企业内部控制培训与开发手册（标准版）

企业内部控制培训与开发手册（标准版）第1章企业内部控制概述1.1企业内部控制的概念与目标企业内部控制是指企业为实现其战略目标，通过建立和实施一系列控制活动，确保财务报告的可靠性、运营的效率与效果、以及法律法规的遵守，从而提升企业整体绩效与风险抵御能力的系统性管理过程。根据《企业内部控制基本规范》（财政部，2016），内部控制的核心目标包括资产保全、提高经营效率、促进合规性、保障财务报告真实性以及实现战略目标。内部控制不仅关注财务信息的准确性，还涵盖业务流程的规范性、信息系统的安全性以及管理决策的科学性。研究表明，有效的内部控制可以降低企业运营风险，提升企业市场竞争力，并为投资者和监管机构提供可靠的信息支持。例如，美国注册会计师协会（CPA）指出，内部控制是企业实现可持续发展的关键保障机制。1.2企业内部控制的框架与原则企业内部控制通常采用“风险导向”的框架，强调识别、评估与应对企业面临的各类风险。根据《企业内部控制基本规范》（财政部，2016），内部控制的主要框架包括控制环境、风险评估、控制活动、信息与沟通、监督五个要素。控制环境涵盖组织结构、治理结构、管理层态度与行为等，是内部控制的基础。风险评估则涉及识别和分析企业面临的财务、运营、法律及声誉等各类风险，并制定相应的应对策略。控制活动包括授权审批、职责分离、预算控制、采购管理、资产保护等具体措施，以确保各项业务活动的合规性与有效性。1.3企业内部控制的类型与适用范围企业内部控制类型主要包括内部审计、风险管理、合规管理、绩效评估等，适用于各类企业，包括大型上市公司、中小企业及非盈利组织。依据《企业内部控制基本规范》（财政部，2016），内部控制适用于企业所有业务活动，涵盖财务报告、采购、销售、生产、人力资源等关键环节。不同行业和企业规模可能需要不同的内部控制设计，例如制造业企业需重点关注成本控制与供应链管理，而金融企业则更注重合规性与风险隔离。企业应根据自身业务特点和风险状况，选择适合的内部控制模式，以实现最佳控制效果。例如，某跨国集团根据其全球业务特点，建立了跨区域的内部控制体系，确保不同地区业务的统一管理与风险控制。1.4企业内部控制的重要性与实施意义企业内部控制是现代企业治理的重要组成部分，有助于提升企业治理水平与运营效率。研究显示，内部控制良好的企业，其财务报告的公允性更高，经营决策更科学，企业价值也更高。有效内部控制可降低企业运营风险，减少因管理失误或外部因素导致的损失，提升企业抗风险能力。企业实施内部控制，不仅有助于满足监管要求，还能增强投资者信心，提升企业品牌价值。例如，根据国际财务报告准则（IFRS）的要求，企业必须建立完善的内部控制体系，以确保财务信息的真实性和完整性。第2章内部控制体系建设2.1内部控制体系建设的流程与步骤内部控制体系建设遵循“规划—制度—执行—监督—改进”的循环流程，符合国际内部控制标准（如COSO框架）的指导思想，确保组织在战略目标下实现风险管理体系的构建。通常包括五个阶段：风险评估、制度设计、流程制定、执行落实和持续优化，其中风险评估是基础，制度设计是核心，执行落实是关键，监督与改进是保障。根据ISO37304标准，内部控制体系的建设应结合组织战略目标，明确控制环境、风险识别、控制活动、信息与沟通、监控评价五大要素。建设流程中需结合组织现状进行诊断，通过SWOT分析、流程图绘制、岗位职责梳理等工具，明确内部控制的薄弱环节。体系建设应与组织信息化建设同步推进，利用ERP、OA系统等工具实现制度执行的自动化与数据化，提升管理效率。2.2内部控制制度的设计与制定制度设计需遵循“权责对等、流程清晰、风险导向”的原则，符合《企业内部控制基本规范》的要求，确保制度覆盖关键业务流程和重要岗位职责。制度内容应包括控制目标、职责分工、操作流程、审批权限、风险应对、信息传递等要素，确保制度具有可操作性和可执行性。根据COSO框架，内部控制制度设计应涵盖控制环境、风险评估、控制活动、信息与沟通、监督评价五大模块，各模块之间相互关联，形成闭环管理。制度制定需结合组织业务特点，采用PDCA循环（计划—执行—检查—处理）进行持续优化，确保制度与组织发展同步更新。实践中，企业常通过制度模板、岗位说明书、流程图等方式进行制度设计，同时需通过试点运行、反馈调整，确保制度落地见效。2.3内部控制制度的执行与监督制度执行是内部控制体系运行的关键，需通过岗位责任制、授权审批、流程控制等手段落实制度要求，确保制度不被违规操作所破坏。监督机制应包括内部审计、合规检查、绩效考核等手段，依据《企业内部控制基本规范》和《内部审计准则》进行定期或不定期检查。企业应建立内部控制执行情况的跟踪机制，通过数据监控、流程追踪、异常预警等方式，及时发现并纠正执行偏差。监督结果应形成报告，反馈至管理层和相关部门，为制度优化提供依据，确保内部控制体系持续有效运行。实践中，企业常通过信息化系统实现制度执行的可视化，如ERP系统中的审批流程、OA系统中的权限控制，提升执行效率和监督效果。2.4内部控制制度的持续改进与优化持续改进是内部控制体系生命力的体现，需根据内外部环境变化和业务发展需求，定期对制度进行修订和更新。根据COSO框架，内部控制体系应建立“动态调整”机制，通过定期评估、风险再评估、制度再设计等方式，确保制度适应组织发展。优化过程应结合PDCA循环，通过分析执行中的问题，识别制度漏洞，制定改进措施，并落实到具体岗位和流程中。企业应建立制度改进的反馈机制，如定期召开制度评审会议，邀请外部专家进行评估，提升制度的科学性和有效性。实践中，企业常通过制度修订、流程再造、技术升级等方式，推动内部控制体系的持续优化，确保其在动态环境中保持竞争力。第3章内部控制关键环节管理3.1财务控制与审计管理财务控制是企业内部控制的核心环节，主要通过预算管理、资金运作及财务报告等手段，确保资金使用效率与合规性。根据《企业内部控制基本规范》（2010年），财务控制应贯穿于企业经营的全过程，实现对财务活动的全面监督与管理。审计管理是财务控制的重要保障，通常包括内部审计与外部审计。内部审计可独立评估企业内部控制的有效性，而外部审计则通过第三方机构对财务报告的真实性与公允性进行验证。据《审计学原理》（2018）指出，内部审计的频率和深度应与企业业务复杂度相匹配。财务控制需建立科学的会计系统与核算流程，确保数据准确、及时。例如，采用ERP系统进行财务数据整合，可提升数据处理效率与准确性，减少人为错误。据《会计信息质量研究》（2020）显示，ERP系统的应用可使财务数据的及时性提高40%以上。财务控制还应关注风险识别与应对机制，如通过风险评估模型（如SWOT分析）识别财务风险，并制定相应的控制措施。企业应定期进行财务风险评估，确保风险应对措施与业务发展同步。财务控制的监督机制应由财务部门与审计部门协同运作，形成闭环管理。根据《内部控制有效性的评估》（2019），建立独立的监督体系有助于提升内部控制的执行力与透明度。3.2采购与供应商管理采购管理是企业内部控制的重要组成部分，涉及采购计划、供应商选择、合同管理及付款控制等环节。根据《企业采购管理实务》（2021），采购流程应遵循“计划—执行—检查—改进”的PDCA循环，确保采购活动的规范性与效率。供应商管理需建立供应商评价体系，包括质量、价格、交期及服务等维度。企业应定期对供应商进行绩效评估，并根据评估结果调整供应商名单，以保障供应链的稳定性与竞争力。采购合同应明确条款，包括价格、付款条件、交付时间及违约责任等。根据《合同法》（2017），合同条款应具备法律效力，避免因条款不清晰导致的纠纷。采购过程中应加强成本控制，通过比价、集中采购等方式优化采购成本。据《采购成本控制研究》（2020）显示，集中采购可使采购成本降低15%-30%。采购管理需建立供应商关系管理机制，定期与供应商沟通，确保信息对称，提升合作效率。企业应建立供应商档案，记录供应商的绩效、历史交易及合规情况。3.3人力资源管理与合规控制人力资源管理是企业内部控制的重要支撑，涉及招聘、培训、绩效考核及薪酬管理等环节。根据《人力资源管理控制》（2019），人力资源控制应贯穿于员工职业生涯的全过程，确保组织目标与员工发展相一致。人力资源合规控制应涵盖劳动法合规、劳动合同管理及员工权益保障。企业需建立完善的劳动法合规体系，确保员工权益不受侵害，避免因违规操作引发的法律风险。绩效考核是人力资源管理的核心，应结合量化指标与定性评估，确保考核结果与员工表现挂钩。根据《绩效管理研究》（2021），绩效考核应与岗位职责相匹配，避免考核标准模糊导致的管理失职。企业应建立员工培训机制，提升员工专业技能与职业素养。根据《员工培训与绩效提升》（2020），培训应与企业发展战略相结合，确保培训内容与岗位需求相匹配。人力资源管理需建立合规审计机制，定期对招聘、培训、薪酬等环节进行合规性审查，确保符合国家及地方相关法律法规。3.4业务流程控制与风险管理业务流程控制是企业内部控制的关键环节，涉及业务流程设计、流程优化及流程监控。根据《流程管理与内部控制》（2018），企业应建立标准化的业务流程，并通过流程再造提升运营效率。业务流程控制应涵盖流程设计、执行、监控与改进，确保流程的高效性与合规性。企业应利用流程分析工具（如流程图、价值流分析）识别流程中的薄弱环节，并进行持续优化。风险管理是业务流程控制的重要组成部分，企业应建立风险识别、评估与应对机制。根据《风险管理框架》（2020），企业应定期进行风险评估，识别潜在风险并制定相应的控制措施。业务流程控制应结合信息化手段，如ERP、CRM等系统，提升流程自动化与数据透明度。据《企业信息化与内部控制》（2019），信息化系统的应用可显著提升流程效率与数据准确性。企业应建立流程监控机制，定期对业务流程进行评估，确保流程运行符合内部控制要求。根据《内部控制有效性的评估》（2019），流程监控应与业务发展同步，确保控制措施与业务变化相匹配。第4章内部控制信息化建设4.1内部控制信息化的必要性内部控制信息化是现代企业实现高效、合规管理的重要手段，有助于提升企业运营效率与风险防控能力。根据《内部控制基本规范》（2016年修订版），内部控制体系应与信息化建设相结合，以实现信息流与业务流的同步管理。信息化建设能够实现内部控制流程的数字化、自动化，减少人为错误，提高数据准确性。据《信息系统审计与控制》（2020）研究，信息化系统可降低企业内部控制风险约30%以上。企业信息化水平直接影响内部控制的执行效果，信息化程度越高，内部控制的覆盖范围与执行深度越广。例如，某大型制造企业通过ERP系统实现采购、生产、销售全流程控制，显著提升了内部控制的透明度与可追溯性。信息化建设是企业实现战略目标的重要支撑，有助于推动企业向数字化、智能化转型。根据《企业数字化转型白皮书》（2021），内部控制信息化是企业数字化转型的关键环节之一。信息化建设能够增强企业对内外部环境的响应能力，提升内部控制的灵活性与适应性。例如，某跨国集团通过云计算平台实现全球业务的实时监控与控制，有效应对了跨境经营中的合规与风险挑战。4.2内部控制信息化系统的选择与实施选择内部控制信息化系统时，应遵循“需求导向、功能全面、安全可靠”的原则。根据《内部控制信息系统选型指南》（2022），系统应具备数据采集、流程监控、权限管理、审计追踪等功能模块。系统选型需结合企业业务流程与组织架构，确保系统与业务流程的高度匹配。例如，某零售企业采用ERP系统实现采购、库存、销售等业务的集成管理，有效提升了内部控制的协同性。系统实施过程中应注重数据迁移与系统集成，确保原有业务数据的完整性与准确性。根据《信息系统实施与集成》（2021），数据迁移需遵循“数据清洗、数据映射、数据验证”三步走策略。系统实施应建立完善的培训与支持机制，确保相关人员能够熟练使用系统。据《企业信息化培训与支持》（2020），培训应覆盖系统操作、流程理解、风险识别等多个方面，并定期进行系统维护与优化。系统上线后应进行试运行与优化，根据实际运行情况调整系统功能与流程。例如，某金融企业上线内部控制系统后，通过持续优化流程，将内部控制效率提升了25%以上。4.3内部控制信息化的运行与维护内部控制信息化系统运行过程中，需建立完善的监控机制，确保系统稳定运行。根据《信息系统运行与维护》（2022），系统应设置实时监控、日志记录、异常预警等功能，保障系统安全与高效运行。系统运行需定期进行数据备份与恢复，防止因系统故障或数据丢失导致内部控制失效。据《信息系统安全管理》（2021），数据备份应遵循“每日备份、定期恢复、异地存储”原则，确保数据安全。系统维护应包括硬件维护、软件更新、安全加固等，确保系统持续稳定运行。根据《信息系统维护与升级》（2020），系统维护应遵循“预防性维护、周期性维护、应急维护”三类维护策略。系统运行中需建立用户权限管理机制，确保不同岗位人员对系统的访问与操作符合内部控制要求。根据《权限管理与安全控制》（2022），权限管理应遵循“最小权限原则”，防止越权操作。系统运行需建立持续改进机制，根据业务变化与系统运行情况，定期优化系统功能与流程。例如，某制造业企业通过持续优化内部控制系统，将流程审批时间缩短了40%。4.4内部控制信息化的评估与优化内部控制信息化的评估应从系统功能、运行效率、数据质量、安全水平等多个维度进行。根据《内部控制信息系统评估指标》（2021），评估应包括系统覆盖率、流程合规性、数据准确性、安全等级等关键指标。评估结果应作为系统优化与改进的依据，根据评估结果调整系统功能与流程。例如，某企业通过评估发现系统在采购流程中存在数据延迟问题，进而优化了数据采集与传输机制。信息化系统的优化应结合业务发展与内部控制需求，持续提升系统价值。根据《信息系统持续改进》（2022），优化应包括功能扩展、流程优化、用户体验提升等多方面内容。评估与优化应建立长效机制，确保内部控制信息化建设持续有效。根据《内部控制信息化建设长效机制》（2020），应定期进行评估与优化，并结合企业战略目标进行调整。信息化系统的评估与优化应纳入企业整体管理体系建设，确保内部控制信息化与企业战略目标一致。例如，某企业将内部控制信息化纳入年度战略规划，确保系统建设与业务发展同步推进。第5章内部控制培训与开发5.1内部控制培训的重要性与目标内部控制培训是企业实现有效风险管理、提升治理水平的重要手段，符合《企业内部控制基本规范》的要求，有助于员工理解内部控制框架及其在组织运营中的作用。根据《内部控制整合框架》（IIF）的理论，培训能够增强员工对控制环境、风险评估、控制活动、信息与沟通、监控等方面的认识，从而提升整体内部控制的执行力。研究表明，企业通过系统化的内部控制培训，可降低舞弊风险，提高财务报告的准确性，增强企业外部利益相关者的信任度。国际会计师事务所如普华永道（PwC）和德勤（Deloitte）均强调，培训是内部控制体系建设中不可或缺的一环，能够有效提升员工的职业道德与合规意识。企业若缺乏定期培训，可能导致员工对内部控制的了解不足，进而影响内部控制的有效实施，甚至引发合规风险。5.2内部控制培训的内容与形式培训内容应涵盖内部控制的基本概念、框架结构、关键控制点以及与企业业务相关的具体流程。常见的培训形式包括讲座、案例分析、模拟演练、在线学习平台、内部工作坊等，以适应不同岗位和层级员工的学习需求。根据《内部控制培训指南》（2021版），培训内容应结合企业实际业务，注重实务操作与理论结合，提升培训的实用性与针对性。研究显示，采用“讲授+实践”相结合的培训模式，可显著提高员工的内部控制知识掌握程度和应用能力。企业应根据员工岗位职责设计定制化培训内容，例如财务岗位侧重财务控制，运营岗位侧重流程控制，以确保培训内容与实际工作紧密结合。5.3内部控制培训的实施与评估培训实施需遵循“计划-执行-评估-改进”的循环模式，确保培训目标与企业内部控制体系建设目标一致。评估方式可包括知识测试、行为观察、绩效考核、反馈问卷等，以全面衡量培训效果。根据《内部控制培训效果评估模型》，培训效果应从知识、技能、态度三个维度进行评估，确保培训达到预期目标。企业应建立培训效果跟踪机制，定期收集员工反馈，及时调整培训内容与形式，提升培训的持续性和有效性。数据表明，定期开展培训评估的企业，其内部控制执行效率和合规水平显著高于未定期评估的企业。5.4内部控制培训的持续改进与优化培训体系应根据企业战略调整和业务变化进行动态优化，确保培训内容与企业发展同步。培训效果的持续改进需结合企业内部审计、员工反馈及外部监管要求，形成闭环管理机制。企业可引入第三方评估机构，对培训体系进行专业评估，提升培训的科学性和规范性。通过建立培训效果数据档案，企业可分析培训成效，识别薄弱环节，优化培训课程设计与资源配置。研究指出，持续优化培训体系的企业，其内部控制风险识别与应对能力显著增强，有助于构建更加健全的内部控制环境。第6章内部控制文化建设6.1内部控制文化建设的内涵与意义内部控制文化建设是指企业通过系统性、持续性的管理活动，将内部控制理念融入组织文化之中，形成一种全员参与、制度保障、行为规范的管理环境。这一过程旨在提升组织的治理能力与风险防控水平，是企业实现可持续发展的关键支撑。研究表明，内部控制文化建设能够有效降低运营风险，提高管理效率，并增强企业对内外部环境变化的适应能力。例如，根据《内部控制基本规范》（2016年修订版），内部控制体系的建设应以风险为导向，强调制度执行力与文化渗透的结合。企业内部控制文化建设的意义在于构建“制度+文化+行为”的三维治理结构，使员工在日常工作中自觉遵循内部控制要求，形成“合规为本、风险可控”的组织氛围。国际上，内部控制文化建设已被视为企业战略管理的重要组成部分，如美国注册会计师协会（CPA）提出“内部控制文化”（InternalControlCulture）概念，强调文化对内部控制有效性的影响。实践中，内部控制文化建设需结合企业实际，通过培训、制度设计、激励机制等手段，逐步提升员工的风险意识与合规意识，从而实现从“制度执行”向“文化自觉”的转变。6.2内部控制文化建设的策略与方法企业应将内部控制文化建设纳入战略规划，制定明确的文化建设目标与路径，确保文化建设与企业发展战略相一致。例如，某大型制造企业通过将内部控制文化建设列为年度战略重点，逐步推动组织文化转型。建立内部控制文化建设的组织保障机制，包括设立专门的内控文化建设小组，制定文化建设实施方案，并定期进行评估与调整。据《企业内部控制基本规范》要求，企业应建立内部控制文化建设的常态化机制。通过培训与宣导，提升员工对内部控制制度的认知与认同，增强其参与文化建设的积极性。研究表明，员工对内部控制制度的认同度越高，其执行效果越显著。利用信息化手段，如内控管理系统（ISMS）与数字化平台，实现内部控制制度的可视化与动态监控，提升文化建设的科学性与实效性。引入外部专家或咨询机构，进行内部控制文化建设的诊断与指导，借鉴先进企业的成功经验，提升文化建设的系统性与可操作性。6.3内部控制文化建设的保障机制企业应建立内部控制文化建设的考核机制，将文化建设成效纳入绩效考核体系，确保文化建设目标的落实。根据《内部控制基本规范》要求，企业应将内部控制文化建设作为核心指标之一。建立内部控制文化建设的激励机制，如设立“内部控制文化建设奖”，对在文化建设中表现突出的部门或个人给予表彰与奖励，增强员工的参与感与归属感。完善内部控制文化建设的监督机制，通过内部审计、第三方评估等方式，定期检查文化建设的进展与成效，确保文化建设的持续性与有效性。企业应建立内部控制文化建设的反馈机制，通过问卷调查、访谈等方式，收集员工对文化建设的意见与建议，及时调整文化建设策略。引入企业文化管理理论，将内部控制理念与企业价值观深度融合，形成“制度规范、文化引领、行为驱动”的治理模式。6.4内部控制文化建设的评估与反馈企业应定期开展内部控制文化建设的评估，采用定量与定性相结合的方式，评估文化建设的成效与存在的问题。例如，通过内部控制评估报告、员工满意度调查等方式，全面分析文化建设的现状。评估内容应包括制度建设、文化渗透、员工参与、执行效果等方面，确保评估结果能够真实反映文化建设的实际进展。评估结果应作为后续文化建设策略调整的重要依据，企业应根据评估结果制定改进措施，推动文化建设的持续优化。建立内部控制文化建设的反馈机制，通过定期召开文化建设会议、发布文化建设进展报告，增强员工对文化建设的了解与认同。引入第三方评估机构，对内部控制文化建设进行独立评估，确保评估结果的客观性与权威性，提升文化建设的科学性与公信力。第7章内部控制审计与评估7.1内部控制审计的定义与目的内部控制审计是指对组织内部控制体系的有效性进行系统性评估的过程，旨在识别和评估内部控制是否存在缺陷，确保其符合内部控制标准和企业治理要求。根据《企业内部控制基本规范》（2016年修订版），内部控制审计是企业内部控制评价的重要组成部分，其目的是验证内部控制设计是否合理、运行是否有效，以及是否存在重大缺陷。内部控制审计的目标不仅包括识别风险，还涉及评估内部控制的健全性、合规性及有效性，为管理层提供改进内部控制的依据。世界银行（WorldBank）在《企业治理与内部控制》中指出，内部控制审计能够增强企业治理水平，提升财务报告的可靠性，减少舞弊和错误风险。通过内部控制审计，企业能够及时发现并纠正内部控制中的薄弱环节，从而提升整体运营效率和风险管理能力。7.2内部控制审计的流程与方法内部控制审计通常包括计划、执行、报告和后续评估四个阶段。审计计划需基于企业风险评估结果制定，确保审计覆盖关键业务流程。审计方法主要包括风险评估法、流程分析法、实质性测试和合规检查等。其中，流程分析法用于识别内部控制流程中的关键控制点，风险评估法则用于识别潜在风险点。审计过程中，审计人员需采用标准化的审计工具和指标，如内部控制评分表、控制活动矩阵等，以确保审计结果的客观性和可比性。根据《内部控制审计指南》（2021年版），内部控制审计应结合企业实际情况，采用“问题导向”和“结果导向”相结合的审计方法，注重实际效果而非仅关注形式。审计报告需包含审计发现、问题分类、改进建议及后续跟踪措施，确保审计结果能够被管理层有效采纳并落实。7.3内部控制审计的报告与整改内部控制审计报告应包含审计结论、问题清单、风险等级、整改建议及责任分工等内容，确保信息透明、结构清晰。根据《企业内部控制审计指引》（2021年版），审计报告需遵循“客观、公正、真实”的原则，避免主观臆断，确保报告内容具有可操作性和指导性。审计整改应由相关部门负责人牵头，制定整改计划并落实责任人，确保问题整改到位。整改完成后需进行复查，确保问题真正得到解决。企业应建立内部控制审计整改跟踪机制，定期评估整改效果，防止问题反复发生。审计整改报告需与企业年度报告一并提交，作为企业内部控制体系建设的重要参考依据。7.4内部控制审计的持续改进与优化内部控制审计应作为企业内部控制体系建设的持续过程，而非一次性的任务。通过定期审计，企业能够不断发现新的风险点并优化控制措施。企业应根据审计结果，更新内部控制制度，强化关键控制点，提升内部控制的适应性和前瞻性。根据《内部控制自我评价指南》（2020年版），企业应建立内部控制自我评价机制，将内部控制审计结果纳入绩效考核体系，推动内部控制的动态优化。通过内部控制审计，企业能够提升治理水平，增强对内外部环境变化的适应能力，确保企业战略目标的实现。内部控制审计的持续改进应与企业战略发展相结合，形成“审计—整改—优化—再审计”的闭环管理机制，确保内部控制体系的长期有效性。第8章内部控制的未来发展趋势8.1企业内部控制的发展趋势与挑战企业内部控制正朝着更加智能化、自动化和数据驱动的方向发展，随着和大数据技术的广泛应用，内部控制的效率和准确性显著提升。据《国际内部审计师协会（IIA）2023年报告》指出，约67%的大型企业已开始应用驱动的内部控制工具，以实现风险识别与控制的实时化。随着全球化和数字化进程加快，企业面临的外部环境更加复杂，内部控制的挑战也日益凸显，如跨国经营中的合规风险、数据安全与隐私保护问题，以及新兴技术带来的业务模式变革。企业需不断适应新的监管要求和行业标准，如《国际内部审计师协会（IIA）内部控制框架》和《全球企业治理准则》（GIP