内控制度培训

1、企业内部控制规范前 序21世纪初，由于美国出现的大量的财务丑闻，致使用国会2002年草拟并通过了萨班斯奥克斯利法案即（SOX法案），对企业内部控制作出了相应的规定， 2006年美国国会正式启动该法案，要求在美国上市的公司必须在2006年7月15日开始执行，也就是在当天，我国财政部别有深意地发起了一个由财政部、证监会、审计署、银监会、保监会联合发起共同参与的“企业内部控制标准委员会”（委员会主席是当时的财政部副部长王军，成员包括来自监管部门、实务界和理论界的31位专家学者），标志着我国内部控制国际化时代的到来，“中国版的SOX法案”即将出炉。企业内部控制标准委员会于2007年3月2日公布了企业内

2、部控制规范（征求意见稿）；2008年6月28日，财政部等5部委公布了企业内部控制基本规范，规定自2009年7月1日起先在上市公司范围内实施行，鼓励其他非上市公司的大中型企业执行。随后又发发布了三个配套指引，分别为内部控制应用指引、企业内部控制评价指引、企业内部控制审计指引内部控制基本规范及配套指引目录.docx。基本规范的发布，标志着我国企业内部控制规范体系建设取得重大突破，被视为经企业会计准则、审计准则之后的第三个重大里程碑。实施企业内部控制基本规范的意义：1、确立我国企业内部控制的基础框架。基本规范坚持立足我国国情、借鉴国际惯例，科学界定了内部控制的内涵、目标、原则、要素，对企业贯彻落实科

3、学发展观、走长期可持续发展道路、促进经济健康运行、规范资本市场秩序、完善现代企业制度起到提携全局的作用，也是是完善我国会计法规制度、推动我国会计与国际市场的趋同的必然发展。2、有利于提高财务信息质量，提升财务报告的有效性。健全的内部控制，可以保证会计信息的采集、归类、记录和汇总过程，从而真实地反映企业的生产经营活动的实际情况，并及时发现和纠正各种错误，从而保证会计信息的真实性和准确性，体现资本市场“公开、公平、公正”的原则、保护投资者合法权益具。3、有效地防范企业经营风险。在企业的生产经营活动中，企业要达到生存发展的目标，就必须对各类风险进行有效的预防和控制，内部控制作为企业管理的中枢环节，是

4、防范企业风险最为行之有效的一种手段。它通过对企业风险的有效评估，不断加强对企业经营薄弱环节的控制，把企业的各种风险消灭在萌芽之中，是企业风险防范的一种最佳方法。4维护财产和资源的安全完整。健全和完善内部控制，能够科学有效地监督和制约财产、物资的采购、计量、验收等各个环节，从而确保财产物资的安全完整。同时，可以利用会计、统计、业务等各部门的规划及有关报告，把企业的生产、营销、财务等部门的工作结合在一起，从而使各部门密切配合，充分发挥整体作用，以顺利达到企业的经营目标。5、促进企业提高经营效率和效益。健全有效的内部控制，可以利用会计、统计、业务等各部门的制度规划及有关报告，把企业的生产、营销、财务

5、等各部门及其工作结合在一起，从而使各部门密切配合，充分发挥整体的作用，同时，由于严密的监督与考核，能真实地反映工作实绩，再配合合理的奖惩制度，便能激发员工的工作热情及潜能，从而提升企业经营管理水平、盈利能力和持续发展能力，提高整个企业经营效率，增强公司竞争力。第一章 总则一、内部控制概述（一）内部控制的定义1、内部控制的一般定义一般讲，内部控制是指企、事业单位和机关团体等为提高经营效率，充分有效地获取和使用各种资源，达到既定的管理目标，而在内部实施组织管理、计划管理和程序管理，促使各个经营环切充分发挥其相互制约、相互调节作用的一种先进管理方法。其内容包括五个方面：（1）内部控制的主体（2）内部

6、控制的客体（3）内部控制的目标（4）内部控制的方法和手段（5）内部控制的本质。2、企业内部控制基本规范的定义（基本规范第三条）内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。（二）内部控制的目标1、合法合规性；2、资产安全性；3、财务信息的真实完整性；4、效率效果性；5、战略实现性（三）企业内部控制规范的适用范围（基本规范第二条）凡是在中华人民共和国境内设立的大中型企业都必须遵照本规范建立和实施内部控制。小企业和其他单位可以参照本规范建立与实施内部控制，不作强制要求。关于企业的划分标准，工信部、国家统计局、发展改革委、财政部研究制定了中小企业划型标准规定。各行业

7、划型标准.docx 二、企业内部控制的原则（基本规范第四条）（一）全面性原则 （二）重要性原则（三）制衡性原则1、治理结构的制衡2、机构设置及权责分配的制衡3、业务流程的制衡（四）适应性原则（五）成本效益原则 三、企业内部控制的要素（基本规范第五条）（一）内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。1、治理结构、机构人员设置及权责分配（1）治理结构（2）机构人员设置及权责分配（3）议事规则 （4）独立董事制度。2、内部审计（1）审计委员会（2）内部审计机构设置和人员配备（3）内部审计机构的职权（4）内部审计工作的独立性（5

8、）内部审计机构与董事会或最高管理层的关系（6）内部审计机构的管理。3、人力资源政策（1）岗位职责与人力资源需求计划（2）招聘、培训与离职（3）人力资源考核政策（4）薪酬及激励政策。4、企业文化（1）现代管理理念和经营哲学（2）价值观和社会责任感（3）风险意识（4）高级管理人员的职业操守和员工的行为守则。5、法制观念（1）法制教育（2）法律顾问制度（3）重大法律纠结案件备案制度。（二）风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。（三）控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。（四）信息与沟通信息

9、与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。（五）内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。四、企业内部控制的实施（一）企业内部控制建立的思路（基本规范第六条）企业应当根据有关法律法规、本规范及其配套办法，制定本企业的内部控制制度并组织实施。1、内控制度设计的步骤：（1）分析流程；（2）分解流程；（3）分解作业；（4）风险评估；（5）根据任务及风险评估结果，确定控制与控制点；（6）将任务落实到人，把握授权制度；（7）运行、评价并修正。2、内部控制制度总体设计思

10、路：（1）内部控制制度的设计应首先考虑企业的背景、战略和目标。（2）实现内控制度目标的第一步是对内控制度执行进行计量或测试。（3）内控目标的第二步是将内控制度执行情况计量或测试的结果与内控制度进行比较，然后作出三项判断。（4）设计时特别注意的两个问题（5）控制者依据测试报告采取纠偏行动（二）企业内部控制实施的配套措施1、信息技术的运用和信息系统的建立（基本规范第七条）企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。2、激励约束机制的实施（基本规范第八条）企业应当建立内部控制实施的激励约束

11、机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。3、建立和实施监督检查和外部审计（基本规范第九、十条）第九条规定：国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监督检查。第十条规定：接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。 为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。第二章 内制环境一、内部环境概述

12、企业内部控制的内部环境包括公司的治理结构和议事规则、审计委员会、内部机构设置、岗位职责、业务流程、内部审计、人力资源政策、职业道德修养和专业胜任能力、企业文化、价值观和社会责任感、法制观念等。二、治理结构、机构人员设置与权责分配（一）治理结构（基本规范第十一条）企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。1、股东（大）会股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。2、董事会董事会对股东（大）会负责，依法行使企业的经营决策权。3

13、、监事会监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。4、经理经理负责组织 、实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作，经理由董事会决定聘任或者解骋。（二）机构人员设置与权责分配（基本规范第十四条）企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。 企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。1、机构人员设置的概述企业的机构和人员设置是否科学合理将直接影响内部控制目标的实现，所以机构和人员设置要坚持权责明确、相互制衡的原则 。2、权责分

14、配概述权现分配是在机构设置的基础上，设立授权方式，明确各机构部门和人员的权利和所承担的责任。3、机构设置与权责分配企业应当根据经营目标、职能划分和管理要求，结合业务特点和内部控制要求设置内部机构，明确各职能部门和分支机构以及基层作业单位的职责权限，将权利和责任落实到责任单位，为内部控制的有效实施创造良好条件。企业设置内部机构和岗位时，要实现不同机构 和岗位之间的制衡。（1）董事会董事会负责内部控制的建立健全和有效实施，加强对本企业内部控制建立和实施情况的指导和监督。（2）监事会监事会对董事会建立与实施内部控制进行监督。（3）董事会专门委员会上市公司董事会可能按照股东大会的有关决议，设立战略、审

15、计、提名、薪酬与考核等专门委员会。（4）日常内部控制管理机构经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。4、人员设置与权责分配企业应当根据经营目标、职能划分和管理要求，明确高级管理人员的职责权限，将权利和责任分解到具体岗位，为内部控制的有效实施创造良好条件。高级管理人员是指对企业决策、经营、管理负有领导职责的人员，包括董事长、董事会成员、经理、副经理、总会计师等。5、内部控制管理手册企业应当通过编制内部管理手册、内部管理制度汇编、员工操作手册、组织机构图、业务流程图、岗位描述和权限指引等适当方式，使全体员工了解和

16、掌握内部机构设置、岗位职责、业务流程等情况，促进企业各层级员工明确职责分工，正确行使职权，并加强对权责履行的监督。（三）议事规则企业应当根据国家有关法律法规的规定，结合企业章程和实际情况，建立规范的议事规则，促进企业内部控制的有效运行。1、股东会议事规则2、董事会议事规则3、监事会议事规则三、内部审计（一）内部审计概述国际内部审计师协会对内部审计的定义：“内部审计是一个组织内部建立的一种独立评价活活动，并作为对该组织的活动进行审查和评价的一种服务。”内部审计通过审查和评价经营活动及内部控制的真实性、合法性和有效性来促使组织目标的实现。内部审计的主要目的是评价组织控制以确保揭露组织潜在的风险和经

17、浊高效地达到组织的目标和目的。健全的内部审计机构、加强内部审计监督是营造守法、公平、正直的内部环境的重要保证。内部审计机构是企业各项经济业务活动的检察官，他对各项活动加以检查监督，可以有效防范风险。（基本规范第十五条）规定：企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。（二）内部审计机构设置和人员配备1、审计委员会企业应当在董事会下设立审计委员

18、会，并赋予审计委员会监督企业内部控制建立和实施情况的相应职权。2、内部审计机构设置和人员配备企业的内部审计机构的组织领导体制，应依照法律规定和企业章程规定。设立专门的内部审计机构的企业应当配备一定数量有执业资格的内部审计人员与履行内部审计职能相适应的工作条件。未设立内部审计机构的企业，应当由董事会授权或者企业章程规定的有关机构承担内部审计职责。（三）内部审计工作的独立性内部审计机构的独立性是指内部审计机构和人员在进行内部审计活动时，不存影响内部审计客观性的利益冲突的状态。1、内部审计机构应隶属公司董事会或最高管理层，接受其指导和监督并取得其支持。2、内部审计机构和人员应保持独立性，不得负责公司

19、经营活动和内部控制的决策和执行。3、内部审计机构负责人的任免应由董事会或最高管理层经过适当的程序确定，内部审计机构负责人应直接向董事会或最高管理层负责。4、内部审计机构应制定内部审计章程，明确其职责和权限范围，并报经董事会或最高管理层批准，以确保内部审计活动不受到公司内其他部门的干涉和限制。（四）内部审计机构的职权1、内部审计机构的职权内部审计机构应当依照法律规定和企业授权，结合内部审计监督，对内部控制的有效性开展审计监督，进行监督检查。内部审计机构的工作范围不应受到人为限制。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷或

20、重大问题，有权视具体情况直接向董事会及审计委员、监事会报告。2、审计报告审计报告是指内部审计人员根据审计计划对被审计单位实施必要的审计程序后，就被审计单位经营活动和内部控制的适当性、合法性、有效性出具的书面文件 ，也是对被审计单位经营活动及内部控制的适当性、合法性、有效性所做出的相对保证。内部审计人员应在审计工作结束后，以经过核实的审计证据为依据，形成审计结论和建议，出具审计报告。四、人力资源政策内部控制是由人来进行并受人的因素影响，保证组织所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践，是内部控制有效的关键因素之一。人力资源政策包括岗位职责、人力资源计划、招聘、培训、离职、考核

21、、薪酬等一系列有关人事的活动和程序，旨在通过有形的具体的制度和措施来影响并约束职工的行为方式。基本规范第十六、十七条规定：企业应当制定和实施有利于企业可持续发展的人力资源政策。企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。（一）人力资源政策概述1、人力资源政策的内容企业的人力资源政策应当科学、规范、公平、公开、公正，有利于调动员工在内部控制和经营管理活动中的积极性、主动性和创造性。人力资源政策应当包括下列内容：（1）员工的聘用、培训、辞退与辞职。（2）员工的薪酬、考核、晋升与奖惩。（3）关键岗位员工的强制休假制度和定期岗位轮换制

22、度。（4）掌握国家秘密或重要商业秘密的员工离岗的限制性规定。（5）有关人力资源管理的其他政策。2、选拔和聘用员工的重要标准企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，并适当关注应聘者的价值取向和行为特征是否与本企业的企业文化和内部控制的有关要求相适应。3、员工培训和继续教育企业应当重视并切实加强员工培训和继续教育，制定科学、合理的培训计划，提高培训的针对性和实效性，不断提升员工的道德素养和业务素质。4、激励约束机制企业应当建立和完善针对各层级员工的激励约束机制，通过制定合理的目标、建立明确的标准、执行严格的考核和落实配套的奖惩，促进员工责、权、利的有机统一和企业内部控制的

23、有效执行。5、人力资源政策控制措施（1）岗位职责和任职要求应当明确，人力资源需求计划应当合理；（2）招聘及离职程序应当规范，培训工作应当以提高员工道德素养和专业胜任能力为目标；（3）人力资源考核制度应当科学合理，应能引导员工实现企业经营目标；（4）薪酬制度应当能保持和吸引优秀人才，薪酬发放标准和程序应当规范。（二）岗位职责与人力资源计划1、岗位职责（1）岗位说明制度企业应当建立岗位说明制度，明确所有岗位的主要职责、资历、经验要求等，并定期组织内部各单位、各部门人员对工作岗位进行分析，确保各岗位配备胜任的人员，避免因人设岗。（2）岗位责任制企业应当按照权责一致的原则， 建立并实行定岗、定人、定责

24、、定奖罚的岗位责任制，明确岗位职责及其分工情况，确保不相容岗位相互分离、制约和监督。（3）岗位保密协议对于在产品技术、市场、经济、管理等方面涉及或掌握企业知识产权、专有技术、商业秘密等的工作岗位，如有必要，企业可以与该岗位工作人员签订有关岗位保密协议，明确其特殊的权利和义务。（4）人力资源政策反映渠道企业还应建立良好的人力资源政策反映渠道，确保有关人力资源政策建议得以传递和落实，保证人力资源运用效率的提高和人员任用的公平合理。（5）轮岗制度或强制休假制度企业可以根据自身经营管理实践经验，对某些控制薄弱、易发生舞弊行为的岗位实行轮岗位制度或强制休假制度。2、人力资源计划人力资源计划有狭义和广义之

25、分。狭义的人力资源计划是指提供具体的人力资源的行动计划。广义的人力资源计划包括预测企业未来的人力资源供求状况、制定行动计划及控制和评估计划。企业的人力资源计划的目标是确保企业在需要的时候和需要的岗位上能及时得到各种需要的人才，使企业人才在数量、质量、层次和结构上均达到最优。（三）招聘、培训与离职企业应当规范招聘及离职的程序，应当以提高员工道德素养和专业胜任能力为目标开展培训工作。企业应当净职业道德素养和专业胜任能力作为选拔和聘用员工的重要标准，并适当关注应聘者的价值取向和行为特征是否与本企业的企业文化和内部控制的有关要求相适应，并应当重视和加强员工培训计划，提高培训的针对性和实效性，不断提升员

26、工的道德素养和业务素质。企业员工在工作过程中因个人原因提出辞职申请时，应当根据劳动合同规定的时间要求提前向有关部门或人员提交辞职报告，并按照企业要求和技术保密协议规定办理有关离职交接手续。企业董事、经理、总会计师等高级管理人员提出的辞职申请，企业董事会应当组织离任审计小组对其进行离任审计，对于其他管理人员的离任审计由企业经理根据实际需要确定。（四）人力资源考核政策人力资源考核政策应当科学合理、应能引导员工实现企业经营目标。企业应当制定科学合理的人力资源考核制度，对员工履行职责、完成任务的情况实施全面、公正、准确的考核，客观评价员工的工作表现，引导员工实现企业经营目标。企业应当对各层级员工建立明

27、确的标准，执行严格考核和落实配套的奖惩，促进员工责、权、利的有机统一和企业内部控制的有效执行。（五）薪酬及激励政策企业的薪酬及激励政策的合理性在吸引人才、留住人才、激励人才、满足组织需要等方面具有十分重要的作用。企业应当规范薪酬发放标准和程序，建立和完善针对各层级员工的激励约束机制，促进员工责、权、利的有机统一和企业内部控制的有效执行。1、薪酬制度设计原则（1）按劳分配原则；（2）激励适度原则；（3）互促互进原则。2、薪酬组成（1）基本工资；（2）绩效工资；（3）年终奖励；（4）其他薪酬。3、薪酬发放审核制度企业应当根据有关法律法规、国家统一会计制度的规定，准确确认、计量并发放员工薪酬，并对薪

28、酬发放的真实性、合规性和准确性进行严格审核，以防虚报冒领等行为。在发入薪酬的同时，企业应当向员工提供薪酬清单，供员工核对确认。4、薪酬制度评价机制企业应当制定薪酬制度评价机制，及时对薪酬制度的合理性及执行效果进行评价，并根据评价结果修订完善。五、企业文化企业文化是指企业在经营管理过程中形成的、影响企业内部环境和内部控制制度效力的精神、意识和理念，主要包括企业整体价值观、高级管理人员的管理理念、经营哲学和职业操守，员工的行为守则等。一个企业的企业文化、价值观和社会责任感是影响企业决策和企业活动的最基础的要素，它影响企业所有的活动，更影响企业的内部控制，是内部控制的重要内部环境。基本规范第十八条规

29、定：企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则，认真履行岗位职责。（一）企业文化概述企业文化是企业在一定的社会历史条件下，在长期的生产经营和管理活动中创造出来的具有本企业特色的精神财富和物质形态。它包括价值观念、社会责任感、企业精神、管理理念、经营哲学与道德规范等，内容极为丰富。企业文化的核心是企业的价值观。企业文化是企业的灵魂，是推动企业发展的不竭动力，企业文化也是企业的美德所在，具有鲜明的的企业特色（二

30、）价值观和社会责任感1、价值观和企业价值观价值观简单地说，就是关于价值的观念，它是客观的价值体系在人们主观意识中的反映，是价值主体对自身需要的理解以及对价值客体的意义和重要性的总的看法和根本观点。企业价值观：企业的行为和人的行为一样要受价值观的支配，这就是企业价值观。企业价值观是一种以企业为主体的价值观，是企业人格化的产物，它是企业在经营过程中，全体员工一致认同、推崇和奉行的基本信念和基本行为准则， 是企业进行价值评价、决定价值取向的内在依据，体现着一个企业的基本理念和信仰，反映企业内部衡量事物重要程度及是非优劣的根本标准，因而当之无愧地成为企业文化的核心。2、社会责任感在当代社会中，企业实际

31、上已经成为多种社利益的交汇点，直接影响着社的稳定与发展。企业不能只谋取自身利益，还要肩负兼顾各方面利益的社会责任。责任是一种担当，责任更是一种力量。责任不仅能够推动一个企业的成长和壮大，更将推动一个民族的发展和进步。3、诚实守信、爱岗敬业、开拓创新和团队协作精神（三）风险意识1、企业风险和风险意识企业风险是指企业在其进行生产经营过程中，由于不确定因素和经营失误的影响，而遭受损失的程度与可能性。从产生角度来说分为内部风险和外部风险。由于企业风险具有突发性、多变性、和无形性，因此企业风险的的发生往往会给企业的生产经营带来巨大影响，并可能造成难衡量和弥补的损失。由于企业风险是客观存在的，企业的风险意

32、识就是企业对风险的客观性和普遍性的警醒和觉悟，它来自企业对经营环境的真实认知，是一个成功企业不可缺失文化基因。2、企业强化风险意识的措施（1）将风险意识变成企业上下共同的理念；（2）建立风险管理培训制度。（四）高级管理人员的职业操守和员工的行为守则高级管理人员应当恪守以诚实守信为核心的职业操守，不得损害投资者、债权人、客户、员工和社会公众的利益。企业员工应当遵守员工行为守则，加强职业道德修养和业务学习，自觉遵守与企业内部控制有关的各项规定，勤勉尽责。六、法制观念基本规范第十九条规定：企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，

33、建立健全法律顾问制度和重大法律纠纷案件备案制度。（一）法制教育企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督。高级管理人员有责任在企业范围内培育遵规守纪精神。（二）法律顾问制度法律顾问制度对于维护企业的合法权益，促进企业依法经营管理、加强内部监督和风险控制都有重大影响和重要意义。（三）重大法律纠纷案件备案制度企业应当依法独立处理法律纠纷案件，加强重大法律纠纷案件的管理，建立健全有关规章制度和有效防范法律风险的机制。第三章 风险评估每个企业都面临来自内部和外部的不同风险，内部控制的目的就是要控制这些风险。管控风险首要的就是要对这些风

34、险加识别、评估，在评估的基础上进行风险应对策略。基本规范第二十条规定企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。基本规范第二十七条规定企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。一、风险评估概述（一）风险1、风险的含义风险是指在一定的客观情形之下，在某一特定期间内，那些可能发生的结果之间的差异。这种差异是实际结果与预期结果的变动程度。所谓风险大，应是这种变动程度大；风险小，就是指这种变动程度小。基本规范涉及的风险是指对实现内部控制目标可能产生负面影响的不确定因素。内部控制有三大主

35、要目标：运营的效率和效果、财务报告的可靠性及法律法规的遵循性。内部环境、风险评估、控制措施、信息与沟通以及监督检查均服务于三大目标。2、风险的特征：偶然性、可变性、客观性（二）风险评估风险评估是指及时识别、科学分析影响企业内部控制目标实现的各种确定因素，同时采取应对策略的过程。要对识别的风险进行分析，形成风险管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。风险评估要按照一定的程序进行，有目标设定、风险识别、风险分析、风险应对四个步骤。二、控制目标基本规范第二十条规定企业应当根据设定的控制目标，全面系统持续地收集相关信息，

36、结合实际情况，及时进行风险评估。目标设定是进行其他程序的前提。在管理当局识别和分析风险并采取行动管理风险之前，首先必须有目标，目标是有层级的，可以分为战略目标和具体目标。（一）战略目标 战略目标明确了企业存在的意义和价值，所以管理当局设定战略目标，进行战略规划，并为组织确定具体目标。（二）具体目标1、财务报告目标一份可靠的财务报告为管理者提供适合既定目标的准确而完整的信息。它支管理者的决策并对主体活动进行监控。2、经营目标经营目标与企业经营的有效性相关，设立经营目标的目的在于在推动主体实现最终目标的过程中提高经营的有效性和效率。经营目标需要反映主体所处的特定的经营、行业和经济环境。3、合规性目

37、标法律法规确定了最低的行为准则，企业从事活动必须符合相关的法律和法规，同时企业的合规记录可能会对它在市场和社会上的声誉产生极大的正面或负面影响。三、风险识别（一）内险识别的必要性企业要进行风险管理，首先必须明确风险在哪里。倘若不能准确地确认风险所在，就无法分析及预测企业危机，当然也无从制定对策以控制风险。因此，风险识别是风险管理的第一个步骤。基本规范第二十一条规定，企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。（二）风险识别及其内外部因素1、风险识别的含义风险识别是

38、指识别所有可能对组织产生负面影响的损失风险，即找出影响预目标实现的主要风险。识别过程包括两个阶段：首先是风险的辨识，找出各种风险及其存在之处；其次是对风险进行分析，主要分析引起风险的各咱原因和可能结果。风险识别的主要目的不仅要帮助企业认识和发现风险，还要为企业提供如何管理风险的思路。具体而言，就是要发现潜在的风险隐患，使企业能及时采取措施，防患于未然；充分了解和认识造成风险隐患的原因和过程，便于企业采取适当的技术和手段控制风险损失发生或者降低损失的程度；初步判断这些隐患对企业造成的影响，便于管理层引起重视并做出决策：是否应采取恰当的、有效的措施来控制风险。只有充分地识别风险，才能有效地控制风险

39、。2、风险识别的内部因素基本规范第二十二条规定企业识别内部风险应当考虑下列因素：（1）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。 （2）组织机构、经营方式、资产管理、业务流程等管理因素。 （3）研究开发、技术投入、信息技术运用等自主创新因素。 （4）财务状况、经营成果、现金流量等财务因素。 （5）营运安全、员工健康、环境保护等安全环保因素。 （6）其他有关内部风险因素。2、风险识别的外部因素基本规范第二十三条规定企业识别外部风险应当考虑下列因素：（1）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。 （2）法律法规、监管要求等法律因素。 （3）安

40、全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 （4）技术进步、工艺改进等科学技术因素。 （5）自然灾害、环境状况等自然环境因素。 （6）其他有关外部风险因素。（三）风险识别的基本原则在风险识别的过程中，需要遵循系统性、连续性、全面性的原则。（四）风险识别的方法1、基本方法：风险清单法风险清单是指由专业人员设计好的标准表格和问卷，上面非常全面地列出了一企业可能面临的风险。优点：经济方便，适合新公司、初次想构建风险管理制度的公司或缺乏专业风险管理人员的公司使用，这些表格可能帮助他们系统地识别出最基本的风险，并除降低忽略重要风险源的可能性。局限：（1）针对性较差；（2）未涉及投机风险

41、。2、辅助方法：（1）财务报表分析法；（2）流程图分析法；（3）事故树分析法；（4）现场调查法；（5）问卷调查法；（6）组织图分析法；（7）因果图分析法。（五）如何准确识别影响企业内控目标实现的风险因素1、内部因素：（1）人力资源因素；（2）管理因素；（3）自主创新因素；（4）财务因素；（5）安全环保因素。2、外部因素：（1）经济因素；（2）法律因素；（3）社会因素；（4）科学技术因素。四、风险评估（一）风险评估概述风险评估是在风险识别的基础上对风险进行计量、分析、判断、排序的过程一，是风险应对主要依据。基本规范第二十四条规定，企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程

42、度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。 企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。（二）风险评估方法在风险评估过程中，不同阶段所使用的风险评估方法也不同，不论采用何种方法来进行风险评估，无论是基于固有风险还是剩余风险的评估，都主要从损失频率（可能性）以及损失程度（影响）两个方面进行。1、损失频率（可能性）的评估方法：定性分级法和概率测算法。2、损失和度的评估方法：损失程度衡量实际是就是对损失的严重性进行估算。公司在确定损失 的严重程度时，必须考虑第一特定风险可能造成的各类损失及其对企业财务及总体经营

43、的最终影响，既要评估潜在的直接损失，也要估计潜在的间接损失。（三）几种常见的企业风险1、人身风险2、财产风险：分动产和不动产两种3、责任损失风险五、风险应对（一）风险应对概述在风险识别、风险评估之后，接下去就是要研究如何有效地控制这些风险，以达到减少事故发生的概率和降低损失程度的目的。风险应对就是在风险识别和风险衡量的基础上，针对企业所存在的风险因素，对已经识别的风险进行定性分析、定量分析和进行风险排序，制定相应的应对措施和整体策略，以消除风险因素或减少风险因素的危险性。在事故发生前，降低事故的发生概率；在事故发生后，将损失减少到最低限度，从而达到降低风险单位预期财产损失的目的。因此风险应对的

44、本质是减少损失概率或降低损失程度。基本规范第二十五条规定，企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。 企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。（二）风险应对的策略基本规范第二十六条规定，企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。 1、风险规避（1）风险规避的内涵：风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。其实质是退出会产生风险的活动（2）风险规避的适用

45、性。企业在采用风险规避来处风险时必须考虑的几个因素：第一，欲避免某种风险也许不可能，对企业而言，有些风险如世界性的经济危机、能源危机绝对难以避免；第二、采用避免风险在经济上也不适当，对某些风险即使可以避免，但就经济效益而言也许不合适；第三，避免了某一风险有可能另外产生新的风险。基于上述因素，最适合采用风险规避办法的情况有两种：第一、某种特定风险所致的损失概率和损失程度相当大；第二，应用其他风险处理技术的成本超过其产生的效益，采用风险规避方法可使用企业受损失的可能性等于零。2、风险降低（1）风险降低的涵义所谓风险降低是指企业对不愿放弃也不愿转移的风险，通过降低其损失发生的概率，缩小其损失程度来达

46、到控制目的的各类控制技术和方法。基本规范规定：风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。（2）风险降低的分类A、依目的不同可划分为损失预防和损失抑制两种；B、依所采取的措施性质划分可分为工程物理法和人们行为法两种；C、按照执行时间划分可分为损失发生前、损失发生时、损失发生后三种。3、风险分担（1）风险分担的涵义风险分担是指通过转移来降低风险的可能性或影响，或者分担一部分风险。基本规范规定：风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。（2）风险分担的分类：财务

47、型风险转移和非财务型风险转移4、风险承受风险承受又叫风险承担，是指经济单位自己承担由风险事故所造成的损失。基本规范规定：风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。5、风险利用第四章 控制活动一、控制活动概述（一）控制活动控制活动是指企业根据风险评估结果，结合风险应对策略，确保内部控制目标是以实现的方法和手段。（二）风险控制风险控制就是使用风险降低到企业可以接受的程度，当风险发生时，不至于影响企业的正常业务运作。（三）基本规范对企业内部控制活动的要求基本规范第二十八条规定，企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与

48、发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。 控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。基本规范第三十六条规定，企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。基本规范第三十七条规定，企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。二、不相容职务分离控制（一）不相容职务分离的含义不相容职务是指集中于一人办理时发生差错或舞弊的

49、可能性就会增加的两项或几项职务。基本规范第二十九条规定，不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。（二）不相容职务分离控制不相容职务分离是企业内部控制最基本的要求，是保证提高经营效率、保护财产安全以及增强会计数据可靠性的重要条件。（三）企业中的不相容职务分离1、企业中不相容职务一般包括：授权审批职务与申请职务、授权审批职务与执行业务职务、执行业务职务与监督审核职务、执行与会计记录业务职务、财务保管与会计记录职务、明细账与总账记录职务、执行业务职务与财产保管职务、财产保管职务与财产核查职务等。2、企

50、业经济业务活动中常见的几种不相容职务分离（1）经济业务处理的分工；（2）资产记录与保管的分工；（3）各个职能部门具有相对独立性。三、授权审批控制（一）授权审批授权审批是指企业在处理经济业务时，必须经过授权批准才能执行，以便进行控制。授权批准按其形式可分为常规性授权和物特别授权。（二）授权审批控制1、基本规范对企业授权审批控制的要求基本规范第三十条规定，授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和

51、程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。 企业各级管理人员应当在授权范围内行使职权和承担责任。 企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。2、授权审批控制的内容：（1）授权批准的范围；（2）授权批准的层次；（3）授权批准的责任；（4）授权批准的程序。（三）企业在执行授权审批制度时应遵循的原则1、有关事项必须经过授权批准，且在业务发生之前；2、授权批准责任一定要明确；3、所有过程都必须有书面证明；4、对于越权行为一定要有相应的惩罚制度。四、会计系统控制（一）会计系统控制概述会计系统是一企业管理系统的核心之一

52、，首先，它通过记录和报告历史经济业务来反映企业的财务状况、经营成果和现金流量情况；其次，这些信息为企业经营决策和与企业利益相关的外部使用者的投资决策提供依据。真实、完整的会计信息对企业来说是非常重要的，它是企业能否进行有效经济分析和准确预测和决策的基础。内部控制是会计信息真实、可靠的制度保障和前提。（二）基本规范对企业会计系统控制的要求基本规范第三十一条规定，会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。 （三）会计系统内部控制的目标会计系统内部控制的目标是通过对财产物资保管和会计信息等控制对象制定一

53、系列控制方法、措施和程序所要达到的最终目的和要求，它是建立、完善会计系统内部控制，以及有效实施会计系统内部控制的指南。会计系统内部控制应达到的基本目标：1、规范企业会计行为，保证会计资料的真实完整性；2、堵塞漏洞、消除隐患，防止并及时发现、纠正错误及舞弊行为，保护企业的资产安全、完整；3、确保企业贯彻执行国家有关法律法规和企业的规章制度。（四）会计系统内部控制的原则1、合法性与实用性相结合；2、全面约束与权利控制结合；3、全面控制与关键点控制相结合；4、岗位职责与不相容职务分离相结合；5、控制成本与控制效果相结合。（五）企业就依法设置会计机构并配备合格的会计人员基本规范第三十一条规定，企业应当

54、依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。 大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职权重叠的副职。（六）会计系统控制的主要方法1、会计凭证控制会计凭证控制内容主要包括：（1）严格审查；（2）设计科学的凭证格式；（3）连续编号；（4）规定合理的凭证传递程序；（5）明确凭证装订与保管手续。2、会计账簿控制具体内容包括：（1）按照规定设置会计账簿；（2）启用会计账簿时要填写“启用表”；（3）会计凭证必须经过审核无误后才能够登记入账；（4）对会计账簿中的账页或账户连续编号；（5）会计账簿应按

55、照规定的方法和程序进行登记并进行错误更正；（6）按照规定的方法与时间结账。3、财务报告控制具体内容包括：（1）按照规定的方法与时间编制及报送财务报告；（2）编制的会计报表必须由单位负责人、总会计师以及会计主管人员审阅、签名并盖章。（3）对报送给各有关部门的会计报表 要装订成册，加盖公章。4、会计复核控制五、财产保护控制（一）财产保护控制概述企业的财产可以分为两大类，有形资产和无形资产。基本规范第三十二条规定，财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。（二）企业财产保护控制

56、制度：资产收发制度、资产保管制度、定期盘点制度、资产处置制度。六、预算控制（一）预算控制的概述预算控制是内部控制的重要组成部分，其内容涵盖企业活动的全过程，预算控制是指对单位各项经济业务编制详细的预算或计划，并通过授权，由有关部门对预算或计划执行情况进行控制。基本规范第三十三条规定，预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。（二）预算控制的基本要求1、所编制的预算必须体现单位的经营管理目标，并明确责权；2、预算在执行中应当允许经过授权批准对预算进行调整， 以使预算更加符合实际；3、应当及时或定期反馈预算执行情况。（三）预算控制的主要内容1、岗位分工与授权批准 2、预算编制控制3、预算执行控制4、预算调整控制5、预算分析与考核控制七、运营分析控制（一）运营分析控制概述运营分析控制就是通过对企业购销、生产、仓储、运输、融投资等运营活动的信息加以分析、从中发现偏离目标的方向，有针对性地采取措施加以控制。基本规范第三十四条规定，运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势