企业风险管理及内部控制解读

1、-. z.企业风险管理与内部控制解读主要内容风险管理与内部控制工程概述风险管理与内部控制工程主要成果法规视角下的内部控制公司层面的内部控制业务流程层面的内部控制内部控制与业务流程变革风险管理与内部控制内部控制手册内部控制自评估机制风险管理信息系统总结第一章风险管理与内部控制工程概述工程目标风险管理与内部控制工程的目标为协助集团公司实现：风险管理与内部控制工程实施路线图工程主要工作内容搭建集团公司风险分类框架和风险库任务工作层级主要内容风险与控制现状调研与诊断集团总部二级总部三级企业与高级管理层、外籍管理人员、业务部门骨干人员开展访谈收集分析相关制度，进展分析和诊断风险识别集团总部二级总部三级企

2、业以全球化工行业通用风险库为根底参考全球及国内主要化工企业主要风险对标结果，以及央企先进经历根据风险与控制现状调研与诊断，识别战略转型期特有的风险形成为集团公司量身打造的风险分类框架和风险库开展年度风险评估，编制风险评估报告任务工作层级主要内容风险评估集团总部二级总部三级企业根据集团总部、二级总部和三级企业具体情况，经过多轮沟通确定风险评估标准组织集团总部、二级总部和三级企业各部门使用风险评估表进展风险评估与国际国内标杆企业识别的重大风险进展对标，分析风险评估初步结果的完整性和合理性与集团总部8名高级管理人员、二级总部6名外籍高管和3名中方高管进展访谈，对风险评估结果和重大风险排序进展沟通形成

3、2010年各级公司风险坐标图和重大风险事件清单重大风险应对思路和解决方案集团总部二级总部三级企业结合公司正在开展或拟开展的管理变革工作，落实风险管控举措对于管理变革工作尚未覆盖的领域，起草重大风险解决方案，向高级管理层进展汇报2010年度风险管理报告集团总部二级总部三级企业根据国资委对中央企业2010年度风险管理报告的要求，草拟2010年度风险管理报告，协助完成首次报送根据确认后的风险评估结果，编制二级总部和三级企业风险管理报告/总结编制内部控制指引，试点企业内部控制体系建立任务工作层级主要内容编制内部控制指引集团总部二级总部结合国资委和财政部相关要求，分别编制集团总部和二级总部内部控制指引，

4、明确内部控制目标与控制措施试点企业内部控制体系建立三级企业按业务流程开展内部控制有效性测试，针对内控薄弱环节，提出应对方案和改良建议对内控薄弱环节的改良情况进展持续监控编制内部控制手册、内部控制自评估手册和内部控制自评估文档，作为今后管理层实施内控自评估的模板建议风险管理组织体系和工作流程任务工作层级主要内容建议风险管理组织体系集团总部二级总部三级企业编制集团总部、二级总部和三级企业风险管理方法，明确集团公司及其所属单位风险管理组织体系构造、职责分工和工作流程，并统筹考虑风险管理职能在各层级企业的接口风险管理文化培育和知识转移任务工作层级主要内容风险管理和内部控制知识转移集团总部二级总部三级企

5、业在集团总部和二级总部开展了3场风险管理和内部控制根底培训、风险评估技术培训在三级企业举行了10场风险管理与内部控制专题培训，超过100位流程负责人和业务骨干参与了培训培育风险管理企业文化集团总部二级总部三级企业编制风险管理与内部控制知识百问在内部报刊上发布，提升全员对全面风险管理的正确认知，培育风险管理理念和风险管理气氛工程主要内容总结内部控制工程与其他管理变革工程工程交付成果概述工程第一阶段共形成交付成果21项，各类成果所占比例如下：第二章法规视角下的内部控制现代企业理论内部控制萨班斯法案404条款的要求在美国上市的中国公司应当遵守萨班斯法案的要求萨班斯法案要求所有美国的上市公司要在所有与

6、财务报告有关的流程建立并维持足够的内部控制满足萨班斯法案的第一步就是识别所有与财务报告有关的流程外部审计师须对公司的财务报告流程的内部控制进展审计，并出具意见404条款-年度财务报告内部控制的公司管理层报告设立并维持了足够的财务报告内控体系；财务报告内控体系有效性的评价；为评价财务报告内控体系而采用的评价体系的说明。我国内部控制根本规*法定要求财政部、审计署、保监会、银监会、证监会联合下发了企业内部控制根本规*，要求上市公司于2009年7月1日起开场实施，对本公司内部控制的有效性进展自我评价，披露年度自我评价报告。集团公司下属的A股上市公司根据要求需要编制内控自评估报告，同时面临外部审计师对其

7、内部控制现状的检验。2008年6月28日财政部等五部委联合发布企业内部控制根本规*及其三项配套指引企业内部控制应用指引、企业内部控制评价指引、企业内部控制审计指引，前两个指引适用于企业、监管机构、咨询方、审计师，第三个指引适用于审计师。国资委的全面风险管理要求国务院国资委2006年6月6日发布了中央企业全面风险管理指引，要求所有的中央企业根据实际情况推行企业风险管理工作。COSO内部控制整合框架VS企业风险管理整合框架内控是风险管理的重要组成局部，风险管理是内控的扩展。我国内部控制体系框架公司层面的内部控制控制环境控制环境员工守则企业的诚信和道德价值观一般通过员工行为准则来表达，它是告诉企业员

8、工什么行为可承受、什么行为不可承受、以及遇到不正当行为应该采取的行动。对于企业来说，首要的工作是建立一套员工能够承受和理解的诚信和道德标准，如员工行为手册；其次是必须让员工知晓和理解这些规定，这是执行的前提条件；最后就是贯彻执行。控制环境企业文化控制环境管理理念和经营风格策略类型投资/成长获利/保护收成/合并管理风格创业家经营者管理者行为特征.风险偏好者2.喜欢冒险3.讲求效率4.具有吸引力5.个人导向6.较少的控制7.创新性思维8.时机主义者1.风险计算者2.适度的冒险3.讲求效率与效果4.具有说服力5.团队建立者6.适度的控制7.适应性思维者8.分析者1.风险躲避者2.较为保守3.讲求效果

9、4.依赖纪律的约束5.群体维持者6.高度控制7.推断性思考者8.务实主义者控制环境组织构造简单构造具有简单构造的企业，通常是被个人控制；组织的形态也是以个人所建立与维系的关系和做事的非正式流程为主；这种构造类型的主要问题：企业只在一定的规模以下才能正常运转，一旦超过一定规模，一个人将难当重任。职能构造优点首席执行官掌握各运行部门简化控制机制明确的职责划分在中高层管理者中有*种职能专家缺点高层管理者为事务性工作所困扰高层管理者容易无视战略性问题较难应对组织内的多样性各职能部门之间的协调比拟困难适应能力差多分部构造优点集中精力于业务领域如产品、市场有利于对各部门业绩的考核增减业务单位十分便利有利于

10、高级管理者将注意力放在战略问题上鼓励综合管理层的开展缺点职责不清集权与分权的界限不清各分部之间易发生冲突管理本钱高昂部门之间的交易使管理变得复杂分部成长得过于庞大分部过多会使协调变得更为复杂化矩阵构造优点当有利益冲突时可以做出明智的选择直接交流取代了官僚主义管理层有更大的主动性参与决策使管理者有更好的开展空间缺点决策时间延长工作和任务职责不清晰本钱与利润责任不明确冲突的可能性增大容易忽略主要矛盾传统组织构造的缺陷一项业务流程流经各个职能部门,环环相等,整个流程被分解部门之间在衔接中大量等待各部门增加重复劳动,大大延长了完成任务所花费的时间层次过多,管理费用和组织本钱过大信息传递速度过慢、信息质

11、量较差扁平化流程型组织模型扁平化组织的目的在于改善一个组织的工作流程和作业，从而更为实际而有效地满足或超越顾客不断变化的需求。降低管理费用与组织本钱提高信息质量与沟通速度减少不必要的错误、提高快速反响能力控制环境权责分配战略规划类型财务控制类型战略控制类型控制环境内部审计内部审计*围和主要领域的演变内部审计的转型方向国际注册内部审计师协会关于内部审计职责的相关规定国际内部审计师协会IIA新版的内部审计实务标准中，内部审计的定义发生了明显的变化。内部审计实务标准关于内部审计的两大职责：鉴证Assurance咨询Consulting风险导向内部审计的核心流程根本风险的年度审计方案：了解公司战略和业

12、务目标确定目标程序/风险实施公司级风险评估程序排列风险优先次序确定审计*畴制定年度和长期方案风险导向的审计工程实施程序：对下属企业开展初步的风险评估了解业务流程根据业务流程中的风险确定审计重点沟通风险导向的测试方案测试关键控制对风险管理能力的评估考虑风险的根底上汇总结果海外企业-风险坐标图海外企业以风险为导向内部审计方案AUDIT PROJECTPRIORITYFREQUENCY(Years)Information Technology General Controls (ITGC)13Process Control Systems (ITGC)13modity Hedging (Platin

13、um)13Financial Reporting24Intellectual Property24Treasury24Strategic Purchasing24Plant Purchasing24Inventory24Foreign Subsidiaries (1 or 2 per year)24Payroll35Fi*ed Assets35Legal Contract Administration35Note: The above projects represent the remended recurring auditable units to be addressed over t

14、he cycle. Each year they would provide the basis of a draft audit plan for discussion with management on current risk factors to develop an audit plan for submission to the Audit mittee.In addition to the above projects management requests for particular audits or investigations would be considered

15、when the annual plan was being discussed or at any other time.控制环境人力资源政策和措施人力资源战略与企业战略企业战略廉价战略优质战略创新战略人力资源战略吸引战略参与战略投资战略特点中央集权高度分工严格控制依靠工资与奖金来维持员工积极性企业决策权下放员工参与管理藉此提供员工认同/归属感注重发挥绝大多数员工的积极性、创造性和主动性重视人才资本投资企业与员工建立长期工作关系注重发挥管理人员和技术人员的作用目标设定内部控制的目标目标设定战略目标目标体系：目标设定开展战略Ansoff矩阵目标设定战略目标目标分解目标设定战略目标战略的三个层次

16、竞争战略的根本类型战略目标竞争优势整个市场低本钱独特性本钱领先战略差异化战略特定细分市场集中化战略本钱领先化集中化差异化集中化风险管理如何推动战略管理五竞争力模型SWOT分析框架价值链根本活动是指那些与产品或效劳的创造或交付直接相关的活动；辅助活动帮助提高根本活动的效果或效率。本钱领先战略的价值链差异化战略的价值链目标设定目标的实现一项行动方案有助于实现多个控制目标；报告目标和合规性目标相比照拟容易实现，在企业的控制*围之内；经营目标比拟难以实现，取决于外部因素：外部竞争对手的状况环境因素政治因素法律因素风险管理有助于减轻外部因素的影响风险偏好和风险承受度风险偏好和风险承受度是风险管理策略的重

17、要组成局部风险容量是一个企业在追求价值过程中所愿意承受的风险的数量。风险承受度是相对于目标的实现而言所能承受的偏离程度。风险容限与企业的目标相关，是相对于实现一项具体目标而言可承受的偏离程度。风险承受度有两重含义：作为风险偏好的边界和企业采取行动的指标。在风险偏好以外，企业可以设置假设干承受度指标，以显示不同的警示级别。目标设定风险偏好平衡成长性、风险与回报之间的关系战略制定要与企业的风险偏好保持一致在战略制定过程中运用风险管理方法，有助于企业管理层选择一个符合自身风险偏好的企业战略。风险偏好、风险承受度和预警指标风险偏好承当什么风险承当多少风险风险承受度作为风险偏好的边界作为预警指标应当与这

18、个公司联盟吗？是否需要套期保值？应当在美国投资吗？投资多少？应当保持多高的资产负债率？市场表现到什么时候，我们就应当追加投资或一定退出？资产负债率高到什么时候，我们就需要停顿投资？风险承受度与预警重大风险的风险偏好风险偏好和风险承受度是针对公司的重大风险制定的；对企业的非重大风险的风险偏好和风险承受度不一定要十清楚确，甚至可以先不提出；企业的风险偏好依赖于企业的风险评估的结果。由于企业的风险不断变化，企业需要持续进展风险评估，并调整自己的风险偏好；重大风险的风险偏好是企业的重大决策，应由董事会决定。风险识别事件识别区分风险和机遇可能产生负面影响的事件为风险可能产生正面影响的事件为机遇，这些机遇

19、使管理层重新考虑战略的制定包括识别发生在内部或外部的可能影响战略和目标实现的事件考虑内部和外部因素如何相互关联，共同影响风险水平风险分类框架统一的风险库共同的风险语言海外企业的风险库固定资产业务循环的风险库风险评估理解潜在的事件对企业目标有多大的影响，并从两个方面对风险进展评估：发生的可能性影响程度明确用来评估风险以及用来衡量相关的目标-结合定性和定量两个方面来评估风险-将时间和目标联系起来-从固有风险和剩余风险的角度来评估风险固有风险与剩余风险风险的类型风险的类型固有风险及剩余风险风险评估固有风险VS剩余风险企业普遍面临的风险风险类型企业规模企业类型中小型企业大型企业多元化企业单一行业企业战

20、略风险：重组并购风险集团管控风险中等/低高高中等/低市场风险：价格风险利率、汇率风险高高高高投资风险投资决策风险投资实施及监控风险中等/低高高中等/低信用风险：信息评级风险赊销及信用额度管理风险中等/低高高中等/低财务风险资金管理风险财务报告风险中等/低高高高法律风险合规风险合同及诉讼风险高高高中等/低风险评估概述1.风险评估是基于过去风险发生频率和平均影响程度，考虑现有管控措施，做出的对未来的判断。2.评估人需从集团整体层面考虑风险对集团的整体影响。3.从风险发生可能性和一旦风险发生后给集团带来的影响程度两个维度进展。4.影响程度维度又细分为四个方面，分别是对集团目标与运营的影响、财务影响、

21、对集团声誉的影响、对平安安康环保的影响。每个评估维度都采用5分制的原则进展评估。风险评估维度说明发生可能性：指基于该风险过去发生的情况，考虑现有管控措施，对该风险未来发生概率做出的判断。影响程度：目标与运营：考虑风险对管理目标、效率、质量、运营可持续性等方面的影响财务影响：考虑风险给公司造成的本钱上升、收益下降或直接财产损失集团声誉：考虑风险对公司造成的声誉或企业形象方面的影响平安：考虑风险对员工/公众安康/平安的影响风险评估评估标准可能性评估标准事项评估分值12345评估说明风险发生的可能性非常小，几乎不会发生风险发生的可能性很小风险有可能发生风险很有可能发生风险极有可能发生参照标准一*5%

22、5*1010*2525*50*50参照标准二集团总部平均每5年发生一次集团总部平均每3年发生一次集团总部平均每年发生一次集团总部平均每半年发生一次集团总部平均每季度发生一次以上参照标准三各二级单位几乎都不会发生在个别二级单位内发生在少数二级单位内发生在局部二级单位内发生在多数二级单位内发生大型灾难事故参照标准今后10年内发生的可能少于1次今后5年内可能发生1次今后3年内可能发生1次今后1年内可能发生1次今后1年内至少发生1次影响程度评估标准目标与运营事项评估分值12345评估说明对集团经营目标和日常运营有轻微影响对集团经营目标和日常运营有较小影响对集团经营目标和日常运营有中等影响对集团经营目标

23、和日常运营有较大影响对集团经营目标和日常运营有重大影响参照标准影响集团*一个非重要管理类目标影响集团*几个非重要管理类目标影响集团*一个重要管理类目标影响集团*几个重要管理类目标影响集团局部重要管理类目标对集团整体运营有轻微影响，短期内可自行消除对集团整体运营有较小影响，短期内需付出一定代价恢复对集团整体运营有中等影响，一定时间内需付出一定代价恢复对集团整体运营有较大影响，较长时间内需付出一定代价恢复对集团整体运营有重大影响，较长时间内需付出较大代价恢复影响程度评估标准财务影响事项评估分值12345评估说明轻微的财务影响较小的财务影响中等的财务影响较大的财务影响重大的财务影响参照标准注1：评估

24、单位需要根据实际情况，参考以下的任一组标准作为根底进展确定。评估分值12345参照标准制定依据净资产*1净资产1*5净资产5*10净资产10*20净资产*20营业收入*0.2营业收入0.2*1营业收入1*2营业收入2*4营业收入*4利润总额*5利润总额5*20利润总额20*50利润总额50*80利润总额*80资产总额*0.3资产总额0.3*1.5资产总额1.5*3资产总额3*6资产总额*6影响程度评估标准集团声誉事项评估分值12345评估说明给集团造成轻微影响，短期内可自行消除给集团造成较小影响，短期内需付出一定代价恢复给集团造成中等影响，一定时间内需付出一定代价恢复给集团造成较大影响，较长时

25、间内需付出一定代价恢复给集团造成极为重大影响，较长时间内需付出较大代价恢复参照标准负面消息在公司*围内流传负面消息在集团*围内流传负面消息在局部地域/领域流传负面消息在多个地域/领域内流传负面消息在海内外流传根本不会引起监管机构/上级单位注意引起监管机构/上级单位关注集团/下属单位被监管机构/上级单位要求内部整改集团/下属单位被监管机构/上级单位通报或公开谴责集团/下属单位被监管机构/上级单位勒令停业整顿根本不会引起合作伙伴注意少数合作伙伴关注集团负面消息，收紧同集团合作条件局部合作伙伴关注集团负面消息，收紧同集团合作条件或暂停合作主要合作伙伴关注集团负面消息，暂停或停顿同集团合作局部主要合作

26、伙伴暂停或停顿同集团合作根本不会引起员工/公众关注员工/公众开场关注集团负面消息员工工作效率效果降低公众对集团产品/效劳的忠诚度降低员工无法正常工作公众抵抗集团产品/效劳引发公众/员工群体性事件注2：合作伙伴指客户、供给商、经销商、代理委托方、金融机构等。影响程度评估标准平安安康环保事项评估分值12345评估说明影响个别职工/公众安康/平安影响极少数职工/公众安康/平安影响少数职工/公众安康/平安影响局部职工/公众安康/平安影响一定数量职工/公众安康/平安参照标准一般重伤事故一般死亡事故较大事故重大事故特别重大事故风险应对确定并评估可能的应对风险的方法根据企业风险偏好、潜在风险应对措施的本钱效

27、益原则来评价各种风险应对措施，以及各种风险应对措施可以在多大程度上降低风险影响程度和/或发生可能性基于对风险和应对措施组合的评估，选择并实施适当的措施。风险应对的主要策略躲避Avoid控制Control转移Transfer分散Diversity共享Share承受Accept风险应对控制活动控制活动主要包括:审批(Approvals)授权(Authorizations)核实查证(Verifications)对帐(Reconciliation)检查(Review)资产的平安(Security of assets)责权别离(Segregation of duties)预算控制budgeting)绩效

28、考核主要控制活动-不相容职务相别离超越预算Beyond Budgeting)业务流程层面的内部控制业务层面内部控制运行的一般流程识别公司的所有重大账户/确定控制目标；针对上述所有重大账户识别所有相关的业务流程；针对上述每项业务流程，确定该公司应具有的一套控制目标；针对每一个控制目标，持续地对所识别出来的风险进展评估；依据风险评估结果，设计并实施一套有效控制活动，以防止或检验所识别风险的发生。风险及内控蕴含在业务流程及配套制度中以财务报告目标为导向的业务层面内部控制以战略目标和经营目标为导向的业务层面内部控制目标重大风险风险应对策略关键流程/因素关键控制点1短期目标：2010年度实现利润总额增长

29、10%，其中：销售收入增长20%；经营成本降低15%。2长期目标：在未来5年实现利润总额增长10%。因不可靠的和不切实际的销售预测而造成大量囤货和存货报废。降低和承当预算编制流程有效地编制和控制经营方案和财务预算采取措施增强销售预测的准确性，并只承当在容忍*围内的风险，比方，获取可靠的市场信息，将实际情况与预算进展比拟，将可能发生的风险与自身的风险容忍度进展比拟。因履行不平等的或不利的合同条款而造成严重损失比方，赔偿损失和名誉损害等降低合同签订流程在主要的经营领域建立制度和程序，比方，销售、采购、财务与投资等对销售合同进展审阅和批准，并咨询法律专业人士。因未被授权的或者给予过多的折扣而造成毛利

30、降低或直接亏损降低销售定价流程折扣须经过授权和审批。严重的坏账损失降低应收账款管理流程强化信用控制加强收款控制由于买进不需要、质量不合格或价格没有竞争力的产品而造成库存积压/存货作废/资源浪费/质量不良而带来损失降低采购流程采购与付款的权限分配表采购的申请合理性、审阅、批准整个过程需要书面化不正当的付款降低付款流程核对三个文件：采购订单、入库单和发票在业务部门采取防止不正当付款或舞弊事件的措施，营造一个杜绝不正当付款行为的环境，比方，制订控制程序预防性的侦察性的控制、职业道德规*、签署利益冲突和保证文件等。内部控制与业务流程变革业务流程与作业业绩企业竞争优势的唯一来源一种普遍的现象：各个竞争对

31、手都可获得一样的原材料、资本、技术、设备、机器、供给商、劳动力和顾客，但是，他们之间的业绩却大为不同。企业管理界认为，原因就在于他们的流程和作业业绩不同，流程和作业业绩是竞争优势的唯一来源。竞争优势来源于企业的流程与作业企业之间竞争优势的差异来自于企业设计、生产、销售与配送产品或效劳流程中的成百上千个作业。竞争优势来自于能比竞争对手更有效率地完成*些特殊作业。差异化优势来自于如何选择作业以及怎样执行这些作业。公司整体优劣势归因于所有作业组合方式及执行效率客户价值最大化的关键竞争优势的重要来源高质、低价、快速的效劳企业成功的关键因素Key success factor质量本钱时间业务流程创造价值

32、的不同周期业务流程变革的形式业务流程优化六西格玛工具第一步定义业务流程优化的目标和客户交付物第二步量化和确定客户需求和规格第三步分析能满足客户需求的业务流程的各种可能性第四步设计新业务流程以满足客户需求第五步验证新业务流程满足客户需求的业绩和能力业务流程再造的特点业务流程再造是以企业流程为对象，以关心客户的需求和满意度为目标，利用先进的信息技术，对现有企业的业务流程进展根本的再思考和彻底性的再设计，从而实现在本钱、质量、效劳、速度和效益等方面的显著改善。组织构造从传统的职能型构造向流程型构造转变，实现组织构造的扁平化。从顾客的需求出发，以价值创造作为重新设计业务流程的标准。信息技术是业务流程再

33、造的使能器。案例：采购与付款循环业务流程再造三级公司原来的采购业务流程如下：采购部门向供给商发出订单，并将副本交财务部，供给商将货物运到公司后，作为验收单位的仓库将验收的详细情况登录在表格上，并将表格送财务部；同时，供给商开出发票送财务部，财务部收到3份文件即订单副本、验收单及发票，并检验其一致后，确认其符合规定就可以付款，否则还要进展调查，并写出报告送有关部门。其业务流程如下列图所示。在分析上述业务流程时，发现财务部门的员工大局部精力用于3份文件是否一致，结合信息技术，我们可以将其业务流程重组如下列图所示。采购部门向供给商发出订单的同时就把采购信息输入数据库中，当供给商将货物发运到仓库后，仓

34、库管理员查看数据库中有无此订单，假设有，则验收入库，并将入库信息输入到数据库中，计算机在收到仓库来的验收单后，即自动通知财务签发支票给供给商；假设货物不符合订单上的要求，验收时将拒绝收货，并将货退回供给商。内部控制与业务流程再造的关系内部控制影响业务流程的方式内部控制机制运行的一般流程内部控制与业务流程再造的差异1、目标不同：内部控制侧重于财务报告目标和合规性目标务流程再造以满足顾客需求为导向，侧重于经营目标2、工具与方法不同内部控制风险评估是内部控制机制设计所采用的根本工具业务流程再造企业价值链模型是最为根本的工具和方法3、对组织构造的要求不同内部控制根据内外部环境变化及自身需要来确定组织构

35、造业务流程再造以流程为导向的扁平化组织构造4、人力资源政策的侧重点不同内部控制员工专业化培养和合理分工，员工不得兼任不相容职务业务流程再造把员工培养成多面手，必要时身兼数职5、授权方式不同内部控制以相互牵制为根本原则业务流程再造将不同的步骤整合，全部交由员工承当，并充分放权ERP、业务流程再造与内部控制ERP、业务流程与内部控制OA办公系统与SAP系统的结合风险管理与内部控制内部控制：控制不是静态的企业风险的变化和新风险的出现对早期设计的内部控制系统施加压力.内部控制的评价风险管理与内部控制适当的内部控制能降低企业所面对的风险至它可承受的风险程度，但不能完全消除所有的风险。内部控制是全面风险管

36、理体系的组成局部，是开展全面风险管理工作的重要手段和必要举措。内部控制：正确的做事内控解决的是流程问题，包括业务流程、管理流程中的风险控制，解决的是正确地做事。内部控制更加重视实施，嵌入到企业各业务流程的具体业务活动中，融合在企业的各项规章制度之中，使企业在正常运营过程中自发地防止错误，确保合规和真实，从而合理保证目标的实现。风险管理：做正确的事全面风险管理解决的不仅是流程问题，更是要解决战略决策问题、应急处理问题；不仅要解决当前的问题，更要预测和应对将来可能发生的问题；不但要解决正确地做事，关键是还要解决做正确的事风险管理更偏向于前端，对影响目标实现的因素的分析、评估与应对，防止重大决策失误

37、防止出现重大危机问题。内部控制手册内部控制手册的设计独立格式混合格式内部控制手册的设计-操作手册举例操作手册的明确了各部门职责，减少了部门间的扯皮，其主要要素是：业务流程*围控制目标涉及部门特定政策流程说明关键控制点表格填制方法职责分工时间要求系统操作说明工程主要成果名称：内部控制手册用途：根据企业内部控制根本规*和配套指引要求结合实际情况，编制的内部控制手册，包括流程概述、控制矩阵、流程图和不相容职责别离原则，作为公司各业务流程实施内部控制的指导性文档。风险管理与内部控制指引的构造风险管理与内部控制指引的流程地图销售与收款循环循环类别流程管理控制目标风险控制活动销售与收款销售预测1订单仅在经

38、批准的顾客信贷额度内处理；2由管理层批准订单的价格及销售条款；3所有已发货的货物均已开具发票；4发票都已记录在适当期间；5所有的现金收款数据已输入以待处理；1销售策略风险；2销售渠道管理风险；3销售确认及回款风险；4售后效劳风险；1制定销售政策和信用政策；2销售订单审批；3销售订单、发货单和销售发票三单匹配；4制定收入确认制度；5增值税发票管理；6应收款项账龄分析；销售方案订单管理客户信用交货发票开立应收款管理客诉处理销售折让/退回采购与付款循环循环类别流程管理控制目标风险控制活动采购与付款方案与预算1采购业务相关算的制定和调整得到适当的审批；2选取适当的采购方式，并确保只有有效的供给商被选择

39、；3仅在经核准后才发出采购订单；4所有已收货物的金额已记录到应付账款；5已支付的预付款项及定金已经过适当审批；1采购方案风险2采购渠道理风险3采购招标风险4采购验收风险5采购审批风险6合同风险1建立供给商评价制度；2供给商档案的定期复核；3物资采购定价机制4采购订单的制定和审批5采购物资的验收和入库；6应付账款确实认；7付款申请和审批；8制定业务外包管理制度供给商的选择与档案管理采购定价采购方案的订立与审批采购合同的订立与审批购货程序发票管理购货的入库与退回应付款的管理费用管理存货与生产循环循环类别流程管理控制目标风险控制活动存货与生产循环存货管理1存货是可销售或可使用的；2所有存货价格或数量

40、的调整都已记录；3所有接收的原材料都已记录；4所有流转至生产部门的原材料已准确记录于适当的期间；1存货管理风险；2入库风险；3仓储管理风险；4出库管理风险；5生产方案与执行风险；6生产本钱风险；1存货跌价准备的审批；2存货盘点；3物资验收和入库；接收及储存原材料领用原材料存货的生产/本钱计算处理产成品运送产成品内部控制自我评估机制内部控制自评估机制的程序1、建立标准控制矩阵公司建立一套标准控制矩阵。控制矩阵中包括控制目标、标准控制活动、控制类型和控制频率等各项内容。2、对标及识别关键控制活动及设计缺陷从标准控制矩阵出发，通过检查现有制度，以及与各有关人员进展访谈，以了解现行的流程。根据控制目标

41、和标准控制活动，识别出公司现行的控制活动及设计缺陷。3、开展设计有效性和执行有效性测试对公司自身的关键控制活动编制测试程序并开展设计及执行有效性测试。如果测试结果有异常情况，则可认定为在内部控制执行上存在改良点。4、缺陷整改与公司各相关职能部门讨论确定相关改良点产生的原因和确定改良方案，并进展改良。5、缺陷评价对于控制测试中发现的未整改完成的控制缺陷进展评价。6、出具内部控制评价报告根据自评估结果，编制内部控制自评估报告，按照规定的权限报经批准后对外报出。内部控制自复核与评估方法内部控制体系分为设计和执行两个方面，通常分别从这两个方面，对企业现有内部控制体系的有效性进展复核与评估。内控体系有效

42、性=设计有效性+执行有效性内部控制设计有效性测试步骤：在风险评估的根底上确定控制目标与标准控制活动；访谈相关控制负责人，获取有关内控文档、管理制度等，并对有关流程和内控情况进展了解；根据访谈内容编写流程描述，明确实际存在的控制活动；评估实际存在的控制活动是否满足标准控制活动，并到达控制目标要求；实施穿行测试。穿行测试步骤1.根据确定的业务流程选取一项业务活动进展现场观察2.就该项业务活动，确定其在流程的各个环节中所涉及的整套文档3.就确定的整套文档向被访谈人员索要复印件4.检查原件是否存在，并核对原件与复印件5.检查原件上是否有相关人员的签字或其他痕迹6.根据检查结果判断内部控制是否存在和执行

43、7.对测试情况进展记录8.将收集的复印件按照统一的编号规则在右上角编号后存档内部控制自评估测试的样本量确定根据控制活动的执行频率确定测试的样本量。手工控制的控制活动的抽样数量如下表所示：执行频率样本量每年1个每半年1个每季度1个每月2个每周5个每日15个每日屡次25个业务发生时具体计算对于那些发生频率不确定的控制活动，需要计算该控制活动全年预计发生的数量并据此确定样本量。测试结果类型达标当所有的测试程序全部执行完毕，抽取的样本到达规定的样本量，所选的样本完全符合测试属性的要求，未发现例外情况时，测试结果为达标。未达标在测试过程中发现有些样本不符合测试属性的要求，存在例外情况时，测试结果为未达标。不适用对于*些测试单位可能存在一些控制活动不适用的情况，测试结果为不适用。未发生交易有些控制活动所涉及的业务在测试期间尚未发生，测试结果为未发生交易。样本量缺乏指所有抽取的样本全部达标