(完整版)风险应对(内部控制)

一．内部控制与风险管理的关系(一)两者的概念和内容内部控制是指管理层、审计委员会及其他各方进行的，旨在加强风险管理、增大实现既定目标的可能性的机会。

内控有3个目标：保证实现银行运行的效果与效率、财务报告的a，靠性和完整性，符合相关的法律法规和合同，目标代表着银行努力的方向；内控的内容由控环境、风险评价，控制活动、信息和沟通以及监督5项要素组成，内容代表着实现三个目标所需的元素风险是指对企业的目标产生负面影响的事件发生的可能性，其衡疑标准是后果与可能性；风险管理是指采取一定的措施对风险进行检测评估．防止风险，及时发现风险，预测风险町能造成的影响，使风险降低到可以接受的程度，并将其控制在某一可以接受的水平口卫丽娟上。

风险管理技术包括风险评估框架，风险防范系统等，前者包括风险评估、风险缓释和根据模型对可能导致风险的不确定性因素进行分析。

(二)两者的联系可以看出风险是一个比内部控制更为广泛的概念。

全面风险管理除包括内部控制的三个目标之外。

还增加了战略目标，全面风险管理的8个要素除在涵盖内部控制的全部5个要素之外，还增加了目标设定、事件识别和风险对策3个要素。

因此，全面风险管理是建立在内部控制整体框架的基础上，是对内部控制框架的扩展，它的范围比内部控制框架的范围更为广泛，涵盖了内部控制，而内部控制是风险管理必币町少的一部分。

二．如何处理好内部控制与风险管理的关系(一)建立植入型内控制度植入型内控制度是一种主动型质量控制系统，以经营管理系统为依托的控制制度，即是植入管理系统中的，而不是附加在管理系统之上的，可以使得内控成为一种事前的，系统的和能被大家都接受的系统。

它对于保证银行实现既定目标具有许多方面的系统化优势：最高管理层可保证银行的质量意识在银行运行中得以贯彻；使质量目标贯穿于银行的信息收集、分析和其他相关过程中，借助干竞争和客户需求可以促使质万方数据量不断提高。

(二)实施真正意义匕的全面刚殓!管理1．建立ERM框架。

内部风险控制制度为了提高公司资金的质量、防范和降低资金的管理风险，切实保障投资者的利益，我公司建立了一套完整的风险控制机制以及风险管理制度。

1、公司设风险控制委员会，负责从整体上控制资金运作中的风险。

2、制定内部风险控制制度。

主要包括：严格按照法律法规贷款发放比例进行贷款发放，加强内部信息控制，实行空间隔离和门禁制度，严防重要内部信息泄露；前台和后台部门应独立运作等。

1.内部控制原则(1)有效性原则。

通过科学的内控手段和方法建立合理的内控程序，维护内控制度的有效执行。

(1)独立性原则。

公司各部门和岗位职责保持相对独立。

(3)相互制约原则。

公司内部部门和岗位设置权责分明、相互制衡。

2.内部风险控制架内部风险控制架构是公司为实现风险控制的目标，建立的涵盖公司经营管理各个环节，顺序递进、权责明确、严密有效的三道监控防线。

第一道监控防线：由各部门经理负责，部门全员参与，根1据公司经营计划、业务规则及自身具体情况制定本部门的作业流程及风险控制措施，同时分别在自己的授权范围内对关联部门及岗位进行监督并承担相应职责。

各部门指定专人作为本部门的兼职风险控制管理员，配合部门经理和公司监察稽核部开展本部门的内控和监察工作。

直接参与贷款发放、电脑系统、财务会计等业务的重要岗位，要尽可能设置双岗，属于单人单岗处理的业务，要强化后续的监督机制。

在关键部门和重要业务之间要有书面凭据的传递制度，相关人员要在书面凭据上签字。

实行双人负责的制度，出现问题，部门经理和具体经办人均要承担责任。

第二道监控防线。

公司总经理负责，对公司各部门、各项业务的风险状况进行全面监督并及时制定相应对策和实施控制措施。

第三道监控防线：在董事会领导下，公司风险控制委员会掌握公司整体风险状况。

风险控制委员会定期审阅公司内部风险控制制度及相关文件，并根据需要随时修改、完善，确保风险控制与业务发展同步进行；在特殊情况下，在上报董事会同时，可以对公司业务进行一定的干预。

XXXXXX科技股份有限公司质量、知识产权管理体系程序文件风险和机遇识别、评估与应对控制程序XX-XX-030受控状态：发放编号：编制：会签：审定：标审：批准：2020年4月20日发布2020年4月27日实施1目的通过对影响实现预期策划结果能力的内外部环境及相关方需求和期望的识别，确定需应对的风险和机遇，并建立风险和机遇的应对措施，明确包括风险规避、风险降低和风险接受在内的操作要求，建立全面的风险和机遇管理措施和内部控制，增强抗风险能力，并为在管理体系中纳入和应用这些措施及评价这些措施的有效性提供操作指导。

2适用范围本程序适用于在公司管理体系活动中风险和机遇的识别及应对风险和机遇的方法和要求的控制提供操作依据，这些活动包括：2.1 业务开发、市场调查及客户满意度测评过程的风险和机遇管理；2.2 产品的设计开发、设计开发的变更控制过程的风险和机遇管理；2.3 供应商评审和采购控制过程的风险和机遇管理；2.4 生产过程的风险和机遇管理；2.5 过程检验和监视测量设备的管理过程的风险和机遇管理；2.6 设备和工装夹具的维护和保养管理过程的风险和机遇管理；2.7 不合格品的处置及纠正预防措施的执行和验证过程的风险和机遇管理；2.8 持续改进过程的风险和机遇管理；2.9 当适用时，也可适用于对公司管理过程中应对风险和机遇的控制提供操作指南；2.10 本公司经营管理活动中知识产权风险管理。

3职责3.1总经理负责风险和机遇管理所需资源的提供，负责风险可接受准则方针的确定。

3.2质量安全部：负责建立维护本程序，负责组织实施风险和机遇的评审，负责本部门的风险和机遇识别、评估及应对风险和机遇的措施的策划、执行和监督。

3.3 综合部负责本公司知识产权风险防范综合管理工作,负责办公设备及软件侵权风险防范及识别的管理工作。

3.4 其他相关部门负责协助进行公司的风险防范管理工作。

4工作程序4.1风险和机遇管理策划4.1.1为全面识别和应对各部门在生产和管理活动中存在的风险和机遇，各部门应根据建立的识别风险和机遇的方法，确定本部门存在的风险和机遇，并将评估的结果记录在《风险和机遇评估分析及措施表》。

公立医院内部控制中的风险点及应对措施公立医院承担着治病救人的社会公益责任，其正常运营需要庞大的人力资源和资本资源，这显示出公立医院在众多事业单位中的重要性。

如何通过加强内部控制建设来保护国有资产安全是这几年的热点话题，本文选择公立医院内部控制建设中较为重要的一些风险点来进行探讨。

近年来随着市场经济的快速发展，在物质极大丰富的同时也伴随着各种腐败现象，国家对此极为重视，重拳出击打击贪污腐败现象和违法乱纪行为。

在社会各界声讨贪腐及违纪现象时，加强对企事业单位的内部控制建设，通过制度控制风险，保护国有资产安全的呼声越来越高。

2015年12月21日，财政部发布了《关于全面推进行政事业单位内部控制建设的指导意见》（财会【2015】24号文），明确了开展机关事业单位内部控制建设的要求，公立医院作为事业单位中的重要一员，自然要加强其内部控制建设，而找出关键风险点是内控建设的重中之重。

公立医院内部控制的风险点既有单位层面的也有业务层面的，单位层面的风险点主要有组织架构设计风险、决策机制风险、执行机制风险和监督机制风险；业务层面风险则是具体到各重要业务层面的风险，如预算管理、收支管理、采购管理、资产管理、基建管理、合同管理等方面风险，本文主要探讨单位层面的风险，业务层面风险点则抽取收支管理和合同管理两方面来进行讨论。

（一）组织架构设计风险组织架构设计在单位内控建设中处于核心地位，组织架构设置不合理，单位的内控将会形同虚设。

在很多公立医院中，组织架构设计往往忽视监督机构的设立，没有设立内审机构或者纪检监督机构，这容易导致所有事情一把手说了算，或者是错误的决策、执行没有人监督纠正。

还有些医院的组织架构设计决策层和执行层分离不清晰，容易出现既是决策者又是执行者的情况，容易滋生腐败风险。

一个成熟的医院组织架构设置应包含决策机构、执行机构和监督机构，彼此责任明确，分工清晰，互相形成制约，达到三权分立状态。

（二）决策机制风险决策机制要遵循重大事项集体决策原则，关乎职工整体利益的重大事项如奖金分配方案的修改等，就必须集体决策，通过职工大会或者职工代表大会来决议；金额较大的设备购置或者项目建造等就必须由领导班子集体会议通过等等。

1、内部控制的基本概念是从早期（ B ）思想的基础上逐步发展起来的。

A.科学管理B.内部牵制C.内部审计D.管理控制2、下列有关企业内部控制的表述中，正确的有（ABD）。

A.内部控制是一个过程B.内部控制是由企业的董事会和管理层实施的C.有效的内部控制可以绝对保证控制目标的实现D.内部控制不仅仅是制度和手册，而是渗透到企业活动之中的一系列行为3、下列有关企业内部控制信息与沟通要素的表述中，正确的有（BD ）。

A.内部控制信息与沟通针对的是企业内部生成的信息，不涉及企业外部的信息B.信息系统生成与控制目标及其实现程度有关的信息，从而使对业务的管理和控制成为可能C.有效的信息沟通需要自上而下、自下而上或平行地贯穿于企业之中D.管理层与下属相处时的行为也会成为有效的信息沟通方式4、下列各项中，属于导致内部控制固有局限原因的有（ ABCD）。

A.控制的有效性会受到决策过程中人为判断的影响B.内部控制只能为控制目标的实现提供合理保证C.管理人员可能会凌驾于内部控制之上D.内部控制的设计与实施需要考虑成本与效益5、关于美国科索委员会（COSO）发布的《内部控制--整合框架》（1992）和《企业风险管理--整合框架》（2004）之间的关系，下列说法正确的有（ ABC ）A.后者并没有取代前者，对于那些着眼于内部控制的主体，前者依旧有用B.后者增加了战略目标，并将报告目标扩大到非财务报告C.后者延续了前者中有关主体风险偏好、风险容忍度和风险组合观等基本概念，将风险评估扩充为目标设定、事项识别、风险评估、风险应对等四个要素D.前者和后者都认为风险发生在主体的各个层次上，并且来源于许多内部和外部因素6、与《内部控制--整合框架》（1992）相比，2013年5月，美国科索委员会（COSO）发布的修订后的《内部控制--整合框架》主要变化表现有（ BC ）A.修改了内部控制核心定义B.概括了"对诚信和道德价值观的承诺"等17条原则C.将报告的范围从对外财务报告目标扩展到内部和外部、财务和非财务的报告目标D.将目标设定作为内部控制的组成部分7、下列关于上市公司分类分批实施企业内部控制规范体系的要求，正确的有（ABCD ）A.中央和地方国有控股上市公司，应于2012年全面实施企业内部控制规范体系，并在披露2012年公司年报的同时，披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告B.非国有控股主板上市公司，且于2011年12月31日公司总市值（证监会算法）在50亿元以上，同时2009年至2011年平均净利润在3000万元以上的，应在披露2013年公司年报的同时，披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告C.选项A、B范围之外的其他主板上市公司，应在披露2014年公司年报的同时，披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告D.新上市的主板上市公司应于上市当年开始建设内控体系，并在上市的下一年度年报披露的同时，披露内部控制自我评价报告和审计报告8、下列关于中央企业实施企业内部控制规范体系的要求正确的有（AC ）。

第六章风险管理框架下的内部控制本章考情分析本章属于次重点章，应重点掌握的内容包括：（1）企业内部控制理论的演变与发展；（2）内部控制与风险管理的关系；（3）内部控制的目标、内部控制的原则和内部控制的要素；（4）内部控制应用指引（包括18项指引）；（5）内部控制评价；（6）企业内部控制审计；（7）审计委员会在内部控制中的作用；（8）风险管理、内部控制与公司治理及其三者的关系。

本章考试的题型主要关注客观题和简答题，近3年平均分值为10分左右。

2013年重点关注内部控制应用指引（包括18项指引）、内部控制评价和在内部控制中审计委员会的作用，这三个方面内容考主观题。

第一节内部控制与风险管理的关系一、企业内部控制理论的演变与发展（一）内部牵制阶段第一阶段，起步阶段，即内部牵制阶段。

最初的内部控制定义就是内部牵制，它基本是以査错防弊为目的，以岗位分离和账目核对为手段，以钱、账、物等会计事项为主要控制对象。

其核心主要关注于会计领域。

（二）内部控制制度阶段第二阶段，进化阶段，即内部控制制度阶段。

20世纪50年代至70年代，内部控制的发展进入到内部控制制度阶段。

内部控制制度有两类，即内部会计控制制度和内部管理控制制度。

内部控制的目标除了保护组织财产的安全之外，还包括增进会计信息的可靠性、提高经营效率和遵循既定管理方针。

（三）内部控制结构阶段第三阶段，提高阶段，即内部控制结构阶段。

20世纪80年代至90年代初，内部控制的发展进入内部控制结构阶段。

在该阶段正式将内部控制环境纳入内部控制范畴，同时不再区分内部会计控制和内部管理控制。

内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，内部控制由三个要素组成：内部控制环境、会计制度和控制程序。

（四）内部控制整合框架阶段第四阶段，演进阶段，即内部控制整合框架阶段。

1992年9月，美国反虚假财务报告委员会的发起组织委员会（COSO)发布了一份报告《内部控制——整合框架》（1994年进行了增补），即COSO内部控制整合框架。

XX市预算执行风险内部控制办法（试行）第一章总则第一条为有效防控预算执行风险，提高预算执行的规范性、科学性和准确性，根据《预算法》等法律法规和《XX市财政局内部控制基本制度》等有关规定，制定本办法。

第二条本办法所称预算执行风险是指因相关管理制度和政策措施不完善，导致预算刚性不足、部分支出进度较慢、资金安全性和效益不高等的可能性。

第三条预算执行风险防控的目标是：以预算执行流程为主线，以重要环节风险点为导向，采取针对性的风险防控措施，对预算执行风险事前防范、事中控制、事后监督和纠正的动态机制，切实提高预算执行管理水平。

第四条预算执行风险防控贯穿于预算执行的整个业务流程，具体分为收入预算执行、支出预算批复下达、支出预算变更、资金拨付等环节。

第五条本办法适用于与一般公共预算、政府性基金预算、国有资本经营预算、社保基金预算执行有关的局内各预算科室。

第六条建立完善预算执行风险防控治理机制，通过明确各单位预算执行风险防控中的职责分工，有效控制预算执行风险。

（一）内控委负责审议预算执行风险防控政策及相关制度，审议预算执行风险事件解决方案、定级和责任追究建议，提出加强和改进的措施和要求。

（二）内控办负责组织对预算执行风险防控管理办法进行有效性检查、考核和评价，组织对风险事件进行调查，研究制定预算执行风险事件解决方案、风险定级和责任追究建议并向内控委报告，督促各单位落实内控委决定，定期或不定期通报内控执行情况和重大风险事件。

（三）预算科及相关业务科室负责预算执行风险防控管理办法的组织实施，及时发现预算执行风险防控中存在的问题并提示有关单位。

重大事项报告内控办。

定期向内控办报送预算执行风险防控情况。

（四）各预算部门应按要求及时开展本单位预算执行风险识别、评估，实施持续、有效的风险防控，及时向内控办报送本单位预算执行风险防控及异常情况，积极协助专项检查和调查。

第七条按照建立预算编制执行和监督相互制约、相互协调的财政运行工作机制要求，通过加强不相容岗位（职责）分离控制、归口管理、授权控制、流程控制和信息系统管理控制等，建立预算执行权力制衡机制。