知识点精讲汇总：2013高级会计师《高级会计实务》第七章

　　第七章　企业内部控制

　　考点一：　内部控制的目标、原则与要素

　　一、内部控制目标

　　部控制的定义：部控制是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。

　　○董事会：董事会是部控制实施的主体之一，此外，董事会、董事长也应受内部控制制约。

　　○实施主体：董事会是决策者，经理层是执行者，监事会是监督者，他们都是部控制实施的主体;此外，部控制还需要全体员工的参与实施。把监事会写进去是中国特色，因为美国公众公司没有监事会，但有独立董事;德国公司设监事会。

　　○过程：部控制不能凌驾于企业经营活动之上，它必须嵌入企业生产经营的整个过程;过程是动态的，适合企业的才是最好的。

　　内部控制的目标：是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

　　(一)促进遵循国家法律法规

　　守法和诚信是企业健康发展的基石。逾越法律的短期发展终将付出沉重代价。内部控制要求企业必须将发展置于国家法律法规允许的基本框架之下，在守法的基础上实现自身的发展。

　　(二)促进维护资产安全(不同于COSO报告)

　　资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题，是企业可持续发展的物质基础。良好的内部控制，应当为资产安全提供扎实的制度保障。

　　(三)促进提高信息报告质量

　　可靠的信息报告能够为企业管理层提供适合其既定目的的准确而完整的信息、支持管理层的决策和对营运活动及业绩的监控;同时，保证对外披露的信息报告的真实、完整，有利于提升企业的诚信度和公信力，维护企业良好的声誉和形象。

　　(四)促进提高经营效率和效果

　　该目标要求企业结合自身所处的特定的经营、行业和经济环境，通过健全有效的内部控制，不断提高营运活动的盈利能力和管理效率。

　　(五)促进企业实现发展战略

　　这是内部控制的终极目标。它要求企业将近期利益与长远利益结合起来，在企业经营管理中努力做出符合战略要求、有利于提升可持续发展能力和创造长久价值的策略选择。

　　○注意：上述目标之间有交叉。

　　二、内部控制原则

2012高级会计师《高级会计实务》知识点精讲(31)

　　内部控制原则是企业建立与实施内部控制应当遵循的基本指针。企业建立与实施内部控制应当遵循5项原则，即全面性、重要性、制衡性、适应性和成本效益原则。

　　(一)全面性原则

　　内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项实现全过程、全员性控制，不存在内部控制空白点。

　　(二)重要性原则

　　内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域，并采取更为严格的控制措施，确保不存在重大缺陷。重要性原则的应用需要一定的职业判断，企业应当根据所处行业环境和经营特点，从业务事项的性质和涉及金额两方面来考虑是否及如何实行重点控制。

　　(三)制衡性原则

　　内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节;同时，还要求履行内部控制监督职责的机构或人员具有良好的独立性。

　　(四)适应性原则

　　内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化加以调整。适应性原则要求企业建立与实施内部控制应当具有前瞻性，适时地对内部控制系统进行评估，发现可能存在的问题，并及时采取措施予以补救。

　　(五)成本效益原则

　　内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。对成本效益原则的判断需要从企业整体利益出发，尽管某些控制会影响工作效率，但可能会避免整个企业面临更大损失，此时仍应实施相应控制。

　　三、内部控制要素

　　借鉴COSO(Committee of Sponsoring Organizations of the Treadway Commission,全美反欺诈财务报告委员会下属的发起人委员会，该委员会于1992年颁布了《部控制—整体框架》，提出了五要素的观点。COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架，同时《萨班斯法案》第 404 条款的「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。)报告框架，我国《企业内部控制基本规范》将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督5大方面。

　　(一)内部环境

　　企业作为一个系统，总是在一定的环境下运行的。环境分为外部环境与内部环境，无论是制定战略还是实施内部控制，企业都需要首先对内、外部环境进行认真深入的审视。

　　外部环境对企业内部控制的影响更多体现的是约束和规范，但不能把它作为内部控制系统的组成部分，因为它超出了企业的控制能力。

　　内部控制应当是一种内部行为，加强内部控制的原动力应当来源于企业自身，企业外部任何试图促使企业加强内部控制的影响因素，在企业不具备原动力的情况下，都很难取得好的效果。因此，内部环境是直接造成各企业内部控制形式和内容差异的根本原因。

　　内部环境规定企业的纪律与架构，影响经营管理目标的制定，塑造企业文化氛围并影响员工的控制意识，是企业建立与实施内部控制的基础。内部环境主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

　　1.治理结构

　　公司治理结构指的是内部治理结构，又称法人治理结构，是根据权力机构、决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则实现对公司的治理。

　　治理结构是由股东大会、董事会、监事会和管理层组成的，决定公司内部决策过程和利益相关者参与公司治理的办法，主要作用在于协调公司内部不同产权主体之间的经济利益矛盾，减少代理成本。

　　2.机构设置与权责分配

　　公司制企业中股东大会(权力机构)、董事会(决策机构)、监事会(监督机构)、总经理层(日常管理机构)这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但并不能满足内部控制对企业组织结构的要求，内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。

　　所采用的组织结构应当有利于提升管理效能，并保证信息通畅流动。

　　3.内部审计机制

　　内部审计控制是内部控制的一种特殊形式。根据中国内部审计协会的解释，内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。

　　内部审计的范围主要包括财务会计、管理会计和内部控制检查。内部审计机制的设立包括内部审计机构设置、人员配备、工作开展及其独立性的保证等。

　　4.人力资源政策

　　人力资源政策是影响企业内部环境的关键因素，它所包括的雇用、培训、评价、考核、晋升、奖惩等业务，向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息，这些业务都与公司员工密切相关，而员工正是公司中执行内部控制的主体。

　　一个良好的人力资源政策，能够有效地促进内部控制在企业中的顺利实施，并保证其实施的质量。

　　5.企业文化

　　企业文化体现为人本管理理论的最高层次。企业文化重视人的因素，强调精神文化的力量，希望用一种无形的文化力量形成一种行为准则、价值观念和道德规范，凝聚企业员工的归属感、积极性和创造性，引导企业员工为企业和社会的发展而努力，并通过各种渠道对社会文化的大环境产生作用。

　　企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则，认真履行岗位职责。

　　企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。

　　一般而言，董事会及企业负责人在塑造良好的内部环境中发挥关键作用。

　　(二)风险评估

　　风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。

　　1.目标设定

　　风险是指一个潜在事项的发生对目标实现产生的影响。风险与可能被影响的控制目标相关联。企业必须制定与生产、销售、财务等业务相关的目标，设立可辨认、分析和管理相关风险的机制，以了解企业所面临的来自内部和外部的各种不同风险。

　　企业开展风险评估，应当准确识别与实现控制目标相关的内部风险与外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

　　2.风险识别

　　风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节，主要回答的问题是：存在哪些风险，哪些风险应予以考虑，引起风险的主要因素是什么，这些风险所引起的后果及严重程度如何，风险识别的方法有哪些等。而其中企业在风险评估过程中，更应当关注引起风险的主要因素，应当准确识别与实现控制目标有关的内部风险和外部风险。

　　3.风险分析

　　风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断，并确定风险重要性水平的过程。企业应当在充分识别各种潜在风险因素的基础上，对固有风险，即不采取任何防范措施可能造成的损失程度进行分析，同时，重点分析剩余风险，即采取了相应应对措施之后仍可能造成的损失程度。企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

　　4.风险应对

　　企业应当在分析相关风险的可能性和影响程度基础上，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。

　　企业管理层在评估了相关风险的可能性和后果，以及成本效益之后要选择一系列策略使剩余风险处于期望的风险容限以内。常用的风险应对策略有：

　　(1)风险规避。

　　风险规避，即改变或回避相关业务，不承担相应风险，是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。例如：由于雨雪天气，航空公司取消某次航班;企业拒绝与不守信用的厂商有业务来往;新产品在试制阶段发现问题而果断地停止研发。

　　(2)风险承受。

　　风险承受，即比较风险与收益后，愿意无条件承担全部风险，是企业在权衡成本效益之后，对风险承受度之内的风险，不准备采取控制措施降低风险或者减轻损失的策略。例如：企业设有一个小型仓库，平时就存放一些待处理的设备(市场价值很小)，如果为了防止这些设备被盗偷而专门雇佣一个保管员，那么这时支付保管员的费用要远高于设备的价值，显然，不符合成本效益原则，因此，对于这种存在的失窃风险企业就应该采用风险承受策略。

　　(3)风险降低。

　　风险降低，即采取一切措施降低发生不利后果的可能性,是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略，包括两类措施：风险预防和风险抑制。

　　(4)风险分担。

　　风险分担，即通过购买保险、外包业务等方式来分担一部分风险,是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。常见的措施有业务分包、购买保险等。例如：大学里学生宿舍的管理外包给物业公司负责，这是由于大学本身不具有物业管理的能力，通过外包的方式转移了与物业相关的风险;公司给某些关键设备购买财产保险来转移风险。

　　风险应对策略往往是结合运用的。同时企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

　　(三)控制活动

　　控制活动是指企业根据风险应对策略，采用相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。常见的控制措施有：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与检查性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。

　　1.不相容职务分离控制

　　所谓不相容职务，是指那些如果由一个人担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。

　　2.授权审批控制

　　授权批准是指企业在办理各项经济业务时，必须经过规定程序的授权批准。授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。

　　3.会计系统控制

　　会计作为一个信息系统，对内能够向管理层提供经营管理的诸多信息，对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等进行的控制。

　　4.财产保护控制

　　财产保护控制是指为了确保企业财产物资安全、完整所采用的各种方法和措施。财产是企业资金、财物及民事权利义务的总和，按是否具有实物形态，分为有形财产(如资金、财物)和无形财产(如著作权、发明权)，按民事权利义务，分为积极财产(如金钱、财物及各种权益)和消极财产(如债务)。财产是企业开展各项生产经营活动的物质基础，企业应采取有效措施，加强对企业财产物资的保护。

　　5.预算控制

　　预算是企业未来一定时期内经营、资本、财务等各方面的收入、支出、现金流的总体计划。预算控制是内部控制中使用得较为广泛的一种控制措施。通过预算控制，使得企业的经营目标转化为各部门、各个岗位以至个人的具体行为目标，作为各责任企业的约束条件，能够从根本上保证企业经营目标的实现。

　　6.运营分析控制

　　运营活动分析，曾被称为经营活动分析，但实际上运营活动是比经营活动范畴更广，更能够全面涵盖企业活动的提法。运营分析是对企业内部各项业务、各类机构的运行情况进行独立分析或综合分析，进而掌握企业运营的效率和效果，为持续的优化调整奠定基础。

　　企业运营活动分析的方法包括定性分析法和定量分析法。定性分析法可以有专家建议法、专家会议法、主观概率法和特尔菲法(通过函询的方式收集专家意见，对未来进行直观预测的一种定性方法)。定量分析法可以有对比分析法、趋势分析法、因素分析法和比率分析法。

　　运营分析控制要求企业建立运营情况分析制度，综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方面，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

　　7.绩效考评控制

　　绩效考评是对所属企业及个人占有、使用、管理与配置企业经济资源的效果进行的评价。绩效考评是一个过程，即首先明确企业要做什么(目标和计划)，然后找到衡量工作做得好坏的标准进行监测(构建指标体系并进行监测)，发现做得好的(绩效考核)，进行奖励(激励机制)，使其继续保持或者做得更好，能够完成更高的目标。更为重要的是，发现不好的地方，通过分析找到问题所在，进行改正，使得工作做得更好(绩效改进)。这个过程就是绩效考评过程。企业为了完成这个管理过程所构建起来的管理体系，就是绩效考评体系。

　　(四)信息与沟通

　　信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，是实施内部控制的重要条件。企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。信息与沟通的要件主要包括：信息质量、沟通制度、信息系统、反舞弊机制。

　　1.信息质量

　　信息是企业各类业务事项属性的标识，是确保企业经营管理活动顺利开展的基础。企业日常生产经营需要收集各种内部信息和外部信息，并对这些信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息;还可以通过行业协会组织、社会中介机构、业务往来企业、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

　　2.沟通制度

　　信息的价值必须通过传递和使用才能体现。企业应当建立信息沟通制度，将内部控制相关信息在企业内部各管理级次、责任企业、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息须及时传递给董事会、监事会和经理层。

　　3.信息系统

　　为提高控制效率，企业可以运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。企业利用信息技术对信息进行集成和共享的同时，还应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

　　4.反舞弊机制

　　舞弊是指企业董事、监事、经理、其他高级管理人员、员工或第三方使用欺骗手段获取不当或非法利益的故意行为，它是需要企业重点加以控制的领域之一。企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

　　反舞弊工作的重点包括：

　　(1)未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益;

　　(2)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等;

　　(3)董事、监事、经理及其他高级管理人员滥用职权;

　　(4)相关机构或人员串通舞弊。

　　为确保反舞弊工作落到实处，企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办理要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。

　　信息与沟通的方式是灵活多样的，但无论哪种方式，都应当保证信息的真实性、及时性和有用性。

　　(五)内部监督

　　内部监督是企业对内部控制建立与实施情况监督检查，评价内部控制的有效性，对于发现的内部控制缺陷及时加以改进，是实施内部控制的重要保证。从定义出发，内部监督主要有两个方面的意义：第一，发现内控缺陷，改善内部控制体系，促进企业内部控制的健全性、合理性;第二，提高企业内部控制施行的有效性。除此之外，内部监督也是外部监管的有力支撑。最后，内部监督机制可以减少代理成本，保障股东的利益。

　　1.企业应当制定内部控制监督制度，明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。

　　2.内部监督包括日常监督和专项监督。

　　(1)日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。日常监督的常见方式包括：在日常生产经营活动中获得能够判断内部控制设计与运行情况的信息;在与外部有关方面沟通过程中获得有关内部控制设计与运行情况的验证信息;在与员工沟通过程中获得内部控制是否有效执行的证据;通过账面记录与实物资产的检查比较对资产的安全性进行持续监督;通过内部审计活动对内部控制有效性进行持续监督。

　　(2) 专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或某些方面进行有针对性的监督检查。专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。

　　专项监督应当与日常监督有机结合，日常监督是专项监督的基础，专项监督是日常监督的补充，如果发现某专项监督需要经常性地进行，企业有必要将其纳入日常监督之中。

　　3.日常监督和专项监督情况应当形成书面报告，并在报告中揭示存在的内部控制缺陷。内部监督形成的报告应当有畅通的报告渠道，确保发现的重要问题能及时送达至治理层和经理层;同时，应当建立内部控制缺陷纠正、改进机制，充分发挥内部监督效力。

　　4.企业应当在日常监督和专项监督的基础上，定期对内部控制的有效性进行自我评价，出具自我评价报告。内部控制自我评价的方式、范围、程序和频率，除法律法规有特别规定的，一般由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。

　　四、内部控制的组织实施

　　(一)内部控制的组织形式

　　内部控制建设是一项系统工程，需要企业董事会、监事会、经理层及内部各职能部门共同参与并承担相应的职责。

　　1.董事会

　　2.审计委员会

　　3.监事会

　　4.经理层

　　5.内部控制部门

　　6.内部审计部门

　　7.财会部门

　　8.其他职能部门

　　(二)内部控制的设计程序

　　(三)内部控制的实施体系

　　内部控制的实施体系由三个层面构成：

　　1.以标准建设为推动

　　由财政部门同相关政府部门联合研究制定一套科学的、权威的、统一的企业内部控制规范体系，国务院部门和系统在此基础上，根据法律法规和行业监管规则，制定相关政策性文件，明确特定行业、特殊类型企业建立与实施内部控制的具体要求。

　　2.以企业实施为主体

　　企业应当根据有关法律法规和企业内部控制规范体系，制定本企业的内部控制制度并组织实施，在组织实施内部控制制度时，应当充分利用信息技术手段，建立内部控制的自我评价和激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。

　　3.以政府监管和社会评价为补充

　　为推动企业有效实施内控规范，财政、审计、证券、银行、保险等政府监管部门应对企业建立与实施内部控制的情况进行监督检查，会计师事务所应对企业内部控制的有效性进行审计，并出具内部控制审计报告。

　　【案例题1】(2009年试题)某公司按照财政部、证监会、审计署、银监会和保监会等五部委发布的《企业内部控制基本规范》的要求，建立并实施本公司的内部控制制度。该公司为此召开了董事会全体会议，就内部控制相关重大问题形成决议。摘要如下：

　　(1)控制目标。会议首先确定了公司内部控制的目标是要切实做到经营管理合法合规、资产安全，严格按照法律法规及相关监管要求开展经营活动，确保公司经营管理过程不存在任何风险。

　　(2)内部环境。内部环境是建立和实施内部控制的基础。会议一致通过了优化内部环境的决议，包括：严格规范公司治理结构，各类业务事项均应提交董事会或股东大会审核批准;调整机构设置和权责分配，做到所有不相容岗位或职务严格分离、相互制约、相互监督;完善人力资源政策，建立优胜劣汰机制，同时注重就业和员工权益保护，认真履行社会责任，加强企业文化建设，倡导诚实守信、爱岗敬业，开拓创新和团队协作精神。

　　(3)风险评估。会议决定成立专门的风险评估机构，围绕内部控制目标，定期或不定期对内部环境、业务流程等进行全面评估，准确识别公司面临的内外部风险，根据风险发生的可能性和影响程度进行排序，采取相应的风险应对策略。

　　(4)控制活动。会议明确了公司应从以下三个方面强化控制措施：一是实施全面预算管理，将各类业务事项均纳入预算控制;二是将控制措施“嵌入”信息系统中，通过现代化手段实现自动控制;三是完善合同管理制度，所有对外发生的经济行为均应签订书面合同。

　　(5)信息与沟通。会议要求公司完善信息与沟通制度。及时收集、整理与内部控制相关的内外部信息，促进信息在企业内部各层级之间，企业与外部有关方面之间的有效沟通与反馈;同时建立反舞弊机制，实施举报投诉制度和举报人保护制度，及时传达至全体中层以上员工。确保举报、投诉成为公司有效掌握信息的重要途径。

　　(6)内部监督。会议强调，内部监督是防止内部控制流于形式的重要保证。为此，公司应当强化内部监督制度，由审计委员会和内部审计机构全权负责内部控制的监督检查，合理保证内部控制目标的实现;审计委员会和内部审计机构在内部监督中发现重大问题，有权直接向董事会和监事会报告。

　　要求：

　　根据《企业内部控制基本规范》的要求，分析、判断该公司董事会会议形成的上述决议中有哪些不当之处，并简要说明理由。

　　1.控制目标方面：

　　(1)内部控制目标定位于保证经营管理合法合规、资产安全的观点不恰当。

　　理由：内部控制目标不仅包括合理保证经营合法合规、资产安全，还包括财务报告及相关信息真实完整目标、经营效率和效果目标、促进实现发展战略的目标。

　　(2)确保公司经营管理过程不存在任何风险的观点不恰当。

　　理由：内部控制的任务是将风险控制在可承受度范围内。

　　或：内部控制不能完全消除企业面临的全部风险。

　　2.内部环境方面：

　　(1)各类业务事项均应提交董事会或股东大会审核批准的观点不恰当。

　　理由：各类业务事项应按照规定的权限和程序进行审核批准。

　　或：重大业务事项才需要提交董事会审核批准。

　　或：各类业务事项不需要提交董事会或股东大会审核批准。

　　(2)所有不相容岗位或职务严格分离的观点不恰当。

　　理由：不符合适应性原则和成本效益原则的要求。

　　或：受公司规模、业务特点等因素影响，无法对不相容岗位或职务实现有效分离的，可不予分离。

　　3.控制活动方面：

　　(1)将各类业务事项均纳入预算控制的观点不恰当。

　　理由：预算控制措施一般不适用于不能量化的业务事项。

　　(2)所有对外发生的经济行为均须签订书面合同的观点不恰当。

　　理由：不符合成本效益原则的要求。

　　或：对于零星、即时清结等交易行为，可不签订书面合同。

　　4.信息与沟通方面：

　　举报投诉制度和举报人保护制度仅传达至全体中层以上员工的观点不恰当。

　　理由：举报投诉制度和举报人保护制度应传达至公司全体员工。

　　5.内部监督方面

　　审计委员会和内部审计机构全权负责内部控制监督检查的观点不恰当。

　　理由：董事会负责内部控制的建立和有效实施;除内部审计机构之外，经理层及公司其他内部机构在内部监督中也应承担相应的职责。

　　考点二：企业层面控制

　　企业层面控制，是指对企业控制目标的实现具有重大影响，与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。在此，侧重介绍与内部环境直接相关的有关控制。

　　一、组织架构控制：主要风险;设计环节;运行环节

　　组织架构，是指企业按照国家有关法律法规、股东(大)会决议和企业章程，结合本企业实际，明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

　　(一)组织架构设计与运行中的主要风险

　　企业至少应当关注组织架构设计与运行中的下列风险：

　　1.治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

　　2.内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。

　　(二)组织架构设计环节的关键控制点及控制措施

　　企业组织架构设计，是根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。企业组织架构设计没有固定的模式，根据企业生产技术特点及内外部条件而有所不同。但是，无论具体形态如何不同，总的要求还是从企业的实际出发，选择和确定企业的组织架构，保证企业稳定、高效地进行经营活动。

　　1.企业各级的职责

　　2.组织架构设计需要考虑的因素

　　企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。

　　3.组织架构设计的要求

　　(1)重大问题的集体决策或联签制度。

　　企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。

　　(2)避免业务重复或职能重叠。

　　业务重复或职能重叠会导致企业有限资源的浪费和工作效率下降，设计组织架构应避免出现这样的问题，以提高资源的利用效率和工作效率，将企业管理层次保持在合理水平。

　　(3)明确岗位职责。

　　企业应当对各机构的职能进行科学合理的分解，确定各具体职位的名称、职责和工作要求等，编制岗(职)位说明书，明确各个岗位的权限和相互关系。企业应当制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。

　　(4)不相容职务分离。

　　企业在确定职权和岗位分工过程中，企业应当按照不相容职务相互分离的要求，对各机构的职能进行科学合理的分解，确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系。

　　不相容职务分离基于的假设是两个人无意识同犯一个错误的可能性很小，而一个人舞弊的可能性要大于两个人，而且两个人共同舞弊的成本也高于一个人舞弊，可以有效的降低舞弊风险。组织架构中的不相容职务通常包括：可行性研究与决策审批;决策审批与执行;执行与监督检查等。

　　(三)组织架构运行环节的关键控制点及控制措施

　　1.全面梳理治理结构和内部机构

　　企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。

　　(1)在梳理治理结构的过程中，应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况，以及董事会、监事会和经理层的运行效果。治理结构存在问题的，应当采取有效措施加以改进。

　　(2)在梳理内部机构设置过程中，应当重点关注内部机构设置的合理性和运行的高效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的，应当及时解决。

　　2.对子公司的监控

　　企业拥有子公司的，应当建立科学的投资管控制度，通过合法有效的形式履行出资人职责、维护出资****益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。

　　3.及时全面评估组织架构

　　企业应当定期对组织架构设计与运行的效率和效果进行全面评估，发现组织架构设计与运行中存在缺陷的，应当进行优化调整。企业组织架构调整应当充分听取董事、监事、高级管理人员和其他员工的意见，按照规定的权限和程序进行决策审批。

　　二、发展战略控制：主要风险;制定环节;实施环节

　　发展战略，是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划。企业发展战略是关于企业发展的谋略。企业发展是成长、壮大的过程，其中既包括量的增加，也包括质的变化。

　　企业发展也需要谋略，对企业发展整体性、长期性、基本性的谋略就是企业发展战略。

　　(一)发展战略制定与实施中的主要风险

　　企业制定与实施发展战略至少应当关注下列风险：

　　1.缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。

　　2.发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。

　　3.发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。

　　(二)发展战略制定环节的关键控制点及控制措施

　　企业应当在充分调查研究、科学分析预测和广泛征求意见的基础上，综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素，制定发展目标。企业应当根据发展目标制定战略规划，明确企业发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径。

　　1.战略委员会的含义：战略委员会主任通常由董事长兼任。

　　2.战略委员会的职责和成员所需的能力条件

　　3.战略委员会的议事规则和决策程序

　　4.发展目标和战略规划

　　(三)发展战略实施环节的关键控制点及控制措施

　　1.企业应当根据发展战略，制定年度工作计划，编制全面预算，将年度目标分解、落实;同时完善发展战略管理制度，确保发展战略有效实施。

　　2.企业应当重视发展战略的宣传工作，通过内部各层级会议和教育培训等有效方式，将发展战略及其分解落实情况传递到内部各管理层级和全体员工。比如吴士宏入主TCL时期，制定了一系列发展计划，甚至召开了新闻发布会，在外部人员都在评价TCL发展战略时，而TCL公司内部的员工对这一系列发展战略却了解甚少，甚至一无所知，吴士宏制定的发展战略最终失败也就毫无疑问了。因此，互动双向沟通培训作为一项制度，必须贯穿于发展战略实施的始终。

　　3.企业软硬件的配套

　　4.发展战略的动态监控、评估与报告

　　5.发展战略的调整

　　三、人力资源控制：主要风险;引进与开发;使用与退出

　　毛泽东同志曾经说过：“政治路线确定以后，干部就是决定一切的因素。”古今中外，在影响一个国家、地区、行业或组织发展的因素当中，起决定性作用的是人力资源因素;国与国之间、企业与企业之间的竞争，归根到底是人力资源的竞争。

　　《国家中长期人才发展规划纲要(2010-2020年)》把人才问题提到了前所未有的高度，明确指出“人才是社会文明进步、人民富裕幸福、国家繁荣昌盛的重要推动力量”。所有这些都表明，人力资源已经成为促进经济社会发展的第一要素。企业作为创造社会财富的主体，其组织架构和战略目标确定之后，人力资源管理应当摆在“重中之重”的位置。

　　人力资源，是指企业组织生产经营活动而录(任)用的各种人员，包括董事、监事、高级管理人员和全体员工。企业应当重视人力资源建设，根据发展战略，结合人力资源现状和未来需求预测，制定人力资源总体规划和能力框架体系，优化人力资源整体布局，明确人力资源的引进、开发、使用、培养、考核、激励、退出等管理要求，实现人力资源的合理配置，全面提升企业核心竞争力。

　　(一)人力资源管理中的主要风险

　　企业人力资源管理至少应当关注下列风险：

　　1.人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。这一风险侧重于企业决策层和执行层的高管人员。在现代企业中，决策层和执行层对于实现企业发展战略具有十分重要的作用。

　　2.人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。

　　3.人力资源退出机制不当，可能导致法律诉讼或企业声誉受损。

　　(二)人力资源引进与开发环节的关键控制点及控制措施

　　企业招聘是保证员工素质的第一环节。企业人事部门应严格审查应聘人员的专业技术等因素，以便保证其能满足具体的工作要求。招聘人员可以通过资格审查、初选、面试、测试以及甄选等方式评估应聘人员的技术情况和掌握的技能，以及调查其过去有无不诚实行为和渎职情况的发生。面试和测试是招聘选拔中的主要手段。通过面试，可对应聘人员有深层次的了解;测试是在面试的基础上进一步了解应聘者的一种手段。

　　(三)人力资源使用与退出环节的关键控制点及控制措施

　　人力资源的使用与退出是人力资源管理的重要组成部分。良好的人力资源使用机制，可以促进企业员工队伍充满活力，保证员工连续的职业生涯，并有利于企业人力资源符合企业发展目标，实现企业和员工的双赢。同时，为了确保人力资源的有效利用，使员工队伍持续保持优化状态，企业应当建立和完善人力资源激励约束机制，从战略层面、管理层面，理性对待人力资源退出，致力促进企业人力资源系统良性循环。

　　1.人力资源的使用

　　企业应当建立和完善人力资源的激励约束机制，设置科学的业绩考核指标体系，对各级管理人员和全体员工进行严格考核与评价，以此作为确定员工薪酬、职级调整和解除劳动合同等的重要依据。为了充分发挥人才的作用，要创新激励保障机制，激发人才干事创业的积极性;要建立以绩效为核心的分配激励制度;要完善按劳分配为主体、多种分配方式并存的分配制度，坚持效率优先、兼顾公平，多种生产要素按贡献参与分配。企业要注意发挥绩效考核对调动员工积极性和创造性的引导作用，注重对绩效考核结果的科学运用。

　　在人才发展最好时，要适时的调整岗位和职位，使之始终处于亢奋期和临战状态。因此，企业应该制定各级管理人员和关键岗位员工定期轮岗制度，全面提高员工素质。

　　2.人力资源的退出

　　建立企业人力资源退出机制是实现企业发展战略的必然要求。人力资源只进不出，人力资源就会造成滞胀，严重影响企业有效运行。实施人力资源退出，可以保证企业人力资源团队的精干、高效和富有活力。通过自愿离职、再次创业、待命停职、提前退休、离岗转岗等途径，可以实现不适合于企业战略或流程的员工直接或间接地退出，让更优秀的人员充实相应的岗位，真正做到“能上能下、能进能出”，实现人力资源的优化配置和战略目标。

　　四、社会责任控制：主要风险;安全生产环节;产品质量环节;环境保护与资源节约环节;促进就业与员工权益保护环节

　　社会责任，是指企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量(含服务)、环境保护、资源节约、促进就业、员工权益保护等。

　　企业承担的社会责任不仅来源于外部压力，更是来源于企业内部的经营发展需要，因此提高企业的社会责任意识与建立完善的内部控制制度是密不可分的。企业应当重视履行社会责任，切实做到经济效益与社会效益、短期利益与长远利益、自身发展与社会发展相互协调，实现企业与员工、企业与社会、企业与环境的健康和谐发展。

　　(一)履行社会责任中的主要风险

　　企业至少应当关注在履行社会责任方面的下列风险：

　　1.安全生产措施不到位，责任不落实，可能导致企业发生安全事故。

　　2.产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。

　　3.环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业。

　　4.促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。

　　(二)安全生产环节的关键控制点及控制措施

　　(三)产品质量环节的关键控制点及控制措施

　　(四)环境保护与资源节约环节的关键控制点及控制措施

　　企业应当按照国家有关环境保护与资源节约的规定，结合本企业实际情况，建立环境保护与资源节约制度，认真落实节能减排责任，积极开发和使用节能产品，发展循环经济，降低污染物排放，提高资源综合利用效率。通过宣传教育等有效形式，不断提高员工的环境保护和资源节约意识。

　　(五)促进就业与员工权益保护环节的关键控制点及控制措施

　　促进员工就业是企业社会责任的重要体现，保障就业、稳定就业，是社会稳定和发展的大计。中国是世界上人口最多的国家，又是世界上最大的发展中国家。面对宠大的人口数量，国民经济还相对薄弱，要让尽可能多的劳动者享受改革发展的成果，促进社会稳定和谐，就要最大限度地创造就业，这不仅是各级政府的责任，也是企业应尽的义务。中国的企业家身上不能只流淌着金钱和利润的血液，更应流淌着道德的血液，应该做超越资本运营者的更高层次的企业家。

　　企业应当依法保护员工的合法权益，贯彻人力资源政策，保护员工依法享有劳动权利和履行劳动义务，保持工作岗位相对稳定，积极促进充分就业，切实履行社会责任同时应避免在正常经营情况下批量辞退员工，增加社会负担。

　　企业与员工签订并履行劳动合同，应遵循按劳分配、同工同酬的原则，建立科学的员工薪酬制度和激励机制，不得克扣或无故拖欠员工薪酬。应建立高级管理人员与员工薪酬的正常增长机制，切实保持合理水平，维护社会公平。

　　在社保方面，企业应及时办理员工社会保险，足额缴纳社会保险费，保障员工依法享受社会保险待遇，并按照有关规定做好健康管理工作，预防、控制和消除职业危害;按期对员工进行非职业性健康监护，对从事有职业危害作业的员工进行职业性健康监护;同时企业应遵守法定的劳动时间和休息休假制度，确保员工的休息休假权利。

　　企业应当加强职工代表大会和工会组织建设，维护员工合法权益，积极开展员工职业教育培训，创造平等发展机会。企业应当尊重员工人格，维护员工尊严，杜绝性别、民族、宗教、年龄等各种歧视，保障员工身心健康。

　　企业应当按照产学研用相结合的社会需求，积极创建实习基地，大力支持社会有关方面培养、锻炼社会需要的应用型人才。企业应当积极履行社会公益方面的责任和义务，关心帮助社会弱势群体，支持慈善事业

　　五、企业文化控制：主要风险;文化培育环节;文化评估环节

　　企业文化，是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。著名经济学家于光远先生站在战略高度精辟指出，“国家富强在于经济，经济繁荣在于企业，企业兴旺在于管理，管理优劣在于文化”。可见，企业文化对于企业发展壮大的关键作用。企业有了积极向上的优秀文化，它就会重视创新、尊重知识、尊重人才、赢得客户、打响品牌，终成“百年老店”;反之，企业缺乏优秀的文化，它就像一个没有个性和创业激情的人，终将在市场竞争中湮没沉沦，失去竞争力，为市场所唾弃。正是由于企业文化在促进企业发展战略实现过程中的灵魂和支柱作用，在企业内部控制应用指引中单独立项加以规范。

　　(一)企业文化建设中的主要风险

　　加强企业文化建设至少应当关注下列风险：

　　1.缺乏积极向上的企业文化，可能导致员工丧失对企业的信心和认同感，企业缺乏凝聚力和竞争力。

　　2.缺乏开拓创新、团队协作和风险意识，可能导致企业发展目标难以实现，影响可持续发展。

　　3.缺乏诚实守信的经营理念，可能导致舞弊事件的发生，造成企业损失，影响企业信誉。

　　4.忽视企业间的文化差异和理念冲突，可能导致并购重组失败。

　　建立符合企业自身特点和发展战略的企业文化，加强和完善企业内部控制制度，是大中型企业进行治理的重要内容。这样不仅能够解决会计信息失真、企业内部管理失控等问题，而且对提高企业的竞争力和凝聚力，促进企业长期发展具有重要意义。

　　(二)企业文化培育环节的关键控制点及控制措施

　　企业文化能够为企业提供长久深厚的发展动力。企业要获得长久稳定的发展，就必须建立起自己的信仰体系，让员工坚定地确认企业的战略目标、经营方针、管理规范等等，自觉地把自我价值与企业价值、个人命运与企业命运紧密的联系在一起。

　　企业文化可以从价值观、企业精神、伦理道德、管理宗旨到规章制度、员工行为、企业形象等方面，以规范严谨的方式，构建自己的体系，营造起企业的精神家园，为企业发展长久战略提供源源不断的精神和思想动力。

　　董事、监事、经理和其他高级管理人员应当在企业文化建设中发挥主导和垂范作用，以自身的优秀品格和脚踏实地的工作作风，带动影响整个团队，共同营造积极向上的企业文化氛围。企业应当促进文化建设在内部各层级的有效沟通，加强企业文化的宣传和贯彻，确保全体员工共同遵守。

　　(三)企业文化评估环节的关键控制点及控制措施

　　企业文化评估是企业文化建设与创新的重要环节。企业应当建立企业文化评估制度，明确评估的内容、程序和方法，落实评估责任制，避免企业文化建设流于形式。

　　企业文化评估，应当重点关注董事、监事、经理和其他高级管理人员在企业文化建设中的责任履行情况、全体员工对企业核心价值观的认同感、企业经营管理行为与企业文化的一致性、企业品牌的社会影响力、参与企业并购重组各方文化的融合度，以及员工对企业未来发展的信心。

　　【案例题2】红星公司是一家集农工商为一体的中型企业，主要从事农产品的生产、加工和销售，在国内农副产品市场，具有较高的知名度和市场的份额。红星公司的董事长张某十年前从事贩卖鸭蛋的生意，有了一定的资本以后，在数年前与他的妹夫一起创立了红星公司，同时任命他的妹夫随某为公司的总经理。公司以利润的最大化为目标，为了提高公司的盈利能力，红星公司决定从农产品的生产开始建立生产基地，按照市场销售动向生产产品，以满足消费者的需求，提高销量，扩大市场份额，提高市场效益。加工阶段，注意产品的形象，多生产品向好的产品，在销售阶段，建立营销队伍，设立专柜，扩大宣传，引导消费。

　　该公司经过努力，企业规模不断扩大，经济效益节节升高。销售过程中，总经理随某发现，大多数人在买东西的时候都愿意挑颜色好看的产品，比方说，买咸鸭蛋时喜欢买红心的，如果能够生产出红心蛋，不但卖的快而且价钱高，这种情况下，公司千方面计生产红心蛋，这一提议得到了董事长张某的全力支持，经过实验，只要在饲料当中添加苏丹红，鸭子所产下来的鸭蛋就符合红收蛋的标准，经过加工，咸制，最终产生了公司的特产红心鸭蛋。

　　苏丹红学名叫苏丹，分为1、2、3、4号，都是工业染料，近年轰动全国的苏丹红事件当中包括广东亨氏美味原辣椒酱，肯德基新奥尔良烤翅在内的30家企业88个食品被检测出含有致癌的工业染料，就是苏丹红1号，苏丹红4号不但颜色更加鲜艳，毒性更大，国际癌症研究机构将苏丹红4号列为三类致癌物品，这些红心蛋经中国检验检疫，这个食品安全研究所检测结果显示，这些红心鸭蛋已经遭到了严重的污染，产品含有苏丹红4号。

　　在实验之初，红星公司的技术人员曾经注意到苏丹红作为工业染料含有对人的致癌物品，不能作为食品的添加剂，而且国家是明令禁止的，董事长张某还是决定继续使用苏丹红作为饲料的添加剂，企业决策层一片拥护，未能对张某的决定予以否决。事件暴露以后，国家行政主管部门，对红星公司进行了封杀，要求全面检查红心蛋的生产和经营单位，详细登记市场上销售涉嫌含有苏丹红红心鸭蛋进货和库存的情况，并且将所有产品予以查封和销毁，红星公司的鸭蛋遭到封杀，产品被查封，企业停产整顿，相关责任人实验依法查处。

　　要求：

　　从内部控制的角度，简要分析红星公司企业层面的控制方面所存在的缺陷。

　　1.组织架构控制方面有问题。

　　理由：董事长张某任命其妹夫随某为总经理，董事长说话作出决定管理层一片拥护，对明显或重大错误的决定没有进行否决，导致企业的治理结构形同虚设;任命其亲信作为总经理，也是违背治理结构的要求的。

　　2.发展战略的控制方面所存在的缺陷。

　　缺乏明确、科学的发展战略和长远的规划。

　　理由：其目标是追求利润最大化，在这个过程中出现了问题。企业应该合法、合规经营，不能把目标仅仅定位于追求利润最大化。

　　3.社会责任方面所存在的缺陷。

　　理由：产品质量低劣，坑害广大消费者。结果导致产品被查封，企业被清理整顿。

　　4.在企业文化控制方面所存在的缺陷。

　　理由一：企业决策层特别是董事长道德缺失，这是内部控制环境的最大缺陷，也是导致问题的最根本原因。

　　理由二：随某及其他高管人员缺乏正确的文化观念或价值取向，是导致该企业经营失败的重要原因。

　　考点三　业务层面控制

　　业务层面控制，是指综合运用各种控制手段和方法，针对具体业务和事项实施的控制。由于企业性质、规模、经营范围和业务特点千差万别。在此，侧重介绍多数企业普遍存在的部分控制。

　　本部分依据《企业内部控制应用指引第6号—第18号》，共13项控制，其中9项属于控制活动类，4项属于控制手段类。

　　一、资金活动控制：主要风险;筹资;投资;资金运营

　　资金是企业生存和发展的重要基础，被视为企业生产经营的血液，一直受到企业的高度重视。本次国际金融危机爆发后，全球经济萧条，大量企业陷入困境，资金链断裂导致很多企业经营困难甚至破产倒闭，如何防范资金风险、维护资金安全、提高资金效益成了社会广泛关注的热点问题。

　　资金活动，是指资金流入与流出企业，以及资金在企业内部流转的总称，包括筹资、投资和资金营运等活动。企业应当科学确定投融资战略目标和规划，建立和完善严格的资金授权、批准、审验等相关管理制度，加强资金活动的集中归口管理，明确筹资、投资、营运等各环节的职责权限和岗位分离要求，定期或不定期检查和评价资金活动情况，落实责任追究制度，确保资金安全和有效运行。

　　(一)资金活动中的主要风险

　　加强和改进资金活动内部控制，是企业生存和发展的内在需要。根据资金活动的特点，企业至少应当关注涉及资金活动的下列风险：

　　1.筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机。

　　2.投资决策失误，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下。

　　3.资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余。

　　4.资金活动管控不严，可能导致资金被挪用、侵占、抽逃或遭受欺诈。

　　(二)筹资活动中的关键控制点及控制措施

　　筹资活动是企业资金活动的起点，也是企业整个经营活动的基础。通过筹资活动，企业取得投资和日常生产经营活动所需的资金，从而使企业投资、生产经营活动能够顺利进行。企业应当根据经营和发展战略的资金需要，确定融资战略目标和规划，结合年度经营计划和预算安排，拟定筹资方案，明确筹资用途、规模、结构和方式等相关内容，对筹资成本和潜在风险作出充分估计。

　　1.岗位的分工与授权批准

　　2.筹资活动的业务流程(关注筹资方案论证、筹资方案审批、资金的使用)

　　(三)投资活动中的关键控制点及控制措施

　　企业投资活动是筹资活动的延续，也是筹资的重要目的之一。投资活动作为企业一种盈利活动，对于筹资成本补偿和企业利润创造，具有举足轻重的意义。企业应该根据自身发展战略和规划，结合企业资金状况以及筹资可能性，拟定投资目标，制定投资计划，合理安排资金投放的数量、结构、方向与时机，慎选投资项目，突出主业，谨慎从事股票或衍生金融工具等高风险投资。境外投资还应考虑政治、经济、金融、法律、市场等环境因素。如果采用并购方式进行投资，应当严格控制并购风险，注重并购协同效应的发挥。

　　1.职责分工与授权批准控制

　　2.投资活动业务流程(关注投资方案可行性论证、投资方案审批、投资项目跟踪)

　　(四)资金营运环节

　　企业资金营运内部控制的主要目标是：

　　第一，保持生产经营各环节资金供求的动态平衡。企业应当将资金合理安排到采购、生产、销售等各环节，做到实物流和资金流的相互协调、资金收支在数量上及在时间上相互协调。

　　第二，促进资金合理循环和周转，提高资金使用效率。资金只有在不断流动的过程中才能带来价值增值。加强资金营运的内部控制，就是要努力促使资金正常周转效率，为短期资金寻找的适当投资机会，避免出现资金闲置和沉淀等低效现象。

　　第三，确保资金安全。企业的资金营运活动大多与流动资金尤其是货币资金相关，这些资金由于流动性很强，出现错弊的可能性更大，保护资金安全的要求更迫切。

　　1.资金营运活动的业务流程

　　2.资金营运内部控制的关键控制点及控制措施

　　二、采购业务控制：主要风险;购买环节;付款环节

　　(一)采购活动中的主要风险

　　根据采购业务的特点，企业至少应当关注涉及采购业务的下列风险：

　　1.采购计划安排不合理，市场变化趋势预测不准确，造成库存短缺或积压，可能导致企业生产停滞或资源浪费。

　　2.供应商选择不当，采购方式不合理，招投标或定价机制不科学，授权审批不规范，可能导致采购物资质次价高，出现舞弊或遭受欺诈。

　　3.采购验收不规范，付款审核不严，可能导致采购物资、资金损失或信用受损。

　　(二)购买环节的关键控制点及控制措施

　　1.建立采购申请制度

2.按照预算执行进度办理请购手续;

　　3.建立供应商评估和准入制度;

　　4.合理选择采购方式;

　　5.建立科学的定价机制;

　　6.建立严格的验收制度。

　　同时，注意企业采购业务的不相容岗位：

　　(1)请购与审批。企业物品采购应由使用部门根据其需要提出申请，并经分管采购工作的负责人进行审批。

　　(2)供应商的选择与审批。企业应由采购部门和相关部门共同参与询价程序并确定供应商，但是决定供应商的人员不能同时负责审批。

　　(3)采购合同协议的拟订、审核与审批。企业应由采购部门下订单或起草购货合同并经授权部门或人员审核、审批。

　　(4)采购、验收与相关记录。

　　(三)付款环节的关键控制点及控制措施

　　(1)企业应当加强采购付款的管理，完善付款流程，明确付款审核人的责任和权力，严格审核采购预算、合同、相关单据凭证、审批程序等相关内容，审核无误后按照合同规定及时办理付款。企业在付款过程中，应当严格审查采购发票的真实性、合法性和有效性。发现虚假发票的，应查明原因，及时报告处理。企业应当重视采购付款的过程控制和跟踪管理，发现异常情况，应当拒绝付款，避免出现资金损失和信用受损。

　　(2)企业应当加强预付账款和定金的管理，涉及大额或长期的预付款项，应当定期进行追踪核查，发现有疑问的预付款项，应当及时采取措施。

　　(3)企业应当加强对采购活动的会计系统控制，详细记录供应商情况、请购申请、采购合同、采购通知、验收证明、入库凭证、商业票据、款项支付等情况，确保会计记录、采购记录与仓储记录核对一致。企业应当指定专人通过函证等方式，定期与供应商核对应付账款、应付票据、预付账款等往来款项。

　　(4)企业应当建立退货管理制度，对退货条件、退货手续、货物出库、退货货款回收等做出明确规定，并在与供应商的合同中明确退货事宜，及时收回退货货款。涉及符合索赔条件的退货，应在索赔期内及时办理索赔。

　　三、资产管理控制：主要风险;存货;固定资产;无形资产

　　资产，是指企业拥有或控制的存货、固定资产和无形资产。企业应当加强各项资产管理，全面梳理资产管理流程，及时发现资产管理中的薄弱环节，切实采取有效措施加以改进，并关注资产减值迹象，合理确认资产减值损失。重视各项资产的投保工作，采用招标等方式确定保险人，降低资产损失风险，防范资产投保舞弊。

　　(一)资产管理中的主要风险

　　根据资产管理的特点，企业至少应当关注涉及资产管理的下列风险：

　　1.存货积压或短缺，可能导致流动资金占用过量、存货价值贬损或生产中断。

　　2.固定资产更新改造不够、使用效能低下、维护不当、产能过剩，可能导致企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费。

　　3.无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患，可能导致企业法律纠纷、缺乏可持续发展能力。

　　(二)存货管理控制

　　存货占用资金比重较大、品种繁多，对企业的资产和损益有很大的影响。因此，完善和加强企业存货管理体系越来越重要。存货所涉及的主要业务活动包括发出原材料、生产产品、核算生产成本、核算在产品、储存产成品、发出产成品等，一般会涉及到生产计划部门、仓库、生产部门、销售部门、会计部门。

　　存货管理控制是企业内部控制的重要环节，是内部控制中的应用控制，是企业实现经营目标，贯彻经营方针和决策，维护流动资产安全与完整，保证财务收支合法、会计信息真实性的一种内部自我协调、制约和监督的控制系统。企业应当采用先进的存货管理技术和方法，规范存货管理流程，明确存货取得、验收入库、原料加工、仓储保管、领用发出、盘点处置等环节的管理要求，充分利用信息系统，强化会计、出入库等相关记录，确保存货管理全过程的风险得到有效控制。

　　关注：

　　1.存货的授权管理

　　2.存货盘点制度

　　(三)固定资产管理控制

　　固定资产在企业资产总额中一般都占有较大的比例，确保企业资产安全、完整，意义重大。财政部对固定资产的管理十分重视。国家颁发的《企业会计制度》及有关固定资产新准则相继出台，走在了与国际固定资产会计准则接轨的前沿。一个企业的良性发展，固定资产管理显得尤为重要。传统的固定资产管理模式无论从质量上还是效率上，都难以适应经营管理新形式的需要。因此，寻找一种简便、高效的管理手段成为必然。

　　重点关注：

　　1.固定资产日常的维护修理改良要有规划

　　2.固定资产的抵押

　　3.固定资产清查盘点

　　(四)无形资产管理控制

　　重点关注：

　　1.加强无形资产权益的保护

　　2.注重品牌建设，加强声誉管理

　　四、销售业务控制：主要风险;销售环节;收款环节

　　销售，是指企业出售商品(或提供劳务)及收取款项等相关活动。销售业务是企业的主要经营业务之一，也是解决企业收入的重要环节。企业为了规范销售行为，防范销售过程中的差错和舞弊，保证销售业务会计记录的真实可靠，有必要建立健全销售业务的内部控制。

　　企业的销售业务并不是简单的交易过程，而是分步骤的交易行为：从收到对方的订单，洽谈交易事宜，到货物的交接，再到货款的支付，甚至还有退货和折让的发生等等。在此过程中，企业不仅需要调查客户的信用，与客户展开激烈的价格谈判，全力组织客户需要的货物，而且还需要灵活地处理销售折让和销售退回。这些环节还可能出现事先无法预料的情况，所以销售是一项复杂的系统工程。

　　(一)销售活动中的主要风险

　　根据销售的特点，企业至少应当关注涉及销售业务的下列风险：

　　1.销售政策和策略不当，市场预测不准确，销售渠道管理不当等，可能导致销售不畅、库存积压、经营难以为继。

　　2.客户信用管理不到位，结算方式选择不当，账款回收不力等，可能导致销售款项不能收回或遭受欺诈。

　　3.销售过程存在舞弊行为，可能导致企业利益受损。

　　(二)销售环节的关键控制点及控制措施

　　(1)企业应当加强市场调查，合理确定定价机制和信用方式，根据市场变化及时调整销售策略，灵活运用销售折扣、销售折让、信用销售、代销和广告宣传等多种策略和营销方式，不断提高市场占有率。企业应当健全客户信用档案，关注重要客户资信变动情况，采取有效措施，防范信用风险。对于境外客户和新开发客户，应当建立严格的信用保证制度。

　　有条件的企业可以设立专门的信用管理部门或岗位，负责制定企业信用政策，监督各部门信用政策执行情况。信用政策应当明确规定定期(或至少每年)对客户资信情况进行评估，并就不同的客户明确信用额度、回款期限、折扣标准以及违约情况下应采取的应对措施等。企业应当合理采用科学的信用管理技术，不断收集、健全客户信用资料，建立客户信用档案或者数据库。

　　(2)企业在销售合同订立前，应当与客户进行业务洽谈、磋商或谈判，关注客户信用状况、销售定价、结算方式等相关内容。重大的销售业务谈判应当吸收财会、法律等专业人员参加，并形成完整的书面记录。

　　谈判人员一般可由销售部门负责人指定一名销售业务员和一名销售内勤(设立法律部门的单位可由法律服务部派出一名谈判人员)参加与客户的谈判。在与客户谈判过程中，以已经批准的销售价格、信用政策、发货及收款方式作为谈判的底线。

　　(3)销售合同应当明确双方的权利和义务，审批人员应当对销售合同草案进行严格审核。

　　企业应当建立健全销售合同协议审批制度，明确说明具体的审批程序及所涉及的部门人员，并根据企业的实际情况明确界定不同合同协议金额审批的具体权限分配等。审批人员应当对销售合同协议草案中提出的销售价格、信用政策、发货及收款方式等严格审查并建立客户信息档案。重要的销售合同，应当征询法律顾问或专家的意见。

　　(4)企业销售部门应当按照经批准的销售合同开具相关销售通知。发货和仓储部门应当对销售通知进行审核，严格按照所列项目组织发货，确保货物的安全发运。企业应当加强销售退回管理，分析销售退回原因，及时妥善处理。企业应当严格按照发票管理规定开具销售发票，严禁开具虚假发票。

　　(5)企业应当在销售与发货各环节做好相关的记录，填制相应的凭证，建立完整的销售登记制度，并加强销售订单、销售合同协议、销售计划、销售通知单、发货凭证、运货凭证、销售发票等文件和凭证的相互核对工作。

　　销售部门设置销售台账，及时反映各种商品、劳务等销售的开单、发货、收款情况，并由相关人员对销售合同协议执行情况进行定期跟踪审阅。销售台账应当附有客户订单、销售合同协议、客户签收回执等相关单据。

　　(6)企业应当完善客户服务制度，加强客户服务和跟踪，提升客户满意度和忠诚度，不断改进产品质量和服务水平。

　　(三)收款环节的关键控制点及控制措施

　　(1)企业应当完善应收款项管理制度，严格考核。销售部门负责应收款项的催收，催收记录(包括往来函电)应妥善保存;财会部门负责办理资金结算并监督款项回收。

　　企业应当及时办理销售收款业务。对以银行转账方式办理的销售收款，应当通过企业核定的账户进行结算。企业应当将销售收入及时入账，不得账外设账，不得擅自坐支现金，应当避免销售人员直接接触销售现款。

　　应收账款应分类管理，针对不同性质的应收款项，采取不同方法和程序。应严格区分并明确收款责任，建立科学、合理的清收奖励制度以及责任追究和处罚制度，以有利于及时清理催收欠款，保证企业营运资产的周转效率。企业应当按客户设置应收账款台账，及时登记并评估每一客户应收账款余额增减变动情况和信用额度使用情况。

　　(2)企业应当加强商业票据管理，明确商业票据的受理范围，严格审查商业票据的真实性和合法性，防止票据欺诈。

　　企业应当关注商业票据的取得、贴现和背书，对已贴现但仍承担收款风险的票据以及逾期票据，应当进行追索监控和跟踪管理。应收票据的贴现必须经由保管票据以外的主管人员的书面批准，应当有专人保管应收票据，对于即将到期的应收票据，应当及时向付款人提示付款;已贴现但仍承担收款风险的票据应当在备查簿中登记，以便日后追踪管理。企业应当制定逾期票据追索监控和冲销管理制度。

　　(3)企业应当加强对销售、发货、收款业务的会计系统控制，详细记录销售客户、销售合同、销售通知、发运凭证、商业票据、款项收回等情况，确保会计记录、销售记录与仓储记录核对一致，并应当指定专人定期与客户核对应收账款、应收票据、预收账款等往来款项。

　　(4)企业应当加强应收款项坏账的管理。应收款项全部或部分无法收回的，应当查明原因，明确责任，并严格履行审批程序，按照国家统一的会计准则制度进行处理。

　　五、研究与开发控制：主要风险;立项与研究;开发与保护

　　研究与开发(以下简称研发)，是指企业为获取新产品、新技术、新工艺等所开展的各种研发活动。研发是企业增强竞争力的一个决定因素。为保证企业在市场中的领先地位，提高产品质量，企业界日益关注对于新产品的研究和开发。

　　(一)研究与开发活动中的主要风险

　　企业开展研发活动应当关注下列风险：

　　1.研究项目未经科学论证或论证不充分，可能导致创新不足或资源浪费。

　　2.研发人员配备不合理或研发过程管理不善，可能导致研发成本过高、舞弊或研发失败。

　　3.研究成果转化应用不足、保护措施不力，可能导致企业利益受损。

　　企业应当根据发展战略，结合市场开拓和技术进步要求，科学制定研发计划，强化研发全过程管理，规范研发行为，促进研发成果的转化和有效利用，不断提升企业自主创新能力。

　　(二)立项与研究环节的关键控制点及控制措施

　　1.企业应当按照规定的权限和程序对研发项目进行审批，重大研究项目应当报经董事会或类似权力机构集体审议决策。审批过程中，应当重点关注研究项目促进企业发展的必要性、技术的先进性以及成果转化的可行性。

　　2.企业应当建立和完善研究成果验收制度，组织专业人员对研究成果进行独立评审和验收。企业对于通过验收的研究成果，可以委托相关机构进行审查，确认是否申请专利或作为非专利技术、商业秘密等进行管理。企业对于需要申请专利的研究成果，应当及时办理有关专利申请手续。

　　3.企业应当建立严格的核心研究人员管理制度，明确界定核心研究人员范围和名册清单，签署符合国家有关法律法规要求的保密协议。企业与核心研究人员签订劳动合同时，应当特别约定研究成果归属、离职条件、离职移交程序、离职后保密义务、离职后竞业限制年限及违约责任等内容。

　　(三)开发与保护环节的关键控制点及控制措施

　　1.企业应当加强研究成果的开发，形成科研、生产、市场一体化的自主创新机制，促进研究成果转化。研究成果的开发应当分步推进，通过试生产充分验证产品性能，在获得市场认可后方可进行批量生产。

　　2.企业应当建立研究成果保护制度，加强对专利权、非专利技术、商业秘密及研发过程中形成的各类涉密图纸、程序、资料的管理。禁止无关人员接触研究成果。

　　3.企业应当建立研发活动评估制度，加强对立项与研究、开发与保护等过程的全面评估，总结研发管理经验，分析存在的薄弱环节，不断改进和提升研发活动的管理水平。

　　六、工程项目控制：主要风险;立项;招标;造价;建设;验收

　　(一)工程项目管理中的主要风险

　　企业应当关注与工程项目有关的下列风险：

　　1.立项缺乏可行性研究或者可行性研究流于形式、决策不当、盲目上马，可能导致难以实现预期效益或项目失败。

　　2.项目招标暗箱操作，存在商业贿赂，可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案。

　　3.工程造价信息不对称，技术方案不落实，概预算脱离实际，可能导致项目投资失控。

　　4.工程物资质次价高、工程监理不到位、项目资金不落实，可能导致工程质量低劣，进度延迟或中断。

　　5.竣工验收不规范，最终把关不严，可能导致工程交付使用后存在重大隐患。

　　(二)工程立项环节的关键控制点及控制措施

　　1.企业应当指定专门机构归口管理工程项目，根据发展战略和年度投资计划，提出项目建议书，开展可行性研究，编制可行性研究报告。

　　2.企业应当组织规划、工程、技术、财会、法律等部门的专家对项目建议书和可行性研究报告进行充分论证和评审，出具评审意见，作为项目决策的重要依据。

　　3.企业应当按照规定的权限和程序对工程项目进行决策，决策过程应有完整的书面记录。

　　(三)工程招标环节的关键控制点及控制措施

　　1.选择承保单位和监理单位

　　2.发布招标公告

　　3.选择中标人

　　企业应当依法组建评标委员会。评标委员会由企业的代表和有关技术、经济方面的专家组成。评标委员会应当客观、公正地履行职务、遵守职业道德，对所提出的评审意见承担责任。采取必要的措施，保证评标在严格保密的情况下进行。评标委员会应当按照招标文件确定的标准和方法，对投标文件进行评审和比较，择优选择中标候选人。

　　评标委员会成员和参与评标的有关工作人员不得透露对投标文件的评审和比较、中标候选人的推荐情况以及与评标有关的其他情况，不得私下接触投标人，不得收受投标人的财物或者其他好处。

　　企业应当按照规定的权限和程序从中标候选人中确定中标人，及时向中标人发出中标通知书，在规定的期限内与中标人订立书面合同，明确双方的权利、义务和违约责任。企业和中标人不得再行订立背离合同实质性内容的其他协议。

　　(四)工程造价环节的关键控制点及控制措施

　　1.企业应当加强工程造价管理，明确初步设计概算和施工图预算的编制方法，按照规定的权限和程序进行审核批准，确保概预算科学合理。

　　企业可以委托具备相应资质的中介机构开展工程造价咨询工作。

　　2.企业应当向招标确定的设计单位提供详细的设计要求和基础资料，进行有效的技术、经济交流。初步设计应当在技术、经济交流的基础上，采用先进的设计管理实务技术，进行多方案比选。

　　施工图设计深度及图纸交付进度应当符合项目要求，防止因设计深度不足、设计缺陷，造成施工组织、工期、工程质量、投资失控以及生产运行成本过高等问题。

　　3.企业应当建立设计变更管理制度。因过失造成设计变更的，应当追究相关责任人的责任。

　　4.企业应当组织工程、技术、财会等部门的相关专业人员或委托具有相应资质的中介机构对编制的概预算进行审核，重点审查编制依据、项目内容、工程量的计算、定额套用等是否真实、完整和准确。概预算按照规定的权限和程序审核批准后执行。

　　(五)工程建设环节的关键控制点及控制措施

　　企业应当加强对工程建设过程的监控，实行严格的概预算管理，切实做到及时备料，科学施工，保障资金，落实责任，确保工程项目达到设计要求。

　　建立严格的工程监理制度;

　　严格执行工程变更审批制度。

　　(六)工程验收环节的关键控制点及控制措施

　　企业收到承包单位的工程竣工报告后，应当及时编制竣工决算，开展竣工决算审计，组织设计、施工、监理等有关单位进行竣工验收。

　　七、担保业务控制：主要风险;评估与审批;执行与监督

　　担保是指企业作为担保人按照公平、自愿、互利的原则与债权人约定，当债务人不履行债务时，依照法律规定和合同协议承担相应法律责任的行为。建立健全担保内部控制制度，是规范担保行为、降低担保风险的有效途径，而在各控制关键点建立一套相互牵制、相互稽查、相互监督的内部控制体系，是企业内部控制制度的中心环节，其根本目的在于规范担保行为、防范担保风险、促进企业资金良性循环。

　　(一)担保业务活动中的主要风险

　　企业应当关注与担保业务有关的下列风险：

　　1.对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈。

　　2.对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致企业承担法律责任。

　　3.担保过程中存在舞弊行为，可能导致经办审批等相关人员涉案或企业利益受损。

　　企业应当依法制定和完善担保业务政策及相关管理制度，明确担保的对象、范围、方式、条件、程序、担保限额和禁止担保等事项，规范调查评估、审核批准、担保执行等环节的工作流程，按照政策、制度、流程办理担保业务，定期检查担保政策的执行情况及效果，切实防范担保业务风险。

　　(二)调查评估与审批环节的关键控制点及控制措施

　　1.企业对担保申请人出现以下情形之一的，不得提供担保：

　　(1)担保项目不符合国家法律法规和本企业担保政策的。

　　(2)已进入重组、托管、兼并或破产清算程序的。

　　(3)财务状况恶化、资不抵债、管理混乱、经营风险较大的。

　　(4)与其他企业存在较大经济纠纷，面临法律诉讼且可能承担较大赔偿责任的。

　　(5)与本企业已经发生过担保纠纷且仍未妥善解决的，或不能及时足额交纳担保费用的。

　　2.企业应当建立担保授权和审批制度，规定担保业务的授权批准方式、权限、程序、责任和相关控制措施，在授权范围内进行审批，不得超越权限审批。重大担保业务，应当报经董事会或类似权力机构批准。

　　其中上市公司须经股东大会审核批准的对外担保，包括但不限于下列情形：

　　(1)上市公司及其控股子公司的对外担保总额,超过最近一期经审计净资产50%以后提供的任何担保。

　　(2)为资产负债率超过70%的担保对象提供的担保。

　　(3)单笔担保额超过最近一期经审计净资产10%的担保。

　　(4)对股东、实际控制人及其关联方提供的担保。

　　4.企业应当采取合法有效的措施加强对子公司担保业务的统一监控。企业内设机构未经授权不得办理担保业务。

　　(三)执行与监督环节的关键控制点及控制措施

　　企业应当根据审核批准的担保业务订立担保合同。担保合同应明确被担保人的权利、义务、违约责任等相关内容，并要求被担保人定期提供财务报告与有关资料，及时通报担保事项的实施情况。担保申请人同时向多方申请担保的，企业应当在担保合同中明确约定本企业的担保份额和相应的责任。

　　1.企业担保经办部门应当加强担保合同的日常管理，定期监测被担保人的经营情况和财务状况，对被担保人进行跟踪和监督，了解担保项目的执行、资金的使用、贷款的归还、财务运行及风险等情况，确保担保合同有效履行。

　　2.企业应当加强对担保业务的会计系统控制，及时足额收取担保费用，建立担保事项台账，详细记录担保对象、金额、期限、用于抵押和质押的物品或权利以及其他有关事项。

　　企业财会部门应当及时收集、分析被担保人担保期内经审计的财务报告等相关资料，持续关注被担保人的财务状况、经营成果、现金流量以及担保合同的履行情况，积极配合担保经办部门防范担保业务风险。

　　八、业务外包控制：主要风险;承包方选择;外包业务实施

　　(一)业务外包活动中的主要风险

　　企业应当关注与业务外包有关的下列风险：

　　1.外包范围和价格确定不合理、承包方选择不当，可能导致企业遭受损失。

　　2.业务外包监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势。

　　3.业务外包存在商业贿赂等违法行为，可能导致企业相关人员涉案。

　　(二)承包方选择环节的关键控制点及控制措施

　　1.企业应当综合考虑成本效益原则，权衡利弊，避免将核心业务外包。

　　2.企业应当根据年度生产经营计划和业务外包管理制度，结合确定的业务外包范围，拟定实施方案，按照规定的权限和程序审核批准。

　　总会计师或分管会计工作的负责人应当参与重大业务外包的决策。重大业务外包方案应当提交董事会或类似权力机构审批。企业应当按照批准的业务外包实施方案选择承包方。

　　(三)外包业务实施环节的关键控制点及控制措施

　　1.企业应当加强业务外包实施的管理，严格按照业务外包制度、工作流程和相关要求，组织开展业务外包，并采取有效的控制措施，确保承包方严格履行业务外包合同。

　　2.企业应当做好与承包方的对接工作，加强与承包方的沟通与协调，及时搜集相关信息，发现和解决外包业务日常管理中存在的问题。

　　3.企业应当根据国家统一的会计准则制度，加强对外包业务的核算与监督，做好业务外包费用结算工作。

　　4.企业应当对承包方的履约能力进行持续评估，有确凿证据表明承包方存在重大违约行为，导致业务外包合同无法履行的，应当及时终止合同。

　　5.业务外包合同执行完成后需要验收的，企业应当组织相关部门或人员对完成的业务外包合同进行验收，出具验收证明。

　　九、财务报告控制：主要风险;编制;对外提供;分析利用

　　(一)财务报告过程中的主要风险

　　企业应当关注与财务报告有关的下列风险：

　　1.编制财务报告违反会计法律法规和国家统一的会计准则制度，可能导致企业承担法律责任和声誉受损。

　　2.提供虚假财务报告，误导财务报告使用者，造成决策失误，干扰市场秩序。

　　3.不能有效利用财务报告，难以及时发现企业经营管理中存在的问题，可能导致企业财务和经营风险失控。

　　(二)财务报告编制环节的关键控制点及控制措施

　　(三)财务报告对外提供环节的关键控制点及控制措施

　　(四)财务报告分析利用环节的关键控制点及控制措施

　　十、全面预算控制：主要风险;编制;执行;考核

　　全面预算，是指企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。预算控制是内部控制中使用较为广泛的一种控制措施。通过预算控制，使得企业的经营目标转化为各部门、各个岗位以至个人的具体行为目标，作为各责任单位的约束条件，能够从根本上保证企业经营目标的实现。

　　(一)预算管理中的主要风险

　　企业应当关注与预算管理有关的下列风险：

　　1.不编制预算或预算不健全，可能导致企业经营缺乏约束或盲目经营。

　　2.预算目标不合理、编制不科学，可能导致企业资源浪费或发展战略难以实现。

　　3.预算缺乏刚性、执行不力、考核不严，可能导致预算管理流于形式。

　　(二)预算编制环节的关键控制点及控制措施

　　1.企业应当建立和完善预算编制工作制度，明确编制依据、编制程序、编制方法等内容，确保预算编制依据合理、程序适当、方法科学，避免预算指标过高或过低。预算编制是企业实施全面预算管理的起点，也是全面预算管理的关键环节。

　　在编制预算的实际操作之前确定全面预算的编制起点，是任何预算编制机构首先应当解决的问题。

　　(1)以销售为起点

　　(2)以利润为起点

　　2.企业应当根据发展战略和年度生产经营计划，综合考虑预算期内经济政策、市场环境等因素，按照上下结合、分级编制、逐级汇总的程序，编制年度全面预算。

　　3.企业预算管理委员会应当对预算管理工作机构在综合平衡基础上提交的预算方案进行研究论证，从企业发展全局角度提出建议，形成全面预算草案，并提交董事会。

　　4.企业董事会审核全面预算草案，应当重点关注预算科学性和可行性，确保全面预算与企业发展战略、年度生产经营计划相协调。企业全面预算应当报经股东(大)会审议批准。批准后，应当以文件形式下达执行。

　　(三)预算执行环节的关键控制点及控制措施

　　1.企业应当加强对预算执行的管理，明确预算指标分解方式、预算执行审批权限和要求、预算执行情况报告等，落实预算执行责任制，确保预算刚性，严格预算执行。

　　2.企业全面预算一经批准下达，各执行单位应当认真组织实施，将预算指标层层分解，从横向和纵向落实到内部各部门、各环节和各岗位，形成全方位的预算执行责任体系。

　　3.企业应当根据全面预算管理要求，组织各项生产经营活动和投融资活动，严格预算执行和控制。

　　4.企业预算管理工作机构应当加强与各预算执行单位的沟通，运用财务信息和其他相关资料监控预算执行情况，采用恰当方式及时向决策机构和各预算执行单位报告、反馈预算执行进度、执行差异及其对预算目标的影响，促进企业全面预算目标的实现。

　　5.企业预算管理工作机构和各预算执行单位应当建立预算执行情况分析制度，定期召开预算执行分析会议，通报预算执行情况，研究、解决预算执行中存在的问题，提出改进措施。

　　6.企业批准下达的预算应当保持稳定，不得随意调整。由于市场环境、国家政策或不可抗力等客观因素，导致预算执行发生重大差异确需调整预算的，应当履行严格的审批程序。调整预算由预算执行单位逐级向原预算审批机构提出书面报告，阐述预算执行的具体情况、客观因素变化情况及其对预算执行造成的影响程度，提出预算的调整幅度。

　　(四)预算考核环节的关键控制点及控制措施

　　1.企业应当建立严格的预算执行考核制度，对各预算执行单位和个人进行考核，切实做到有奖有惩、奖惩分明。

　　2.企业预算管理委员会应当定期组织预算执行情况考核，将各预算执行单位负责人签字上报的预算执行报告和已掌握的动态监控信息进行核对，确认各执行单位预算完成情况。必要时，实行预算执行情况内部审计制度。

　　3.企业预算执行情况考核工作，应当坚持公开、公平、公正的原则，考核过程及结果应有完整的记录。

　　十一、合同管理控制：主要风险;订立;履行

　　合同，是指企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。企业应当加强合同管理，确定合同归口管理部门，明确合同拟定、审批、执行等环节的程序和要求，定期检查和评价合同管理中的薄弱环节，采取相应控制措施，促进合同有效履行，切实维护企业的合法权益。

　　(一)合同管理中的主要风险

　　企业应当关注与合同管理有关的下列风险：

　　1.未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈，可能导致企业合法权益受到侵害。

　　2.合同未全面履行或监控不当，可能导致企业诉讼失败、经济利益受损。

　　3.合同纠纷处理不当，可能损害企业信誉和形象。

　　(二)合同订立环节的关键控制点及控制措施

　　1.企业对外发生经济行为，应当订立书面合同。

　　2.企业应当根据协商、谈判等的结果，拟订合同文本，按照自愿、公平原则，明确双方的权利义务和违约责任，做到条款内容完整，表述严谨准确，相关手续齐备，避免出现重大疏漏。合同文本一般由业务承办部门起草、法律部门审核。

　　3.企业应当对合同文本进行严格审核，重点关注合同的主体、内容和形式是否合法，合同内容是否符合企业的经济利益，对方当事人是否具有履约能力，合同权利和义务、违约责任和争议解决条款是否明确等。

　　4.企业应当按照规定的权限和程序与对方当事人签署合同。

　　5.企业应当建立合同专用章的保管制度。合同经编号、审批及企业法定代表人或由其授权的代理人签署后，方可加盖合同专用章。

　　6.企业应当加强合同信息安全保密工作，未经批准，不得以任何形式泄露合同订立与履行过程中涉及的商业秘密或国家机密。

　　(三)合同履行环节的关键控制点及控制措施

　　1.在合同履行过程中发现有显失公平、条款有误或对方有欺诈行为等情形，或因政策调整、市场变化等客观因素，已经或可能导致企业利益受损，应当按规定程序及时报告，并经双方协商一致，按照规定权限和程序办理合同变更或解除事宜。

　　变更或解除合同应当由合同双方达成书面协议。变更或解除合同的审核程序与合同订立前的审核程序相同;解除合同还应当报有关部门办理注销手续。企业应当健全合同管理考核与责任追究制度。对合同订立、履行过程中出现的违法违规行为，应当追究有关机构或人员的责任。企业应当建立合同违约处理制度。对方违约的情形，应当按合同条款约定收取违约金;违约金不足以弥补企业损失时，应当要求对方赔偿损失，必要时应采取相应的保全措施。企业自身违约的情形，应当由合同承办部门以书面形式报告企业有关负责人，经批准后履行相应赔偿责任。

　　2.企业财会部门应当根据合同条款审核后办理结算业务。未按合同条款履约的，或应签订书面合同而未签订的，财会部门有权拒绝付款，并及时向企业有关负责人报告。

　　十二、内部信息传递控制：主要风险;报告形成;使用

　　内部信息传递，是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。企业应当加强内部信息传递，全面梳理内部信息传递过程中的薄弱环节，建立科学的内部信息传递机制，明确内部信息传递的内容、保密要求及密级分类、传递方式、传递范围以及各管理层级的职责权限等，促进内部报告的有效利用，充分发挥内部报告的作用。

　　(一)内部信息传递过程中的主要风险

　　企业应当关注与内部信息传递有关的下列风险：

　　1.内部报告系统缺失，功能不健全，内容不完整，可能影响生产经营有序运行。

　　2.内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实。

　　3.内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。

　　(二)内部报告形成环节的关键控制点及控制措施

　　1.企业应当根据发展战略、风险控制和业绩考核要求，科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映与企业生产经营管理相关的各种内外部信息。内部报告指标体系的设计应当与全面预算管理相结合，并随着环境和业务的变化不断进行修订和完善。

　　2.企业应当制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。企业内部各管理层级应当指定专人负责内部报告工作，重要风险信息应及时上报，并可以直接报告高级管理人员。

　　3.企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级，以便采取应对策略。

　　4.企业应当拓宽内部报告渠道，通过落实奖励措施等多种有效方式，广泛收集合理化建议。企业应当重视和加强反舞弊机制建设,通过设立员工信箱、投诉热线等有效方式，鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。

　　(三)内部报告使用环节的关键控制点及控制措施

　　1.企业应当有效利用内部报告进行风险评估，准确识别和系统分析企业生产经营活动中的内外部风险，确定风险应对策略，实现对风险的有效控制。对于内部报告反映出的生产经营管理中存在的突出问题和重大风险，应当启动应急预案。

　　2.企业应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。

　　十三、信息系统控制：主要风险;开发;运用于维护

　　随着社会信息化进程的迅速推进，信息系统成为不少企业内部管理与控制的关键工具。因此，信息系统的可靠性、安全性已经直接影响着审计工作效率和质量。

　　(一)信息系统开发、运行与维护过程中的主要风险

　　企业应当关注与信息系统有关的下列风险：

　　1.信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。

　　2.系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。

　　3.系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

　　(二)信息系统开发环节的关键控制点及控制措施

　　现代企业内部控制系统作为系统化的信息集成系统，其建立和实施应按照信息系统的专业化方法来进行，同时，应确保系统的安全和稳定，以保证企业内部控制系统的有效运行，实现企业内部控制的目标。

　　企业内部控制系统的实质是企业经营和业务的信息反馈控制过程。要使企业内部控制的信息系统有效，其前提是系统传递的信息必须具有精确完整、经济可靠、灵活及时、简单安全及可验证、可访问等特性。从这个意义上说，企业的内部控制系统，其实质就是一个信息系统，是一个搜集、储存，按照特定的规则和方式加工处理有关资料，并通过反馈机制对资料的获取及处理过程加以修正，获得满足特定目的的信息的过程。

　　(三)信息系统运行与维护环节的关键控制点及控制措施

　　信息系统在投入使用前应当至少完成整体测试和用户验收测试，以确保系统的正常运转。信息系统原设计功能未能正常实现时，企业应当指定相关人员负责详细记录，并及时报告归口管理部门。归口管理部门负责系统程序修正和软件参数调整，以实现设计功能。信息系统上线后，发生的功能变更，应当参照系统开发的审批和上线程序执行。企业应当积极倡导采用预防性措施，确保计算机信息系统的持续运行。常见预防性措施包括但不限于日常检测、设立容错冗余、编制应急预案等。

　　1.企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。

　　2.企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。

　　【案例题3】A国有大型企业集团公司(以下简称A公司)为加强内部控制制度建设，聘请某会计师事务所在年报审计时对公司所属B、C、D、E 4家全资子公司内部控制制度的健全性和有效性进行检查与评价。检查中发现以下问题：

　　要求：

　　1.从内部控制角度，分析、判断并指出B公司、C公司、D公司、E公司内部控制中存在哪些薄弱环节?

　　(1)B公司对外投资决策失控。经查，该项投资发生于2004年6月，当时B公司董事长谭某经朋友介绍认识了自称是境外甲金融投资公司(以下简称甲公司)总经理的廖某，双方约定，由B公司向甲公司投入1 000万元用于投资，期限1年，收益率20%。考虑到这项投资能给本公司带来巨额回报，为避免错失良机，谭某指令财会部先将1 000万元资金汇往甲公司，之后再向董事会补办报批手续、补签投资协议。财会部汇出资金后向对方核实是否收到汇款时却始终找不到廖某。后经查实，甲公司纯系子虚乌有。

　　(1)B公司内部控制中存在下列薄弱环节：

　　①投资决策控制存在缺陷，未履行集体审议联签等决策审批程序。

　　②未对投资项目进行分析论证。

　　③资产投出环节的控制存在缺陷，财会部在明知没有签订投资合同的情况下仍支付对外投资资金，把关不严。

　　(2)C公司对外担保管理松弛。2009年3月，C公司为乙公司提供100万元贷款担保，公司风险管理部李某根据总经理指示办理此事。由于李某对担保业务不熟悉，C公司也没有相应的管理制度，因此，李某仅凭感觉认为乙公司董事长是本公司总经理的亲属，不会出问题，于是办理了担保手续。此后，乙公司破产，C公司承担连带责任。

　　(2)C公司内部控制中存在下列薄弱环节：

　　①控制环境存在薄弱环节，由不熟悉担保业务的李某负责办理担保业务，不符合控制环境中有关员工胜任能力的要求。

　　②未对乙公司的资产质量、财务状况、经营情况等进行必要的评估。岗位分工控制存在缺陷，由李某一人办理担保业务的全过程不符合岗位分工和不相容岗位相互分离的要求。

　　③担保时关联方要回避，但是这里没有回避，故不正确。担保决策控制存在缺陷，没有制定担保政策和授权批准制度。

　　④没有签订担保合同。

　　(3)D公司工程项目管理混乱。2009年5月，D公司开工建设职工活动中心，2010年6月份完工。工程原定总投资3 500万元，决算金额为3 950万元。据查，该工程由D公司工会提出申请，由工会有关人员进行可行性研究，经D公司董事会审批同意并授权由工会主席张某具体负责工程项目的实施和对工程价款支付的审批。随后，张某私自决定将工程交由某个体施工队承建。在工程即将完工时，施工队负责人向张某提出，职工活动中心应有配套健身设施，建议增建保龄球馆。张某认为这一建议可取，指示工会有关人员提出工程项目变更申请，经其签字批准后实施。在工程完工后，由工会有关人员办理了竣工验收手续，由财务部门将交付使用资产登记入账。职工活动中心交付使用后，发现包括保龄球道在内的多项工程设施存在严重质量问题。

　　(3)D公司内部控制中存在下列薄弱环节：

　　①工程项目的可行性研究存在缺陷，不应仅由工会有关人员进行可行性研究。

　　②公司董事会授权工会主席张某全权负责工程项目实施和工程价款支付的审批，属于授权批准不当。

　　③工会主席私自决定施工单位，表明该公司授权批准程序存在缺陷。

　　④工程变更追加预算应经过董事会等决策机构的批准，不能仅由张某一人签字批准。

　　⑤竣工验收控制不严，不应仅由工会人员进行竣工验收。

　　(4)E公司重大设备采购控制不严。2009年5月，E公司决定从国外引进两台具有世界领先水平的生产设备。经某客户推荐和联系，E公司指派一副总经理带队赴国外丙公司实地考察。考察期间，考察团仅观看了所要采购设备的图片和影视资料，未进行实地考察和技术测试。双方代表经过谈判，并经各自公司授权批准，签订了采购合同。6月15日，E公司按照合同约定一次性支付了设备款。8月初，两台设备运抵E公司，并在启封、安装后立即投入生产。但在生产过程中，这两台设备多次出现故障。后经专家鉴定，这两台设备系国外淘汰多年的旧机器，丙公司仅仅更换了一些零部件、重新喷涂了油漆就将其出售给了E公司，其实际价值不及售价的十分之一。

　　(4)E公司内部控制中存在下列薄弱环节：

　　①采购环节的控制存在缺陷，未对采购设备进行实地考察和技术测试。

　　②固定资产验收控制存在缺陷，未组织独立的验收部门或指定专人对所购设备进行验收。

　　该事务所在工作结束后，向A公司管理层通报了内部控制审计的情况。针对所属全资子公司在内部控制方面存在的问题，A公司召开由集团公司领导、各部门负责人和各子公司负责人参加的专门会议进行研究。在讨论过程中，有关人员发言要点如下：

　　要求：

　　2.从内部控制角度，分析、判断A公司董事长王某、总会计师赵某、财会部经理孙某在会议发言中的观点有哪些不当之处?简要说明理由。

　　A公司董事长王某：这几个公司内部控制薄弱给企业和国家财产造成重大损失，教训极其深刻，值得反思。集团公司和各子公司要切实建立健全内部控制制度，不要怕程序复杂，也不要怕审批繁琐，只要能搞好内部控制，花多大代价都值得。

　　(1)A公司董事长王某认为只要能搞好内部控制，花多大代价都值得的观点不当。

　　理由：建立、实施内部控制制度应考虑成本效益原则。

　　A公司总会计师赵某：第一，要强化内部审计，在集团公司财会部增设审计处，专门负责对会计和内部控制制度执行情况的监督。审计处接受财会部领导，但重大问题可以直接向我汇报。第二，严格审批权限，各子公司均实行“一支笔”审批，所有财务收支，无论是工程支出还是日常零星开支，都由各子公司董事长审批。

　　(2)A公司总会计师赵某提出的在财会部增设审计处，并由财会部具体领导的建议不当。

　　理由：内部审计应具有相对独立性。

　　(3)A公司总会计师赵某提出上收审批权限、由各子公司董事长一人审批所有财务开支的建议不当。

　　理由：不符合授权批准控制的要求。

　　A公司财会部经理孙某：第一，建议加强对工程项目的预算管理，实行刚性预算，超预算的工程支出一律不予批准;第二，落实固定资产采购责任制，建议由各子公司技术部全权负责办理采购事宜，并建立严格的责任追究机制。

　　(4)A公司财会部经理孙某提出的对超预算的支出一律不予批准的意见不当。

　　理由：特殊情况下，根据业务工作需要，经履行审批手续后，可以调整工程项目预算。

　　(5)A公司财会部经理孙某提出由各子公司技术部全权办理固定资产采购业务的意见不当。

　　理由：违背了不相容职务相互分离的要求。

　　考点四：内部控制评价

　　企业内部控制的一个新趋势是实行“控制自我评估”，即每个企业不定期或定期地对自己的内部控制系统进行评估，评估内部控制的有效性及其实施的效率效果，以期能更好地达成内部控制的目标。

　　企业董事会或类似权力机构应当定期对部控制的有效性进行全面评价、形成评价结论、出具评价报告。

　　评价主体：董事会或类似权力机构

　　评价性质：自我评价

　　评价内容：部控制设计的有效性;部控制运行的有效性

　　实施部门：内部审计部门或其他专门机构

　　一、内部控制评价的原则

　　企业对内部控制设计与运行的有效性实施评价，应当遵循下列原则：

　　(一)全面性原则

　　内部控制评价应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项，对实现控制目标的各个方面进行全面、系统、综合评价。

　　(二)重要性原则

　　内部控制评价应当在全面评价的基础上，以风险为导向，根据风险发生的可能性及其对实现控制目标的影响程度，确定需要评价的重要业务单位、重大业务事项和高风险领域。

　　(三)客观性原则

　　内部控制评价应当结合企业的行业环境、发展阶段、经营规模、业务特点等经营实际，准确揭示经营管理中的风险状况，以事实为依据，如实反映内部控制设计与运行的有效性，确保评价结果有充足且适当的证据支持。

　　二、内部控制评价的内容与核心指标

　　《企业内部控制基本规范》颁布后，企业内部控制评价有了统一的标准，企业应当根据《企业内部控制基本规范》、《企业内部控制应用指引》以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，并建立内部控制评价的核心指标体系，对内部控制设计与运行情况进行全面评价。

　　具体内容与核心指标见大纲。

　　注意：应与本章第一部分的五要素比照学习。

　　(一)内部环境的评价

　　第一部分内部环境包括：治理结构、机构设置及权责分配、内部审计机制、人力资源政策、企业文化。

　　本部分内部环境评价包括：组织架构、发展战略、人力资源政策、社会责任、企业文化、内部审计。

　　企业应以应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。

　　(二)风险评估的评价

　　第一部分风险评估包括：目标设定、风险识别、风险分析、风险应对。

　　本部分风险评估评价包括：风险识别、风险分析、风险应对。

　　企业应以基本规范及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。

　　(三)控制活动的评价

　　第一部分控制活动包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制。以上内容实际上均为控制措施。

　　本部分控制活动评价包括：控制活动的设计、控制活动的运行、特殊性控制活动

　　企业组织开展控制活动评价，应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。

　　(四)信息与沟通的评价

　　第一部分信息与沟通包括：信息质量、沟通制度、信息系统、反舞弊机制

　　本部分信息与沟通评价包括：信息质量、沟通制度、信息系统、反舞弊机制

　　(五)内部监督的评价

　　第一部分内部监督包括：日常监督、专项监督

　　本部分内部监督评价包括：内部监督制度、内部缺陷认定、控制文档记录

　　三、内部控制评价的程序

　　企业应当按照内部控制评价办法规定的程序，有序开展内部控制评价工作。内部控制评价的具体组织实施工作可以授权给内部审计部门或专门机构负责。企业开展内部控制评价工作，一般程序为：设置内部控制评价部门、制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。

　　(一)设置内部控制评价部门

　　被授权的内部审计部门或其他专门机构。

　　具备条件：

　　权威(经董事会授权);独立;专业胜任;职业道德;沟通与有效。

　　(二)制定评价工作方案

　　内部控制评价部门应当根据企业实际情况和管理要求，分析企业经营管理过程中的高风险领域和重要业务事项，制定科学合理的评价工作方案，经董事会批准后实施。

　　评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既可以全面评价为主，也可以根据需要采用重点评价的方式，一般而言，内部控制建立与实施初期，实施全面综合评价有利于推动内部控制工作的深入有效开展;内部控制系统趋于成熟后，企业可在全面评价的基础上，更多地采用重点评价或专项评价，以提高内部控制评价的效率和效果。

　　(三)组成评价工作组

　　评价工作组在内部控制评价部门领导下，具体承担内部控制检查评价任务。内部控制评价部门根据经批准的评价方案，挑选具备独立性、业务胜任能力和职业道德素养的评价人员，组成评价工作组，具体实施内部控制评价工作。评价工作组成员应当吸收企业内部相关机构熟悉情况的业务骨干参加。

　　实施评价工作前，评价人员需要接受相关培训，培训内容一般包括内部控制专业知识及相关规章制度、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准、评价人员的权利义务、纪律要求及评价中需重点关注的问题等。

　　(四)实施现场测试

　　评价工作组根据评价工作方案确定的内部控制评价范围，入驻被评价单位，实施现场测试。

　　(五)汇总评价结果

　　内部控制评价部门汇总各评价工作组的评价结果，对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总，对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析，按照对控制目标的影响程度判定缺陷等级。

　　对于认定的内部控制缺陷，内部控制评价部门应当提出整改建议，要求责任单位及时整改，并跟踪其整改落实情况;已经造成损失或负面影响的，企业应当追究相关人员的责任。

　　(六)编报评价报告

　　内部控制评价部门以汇总的评价结果和认定的内部控制缺陷为基础，综合内部控制工作整体情况，客观、公正、完整地编制内部控制评价报告，并报送企业经理层、董事会和监事会，由董事会最终审定后对外披露或以其他形式加以合理利用。

　　四、内部控制评价的方法

　　企业在开展内部控制检查评价工作过程中，应当根据评价内容和被评价单位具体情况，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，广泛收集被评价单位内部控制设计和运行是否有效的证据。评价方法的选择应当有利于保证证据的充分性和适当性。证据的充分性是指获取的证据能够为形成内部控制评价结论提供合理保证;证据的适当性是指获取的证据与相关控制的设计与运行有关，并能可靠地反映控制的实际状况。

　　(一)个别访谈法

　　个别访谈法是指企业根据检查评价需要，对被查单位员工进行单独访谈，以获取有关信息。该方法主要用于了解企业及其所属单位内部控制的基本情况。

　　评价人员在访谈前应根据内部控制评价目标和要求形成访谈提纲，如有必要可先提供被访谈人员进行准备，被访谈人员主要为单位领导、相关机构负责人或一般岗位员工。评价人员在访谈工作结束后应撰写访谈纪要，如实记录访谈的内容。

　　(二)调查问卷法

　　常用于内部环境评价。

　　(三)专题讨论法

　　常用于控制活动评价。

　　(四)穿行测试法

　　含义：任意选取一笔交易作为样本，追踪该笔交易处理从起点到终点的全过程，以此识别出其中的关键控制环节，评估相关控制设计与运行的有效性。

　　(五)实地查验法

　　常用于对财产安全性目标的实现情况的评价，如对财产进行实地盘点、清查。

　　(六)抽样法

　　分为随机抽样和其他抽样。

　　(七)比较分析法

　　含义：指通过分析、比较数据间的关系、趋势或比率等来取得评价证据的方法。

　　适宜找出异常区间或控制点。

　　五、内部控制缺陷认定

　　(一)内部控制缺陷的定义与分类

　　定义：评价内控有效性的负向维度，如果部控制的设计或运行无法合理保证部控制目标的实现，即意味着存在部控制缺陷。

　　分类：

　　1.设计缺陷和运行缺陷

　　2.财务报告内部控制缺陷和非财务报告内部控制缺陷

　　财务报告内部控制缺陷：财务报表缺陷;会计基础工作缺陷;与财务报告密切关联的信息系统控制缺陷

　　非财务报告内部控制缺陷：虽未直接影响财务报告的真实性和完整性，但影响其他部控制目标的实现

　　3.重大缺陷、重要缺陷和一般缺陷

　　重大缺陷：严重影响内控的有效性，导致企业无法及时发现或防范严重偏离控制目标的情形。

　　重要缺陷：低于重大缺陷，但有较大可能导致企业无法及时发现或防范严重偏离控制目标的情形

　　一般缺陷：除重大缺陷和重要缺陷以外的缺陷。

　　(二)内部控制缺陷的认定标准

　　1.财务报告内部控制缺陷的认定标准

　　财务报告内部控制缺陷的认定标准由该缺陷可能导致财务报表错报的重要程度来确定，这种重要程度主要取决于两方面因素：第一，该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报;第二，该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。

　　重大缺陷。如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止、发现并纠正财务报表中的重大错报，就应将该缺陷认定为重大缺陷。合理可能性是指大于微小可能性(几乎不可能发生)的可能性，对合理可能性的理解涉及评价人员的职业判断，且这种判断在不同评价期间应保持一致。

　　重大错报中的“重大”，涉及企业确定的财务报表的重要性水平。

　　一般而言，企业可以采用绝对金额法(如规定金额超过10 000元的错报应当认定为重大错报)或相对比例法(例如，规定超过净利润5%的错报应当认定为重大错报)来确定重要性水平。如果企业的财务报告内部控制存在一项或多项重大缺陷，就不能得出该企业的财务报告内部控制有效的结论。

　　重要缺陷。如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止、发现并纠正财务报表中虽然未达到和超过重要性水平、但仍应引起董事会和经理层重视的错报，就应将该缺陷认定为重要缺陷。

　　重要缺陷并不影响企业财务报告内部控制的整体有效性，但是应当引起董事会和经理层的重视。对于这类缺陷，应当及时向董事会和经理层报告，因此也称为“应报告情形”。

　　一般缺陷。不构成重大缺陷和重要缺陷的财务报告内部控制缺陷，应认定为一般缺陷。

　　2.非财务报告内部控制缺陷的认定标准

　　(1)定量标准

　　(2)定性标准

　　3.常见的部控制存在重大缺陷情形

　　当有确凿证据表明企业在评价期末存在下列情形之一时，通常应认定为内部控制重大缺陷：

　　企业财务报表已经或者很可能被注册会计师出具否定意见或者拒绝表示意见;

　　企业审计委员会和内部审计机构未能有效发挥监督职能;

　　企业董事、监事和高级管理人员已经或者涉嫌舞弊，或者企业员工存在串谋舞弊情形并给企业造成重要损失和不利影响;

　　企业在财务会计、资产管理、资本运营、信息披露、产品质量、安全生产、环境保护等方面发生重大违法违规事件和责任事故，给企业造成重要损失和不利影响，或者遭受重大行政监管处罚。

　　上述控制缺陷如果对企业财务报表的真实可靠性产生影响，则为财务报告内部控制重大缺陷;如果不影响财务报表的真实可靠，则为非财务报告内部控制重大缺陷。

　　(三)内部控制缺陷的报告和整改

　　企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督过程中发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，按照规定的权限和程序进行审核后予以最终认定。

　　1.内部控制缺陷报告

　　内部控制缺陷报告应当采取书面形式。

　　对于一般缺陷和重要缺陷，通常向企业经理层报告，并视情况考虑是否需要向董事会及其审计委员会、监事会报告;

　　对于重大缺陷，应当及时向董事会及其审计委员会、监事会和经理层报告。如果出现不适合向经理层报告的情形，如存在与经理层舞弊相关的内部控制缺陷，或存在经理层凌驾于内部控制之上的情形等，应当直接向董事会及其审计委员会、监事会报告。企业应根据内部控制缺陷的影响程度合理确定内部控制缺陷报告的时限

　　一般缺陷、重要缺陷应定期报告，重大缺陷即时报告。

　　2.内部控制缺陷整改

　　企业对于认定的内部控制缺陷，应当制定内部控制缺陷整改方案，按规定权限和程序审批后执行，即明确内部各管理层级和单位整改的职责分工，确保内部控制设计与运行的主要问题和重大风险得到及时解决和有效控制。对于认定的重大缺陷，还应及时采取应对策略，切实将风险控制在可承受度之内，并追究有关机构或相关人员的责任。

　　通常：

　　董事会应负责重大缺陷的整改，接受监事会的监督。

　　经理层负责重要缺陷的整改，接受董事会的监督。

　　内部有关单位负责一般缺陷的整改，接受经理层的监督。

　　内部控制缺陷整改方案一般包括整改目标、内容、步骤、措施、方法和期限等，整改期限超过一年的，还应在整改方案中明确近期目标和远期目标以及对应的整改工作任务等。

　　六、内部控制评价报告

　　(一)内部控制评价报告的内容

　　内部控制评价报告是内部控制评价工作的结论性成果，一般包括下列内容：

　　1.董事会对内部控制报告真实性的声明。

　　2.内部控制评价工作的总体情况。

　　3.内部控制评价的依据。

　　4.内部控制评价的范围。

　　5.内部控制评价的程序和方法。

　　6.内部控制缺陷及其认定。

　　7.内部控制缺陷的整改情况。

　　8.内部控制有效性的结论。

　　(二)内部控制评价报告的编制

　　1.编制时间：定期和不定期;

　　2.编制主体：单个企业和企业集团的母公司

　　3.编制程序

　　(三)内部控制评价报告的报送

　　内部控制评价报告报经董事会批准后对外披露或报送相关主管部门。

　　上市公司年度内部控制评价报告必须向社会公开披露，接受社会监督，为投资者和社会公众决策提供依据;

　　非上市企业的内部控制评价报告须按规定报送财政等监管部门，接受政府的监督检查。

　　内部控制评价报告通常应于基准日后4个月内报出。

　　(四)内部控制评价报告的使用

　　使用者包括政府监管部门、投资者及其他利益相关者、中介机构、研究机构等。

　　考点五　内部控制审计

　　新出台的《企业内部控制审计指引》旨在为注册会计师执行企业内部控制审计业务提供专业规范和指导。国内外一系列公司财务报表舞弊事件发生后，人们认识到健全有效的内部控制对于预防舞弊事件发生至关重要。随着我国法律法规对上市公司和金融机构内部控制建设提出新要求，聘请注册会计师对企业内部控制进行审计成为保证内部控制有效性的关键环节。《企业内部控制基本规范》第10条规定，接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。

　　一、内部控制审计的定义

　　内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。

　　内部控制审计是内部控制外部评价的重要形式之一。

　　内部控制审计是一项专门的鉴证业务。

　　内部控制审计的范围限于对特定基准日内部控制设计与运行的有效性进行审计。

　　被审计单位管理层应当就内部控制的有效性提供书面认定。

　　责任划分。

　　注意：内部控制审计与相关业务的区别

　　1.内部控制审计与内部控制评价

　　内部控制审计属于注册会计师外部评价，内部控制评价属于企业董事会自我评价，两者有着本质的区别。

　　首先，两者的责任主体不同。建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任;在实施审计工作的基础上对内部控制的有效性发表审计意见是注册会计师的责任。

　　其次，两者的评价目标不同。内部控制评价是企业董事会对各类内部控制目标实施的全面评价;内部控制审计是注册会计师侧重对财务报告内部控制目标实施的审计评价。

　　最后，两者的评价结论不同。企业董事会对内部控制整体有效性发表意见，并在内部控制评价报告中出具内部控制有效性结论;注册会计师仅对财务报告内部控制的有效性发表意见，对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

　　2.内部控制审计与财务报表审计

　　内部控制审计与财务报表审计的目标不同。前者是对被审计单位内部控制设计与运行的有效性进行审计，并重点就财务报告内部控制的有效性发表审计意见;后者是对财务报表是否按照国家统一的会计准则制度的规定编制、是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量发表审计意见。

　　审计目标的不同导致两者在审计程序上也有着较大区别。但由于两者均关注财务报告质量和审计风险，审计过程中形成的审计证据又可以相互支持、相互利用，为此，注册会计师在计划和执行内部控制审计工作时，可以根据实际情况将内部控制审计与财务报表审计进行整合，以降低审计成本、提高审计质量。

　　3.内部控制审计与内部控制监管

　　内部控制监管是指政府监管部门根据国家有关法律法规和监管要求，以《企业内部控制基本规范》及其配套指引为依据，对企业内部控制建立与实施情况进行监督检查和评价。内部控制监管与内部控制审计作为内部控制外部评价的两种主要形式，相互支持，相互促进，共同保障企业内部控制的有效建立与实施。

　　比如，财政部门可以从规范公司治理、健全内控机制，加强会计监督、提高信息质量等角度，对企业内部控制设计与运行的有效性提出监管要求。同时，可以会同国家审计机关对行政事业单位和国有企业使用财政资金过程中的内部控制情况实施监管评价。

　　二、内部控制审计的程序

　　(一)计划审计工作

　　注册会计师需恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。

　　(二)实施审计工作

　　1.测试企业层面控制。

　　2.测试业务层面控制。

　　3.测试与舞弊风险相关的控制。

　　4.测试内部控制设计与运行的有效性。

　　5.获取内部控制有效设计与运行的证据。

　　(三)评价控制缺陷

　　注册会计师对内部控制缺陷的分类和认定标准与企业内部控制自我评价中内部控制缺陷的分类和认定标准类似，相对而言，注册会计师更关注财务报告内部控制缺陷的认定。

　　注册会计师在对内部控制设计与运行的有效性进行测试的基础上，需评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷并影响其审计结论。在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师还应评价补偿性控制(替代性控制)的影响。

　　(四)完成审计工作

　　1.取得书面声明：注册会计师完成审计工作后，需取得经企业签署的书面声明。

　　2.沟通控制缺陷。

　　3.形成审计意见。

　　三、部控制审计报告

　　(一)审计报告内容

　　(二)审计意见类型

　　无保留审计意见;带强调段的无保留意见;否定意见;无法表示意见。

　　(三)审计期后事项

　　类似于资产负债表日后事项。

　　【案例题4】甲公司系境内外同时上市的公司，其A股在上海证券交易所上市。根据财政部等五部委联合发布的《企业内部控制基本规范》、《企业内部控制配套指引》以及据此修改后的《公司内部控制手册》，甲公司应于2011年起实施内部控制评价制度。鉴于本公司在2008年5月《企业内部控制基本规范》发布后就已经着手建立、完善自身内部控制体系并取得了较好效果，甲公司决定从2010年开始提前实施内部控制评价制度，并由审计部牵头拟订内部控制评价方案。该方案摘要如下：

　　(一)关于内部控制评价的组织领导和职责分工

　　董事会及其审计委员会负责内部控制评价的领导和监督。经理层负责实施内部控制评价，并对本公司内部控制有效性负全责，审计部具体组织实施内部控制评价工作，拟定评价计划、组成评价工作组、实施现场评价、审定内部控制重大缺陷、草拟内部控制评价报告，及时向董事会、监事会或经理层报告。其他有关业务部门负责组织本部门的内控自查工作。

　　(二)关于内部控制评价的内容和方法

　　内部控制评价围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五要素展开。鉴于本公司已按《公司法》和公司章程建立了科学规范的组织架构，组织架构相关内容不再纳入企业层面评价范围。同时，本着重要性原则，在实施业务层面评价时，主要评价上海证券交易所重点关注的对外担保、关联交易和信息披露等业务或事项。

　　在内部控制评价中，可以采用个别访谈、调查问卷、专题讨论、穿行性测试、实地查验、抽样和比较分析等方法。考虑到公司现阶段经营压力较大，为了减轻评价工作对正常经营活动的影响，在本次内部控制评价中，仅采用调查问卷和专题讨论法实施测试和评价。

　　(三)关于实施现场评价

　　评价工作组应与被评价单位进行充分沟通，了解被评价单位的基本情况，合理调整已确定的评价范围、检查重点和抽样数量。评价人员要依据《企业内部控制基本规范》、《企业内部控制配套指引》和《公司内部控制手册》实施现场检查测试，按要求填写评价工作底稿，记录测试过程及结果，并对发现的内部控制缺陷进行初步认定。现场评价结束后，评价工作组汇总评价人员的工作底稿，形成现场评价报告。现场评价报告无需和被评价单位沟通，只需评价工作组负责人审核、签字确认后报审计部。审计部应编制内部控制缺陷认定汇总表，对内部控制缺陷进行综合分析和全面复核。

　　(四)关于内部控制评价报告

　　审计部在完成现场评价和缺陷汇总、复核后，负责起草内部控制评价报告。评价报告应当包括：董事会对内部控制报告真实性的声明、内部控制评价工作的总体概括、内部控制评价的依据、内部控制评价的范围、内部控制评价的程序和方法、内部控制缺陷及其认定情况、内部控制缺陷的整改情况、内部控制有效性的结论等内容。对于重大缺陷及其整改情况，只进行内部通报，不对外披露。内部控制评价报告董事会审核后对外披露。

　　(五)关于内部控制审计

　　聘请某具有证券期货业务资格的大型会计师事务所对本公司内部控制有效性进行审计。鉴于本公司在2008年5月《企业内部控制基本规范》发布后就已建立内部控制体系并取得较好效果，内部控制审计自2010年起，重点审计本公司内部控制评价的范围、内容、程序和方法等，并出具相关审计意见。

　　要求：

　　根据《企业内部控制基本规范》及《企业内部控制配套指引》，逐项判断甲公司内部控制评价方案中的(一)至(五)项内容是否存在不当之处;存在不当之处的，请逐项指出不当之处，并逐项简要说明理由。

　　1.第一项工作存在不当之处。

　　(1)不当之处;经理层对内部控制有效性负全责。

　　理由：董事会对建立键全和有效实施内部控制负责。

　　或：经理层负责组织领导企业内部控制的日常运行。

　　(2)不当之处;审计部审定内部控制重大缺陷。

　　理由：董事会负责审定内部控制重大缺陷。

　　2.第二项工作存在不当之处。

　　(1)不当之处：组织架构相关内容不纳入公司层面评价范围。