我国企业内部控制规范

[内部审计]
加强内部审计工作，保证内部审计机构 及其工作开展的独立性。
内部审计机构与财会机构应当相互制衡。 内部审计机构对审计过程中发现的与内部控
制相关的重大问题，有权直接向董事会及其 审计委员会报告。
风险评估
风险评估是企业及时识别、科学分析经
营管理中各种不确定因素，并确定风险应对
策略。
内部风险
分析内部控制缺陷产生的原因，提出和 实施整改方案，并对整改结果进行核查和确 认。
[内控自我评价]
结合内部控制检查情况，定期对企业内 部控制建立与实施的有效性进行自我评价， 形成书面评价报告，提交董事会及其审计委 员会。
内部控制自我评价的方式、范围、程序 和频率，由企业根据经营业务调整、经营环 境变化、业务发展状况、实际风险水平等确 定。
《企业内部控制制度设计》 上海财经大学出版社2005年版
《内部控制案例》复旦大学出版社 2005年版
谢谢
对内部控制概念的理解
主体---企业内部人员 目标---相互联系的四个目标 作用---合理保证而非绝对保证 要素---五要素及相互关系 性质---过程的、全方位的
主体---企业内部人员实施
企
决策层
业
内 部
管理层
人
员
作业层
目标---四个目标相互联系
效率和效果
资产安全 报表可靠性
合法合规
作用---合理保证而非绝对保证
1. 成本效益考虑； 2. 异常活动超出正常设计范围； 3. 控制执行人员责任性不强；
4. 控制执行人员串通舞弊; 5. 高层管理者自我违规操作。
要素---五要素及其相互关系
保证
内部监督
载体
手段 基础
信
信 控制活动
息
息
沟
沟
通
风险评估
通
依据
内部环境
性质---过程的、全方位的
果靠 规
效率 效报表可遵守法
公 司
部 门
业公 务司
等 分
支
机
风险反应
构
控制活动
信息沟通
监控
八要素与五要素关系
内部环境 目标制定 事项识别 风险评估 风险反应 控制活动 信息沟通
监控
内部环境 风险评估 控制活动 信息沟通
监控
我国企业内部控制规范体系
内控基本规范
内控应用指引
企业
内控评价指引
内控鉴证指引
注册会计师
企业内部控制应用指引
信息与沟通
信息与沟通是企业及时、准确、完整地 采集和传递与内部控制相关的各种信息，并 使这些信息以适当的方式在企业内部、企业 与外部之间进行有效沟通和正确使用。
[内部信息采集]
通过财务会计资料、经营管理资料、内 部调研报告、专项信息、报刊网络等资料或 渠道，获取内部信息。
[外部信息采集]
通过立法机关、监管部门、中介机构、 行业协会组织、业务往来单位、市场调查、 外部来信来访、网络媒体等渠道或方式，获 取外部信息。
投资者和债权债务人、重大经济政策变化、国内外 市场变化等应当作为识别外部风险的重点。
[风险分析的概念]
对已识别的风险进行分析，建立与实际 运营情况相适应的风险等级划分标准。风险 等级划分标准包括定性分析标准、定量分析 标准或两者相结合的分析标准。
从风险发生的可能性及其影响程度两个 方面对风险进行排序，确定应重点关注的风 险。
关注高级管理人员职业操守、员工专业胜任能力、 团队精神等人员素质因素；
组织结构、经营方式、资产管理、业务流程设计、 财务报告编制与信息披露等管理因素；
财务状况、经营成果、现金流量等财务因素；研究 开发、技术投入、信息技术运用等技术因素；
营运安全、员工健康、环境污染等安全环保因素； 其他有关内部风险因素。
外部沟通应重点关注与投资者、债权人、 客户、供应商、中介机构和监管部门等有关 方面的沟通。
[信息技术控制]
结合实际情况和信息技术应用状况，建
立与经营管理相适应的自动控制，提高业务
处理效率，减少或消除人为操纵因素。
加强对信息系统开发与维护、访问与变 更、数据输入与输出、文件储存与保管、网 络安全等方面的控制，保证信息系统安全、 有效运行。
一般包括治理结构、内部机构设置与权责分
配、企业文化、人力资源政策、内部审计等。
[治理结构]
根据国家有关法律法规和企业章程，建 立规范的公司治理结构和议事规则，明确界 定决策、执行、监督各层面的地位、职责与 任务，形成有效的分工和制衡机制。
[审计委员会]
在董事会下设立审计委员会。审计委员 会成员应当具备相应的独立性、良好的职业 操守和专业胜任能力。
特别授权是指企业在特殊情况、特定条件下 进行的临时性授权。
[财产保护控制]
采取财产记录、实物保管、定期盘点、 账实核对等措施，限制未经授权的人员对相 关财产的接触和处置，确保财产安全。
[会计系统控制]
根据国家统一的会计制度，健全财会机 构，制定适合本企业的内部会计制度，明确 会计凭证、会计账簿和财务会计报告的处理 程序，保证会计信息真实完整。
内部控制发展动因
内部控制概念演变
内部牵制（40年代前） 内部控制（70年代前） 内部控制结构（80年代） 内部控制框架（90年代） 企业风险管理框架（21世纪）
内部控制发展动因
外因
审计程序的发展 法制和政府的推动
内因
现代企业管理的需要 防止舞弊和欺诈行为
审计程序的发展
审计程序的演变
[分析与报告控制]
建立和完善内部报告制度，明确相关信
息的采集、分析、报告和处理程序，及时提
供业务和财务重要信息，利用因素分析、对
比分析、趋势分析等方法，定期对企业经营
管理活动进行分析，发现存在的问题，查找
原因并提出改进意见和应对措施。
[绩效考评控制]
科学设置考核指标体系和考核标准水平， 对各部门和员工工作业绩进行客观评价，实 现相应的奖惩。
制定内部控制缺陷认定标准，对在检查
过程中发现的内部控制缺陷进行评价，并采
取适当的形式及时进行报告。
内部控制缺陷包括设计缺陷和运行缺陷。
设计缺陷是指内部控制的设计存在漏洞，不能预 防和及时发现错误和舞弊的情形；
运行缺陷是指内部控制的运行存在弱点和偏差， 不能及时发现并纠正错误和舞弊的情形。
[缺陷分析]
防止舞弊和欺诈行为
舞弊和欺诈的类别
管理舞弊 员工舞弊 来自环境压力、制度机会、自身素质 外部欺诈
舞弊和欺诈与内部控制的关系
参考资料
《现代企业内部控制制度》 中国审计出版社 1996年版
《建立和完善内部控制的思考》 《会计研究》 2001年第一期
《内部控制评价》 中国时代经济出版社 2002年版
外部风险
关注经济形势、产业政策、资源供给、利率调整、 汇率变动、融资环境、市场竞争等经济因素；
法律法规、监管要求等法律因素； 文化传统、社会信用、教育水平、消费者行为等社
会因素； 技术进步、工艺改进、电子商务等科技因素；自然
灾害、环境状况等自然环境因素； 其他有关外部风险因素。其中，竞争对手、客户、
岗位轮换制度； （四）掌握国家秘密或重要商业秘密的员工
离岗的限制性规定。 （五）其他有关人力资源管理的政策。
[员工聘用]
将职业道德修养和专业胜任能力作为选 拔和聘用员工的重要标准，重视并加强员工 培训，不断提升员工素质。
建立并实施对全体员工的激励和约束机 制，明确考核标准，严格考核程序，落实奖 惩办法，实行优胜劣汰，促进员工责、权、 利的有机统一。
上市公司的审计委员会负责人原则上应 当由独立董事担任，
非上市公司的审计委员会负责人应当由 独立于企业管理层的人员担任
[内部机构设置]
内部机构的设置应当科学合理，明确管理层、 职能部门、分支机构和基层作业单位的职责权限， 将权利与责任分解到各责任单位
内部管理手册 组织结构图 业务流程图 岗位描述 权限指引等
[检查方式]
结合企业实际情况，采取适当的程序和 方法进行内部控制检查。
内部检查方式主要包括日常检查和专项检查。
日常检查是指企业对建立并实施内部控制的整体 情况所进行的常规的、连续的检查；
专项检查是指企业对建立并实施内部控制的某一 方面或者某些方面的情况进行的有针对性的、不 定期的检查。
[缺陷评估与报告]
制度基础审计 风险导向审计
审计程序演变对内部控制的影响
审计风险理论 =固有风险 * 控制风险 * 检查风险 =重大错报风险 * 检查风险
法制和政府的推动
美国
1934年《证券交易法》 1940年《投资公司法》 1977年《反国外行贿法》 2002年《公众公司会计改革和保护投资者法》
（SOX法）
[内部沟通]
建立通畅的内部沟通渠道，实现内部信 息、外部信息在企业内部的及时、准确传递， 促进董事会、管理层和企业员工正确履行职 责。
内部沟通应重点关注来自不同部门和岗 位、不同渠道的相关信息核对相符和正确使 用。
[外部沟通]
建立良好的外部沟通渠道，对外部有关 方面的建议、需求、投诉等信息进行记录， 并及时予以处理、反馈。
合理设置职能部门和工作岗位，明确各 部门、各岗位的职责权限，形成各司其职、 各负其责、相互制约、便于考核的工作机制。
[授权审批控制]
根据职责分工，明确各部门、各岗位办 理经营业务与事项的权限范围、审批程序和 相应责任等。
授权一般包括常规授权和特别授权。
常规授权是指企业在日常经营管理活动中按 照既定的职责和程序进行的授权；
关 联 交
资 金
采 购
长 存期 货股
权
工 程 项
固无 定形 资资
预 算
销
人 力
售资
源
易
投 目 产产
政
资
策
与财
披务 筹
露报 告
资
编
衍 生 工 具
成 本
担
费保
用
制
信 息 系
内
合
对 子 企业
统 部 同 公 业务
一 般 控
审 计
协 议
司 并外 控 购包
制制Leabharlann 我国《内部控制基本规范》 介绍
内部环境
内部环境是企业实施内部控制的基础，
[反舞弊机制建立]
建立教育、制度与监督并重，惩防并举、 重在预防的反舞弊机制，明确有关部门在反 舞弊工作中的职责权限，规范反舞弊调查处 理程序，确定反舞弊的重点领域、关键环节 和主要内容。
内部监督
内部监督是企业对内部控制的有效性进 行检查、评价，并不断加以改进。
[检查评价主体]
授权审计委员会、内部审计机构或者履 行内部控制监督职责的其他机构对内部控制 有效性进行检查和评价。
我国企业内部控制规范
内部控制概念 我国企业内部控制规范体系 我国《内部控制基本规范》介绍
内部控制发展动因
内部控制概念和理解
内部控制概念
内部控制是由企业董事会、监事会、经理层 和其它员工实施的、旨在实现控制目标的过 程。
内部控制目标是合理保证企业经营管理合法 合规、资产安全、财务报告及相关信息真实 完整，促进提高经营效率和效果。
我国
1999年《会计法》 2001年---2005年《内部会计控制规范》 2006年 企业内部控制标准委员会成立 2007年 《企业内部控制规范》（征求意见稿） 2008年 《企业内部控制规范》发布
现代企业管理的需要
企业竞争力的基础
成熟的产品技术 成型的管理制度
企业管理的特征
例行管理靠制度调节 例外管理靠人员调节
[风险应对策略]
根据经管理层确定的风险分析结论，结 合风险因素、企业整体风险承受能力以及业 务层面的可接受风险水平，合理确定并综合 运用风险应对策略。
风险应对策略一般包括风险规避、风险 降低、风险转移和风险承担等。
控制活动
控制活动是企业根据风险评估情况综合 采取的具体控制措施。
[职责分离控制]
[企业文化]
加强文化建设，培育健康向上的价值观 和社会责任感，倡导诚实守信、爱岗敬业、 进取创新和团队协作精神，树立现代管理理 念，强化法制意识、风险意识和决策程序规 范化意识。
[人力资源政策]
人力资源政策应当包括下列内容： （一）员工的聘用、培训、辞退与辞职； （二）员工的薪酬、考核、晋升与奖惩； （三）关键岗位员工的强制休假制度和定期
监控
信息与沟通
作 业
部 门 层 面
公 司 层 面
控制活动
层 面
风险评估
内部环境
我国企业内部控制规范体系
我国企业内部控制规范特点
以五要素为框架，适当体现八要素先进理念 以基本规范、应用指引和评价指引为体系
风险管理框架
战
目 略
标标 营目
经报
标 目 告
合
法
目
标
子
内部环境
目标制定 事项识别 风险评估