上市公司内部控制制度和流程体系设计及应用

xx上市公司内部控制制度及流程体系设计及应用,2012年3月,目录,企业内控建立背景企业内部控制的具体设计XX企业的内部控制内部控制的实施,公司内部控制制度建立背景,外部政策要求：,机制建设将从三个层面展开：,设计并运行内控制度手册；制定内控评价办法并定期监督评价；树立内控理念并形成内控文化；,2006年6月5日，上海证券交易所发布上海证券交易所上市公司内部控制指引，要求沪市上市公司于2006年7月1日开始执行。其第三十二条要求：公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。2008年5月22日，财政部与中国证监会等五部委发布企业内部控制基本规范，要求上市公司在2009年7月1日前按照基本规范的要求建立健全内部控制制度，在2009年度报告中披露董事会对公司内部控制有效性的自我评价报告，并由会计师事务所对公司内部控制的有效性进行审计。,公司内部控制制度建立背景,内部发展要求：,激烈的市场竞争与持续发展的目标，要求公司管理层平衡好风险与发展的关系。公司本部与分厂、母子公司管控模式的顺畅运行，也离不开符合内控要求的授权体系，职责边界与业务流程设计。公司风险点的识别，预警；公司关键业务环节的控制与把握；公司现有制度流程的梳理完善，形成有效的循序渐进的运营系统。,资产安全，经营合规提高经营效率效果提升公司风险屏蔽能力实现公司战略目标,以公司内部控制系统作保障,内部控制的概念,1992年COSO委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission)提出并于1994年修改的内部控制整体框架中对内部控制作了如下的描述：,内部控制是由企业董事会、经理阶层和其他员工实施的，为：营运的效率效果财务报告的可靠性相关法令的遵循性等目标的达成而提供合理保证的过程。,内部控制绝对不是：静态的结构；某一层次人员的任务（例如：高级管理层）；某一部门的任务（例如：财务、内部审计）；某一实体的任务（例如：总部、省级公司）。,公司内部控制标准框架,结合企业内部控制基本规范的要求，公司内部控制制度建设是由董事会、监事会、经理层和全体员工实施的，通过构建内控要素，并将控制措施融入经营活动的，旨在实现控制目标的过程，具体建设框架概括为三个纬度：目标纬度：一个主导目标：效率与效果；三个保障目标：报告可靠、资产安全与经营合规。在此基础上促进战略实现。要素纬度：五项控制要素包括：内部环境、风险评估、控制活动、信息沟通与内部监督。经营活动纬度：内控建设过程中应坚持依经营活动设计内控手册，将控制措施融入经营管理。需要强调，风险评估要素包括了目标设定、因素辨认、风险评估、风险反应四个方面。,内部控制的主要特征,特点一：内部控制发展的主线是保证资产安全和会计信息真实。,内部控制与会计有着天然的血缘关系，会计系统应建立在内部控制程序基础之上，以保证会计数据的可靠性；另一方面，内部控制程序利用可靠的会计数据来保证资产的安全，并监督各部分的业务。,保证会计数据可靠性,保证资产的安全监督各部分业务,内控管理不是独立于现行管理体系之外的另外一个系统；内控管理是对现有体系的整合梳理，数据的充分利用和挖掘；内控体系强化现有的制度体系、政策和流程。,内控不是独立于现行管理体系之外独立的系统，而是融合于企业的战略、文化、价值观、组织体系、制度体系、管理工具体系之中。内控制度手册有机地串联管理系统中的各个模块，深度发掘并整合企业的管理信息，强化企业的政策、程序。,内部控制的主要特征,特点二：企业内部控制是体现在日常经营活动中的嵌入式控制制度。,内部控制体系的构建控制环境,企业必须了解它所面临的风险，并加以控制。即设立可辨识、分析和管理相关风险的机制风险评估就是分析和辨识为实现企业目标所可能发生的风险。,环境变化后的管理,评估和更新,内部控制体系的构建风险评估,风险点的评定模型,内部控制体系的构建风险评估,控制型控制型处理风险的方法是指避免、消除风险或减少风险发生频率及控制风险损失扩大的方法。主要包括避免、预防、分散、抑制等方法。避免避免就是放弃某项活动，以此达到回避因从事该项活动可能导致风险损失的目的。例如，担心锅炉爆炸，就放弃利用锅炉烧水，改用电热炉等。这种方法的优点是彻底根除风险；其缺陷是在回避风险的同时放弃了某种经济利益。还有些根本不能避免，比如说地震。（美国很多房子都是木头的，地下都是空的）预防预防就是在风险发生之前采取的一切减少风险发生频率的具体措施，它是通过消除或减少风险因素来实现的。具体方法有工程物理法和人类行为法。前者如精心选择建筑材料，以防止火灾风险，其重点是预防各种物质性风险因素；后者包括对设计、施工人员及住房进行教育等，其重点是预防人为风险因素。(打伞，防疫针）分散分散指以增加风险单位数目来提高风险的可测性，以此达到降低风险成本的目的。如通过兼并、扩张、联营等手段，以此增加风险单位数目，提高风险的可测性，达到把握风险、控制风险、降低风险成本的目的。（鸡蛋放在多个篮子里）抑制抑制是指风险事故发生时或之后采取的各种防止损失扩大的措施。例如，在建筑物上安装消防、自动喷淋系统等，就可减轻火灾损失的程度，防止损失扩大。,风险防范的方法：,内部控制体系的构建风险评估,人们对风险的认识，受种种因素的制约，因而对风险的预测和估计不可能达到绝对精确的地步，而各种控制型风险处理方法，都有一定的缺陷，而且，有此风险根本就不可能避免、消除。因此，任何经济单位和个人都不可能不承受风险成本。自留自留指经济单位或个人自己承担全部风险成本的财务处理方法。自留有主动自留和被动自留之分。前者指在识别风险的基础之上，根据自己的经济承受力和经济上的合算性、可行性决定的自留，它是经济单位有意识地、主动地承担风险成本。后者则是未能识别出风险而被迫承担风险成本，它是因无法准确预测风险缺乏足够的信息的情况下的被迫行为。转移这是指为避免承担全部风险成本，有意识地将所面临的风险及其发生可能导致的损失转移给予其他经济单位或个人承担而事先进行的一种财务安排。这种以转移风险成本为特征的财务处理方法包括非保险转移和保险转移。,内部控制体系的构建风险评估,财务型:,发生次数（每十年）,损失数额,影响轻微,影响严重/暂停营运,公司倒闭,利用保险把风险转移,保险范围,保险公司,预防措施,接受较低的风险，并把余下较高的风险转移,内部控制体系的构建风险评估,筹资风险评估投资风险评估信用风险评估合同风险评估,企业只能把风险控制在自己可以接受的范围内。风险防范控制是企业的一项基础性、经常性的工作。,世界首富比尔盖茨有一句名言，“微软离破产只有18个月”。作为世界上最强大的企业的首席执行官，仍然具有这样强烈的危机感，可见风险防范意识在美国和西方优秀企业的管理体系中确实占据着核心地位。即便如此，美国依然有雷曼兄弟、通用汽车、房地产、房地美、近30多家银行都已陆续破产。美国人有风险意识，但是并不怕风险，连死都不怕（教堂事件）。,中国企业更要有危机意识。有些风险防不胜防，比如转基因大豆风险（基辛格）。,内部控制体系的构建风险评估,企业风险模型,竞争者敏感性股东关系资金充足性金融市场,灾难性损失独立政治法律行政管理行业,环境风险,信息技术风险使用权完整性相关性可得到性基础设施,财务风险货币利率流动性结算再投资信用双边关系现金转移或流速改变,廉政风险管理欺诈雇员欺诈非法行为无授权使用商誉,授权风险领导力权力限制表现激励沟通,营运风险客户满意人力资源产品开发效率能力表现差异循环时间资源商品定价过失或损失符合性业务中断健康和安全环境产品或服务失败商标或产品名侵蚀,营运价格合同投入衡量结盟完整性和精确性管理报告,决策信息风险,财务预算和计划完整性和精确性会计信息财务报告评价税收养老基金投资评估管理报告,战略环境检视业务组合价值衡量组织结构资源分配计划生命周期,企业需要按照以下的“企业风险模型”设计企业内部管理及风险控制体系来全面减少企业的经营风险,控制活动是由为合理保证公司目标的实现而建立的政策和程序组成的，控制活动可应用于某种交易，也可以融合应用于控制环境或会计系统的特定组成部分。常见的控制活动有：,内部控制体系的构建控制活动,组织规划控制授权审批控制全面预算控制文件记录控制实物保护控制职工素质控制,7.风险防范控制8.内部报告控制9.信息系统控制10.内部审计控制11.会计系统控制12.绩效考核控制,贯穿在风险评估和控制活动过程中这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯，并交换这些资讯信息系统：内部、外部信息传递方式：自上而下、自下而上、平行共享沟通：使员工知悉其在业务经营、财务报告及法律遵循方面的责任,内部控制体系的构建信息与沟通,信息系统的作用信息系统不仅处理企业内部所产生的各种信息，同时也处理企业与外部的事项、活动，以及与环境等有关的信息。企业的信息系统不仅是企业控制环境建设的一个重要方面，同时也是企业内部一个重要的特定控制程序，是企业内部控制的一个组成部分。一个有效的企业信息系统应能作到：保证企业内部每个人都清楚地知道其所承担的特定职责。使每名员工不仅必须了解内部控制制度的有关方面，这些方面如何生效以及自己在内部控制制度中所担负的责任，一旦有非正常事项发生，除了要关注该事项外，还必须能够分析发生原因，并采取适当的措施。,信息流动与沟通,内部控制体系的构建信息与沟通,信息沟通系统不仅要有向下的沟通渠道，还应有向上的、横向的以及对外界的沟通渠道：企业管理层要向全体员工发布有关认真履行各自控制职责的明确信息，使其了解自己在控制系统中的地位和作用。企业要有一条自下而上报告重大信息的有效途径，即建立开放，畅通的信息反馈渠道，以便发现内部控制系统的薄弱环节，并及时采取相应的补救措施。建立反映行为责任履行情况的报告系统，对于企业实施内部控制尤其重要。,信息流动与沟通,内部控制体系的构建信息与沟通,各管理系统的关系,数据仓库DW,供应链管理系统SCM,供应商管理,物流库存管理,结算支付管理,客户关系管理系统CRM,客户界面(呼叫中心等),客户销售渠道管理,客户市场销售分析,办公自动化知识管理系统OA/KM,文件流转发布,协同工作,知识经验共享发布,数据挖掘、在线分析和决策支持系统DM/OLAP/DSS,企业资源计划系统ERP,人力资源,财务,制造,分销,系统管理,企业信息平台EnterpriseInformationPlatform,企业信息总线,EnterpriseInformationBus,制定内控评价办法并形成定期评价制度，内控机制才能形成管理闭环。内控评价的目标分两个层面：一是通过定期与不定期的评价与监督检查，保证内控政策与程序执行的有效性；二是通过发现缺陷与新增风险点，不断完善内控政策与程序手册，适应企业持续发展过程适应动态环境的内控机制自我完善的需要。,内部控制体系的构建内部监督,目录,企业内控建立背景企业内部控制的具体设计XX企业的内部控制内部控制的实施,企业内部控制的总体设计思路：,企业内部控制的设计设计原则,健全的内部控制系统,借鉴内部控制理论,参考内部控制成功案例,根据内部控制法律法规,结合企业管理实际,在此基础上，设计内部控制还应遵循以下五条具体规则：,整体结构原则,成本效益原则,程式定位原则,协调配合原则,相互牵制原则,控制环境,企业内部控制的设计设计原则,整体结构原则：,各部门子控制系统,各业务子控制系统,企业内部控制系统,各项控制要素、各业务循环及部门子控制系统，必须有机构成为企业内部控制的整体架构。企业内部控制系统，必须包括控制环境、风险评估、控制活动、信息与沟通、监督五项要素，并覆盖各项业务和部门。这就要求，各子系统的具体控制目标，必须对应整体控制系统的一般目标。,内部控制五大要素,控制环境,风险评估,控制活动,信息与沟通,监督,企业内部控制的设计设计原则,相互牵制原则的含义：是指一项完整的经济业务活动，必须分配给具有互相制约关系的两个或两个以上的职位，分别完成。即在横向关系上，至少要由彼此独立的两个部门或人员办理以使该部门或人员的工作接受另一个部门或人员的检查和制约；在纵向关系上，至少要经过互不隶属的两个或两个以上的岗位和环节，以使下级受上级监督，上级受下级牵制。需要分离的职责主要是:授权、执行、记录、保管、核对。相互牵制原则的意义：在相互牵制的关系下，几个人发生同一错弊而不被发现的概率，是每个人发生该项错弊的概率的连乘积，因而将降低误差率。,相互牵制原则：,企业内部控制的设计设计原则,协调配合原则的含义：是指在各项经营管理活动中，各部门或人员必须相互配合，各岗位和环节都应协调同步，各项业务程序和办理手续需要紧密街接，从而避免扯皮和脱节现象，减少矛盾和内耗，以保证经营管理活动的连续性和有效性。,协调配合原则：,相互牵制原则,协调配合原则,协调配合原则，是对相互牵制原则的深化和补充。贯彻这一原则，尤其要求避免只管牵制错弊而不顾办事效率的机械做法，而必须做到既相互牵制又相互协调，从而在保证质量提高效率的前提下完成经营任务。,企业内部控制的设计设计原则,程式定位原则的含义：是指企业单位应该根据各岗位业务性质和人员要求，相应地赋予作业任务和职责权限，规定操作规程和处理手续，明确纪律规则和检查标准，以使职、责、权、利相结合。,程式定位原则：,岗位工作程式化，要求做到事事有人管，人人有专职，办事有标准，工作有检查，以此定奖罚，以增加每个人的事业心和责任感，提高工作质量和效率。,企业内部控制的设计设计原则,贯彻成本效益原则，即要求企业力争以最小的控制成本取得最大的控制效果。在实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比例，也就是说，因实行内部控制所花费的代价不能超过由此而获得的效益，否则应舍弃该控制措施。,成本效益原则：,企业内部控制的设计设计原则,企业内部控制的设计子控制系统的划分,如前所述，总控制系统一般适宜按照业务循环或部门划分为子控制系统。,信息处理控制系统,货币资金控制系统,存货控制系统,固定资产控制系统,成本费用控制系统,销售控制系统,投资控制系统,财务成果控制系统,企业内部控制系统,企业内部控制的设计子控制系统的划分,各行业或各单位不同的业务特点决定了内部控制子系统的划分方式。,信息处理控制系统,货币资金控制系统,存货控制系统,固定资产控制系统,成本费用控制系统,销售控制系统,投资控制系统,财务成果控制系统,企业内部控制系统,预算控制系统,物流管理控制系统,人力资源控制系统,管理控制子系统,近来管理界认为，应该将预算控制、物流管理、人力资源政策，作为子控制系统加以设计。我们认为这种强化管理控制的做法，是可取的。,企业内部控制的设计子控制系统的划分,控制目标,经营效率和效益,财务报告真实可靠,合法经营,内部控制五要素,环境控制,风险评估,控制活动,信息与沟通,监督,经营管理活动,货币资金,咨询与筹资,薪酬业务,存货,生产成本费用,销售业务,内部控制手册,采购业务,业务循环,管理制度与惯例,风险管理八要素,企业内部控制的设计设计路径,35,业务环境,风险评估,控制流程,Going,控制目标,控制要点,控制政策,控制模式,控制载体,各项典型业务的内部控制管理子系统，需要针对具体业务，按照控制环境、控制目标、潜在风险、控制流程、控制要点、控制政策和控制载体构造，最后反映为内部控制流程图和内部控制政策表，即控制模式。,内部控制流程图描述控制流程、控制要点和控制载体，示例略；内部控制政策表归纳控制目标、潜在风险、控制政策及其对应的管理制度，示例略。,35,企业内部控制的设计内部控制设计思路与模式,确定控制目标,整合控制流程,鉴别控制环节,确定控制措施,控制目标，既是管理经济活动的基本要求，又是实施内部控制的最终目的，也是评价内部控制的最高标准。首先应该根据经济活动的内容特点和管理要求提炼内部控制目标，然后据此选择具有相应功能的内部控制要素，组成该控制系统。,企业内部控制的设计子控制系统的划分,确定控制目标,整合控制流程,鉴别控制环节,确定控制措施,控制流程，是依次贯穿于某项业务活动始终的基本控制步骤及相应环节。控制流程通常同业务流程相吻合，主要由控制点组成。当企业的业务流程存在控制缺陷时，需要根据控制目标和控制原则将其进行整合。,企业内部控制的设计子控制系统的划分,确定控制目标,整合控制流程,鉴别控制环节,确定控制措施,实现控制目标，主要是控制容易发生偏差的业务环节。这些可能发生错弊因而需要控制的业务环节，通常称为控制环节或控制点。控制点按其发挥作用的程度而论，可以分为关键控制点和一般控制点。那些在业务处理过程中发挥作用最大，影响范围最广，甚至决定全局成效的控制点，对于保证整个业务活动的控制目标具有至关重要的影响，即为关键控制点；相比之下，那些只能发挥局部作用，影响特定范围的控制点，则为一般控制点。如材料采购业务中的“验收”控制点，对于保证材料采购业务的完整性、实物安全性等控制目标都起着重要的保障作用，因此是材料采购控制系统中的关键控制点;相比之下，“审批”、“签约”、“登记”、“记账”等控制点，即是一般控制点。需要说明的是，关键控制点和一般控制点在一定条件下是可以相互转化的。某个控制点在此项业务活动中是关键控制点，在另外一项活动中则可能是一股控制点，反之亦然。另外随时时间和企业外部环境变化，相应控制点级别也会相应变化。,企业内部控制的设计子控制系统的划分,确定控制目标,整合控制流程,鉴别控制环节,确定控制措施,控制点的功能，是通过设置具体的控制技术和手续而实现的。这些为预防和发现错弊而在某控制点所运用的各种控制技术和手续等，通常被概括为控制措施。,以上列举的两个控制点的差异，说明由于其控制的业务内容不同，所要实现的控制目标不同，因而相匹配的控制措施也不相同。因此，实际工作中，必须根据控制目标和对象设置相应的控制技术和手续。,企业内部控制的设计子控制系统的划分,企业内部控制的设计如何防范常见的舞弊,虚报冒领：采取弄虚作假的手法、虚报费用、冒领物资。阴阳发票：将发票的正联合副联分别填写不同的数字，以达到隐瞒贪污收入、扩大虚报支出的目的。无中生有：凭空捏造收、付款项目，进行贪污作弊的行为(鸡蛋之父、营销学之父）。侵吞不报：直接窃取商品物资或对经营收入采取少计价款、不开发票（或开假发票）、不入帐等方式直接进行侵吞。模仿签字：模仿有关领导人员的签字以达到蒙混过关、窃取公有财产物资的目的。（书法家学克林顿签字吃饭）假公济私：借公家的名义或力量，谋取私人的利益。瞒天过海：将舞弊的事实真相隐藏在日常的经济业务活动中，使人不易怀疑和发现，甚至产生错觉，以达到贪污的目的。,里应外合：企业内部各职能部门的工作人员之间，企业内部与外部有关人员之间利用各自的“方便”条件，躲避企业的内部控制与监督，合伙作弊，共同窃取企业资财的行为。暗渡陈仓：采取迂回、变相的方式窃取企业资财的行为。混水摸鱼：借助某种意外或混乱局面获取不正当利益的行为。偷梁换柱：暗中玩弄手法，以假的代替真的。张冠李戴：故意混淆会计帐户对应关系的行为。监守自盗：利用自己经管有关财产物资的职务之便进行贪污盗窃的行为。,企业内部控制的设计如何防范常见的舞弊,确定控制目标,整合控制流程,鉴别控制环节,确定控制措施,保证现金收支正确合法保证现金结算及时适当保证现金存储安全完整保证现金核算真实合规,审核收付复核记账核对清点清查,授予权限制取凭证签审凭证审核凭证编制凭证收付现金复核凭证登记日记账登记明细账登记总账盘点现金送存银行核对账簿,审核现金收支原始凭证后签章出纳复核会计及原始凭证；收付；盖章；分离不相容职务稽核员复核会计及原始凭证；盖章出纳登记现金日记账；分管会计人员登记现金明细账；总账会计登记总分类账非记账人员核对现金日记账和有关明细账、总分类账；盖章出纳每日清点库存现金清查小组清查库存现金、核对现金日记账；编制现金盘点报告单,以现金控制系统的设计为例,企业内部控制的设计子控制系统的划分,目录,企业内控建立背景企业内部控制的具体设计XX企业的内部控制内部控制的实施,XX企业的内部控制：计费和账务管理,营业受理,数据采集,数据处理,出账,收费,入账,业务流程,关键控制点,A.B.,C.D.,E.,F.,G.H.,I.J.,营业受理,数据采集,数据处理,出账,收费,入账,业务流程,关键控制点,A.B.,C.D.,E.,F.,G.H.,I.J.,XX企业的内部控制：计费和账务管理,营业受理,数据采集,数据处理,出账,收费,入账,业务流程,关键控制点,A.B.,C.D.,E.,F.,G.H.,I.J.,XX企业的内部控制：计费和账务管理,营业受理,数据采集,数据处理,出账,收费,入账,业务流程,关键控制点,A.B.,C.D.,E.,F.,G.H.,I.J.,XX企业的内部控制：计费和账务管理,营业受理,数据采集,数据处理,出账,收费,入账,A.B.,C.D.,E.,F.,G.H.,I.J.,业务流程,关键控制点,XX企业的内部控制：计费和账务管理,目录,企业内控建立背景企业内部控制的具体设计XX企业的内部控制内部控制的实施,管理人员滥用职权、蓄意营私舞弊如果企业内部行使控制职能的管理人员滥用职权、蓄意营私舞弊，即使具有设计良好的内部控制，也不会发挥其应有的效能。内部控制作为企业管理的一个组成部分，它理所当然地要按照其管理人员的意图运行，尤其是企业负责人的决策更是起决定作用。决策出了问题，贯彻决策人意图的内部控制也就失去了应有的控制效能。不相容职务的人员相互串通作弊如果企业内部不相容职务的人员相互串通作弊，与此相关的内部控制就会失去作用。内部控制的一条重要原则就是将不相容职务进行分离。在实际工作中，如果处于不相容职务上的有关人员相互串通、相互勾结，失去了不同职务相互制约的基本前提，内部控制也就很难发挥作用。,内部控制的局限性主要表现在五个方面：,企业内部控制的局限性,内控保障体系,有效输入,有效输出,人员素质不适应岗位要求如果企业内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。内部控制是由人建立的，也要由人来行使的，如果企业内部行使控制职能的人员在心理上、技能上和行为方式上未能达到实施内部控制的基本要求，对内部控制的程序或措施经常误解、误判，那么再好的内部控制也很难充分发挥作用。内部控制的成本效益企业实施内部控制的成本效益问题也会影响其效能。控制环节越多、控制措施越复杂，相应的控制成本也就越高，同时也会影响企业生产经营活动的效率。因此，在设计和实施内部控制时，企业必然要考虑控制成本与控制效果之比。当实施某项业务的控制成本大于控制效果而产生损失时，就没有必要设置控制环节或控制措施，这样某些小错弊的发生就可能得不到控制。计划外业务的控制内部控制一般都是针对经常而重复发生的业务而设置的，而且一旦设置就具有相对稳定性，因此如果出现不经常发生或未预计到的经济业务，原有控制就可能不适用，临时控制(如实行专门的审批、报告和执行程序来处理临时性或突发性业务)则可能不及时，从而影响内部控制的作用。,内部控制的局限性主要表现在五个方面：,企业内部控制的局限性,影响内控实施的其他因素,时间推移使控制措施逐渐失效形式主义利益的冲突法律法规的意外变化竞争对手的行动经济环境变化等,内部控制是从董事会到经营层，再到各级员工参与的过程，各个层面都要充分重视内控制度的执行落实“思想决定行动”。公司各级领导层首先要充分重视内控制度，要“身先士卒”为遵守内部控制创造良好的环境，并确保内控制度得以认真贯彻执行。要不断学习和培训内控制度对于国内上市公司是相对较新的管理思想，并且制度文件也很庞大，在执行过程中需要不断地学习和培训。只有切实把学习和培训覆盖到全体员工，接受内部控制知识和理念教育和培训，确保学习培训时间和效果，同时认真组织讨论，才有可能把内控执行好，最终在企业内部形成内部控制理念和文化。执行内部控制，要按照内控要求留存相关记录文件企业内部控制规范中明确规定：企业应当以书面或