内部控制的风险评估精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的内部控制的风险评估主题范文，仅供参考，欢迎阅读并收藏。

第1篇：内部控制的风险评估范文

关键词：内部控制 财务风险 评估 影响

1、形成企业财务风险的原因

1.1、内部控制的完善是预防企业财务风险的主要途径。

1.2、企业风险管理水平低下的主要原因是内部控制制度建立不完善，有的甚至漏洞百出，从而引发财务风险的发生，给企业造成经济损失。

1.3、以前企业内部控制没有得到重视，这令我国的企业财务风险管理水平相对低下。近几年我国政府和企业对内部控制的建设和完善开始重视起来，2008 年《企业内部控制基本规范》的颁布就是我国企业内部控制日趋完善的开始。该规范的主要思想就是防范企业风险，主要是企业财务风险。

2、内部控制对财务风险评估产生的影响

2.1、内部控制对财务风险产生的影响

一般来说，要保证一个企业健康平稳的经营，并取得经营目标，需要满足三个条件：第一，公司的运营是由效益和效率的，能够取得一定的利润；第二，财务报告的可靠性，保证财务报告是真实公允的；第三，遵守适用的法律法规，企业的运营要满足相关地域的法律法规和相关的规章制度。企业若无法到达上述三个条件，就会导致经营失败，而内部控制就是对这类风险的控制。

2.2、内部控制对财务风险评估产生的影响

评价工作必须获得公司所有阶层/级别支持，通常要成立并维持强而有效的指导委员会，对其成员要进行持续的培训以确保其胜任水平，要大力加强指导委员会的权力以确保政令的畅通，可以先以某些部门、业务单元作为试点，及时总结经验，使方案得到完善，然后大面积推开。评估、汇报及持续改善是确保效益的重要元素。对涉及内控评价的各个方面，必须清楚界定各角色职责并传达到位，有效沟通必不可少，不仅包括公司内部与管理层的沟通，公司内部各个部门之间的沟通，还包括与独立审计师沟通，了解双方的项目范围及工作方式，对项目的重要、潜在的问题及时交流。

3、基于内部控制视角的企业财务风险的控制策略

3.1、建立良好的内部环境

3.1.1、完善企业产权改革制度

完善企业产权改革制度，实现产权明晰、权责明确、管理科学、政企分开的企业制度；明确企业内两种控制主体，即股东和管理者都有控制目标；施行不相容职务制度，不让管理人员兼职的现象出现；明确董事会在企业中的中心地位；明确董事会的权利和责任及董事会内部分工，设立有董事专门负责的委员会：如审计委员会、预算委员会等等。制定相应的程序让这些机构在内部控制的活动中发挥监督、引导作用；制定详细的各个生产经营环节的不相容职务分离制度及施行程序，协调好各部门之间的关系，把责任追究制度认真贯彻执行，达到账本控制实物和货币的目的。

3.1.2、优化董事会的决策结构

聘请熟悉企业各个环节的专家担当董事，这有利于约束经营者的不良行为；行使重大的经营决策集体审批制度，禁止管理者自己决策、随意决策，并建立决策责任追究制度；企业重要的岗位的职员要经常调换，这样做是为了这些职员；建立内部控制授权制度，不需要授权的事项不考虑，这样可以减少费用，有必要授权的事项要做出详细的规定，使企业的管理者不能超越自己的权限做出决定。

3.2、建立重大风险预警机制

要建立重大财务风险预警制度，财务重点策略，对企业可能发生的重大财务风险实施持续监督，及时的回馈企业重大财务风险的信息，并制定应急方案，适时根据重大财务风险的变化调整方案。对突出的问题提出处理方案，并考虑怎么将风险转嫁。

3.3、完善控制活动机制

针对内部控制中的重要的经营活动要建立并完善企业内部控制授权批准制度，对这重要的经营活动的批准程序、条件、范围等事项要有明确的说明，责任要明确；建立内部控制权责制度，根据权利和责任要统一的原则，对单位各部门和员工的职责和权利以及奖惩条例要明确规定，对担任重要岗位的员工施行轮换制；要不断的完善内部控制报告内容和资产盘点的程序化，对盘点人、报告人与报告的接收人、盘点的时间等内容进行明确的规定；通过采取授权与批准、各岗位密码校验等方式防止越权查阅或修改，来增强对企业财务数据的管理。

3.4、加强监控力度

3.4.1、成立审计委员会

企业的内部审计工作应该由董事会成立的审计委员会负责。审计委员会成员应该由企业最高管理当局进行聘任并培训，内部审计机构直接面向企业董事会报告企业的经营管理情况。它受监事会的监督，并保持相对的独立性。

3.4.2、建立内部控制审计检查制度

企业应该建立内部控制审计检查制度，与内部控制的方法和标准结合应用，对审计的对象和内容等做出明确详细的规定，并检查和评价企业内部各个部门的效率，对其提出改进效率的建议。

4、结论

研究企业内部控制及财务风险的目的是确保企业生存和持续发展，生存是企业可持续发展的前提。所以，基于企业内部控制视角，运用科学、合理的评价方法和手段建立综合指标体系以评估企业的财务风险，进而有效地控制企业的财务风险。

参考文献：

[1]陈余有.财务危机运营――企业理财安全机制探索[M].合肥：合肥工业大学出版社，2004，52～55

[2]张延波，彭淑雄.不同财务主体的财务风险管理[J].北京工商大学学报，2002（2）：101～103

[3]黄锦亮，白帆.论财务风险管理的基本框架[J].财会研究，2003（6）：15～17

[4]丁子繁.论企业财务风险控制[J].财会研究，2006（10）：40～41

第2篇：内部控制的风险评估范文

关键词：灰色系统 白化权函数 内部控制 评估

一、引言

以往在对企业进行风险评估时，一般通过概率统计并利用回归分析、方差分析等评估企业财务风险，或者聘请专家、审计机构对企业结构、人事制度等打分评价。无论采取何种方式方法都会存在以下几点缺陷：一是采样数据大，利用概率统计得到的指标往往需要大量的数据才能做到量化规律；二是数据只能单一反映某一情况，不能分析因素之间的关联程度；三是对于一些定性评估人为主观因素较大，往往不能准确反映企业真实状况。

端点三角白化权函数的灰色聚类评估主要将同类因素归并，并检查众多因素中是否有若干个因素大体上属于同一类，同时利用这些因素的综合平均指标或其中一个因素来代表相类似的若干个因素，使复杂的评估系统简单化；另外灰色聚类评估主要是通过典型抽样数据得到灰色关联聚类，因而不会因信息缺少导致对企业风险评估误判。因此通过灰色聚类评估得到的评估值比其他方法获得的评估值更能反映企业的实际状况，特别是对于信息较少、数据不透明的企业更加适用。

二、评价指标体系设计

企业风险的存在主要是由内因与外因相互关联、共同作用造成的结果，而只有一个完整科学的指标体系才能客观真实地反映出企业实际状况。通常指标的选取主要采取定性与定量两种方式，定性指标主要通过多名专家、评委以及审计机构判断打分得到，例如：董事、监事及经理等高层结构是否合理、监督机制是否完善等综合评价得到；定量指标则主要是通过企业财务指标、年度报表等得到，例如：资产周转率、资产负债率，以及成本费用利用率等。根据企业运行机制以及专家意见，我们选取了8个一级指标和22个二级指标，具体如图1所示。

（一）样本公司指标选取

为了便于对评价模型的直观认识，本文选取了国内两家上市医药制药公司作为比较对象。医药制药行业作为我国国民经济的重要组成部分，它不仅有着对公司治理、内部控制等严格控制要求，而且，在经营中存在风险程度高、研发成本大、要求产品质量更稳定等特点。鉴于上述情况，本文选取医药制药行业作为研究对象来具体说明内部风险控制体系的建立与评价，希望能够完善医药制药企业的内部控制系统，实现整个行业的正规、健康稳定的发展。

本文筛选了国内上市140多家医药制药行业，选取两个比较有代表性的企业来说明模型的有效性和准确性。其中A企业是我国著名医药制药公司，其主营业务为：化学原料药、化学药制剂、中成药、中药材、生物制品等，由于经营得当、产品质量过硬，是我国医药制药业行业的佼佼者；B企业也是一家以中药原料药、西药原料药生产、销售及研究的公司，由于近年来公司经营不善、财务费用负担沉重、加之结构制度不合理等因素，导致企业年年亏损，处于破产边缘。

（二）指标权重的确立

利用多层次权重解析法AHP确定一级指标与二级指标的层次权重，并计算出组合权重，得到如上页表1所示各指标权重。

（三）评价指标灰类

根据专家评估意见，将指标取值规范在[0，100]之间，并根据评估要求将风险等级分为“差、较差、一般、良好、优良”5个灰类，相应的区间为：[30，45），[45，60），[60，75），[75，85），[85，95），即：α1=30，α2=45，α3=60，α4=75，α5=85，α6=95，延拓值为：α0=10，α7=100。通过全面分析、深入研究、专家意见分别得到了A、B两个企业的实际评估值，如上页表2所示。

三、端点三角白化权函数的灰色评估模型算法

定义1：设有n个聚类对象，m个聚类指标，s个不同灰类，根据第i（i=1，2，…，n）个对象关于j（j=1，2，…，m）指标观测值xij（i=1，2，…，n；j=1，2，…，m）将第i个对象归入第k（k∈{1，2，…，s}）个灰类，称为灰色聚类。

定义2：设j指标k子类的为白化权函数f■■（・），称x■■（1），x■■（2），x■■（3），x■■（4）为x■■（・）的转折点。其中对于指标j的一个观测值x，可由

计算出其灰类k（k=1，2，…，n）的隶属度f■■（x），其中λk =（αk+αk+1）/2 。

定义3：设x■■（i=1，2，…，n；j=1，2，…，m）为对象i关于指标j的观测值，fkj（・）（i=1，2，…，m；j=1，2，…，s）为j指标k子类白化权函数。若j指标k子类的权η■■（i=1，2，…，m；j=1，2，…，s）与k无关，则称：

σkj= ■f■■（x■）η■

为对象i属于k灰类的灰色定权聚类系数，其中ηj为指标j在综合聚类中的权重。

四、实例研究

根据表1指标权重值与表2评价指标端点灰类和实际值，利用matlab软件计算出A、B两个企业的指标白化权聚类系数（X1，X2，……，X8）与综合评价系数（X），具体值如表3、4所示。

从表3得到A企业的白化权聚类系数最大值为σ4=0.6237，说明A企业内部控制综合评价处于“良好”等级，各方面指标系数也大都处于“良好”状态；而从表4可以看出B企业的白化权聚类系数最大值为σ2=0.4482，说明B企业内部控制综合评价处于“较差”等级，进一步分析八个因素的聚类系数，较差等级的最大值

{σ2j}=σ22=0.0458，说明“管理因素”是影响B企业最大问题所在。通过实际调查发现B企业之所以造成业绩下滑、公司亏损，还是与其管理不当、经营混乱相关，例如该公司2002年至2008年期间，未按规定披露将资金提供给控股股东与其他关联方使用以及对外担保与银行借款等事项；同时该企业还存在费用率较高、财务费用负担较重等情况，2009年1-9月期间费用率就高达84.21%，过高的期间费用也是导致公司亏损的主要原因。

五、结论

通过实际证明基于端点三角白化权函数的聚类评估模型用于企业内部控制等级评估得到的结果真实可靠、方法简单实用，可以广泛运用于各行各业评估系统之中。但是本文存在主要不足之处就是分析数据全部采用专家评估打分得到，一些定量指标（如：每股指标、财务指标、盈利能力、运营能力等）由于文章篇幅所限没有设计到模型中，下一部应注重将定性分析与定量相结合，使模型更具有代表性、可靠性。

参考文献：

1.刘思峰，党耀国等.灰色系统理论及其应用[M].北京：科学出版社，2011.

2.邓聚龙.灰预测与灰决策[M].武汉：华中科技大学出版社，2002.

3.魏巍，朱卫东，王锦.基于证据理论的内部控制风险评估体系评价[J].财会通讯，2011，（2）.

4.财政部会计司.企业内部控制基本规范[M].北京：经济科学出版社，2008.

5.戴春兰，揭火艳.企业内部控制风险评估数学模型探析[J].财会通讯，2010，（4）.

第3篇：内部控制的风险评估范文

关键词：中小企业；内部控制；政策建议

中图分类号：F27 文献标识码：A

收录日期：2012年9月11日

近年来，有关企业内部控制的规范性文件相继出台，体现了国家作为出资人与管理者对企业能否正常运行的高度重视，已经从宏观调控的角度上试图改善企业运行的整体内部控制机制与环境。从2007年开始，深交所对在中小板上市的公司也做出了强制性要求进行披露内部控制报告。本文在外部监管环境与业务需求均对内部控制提出显著性要求的背景下，专门针对中小企业内部控制问题进行的研究与探讨。

一、相关概念的界定

（一）中小企业。中小企业的概念界定主要依“规模”而定，是指与同一行业中的大企业相比，人员规模、资产规模与经营规模都比较小的经济单位，具体还可细分为中型企业、小型企业和微型企业。2011年6月18日，工业和信息化部、国家统计局、国家发展和改革委员会、财政部联合印发了《关于印发中小企业划分标准规定的通知》，颁布了关于中小企业判定的最新标准，具体标准结合行业特点，根据企业的从业人员、营业收入、资产总额等指标来划分。

（二）内部控制。国内外学者针对内部控制的相关问题进行的研究较多，但是缺乏对内部控制具体定义与概念的界定。我国虽然也开始了一股对内部控制研究的热潮，然而我们目前对内部控制的认识稍显杂乱无章，往往因为研究目标与定位的差异而将内部控制赋予不同的含义。关于内部控制较为权威的定义，来自于COSO委员会1992年颁布的《内部控制——整体框架》，在这个报告中，COSO委员会认为：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。

二、我国中小企业内部控制存在的主要问题

（一）内部控制环境不佳

1、高层管理人员的管理方式。虽然说资产设备等硬件设施对企业的生存与发展至关重要，但是企业管理者的经营理念同样有着举足轻重的作用。大部分中小企业的股东与高层管理人员利益未分离，可以说高管人员的决策决定了中小企业的发展方向。然而，中小企业高管人员素质普遍偏低，没有经过专门的培训，而只是依靠自己的直觉和经验管理企业，长此以往，很容易导致企业陷入家长式管理，企业的权力不受牵制，不利于企业内部控制的有效管理。

2、诚信原则和职业道德。从古至今，守信不仅是判断个人道德的标准之一，也是企业持续发展的基石。虽说经济学中理性个体的特性表现为自私自利，可是企业领导者或员工的自私自利心理很有可能会诱导他们发生错误或舞弊行为，导致企业内部控制无法有效实施。可见，企业所有员工的诚信道德观是有效制定内部控制体系的必要前提。然而，我国中小企业管理人员的经营理念不够长远，目光短浅，往往关注眼前的利益，有些经营者甚至为了获得现实利益而背信弃义。另外，企业也不重视员工的诚信职业道德教育，自然而然不利于企业内部控制的有效建立和实施。

（二）风险评估缺乏

1、缺乏风险意识。中小企业的抗风险能力很差，主要原因在于中小企业的管理层往往出于自身的多年经验作决策，没有制定科学的风险管理机制，基本上没有涉及到风险事前控制机制的建立，都是直到企业遭遇某风险时管理层才意识到要想办法解决，这样很容易让企业陷入危险的困境，情况严重者很有可能遭遇破产。另外，中小企业本身没有强大的经济后盾，面对外部环境中的威胁和压力，中小企业的抵抗力很薄弱。可以想象，假如中小企业管理层不考虑风险因素，那么企业的生存是多么的不堪一击。

2、缺乏有效的风险评估。如果中小企业管理层没有风险意识，不重视风险管理，自然也不会制定控制风险的相关措施。而且，我国大型上市公司尚未制定并实施有效统一的风险评估体系，针对中小企业的风险评估体系则更是少之又少。因此，中小企业缺乏有效的风险评估体系存在着一定的客观因素，风险评估是抽象的概念，即使是制定了具体的评估标准也具有一定的片面性，这会让管理层认为风险评估也不一定管用，自然就不会花大量成本进行风险评估建设，从而削弱了企业的抗风险能力。

（三）中小企业内部控制理论体系不完善

1、内部控制的目标定位层次低。内部控制体系是用于监督管理高层管理人员经营业绩的系统工程，其目标的定位体现了内部控制的职能范围。我国内部控制体系最初的目标仅仅立足于确保会计信息的真实可靠，直到20世纪八十年代才逐渐建立了以相互协调制约为核心思想的内部控制体系。但是，从我国颁布的各种规章制度可以看出，我国的内部控制目标定位层次仍然比较低。

2、内部控制立足点的局限性。国内内部控制理论体系研究虽然取得了一定的成果，但仍然不够完善，存在很多缺陷。根据现存的研究文献可知，内部控制理论研究主要立足于会计与审计的角度，源于内部控制的基本功能——审计和管理，可以说，一旦涉及到内部控制理论研究，大多数学者都会首先提到财务会计控制研究，把内部控制的范围局限于针对财务会计人员工作范围的控制（李心合，2010）。

（四）中小企业内部控制法规建设不健全

第4篇：内部控制的风险评估范文

关键词：内部控制；五要素；逻辑关系

一、引言

COSO报告将风险评估、控制活动、信息与沟通、控制环境和监督要素放在了同等地位，从单个要素看，每一个要素都是边界分明，各有其内涵，但是它们作为一个有机联系的整体，任何一个要素都不能脱离整体发挥作用。在已有的对企业内部控制进行评价的文章中，大多都是在忽视要素之间逻辑关系的情况下，单独对各个要素进行分析，这样的分析具有针对性却缺乏对要素间相互作用机理的理解，使得组织的内部控制仍然是一个黑箱，难以发现问题的根源。倘若能够建立一个清晰的内部控制要素之间的逻辑关系，根据内部控制各要素之间的传导链条对问题进行分析，那么在改进组织内部控制时就更能抓住主要矛盾，找出症结，有的放矢。

二、内部控制要素构成及其逻辑关系

（一）内部控制要素的构成

1992年，美国“反对虚假财务报告委员会”所属的内部控制专门研究委员会发起机构委员会（简称COSO委员会）提出的《内部控制――整合框架》报告（简称COSO报告）被理论界与实务界广泛接受。该报告将内部控制划分为五种要素，即控制环境、风险评估、控制活动、信息与沟通、监督。本文以COSO报告（1992）为基础，分析内部控制五要素间的逻辑关系。

（二）内部控制要素之间的逻辑关系

控制环境奠定了一个企业内部控制的整体基调。管理层的管理风格与经营哲学决定了企业在运营过程中对风险的偏好。保守的管理者在对风险识别时会更加地谨慎，而激进的管理者则倾向于为了获取更大的利益冒更高的风险。治理层包括股东会、董事会以及监事会，治理结构需要设计出治理层对管理层的权责安排、独立董事制度、内部审计制度等监督体系。也就是说，公司的治理结构直接影响了监督要素中监督机构的设置和监督活动的进行。对于一个企业来说，倘若没有严谨的内部控制制度和程序，但是他的员工都是正直且有工作胜任能力的，员工皆能各善其职，那么企业一样可以按部就班地运作，但如果一个企业拥有完整的内部控制制度，可是员工素质欠缺，品格不佳，那么再有效的控制活动也会沦为空谈，因为无论多么完美的内部控制都没有办法防止员工间的串通舞弊。内部控制环境中的组织架构和权责分配为信息在部门间的流转提供了一个基本架构和传递路径，与此同时充当 “信使”角色的员工的职业道德与胜任能力很大程度上影响部门之间信息沟通的及时性和有效性。

将风险评估划分为风险识别和风险应对两个分要素。所谓风险识别，就是企业在经营过程中对可能遇到的内部和外部风险进行定性和定量的衡量，认识和明确各种风险因素可能带来的后果，主要任务是研究各流程中何处有风险，风险发生的可能性，引起风险事故的原因以及风险一旦发生造成的损失程度。当风险一旦发生，企业采取怎样的措施使得损失降到最低就是风险应对应该回答的问题。风险评估是控制程序设计的指南针，控制活动包括政策的制定、控制程序的设计和执行。控制程序的设计、政策的制定是根据风险识别的结果为依据的，它为控制活动的重点指明方向，提高内部控制的效率和效果。根据《内部控制系统监督检查指南》，企业应该基于风险评估的结果进行优先级排序、分配资源和采取相应的监督方式。企业往往会把目光聚焦在一些风险较大的环节或是项目上，例如，为了避免管理层的逆向选择和道德风险，企业往往会设立董事会和监事会；为了防范企业遇到的财务风险、运营风险等，设立独立的内审部门等等，这些举措说明风险评估给监督工作提供指引，提高监督机构设置的合理性，从而增强监督活动的效率和效果。

“内部监督是企业对内部控制建立与实施情况进行监控检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。”可以看出，监督是对内部控制活动的再控制，它位于金字塔模型的最顶端，监督是一个不断检查与反馈的过程，其职能不仅仅停留在督导员工贯彻执行控制制度的层面，更为关键的是建立与组织目标相适应的评价标准和考核机制，检查并纠正控制环境、风险评估、控制活动以及信息与沟通过程中的漏洞，将获取的信息反馈给组织，使得组织有机会及时提出修改意见，优化升级企业内部控制活动，从而达到促进内部控制的自我完善的目的。

信息是沟通的对象和内容，沟通是信息传递的手段。信息与沟通是其他四个要素相互联结的纽带，没有了这个要素，其余四个要素都会沦为信息的孤岛，信息沟通不畅使得整个体系没有办法有效运转。在风险评估方面，企业的各个层次、每个员工都需要运用信息来确认、评估和应对风险，以便更好地履行职责并实现公司目标。在控制活动方面，有效的沟通能够及时曝光企业中不合规的行为以及反映内部控制中存在的缺陷，可以让制度的制定者、程序的设计与执行者对内部控制活动及时调整，完善管理。在控制环境方面，员工的诚信、组织架构和人力资源制度等这些构成控制环境的分要素所反馈的信息是优化内部控制环境的前提。监督就是将内部控制过程中产生的信息进行处理并利用的过程，要提高监督的有效性和针对性就离不开信息的有效沟通。由此可见，一个企业能否有序地运转依赖于内部控制每一个环节的信息生产与沟通。

控制活动是内部控制的关键和核心，是其他四个要素意志的集中体现。从形式上看，内部控制活动是内部控制五要素之一，而从本质上看，它是内部控制的外在体现。内部控制框架是一个整体，控制活动在其中扮演着极为重要的角色，它规定具体的控制措施，在其他要素的共同作用下，使得内部控制的控制职能落到实处。

三、建议与总结

通过研究分析要素间的内在逻辑关系，证明了任何一个要素都可能影响其他任何一个要素。要构建健全有效的内部控制，不仅仅是要具备基本的控制要素，更要综合考虑要素之间的联系。同样，在分析组织内部控制失效时，往往不是哪一个要素的不足，而是多要素的同时作用导致，这个时候就需要解剖要素的逻辑黑箱，理清关系，找到影响内部控制效果的各个因素，深度优化组织的内部控制体系。（作者单位：南京审计大学）

参考文献：

[1] 杨有红. 论内部控制环境的主导与环境优化――基于内部控制系统构建与持续优化视角[J]. 会计研究，2013，05：67-72+96.

第5篇：内部控制的风险评估范文

一个良好的内部控制制度，对于企业的长期、快速发展以及风险控制防范有着极其重要的意义。

企业建立与实施有效的内部控制，应当包括下列五个要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。下面就从内部控制的五个要素来分析企业的内控风险防范：

1.内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

海尔公司在内控环境建设方面就做得很好。海尔公司按照现代企业制度，明确了股东会、董事会、监事会以及经理层在决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。在董事会下又设置了战略委员会、审计委员会、提名委员会、薪酬与考核委员会四个专业委员会，除战略委员会外，各专业委员会主任委员全部由独立董事担任。海尔公司的审计部直接通过审计委员会对董事会负责。同时通过弘扬“海尔文化”和实行“个人事业承诺”的人事机制，提高员工素质，强化风险意识。

由此可见，每一个优秀的企业都应拥有足够良好的内部环境；内部环境是其他内部控制因素构建的基础，是推动企业发展的引擎，也是其他一切要素的核心，决定了其他控制要素能否发挥作用，是内部控制其他要素作用的基础。如果没有一个比较好的控制环境，再好的内控制度都将流于形式，一切内控措施都是空谈。

2.风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。

史玉柱和他的“巨人科技大厦”正是巨人集团在风险评估控制方面失败的例子。1994年，史玉柱拟建的“巨人科技大厦”投资预算从2亿元涨到12亿元，由于史玉柱不愿依靠银行信贷的“零负债”经营理念，工程资金完全依靠自有资金以及大厦楼花销售款，这时巨人集团的债务结构已经处于非常不合理的状态。但由于缺乏必要的风险评估及预警机制，史玉柱个人的风险偏好给企业经营带来了重大损失。当面临资金链断裂的风险时，巨人集团没有进行仔细的风险分析，结合企业风险承受能力，确定正确的风险应对策略，反而将生物工程的流动资金抽出，投入巨人大厦的建筑工程，最终导致整个巨人集团资金链断裂。

由此可见，只有充分评估企业可能面临的内部风险和外部风险，确定合理可行的风险应对策略，才能将企业经营风险降到可以控制的最低水平。

3.控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

宝钢集团在销售与收款环节的内部控制程序充分体现了控制活动对企业防范经营风险的重要意义，主要体现在职务分离、业务流程控制、财务结算控制等三个方面。第一方面职务分离：产品销售主要由销售部统一管理，财务结算由财会处负责，内部检查由审计处负责。第二方面业务流程控制：包括销售政策制定控制、客户信用控制、合同签订控制、发货控制。第三方面财务结算控制：通过公司“9672销售收款和发票结算两个子系统”完成，设立资金综合管理、结算管理、会计管理三类岗位，对收款、发票结算、应收账款、应收票据四类业务流程进行全方位的财务控制。宝钢集团通过以上内控措施实现了销售与收款不相容岗位相互分离、制约和监督，并最终促成公司销售目标的实现。

可见控制活动是确保管理阶层的指令得以执行的政策及程序，是实施内部控制将风险控制在可承受范围之内的具体方式，是实现内部控制目标的重要保证。

4.信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

三鹿“毒奶粉”事件的扩大正是因为信息沟通不畅，信息收集传递迟缓造成的恶果。2008年6月份，三鹿集团已发现奶粉中非蛋白氮含量异常，后确定其产品中含有三聚氰胺，可是直到2008年8月2日，三鹿集团才向石家庄市政府做了报告。在2008年6月至8月这几个月中，三鹿集团未向石家庄市政府和有关部门报告，也未采取积极补救措施， 信息与沟通不及时、不全面的最终导致事态进一步扩大，直至触犯法律。如果三鹿集团能根据有关信息反映的风险情况，及时作出正确的风险评估，制定合理的风险应对策略，采取有效的风险控制措施，巨大的经营风险也许就能防范和减轻了。

可见信息与沟通作为内部控制基本要素之一，在内部控制中发挥着不可替代的作用，为内部控制的其他要素提供了信息支撑，并把其他要素有机的联系起来。

5.内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，同时及时加以改进。

中国华源集团有限公司拥有全资和控股子公司11家，以及华源股份、华源发展、华源制药、上海医药和双鹤药业等一批上市公司，曾经是中国最大的医药企业集团和纺织企业集团。可是，由于集团公司财务管理混乱，内部控制薄弱，部分下属子公司受到管理层的驱使，为达到融资和完成考核指标等目的，大量采用虚计收入、少计费用、不良资产巨额挂账等手段蓄意进行会计造假，导致报表虚盈实亏，会计信息严重失真。2005年，由于贷款偿还逾期，华源集团遭遇了上海银行、浦发银行等十几家机构的诉讼，从而全面引发华源集团的信用危机。分析华源集团的失败，其内部监督的缺陷和失效是一个重要原因。

大部分企业在设计内部控制制度时，由于当时认识的局限或者考虑不周等原因，设计出的内部控制不可能完美无缺；在内部控制实际运行过程中，由于实际情况发生变化，或由于员工对内部控制制度理解上的差异，也可能使内部控制不能很好地发挥其应有的作用，导致内部控制实际运行中或多或少地存在着这样或那样的问题。为此需要对内部控制运行情况实施必要的监督检查，发现其不足和问题乃至于缺陷，从而完善内部控制，提高内部控制的有效性。因此，内部监督是保证内部控制体系有效运行和逐步完善的重要措施。

第6篇：内部控制的风险评估范文

关键词:审计风险评估内部审计应用

随着经济全球化的快速发展，企业之间的竞争日趋激烈，因此面临的经营风险不断增加。如何加强企业内部审计风险管理，对审计风险进行客观评估，并采取相应措施尽量避免和有效控制内部审计风险，提高审计质量，已成为当下审计理论研讨的主要课题和内部审计人员必须密切关注的问题。本文从审计风险定义、审计风险评估和风险评估步骤三个方面，结合具体事例探讨了企业内部审计风险规避问题。

■

一、审计风险与评估目的

国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”在内部审计领域，内部审计风险具体表现为内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性，是由客观风险和主观风险两方面要素组成的。

那么，这三者是如何导致审计风险的呢？一是固有风险独立于会计报表审计之外存在的，是审计人员无法改变其实际水平的一种风险。二是被审计单位内部控制未能及时防止或发现其会计报表上某项错报或漏报的可能性必然存在，审计人员无法防范控制风险。三是审计人员通过预定的审计程序未能发现被审计单位会计报表上存在的某项重大错报或漏报的可能性存在，会导致检查风险，但检查风险可以通过审计人员进行控制和管理。

风险管理旨在为组织目标的实现提供合理保证。首先，评估审计风险是为了控制审计风险，保证审计质量。其次，评估审计风险是为了更好的规划审计，提高审计效率。另外，在审计风险评估过程中，审计人员通过调查了解一旦确认被审计单位管理中存在的问题和面临的风险，审计人员可以据此提出有针对性地改进管理的建议，促进被审计单位进一步加强管理，从而增强审计效果。

二、审计风险评估的步骤和方法

(一)确定可以接受的审计风险

可接受审计风险水平的确定，应综合考虑各方面因素：一是报告方面的考虑，如报告主要使用者的需求、标准等；二是经营方面的考虑，如总体经济环境、行业、关键成功因素等；三是规章制度方面的考虑；四是被审计单位财务和资本化状况；五是被审计单位与主要客户、供应商、相关团体之间的独立程度；六是收集审计证据的轻松程度和成本。对于大多数被审计单位来说，除特殊情况外，一般情况下可接受审计风险水平为5%，审计保证系数为3，审计保证程度为95%。

(二)了解被审计单位及其环境，评估固有风险

了解被审计单位及其环境是审计人员对被审计单位经营活动及内部控制中存在的风险进行评估的必要程序，是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。审计人员应当运用职业判断确定需要了解被审计单位及其环境的程度，识别和评估重大错报风险。

1、询问程序

询问被审计单位管理层和内部其他相关人员，可以考虑向管理层和财务负责人询问。除了询问管理层和财务负责人外，还应当考虑询问内部审计人员、采购人员、销售人员、生产人员等人员，并考虑询问不同级别的员工，以获取对识别重大错报风险有用的信息。

2、分析程序

分析程序是指审计人员通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息作出评价。在实施分析程序时，要预期可能存在的合理关系，并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较。如果发现异常或未预期到的关系，应当在识别重大错报风险时考虑这些比较结果。

3、观察和检查

通过此程序，可以印证对管理层和其他相关人员的询问结果，并提供有关被审计单位及其环境的信息。一是观察被审计单位的生产经营活动；二是检查文件、记录和内部控制手册；三是阅读管理层和治理层编制的报告，如年度财务报告、股东大会、董事会、高级管理层会议的会议纪要，管理层的讨论分析材料、经营计划和战略，投资项目的可行分析报告等；四是实地察看被审计单位的生产经营场所和设备；五是追踪交易在财务报告信息系统中的处理过程（穿行测试），确定被审计单位的交易流程和相关控制是否与之前了解的相一致，并确定相关控制是否得到执行。

只要有某种迹象表明可能存在重大错误，就应取固有保证系数为0，固有风险评估为100%；一般情况下，即使在各方面情况较好，出错可能性较小的情况下，固有保证系数至少应取0.7，及固有风险水平为50%。

(三)对被审计单位内部控制进行测评，评估控制风险

1、了解被审计单位内部控制的主要内容

(1)针对被审单位整体，了解控制环境、风险评估和监督要素。一是了解控制环境，因为控制环境的好坏直接影响到特定控制活动的有效性；二是对风险评估要素调查，主要内容是被审计单位如何确定风险、评估风险，如何将风险发生的可能性与管理目标、经营计划和财务报告的相关内容联系起来并采取相应措施；三是对监督要素进行调查，主要内容是被审计单位为监督各项工作的运行而使用的预算、计划、责任报告等制度与方法，内部审计部门的设置和工作情况。

(2)针对被审单位整体和各主要业务领域，了解信息与沟通要素。审计人员调查信息与沟通要素的重点是被审计单位的会计系统，应查明以下事项：被审计单位经营活动的主要业务类型，处理各类经济业务的程序，各项业务的会计处理程序和所依据信息的来源，会计系统的设计和重要的会计凭证、账簿种类以及会计报表项目，各部门间信息的传递方式等。

(3)针对被审单位各主要业务领域，了解控制活动要素。审计人员调查了解控制活动要素的主要包括：被审计单位各项业务处理程序的授权批准，职责分工，实物控制，凭证与记录的实质和运用，独立的检查程序等控制手段的设置情况。

2、调查了解被审计单位内部控制的方法

(1)询问。询问的对象通常包括被审计单位管理部门、监督人员和普通工作人员等不同层次。通过向不同层次的人员实施相互印证式的询问，可以从侧面验证被询问者答复的真实性。

(2)检查。检查被审计单位的各项管理制度和相关文件，并与管理人员和工作人员进行讨论，从而判断他们对文件中的有关规定的解释和理解是否恰当。检查内部控制过程中生成的凭证和记录，一方面审计人员能更好的理解内部控制文件的精神，增加对内部控制各要素的感性认识，另一方面，还可以提供内部控制执行情况的证据。

(3)观察。实地观察被审计单位的业务活动和内部控制的实际运行情况。进一步加深对内部控制设置和执行情况的了解和认识。

(4)穿行测试。证实对交易流程和相关控制的了解。在若干主要业务领域中选择一笔或几笔具有代表性业务和事项进行测试，以验证内部控制的实际设置是否与审计工作底稿上所描述的内部控制相一致。可以将观察、询问以及检查等方法有效结合起来。

3、对内部控制进行初步评价

在识别和了解控制后，根据执行上述程序及获取的审计证据，需要评价控制设计的合理性并确定其是否得到执行。首先是初步评价内部控制的健全性和合理性。其次是对各主要业务和会计领域的控制风险水平作出初步评估。第三是对是否依赖被审计单位的内部控制进行审计做出决策。如果认为内部控制较为健全、合理，通过实施内部控制测试，验证内部控制的有效性，就相应缩小实质性测试的范围，确定实质性测试的程序和重点。如果进行了健全性和合理性评价后认为被审计单位的内部控制不够健全，弱点较多，不能作为实质性测试中抽样检查的基础，那么审计人员就不应对内部控制加以依赖，直接进入实质性测试。

通常进行健全性和合理性评价后，发现被审计单位存在以下问题时，就可决定不依赖其内部控制：一是相关的内部控制风险水平初步评估为高水平，二是对内部控制进行内部控制测试的工作量可能大于进行内部控制测试所能减少的实质性测试的工作量。

(四)在决定依赖内部控制的情况下，对内部控制的执行情况进行测试

1、内部控制测试的分类

内部控制测试是审计人员为了确定被审计单位内部控制的设置执行情况和有效程度而实施的审计程序。只有在审计人员决定依赖内部控制时，才有必要根据所评估的控制风险水平的高低，设计相应的内部控制测试程序。

(1)业务程序测试。即审计人员选择若干笔具体的典型业务，沿业务处理过程检查业务处理程序超过规定的控制点是否得到执行，以判断控制措施的遵循情况。

(2)功能测试。即审计人员针对业务处理程序中的关键控制点，选择若干时期的同类经济业务进行测试，检查其是否真正发挥作用，效果如何。

2、内部控制测试的方法

(1)询问。即审计人员在内部控制测试和评价中，为了了解被审计单位各项业务操作是否符合控制要求，而向有关人员询问某些业务执行情况的方法。

(2)观察。即审计人员在内部控制测试中，身临被审计单位的工作现场，实地察看有关人员的工作情况，以确定规定的控制措施是否得到了严格执行的方法。

(3)检查。即审计人员在内部控制测试中，抽取一定数量的账表、凭证等数据文档和其它有关资料文件，检查其是否存在控制措施线索，以判断内部控制是否得到有效贯彻执行的方法。

(4)重做。即审计人员在内部控制测试中，将某项交易业务按照被审计单位规定的程序全部或部分重做一次，以验证既定的控制措施是否被贯彻执行。

(五)根据测试结果对内部控制进行再评价

审计准备阶段，审计人员已通过调查了解，对内部控制的可依赖性和控制风险水平、控制保证系数作了初步评价，并在此基础上执行了审计方案。经过了内部控制测试后，审计人员对被审计单位内部控制的实际运行情况和控制效果有了更深入的了解，可能发现内部控制的实际运行情况和原先了解得不一致，这时就需要根据内控测试的结果对内部控制进行再评价，重新调整控制风险水平和控制保证系数，据以确定是否需要调整审计方案。首先，评价内部控制测试获得的证据，然后是评价控制风险。如果出现下列情况之一，该审计人员应将控制风险确定为高水平：一是被审计单位的内部控制薄弱，二是审计人员无法对内部控制的有效性作出评价，三是审计人员不准备进行内部控制测试。

(六)按照审计风险模型确定检查风险，并据此确定实质性测试的范围和重点

审计人员通过对被审计单位内部控制实施调查了解，评价固有风险，然后通过内部控制测试，对被审计单位控制风险作出评价。根据该评价结果，审计人员合理运用专业判断，考虑相关影响因素，按照审计风险模型（审计风险=固有风险×控制风险×检查风险）推导出检查风险（检查风险=审计风险/（固有风险*控制风险））。根据确定的检查风险水平，合理设计对各交易类别和帐户余额的实质性测试。

具体来说，如果审计人员评价被审计单位内部控制风险较低，那么审计人员可以重点进行符合性测试，执行有限的实质性测试，就可以确保审计风险处于可接受水平。相反，如果内部控制风险较高，那么审计人员只有依靠执行更多的实质性测试，才能确保审计风险保持在可接受水平。

结束语

综上所述，审计风险是客观存在的，审计风险评估必然始终贯穿整个审计过程。审计人员只有始终保持风险意识，充分应用风险评估程序，合理确定审计风险水平，才能提高审计工作质量，有效规避审计风险。

参考文献：

[1]中国注册会计师协会.《独立审计具体准则第9号――内部控制与审计风险》，1996年12

[2]中国内部审计协会.《内部审计具体准则第16号―――风险管理审计》，2005年5月

第7篇：内部控制的风险评估范文

关键词：内部控制 监督要素 风险导向

内部控制是对影响企业目标实现的各种风险因素进行分析和控制，从而帮助实现企业目标的过程。内部控制不是单纯的制度安排，而是由目标、要素、结构三个层面构成的完整框架。目标层面包括战略目标、经营目标、合规性目标和报告目标，我国《企业内部控制基本规范》还单独设定了资产安全目标；要素层面包括内部环境、控制活动、风险评估、信息与沟通、内部监督五要素。内部监督是企业对内部控制设计和运行情况进行监督检查，对其健全性和有效性进行评估，发现和认定内部控制缺陷，并及时加以改进和完善的过程。目前，我国企业内部监督机制的建设情况不容乐观。普遍存在着内部审计职能残缺、内部审计独立性得不到保证、检查监督制度流于形式、监督信息缺乏有效的沟通反馈机制等问题。

一、内部监督流程（一） 建立监督基础

一是高层基调。高层基调对于内部控制的有效性有直接影响，董事、监事的言论基调会影响管理层执行监督和对监督的反应方式，同样管理层的言行举止也会影响员工行为。企业高层应以身作则，诚实守信，倍尽职守，依据规程和制度实施管理，尊重和支持内部监督机构的工作，积极沟通和反馈监督结果。二是监督机构。监督职能依赖监督机构和监督人员来实施，因此，监督机构设置和监督人员配备是影响内部监督有效性的重要因素。监督机构的独立性、监督检查人员的专业胜任能力及职业操守、监督机构及人员被适当授权等是形成有效监督的重要基础。三是理解和把握内部控制有效性的依据和标准。有效性是指内部控制对实现控制目标的合理保证程度。有效性应从内部控制的设计和运行两个方面进行评价，评价的内容应涉及内部控制整体框架。评价应结合内部控制目标进行综合评价，存在一个或多个重大缺陷的内部控制，应认定内部控制无效。企业上下应通过宣传、培训等手段明确内部控制有效性的判断标准，在整个企业内部统一该标准，这是进行有效监督的方向和基准。

（二） 设计和执行监督程序

一是风险排序。风险是影响目标实现的不确定性，是不确定事件发生的概率及其影响结果的组合。风险影响可以是正面的或负面的或两者兼有，并表明目标可以有不同方面。企业应从整体层面、业务单元、分支机构及子公司四个方面系统梳理各业务、各活动、各环节的风险点，进行风险识别、分析和排序，这是风险评估要素的重要内容。二是识别关键控制点。风险点是影响目标实现的不确定性，如员工道德风险、员工能力胜任风险等；控制点是针对风险点设置的控制环节，如招聘、培训、考核等；控制活动是针对风险点在控制点采取的控制措施。企业应依据风险评估结果确定关键控制点，这是建立控制活动的重点。三是获取有说服力的信息。针对关键控制点，监督者应努力获取有说服力的信息来支持自己的监督结论。有说服力的信息是适当且充分的，适当要求信息具有相关性、可靠性和及时性。识别有说服力的信息有助于确定使用哪些监督程序及频率。（三） 评估和报告监督结果

一是监督结果排序。按缺陷的严重程度，内部控制缺陷可分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是指可能导致企业严重偏离控制目标的一个或多个控制缺陷的组合。重要缺陷是指一个或多个控制缺陷的组合，严重程度和经济后果低于重大缺陷，但仍有可能导致控制目标的偏离。一般缺陷就是除重大缺陷、重要缺陷之外的其他缺陷。企业应根据自身实际情况制定缺陷的定量和定性确认标准。二是报告监督结果。发现内部控制缺陷应及时报告给执行该流程和相关控制的人，并向比这些人更高级别的管理层报告，以便及时采取纠正措施。监督者应编制内部控制缺陷认定汇总表，对内部控制缺陷及其成因、表现形式和整改方案等进行综合分析和全面复核，并以书面形式向有关方面报告。内部控制缺陷应按严重程度的不同确定报告层级，重大缺陷应与审计委员会、最高管理层和董事会沟通，涉及董事和高管的缺陷应与监事会沟通。三是后续追踪。针对监督中发现的问题，董事会、管理层及相关人员应分析缺陷原因，及时采取措施纠正，监督人员应及时追踪缺陷纠正情况。

（四） 形成内部控制有效性的结论

无论是单独评估还是持续监督，都需要对内部控制的有效性给出结论。在实施完成以上三个步骤后，企业应根据监督结果排序、报告和纠正情况，对内部控制设计和运行的有效性进行全面评价，形成内部控制有效性的结论，并出具监督评价报告。

二、风险导向的内部监督模式的建立（一） 明确风险归属

企业生产和经营活动的每一环节随时充满各种风险。风险的类别很多，有不同的分类标准。从企业管理目标看，有战略风险、合规风险、报告风险、经营的效率效果风险、资产安全性风险等；从风险发生的层级看，有战略风险、经营风险和操作风险；从风险性质看，有市场风险、法律风险、政策风险、经营风险、人员风险、信用风险、流动性风险等；从风险后果看，有纯粹风险和机会风险；按风险是否可被分散，可分为系统风险和非系统风险；从风险来源看，有内部风险和外部风险等。风险不仅存在于业务层面，而且伴随着企业活动的全过程，普遍存在于预测、决策、执行和监督等活动中，可以说企业生产经营和日常管理的每一环节都充满各种风险。风险可能形成实际结果与预期目标的差异，企业实施内部控制和风险管理首先需要明确风险归属。企业应通过书面授权文件清晰地定义风险归属，合理划分决策机构、执行机构和监督机构的职责权限，明确治理层（股东大会、董事会、监事会、总经理等）和内部机构层面（业务单元和职能部门）的风险管理职责。治理层通常要对战略风险（包括战略决策风险和战略实施风险）负责，对经营、投资和财务活动中的重大风险负责，对重要的人事任免风险负责。董事会负责设计、实施并维护有效的风险管理机制，；管理层和职能部门主要对经营和管理风险负责，并协助业务部门控制业务活动层面的风险；业务部门主要对业务层面的风险管理负责，重点关注业务流程风险；普通员工应结合岗位职责，对岗位操作风险负责。

（二） 将风险评估结果与内部监督相联系

风险评估是识别、分析和评价影响企业目标实现的各种不确定因素并采取应对措施的过程。风险评估是企业内部控制的重要构成要素，是企业实施控制活动的主要依据。实施风险评估进而管理风险是建立控制活动的重点，风险评估过程主要包括目标设定、风险识别、风险分析和风险应对。企业应结合业务流程、风险因素、风险承受度和重要性水平等，对可能存在的各类风险进行系统梳理、分析和评估，列示风险清单，建立风险数据库，为持续开展和不断改进控制活动及内部监督提供依据。风险评估过程是一个持续和反复的过程。企业应结合不同发展阶段和业务发展情况，持续收集与风险变化相关的信息，定期或不定期地开展风险评估，适时更新、维护风险数据库。风险会随着时间推移而发生变化，监督者对风险重要性水平的判断应是一个持续的动态过程。相应地，内部监督的侧重点也可能随着时间的推移而有所不同。风险重要性水平的持续判断对于提高内部监督的效果具有重要意义。

（三） 控制内部监督流程各环节的自身风险

如前文所述，内部监督有特定的流程，每一环节的实施都有很多的不确定性，因此，实施内部监督本身也面临诸多风险，例如，监督机构的独立性风险、监督者的业务胜任能力风险和职业操守风险、监督结果报告风险等。为提高内部监督的效率效果，企业应加强内部监督各环节的风险控制和管理，全面系统地梳理和识别内部监督各环节的主要风险点，分析风险形成原因，评估其发生概率以及会产生哪些不利影响。针对内部监督流程各环节的主要风险点分别设置相应的关键控制点，采取风险管控措施，建立内部监督制度，这实际上是对内部监督流程的一种再控制、再监督。

参考文献：

第8篇：内部控制的风险评估范文

关键词：风险导向审计；全面风险管理；内部审计准则

中图分类号：F239.2 文献标识码：A 文章编号：1001—6260（2012）04—0149—07

中国内部审计协会一直致力于建立一套以内部控制和风险管理为导向的内部审计准则体系。但是，由于内部控制与风险管理之间的关系还没有理顺，这直接导致风险导向审计中的风险定位问题存在较大争议。正因为如此，中国内部审计准则中与内部控制和风险管理相关的各审计准则之间的关系也有待进一步明确，譬如：第5号准则《内部控制审计》与第16号准则《风险管理审计》之间是何关系；第12号《遵循性审计》、第21号《内部审计的控制自我评估法》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》等准则之间及其与第5号、第16号准则之间是何关系。在实务中，内部审计人员也产生了一些困惑：内部控制审计和风险管理审计究竟有何不同？风险导向审计与全面风险管理之间是何关系？因此，有必要在中国内部审计协会修订内部审计准则之际，对这些问题进行探讨①。

一、内部控制与风险管理之间的关系

在2003年6月实施的第5号准则《内部控制审计》中，中国内部审计协会提出，内部控制涵盖风险管理，风险管理是内部控制的五要素之一，并专门制订了《风险管理审计》准则。EOSO（2004）认为风险管理涵盖内部控制，其表述是：“内部控制是企业风险管理不可分割的一部分。”谢志华（2007）认为风险管理与内部控制虽表述不同，但涵义相同。

那么，二者之间究竟是何关系？问题的关键在于认清内部控制的本质。COSO（1992）指出：“内部控制是一个由企业董事会、管理层和其他员工实施的，为经营的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程。”这种将内部控制理解为“一个过程”的做法被2008年5月中国财政部、证监会、审计署、银监会、保监会等五部委（下称“五部委”）的《企业内部控制基本规范》（下称《基本规范》）所采用。但是，“一个过程”的提法只是说明了一个事实，即内部控制是与企业的经营管理活动交织在一起而发挥作用的过程，它并没有给内部控制定性。COSO（1992）对“一个过程”有如下解释：“组织中各单位或各职能部门内部或跨单位或职能部门所实施的经营过程，都是通过计划、执行和监控等基本的管理过程来加以管理的。内部控制是这些过程的一部分，并与它们整合在一起。内部控制能让这些管理过程发挥作用，并对其实施和持续的关联性进行监控。内部控制是一个管理工具，而不是管理的替代品。”从中可以看出，COSO是结合管理过程来论述内部控制过程的，它认为内部控制是管理过程的一部分，是其中履行监控职能的管理工具。

那么，如何理解作为管理工具的内部控制呢？我们需要从管理的职能谈起。法约尔（1982）认为，管理有计划、组织、指挥、协调和控制等五大职能，他指出：“在一个企业里，控制就是要证实一下是否各项工作都与已定计划相吻合，是否与下达的指示及已定原则相吻合。控制的目的在于指出工作中的缺点和错误，以便加以纠正并避免重犯。”美国著名管理学家Robbins（1994）在法约尔五职能说的基础上提出了管理四职能说，即：计划、组织、领导、控制等职能。他认为，控制职能是指监控计划执行、比较分析偏差、纠正错误，确保计划顺利实施。可以看出，COSO对内部控制的解释与管理学中对“控制”的解释并无不同，都指出要保证计划的实施，都提及要对偏差进行监控。这样看来，COSO所讲的内部控制就是管理学中的“控制”。

法约尔（1982）在论述“控制”职能时，就使用了“内部控制”的提法，他说：“这里，我只讨论管理问题，所以就不谈两个企业之间的控制问题了……我着重谈一下企业内部控制，这种控制的目的是专门为了有助于各部门的工作的顺利进行，而总的来讲也有助于企业运营的顺利进行”（法约尔，1982）。可见，法约尔认为在一个企业内部讨论管理中的控制问题，可以用“内部控制”的提法。

以上分析足以证明内部控制就是控制。应该说，我们之所以称“控制”为“内部控制”是相对于外部监管而言的，强调的是企业自身应该重视对其经营管理活动的有效监控。以COSO为代表所开展的内部控制研究丰富和发展了“控制”理论，使我们更深入地了解“控制”在管理过程中发挥作用的方式和内在机理。但内部控制并不是一个独立于“控制”之外的，或与“控制”并列的一个新事物，它就是“控制”。因此，内部控制的本质就是管理职能中的控制职能。

既然内部控制只是一项管理职能，那么只要是管理活动，它就应该涵盖内部控制，因此，COSO（2004）认为风险管理涵盖内部控制是有道理的。自然，内部控制就不可能涵盖风险管理。在中国的《内部控制审计》准则中，将风险管理作为内部控制的一个要素值得商榷。COSO（1992）和中国《基本规范》认为内部控制由五要素构成，即控制环境（内部环境）、风险评估、控制活动、信息与沟通和监控。其中，都用到“风险评估”的提法。而COSO（2004）认为，内部控制由八要素构成，将风险评估要素细化为“目标设定”、“事项识别”、“风险评估”和“风险应对”等四个要素。但是，无论是五要素观还是八要素观，都没有使用“风险管理”的提法。COSO（2004）的标题就是《企业风险管理——整合框架》，其认为，在内部控制的要素中用“风险管理”的提法容易产生歧义，不如用“风险评估”好。

内部控制职能论也可以解释谢志华（2007）关于内部控制与风险管理涵义相同的观点。企业是一个风险组织，不冒风险的企业是不存在的。企业为达成自身目标，要采取有效措施防范和化解其所面临的各类风险。因此，可以认为，企业管理就是风险管理，或是“全面风险管理”。企业在“全面风险管理”之中，要综合运用计划、组织、领导和控制职能。如果侧重于强调控制职能在“全面风险管理”中的重要性，则可以将企业管理称之为“内部控制”。这样看来，内部控制和风险管理是同义语。用内部控制，是从管理职能上来讲的，侧重于强调控制职能的发挥；讲风险管理则是从控制的对象上来讲的，侧重于强调风险控制的重要性。通俗来讲，内部控制，控制的是风险，风险管理，管理的也是风险，二者涵义相同。

二、风险导向审计中的“风险”定位

在风险导向审计方法引入中国后，理论界围绕风险导向审计中的风险定位问题进行了讨论：陈毓圭（2004）认为是经营控制风险（含企业的经营战略及其业务流程）；谢荣等（2004）认为是企业战略风险及相关经营环节风险（统称经营风险）；王泽霞（2004）认为是管理舞弊风险；许莉（2005）认为是指被审计单位的“重大错报风险”；赵德武等（2006）认为是治理系统风险（含公司治理和内部控制）。评述这些观点的立场有三个：一是将企业管理等同于风险管理；二是将内部控制等同于风险管理；三是要区分风险评估的对象和结果。风险导向审计中“风险”定位之争的焦点是审计人员在评估审计风险时，所评估的对象究竟应该是什么。至于评估审计风险后，得出评估对象“重大错报风险”的情况如何则是评估的结果，不能将“对象”与“结果”混淆。基于上述立场，可以将理论界对风险的不同定位统一于“企业全面风险”之中。具体分析如下：

1.经营风险就是企业全面风险

陈毓圭（2004）和谢荣等（2004）所述的经营控制风险和经营风险，实质上就是企业全面风险。他们将风险评估的对象定位为“企业的经营战略及其业务流程”和“企业战略风险及相关经营环节”。从中可以看出，都涵盖了企业战略层面和经营层面的风险，这就是“企业全面风险”。但是，用“经营风险”的提法容易产生歧义，以为仅指企业经营层面的风险，而不包括战略层面的风险，不如用“企业全面风险”好。并且，用“企业全面风险”还可以与“企业全面风险管理”直接对接。这在国资委《中央企业全面风险管理指引》、国际标准化组织《ISO 31000风险管理——原则与指南》、中国标准化委员会国家标准《GB/T 24353—200险管理——原则与实施指南》的背景下，显得更为必要。企业要实施“全面风险管理”，相应地，审计人员风险评估的对象就应该是“企业全面风险”，从而使得审计部门和审计人员在“企业全面风险管理”中发挥应有的作用。

2.管理舞弊风险是企业全面风险的一部分

王泽霞（2004）将风险评估的对象定位为管理舞弊风险。这一观点主要针对管理层财务报表舞弊提出，试图通过重点评估管理舞弊风险来降低审计风险，这一做法只能算是权宜之计。试想，如果迫于法律和监管的压力，管理层不敢进行财务报表舞弊了，那么，管理舞弊导向审计也就没有存在的理由了。从内部审计的角度看，审计的目标不仅仅是“防弊”的问题，而是“防弊、兴利、增值”三大目标。显然，王泽霞（2004）对风险评估的对象界定过窄。按照五部委（2008）《基本规范》中的规定，企业全面风险应该包括：战略风险、合规风险、资产安全风险、财务报告风险、经营风险等。按大类就是两类，即战略层面的风险和经营层面的风险。管理舞弊风险只是合规风险中的一个方面。将风险评估的对象定位为管理舞弊风险只能算是一种审计策略，只是注册会计师在管理层舞弊比较严重的情况下，在审计实务中运用的一种审计方法，不宜将其作为风险导向审计中的“风险”定位。

3.重大错报风险的提法混淆了风险评估的对象和结果

许莉（2005）认为，风险导向审计中的风险，无论是所谓传统的还是现代的，都是指被审计单位可能带来审计风险的风险，在现代风险导向审计中就是指被审计单位的“重大错报风险”。这一提法混淆了风险评估的对象和结果。是否存在重大错报风险是审计人员通过风险评估后进行职业判断的结果。将一个职业判断的结果作为风险导向审计“风险”的定位显然不妥。现代风险导向审计与传统风险导向审计的区分并不在于审计风险模型用“审计风险=重大错报风险×检查风险”取代了“审计风险=固有风险×控制风险×检查风险”，而是强调了“自上而下”和“风险导向”的原则，强调既要有“森林”也要有“树木”。不能就报表而审计报表，要站在企业全面风险管理的视角来看报表。作为风险评估的结果，“重大错报风险”的提法可以运用于注册会计师财务报表审计中。但是站在内部审计的视角，就不仅仅是错报的风险问题，而是企业全面风险的问题。在第17号准则《重要性与审计风险》第十七条中就有规定：“审计风险包括两方面内容：一是重大差异或缺陷风险。是指被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性；——是检查风险。是指审计人员未能通过审计测试发现重大差异或缺陷的可能性。”这里的“重大差异和缺陷风险”可以对应于注册会计师审计风险中的“重大错报风险”，它也是内部审计人员风险评估后的结果。虽然内、外部审计在风险评估的结果上用词不同，但是风险评估的对象都是“企业全面风险”。基于此，建议将第17号准则中的“重大差异或缺陷风险。是指被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性”表述改为“重大差异或缺陷风险。是指被审计单位全面风险管理中存在重大差异或缺陷的可能性”。

4.治理系统风险就是企业全面风险

赵德武等（2006）认为是治理系统风险（含公司治理和内部控制），并指出公司治理是针对企业高层管理人员，而内部控制针对的是企业中低层人员。根据内部控制职能论，公司治理也需要运用控制职能，不可能只是对企业中低层人员的管理才需要内部控制，只要是管理就需要控制。撇开此点不论，赵德武等（2006）的治理系统风险也涵盖了企业全面风险，企业全员参与并受控。一般而言，公司治理主要涉及公司高层管理，那么，可以认为企业管理涵盖公司治理。但事实上，企业管理与公司治理的边界并不清晰，在早期企业中，或者在现代小企业中，一般就叫企业管理，而很少称之为公司治理。只是自1932年伯利和米恩斯发表《现代公司与私有财产》提出“所有权和控制权分离”的命题以来，理论界才逐渐有了公司治理之说，公司治理才逐渐从企业管理中分离出来。但是公司治理从本质上讲仍是企业管理，管理的职能仍然适用于公司治理之中。如果把公司治理泛化，使其包括中低层人员参与的日常管理，则公司治理可以等同于企业管理。赵德武等（2006）采取的正是这一做法，而企业管理就是风险管理。因此，治理系统风险就是企业全面风险。

基于以上认识，风险导向审计中的风险应该定位为“企业全面风险”。相应地，就内部审计而言，风险导向审计是指内部审计部门和人员为有效履行其在风险管理中的职责，基于对企业全面风险的评估，针对重大差异或缺陷风险，制订和实施的一整套审计方法。

三、风险导向审计与全面风险管理的关系

1999年6月，国际内部审计师协会理事会批准了关于内部审计的新定义：“内部审计是一种独立、客观的保证与咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，来评价和改善风险管理、控制及治理过程的效果，帮助组织实现其目标。”与此同时，《国际内部审计专业实务框架》（IPPF），并于2001年正式实施。新的框架在内容上全面体现了风险导向审计的思想，内部审计进入风险导向审计阶段。2004年9月，COSO《企业风险管理——整合框架》，将其1992年、1994年修订的内部控制框架发展为企业风险管理框架，强调了全面风险管理的重要性。国际内部审计师协会立即做出反应，于当月29日，以立场公告（Position Statement）的形式《内部审计在全面风险管理中的作用》报告，明确指出：内部审计在企业风险管理中的核心作用在于，客观地保证董事会在企业风险管理活动的作用得以有效发挥，为保证关键经营风险被恰当地为管理提供帮助，并保证内部控制系统有效运行。具体包括：为企业风险管理过程提供保证；为正确识别风险提供保证；评估风险管理过程；评估关键风险报告和评价关键风险的管理。

中国内部审计协会从2005年底以来，力推内部审计从“以真实性、合规性为导向的财务审计为主”向“以财务审计与内部控制和风险管理为导向的管理审计并重”的方向全面转型。内部审计应在企业风险管理中发挥作用，为企业提供增值服务，这已日益成为中国内部审计理论界和实务界的共识。

那么，内部审计该如何有效发挥其在企业全面风险管理中的作用呢？如前所述，风险导向审计中的风险应该被定位为“企业全面风险”，这就为内部审计发挥其应有作用找到了切人点，也为风险导向审计与全面风险管理之间的联系建立了内在基础。风险导向审计与全面风险管理存在的联系和区别表现为：

1.二者之间的联系

企业全面风险管理的对象是企业全面风险，而风险导向审计中所评估的风险就是企业全面风险。企业推行全面风险管理是基础，而风险导向审计是保障。风险导向审计通过对企业全面风险的评估，提出进一步改进措施，为全面风险管理的有效实施出谋划策。同时，内部审计部门也可以通过对企业全面风险的评估合理分配审计资源，将审计的重点放在风险较大的领域，从而更好地提供增值服务。

2.二者之间的区别

（1）实施主体不同。全面风险管理是在企业董事会的战略决策和领导下，为实现企业战略和经营目标，由企业管理层组织实施、全员参与的经营管理工作。风险导向审计是在企业董事会的领导下，由内部审计部门组织实施的对企业全面风险管理工作的有效性进行监控的工作。

（2）内涵不同。全面风险管理是一个管理过程，而风险导向审计是一套审计方法。

（3）风险导向审计既以全面风险管理为基础，又具有相对独立性。风险导向审计中的风险评估对象是企业的全面风险。企业管理越规范，开展全面风险管理的水平越高，相应地，内部审计部门开展风险导向审计的基础也越好，对风险的评估会更为准确，审计工作更为有效。但是这并不意味着企业不开展全面风险管理，内部审计部门就无法开展风险导向审计工作。企业管理就是风险管理。因此，无论企业是否推行命名为“全面风险管理”的管理举措，事实上都是在进行风险管理，只不过推行“全面风险管理”会使得企业管理工作更加规范，更能全面识别和防范企业面临的各类风险。风险导向审计作为一种审计方法，不依赖企业是否推行全面风险管理制度而独立存在，这一方法的优点主要有：一是有利于合理配置审计资源；二是能为企业提供增值服务。当然，归根结底是第二点，因为只有通过风险评估找到“重大差异或缺陷风险”，才能合理配置审计资源，才能指出企业风险管理中存在的问题，并提出改进建议，从而为企业提供增值服务。内部审计提供增值服务的对象是企业的管理层，提供增值服务的水平如何体现的是内部审计人员的专业胜任能力。如果企业风险管理水平较差，内部审计人员将会很容易指出企业管理中存在的问题，从而实现自身价值；反之，则对内部审计人员提出了挑战，很有可能难以提出有建设性的意见。这就说明，风险导向审计方法运用的关键在于内部审计人员对企业全面风险管理的认识，而不在于企业推行全面风险管理的实际情况如何。每一个内部审计人员都应该形成一个对所在企业规范的全面风险管理的总体把握，这是开展风险评估的基准线。在此线之下的，就存在差异和缺陷，需要改进。当然，这条线如何定，体现了内部审计人员的专业胜任能力，因此，风险导向审计方法的实施给内部审计人员带来了挑战，其必须具有全面评估企业风险管理状况的水平。这样看来，风险导向审计方法中，内部审计人员对企业风险进行评估时，企业风险管理的标准自存在于内部审计人员心中，并随着企业规模的扩大和业务范围的拓展而改变；其标准只能比企业现行的全面风险管理水平更高，至少不能低，这样才能提供增值服务。因此，风险导向审计具有相对独立性。

（4）二者对风险的评估结果不完全相同。如表1所示，二者对风险的评估结果有四种组合。二者都评价为高，说明这是一个高风险的领域，管理部门和审计部门均认为需要投入更多的资源进行管理和审计。二者都评价为低，说明这是一个低风险的领域，管理部门和审计部门均认为不需要投入更多的资源进行管理和审计。在呈现高低组合的情况下，若风险导向审计评价为高，全面风险管理评价为低，有两种可能：一种是管理人员水平低，应该识别的重大风险没有识别出来；另一种是审计人员水平低，本无风险却认为有重大风险。若风险导向审计评价为低，全面风险管理评价为高，则一种解释与前同；另一种解释是，确实是高风险的领域，但通过管理部门的风险管理，风险降低了，审计人员认为风险管理有效，将其评价为低风险的领域。

风险导向审计与全面风险管理之间错综复杂的关系，使得人们产生了理解上的歧义，有必要对此加以分析。上述研究结论为进一步提出风险管理相关内部审计准则的修订建议打下了坚实的基础。

四、风险管理相关内部审计准则的修订建议

由于现行内部审计准则是以内部控制和风险管理为导向的，所以整个准则体系，从《内部审计基本准则》到《内部审计具体准则》和《内部审计实务公告》，都与风险管理相关。但是，限于篇幅，本文仅探讨其中与风险管理直接相关的几个具体准则，包括：第5号《内部控制审计》、第12号《遵循性审计》、第16号《风险管理审计》、第21号《内部审计的控制自我评估法》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》等准则。

这些准则可以分为两个层次：一是总体层，包括第5号《内部控制审计》、第16号《风险管理审计》和第21号《内部审计的控制自我评估法》；二是具体层，包括第12号《遵循性审计》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》。

1.总体层次风险管理内部审计准则修订的建议

首先，第5号《内部控制审计》和第16号《风险管理审计》这两个准则可以合二为一，因为内部控制与风险管理涵义相同，所以不需要分别制订两个准则，可以用一个准则来涵盖这两个准则所包括的内容。也可以考虑为新修订的《内部控制审计》准则制订一个《风险评估》实务公告，将现行《风险管理审计》准则中的内容涵盖在内。

其次，第21号《内部审计的控制自我评估法》与新修订的《内部控制审计》准则之间的关系要理顺。《萨班斯法案》颁布以后，美国上市公司管理层内部控制自我评估和会计师事务所的内部控制审计成为法定要求。依《萨班斯法案》成立的美国上市公司会计监管委员会（PCAOB）先后制订了第2号和第5号审计准则来规范会计师事务所对内部控制的审计。2007年6月的取代第2号审计准则的第5号审计准则命名为《与财务报表审计相结合的财务报告内部控制审计》。同年，美国证交会（SEC）《管理层财务报告内部控制指引》，对上市公司管理层内部控制自我评估进行规范。中国财政部等五部委为加强内部控制监管，也于2010年4月了《企业内部控制配套指引》（含《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》）。

PCAOB第5号审计准则和中国五部委《企业内部控制审计指引》，都是内部控制审计准则，是站在注册会计师审计的立场做出的规范。而SEC《管理层财务报告内部控制指引》则是对管理层内部控制自我评估的规范。与之对应的是中国五部委的《企业内部控制评价指引》，这一指引的正是为了规范审计部门开展内部控制自我评估工作。那么，在中国监管当局已经内部控制相关规范的背景下，第5号准则《内部控制审计》该如何修订？第21号准则《内部审计的控制自我评估法》该如何定位？

在中国五部委《企业内部控制配套指引》后，按要求必须执行的公司，其审计部门每年都要对内部控制进行自我评估，其董事会要据此出具内部控制自我评估报告。内部审计部门进行自我评估的标准就是《企业内部控制评价指引》。因此，中国内部审计协会对第5号准则《内部控制审计》修订时，有必要吸收和借鉴《企业内部控制评价指引》的规定，以便于内部审计人员同时遵循这两个规范的要求。而第21号准则《内部审计的控制自我评估法》则是规范企业内部管理人员进行内部控制自我评估的准则。评估的主体是企业内部管理人员，内部审计部门主要扮演组织者和咨询专家的角色，所以在标题中不宜突出内部审计的作用。建议将题目改为《内部控制的自我评估》，以示与《内部控制审计》准则相区别。同时，在行文中，要避免出现内部控制审计的说法。若有，相关条文也应该直接与《内部控制审计》准则衔接，不宜再行做出规定。

2.具体层次风险管理内部审计准则修订的建议

具体层次风险管理内部审计准则修订主要是要理顺它们与新修订的《内部控制审计》准则之间的层次关系。从层次关系来看，它们与新修订的《内部控制审计》准则之间是主从关系，《内部控制审计》准则居于主导地位，具体层次风险管理审计准则居于从属地位，其相关规定不能逾越《内部控制审计》准则。同时要明确，第12号《遵循性审计》准则是为了防范企业全面风险管理中的合规风险；第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》准则是为了防范企业全面风险管理中的经营风险。也就是说，“3E”审计并非游离于《内部控制审计》准则之外，它是《内部控制审计》准则的延伸，是对《内部控制审计》准则中为防范经营的效率与效果风险和合规风险而开展的相关审计工作的具体规范。审计人员在年度内部控制自我评估时，应该运用具体层次风险管理审计准则的要求，全面评估企业风险管理中存在的问题。而在日常审计工作中，则可以就某一部门、某一业务、某一流程、某一项目分别运用《遵循性审计》、《经济性审计》、《效果性审计》和《效率性审计》等准则进行专项审计。

这样看来，新修订的总体层次的风险管理内部审计准则有两个，即《内部控制审计》和《内部控制的自我评估》；具体层次的准则有四个，分别是《经济性审计》、《效率性审计》、《效果性审计》和《遵循性审计》。同时，建议从总体层次到具体层次连续编号，或借鉴中国注册会计师审计准则的编号方式进行分类分层编号。此外，还可以制订几个相关的实务公告，如《风险评估》、《内部控制的自我评估》等。

参考文献：

伯利，米恩斯.2005.现代公司与私有财产[M].甘华鸣，罗锐韧，蔡如海，等，译.北京：商务印书馆.

财政部，证监会，审计署，银监会，保监会.2008.企业内部控制基本规范[S].

陈毓圭.2004.对风险导向审计方法的由来及其发展的认识[J].会计研究（2）：58—63.

法约尔.1982.工业管理与一般管理[M].周安华，林宗锦，展学仲，等，译.北京：中国社会科学出版社.

刘玉廷.2010.全面提升企业经营管理水平的重要举措：《企业内部控制配套指引》解读[J].会计研究（5）：3—16.

王泽霞.2005.论风险导向审计发展创新：管理舞弊导向审计[J].会计研究（12）：49—54.

谢荣，吴建友.2004.现代风险导向审计理论研究与实务发展[J].会计研究（4）：47—51.

谢志华.2007.内部控制、公司治理、风险管理：关系与整合[J].会计研究（10）：37—45.

第9篇：内部控制的风险评估范文

一、我国商业银行在内部控制理论上存在的问题

（一）我国商业银行在内部控制上的概念界定

根据银监会、财政部、证监会、审计署以及保监会的联合部署了关于企业内部控制的基本规范，制定出关于内部控制的概念，所谓内部控制指的是企业的董事会、经理层、监事会以及员工为了企业的战略目标，为保障企业的合法经营，保护企业的资产安全，保证企业相关财务信息的完整和真实，借以提高企业的整体经营效率，完成企业的整体发展目标的一个过程。定义中显示，我国商业银行的内部控制体系建设要依靠全体员工的共同努力，要能够充分贯穿在风险发生的各个环节。

（二）我国商业银行在内部控制体系建设中存在的具体问题

我国的商业银行虽然在现阶段其内部控制管理上已经稍见成效，但是由于对内部控制问题依然存在着不够重视的问题，所有实践经验以及理论研究都显得不足，致使由于内部控制问题产生的商业银行案件经常发生，说明，内部控制体系建设的各个环节中的依然存在着很多不足。

1、内部控制体系建设过程中文化建设缺失

由于金融业呈现出的竞争态势，很多商业银行在追逐经济效益提高自身业绩的基础上，忽略了对于整个银行内部控制的重要性，没能提高认识，增加了解，更没有建立起良好的内部控制文化，导致商业银行内部员工的思想道德以及价值观方面都没有树立起应有的责任感，由于进行业务办理的时候缺乏严格的制度执行，因此，产生了很多问题。

2、风险评估手段的落后

现阶段，我国的商业银行内部缺少风险评估人才，对于风险评估的方法和技术都较为落后，主要依靠定义性的分析作为风险评估的具体手段，由于定量风险评估依然停留在报表数据分析这个初级阶段，所以，对于复杂的风险，没有准确预估的能力。

3、监督管理手段上的落后以及监督管理力度上的不足

由于我国商业银行在内部控制体系建设上监管手段相对落后，主要依靠账项作为审计的基础，在监督和管理方面缺乏对计算机等先进技术的应用，致使监督管理的效率很低，不能跟上商业银行业务发展的步伐。

二、我国商业银行内部控制体系建设的建议

（一）我国商业银行内部控制体系的建设首先要从文化建设抓起

第一，我国的商业银行需要吸收以及借鉴国际上先进国家商业银行在内部文化建设方面的成果，并结合我国商业银行自身的具体情况，建立起适合中国商业银行的独特的内部控制体系，建立起一条有中国特色的内部控制道路。第二，在我国商业银行内部，一定要定期的进行银行内部员工的文化培训，使包括高层管理者在内的银行员工都要对文化建设提高重视。第三，要积极采取激励的方式促进银行各个部门的所有员工都对内部控制体系的建设其重要性提高认识，营造银行上下内部控制文的文化氛围。

（二）提高我国商业银行内部分先评估的技术手段

现阶段，我国商业银行需要提高对专业风险评估人员素质的重视，借以提高风险评估意识的建设，需要吸取和借鉴国内外银行中先进的评估技术手段，要把风险评估的技术向高质量定量化转变，充分的把定性分析以及定量分析结合起来，借以准确的评估复杂的风险。

（三）提高内部控制监督管理技术，完善内部控制监督体系的建设

现阶段，我国商业银行需要建立起晚上的监督稽查体系，在审计监督方面充分的应用计算机技术，提高内部控制体系的监督效率，促进内部控制监督管理手段可以与银行的经营发展相适应，借以提高内部控制体系的监管力度，促进监管体系的完善。

三、内部控制体系建设的具体手段

（一）要积极营造银行内部控制的文化氛围

要汲取国内外一些发展的较为前卫的银行的经验，选择适合银行自身的内部控制管理经验，做到取其精华去其糟粕，不要照搬套用，要根据银行自身的实际情况，有计划有条理的构建起适合本银行的一套内部控制文化体系。

（二）建立健全完善的风险评估体系，借以加强银行内部风险管理体系的建设

银行需要派专业的风险评估人员定期的对可能出现风险的业务进行评估和识别，并根据风险识别和评估的结果，及时的向总行进行汇报，借以完善银行的风险预警系统。风险预警系统建立好，才有利于把即将发生的风险控制在萌芽中。

（三）完善银行自身的控制监督体系

总行需要对分行采取垂直化的管理制度，银行的各级审计部门要独立运行，不能收到其他部门的影响和制约，借以提高审计部门的权威，促进审计部门的独立性运行，对银行各个业务进行从事前到事中到事后的各环节全面监督，借以全面的完善银行内部控制体系的建设，降低银行内部各个员工自盗风险。