五部委联合发布企业内部控制配套指引

企业内部控制规范河南九洲联合会计师事务所二〇一〇年五月企业内部控制规范目录一、五部委联合下发发布企业内部控制配套指引 1二、财政部证监会审计署银监会保监会关于印发《企业内部控制基本规范》的通知（财会[2008]7号） 4 三、财政部证监会审计署银监会保监会关于印发企业内部控制配套指引的通知（财会[2010]11号） 5四、企业内部控制基本规范 1五、企业内部控制应用指引13六、企业内部控制评价指引75七、企业内部控制审计指引五部委联合发布企业内部控制配套指引4月26日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。

该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，连同此前发布的《企业内部控制基本规范》，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。

财政部副部长王军、证监会纪委书记李小雪、审计署副审计长董大胜、国资委副主任邵宁、保监会主席助理袁力、银监会银行监管一部巡视员郝爱群出席会议并就贯彻实施企业内部控制规范体系提出要求。

来自世界银行、国际会计准则理事会、国际会计师联合会、香港会计师公会、澳门特区财政局的代表参加会议并发言。

发布会由财政部会计司司长刘玉廷主持。

财政部副部长王军指出，企业内部控制配套指引的制定发布，标志着“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、层次分明、衔接有序、方法科学、体系完备”的企业内部控制规范体系建设目标基本建成，是继我国企业会计准则、审计准则体系建成并有效实施之后的又一项重大系统工程，也是财政、审计、证券监管、银行监管、保险监管和国有资产监管部门贯彻落实科学发展观、服务经济发展方式转变的重大举措。

深入贯彻实施企业内部控制规范，必将有利于进一步夯实宏观经济形势回升向好的微观基础，有利于推动我国企业经济发展方式转变，有利于促进企业全方位参与国际经济竞争，有利于维护经济金融稳定和社会公众合法权益。

加强企业文化建设，推动内部控制制度有效实施2008年6月，财政部、证监会等五部委联合发布了《企业内部控制基本规范》（以下简称基本规范），在此基础上于2010年4月联合印发了《企业内部控制应用指引第1号—组织架构》等18项应用引、《企业内部控制评价指引》和《企业内部控制审计指引》（以下简称配套指引）。

可以预见，基本规范及其配套指引的出台，必将为我国企业加快建立健全内部控制制度，防范经营和管理风险，提升公司治理水平，鼓励企业创新、增强企业绩效和投资者信心，促进可持续发展产生深远的影响和积极推动作用。

本文基于企业文化建设的视角，分别就企业文化的内涵、企业文化与内部控制关系、企业文化在内部控制中的作用及如何推动企业文化建设等方面作分析探讨，期望企业文化能够在内部控制制度建设中发挥其应有的作用，切实推动内部控制得到有效实施。

一、关于企业文化的论述和认识目前，关于企业文化的定义或内涵，国内外的学者们都有着不同的意见和看法，但总的来说，大家对企业文化内涵的理解还是比较一致。

例如，在《企业文化》一书中，特雷斯.狄尔和阿.肯尼迪认为：企业文化是由五个因素组成的系统，其中价值观、习俗仪式、文化网络和英雄人物是必要因素，而企业环境则是形成企业文化唯一且最重要的影响因素。

在《Z理论》一书中，威廉.大内就认为：一个企业的文化由其传统和风气构成。

其包含该企业的价值观，如进取性、守势和灵活性等。

在《日本企业管理艺术》一书中，有关专家认为：企业管理不仅是一门学科，还应是一种文化，即企业有一种包括自己价值观、信仰和语言的一种特定文化。

持“同心圆”观点的学者认为：企业文化包含三个同心圆，外层圆为企业的物质文化，包括企业内部的机器设备、厂房等经营生产用品；中间圆为企业的制度文化，包括企业内部的规章制度和人际关系等；内圆则是企业的精神文化，其包括企业内的价值观念、行为规范等。

还有学者认为，企业文化是企业组织在其发展过程中所形成的组织成员所共同信仰的管理哲学、行为规范和价值体系的总和。

内部控制整合框架——COSO的内控魔方清华大学宋逢明教授中国中国企业内部控制规范性文件企业内部控制规范性文件1.财政部、证监会、审计署、银监会、2008522保监会等五部委于年月日发布《企业内部控制基本规范》（财会20087【】号文） 2.五部委又于2010年4月26日联合发布《企业内部控制配套指引》包括《企业内部控制配套指引》，包括18项《企业内部控制应用指引》，以及《企业内部控制评价指引》和《企业内部控制审计指引》（财会【2010】11号文）关于COSOCOSO（The Committee ofSponsoring Organizations ofthe Treadway Commission ）the Treadway Commission是由左列五个民间机构联合发起的组织，旨在提供企业风险管理和内部控制的思想指导和管理架构。

COSO内部控制整合框架Framework）Integrated Framework （ICIF：InternalControl--IntegratedInternal Control●首次发表于1992年●金融危机后被广泛接受●在美国使用非常普遍●现在在世界范围内已被普遍使用原始的COSO内控魔方2012年的修订版商业环境的变化内控整合框架的相应变化修订时间表（正式发布时间已推迟）201020112012 9月-1月2月-10月12月-3月4月-12月有关方面的审阅和评估设计和构建公开征求意见完成定稿内部控制的定义●定义：内部控制是受到董事会、管理层和其他有关人员的活动所影响的企业管理过程，这一过程的设计是为实现以下三类企业运行的目标提供合理的保障:1企业运行（操作）的有效和效率1. 2.报告的可靠性3.合规性（符合法律和监管要求）●内部控制的涵义：1.内部控制是一个管理控制过程内部控制是个管理控制过程 2.内控是受人们活动影响的，不只是手册或一套规章制度3.为实现企业运行目标提供合理而非绝对的保障4.内控与三类运行目标（运行操作、报告和合规性）配套5.内控要与企业的组织结构相适应内部控制的作用（价值主张）1.灵活性：应对企业经改善以下三项企业表现灵活性应对营环境变化的适应能22.信心：将风险调整到3.清晰性：提供可靠的信息支持决策信息支持科学的决策Confidence外部有关方其他用户内控魔方：内控目标内控要素及其关系内控魔方：内控目标、内控要素及其关系●内控目标1.运行操作2.报告 3.合规性●内控要素1.控制的环境2.风险的评估3.控制的活动4.信息与沟通5.监控的活动●组织结构1.企业层面2.业务部门3.业务单元44.职责功能新魔方区别新旧魔方区别●内控目标的区别：非财务报告●内控要素的区别：排序变化●企业结构的区别：企业级关注原始的COSO 内控魔方新的COSO 内控魔方内控整合框架现在作很好COSO 19922012年新版本的特点现在工作很好内控整合框架年版增加对企业运行操更新的目的处理商业环境和相关风险的明显变化作、合规性和非财务报告目标的关注制订用于开发和评价内控系统的判据改进之处更新、改进并使整体框架清晰化扩展对内部报告和非财务报告的指导内容基本原则属性新版本内控整合框架将工作得更好COSO 内控整合框架2012年版（草案）四类报告的目标•用于符合外部财务/非财务报告性质外部财务报告年度财务报表年内财务报表外部非财务报告内部控制报告可持续性报告供应链/资产保管利益相关者和监管要求•按照外部标准准备报告•外收益信息披露可能受到监管部门和合同协议的约束…………………...部/内内部财务报告部门财务报表现金流量/预算内部非财务报告员工与设备支持客户满意调查•用于管理企业和决策•由管理层和董部报告银行合同计算表关键风险指标体系董事会报告事会建立对于董事会和管理层提供的帮助1.改善公司治理2了解财务报告以外的企业运行信息2. 3.支持董事会和管理层做出判断4类目标项要素4.按照内控3类目标、5项要素、17条原则及其相关的81个属性评估企业运行状况辨识和分析风险，在合适的可接受水平管理与内控目标有关的风险提升企业运行效率，降低成本内部控制原则：控制的环境原则内部控制原则控制的环境原则（共五条原则及21个相关属性）I.企业证明自己关于商业诚信和伦理价值的承诺（4个相关属性）II.董事会证明自己对于内部控制与管理层相独立的细心关注（5个相关属性）III.在董事会的关注下，管理层建立内部控制结构、报告路线和为推进实现内控目标的授权和问责系统（包括内控手册和相配的IT 系统）（3个相关属性）IV 企业证明自己开发符合内控目标的具有竞争力的人IV.力资源的承诺（4个相关属性）V 企业为实现内控目标具有强制性责任（涉及V.合规性要求）（5个相关属性）内部控制原则：风险的评估原则内部控制原则风险的评估原则（共四条原则及19个相关属性）VI.企业以足够的清晰度区分与相关内控目标有关的风险（6个相关属性）VII.企业级地辨识和分析为实现内控目标的风险，以此作为管理风险的基础（5个相关属性）VIII.企业要考虑为实现内控目标而进行风险评估时可能出现的失误（5个相关属性）IX.企业要辨识和评估可能显著影响内控系统的变化（3个相关属性）☐风险评估要素●内部控制的风险评估所评估的是与内控目标及其实现有关的风险●企业的风险战略取决于企业的风险偏好●设定可度量的目标是风险度量和控制活动的前提条件●管理发生变化时会增加风险☐风险偏好风险偏好对三类内控目标有不同的表现例●风险偏好对三类内控目标有不同的表现，例如：-报告风险偏好表现为对资产质量的要求-运行操作风险偏好和合规性风险偏好表现为企业表现的可接受水平●企业的风险偏好要符合监管和会计准则等外部要求●风险偏好必须考虑市场的同业竞争●风险偏好应以企业表现的科学度量为依据●运行操作目标与行业要求有关例如环保✓与行业要求有关，例如环保利性关注高效率使用资源✓盈利性企业关注高效率地使用资源✓企业运行目标紧密联系于企业的业绩指标，如：收入、盈利性、流动性等等✓企业在确定运行目标的同时确定企业的风险偏好●报告目标✓报告目标在于报告的可靠性✓外部报告目标-外部财务报告：符合监管、会计准则等标准-外部非财务报告：适当性，即既不过于详细也不外部非财务报告适当性，即既不过于详细也不过于简略；反映企业活动；符合第三方制订的标准✓内部报告目标-支持管理层决策和监控企业活动和表现，例如平衡计分卡、运行看板等-企业经常借用外部标准来支持运行管理●合规性目标适用的法律法规监管规定会计准则及其他标准✓适用的法律、法规、监管规定、会计准则及其他标准✓与报告目标相联系，例如有关符合劳动法、环保要求等的报告✓许多法律、法规、监管要求都具备行业特性，与市场、定价、税收、环保、劳动保护有关，诸如：-防止犯罪活动-正确报税-信息公正性-各种环保标准✓法律、法规、监管要求等都是企业合规性目标的最低要法律法规监管要求等都是企业合规性目标的最低要求，企业同样应该在自己可接受的水平上制订自己的合规性目标基本原则VI ：企业以足够：企业以足够的清晰度区分与相关的清晰度区分与相关内控目标有关内控目标有关的风险（的风险（6个相关属性）运行操作报告内部外部非财务外部财务合规性1.考虑风险偏好/所要求清晰度水平/风险特性报告报告报告2.符合外部标准和框架的合规要求/符合会计准则/风险特性/符合外部法律与监管要求3.反映管理层的选择44.反映企业活动5.包括运行和财务目标6.形成企业资源配置基础基本原则VII ：企业级地辨识和分析为实现内控目标的风险，以此作为管理风险目标的风险，以此作为管理风险的基础（的基础（5个相关属性）7.内部控制的风险辨识与分析介入到适当的企业管理层级8.为实现内控目标，在企业级、子公司级、部门级、业务单元级和职责功能级来辨识和评估风级业务单元级和职责功能级来辨识和评估风险9辨识风险要考虑内部和外部的因素及其对实现9.内控目标的影响1010.辨识风险包括分析风险的重要性11.风险评估包括对风险的反应和管理：接受风险、规避风险、降低风险、或者分担风险基本原则VIII ：企业要考虑为实现内控目标而进行风险评估时可能出现进行风险评估时可能出现的失误（的失误（5个相关个相关属性）属性）考虑风险评估能出现失误的方式资产能12.考虑风险评估可能出现失误的方式：资产可能的损失、报告可能的疏漏，以及腐败行为可能导致的后果，等等13.考虑各项风险要素：这些风险因素会影响到资产的重大损失，也会影响到有关的运行、报告产的大损失，会影响到有关的行报告和合规性问题14.评估失误的风险要考虑企业的激励和惩戒制度15.评估失误风险要考虑违规地获取、利用、损耗企业资产，错误地更改报告记录或采取其他不适当行为的机会16.评估的态度和理性：评估失误风险要考虑管理层可能如何利用和评判不适当行为基本原则IX ：企业要辨识和评估可能显著影响内控系统的变化内控系统的变化（（3个相关个相关属性）属性）17.评估可能显著影响企业实现内控目标的外部环境的变化18.评估企业商业模式的变化：考虑新的经营方式、现有业务的重大改变、收购或放弃某些业务条线、业务地域的变化、新技术的出现以及企业业务环境的重大变化的出现，以及企业业务环境的重大变化，等等企业领导和高管层的变动不同的企业领19.企业领导和高管层的变动，不同的企业领导人对内控有各自不同的看法内部控制原则控制的活动原则内部控制原则：控制的活动原则（共三条原则及16个相关属性）X.企业要挑选和开发这样的控制活动，此类活动能够为实现内控目标缓解风险至可接受水平做出贡献（内控手册制订政策表）（6个相关属性）企业要挑选和开发为实现内控目标的技术支持手XI.段（人工的和/或自动的）（4个相关属性）企要清楚制订内控政策使内控政策清晰XII.企业要清楚地制订内控政策，使内控政策清晰地建立所预期的效果和相关流程（流程的风险点和相应的控制政策）（6个相关属性）内部控制原则：信息与沟通的原则（共三条原则及14个相关属性）XIII.企业要获取、生成、和使用能够支持内控其他要素的相关的高质量的信息（5个相关属性）XIV.企业要在内部沟通信息，这些信息对于支持内控其他要素是必须的，包括内控的目标和责任信息（4他要素是必须的包括内控的标和责任信息个相关属性）XV.企业也要与外部有关方面进行沟通，此类沟通会影响到内控的其他要素（5个相关属性）内部控制原则：监控的活动原则内部控制原则监控的活动原则（共二条原则及11个相关属性）XVI.企业挑选、开发和推行综合的和/或分开的内控各要素工作状况的评估以确认内控各要素的功能要素工作状况的评估，以确认内控各要素的功能是否正常（7个相关属性）旦出现内控缺陷企业要及时地予以评估并与XVII.一旦出现内控缺陷，企业要及时地予以评估并与有关责任方面沟通，以便立即采取改正活动，包括报告高管层和董事会（4个相关属性）基本原则概述（新版本中加入了17条基本原则及其相关属性条基本原则及其相关属性））I证明关于商业诚信和伦理的承诺（控制的环境（21个相关属性）I.4个相关属性）II.细心关注的责任（5个相关属性）III.构建结构、授权与问责系统（3个相关属性）IV.证明有竞争力的人力资源开发（4个相关属性）风险的评估（19个相关属性）V.强制性责任（5个相关属性）VI.分辨相关内控目标（6个相关属性）VII.辨识和分析风险（5个相关属性）VIII控制的活动（16个相关属性）VIII.评估失误的风险（5个相关属性）IX.辨识评估变化（3个相关属性）X.挑选开发控制活动（6个相关属性）信息与沟通（14个相关属性）XI.挑选开发内控的技术手段（4个相关属性）XII.制订内控政策和流程（6个相关属性）XIII.利用有关信息（5个相关属性）监控的活动（11个相关属性）XIV.内部沟通（4个相关属性）XV.外部沟通（5个相关属性）XVI.综合和/或分开的评估（7个相关属性）XVII.评估和报告内控失误（4个相关属性）内部控制的有效性1.内部控制的有效性和合规性：有效的内控系统为实现企业整体经营目标提供合理的保障一旦出现不合规行为业整体经营目标提供合理的保障，旦出现不合规行为，就证明内控系统失效2.内控的有效性是通过相对于五项内控要素来进行评估，要看这五项内控要素是否起工作要看这五项内控要素是否一起工作3.当内控系统被确定对三类内控目标（企业运行操作、报告和合规性）都是有效的，董事会和管理层就可认为相对于自己的企业结构获得了合理的保障：•在企业的业务范围内，企业运行的管理有效而且高效率•企业提供了可靠的报告•企业运行符合现行的法律法规董事会和高管层评估内控系统的有效性要考虑内控基本4.原则结合五项内控要素，内控基本原则由与之相关的属性来支持，评估内控系统有效性并不要求体现所有的相关属性内部控制的局限性●企业内部控制系统作为预设条件的目标设定是否有质量和是否恰当●内控的许多环节取决于人的判断，判断失误会导致错误的决策●人的简单失误可能会导致整个内控系统崩溃●内控环节可能因两人或若干人的串谋而被破坏●管理层可能使用权力否决内控决策内部控制的责任人●董事会：指导和要求管理层开发内控系统●高管层：CEO 在其他高管支持下负责内控系统的开发和实施●其他有关人员：各层级经理及有关人员各负其责●内审部门：在内审计划中安排对内控系统的运行审查并关注内控系统的变化外部审计师：除了财务报告的可靠性外还要通过关注内控的●外部审计师：除了财务报告的可靠性外，还要通过关注内控的基本原则和要素来评估内控系统（也可以采用评估工具）●监管部门：根据内控的要素和基本原则来监管内控的局限性和可能出现的失误●其他专业组织：提供内控系统运行的指导和报告，帮助制订合规性标准来与COSO 内控框架进行比较●教育培训机构：帮助企业开发内控方面的有竞争力的人力资源风险管理vs.风险管内部控制传统的风险管理是预期收益风险的权衡实际●/风险的权衡，实际上是预期收益/预期损失的权衡资本监管要求下的风险管理不但要考虑预期损失●资本监管要求下的风险管理不但要考虑预期损失，而且要关注非预期损失，非预期损失依靠自有资本来保护●风险管理实质上就是如何预防风险如何应对风险内部控制则是为实内控标而进行的控制动●内部控制则是为实现内控目标而进行的控制活动●风险管理和内部控制都有赖于企业的风险偏好风险意愿风险容忍和风险偏好风险意愿、风险容忍和风险偏好●风险意愿（risk appetite）：企业在一个宽广的水平上，为推进价值创造愿意接受的风险的量（COSO的定义）●风险容忍（risk tolerance）：风险表示为价值的变动，风险容忍是可接受的变动范围（COSO的变动风险容忍是可接受的变动范围（定义）风险偏好（risk preference）人们选择接受较多●risk preference）：人们选择接受较多或较少风险的倾向风险偏好和风险意愿的涵义很接近在金融风险偏好和风险意愿的涵义很接近，在金融理论中，风险偏好用效用函数的形态来刻画。

企业内部控制规范——基本规范（征求意见稿）第一章总则第一条为了引导和推动企业建立健全内部控制，提高企业内部控制与经营管理水平，促进企业健康可持续发展，维护社会主义市场经济秩序和社会公众利益，依据《中华人民共和国会计法》、《中华人民共和国公司法》、《中华人民共和国证券法》以及其他有关法律、行政法规的规定，制定本规范。

第二条企业内部控制规范包括基本规范、具体规范和应用指南等。

基本规范规定企业内部控制的基本目标、基本要素、基本原则和总体要求，是制定具体规范和应用指南的基本依据。

具体规范和应用指南根据基本规范制定，是对企业有效执行基本规范作出的具体规定和应用说明。

第三条本规范适用于中华人民共和国境内的大型企业、上市公司和其他涉及重大公众利益的企业（以下简称企业）。

中小企业和其他有关单位可以参照本规范和具体规范建立健全本单位的内部控制。

第四条本规范所称内部控制，是指由企业董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构，以下简称董事会）、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动：（一）企业战略；（二）经营的效率和效果；（三）财务报告及管理信息的真实、可靠和完整；（四）资产的安全完整；（五）遵循国家法律法规和有关监管要求。

有义务对外提供财务报告的企业，应当确保财务报告及管理信息的真实、可靠和完整，具备条件的，还应同时实现其他控制目标。

第五条企业内部控制涵盖企业经营管理的各个层级、各个方面和各项业务环节。

不同所有制形式、不同组织形式、不同行业、不同规模的企业可以结合实际情况，从不同的角度入手建立健全内部控制。

但是，建立有效的内部控制，至少应当考虑以下基本要素：（一）内部环境。

内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。

内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。

目录一、企业内部控制应用指引……………………………………1---741、第一号组织架构2、第2号发展战略3、第3号人力资源4、第4号社会责任5、第5号企业文化6、第6号资金活动7、第7号采购业务8、第8号资产管理9、第9号销售业务10、第10号研究与开发11、第11号工程项目12、第12号担保业务13、第13号业务外包14、第14号财务报告15、第15号全面预算16、第16号合同管理17、第17号内部信息传递18、第18号信息系统二、企业内部控制评价指引……………………………………75--80三、企业内部控制审计指引……………………………………81--95附件1:企业内部控制应用指引企业内部控制应用指引第1号—组织架构第十条总则第一条为了促进企业实现发展战略,优化治理结构、管理体制和运行机制,建立现代企业制度,根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》,制定本指引。

第二条本指引所称组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

第三条企业至少应当关注组织架构设计与运行中的下列风险:(一)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。

(二)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。

第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。

董事会对股东(大)会负责,依法行使企业的经营决策权。

可按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持。

企业内控案例分析题2010年4月，财政部、证监会和审计署等五部委联合发布了《企业内部控制配套指引》，连同2008年5月发布的《企业内部控制基本规范》，构建成我国企业内部控制规范体系，自2011年1月1日起先在境内外同时上市的公司施行，鼓励非上市大中型企业提前执行。

A 公司作为境内外同时上市的公司，决定抢抓机遇，早做准备，全面启动内部控制体系实施工作，并指定财务总监负责拟订实施方案。

该方案要点如下：(一)加强领导，健全组织为了提升内控工作的权威性，成立内部控制体系实施领导小组，由董事长亲自挂帅担任组长，总经理担任第一副组长，财务总监和各位副总经理担任副组长。

同时，领导小组下设办公室，办公室设在财务部，相关部门参与其中，由财务部经理兼任办公室主任。

办公室主要负责组织协调内部控制的建立、实施以及其他日常工作。

待时机成熟，成立专门的内控部门。

(二)梳理业务流程，完善内控制度聘请负责本公司财务报表审计的B会计师事务所提供咨询，对照《企业内部控制基本规范》和《企业内部控制配套指引》的要求，结合公司实际，全面梳理现有各项业务流程，识别主要风险和关键控制点。

在此基础上，制定《公司内部控制手册》。

在梳理流程、完善《公司内部控制手册》过程中，应当主要围绕内部控制五要素中的风险评估和控制活动展开，切实加强对各项经营业务的风险控制。

(三)狠抓宣传培训，统一思想认识利用举办培训班、开设网络课堂、编发专题资料等多种形式开展宣传培训，力争在3个月内将公司所有员工轮训一遍，全面掌握《企业内部控制基本规范》、《企业内部控制配套指引》和《公司内部控制手册》。

(四)升级信息系统，优化控制手段为促进内部控制流程与信息系统的有机结合，实现业务和事项的自动控制，请本公司ERP系统提供商根据《企业内部控制基本规范》、《企业内部控制配套指引》和《公司内部控制手册》，协助制定信息系统建设和升级整体规划，经本公司信息网络中心批准后实施。

(五)开展试运行，做好全面实施准备2010年11月，选择本公司部分职能部门、分公司和子公司开展内部控制试运行，及时发现和解决试运行中存在的问题，积累经验，为2011年1月1日起全面实施做好充分准备。

于2010年4月26日，五部委又联合发布了《企业内部控制配套指引》。

该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。

至此，中国企业内部控制规范体系基本建成。

3. 内部控制内部控制是由公司董事会、管理层和其他有关人员实施，为实现以下目标提供合理保证而设计的程序，其目标包括业务运营的有效性和高效率、财务报告的可靠性及遵守适用的法律及法规。

4. 业务单位（BU）业务单位的定义取决于该公司的性质和组织构架。

业务单位可以是法人机构(子公司)，一个部门或一个营运场所(如: 工厂或营业部)。

管理层确定用于界定和测试的业务单位时，必须进行大量的判断。

选择业务单位目的是确保内控程序在其执行的层面上得到评估和测试。

下面列出的是在确定业务单位时可以考虑的事项：λ · 财务信息的来源(如，法人机构、业务单位、工厂或营业部)· 公司各层面的中央集中处理程序/共享会计服务的程度λ· 地区性机构λλ · 法律结构· 管理层结构/行政划分λ· 适用于权益法核算的投资λ· 按照FIN 46合并的机构λ5. 风险控制矩阵（RCM）风险控制矩阵是国际上普遍使用的风险管理工具之一，它为确保所有有关的内部控制都得到了充分的记录提供了一个严谨的架构，并为识别内控缺陷提供了一个结构性的机制，有利于内控标准化记录的使用。

6. 业务流程或业务循环业务流程或业务循环是确保公司完成任务及实现业务目标的一系列活动。

这些活动可能按复杂性进行排列，从执行简单活动(如处理发票)到管理业务运行的关键要素(如批发商的存货管理和配送系统)，到执行职能性任务(如保留机构的财务记录)，再到跨职能要素(如机构的人力资源部门)。

7. 子流程或子循环子流程或子循环是机构管理层专门制定会计流程和内控的一组交易。

例如，收入和应收账款业务流程可能包括子流程，如开出发票、定价或处理现金收款。

内控合规管理岗位资格考试习题集一、判断题1．财政部等五部委联合发布的《企业内部控制基本规范》建立了我国企业内部控制的总体框架。

（）答案：对命题依据：教材第一章，第一节2．财政部等五部委2010年联合发布的《企业内部控制配套指引》包括应用指引、评价指引和审计指引。

（）答案：对命题依据：教材第一章，第一节3．财政部等五部委联合发布的《企业内部控制配套指引》中各类指引相互独立，互不衔接。

（）答案：错命题依据：教材第一章，第一节4．财政部等五部委联合发布的《企业内部控制配套指引》中的审计指引主要是为企业内部审计部门执行审计提供指引。

（）答案：错命题依据：教材第一章，第一节5．内部控制仅是内控管理部门的责任。

（）答案：错命题依据：教材第一章，第一节6．内部控制是对企业生产经营过程的控制，也是对实现企业发展目标过程的控制，覆盖所有业务、产品和环节，是全过程控制。

（）答案：对命题依据：教材第一章，第一节7．内部控制是一个不断改进完善的动态过程，随着内外部环境变化而进行优化调整，只有起点，没有终点。

（）答案：对命题依据：教材第一章第一节8．内部控制的最终目标是促进企业提高经营效率和效果。

（）答案：错命题依据：教材第一章，第一节9．内部控制要对企业经营管理合法合规、资产安全、财务报告及相关信息真实完整等提供绝对保证。

（）答案：错命题依据：教材第一章，第一节10．不相容机构、岗位或人员的互相分离和制约体现了内部控制的制衡性原则。

（）答案：对命题依据：教材第一章，第一节11．内部环境是影响、制约企业内部控制制度建立与执行的各种内部因素的总称，是企业实施内部控制的基础。

（）答案：对命题依据：教材第一章第一节12．不相容职务是指那些不能由一个部门或人员兼任，否则可能发生弄虚作假或舞弊行为的职务。

（）答案：对命题依据：教材第一章，第一节13．信息与沟通贯穿于内部控制体系的内部环境、风险评估、控制活动、内部监督全过程。

（）答案：对命题依据：教材第一章，第一节14．对银行从业人员来讲，合规不仅要遵循外部监管法规准则，也要遵守银行内部规章制度和相关要求。

企业内部控制基本规范一、单选题1、（），财政部等五部委发布《企业内部控制基本规范》，随后发布了企业内部控制配套指引（应用指引、评价指引和审计指引），要求上市公司每年出具内部控制评价报告和内部控制审计报告。

A、2008年5月22日B、2009年5月22日C、2010年5月22日D、2011年5月22日【正确答案】A【您的答案】【答案解析】2008年5月22日，财政部等五部委发布《企业内部控制基本规范》，随后发布了企业内部控制配套指引（应用指引、评价指引和审计指引），要求上市公司每年出具内部控制评价报告和内部控制审计报告。

2、《企业内部控制基本规范》自（）起实施。

A、2009年7月1日B、2010年7月1日C、2011年7月1日D、2012年7月1日【正确答案】A【您的答案】【答案解析】《企业内部控制基本规范》自2009年7月1日起实施。

3、（）是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

A、内部环境B、风险评估C、控制活动D、内部控制【正确答案】B【您的答案】【答案解析】本题考查风险评估。

4、（）是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

A、内部环境B、风险评估C、控制活动D、内部控制【正确答案】A【您的答案】【答案解析】本题考查内部环境。

5、（）是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

A、内部环境B、风险评估C、信息与沟通D、内部控制【正确答案】C【您的答案】【答案解析】信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

6、（）是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

A、内部环境B、风险评估C、信息与沟通D、内部监督【正确答案】D【您的答案】【答案解析】本题考查内部监督。

财政部等五部委联合发布《企业内部控制配套指引》2010年4月26日财政部新闻办公室4月26日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。

该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，连同此前发布的《企业内部控制基本规范》，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。

财政部副部长王军、证监会纪委书记李小雪、审计署副审计长董大胜、国资委副主任邵宁、保监会主席助理袁力、银监会银行监管一部巡视员郝爱群出席会议并就贯彻实施企业内部控制规范体系提出要求。

来自世界银行、国际会计准则理事会、国际会计师联合会、香港会计师公会、澳门特区财政局的代表参加会议并发言。

发布会由财政部会计司司长刘玉廷主持。

财政部副部长王军指出，企业内部控制配套指引的制定发布，标志着“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、层次分明、衔接有序、方法科学、体系完备”的企业内部控制规范体系建设目标基本建成，是继我国企业会计准则、审计准则体系建成并有效实施之后的又一项重大系统工程，也是财政、审计、证券监管、银行监管、保险监管和国有资产监管部门贯彻落实科学发展观、服务经济发展方式转变的重大举措。

深入贯彻实施企业内部控制规范，必将有利于进一步夯实宏观经济形势回升向好的微观基础，有利于推动我国企业经济发展方式转变，有利于促进企业全方位参与国际经济竞争，有利于维护经济金融稳定和社会公众合法权益。

他强调，财政部将会同国务院有关部门扎实抓好企业内部控制规范体系的贯彻实施工作：一是着力开展各种行之有效的内控宣传，在全社会营造一种注重风险防范、强化责任意识、崇尚诚实守信、履行社会责任的内控文化，为全面贯彻实施企业内部控制规范体系奠定良好的环境基础；二是着力实施全方位、全覆盖的内控规范培训，重点培训企业高级管理人员和相关监管部门的工作人员，并将内控规范培训纳入会计人员继续教育内容；三是着力做好企业内控规范体系实施前的各项准备工作，确保实施工作平稳、有序、顺利进行；四是着力推进企业内部控制规范国际交流与合作，争取在内部控制建设所依据的规范、内部控制审计所遵循的准则及注册会计师相关业务监管要求等方面，建立互认机制，切实降低中国企业境外融资成本。

《企业内部控制基本规范及配套指引》一、内部控制演进发展历程及其启示本世纪40年代前的内部牵制，40年代末至70年代的内部控制制度，70年代至90年代初的内部控制结构，90年代开始的内部控制框架结构以及2006年开始的双轨制运行体系。

内部控制的演进遵循着“内部牵制——内部控制制度——内部控制结构——内部控制整体框架——双轨制运行”五个历史阶段的演变轨迹。

（一）演进发展历程1.内部牵制阶段（会计系统牵制）内部牵制思想以账目间的相互核对为主要内容并实施岗位分离，这在早期被认为是确保所有账目正确无误的一种理想控制方法。

我国系统的内控制度建设是在有了《会计法》之后。

1999年修订的《会计法》第一次以法律的形式对建立健全内部控制提出原则要求，财政部随即连续制定发布了《内部会计控制规范———基本规范》等7项内部会计控制规范。

美国于1934年出台的《证券法》类似我国的《会计法》，对内部控制进行了规范。

2.内部控制制度阶段内部控制制度思想认为内部控制应分为内部会计控制和内部管理控制（或称内部业务控制）两个部分，前者在于保护企业资产、检查会计数据的准确性和可靠性，后者在于提高经营效率、促使有关人员遵守既定的管理方针。

由内部牵制逐渐演变为涉及组织结构、岗位职责、业务程序、处理手续等因素构成等制度阶段。

这一观点是1958年AICPA发布的第29号审计程序公告《独立审计人员评价内部控制的范围》提出的。

3.内部控制结构阶段企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”，并且明确了内部控制结构的内容为控制环境、会计系统和控制程序三个要素，首次提出控制环境。

该观点是1988年AICPA发布的《审计准则公告第55号》中提出的，我国1997年实施的《独立审计具体准则第9号——内部控制与审计风险》套用了这一理论。

4.内部控制框架阶段（COSO报告）内部控制框架包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。

财政部、证监会、审计署、银监会、保监会日前联合发布《企业内部控制基本规范》证监会等五部委联合发布企业内部控制基本规范财政部、证监会、审计署、银监会、保监会日前联合发布的《企业内部控制基本规范》规定，执行基本规范的上市公司，应对本公司内部控制的有效性进行自我评价，披露年度自我评价报告。

财政部、证监会、审计署、银监会、保监会日前联合发布的《企业内部控制基本规范》规定，执行基本规范的上市公司，应对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格中介机构对内部控制的有效性进行审计。

基本规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。

财政部副部长王军在基本规范发布会上指出，下一阶段要着力抓好实施准备工作，研究制定具体实施办法，采取有效措施降低企业实施成本，稳步扩大基本规范实施范围；推进内控国际趋同，通过促成我国内部控制标准与国际内部控制框架的趋同乃至等效，为支持我国企业走出去提供积极支持。

据介绍，基本规范确立了我国企业建立和实施内部控制的基础框架，开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制，要求企业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系；国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查。

企业内控规范有利资本市场健康发展证监会将完善和修订信披有关规定中国证监会纪委书记李小雪日前表示，《企业内部控制基本规范》的发布和实施，对加强资本市场监管、提高监管质量和效率将发挥积极的促进作用。

证监会将积极推进基本规范的贯彻执行，还将完善和修订信息披露的有关政策规定，组织交易所、证券行业协会结合基本规范进一步完善和修订上市公司内部控制指引。

李小雪在企业内部控制基本规范发布会上提出，证监会将完善对上市公司内部控制的政策指导，开展深入的调查研究，对不同类型、不同发展阶段的上市公司加强指导，进一步提出上市公司执行基本规范的具体要求。

财政部会计司司长解读《企业内部控制配套指引》[提要]应用指引可以划分为三类，即内部环境类指引、控制活动类指引、控制手段类指引，基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。

刘玉廷强调，构建企业、注册会计师和有关监管部门三位一体的、有效的内外部监督评价体系是确保企业内部控制规范体系顺利实施的重要保证。

全面提升企业经营管理水平的重要举措――财政部会计司司长刘玉廷解读《企业内部控制配套指引》新华网北京５月５日电（记者罗沙、韩洁）财政部日前会同证监会、审计署、国资委、银监会、保监会等部门发布了《企业内部控制配套指引》。

财政部会计司司长刘玉廷５日就如何理解和把握其主要内容和精神实质进行了解读。

相关新闻：∙天津市健全完善企业内部控制和风险管理机制∙《企业内部控制配套指引》将在上市公司施行∙《企业内部控制配套指引》发布∙五部委联颁《企业内部控制配套指引》∙财政部等五部联合发布《企业内部控制配套指引》刘玉廷表示，该配套指引连同２００８年５月发布的《企业内部控制基本规范》，共同构建了中国企业内部控制规范体系。

这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措，也是我国应对国际金融危机的重要制度安排。

他表示，配套指引由２１项应用指引（此次发布１８项，涉及银行、证券和保险等业务的３项指引暂未发布）、《企业内部控制评价指引》和《企业内部控制审计指引》组成。

其中，应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占据主体地位；企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引；企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。

三者之间既相互独立，又相互联系，形成一个有机整体。

应用指引可以划分为三类，即内部环境类指引、控制活动类指引、控制手段类指引，基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。

第一部分内部控制规范的背景及框架介绍一、我国《企业内部控制基本规范》出台的背景1999年修订的《会计法》第一次以法律的形式对建立健全内部控制提出原则要求，第27条规定：各企业应当建立、健全本企业内部会计监督制度。

企业内部会计监督制度应当符合下列要求：①记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确，并相互分离、相互制约；②重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确；③财产清查的范围、期限和组织程序应当明确；④对会计资料定期进行内部审计的办法和程序应当明确。

财政部从2001年开始连续制定发布了《内部会计控制规范——基本规范》等7项内部会计控制规范，2001年以来，财政部先后发布《基本规范（试行）》（2001）和涉及货币资金（2001）、采购与付款（2002）、销售与收款（2002）、工程项目（2003）、担保（2004）、对外投资（2004）的六个具体控制规范，同时印发了固定资产、存货、筹资、成本费用、预算等控制规范的征求意见稿。

中国人民银行于2002年9月7日制定发布了《商业银行内部控制指引》。

2005年1月，银监会又发布《商业银行内部控制评价试行办法》。

2003年12月，审计署发布第5号令《审计机关内部控制测评准则》（简称《准则》），提出建立健全内部控制并保证其有效实施是被审计单位的责任，审计人员的责任是对内部控制的健全性和有效性进行评价。

《准则》借鉴COSO报告，将内部控制定义为被审计单位为了维护资产的安全、完整，确保会计信息的真实、可靠，保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规，而制定和实施相关政策、程序和措施的过程。

内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。

2005年11月，国务院批转证监会发布《关于提高上市公司质量意见》。

2006年，上海证券交易所根据证监会《关于提高上市公司质量意见》等法律法规，制定发布了《上市公司内部控制指引》。

关于印发企业内部控制配套指引的通知财会[2010]11号中直管理局，铁道部、国管局，总后勤部、武警总部，各省、自治区、直辖市、计划单列市财政厅（局）、审计厅（局），新疆生产建设兵团财务局、审计局，中国证监会各省、自治区、直辖市、计划单列市监管局，中国证监会上海、深圳专员办，各保监局、保险公司，各银监局、政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、资产管理公司，各省级农村信用联社，银监会直接管理的信托公司、财务公司、租赁公司，有关中央管理企业：为了促进企业建立、实施和评价内部控制，规范会计师事务所内部控制审计行为，根据国家有关法律法规和《企业内部控制基本规范》（财会［2008］7号），财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》（以下简称企业内部控制配套指引），现予印发，自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。

鼓励非上市大中型企业提前执行。

请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。

执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。

上市公司聘请的会计师事务所应当具有证券、期货业务资格；非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。

执行中有何问题，请及时反馈我们。

附件：1.企业内部控制应用指引2.企业内部控制评价指引3.企业内部控制审计指引财政部证监会审计署银监会保监会二〇一〇年四月十五日。

（财务内部管控）内控评价案例案例分析题一2010年4月，财政部，证监会和审计署等五部委联合发布了《企业内部控制配套指引》，连同2008年5月发布的《企业内部控制基本规范》，构建了我国企业内部控制规范体系。

自2011年1月1日起先在境内外同时上市的公司施行，鼓励非上市大中型企业提前执行，A公司作为境内外同时上市的公司，决定抢抓机遇，早作准备，全面启动内部控制体系实施工作，并指定财务总监负责拟定实施方案，该方案要点如下：（一）加强领导，键全组织。

为了提升内控工作的权威性，成立内部控制体系实施领导小组，由董事长亲自挂帅担任组长，总经理担任第一副组长，财务总监和各位副总经理担任副组长。

同时，领导小组下设办公室，办公室设在财务部，相关部门参与其中。

由财务部经理兼任办公室主任。

办公室主要负责组织协调内部控制的建立、实施以及其他日常工作。

待时机成熟，成立专门的内控部。

（二）梳理业务流程，完善内控制度。

聘请负责本公司财务报表审计的B会计师事务所提供咨询，对照《企业内部控制基本规范》和《企业内部控制配套指引》的要求，结合公司实际；全面梳理现有各项业务流程，识别主要风险和关键控制点。

在此基础上,制定《公司内部控制手册》。

在梳理流程、完善《公司内部控制手册》过程中，应当只要围绕内部控制五要素中的风险评估和控制活动展开，切实加强对各项经营业务的风险控制。

（三）狠抓宣传培训，统一思想认识。

利用举办培训班、开设网络课堂、编发专题资料等多种形式开展宣传培训，力争在3个月内将公司所有员工轮训一遍，全面掌握《企业内部控制基本规范》、《企业内部控制配套指引》和《公司内部控制手册》。

（四）升级信息系统，优化控制手段。

为促进内部控制流程与信息系统的有机结合，实现业务和事项的自动控制，请本公司ERP系统提供商根据《企业内部控制基本规范》、《企业内部控制配套指引》和《公司内部控制手册》，协助制定信息系统建设和升级整体规划，经本公司信息网络中心批准后实施。

互联网企业的内部控制随着社会经济的不断发展，“科技创新”俨然已成为时下最热词。

在网络技术不断革新的今天，一批批大型互联网企业竞争激烈，作为新兴产业链，面临的不仅仅是机遇，更有挑战。

近年来，我国颁布了一系列关于会计内部控制系统的文件，2008年财政部等五部委联合发布了《企业内部控制基本规范》，2010年，五部委又联合发布了《企业内部控制配套指引》（包括应用指引、评价指引和审计指引），2010年7月财政部会计司发布了《企业内部控制规范讲解》；自2011年1月1日期在境内外同时上市公司实行，2012年1月1日在上交所和深交所上市的公司施行。

这意味着，无论是国家层面还是企业自身发展，内部控制占据着越来越重要的地位，互联网企业更甚。

核心目的是在介绍基本内控体系和框架的基础上，结合互联网企业自身的特点，优化其内部控制体系，以更好地帮助企业实现利润最大化和股东财富最大化。

借鉴还是创新，因互联网企业自身的独有特色，所以在进行内部控制时要时刻考虑自身特点，与企业战略目标挂钩，做到措施切实可行，使之为企业创造更多的财富。

标签：互联网；内部控制；策略；方法；现状1 互联网企业的内控现状回顾中国互联网企业的发展历程，就内部控制而言也只有不到十五年的历史。

但在这短短的时间里，内控在互联网企业中的发展却出现了两极分化的现象。

在许多大型互联网企业中，内部控制已经走过了混沌阶段，实践和发展已经逐渐迈向成熟，但对于更多的中小型互联网企业来说，内部控制的发展仍然处于初级阶段，因缺乏较完善的内部控制系统而造成巨大财务损失，以致面临破产清算的企业比比皆是。

在实施内部控制时，要紧紧以企业战略目标为核心和导向，以增加企业效率和效益为宗旨，在实施过程中不断改进与完善，把它作为最终实现企业利润最大化和股东财富最大化的坚实工具。

因此，在中国互联网企业中，内部控制的发展大概经历了以下三个阶段。

（1）萌芽阶段：在这个时期，大部分的企业高管可能具有内部控制的意识，也实施了一些措施，但大多都是自发行为，没有定义化。