企业内部控制主要风险点精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的企业内部控制主要风险点主题范文，仅供参考，欢迎阅读并收藏。

第1篇：企业内部控制主要风险点范文

【关键词】：电网企业，内部审计，转型

一、新形势下加快推进电网企业内部审计转型的必要性和迫切性

第一，当前供电企业内部审计形式化严重，不利于降低企业内控风险。尽管在电网公司已经全面上市，现代企业制度逐步完善和发展，但是电网企业内部审计控制制度建设依然比较落后，还远远不能适应新形势下管理的需要。在审计控制力度上，形式化现象凸显，尤其是在基层电网公司，内部审计控制力度很小，存在较大的管理漏洞。当前电网企业内部审计形式化严重的现象已经使电网企业内部控制与管理水平很难得以提升和改善。电网企业内部审计形式化现象严重，也不利于降低企业内部控制的风险。

第二，一些基层电网企业在内部审计上管理粗放现象严重。自改制完成以后，一些基层电网企业在管理水平上实现了大跨越、大发展，但是仍有很多基层电网企业依然在内部审计工作中存在粗放式的管理模式，企业绩效低下，内部审计工作做得不扎实、不完善，内部审计不严格、关键点审计不到位、分析评价不到位的现象凸显。造成这些现象的原因就在于一些基层电网公司在内部审计过程中管理粗放，不能着眼于主要矛盾和主要风险，在内部审计工作中不能很好的关注到资金流向与资金管理，传统的内部审计方式又很难做到查错纠错的准确性，难以实现管理的目标化、科学化。

第三，供电企业在实施内部审计过程中难以协调各方面的利益，矛盾交织现象比较严重。供电企业在上市和建立现代企业制度以来，应当在新的体制和机制下在内部审计工作中形成良性的循环。但是当前电网企业在内部审计工作中依然不能做到相对独立，不能直接、独立的参与电网企业经营决策；现存的内部审计工作依然是内部制度的维护者，是内部控制的监督者、是经济管理的评价者。因此，现存的电网企业在内部控制中就很难协调各方面的利益，内部矛盾交织的现象依然比较严重，急切的需要对电网企业内部审计进行转型。

二、新形势下电网企业内部审计转型的现实途径思考

第一，新形势下电网企业开展内部审计、实现内部审计转型就必须要坚持以企业经营绩效和企业主要风险为核心。内部审计的本质就在于为电网企业服务，实现电网企业在资金管理使用、在内部经营管理中更加科学、更加完善，更好的推动企业又好又快的发展。而在电网企业改制过程中不可避免的遗留了诸多历史问题，阻碍了电网企业在新形势下很难适应市场经济、适应现代企业制度的发展要求。因此，电网企业在实施内部审计转型的过程中一定要坚持以企业的经营效益、控制企业的主要风险为核心，解决企业在发展过程中现存的实际困难和问题，通过内部审计工作的转型更好的的为电网企业把脉，查明在当前经营管理与风险管理过程中存在的主要矛盾和原因，提出切实可行的意见和建议。电网企业内部审计坚持以经营效益和企业主要风险为核心，要求电网企业的内部审计工作要着眼于企业总体发展战略，紧盯企业的经营绩效、风险控制、人力资源管理等诸多层面展开，敢于改革和打破传统的内部审计思维，认真分析影响电网企业内部审计工作的主要障碍和矛盾，查明电网企业在经营管理中的主要风险，切实发挥内部审计的积极作用，有效提高企业经营效益、降低企业的主要风险。

第二，不断建立健全内部审计机制，形成以内部重点审计为中心的机制。伴随着电力企业改制的向深水区逐步迈进，电网企业所面临的困难和矛盾越来越多，来自外部竞争和内部管理的压力日益加大。因此，在电网企业实施内部审计的时候，就必须要建立和完善内部审计机制，加快形成以内部审计为重点的中心审计机制，有效预防和规避电网企业经营风险，有效合理的保障企业资金安全、实现企业保值增值。实施以内部审计为中心的审计机制，要紧紧围绕全面审计、重点突出的原则，在企业生产经营和管理的重点环节进行重点审计、有所作为，对关系到企业经营生产的重大经营项目开展重点审计、对企业经营项目的重大资金安排和使用进行重点审计、审计过程科学完善并扎实开展。建立健全电网内部控制机制，形成以内部重点审计为中心的审计机制，充分发挥内部审计在企业管理中的保值增值的作用。

第三，要不断规范完善电网企业内部审计的手段和方法，不断提高内部审计的质量和效果。电网企业开展内部审计，必须要不断创新内部审计的手段和方法，改变传统模式下的手工审计的工作方式，加快信息化与网络化的内部审计平台建设，提高内部审计的工作效率，有效节约内部审计过程中的人力与物力成本。规范内部审计手段和方法，还要加快内部审计工作人员的培训与培养工作，不断提高企业内部审计人员的专业能力和宏观思维能力，使原来的内部审计方法从详细审计向以评价内部控制制度为主要的抽样审计转变。规范完善电网企业内部审计的手段和方法要坚持从大处着眼、从小处入手，致力于从整体上提高电网企业的经验管理水平和自觉抵制企业内部风险的能力。完善电网企业内部审计的手段和方法，实现审计手段和方法的现代化水平建设，建成远程审计体系平台，完善内部审计资料信息库。通过完善内部审计的手段和方法，达到提高内部审计工作效率、提高内部审计效率的目标。

第四，实现电网企业内部审计转型要加大对审计人员的培养与培训工作，提高内部审计人员的专业审计水平。即使建立了完善的内部审计制度和机制，即使建立起了科学规范的内部审计手段和方法，如果没有素质过高、专业过硬的内部人员队伍，高效科学的内部审计工作也将无从谈起。加强电网企业内部审计人员的培养与培训，必须要着眼于内部审计转型的全局工作，从审计理念转变和强化审计实战技能两个层面入手，着力加强审计人员的培训与培养；建立内部审计人员管理与激励的各项制度机制，使复合型、优秀型的的内部审计人才脱颖而出，从根本上打牢审计创新和审计转型的基础。

三、结语

电网企业在实施内部审计转型的过程中，务必要清醒的认识当前在电网企业内部审计过程中存在的现实问题和矛盾，结合审计资源的实际情况，结合当前管理工作的需要，围绕降低企业风险和提高经营绩效开展工作，采取推动内部审计转型的有效方法，形成独具特色的审计机制，重点从坚持以企业经营绩效和企业主要风险为核心、不断建立健全内部审计机制，形成以内部重点审计为中心的机制、不断规范完善电网企业内部审计的手段和方法，不断提高内部审计的质量和效果、加大对审计人员的培养与培训工作，提高内部审计人员的专业审计水平等方面入手提高内部审计的效果和效率。

参考文献：

[1] 申南林. 浅谈电网企业内部审计转型[J]. 中国高新技术企业， 2011（6）： 91-93

[2] 贾宏飞. 电网企业应用风险导向内部审计的探讨[J]. 现代商业， 2011（12）： 262-264

[3] 唐忠良， 程俊春， 王伟玲. 电网企业内部审计信息化系统建设研究[J]. 价值工程， 2012， 31（27）： 212-216

第2篇：企业内部控制主要风险点范文

关键词：国有企业；内部控制手册

中图分类号：F270 文献标识码：A 文章编号：1008-4428（2012）04-77 -02

我国于2008年6月28日由财政部、审计署等五部委联合了《企业内部控制基本规范》（下称《基本规范》），该规范于2009年7月1日起先在上市公司范围内施行，之后财政部等五部委于2010年4月15日了《企业内部控制基本规范》（下称《配套指引》）。该指引自2011年1月1日起首先在境内外同时上市的公司实行，2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司实行。《基本规范》和《配套指引》的正式颁布，为我国企业内部控制规范体系建设的两大制度层面，即内部控制自我评价和外部审计评价，提供了强有力的法律依据和行为准则。

在《基本规范》第十四条提出了“内部控制手册”这一概念，即“企业应当通过编制《内部控制手册》（以下简称“内控手册”），使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权”。根据以上要求，不难发现，内控手册是企业内部控制制度设计及实践的重要组成部分，其内容应为每个作业流程的描述，包含流程描述、流程图、岗位职责、权责分配等，其所使用的对象为公司的全体员工，因此其必须具有很强的可操作性。

在本文中，笔者根据实践经验，通过简述国有企业背景下内控手册的建立过程和要点，讨论在内控手册建设过程中应关注的几个重点事项，促使企业实现内部控制的有效实现。

一、关注内控手册与企业管理制度体系的关联

对绝大多数国有企业来说，在其自身以往的经营活动中往往已经制订了大量的规章制度，并对企业经营过程中可能出现的风险进行了制度上的防范，同时，出于自身管理规范的需求和外部市场要求，申请了以ISO体系为代表的质量体系认证，并在此基础上制订了与之配套的制度规范。这种制度的制订常常是由各主管部门分别制订，且制订时间不一，缺乏公司整体框架和业务流程的逻辑架构，因而难以全面应对各类风险。

内控手册是从企业内部控制的角度出发，借助COSO框架下的风险管理理念，对企业经营的整体风险进行关注和防范，通过对业务流程的梳理，涵盖公司各部门的业务流动，最终以确保“企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果、促进企业实现发展战略”。尤其强调表单和书面证据的重要性，以突出企业内部控制实施的可复核性，因而不但是各业务实际操作的指导，也可以为内审部门提供一套有效的工作指南。

虽然内控手册与企业以往的管理制度体系的理念出发点不同，但其本质上还是存在极为密切的内在联系，内控手册并不是凭空制订出一套新的制度，而是对现有的制度体系进行整合和提升，是从风险管理角度对企业原有的制度体系和业务流程进行梳理与补充。

二、根据实际情况考虑内控手册内容构成

结合内控基本规范要求，内控手册应能体现公司各项业务流程，找出业务循环的主要风险点和控制目标，并明确相对应的关键控制活动和基本的不相容职务分离要求，同时通过对业务流程与循环分析，将关键的控制活动与已形成的部门职责、岗位职责、管理制度与基本授权相对应。

基于以上认识，内控手册应由企业根据自身行业特点及所涉及业务的具体特点，将自身的运营活动划分为若干个主要业务循环，根据业务循环编制内控手册，每一业务循环在内控手册中主要体现以下5部分内容：业务流程图、主要风险、控制矩阵、审批权限表、职责分离指引表。

以下以日常费用报销流程为例。

（一）业务流程图

一般可描述为费用使用部门费用报销与审批，提交财务部复核及入账，出纳支付款项并在单据上加盖付讫章。

（二）主要风险描述

主要包括有费用支出违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。费用支出未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。费用相关会计处理不真实、不及时、不完整，可能导致财务报告错报、漏报或资产损失。

（三）控制矩阵

主要包括控制内容、控制频率、控制部门、控制证据及相关制度等几部分，其中控制内容是对各个控制点的描述与要求；控制频率是指控制发生的频次，例如每年、每季、每月、每周、每天、每天多次、按需等；控制证据是指能够证明内部控制有效执行的文档或系统记录和表单等；相关制度是指目前企业已建立的制度中相关描述与要求。例如：

（四）审批权限表

主要包括审批环节、审批顺序、审批人、审批点、审批权限、生效方式、相关制度或文件等几方面，例如：

（五）职责分离指引表

根据不相容职务相分离原则对流程中相关控制点进行职责分离，简单的说就是在各业务活动中，批准人、执行人、记录人与控制人不得由同一人从事其中任何两项及以上工作。例如，负责费用报销审批人不能兼任费用预算审核、费用报销人、费用入账及费用支付人等。

三、内控手册编制各环节需关注的主要问题

(一)启动阶段需取得公司最高负责人支持

第3篇：企业内部控制主要风险点范文

关键词：内部控制；评价指标体系

中图分类号：F275 文献标识码：A 文章编号：1006-8937（2013）15-0051-02

1 内部控制评价基础理论体系简介

内部控制体系的建立，来自于企业资产安全保证的要求，以及外部监管者对会计信息安全性和真实完整性的要求。内部控制理论大致经历了内部牵制、内部控制制度、内部控制结构、内部控制整合框架及企业风险管理框架五个发展阶段，其中后两个阶段标志着内部控制成为现代风险管理理论的重要组成部分。1992年，美国反舞弊性财务报告委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting， COSO）《内部控制整合框架》，是第一次对内部控制理论进行了框架性的阐述。2004年9月，COSO委员会又在《萨班斯一奥克斯利法案》的基础上，《企业风险管理框架》，成为内部控制理论发展的里程碑，将风险管理作为企业管理的核心要件。作为企业风险管理框架中最重要的组成成分，内部控制主要致力于财务和经营风险的管理。

内部控制可以被视为一个系统过程，企业要改善内部控制水平，就必然经历内部控制评价这个过程，它通过对设计合理性和执行有效性进行测试、分析、评价，找出企业内部控制中存在缺陷和薄弱的环节并且有针对性的提出改进建议，从而进一步完善企业的内部控制系统建设。

2 我国企业内部控制制度的发展

1999年，我国立法机关对《会计法》进行了修订，企业建立健全内部控制体系自此成为了法律要求，我国的内部控制体系建设开始起步。以《会计法》为基础，财政部又先后了《内部会计控制规范―――基本规范》等7个有关企业内部控制的相关规范指引。

实际上，直到2002年，受美国安然事件影响，我国才真正把内部控制和风险管理形成法规。2006年，中国成立了企业内部控制标准委员会，国资委同时了《中央企业全面风险管理指引》，首次对全面风险管理的内部控制原则提出要求，这是我国在全面风险管理领域首份指导性文件，标志着我国内部控制风险管理体系的正式确立。2008年6月28日，财政部联合证监会、审计署等五部门联合了《企业内部控制基本规范》（以下称《规范》）。《规范》首先适用对象即为上市公司，同时也鼓励其他非上市公司积极适用。《规范》的，是中国企业内部控制规范体系的又一次重大的突破，被业内人士誉为“中国版的萨班斯法案”。

2010年，财政部联合证监会、银监会等五部委共同《企业内部控制配套指引》（下称：《指引》），《指引》共包括《企业内部控制应用指引》、《企业内部控制评价指引》等18个详细规则，同时还有《企业内部控制基本规范》作为基础性指导性法规。至此，我国已经建立了一套符合国际通例又贴合中国实际，比较完整的企业内部控制规范体系。实施时间表的制定，确保了这一体系的顺利实施。首先在境内外同时上市的公司实施，然后扩大至在国内交易所主板上市的公司；最后，在中小板和创业板上市公司实施。

3 企业内部控制评价体系基本框架

企业内部控制评价体系的基本框架，一般是由评价目的、评价主体与客体、评价标准和评价方法几个部分组成。

3.1 评价目的

对企业内部控制状况进行评价的目的主要是使企业了解内部控制状况，找出内部控制薄弱环节，提升企业经营的质量；从而对上市公司行为进行有效约束，促进企业积极完善内部控制体系，保护投资者权益。

3.2 评价主体和客体

根据《内部控制评价指引》相关规定， “内部控制评价，是指董事会（或类似决策机构）或其授权机构，对内部控制设计与运行的有效性进行综合评估的过程”。而客体主要指内部控制设计和运行的有效性，如图1所示。

3.3 评价标准

①完整性。主要指企业根据业务流程需要，主要风险事项都已设置了针对性的控制措施，还包括对业务流程各主要风险点进行自始至终的控制。

②合理性。首先需要关注的是，内部控制体系中内部控制流程执行时的合理性，同时还需考虑的是整个内部控制流程在设计、执行时的经济性，即控制要以成本效益原则为指导。

③有效性。控制措施执行的有效性是指，一套完善合理的内部控制体系，能够在企业的生产经营中得到严格的贯彻执行并发挥其应有作用，从而保障财产安全、保证财务报告的报告质量。评价控制措施执行的有效性是确定每项控制性措施的执行能否有效防范风险。

3.4 评价方法及过程

我们应依据已建立的内部控制框架对内部控制的合理性和有效性进行评价，在此过程中，可采用不同的评价方法。目前方法主要有风险目标导向评价法和详细评价法两种。

①详细评价法。该方法将企业内部控制框架标准作为参考，考察内部控制体系中的主要构成要素的存在性，从而对内部控制运行的有效性进行初步评价。然后对内部控制运行的有效性进行测试，最后基于上述两个方面的评价对内部控制体系的有效性作出总体评价，通过识别出内部控制体系存在的缺陷，以及评估内部控制目标的风险，来确定内部控制的有效性。

②风险基础评价法。该方法首先要识别出实现内部控制目标的风险。然后考察针对这些风险，企业是否已建立了相应的风险防范机制措施，并由此来评价内部控制设计的有效性。最后，评估整个体系中存在的缺陷，判断是否构成了实质上的内部控制漏洞，并依此来判定内部控制的有效性。

4 我国内部控制制度存在的问题

①相关责任主体不明确。美国法律对管理层有关内部控制的法律责任做出了明确规定。《萨班斯――奥克斯利法案》中明确要求公司CEO与CFO对上报给SEC的财务报告“完全符合证券交易法，以及在所有重大方面公允地反映了财务状况和经营成果”予以保证，并有严格的处罚措施保证法案有效执行。然而在我国法律中，并未明确规定这方面的法律责任。《上市公司治理准则》、《年度报告编报规则》等规定并未明确内部控制的制定与运行的负责人，而仅仅强调审计委员会和监事会对内控运行的督促、监察责任，导致了内部控制责任主体不明确的问题。

②内部控制评价标准不完善。“有效的内部控制评价”一直缺乏有效明确的定义，这就造成内部控制的评价标准具有可选性，然而评价结果却是固定强制的。这就造成了评价报告具有主观随意性、缺乏客观性，甚至有企业利用内部控制评价标准的可选性进行财务舞弊。

③企业内部控制评价报告的使用率较低。由于内部控制评价信息的质量较低，也导致了我国内部控制评价信息未引起市场的重视，这就让“更好的内部控制产生更加可靠的财务信息披露”这一理念的在现实中无法得到有效实践。投资者对内部控制评价报告的关注度低，内部控制水平高的企业披露内部控制评价信息的激励不足，资本市场中的内部控制信息出现“逆向选择”的现象，不利于资本市场的健康发展。

5 我国开展内部控制评价的建议

5.1 明确管理层内部控制相关法律责任

通过清晰的责任划分，可以明确管理层有关内部控制的法律责任。首先，借鉴美国经验，明确规定企业CEO和CFO对企业内部控制评价报告的客观性和准确性负有最直接的责任。管理层应该对内部控制体系设计与执行是否符合企业利益进行评价，是否完整详细的记录了企业内部控制的程序。此外，应制定相关法律细化明确企业管理层内部控制职责。对于未能有效执行内部控制的情况，能够依法区分出明确的责任人并严格追究法律责任。

5.2 完善内部控制评价标准体系

对企业内部控制有效性的评价结论目前多为 “是”或“否”的二项选择模式，在这种模式下只要企业存在某一项重大控制缺陷，企业内控评价的结果就只能是“否”，严重影响了企业披露控制缺陷的积极性。因此评价结论需要突破简单的二项选择模式，在单一的某项控制缺陷被披露出来后，如果企业其他部分内控评价是有效的，那么该企业的整体评价应该被客观的披露出来而不是简单的以“是”或“否”来定性。

内部控制评价指引应该明确不同企业所采取的评价标准，让评价过程具体化、清晰化。使管理层在进行内控评价时有切实可行的参考标准，以此对评价的核心指标进行统一标准的评价。还应对内控缺陷的补救和完善提供参考意见。

5.3 大力推广内部控制评价报告的使用

为了增强投资者对内部控制评价报告的关注度，中国注册会计师协会、中国证监会等行业协会和监管机构应通过指导和宣传，同时提高外部审计监督的有效性，大力推广内部控制评价报告的使用，使投资者认可内部控制评价信息的指导作用。通过内部控制信息需求与供给双方相互影响和相互作用，形成对高质量内部控制信息的有效需求，让内部控制评价报告真正为企业及其利益相关者服务。投资者意识到内部控制信息的重要性，促使内部控制水平较高的企业更多的披露内部控制信息，也促使内部控制体系不健全的公司切实有效的完善其内部控制体系，资本市场内部控制信息的需求和供给就可以进入一个良性循环。

第4篇：企业内部控制主要风险点范文

［关键词］ 内部控制体系建设；业务流程梳理；风险评估；评价与改进

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 19. 017

［中图分类号］ F239.45 ［文献标识码］ A ［文章编号］ 1673 - 0194（2012）19- 0026- 03

自2008年以来，我国先后颁布了《企业内部控制基本规范》和《企业内部控制配套指引》。作为现代企业管理的重要组成部分，内部控制体系，不但是适应国家对上市公司的监管需要，同时也是提高公司治理水平的重要手段。企业内部控制的有效实施，将进一步加强企业的风险管理，提升企业的市场竞争力，促进企业规范管理上台阶。笔者所在公司作为上市公司下属的全资子公司，自2010年开始实施企业内部控制体系建设，本文主要探讨企业内部控制体系建设的内容及要点。

1 企业内部控制的内容

《企业内部控制基本规范》指出，有效的内部控制体系应包括内部环境、风险评估、控制活动、信息与沟通以及内部监督5个因素。

（1）内部环境。内部环境指构成企业内部控制的氛围，它支配企业全体员工的内控意识，影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。影响内部环境的因素包括组织架构、发展战略、人力资源政策、企业文化建设和社会责任等。内部环境是企业的核心，是推动企业发展的引擎，也是其他内部控制要素的基础。

（2）风险评估。风险评估指在既定的内控目标下分析、辨识和管理风险。企业必须建立可分析、辨识和管理相关风险的机制。风险评估重点关注目标、风险、控制行为、控制活动，并在环境变化后及时进行评估和更新。

（3）控制活动。控制活动指根据风险评估的结果采取相应控制措施的行为。控制活动是公司建立执行的政策和程序，通过不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等控制手段，将风险控制在可承受度之内。

（4）信息与沟通。信息与沟通是获取和交换信息的程序，以使企业能够正常运行，并得到适当的管理及控制。信息与沟通主要包括：信息的收集、处理与传递，信息的及时沟通，反舞弊机制和举报投诉制度。

（5）内部监督。内部监督是确保内部控制高效运行的重要保障，它主要包括持续的监督检查、制定内部监督制度、明确内部审计机构、制定内控缺陷评定标准、及时跟踪内控缺陷整改情况等。

2 企业内部控制体系建设的要点

2.1 准备阶段

2.1.1 建立内部控制建设机构

公司董事会应肩负起建立健全企业内部控制体系的责任，并组成专门的领导机构，加强对公司内部控制体系建设工作的指导。成立由董事长担任负责人，公司主要领导为成员的内部控制领导机构。同时，需组建内控体系建设工作团队，根据企业的规模和特点，成立专门机构或者指定部门具体负责组织协调内部控制的建立实施，负责内控体系建设具体组织推进工作，明确内控体系建设组织机构的工作职责，建立相应的工作机制。

2.1.2 组织内控培训和宣传

内控体系作为一种崭新的企业管理理论和方法，要在现有的企业管理体制下得以有效推行，专业培训和宣传是必不可少的。为此，公司在启动内控体系建设前，需要制订内控培训计划，组织公司自上而下全员参与的培训。首先，安排公司管理层和内控管理工作小组的人员参加风险管理和内部控制的基础学习，使管理层深刻体会内控对企业经营管理的意义，提高对内控管理思想的认识，同时，让内控管理工作人员掌握内控的理念和方法论，熟悉内控文档编制的方法和工具。此外，通过讲座、知识问答、内部刊物、宣传板报等多种形式开展内控宣传活动，宣贯内控的目的和内容，让全体员工了解内控的基本知识，为下一步顺利开展内控建设工作奠定基础。

2.2 建设阶段

2.2.1 制订内控体系建设工作计划

企业内控体系建设是一项系统工程，其内容覆盖企业的各项业务和管理活动，企业董事会、监事会、管理层、全体员工均参与其中，为此，必须通过统筹规划，制订一个详细的实施方案和工作计划，规划各阶段的具体任务，明确责任部门和负责人，确定完成时间表，才能有序开展内控体系建设工作。工作计划的主要内容包括：公司内部控制现状的评估，风险分析和评估，根据《企业内部控制基本规范》和《企业内部控制应用指引》搭建公司的内控体系，梳理和完善各项管理制度，编制各项业务和管理单元的管理流程，编制并出版公司内部控制手册等。体系建设工作由领导挂帅，内控管理部门负责具体组织，各部门协调配合共同完成。

2.2.2 整理企业内部价值链

企业是由一系列创造价值的活动和功能组成的，企业的产品设计、原材料供应、生产、储运、销售、售后服务等经营活动连接起来，构成企业主体活动的价值链，企业基础管理、技术开发、人力资源管理、采购等功能提供相应的辅助支持。企业内部控制应当以公司内部价值链为主线， 以业务流程为中心， 把握各个风险控制点。价值链的整理，首先需根据公司的经营目标、组织结构、业务特点，以价值运动轨迹为方向，将各项业务环节连接起来，作为公司经营活动的主干线，然后分解每一个环节的业务流程，作为公司经营活动的子项目支线，并根据实际情况进一步分解出下一级子项目支线，形成整个公司的内部价值链。价值链的整理过程，也就是对公司内部控制现状回顾的过程，通过价值链的优化，可以进一步完善管理流程，健全公司的管理机制和运行机制，为搭建完整的内部控制体系框架打下良好的基础。

2.2.3 梳理业务流程

价值链由各个业务流程构成，建立良好的业务流程是保证企业高效运转、实现有效控制的关键。在制定业务流程时，需考虑以下几点：

（1）确定业务流程的范围。业务流程是为实现某一业务目标按照规定的顺序完成的一系列活动。设计某一业务流程时，首先需明确该业务流程涉及的活动内容，确定流程的起点和终点，并按照业务流转的次序和承接关系，描述整个流程。

（2）注意业务流程之间的连接。每一个业务流程不是孤立存在的，业务流程之间有着广泛的联系，既有呈上启下的关系，也有辅助支持的关系，企业的内控体系建设应实现各个业务流程的有效连接。

（3）标准化业务流程文件。业务流程作为内控体系的重要环节，应以标准化的文件形式确定下来，作为规范员工职务行为的准则。业务流程文件的内容主要包括：制定文件的目的、适用的范围、控制活动（内容描述、责任岗位、输入及输出）、流程图、工作表格等。

2.2.4 风险评估

企业在努力实现经营目标的过程中，时刻面对各种来自内部和外部的风险，这些风险发生的可能性有高有低，影响程度有大有小，必须进行分析评估，找出重点关注和优先控制的风险，并在此基础上结合企业的实际情况，采取相应的风险应对措施，将风险降低到企业可承受的范围内。具体实施步骤包括：

（1）风险信息资料收集。采用“调查问卷”、“头脑风暴”等方式从公司各个层面收集风险信息资料。

（2）风险识别。将收集的风险信息进行整理和分类，列出风险清单，对各风险因素进行准确的定义描述。

（3）风险分析。制定风险评价标准和规范，根据定性描述的风险发生可能性和影响程度，以风险评价标准对风险清单中的各项风险进行投票打分，按得分由高至低排序，确定主要风险及其次序。

（4）风险控制措施。设置相应的控制措施对主要风险实施有效的控制，对现有的管理流程进行筛查，评估控制活动是否能足以覆盖风险，为下一步完善流程提供依据。

2.2.5 确定关键控制点

确定业务流程后，根据企业经营目标和该业务流程的内控目标，分析流程可能存在的风险，包括经营风险、财务风险和合规风险，针对这些风险，设计相应的控制措施予以应对。控制活动由多个控制点组成，其中可能有一两个对风险控制有重大影响的关键控制点。由于每一个控制点都会产生控制成本，占用控制时间，如果事无巨细盲目追求完美，对每一个环节都投入大量的管理精力，不但带来管理成本的提高、工作效率的低下，而且有违于内部控制提高经营效率和效果的目标。因此，在制定控制措施时，应遵循成本效益原则，以关键控制点为核心，实现合理高效的风险控制。

2.2.6 完善管理制度，制定内控手册

在建立内控制度时，应充分考虑行业特点和企业经营模式，注意与企业原有的管理制度、业务流程的衔接，切忌生搬硬套，或者为应付检查另外设计一套，然后束之高阁。经过风险评估和业务流程的梳理，检查现有的管理制度和流程是否能够有效地覆盖各个风险控制点，管理职能是否得到明确，然后，针对内部控制遗漏点、薄弱环节，进一步完善相关制度和流程，并汇编成册，形成内控手册系列文件。工作步骤为：

（1）完善管理架构，确定部门职责范围，明确职能部门在业务流程中的权责，贯彻不相容职务分离控制原则，落实授权审批制度。

（2）完善岗位职责、工作标准，以及与之相适应的绩效考评细则。

（3）编写内控手册，将企业经营活动的各项关键内控流程以标准化业务流程文件记录下来，归集整理形成完整、可以动态修订的内控手册。

2.3 评价和改进阶段

内部控制评价是确保内部控制有效运行、不断完善的重要手段。为确保内部控制的有效运行，每年需开展一次内部控制评价工作，针对特殊事项还需组织专项评价，通过对内控体系的评估，查找、分析内部控制缺陷，制定相应的整改措施，改进和完善企业内部控制体系。注意做好下列工作：

2.3.1 评价工作的组织

董事会授权审计部门负责组织和实施内部控制评价工作，具体由审计部门制订评价工作方案，下属公司及职能部门开展所在单位的内控自评工作，审计部门根据评价结果进行核查，出具评价结论。

2.3.2 评价内容和所依据的标准

围绕公司内部环境、风险评估、控制活动、信息与沟通等内部控制要素，按照国家《企业内部控制基本规范》及其应用和评价指引，对内部控制设计和执行情况进行评价。通过风险分析，重点对存在关键风险点的业务流程和日常管理的内部控制有效性进行评价。

2.3.3 评价工作的实施

（1）根据内控体系目录内容，对照内控五要素全面梳理内控体系的设计情况，检查内控体系文件是否涵盖公司业务和日常管理事务。

（2）抽查关键风险点相关的标准、制度、流程，分析检查结果，对内控体系文件设计的完整性和有效性进行评价，对实际执行过程是否存在缺陷进行认定。为保证评价结果的准确性，每一控制点抽取的样本数量应不少于3个。

（3） 内部控制缺陷的认定。内部控制缺陷包括设计缺陷和运行缺陷，按照影响程度划分为重大缺陷、重要缺陷和一般缺陷。

设计缺陷的认定：

重大缺陷，指关键控制点缺失或设计不合理，导致严重偏离控制目标。

重要缺陷，指关键控制点缺失或设计不合理，其严重程度和经济后果较重大缺陷低，但仍有可能导致偏离该流程的控制目标。

一般缺陷，指关键控制点的设计基本控制重大风险点，但在非重大风险点上存在3个以上控制缺失或设计不合理的情况。

运行缺陷的认定：

重大缺陷，指在对关键控制点的抽样中，出现部分样本与内部控制的设计不符的情况，造成的直接损失大于企业资产或年销售额的5％。

重要缺陷，指在对关键控制点的抽样中，出现部分样本与内部控制的设计不符的情况，造成的直接损失小于或等于企业资产或年销售额的5％。

一般缺陷，指所有关键控制点的运行均与内部控制的设计相符，但在非关键控制点上出现3个及以上样本不符的情况。

（4）编制规范的内控评估底稿，内容包括评价的体系文件、设计评价结果、运行评价结果、整改措施，附相关的证明文件。

2.3.4 缺陷的整改

针对评价发现的内部控制缺陷提出切实可行的整改措施，落实责任人和完成时间，在规定的整改截止时间后一个月内，审计部门对整改结果进行核查和确认。

3 结 语

笔者所在公司自2010年起正式启动公司内控体系的建设工作，公司成立了内控管理领导小组，组织了公司全体人员参与的内控管理培训。通过开展业务流程梳理、风险识别、评估，确定了公司的关键风险，识别了内部控制缺陷，制定了相应的风险控制措施。公司根据业务特点和内控需要，编制了包括财务管理、合同管理、招投标管理、项目管理等在内的一系列管理流程，并完成了内控手册的制定。内控体系运行半年后，公司组织了自我评价，针对存在的缺陷，进一步对体系进行完善。目前，公司内控体系包含了内部环境、风险评估、控制活动、信息与沟通、内部监督等5个基本要素，贯穿决策、执行和监督全过程，并覆盖了公司业务和日常管理环节。公司将继续加强对内部控制体系的评价和改进，切实做好检查监控，强化企业的风险管理，实现管理规范化运作，进一步提升企业的市场竞争力，促进公司的健康持续发展。

主要参考文献

第5篇：企业内部控制主要风险点范文

【关键词】内部控制；风险管理

伴随实务界与理论界对内部控制与风险管理认识的不断加强，内部控制建设与发展已经提升到与风险管理相融合的新高度。在此背景下，企业内部控制与风险管理的要求更高，并需要不断改进与提升，是一个循环往复、永无止境的企业管理工作，将不断促进企业加强流程管控，增强风险防范能力，实现稳健持续发展。

一、企业内部控制与风险管理概述

企业内部控制与风险管理是相辅相成、互为促进的整体。其一致性主要表现在：一是企业内部控制以及风险管理的实现都需要各方的参与；二是两者都贯穿于企业的整个日常经营管理活动当中；三是两者的最终目的都是要实现企业的价值。由于内部控制主要规范内部管理流程，而风险可能涉及内部风险和外部风险，从这个意义上缴，企业内部控制属于风险管理。然而，内部控制的提升，将增强企业对外部风险的抵御能力，二者是互相促进的。企业的风险管理和企业的内部控制相比较起来，它是站在更高的战略层次上来分析问题的，比内部控制更加细化，能够更好地解决企业经营活动当中所出现的各种各样的风险问题。随着内部控制以及风险管理的不断健全和完善，二者之间必定会相互交叉且相互融合，最终相互统一。

二、企业内部控制与风险管理中存在的问题

1.内部控制与风险管理意识较弱

一是风险管理意识淡薄，片面追求发展速度，制定不切实际的目标或盲目扩展投资，使企业承受无谓的风险。二是把内部控制和风险管理看作一种静态的东西，认为仅仅是规章制度，如文件法规、技术规范和应用模型等。三是内部控制和风险管理的内涵有很多重合之处，单纯的将二者混为一谈，忽略了其对不同企业的不同效果。四是片面相信国外的内部控制和风险管理理念，忽略了将其与我国国情与企业实际情况结合，使得内部控制与风险管理水土不服。

2.内部控制和风险管理组织机制较弱

一是公司治理结构不规范，不能有效制衡管理层的强大权力，董事会没有或者不能负起监督管理层的责任。二是过分夸大内部控制和风险管理的作用，认为只要建立了内部控制和风险管理，企业的发展就是必然的。三是缺少对企业自身的特点、发展阶段、行业特性、技术条件、外部环境等情况的评估机制，使得内部控制与风险管理本末倒置。四是管控模式和组织结构设计不合理，无法有效控制企业风险，难以建立有效的内控和相互制衡的机制。五是缺乏系统的风险管理体制，没有将风险管理的手段和内控程序融入到管理与业务的制度与流程中。

3.内部控制与风险管理执行力度较弱

制度的关键在于执行，没有执行或执行力度不够，再先进的制度也不起作用。影响内部控制和风险管理执行力度的因素很多，其中，企业组织结构不合理、执行人员素质偏低、企业文化落后、资源配置不当是主要因素；制度本身的局限性及制度与制度之间的不协调性也给内部控制和风险管理的执行带来困难。内部控制针对的是“事”而不是“人”，是一种“非人格”的控制机制，其控制对象不限于受控方，施控方也是内部控制的控制对象。内部控制需要全员参与、平行参与和平等参与，这与我国传统的等级制、科层制是大不相同的。

三、企业提升内部控制与风险管理的改进措施

1.建立内部控制与风险管理相融合的管控文化

一是建立完善的内部控制组织框架，将高管层、中层、普通员工全部联动起来，将内部控制的理念贯穿入公司上下，并对公司主要风险点建立追踪机制，以承接各种风险。二是开展一系列教育活动，包括合规在线、合规课件、合规漫画等，进一步巩固基于风险管理的内控文化。三是在传统金融内控经验的基础上，结合自身业务特点走出一条适合企业自身发展的内控道路，鼓励内控与风险人员学习专业课程，系统地提升自身专业知识水平。

2.建立合法合规符合实际的内部控制与风险管理体系

在越来越明朗化的行业大环境下，内部控制与风险管理需要符合国家相关法律法规、行业监管办法以及公司内部规章制度，需要建设既合法合规又符合实际的内部控制与风险管理体系。一是从自身实践出发，建立和完善内控管理机构，并高度重视内控专业人才的培养。二是按照科学、精简、高效、透明、制衡的原则设立组织架构，设有内审、合规和法务等模块，并将治理层和管理层相隔离，避免职能交叉、缺失或权责过于集中。三是由内控部门制定一系列制度，有助于内控识别、评估和解决风险。

第6篇：企业内部控制主要风险点范文

【关键词】 内部控制评价；评价指引；重大缺陷

《企业内部控制基本规范》第四十六条明确规定：“企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告”，这一规定将内部控制评价作为一项政策性的要求呈现在了我们面前。随后的《企业内部控制评价指引》（以下简称“评价指引”）则给企业提供了内部控制评价的实施依据，让迷茫中的企业有章可循。因此，企业应该认真解读和学习该指引，评价内部控制的设计与运行情况，规范内部控制的评价程序和评价报告，揭示和防范风险。

一、内部控制评价的概念及作用

企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。完整、客观、有效的内部控制评价不仅是政策的要求，更对企业有着不容忽视的作用。

（一）内部控制评价有助于管理层发现并纠正企业内部控制中存在的问题，完善内部控制体系

内部控制评价是通过评价、反馈调整、再评价的方法，报告企业在内部控制建立与实施中存在的问题，并持续地进行自我完善的过程。通过内部控制评价发现和分析内部控制缺陷并有针对性地进行整改，可以及时完善管理制度，防范影响企业目标实现的多种风险，从而促进企业内部控制体系的不断完善。

（二）内部控制评价有助于利益相关者深入了解企业情况并增强对企业的信心

企业开展内部控制评价的最后一步是形成评价结论，出具评价报告。通过内部控制评价报告，企业可以将自身的内部控制状况、风险管理水平以及与此相关的发展战略、经营目标、可持续竞争优势等公布于众，树立诚信、透明、负责任的企业形象，有利于投资者、债权人以及其他利益相关者深入对了解企业的实际情况并增强信任度和认可度，为自己创造更有利的外部环境，促进企业的长远发展。

（三）内部控制评价有助于内部控制五要素的建立，在企业内部营造内部控制的良好氛围并形成正式、系统的内部控制，有效实现与政府监管的协调互动

在“评价指引”的带动下，企业进行内部控制评价并作出评价报告，这一过程将贯穿企业整个生产经营流程和内部各个部门，这样一来内部控制的实施将深入人心，有助于企业内部控制五要素的建立，并在企业形成良好的内部控制氛围。同时，审计指引要求注册会计师对企业内部控制设计与运行的有效性进行监督检查并出具审计报告。实施企业内部控制自我评价，能够通过自我检查及早排查风险、发现问题，并积极完善，有利于在配合政府监管中赢得主动，并借助监管成果进一步改进企业内部控制实施和评价工作，促进自我评价与政府监管的协调互动。

二、评价指引带来的挑战

根据评价指引的要求，企业应当结合企业实际情况，对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。同时，内部控制评价能否有效发挥它在企业中的作用，取决于企业能否有效实施内部控制自我评价。因此，未进行过内部控制评价或者只进行过简单内部控制评价的企业，将面临很大的困难和挑战，具体体现在以下四个方面：

（一）内部控制评价的内容广泛，包括内部环境、风险评估、控制活动、信息与沟通、内部监督五项要素

企业应结合内部控制五要素、各项应用指引以及企业自身的内部控制制度，确定具体评价内容，对内部控制设计与运行情况进行全面评价。可以看出，内部控制评价不同于外部审计，不仅需要评价与财务报告相关的内部控制，还包括非财务报告内部控制评价。这一点也不同于美国萨班斯法案要求的企业内部控制自我评估，是我们国家的一个创新。我们国家要求的内部控制评价范围相对更广，有利于企业全面实现内部控制目标，也将面临很大的挑战。

（二）内部控制评价对评价的方法、程序、底稿等要求很高，体现了专业审计的特点

评价指引的表述很简练，仅仅包括总则、评价内容、程序、缺陷认定和评价报告五章内容。这给人一种内部控制评价的具体实施并不具有挑战性的假象，实则不然。一方面，评价指引要求企业在评价过程中形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料；另一方面，内部控制评价所要求的程序、方法及报告与专业的审计有很多相似之处，比如测试范围的确定、拟测试的关键控制、确定样本量、选择样本、记录测试结果等。这对非审计专业的评价人员来说是一个不小的挑战。

（三）内部控制缺陷的认定与操作规范的确定具有很高的难度

评价指引要求企业根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。其划分标准以日常监督和专项监督为基础，结合年度内部控制评价，由企业根据评价指引要求自行确定，而在新规范出台以前，企业在这一领域相关的制度和操作规范基本上是空白，这给缺陷的认定带来了很大的困难。虽然缺陷的认定属于操作范畴，但其重要性不容小觑，否则将严重影响内部控制评价实施的效果。

（四）监管上的要求变化

新的评价指引之前，上市公司的内部控制自我评估报告一般由注册会计师实施审核并对企业的自我评估出具鉴证报告，即对公司内部控制自我评估报告进行审阅、复核。而新的评价指引之后，注册会计师不再对上市公司内部控制自我评价报告进行审阅和复核，而是对企业的内部控制（主要是与财务报告相关的）发表审计意见。如果企业不认真进行内部控制评价，就将面临自我评价意见与注册会计师内部控制审计报告意见不一致的尴尬，降低社会公众对企业的信任度和认可度。

三、应对挑战可采取的措施

面对新规范新评价指引带来的挑战，企业应当采取措施积极应对，按照评价指引的要求高质量地完成内部控制评价工作，为企业经营活动的正常运行提供良好基础，促进企业价值的实现。针对以上面临的挑战，企业应当结合自身情况，在对评价指引进行学习的基础上，采取如下的应对措施：

（一）认真解读评价指引，在明确下列几个大的问题的前提下展开内部控制评价

第一，内部控制评价的对象是内部控制的有效性。所谓内部控制有效性，是指企业建立与实施内部控制对实现控制目标提供合理保证的程度，包括内部控制设计的有效性和内部控制运行的有效性。第二，内部控制评价的原则是开展评价工作应该注意的原则。评价指引第三条规定，企业对内部控制评价至少遵循以下原则：全面性原则、重要性原则和客观性原则，强调的是内部控制评价的范围应当涵盖企业及其所属单位的各种业务和事项、应当在全面性的基础之上着眼于风险、突出重点、准确地揭示经营管理的风险状况，如实反映内部控制设计和运行的有效性。第三，内部控制评价的内容包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面。同时，应形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。

（二）设置有效的内部控制评价机构，配备具有专业胜任能力的评价人员

内部控制评价可以授权内部审计机构或专门机构负责，特别注意的是，若将内部控制授权给内部审计机构，应明确内部控制和内部审计的区别和联系。内部审计是内部控制评价的重要组成部分，但其所执行的工作并不足以代替内部控制评价的所有方面。内部审计和内部控制又是相互促进的，内部审计有助于内部控制评价，内部控制评价又提高了内部审计的效率。无论是授权内部审计机构还是设立专门的机构，为内部控制配备具有专业胜任能力的评价人员都是至关重要的。在新规范的要求下，企业应实施的评价程序已经接近于外部审计，对于普通的会计人员来说，要完成这一任务是比较困难的。为此，企业可以引进专业或者具有足够审计知识的人员，或者组织专家对会计人员进行培训，学习新规范要求下的相关评价方法、程序和知识。

（三）内部控制缺陷的认定

内部控制缺陷是描述内部控制有效性的一个负向的维度，企业开展内部控制评价，主要工作内容之一就是要找出内部控制缺陷并有针对性地进行整改。内部控制缺陷认定在一定程度上决定内部控制评价的成效，且具有一定难度，还需要运用职业判断。在正确分析企业经营活动链条和内部控制体系的基础上进行客观评价，切实做到客观地认识内部控制，正确区分重大缺陷、重要缺陷和一般缺陷，对于有缺陷的部分一定要严肃对待、有效整改，不得马虎。这一过程，可以聘请外部独立人员，也可以由管理层进行研究分析加以确定。

（四）评价报告的要求

企业应当根据《企业内部控制基本规范》、应用指引和评价指引，设计内部控制评价报告的种类、格式和内容，明确内部控制评价报告编制程序和要求，按照规定的权限报经批准后对外报出。内部控制评价报告是内部控制评价的最终体现，按照编制主体、报送对象和时间，分为对内报告和对外报告。其中，对外报告的内容、格式、披露和时间均有严格的限制。对于未曾编制过评价报告的人员来说这是一项新的任务，完成它的唯一办法就是明确评价指引对报告的八项要求，涵盖评价目的及责任主体、评价范围、评价方法、评价结论、评价过程中发现的内部控制缺陷及其整改意见等内容，严格按规定完成。

【参考文献】

［1］ 董美霞.增强企业内部控制评价效果的思考―――基于《企业内部控制评价指引（征求意见稿）》［J］.审计与经济研究，2010（1）:73-80.

［2］ 杨有红，陈凌云.2007年沪市公司内部控制自我评价研究――数据分析与政策建议［J］.会计研究，2009（4）:58-64.

第7篇：企业内部控制主要风险点范文

(一)内部环境

内部环境是所有其它内部控制组成要素的基础，一般包括机构设置及权责分配、人力资源政策、组织文化等。内部环境提供建筑企业纪律和架构，塑造企业文化，并且影响员工的控制意识，因此研究内部环境可以使建筑企业从根本上发现内部控制失效的原因及内控制度的缺失。

(二)风险评估

风险评估是建筑企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。在当前竞争日趋激烈的市场经济条件下，建筑企业所面临的环境大多是复杂多变且不确定的，因此风险处处存在并给建筑企业目标的实现带来威胁。建筑企业必须对其所面临的各种可能的风险有一个清醒的认识，分清哪些是主要风险，哪些是次要风险，哪些风险是可以通过适当的行为来避免或分散的，哪些是企业自身不可控制的，并据此确定建筑企业内部控制的重点和对策。

(三)内控活动

控制活动是建筑企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内，它出现在整个建筑企业内的各个管理层面与各职能部门，如核准、授权、验证、调节、保障资产安全及职务分工等。

(四)信息与沟通

建筑企业必须按照某种适当的形式并在某个及时的时点之内，辨别、获取有效的信息，并加以沟通，使企业内部每一个员能够顺利履行其职责。

(五)内部监督

内部监督是组织安排适当的人员，在适当及时的基础下，对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

二、建筑企业构建内部控制体系的建议

(一)建筑企业内部控制的目标设定

首先，建筑企业要根据我国《内部控制基本规范》的相关要求、建筑行业的特点和企业目标设定的原则，来构建内部控制总目标。一般而言，建筑企业内部控制总目标包括以下方面：财务目标，即确保财务报告和相关财务信息的真实和完整；合法合规性目标，即确保建筑企业的经营管理合法且合规；运营目标，即提高建筑企业的经营效益和效率，促进企业的可持续发展；安全性目标，即确保建筑企业各项资产的安全和完整。

其次，建筑企业内部控制总目标构建后，建筑企业要根据自身实际情况来对总目标进行分层分解，自上而下对不同层次构建相应的目标，总公司、分公司、项目经理部要按照职责设定各自的分目标。

最后，建筑企业内部控制目标在实施过程中，要及时对目标实现情况进行分析，一旦发生偏离要及时进行改正，必要时也可以对原有目标进行修改。

(二)建筑企业内部控制体系的完善

1、完善建筑企业的信用管理制度

建筑企业要按照内部审计信用等级来确定自身未来的战略规划方向，将对员工的信用评定纳入到人才使用的考核范围，实现绩效管理制度，对每一个员工的年初工作承诺书进行合理分析，在年底对应其完成的比例，进行公平公正且公开的绩效评分。良好的人员素质也是内部控制体系中的一个重要方面，建筑企业应当对员工的录用、建筑企业道德教育与业务培训等方面都建立一个统一的管理流程和考试制度，以保证员工素质不断适应内部控制的需要，并且提高企业的整体素质为企业在人才储备方面做出充分的准备，让建筑企业的血液不断保持流畅和新鲜。

2、强化财务管理和资金流动的过程控制

建筑企业要强化财务管理和资金流动的过程控制，执行“收支两条线”的方针，集中调配资金，明确调配申请手续和流程，各级领导签字审核，缺一不可对于私人擅自挪动资金等行为，进行严格的控制及监督；保证各个部门的经营目标的实现，抵御外来的各种风险，针对审计结果进行必要评价分析，最终将风险降到最低。

3、对各个生产经营流程进行制度管理

建筑企业要对生产经营的各个环节进行调研和分析，对采购等关键点加强控制和制约；对内部控制所涉及的重大事项明确其相应的批准部门及管理人员，公示审核流程，规范和制度，建立内部控制责任制度，明确审核责任人，规定各有关部门和业务单位、岗位、人员的责任和奖惩措施，做到有章可寻，有章可依。

4、加强优良信息管理

建筑企业各级别管理人员发出的信息要及时准确，并确认应获得信息的每个组织及个人准确无误的接受到所发信息，要有一个自上而下、自下而上的横向纵向的有效传递途径和机制，同时保证建筑企业的任何信息传递不会出现外泄的情况发生，保密性原则发挥其应有的功效。

(三)内部监督执行力的提高

内部监督是建筑企业内部控制的组成部分，也是监督内部控制的重要力量。因此，建筑企业应设置内部审计机构，以确保内部审计的独立性和权威性。内部审计师的责任被赋予，不再局限于建筑企业的内部控制的监督线，而是通过独立的检查和评价活动，对于缺乏内部控制的漏洞管理，提出切实可行的建议和措施，以促进管理当局进一步改善经营管理，提高建筑企业的综合实力。

第8篇：企业内部控制主要风险点范文

关键词：煤炭行业；内部控制；完善对策

中图分类号：F275 文献标志码：A 文章编号：1673-291X（2013）08-0120-02

引言

我国自20世纪90年代开始重视内部控制在企业中的应用。随着企业内部控制政策法规的不断完善，我国企业内部控制体系的建设也日益规范和健全。煤炭行业作为支持我国经济的基础性行业，在很大程度上满足了国民经济发展的能源需求。然而，煤炭行业特殊的生产作业过程决定了其安全隐患较多，存在较大的财产与人员损失风险，不利于其持续健康发展。内部控制的完善则为这些问题的解决提供了可行性方案。作为一种对企业经营管理活动进行自我约束与调节的内在控制机制，内部控制构成了企业的管理基础，贯穿于企业运行的各个环节，是企业实现长远发展目标和满足有关监管条件的必要制度保证。然而，目前来看，煤炭行业内部控制尚存在诸多亟待解决的问题。本文细致剖析了煤炭行业内部控制的现状，并在此基础上提出了完善煤炭行业内部控制的相应举措，以期为同行业在执行内部控制有关制度时提供有益参考。

一、煤炭行业内部控制现状分析

总体来看，我国煤炭行业内部控制建设在不断完善，企业管理水平也有所提高，但内部控制具体运行现状却不容乐观，主要表现为企业的内控意识较为薄弱、以风险管理为导向的内控机制体系建设不力等，使得煤炭行业的内控水平无法满足这个高风险行业的实际内控需要。具体表现为以下几个方面。

（一）内控制度流于形式，企业人员内控意识薄弱

煤炭企业人员尚未形成清晰系统的内部控制概念，其内控意识较为薄弱，直接导致企业的内控制度建设也缺乏全局性与系统性，过于注重内控制度形式上的建设，将制定一些内控有关手册、文件或规章等同于内控制度的建设，且其所制定的内控制度缺少可操作性与实际指导意义，无法满足实际需要。有的企业完善内控规章完全是为了应付有关上级的检查，内控制度流于形式，内控执行情况鲜有人关注，最终使得煤炭行业内部控制无法切实发挥监督与管理作用。

（二）人员综合素养制约了企业内部控制水平的提升

企业内部控制水平的提升依赖于包含高层、中层及基层员工在内所有人员的综合素养。考虑到煤炭企业的主要作业与生产过程是由一线矿工完成的，故一线员工的综合能力及作业水平就构成了煤炭企业内控风险的关键控制点。然而，目前我国煤炭行业中矿工的综合素养普遍不高，他们意识不到内控执行的严肃性，即使部分人员有此意识但囿于专业能力与技术，在实际操作过程中也不能很好地按照各有关规定执行内控制度，最终使得企业内部控制无法切实发挥风险控制作用。

（三）企业风险管理机制相对缺乏，人员风险控制意识不强

市场经济的逐步发展与完善将煤炭行业置身于竞争日益激烈的市场化大环境下，其面临的风险种类也日益繁多。按不同分类层面可有煤炭企业因自身原因形成的风险和企业外部因素造成的风险，企业运营与日常操作层面的风险和企业战略层面的风险。具体来说，企业面临着资产流失风险、产业政策风险、自然灾害风险、财务风险、煤炭资源持续风险、安全生产风险等。然而，部分煤炭企业尚未完全摆脱计划经济观念的不利影响，其风险控制意识不强，风险管理机制尚未建立健全，在做出经营决策及战略规划时也很少全面考虑可能存在的风险，不利于企业的全面风险控制。

（四）企业内部信息沟通存在诸多阻碍

当前我国煤炭企业呈现多元化与集团化发展趋势，管理幅度不断加大，内部层级逐步增多，这就使得内部信息沟通与传递难度日益加剧，加上煤炭行业管理水平不高，信息系统的建设滞后于企业实际发展的需要。如多数煤炭企业尚未建立起内部统一信息实时共享平台，使得有用信息无法及时在各分支机构及内部各层级间得到共享与集成，信息传递的不及时性在一定程度上影响了企业信息的真实有效性，不但使得有关监督部门和业务部门无法及时获悉企业真实运营状况的信息，从而不利于其进行有关经营决策和相应管理活动，而且进一步加大了企业舞弊与人员犯错的可能，最终使得煤炭企业管理水平低下。

（五）企业内部监督检查职能弱化

目前来看，虽然多数煤炭企业都设置了相应的内部监督检查部门，并给该部门配置了相应管理职能，但是，从实际实施情况来看，很多企业都在不同程度上将监查部门的职能进行了弱化，使得监查部门的工作流于形式，其在企业的地位也不高，工作受到诸多限制，无法得到其他有关部门的全力配合与支持，而且监查部门有针对性的建议也很少得到管理层的采纳，不利于企业从根本上排查及预防安全隐患。

二、完善煤炭行业内部控制的有关对策

（一）改善煤炭企业内部控制环境

加强企业内控环境建设是完善煤炭企业内部控制的首要前提和必要保证。企业应从以下方面构建完善的内控环境：一是在企业范围内大力推行安全生产文化。煤炭企业应全面树立起“关注安全关爱生命”、“预防为主全面预防”的安全文化，在这种安全文化下工作的员工普遍具有系统化安全理念及心态，这种心态能较好地增强企业员工在作业与管理过程中的安全意识，使其对风险触发因子进行实时监测与动态跟踪，全力全面排查安全隐患，防止事故发生。二是从人员准入、培训及考评等方面大力提升企业员工尤其是一线矿工的综合素养与作业水平。考虑到煤炭行业的特殊性，企业应按照工作人员的分类设置相应的进入标准，严格把关，从源头上加以控制，对员工进行相应的规范化培训及再教育，向其灌输安全知识及专业技能，同时，定期对员工进行绩效考评，持续提升其自觉性与工作积极性。三是提升安全生产技术。煤炭企业应当持续提升其软件技术，增强企业安全防控能力，同时，创造良好的煤矿安全生产硬件设施条件，完善企业应急救援及安全预警系统，全面考虑投入的长期效益。

（二）科学开展企业内控风险识别、分析及应对工作

鉴于煤炭企业所涉及的中间层级较多，从中间层上下功夫加强风险分析、识别及应对有助于管理层获取真实有效的信息，促进企业风险控制目标的顺利实现。具体来说，应从以下三方面着手：一是找出阻碍企业发展目标实现的主要风险，即识别风险。可运用流程图分析法、风险清单法等风险识别方法，对煤炭企业作业与生产过程中的薄弱环节及重要节点进行全过程分析，充分揭示企业生产过程中可能存在的风险。二是依据相应风险评价标准来评定风险等级，即分析风险。通常可用定性方法和定量方法，对煤炭企业而言，定性分析风险的可能性及严重性两个维度是较为实用和常用的，而后形成风险分析矩阵，评定风险等级为进一步制定风险控制措施奠定基础。三是依据风险重要性及特征以确定风险处理的最佳途径。可结合企业的风险承受度，综合运用风险降低、风险回避、风险承担及风险分散四种策略，将企业的风险有效控制在容忍范围内。

（三）规范实施企业内部控制活动

煤炭企业须建立健全系列内控规章制度以规范化指导和约束企业人员尤其是一线矿工的作业与生产管理内控活动。具体如下：第一，科学制定安全生产操作规范，对人员的生产管理活动进行有效约束。煤炭企业应结合生产流程和关键风险控制点，有针对性地制定操作程序及规范，要求有关人员严格遵照执行，防止人员活动偏离其工作职能。第二，完善煤炭企业安全生产培训与再教育制度，形成对风险的零容忍。培训后再上岗煤炭企业安全生产的必要前提，还要定期和不定期地对企业员工加强培训与再教育，并将培训结果反馈至有关管理层，使其能更好地结合企业实际情况安排下一步内控演练活动。第三，建立健全严密的安全生产责任制，层层分解至各有关部门及个人。煤炭企业可逐步完善其安全检查拉网制、安全生产联责制等制度，将生产责任分阶段分步骤地落实至各责任主体，并配备有关责任人，形成明晰的责任追溯体制；第四，定期对内控实施主体进行绩效考评，建立公平公正公开的考评体系，依据考评结果对有关人员适当地进行奖惩，切实保障内控活动执行的严肃性。

（四）建立健全高效的企业内部信息沟通机制

管理跨度大和层级过多的问题制约了煤炭企业内部信息传递的流畅性。应从以下方面加以改善：一是借由完善安全的信息管理系统，建立企业统一的信息沟通平台，对企业内部控制活动进行实时跟踪问效，及时对有关风险及内控执行情况进行记录。二是建立健全有关企业内部控制信息的沟通与传递机制，如建立不附任何责任的内控风险报告制度，使内控有关风险能够及时得到处理；开办传递信息的专门网站、公告栏、广播等，缩短企业上下级之间的信息传递与反馈的过程与时间，让员工切实参与到内控政策的制定过程中；鼓励员工对内控活动的执行进行自我评价。

（五）全面加强企业内部控制监督

煤炭企业有着生产流程的特殊性，应特别注意安全性内部控制活动监督检查工作的落实，及时排除安全隐患，运用有效内控措施遏止事故的发生。具体来说，企业应将内控监督检查活动落实至煤炭生产的各个环节，重点关注员工是否持证上岗、作业流程是否按规程进行等。此外，内控监督检查的责任要落实到各有关部门及员工，严格执行煤矿领导带班下井制，领导要起先锋带头作用，从基层开始监查，尤其要发挥一线矿工的监督作用，一旦发现风险，及时采取有效措施加以解决，切实发挥煤炭企业内部控制的重要作用。

参考文献：

[1] 王美环.煤炭企业内部控制的问题及对策[J].河北煤炭，2012，（5）：66-67.

第9篇：企业内部控制主要风险点范文

提升铁路企业风险防范能力，是维持我国铁路行业健康发展，维护国民经济秩序的重要选择，提升铁路内部审计风险防范能力，则是提高企业风险防范能力的重要途径之一。信息化背景下，铁路内部审计工作面临着来自自然环境、计算机硬件与软件系统、审计人员、手工系统等多方面的风险，本文将结合实际对其进行具体分析，并提出相应的对策。

1 铁路内部审计风险分析

深入了解铁路内部审计风险，才能保证风险控制策略的针对性与有效性，结合多年工作经验及对本行业的了解，认为目前铁路内部审计风险主要来源于以下几个方面：

铁路内部审计重大错报风险。近年来，铁路内部审计正处于从手工系统向信息系统转变的重要阶段。以往，存于纸质介质上的信息较容易辨认，且不容易被随意改动，而承载介质的变化导致信息错报、失真的风险增大，影响会计信息真实性，导致重大错报风险增加。

与此同时，越来越多的铁路企业内部审计部门工作的信息化程度不断提高，审计过程的控制与管理多以信息化技术为基础，这显然大大提高了铁路内部审计工作的效率与质量，但同时使得“黑客”入侵、“病毒”感染、不规范操作对铁路内部审计工作带来的负面影响进一步扩大，尤其是使重大错报风险增加。

铁路内部审计道德风险。社会道德风险也是铁路内部审计工作中需要重视的一种风险之一。一些不法分子非法入侵铁路企业会计系统或数据库，从中窃取、破坏、篡改会计信息，将严重干扰铁路内部审计秩序。但由于互联网开放性极强，这类道德风险难以完全避免。而目前许多铁路内部审计单位为避免这类风险，选择只连接局域网，不连接互联网。大大降低了道德风险对内部审计工作的影响，除此之外，进一步强化相关业务与流程的规范化建设，也有利于进一步降低道德风险对铁路内部审计工作的影响。

铁路内部审计固有风险。固有风险指的是被审计单位由于客观因素和外在条件的影响而产生的风险，主要包括以下两种：一是自然灾害风险，即因自然灾害引起的风险，具有不确定性和不可避免性，如台风、雷电、洪水等均可能对铁路企业会计信息系统设施和设备造成损害，进而影响内部审计工作；二是系统资源风险，如计算机故障、会计信息系统软件漏洞、通信线路故障等等，都可能对铁路企业内部审计工作带来不利的影响。

2铁路内部审计风险的规避与控制

通过上文的分析可以看出，铁路内部审计风险的类型与成因较为复杂，要做好风险的防范必须采取系统性的控制对策，为有效规避和控制铁路企业内部审计风险，应采取以下措施：

健全风险评价机制，强化内部控制审计。及时发现重大内部控制缺陷，对于完善铁路企业治理结构，以及提升内部审计工作的有效性有着重要的意义，但目前许多铁路企业的内部控制标准不清晰，缺乏合理的、系统性的评价机制，导致内部控制缺陷难以被察觉。健全风险评价机制，能够使铁路企业及时发现内部控制治理结构中存在的缺陷，进而采取合理的改进措施，以规避来自内部控制系统的审计风险。因此，现代铁路企业应根据自身主要业务内容、特点与内部控制目标，建立完善、明确的风险评价机制。并定期根据风险评价指标开展风险的定性与定量评估，以及时发现内控机制中的缺陷并予以补救。

强化内部控制审计，一是要强化内控程序审计，通过对铁路企业内部控制各项程序的监督与观察发现其中存在的缺陷并及时予以弥补；二是要强化内部审计人员风险教育，提升其风险防范意识与抗风险能力，充分调动内部审计人员在风险防范中的主观能动性。

强化信息沟通与传递，完善举报投诉制度。首先，建立完善的信息与沟通机制，对于全面搜集铁路企业内部审计相关信息，以及做好信息的共享与传递工作有着重要的意义，这有助于提升企业内部会计信息的真实性。对此，应根据铁路企业内部审计的内容、特点与目标，建立内部审计信息系统，并在企业领导的指挥下，在信息技术人员与企业内部审计人员的合作下做好对该系统的开发、维护管理，同时强化访问管理、控制好输入数据与输出数据质量，强化对重要文件的加密与备份与保管，做好计算机硬件设备与网络系统的安全控制，以保障铁路内部审计信息系统的稳定、安全运行。

此外，近年来国外投诉举报制度在企业内部审计道德风险防范中发挥了重要的作用，且我国因举报而被揭发的事件数量也进一步增多。虽然绝大多数铁路内部审计人员在工作中严格遵守国家与企业纪律，但为了更好的维护铁路内部审计工作的秩序与有效性，应将对内部审计人员的道德素质教育纳入风险控制体系。因此，铁路企业应在强化内部宣传，提升内部审计从业人员职业道德素质的基础上，不断强化投诉举报制度的建设，坚持防治并举，严防职业道德风险，使铁路内部审计工作人员发挥好自身应有的作用。

深入了解审计单位，不断规范审计操作。深入了解审计单位包括：经常反思被审计单位各项业务处理流程，以便更好的挖掘风险引起原因；对铁路企业会计信息系统相关人员的职业操守情况进行评估，确保其能够满足铁路企业信息化会计从业要求；对铁路企业审计信息库进行检查，判断其审计信息库内容是否充实以及是否符合铁路企业的要求。

因特网的迅速普及和电子计算机技术的快速发展，在提高铁路内部审计工作效率的同时也带来了网络犯罪、数据欺诈等风险，在此背景下，强化内部审计规范化建设，对于防范审计风险和保障审计质量而言至关重要。对此，铁路企业应结合内部审计目标、范围与特点，建立完善的内部审计操作规范，并严格落实，以有效降低审计风险，避免操作失误和系统漏洞而造成的会计数据损坏、失真、遗失等问题，从而保障内部审计的质量与效率。