注会战略十八项应用指引怎么复习

1. 注会战略十八项应用指引怎么复习

　　关于复习，这里给你一些思路：
 
　　复习效率：
　　可以学习掌握速读记忆的能力，提高学习复习效率。速读记忆是一种高效的学习、复习方法，其训练原理就在于激活“脑、眼”潜能，培养形成眼脑直映式的阅读、学习方式。速读记忆的练习参考《精英特全脑速读记忆训练》，用软件练习，每天一个多小时，一个月的时间，可以把阅读速度提高5、6倍，记忆力、理解力等也会得到相应的提高，最终提高学习、复习效率，取得好成绩。如果你的阅读、学习效率低的话，可以好好的去练习一下。
 
　　复习方法：
　　1、章节复习，不管是那门学科都分为大的章节和小的课时，一般当讲完一个章节的所有课时就会把整个章节串起来在系统的讲一遍，作为复习，我们同样可以这么做，因为既然是一个章节的知识，所有的课时之前一定有联系，因此我们可以找出它们的共同之处，采用联系记忆法把这些零碎的知识通过线串起来，更方便我们记忆。
 
　　2、纠错整理：考试的过程中难免会做错题目，不管你是粗心或者就是不会，都要习惯性的把这些错题收集起来，每个科目都建立一个独立的错题集，当我们进行考前复习的时候，它们是重点复习对象，因此你既然错过一次，保不准会错第二次，只有这样你才不会在同样的问题上再次失分。
 
　　3、思维导图复习：思维导图不仅在记忆上可以让你大脑里的资料系统化、图像化，还可以帮助你思维分析问题，统筹规划。将知识用思维导图画出来进行整理记忆，可以很快分析出知识的脉络和重点，并且记得牢固。

2. 如何才能灵活记忆会计内部控制的内容？

熟能生巧的，必须得多记多用才可以

3. 如何建立战略导向风险与内部控制体系

　　战略导向风险与内部控制将国资委颁布的《中央企业全面风险管理指引》和财政部、证监会等五部委颁布的《企业内部控制基本规范》、《内部控制应用指引第1到18号文件》、《内部控制评价指引》、《内部控制审计指引》相结合，在满足外部监管要求的基础上，结合企业战略管理、流程及制度建设、全面质量管理、ERP等企业实际应用的管理体系，通过系统化的方法，将风险与内控管理与企业实际工作相结合，即能够满足外部监管的要求，同时也为企业不断提升业务管理水平提供了一个规范化的平台。战略导向风险与内部控制管理项目共分三个阶段，即公司层面风险管理、风险导向内部控制管理和项目型风险与内部控制管理。
　　如果公司的现有管理比较平稳，我们推荐企业实施战略导向风险与内部控制管理全部阶段的内容；如果企业的管理重点更多地侧重项目型，可以针对具体项目实施项目型风险与内部控制管理；如果公司还处于不断变革中，可以先通过先开展风险导向内部控制管理阶段的内容，为未来实施公司层面风险管理和专项风险管理打下基础。无论如何通过实施战略导向风险与内部控制管理，可以帮助公司实现两大目标：一是建立一套适合公司特点的风险和内部控制管理流程和方法，并形成长效机制，确保企业在运营中能够及时发现并将风险控制在与总体目标相适应并可承受的范围内，以降低企业经营目标实现的不确定性；其次，通过培训、座谈、研讨会等多种方式，将风险管理的相关理念从上至下层层灌输给公司所有员工，培养公司全体员工的风险管理意识，帮助公司树立居安思危的忧患意识。
　　1）、公司层面风险管理体系建设——做正确的事，为内部控制管理指明方向
　　公司层面风险管理体系建设是将企业战略管理与全面风险管理进行有效的结合，为实现企业战略目标提供合理的保证。
　　战略目标澄清——理解企业战略，明确企业战略目标；
　　识别公司层面风险——结合公司战略目标和行业特点识别公司面临的主要风险（公司层面风险）；
　　评估公司层面风险——通过对公司现有各项管理现状的评价，判断公司层面风险发生的可能性，并对风险可能造成的损失和影响进行评估，明确影响公司战略目标实现的重大风险并定义风险预警指标；
　　建立公司层面风险预警指标值——根据公司管理层的风险偏好和容忍度，为每一个公司层面风险建立预警指标值，实现公司层面风险的量化管理，为有效监控风险提供可靠依据；
　　公司层面风险改进建议和管理预案——通过对风险预警指标的分析，对影响公司战略目标实现的重大风险提出管理改进建议并制定相应的管理预案；
　　公司层面风险管理标准——从组织保证和实施方法为公司层面风险管理的动态化管理建立长效管理机制。
　　2）、风险导向内部控制——正确地做事，规范管理，提高企业的执行力
　　公司层面风险管理体系的建立为公司开展内部控制管理指明了方向，风险导向内部控制与公司制度及流程管理相结合，方案的最大特点是按照企业价值链梳理企业的制度和流程，通过整合公司现有管理体系文件包括管理制度、管理办法、操作规范、技术规范和三合一体系文件等，形成以流程管理为中心的规范化管理文件体系，让公司的管理文件统一化，所设计的制度和流程真实反应企业的实际工作，为企业实施管理信息化和知识管理建立了标准。在此基础上从内部控制的角度评估制度和流程的规范性，提出管理改进建议，并建立内部控制改进机制。同时，为满足财政部和证监会等五部委颁布的《企业内部控制基本规范》、《内部控制应用指引第1到18号文件》的要求，在制度与流程设计上与之进行对接，方便上市公司满足监管的要求。
　　管理和业务流程现状梳理——按照价值链梳理公司管理和业务流程，建立流程框架，描述流程现状；
　　流程关键风险控制点识别与评估——依据流程目标，识别流程关键风险控制点，评估现有控制措施的有效性，提出管理改进建议；
　　制度和流程初步优化——在管理改进建议的基础上优化现有制度和流程，形成公司统一的管理文件体系；
　　制定内部控制标准——根据公司制度和流程优化的成果，提炼公司内部控制标准，制定内部控制监督改进实施方法，实现内部控制的动态化管理。
　　3）、项目型风险与内部控制管理
　　风险与内部控制体系的建设解决了企业常规的风险与内部控制管理，对于一些项目型的风险与内部控制管理还存在着一些盲区，因为这些项目型管理活动具有相对独立的特点和时限性，所以我们认为有必要单独对这些管理活动开展专项风险与内部控制管理，为此，我们专注于以下三个方面的项目型风险与内部控制咨询：

4. 目前我国的内部控制规范体系是怎样的

企业内部控制规范体系简介  ·企业内部控制规范体系概要  ·《企业内部控制基本规范》简单解读  ·内部控制规范的特点、局限性和目标Ⅰ企业内部控制体系概要一、我国企业内部控制规范体系图示    2008年6月28日和2010年4月26日()(18+2项指引的颁布生效.flv)，财政部等五部委分两次联合颁布了《企业内部控制基本规范》、18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，还于2010年7月出台了操作应用指南。这标志着我国内部控制规范体系基本形成。我国企业内部控制规范体系图二、企业内控配套指引的层级应用指引应用指引(已出台的有18项)：以公司治理为起点，从内部环境开始，到流程、控制点，到控制手段，覆盖了企业经营管理的方方面面和各个环节。·18/26个，与会计准则体系层及对应。·分为三类：A 内部环境类5：有组织架构、发展战略、人力资源、企业文化和社会责任等5项，A类指引对企业层面相关控制加以规范；B 控制活动类9：资金活动、采购业务、资产管理等9项；C 控制手段类4：全面预算、合同管理等4项。BC类指引是从梳理流程开始，找出风险点和薄弱环节，提出控制措施。·这18项指引通俗易懂，简便易行，具有很强的操作性。·处于主体地位，为企业建立健全内部控制制度体系提供指引Ⅱ《企业内部控制基本规范》的简单解读一、基本规范的框架基本规范共7章50条。包括：总则、内部环境、风险评估、控制措施、信息与沟通、监督检查和附则。总括起来是5个5：    5部委联合发布：财政部、证监会、审计署、银监会、保监会    5个目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。    5个原则：全面性、重要性、制衡性、适应性、成本效益原则    5个要素：内部环境、风险评估、控制活动、信息与沟通、内部监督    5个核心章50条二、《规范》的制定目的与依据“第一条  (目的)为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益， (依据)依据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规，制定本规范。”三、《规范》的适用范围第二条  本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。四、内部控制的5个目标1、内部控制的概念第三条 第一款 本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。（1）内部控制是一个过程，是实现目标的手段，而不是结果本身；重视过程，达到最佳结果。（2）内部控制受到组织内各层次人的影响，而不仅仅是制定出一本制度手册或规章；各层级、各部门、全体员工共同的事情。（3）对管理层或董事会而言，内部控制提供的只是合理的保证，而不是绝对的保证；客观上、不可抗力的因素影响（4）内部控制的目的在于实现企业一个或几个目标，但这些目标可能会有重复和交叉。内部牵制目的查弊纠错，保证资产安全。A. 内部牵制由三个要素构成：职责分工（不相容职务分离）；会计记录；人员轮换B. 内部牵制的两个设想是：两个或两个以上的人或部门无意识地犯同样错误的机会较少；j两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性（评：先天缺陷：串通舞弊）kC. 内部牵制的四项职能是：(1)实物牵制：指两个或两个以上的人员共同掌管必要的实物工具，共同操作才能完成一定程序的牵制。如，钥匙交两个以上的人持有(2)物理牵制主要采取程序制约，利用既定标准或业务处理程序来控制各个部门、岗位或人员。如，银库大门按非正确手续操作就会报警（电脑控制）(3)分权牵制通过组织规划与结构设计把各项业务活动按其作业环节划分后交由不同的部门或人员，实行分工负责，以防止错弊的发生。即每项业务由不同的人或部门去执行。如，授权批准人员与业务经办人员的分离(4)簿记牵制指在簿记组织方面，利用复式记账原理和账簿之间的勾稽关系，互相制约、监督和牵制。如，明细账与总账定期核对                    COSO--内部控制整体框架(1992年版)Coso--全面风险管理整体框架(2004版)四、内部控制的5个目标第三条第二款：内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。1. 合规目标：促进单位经营管理合法合规    守法和诚信是单位健康发展的基石，逾越法律的短期发展终将付出沉重代价。内控制度要求单位必须将发展置于国家法律允许的基本框架之下，在守法的基础上实现自身的发展。2. 安全目标：促进维护资产安全    资产安全是投资者、债权人和其他利益相关者普遍关注的重大问题，是单位可持续发展的物质基础。良好的内部控制，应当为资产安全提供扎实的制度保障。3. 报告目标：促进提高信息报高质量    可靠的信息报告能够为单位管理层提供适合其既定目的的准确而完整的信息，能够支持管理层的决策和对营运活动及业绩的监控；同时，能够保证对外披露的信息报告的真实完整，有利于提升单位的诚信度和公信力，维护单位良好的声誉和形象。4. 经营目标：促进提高经营效率和效果为了提高企业的经营效率，客观上要求企业建立包括组织结构、业务流程在内的、具有自我控制和自我调节功能的管理机制：首先，企业应对不相容职务分设不同的岗位，形成相互牵制；其次，企业需要建立决策机制与执行机制相互配合的内控制度；最后，按照现代企业制度的要求建立决策权、执行权、监督权相统一协调的公司治理结构，确保资产安全和经营效率。    是要求企业结合自身所处的经营行业和经济环境，通过健全有效的内部控制，不断提高营运活动的赢利能力和管理效率。5. 战略目标：促进企业实现发展战略这是内部控制的终极目标。它要求单位将近期利益与长远利益结合起来，在单位经营管理中努力作出符合战略要求、有利于提升可持续发展能力和创造长久价值的策略选择。五、内部控制的5个原则第四条  企业建立与实施内部控制，应当遵循下列原则：（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。六、内部控制的5个要素内部环境  风险评估  控制活动  信息与沟通  内部监督第一、内部环境1、内部环境：规定单位的纪律与架构，影响经营管理目标的制定，塑造单位文化并影响员工的控制意识，是实施内部控制的基础。2、包括内容(1)单位的治理结构，比如董事会、监事会、管理层的分工制衡及其在内部控制中的职责权限，审计委员会职能的发挥等；(2)单位的内部机构设置及权责分配，尽管没有统一模式，但所采用的组织结构应当有利于提升管理效能，并保证信息通畅流动；(3)内部审计机制，包括内部审计机构设置、人员配备、工作开展及其独立性的保证等；1）审计委员会–有条件的企业应当在董事会下设审计委员会，并保证审计委员会及其成员的独立性。2）内部审计机构(4)单位的人力资源政策，比如关键岗位员工的强制休假制度和定期岗位轮换制度，对掌握国家秘密或重要商业秘密的员工离岗的限制性规定等；(5)单位文化，包括单位整体的风险意识和风险管理理念，董事会、经理层的诚信和道德价值观，单位全体员工的法制观念等。一般而言，董事会及单位负责人在塑造良好的内部环境中发挥关键作用。企业整体价值观。高级管理人员有责任培育积极向上的整体价值观，培养社会感和遵纪守法意识，倡导爱岗敬业、进取创新、团队协作和遵规守纪精神。高级管理人员的管理理念和经营风格。高级管理人员应当强化风险意识，避免因个人风险偏好可能给企业带来的不利影响和损失。第二、风险评估1、风险：是指一个潜在事项的发生对目标实现产生的影响；2、风险评估：是单位及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略，是实施内部控制的重要环节；3、风险评估主要包括：目标设定、风险识别、风险分析和风险应对；4、风险与可能被影响的控制目标相关联。单位必须制定与生产、销售、财务等业务相关的目标，设立可辨认、分析和管理相关风险的机制，以了解单位所面临的来自内部和外部的各种不同风险；5、风险因素：风险通常表现为各种潜在事项和因素，包括经济因素、自然环境因素、法律因素、社会因素、科学技术因素等外部因素，以及人力资源、管理、自主创新、财务、安全环保等内部因素。 内部风险因素：–高级管理人员职业操守、员工专业胜任能力、团队精神等人员素质因素；–经营方式、资产管理、业务流程设计、财务报告编制与信息披露等管理因素；–财务状况、经营成果、现金流量等基础实力因素；–研究开发、技术投入、信息技术运用等技术因素；–营运安全、员工健康、环境污染等安全环保因素。外部风险因素：–经济形势、产业政策、资源供给、利率调整、汇率变动、融资环境、市场竞争等经济因素；–法律法规、监管要求等法律因素；–文化传统、社会信用、教育基础、消费者行为等社会因素；–技术进步、工艺改进、电子商务等科技因素；–自然灾害、环境状况等自然环境因素。 6、风险识别方法企业可以采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素特别应注意总结、吸取企业过去的经验教训和同行业的经验教训，加强对高危性、多发性风险因素的关注。7、风险分析：风险分析是指分析和辨认实现有关目标可能发生的风险，以便形成确定应该如何对它们进行管理的依据。风险分析标准。企业应当针对已识别的风险因素，从风险发生的可能性和影响程度两个方面进行分析，并确定科学合理的定性、定量分析标准。风险排序。企业应当根据风险分析的结果，依据风险的重要性水平，运用专业判断，按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序，确定应当重点关注的重要风险。8、常用的风险应对策略风险应对是指企业管理层在评估了相关风险的可能性和后果，以及成本效益之后，选择一系列措施使剩余风险处于期望的风险容限以内。风险应对方法：·风险回避。企业对走出整体风险承受能力或者具体业务层次上的可接受风险水平的风险，应当实行风险回避。•风险承担。企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后无意采取进一步控制措施的，可以实行风险承担。•风险降低。企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意单独采取进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险降低。•风险分担。企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意借助他们力量，采取包括业务分包、购买保险等进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险分担。第三、控制活动1、控制活动：是指单位管理层根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。企业应当根据风险评估结果，采用相应控制措施将风险控制在可承受度之内2、常见的控制措施职责分工控制总体控制要求根据企业目标和职能任务，按照科学、精简、高效的原则，合理设置职能部门和工作岗位，明确各部门、各岗位的职责权限，形成各司其职、各负其责、便于考核、相互制约的工作机制。不相容职务分离制度。企业应当根据各项经济业务与事项的流程和特点，系统、完整地分析、梳理执行该经济业务与事项涉及的不相容职务，并结合岗位职责分工采取分离措施。不相容职务通常包括：授权、批准、业务经办、会计记录、财产保管、稽核检查等。•关键岗位轮换制度。企业应当结合岗位特点和重要程度，明确财会等关键岗位员工轮岗的期限和有关要求，建立规范的岗位轮换制度，对关键岗位的员工，可以实行强制休假制度，并确保在最长不超过5年的时间内进行岗位轮换。 如物资采购业务批准进行采购与直接办理采购即属于不相容的职务，如果这两个职务由一个人担当，即出现该员工既有权决定采购什么，采购多少，又可以决定采购价格、采购时间等，没有其他岗位或人员的监督、制约，就容易发生舞弊行为。授权控制总体控制要求•企业根据职责分工，明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。企业内部各级管理人员必须在授权范围内行使职权和承担责任，业务经办人员必须在授权范围内办理业务。⑴常规性授权控制。常规性授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。企业可以根据常规性授权编制权限指引并以适当形式予以公布，提高权限的透明度，加强对权限行使的监督和管理。⑵临时性授权控制。临时性授权是指企业在特殊情况、特定条件下进行的应急性授权。企业应当加强对临时性授权的管理，规范临时性授权的范围、权限、程序、责任和相关的记录措施。有条件的企业，可以采用远程办公等方式逐步减少临时性授权。⑶ 集体审议或联签制度。企业对于金额重大、重要性高、技术性强、影响范围广的经济业务与事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策意见。审核批准控制企业各部门、各岗位按照规定的授权和程序，对相关经济业务和事项的事实性、例规性、合理性以有关资料的完整性进行复核与审查，通过签署意见并签字或者签章，作出批准、不予批准或者作其他处理的决定。预算控制企业应当加强预算编制、执行、分析、考核等各环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。财产保护控制企业应当限制未经授权的人员对财产的直接接触和处置，采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施，确保财产的安全完整。会计系统控制企业应当依据《中华人民共和国会计法》、国家统一的会计制度，制定适合本企业的会计制度，明确会计凭证、会计账簿和财务报告以及相关信息披露的处理程序，规范会计政策的选用标准和审批程序，建立、完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能，确保企业财务报告真实、可靠和完整。★会计系统控置★企业会计系统的设置要求应依法设置会计机构配备会计人员会计机构负责人应具备会计师以上的专业技术职务资格大中型中央企业应设置总会计师，不得设置与其职务重叠的副职★内部会计控制三要素内部报告控制企业应当建立和完善内部报告制度，明确相关信息的收集、分析、报告和处理程序，及时提供业务流动中的重要信息，全面反映经济活动情况，增强内部管理的时效性和针对性。•内部报告方式通常包括例行报告、实时报告、专题报告、综合报告等。经济活动分析控制企业应当综合运用生产、购销、投资、财务等方面的信息，利用比较分析、比率分析、因素分析、趋势分析等方法，定期对企业经营管理活动进行分析，发现存在的问题，查找原因，并提出改进意见和应对措施。绩效考评控制       企业应当科学设置业绩考核指标体系，对照预算指标、盈利水平、投资回报率、安全生产目标等方面的业绩指标，对各部门和员工当期业绩进行考核和评价，兑现奖惩，强化对各部门和员工的激励与约束信息技术控制       企业应当结合实际情况和计算机信息技术应用程度，建立与本企业经营管理业务相适应的信息化控制流程，提高业务处理效率，减少和消除人为操纵因素，同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全、有效运用。第四、信息与沟通1、信息与沟通：是单位及时、准确收集、传递与内部控制相关的信息，确保信息在单位内部、单位与外部之间进行有效沟通，是实施内部控制的重要条件。2、信息与沟通的主要环节有：确认、计量、记录有效的经济业务；在财务报告中恰当揭示财务状况、经营成果和现金流量；保证管理层与单位内部、外部的顺畅流通，包括与利益相关者、监管部门、注册会计师、供应商等的沟通。3、真实及时有用：信息与沟通的方式是灵活多样的，但无论哪种方式，都应当保证信息的真实性、及时性和有用性。信息收集机制（1）内部信息•内部信息内容。主要包括：会计信息、生产经营信息、资本运作信息、人员变动信息、技术创新信息、综合管理信息等。•内部信息收集方法。企业可以通过会计资料、经营管理资料、调查研究报告、会议记录纪要、专项信息反馈、内部报刊网络等渠道和方式获取所需的内部信息。 （2）外部信息•外部信息内容。主要包括：政策法规信息、经济形势信息、监管要求信息、市场竞争信息、进行动态信息、客户信用信息、社会文化信息、科技进步信息等。•外部信息收集方法。企业可以通过立法监管部门、社会中介机构、行业协会组织、业务往来单位、市场调查研究、外部来信来访、新闻传播媒体等渠道和方式获取所需的外部信息。信息沟通机制（1）内部沟通•企业应当采取互联网络、电子邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时传递和共享，确保董事会、管理层和企业员工之间有效沟通。（2）外部沟通–与投资者和债权人的沟通。企业应当根据《中华人民共和国公司法》、《中华人民共和国证券法》等法律法规、企业章程的规定，通过股东大会、投资者会议、定向信息报告等方式，及时向投资者报告企业的战略规划、经营方针、投融资计划、年度预算、经营成果、财务状况、利润分配方案以及重大担保、合并分立、资产重组等方面的信息，听取投资者的意见和要求，妥善处理企业与投资者之间的关系。–与客户的沟通。企业可以通过客户座谈会、走访客户等多种形式，定期听取客户对消费偏好、销售政策、产品质量、售后服务、货款结算等方面的意见和建议，收集客户需求和客户的意见，妥善解决可能存在的控制不当问题。–与供应商的沟通。企业可以通过供需见面会、订货会、业务洽谈会等多种形式与供应商就供货渠道、产品质量、技术性能、交易价格、信用政策、结算方式等问题进行沟通，及时发现可能存在的控制不当问题。–与监管机构的沟通。企业应当及时向监管机构了解政策和监管要求及其变化，并相应完善自身的管理制度；同时，认真了解自身存在的问题，积极反映诉求和建议，努力加强与监管机构的协调。–与外部审计师的沟通。企业应当定期与外部审计师进行会晤，听取外部审计师有关财务报表审计、内部控制等方面的建议，以保证内部控制的有效运行以及双方工作的协调。–与律师的沟通。企业可以根据法定要求和实际需要，聘请律师参与有关重大业务、项目和法律纠纷的处理，并保持与律师的有效沟通。反舞弊机制反舞弊的内容。企业反舞弊工作至少应当关注：①在财务报告和信息披露方面弄虚作假。②未经授权、滥用职权或者采取其他不法方式侵占、挪用企业资产。③在开展业务活动中非法使用企业资产牟取不当利益。④企业高级管理人员舞弊给企业内部控制和经营管理可能千万的重大影响。⑤员工单独或者串通舞弊给企业造成损失。•完善投诉、举报管理制度。企业可以设置舞弊举报热线，明确投诉、举报处理程序、办理时限和办理要求，确保投诉、举报成为企业反舞弊和加强内部控制的重要途径。第五、内部监督监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。监督检查的方式（1）持续性监督检查持续性监督检查是指企业对建立和实施内部控制的整体情况所进行的连续的、全面的、系统的、动态的监督检查。（2）专项监督检查专项监督检查是指企业对内部控制建立与实施的某一方面或者某些方面的情况所进行的不定期的、有针对性的监督检查。监督检查的机构企业董事会所属审计委员会、内部审计机构或者实际履行内部控制监督职责的其他有关机构应当根据国家法律法规要求和企业授权，采取适当的程序和方法，对内部控制的建立与实施情况进行监督检查，形成检查结论并出具书面检查报告。监督检查的责任处理对在监督检查中发现的违反内部控制规定的行为，应当及时通报情况和反馈信息，并严格追究相关责任人的责任，维护内部控制的严肃生和权威性。内部控制缺陷（1）内部控制缺陷的概念。内部控制缺陷是指监督检查过程中发现的内部控制的设计存在漏洞、不能有效防范错误与舞弊，或者内部控制的运行存在弱点和偏差、不能及时发现并纠正错误与舞弊的情形。重大缺陷，是指业已发现的内部控制缺陷可能严重影响财务报告的真实可靠和资产的安全完整。（2）内部控制缺陷的报告。企业对在监督检查过程中发现的内部控制缺陷，应当采取适当的形式及时进行报告。对于监督检查中发现的重大缺陷或者重大风险，应当及时向董事会、审计委员会和总经理汇报。（3）内部控制缺陷的改进。企业应当分析内部控制缺陷产生的原因，并有针对性地提出和实施改进方案。COSO内部 控 制 的 理 论  COSO模型描述了环境控制、风险估计、控制活动、信息与交流以及监控等五种相互关联的控制因素，在控制企业的经营管理过程中的作用。在COSO的报告中，内部控制程序被定义为：受组织内部董事、管理层和其他人影响的，为合理确保以下目标的过程：1、经营的有效性和效率； 2、财务报告的可靠性； 3、对法律法规的遵守。构成了一个企业的管理氛围，是其他内部控制要素的基础。员工的职业道德和操守、胜任能力；管理层的管理哲学和风格；董事会和内部监督机构的设置；内部组织结构设置及责任权限的划分；人力资源政策及执行等。控制活动是确保管理层的决策和指令得以执行的政策和程序。控制活动包括：核准、授权、验证、调节、复核经营绩效、保障资产安全及职务分工等。监督是由适当的人员评估内部控制的设计和运作情况的过程。

5. 战略管理、风险管理、内部控制，这 三者有什么区别与联系？

1.各自实质的理解：
1.1 战略管理为达到内部控制中实现企业发展战略目标的一种管理控制手段或是实现战略目标的控制方法；
1.2 风险管理为实现企业整体内部控制目标，进而对影响目标实现的风险进行风险识别、风险分析、风险应对的一种风险评估机制；属于内部控制体系中的风险评估要素；
1.3 内部控制实质为一种由全体员工为合理保证实现企业目标的一系列控制活动。详见《企业内部控制规范》。
 
2.各自关系
2.1战略管理，战略管理的目标实为实现战略目标，战略目标作为内部控制的五大控制目标之一，涉及企业长远利益的实现问题，因此战略管理其实是内部控制体系中为实现战略目标而执行的一系列控制活动；
2.2风险管理，风险管理的目标实为评估影响目标实现的风险并提出风险管理策略；内部控制体系中的一大要素即是“风险评估”，其实为达到内部控制目标的风险评估机制，如目标设定、风险识别、风险分析、风险应对。
2.2.1 目标设定
2.2.2 风险识别 
2.2.3 风险分析 （风险发生的概率、风险发生后的影响程度）实为对风险属性的确定
2.2.4 风险应对 （如风险规避、风险降低、风险转移，风险承受）
 
3.总结
以前我国《内部控制基本规范》的提到的内部控制的定义及实质内容来看，战略管理、风险管理实为实现内部控制目标的一种有效控制活动和管理工具，从属于公司内部控制体系。如果你所指为CPa教材中的《公司战略与风险管理》一书，我想可能是作者从有利于读者理解的角度，从不同唯度来阐释现代企业管理的方法和理念。
 
另外，财会〔2012〕3号 《关于印发企业内部控制规范体系实施中相关问题解释第1号的通知》对内部控制与风险管理的关系也进行了解释：
 
4.如何协调好内部控制与风险管理的关系？
 　　答：《企业内部控制基本规范》及其配套指引，充分吸收了全面风险管理的理念和方法，强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险，促进企业实现发展战略，风险管理的目标也是促进企业实现发展战略，二者都要求将风险控制在可承受范围之内。因此，内部控制与风险管理二者不是对立的，而是协调统一的整体。
 　　在实际工作中，一些企业的内部控制和风险管理工作由不同机构负责。对此，企业可以对有关机构和业务进行整合，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将内部控制建设和风险管理工作有机结合起来，避免职能交叉、资源浪费、重复劳动，降低企业管理成本，提高工作效率和效果。
 
 
供参考。

6. 如何将《内控手册》要求融入到企业的管理流程当中

首先行业不同，方式方法也不同，以一个行业为例
    XY股份有限公司为符合上市公司内控法规要求，提高企业经营管理水平和风险防范能力，促进企业可持续发展，根据财政部、证监会等五部委印发的企业内部控制基本规范及配套指引的要求，聘请外部咨询公司，2011年3月起着手进行内控体系建设工作。根据《企业内部控制基本规范》及其配套指引要求，结合国外公司经验，企业内部控制体系建设通常分为4个阶段，内部控制梳理、内部控制整改固化、内部控制自我评价和内部控制审计，其中前3个阶段是内控建设核心工作，需由企业主导完成，内控审计由审计师在企业配合下实施。
 
为做实做好内控规范体系建设工作，公司于2011年3月正式成立内控工作领导小组，由公司董事长牵头，高层领导主管、总部各部门负责人及各分子公司总经理作为组员，负责组织领导公司内部控制规范化建设工作。2011年3月中旬召开内控实施项目启动会，对公司内控建设工作进行了部署和动员，并制定公司内控实施计划及工作方案。
  一、建立内控建设组织架构，明确相关人员职责。
内部控制建设作为一项长期系统性地工程，并非一蹴而就，公司决定建立一种长效领导机制持续运作。公司内控体系建设组织架构图如下，并明确董事长为内部控制实施工作的第一责任人；公司总经理、副总经理为内控实施的具体负责人。 
（一）内控领导小组职责
经第六届第十次董事会审议通过，公司成立风险管理委员会，成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士，作为内控工作领导小组。
风险管理委员会对董事会负责，主要履行以下职责：
（1）负责营造良好的内部控制建设环境；
（2）负责制定公司内部控制战略规划，提出总体建设方案；
（3）负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；
（4）部署内部控制建设、执行及监督活动等；
（5）审议《内控手册》的编制、修改及更新；
（6）提交《内部控制评价报告》；
（7）协调公司内部控制建设的重大事项；
（8）考核内部控制建设的相关人员，保持公司整体利益和方向的一致性。
（二）内控项目小组职责
1、公司在风险管理委员会下设立风险管理委员会办公室作为内控项目组，主要履行下列职责：
（1）全面贯彻执行风险管理委员会关于内部控制建设的精神和方针；
（2）制定公司内部控制建设阶段性的目标及实施方案，提交风险管理委员会审核；
（3）负责内部控制建设的有效实施和运行，落实内部控制建设的具体责任；
（4）研究提出《内部控制评价报告》；
（5）负责公司《内控手册》的编制、修改及更新；
（6）审核在内部控制建设过程中存在的问题，督促各部门进行整改。
2、公司在风险管理委员会办公室细分为4大系统，即风控系统、战略与证券系统、财务系统和运营系统，明确各系统的具体职责。
3、风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心及战略人力资源部，配备33名专职人员。各业务单位、职能部门及子公司（事业部）在风险管理委员会办公室的指导下共同参与、实施内控建设工作。
4、审核委员会作为公司内部控制体系有效性的监督机构，监督内部控制的有效实施和内部控制自我评价情况，审核及监督外部审计机构是否独立客观及审计程序是否有效，审核公司的财务信息及其披露，协调内部控制审计及其他相关事宜。
（三）责任部门及工作预算
与内控工作小组相对应，公司确认了内部控制建设的责任部门，即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控项目工作制定了相关预算，包括内控咨询、内控审计及人力成本费用、培训费用等。为保证内控建设工作的专业化、系统化和合理化，公司聘请询公司作为外部咨询机构为公司提供专业支持，协助公司梳理、构建及完善内部控制总体架构，帮助公司识别内部控制存在的薄弱环节和主要风险，有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。 风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控缺陷整改、开展内控评价等工作，为公司培养内部控制建设及评价人才。
二、内控体系建设工作具体推进
内部控制建设工作，公司将分为五个阶段，时间从2011年4月1日至2012年1月31日，总体安排如下：
（一）确定内控实施范围（2011年4月10日前完成）
根据证监局文件精神，结合公司实际，本次内控实施范围为股份公司、一家上海子公司及一家广州子公司。
按照《企业内部控制基本规范》及其配套指引要求，结合公司业务性质，公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程，以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。
 各流程责任人如下（××代表责任人姓名）：
流程第一责任人 具体负责人 内控协调人 中介机构责任
发展战略 × × ×
组织架构 × × × ×
 ……
 注：上述责任人适用于内控建设中的每个阶段。
（二）风险识别及评估（2011年5月31日前完成）
1、流程梳理：公司通过访谈、审阅文档或问卷调查等方式梳理流程，明确上述12大流程的相应子流程，完善组织架构和审批授权指引，根据统一的模板编制业务流程图。在流程梳理过程中，及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等内控缺失的工作流程，采取相应的措施规范操作流程，避免内部舞弊等重大风险出现，提高工作效率。
2、风险识别：结合《企业内部控制基本规范》及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料，从风险发生的可能性和影响程度，对子流程中涉及到的每个控制点进行综合分析，识别固有风险，评价风险等级，形成风险清单。
3、文档记录：根据风险等级，识别流程中的关键控制活动，并在流程图中进行编号；编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进行记录。
4、查找内控缺陷：将公司现有制度和控制措施流与风险清单进行比对，通过穿行测试、控制测试等手段，获取关于内控设计和运行有效性的证据，查找内控缺陷，形成《风险数据库》和《内控风险诊断和评价报告》。对发现的重大缺陷及时报告董事会及管理层，管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。
（三）确定内控缺陷整改方案（2011年6月30日前完成）
1、编制《内部控制管理建议书》：公司对发现的内控缺陷进行分类分析，确定内控缺陷的重要性程度，区分设计缺陷和运行缺陷，形成《内部控制管理建议书》。
2、制定内控缺陷整改方案：公司根据《内部控制管理建议书》和具体的控制缺陷，提出整改时间及责任部门、人员，形成内控缺陷整改方案。
3、提交审议：内控缺陷整改方案应当经过风险管理委员会审议通过。
（四）内控缺陷整改（2011年9月30日前完成）
1、落实整改、提交报告：责任部门将按照内控缺陷整改方案对发现的缺陷进行逐一整改，完善公司各项内部控制管理制度和控制措施，提交《内控缺陷整改报告》；内控项目组连同中介机构对缺陷整改情况进行运行有效性测试，形成《内控运行测试报告》。
2、编制《内部控制手册》：内控项目组根据风险清单和各项内控文档等资料，编制《内部控制手册》，并对手册内容进行实施辅导和推进执行。
3、编制《内控自我评估工作指引》：内控项目组编制《内控自我评估工作指引》，为下一步内控自我评价工作的开展奠定基础。
4、提交审议：《内控缺陷整改报告》、《内控运行测试报告》、《内部控制手册》及《内控自我评估工作指引》应报风险管理委员会审议。
（五）内控持续推进和内控自我评价
公司在内控体系成果完成后，将予以持续推进，并根据辖区证监局要求，公司将于每季度结束后的10个工作日内，向证监局报送内控进展情况说明，并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以及拟采取的解决措施等。
通过以上工作，公司初步建立健全了内部控制体系，有效提高了内控管理水平。 
三、企业内控体系的“落地”和持续推进
XY公司在完成内控体系初步建设完成后具体推行过程中，一些部门和员工或因对新的内控制度理解不够，或因由于长期工作习惯难以改变，或因内控制度变革触及自身利益而不愿遵循，使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去，并保持内控体系的持续完善和提高，是管理层迫切需要解决的难题。
为了切实将内控制度体系真正“落地”，XY公司通过全方位内控培训、加强内控检查与监督、完善考核及激励机制以及借助第三方专业机构的持续辅导等措施，有力地保证了内控建设的持续维护，公司的内控建设取得了卓有成效的进展。
具体来说，采取的主要措施有：
（一）完善内控工作组织架构，成立内控部，强化审计部，建立推进内控工作的组织机构和运行机制。
通过对国际大企业内控建设的现状和过程的全面考察，XY公司发现要实行有效的内部控制，必须建立相配套的组织架构。为此，公司由管理高层成立了内控工作领导小组，各子公司管理层对应的成立内控管理小组；在部门设置上，XY公司新成立了内控部，各下属子公司根据其规模大小设立内控部或内控负责岗，负责内控建设工作；在内控监督上，转变了原有的审计部的职责，增加了内控评价和检查的功能，并由公司董事会的审计委员会直接领导，在规模较大的子公司同时设立内部审计专员，负责子公司的内控自查。
（二）注重内控环境建设，进行全方位内控培训。
XY公司通过一系列的培训和辅导，提高各层级管理人员和基础员工对内控理念的认识，营造有利的内控工作开展的文化环境。首先，公司抓好以普及内控基本知识、营造内控实施环境的宣传工作。公司内控部组织编制了《内控宣传册》，在股份公司各职能部门和下属公司主要管理干部范围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识，减少内控推进的思想阻力。
其次，公司根据内控规范实施的进度，围绕内部控制的各个方面，开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训，对内控制度的编制和实施起了极大的推进作用。
（三）建立内控推进的沟通机制，保证内控建设持续性和问题解决的及时性。
自内控制度建设正式推进以来，为了保证推进的执行力，公司开展了全方位的信息沟通机制，实现了信息的实时传递，和通畅的上传下达。
首先，XY公司建立了周例会制度。内控领导小组每周组织内控工作例会，由公司董事或审计委员会主任主持，参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报“内控工作一周报告”，汇报内控的进展情况、存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项，并由内控领导小组组长对相关的具体问题提出意见和工作指导，会后股份公司内控部负责对每家子公司进行回复，保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会，并抄送相关子公司的管理层，保证管理高层对内控进展的时刻了解。
其次，公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进行工作总结，由内控部在股份公司管理层、子公司管理层以及相关内控负责人之间进行通报，督促各子公司的内控执行力。
第三，建立了重大项目的单独汇报机制。各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和股份内控部进行汇报，以实时处理可能的重大风险。此外，股份公司的内控部长、审计部长、财务总监的联系方式向子公司的所有内控负责人和内控专员公开，作为信息直接传递的一个重要渠道，帮助股份公司及时了解下属子公司内控风险。 
（四）完善内控评价检查机制，建立了多层次的内控检查体系。
为了保证内控制度的落地和真正有效的执行，公司从各子公司到股份公司的内控部和审计部，再到外部独立的第三方中介，建立了全方位的内控评价和检查体系。股份公司内控部对各业务循环定期开展内控检查，通过发放内控调查清单以及内控专员的现场检查，发现子公司在内控建设中的不足，并及时下发风险联系函、风险关注函和风险警示函，以帮助子公司及时进行内控整改和完善。其中联系函主要是对子公司联系函件的回复为主；关注函主要是对子公司发生的业务表示关注，一般要求对方在一定时间内给出书面说明；警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。
股份公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化，审计部编制了内控评价底稿通过检查，对子公司形成内控建设的量化评价，并针对检查中发现的问题出具改进建议，并要求各子公司在规定的时间内予以整改，总部内控部对子公司整改措施和整改质量进行全程的监督，整改完成后，审计部及时予以复查，确保审计中发现的问题能及时整改。
（五）将内控建设纳入绩效考核，通过奖惩机制实现内控的有效性。
首先，为有效发挥各下属子公司的管理者在内控推进中的作用和积极性，自200×年开始，股份公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中，明确了管理班子对于内部控制建设的责任和关键任务。通过这种绩效考核，激励管理层切实关注和推动内控的执行工作，从而为内控工作的推进建立良好环境。
其次，对于股份公司向各子公司委派的重要人员也直接与内控建设挂钩。公司出台了《委派内控人员绩效考核管理办法》，对各个子公司的内控负责人实施全面的内控建设考核，明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制，进一步促进了委派内控人员的工作落实力度；其次，对于股份委派的财务负责人，也在其年度考核的总分中（100分制）纳入了相当比重的的内控建设的相关内容，从财务职能加强了对子公司的内控推进。
（六）充分发挥专业中介机构力量
XY公司在开始建立内控体系即聘请的专业咨询公司提供咨询服务，在整个体系建立过程中，充分发挥咨询公司专业力量，并聘请专业顾问对公司人员进行培训，提高公司人员内控理念和技能。在内控体系初步建立之后，仍继续与咨询公司保持合作，借助咨询公司在专业及独立性方面优势，共同推进公司内控持续建设工作，在内控持续建设工作中，专业咨询公司提供了大量了专业意见和培训辅导服务，帮助公司完善各项成果，使得公司的内控持续建设取得了令人瞩目的成效。 
四、企业内控体系建设过程的经验和启示
在公司董事会、各层级管理人员和基础员工不懈努力下，公司内部控制体系的建设取得了一系列的良好效果，全公司各级员工的风险管理意识显著提高，对风险的理解和重视切入到各个业务和管理环；强化了各项经营活动的规范化操作，实现了重大经营活动的集体化决策机制，有效防范了决策风险；提高了公司的财务管理水平，保证了从产业公司到股份公司的各层级财务数据的真实公允以及资金、资产的安全；加强了公司对新经营环境下管理风险的关注；完善了公司的风险预警机制，提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。公司在内控体系建设和推进过程中，主要的经验和启示有：
1、公司董事会和最高管理层的重视和亲自参与
在XY公司董事会，无论是大股东委派董事、非执行董事还是独立董事，都非常重视和关心内部控制体系的建设工作。作为公司的大股东，集团对股份公司的内控建设给予了极大的理解和支持，有力的推动了产业公司的内控建设的进程。董事会的定期会议都将内部控制进展情况作为重要议题沟通，对于内部控制推进中出现的任何问题，董事会层面时刻给予相应和支持。
在公司管理层方面，成立了内控领导小组，投入了大量的人力和财力，带领企业员工共同进行内部控制建设，为内部控制的推进提供了良好的内部环境，同时也激发员工的积极性和主动性，推动企业内部控制朝更顺利、更完善的方向发展。
2、对内部控制理念以及其与公司其他管理体系关系的认识统一
XY公司在内控推进的第一阶段大力推行高频率、大幅度的培训，帮助各级管理者以及基层员工了解内部控制的主要原理和价值，减少内控实施中的思想阻力。其次，公司统一了内控体系与其他管理体系的认识，内部控制和风险管理不是一套孤立的新的体系和制度，而是一种基于“目标－风险－控制－监督”框架的管理思路，这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去，是对企业原有的管理制度的整合和提升。
3、制定了清晰明确的内部控制战略规划
公司根据自身实际情况，在订并提出了内部控制的五年两步走的规划，并将其纳入到公司的5年战略规划中。第一阶段（3年），通过自上而下的刚性要求，构建全面的统一化的集团内部控制架构，并通过理念灌输形成内控推进的文化范围；第二阶段（2年），通过自下而上的，自觉的内控体系的完善，形成各个产业公司的特色化内部控制。这一从强制到自觉，从理念普及到制度完善再到内控手册的表格化提升的建设步骤，使得公司从管理高层到基层员工的各级人员都明确内部控制不同时期的不同任务及不同发展状态，稳步推进，逐步加深，为内部控制的发展道路勾画了清晰路径。
4、因企制宜的实施方案
XY公司意识到对于集团化企业，内部控制不能是一刀切的，公司要实行内部控制，需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的内部控制方法。
首先公司在吸收了五部委内部控制基本规范和配套指引的相关精髓的基础上，结合企业经营实践，基于先主后次的重要性原则以及成本收益原则，提出了以若干业务循环作为公司内控建设的主要循环范围。
其次，考虑公司的人员能力和素质，在内控成果上也没有一步到位册，而是以制度建设为基础，通过制度规范，到流程优化再到风险提炼，逐步实现内部控制的层层递进。
第三，在内控推进上，公司充分考虑下属各产业公司的业务特点，确定适合各公司的内部控制方式和侧重点。
5、循序渐进的实施步骤
（1）自上而下的理念推进向自下而上的流程推进的递进。
    在内控实施的第一阶段，公司强调自上而下的理念推进。公司通过内部培训、各种工作会议达成内控理念的统一，并向各子公司传达，之后各子公司则进行自下而上的内控流程推进，即各产业公司根据自身的内部流程，进行制度的完善，并经由公司内控部审核后实施。
   （2）由总部出台框架性的制度到各个子公司制订针对性的业务流程的递进。
     公司内控部结合外部力量制定框架性的制度，明确各业务循环的关键控制点和操作要求，各产业公司根据自身业务情况，在满足框架制度要求的前提下制定适合企业自身的管理制度，以求更贴近产业公司的经营管理实践。
  （3）普遍性、通用性的风险点向专业性、针对性的风险点的递进。
    公司首先根据对产业公司实际情况的调研，绘制公司的全面风险数据库，梳理出具有普遍性的通用性主要风险点，之后，各产业公司在实际操作中不断发现专业性、针对不同企业业务特色的独特风险，以实现内部控制的完善。
   （4）抓重点公司，抓主要循环和风险、抓典型事件。
    公司的内部控制遵循重要性原则，关注重点公司级重要循环与风险，并关注典型事件，以期通过重点带动全面，推动内部控制的发展。
    6、借助外部专业中介机构推动内控建设
    外部专业机构相对具有更丰富的内控专业力量和实施经验，并且具有客观性和独立性，XY公司在整个体系建立过程中，充分发挥咨询公司专业力量，但也没有完全依赖中介机构甩手不管，而是充分参与和配合，在内控建设过程中，实现知识传递和内控人才培养，取得了较好的实施效果。 
 
--------------转自新浪微博《马军生-内部控制博客》

7. 如何提升公司内控管理

转载以下资料供参考
 
如何加强企业的内部控制
内部控制监督是企业为了保证实现经营管理目标，在分工负责的前提下，组织内部经营活动而建立的各职能部门之间对业务活动进行组织、制约、考核和调节的方法、程序和措施，用以明确单位内部各职能部门的职责和权限，形成一个完整、严密的相互联系、相互协调、相互制约的控制系统的总称。按其控制目的的不同，内部控制可以分为会计控制和管理控制。会计控制是与保护财产物资的安全性、会计信息的真实性和完整性以及财务活动的合法性有关的控制；管理控制是指与保证经营方针、决策的贯彻执行，促进经营活动的经济性、效率性、效果性以及经营目标的实现有关的控制。内部控制的目标是确保单位经营活动的效率性和效果性、资产的安全性、经济信息和财务报告的可靠性。因此，内部控制的作用主要表现在：一是保证单位经济活动的合法性；二是有助于管理层实现经营方针和目标；三是保护单位各项资产的安全和完整，防止资产流失；四是保证业务经营信息和财务会计资料的真实性和完整性。
　　如何确保内部控制得到实现、工作有效，笔者原来所在的集团公司（红领集团）在内部控制监督方面的工作做的卓有成效，并形成了体系，现将这些做法提出和大家进行探讨和分享。
　　第一是建立直属于董事会和董事长领导的运营监控管理机构，将会计监督和管理监督职能整合在一个部门，不但要对违规行为进行监督和管理，还有对出现问题进行改进，二次进行监督、跟进，不断的提高管理水平和管理意识。
　　1、根据集团发展需要，运营监控管理中心设审计部、招标部、生产监察部、改进部。运营监控管理中心直接归董事长领导并对董事长、董事会报告工作，具体负责董事长及董事会要求和规定的各项审计、监察工作。运营监控中心总监的任用和解聘由董事长提议，董事会批准，其它人员由运营监控中心总监提出，董事长批准，其工作考核和奖惩由董事长、董事会决定。
　　2、运营监控中心人员办理审计、监察事项，必须严格遵守审计、监察职业规范，忠于董事长、董事会，做到独立、客观、公正、保密，不得滥用职权，徇私舞弊，玩忽职守。
　　3、当遇到较大审计监察任务时，可临时组织所属公司的财务、人事行政、生产、销售等部门的人员共同进行审计监察，各单位应该积极配合，不得推诿。必要时可聘请外部特邀专业人员进行专题或专案审计监察。
　　第二是制定运营监控管理中心明确的工作职责，确保企业内部监督的全面性，促进管控制度完善、细化，点、线控制全面，有效执行；提升企业现场管理；推动各部门的工作实施、改进。根据企业经营目标和审计计划，开展各类财务审计工作及专项审计工作，确保企业健康运营。实现对企业采购的所有物资进行招标、比价，确保在当时采购条件下的性价比最优，高质、高效。
　　一、对出资者所属公司的财务收支及其经济活动进行定期审计。特别是对公司财产、资金管理使用和安全完整程度进行重点审计。
　　二、对出资者所属公司的预算或计划执行情况进行定期审计。特别对预算追加和预算外资金的使用情况进行重点审计监督。要进行事前、事中和事后的全面审计、监察。
　　1、事前对资产和财务状况进行全面审计，划清预算责任
　　2、事中对预算执行情况进行每月的跟踪审计，发现问题及时解决，防止偏离预算或便于不适合时机预算的调整
　　3、事后即预算期结束后进行全面审计，评价预算执行情况，总结经验，据以考核，兑现奖惩。
　　第九条、对集团负责人和各中心总监、总裁助理、各子公司负责人年度和任期经济责任进行审计。对各单位的经营管理责任和财务会计责任的履行情况进行审计和评价。特别是对董事会决议、公司经营方针、目标、战略的落实执行情况作为重点审计内容。
　　（一）对经营管理责任履行情况的审计监察主要评价经营成果的有效性。审查负责人是否是按董事会的要求、经批准的经营规划进行经营管理的审计，审查有无决策失误和错失经营时机，有无短期行为，破坏公司资源，评价经营管理政策和工作措施是否高效可行等。
　　（二）对资产的安全和完整进行审计。审查固定资产、无形资产、存货、应收账款等公司资产是否存在风险和不安全，是否完整，有无积压和呆死坏帐，有无损坏和贬值，是否真实。
　　（三）对财务会计责任履行情况的审计监察
　　1、财务责任就是理财责任，就是评价财务状况是否优良，财务资产是否增值，使用是否充分有效，是否盘活现有资产，有无浪费，有无财务和税收风险。
　　2、审计责任主要是评价内部控制是否健全完善、资产管理是否安全，会计防范是否有效，会计数据是否真实，会计工作和前台业务是否脱节，会计工作是否支持业务等。
　　（四）对人事事项进行审计。审查工作效率，人力成本、人均效率，审查员工队伍建设情况，是否提高凝聚力向心力、协作精神，是否建立共同愿景，有无在人事方面以权谋私的情况，有无任人唯亲，有无打击报复，嫉贤妒能等情况。
　　（五）对采购进行审计。审计采购的质量是否符号要求、价格是否合理、资金结算是否符合预算要求、交期是否及时，审查采购作业流程是否高效，有无按流程操作，有无徇私舞弊行为。
　　（六）廉政建设审计。对违反公司廉政建设的行为进行审计如请客送礼、接受贿赂等。
　　三、对公司的项目投资情况进行审计。
　　四、监督、检查和评价各单位内部控制和管理制度的建立健全、严密程度和执行情况以及内部风险管理：
　　1、检查各子公司、各中心各岗位的责权划分是否明确，岗位责任是否建立并且有效；
　　2、所有原始凭证是否进行统一的连续编号，并顺序使用，领用空白凭证是否有严格的登记注销手续；
　　3、检查所有的实物资产包括固定资产、低值易耗品、包装物、办公用品、库存商品是否实行责任管理，并制定了相应的控制制度，执行情况如何；
　　4、检查所有业务是否都实行了程序化、规范化、制度化，各流程中的关键（资金）点是否实行了重点控制，控制是否有效，程序是否经济、高效；
　　5、检查主要岗位人员的变动是否建立并实行了恰当的交接制度，手续是否完备；
　　6、检查各子公司是否建立并实行了有效的成本费用控制制度和资金使用制度；
　　7、检查各子公司采购、商品入库、出库、领用、销售、成本费用、资金收支、对外投资、资产处理的内部财务控制制度的建立和执行情况；
　　8、其它内部控制事项。
　　五、对违反出资者、公司规章制度、财经政策纪律，侵占公司资财、损害公司利益、严重铺张浪费和职务消费行为进行专项审计。
　　六、对各子公司有关的经营方案、预算草案、资金使用方案、重要的经济合同、重要文件、制度的合法合理性，有效正确性进行审计评价。
　　七、对管理者的工作作风和廉政建设进行监督、监察
　　1、监督、监察抵触执行公司的各项规章制度和纪律，或将规章制度打折扣执行的行为；
　　2、监督、监察弄虚作假，有事不及时汇报，欺上瞒下者，对工作扯皮推诿、相互拆台或搬弄是非的行为；
　　3、监督、监察未经审议，擅自决定公司的重大生产经营决策的行为；
　　4、监督、监察压制人才，嫌才妒能，阻碍或限制他人才能发挥的行为；
　　5、监督、监察收受与业务有关单位或个人的钱物（含提成、回扣、报销及代为支付费用）的行为，特殊情况下接受的礼品不上交公司的行为；
　　6、监督、监察以任何名义宴请公司领导、有关部门领导、公司员工及利害关系人的相互宴请的行为；
　　7、监督、监察未经许可工作时间饮酒、延误工作的行为；
　　8、监督、监察利用公款参与高消费的娱乐活动，报销应由个人支付的各项费用，虚报冒领费用或款项的行为；
　　9、监督、监察利用出差机会协亲属旅游或接受业务单位安排旅游活动的行为；
　　10、监督、监察对人封官许愿，拉帮结伙，搞小团体，助长歪风邪气的行为；
　　11、监督、监察对检举或有异议的员工或同事打击报复的行为。
　　八、总裁、副总裁、总裁助理、各中心总监、各子公司总经理等高层领导的离任、交接审计
　　九、对人力资源使用效率和效果进行监督、监察。
　　1、对人力资源（资本）管理的内部控制监督、监察。监督、监察人力资源（资本）的招收、管理、培训、使用、激励等一整套规章制度有与无，完善与否，执行严格程度，效用的大小等。评价其内控制度的适当性；审查评价其是否与时俱进，即在相对稳定的原则下，能否随着环境和条件的变化而调整本组织的人力资源管理控制政策；
　　2、对人力资源（资本）的开发利用程度监督、监察。监督、监察人力资源（资本）的开发利用是否使其个体不断保值增值，并要使其价值得到充分发挥。更重要的是由个体人力资源（资本）协调聚合的群体价值。通过对招聘、培训、使用、增值、文化、协调聚合等的监督、监察，使人力资源（资本）的开发既能适用于当前的现实需要，又能考虑超前的，顾及到未来的发展后劲。促使其能建立起一个制度化、科学化的动态运行机制。特别是对人力资本的增值培训的投资问题，要有妥当的计划安排。即人力资本培训的投资要有强制的措施，还应按销售收入或税后利润的一定比例进行人力资本投资培训，或按其岗位定期或不定期培训，使人力资本的增值有制度安排；
　　3、企业人力资本产权监督、监察。监督、监察劳动者权益在企业契约的规定是否受到尊重；人力资本的所有权分配关系的落实程度；人力资本定价与激励方式的适当性及其效果。通过对企业人力资本产权的监督、监察，使企业在不与法规相冲突的前提下，建立起不侵犯人力资本所有者权益，能够充分有效地调动不同层级的人力资本载体者的积极创造性，既能使个体人力资本价值增值，又能有效地提高企业核心竞争力的恰当机制的制度；
　　4、员工队伍建设监督、监察，是否提高凝聚力向心力、协作精神，是否建立共同愿景，有无在人事方面以权谋私的情况，有无任人唯亲，有无打击报复，嫉贤妒能等情况
　　十、对各子公司产、供、销各个环节经济活动的效益、效率、经济、合理、合规和合法性进行监管。
　　（一）对采购事项进行监管，采购部门的责任就是在适当的时间、适当的地点为公司采购性价比最优的原材物料，降低成本、降低付款率，控制采购费用；
　　1、监管采购计划的审批是否符合程序，采购计划数量是否符合库存和生产使用要求；
　　2、监管采购合同订立、审批程序是否合理，是否有越权审批；
　　3、监管采购流程是否符合内部控制程序，是否满足“高质、高效”的要求；
　　4、监管采购的决定权和操作权是否分离；
　　5、监管采购数量、质量、性价比、交货期是否能够满足生产使用要求；
　　6、监管采购付款计划、付款金额、付款比例是否符合财务规定，是否按合同执行；
　　7、监管采购人员采购、招标过程中是否有舞弊行为，是否有暗箱操作行为，是否有故意刁难客户行为；
　　（二）对生产事项进行监督、检查
　　1、监督、检查下达的生产计划规格、型号、数量是否符合销售合同要求，手续是否完备；
　　2、监督、检查生产质量的控制是否有质量跟踪记录，是否符合企业检验标准；
　　3、监督、检查生产控制材料领用、发放的各种单证是否齐全，记录是否真实、完整；
　　4、监督、检查生产产量和工时记录是否真实、合理、准确；
　　5、监督、检查生产消耗是否符合定额标准；
　　6、监督、检查生产工资费用、工资分配、材料分配、制造费用是否真实、合理、符合预算管理控制；
　　7、设备完好率的监督、检查，有无操作规范，执行的状况如何，有无拼设备的短期行为；
　　8、现场管理的监督、检查，审查有无可行合理的现场管理规范，是否实行了6S管理等；
　　（三）对营销事项进行监督、检查
　　1、监督、检查销售管理部门应收及预付帐款内部控制是否合理有效，是否能够降低企业风险；
　　2、监督、检查销售发票、合同、销售订单所列的商品名称、规格、数量、价格是否一致，是否符合公司价格规定；
　　3、监督、检查对业务员报价是否按照公司销售政策执行，有无越权审批折让和价格的违规行为；
　　4、监督、检查销售合同、赊销的审批是否手续完备，是否有越权审批现象；
　　5、监督、检查发货清单与销售发票是否一致，物流配送是否满足客户需求；
　　6、监督、检查销售发票是否连续使用，有无缺号、作废是否正确；
　　7、监督、检查销售人员是否有截流公司销售货款的情况，是否在销售过程中有接触现金的情况；
　　8、应收帐款坏帐损失是否按照公司规定对相关责任人进行处罚；
　　9、市场现金操作是否按财务有关规定执行；
　　十一、对质量系统的监督、检查；
　　十二、对董事长安排的专项工作进行专项监督、检查
　　第三是对运营监控管理中心的充分授权，没有充分的授权，运营监控监督力度、执行力将大打折扣，各种改进措施的落实将会成为一句空话、大话，董事会能否对内控部门充分授权是内控部门开展各项监督、改进的保障。
　　具体应该赋予内控部分哪些职责呢？我认为内控部门应该具备以下权利。
　　一、有权要求各级财务部门按时上报财务报告、预算执行情况报告、财务决算报告、资产处置报告以及相关的财务制度。
　　二、有权参加各子公司、各中心的有关会议并召开与审计、监察事项有关的会议。
　　三、有权参与研究制定有关的规章制度和政策。
　　四、有权调阅各中心、各子公司经营管理和财务活动的有关书面、电子资料、文件以及现场勘查实物。
　　五、对于审计监察事项有关的问题有权向有关单位和个人进行调查，并取得证明材料，有关单位和个人必须予以配合。
　　六、对正在进行的严重违反出资者和公司规章、利益和严重浪费损失的行为，有权做出临时制止决定。
　　七、对拖延、推诿、阻挠、拒绝和破坏审计监察工作的，报经董事长同意后，有权采取封存账册和冻结资产的临时措施，并追究责任人和有关领导的责任。
　　八、有权提出纠正、处理违规行为的意见以及改进经营管理、提高经济效益的建议。
　　九、对违反董事会、公司规章制度和浪费损失、侵害公司利益的单位和人员，报经董事长同意后，有权进行通报批评和提出追究责任的建议。
　　十、董事长审查批准签发的审计报告，各有关单位和个人必须执行。
　　第四是建立科学、公正、公开的监控管理工作程序，使保障监控工作公正实施的前提，是对内控部门开展工作的标杆，是推动企业内部管理不断改进的基石。
　　一、编制年度、季度、月度监控管理工作计划，报董事长审批后执行。临时项目由董事长授权副董事长批准和实施。
　　二、审计监察前的准备工作。根据批准的监控管理计划和临时安排确定审计监察对象，制定审计监察方案，指定审计监察项目负责人和参加审计监察的人员名单，审计监察方案经董事长批准后，由审计监察负责人签发审计监察通知书，通知被审单位。被审单位应该准备和提供相关审计监察资料。
　　三、在审计监察过程中，审计监察人员必须编制审计监察工作底稿，作好审计监察记录和日志，收集审计监察证据，重要证据应有相关人员的签字确认。
　　四、审计监察终结阶段，应根据审计监察工作底稿对审计监察事项和结果提出审计监察报告。
　　五、审计监察报告报董事长审定。一般常规报告由副董事长签发审计监察决定并附审计监察报告副本发被审单位和有关部门执行。重要审计监察报告的决定有董事长签发。
　　六、审计监察决定下达后，运营监控管理中心应督促被审单位和有关部门执行。
　　七、被审单位应按照审计监察结论和决定，针对问题及时做出处理，处理结果应报告稽核部。如对审计监察结论和决定有异议，可在收到审计监察结论和决定十五日内向副董事长、董事长提出复议。在复议期间，原审计监察结论和决定照常执行。

8. 我国目前内部控制体系包括哪些规范?

　　我国企业内部控制规范体系的构成
　　2010年4月26日，财政部会同证监会、审计署、银监会、保监会在北京联合发布了《企业内部控制规范配套指引》。该配套指引由21项应用指引（此次发布了18项，涉及银行、证券、保险等业务的3项指引暂未发布）、《企业内部控制评价指引》与《企业内部控制审计指引》（两者以下合称为评价与审计指引）所组成，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行，并计划在上述施行公司的基础上，择机在中小板和创业板上市的公司中施行。同时，鼓励非上市大中型企业提前执行。
　　《企业内部控制规范配套指引》连同2008年5月发布的《企业内部控制基本规范》（自2009年7月1日在上市公司范围内施行，鼓励非上市大中型企业执行，以下简称为基本规范）共同构成了中国企业内部控制规范体系。如果说目前已在上市公司实施的《企业内部控制基本规范》还只是一个框架结构，主要界定内部控制的内涵、目标、要素，说明制定企业内部控制规范的目的、依据及该规范的适用范围，操作性指导还不强，还是一个方向性指南的话，那么，《企业内部控制规范配套指引》则是企业加强和改进内部控制具体的、具有操作性的指南。
　　二、对我国企业内部控制规范体系的评价
　　（一）对基本规范的评价
　　从基本规范来看，主要涉及到内部控制的基本理论问题，包括内部控制的本质、目标、原则、要素（对象）与方法。规范提出的内部控制五原则：全面性、重要性、制衡性、适应性、成本效益性原则具有重要指导意义。
　　在控制要素（对象）上，基本规范采用的是1994年COSO报告中的五要素观，而没有采用2004年风险管理框架的八要素观，是实事求是的做法。实际上，这也涉及到内部控制与风险管理的关系问题。内部控制主要体现在流程管理上。流程管理的内容主要包括两个方面：一是业务流程，即规定完成业务的先后顺序；二是管理流程，主要是对各风险管理点的标准。二者结合在一起才是真正的流程管理”。
　　对于五要素之间的关系，内部控制环境是基础（说明在什么样的环境下开展控制活动），风险评估是前提（说明要重点针对什么活动和在该活动的什么方面进行控制），控制活动是核心（说明对需要重点控制的活动或环节运用什么方法进行控制），信息与沟通是桥梁（以一定的方法对风险评估确定的应该控制的活动和环节开展控制，没有信息的支持是无法达成目标的），监督是保障（没有监督作为保障，控制的好坏在管理上没有区别，则无法达到控制的目标）。就内部控制的方法来说，应该涉及到全部五个要素，既有内部控制环境的评价、改进方法，也有风险评估、风险管理策略的选择方法；既有直接运用于控制活动的方法，也应有信息生产与沟通、监督的方法。
　　基本规范存在的不足主要体现在：1.在控制要素上仅提到内部监督，难以指导企业内部控制规范指引，也说明基本规范与指引有不相衔接的地方；2.对控制方法的说明不集中，仅在第28条较详细地阐述了控制活动的方法，对其他要素控制的方法很少说明，如风险评价的方法、信息生产与沟通的方法、监督的方法等；3.如何建立反舞弊机制问题放在信息与沟通要素部分不恰当，笔者认为这应该是内部监督的内容；4.对董事会、监事会、经理层、审计委员会、内部审计部门的职责划分不清。如第12条规定，董事会负责内部控制的建立健全和有效实施，监事会对董事会建立与实施内部控制进行监督，经理层负责组织领导内部控制的日常运行。但第13条又规定企业应在董事会下设立审计委员会，审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况（而在自我评价规范中又没有具体涉及到审计委员会），协调内部控制审计及其他相关事宜。从这些规定中可以看出，我国仍然没有处理好内部公司治理问题。
　　（二）对18项应用指引的评价
　　应用指引是对内部控制要素进行控制时的具体应用指南。从已公布的各项具体应用指引来看，重点突出了对风险的关注，这点值得肯定。已公布的18项应用指引都在总则部分说明了企业应关注的风险，这可看成企业风险评价的基础和指南。就其他四个方面的要素来看，内部控制环境涉及到组织架构、发展战略、人力资源、社会责任和企业文化5个具体指引。就控制活动来说，涉及到资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告9个具体指引，存在的主要问题是没有生产控制的内容。在过去的征求意见稿中有一个成本费用规范，现在也取消了。过去征求意见稿中没有全面预算规范，现在加了一个全面预算规范，笔者认为应将过去的成本费用规范与现在的全面预算规范结合起来。关于信息与沟通要素，涉及到内部信息传递和信息系统两个具体指引。此次公布的18项应用指引归为三大类，第一类为环境类指引，第二类为控制活动类指引，第三类为控制手段类指引，包括全面预算、合同管理、内部信息传递和信息系统4项。第三类作为方法也可以，但并没有和内部控制要素间的衔接。