高校内部控制之实务与案例课件

高校内部控制：实务与案例李善民高校内部控制：实务与案例李善民思考人怎样才能健康长寿？健康的饮食适度的运动良好的生活习惯……….行政事业单位怎样才能健康发展？制度流程文化……..叶谦吉教授（1909-）思考人怎样才能健康长寿？叶谦吉教授（1909-）2无关重要的小错误可以容忍吗？“闭门家中坐，喜从天上来。”我我武生物5月20日公告，因股东上海利合股权投资合伙企业（有限合伙）（以下简称利合投资）在减持公司股份前，未能履行提前三天告知的义务，其减持所得收益约1370万元，将归我武生物所有。在我武生物招股说明书中，利合投资曾明确承诺，减持我武生物的原始股票时将在减持前3个交易日予以公告。若违反此项承诺，利合投资减持股份所得收益将归上市公司所有。今年2月13日，利合投资通过深交所大宗交易平台减持我武生物44万股，占上市公司股份总额的0.27%，减持均价为39.70元/股，共计套现1746.8万元。前台漏寄告知函！2022/12/73无关重要的小错误可以容忍吗？“闭门家中坐，喜从天上来。”我我腐败案例人民大学招生就业处处长蔡荣生招生腐败案。高招自主招生、补录及调换专业三个环节已成腐败的“重灾区”。四川大学原副校长安小予落马后，该校规划建设处的一名副处长也被带走接受调查。资源浪费案例资源闲置，如设备，房产。造成经济损失案例合同没有很好的管理2022/12/74腐败案例2022/12/54诺贝尔经济学奖获得者、奥地利经济学家哈耶克提出制度设计的关键在于假定，从“好人”的假设出发，必然设计出坏制度，导出坏结果；从“坏人”的假设出发，则能设计出好制度，得出好结果。所以，经济学必须把人假设为“经济人”，把人都看作是追求利益的，甚至是自私人。他认为真正的问题不在于人类是否由自私的动机所左右，而在于要找到一套制度，使人们根据自己的选择和决定自己的动机，也尽可能地为满足所有他人的需要贡献力量。2022/12/75诺贝尔经济学奖获得者、奥地利经济学家哈耶克提财政部2012年12月颁布《行政事业单位内部控制规范（试行）》【财会〔2012〕21号】2022/12/76财政部2012年12月颁布《行政事业单位内部控制规范（试行）单位层面内部控制风险评估和控制方法评价与监督业务层面内部控制总则附则《行政事业单位内部控制规范（试行）》单位层面内部控制风险评估和控制方法评价与监督业务层面内部控制财政部科技司编发了《行政事业单位内部控制规范讲座》，经济科学出版社，2013年9月。2022/12/78财政部科技司编发了《行政事业单位内部控制规范讲座》，经济科学在座各位，您是否遇到过以下情形：当财务部门差旅费或接待费时，总听到老师在抱怨：审的也太严了吧，不想申请课题了？！管理层天天说风险，为什么一般教职员工对风险却没什么概念？是领导在危言耸听，还是风险管理和控制就是领导的事儿。制度整合了，流程也更新了，但在执行的过程中，反而觉得比以前更麻烦了，花的时间更多了类似的困惑和问题一定还有不少，它们都和单位的内部控制与风险管理体系息息相关。2022/12/79在座各位，您是否遇到过以下情形：2022/12/591.出纳领取银行对账单、编制银行存款余额调节表。2.领导“一只笔”审批，缺乏完善内控制度和流程保障。3.过于依赖业务人员，资源掌握在个人手中，单位对业务开展失去控制。4.内部控制制度文字描述性东西较多，清晰的流程图和配套表单较少。5.内部控制制度“救火式”的较多，制度体系缺乏系统性和完整性，甚至政出多门，相互打架。6.员工临时休假或调离时，缺乏明确的工作交接制度。7.人员招聘时注重笔试和面试的考察，忽视背景调查。8.关键岗位无强制轮换。9.过分强调控制成本，经常将效率作为弱化或逾越内部控制的理由。10.说一套，做一套，制度放空炮。内部控制十大问题2022/12/7101.出纳领取银行对账单、编制银行存款余额调节表。内部控制十大高校内部控制之实务与案例课件11主要内容为什么要进行内部控制？谁负责内部控制，控谁？怎么做内部控制？摸清现状流程的描述方法：

对单位主要业务进行梳理分类

按照业务流程走向描述到具体岗位

描述的内容包括什么评价现状

流程管理中避免重复和无效劳动

应有的制约是否存在（不相容职务分离）

风险点的寻找完善现状2022/12/712主要内容为什么要进行内部控制？2022/12/512一、外什么要进行内部控制？一、外什么要进行内部控制？（一）内部控制是啥意思？经典的是美国准则委员会【ASB】1972

年在《审计准则公告》提出了如下定义：“内部控制是在一定的环境下，单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标，而在单位内部实施的各种制约和调节的组织、计划、程序和方法。2022/12/714（一）内部控制是啥意思？经典的是美国准则委员会【ASB】19【规范】第三条本规范所称内部控制，是指单位为实现控制目标，通过制定制度、实施措施和执行程序，对经济活动的风险进行防范和管控。我简化为：内部控制单位就是为了防范风险而采取一些必要的措施。2022/12/715【规范】第三条本规范所称内部控制，是指单位为实现控制目标，【规范】第三条的定义包括静态和动态两个方面。从静态上讲，内部控制是行政事业单位为防范和管控经济活动风险而建立的内部管理系统，具体体现为各项内部管理制度以及落实所需的控制措施和执行程序。从动态上讲，内部控制是行政事业单位通过制定制度、实施措施和执行程序，为履行职能，实现控制目标的自我约束和规范的过程。同时，内部控制还是一个循环往复、不断优化完善的过程。2022/12/716【规范】第三条的定义包括静态和动态两个方面。2022/12/做事有依据做事有流程做事有记录做事有效率2022/12/717做事有依据2022/12/517（二）为啥要内控？【规范】内部控制的目标主要包括：合理保证单位经济活动合法合规资产安全和使用有效财务信息真实完整有效防范舞弊和预防腐败提高公共服务的效率和效果2022/12/718（二）为啥要内控？【规范】内部控制的目标主要包括：2022/财务信息完整资产安全公共服务效率单位控制目标分解反映防范舞弊合法合规警戒线底线愿景线安全线主线内部控制目标健康长寿2022/12/719财务信息完整资产安全公共服务效率单位控制目标分解反映防范舞弊与企业内部控制目标相比，行政事业单位内部控制的目标主要有以下几个特点。首先，行政事业单位内部控制以有效防范舞弊和预防腐败的目标替代了发展战略。其次，行政事业单位内部控制更加关注公共服务的效率和效果而不是经营方面。最后，行政事业单位内部控制要求单位重点关注经济活动的合法合规，以《规范》作为单位最低的行为准则，设计内部规章制度，在资产安全的基础上强调使用效率，真实完整地报告单位的财务信息，客观地反映预算执行情况，为单位领导决策提供可靠依据。2022/12/720与企业内部控制目标相比，行政事业单位内部控制的目标主要有以下过程观下的内部控制表现内部控制就是管理中所运用与执行的政策程序、文件、单据和表格。内部控制应涵盖业务的全流程全方位。按照业务设计内部控制，而不是按照部门设计。设计起点和终点都超出财务会计的核算范围，而应是业务的起点和终点。思维转换：避免局部看问题。2022/12/721过程观下的内部控制表现2022/12/521二、谁负责内部控制？控谁？二、谁负责内部控制？控谁？1.谁来负责？单位是否要设立独立的内部控制职能部门？单位应根据本单位“三定方案”（所谓的“三定”：一是定单位的职能，二是定内设机构，三是定人员编制）的有关规定，确定是否设立独立的内部控制职能部门。按照内部控制规范规定，单位应当单独设置职能部门或者牵头部门。一般情况下，行政事业单位单独设置财务机构的，内控工作一般由财务部门牵头，未单独设置财务机构的一般由办公室牵头。内部审计部门主要是负责单位内部控制各项制度建立健全情况和实施情况。2022/12/7231.谁来负责？单位是否要设立独立的内部控制职能部门？202【规范】单位负责人对本单位内部控制的建立健全和有效实施负责。西方的分权思想

内部控制>全面预算管理内部控制>会计控制和监督内部控制不是目标管理校长、书记、财务副校长、纪委书记？科学分权问责机制由谁牵头？本人配偶2022/12/724【规范】单位负责人对本单位内部控制的建立健全和有效实施负责。2.控谁？与经济活动相关的部门和岗位财务国资基建科研产业总务…

设备后勤房产保卫人事国际合作……自身2022/12/7252.控谁？与经济活动相关的部门和岗位财务设备自身2三、如何做内控？三、如何做内控？内部控制要素是行政事业单位建立和实施内部控制的具体内容。美国审计总署(GAO)在《联邦政府内部控制准则》中界定政府内部控制要素包括:控制环境、风险评估、控制活动、信息与沟通、监控5个要素，其内容与发起人委员会（COSO）框架五要素的阐述基本一致。2022/12/727内部控制要素是行政事业单位建立和实施内部控制的具体内容。美国主要内容摸清现状流程的描述方法：

对单位主要业务进行梳理分类

按照业务流程走向描述到具体岗位

描述的内容包括什么评价现状

流程管理中避免重复和无效劳动

应有的制约是否存在（不相容职务分离）

风险点的寻找完善现状

组织结构调整

制度完善等体检体检结果评估控制

环境食物控制运动2022/12/728主要内容摸清现状体检体检结果评估控制2022/12/528梳理单位各类经济活动的业务流程，明确业务环节系统分析经济活动风险，确定风险点选择风险应对策略（根据国家有关规定，制定有针对性、操作性的各项单位内部控制管理制定）；监督（采取有效监督措施，督促相关工作人员认真执行，切实保障各项内部控制制度得到贯彻落实）；评价（对内部控制的建立和实施情况进行评价，不断完善）。体现的是过程管理2022/12/729梳理单位各类经济活动的业务流程，明确业务环节体现的是过程管理（一）摸清现状行政事业单位内部控制的主要问题：认识不到位，缺乏内控理念内控制度不健全内部监督机制不完善，监督流于形式内控的一些具体问题：岗位设置不够合理费用支出缺乏有效控制事业单位对于行政经费的支出（接待费、会议费、办公费等）缺乏严格的控制标准，只要有相应审批人员签字同意，就能予以报销。30（一）摸清现状行政事业单位内部控制的主要问题：30财务与管理脱节财务部门只起到核算付款的作用，对单位重要事项的决策、实施过程和结果均不了解，未能对业务部门实施必要的财务管理和内部监督。资产管理比较薄弱对资产的使用管理缺乏相关的内部控制，重购轻管现象比较普遍。如一些单位未按规定建立定期财产清查制度，对于购置的资产未能及时登帐，未按规定登记固定资产明细账和实物卡片，资产保管责任不明确等，极易导致资产账实不符及资产流失。31财务与管理脱节31票据管理不够严格票据的购、领、用、核销未按规定建立相应台账，对票据使用情况未建立定期或不定期抽查制度，导致延期上缴相应收入，甚至出现挪用公款问题，对使用后票据未能及时办理交验、核销，容易导致收入不入账，私设小金库等问题。预算控制比较薄弱一是预算编制还比较粗糙，大部分都没有细化到具体项目，二是预算刚性不够，预算的计划性、科学性不强，预算调整追加较为频繁，资金使用缺乏预见性，消弱了预算的约束控制力。32票据管理不够严格32梳理流程，明确业务环节日常办公经费财务收支管理流程图需财务支出项目预算报主管处领导审查批准财务预支经手人持签字的正规发票及报销单报主管副处长审核签字报主管处长审核签字报财务室（财务处长签字）报销控制点说明：审核人、审核时限、审核对象、审核的标准、用以审核的基础数据来源等、审核后的轨迹2022/12/733梳理流程，明确业务环节日常办公经费财务收支管理流程图需财务支基建与修缮工程流程图基建与修缮工程流程图342022/12/7352022/12/535（二）风险识别和评价风险识别风险评估流程梳理

体检有哪些内容？—B超，X光，血常规，MR….体检后各项指标有无超过临界值？风险大吗？2022/12/736（二）风险识别和评价风险识别风险评估流程梳理体检有哪些内容如何识别高校经济活动的风险点？那里容易出错？那里是软肋？最大的法律问题（漏洞）？那类活动容易产生风险？那些人可能绕过控制？哪些领域可能引发社会反感？）？2022/12/737如何识别高校经济活动的风险点？那里容易出错？那类活动容易产生高校经济活动的主要风险举例

单位经济活动不合法或不合规的风险（政府采购、招投标，基建项目未报批）；国有资产流失、资源使用效益低下的风险（校办企业使用校内房产不交房租）；财务信息不真实、不完整的风险（年终强调执行率以合同做支出）；发生舞弊或腐败现象的风险；其他风险。2022/12/738高校经济活动的主要风险举例单位经济活动不合法或不合规的风险风险评估程序第一步：目标设定（与风险偏好有关）合法合规目标资产安全目标信息真实和完整目标预防腐败目标效率和效果目标很多人在理解风险时，往往会把风险(

risk

)

和不确定性（uncertainty）相混淆。事实上，风险与不确定性并不相同，风险的定义只能与目标相联系，它能够影响一个或多个目标。风险并不是存在于真空中，如果风险发生的话，某些目标将会受到影响。因此，风险的一个更加完整的定义是“能够影响一个或多个目标的不确定性”。也就是说有些不确定性与目标并不相关，它们应该被排除在风险管理过程之外。2022/12/739风险评估程序第一步：目标设定（与风险偏好有关）很多人在理解风第二步：风险识别风险识别是对行政事业单位面临的各种不确定因素进行梳理、汇总，形成风险点清单。风险识别需要对单位的经济活动的管理现状进行全面摸底，而且这种摸底是一个动态的、连续的过程。在流程梳理的过程中进行。2022/12/740第二步：风险识别2022/12/540目前，较为通用的风险识别工具和方法有三种：数据分析和资料研究法专家意见评估法行业标杆对照法。识别工作围绕单位的风险框架展开，由战略风险、市场风险、法律风险、运营风险和财务风险五大类构成，识别工作的成果整理成风险列表。常用的风险识别的方法有财务报表分析法，事件树分析法，现场调查法等。虽然方法很多，但不同方法共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。2022/12/741目前，较为通用的风险识别工具和方法有三种：2022/12/5第三步：风险评估分析在风险识别的基础之上，运用定量和定性方法进一步分析风险发生的可能性和对单位目标实现的影响程度，以便为制定风险应对策略、选择应对措施提供依据。包括风险可能性和影响程度分析。目的是对识别的风险进行排序，确定内部控制需要重点关注和优先控制的风险点。风险评估的方法：2022/12/742第三步：风险评估分析2022/12/542定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级，例如“高”、“中”、“低”三级。定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi方法）、检查列表（Checklist）、问卷（Questionnaire）、人员访谈（Interview）、调查（Survey）等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。2022/12/743定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性风险发生可能性评级发生可能性标准／定义低即使不采取措施，风险几乎也不带来损失中不采取措施，风险就会造成损失高不采取措施，风险很容易造成损失风险影响程度评级影响程度标准／定义低不采取措施，风险损失不对关键指标造成影响中不采取措施，风险损失对关键指标造成影响高不采取措施，风险损失对资源造成巨大浪费风险事项：外部环境、经济活动或管理要求等发生重大变化的，就要求进行风险评估，当前则主要对应的是内部控制规范要求来识别单位自身风险及外部变化要求的风险。2022/12/744风险发生可能性评级发生可能性标准／定义低即使不采取措施，风险常见的定性分析法是风险评估图法，可以利用坐标图法，将风险按风险发生的“可能性”及风险发生后“对服务目标的影响”两个维度，绘制成风险坐标图，并将单项风险在坐标图中清晰地标识出来。这一方法便于直观地展示各类风险重要性的分布情况，找到管理的重点，以采取相应的对策。2022/12/745常见的定性分析法是风险评估图法，可以利用坐标图法，将风险按风987654321123456789高需要行动低监督/重新部署?中等密切监督/确定和准备影响程度可能性46987654321123456789高低中等影响程度可能性4不同的风险其应对的风险管理策略也不同：1.风险发生概率不高的区域，或即使发生，危害程度也不大的区间，宜采用“风险接受”的策略，如员工大疾病风险属于这一类型。

2.

发生的可能性和影响程度均属于中等的区间，可以采用“风险缓解”的策略，比方说通过改善内部控制及流程来减少现有的风险，外汇风险便属于这一类型。3.风险发生可能性较高，危害程度也较大的区间，应该采取“风险规避”的应对策略，如通过终止合同来规避风险。通常而言是人力资源风险、欺诈风险、采购风险。4.风险发生可能性很高，或危害程度很大的区间是对企业危害最为严重的一类风险，如财务风险、系统故障风险、政治风险和投资风险，应当尽可能地通过购买保险、进行合资/

合作或实行外包等“风险转移”策略，把风险适当转移给第三方。2022/12/747不同的风险其应对的风险管理策略也不同：2022/12/547第四步：风险应对

依据单位能够承受风险的能力，确定风险对策，风险对策的四种基本模式规避转嫁承担化解2022/12/748第四步：风险应对2022/12/548单位层面的风险评估业务层面的风险评估工作组织情况机制建设情况制度完善情况关键岗位管理财务信息编报预算管理收支管理政府采购管理资产管理科研经费管理建设项目管理合同管理控制手段类指引2022/12/749单位层面的风险评估业务层面的风险评估工作组织情况预算管理控制序号控制目标可能产生风险风险等级风险应对措施风险识别、分析与评估清单2022/12/750序号控制目标可能产生风险风险等级风险应对措施风险识别、分析评估结果的应用评估工作完成后，风险评估工作小组应当做好汇总、整理和分析工作，必须形成书面报告，及时提交单位领导班子，作为完善内部控制的依据。2022/12/751评估结果的应用评估工作完成后，风险评估工作小组应当做好汇总、步骤1：确定所处位置和背景•范围•机构的•环境的•产出目标•风险标准•与其他计划相连接步骤6：监控和检查风险•过程•环境•组织•战略•利益相关者接受/保留•根据判断或书面程序政策规避：•考虑停止或避开活动•咨询•有利于避免风险的处置步骤2：识别风险•识别关键程序、任务和活动•确定风险领域•定义风险•对风险加以分类步骤3：分析风险•识别控制•决定可能性•对风险划分等级沟通和咨询存在于每一步骤步骤4：评价风险并排序•识别可接受/不可接受风险•排出处置风险的先后次序转移：•保险•外包减少可能性•控制•优化流程•培训•政策和沟通•审计和遵循步骤5：处置风险减少结果：•应急计划•互惠协议•公共关系步骤1：确定所处位置和背景步骤6：监控和检查风险接受/保留规52要求经济活动风险评估至少每年进行一次。第一次风险评估应当尽可能全面、细化，形成业务流程图，确定关键风险点。后续的可以定期进行，主要侧重于经济活动的变化部分。如果单位的外部环境、经济活动或管理要求等发生了重大变化也应进行风险评估。对某些高风险经济活动开展不定期评估。建议各位每年体检一次！（减肥的人每天坚持量体重）2022/12/753要求建议各位每年体检一次！（减肥的人每天坚持量体重）2022（三）完善（内部控制建设）内部控制原则内部控制控制方法单位层面的内部控制业务层面的内部控制监督与评价哈佛教授约翰.科特《变革之心》：变革最大的阻力是组织内部原有的观念，而组织变革的第一步就是设法使组织内部产生强烈的紧迫感和危机感。2022/12/754（三）完善（内部控制建设）内部控制原则哈佛教1.内部控制原则内部控制的原则全面性原则：全员参与、全过程控制、系统性重要性原则：重要经济活动和重大风险制衡性原则：制衡机制适应性原则：适应变化注意：删除了成本效益原则，因为效益不好衡量，不能以成本为借口2022/12/7551.内部控制原则内部控制的原则2022/12/5552.内部控制方法职责分离（不相容岗位相互分离）授权审批（内部授权审批）归口管理预算控制财产保护控制会计控制单据控制信息内部公开饮食控制（多喝水，多吃水果、多吃杂粮）生活习惯控制（不抽烟、不酗酒）作息时间控制（按时休息）运动控制心态控制2022/12/7562.内部控制方法职责分离（不相容岗位相互分离）饮食控制（职责分离（不相容岗位相互分离）如果单位中处理某些业务事项的岗位由一个部门或人员担任，这些岗位发生错误、舞弊甚至腐败的可能性就会增大，同时，该部门或人员又可能利用岗位职能与分工重合的便利，采取各种手段掩盖错误，舞弊和腐败，那么，这些岗位就是不相容岗位。不相容岗位相互分离控制集中体现了相互制衡的原则，其核心是“内部牵制”。不相容岗位相互分离控制要求单位全面系统地分析、梳理单位组织层面和业务活动中涉及的不相容职务，科学划分机构职能与分工，合理设置内部控制关键岗位，明确不同部门或岗位的职责权限，实施相互分离的措施，从而形成相互制约、相互监督的工作机制。57职责分离（不相容岗位相互分离）如果单位中处理某些业务事项至少两双眼睛同时看住一件交易——四眼原则防止错误、监督和发现资产管理中的滥用行为没有一个人可以同时承担如下工作：强制轮换内部牵制不相容岗位分离提议授权记录执行审核实物控制预算控制授权审批控制会计系统运营分析绩效考评财产保护2022/12/758至少两双眼睛同时看住一件交易——四眼原则内部牵制不提授权批准职务与执行业务职务相分离；执行业务职务与监督审核职务相分离；执行业务职务与会计记录职务相分离；财产保管职务与会计记录职务相分离；执行业务职务与财产保管职务相分离。

一项完整的经济业务，如果是经过两个以上的相互制约环节对其进行监督和核查，发生错弊的概率大大降低。横向控制2022/12/759授权批准职务与执行业务职务相分离；一项完整的经内部授权审批授权常规授权特别授权既定的程序、原则制度计划预算日常经济活动特殊情况特定条件非日常经济活动如：离岗2022/12/760内部授权审批授权常规授权特别授权既定的程序、原则制度计划归口管理按照管控事项的性质与管理要求，结合单位职责、组织机构和岗位设置，在不相容岗位相互分离和内部授权控制的前提下，明确单位内部各个业务的归口管理责任单位的控制方法。归口管理控制要求单位根据本单位实际情况，按照权责对等的原则，采取成立联合工作小组并确定牵头部门或牵头人员等方式，对有关经济活动实施统一管理。如：单位成立预算管理委员会，并由财务部门牵头组织预算相关工作。又如，单位将法律部门或办公室作为合同归口管理部门，负责参与重大合同的签订和相关活动，统一管理合同专用章和授权委托书，并对合同履行实施有效控制。

2022/12/761归口管理按照管控事项的性质与管理要求，结合单位职责、组织预算控制预算控制是内部控制的一个重要方面，包括收支活动的全过程。对单位各项经济业务编制详细的预算和计划，并通过授权，由有关部门对预算或计划的执行情况进行控制，其基本要求是：第一，所编制的预算必须能体现单位管理目标，并明确责任。第二，预算在执行中应当允许经过授权批准对预算进行调整，以便预算更加切合实际。第三，应当及时或定期反馈预算的执行情况。2022/12/762预算控制预算控制是内部控制的一个重要方面，包括收支活动的财产保护控制、会计控制、票据控制主要包括限制接近控制和定期清查控制，这是为单位实物资产安全采取的控制措施。主要有：第一，限制接近，以严格控制对实物资产及与实物资产有关的文件的接触，如现金、银行存款、有价证券和存货等，除出纳人员和仓库保管人员外，其他人员限制接触，以保证资产安全。第二，定期实物资产清查，保证实物资产实有数量与账面记载相符，如账实不符，应查明原因及时处理。另外，实物资产控制从广义上说，还包括对实物资产的采购、保管、发货全过程进行控制。第三，是处置报批控制，出租出借审批权限。2022/12/763财产保护控制、会计控制、票据控制主要包括限制接近控制和定是指对某些与经济活相关的信息，在学校内部的一定范围内，按照既定的方法和程序进行公开。信息公开控制2022/12/764是指对某些与经济活相关的信息，在学校内部的一定范围内，按照总之，单位应当建立“以预算管理为主线，以资金管控为核心”的内部控制体系，通过预算这一基本控制方法将单位所有业务衔接起来，合理设置内部控制关键岗位，明确各岗位职能范围、业务权限、审批程序和相应责任，确保财产安全完整，利用记账、核对、岗位职责落实和职责分离、档案管理、工作交接程序等会计控制方法，通过对单位外部来源的报销凭证和单位内部表单的控制规范收支管理，确保单位会计信息真实完整，将经济活动及其内部控制流程嵌入信息系统中，消除人为操纵因素。2022/12/765总之，单位应当建立“以预算管理为主线，以资金管控为核心”的内单位层面内部控制风险评估和控制方法评价与监督业务层面内部控制总则附则《行政事业单位内部控制规范（试行）》单位层面内部控制风险评估和控制方法评价与监督业务层面内部控制内部控制环境：是其它内部控制组成部分的基础，用来描述高层对内控的态度、意识和行为。诚信与道德观/组织结构/授权及职责人事政策，激励与约束高层的关注和监督教职员工的胜任能力，守法纪、讲诚信反舞弊机制，建立举报投诉制度和举报人保护制度并公开3.单位层面内部控制2022/12/767内部控制环境：是其它内部控制组成部分的基础，用来描述高层对内建立内部控制的组织结构单独设置内部控制部门或者确定牵头部门积极发挥经济活动相关部门或岗位的职能作用充分发挥单位内部审计、纪检监察部门的职能作用2022/12/768建立内部控制的组织结构单独设置内部控制部门或者确定牵头部门2建立内部控制的工作机制内部控制的核心在于制衡。学校经济活动的决策、执行和监督应相互分离过程分离岗位分离2022/12/769建立内部控制的工作机制内部控制的核心在于制衡。过程分离岗位分决策、执行和监督相互分离的机制应当适应学校的实际情况预算管理委员会（预算工作小组）政府采购领导小组内部监督领导小组……..2022/12/770决策、执行和监督相互分离的机制应当适应学校的实际情况2022党委常委会/校长办公会国有资产管理委员会财经工作领导小组经营性资产工作小组公房管理工作小组贵重仪器管理小组事业资产处置工作小组预算工作小组（委员会）收费工作小组经济政策工作小组科研经费管理工作小组政府采购工作小组2022/12/771党委常委会/校长办公会国有资产管理委员会财经工作领导小组经营建立健全议事决策制度议事决策规则：议事成员构成、决策事项范围、投票表决规则、决策纪要的撰写、流转和保存以及对决策事项的贯彻落实和监督程序。明确重大经济事项。2022/12/772建立健全议事决策制度2022/12/572单位重大经济事项举例大额资金使用大宗资产采购基本建设项目重大外包业务对外投资学校对外借款重要资产处置（报废设备处置、出租出借）信息化建设预算调整……2022/12/773单位重大经济事项举例2022/12/573重大决策追踪问效2022/12/774追踪问效2022/12/574内部控制关键岗位预算管理决算管理收支管理政府采购管理资产管理科研经费管理建设项目管理合同管理内部监督预算编制、决算编制、绩效评价、资金管理、票据管理、账户管理、印章管理、采购及验收管理、资产保管、建设项目设计施工管理、债务管理、合同管理、档案管理、信息系统管理、会计管理、内部审计、…….2022/12/775内部控制关键岗位预算管理预算编制、决算编制、绩效评价、资金管内部控制应运用现代科技手段——信息化2022/12/776内部控制应运用现代科技手段——信息化2022/12/576中山大学财务信息系统功能架构2022/12/777中山大学财务信息系统功能架构2022/12/577

第十八条单位应当充分运用现代科学技术手段加强内部控制。对信息系统建设实施归口管理，将经济活动及其内部控制流程嵌入单位信息系统中，减少或消除人为操纵因素，保护信息安全。流程+信息化2022/12/778第十八条单位应当充分运用现代科学技术手段加强内部控制。单位层面内部控制风险评估和控制方法评价与监督业务层面内部控制总则附则《行政事业单位内部控制规范（试行）》单位层面内部控制风险评估和控制方法评价与监督业务层面内部控制4.业务层面的内部控制预算管理收支管理政府采购管理资产管理科研经费管理建设项目管理合同管理2022/12/7804.业务层面的内部控制预算管理2022/12/580单位层面内部控制风险评估和控制方法评价与监督业务层面内部控制总则附则《行政事业单位内部控制规范（试行）》单位层面内部控制风险评估和控制方法评价与监督业务层面内部控制1.预算控制预算管理程序规范；方法科学；编制及时；内容完整项目细化数据准确编制审批执行决算考核法定程序；分解下达；规范调整决算真实、完整、准确、及时；预决算对应预算绩效管理严格有效执行；预算执行分析政策把握沟通协调数据预测预算控制差异分析预算下达预算调整预算编制有目标预算执行有监控预算完成有评价评价结果有反馈反馈结果有应用2022/12/7821.预算控制程序规范；方法科学；编制及时；内容完整项目细化预算与授权审批控制预算可防止浪费在事前，使得高层摆脱繁琐复核工作，便于资金的调度最大失误在于决策失误预算内资金实行责任人限额审批（一般授权），限额以上的资金实行集体审批（特殊授权）。严格控制无预算的资金支出。2022/12/783预算与授权审批控制2022/12/583预算编制以前一年实际发生数为基础，考虑各种因素变动的影响，以及下一年度的战略计划；预算需要经过适当的权力部门审核批准；预算编制中需要有刚性和弹性的结合；在实际中，无论预算编制是采用自上而下，或是自下而上，其最终的决策权都是落在内部管理的最高层，由该层进行决策、指挥和协调。有预算就必须有考核，对预算和实际的差异进行分析，建立差异调整的各级审批权。2022/12/784预算编制以前一年实际发生数为基础，考虑各种因素变动的影响，以2022/12/7852022/12/5852022/12/7862022/12/586某大学预算编制流程2022/12/787某大学预算编制流程2022/12/587某大学预算调整流程2022/12/788某大学预算调整流程2022/12/588预算委员会2022/12/789预算委员会2022/12/5892022/12/7902022/12/5902022/12/7912022/12/5912022/12/7922022/12/5922022/12/7932022/12/5932022/12/7942022/12/5942.收支管理收支管理收入归口管理支出管理岗位分离不得包办充分论证集体论证强化核算定期对账债务清理合理设置岗位不相容职务分离债务管理业务收入合同为据及时入账定期核对落实催收非税收入财政票据收缴分离票款一致及时上缴票据管理规定申领启用核销销毁手续票据专管台账序时登记顺号使用废票管理票据不得：违规转让出借代开买卖扩大范围明晰审批审核支付核算归档的期限标准流程审批权限程序责任及控制不越权审核单据合法内容真实完整使用准确符合预算手续签章齐全支付明确流程公务卡结算核算及时准确归档控制2022/12/7952.收支管理收支管理收入归口管理支出管理岗位分离不得包办政府采购岗位分离：提议审批复核合同验收保管沟通协调机制，业务严格遵循流程归口管理：政府采购、资产管理、财会内审之间相互制约专人验收验收证明按规定处理投诉质疑记录控制安全保密管理2022/12/796政岗位分离：提议审批复核合同验收保管2022/1资产控制货币资金管理出纳设置印章管理签字规定核查控制账户管理设置变更撤销的手续和权限实务无形资产权限分离归口管理明确流程权限台账管理信息系统对外投资权限分离集体研究追踪管理责任追究权限分离集体决策审核机制流程招标管理专款专用支付结算档案管理及时决算资产档案移交建设项目2022/12/797资产控制货币资金管理出纳设置印章管理签合同管理归口管理合同登记全过程管理保密岗位分割授权签署保管使用印章明确合同订立范围条件参与人员范围监控履约以履约结算纠纷处理例子：办附属学校30年合同，出租签10年合同2022/12/798合同管理2022/12/598单位层面内部控制风险评估和控制方法评价与监督业务层面内部控制总则附则《行政事业单位内部控制规范（试行）》单位层面内部控制风险评估和控制方法评价与监督业务层面内部控制5.评价与监督多数外加的控制都会受到抵制控制始于自我控制内部控制自我评价方法：个别访谈法调查问卷法1005.评价与监督多数外加的控制都会受到抵制100检查有形资产函证检查记录或文件—包括检查会计资料（查账）分析程序重新计算重新执行观察询问强调使用：询问观察分析程序系统观灵活性打破常规思维八种审计取证方法2022/12/7101检查有形资产强调使用：询问八种审计取证方法2022/12/顺查原始凭证记账凭证明细账和总账抽取原始凭证核对报表2022/12/7102顺查原始凭证记账凭证明细账和总账抽取原始凭证核对报表2022逆查原始凭证明细账和总账核对从账薄中抽取的业务记账凭证报表2022/12/7103逆查原始凭证明细账和总账核对从账薄中抽取的业务记账凭证报按证据外在形式分类实物证据书面证据口头证据环境证据内部证据外部证据只在内部流转在外部流转外部直接经被审计单位转亲知证据2022/12/7104按证据外在形式分类实物证据书面证据口头证据环境证据内部证据外了解内部控制设计和运行的审计程序以前年度审计工作底稿询问、查阅检查凭证、记录观察选取有代表性的业务进行穿行测试。2022/12/7105了解内部控制设计和运行的审计程序2022/12/5105内部控制自我评价缺陷认定（无统一标准）1、内部控制缺陷认定分类标准

设计缺陷

运行缺陷2、内部控制缺陷认定标准

重大缺陷

重要缺陷

一般缺陷2022/12/7106内部控制自我评价缺陷认定2022/12/5106结束语结束语一、内部控制问题分析框架2022/12/7108一、内部控制问题分析框架2022/12/5108二、内部控制的不足内部控制的局限性人为失误串通舞弊成本与效益管理越权不确定性内部控制规范的不足缺乏具体操作规范，内控缺陷认定无标准实务中：高层不重视，缺乏内部控制人才内部控制代替不了外部监督（互补）2022/12/7109二、内部控制的不足内部控制的局限性内部控制代替不了外部监督（结束语内部控制是动态的过程内部控制受制于成本效益原则管理其实就是平衡的艺术——在内部控制实施成本和可接受风险程度之间进行平衡。100%确信达到既定目标并完全地消除风险是不可能的。110结束语内部控制是动态的过程管理其实就是平衡的艺术——在内部控内部控制是整体管理的有机结合计划、组织、领导、控制内部控制效果最终取决于最高管理层最高管理层高度重视，不仅重视硬控制，而且重视软控制。111内部控制是整体管理的有机结合111硬控制——软控制能力信任价值分享领导能力期望许诺政策、制度和程序组织结构管理层次和机构严格、正式的控制过程112硬控制——软控制能力政策、制度和程正式客观可数量化有章可循硬控制——软控制非正式主观无法数理化真实但无法描述哪个更重要？113正式硬控制——软控制非正式哪个谢谢！谢谢！高校内部控制：实务与案例李善民高校内部控制：实务与案例李善民思考人怎样才能健康长寿？健康的饮食适度的运动良好的生活习惯……….行政事业单位怎样才能健康发展？制度流程文化……..叶谦吉教授（1909-）思考人怎样才能健康长寿？叶谦吉教授（1909-）116无关重要的小错误可以容忍吗？“闭门家中坐，喜从天上来。”我我武生物5月20日公告，因股东上海利合股权投资合伙企业（有限合伙）（以下简称利合投资）在减持公司股份前，未能履行提前三天告知的义务，其减持所得收益约1370万元，将归我武生物所有。在我武生物招股说明书中，利合投资曾明确承诺，减持我武生物的原始股票时将在减持前3个交易日予以公告。若违反此项承诺，利合投资减持股份所得收益将归上市公司所有。今年2月13日，利合投资通过深交所大宗交易平台减持我武生物44万股，占上市公司股份总额的0.27%，减持均价为39.70元/股，共计套现1746.8万元。前台漏寄告知函！2022/12/7117无关重要的小错误可以容忍吗？“闭门家中坐，喜从天上来。”我我腐败案例人民大学招生就业处处长蔡荣生招生腐败案。高招自主招生、补录及调换专业三个环节已成腐败的“重灾区”。四川大学原副校长安小予落马后，该校规划建设处的一名副处长也被带走接受调查。资源浪费案例资源闲置，如设备，房产。造成经济损失案例合同没有很好的管理2022/12/7118腐败案例2022/12/54诺贝尔经济学奖获得者、奥地利经济学家哈耶克提出制度设计的关键在于假定，从“好人”的假设出发，必然设计出坏制度，导出坏结果；从“坏人”的假设出发，则能设计出好制度，得出好结果。所以，经济学必须把人假设为“经济人”，把人都看作是追求利益的，甚至是自私人。他认为真正的问题不在于人类是否由自私的动机所左右，而在于要找到一套制度，使人们根据自己的选择和决定自己的动机，也尽可能地为满足所有他人的需要贡献力量。2022/12/7119诺贝尔经济学奖获得者、奥地利经济学家哈耶克提财政部2012年12月颁布《行政事业单位内部控制规范（试行）》【财会〔2012〕21号】2022/12/7120财政部2012年12月颁布《行政事业单位内部控制规范（试行）单位层面内部控制风险评估和控制方法评价与监督业务层面内部控制总则附则《行政事业单位内部控制规范（试行）》单位层面内部控制风险评估和控制方法评价与监督业务层面内部控制财政部科技司编发了《行政事业单位内部控制规范讲座》，经济科学出版社，2013年9月。2022/12/7122财政部科技司编发了《行政事业单位内部控制规范讲座》，经济科学在座各位，您是否遇到过以下情形：当财务部门差旅费或接待费时，总听到老师在抱怨：审的也太严了吧，不想申请课题了？！管理层天天说风险，为什么一般教职员工对风险却没什么概念？是领导在危言耸听，还是风险管理和控制就是领导的事儿。制度整合了，流程也更新了，但在执行的过程中，反而觉得比以前更麻烦了，花的时间更多了类似的困惑和问题一定还有不少，它们都和单位的内部控制与风险管理体系息息相关。2022/12/7123在座各位，您是否遇到过以下情形：2022/12/591.出纳领取银行对账单、编制银行存款余额调节表。2.领导“一只笔”审批，缺乏完善内控制度和流程保障。3.过于依赖业务人员，资源掌握在个人手中，单位对业务开展失去控制。4.内部控制制度文字描述性东西较多，清晰的流程图和配套表单较少。5.内部控制制度“救火式”的较多，制度体系缺乏系统性和完整性，甚至政出多门，相互打架。6.员工临时休假或调离时，缺乏明确的工作交接制度。7.人员招聘时注重笔试和面试的考察，忽视背景调查。8.关键岗位无强制轮换。9.过分强调控制成本，经常将效率作为弱化或逾越内部控制的理由。10.说一套，做一套，制度放空炮。内部控制十大问题2022/12/71241.出纳领取银行对账单、编制银行存款余额调节表。内部控制十大高校内部控制之实务与案例课件125主要内容为什么要进行内部控制？谁负责内部控制，控谁？怎么做内部控制？摸清现状流程的描述方法：

对单位主要业务进行梳理分类

按照业务流程走向描述到具体岗位

描述的内容包括什么评价现状

流程管理中避免重复和无效劳动

应有的制约是否存在（不相容职务分离）

风险点的寻找完善现状2022/12/7126主要内容为什么要进行内部控制？2022/12/512一、外什么要进行内部控制？一、外什么要进行内部控制？（一）内部控制是啥意思？经典的是美国准则委员会【ASB】1972

年在《审计准则公告》提出了如下定义：“内部控制是在一定的环境下，单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标，而在单位内部实施的各种制约和调节的组织、计划、程序和方法。2022/12/7128（一）内部控制是啥意思？经典的是美国准则委员会【ASB】19【规范】第三条本规范所称内部控制，是指单位为实现控制目标，通过制定制度、实施措施和执行程序，对经济活动的风险进行防范和管控。我简化为：内部控制单位就是为了防范风险而采取一些必要的措施。2022/12/7129【规范】第三条本规范所称内部控制，是指单位为实现控制目标，【规范】第三条的定义包括静态和动态两个方面。从静态上讲，内部控制是行政事业单位为防范和管控经济活动风险而建立的内部管理系统，具体体现为各项内部管理制度以及落实所需的控制措施和执行程序。从动态上讲，内部控制是行政事业单位通过制定制度、实施措施和执行程序，为履行职能，实现控制目标的自我约束和规范的过程。同时，内部控制还是一个循环往复、不断优化完善的过程。2022/12/7130【规范】第三条的定义包括静态和动态两个方面。2022/12/做事有依据做事有流程做事有记录做事有效率2022/12/7131做事有依据2022/12/517（二）为啥要内控？【规范】内部控制的目标主要包括：合理保证单位经济活动合法合规资产安全和使用有效财务信息真实完整有效防范舞弊和预防腐败提高公共服务的效率和效果2022/12/7132（二）为啥要内控？【规范】内部控制的目标主要包括：2022/财务信息完整资产安全公共服务效率单位控制目标分解反映防范舞弊合法合规警戒线底线愿景线安全线主线内部控制目标健康长寿2022/12/7133财务信息完整资产安全公共服务效率单位控制目标分解反映防范舞弊与企业内部控制目标相比，行政事业单位内部控制的目标主要有以下几个特点。首先，行政事业单位内部控制以有效防范舞弊和预防腐败的目标替代了发展战略。其次，行政事业单位内部控制更加关注公共服务的效率和效果而不是经营方面。最后，行政事业单位内部控制要求单位重点关注经济活动的合法合规，以《规范》作为单位最低的行为准则，设计内部规章制度，在资产安全的基础上强调使用效率，真实完整地报告单位的财务信息，客观地反映预算执行情况，为单位领导决策提供可靠依据。2022/12/7134与企业内部控制目标相比，行政事业单位内部控制的目标主要有以下过程观下的内部控制表现内部控制就是管理中所运用与执行的政策程序、文件、单据和表格。内部控制应涵盖业务的全流程全方位。按照业务设计内部控制，而不是按照部门设计。设计起点和终点都超出财务会计的核算范围，而应是业务的起点和终点。思维转换：避免局部看问题。2022/12/7135过程观下的内部控制表现2022/12/521二、谁负责内部控制？控谁？二、谁负责内部控制？控谁？1.谁来负责？单位是否要设立独立的内部控制职能部门？单位应根据本单位“三定方案”（所谓的“三定”：一是定单位的职能，二是定内设机构，三是定人员编制）的有关规定，确定是否设立独立的内部控制职能部门。按照内部控制规范规定，单位应当单独设置职能部门或者牵头部门。一般情况下，行政事业单位单独设置财务机构的，内控工作一般由财务部门牵头，未单独设置财务机构的一般由办公室牵头。内部审计部门主要是负责单位内部控制各项制度建立健全情况和实施情况。2022/12/71371.谁来负责？单位是否要设立独立的内部控制职能部门？202【规范】单位负责人对本单位内部控制的建立健全和有效实施负责。西方的分权思想

内部控制>全面预算管理内部控制>会计控制和监督内部控制不是目标管理校长、书记、财务副校长、纪委书记？科学分权问责机制由谁牵头？本人配偶2022/12/7138【规范】单位负责人对本单位内部控制的建立健全和有效实施负责。2.控谁？与经济活动相关的部门和岗位财务国资基建科研产业总务…

设备后勤房产保卫人事国际合作……自身2022/12/71392.控谁？与经济活动相关的部门和岗位财务设备自身2三、如何做内控？三、如何做内控？内部控制要素是行政事业单位建立和实施内部控制的具体内容。美国审计总署(GAO)在《联邦政府内部控制准则》中界定政府内部控制要素包括:控制环境、风险评估、控制活动、信息与沟通、监控5个要素，其内容与发起人委员会（COSO）框架五要素的阐述基本一致。2022/12/7141内部控制要素是行政事业单位建立和实施内部控制的具体内容。美国主要内容摸清现状流程的描述方法：

对单位主要业务进行梳理分类

按照业务流程走向描述到具体岗位

描述的内容包括什么评价现状

流程管理中避免重复和无效劳动

应有的制约是否存在（不相容职务分离）

风险点的寻找完善现状

组织结构调整

制度完善等体检体检结果评估控制

环境食物控制运动2022/12/7142主要内容摸清现状体检体检结果评估控制2022/12/528梳理单位各类经济活动的业务流程，明确业务环节系统分析经济活动风险，确定风险点选择风险应对策略（根据国家有关规定，制定有针对性、操作性的各项单位内部控制管理制定）；监督（采取有效监督措施，督促相关工作人员认真执行，切实保障各项内部控制制度得到贯彻落实）；评价（对内部控制的建立和实施情况进行评价，不断完善）。体现的是过程管理2022/12/7143梳理单位各类经济活动的业务流程，明确业务环节体现的是过程管理（一）摸清现状行政事业单位内部控制的主要问题：认识不到位，缺乏内控理念内控制度不健全内部监督机制不完善，监督流于形式内控的一些具体问题：岗位设置不够合理费用支出缺乏有效控制事业单位对于行政经费的支出（接待费、会议费、办公费等）缺乏严格的控制标准，只要有相应审批人员签字同意，就能予以报销。144（一）摸清现状行政事业单位内部控制的主要问题：30财务与管理脱节财务部门只起到核算付款的作用，对单位重要事项的决策、实施过程和结果均不了解，未能对业务部门实施必要的财务管理和内部监督。资产管理比较薄弱对资产的使用管理缺乏相关的内部控制，重购轻管现象比较普遍。如一些单位未按规定建立定期财产清查制度，对于购置的资产未能及时登帐，未按规定登记固定资产明细账和实物卡片，资产保管责任不明确等，极易导致资产账实不符及资产流失。145财务与管理脱节31票据管理不够严格票据的购、领、用、核销未按规定建立相应台账，对票据使用情况未建立定期或不定期抽查制度，导致延期上缴相应收入，甚至出现挪用公款问题，对使用后票据未能及时办理交验、核销，容易导致收入不入账，私设小金库等问题。预算控制比较薄弱一是预算编制还比较粗糙，大部分都没有细化到具体项目，二是预算刚性不够，预算的计划性、科学性不强，预算调整追加较为频繁，资金使用缺乏预见性，消弱了预算的约束控制力。146票据管理不够严格32梳理流程，明确业务环节日常办公经费财务收支管理流程图需财务支出项目预算报主管处领导审查批准财务预支经手人持签字的正规发票及报销单报主管副处长审核签字报主管处长审核签字报财务室（财务处长签字）报销控制点说明：审核人、审核时限、审核对象、审核的标准、用以审核的基础数据来源等、审核后的轨迹2022/12/7147梳理流程，明确业务环节日常办公经费财务收支管理流程图需财务支基建与修缮工程流程图基建与修缮工程流程图1482022/12/71492022/12/535（二）风险识别和评价风险识别风险评估流程梳理

体检有哪些内容？—B超，X光，血常规，MR….体检后各项指标有无超过临界值？风险大吗？2022/12/7150（二）风险识别和评价风险识别风险评估流程梳理体检有哪些内容如何识别高校经济活动的风险点？那里容易出错？那里是软肋？最大的法律问题（漏洞）？那类活动容易产生风险？那些人可能绕过控制？哪些领域可能引发社会反感？）？2022/12/7151如何识别高校经济活动的风险点？那里容易出错？那类活动容易产生高校经济活动的主要风险举例

单位经济活动不合法或不合规的风险（政府采购、招投标，基建项目未报批）；国有资产流失、资源使用效益低下的风险（校办企业使用校内房产不交房租）；财务信息不真实、不完整的风险（年终强调执行率以合同做支出）；发生舞弊或腐败现象的风险；其他风险。2022/12/7152高校经济活动的主要风险举例单位经济活动不合法或不合规的风险风险评估程序第一步：目标设定（与风险偏好有关）合法合规目标资产安全目标信息真实和完整目标预防腐败目标效率和效果目标很多人在理解风险时，往往会把风险(

risk

)

和不确定性（uncertainty）相混淆。事实上，风险与不确定性并不相同，风险的定义只能与目标相联系，它能够影响一个或多个目标。风险并不是存在于真空中，如果风险发生的话，某些目标将会受到影响。因此，风险的一个更加完整的定义是“能够影响一个或多个目标的不确定性”。也就是说有些不确定性与目标并不相关，它们应该被排除在风险管理过程之外。2022/12/7153风险评估程序第一步：目标设定（与风险偏好有关）很多人在理解风第二步：风险识别风险识别是对行政事业单位面临的各种不确定因素进行梳理、汇总，形成风险点清单。风险识别需要对单位的经济活动的管理现状进行全面摸底，而且这种摸底是一个动态的、连续的过程。在流程梳理的过程中进行。2022/12/7154第二步：风险识别2022/12/540目前，较为通用的风险识别工具和方法有三种：数据分析和资料研究法专家意见评估法行业标杆对照法。识别工作围绕单位的风险框架展开，由战略风险、市场风险、法律风险、运营风险和财务风险五大类构成，识别工作的成果整理成风险列表。常用的风险识别的方法有财务报表分析法，事件树分析法，现场调查法等。虽然方法很多，但不同方法共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。2022/12/7155目前，较为通用的风险识别工具和方法有三种：2022/12/5第三步：风险评估分析在风险识别的基础之上，运用定量和定性方法进一步分析风险发生的可能性和对单位目标实现的影响程度，以便为制定风险应对策略、选择应对措施提供依据。包括风险可能性和影响程度分析。目的是对识别的风险进行排序，确定内部控制需要重点关注和优先控制的风险点。风险评估的方法：2022/12/7156第三步：风险评估分析2022/12/542定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值，威胁的可能性，弱点被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级，例如“高”、“中”、“低”三级。定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi方法）、检查列表（Checklist）、问卷（Questionnaire）、人员访谈（Interview）、调查（Survey）等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。2022/12/7157定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性风险发生可能性评级发生可能性标准／定义低即使不采取措施，风险几乎也不带来损失中不采取措施，风险就会造成损失高不采取措施，风险很容易造成损失风险影响程度评级影响程度标准／定义低不采取措施，风险损失不对关键指标造成影响中不采取措施，风险损失对关键指标造成影响高不采取措施，风险损失对资源造成巨大浪费风险事项：外部环境、经济活动或管理要求等发生重大变化的，就要求进行风险评估，当前则主要对应的是内部控制规范要求来识别单位自身风险及外部变化要求的风险。2022/12/7158风险发生可能性评级发生可能性标准／定义低即使不采取措施，风险常见的定性分析法是风险评估图法，可以利用坐标图法，将风险按风险发生的“可能性”及风险发生后“对服务目标的影响”两个维度，绘制成风险坐标图，并将单项风险在坐标图中清晰地标识出来。这一方法便于直观地展示各类风险重要性的分布情况，找到管理的重点，以采取相应的对策。2022/12/7159常见的定性分析法是风险评估图法，可以利用坐标图法，将风险按风987654321123456789高需要行动低监督/重新部署?中等密切监督/确定和准备影响程度可能性160987654321123456789高低中等影响程度可能性4不同的风险其应对的风险管理策略也不同：1.风险发生概率不高的区域，或即使发生，危害程度也不大的区间，宜采用“风险接受”的策略，如员工大疾病风险属于这一类型。

2.

发生的可能性和影响程度均属于中等的区间，可以采用“风险缓解”的策略，比方说通过改善内部控制及流程来减少现有的风险，外汇风险便属于这一类型。3.风险发生可能性较高，危害程度也较大的区间，应该采取“风险规避”的应对策略，如通过终止合同来规避风险。通常而言是人力资源风险、欺诈风险、采购风险。4.风险发生可能性很高，或危害程度很大的区间是对企业危害最为严重的一类风险，如财务风险、系统故障风险、政治风险和投资风险，应当尽可能地通过购买保险、进行合资/

合作或实行外包等“风险转移”策略，把风险适当转移给第三方。2022/12/7161不同的风险其应对的风险管理策略也不同：2022/12/547第四步：风险应对

依据单位能够承受风险的能力，确定风险对策，风险对策的四种基本模式规避转嫁承担化解2022/12/7162第四步：风险应对2022/12/548单位层面的风险评估业务层面的风险评估工作组织情况机制建设情况制度完善情况关键岗位管理财务信息编报预算管理收支管理政府采购管理资产管理科研经费管理建设项目管理合同管理控制手段类指引2022/12/7163单位层面的风险评估业务层面的风险评估工作组织情况预算管理控制序号控制目标可能产生风险风险等级风险应对措施风险识别、分析与评估清单2022/12/7164序号控制目标可能产生风险风险等级风险应对措施风险识别、分析评估结果的应用评估工作完成后，风险评估工作小组应当做好汇总、整理和分析工作，必须形成书面报告，及时提交单位领导班子，作为完善内部控制的依据。2022/12/7165评估结果的应用评估工作完成后，风险评估工作小组应当做好汇总、步骤1：确定所处位置和背景•范围•机构的•环境的•产出目标•风险标准•与其他计划相连接步骤6：监控和检查风险•过程•环境•组织•战略•利益相关者接受/保留•根据判断或书面程序政策规避：•考虑停止或避开活动•咨询•有利于避免风险的处置步骤2：识别风险•识别关键程序、任务和活动•确定风险领域•定义风险•对风险加以分类步骤3：分析风险•识别控制•决定可能性•对风险划分等级沟通和咨询存在于每一步骤步骤4：评价风险并排序•识别可接受/不可接受风险•排出处置风险的先后次序转移：•保险•外包减少可能性•控制•优化流程•培训•政策和沟通•审计和遵循步骤5：处置风险减少结果：•应急计划•互惠协议•公共关系步骤1：确定所处位置和背景步骤6：监控和检查风险接受/保留规166要求经济活动风险评估至少每年进行一次。第一次风险评估应当尽可能全面、细化，形成业务流程图，确定关键风险点。后续的可以定期进行，主要侧重于经济活动的变化部分。如果单位的外部环境、经济活动或管理要求等发生了重大变化也应进行风险评估。对某些高风险经济活动开展不定期评估。建议各位每年体检一次！（减肥的人每天坚持量体重）2022/12/7167要求建议各位每年体检一次！（减肥的人每天坚持量体重）2022（三）完善（内部控制建设）内部控制原则内部控制控制方法单位层面的内部控制业务层面的内部控制监督与评价哈佛教授约翰.科特《变革之心》：变革最大的阻力是组织内部原有的观念