公司全面內控體系建設

A. 全面風險管理與內部控制要做哪些工作

內部控制與企業全面風險管理的區別和聯系

區別在於：

1. 兩者目標不同。風險管理的目標相較於內部控制增加了一個戰略目標，戰略目標的制定是企業治理層面需要參與解決的問題，這表明風險管理屬於治理層次，而內部控制屬於企業管理層次；此外，風險管理把財務目標擴展為報告目標，不僅包括了財務報告目標，還包括了非財務類報告，彌補了內控目標體系重財務信息輕其他信息的缺陷；

2. 兩者組成要素不同。相比起內控的五大要素，風險管理增加了「目標設定、事件識別和風險應對」三個因素，豐富了風險管理內容，體現了風險組合觀；

3. 兩者的范疇不一致。內控僅僅是管理的一項職能，主要是通過事後和過程的控制來實現其自身的目標，而全面風險管理則貫穿於管理過程的各個方面，尤其是在事前制定目標時就充分考慮了風險的存在；

4. 兩者的活動不一致。內部控制不負責企業經營目標的具體設立，而只是對目標的制定過程進行評價，而風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇等一系列活動；

5. 兩者對風險的定義不同。全面風險管理框架將風險明確定義為「對企業財務目標產生的負面影響事件發生的可能性」，將正面影響視作機會，將風險和機會區分開來，而內部控制框架中，尚未區分風險和機會；

6. 兩者對風險對策不一致，全面風險框架引入風險偏好和風險容忍度。在風險度量的基礎上，有利於企業的發展戰略與風險偏好相一致，增長、風險與回報相聯系，進行經濟資本分配及利用風險信息支持業務前台決策流程等，從而幫助董事會和高級管理層實現全面風險管理的4項目標。這些內容都是內部控制框架中沒有提出的。

它們之間的聯系有：

1. 內控或風險管理的根本作用都是維護投資者利益、保全企業資產，並創造新的價值。從理論上說，企業的內部控制是企業制度的組成部分，風險管理則是在新的技術與市場條件下對內控的自然擴展，在內控的基礎上增加了一個目標即戰略目標和三個要素：目標設定、事件識別、風險應對；

2. 內控是企業風險管理的必要環節，在全面風險管理中扮演關鍵角色，內控應被管理者看作是范圍更廣的風險管理的必要組成部分，對於企業所面臨的運營風險，內控是必要的。

內部控制是由主體的董事會、管理層和其他員工實施的，旨在為經營的效率和有效性、財務報告的可靠性、遵循適用的法律法規等目標的實現提供合理保證的過程。

全面風險管理是一個過程，它由一個主體的董事會、管理層和其他人員實施，應用於戰略制定並貫穿於企業之中，旨在識別可能影響主體的潛在事項、管理風險，以使其在該主體的風險容量之內，並為主體目標的實現提供合理保證。

內部控制與風險管理關系十分密切，內部控制和企業全面風險管理既有橫向交叉又有縱向融合，風險管理是企業為了適應時代的變化，以內部控制為架構演變成另一種以達到某種目標的過程和方法。二者在要素、目標、含義等方面有很多聯系和相同的地方，既是獨立又有關聯的體系，是針對企業所不同的需求而演變成的兩種過程與目標。

B. 企業內部控制制度建立的方法有哪些

加強內部控制是貫徹《會計法》及提高企業管理水平、增強企業競爭力的客觀要求。研究和運用內部控制的各種方法是建立和完善內部控制制度的一項極其重要的內容。

一、組織規劃控制

組織規劃是對企業組織機構設置、職務分工的合理性和有效性所進行的控制。企業組織機構有兩個層面：一是法人的治理結構問題，涉及董事會、監事會、經理的設置及相關關系，二是管理部門設置及其關系，對財務管理來說，就是如何確定財務管理的廣度和深度，由此產生集權管理和分級管理的組織模式。職務分工主要解決不相容職務分離。所謂不相容職務分離是指那些由一個人擔任，即可能發生錯誤和弊端又可掩蓋其錯誤和弊端的職務。企業內部主要不相容職務有：授權批准職務、業務經辦職務、財產保管職務、會計記錄職務和審核監督職務。這五種職務之間應實行如下分離：(1)授權批准職務與執行業務職務相分離。(2)業務經辦職務與審核監督職務分離。(3)業務經辦職務與會計記錄職務分離。(4)財產保管職務與會計記錄職務分離。(5)業務經辦職務與財產保管職務相分離。

要建立健全組織規劃控制，目前必須解決兩個問題： (1)設立管理控制機構。例如，目前有些上市公司中依據自身經營特點設立了審計委員會、價格委員會、報酬委員會等就是完善內部控制機制的有益嘗試。機構設置因單位的經營特點和經營規模而異，很難找到一個通用模式。比如設立價格委員會的企業大都是規模很大、採用集中采購方式且采購價格變動較大的企業，這些企業設立價格委員會能夠有效加強采購環節的價格監督與控制。再比如，對於規模大、技術含量很高、高知人員雲集、按勞取酬的企業，通過設立報酬委員會進行管理層持股及股票期權問題研究，能夠提高報酬計劃按勞取酬科學性、加強報酬計劃執行中的透明度和監控力度。(2)推行職務不兼容制度，杜絕高層管理人員交叉任職。交叉任職主要體現在董事長和總經理為一人，董事會和總經理班子人員重疊。在上市公司中，這一問題雖有了較大的改變，但從公司制企業的總體上看，仍普遍存在。這種交叉任職的後果是董事會與總經理班子之間權責不清、制衡力度銳減。關鍵人大權獨攬，一人具有幾乎無所不管的控制權，且常常集控制權、執行權和監督權於一身，並有較大的任意性。交叉任職違背了內部控制的基本原則，必然帶來權責含糊，易於造成辦事程序由一個人操縱的現象出現。事實上，資金調撥、資產處置、對外投資等方面出現的問題重要原因之一在於交叉任職，董事會缺乏獨立性。因此，建立內部控制框架首先要在組織機構設置和人員配備方面做到董事長和總經理分設、董事會和總經理班子分設，避免人員重疊。

二、授權批准控制

授權批準是指企業在處理經濟業務時，必須經過授權批准以便進行控制，授權批准按其形式可分為一般授權和特殊授權。所謂一般授權是指對辦理常規業務時權力、條件和責任的規定，一般授權時效性較長；而特殊授權是對辦理例外業務時權力、條件和責任的規定，一般其時效性較短。不論採用哪一種授權批准方式，企業必須建立授權批准體系，其中包括：(1)授權批準的范圍，通常企業的所有經營活動都應納入其范圍。(2)授權批準的層次，應根據經濟活動的重要性和金額大小確定不同的授權批准層次，從而保證各管理層有權亦有責。(3)授權批準的責任，應當明確被授權者在履行權力時應對哪些方面負責，應避免責任不清，一旦出現問題又難咎其責的情況發生。(4)授權批準的程序，應規定每一類經濟業務審批程序，以便按程序辦理審
批，以避免越級審批、違規審批的情況發生。單位內部的各級管理層必須在授權范圍內行使相應職權，經辦人員也必須在授權范圍內辦理經濟業務。

三、會計系統控制

會計系統控制要求單位必須依據會計法和國家統一的會計制度等法規，制定適合本單位的會計制度、會計憑證、會計賬簿和財務會計報告的處理程序，實行會計人員崗位責任制，建立嚴密的會計控制系統。會計系統控制主要包括：(1)建立健全內部會計管理規范和監督制度，且要充分體現權責明確、相互制約以及及時進行內部審計的要求。(2)統一會計政策，盡管國家制定了統一的會計制度，但其中某些會計政策是可選的。因此，從企業內部管理要求出發，必須統一執行所確定的會計政策，以便統一核算匯總分析和考核，企業會計政策可以專門文件的方式予以頒布。(3)統一會計科目，在實行國家統一一級會計科目的基礎上，企業應根據經營管理需要，統一設定明細科目，特別是集團性公司更有必要統一下級公司的會計明細科目，以便統一口徑，統一核算。(4)明確會計憑證、會計賬簿和財務會計報告的處理程序與方法，遵循會計制度規定的各條核算原則，使會計真正實現為國家宏觀經濟調控和管理提供信息、為企業內部經營管理提供信息、為企業外部各有關方面了解其財務狀況和經營成果提供信息的目標。

四、全面預算控制

全面預算是企業財務管理的重要組成部分，它是為達到企業既定目標編制的經營、資本、財務等年度收支總體計劃，從某種意義上講，全面預算也是對企業經濟業務規劃的授權批准。全面預算控制應抓好以下環節：(1)預算體系的建立，包括預算項目、標准和程序。(2)預算的編制和審定。(3)預算指標的下達及相關責任人或部門的落實。(4)預算執行的授權。(5)預算執行過程的監控。 (6)預算差異的分析與調整。(7)預算業績的考核。全面預算是集體性工作，需要企業內各部門人員的相關合作。為此，有條件的企業應設立預算委員會，組織領導企業的全面預算工作，確保預算的執行。

五、財產保全控制

財產保全控制包括：(1)限制直接接觸，限制直接接觸主要指嚴格限制無關人員對實物資產的直接接觸，只有經過授權批準的人員才能夠接觸資產。限制直接接觸的對象包括限制接觸現金、其他易變現資產與存貨。(2)定期盤點，建立資產定期盤點制度，並保證盤點時資產的安全性。通常可採用先盤點實物，再核對賬冊來防止盤盈資產流失的可能性，對盤點中出現的差異應進行調查，對盤虧資產應分析原因、查明責任、完善相關制度。(3)記錄保護，應對企業各種文件資料(尤其是資產、財務、會計等資料)妥善保管，避免記錄受損、被盜、被毀的可能。對某些重要資料應留有後備記錄，以便在遭受意外損失或毀壞時重新恢復，這在當前計算機處理條件下尤為重要。(4)財產保險，通過對資產投保(如火災險、盜竊險、責任險或一切險)增加實物受損補償機會，從而保護實物的安全。 (5)財產記錄監控，對企業要建立資產個體檔案，資產增減變動應及時全面予以記錄。加強財產所有權證的管理，改革現有低值易耗品等核銷模式，減少備查簿的形式，使其價值納入財務報表體系內，從而保證賬實的一致性。

六、人力資源控制

對於作為經濟運行的微觀基礎的企業而言，人力資源要素的數量和質量狀況，人力資源所具有的忠誠、向心力和創造力，是企業興旺發達的活力和強大推動力所在。因此，如何充分調動企業人力資源的積極性、主動性、創造性，發揮人力資源的潛能，已成為企業管理的中心任務。人力資源控制應包括：(1)建立嚴格的招聘程序，保證應聘人員符合招聘要求。(2)制定員工工作規范，用以引導考核員工行為。(3)定期對員工進行培訓，幫助其提高業務素質，更好地完成規定的任務。(4)加強和考核獎懲力度，應定期對職工業績進行考核，獎懲分明。(5)對重要崗位員工(如銷售、采購、出納)應建立職業信用保險機制，如簽訂信用承諾書，保薦人推薦或辦理商業信用保險。(6)工作崗位輪換，可以定期或不定期進行工作崗位輪換，通過輪換及時發現存在的錯弊情況。同時也可以挖掘職工的潛在能力。(7)提高工資與福利待遇，加強員工之間的溝通，增強凝聚力。

七、風險防範控制

企業在市場經濟環境中，不可避免會遇到各種風險。風險控制要求單位樹立風險意識，針對各個風險控制點，建立有效的風險管理系統，通過風險預警、風險識別、風險評估、風險報告等措施，對財務風險和經營風險進行全面防範和控制。企業風險評估主要內容有：(1)籌資風險評估，如企業財務結構的確定、籌資結構的安排、籌資幣種金額及期限的制定、籌資成本的估算和籌資的償還計劃等都應事先評估、事中監督、事後考核。(2)投資風險評估，企業對各種債權投資和股權投資都要作可行性研究並根據項目和金額大小確定審批許可權，對投資過程中可能出現的負面因素應制定應對預案。(3)信用風險評估，企業應制定客戶信用評估指標體系，確定信用授予標准，規定客戶信用審批程序，進行信用實施中的實時跟蹤。信用活動規模大的企業，可建立獨立信用部門，管理信用活動、控制信用風險。(4)合同風險評估，企業就建立合同起草、審批、簽訂、履行監督和違約時採取應對措施的控制科學試驗，必要時可聘請律師參與。風險防範控制是企業一項基礎性和經常性的工作，企業必要時可設置風險評估部門或崗位，專門負責有關風險的識別、規避和控制。

八、內部報告控制

為滿足企業內部管理的時效性和針對性，企業應當建立內部管理報告體系，全面反映經濟活動，及時提供業務活動中的重要信息。內部報告體系的建立應體現：反映部門經管責任，符合例外管理的要求，報告形式和內容簡明易懂，並要統籌規劃，避免重復。內部報告要根據管理層次設計報告頻率和內容詳簡。通常，高層管理者報告時間間隔時間長，內容從重、從簡；反之，報告時間間隔短，內容從全、從詳。常用的內部報告有：(1)資金分析報告，包括資金日報、借還款進度表、貸款擔保抵押表、銀行賬戶及印鑒管理表等。(2)經營分析報告。(3)費用分析報告。(4)資產分析報告。(5)投資分析報告。(6)財務分析報告等。

九、管理信息系統控制

管理信息系統控制包括兩方面的內容，一方面是要加強對電子信息系統本身的控制。隨著電子信息技術的發展，企業利用計算機從事經營管理方式手段越來越普遍，除了會計電算化和電子商務的發展外，企業的生產經營與購銷儲運都離不開計算機。為此必須加強對電子信息系統的控制，包括：系統組織和管理控制、系統開發和維護控制、文件資料控制、系統設備、數據、程序、網路安全的控制以及日常應用的控制。另一方面，要運用電子信息技術手段建立控制系統，減少和消除內部人為控制的影響，確保內部控制的有效實施。

十、內部審計控制

內部審計控制是內部控制的一種特殊形式，它是一個企業內部經濟活動和管理制度是否合規、合理和有效的獨立評價機構，在某種意義上講是對其他內部控制的再控制。內部審計內容十分廣泛，按其目的可分為財務審計、經營審計和管理審計。內部審計在企業應保持相對獨立性，應獨立於其他經營管理部門，最好受董事會或下屬的審計委員會領導。

總之，不管採用何種內部控制方法，不管如何建立公司治理結構，都應確立董事會在內部控制系統中的核心地位。從我國《公司法》規定的董事會、股東大會、總經理之間的權責劃分看，董事會在公司管理中居於核心地位。董事會應該對公司內部控制的建立、完善和有效運行負責。原因在於：(1)對於董事會而言，建立內部控制系統是為了通過不喪失控制的授權來保證公司有效運行、完成公司的目標，(2)內部控制是董事會抑制管理人員在獲取短期盈利機會中的機會主義傾向，保證法律、公司政策及董事會決議切實貫徹實施的手段；(3)內部控制以及涉及內部控制的信息流動構成解決信息不對稱、保證會計信息真實可行的重要手段，而確保信息質量是董事會不可推卸的責任。

C. 全面風險管理的實踐

中國在這方面的研究開始於上世紀80年代。一些學者將風險管理和安全系統工程理論引入中國，在少數企業試用中感覺比較滿意。但中國大部分企業缺乏對風險管理的認識，也沒有建立專門的風險管理機構和制度建設。
我國系統的內控制度建設是在有了《會計法》之後。1999年修訂的《會計法》第一次以法律的形式對建立健全內部控制提出原則要求，財政部隨即連續制定發布了《內部會計控制規范———基本規范》等7項內部會計控制規范。但從更寬泛的管理意義上來說，真正把內部控制和風險管理形成法規，是受到美國2002年安然事件、世通公司財務欺詐案及隨後美國的薩班斯法案的影響。2006年經當時國務院副總理黃菊的批准，這一問題提上議事日程，成立了企業內部控制標准委員會，正式開始這項工作。當年6月6日，國資委發布了《中央企業全面風險管理指引》，這是我國第一個全面風險管理的指導性文件，意味著中國走上了風險管理的中心舞台。2008年6月28日，財政部、證監會、審計署、銀監會、保監會五部門聯合發布了《企業內部控制基本規范》，《規范》自2009年7月1日起先在上市公司范圍內施行，鼓勵非上市的其他大中型企業執行。《規范》的發布，標志著我國企業內部控制規范體系建設取得重大突破，有業內人士和媒體甚至稱之為中國版的「薩班斯法案」。2010年4月26日，財政部、證監會、審計署、銀監會、保監會等五部委剛剛聯合並發布了《企業內部控制配套指引》。該配套指引包括18項《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》，連同此前發布的《企業內部控制基本規范》，標志著適應我國企業實際情況、融合國際先進經驗的中國企業內部控制規范體系基本建成。為確保企業內控規范體系平穩順利實施，財政部等五部門制定了實施時間表：自2011年1月1日起首先在境內外同時上市的公司施行，自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行；在此基礎上，擇機在中小板和創業板上市公司施行；同時，鼓勵非上市大中型企業提前執行。
《企業內部控制基本規范》及配套指引，在實踐中的應用范圍，可以分為三類企業：一類是上市公司，這是必須要進行的。其次是國有企業。按國資委出台的風險管理指引要求，下屬的企業都要全面貫徹風險管理。風險管理和內部控制是相通的。風險管理是戰略層面，最後要落腳到內部控制。對這部分企業來講，內控建設也是必須開展的。第三類就是民營企業。這一類公司沒有相關主管部門，在《基本規范》的實施上，有較大的自由度，但是作為一個真正有商業頭腦、有戰略眼光的企業家應該要做這個工作，畢竟從長遠來看，這個花費是值得的。

D. 如何構建電網企業全面風險管理及內部控制體系

電網企業全面風險管理框架

（一）第一個維度是電網發展目標體系

1.戰略目標：電網發展高層次目標，與電網企業戰略發展相關聯並支撐電網企業目標實現。

2.經營報告：高效率地利用電網企業所佔有的各種資源。

3.報告目標：電網企業風險管理報告的准確性、及時性、可靠性。

4.合規目標：符合電網企業相關業務所在國家的法律與法規。

（二）第二個維度是電網企業管理要素

1.內部環境：電網企業內部員工確立風險理念，並確定各類風險管理的風險容量，電力企業的核心都是內外部人員以及經營所處的環境，內部環境的認知為員工確立了怎麼樣看待風險和風險的基礎。

2.目標設定：確立電網企業管理目標，發現影響管理目標實現的潛在事項。確保風險管理中採取恰當的風險管理程序進行目標設定，並確保目標的選定支持電網企業發展需求並適應其風險容納程度。

3.事項識別：對可能產生影響的各種潛在事項必須進行識別，包括風險事項和機會事項，以及可能二者兼而有之的事項。事項的識別應追溯到電網企業戰略目標制定的過程。

4.風險評估：對識別出的電網企業風險進行分析，以便確認電網企業風險管理的准確依據，風險評估過程應注意風險可能與被影響的目標有關，評估要考慮到風險的可能性和實際影響。

5.風險應對：制定電網企業風險應對措施，包括風險降低、轉移、承擔或分擔。一系列控制措施的選擇要使風險與電網企業自身的風險承受能力相適應。

6.控制活動：電網企業進行合理的風險控制過程，以確保有效實施所制定的風險控制措施。

7.信息與溝通：電網企業的各個層級部門都需要藉助可靠的信息渠道來識別、評估以及應對潛在風險或已經發送的風險事項。

8.監控：整個電網企業風險管理處於內審部門的監控之下，必要時外部專家還會進行完善和補充，監控方式應能夠動態地反映風險管理狀況，並使之根據內外部環境條件的要求而變化。監控通過持續的電網企業的經營管理活動，對企業風險管理的單獨評價或者兩者的結合來完成。

（三）第三個維度是主體單元，包括集團、企業、業務部門、分支機構四個層面

電網企業全面風險管理三道防線的構建

電網企業全面風險管理的框架是由一個基礎、三道防線來構架的。這個基礎指的是電網公司治理結構三道防線分別是公司各級業務部門、風險管理與內部控制委員會及辦公室三道防線為公司各級審計部門。

第一道防線為公司各級業務部門，電網企業日常業務經常面臨各種不同特徵的風險，電網業務部門是電網企業的第一道防線，因此必須把電網企業全面風險管理手段融入到相應的工作和流程中，才能建立好防範風險的第一道防線。這也是內控流程層面上的重要問題。

第二道防線是風險管理與內部控制委員會及辦公室。在電網監管部門的要求下，電網企業開始建立風險管理委員會。第二道防線在電網業務部門之上建立一個更高層次的風險管理功能部門——風險管理與內部控制委員會，主要是要確保企業風險管理方法在業務部門得到落實，並持續性監控相關工作的進展。其主要職責是對各類電網業務單位所存在的不同風險進行有效的組合性管理，披露相關風險信息，協助各業務單位完成符合全面風險管理要求的管理工作。

第三道防線是公司各級審計部門。第三道防線是內控制度得以有效執行的最重要部門，在配備足夠的具有專業知識技能的人員基礎上，使其具有相對的獨立性和權威性。現代電網企業建立風險管理系統是持續發展之道，而不是一種可有可無的選擇。隨著電網企業外部環境的風雲變換，其所存在的風險也隨之復雜變化，這更加迫切要求電網企業應該在內部控制的發生可能性和影響程度的基礎上進行風險的組合排序，把對電網企業內外部風險的考慮融入到電網企業的內部控制決策流程中。

E. 淺談如何部署應用內部控制體系

一、構建內控管理組織領導機構

成立全面風險管理委員會和全面風險管理辦公室兩層級風險及內控管理組織機構。全面風險管理委員會由公司領導層組成，對風險管理和內控體系建設與運行的重大事項予以決策；全面風險管理辦公室作為公司全面管理委員會日常辦事機構，主要負責公司風險和內控體系建設與運行日常管理工作組織、協調和推進。

二、全員開展內控體系宣貫培訓

為在全體員工中樹立內控管理意識，營造內控文化氛圍，促進內控體系的落地執行。在課程設置方麵包含了內控基本概念、內控流程及管理制度等內容，重點講解內控流程文檔和內控管理制度的內容及要求，同時針對不同對象在工作過程中所執行的業務流程講解內容有所側重。通過宣貫培訓，其目的在於促使公司全體員工了解內控管理的要求，為在公司全面貫徹執行內控流程及管理規范打下良好的基礎。

三、加快推進內控體系落地執行及應用

在內控建設成果宣貫培訓之後，按照公司內控管理職責分工，公司全面風險管理辦公室牽頭負責內控體系建設成果落地執行的組織、協調，各相關專業部門全面推動落實已形成的內控流程文檔，逐步建成公司關鍵業務全覆蓋的內控體系。在此期間的主要工作包括：

1、是公司根據《內控流程規范》，建立健全內控流程執行責任機制和評價改進機制，規范內控流程實施與應用，確保內控流程標准有效執行。

2、是各相關部門應指定專人負責本專業內控流程日常管理工作，並將內控流程環節管控責任分解落實到具體崗位。

3、是各相關部門結合內控流程的執行和監督，進一步修訂完善各項經營管理制度，形成與內控流程運行緊密結合、銜接順暢的「一本」制度。

4、是全面風險管理辦公室作為內控流程貫徹執行的牽頭部門，在內控流程試運行期間應高頻度地組織各相關專業部門對內控流程執行和管理制度完善情況進行督查，及時發現執行過程不符合內控流程要求的行為並予以糾正與通報，以進一步推動各級員工業務操作的規范性、標准化。

四、全面開展內控自評價並進一步完善內控建設成果

公司內控流程試運行取得一定成效後，可全面開展內控自評價，並依據內控自評價結果，進一步修改完善內控流程文檔。在此期間主要工作包括：

1、是全面風險管理辦公室根據前期形成的內控評價執行測試程序，編制內控自評價測試工作底稿，下發各相關部門。

2、是各相關部門依據測試工作底稿，抽取內控流程中規定的文檔及表單作為樣本資料，以檢測各級人員對內控流程執行的狀況，測試完成後，各相關部門應出具測試結論，明確流程設計缺陷或執行缺陷，並上 報全面風險管理辦公室。

3、是全面風險管理辦公室匯總各部門內控自評價測試結論，屬於流程設計缺陷的情況，及時組織相關部門對內控流程文檔進行修改完善；屬於流程執行缺陷的情況，應要求相關部門按公司《內控評價規范》要求及時制定缺陷整改計劃和措施，對不符合內控流程要求的業務操作行為以及相關文檔或表單進行整改，全面風險管理辦公室協調相關部門組織聯合工作組對出現流程缺陷的部門整改情況進行督促檢查並予以通報，以此推進公司內控流程的持續完善和進一步落地應用。

五、穩步推進信息系統植入固化內控流程

公司內控流程引入信息系統，與系統建設保持同步，在相關信息系統開始進行建設時，即將內控流程的要求納入系統的設計開發過程中。

此期間主要工作包括：

1、是全面風險管理辦公室牽頭組織相關部門，對內控流程植入相應信息系統進行分析和研究，統籌規劃、統一部署，確保內控流程在業務系統內以及各業務系統之間銜接順暢、信息傳遞客觀、真實、透明。

2、是在信息系統設計過程中，各相關部門應根據公司統籌安排，向設計單位提出信息系統的角度定義、信息流程節點以及輸入／輸出表單要滿足公司內控流程及風險管控的要求。

3、是信息系統設計完成後，各相關部門要按內控流程的要求對系統進行高頻度的全面測試，以進一步檢測信息系統功能是否按內控流程的要求規范了各環節人員的業務操作行為，從而真正實現內控流程的固化和業務操作的標准化。

六、深入開展常態化的風險評估與內控評價

強化風險與內控日常管理工作，全面風險管理辦公室統一組織，各部門全面參與，深入開展風險評估與內控評價工作，促進風險評估與內控評價工作機制常態化運行。

1、是開展風險評估，強化重大風險管理。組織各部門開展風險評估，編制重大風險管理方案；依據評估結果，組織編制公司年度全面風險管理報告，經公司全面風險管理委員會審議。

2、是開展常態化的內控評價，持續改進和完善公司內控體系。根據公司內控評價規范，編制下發公司內控評價工作方案，明確被評價單位、業務范圍和缺陷認定標准；組織各相關部門開展內控自評價，聯合本部相關部門督促檢查各單位內控自評價結果；匯總分析內控評價情況，識別與確認內控缺陷，組織編制公司內控評價報告；針對評價發現的內控缺陷，組織相關單位落實整改，涉及內控流程文檔需要局部修改的情況，組織相關部門進行持續改進。

七、加強內控總結宣傳與培訓

推進具有內控意識的企業文化建設，多方式、分層次開展內控宣傳與培訓，普及內控知識，宣貫公司內控建設理念，增強公司員工落實與執行內控規范的自覺性和積極性。

1、是做好內控總結宣傳。編寫公司內部控制建設情況總結材料，組織各部門總結提煉內部控制建設經驗。

2、是進一步組織開展內控培訓。開展內控流程植入信息系統上線應用、風險評估、內控評價等專題培訓；有效利用公司培訓資源，力爭將內控培訓納入公司統一培訓課程安排。

F. 內部控制包括哪些內容

1、明確規定處理各種經濟業務的職責分工和程序方法

企業要健全和強化內部組織機構，是企業經濟活動進行計劃、指揮和控制的組織基礎，其核心問題是合理的職責分工。在一般情況下，處理每項經濟業務的全過程，或者在全過程的某幾個重要環節都規定要由兩個部門或兩個以上部門、兩名或兩名以上工作人員分工負責，起到相互控制的作用。

2、明確資產記錄與保管的分工

規定管錢、管物、管帳人員的相互制約關系，旨在保護資產的安全完整。另外，現金收付的復核制，物資收發的復秤制、復點制等，也都是防錯防弊的內部控制制度。

3、明確規定保證會計憑證和會計記錄的完整性和正確性要求

對各種自製原始憑證，在格式、份數、編號、傳遞程序、各聯的用途、有關領導和經辦人簽章、明細數同合計數及大小寫數字一致等方面作出規定。

對各種賬簿記錄，要求帳證的一致或保持一定統馭關系的規定；還有會計核算中規定的雙線核對、余額明細核對、各種報表相關數字核對，以及由此而規定的內部稽核制度等。

4、明確規定建立財產清查盤點制度

為了保證財產物資的安全和完整，除規定物資保管員對每項物資進行收付後，要實行永續盤存辦法核對庫存帳實外，還要規定財產物資的局部清查和全面清查制度，以保證帳卡物相符或及時處理發生的差錯。

5、明確規定計算機財務管理系統操作許可權和控制方法

（1）計算機代替手工填制記賬憑證是比較容易的，比手工製作的憑證更規范、效率更高。

（2）電算化可以提高會計工作效率和會計工作的水平。

（3）對會計電算化進行內部控制，主要是對存取許可權進行控制。

G. 《中央企業全面風險管理指引》中給出的內控措施有哪些

第三十四條企業制定內控措施，一般至少包括以下內容：
(一)建立內控崗位授權制度。對內控所涉及的各崗位明確規定授權的對象、條件、范圍和額度等，任何組織和個人不得超越授權做出風險性決定；
(二)建立內控報告制度。明確規定報告人與接受報告人，報告的時間、內容、頻率、傳遞路線、負責處理報告的部門和人員等；
(三)建立內控批准制度。對內控所涉及的重要事項，明確規定批準的程序、條件、范圍和額度、必備文件以及有權批準的部門和人員及其相應責任；
(四)建立內控責任制度。按照權利、義務和責任相統一的原則，明確規定各有關部門和業務單位、崗位、人員應負的責任和獎懲制度；
(五)建立內控審計檢查制度。結合內控的有關要求、方法、標准與流程，明確規定審計檢查的對象、內容、方式和負責審計檢查的部門等；
(六)建立內控考核評價制度。具備條件的企業應把各業務單位風險管理執行情況與績效薪酬掛鉤；
(七)建立重大風險預警制度。對重大風險進行持續不斷的監測，及時發布預警信息，制定應急預案，並根據情況變化調整控制措施；
(八)建立健全以總法律顧問制度為核心的企業法律顧問制度。大力加強企業法律風險防範機制建設，形成由企業決策層主導、企業總法律顧問牽頭、企業法律顧問提供業務保障、全體員工共同參與的法律風險責任體系。完善企業重大法律糾紛案件的備案管理制度；
(九)建立重要崗位權力制衡制度，明確規定不相容職責的分離。主要包括：授權批准、業務經辦、會計記錄、財產保管和稽核檢查等職責。對內控所涉及的重要崗位可設置一崗雙人、雙職、雙責，相互制約；明確該崗位的上級部門或人員對其應採取的監督措施和應負的監督責任；將該崗位作為內部審計的重點等。
第三十五條企業應當按照各有關部門和業務單位的職責分工，認真組織實施風險管理解決方案，確保各項措施落實到位。

H. 企業應急管理體系建立過程應遵循哪些原則a.科學性.全面性

《內部控抄制基本規范》的通知襲
第四條 建立與實施內部控制，應當遵循下列原則：
（一）全面性原則。內部控制應當貫穿決策、執行和監督全過程，覆蓋及其所屬單位的各種業務和事項。
（二）重要性原則。內部控制應當在全面控制的基礎上，關注重要業務事項和高風險領域。
（三）制衡性原則。內部控制應當在治理結構、設置及權責分配、業務流程等方面形成相互制約、相互監督，同時兼顧運營效率。
（四）適應性原則。內部控制應當與經營規模、業務范圍、競爭狀況和風險水平等相適應，並隨著情況的變化及時加以調整。
（五）成本效益原則。內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。

I. 全面風險管理的內部控制

（1）全面風險管理涵蓋了內部控制。COSO框架中明確地指出全面風險管理體系框架包括內控，將之作為一個子系統。
（2）內部控制是全面風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理，對於企業所面臨的大部分運營風險，或者說對於在企業的所有業務流程之中的風險，內控系統是必要的、高效的和有效的風險管理方法。同時，維持充分的內控系統也是國內外許多法律法規的合規要求。因此，滿足內部控制系統的要求也是企業風險管理體系建立應該達到的基本狀態。內部控制與全面風險管理的差異為（1）兩者的范疇不一致。內部控制僅是管理的一項職能，主要是通過事後和過程的控制來實現其自身的目標，而全面風險管理則貫穿於管理過程的各個方面，更重要的是在事前制訂目標時就充分考慮了風險的存在。而且，在兩者所要達到的目標上，全面風險管理多於內部控制。
（2）兩者的活動不一致。全面風險管理的一系列具體活動並不都是內部控制要做的。全面風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等活動。而內部控制所負責的是風險管理過程中間及其以後的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監督評審與缺陷的糾正等工作。兩者最明顯的差異在於內部控制不負責企業經營目標的具體設立，而只是對目標的制定過程進行評價，特別是對目標和戰略計劃制定當中的風險進行評估。
（3）兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，有利於企業的發展戰略與風險偏好相一致，增長、風險與回報相聯系，進行經濟資本分配及利用風險信息支持業務前台決策流程等，從而幫助董事會和高級管理層實現全面風險管理的四項目標。這些內容都是現行的內部控制框架所不能做到的。
從國際國內發展趨勢來看，隨著內部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統一。