继续教育网上辅导《企业内部控制应用指引讲解》1.docx

第一章 企业内部控制规范概论第一节内部控制的产生和发展一、内部控制的概念（一）国外对内部控制的认识人们对内部控制的认识，是随着管理实践的发展而不断深入与发展的。在世界各国中，美国是对现代内部控制研究开展得比较早而且是最富有研究成效的国家之一。因此，内部控制在美国的发展过程基本上代表了现代内部控制演变与发展的主要过程。在美国，人们对内部控制的认识先后经历了“两要素论”、“三要素论”、“五要素论”和“八要素论”等几个阶段。1.两要素论1949年，美国会计师协会（AIA）在内部控制：一种协调制度要素及其对管理当局和独立审计人员的重要性的报告中，首次对内部控制做出了明确定义，认为：“内部控制，包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施的目的在于保护企业的财产，检查会计数据的准确性，提高经营效率，促进企业执行既定的管理政策。”1958年10月，该委员会在审计程序公告（第29号）中进一步将内部控制划分为会计控制和管理控制两个组成要素。 其中，内部会计控制是指与财产安全和会计记录有直接关系的各种控制程序和方法，主要包括财务记录和审核控制、财务财产记录与财产保管的职务分离控制、财产的实物控制和内部审计等。而内部管理控制则是指与企业的经营效率直接相关的控制程序和方法，主要包括业绩报告、员工培训计划和质量控制等。这些控制程序和方法只与财务会计记录有间接性的联系。2.三要素论1988年，美国注册会计师协会（AICPA）在审计准则公告（第55号）（SAS55）中，用“内部控制结构”取代了原先的“内部控制”的提法，并把内部控制结构概括为“为提供取得企业特定目标的合理保证而建立的各种政策和程序”。该公告将内部控制结构划分为三个要素：控制环境、会计制度和控制程序。3.五要素论1992年，“反对虚假财务报告委员会”（COSO委员会）在其研究报告内部控制：一体化框架中，将内部控制定义为“由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程”。该报告将内部控制分为五个要素：控制环境、风险评估、控制活动、信息与沟通、监督。4.八要素论2004年，COSO委员会对内部控制的认识更加宽泛化，将内部控制扩展到风险管理领域，在其研究报告企业风险管理框架中将内部控制的要素进一步扩展为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个要素。由上面的分析可以看出，在国外，人们对内部控制的认识是不断变化的。内部控制是一个动态的概念，今后仍然会继续发生变化。从总体趋势来看，内部控制的范围在逐渐扩大，其由最初侧重于财务会计角度的控制发展到目前包含战略管理、风险管理、绩效管理等在内的管理活动。（二）我国对内部控制的认识我国对内部控制的系统研究大致开始于20世纪80年代末。然而，与美国不同，我国没有类似于COSO委员会这种专门研究内部控制的专业组织。有关内部控制的研究主要是由学术界和会计审计职业管理机构进行的，因而其看法基本上能够代表我国对内部控制的认识和理解程度。我国学术界对于内部控制的理解和概括主要有三种。第一种是内部控制制度论，认为内部控制是为了保证会计信息可靠、企业的资产安全和完整以及经营效率的提高所采用的控制制度，这些制度又包括会计控制制度和管理控制制度两部分；第二种是内部控制结构论，认为内部控制包括控制环境、会计系统和控制程序；第三种是内部控制成分论，认为内部控制主要由控制环境、风险评估、控制活动、信息与沟通、监控等五个成分构成。1996年12月，中国注册会计师协会发布的独立审计具体准则第九号：内部控制与审计风险，将内部控制定义为：内部控制是指被审计单位为了保证业务活动的有效进行，保证资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计数据的真实、合法、完整而制定和实施的政策与程序。二、内部控制产生的主要动因企业管理，从某种意义上来说，其实也是一种有目的的控制行为。在企业经营过程中，实际情况与预想结果经常会出现较大的差异，因此，为了达到特定的目标，就必须在实际经营结果和预定标准之间进行及时对比与分析，以便发现差异，并进行及时补救，从而避免造成更大的损失。内部控制就是基于这种管理思想而在企业内部构造出的一个管理控制系统。其目的是保证会计信息的质量符合会计准则的要求，保证资产安全与完整，保证企业的经营效率不断提高。因此，内部控制是整个企业控制系统中的一个十分重要、不可缺少的子系统。其产生大致源于以下几个方面的原因：（一）内部控制是企业管理当局履行受托责任的内在要求内部控制作为一种管理行为已经有很长的历史，但是作为一个完善的控制系统却是在现代企业制度产生之后才出现的。在现代企业制度下，所有权与经营权分离，资产提供者（出资人）往往不亲自参与对企业的经营管理，而是将企业委托给专门的经理人员经营管理。这样，股东与经理人员之间便形成了一种典型的委托代理关系。受托人也由此而承担了替出资人保管、经营资产并使其增值的责任，会计上称这种责任为受托责任或经管责任。由于股东不直接参与企业的生产经营，并且如果亲临现场，监督成本又比较高，因此，股东在正常情况下根本无法观察到经理人员的具体行动，也不知道受托人是否尽职完成自己承担的受托责任。在这种情况下，受托人（企业实际管理者）就需要编制财务报告，并向委托人提供财务报告以说明自己对所承担的受托责任的完成情况。所以，财务报告便成为受托人报告其受托责任履行情况和解除自己的受托责任的一种最佳方式。然而，现实中，受托人和委托人的利益总是不一致的，受托人可能存在机会主义的倾向，即可能向委托人提供虚假报告以欺骗委托人，从而谋求自己的最大利益。于是，在这种情况下，要想使委托代理关系存在下去，并维持企业的正常运转，就必须有一种信任机制促使受托人和委托人之间相互信任，而内部控制就是这样一种信任机制。因为财务报告是在特定的内部控制制度下产生的，可以说它是内部控制运行结果的产物。如果企业有健全的内部控制，那么企业的财务报告通常不会存在重大问题，委托人完全可以信任财务报告所陈述的内容；反之，财务报告所陈述的相关信息就是不可信的。所以，从这种意义上讲，内部控制就成了维系委托人和受托人之间的信任关系并促使市场经济正常运行的一种保障机制。如果没有内部控制，那么正常的委托代理关系将很难顺利地运行下去，现代企业制度也就无法真正落到实处。（二）内部控制是提高管理效率的需要任何管理行为，都存在着一个成本效益问题。在企业经营中，为了使得企业高效率地运转，企业必须投入相当多的管理成本，如各种管理人员的工资、各种办公费用等等。而较高的管理成本，无论对大企业还是小企业来说，都会成为制约其快速发展和经济效益提高的重要因素。在这种情况下，要想节约和减少管理成本，一个可行的方法就是提高企业管理的例行性和规范性，使得企业的管理行为能够成为一种可以重复进行的例行性工作，可以按照某种操作规范和程序自觉、习惯性地进行下去，而不需要借助前人的经验和其他人的亲自指点。内部控制就是这样一种可以提高企业管理的规范化和例行性的重要手段。因为，通过建立、健全内部控制，企业可以把所有管理工作和工作流程以制度的形式确定下来，从而使企业的管理工作变得程式化、例行化和规范化，这样不仅可以使管理流程更加流畅，大大提高管理效率，而且也可以有效地节约管理成本。（三）内部控制是制度管理思想的产物从时间顺序上考察，现代内部控制与制度经济学的出现几乎是在同一时代。在20世纪40年代之前，在西方企业和我国的企业中，已经存在着内部控制的雏形内部牵制制度。但是，这时候的控制制度还比较简单，很不严密，不是现代意义上的内部控制，或者说不是正规的内部控制。20世纪40年代，在经济学领域出现了一个重要的学科分支制度经济学，并由此带来了管理思想的巨大变化制度化管理。内部控制是在制度管理思想的启迪下，由企业自己建立的基于企业内部管理需要的一系列管理制度、程序和方法的总称。可以说，如果没有制度经济学及其所带来的制度管理思想的影响，内部控制就可能永远停留于内部牵制阶段而不会有现代意义上的内部控制制度的产生。三、内部控制产生的执行范围财政部及相关部门规定，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在主板上市的公司施行的基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。案例简介：被告席上站着响水县供销合作总社原党委书记、主任兼县棉麻公司总经理于某，供销合作总社原副主任罗某，县轧花厂（隶属县棉麻公司）原厂长兼党总支书记陈某等人。就是他们几个人，把一个好端端的棉花销售企业给毁掉了。位于黄海之滨的江苏省响水县，是个产棉大县。响水县棉麻公司，1981年6月组建，作为产棉大县的棉麻公司，其经济效益一直很好，是县里的利税大户，在盐城市供销系统中独树一帜，多次被市政府、县政府评为星级企业。然而，自1997年初，于某担任公司总经理之后，企业经济效益却急转直下。于某任职三年，公司累计亏损5 161万元，剔除政策性亏损因素，亏损额高达3 489万元。截止1999年12月，公司资产总值16 547万元，负债总额19 840万元，已严重资不抵债。那么，公司亏损究竟“亏”在哪里呢？资产、账款随意核销，资金大量流失。根据响水县纪检、检察、审计等部门联合审查的结果，终于揭开了企业亏损的真正原因。调查发现，该公司经营过程中随意核减固定资产、核销坏账损失，造成资金大量流失。1998年末，该公司一次性核减固定资产损失104万元，一辆价值20多万元的桑塔纳小轿车也在其中。其实轿车是转给他人使用了，只是经理为了送人情，未收分文。另外，公司给经理们购置的6部总价值近10万元的手机，也被一次性核减了。至1999年末，该公司的银行贷款额高达15 512万元，而公司应收账款和其他应收款总额高达17 658万元。这巨额的资金占用，使公司不仅要支付高额利息，还要承担沉重的经营风险。于是，从1998年开始，公司着手核销呆账。当年年末一次性核销7个企业的坏账294万元，其中，县轧花厂坏账就达246万元；1999年末又一次性核销坏账931万元。这些坏账仅仅是账龄超过了3年，其中甚至包括某纺织有限公司1998年所欠的棉花销售款114.15万元。近几年，国家对棉花资金的管理很严，要求封闭运行。为了逃避检查，方便用款，1998年初，于某授意一名会计，在某银行开设了一个“股金”账户。该账户只有总经理和一名副经理知道，资金由总经理控制使用。该公司先后10次将棉花销售款200多万元和虚支的棉花运杂费80多万元存到该账户，另外，还将公司正常的往来款，以及下属单位上交的管理费、利润等都存入该账户。至1999年12月底，该账户金额已高达377万元。【案例评析】发生在响水县的这起案件，让我们感到，在建立和完善社会主义市场经济体制的今天，如何进一步强化企业内部控制机制，加强国有资产管理，加大金融监管力度，仍然是每个企业和政府有关部门面临的重要课题。案例中，公司利用违规开设的银行账户，将公司正常的往来款，棉花销售款和虚支的棉花运杂费，以及下属单位上交的管理费、利润等都存入股金账户，形成了一个小金库。这不仅导致了企业资金的流失，而且引发了贪污腐败的违法行为，不法分子利用小金库为小集团牟取私利。截留各种货币资金收入私设小金库常用的伎俩有：（1）收款不入账，进行贪污；（2）涂改发票进行截留；（3）采用编制虚假收款凭证小于原始单据所列金额不一致的手段，隐瞒截留收入；（4）上下勾结，截留不属于正常业务的收入，私设小金库或进行贪污；（5）收、付银行存款时在账户上收付两方均不入账。第二节企业内部控制制度体系的基本框架 2008年5月22日，财政部、证监会、审计署、银监会、保监会 联合发布了财会【2008】7号企业内部控制基本规范，2008年6月12日财政部又发布了财办会20087号企业内部控制评价指引（征求意见稿）、企业内部控制应用指引（征求意见稿）。2010年4月26日，财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会，隆重发布了企业内部控制配套指引（以下简称配套指引）。该配套指引连同2008年5月发布的企业内部控制基本规范，共同构建了中国企业内部控制规范体系。我国内部控制规范体系包括基本规范和配套指引两个层次，配套指引由21项应用指引（此次发布18项，涉及银行、证券和保险等业务的3项指引暂未发布）、企业内部控制评价指引和企业内部控制审计指引组成。其中，应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占据主体地位；企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引；企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。三者之间既相互独立，又相互联系，形成一个有机整体。我国整个内部控制规范体系，以基本规范为统领，以配套指引、评价指引和审计指引等配套办法为补充，以法制为推动，以企业实施为主体，以政府监管和社会评价为保障，以各方面积极参与为促进，共同构成企业内部控制的标准及实施体系。一、企业内部控制基本规范企业内部控制基本规范阐述了内部控制的目标、内部控制的原则、实施体系和内部控制的要素，详见第二章内部控制规范基本规范。二、企业内部控制应用指引企业内部控制基本规范规定了内部控制的基本目标、基本要素、基本原则和总体要求，是内部控制的总体框架，在内控标准体系中起统驭作用，但内控体系的有效实施，还需要一些具有可操作性的具体应用规范。财政部在发布企业内部控制基本规范之后，还发布了企业内部控制应用指引，共18项。应用指引可以划分为三类，即内部环境类指引、控制活动类指引、控制手段类指引，基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。1.内部环境类指引内部环境是企业实施内部控制的基础，支配着企业全体员工的内控意识，影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。内部环境类指引有5项，包括组织架构、发展战略、人力资源、企业文化和社会责任等指引。2.控制活动类指引企业在改进和完善内部环境控制的同时，还应对各项具体业务活动实施相应的控制。为此，我们制定了控制活动类应用指引，包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等9个指引。3.控制手段类指引控制手段类指引偏重于“工具”性质，往往涉及企业整体业务或管理，对企业经济活动起到指导和管理的作用。此类指引有4项，包括全面预算、合同管理、内部信息传递和信息系统等指引。三、企业内部控制评价指引企业内部控制评价指引旨在为企业董事会和管理层对企业内部控制有效性进行评价提供专业规范和指导。内部控制规范在企业的执行运用情况如何，是否还有缺陷，如何改进，以确保内部控制的有效运行，客观上需要进行有效性的评价。企业内部控制评价指引主要内容包括评价的原则和组织、评价的内容和标准、评价的程序和方法、缺陷认定和评价报告等。根据指引征求意见稿的规定，企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。应用信息系统加强内部控制的企业，应当对信息系统的有效性进行评价，包括信息系统一般控制评价和信息系统应用控制评价。企业对内部控制评价过程中发现的问题，应当从定量和定性等方面进行衡量，判断是否构成内部控制缺陷。对内部控制缺陷进行分类分析。内部控制缺陷一般可分为设计缺陷和运行缺陷。同时根据内部控制缺陷影响整体控制目标实现的严重程度，将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷（也称实质性漏洞）。结合年末控制缺陷的整改结果，编制年度内部控制评价报告，作为进一步完善内部控制、提高经营管理水平和风险防范能力的重要依据。企业对于内部控制评价报告中列示的问题，应当采取适当的措施进行改进，并追究相关人员的责任。企业管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。四、企业内部控制审计指引内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。为了规范注册会计师执行企业内部控制审计业务，特别制定了企业内部控制审计指引。国内外一系列公司财务报表舞弊事件发生后，人们认识到健全有效的内部控制对于预防舞弊事件发生至关重要，随着我国法律法规对上市公司和金融机构内部控制建设提出新要求，聘请注册会计师对企业内部控制进行审计成为保证内部控制有效性的关键环节。内部控制审计指引，着重从以下方面就如何做好内部控制审计业务提出明确要求或强调说明：第一，关于审计责任划分；第二，关于审计范围；第三，关于整合审计；第四，关于利用被审计单位人员的工作；第五，关于审计方法；第六，关于评价控制缺陷；第七，关于审计报告出具。企业内部控制审计指引旨在为注册会计师执行企业内部控制审计业务提供专业规范和指导。企业内部控制审计指引规定，注册会计师在制定审计计划时，应当评价下列事项对企业财务报表和内部控制是否具有重要影响，以及对注册会计师程序的影响：（1）注册会计师执行其他业务时了解的内部控制情况； （2）影响企业所在行业的事项，包括财务报告实务、经济状况、法律法规和技术革新；（3）与企业业务相关的事项，包括组织结构、经营特征和资本结构；（4）企业经营活动或内部控制最近发生变化的程度；（5）注册会计师对重要性、风险以及与确定重大缺陷相关的其他因素所作的初步判断；（6）以前与审计委员会或管理层沟通的控制缺陷； （7）企业注意到的法律法规事项；（8）针对内部控制可获得的相关证据的类型和范围； （9）对内部控制有效性作出的初步判断；（10）与评价财务报表发生重大错报的可能性和内部控制有效性相关的公共信息；（11）注册会计师对客户和业务的接受与保持，进行评价时了解的与企业相关的风险情况；（12）经营活动的相对复杂程度。在进行风险评估以及确定必要的程序时，注册会计师应当考虑企业组织结构、经营单位或流程的复杂程度可能产生的重要影响和作用。 第二章企业内部控制规范基本规范 第一节总则 一、基本规范的目的及依据 制定内部控制基本规范的目的是为了引导和推动企业建立健全内部控制，提高企业内部控制与经营管理水平，促进企业健康可持续发展，维护社会主义市场经济秩序和社会公众利益。这也是内部控制规范的总体目标，它对所有的内部控制规范都是适用的。 内部控制规范对其他会计法规的贯彻执行起保证作用，是根据其他有关会计法规制定的，其制定的依据主要有：中华人民共和国会计法、中华人民共和国公司法、中华人民共和国证券法以及其它法规如企业财务报告条例、现金管理条例、固定资产折旧条例等；除了以上述有关法规作为依据外，在制定有关控制规范时也参考国外其他国家内部控制方面的一些做法，如美国COSO委员会的内部控制整合框架等。 二、基本规范的内容与适用范围 基本规范主要规定了企业内部控制的基本目标、基本要素、基本原则和总体要求等内容。基本规范是制定应用指引的基本依据。基本规范适用于中华人民共和国境内的大型企业、上市公司和其他涉及重大公众利益的企业。中小企业和其他有关企业可以参照本规范和具体规范建立健全本企业的内部控制。 三、基本规范的基本目标 （一）内部控制的含义 内部控制是指由企业董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构，以下简称董事会）、管理层和全体员工共同实施的、旨在合理保证实现其基本目标的一系列控制活动。 （二）内部控制的基本目标 所谓内部控制的目标，是指内部控制所要达到的预期效果和所要完成的控制任务。 内部控制的目标主要取决于内部控制本身处的客观环境， 能够控制的范围和人们在设计与执行内部控制时所要达到的主观需求，这三个因素共同决定了内部控制的目标。 客观环境能够控制的范围是客观因素，而人们对于内部控制的主观需求，则是内部控制目标的主观因素，说明了人们期望内部控制能够做些什么事情，满足哪些要求等。一般来说，内部控制的目标必须落在由客观环境能够控制的范围因素所划定的上限和由需求因素所划定的下限共同组成的区间内。 内部控制的总目标是企业所追求的最终目标。这一目标可以概括为实现企业的可持续发展和企业价值最大化，即通过内部控制使企业一要生存、二要发展、三要盈利。 内部控制的基本目标是内部控制总体目标的细化。内部控制的基本目标可以分为以下五项，这也是企业实施内部控制所要完成的具体任务。 1.促进企业实现发展战略 企业战略是对企业各种战略的统称，其中既包括竞争战略，也包括营销战略、发展战略、品牌战略、融资战略、技术开发战略、人才开发战略、资源开发战略等等。内部控制首先必须有助于实现企业的战略目标。战略目标是企业最高层次的目标，是指导和制约战术目标的，企业所有的活动应该围绕着战略目标的实现而进行，内部控制的建立和实施也不例外，如果企业在战略制定方面出现了真空，企业的战术就会迷失方向，企业的损失会更大，巴林银行的倒闭和中航油巨亏事件就是很好的例证，它们并不是没有完善的内部控制，而是在战略制定之时出现了权力真空。 2.提高经营的效率和效果 内部控制有利于提高企业的经营效率和效果。现代企业是一个由多个部门、多种管理层次和多个经营环节所组成的经济组织。在这样的经济组织内部，相互之间的沟通和协调变得非常重要。通常情况下，合理的内部控制能够通过如下三种方式提高企业内部的经营效率和管理效果： （1）内部控制要求组织精简、权责划分明确，使每个人的责任清楚，不能推卸，从而使各个部门和环节密切配合，协调一致，充分发挥资源潜力，充分有效地使用资源，提高经营绩效。 （2）内部控制要求有良好的信息和沟通体系，可以使会计信息包括其他方面的经济管理信息快速地在企业内部各个管理层次和业务执行系统之间流动，从而提高经济决策和反应效率。 （3）内部控制有着与岗位职责相一致的业绩考评制度，可以对经济效益的高低进行准确的考核，并对优秀者予以奖励，对落后者予以惩罚，从而形成有效的激励机制。 3.财务报告及管理信息的真实、可靠和完整 由于在经济业务过程中采取了程序控制、手续控制和凭证编号、复核、核对等措施，内部控制可以使经济业务和会计处理相互联系、相互制约，从而做到内部相互监督，防止错误和舞弊的发生。同时即便发生了错误，也易于自动检查和纠正。实际上，人们建立内部牵制制度的初衷就是为了防范错误和经济舞弊。通过内部牵制，各部门和人员之间相互审查、核对和制衡，避免一个人控制一项交易的所有环节，既可以防止员工的舞弊行为，也能减少虚假财务报告的发生。 4.资产的安全完整 企业的资产，包括有形资产和无形资产，会因为盗窃、滥用和意外损坏而遭受损失。在内部控制实行过程中，不相容业务的分工使授权人与执行人，执行人与记账人，保管、出纳与会计人员，总账和明细账等得以分开，从而形成了一种内部相互牵制的关系；同时加上限制接近财产及内部定期盘点、核对制度等管理规定，在企业财产的收、付、存、用等环节中就建立起了一个严密的控制系统和完整的监控链条，可以有效地制止浪费，防止各种贪污舞弊行为，确保企业财产物资的安全与完整。从一般意义上讲，健全的内部控制，总是可以堵塞漏洞、消除隐患，防止企业资产因浪费、盗窃、无效率使用、不当经营决策等原因而导致损失。 5.遵循国家法律法规和有关监管要求 现实中，企业的经济活动涉及各个方面的经济利益，从某种意义上讲，经济交易实质上就是利益的交换。因此，为了维护正常的交易秩序，防止交易关系人出于自我利益的考虑而不正当地损害其他人的利益，同时也为了降低整个社会的经济运行成本，国家有关部门和企业都制定了相应的法规、制度、条例等以便对有关经济行为加以管理和规范。然而，实际中守法与违法、规范与不规范却是一对孪生兄弟，在企业经营过程和社会经济活动中总是存在着违反法规、制度的现象，因此国家有关法规、制度的落实必须靠内部控制的有效执行来保证。从这种意义上讲，内部控制制度实际上是保证其他制度得以实行的保证性制度安排。 如果企业的内部控制健全有效，经过适当评估，外部监督就可以适当利用内部控制的成果，减少外部监督的投入，降低外部监督的成本，提高外部监督的效率，更好地控制外部监督的风险。 四、内部控制的基本原则 企业建立和实施内部控制，应当遵循以下基本原则： （一）合法性原则 内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。从理论上讲，内部控制的一个重要作用是保证有关法规的落实和实施，因此它本身不能违法。 （二）全面性原则 内部控制在层次上应当涵盖企业董事会、管理层和全体员工，在对象上应当覆盖企业各项业务和管理活动，在流程上应当渗透到决策、执行、监督、反馈等各个环节，避免内部控制出现空白和漏洞。 （三）重要性原则 内部控制应当在兼顾全面的基础上突出重点，针对重要业务与事项、高风险领域与环节采取更为严格的控制措施，确保不存在重大缺陷。 （四）有效性原则 内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。内部控制随着企业内外环境的变化，其控制效果也会发生改变。一些原本效果较好的控制制度，可能会随着环境的改变而失效。因此，企业应当适时对内部控制进行评估，以发现可能存在的重大缺陷，并及时地采取措施予以补救。 （五）制衡性原则 内部控制应当保证企业内部机构、岗位及其职责权限的合理设置和分工，坚持不相容职务相互分离，确保不同机构和岗位之间权责分明、相互制约、相互监督。应避免一个人对某一项业务可以单独处理，或有绝对控制权，而是必须经过其他人或部门的审查、核对，以最大限度地减少错误和舞弊现象的发生。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。 （六）适应性原则 内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求，并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。 （七）成本效益原则 内部控制应当在保证内部控制有效性的前提下，合理权衡成本与效益的关系，争取以合理的成本实现更为有效的控制。如果分工和制衡的成本高于其效益，则不应当采用该项控制。但是，判断一项控制的成本效益有时并非易事，往往需要较多的主观判断。现实中，在判断一项控制是否符合成本效益原则时，应当站在企业整体利益的角度来综合考虑。比如，尽管一些控制措施会影响工作效率，但是对整个企业来讲，如果不采用该项控制，则可能会对企业造成更大损失，那么这种情况下就应该实施该项控制制度。此外，企业应当充分发挥各机构、各部门及广大职员的工作积极性，尽量降低经营运作成本，保证以合理的控制成本达到最佳的内部控制效果。 五、内部控制实施的要求 （一）企业主体 企业应当遵照内部控制的基本原则，将内部控制的基本要素与企业内部的各个层级、各项业务和各个环节有机结合，以确保有效实现内部控制的基本目标。 企业应当根据国家有关法律、行政法规和本规范，结合部门或者系统有关内部控制规定，在对现有经营管理制度、措施及其实施情况进行全面分析、总结的基础上，制定适合本企业业务特点和管理要求、与经营管理制度和措施有机结合的内部控制制度，并组织实施。 企业应当加强对子公司、分公司、分支机构建立和实施内部控制的指导和监督，并将其作为考核子公司、分公司、分支机构负责人业绩的重要依据。 企业应当创造条件，有效利用计算机信息技术加强企业内部控制，逐步实现生产管理系统、营销管理系统、预算管理系统、财务会计管理系统等的信息集成和共享，不断提高内部控制的效率与效果。 （二）管理层 企业董事会应当充分认识自身对企业内部控制所承担的责任，加强对本企业内部控制建立和实施情况的指导和监督。 董事长（或者法定代表人、代表企业行使职权的主要负责人，以下简称董事长）对本企业内部控制的建立健全和有效实施负责。 经理（或者总裁、厂长，以下简称经理）根据法定职权、企业章程和董事会的授权，负责组织领导本企业内部控制的日常运行。 总会计师（或者财务总监、分管财务会计工作的负责人，以下简称总会计师）在董事长和经理的领导下，主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。第二节内部控制的构成要素 企业内部控制涵盖企业经营管理的各个层级、各个方面和各项业务环节。不同所有制形式、不同组织形式、不同行业、不同规模的企业可以结合实际情况，从不同的角度入手建立健全内部控制。但是，建立有效的内部控制，至少包括五个基本要素：内部环境、风险评估、控制措施、信息与沟通和监督检查。 一、内部环境 内部控制的内部环境要素主要包括：治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。 （一）治理结构、内部机构设置与权责分配 健全的治理结构、科学的内部机构设置和权责分配是建立并实施内部控制的基本前提，是影响、制约内部环境的重要因素。 1.治理结构 公司治理结构是公司制度的核心，而规范的公司法人治理结构，关键要看董事会能否发挥作用。企业应当依据中华人民共和国公司法和其他相关法律法规的规定，结合企业章程和实际情况，建立规范的法人治理结构，促进企业内部控制的有效运行。企业有一个积极主动参与的董事会或监督委员会，对其内部控制是否有效是至关重要的。董事会或监督委员会要适当履行其监控、引导和监督的责任，其成员要具有与其职务相适应的知识、才能、经验和才干，其集体应注意其管理的适当程度。为了质询和审视管理阶层的活动，提出不同的观点，面对别人的错误有勇气采取行动，董事会的成员应有一位以上的外部董事，同样也要有适量的外部监事。据有关调查表明，上市公司的董事会成员中，100%为内部董事的公司占有效样本数的22.1%，董事长和总经理一人兼任的公司占总样本的47.7%，由此可见，这种所谓的公司治理结构不过是给中小股民表面上的一个交代而已，几乎没有相互制约的力量。这也是我国上市公司问题频发的重要原因。 2.组织机构设置 企业内部机构的设置应当科学合理，能够适应企业经营管理的实际需要和外部环境的变化，有利于减少管理层级和提高管理效能，避免机构重叠和效率低下，促进内部控制的有效实施。 任何企业要达成其基本目标，必须要以一定的组织结构为基础，进行规划、执行、控制与监督活动。这些活动不仅与价值链相关，即与购买、营运或生产、运输、行销和服务活动相关；而且与管理、人力资源或技术发展等职能有关。要使组织结构适合企业的性质和规模，不仅要有健全的机构，还要界定关键区域的权和责，以及建立适当的沟通与协调渠道。 企业应根据需要建立适当的组织结构，采取集权制也好、分权制也好，直接报告也好、矩阵式报告也好，以及按职能划分也好、按产品划分也好均应取决于企业规模和其活动的性质。此外，各级主管必须具有与其所履行职责相适应的知识、经验和能力。合理的组织结构，明确的授权与责任分配，运用适当的管理控制方法都可大大增强组织的控制意识，有助于建立良好的内部控制环境。 3.权责分配 企业应当根据经营目标、职能划分和管理要求，明确高级管理人员、各职能部门和分支机构以及基层作业企业的职责权限，将权利与责任分解到具体岗位，为内部控制的有效实施创造良好条件。组织内的全部活动要合理有效地分配职责和权限，并为执行任务和承担职责的组织成员特别是关键岗位的人员，提供和配备所需的资源并确保他们的经验和知识与职责权限相匹配。权责如何划分，应根据企业规模大小和作业复杂程度而定。明确规定有关个人或部门的权力和责任，有利于发挥个人或部门的主动积极性，既有利于责任的履行，也不至于越权行事。但其关键是担任一定责任的个人，必须具有相适应的知识和经验，企业还要为其完成其职责提供相应的资源。 将权力下放，而让一线员工拥有一定的决策权，这是现代经营管理发展的一个趋势。企业之所以采取该种策略，可能是基于市场的导向，或强调质量，或可能想消除劣质品、缩短循环时间，或提高顾客的满意度。 为实现上述目标企业必须能辨认市场里机会优先的顺序、营运关系和大众期望的改变，并作出相应回答。所谓“授权”，是指把某些营运决策的中枢控制权交付给较低层级的员工，即那些最接近每日例行营运交易的个人。如授权某些员工按折扣价出售商品、协商长期供应合约、特许或专利权，或加入合资经营或联营。以鼓励员工在授权限度内采取主动工作的精神。 授权时，要注意所付出的权力一定有利于目标的达成，所接受的风险为最小，有利于最佳营运决策。同时，要确保所有员工都了解企业的目标、自身工作与目标的关系以及本职工作对目标实现的重要程度。授权程度的增加，是组织结构与管理层次趋于扁平化的需要和信息畅通的需要。其关键在于激励创造、主动与迅速作出反应的能力，以有效提高竞争力和顾客满意度。随着授权程度增加，不仅要求员工适应度提高、责任加重，而且需要管理阶层采取更有效的监督。伴随着市场导向的决策方式出现，授权方式下移和增加，可能会使决策不当或预期外决策数量增加。每个人能否认识到自己工作对他人负责的程度，将对控制环境产生重要影响。如最高管理阶层应认识到他们对企业内所有活动均负最高责任，其中也包括对内部控制制度负责。 （二）企业文化 企业文化是指企业在经营管理过程中形成的、影响企业内部环境和内部控制效力的精神、意识和理念，主要包括企业的整体价值观，高级管理人员的管理理念、经营风格与职业操守，员工的行为守则等。 1.价值观 企业管理层有责任在企业范围内培育健康向上的整体价值观，培养社会感和遵纪守法意识，倡导爱岗敬业、进取创新、团队协作和遵规守纪精神。 积极而健康向上尤其是重视内部控制的企业文化，能够借助价值观念等软环境使自己的员工得到自律和他律，从而矫正其价值和目标，规范其行为，解决员工个体的价值、目标、行为与组织的价值、目标之间的矛盾，解决被控制者与控制者之间的矛盾，使个体的价值、目标与组织的价值、目标相一致。企业文化还应当倡导职工爱岗敬业，并能够借助尊重人并发挥人的主观能动性的氛围来激励员工，使其产生心甘情愿地为本企业献身的内在动力。 2.管理理念和经营风格 管理层应当树立有利于实现企业内部控制目标的管理理念和经营风格，强化风险意识，避免因个人风险偏好可能给企业带来的不利影响和损失。 管理层的管理理念和经营风格，直接影响着管理企业的方式，其中包括企业承受经营风险的种类。 如果一个企业有接受重大风险的准备，并且能成功地接受风险，与另一个冒险投机，却又经济困难、或被主管机关约束的企业相比较，他们在内部控制方面的外在和内涵一定会有诸多不同之处。 一个采用非正式管理的公司，可能主要以经理人之间面对面的接触方式来控制其运行；而一个采用正式管理的公司，则可能较多地依赖书面的政策、制度、指标与报告等，来控制其营运。 构成管理理念和经营风格的其他要素，还包括管理层所采取的财务政策与对财务报导的态度：如采用积极的财务政策，还是采取稳健的财务政策；对资料处理、会计与人事部门采取谨慎的态度等。 3.职业操守 企业应当根据高级管理人员、中层管理人员和一般员工的职责权限，结合不同层级人员对实现企业内部控制目标的影响程度和不同要求，分别制定适合不同层级人员的职业操守准则或者行为守则，并明确相应的监督约束机制。高级管理人员应当恪守以诚实守信为核心的职业操守，不得损害投资者、债权人、客户、员工和社会公众的利益，有责任制定并完善信息披露管理制度，明确重大信息披露事项的判定标准和报告程序，确定信息披露事项的收集、汇总和披露程序，不断强化为投资者、债权人和社会公众提供真实、可靠、完整的会计信息及依法应当披露的其他信息的法制意识和责任意识。 （三）人力资源政策 内部控制是由人来进行 并受人的因素影响，保证组织所有成员具有一定水准的诚信、道德观和能力的人力资源政策，是内部控制有效的关键因素之一。企业的人力资源政策应当科学、规范、公平、公开、公正，有利于调动员工在内部控制和经营管理活动中的积极性、主动性和创造性。 1.员工的聘退与培训 企业应当将职业道德素养和专业胜任能力作为选拔和聘用员工的重要标准，并适当关注应聘者的价值取向和行为特征是否与本企业的企业文化和内部控制的有关要求相适应。企业在招聘新员工方面，既要考虑学历、经验及过去成就，还要考虑操守和有道德的行为。企业不仅需要有适应能力的人员，更需要值得信赖的人员。企业在招聘人员时，不仅需要进行笔试，还要进行深度的面谈，甚至还把企业的历史、文化和经营风格等项目，向应征者作深入介绍，以暗示企业对新员工的期望和嘱托。对员工训练的目的，是为了向员工说明企业对员工的要求，以及员工应达到的目标和应遵循的行为标准，即是告诉新员工未来将扮演的角色及责任。 企业应当重视并加强员工培训，制定科学、合理的培训计划，提高培训的针对性和实效性，不断提升员工的道德素养和业务素质。对员工进行后续教育和训练，是为了使原有的员工能适应问题的改变、新问题出现及问题复杂程度提高等方面的变化，无论采取什么样的训练方式， 均要使员工有能力与发展中的环境相适应。 2.员工的薪酬、考核、晋升与奖惩 企业应当建立和完善针对各层级员工的激励约束机制，通过制定合理的目标、建立明确的标准、执行严格的考核和落实配套的奖惩，促进员工责、权、利的有机统一和企业内部控制的有效执行。企业应根据定期考核和评价的结果决定员工的调动和升迁，以及是否给予奖励和奖惩程度。企业一定要实现对合格人员升迁至担负重要责任层级的承诺，一定要奖励成绩卓越者，一定要惩戒违反预期行为者，并且要将不予姑息的信息传达到全体员工。 3.财会等关键岗位员工的轮岗制衡要求 防止人事风险的发生，是人力资源管理的一项重要任务，它可以通过岗位轮换来实现，这以关键岗位人员岗位轮换为代表。关键岗位人员轮岗制衡就是指为了消除小团体、避免一些要害部门的人员因长期在一个部门而滋生腐败的一种岗位轮换，它的两大职能就是预防和备份。企业应该做好关键岗位如财务类的岗位中的出纳员与会计员轮换工作。 4.对掌握重要商业秘密或核心技术等关键岗位员工离岗的限制性规定 当今社会，许多侵犯商业秘密事件的发生，与人才的频繁流动有密切关系，因此，建立健全竞业禁止制度已属当务之急。所谓竞业禁止，又叫“竞业避止”，“同业禁止”，是指企业的技术人员、营销人员以及其他掌握、知晓商业秘密的员工，在本企业任职期间和离职以后的一定期间内，不得从事与本企业相同、相似的业务，以及在有业务竞争关系的企业从业的限制。内容包括：在职期间不得在竞争企业兼职；不得自行组织公司，在同类业务范围内与雇主竞争；离职时不得带走雇主客户和其他保密信息，离职后的一定时期内不得与原雇主同业竞争等。另一方面，因涉密员工多为企业技术骨干，就业定向性强，竞业禁止的约定会导致他们的实际收入或机会收入受到损失，本着公平等价的原则，原企业应给予合理的补偿，以保持其经济利益的平衡。 （四）内部审计机制 内部审计是企业自我独立评价的一种活动，内部审计可通过协助管理当局监督内部控制政策和程序的有效性，也是营造守法、公平、正直的内部环境的重要保证。企业应当加强内部审计工作，在企业内部形成有权必有责、用权受监督的良好氛围。 1.审计委员会 在董事会下设立审计委员会的企业，应当保证审计委员会成员具备良好的职业操守和专业胜任能力，审计委员会及其成员应当具有相应的独立性。审计委员会应当直接对董事会负责。上市公司的审计委员会主席一般应由独立董事担任，非上市公司的审计委员会主席应由独立于企业管理层的人员担任。 2.内部审计机构 设立专门的内部审计机构的企业，应当保证内部审计机构具有相应的独立性，并配备与履行内部审计职能相适应的人员和工作条件。内部审计机构的组织领导体制，依照法律规定和企业章程确定。内部审计机构不得置于财会机构的领导之下或者与财会机构合署办公。内部审计机构依照法律规定和企业授权开展审计监督，其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题，视具体情况，可以直接向审计委员会或者董事会报告。内部审计人员应当具备内审人员从业资格，拥有与工作职责相匹配的道德操守和专业胜任能力。 对内控情况进行监督评审犹如设立一道道防线，这包括从整体水平上和从业务活动水平上对内控进行持续性的或分别单独的评审。 （1）第一道检查监督的防线就应由经营管理部门的各级负责人监守，包括设置和执行岗位内部和岗位之间的相互牵制，进行前后台和部门之间的平衡制约等等，并应不断在日常工作中监督评审内控的整体效果。他们要对内控的情况和问题及时进行分析和研究，把大量主要的风险问题在第一道防线予以切实解决。这里，他们不仅要深刻地自我评价所开展的控制活动，还要提出改进控制和进一步化解风险的措施，并交上级主管验证。这种自我评价要规范化和制度化，必要时应实行离岗检查和交叉检查的制度。 （2）财会部门应当形成化解风险的第二道防线，财会人员负责行使后台监督的重要职能。业务的每一项收付和债权债务的发生都会在帐面上反映出来，这本身就是一种监督；会计人员在会计核算中保证这种反映的真实、准确和完整，并有责任以会计资料为依据，控制企业经济活动按预定计划目标进行，并报告所发现的违法违规的财务事件；财