由于内控工作的落实有待于所有员工的实践，故在整个公司中形成良好的内控文化十分重要。良好的内控文化并不必然保证企业取得优良的业绩，但缺乏这样的文化却可能对内控缺陷失察，导致一些本来可以避免的损失。

4、对风险的认识与监测

风险评估应当包括所有影响公司业绩和目标的内部因素(比如，公司组织结构的复杂程序与变动、公司业务的性质、关键管理人员的素质和流失情况)和外部因素(比如，宏观经验环境的变化、行业竞争态势的变化、技术进步对本行业的影响)。

风险评估应当在每一项业务、子公司和整个集团的层次进行。风险因素可以是可度量的，也可以是不可度量的。还应评价控制该种风险的成本是多少。风险评估应当区分哪些风险是公司可以控制的，哪些是公司不能控制的。对可以控制的风险，应当决定是接受还是以一定的代价转移给其他愿意接受的机构;对不能控制的风险，应当决定是接受、放弃、还是减少该种业务的规模。

一个有效的内控系统要求，影响企业实现经营目标的重大风险应当被认识，并被持续地评估。这种评估应当包括企业或企业集团面对的所有风险。内控工作应当不断评估，以便发现从前未被认识的风险，以及新出现的风险。对这些风险的评估最好使用情况分析方法，考察不同情况对现金流和交易收入的影响。

5、基本的内控措施

(1)管理高层。管理高层应当关注内控工作，要求下属提交实现公司业绩目标状况的报告，以便了解进展和问题，提出疑问并要求下属做出解释。

(2)职能部门和事业部(子公司)层次。这些部门的负责人应当定期(每天、每周、或者每月)研究业务进展报告，其频率和仔细程序应当高于公司高层管理人员。

(3)有形的控制活动。有效控制通常是指对有形资产，包括现金和证券的控制。具体的控制方式包括：具体的限制措施，双重保理，周期性库存，资金调动双签制等。

(4)对是否遵循风险上限进行检查，查清未能遵循风险上限的原因，并做出解释。对借款人的授信额度是否突破?为什么突破?

(5)授权与批准制度。应就什么管理层次可以承担多大数量的风险上限做出授权，以便使第一管理层了解自己管辖层次的风险，清楚自己的责任。

(6)验证和核对制度。应当定期地验证与核对交易活动的细节和风险评估模型的分析结果，以便及时纠正错误。一旦发现不符之处，应将验证与核对的结果向相应的管理层报告。

6、对利害相关职责的分离

有效的内部控制要求，对利害相关的职责应当进行分离，不应对同一人员授权负责利益相互冲突的岗位。具有潜在利益冲突的岗位应当进行识别和减少，并对其状况由独立的第三方进行监督。

7、有效的信息来源

一个有效的内控系统要求，公司决策层应当能够得到有关财务、经营状况的综合性信息，以及与决策有关的外部市场信息。这种信息应当是有意义的、可靠的、随时可行的，并且可以前后对比的。

8、信息系统的安全与可靠

金融机构应当建立一个涉及全部业务活动的、可靠的管理信息系统。这些系统必须是安全的，并被独立的监测，具有应急备用系统。

9、有效的沟通渠道

公司的组织结构应当保证信息能够上下左右四通八达。向上的信息保证管理高层了解经营风险和当前的经营状况。向下的信息可以保障公司的目标、战略和预期，以及已有的政策和程序，能够传达到下层管理人员和员工。最后，公司内部的信息沟通应当保证一个部门或经营单位的信息可以由其他单位分享。

10、对主要风险的监测

企业内控工作的整体效果应当能够持续地被监测。管理高层应当明确授权，由谁来监测内控系统的有效性。对主要风险的监测应是金融机构日常工作的一个组成部分，应当由企业一线经营管理人员和内部审计人员定期评估这种监测的有效性。

对内控系统的实时监测可以及时发现和纠正内控系统的缺陷。尽管对内控系统的定期评估只能在事后发现问题，但却可以对内控系统的有效性做出一个整体性的评估。参与定期评估的人员可以来自业务部门、财务部门、内审部门。评估结果应有书面报告上报管理高层。

11、对内部控制的内部审计

企业应当有一个独立的、训练有素的内部审计部门，对内控系统进行综合性审计。内审部门应当由有能力、有专业知识和经验的人员组成，他们应当清楚自己的作用和职责，并直接对董事会(或公司审计委员会)或管理高层负责。

内部审计的一个重要职能就是对公司内控系统进行实时监测。内审部门的工作应当独立于公司的日常业务，但有权“介入”公司所有经营单位和下属公司的业务活动。

公司管理高层应当保障内审部门的独立性，并从员工报酬和预算支出上予以支持，而不应由与内审部门有利害关系的管理层次决定。

12、对内控缺陷的处理

经营管理人员、内部审计人员、或其他管理人员发现的内控缺陷(或未能加以有效控制的风险)应当及时向适当的管理层报告。重大的内控缺陷应当及时向管理高层和董事会报告。

13、监管当局的责任

尽管公司董事会与管理高层对内控系统的有效性负有最终责任，监管当局应当把评估金融集团内控系统作为一项重要的监管内容。监管当局应当要求所有金融机构建立有效的内控系统，这一系统应当与公司的表内、表外业务活动的性质、复杂程序和内在风险相适应，并随着企业环境与条件的变化而变化。

监管当局不仅应当评估金融机构整个内控系统的有效性，而且应对金融机构经营环境的变化予以特别关注，考察金融机构是否已针对上述变化，对内控系统做出调整。

监管当局对金融机构内控工作的监管方式可以有三种。一是要求金融机构(内审部门)提交自评报告;二是监管机构确定内容与范围，要求金融机构定期提交相关内容的外审报告;三是直接对金融机构的内控工作进行现场检查。

为了评价金融机构内控系统的有效性(是否发挥作用)和可靠性(该系统是否足以遏制风险)，监管当局可以考察金融机构用于识别、度量、监测和管理风险的模型与方法。如果认为适当，监管当局可以使用内部审计报告来评价该金融机构内控工作的质量，或者认可内审人员发现的内控缺陷。

尽管外部审计的主要目的是核实金融机构的年度报告，但监管当局也可以利用外部审计来评估金融机构的内控工作。

在许多国家，对金融机构内控工作的现场检查是一项重要的监管工作。为了证实金融机构内控工作的有效性，现场检查既包括对业务流程的检查，也包括对交易过程的测试。

那么关于金融控股公司的内部控制的内容就介绍到这了，更多精彩请大家持续关注我们网站。

相关推荐：

论公司品牌与独立品牌的比较研究

论倾销对上市公司的影响