1. 内部控制与风险管理，中小企业内部控制的内容及其强点和弱点分析？

中小企业内部控制的内容包括财务控制、操作控制、信息系统控制、风险管理控制、人力资源控制等。财务控制是中小企业内部控制的重要内容，包括会计制度的建立和实施、会计准则的遵循、财务报告的准确性和及时性等。其强点是可以确保财务信息的真实可靠性，提高财务决策的准确性。弱点在于财务控制可能较为繁琐且需要专业知识，对企业内部员工的能力和素质要求较高。操作控制主要包括生产管理、物流管理等，强调生产与业务过程中的有效性和效率。其强点是提高生产效率和降低成本。弱点则可能是由于中小企业经营规模相对较小，信息传递和监督相对不够完善。信息系统控制主要关注企业信息系统的安全和可靠性，包括数据备份与恢复、访问权限的管理、网络安全等。其强点是保护企业的核心数据和信息安全。弱点可能在于信息系统的建设和维护成本较高。风险管理控制是中小企业内部控制的重要环节，包括风险识别、评估和控制的过程。强调企业应对外部环境变化的能力和风险规避策略的建立。其强点是提高企业的抗风险能力和可持续发展能力。弱点在于风险管理需要具备较高的专业知识和经验。人力资源控制主要包括招聘、培训、绩效考核和激励机制等。其强点是提高企业人员的素质和能力，增强员工的工作动力。弱点可能在于人力资源控制需要投入一定的成本和精力，并且执行过程中可能存在主观因素。总体而言，中小企业内部控制的强点是可以提高管理效能、减少风险和增加企业的竞争力；但其弱点包括成本、专业知识要求较高、对员工能力和执行力的要求较高等。因此，在实施中小企业内部控制时需要根据企业的实际情况进行合理的规划和落实。

2. 面试官会提问哪些问题？

1. 风险评估和报告的相关经验。

如何与不同的受众进行有效的沟通是风险管理的关键。在面试中，HR会深入了解你在风险评估、撰写报告、演讲和处理问题方面的经验。你要充分展示在写作技巧、演讲经验以及处理问题交流时的技巧。如果可能的话，可以考虑准备一份与你申请的工作相关的风险评估和沟通案例。

2. 对细节问题的关注，以及如何解决这些问题。

风险管理在很大程度上依赖于对细节的关注，抓住重要的细节可能是解决问题的关键、你需要让HR知道，你采用了哪些风险管理技巧来帮助你抓住重要细节。举出具体案例，说明你抓住的这些细节获得了怎样的积极结果，或者对风险管理项目产生了哪些积极影响。

3.分析一下以前参与的风险管理流程

此流程中你会改变或改进什么？这类问题可以让HR看到你对特定风险流程的理解。进而展示你的分析方法，以及是如何发现工作中这些潜在改进点的。这是展示创造性思维的机会，你要突出强调在风险识别和解决方案时你的创造性思维的影响。

4.风险管理在企业中的作用是什么?

对此你认为的作用是什么?作为一名风险管理专业人士，你既是代表着风险管理部门，也是行业中以身作则的教育者和倡导者。

试想一下，你面试的公司是如何看待风险管理的。它是与其他部门的合作关系，还是更多的基于合规检查?你可以概述下你是如何与其他部门合作的，或者你在培训同事或在项目委员会工作中，如何将风险管理的理念引入新的项目中的经验。

5.关于人际交流沟通问题

风险管理专业人员通常必须面临多方压力，需要说服利益相关者改变他们的行为，以防止潜在高风险情况的发生，同时还要面对利益相关者可能不愿意配合的情况。

3. 内部审计是内部监督的内容？

内部审计，是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。

内部审计是“外部审计”的对称。由部门、单位内部专职审计人员进行的审计。目的在于帮助部门、单位的管理人员实行最有效的管理。内部审计与外部审计相配合并互为补充，是现代审计的一大特色。健全的内部审计制度，可为外部审计提供可信赖的资料，减少外部审计的工作量。在中国，内部审计不仅是部门、单位内部经济管理的重要组成部分，而且作为国家审计的基础，被纳入审计监督体系。

4. 内控18项指引具体内容？

内控18项指引是阿里巴巴公司制定的一份内部控制制度，旨在规范公司的业务活动，防范风险和损失，确保公司的稳健发展。该指引共包括18项内容，涉及到公司的财务、采购、销售、人事、研发等各个领域，旨在强化公司的风险管理和内部控制，提高公司的运营效率和管理水平。内控18项指引是指企业在进行内部控制时需要遵守的指导原则，具体内容可能因企业规模、业务范围和行业特点而有所不同，但通常包括以下方面:

1、了解企业风险，制定相应的内部控制策略和措施。

2、确保会计信息真实、准确、完整，并遵守会计准则和法规。

3、制定内部控制制度和流程，明确各操作环节的职责和权限。

4、实施职责分工制度，确保工作流程的规范化。

5、确保员工遵守公司制度和流程，并进行培训和考核。

6、建立内控制度和流程的定期评估和监控机制，及时发现问题并加以解决。

7、确保企业信息系统安全，防止信息泄露和损失。

8、制定应对突发事件和紧急情况的内部控制措施。

9、建立内控制度和流程的文档和记录，以备查询和审计。

10、确保企业遵守相关法规和政策，包括税收法规、劳动法规等。

11、制定内部控制制度和流程的文档和记录，以备查询和审计。

12、确保企业信息系统安全，防止信息泄露和损失。

13、建立内控制度和流程的定期评估和监控机制，及时发现问题并加以解决。

14、确保会计信息真实、准确、完整，并遵守会计准则和法规。

15、制定内部控制制度和流程，明确各操作环节的职责和权限。

16、实施职责分工制度，确保工作流程的规范化。

17、确保员工遵守公司制度和流程，并进行培训和考核。

18、了解企业风险，制定相应的内部控制策略和措施。

5. 如何加强职工对企业内控制度的认识？

加强职工对企业内控制度的认识是确保组织有效运行和风险管理的关键。以下是一些方法可以帮助加强职工对企业内控制度的认识：

1. 提供培训和教育：组织内部可组织培训和教育活动，向职工传达内控制度的重要性、目标和执行要求。可以通过内部培训课程、研讨会、在线学习平台等形式进行。

2. 分发内控制度文档：将企业内控制度以清晰且易于理解的方式编写成文档，并分发给所有职工。确保文档可访问，并提供解答职工疑问的渠道。

3. 建立明确的沟通渠道：建立开放和透明的沟通渠道，让职工能够随时提出问题、反馈和建议。组织可以通过例会、定期报告和员工反馈机制等形式与职工进行沟通，并及时回应他们的关切。

4. 激励和奖励制度：为遵守内控制度、提出改进建议或积极参与内控活动的职工设立奖励制度。这样有助于激发职工对内控制度的积极认同和支持。

5. 案例分享和经验交流：组织内部可以定期举办内控案例分享会或小组讨论，让职工分享他们在实践中遇到的问题、挑战和解决方法。这样可以加深职工对内控制度实施的理解，并促进经验的交流与共享。

6. 上级示范和倡导：领导层应当身体力行地遵守内控制度，并成为内控制度的积极倡导者。通过示范行为和言谈，领导层能够激发职工对内控的兴趣和参与度。

建立和加强职工对企业内控制度的认识需要持续的努力和投入。重要的是确保信息传达清晰明确、互动沟通有效，并通过各种途径和方法持续加强对内控制度的认知和理解。

6. 如何理解内控优先的风险管理理念？

因为如果自己内部控制都没有规范好，发生舞弊，渎职。那么再好的外部风险控制措施也无济于事。

7. 内部控制规范制度文化体系包括？

我国企业内部控制规范体系的构成

2010年4月26日，财政部会同证监会、审计署、银监会、保监会在北京联合发布了《企业内部控制规范配套指引》。该配套指引由21项应用指引（此次发布了18项，涉及银行、证券、保险等业务的3项指引暂未发布）、《企业内部控制评价指引》与《企业内部控制审计指引》（两者以下合称为评价与审计指引）所组成，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行，并计划在上述施行公司的基础上，择机在中小板和创业板上市的公司中施行。同时，鼓励非上市大中型企业提前执行。

《企业内部控制规范配套指引》连同2008年5月发布的《企业内部控制基本规范》（自2009年7月1日在上市公司范围内施行，鼓励非上市大中型企业执行，以下简称为基本规范）共同构成了中国企业内部控制规范体系。如果说目前已在上市公司实施的《企业内部控制基本规范》还只是一个框架结构，主要界定内部控制的内涵、目标、要素，说明制定企业内部控制规范的目的、依据及该规范的适用范围，操作性指导还不强，还是一个方向性指南的话，那么，《企业内部控制规范配套指引》则是企业加强和改进内部控制具体的、具有操作性的指南。

二、对我国企业内部控制规范体系的评价

（一）对基本规范的评价

从基本规范来看，主要涉及到内部控制的基本理论问题，包括内部控制的本质、目标、原则、要素（对象）与方法。规范提出的内部控制五原则：全面性、重要性、制衡性、适应性、成本效益性原则具有重要指导意义。

在控制要素（对象）上，基本规范采用的是1994年COSO报告中的五要素观，而没有采用2004年风险管理框架的八要素观，是实事求是的做法。实际上，这也涉及到内部控制与风险管理的关系问题。内部控制主要体现在流程管理上。流程管理的内容主要包括两个方面：一是业务流程，即规定完成业务的先后顺序；二是管理流程，主要是对各风险管理点的标准。二者结合在一起才是真正的流程管理”。

对于五要素之间的关系，内部控制环境是基础（说明在什么样的环境下开展控制活动），风险评估是前提（说明要重点针对什么活动和在该活动的什么方面进行控制），控制活动是核心（说明对需要重点控制的活动或环节运用什么方法进行控制），信息与沟通是桥梁（以一定的方法对风险评估确定的应该控制的活动和环节开展控制，没有信息的支持是无法达成目标的），监督是保障（没有监督作为保障，控制的好坏在管理上没有区别，则无法达到控制的目标）。就内部控制的方法来说，应该涉及到全部五个要素，既有内部控制环境的评价、改进方法，也有风险评估、风险管理策略的选择方法；既有直接运用于控制活动的方法，也应有信息生产与沟通、监督的方法。

基本规范存在的不足主要体现在：1.在控制要素上仅提到内部监督，难以指导企业内部控制规范指引，也说明基本规范与指引有不相衔接的地方；2.对控制方法的说明不集中，仅在第28条较详细地阐述了控制活动的方法，对其他要素控制的方法很少说明，如风险评价的方法、信息生产与沟通的方法、监督的方法等；3.如何建立反舞弊机制问题放在信息与沟通要素部分不恰当，笔者认为这应该是内部监督的内容；4.对董事会、监事会、经理层、审计委员会、内部审计部门的职责划分不清。如第12条规定，董事会负责内部控制的建立健全和有效实施，监事会对董事会建立与实施内部控制进行监督，经理层负责组织领导内部控制的日常运行。但第13条又规定企业应在董事会下设立审计委员会，审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况（而在自我评价规范中又没有具体涉及到审计委员会），协调内部控制审计及其他相关事宜。从这些规定中可以看出，我国仍然没有处理好内部公司治理问题。

（二）对18项应用指引的评价

应用指引是对内部控制要素进行控制时的具体应用指南。从已公布的各项具体应用指引来看，重点突出了对风险的关注，这点值得肯定。已公布的18项应用指引都在总则部分说明了企业应关注的风险，这可看成企业风险评价的基础和指南。就其他四个方面的要素来看，内部控制环境涉及到组织架构、发展战略、人力资源、社会责任和企业文化5个具体指引。就控制活动来说，涉及到资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告9个具体指引，存在的主要问题是没有生产控制的内容。在过去的征求意见稿中有一个成本费用规范，现在也取消了。过去征求意见稿中没有全面预算规范，现在加了一个全面预算规范，笔者认为应将过去的成本费用规范与现在的全面预算规范结合起来。关于信息与沟通要素，涉及到内部信息传递和信息系统两个具体指引。此次公布的18项应用指引归为三大类，第一类为环境类指引，第二类为控制活动类指引，第三类为控制手段类指引，包括全面预算、合同管理、内部信息传递和信息系统4项。第三类作为方法也可以，但并没有和内部控制要素间的衔接。