企业内部风险控制体系

一、内部控制的主要内容

（一）内部控制的发展与演变

内部控制的发展是一个逐步演变的过程，大致包含五个阶段：内部牵制、内部控制制度、内部控制结构、内部控制整体框架、风险管理框架。董事会对于确保适当的内部控制得以实施负有最终责任。

自20世纪80年代以来，内部控制理论有了新的发展，人们对内部控制的研究重点逐步从一般含义转向具体内容。1998年美国注册会计师协会颁布的《企业准则公告第55号》中，内部控制结构取代了内部控制制度。目前，内部控制发展成熟阶段的成果是COSO于1992年9月发布的《内部控制—整合框架》，并于1994年增补的内部控制框架，它是内部控制发展史上的里程碑。

（二）COSO内部控制框架的主要内容

1．内部控制系统的内涵

内部控制系统包括企业的政策、程序、任务、行为，使企业能够对与实现企业目标的有关重大业务、经营、财务、法规及其他风险做出适当的反应，促进企业的运营效益和效率。内部控制系统阐述内部控制是一个实现目标的程序和方法，只提供合理保证，要由企业全体人员参与。

2．内部控制系统的五大要素

（1）控制环境。控制环境包括人员的道德观与胜任能力、董事会提供的知识和管理效率，为内部控制的其他方面提供运作框架。控制环境是由管理层所定的基调、管理哲学、管理风格、授权方式、组织和培养员工的方式以及董事会对执行内部控制的决心所决定的。

（2）风险评估。包括设立目标，识别与上述目标相关的风险，估计被识别风险的后果和可能性，针对风险的结果，考虑适当的控制活动。

（3）控制活动。控制活动指为确保管理层指示得以执行与削弱风险的政策（做什么）和程序（如何做）。它们有助于保证采取必要措施来管理风险以实现企业目标。控制活动贯穿于企业的所有层次和部门，它们包括一系列不同的活动，如批准、授权、查证、核对、复核经营业绩、资产保护以及职责分工等。

（4）信息与沟通。信息必须以一种能使人们行使各自职能的形式和时限被识别、掌握和沟通。信息系统不仅处理内部资料，而且还处理形成企业决策和外部报告所必需的外部事件、行为和条件的信息。有效的交流还必须广泛地进行，涉及机构的各个方面。顾客、供应商、监管者和股东这样的外界之间也必须有有效的沟通。

（5）监督。一个评估系统在一定时期运行质量的过程，通过持续的监控行为、独立的评估或两者的结合来实现。持续的监控行为发生在经营的过程中，它包括日常管理和监管行为，独立评估的范围和频率主要依赖于风险评估和持续监控程序的有效性。内部控制的缺陷应自下而上进行报告，重要事项应报知高层管理人员和董事会。

3．具体内部控制设计原则

（1）相互牵制原则。一项完整的经济业务活动，必须分配给具有互相制约关系的两个或两个以上的部门（或岗位）分别完成。

（2）授权控制原则。企业单位应该根据各岗位业务性质和人员要求，相应地赋予作业任务和职责权限，规定操作规程和处理手续，明确纪律规则和检查标准，以使职、责、权、利相结合。

（3）成本效益原则。实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比例。

（4）整体结构原则。企业内部控制系统必须包括目标、要素，并由全员参与。

（三）《企业内部控制基本规范》

2008年6月28日财政部会同中国证监会、国家审计署、中国银监会、中国保监会制定并印发《企业内部控制基本规范》，自2009年7月1日起在上市公司范围内推行，同时鼓励非上市的大中型企业执行。它包括：

1．内部控制目标

（1）合理保证企业经营管理合法合规、资产保全、财务报告及相关信息真实完整。

（2）提高经营效率和效果。

（3）促进企业实现发展战略。

2．内部控制要素

（1）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

（2）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

（3）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

（4）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

（5）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷应当及时加以改进。

3．内部控制原则

（1）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。

（2）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。

（3）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

（4）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

（5）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。