新企业内部控制规范及相关制度应用指南课件.ppt

《新企业内部控制规范及相关制度应用指南课件.ppt》由会员分享，可在线阅读，更多相关《新企业内部控制规范及相关制度应用指南课件.ppt（210页珍藏版）》请在三一办公上搜索。

1、,新企业内部控制规范及相关制度应用指南,目录,绪论第一篇 企业内部控制基本规范第二篇 企业内部控制应用指引第三篇 企业内部控制评价指引第四篇 企业内部控制鉴证指引,绪论,第一部分内部控制规范的背景及框架介绍第二部分 企业内部控制规范的框架结构及主要内容第三部分 企业内部控制规范的学习和运用,第一部分 内部控制规范的背景及框架介绍,一、我国企业内部控制基本规范出台的背景,1999年修订的会计法第一次以法律的形式对建立健全内部控制提出原则要求，第27条规定：各企业应当建立、健全本企业内部会计监督制度。企业内部会计监督制度应当符合下列要求：记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保

2、管人员的职责权限应当明确，并相互分离、相互制约；重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确；财产清查的范围、期限和组织程序应当明确；对会计资料定期进行内部审计的办法和程序应当明确。,财政部从2001年开始连续制定发布了内部会计控制规范基本规范等7项内部会计控制规范，2001年以来，财政部先后发布基本规范（试行）（2001）和涉及货币资金（2001）、采购与付款（2002）、销售与收款（2002）、工程项目（2003）、担保（2004）、对外投资（2004）的六个具体控制规范，同时印发了固定资产、存货、筹资、成本费用、预算等控制规范的征求意

3、见稿。 中国人民银行于2002年9月7日制定发布了商业银行内部控制指引。 2005年1月，银监会又发布商业银行内部控制评价试行办法。2003年12月，审计署发布第5号令审计机关内部控制测评准则（简称准则），提出建立健全内部控制并保证其有效实施是被审计单位的责任，审计人员的责任是对内部控制的健全性和有效性进行评价。准则借鉴COSO报告，将内部控制定义为被审计单位为了维护资产的安全、完整，确保会计信息的真实、可靠，保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规，而制定和实施相关政策、程序和措施的过程。内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。2005年11

4、月，国务院批转证监会发布关于提高上市公司质量意见。,2006年，上海证券交易所根据证监会关于提高上市公司质量意见等法律法规，制定发布了上市公司内部控制指引。同年，深圳证券交易所也发布了上市公司内部控制指引。 2006年6月，中央国资委根据企业国有资产监督管理暂行条例（国务院令第378号）关于“国有及国有控股企业应当加强内部监督和风险控制”的要求，国务院国有资产监督管理委员会出台了中央企业全面风险管理指引（简称指引），旨在进一步加强和完善国有资产监管工作，深化国有企业改革，加强风险管理，促进企业持续、稳定、健康发展。2007年3月，证监会出台关于开展加强上市公司治理专项活动有关事项的通知，要求上

5、市公司本着实事求是的原则，严格对照公司法、证券法等有关法律、行政法规，以及公司章程、董事会议事规则等内部规章制度，对公司100个重要治理事项进行自查，其中涉及内部控制的自查事项有15项。,同年，证监会发布关于做好上市公司2007年年度报告及相关工作的通知，提出上市公司应在2007年年报中全面披露公司内部控制建立健全的情况，包括建立健全内部控制的工作计划及其实施情况、内部控制检查监督部门的设置和人员到位情况、董事会对内部控制有关工作的安排、相关的责任追究机制，同时强调上市公司应充分发挥审计委员会的监督作用，维护审计的独立性。 2007年6月，银监会重新修订了商业银行内部控制指引。与此前央行发布的

6、控制指引相比，银监会发布的控制指引更加符合现代商业银行运作的特点。2006年7月15日，财政部、国资委、证监会、审计署、银监会和保监会联合发起成立企业内部控制标准委员会，同时设立了由86名专家组成的内部控制咨询委员会。2006年11月8日，企业内部控制标准委员会发布了企业内部控制规范基本规范和17个具体规范的征求意见稿，面向咨询专家和社会公众广泛征求意见。2008年6月28日，五部委联合发布了我国首部企业内部控制基本规范，将于2009年7月1日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。,2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指

7、引。该配套指引包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引，连同此前发布的企业内部控制基本规范，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。实施时间表：自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。,第二部分 企业内部控制规范的框架结构及主要内容,（一）企业内部控制基本规范的内容,企业内部控制基本规范共7章50条，主要内容包括：,1.内部控制的目标,基本规范将内部控制定义为：“由企业董事会、监事会

8、、经理层和全体员工实施的、旨在实现控制目标的过程。”借鉴COSO框架，基本规范将内部控制的目标归纳为五个方面：合理保证企业经营管理合法合规；合理保证企业资产安全；合理保证企业财务报告及相关信息真实完整；提高经营效率和效果；促进企业实现发展战略。,2.内部控制的原则和实施体系,基本规范提出，建立与实施内部控制应当遵循五项原则，即全面性、重要性、制衡性、适应性和成本效益原则。同时规定了内部控制的实施体系：（1）以法制为推动。（2）以企业实施为主体。（3）以政府监管和社会评价为保障。,3.内部控制的要素,借鉴COSO框架，基本规范将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监

9、督5大方面。,（二）企业内部控制应用指引,五部委在发布企业内部控制基本规范的同时，还发布了企业内部控制应用指引，共18项。从项目构成看，主要包括3类：,1.财务报表直接或间接体现的项目，或者就是对财务报表与信息披露的内在要求。如资金活动、采购业务、资产管理、销售业务、工程项目、担保业务、财务报告等；2.对财务报表、财务管理有重大影响的项目，如全面预算、合同管理、业务外包等；3.为生成财务报表提供人力和技术支撑的项目，如组织架构、发展战略、人力资源、社会责任、企业文化、信息系统、内部信息传递等。,（三）企业内部控制评价指引,企业内部控制评价指引旨在为企业董事会和管理层对企业内部控制有效性进行评价

10、提供专业规范和指导。内控应用规范在企业的执行运用情况如何，是否还有缺陷，如何改进，以确保内部控制的有效运行，客观上需要进行有效性的评价。企业内部控制评价指引主要内容包括评价的原则和组织、评价的内容和标准、评价的程序和方法、缺陷认定和评价报告等。,企业对内部控制评价过程中发现的问题，应当从定量和定性等方面进行衡量，判断是否构成内部控制缺陷。对内部控制缺陷进行分类分析。内部控制缺陷一般可分为设计缺陷和运行缺陷。,（四）企业内部控制审计指引,企业内部控制审计指引旨在为注册会计师执行企业内部控制审计业务提供专业规范和指导。根据指引的规定，注册会计师在计划审计工作时，注册会计师应当评价下列事项对内部控制

11、、财务报表以及审计工作的影响：与企业相关的风险；相关法律法规和行业概况；企业组织结构、经营特点和资本结构等相关重要事项；企业内部控制最近发生变化的程度；与企业沟通过的内部控制缺陷；重要性、风险等与确定内部控制重大缺陷相关的因素；对内部控制有效性的初步判断；可获取的、与内部控制有效性相关的证据的类型和范围。注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。,第三部分 企业内部控制规范的 学习和运用,（一）内部控制设计的步骤,1.了解和评估控制环境控制环境对内部控制的效果起到促进或削弱的因素，企业在设计内

12、部会计控制制度时，首先就应当对内部条件和外部环境进行研究和分析。2.建立内部控制结构企业在建立内部控制时，注意各个控制环节和组织结构的联系性，发挥各个组成部分的协同效应，同时要求内部控制制度要能够有效监控经营活动过程，预防和发现风险并及时纠正。,3.确定各个业务循环的流程4.找到关键风险控制点关键的控制点是指业务流程和企业经营活动中容易产生风险的环节，要想找到关键控制点首先要对各个业务流程进行风险评估，经过风险排序后确定关键点。,（二）内部控制设计中应注意的问题,1.控制活动与控制目标的一致性2.保证内部会计控制的有效实施3.形成内部控制的企业文化,第一篇 企业内部控 制基本规范,第一章 总则

13、和附责第二章 内部控制要素解读第三章 内部控制设计与评价,第一章 总则和附则,企业内部控制基本规范由总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则7章，共50条组成。其中核心内容就是内部控制要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。,第一节 框架概述第二节 重点条款解读,第一节、框架概述,企业内部控制基本规范（以下简称基本规范）总则和附则共有13条规定，概括起来主要明确了以下几个方面的内容：（一）基本规范第1条，明确了企业内部控制基本规范的立法依据。（二）基本规范第2条、第50条，明确了企业内部控制基本规范的适用范围和开始执行时间。（三）基本规范第3、第4条，明

14、确了企业内部控制的目标和原则。（四）基本规范第5条，明确了企业内部控制的5要素。（五）基本规范第6条、第7条、第8条、第48条、第49条，明确了企业在建立和实施内部控制的过程中同时应该依据相关的法律法规的规定。（六）基本规范第9条、第10条，明确了国务院有关部门对企业建立和实施的内部控制承担监督职责，并明确了企业需要委托会计师事务所对内部控制的有效性发表意见。,第二节、重点条款解读,（一）基本规范适用的范围（二）内部控制的目标（三）内部控制的原则和实施体系（四）内部控制的要素（五）内部控制的执行,（一）基本规范适用的范围,企业内部控制基本规范第2条规定：“本规范适用于中华人民共和国境内设立的大

15、中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。”,（二）内部控制的目标,基本规范将内部控制定义为：“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”基本规范将内部控制的目标归纳为5个方面：1.合理保证企业经营管理合法合规。2.合理保证企业资产安全。资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题，是单位可持续发展的物质基础。良好的内部控制，应当为资产安全提供扎实的制度保障。,3.合理保证企业财务报告及相关信息真实完整。4.提高经营效率和效果。要求单位结合自身所处的特定的经营、行业和经济环境，通

16、过健全有效的内部控制，不断提高营运活动的盈利能力和管理效率。5.促进企业实现发展战略。,（三） 内部控制的原则和实施体系,基本规范提出，建立与实施内部控制应当遵循5项原则，即全面性、重要性、制衡性、适应性和成本效益原则。同时规定了内部控制的实施体系：（1）以法制为推动。（2）以企业实施为主体。,（3）以政府监管和社会评价为保障。为推动企业有效实施内控规范，政府有关部门应对企业建立与实施内部控制的情况进行监督检查，会计师事务所应对企业内部控制的有效性进行审计，并出具内部控制审核报告。,（四）内部控制的要素,借鉴COSO框架，基本规范将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、

17、内部监督5大方面。,（五）内部控制的执行,从实践看，企业在内部控制制度的设计上存在很多问题，而制度的执行力更值得关注，制度设计缺位和执行不到位、制度执行不力、流于形式的现象比较严重，因此，需要重视和着力提升企业内部控制制度执行力。为此需要：,1.提高制度的透明度。一要探索更容易被员工理解、更加透明的制度表现形式，尤其是善于使用流程图和控制表的表达方式；二是要借助网络等平台，增加制度在制定和宣传上的透明度；三是做好制度的讲解辅导工作，使员工能够理解制度和制度执行的重要性。,2.强化制度执行力的考核。企业应将制度执行力纳入企业内部绩效考核体系。企业内部控制基本规范第8条规定：“企业应当建立内部控制

18、实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。”对制度执行情况的考核，关键在于考核指标的设计。,3.发挥政府部门的监管作用。企业内部控制基本规范第9条规定：“国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监督检查。”,政府监督检查的必要性,（1）内部控制的固有缺陷内部控制只能“合理保证”企业目标的实现，即企业目标达成的可能性受制于制度本身的固有缺陷。,（2）企业内部监督的局限性目前有很多企业主要依靠内部审计部门来对本企业的内部控制的健全性、合理性和有效性进行检查和评价，

19、而有些企业的内审部门隶属于财务部门，与财务部同属一人领导，内部审计在形式上就缺乏应有的独立性另外，在内审的职能上，很多企业的内部审计工作仅仅是审核会计账目，而在内部稽查、评价内部控制制度是否完善和企业内各组织机构执行指定职能的效率等方面，却未能充分发挥应有的作用。,政府监督检查的开展,需要对内部控制进行监督检查的企业包括：大中型国有及国有控股企业（未上市）、上市公司、商业银行及非银行金融机构、规模以上的民营企业等。就目前而言，首先重点监督商业银行及证券公司、大型国有企业（如垄断性公司）、上市公司、欠大量银行贷款的民营、私营企业。,在监督检查过程中，以下几点值得注意：（1）充分利用社会中介机构的

20、专业力量。（2）协调运作国家监督方式，使其形成监督合力。（3）监督检查结束后，还应对有关单位的整改情况予以重点关注。,4.发挥社会中介机构的促进作用,企业内部控制基本规范第十条规定：“接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。”,（1）内部控制审计是一项专门鉴证业务,在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。注册会计师

21、可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行，称为整合审计。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。,（2）内部控制审计的范围限于特定日期与财务报表相关的内部控制,通常，注册会计师对特定日期的内部控制进行审计。特定日期可以是会计年度结束日，也可以是某中期结束日。注册会计师对特定日期的内部控制审计时，应在接近此日期之前的一段时间内对内部控制进行了解和测试，并对该日期的内部控制的有效性发表审计意

22、见。意见类型包括无保留意见、保留意见、否定意见和无法表示意见。,注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。,（3）注册会计师完成审计工作后，应当取得经企业签署的书面声明,企业就内部控制的有效性提供书面说明，其作用类似于财务报表，它用于明确其管理建立健全内部控制并保持其有效性的责任。,第二章 内部控制要素解读,重要条款解读,一、内部环境,内部环境处于内部控制五大要素之首。内部环境包含组织基调，具体内容包括：治理结构、机构设置及权责分配、内部审计、人力资源政

23、策、企业文化等。内部环境的主要构成要素分析：,1.治理结构（是源头的问题，一开始就要把它做好）,企业内部控制基本规范第11条明确了股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东（大）会负责，依法行使企业的经营决策权。监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。,2.机构设置及权责分配,我国相关法规反映出董事会在公司管理中居于核心地位，董事会应该对公司内部控制的建立、完善和有效运行负责。监事会对董事会建立与实施内

24、部控制进行监督。公司管理层对内部控制制度的有效执行承担责任，其中处于不同层级的管理者掌握着不同的控制权力并承担相应的责任，同时相邻层级之间存在着控制和被控制的关系。,3.内部审计,企业内部控制基本规范第15条规定，企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。内部审计控制是内部控制的一种特殊形式。其范围主要包括财务会计、管理会计和内部控制检查。

25、内部审计主要具有监督、评价、控制和服务4种职能。其作用主要是防护性作用和建设性作用，防护性作用是通过内部审计的检查和评价企业内部的各项经济活动，发现那些不利于本企业目标实现的环节和方面，防止给企业造成不良后果。建设性作用是通过对审查活动的检查和评价，针对管理和控制中存在的问题和不足，提出富有建设性的意见和改进方案，从而协助企业改善经营管理，提高经济效益，以最好的方式实现组织的目标。,4.人力资源政策（良好的人力资源是企业不竭的源泉）,良好的人力资源政策对更好地贯彻和执行内部控制有很大的帮助，还能确保执行企业政策和程序的人员具有胜任能力和正直品行。企业内部控制基本规范第16条规定，企业应当制定和

26、实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：员工的聘用、培训、辞退与辞职；员工的薪酬、考核、晋升与奖惩；关键岗位员工的强制休假制度和定期岗位轮换制度；掌握国家秘密或重要商业秘密的员工离岗的限制性规定；有关人力资源管理的其他政策。从某种意义上说，企业内部控制的成效取决于员工素质的合格程度。因为任何内部控制制度的成效取决于其设计水平和高素质的人员的贯彻执行。因此，员工素质控制是内部控制的一个重要因素。员工素质控制包括企业在招聘、培训、考核、晋升与奖励等方面对员工素质的控制。企业内部控制基本规范第17条规定企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切

27、实加强员工培训和继续教育，不断提升员工素质。员工素质是内部控制得以有效实施的关键所在，员工的素质控制是内部环境的重要组成部分。培训则是保证和提高员工职业素质和专业胜任能力的重要方式。培训原则主要有激励、因材施教、实践、明确目标和统筹安排、合理规划等原则。当然培训完成后，培训评估是不可缺少的环节，即依据培训目标、应用科学的评估方法来评价培训的效果，只有这样，企业才能知道培训是否达到了目的。,5.企业文化（核心价值的建立）,企业文化是一切从事经济活动的组织之中形成的组织文化，是企业在长期的经营实践中形成的共同思想、作风、价值观念和行为准则，是一种具有企业个性的信念和行为方式。企业文化包含四个要素：

28、制度文化、物质文化、行为文化、精神文化。这四者相互影响、相互作用，共同构成企业文化的完整体系。,6.法律环境,企业如果不具有较强的法律意识，不能充分认识到法律风险的存在，并对其进行有效控制，轻则给企业带来经济损失，重则会给企业带来灭顶之灾。因此企业内部控制基本规范第19条规定企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。,二、风险评估,辨认风险，经营风险，决策过程方面（目标导向下的风险评估）风险评估是组织辨认和分析与目标实现有关的风险的过程。风险评估提供了控制风险的基础。内部控制中

29、的风险评估过程必须判明企业完成既定目标存在的外部风险与内部风险，分析各种风险的类型和程度。此处的风险评估是一个比较宽泛的概念，包括了风险管理的全过程，即设置目标、风险识别、风险分析、风险应对。,（一）设置目标,企业内部控制基本规范第21条规定企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。所以企业只有根据设定的风险承受度，才能全面系统持续地收集相关信息，最后结合实际情况，及时进行风险评估。,（二）风险识别,风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信

30、息的过程。风险识别作为风险评估过程的重要环节，主要回答的问题是：存在哪些风险，哪些风险应予以考虑，引起风险的主要因素是什么，这些风险所引起的后果及严重程度如何，风险识别的方法有哪些等。而其中企业在风险评估过程中，更应当关注引起风险的主要因素，应当准确识别与实现控制目标有关的内部风险和外部风险。企业的内部风险因素主要有：董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。组织机构、经营方式、资产管理、业务流程等管理因素。研究开发、技术投入、信息技术运用等自主创新因素。财务状况、经营成果、现金流量等财务因素。营运安全、员工健康、环境保护等安全环保因素以及其他因素。企业的外

31、部风险因素主要有：经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。法律法规、监管要求等法律因素。安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。技术进步、工艺改进等科学技术因素。自然灾害、环境状况等自然环境因素以及其他因素。,（三）风险分析,通过识别出的风险，我们应对其进行分析。为此企业内部控制基本规范第24条规定企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。,（四）风险应对

32、,在风险识别和风险分析的基础上，企业就应该结合具体的实际情况，选择合适的风险应对策略。企业风险应对策略有四种基本类型：风险规避、风险降低、风险分担、风险承受。因此企业内部控制基本规范第26条规定企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。这是控制风险的一种最彻底、最有力的措施，它与其他的控制风险方法不同，是在风险事故发生之前，将所有风险因素完全消除，从而彻底排除某一特定风险事故发生的可能性，同时也是一种消极的风险应对措施，因为选择这一策略也就放弃了

33、可能从风险中获得的收益。风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。这是风险管理中最积极主动也是最常见的一种处理方法，包括两类措施：风险预防和风险抑制。风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。其主要措施包括业务分包、保险、出售、开脱责任合同以及合同中的转移责任条款5种。风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。这也是一种最普通、最省事的风险应对策略。风险应对的四种策略是根据企业的风险偏好和风险承

34、受度制定的，风险规避策略在采用其他任何风险应对措施都不能将风险降低到企业风险承受度以内的情况下适用；风险降低和风险分担策略则是通过相关措施，使企业的剩余风险与企业的风险承受度相一致；风险承受则意味着风险在企业可承受范围之内。企业应该结合具体情况及时调整风险应对策略。所以企业内部控制基本规范第27条规定了企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。,三、控制活动,对评估的风险去应对，应对风险的措施。不要仅仅是认为会计方面的不相容职务的分离。企业内部控制基本规范第28条明确了企业应当结合风险评估结果，通过手工控制与自动控制、预

35、防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。,（一）不相容职务分离控制,企业内部控制基本规范第29条不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。所以企业进行组织规划，首先是要对不相容职务进行分离。如果担任不相容职务的职工之间相互串通勾结，则不相容职务分离就失去作用了。但如果企业没有适当的职务分离，则发生错误和舞弊的可能性更大。,（二）授权审批控制

36、,企业内部控制基本规范第30条的规定，授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。授权按照其形式可分为常规授权和特别授权。常规授权是企业在日常经营管理活动中按照既定的职责和程

37、序进行的授权。特别授权是对非经常经济行为进行专门研究后作出的授权。与常规授权不同，特别授权的对象是某些例外的经济业务，只涉及特定的经济业务处理的具体条件及有关具体人员。,（三）会计系统控制,企业内部控制基本规范第31条会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。会计系统是为确认、汇总、分析、分类、记录和报告企业发生的经济业务，并保持相关资产和负债的受托责任而建立的各种会计记录手段、会计政策、会计核算程序、会计报告制度和会计档案管理制度等的总称。所以很有必要对会计系统进行相关的控制。,（四）财产保护控

38、制,企业内部控制基本规范第32条明确了企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产的安全完整；严格限制未经授权的人员接触和处置财产。这里所述的财产主要包括企业的现金、存货以及固定资产等。,（五）预算控制,企业内部控制基本规范第33条预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。所以企业通过预算控制，使得经营目标转化为各部门、各个岗位以至个人的具体行为目标，作为各责任单位的约束条件，能够从根本上保证企业经营目标的实现。一般来说，企业全面预算体系包括经营预算、资本

39、预算和财务预算。,（六）运营分析控制,开展运营活动分析的目的就在于把握企业经营是否向着预算规定的目标值发展，一旦发生偏差和问题就能找出问题所在，并根据新的情况解决问题或修正预算。,（七）绩效考评控制,企业内部控制基本规范第35条绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。,四、信息与沟通,信息与沟通涵盖在整个过程当中。如流程的设计，如何进行合理的安排，才能达到设计的合理。,（一）信息搜集,企业在进行信息搜集时应明确搜集的内容、方式等，所以在企

40、业内部控制基本规范第39条规定企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。,（二）信息传递,企业内部控制基本规范第40条规定企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间与外部投资者、债权人、客户、供应商、中介机构和监督部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。,（三）信息共

41、享,企业的内部控制系统实质上是一个信息系统，是一个对信息进行搜集、核对、整合、传递的过程，并且通过反馈机制改进信息的搜集、处理和传递，从而形成一个灵敏的信息沟通机制，促进内部控制目标的实现。信息系统的发展离不开信息技术的进步和人们对信息的需求的增加，在信息化社会中，信息的需求无疑会持续增加，所以企业应当提高先进信息技术的应用水平，建设和完善自身的信息系统。同时，信息系统又是由许多子系统组成的，为了使信息流、物流、资金流在企业内部部门之间、企业与外部机构之间充分流动，企业就必须依赖信息技术搭建信息共享的平台。因此企业内部控制基本规范第41条明确了企业应当利用信息技术促进信息的集成与共享，充分发挥

42、信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。,（四）反舞弊机制、举报人投诉制度和举报人保护制度,有效的信息交流机制可以对防范以及及时发现舞弊行为起到很好的作用。企业内部控制基本规范第42条规定企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。,企业至少应当将下列情形作为反舞弊工作的重点：未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。在财务会计报告和

43、信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。董事、监事、经理及其他高级管理人员滥用职权。相关机构或人员串通舞弊。,五、内部监督,内部监督是内部控制体系中不可或缺的一部分，是内部控制得到有效实施的有力保障，具有非常重要的地位。可以发现内控缺陷，改善内控体系，促进企业内部控制的健全性、合理性；提高企业内部控制施行的有效性；是外部监管的有力支撑；可以减少代理成本，保障股东的利益。为此企业内部控制基本规范第5条第5款规定内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。,第三章 内部控制设计与评价,第一节 内部控制设计第二节 内部

44、控制制度评价,第一节、内部控制设计,一、内部控制设计原则二、内部控制设计的程序三、内部控制措施四、有关各方面在内部控制中的职责作用,一、内部控制设计的原则,企业建立与实施内部控制，应当遵循下列原则：（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。,（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加

45、以调整。（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。,二、内部控制设计的程序,（一）对单位内部结构和外部环境能够进行深入细致的调查。（二）按照系统理论和方法的要求划分单位内部机构。（三）确定所属信息活动过程中的关键环节。（四）形成内部控制的文本规定。,三、内部控制措施,（一）不相容职务分离控制,所谓不相容职务，是指那些如果由一个人担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。不相容职务一般包括：授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等。对于不相容的职务如果不实行相互分离的措施，就

46、容易发生舞弊等行为。,（二）授权审批控制,授权批准是指单位在办理各项经济业务时，必须经过规定程序的授权批准。授权审批形式通常有常规授权和特别授权之分。常规授权是指单位在日常经营管理活动中按照既定的职责和程序进行的授权，用以规范经济业务的权力、条件和有关责任者，其时效性一般较长。特别授权是指单位对办理例外的、非常规性交易事件的权力、条件和责任的应急性授权。,单位必须建立授权审批体系，明确：1.授权审批的范围；2.授权审批的层次；3.授权审批的程序；4.授权审批的责任。单位对于重大业务和事项，应当实行集体决算审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体意见。,（三）会计系统控制,会计

47、作为一个信息系统，对内能够向管理层提供经营管理的诸多信息，对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等而进行的控制。其内容主要包括：1.依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书，会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师或者财务总监，设置总会计师或者财务总监的单位，不得设置与其职权重叠的副职。2.建立会计工作的岗位责任制，对会计人员进行科学合理的分工，使之相互监督和制约。3.按照规定取得和填制原始凭证。4.设计良好的凭证

48、格式。5.对凭证进行连续编号。6.规定合理的凭证传递程序。7.明确凭证的装订和保管手续责任。8.合理设置账户，登记会计账簿，进行复式记账。9.按照会计法和国家统一的会计准则制度的要求编制、报送、保管财务报告。,（四）财产保护控制,财产保护控制主要包括：1.财产记录和实物保管。关键是要妥善保管涉及资产的各种文件资料，避免记录受损、被盗、被毁。对重要的文件资料，应当留有备份，以便在遭受意外损失或毁坏时重新恢复，这在计算机处理条件下尤为重要。2.定期盘点和账实核对。它是指定期对实物资产进行盘点，并将盘点结果与会计记录进行比较。盘点结果与会计记录如不一致，可能说明资产管理上出现错误、浪费、损失或其他不

49、正常现象，应当分析原因、查明责任、完善管理制度。3.限制接近。它是指严格限制未经授权的人员对资产的直接接触，只有经过授权批准的人员才能接触该资产。限制接近包括限制对资产本身的接触和通过文件批准方式对资产使用或分配的间接接触。一般情况下，对货币资金、有价证券、存货等变现能力强的资产必须限制无关人员的直接接触。,（五）预算控制,预算控制的内容涵盖了单位经营活动的全过程，单位通过预算的编制和检查预算的执行情况，可以比较、分析内部各单位未完成预算的原因，并对未完成预算的不良后果采取改进措施，确保各项预算的严格执行。在实际工作中，预算编制不论采用自上而下或自下而上的方法，其决策权都应落实在内部管理的最高

50、层，由这一权威层次进行决策、指挥和协调。预算确定后由各预算单位组织实施，并辅之以对等的权、责、利关系，由内部审计部门等负责监督预算的执行。预算控制的主要环节有：1.确定预算的项目、标准和程序；2.编制和审定预算；3.预算指标的下达和责任人的落实；4.预算执行的授权；5.预算执行过程的监控；6.预算差异的分析和调整；7.预算业绩的考核和奖惩。,（六）运营分析控制,运营分析控制要求单位建立运营情况分析制度，管理层应当综合运用生产、购销、投资、融资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。,（七）绩效考评控制,绩效考评控