企业内部控制基本规范课程讲义4内部控制设计与评价（Word）

1、内部控制设计与评价概述领导要重视通过ERP系统等，把内控理念固化在流程中。领导重视，领导要负责 第一节内部控制设计 1 / 10一、内部控制设计的原则企业建立与实施内部控制，应当遵循下列原则：（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

2、（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。二、内部控制设计的程序（一）对单位内部结构和外部环境能够进行深入细致的调查。（二）按照系统理论和方法的要求划分单位内部机构。（三）确定所属信息活动过程中的关键环节。（四）形成内部控制的文本规定。三、内部控制措施（一）不相容职务分离控制所谓不相容职务，是指那些如果由一个人担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。不相容职务一般包括：授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等。对于不相容的职务如果不实行相互分离的措施，就容易发生舞弊等行为

3、。不相容职务分离的核心是“内部牵制”，因此，单位在设计、建立内部控制制度时，首先应确定哪些岗位和职务是不相容的；其次要明确规定各个机构和岗位的职责权限，使不相容岗位和职务之间能够相互监督、相互制约，形成有效的制衡机制。（二）授权审批控制授权批准是指单位在办理各项经济业务时，必须经过规定程序的授权批准。授权审批形式通常有常规授权和特别授权之分。常规授权是指单位在日常经营管理活动中按照既定的职责和程序进行的授权，用以规范经济业务的权力、条件和有关责任者，其时效性一般较长。特别授权是指单位对办理例外的、非常规性交易事件的权力、条件和责任的应急性授权。单位必须建立授权审批体系，明确：1.授权审批的范围

4、；2.授权审批的层次；3.授权审批的程序；4.授权审批的责任。单位对于重大业务和事项，应当实行集体决算审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体意见。（三）会计系统控制会计作为一个信息系统，对内能够向管理层提供经营管理的诸多信息，对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等而进行的控制。其内容主要包括：1.依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书，会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师或者财务总监，设

5、置总会计师或者财务总监的单位，不得设置与其职权重叠的副职。2.建立会计工作的岗位责任制，对会计人员进行科学合理的分工，使之相互监督和制约。3.按照规定取得和填制原始凭证。4.设计良好的凭证格式。5.对凭证进行连续编号。6.规定合理的凭证传递程序。7.明确凭证的装订和保管手续责任。8.合理设置账户，登记会计账簿，进行复式记账。9.按照会计法和国家统一的会计准则制度的要求编制、报送、保管财务报告。（四）财产保护控制财产保护控制主要包括：1.财产记录和实物保管。关键是要妥善保管涉及资产的各种文件资料，避免记录受损、被盗、被毁。对重要的文件资料，应当留有备份，以便在遭受意外损失或毁坏时重新恢复，这在计

6、算机处理条件下尤为重要。2.定期盘点和账实核对。它是指定期对实物资产进行盘点，并将盘点结果与会计记录进行比较。盘点结果与会计记录如不一致，可能说明资产管理上出现错误、浪费、损失或其他不正常现象，应当分析原因、查明责任、完善管理制度。3.限制接近。它是指严格限制未经授权的人员对资产的直接接触，只有经过授权批准的人员才能接触该资产。限制接近包括限制对资产本身的接触和通过文件批准方式对资产使用或分配的间接接触。一般情况下，对货币资金、有价证券、存货等变现能力强的资产必须限制无关人员的直接接触。（五）预算控制预算控制的内容涵盖了单位经营活动的全过程，单位通过预算的编制和检查预算的执行情况，可以比较、分

7、析内部各单位未完成预算的原因，并对未完成预算的不良后果采取改进措施，确保各项预算的严格执行。在实际工作中，预算编制不论采用自上而下或自下而上的方法，其决策权都应落实在内部管理的最高层，由这一权威层次进行决策、指挥和协调。预算确定后由各预算单位组织实施，并辅之以对等的权、责、利关系，由内部审计部门等负责监督预算的执行。预算控制的主要环节有：1.确定预算的项目、标准和程序；2.编制和审定预算；3.预算指标的下达和责任人的落实；4.预算执行的授权；5.预算执行过程的监控；6.预算差异的分析和调整；7.预算业绩的考核和奖惩。（六）运营分析控制运营分析控制要求单位建立运营情况分析制度，管理层应当综合运用

8、生产、购销、投资、融资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。（七）绩效考评控制绩效考评控制要求单位科学设置考核指标体系，对单位内部各职能部门和全体员工的业绩进行定期考核和客观评价，并将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗和辞退等的依据。此外，常用的控制方法还有：内部报告控制、复核控制、人员素质控制等。四、有关各方面在内部控制中的职责作用（一）董事会董事会是公司的常设权力机构，向股东大会负责，实行集体领导，是股份公司的权力机构和领导管理、经营决策机构，是股东大会闭会期间行使股东大会职权的权力机构

9、。对外是公司进行经济活动的全权代表，对内是公司的组织、管理的领导机构。董事会由股东大会选出的董事组成。董事一般由本公司的股东担任，也有的国家允许有管理专长的专家担任董事，以有利于提高管理水平。董事会在内部控制中的重要职责表现为：科学选择恰当的管理层并对其进行监督；清晰了解管理层实施有效的风险管理和内部控制的范围；知道并同意单位的最大风险承受能力；及时知悉最重大的风险以及管理层是否恰当地予以应对。董事会负责单位内部控制的建立健全和有效实施。（二）审计委员会审计委员会是董事会设立的专门工作机构，主要负责公司内、外部审计的沟通、监督和核查工作。审计委员会的主要职责包括：审核及监督外部审计机构是否独立

10、客观及审计程序是否有效；就外部审计机构提供非审计服务制定政策并执行；审核公司的财务信息及其披露；监督公司的内部审计制度及其实施；负责内部审计与外部审计之间的沟通；审查公司内部控制制度对重大关联交易进行审计。审计委员会的主要目标是督促提供有效的财务报告,并控制、识别与管理许多因素对公司财务状况带来的风险。公司面临的风险涉及竞争、环境、财务、法律、运营、监管、战略与技术等方面。审计委员会本身无法监管所有这些风险,应该由各方（包括董事会其他委员会）共同合作。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。（三）管理层管理层直接对一个单位的经营管理活动负责。总经理在内部控制中承担重

11、要责任，其职责包括：为高级管理人员提供领导和指引；定期与主要职能部门（营销、生产、采购、财务、人力资源等部门）的高级管理人员进行会谈，以便对他们的职责，包括他们如何管理风险等进行核查。管理层负责组织领导单位内部控制的日常运行。（四）风险管理部门风险管理部门及其人员的职责包括：建立风险管理政策；确定各业务单元对于风险管理的权力和义务；提高整个单位的风险管理能力；指导风险管理与其他经营计划和管理活动的整合；建立一套通用的风险管理语言；帮助管理人员制订风险管理报告规程；向董事会或管理层等报告单位风险管理进展和暴露的问题。（五）财务部门单位的财务活动应当贯穿单位经营管理全过程。财务部门负责人在制定目标

12、、确定战略、分析风险和作出管理等决策时应扮演一个关键的角色。管理层应当赋予财务部门及其负责人参与决策的权力，并支持其关注经营管理的更广范畴，局限财务负责人的关注领域和知悉范围，会削弱、制约单位的管理能力。（六）内部审计部门内部审计部门及其人员在评价内部控制的有效性，以及提出改进建议方面起着关键作用。单位应当授予内部审计部门适当的权力以确保其审计职责的履行；对内部审计部门负责人的任免应当慎重；内部审计部门负责人与董事会及其审计委员会应保持畅通沟通；应当赋予内部审计部门追查异常情况的权力和提出处理处罚建议的权力。（七）单位员工所有员工都在实现内部控制中承担相应职责并发挥积极作用。管理层应当重视员工

13、的作用，并为员工反映诉求提供信息通道。第二节内部控制制度评价 内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。企业应当根据企业内部控制基本规范和内部控制评价指引，结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等，明确相关机构或岗位的职责权限，落实责任制，按照规定的办法、程序和要求，有序开展内部控制评价工作。企业董事会应当对内部控制评价报告的真实性负责。企业实施内部控制评价，应当遵循下列原则：1.全面性原

14、则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。 2.重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。 3.客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。一、内部控制评价内容企业应当根据企业内部控制基本规范、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。（一）内部环境评价企业应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制

15、制度，对内部环境的设计及实际运行情况进行认定和评价。（二）风险评估机制评价企业应当以企业内部控制基本规范有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。（三）控制活动评价企业应当以企业内部控制基本规范和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。（四）信息与沟通评价企业应当以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的

16、安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。（五）内部监督评价企业应当以企业内部控制基本规范有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。二、内部控制评价程序企业应当按照内部控制评价办法规定的程序，有序开展内部控制评价工作

17、。内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。企业可以授权内部审计部门或专门机构（以下简称内部控制评价部门）负责内部控制评价的具体组织实施工作。（一）制定评价工作方案企业内部控制评价部门应当拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权机构审批后实施。（二）组成评价工作组企业内部控制评价部门应当根据经批准的评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应

18、当实行回避制度。企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务。（三）实施现场测试内部控制评价工作组应当对被评价单位进行现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。内部控制测试的方法主要包括：1.个别访谈法。是指企业根据检查评价需要，对被查单位员工进行单独访谈，以获取有关信息。2.调查问卷法。是指企业设置问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对

19、相关项目作出评价。3.专题讨论会法。是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。4.穿行测试法。是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。5.实地查验法。是指企业对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验。6.抽样法。是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。7.比较分析法。是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。（四）认定控制缺陷内部控

20、制缺陷包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。1.企业在日常监督、专项监督和年度评价工作中，应当充分发挥内部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。（1）重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。（2）重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。（3）一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。2.企业内部控制评价工作组应当建立评价质量交叉复核制度，评价工作组负责人应当对评价工作底稿进行严格审核，并对所认定的评价结果签字确认后，提交企业内部控制评价部门。（五）汇总评价结果企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对