围绕公司战略目标，通过在公司管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，实现风险管理的总体目标。

二、方案参考依据

《中央企业全面风险管理指引》国资发改革[2017]108号；《山东省省管企业全面风险管理指引》鲁国资企改〔2017〕22号；财政部发《企业内部控制规范—基本规范》和《萨班斯-奥克斯利法案》等。

三、总体策略

（一）方案内容

3、根据风险管理策略制定具体的实施策略，确定具体的风险管理目标、对策、组织领导、管理流程、投入资源，以及风险事件发生前、中、后可采取的具体管理措施及风险管理工具，也即建立、健全、完善内部控制制度。

4、建立风险管理信息系统。

从而保证企业全面风险管理的效果。

（二）取得的成果

通过以上工作内容，我们会为公司出具以下工作成果：

1、公司风险信息库

2、公司风险评估报告。

3、公司全面风险管理策略。

4、公司全面风险管理解决方案（或称为内部控制手册），

包括（1）公司风险管理职能体系；

（2）重大风险管理职责分工；

（4）风险管理体系考核办法。

5、建立风险管理信息系统

6、全面风险管理的监督与改进制度

（三）实现或达到的'目标

1、确保将风险控制在与公司战略目标相适应并可承受的范围内。

2、确保内外部，尤其是公司与股东之间实现真实可靠的信息沟通。

3、确保遵守有关法律法规。

4、确保公司规章和制度措施的贯彻执行，保障经营管理的有效性，减少实现经营目标的不确定性。

5、确保公司建立针对各项重大风险发生后的危机处理计划，保护公司不因灾害性风险或人为失误而遭受重大损失。

二、具体方案和完成时间

（一）初始信息收集

1、收集内容：公司战略、业务数据、管理信息、历史资料、外部环境信息、行业风险信息等。

2、收集方式：初步调查问卷、访谈等。

3、小组讨论研究收集的所有信息，并汇总整理形成风险管理初始信息。

4、制定风险辨识评估计划。

本阶段所需时间约 个工作日。

（二）辨识、分析、评价风险

辨识：

1、在公司各部门发放风险辨识调查问卷，要求部门领导从自己业务和工作流程角度出发填写可能面临的各种风险。

2、汇总风险辨识调查问卷，连同在初始信息收集阶段辨识的风险，根据风险业务流程分别编制风险评估问卷，并发至相关部门，要求相关部门为各种可能的或潜在的风险打分。

3、根据事先制定的评估标准，对收回的风险评估问卷进行初步分析，提炼风险事件，并在公司职能部门进行访谈和研讨，确认辨识结果，形成风险信息列表。

本阶段所需时间约 个工作日。

分析：

1、根据风险信息列表，利用各种定性或定量分析工具，分析和描述风险发生可能性的高低、风险发生的条件。

2、分析各风险及事件对公司战略规划目标或关键绩效指标的影响路径和影响大小。

本阶段所需时间约 个工作日。

评价：

1、确定风险重要性的评价标准，对风险进行综合评价及比较排序，形成初步评价结果。

2、开展部门访谈或研讨，对评价结果进行修正。

3、征询公司领导意见，确认评价结果。

4、形成风险评价的结论，即评估风险对企业实现目标的影响程度、风险的价值等。

5、形成xx公司风险库。

本阶段所需时间约 个工作日。

（三）编制《风险评估报告》

个人认为该报告是对前面三个环节即风险辨识、分析、评价的一个汇总，内容可分为三个部分，第一部分 公司存在的重大风险； 第二部分 重大风险的分析和说明；第三部分 风险可能对公司的战略目标或经营目标产生的影响。

本阶段所需时间约 个工作日。

（四）制定风险管理策略。即围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，确定风险管理所需人力和财力资源的配臵原则。

本阶段所需时间约 个工作日。

（五）风险管理解决方案。根据制定的风险管理策略，设计公司风险管理组织职能、风险管理业务流程、风险管理考核方案，也就是针对前述识别的风险，建立、健全、完善内部控制制度。

件等。

2、设立公司风险管理组织职能。

a、结合公司现有组织结构，设计公司风险管理组织体系框架；

c、明确公司风险管理负责部门、各职能部门之间的交互关系和权限；

d、研讨、修改方案；

3、设计公司风险管理业务流程。

a、结合公司现有的业务流程，设计风险管理流程；

b、对风险管理流程中的相关内容及相关职责划分方案进行确认；

c、完成制度文件的初步撰写；

d、征求相关部门对制度流程的意见，整理、完善制度文件；

4、设计公司风险管理考核方案。

a、对公司现有的考核体系进行诊断，明确风险管理考核的目标和内容；

b、确定公司及各职能部门关注的考核点；

c、设计公司风险管理考核的基本框架，确定考核各类和层级关系；

d、设计风险管理考核的内容；

e、设计考核的量化指标

f、征求各部门对考核的意见和建议

制度。（9）建立重要岗位权力制衡制度，明确规定不相容职责的分离。

本阶段所需时间约 个工作日。

（六）建立风险管理信息系统。（由软件程序设计者完成此部分内容）

（七）风险管理报告制度，即全面风险管理的监督与改进制度

对公司重大风险、重大事件和重大决策、重要管理及业务流程等进行监督，建立风险管理报告制度，对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。

1、收集公司现有的监督体系，包括内容及信息沟通渠道，对现有的体系诊断，明确改进方向。

2、设计公司监督管理体系的基本架构，包括种类和层级关系等。

3、结合各类重大风险，设计各类风险管理报告的内容。

4、设计各类风险管理报告的对象、职责、路线、频率等。

本阶段所需时间约 个工作日。

根据集团公司内部控制规范总体工作方案的进度安排，公司内部控制规范工作现已进入内控评价阶段。为了配合国家监管部门及集团公司的要求，使内控评价工作有序、有效的开展，我们依据《企业内部控制基本规范》、应用指引、评价指引及公司内部控制制度，结合公司实际情况，特制定本工作方案。

依据《企业内部控制基本规范》及其配套指引，结合公司自身结构及经营特点，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，全面评价公司内部控制的设计合理性及运行有效性，及时发现各层面可能存在的缺陷或不足，进一步加强和规范公司内部控制建设工作，提高公司经营管理水平和风险防范能力。

本次内控评价工作由集团董事会直接领导，审计部负责具体实施，组成领导小组和执行小组：

根据中国证监会四川监管局下发的《关于做好上市公司内部控制规范试点工作的通知》中“纳入内部控制评价范围的母公司及重要子公司的总资产、营业收入和净利润三项指标要同时占2010年合并财务报表相应指标的50%以上”这一要求，确定纳入本次评价范围的单位为集团母公司及全资子公司北京电信通电信工程有限公司。

本次内控评价工作应该遵循“全面性、重要性、客观性”三项原则。

全面性：内控评价应全面涵盖纳入评价范围的单位整体层面的控制环境和业务流程层面的内部控制设计及执行情况。

重要性：在全面评价的基础上，结合公司自身特点，重点关注公司的主要业务流程和高风险领域。

客观性：评价工作应从独立客观的角度出发，如实反映公司内部控制方面可能存在的不足之处，为内部控制建设工作提供合理有效的帮助。

以《企业内部控制规范》及其配套指引为依据，全面评价公司整体层面的控制环境和业务流程层面的内部控制。业务流程包括工薪与人事环节、资金营运管理、采购与付款环节、销售与收款环节、成本与存货流程、筹资与投资环节、财务报表及关账流程。

评价工作将通过调查问卷、个别访谈、穿行测试、抽样检查等方式进行，依据获取到的证据，形成评价工作底稿。在判断内部控制是否存在缺陷时，应当充分考虑下列因素：

(1)是否针对风险设置了合理的细化控制目标。

(2)是否针对细化控制目标设置了对应的控制活动。

(3)相关控制活动是如何运行的。

(4)相关控制活动是否得到了持续一致的运行。

(5)实施相关控制活动的人员是否具备必需的权限和能力。

综合考虑以上因素后，对内部控制缺陷进行认定，区分重大缺陷、重要缺陷及一般缺陷，以此评价公司内部控制的设计及运行是否有效。

同年度财务报告一同对外报出。

为了促进本单位全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，根据《行政事业单位内部控制规范(试行)》的相关要求，特制订本方案。

我校内部控制有效性评价的总体目标是：了解本单位内控建设和运行状况，分析内控设计及执行有效性，明确内控差距及缺陷，进一步优化完善本单位内部控制体系;实现内部控制与全面风险管理有机结合，提高基础管理水平和风险防控能力。

1、 全面性原则。内部控制有效性评价应贯穿内部控制各项制度建立和执行的全过程，覆盖全校及其各职能部门的各种业务和事项。

2、 重要性原则。内部控制有效性评价工作是检验本单位内部控制体系建设是否高效的主要手段;是明确单位内控差距及缺陷，进一步优化完善内部控制的基础。

3、 客观性原则。内部控制有效性评价工作应当在学校内部控制体系建设中保持独立性。客观评价各部门的业务流程和管理缺陷。

4、 制度化原则。按照工作制度化、制度流程化的要求，实现内部控制有效性评价措施可靠运行。

明确各部门职责分工，厘清各部门在组织层级内部控制中的角色和分工;决策权、执行权和监督权相分离，归属到不同的机构，达到权力制衡的效果;对内部控制有重要影响的关键性岗位，明确其岗位职责权限，人员分配，以及按照规定的工作标准进行考核及奖惩。

2、 单位层级内部控制有效性评价。

各个部门是否建立相应的工作制度，检查各部门内部管理制度的执行情况，及时发现存在的.问题并提出改进建议。

(1)、预算编制。预算编制是否依据以前年度单位收支的实际情况，真实反映单位本年度全部业务收支计划;是否建立专门的预算管理机构并有相应的预算工作管理办法;执行环节中是否保持单位财务核算和业务工作的一致性;是否建立科学有效的决算与考评机制。

(2)、收支控制。财政经费拨款收入是否按财政部门定员定额标准及单位工作计划需要据实编制;是否根据国库指标下达时进行收入登记并确认资金来源，匹配财政批复的预算指标;是否按合理合规的执行方式和审批权限对不同资金的财务管理风险进行管理;是否按事前审核与审批程序执行支出过程的控制，依据采购或审批结果提出资金支付申请，单位财务部门负责进行资金支付审核并匹配应对的收入资金来源。

范围内，按季度编制采购预算并确定采购方式;是否建立单位内部的分权和岗位分离机制，采购需求计划评审是否设置不同岗位进行管理;在资金支付环节，是否依据采购合同、验收报告、竣工决算报告等文件，按照资金支付的相关规定，填写相关表格。

1、个别访谈法。与单位内部人员进行访谈，了解单位内部控制的现状。首先，与单位领导班子成员进行访谈，了解单位内部控制思想的建设程度;其次，与各科室领导进行访谈，了解单位内部控制的整体现状;第三、与单位其他员工进行访谈，了解内部控制体系的执行落实情况。

2、穿行测试法。任意选取一笔业务作为样本，追踪该交易从最初起源直到最终在财务报表或其他内部管理报告中反映出来的过程，了解控制措施设计的有效性，并识别出关键控制点。

3、专题讨论法。针对每个科室组织召开专题讨论会议，综合内部各机构、各方面的意见，研究确定缺陷整改方案。

1、人员组成。

组 长：

副组长：

成 员：

2、主要工作。

(1)、检查内部控制体系建立和执行的有效性;

(2)、指导各部门内部控制自我评价工作;

(3)、认定内部控制缺陷及督促各部门进行整改

(4)、编制内部控制评价报告，及时向领导小组报告。

内控体系建设工作监督小组 20xx年xx月xx日

为了论述方便，首先简要分析一下内部控制审计的分类。

经济组织内部进行内部控制审计，不可能都针对整个内部控制系统进行，更多情况是对其中部分展开。

按照涉及内部控制的范围，大致可分为如下三类：

3 、独立单位内部控制审计，这种审计是对经济组织所属的独立单位的内部控制进行审计，独立单位是指财务上独立的，可以是投资中心或利润中心，也可以是子公司，单独设置财务机构的分公司，它们自己本身可能有一套内部控制，同时还要执行经济组织作为整体的内部控制。

这三类审计各有各的特点，但在审计程序上，由于独立单位内部控制审计相对较复杂，程序最全面，因此以下即以其为蓝本讨论。

内部控制审计程序与其他审计中作为审计程序的内部控制评价应该有相似之处，因为毕竟两者都是以内部控制为焦点而展开，但由于服务的目标不一致，在程序上也有差别。

内部控制评价程序一般是：

1 、了解与记录内部控制;

2 、初步评价控制风险;

3 、实施符合性测试;

4 、评价内部控制的强弱。

作为一种单独开展的审计，了解经济组织的基本情况这些准备工作是必须的，因为对内部控制需求越强烈的经济组织，其规模越大，这是必然的;在大规模的组织里，管理高层、各个下属机构的诸多具体的基本情况内部审计人员不可能都熟悉。

了解基本情况是开展内部控制审计的基本条件，否则无从下手。

同样大规模的组织内既存在针对整个组织的控制，也存在针对某个部分或某个下属机构的控制，内部审计人员也不可能都熟悉，因此了解内部控制也是必须的。

在了解内部控制阶段，还必须初步分析所了解信息，以初步确定内部控制的健全性和有效性，规划要实施的符合性测试程序。

接下来与内部控制评价程序一样，实施符合性测试，以获得遵循性的评价，同时最终确定健全性和有效性。

最后归纳总结审计结果，提出审计报告。

总结上述，本文认为内部控制审计程序为：

1 、了解基本情况;

2 、了解内部控制;

3 、实施符合性测试;

4 、提出审计报告。

下面即以该程序为主线展开讨论，其中提出审计报告在内部审计报告中讨论。

了解基本情况，是了解所要审计内部控制所涉及单位的基本情况，这些情况是展开审计的必要准备和基本条件，影响着整个审计的过程和结果。

这些基本情况包括：

1 、单位所属的行业和历史沿革(着重于管理沿革);

2 、单位组织结构、各机构的人员规模和岗位结构;

3 、单位资产规模、生产经营或专业服务的特点规模;

4 、主营业务及辅助业务类别、业务量;

5 、财务会计机构及其工作组织;等等。

这些基本情况可以通过询问管理人员、查阅相关文件、会计和统计资料等方法来获得。

基本情况获得后，审计人员就要适当利用自己专业判断，确定以下内容：

1 、业务循环及其大致内容;

2 、必须控制的重要或经常发生的业务;

3 、内部控制应有的严谨程度;

4 、审计应该投入的人力及分工和时间预算。

确定业务循环及其大致内容实际是划分业务循环的过程，确定的是审计展开的主线;重要或经常发生的业务是必须控制的，确定它们就是确定审计的重点;内部控制的严谨程度是与独立单位的规模相关的，规模较小的单位内部控制程度就相应较低，衡量标准就不能太高，实际这就是确定衡量标准的问题，提出设计意见时必须考虑;确定投入的人力和时间预算是为了保证整个审计过程有条不紊地进行，保证审计质量。

下一步工作是制定审计总体计划，其主要内容就是上述基本情况获得后审计人员所确定的内容，主要包括审计的范围，即业务循环及内容，审计的重点，即必须控制的重要或经常发生的业务，审计组人员构成、分工和时间预算。

这个计划在以后审计过程中还要适时调整。

需要特别说明的是业务循环的划分。

业务循环的划分是将若干个关联的经济业务或管理活动组合在一起。

2001 年财政部发布的《内部会计控制基本规范》(征求意见稿)中提出，“内部控制的内容主要包括对货币资金、筹资、采购与付款、实物资产、成本费用、销售与收款、工程项目、对外投资、担保等经济业务活动的控制”，其中这些经济业务就是基本的业务循环划分，但目前有多样化的趋势，国际内部审计师协会就提出预算管理、资讯管理等管理作业。

业务循环是以后审计程序展开的主线，了解内部控制和符合性测试都按照它来组织，因此划分业务循环影响到整个审计的组织、效率和质量。

一般来说业务循环应按下列原则来划分：

1 、覆盖单位所有业务及其各个环节;

2 、每个业务循环能反映出所涉及业务的共同性质特点及其全部过程;

3 、有利于审计的组织安排。

了解内部控制的内容

要了解内部控制，首先要解决内部控制的构架问题。

1988 年美国 aicpa 提出内部控制结构即控制环境、控制结构和会计系统，我国独立审计准则即采用这种观点。

1994 年 coso 报告提出内部控制要素即控制环境、风险评估、控制作业、信息与沟通、监控。

内部控制要素是内部控制结构的纵深发展，在内容上进一步完善，在内部环境上更注重员工的素质，增加风险评估强调要实现目标就必须分析相关风险，构成风险管理的基础，将会计系统扩大为信息与沟通，更强调信息的内部传达， 增加监控要素将内部控制的执行纳入进来。

由于 coso 报告提供出的内部控制理论很全面，更加接近内部控制的本质认识，而内部控制的建设要以先进理论为指导，与实际情况相结合，因此本文认为，在我们目前的条件下，我们应采用 coso 报告的观点，以它的框架为指导，同时鉴于我国目前内部控制落后的情况，应更加注重控制作业和监控，即如何建立起健全有效的控制程序与政策以及它们的实际执行，在控制作业完善的带动下，风险评估和信息与沟通也逐步完善，同时逐步转变管理观念，提高员工素质，建立起合理的法人治理结构和具体组织结构，使控制环境得以改善。

由于内部审计充当监控的主要角色，内部控制审计就是履行监控的职责，因此了解内部控制阶段对监控的了解可以置于次要地位;又由于风险评估的风险是管理层和作业层控制目标因内外部风险因素影响而不能实现的风险，对它进行评估后设置相应的控制作业来控制，而内部控制审计要做的一部分工作就是评价控制作业是否能控制住风险，实现控制目标，实际就是风险评估过程，因此风险评估不做了解，而在接下来的分析工作中进行。

由于控制作业实际就是控制程序与政策，为了理解直观起见，本文就称其为控制程序与政策;由于内外部信息和它们在单位内外部、内部各部门各成员之间的流动可以构成一个系统，因此信息与沟通可以合称为信息系统。

总结上述，本文认为内部控制审计要了解的内部控制要素为控制环境、控制程序与政策及信息系统。

如上所述，了解内部控制以业务循环为主线展开的，即按业务循环逐个循环了解，这些循环构成单位整体，这是横向的;同时针对每个循环的控制，分别去了解它控制环境、控制程序与程序、信息系统，这是每个循环的控制的纵向构成，是纵向的了解。

横向纵向的交叉了解构成了解内部控制程序的骨架。

了解控制环境是了解影响内部控制其他要素的因素，提供内部控制构成基础好坏的证据，同时为分析内部控制健全性有效性和遵循性好坏的原因提供证据素材。

了解控制环境的内容实际就是控制环境的内容，按照 coso 报告，控制环境包括： 1 )、员工的诚实性和道德观; 2 )、员工的胜任能力; 3 )、董事会或审计委员会; 4 )、管理哲学和经营方式; 5 )、组织结构; 6 )、授权和分配责任的方式; 7 )、人力资源政策。

这里主要是针对各个业务循环所涉及的部门、人员、方法来说的，其中第 3 点是针对整个单位，实际在了解基本情况程序中就已进行。

了解控制程序与政策，就是了解控制目标实现风险所采取的措施，它是了解内部控制要素中最重要的部分。

每个业务循环都可分为若干个作业，而每个作业都要设置若干控制程序和政策来控制，我们本文把这些作业称为控制点。

比如制造业的销售与收款循环可分为接受定单、核准信用、发运商品、开具发票、应收账款与记录、收款、退货及客诉处理等作业。

在业务循环的划分阶段，已经取得了业务循环大致内容的了解，在了解控制程序与政策阶段，应进一步了解，去获得足够信息来进一步确定业务循环内的各个作业，然后针对每个作业，去了解所采取的控制程序与政策。

了解信息系统只要是了解单位内外部信息记录载体，以及沟通方式。

外部信息载体包括记录市场份额、法规要求和客户反映等信息的资料，内部信息载体包括业务申请审批报告、各种分析报告、进行控制作业形成单据、会计资料等等。

沟通方式包括政策手册、财务报告手册、备查簿、口头交流、管理示例等。

进行内部控制的了解可采取的方法与内部控制评价程序中的一样，大致查阅控制文件和控制信息记录载体、询问有关人员、观察作业的进行和内部控制的运行情况等等。

初步分析健全性和有效性

在对内部控制获得了解后，就可以对其健全性和有效性进行初步分析，以规划将要实施的符合性测试程序。

初步健全性分析主要是分析哪些重要或经常发生的业务或作业应该设置控制而未设置。

这些业务在了解基本情况中已获悉，而重要或经常发生的作业则在了解控制程序与政策中已了解，通过了解控制程序与政策能知道它们是否设置控制。

初步有效性分析主要是针对控制程序与政策而实施的。

这实际就是初步的风险评估。

初步有效性分析首先要分析确定各个业务循环、各个作业的控制目标，然后再分析所了解到的控制程序与政策，看它们是否能实现控制目标。

对于控制有缺陷的可以提出初步的改进意见。

初步的健全性和有效性分析后就可以规划将要实施的符合性测试。

一般来说对于以下情况就可以不进行测试：

1 )对业务循环或关键控制点的控制初步评价为无效;

2 )在了解内部控制的过程中已知对某业务循环或关键控制点的控制未得到遵循;

4 )虽对业务循环或关键控制点设置控制但未发生相关业务。

而以下情况就可以考虑进行大范围的测试：

1 )相关业务大量发生的业务循环或关键控制点的控制;

2 )相关业务虽不大量发生但涉及金额相对较大的业务循环或关键控制点的控制;

3 )控制程序相对复杂的控制。

规划结果应记入审计计划，并对审计计划做相应调整。

记录内部控制

制度基础审计理论中记录内部控制的方法主要有：文字叙述，调查表，核对表，流程图。

本文认为作为记录方法内部控制审计可以采用。

对于控制环境的记录，一般是文字叙述，按照上述控制环境的几个方面来记录。

了解基本情况程序也采用文字叙述的方法记录。

记录要形成审计工作底稿。

记录内部控制主要是记录控制程序与政策和信息系统。

采用的方法以上四种都可以采用，但以调查表最为常用。

在本文中，即讨论调查表改进和特殊运用。

一般，调查表的调查内容是有审计人员根据自己的经验和被审计单位的情况自行设计的，但对于内部控制审计，本文认为，鉴于我国目前内部控制薄弱和人们对内部控制该如何知之甚少的情况，调查表应该引入标准内部控制作为导引，以配合政府推动内部控制的建设。

标准内部控制是指针对某个业务或作业由权威部门设计的标准控制。

比如 2001 年财政部发布的《加强货币资金内部控制的若干规定》(征求意见稿)，就是标准的内部控制。

对于各类型单位共有的业务或作业，如货币资金业务、固定资产业务融投资业务等可由财政部门制订统一标准;对于具有行业特性的业务或作业，如生产循环、销售及收款等主要针对制造业，则由行业主管部门或行业协会分别制订，供不同行业采用。

在调查表中引入标准内部控制，要从权威部门制订的针对各业务或作业的标准内部控制中，按业务或作业内部若干个控制点抽取提炼出对控制点的标准控制程序和政策，作为调查表的调查内容。

调查控制程序和政策时就循其进行。

同时由于引入了标准内部控制，对单位特殊的控制程序和政策可能就无法调查得到，而那些控制也是很重要的，因此有必要将调查表与文字叙述结合起来，加入单位实际做法的叙述。

结合的方式就是在每个控制点控制调查内容下面单设一行，用来记录单位的特殊做法。

符合性测试包括设计测试和执行测试，设计测试即健全性和有效性测试，执行测试即遵循性测试。

还由于有效性健全性初步分析结果需进一步获得证据确证，如通过分析认为对某控制点设置的控制能达到控制目标，但这个判断是否正确，还需要进一步了解实际情况，因此需要通过测试进一步获得更全面的信息证据来确证。

执行测试是符合性测试的主体，主要是检查内部控制是怎样执行的。

进行内部控制设计测试，主要要做如下工作：1 )更深层次地了解单位的内部控制，作出更准确的健全性和有效性评价;2 )获得进一步支持健全性和有效性初步评价结果的证据;3 )检验在了解和初步评价内部控制阶段所作的重要专业判断和分析。

进行内部控制执行测试，要特别注意如下事项：1 )对业务循环和关键控制点设计的控制是如何具体组织应用于实际的;2 )控制是否一贯执行;3 )是否由控制规定职务的人来执行，其中后两个是重中之中。

《独立审计准则第 5 号——内部控制与审计风险》中提供了三种符合性测试方法，即检查交易和事项的凭证、询问并实地观察未留下审计轨迹的内部控制的运行情况、重新执行相关内部控制，三种方法可单独或合并使用。

本文认为符合性测试方法应以检查为主，同时辅以观察和询问。

因为控制执行一贯、规定职务人执行是重中之重，而控制执行中留下的审计轨迹亦即控制信息载体能反映出这两者，检查控制信息载体就能了解到这两者，在检查的同时通过观察和询问获得控制具体应用的证据。

检查控制信息载体，即针对每个业务循环所涉及的单证、报告、合同等控制信息载体，抽取其中部分，检查执行各个控制点下各个控制程序与政策留下的记录，推断出是否得到全面一贯的执行。

抽取工作采取属性抽样技术来进行，基本与内部控制评价中的相同。

样本量的大小根据了解内部控制阶段的规划确定，样本采用随机选样或系统选样的办法选取。

遵循性评价主要针对控制点控制内的各项控制措施。

内部控制的实际遵循情况是个程度概念，遵循与不遵循只是它的两个极端，本文认为对遵循性的评价应采取评级的办法，以更好的反映遵循程度。

遵循性级别最好分为四个到六个等级，等级太少难于准确衡量遵循程度，等级太多难于把握等级之间的差别，由审计人员根据具体情况确定级别;每个级别还应确定应提的审计意见，如遵循性分为 a 、 b 、 c 、 d 四个级别，被评为 a 级的，提出执行较好的意见， b 级提出应加强的意见， c 级提出应重点加强的意见， d 级提出特别提示加强的意见。

评级时审计人员主要根据属性抽样结果，同时综合考虑通过观察询问得到的控制应用于实际的情况，运用自己的专业判断，评判其遵循性级别。

本文认为，评定级别只是一种手段，重要的是要实现内部控制审计目标。

进行评级提出各种加强意见是为了实现督促内部控制执行的审计目标，而发现控制具体应用于实际中存在的问题，以及发现因控制未很好执行而导致财产损失、信息失真、效益下降等问题则是为了检查内部控制执行。

对遵循情况评级后评价时更应注重建设性意见的提出。

通过设计测试既可能获得健全性和有效性初步评价须修正的补充证据，又可能获得确证初步评价结果的证据，因此这个阶段的评价主要工作一是综合了解和测试两阶段所获得所有资料，对健全性有效性作出最终评价;二是针对不健全和控制无效或有缺陷的地方提出审计意见。

健全性评价主要针对重要或经常发生的业务或作业，主要应注意三种情况：

1 、控制文件中没有规定控制，测试程序中也未发现实施了控制;

3 、没有控制文件，其他了解方法也不能得知是否设置控制，但经测试已实施控制。

前两种情况就应对相应业务或作业提出控制不健全的意见，后一种应认为实际是健全的 ， 但应提出健全控制文件的建议。

有效性的评价主要是针对未采用标准内部控制而实施特殊控制的情况，对采用了标准内部控制的也要做简要分析，因为标准内部控制可能不适于单位，而且一些控制政策需要按照标准结合自己的实际自行制定。

有效性评价首先要分析确定对各控制点实施控制应达到的目标，本文认为可以在内部控制系统目标的指导下结合控制点的具体情况分析确定，如对现金收入的控制程序，根据保证资产的安全完整目标。

分析确定其目标为保证现金收入以真实金额真正流入单位，根据保证信息记录的真实完整确定控制目标为保证现金收入都真实无误的加以记录，根据提高运营效率确定目标为提高现金流入单位的速度，根据保证遵守国家法律规章确定目标为遵守《现金管理暂行条例》相关规定。

各个控制点控制目标不一定与控制系统目标一一对应，有些系统目标对某些控制点可能不适用，如采购验收这一控制点的控制目标就与“保证遵守国家法律规章”无关，根据具体情况采用。

目标确定后再分析控制点控制的各项措施是否能达到控制目标。

对测试过程中发现的重大财产损失、效率低下、违法事件等问题，应特别注意分析其控制健全性和有效性原因，如果是因健全性和有效性导致的，那么这些问题既是健全性有效性初步分析的确证，又是分析评价和提出建设意见的重点。

健全性有效性评价的重点在意见的提出，是为了实现补充完善、再生内部控制的审计目标。

对有效性的评价实际上是有效性分析和改进意见形成的混合体，分析的过程中意见也就可以有针对地提出，而且改进意见是目的。

健全性的评价实际是确定未控制的业务或作业和针对其建立内部控制的过程，主要工作在后者。

可以看出有效性评价和健全性评价在基本方法上是一致的，都是内部控制建立的方法，因为有效性分析和改进意见的提出实际也是在确定控制目标、分析风险、提出控制措施。

因此内部控制建立方法是健全性和有效性评价、对实现审计目标的要件。

关于内部控制建立的具体方法本文不再详述，只提出一点意见。

本文认为，在健全意见和有效性改进意见提出的过程中，应特别注意标准内部控制和内部控制方法的运用。

标准内部控制前已述及，为配合政府推动内部控制建设，对于特定业务或作业，应注意运用相应的标准内部控制，并与自己的实际情况结合起来，以提出更具建设性的意见。

这对健全性意见的提出更具实际意义。

内部控制方法在前述 2001 年我国财政部发布《内部会计控制基本规范》(征求意见稿)中有规定，它们是：

2 )授权批准控制，包括确立合理的授权批准范围、层次、责任和程序;

6 )职工素质控制，包括职工聘用、培训、考核、轮岗、奖惩、晋升、解聘;

9 )电子信息系统控制，包括系统组织和管理、系统开发与维护、文件资料、数据、网络安全控制，输入输出控制、处理控制。

这些方法对建立和改进意见的提出能发挥出指导和衡量的作用。

与其他审计报告一样，内部控制审计报告也是对审计结果的总结。

在提出审计报告前，审计人员应重新检查在审计过程中获得的资料，做如下一些分析：

1 、 是否了解研究了单位所有重要控制;

2 、所作分析判断是否得到了测试的证实或有足够的证据支持;

3 、是否遗漏了其他需要考虑的影响最终评价的客观事实;

4 、最后的健全性有效性遵循性评价是否适当，有足够的证据支持;

5 、出现了那些因内部控制导致的重大问题，哪些人员严重违反内部控制且已致严重后果;等等。

审计项目负责人还要复核审计底稿，之后就着手准备撰写审计报告。

内部审计报告应突出重点，一些细节问题只要通知当事人或主管人员就可以，不必在审计报告中反映，还应便于理解，一些有关内部控制的专业术语尽量用易懂的词句代替。

1 、单位基本情况简介;

2 、内部控制体系介绍;

3 、内部控制健全性有效性遵循性评价及具体意见;

4 、因内部控制导致的重大问题及有关人员严重违反内部控制且已致严重后果的事实和处理意见。

其中关于健全性有效性遵循性评价及具体意见只反映存在问题的各个控制，运行良好的不必反映。

报告格式本文认为无须固定，只要能充分反映出上述内容即可。

审计报告应经过审计组的`全体讨论通过方可，而且在定稿前应与所设计执行人或管理者沟通，听取他们对审计建议的意见。

这样做主要是为了保证审计意见质量，使其能更好地得到执行。

审计报告向内审机构主管报出。

报告批准后，对于重大控制问题最高领导层还应组织听证会，组织人员落实审计意见。

审计完成后内审机构应及时组织回访，以检查督促审计意见的执行。

内部控制审计在我国还是新事物，在加紧建设内部控制的大环境下，它的许多问题必须加紧讨论，得出统一认识，以促使其尽快更好地发挥出作用。

虽然内部控制审计由来已久，但国内外学术界和审计实践界对内部控制审计的定义均持有不同的看法，尚未形成统一的定论。

美国上市公司会计监管委员会发布的《pcaob审计准则第2号——内部控制审计原则》(2004年)、中国注册会计师协会发布的《独立审计具体准则第9号——内部控制与审计风险》(1997年)和中国内部审计协会发布的《内部审计具体准则第5号——内部控制审计》(2003年)中均没有明确对内部控制审计予以定义。

内部控制审计的含义和性质应该采用广义的概念，即内部控制审计既可以作为独立的审计项目组织实施，用以完善内部控制，也可以作为实施其他审计项目的一个程序或方法，以便确定对其依赖程度和进行内部审计的范围、重点及方法，有效提高审计工作效率和质量。

内部控制审计就是对内部控制的健全性、符合性、合理性及有效性的测试和评价。

内部控制审计的对象主要是控制环境、风险评估、控制活动、信息与沟通和监督等内部控制要素。

内部控制审计的内容是对构成内部控制的各要素进行测试与评价，主要包括：内部控制健全性检查评价;内部控制符合有效性测试;内部控制合理科学性综合评价;内部控制实质性测试。

审计师在进行内部控制审计时，应该应用通用的外业和报告准则，具备足够的胜任能力，保持应有的职业谨慎。

遵循一定的程序，采用适当的方法，以确保内部控制审计报告的质量。

通常来说，审计师应按照如下顺序，根据审计和评估的内容不同，分别采用适当的方法予以审计和评估。

1.计划审计业务。

审计师应对内部控制审计进行适当的计划和协助，以保证在需要时，进行适当的监督。

审计师必须获得对管理层关于公司内部控制有效性评估的过程的了解。

评估控制设计的有效性;根据评估其实施有效性的程序是否充足，来评估控制实施的有效性;决定内部控制缺陷的程度和导致重要缺陷和实质性漏洞发生的可能性;对审计发现是否合理以及是否支持管理层的评估进行评价。

主要包括对与财务报表重要会计科目和披露事项相关的所有认定进行控制的设计;关于重要交易是如何被初始、授权、记录、处理和报告的信息;关于交易流向的足够信息，包括识别可能发生错误或舞弊而导致重大错报的关键点;已设计的防止或发现舞弊的控制，包括谁实施控制以及相关的职责划分;对期末财务报告过程的控制;对资产保护的控制以及管理层进行测试和评估结果。

主要通过询问合适的管理层、监督人员和员工;检查公司文件;观察专用控制的应用;通过信息系统追踪与财务报告相关的交易来了解公司内部控制的各个方面。

审计师应首先在财务报表、会计科目或披露事项因素层次确定重要的会计科目和披露事项。

决定财务报表内重要的会计科目和披露事项也是决定特殊控制测试的出发点。

审计师应当对每一类主要的影响重要会计科目或几组会计科目的交易的重要流程进行识别。

主要的交易类型指的是对财务报表产生重要影响的交易类型。

作为了解和评估期末财务报告流程的一部分，审计师应当评估：公司使用编制年度和季度财务报表的输入和输出方法;期末财务报告过程中使用信息技术的程度;管理层的参与;涉及经营场所的数量;调整分录的类型(例如，标准、非标准、消除和合并);以及包括管理层、董事会和审计委员会在内的适当的机构对流程进行监管的性质和程度。

1.实施穿行测试。

审计师应当对于第一交易类型实施至少一个穿行测试。

审计师实施的穿行测试应当涉及对单独交易的初始、控制权、记录、处理和报告的整个过程，以及对每个被审计的重要流程所进行的控制，包括旨在发现风险和舞弊的控制。

穿行测试可以为审计师提供如下证据：确保审计师对于针对内部控制的五大方面所设计的控制进行识别和了解，包括与防止或发现舞弊相关的控制;确保审计师对于整个流程有所了解，并且根据每个相关的财务报表认定，判断是否在流程中容易发生错报的关键点都被识别出来;评估控制设计的有效性;和确认控制是否被实施。

审计师应当对与财务报表的所有重要会计科目和披露事项的所有相关认定所进行的控制的有效性获得足够的证据。

在识别重要会计科目、相关认定和重要流程之后，审计师应当对如下进行评估以识别出可以进行测试的控制：发生错误或舞弊的节点;管理层实施控制的性质;为实现控制标准目标而进行的控制的重要性和为实现某一特定目标，是否需要一个以上的控制，或者为实现某一特定目标，补入一个以上的控制是必要的;以及控制不能有效实施的风险。

当预期所实施的控制将防止或发现会导致财务报表重大错报的错误或舞弊时，内部控制的设计是有效的。

审计师应当通过如下标准判断公司是否实施了达到控制目标的控制：识别公司每一领域的控制目标;识别满足每一目标的控制;判断如果有效地实施了控制，是否可以防止或发现会导致对财务报表重大错报的错误或舞弊。

审计师应当通过判断控制是否按计划实施和实施控制的人员是否获得了必要的授权和具备有效实施控制的来评估控制实施的有效性。

对实施有效性进行控制测试的方式包括询问适当的人员、检查相关记录、观察公司的运营和重新实施控制措施等方式的结合。

在对内部控制发表意见时，审计师应当对获得的所有证据进行评估并发表意见，只有在没有发现实质性漏洞和审计师的工作没有受到限制的情况下，审计师才可以发表无保留意见。

如果存在实质性漏洞，审计师应当对财务报告的内部控制发表否定意见，如果工作范围受到限制，审计师应当发表保留意见或无法表示意见，视受限制的范围所定。

审计师必须评估已发现的控制缺陷，并且决定这些缺陷单独或累加之后，是否是重要缺陷或实质性漏洞。

对内部控制中缺陷的严重性进行评估时应当考虑以下几个方面：某缺陷或缺陷汇总会导致某会计科目余额或披露事项产生错报的可能性;某缺陷或多个缺陷造成的潜在错报的严重程度。

关于管理层对其内控有效性评估的报告，审计师应当评估下列事件：管理层对适当的内部控制制度的建立和维护是否已经声明了它的责任;由管理层用来执行评估的框架是否是适当的;到公司最近财年结束时，管理层内部控制有效性的评估，是否不包含重大的错报;管理层是否已经用一种可接受的形式表达了它的评估。

如果存在以下任何一种情况，审计师就应当修订标准报告：管理层的评估是不充分的，或管理层报告是不适当的;在公司的内部控制中有某个重要缺陷;在业务约定书的范围方面的限制;为了自己的报告，审计师决定参阅其他审计师的部分报告作为基础;自报告日期以来，发生了某个重大的期后事项;在内部控制的管理层报告中包含了其他信息。

当内部控制中某一变化的理由是对某个实质性漏洞的纠正时，管理层就有责任来确定和审计师就应当评估：变化的理由和变化周围的环境是否重要的信息来充分的确定披露该变化有误导。

内部控制的组织架构有四个层面，分别是决策、管理、执行、监督。

成员企业各业务单位;监督层面是集团审计部(在业务上接受审计委员会的指导与监督)。

通过建立健全内部控制的组织体系，使管理层及决策层能及时获得适当信息;全体员工能共同参与内部控制建设，共担内部控制责任;各层级、各部门、各岗位明确内部控制职责。

是集团公司最高决策机构，审批内控最终工作成果。

对内控工作进行业务上的指导与监督。

负责内部控制的建立健全和有效实施;审议年度内控评估报告及全面风险管理报告;审议内控与风险管理的重大策略，重大风险及内控缺陷的解决方案;审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告;审议内部控制及风险管理组织机构设置及其职责方案;有关内部控制及风险管理的其他事项。

度内控评估报告及全面风险管理报告;指导、监督检查相关职能部门及各成员企业内控与风险管理工作;就内部控制与风险管理工作向内部控制与风险管理委员会负责;及有关内部控制与风险管理的其他事项。

组织内控具体操作方面的工作，包括记录或更新业务流程图、评估内控设计及操作的有效性;反馈内控缺陷、将工作成果提交内部控制及风险管理办公室审阅、定期上报内控工作执行情况及重大问题;内控工作文档管理;为内控合规性提出建议等。

作为内部审计职能部门，审计部要对内控建设实施情况进行日常监督和专项检查，出具公司内控自我评估报告。

为内控工作小组开展工作提供支持和协助，组织安排本部门或单位涉及内控工作所需资源，协调本部门或单位内控工作开展的各项重要事宜。

各职能部门及业务单位的职责主要是由内控及风险管理员协助完成。

根据集团发[2011]199号文《关于设立兼职内控及风险管理员的通知》，内控及风险管理员职责包括：

1.联系本单位内控与风险管理相关人员，提供工作所需各项资料;

5.协助组织本单位风险事件信息的收集、整理及报送;

6.协助完成本单位年度重大及重要风险的评估与确认工作;

7.协助制定本单位重大风险管理偏好、风险承受度及解决方案;

8.协助编写本单位风险事件案例。

9.协助编制本单位内控及风险管理报告。

10.组织安排与内控及风险管理相关的其他工作。

由于内控管理员是内控工作小组与各职能部门或业务单位对接沟通的纽带，起到承上起下的作用，所以内控管理员的工作需要各部门领导的大力支持，需要全体员工的积极参与与通力协作。

集团本部内部控制建设包括公司层面和流程层面(即本部职能梳理和流程优化)两个层面内容，工作范围贯穿内部控制五个要素即内部环境、风险评估、控制活动、信息与沟通和内部监督。

依据内部控制指引，相关工作内容包括：组织架构、发展战略、人力资源、企业文化、社会责任、内部信息传递、资金活动、采购业务、资产管理、担保业务、业务外包、财务报告、全面预算、合同管理、信息系统，此外还将增加：税务管理、国有产权管理、账销案存资产管理、成本费用管理的内容。

(1)前期准备(5-6月)

《企业内部控制规范》启动会及培训、咨询机构招标选聘、合同谈判。

(2)项目计划和现状分析阶段(7月)

通过访谈、会议研讨和审阅主要内控文档等方式，了解内控要素现状, 研究提升方向，制定实施方案。

(3)内控设计有效性评估阶段(8-9月)

根据计划阶段的方法论，开展流程梳理、识别主要风险和关键控制点，进行设计有效性评估，识别内控设计缺陷，制定整改措施和建立监督机制，同时形成内部控制核心文档。

(4)内控执行有效性评估阶段(10月)

识别关键业务控制，进行执行有性效测试。

1、不兼容职务相互分离控制，要求各单位按照不兼容职务相分离的'原则，合理设置会计及相关工作岗位，明确职责权限，形成相互制衡机制。

不兼容职务主要包括：授权批准、业务经办、会计记录、财产保管、稽核检查等职务。

2、授权批准控制要求各单位明确规定涉及会计及相关工作的授权批准的范围、权限、程序、责任等内容，单位内部的各级管理层必须在授权范围内行使职权和承担责任，经办人员也必须在授权范围内办理业务。

3、会计系统控制要求各单位制定适合本单位的会计制度，明确会计凭证、会计账簿和财务会计报告的处理程序，建立和完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能。

4、预算控制要求各单位加强预算编制、执行、分析、考核等环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。

5、财产保全控制要求各单位限制未经授权的人员对财产的直接接触，采取定期盘点、财产记录、账实核对、财产保险等措施，确保各种财产的安全完整。

6、风险控制要求各单位树立风险意识，针对各个风险控制点，建立有效的风险管理系统，通过风险预警、风险识别、风险评估、风险分析、风险报告等措施，对财务风险和经营风险进行全面防范和控制。

7、内部报告控制要求单位建立和完善内部报告制度，全面反映经济活动情况，及时提供业务活动中的重要信息，增强内部管理的时效性和针对性。

8、电子信息技术控制要求运用电子信息技术手段建立内部会计控制系统，减少和消除人为操纵因素，确保内部会计控制的有效实施;同时要加强对财务会计电子信息系统开发与维护、数据输入与输出、文件储存与保管、网络安全等方面的控制。

但是，事业单位内部控制制度既关系到会计系统对单位经济活动反映的正确可靠性，又涉及到单位财产物资的安全完整性。

建立一整套适合领导如何管理和控制本单位内部经济活动的制度，对于保证会计信息质量的及时和准确，改善事业单位的经济现状，在实际经济工作中有效地施行显得尤为重要。

一、内部控制制度的含义

内部控制制度是指单位为贯彻执行所制定的各项管理政策，增进会计数据的真实性，保护资产，提高教学服务效益，促进单位良好地运转，而在单位内部所采取的组织规则和一系列的调节方法及措施，是管理与控制财务的一项非常重要的基础工作。

目标定位在能取得较好的经济效果和效率、保证财务报告的可靠性及遵循在适当的法规上。

其职能不仅包括管理层用来授权与指挥办公、教学、服务等活动的各种方式、方法，也包括核算、审核、分析各种信息资料及报告的程序与步骤，还包括为单位的经济活动进行综合计划、控制和评价而制定或设置的各项规章制度。

二、建立和完善内部控制制度的原则

(一)合法合规性原则。

内部控制制度应符合国家有关 法律 法规和本单位的实际情况，确保国家的法律法规和单位的内部规章制度能在本单位有效施行。

(二)全面性原则。

内部控制制度应涵盖单位内部各个部门及各个岗位的每项经济业务、并针对业务处理过程中的关键控制点，将内部控制落实到决策、执行、监督、反馈等各个环节。

(三)岗位责任制原则。

内部控制制度应保证单位内部机构、岗位及其职责权限的合理设置和分工，坚持不相容职务相互分离，确保不同科室和岗位之间权责分明、相互制约、相互监督。

(四)适时性原则。

内部控制制度是一个动态的过程，它随内外环境的变化而变化，制度不是僵死的教条，与业务相关的法律法规已修订，单位的工作范围发生变化等情况，都会引起制度的改变，单位应根据这些变化，与时俱进地对制度进行修订和完善，使之更好地发挥监督和控制作用。

三、建立和完善内部控制制度的措施

新《会计法》明确规定各事业单位应建立健全内部控制制度，财政部颁布的《内部会计控制规范——基本规范》也针对会计控制的目标、原则、监督、检查作出明确的规定，内控这一管理手段正逐渐成为单位管理的核心与重点工作。

南京银行股份有限公司实施内部控制规范工作方案

一、 基本情况介绍  

南京银行股份有限公司(下称“本行”)成立于 1996 年 2 月，是 发起设立的区域性股份制商业银行。

20xx年 7 月在上海证券交易所 挂牌上市，简称：南京银行，股票代码：601009。

自成立以来，本行严格按照监管部门要求，建立了股东大会、董 事会、监事会和高级管理层“三会一层”公司治理结构，并持续完善 公司治理机制建设。

在建立和完善内控和风险管理架构方面，董事会 层面设立了董事会风险管理委员会，经营层层面设立了内部控制与风 险管理委员会、日常内控建设管理机构风险管理部和日常内控监督评 价机构审计稽核部，形成了职责明晰、科学合理、监督有效的多层级 内部控制组织架构体系。

本行一直注重内部控制体系和全面风险管理 体系建设，20xx年上市以来，编制并公开披露年度内部控制自评价 报告，并由外部审计机构出具审核评价意见，20xx年开始逐步实施 五部委颁布的《企业内部控制基本规范》及其配套指引。

同时，实行 内部控制的工作预算，聘请专业咨询机构持续完善内部控制的各项管 理系统建设，有效地内控体系与本行经营需要相适应。

1、 制定了符合内部控制的目标和原则，搭建了能够与本行业 务规模、风险特点及经营管理能力相适应的内部控制管理架构。

2、 严格执行监管要求，初步形成了由内部环境、风险评估、 控制活动、信息与沟通、内部监督五大要素组成的内部控制机制;根 据“内控优先、制度先行”的原则，基本建立了涉及各项业务事务管 理领域和覆盖所有的管理部门、经营机构和岗位的内部控制制度体 系，并根据可持续发展的要求，适时完善内部控制的制度、程序和流 程。

3、 初步建立并完善了全面风险管理体系，对包括信用、市场、 流动性、操作、法律合规、信息科技、声誉与外包等风险在内的主要 风险进行持续的识别、评估、监测和报告，较好地实现了风险管理的 有效性。

5、重视内控评价工作，制定了《南京银行内部控制评价办法》， 明确了实施内控评价过程中的组织管理、职责分工、评价指标、评分 依据、评价标准等;从定量和定性两方面设定了本行重大、重要缺陷 的认定标准;内控自评估范围覆盖到所有部门和经营机构。

从 20xx年开始董事会逐年对年度内部控制自评价报告进行审定，并聘请了会 计师事务所出具了内部控制核实评价意见，按年度公开披露。

6、重视合规文化建设，持续两年开展了“内部控制和案防执行 年”活动，明确了“稳健、进取”的风险偏好以及审慎合规的经营理 念。

二、组织机构及职责分工

 (一)建立内部控制工作领导小组   

 1、小组组成    组长：林复董事长     

 副组长：周小祺(分管风险与合规)。

 小组成员：董事会风险管理委员会委员、董事会关联交易控制委 员会委员、董事会审计委员会委员、经营层内部控制及风险管理委员 会成员和高级管理人员。

2、工作职责   

 (5) 选聘内控审计会计师事务所。

 (二)职责分工及人员安排     

 1、内部控制建设牵头部门为风险管理部，负责组织、督促各业 务部门建立健全内部控制。

 2、内部控制监督和评价部门为审计稽核部，负责组织检查、评

价内部控制的健全性和有效性。

3、各条线管理部门为本条线内部控制责任部门，负责本条线内 部控制工作。

4、各分行、中心支行为本机构内部控制责任单位，负责所辖机 构内部控制工作。

各级机构设立专(兼)职内控合规与操作风险管理岗，负责在本 机构主要负责人的领导下，具体组织推动本机构实施内部控制工作。

三、 内部控制建设工作计划  

本行自成立以来一贯注重内部控制建设工作，并将内部控制与日 常经营管理紧密联系在一起，在组织架构、管控机制、制度流程、工 具方法等方面持续改进完善。

目前，在内部控制体系建设方面，已经完成的主要工作如下：  

(一)不断完善治理架构。

制定(修订)了《内控管理大纲》与 《操作风险管理政策》，构建了本行内部控制体系基本框架，明确董 事会、监事会、高级管理层内控合规与操作风险管理的职责分工。

(二)构建制度体系并持续完善。

梳理全行各项业务流程与管理 流程，按照“流程银行”管理理念，对制度体系进行设计，形成本行 《内部控制体系文件框架及清单》，按照体系框架全面开展体系文件 编写和确认，全面健全制度体系。

 (三)引入操作风险管理工具。

制定了《操作风险管理办法》、 《操作风险事件及损失数据收集管理办法》、《操作风险与控制识别评 估作业指导书》、《操作风险关键指标设立与监测作业指导书》、《操作 风险报告管理办法》，并开展操作风险与控制识别评估、关键指标监 测、损失数据收集及报告等工作，充分运用操作风险管理工具，系统 提升操作风险管理水平。

(四)建立健全内控合规管理机制。

一是健全内控检查管理机 制，制定《内控检查管理办法》，明确检查与问题整改管理要求。

按 季开展操作风险滚动排查，定期开展“双查”，并不断强化问题整改;

三是规范案件防控工作，制定《案件(风险)信息报送管理办法》、 《案件处置管理办法》、《内控与案防工作制度》等管理制度，建立内 控和案防长效机制，每年制定《内控和案防长效机制建设实施方案》， 明确年度内控和案防管控重点。

 (五)搭建系统管控平台，不断提高内部管控与风险管理效率。

建立本行内控合规与操作风险管理信息系统(grc 系统)，整合内控 合规与操作风险管理，将内外规管理、检查与整改、积分与问责、风 险与控制识别评估、关键指标监测、内控评价等管控机制嵌入系统，依托信息系统，实现制度管理、检查与整改、积分与问责、风险识别 评估、关键指标监测等联动管控机制。

同时形成完整的内控合规与操 作风险管理相关数据库，为后续实现三道防线信息共享、深化递进管 理和相互联动奠定基础。

20xx年主要在以下几方面进行完善内部控制体系建设    

(一)进一步完善内控合规管理架构体系     一是建立总行、分行(含中心支行，下同)、支行三级内控合规 组织体系，在主要业务部门和基层网点设立专职、兼职内控合规及操 作风险管理岗，明确不同层级内控合规及操作风险管理岗的岗位职 责，有效落实内控合规管理的各项机制和要求。

计划完成时间：一季度   

责任部门：风险管理部、人力资源部     

二是完善分行风险及内控管理组织结构体系，明确分行内部控制 与风险管理委员会、案件防控工作领导小组、风险总监的工作职责和 运作机制，提出法律合规部、风险管理部的部门职责及岗位设置要求。

计划完成时间：二季度    

责任部门：风险管理部、发展规划部、 人力资源部    

(二)进一步完善内控制度流程管理机制     

一是进一步建立健全规章制度体系，要求总行各部门及各分行确 定 20xx年度拟制定的制度清单，汇总制定《南京银行 20xx年度制度 制定计划》，并依托 grc 系统，动态调整、跟踪落实各项制度的制定。

计划完成时间：年底     

责任部门：风险管理部及相关条线管理 部门    

 二是根据制度制定和产品创新情况，定期调整《内部控制体系框 架及清单》和《产品目录》，持续更新、完善内控制度体系。

计划完成时间：年底     

责任部门：风险管理部及相关条线管理 部门   

三是为促进外法内化管理，制定《外法内化管理办法》，进一步 明确相关部门工作职责，以及外规的收集、外规分析与归档、外规解 读、外规转化内规、外规控制等环节的管理要求。

计划完成时间：一季度     

责任部门：风险管理部    四是为持续规范制度管理，不断提升制度管理质量，制定《规章 制度管理办法》、《规章制度作业指导书》，进一步规范制度起草、 审查、审批、解释等流程，确定统一、标准的制度模板，持续规范规 章制度管理。

计划完成时间：一季度      

责任部门：风险管理部    五是持续开展流程优化工作，定期梳理流程优化需求，启动流程 优化项目，并对流程优化执行效果进行后评价。

计划完成时间：年底      

责任部门：风险管理部及相关条线管理 部门       

 (三)进一步完善内控检查机制   

 进一步加强内控检查管理，要求总行各部门及各分行确定 20xx 年度拟开展的内控检查清单，汇总制定《南京银行 20xx年度内控检 查计划》，并依托 grc 系统，动态调整、跟踪落实各项内控检查的开 展，并对检查发现的问题进行督促整改，对问题的责任人进行积分管 理或问责处理。

计划完成时间：年底      

责任部门：风险管理部及相关条线管理 部门    

(四)进一步完善内控问责及内控考核机制    

一是进一步加强违规积分管理，梳理完善国际业务、投行业务、 电子银行业务积分标准，制定《20xx年度积分结果运用办法》，将 违规积分与分支机构、个人薪酬、评优挂钩，依托 grc 系统，动态开 展积分管理。

计划完成时间：二季度     

 责任部门：风险管理部及相关条线管 理部门    二是进一步加强分支机构风险及内控管理评价工作，督促分支机 构健全完善风险及内控管理体系，提高全行风险及内控管理水平，制 定《分支机构全面风险管理评价办法》，《20xx年度分支机构全面 风险管理评价指标体系》。

计划完成时间：一季度    

 责任部门：风险管理部    三是定期对各类违规事项开展尽职调查和问责处理，发挥问责的 惩戒作用，并及时发现制度流程缺陷，进行优化完善。

 计划完成时间：年底      

责任部门：风险管理部及相关条线管理 部门  

四是建立健全廉洁从业风险防控机制，开展廉洁从业风险点梳 理，持续开展员工行为排查活动。

计划完成时间：年底     

 责任部门：党群监察部、风险管理部   

 (五)加强内控系统建设及 it 风险评估   

 一是上线运行“grc”系统，运用系统开展内外规管理、检查与 整改、积分与问责等工作，并根据系统运行情况进行适时升级维护， 不断提高系统运用效率，有效提升合规与操作风险管控水平。

   计划完成时间：全年责任部门：风险管理部、信息技术部   

 二是进一步了解和掌握全行信息科技风险状况，查找管理中存在 的缺陷与不足，开展信息科技风险评估工作，对信息科技治理、风险 管理、安全、系统开发、测试、维护、运行等进行有效评估，并针对 评估中发现的问题有效落实整改。

   计划完成时间：二季度    责任部门：风险管理部、信息技术部  

识，系统开展政策、限额管理、授权管理、经济资本考核、风险评价

管理、授信业务平行作业、经营主责任人管理、规章制度管理等一系

列培训，强化内控合规管理工作。

   计划完成时间：全年     责任部门：风险管理部

 (七)持续推进内控和案防长效机制建设    根据本行《内控和案防长效机制建设规划》，制定《20xx年度 内控和案防长效机制建设实施方案》，明确年度内控和案防工作重点， 从制度流程、检查监督、体制机制、考核奖惩、人员管理等方面进行 规范，并强化对实施方案的检查监督，推动各项机制措施落实，持续 推进长效机制建设，整体提升内控和案防水平。

   计划完成时间：全年责任部门：风险管理部

   四、内部控制自我评价工作计划

   (一)进一步强化内控评价机制建设。

多策并举，提高评价效率、 增加评价覆盖面。

一是修订《内部控制评价手册》，增加对同业业务、 创新业务品种等的评价内容，将评价范围覆盖分支机构的主要业务领 域;二是将内控评价与非现场审计监控有机结合，通过日常监控为评 价工作搜集风险点。

      计划完成时间：年底   责任部门：审计稽核部  

   (二)强化常规审计结果在内控评价中的应用。

进一步完善专项

审计、经济责任审计和后续审计工作，强化风险审计导向，提升审计

技术，并将审计结果作为内控评价的重要借鉴因素，进一步提高评价

的效果和效率。

      计划完成时间：年底   责任部门：审计稽核部  

   (三)提高全员内控评价的规范性。

建设并持续完善 grc 系统 中的内控评价模块，加强对分支机构的培训工作，进一步推动分支机 构使用系统开展内部控制自我评估工作，提高工作的规范性。

      计划完成时间：年底   责任部门：审计稽核部  

   (四)强化《内部控制自评价报告》结果的运用。

对报告中发现

的问题，排出整改时间进度表，并定期评价整改情况。

 五、内部控制外部审计工作计划   

配合会计师事务所做好内控审计工作。

    计划完成时间：二季度    责任部门   董事会  

  2、在内部控制审计进行项目启动与计划阶段，主要任务是：了 解业务目标，识别和评估主要风险，完成整合审计项目计划。

     3、在内部控制审计全面铺开工作阶段，主要任务是：了解和评 估内部控制测试，选择若干家分行进行关键控制测试，初步评价内控 测试结果;根据内控测试发现的控制缺陷，沟通整改措施，并根据内 控测试的结果更新实质性测试计划，对弥补性控制或缺陷整改进行补 充测试。

    计划完成时间：年底   责任部门：内部控制审计会计师事务所  

   4、出具报告阶段。

主要任务是：审阅内部控制自我评估结果 和报告，进行内部控制的实质性测试，出具内部控制自评价报告审核 意见和内部控制审计报告。

   六、披露计划   

     董事会办公室作为对外信息披露的职能部门，负责内部控制信 息的披露工作。

       20xx年以来,本行始终严格按照财政部、中国证监会、中国银 监会、上海证券交易所等监管部门的要求进行信息披露,包括内部控 制信息的披露。

    20xx年本行的工作重点是提高内部控制信息的披露质量。

按监 管部门要求，及时披露《内部控制自评价报告》及审核评价意见;及 时披露《实施内部控制规范工作方案》和《内部控制审计报告》。

      计划完成时间：20xx 年二季度   责任部门：董事会办公室

为促进《行政事业单位内部控制规范(试行)》全面有效实施，提高单位管理水平，规范财经秩序，建设服务型机关，根据《纳雍县财政局关于印发纳雍县关于全面推进行政事业单位内部控制建设的工作方案的通知》(纳财字〔20xx〕270号要求，结合我单位实际，制定本工作方案。

坚持以科学发展观为指导，以部门预算管理为主线，以经费管控为核心，以科学的风险评估为基础，以流程梳理与机制建设为重点，依托信息化手段，将制衡机制融入到单位内部管理之中，实现对单位经济活动风险的防范和管控。

通过采取宣传学习、制衡机制、流程再造、督查评议等措施，强化内控意识，从单位(部门)层面，业务层面对经济活动风险进行防范和管控，保证单位(部门)经济活动合法合规、资产安全和使用有效、财务信息真实完整，有效防范舞弊和预防**，提高公共服务的质量和效率。

(一)组织准备阶段(20xx年4月)

成立内部控制建设工作领导小组，建立内部控制工作协调机构，拟定工作方案，营造重风险防范、强化责任意识、崇尚诚实守信、积极履行社会责任的内控文化，为贯彻实施内控规范营造良好氛围。

(二)推进落实阶段(20xx年5月-9月)

认真梳理各类经济活动的业务流程，查找业务风险，修改程序，完善流程，充分利用信息化手段，实现业务管理与财务管理的有机结合，制定完成本单位的《内部控制手册》，各室(部、中心)应梳理、完善本科室有关经济活动的业务流程，报领导小组办公室汇总。领导小组将通过调研、座谈等形式，推进单位开展内控规范建设工作，探讨存在的问题，提出解决方案。

(三)总结验收阶段(20xx年10月-11月)

开展好总结工作，收集相关资料集中归档(包括内部控制建设领导小组成立的文件、相关会议纪要或记录、已制定的内部控制制度、自查表等)，充分做好迎接县财政局检查验收的准备工作。

(一)健全机构，明确责任。务必高度重视，将其作为“一把手”工程，成立内控规范实施领导小组，由单位主要负责同志任组长，组织领导单位内控规范的实施工作。行政事业单位内部控制是一个复杂的体系，涉及到预算业务、收支业务、政府采购业务、资产管理、建设项目、合同等各项经济活动，需要单位内部的各有关部门和岗位加强沟通、相互协调，要落实职责分工，形成联动机制，确保内部控制工作顺利推进。

(二)加强学习，广泛宣传。将学习宣传活动与反对“**”、廉政风险防控等工作紧密结合起来，组织开展内控规范学习宣传活动，增强贯彻内控规范的主动性和自觉性。要按照因地制宜、注重实效的原则，积极采取多种方式广泛宣传实施背景、重大意义、基本内容和实施要求等，形成注重风险防控、强化责任意识的风气。通过学习，使相关人员增强对内控规范的理解，掌握实施的方法步骤，保证内控规范的顺利实施。

(三)完善制度，加强监督。要认真对照内控规范的内容和要求，制定工作标准，完善细化岗位责任制度，优化工作流程，分析存在问题，认真扎实整改，健全“以预算管理为主线、以经费管控为核心”的各项管理制度，把内控的要求贯穿于会计核算、会计监督的全过程，推进单位会计工作标准化、制度化、规范化建设。

内部控制建设是一项系统工程，也是一项长期的工作任务，是财政部门、各行政事业单位和各相关部门的共同责任，各室(部、中心)要齐心协力、密切合作，逐步建立起财务工作与业务工作相结合、日常财务管理和重要事项监控相结合的内部控制体系，确保内控规范顺利实施。

以科学发展观为统领，以党的十八大和十八届三中全会精神为指导，以服务好全镇经济社会发展为目标，规范我镇机关的内控管理，积极推进我镇政府的职能转变，创建服务型的乡镇**。

根据县有关乡镇机构调整相关文件，进一步明确“三个办公室和两个中心”的工作职责，理顺各办公室、中心、所站的工作关系;加强完善“两个中心”的人员岗位配备，把各项工作落实到人，确保每项工作有人负责，做到“人得其事，事得其人，人尽其才，事尽其功”。

1.理顺机关各部门工作关系，明确岗位职责。根据有关机构编制文件，结合我镇的实际情况，进一步明确各部门和各岗位的工作职责，根据工作职责理顺工作关系。

完成期限：20xx年5月20日前。

2.对各岗位人员进行调整和配备。根据人员身份和实际，合理安排工作岗位，充分发挥干部才能，把各项工作落实到人，确保每项工作有人负责。对股级干部的任免，按有关规定执行。

完成期限：20xx年6月20日前。

3.对镇领导班子成员及领导干部分工进行科学调整。

完成期限：20xx年6月20日前。

对镇机关内部现有工作制度进行整理和完善，对尚未规范管理的'工作建立制度规范管理，对各项工作流程按规定规范化制度化，进一步推进“一级抓一级，层层抓落实”的工作机制。

1.对需要建章立制的管理内容进行分类整理。通过广泛征求各部门和干部职工意见，对机关管理各方面的内容进行详细的梳理，并对已经建立的制度进行整理，进行深入研究，制定制度废改立的详细目录。

完成期限：20xx年5月20日前。

2.起草或修订制度。组织相关人员依据上级有关文件规定，结合我镇实际，对未建章立制的管理内容方面起草规章制度，对已经建立且不合时宜的制度进行修订，形成初稿。

完成期限：20xx年7月25日前。

3.组织讨论修改。制度涉及内容的镇分管领导组织相关人员对初稿的可行性、科学性、合理性等方面进行讨论，必要的话可召开镇领导班子扩大会议讨论，根据讨论情况修稿后形成讨论稿。

完成期限：20xx年8月15日前。

4.征求意见。向镇机关广大干部职工进行征求意见。

完成期限：20xx年8月25日前。

5.镇领导班子会议讨论。根据所征求到的意见，召开镇领导班子会议进行讨论研究，对科学合理可行的意见给予采纳修改。

完成期限：20xx年8月29日前。

6.送县法制办审查。按有关规定将镇领导班子讨论确定稿送县法制办审查。

完成期限：20xx年9月5日前。

7.印发执行。根据县法制办审查的反馈意见最终定稿后经镇领导班子会议通过，印发执行。

完成期限：20xx年9月26日前。

8.召开镇机关全体干部职工会议公布和强调。

完成期限：20xx年10月10日前。

(三)完善镇机关各业务部门工作流程。

对镇机关各业务部门工作流程进行梳理和规范，并按规定公开，对群众服务的业务严格实行一次性告知制度，阳光运作审批事项，切实做到公开、公平、公正。

1.再梳理业务事项和流程。对20xx年已经梳理并制定工作流程的业务事项再次进行认真梳理，制定和健全各项业务工作流程，制作工作流程图，工作流程应细致易懂，包括各环节的办理岗位、办理条件和材料、办理期限等。

完成期限：20xx年5月30日前。

2.镇有关分管领导审查。镇有关分管领导要对所分管工作的流程图进行审查，对不完善的要责成相关部门整改。

完成期限：20xx年6月13日前。

3.报县相关业务单位审查。将业务工作流程图及相关材料报县相关业务单位审查，确保流程图的合法合规性和完整性。

完成期限：20xx年6月27日前。

4.分类汇总，编制目录，将各业务流程图编制成册，并按规定进行公开。

完成期限：20xx年7月18日前。

为加强工作的组织领导，成立镇完善机关内控管理工作领导小组，负责领导和协调工作。

(一)本项工作作为解决领导干部和机关部门“四风”问题的重要抓手，镇领导班子各成员、镇机关各部门要高度重视本项工作，认真实在地开展好本项工作。

(二)本项工作涉及的有关分管镇领导对规范所分管部门内控管理内容工作负主要责任，要切实抓好自己分管部分的规范管理工作。

根据《江苏吴中实业股份有限公司内部控制评价制度》规定，股份公司内部控制评价分为自我评价和独立评价两部分，20xx年的内部控制评价工作依照此原则进行。

自我评价工作由股份公司组成评价工作组选取部分单位进行。20xx年度自我评价选择的样本单位为股份公司总部、江苏吴中医药集团有限公司(包含总部、苏州制药厂、中凯生物制药厂)、江苏吴中医药销售有限公司、江苏吴中进出口有限公司、江苏中吴置业有限公司(包含红玺项目)、苏州隆兴置业有限公宿迁市苏宿置业有限公司、苏州兴瑞贵金属材料有限公司。

苏州中吴物业管理有限公司、江苏吴中苏药医药开发有限公司、江苏吴中海利国际贸易有限公司因属于公司非重要业务以及高风险领域，因此不纳入本次自我评价范围。

独立评价选择的样本单位为股份公司总部、江苏吴中医药集团有限公司(包含总部、苏州制药厂)、江苏吴中医药销售有限公司、江苏吴中进出口有限公司、江苏中吴置业有限公司(包含红玺项目)、苏州隆兴置业有限公司、宿迁市苏宿置业有限公司、苏州兴瑞贵金属材料有限公司。

本次评价工作主要包括公司层面和业务层面两个层面的评价工作。

在公司层面，对内部环境、风险评估、控制活动、信息与沟通、内部监督等五个方面从内部控制的设计有效性和运行有效性两方面进行全面系统评价。

在业务层面，对为确保战略目标、经营管理的效率和效果、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标实现所设置的内部控制活动进行评价。

对股份公司总部以企业层面的控制是否有效为主线，包括内部环境、风险评估、信息与沟通、内部监督等;对下属企业以业务层面控制是否有效为主线，对主要业务活动控制的设计与执行的有效性进行评价，并关注企业层面的控制活动。

1.被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。

2.被评价单位内部控制设计的方法是否适当，内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。

3.被评价单位内部控制设计和运行的组织是否有效，人员配备、职责分工和授权是否合理。

4.被评价单位是否开展内部控制自查并上报有关自查报告。

5.被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。

6.被评价单位在评价期间是否出现过重大风险事故等。

自我评价由所属各单位按照股份公司统一安排，自行开展。内控评价部门审计部制定年度内部控制评价工作方案，提交董事会审议，根据工作方案的时间安排启动内部控制自我评价，下发内部控制自我评价表。

总部及所属各分子公司接到自我评价表后，按内部控制评价制度的相关要求，成立自我评价工作小组，制定工作实施方案，组织本单位(部门)进行自我评价工作。评价结果经部门负责人及所属领导审批确认后上报审计部汇总，股份公司内控评价工作组将对各单位的自我评价情况进行分析和审核，并报内部控制领导小组审阅。

内部控制独立评价，由股份公司内控评价工作组综合运用访谈、测试和比较分析等方法，广泛收集内部控制设计和运行是否有效的证据，研究分析内部控制缺陷，对各单位内部控制的有效性进行评价。股份公司内控评价工作组对现场各小组初步认定的内部控制缺陷进行全面复核、分类汇总，初步确认综合独立评价结果，报经内部控制领导小组审阅。同时结合提出的内控缺陷整改建议，组织内部控制缺陷整改，跟踪整改落实情况。

内控评价部门审计部在协调各部门完成内部控制自我评价工作及内控评价工作组完成独立测试工作后，结合内部控制评价工作底稿和内部控制缺陷汇总表，形成书面的《内部控制自我评价报告》，呈交内部控制领导小组、总经理办公会、董事会审阅。

根据财政部、证监会《关于20xx年主板上市公司分类分批实施企业内部控制规范体系的通知》(财办会[20xx]30号)的要求，为了保障合规、有序、高效地开展内部控制评价工作，依据《企业内部控制基本规范》、《企业内部控制配套指引》、《企业内部控制评价指引》、四川岷江水利电力股份有限公司内部控制手册》 及公司重要管理规章制度，特制定本工作方案。

内控评价的内容包括内部控制的五要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。

公司各部门评价的重点为：

内控评价的范围：公司本部及其分公司、子公司。

1、内控评价领导小组

(涉及董事会、监事会、审计委员会、总经理)

2、内控评价工作小组

(涉及审计部门、其他职能部门)

1、公司各部门、分子公司自查时间：

2、评价小组对各部门的评价时间：

3、评价小组对各分子公司的评价抽查时间：

4、汇总内控缺陷，出具内控报告时间：

1、期中评价，查找缺陷

(1)内控评价小组前期工作(20xx年月完成)

1)从公司环境层面了解、分析内部控制整体风险;

2)从企业层面控制了解、分析内部控制风险;

3)识别风险业务领域及重要组成部分;

4)起草评价方案，报经批准后，组织实施内控评价。

该阶段形成以下工作底稿：

1)组织架构、发展战略、人力资源、社会责任、公司文化的调查底稿;

2)内控评价工作方案。

(2)各单位自评

各单位评价小组成员召集本单位业务骨干，主持本单位内控评价，实现内控评价全覆盖，完善以下工作：

1)全面分析本单位相关的内部控制，完成《内部控制调查问卷》(详参考格式)的填写，由评价人员签字确认。

2)全面梳理本单位内部控制手册，比照本单位内部控制制度，对内部控制手册中不完善的地方进行修正。

3)查找并分析本单位相关业务及管理主要风险，补充完善流程图、风险清单、《风险矩阵》。

4)编写本单位的《内控评价报告》，评价人员与单位负责人共同确认的内控缺陷、评价员确认而单位负责人未确认的内控缺陷，应在《内控评价报告》中分别反映，若不存在该种情形，也应明确说明“无兼职评价确认而单位负责人未确认的内控缺陷”，《内控评价报告》由评价人员、单位负责人签字确认。

(3)内控评价小组复查

内控评价小组对各单位报送的《内控评价报告》及《风险矩阵》、《内控评价问卷调查表》进行分析;按风险导向思路，本着重要性原则，选择样本单位、重点流程进行复查，并建立以下底稿：

1)内部控制缺陷认定汇总表

2)流程图、风险矩阵、风险清单

3)公司层面内部控制环境评价工作表

4)流程自我评价工作表

(1)内控缺陷确认标准：详见《内部控制缺陷认定标准》

(2)内控缺陷的确认程序

1)各单位自评缺陷：评价人员初步判断，报单位负责人确认，将形成的一致意见和不同意见在《内控评价报告》中反映，报内控评价小组。

2)内控评价小组复查新增的内控缺陷：评价人员初步判断，征求缺陷所在单位相关人员意见后，评价小组讨论形成初步意见，报缺陷所在单位负责人确认。

3)内控评价小组汇总整理的内控缺陷：各单位负责人认可的内控缺陷，单位负责人召集相关人员讨论确定整改措施，评价小组对整改措施能否消除缺陷予以确认;单位负责人未确认的内控缺陷，评价小组应与缺陷所在单位的直接上级讨论确定;内控评价小组对股份公司管理层不予确认的缺陷，若内控评价小组认为属于重要或重大缺陷，应直接向董事会报告，由董事会裁定。

须整改的内控缺陷，由缺陷所在单位整改，由内控评价工作小组进行追踪，以确保相关单位采用适当措施进行改进。

内控评价小组跟踪、检查缺陷整改进度，确保整改后在20xx年12月31日前最低运行次数不少于2次，因有的业务一年只发生4次(如按季公告的财务报表)，故应在9月底以前完成缺陷整改;收集整改后的运行证据，确保缺陷已消除。

主要采用后推程序进行内控评价，即，期中测试运行有效的内部控制，到期末仍未发生变化，不再测试，重点关注、测试发生变化的内部控制和新增业务的内部控制。

内控评价小组起草公司的《内部控制自我评价报告》，经总经理办公会审议后，报董事会审批。

预计 万元。

出具内控评价报告后，内控评价小组在 个月内将内控评价底稿装订成册并归档，审计部保管年， 年以后交公司档案室，保存期限10年。

本方案经董事会审批后执行。

20xx年10月30日

根据《国家税务总局办公厅关于印发〈2014年大企业税务风险内控调查工作方案〉的通知》(税总办函[2014]219号)，结合国家税务总局2014年大企业税收管理工作绩效考评重点任务，制定本方案。

确认调查对象的原则如下：税务总局定点联系企业在京成员企业;具有一定的经营规模;具有实体经营业务;在所属集团层级较高;纳入税务总局部署的2014年税务风险管理专项工作的集团成员优先。根据上述原则，纳入本次内控调查工作范围的企业共计19户。

风险内控调查是开展税务风险管理工作的基础。为推进2014年大企业税务风险管理工作质效更上一个台阶，使得具体从事大企业管理工作的人员尽快掌握税务风险管理工作方法，6月下旬，将对参与2014年大企业专项工作的业务骨干进行集中培训，学习大企业分集团、分事项管理工作方法，通报整体工作方案。

在此阶段不与企业联系，根据已掌握的资料，梳理企业经营、纳税总体情况，主要包括以下内容：经营范围，主营业务类型和流程，收入规模，纳税规模，关联申报情况，资产损失申报情况，享受税收优惠情况，接受税务机关专项检查、评估、审计、稽查情况，重大涉税事项，系统中体现的企业修改申报表、缴纳滞纳金和接受罚款的情况，管理中发现的其他问题等。通过梳理上述内容，总结企业内控可能存在的风险。

及时与企业沟通，宣传内控调查工作目的和阶段性工作安排，引导企业做好《大企业税务风险内控调查基础信息表》和《大企业税务风险内控调查问卷》的填写。

1.审阅。结合案头分析结果，从以下几方面审阅信息表和调查问卷的填写情况，要求企业补充、修改或加以说明：

1).完整性。是否存在漏填项目;

2).合规性。是否按照填表要求填写;

3).逻辑性。是否存在回答相互矛盾的情况;

4).一致性。是否存在与案头分析结果不一致的情况。

2.复核。采取约谈企业或者实地核实的形式，结合问卷回答情况，与企业不同部门和层级的人员面对面复核;由企业人员就内控部门设置、制度安排进行整体描述;对企业就调查问卷回答有相关制度的，查阅有关文件规定，确定是否与企业人员描述相符;重点了解税务风险内控制度建设、部门设置及其运行状况。

结合案头分析结果，对调查取得的各类信息进行整理、分类、汇总，对调查结果进行综合分析，初步判断企业税务风险内控机制情况，分户形成《xx企业税务风险内控调查报告》，调查报告应包括以下内容：企业税务风险内控建设基本情况;通过内控调查反映出企业可能存在的涉税风险;对企业内控建设的改进建议等。2014年8月10日前将调查报告、《信息表》和《调查问卷》报送至市局。

(一)高度重视专项工作。税务风险内控调查是基层税务机关新接触的工作事项，同时也是今年总局大企业税收管理工作绩效考评重点任务。各单位应高度重视此项工作，成立工作小组，认真学习工作方案，积极参加市局组织的专项培训，将工作方法运用在工作实际中，有效推进内控调查的开展。

(二)加强国地税协调。调查过程中，应加强国地税沟通协调和信息共享，避免多头索取资料、频繁下户核实的情况。要充分利用系统中已经掌握的信息，在调查过程中，除有必要向企业核实外，应做到系统中已有的信息不要求企业报送。

(三)发挥中介机构专业力量。可以积极借助企业聘请的中介机构的专业力量，积极开展协调合作，共同推进税务风险内控调查工作。

(四)强化工作成果应用。各单位应认真分析内控调查结果，科学评判企业内控机制水平，提示企业相关税务风险，充分发挥内控调查在全流程税务风险管理工作中的重要作用。

根据税务总局确定的2014年大企业税收管理工作绩效考评重点任务，成立内控调查专项工作评审小组，对各单位内控调查工作的完成数量、进度和质量分项打分，向绩效办报送考评结果。

附件1：

所属省(市、自治区)：

调查人：(国税) 姓名 单位 联系电话

(地税) 姓名 单位 联系电话 填表日期：

填表说明：1.本表中信息由税务机关尽量根据已有企业信息进行填写。

2.本表中“所属行业”栏，按照国民经济行业分类进行填写。

3.本表中“登记注册类型”栏按照税务登记证进行填写，可以从下拉列表中选择。

4.本表中“核算形式”栏可以从下拉列表选择独立核算或者非独立核算。

5.本表中“会计制度”、“增值税纳税人类型”栏可以从下拉表中进行选择填列。

大企业税务风险内控调查问卷

为提高内部管理水平,规范内部控制,全面落实《常德市实施〈行政事业单位内部控制规范(试行)〉工作方案》规定，结合实际，制定本局内部控制规范实施方案。

根据中央省市作风建设规定和《党政机关厉行节约反对浪费条例》精神，按照常德市实施《行政事业单位内部控制规范(试行)》工作方案的要求，通过宣传动员、内部自查、制定制度、严格执行的方式，夯实单位会计基础工作，保证经济活动合法合规、资产使用安全有效、财务信息真实完整，切实防范和预防腐化，规范内部控制，提高管理水平。

以预算管理、收支管理、政府采购管理、资产管理、建设项目管理、合同管理等业务层面内部控制制度为主要内容，汇编形成我局内部控制工作手册;单位内部控制规范落实工作进入常态化、规范化轨道，内部控制工作成效不断显现。

根据《行政事业单位内部控制规范(试行)》要求，努力从单位和业务层面两个方面加强内部控制。

一是建立并组织实施适合我局实际的内部控制体系，包括单位经济活动的决策、执行和监督相互分离;建立健全内部控制关键岗位责任制，确保不相容岗位相互分离、相互制约和相互监督;充分运用现代科学技术手段，加强内部控制。

二是梳理我局各类经济活动的业务流程，明确业务环节，系统分析经济活动风险，确定风险点，选择风险应对策略。

在以上基础上，建立健全我局各项内部管理制度。

(三)任务分工。

单位内部控制工作机构，负责内部控制工作的组织和机制的建设、内部管理制度的完善、关键岗位工作人员的管理、财务信息的编报等工作，对具体经济业务活动进行全面梳理，查找存在的风险，提出完善意见，制定具体制度，经局党支部会议研究同意后组织实施。

具体经济业务活动主要包括预算业务管理、收支业务管理、票据管理、政府采购业务管理、资产管理、生产发展资金使用管理、项目管理、经济合同管理以及内部监督管理等内容。

(一)宣传培训学习阶段(1至5月)。

按照全市统一部署，我局会计刘华斌参加市财政局组织的专门培训。

同时，局办公室开展本局宣传、培训和集中学习活动，使全局工作人员全面了解实施《行政事业单位内部控制规范(试行)》的意义、原则、内容和方法，在全局形成“人人学内控，人人懂内控，人人参与内控，人人执行内控”的局面。

按照内部控制规范要求，对单位和业务层面现有工作制度和业务内容进行全面梳理，完善经济业务流程，形成本单位规范的经济流程目录。

开展经济活动风险评估，查找风险点。

同时，在内部控制分析、诊断的基础上，综合运用不相容岗位相互分离、内部授权审批、归口管理、预算管理、会计控制、单据控制、信息内部公开等八类控制方法，设计风险控制措施。

按照科学、民主、规范、严谨原则，根据设计的控制措施，结合工作实际和业务特点，细化工作程序，加强包括内控组织建设、机制建设、制度建设和信息化建设在内的单位层面建设，加强包括预算编制、审批、执行、决算与考评制度建设、收入和支出内部管理制度建设、采购内部管理制度建设、资产内部管理制度建设、项目内部管理制度建设、经济合同内部管理制度建设在内的业务层面建设。

利用文字、图表等形式搭建单位层面、业务层面内部控制制度的基本框架。

按照不同层面的内部控制要求，将管控措施、权责、流程融入内部控制制度，使各项制度规范化、系统化、流程化、信息化，做到各项制度完整、可操作，完成本单位内部控制工作手册的编制。

根据单位内部控制制度，认真组织内部控制制度的实施，并加大对各项内控制度建设和落实情况的检查指导，提高贯彻实施《行政事业单位内部控制规范(试行)》的工作效率和效果。

成立由肖继国任组长，曾辉、谢启宏、曾志任副组长，李爱顺、熊和平、侯志刚、李恩堂为成员的贯彻实施《行政事业单位内部控制规范(试行)》工作领导小组。

负责组织制定我局贯彻实施内部控制规范工作方案并组织实施工作，协调解决重大事项、监督、指导内部控制工作开展。

领导小组下设办公室，李爱顺兼任办公室主任，刘华斌、代君慧为成员，负责领导小组日常工作。

贯彻实施《行政事业单位内部控制规范(试行)》涉及单位层面、业务层面、评价监督等多方面工作，时间要求紧，工作任务重。

要将其作为当前及今后的一项重要基础性、常态化工作来抓，精心组织落实，做到边学习、边梳理、边完善、边规范、边执行，逐步建立权责明确、运行有效、执行有力、管理科学的内部控制体系。

内部控制规范实施工作领导小组要加强组织协调，细化工作方案，明确工作职责，落实工作责任。

单位主要负责人为内控规范实施第一责任人，要带头推动规范实施，做到任务到岗、责任到人、层层抓落实。

常德市地震局

为积极稳妥地推进建立以源头治理和过程控制为核心的企业内控体系，健全和完善对全资、控股、参股公司的管理控制体系，全面提升集团公司管理水平，强化集团公司在国际化建设过程中防范风险的能力，促进集团公司战略发展目标的实现，特制定本方案。

集团公司非常重视内部控制制度的建设，这些制度的有效执行对提高集团公司管理水平和各阶段发展目标的实现起到了积极的促进作用。

但是，从我们对股份公司、****公司等单位内控体系建设调研的情况，以及国务院国资委对中央企业开展内控体系建设的总体要求看，目前的各项管理制度还没有真正融为一体，成为一套系统化的体系。

由此导致了职能部门之间管理界面不清晰、管理责任不到位;下级单位对上级多头汇报、多头请示;同级业务单位之间业务交叉，工作标准参差不齐。

这些问题和矛盾的存在，制约着集团公司整体科学管理水平的进一步提高，与集团公司的战略发展目标也不相适应，需要我们对现有的各项管理制度进行梳理并系统化，以形成一套科学、完整的制度化体系。

内部控制是由企业决策层、管理层和其他人员实施的，为实现企业战略发展目标提供合理保证的过程。

建立健全和不断完善内部控制体系是国内外企业长期管理实践经验的结晶，有助于约束和规范企业管理行为的基本准则，有效规避风险。

(一)实施内控体系建设是实现集团公司整体协调发展目标的需要。

“十一五”期间，集团公司将以保障国家油气安全供应为己任，突出实施资源、市场和国际化战略，率先建成一流的社会主义现代化和具有较强国际竞争力的跨国企业集团。

随着集团公司的发展，尤其是实施国际化经营战略，客观上需要集团公司理顺内部管理流程，针对关键的风险控制点，采取积极稳妥可行的措施，建立起一套科学、有效的内部控制体系，增强抵御内外部风险的能力，为实现集团公司的整体协调发展目标创造适合的环境和氛围。

内部控制是企业科学管理的重要内容，是实现企业目标的重要依托。

建立并认真执行一套设计科学、简洁适用、运行有效的内控体系，将有助于企业及时发现和掌握经营管理中的突出风险，有助于企业强化内部管理控制措施，有助于用规范和制度约束管理行为，有助于企业整合优化内部资源配置，提高资源的使用效率和效果。

通过对内控体系的长期有效执行和不断完善，将使集团公司各个层面的各项经营活动处于受控状态，全面提升集团公司的科学管理水平。

建立现代企业制度，完善法人治理结构是实现集团公司发展目标的重要组织保障。

及时获取充分有效的信息用于分析和化解面临的各种风险，实施有力监督，增强有效防范风险的能力，防止出现内部人控制或降低内部人控制的程度，以维护集团公司作为出资人的权益。

近年来，越来越多的企业将内部控制制度作为企业管理的主要手段，内部控制制度的建设受到了广大企业的.高度重视，我国企业在内部控制制度的设计领域开展了卓有成效的实践，取得了长足的进步。

但是由于经验不足、内部控制制度设计人员素质不高等原因，在现阶段，我国企业的内部控制制度设计从总体上看质量不高，对内部控制各要素的设计不系统、不科学，企业的内部控制制度设计仍存在着诸多误区，主要表现在以下几个方面：

第一，企业在进行内部控制制度设计时忽略了实施成本问题，虽然制定出了严谨的内部控制制度，但是实行该制度所花费的成本超过了因此而产生的经济效益，缺乏可操作性，得不偿失。

第二，企业在进行内部控制制度设计时过于注重制度的文字编写，忽略了制度的执行和其作用的发挥，使制度流于形式，有的企业甚至将制定内部控制制度作为应付相关部门检查、审计的手段，没有真正意识到企业内部控制制度的重要性。

第三，企业在进行内部控制制度设计时对内部控制监督机制设计的重视程度不够，导致对企业内部控制的监督薄弱，难以确保制度的执行和其有效性。

由于监督的失效容易出现“内部人控制”的现象，将影响全体企业员工的控制意识和行为，严重的甚至导致内部控制的失败。

第四，对已经制定的内部控制制度，很多企业未能根据企业的发展状况及时对内部控制制度作出适当的调整，致使内部控制制度不适应企业的发展，难以对企业新的经济业务进行有效控制。

第五，在内部控制制度的设计中忽略了人的因素，须知无论如何完善的制度，最终还是需要人去执行，如果内部控制制度未得到员工的认同和理解，那么制度最终会沦为一纸空文。

企业内部控制制度设计的优劣将直接影响内部控制制度执行的有效性，因此，在进行企业内部控制制度的设计过程当中，应该避免走入设计误区，并抓住设计要点进行制度设计，以确保企业内部控制制度的科学合理。

企业内部控制制度首先需要有明确的控制目标。

控制目标是管理经济活动的基本要求、实施内部控制的最终目的，同时也是评价内部控制的最高标准。

简单来说，设置企业内部控制目标解决了企业为什么要进行控制的问题，为内部控制指明了努力的方向。

在企业内部控制制度的设计中，企业内部控制目标的定位应该与企业的发展战略相结合，应该把握控制目标的动态性、层次性和全面性的特征进行设计。

众所周知，处于不同发展阶段的企业，由于发展战略各异，其内部控制的侧重点有所不同，因此，企业内部控制目标具有动态性，进行内部控制目标设计应该随企业的发展而变化，实行跟踪控制;还应该针对企业的不同治理结构层次、内容对企业内部控制目标进行分解，满足内部控制目标的层次性要求，做到目标明确、分而治之。

同时，还要在制度上体现对内部控制多个目标间的协调，使整体控制效果达到最佳状态。

控制流程是依次贯穿于某项业务活动始终的基本控制步骤及相应环节，控制流程往往是与业务流程相吻合的。

在企业内部控制制度设计中，控制流程的设计应该是与企业控制目标相适应的。

控制流程的设计思路和方法很多，如按会计科目设计、按经济业务类型设计、按经营单位或管理部门设计，等等。

但是，无论使用哪种(或多种)设计思路，都需要根据企业的实际情况，结合企业所制定的内部控制目标进行权衡比对，从而选择最适合的设计思路和方法。

为了确保制度设计的科学合理，在进行流程设计之前应该对企业现有经济业务进行分类、整合和提炼，避免重复设计流程(如控制手段、控制过程相同的不同经济事项被重复进行设计)。

另外，在进行控制流程设计时不可避免会出现交叉或重复的内容，此时需要对这些内容进行适当调整，否则将影响其客观性。

控制流程是由控制点组成的，控制点又分为关键控制点和一般控制点两种类型，对不同的控制点需要采用不同的控制方法进行管理。

关键控制点与一般控制点在一定的条件下是可以相互转化的。

企业制定内部控制措施的关键在于抓住关键控制点，企业管理者只有将注意力集中于业务处理过程当中发挥作用大、影响范围广、对保证整个业务活动的控制目标至关重要的关键控制点上，才能确保内部控制的效率和效果。

因此，控制点的设计非常重要，其中关键控制点的选择更是重中之重。

内部控制关键控制点应该以选择关键的成本项目、业务活动、业务环节、重要要素及重要资源为选择依据，即将影响成本项目费用的主要因素，对企业竞争力、盈利能力有重大影响的活动、要素和资源及容易发生且可能造成重大损失的环节设定为内部控制关键控制点。

值得注意的是，不同的经济业务活动其关键控制点是不同的，某环节在某项业务中属于内部控制关键控制点并不意味着它永远都是，也许在其他的业务活动中，该环节仅是一般控制点。

因此，在进行内部控制制度设计中，必须根据管理或内部控制目标的具体要求、业务活动的类型及特点等来选择和确定企业内部控制的关键控制点。

内部控制权限的设计是企业建立内部控制制度的精髓之一，控制权限是否设置合理，直接决定了内部控制制度的客观性和有效性。

内部控制要求企业必须建立合理的授权机制，对内部控制的控制权限进行合理配置。

笔者认为，对内部控制权限进行设计要遵循重要性原则、责任明确原则，既要满足控制目标的需要，又要兼顾工作效率。

明确内部控制的控制权限应从授权阶段就开始进行控制。

管理层在进行授权时，应该统筹考虑授权的范围、层次与责任，将所有的经营活动都纳入授权范围，把经济活动的重要性列为权限划分的重要依据，防止出现权力重叠或责任真空的现象，做到权责明晰，为各中间管理层和全体员工以所授权限开展工作提供依据。

管理者通过合理授权以保证经营决策得以有效运行、管理制度有效贯彻，实现权力制衡。

在设计中实现相互牵制也非常重要，若同一项经济业务由一个人(或一个部门)包办，则难以实现管理控制的目标，必须要有相互牵制、相互制约和相互监督，进行控制权限设计同样需要考虑这方面的问题。

内部控制监督是经营管理部门对内部控制的管理监督及内审监察部门对内部控制的再监督活动的总称，是随着时间的推移而评估制度执行质量的过程。

在我国，很多企业并非没有建立内部控制制度，困扰企业的主要问题是所建立的内部控制制度的执行效果不佳，某些参与制定内部控制制度的负责人内部控制意识薄弱，致使内部控制制度形同虚设或出现“对上不对下”的尴尬局面。

造成这种不良现象出现的主要原因就是企业忽视了对内部控制监督的设计，监督机制不完善。

因此，要确保企业所建立的内部控制制度被切实执行并获得良好的执行效果，就必须对内部控制过程施以恰当的监督，内部控制监督设计的重要性可见一斑。

在进行内部控制设计时，应该关注监督评审程序的合理性、对内部控制缺陷的报告和对政策程序的调整。

要将内部控制监督工作列为企业日常工作之一，将内部审计列为重点监督手段，使内部审计充分发挥监督企业经营业务、提供完善内部控制制度和纠错的建议的作用。

同时，畅通监督信息反馈渠道可以使管理层或其他人员在发现企业内部控制缺陷时，能及时向上反馈或提供建设性建议，使企业内部控制的缺陷得以及时、果断处理。

企业内部控制制度体例是内部控制制度的基础和骨架，除非遇到特殊情况或特殊需要，一般来说，内部控制制度的体例是不需要作重大调整的。

倘若内部控制制度的体例设计不合理，企业对体例作出重大调整时，将会耗费大量的人力、物力。

另外，频繁地调整内部控制制度的体例也不利于制度的执行，同时也削弱了制度的权威性。

因此，内部控制制度体例的设计至关重要，在设计时，不但要考虑一般的设计问题，还要考虑到所设计的制度体例能够适应今后修改完善的要求，预留一定的修订、完善空间。

例如，对内部控制制度条目的排序可以用1.1、1.2、2.1等排序，能够较好地解决对业务流程、控制步骤和控制点进行增补、修改或删除的需要。

而在文字编排方面，诸如基本原则、要求、一般规定等应该在制度大纲中描述，而不宜放在具体的业务流程当中。

总的来说，就是内部控制制度的体例设计要确保制度整体结构在一定时期内保持稳定，同时可以适应修订和完善的需求。

总之，建立健全企业的内部控制制度是企业增强市场竞争力、迎接经济全球化挑战的必然选择。

应该看到，我国的企业内部控制尚不成熟，对内部控制制度的设计仍存在缺陷，这就要求我们必须在实践中继续完善内部控制制度的设计。

企业内部控制制度的设计是一个动态的过程，制度设计人员要在具体执行、正确评价等实践过程当中不断完善内部控制制度，才能真正确保企业控制目标的实现。