内部控制、风险管理与内部审计的关系和整合课件

26十二月2022内部控制、风险管理与内部审计的关系和整合19十二月2022内部控制、风险管理与内部审计的关系和整12目录

对内部控制的理解

风险管理与其在企业管理中的作用

内部审计及其在企业管理中的作用

内部控制、风险管理和内部审计的关系与整合

风险导向的内部控制体系的构建2目录2内部控制的演变和发展趋势3

COSO内部控制

整体框架内控评价内部审计进展40年代前40－70年代80－90年代90年代后2002年后2006年后

内部牵制-实物牵制-薄记牵制内部控制结构完善-控制环境-会计系统-控制程序-建立内控-数据准确一致-内控可靠性以风险为导向的内

部控制广义内控长期性持续性

后萨班萨班斯

斯时代

法案

-法律责任-控制环境

-与财务报-风险评估

告相关的-控制活动

内部控制-信息沟通-持续监控内部控制的演变和发展趋势3 COSO内控评价进展40年代前3内部控制的作用4

良好的内部控制会:•

降低舞弊的可能•

获得(或重获)投资者的信心•

遵守法律和法规•

降低资源流失的风险•

以更高质量和更及时的信息优

化业务决策•

暴露经营中的低效环节

薄弱的内部控制会:•

提高舞弊发生的可能•

错误的财务报表•

不良的公众形象•

对股东价值的负面影响•

招致证券监管机构制裁•

诉讼或者其他法律纠纷•

资产的流失

•

经营决策不能最优化内部控制不是静止的，是会随着时间的流逝和经验的增加而不断进步。内部控制的作用4 良好的内部控制会: 薄弱的内部控制会: •45目录

对内部控制的理解

风险管理与其在企业管理中的作用

内部审计及其在企业管理中的作用

内部控制、风险管理和内部审计的关系与整合

风险导向的内部控制体系的构建5目录56风险管理的演化发展

全面风险管理

风险的数量化

管理

保险和安全生产70年代1995年6风险管理的演化发展70年代1995年6时间机构/国家标准1988年BCBS巴塞尔协议1999年澳大利亚和新西兰AS/NZ436019992002年加拿大风险管理：决策者指南—加拿大国家标准2003年英国AIRMIC/ALARM/IRM2004年COSO企业风险管理—整合框架2004年BCBS巴塞尔协议Ⅱ2005年香港会计师公会内部控制与风险管理的基本架构2008欧洲委员会偿付能力Ⅱ7国外主要风险管理标准时间机构/国家标准1988年BCBS巴塞尔协议1999年澳大7

支柱1

最低资本要求信用风险•标准化流程•基础IRB•高级IRB市场风险•标准化流程•内部VaR模型操作风险•基本指标法•标准法

支柱2

监管当局的监督检查银行框架•良好的资本评估•整体资本充足率•全面风险评估监管框架•银行内部系统评估•风险组合评估•合规性评估•监管机制

支柱3

市场约束披露要求•银行风险信息的对市场的透明度•提高银行间的可比性8国外主要风险管理标准巴巴塞尔新资本协议

2004年6月，巴塞尔委员会发布了《统一资本计量和资本标准的国际协议：修订框架》，新协

议将会对整个国际金融市场产生深远的影响：签署新协议的100多个国家的银行、证券公司、

基金公司、资产管理公司、保险公司等都会受到直接或间接的影响。我国于1996年加入了巴

塞尔成员国行列，标志着我国银行业接受了《巴塞尔协议》的要求。

财务稳定性 支柱1 支柱2 支柱38国外主要风险管理标准巴巴塞尔8沟通及协商监控及评价9

建立风险评估基础

•内外部基础信息，包括对公

司目标的了解和信息掌握

•风险管理基础设定

识别风险

分析风险

现有风险结构

影响程度

可能性

风险值

整合风险

评估风险

应对风险•

评估各种可能方案国外主要风险管理标准：澳新标准框架澳新标准是由澳大利亚与新西兰联合标准委员会发布的关于风险管理的一个标准。该标准主要建立了一个风险管理的基础框架，为企业提供一个通用的建立和实施有效风险管理流程的指引，强调在实施风险评估工作之前要建立风险评估基础。沟通及协商监控及评价9 建立风险评估基础国外主要风险管910国外主要风险管理标准：COSO的ERM框架

2004年9月，COSO正式颁布《企业风险管理——整体框架》，包含4大目标（战略、经营、报告和合

规目标）、8个相互关联的要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、

信息与沟通、监控）和应用的企业及单位（公司层面、子公司、业务单元和科室）。10国外主要风险管理标准：COSO的ERM框架10保险风险市场风险信用风险流动性风险操作风险支柱1投资规则

执行

定量要求

准备金最低资本金要求支柱2

(监管者的能力和职权,

活动领

域)

控制

监管者复核

定性要求金融服务法规监

管支柱3竞争相关因素

披露

市场约束

透明度披露要求

国外主要风险管理标准：偿付能力Ⅱ

（Solvency

II）2003年4月，欧盟保险委员会(European

Insurance

Committee)会议确定了偿付能力Ⅱ的基本概念和原则。修改定稿的偿付能力Ⅱ将于2011年10月提交英国金融服务管理局（FSA），预计可于2012年10月正式实施。这也将可能成为我国保险行业未来的趋势。

SOLVENCY

II

将Solvency

II嵌入业务11保险风险流动性风险操作风险支柱1投资规则 定量要求支柱2 (11时间机构标准2005年银监会商业银行市场风险管理指引2006年国资委中央企业全面风险管理指引2006年银监会商业银行合规风险管理指引2007年银监会商业银行操作风险管理指引2007年保监会保险公司风险管理指引2009年银监会商业银行流动风险管理指引2009年银监会商业银行声誉风险管理指引2009年银监会商业银行信息科技风险管理指引2010年保监会人身保险公司全面风险管理实施指引12国内主要风险管理规定时间机构标准2005年银监会商业银行市场风险管理指引20061213国资委—中央企业全面风险管理指引•战略风险信息••••财务风险信息市场风险信息运营风险信息法律风险信息风险管理初始信息•风险辨识••风险分析风险评价•风险解决具体目•••标所需的组织领导所涉及的管理及业务流程以及资源等风险事件发生前、中、后所采取的应对措施以及风险管理工具•部门和业务单•••位自查和检验风险管理职能部门检查和检验内部审计部门监督评价中介机构评价风险管理

流程风险评估风险管理解决方案

风险管理的监督与改进•风险承担••••••风险规避风险转移风险转换风险对冲风险补偿风险控制风险管理策略•••••••董事会就全面风险管理工作的有效性对股东（大）会负责风险管理委员会对董事会负责总经理对全面风险管理工作的有效性向董事会负责设立专职部门或确定相关职能部门履行全面风险管理职责董事会下设立审计委员会，内审部门对审计委员会负责其他职能部门及各业务单位接受风险管理职能部门和内部审计部门的组织、协调、指导和监督指导和监督其全资、控股子企业风险管理组织体系••••••信息技术应用于风险管理实践风险管理信息系统保障风险信息量化值的要求风险管理信息系统的功能要求风险管理信息系统应该实现跨部门的集成与共享风险管理信息系统应确保安全、稳定运行风险管理信息系统的建设与更新风险管理

体系风险管理信息系统风险管理

文化•••风险管理文化建设的目标和任务风险管理文化的内涵风险管理文化传播和培育的方法中央企业全面风险管理指引

13国资委—中央企业全面风险管理指引•战略风险信息•财务风险1314风险管理流程

纵观以上国际国内的风险管理标准和指引，我们可以看到：

•

风险管理的框架和概念存在着多个流派，风险管理框架和风险管理语言的不统一；

•

多种风险管理框架造成多重的监管标准要求，使得风险管理在实务界存在重复投资

和资源浪费现象，最后导致损失的是企业。

我们认为，风险管理不是罗列所有风险，而是一个循环管理的机制，通过识别、评估

风险、建立应对措施、对风险进行监控与汇报、针对风险持续改善这个流程，形成风

险管理机制，为公司健康发展奠定基础。核心是风险管理文化与意识。14风险管理流程14理同经营规划和战冗余劲高效的

略制定相

综合风险转结合风险评估流程优化风险争优势保护和提升企业价值牌形象15企业风险管理的作用裁减活动

将风险管实施更强

建立竞

管理成本定因素移和风险接受决策

正确厘定交易

固有风险的价

格

协调风险偏好与战

略的关系，确保两

者间匹配

提高应对变革的

就绪程度

减少经营损

失和意外事

件改善合规和风险应对措

施

改善对全

企业共同

风险的管

理改善资本利用及资

源调配

确保风险承

担与核心业深化对影响收益和资本的风险认识务竞争力相

符

保护声

誉和品

引入系统

化的风险

评估流程

，提高管理

层对风险管

理的信心改善经营绩效

预见和

沟通绩

效目标

中固有

的不确企业风险管理的价值主张：企业风险管理除推动管理层的风险管理能力日趋成熟以外，还从以下三方面帮助管理层保护和提升企业价值：•建立可持续的竞争优势；•优化风险管理成本•帮助管理层改善经营业

绩理同经营规划和战冗余劲高效的略制定相1516

1通过评估重大事件发生的可能性及其影响效应，以及提出预防这些事件发生或管理这些事件（如确实已经发生）影响的响应措施，减少绩效的不稳定性。

减少绩效的

不稳定性

2当风险管理的职能部门不止一个，而要管理的风险也不止一种时，就需要有一个通用的框架。同时也可回答投资者经常提出的问题：“有哪些风险，怎么管理这些风险，你又是怎么知道这些风险的?”协调和整合风险管理的职能部门和管理程序

3投资者可评价企业在了解和管理风险方面的能力，以便对照所承受的风险，粗略地评估自己的投资回报是否足够丰厚。

增强投资者的

信心

4提升企业识别风险、确定风险轻重缓急次序和规划风险的能力，合理调配企业资源。响应不断变化的业务环境企业风险管理的作用（续）

企业风险管理有助于管理层协调风险偏好与企业战略之间的匹配关系，强化

风险应对决策，减少营运意外事件和损失，识别和管理贯穿整个企业的风险，

建立抵抗多重风险的综合响应预案，抓住机遇及改善资本配置。16 1 2 3 4企业风险管理的作用（续）1617目录

对内部控制的理解

风险管理与其在企业管理中的作用

内部审计及其在企业管理中的作用

内部控制、风险管理和内部审计的关系与整合

风险导向的内部控制体系的构建17目录17内部审计演进控制纠正与管理层合作

价值创造

实行风险和控制自我评估中间阶段

流程改进企业全面风险管理持续的风

险管理风险咨询舞弊防范财务/合规

性审计合规性价值保护

关注交易/

资产保护相关风险范围

流程分析

&最佳实务操作有限的全面的18内部审计演进控制纠正与管理层合作 价值创造中间阶段企业全面18风险评估及

建立模型

制定内部

审计方案

提交结论及

建议

执行内部

审计测试内部审计

建立内部

审计测试德勤内部审计模型

审计准备风险评估及提交结论及内部审计德勤内部审计模型1920目录

对内部控制的理解

风险管理与其在企业管理中的作用

内部审计及其在企业管理中的作用

内部控制、风险管理和内部审计的关系与整合

风险导向的内部控制体系的构建20目录20目标设定事项识别风险评估风险应对内部控制和风险管理的框架：COSO框架的演进监控

子

公

业

司

务

分

单

支

位企

机业

构层面

内部环境信息和沟通

控制活动

风险评估

控制环境

控制活动信息与沟通

监督COSO内控框架(1992)COSO风险管理框架(2004)21目标设定事项识别风险评估风险应对内部控制和风险管理的框架：C21目前对风险管理与内控认识存在的误区把内部控制与全面风险管理体系的建设理解为建章立制。内部控制体系和全面风险管理体系是相互独立的。内部控制和全面风险管理的作用被夸大。内部控制与全面风险管理理念在企业实践落地难。误区•

内置于企业日常管理过程中，是

一种常规运行的机制。•

整合建设，但根据企业特点各有

侧重。•

无论多么先进的内部控制和风险

管理体系都只能为企业相关目标

的实现提供合理的而非绝对的保

证。•

新事物的导入有个过程，要认清

风险管理成熟度。

正解••••

22目前对风险管理与内控认识存在的误区把内部控制与全面风险管误区22风险管理与内部控制的关系

理论界对内部控制与风险管理的关系有两种观点：

q

观点1：认为风险管理是内部控制的组成部分

q

观点2：认为内部控制是风险管理的组成部分23风险管理与内部控制的关系232324风险管理与内部控制的关系（续）

我们的看法是：

q

如果以风险作为管理的起点，则内部控制是风险的应对，可以理

解为控制属于风险管理的实现工具，因此控制包含于风险管理；

q

如果认为企业管理的实质是控制，风险管理只是在资源有限性和

对象复杂性矛盾下的平衡和导向，那么风险管理可以作为控制系

统的一部分；

q

从组织结构来看，内部控制和风险管理相应的组织结构是完全一

致的，说明二者都应该无缝整合到一定的组织结构中，和其他有

关的业务和职能管理共同服务于企业管理。24风险管理与内部控制的关系（续）24风险管理与内部控制的关系（续）

公司治理、风险管理和内部控

制是现代企业管控体制的组成

部分。q

公司治理：是现代企业调

整所有者和管理者矛盾的

体系；q

风险管理：是管理层应对

内外的各种挑战和不确定

因素的时候，所采用的较

为系统的方法和过程；q

内部控制是：现代企业内

部日常经营运作的业务过

程，管理者负有实施和监

督的完全责任。

现代企业管控体制

公司治理风险管理内部控制25风险管理与内部控制的关系（续）q公司治理：是现代企业调q25Ø

风险管理：做正确的事

•

风险管理解决的不仅是流程问题，更是

要解决战略决策问题、应急处理问题；

不仅要解决当前的问题，更要预测和应

对将来可能发生的问题；不但要解决“

正确地做事”，关键是还要解决“做正确

的事”

•

风险管理更偏向于前端，对影响目标实

现的因素的分析、评估与应对，防止重

大决策失误，防止出现重大危机问题。Ø

内控：正确的做事

•

内控解决的是流程问题，包括业务流

程、管理流程中的风险控制，解决的

是“正确地做事”。

•

内部控制更加重视实施，嵌入到企业

各业务流程的具体业务活动中，融合

在企业的各项规章制度之中，使企业

在正常运营过程中自发地防止错误，

确保合规和真实，从而合理保证目标

的实现。

26风险管理与内部控制的关系（续）Ø风险管理：做正确的事Ø内控：正确的做事26风险管理与内2627风险管理与内部控制的关系（续）

我们认为，风险管理不是罗列所有风险，而是一个循环管理的机制，通过识别、评估

风险、建立应对措施、对风险进行监控与汇报、针对风险持续改善这个流程，形成风

险管理机制，为公司健康发展奠定基础。核心是风险管理文化与意识。27风险管理与内部控制的关系（续）27固有风险

-

风险控制措施

=

变幻无常的世界

财务

声誉

法律法规

健康安全环保－－－－－－－－

无处不在的病菌

病毒库企业可接受的风

险

和管理缺陷

如何积极应对－－－－－－－

病痛

服药/手术

企业的管控体系

预防或

积极应对及

恢复

提升－－－－－－－－－－

人体免疫系统

自身免疫/锻炼

剩余风险（风险敞口）28风险管理与内部控制的关系（续）固有风险-风险控制措施= 变幻无常的世界企业可2829风险管理与内部控制的关系（续）

风险与内控要适度，过度的控制和过度的风险都会给公司带来不利影响。

过度的控制

－官僚作风

－

生产力

－复杂性

－周期

－非增值性活动

过度的风险

－资产的损失

－业务决策不流畅

－不守法

－丑闻29风险管理与内部控制的关系（续）29内部审计与内部控制的关系

判定内部控制设计的有

效性和执行的有效性，

•定期评估内控

•内外审计监控

•内控缺失弥补

内部审计部门对内部控制履行事后检查监督职能。内部审计部门定期对公司内部控

制的健全性、合理性和有效性进行审计，审计范围应覆盖公司所有主要风险点。审

计发现的内控缺陷向同级内控管理职能部门反馈，确保内控缺陷及时彻底整改。30内部审计与内部控制的关系3030内部审计与风险管理的关系

内部审计部门在审计委员会的领导下作为企业风险管理的第三道防线，针对公司已经建

立的风险管理流程和各项风险的控制程序和活动进行监督。31内部审计与风险管理的关系3131内部控制和风险管理体系对内部审计的作用

q

内部审计在制定审计计划的过程中，可以利用风险评估结果，对

于高风险领域投入更多的审计资源；

q

对于内部控制自评估发现的缺陷，内部审计可以借鉴利用，提高

内部控制审计质量；

q

内部控制对业务流程的梳理和关键控制的确定可以加深内部审计

对于企业业务的深入理解；

q

风险管理体系中识别的风险，可以为审计业务的开展提供很好的

参考。32内部控制和风险管理体系对内部审计的作用3232实践中的做法业务部门搭建风险与内控管理框架，确定风险分类和路径：•

协助各部门、单位识别各种风

险；•

收集风险信息并定期更新风险

数据库，对风险进行分类，进

行内控体系建设和操作风险管

理；•

共享内审部门风险导向型审计

计划的同时，及时从内审部门

获取各项评估或者审计的结果，

并据其对风险做进一步评估及

排序。

风险与

内控管理部门按照既定规程操作和运营：•

向风险管理部门提供风险信息；•

定期确认风险控制矩阵的持续

正确，并对过时的内容提出更

新建议；•

在内审部门牵头下进行测试以

验证控制设计有效性；•

开展自我评估，自我确认关键

控制执行是否有效；•

在内控执行力评估的过程中，

配合内审部门开展运行有效性

测试的工作。

内部审计

部门对管理层内部控制自我评估工作进行监督：•

结合风险评估制定年度审计计划，在高风险领域投入更多

的审计资源•

在内控执行力评估中，进行独立评价，审阅内控缺陷汇总

及整改情况，并对监督检查中发现的内部控制重大缺陷，

有权直接向董事会及其审计委员会、监事会报告。33实践中的做法业务部门搭建风险与内控管理框架，按照既定规程操作33德勤关于建立健全内部控制体系的实施方法论34德勤关于建立健全内部控制体系的实施方法论343435目录

对内部控制的理解

风险管理与其在企业管理中的作用

内部审计及其在企业管理中的作用

内部控制、风险管理和内部审计的关系与整合

风险导向的内部控制体系的构建35目录35建设内部控制体系的路线图

内控评价制定内控评价办

法

开展内控评价

跟踪缺陷整改编制内控评价报

告内控整改固化

记录内控缺陷

设计整改方案

完善内控制度

更新内控文件内控梳理对标成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范

内控审计进行模拟审计提供所需证据出具管理声明披露审计报告

信息化建设管理层持续整改/内部监督持续开展36建设内部控制体系的路线图 内控评价内控整改固化内控梳理对标3637各阶段工作解决方案分享－内控梳理对标37各阶段工作解决方案分享－内控梳理对标3738成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控梳理对标风险应对变革管理内部审计机制控制活动

治理结构、内部机构设置

与职责分配

企业文化与

道德规范人力资源政策目标设定风险识别风险分析

内部信息收集与沟通

外部信息收集与沟通反舞弊机制日常监督专项监督人力资源合同

资金

销售全面预算

工程项目信息系统一

般控制财务报告

存货固定资产

管理信息与沟

通

采购…

…风险评估内部控制内部环境各阶段工作解决方案分享－内控梳理对标（续）

从内部控制五要素出发梳理企业内控，关注重要业务事项和高风险领域：38成立专属部门内控梳理对标风险应对内部审计机制控制活动 治38成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范•

可运用适当的风险识别工具，逐步细化风险点和管理手段•

充分运用风险管理工具，强化风险管理，提升经营水平，并为内控体系建设和内控评价奠定良好基础

39各阶段工作解决方案分享－内控梳理对标（续）

风险识别与评估的依据：

内控梳理对标

•

应重点关注18个内部控制应用指引中所列示的风险成立专属部门•可运用适当的风险识别工具，逐步细化风险点和3940各阶段工作解决方案分享－内控梳理对标（续）

风险识别和管理工具－企业风险地图

内控梳理对标

成立专属部门

确定梳理范围

实施风险评估

整理现有制度

辨识内控环节

对标管理规范40各阶段工作解决方案分享－内控梳理对标（续）40成立专属部门确定梳理范围确定梳理范围整理现有制度辨识内控环节对标管理规范企业现有制度

访谈内容41各阶段工作解决方案分享－内控梳理对标（续）

依托最佳实践和控制数据库进行对标梳理

内控梳理对标成立专属部门企业现有制度41各阶段工作解决方案分享－内控梳理41

控制活动编写的原则：4W+1H•

WHO:哪个岗位执行控制活动•

WHEN:该控制活动发生的时间或频率•

WHERE:

该控制活动发生的地点•

WHAT:

根据什么进行控制－如制度、单据、报告、电子邮件、系统数据等•

HOW:

控制活动的具体内容是如何？如何操作？

42内控梳理对标成立专属部门确定梳理范围确定梳理范围整理现有制度辨识内控环节对标管理规范各阶段工作解决方案分享－内控梳理对标（续） 控制活动编写的原则：4W+1H42内控梳理对标各阶段工作解42内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件•

记录内部控制缺陷成因、表现形式和影响程度•

以控制目标为核心，打破部门和流程局限，设计

适合企业运营特点的整改方案•

明确整改责任部门与责任人•

明确整改完成期限•

追踪整改进度•

保留整改证据

43各阶段工作解决方案分享－内控整改固化

•

建立内部控制缺陷认定汇总表内控整改固化•记录内部控制缺陷成因、表现形式和影响程4344各阶段工作解决方案分享－内控整改固化（续）

内部控制手册、业务流程图与流程文件

内控整改固化

记录内控缺陷

设计整改方案

完善内控制度

更新内控文件44各阶段工作解决方案分享－内控整改固化（续）44内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件•

版式、内容更新：

⁻

制度中规定的内容切合现行业务现状以及管控现状，实质内

容不需更新，但是需要依据公司管理层的要求对行文或格式

进行调整；

⁻

制度中规定的相关内容已经不适用于公司运作现状，需要对

相关内容进行调整更新，调整更新的方式包括：重新编写部

分内容，对某些制度中的相关内容按照实际情况，进行删减、

合并或者替换等；•

制度新增：公司无此制度，建议新增的制度•名称更新：根据管理制度覆盖面，内容和细致度等进行分层级划分，统一制度名称。如划分为准则或规则、制度、管理办法、细则或程序、及其他等。

45各阶段工作解决方案分享－内控整改固化（续）

管理制度更新内控整改固化•版式、内容更新：45各阶段工作解决方案分享4546各阶段工作解决方案分享－内控整改固化（续）

内控活动与制度对接

内控整改固化

记录内控缺陷

设计整改方案

完善内控制度

更新内控文件46各阶段工作解决方案分享－内控整改固化（续）4647各阶段工作解决方案分享－内控整改固化（续）

内控与制度智能化查询软件

内控整改固化

记录内控缺陷

设计整改方案

完善内控制度

更新内控文件47各阶段工作解决方案分享－内控整改固化（续）47制定内控评价

办法开展内控评价跟踪缺陷整改编制内控评价

报告48制定评价工作

方案组成评价工作

组实施现场测试认定控制缺陷汇总评价结果编报评价报告各阶段工作解决方案分享－内控评价

解决方案一：基于指引，实施方案的最低要求：

内控评价制定内控评价48制定评组成评实施现认定控汇总评编报评各阶段工48控制活动编号控制活动

IV-CA-104采购预报与收货清单信息核对一致后，收货组人员对货物进行初步检查，检查无误后在收货凭证上签字；对于检查

有误的情况，填写《业务联系单》，经业务主管及分管仓储的副总监审核确认后，通知采购中心，并根据其回复意

见处理。集团项目组测试截止上次测试累计有效样本量0

个总样本量具体测试方法25个

获取存货收货凭证，检查：1.与该批存货对应的采购预报、收货清单上信息一致；2.收货组人员在收货凭证上签字确认；若存在检查有误的情况，还需获取《业务联系单》并检查：1.《业务联系单》依次经过业务主管及分管仓储分总监审核；2.采购中心根据管理层意见执行相关处理。测试属性样本描述预报、收货清单上信息上签字确认一致次经过业务主管及分管仓储分总监审核；解释同时.采购中心根据管理层意见执行相与该批存货对应的采购收货组人员在收货凭证

检查有误的情况，《业务联系单》依

样本属性

未达标样本底稿索引

关处理第一轮测试样本：1）XXX集团-2009.10.23-存货收款凭证编号X235498号，金额RMB

2,394,000元

是是不适用正常不适用控制测试底稿模版－示例控制活动编号 IV-CA-104 有误的情况，填写《业务联系49制定内控评价

办法开展内控评价跟踪缺陷整改编制内控评价

报告50业务部门自评组成评价工作

组实施现场测试认定控制缺陷汇总评价结果编报评价报告

制定

评价

工作

方案建议：在内控评价部门及其工作小组开展内部控制评价工作之前，编制内部控制自评问卷，交由各业务部门各控制责任人，自行梳理相关内部控制、检查内部控制的有效性并填写内部控制自评问卷。内控评价部门及其工作小组在各业务部门自评的基础上开展内部控制评价工作。各阶段工作解决方案分享－内控评价（续）

解决方案二：基于指引，实施方案的建议要求：

内控评价制定内控评价50业务组成实施认定汇总编报 制定在内控评价部门50内部控制自我评价问卷模版－示例内部控制自我评价问卷模版－示例5152业务部门自评组成评价工作

组实施现场测试认定控制缺陷汇总评价结果编报评价报告

制定评

价工作

方案建议：在内控建立阶段，就将企业内部控制固化至信息系统中，在信息系统中为各内部控制落实责任人，审阅人、自评记录以及测试记录、结果汇总、缺陷跟踪等功能配置，使得上述“解决方案二”的工作完全可以在线维护，在线开展！制定内控评价

办法开展内控评价跟踪缺陷整改编制内控评价

报告各阶段工作解决方案分享－内控评价（续）

解决方案三：基于指引，实施方案的最佳要求：

内控评价

运用信息系统，将工作IT化52业务部组成评实施现认定控汇总评编报评 制定评在内控建立阶52方案要求特点一最低要求满足合规二推荐要求有利于提高业务部门的意识和责任感，为管理提升和未来走向全面风险内控打下基础三努力方向，最佳要求此为方案二的增强版，用IT系统固化，企业竞争能力融入管理体系中而不是个别领导脑袋中。内控评价53解决方案一Vs解决方案二Vs解决方案三制定内控评价

办法开展内控评价跟踪缺陷整改编制内控评价

报告各阶段工作解决方案分享－内控评价（续）方案要求特点一最低要求满足合规二推荐要求有利于提高业务部门的53

内控审计进行模拟审计提供所需证据出具管理声明披露审计报告

有备无患：聘请外部审计师提前进行模拟审计•

更系统化的测试方法，有利提高内部团队水平•

更专业化的整改建议，有利完善内部控制环节•

更客观化的缺陷评定，有利了解审计师结论•

更全面化的程序预演，有利资料准备与效率提高

54各阶段工作解决方案分享－内控审计 内控审计 有备无患：聘请外部审计师提前进行模拟审计54各阶54成内部控制审计••与企业相关的风险相关法律法规和行业概况•••••企业组织结构、经营特点和资本结构等相关重要事项企业内部控制最近发生变化的程度相关制度政策及内部控制文档已注意到的内部控制缺陷与内部控制有效性相关的证据•自我评价工作底稿进行模拟测试提供所需证据出具管理声明披露审计报告内控审计55各阶段工作解决方案分享－内控审计（续）

企业应提供详尽的以下信息将有利于注册会计师省时高效的完成内部控制审计•与企业相关的风险•企业组织结构、经营特点和资55•

企业已对内部控制的有效性作出自我评价，并说明评价时采用的标准以及得出的结论•

企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础•

企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷•

企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决•

企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素

内控审计进行模拟测试提供所需证据出具管理声明披露审计报告56各阶段工作解决方案分享－内控审计（续）

管理声明的内容应包括

•

企业董事会认可其对建立健全和有效实施内部控制负责•企业已对内部控制的有效性作出自我评价，并说明评价时采用的5657最新理念

–

基于岗位的风险内控推进体系

公司层面

控制

信息系统

流程

保费流程

理赔流程

资金管理

流程

投资管理

流程

再保险流

程

精算流程

…57最新理念–基于岗位的风险内控推进体系57按岗位在线帮助在线提示在线防错风险事件知识模版总库

风险案例

关键控制点具体的制度和细则

风险案例行政监管处罚法规和监管要

求的变化

风险事件经营管理系统和其他业务系统58最新理念

–

基于岗位的风险内控推进体系（续）按岗位在线帮助风险事件知识模版总库 关键控制点 风险案例法规58本岗位风险操作人员将风险确认作为业务操作步骤，必须确认完毕才能操作业务。

操作失当

超授权

假赔案客户流失、低续

约率

外包机构

资质不当

不合理的

查勘费用

机构、人力资源

变动

费用管理不善（超支、虚列等）

.........

业务系统

友情提示

：

操作人员可以在操作画面直

接获取对应提示或警示。本岗位的关键控制59最新理念

–

基于岗位的风险内控推进体系（续）

强制性提示本岗位风险操作人员将风险确认作为 操作失当 资质不当业5926十二月2022内部控制、风险管理与内部审计的关系和整合19十二月2022内部控制、风险管理与内部审计的关系和整602目录

对内部控制的理解

风险管理与其在企业管理中的作用

内部审计及其在企业管理中的作用

内部控制、风险管理和内部审计的关系与整合

风险导向的内部控制体系的构建2目录61内部控制的演变和发展趋势3

COSO内部控制

整体框架内控评价内部审计进展40年代前40－70年代80－90年代90年代后2002年后2006年后

内部牵制-实物牵制-薄记牵制内部控制结构完善-控制环境-会计系统-控制程序-建立内控-数据准确一致-内控可靠性以风险为导向的内

部控制广义内控长期性持续性

后萨班萨班斯

斯时代

法案

-法律责任-控制环境

-与财务报-风险评估

告相关的-控制活动

内部控制-信息沟通-持续监控内部控制的演变和发展趋势3 COSO内控评价进展40年代前62内部控制的作用4

良好的内部控制会:•

降低舞弊的可能•

获得(或重获)投资者的信心•

遵守法律和法规•

降低资源流失的风险•

以更高质量和更及时的信息优

化业务决策•

暴露经营中的低效环节

薄弱的内部控制会:•

提高舞弊发生的可能•

错误的财务报表•

不良的公众形象•

对股东价值的负面影响•

招致证券监管机构制裁•

诉讼或者其他法律纠纷•

资产的流失

•

经营决策不能最优化内部控制不是静止的，是会随着时间的流逝和经验的增加而不断进步。内部控制的作用4 良好的内部控制会: 薄弱的内部控制会: •635目录

对内部控制的理解

风险管理与其在企业管理中的作用

内部审计及其在企业管理中的作用

内部控制、风险管理和内部审计的关系与整合

风险导向的内部控制体系的构建5目录646风险管理的演化发展

全面风险管理

风险的数量化

管理

保险和安全生产70年代1995年6风险管理的演化发展70年代1995年65时间机构/国家标准1988年BCBS巴塞尔协议1999年澳大利亚和新西兰AS/NZ436019992002年加拿大风险管理：决策者指南—加拿大国家标准2003年英国AIRMIC/ALARM/IRM2004年COSO企业风险管理—整合框架2004年BCBS巴塞尔协议Ⅱ2005年香港会计师公会内部控制与风险管理的基本架构2008欧洲委员会偿付能力Ⅱ7国外主要风险管理标准时间机构/国家标准1988年BCBS巴塞尔协议1999年澳大66

支柱1

最低资本要求信用风险•标准化流程•基础IRB•高级IRB市场风险•标准化流程•内部VaR模型操作风险•基本指标法•标准法

支柱2

监管当局的监督检查银行框架•良好的资本评估•整体资本充足率•全面风险评估监管框架•银行内部系统评估•风险组合评估•合规性评估•监管机制

支柱3

市场约束披露要求•银行风险信息的对市场的透明度•提高银行间的可比性8国外主要风险管理标准巴巴塞尔新资本协议

2004年6月，巴塞尔委员会发布了《统一资本计量和资本标准的国际协议：修订框架》，新协

议将会对整个国际金融市场产生深远的影响：签署新协议的100多个国家的银行、证券公司、

基金公司、资产管理公司、保险公司等都会受到直接或间接的影响。我国于1996年加入了巴

塞尔成员国行列，标志着我国银行业接受了《巴塞尔协议》的要求。

财务稳定性 支柱1 支柱2 支柱38国外主要风险管理标准巴巴塞尔67沟通及协商监控及评价9

建立风险评估基础

•内外部基础信息，包括对公

司目标的了解和信息掌握

•风险管理基础设定

识别风险

分析风险

现有风险结构

影响程度

可能性

风险值

整合风险

评估风险

应对风险•

评估各种可能方案国外主要风险管理标准：澳新标准框架澳新标准是由澳大利亚与新西兰联合标准委员会发布的关于风险管理的一个标准。该标准主要建立了一个风险管理的基础框架，为企业提供一个通用的建立和实施有效风险管理流程的指引，强调在实施风险评估工作之前要建立风险评估基础。沟通及协商监控及评价9 建立风险评估基础国外主要风险管6810国外主要风险管理标准：COSO的ERM框架

2004年9月，COSO正式颁布《企业风险管理——整体框架》，包含4大目标（战略、经营、报告和合

规目标）、8个相互关联的要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、

信息与沟通、监控）和应用的企业及单位（公司层面、子公司、业务单元和科室）。10国外主要风险管理标准：COSO的ERM框架69保险风险市场风险信用风险流动性风险操作风险支柱1投资规则

执行

定量要求

准备金最低资本金要求支柱2

(监管者的能力和职权,

活动领

域)

控制

监管者复核

定性要求金融服务法规监

管支柱3竞争相关因素

披露

市场约束

透明度披露要求

国外主要风险管理标准：偿付能力Ⅱ

（Solvency

II）2003年4月，欧盟保险委员会(European

Insurance

Committee)会议确定了偿付能力Ⅱ的基本概念和原则。修改定稿的偿付能力Ⅱ将于2011年10月提交英国金融服务管理局（FSA），预计可于2012年10月正式实施。这也将可能成为我国保险行业未来的趋势。

SOLVENCY

II

将Solvency

II嵌入业务11保险风险流动性风险操作风险支柱1投资规则 定量要求支柱2 (70时间机构标准2005年银监会商业银行市场风险管理指引2006年国资委中央企业全面风险管理指引2006年银监会商业银行合规风险管理指引2007年银监会商业银行操作风险管理指引2007年保监会保险公司风险管理指引2009年银监会商业银行流动风险管理指引2009年银监会商业银行声誉风险管理指引2009年银监会商业银行信息科技风险管理指引2010年保监会人身保险公司全面风险管理实施指引12国内主要风险管理规定时间机构标准2005年银监会商业银行市场风险管理指引20067113国资委—中央企业全面风险管理指引•战略风险信息••••财务风险信息市场风险信息运营风险信息法律风险信息风险管理初始信息•风险辨识••风险分析风险评价•风险解决具体目•••标所需的组织领导所涉及的管理及业务流程以及资源等风险事件发生前、中、后所采取的应对措施以及风险管理工具•部门和业务单•••位自查和检验风险管理职能部门检查和检验内部审计部门监督评价中介机构评价风险管理

流程风险评估风险管理解决方案

风险管理的监督与改进•风险承担••••••风险规避风险转移风险转换风险对冲风险补偿风险控制风险管理策略•••••••董事会就全面风险管理工作的有效性对股东（大）会负责风险管理委员会对董事会负责总经理对全面风险管理工作的有效性向董事会负责设立专职部门或确定相关职能部门履行全面风险管理职责董事会下设立审计委员会，内审部门对审计委员会负责其他职能部门及各业务单位接受风险管理职能部门和内部审计部门的组织、协调、指导和监督指导和监督其全资、控股子企业风险管理组织体系••••••信息技术应用于风险管理实践风险管理信息系统保障风险信息量化值的要求风险管理信息系统的功能要求风险管理信息系统应该实现跨部门的集成与共享风险管理信息系统应确保安全、稳定运行风险管理信息系统的建设与更新风险管理

体系风险管理信息系统风险管理

文化•••风险管理文化建设的目标和任务风险管理文化的内涵风险管理文化传播和培育的方法中央企业全面风险管理指引

13国资委—中央企业全面风险管理指引•战略风险信息•财务风险7214风险管理流程

纵观以上国际国内的风险管理标准和指引，我们可以看到：

•

风险管理的框架和概念存在着多个流派，风险管理框架和风险管理语言的不统一；

•

多种风险管理框架造成多重的监管标准要求，使得风险管理在实务界存在重复投资

和资源浪费现象，最后导致损失的是企业。

我们认为，风险管理不是罗列所有风险，而是一个循环管理的机制，通过识别、评估

风险、建立应对措施、对风险进行监控与汇报、针对风险持续改善这个流程，形成风

险管理机制，为公司健康发展奠定基础。核心是风险管理文化与意识。14风险管理流程73理同经营规划和战冗余劲高效的

略制定相

综合风险转结合风险评估流程优化风险争优势保护和提升企业价值牌形象15企业风险管理的作用裁减活动

将风险管实施更强

建立竞

管理成本定因素移和风险接受决策

正确厘定交易

固有风险的价

格

协调风险偏好与战

略的关系，确保两

者间匹配

提高应对变革的

就绪程度

减少经营损

失和意外事

件改善合规和风险应对措

施

改善对全

企业共同

风险的管

理改善资本利用及资

源调配

确保风险承

担与核心业深化对影响收益和资本的风险认识务竞争力相

符

保护声

誉和品

引入系统

化的风险

评估流程

，提高管理

层对风险管

理的信心改善经营绩效

预见和

沟通绩

效目标

中固有

的不确企业风险管理的价值主张：企业风险管理除推动管理层的风险管理能力日趋成熟以外，还从以下三方面帮助管理层保护和提升企业价值：•建立可持续的竞争优势；•优化风险管理成本•帮助管理层改善经营业

绩理同经营规划和战冗余劲高效的略制定相7416

1通过评估重大事件发生的可能性及其影响效应，以及提出预防这些事件发生或管理这些事件（如确实已经发生）影响的响应措施，减少绩效的不稳定性。

减少绩效的

不稳定性

2当风险管理的职能部门不止一个，而要管理的风险也不止一种时，就需要有一个通用的框架。同时也可回答投资者经常提出的问题：“有哪些风险，怎么管理这些风险，你又是怎么知道这些风险的?”协调和整合风险管理的职能部门和管理程序

3投资者可评价企业在了解和管理风险方面的能力，以便对照所承受的风险，粗略地评估自己的投资回报是否足够丰厚。

增强投资者的

信心

4提升企业识别风险、确定风险轻重缓急次序和规划风险的能力，合理调配企业资源。响应不断变化的业务环境企业风险管理的作用（续）

企业风险管理有助于管理层协调风险偏好与企业战略之间的匹配关系，强化

风险应对决策，减少营运意外事件和损失，识别和管理贯穿整个企业的风险，

建立抵抗多重风险的综合响应预案，抓住机遇及改善资本配置。16 1 2 3 4企业风险管理的作用（续）7517目录

对内部控制的理解

风险管理与其在企业管理中的作用

内部审计及其在企业管理中的作用

内部控制、风险管理和内部审计的关系与整合

风险导向的内部控制体系的构建17目录76内部审计演进控制纠正与管理层合作

价值创造

实行风险和控制自我评估中间阶段

流程改进企业全面风险管理持续的风

险管理风险咨询舞弊防范财务/合规

性审计合规性价值保护

关注交易/

资产保护相关风险范围

流程分析

&最佳实务操作有限的全面的18内部审计演进控制纠正与管理层合作 价值创造中间阶段企业全面77风险评估及

建立模型

制定内部

审计方案

提交结论及

建议

执行内部

审计测试内部审计

建立内部

审计测试德勤内部审计模型

审计准备风险评估及提交结论及内部审计德勤内部审计模型7820目录

对内部控制的理解

风险管理与其在企业管理中的作用

内部审计及其在企业管理中的作用

内部控制、风险管理和内部审计的关系与整合

风险导向的内部控制体系的构建20目录79目标设定事项识别风险评估风险应对内部控制和风险管理的框架：COSO框架的演进监控

子

公

业

司

务

分

单

支

位企

机业

构层面

内部环境信息和沟通

控制活动

风险评估

控制环境

控制活动信息与沟通

监督COSO内控框架(1992)COSO风险管理框架(2004)21目标设定事项识别风险评估风险应对内部控制和风险管理的框架：C80目前对风险管理与内控认识存在的误区把内部控制与全面风险管理体系的建设理解为建章立制。内部控制体系和全面风险管理体系是相互独立的。内部控制和全面风险管理的作用被夸大。内部控制与全面风险管理理念在企业实践落地难。误区•

内置于企业日常管理过程中，是

一种常规运行的机制。•

整合建设，但根据企业特点各有

侧重。•

无论多么先进的内部控制和风险

管理体系都只能为企业相关目标

的实现提供合理的而非绝对的保

证。•

新事物的导入有个过程，要认清

风险管理成熟度。

正解••••

22目前对风险管理与内控认识存在的误区把内部控制与全面风险管误区81风险管理与内部控制的关系

理论界对内部控制与风险管理的关系有两种观点：

q

观点1：认为风险管理是内部控制的组成部分

q

观点2：认为内部控制是风险管理的组成部分23风险管理与内部控制的关系238224风险管理与内部控制的关系（续）

我们的看法是：

q

如果以风险作为管理的起点，则内部控制是风险的应对，可以理

解为控制属于风险管理的实现工具，因此控制包含于风险管理；

q

如果认为企业管理的实质是控制，风险管理只是在资源有限性和

对象复杂性矛盾下的平衡和导向，那么风险管理可以作为控制系

统的一部分；

q

从组织结构来看，内部控制和风险管理相应的组织结构是完全一

致的，说明二者都应该无缝整合到一定的组织结构中，和其他有

关的业务和职能管理共同服务于企业管理。24风险管理与内部控制的关系（续）83风险管理与内部控制的关系（续）

公司治理、风险管理和内部控

制是现代企业管控体制的组成

部分。q

公司治理：是现代企业调

整所有者和管理者矛盾的

体系；q

风险管理：是管理层应对

内外的各种挑战和不确定

因素的时候，所采用的较

为系统的方法和过程；q

内部控制是：现代企业内

部日常经营运作的业务过

程，管理者负有实施和监

督的完全责任。

现代企业管控体制

公司治理风险管理内部控制25风险管理与内部控制的关系（续）q公司治理：是现代企业调q84Ø

风险管理：做正确的事

•

风险管理解决的不仅是流程问题，更是

要解决战略决策问题、应急处理问题；

不仅要解决当前的问题，更要预测和应

对将来可能发生的问题；不但要解决“

正确地做事”，关键是还要解决“做正确

的事”

•

风险管理更偏向于前端，对影响目标实

现的因素的分析、评估与应对，防止重

大决策失误，防止出现重大危机问题。Ø

内控：正确的做事

•

内控解决的是流程问题，包括业务流

程、管理流程中的风险控制，解决的

是“正确地做事”。

•

内部控制更加重视实施，嵌入到企业

各业务流程的具体业务活动中，融合

在企业的各项规章制度之中，使企业

在正常运营过程中自发地防止错误，

确保合规和真实，从而合理保证目标

的实现。

26风险管理与内部控制的关系（续）Ø风险管理：做正确的事Ø内控：正确的做事26风险管理与内8527风险管理与内部控制的关系（续）

我们认为，风险管理不是罗列所有风险，而是一个循环管理的机制，通过识别、评估

风险、建立应对措施、对风险进行监控与汇报、针对风险持续改善这个流程，形成风

险管理机制，为公司健康发展奠定基础。核心是风险管理文化与意识。27风险管理与内部控制的关系（续）86固有风险

-

风险控制措施

=

变幻无常的世界

财务

声誉

法律法规

健康安全环保－－－－－－－－

无处不在的病菌

病毒库企业可接受的风

险

和管理缺陷

如何积极应对－－－－－－－

病痛

服药/手术

企业的管控体系

预防或

积极应对及

恢复

提升－－－－－－－－－－

人体免疫系统

自身免疫/锻炼

剩余风险（风险敞口）28风险管理与内部控制的关系（续）固有风险-风险控制措施= 变幻无常的世界企业可8729风险管理与内部控制的关系（续）

风险与内控要适度，过度的控制和过度的风险都会给公司带来不利影响。

过度的控制

－官僚作风

－

生产力

－复杂性

－周期

－非增值性活动

过度的风险

－资产的损失

－业务决策不流畅

－不守法

－丑闻29风险管理与内部控制的关系（续）88内部审计与内部控制的关系

判定内部控制设计的有

效性和执行的有效性，

•定期评估内控

•内外审计监控

•内控缺失弥补

内部审计部门对内部控制履行事后检查监督职能。内部审计部门定期对公司内部控

制的健全性、合理性和有效性进行审计，审计范围应覆盖公司所有主要风险点。审

计发现的内控缺陷向同级内控管理职能部门反馈，确保内控缺陷及时彻底整改。30内部审计与内部控制的关系3089内部审计与风险管理的关系

内部审计部门在审计委员会的领导下作为企业风险管理的第三道防线，针对公司已经建

立的风险管理流程和各项风险的控制程序和活动进行监督。31内部审计与风险管理的关系3190内部控制和风险管理体系对内部审计的作用

q

内部审计在制定审计计划的过程中，可以利用风险评估结果，对

于高风险领域投入更多的审计资源；

q

对于内部控制自评估发现的缺陷，内部审计可以借鉴利用，提高

内部控制审计质量；

q

内部控制对业务流程的梳理和关键控制的确定可以加深内部审计

对于企业业务的深入理解；

q

风险管理体系中识别的风险，可以为审计业务的开展提供很好的

参考。32内部控制和风险管理体系对内部审计的作用3291实践中的做法业务部门搭建风险与内控管理框架，确定风险分类和路径：•

协助各部门、单位识别各种风

险；•

收集风险信息并定期更新风险

数据库，对风险进行分类，进

行内控体系建设和操作风险管

理；•

共享内审部门风险导向型审计

计划的同时，及时从内审部门

获取各项评估或者审计的结果，

并据其对风险做进一步评估及

排序。

风险与

内控管理部门按照既定规程操作和运营：•

向风险管理部门提供风险信息；•

定期确认风险控制矩阵的持续

正确，并对过时的内容提出更

新建议；•

在内审部门牵头下进行测试以

验证控制设计有效性；•

开展自我评估，自我确认关键

控制执行是否有效；•

在内控执行力评估的过程中，

配合内审部门开展运行有效性

测试的工作。

内部审计

部门对管理层内部控制自我评估工作进行监督：•

结合风险评估制定年度审计计划，在高风险领域投入更多

的审计资源•

在内控执行力评估中，进行独立评价，审阅内控缺陷汇总

及整改情况，并对监督检查中发现的内部控制重大缺陷，

有权直接向董事会及其审计委员会、监事会报告。33实践中的做法业务部门搭建风险与内控管理框架，按照既定规程操作92德勤关于建立健全内部控制体系的实施方法论34德勤关于建立健全内部控制体系的实施方法论349335目录

对内部控制的理解

风险管理与其在企业管理中的作用

内部审计及其在企业管理中的作用

内部控制、风险管理和内部审计的关系与整合

风险导向的内部控制体系的构建35目录94建设内部控制体系的路线图

内控评价制定内控评价办

法

开展内控评价

跟踪缺陷整改编制内控评价报

告内控整改固化

记录内控缺陷

设计整改方案

完善内控制度

更新内控文件内控梳理对标成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范

内控审计进行模拟审计提供所需证据出具管理声明披露审计报告

信息化建设管理层持续整改/内部监督持续开展36建设内部控制体系的路线图 内控评价内控整改固化内控梳理对标9537各阶段工作解决方案分享－内控梳理对标37各阶段工作解决方案分享－内控梳理对标9638成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控梳理对标风险应对变革管理内部审计机制控制活动

治理结构、内部机构设置

与职责分配

企业文化与

道德规范人力资源政策目标设定风险识别风险分析

内部信息收集与沟通

外部信息收集与沟通反舞弊机制日常监督专项监督人力资源合同

资金

销售全面预算

工程项目信息系统一

般控制财务报告

存货固定资产

管理信息与沟

通

采购…

…风险评估内部控制内部环境各阶段工作解决方案分享－内控梳理对标（续）

从内部控制五要素出发梳理企业内控，关注重要业务事项和高风险领域：38成立专属部门内控梳理对标风险应对内部审计机制控制活动 治97成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范•

可运用适当的风险识别工具，逐步细化风险点和管理手段•

充分运用风险管理工具，强化风险管理，提升经营水平，并为内控体系建设和内控评价奠定良好基础

39各阶段工作解决方案分享－内控梳理对标（续）

风险识别与评估的依据：

内控梳理对标

•

应重点关注18个内部控制应用指引中所列示的风险成立专属部门•可运用适当的风险识别工具，逐步细化风险点和9840各阶段工作解决方案分享－内控梳理对标（续）

风险识别和管理工具－企业风险地图

内控梳理对标

成立专属部门

确定梳理范围

实施风险评估

整理现有制度

辨识内控环节

对标管理规范40各阶段工作解决方案分享－内控梳理对标（续）99成立专属部门确定梳理范围确定梳理范围整理现有制度辨识内控环节对标管理规范企业现有制度

访谈内容41各阶段工作解决方案分享－内控梳理对标（续）

依托最佳实践和控制数据库进行对标梳理

内控梳理对标成立专属部门企业现有制度41各阶段工作解决方案分享－内控梳理100

控制活动编写的原则：4W+1H•

WHO:哪个岗位执行控制活动•

WHEN:该控制活动发生的时间或频率•

WHERE:

该控制活动发生的地点•

WHAT:

根据什么进行控制－如制度、单据、报告、电子邮件、系统数据等•

HOW:

控制活动的具体内容是如何？如何操作？

42内控梳理对标成立专属部门确定梳理范围确定梳理范围整理现有制度辨识内控环节对标管理规范各阶段工作解决方案分享－内控梳理对标（续） 控制活动编写的原则：4W+1H42内控梳理对标各阶段工作解101内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件•

记录内部控制缺陷成因、表现形式和影响程度•

以控制目标为核心，打破部门和流程局限，设计

适合企业运营特点的整改方案•

明确整改责任部门与责任人•

明确整改完成期限•

追踪整改进度•

保留整改证据

43各阶段工作解决方案分享－内控整改固化

•

建立内部控制缺陷认定汇总表内控整改固化•记录内部控制缺陷成因、表现形式和影响程10244各阶段工作解决方案分享－内控整改固化（续）

内部控制手册、业务流程图与流程文件

内控整改固化

记录内控缺陷

设计整改方案

完善内控制度

更新内控文件44各阶段工作解决方案分享－内控整改固化（续）103内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件•

版式、内容更新：

⁻

制度中规定的内容切合现行业务现状以及管控现状，实质内

容不需更新，但是需要依据公司管理层的要求对行文或格式

进行调整；

⁻

制度中规定的相关内容已经不适用于公司运作现状，需要对

相关内容进行调整更新，调整更新的方式包括：重新编写部

分内容，对某些制度中的相关内容按照实际情况，进行删减、

合并或者替换等；•

制度新增：公司无此制度，建议新增的制度•名称更新：根据管理制度覆盖面，内容和细致度等进行分层级划分，统一制度名称。如划分为准则或规则、制度、管理办法、细则或程序、及其他等。

45各阶段工作解决方案分享－内控整改固化（续）

管理制度更新内控整改固化•版式、内容更新：45各阶段工作解决方案分享10446各阶段工作解决方案分享－内控整改固化（续）

内控活动与制度对接

内控整改固化

记录内控缺陷

设计整改方案

完善内控制度

更新内控文件46各阶段工作解决方案分享－内控整改固化（续）10547各阶段工作解决方案分享－内控整改固化（续）

内控与制度智能化查询软件

内控整改固化

记录内控缺陷

设计整改方案

完善内控制度

更新内控文件47各阶段工作解决方案分享－内控整改固化（续）106制定内控评价

办法开展内控评价跟踪缺陷整改编制内控评价

报告48制定评价工作

方案组成评价工作

组实施现场测试认定控制缺陷汇总评价结果编报评价报告各阶段工作解决方案分享－内控评价

解决方案一：基于指引，实施方案的最低要求：

内控评价制定内控评价48制定评组成评实施现认定控汇总评编报评各阶段工107控制