合同内控风险管理与评价

① 审计，内控，风险管理，三者是什么关系

内部审计、内部控制和风险管理三者之间相互依存，相互作用，形成一个有机的整体，贯穿于企业经营管理的始终，共同服务于企业经营、战略日标的实现。风险管理为内部控制和内部审计提供了基础和前提，也为内部审计和内部控制指明了努力的方向，内部控制为风险管理提供了控制乎段，也为内部审计提供了审计对象;内部审计不仅直接以风险管理和内部控制作为检查和评价的对象，而且通过审查、评价帮助风险管理和内部控制的完善和优化。
风险是指未来的不确定性对企业实现其经营目标的影响，如何有效的辨识、分析、评价，并适时采取有效措施防范和控制这些风险，便构成了风险管理的内容。这里企业面临的风险包括内部风险和外部风险两类。
内部控制是指由董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程，主要是指对企业内部风险的控制。
内部审计是一项独立、客观的咨询活动，用于改善企业的运作并增加其价值。通过引入一种系统的、有条理的方法去评价和改善风险管理、控制和公司治理流程的有效性，内部审计可以帮助一个机构实现其目标
有这样一个例子，可以较为形象的说明风险管理、内控、内部审计三者之间的关系，某人开车从A地到B地去，那么他的目标就是在保证安全的前提下尽快到达目的地。
在这里，把汽车作为一个主体，那么在由A到B的过程中，存在各种不确定因素影响这一目标实现，即存在各种风险，既包括来自车辆自身的内部风险，对于汽车自身而言的风险无处不在，如车身质量、油电系统、动力系统、制动系统等都会影响由A到B目标的实现。也包括汽车之外的风险，如天气、道路状况、其他车辆等。概况起来说，存在内部风险和外部风险。因此，为了顺利到达，必须采取相关措施，来保证这一目标的实现。
首先，从车辆本身角度来说，强化车身结构，保证车辆整体性，限制最高车速，进行事前控制。
需要加装刹车、ABS等制动保障系统，胎压监测、防爆胎系统等进行事中管控;加装安全气囊等进行事后控制。
制定、掌握正确的驾驶方法、流程，通过各种法律、法规加强对驾驶人员的监管和奖惩。
以上基于车辆的控制，被视为内部控制。
其次，除了汽车自身的存在的各种风险，天气、道路状况、其他车辆等外部风险也可能影响到出行目标的实现，对此，可以通过提前观看天气预报、收听道路信息等，进行提前掌握相关信息，并采取相应防范和应对措施也就是对外部风险的管控。
从以上可以看出，既包括内部控制，也有外部风险管理，这些构成了风险管理。
内部审计就是识别、分析存在的各种分析因素，检查、评佑，内部控制、风险管控的有效性，定期检查风险情况、管控措施的有效性及剩余风险等，以此来改进、完善风险管控水平和能力，以便目标更好的实现。
对于企业而言，正因此存在各种风险影响经营目标的实现，因此需要加强内部控制，从内部管理的角度来规范各项流程、制度等，提高内部管理的水平和能力，规避、降低各种存在的风险，提升企业的绩效。因此风险的存在是内部控制产生、发展的主要因素。但是，内部控制并不等同于风险管理，企业面临的风险包括内部风险和外部风险，内部控制只能控制一部分内部风险，对于政策变化风险、经济环境风险等外部风险，内部控制很难达到一个好的控制效果，需要进行风险的辨识、分析、评价，采取风险管控措施来规避、降低这些风险。也就是说，内部控制是风险管理的一个重要手段和组成部分，风险管理是比内部控制更广泛、更全面的管理理念。
从企业管理的角度看，内部审计与内部控制之间是紧密联系，二者共同为企业绩效目标的实现提供了有效保障。一方面，内部审计是内部控制的重要组成部分，通过对内部控制的检查、评价，不断提升内部控制的效率和效果，完善企业的内部控制体系，进而提升企业的管理水平;另一方面，内部控制是内部审计的直接对象，良好的企业内部控制，可以为内部审计提供良好的审计环境，提高内部审计的质量。
企业在生产经营过程中，风险管理和内部审计也是相互联系，密不可分的。面对各种内外部风险，企业通过有效的风险管理，辨识、分析、评价存在的各种风险，并采取措施，规避、降低风险，将风险控制的可承受的范围之内，保证企业经营目标的实现。而内部审计，则独立的对风险管理的过程进行审查，通过对风险管理有效性和剩余风险的检查、评价，不断改进、完善风险管理，提升风险管理的效率和效果，保证企业经营目标的实现。因此，内部审计是风险管理系统的重要组成部分，同时又具有独立地位，是对风险管理的监控。

② 如何有效执行风险管理和内部控制等相关制度

风险管理：
一、对企业风险的认识
企业风险是指某一对企业目标的实现可能造成负面影响的事项发生的可能性，企业在制定和实现自己目标的过程中，会碰到各种各样的风险，所以需要进行风险管理。企业风险管理就是通过分析公司的内外风险，制定系统的管理策略来处理这些风险，从而提高公司的盈利能力和实现企业的目标。风险管理的基本程序是风险识别、风险评估和风险控制。企业风险管理框架要素包括：内部环境、目标制定、风险识别、风险评估、风险应对、控制活动、信息和沟通、监控。
二、明确受托责任、完善公司治理，从公司组织结构上控制企业经营风险
公司治理实质的涵义就是基于一种受托责任的法律合同关系，并以此来规范各利益相关者的权利和义务，并让他们充分发挥各自的功能。基于受托责任下的完善的公司治理结构-即公司股东会、公司董事会、公司经理层以及对受托责任履行行为实施监督的公司监事会的权利和责任的法律确认和有效执行。有效的公司治理是防范企业经营风险，增加公司价值的组织保障。
从表面上看，安然、世通公司的倒闭是因财务舞弊引起的。但在实质上，这两个公司都是由于在公司治理上存在严重缺陷，才导致公司在财务上造假行为成为可能，公司倒闭的根源在于公司治理。美国的公司治理科学性被世界上许多国家所推崇，也是我国主要借鉴的。在美国公司治理中董事会设置最典型的特点是独立董事制度，担任大公司独立董事的很多都是知名学者、教授，独立董事在公司董事会人员中站多数，他们的作用主要是站在公正的立场，代表中小股东利益。但据调查，安然、世通公司的独立董事是公司的独立董事没有在公司董事会中发挥应该起到的作用，导致公司治理失败，内部控制制度没有很好执行，造成公司经营风险。
我国在借鉴美国公司治理的独立董事制度同时，也借鉴了德国公司治理的监事会制度。监事会在德国的公司治理中发挥着很关键的作用，但在我国，公司的监事会却没有真正发挥作用。
因此，控制企业经营风险，不但要有完整的公司治理架构，更主要的是要有基于受托责任下的公司治理各责任主体的法律责任的有效履行。
三、建立有效的内部控制制度
所谓内部控制，是为实现经营效率和效果，财务报告的可信性及相关法律的遵循等组织目标而提供合理保证的过程。其实施者为公司董事会、经理层和其他员工。内控制度是企业为有效实现其目标而设计的内部制度安排，它是为整个企业而设计的系统，企业不应该有任何人能脱离该系统的控制而自由运作。
现在人们越来越发现，公司的风险来自于内控制度的缺失或形同虚设。公司内部控制制度的根本就是授权和监督。公司所有人的权限都是在这个组织中被授予的，并要得到有效监督。
内部控制：
第一是建立直属于董事会和董事长领导的运营监控管理机构，将会计监督和管理监督职能整合在一个部门，不但要对违规行为进行监督和管理，还有对出现问题进行改进，二次进行监督、跟进，不断的提高管理水平和管理意识。
1、根据集团发展需要，运营监控管理中心设审计部、招标部、生产监察部、改进部。运营监控管理中心直接归董事长领导并对董事长、董事会报告工作，具体负责董事长及董事会要求和规定的各项审计、监察工作。运营监控中心总监的任用和解聘由董事长提议，董事会批准，其它人员由运营监控中心总监提出，董事长批准，其工作考核和奖惩由董事长、董事会决定。
2、运营监控中心人员办理审计、监察事项，必须严格遵守审计、监察职业规范，忠于董事长、董事会，做到独立、客观、公正、保密，不得滥用职权，徇私舞弊，玩忽职守。
3、当遇到较大审计监察任务时，可临时组织所属公司的财务、人事行政、生产、销售等部门的人员共同进行审计监察，各单位应该积极配合，不得推诿。必要时可聘请外部特邀专业人员进行专题或专案审计监察。
第二是制定运营监控管理中心明确的工作职责，确保企业内部监督的全面性，促进管控制度完善、细化，点、线控制全面，有效执行；提升企业现场管理；推动各部门的工作实施、改进。根据企业经营目标和审计计划，开展各类财务审计工作及专项审计工作，确保企业健康运营。实现对企业采购的所有物资进行招标、比价，确保在当时采购条件下的性价比最优，高质、高效。
一、对出资者所属公司的财务收支及其经济活动进行定期审计。特别是对公司财产、资金管理使用和安全完整程度进行重点审计。
二、对出资者所属公司的预算或计划执行情况进行定期审计。特别对预算追加和预算外资金的使用情况进行重点审计监督。要进行事前、事中和事后的全面审计、监察。
1、事前对资产和财务状况进行全面审计，划清预算责任
2、事中对预算执行情况进行每月的跟踪审计，发现问题及时解决，防止偏离预算或便于不适合时机预算的调整
3、事后即预算期结束后进行全面审计，评价预算执行情况，总结经验，据以考核，兑现奖惩。
第九条、对集团负责人和各中心总监、总裁助理、各子公司负责人年度和任期经济责任进行审计。对各单位的经营管理责任和财务会计责任的履行情况进行审计和评价。特别是对董事会决议、公司经营方针、目标、战略的落实执行情况作为重点审计内容。
（一）对经营管理责任履行情况的审计监察主要评价经营成果的有效性。审查负责人是否是按董事会的要求、经批准的经营规划进行经营管理的审计，审查有无决策失误和错失经营时机，有无短期行为，破坏公司资源，评价经营管理政策和工作措施是否高效可行等。
（二）对资产的安全和完整进行审计。审查固定资产、无形资产、存货、应收账款等公司资产是否存在风险和不安全，是否完整，有无积压和呆死坏帐，有无损坏和贬值，是否真实。
（三）对财务会计责任履行情况的审计监察
1、财务责任就是理财责任，就是评价财务状况是否优良，财务资产是否增值，使用是否充分有效，是否盘活现有资产，有无浪费，有无财务和税收风险。
2、审计责任主要是评价内部控制是否健全完善、资产管理是否安全，会计防范是否有效，会计数据是否真实，会计工作和前台业务是否脱节，会计工作是否支持业务等。
（四）对人事事项进行审计。审查工作效率，人力成本、人均效率，审查员工队伍建设情况，是否提高凝聚力向心力、协作精神，是否建立共同愿景，有无在人事方面以权谋私的情况，有无任人唯亲，有无打击报复，嫉贤妒能等情况。
（五）对采购进行审计。审计采购的质量是否符号要求、价格是否合理、资金结算是否符合预算要求、交期是否及时，审查采购作业流程是否高效，有无按流程操作，有无徇私舞弊行为。
（六）廉政建设审计。对违反公司廉政建设的行为进行审计如请客送礼、接受贿赂等。
三、对公司的项目投资情况进行审计。
四、监督、检查和评价各单位内部控制和管理制度的建立健全、严密程度和执行情况以及内部风险管理：
1、检查各子公司、各中心各岗位的责权划分是否明确，岗位责任是否建立并且有效；
2、所有原始凭证是否进行统一的连续编号，并顺序使用，领用空白凭证是否有严格的登记注销手续；
3、检查所有的实物资产包括固定资产、低值易耗品、包装物、办公用品、库存商品是否实行责任管理，并制定了相应的控制制度，执行情况如何；
4、检查所有业务是否都实行了程序化、规范化、制度化，各流程中的关键（资金）点是否实行了重点控制，控制是否有效，程序是否经济、高效；
5、检查主要岗位人员的变动是否建立并实行了恰当的交接制度，手续是否完备；
6、检查各子公司是否建立并实行了有效的成本费用控制制度和资金使用制度；
7、检查各子公司采购、商品入库、出库、领用、销售、成本费用、资金收支、对外投资、资产处理的内部财务控制制度的建立和执行情况；
8、其它内部控制事项。
五、对违反出资者、公司规章制度、财经政策纪律，侵占公司资财、损害公司利益、严重铺张浪费和职务消费行为进行专项审计。
六、对各子公司有关的经营方案、预算草案、资金使用方案、重要的经济合同、重要文件、制度的合法合理性，有效正确性进行审计评价。
七、对管理者的工作作风和廉政建设进行监督、监察
1、监督、监察抵触执行公司的各项规章制度和纪律，或将规章制度打折扣执行的行为；
2、监督、监察弄虚作假，有事不及时汇报，欺上瞒下者，对工作扯皮推诿、相互拆台或搬弄是非的行为；
3、监督、监察未经审议，擅自决定公司的重大生产经营决策的行为；
4、监督、监察压制人才，嫌才妒能，阻碍或限制他人才能发挥的行为；
5、监督、监察收受与业务有关单位或个人的钱物（含提成、回扣、报销及代为支付费用）的行为，特殊情况下接受的礼品不上交公司的行为；
6、监督、监察以任何名义宴请公司领导、有关部门领导、公司员工及利害关系人的相互宴请的行为；
7、监督、监察未经许可工作时间饮酒、延误工作的行为；
8、监督、监察利用公款参与高消费的娱乐活动，报销应由个人支付的各项费用，虚报冒领费用或款项的行为；
9、监督、监察利用出差机会协亲属旅游或接受业务单位安排旅游活动的行为；
10、监督、监察对人封官许愿，拉帮结伙，搞小团体，助长歪风邪气的行为；
11、监督、监察对检举或有异议的员工或同事打击报复的行为。
八、总裁、副总裁、总裁助理、各中心总监、各子公司总经理等高层领导的离任、交接审计
九、对人力资源使用效率和效果进行监督、监察。
1、对人力资源（资本）管理的内部控制监督、监察。监督、监察人力资源（资本）的招收、管理、培训、使用、激励等一整套规章制度有与无，完善与否，执行严格程度，效用的大小等。评价其内控制度的适当性；审查评价其是否与时俱进，即在相对稳定的原则下，能否随着环境和条件的变化而调整本组织的人力资源管理控制政策；
2、对人力资源（资本）的开发利用程度监督、监察。监督、监察人力资源（资本）的开发利用是否使其个体不断保值增值，并要使其价值得到充分发挥。更重要的是由个体人力资源（资本）协调聚合的群体价值。通过对招聘、培训、使用、增值、文化、协调聚合等的监督、监察，使人力资源（资本）的开发既能适用于当前的现实需要，又能考虑超前的，顾及到未来的发展后劲。促使其能建立起一个制度化、科学化的动态运行机制。特别是对人力资本的增值培训的投资问题，要有妥当的计划安排。即人力资本培训的投资要有强制的措施，还应按销售收入或税后利润的一定比例进行人力资本投资培训，或按其岗位定期或不定期培训，使人力资本的增值有制度安排；
3、企业人力资本产权监督、监察。监督、监察劳动者权益在企业契约的规定是否受到尊重；人力资本的所有权分配关系的落实程度；人力资本定价与激励方式的适当性及其效果。通过对企业人力资本产权的监督、监察，使企业在不与法规相冲突的前提下，建立起不侵犯人力资本所有者权益，能够充分有效地调动不同层级的人力资本载体者的积极创造性，既能使个体人力资本价值增值，又能有效地提高企业核心竞争力的恰当机制的制度；
4、员工队伍建设监督、监察，是否提高凝聚力向心力、协作精神，是否建立共同愿景，有无在人事方面以权谋私的情况，有无任人唯亲，有无打击报复，嫉贤妒能等情况
十、对各子公司产、供、销各个环节经济活动的效益、效率、经济、合理、合规和合法性进行监管。
（一）对采购事项进行监管，采购部门的责任就是在适当的时间、适当的地点为公司采购性价比最优的原材物料，降低成本、降低付款率，控制采购费用；
1、监管采购计划的审批是否符合程序，采购计划数量是否符合库存和生产使用要求；
2、监管采购合同订立、审批程序是否合理，是否有越权审批；
3、监管采购流程是否符合内部控制程序，是否满足“高质、高效”的要求；
4、监管采购的决定权和操作权是否分离；
5、监管采购数量、质量、性价比、交货期是否能够满足生产使用要求；
6、监管采购付款计划、付款金额、付款比例是否符合财务规定，是否按合同执行；
7、监管采购人员采购、招标过程中是否有舞弊行为，是否有暗箱操作行为，是否有故意刁难客户行为；
（二）对生产事项进行监督、检查
1、监督、检查下达的生产计划规格、型号、数量是否符合销售合同要求，手续是否完备；
2、监督、检查生产质量的控制是否有质量跟踪记录，是否符合企业检验标准；
3、监督、检查生产控制材料领用、发放的各种单证是否齐全，记录是否真实、完整；
4、监督、检查生产产量和工时记录是否真实、合理、准确；
5、监督、检查生产消耗是否符合定额标准；
6、监督、检查生产工资费用、工资分配、材料分配、制造费用是否真实、合理、符合预算管理控制；
7、设备完好率的监督、检查，有无操作规范，执行的状况如何，有无拼设备的短期行为；
8、现场管理的监督、检查，审查有无可行合理的现场管理规范，是否实行了6S管理等；
（三）对营销事项进行监督、检查
1、监督、检查销售管理部门应收及预付帐款内部控制是否合理有效，是否能够降低企业风险；
2、监督、检查销售发票、合同、销售订单所列的商品名称、规格、数量、价格是否一致，是否符合公司价格规定；
3、监督、检查对业务员报价是否按照公司销售政策执行，有无越权审批折让和价格的违规行为；
4、监督、检查销售合同、赊销的审批是否手续完备，是否有越权审批现象；
5、监督、检查发货清单与销售发票是否一致，物流配送是否满足客户需求；
6、监督、检查销售发票是否连续使用，有无缺号、作废是否正确；
7、监督、检查销售人员是否有截流公司销售货款的情况，是否在销售过程中有接触现金的情况；
8、应收帐款坏帐损失是否按照公司规定对相关责任人进行处罚；
9、市场现金操作是否按财务有关规定执行；
十一、对质量系统的监督、检查；
十二、对董事长安排的专项工作进行专项监督、检查
第三是对运营监控管理中心的充分授权，没有充分的授权，运营监控监督力度、执行力将大打折扣，各种改进措施的落实将会成为一句空话、大话，董事会能否对内控部门充分授权是内控部门开展各项监督、改进的保障。
具体应该赋予内控部分哪些职责呢？我认为内控部门应该具备以下权利。
一、有权要求各级财务部门按时上报财务报告、预算执行情况报告、财务决算报告、资产处置报告以及相关的财务制度。
二、有权参加各子公司、各中心的有关会议并召开与审计、监察事项有关的会议。
三、有权参与研究制定有关的规章制度和政策。
四、有权调阅各中心、各子公司经营管理和财务活动的有关书面、电子资料、文件以及现场勘查实物。
五、对于审计监察事项有关的问题有权向有关单位和个人进行调查，并取得证明材料，有关单位和个人必须予以配合。
六、对正在进行的严重违反出资者和公司规章、利益和严重浪费损失的行为，有权做出临时制止决定。
七、对拖延、推诿、阻挠、拒绝和破坏审计监察工作的，报经董事长同意后，有权采取封存账册和冻结资产的临时措施，并追究责任人和有关领导的责任。
八、有权提出纠正、处理违规行为的意见以及改进经营管理、提高经济效益的建议。
九、对违反董事会、公司规章制度和浪费损失、侵害公司利益的单位和人员，报经董事长同意后，有权进行通报批评和提出追究责任的建议。
十、董事长审查批准签发的审计报告，各有关单位和个人必须执行。
第四是建立科学、公正、公开的监控管理工作程序，使保障监控工作公正实施的前提，是对内控部门开展工作的标杆，是推动企业内部管理不断改进的基石。
一、编制年度、季度、月度监控管理工作计划，报董事长审批后执行。临时项目由董事长授权副董事长批准和实施。
二、审计监察前的准备工作。根据批准的监控管理计划和临时安排确定审计监察对象，制定审计监察方案，指定审计监察项目负责人和参加审计监察的人员名单，审计监察方案经董事长批准后，由审计监察负责人签发审计监察通知书，通知被审单位。被审单位应该准备和提供相关审计监察资料。
三、在审计监察过程中，审计监察人员必须编制审计监察工作底稿，作好审计监察记录和日志，收集审计监察证据，重要证据应有相关人员的签字确认。
四、审计监察终结阶段，应根据审计监察工作底稿对审计监察事项和结果提出审计监察报告。
五、审计监察报告报董事长审定。一般常规报告由副董事长签发审计监察决定并附审计监察报告副本发被审单位和有关部门执行。重要审计监察报告的决定有董事长签发。
六、审计监察决定下达后，运营监控管理中心应督促被审单位和有关部门执行。
七、被审单位应按照审计监察结论和决定，针对问题及时做出处理，处理结果应报告稽核部。如对审计监察结论和决定有异议，可在收到审计监察结论和决定十五日内向副董事长、董事长提出复议。在复议期间，原审计监察结论和决定照常执行。

③ 内部控制和风险管理的区别与联系是什么

区别：（1）两者的范畴不一致。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标；而全面风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部控制。

（2）两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。

（3）两者对风险的定义不一致。在COSO委员会的全面风险管理框架中，把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”（将产生正面影响的事件视为机会），将风险与机会区分开来；而在，COSO委员会的内部控制框架中，没有区分风险和机会。

（4）两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程。这些内容都是内部控制框架中没有的，也是其所不能做到的。

联系：1）全面风险管理涵盖了内部控制。COSO2003年7月公布了全面风险管理框架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。从时间先后和内容上来看，全面风险管理是对内部控制的拓展和延伸。

（2）内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。

从国际国内发展趋势来看，随着内部控制或风险管理的不断完善和变得更加全面，它们之间必然相互交叉、融合，直至统一。

内部控制

国外较为经典的是 ASB 对内部控制的定义。1972 年，美国审计准则委员会(ASB)所做的《审计准则公告》，该公告循着《证券交易法》的路线进行研究和讨论，对内部控制提出了如下定义:"内部控制是在一定的环境下，单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标，而在单位内部实施的各种制约和调节的组织、计划、程序和方法。

④ 风险评估和内部控制的关系

风险评估是内部控制的一个环节，完整的内部控制流程包括识别风险、评估风险、控制措施、信息交流与沟通、监督等。
因此，只有经过风险评估，才能确定风险有多大，是否能承受，需要进行什么样的控制等后续工作。

⑤ 关于风险管理、内部控制和合规

风险管理不光是财务这一块有很多东西要学
《风险信息管理》《保险与风险管理》 《衍生工具与风险管理》《合同方式风险管理技术》 《企业财务风险管理》《 企业操作风险管理》 《变革与战略风险管理》《企业内部控制》《公司治理》 《风险评估》 《决策与风险管理》 《企业风险管理审计》 《企业危机管理》
我建议你参加企业风险管理师的培训，现在挺火的。
现在有很多在风险部门任职的人员都在学习。
培训中心的电话是010-88622509 你可以咨询一下

⑥ 公司内控编制、内控评价、风险管理和内部审计可以一个人同时干吗是否涉及岗位不相容问题

不可以一个人同时兼职！内控就是公司自己内部控制的相关事物！独有内控编制和其他四项内控发生不相容的问题！编制属于企业管理的人员控制类别！这和其他四项财务、成本类不是一个概念！

⑦ 内控风险和风险管理有何区别

《企业内部控制基本规范》及其配套指引，充分吸收了全面风险管理的理念和方法，强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险，促进企业实现发展战略，风险管理的目标也是促进企业实现发展战略，二者都要求将风险控制在可承受范围之内。因此，内部控制与风险管理二者不是对立的，而是协调统一的整体。

⑧ 审计，内控，风险管理，三者是什么关系

审计:是对资料作出证据搜集及分析，以评估企业财务状况，然后就资料及一般专公认准则之间属的相关程度作出结论及报告。进行审计的人员必需有独立性及具相关专业知识.
内部控制的简称。指一般公司企业内部的控制运作。
我国财政部对内部会计控制做了如下的定义：内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序.
风险管理:是指如何在项目或者企业一个肯定有风险的环境里把风险可能造成的不良影响减至最低的管理过程。
三者之间相互依存，相互作用，形成一个有机的整体，贯穿于企业经营管理的始终，共同服务于企业经营、战略日标的实现。风险管理为内部控制和内部审计提供了基础和前提，也为内部审计和内部控制指明了努力的方向，内部控制为风险管理提供了控制乎段，也为内部审计提供了审计对象;内部审计不仅直接以风险管理和内部控制作为检查和评价的对象，而且通过审查、评价帮助风险管理和内部控制的完善和优化。

⑨ 风险评估为什么属于内部控制，应该了解内部控制是风险识别和评估的一部分吧

风险评估是内部控制的一个环节，完整的内部控制流程包括识别风险、评估风险、控制措施、信息交流与沟通、监督等。
因此，只有经过风险评估，才能确定风险有多大，是否能承受，需要进行什么样的控制等后续工作。
1.在理论框架层面，完整的内控体系包括依据COSO内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是COSO企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。
2.在推进工作的步骤层面，从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看，以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设，在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备，可为公司未来开展全面风险管理打下较为完善的基础。

(一)风险管理系统应与公司治理系统进行整合

风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(IIA)指出，企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中，高管和风险主管应当直接承担风险管理的责任，董事会则应积极参与增值型的风险管理活动，如在风险管理的过程中对管理层进行指导、授权和监督等活动。

(二)风险管理系统应与公司战略管理系统相整合

将战略管理系统与风险管理系统相整合，有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界，并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略，会引起不同的风险，也应采取不同的风险应对措施。因此，不同的战略模式将会导致在不同的领域配置风险管理的资源。

企业战略管理的最终目标是为了实现企业价值的持续增长，企业价值创造路径应围绕“股东价值←客户价值←业务流程←核心资源”这一路径展开，该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值，必须具有高效、快捷和质量可靠的业务流程，这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径，企业风险管理也应遵循这一路径而展开。

总之，整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置，以促进事件的自动处理和报告的自动生成，并使用分析工具对这些事件及其组合与公司政策的相关性进行分析，为决策者提供风险应对的信息。

⑩ 简述如何理解评价内部控制的风险水平

内部控制评价方式，是指内部控制评价工作的基本形式，是解决内部控制评价工作到底如何进行的问题。关于内部控制评价工作到底如何进行，从内部控制评价本身以及目前的发展情况来看，主要存在详细全面评价和风险导向评价两种方式。 ◎详细全面评价。详细全面评价，就是以内部控制框架或标准为参照物，根据内部控制框架的构成要素是否存在，评价内部控制的设计有效性；然后，测试内部控制的运行有效性；最后，综合设计和运行的评价对内部控制的有效性做出总体评价，评估内部控制目标实现的风险，判断是否存在实质性漏洞，确定内部控制是否有效。显然，详细全面评价是一种传统的内部控制评价方式，企业最初进行内部控制建设或日常的评价中应用较多，主要是采用“内部控制调查问卷”和符合性测试，对企业已经存在的内部控制进行评价，评价报告中的建议也是“审核数豆子的人是否将豆子数得一粒不差”。这种方式的特点是从控制到风险，即从内部控制到相关目标实现的风险，比较适合用于内部控制的建立和保持，而对评价内部控制的有效性并不十分恰当，存在着成本高、效率低、结论不可靠性等不足。根据内部控制框架或标准评价内部控制本身并没有错，但是，内部控制的框架或标准本身是一个通用的框架，更多地关注内部控制的“What and Why”，尽管这些框架或标准提供了评价有效性的标准，但不够细致，不足以说明如何完成内部控制有效性的评价。 ◎风险导向评价。风险导向评价，就是以风险为导向，首先，要评估相关目标实现的风险；其次，识别和确定组织充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；第三，识别和确定内部控制运行有效性的证据，评价现有的控制是否得到了有效的运行；最后，对控制缺陷进行评估，判定是否构成实质性漏洞，确定内部控制是否有效。这种方式是从风险到控制，即从内部控制相关目标实现的风险到内部控制，充分体现了“自上而下，风险基础”的理念。“自上而下”方法由评估组织整体层级的控制开始，然后到具体作业层级控制的测试，主要体现在：从财务报表整体开始，然后到账户、披露；从公司层面的控制开始，然后到活动层面的控制。“风险基础”主要体现在：以评估控制目标实现的风险为起点；关注重要的财务报告和披露风险与问题；仅评价充分应对风险的控制；证据的获取和场所的选择根据风险评估的结果；评价结论（内部控制是否有效）也是风险基础的，判断有效与否是根据内部控制是否相当可能没有防止或发现财务报表中的重要错报。风险导向评价方式可以充分考虑企业特定的情况，避免与内部控制框架的简单核对，具有更好的成本效益性和更广泛的适用性及灵活性；关注最重要的风险，提高了评价的成本效益和效率。不过这种方式与详细全面评价根据一个确定的框架来评价相比需要更高程度的专业判断。 风险导向评价是一种现代的内部控制评价方式，要求评价人员改变传统的评价模式，把评价的起点放在关注企业发展战略和识别企业业务流程的风险上，分析风险，并提出控制风险的建议和方法。特别需要指出，评价内部控制并非为了控制本身，而应针对企业经营过程中可能面临的风险。在风险导向评价方式下，评价人员更为关心的是下列问题：与控制相关的目标是什么？这种控制要解决的问题是什么？这种控制是否对被审计单位的经营活动有益？是否存在重复控制？什么样的风险水平是可以接受的？控制的效果是否影响管理当局决策？风险为导向评价方式下，评价人员大多采用内部控制自评（CSA）、内部控制矩阵法、利用网络信息开展动态评估。 从目前的现状以及未来国际发展趋势来看，内部控制评价基本上都趋向于采用风险导向评价方式。美国证券交易委员会和公共公司会计监督委员会2007年分别发布的管理层报告内部控制的指南（SEC，2007）和内部控制审计准则（PCAOB，2007）都采用了这一方式，英国、日本、加拿大等国的上市公司的内部控制年度评价也采用了风险导向评价方式。日本内部控制评价与审计准则：采用一种自上而下的重视风险的方法，即着眼于与财务报告相关重要虚假记载相联系的风险，对业务流程相关的内部控制进行评价，具体策略：运用自上而下的风险方法；内部控制缺陷的分类，将内部控制的缺陷区分为“重要缺陷”和“缺陷”两类；不采用直接业务报告的做法；内部控制审计与财务报表审计一并实施；内部控制审计报告与财务报表审计报告一并编制等。在我国拟在建立以风险防范和增加价值为评价导向、以五大要素（控制环境、风险评估、控制活动、信息与沟通、内部监督）为核心评价内容、以控制标准和评价标准为评估标尺的内控自我评价体系。内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节