【文章內(nèi)容簡介】 組織目標實現(xiàn)的各類風險 B、 建立風險管理機制 及預警機制 風險 應對策略主要包括 ： 風險規(guī)避、風險減少、風險分擔 及風險承受。 （ 3） 控制活動 控制活動是企業(yè)根據(jù)風險評估的結(jié)果，采用相應的控制措施，將風險控制在可承受度之內(nèi)?？刂苹顒拥膬?nèi)容包含但不限于： A、 所有經(jīng)營活動應有適當?shù)氖跈?quán) （授權(quán)審批控制） B、 不相容職務應當分離 （不相容職務分離控制） C、 有效控制憑證和記錄的真實性 （會計系統(tǒng)控制） D、 資產(chǎn)和記錄的接近限制 （預算控制） E、 獨立的業(yè)務審核 （ 4） 信息與溝通的主要內(nèi)容包括： 信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通。其主要內(nèi)容包括： A、 及時、準 確、完整的記錄所有信息 B、 清晰的溝通渠道和匯報路線 [鍵入文字 ] 17 C、 完整、詳細和及時的財務和管理報告 D、 保證管理信息系統(tǒng)的有序運行 ，持續(xù)開發(fā)、測試和監(jiān)控計算機系統(tǒng)和程序， 保證管理信息系統(tǒng)的安全可靠 （ 5） 監(jiān)督的主要內(nèi)容包括： 內(nèi)部監(jiān)督分為日常監(jiān)督和專項監(jiān)督。日常監(jiān)督是指企業(yè)對建立與實施內(nèi)部控制的情況進行常規(guī)、持續(xù)的監(jiān)督檢查；專項監(jiān)督是指在企業(yè)發(fā)展戰(zhàn)略、組織結(jié)構(gòu)、經(jīng)營活動、業(yè)務流程、關鍵崗位員工等發(fā)生較大調(diào)整或變化的情況下，對內(nèi)部控制的某一或者某些方面進行有針對性的監(jiān)督檢查。 在 內(nèi)部監(jiān)督在評估過程中 ， 需考慮的因素包括但 不限于： A、 對內(nèi)部控制的定期評估和監(jiān)督 B、 實施改進建議 C、 建立內(nèi)部審計職能以實施監(jiān)控 根據(jù)風險識別階段確認的二級風險及內(nèi)控五要素定義內(nèi)容，將二級風險歸類如下： [鍵入文字 ] 18 （二） 根據(jù) 風險識別 結(jié)果完成風險控制矩陣，并獲取相關資料進行審閱和測試完成穿行測試 。 風險控制矩陣是將所涉及的風險和對應的內(nèi)部控制進行匯總， 以發(fā)現(xiàn)控制缺陷的一種矩陣表格。公司層面風險控制矩陣 內(nèi)容包括風險內(nèi)容、控制內(nèi)容、 控制責任人、 控制 是否有效等。使用風險控制矩陣，可明確公司所面臨的風險、明確針對風險的現(xiàn)有內(nèi)部控制、對公司現(xiàn)有內(nèi)部控制活動重 要性進行劃分及識別控制缺陷。 公司層面 風險矩陣格式如下圖：（詳細格式詳見附件 四之公司層面風險控制矩陣 ） [鍵入文字 ] 19 公司層面風險矩陣填寫要求和方法如下： （ 1） 文檔編碼規(guī)則： 全面風險管理與內(nèi)部控制項目，為保證項目的規(guī)范管理，對相關的文檔應按一定的規(guī)則編碼。其文檔的編碼規(guī)則如下 表 ： （ 2） 風險 描述 ： 風險 即 是可能影響控制目標實現(xiàn)的因素。風控矩陣中的風險 對應風險清單中的三級風險。 其描述內(nèi)容基本包括風險的內(nèi)容及影響。如：缺乏適當?shù)膶徟赡墚a(chǎn)生不合理的 XX行為，造成公司利益損失。 （ 3） 控制 活動： 是企業(yè)根據(jù)風險評估結(jié)果，采用相應的控 制措[鍵入文字 ] 20 施，將風險控制在可承受度之內(nèi)。因此，控制活動是落實風險評估結(jié)果的基本手段，是整個內(nèi)部控制體系中最為關鍵的組成部分?？刂苹顒芋w現(xiàn)在整個企業(yè)的不同層次和不同部門中，貫穿于企業(yè)所有的運營活動中?？刂拼胧┮话惆ǎ翰幌嗳萋殑辗蛛x控制、授權(quán)審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評控制等。 編寫控制活動應包含以下因素 ： A、 WHO：哪個崗位執(zhí)行控制活動。 B、 WHEN：該控制活動發(fā)生的時間或頻率。 C、 WHERE：該控制活動發(fā)生的地點。 D、 WHAT：根據(jù)什么進行控制 ,如何控制， 如制度、 單據(jù)、報告、電子郵件、系統(tǒng)數(shù)據(jù)等。 E、 WHY：控制活動的 目的。 （ 4） 控制活動有效性： 是指 企業(yè)建立與實施內(nèi)部控制對實現(xiàn)控制目標提供合理保證的程度 。評價控制活動的有效性，就是評價相關目標的風險在經(jīng)過內(nèi)部控制之后是否已經(jīng)降低到了一個適當?shù)乃?，如果已?jīng)降到了一個適當?shù)乃剑瑒t內(nèi)部控制是有效的，反之，則無效。 公司層面控制活動有效性主要是通過穿行測試的結(jié)果判斷。 （ 5） 是否執(zhí)行 控制測試： 重點 關注關鍵控制點的控制是否存在及控制效果如何。可按照控制的發(fā)生頻率確定是否需要進行控制測試。 （ 6） 穿行測試 ： 是選取一個樣本驗證訪談過程中了解到 的控制設計及執(zhí)行是否切實存在。 穿行測試一般分為四個步驟，包括選取[鍵入文字 ] 21 樣本、執(zhí)行測試、記錄測試及進行測試評價。 實施公司層面的穿行測試，應根據(jù)訪談中獲取的風險及控制信息，抽取相關的控制制度，檢查其控制是否切實存在，應詳細描述穿行測試的程序，記錄并復印留存相關文檔，并做好交叉索引工作。 穿行測試結(jié)果分為三類：成功、失敗、不適用。成功即抽查的樣本驗證了控制的存在；不成功即抽查的樣本未驗證控制的存在 ，即存在缺陷 ；不適用表示在控制有效性判斷時 就 判斷為控制無效，即為控制缺陷，無需再進行穿行測試。 （ 7） 控制測試：根據(jù)是否執(zhí)行控制測試判斷，對需要進行控制測試的風險按照控制測試模版進行控制測試。 （三）整理控制缺陷。 通過風險識別、風險評估及內(nèi)部控制階段，對風險控制內(nèi)容進行評價，查找內(nèi)控缺陷，對缺陷進行綜合分析并進行適當?shù)姆诸悺? 內(nèi)部控制缺陷的定義 當某項控制或若干項控制的設計或運行不能使管理層或員工在日常履行其職責，及時發(fā)現(xiàn)或防止差錯，則控制缺陷存在。 內(nèi)部控制缺陷按內(nèi)容分類包括設計缺陷和 操作 缺陷。 設計缺陷 ：當存在設計缺陷時，表明必要的控制或控制的必要成分缺失無法達到控制目標，或者現(xiàn)有的控制設計不 當，即使按設計執(zhí)行后仍無法滿足控制目標。 操作 缺陷 ：當存在 操作 缺陷時，表明一個設計合理的控制未能按預期執(zhí)行，或者執(zhí)行控制的人員沒有執(zhí)行所需的授權(quán)或能力，導致無法有效執(zhí)行該控[鍵入文字 ] 22 制。 內(nèi)部控制缺陷按其嚴重程度分為重大缺陷、重要缺陷和一般缺陷。 重大缺陷 ：是指一個或多個控制缺陷的組合，可能導致企業(yè)嚴重偏離控制目標的情形。 重要缺陷 ：是指一個或多個控制缺陷的組合，其嚴重程度和經(jīng)濟后果低于重大缺陷，但仍有可能導致企業(yè)偏離控制目標的情形。 一般缺陷 ：是指除重大缺陷、重要缺陷之外的其他控制缺陷。 注意：對內(nèi)控缺陷應進行 詳細的描述，涉及到財務報表金額的需要匡算出對財務報表的影響。 整理控制缺陷格式可參照缺陷報告格式。 風險應對 階段 （一） 公司層面 風險應對 報告 風險識別階段識別的風險，根據(jù)評估結(jié)果和內(nèi)控測試結(jié)果，整理風險應對表， 其模版格式 參考 附件四公司層面風險管理與內(nèi)控評估工作模版匯[鍵入文字 ] 23 總 ： 填表說明： （ 1）風險描述 、業(yè)務流程及責任部門 與風險控制矩陣中的描述一致。 （ 2）剩余風險評級：剩余風險即考慮相關內(nèi)部控制措施后發(fā)生重大風險的可能性。其評定 主要根據(jù)內(nèi)控缺陷的程度判定 。 （ 3）是否承受風險：根據(jù)剩余風險的判斷 ，制定風險應對策略，分為承受和不承受，規(guī)避、分擔和降低均為不承受風險，需進行整改。 （ 4）風險解決方案（整改方案）：根據(jù)是否承受風險判斷，對于不承受風險的判斷，均需制定詳細的整改方案，并確定整改日期和整改負責人。 將風險應對表與管理層溝通，制定 并 整改計劃，出具風險應對報告。 （二）公司層面缺陷報告 根據(jù)風險應對報告中相關負責人對風險解決方案即缺陷整改措施的反饋確定，按照內(nèi)控缺陷報告格式整理內(nèi)控缺陷報告： 流程層面風險管理與內(nèi)控評估工作 流程層面風險管理與內(nèi)控評估工作，應區(qū)分總部和二級企業(yè)?？偛苛鞒虒用骘L 險管理與內(nèi)控評估工作分為各中心部門自我評價階段和風險[鍵入文字 ] 24 獨立評價階段，二級企業(yè)只需執(zhí)行風險獨立評價階段。 各中心部門自我評價階段 各中心部門需根據(jù)風險管理的四個階段對本中心部門進行風險自查自評。風險自查表格可參考如下： （一）風險識別階段 各職能部門 根據(jù)各部門的崗位職能、工作內(nèi)容和職能目標，梳理出主要風險，并將相關內(nèi)容填入風險自查表格。 （二）風險分析階段 各職能部門將識別的風險綜合考慮發(fā)生的可能性和影響程度，對風險按高中低進行分級，詳細的分級方法參考公司層面固有風險評級方法。同時，將風險分級填入風險自查表 格。 （三）風險應對階段 各職能部門根據(jù)識別的風險，實施制度自查，并根據(jù)相關風險的制度建設情況分析風險應對結(jié)果。同時，將風險應對情況填入風險自查表格。 制度自查：其內(nèi)容包括各制度梳理、制度梳理匯總表及擬新建制度清[鍵入文字 ] 25 單。 （ 1） 各制度梳理：各職能部門整理該部門的所有制度，對各制度的有效性、完善性和執(zhí)行情況進行評價，并根據(jù)實際情況提出修改意見。制度梳理可參照格式： （ 2） 制度梳理匯總：將各制度梳理的結(jié)果匯總，并對相關制度進行分類，同時對制度有效性、完善性和執(zhí)行情況打分。 梳理匯總表可參照格式如下： （ 3） 擬新建制度清單：根據(jù) 實際執(zhí)行控制的情況，匯總擬新建的制度清單。 擬新建制度清單可參照格式 ： [鍵入文字 ] 26 （四）風險監(jiān)控階段 各中心部門根據(jù)自查自評的風險及應對情況，對自查的缺陷制定相關的整改方案及整改計劃，由風險管理部監(jiān)督。 風險 獨立評價 階段 流程層面風險獨立評價階段， 通常是通過了解重要業(yè)務領域 和關鍵業(yè)務流程， 形成流程清單 ， 并通過流程描述、 繪制流程圖、 風險控制矩陣等文檔對控制活動和控制點進行記錄，執(zhí)行穿行測試和控制測試，獲取關于控制設計有效性和執(zhí)行有效性的證據(jù)，對發(fā)現(xiàn)問題缺陷進行報告和提出改進建議。其獨立評價流程如下圖： （一 ） 確 定重要業(yè)務領域和關鍵業(yè)務流程 ； [鍵入文字 ] 27 重要業(yè)務領域和關鍵業(yè)務流程的確定，應區(qū)分總部和二級企業(yè)。 總部根據(jù)風險管理計劃規(guī)定必選的重要業(yè)務領域和關鍵業(yè)務流程，并統(tǒng)一發(fā)放通知至二級企業(yè)。 二級企業(yè)在確定重要業(yè)務領域和關鍵業(yè)務流程的范圍時，除了總部規(guī)定的范圍外，還可根據(jù)各企業(yè)的實際情況選擇其他