企业风险与内部控制管理--2021.8.(1)

企业风险与内部控制管理中国总会计师协会专家项目组成员——周国海教授主讲， 企业内部控制企业为什么要进行控制管理的核心降低风险迅速发现问题保证
目标实现加强法人治理避免管理层及雇员欺诈企业内部控制失效的主要表现、成因企业内部控制失效的主要表现（一）内部控制环境失范（二）内部
控制程序失灵（三）内部会计控制失实企业内部控制失效的主要成因（一）内部控制认识有偏差（二）内部控制机制不健全（三）信息平台不统一（
四）监督机制不严密（五）企业文化建设滞后（六）内部控制人员素质不强完善企业内部控制的对策1.健全法人治理结构。2.完善内部组织结构
。3.培育企业先进文化。1.确定风险管理目标。2.收集风险管理信息。3.对风险进行识别4.对风险进行分析。5.评估并管控风险。优化
内控环境，打牢内控基础强化风险管理，提高风控水平改进内控手段，全方位加强内控1.构筑严密的内控机制。2.加强对行为主体控制。3.完
善约束激励机制。 4.强化全面预算管理。搭建信息平台，加强信息沟通信息管理系统是企业提高信息沟通速度、促进决策科学化的必不可少
的信息平台。它既包括向下的沟通管道，也包括向上的、横向的以及对外界的沟通管道。健全监督机制，增强监督效果为确保企业内部控制体系得到
全面有效落实并使其能适应和满足企业发展新需求，需要健全和完善监督机制。内部控制的概述内部控制的定义：内部控制是一个由企业董事会、监
事会、经理层和全体员工实施的、旨在实现控制目标的过程。 ---五部委《企业内部控制基本规范》内
部控制的概述内部控制是组织为实现经营目标，通过制定和实施： 一系列制度、程序和方法，对风险进行事前防范、事中控制、
事后监督和纠正的动态过程和机制。 8注：COSO是指美国反对虚假财务报告委员会所属的内部控制专门研究委员会——发起机构委员会（C
ommittee of Sponsoring Organizations of the Treadway Commission，
简称COSO）。它包括美国注册会计师协会，内部审计师协会，财务经理协会，美国会计学会，管理会计协会。内部控制是企业为控制经营风险、
实现经营目标而制定的各项政策与程序。COSO报告指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的
可靠性、经营的效果和效率以及现行法规的遵循。内部控制整体架构主要由：控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。现
代企业内控的新阶段内部控制的整体框架建立公司层面的目标和风险评估过程制定识别，传达会计准则变化（GAAP)及内部控制或其运行环境变
化的程序参股公司层面目标建立具体的活动目标制定必要的政策和程序使该政策和程序所包含的控制在实践中得以贯彻实施管理层制定清晰明确的财
务及经营目标并进行差异分析和追踪合理分配工作职责以降低舞弊风险保护文档，记录及实物资产的安全确保信息系统安全，对信息系统安全政策及
程序的合规性进行监控信息系统为管理层决策提供支持开放并改善信息系统以适应公司的战略目标管理层提供保证并监控在信息系统开发和测试中的
人力和财务资源的参与度管理层对所有主要数据中心建立业务持续计划/灾难恢复计划管理层对员工的责任和职责进行有效沟通并建立针对潜在问题
的沟通渠道来自外部的信息在公司内部及时有效的进行沟通，使管理层能够采取及时适合的行动定期评估内部控制及人员实施内部控制管理意见，及
时改进缺陷，适当回应监管部门的报告及建议管理层利用内部审计协助进行监控内控中的个别（专项）评价流程汇报内控缺陷流程管理层的正直，道
德价值观和行为管理层的控制意识和运作类型管理层对员工能力的承诺董事会和审计委员会的监督组织架构已经权责的分配授权的界面应该清晰人力
资源政策和实践控制为什么++控制什么谁来控制 帮助达成组织目标 风险 公司高级层 经理层 员工层 =如何理解内部
控制目的性是一种动态的过程是企业经营过程的一部分深受环境的影响企业的每一名员工既是控制主体又是控制客体内部控制是针对人设立和实施的
12企业目前制定了不少的制度，却不能不折不扣地执行，原因是什么？一、有权限的人员自身综合素质有待提高；二、各道环节存在“个人利益”
的思想问题；三、制度本身不规范、不完整，前后出现矛盾。这三个问题最重要的是第一个。要做到不折不扣地执行制度，最重要的是企业老板或总
经理要有高度的制度意识，要有强烈的制度执行力，要有辨别制度执行不了的洞察力，还要做到履行制度的表率。所以，企业创办之前，作为股东应
当抓好内部控制体系的核心问题：内部控制的核心问题内部控制的核心问题打造企业内控的基础控制环境控制环境控制环境也叫环境控制控制环境包
括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调，影响员工对
内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。反映高层管理人员、董事、企业所有者对控制以及控制对企业重要性的态度的
各种行为、政策和程序。控制环境要求在评价控制环境的设计和实施情况时，应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎
道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。对内部控制环境的基本理论了解；对会计信息质量的理论进行了解，重点了
解内部控制环境要素对会计信息质量的影响；从内部控制环境角度对会计信息质量的现状进行分析；如何建立良好的控制环境完善治理结构建立管理
机构明确职责职权并且提高员工的综合素质建立完善的激励与约束机制加强企业风险管理 4.1增强风险管理意识和认知能力 4.2合理的
识别企业风险 4.3提高应对风险的能力：分为四类：回避风险、转移风险、接受风险、分散风险。5、建立企业文化6、建立良好的信息与沟
通系统7、加强企业内部审计监督指引文件目录控制环境组织架构发展战略人力资源社会责任企业文化业务控制资金活动采购业务资产管理销售业务
研究与开发工程项目担保业务业务外包财务报告管理控制全面预算合同管理信息与沟通内部信息传递信息系统把握企业内控的实质风险评估管理
风险是指未来的不确定性对组织实现其既定目标的影响时间由于风险的存在,使得实际结果和预期结果之间总会存在一定偏差，风险管理就是要
将这种偏差控制在可接受的范围内。由于各种不确定因素的影响,实际可能的结果组织预期实现的目标，例如价值增长风险的定义风险的分类纯粹风
险和投机风险纯粹风险纯粹风险是指只有损失的可能性而无获利的可能性的风险。纯粹风险所导致的结果只有两种：有损失或无损失。如火灾、水灾
、车祸、坠机、死亡、疾病和战争等都属于纯粹风险。投机风险投机风险是指既存在损失的可能性，也存在获利的可能性的风险。纯粹风险所导致的
结果可能有三种：有损失、无损失、获利。如股市的波动、商品价格的变动、赌博等都属于投机风险。 什么是企业风险管理企业风险管理是企业应
用一般的管理原理去管理一个组织的资源和活动，通过辨别、评估风险及相应的风险管理策略，以合理的成本尽可能的减少意外风险损失，放大风险
收益的管理方法。规划风险管理识别风险实施定性风险分析实施定量风险分析监控风险规划风险应对计划过程监控过程企业为什么要进行风险管理一
、企业的内部控制是保证企业正常经营的基础，内部控制的好坏直接关系到一个企业的经营成败。　二、是为了防范风险与树立投资者信心。三、推
行内部控制是企业加强交流沟通，促进信息对称的根本途径。促进各相关单位或部门之间信息的对称和透明，加强部门之间在授权、不相容职务相分
离、独立业务审核。　　四、推行内部控制是企业改善内部控制，加强内部监督制约的有效手段。明确一个项目的风险管理活动的过程
——形成风险管理计划 保证其水平、类型和可见度与风险相称
与项目对组织单位的重要性相称 保证为风险管理活动提供充足的资源和时间
为风险评估提供一致认可的基础 在项目构思阶段开始，在规划阶段早期完成
风险匹配项目匹配作用一、规划风险管理规划风险管理流程项目范围说明书成本管理计划进度管理计划沟通管理计划事业环境因素风险态度风险承受
度既定的风险管理方法规划会议、分析风险管理计划依据工具、技术结果风险管理计划含义内容 描述了在项目运作过程中风险管理总体策划
，以及风险识别、风险定性和定量分析、风险应对计划编制、跟踪和控制是如何构架和执行的。不涉及具体单个风险的应对方法论角色和职责
预算时间安排风险类别—RBS/灾难防御风险概率和影响的定义修订的干系人承受力报告格式 跟踪识别风险的定义确定何种风险可
能影响项目，并记录其特征。风险识别的参与者尽可能地包括所有主要干系人。风险识别是一个反复重复的作业过程。二、识别风险1、风险分类
根据风险的可应对方式可分为：商业风险纯风险或可保险风险那些在交易中带来收益和损失机会的正常风险那些只有损失机会的风险完全直接
的损失（撞车）随后的间接损失法律责任人为因素2、识别风险流程依据工具、技术结果项目范围说明书事业环境因素组织过程资产风险管理
计划集成管理计划框架分析法头脑风暴法要素分析法情景分析法流程分析法潜在风险风险征兆风险来源风险清单风险登记册文件审查信息收集技术核
对表分析假设分析图解技术SWOT分析专家判断3、识别风险的工具识别风险—工具与技术文件审查信息收集技术识别的第一个步骤应该是从整体
和范围两个层面对计划、假设、项目文件和其他资料进行结构化审查头脑风暴：获得一份综合的风险清单，明晰定义，也可采用名义组技术兰德
的DELPHI法：组织专家匿名就某个专题达成一致意见，防止个人对结果不恰当的影响访谈：干系人和专家对项目风险进行识别根本原因识
别：结合根本原因进行分类，并制定预防措施识别风险—工具与技术核对表分析假设分析图解技术根据历史信息编辑识别核对表，加快简化识别过
程将审核核对表作为项目收尾中正式步骤不断完善确认假设有效性，从不准确、不完善的假设中不断深入，识别项目的风险因果分析系统或
过程流程图：系统要素的相互关系和因果传导关系影响图：显示因果、顺序、变量与结果等关系风险登记册已识别的风险清单：对已识别的风险尽
可能详细地描述，可采取简单的结构进行描述，如某时间可能发生，造成什么影响等潜在的应对措施：以前项目的风险是怎么处理的，现在的项目中
也可能存在，作为一种潜在的应对措施识别风险的结果企业如何应对风险管理？风险应对，应该围绕管理目标，对风险进行整体系统的分析并采取应
对措施。有效的风险管理可以在战略决策层面发挥积极的作用。风险管理并非静态的，风险是随时发生变化的，企业需要时时观察有关变化趋势，从
2006年6月6日国资委《中央企业全面风险管理指引》的颁布开始，再到国务院国资委《关于2012年中央企业开展全面风险管理工作有关事
项的通知等，都说明中国企业的风险管理工作已经步入实操阶段。很多企业都纷纷在自己的企业当中开始尝试着实施相关的风险管理工作，然而也有
很多企业管理人员在实际操作中对风险管理存在一些普遍认识上的误区，使得风险管理更多的变成一种“概念”，从而没有切实享受到风险管理的益
处。1、市场风险及对策2、财务风险及对策3、管理风险及对策4、盈利模式风险及对策????推动企业内控进程内部控制活动与信息沟通执行
改变推动改变 1、教育与沟通 2、提供设施与参与 3、 支持与协助
4、协商和同意 5、操作方法

6、对付明暗压力推动内部控制进程为合理保证经营管理目标的实现，管
理和防范风险所采取的措施和行动。控制活动包括：高层管理人员对企业绩效进行分析、直接部门管理、对信息处理的控制、实物控制、绩效指标的
比较、职责分离等控制活动能够防范风险常见的内部控制活动按照控制与事件发生的时间关系分类：事前控制：预防性控制财务专用章与人名章分开
保管；客户信用审核携带公章外出展业，经上级公司批准事中事后：发现性控制银行对账；凭证复核；财产盘点自动控制 VS.手工控制自动预防
：刚性控制自动发现：实时监控&自动预警第 40 页应急处理机制财产保护控制会计系统控制信息技术控制职务分离控制授权审批控制人力资源
控制人员专项应急运营控制活动流程控制预算控制运营分析控制销售交易的职责分离主要关注五大环节：接客、审批、发货、记账、收款： 常见的
职责分离的情况：上家与下家、借与贷、总账与明细账】常见的职责分离的情况：上家与下家、借与贷、总账与明细账第 42 页不相容职务？如
果由一个人担任，可能发生错误或者不当行为，同时又有可能对这些行为进行掩盖的职务。不相容职务分离基础假设两个或以上的人无意识地犯同样
错误的可能性较小两个或两个以上的人有意识地串通舞弊的可能性低于单独一个人舞弊的可能性1、不相容职务分离控制第 43 页不相容职务控
制运用：梳理业务流程，确定业务流程中有哪些岗位和操作 分析哪些岗位和事项之间存在联系和牵制，而且容易出现错误和舞弊结合岗位职责分工
采取分离措施 关注员工在公司内的人际关系，坚持回避原则 常见不相容职务：财产：保管、记录、盘点承保：展业、出单、核保理赔：查勘、定
损、核损、理算、核赔财务：会计与出纳、收支与对账、支票与印章IT系统：数据录入与数据库管理单证：单证管理与出单兼职可以吗？控制措施
与管理模式相适应第 44 页授权审批控制就是业务必须由被授权的人去执行实施要求： 所有经营活动纳入授权管理范围，事先明确
各项活动的授权者、明确被授权者的职责权限。工作效率 VS. 管控力度 常规授权 VS. 特别授权强调书面授权授权书及转授权书、岗
位职责说明书、权责规范手册其他制度中的授权：资金管理、大商风管理、理赔2、授权审批控制合理把握授权范围和尺度权限过小影响经营活动效
率和被授权者积极主动性权限过大有可能对某些重要事项失去控制 ：固定资产规模控制监督授权执行情况保持动态授权、差异化管控风险管控能力
强、对工作效率要求高，则放权授权执行情况差，则收权、集中化管控越权行为处罚第 45 页会计系统控制目的是真实反映经济业务经营结果：
资产负债表、利润表、现金流量表 控制措施：程序控制、手续控制、凭证编号、复核与核对会计软件的设计符合标准，内嵌控制措施具体
要求：依法设置会计机构，配备会计人员严格执行国家统一的会计准则制度明确会计凭证、会计账薄和财务会计报告处理程序建立会计信息审核机制
3、会计系统控制第 46 页财产保护控制 保护财产的安全与完整. 具体措施：财产登记实物保管定期盘点、账实核对财产保险，转嫁
风险 损失4、财产保护控制5、预算控制 预算控制就是通过预算方法实施的对经营活动的控制。预算目标既是行动目标也是约束条
件预算控制的过程编制预算预算执行预算的监控、分析与调整预算执行结果考核6.运营分析控制运营分析控制是指公司对经营活动信息进行分析，
及时发现存在的问题，查明原因，采取措施。分析方法 :因素分析、纵向横向对比分析、趋势分析与竞争对手对比分析、标杆公司对比分析运营分
析举例月、季、年度经营分析黑名单、灰名单库应收保费、车险、理赔数据监控第 47 页7.IT控制IT控制—利用信息技术强化控制刚性控
制：将内部控制需求固化各类信息系统中，强化各类管控措施保单超时补录、涉及资金流出的批退、生效保单注销、报立案注销恢复、省集中案件、
欠费保单赔付无缝链接：保障数据一致性，防止系统间数据修改业务、财务、收付费、再保、单证数据集中：强化运行与数据控制，防范数据操纵实
现远程监控、预警责任落实：员工身份认证和权限管理生产控制中心管控内容：管数据：对错误数据修正审批流程的控制管应用：对非统颁外挂应用
系统的集中控制管主机：主机及数据库维护权限上收到生控中心控配置：信息系统配置权限上收到生控中控制措施分析增强了对信息系统及相关数据
的控制强化了其他控制措施的落实预防性控制和检查性控制（1）预防性控制。预防性控制通常用于正常业务流程的每一项交易，以防止错报的发生
。预防性控制可能是人工的，也可能是自动化的。表13-4是预防性控制及其能防止错报的例子。例如，对于一个简单的业务流程，发运货物的计
价控制包括人工对销货发票的复核，以确定发票采用了正确的价格和折扣。但在一个较复杂的业务流程中，被审计单位可能依赖数据录入控制判别那
些不符合要求的价格和折扣，以及通过访问控制来控制对价格信息记录的访问。对于处理大量业务的复杂业务流程，被审计单位通常使用对程序修改
的控制和访问控制，来确保自动控制的持续有效。（2）检查性控制。建立检查性控制的目的是发现流程中可能发生的错报（尽管有预防性控制还是
会发生的错报）。被审计单位通过检查性控制，监督其流程和相应的预防性控制能否有效地发挥作用。检查性控制通常是管理层用来监督实现流程目
标的控制。检查性控制可以由人工执行，也可以由信息系统自动执行。例如，财务总监复核月度毛利率的合理性；信用管理部经理可能有一本记录每
月到期应收款的备查簿，以确定这些应收款是否收到，并追查挂账的项目；财务总监实施特定的分析程序来确定某些费用与销售的关系是否与经验数
据相符，如果不符，调查不符的原因并纠正其中的错报等。信息与沟通信息与沟通是建立与实施有效内部控制的重要条件。建立信息与沟通制度，明
确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，可以促进内部控?制有效运行。企业应当将内部控制相关信息在企业内部各管理
级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部?门等有关方面之间进行沟通和反馈，信息沟
通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。信息与沟通对内控的影响第 53 页信息与
沟通收集和传递内控相关信息进行有效沟通，彼此理解真实意图方式：自上而下、自下而上、横向、对外内控相关信息：内部信息人员信息、制度信
息、经营信息、监督信息外部信息经济形势、政策法规、监管要求、行业动态 第 54 页沟通要点：管理层意图及时传达，统一思路与方向权责
信息要书面规范，使职责履行到位基层情况及时上传，发现问题及时采取措施平行沟通需相互服务意识，信息共享、简化流程管理者是信息沟通关键
，态度、渠道、氛围、反馈沟通方式：文件、会议、内网、邮件、意见箱持续监控第 56 页定期评估内部控制及人员实施内部控制管理意见，及
时改进缺陷，适当回应监管部门的报告及建议管理层利用内部审计协助进行监控内控中的个别（专项）评价流程汇报内控缺陷流程企业内控的建立和
执行监实施控纠正偏差检查控制职务分离岗位责任制控制流程组织控制程序控制采购制度保管制度盘点制度实物控制内部控制基本架构作业指导书人
事控制甄选人员轮岗政策流程规章指导内部控制的建立设计内部控制的总体思路借鉴内部控制理论参考内部控制范例根据内部控制法规结合企业管理
实际设计内部控制系统定期评价修改、调整企业内控建设的思路和方法1.明确内部控制建设的目标和定位2.摸清现状，分析缺陷和薄弱环节3.
采取行动，整改缺陷，完善薄弱环节4.搭框架，定基调，顶层设计至关重要5.围绕风险点，设置控制点，抓好流程建设6.重视内控评价，做好
动态改进与持续优化1.明确内部控制建设的目标和定位2.摸清现状，分析缺陷和薄弱环节3.采取行动，整改缺陷，完善薄弱环节4.搭框架，
定基调，顶层设计至关重要5.围绕风险点，设置控制点，抓好流程建设6.重视内控评价，做好动态改进与持续优化1.明确内部控制建设的目标
和定位2.摸清现状，分析缺陷和薄弱环节3.采取行动，整改缺陷，完善薄弱环节4.搭框架，定基调，顶层设计至关重要5.围绕风险点，设置
控制点，抓好流程建设6.重视内控评价，做好动态改进与持续优化1.明确内部控制建设的目标和定位2.摸清现状，分析缺陷和薄弱环节3.采
取行动，整改缺陷，完善薄弱环节4.搭框架，定基调，顶层设计至关重要5.围绕风险点，设置控制点，抓好流程建设6.重视内控评价，做好动
态改进与持续优化1.明确内部控制建设的目标和定位2.摸清现状，分析缺陷和薄弱环节3.采取行动，整改缺陷，完善薄弱环节4.搭框架，定
基调，顶层设计至关重要5.围绕风险点，设置控制点，抓好流程建设6.重视内控评价，做好动态改进与持续优化相互牵制原则协调配合原则岗位
匹配原则成本效益原则整体结构原则内部控制的设计原则 组织控制 人事控制 风险评估 程序控制 实物控制 检查控制内部控制方法组织控制
1. 组织控制原理利用工作分工，形成一些职能上的互相牵制。通过对业务流程的分割，使同一业务由不同部门进行操作、稽核，监督，从而减少
可能出现的差错。2. 组织控制的内容对不相容职务予以分离明确岗位责任制制定清晰的作业流程图参与部门在职责范围内做好内控建设工作部门
职责举例1、负责审核汇总各部门/单位年度固定资产投资计划，编制相应预算；负责审核固定资产采购申请；2、负责固定资产的供方资质评审，
根据需要建立合格供方目录；3、负责或牵头组织固定资产的购置与投资建设；4、负责与固定资产使用人办理固定资产的交付手续，负责台账记录
（含使用情况登记）、使用人变更、维修与维护管理、固定资产的投保与索赔，确保固定资产台账与实物核对相符；5、牵头组织固定资产的盘点，
对盘点中出现的盘盈盘亏，查明原因并提出处理意见，编制盘点报告；6、牵头组织固定资产报废与处置的技术鉴定，办理资产报废与处置的报批；
7、对资产实施报废后管理，对于具有销售价值的报废后资产，及时处置销售，岗位权限举例参与部门在职责范围内做好内控建设工作人事控制
甄选合适的人员 绩效考核 适时的人员培训 工作轮换人员控制是指一系列控制方法，这些控制方法能够使员工专业、敬业并且自觉地
做好工作。人员控制有四个基本功能：使员工清楚企业目标和行为标准，知道企业期望员工做什么；确保员工拥有完成其工作岗位需要的所有能力（
如经验和才智）和资源（如信息和时间）；避免了员工发生错误、舞弊、贪污、偷懒行为的可能性；改善员工进行自我控制、自我监督。7475甄
选合适的人员甄选方法的类型测验技术评价中心非测验技术甄选心理测验知识测验劳动技能测验面试申请表情景模拟（工作抽样等）档案法与调查法
心理测试+面谈+文件筐技术+无领导小组讨论人员甄选工作甄选的内容 一般能力专业技能心理人格社会背景 甄选程序示意图77 风 险 识
别企业全面风险诊断? 治理结构? 内外部董监事? 人力资源体系? 高层风险管理能力? 三道防线的风险管理能力? 风险意识风险识别
——内部风险人力资源因素：董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等管理因素：组织机构、经营方式、资产管理、
业务流程等自主创新因素：研究开发、技术投入、信息技术运用等财务因素：财务状况、经营成果、现金流量等安全环保因素：营运安全、员工健康
、环境保护等其他78风险识别——外部风险经济因素：经济形势、产业政策、融资环境、市场竞争、资源供给等法律因素：法律法规、监管要求等
社会因素：安全稳定、文化传统、社会信用、教育水平、消费者行为等科学技术因素：技术进步、工艺改进等 自然环境因素：自然灾害、环境状况
等 其他79管理人员的正直或能力问题:内部的非正常压力:非正常的经济业务:存在着会计记录/凭证的问题:销售发票的风险警示信号差旅费
舞弊的风险警示信号如何判断企业有舞弊风险 与利润表相关的会计数据异常 营业收入增幅低于应收账款增幅，且营业收入和净利润与经营性现金
流量相背离 营业利润大幅增加的同时，营业成本、销售费用等增加比例很小 应缴增值税、营业税金及附加和所得税费用异常低，与收入和利润增
长幅度不匹配 与现金流量表相关的会计数据异常 现金余额与经营业绩不匹配，且现金占资产总额比例过高，多年来变化很小 高额现金伴随着高
额短期负债和逾期欠款 应收账款变动不大的情况下，销售商品、提供劳务所收到的现金与营业收入和增值税增幅不匹配 应付账款变动不大的情况
下，购买商品、接受劳务支付的现金与营业成本增幅不匹配 其他与投资活动相关的现金流会计数据异常情况财务风险判别 与资产负债表相关的会
计数据异常 其他应收款或其他应付款数额巨大，与公司的主营业务收入规模不匹配 利用其他应收款科目隐藏短期投资，截留投资收益 利用其他
应收款隐藏利润，偷逃税款 利用其他应收款转移资金 利用其他应收款私设小金库 利用其他应付款隐藏费用83风 险 分 析财务风险战略风
险市场风险运营风险法律风险组织结构风险风险管理缺陷分析模型实施定性风险分析流程依据工具、技术结果风险登记册风险数据质量评估概率影响
矩阵风险概率和影响评估7、定性分析结果的趋势6、低优先观察清单5、进一步分析的风险4、需近期处理的风险3、风险成因及需关注领域2、
按类别分类的风险1、优先级清单风险登记册（更新）组织过程资产风险管理计划项目范围说明书风险分类风险紧迫性评估专家判断实施定量风险分
析—工具或技术决策树分析是结构化的决策分析方法反映了决策过程中每个事件的所有可选择方案将风险概率、事件的每一条合理路径的成本
、报酬以及未来的决策进行综合考虑当所有不确定的备选方案、成本、报酬、风险和后续的决策被量化后，决策树可以显示哪些决策可以得到最大
的价值期望决策树分析案例某仪器的故障率为4%在制造厂检测的费用：10000/台在制造厂检测后重新装配费：2000/台在制造
厂维修和装配故障仪器：23000/台在用户现场维修和装配费用：350000/台假设：运往现场的仪器必须使用不能更换 按照50
0台的数量是否需要在厂进行100%检测？第 87 页内部控制手册通常在流程图、风险控制矩阵等控制文档的基础上形成，内容包括了对各内
部控制要素和业务领域中的风险点和具体控制活动的描述、说明和总结 。规章制度制度文件的构成内容：总则，含规范内容、控制的原则、部门的
职责、岗位权限，其他具体管理要求：制度附件，包括有关单据、表格、样本、填表说明等第 88 页流程图关注重要流程（1）为企业带来回报
率最高的活动（2）容易产生舞弊的活动（3）出现问题最多和遭受投诉最多的活动（4）客户可见的活动（5）公司不鼓励的活动（6）上级监管
部门关注的活动（7）企业领导关注的其他重要活动89实物资产的内部控制原材料的控制专门的仓库保管建立“入库验收制度 按品名、规格定位
堆放，并挂贴标签实行定期“盘存制度 领用和发出按规定的程序办理手续建立材料的帐实稽核制度：产成品的控制建立产成品入库制度每月终了，
成品库与生产部门、销售部门在收、发对帐后，要编制产成品收、发结存报表送财会部门对帐，保证帐帐相符。半成品及在产品的内部控制入库时填
交库单，领用时填领料单期末要清查盘点，盘点时生产部门、车间核算员、财务部门盘点完毕要填写在产品盘存表固定资产的控制 建立固定资产采
购制度 建立固定资产在企业内各部门之间的移动的管理制度 建立报废、转让、出租、出借制度 建立固定资产盘存制度。货币资金的控制建立现
金的定期盘点制度 建立财务不定期制度建立备用金及时回收制度建立出纳人员内部轮换制度建立银行存款收付日记帐建立支票、汇票和本票备查登
记簿 建立银行对帐单、银行调节表检查制度建立财务印章管理制度工资人事的控制建立完善考勤制度建立完善休假管理制度建立完善工资审核制度
建立完善工资发放制度92 作业指导书内部控制的实施与落地管理制度化企业管理，应该制度化、规范化制度本身必须合理，关注两个层面
：操作+机制 制度流程化以部门为对象转化为以业务为对象以条块为手段转化为以流程为手段流程岗位化流程细化到每个岗位 控制信息化通过信
息手段实现控制的自动化 ，提高管控效率 某央企的风险管理架构94董事会其他委员会总审计师副总经理总法律顾问CRO总经理风险管理与审
计委员会风险管理部风险管理岗子公司其他职能部门法务部风险管理部集团审计部风险管理岗内审部业务部风险管理岗企业的财务预警指标体系财务
预警指标体系偿债能力营运能力盈利能力销售能力发展能力控制能力3项6项4项9项2项4项6 大类28个指标对流程不符合本部门现有业务
实际的问题，进行记录并在部门内部讨论；定期跨部门汇总并进行讨论！修正内部控制流程！34125形成汇报文件并上报！各部门内部，指定专
人负责本部门流程与其他部门的接口、部门内部的接口、流程的运行维护等。内部控制持续改进内部审计与内控内部审计的现代理念内部审计定义
内部审计是一种旨在增加组织价值和改善组织营运的独立、客观的鉴证和咨询活动，它通过系统化、规范化的方法来评价和改善风险管理、
内部控制和治理程序的效果，以帮助实现组织目标对内审的组织地位和专业能力提出了极高的、有时候并不现实的要求内部审计的主要职权要求被审
计单位按时报送有关计划、预算、决算、合同协议、会计凭证、帐簿等文件资料检查实物、凭证、帐册、报表等有关文件和资料提出改进管理、提高
效益的建议对正在进行的严重违反财经法纪、严重损失浪费行为作出临时制止的决定对阻挠、破坏审计工作以及拒绝提供有关资料的，经公司领导批
准可以采取必要的临时措施，并提出追究有关人员责任的建议对审计工作中的重大事项有权直接向上级审计机构如实反映监督被审计单位严格执行审
计决定对违反财经法纪和大量浪费的被审计单位的直接责任人员和单位负责人，可建议公司总经理给予行政处分，情节特别严重的可建议移送司法机
关依法追究刑事责任参与重大经济决策的可行性论证或可行性报告事前审计审计内容财务收支审计专案审计专项审计内容核查财务和经营数据的合法
性、真实性和完整性（包括财务报表和必要的原始凭证、帐薄）对数据的收集、衡量、分类、汇报所采用的方法进行检查对严重违反财经纪律，侵占
国家、公司资产，严重损失浪费等损害国家、公司利益的行为进行专案审计管理、效益审计：对财务收支计划、投资和经费的预算，信贷计划，外汇
收支计划和经济合同的执行以及经济效益进行审计监督任期、离任审计：对被审单位负责人在任职期间职责履行情况进行审计 ；配合上级审计机构
对公司主要领导人及所属公司的主要领导人的离任经济责任进行审计专题调查：对基建项目（招标外包）、管理层关注问题等进行专题审计内部审计
的三个层次层次一：基本内部审计层次二：较高水平的内审层次三：世界先进水平的内审单纯的财务审计，主要是确定财务、经营数据的真实性、准
确性和完整性，并界定管理者经济责任对公司经营管理各方面政策、规章、制度的执行情况的审计。其目的是监督公司规章制度执行的严肃性，协助
管理层发现并制止任何违反公司违章制度的行为对公司经营管理各方面政策、规章、制度的完善性与有效性的审计。目的是确保公司的利益得到最大
化，公司的资源得到最高效和最经济的使用内部审计、风险管理、内部控制三者关系内部控制内部审计风险管理内部控制具体内部控制与内部审计关
系内部审计在内部控制中属于环境控制要素范围，是单位自我独立评价的一种活动内部审计本身就是一种控制。内部审计在风险管理中发挥不可替代
的独特作用，没有内部审计的评价、监督，就不能形成良好的企业内部控制制度。 内部审计独立于会计控制之外，代表管理层对整个企业内部控制
制度的健全性、有效性及其遵循情况等进行评价，具有其他任何部门和控制所无法代替的重要作用。目前，内部审计范围已从传统的财务收支审计扩展到经营管理的各方面。内部审计促进内部控制，通过分析问题产生的原因和影响，协助单位上层管理者完善内部控制，促进内部控制的健全，维护内部控制的建设。 二者相辅相成，缺一不可内部审计需要内部控制，内部控制素质比任何其他因素更能决定审计的形式。没有健全的内部控制制度作基础，审计就无法开展；没有良好的内部控制，会计、财务信息会出现失真， 同理，内部控制需要内部审计，没有内部审计对内部控制设计的健全程度和运行的有效程度的评审和进一步完善强化内部控制的建议，内部控制也只能原地踏步，　　内部控制的局限性 高层管理者自我违规操作：内部管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制效能。控制执行人员串通舞弊： 内部人员相互串通作弊导致相关内部控制失去作用。控制执行人员责任性不强： 内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。成本效益考虑 ：成本效益问题。异常活动超出设计范围：对于不经常发生或未预计到的经济业务，原有的控制可能不适用。临时控制若不及时会影响内部控制的作用。 高级管理层没有全力支持不切实际闭门造车缺乏全体员工的支持与理解缺乏推行内控制度的整体计划没有照顾员工的心理因素推行内控失败的原因高级管理层的践踏能力;缺乏控制文化和意识；职员勾结；依赖于单一的业绩衡量指标；依赖于个人的记忆；交易过后的记录；对分派责任的监控力度不够使控制不能持续的部分原因把内部控制与风险管理要求嵌入流程，使其具有可执行性标准化不会取代创新，它只会节省你的精力，让你更加关注最有价值的事情。董事会是内部控制和风险管理的第一责任人，是企业内部控制文化的缔造者量度什么，就会得到什么，董事会行为取向决定公司管理的行为取向1、重大风险的评估2、重要风险的管控策略3、重大事件的应对4、重要信息的披露5、重大决策的制定7、风险管控效果评价8、风险管理文化的培育6、重要职权的授予八大关键环节成功的行动始于审慎的思考 1、内部控制与风险管理是什么？2、内部控制要控制什么？3、内部控制与企业管理的关系是什么？4、内部控制建设从哪里入手？5、内部控制如何达成全员共识？6、如何将管理革命变成工作常态？