企业内部控制精讲课件

企业内部控制精讲

1“能够自己管理好自己公司的老板是好的老板，一种内在于企业并能确保企业自我发展的制度是一种好的制度。内部控制制度是企业自我发展的调控器。”“COSO是通向良好的治理、风险和控制的有效通道，借此可以提高公司的业绩，让所有股票持有人受益。”

第一部分基于风险管理的内控2内部控制

=降低风险发生可能性的措施?

暴露的金额发生的可能性风险的大小内部控制降低3内部控制

——被定义为一个过程，这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证：

营运的效果和效率财务报表的可靠性相关法令的遵循（一）什么是内部控制？COSO4（二）影响企业内部控制的因素公司治理方式风险与机会政府管理或法律管理企业文化科技进步企业责任混沌理论（chaostheory）5（三）COSO1：内部控制的整合框架1992COSO报告《内部控制——整体框架》内部控制是由企业董事会、管理阶层与其他人员执行，由管理人员阶层所设计为达成营运的效果及效率，财务报导的可靠性和相关法令的遵循提供合理保证的过程。内部控制划分为五种要素，它们分别是控制环境、风险评估、控制活动、信息与沟通、监控。6（四）COSO2：企业风险管理的整

合框架

2004年9月，研究报告《企业风险管理：整合框架》（EnterpriseRiskManagement–IntegratedFramework）正式发布。“企业风险管理是由企业的董事会、管理层和其他人员实施的，运用于战略制定，并贯穿整个企业的一个过程。这个过程的设计是为了及时识别可能影响企业的潜在事件，将风险控制在风险偏好范围内，为实现企业目标提供合理的保证。”

7企业风险管理整合框架包括八个基本要素内部环境目标制定事件识别风险评估风险应对控制活动信息和沟通监控内部环境战略目标设定事项识别风险评估风险应对控制活动信息与沟通监督经营报告遵循子公司业务单位分支机构企业整体层次8标题内部控制整体框架与企业风险管理整体框架内部环境战略目标设定事项识别风险评估风险应对控制活动信息与沟通监督经营报告遵循子公司业务单位分支机构企业整体层次控制环境风险评估控制活动监督作业活动1作业活动2循遵营经告报信息与沟通9（五）COSO3：较小型企业的内部控制所谓较小型企业，即具有以下特征的企业：生产线较少和每条生产线的产品类别较少营销集中于特定的渠道或区域由具有较大所有权或经营权者领导公司管理层级较少，控制范围较宽相对简单的交易处理系统和规程人员较少，有些人承担较大范围责任保持生产资源充足的能力有限且支持性岗位人员（如法律、人力资源、会计和内部审计）不足10达到财务报告有效内部控制的

应用原则控制环境诚信与道德价值观—尤其是高层管理人员需要需要建立并正确理解诚信与道德价值观，并建立财务报告的行为标准。董事会—董事会了解并行使与财务报告及内部控制有关的监督责任。管理哲学与经营风格—管理哲学与经营风格支持有效财务报告内部控制的达成。11控制环境（续）组织结构—公司的组织结构支持有效的财务报告内部控制。财务报告能力—公司留任胜任财务报告及相关监督角色的人员权限与责任—管理层及员工获得适当层级的权限与责任，以促进有效的财务报告内部控制人力资源—人力资源政策与实务的设计与执行，有助于有效的财务报告内部控制达到财务报告有效内部控制的

应用原则12风险评估财务报告目标—管理层所指定的财务报告目标要有充分的说明及标准，以识别编制可靠的财务报告所面临的风险财务报告风险—公司识别及分析达成财务报告目标所面临的风险，并将其作为风险管理的基础舞弊风险—评估财务报告目标达成的风险时，明确考量因舞弊而发生重大错报的可能性达到财务报告有效内部控制的

应用原则13达到财务报告有效内部控制的

应用原则控制活动11、风险评估整合—采取行动以确定实现财务报告目标所面临的风险12、控制活动的选择及建立—控制活动的选择及建立，应考量其在降低实现财务报告目标所面临的风险上的成本和潜力13、政策与程序—在公司内部建立及沟通与可靠财务报告有关的政策，同时还应有确保管理层指令得以执行的相应程序14、信息技术—设计与建立可行的信息技术控制，以支持财务报告目标的达成14达到财务报告有效内部控制的应用原则信息与沟通15、财务报告信息—公司各层识别、归集和使用有关的信息，并且信息的分发形式和时间安排应有助于财务报告目标的达成16、内部控制信息—识别和归集用以执行其他控制要素的信息，并且信息的分发形式和时间安排应促使组织成员履行其内部控制责任17、内部沟通—各项沟通促使及帮助组织各个层级了解与执行内部控制目标、流程和个人职责18、外部沟通—向外部人士沟通影响财务报告目标达成的事项15达到财务报告有效内部控制的应用原则监督19、持续评估和个别评估—持续评估和个别评估，可促使管理层确认财务报告内部控制是否存在并发挥作用20、内部控制缺陷的报告—应当与负责采取行动的人员、管理层以及董事会准确及时地确定和沟通内部控制缺陷的问题16（六）COSO4:内部控制系统监督指引2009年2月发布《内部控制系统监督指引》(GuidanceonMonitoringInternalControlSystems)COSO委员会发布监督指引，希望达成下列目的：

帮助企业改善内部控制的效率和效果—帮助组织提高内部控制的效率和效果。这份指南要帮助管理层、董事会成员、内部和外部审计师、监管者等认识和改善现有的监督，即当监督有效时，认可并最大程度地利用;存在改进的可能时，加强监督。为组织提供更实际的指导—具体阐述了如何将监督纳入组织的内部控制流程，并提供了不同的监督的例子。在当前充满变数的环境中，有效监督应降低企业无法满足合规性要求的风险，以及风险管理流程、关键内部控制和其他重要安全措施失效的威胁。COSO监督指引为那些真正想实施有效监督流程的企业，提供了一种通行的方法。17监督扮演整合内部控制其他组成要素的功能，它将内部控制的其他四个组成要素环绕包围，帮助企业评估其内部控制是否有效运作，并协助组织达成下列目标：

及时的识别与纠正内部控制问题

提供更正确、更可靠的信息编制正确且及时的财务报告通过监督可定期确认与验证内部控制的有效性18（六）内部控制系统监督指引监督要素的有效运行可以通过三种方式为组织提供价值:使管理层和董事会能够确定，内部控制系统是否随着时间流转，而持续有效地运行。通过一些方式提高组织的整体效率和效果，如：及时提供证据，表明内部控制的设计或运行己经发生或可能发生变化，从而在控制缺陷重大地影响内部控制系统实现组织目标的能力之前，帮助组织识别和纠正控制缺陷。能促进良好的控制运行。当内部控制的负责人知道他们的工作要接受监督，他们就更可能恰当地履行职责。19监督职能欲有效发挥作用，需构建三要素：

建立良好环境

设计及执行监督程序

评估及报告监督结果这个模型并非要确立一个绝对的监督程序，而是旨在说明处于动态环境中监督的一般流程。20（六）内部控制系统监督指引监督模型三要素建立监督基础—良好环境1、确立关于内部控制(包括监督)重要性的高层基调对于每一个控制要素，管理层和董事会表达他们对于监督重要性看法的方式，会对内部控制的有效性有直接影响。管理层的基调影响了员工们执行监督和对监督的反应方式。董事会的基调也会影响管理层执行监督和对监督的反应方式。高层基调可以通过沟通期望和必要时采取行动来表达。21（六）内部控制系统监督指引监督模型三要素（续）建立监督基础（续）2、一个恰当的组织结构组织结构考虑了管理层和董事会在监督中的角色，以及对合适的评估者安排适当的岗位。管理层对组织的内部控制负有最主要的责任。管理层执行监督来确保内部控制系统持续有效运行。董事会通过以下方式行使其监督责任：了解影响组织目标实现的风险，管理层用来降低这些风险的控制，以及管理层如何使用监督程序以确保内部控制体系持续有效运行。董事会在履行监督职责时，有效的内部审计是一个很有用的工具。监督者和他们的信息提供者必须具备恰当的胜任能力和客观性。22（六）内部控制系统监督指引监督模型三要素（续）建立监督基础（续）2、一个恰当的组织结构管理层可以通过两个步骤为监督职位选择具有合适能力、客观性、权威性的人员。第一步是在高管层层面确立监督领导团队。可以从以下人员中选派：首席财务官以及财务总监负责监督财务报告内部控制；首席信息官负责监督与信息系统相关的控制；首席风险官或首席法务官负责监督与法律法规遵循相关的控制。第二步，监督领导人可以将评价者所需的技能及客观性与所需监督的控制相匹配，复杂的领域可能需要由具有专门技能或经过培训的评价者来监督。23（六）内部控制系统监督指引监督模型三要素（续）建立监督基础（续）3、对内部控制有效性的基准的理解控制基准—监督体系的建立应从理解内部控制体系的设计以及确定其是否能达到组织内部控制目标开始。控制基准为有效的控制监督提供了一个恰当的起点。如果组织尚未在某一领域获得对应关注风险相关控制的基本理解，那么它需要进行初步甚至可能是广泛的内部控制设计评估并判断控制是否得到适当执行。组织通过变化识别和变化管理不断形成新的控制基准。24对持续变化的监督持续监督定期个别评估控制基准重新生效/更新的控制基准改变管理程序改变无改变确认重新生效发现变化发现变化发现变化25（六）内部控制系统监督指引监督模型三要素（续）建立监督基础（续）3、对内部控制有效性的基准的理解内部控制中的风险评估要素能够识别流程或风险的变化并且验证相关控制的设计是否仍然有效。当控制执行发生变化时，或者必要的控制设计变更已被识别时，监督将验证内部控制是否对控制实施了变更管理并针对修改后的控制建立了新的控制基准点。当使用有说服力的信息来进行监督时，持续监督程序能够在执行过程中重新验证控制有效的结论，从而保持一个连贯的控制基准点。当使用说服力较低的信息或当风险水平有特定要求时，则需要通过使用有适当说服力的信息，以个别评价的监督程序来定期验证控制执行的有效性。26假设某个主管负责管理一个订单录入的多人团队，并担心在销售系统中录入订单的完整性、准确性和及时性存在问题。该主管从以下两个步骤开始监督程序：（1）了解内部控制体系如何管理和减少可能导致订单录入不完整、不正确和不及时的风险；（2）了解用以衡量这些控制是否有效的基础（即控制基准点）。基于此基准点，主管可设立持续监督程序以识别环境或控制执行中的变化。对于控制环境变化的监督可考虑新销售渠道或订单录入系统程序变更等日常业务操作。对于控制执行变化的监督可包括订单录入统计数据的常规审阅（如每人录入订单量或系统生成的输入错误统计报告）。同时也可包括定期观察录入的订单或在订单录入团队内抽样检查已录入订单。如果组织增添了新的销售渠道，该渠道的订单输入程序也与以往不同，该主管首先会确认新程序的设计与执行是否适当（即变更管理）。随后可能要决定在某一段时间内，更全面的观察新接收订单的录入过程，和（或）选择更多的新接收订单（与旧的、常规订单相比）进行重新核查。这样，有效的变更识别和变更管理流程可以将该主管的注意力集中到因变更而带来的更重要的风险领域，从而促使其改变监督流程的类型、时机和范围，进而提高整体的效率。27（六）内部控制系统监督指引监督模型三要素（续）设计和执行监督程序监督是一个动态的过程(见下图)，包括风险排序、识别关键控制、识别有说服力的信息以及执行监督程序，每一个步骤都在某种程度上持续运行。了解企业实现目标面临的风险，并排序透过风险评估辨识重要控制开发并执行符合成本效益的程序以评估那些有说服力的信息识别能够有力说明内控系统是否有效运行的信息确定信息控制辨识执行监督风险排序28（六）内部控制系统监督指引监督模型三要素（续）设计和执行监督程序（续）1、将风险进行排序监督是以风险为导向，把焦点放在那些应对重大风险的控制的评估。这些重大风险是指在特定的时间段，能对组织目标实现有重大影响的风险。风险评估的形式和频率在不同的组织可以有很大的不同此处的风险排序并不意味着要单独的风险评估职能来支持监督。在一个运行良好的内部控制中，风险评估将根据组织目标定期识别风险并对其进行排序。这个过程的评估结果将会影响有关监督措施的类别、时间以及范围的确定。29（六）内部控制系统监督指引在这个阶段需要考虑的风险因素包括:业务性质—组织构成方式和业务特性会影响监督的需求和实施。业务性质包括交易量、业务复杂程度、涉及的金额、地理位置等业务变更—合并、合资、收购、系统变更、人事以及其他变动都是风险增加的标志环境因素—外部环境能影响组织的生存能力并增加监督特定内部控制的需要。外部风险包括竞争、市场变化、法规以及诉讼或亏损风险较高的领域。偷窃或欺诈的可能性—某些因素能增加偷窃或欺诈的可能性，包括拥有较高价值的资产、员工业绩指标可能为欺诈行为提供动机、执行未授权的交易等。30一家生产型企业希望确认其财务报告内部控制是有效的，管理层可以先从审阅财务报告开始分析，并提出可能出错的地方或者会妨碍公司实现在某一特定领域的财务报告目标的可能。下面通过收入确认的例子说明风险排序的过程。关注点：收入目标：在正确的期间确认收入风险：多记—在送货前或商品所有权转移前就计入收入优先级：中等理由：增加风险的因素：该公司的季度末销售和发挥一般都比较活跃，增加了截止性风险接近或在季度末时公司的资金运转量对财务报表影响较大公司薪酬奖励计划的制定可能促使销售人提前确认销售收入降低风险的因素：公司的标准业务流程依据FOB运输及定价条款的规定，因此，降低了货物所有权转移相关的截止性风险。31（六）内部控制系统监督指引监督模型三要素（续）设计和执行监督程序（续）2、识别关键控制组织通过了解内部控制系统如何应对或减轻重大风险以及确定哪些控制对监督结论贡献最大来确定关键控制。关键控制通常具有一个或两个下述特点：关键控制失效是可能的，并且会对评价者负责的组织目标产生实质性影响，但有可能不会被其他控制及时发现；关键控制的执行可以防止其他控制的失效或在对组织目标产生实质性影响前及时发现这些控制失效。关键控制的认定可能在组织的各层中进行。如针对某风险的控制对于分厂经理可能是至关重要的，但对高管层而言就不重要了，因为它不是针对整体公司层面风险的重要控制。32监督模型三要素（续）设计和执行监督程序（续）2、识别关键控制可以考虑从增加导致内部控制失效的风险的各类因素出发，分析关键控制，这些因素包括：复杂性—相比简单的控制，那些需要特殊技能或培训方能执行的控制更可能失败判断力—需要高度判断力的控制的实施高度依赖于判断者的经验和接收的培训人工控制及自动控制—相对于自动控制，人工控制更加可能产生人为失误，因此，更多的收到不同层级的监督已知的控制失效—先前的控制失效是一个清晰的信号，说明需要增加监督活动直到整改措施已经有效抑制了失效原因人员的能力及经验—缺少实施某一控制所必需的资质或经验会增加控制失效的可能性管理层凌驾的风险—管理层为了某些与组织目标相悖的目的而凌驾于控制活动之上，这些控制需要特别的监督识别控制失效的可能性—如果某一特定控制失效可以被内部控制中其他控制在其产生重大影响前将它识别出来，那么这个特定控制可以不识别为关键控制。33（六）内部控制系统监督指引监督模型三要素（续）设计和执行监督程序（续）3、识别有说服力的信息一旦选择了关键控制，评估者就要识别相关信息，这些信息能够支持控制是否得到执行以及是否如期运行的结论识别这种信息必须了解控制失败可能怎样发生，以及在确定内部控制系统有效运行时哪些信息是有说服力的。有说服力的信息是适当且充分的，对有说服力的信息的识别使得组织能够确定使用何种监督程序以及执行监督的频率。343、识别有说服力的信息有说服力的信息能够为内部控制有效性提供足够的支持。有说服力的信息首先必须是适当的。适当的信息所需具备的三个要素:相关、可靠和及时，如右图35不能同时拥有这三个要素的信息可能具有一定程度的适当性，但它无法单独为控制持续有效的结论提供合理的支持。例如，信息可能是相关且可靠的，但及时性不够，无法为所考虑的某个特定时间段内控制的有效性结论提供支持。或者，信息可能是相关和及时的，但来自于一个不太可靠的渠道。又或者，信息可能是及时和可靠的，但与相关内部控制有效性的结论不太相关。在判断信息是否充分时，可能的影响因素包括控制失败的潜在影响、环境的变化程度、控制的复杂程度、监督其他控制所能提供的佐证等。3、识别有说服力的信息36在考虑信息的相关性时，直接信息与间接信息所提供的相关度不同。直接信息能清楚地证实控制的运行情况，它是通过观察控制的运行、重新执行控制或者直接进行测试来获得的。间接信息是那些可能预示着控制运行发生变化或失败的其他所有信息，或者与控制运行相关，或来源于控制运行。间接信息可以包括但不限于:业务统计数据，关键风险指标，关键绩效指标，相对的行业标准。能直接证实控制运行情况的信息比那些需要很大程度推断控制是否有效的信息更为相关。比如，通过直接了解某个会计人员分析复杂的会计问题，所做出相应的选择(直接信息)，比通过审查简历和培训记录得出的信息(间接信息，需要评估者推断，背景和培训会导致更准确的分析和更好的决策)更为相关。在监督中使用间接信息，识别那些可能预示控制变化或失败的异常情况，使它们接受进一步的调查。间接信息就其本身而言，所提供的支持力度是有限的，使用间接信息进行监督会影响利用直接信息监督的类型、时间和范围。3、识别有说服力的信息37（六）内部控制系统监督指引监督模型三要素（续）设计和执行监督程序（续）4、实施监督程序:持续监督和单独评估持续监督为管理层关于控制有效性的日常信念（day-to-daybelief）提供主要支持，单独评估提供定期的确认。当在持续监督中使用的信息具有说服力的情况下，持续监督和单独评估相结合的方式是最好的。影响单独评估频率的因素，包括风险发生的可能性和重大性、所使用的信息的质量等。38当风险和信息的可得性值得用持续监督，在可行的情况下，组织应该考虑更多地使用持续监督。由于持续监督程序常规性地执行，常常是在实时的基础上，因此能够最早识别和纠正控制缺陷。持续监督程序是植入企业日常的、反复发生的经营活动中，它包括一般的管理和监督活动、同业对比和利用内外部数据进行趋势分析、核对以及其它的常规性活动。4、实施监督程序:持续监督和单独评估39单独评估通常是由那些不直接参与控制运行的人员执行，与那些由不太客观的人员执行的持续监督相比，独立评估可以为控制运行情况提供更客观的分析，亦可为持续监督程序的有效性提供有价值的定期反馈。单独评估的频率需考虑两次评估之间控制失败的可能性或重要性。持续监督程序中所使用的有说服力的信息水平也会影响单独评估的频率。在某一特定风险领域，通过评估较有说服力的信息来进行持续监督可以全面支持有关该领域内部控制系统有效的结论。在这样的情况下，单独评估可能很少发生(也许每几年一次)，主要是对持续监督程序正在运行提供独立的确认。通过评估不太有说服力的信息的持续监督可能预警异常情况，引起预定之外的单独评估，但一般无法为内部控制在一个较长时间段内有效的结论提供必要的支持，因此，就需要更为频繁的单独评估。4、实施监督程序:持续监督和单独评估40（六）内部控制系统监督指引监督模型三要素（续）评估和报告结果发现的内部控制缺陷要报告给执行该流程和相关控制的人以及比这些人至少高一级别的管理层;重大缺陷要与最高管理层和董事会沟通;内部或外部的缺陷报告都应该予以考虑，并及时采取纠正措施。对外报告的要求会影响组织实施监督的类型、时间和范围。组织实施内部监督所使用的信息质量、评估者的客观性都会影响外部评估者使用内部监督工作的程度。在决定监督程序时，组织要考虑包括监督和独立审计的所有成本。41对识别的控制缺陷进行排序有助于推动报告程序和制定可能的整改措施。影响组织对已识别的控制缺陷进行排序的因素包括：影响组织目标的可能性补偿性控制的有效性—在某个已被识别的控制缺陷产生的错误对组织造成严重影响之前，其他控制的有效执行能够预防或发现这些错误。多个缺陷的累计影响—当多个缺陷对同一个或类似的几个风险造成影响时，它们的相互作用增加了内部控制体系失效的可能性，因而严重程度会比把多个缺陷的影响简单降价更大决定由谁来进行控制缺陷排序是一个判断的问题（六）内部控制系统监督指引42各企业可依其规模大小、行业特征、作业环境等因素，采取不同的监督模式，COSO委员会提出的参考作法如下：1、由内部审计部门定期评估与测试内部控制系统。如：某小型制造企业为了确定管理层对某些风险实施了有效的监督，审计委员会要求内部审计执行定期的审阅。手工日记账是一个具体考虑的领域，需要特别关注管理层凌驾于控制活动之上的情形。内部审计的审阅包括基本信息，如数量、金额、编制人等，还包括更深入的信息，如重要分录的合理性、潜在的舞弊分录等。（六）内部控制系统监督指引43（六）内部控制系统监督指引2.持续监督各个计划或方案的相关资料汇入信息系统的情形。持续监督为管理层在日常经营活动中建立起的对内部控制有效性的信息提高最直接的支持，个别评价则为此提供定期的确认。当持续监督程序所采用的信息具有说服力时，这种结合的效果最好。44（六）内部控制系统监督指引3.利用分析、追踪业务报告等方法，识别异常的内部控制缺陷。某国际制造业公司开发了一个客户数据库来追踪产品的质量问题，这些质量问题是通过外部客户反映以及内部管理者的监督和质量审计审阅得到的。对这些问题进行排序、记录，然后查到原因并交给生产部门的经理，最后跟踪这个问题直到它得到解决。45（六）内部控制系统监督指引4.管理层复核其直接监督的内部控制流程。某中型企业有13个不同的工厂地点，其中6个是作为重点发展的。管理层在次要工厂里监督内部控制，主要通过包括月度协同调整和分析性评审的持续监督程序。由于月度和季度工厂级别的负责人与监督人之间的协同调整活动和人员流动造成了频繁错误，于是，管理层实施了定期评价关键控制的随机工厂审计，改善了工厂级别的控制的持续效果。465.董事会对内部控制的有效执行进行自我评估。某证券经济金融服务公司建立了一个正式的内部控制评估项目。该项目需要业务部负责人按季度执行控制的自我评估并保证他们所负责的某些控制的有效性。董事会明确传达其对控制自我评估准确性的期望，并要求经理对其错误的保证内部控制负有责任。自我评估虽不是完全客观的，却是有效防止内部控制失效的洗衣到防线。此外，通过执行定期的独立监督程序并将其结果与自我评估相比较，内部审计有助于弥补在控制的自我评估中客观性的缺乏。（六）内部控制系统监督指引476.审计委员会与内部审计人员和外部审计人员沟通，询问监督过程的情形。某大型企业有多个利益相关者。审计委员会每天通过举报热线、电子邮件，以及与内外审沟通等多种途径了解关于欺诈、浪费和滥用职权的信息。在一个庞大、复杂和多样化的组织中，欺诈、浪费和滥用可能会发生在多个层级并难以察觉。通过优化内外部沟通渠道，发出了关于欺诈、浪费和滥用职权不可容忍的高层基调的信号，并增加了及时发现相关活动的可能性。（六）内部控制系统监督指引487.内部审计部门制定并执行质量管理计划。某金融服务公司的内部审计部门为公司、部门和个人的现场审计在如下基础上建立了审计程序：了解为解决应关注风险内部控制系统是怎样设计的选择存在于系统内部并能提供最大监督价值的控制目的在于使组织确保为监督选定的控制能解决应关注的风险、对控制有效性的结论提供足够的支持。（六）内部控制系统监督指引49（七）COSO委员会倡导的内部控制理念控制是一个动态过程。上至董事会，下至基本作业单位，人人皆应执行内部控制制度。内部控制无所不在，无所不有。从“硬性控制”走向“柔性控制”。内控不一定是“紧身衣”，也不一定是一系列“禁令”，而是帮助组织实现目的和目标的积极工具，控制是帮助性而不是限制性的。50（七）COSO委员会倡导的内部控制理念内控有助于处理公司为达到目标所面临的风险，即内控可以使组织目标易于达成，但不能确保目标的达成强调内控与公司经营过程的结合，而不是凌驾于公司的经营活动之上。内部审计只能降低，而不能消除控制失灵的可能性。51第二部分我国企业内部控制规范企业内部控制基本规范主要内容企业内部控制配套指引.52第二部分我国企业内部控制规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引企业内部控制配套指引53第二部分我国企业内部控制规范企业内部控制配套指引的制定发布，标志着以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、层次分明、衔接有序、方法科学、体系完备的企业内部控制规范体系建设目标基本建成。《应用指引》是就企业如何围绕内控五要素建立健全内部控制提供指引，在配套指引乃至整个内部控制规范体系中占据主体地位

《评价指引》是就企业开展内部控制自我评价提供指引《审计指引》是为会计师事务所执行企业内部控制有效性审计提供指引54第二部分我国企业内部控制规范《企业内部控制配套指引》实施时间

自2011年1月1日起在境内外同时上市的公司施行自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市的公司施行择机在中小板和创业板上市公司施行鼓励非上市大中型企业提前执行55

（一）企业内部控制基本规范5个部门5个目标5个原则5个要素50个项目基本规范56（一）企业内部控制基本规范一、内部控制定义内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。57（一）企业内部控制基本规范二、内部控制目标经营管理合法合规；资产安全；财务报告及相关信息真实完整；提高经营效率和效果；实现发展战略。58（一）企业内部控制基本规范三、建立与实施内部控制的原则全面性原则重要性原则制衡性原则适应性原则成本效益原则59（一）企业内部控制基本规范内部环境风险评估控制活动信息与沟通内部监督四、内部控制要素60（一）企业内部控制基本规范内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。61

1.治理结构股东大会董事会监事会审计委员会经理层负责内部控制的建立健全和有效实施负责组织领导企业内部控制的日常运行

对董事会建立与实施内部控制进行监督负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等

62（一）企业内部控制基本规范内部环境（续）：2.机构设置及权责分配企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。

企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。

63（一）企业内部控制基本规范内部环境（续）：3.内部审计企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。

内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

64（一）企业内部控制基本规范内部环境（续）：4.人力资源政策人力资源政策是影响企业内部环境的关键因素。企业的人力资源政策应当科学、规范、公平、公开、公正，有利于调动员工在内部控制和经营管理活动中的积极性、主动性和创造性。65（一）企业内部控制基本规范内部环境（续）：4.人力资源政策（续）人力资源政策至少应当包括以下内容：员工的聘退、培训、辞退与辞职；员工的薪酬、考核、晋升与奖惩；关键岗位员工的强制休假制度和定期岗位轮换制度；掌握国家秘密或重要商业秘密的员工离岗的限制性规定；有关人力资源管理的其他政策。66（一）企业内部控制基本规范内部环境（续）：5.企业文化企业文化，是指企业在经营管理过程中形成的、影响企业内部环境和内部控制效力的精神、意识和理念，主要包括企业的整体价值观，高级管理人员的管理理念、经营风格与职业操守，员工的行为守则等。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。67（一）企业内部控制基本规范内部环境（续）：5.企业文化（续）企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。68（一）企业内部控制基本规范风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。69（一）企业内部控制基本规范风险评估（续）1、目标设定目标设定是风险识别、风险分析和风险应对的前提。企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。70设定控制目标风险识别内部风险外部风险风险分析定量与定性方法风险应对确定风险承受度结合风险承受度整体风险承受能力业务层面的可接受风险水平（包括风险规避、风险降低、风险分担和风险承受等）

71（一）企业内部控制基本规范风险评估（续）：2、风险识别企业识别内部风险，应当关注下列因素：

（1）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。

（2）组织机构、经营方式、资产管理、业务流程等管理因素。

（3）研究开发、技术投入、信息技术运用等自主创新因素。

（4）财务状况、经营成果、现金流量等财务因素。

（5）营运安全、员工健康、环境保护等安全环保因素。

（6）其他有关内部风险因素72（一）企业内部控制基本规范风险评估（续）：2、风险识别（续）企业识别外部风险，应当关注下列因素：

（1）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。

（2）法律法规、监管要求等法律因素。

（3）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。

（4）技术进步、工艺改进等科学技术因素。

（5）自然灾害、环境状况等自然环境因素。

（6）其他有关外部风险因素。73（一）企业内部控制基本规范风险评估（续）：3、风险分析企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。。74（一）企业内部控制基本规范风险评估（续）：4、风险应对企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。75（一）企业内部控制基本规范风险评估（续）：4、风险应对（续）风险应对策略一般包括风险规避、风险降低、风险分担和风险承受等。企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。76（一）企业内部控制基本规范控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。77（一）企业内部控制基本规范控制活动（续）企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。78（一）企业内部控制基本规范控制活动（续）不相容职务分离控制不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。企业在确定职责分工过程中，应当充分考虑不相容职务相互分离的制衡要求。不相容职务通常包括：授权、批准、业务经办、会计记录、财产保管、稽核检查等。79（一）企业内部控制基本规范控制活动（续）授权审批控制授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。80（一）企业内部控制基本规范控制活动（续）会计系统控制会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。81（一）企业内部控制基本规范控制活动（续）财产保护控制财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。82（一）企业内部控制基本规范控制活动（续）预算控制预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。83（一）企业内部控制基本规范控制活动（续）运营分析控制运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。84（一）企业内部控制基本规范控制活动（续）绩效考评控制绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。85（一）企业内部控制基本规范控制活动（续）企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。86（一）企业内部控制基本规范信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。87（一）企业内部控制基本规范信息与沟通（续）1.企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。

重要信息应当及时传递给董事会、监事会和经理层88（一）企业内部控制基本规范信息与沟通（续）2.企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性内部信息可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道获取外部信息可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道获取

89（一）企业内部控制基本规范信息与沟通（续）3.企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。90（一）企业内部控制基本规范信息与沟通（续）4.企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。91（一）企业内部控制基本规范信息与沟通（续）：5.反舞弊机制企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。92（一）企业内部控制基本规范信息与沟通（续）：5.反舞弊机制（续）企业至少应当将下列情形作为反舞弊工作的重点：未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。董事、监事、经理及其他高级管理人员滥用职权。相关机构或人员串通舞弊。93（一）企业内部控制基本规范信息与沟通（续）：5.反舞弊机制（续）企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。

94（一）企业内部控制基本规范内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。95（一）企业内部控制基本规范内部监督（续）企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。96（一）企业内部控制基本规范内部监督（续）2、企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。97（一）企业内部控制基本规范内部监督（续）3.企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。98（一）企业内部控制基本规范内部监督（续）4.企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。

99（二）企业内部控制应用指引资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告

组织架构发展战略人力资源企业文化社会责任全面预算合同管理内部信息传递信息系统内部环境类指引控制活动类指引控制手段类指引100（二）企业内部控制应用指引内部环境类指引发展战略人力资源社会责任企业文化组织架构101（二）企业内部控制应用指引内部环境类指引组织架构（第1号）是企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

内部环境类指引102（二）企业内部控制应用指引组织架构（续）1.组织架构包括治理结构和内部机构两个层面

：治理结构即企业治理层面的组织架构。它是企业成为可以与外部主体发生各项经济关系的法人所必备的组织基础，具体是指企业根据相关的法律法规，设置不同层次、不同功能的法律实体及其相关的法人治理结构，从而使得企业能够在法律许可的框架下拥有特定权利、履行相应义务，以保障各利益相关方的基本权益。内部机构是企业内部机构层面的组织架构。它是指企业根据业务发展需要，分别设置不同层次的管理人员及其由各专业人员组成的管理团队，针对各项业务功能行使决策、计划、执行、监督、评价的权力并承担相应的义务，从而为业务顺利开展进而实现企业发展战略提供组织机构的支撑平台。内部环境类指引103（二）企业内部控制应用指引2、组织架构设计和运行的主要风险从治理结构层面看，主要风险在于：治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。从内部机构层看，主要风险在于：内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮、运行效率低下。

内部环境类指引104（二）企业内部控制应用指引3、组织架构的设计企业治理结构的设计一般要求企业应当根据国家有关法律法规的规定，按照决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序等。内部环境类指引105（二）企业内部控制应用指引3、组织架构的设计企业治理结构的设计上市公司治理结构的特殊要求应充分反映其"公众性"

一是建立独立董事制度二是董事会专门委员会的特殊要求

三是设立董事会秘书

内部环境类指引106（二）企业内部控制应用指引3、组织架构的设计企业治理结构的设计国有企业治理结构的特殊要求一是国有资产监督管理机构代行股东（大）会职权二是国有独资企业董事会成员中应当包括公司职工代表三是国有独资企业监事会成员由国有资产监督管理机构委派；监事会成员中的职工代表由公司职工代表大会选举产生四是外部董事由国有资产监督管理机构提名推荐，由任职公司以外的人员担任内部环境类指引107（二）企业内部控制应用指引3、组织架构的设计内部机构的设计内部机构的设计是组织架构设计的关键环节。一，企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。内部环境类指引108（二）企业内部控制应用指引3、组织架构的设计内部机构的设计（续）内部机构的设计是组织架构设计的关键环节（续）二，企业应当对各机构的职能进行科学合理的分解，确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系。

三，企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。

内部环境类指引109（二）企业内部控制应用指引3、组织架构的设计对“三重一大”的特殊考虑组织架构指引明确要求，企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。内部环境类指引110（二）企业内部控制应用指引4、组织架构的运行企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。

内部环境类指引111（二）企业内部控制应用指引4、组织架构的运行从治理结构层面看，应着力从两个方面入手一是关注董事、监事、经理及其他高级管理人员的任职资格和履职情况。二是关注董事会、监事会和经理层的运行效果。从内部机构层面看，应着力关注内部机构设置的合理性和运行的高效性。合理性包括：内部机构设置是否适应内外部环境的变化；是否以发展目标为导向；是否满足专业化的分工和协作，有助于企业提高劳动生产率；是否明确界定各机构和岗位的权利和责任，不存在权责交叉重叠，不存在只有权利而没有相对应的责任和义务的情况等。

高效性包括：内部各机构的职责分工是否针对市场环境的变化作出及时调整。特别是当企业面临重要事件或重大危机时，各机构间表现出的职责分工协调性，可以较好地检验内部机构运行的效率。内部环境类指引112（二）企业内部控制应用指引4、组织架构的运行指引特别强调：企业拥有子公司的，应当建立科学的投资管控制度，通过合法有效的形式履行出资人职责、维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。

内部环境类指引113（二）企业内部控制应用指引发展战略（第2号）发展战略，是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划。

战略信息披露战略评估与调整战略制定战略实施内部环境类指引114（二）企业内部控制应用指引发展战略（续）1.企业制定与实施发展战略至少应当关注下列风险：（1）缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。（2）发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。（3）发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。内部环境类指引115（二）企业内部控制应用指引发展战略（续）2.发展战略的制定企业应当在董事会下设立战略委员会，或者指定相关机构负责发展战略管理工作，履行相应职责。

战略委员会成员应当具有较强的综合素质和实践经验，其任职资格和选任程序应当符合有关法律法规和企业章程的规定。战略委员会应当组织有关部门对发展目标和战略规划进行可行性研究和科学论证，形成发展战略建议方案；必要时，可借助中介机构和外部专家的力量为其履行职责提供专业咨询意见内部环境类指引116（二）企业内部控制应用指引发展战略（续）2.发展战略的制定企业应在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。在制定目标过程中，应综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素。战略规划应当根据发展目标制定，明确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径。

董事会应当严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性。企业的发展战略方案经董事会审议通过后，报经股东会批准实施。内部环境类指引117（二）企业内部控制应用指引发展战略（续）3.发展战略的实施企业应根据发展战略，制定年度工作计划，编制全面预算，将年度目标分解、落实，确保发展战略有效实施。企业应设立发展战略实施的评估制度，战略委员会应加强对发展战略实施情况的监控，定期收集和分析相关信息。对发现明显偏离发展战略的情况，要求及时报告；确需对发展战略作出调整的情形，企业要遵循规定的权限和程序调整发展战略。

内部环境类指引118（二）企业内部控制应用指引人力资源（第3号）是指由企业组织生产经营活动而录（任）用的各种人员，包括董事、监事、高级管理人员和全体员工。内部环境类指引119（二）企业内部控制应用指引人力资源（第3号）1.企业人力资源管理至少应当关注下列风险：（1）人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。（2）人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机器泄露。（3）人力资源退出机制不当，可能导致法律诉讼或企业声誉受损。

内部环境类指引120（二）企业内部控制应用指引人力资源（续）2.人力资源的引进与开发企业应当根据发展战略，结合人力资源现状和未来需求预测，制定人力资源总体规划，优化企业人力资源整体布局，确保人力资源供给和需求达到动态平衡，实现人力资源合理配置。人力资源要符合发展战略需要，符合生产经营对人力资源的需求，尽可能做到“不缺人手，也不养闲人”。

内部环境类指引121（二）企业内部控制应用指引人力资源（续）2.人力资源的引进与开发企业应当根据人力资源能力框架要求，明确各岗位的职责权限、任职条件和工作要求，通过公开招聘、竞争上岗等多种方式选聘优秀人才。企业要选合适的人，要按公开、严格的程序去选人，防止“人情招聘”、暗箱操作。

企业确定选聘人员后，应当依法签订劳动合同，建立劳动用工关系；已选聘人员要进行试用和岗前培训，试用期满考核合格后，方可正式上岗。内部环境类指引122（二）企业内部控制应用指引人力资源（续）3.人力资源的使用与退出企业应当建立和完善人力资源的激励约束机制，设置科学的业绩考核指标体系，对各级管理人员和全体员工进行严格考核与评价，并制定与业绩考核挂钩的薪酬制度。

如何留住引进来的优秀人才，对企业至关重要，企业应当予以足够关注。企业应当建立健全员工退出（辞职、解除劳动合同、退休等）机制，明确退出的条件和程序，确保员工退出机制得到有效实施。只有退出机制健全，退出条件和程序清楚，才能够防范和化解当前企业人力资源退出方面存在的诸多问题，使企业人力资源管理步入良性循环的轨道。

内部环境类指引123（二）企业内部控制应用指引社会责任（第4号）是指企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量（含服务）、环境保护、资源节约、促进就业、员工权益保护等。内部环境类指引124（二）企业内部控制应用指引社会责任（续）1.企业履行社会责任至少应当关注下列风险：（1）安全生产措施不到位，责任制不落实，可能导致企业发生安全事故。（2）产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。（3）环境保护投入不足、资源耗费大、造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业。（4）促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。

125（二）企业内部控制应用指引社会责任（续）2.安全生产企业应当设立安全管理部门和安全监督机构，建立严格的安全生产管理体系、操作规范和应急预案，强化安全生产责任追究制度，切实做到安全生产。企业如果发生生产安全事故，应当按照安全生产管理制度妥善处理，排除故障，减轻损失，追究责任。

内部环境类指引126（二）企业内部控制应用指引社会责任（续）3.产品质量企业应规范生产流程，建立严格的产品质量控制和检验制度，严把质量关，禁止缺乏质量保障、危害人民生命健康的产品流向社会。

企业应当加强产品的售后服务，售后发现存在严重质量缺陷、隐患的产品，应当及时召回或采取其他有效措施，最大限度地降低或消除缺陷、隐患产品的社会危害。内部环境类指引127（二）企业内部控制应用指引社会责任（续）4.环境保护与资源节约企业应提高员工的环境保护和资源节约意识，建立环境保护与资源节约制度，认真落实节能减排责任，积极开发和使用节能产品，发展循环经济，降低污染物排放，提高资源综合利用效率。企业应当建立环境保护和资源节约的监控制度，定期开展监督检查，发现问题，及时采取措施予以纠正。

内部环境类指引128（二）企业内部控制应用指引社会责任（续）5.促进就业与员工权益保护企业应当依法保护员工的合法权益，保障员工依法享有劳动权利和履行劳动义务，保持工作岗位相对稳定，积极促进充分就业企业应当按照“产学研用”相结合的社会需求，积极创建实习基地，大力支持社会有关方面培养、锻炼社会需要的应用型人才企业应积极履行社会公益方面的责任和义务，关心帮助社会弱势群体，支持慈善事业此条款是针对目前少数企业对公益事业（比如接纳大学生实习等）、慈善事业等漠不关心的情况特别提出

内部环境类指引129（二）企业内部控制应用指引企业文化（第5号）企业文化，是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。内部环境类指引130（二）企业内部控制应用指引企业文化（续）1.企业至少应当关注文化建设的下列风险：（1）缺乏积极向上企业文化，可能导致员工丧失对企业的信心和认同感，企业缺乏凝聚力和竞争力（2）缺乏开拓创新、团队协作和风险意识，可能导致企业发展目标难以实现，影响可持续发展（3）缺乏诚实守信的经营理念，可能导致舞弊事件的发生，造成企业损失，影响企业信誉（4）忽视企业间的文化差异和理念冲突，可能导致并购重组失败。内部环境类指引131（二）企业内部控制应用指引企业文化（续）2.企业文化的建设企业要积极培育具有自身特色的企业文化，充分体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神，以及团队协作和风险防范意识，以此引导和规范员工行为，打造以主业为核心的企业品牌，形成整体团队的向心力，促进企业长远发展。这项应对措施也表明，打造企业主业品牌应当作为企业文化建设中的重要内容。内部环境类指引132（二）企业内部控制应用指引企业文化（续）2.企业文化的建设企业应重视并购重组后的企业文化建设，平等对待被并购方的员工，促进并购双方的文化融合。这是基于当前企业并购实务中企业文化融合问题特别提供的指引，应引起相关企业的高度重视。董事、监事、经理和其他高级管理人员在企业文化建设中发挥主导和垂范作用，以自身的优秀品格和脚踏实地的工作作风，带动影响整个团队，共同营造积极向上的企业文化环境。这充分说明，企业文化建设既要注重“上下结合”，更应注重企业治理层和经理层的示范作用。内部环境类指引133（二）企业内部控制应用指引企业文化（续）2.企业文化的建设企业应加强企业文化的宣传贯彻，促进文化建设在内部各层级的有效沟通，并确保全体员工共同遵守企业文化应建设融入生产经营全过程，切实做到文化建设与发展战略的有机结合，增强员工的责任感和使命感，规范员工行为方式，使员工自身价值在企业发展中得到充分体现。企业文化建设不能停留在企业最高层，不能停留在文本上，不能停留在泛泛地宣传上，不能脱离生产经营过程，不能背离发展战略，而应融入企业的肌体、汇入企业的血脉。

内部环境类指引134（二）企业内部控制应用指引企业文化（续）3.企业文化的评估企业应当建立企业文化评估制度，明确评估的内容、程序和方法，落实评估责任制，避免企业文化建设流于形式。内部环境类指引135控制活动类指引资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告136（二）企业内部控制应用指引资金活动（第6号）资金活动是指企业筹资、投资和资金营运等活动的总称

137（二）企业内部控制应用指引资金活动（第6号）1.企业至少应当关注涉及资金的下列风险：（1）筹资与发展战略严重背离，企业盲目扩张，引发流动性不足，可能导致资金链条断裂。（2）投资决策失误或资金配置不合理可能导致投资损失或效益低下；资金无法收回或支付，可能导致企业陷入财务困境或债务危机。（3）资金管控不严，可能出现舞弊、欺诈，导致资金被挪用、抽逃。

138（二）企业内部控制应用指引资金活动（第6号指引）2、筹资企业应根据筹资目标和规划，结合年度全面预算，拟订筹资方案，并对筹资方案进行科学论证；重大筹资方案应当形成可行性研究报告，全面反映风险评估情况。企业应对筹资方案进行严格审批后，按照规定权限和程序筹集资金。企业应严格按照筹资方案确定的用途使用资金，防止资金挪用；确需改变资金用途的，应当履行相应的审批程序。企业应加强债务偿还和股利支付环节的管理，对偿还本息和支付股利等作出适当安排，防止发生违约风险，导致诉讼损失。

139（二）企业内部控制应用指引资金活动（第6号指引）3、投资企业应根据投资目标和规划，合理安排资金投放结构，科学确定投资项目，拟订投资方案，重点关注投资项目的收益和风险；选择投资项目应当突出主业，谨慎从事衍生金融产品等高风险投资本次国际金融危机中，我国少数企业从事的投资项目偏离主业，同时又缺乏相关专业人才和风险管控经验，导致企业发生巨亏。对于采用并购方式进行投资的企业，应严格控制并购风险，重点关注并购对象的隐性债务、承诺事项、可持续发展能力、员工状况及其与本企业治理层及管理层的关联关系，合理确定支付对价，确保实现并购目标。这项要求对于后危机时期我国企业境外并购具有很好的提示作用。140（二）企业内部控制应用指引资金活动（第6号）3、投资企业应加强对投资方案的可行性研究，并按照规定的权限和程序对投资项目进行决策审批；审批后，与被投资方签订投资合同或协议，明确出资时间、金额、方式、双方权利义务和违约责任等内容。企业应加强投资收回和处置环节的控制；对于到期无法收回的投资，应当建立责任追究制度。141（二）企业内部控制应用指引资金活动（第6号）4、营运企业应当加强对资金营运全过程的管理，统筹协调内部各机构在生产经营过程中的资金需求，切实做好资金在采购、生产、销售等各环节的综合平衡，实现资金营运的良性循环，提升资金营运效率。

142（二）企业内部控制应用指引采购业务（第7号）采购是指购买物资（或接受劳务）及支付款项等相关活动。143（二）企业内部控制应用指引采购业务（第7号）1.企业采购业务至少应当关注下列风险：（1）采购计划不合理，市场变化趋势预测不准确，造成库存短缺或积压，可能导致企业生产停滞或资源浪费。（2）供应商选择不当，采购方式不合理，招投标或定价机制不科学，授权审批不规范，可能导致采购物资质次价高，出现舞弊或遭受欺诈（3）采购验收不规范，付款审核不严，可能导致采购物资、资金损失或信用受损144（二）企业内部控制应用指引采购业务（第7号）2、购买企业的采购业务应尽量集中，避免多头采购或分散采购，以提高采购业务效率，降低采购成本，堵塞管理漏洞。企业应建立采购申请制度，依据购买物资或接受劳务的类型，确定归口管理部门，明确相关部门或人员的职责权限及相应的请购和审批程序。

145（二）企业内部控制应用指引采购业务（第7号）2、购买企业应建立科学的供应商评估和准入制度，根据市场情况和采购计划合理选择采购方式，建立科学的采购物资定价机制，并根据确定的供应商、采购方式、采购价格等情况签订采购合同，明确双方权利、义务和违约责任企业应建立严格的采购验收制度，确定检验方式，由专门的验收机构或验收人员进行验收；对于验收过程中发现异常情况，应当查明原因并及时处理。146（二）企业内部控制应用指引采购业务（第7号）3、付款企业应加强采购付款的管理，明确付款审核人的责任和权利，严格审核采购预算、合同、相关单据凭证、审批程序等内容，审核无误后按照合同规定及时办理付款。企业应建立退货管理制度，对退货条件、退货手续、货物出库、退货货款回收等作出明确规定，并在采购合同中明确退货事宜，及时收回退货货款。147（二）企业内部控制应用指引资产管理（第8号）资产是指企业拥有或控制的存货、固定资产和无形资产148（二）企业内部控制应用指引资产管理（第8号）1.企业资产管理至少应当关注下列风险：（1）存货积压或短缺，可能导致流动资金占用过量、存货价值贬损或生产中断。（2）固定资产更新改造不够、使用效能低下、维护不当、产能过剩，可能导致企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费。（3）无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患，可能导致企业法律纠纷、缺乏可持续发展能力。149（二）企业内部控制应用指引资产管理（续）2.

存货企业应采用先进的存货管理技术和方法，规范存货管理流程，明确存货取得、验收入库、原料加工、仓储保管、领用发出、盘点处置等环节的管理要求，充分利用信息系统，强化会计、出入库等相关记录，确保存货管理全过程的风险得到有效控制。企业应根据各种存货采购间隔期和当前库存，综合考虑企业生产经营计划、市场供求等因素，合理确定存货采购日期和数量，确保存货处于最佳库存状态。

150（二）企业内部控制应用指引资产管理（续）3.

固定资产企业应加强房屋建筑物、机器设备等各类固定资产的维护、清查、处置管理，重视固定资产的技术升级和更新改造，不断提升固定资产的使用效能，确保固定资产处于良好运行状态。企业应强化对生产线等关键设备运转的监控，严格操作流程，实行岗前培训和岗位许可制度，确保设备安全运转。企业应严格执行固定资产投保政策，及时办理投保手续。企业应规范固定资产抵押管理，确定固定资产抵押程序和审批权限等。151（二）企业内部控制应用指引资产管理（续）4.

无形资产企业应加强对品牌、商标、专利、专有技术、土地使用权等无形资产的管理，促进无形资产有效利用，充分发挥无形资产对提升企业核心竞争力的作用。

152（二）企业内部控制应用指引销售业务（第9号）销售是指企业出售商品（或提供劳务）及收取款项等相关活动。

153（二）企业内部控制应用指引销售业务（第9号）1.企业销售业务至少应当关注的下列风险：（1）销售政策和策略不当，市场预测不准确，销售渠道管理不当等，可能导致销售不畅、库存积压，经营难以为继。（2）客户信用管理不到位，结算方式选择不当，账款回收不力等，可能导致销售款项不能收回或遭受欺诈。（3）销售过程存在舞弊行为，可能导致企业利益受损。

154（二）企业内部控制应用指引销售业务（续）2.销售企业应加强市场调查，合理确定定价机制和信用方式，根据市场变化及时调整销售策略，灵活运用多种策略和营销方式，促进销售目标实现，不断提高市场占有率。企业应与客户进行业务洽谈、磋商或谈判，关注客户信用状况、销售