01内部控制梳理和风险评估创立解释性文件.pdf

内部控制梳理和风险评估创立解释 一、内部控制的理解： 财政部基本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、 旨在实现控制目标的过程，内部控制的五目标是合理保证企业经营管理合法合规、资产安全、 财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 以上描述过于抽象，我们提供一种理解方式：内部控制就是内部环境+管理活动控制， 内部环境、信息与沟通、内部监督这几个要素，在这里可以广义理解为内部环境，就是非直 接显现但影响企业的基础环境。 内部环境，可以理解为在外部环境下，内部所要形成的一种应具有或要去达到的一种环 境，良好的法律法规、行业惯例的遵守，企业高的道德文化水平、诚信、社会责任，优秀的 员工素质，先进适用的管理方法，良好的内部信息和传递、信息技术良好运用等等，而不能 纯粹定位于“内部”。 管理活动控制是因为企业目标而实施的具体业务活动，它需要管理活动和控制。目标到 结果需要控制过程。 控制程序是对公司既定目标和风险管理一种支持，控制是支持和过程，也可理解为管理 的后续延伸，也是管理一部分； 部门目标与企业内控目标：（企业经营管理合法合规、资产安全、财务报告及相关信息真 实完整，提高经营效率和效果，促进企业实现发展战略）根本上是一致的，内控目标是企业 整体上的大层面上的目标，它反过来也可以提示部门目标是否齐全、恰当。 而风险管理也是为实现企业目标开展的一项活动，这里风险管理是借鉴西方的风险范畴 理念，而现在需要单独列示出来的活动，“健全风险评估机制，梳理风险管控流程”是相关 政策文件的明文要求。 (需要) (需要) 目标、规划 公司管理活动内容细分 控制程序 各内外部情况 风险识别、评估 应对措施 实现公司目标、规划 ( 《风险清单》重大风险得以披露，得以应对控制) 内部控制框架下风险评估与全面风险管理框架的关系，历史发展过程中，，从全面风险 管理框架理论中“风险评估”引进加入到内部控制中，风险管理范畴远远大于内部控制，但 有交叉的部分。 企业高级管理人员对内部控制的建立 （设计）、管理和评估负有责任，业务人员执行，但 也评估实际的作用效果，提出合理意见。内部控制不是静止不变的，需要持续改进，“发现 控制缺陷或严重的控制薄弱环节”，并关注风险领域变化趋势。 二、此次内控梳理的工作内容： 这次内控建设相关内控体系梳理后完成内部控制手册编写、内部控制自我评价办法编制、 内部控制自我评价实施的工作。 在内控体系梳理时，完成好两部分工作： A:现有管理活动为基础的业务流程和制度框架梳理 1.按内部控制按新体系深入了解、归集公司内控体系基础建设现况 （以应用指引为指 导性文件，从管理活动角度解读相关应用指引中财政部总结的国内的管理经验） 2.依目标确定的管理活动内容+控制程序（管理制度中文字描述） 3.形成工具表（一览包含充分要素），在整体效率考量下，考虑管理活动恰当、健全性， 缺陷、薄弱环节改进应对。发现问题，提出和选择应对措施，解决问题。 B: 内部控制中需要的风险评估及选择应对措施，重大风险得以披露，并得以应对控制 （制定文件记录程序，记录风险评估活动信息） 1. 风险清单及排序 2.风险应对措施，现在内控流程缺陷及改进。（梳理后一步工作，可采用风险控制矩阵 表形式）使重大风险得以披露，并得以应对控制。 3.固化风险评估、风险应对措施的活动程序。（制度化、专业职能部门设立，使公司具 有明显的风险管理活动） 公司的风险评估是对内控部分的制度基础性保障，如果部门已有风险管理工作，可以直 接运用该工作的成果－《风险清单》，以便明晰针对已识别风险选择确定应对措施，明确控 制程序。（使风险管理（公司层面、业务部门层面），风险清单和风险排序，风险管控流程的 具体化）。风险管理模式，有集中式和分散式；目前公司状况，建议采取“分散式风险管理” 模式，各部门、各业务线条、公司层面在各职能范围内识别、评估风险，排序（风险清单）， 并初步确定应对措施。然后，再汇总于公司的风险管理职能部门，再排序，决