《内部控制与风险管理（第二版）》第二章内部控制要素

第二章内部控制要素01第一节内部环境第三节控制活动第四节信息和沟通第二节风险评估第五节内部监督第一节内部环境1992年COSO委员会《内部控制整合框架》：控制环境、风险评估、控制活动、信息和沟通、监督2004年COSO委员会《企业风险管理整合框架》：“内部环境”取代“控制环境”2008年我国《企业内部控制基本规范》：控制环境、风险评估、控制活动、信息与沟通、内部监督。“内部环境是企业实施内部控制的基础，

一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。”

内部控制环境主要包括：1、人员的品德操守与素质；2、管理者的经营风格与经营理念；3、组织结构；4、人力资源政策与程序

一、人员的品德操守与素质“人”——载体双重角色：内部控制主体；内部控制客体例：某大学经济学院的办公室主任于2001年底携款逃跑。从了解到的情况来看，

学院的用人失察应该是重要原因。因为几年前这位办公室主任担任饭店经理期间，

曾发生过挪用公款十万余元的问题，

让这样的人担任有机会大量接触货币资金的岗位显然是不合适的。

一、人员的品德操守与素质中国与西方价值观比较企业内部控制环境的建立要充分考虑到的实际，

符合传统文化的价值及行为取向，

坚持“以人为本”的设计思想和管理思路。

二、管理者的经营风格与经营理念“人治”管理者的个人品德与价值观甚至脾气秉性影响内部控制实施效果。小心谨慎、循规蹈矩的管理者粗心大意、滥用职权的管理者开明民主的管理者独断专行的管理者精打细算的管理者挥霍浪费的管理者二、管理者的经营风格与经营理念授权和分配责任的方法管理者需要有效的组织和管理机构来计划、指导和控制企业的经营活动和信息系统。

监督和监控企业的内部报告关系和责任的理解需要明确的授权和分配责任，

否则将会削弱财产和会计记录的可追溯性，

并可能导致控制错误、舞弊和失败。管理者对企业的控制力监督和监控的缺乏会增加财务报告的风险。

管理者对企业的控制力表现三、组织结构包括组织机构设置、职责权力分配、人员在组织中处于什么位置、他们承担什么样的责任或拥有什么权力等适当的组织结构：集权控制；分权化管理；半分权化；健全的机构（硬要素）：

例：对于规模大，

技术含量高，

知识、技术人员云集的企业，

通过设立薪酬委员会进行管理层持股及股票期权问题的研究，

能够提高薪酬计划的科学性，

加强薪酬计划执行的透明度和监控力度。对于规模较小的企业，

如果设立这样的控制机构，

就违背了成本效益原则，

增加了管理成本，

不利于企业的发展。

职责权力分配及岗位设计（软要素）：例：推行职务不兼容制度，

杜绝高层管理人员交叉任职

四、人力资源政策与程序我国《企业内部控制具体规范（征求意见稿）》强调人力资源政策包括岗位职责和人力资源计划、招聘、培训、离职、考核、薪酬等一系列有关人事的活动和程序。要求企业在制定并实施人力资源政策的过程中，

至少应当强化对以下关键方面或者关键环节的风险控制，

并采取相应的控制措施：

(1)岗位职责和任职要求应当明确，

人力资源需求计划应当合理；

(2)招聘及离职程序应当规范，

培训工作应当以提高员工道德素养和专业胜任能力为目标；

(3)人力资源考核制度应当科学合理，

能引导员工实现企业经营目标；

(4)薪酬制度应当能保持和吸引优秀人才，

薪酬发放标准和程序应当规范。

第二节风险评估“9·11”事件中，

恐怖分子袭击了美国世贸中心，

却有上千人幸免于难。在世贸中心建设过程中，

风险评估表明楼梯过窄，于是改动了设计，

正是这一行为拯救了许多人的生命。风险评估的目的：

（1）了解和评价企业经营环境及经营现状；

（2）提出组织发展的安全需求；

（3）选择最佳的风险控制措施；

（4）建立安全管理体系；

（5）制定有效的安全策略。风险评估体系分为三个步骤：

风险确认识别、风险分析与评估、风险应对。

一、风险确认识别（一）风险的分类从来源上分外部内部从企业能否控制来分可控风险不可控风险从风险导致的结果来分纯粹风险投机风险一、风险确认识别（二）风险产生的原因以及风险对企业经营可能产生的影响企业的风险来源亦即风险产生的原因采用定性分析方法分析：

（1）列举法

（2）关联树法：图解

（3）头脑风暴法

（4）德尔菲法一、风险确认识别（三）识别内部风险与外部风险内部风险应关注：（1）董事、监事、经理及其他高级管理人员的职业操守，

员工专业胜任能力等人力资源因素。（2）组织机构、经营方式、资产管理、业务流程等管理因素。（3）

研究开发、技术投入、信息技术运用等自主创新因素。（4）财务状况、经营成果、现金流量等财务因素。（5）营运安全、员工健康、环境保护等安全环保因素。

一、风险确认识别外部风险应关注：（1）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。（2）法律法规、监管要求等法律因素。（3）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。（4）技术进步、工艺改进等科学技术因素。（5）自然灾害、环境状况等自然环境因素。二、风险分析与评估风险分析与评估是在风险识别的基础上，

对有关因素进行量化，

计算出风险概率、风险后果和风险值。风险分析与评估的结果是风险应对的主要依据，

是企业决定如何管理和控制风险的基础。《企业内部控制基本规范》规定，企业应当采用定性与定量相结合的方法，

按照风险发生的可能性及其影响程度等，

对识别的风险进行分析和排序，

确定关注重点和优先控制的风险。

三、风险应对企业应当根据风险分析结果，

结合风险承受度，

权衡风险与收益，

确定风险应对策略。风险规避企业对超出风险承受度的风险，

通过放弃或者停止与该风险相关的业务活动以避免和减轻损失风险降低企业在权衡成本效益之后，

采取适当的控制措施降低风险或者减轻损失，

将风险控制在风险承受度之内风险分担企业借助他人力量，

采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内风险承受企业对风险承受度之内的风险，

在权衡成本效益之后，

不准备采取控制措施降低风险或者减轻损失第三节控制活动一、授权管理授权，

又称委托式领导，

是指管理者将自己一定的职权授予下属去行使，

使下属在其承担的职责范围内有权处理问题，

做出决定并为管理者分担相应责任。授权是员工参与管理的最高形式。授权管理是指在处理企业内部各项事务时，按照一定标准对授权活动、程序及权限进行规定，

经过授权批准加以控制，

明确责权利关系，

使授权在有序、合理、安全的范围内进行。明确一般授权与特定授权的界限和责任明确每类业务的授权批准程序建立必要的检查制度（事前、事中、事后）一、授权管理授权是责权利对等的一项管理内容。授权管理在带来权力的同时要求承担相应的责任。授权管理要遵循以下原则：

（1）决定什么事要授权出去。

（2）选择合适的授权对象。

（3）授权不是授责，

授权之后，

管理者不仅对未移交的职权负有全部责任对已经授权移交的职权也负有同样责任。

（4）授权要明确任务职权6W(谁、什么、何时、何地、为什么、怎样)。

（5）分步骤地授权。

（6）把握进度，

定期检查，

制定详细的授权计划，

对经验不够丰富的员工要定期与之沟通，

观察进度并提供必要的协助。

（7）设定绩效标杆进行管理和考核。

（8）强调结果，

而不要过多地关注过程。

一、授权管理AES是一家总部位于美国弗吉尼亚州阿灵顿的全球电力公司，

于1981年创立。多年来，AES公司将授权作为企业决策的一项重要内容。首先，AES公司的组织结构及工作方法确保权力在整个公司得到分配和制约，公司的组织方式赋予员工权力和责任去做重大决定，并有相应的信息反馈系统对结果进行评估与监督。为此，公司建立了动态的管理系统，其中之一就是岗位轮换。其次，公司建立起战略信息系统，作为实现有效授权的保证。最后，

该公司通过适当的人力资源管理方法完成授权对象的选择和培训。在招聘过程中，AES公司将技术能力放在第二位而主要侧重文化上的适应性。面试的主要目的是确定候选对象“是否渴望承担决策责任”，

即是否愿意为所有的后果全权负责。

案例二、职责划分职责划分就是根据责权利相结合的原则，

明确规定各职能机构的权限与责任，

并根据各职能机构的经营任务与特点划分岗位。

编制组织结构图职责划分表职位说明书授权规定独立责任要点二、职责划分作用：通过职责划分可以在一定程度上预防和及时发现企业执行中所产生的错误行为，

达到内部控制的两项目标：

保障财产安全，

验证会计资料的正确性与可信赖度。在职责划分后，

由于工作的专业化，

在自己的职责范围内工作不必请示，

无法推诿责任，

提高了工作效率，

这也是内部控制期望实现的目标。

三、业务流程及操作规程业务流程是企业对内部所有业务处理手续和程序的规定。操作规程详细规定每个事项怎么操作。流畅原则业务流程中信息流、资金流、物流、人力资源流中的任何一个环节都必须衔接适当，不能出问题简单原则流程尽可能简单，节点越少越好，以减少资源流动时的衰减制约原则流程中的每一环节要互相制约，

当一个环节出现问题时，

与其相邻的环节能把问题暴露出来，

并及时将信息反馈到相应的解决问题的机构业务流程设计三、业务流程及操作规程企业业务流程体系是一个系统，

具有一定的层次结构。一般来说，

它在横向上表现为各个业务流程具有不同的功能，

在纵向上表现为流程的层次性。迈克尔·波特教授价值链模型：

基本活动和辅助活动。基本活动能增加企业的产出和顾客的效用，

而辅助活动支持目前和未来的基本增值活动。企业的业务流程在功能上包括三种：

战略流程、经营流程和保障流程。企业通过战略流程规划和开拓未来，

包括战略规划和新流程开发等。企业通过经营流程实现其日常功能，

如赢得顾客、满足顾客、提供顾客支持等。保障流程是指为战略流程和经营流程顺利实施提供保障的流程，

如人力资源管理、信息系统管理、知识管理等。

三、业务流程及操作规程操作规程规定了各流程环节中包括的具体工作怎样操作，

一般分为两种类型：

管理规程和作业规程。不同的企业有不同的业务要求，

不能一概而论。四、业务记录业务记录是企业为反映和控制各项生产经营业务而以文字形式对业务活动的发生、进展和结束的全过程所进行的记载，

其功能是传递有效信息。准确的业务记录是管理的重要保证和确保企业高效运行的重要手段。常见的业务记录包括业务活动的授权与接收记录、生产调度单、会计信息记录等。业务记录应完整、准确、及时。五、规章制度规章制度是企业各项管理工作和生产劳动的规范和准则。一个公司要实现组织目标，一套组织管理规章制度是必要的措施和手段之一。但是，公司管理者必须明白“制度≠管制”。制定规章制度绝不是出于约束和处罚员工的目的，而是以尊重人为出发点，来营造一个公平、人性化、鼓励创新的工作环境。规章制度规定了企业员工在生产经营活动中应该完成的工作内容、遵守的工作程序和使用的工作方法，是全体员工应当遵循的行为准则，对员工来说具有一种强制约束力。六、控制标准控制标准是指所有内部控制制度均应遵循和达到的要求，它是内部控制执行、评价、考核的依据。标准设定是控制活动的一个重要原则。有了工作标准，每个员工从事业务活动就有了努力的目标，同时企业能客观考核工作绩效，达到提高工作效率、激励员工的目的。设定标准要遵循以下原则：

（1）标准要合理化。

（2）标准必须明确。

（3）标准必须公正。

（4）标准必须具有激励作用。第四节信息和沟通一、信息（一）信息概念与分类信息是指所有与企业生产经营相关的资讯及其附带产生的信息系统。

内部信息财务信息运营信息人力资源信息资本运作信息外部信息政策法规信息经济形势信息监管要求信息市场竞争信息行业动态信息客户信用信息一、信息（二）信息的储存与传递信息存储是将获得的或加工后的信息保存起来，

以备将来应用。信息存储前要回答：为什么要存储这些信息，

以什么方式存储，

保存在什么介质上，

将来有什么用处，

对决策可能产生怎样的效果等“只有正确舍弃信息，

才能正确使用信息”信息传递是指人们通过声音、文字或图像相互沟通消息。包括什么人向谁说什么，

用什么方式说，

通过什么途径说，

达到什么目的等。

译出译进反馈基本环节一、信息（1）传达人信息传递过程中，

由传达人选择信息及传达渠道。信息效果好坏

一般取决于三个因素：

专门性、可信性和可视性。（2）译出传达人要把信息传达给预期的对象，

应考虑运用什么方式引起接收人的注意，

并且使信息得到正确的理解，

即“译出”，例：推销人员（3）传达途径传递信息的手段：面谈、媒体（报刊、电视、广播、信件）等（4）译进传达人将信息传递给接收人后，

接收人有一个理解问题，

即“译进”（5）反馈传达人把信息传出后，

必须了解信息对于接收人的影响，

了解接收人对这一信息的态度和拟采取的行动

一、信息（三）信息的获取内部信息的获取财务会计资料经营管理资料调研报告内部刊物外部信息的获取行业协会组织社会中介机构业务往来单位市场调查来信来访网络媒体监管部门二、沟通（一）沟通概念和分类沟通是把信息从一方传到另一方的过程，

是为了达到某种目标或实现头脑中的一些想法，

如传达信息、提出要求、进行劝说或表达善意等。摩托罗拉：有效的沟通和反馈。“建议箱”、“畅所欲言箱”沟通组织内部沟通正式/非正式组织外部沟通二、沟通（1）内部沟通各管理层级的沟通各责任单位间的沟通业务环节间的沟通（2）外部沟通与投资者、债权人的沟通与客户的沟通与供应商的沟通与中介机构、监管部门的沟通二、沟通（二）沟通的障碍个人障碍自我认知的偏误已有经验的影响语言障碍沟通双方地位的差异情绪的影响组织障碍准备不足目标模糊时间带来的压力信息过载信息过滤二、沟通（三）有效沟通（1）提高就员工的任务和控制责任进行沟通的有效性。（2）建立可用来报告不当可疑行为的沟通渠道。（3）提高管理层对员工提出的改进建议的接受程度。（4）加强组织内各部门间沟通的适当性。（5）提高与顾客、供应商和其他外部各界进行沟通的开放性和有效性。（6）加强外界对本企业道德标准的知晓程度。（7）提高管理层采取追查行动的及时性和适当性。三、信息技术和信息控制（一）信息技术带来的变革（1）信息传递模式发生根本性改变（2）企业各个职能子系统实现有机统一（3）资源配置得到优化（二）信息控制信息控制是指与程序设计、运行维护、数据处理过程、硬件设备等相关的可靠性控制制度。信息控制包括一般控制与应用控制。企业应从下列方面加强信息控制：（1）组织体系的设置；（2）职责分离控制；（3）信息系统开发、变更与维护控制；（4）信息系统访问安全控制；（5）强化对会计信息的管理；（6）内部监控控制；（7）强调信息控制框架中的“软控制”第五节内部监督一、内部监督和审计委员会内部监督是指企业对内部控制建立与实施情况进行监督检查，

评价内部控制的有效性，

发现内部控制的缺陷，

并及时加以改进。我国《企业内部控制基本规范》规定：企业应当根据本规范及其配套方法，制定内部控制监督制度，

明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。该规定的含义包括三个方面：首先，

企业在健全内部控制时首先健全内部监督机构，一般是指建立企业内部审计机构，如内部审计委员会，

也可以是内部审计委员会委托的有关部门或外部审计机构。其次，内部监督机构的职责权限有一个更高的层次，如高于管理层（执行层），直属于治理层（决策层）。最后，规范内部监督的流程，

制定相应的监督程序、方法和标准等，防止监督体制形式化，未得到真正的执行。一、内部监督和审计委员会审计委员会是董事会设立的专门工作机构。主要目标是督促提供有效的财务报告，并控制、识别与管理给公司财务状况带来的风险。审计委员会主要职责：（1）审核和监督外部审计机构是否独立客观及审计程序是否有效；（2）就外部审计机构提供非审计服务制定政策并执行；（3）审核公司的财务信息及其披露；（4）监督公司的内部审计制度及其实施；

（5）负责内部审计与外部审计之间的沟通；（6）审查公司内部控制制度，

对重大关联交易进行审计。二、内部监督的类型我国《企业内部控制基本规范》第44条将内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果和日常监督的有效性等予以确定。美国COSO报告认为监督由实时评价内部控制执行质量的程序组成。包括持续监督、独立评价，或是两者相结合对内部控制运行进行监控。持续监督和独立评价相结合，能够保证内部控制体系在一定时期内有效。二、内部监督的类型美国COSO报告中的持续监督活动主要涉及以下七个方面：（1）在日常活动中获得内部控制执行的证据。（2）外部反应对内部信息的印证程度。（3）定期核对财务系统的数据与实物资产。（4）对内外部审计师关于加强内部控制的措施做出响应。（5）培训、会议等对内部控制有效性的反馈。（6）定期询问员工是否理解并执行了公司的道德准则，

是否实施了内部控制活动。（7）内部审计活动的有效性。

日常监督持续监督二、内部监督的类型独立评价是内部审计、监察等部门从独立性角度出发，对内部控制系统进行审核的过程，主要关注的是系统的设计和运行的有效性。（1）评价范围和频率：视被控制对象的风险大小及控制的重要性而定一般来说，风险重要性高的控制，应经常进行评估；对整体控制评估的次数通常要少于对特定控制评估的次数。（2）评价主体通常评估以自我评估的形式进行，

即由单位或职能部门的负责人进行评估。内部审计机构是单位进行内部控制评估的主要力量，管理层在考核内部控制是否有效时，

可以借用外部审计的力量。

专项监督独立评价二、内部监督的类型（3）评价过程评价者必须了解涉及的每项作业及每个内部控制制度的组成要素；评价者应了解内部控制制度的实际运行情况，与原设计有何不同，各种变更是否必要且适当；评价者应比较设计与执行之间的差异，确定内部控制制度能否为目标的达成提供合理的保证。（4）评价方法检查清单、阅读及绘制流程图、量化技术等标杆比较方法（5）书面记录一个单位把内部控制制度作为书面文件的程度，

因单位规模的大小、复杂程度的高低及其他因素的影响而异。二、内部监督的类型（6）行动计划1、根据目标的类别、内部控制的组成要素，

以及欲讨论的活动来界定评估的范围。2、根据持续监督活动发现应予评估的事项。3、分析内部审计人员所执行的评估，

考察外部检查人员的发现，

决定有关评估的内容。4、对必须注意的高风险区域，

应按单位类别、组成要素类别或其他类别排列先后顺序。5、根据上述分析结果，

制定评估计划，

并作评估时间安排。6、参与评估的人员一起研究评估的范围、使用的方法和工具、内部审计人员及主管机关所提供的资讯、评估的发现等。7、监督评价的进度，

复核评价的发现。8、必要时，

修改评价计划的后续部分。

二、内部监督的类型持续监督与独立评价的关系内部控制系统通常是组织完善的系统，

在某种程度上持续监督自身的活动，

内部控制系统持续监督的有效性越高，

对独立评价的需要程度就越低。为了合理确认内部控制系统的有效性所进行的独立评估的频率，

取决于管理层的判断。在做出该决定时管理层应考虑以下因素：

变化发生的性质和程度以及与变化相关的风险；

实施内部控制人员的能力和经验以及持续监督的结果。通常，

持续监督和独立评价结合使用，

将会保证内部控制系统随着时间的变化保持其有效性。案例：世通公司造假案例内部审计员日常监督发现

三、内部控制缺陷认定与整改（一）内部控制缺陷概念内部控制缺陷是指，

内部控制的设计或运行无法保证内部控制目标的实现。包括设计缺陷和运行缺陷。（1）设计缺陷：

是指缺少实现内部控制目标所需的控制，

或现有内部控制设计不适当，

即使正常运行也难以实现内部控制目标而形成的内部控制缺陷，

即建立的内部控制不能充分实现内部控制目标而形成的内部控制缺陷。

（2）运行缺陷：

是指现存设