企业内部控制原则

一、内部控制的目标、原则与要素
（P84）
（比较粗的谈企业内部控制）
1、内部控制目标（P84）：合理保证企业经营管理合法合规、资产安全、财务报
告及相关信息真实完整，提高经营效率和效果，促进
企业实现发展战略。

2、内部控制原则（P84）：
1、全面性原则：贯穿决策、执行和监督的全过程，覆盖企业及其
所属单位的各种业务和事项，实现全过程、全员
性控制，不存在内部控制空白点。

2、重要性原则：在兼顾全面的基础上，关注重要业务事项和高风
险领域，并采取更为严格的控制措施，确保不存
在重大缺陷。

3、制衡性原则：应当在治理结构、机构设置及权责分配、业务流
程等方面形成相互制约、相互监督的机制，同时
坚固运营效率。

（它要求企业完成某项工作必须
经过互不隶属的两个基本点或两个以上的岗位和
环节；同时，还要求旅行内部控制监督职责的机
构或人员具有良好的独立性）
4、适应性原则：应当与企业经营规模、业务范围、竞争状况和风
险水平等相适应，并随着情况的变化加以调整。

（要求企业建立与实施内部控制应当具有前瞻
性，适时地对内部控制系统进行评估，发现可能
存在的问题，并及时采取措施不救）
5、成本效益原则：应当权衡实施成本与预期效益，以适当的成本
实现有效控制。

（要求企业内部控制建设必须统
筹考虑投入成本和铲除效益之比）
3、内部控制要素（P85）：
1、内部控制环境：内部控制环境规定企业的纪律与架构，影响经
营管理目标的制定，塑造企业文化分为并影响
员工的控制意识，是企业建立与实施内部控制
的基础。

主要包括治理结构、机构设置及权责
分配、内部审计、人力资源政策、企业文化等。

1、治理结构：企业应当根据国家有关法律法规和企
业章程，建立规范的公司治理结构和
议事规则，明确董事会、监事会和经
理层在决策、执行、监督等方面的职
责权限，形成科学有效的职责分工和
制衡机制。

2、机构设置及权责分配：企业应当结合业务特点和
内部控制要求设置内部机
构，明确职责权限，将权
利与责任落实到各责任单
位。

（组织结构应当有利
于提升管理效能，保证信
息通畅流动）
3、内部审计机制：应当加强内部审计工作，保证内
部审计机构设置、人员配备和工
作的独立性。

4、人力资源政策：人力资源政策应当有利于企业可
持续发展，一般包括。

企业应当将职业道德修养和专业
胜任能力作为选拔和聘用员工的
重要标准，切实加强员工培训和
继续教育，不断提升员工素质。

5、企业文化：董事、监事、经理及其他高级管理人
员在塑造良好的企业文化中发挥关键
作用。

2、风险评估（P86）：是企业及时识别、科学分析经营活动中与
实现控制目标相关的风险，合理确定风险
应对策略，实施内部控制的重要环节。

主
要包括目标设定、风险识别、风险分析和
风险应对。

1、目标设定：企业必须制定与生产、销售、财务等
业务相关的目标，设立辨认、分析和
关系相关风险的机制，以了解企业所
面临的来自内部和外部的各种不同风
险。

2、风险识别：不仅要识别内部风险，还要识别与控
制目标相关的各类外部风险。

（企业
识别内部风险，一般关注。

方面，识别外部风险一般关注。

方面）
3、风险分析：分析不采取任何防范措施可能造成的
损失程度，同时，重点分析剩余风险，
即采取了相应应对措施后仍可能造成
的损失程度。

定性定量方法相结合，
按照风险发生的可能性及其影响程度
等，对识别的风险进行分析和排序，
确定关注重点和有限控制的风险。

4、风险应对：风险应对策略需结合应用，风险策略
常用的有风险规避、风险降低、风险
分但。

营业应合理分析和掌握董事、
经理及其他高级管理人员、关键党委
员工的风险偏好，采取适当的控制措
施，避免因个人风险偏好给企业经营
带来重大损失。

3、控制活动（P86）：控制活动是指企业根据风险应对策略，
采用响应的控制措施，将风险控制在
可承受度之内，是实施内部控制的具
体方式。

常见的控制措施有：不相容
职务分离控制、授权审批控制、会计
系统控制、财产保护控制、预算控制、
运营分析控制和绩效考评控制等。

1、不相容职务分离控制：不相容职务指那些如果由
一个人担任既可能发生措施和舞弊行
为，又可能掩盖其错误和舞弊行为的
职务。

不相容职务一般包括授权批准
与业务经办、业务经办与会计记录、
会计记录与财产保管、业务经办与稽
核检查、授权批准与监督检查等。

不
相容职务分离的核心是“内部牵制”。

使不相容岗位和职务之间能够相互监
督、相互制约。

2、授权审批控制：通常有常规授权和特别授权之分。

企业必须建立授权审批体系，编制常
规授权的权限指引，规范特别授权的
范围、权限、程序和责任，严格控制
特别授权。

对于重大的业务和事项，
企业应当实行集体决策审批或者联签
制度，任何个人不得单独进行决策或
擅自改变集体决策。

3、会计系统控制：通过对会计主体所发生的各项能
用货币计量的经济业务进行记录、归
集、分类、编报等而进行的控制。

4、财产保护控制（P87）：财产登记与实物盘点、定
期盘点和账实核对、限制接近。

5、预算控制（P88）：就是说要编制预算。

事后结合
预算进行评价。

6、运营分析控制：运营分析控制要求企业建立运营
情况分析制度，综合运用生产、
购销、投资、筹资、财务等方面
的信息，通过因素分析、对比分
析、趋势分析等方面，定期开展
运营情况分析，发现存在的问题，
及时查明原因并加以改进。

7、绩效考评控制：就是考评具体应该怎么做，或者
步骤有哪些。

（P88）
8、企业需建立重大风险预警机制和突发时间应急处
理机制，明确风险预警标准，对可能发生的重大
风险或突发事件，制定应急预案，明确责任人员、
规范处理程序，确保突发事件得到及时妥善处理。

4、信息与沟通（P88）：信息与沟通的要件主要包括：信息质
量、沟通制度、信息系统、反舞弊机制。

1、信息质量：日常生产经营需要收集各种内部信息
和外部新，并对这些信息进行合理筛
选、核对、整合，提高信息的有用性。

（企业可以通过财务会计资料、经营
管理资料、调研报告、专项信息、内
部刊物、办公网络等渠道，获取内部
信息；还可以通过行业协会组织、社
会中介机构、业务往来单位、市场调
查、来信来访、网络媒体以及有关监
管部门等渠道，获取外部信息。

2、沟通制度：企业应当建立信息沟通制度，将内部
控制相关信息在企业内部各管理级
次、责任单位、业务环节之间，以及
企业与外部投资者、债权人、客户、
供应商、中介机构和监管部门等有关
方面之间进行沟通和反馈。

重要信息
须及传递给董事会、监事会和经理层。

3、信息系统：企业可以运用信息技术加强内部控
制。

4、反舞弊机制：企业应当建立反舞弊机制，坚持惩
防并举、重在预防的远在，明确反无
比工作的重点领域、关键环节和有关
机构在反舞弊工作中的职责权限，规
范舞弊案件的举报、调查、处理、报
告和不救程序。

反舞弊工作的重点包
括：（P89）
5、内部监督：包括时常监督和专项监督。

1、日常监督：指企业对建立与实施内部控制的情况
进行常规、持续的监督检查。

常见方
式包括：1、在日常生产工具经营活动
中获得能够判断内部控制设计与运行
情况的信息；1、在与外部有关方面沟
通过程中获得有关内部控制设计与运
行情况的严正信息；3、在与员工沟通
过程中获得内部控制是否有效执行的
证据；4、通过账面记录与实物资产的
检查比较对资产的安全性进行持续监
督；5、通过内部审计活动对内部控制
有效性进行持续监督。

2、专项监督：专项监督应当与日常监督有机结合，
日常监督是专项监督的基础，专项监
督是补充，如果发现某专项监督需要
经常性地尽心，企业有必要将其纳入
日常监督之中。

日常监督和专项监督情况应当形成书面报告，并在报告中揭示存在的内部控制缺陷。

内部监督形成的报告应当有畅通的
报告渠道，确保发现的重要问题能及时送达至治理层和经理
层；同时，应当建立内部控制缺陷纠正、改进机制，充分发挥
内部监督效力。

企业应当在日常监督和专项监督的基础上，定
期对内部控制的有效性进行自我评价，出具自我评价报告。

4、内部控制的组织实施（P90）
1、企业内部控制的组织形式：内部控制建设是一项系统工程，
需要企业董事会、监事会、经理
层及内部各只能部门共同参与并
承担响应的职责。

1、董事会：对内部控制的建立健全和有效实施负责，定
期召开董事会议，商讨内部控制建设中的重
大问题并作出决定。

具体包括（P90）。

2、审计委员会：是董事会下设的专业委员会。

要求
审计委员会负责人及其成员必须具
备响应的独立性、良好的职业操守
和专业胜任能力。

职责主要包括：
审查企业内部控制的设计；监督内
部控制有效实施；领导开展内部控
制自我评价；与中介机构就内部控
制审计和其他相关事宜尽心沟通协
调等。

3、监事会：对董事会建立与实施内部控制进行监督。

（监事会主席及其成员应当定期参加董
事会及其审计委员会召开的涉及内部控
制的会议，如对董事会及其审计委员会
有关内部控制的决策持有异议，或认为
董事会和经理层成员存在舞弊行为，还
可提议召开独立的监事会议）
4、经理层：负责组织领导企业内部控制的日常运行。

（职责主要包括：贯彻董事会及其审计
委员会对内部控制的决策意见；为其他
高级管理人员提供内部控制方面的领导
和指引；定期与采购、生产、营销、财
务、人事等主要只能部门和业务单位的
负责人进行会谈，对他们控制风险的措
施及效果进行独到和核查等）
5、内部控制部门：可以根据需要成立专门的内部控
制工作团队，以项目组的形式运
作；也可以成立内部控制专职机
构（或岗位），专门负责内部控
制在企业内部各部门间的组织协
调和日常性事务工作。

6、财会部门：要求财会部门不能将眼光仅仅局限于
财务活动，而应贯穿企业经营管理的
全过程，在制定发展战略、分析评估
风险和作出决策等环节扮演好关键的
助手句参谋角色。

（为此，企业经理
层应当赋予财会部门负责人参与响应
决策的权力，并支持和指导其关注经
营管理的更广范畴）
7、其他只能部门：企业内部各只能部门（或业务单
位）及其全体员工都应当在建立
与实施内部控制过程中承担相应
职责并发挥积极作用。

2、内部控制的设计程序：就是内部控制具体设计（P91）。

3、内部控制的实施体系：（P92）
二、企业层面控制（P92）
（更具体的从组织结构方面谈企业内部控制）
企业层面控制，指对企业控制目标的实现具有重大影响，与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。

1、组织架构控制：组织架构，是指企业按照估价有关法律法规、股东（大）会
决议和企业章程，结合本企业实际，明确股东（大）会、董
事会、监事会、经理层和企业内部各层级机构设置、职责权
限、人员编制、工作程序和相关要求的制度安排。

（说白了
就是各个部门具体负责哪些内部控制）
1、组织架构设计与运行中的主要风险（P92）
2、组织架构设计环节的关键控制点及控制措施（P92）
3、组织架构运行环节的关键控制点及控制措施（P93）
2、发展战略控制
1、发展战略制定与实施中的主要风险（P94）
2、发展战略制定环节的关键控制点及控制措施（P94）
3、发展战略实施环节的关键控制点及控制措施（P94）
3、人力资源控制
1、人力资源管理中的主要风险（P95）
2、人力资源引进与开发环节的关键控制点及控制措施（P95）
3、人力资源使用与推出环节的关键控制点及控制措施（P95）
4、社会责任控制
1、履行社会责任中的主要风险（P96）
2、安全生产环节得的关键控制点及控制措施（P96）
3、产品质量环节的关键控制点及控制措施（P97）
4、环境保护与资源节约环节的关键控制点及控制措施（P97）
5、促进就业与员工权益保护环节的关键控制点及控制措施（P97）
5、企业文化控制
1、企业文化建设中的主要风险（P98）
2、企业文化培育环节的关键控制点及控制措施（P98）
3、企业文化评估环节的关键控制点及控制措施（P99）
三、业务层面控制
（谈按业务分类的内部控制，更具体了）
1、资金活动控制：企业应当科学确定投融资战略目标和规划，建立和完善严格
的资金授权、批准、审验等相关管理制度，加强资金活动的
集中归口管理，明确筹资、投资、营运等各环节的职责权限
和防卫分离要求，定期或不定期检查和评价资金活动情况，
落实责任追究制度，确保资金安全和有效运行。

1、资金活动中的主要风险（P99）
2、筹资活动中的关键控制点及控制措施（P99）
3、投资活动中的关键控制点及控制措施（P100）
4、资金营运环节的关键控制点及控制措施（P100）
2、采购业务控制：企业应当结合实际情况，全面梳理采购业务流程，建立和完
善采购业务相关的管理制度，统筹安排采购计划，明确请购、
审批、购买、验收、付款、采购后评估等环节的职责和审批
权限，按照规定的审批权限和程序办理采购业务，定期检查
和评价采购过程中的薄弱环节，采取有效控制措施，确保物
资采购满足企业生产工具经营需要。

1、采购活动中的主要风险（P101）
2、购买环节的关键控制点及控制措施（P101）
3、付款环节的关键控制点及控制措施（P101）
3、资产管理控制：企业应当加强各项资产管理，全面梳理资产管理流程，及时
发现资产管理中的薄弱环节，切实采取有效措施加以改进，
并关注资产减值迹象，合理确定资产减值损失。

重视各资产
的投保工作，采用招标等方式确定保险人，降低资产损失风
险，防范资产投保舞弊。

1、资产管理中的主要风险（P102）
2、存货管理环节的关键控制点及控制措施（P102）
3、固定资产管理环节的关键控制点及控制措施（P103）
4、无形资产管理环节的关键控制点及控制措施（P103）
4、销售业务控制：应当全面梳理销售业务流程，建立和完善销售业务相关的管
理制度和办法，确定良好的销售政策和策略，明确销售、发
货、收款等环节的职责和审批权限，按照规定的审批权限和
程序办理销售业务，定期检查分析销售过程中的薄弱环节，
采取有效控制措施，确保实现企业销售目标。

1、销售活动中的主要风险（P104）
2、销售环节的关键控制点及控制措施（P104）
3、收款环节的关键控制点及控制措施（P104）
5、研究与开发控制：应当根据发展战略，结合市场开拓和技术进步要求，科学
制定研发计划，强化研发全过程管理，规范研发行为，促
进研发成果的转化和有效利用，不断提升企业自主创新能
力。

1、研究与开发活动中的主要风险（P105）
2、立项与研究环节的关键控制点及控制措施（P105）
3、开发与保护环节的关键控制点及控制措施（P105）、
6、工程项目控制：应当建立和完善工程项目各项管理制度，全面梳理各个环节
可能存在的风险点，规范工程立项、招标、造价、建设、验
收等环节的工作流程，明确相关部门和防卫的职责权限，做
到可行性研究与决策、概预算编制与审核、项目实施与价款
支付、竣工决算与审计等不相容植物相互分离，强化工程建
设全过程的监控，确保工程项目的质量、进度和资金安全。

1、工程项目关系中的主要风险（P106）
2、工程立项环节的关键控制点及控制措施（P106）
3、工程招标环节的关键控制点及控制措施（P106）
4、工程造价环节的关键控制点及控制措施（P107）
5、工程建设环节的关键控制点及控制措施（P107）
6、工程验收环节的关键控制点及控制措施（P107）
7、担保业务控制：应当依法制定和完善担保业务政策及相关管理制度，明确担
保的对象、范围、方式、条件、程序、担保限额和禁止担保
等事项，规范调查评估、审核批准、担保执行等环节的工作
流程，按照政策、制度、流程办理担保业务，定期检查担保
政策的执行情况及效果，切实防范担保业务风险。

1、担保业务活动中的主要风险（P108）
2、调查评估与审批环节的关键控制点及控制措施（P108）
3、执行与监督环节的关键控制点及控制措施（P108）
8、业务外包控制：应当建立和完善业务外包管理制度，规定业务外包的范围、
方式、条件、程序和实施等相关内容，明确相关部门和岗位
的职责权限，强化业务外包全过程的监控，防范外包风险，
充分发挥业务外包的优势。

1、业务外包活动中的主要风险（P109）
2、承包方选择环节的关键控制点及控制措施（P109）
3、外包业务实施环节的关键控制点及控制措施（P110）
9、财务报告控制：应当严格执行会计法律法规和国家统一的会计准则制度，加
强对财务报告编制、对外提供和分析利用全过程的管理，明
确相关工作流程和要求，落实责任制，确保财务报告合法合
规、真实完整和有效利用。

1、财务报告过程中的主要风险（P110）
2、财务报告编制环节的关键控制点及控制措施（P110）
3、财务报告对外提供环节的关键控制点及控制措施（P111）
4、财务报告分析利用环节的关键控制点及控制措施（P111）
10、全面预算控制：应当加强全面预算工作的组织领导，明确预算管理体制以及
各预算执行单位的职责权限、授权批准程序和工作协调机
制。

企业应当设立预算管理委员会履行全面预算管理职责。

1、预算管理中的主要风险（P112）
2、预算编制环节的关键控制点及控制措施（P112）
3、预算执行环节的关键控制点及控制措施（P112）
4、预算考核环节的关键控制点及控制措施（P113）
11、合同管理控制：应当加强合同管理，确定合同归口管理部门，明确合同拟订、
审批、执行等环节的程序和要求，定期检查和评价合同管理
中的薄弱环节，采取响应控制措施，促进合同有效履行，切
实维护企业的合法权益。

1、合同管理中的主要风险（P113）
2、合同订立环节的关键控制点及控制措施（P113）
3、合同履行环节的关键控制点及控制措施（P114）
12、内部信息传递控制：应当加强内部信息传递，全面梳理内部信息传递过程中
的薄弱环节，建立科学的内部信息传递机制，明确内部
信息传递的内容、保密要求及密级分类、传递方式、传
递范围以及各管理层级的职责权限等，促进内部报告的
有效利用，充分发挥内部报告的作用。

1、内部信息传递过程中的主要风险（P115）
2、内部报告形成环节的关键控制点及控制措施（P115）
3、内部报告使用环节的关键控制点及控制措施（P115）
13、信息系统控制：指企业利用计算机和通信技术，对内部控制进行集成、转化
和提升所形成的信息化管理平台。

企业应当重视信息系统在
内部控制中的作用，根据内部控制要求，结合组织架构、业
务范围、地域分布、技术能力等因素，制定信息系统建设整
体规划，加大投入力度，有序组织信息系统开发、运行与维
护，优化管理流程，防范经营风险，全面提升企业现代化管
理水平。

1、信息系统开发、运行与维护过程中的主要风险（P116）
2、信息系统开发环节的关键控制点及控制措施（P116）
3、信息系统运行与维护环节的关键控制点及控制措施（P116）
四、内部控制评价
企业董事会或类似权力机构应当定期对内部控制的有效性进行全面评价、形成评价结论、初具评价报告。

内部控制有效性是指企业建立与实施内部控制对实现控制目标提供合理保证的程度，包括内部控制设计的有效性和内部控制运行的有效性。

设计有效性是指为实现控制目标所必须的内部控制要素都存在并且设计恰当。

评价内部控制设计的有效性，应充分考虑：（P117）
运行有效性指现有内部控制按照规定程序得到了正确执行。

评价内部控制运行的有效性，应充分考虑：（P117）
1、内部控制评价的原则：
1、全面性原则：（内部控制评价应当包括内部控制的设计与运行，涵
盖企业及其所属单位的各种业务和事项，对实现控制
目标的各个方面进行全面、系统、综合评价）
2、重要性原则：（内部控制评价应当在全面评价的基础上，以风险为
导向，根据风险发生的可能性及其对现实控制目标的
影响程序，确定需要评价的重要业务单位、重大业务
事项和高风险领域）
3、客观性原则：（内部控制评价应当结合企业的行业环境、发展阶段、
经营规模、业务特点等经营实际，准确揭示经营管理
中的风险状况，以事实为依据，如实反映内部控制设
计与运行的有效性，确保评价结果有充足且适当的证
据支持）
2、内部控制评价的内容与核心指标（P118表格）
3、内部控制评价的程序：一般程序为：设置内部控制评价部门、制定评价工作
方案、组成评价工作组、实施现场测试、
汇总评价结果、编报评价报告等。

1、设置内部控制评价部门：企业通常授权内部审计部门或者其他专门
机构作为内部控制评价部门，负责内部控制评价的具体组织
实施工作。

内部控制评价部门必须具备一定的设置条件：
（P122）
2、制定评价工作方案：内部控制评价部门应当根据企业实际情况和管
理要求，分析企业经营管理过程中的高风险领
域和重要业务事项，制定科学合理的评价工作
方案，经董事会批准后实施。

评价工作应
当。

（P122）
3、组成评价工作组：评价工作组在内部控制评价部门领导下，具体承
担内部控制检查评价任务。

评价工作组应
当。

（P123）
4、实施现场测试：评价工作组根据评价工作方案确定的内部控制评价
范围，入驻被评价单位，实施现场测试。

现场测
试一般步骤为：（P123）
5、汇总评价结果（P123）
6、编报评价报告：编报的评价报告送企业经理层、董事会和监事会，
由董事会最终审定后对外披露或以其他形式加以
合理利用。

（P123）
4、内部控制评价的方法：评价方法的选择应当有利于保证证据的充分性和适当
性。

1、个别访谈法：主要用于了解企业及其所属单位内部控制的基本情况。

（P124）
2、调查问卷法：常见于内部环境评价。

调查问卷一般包括填列项目、
控制描述和支持性文档等内部。

（P124）。