为促进《行政事业单位内部控制规范(试行)》全面有效实施，提高单位管理水平，规范财经秩序，建设服务型机关，根据《纳雍县财政局关于印发纳雍县关于全面推进行政事业单位内部控制建设的工作方案的通知》(纳财字〔20xx〕270号要求，结合我单位实际，制定本工作方案。

坚持以科学发展观为指导，以部门预算管理为主线，以经费管控为核心，以科学的风险评估为基础，以流程梳理与机制建设为重点，依托信息化手段，将制衡机制融入到单位内部管理之中，实现对单位经济活动风险的防范和管控。

通过采取宣传学习、制衡机制、流程再造、督查评议等措施，强化内控意识，从单位(部门)层面，业务层面对经济活动风险进行防范和管控，保证单位(部门)经济活动合法合规、资产安全和使用有效、财务信息真实完整，有效防范舞弊和预防**，提高公共服务的质量和效率。

(一)组织准备阶段(20xx年4月)

成立内部控制建设工作领导小组，建立内部控制工作协调机构，拟定工作方案，营造重风险防范、强化责任意识、崇尚诚实守信、积极履行社会责任的内控文化，为贯彻实施内控规范营造良好氛围。

(二)推进落实阶段(20xx年5月-9月)

认真梳理各类经济活动的业务流程，查找业务风险，修改程序，完善流程，充分利用信息化手段，实现业务管理与财务管理的有机结合，制定完成本单位的《内部控制手册》，各室(部、中心)应梳理、完善本科室有关经济活动的业务流程，报领导小组办公室汇总。领导小组将通过调研、座谈等形式，推进单位开展内控规范建设工作，探讨存在的问题，提出解决方案。

(三)总结验收阶段(20xx年10月-11月)

开展好总结工作，收集相关资料集中归档(包括内部控制建设领导小组成立的文件、相关会议纪要或记录、已制定的内部控制制度、自查表等)，充分做好迎接县财政局检查验收的准备工作。

(一)健全机构，明确责任。务必高度重视，将其作为“一把手”工程，成立内控规范实施领导小组，由单位主要负责同志任组长，组织领导单位内控规范的实施工作。行政事业单位内部控制是一个复杂的体系，涉及到预算业务、收支业务、政府采购业务、资产管理、建设项目、合同等各项经济活动，需要单位内部的各有关部门和岗位加强沟通、相互协调，要落实职责分工，形成联动机制，确保内部控制工作顺利推进。

(二)加强学习，广泛宣传。将学习宣传活动与反对“**”、廉政风险防控等工作紧密结合起来，组织开展内控规范学习宣传活动，增强贯彻内控规范的主动性和自觉性。要按照因地制宜、注重实效的原则，积极采取多种方式广泛宣传实施背景、重大意义、基本内容和实施要求等，形成注重风险防控、强化责任意识的风气。通过学习，使相关人员增强对内控规范的理解，掌握实施的方法步骤，保证内控规范的顺利实施。

(三)完善制度，加强监督。要认真对照内控规范的内容和要求，制定工作标准，完善细化岗位责任制度，优化工作流程，分析存在问题，认真扎实整改，健全“以预算管理为主线、以经费管控为核心”的各项管理制度，把内控的要求贯穿于会计核算、会计监督的全过程，推进单位会计工作标准化、制度化、规范化建设。

内部控制建设是一项系统工程，也是一项长期的工作任务，是财政部门、各行政事业单位和各相关部门的共同责任，各室(部、中心)要齐心协力、密切合作，逐步建立起财务工作与业务工作相结合、日常财务管理和重要事项监控相结合的内部控制体系，确保内控规范顺利实施。

以科学发展观为统领，以党的十八大和十八届三中全会精神为指导，以服务好全镇经济社会发展为目标，规范我镇机关的内控管理，积极推进我镇政府的职能转变，创建服务型的乡镇**。

根据县有关乡镇机构调整相关文件，进一步明确“三个办公室和两个中心”的工作职责，理顺各办公室、中心、所站的工作关系;加强完善“两个中心”的人员岗位配备，把各项工作落实到人，确保每项工作有人负责，做到“人得其事，事得其人，人尽其才，事尽其功”。

1.理顺机关各部门工作关系，明确岗位职责。根据有关机构编制文件，结合我镇的实际情况，进一步明确各部门和各岗位的工作职责，根据工作职责理顺工作关系。

完成期限：20xx年5月20日前。

2.对各岗位人员进行调整和配备。根据人员身份和实际，合理安排工作岗位，充分发挥干部才能，把各项工作落实到人，确保每项工作有人负责。对股级干部的任免，按有关规定执行。

完成期限：20xx年6月20日前。

3.对镇领导班子成员及领导干部分工进行科学调整。

完成期限：20xx年6月20日前。

对镇机关内部现有工作制度进行整理和完善，对尚未规范管理的'工作建立制度规范管理，对各项工作流程按规定规范化制度化，进一步推进“一级抓一级，层层抓落实”的工作机制。

1.对需要建章立制的管理内容进行分类整理。通过广泛征求各部门和干部职工意见，对机关管理各方面的内容进行详细的梳理，并对已经建立的制度进行整理，进行深入研究，制定制度废改立的详细目录。

完成期限：20xx年5月20日前。

2.起草或修订制度。组织相关人员依据上级有关文件规定，结合我镇实际，对未建章立制的管理内容方面起草规章制度，对已经建立且不合时宜的制度进行修订，形成初稿。

完成期限：20xx年7月25日前。

3.组织讨论修改。制度涉及内容的镇分管领导组织相关人员对初稿的可行性、科学性、合理性等方面进行讨论，必要的话可召开镇领导班子扩大会议讨论，根据讨论情况修稿后形成讨论稿。

完成期限：20xx年8月15日前。

4.征求意见。向镇机关广大干部职工进行征求意见。

完成期限：20xx年8月25日前。

5.镇领导班子会议讨论。根据所征求到的意见，召开镇领导班子会议进行讨论研究，对科学合理可行的意见给予采纳修改。

完成期限：20xx年8月29日前。

6.送县法制办审查。按有关规定将镇领导班子讨论确定稿送县法制办审查。

完成期限：20xx年9月5日前。

7.印发执行。根据县法制办审查的反馈意见最终定稿后经镇领导班子会议通过，印发执行。

完成期限：20xx年9月26日前。

8.召开镇机关全体干部职工会议公布和强调。

完成期限：20xx年10月10日前。

(三)完善镇机关各业务部门工作流程。

对镇机关各业务部门工作流程进行梳理和规范，并按规定公开，对群众服务的业务严格实行一次性告知制度，阳光运作审批事项，切实做到公开、公平、公正。

1.再梳理业务事项和流程。对20xx年已经梳理并制定工作流程的业务事项再次进行认真梳理，制定和健全各项业务工作流程，制作工作流程图，工作流程应细致易懂，包括各环节的办理岗位、办理条件和材料、办理期限等。

完成期限：20xx年5月30日前。

2.镇有关分管领导审查。镇有关分管领导要对所分管工作的流程图进行审查，对不完善的要责成相关部门整改。

完成期限：20xx年6月13日前。

3.报县相关业务单位审查。将业务工作流程图及相关材料报县相关业务单位审查，确保流程图的合法合规性和完整性。

完成期限：20xx年6月27日前。

4.分类汇总，编制目录，将各业务流程图编制成册，并按规定进行公开。

完成期限：20xx年7月18日前。

为加强工作的组织领导，成立镇完善机关内控管理工作领导小组，负责领导和协调工作。

(一)本项工作作为解决领导干部和机关部门“四风”问题的重要抓手，镇领导班子各成员、镇机关各部门要高度重视本项工作，认真实在地开展好本项工作。

(二)本项工作涉及的有关分管镇领导对规范所分管部门内控管理内容工作负主要责任，要切实抓好自己分管部分的规范管理工作。

为了论述方便，首先简要分析一下内部控制审计的分类。

经济组织内部进行内部控制审计，不可能都针对整个内部控制系统进行，更多情况是对其中部分展开。

按照涉及内部控制的范围，大致可分为如下三类：

3 、独立单位内部控制审计，这种审计是对经济组织所属的独立单位的内部控制进行审计，独立单位是指财务上独立的，可以是投资中心或利润中心，也可以是子公司，单独设置财务机构的分公司，它们自己本身可能有一套内部控制，同时还要执行经济组织作为整体的内部控制。

这三类审计各有各的特点，但在审计程序上，由于独立单位内部控制审计相对较复杂，程序最全面，因此以下即以其为蓝本讨论。

内部控制审计程序与其他审计中作为审计程序的内部控制评价应该有相似之处，因为毕竟两者都是以内部控制为焦点而展开，但由于服务的目标不一致，在程序上也有差别。

内部控制评价程序一般是：

1 、了解与记录内部控制;

2 、初步评价控制风险;

3 、实施符合性测试;

4 、评价内部控制的强弱。

作为一种单独开展的审计，了解经济组织的基本情况这些准备工作是必须的，因为对内部控制需求越强烈的经济组织，其规模越大，这是必然的;在大规模的组织里，管理高层、各个下属机构的诸多具体的基本情况内部审计人员不可能都熟悉。

了解基本情况是开展内部控制审计的基本条件，否则无从下手。

同样大规模的组织内既存在针对整个组织的控制，也存在针对某个部分或某个下属机构的控制，内部审计人员也不可能都熟悉，因此了解内部控制也是必须的。

在了解内部控制阶段，还必须初步分析所了解信息，以初步确定内部控制的健全性和有效性，规划要实施的符合性测试程序。

接下来与内部控制评价程序一样，实施符合性测试，以获得遵循性的评价，同时最终确定健全性和有效性。

最后归纳总结审计结果，提出审计报告。

总结上述，本文认为内部控制审计程序为：

1 、了解基本情况;

2 、了解内部控制;

3 、实施符合性测试;

4 、提出审计报告。

下面即以该程序为主线展开讨论，其中提出审计报告在内部审计报告中讨论。

了解基本情况，是了解所要审计内部控制所涉及单位的基本情况，这些情况是展开审计的必要准备和基本条件，影响着整个审计的过程和结果。

这些基本情况包括：

1 、单位所属的行业和历史沿革(着重于管理沿革);

2 、单位组织结构、各机构的人员规模和岗位结构;

3 、单位资产规模、生产经营或专业服务的特点规模;

4 、主营业务及辅助业务类别、业务量;

5 、财务会计机构及其工作组织;等等。

这些基本情况可以通过询问管理人员、查阅相关文件、会计和统计资料等方法来获得。

基本情况获得后，审计人员就要适当利用自己专业判断，确定以下内容：

1 、业务循环及其大致内容;

2 、必须控制的重要或经常发生的业务;

3 、内部控制应有的严谨程度;

4 、审计应该投入的人力及分工和时间预算。

确定业务循环及其大致内容实际是划分业务循环的过程，确定的是审计展开的主线;重要或经常发生的业务是必须控制的，确定它们就是确定审计的重点;内部控制的严谨程度是与独立单位的规模相关的，规模较小的单位内部控制程度就相应较低，衡量标准就不能太高，实际这就是确定衡量标准的问题，提出设计意见时必须考虑;确定投入的人力和时间预算是为了保证整个审计过程有条不紊地进行，保证审计质量。

下一步工作是制定审计总体计划，其主要内容就是上述基本情况获得后审计人员所确定的内容，主要包括审计的范围，即业务循环及内容，审计的重点，即必须控制的重要或经常发生的业务，审计组人员构成、分工和时间预算。

这个计划在以后审计过程中还要适时调整。

需要特别说明的是业务循环的划分。

业务循环的划分是将若干个关联的经济业务或管理活动组合在一起。

2001 年财政部发布的《内部会计控制基本规范》(征求意见稿)中提出，“内部控制的内容主要包括对货币资金、筹资、采购与付款、实物资产、成本费用、销售与收款、工程项目、对外投资、担保等经济业务活动的控制”，其中这些经济业务就是基本的业务循环划分，但目前有多样化的趋势，国际内部审计师协会就提出预算管理、资讯管理等管理作业。

业务循环是以后审计程序展开的主线，了解内部控制和符合性测试都按照它来组织，因此划分业务循环影响到整个审计的组织、效率和质量。

一般来说业务循环应按下列原则来划分：

1 、覆盖单位所有业务及其各个环节;

2 、每个业务循环能反映出所涉及业务的共同性质特点及其全部过程;

3 、有利于审计的组织安排。

了解内部控制的内容

要了解内部控制，首先要解决内部控制的构架问题。

1988 年美国 aicpa 提出内部控制结构即控制环境、控制结构和会计系统，我国独立审计准则即采用这种观点。

1994 年 coso 报告提出内部控制要素即控制环境、风险评估、控制作业、信息与沟通、监控。

内部控制要素是内部控制结构的纵深发展，在内容上进一步完善，在内部环境上更注重员工的素质，增加风险评估强调要实现目标就必须分析相关风险，构成风险管理的基础，将会计系统扩大为信息与沟通，更强调信息的内部传达， 增加监控要素将内部控制的执行纳入进来。

由于 coso 报告提供出的内部控制理论很全面，更加接近内部控制的本质认识，而内部控制的建设要以先进理论为指导，与实际情况相结合，因此本文认为，在我们目前的条件下，我们应采用 coso 报告的观点，以它的框架为指导，同时鉴于我国目前内部控制落后的情况，应更加注重控制作业和监控，即如何建立起健全有效的控制程序与政策以及它们的实际执行，在控制作业完善的带动下，风险评估和信息与沟通也逐步完善，同时逐步转变管理观念，提高员工素质，建立起合理的法人治理结构和具体组织结构，使控制环境得以改善。

由于内部审计充当监控的主要角色，内部控制审计就是履行监控的职责，因此了解内部控制阶段对监控的了解可以置于次要地位;又由于风险评估的风险是管理层和作业层控制目标因内外部风险因素影响而不能实现的风险，对它进行评估后设置相应的控制作业来控制，而内部控制审计要做的一部分工作就是评价控制作业是否能控制住风险，实现控制目标，实际就是风险评估过程，因此风险评估不做了解，而在接下来的分析工作中进行。

由于控制作业实际就是控制程序与政策，为了理解直观起见，本文就称其为控制程序与政策;由于内外部信息和它们在单位内外部、内部各部门各成员之间的流动可以构成一个系统，因此信息与沟通可以合称为信息系统。

总结上述，本文认为内部控制审计要了解的内部控制要素为控制环境、控制程序与政策及信息系统。

如上所述，了解内部控制以业务循环为主线展开的，即按业务循环逐个循环了解，这些循环构成单位整体，这是横向的;同时针对每个循环的控制，分别去了解它控制环境、控制程序与程序、信息系统，这是每个循环的控制的纵向构成，是纵向的了解。

横向纵向的交叉了解构成了解内部控制程序的骨架。

了解控制环境是了解影响内部控制其他要素的因素，提供内部控制构成基础好坏的证据，同时为分析内部控制健全性有效性和遵循性好坏的原因提供证据素材。

了解控制环境的内容实际就是控制环境的内容，按照 coso 报告，控制环境包括： 1 )、员工的诚实性和道德观; 2 )、员工的胜任能力; 3 )、董事会或审计委员会; 4 )、管理哲学和经营方式; 5 )、组织结构; 6 )、授权和分配责任的方式; 7 )、人力资源政策。

这里主要是针对各个业务循环所涉及的部门、人员、方法来说的，其中第 3 点是针对整个单位，实际在了解基本情况程序中就已进行。

了解控制程序与政策，就是了解控制目标实现风险所采取的措施，它是了解内部控制要素中最重要的部分。

每个业务循环都可分为若干个作业，而每个作业都要设置若干控制程序和政策来控制，我们本文把这些作业称为控制点。

比如制造业的销售与收款循环可分为接受定单、核准信用、发运商品、开具发票、应收账款与记录、收款、退货及客诉处理等作业。

在业务循环的划分阶段，已经取得了业务循环大致内容的了解，在了解控制程序与政策阶段，应进一步了解，去获得足够信息来进一步确定业务循环内的各个作业，然后针对每个作业，去了解所采取的控制程序与政策。

了解信息系统只要是了解单位内外部信息记录载体，以及沟通方式。

外部信息载体包括记录市场份额、法规要求和客户反映等信息的资料，内部信息载体包括业务申请审批报告、各种分析报告、进行控制作业形成单据、会计资料等等。

沟通方式包括政策手册、财务报告手册、备查簿、口头交流、管理示例等。

进行内部控制的了解可采取的方法与内部控制评价程序中的一样，大致查阅控制文件和控制信息记录载体、询问有关人员、观察作业的进行和内部控制的运行情况等等。

初步分析健全性和有效性

在对内部控制获得了解后，就可以对其健全性和有效性进行初步分析，以规划将要实施的符合性测试程序。

初步健全性分析主要是分析哪些重要或经常发生的业务或作业应该设置控制而未设置。

这些业务在了解基本情况中已获悉，而重要或经常发生的作业则在了解控制程序与政策中已了解，通过了解控制程序与政策能知道它们是否设置控制。

初步有效性分析主要是针对控制程序与政策而实施的。

这实际就是初步的风险评估。

初步有效性分析首先要分析确定各个业务循环、各个作业的控制目标，然后再分析所了解到的控制程序与政策，看它们是否能实现控制目标。

对于控制有缺陷的可以提出初步的改进意见。

初步的健全性和有效性分析后就可以规划将要实施的符合性测试。

一般来说对于以下情况就可以不进行测试：

1 )对业务循环或关键控制点的控制初步评价为无效;

2 )在了解内部控制的过程中已知对某业务循环或关键控制点的控制未得到遵循;

4 )虽对业务循环或关键控制点设置控制但未发生相关业务。

而以下情况就可以考虑进行大范围的测试：

1 )相关业务大量发生的业务循环或关键控制点的控制;

2 )相关业务虽不大量发生但涉及金额相对较大的业务循环或关键控制点的控制;

3 )控制程序相对复杂的控制。

规划结果应记入审计计划，并对审计计划做相应调整。

记录内部控制

制度基础审计理论中记录内部控制的方法主要有：文字叙述，调查表，核对表，流程图。

本文认为作为记录方法内部控制审计可以采用。

对于控制环境的记录，一般是文字叙述，按照上述控制环境的几个方面来记录。

了解基本情况程序也采用文字叙述的方法记录。

记录要形成审计工作底稿。

记录内部控制主要是记录控制程序与政策和信息系统。

采用的方法以上四种都可以采用，但以调查表最为常用。

在本文中，即讨论调查表改进和特殊运用。

一般，调查表的调查内容是有审计人员根据自己的经验和被审计单位的情况自行设计的，但对于内部控制审计，本文认为，鉴于我国目前内部控制薄弱和人们对内部控制该如何知之甚少的情况，调查表应该引入标准内部控制作为导引，以配合政府推动内部控制的建设。

标准内部控制是指针对某个业务或作业由权威部门设计的标准控制。

比如 2001 年财政部发布的《加强货币资金内部控制的若干规定》(征求意见稿)，就是标准的内部控制。

对于各类型单位共有的业务或作业，如货币资金业务、固定资产业务融投资业务等可由财政部门制订统一标准;对于具有行业特性的业务或作业，如生产循环、销售及收款等主要针对制造业，则由行业主管部门或行业协会分别制订，供不同行业采用。

在调查表中引入标准内部控制，要从权威部门制订的针对各业务或作业的标准内部控制中，按业务或作业内部若干个控制点抽取提炼出对控制点的标准控制程序和政策，作为调查表的调查内容。

调查控制程序和政策时就循其进行。

同时由于引入了标准内部控制，对单位特殊的控制程序和政策可能就无法调查得到，而那些控制也是很重要的，因此有必要将调查表与文字叙述结合起来，加入单位实际做法的叙述。

结合的方式就是在每个控制点控制调查内容下面单设一行，用来记录单位的特殊做法。

符合性测试包括设计测试和执行测试，设计测试即健全性和有效性测试，执行测试即遵循性测试。

还由于有效性健全性初步分析结果需进一步获得证据确证，如通过分析认为对某控制点设置的控制能达到控制目标，但这个判断是否正确，还需要进一步了解实际情况，因此需要通过测试进一步获得更全面的信息证据来确证。

执行测试是符合性测试的主体，主要是检查内部控制是怎样执行的。

进行内部控制设计测试，主要要做如下工作：1 )更深层次地了解单位的内部控制，作出更准确的健全性和有效性评价;2 )获得进一步支持健全性和有效性初步评价结果的证据;3 )检验在了解和初步评价内部控制阶段所作的重要专业判断和分析。

进行内部控制执行测试，要特别注意如下事项：1 )对业务循环和关键控制点设计的控制是如何具体组织应用于实际的;2 )控制是否一贯执行;3 )是否由控制规定职务的人来执行，其中后两个是重中之中。

《独立审计准则第 5 号——内部控制与审计风险》中提供了三种符合性测试方法，即检查交易和事项的凭证、询问并实地观察未留下审计轨迹的内部控制的运行情况、重新执行相关内部控制，三种方法可单独或合并使用。

本文认为符合性测试方法应以检查为主，同时辅以观察和询问。

因为控制执行一贯、规定职务人执行是重中之重，而控制执行中留下的审计轨迹亦即控制信息载体能反映出这两者，检查控制信息载体就能了解到这两者，在检查的同时通过观察和询问获得控制具体应用的证据。

检查控制信息载体，即针对每个业务循环所涉及的单证、报告、合同等控制信息载体，抽取其中部分，检查执行各个控制点下各个控制程序与政策留下的记录，推断出是否得到全面一贯的执行。

抽取工作采取属性抽样技术来进行，基本与内部控制评价中的相同。

样本量的大小根据了解内部控制阶段的规划确定，样本采用随机选样或系统选样的办法选取。

遵循性评价主要针对控制点控制内的各项控制措施。

内部控制的实际遵循情况是个程度概念，遵循与不遵循只是它的两个极端，本文认为对遵循性的评价应采取评级的办法，以更好的反映遵循程度。

遵循性级别最好分为四个到六个等级，等级太少难于准确衡量遵循程度，等级太多难于把握等级之间的差别，由审计人员根据具体情况确定级别;每个级别还应确定应提的审计意见，如遵循性分为 a 、 b 、 c 、 d 四个级别，被评为 a 级的，提出执行较好的意见， b 级提出应加强的意见， c 级提出应重点加强的意见， d 级提出特别提示加强的意见。

评级时审计人员主要根据属性抽样结果，同时综合考虑通过观察询问得到的控制应用于实际的情况，运用自己的专业判断，评判其遵循性级别。

本文认为，评定级别只是一种手段，重要的是要实现内部控制审计目标。

进行评级提出各种加强意见是为了实现督促内部控制执行的审计目标，而发现控制具体应用于实际中存在的问题，以及发现因控制未很好执行而导致财产损失、信息失真、效益下降等问题则是为了检查内部控制执行。

对遵循情况评级后评价时更应注重建设性意见的提出。

通过设计测试既可能获得健全性和有效性初步评价须修正的补充证据，又可能获得确证初步评价结果的证据，因此这个阶段的评价主要工作一是综合了解和测试两阶段所获得所有资料，对健全性有效性作出最终评价;二是针对不健全和控制无效或有缺陷的地方提出审计意见。

健全性评价主要针对重要或经常发生的业务或作业，主要应注意三种情况：

1 、控制文件中没有规定控制，测试程序中也未发现实施了控制;

3 、没有控制文件，其他了解方法也不能得知是否设置控制，但经测试已实施控制。

前两种情况就应对相应业务或作业提出控制不健全的意见，后一种应认为实际是健全的 ， 但应提出健全控制文件的建议。

有效性的评价主要是针对未采用标准内部控制而实施特殊控制的情况，对采用了标准内部控制的也要做简要分析，因为标准内部控制可能不适于单位，而且一些控制政策需要按照标准结合自己的实际自行制定。

有效性评价首先要分析确定对各控制点实施控制应达到的目标，本文认为可以在内部控制系统目标的指导下结合控制点的具体情况分析确定，如对现金收入的控制程序，根据保证资产的安全完整目标。

分析确定其目标为保证现金收入以真实金额真正流入单位，根据保证信息记录的真实完整确定控制目标为保证现金收入都真实无误的加以记录，根据提高运营效率确定目标为提高现金流入单位的速度，根据保证遵守国家法律规章确定目标为遵守《现金管理暂行条例》相关规定。

各个控制点控制目标不一定与控制系统目标一一对应，有些系统目标对某些控制点可能不适用，如采购验收这一控制点的控制目标就与“保证遵守国家法律规章”无关，根据具体情况采用。

目标确定后再分析控制点控制的各项措施是否能达到控制目标。

对测试过程中发现的重大财产损失、效率低下、违法事件等问题，应特别注意分析其控制健全性和有效性原因，如果是因健全性和有效性导致的，那么这些问题既是健全性有效性初步分析的确证，又是分析评价和提出建设意见的重点。

健全性有效性评价的重点在意见的提出，是为了实现补充完善、再生内部控制的审计目标。

对有效性的评价实际上是有效性分析和改进意见形成的混合体，分析的过程中意见也就可以有针对地提出，而且改进意见是目的。

健全性的评价实际是确定未控制的业务或作业和针对其建立内部控制的过程，主要工作在后者。

可以看出有效性评价和健全性评价在基本方法上是一致的，都是内部控制建立的方法，因为有效性分析和改进意见的提出实际也是在确定控制目标、分析风险、提出控制措施。

因此内部控制建立方法是健全性和有效性评价、对实现审计目标的要件。

关于内部控制建立的具体方法本文不再详述，只提出一点意见。

本文认为，在健全意见和有效性改进意见提出的过程中，应特别注意标准内部控制和内部控制方法的运用。

标准内部控制前已述及，为配合政府推动内部控制建设，对于特定业务或作业，应注意运用相应的标准内部控制，并与自己的实际情况结合起来，以提出更具建设性的意见。

这对健全性意见的提出更具实际意义。

内部控制方法在前述 2001 年我国财政部发布《内部会计控制基本规范》(征求意见稿)中有规定，它们是：

2 )授权批准控制，包括确立合理的授权批准范围、层次、责任和程序;

6 )职工素质控制，包括职工聘用、培训、考核、轮岗、奖惩、晋升、解聘;

9 )电子信息系统控制，包括系统组织和管理、系统开发与维护、文件资料、数据、网络安全控制，输入输出控制、处理控制。

这些方法对建立和改进意见的提出能发挥出指导和衡量的作用。

与其他审计报告一样，内部控制审计报告也是对审计结果的总结。

在提出审计报告前，审计人员应重新检查在审计过程中获得的资料，做如下一些分析：

1 、 是否了解研究了单位所有重要控制;

2 、所作分析判断是否得到了测试的证实或有足够的证据支持;

3 、是否遗漏了其他需要考虑的影响最终评价的客观事实;

4 、最后的健全性有效性遵循性评价是否适当，有足够的证据支持;

5 、出现了那些因内部控制导致的重大问题，哪些人员严重违反内部控制且已致严重后果;等等。

审计项目负责人还要复核审计底稿，之后就着手准备撰写审计报告。

内部审计报告应突出重点，一些细节问题只要通知当事人或主管人员就可以，不必在审计报告中反映，还应便于理解，一些有关内部控制的专业术语尽量用易懂的词句代替。

1 、单位基本情况简介;

2 、内部控制体系介绍;

3 、内部控制健全性有效性遵循性评价及具体意见;

4 、因内部控制导致的重大问题及有关人员严重违反内部控制且已致严重后果的事实和处理意见。

其中关于健全性有效性遵循性评价及具体意见只反映存在问题的各个控制，运行良好的不必反映。

报告格式本文认为无须固定，只要能充分反映出上述内容即可。

审计报告应经过审计组的`全体讨论通过方可，而且在定稿前应与所设计执行人或管理者沟通，听取他们对审计建议的意见。

这样做主要是为了保证审计意见质量，使其能更好地得到执行。

审计报告向内审机构主管报出。

报告批准后，对于重大控制问题最高领导层还应组织听证会，组织人员落实审计意见。

审计完成后内审机构应及时组织回访，以检查督促审计意见的执行。

内部控制审计在我国还是新事物，在加紧建设内部控制的大环境下，它的许多问题必须加紧讨论，得出统一认识，以促使其尽快更好地发挥出作用。

虽然内部控制审计由来已久，但国内外学术界和审计实践界对内部控制审计的定义均持有不同的看法，尚未形成统一的定论。

美国上市公司会计监管委员会发布的《pcaob审计准则第2号——内部控制审计原则》(2004年)、中国注册会计师协会发布的《独立审计具体准则第9号——内部控制与审计风险》(1997年)和中国内部审计协会发布的《内部审计具体准则第5号——内部控制审计》(2003年)中均没有明确对内部控制审计予以定义。

内部控制审计的含义和性质应该采用广义的概念，即内部控制审计既可以作为独立的审计项目组织实施，用以完善内部控制，也可以作为实施其他审计项目的一个程序或方法，以便确定对其依赖程度和进行内部审计的范围、重点及方法，有效提高审计工作效率和质量。

内部控制审计就是对内部控制的健全性、符合性、合理性及有效性的测试和评价。

内部控制审计的对象主要是控制环境、风险评估、控制活动、信息与沟通和监督等内部控制要素。

内部控制审计的内容是对构成内部控制的各要素进行测试与评价，主要包括：内部控制健全性检查评价;内部控制符合有效性测试;内部控制合理科学性综合评价;内部控制实质性测试。

审计师在进行内部控制审计时，应该应用通用的外业和报告准则，具备足够的胜任能力，保持应有的职业谨慎。

遵循一定的程序，采用适当的方法，以确保内部控制审计报告的质量。

通常来说，审计师应按照如下顺序，根据审计和评估的内容不同，分别采用适当的方法予以审计和评估。

1.计划审计业务。

审计师应对内部控制审计进行适当的计划和协助，以保证在需要时，进行适当的监督。

审计师必须获得对管理层关于公司内部控制有效性评估的过程的了解。

评估控制设计的有效性;根据评估其实施有效性的程序是否充足，来评估控制实施的有效性;决定内部控制缺陷的程度和导致重要缺陷和实质性漏洞发生的可能性;对审计发现是否合理以及是否支持管理层的评估进行评价。

主要包括对与财务报表重要会计科目和披露事项相关的所有认定进行控制的设计;关于重要交易是如何被初始、授权、记录、处理和报告的信息;关于交易流向的足够信息，包括识别可能发生错误或舞弊而导致重大错报的关键点;已设计的防止或发现舞弊的控制，包括谁实施控制以及相关的职责划分;对期末财务报告过程的控制;对资产保护的控制以及管理层进行测试和评估结果。

主要通过询问合适的管理层、监督人员和员工;检查公司文件;观察专用控制的应用;通过信息系统追踪与财务报告相关的交易来了解公司内部控制的各个方面。

审计师应首先在财务报表、会计科目或披露事项因素层次确定重要的会计科目和披露事项。

决定财务报表内重要的会计科目和披露事项也是决定特殊控制测试的出发点。

审计师应当对每一类主要的影响重要会计科目或几组会计科目的交易的重要流程进行识别。

主要的交易类型指的是对财务报表产生重要影响的交易类型。

作为了解和评估期末财务报告流程的一部分，审计师应当评估：公司使用编制年度和季度财务报表的输入和输出方法;期末财务报告过程中使用信息技术的程度;管理层的参与;涉及经营场所的数量;调整分录的类型(例如，标准、非标准、消除和合并);以及包括管理层、董事会和审计委员会在内的适当的机构对流程进行监管的性质和程度。

1.实施穿行测试。

审计师应当对于第一交易类型实施至少一个穿行测试。

审计师实施的穿行测试应当涉及对单独交易的初始、控制权、记录、处理和报告的整个过程，以及对每个被审计的重要流程所进行的控制，包括旨在发现风险和舞弊的控制。

穿行测试可以为审计师提供如下证据：确保审计师对于针对内部控制的五大方面所设计的控制进行识别和了解，包括与防止或发现舞弊相关的控制;确保审计师对于整个流程有所了解，并且根据每个相关的财务报表认定，判断是否在流程中容易发生错报的关键点都被识别出来;评估控制设计的有效性;和确认控制是否被实施。

审计师应当对与财务报表的所有重要会计科目和披露事项的所有相关认定所进行的控制的有效性获得足够的证据。

在识别重要会计科目、相关认定和重要流程之后，审计师应当对如下进行评估以识别出可以进行测试的控制：发生错误或舞弊的节点;管理层实施控制的性质;为实现控制标准目标而进行的控制的重要性和为实现某一特定目标，是否需要一个以上的控制，或者为实现某一特定目标，补入一个以上的控制是必要的;以及控制不能有效实施的风险。

当预期所实施的控制将防止或发现会导致财务报表重大错报的错误或舞弊时，内部控制的设计是有效的。

审计师应当通过如下标准判断公司是否实施了达到控制目标的控制：识别公司每一领域的控制目标;识别满足每一目标的控制;判断如果有效地实施了控制，是否可以防止或发现会导致对财务报表重大错报的错误或舞弊。

审计师应当通过判断控制是否按计划实施和实施控制的人员是否获得了必要的授权和具备有效实施控制的来评估控制实施的有效性。

对实施有效性进行控制测试的方式包括询问适当的人员、检查相关记录、观察公司的运营和重新实施控制措施等方式的结合。

在对内部控制发表意见时，审计师应当对获得的所有证据进行评估并发表意见，只有在没有发现实质性漏洞和审计师的工作没有受到限制的情况下，审计师才可以发表无保留意见。

如果存在实质性漏洞，审计师应当对财务报告的内部控制发表否定意见，如果工作范围受到限制，审计师应当发表保留意见或无法表示意见，视受限制的范围所定。

审计师必须评估已发现的控制缺陷，并且决定这些缺陷单独或累加之后，是否是重要缺陷或实质性漏洞。

对内部控制中缺陷的严重性进行评估时应当考虑以下几个方面：某缺陷或缺陷汇总会导致某会计科目余额或披露事项产生错报的可能性;某缺陷或多个缺陷造成的潜在错报的严重程度。

关于管理层对其内控有效性评估的报告，审计师应当评估下列事件：管理层对适当的内部控制制度的建立和维护是否已经声明了它的责任;由管理层用来执行评估的框架是否是适当的;到公司最近财年结束时，管理层内部控制有效性的评估，是否不包含重大的错报;管理层是否已经用一种可接受的形式表达了它的评估。

如果存在以下任何一种情况，审计师就应当修订标准报告：管理层的评估是不充分的，或管理层报告是不适当的;在公司的内部控制中有某个重要缺陷;在业务约定书的范围方面的限制;为了自己的报告，审计师决定参阅其他审计师的部分报告作为基础;自报告日期以来，发生了某个重大的期后事项;在内部控制的管理层报告中包含了其他信息。

当内部控制中某一变化的理由是对某个实质性漏洞的纠正时，管理层就有责任来确定和审计师就应当评估：变化的理由和变化周围的环境是否重要的信息来充分的确定披露该变化有误导。

为促进《行政事业单位内部控制规范(试行)》全面有效实施，提高单位管理水平，规范财经秩序，建设服务型机关，根据《纳雍县财政局关于印发纳雍县关于全面推进行政事业单位内部控制建设的工作方案的通知》(纳财字〔20xx〕270号要求，结合我单位实际，制定本工作方案。

坚持以科学发展观为指导，以部门预算管理为主线，以经费管控为核心，以科学的风险评估为基础，以流程梳理与机制建设为重点，依托信息化手段，将制衡机制融入到单位内部管理之中，实现对单位经济活动风险的防范和管控。

通过采取宣传学习、制衡机制、流程再造、督查评议等措施，强化内控意识，从单位(部门)层面，业务层面对经济活动风险进行防范和管控，保证单位(部门)经济活动合法合规、资产安全和使用有效、财务信息真实完整，有效防范舞弊和预防腐`，提高公共服务的质量和效率。

成立内部控制建设工作领导小组，建立内部控制工作协调机构，拟定工作方案，营造重风险防范、强化责任意识、崇尚诚实守信、积极履行社会责任的内控文化，为贯彻实施内控规范营造良好氛围。

认真梳理各类经济活动的业务流程，查找业务风险，修改程序，完善流程，充分利用信息化手段，实现业务管理与财务管理的有机结合，制定完成本单位的《内部控制手册》，各室(部、中心)应梳理、完善本科室有关经济活动的'业务流程，报领导小组办公室汇总。

领导小组将通过调研、座谈等形式，推进单位开展内控规范建设工作，探讨存在的问题，提出解决方案。

开展好总结工作，收集相关资料集中归档(包括内部控制建设领导小组成立的文件、相关会议纪要或记录、已制定的内部控制制度、自查表等)，充分做好迎接县财政局检查验收的准备工作。

务必高度重视，将其作为“一把手”工程，成立内控规范实施领导小组，由单位主要负责同志任组长，组织领导单位内控规范的实施工作。

行政事业单位内部控制是一个复杂的体系，涉及到预算业务、收支业务、政府采购业务、资产管理、建设项目、合同等各项经济活动，需要单位内部的各有关部门和岗位加强沟通、相互协调，要落实职责分工，形成联动机制，确保内部控制工作顺利推进。

将学习宣传活动与抵制“四风”、廉政风险防控等工作紧密结合起来，组织开展内控规范学习宣传活动，增强贯彻内控规范的主动性和自觉性。

要按照因地制宜、注重实效的原则，积极采取多种方式广泛宣传实施背景、重大意义、基本内容和实施要求等，形成注重风险防控、强化责任意识的风气。

通过学习，使相关人员增强对内控规范的理解，掌握实施的方法步骤，保证内控规范的顺利实施。

要认真对照内控规范的内容和要求，制定工作标准，完善细化岗位责任制度，优化工作流程，分析存在问题，认真扎实整改，健全“以预算管理为主线、以经费管控为核心”的各项管理制度，把内控的要求贯穿于会计核算、会计监督的全过程，推进单位会计工作标准化、制度化、规范化建设。

内部控制建设是一项系统工程，也是一项长期的工作任务，是财政部门、各行政事业单位和各相关部门的共同责任，各室(部、中心)要齐心协力、密切合作，逐步建立起财务工作与业务工作相结合、日常财务管理和重要事项监控相结合的内部控制体系，确保内控规范顺利实施。

共青团纳雍县委员会

根据《江苏吴中实业股份有限公司内部控制评价制度》规定，股份公司内部控制评价分为自我评价和独立评价两部分，20xx年的内部控制评价工作依照此原则进行。

自我评价工作由股份公司组成评价工作组选取部分单位进行。20xx年度自我评价选择的样本单位为股份公司总部、江苏吴中医药集团有限公司(包含总部、苏州制药厂、中凯生物制药厂)、江苏吴中医药销售有限公司、江苏吴中进出口有限公司、江苏中吴置业有限公司(包含红玺项目)、苏州隆兴置业有限公宿迁市苏宿置业有限公司、苏州兴瑞贵金属材料有限公司。

苏州中吴物业管理有限公司、江苏吴中苏药医药开发有限公司、江苏吴中海利国际贸易有限公司因属于公司非重要业务以及高风险领域，因此不纳入本次自我评价范围。

独立评价选择的样本单位为股份公司总部、江苏吴中医药集团有限公司(包含总部、苏州制药厂)、江苏吴中医药销售有限公司、江苏吴中进出口有限公司、江苏中吴置业有限公司(包含红玺项目)、苏州隆兴置业有限公司、宿迁市苏宿置业有限公司、苏州兴瑞贵金属材料有限公司。

本次评价工作主要包括公司层面和业务层面两个层面的评价工作。

在公司层面，对内部环境、风险评估、控制活动、信息与沟通、内部监督等五个方面从内部控制的设计有效性和运行有效性两方面进行全面系统评价。

在业务层面，对为确保战略目标、经营管理的效率和效果、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标实现所设置的内部控制活动进行评价。

对股份公司总部以企业层面的控制是否有效为主线，包括内部环境、风险评估、信息与沟通、内部监督等;对下属企业以业务层面控制是否有效为主线，对主要业务活动控制的设计与执行的有效性进行评价，并关注企业层面的控制活动。

1.被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。

2.被评价单位内部控制设计的方法是否适当，内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。

3.被评价单位内部控制设计和运行的组织是否有效，人员配备、职责分工和授权是否合理。

4.被评价单位是否开展内部控制自查并上报有关自查报告。

5.被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。

6.被评价单位在评价期间是否出现过重大风险事故等。

自我评价由所属各单位按照股份公司统一安排，自行开展。内控评价部门审计部制定年度内部控制评价工作方案，提交董事会审议，根据工作方案的时间安排启动内部控制自我评价，下发内部控制自我评价表。

总部及所属各分子公司接到自我评价表后，按内部控制评价制度的相关要求，成立自我评价工作小组，制定工作实施方案，组织本单位(部门)进行自我评价工作。评价结果经部门负责人及所属领导审批确认后上报审计部汇总，股份公司内控评价工作组将对各单位的自我评价情况进行分析和审核，并报内部控制领导小组审阅。

内部控制独立评价，由股份公司内控评价工作组综合运用访谈、测试和比较分析等方法，广泛收集内部控制设计和运行是否有效的证据，研究分析内部控制缺陷，对各单位内部控制的有效性进行评价。股份公司内控评价工作组对现场各小组初步认定的内部控制缺陷进行全面复核、分类汇总，初步确认综合独立评价结果，报经内部控制领导小组审阅。同时结合提出的内控缺陷整改建议，组织内部控制缺陷整改，跟踪整改落实情况。

内控评价部门审计部在协调各部门完成内部控制自我评价工作及内控评价工作组完成独立测试工作后，结合内部控制评价工作底稿和内部控制缺陷汇总表，形成书面的《内部控制自我评价报告》，呈交内部控制领导小组、总经理办公会、董事会审阅。

根据财政部、证监会《关于20xx年主板上市公司分类分批实施企业内部控制规范体系的通知》(财办会[20xx]30号)的要求，为了保障合规、有序、高效地开展内部控制评价工作，依据《企业内部控制基本规范》、《企业内部控制配套指引》、《企业内部控制评价指引》、四川岷江水利电力股份有限公司内部控制手册》 及公司重要管理规章制度，特制定本工作方案。

内控评价的内容包括内部控制的五要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。

公司各部门评价的重点为：

内控评价的范围：公司本部及其分公司、子公司。

1、内控评价领导小组

(涉及董事会、监事会、审计委员会、总经理)

2、内控评价工作小组

(涉及审计部门、其他职能部门)

1、公司各部门、分子公司自查时间：

2、评价小组对各部门的评价时间：

3、评价小组对各分子公司的评价抽查时间：

4、汇总内控缺陷，出具内控报告时间：

1、期中评价，查找缺陷

(1)内控评价小组前期工作(20xx年月完成)

1)从公司环境层面了解、分析内部控制整体风险;

2)从企业层面控制了解、分析内部控制风险;

3)识别风险业务领域及重要组成部分;

4)起草评价方案，报经批准后，组织实施内控评价。

该阶段形成以下工作底稿：

1)组织架构、发展战略、人力资源、社会责任、公司文化的调查底稿;

2)内控评价工作方案。

(2)各单位自评

各单位评价小组成员召集本单位业务骨干，主持本单位内控评价，实现内控评价全覆盖，完善以下工作：

1)全面分析本单位相关的内部控制，完成《内部控制调查问卷》(详参考格式)的填写，由评价人员签字确认。

2)全面梳理本单位内部控制手册，比照本单位内部控制制度，对内部控制手册中不完善的地方进行修正。

3)查找并分析本单位相关业务及管理主要风险，补充完善流程图、风险清单、《风险矩阵》。

4)编写本单位的《内控评价报告》，评价人员与单位负责人共同确认的内控缺陷、评价员确认而单位负责人未确认的内控缺陷，应在《内控评价报告》中分别反映，若不存在该种情形，也应明确说明“无兼职评价确认而单位负责人未确认的内控缺陷”，《内控评价报告》由评价人员、单位负责人签字确认。

(3)内控评价小组复查

内控评价小组对各单位报送的《内控评价报告》及《风险矩阵》、《内控评价问卷调查表》进行分析;按风险导向思路，本着重要性原则，选择样本单位、重点流程进行复查，并建立以下底稿：

1)内部控制缺陷认定汇总表

2)流程图、风险矩阵、风险清单

3)公司层面内部控制环境评价工作表

4)流程自我评价工作表

(1)内控缺陷确认标准：详见《内部控制缺陷认定标准》

(2)内控缺陷的确认程序

1)各单位自评缺陷：评价人员初步判断，报单位负责人确认，将形成的一致意见和不同意见在《内控评价报告》中反映，报内控评价小组。

2)内控评价小组复查新增的内控缺陷：评价人员初步判断，征求缺陷所在单位相关人员意见后，评价小组讨论形成初步意见，报缺陷所在单位负责人确认。

3)内控评价小组汇总整理的内控缺陷：各单位负责人认可的内控缺陷，单位负责人召集相关人员讨论确定整改措施，评价小组对整改措施能否消除缺陷予以确认;单位负责人未确认的内控缺陷，评价小组应与缺陷所在单位的直接上级讨论确定;内控评价小组对股份公司管理层不予确认的缺陷，若内控评价小组认为属于重要或重大缺陷，应直接向董事会报告，由董事会裁定。

须整改的内控缺陷，由缺陷所在单位整改，由内控评价工作小组进行追踪，以确保相关单位采用适当措施进行改进。

内控评价小组跟踪、检查缺陷整改进度，确保整改后在20xx年12月31日前最低运行次数不少于2次，因有的业务一年只发生4次(如按季公告的财务报表)，故应在9月底以前完成缺陷整改;收集整改后的运行证据，确保缺陷已消除。

主要采用后推程序进行内控评价，即，期中测试运行有效的内部控制，到期末仍未发生变化，不再测试，重点关注、测试发生变化的内部控制和新增业务的内部控制。

内控评价小组起草公司的《内部控制自我评价报告》，经总经理办公会审议后，报董事会审批。

预计 万元。

出具内控评价报告后，内控评价小组在 个月内将内控评价底稿装订成册并归档，审计部保管年， 年以后交公司档案室，保存期限10年。

本方案经董事会审批后执行。

20xx年10月30日

一、指导思想 围绕公司战略目标，通过在公司管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，实现风险管理的总体目标。

二、方案参考依据

《中央企业全面风险管理指引》国资发改革[2017]108号；《山东省省管企业全面风险管理指引》鲁国资企改〔2017〕22号；财政部发《企业内部控制规范—基本规范》和《萨班斯-奥克斯利法案》等。

三、总体策略

（一）方案内容

3、根据风险管理策略制定具体的实施策略，确定具体的风险管理目标、对策、组织领导、管理流程、投入资源，以及风险事件发生前、中、后可采取的具体管理措施及风险管理工具，也即建立、健全、完善内部控制制度。

4、建立风险管理信息系统。

5、建立风险管理的监督与改进机制，及时跟踪风险及管理状况，建设并及时更新风险信息库，并根据风险监督结果对风险管理工作进行相应改进与提升，从而保证企业全面风险管理的效果。

（二）取得的成果

通过以上工作内容，我们会为公司出具以下工作成果：

1、公司风险信息库

2、公司风险评估报告。

3、公司全面风险管理策略。

4、公司全面风险管理解决方案（或称为内部控制手册），包括（1）公司风险管理职能体系；（2）重大风险管理职责分工；（3）针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程制定的制度、程序和措施；（4）风险管理体系考核办法。

5、建立风险管理信息系统

6、全面风险管理的监督与改进制度

（三）实现或达到的目标

1、确保将风险控制在与公司战略目标相适应并可承受的范围内。

2、确保内外部，尤其是公司与股东之间实现真实可靠的信息沟通。

3、确保遵守有关法律法规。

4、确保公司规章和制度措施的贯彻执行，保障经营管理的有效性，减少实现经营目标的不确定性。

5、确保公司建立针对各项重大风险发生后的危机处理计划，保护公司不因灾害性风险或人为失误而遭受重大损失。

二、具体方案和完成时间

（一）初始信息收集

1、收集内容：公司战略、业务数据、管理信息、历史资料、外部环境信息、行业风险信息等。

2、收集方式：初步调查问卷、访谈等。

3、小组讨论研究收集的所有信息，并汇总整理形成风险管理初始信息。

4、制定风险辨识评估计划。

本阶段所需时间约 个工作日。

（二）辨识、分析、评价风险

辨识：

1、在公司各部门发放风险辨识调查问卷，要求部门领导从自己业务和工作流程角度出发填写可能面临的各种风险。

2、汇总风险辨识调查问卷，连同在初始信息收集阶段辨识的风险，根据风险业务流程分别编制风险评估问卷，并发至相关部门，要求相关部门为各种可能的或潜在的风险打分。

3、根据事先制定的评估标准，对收回的风险评估问卷进行初步分析，提炼风险事件，并在公司职能部门进行访谈和研讨，确认辨识结果，形成风险信息列表。

本阶段所需时间约 个工作日。

分析：

1、根据风险信息列表，利用各种定性或定量分析工具，分析和描述风险发生可能性的高低、风险发生的条件。

2、分析各风险及事件对公司战略规划目标或关键绩效指标的影响路径和影响大小。

本阶段所需时间约 个工作日。

评价：

1、确定风险重要性的评价标准，对风险进行综合评价及比较排序，形成初步评价结果。

2、开展部门访谈或研讨，对评价结果进行修正。

3、征询公司领导意见，确认评价结果。

4、形成风险评价的结论，即评估风险对企业实现目标的影响程度、风险的价值等。

5、形成xx公司风险库。

本阶段所需时间约 个工作日。

（三）编制《风险评估报告》

个人认为该报告是对前面三个环节即风险辨识、分析、评价的一个汇总，内容可分为三个部分，第一部分 公司存在的重大风险； 第二部分 重大风险的分析和说明；第三部分 风险可能对公司的战略目标或经营目标产生的影响。

《风险管理与内控实施方案》全文内容当前网页未完全显示，剩余内容请访问下一页查看。