企业内部控制和风险防范.doc

企业内部控制和风险防范日照市科技中等专业学校1743940306 孙迎笑2013年11月15日培训内容一、企业内部控制和风险防范二、企业会计准则企业内部控制和风险防范企业内部控制和风险防范主要内容一、内控的概念二、内部控制理论的演变三、企业内部控制的目标和原则四、我国企业内部控制现状及成因五、企业内部控制政策解读内部控制是一个既古老又充满活力的话题。说它古老是因为在公元前3600年的美索不达米亚文明时期，就已经出现了内部牵制的一些做法，说它充满活力是我国的理论界、实务界都在研究如何建立适应中国特色的内部控制体系。在西方国家，内部控制经过漫长的发展，已形成了一整套比较完善的内部控制系统，并已主导着国际内部控制的发展方向。然而，对我国来讲全面认识内部控制还刚刚开始，会计信息失真、经营失败及不守法经营等在很大程度上都归结为企业内部控制的失灵。如红极一时的巨人集团倒闭、郑州亚西亚的衰败等，都无一例外地指出建立和健全内部控制重要性和紧迫性历史学家汤恩比说过：“一个国家乃至一个民族，其衰亡是从内部开始的，外部力量不过是其衰亡前的最后一击。”企业何尝不是如此。内部控制是衡量企业管理的重要标志。内部控制作为企业生产经营活动的自我调节和自我约束机制在企业管理系统中具有举足轻重的作用。任何企业要实现持续经营，必须进行健全有效的内部控制。特别是中国加入WTO之后，我国企业将直接面对众多国外企业的激烈竞争和有力挑战。企业必须建立和完善内部控制制度，才能在日益激烈的竞争中求得生存和持续发展，以实现其经营目标，增强企业的竞争力。一、内控的概念 COSO委员会对内部控制的定义“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规”。（一）控制过去强调的是牵制，强调的是会计控制。现在是风险为导向的控制，强调的是单位的管理层角度的管理控制，而会计控制是内部控制的一个组成部分。（二）管理作为股东投资者，由于所有权和经营权进行分离。而作为投资者，要求投资获得收益，终极目的就是获得利润。因此在加强企业管理和运作中，会在方方面面有内控的思想的覆盖和渗透。内部控制是一种管理，内控的理想状态是无需内控就可以遵守规章制度。内控是一种管理，是对风险的管理。对于企业而言，风险可能来自业务经营、合规、运营或财务方面，内部控制应当为企业的有效运营提供辅助条件，使企业有能力对目标实现的重大风险作出反应。（三）流程内控是控制的一个过程，这个过程是需要全员的参与，上到董事会、管理层、监事会（或主管部门），下到各级员工，都需要参与进来。（四）合理保证内部控制是一种合理保证，但它也存在局限性，因此不是一种绝对保证。1.在一个单位的不同岗位之间要有内部控制措施。如：签订合同VS管理合同，会计VS出纳，但这种岗位间的内控措施无法防止由于人员的串通导致的内控失效2.内控是一个管理制度。管理是一个由上到下的管理，而管理者的控制相对较弱，同时管理者自己的情况也会决定管理制度的实施。3.大型或小型单位在建立内部控制系统时，均可能存在资源受限的问题。二、内部控制理论的演变内部控制理论是随着管理的需要、内部控制实践经验的丰富而逐渐发展起来的，大致经历了内部牵制、会计控制和管理控制阶段、控制要素阶段和内部控制整体框架四个理论阶段。（一）内部牵制阶段内部控制源于内部牵制，上世纪40年代以前是内部牵制阶段。1936年美国独立公共会计师协会提出内部控制的定义“为保证公司现金和其他资产的安全，检查账簿的准确性而采取的各种措施和方法。”侧重于财产安全和检查手段。在现代的内部控制理论中，内部牵制仍占有相当重要的地位，是有关组织规划、职务分离控制的基础。（二）会计控制和管理控制阶段到20世纪60年代，在内部牵制的基础上，逐渐产生了内部控制制度的概念。将内部控制划分为内部会计控制和内部管理控制。这个控制包括授权与批准制度、从事财务记录和审核与从事经营或财产保管职务分离的控制、财产的实物控制和内部审计。这一概念使内部控制扩大到企业内部各个领域。并将内部控制划分为内部会计控制和内部管理控制。这个阶段内部控制侧重于财产安全、信息真实，强调会计的控制作用。（三）内部控制要素阶段1988年，美国注册会计师协会发布审计准则公告第55号，提出内部控制结构具体包括三个要素：控制环境、会计制度、控制程序。公告认为区分会计控制和管理控制对审计师非常重要，而且认为这两者是不可分割的，是相互联系的。与此同时，控制环境逐步被纳入内部控制范畴。控制环境是指对建立、加强或削弱特定程序的效率发生影响的各种因素的态度和行为。具体包括：经营者的管理哲学和经营作风、董事会及审计委员会的职能、人事政策和程序等等。（四）内部控制框架阶段COSO报告将内部控制具体内容划分为控制环境、风险评估、控制活动、信息和沟通及监督等五个要素。COSO报告是目前国内外最为权威的内部控制理论，其内涵和外延比以往任何一个内控概念都要深刻和宽泛。内部控制框架结构阶段，强调重视风险评估、信息沟通的控制作用。（五）萨班斯法案萨班斯法案要求建立内部控制责任体系，人人承担责任，公司出了事，一查到底落实到人。要求企业报告内部控制，并对内部控制进行评价，从组织结构入手，有组织就有路径便于落实内部控制工作。 要求CEO、CFO对建立和保持完整的内部控制体系负责；保证已经设计了内部控制体系；保证已经评价了财务报告编制之前90天内的某一日的内部控制有效性；在对外报告中陈述内部控制有效性的评价结论。 向外部审计师和董事会下的审计委员会报告：在内部控制设计或运行中的所有重大控制缺陷；涉及管理层或在内部控制系统中起重要作用的其他雇员的任何欺诈行为；在对外报告中指明，在评价之后内部系统及其重要影响因素是否发生了重大变化以及整改措施。（六）我国内控建设的理论方面1995年，财政部，会计法，单位应该“加强内部会计监督”。2001年，财政部，陆续发布内部会计控制规范基本规范等7项内部会计控制规范。包括货币资金、采购与付款、销售与收款、工程项目、担保、对外投资等六个具体控制规范。2002年，中国人民银行，商业银行内部控制指引。2005年，银监会，商业银行内部控制评价试行办法。 2006年，财政部、国资委、证监会、审计署、银监会和保监会联合发起成立企业内部控制标准委员会。2006年，11月8日，企业内部控制标准委员会发布了企业内部控制规范基本规范和17个具体规范的征求意见稿。2008年6月28日，五部委（没有国资委）联合发布了我国首部企业内部控制基本规范，将于2009年7月1日起首先在上市公司范围内实施。（一）内部控制的目标企业内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。三、企业内部控制的目标和原则企业内部控制的目标要：1.合法性管理和服务活动的合法合规。2.安全性资产安全。3.可靠性财务报告及相关信息真实、完整。4.效率性提高管理服务的效率和效果。5.风险防范排除障碍实现单位发展战略。（二）企业建立与实施内部控制应遵循的原则1.全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。2.重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。3.制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾效率。首先是防范风险，其次才是兼顾运营效率。 4.适应性原则。内部控制应当与行政事业单位的规模、状况和风险水平等相适应，并随着情况的变化及时加以调整。5.成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。内部控制的设计和运行受制于成本与效益原则。成本小于效益，是任何理性的管理活动都必须遵循的法则。四、我国企业内部控制现状及成因 现今国内单位普遍认识到内部控制的重要性，但对内部控制认识不够；侧重于企业外部环境的梳理，而忽视了内部各环节、各岗位的牵制；侧重于经营环节的程序控制，而忽视了企业整体的协调；侧重于内部控制的制度学习，而忽视了执行制度的人的素质提高；侧重于对货币、实物的控制，而忽视了企业文化环境的建设，等等。其主要问题可概括为以下两个方面： （一）控制环境基础薄弱 控制环境是内部控制的基础，直接关系到企业内部控制的执行和贯彻。它涵盖对建立、加强或削弱特定政策程序及其效率产生影响的各种因素，包括企业管理人员的品行、操守、价值观、素质和能力，管理人员的管理哲学、经营观念，企业各种规章制度、信息沟通体系、业绩评价机制等。我国企业在这方面的问题相当严重。 1.思想认识不到位 一些企业尚未建立内部控制制度，或没有成文的内控制度，对于某些职位之间的分工及权力的授予和控制只是领导的主观决定，缺乏明确控制程序和标准；一些企业虽然建立了完善的内部控制制度，但很不健全，忽视了内部控制结构的整体协调，甚至有些领导的意志可以凌驾于制度之上，使得内部控制流于形式；更有甚者，个别企业认为内部控制就是汇总各种规章制度，建立控制机制；这些企业在处理内控与发展、内控与管理、内控与风险的关系的认识问题上，把加强内部控制与发展对立起来。在业务拓展和风险防范的抉择中，侧重于抓规模、抓效益，一味强调所谓的生存发展空间，造成违章违规。2.缺乏有效的现代企业治理机制 在存在多级代理关系的现代企业，我国企业治理方面的问题十分突出，缺乏相互制衡的有效治理机制和监督机制。我国很多上市公司虽然在形式上建立了董事会、监事会，存在独立所有权的企业经理，但在实际中，真正的法人治理结构并未建立，“内部人控制”现象普遍，严重侵害所有者特别是中小投资者的利益。股东大会和监事会的作用难以发挥。 股东大会是公司的最高权利机构，但目前股东大会还不足以成为股东行使权利、参与公司治理的场所，许多中小股东的知情权、质询权无从体现，尤其是在国有股或法人股控股的情况下，国有股股东和法人股股东“一票制胜”，中小股东的权益更得不到切实保护。目前，董事不“懂事”，监事会也只是一个虚职，是一个受董事会控制的议事机构，起不到监督作用。“东方锅炉”的案例，就是董事会在内部控制体系中严重缺位的结果，这对改善内控环境是极为不利的。而我国的宝钢集团在这方面却做的相当不错，给企业自身带来巨大利益和一个健康的发展空间，使企业在激励的竞争中能求得生存和稳定的发展。宝钢在企业制度上采取的主要措施如： 在纵向结构上，实行集中管理的原则，主要表现在如下几个方面：(1)实行集中领导，统一经营，把企业的主要管理权限和业务集中到总厂；(2)机关面向基层，为生产现场服务；(3)各二级（即分厂）的任务就是集中精力搞好生产作业管理；(4)在基层内部，管理重心下移，权力委让，实行以作业长为中心的管理控制体制。 在横向结构上，实行一贯管理原则，主要表现如下：(1)各级领导少设或不设副职；(2)将相关性强的职能部门合并成一贯部门；(3)对部门内部的科室设置进行改组等。在这套管理体系中，现代化的管理控制体制是宝钢现代化管理的核心内容，都是宝钢得以成功的关键因素。因此各企业应当重视对企业的治理机制建立。 3.业务处理程序控制漏洞多 作为内部控制重要组成部分的业务处理程序控制包括业务决策程序控制、业务执行程序控制和信息反馈程序控制三个方面但由于种种原因。我国企业在这三个方面存在着很多的问题、漏洞： 在企业决策中，未经过科学的论证和可行性分析，管理者拍拍脑门就进行企业经营重大决策，而最终导致严重后果的现象俯拾即是；由于业务执行程序控制和信息反馈程序控制不利出现了货币开支审批权制衡制度缺乏，企业高层管理当局滥用职权致使财务收支严重混乱的现象；在办理采购、销售、投资、工程项目等业务中弄虚作假、损公肥私、捞取巨额回扣的现象； 由于财产物资内控管理薄弱，物资购销制度松弛，存货、采购、验收、保管、运输、付款等职责未严格分离，存货的发出未按规定手续办理，也未及时与会计记录相核对，对多年来的毁损、报废、短缺、积压、滞销等不作处理，致使巨额潜亏隐藏在库存中，再加上经济往来中审查制度不健全等，造成国有资产大量流失等现象。4.企业文化建设没有引起足够的重视 企业文化是企业的经营理念、经营制度依存于企业而存在的共同价值观念的组合。企业内部控制制度的贯彻执行有赖于企业文化建设的支持和维护。因为企业文化是培养诚信、忠于职守、乐于助人、刻苦钻研、勤勉尽责的一种制度约束。企业文化是将员工的思想观念、思维方式、行为方式进行统一和融合，使员工自身价值的体现和企业发展目标的实现达到有机的结合，企业文化是一个企业的中枢神经，它所支配的是人们的思维方式、行为方式。 在良好的企业文化基础上所建立的内部控制制度，必然会成为人们行为规范，从而才能很好地解决因制度失灵而产生的种种问题。调查中发现大多数企业都提出了自己的经营理念和宗旨，也重视了企业文化的环境建设，但对企业文化内容以及在内部控制制度建设中的作用知之甚少，很多企业负责人只是在“作秀”。 5.外部监督环境存在漏洞 内部控制重在执行，有的单位虽然内部控制制度建设得较为完善，但由于外部监督环境不到位，内部控制没有得到很好得执行，以至于很多企业出现会计造假行为。如有的单位内部各职能部门都开设银行账户和私设小金库，资金管理严重失控；有的单位甚至发生负债人卷巨额公款外逃的现象。失去了外部监督的权利成了滋生腐败的温床，行政机关、金融系统、工业企业、商业企业等等，几乎年年都有蛀虫发现，造成了国有资产大量流失，国家、人民的利益得不到保障。 6.内部机制不健全 我国企业内部控制活动中最大的一个薄弱环节就是考核奖励机制不够健全、有效。计划可能是好的，但由于没有人去考核，去检查或者说没有认真地去考核、去检查，而只是搞形式，走过场，其执行效果往往很差。无论制度多么先进、多么完备，在没有有效控制、考核的情况下，都很难发挥出它应有的作用。由于管理体制和管理方式的问题，我国企业内部控制的监督很薄弱，管理控制的方法不够先进，内部审计机构没有起到应有的作用。 另外，在内审的职能上，很多企业的内部审计工作仅仅是审核会计帐目，而在内部稽查、评价内部控制制度是否完善和企业内各组织机构执行指定职能的效率等方面，却未能充分发挥应有的作用。例如，巴林银行新加坡分行总经理里森的造假行为，最终导致了巴林银行的倒闭，而这一事件则被称为“不见过程的败落”，其主要原因是巴林银行的监督机制出现了严重的问题。 里森自己也称：“有一群人本来可以揭穿并阻止我的把戏，但他们没有这么做，如果是在任何其他一家银行，我是不会有机会开始这项犯罪的”。组成成员的行为需要得到激励，也需要受到约束和控制。一个历史悠久、地位显赫的大金融机构会轻易地垮掉，里森造假行为之所以能发生并造成如此严重的后果，巴林银行内部监督的不利是最为重要的因素。 （二）企业内部还存在着管理问题 企业内部控制包括内部管理控制和内部会计控制，而我国的内部控制主要是指内部会计控制。在国内许多企业中作为承担内部控制主要部门的财会、审计部门却存在严重的责权不对称现象 1.内审部门形同虚设 内部审计作为内部控制的重要组成部分，是企业改善经营管理、提高经济效益的自我需要。而我国现今许多企业的内部审计并没能真正履行其应有的职能，其存在问题主要有：(1)组建的非自愿性。 众所周知，我国现行的内部审计主要是在行政干预的基础上发展起来的，带有很浓厚的行政命令色彩，而这种过多依靠行政干预建立起来的内部审计机构很难受到企业重视。被调查企业的内部审计人员大多是从财会部门转来的或由财会部门兼任或是从其他部门调来，有的未经过专门培训，缺乏审计专业知识，内审部门成为企业安置干部的一个部门，这种情况下组建起来的内部审计很难发挥其应有作用；(2)独立性不够。 内部审计作为内部控制的再控制，本身就应从第三者的立场上客观公正地对企业的经济监督进行再监督，它的地位应当是超然独立的。而目前对内审部门是界定在“在本单位主要负责人直接领导下，独立行使内部审计监督权，对本单位领导负责并报告工作”。这说明我国内部审计只是服务于企业负责人。 这就造成内部审计既不能监督上司，也不能监督同级，因为企业内部各职能部门都是在企业负责人的直接领导下开展工作的，其各项经营行为尤其是重大行为大多是在厂长经理的授权下进行的，是厂长经理意志的直接体现。在这种情况下内部审计又如何开展工作呢？基于以上两点，内部审计无法在地位上实现超然独立，其工作范围大大受限，也很难赢得威信。内部审计人员成了企业最休闲的一个部门，然而听得最多、最受刺激的一句话就是“有本事查上面去”；(3)对内部审计工作的性质和作用不甚理解。 企业管理人员经常将“内审监督”与“会计监督”混淆不清，使人们产生“企业内部审计没什么意义”的想法。由于指导思想上的误区，多数审计人员未能摆正自己的位置。有些人将自己等同于厂长经理的行为工具，处处依厂长经理的旨意行事，有些则由于工作不好开展而心灰意冷或充当好人，使内部审计形同虚设。 2.责权不对等 权利、义务与责任对等是内部控制的基本原则之一。而目前有关法规中明确内部控制机构既代表国家执行行政监督职责，又要为企业领导加强经营管理、提高经济效益提供服务。这种理论上的双向服务机制将内部控制机构经济责任和义务确定得大于其实际的功能和拥有的权力，只能把内部控制机构置于一个两难的境地。 我国企业内部控制现状的成因 企业内部控制存在问题的成因是多方面的，也决不是“一日之寒”，既有人的素质原因，也有制度原因。 1.所有权与经营权制约失衡使内部控制权责不清 两权分离是现代企业的重要特征，而所有权与经营权的有机制约是现代企业健康发展的前提和保证。从某种意义上讲，内部控制就应当是所有者对经营者的控制，即应当体现所有者的意志和要求。 但实际上，所有权往往是缺位的或虚拟的，经营者实质性拥有了对企业资产的控制权和处置权，明显地出现了所有者对经营者约束不力，形成“该控制的控制不了，能控制的不愿控制”的局面，其结果则会产生经营者滥用职权、谋取私利、独断专行等后果。这样，势必导致企业控制失灵、会计信息依需而做、内部审计形同虚设等等。 2.管理者风险意识淡薄以及企业控制活动弱化 目前我国企业中控制活动有重事后控制轻事前控制，事中控制，重制度建设，轻制度执行的现象。而内部控制正是对企业经营活动进行全方位的控制，特别是在活动进行前要有计划、有比较、有准备；在业务活动进行中要遵循相应的程序，按照事先的人员分工有步骤地进行，并有一定的纠错措施，使业务得以正确的实施； 事后要有反馈、有比较、有监督、有检查，以期减少漏洞、分清责任、赏罚有据。但我国很多企业在内控的执行过程中疏于控制，特别体现在货币资金的使用随意性大，销售、采购业务中弄虚作假，吃“回扣”现象严重以及企业各项决策受领导者个人主观因素决定多，缺乏科学、严肃的论证态度和严格的论证程序等方面。 3.企业文化落后使得执行者与内部控制要求不协调 很多企业并没有形成自己的独立文化，即使规定出各种规章制度来，但没有形成良好的执行氛围，没有很好地将企业制度与文化、习惯、行为标准很好的结合起来。事实已经证明，没有自己的企业文化作支撑，“为控制而控制”肯定是事倍功半的，只要企业发生一小点的变故，如总经理换人，企业就会成为一盘散沙。 企业文化与企业管理的素质是密切相关的。只有管理者有高尚的道德、健康的人格和完善的价值观念，才能影响和激励企业文化的建设。而企业形成独立的文化氛围的基础在员工素质的提高，所以，必须重视和加强对员工的培训教育。但现实情况是员工培训已经步入了“恶性循环”。 如承包经营，租赁经营等形式，股份制企业约束机制不到位等，导致经营者的短期行为，不重视职工的教育培训；企业效益不佳，教育基金没有足够来源，从而职工素质得不到提高，进而导致企业效益再度滑坡，形成恶性循环；教育手段软弱，只重视思想品德、制度宣传的软性教育，而忽视对道德败坏，践踏法制者的硬性规定处罚教育，存在有法不依、违法不究的普遍现象；管理措施不力，对管理者、会计人员、内部审计人员缺乏职业化系统管理，内部激励机制不够完善。4.各种监督机制弱化使内部控制的刚性被扭曲 事实上，企业在经营管理活动中会受到来自企业以外的各种监督机制的约束，为其“保驾护行”。但由于这些监督机制隶属于不同职能部门没有形成一个综合整治的合力，使得监督机制弱化。(1)财政、税务、银行、审计等社会监督机构，在工作中各行其事，未能形成综合监督的合力，对企业的威慑力不够；(2)对审计的独立监督、公正职能未予以充分重视，审计未形成规范化、法制化和经常化。对查出问题的处罚，往往就事不就人，重人情而轻规定，执法的刚性被扭曲。5.所有者与经营者利益上矛盾使内部控制的目的对立 对于所有者来说，他们期望获得真实的企业信息，并据此客观评价企业的经营成果、正确估计其财务状况以便进行未来投资决策；另外，他们还希望能够控制会计政策使其向维护所有者利益方面倾斜，比如贯彻谨慎性原则，足额并加速补偿固定资产成本等，确保自己投入资本的保值与增值。而对于经营者来说，则可能因其不会过多地关心企业长远发展而采取与所有者相反的会计政策，因为在多数情况下他们会更看重短期经营效益给自己带来的利益，这种短期利益驱动体现在会计上则为张扬或夸大经营成果，掩盖决策失误和经营损失，侵占或者损害所有者利益，如提前确认收入，不足额提取费用，在职时的过度消费等。这就必然使得所有者与经营者在内部控制目的上产生严重的分歧，经营者会利用其掌握的实质上的控制权为自己谋取利益，而所有者只能“望洋兴叹”。五、企业内部控制政策解读第一节企业内部控制的目标、原则和要素一、内部控制的目标内部控制是由企业领导层和全体员工共同实施的、旨在提高企业管理服务水平和风险防范能力，促进单位可持续、健康发展，维护社会主义市场经济秩序和社会公众利益，实现行企业服务目标所制定的政策和程序 企业内部控制的目标可归纳为5个方面：1.合理保证企业管理和服务活动合法合规；2.合理保证企业资产安全、完整；3.合理保证企业财务报告及相关信息真实完整；4.提高企业管理服务效率和效果；5.促进企业实现发展战略。二、内部控制的原则单位建立与实施内部控制，应当遵循下列原则：（一）全面性原则内部控制应当贯穿决策、执行和监督全过程，覆盖单位及其所属单位的各种业务和事项。在设计内容上，必须突破会计控制的局限，在一个更为广阔的视野中，结合管理层面去构建内部控制，以确保管理层能有效地付诸管理活动、能有效地利用单位资源，员工有效地从事具体业务的操作，信息使用者能获得相关、可靠的单位信息。在设计对象上，内部控制制度应该包括对人的约束和激励、对各项业务活动的控制。在设计流程上，既应考虑各流程中的风险控制点，又应考虑各控制要素、控制过程之间的相互关联（二）重要性原则内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。管理层应采取恰当的程序去设定支持主体使命的目标，识别影响目标实现的各种风险并进行评估，在单位愿意承受的风险水平和所能接受的目标偏离程度的基础上，采取回避、承担、降低和分担的风险应对措施，使单位目标顺利得以实现。（三）制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。一项完整的经济业务事项，如果是经过两个以上的相互制约环节对其进行监督和核查，其发生错弊现象的几率就很低。就具体的内部控制措施来说，相互牵制必须考虑横向控制和纵向控制两个方面的制约关系。 （四）适应性原则内部控制应当与单位规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五）成本效益原则内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。三、内部控制的要素（一）内部环境内部环境规定单位的纪律与架构，影响管理目标的制定，塑造单位文化并影响员工的控制意识，是实施内部控制的基础。它通常包括下列方面：1.单位的治理结构，比如管理层、核心部门的分工制衡及其在内部控制中的职责权限等；2.单位的内部机构设置及权责分配，尽管没有统一模式，但所采用的组织结构应当有利于提升管理效能，并保证信息通畅流动； 3.内部审计机制，包括内部审计机构设置、人员配备、工作开展及其独立性的保证等；4.单位的人力资源政策，比如关键岗位员工的强制休假制度和定期岗位轮换制度，对掌握国家秘密和其他重要秘密的员工离岗的限制性的规定等；5.单位文化，管理层的诚信和道德价值观，单位全体员工的法制观念等。（二）风险评估风险是指一个潜在事项的发生对目标实现产生的影响。风险评估是指单位及时识别、科学分析管理服务活动中与实现控制目标相关的风险，合理确定风险应对策略。风险评估主要包括目标设定、风险识别、风险分析和风险应对。常用的风险应对策略有：风险规避，即单位对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略；风险降低，即单位在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略；风险分担，即单位准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略；风险承受，即单位对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。（三）控制活动控制活动是指单位管理层根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内的政策和程序。控制措施可概括为7个方面，即不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制。同时规定单位应当建立重大风险预警机制和突发事件应急处理机制。 （四）信息与沟通信息与沟通是指单位及时准确地收集、传递与内部控制相关的信息，确保信息在单位内部、单位与外部之间进行有效沟通，是实施内部控制的重要条件。（五）内部监督内部监督，即单位对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，对于发现的内部控制缺陷，及时加以改进。内部监督是实施内部控制的重要保证，包括日常监督和专项监督。第二节内部环境行政事业单位内部环境一般包括以下内容：诚信和道德价值观念、管理哲学和经营风格、组织机构设置与权责分配、单位文化、人力资源政策、内部审计机构设置。为了更好地了解内部环境，可以对内部环境的主要构成要素进行如下分析一、诚信和道德价值观念诚信和道德价值观念是控制环境的重要组成部分，影响到重要业务流程的设计和运行。内部控制的有效性直接依赖于负责创建、管理和监控内部控制的人员的诚信和道德价值观念。（一）领导的操守和道德价值观念具有杠杆作用诚信的原则和道德价值观，主要取决于单位负责人。负责人要以身作则，并传达给全体员工，将诱发人们不诚实、非法和不道德行为的动机降至最弱。管理者必须立言、立行以昭示其高水平的道德标准。 （二）制定行为准则和其他原则明确可以接受的商业行为，利益冲突的处理方式，员工行为的道德标准并确保这些准则和原则的有效执行。对员工精神规范、仪容仪表、工作纪律、待人接物、环境卫生、组织管理以及违反守则的处理办法等作出规定。（三）管理者对干涉正常程序或凌驾制度行为的态度努力杜绝此类现象的发生。在预算审批、费用支出审批等方面均应建立职责权限的分工和设置不同级别管理层的审批权限。（四）面临不现实的目标的压力管理层在制定关键绩效指标时要考虑适当，过高的不现实的目标会导致员工丧失积极性和舞弊。同时要考虑财务指标以外的指标，例如团结协作、服务意识等工作态度与学识能力方面的指标。二、管理哲学和经营风格管理者的管理哲学和经营风格直接决定了一个单位可能采取的内部控制方式以及内部控制制度的受重视程度。它是控制环境中最基本、最主要的因素。 （一）管理层的主导作用管理层负责单位管理服务活动的运作以及管理策略和程序的制定、执行与监督。控制环境的每个方面在很大程度上都受管理层采取的措施和作出的决策的影响，或在某些情况下受管理层不采取某些措施或不作出某种决策的影响（二）管理理念管理层的理念包括管理层对内部控制的理念，即管理层对内部控制以及对具体控制措施的重视程度。要使控制理念成为控制环境的一个重要特质，管理层必须告知员工内部控制的重要性。同时，只有建立适当的管理层控制机制，控制理念才能产生预期的效果。衡量管理层对内部控制重视程度的重要标准，是管理层收到有关内部控制弱点及违规事件的报告时是否作出适当反应。 （三）管理层的经营风格管理层的经营风格是指管理层所能接受的业务风险的性质。管理层的经营风格影响管理层对待内部控制的态度，影响在处理重大事项时所作的判断。管理哲学和经营风格通常对单位有普遍深入的影响。这些影响是无形的，但可以找到一些积极和消极的标志。（四）机构设置及权责分配单位应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。单位组织结构的设置把实现单位目标所需要的工作进行分解。任何组织在进行机构设置时均需要遵守下列原则：任务目标原则；有效管理幅度原则；分工协作原则；权责对等原则；便于操作原则；动态适应性原则。 机构设置还需要遵循一定的程序：确定组织设计的基本方针和原则；进行职能分析和职能设计；设计组织结构的框架；管理规范的设计；人员配备和训练管理；反馈和修正。 1.资源分配及权利配置的框架建立优化的组织机构和高效的运作程序，明确授权形式和授权对象及组织行为的分配；使用、管理经济资源的权限和责任；在规范前提下高效率的运作实现组织的目标。2.组织结构负责人应当完全理解其控制责任并具备与其职位相称的必要的经验和知识水平。组织结构应既不过分集中也不过分分散，应有利于信息的上行下达并且贯穿所有经营行为。3.权责分配单位应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位，并通过编制内部管理手册使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。组织结构合理，权利责任分配适当，是内部控制发挥作用的前提条件。适当分配职责并下放职权，不同的职责和权限应适当地分配给单位的全体员工，决策权与员工的职责和权限要相关联，应以充分的信息为依据分配职责和权责。管理层根据部门结构、职位说明书、员工的级别以及具体的工作范围和性质分配职责并赋予相应职权 在费用审批方面，应明确规定实行分级审批制度。授权审批人可通过书面形式指定代理审批权人。应建立执行特定职能（包括交易授权）的授权机制，确保每个人都清楚地了解相互关系和责任。对分散经营活动应有充分的监督，有效的权责分配制度有助于形成整体的控制意识。单位职责分配考虑的主要因素包括：（1）在单位内部是否有明确的职责划分，将业务授权、业务记录、资产保管和维护以及业务执行的责任尽可能地分离；（2）数据的所有权划分是否合理；（3）是否已针对授权交易建立适当的政策和程序。（五）单位文化单位在长期的经营实践中形成的共同思想、作风、价值观念和行为准则，是一种具有单位个性的信念和行为方式。单位文化包含四个要素：制度文化、物质文化、行为文化、精神文化。行政事业单位的单位文化主要应包括如下几点：1.价值观念。是指人们基于某种功利性或道义性的追求而对人们（个人、组织）本身的存在、行为和行为结果进行评价的基本观点。价值观不是人们在一时一事上的体现，而是在长期实践活动中形成的关于价值的观念体系。行政事业单位价值观，是行政事业单位全体职工共同的价值准则。 2.精神面貌。精神面貌是基于自身特定的性质、任务、宗旨、时代要求和发展方向，并经过精心培养而形成的成员群体的精神风貌。精神面貌是文化的核心，在整个文化中起着支配的地位。精神面貌以价值观念为基础，以价值目标为动力，对控制哲学、管理制度、道德风尚、团体意识和单位形象起着决定性的作用。3.道德风尚。道德风尚是调整单位与其他单位之间、单位与服务对象之间、单位内部职工之间关系的行为规范的总和。 4.团体意识。团体即组织，团体意识是指组织成员的集体观念。团体意识是单位内部凝聚力形成的重要心理因素。团体意识的形成使单位的每个职工把自己的工作和行为都看成是实现单位目标的一个组成部分，使他们以作为单位的成员而感到自豪。5.单位形象。单位形象是单位通过外部特征和服务表现出来的，被社会公众所认同的单位总体印象，是单位内部要素的集中体现。6.规章制度。规章制度是在实践活动中所形成的，对人的行为带有强制性，并能保障一定权利的各种规定。（六）人力资源政策良好的人力资源政策不但对更好地贯彻和执行内部控制有很大的帮助，还能确保执行单位政策和程序的人员具有胜任能力和正直品行。人力资源政策应当包括下列内容：员工的聘用、培训、辞退与辞职；员工的薪酬、考核、晋升与奖惩；关键岗位员工的强制休假制度和定期岗位轮换制度；掌握国家秘密或重要商业秘密的员工离岗的限制性规定；有关人力资源管理的其他政策。（七）内部审计机构设置单位应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构对监督检查中发现的内部控制缺陷，应当按照单位内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向有关部门报告。根据有关规定，我国内部审计机构按照本单位主要负责人或者权力机构的要求，主要履行的职责包括：（1）对本单位及所属单位（含占主导地位的单位，下同）的财政收支、财务收支及其有关的经济活动进行审计；（2）对本单位及所属单位预算内、预算外资金的管理和使用情况进行审计； （3）对本单位内设机构及所属单位领导人员的任期经济责任进行审计；（4）对本单位及所属单位固定资产投资项目进行审计；（5）对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审；（6）对本单位及所属单位经济管理和效益情况进行审计；（7）法律、法规规定和本单位主要负责人或者权力机构要求办理的其他审计事项。内部审计程序通常包括准备阶段、实施阶段、终结阶段以及后续审计4个环节，应根据管理层确定的职责范围和委托的工作任务对审计项目开展内部审计工作。 第三节风险评估风险评估是辨认和分析与目标实现有关的风险的过程。（一）设置目标行政事业单位开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是单位能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。单位在确定风险承受度时应当考虑的内容包括：法律、经济方面的限制。控制程度。如果单位对结果的控制能力很低或者根本就没有控制能力，那么单位就无法制定较高的风险承受度。风险转移。机会成本。制定较高的风险承受度可能是惟一可能的方法。有时单位无法防范损失，此时，单位别无选择，只能制定较高的风险承受度，必须自己来承担风险。（二）风险识别风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节，主要回答的问题是：存在哪些风险？哪些风险应予以考虑？引起风险的主要因素是什么？这些风险所引起的后果及严重程度如何？风险识别的方法有哪些等。单位的内部风险因素主要有：管理人员的职业操守、员工专业胜任能力等人力资源因素；组织机构、资产管理、业务流程等管理因素；研究开发、技术投入、信息技术运用等自主创新因素；财务状况、现金流量等财务因素；营运安全、员工健康、环境保护等安全环保因素以及其他因素。单位的外部风险因素主要有：经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；法律法规、监管要求等法律因素；安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；技术进步、工艺改进等科学技术因素；自然灾害、环境状况等自然环境因素以及其他因素。（三）风险分析风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断，并确定风险重要性水平的过程，是风险评估的独立环节。风险分析的程序主要包括：分析风险因素、风险事故，捕捉风险征兆，确定风险的存在；分析风险可能性即风险发生的频率；分析风险发生的可能影响。分析的方法是定性和定量技术的结合。定性分析方法是直接运用定性术语描述风险发生可能性的高低以及其对目标的影响程度。定量分析方法是用数量方法描述风险发生可能性的高低以及其对目标的影响程度，大多数是建立在数学模型基础上的。（四）风险应对单位风险应对策略有四种基本类型：风险规避、风险降低、风险分担、风险承受。单位应当综合运用风险应对策略，实现对风险的有效控制。1.风险规避风险规避是单位对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。这是控制风险的一种最彻底、最有力的措施，它与其他的控制风险方法不同，是在风险事故发生之前，将所有风险因素完全消除，从而彻底排除某一特定风险事故发生的可能性， 2.风险降低风险降低是单位在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。3.风险分担风险分担是单位准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。4.风险承受风险承受是单位对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。这也是一种最普通、最省事的风险应对策略。例如，某工商局门口停车场安排人员收费，每年收款总额在20 000元左右，单位安排临时工李某收取，如果为了防止李某贪污舞弊，另外专门安排一个正式员工每日专门复核款项，这时支付给复核人员的工资要远远高于20 000元，显然不符合成本效益原则，因此对于这种存在的舞弊风险单位就应该采用风险承受策略风险应对的四种策略是根据单位的风险偏好和风险承受度制定的，风险规避策略在采用其他任何风险应对措施都不能将风险降低到单位风险承受度以内的情况下适用；风险降低和风险分担策略则是通过相关措施，使单位的剩余风险与单位的风险承受度相一致；风险承受则意味着风险在单位可承受范围之内。（五）风险评估的监督和评价风险的监督和评价过程，包括监督和评价识别风险的充分性，以及针对这些风险所采取措施的恰当性。行政事业单位应设置或指定专门机构，对单位整体的风险评估过程和应对措施进行了解和评价。风险的监督和评价考虑的主要因素可能包括：1.单位是否已建立、沟通整体目标，并辅以具体策略和具体管理服务活动的开展计划；2.单位是否已建立风险评估制度并保证运行，包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要采取的应对措施；3.单位是否已建立某种机制，识别和应对可能对单位产生重大且普遍影响的变化等；4.风险控制管理部门是否建立了某种流程，以识别外部环境、内部环境发生的重大变化。风险应对措施的调整机制是否运行有效。第四节控制活动控制活动是指有助于确保管理者的指令得以执行，合理保证管理服务目标的实现、指导员工实施管理指令、管理和化解风险而采取的政策和程序，属于组织的基础行为。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。一、不相容职务分离控制不相容职务分离控制要求行政事业单位全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。所以单位进行组织规划，首先是要对不相容职务进行分离。 在单位中，通常有6大类主要的不相容职务：1.授权进行某项经济业务和执行该项业务的职务要分离；2.执行某些经济业务和审核这些经济业务的职务要分离；3.执行某项经济业务和记录该项业务的职务要分离；4.保管某些财产物资和对其进行记录的职务要分离；5.保管某些财产物资和使用这些财产物资的职务要分离；6.执行某项经济业务与监督这些经济业务的职务要分离。二、授权审批控制授权审批控制要求行政事业单位根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。授权按照其形式可分为常规授权和特别授权。常规授权是单位在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是对非经常经济行为进行专门研究后作出的