第六章 风险管理框架下的内部控制-内部控制的目标和原则

内部控制的相关知识点内部控制是组织内部的管理措施和制度，旨在保障企业的财务报告的准确性和可靠性，确保资产的安全和保护利益。

对于一个企业来说，建立健全的内部控制系统是非常重要的，本文将对内部控制的一些相关知识点进行详细探讨。

一、内部控制的基本概念和目标内部控制是企业为实现业务目标、合规目标和风险管理目标而建立的一系列控制措施和制度。

内部控制的目标包括：保障企业的资产安全，确保财务报告的准确性和可靠性，遵守适用法律法规和内外部规则，保障企业的财务稳定和经营有效性，预防和控制风险。

二、内部控制的组成要素内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督与审计等组成要素。

1. 控制环境：指企业内部的整体管控氛围和文化。

包括企业管理层的风险意识、操纵行为和道德标准、组织架构和分工、对员工的培训和激励等。

2. 风险评估：指企业对潜在风险和机会进行识别、评估和应对措施的制定，建立风险管理体系。

3. 控制活动：指企业为应对风险而采取的一系列事务和流程控制措施，包括授权和审批程序、会计和财务制度、资产管理等。

4. 信息与沟通：指企业对内对外的信息流动和沟通机制，包括业务信息的获取、处理和传递，以及内外部交流和报告机制。

5. 监督与审计：指企业内部和外部对内部控制的监督和审计活动，包括内部审计和外部审计。

三、内部控制的原则和制度1. 健全完善：内部控制必须覆盖企业的所有业务和环节，确保所有重要事项都能得到有效控制。

2. 适度合理：内部控制应该根据企业的规模、性质和风险程度制定，既要能够达到目标，又不应过度繁琐和昂贵。

3. 充分有效：内部控制应该确保足够的资源和信息，能够及时发现和防范潜在的风险和问题。

4. 分责分类：内部控制应该明确各个层级和部门的职责和权限，避免权力过度集中和滥用。

5. 审计核查：内部控制应该定期进行审计和核查，确保制度的有效性和符合规定要求。

四、内部控制的重要性和好处良好的内部控制有助于提升企业的管理水平和竞争力，具有以下重要性和好处：1. 保护企业的财务利益：内部控制可以避免财务欺诈和不当行为，确保财务报告的准确性和可靠性。

企业内部控制管理制度第一章总则第一条为规范企业内部控制管理，提高企业管理效率，保护企业财产安全，保证企业持续稳健经营，制订本制度。

第二条本制度适用于本企业全体员工，所有员工应当遵守本制度。

第三条本制度的宗旨是：建立健全的内部控制体系，加强对企业各项经营活动的监管，提高企业运营效率和风险控制水平。

第二章内部控制管理的基本原则第四条内部控制管理应坚持以下基本原则：（一）风险管理原则：识别、评估和管理风险，确保企业合规经营。

（二）适当性原则：内部控制应该适当，既能够满足企业的经营管理需要，又不至于造成过度的行政负担。

（三）客观性原则：内部控制应当客观公正，实事求是。

（四）全面性原则：内部控制应遍及企业的各个方面，全面覆盖。

（五）适用性原则：内部控制应当符合企业的实际情况，具有可操作性。

第三章内部控制管理的基本要求第五条内部控制管理应该根据企业的特点和综合风险评估结果，明确规范授权决策的程序和途径。

第六条内部控制管理应当对重要决策进行审查，并且记录审查的过程和结果。

第七条内部控制管理应当对企业的各项资源进行合理配置和充分利用。

第八条内部控制管理应当对企业的财务状况进行监控，并及时发现并解决潜在的财务风险。

第九条内部控制管理应当对企业的信息系统进行有效的管理和监控，确保信息系统的合法性、安全性和完整性。

第十条内部控制管理应当对企业的生产经营活动进行全面的监管，提高企业的经营效率。

第十一条内部控制管理应当建立健全的内部监督和审计机制，加强对企业经营活动的内部监管。

第四章内部控制管理的组织实施第十二条设立内部控制管理委员会，负责内部控制管理的规划和指导工作。

第十三条设立内部控制管理部门，负责内部控制管理的组织实施和监督检查工作。

第十四条建立健全内部控制管理考核评价制度，对内部控制管理工作进行定期考核评价。

第十五条建立健全内部控制管理培训制度，加强对内部控制管理人员的培训和教育。

第五章内部控制管理的监督检查第十六条内部控制管理委员会对企业各部门的内部控制管理工作进行定期检查和评估。

内部控制与风险管理手册第一章内部控制概述 (2)1.1 内部控制的概念与目标 (2)1.2 内部控制的原则与框架 (2)第二章风险管理基础 (3)2.1 风险的定义与分类 (3)2.2 风险管理的流程与方法 (4)第三章组织结构与内部控制系统 (4)3.1 组织结构与内部控制的关系 (4)3.2 内部控制系统的设计原则 (5)第四章控制环境 (5)4.1 控制环境的概念与构成 (6)4.2 控制环境的优化措施 (6)第五章风险评估 (7)5.1 风险评估的方法与步骤 (7)5.1.1 风险评估的方法 (7)5.1.2 风险评估的步骤 (7)5.2 风险评估的实践应用 (7)5.2.1 企业网络安全风险评估 (8)5.2.2 数据安全风险评估 (8)5.2.3 实验室公正性风险评估 (8)第六章控制活动 (9)6.1 控制活动的分类与设计 (9)6.1.1 控制活动的分类 (9)6.1.2 控制活动的设计 (9)6.2 控制活动的实施与监督 (9)6.2.1 控制活动的实施 (9)6.2.2 控制活动的监督 (10)第七章信息与沟通 (10)7.1 信息系统的设计与维护 (10)7.2 沟通机制与信息共享 (11)第八章内部监督 (11)8.1 内部监督的组织结构 (11)8.2 内部监督的实施与评价 (12)8.2.1 内部监督的实施 (12)8.2.2 内部监督的评价 (12)第九章风险应对与控制策略 (12)9.1 风险应对的方法与策略 (12)9.2 控制策略的选择与实施 (13)第十章内部审计 (14)10.1 内部审计的职能与作用 (14)10.1.1 内部审计的职能 (14)10.1.2 内部审计的作用 (14)10.2 内部审计的程序与方法 (14)10.2.1 内部审计的程序 (14)10.2.2 内部审计的方法 (15)第十一章法律法规与合规管理 (15)11.1 法律法规对内部控制的要求 (15)11.2 合规管理的实践与挑战 (16)第十二章内部控制与风险管理的持续改进 (16)12.1 内部控制与风险管理的评估与反馈 (17)12.2 持续改进的措施与策略 (17)第一章内部控制概述1.1 内部控制的概念与目标内部控制，作为一种管理活动，存在于组织的管理过程中，旨在通过制定和实施一系列控制措施，合理保证组织的目标得以实现。

内部控制体系的风险管理框架内部控制是一组组织行为准则、政策、流程和制度，通过协调人员的工作、指导管理、监督活动，以确保组织目标的实现和风险的有效管理。

在现代商业环境中，企业面临着各种各样的风险，包括内外部的风险。

为了稳健经营，建立一个有效的内部控制体系是非常重要的。

因此，内部控制体系的风险管理框架应运而生。

一、概述：内部控制体系的风险管理框架是一个组织用来了解和管理其风险的结构。

它提供了一套规范和方法来识别、评估和应对风险，确保组织的可持续性和稳健经营。

该框架由以下几个关键要素组成：风险评估、控制活动、信息与沟通、监督与反馈。

二、风险评估：风险评估是内部控制体系的风险管理框架的基础。

它涉及了对组织内外部的潜在风险进行全面的识别、评估和优先排序。

通过识别风险，组织可以更好地了解其面临的威胁，并制定相应的应对措施。

此外，该评估还需要考虑风险的概率和影响程度，以确定其优先级和资源分配。

三、控制活动：控制活动是内部控制体系的核心部分。

它包括了一系列的控制措施，旨在减轻潜在的风险，并确保组织的运营活动按照预期目标进行。

这些控制活动可以分为预防控制、检查控制和纠正控制。

预防控制用于防止风险的产生，检查控制用于发现风险的存在，而纠正控制则用于消除风险的负面影响。

四、信息与沟通：信息与沟通在内部控制体系的风险管理框架中起着至关重要的作用。

它是保障内部控制的有效运作和信息的流动的关键环节。

组织应确保信息的准确性、完整性和及时性，并建立适当的沟通渠道，以便及时获取、传递和反馈风险信息。

此外，组织还需加强对内部控制的培训和教育，提高员工对风险管理的意识和能力。

五、监督与反馈：监督与反馈是内部控制体系的风险管理框架的最后一个关键环节。

它涉及了对内部控制的监督、评估和持续改进。

组织应建立有效的监控机制，以确保内部控制的有效运作，并定期对其进行评估和审查。

评估的结果应及时反馈给相关责任方，并采取适当的纠正措施，以持续改进内部控制体系的有效性和适应性。

第六章风险管理框架下的内部控制本章考情分析本章属于次重点章，应重点掌握的内容包括：（1）企业内部控制理论的演变与发展；（2）内部控制与风险管理的关系；（3）内部控制的目标、内部控制的原则和内部控制的要素；（4）内部控制应用指引（包括18项指引）；（5）内部控制评价；（6）企业内部控制审计；（7）审计委员会在内部控制中的作用；（8）风险管理、内部控制与公司治理及其三者的关系。

本章考试的题型主要关注客观题和简答题，近3年平均分值为10分左右。

2013年重点关注内部控制应用指引（包括18项指引）、内部控制评价和在内部控制中审计委员会的作用，这三个方面内容考主观题。

第一节内部控制与风险管理的关系一、企业内部控制理论的演变与发展（一）内部牵制阶段第一阶段，起步阶段，即内部牵制阶段。

最初的内部控制定义就是内部牵制，它基本是以査错防弊为目的，以岗位分离和账目核对为手段，以钱、账、物等会计事项为主要控制对象。

其核心主要关注于会计领域。

（二）内部控制制度阶段第二阶段，进化阶段，即内部控制制度阶段。

20世纪50年代至70年代，内部控制的发展进入到内部控制制度阶段。

内部控制制度有两类，即内部会计控制制度和内部管理控制制度。

内部控制的目标除了保护组织财产的安全之外，还包括增进会计信息的可靠性、提高经营效率和遵循既定管理方针。

（三）内部控制结构阶段第三阶段，提高阶段，即内部控制结构阶段。

20世纪80年代至90年代初，内部控制的发展进入内部控制结构阶段。

在该阶段正式将内部控制环境纳入内部控制范畴，同时不再区分内部会计控制和内部管理控制。

内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，内部控制由三个要素组成：内部控制环境、会计制度和控制程序。

（四）内部控制整合框架阶段第四阶段，演进阶段，即内部控制整合框架阶段。

1992年9月，美国反虚假财务报告委员会的发起组织委员会（COSO)发布了一份报告《内部控制——整合框架》（1994年进行了增补），即COSO内部控制整合框架。

正保远程教育旗下品牌网站 美国纽交所上市公司(NYSE:DL)
中华会计网校 会计人的网上家园
注册会计师考试辅导《公司战略与风险管理》第六章讲义1
风险管理框架下的内部控制
考情分析
主要考点（难点或重点）
内部控制基本规范（目标、原则、五要素）
内部控制应用指引（18项）
内部控制评价与审计
审计委员会 公司治理原则
第一节 内部控制与风险管理的关系
本节主要内容简介：
企业内部控制理论的演变与发展
内部控制与风险管理的关系
有控则强，失控则弱；
无控则乱，不控则败；
一、企业内部控制理论的演变与发展（了解）
（一）内部“牵制”阶段20世纪40年代之前。

内部控制的目标、原则与要素一、内部控制的目标、原则与要素（P84）（比较粗的谈企业内部控制）1、内部控制目标（P84）：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

2、内部控制原则（P84）：1、全面性原则：贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项，实现全过程、全员性控制，不存在内部控制空白点。

2、重要性原则：在兼顾全面的基础上，关注重要业务事项和高风险领域，并采取更为严格的控制措施，确保不存在重大缺陷。

3、制衡性原则：应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制，同时坚固运营效率。

（它要求企业完成某项工作必须经过互不隶属的两个基本点或两个以上的岗位和环节；同时，还要求旅行内部控制监督职责的机构或人员具有良好的独立性）4、适应性原则：应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化加以调整。

（要求企业建立与实施内部控制应当具有前瞻性，适时地对内部控制系统进行评估，发现可能存在的问题，并及时采取措施不救）5、成本效益原则：应当权衡实施成本与预期效益，以适当的成本实现有效控制。

（要求企业内部控制建设必须统筹考虑投入成本和铲除效益之比）3、内部控制要素（P85）：1、内部控制环境：内部控制环境规定企业的纪律与架构，影响经营管理目标的制定，塑造企业文化分为并影响员工的控制意识，是企业建立与实施内部控制的基础。

主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

1、治理结构：企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确董事会、监事会和经理层在决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

2、机构设置及权责分配：企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。

风险管理、内部控制、公司治理三者的关系【内容导航】：(一)管理范围的协调(二)前动与后动的平衡(三)治理、风险、控制的整合(四)“从上到下”控制基础和“从下到上”风险基础执行模式的融合【所属章节】：本知识点属于《公司战略》科目第六章风险管理框架下的内部控制第四节风险管理、内部控制与公司治理的内容。

【知识点】：风险管理、内部控制、公司治理三者的关系在企业风险管理整合框架下，风险管理、内部控制、公司治理三者的关系可以从以下四个方面来体现。

(一)管理范围的协调风险管理整合框架下的内部控制是站在企业战略层面分析、评估和管理风险，是把对企业监督控制从细节控制提升到战略层面及公司治理层面。

风险管理不仅仅关注内控建立，最主要的是关注内部控制运行与评价，从企业所有内外风险的角度为公司治理层、管理层持续改进内部控制设计和运行提供思路，风险管理比内部控制的范围要广泛得多。

(二)前动与后动的平衡在风险管理整合框架下的内部控制既包括提前预测和评估各种现存和潜在风险，从企业整体战略的角度确定相应的内控应对措施来管理风险，达到控制的效果，又包括在问题或事件发生后采取后动反应，积极采取修复性和补救性的行为。

显然，在未发生风险负面影响前即采取措施，更能够根据事件或风险的性质，降低风险的损失，降低成本，提高整体管理效率。

(三)治理、风险、控制的整合依照风险管理的整体控制思维，扩展内部控制的内涵和外延，将治理、风险和控制作为一个整体为组织目标的实现提供保证。

这一整合的过程将克服原本内部控制实施过程中内部控制与管理脱节的问题，整个组织风险管理的过程也是内部控制实施的过程，内控不再被人为地从企业整个流程中分离出来，提高了内部控制与组织的整合性和全员参与性。

(四)“从上到下”控制基础和“从下到上”风险基础执行模式的融合在风险管理整合框架下的内部控制既体现内部控制从上到下的贯彻执行，也强调内部控制从下到上参与设计、反馈意见以及“倒逼”机制，即从上到下控制基础和从下到上风险基础的执行模式的融合。

2015年注册会计师资格考试内部资料公司战略与风险管理第六章　风险管理框架下的内部控制知识点：组织架构● 详细描述：《企业内部控制应用指引第1号——组织架构》所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

（一）组织架构设计与运行中需关注的主要风险（二）内部控制要求与措施 1.组织架构的设计（5条） （1）治理结构　——　董事会、监事会、经理层（职责权限、工作程治理结构层面的风险治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

内部机构层面的风险内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。

序等）。

（2）企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。

任何个人不得单独进行决策或者擅自改变集体决策意见。

（3）内部职能机构及职责。

（4）工作岗位及职责（不相容职务分离，包括：可行性研究与决策审批；决策审批与执行；执行与监督检查等）。

（5）企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或相关文件。

2.组织架构的运行 （1）全面梳理 ——符合现代企业制度要求。

·治理结构（人员任职资格和履职情况、运行效果） ·组织结构（设置合理性、运行高效性） （2）尤其关注子公司。

（3）全面评估（设计及运行的效率和效果）。

例题：1.企业的下列行为中，不符合内部控制要求的是（）。

A.存货在不同仓库之间流动时应当办理出入库手续B.对代管、代销、暂存、受托加工的存货，应单独存放和记录，避免与本单位存货混淆C.大批存货、贵重商品或危险品的发出应当实行特别授权D.企业存货每两年盘点一次，盘点清查结果应当形成书面报告正确答案：D解析：企业至少应当于每年年度终了开展全面盘点清查，盘点清查结果应当形成书面报告。

内部控制的三个角:目标、风险与控制结合内部控制的定义和五要素，可以提炼出一个简洁的内部控制三角：目标à风险à控制。

即在内部控制建设和实施过程中，始终要回到这三者之间关系的考量上：控制的具体目标是什么？潜在的风险是什么？可以采取的控制措施有哪些？在学习和运用内部控制理论和体系时，首先要深入理解这三个核心概念。

一、内部控制目标1.不同内部控制目标体系的比较在我国内部控制规范体系中，内部控制建设目标可以归纳为：战略目标、经营目标、合规目标、资产安全目标和财务报告目标等五个目标。

在国际上，COSO在2016版的《内部控制整合框架》列举了三种类别的目标，即运营目标、报告目标和合规目标。

同时，COSO在《企业风险管理整合框架》中将风险管理的目标分成四类，即战略目标、经营目标、报告目标和合规目标。

比较上述三大体系的目标，可以发现我国内部控制体系目标有如下特点：第一，整合了IC和ERM框架。

不管是1992版本还是2016版本，IC都没有纳入战略目标，并且COSO强调“战略设定、战略目标和风险容量是ERM的范畴，而不属于IC的范畴”，因此，我国的内部控制目标是综合IC和ERM框架的要求，对企业实施内部控制体系提出了更高要求。

第二，强调资产安全目标。

资产安全目标在IC和ERM 中均被视为是经营目标的子目标而没有单列。

我国的基本规范之所以强调资产安全目标，并单独作为一个内部控制目标，主要是因为国有资产的增值保值是我国特有的国情。

第三，没有强调非财务报告目标。

IC2016更新了原有IC 中的财务报告目标，采用了ERM中的报告目标，拓宽了报告的外延范围，强调合理保证非财务报告和内部管理报告等信息的真实完整。

因此，我国内部控制体系实际上约等同于ERM。

但是，IC强调“确定目标”是“内部控制的前提条件”，而不属于内部控制本身；ERM强调“应用于战略制定并贯穿于企业之中”，并体现在其风险管理八要素中的目标设定、事项识别等要素中。

内部控制的原则
【内容导航】：
(一)内部控制的原则
【所属章节】：
本知识点属于《公司战略》科目第六章风险管理框架下的内部控制第一节内部控制基本规范的内容。

【知识点】：内部控制的原则
在纷繁复杂的环境与因素影响下，企业构建并实施内部控制体系，应当遵循以下基本原则：
(一)全面性原则
所谓全面性，就是强调内部控制应当贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项。

(二)重要性原则
所谓重要性，就是指在全面控制的基础上，内部控制应该关注重要业务事项和高风险领域。

(三)制衡性原则
所谓制衡性，就是指内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

(四)适应性原则
所谓适应性，就是强调内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

要达到适用性原则，企业的内部控制建设应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

(五)成本效益原则
所谓成本效益原则，又称为成本与效率效果原则，就是指内部控制应当权衡实施成本与预
期效益，以适当的成本实现有效控制。

内部控制体系的目标与原则内部控制体系是组织内部对风险进行管理和控制的一种重要机制，它旨在确保组织目标的实现、资源的保护以及合规要求的满足。

内部控制体系的目标和原则是指为实现有效的内部控制，组织在制定和实施内部控制体系时所需遵循的目标和原则。

本文将介绍内部控制体系的目标与原则，并阐述其重要性和实施方法。

一、内部控制体系的目标：1. 资产保护目标：确保组织资产的安全性和完整性，防止资源的损失、盗窃或滥用。

2. 业务运作目标：确保组织实现经营目标，提高工作效率和运营质量。

3. 财务报告目标：确保组织财务信息的准确性、真实性和及时性，为决策提供可信的财务数据依据。

4. 合规目标：确保组织合规性，遵守相关法律法规、规章制度和行业准则。

5. 信息系统目标：确保组织信息系统的安全性和可靠性，保护信息资产的机密性和完整性。

二、内部控制体系的原则：1. 内部控制自主性原则：组织内部对内部控制的设计和实施应该具有自主性，依据组织特点和风险情况，量身定制适合的控制措施。

2. 内部控制全面性原则：内部控制应涵盖组织各个业务环节和职能部门，确保全面有效地控制风险。

3. 内部控制有效性原则：内部控制应当具有有效性，即能够及时发现问题、防止问题扩大，并通过适当的纠正和改进措施解决问题。

4. 内部控制适应性原则：内部控制应具备适应环境变化和组织风险变化的能力，及时调整和优化内部控制体系的机制和措施。

5. 内部控制连续性原则：内部控制应作为一项长期的持续工作，确保内部控制体系的连续性和稳定性，不断提高内部控制的水平。

内部控制体系的目标与原则的重要性体现在以下几个方面：首先，内部控制体系的目标和原则是确保组织有效运营和风险管理的基础，对于组织的可持续发展至关重要。

其次，内部控制体系的目标和原则有助于提高组织的治理水平和运营效率，减少资源的浪费和损失。

再次，内部控制体系的目标和原则是组织面对外部环境变化和管理挑战时的重要支撑，有助于提升组织的适应能力和抵御风险的能力。