企业内控制度的设计与运行

潘煜双 嘉兴学院商学院副院长 教授、博士、硕士生导师 2012-06-07

制度的重要性 案例一： 看电视杨澜访问姚明，这两个人大家都知道，

杨澜问姚明说，你现在作为美国的火箭队，你比较一下，你是中国人到美国打球这么好，为什么中国队打不好，姚明对她说了这样的一段话：“说中国的篮球队，有很多颇具天赋的球员，各自发挥，都是天才，而在美国不管你是不是天才球员，在罚球的时候教练都要拿尺子去丈量，看上去是美国队的死板，其实这是美国队为什么成为了常胜将军的原因。

（启示：制度管理，不会因人而异）

案例二：去 KFC 和麦当劳，为什么这样的环境我们都去，我们的现金不舍得消费但是却去消费到他们那里了，肯德基的服务员并没有中餐馆的小姐长得漂亮，但是他是三流的员工，二流的管理者，出现的是一流的流程，特别注重流程。我不知道大家去肯德基的时候有没有去它的洗手间，上面贴了一张条子，是几点到几点谁签名搞卫生了，而到中国人经营的豪华酒店和餐馆是没有这种现象的。重在制度，重在流程。所以说一个企业，要想长久经营，宁可相信流程，也不要相信个人。

案例三：在 1770 年的时候，英国人发现了澳大利亚的新大陆，一个新大陆需要人去开发，就需要运人到这个地方，这就涉及到了制度安排，刚开始的时候，这个船组是几个月运一次，这是计次数付费的，就是说跑一趟就是多少钱，这种情况下就会尽量的减少成本开支，运到了目的地就死掉了三分之一了（因为减少次数就必然增加人数），如果我们的目的是运送这些人到目的地，那么制度就变了，船组是按人交付（运到目的地的人数），还是原来的船组，但是魔鬼可以变成天使。如果一个不好的制度，天使也可能会变成魔鬼。

好的制度安排，就是坏人想做坏人做不成，不好的制度安排，可以诱致、诱发一个好人变成坏人。其实我们的财务制度也是这样的。

内部控制为什么会受到如此关注 1 、 2001 年开始的一系列会计丑闻，包括： 中国的银广夏、蓝天股份等； 美国的安然、世界通信等； 欧洲的帕玛拉特等 2 、美国颁布的 sox 法案 是一部美国法律 但是管辖的是在美国上市的企业 3 、中国企业开始关注内部控制，如 中石油、中石化、华能国际、中海油、中国电信、中国移动、中

国联通、中国铝业、东方航空、南方航空等。 4 、中国政府有关部门及监管机构开始关注内部控制 国资委 财政部、审计署、证监会、银监会、保监会 上海证券交易所、深圳证券交易所

内部控制的局限

内部控制的局限主要表现在： 内部管理人员滥用职权、蓄意营私舞弊等，导致内部

控制失去应有的控制效能。 内部人员相互串通作弊导致相关内部控制失去作用。 内部人员素质不适应岗位要求，影响内部控制功能的

正常发挥。 成本效益问题。 对于不经常发生或未预计到的经济业务，原有的控制

可能不适用。临时控制若不及时会影响内部控制的作用。

美国萨班斯法案

1.背景 2001 年 11 月，安然公司财务丑闻曝光， 6 个月后，世通公司再度爆发丑闻，美国这一期间有 338家上市公司，总计 4093 亿美元的资产申请破产保护。 2002年 7 月 30日美国紧急出台了公司改革法案《萨班斯—奥克斯利法案（ Sarbanes-Oxleys Acts）》，又成立了一个新的监管机构 (上市公司会计监督委员会PCAOB) 来监管会计职业界和公司董事会。

萨班斯法案的主要内容

  SOX法案共分十一章。第一至第六章主要涉及对会计职业及公司行为的监管。第八至第十一章主要是提高对公司高管及“白领犯罪”的刑事责任。如对故意进行证券欺诈的行为最高可判处 25 年入狱 ;CEO 和 CFO 必须签字保证其报送给 SEC 的财务报告的合法性及公允性。

实际上在 SOX法案上述条款中 , 需要一家在美上市公司着力实施的是 302 条款和 404 条款。两者都要求 CEO 和 CFO 签字声明对建立和维护内部控制系统负有职责 , 并且要对控制体系及其有效性进行评价 ;区别在于 ,404 条款要求外部审计师对此声明进行审计并出具意见 , 而 302 条款则无此要求。由于不需要审计 , 在具体实施 302 条款时管理层的压力不大 , 一般是通过下级对上级进行逐级承诺来实现的。而 404 条款则要严格得多 , 其具体内容包括 :

404 条款内容

(1)上市公司管理层签字声明对建立和维护财务报告相关的内部控制系统及程序的充分有效负责；

(2)在年报中对截至最近会计年度结束公司内部控制系统及控制程序的有效性做出书面评价；

(3) 外部审计师应就管理层关于内部控制的评价进行核证并提交报告 ,核证要遵循 PCAOB发布的标准进行；

404条款的内容十分简短 ,却是牵一发而动全身 ,力度极大。

如果外部审计师出具的结果表明某上市公司没有满足这些要求，不但公司股价会受到严重影响，而且还有可能受到摘牌和其它惩罚。如果公司管理层恶意违反 404 条款，将可导致最长达 20 年的监禁。虽然 SOX法案还包括很多其他内容，但从上市公司的角度看， SOX法案的遵从在很大程度上变成了对 404 条款的遵从。

萨班斯法案对上市公司内部控制的要求

根据 COSO委员会的《内部控制 -整体框架》的定义，内部控制是指企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。以单独提供的方式向外部信息使用者披露内部控制信息的方式即所谓的内部控制报告。

实际上 404 条款并未要求管理层声明其采用了哪一个内部控制框架。但是 PCAOB 在其 2004 年 9 月发布的第 2号审计准则中，推荐使用 COSO内部控制框架。如果使用其他内部控制框架，该框架也必须包括 COSO 所包含的要素。就是说，如果使用非 COSO内部控制框架，就必须证明该框架优于 COSO框架。这实际上确定了内部控制框架在遵从 COSO ， COSO 在 SOX 404 条款方面的绝对主导地位。

内部控制的发展

1.萌芽阶段 –内部牵制 （公元前 3600年 -20世纪 40年代） 2.发展阶段 -企业内部控制制度 -内部会计控制与管理控制（ 20世纪 40年代至 70年代， 1934 美国《证券交易法》，首先提出了“内部会计控制” 概念。 1949， 1958， 1963， 1972）

3.形成阶段 -企业内部控制结构 -控制环境、会计系统、控制活动 （ 20世纪 80年代至 90年代， 1988） 4.成熟阶段 -企业内部控制整体框架—五要素 （ 20世纪 90年代至 21世纪， 1992） 5.新发展—企业风险管理框架（ ERM ， 2004 ） --八要素 (21世纪以来）

COSO内部控制框架

1985年，由美国注册会计师协会（ AICPA）、美国会计学会（ AAA）、财务执行官协会（ FEI）、国际内部审计师协会（ IIA）、管理会计师协会（MAA）共同赞助成立反虚假财务报告委员会（ Treadway 委员会），该委员会旨在探讨财务报告中的舞弊产生的原因，并寻找解决措施。该委员会虽然未对内部控制提出结论，但其研究指出 50%的财务舞弊事件可全部或部分归因于内部控制不健全。

基于该委员会的建议，其赞助机构成立COSO委员会（ Committee of Sponsoring Organization），专门研究内部控制问题。

内部控制概念

1992 年 9月， COSO委员会提出了报告《内部控制——整体框架》（ 1994年进行了增补）， 即COSO内部控制框架。

COSO认为：企业内部控制是由企业董事会、经理层以及其他员工共同实施的，为经营活动的效率与效果、财务报告的准确性、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素：控制环境、风险评估、控制活动、信息与沟通、监督。

1994年增加资产保护目标。

内部控制的目标

(1)经营的效果和效率 (2) 财务报告的可靠性 (3) 法律法规的遵循性 第一类目标指企业的基本经营目标，包括业绩、盈利指标

和资源保护； 第二类目标指编制可靠的公开财务报表的，包括中期和简略财务报表，以及从这些财务报表中摘出的数据（如利润分配数据）；

第三类目标指企业经营必须符合相关的法律法规。

内部控制的五项要素：

(1)控制环境——控制环境决定了企业的基调，直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架，是其他四要素的基础。

控制环境包括员工的诚信度、职业道德和才能；管理哲学和经营风格；权责分配方法、人事政策；董事会的经营重点和目标等。

描述内部控制环境描述内部控制环境

任何企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守、价值观和能力等，它们既是构成环境的重要要素之一，又与环境相互影响、相互作用。环境要素是推动企业发展的引擎，也是其他一切要素的核心。

风险管理观念 风险文化 诚信与价值观 员工的胜任能力，如雇员是否能胜任质量管理要求 董事会或审计委员会，如董事会是否独立于管理层 管理哲学和经营方式，如管理层对人为操纵的或错误的记录的态

度 组织结构，如信息是否到达合适的管理阶层

(2)风险评估——每个企业都面临诸多来自内部和外部的有待评估的风险。

风险评估的前提是使经营目标在不同层次上相互衔接，保持一致。

风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础。

由于经济、产业、法规和经营环境的不断变化，需要确立一套机制来识别和应对由这些变化带来的风险

(3)控制活动——控制活动指那些有助于管理层决策顺利实施的政策和程序。

控制行为有助于确保实施必要的措施以管理风险，实现经营目标。

控制行为体现在企业的不同层次和不同部门中。 包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

(4) 信息和沟通——公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责。

信息系统不仅处理内部产生的信息，还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。

有效的沟通应该是自上而下、横向以及自下而上的传递。 所有员工必须从管理层得到清楚的信息，必须理解自身在整个内控系统中的位置，理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。

与外部诸如客户、供应商、管理当局和股东的之间也需要有效的沟通。

(5)监控——内部控制系统需要被监控，即对该系统有效性进行评估的全过程。

通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。

持续性的监控行为发生在企业的日常经营过程中，包括企业的日常管理和监督行为、员工履行各自职责的行为。

独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报，性质严重的应上报最高管理层和董事会。

内部控制在中国的发展

1 、 1996 年 12 月，中国注册会计师协会发布了《独立审计准则第 9号——内部控制和审计风险》，借鉴美国 SAS.No.55 ，提出了内部控制三要素——控制环境、会计系统和控制程序，以帮助注册会计师调查和测试内部控制，确定控制风险进而确定实质性审计测试的性质、时间与范围。

2 、 2002 年 2 月 9日，中国注册会计师协会发布《内部控制审核指导意见》，较为全面地对会计师事务所进行内部控制进行评价提供了操作指南，规范注册会计师对内部控制的审核意见，但该指南仍然没有跳出 SAS.No.55号对内部控制的有关规定 ,该意见主要强调与会计报表相关的内部控制。

3 、 2006 年 2 月 25日，中国注册会计师协会发布《中国注册会计师审计准则第 1211号——了解被审计单位及其环境，评价重大错报风险》，将被审计单位内部控制作为评价被审计单位重大错报风险的重要依据之一，第一次正式提出了内部控制的五要素，即控制环境、风险评估、信息与沟通、控制活动和监督，借鉴了 COSO内部控制整体框架思想。

4 、 2002 年美国《萨班斯—奥克斯利法案》出台，伴随国内一系列重大财务舞弊案件的发生，有关监管当局对内部控制的有关作用日益重视，上海证券交易所和深圳证券交易所在 2006 年 6 月、 9 月分别出台了各自的《上市公司内部控制指引》，该指引较多地借鉴了萨班斯法案的立法思想，同时利用 COSO （全国虚假财务报告委员会下属的发起人委员会）《内部控制—风险管理框架》的八要素理论要求上市公司管理当局在年度报告中披露其对本公司内部控制设计和理性以及运行有效性的意见，同时要求会计师事务所对管理层的报告发表鉴证意见。至此，对于上市公司而言，我国基本建立了类似美国萨班斯法案的内部控制评价体系。

5 、 2008 年 5 月 22日财政部 证监会 审计署 银监会 保监会关于印发《企业内部控制基本规范》的通知（财会 [2008]7 号　）要求上市公司自2009 年 7 月 1日起，对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。

6 、 2008 年 6 月 12日，财政部发布了《企业内部控制评价指引》（征求意见稿）、《企业内部控制应用指引》（征求意见稿）和《企业内部控制鉴证指引》（征求意见稿）。

7 、《企业内部控制基本规范》拟于 2010 年起在境外上市公司执行。

中国上市公司内部控制的主要缺陷

公司治理与内部控制体系不完善； 公司授权缺失或不合理，部门职责设置重叠低效； 公司内部控制制度与业务开展难以有效融合； 公司管理层与员工内部控制意识薄弱； 公司对于内部控制制度的认识不足，缺少内部控制的相关培训和辅导；

公司对外投资无法有效控制，导致大量投资亏损； 集团公司的分支机构难以在业务、财务和资产上得到有效的控制； 采购环节内部控制缺失，导致产品质量难以保障。 衍生金融产品投资的风险管理能力较差； 内部审核人员配置不足、工作深度不够，无法有效执行监督职能。

财务风险识别 一、单项财务指标信号。原来的分析我们都是事后分析，作为一个价值创造性的财务管理，应该在有些事情发生之前，要有预见。

1. 对外扩张瞬间膨胀。比如说巨人集团的史玉柱，保健品的现金回流是一个有限的数字，是一个有限的资源，要看到短期内的新增项目的危险，这样的情况包括了浙江绍兴的江龙控股，可能是在主业受到了阻力，主要的问题是向外扩张出现的问题。

2.贷款筹资突然困难。比如说原来银行贷款可以出来，现在突然出不来了，销售的回款不畅。

3. 商品销售的突然下跌。 4.非常的存货积压。因为存货的原材料采购、生产产品的正常进行，

但是销售不出去这也是一个库存。 5.货款回收大面积停滞。原来都是两三个月，到时候下家会打款过来

的，现在就不行了。 6.交易记录的快速恶化。这里是“快速恶化”。 7.定时性开支没有如期支付。

二、综合指标 销售的利润率、销售的现金含量以及外部借款的比例，资产负债率等等方面。

我们把这几个方面单因素出现红灯的时候要关注，当三个指标进入红灯的时候你是危机即将到来，如果是六个以上的因素你基本上是没有方法可以救了。所以在这个问题上，单项财务指标，综合指标还有非财务指标。

1.财务预测在较长时间不准确。比如：过度依赖外部债权人贷款；过度依赖某家关联公司；核心人物或重要岗位突变异动。

我们要通过财务专业指标，还要眼观六路耳听八方，从日常的经营的预防性应对策略：建立危机意识，预防重于处理。

2. 常规管理的倾向性应对策略。 强力推进资金集中管理，继续推进全面预算，强化多层责任，锁定债券风险……

3.差异管控下的针对性应对策略。 不同的集团对集权的分配方法不一样，有战略管控型的，也有财务管控型的，要针对不同的管控模式来进行相应的应对策略。

中国内部控制基本规范

2008 年 6 月 28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》（以下简称基本规范）。执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。

基本规范共七章五十条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。

基本规范坚持立足我国国情、借鉴国际惯例，确立了我国企业建立和实施内部控制的基础框架，并取得了重大突破。

内部控制的基本要求： 一是科学界定内部控制的内涵，强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，有利于树立全面、全员、全过程控制的理念。

二是准确定位内部控制的目标，要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上，着力促进企业实现发展战略。

三是合理确定内部控制的原则，要求企业在建立和实施内部控制全过程中贯彻全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。

续： 四是统筹构建内部控制的要素，有机融合世界主要经济体加强内部控制的做法经验，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。

五是开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制，要求企业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系；国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查；明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计，出具审计报告。

1.总则 主要明确了《基本规范》的颁布目的、适用对象，以及内部控制的概念、主要目的、实施原则和要求构成等。重要关注：

主要适用对象是国内的大中型企业，而对于小型企业和其他企业单位可以参照。

强调内部控制是一个“旨在实现的控制目标的过程”，而不单单只是结果。好的内控应该根据企业是否在业务过程中采取了风险控制的措施来判断。

内部控制的目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果、促进企业实现发展战略。与 COSO 相比多了一个“资产安全”，因为很多上市公司的资产，从现金、存货到固定资产都频繁爆出舞弊行为，而在非上市公司，尤其是大中型国有企业将更为突出。

续： 第四条《基本准则》给出了全面性（各业务层面、项

目管理和子公司管理）、重要性（关注风险重大的领域）、制衡性（不相容职务的分离）、适应性（不断调整、突出变化性）、成本效益五大原则。

第七条《基本准则》要求对信息系统的内部控制进行分析判断。因为很多案例表明，即使在实行了 ERP的企业，内部舞弊依然存在，而且往往是利用了 ERP系统的权限或者后门。

第十条《基本准则》强调内部控制和鉴证的独立性问题，即为企业提供内部控制咨询的公司不能再为企业提供内部控制审核并发表意见。

2.内部环境的要求 （第十一条到第十三条）在治理结构上，强调“审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等”。

（第十四条）在机构设置和权责分配上，突出“企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配、正确行使职权。”明确业务循环中的控制目标、可能风险、防范措施等。

（第十五条）在内部审计上，要“保证内部审计机构设置、人员配备和工作的独立性”。要求内审部门“有权直接向董事会及其审计委员会、监事会报告”所发现的问题。

（第十六条互第十七条）在人力资源政策上，突出“关键岗位员工的强制休假制度和定期岗位轮换制度”。其目的是防范舞弊风险。

（第十八条到第十九条）在企业文化上，强调“董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用”。

3.风险评估要求 （第二十条到第二十三条）在风险识别方面，将企业的风险划分为内部风险和外部风险两个大类，并进而分为十二个小类，有利辩别业务循环中的风险。

（第二十四条）在风险分析方面，要求企业“应当充分吸收专业人员，组成风险分析团队”，“按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序”。可见，风险的重要性排序将主要依赖于风险的发生频率以及严重程度两个方面。

（第二十五条到第二十七条）在风险应对方面，指出“企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略”，只要风险在可接受的范围内，不采取措施也是一种风险应对策略。指出“企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好。”防止因个人风险偏好而影响整个企业的存亡。

4 、控制活动的要求 《基本准则》明确了七个方面：不相容职务分离控制、授权审批控制、会

计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。强调：

（第三十条）“企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策”，其中，联签对于提高内部制衡，增加审批的谨慎性非常关键，克服“一支笔”现象。

（第三十七条）“企业应当建立重大风险预警机制和突出事件应急处理机制”，尤其是要建立突发事件的应对制度，从书面制度教育员工甚至公司管理层如何进行危机公关。同时，对于一些重要的经营投资行为，比如期望货交易等，要建立预警线，以保证公司在遭遇不幸时，损失能够最小化。

5 、信息与沟通的要求 （第三十八条到第四十三条），要求企业“应当建立信息与沟通制度”，保证内部信息的充分有效的传递，尤其是对于舞弊行业的发现和处理，要予以重点关注。

重点提到信息系统下的信息沟通， 要求企业加强对“信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制”

6 、持续监督的要求 （第四十四条）在企业中，内部监督主要是由内部审计部门来负责

实施，要求企业“明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求”。这就要求企业能提供一套全面的指导内部审计部门开展工作的指引。

内部审计部门要不断地关注和评价企业的内控状况，这一评估包括了制度的设计有效性和执行有效性，以帮助企业能持续不断地进行内控改善。

《基本准则》提出“企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性”，由此可见，在整个内控实施的过程中，凭证表单显得尤为重要，因为只有表单才能证明内控的被执行，才能让内控变得可复核。因而，建立一套规范的、与业务流程相匹配的书面表单是企业建立内部控制的重要环节。

中国企业内部控制配套指引

财政部、证监会、审计暑、银监会、保监会 2010 年 4 月 15日发布内部控制配套指引。自2011 年 1 月 1日起在境内外同时上市的公司施行，自 2012 年 1 月 1日起在上海证券交易所、深圳证券交易所主板上市公司施行，在此基础上，择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。

1 、企业内部控制应用指引 2 、企业内部控制评价指引 3 、企业内部控制审计指引

企业内部控制应用指引（ 18 个）

第 1号：组织架构。组织架构的设计，组织架构的运行。

第 2号：发展战略。发展战略的制定，发展战略的实施。

第 3号：人力资源。人力资源的引进与开发，人力资源的使用与退出。

第 4号：社会责任。安全生产，产品质量，环境保护与资源节约，促进就业与员工权益保护。

第 5号：企业文化。企业文化的建设，企业文化的评估。

第 6号：资金活动。筹资，投资，营运。 第 7号：采购业务。购买，付款。 第 8号：资产管理。存货，固定资产、无形资产。

第 9号：销售业务。销售，收款。 第 10号：研究与开发。立项与研究，开发与保护。

第 11号：工程项目。工程立项，工程招标，工程造价，工程建设，工程验收。

第 12号：担保业务。调查评估与审批，执行与监控。 第 13号：业务外包。承包方选择，业务外包实施。 第 14号：财务报告。财务报告的编制，财务报告的

对外提供，财务报告的分析利用。 第 15号：全面预算。预算编制，预算执行，预算考核。

第 16号合同管理：合同的订立，合同履行。 第 17号内部信息传递：内部报告的形成，内部报告的使用。

第 18号信息系统。信息系统的开发，信息系统的运行与维护。

企业内部控制评价指引

1 、内部控制评价的内容（五要素）。 2 、内部控制评价的程序（方案、工作、测试、认定缺陷、评价结果、编制评价报告）。

3 、内部控制缺陷的认定（重大、重要和一般缺陷）。

4 、内部控制评价报告（披露 8项内容）。

企业内部控制审计指引

1 、计划审计工作。 2 、实施审计工作。 3 、评价控制缺陷。 4 、完成审计工作。 5 、出具审计报告。 6 、记录审计工作。 附录：内部控制审计报告的参考格式

思考 :中国为什么不能照搬美国 <萨班斯法案 >?

(1) <萨班斯法案 >关于内部控制的规定的操作成本太高 ,对规定较小的中国企业来说操作难度太大 . 大型美国公司仅在第一年建立内部控制系统的平均成本就高达 430万美元。

(2)公司治理方面与国际或美国企业有差距，照搬可能水土不服。

(3) 很多中国上市公司的基础还比较差 , 要达到 <萨班斯法案 > 的要求太难。

中国联能因境外上市， 2003 年就已按 <萨班斯法案 >302条和 404 条建立并完善内控。

企业内部控制建设思路和要求

1 、梳理企业现有治理结构、完善组织设计及部门设置。明确战略目标，设立相应的内控部门及部门职责，对现有制度查缺补漏。

2 、建立内部控制系统。内部控制系统是各有差异、各具特色。主要目标是为了经营合法、运作高效率、控制风险。包括：对企业风险进行系统评估、建立书面的内部管理手册、对企业内部管理手册的执行进行持续监督、根据企业的外部环境及内部业务的变化对内控体系进行动态更新。

3 、对外披露：内控自我评估及内控鉴证。自我评估报告应披露：内控制度实施情况，重大缺陷及影响，采取的改进措施，重大变化情况及影响等。内控鉴证是指实行内部控制审计或者评价的企业，应对内部控制审计或者评价工作予以配合。接受委托的中介机构应保持客观独立性，并对报告的合法性、公允性负责。

《内部管理手册》编制要求

《手册》是在企业内部控制的范畴内提出的，成为内部控制制度设计及实践的组成部分。

《手册》的内容集中于机构设置、岗位职责、流程、权责分配等，一方面是经营操作相关、另一方面与企业内控所关注的经营层面的主要风险相关。

《手册》所面对的使用对象是公司的全体员工，因而可操作性应是需要考虑的重要因素。

《手册》对公司的内部审计部门起到工作指导的作用，以便于公司了解自身的整体经营风险并方便审计部门对业务环节的具体操作进行审计。

《内部管理手册》与企业其他管理制度差异

编制目标的差异。管理制度是出于日常经营的需要，功能在于为特定的操作人员提供具体的工作指引。 ISO 管理体系关注产品质量。《手册》对企业经营的整体风险进行关注和防范。

编制框架差异。制度常常缺乏逻辑架构和整体框架， ISO缺少考虑企业经营层面的其它风险。《手册》强调对企业经营层面的所有风险的识别、分析、评估和控制，突出企业内部控制实施的可复核性。

《手册》是对现有制度体系的整合和提升，是从风险管理的视角对企业原有制度体系和业务流程的再梳理。

《内部管理手册》的内容构成 《手册》应梳理业务流程，找出业务循环的主要风险和控制目标，

并明确相对应的关键控制活动和基本的不相容职务分离的要求，同时通过对特定循环的流程分析，将关键控制活动对应到具体的岗位和管理制度，最后《手册》为内部审计提供必要的工作指引。手册》组成：

流程综述及控制目标：流程整体描述，流程控制目标。 明确控制要求的流程图：梳理流程图，标出关键控制环节。 本流程主要职责及对应岗位：明确职责与岗位。 不相容职责分离要求：明确职责分离要求。 关键控制活动分析及说明：针对各个关键控制活动进行分解说明。 内控测试矩阵：针对各个关键控制活动，提出内控测试方案。

《内部管理手册》的编制框架与典型步骤

第一步：业务循环划分。主要包括（ 1 ）销货及收款环节；（ 2 ）采购及付款环节；（ 3 ）生产环节；（ 4 ）固定资产管理环节；（ 5 ）货币资金管理环节；（ 6 ）关联交易环节；（ 7 ）担保与融资环节；（ 8 ）投资环节；（ 9 ）研发环节；（ 10 ）人事管理环节；（ 11 ）信息管理环节。

第二步：流程风险分析。主要包括：流程的控制目标、关键控制活动、主要涉及的岗位职责、相关的表单流转等。

第三步：不相容职务分析。一般而言，企业的各主要业务循环的各类活动可以划分为批准、执行、记录和控制四大类别，从岗位设置的要求来看，应该保证同一人员不同时从事以上四类中的任何两项及以上的工作。

第四步：内控测试矩阵。明确内控活动中所有关键控制点的主要痕迹和后果，并分别从过程和结果两个角度来检视内控实施的有效性。

常见业务领域举例：常见业务领域举例：

资金活动 第一章 总 则 投融资决策失误、资金调度不合理导致断链、资金安全。 第二章 筹资 筹资方案、可行性研究报告、审批与集体决策、按计划执行 第三章 投资 投资方案、主业突出、可行性研究、方案审批、收回、转让、核销的审批程序 第四章 营运 资金的预算管理、缺口与剩余、支付审批、印鉴管理

月度计划 预警管理 银行账户管理 现金日常管理 期末对账 现金盘点

采购业务 第一章 总 则 库存短缺或积压、供应商选择、价格与质量、验收与付款 第二章 购买 集中采购、采购申请、预算控制、供应商目录与评估、招标、询价、直接采购、招标以外的制定动态

化的最高限价、验收、 第三章 付款 付款审批、预付款控制。 合格供应商确定 供应商评价 供应商目录管理 用料计划 库存平衡 采购计划 审批 采购方式确定 招标与询价 合同签订 预付款及保函 到货验收 确认存货 应付款管理

销售业务 第一章 总 则 销售政策不合理、渠道不畅、客户调查、结算方式、舞弊 第二章 销售 市场调查、财务参与合同谈判、信用证与保函、发货审批、 第三章 收款 应收账款考核、票据管理、坏账 获得需求信息 技术方案 标前工作量与业务量估计 标前成本预算 合同签订 成本的发生于归集 收入确认 业务进度与财务进度 收款 应收款的管理 尾款发票 质保期服务成本

研究与开发研究与开发

第一章 总 则 立项论证不充分、过程管理不善、成本控制、成果的利用与转化

第二章 立项与研究 可研及独立评估、审批、过程管理、外委招标、成果验收、

是否申请专利的评估、核心可研人员管理与保密协议 第三章 开发与保护 成果转化、接触限制、评估 立项 成本预算 中期检查 成本资本化与费用化 成果管理

工程项目 第一章 总 则 立项决策、招标暗箱操作、造价、物资质量与价格、监理、竣工验收。 第二章 工程立项 第三章 工程招标 第四章 工程造价 第五章 工程建设 第六章 工程验收 项目建议书 可行性研究与评审 集体决策 初步设计与概算 技术设计与修正概算 施工图设计与预算 概预算审核 施工企业招标 设备招标 工程开工 监理 工程随工 在建工程确认 初步验收 项目结算 试运行 工程决算 竣工验收 交付资产 后评估

资产管理

第一章 总 则 存货积压或短缺、价值贬损、固定资产更新改造不及时、无形资产技术落后。 第二章 存货管理 规范流程、限制接触、核对验收与质量、日常库存管理、发出审批、单据流转、盘点 第三章 固定资产管理 固定资产目录、维修保养计划、技术更新、招标投保、抵押审批、盘点 第四章 无形资产管理 产权关系、技术更新、品牌建设 取得验收 确认 日常管理 单据流转 限制接触 维修与保养 折旧与摊销 减值 卡片管理 保险 抵押 盘点 处置

业务外包 第一章 总 则 外包范围、承包方选择、监控不严、质量低劣、商业贿赂 第二章 承包方的选择 范围确定、承包方条件、外包价格、招标、 第三章 业务外包的实施 与承包方的对接、过程管理、承包方履约能力评估、损失索赔、验收。 确定范围 承包商评估 招标与询价 合同签订 预付款及保函 验收 费用确认 应付款管理

一般控制技巧 - 安达信

1. 1. 批 准批 准 2. 2. 配比和比较配比和比较 3. 3. 序号审核序号审核 4. 4. 复核计算复核计算 5. 5. 合计控制合计控制 6. 6. 验 证验 证 7. 7. 分析性程序分析性程序 8. 8. 盘点盘点 9. 9. 函证和对账函证和对账 10.10.科目与明细帐的对帐科目与明细帐的对帐 11.11. 接触限制接触限制

内部控制的相关内容

1、不相容职务分离控制： 授权批准职务与执行业务职务相分离。 业务经办职务与审核监督职务分离。 业务经办职务与会计记录职务分离。 财产保管职务与会计记录职务分离。 业务经办职务与财产保管职务相分离。

2 、授权审批控制

（ 1 ）授权审批的种类。授权批准是指企业在处理经济业务时，必须经过授权批准以便进行控制，授权批准按其形式可分为常规授权和特别授权。

常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。 特别授权是指企业在特殊情况、特定条件下进行的授权。 （ 2 ）授权批准内容。 授权批准的范围 :通常企业的所有经营活动都应纳入其范围 . 授权批准的层次 :应根据经济活动的重要性和金额大小确定不同的授权批准层次，从而保证各管理层有权亦有责。

授权批准的责任 :应当明确被授权者在履行权力时应对哪些方面负责，应避免责任不清，一旦出现问题又难咎其责的情况发生。

授权批准的程序 :应规定每一类经济业务审批程序，以便按程序办理审批，以避免越级审批、违规审批的情况发生。单位内部的各级管理层必须在授权范围内行使相应职权，经办人员也必须在授权范围内办理经济业务。

（ 3）授权目标 不经授权不能被执行 不经合法授权，不能行使相应的权力 一经授权必须予以执行 责、权、利相当 政令统一、避免政出多门 因人择事，视能授权。

3 、会计系统控制

（ 1 ）会计凭证控制 .会计凭证控制是指在填制或取得会计凭证时实施的相应控制措施 ,包括原始凭证与记账凭证的控制 .会计凭证控制的内容主要包括 :严格审查，设计科学的凭证格式，连续编号，规定合理的凭证传递程序，明确凭证装订与保管手续。

（ 2 ）会计账簿控制 .会计账簿控制是指在设置启用及登记会计账簿时实施的相应控制措施。其具体内容包括：

按规定设置会计账簿； 启用会计账簿时要填写“启用表”； 会计凭证必须经过严格的审核无误才能登记入账； 对会计账簿中的账页或账户连续编号； 会计账簿应当按规定的方法和程序登记并进行错误更正； 按规定的方法与时间结账。　

续： （ 3 ）财务报告控制。财务报告控制是指在编报财务报告时实施的相应控

制措施。具体包括： 按规定的方法与时间编制及报送财务报告； 编制的会计报表必须由单位负责人、总会计师及会计主管人员审阅、签名

并盖章； 对报送给各有关部门的会计报表要装订成册，加盖公章等 （ 4 ）会计复核控制。会计复核控制是指对各项经济业务记录采用复查核

对的方法进行的控制。目的是避免发生差错和舞弊，保证财务会计信息的准确与可靠，及时发现并改正会计记录中的错误，做到证、账、表记录相符。具体包括：

凭证之间的复核； 凭证与账簿之间、账簿与报表之间及账簿之间的复核。

4 、财产保护控制

（ 1 ）限制接近。限制接近现金、其他易变现资产、存货。即严格限制无关人员对资产的接触，包括对直接接触实物实体的限制、对接近实物的使用或支配的批准文件的限制、对接近计划资料及有关经济核算资料的限制等。

（ 2 ）定期盘点。建立资产定期盘点制度，并保证盘点时资产的安全性。通常可采用先盘点实物，再核对账册来防止盘盈资产流失的可能性，对盘点中出现的差异应进行调查，对盘亏资产应分析原因、查明责任、完善相关制度。

（ 3）财产保险。通过对资产投保（如火灾险、盗窃险、责任险或一切险）增加实物受损补偿机会，从而保护实物的安全。

续： （ 4）财产记录（保护与监控）。严格限制接近会计记录的人员，以保持保管、批准和记录职务分离的有效性。

会计记录应妥善保存，尽可能减少记录受损、被盗或被毁的机会。 对某些重要资料（如定期财务报告）留有后备记录，以便在遭受意外损失或毁坏时重新恢复。

（ 5）信息考评制度及定期对账制度。信息考评制度：是指对赊销客户的财务状况、偿债能力、经济实力及企业信誉等方面进行综合评价，为企业未来作促销决策提供依据。

定期对账制度：是指与已成事实的赊销客户往来账项定期核对，避免不实账务的发生。

（ 6）应收账款催收制度。指据应收账款的账龄进行账龄分析，并根据合同，建立一系列与工资奖金挂钩的催款措施，尽快缩短收回账款的时间，防止发生坏账。

5 、预算控制

全面预算控制： 预算体系建立（项目、标准、程序） 预算编制与审定 预算指标分解与责任落实 预算执行授权 预算实施监控 预算执行分析与调整 预算业绩考核

6 、绩效考评控制

绩效考评的一个很重要的方法是要根据考评结果严格恰当地进行激励。激励的核心是激励相容。

激励相容是指在市场经济中，每个理性经济人都会有自利的一面，其个人行为会按自利的规则行为行动；如果能有一种制度安排，使行为人追求个人利益的行为，正好与企业实现集体价值最大化的目标相吻合，这一制度安排，就是激励相容。

激励相容的根本问题就是如何调动人们的积极性的问题，即通过某种制度或政策的安排来诱导人们努力工作，使得努力工作的收闪大于所付出的代价。进而使人们的自利和社会利益有机地结合起来。而激励相容的不足在于无法解决参与者的个人偏好。培育参与者的个人偏好，即信念是激励相容机制能够实现目标的更有效保证。

内部控制评价报告 内部控制评价报告至少应当包括下列内容： （ 1 ）内部控制评价的目的和责任主体。 （ 2 ）内部控制评价的内容和所依据的标准。 （ 3 ）内部控制评价的程序和所采用的方法。 （ 4 ）衡量重大缺陷严重偏离的定义，以及确定严重偏离的方法。 （ 5 ）被评估的内部控制整体目标是否有效的结论。 （ 6 ）被评估的内部控制整体目标如果无效，存在的重大缺陷及其可能

的影响。 （ 7 ）造成重大缺陷的原因及相关责任人。 （ 8 ）所有在评估过程中发现的控制缺陷，以及针对这些缺陷的补救措施及补救措施的实施计划等。

附：采购循环的内部控制要点 1 、请购与审批控制 是否已建立请购的一般和特殊授权程序？ 是否对所有请购的商品和劳务编制请购单？ 购置商品和劳务是否有计划，计划是否经批准？ 2 、供应商管理控制 采购中是否有报价、比价、议价的环节？ 采购中是否有样品质量确认，供应商整体评估环节？ 是否有供应商长期考核管理流程？

续：

3 、实施采购控制 采购人员是否定期轮换？ 采购人员的职责是否明确？ 4 、验收及入库控制 验收时是否盘点和检查商品并与有关订购单核对？

验收部门将商品送交仓库或其他请购部门，是否取得对方签章的收据？

续：

5 、付款管理控制 编制凭单，是否将凭单同订购单、验收单和供应商发票相配合？

是否将应付账款明细账和供货商及时进行核对？

是否有措施防止未核准的款项被支付？ 6 、采购环节的不相容职务分离：采购人员、审批人员、验收人员、付款人员，这些职务的重合可能导致舞弊造成公司损失。

内部控制评价的实施计划

在所有的审计工作中，计划都是非常重要的一步，在助于注册会计师形成总体审计计划并充分考虑可能影响审计的所有重要因素，在对管理当局的内部控制报告进行鉴证的过程，注册会计师需要考虑诸多内外因素，并按照适用的各种准则进行审计工作。

1 、重要性的考虑 可以将其分为重大控制缺陷（ Significant Deficiency ）和重要控

制弱点（ Material Weakness ）两类。 2 、舞弊的考虑 3 、对多处经营企业的考虑 （ 1 ）本身对公司财务报告产生重大影响的分支机构； （ 2 ）存在特别风险，导致财务报表出现重大错报的分支机构； （ 3 ）分支机构汇总的风险会导致财务报表出现重大错报的分支机构； （ 4 ）汇总起来也不产生重大错报风险的分支机构；

内部控制的了解和记录

（一）了解的方法和手段 注册会计师应该通过以下程序获得对内部控制的了解 （ 1 ）向适当的管理层、监管者以及一般员工进行调查 （ 2 ）检查有关文件 （ 3 ）观察内部控制的实施 （ 4 ）跟踪交易在与财务报告有关的信息系统中的处理 （二）从企业整体层面了解内部控制 （三）从业务流程层面了解内部控制 在重要业务流程层面了解和评估内部控制的一般步骤 （ 1 ）确定重要业务流程和重要交易类别 （ 2 ）了解重要交易流程，并记录获得的了解 （ 3 ）确定可能发生错报的环节 （ 4 ）识别和了解相关控制

内部控制的了解 ---记录内部控制 注册会计师在进行内部控制评价的基础上，需要对企业内部控制进行描述并以文字、图形或者表格的形式将了解的过程固定下来，作为对内部控制进行后续测试评价的基础。

（一）流程图 （ 1 ）总体流程图 （ 2 ）系统流程图 （二）文字说明 （三）控制矩阵 （四）内部控制问卷 （五）控制缺陷的文件证明

内部控制的测试 （一）内部控制测试的目标 （ 1 ）测试内部控制设计的合理性 （ 2 ）测试内部控制运行的有效性 （二）内部控制测试的方法 （ 1 ）证据检查 （ 2 ）重复核查 重复核查是指注册会计师根据相关资料和业务处理程序，部分或全部地重复由审计客户的员工所完成的业务，并比较处理结果，进而判断内部控制是否有效。

（ 3 ）观察 观察是指注册会计师到现场察察看某些业务的处理是否与内部控制制度的要求相符，从而判断内部控制制度是否有效，运用观察法的效果有限，因为看到的有可能是表面现象。

（三）固定资产和在建工程控制的测试

内部控制评价需考虑的其他问题

内部控制评价指的是评价内部控制设计和运行的有效性。内部控制设计有效性指的是内部控制设计能有效防范风险，内部控制运行有效性强调的是内部控制能够在各个不同时点按照既定设计得以一贯执行。

有效的控制环境可以使注册会计师增强对内部控制和被审计单位内部产生的证据的信赖程度。注册会计师需要针对了解的被审计单位公司整体层面的控制活动，确定控制有效性测试的策略。

获取管理层声明

管理层的声明内容应当包括： （ 1 ）管理层认可其对建立和保持有效的内部控制的责任； （ 2 ）管理层已对企业内部控制的有效性作出评估，并说明运用的控制标准；

（ 3 ）管理层没有将注册会计师在内部控制鉴证中执行的程序作为管理层对内部控制有效性评估基础的组成部分；

（ 4 ）管理层根据控制标准对企业内部控制在特定日期的有效性的评估结论；

（ 5 ）管理层识别出的内部控制在设计或运行方面存在的所有缺陷，包括单独向注册会计师披露内部控制的所有应关注缺陷或重大缺陷；

（ 6 ）导致企业财务报表发生重大错报的所有舞弊，以及其他不会导致企业财务报表发生重大错报，但涉及高级管理人员和其他在企业内部控制中具有重要作用的员工的所有舞弊；

（ 7 ）在以前年度审计中识别的、注册会计师发现且已与审计委员会沟通的控制缺陷是否已经解决；

（ 8 ）在报告日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素，包括管理层针对应关注缺陷和重大缺陷采取的任何纠正措施。

鉴证报告

鉴证报告应当包括下列要素： （ 1 ）标题； （ 2 ）收件人； （ 3 ）引言段； （ 4 ）管理层对内部控制的责任段； （ 5 ）注册会计师的责任段； （ 6 ）内部控制的定义段； （ 7 ）内部控制的固有局限性段； （ 8 ）鉴证意见段； （ 9 ）注册会计师的签名和盖章； （ 10 ）会计师事务所的名称、地址及盖章； （ 11 ）报告日期。