1.风险管理内部控制机制的评价方法有哪些

（一）传统的内部控制机制评价方法

传统内部控制机制评价方法主要描述和分析内部控制机制的恰当性和有效性，以及在完成所指派职责时的执行效果。其对内部控制的测试与评价所遵循的逻辑顺序是“控制→风险→评价控制目的是否实现”，可见，更多的是一种事后的反馈，在确认内部控制薄弱环节之后，提供信息以帮助管理层增强和完善内部控制。这种事后的评价是一种“亡羊补牢”式的滞后的方法，而不是“未雨绸缪”预防式的方法，这些方法无法根据企业目标考察风险，也未能根据风险安排相应的措施以控制风险，因此，已越来越不能适应现代管理的需要。

（二）基于风险管理的现代内部控制评价方法

现代内部控制的测试与评价遵循的逻辑顺序是“目标→风险→控制”，同时将根据企业风险评估调整审计战略，确定审计重点，紧密关注高风险的领域，以提供更相关、更符合管理层和董事会需求的确证信息，从而保证要素投入主体的利益。基于此，以下介绍几种以风险为导向的现代内部控制机制评价方法。

1.标杆比较法

标杆比较法（benchmark）就是将本企业各项活动与从事该项活动a1者进行比较，从而提出行动方法，以弥补自身的不足。（美国ALLTEL公司运用了此种办法进行内部控制）它一般分为以下两个步骤：

首先，企业需要建立或确认自身所在行业的a1实务。

其次，了解企业风险管理整体框架实际情况并将其与a1实务进行对比，用定量或定性方式评估差距。

2.风险控制矩阵

风险控制矩阵（Risk and Control Matrix,RCM）是审计人员根据企业经营目标、风险与控制之间的联系，为确保审计建议能针对重要的风险而建立的一张工作表，如表2。

风险控制矩阵是差距分析和审计过程中的一个关键文档。RCM为公司相关的风险、需要达到的控制及当前控制状态等提供了一个控制范例。

3.控制自我评价法

内部控制自我评价（Control Self-assessment,CSA）是近年来产生的一种新的内部控制评价方法，体现了内部控制评价的新观念控制自我评估。控制自我评价法是在1987年由加拿大海湾资源有限公司首先采用的，是一种来检查和评估内部控制有效性的新方法，是由组织成员在内部审计机构的推进和协助下评估组织活动的风险和控制的过程。

CSA强调内部控制系统既不是内部审计工作的责任，也不仅仅是高级管理层应关心的问题，相反，应该把它看成是所有雇员共同的责任。控制自我评估体现了应该*8询问那些参与了风险评估过程以及执行了整个控制过程的人，它所包含的不断改善与现代的全面质量管理概念非常匹配，与整体协作的概念及群体学习的模式也有相通之处，因而在今天的商业社会中存在着巨大的潜能。

内部控制理论的研究与实践发展到今天，国家政府对内部控制管理的法规在不断改进，其指导性意义显而易见。在实务中，企业内部控制机制的各种评价方法也在不断改进与更新，力求更大程度地促进企业发展，保证要素投入主体的经济利益。内部控制的发展和更新，将更好地强化我国企业内部管理和有效要素投入者的利益，更好地评价经营者经营的有效性和管理水平。

2.内部控制与风险管理的介绍

固有风险是当你设定好一个目标后还未开展任何风控活动就面临的所有潜在风险。剩余风险就是当你设定好目标后，认识了潜在风险，那么通过一系列的控制活动来降低、规避、转嫁这些潜在风险后还有未能被控制的潜在风险。这个一系列的控制活动中对自身（企业内部）进行控制的称为内部控制。内部控制与风险管理的既有区别又有联系。从理论发展以及社会实践角度看，内部控制与风险管理逐渐走向融合。两者的构成要件以及目标要求极为相似，都是注重于发展战略、市场运行、财务管理、法律规范以及经营管理等方面的内容。实际上，风险管理与内部控制的内容是相互交叉、相互融合的，二者相辅相成、密不可分。

3.如何做好企业内部控制和风险管理

1、做好内部控制是做好风险管理的前提。

企业应严格对内部各项程序进行审查，提供日常业务流程、运营、百内勤的规范性，实现各个部门从上到下的的防范，到所有人员的防范。

2、强化风险管理责任。

企业各级机构通过确定风险管理环节，分度解、落实机构内各部门、各岗位管理职责，并对各单位、各部门的控制状况进行检查、评价和考核，强化风险管理责任，提高问全员风险防范的意识和能力，从而全面有效的控制经营风险，落实岗位责任。

3、创新推动

利用内部控制工作本身要求的评价、完善机制，为企业持续创新机制、战略调整和自我提升的输送活力，促进企业战略目标的达成。

4、进行资源整合

利用内部控制工作跨部门的特征答，整合风险和控制，优化流程和提高效率，帮助企业完成整合数据和信息质量控制要求。

5、系统日常监督

作为企业决策、专执行和监督三权分立体系中的核心监督权，联合发挥大监督体系效能，推动深入到岗位的自我评价体系和提升专精领域的控制水平，确保各种监督手段的有效落地。

参考资料来源：人民网-中国企业步入“内控2.0 时代”

4.工程项目管理风险内控自我评价

在工程项目管理过程中，主要会遇到下列风险，需要建设单位关注：

1、土地使用未取得合法的审批手续；土地征用费用的计算不准确；

2、拆迁未签订有效的协议；拆迁及补偿费用的计算不准确；

3、未按工程形象进度确认工程成本和支出；

4、工程费用的支出未经适当的审批，列支依据不充分；

5、工程造价确定的方法、依据、程序不合理，导致工程造价不准确；

6、资本性支出与收益性支出划分不准确；

7、未及时组织工程竣工验收；

8、借款利息资本化金额计算不准确。

上述风险不能得到有效防控，将会造成工程项目管理过程中的法律风险和财务报告风险的发生。

5.完整的内部控制自我评价体糸包括哪些

内部控制评价流程

内部控制评价流程，就是内部控制评价工作从开始到结束的基本过程。国际上权威的观点认为评价一个内部控制体系本身就是一个过程，在这个过程中应有一套规程以及其一些内在的基本要素。内部控制评价流程到底包括哪些基本要素，在理论界和实务界认识是不同的，做法也是不一样的，也因评价主体和内容的不同而不同。管理层自我评估和审计机构评价流程会略有不同。基于财务报告内部控制评价和基于全面内部控制评价的流程也不可能完全一样。我国《企业内部控制评价指引》要求企业应当按照内部控制评价办法规定的程序，有序开展内部控制评价。内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。这是我国企业内部控制评价工作的法定程序，是必须要执行的最基本的程序。中天恒3C框架把内部控制评价流程分为评价准备、评价实施、评价报告三个阶段，每个阶段又可细分若干内容。

企业应当根据内部控制评价结果和整改情况，编制内部控制评价报告。内部控制评价报告至少应当包括下列内容：

(1)组织实施内部控制评价的总体情况；

(2)内部控制责任主体的声明；

(3)内部控制评价的范围和内容；

(4)内部控制评价的标准和依据；

(5)内部控制评价的程序和方法；

(6)内部控制重大缺陷及其认定情况；

(7)内部控制重大缺陷的整改措施及责任追究情况；

(8)内部控制有效性的结论；

存在一个或多个内部控制重大缺陷的，应当作出内部控制无效的结论。

《深圳证券交易所上市公司内部控制指引》自我评价报告至少应包括以下内容：

(1)对照本指引及有关规定，说明公司内部控制制度是否建立健全和有效运行，是否存在缺陷；

(2)说明本指引重点关注的控制活动的自查和评估情况；

(3)说明内部控制缺陷和异常事项的改进措施（如适用）；

(4)说明上一年度的内部控制缺陷及异常事项的改善进展情况（如适用）

《上海证券交易所上市公司内部控制指引》公司内部控制自我评估报告至少应包括如下内容：

(1)内控制度是否建立健全；

(2)内控制度是否有效实施；

(3)内部控制检查监督工作的情况；

(4)内控制度及其实施过程中出现的重大风险及其处理情况；

(5)对本年度内部控制检查监督工作计划完成情况的评价；

(6)完善内控制度的有关措施；

(7)下一年度内部控制有关工作计划

6.如何开展内控自评工作

企业内控建设实务 企业内控建设应当以经营的效率与效果为主导目标，以财务报告可靠、资产安全与经营合规为三个保障目标，在此基础上，建设实务将围绕内控组织的设置与内控建设的五要素展开。

（1）内部控制组织 组织是体系运行的基本保障。通常的内控组织包括董事会与经营层两个层面，强调内部控制的建设与实施是董事会的责任，并且下设审计（风险）管理专门委员会加强管理。

此外，内控组织的设置特别强调经理层是企业内控建设的具体实施者与责任人，各经营管理部门按照职能归口进行内部控制的建设与实施。其中，是否设置专职的内控部门是企业界关注的焦点，通常的设置方式包括三种： 方式一：单独设置内控部门。

优点是有利于提高内控建设的初期推动效率，缺点是内控部门与经营管理部门割裂，未能很好地体现内部控制责任与经营管理责任的融合。此方式在金融类企业普遍应用，对于实体经济体，通常不设置专职的内控部门。

方式二：由内部审计部门牵头负责内控工作。优点是待体系初建完成且运行平稳后，内部审计作为内控的监督部门，可以立足于公司整体牵头协调各部门定期进行内部控制的自我评价，并且持续完善内控体系的建设。

缺点是国内企业内审部门往往人才匮乏，在内控建设的初期独立当此重任可能力不从心。 方式三：在内部控制建设集中期设立内部控制建设办公室，该办公室从各主要部门抽调人员专职从事内控体系建设工作，待体系正式运行时，办公室解散，人员归位到各经营管理部门，且牵头职能也归位至内审部门。

此方式的优点是可以集中各部门力量完成内部控制的体系化建设，待体系平稳运行后，相关人员回到经营管理部门的骨干岗位上，有利于促进各经营部门对内部控制体系的理解，有利于内控与经营管理的融合。实践表明，对于管理基础弱的实体经济企业，采取方式三的内控推行效果较佳。

当然，组织的设置没有一定之规，企业应当依据自身的特点设置内部控组织，明确相关的管理责任。（2）内部环境的诊断与完善 内部环境是企业内部控制建设与运行的载体，企业在建设内部控制机制时，首先要诊断与完善内部环境。

一方面，内部环境的完善可以为控制活动的设计与运行奠定基础，另一方面，内部环境的诊断可以加强控制活动与内部环境的匹配性，有利于控制活动的顺畅运行。 通常，内部环境的诊断与完善包括六个方面的内容：治理结构、机构设置、权责分配、内部审计、人力资源政策、企业文化。

其中，机构设置、权责分配与内部审计的定位三个方面必须先行完善，后续的控制活动设计与运行才会顺畅。治理结构、人力资源政策与企业文化三个方面，可以伴随控制活动的运行同步完善。

（3）动态的风险评估 风险评估是内部控制体系化建设的重要表现，是后续内控措施设计的重要依据。根据成本效益原则，企业应当针对评估的重要风险强化内部控制措施，有效降低风险。

对于次要风险，企业应当简化控制活动与流程设计，承担相关的风险，体现经营的效率与效果为主导目标的内控建设理念。 风险评估包括风险辨识与风险评估两个阶段。

在风险辨识阶段，企业应当围绕内部控制目标识别影响目标实现的不确定性因素，辨别企业风险并进行分类，形成企业的风险管理库。通常，企业的风险可以划分为战略风险、市场风险、运营风险、财务风险与法律风险五类，并在此基础上进一步细分。

在风险评估阶段，企业应当运用二维风险评估坐标图，从破坏性与发生频率两个维度评估风险，并将风险点界定为重大风险、中风险与低风险。企业应当依据行业特点与目标设置等确定风险评估的标准，评估标准应当注意定量与定性标准相结合。

在实务中我们强调，处于不同行业的企业，或是同一行业的不同企业，或是同一企业处于不同的发展阶段，其风险评估结果各不相同。为此，企业应当至少每年评估一次风险，及时发现新环境、新业务带来的新风险，动态地调整风险评估结果，进而动态地调整控制活动规范，让原本静止的内控制度动起来，始终踏上企业发展的节奏。

（4）控制活动的设计 控制活动是内控体系实施的核心要素，企业在规范控制活动的过程中，应当形成内部控制政策与程序手册（下简称内控手册）。 企业在设计控制活动时，应当树立与经营管理活动相融合的设计理念，首先界定企业的控制活动循环，然后将内部控制措施嵌入控制活动中，完善经营管理活动的制度流程设计，形成企业的内控手册。

内控手册分模块设计，每一模块一般包括五个方面的内容： 第一，管理目标。围绕内部控制的目标，企业在设计内控手册时，首先应当明确控制活动的管理目标。

例如采购付款循环，其管理目标应当包括保障物资供应、提高采购效率、降低资金占用、控制采购成本、保证核算准确等。 第二，管理机构及职责。

该部分将控制活动涉及的组织及职责清晰界定，以确保后续流程运行的顺畅性。 第三，授权审批矩阵。

该部分应当明确控制活动涉及的所有权限在董事会、经理层与各职能部门间的划分，并且明确各级审批责任。 第四，控制活动要求。

该部分一般以制度文本的形式书写，明确控制活动各控制环节的内控要求，作为相。