金融单位会计人员。企业内部控制规范

总则和附则第一部分 内部控制规范的背景及框架介绍一、我国企业内部控制基本规范出台的背景1999 年修订的会计法第一次以法律的形式对建立健全内部控制提出原则要求，第 27 条规定：各企业应当建立、健全本企业内部会计监督制度。企业内部会计监督制度应当符合下列要求：记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确，并相互分离、相互制约；重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确；财产清查的范围、期限和组织程序应当明确；对会计资料定期进行内部审计的办法和程序应当明确。财政部从 2001 年开始连续制定发布了内部会计控制规范基本规范等 7 项内部会计控制规范，2001 年以来，财政部先后发布基本规范（试行）（2001）和涉及货币资金（2001）、采购与付款（2002）、销售与收款（2002）、工程项目（2003）、担保（2004 ）、对外投资（2004）的六个具体控制规范，同时印发了固定资产、存货、筹资、成本费用、预算等控制规范的征求意见稿。中国人民银行于 2002 年 9 月 7 日制定发布了商业银行内部控制指引 。2005 年 1 月，银监会又发布 商业银行内部控制评价试行办法。2003 年 12 月，审计署发布第 5 号令审计机关内部控制测评准则（简称准则），提出建立健全内部控制并保证其有效实施是被审计单位的责任，审计人员的责任是对内部控制的健全性和有效性进行评价。准则借鉴 COSO 报告，将内部控制定义为被审计单位为了维护资产的安全、完整，确保会计信息的真实、可靠，保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规，而制定和实施相关政策、程序和措施的过程。内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。2005 年 11 月，国务院批转证监会发布关于提高上市公司质量意见。2006 年，上海证券交易所根据证监会关于提高上市公司质量意见等法律法规，制定发布了上市公司内部控制指引。同年，深圳证券交易所也发布了上市公司内部控制指引。2006 年 6 月，中央国资委根据 企业国有资产监督管理暂行条例（国务院令第378 号）关于 “国有及国有控股企业应当加强内部监督和风险控制”的要求，国务院国有资产监督管理委员会出台了中央企业全面风险管理指引（简称指引），旨在进一步加强和完善国有资产监管工作，深化国有企业改革，加强风险管理，促进企业持续、稳定、健康发展。2007 年 3 月，证监会出台 关于开展加强上市公司治理专项活动有关事项的通知，要求上市公司本着实事求是的原则，严格对照公司法、证券法等有关法律、行政法规，以及公司章程、董事会议事规则等内部规章制度，对公司 100 个重要治理事项进行自查，其中涉及内部控制的自查事项有 15 项。同年，证监会发布关于做好上市公司 2007 年年度报告及相关工作的通知，提出上市公司应在 2007 年年报中全面披露公司内部控制建立健全的情况，包括建立健全内部控制的工作计划及其实施情况、内部控制检查监督部门的设置和人员到位情况、董事会对内部控制有关工作的安排、相关的责任追究机制，同时强调上市公司应充分发挥审计委员会的监督作用，维护审计的独立性。2007 年 6 月，银监会重新修订了 商业银行内部控制指引。与此前央行发布的控制指引相比，银监会发布的控制指引更加符合现代商业银行运作的特点。2006 年 7 月 15 日，财政部、国资委、证监会、审计署、银监会和保监会联合发起成立企业内部控制标准委员会，同时设立了由 86 名专家组成的内部控制咨询委员会。2006 年 11 月 8 日，企业内部控制标准委员会发布了企业内部控制规范基本规范和 17 个具体规范的征求意见稿，面向咨询专家和社会公众广泛征求意见。2008 年 6 月 28 日，五部委联合发布了我国首部 企业内部控制基本规范，将于2009 年 7 月 1 日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。2010 年 4 月 26 日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引。该配套指引包括 18 项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引，连同此前发布的企业内部控制基本规范，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。实施时间表：自 2011 年 1 月 1 日起首先在境内外同时上市的公司施行，自 2012 年1 月 1 日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。二、企业内部控制规范的框架结构及主要内容（一）企业内部控制基本规范的内容企业内部控制基本规范共 7 章 50 条，主要内容包括：1. 内部控制的目标基本规范将内部控制定义为：“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”借鉴 COSO 框架，基本规范将内部控制的目标归纳为五个方面：合理保证企业经营管理合法合规；合理保证企业资产安全；合理保证企业财务报告及相关信息真实完整；提高经营效率和效果；促进企业实现发展战略。2. 内部控制的原则和实施体系基本规范提出，建立与实施内部控制应当遵循五项原则，即全面性、重要性、制衡性、适应性和成本效益原则。同时规定了内部控制的实施体系：（1）以法制为推动。（2）以企业实施为主体。（3）以政府监管和社会评价为保障。3. 内部控制的要素借鉴 COSO 框架，基本规范将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督 5 大方面。（二）企业内部控制应用指引五部委在发布企业内部控制基本规范的同时，还发布了企业内部控制应用指引，共 18 项。从项目构成看，主要包括 3 类：1. 财务报表直接或间接体现的项目，或者就是对财务报表与信息披露的内在要求。如资金活动、采购业务、资产管理、销售业务、工程项目、担保业务、财务报告等；2. 对财务报表、财务管理有重大影响的项目，如全面预算、合同管理、业务外包等；3. 为生成财务报表提供人力和技术支撑的项目，如组织架构、发展战略、人力资源、社会责任、企业文化、信息系统、内部信息传递等。（三）企业内部控制评价指引企业内部控制评价指引旨在为企业董事会和管理层对企业内部控制有效性进行评价提供专业规范和指导。内控应用规范在企业的执行运用情况如何，是否还有缺陷，如何改进，以确保内部控制的有效运行，客观上需要进行有效性的评价。企业内部控制评价指引主要内容包括评价的原则和组织、评价的内容和标准、评价的程序和方法、缺陷认定和评价报告等。企业对内部控制评价过程中发现的问题，应当从定量和定性等方面进行衡量，判断是否构成内部控制缺陷。对内部控制缺陷进行分类分析。内部控制缺陷一般可分为设计缺陷和运行缺陷。（四）企业内部控制审计指引企业内部控制审计指引旨在为注册会计师执行企业内部控制审计业务提供专业规范和指导。根据指引的规定，注册会计师在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：与企业相关的风险；相关法律法规和行业概况；企业组织结构、经营特点和资本结构等相关重要事项；企业内部控制最近发生变化的程度；与企业沟通过的内部控制缺陷；重要性、风险等与确定内部控制重大缺陷相关的因素；对内部控制有效性的初步判断；可获取的、与内部控制有效性相关的证据的类型和范围。注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。三、企业内部控制规范的学习和运用（一）内部控制设计的步骤1. 了解和评估控制环境控制环境对内部控制的效果起到促进或削弱的因素，企业在设计内部会计控制制度时，首先就应当对内部条件和外部环境进行研究和分析。2. 建立内部控制结构企业在建立内部控制时，注意各个控制环节和组织结构的联系性，发挥各个组成部分的协同效应，同时要求内部控制制度要能够有效监控经营活动过程，预防和发现风险并及时纠正。3. 确定各个业务循环的流程4. 找到关键风险控制点关键的控制点是指业务流程和企业经营活动中容易产生风险的环节，要想找到关键控制点首先要对各个业务流程进行风险评估，经过风险排序后确定关键点。（二）内部控制设计中应注意的问题1. 控制活动与控制目标的一致性2. 保证内部会计控制的有效实施3. 形成内部控制的企业文化第二部分 内部控制配套指引概述企业内部控制配套指引的三大亮点。第一，年度会计报表审计跟财务报告内部控制是什么关系？在新的指引里面有一个大突破，提出整合审计概念，没有禁止两个业务单独来做，可以做整合审计，把两者有机地结合起来。其次，审计的思路更明确了。财务报告内部控制审计怎么审？原来审核指导意见较为简单，而现在更多的讲审计策略，强调公平导向审计策略。第三，“自上而下的审计思路也是以前没有的”。首先要考虑如何实现整体层面的内部控制，然后决定下一步业务流程层面怎么实施。“三大亮点由一个主题串起来，就是遵循成本的问题。这三点都是为了帮助会计师事务所降低成本，整合审计”。内部控制配套指引解读一、关于应用指引应用指引可以划分为三类，即内部环境类指引、控制活动类指引、控制手段类指引，基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。（一）内部环境类指引内部环境是企业实施内部控制的基础，支配着企业全体员工的内控意识，影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。内部环境类指引有 5 项，包括组织架构、发展战略、人力资源、企业文化和社会责任等指引。第一，关于组织架构。组织架构是企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。组织架构应用指引明确提出如下要求：一是，企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。二是，企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。三是，企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。四是，企业拥有子公司的，应当建立科学的投资管控制度。对子公司控制一直是企业集团层面关注的一个重要问题，组织架构应用指引在综合调研的基础上提出此项要求，对实务操作具有重要指导作用。第二，关于发展战略。发展战略是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划。发展战略应用指引，就上述重要风险有针对性地提出了应对措施。一是，要求企业健全组织机构，在董事会下设立战略委员会，或指定相关机构负责发展战略管理工作。二是，明确要求企业应在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标，而不是靠拍脑袋，盲目制定发展战略。三是，强调战略规划应当根据发展目标制定，明确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径。四是，要求董事会从全局性、长期性和可行性等角度，严格审议战略委员会提交的发展战略方案，之后再报经股东（大）会批准实施。五是，设立了发展战略实施后评估制度，要求战略委员会加强对发展战略实施情况的监控，定期收集和分析相关信息。对发现明显偏离发展战略的情况，要求及时报告；对确需对发展战略作出调整的情形，明确要求企业要遵循规定的权限和程序调整发展战略。第三，关于人力资源。人力资源是指企业组织生产经营活动而录（任）用的各种人员，包括董事、监事、高级管理人员和全体员工。人力资源对实现企业发展战略起到重要的智力支持作用人力资源应用指引强调：一是，企业应当根据人力资源总体规划，结合生产经营实际需要，制定年度人力资源需求计划。二是，企业应当根据人力资源能力框架要求，明确各岗位的职责权限、任职条件和工作要求，通过公开招聘、竞争上岗等多种方式选聘优秀人才。三是，企业确定选聘人员后，应当依法签订劳动合同，建立劳动用工关系；已选聘人员要进行试用和岗前培训，试用期满考核合格后，方可正式上岗。四是，企业应当建立和完善人力资源的激励约束机制，设置科学的业绩考核指标体系，对各级管理人员和全体员工进行严格考核与评价，并制定与业绩考核挂钩的薪酬制度。五是，企业应当建立健全员工退出（辞职、解除劳动合同、退休等）机制，明确退出的条件和程序，确保员工退出机制得到有效实施。第四，关于社会责任。社会责任是指企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量（含服务，下同）、环境保护、资源节约、促进就业、员工权益保护等。社会责任应用指引提出了积极应对措施：一是，要求企业设立安全管理部门和安全监督机构，建立严格的安全生产管理体系、操作规范和应急预案，强化安全生产责任追究制度，切实做到安全生产。二是，要求企业规范生产流程，建立严格的产品质量控制和检验制度，严把质量关，禁止缺乏质量保障、危害人民生命健康的产品流向社会。三是，要求企业提高员工的环境保护和资源节约意识，建立环境保护与资源节约制度，认真落实节能减排责任，积极开发和使用节能产品，发展循环经济，降低污染物排放，提高资源综合利用效率。四是，要求企业依法保护员工的合法权益，保障员工依法享有劳动权利和履行劳动义务，保持工作岗位相对稳定，积极促进充分就业。最后，企业应当按照“产学研用”相结合的社会需求，积极创建实习基地，大力支持社会有关方面培养、锻炼社会需要的应用型人才；同时，应积极履行社会公益方面的责任和义务，关心帮助社会弱势群体，支持慈善事业。第五，关于企业文化。企业文化是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。企业文化应用指引明确提出以下管控措施：一是，要求企业积极培育具有自身特色的企业文化，充分体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神，以及团队协作和风险防范意识，以此引导和规范员工行为，打造以主业为核心的企业品牌，形成整体团队的向心力，促进企业长远发展。二是，要求企业重视并购重组后的企业文化建设，平等对待被并购方的员工，促进并购双方的文化融合。三是，要求董事、监事、经理和其他高级管理人员在企业文化建设中发挥主导和垂范作用，以自身的优秀品格和脚踏实地的工作作风，带动影响整个团队，共同营造积极向上的企业文化环境。四是，要求企业加强企业文化的宣传贯彻，促进文化建设在内部各层级的有效沟通，并确保全体员工共同遵守；同时，要求企业文化建设融入生产经营全过程，切实做到文化建设与发展战略的有机结合，增强员工的责任感和使命感，规范员工行为方式，使员工自身价值在企业发展中得到充分体现。（二）控制活动类指引控制活动类应用指引，包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等 9 个指引。第一，关于资金活动。资金活动是指企业筹资、投资和资金营运等活动的总称。资金是企业生产经营循环的血液，是企业生存和发展的基础，决定着企业的竞争能力和可持续发展能力。企业资金活动中可能存在的风险无一不是重要风险，一旦转变为现实，危害重大。概括讲，企业资金活动面临的重要风险包括：筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机；企业投资决策失误，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下；资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余；资金活动管控不严，可能导致资金被挪用、侵占、抽逃或遭受欺诈。第二，关于采购业务。采购是指购买物资（或接受劳务）及支付款项等相关活动。企业在办理采购业务时不同程度地存在以下问题：采购计划安排不合理，市场变化趋势预测不准确，造成库存短缺或积压，导致企业生产停滞或资源浪费；供应商选择不当，采购方式不合理，招投标或定价机制不科学，授权审批不规范，致使采购物资质次价高，出现舞弊或遭受欺诈；采购验收不规范，付款审核不严，造成采购物资、资金损失或信用受损。第三，关于资产管理。加强各项资产管理，保证资产安全完整，提高资产使用效能，有利于维持企业正常生产经营，有利于促进企业发展战略的实现。第四，关于销售业务。销售是指企业出售商品（或提供劳务）及收取款项等相关活动。企业应当加强销售、发货、企业销售过程中存在的重要风险主要包括：销售政策和策略不当，市场预测不准确，销售渠道管理不当等，导致销售不畅、库存积压、经营难以为继；客户信用管理不到位，结算方式选择不当，账款回收不力等，造成销售款项不能收回或遭受欺诈；销售过程存在舞弊行为，可能导致企业利益受损。第五，关于研究与开发。研究与开发是指企业为获取新产品、新技术、新工艺等所开展的各种研发活动，是企业进行自主创新的重要手段。企业通过研发新产品和新技术，创造新工艺，能够增强核心竞争力，促进发展战略实现。第六、关于工程项目。工程项目是企业自行或者委托其他单位所进行的建造、安装活动。工程项目通常与企业发展战略密切相关，周期较长，并涉及大额资金及物资的流转，存在较大的不确定性和风险。第七，关于担保业务。担保是企业按照公平、自愿、互利的原则向被担保人提供一定方式的担保并依法承担相应法律责任的行为。第八，关于业务外包。业务外包是企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织（承包方）完成的经营行为。第九，关于财务报告。财务报告是企业财务信息对外报告的重要形式之一。对上市公司而言，财务报告是投资者进行决策的重要依据；对国有企业，则可能成为政府进行经济决策时关注的重要信息来源。（三）控制手段类指引控制手段类指引偏重于“工具”性质，往往涉及企业整体业务或管理。此类指引有 4 项，包括全面预算、合同管理、内部信息传递和信息系统等指引。第一， 关于全面预算。全面预算是企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。全面预算作为一种全方位、全过程、全员参与编制与实施的预算管理模式，通过将企业的资金流与实物流、信息流相整合优化了企业的资源配置，提高了资金的使用效率。第二，关于合同管理。合同是企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。市场经济就是合同经济。然而，合同管理往往又是企业内部控制中最为疏忽和薄弱的环节之一。第三，关于内部信息传递。内部信息传递是企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。企业内部控制基本规范十分重视信息与沟通这一控制要素，多次强调内部信息传递的重要性。第四，关于信息系统。信息系统是信息内部传递和信息对外报告的技术手段，是企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。二、关于内部控制评价指引内部控制评价指引，着重从以下方面就企业如何做好内部控制自我评价工作提出指导性意见：第一，关于内部控制评价的内容。围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制有效性进行全面评价。第二，关于内部控制评价的组织。基本规范及评价指引要求企业授权内部审计机构或者其他专门机构作为内部控制评价机构，负责内部控制评价的具体组织实施工作。这实际上就为内部控制评价工作的开展设置了专门的职能机构。第三，关于内部控制缺陷的认定。对于财务报告内部控制缺陷，可由该缺陷可能导致财务报表错报的重要程度来确定，这种重要程度主要取决于两方面因素：一是该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报；二是该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。第四，关于内部控制评价报告。企业在评价报告中至少披露以下内容：一是董事会对内部控制报告真实性的声明，实质就是董事会全体成员对内部控制有效性负责；二是内部控制评价工作的总体情况，即概要说明；三是内部控制评价的依据；四是内部控制评价的范围；五是内部控制评价的程序和方法；六是内部控制缺陷及其认定情况，主要描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致；七是内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；八是内部控制有效性的结论。第五，关于内部控制评价报告的披露或报送。应当以 12 月 31 日作为年度内部控制评价报告的基准日，并于基准日后 4 个月内报出内部控制评价报告。三、关于内部控制审计指引内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。企业内部控制基本规范由总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则 7 章，共 50 条组成。其中核心内容就是内部控制要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。一、条款和结构企业内部控制基本规范（以下简称基本规范）总则和附则共有 13 条规定，概括起来主要明确了以下几个方面的内容：（一）基本规范第 1 条，明确了企业内部控制基本规范的立法依据。（二）基本规范第 2 条、第 50 条，明确了企业内部控制基本规范的适用范围和开始执行时间。（三）基本规范第 3、第 4 条，明确了企业内部控制的目标和原则。（四）基本规范第 5 条，明确了企业内部控制的 5 要素。（五）基本规范第 6 条、第 7 条、第 8 条、第 48 条、第 49 条，明确了企业在建立和实施内部控制的过程中同时应该依据相关的法律法规的规定。（六）基本规范第 9 条、第 10 条，明确了国务院有关部门对企业建立和实施的内部控制承担监督职责，并明确了企业需要委托会计师事务所对内部控制的有效性发表意见。二、新旧变化分析2008 年发布的企业内部控制基本规范，是根据 2006 年 11 月 8 日企业内部控制标准委员会发布的企业内部控制规范基本规范征求意见稿确定的，与 2001 年财政部发布的内部会计控制规范基本规范（试行）（简称基本规范（试行）比较而言，主要存在以下变化：（一） 发文机构变化基本规范（试行）发文机构为财政部。基本规范为财政部、证监会、审计署、银监会、保监会联合发文。（二）立法宗旨有所变化，法律依据进一步明确基本规范（试行）是仅仅针对内部会计控制而言，所以立法宗旨为促进各单位内部会计控制建设、加强内部会计监督，维护社会主义市场经济秩序。基本规范是针对企业内部控制而言的，所以立法宗旨企业内部控制整体出发，为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益。基本规范（试行）依据中华人民共和国会计法制定，基本规范根据中华人民共和国公司法、中华人民共和国证券法、中华人民共和国会计法制定。（三）适用范围变化基本规范（试行）适用于国家机关、社会团体、公司、企业、事业单位和其他经济组织。基本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照建立与实施内部控制。（四）定义和目标不同基本规范（试行）中内部会计控制是指单位为了提高会计信息质量、保护资产的安全、完整、确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。基本规范（试行）中内部会计控制的目标：规范单位会计行为，保证会计资料真实、完整；堵塞漏洞、消除隐患，防止并同时发现、纠正错误及舞弊行为，保护单位资产的安全、完整；确保国家有关法律法规和单位内部规章制度的贯彻执行。基本规范中内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。（五）承担内部控制责任者的变化基本规范（试行）中，单位负责人对本单位内部会计控制的建立健全及有效实施负责。基本规范中，董事会负责单位内部控制的建立健全和有效实施。（六）建立和实施内部控制原则的变化基本规范（试行）中内部会计控制应遵循的 6 个基本原则为：内部会计控制应当符合国家有关法律法规和本规范，以及单位的实际情况；内部会计控制应当约束单位内部涉及会计工作的所有人员，任何个人都不得拥有超越内部会计控制的权力；内部会计控制应当涵盖单位内部涉及会计工作的各项经济业务及相关岗位，并应针对业务处理过程中的关键控制点，落实到决策、执行、监督、反馈等各个环节；内部会计控制应当保证单位内部涉及会计工作的机构、岗位的合理设置及其职责权限的合理划分，坚持不相容职务相互分离，确保不同机构和岗位之间权责分明、相互制约、相互监督；内部会计控制应当遵循成本效益原则，以合理的控制成本达到最佳的控制效果；内部会计控制应随着外部环境的变化、单位业务职能的调整和管理要求的提高，不断修订和完善。基本规范中企业建立和实施内部控制，应遵循的原则为：全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则。（七）内容和要素的变化基本规范（试行）中将内部会计控制的内容划分为货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制。在企业内部控制规范中将其作为应用指引的内容划分为 22 个方面，在基本规范中并未提及，而是从内部控制的 5 个组成要素方面进行了说明，即内部环境、风险评估、控制活动、信息与沟通、内部监督。（八）结构的变化基本规范（试行）中单独作为一章中说明的内部会计控制的方法。在基本规范中作为 5 个要素之一的控制活动中的控制措施进行了阐述，具体的内容也发生了变化。基本规范（试行）中内部会计控制的方法：不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制、财产保全控制、风险控制、内部报告控制、电子信息技术控制等。基本规范中控制活动的控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。（九）监督权限的提高基本规范（试行）中承担监督检查职责的机构是国务院财政部门和县级以上地方各级人民政府财政部门。基本规范中承担监督检查职责的是国务院有关部门。（十）中介机构对企业内部控制进行审计要求的变化基本规范（试行）中提出企业可以聘请中介机构或相关的专业人员对内部会计控制进行评价，并对重大缺陷提出书面报告。基本规范中明确接受委托的中介机构为会计师事务所，并要求事务所根据基本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。三、重点条款解读（一）基本规范适用的范围企业内部控制基本规范第 2 条规定：“本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。”（二）内部控制的目标基本规范将内部控制定义为：“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”基本规范将内部控制的目标归纳为 5 个方面：1. 合理保证企业经营管理合法合规。2. 合理保证企业资产安全。资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题，是单位可持续发展的物质基础。良好的内部控制，应当为资产安全提供扎实的制度保障。3. 合理保证企业财务报告及相关信息真实完整。4. 提高经营效率和效果。要求单位结合自身所处的特定的经营、行业和经济环境，通过健全有效的内部控制，不断提高营运活动的盈利能力和管理效率。5. 促进企业实现发展战略。（三）内部控制的原则和实施体系基本规范提出，建立与实施内部控制应当遵循 5 项原则，即全面性、重要性、制衡性、适应性和成本效益原则。同时规定了内部控制的实施体系：（1）以法制为推动。（2）以企业实施为主体。（3）以政府监管和社会评价为保障。为推动企业有效实施内控规范，政府有关部门应对企业建立与实施内部控制的情况进行监督检查，会计师事务所应对企业内部控制的有效性进行审计，并出具内部控制审核报告。（四）内部控制的要素借鉴 COSO 框架，基本规范将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督 5 大方面。（五）内部控制的执行从实践看，企业在内部控制制度的设计上存在很多问题，而制度的执行力更值得关注，制度设计缺位和执行不到位、制度执行不力、流于形式的现象比较严重，因此，需要重视和着力提升企业内部控制制度执行力。为此需要：1. 提高制度的透明度。一要探索更容易被员工理解、更加透明的制度表现形式，尤其是善于使用流程图和控制表的表达方式；二是要借助网络等平台，增加制度在制定和宣传上的透明度；三是做好制度的讲解辅导工作，使员工能够理解制度和制度执行的重要性。2. 强化制度执行力的考核。企业应将制度执行力纳入企业内部绩效考核体系。企业内部控制基本规范第 8 条规定：“企业应当建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。”对制度执行情况的考核，关键在于考核指标的设计。3. 发挥政府部门的监管作用。企业内部控制基本规范第 9 条规定：“国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监督检查。”政府监督检查的必要性（1）内部控制的固有缺陷内部控制只能“合理保证”企业目标的实现，即企业目标达成的可能性受制于制度本身的固有缺陷。（2）企业内部监督的局限性目前有很多企业主要依靠内部审计部门来对本企业的内部控制的健全性、合理性和有效性进行检查和评价，而有些企业的内审部门隶属于财务部门，与财务部同属一人领导，内部审计在形式上就缺乏应有的独立性另外，在内审的职能上，很多企业的内部审计工作仅仅是审核会计账目，而在内部稽查、评价内部控制制度是否完善和企业内各组织机构执行指定职能的效率等方面，却未能充分发挥应有的作用。政府监督检查的开展需要对内部控制进行监督检查的企业包括：大中型国有及国有控股企业（未上市）、上市公司、商业银行及非银行金融机构、规模以上的民营企业等。就目前而言，首先重点监督商业银行及证券公司、大型国有企业（如垄断性公司）、上市公司、欠大量银行贷款的民营、私营企业。在监督检查过程中，以下几点值得注意：（1）充分利用社会中介机构的专业力量。（2）协调运作国家监督方式，使其形成监督合力。（3）监督检查结束后，还应对有关单位的整改情况予以重点关注。4. 发挥社会中介机构的促进作用。企业内部控制基本规范第十条规定：“接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。” （1）内部控制审计是一项专门鉴证业务在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行，称为整合审计。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。 （2）内部控制审计的范围限于特定日期与财务报表相关的内部控制通常，注册会计师对特定日期的内部控制进行审计。特定日期可以是会计年度结束日，也可以是某中期结束日。注册会计师对特定日期的内部控制审计时，应在接近此日期之前的一段时间内对内部控制进行了解和测试，并对该日期的内部控制的有效性发表审计意见。意见类型包括无保留意见、保留意见、否定意见和无法表示意见。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。（3）注册会计师完成审计工作后，应当取得经企业签署的书面声明企业就内部控制的有效性提供书面说明，其作用类似于财务报表，它用于明确其管理建立健全内部控制并保持其有效性的责任。 内部控制要素解读字体：大 中 小打印： 省纸版 清晰版 自定义重要条款解读一、内部环境内部环境处于内部控制五大要素之首。内部环境包含组织基调，具体内容包括：治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。内部环境的主要构成要素分析1. 治理结构（是源头的问题，一开始就要把它做好）企业内部控制基本规范第 11 条明确了股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东（大）会负责，依法行使企业的经营决策权。监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。治理结构是由股东大会、董事会、监事会和管理层组成的，决定公司内部决策过程和利益相关者参与公司治理的办法，主要作用在于协调公司内部不同产权主体之间的经济利益矛盾，克服或减少代理成本。2. 机构设置及权责分配我国相关法规反映出董事会在公司管理中居于核心地位，董事会应该对公司内部控制的建立、完善和有效运行负责。监事会对董事会建立与实施内部控制进行监督。公司管理层对内部控制制度的有效执行承担责任，其中处于不同层级的管理者掌握着不同的控制权力并承担相应的责任，同时相邻层级之间存在着控制和被控制的关系。3. 内部审计企业内部控制基本规范第 15 条规定，企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。内部审计控制是内部控制的一种特殊形式。其范围主要包括财务会计、管理会计和内部控制检查。内部审计主要具有监督、评价、控制和服务 4 种职能。其作用主要是防护性作用和建设性作用，防护性作用是通过内部审计的检查和评价企业内部的各项经济活动，发现那些不利于本企业目标实现的环节和方面，防止给企业造成不良后果。建设性作用是通过对审查活动的检查和评价，针对管理和控制中存在的问题和不足，提出富有建设性的意见和改进方案，从而协助企业改善经营管理，提高经济效益，以最好的方式实现组织的目标。4. 人力资源政策（良好的人力资源是企业不竭的源泉）良好的人力资源政策对更好地贯彻和执行内部控制有很大的帮助，还能确保执行企业政策和程序的人员具有胜任能力和正直品行。企业内部控制基本规范第 16 条规定，企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：员工的聘用、培训、辞退与辞职；员工的薪酬、考核、晋升与奖惩；关键岗位员工的强制休假制度和定期岗位轮换制度；掌握国家秘密或重要商业秘密的员工离岗的限制性规定；有关人力资源管理的其他政策。从某种意义上说，企业内部控制的成效取决于员工素质的合格程度。因为任何内部控制制度的成效取决于其设计水平和高素质的人员的贯彻执行。因此，员工素质控制是内部控制的一个重要因素。员工素质控制包括企业在招聘、培训、考核、晋升与奖励等方面对员工素质的控制。企业内部控制基本规范第 17 条规定企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。员工素质是内部控制得以有效实施的关键所在，员工的素质控制是内部环境的重要组成部分。培训则是保证和提高员工职业素质和专业胜任能力的重要方式。培训原则主要有激励、因材施教、实践、明确目标和统筹安排、合理规划等原则。当然培训完成后，培训评估是不可缺少的环节，即依据培训目标、应用科学的评估方法来评价培训的效果，只有这样，企业才能知道培训是否达到了目的。5. 企业文化（核心价值的建立）企业文化是一切从事经济活动的组织之中形成的组织文化，是企业在长期的经营实践中形成的共同思想、作风、价值观念和行为准则，是一种具有企业个性的信念和行为方式。企业文化包含四个要素：制度文化、物质文化、行为文化、精神文化。这四者相互影响、相互作用，共同构成企业文化的完整体系。因此企业内部控制基本规范第 18 条明确了企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。6. 法律环境企业如果不具有较强的法律意识，不能充分认识到法律风险的存在，并对其进行有效控制，轻则给企业带来经济损失，重则会给企业带来灭顶之灾。因此企业内部控制基本规范第 19 条规定企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。二、风险评估辨认风险，经营风险，决策过程方面（目标导向下的风险评估）风险评估是组织辨认和分析与目标实现有关的风险的过程。风险评估提供了控制风险的基础。内部控制中的风险评估过程必须判明企业完成既定目标存在的外部风险与内部风险，分析各种风险的类型和程度。此处的风险评估是一个比较宽泛的概念，包括了风险管理的全过程，即设置目标、风险识别、风险分析、风险应对。（一）设置目标企业内部控制基本规范第 21 条规定企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。所以企业只有根据设定的风险承受度，才能全面系统持续地收集相关信息，最后结合实际情况，及时进行风险评估。（二）风险识别风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节，主要回答的问题是：存在哪些风险，哪些风险应予以考虑，引起风险的主要因素是什么，这些风险所引起的后果及严重程度如何，风险识别的方法有哪些等。而其中企业在风险评估过程中，更应当关注引起风险的主要因素，应当准确识别与实现控制目标有关的内部风险和外部风险。企业的内部风险因素主要有：董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。组织机构、经营方式、资产管理、业务流程等管理因素。研究开发、技术投入、信息技术运用等自主创新因素。财务状况、经营成果、现金流量等财务因素。营运安全、员工健康、环境保护等安全环保因素以及其他因素。企业的外部风险因素主要有：经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。法律法规、监管要求等法律因素。安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。技术进步、工艺改进等科学技术因素。自然灾害、环境状况等自然环境因素以及其他因素。（三）风险分析通过识别出的风险，我们应对其进行分析。为此企业内部控制基本规范第 24条规定企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。（四）风险应对在风险识别和风险分析的基础上，企业就应该结合具体的实际情况，选择合适的风险应对策略。企业风险应对策略有四种基本类型：风险规避、风险降低、风险分担、风险承受。因此企业内部控制基本规范第 26 条规定企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。这是控制风险的一种最彻底、最有力的措施，它与其他的控制风险方法不同，是在风险事故发生之前，将所有风险因素完全消除，从而彻底排除某一特定风险事故发生的可能性，同时也是一种消极的风险应对措施，因为选择这一策略也就放弃了可能从风险中获得的收益。风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。这是风险管理中最积极主动也是最常见的一种处理方法，包括两类措施：风险预防和风险抑制。风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。其主要措施包括业务分包、保险、出售、开脱责任合同以及合同中的转移责任条款 5 种。风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。这也是一种最普通、最省事的风险应对策略。风险应对的四种策略是根据企业的风险偏好和风险承受度制定的，风险规避策略在采用其他任何风险应对措施都不能将风险降低到企业风险承受度以内的情况下适用；风险降低和风险分担策略则是通过相关措施，使企业的剩余风险与企业的风险承受度相一致；风险承受则意味着风险在企业可承受范围之内。企业应该结合具体情况及时调整风险应对策略。所以企业内部控制基本规范第 27 条规定了企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。三、控制活动对评估的风险去应对，应对风险的措施。不要仅仅是认为会计方面的不相容职务的分离。企业内部控制基本规范第 28 条明确了企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。（一）不相容职务分离控制企业内部控制基本规范第 29 条不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。所以企业进行组织规划，首先是要对不相容职务进行分离。如果担任不相容职务的职工之间相互串通勾结，则不相容职务分离就失去作用了。但如果企业没有适当的职务分离，则发生错误和舞弊的可能性更大。（二）授权审批控制企业内部控制基本规范第 30 条的规定，授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指