内部控制基本规范大全11篇

内部控制基本规范篇（1）

(一)旧基本规范和实施的背景作为1999年修订的《会计法》(以下简称新《会计法》)的配套规章，2000年6月22日的老基本规范是深入贯彻新《会计法》，解决单位内部管理松弛、控制弱化的重要举措。它的实施，对于强化单位内部会计监督，整顿和规范社会主义市场经济秩序，发挥了十分重要的促进作用。新《会计法》第二十七条规定，“各单位应当建立、健全本单位内部会计监督制度。单位内部会计监督制度应当符合下列要求：记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确，并相互分离、相互制约；重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确；财产清查的范围、期限和组织程序应当明确；对会计资料定期进行内部审计的办法和程序应当明确”。上述规定是新《会计法》的重要突破。旧基本规范和实施的重要制度背景是，作为新《会计法》的配套规章，通过严格的内部会计控制，强化单位内部会计监督，整顿和规范工作秩序，确保国家统一会计制度的有效实施，从而深入贯彻新《会计法》。

(二)新基本规范和实施的背景新基本规范的和实施是国际国内多种因素共同作用、共同影响的结果。在制定背景上，与旧基本规范有着较明显的差异。新基本规范的出台是顺应国际资本市场环境变化的需要。安然、世通等财务舞弊和会计造假案件的发生，严重冲击了美国乃至国际资本市场的正常秩序。研究结果表明，内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。国际资本市场对内部控制及其信息披露的强制措施，对我国境外上市企业以及准备到境外上市的企业产生了重要的影响。为了适应上市地的监管要求，我国境外上市企业聘请海外机构设计内部控制制度，承担了巨大的直接遵循成本，耗费大量的时间和精力。因此，为降低已在或准备在境外上市公司的遵循成本，保障“走出去”战略的顺利实施，借鉴国际上主流的内部控制理论与实践，健全与完善我国内部控制规范，实现内部控制规范的国际趋同已成为当务之急。另一方面，和实施新基本规范也是我国经济健康发展的迫切要求。与国外一些国家相似，我国企业内部控制方面同样存在问题。许多企业管理松弛、内控弱化、风险频发，资产流失、营私舞弊、损失浪费等问题比较突出。为了引导企业加强内部控制，1999年修订的《会计法》，第一次以法律的形式对建立健全内部控制提出原则要求，财政部随即连续制定了《内部会计控制规范――基本规范》等7项内部会计控制规范。审计署、国资委、证监会、银监会、保监会以及上海、深圳证券交易所等也从不同角度对加强内部控制提出明确要求。

二、新旧内部控制基本规范力度不同

(一)制定主体与适用范围不同旧基本规范是由财政部制定颁布的，而新基本规范则是由财政部会同证监会、审计署、银监会、保监会制定并的。在制定主体上，新基本规范更具广泛代表性和权威性，更利于有效实施。在适用范围上，旧基本规范适用于我国境内所有的国家机关、社会团体、公司、企业、事业单位和其他经济组织，而新基本规范则适用于我国境内设立的大中型企业，小企业和其他单位可以参照新基本规范建立与实施内部控制。2008年5月22日新基本规范的印发通知中，明确规定新基本规范自2009年7月1日起首先在上市公司范围内施行，同时鼓励非上市的大中型企业执行。对比新旧基本规范，可以看出在实施范围上，新基本规范更加突出重点，强调对国民经济和资本市场有重要影响力的企业的规范，这不仅是重要性和成本效益原则的体现，也是对基本规范能得到有效实施的考虑。

(二)监督措施不同为了保证得以有效实施，新基本规范在监督措施方面作出了相对旧基本规范更有力更具体的规定。最突出表现在，新基本规范要求执行基本规范的上市公司，应当对公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。如新基本规范第四十六条规定，“企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告”。第十条规定，“接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务”。此外为了确保外部审计等监督措施能够得以顺利实施，第四十七条要求，“企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性”。而旧基本规范除了规定“各单位应当根据国家有关法律法规和本规范，结合部门或系统的内部会计控制规定，建立适合本单位业务特点和管理要求的内部会计控制制度，并组织实施。单位负责人对本单位内部会计控制的建立健全及有效实施负责”以外，没有强制要求单位对内部控制的有效性进行自我评价，并出具内部控制自我评价报告。

三、新旧内部控制制度定位及理念不同

(一)新旧基本规范的内控定位旧基本规范所规范的“内部控制”是指内部会计控制。在具体范围上主要涵盖的是内部会计控制，同时也兼顾与会计相关的控制。对内部控制中大部分管理控制。旧基本规范的框架结构也是围绕内部会计控制，遵循目标、原则、内容、方法、监督检查等逻辑来搭建的。因此，传统的“内部控制制度二分法”思想主导了旧基本规范对内部控制的定位和规范。新基本规范虽然以财务报告内部控制为核心的内控机制为规范重点，但其定位却是企业的全面内部控制，即融合了内部会计控制和内部管理控制的企业全面内部控制，并同时体现了全面风险管理的理念。其中，对全面内部控制的定位集中体现在内部控制目标的界定上，新基本规范将内部控制的目标在老基本规范的“可靠性”、“安全性”及“遵循性”三个基本目标的基础上拓展为五个，增加了“提高经营效率和效果”和“促进企业实现发展战略”两个目标。另外，新基本规范的框架结构是在合理借鉴以美国COSO《内部控制――整体框架》报告为代表的国外内部控制框架的基础上，根据我国具体国情进行了较大调整和改进，构建出来。具体内容包括COSO报告五大要素：即内部环境、风险评估、控制活动、信息与沟

通、内部监督等。这也体现了COSO报告《内部控制――整体框架》的全面内部控制的思想。

(二)全面风险管理理念的关注首先，第一章“总则”中规定，企业建立与实施内部控制，应当遵循五个基本原则，其中的重要性原则要求，内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。其次，在第二章“内部环境”中要求，企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。再次，也是最突出的体现在于，将风险评估作为单独的第三章，对企业应如何及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略进行了具体规范。其中，第二十条要求“企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估”。最后，在第六章“内部监督”部分，第四十四条要求企业应当根据风险评估结果以及日常监督的有效性等予以确定专项监督的范围和频率。由此可见，新基本规范虽然在形式上借鉴了COSO报告五要素框架，但同时在内容上则充分体现了风险管理八要素框架的实质，全面风险管理理念贯穿于新基本规范的始终。而旧基本规范除了在第四章“内部会计控制的方法”中将风险控制法作为一种内部会计控制方法提到，并“要求单位树立风险意识，针对各个风险控制点，建立有效的风险管理系统，通过风险预警、风险识别、风险评估、风险分析、风险报告等措施，对财务风险和经营风险进行全面防范和控制”以外，没有对风险管理给予重视。

四、新旧内部控制制度定义、目标和原则不同

内部控制基本规范篇（2）

2008年6月28日,财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范会,会议了《企业内部控制基本规范》(以下简称《基本规范》),自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。

《基本规范》在企业内控体系中处于最高层次,起统驭作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素等基本要求,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据。《基本规范》的颁布实施,必将对我国企业及资本市场的发展产生深远影响。

内控是为了企业的生存发展而存在的,是促成企业目标实现的一种重要方法和手段,内部控制的目的是在合理的范围内保证企业基本目标的实现。盈利是企业生存和发展的基础,如果不能盈利,就连自身的生存都难保证,其他目标更无从谈起。企业要想实现盈利,就必须控制风险,必须建立有效的内控体系。企业要改善现有的管理水平,就必须借助于内控体系,完善的内控体系是促进管理落实的手段,可以促进企业实现发展目标。

同时,健全有效的内部控制,有利于提高财务信息质量,提升财务报告的有效性,这对于保证投资者对高质量财务信息的需求,体现资本市场“公开、公平、公正”的原则,保护投资者合法权益具有至关重要的意义;有利于上市公司遵守国家法律、法规、规章及其他相关规定,堵塞管理漏洞,保障公司资产的安全,有效提高公司风险防范能力,减少乃至避免舞弊事件的发生;有利于提高经营效率和效益,提升企业经营管理水平、盈利能力和持续发展能力,增强公司竞争力,从而提高上市公司质量,最大限度地回报股东和社会。

面对国际市场日趋激烈的经济竞争环境,我国企业要“走出去”,进入国际产业和资本市场投资,必须苦练内功、强化内控、防范风险,这样才能立于不败之地。可以说,企业内控体系的建立与实施,为我国企业“走出去”提供了“安全网”和“防火墙”。

实施《基本规范》对企业提出了诸多要求。

在以人为本的现代化企业管理中,员工的地位日趋重要,员工也越来越看重工作的环境,特别是软环境,比如:企业文化、管理理念、管理层是否关注员工的工作和日常生活以及员工的职业生涯发展等。另一方面,制度再周全也不可能凡事都规范到位,制度可以规定员工出工,但无法规定员工出力。因此,企业管理控制的核心是企业中的人及活动,只有提高了人的主观能动性,才能加强内部控制实施效果。

企业文化作为一种无形的精神力量与源泉,影响着企业员工的思维方式和行为活动。优秀的企业文化可以促进企业发展,防止企业衰败;不良的企业文化也可能阻碍企业发展,甚至导致企业倒闭。因此,企业必须培养自身的优良文化,将企业文化与内控制度的建立有机的结合起来,从而更好地推动企业发展。

职业道德属于非法律性质的道德范畴,不履行职业道德并不一定违法,但是职业人如不履行职业道德,必将遭到淘汰。公司应提供职业道德方面的指导,使所有员工在日常或特定的环境下能保持正常的判断;制定公司的行为准则,并传达给全体员工,将员工不诚实和不讲道德标准的动机与机会降到最低。职业道德有许多范畴,不同岗位的人员职业道德不一定相同,《国际会计职业道德准则》中对会计从业人员提出8条准则,内容包括:廉正、客观、独立、保密、技术标准、业务能力、工作胜任、道德自律。我国《会计法》第39条也规定会计人员应当遵守职业道德,提高业务素质。提高员工的职业道德特别是财务人员的职业道德将有助于企业内控制度的建立与实施。

企业内部控制体系的构建是一项重大而复杂的系统工程,在这个过程中我们要牢牢把握住正确的发展方向,实施过程中应注意以下几方面。

摘 要】企业内部控制体系的构建是一项重大而复杂的系统工程,在这个过程中我们要牢牢把握住正确的发展方向,实施过程中应注意以下几方面:一是立足国情、符合实际。二是把握方向、注意动态。三是稳步推进、逐步发展。

【关键词】企业内部控制 基本规范

2008年6月28日,财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范会,会议了《企业内部控制基本规范》(以下简称《基本规范》),自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。

《基本规范》在企业内控体系中处于最高层次,起统驭作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素等基本要求,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据。《基本规范》的颁布实施,必将对我国企业及资本市场的发展产生深远影响。

内控是为了企业的生存发展而存在的,是促成企业目标实现的一种重要方法和手段,内部控制的目的是在合理的范围内保证企业基本目标的实现。盈利是企业生存和发展的基础,如果不能盈利,就连自身的生存都难保证,其他目标更无从谈起。企业要想实现盈利,就必须控制风险,必须建立有效的内控体系。企业要改善现有的管理水平,就必须借助于内控体系,完善的内控体系是促进管理落实的手段,可以促进企业实现发展目标。

同时,健全有效的内部控制,有利于提高财务信息质量,提升财务报告的有效性,这对于保证投资者对高质量财务信息的需求,体现资本市场“公开、公平、公正”的原则,保护投资者合法权益具有至关重要的意义;有利于上市公司遵守国家法律、法规、规章及其他相关规定,堵塞管理漏洞,保障公司资产的安全,有效提高公司风险防范能力,减少乃至避免舞弊事件的发生;有利于提高经营效率和效益,提升企业经营管理水平、盈利能力和持续发展能力,增强公司竞争力,从而提高上市公司质量,最大限度地回报股东和社会。

面对国际市场日趋激烈的经济竞争环境,我国企业要“走出去”,进入国际产业和资本市场投资,必须苦练内功、强化内控、防范风险,这样才能立于不败之地。可以说,企业内控体系的建立与实施,为我国企业“走出去”提供了“安全网”和“防火墙”。

内部控制基本规范篇（3）

二章至第五章的章标题看均与“会计控制”的口径不符，把“会计控制”等同于“内部控制”。（2）标题与内容的不一致。在内部会计控制的总标题下，《规范》中各章的内容已经大大超出内部会计控制的范畴，但又未包揽内部控制的全部内容。而会计控制是内部控制的重要内容但不是其全部内容。我国理论界与实务界对内部会计控制只是内部控制的重要组成部分这一点应当是非常明确的。因此，建议《规范》要对二者予以明确区分和界定，将总标题、各章的章标题以及与之相应的内容按拟规范的范围

加以修改，做到总标题、章标题和各章内容之间口径一致。

2.“内部控制”概念的界定。《规范》第二条指出“本规范所称内部控制是指单位为了保证各项业务活动的有效进行、确保资产的安全完整、防止欺诈和舞弊行为、实现经营管理目标等而制定和实施的一系列具有控制职能的方法、措施和程序”。这一条款存在两个问题：其一，既然内部控制包括会计控制，则其非常重要的目的之一是要“保证会计信息的真实、合法、完整”，而上述关于内部控制的定义中只提到了“确保资产的安全完整”，末提及保证会计信息可靠性的要求。其二，这一条款中关于“经营管理目标”的提法与第三条中关于本规范适用范围的规定相冲突。因为在第三条中提到“本规范适用于国家机关、社会团体、公司、企业、事业单位和其他经济组织（以下统称单位）”。从国家机关、社会团体和事业单位的性质看，这几类单位与企业不同，它们有工作目标、管理目标，却未必有“经营” 目标，所以，建议删去“经营”二字。

二、《规范》的适用范围问题

《规范》第三条指出“本规范适用于国家机关、社会团体、公司、企业、事业单位和其他经济组织（以下统称单位）”。我们认为，这一条款存在两个问题：其一，将国家机关、社会团体和事业机关与公司、企业和其他经济组织放在一起有欠妥当，因为《规范》中有许多条款仅适用于公司和企业。其二，若本《规范》适用于所有单位，建议考虑两种方案：一是分两类进行规范，－类为政府及非营利组织（国家、社会团体、事业单位和公益项目），另一类为营利组织（公司。企业和其他经济组织）；二是若仍统一放在一起规范，则要分清共同适用的条款和分别适用的条款。

三、单位负责人的责任问题

《规范》第五条指出“单位负责人对本单位内部控制的建立健全及有效实施负责。”这一条款拟明确内部控制的责任，但规定过于简单和笼统。首先，内部控制的建立与实施责任不仅在于单位领导，单位的部门领导、管理人员、内部审计人员乃至组织中的每一个人都对内部控制负有责任。若论“领导责任”除“单位负责人” 外，是否还应包含各单位内部有关职能部门的领导，如财务主管或会计主管等。其次，一个单位内部控制的设计与运行受制于成本与效益原则，它不可能是完美无缺的，不是（也不可能）消除任何的可能性，而是要建立防止投入的成本与的累计额之间呈合理水平的机制。

内部控制可能将单位的内控风险降到合理水平，但并不能消除风险。它只能为各单位实现其目标提供“合理保证”而非“绝对保证”。事实上，即使是设计完善的内部控制也有可能因为各种原因而削弱或失效，单位负责人如何对“无过失”情况下所出现的损失负责？最后，对单位负责人应如何负责、负何责任也不够明确，建议对责任问题要再予考虑并加以明确，以便操作。

四、内部控制的内容问题

《规范》第三章第八条提出“内部控制的内容主要包括对货币资金、筹资、采购与付款、实物资产、成本费用、销售与收款、工程项目、对外投资、担保等经济业务活动的控制”。其实，内部控制内容可以有两种理解，一是指内部控制本身的内容，即本规范第二条所述的“内部控制是指为了保证……而制定和实施的一系列具有控制职能的方法、措施和程序”中的方法、措施和程序具体包含的内容；二是指内部控制的客体或对象。显然本条款反映的是第二种理解。虽然这里反映的仅仅是内部控制的主要内容，但对照本规范第二条内部控制的定义和第三条适用范围的解释，第八条内容尚不够完整。这一条款反映了对企业主要经济业务活动的控制，却没有反映对管理活动的控制，也没有反映对其他各类单位的财政财务收支活动和各种行政、业务管理活动的控制，建议予以增补。

五、内部控制的方法问题

l、《规范》第十八条列示了内部控制的主要方法：组织控制、授权批准控制、会计系统控制、预算控制、财产保全控制、人员素质控制、风险控制、内部报告控制、电子信息系统控制等。上述内容仍不够完整，建议加上文件记录控制和内部审计。因为，文件记录控制是有关内部控制的基础性控制，内部审计则是对内部控制进行的再控制，二者对内部控制的有效实施是必不可少的。

2.《规范》第十九条组织结构控制要求贯彻不相容职务分离的原则，合理设置内部机构，科学划分职责权限，形成相互制衡机制。但此款没有涉及企业法人治理结构问题。要使内部控制在公司企业中得到有效实施，应强调完善法人治理结构，所以建议在本条中要予以明确。

3、《规范》第十九条考虑不相容职务分离问题时，在相关控制点还要注意直系亲属回避问题。

六、内部控制的检查问题

1、《规范》第二十八条指出“单位应当重视内部控制的监督检查工作，由专门机构或指定专门人员具体负责内部控制执行情况的监督检查，确保内部控制的贯彻实施”。此条中的“专门机构”和“专门人员”不明确，可以进一步明确，并注重内部审计的作用。

内部控制基本规范篇（4）

2010年4月国家财政部等五部委联合的《企业内部控制配套指引》，将于2011年1月1日起首先在境内外同时上市的公司施行。该配套指引连同此前的《企业内部控制基本规范》，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。如何保证内部控制制度有效执行的问题，摆在了实务界和理论界面前。

一、目前内部控制存在的局限性

完善的内部控制制度，能有效地防止错误与舞弊的发生，提高效率和效益。而我国企业内部控制规范体系虽是一套比较完善和严格的管理程序与制度，但却仍存在着以下局限性。

(一)不相容职务分离控制薄弱。许多企业受企业规模和所有制形式的限制，企业管理人员更多的是凭借经验工作，没有周密措施对员工进行科学管理和监督，更没有考虑不相容职务分离控制管理。有些企业虽然有较好的职务设置，但执行效果不好，企业的会计人员工作责任心不强，使不相容职务控制流于形式。另外，在实际工作中，如不相容职务上的有关人员相互串通勾结，则失去了不同职务相互制约的基本前提。

(二)高层管理人员的违规操作。企业内部控制制度作为管理工具，最终都是靠人来执行的，如果高层管理人员违规操作，那么再严密的内部控制，也不可能产生应有的效果。尤其是企业高管人员的决策更是起决定作用的。决策出了问题，贯彻决策人意图的内部控制也就失去了应有的控制效能。

(三)受成本因素的制约。内部控制并不能直接创造利润，它的最大效益是保持企业的持续经营能力，而这种作用短期之内很难凸显。如果内部控制的执行导致企业管理成本过高，就会削弱内部控制效能的充分发挥。健全的内部控制涉及的控制环节多，也会影响企业生产经营活动的效率。因此，在设计和实施内部控制时，企业必然要考虑控制成本与控制效果之比。

二、保证规范实施效果的措施

(一)改善法人治理结构。企业应从完善法人治理结构人手，充分发挥股东会、董事会、监事会的职能；改善股权结构，解决我国企业股权过度集中带来的问题，完善企业内部制衡机制和内部激励机制，增强内部审计部门的独立性，充分发挥其监督评价职能。

(二)建立有效的工作团队。从企业内部控制的实践来看，内部控制是否有效，主要取决于员工队伍的综合素质和道德水平的高低。因此，应加强对企业高管人员的培训，使企业管理层树立正确的经营理念和较强的风险管理意识等一系列措施，确保公司经营目标和员工个人发展的实现，为公司的可持续发展奠定基础。

内部控制基本规范篇（5）

（一）流程、业务流程及流程管理流程就是完成一项任务、一件事或一项活动的工作环节或步骤，相互之间有先后顺序，有一定的指向。流程作为企业做事的一种方法，在企业管理中的作用越来越重要。业务流程是指企业为了确保经济业务活动的顺利进行，在明确各个岗位职责的基础上规定并实施的业务处理手续和程序。例如在材料采购业务中，企业规定应首先由申请单位或人员根据需要填写请购单，经计划部门同意，主管领导批准，然后由供应部门的采购人员负责采购，材料到达后，由供应部门和仓库保管部门负责检查验收，财务部门的出纳负责付款，会计负责记账。这样经过不同部门或人员，能够有效地防范和及时发现错弊，且有助于相互监督和制约。

企业必须根据自己的特性（行业环境、拥有的资源、具备的能力和掌握的知识）去选择做什么事情（确立目标与战略），如果将企业的业务流程比喻成一个输入输出的系统，那么其开端始于流程要素的投入，终于基于顾客价值创造的结果。基于业务流程的管理就是流程管理。在流程管理中，要有相应的单据记录、要有复核、验收、要有授权、审批。这些就是内部控制。因此，内控目标从属于管理目标，内部控制是企业风险管理的重要手段。

（二）企业业务流程分析企业的各项业务流程都是围绕企业目标，为实现企业目标而存在的，那么从企业目标出发，考察各个企业业务活动的表现形式无非就是价值流、物流和资金流。根据企业内部资金流和价值运动，就可以构造出企业业务循环模型。对于一般制造业企业而言，其业务流程可分为销售与收款、采购与付款、生产与存货、人力资源与工薪、投资与筹资等业务循环。

二、基于业务流程分析的内部控制设计

（一）设计思路企业的业务循环清晰之后，按照业务循环描述――风险分析――内部控制要点的设计思路，就可以构建基于业务流程的内部控制体系。这里的关键是如何结合《基本规范》内部控制五要素的要求来构建内控体系。

（二）设计举例下面以企业采购为例，说明如何进行内控的设计。采购是企业运营的起点，企业必须从外部供应商手中购买原材料、获得服务、取得物料供应以支持自己的运作。采购业务表现为货币流与物资流、生产与流通、企业内与企业外的相互交织、相互影响的特点。

（1）采购业务流程。基本的采购流程包括以下步骤和环节：确定采购政策――包括明确采购的职责和范围；选择供应商――即建立恰当的供应商管理体系，选择可靠的供应商，以最合理的价格购得质量合格的产品；签订采购合同――合同的条款应符合国家法律法规的要求，并符合企业利益，与企业目标相一致；采购订单处理――所有采购业务都应被准确地记录和核准；收货处理――只接受定购并符合质量要求的货物，准确记录实际收到的货物；退货处理――所有退货都应被准确记录并受到监控；发票与收货单验证――所有发票应与采购收货单相匹配；供应商表现分析――建立供应商评价制度，以对供应商进行管理。

（2）内部控制设计。明确了采购业务流程后，接下去就是按照《基本规范》内部控制五要素的要求建立控制标准。

第一，采购业务内部控制环境。首先分析采购业务活动的控制环境，环境要素是推动企业发展的引擎，也是其他一切要素的核心。内部环境是指对建立、加强或削弱特定控制政策、程序及其效率产生影响的各种因素的总称。它是一种整体氛围，影响企业员工的控制意识，影响到内部各成员实施控制的自觉性。内部环境是内部控制体系的基础，奠定了组织对于风险的总体基调，决定了主体中的人如何认识、识别、评估风险并采取行动。

采购业务对控制环境的要求较高，在企业采购业务中，涉及人、财、物的相互关系，又是专门性较强的业务，这里包括要建立采购人员的职业道德操守、价值观和能力标准，也包括企业领导人是否重视采购工作，并能带头在企业内部形成良好的采购控制氛围等。

第二，采购业务风险评估与识别。风险是指特定事件、某种行为或其他情况对企业所造成的威胁或损失，导致企业无法顺利实施经营战略、达成经营目标，甚至遭受经营失败。风险评估系统应至少包括两个要素，即目标设定和风险管理，其中风险管理包括风险识别、风险分析和风险应对。

企业最大的风险是不能实现既定的目标，因此，目标的设定是风险评估的先决条件。采购管理的目标是在一定的时间性要求下，以适当的价格、适当的数量及质量，选择适当的供应商以保证原材料、零部件和外购件或者某种必需的服务持续无差错供给，避免不适用的质量、错误的数量以及供货延迟而给企业带来的人员和设备的闲置，增加企业的运营成本，从而使企业信誉和品牌形象受到损害。

针对采购管理的目标，采购业务中的风险主要包括：采购行为违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失；采购未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失；请购依据不充分、不合理，相关审批程序不规范、不正确，可能导致企业资产损失、资源浪费或发生舞弊；采购行为违反法律法规和企业规章制度的规定，可能受到有关部门的处罚造成资产损失；验收程序不规范，可能造成账实不符或资产损失；付款方式不恰当、执行有偏差，可能导致企业资金损失或信用受损。

第三，采购业务的控制活动。控制活动是指帮助管理人员确保其指令能被执行的政策和程序，它贯穿于企业所有层级和职能部门，是内部控制设计的重点。就采购业务而言，应当强化如下关键控制点：

一是职责分工、权限范围和审批程序应当明确规范，机构设置和人员配备应当科学合理。企业采购业务的不相容岗位至少包括：请购与审批；供应商的选择与审批；采购合同协议的拟订、审核与审批；采购、验收与相关记录；付款的申请、审批与执行。并通过设置相应的凭证，记录采购程序。

二是请购事项应当明确，请购依据应当充分适当。需求部门应提出明确的请购需求，按照审批权限对请购需求进行审批，请购内容应符合企业预算的要求。

三是采购行为应当合法合规，采购与验收流程及有关控制措施应当明确规范。采购物品要有最高限价，对大宗商品或劳务采购等应当采用招投标方式确定采购价格，要通过专门的验收部门及验收标准对所购物品进行验收，建立供应商的评价制度，对供应商信誉、供货能力等做出评价。

四是付款方式和程序、与供应商的对账办法应当有明确规定。财务部门应参与付款条件的商定，对付款单据要严格审核，通过定期与供应商核对往来款项来防止差错。

第四，采购过程的信息与沟通。采购过程的信息与沟通，是指在采购业务中及时、准确、完整地收集与采购管理中的相关信息，并使这些信息以适当的方式在企业有关部门之间进行及时传递、有效沟通和正确应用的过程。

按照信息经济学理论，在企业管理中，不同管理层级及不同部门之间的信息永远处于不对称状态，因此才需要内部控制来减少这种不对称，因此，在内部控制这一网状结构中，信息处于核心地位，可以说内部控制是依赖信息而起作用的，内部控制的体系是围绕着信息的采集、传递和分析来构建的。

在采购业务中，首先需要有明确的采购部门和采购人员的职责，这是基于授权而来自于上一层次的信息。其次，在采购过程中，会有来自于请购部门的信息，来自于外部供应商的信息，来自于验收部门的信息。通过对这些信息的处理，来完成采购业务的控制活动。而对这些信息的处理，可通过管理信息化方式，如通过ERP软件，通过采购、库存、存货、应付款等模块，以财务业务一体化方式，完成对采购信息的录入、审核、付款等管理，并实现内部控制。同时，通过信息化管理，如利用已有的采购信息（如历史价格数据、供应商档案管理、企业库存情况等）为现在和将来的采购管理提供决策服务。

第五，采购业务的监督。内部监督是指企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面检查报告并做出相应处理的过程。内部监督的方式主要包括持续性监控和专项监控。采购活动作为企业经常性的一项活动，发生的频率非常高，而内部控制固有的局限性，使得采购业务的风险也比较高，这就使得对采购活动在日常持续性监控后，还应该经常进行专项审计，以控制采购活动风险。

三、《企业内部控制基本规范》实施效果提升建议

（一）完善公司治理结构 公司治理是内部控制制度设计、运行的制度环境。根据新制度经济学观点，在企业产生和发展过程中存在着多重委托关系，因此，内部控制是公司治理的延伸，是一种连接企业内部管理与公司治理的契合。

从公司治理结构来看，目前主流公司治理结构应该设有股东大会、董事会、监事会及公司管理层，公司治理的控制主体是股东、董事会、监事会和经理层，而内部控制的控制主体是董事会、经理层、各基层部门单位以及委托链上的各个节点。二者存在着交叉区域，即董事会――经理层，董事会在内部控制中处于核心地位，对公司内部控制的设计、修改、有效运行负责任，因此在公司治理机制设计中应该充分考虑股东会、董事会、经理层三者之间的分级授权和不相容职务的分离，避免高层管理人员的交叉任职，尤其是杜绝董事长和总经理的重叠，实现公司治理的制衡机制。

（二）加强控制文化建设文化是软实力，是背后的真正推动力量。企业中的各种规章制度往往只能书面表明管理者想让什么发生，而企业文化将最终决定什么会发生。

企业内部控制的最高境界是实现自我控制，只有让每一位员工广泛参与控制内容和标准乃至业绩评价的制定，使员工对企业和业务层面的各类风险进行更透彻的分析和评估，同时增强员工的风险管理和内部控制意识，使员工在内部控制活动中的主动性和积极性得到充分发挥，由被动接受管理与控制向自我优化的主动控制转化。通过这种广泛的参与性，员工的价值观与企业的价值观趋向融合和统一，在共同的价值观下，使员工个人的目标、行为与企业的内控目标达到最大的一致性，将企业目标转化为个人目标，从而增强内部控制的执行力度，保证内部控制的有效性。

（三）企业高层重视要提高企业内部控制的实施效果，需要企业管理当局加以大力推动，只有在持续的推动下，内部控制才有可能走上良性发展的道路，这里企业高层人员的重视尤为重要。企业高层人员要从思想上认识到内部控制作为企业风险管理的一项重要手段，在企业管理中处于十分重要的地位。在高层认识到位后，还要加强内部控制的宣传培训，同时，设置专门的内部控制实施人员，保证内部控制的实施，提高实施效果。

（四）绩效评价与激励机制结合使用企业内部控制的实施必须有一个完整的过程，这个过程就是制定标准、采取行动、衡量业绩，通过业绩的衡量来考核行为是否符合标准，从而使行为符合内部控制标准。在整个风险管理体系中，内部控制通过致力于抑制不利因素来达到内控目标，而激励机制则竭尽全力促使有利因素发挥更大作用，因此，如能将绩效评价与激励机制结合起来使用，将会使企业内控发挥更大效果。

以业务流程为视角，实施内部控制，关键是对业务流程有明晰的认识，只有对业务流程能有清晰的描述后，才能进行风险评估，发现流程中的缺陷，进而制定控制标准。

内部控制基本规范篇（6）

图1 内控环境构建流程

合理的公司治理结构既是内控环境的组成部分，又是内控体系得以顺利实现的基础，所以上市公司首先应该明确自己的战略目标，根据战略目标规范治理结构，对现有组织结构、部门职责进行全方位的梳理，同时还要按照五部委的《内控规范》设立相应的内控部门及部门职责。其次，上市公司还应在上述基础上对公司所有的规章制度进行查缺补漏，整合成符合公司实际需求的制度体系。

二、建立内部控制系统

世界上不存在两个完全相同的企业，即便是同一行业中的两个企业，销售同类型的产品，都会在运营管理中体现出不同的文化特色、管理风格，这就决定了每个企业一定会有自己所特有的内控环境，因而其内部控制系统也一定是各有差异、各具特色。

企业内部控制的主要目标是为了经营合规合法、运作高效率、控制风险。为此，构建企业内部控制系统应该是一个长期、动态持续的过程，一般可以分为以下几阶段：

1.对企业风险进行系统评估。

图2 企业风险评估体系

风险评估是被国内企业最容易忽视的环节，而实际上，这个环节却是建立企业内控体系的一个至关重要的前提。企业应当基于所处行业的特色和企业自身的业务特征，利用专业的评估工具对企业的内外风险进行量化的分析，对风险可能发生的频率和后果赋值，计量风险的严重程度，同时设定企业对风险的容忍限度，对诊断出的所有风险进行排序，随后建立相应的风险数据库及风险应对策略。

2.建立书面的内部管理手册。

图3 企业内部管理手册建立流程

在前述建立的风险数据库的前提下，企业的任务是对应于上述风险数据库对企业整个运营管理流程进行分类，针对具体业务流程（明细程度可能根据企业的控制目标具体界定）确定关键岗位、职责表，描述关键控制点及相关的关键控制活动，分析不相容职务表（详见“立信锐思――如何企业内部管理手册”）。

企业的内部管理手册应该是系统的、可操作的，所以在内部管理手册的最后应当有相应控制活动的对应内审程序及职责表，以便于企业持续的监督，也就是在内控设计有效的基础上确保执行的有效性。

3.对企业内部管理手册的执行进行持续监督。

在以往的国有上市公司内控失败的案例中，很多企业已经制订了防范风险的控制制度，这些制度设计虽不能避免所有的风险，但至少可以保证不会导致企业破产清算，难以持续经营。他们的失败不在于缺乏制度，而在于缺乏监督，致使制度形同虚设，舞弊肆虐、管理完全失效。

企业在建立了内部管理手册以后，由专门的、职责独立的内审部门负责日常的监督，并及时直接地向企业内部控制委员会汇报、实施有效控制。

对企业来说，仅实施日常监督是不够的，内部控制委员会还要制定专项监督制度，对企业的非经常性项目进行不定期的监督，以防止预想之外的风险发生。

4.根据企业的外部环境及内部业务的变化对内控体系进行动态更新。

企业在业务发展的过程中会发生大小各异的内部变化，小到低层员工的变动，大到经营模式的变化，这些变动累积到一定程度会导致原有的风险手册和内控管理手册不再符合企业的实际，特别是2008年全球金融危机，企业面临着及其严酷的竞争环境，该环境加剧了企业风险的可变性。因此，企业的内控体系也应该是一个动态更新的过程。

这个动态更新的过程即可以是渐进式的（当内外部变化不是非常剧烈时），也可以急进的、全新式的（当内外部发生的革命性的变化时）。

规范公司内部控制制度的执行和评价报告制度是公司首次执行公司内部控制评价报告制度最困难的一件任务。首次执行大规模的动态更新对于许多公司来说，并不是一件易事。

我们建议企业在首次建立内控体系或重大动态更新时选择第三方的权威中介机构，既可以借助其专业知识为企业量身定做内控体系，也可以通过培训方式培养企业自身的内控理念和意识。

三、对外披露：内控自我评估及内控鉴证

1.内控自我评估。

企业根据国家有关法律、行政法规或者有关监管规则的规定提交并披露（以财务报告为主的）内部控制自我评估报告时，还应当在该报告中披露以下内容：

（1）声明企业董事会对建立健全和有效实施内部控制负责，并履行了指导和监督职责，能够保证财务报告的真实可靠和资产的安全完整。

（2）声明已经遵循有关的标准和程序对内部控制设计与运行的健全性、合理性和有效性进行了自我评估。

（3）对开展内部控制自我评估所涉及的范围和内容进行简要描述。

（4）声明通过内部控制自我评估，可以合理保证本企业的内部控制不存在重大缺陷。

（5）如果在自我评估过程中发现内部控制存在重大缺陷，应当披露有关的重大缺陷及其影响，并专项说明拟采取的改进措施。

（6）保证除了已披露的内部控制重大缺陷之外，不存在其他重大缺陷。

（7）自资产负债表日至内部控制自我评估报告报出日之间（以下简称报告期内）如果内部控制的设计与运行发生重大变化的，应当说明重大变化情况及其影响。

（8）依法及时披露的内部控制自我评估报告，经董事会审议批准后公布。

内部控制基本规范篇（7）

《企业内部控制基本规范》从制度上对企业特别是上市公司实施内控提供了政策依据，有利于企业与国际接轨，提高国际竞争力，并增强投资者信心。然而，由于现在企业的公司结构治理、内部控制管理，存在诸多问题，需要加以分析找到完善的方法。

一、公司治理与内部控制的相互关系

公司治理是内部控制系统得以运行的条件，又是内部控制有效运行的保证，公司治理机制有效，才能保证不同层次控制目标一致性;内部控制是现代公司内部管理的重要组成部分，健全有效的内部控制制度是实现公司经营目标的有利保障。从心全业内部控制基本规褂可以看出，内部控制是公司治理中关于生产经营方面的延伸和具体化，内部控制的内容统一于公司治理的内容。公司治理是内部控制的制度环境，内部控制能否有效运行，与公司治理是否完善有很大关系。只有在完善的公司治理环境中，好的内部控制系统才能真正发挥作用，提高经营效益和效果，并保证财务报告及管理信息的真实、可靠和完整。企业各利益相关主体依据可靠的会计信息对企业的董事和经理层的业绩做出恰当的评价，从而又推动公司治理的不断完善。

二、我国企业基于公司治理的内部控制现况

我国内部控制目标过于简单往往单从经营角度出发而很少从治理层面来考虑，因而其更多的是关注合规经营目标，而很少关注经营效率目标，其目标仅仅局限于查错防弊、会计资料的合法和保证业务的有效进行，而并没有把战略性考虑、营运的效率和效果等包含在内。

我国内部控制的研究范围一般只考虑经营层面上的内部控制，而很少关注治理层面上的内部控制。内部控制研究组织、研究人员主要是会计、审计组织和部门，目的主要是为了在财务审计时提高审计效率，其范围更多的是放在对企业一般员工和中层管理者以及企业各种物质资源的管理控制上，很少把对高层管理人员的控制纳人整个控制系统。

所谓“内部人控制”就是一个企业由不拥有股权或者拥有很少份额的内部人一一经理人员事实上或依法掌握了企业的剩余控制权〔甚至剩余索取权)，其直接后果是管理当局以牺牲股东的利益来获取自身利益的最大化。在我国内部人控制正是数十年放权让利的后果，内部人控制的必然结果是相当比例的实际利润以工资、奖金、福利和其他形式变成了管理人员和职工(特别是高管理人员)的额外收人，被记人了企业成本。

三、心色业内部控制基本规褂对公司内部治理的积极影响

(一)明确了保障资产安全的目标

相对于提高经营效率与效果的目标，遵守法律法规、保障资产安全是内部控制的根本，而对于我国大部分的上市公司而言，应将这两个目标作为完善内部治理的主要目标，只有真正做到了这两点，才能够去谈如何提高经营效率与效果。通过对现金、固定资产、无形资产以及企业衍生工具等方面的内容加以规定，基本规范对公司资产管理提出了更严格和更透明的要求，将企业资产的安全性置于重要地位有利于提高上市公司资产质量。

(二)进一步完善了企业治理结构

作为联系所有者与经营者的纽带，董事会对公司内部控制的建立、完善和有效运行负责:

1.加强了董事会独立性。使童事会独立于公司控股股东与内部经营者，限制董事会成员与高级经理层交叉任职，避免管理层控制董事会的局面。

2.完善了独立董事制度。通过董事会这一内部机构适当外部化，引人外部独立董事，提高董事会整体素质，以期对内部人形成一定的监督制约力量，最大限度地维护所有股东权益。

3.建立专门委员会。以独立董事为主体的专门委员会包括审计委员会、薪酬委员会、提名委员会、投资委员会等，可以充分利用独立董事们所具备的专家知识为企业决策提供科学建议及合理的控制。

4.提高了监事会的监控能力，有助于公司治理效率的整体提高。

(三)强化了流程控制与权限管理

在基本规范中，健全的治理结构、科学的内部机构设置和权责分配是建立并实施内部控制的基本前提，是影响、制约内部环境的重要因素。基本规范反映出了对管理机构的设置以及相关人员和相关业务的设计应遵循内部牵制原则。例如，在货币资金企业内部控制具体规范中，提出了货币资金业务的不相容岗位。同时在经济行为的合法性控制上，内部控制规范针对具体的业务提出了具体的内部控制措施，例如，在采购与付款企业内部控制具体规范征求意见稿中规范了请购与审批行为的控制、采购与验收行为的控制以及付款行为的控制。合法的经济行为是保证企业正常运营的源头，强化流程控制和权限管理使各层次职权明确，有利于培养公司企业文化，优化内部治理环境和效果。

(四)增加了上市公司财务信息的真实性

基本规范加强对会计信息的内部控制，将企业内部控制规范分为三类:第一类是对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项提出具体要求的控制规范;第二类是与财务报表编报相关的控制规范，包括财务报告编制、公允价值、关联交易、信息披露等;第三类是为实现有效的财务报告内部控制所必需的事前、事中和事后制度支持的控制规范，包括预算控制、人力资源控制、计算机信息系统控制、审计监督控制等。从这一说明来看，企业内部控制规范主要是对财务报告的控制。因此，抓住了财务报告内部控制这条主线，在一定程度上也就抓住了企业经营管理与内部控制的重心和主体;同时，保证财务报告真实可靠，是企业的法定责任，是维护社会公众利益的基础环节，加强对企业财务报告的内部控制，对提高会计信息质量具有十分积极的作用。

(五)明确了公司业绩评价体系与激励机制的重要性

为了引导企业加强对人力资源的管理，优化企业内部控制环境，基本规范对岗位职责和人力资源计划、招聘、培训、离职、考核、薪酬等一系列有关人事的活动和程序进行了规范，有利于上市公司建立合理的人力资源政策。人力资源政策则是解决委托一问题的关键。上市公司经理人员薪酬与业绩不相关，人力资源没有得到应有的重视也是公司内部治理需要解决的迫切问题。基本规范有利于建立市场化、动态化、长期性的激励机制，防止管理人员寻租及企业员工舞弊。使经理人员管理目标尽可能朝公司整体利益方向发展。对异质性人力资本的企业家和稀缺性管理经验的技术人才，给予股票期权是发挥证券市场的激励约束功能促进公司治理的一种重要手段。

四、加强内部控制促进公司治理的策略

(一)改善法人治理结构，优化内部控制环境

法人治理结构在很大程度上影响着企业的健康运行和企业目标的实现，并且会对企业内部控制体系的建立与完善产生影响。企业应从完善法人治理结构人手，充分发挥股东会、董事会、监事会的职能;改善股权结构，解决我国企业股权过度集中带来的问题;完善企业内部制衡机制和内部激励机制;增强内部审计部门的独立性，充分发挥其监督评价职能。在改进法人治理结构的同时，还应加强对企业高管人员的培训，使企业管理层树立正确的经营理念和较强的风险管理意识;加强对企业员工的职业道德建设。通过这些基础性工作，优化企业内部控制环境，以保证企业内部控制制度的顺利实施。

(二)推进全面预算管理

全面预算管理实质上是完善法人治理结构的客观要求和具体体现，是现代财务管理的重要标志，内部控制的一个重要方面。预算可以保证公司经营目标的实现，提高经营活动的效率与效果。同时，预算也是现代企业制度下规范公司治理结构的制度保证之一。公司应积极推进全面预算管理;一是全面预算管理要与公司战略结合。在战略预算的基础上制定年度预算，然后分解预算目标到各责任主体，实施预算并监督预算的执行，最后进行预算考评并以此制定薪酬计划;二是重新整合组织结构，将其划分为战略层、经营层、作业层，进行目标落实和全面预算;三是建立预算决策机构，即在董事会下设预算管理委员会。

(三)建立有效的激励与约束机制

内部控制基本规范篇（8）

内部控制是由内部的牵制发展而来的。最早提及内部控制的职业文献是1929年美国会计师协会和联邦储备委员会（FRB）修订的《会计报表的验证》（Verification of Financial Statements）。最早定义内部控制的是1936年在上述基础上再次修订的《独立公共会计师对会计报表的审查》（Examination of Financial Statements by Independent Public Accountants）。它将内部控制定义为，“为了保护公司现金和其他资产的安全、检查账簿记录准确性而在公司内部采用的各种手段和方法”。具有权威的COSO委员会这样描述内部控制：内部控制是由企业董事会、经理阶层和其他员工实施的，为运营的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。由此可见，保证资产安全和会计信息真实是内部控制发展的主线。

长期以来，我们所提及的会计信息，大多是指财务会计信息，也即会计准则所规范的企业对外会计信息，更简化而直接的说，就是指资产负债表、损益表、现金流量表以及相关法律规定的会计报表（如税法规定的应交税金明细表等），充其量包含到对这3张报表形成过程进行评判的审计报告。在一定的情况下，对这3张报表的分析报告也属这一范畴。从我们对会计信息真实公允进行判定的结果来看，我们关注的是会计核算的结果，且把会计信息局限在对外提供的3张报表之中，忽视了会计信息形成的源头。而真正的、可怕的失真就是来自会计信息源头——经济业务或活动的虚拟和伪造。内部控制的提出，使我们开始关注到会计信息范围和源头。注册会计师为了解除审计责任，减少审计风险，逐步深入地注意到在企业一般“作业”层面上的信息及其产生过程。可见，企业经营管理中的“作业”也是注册会计师审计风险产生的源头。如此，注册会计师要完成审计责任，降低审计成本，减少审计风险，必须将一部分自己无法履行的信息真实性的责任分解给企业管理当局即董事会及经理层。从而在社会公众、小股东和政府的帮助下构筑了“内部控制”，并使董事会成为内部控制的核心。

其实，董事会成为内部控制的核心是理所当然。因为，内部控制的主要目标就是验证财务报告的可靠性和保护资产安全，这也是作为股东代表和企业管理当局的董事会的责任。同时，实施内部控制，提升企业素质，提高股东收益，也正是董事会所企望的利益所在。

回顾内部控制的历史可以看出，内部控制是由内部的牵制发展而来的，内部牵制思想产生于古埃及的国库管理。再看现在，对内部控制的关注不仅是注册会计师、企业管理当局，更有政府监管部门。在我国，1997年了《加强金融机构内部控制的指导原则》，2001年了《证券公司内部控制指引》，财政部2001年颁布了《内部会计控制基本规范》等，无不表明，内部控制已成为政府有关部门进行企业经济监管的一项重要措施。

内部控制基本规范篇（9）

关键词 内部控制 外部审计 评价制度

一、引言

2008年6月28日，财政部、证监会、审计署、银监会和保监会联合了《企业内部控制基本规范》；2010年4月26日，上述有关部门又联合了《企业内部控制配套指引》，从而标志着中国企业内部控制法制化体系已初步形成，中国企业在内部控制制度建设方面取得了决定性成果。本文拟通过对我国《企业内部控制基本规范》与COSO报告之比较，分析与我国企业内部控制的异同，对我国内部控制建设情况进行总结，为进一步完善我国企业内部控制建设提出合理建议。

二、我国《企业内部控制基本规范》与COSO报告之比较分析

1．内部控制的认识比较

COSO报告认为，内部控制是由董事会、管理层和员工共同设计并实施的，旨在为实现组织目标提供合理保证的过程。COSO报告认为内部控制是一过程，是实现目标的手段，是与管理过程融合在一起的，是一个不断发现和解决问题的循环往复的动态过程。内部控制的有效性也只是这个“动态过程”中某个时点上的一种状态。我国《企业内部控制基本规范》所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

2．内部控制的目标比较

COSO报告指出，内部控制是为实现以下三类目标提供合理保证：经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性。为应对未来外部环境变化给企业带来的风险，新COSO报告又增加了战略目标。我国《企业内部控制基本规范》指出内部控制旨在实现以下五类目标：企业战略；经营的效率和效果；财务报告及管理信息的真实、完整；资产安全；遵循国家法律法规和有关监管要求。可知，《基本规范》借鉴了COSO报告的目标，同时考虑到我国国有大型企业比重大、国有资产流失严重的国情，增加了资产安全目标，这是我国内部控制规范对COSO报告的补充。

3．内部控制的构成要素比较

COSO报告认为，为实现内部控制的有效性，需要五个要素的支持：控制环境、风险评估、控制活动、信息和沟通及监督。新COSO报告包含了八个构成要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。我国《企业内部控制基本规范》在形式上借鉴了COSO报告五要素框架，但同时进行了充实和丰富，在内容上体现了新COSO报告风险管理的八要素框架的实质，即内部控制和风险管理日益融合、风险导向成为内部控制未来发展方向的趋势。

4．内部控制的责任主体比较

在COSO报告下，管理层对内部控制负主要责任，不但要向董事会下属的审计委员会报告，还要评估内部控制的有效性并对外内部控制报告。我国的《企业内部控制基本规范》对内部控制的主要责任主体的责任分别进行规定：事会负责内部控制的建立健全和有效实施；监事会对董事会建立与实施内部控制进行监督；经理层负责组织领导企业内部控制的日常运行。在COSO报告中，内部控制的责任主体主要是管理层而我国《企业内部控制基本规范》却强调了董事会对内部控制的重要责任，而且更加明确地规定各责任主体对内部控制的责任，使治理层和管理层的责任分工更加明确。

5．内部控制的外部审计比较

在COSO报告下，审计师要在审计财务报表的同时对公司的财务报告内部控制进行审计，既要评价管理层对内部控制的评价，又要对内部控制的有效性发表意见。在我国，执行《企业内部控制基本规范》的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计并出具审计报告。可见，我国《企业内部控制基本规范》和COSO 报告都强制要求对内部控制进行外部审计。

三、完善我国企业内部控制评价制度的建议

《基本规范》及配套指引主要是在借鉴COSO报告的基础上，结合我国的具体情况进行适当修改完善后形成的。《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点，如何从宏观上有效地促进并引导企业提高内控水平，还必须建立一系列规范统一、具体明确、简明实用的《企业内部控制评价制度》，借以督促企业尽快务实地建立健全并持续改进内部控制制度。但至目前，如何建立中国企业内部控制评价制度，理论与实务界仍有诸多不同的看法。

本人认为应由证监会出台统一的内部控制指引，与《内部控制基本规范》相配合，以统一内部控制相关概念界定、内部控制评价目标、内部控制评价要素等。这些制度的协调统一是完善内部控制制度并使之有效运行的基础。在统一明确的制度指引下，上市公司能够通过建立健全内部控制评价体系，合理规避经营风险，保证资产安全，提高经营效率和效果。尽快统一内部控制自我评价制度和注册会计师核实评价制度，降低注册会计师执业风险，合理保证注册会计师的利益。建议借鉴美国的经验，将核实评价的范围限定为与财务报告相关的内部控制评价。

参考文献：

内部控制基本规范篇（10）

中图分类号：F270 文献标志码：A 文章编号：1673-291X（2012）30-0036-02

一、中小企业的基本特征

企业的发展是通过运用科学先进的管理手段和方法，实现对生产经营过程中人、财、物的有效利用与控制，进而达到提高商品和服务质量、扩充市场占有份额、降低经营成本、增加经营效益的目的。作为社会主义经济体系中重要的组成部分——中小企业，在市场经济环境下，具有资产规模小、管理机构精练、决策过程简约、融资能力较弱、创新能力不强等共性特征，因而决定了中小企业在自身生存与发展过程中具有经营灵活、管理简捷等优势。但同时也存在着资金和人才缺乏、抗风险能力差等诸多不利因素。尤其是在资本结构简单、管理模式不够完善的中小企业，“长官作风”、“亲友团队”色彩更浓，经营决策、财务管理、成本质量控制、市场拓展、信息传递等功能不能正常发挥，难以有效地形成经营战略目标明确、决策和执行能力强劲、内部和市场控制效果优良的高效运营体系，这就需要借鉴和运用《企业内部控制基本规范》（以下简称《基本规范》）防控企业经营风险，提高企业管理水平，在市场经济中求生存谋发展。

二、中小企业加强经营管理的基本措施

建立在现代科学管理基础之上的《基本规范》，是当今国内规范企业经营行为、建立内部控制体系、实现企业自我警示、自我监督与自我防控的纲领性文件。《基本规范》从内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面明确了企业经营管理应遵循的基本原则，揭示了提高经营管理水平和风险防范能力的普遍规律，对中小企业加强管理，促进良性可持续发展，具有重要的指导作用。借鉴和运用《基本规范》加强企业经营管理的主要措施：一是治理内部环境。其核心在于对组织结构的治理，也就是通过对职务权利的制衡，使其各个管理层次和职能部门既能积极充分发挥工作职能、同时又能相互制约，杜绝或放弃管理职权的行为发生，从而确保各自在界定的权限范围内，共同推进经营工作顺利运行；二是加强风险控制。就是要认清行业内外和国际国内形势，着力从内外两个方面研究分析企业潜在的经营风险，确定关注重点和风险程度，有针对性地制定规避风险的措施和办法，尽一切可能防范和降低企业潜在的危机，使经营活动始终处于相对稳定和良性运行状态；三是强化内部控制。要通过实施内部控制的制度和措施，协调内控目标与经营业务、资产安全、岗位责任、信息传递等之间的相互关系，不断完善工作机制，全面提升控制效果，从而实现以最简捷、最有效的方法维护企业各职能部门之间的相互协作与制衡，促进各经营环节的相互配合与正常运转；四是注重信息沟通。要建立与内部控制密切相关的信息交流和沟通体系，明确企业内部各管理经营级次、业务环节之间，以及与外部投资者、债权人、供应商、消费者、中介机构和监管部门等有关方面进行业务沟通和信息反馈的方式方法和程序，信息沟通的过程越清晰、越彻底，各相关利益方的权利和义务也就更加明确，舞弊行也就难以滋生；五是完善内部监督体系。要侧重于建立和完善具有一定深度和覆盖面的内部控制制度和内部相互牵制体系，使其能够贯穿于经营活动全过程，从而保证每一项经济业务能够在按照严谨规范和科学的程序下进行。

三、充分发挥中小企业的生存发展优势

内部控制基本规范篇（11）

全球经济二次探底风险加大时，浙江大中型企业面临着来自方方面面的危机。有效构造企业内部控制体系，已经成为企业管理者的首要任务之一。内部控制是建立健全企业内部科学管理制度，尤其是建立现代企业制度必不可少的重要内容，特别对企业经营效益、效率和效果至关重要，是企业生产经营活动赖以顺利进行的基础。

一、实施《企业内部控制——基本规范》（以下称《基本规范》）的背景

安然、世通等财务舞弊和会计造假案件的发生，严重冲击了美国乃至国际资本市场的正常秩序，内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。为此，许多国家通过立法强化企业内部控制，如2002年美国实施了《萨班斯一奥克利法案》。

虽然内控的重要性不言而喻，而且我国境外上市企业早已纷纷花巨资聘请海外机构设计内部控制制度，以适应上市地的监管要求。但国内很多大中型企业依然对什么是有效的内控体系，如何建立、评估和改进企业内控感到困惑。再由于长期没有统一的企业内部控制规范，一些大中型企业内部控制意识淡薄，出现了内部控制失效甚至舞弊的案件，损害投资者利益，在市场上造成恶劣影响，同时大中型企业内部控制不规范而使银行产生大量不良贷款的现象也屡见不鲜。

2008年6月28日，财政部、证监会、审计署、银监会、保监会等五部委联合了《企业内部控制——基本规范》（以下称《基本规范》），并与09年7月在上市公司范围执行，这标志着中国版“萨班斯法案”的正式启动。2010年4月26日，五部委又联合了《企业内部控制配套指引》，规定自2011年1月1日起在境内外同时上市的公司执行，2012年1月1日起在上交所、深交所主板上市公司执行。《指引》连同此前的《规范》，标志着适合我国企业内部控制规范体系已基本建成。

二、实施《基本规范》的意义

基本规范确立了我国企业建立和实施内部控制的基础框架，标志着内部控制规范体系建设取得重大突破。规范的出台在企业内部会计控制制度体系的构建过程中具有里程碑式的意义。

（一）为企业内部控制建设提供了基础性、权威性的指引

基本规范的弥补了国内一直没有统一的内控规范的状况，从制度源头来为企业内部会计控制的建设提供了保障，对企业会计信息质量的改善起到积极作用。而对浙江大中型企业来说，首先要树立正确的“内控观”，从实践层出发，加强内部控制制度建设，培育内部控制文化，推动内部控制体系的建立和持续改进。

（二）确立企业内部控制的基础框架

基本规范有机融合国际先进经验，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。

（三）强调企业全员、全过程的内部控制理念

基本规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，是一种全面、全员、全过程控制的理念。同时也表明企业内部控制应当贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项。

（四）准确定位企业内部控制的目标

基本规范从组织最根本的目标出发，充分考虑投资者、债权人、管理者的要求，以提高企业战略管理和自我引导能力为目的，判断现有的内部控制方法、控制对象与控制目标是否相容，及其之间存在的对应关系。

（五）科学界定了内部控制的含义

根据基本规范，内部控制是合理保证实现企业经营管理基本目标的一系列控制活动。这项控制活动既有收益也有成本，就有必要进行成本收益分析。换句话说，控制活动也要讲求效率。考虑到环境的复杂多变性与人类理性的有限性，内部控制应当且只能在“合理”的范围内保证上述目标的实现。

三、浙江大中型企业实施《基本规范》中的问题

按照《基本规范》的要求对企业现行的内部控制进行系统性改造，会给公司治理带来整体性的改善，并使企业的风险控制有了风向标。但从去年要求开始实施以来，由于实施的时间还不长，浙江大中型企业相关人员对其的理解和执行方面还不到位。而且一些企业的内部控制本身并不乐观，在内部控制制度的制定环节、实施环节和监督反馈环节存在一定问题。

（一）对《基本规范》理解不到位

与关注财务报告真实性的萨班斯法案相比，我国的《基本规范》范围更广、力度更大，它不仅关注财务报告，更关注企业内部控制全过程的有效性，实施难度也更大。面对这样一个框架性、宏观的《基本规范》，很多浙江大中型企业都不清楚到底应该从何入手。虽然五部委在今年4月份又联合了《企业内部控制配套指引》，但由于实施的时间不长，目前很多企业仍对《基本规范》的理解不到位。

（二）企业人员内控意识比较薄弱

自从美国的安然事件发生以后，国外的萨班斯法案在不断的完善过程当中，企业管理层对于内控的认识越来越高。但很多浙江大中型企业看待内控的问题，企业的人员，特别是管理层经常认为是在给企业“找事儿”做，对于内控的看法还是处于不太积极的状态。

（三）企业中专业内控人才严重缺乏

内控兴起不久，企业对于内控人才的培养也处于初级阶段，在加上人才本身管理水平的有限，对于内控的理解和看法都存在着不足，因此，全面复合型人才在浙江大中型企业中现在急剧缺少。

（四）内控实施的成本比较高;

内控的最终落点是需要IT系统的支撑，从IT的角度来看，要想做好内控，必然要有新的IT投入，而IT投入对于企业来看无疑是增加企业成本的，尤其是金融危机刚过的后危机时代，浙江大中型企业处于一个缓气的阶段，如果在进行IT投入对于企业是一笔不销的开销。

（五）业务流程管理水平很低，增加了内控管理的难度

内控是为了加强企业的经营管理与风险管理，如果是经营管理必然要改变现有的企业不合理的业务流程，现阶段业务流程管理水平不高，对于流程的梳理非常困难，同时又需要IT的环境实现流程的梳理，给企业的内控管理带来了难度。

（六）内控难以层层实施、监督

在内控实施方面，当前内控规范实施后，怎么能够让浙江大中型企业内部从高层到基层管理都清楚并自觉执行，涉及人员较多培训和监督难度都很大。同时企业控制点较多，如果全部用人工进行控制，控制成本会很高。

四、浙江大中型企业内部控制应以《基本规范》为指引发展完善

（一）提高人员素质，学习领会基本规范的实质与要求。

《基本规范》内容实施的时间不长，有关部门应帮助企业深入理解和实施基本规范要求，协助企业及时识别、科学分析和正确评价影响企业发展的各种不确定因素，有效构筑企业经营风险的“防火墙”，提升企业经营管理水平、盈利能力和持续发展能力，增强企业的竞争力。

当然浙江大中型企业应充分发挥人的作用，依靠提高人的综合素质、道德水准和法规意识充分发挥控制者和被控制者的主动性、积极性和创造性，深入研究基本规范的各项要求，遵循规范提出的基本原则，并将规范中的具体要求与企业现状相结合，寻求实现企业内部控制建设的最佳途径。

（二）转变内控文化，健全企业内部控制，实现全面、全员、全过程控制

经调研，较多浙江大中型企业中存在着对领导个人权威过于倚重的情况，领导意志往往凌驾于内控制度之上的现象，这就需要转变广大人员的思维方式和行为习惯，不仅要注重规章制度的建立和修订，而且要重视其贯彻落实的监督制约机制的建立和完善。

1、从认识入手。认识主要在于领导层，领导层必须认识到内控的重要性。通过领导层的认识来带动普通员工认识的提高，使企业从上到下都意识到内控需要全员参与配合，实现从被约束对象到内控制度建设者的转变。树立“内控无小事，内控大家抓”的内控价值观，正确的认识对全员参与和全过程控制都能有积极的作用。

2从落实入手。在认识提高之后，必然会形成一些内控的制度措施。企业往往不缺乏制度和措施，最缺乏的是执行力，全控制制度措施一旦确立，执行就是关键的问题，由谁来执行，怎样执行，执行要达到什么效果，为了保障效果需要采取什么监督办法，等等。

（三）强化学习交流，力求内控专业人员能力素质快速提升

要全面有效推行企业内部控制，建设一支高素质的内控人员队伍至关重要。新形势的发展对内控专业人员的素质和品德操行提出了更高的要求。不仅要掌握必备专业知识，还需熟识国家的政策要求和各项相关制度，了解经营管理、业务流程、计算机技术等综合知识，具备良好的职业道德、较高的综合分析能力和较强的沟通能力。

同时相关部门可以通过后续教育，培养内控人员的专业胜任能力。浙江大中型企业内部控制人员许多是“半路出家”，有正规内控学历并经过相应工作实践的人才很少。其中很大部分是会计出身，他们具有会计的实践经验，对加工对外会计报表的工作驾轻就熟，但是对企业自身很需要运用的管理会计以及控制理论与实践、风险管理、经济预警等方面，还显得很不够，其知识结构与企业需要与发展相距较远。

（四）改善管理水平，做好科学有效的内控体系建设

改善现有的管理水平，大中型企业必须借助于内控体系。完善的内控体系可以促进企业管理，实现企业的发展目标。内控首先要设计符合企业内部业务特点的管理体系，并且这个管理体系要能够根据公司业务比如组织架构调整进行及时调整。同时要把它体系形成文件，作为我们执行和审计的依据，作为监督改变的依据。

内控在国内应用的时间不是很长，大中型企业做内控可以参考优秀企业的内控来做。从信息化的角度来看，虽然不同的行业，不同的企业性质都不相同，但可以关注其他企业支持内控系统是如何来做的？历史证明，参照成功实施企业内控的企业做本企业的内控无疑是一个非常好的办法。

（五）突出抓好重点，符合基本规范同时考虑成本效益原则

一方面，大中型企业内部控制的有效实施可以有效防范企业风险的发生，减少企业不必要的损失，但另一方面内部控制的实施需要付出人力、物力、财力，会产生大额成本。所以《基本规范》的具体实施必须考虑实施成本，在实施过程中应遵循成本最小化下的效率最大化原则，尽量避免执行程序的冗长繁琐，避免执行规则的不经济带来的市场发展的低效率。

1、在实施过程中浙江大中型企业需要从自身的实践层面出发，树立正确的“内控观”。内部控制体系不是对现有企业管理体系的推倒重来，更不是独立于企业现有管理体系的另外一个体系，而是对现有管理体系的整合，是对企业现有管理体系职能的强化。

2、实施过程中人手少，任务重，全面开展此项工作的精力非常有限，要尽可能使有限的精力发挥出好的效益。可以遵循当今管理学界所熟知的“80/20”定律，即“马特莱法则”。分析把握好影响全局的关键因子，力求做到突出重点，抓好重要的20%因子，毕竟80%的价值来自于20%的因子。

（六）先做内控原型，不断完善以其内部控制达到持续化改进

研究国外优秀企业内控建设的经验是先做一个原型或者模型，然后逐步的填充，内控和信息化是一样，没有边界，因此，浙江大中型企业可以要先搭建内控的的框架，然后在框架中不断增加、修改，做到持续的优化。

企业需要不定期或定期地对自己的内部控制系统进行有效性及实施效率效果的评估，以期能更好地达成内部控制的目标。开展自我评估，用结构化的方法进行评估，密切关注业务的过程和控制的成效，了解缺陷的位置以及可能引致的后果，然后自我采取行动改进。不断完善，以便实现持续化。