为就是企业风险管理。对风险危机进行预测、分析、权衡以及处理均属于风险管理。 　　(二)内部控制 　　所谓企业内部控制，其实就是以有效监管企业为目的，以企业管理制度为前提，对企业风险进行防范，最终实现企业经济效益的一种监控手段。从根本上说，企业内部控制主要包括经营活动控制与内部环境控制。合理科学评估企业内部风险，加强企业内部人员与产业信息的交流与沟通，采用激励的方式实现企业内部系统化管理，此为企业内部控制主要工作内容。 　　二、企业风险管理和内部控制之间的作用关系 　　从某种程度上而言，企业内部控制基本上都是在企业管理职能与管理体制中表现出来，企业风险管理依照其内部控制情况，将企业具体发展目标制定出来，企业内部控制系统则主要评价与分析风险管理系统目标。企业经营风险是企业内部控制所关心的主要问题，企业内部控制体系只有不断健全与完善，菜可以及时处理好企业运行过程中的风险问题。在企业内部控制中，风险评估是其重要环节，可依照评估结果对企业内部控制措施予以制定。实施企业内部控制必须以企业风险管理为前提与基础，企业内部控制以企业风险评估为灵魂与核心。 　　三、企业风险管理和内部控制中所存在的问题 　　(一)企业风险管理和内部控制相脱节 　　当代经济市场中，传统的企业内部管理已无法与不断变化的企业风险状况相适应。一些企业单位对传统内部控制模式进行沿用，造成内部控制和风险管理出现脱节的情况，在很大程度上对企业内部控制效果造成削弱，因为企业风险管理和内部控制相脱节，导致很多企业内部控制系统受限，也无法有效实施风险管理。 　　(二)企业薄弱的风险管理意识与落后的管理模式 　　现阶段，我国一些企业并未树立良好的风险管理意识或者风险管理模式比较落后，很多企业内部控制不能全面了解企业风险，以及企业领导低下的决策水平等等，这些都是导致企业管理水平降低的主要因素，不能对企业风险进行准确识别，而且落后的风险管理不能使企业有效实施内部控制，对企业发展与进步造成严重影响。 　　(三)不能对企业风险管理与内部控制之间的关系进行准确把握，对企业健康发展造成影响 　　在我国，一些企业领导没有对企业内部控制与风险管理之间的关系进行准确把握，或者因为不能做好两者权衡工作，往往存在顾此失彼的状况，对企业健康发展造成严重阻碍，而且错误的企业内部控制同样会影响企业风险管理制度的"不断完善。 　　四、企业内部控制与风险管理对策分析 　　(一)不断提高企业领导的风险管理意识和内部控制意识 　　在实施企业风险管理与内部控制中，企业领导是其重要参与者，所以不断提高企业领导的风险管理意识和内部控制意识对企业内部风险管理与内部控制体系的建立非常有利。为使企业达到良好的经济效益，需要进一步加大对企业领导进行内部控制与风险管理教育，不断培养具有经营管理实力的现代化企业管理人才，以此推动企业风险管理与内部控制体系的健全与完善。 　　(二)进一步优化企业内部控制系统 　　就所有发展中企业而言，企业内部控制体系的健全与完善，企业风险管理机制的构建是企业在激烈市场竞争中求得成功的必然选择。所以在企业风险管理领域中，必须努力将企业风险预警工作做到位，同时做好企业员工管理工作，积极培养企业员工在工作过程中的风险意识。企业员工与管理者团结合作，共担企业风险。此外，根据企业管理体系的完善性，在企业内部构建与企业发展相符合的相关内控制度，确保企业内部控制系统的全与完善，以此为企业内部控制目标的实现提供理论保障。 　　(三)注重企业内部控制中风险因素的作用 　　具体运营管理中，企业内部控制与风险管理会根据企业发展变化而不断作出调整，并非亘古不变的。制定企业战略决策时，起决定作用的是风险管理，所以企业内部控制必须进行适当调整，以为风险管理服务。 　　五、结语 　　随着近些年经济全球化的进一步加剧，使得世界各国有着更为紧密的经济联系。我国企业也由此面临着很大的机遇与挑战。对我国企业风险管理与内部控制内涵进行梳理，系统性阐述了企业风险管理和内部控制之间的关系，同时指出企业风险管理和内部控制中的问题，为企业有效实施风险管理和内部控制提供了理论基础。为促进我国企业文化发展与进步，我们必须积极、有效做好企业经营过程中的风险管理和内部控制工作。现阶段我国具有不够完善的企业体系建设，需要不断培养优秀管理人才与发挥创造力，以此构建现代化企业风险管理与内部控制体系，不断适应中国现代企业发展需求。 ;

风险管理管理的是不确定性，风险控制是风险管理的一种手段或过程，风险管理的目标可以是0风险，即对不确定性的0容忍，也可以通过控制手段实现（但有点难）。不过，一般而言风险和收益是正相关的，有风险才有收益，所以一般不会，也很难消除风险，所以往往提到风险控制，管控到可容忍的程度即可。内部控制，一般是通过制定规章制度来规范行为或防范风险，通常不涉及到具体的方法与操作，相对而言是具有一定高度且宏观的。如果要把三个概念放在一起比较的话，个人认为内部控制>风险管理>风险控制。

风险管理是个大概念，而内部控制相对风险管理来说就更加具体和有针对性了。x0dx0a怎么理解呢？我举一个例子x0dx0a首先了解一下固有风险和剩余风险的概念。前者是当你设定好一个目标后还未开展任何风控活动就面临的所有潜在风险。剩余风险就是当你设定好目标后，认识了潜在风险，那么通过一些列的控制活动来降低、规避、转嫁这些潜在风险后还有未能被控制的潜在风险。x0dx0a其中这个一些列的控制活动中对自身（企业内部）进行控制的称为内部控制。因为外部风险是不可控的，只能预测。x0dx0a在ISO31000的框架中，Internal Control 就是 Risk Management中的第四个关键点。x0dx0ax0dx0a我想你这么理解可以方便一些。

1、做好内部控制是做好风险管理的前提。企业应严格对内部各项程序进行审查，提供日常业务流程、运营、内勤的规范性，实现各个部门从上到下的的防范，到所有人员的防范。2、强化风险管理责任。企业各级机构通过确定风险管理环节，分解、落实机构内各部门、各岗位管理职责，并对各单位、各部门的控制状况进行检查、评价和考核，强化风险管理责任，提高全员风险防范的意识和能力，从而全面有效的控制经营风险，落实岗位责任。3、创新推动利用内部控制工作本身要求的评价、完善机制，为企业持续创新机制、战略调整和自我提升的输送活力，促进企业战略目标的达成。4、进行资源整合利用内部控制工作跨部门的特征，整合风险和控制，优化流程和提高效率，帮助企业完成整合数据和信息质量控制要求。5、系统日常监督作为企业决策、执行和监督三权分立体系中的核心监督权，联合发挥大监督体系效能，推动深入到岗位的自我评价体系和提升专精领域的控制水平，确保各种监督手段的有效落地。参考资料来源：人民网-中国企业步入“内控2.0时代”

　　一、企业内部控制理论的演变与发展（了解） 　　（一）内部“牵制”阶段20世纪40年代之前 　　起步阶段——行为人层面的控制（点） 　　目的：查错防弊（上下牵制、左右制约） 　　手段：职务分离、账目核对 　　控制对象：钱、账、物等会计事项 　　【意大利】复式记账法13世纪起源 　　【基本设想】两个或两个以上的人或部门无意识地犯同样错误要比单独一个人或部门犯错误的机会小。 　　两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。 　　（二）内部控制制度阶段（20世纪50年代至70年代） 　　进化阶段（概念的形成、解释、修改） 　　——组织层面的控制（面） 　　内部控制开始区分为内部会计控制和内部管理控制两方面，主要通过形成和推行一整套内部控制制度（方法和程序）来实施控制。 　　美国注册会计师协会审计程序委员会： 　　1958年，《第29号审计程序公告》（SAP29） 　　——区分两方面控制 　　1963年，《第33号审计程序公告》（SAP33） 　　——注册会计师主要针对内部会计控制进行检查 　　1972年，《第54号审计程序公告》（SAP54） 　　——对内部会计控制进行了重新定义 　　（三）内部控制结构阶段（20世纪80年代至90年代初开始） 　　提高阶段——企业层面的控制 　　1988年4月，美国注册会计师协会发布《审计准则公告第55号（SASNo.55）》，重点表现在： 　　一、正式将内部控制环境纳入内部控制范畴； 　　二、不再区分内部会计控制和内部管理控制。 　　（四）内部控制整合框架阶段 　　演进阶段——基于企业风险控制 　　1992年9月，COSO发布《内部控制：整合框架》（IC） 　　【三项目标】：取得经营的效率和有效性；确保财务报告的可靠性；遵循适用的法律法规。 　　【五大要素】：控制环境、风险评估、控制活动、信息与沟通、监督。 　　COSO内部控制系统 　　一、强调风险评估在内部控制中的重要作用 　　二、强调信息与沟通是强化内部控制的重要途径 　　三、强调对内部控制系统本身的监控是内部控制发挥作用的关键环节 　　（五）全面风险管理阶段 　　提升阶段——基于企业全面风险管理 　　2004年，COSO发布《企业风险管理——整合框架》（ERM）。 　　风险管理整合框架认为，全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。 　　《企业风险管理——整合框架》（ERM）。 　　【目标】战略目标、经营目标、报告目标和合规目标。 　　【风险管理要素】内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督。 　　【企业的层级】包括主体层次、各分部、各业务单元及下属各子公司。 　　COSO内部控制系统 　　企业风险管理框架 　　与COSO内部控制整合框架相比，ERM整合框架具有下列6个方面的主要特点： 　　（1）内部控制涵盖在企业风险管理活动之中，是其不可分割的组成部分。 　　（2）拓展了所需实现目标的`内容。 　　首先，增加了战略目标。 　　其次，将财务报告扩展为企业编制的所有报告。 　　最后，引入风险偏好和风险容忍度的概念。 　　（3）引入风险组合观，从企业角度和业务单元两个角度以“组合”的方式考虑复合风险。 　　（4）更加强调风险评估在风险管理中的基础地位。 　　（5）扩展了控制环境的内涵，强调风险管理概念和董事会的独立性。 　　（6）扩展了信息与沟通要素，企业不仅要关注历史信息，还要关注现在和未来可能影响目标实现的各种事项的影响。 　　二、内部控制与风险管理的关系（了解） 　　（一）内部控制包含风险管理 　　（二）风险管理包含内部控制 　　（三）内部控制与风险管理是一对既互相联系又互相差别的概念

内部控制和风险管理有区别，主要表现在：1、内部控制和风险管理的目标不同　　①内部控制的目标在于提高企业的经营效率。　　②风险管理的目标就是要以最小的成本获取最大的安全保障。2、内部控制和风险管理的作用不同　　①内部控制作用在于保证会计信息的真实性和准确性、促进企业的有效经营等。　　②风险管理的作用在于维持企业生产经营的稳定、提高企业的经济效益。内部控制：　　内部控制，是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。风险管理：　　风险管理又名危机管理，是指生产过程中，风险管理部门对可能遇到的各种风险因素进行识别、分析、评估，以最低成本实现最大的安全保障的过程。

1.各自实质的理解：x0dx0a1.1 战略管理为达到内部控制中实现企业发展战略目标的一种管理控制手段或是实现战略目标的控制方法；x0dx0a1.2 风险管理为实现企业整体内部控制目标，进而对影响目标实现的风险进行风险识别、风险分析、风险应对的一种风险评估机制；属于内部控制体系中的风险评估要素；x0dx0a1.3 内部控制实质为一种由全体员工为合理保证实现企业目标的一系列控制活动。详见《企业内部控制规范》。x0dx0a x0dx0a2.各自关系x0dx0a2.1战略管理，战略管理的目标实为实现战略目标，战略目标作为内部控制的五大控制目标之一，涉及企业长远利益的实现问题，因此战略管理其实是内部控制体系中为实现战略目标而执行的一系列控制活动；x0dx0a2.2风险管理，风险管理的目标实为评估影响目标实现的风险并提出风险管理策略；内部控制体系中的一大要素即是“风险评估”，其实为达到内部控制目标的风险评估机制，如目标设定、风险识别、风险分析、风险应对。x0dx0a2.2.1 目标设定x0dx0a2.2.2 风险识别 x0dx0a2.2.3 风险分析 （风险发生的概率、风险发生后的影响程度）实为对风险属性的确定x0dx0a2.2.4 风险应对 （如风险规避、风险降低、风险转移，风险承受）x0dx0a x0dx0a3.总结x0dx0a以前我国《内部控制基本规范》的提到的内部控制的定义及实质内容来看，战略管理、风险管理实为实现内部控制目标的一种有效控制活动和管理工具，从属于公司内部控制体系。如果你所指为CPa教材中的《公司战略与风险管理》一书，我想可能是作者从有利于读者理解的角度，从不同唯度来阐释现代企业管理的方法和理念。x0dx0a x0dx0a另外，财会〔2012〕3号 《关于印发企业内部控制规范体系实施中相关问题解释第1号的通知》对内部控制与风险管理的关系也进行了解释：x0dx0a x0dx0a4.如何协调好内部控制与风险管理的关系？x0dx0a 　　答：《企业内部控制基本规范》及其配套指引，充分吸收了全面风险管理的理念和方法，强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险，促进企业实现发展战略，风险管理的目标也是促进企业实现发展战略，二者都要求将风险控制在可承受范围之内。因此，内部控制与风险管理二者不是对立的，而是协调统一的整体。x0dx0a 　　在实际工作中，一些企业的内部控制和风险管理工作由不同机构负责。对此，企业可以对有关机构和业务进行整合，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将内部控制建设和风险管理工作有机结合起来，避免职能交叉、资源浪费、重复劳动，降低企业管理成本，提高工作效率和效果。x0dx0ax0dx0a供参考。

内部控制与企业风险管理之间的联系是十分紧密的。内部控制的实质是风险控制，风险管理是内部控制的主要内容，企业风险管理包容内部控制。但两者之间的关系并不是简单的相互关系，两者之间存在着相互依存的、不可分离的内在联系。内部控制与风险管理都是全员参与的过程，最终责任人都是管理者，且两者的实施主体、过程也是一致的。内部控制与风险管理的组成要素中，其中控制环境、风险评估、控制活动、信息与沟通以及监督这五个要素是重合的。内部控制与风险管理的区别核心区别就是风险管理是事前、基于未来的一种管理，具有不确定性，而内部控制是对当下和过去的检查，相对是明确的，比如检查公司制度设计是否完善，实际工作是否按制度设计去执行的，这些都是对过去事项的控制和检查。对风险管理和内控的要求是不一样的，内控是强制性的要求，如监管机构对上市公司的内部控制是有要求的，这是公司上市满足监管的标准。风险管理相当于公司的“道德品质”，没有强制性要求，但要比法律要求的标准更高，好比有的人道德水平高、有的道德水平低。

区别：（1）两者的范畴不一致。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标；而全面风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部控制。（2）两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。（3）两者对风险的定义不一致。在COSO委员会的全面风险管理框架中，把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”（将产生正面影响的事件视为机会），将风险与机会区分开来；而在，COSO委员会的内部控制框架中，没有区分风险和机会。（4）两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程。这些内容都是内部控制框架中没有的，也是其所不能做到的。联系：1）全面风险管理涵盖了内部控制。COSO2003年7月公布了全面风险管理框架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。从时间先后和内容上来看，全面风险管理是对内部控制的拓展和延伸。（2）内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。从国际国内发展趋势来看，随着内部控制或风险管理的不断完善和变得更加全面，它们之间必然相互交叉、融合，直至统一。内部控制国外较为经典的是 ASB 对内部控制的定义。1972 年，美国审计准则委员会(ASB)所做的《审计准则公告》，该公告循着《证券交易法》的路线进行研究和讨论，对内部控制提出了如下定义:"内部控制是在一定的环境下，单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标，而在单位内部实施的各种制约和调节的组织、计划、程序和方法。

　加强内部控制是贯彻《会计法》及提高企业管理水平、增强企业竞争力的客观要求。研究和运用内部控制的各种方法是建立和完善内部控制制度的一项极其重要的内容。　　一、组织规划控制　　组织规划是对企业组织机构设置、职务分工的合理性和有效性所进行的控制。企业组织机构有两个层面：一是法人的治理结构问题，涉及董事会、监事会、经理的设置及相关关系，二是管理部门设置及其关系，对财务管理来说，就是如何确定财务管理的广度和深度，由此产生集权管理和分级管理的组织模式。职务分工主要解决不相容职务分离。所谓不相容职务分离是指那些由一个人担任，即可能发生错误和弊端又可掩盖其错误和弊端的职务。企业内部主要不相容职务有：授权批准职务、业务经办职务、财产保管职务、会计记录职务和审核监督职务。这五种职务之间应实行如下分离：(1)授权批准职务与执行业务职务相分离。(2)业务经办职务与审核监督职务分离。(3)业务经办职务与会计记录职务分离。(4)财产保管职务与会计记录职务分离。(5)业务经办职务与财产保管职务相分离。　　要建立健全组织规划控制，目前必须解决两个问题： (1)设立管理控制机构。例如，目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益尝试。机构设置因单位的经营特点和经营规模而异，很难找到一个通用模式。比如设立价格委员会的企业大都是规模很大、采用集中采购方式且采购价格变动较大的企业，这些企业设立价格委员会能够有效加强采购环节的价格监督与控制。再比如，对于规模大、技术含量很高、高知人员云集、按劳取酬的企业，通过设立报酬委员会进行管理层持股及股票期权问题研究，能够提高报酬计划按劳取酬科学性、加强报酬计划执行中的透明度和监控力度。(2)推行职务不兼容制度，杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理为一人，董事会和总经理班子人员重叠。在上市公司中，这一问题虽有了较大的改变，但从公司制企业的总体上看，仍普遍存在。这种交叉任职的后果是董事会与总经理班子之间权责不清、制衡力度锐减。关键人大权独揽，一人具有几乎无所不管的控制权，且常常集控制权、执行权和监督权于一身，并有较大的任意性。交叉任职违背了内部控制的基本原则，必然带来权责含糊，易于造成办事程序由一个人操纵的现象出现。事实上，资金调拨、资产处置、对外投资等方面出现的问题重要原因之一在于交叉任职，董事会缺乏独立性。因此，建立内部控制框架首先要在组织机构设置和人员配备方面做到董事长和总经理分设、董事会和总经理班子分设，避免人员重叠。　　二、授权批准控制　　授权批准是指企业在处理经济业务时，必须经过授权批准以便进行控制，授权批准按其形式可分为一般授权和特殊授权。所谓一般授权是指对办理常规业务时权力、条件和责任的规定，一般授权时效性较长；而特殊授权是对办理例外业务时权力、条件和责任的规定，一般其时效性较短。不论采用哪一种授权批准方式，企业必须建立授权批准体系，其中包括：(1)授权批准的范围，通常企业的所有经营活动都应纳入其范围。(2)授权批准的层次，应根据经济活动的重要性和金额大小确定不同的授权批准层次，从而保证各管理层有权亦有责。(3)授权批准的责任，应当明确被授权者在履行权力时应对哪些方面负责，应避免责任不清，一旦出现问题又难咎其责的情况发生。(4)授权批准的程序，应规定每一类经济业务审批程序，以便按程序办理审批，以避免越级审批、违规审批的情况发生。单位内部的各级管理层必须在授权范围内行使相应职权，经办人员也必须在授权范围内办理经济业务。　　三、会计系统控制　　会计系统控制要求单位必须依据会计法和国家统一的会计制度等法规，制定适合本单位的会计制度、会计凭证、会计账簿和财务会计报告的处理程序，实行会计人员岗位责任制，建立严密的会计控制系统。会计系统控制主要包括：(1)建立健全内部会计管理规范和监督制度，且要充分体现权责明确、相互制约以及及时进行内部审计的要求。(2)统一会计政策，尽管国家制定了统一的会计制度，但其中某些会计政策是可选的。因此，从企业内部管理要求出发，必须统一执行所确定的会计政策，以便统一核算汇总分析和考核，企业会计政策可以专门文件的方式予以颁布。(3)统一会计科目，在实行国家统一一级会计科目的基础上，企业应根据经营管理需要，统一设定明细科目，特别是集团性公司更有必要统一下级公司的会计明细科目，以便统一口径，统一核算。(4)明确会计凭证、会计账簿和财务会计报告的处理程序与方法，遵循会计制度规定的各条核算原则，使会计真正实现为国家宏观经济调控和管理提供信息、为企业内部经营管理提供信息、为企业外部各有关方面了解其财务状况和经营成果提供信息的目标。　　四、全面预算控制　　全面预算是企业财务管理的重要组成部分，它是为达到企业既定目标编制的经营、资本、财务等年度收支总体计划，从某种意义上讲，全面预算也是对企业经济业务规划的授权批准。全面预算控制应抓好以下环节：(1)预算体系的建立，包括预算项目、标准和程序。(2)预算的编制和审定。(3)预算指标的下达及相关责任人或部门的落实。(4)预算执行的授权。(5)预算执行过程的监控。 (6)预算差异的分析与调整。(7)预算业绩的考核。全面预算是集体性工作，需要企业内各部门人员的相关合作。为此，有条件的企业应设立预算委员会，组织领导企业的全面预算工作，确保预算的执行。　　五、财产保全控制　　财产保全控制包括：(1)限制直接接触，限制直接接触主要指严格限制无关人员对实物资产的直接接触，只有经过授权批准的人员才能够接触资产。限制直接接触的对象包括限制接触现金、其他易变现资产与存货。(2)定期盘点，建立资产定期盘点制度，并保证盘点时资产的安全性。通常可采用先盘点实物，再核对账册来防止盘盈资产流失的可能性，对盘点中出现的差异应进行调查，对盘亏资产应分析原因、查明责任、完善相关制度。(3)记录保护，应对企业各种文件资料(尤其是资产、财务、会计等资料)妥善保管，避免记录受损、被盗、被毁的可能。对某些重要资料应留有后备记录，以便在遭受意外损失或毁坏时重新恢复，这在当前计算机处理条件下尤为重要。(4)财产保险，通过对资产投保(如火灾险、盗窃险、责任险或一切险)增加实物受损补偿机会，从而保护实物的安全。 (5)财产记录监控，对企业要建立资产个体档案，资产增减变动应及时全面予以记录。加强财产所有权证的管理，改革现有低值易耗品等核销模式，减少备查簿的形式，使其价值纳入财务报表体系内，从而保证账实的一致性。　　六、人力资源控制　　对于作为经济运行的微观基础的企业而言，人力资源要素的数量和质量状况，人力资源所具有的忠诚、向心力和创造力，是企业兴旺发达的活力和强大推动力所在。因此，如何充分调动企业人力资源的积极性、主动性、创造性，发挥人力资源的潜能，已成为企业管理的中心任务。人力资源控制应包括：(1)建立严格的招聘程序，保证应聘人员符合招聘要求。(2)制定员工工作规范，用以引导考核员工行为。(3)定期对员工进行培训，帮助其提高业务素质，更好地完成规定的任务。(4)加强和考核奖惩力度，应定期对职工业绩进行考核，奖惩分明。(5)对重要岗位员工(如销售、采购、出纳)应建立职业信用保险机制，如签订信用承诺书，保荐人推荐或办理商业信用保险。(6)工作岗位轮换，可以定期或不定期进行工作岗位轮换，通过轮换及时发现存在的错弊情况。同时也可以挖掘职工的潜在能力。(7)提高工资与福利待遇，加强员工之间的沟通，增强凝聚力。　　七、风险防范控制　　企业在市场经济环境中，不可避免会遇到各种风险。风险控制要求单位树立风险意识，针对各个风险控制点，建立有效的风险管理系统，通过风险预警、风险识别、风险评估、风险报告等措施，对财务风险和经营风险进行全面防范和控制。企业风险评估主要内容有：(1)筹资风险评估，如企业财务结构的确定、筹资结构的安排、筹资币种金额及期限的制定、筹资成本的估算和筹资的偿还计划等都应事先评估、事中监督、事后考核。(2)投资风险评估，企业对各种债权投资和股权投资都要作可行性研究并根据项目和金额大小确定审批权限，对投资过程中可能出现的负面因素应制定应对预案。(3)信用风险评估，企业应制定客户信用评估指标体系，确定信用授予标准，规定客户信用审批程序，进行信用实施中的实时跟踪。信用活动规模大的企业，可建立独立信用部门，管理信用活动、控制信用风险。(4)合同风险评估，企业就建立合同起草、审批、签订、履行监督和违约时采取应对措施的控制科学试验，必要时可聘请律师参与。风险防范控制是企业一项基础性和经常性的工作，企业必要时可设置风险评估部门或岗位，专门负责有关风险的识别、规避和控制。　　八、内部报告控制　　为满足企业内部管理的时效性和针对性，企业应当建立内部管理报告体系，全面反映经济活动，及时提供业务活动中的重要信息。内部报告体系的建立应体现：反映部门经管责任，符合例外管理的要求，报告形式和内容简明易懂，并要统筹规划，避免重复。内部报告要根据管理层次设计报告频率和内容详简。通常，高层管理者报告时间间隔时间长，内容从重、从简；反之，报告时间间隔短，内容从全、从详。常用的内部报告有：(1)资金分析报告，包括资金日报、借还款进度表、贷款担保抵押表、银行账户及印鉴管理表等。(2)经营分析报告。(3)费用分析报告。(4)资产分析报告。(5)投资分析报告。(6)财务分析报告等。　　九、管理信息系统控制　　管理信息系统控制包括两方面的内容，一方面是要加强对电子信息系统本身的控制。随着电子信息技术的发展，企业利用计算机从事经营管理方式手段越来越普遍，除了会计电算化和电子商务的发展外，企业的生产经营与购销储运都离不开计算机。为此必须加强对电子信息系统的控制，包括：系统组织和管理控制、系统开发和维护控制、文件资料控制、系统设备、数据、程序、网络安全的控制以及日常应用的控制。另一方面，要运用电子信息技术手段建立控制系统，减少和消除内部人为控制的影响，确保内部控制的有效实施。　　十、内部审计控制　　内部审计控制是内部控制的一种特殊形式，它是一个企业内部经济活动和管理制度是否合规、合理和有效的独立评价机构，在某种意义上讲是对其他内部控制的再控制。内部审计内容十分广泛，按其目的可分为财务审计、经营审计和管理审计。内部审计在企业应保持相对独立性，应独立于其他经营管理部门，最好受董事会或下属的审计委员会领导。　　总之，不管采用何种内部控制方法，不管如何建立公司治理结构，都应确立董事会在内部控制系统中的核心地位。从我国《公司法》规定的董事会、股东大会、总经理之间的权责划分看，董事会在公司管理中居于核心地位。董事会应该对公司内部控制的建立、完善和有效运行负责。原因在于：(1)对于董事会而言，建立内部控制系统是为了通过不丧失控制的授权来保证公司有效运行、完成公司的目标，(2)内部控制是董事会抑制管理人员在获取短期盈利机会中的机会主义倾向，保证法律、公司政策及董事会决议切实贯彻实施的手段；(3)内部控制以及涉及内部控制的信息流动构成解决信息不对称、保证会计信息真实可行的重要手段，而确保信息质量是董事会不可推卸的责任。

从内部控制评价本身以及目前的发展情况来看，主要存在详细评价法和风险基础评价法两种方法。详细评价法在《企业内部控制——整合框架》中，COSO指出，确定某一内部控制系统是否有效是一种在评估五个要素是否存在以及是否有效发挥作用基础上的主观判断，这些要素也是有效内部控制的标准。COSO还指出，认定一个主体的企业风险管理是否“有效”，是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断，构成要素也是判定企业风险管理有效性的标准。在美国证券交易委员会2003年6月通过的实施SOX法案404节的规则（SEC，2003）以及后来发布的管理层评价指南中，都强调内部控制评价的程序必须足以既能评价财务报告内部控制的设计，又能测试运行的有效性。因此，遵循这个思路，很多企业和事务所都曾经采用过详细评价法。这种方法的基本思路是：以内部控制框架或标准为参照物，根据内部控制框架的构成要素是否存在评价内部控制的设计有效性，测试内部控制的运行有效性，最后综合设计和运行的评价对内部控制的有效性做出总体评价，评估内部控制目标实现的风险，判断是否存在重大漏洞（materialweaknesses，MW），确定内部控制是否有效。风险基础评价法企业内部控制的另一种思路和方法不是从控制到风险，而是从风险到控制，即从内部控制相关目标实现的风险到内部控制。首先，要评估相关目标实现的风险；其次，识别和确定企业充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；第三，识别和确定内部控制运行有效性的证据，评价现有的控制是否得到了有效的运行；最后，对控制缺陷进行评估，判定是否构成实质性漏洞，确定内部控制是否有效。对于不同的目标来说，目标风险的含义、内部控制重大漏洞的含义是不相同的，在评价每一类目标时都需要做具体设定。《企业内部控制评价指引》第十五条规定，内部控制评价工作组对被评价单位进行现场测试时，可以单独或者综合运用个别访问、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。1.个别访问法个别访问法主要用于了解公司内部控制的现状，在企业层面评价及业务层面评价的了解阶段经常使用。访问前应根据内部控制评价需求形成访谈提纲，撰写访问纪要，记录访问的内容。为了保证访谈结果的真实性，应尽量访谈不同岗位的人员以获得更可靠的证据。如分别访问人力资源部主管和基层员工，公司是否建立了员工培训长效机制，培训是否能满足员工和业务岗位需要？2.调查问卷法调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围，包括企业各个层级员工，应注意事先保密性，题目尽量简单易答（如答案只需为“是”、“否”、“有”、“没有”等等）。比如你对企业的核心价值观是否认同？你对企业未来的发展是否有信心？3．穿行测试法穿行测试法是指在内部控制流程中任意选取一笔交易作为样本，追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程，即该流程从起点到终点的全过程，以此了解控制措施设计的有效性，并识别出关键控制点。如针对销售交易，选取一批订单，追踪从订单处理一－核准信用状况及赊销条款一－填写订单并准备发货一－编制货运单据一－订单运送/递送追踪至客户或由客户提货－一开具销售发票一－复核发票的准确性并邮寄/送至客户一－生成销售明细账一－汇总销售明细账，并过账至总账和应收账款明细账等交易的整个流程，考虑之前对相关控制的了解是否正确和完整，并确定相关控制是否得到执行。4．抽样法抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本；其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。使用抽样法时首先要确定样本库的完整性，即样本库应包含符合控制测试的所有样本；其次要确定所抽取样本的充分性，即样本的数量应当能检验所测试的控制点的有效性；最后要确定所抽取样本的适当性，即获取的证据应当与所测试控制点的设计和运行相关，并能可靠地反映控制的实际运行情况。5.实地查验法实地查验法主要针对业务层面控制，它通过使用统一的测试工作表，与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。6.比较分析法比较分析法是指通过数据分析，识别评价关注点的方法。数据分析可以是与历史数据、行业（公司）标准数据或行业最优数据等进行比较。比如针对具体客户的应收账款周转率进行横向或纵向比较，分析存在异常的应收客户款，进而对这些客户的赊销管理控制进行检查。7．专题讨论法专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析，既可以是控制评价的手段，也是形成缺陷整改方案的途径。对于同时涉及财务、业务、信息技术等方面的控制缺陷，往往需要由内部控制管理部门组织召开专题讨论会议，综合内部各机构、各方面的意见，研究确定缺陷整改方案。在实际评价工作中，以上这些方法可以配合使用。此外，还可以使用观察、检查、重新执行等方法，也可以利用信息系统开发检查方法，或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的，应在方法上注意与人工控制、发现性控制的区别。

转载以下资料供参考内部控制的一般方法通常包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。1、职责分工控制，要求根据企业目标和职能任务，按照科学、精简、高效的原则，合理设置职能部门和工作岗位，明确各部门、各岗位的职责权限，形成各司其职、各负其责、便于考核、相互制约的工作机制。企业在确定职责分工过程中，应当充分考虑不相容职务相互分离的制衡要求。不相容职务通常包括：授权批准、业务经办、会计记录、财产保管、稽核检查等。2、授权控制，要求企业根据职责分工，明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。企业内部各级管理人员必须在授权范围内行使职权和承担责任，业务经办人员必须在授权范围内办理业务。3、审核批准控制，要求企业各部门、各岗位按照规定的授权和程序，对相关经济业务和事项的真实性、合规性、合理性以及有关资料的完整性进行复核与审查，通过签署意见并签字或者盖章，作出批准、不予批准或者其他处理的决定。4、预算控制，要求企业加强预算编制、执行、分析、考核等各环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。5、财产保护控制，要求企业限制未经授权的人员对财产的直接接触和处置，采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施，确保财产的安全完整。6、会计系统控制，要求企业根据《中华人民共和国会计法》、《企业会计准则》和国家统一的会计制度，制定适合本企业的会计制度，明确会计凭证、会计账簿和财务会计报告以及相关信息披露的处理程序，规范会计政策的选用标准和审批程序，建立、完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能，确保企业财务会计报告真实、准确、完整。7、内部报告控制，要求企业建立和完善内部报告制度，明确相关信息的收集、分析、报告和处理程序，及时提供业务活动中的重要信息，全面反映经济活动情况，增强内部管理的时效性和针对性。内部报告方式通常包括：例行报告、实时报告、专题报告、综合报告等。8、经济活动分析控制，要求企业综合运用生产、购销、投资、财务等方面的信息，利用因素分析、对比分析、趋势分析等方法，定期对企业经营管理活动进行分析，发现存在的问题，查找原因，并提出改进意见和应对措施。9、绩效考评控制，要求企业科学设置业绩考核指标体系，对照预算指标、盈利水平、投资回报率、安全生产目标等业绩指标，对各部门和员工当期业绩进行考核和评价，兑现奖惩，强化对各部门和员工的激励与约束。10、信息技术控制，要求企业结合实际情况和计算机信息技术应用程度，建立与本企业经营管理业务相适应的信息化控制流程，提高业务处理效率，减少和消除人为操纵因素，同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全、有效运行。11、与财务报告相关的内部控制，内部控制被定义为一个流程，该流程由公司的首席执行官和财务总监或类似人员设计并监督其运行，并由公司董事会、管理层和其他相关人员实行；从而对财务报告的可靠性以及对外披露的财务报告的编制是否符合公认会计准则提供合理保证。这一流程包括如下政策和程序：·公司的相关记录在合理的程度上正确和公允的反映了公司对交易的记录和对资产的处置。 　　·公司对相关交易的记录能够为公司按照公认会计准则准备财务报告提供合理的保证，以及公司的收入和支出都经过了公司管理层和董事的授权批准。 　　·能够防止和及时发现对财务报告产生重大影响的非法行为，这种行为包括对公司资产不合法的占有、利用和处置。

问题一：企业内部控制审计指的是什么 较大型企业由股东大会或监事会授权成立的企业内部审计部门，对财务部门的账目进行内部审计，对股东大会和监事会负责。这是企业内部审计，相关审计报告不可作为对外的法律依据（但这里要锭具体的情况）。 问题二：内部控制审计与内部审计的区别 内部控制审计与内部审计两者的审计对象不一样，前者只对内部控制制度的制定和执行进行审计贰而后者不仅包括前者，还包括资产、负债、损益审计。 问题三：内部审计和内部控制审计是一个概念吗？求详解。 不是一回事 内部审计是企业内设的审计机构或审计人员，根据工作安排，对本企业内有关部门、单位或人员开展审计工作，工作内容包括财务审计、经济责任审计等等多种。 内部控制审计专指对企业的内部控制系统进行的专项审计，以确定罚业的内部控制系统的设计、运行是否合理、有效。审计人员可以是内部审计人员，但通常是外部审计即中介机构审计。 问题四：内部控制检查和内部控制审计有什么区别 方式上：内部控制检查可以任意的方式，简单、复杂的都可以。内部控制审计必须按照一些列标准的流程来进行，一般参考国际内部审计标准，IIA的那套。 输出结果上：内部控制检查可以任何形式的检查报告，可以说几个问题的或者任意形式的报告。内部控制审计，除了报告外，还必须有工作底稿、抽样标准、样本记录等一些列输出结果。 主体上：内部控制检查，一般都是管理层或者监管丹构来做的。内部控制审计，一般有内部审计部门、或者特定的外部审计来完成 问题五：企业内部控制审计主要包括哪些内容？ 企业内部控制审计，指审计机构和人员通过检查企业内部控制制度的创建健全情况和内部控制措施的执行情况，对企业内部控制体系是否完整、有效提出评价意见，并就进一步完善内部控制体系提出审计建议，以预警和预防企业经营管理风险的相关过程。主要包括以下内容：第一，内部控制环境，即评价以公司治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化在内的内部控制环境对企业经营管理活动的影响。第二，风险评估，即分析企业风险控制目的设置的合理性，评价开展风险评估范畴的全面性、风险评估结果的有效性和风险应对策略的科学性。第三，控制活动，即评价企业根据风险评估结果设置的内部控制措施的科学性和控制效果的有效性。第四，内部控制信息和沟通，即评价企业内部控制相关信息在收集、处理和传递程序的科学性，分析信息技术在内部控制信息和沟通中所发挥作用的情况，判断企业在反舞弊工作重点领域相关工作机制的有效性。第五，内部监督制度，即分析企业内部审计机构和其他内部机构在内部监督中的职责权限情况，判断企业实施内部监督的程序、方法和目的要求的科学性，评价内部控制监督制度的有效性。 问题六：内部控制审计五要素是什么 按美国的COSO委员会提出的《内部控制-整合框架》分为以下五要素： 1、控制环境 2、风险评估 3、控制活动 4、信息与沟通 5、监察 中国的《内控规范》借鉴了美国的COSO委员会提出的《内部控制-整合框架》，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列五个要素： 1、内部环境 2、风险评估 3、控制活动 4、信息与沟通 5、内部监督 问题七：内部控制审计的具体流程是怎么样的 1、制定内控审计计划，内审计划包括：审计范围、人员、时间、审计的流程是那些、需要哪个部门配合。 2、形成审计小组，分配审计任务，制定每个流程的内部控制审计方案。 、下发审计通知。 4、审计开始。 5、提出审计发现，小组讨论。 6、形成审计报告。报送批准。 7、分发经过批准的审计报告。 8、有问题的跟踪问题整改情况，并进行验证。 9、回访。 问题八：内部控制审计与内部控制评价的区别联系。 内部控制审计属于注册会计师外部评价，内部控制评价属于企业董事会自我评价，两者有着本质的区别。 首先，两者的责任主体不同。建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任；在实施审计工作的基础上对内部控制的有效性发表审计意见是注册会计师的责任。 其次，两者的评价目标不同。内部控制评价是企业董事会对各类内部控制目标实施的全面评价；内部控制审计是注册会计师侧重对财务报告内部控制目标实施的审计评价。 最后，两者的评价结论不同。企业董事会对内部控制整体有效性发表意见，并在内部控制评价报告中出具内部控制有效性结论；注册会计师仅对财务报告内部控制的有效性发表意见，对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。 虽然内部控制审计与内部控制评价具有上述区别，但两者往往依赖同样的证据、遵循类似的测试方法、使用同一基准日，因此也必然存在一些内在的联系。在内部控制审计过程中，注册会计师可以根据实际情况对企业内部控制评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用程度，从而相应减少本应由注册会计师执行的工作。 问题九：内部控制审计报告是什么意思 对公司内部控制制度、环境、控制等方面进行审计所得出的报告 问题十：企业内部控制审计指的是什么 较大型企业由股东大会或监事会授权成立的企业内部审计部门，对财务部门的账目进行内部审计，对股东大会和监事会负责。这是企业内部审计，相关审计报告不可作为对外的法律依据（但这里要锭具体的情况）。

一、企业内部控制方法：组织规划控制x0dx0a　　组织规划是对企业组织机构设置、职务分工的合理性和有效性所进行的控制。企业组织机构有两个层面：一是法人的治理结构问题，涉及董事会、监事会、经理的设置及相关关系，二是管理部门设置及其关系，对财务管理来说，就是如何确定财务管理的广度和深度，由此产生集权管理和分级管理的组织模式。职务分工主要解决不相容职务分离。所谓不相容职务分离是指那些由一个人担任，即可能发生错误和弊端又可掩盖其错误和弊端的职务。企业内部主要不相容职务有：授权批准职务、业务经办职务、财产保管职务、会计记录职务和审核监督职务。这五种职务之间应实行如下分离：x0dx0a　　(1)授权批准职务与执行业务职务相分离。x0dx0a　　(2)业务经办职务与审核监督职务分离。x0dx0a　　(3)业务经办职务与会计记录职务分离。x0dx0a　　(4)财产保管职务与会计记录职务分离。x0dx0a　　(5)业务经办职务与财产保管职务相分离。x0dx0a　　要建立健全组织规划控制，目前必须解决两个问题： (1)设立管理控制机构。例如，目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益尝试。机构设置因单位的经营特点和经营规模而异，很难找到一个通用模式。比如设立价格委员会的企业大都是规模很大、采用集中采购方式且采购价格变动较大的企业，这些企业设立价格委员会能够有效加强采购环节的价格监督与控制。再比如，对于规模大、技术含量很高、高知人员云集、按劳取酬的企业，通过设立报酬委员会进行管理层持股及股票期权问题研究，能够提高报酬计划按劳取酬科学性、加强报酬计划执行中的透明度和监控力度。(2)推行职务不兼容制度，杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理为一人，董事会和总经理班子人员重叠。在上市公司中，这一问题虽有了较大的改变，但从公司制企业的总体上看，仍普遍存在。这种交叉任职的后果是董事会与总经理班子之间权责不清、制衡力度锐减。关键人大权独揽，一人具有几乎无所不管的控制权，且常常集控制权、执行权和监督权于一身，并有较大的任意性。交叉任职违背了内部控制的基本原则，必然带来权责含糊，易于造成办事程序由一个人操纵的现象出现。事实上，资金调拨、资产处置、对外投资等方面出现的问题重要原因之一在于交叉任职，董事会缺乏独立性。因此，建立内部控制框架首先要在组织机构设置和人员配备方面做到董事长和总经理分设、董事会和总经理班子分设，避免人员重叠。x0dx0a二、企业内部控制方法：授权批准控制x0dx0a　　授权批准是指企业在处理经济业务时，必须经过授权批准以便进行控制，授权批准按其形式可分为一般授权和特殊授权。所谓一般授权是指对办理常规业务时权力、条件和责任的规定，一般授权时效性较长;而特殊授权是对办理例外业务时权力、条件和责任的规定，一般其时效性较短。不论采用哪一种授权批准方式，企业必须建立授权批准体系，其中包括：(1)授权批准的范围，通常企业的所有经营活动都应纳入其范围。(2)授权批准的层次，应根据经济活动的重要性和金额大小确定不同的授权批准层次，从而保证各管理层有权亦有责。(3)授权批准的责任，应当明确被授权者在履行权力时应对哪些方面负责，应避免责任不清，一旦出现问题又难咎其责的情况发生。(4)授权批准的程序，应规定每一类经济业务审批程序，以便按程序办理审批，以避免越级审批、违规审批的情况发生。单位内部的各级管理层必须在授权范围内行使相应职权，经办人员也必须在授权范围内办理经济业务。x0dx0a三、企业内部控制方法：会计系统控制x0dx0a　　会计系统控制要求单位必须依据会计法和国家统一的会计制度等法规，制定适合本单位的会计制度、会计凭证、会计账簿和财务会计报告的处理程序，实行会计人员岗位责任制，建立严密的会计控制系统。会计系统控制主要包括：(1)建立健全内部会计管理规范和监督制度，且要充分体现权责明确、相互制约以及及时进行内部审计的要求。(2)统一会计政策，尽管国家制定了统一的会计制度，但其中某些会计政策是可选的。因此，从企业内部管理要求出发，必须统一执行所确定的会计政策，以便统一核算汇总分析和考核，企业会计政策可以专门文件的方式予以颁布。(3)统一会计科目，在实行国家统一一级会计科目的基础上，企业应根据经营管理需要，统一设定明细科目，特别是集团性公司更有必要统一下级公司的会计明细科目，以便统一口径，统一核算。(4)明确会计凭证、会计账簿和财务会计报告的处理程序与方法，遵循会计制度规定的各条核算原则，使会计真正实现为国家宏观经济调控和管理提供信息、为企业内部经营管理提供信息、为企业外部各有关方面了解其财务状况和经营成果提供信息的目标。x0dx0a四、企业内部控制方法：全面预算控制x0dx0a　　全面预算是企业财务管理的重要组成部分，它是为达到企业既定目标编制的经营、资本、财务等年度收支总体计划，从某种意义上讲，全面预算也是对企业经济业务规划的授权批准。全面预算控制应抓好以下环节：x0dx0a　　(1)预算体系的建立，包括预算项目、标准和程序。(2)预算的编制和审定。(3)预算指标的下达及相关责任人或部门的落实。(4)预算执行的授权。(5)预算执行过程的监控。 (6)预算差异的分析与调整。(7)预算业绩的考核。全面预算是集体性工作，需要企业内各部门人员的相关合作。为此，有条件的企业应设立预算委员会，组织领导企业的全面预算工作，确保预算的执行。x0dx0a五、企业内部控制方法：财产保全控制x0dx0a　　财产保全控制包括：(1)限制直接接触，限制直接接触主要指严格限制无关人员对实物资产的直接接触，只有经过授权批准的人员才能够接触资产。限制直接接触的对象包括限制接触现金、其他易变现资产与存货。(2)定期盘点，建立资产定期盘点制度，并保证盘点时资产的安全性。通常可采用先盘点实物，再核对账册来防止盘盈资产流失的可能性，对盘点中出现的差异应进行调查，对盘亏资产应分析原因、查明责任、完善相关制度。(3)记录保护，应对企业各种文件资料(尤其是资产、财务、会计等资料)妥善保管，避免记录受损、被盗、被毁的可能。对某些重要资料应留有后备记录，以便在遭受意外损失或毁坏时重新恢复，这在当前计算机处理条件下尤为重要。(4)财产保险，通过对资产投保(如火灾险、盗窃险、责任险或一切险)增加实物受损补偿机会，从而保护实物的安全。 (5)财产记录监控，对企业要建立资产个体档案，资产增减变动应及时全面予以记录。加强财产所有权证的管理，改革现有低值易耗品等核销模式，减少备查簿的形式，使其价值纳入财务报表体系内，从而保证账实的一致性。x0dx0a六、企业内部控制方法：人力资源控制x0dx0a　　对于作为经济运行的微观基础的企业而言，人力资源要素的数量和质量状况，人力资源所具有的忠诚、向心力和创造力，是企业兴旺发达的活力和强大推动力所在。因此，如何充分调动企业人力资源的积极性、主动性、创造性，发挥人力资源的潜能，已成为企业管理的中心任务。人力资源控制应包括：x0dx0a　　(1)建立严格的招聘程序，保证应聘人员符合招聘要求。x0dx0a　　(2)制定员工工作规范，用以引导考核员工行为。x0dx0a　　(3)定期对员工进行培训，帮助其提高业务素质，更好地完成规定的任务。x0dx0a　　(4)加强和考核奖惩力度，应定期对职工业绩进行考核，奖惩分明。x0dx0a　　(5)对重要岗位员工(如销售、采购、出纳)应建立职业信用保险机制，如签订信用承诺书，保荐人推荐或办理商业信用保险。(6)工作岗位轮换，可以定期或不定期进行工作岗位轮换，通过轮换及时发现存在的错弊情况。同时也可以挖掘职工的潜在能力。(7)提高工资与福利待遇，加强员工之间的沟通，增强凝聚力。x0dx0ax0dx0a七、企业内部控制方法：风险防范控制x0dx0a　　企业在市场经济环境中，不可避免会遇到各种风险。风险控制要求单位树立风险意识，针对各个风险控制点，建立有效的风险管理系统，通过风险预警、风险识别、风险评估、风险报告等措施，对财务风险和经营风险进行全面防范和控制。企业风险评估主要内容有：(1)筹资风险评估，如企业财务结构的确定、筹资结构的安排、筹资币种金额及期限的制定、筹资成本的估算和筹资的偿还计划等都应事先评估、事中监督、事后考核。(2)投资风险评估，企业对各种债权投资和股权投资都要作可行性研究并根据项目和金额大小确定审批权限，对投资过程中可能出现的负面因素应制定应对预案。(3)信用风险评估，企业应制定客户信用评估指标体系，确定信用授予标准，规定客户信用审批程序，进行信用实施中的实时跟踪。信用活动规模大的企业，可建立独立信用部门，管理信用活动、控制信用风险。(4)合同风险评估，企业就建立合同起草、审批、签订、履行监督和违约时采取应对措施的控制科学试验，必要时可聘请律师参与。风险防范控制是企业一项基础性和经常性的工作，企业必要时可设置风险评估部门或岗位，专门负责有关风险的识别、规避和控制。x0dx0a八、企业内部控制方法：内部报告控制x0dx0a　　为满足企业内部管理的时效性和针对性，企业应当建立内部管理报告体系，全面反映经济活动，及时提供业务活动中的重要信息。内部报告体系的建立应体现：反映部门经管责任，符合例外管理的要求，报告形式和内容简明易懂，并要统筹规划，避免重复。内部报告要根据管理层次设计报告频率和内容详简。通常，高层管理者报告时间间隔时间长，内容从重、从简;反之，报告时间间隔短，内容从全、从详。常用的内部报告有：(1)资金分析报告，包括资金日报、借还款进度表、贷款担保抵押表、银行账户及印鉴管理表等。(2)经营分析报告。(3)费用分析报告。(4)资产分析报告。(5)投资分析报告。(6)财务分析报告等。

　　内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。内部控制的目的在于改善经营管理、提高经济效益。它是因加强经济管理的需要而产生的，是随着经济的发展而发展完善的。最早的控制主要着眼于保护财产的安全完整，会计信息资料的正确可靠，侧重于从钱物分管、严格手续、加强复核方面进行控制。随着商品经济的发展和生产规模的扩大，经济活动日趋复杂化，才逐步发展成近代的内部控制系统。　　目录　　内部控制的定义　　内部控制要素　　内部控制的基本结构事前防范　　事中控制　　事后监督　　内部控制理论的发展阶段　　内部控制的作用（一）提高会计信息资料的正确性和可靠性　　（二）保证生产和经管活动顺利进行　　（三）保护企业财产的安全完整　　（四）保证企业既定方针的贯彻执行　　（五）为审计工作提供良好基础　　内部控制的种类（一）内部会计控制　　（二）内部管理控制　　内部控制的目标　　内部控制建设应遵循的原则　　我国企业内部控制十大问题　　内部控制制度不能有效执行原因内部控制的定义　　内部控制要素　　内部控制的基本结构 事前防范　　事中控制　　事后监督　　内部控制理论的发展阶段　　内部控制的作用 （一）提高会计信息资料的正确性和可靠性　　（二）保证生产和经管活动顺利进行　　（三）保护企业财产的安全完整　　（四）保证企业既定方针的贯彻执行　　（五）为审计工作提供良好基础　　内部控制的种类 （一）内部会计控制　　（二）内部管理控制　　内部控制的目标　　内部控制建设应遵循的原则　　我国企业内部控制十大问题内部控制制度不能有效执行原因展开 编辑本段内部控制的定义　　所谓内部控制，是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。　　编辑本段内部控制要素　　提出内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。 内部控制是为实现经营管理目标、组织内部经营活动而建立的各职能部门之间对业务活动进行组织、制约、考核和调节的方法、程序和措施。 我国中小企业发展迅速，但内控管理不容乐观。中小企业需要结合自身特点，优化控制环境，明确控制目标，改善控制技术，并不断完善内部控制系统，提高内部控制的效果。 目前，受到萨班斯法的影响，财政部加强了内控标准的修订，这需要立法学的指导。 审计准则方面的定义：内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。 内部控制是指一单位内部的管理控制系统,即为保证单位经济活动正常进行所采取的一系列必要的管理措施,不仅包括单位最高管理当局用来授权与指挥经济活动的各种方式方法,也包括核算,审核,分析各种信息资料及报告的程序和步骤,还包括对单位经济活动进行综合计划,控制和评价而制定的各项规章制度.内部控制的目标,尽管理论界有多种表述,但最根本的是保护单位财产,检查有关数据的正确性和可靠性,提高经营效率,贯彻既定的管理方针等四个方面．　　编辑本段内部控制的基本结构　　包括：控制环境、会计系统、控制程序三个方面。 一般来说，企业资金的内部控制体系主要可以分为事前防范，事中控制和事后监督三个环节。　　事前防范　　首先，企业需要建立一套严格的内控规章制度，包括《企业财务管理办法》、《企业预算管理暂行办法》、《资金计划管理办法》、《企业资金授权审批管理办法》等一些与资金管理相关的制度。 在企业的资金管理过程中，要合理设置职能部门，明确各部门的职责，各司其职，建立财务控制和职能分离体系。充分考虑不兼容职务和相互分离的制衡要求。各部门、各岗位形成相互制约、相互监督的格局。 另外企业还应当建立严格的审批手续，授权批准制度，以减少某些不必要的开支。明确审批人对资金业务的授权批准方式、权限、程序、责任和相关控制措施，规定经办人办理资金业务的职责范围和工作要求。　　事中控制　　事中控制主要体现在保障货币资金安全性、完整性、合法性和效益性资金安全性控制。其范围包括现金、银行存款、其他货币资金、应收应付票据的控制。主要方法有：账实盘点控制、库存限额控制、实物隔离控制等。　　事后监督　　在资金管理过程中，除事前防范，事中控制环节之外，资金的事后监督也是必不可少的环节。 在每个会计期间或每项重大经济活动完成之后，内部审计监督部门都应按照有效的监督程序，审计各项经济业务活动，及时发现内部控制的漏洞和薄弱环节；各职能部门也要将本部门在该会计期间或该项经济活动之后的资金变动状况的信息及时地反馈到资金管理部门，及时发现资金的筹集与需求量是否一致，资金结构、比例是否与计划或预算相符，产品的赊销是否严格遵守信用政策，存货的控制是否与指标的一致，人、财、物的使用是否与计划或预算相符，产品的生产是否根据计划或预算合理安排等。 这样既保证了资金管理目标的适当性和科学性，也可根据反馈的实际信息，随时采取调整措施，以保证资金的管理更为科学、合理、有效。同时，将各部门的资金管理状况与部门的业绩指标挂钩，做到资金管理的责、权、利相结合，调动资金管理部门和职工的积极性，更好地进行资金管理。　　编辑本段内部控制理论的发展阶段　　内部控制是社会经济发展的必然产物，它是随着外部竞争的加剧和内部强化管理的需要而不断丰富和发展的。纵观内部控制理论的发展历程，大致上经历了以下六个阶段: 1.内部牵制阶段 2.内部控制制度阶段 1936年美国颁布了《独立公共会计师对财务报表的审查》，首次定义了内部控制：“内部稽核与控制制度是指为保证公司现金和其他资产的安全，检查账簿记录的准确性而采取的各种措施和方法”，此后美国审计程序委员会又经过了多次修改。1973年在美国审计程序公告55 号中，对内部控制制度的定义作了如下解释：“内部控制制度有两类：内部会计控制制度和内部管理控制制度，内部管理控制制度包括且不限于组织结构的计划，以及关于管理部门对事项核准的决策步骤上的程序与记录。会计控制制度包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。” 3.会计控制管理控制阶段 （1）内部会计控制。（2）内部管理控制。 4.内部控制结构阶段 5.内部控制整合框架阶段 1992年9月，COSO委员会提出了报告《内部控制——整体框架》。该框架指出“内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”1996年底美国审计委员会认可了COSO的研究成果，并修改相应的审计公告内容。 6.风险管理框架阶段 2004年COSO委员会发布《企业风险管理——整合框架》。企业风险管理整合框架认为“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”该框架拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。风险管理框架包括了八大要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。　　编辑本段内部控制的作用　　内部控制主要是指内部管理控制和内部会计控制，内部控制系统有助于企业达到自身规定的经营目标。随着社会主义市场经济体制的建立，内部控制的作用会不断扩展。目前，它在经济管理和监督中主要有以下作用：　　（一）提高会计信息资料的正确性和可靠性　　企业决策层要想在瞬息万变的市场竞争中有效地管理经营企业，就必须及时掌握各种信息，以确保决策的正确性，并可以通过控制手段尽量提高所获信息的准确性和真实性。因此，建立内部控制系统可以提高会计信息的正确性和可靠性。　　（二）保证生产和经管活动顺利进行　　内部控制系统通过确定职责分工，严格各种手续、制度、工艺流程、审批程序、检查监督手段等．可以有效地控制本单位生产和经营活动顺利进行、防止出现偏差，纠正失误和弊端，保证实现单位的经营目标。　　（三）保护企业财产的安全完整　　财产物资是企业从事生产经营活动的物质基础。内部控制可以通过适当的方法对货币资金的收入、支出、结余以及各项财产物资的采购、验收、保管、领用、销售等活动进行控制、防止贪污、盗窃、滥用、毁坏等不法行为，保证财产物资的安全完整。　　（四）保证企业既定方针的贯彻执行　　企业决策层不但要制定管理经营方针、政策、制度，而且要狠抓贯沏执行。内部控制则可以通过袱定办法，审核批准，监督检查等手段促使全体职工贯彻和执行既定的方针、政策和制度，同时，可以促使企业领导和有关人员执行国家的方针、政策．在遵守国家法规纪律的前提下认真贯彻企业的既定方针。　　（五）为审计工作提供良好基础　　审计监督必须以真实可靠的会计信息为依据，检查错误，揭露弊端，评价经济责任和经济效益，而只有具备了睡全的内部控制制度，才能保证信息的准确，资料的真实．并为审计工作提供良好的基础。总之，良好的内部控制系统可以有效地防止各项资源的浪费和错弊的发生，提高生产、经营和管理效率，降低企业成本费用，提高企业经济效益。　　编辑本段内部控制的种类　　内部控制制度的重点是严格会计管理，设计合理有效的组织机构和职务分工，实施岗位责任分明的标准化业务处理程序。按其作用范围大体可以分为以下两个方面：　　（一）内部会计控制　　内部会计控制其范围直接涉及会计事项各方面的业务，主要是指财会部门为了防止侵吞财物和其他违法行为的发生，以及保护企业财产的安全所制定的各种会计处理程序和控制措施。例如，由无权经管现金和签发支票的第三者每月编制银行存款调节表，就是一种内部会计控制，通过这种控制，可提高现金交易的会计业务、会计记录和会计报表的可靠性。　　（二）内部管理控制　　内部管理控制范围涉及企业生产、技术、经营、管理的各部门、各层次、各环节。其目的是为了提高企业管理水平，确保企业经营目标和有关方针、政策的贯彻执行。例如，企业单位的内部人事管理、技术管理等，就属于内部管理控制。　　编辑本段内部控制的目标　　根据财会[2008]7号《企业内部控制基本规范》，内部控制包括五大目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。　　编辑本段内部控制建设应遵循的原则　　一般来说，金融机构在内部控制建设方面应遵循以下原则： 1．有效性原则。要使内部控制充分发挥控制作用，在各部门和各岗位得到贯彻实施，建立的内部控制必须具有有效性，即各种内部控制制度包括最高决策层所制定的业务规章和发布的指令，必须符合国家和监管部门的规章．必须具有高度的权威性，必须真正落到实处，成为所有员工严格遵守的行动指南；执行内控制度不能存在任何例外，任何人（包括董事长、总经理）不得拥有超越制度或违反规章的权力。 2．审慎性原则。内部控制的核心是有效防范各种风险．为了使各种风险控制在许可的范围之内，建立内部控制必须以审慎经营为出发点，要充分考虑到业务过程中各个环节可能存在的风险，容易发生的问题．设立适当的操作程序和控制步骤来避免和减少风险，并且设定在风险发生时要采取哪些措施来进行补救。 3．全面性原则。内部控制必须渗透到金融机构的各项业务过程和各个操作环节，覆盖所有的部门和岗位，不能留有任何死角和空白，做到无所不控。 4．及时性原则。是指内部控制的建立和改善要跟上业务和形势发展的需要开设新的业务机构或开办新的业务种类，必须树立“内控先行”的思想．首先建章立制，采取有效的控制措施，即使在金融创新的领域，也不能因为法律没有规定或监管当局没有要求而不采取必要的控制措施。 5．独立性原则。内部控制的检查、评价部门必须独立于内部控制的建立和执行部门，直接的操作人员和直接的控制人员必须适当分开，并向不同的管理人员报告工作；在存在管理人员职责交叉的情况下，要为负责控制的人员提供可以直接向最高管理层报告的渠道。　　编辑本段我国企业内部控制十大问题　　一、出纳领取银行对账单、编制银行存款余额调节表。 二、领导“一只笔”审批，缺乏完善内控制度和流程保障。 三、过于依赖业务人员，企业资源掌握在个人手中，企业对业务开展失去控制。 四、内部控制制度文字描述性东西较多，清晰的流程图和配套表单较少。 五、内部控制制度“救火式”的较多，制度体系缺乏系统性和完整性，甚至政出多门，相互打架。 六、员工临时休假或出差时，缺乏明确的工作交接制度。 七、人员招聘时注重笔试和面试的考察，忽视背景调查。背景调查是不难发现的。 八、关键岗位无强制轮换或带薪休假制度。 九、过分强调控制成本，经常将效率作为弱化或逾越内部控制的理由。 十、说一套，做一套，制度放空炮。　　编辑本段内部控制制度不能有效执行原因　　主要有二：一是制度本身制定得不合理，或过于理想化，或随着新情 况出现，原有制度已不能适应却没有及时修改，从而使得制度不具可操作性，自然也就不会被执行；二是 缺乏保证制度执行的机制，一些单位对内部控制执行情况既没有检查监督，又没有相应的奖惩措施，内部 控制制度成为墙上摆设和一纸空文也就不奇怪了。为此，企业一方面需要提高制度可操作性，另一方面要 加强制度执行力，不能为制度而制度。

首先要明确一个概念，内部控制是一个过程，不是一个静止的状态；有很多公司，喊着口号要做内控，写了一堆方案，出了一堆制度，方案制度写的足够精彩，之后就不再管了，这种内控的价值基本等于零。内部控制讲的不是一件事，而是很多件事组合在一起，最后达成目标的一个过程。 明白了内部控制是一个过程，那么就很好理解，在这个过程中是需要相关人员参与的，一个企业里的人员基本也就分为这三个方面：董事会、管理层、员工。 前面我们提到内部控制是这三个阶层的人要一起完成的一个过程，那么它的目标是什么？根据标准的定义，内控的目标主要是三个：财务、运营、合规。 首先我们说第一个目标财务，内控对于财务的目标，其实就是通过内控这个过程，使一个公司的财务信息更加真实、准确、可靠，让一个企业的股东对公司的业绩和发展前景有充分的信心。 比如说，我媳妇现在怀孕，经常要做产检需要做血常规检查，医院检查完的报告会有很多的指标，并清楚的标明这个指标你自己的实际值是多少，而正常的标准值是多少，总之，这张报告单的每一个比率或者是数值会综合告诉我们身体的情况，而我媳妇为了拿到这张数值合格的报告单，每天要坚持补血，吃补铁的药，每天要坚持喝牛奶，摄入标准的蛋白质。 一个企业也一样，企业发展到一定阶段，可能需要融资、并购、上市，而这个时候，企业就需要有这张合格的验血报告—“财务报表” 其实这就是内部控制与财务报表的关系，财务报表是果，而因为有了内部控制这个过程，最后才有了这张合格的验血报告。 接下来，我们谈第二个目标，内控要有助于提升运营效率；在很多的企业，都是以运营部门为牵引，但是真正的内部控制体系应该是以流程为导向，要把各个部门之间的对接协同的墙拆除掉。 当然，以流程为导向，并不意味着要取消原来的部门设置，而应该是流程建立了，控制设计了，部门与部门之间原来的断点和盲点要都被连接起来，进而整体提升运营效率。 比如说：有的时候，只要观察一个企业财务部和前端销售的日常关系，就可以大概知道这家公司的现金流情况，最核心的就是观察这家公司的应收款项由谁来管。 在很多企业，这个事情一直含糊不清；按道理来说，这个应收款项的催收应该由运营来管，因为谁的客户谁最清楚，但是前端销售每天冲锋陷阵，一门心思做业绩，很少有人主动回过头来处理应收账款的事情，这个时候财务中心与前端销售的配合与协同的重要性就体现出来了。 如果两个部门关系好，沟通多，财务中心应先把应收款项的余额统计出来，并主动与前端销售核对数据，并提请销售部抓紧催收，事后再盯住催收进度，这个事情就会好办很多。在这个事件里面，两个部门协同一起分析账龄，核对金额，这就是把两个部门连接起来的流程关键点，同样的道理，内部控制其实也是通过这种的方式来促进运营效率的 最后我们说第三个目标：合规，讲到这儿，这个目标就好理解很多了，目前不管是在美国上市还是国内上市，内控合规都是必须要做的基本功课，都有相应的法律法规的约束，在美国上市需要遵循《塞班斯-奥克利法案》，在国内A股上市需要遵循《企业内部控制基本规范》以及配套的相关指引，这部分内容我们之后慢慢分享。 最后总结一下，内控控制其实就是公司董事会、管理层以及员工共同努力，共同遵循，为了让企业能够更加高效的运营，实现企业财务信息的准确以及法律合规的一个过程。 最后的最后，备注一点，这个内控的过程是一个合理保证的过程，并不是完全保证，也就是说，内部控制并不能完全保证企业的财务信息全部准确真实，以及全国实现法律的合规，因为流程程序毕竟是流程程序，但最后都需要人的执行，而人的执行，涉及到人性的风险都很难全部得到控制，所以内部控制提供的是一个合理保证的过程。

内部控制按其控制的目的不同，可分为会计控制和管理控制。会计控制是指与保护财产物资的安全性、会计信息的真实性和完整性以及财务活动合法性有关的控制；管理控制是指与保证经营方针、决策的贯彻执行，促进经营活动经济性、效率性、效果性以及经营目标的实现有关的控制。会计控制与管理控制并不是相互排斥、互不相容的，有些控制措施既可以用于会计控制，也可以用于管理控制。法律依据《企业内部控制制度基本规范》规定 为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。

内部控制按其控制的目的不同，可分为会计控制和管理控制。会计控制是指与保护财产物资的安全性、会计信息的真实性和完整性以及财务活动合法性有关的控制。如内部会计控制体系、会计人员岗位责任制度、账务处理程序与权限、内部牵制制度、稽核制度、原始记录管理制度、财产保护制度、财务收支审批制度，等等。管理控制是指与保证经营方针、决策的贯彻执行，促进经营活动经济性、效率性、效果性以及经营目标的实现有关的控制。会计控制与管理控制并不是相互排斥、互不相容的，有些控制措施既可以用于会计控制，也可以用于管理控制。如，投资、筹资、利润分配制度、采购申请审批制度 、验收管理制度、应付账款管理制度、仓库调拨管理规定、销售授权审批制度 、 货款回收管理制度、项目决策管理制度、固定资产授权批准制度、长期股权投资决策制度、质量管理制度，等等。各企业情况不一，不能一概而论，设计内部控制制度要以企业战略为牵引，遵循重要性原则，同时考虑可操作性。仅此建议，不一定全面，供参考吧。

内控是内部控制的简称。指一般公司企业内部的控制运作。我国财政部对内部会计控制做了如下的定义：内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。国际内部控制协会(Internal Control Institute,英文缩写ICI )是2002年美国《萨班斯-奥克斯利法案》 (“Sarbanes-0xley Act”, SOX简称《萨u2022奥法案》出台后成立的专门致力于内部控制与公司治理的教育组织和智囊机构。ICI开发完成了企业现实环境中实施内部控制所需的实务指南和评估方法，是全球唯一能够提供内部控制和公司治理领域量化评估工具的组织。国际注册内部控制师资格认证项目是ICI在全球范围推广的职业人才教育项目。该资格认证项目建立了全球内部控制职业人士最基本的资格标准，并提出职业胜任能力持续改进的要求。目前，ICI 的国际注册内部控制师资格证书分为两个等级：A 级: 高级国际注册内部控制师（Certified Internal Control Professional，英文缩写 CICP）；B 级：国际注册内部控制师（Certified Internal Control Specialist，英文缩写 CICS）。

　　加强内部控制是贯彻《会计法》及提高企业管理水平、增强企业竞争力的客观要求。研究和运用内部控制的各种方法是建立和完善内部控制制度的一项极其重要的内容。　　一、组织规划控制　　组织规划是对企业组织机构设置、职务分工的合理性和有效性所进行的控制。企业组织机构有两个层面：一是法人的治理结构问题，涉及董事会、监事会、经理的设置及相关关系，二是管理部门设置及其关系，对财务管理来说，就是如何确定财务管理的广度和深度，由此产生集权管理和分级管理的组织模式。职务分工主要解决不相容职务分离。所谓不相容职务分离是指那些由一个人担任，即可能发生错误和弊端又可掩盖其错误和弊端的职务。企业内部主要不相容职务有：授权批准职务、业务经办职务、财产保管职务、会计记录职务和审核监督职务。这五种职务之间应实行如下分离：(1)授权批准职务与执行业务职务相分离。(2)业务经办职务与审核监督职务分离。(3)业务经办职务与会计记录职务分离。(4)财产保管职务与会计记录职务分离。(5)业务经办职务与财产保管职务相分离。　　要建立健全组织规划控制，目前必须解决两个问题： (1)设立管理控制机构。例如，目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益尝试。机构设置因单位的经营特点和经营规模而异，很难找到一个通用模式。比如设立价格委员会的企业大都是规模很大、采用集中采购方式且采购价格变动较大的企业，这些企业设立价格委员会能够有效加强采购环节的价格监督与控制。再比如，对于规模大、技术含量很高、高知人员云集、按劳取酬的企业，通过设立报酬委员会进行管理层持股及股票期权问题研究，能够提高报酬计划按劳取酬科学性、加强报酬计划执行中的透明度和监控力度。(2)推行职务不兼容制度，杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理为一人，董事会和总经理班子人员重叠。在上市公司中，这一问题虽有了较大的改变，但从公司制企业的总体上看，仍普遍存在。这种交叉任职的后果是董事会与总经理班子之间权责不清、制衡力度锐减。关键人大权独揽，一人具有几乎无所不管的控制权，且常常集控制权、执行权和监督权于一身，并有较大的任意性。交叉任职违背了内部控制的基本原则，必然带来权责含糊，易于造成办事程序由一个人操纵的现象出现。事实上，资金调拨、资产处置、对外投资等方面出现的问题重要原因之一在于交叉任职，董事会缺乏独立性。因此，建立内部控制框架首先要在组织机构设置和人员配备方面做到董事长和总经理分设、董事会和总经理班子分设，避免人员重叠。　　二、授权批准控制　　授权批准是指企业在处理经济业务时，必须经过授权批准以便进行控制，授权批准按其形式可分为一般授权和特殊授权。所谓一般授权是指对办理常规业务时权力、条件和责任的规定，一般授权时效性较长；而特殊授权是对办理例外业务时权力、条件和责任的规定，一般其时效性较短。不论采用哪一种授权批准方式，企业必须建立授权批准体系，其中包括：(1)授权批准的范围，通常企业的所有经营活动都应纳入其范围。(2)授权批准的层次，应根据经济活动的重要性和金额大小确定不同的授权批准层次，从而保证各管理层有权亦有责。(3)授权批准的责任，应当明确被授权者在履行权力时应对哪些方面负责，应避免责任不清，一旦出现问题又难咎其责的情况发生。(4)授权批准的程序，应规定每一类经济业务审批程序，以便按程序办理审批，以避免越级审批、违规审批的情况发生。单位内部的各级管理层必须在授权范围内行使相应职权，经办人员也必须在授权范围内办理经济业务。　　三、会计系统控制　　会计系统控制要求单位必须依据会计法和国家统一的会计制度等法规，制定适合本单位的会计制度、会计凭证、会计账簿和财务会计报告的处理程序，实行会计人员岗位责任制，建立严密的会计控制系统。会计系统控制主要包括：(1)建立健全内部会计管理规范和监督制度，且要充分体现权责明确、相互制约以及及时进行内部审计的要求。(2)统一会计政策，尽管国家制定了统一的会计制度，但其中某些会计政策是可选的。因此，从企业内部管理要求出发，必须统一执行所确定的会计政策，以便统一核算汇总分析和考核，企业会计政策可以专门文件的方式予以颁布。(3)统一会计科目，在实行国家统一一级会计科目的基础上，企业应根据经营管理需要，统一设定明细科目，特别是集团性公司更有必要统一下级公司的会计明细科目，以便统一口径，统一核算。(4)明确会计凭证、会计账簿和财务会计报告的处理程序与方法，遵循会计制度规定的各条核算原则，使会计真正实现为国家宏观经济调控和管理提供信息、为企业内部经营管理提供信息、为企业外部各有关方面了解其财务状况和经营成果提供信息的目标。　　四、全面预算控制　　全面预算是企业财务管理的重要组成部分，它是为达到企业既定目标编制的经营、资本、财务等年度收支总体计划，从某种意义上讲，全面预算也是对企业经济业务规划的授权批准。全面预算控制应抓好以下环节：(1)预算体系的建立，包括预算项目、标准和程序。(2)预算的编制和审定。(3)预算指标的下达及相关责任人或部门的落实。(4)预算执行的授权。(5)预算执行过程的监控。 (6)预算差异的分析与调整。(7)预算业绩的考核。全面预算是集体性工作，需要企业内各部门人员的相关合作。为此，有条件的企业应设立预算委员会，组织领导企业的全面预算工作，确保预算的执行。　　五、财产保全控制　　财产保全控制包括：(1)限制直接接触，限制直接接触主要指严格限制无关人员对实物资产的直接接触，只有经过授权批准的人员才能够接触资产。限制直接接触的对象包括限制接触现金、其他易变现资产与存货。(2)定期盘点，建立资产定期盘点制度，并保证盘点时资产的安全性。通常可采用先盘点实物，再核对账册来防止盘盈资产流失的可能性，对盘点中出现的差异应进行调查，对盘亏资产应分析原因、查明责任、完善相关制度。(3)记录保护，应对企业各种文件资料(尤其是资产、财务、会计等资料)妥善保管，避免记录受损、被盗、被毁的可能。对某些重要资料应留有后备记录，以便在遭受意外损失或毁坏时重新恢复，这在当前计算机处理条件下尤为重要。(4)财产保险，通过对资产投保(如火灾险、盗窃险、责任险或一切险)增加实物受损补偿机会，从而保护实物的安全。 (5)财产记录监控，对企业要建立资产个体档案，资产增减变动应及时全面予以记录。加强财产所有权证的管理，改革现有低值易耗品等核销模式，减少备查簿的形式，使其价值纳入财务报表体系内，从而保证账实的一致性。　　六、人力资源控制　　对于作为经济运行的微观基础的企业而言，人力资源要素的数量和质量状况，人力资源所具有的忠诚、向心力和创造力，是企业兴旺发达的活力和强大推动力所在。因此，如何充分调动企业人力资源的积极性、主动性、创造性，发挥人力资源的潜能，已成为企业管理的中心任务。人力资源控制应包括：(1)建立严格的招聘程序，保证应聘人员符合招聘要求。(2)制定员工工作规范，用以引导考核员工行为。(3)定期对员工进行培训，帮助其提高业务素质，更好地完成规定的任务。(4)加强和考核奖惩力度，应定期对职工业绩进行考核，奖惩分明。(5)对重要岗位员工(如销售、采购、出纳)应建立职业信用保险机制，如签订信用承诺书，保荐人推荐或办理商业信用保险。(6)工作岗位轮换，可以定期或不定期进行工作岗位轮换，通过轮换及时发现存在的错弊情况。同时也可以挖掘职工的潜在能力。(7)提高工资与福利待遇，加强员工之间的沟通，增强凝聚力。　　七、风险防范控制　　企业在市场经济环境中，不可避免会遇到各种风险。风险控制要求单位树立风险意识，针对各个风险控制点，建立有效的风险管理系统，通过风险预警、风险识别、风险评估、风险报告等措施，对财务风险和经营风险进行全面防范和控制。企业风险评估主要内容有：(1)筹资风险评估，如企业财务结构的确定、筹资结构的安排、筹资币种金额及期限的制定、筹资成本的估算和筹资的偿还计划等都应事先评估、事中监督、事后考核。(2)投资风险评估，企业对各种债权投资和股权投资都要作可行性研究并根据项目和金额大小确定审批权限，对投资过程中可能出现的负面因素应制定应对预案。(3)信用风险评估，企业应制定客户信用评估指标体系，确定信用授予标准，规定客户信用审批程序，进行信用实施中的实时跟踪。信用活动规模大的企业，可建立独立信用部门，管理信用活动、控制信用风险。(4)合同风险评估，企业就建立合同起草、审批、签订、履行监督和违约时采取应对措施的控制科学试验，必要时可聘请律师参与。风险防范控制是企业一项基础性和经常性的工作，企业必要时可设置风险评估部门或岗位，专门负责有关风险的识别、规避和控制。　　八、内部报告控制　　为满足企业内部管理的时效性和针对性，企业应当建立内部管理报告体系，全面反映经济活动，及时提供业务活动中的重要信息。内部报告体系的建立应体现：反映部门经管责任，符合例外管理的要求，报告形式和内容简明易懂，并要统筹规划，避免重复。内部报告要根据管理层次设计报告频率和内容详简。通常，高层管理者报告时间间隔时间长，内容从重、从简；反之，报告时间间隔短，内容从全、从详。常用的内部报告有：(1)资金分析报告，包括资金日报、借还款进度表、贷款担保抵押表、银行账户及印鉴管理表等。(2)经营分析报告。(3)费用分析报告。(4)资产分析报告。(5)投资分析报告。(6)财务分析报告等。　　九、管理信息系统控制　　管理信息系统控制包括两方面的内容，一方面是要加强对电子信息系统本身的控制。随着电子信息技术的发展，企业利用计算机从事经营管理方式手段越来越普遍，除了会计电算化和电子商务的发展外，企业的生产经营与购销储运都离不开计算机。为此必须加强对电子信息系统的控制，包括：系统组织和管理控制、系统开发和维护控制、文件资料控制、系统设备、数据、程序、网络安全的控制以及日常应用的控制。另一方面，要运用电子信息技术手段建立控制系统，减少和消除内部人为控制的影响，确保内部控制的有效实施。　　十、内部审计控制　　内部审计控制是内部控制的一种特殊形式，它是一个企业内部经济活动和管理制度是否合规、合理和有效的独立评价机构，在某种意义上讲是对其他内部控制的再控制。内部审计内容十分广泛，按其目的可分为财务审计、经营审计和管理审计。内部审计在企业应保持相对独立性，应独立于其他经营管理部门，最好受董事会或下属的审计委员会领导。　　总之，不管采用何种内部控制方法，不管如何建立公司治理结构，都应确立董事会在内部控制系统中的核心地位。从我国《公司法》规定的董事会、股东大会、总经理之间的权责划分看，董事会在公司管理中居于核心地位。董事会应该对公司内部控制的建立、完善和有效运行负责。原因在于：(1)对于董事会而言，建立内部控制系统是为了通过不丧失控制的授权来保证公司有效运行、完成公司的目标，(2)内部控制是董事会抑制管理人员在获取短期盈利机会中的机会主义倾向，保证法律、公司政策及董事会决议切实贯彻实施的手段；(3)内部控制以及涉及内部控制的信息流动构成解决信息不对称、保证会计信息真实可行的重要手段，而确保信息质量是董事会不可推卸的责任。

从内部控制评价本身以及目前的发展情况来看，主要存在详细评价法和风险基础评价法两种方法。详细评价法在《企业内部控制——整合框架》中，COSO指出，确定某一内部控制系统是否有效是一种在评估五个要素是否存在以及是否有效发挥作用基础上的主观判断，这些要素也是有效内部控制的标准。COSO还指出，认定一个主体的企业风险管理是否“有效”，是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断，构成要素也是判定企业风险管理有效性的标准。在美国证券交易委员会2003年6月通过的实施SOX法案404节的规则（SEC，2003）以及后来发布的管理层评价指南中，都强调内部控制评价的程序必须足以既能评价财务报告内部控制的设计，又能测试运行的有效性。因此，遵循这个思路，很多企业和事务所都曾经采用过详细评价法。这种方法的基本思路是：以内部控制框架或标准为参照物，根据内部控制框架的构成要素是否存在评价内部控制的设计有效性，测试内部控制的运行有效性，最后综合设计和运行的评价对内部控制的有效性做出总体评价，评估内部控制目标实现的风险，判断是否存在重大漏洞（material weaknesses，MW），确定内部控制是否有效。风险基础评价法企业内部控制的另一种思路和方法不是从控制到风险，而是从风险到控制，即从内部控制相关目标实现的风险到内部控制。首先，要评估相关目标实现的风险；其次，识别和确定企业充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；第三，识别和确定内部控制运行有效性的证据，评价现有的控制是否得到了有效的运行；最后，对控制缺陷进行评估，判定是否构成实质性漏洞，确定内部控制是否有效。对于不同的目标来说，目标风险的含义、内部控制重大漏洞的含义是不相同的，在评价每一类目标时都需要做具体设定。《企业内部控制评价指引》第十五条规定，内部控制评价工作组对被评价单位进行现场测试时，可以单独或者综合运用个别访问、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。1.个别访问法个别访问法主要用于了解公司内部控制的现状，在企业层面评价及业务层面评价的了解阶段经常使用。访问前应根据内部控制评价需求形成访谈提纲，撰写访问纪要，记录访问的内容。为了保证访谈结果的真实性，应尽量访谈不同岗位的人员以获得更可靠的证据。如分别访问人力资源部主管和基层员工，公司是否建立了员工培训长效机制，培训是否能满足员工和业务岗位需要？2.调查问卷法调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围，包括企业各个层级员工，应注意事先保密性，题目尽量简单易答（如答案只需为“是”、“否”、“有”、“没有”等等）。比如你对企业的核心价值观是否认同？你对企业未来的发展是否有信心？3．穿行测试法穿行测试法是指在内部控制流程中任意选取一笔交易作为样本，追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程，即该流程从起点到终点的全过程，以此了解控制措施设计的有效性，并识别出关键控制点。如针对销售交易，选取一批订单，追踪从订单处理一－核准信用状况及赊销条款一－填写订单并准备发货一－编制货运单据一－订单运送/递送追踪至客户或由客户提货－一开具销售发票一－复核发票的准确性并邮寄/送至客户一－生成销售明细账一－汇总销售明细账，并过账至总账和应收账款明细账等交易的整个流程，考虑之前对相关控制的了解是否正确和完整，并确定相关控制是否得到执行。4．抽样法抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本；其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。使用抽样法时首先要确定样本库的完整性，即样本库应包含符合控制测试的所有样本；其次要确定所抽取样本的充分性，即样本的数量应当能检验所测试的控制点的有效性；最后要确定所抽取样本的适当性，即获取的证据应当与所测试控制点的设计和运行相关，并能可靠地反映控制的实际运行情况。5.实地查验法实地查验法主要针对业务层面控制，它通过使用统一的测试工作表，与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。6.比较分析法比较分析法是指通过数据分析，识别评价关注点的方法。数据分析可以是与历史数据、行业（公司）标准数据或行业最优数据等进行比较。比如针对具体客户的应收账款周转率进行横向或纵向比较，分析存在异常的应收客户款，进而对这些客户的赊销管理控制进行检查。7．专题讨论法专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析，既可以是控制评价的手段，也是形成缺陷整改方案的途径。对于同时涉及财务、业务、信息技术等方面的控制缺陷，往往需要由内部控制管理部门组织召开专题讨论会议，综合内部各机构、各方面的意见，研究确定缺陷整改方案。在实际评价工作中，以上这些方法可以配合使用。此外，还可以使用观察、检查、重新执行等方法，也可以利用信息系统开发检查方法，或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的，应在方法上注意与人工控制、发现性控制的区别。

内部控制按其控制的目的不同，可分为会计控制和管理控制。会计控制是指与保护财产物资的安全性、会计信息的真实性和完整性以及财务活动合法性有关的控制；管理控制是指与保证经营方针、决策的贯彻执行，促进经营活动经济性、效率性、效果性以及经营目标的实现有关的控制。会计控制与管理控制并不是相互排斥、互不相容的，有些控制措施既可以用于会计控制，也可以用于管理控制。《企业内部控制制度基本规范》为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。

注册会计师考试频道。 企业内部控制审计，指审计机构和人员通过检查企业内部控制制度的创建健全情况和内部控制措施的执行情况，对企业内部控制体系是否完整、有效提出评价意见，并就进一步完善内部控制体系提出审计建议，以预警和预防企业经营管理风险的相关过程。主要包括以下内容： 第一，内部控制环境，即评价以公司治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化在内的内部控制环境对企业经营管理活动的影响。 第二，风险评估，即分析企业风险控制目的设置的合理性，评价开展风险评估范畴的全面性、风险评估结果的有效性和风险应对策略的科学性。 第三，控制活动，即评价企业根据风险评估结果设置的内部控制措施的科学性和控制效果的有效性。 第四，内部控制信息和沟通，即评价企业内部控制相关信息在收集、处理和传递程序的科学性，分析信息技术在内部控制信息和沟通中所发挥作用的情况，判断企业在反舞弊工作重点领域相关工作机制的有效性。 第五，内部监督制度，即分析企业内部审计机构和其他内部机构在内部监督中的职责权限情况，判断企业实施内部监督的程序、方法和目的要求的科学性，评价内部控制监督制度的有效性。