风险与控制

一、风险分析

(一)基本概念

1、风险的定义

风险：是指任何可能影响某一组织实现其目标的因素和事项。

是可能导致以下方面产生重大错报或漏报的错误或舞弊欺诈行为：

财务报表及附注 财务报表认定 资产安全

2、风险的分类 1）经营决策风险 2）违反法律法规风险 3）财务报告失真风险 4）资产安全受到威胁 5）营私舞弊风险

1）经营决策风险：影响决策的时效、依据和质量等。例如：

预算目标脱离实际。

没能以合理的价格取得物资或服务。 投资决策失误导致投资失败。 产品不能及时适应市场的变化和需求。

2）违反法律法规风险：没有全面执行国家法律、法规和政策规定。例如：

合同条款违法。 坐支现金。

污染物的排放不符合国家环保规定。

3）财务报告失真风险：企业未完全按会计准则、制度等规定组织会计核算和披露信息，导致财务报告在完整性、准确性等方面存在问题。例如：

将资本化的支出费用化或将费用化的支出资本化。 会计记录错误（金额、科目、期间错误）。

帐实不符。 产品交接计量错误。

4）资产安全受到威胁：指管理制度不健全或执行不到位，企业实物资产如设备、存货、证券、资金和其他资产的安全受到威胁。例如：

挪用现金。 存货毁损被盗。

资产处置未经适当的授权导致资产流失。

5）营私舞弊风险：以故意的行为获得不公平或非法的收益。例如：

人为调节收入。 挪用现金。

与审计师合谋篡改审计报告。

五类风险之间并没有严格的界线，同一风险可能对应多个风险类别。

例如：挪用现金即影响资产的安全又涉 及到营私舞弊风险。

（二）风险识别

1、风险识别的概念

1）风险识别：就是风险主体逐渐认识到自身存在哪些风险的过程。也即发现和分析那些影响目标实现的风险，要考虑外部因素和内部因素。

2）风险识别所要关注的问题：存在哪些风险，哪些风险应予以考虑，引起风险的原因是什么，这些风险引起的后果及严重程度，风险识别的方法有哪些等。 2、风险识别的阶段

1）感知风险：即通过调查和了解，识 别风险的存在，是风险识别的基础。 2）分析风险：即通过归类分析，掌握 风险产生的原因和条件，以及风险所 具有的性质，是风险识别的关键。 3、风险识别的方法

头脑风暴（小组讨论，集思广议） 参考专业机构的风险数据库 调查问卷法

流程图分析法 财务报表分析法

相关规律、经验及专业判断

举例

针对以下目标，分析可能存在哪些风险？

准确的记录固定资产增加的信息，以确保资产价值的真实。 固定资产的记录有接触方面的控制。 购买符合生产需要的设备和材料。 保证完整、准确且不重复付款。 针对目标分析可能存在的风险

目标：准确的记录固定资产增加的信息，以确保资产价值的真实。 可能存在的风险：

由于缺乏固定资产方面的制度，错误地将资产费用化，造成财务报告的错误； 错误的记录导致决策的失误。 针对目标分析可能存在的风险

目标：固定资产的记录有接触方面的控制。

可能存在的风险：

由于缺乏对固定资产记录方面的接触控制，造成财务报告的错误； 资产的实物安全受到影响； 有舞弊的风险。

针对目标分析可能存在的风险

目标：保证完整、准确且不重复付款。

可能存在的风险：

错误或者重复付款导致公司资金损失； 有舞弊的风险。

针对目标分析可能存在的风险

目标：购买符合生产需要的设备和材料。

可能存在的风险：

购买劣质设备、部件，导致减产、停产或者产品质量问题； 公司资金浪费； 影响公司信誉。

（三）风险数据库的形成

1、风险数据库形成的思路

1）以公司本部确定的子公司标准业务流程为基础。

2）参照国际同类企业的相关资料，从五类风险入手，考虑影响完整性、准确性、有效性、接触性等目标的具体问题，讨论存在的风险。

3）结合各公司工作情况，补充完善风险因素，形成风险数据库。

4）各公司结合业务流程，补充完善风险数据库，对需要调整的内容上报项目组确认。 2、风险数据库的结构与内容 内部控制风险数据库

二、控制分析 （一）基本概念

1、控制和控制目标

控制 是为防止或减少与财务报告相关的风险而采取的措施，包括

财务报告的完整性（C）、准确性（A）、有效性（V）和接触限制（R） 与财务报表中重要帐户余额的发生、记录、处理和报告、交易类别和相关披露、

财务报告认定相关的控制

针对与选择和适用公认会计准则的会计政策的控制

反舞弊程序和控制，包括其他关键控制所依赖的信息技术方面的一般控制 针对重要的异常交易和非系统交易的控制（如：涉及判断和估计的账户） 针对期末财务报告流程的控制

职责分离和资产保全

首先我们看一下COSO框架对内部控制的定义：

内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵从性等目标的实现而提供合理保证的过程。 由此可见，控制的目标有以下三个：

经营的效率和效果 财务报告的可靠性 法律和法规的遵从性

完整性控制（C）

完整性控制（C）：指建立完整规范的控制体系和标准；生产经营和财务信息数据的采集、

记录和处理完整，无遗漏和重复。 如：

把当期所有的合同信息都完整地、不重复地录入合同管理系统。 按照会计确认收入的原则，将当期所有的销售收入记录下来。 保证合并报表的原始数据包括了所有需要合并的会计核算单位的数据。

确性控制（A）：指所有信息和数据计算、归集和记录操作等准确。 如：

保证账务处理的金额是准确的。

在采购业务中，合同上的价格、数量应该准确。 销售收入应当记入正确的会计期间。 发票内容与销售交易内容或合同应当一致。

有效性控制（V）：指所有的生产经营活动（包括交易和变更）都经过适当的授权和批准，都是真实发生的，并按规定保存有效的原始文件。 如：

付款经过适当级别的审批。 记录的销售收入是真实的。

费用支出与公司的业务相关，且符合公司的费用开支标准。

接触性控制（R）：指信息处理和实物资产的保护和安全控制。只有适当的人员可以对信息进行修改。公司资产被适当的保护，以防止被窃或者滥用。如：

防止存货和实物资产的偷窃和遗失。

会计人员只能在授权的情况下，编制与自己分管业务相关的会计凭证。 对企业投资实施计划的保密，防止被不相关的人员了解。

2、控制活动---概念

控制活动：指保证管理层的指令得到有效执行的政策和实施程序。控制活动存在于组织所有职能的各个层面，包括一系列活动，例如：审批、授权、证明、检验、建议、核对、经营效果的审核、业绩考核、资产保护以及职责分工

3、控制活动---方法

1）不相容职务相互分离控制。

要求单位按照不相容职务相分离的原则，合理设置相关工作岗位，明确职责权限，形成相互制衡机制。不相容职务主要包括：授权批准、业务经办、会计记录、财产保管、稽核检查等职务。例如，单位应当将办理销售、发货、收款三项业务的岗位分别设立。 2） 授权批准控制。

需要明确规定涉及相关工作授权批准的范围、权限、程序、责任等内容，单位内部的各级管理层必须在授权范围内行使职权和承担责任，经办人员也必须在授权范围内办理业务。例如，单位应对采购与付款业务建立严格的授权批准制度。 3）会计系统控制。

要求单位依据《会计法》和国家统一的会计制度，制定适合本单位的会计制度，明确会计凭证、会计账簿和财务会计报告的处理程序，建立和完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能。 4）预算控制。

要求单位加强预算编制、执行、分析、考核等环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。

5）财产保全控制。

要求单位限制未经授权的人员对财产的直接接触，采取定期盘点、财产记录、账实核对、财产保险等措施，确保各种财产的安全完整。 6）电子信息技术控制。

要求运用电子信息技术手段建立内部会计控制系统，减少和消除人为操纵因素，确保内部会计控制的有效实施；同时要加强对财务会计电子信息系统开发与维护、数据输入与输出、文件储存与保管、网络安全等方面的控制。

4、控制活动分类 根据企业的不同目标分类：

为提高经营效率效果实施的控制活动 为增强财务报告的可靠性实施的控制活动 为遵守法律法规目标实施的控制活动

根据控制活动的作用分类：

预防性控制：防止问题发生而设立的控制机制，是事前控制，如：合同需要经过审批

发现性控制：为发现问题而设立的控制机制，是事后控制，如：编制银行存款余额调节表

根据控制的方式分类：

人工控制：由手工实施的控制。 如：授权签字、人工核对、信用审核和批准。 自动控制：由计算机系统实施的控制。

如：禁止未授权的用户登录系统、字段的修改/确认、批处理控制等。

(二)如何确认/记录控制

控制记录

控制记录的主要表现形式是控制描述。区别于控制实施证据。 控制描述：对某个风险所实施的现有控制措施的描述。

现有控制措施：详细描述控制部门或控制人实施控制的过程和完成时间、频率等。这些

控制措施须是实际采用的。

控制实施证据：实施现有控制时所使用的报告、表单、签字等。

控制描述包含的要点 控制描述包含的要点： 谁(岗位)负责执行的控制 控制的具体内容

什么时候， 多久进行控制 控制实施的证据（供将来的测试）

控制描述的几个注意点 进行控制描述要注意：

不要： 应有

仅仅写“比较一些报告” 详细、具体地对控制进行描述， 使独立第三方能自行执行该控制

（即必须包含上面四大要素）

仅仅写“解决问题 说明如何解决问题、采取的措施；以及如果问题没有解决，要怎

么处理

仅仅写“对账” 说明使用的系统、报告、表单的具体名称，这些名称的使用必须前

后一致

猜测其他部门实施的控制 说明节点和传递的表单、文件，由相关部门对实施的控制进行具

体描述

注出人名（例如，王XX）说明实施控制的岗位（例如，财务部固定资产会计） 无组织的控制描述 组织好描述控制的文字。以摘要开头，正文应简练。

确认/记录控制应考虑的问题 确认/记录控制时应考虑的问题：

职责是否充分分离， 例如， 交易实施与交易授权/检查是否由不同的人员负责？ 所有的交易是否都是真实的交易？（真实性）

电脑系统（例如， 交易记录/文件）是否存在限制/控制？ 是否存在异常报告？ 谁负责审核/跟踪解决异常报告？

欺诈是否被防止？

是否存在修改静态数据（例如， 客户或产品的主数据）控制？

业务系统同总账的核对/调整（例如， 财务软件同人事管理软件）是否被记录和

控制？

所有的控制是否被记录？是否是目前的控制？ 控制是否被监控？由谁负责？ 管理层如何评价控制的持续有效性？ 控制问题/风险如何被跟踪和评价？ 对所有手工调帐的地方是否进行了控制？

是否已经包括了对用于注释财务报告的各个流程中的数据元素的控制？

（三）控制有效性评价

控制是否与企业的业务流程及相关风险相匹配。控制须针对风险设计，可以一个控制对

应多个风险，也可以多个控制对应一个风险，并非一一对应。 控制是否满足完整性、准确性、有效性和接触性四要素 控制能否及时发现和预防风险（控制实施的频率）

控制实施人员是否有足够的知识和经验

是否实施职责分离

控制中发现的问题是否能够及时处理

在实施控制中所使用的信息是否可靠

控制是否适应变化的环境

评估控制设计的充分性（针对风险）

充分的控制设计，应满足以下控制目标的实现：

完整性控制（C） 准确性控制（A） 有效性控制（V） 接触控制 （R）

同时，具体的控制措施的设计，应明确以下要素：

谁（岗位）负责执行控制―在“现有控制措施”栏描述 控制的具体内容―在“现有控制措施”栏描述 什么时候，多久进行控制―在“控制频率”栏描述 控制实施的证据―在“控制实施证据”栏描述

评估控制设计的充分性（针对风险）

举例－１：

控制不充分的原因：由出纳编制银行调节表，缺少必要的职责分离。此外, 银行存款余额调节表没有被定期地复核或作出合适地调整。

举例－２： 控制不充分的原因：由于缺少单据交接的双方定期核对的程序，现有控制可能无法避免和及时发现原始单据丢失的情况。

举例－3：

控制不充分的原因： 缺乏定期对出库单存根联号码的连续性进行复核，以确保其完整性的程序。现有的控制无法避免并及时发现发货原始单据丢失及未完整地传递至财务部的情况，进而影响发货及库存余额记录的准确性。

评估制度文件的完整性

评估制度文件完整性，应从四要素角度进行，如果缺乏其中某些要素则为控制文件不完善：

谁（岗位）负责执行控制 资产核算科主管 什么时候，多久进行控制

每月底

控制的具体内容 审核折旧折耗核算岗准备的折旧计算汇总表 控制实施的证据 并在折旧计算汇总表上签字

三、风险控制文档

风险控制文档的作用及重要性

风险控制文档，详细体现业务和财务流程中存在的风险和控制措施设计的情况。它是对现有规章制度进行描述和分析的主要载体。也是联结业务流程、风险、现有控制措施、规章制度文件的工具。

通过使用风险控制文档，将风险对应到具体的业务流程中，了解在实际工作中如何通过控制防止这些风险的发生，并将这个过程文本化。

风险控制文档记载并体现了风险控制分析所发现的控制缺陷和不足，是进行差异分析、控制完善的重要基础和依据。

风险控制文档还是自行测试、外部审计的重要依据。 风险控制文档的编制过程应重点关注的问题

对于风险控制文档的编制，最重要的是识别风险，找出控制，并进行相应的差异分析。

风险控制分析应考虑的几点

现有业务流程中的内控措施是否全面地涵盖了所有风险，并能够有效的防范并发现风

险；

现有控制措施设计是否充分，是否形成充分的实施证据； 现有规章制度文件是否完善；

风险控制分析－模板

背景栏部分 正文部分 文档格式

文件及文件夹的建立

单位名称 业务流程名称 当前子流程名称 单位编码 业务流程编码 当前子流程编码 版本 编制部门 编制人

控制点编号 风险类别 风险描述

控制目标的类型 控制目标具体描述 现有控制措施 控制方法

控制类型 控制频率 控制实施证据 控制文件的文号及名称 有风险但无相应的控制 控制不充分

现有控制文件存在的问题

流程图、风险控制文档、风险数据库的匹配 以固定资产处置流程为例:

公司的一项资产报废后，需要进行相应的处置。其流程如右图所示。这一流程中，存在哪些风险呢？

以固定资产处置流程为例：

第一步：从风险数据库中找到“财务资产--固定资产管理和核算—处置管理”部分,考虑数据库

中给出的风险列示是否对本公司的资产处置流程适用,是否全面

第二步：以数据库中给出的风险例示为起点，填写风险控制描述文件。

第三步：考虑在本公司资产处置过程中有哪些针对这些风险的控制，它们的控制目的是什

么，记录下来。

在风险控制描述文件中，还需要对控制是自动的还是人工的、在公司的哪些制度文件中体现等做出标识，等等。

第四步：风险控制描述上记录的那些风险如果发生，会是在业务的哪个环节发生的，就把

红色的菱形框标在流程图的相应步骤上。

第五步：在风险控制描述中，针对标识出的风险，记录了公司的哪些控制，这些控制体现

在流程图的哪一步骤上，就将绿色的三角框标识在流程图的相应步骤上。

这样，固定资产处置流程的流程图、风险数据库和风险控制描述就联系起来了 相关问题的解决方法

风险数据库依据本部标准流程设置，可能与子公司流程的级次不完全一致，如何运用风险数据库，以确保所有风险都恰当涵盖在适当的风险控制文档中? 子公司流程级次高于风险数据库 子公司流程级次低于风险数据库

子公司流程级次高于风险数据库

如：风险数据库对于销售流程有独立的“发票管理” 风险，但流程图中并无独立的发票管理子流程，而是包括在销售实施中的直发/ 库发销售和加油站零售等子流程中，所以“发票管理” 风险应当在相应的销售实施子流程的风险控制文档中涵盖，并在相应流程图中标识。 子公司流程级次低于风险数据库

如：销售流程中的销售实施子流程，风险数据库中的风险应当按照其适用性和针对性分列到批发（直发，库发）与零售等子流程的风险控制文档中，并在相应子流程图中标识。 风险标注在哪个流程级次? 以末级子流程为单位标注风险

例如，在销售流程中，不是针对一级流程（销售流程)，也不是针对二级流程(销售实施流程)，而是针对末级子流程（库发流程）来标注风险。