第一章《企业内部控制基本规范》讲解

第一章《企业内部控制基本规范》讲解
一、关于总则
（一）内部控制的意义和依据
《基本规范》第一条阐明了制定与实施内部控制规范的意义。

一是加强和规范企业内部控制的需要。

二十有助于全面提升企业经营管理水平和风险防范能力，促进企业可持续发展。

三是有利于维护社会主义市场经济秩序和社会公众利益。

根据《基本规范》第一条规定，制定企业内部控制规范的基本依据是《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他法律法规。

（二）企业内部控制规范的实施范围和时间安排
《基本规范》第二条明确规定，企业内部控制规范适用于中华人民共和国境内设立的大中型企业。

自2011年1月1日起在境内外同时三是的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。

对非上市公司的大中型企业，包括国有企业、国有控股企业和外商投资企业等，鼓励提前执行。

小企业和其他单位可以参照内部空盒子规范建立与实施内部控制。

对于其他单位包括行政事业单位和非营利组织，财务部将待企业内部控制规范体系建设与实施有序推开后，择机推进非企业单位的内部控制规范研究制定工作。

（三）内部控制的定义和目标
《基本规范》第三条明确指出，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

首先，它强调了企业领导者尤其是董事会、监事会和经理层在建立与实施内部控制中的作用。

其次，它明确了内部控制是全体员工的共同责任。

最后，它指明了内部控制是一个过程。

《基本规范》第三条第二款规定了颞部控制的目标为五个方面：一是合理保证企业经营管理合法合规；二是维护资产安全；三是保证财务报告及相关信息真实完整；四是提高经营效率和效果；五是促进企业实现发展战略。

（四）内部控制的原则
《基本规范》第四条规定了企业建立与实施内部控制的五项原则：一是全面性原则；二是重要性原则；三是制衡性原则；四是适应性原则；五是成本效益原则。

（五）内部控制的要素
《基本规范》第五条规定了内部控制的五要素，即内部环境、风险评估、控制活动、信息与沟通和内部监督。

（六）内部控制的组织实施
《基本规范》的第六条至第十条分别从企业、政府部门、中介机构三个不同的角度对确保企业内部控制的有效实施提出严格要求。

第一，企业建立和实施内部控制，至少要做好三个方面的工作。

一是按照《基本规范》第六条的规定，根据有关法律法规、本规范及配套指引，制定本企业的内部控制制度并组织实施。

二是按照《基本规范》第七条的规定，根据修订后的企业内控制度和管控流程，组织软件专业人员对现有的信息系统进行改造升级，将优化后的流程固化到信息系统中，促进内部控制流程与信息系统的有机稽核，从而实现对业务和事项的自动控制，减少或消除人为操作因素。

三是根据《基本
规范》第八条的规定，建立和完善实施内部控制的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考核体系，促进内部控制的有效实施。

第二，企业应当聘请注册会计师对内部控制的建立与实施情况进行审计，并出具审计报告。

第三，强化政府有关监督部门对企业建立与实施内部控制的行政监督。

二、关于内部环境
《基本规范》第五条规定，内部环境是企业建立与实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

内部环境是内部控制其他四个构成要素的基础，在企业内部控制建立与实施中发挥着基础性作用。

（一）组织架构
《基本规范》第十一条明确规定，企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限。

《基本规范》第十四条规定，企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。

《基本规范》第十二条和第十三条规定了董事会、监事会、经理层在内部控制建立与实施方面的职责权限。

一是强调了董事会对内部控制的建立健全和有效实施负责；二是经理层负责组织领导企业内部控制的日常运行。

（二）人力资源
人力资源作为内部环境的重要组成部分，是指企业在建立和完善组织架构的基础上，如何充分发挥“人”的作用。

《基本规范》第十六条和第十七条规定，企业应当制定和实施有利于企业可持续发展的人力资源政策，明确了人力资源政策的主要内容，强调要将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。

（三）企业文化
《基本规范》第十八条和第十九条对企业文化建设提出了基本要求，规定企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导团队协作精神，梳理现代管理理念，强化风险意识；同时，强调董事、监事、精力及其它高级管理人员应当在文化建设中发挥主导作用，强调高管人员应增强法律观念和意识，严格依法决策、依法办事、依法监督。

（四）内部审计
《基本规范》第十五条规定，企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。

内部审计在内部控制中的职责主要是对内部控制的有效性进行监督检查，对监督检查中发现的内部控制重大缺陷，有权直接向董事会计其审计委员会和监事会报告。

三、关于风险评估
风险评估由目标设定、风险识别、风险分析和风险应对构成。

（一）目标设定
《基本规范》第二十条规定，企业应当根据设定的控制目标，全面系统持续低收集相关信息，结合实际情况，及时进行风险评估。

（二）风险识别
《基本规范》第二十三条和第二十二条列示了企业内外部各种风险因素。

在企业生产经营过程中，应将各类风险进行分类整理，形成企业的风险清单。

（三）风险分析
根据《基本规范》第二十四条的规定，风险分析是指在风险识别的基础上，采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

风险的定性分析，指通过观察与分析，借助于经验和判断对风险进行分析的方法。

风险的定量分析，指运用一些数据分析模型，将有关风险及其影响予以量化，在此基础上判断风险重要性程度的方法。

（四）风险应对
风险应对是指风险应对策略的选择。

根据《基本规范》第二十五条的规定，企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。

风险应对策略包括风险规避、风险降低、风险分担和风险承受。

四、关于控制活动
控制活动是指结合具体业务和事项，运用相应的控制政策和程序，或称控制手段实施控制。

《基本规范》第二十八条规定，企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。

控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。

（一）不相容职务分离控制
《基本规范》第二十九条规定，不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

不相容职务分离是企业内部控制基本的控制手段。

不相容职务是指那些不能由一个部门或人员兼任，否则可能弄虚作假或易于掩盖其作弊行为的职务。

不相容职务分离措施的理念基础是两个或两个以上的部门或人员无意识地犯有同样错误的可能性小，而有意识地合伙作弊的可能性低于一个部门或人员舞弊的可能性。

做到不相容职务的分离应当考虑以下几个方面：一是每类经济业务的发生与完成，不论是简单还是复杂，必须经过两个或两个以上的部门或人员，并保证业务循环中的有关部门和有关人员之间进行检查与核对；二是全力与职责应当明确地授予具体的部门和人员；三是对于重要权力的行使必须接受定期独立的检查等。

（二）授权审批控制
《基本规范》第三十条规定，授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。

授权审批控制应当实现：一是企业所有人员未经授权，不能行使相应权力；二是企业的所有业务未经授权不能执行；三是对于审批人超越授权范围的审批业务，经办人员有权拒绝办理，并向上级授权部门报告。

1.授权批准的形式
按授权批准的形式，可以分为常规授权和特别授权。

（1）常规授权是对办理常规业务时权力、条件和责任的规定，是对企业日常经营管理活动中按照既定的职责和程序进行的授权。

一般表现为由管理层制定整个组织应当遵循的相关制度，内部员工在日常业务处理过程中，按照规定的权限范围和岗位职责自行办理或执行各项业务。

（2）特别授权是指企业在特殊情况、特定条件下进行的授权，通常是临时性的以及超过常规授权限制的交易都需要特别授权。

2.授权审批控制的内容
一是授权批准的范围。

授权批准的范围通常包括企业所有常规性业务活动。

二是授权批准的层次。

企业应当根据经济业务的重要性和金额大小确定不同的授权批准层次。

三是授权批准的责任。

应当明确被授权者在履行权利时应当应对哪些方面负责避免授权责任责任不清，出现问题后无法追究责任的情况发生。

四是授权批准的程序，即规定每一类经济业务的审批程序，以便按照程序办理审批，避免越级审批或违规审批。

3.授权审批控制的实施
任何授权也都应当以法律、法规和企业规章制度为依据，一方面需要避免权限过于集中，即所谓的“一支笔”制度，另一方面也要避免盲目授权，使有关人员逃避管理责任。

（三）会计系统控制
《基本规范》第三十一条规定，会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。

会计系统控制主要是对企业发生的经济业务事项进行确认、计量和报告过程所实施的控制。

《基本规范》第三十一条第二、三款对会计机构和人员作出规定，企业应当依法设置会计机构，配备会计从业人员。

从事会计工作的人员必须取得会计从业资格证书，会计机构负责人应当具备会计师以上专业技术职务资格，大中型企业应当设置总会计师，且不得设置与其职权重叠的副职。

（四）财产保护控制
《基本规范》第三十二条规定，财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。

财产记录控制指应当妥善保管涉及资产的各种文件资料，避免记录受损、被盗、被毁。

首先，应严格限制接近记录的人员，以保持保管、。

批准和记录职务分离的有效性；其次，各种记录应妥善保存，尽可能减少记录受损、被盗或被毁的可能性；最后，某些重要资料，应当留存备份记录，一边在遭受意外损失或毁坏时重新恢复。

实物保管控制主要是限制接近控制和财产保险控制。

限制接近即严格限制未经授权人员对资产的接触，只有经过授权批准的人员才能接触资产，同时还包括对授权使用和处置资产的文件加以限制。

财产保险控制主要是运用财产投保，降低财产运行风险，确保财产安全。

定期盘点是指定期对实物资产进行盘点，并将盘点结果与会计记录进行比较。

定期盘点控制一般包括：
（1）定期与会计记录核对。

实物资产盘点与会计记录核对一致在很大程度上保证了资产的安全。

盘点流程通常应先盘点实物，再核对账册，以防止盘盈资产的流逝。

（2）进行差异调查和调整。

实物盘点结果与会计记录之间的差异应由独立于保管和记录职务的人员进行调查。

（五）预算控制
《基本规范》第三十三条规定，运营分析控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和
执行程序，强化预算约束。

（六）运营分析控制
《基本规范》第三十四条规定，运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

1.分析对象：企业在分析运营情况之前，应明确具体的分析对象，至少应包括营运能力、偿债能力、盈利能力、筹资能力等。

2.信息收集：在进行运营情况分析时，应当充分收集与分析对象相关的信息，有关信息既包括企业内部的，也包括企业外部的；既包括财务的也包括非财务的，既包括定量信息也包括定性信息。

3.分析方法：企业应选择适当的方法对信息加以分析，全面系统地评价企业的运营状况，常见的分析方法由因素分析法、对比分析法、比率分析法、趋势分析法等。

（七）绩效考评控制
《基本规范》第三十五条规定，绩效考评控制要求企业建立和实施教习考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

企业应建立一个有效的绩效评估体系，该绩效评估体系应当体现：一是与企业战略目标的一致性，二是目标的明确性，三是可接受性，实施考评结果要与被考评者的奖惩相挂钩，定期发布考评通报。

（八）重大风险预警和突发事件应急处理机制
《基本规范》第三十七条规定，企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急元、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

1.重大风险预警机制：建立重大风险预警机制和突发事件应急处理机制，明确界定哪些风险是重大风险，哪些事项一旦出现必须启动应急处理机制，应急元、预警机制等相关的政策和方案应非常明确地传达到相关人员，一旦出现紧急情况，企业能够在第一时间作出反应，将损失降到最低。

2.突发事件应急处理机制
突发事件指突然发生，造成或者可能造成重大人员伤亡，财产损失，危及企业生产经营的紧急事件。

事前预防是指采取有效的防范措施，进可能防止突发时间啊的发生，包括对可能发生的突发事件相关信息进行收集、整理和分析，并根据分析结果进行规划，作出警示。

突发事件的应急处理是指发生有关事件后，企业内部的责任人员能迅速作出反应并采取有效措施降低事件可能造成的损失和影响。

事后处理是指在突发事件处理结束后对原有状态的恢复，以及对相关部门或人员进行奖惩。

五、关于信息与沟通
《基本规范》第三十八条规定，企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。

信息与沟通是指企业及时、准确、完整收集整理与企业经营管理相关的各种内外部信息，并借助信息技术，促使这些信息以签单的方式在企业各个层级之间进行及时传递、有效沟通和正确使用的过程。

（一）信息与沟通的基本要求
《基本规范》第三十九条规定，企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。

信息的有用性是指在规定的时间内，将正确的信息传递到正确的人手中，具体包括：第一，信息的内容是恰当的；第二，企业各级管理人员恩能够给及时获取所需的各种内外部信息；第三，向不同层级的管理人员汇报详细程度不同的信息；实施，信息室最新的和容易获取的。

信息收集的内容包括内部信息和外部信息。

内部信息是指来源于企业内部，由各项经营管理活动产生的信息；外部信息是指由企业外部产生，对企业的生产经营管理具有一定影响作用的信息。

此外，企业还应当注意收集非正式信息的收集，它指通过非官方的、私下的沟通渠道来传递的信息，或通过与客户、供应商、监管部门的交谈等沟通方式获取的信息。

非正式信息的特点是信息传递速度快、效率高。

信息收集的渠道来自于企业内部和外部，《基本规范》第三十九条第二款规定，企业内部可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。

信息的质量是影响企业管理决策科学性和正确性的重要因素。

信息加工是对所收集的零散的、非系统的必须信息进行必要的筛选、整理和加工，确保信息的有用性。

《基本规范》第十四条规定，企业应当将内部控制相关信息在企业内部各管理层级、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。

（二）充分发挥信息技术在信息与沟通中的重要作用
《基本规范》第四十一条规定，企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。

（三）反舞弊
《基本规范》第四十二条规定，企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范务必案件的举报、调查、处理、报告和补救程序。

1.明确反舞弊工作的责任归属：审计委员会或董事会授权机构负责企业反舞弊的指导工作，企业管理层负责建立反舞弊机制，并组织实施反舞弊工作。

2.明确反舞弊工作的重点领域：《基本规范》第四十二条第四款规定了企业反舞弊工作的重点领域和关键环节，包括：未经授权或者采取其他不法方式侵占、挪用企业资产，谋取不当利益的行为；在财务会计报告和信息披露等反面存在的虚假记载、误导性陈述或者重大遗漏等行为；董事、监事、经理及其他高级管理人员滥用职权的行为；相关机构或人员串通舞弊的行为。

3.规范舞弊案件的举报、调查和报告程序
4.舞弊的补救措施和处罚
《基本规范》第四十三条规定，企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。

（1）举报投诉制度：举报投诉制度指企业内部建立的、鼓励员工对企业内部各类违法或不当行为进行举报，并有专门机构对举报投诉内容进行调查处理的一系列政策、程序和方法。

（2）举报人保护制度：为了切实保护投诉人，维护举报人的合法权益，企业应当建立举报人保护制度，采取严密的事前、事中、事后保护措施，防止出现打击报复，造成举报人受到人身伤害、名誉损害或各种损失。

六、关于内部监督
内部监督是企业内部控制得以有效实施的机制保障，在内部控制构成要素中，具有十分重要的作用。

内部监督与内部控制其他要素相互联系、相互补充，共同促进企业实现控制目标。

第一，内部监督以内部环境为基础，并与内部环境有极强的互动关系。

第二，内部监督与风险评估、控制活动形成三位一体的闭环控制系统。

第三，内部监督离不开信息与沟通的支持。

《基本规范》第四十四条规定，企业应当制定内部控制监督制度，明确内部审计机构和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。

（一）内部监督的机构及职责
按照监督主体的职责和性质，内部监督机构分为：
1.专职的内部监督机构：一般情况下，企业可以授权内部审计机构具体承担内部控制监督检查的职能。

当企业内部审计机构因人手不足、力量薄弱等原因无法有效对内部控制履行监督职责时，企业可以成立专门的内部监督机构，或授权其他监督机构履行相应的职责。

2.其他机构的监督职责：内部监督不仅是内部审计机构的职责，企业内部任何一个机构甚至个人在控制执行中，都应在内部控制建立与实施过程中承担起相应的监督职责。

企业应当在组织架构设计与运行环节明确内部各机构、各岗位的内部监督关系，以便监督职能的履行。

（二）内部监督程序
1.建立健全内部监督制度
2.实施监督，预防和发现内部控制缺陷：对内部控制建立与实施情况进行监督检查，最直接的动机是查找出企业内部控制存在的问题和薄弱环节。

3.分析和报告内部控制缺陷：内部控制缺陷的报告对象至少应包括与该缺陷直接相关的责任单位、负责执行整改措施的人员、责任单位的上级单位。

4.对内部控制缺陷的整改：通过内部监督，可以发现内部控制建立与实施中存在的问题和缺陷，进而采取相应的整改计划和措施，切实落实整改，促进内部控制系统的改进。

（三）内部监督的方法
《基本规范》将内部监督分为日常监督和专项监督。

1.日常监督：日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。

（1）管理层监督：董事会和经理层充分利用内部信息与沟通机制，获取适当的、足够的相关信息来验证内部控制是否有效涉及和运行，并对日常经营管理活动进行持续监督。

（2）单位（机构）监督：企业所属单位及内部各机构定期对职权范围内的经济活动实施自我监督，向经理层直接负责。

（3）内部控制机构监督：
（4）内部审计监督：内部审计机构接受董事会或经理层委托，对日常生产经营活动实施审计检查。

内部审计机构对审计中发现的违规事项提出审计建议，作出审计决定，并对审计建议和审计决定的落实情况进行跟踪监督。

内部审计机构应当接受审计委员会的监督指导，定期或应要求向董事会及其审计委员会、监。