風險及內控管理架構

1. 內部控制整體框架和企業風險管理整合框架的區別

我認為企業風險管理整合框架包含在企業內部控制整體框架范圍之內，是其中的一部分。

2. 全面風險管理與內部控制要做哪些工作

內部控制與企業全面風險管理的區別和聯系

區別在於：

1. 兩者目標不同。風險管理的目標相較於內部控制增加了一個戰略目標，戰略目標的制定是企業治理層面需要參與解決的問題，這表明風險管理屬於治理層次，而內部控制屬於企業管理層次；此外，風險管理把財務目標擴展為報告目標，不僅包括了財務報告目標，還包括了非財務類報告，彌補了內控目標體系重財務信息輕其他信息的缺陷；

2. 兩者組成要素不同。相比起內控的五大要素，風險管理增加了「目標設定、事件識別和風險應對」三個因素，豐富了風險管理內容，體現了風險組合觀；

3. 兩者的范疇不一致。內控僅僅是管理的一項職能，主要是通過事後和過程的控制來實現其自身的目標，而全面風險管理則貫穿於管理過程的各個方面，尤其是在事前制定目標時就充分考慮了風險的存在；

4. 兩者的活動不一致。內部控制不負責企業經營目標的具體設立，而只是對目標的制定過程進行評價，而風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇等一系列活動；

5. 兩者對風險的定義不同。全面風險管理框架將風險明確定義為「對企業財務目標產生的負面影響事件發生的可能性」，將正面影響視作機會，將風險和機會區分開來，而內部控制框架中，尚未區分風險和機會；

6. 兩者對風險對策不一致，全面風險框架引入風險偏好和風險容忍度。在風險度量的基礎上，有利於企業的發展戰略與風險偏好相一致，增長、風險與回報相聯系，進行經濟資本分配及利用風險信息支持業務前台決策流程等，從而幫助董事會和高級管理層實現全面風險管理的4項目標。這些內容都是內部控制框架中沒有提出的。

它們之間的聯系有：

1. 內控或風險管理的根本作用都是維護投資者利益、保全企業資產，並創造新的價值。從理論上說，企業的內部控制是企業制度的組成部分，風險管理則是在新的技術與市場條件下對內控的自然擴展，在內控的基礎上增加了一個目標即戰略目標和三個要素：目標設定、事件識別、風險應對；

2. 內控是企業風險管理的必要環節，在全面風險管理中扮演關鍵角色，內控應被管理者看作是范圍更廣的風險管理的必要組成部分，對於企業所面臨的運營風險，內控是必要的。

內部控制是由主體的董事會、管理層和其他員工實施的，旨在為經營的效率和有效性、財務報告的可靠性、遵循適用的法律法規等目標的實現提供合理保證的過程。

全面風險管理是一個過程，它由一個主體的董事會、管理層和其他人員實施，應用於戰略制定並貫穿於企業之中，旨在識別可能影響主體的潛在事項、管理風險，以使其在該主體的風險容量之內，並為主體目標的實現提供合理保證。

內部控制與風險管理關系十分密切，內部控制和企業全面風險管理既有橫向交叉又有縱向融合，風險管理是企業為了適應時代的變化，以內部控制為架構演變成另一種以達到某種目標的過程和方法。二者在要素、目標、含義等方面有很多聯系和相同的地方，既是獨立又有關聯的體系，是針對企業所不同的需求而演變成的兩種過程與目標。

3. 內部控制和風險管理的區別與聯系是什麼

區別：（1）兩者的范疇不一致。內部控制僅是管理的一項職能，主要是通過事後和過程的控制來實現其自身的目標；而全面風險管理則貫穿於管理過程的各個方面，控制的手段不僅體現在事中和事後的控制，更重要的是在事前制訂目標時就充分考慮了風險的存在。而且，在兩者所要達到的目標上，全面風險管理多於內部控制。

（2）兩者的活動不一致。全面風險管理的一系列具體活動並不都是內部控制要做的。兩者最明顯的差異在於內部控制不負責企業經營目標的具體設立，而只是對目標的制定過程進行評價，特別是對目標和戰略計劃制定當中的風險進行評估。

（3）兩者對風險的定義不一致。在COSO委員會的全面風險管理框架中，把風險明確定義為「對企業的目標產生負面影響的事件發生的可能性」（將產生正面影響的事件視為機會），將風險與機會區分開來；而在，COSO委員會的內部控制框架中，沒有區分風險和機會。

（4）兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，有利於企業的發展戰略與風險偏好相一致，增長、風險與回報相聯系，進行經濟資本分配及利用風險信息支持業務前台決策流程。這些內容都是內部控制框架中沒有的，也是其所不能做到的。

聯系：1）全面風險管理涵蓋了內部控制。COSO2003年7月公布了全面風險管理框架的徵求意見稿中明確地指出全面風險管理體系框架包括內控作為一個子系統。從時間先後和內容上來看，全面風險管理是對內部控制的拓展和延伸。

（2）內部控制是全面風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理，對於企業所面臨的大部分運營風險，或者說對於在企業的所有業務流程之中的風險，內控系統是必要的、高效的和有效的風險管理方法。

從國際國內發展趨勢來看，隨著內部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統一。

內部控制

國外較為經典的是 ASB 對內部控制的定義。1972 年，美國審計准則委員會(ASB)所做的《審計准則公告》，該公告循著《證券交易法》的路線進行研究和討論，對內部控制提出了如下定義:"內部控制是在一定的環境下，單位為了提高經營效率、充分有效地獲得和使用各種資源，達到既定管理目標，而在單位內部實施的各種制約和調節的組織、計劃、程序和方法。

4. 全面風險管理框架下的內部控制，有這種說法嗎

內控的風險指的來應該是企業可源能因為未預期之不利事件的發生而造成其績效品質及目標不能達成的因素。

依照COSO內控模式，在控制環境下，企業之流程式控制管分為三步，就包含風險評估：
1.確定組織之目標
2.評估風險
3.決定所須之控制

而要使風險管理發揮功效，又要具備幾個重點，比較麻煩就不在這說了。

5. 如何建立風險與內控管理體系

僅供參考
一、基礎概念篇
在這里，你將熟悉，內控體系具體是什麼，建立內控體系需要解決的誤區以及流程體系建立的作業流程。

1、內控體系建設涵蓋哪些東西，主要內容是什麼？
國家要求上市企業建立的內控體系是保證財務報告真實性而要求建立的體系，所以他的具體內容與外資企業的sox404體系差不多。一般整個內控體系涵蓋的內容含如下幾個內控手冊，風險資料庫，內控評價手冊。
內控手冊為每個作業流程的描述，內容含流程描述、流程圖、授權說明、崗位職責分離說明。
風險資料庫可能導致風險的現象描述的匯總。風險指導致公司資產不安全，作業不合規合法，運營效率效益低下，財務報表數據不真實等。
內控評價手冊具體含三部分，第一部分檢查制度設計合理或者文檔的齊全性，第二部分檢查控制過程，第三部分檢查會計帳務處理控制。

2、內控體系與ISO質量體系有什麼區別和聯系？
目的不同：內控體系是以會計報告為主要目的，而ISO質量體系是以產品質量為主。
控制活動不同：在現階段18個指引來看，內控體系缺少對生產過程式控制制；而ISO質量體系則以產品質量為主，涵蓋產供銷價值鏈，但是缺少會計系統控制。
涉及部門不同：在ISO體系內不存在財務部門，以研發、生產、采購、銷售部門為主；內控體系幾乎涵蓋公司各部門，因為有句話說得好，只要是企業在運作的，其最後的運作成果就是財務數值。

3、內控體系的控制活動的業務流程如何劃分，如何做到將各業務流程進行涵蓋？

最簡單的第一步就是拿到組織架構圖，之後看到是否是以事業部為編制的，則是事業部的名稱作為一級流程，事業部下屬的部門分為二級流程，如果下屬的部門涵蓋多個職能則劃分為三級流程。如銷售事業部，則銷售循環作為一級流程，下屬的商務部負責訂單處理的則作為訂單處理作為二級流程。如商務部有兩個功能除了訂單處理還涉及到銷售貨品的備貨計劃制定。則訂單處理作為二級流程，訂單處理和備貨計劃制定作為三級流程。

4、 單個作業流程具體怎麼描述，怎麼將業務流程所涵蓋的信息進行歸納處理？
作業流程就是描述一個為達到特定的價值目標而由不同的人分別共同完成的一系列活動。一個完整的作業流程應該包含6項內容，具體如下：
流程式控制制人：參與到作業流程中的人，具體描述的時候應注意該控制人所涉及的部門及崗位具體名稱。
控制頻率：作業的時間間隔控制。
控制活動：流程是如何作業的。
控制痕跡：作業完成後形成的書面痕跡
控制方式：系統控制還是人工控制。
異常控制：授權體系外的作業流程是如何控制的。
舉例如下：描述超市客服處對會員積點兌換控制流程，之前描述了一個出納盤點流程，大家都熟悉，這次描述復雜點的。
流程式控制制人：售後服務部的客服專員，客服主官
控制頻率： 客戶不定期來兌換會員積分。
控制活動： 客服專員根據會員要求兌換相應的贈品，同時在xxx系統內扣除積分，並在XX贈品台帳內要求客戶簽字。
控制痕跡： 形成扣完積分的積分表和留有客戶簽字的贈品台帳。
控制方式： 兌換的系統積分由XX系統內扣除。
異常控制： 積分不夠，如客戶要求加錢補足積分，則客戶專員需得到客服主管的口頭授權，在收取錢款後並在贈品台帳做書面說明。
總的一句話：客戶不定期對積分進行兌換，提出兌換的物品，售後服務部的客服專員在XXX系統內扣除積分，同時手工登記贈品台帳，在客戶簽字的情況下，將贈品進行贈送。如積分不夠，如客戶要求加錢補足積分，則客戶專員需得到客服主管的口頭授權，在收取錢款後並在贈品台帳做書面說明。當天營業結束前，客服主管需要對贈品台帳和積分兌換系統進行核對。

5、內控體系建立的流程是怎麼樣的？
大致的作業流程是這樣的：
（1）
組織架構：先建立內控小組，為了使內控體系得到有效落實和貫徹，所以內控小組的組長最好是總經理或者董事長。主要的作業人員最好是公司的內審部門或者新建的內控部或者風險管理部，如果沒有此類部門則最好選一名懂財務的，如財務主管，另外加一名懂業務的作為內控小組的主要作業成員，最好另外輔助2-3名人員。
（2）
業務運作：總經理或者董事長開內控項目啟動會，同時主要成員講述內控系統的作業和具體要求。會議結束後，內控小組給各部門提交部門的制度，內控小組完成制度的對標和梳理工作。各職能部門限期內提交流程。內控小組根據內控指引對現有的作業流程的描述進行評價，同時開展小組會議對各職能部門未設置的流程及有缺欠的流程進行優化重組。內控小組根據談論完畢的各流程進行內控手冊的編制和流程圖的繪制，最後形成內控手冊。由總經理授權下發。
（3）
內控小組等類似部門不定期進行內控評價，並根據各職能部門的變化對內控手冊進行優化等。

6、如果業務部比較忙，無法繪製作業流程，那訪談怎麼做？
首先編制訪談計劃，需要提供給部門接收訪談的人員一個訪談提綱。
訪談一般安排2個人，1人訪談，1人記錄。記錄人不要求將每句話記下來，只要將討論的主題，以及討論的結果記錄下來即可。
訪談的時候，先講明不是來指責部門的作業流程的缺失，而是主要是完善和建立內控體系。訪談的問題主要圍繞作業流程進行，而不是扯淡的問，風險在哪裡，自己說。

7、流程圖怎麼繪制，採用什麼軟體？
一般選擇微軟的visio繪圖軟體或者smart draw 繪圖軟體，這兩者的區別是visio看上去比較正規，而smart draw 比較好看。

8、作業現場是否需要繪制流程圖？
最好繪制流程圖，因為在描述整個流程的時候，如果不繪制流程圖，可能看不到什麼遺漏。最好訪談完畢，直接將流程圖繪制，之後與業務部門進行核對。

9、如何完成制度對表的工作？
制度對表的工作一般可以在進場後的或者訪談結束後，當場完成對制度的評價。制度的評價主要的風險點為：流程描述不清楚或者缺失，崗位職責人或者控制部門不明確，崗位職責未分離，異常流程未描述，控制痕跡或者流程的表單未明確，控制頻率未明確，未體現控制方式。（即未描述存在手工或者系統控制。）

10、如何完成風險點的匯總
現場的風險點的匯總，不是訪談人說什麼風險就是風險點。而是根據訪談人提供的風險點提示，內控人員通過系統或者會計憑證等書面資料核實完畢之後再歸納匯總至風險點。而且在完成風險點之後最好與被訪談人員再次作風險點確認。

11、如何完成風險點的報告？
風險報告主要是對現有的流程的分析，所以可以按照事業部，之後將事業部涉及的流程綜述，之後對各流程進行評價。而不是一堆風險點的堆砌。看上去100-200張ppt但是看得頭暈。而且匯報結束老闆對你不爽。

12、內控檢查與內審的區別和聯系在哪裡？
內控檢查的主要目的是建立和明確完整的作業流程、流程中的崗位職責、授權審批、保留書面控制痕跡。所以內控主要是流程稽核，主要的作業模式就是控制點有沒有建立。
內審的主要目的是保證業務事項的真實合理和提高運營的效率效益。所以內審的作業模式可以通過分析復核、重復計算、訪談等多種手段，核實業務事項是否真實合理。
簡單的說，就是。內控是檢查你吃飯的順序，如先吃菜再吃飯或者先吃飯再吃菜。內審就是檢查吃法好不好，對於胖人吃大量的肥肉，可以建議減少攝入量。

二、體系建立篇
在這里，你將熟悉每個控制活動所涉及的每個流程應該做的內控要點以及關鍵控制點的描述。由於涉及的內容較多，我這里簡單的作一個銷售模塊的內控體系建立，其他模塊的建立可在模仿的情況下，分別建立。

1、銷售模式的確認
一般銷售的模式分如下幾種，正常銷售、國際貿易、團購，涉及到酒類或者其他製造業會涉及到品牌銷售模式。
這里解釋一下品牌銷售模式，即允許被授權商生產與自己相同的產品，貼自己的商標和品牌，收取品牌或者商標費的一種作業模式。

2、正常銷售的流程劃分
由於正常銷售可劃分為單次銷售或者通過訂貨會或者其他模式先簽訂框架合同這種銷售模式進行作業。其實這提到的可以將其作為一場流程進行控制。
一級流程：為銷售流程。
二級流程：可以劃分為銷售定價、信用管理、合同簽訂、訂單處理、備貨處理、發貨簽收、收款入賬處理、開票管理、應收款管理等。
三級流程：
其中銷售定價流程可以劃分為年度銷售定價流程、中期價格變更或者臨時價格變更流程。其中如果是系統控制，則需要明確哪個部門的什麼崗位在系統中進行價格的錄入和變更，最後由誰來審核。
信用管理流程可以劃分為客戶准入評價流程，不定期評價流程及信用變更流程。由於這一塊基本上很少有客戶在進行作業或者處理，所以在調研流程的時候，可能客戶不會提供該流程，所以在編制內控手冊的時候，需要做好與客戶的隨時溝通。
合同簽訂流程可以劃分為合同起草、審核、蓋章和保管作業流程。
訂單處理流程可以劃分為正常訂單處理流程，訂單取消流程和逾期未處理訂單流程等。
備貨處理流程可以劃分為下發貨通知單、物品調配流程和物品調配不足流程。
發貨簽收流程可以劃分為發貨單制定流程、物流選擇流程、出庫審核流程和客戶收貨簽收流程。
收款入賬流程。
發票開具流程含客戶提交增值稅資質流程和開票流程。
應收款流程含應收款催收流程、逾期壞賬准備計提流程、壞賬沖銷流程。

如果調研或者訪談的時候將上述流程調研清楚，同時在內控手冊中描述清楚，那麼銷售模塊基本上就完成了

6. 如何架構內部控制體系

企業的組織架構決定了有關部門和人員的職責及關系模式，是企業能夠良好運行的基礎，有助於提高企業運行的效果和效率，從而實現企業的目標。組織結構在組織系統中起著框架作用，有了它，組織系統中的人流、物流、信息流才能正常流通，使組織目標的實現成為可能。正如COSO內部控制報告所說企業的組織結構提供了一個構架，在此構架中規劃、執行、控制和監督為實現企業目標而進行的活動。一個合理有效的組織結構，是企業成功的基礎。它可以使整個企業指揮自如，協調配合，信息暢通，使上級的指令及時下傳，下級的意見和建議及時上達，還可以使部門之間、上下級之間相互監督、互相制衡。因此，企業應當重視組織結構的設置和改進。實際當中，企業存在著治理結構形同虛設，可能導致企業缺乏科學決策和運行機制，難以實現發展戰略和經營目標；組織構架設計不適當，結構層次不科學，權責分配不合理，可能導致機構重疊、職能交叉或缺位、推諉扯皮，運行效率低下等風險。因此，組織架構的設置，對優化企業治理結構、管理體制和經營機制，建立現代企業制度，進而促進企業實現發展戰略和經營目標都具有重要的現實意義和深遠的歷史意義。
組織架構對企業有效構建和實施內部控制是至關重要的，是企業設立具體內部控制制度的前提，直接影響著企業內部控制體系的整體有效性。企業構建內部控制體系，首先要從規劃組織結構開始，這是最基礎性的工作，可以說組織結構使有效的企業內部控製成為可能。一個企業的組織機構設置決定了內部控制的結構和流程，也就是說，對於一個有效的內部控制企業應該有相適宜的組織。因此企業在進行組織設計時，應該而且必須顧及內部控制的要求，既能夠保證組織高效運營，又能適應內部控制環境的需要進行相應的調整和變革。企業應當依據公司法和其他相關法律法規和企業的實際情況，建立規范的法人治理結構。同時，企業應當根據經營目標、職能劃分和管理要求，明確高級管理人員、各職能部門和分支機構、以及基層作業單位的職責許可權，將權利與責任分解到具體崗位。企業應當通過內部管理制度匯編、員工手冊、組織結構圖、業務流程圖、崗位描述、許可權指引等適當方式，使企業員工了解和掌握內部機構設置及權責分配情況。企業的組織結構必須反映企業的目標和計劃、管理人員可利用的職權、企業所處的環境條件，同時必須為組織配備恰當的人員。組織結構的設計應當明確誰去做什麼，誰要對什麼結果負責，並且消除由於分工含糊不清造成的執行中的障礙，還要提供能反映和支持企業目標的決策和溝通網路。

7. 風險內控機制的發展歷程

一、萌芽期——內部牽制

內部控制，作為一個專用名詞和完整概念，直到本世紀30年代才被人們提出、認識和接受。但在此前的人類社會發展史
中，早已存在著內部控制的基本思想和初級形式，這就是內部牽制(Internal
check)。例如，在古羅馬時代，對會計賬簿實施的"雙人記賬制"--某筆經濟業務發生後，由兩名記賬人員同時在各自的賬簿上加以登記然後定期核對雙方
賬簿記錄，以檢查有無記賬差錯或舞弊行為，進而達到控制財物收支的目的，即是典型的內部牽制措施。

二、發展期——內部會計控制與內部管理控制

1934
年美國《證券交易法》，首先提出了「內部會計控制」(Internal accounting control
system)的概念。審計程序委員會(CAP)下屬的內部控制專門委員會1949年對內部控制首次做出了如下權威定義：「內部控制是企業所制定的旨在保
護資產、保證會計資料可靠性和准確性、提高經營效率，推動管理部門所制定的各項政策得以貫徹執行的組織計劃和相互配套的各種方法及措施」。1953年10
月，審計程序委員會(CAP)又發布了《審計程序公告第19號》（SAPNo.19)，將內部控制劃分為會計控制和管理控制。

1972
年，美國審計准則委員會(ASB)在第1號公告(SASNo.1)中，對管理控制和會計控制提出今天廣為人知的定義：（1）內部會計控制。會計控制由組織
計劃以及與保護資產和保證財務資料可靠性有關的程序和記錄構成；（2）內部管理控制。管理控制包括但不限於組織計劃以及與管理部門授權辦理經濟業務的決策
過程有關的程序及其記錄。這種授權活動是管理部門的職責，它直接與管理部門執行該組織的經營目標有關，是對經濟業務進行會計控制的起點。

三、成熟期——內部控制結構和內部控制整體架構

1.內部控制結構(Internal Control Structure)

1988
年4月美國注冊會計師協會發布的《審計准則公告第55號》(SAS
N0.55)，規定從1990年1月起以該文告取代1972年發布的《審計准則公告第1號》。該文告首次以內部控制結構(Internal
Control Structure)一詞取代原有的「內部控制」

2.內部控制整體架構(Internal
Control一Integrated Framework）1992午，美國"反對虛假財務報告委員會"(National Commission
on Fraulent Reporting)，所屬的內部控制專門研究委員會發起機構委員會(Committee of Sponsoring
Organizations of the Tread-way
Commission，簡稱COSO委員會)，在進行專門研究後提出專題報告：《內部控制一一整體架構(Internal
Control一Integrated
Framework)》，也稱COSO報告。參與COSO報告的主要機構包括美國注冊會計師協會，內部審計師協會，財務經理協會，美國會計學會，管理會計
協會。）

COSO報告指出：內部控制是一個過程，受企業董事會、管理當局和其他員工影響，旨在保證財務報告的可靠性、經營的效果和效率以及現行法規的遵循。它認為內部控制整體架構主要由：

控制環境（control environment）

風險評估（risk assessment）

控制活動（control activities）

信息與溝通（information and communication）

監督（monitoring）

2004
年10月，COSO委員會對《內部控制一一整體架構(Internal Control一Integrated
Framework)》做了進一步的延伸和擴展，提出了《企業風險管理——整合框架（(Enterprise Risk
Management一Integrated Framework)》。

四、我國內部控制制度歷史沿革

1999年10月31日，修訂後的《會計法》首次以法律的形式對建立健全內部控制提出原則要求。其中，第四章《會計監督》第27條要求，各單位應當建立、健全本單位內部會計監督制度。

2001年6月22日，財政部發布《內部會計控制規范——基本規范(試行)》、《內部會計控制規范——貨幣資金(試行)》。

2006年5月17日，證監會發布《首次公開發行股票並上市管理辦法》。第29條規定「發行人的內部控制在所有重大方面是有效的，並由注冊會計師出具了無保留結論的內部控制鑒證報告」。這是中國首次對上市公司內部控制提出具體的要求。

2006年6月16日，國資委發布《中央企業全面風險管理指引》，對內控、全面風險管理工作的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理文化、風險管理信息系統等進行了詳細闡述。

2006年7月15日，財政部發起成立了企業內部控制標准委員會；中國注冊會計師協會也發起成立了「會計師事務所內部治理指導委員會」。

2007年2月1日，證監會發布《上市公司信息披露管理辦法》，明確提出上市公司必須建立信息披露內部管理制度。

2007年3月2日，企業內部控制標准委員會公布《企業內部控制規范——基本規范》和17項具體規范的徵求意見稿，廣泛徵求意見。

2008年6月28日，財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制基本規范》。一並公布的還有《企業內部控制評價指引》、22項內部控制應用指引以及《內部控制鑒證指引草案》，公開徵求意見。