企业内部控制与风险管理分析案例

第一章　概　述

【引言】为了加强和规范企业内部控制，提高企业经营管理水平和风险行为防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，于2008年5月22日颁布，自2009年7月1日起在上市公司范围内施行，并鼓励非上市的大中型企业执行。

第一节　企业内部控制基本规范出台的背景

一、我国企业内部控制的发展历程

（一）我国内部控制发展的主要阶段

我国内控思想和实践起步较早，但后期发展受复杂因素影响，未能与现代内控发展历程相对接。我国现代内控研究始于20世纪80年代，而将其明确写入专门和非专门法规立法实施并在实践中推广应用实际是在90年代末期，相对于欧美起步较晚；但由于其基始于现代西方内控理论并能始终跟踪国际趋势，我国内控相关规范的建设步伐并不缓慢，现已逐步体现出体系化、系统化的特征和趋势。^[1]

我国内控规范的发展主要有以下几个阶段：

1．行业自控阶段

我国内控法规建设明确肇始于金融业。1997年5月，中国人民银行发布《加强金融机构内部控制的指导原则》；7月发布《进一步加强银行会计内部控制和管理的若干规定》；12月发布《关于进一步完善和加强金融机构内部控制建设的若干意见》，极大推动了商业银行内部控制的建立，是我国真正意义上的内控实践的起点。国资委、银监会、证监会还从各自行业监管的角度对中央企业、商业银行、证券公司、基金管理公司的内部控制制定了法律法规。

2．内部会计控制阶段

全国人大常委会1985年通过的《中华人民共和国会计法》，对会计核算、监督、会计机构和会计人员、法律责任等问题作了明确规定，从法律的高度规定了企业内部控制的基础内容。

1993年第一次修订后的《会计法》，突出了法律对社会公众利益的保护，针对当时造假账、假报表问题愈演愈烈的具体情况，要求单位领导人“保证会计资料合法、真实、正确、完整”，并明确了违法责任人、执法人，区分了违法程度，进一步明确了内部会计控制的相关问题。

财政部1996年颁布的《会计基础工作规范》，首先提出内部控制，该规范提出了内部会计控制要求，并将其定义为“单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序”。

2000年7月第二次修订的《会计法》，主要在“总则”、“会计监督”以及“会计机构和人员”等章节对内部控制的相关内容进行了规定，试图构建一个会计监督体系。

2001年6月《内部会计控制规范——基本规范》以及后续具体规范中指出内部会计控制“是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序”。内部会计控制的基本目标包括：规范单位会计行为，保证会计资料真实、完整；堵塞漏洞、消除隐患，防止并及时发现、纠正错误及舞弊行为，保护单位资产的安全、完整；确保国家有关法律法规和单位内部规章制度的贯彻执行。《内部会计控制规范》以一般意义上的会计控制为主，兼顾了相关的控制，其目标主要集中在会计信息可靠、差错防弊、资产保护和法规遵守几个方面。

3．内部控制系统化阶段

近年来我国企业内部控制体系建设取得了长足的发展。特别是2006年，各相关部门积极从事内部控制法规、标准的研究和制定工作：上海证券交易所发布了《上海证券交易所上市公司内部控制指引》；国资委发布了《中央企业全面风险管理指引》；深圳证券交易所发布了《深圳证券交易所上市公司内部控制指引》。

2006年7月15日，财政部会同国资委、证监会、审计署、银监会、保监会发起成立了企业内部控制标准委员会（以下简称CICSC），作为内部控制标准体系的咨询机构，旨在为制定和完善中国企业内部控制标准体系提供咨询意见和建议。CICSC下设内部控制基础理论、国有及国有控股企业内部控制标准、上市公司内部控制标准、银行业金融机构内部控制标准、保险证券企业内部控制标准、中小企业内部控制标准、非营利组织内部控制标准、内部控制评价标准等八个咨询专家组。

CICSC的目标是建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、内容完整、方法科学的内部控制标准体系，推动企业完善治理结构和内部约束机制，以及以监管部门为主导、各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的内部控制实施体系，推动公司、企业和其他非营利组织完善治理结构和内部约束机制，不断提高经营管理水平和可持续发展能力。

2007年3月2日，CICSC发布了《企业内部控制——基本规范》和17项《企业内部控制——具体规范》的征求意见稿，并附带了“企业内部控制规范起草说明”。按照“企业内部控制规范起草说明”所描绘的，我国未来的企业内部控制标准体系主要包括基本规范、具体规范和应用指南三个层面。基本规范界定内部控制的基本目标、基本要素、基本原则和总体要求，为制定具体规范和应用指南提供依据，在内部控制标准体系中起统驭作用。具体规范是根据基本规范，对企业办理具体业务与事项从内部控制角度做出的具体规定。应用指南是根据基本规范和相关具体规范制定的详细解释和说明，为某些特殊行业、特殊企业、特定内部控制程序提供操作性强的指引。我国内控规范建设发展进入迅速系统化阶段。

（二）与内部控制发展相关的重要法律法规

对比国外发展，我国内控规范发展独具特色：内控规范建设是由政府各部门以“准法规”形式发布实施的，权威性强，执行快速有力；我国真正意义上的内控规范是从其核心的内部会计控制即会计监管上入手而不是由内控框架起步的，在此对这一过程中的各重要法规作一梳理（见表1－1），帮助大家更好地理解我国内部控制的发展。

表1－1　我国内部控制相关重要法律法规

二、出台企业内部控制基本规范的重要意义

加快健全企业内部控制标准体系是大势所趋、潮流所向。企业经营风险既来自于外部，也来自于内部。人们注重防范外部风险，而对内部风险认识不足。实际上，从一定角度看，来自内部的风险可能更大一些。随着研究的深入和实践的发展，人们逐步认识到，企业内部控制标准体系是企业防范风险、控制舞弊的“防火墙”。加强企业内部控制标准体系建设，无论是从经济社会发展的宏观层面，还是从企业、会计师事务所发展的微观层面，都具有十分重要的意义。^[2]

（一）适应国际内部控制发展的新趋势

建设内部控制基本规范是实施企业“走出去”战略的重要基础工程。目前，我国内部控制、内部治理薄弱，已经严重制约了企业发展，不仅难以抓住进军国际市场的机遇，也难以应对市场开放条件下日益激烈的国内国际竞争。

自2001年年底以来，美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光，诚信危机震撼着美国及国际社会。针对愈演愈烈的上市公司内部控制失控现象，各国纷纷出台了更加严格的内部控制标准或相关法规。

国际上通行的内部控制标准做法是，构建一个内部控制框架，确定内部控制的范围和目标，列出一个有效内部控制系统通常要具有的要素，如美国COSO报告（COSO是美国“反对虚假财务报告委员会”下属的各组织参与的发起组织委员会的简称），英国特恩布尔报告，加拿大COCO报告［1992年加拿大特许会计师协会（CICA）成立了COCO委员会，该委员会的使命是发布有关内部控制系统设计、评估和报告的指导性文件］等。

目前，美国内部控制标准体系包括COSO《内部控制——整合框架》（1992）、COSO《企业风险管理——整合框架》（2004）、COSO《小规模公共公司财务报告内部控制指南》（2006）三个部分，从其发展的轨迹来看，正逐步由单一评价标准转向一个系统的评价标准体系。同时，为确保上市公司内部控制实施，美国出台了《萨班斯法案》、SEC最终规则和PCAOB审计准则三个层次的法律规范。把过去的很多自愿和选择性做法变成了法定的、强制性的要求，如《萨班斯法案》的第302条款“公司对财务报告的责任”中要求在美国上市的公司总裁和财务总监：①对本公司建立和保持内部控制负责；②已经设计了这种内部控制；③已经评价了公司内部控制截至报告前90天内的有效性；④已经根据他们的评价在该报告中提出了他们有关内部控制有效性的结论，并向公司的审计师及董事会的审计委员会（或履行相同职能的人员）披露了如下内容：①在内部控制的设计或运行中对公司记录、处理、汇总及报告财务数据的能力产生不利影响的所有显著缺陷，并已经向公司的审计师指出内部控制的所有重要缺陷；②涉及在公司内部控制中担任重要职位的管理层或其他员工的所有舞弊，不论是否重要。在报告中指明在他们评价内部控制的日期之后，内部控制或其他能够对内部控制产生重大影响的因素是否发生了重大变化，包括对内部控制显著缺陷或重要缺点的更正措施。

《萨班斯法案》第404条款规定：在美国上市的公司要对内部控制进行评价，强调要建立和维护内部控制系统，并确保相应的控制程序执行有效。外部审计师对公司提供的内部控制评价进行测试，并出具相应的报告。

有鉴于国际内部控制的通行做法和最新进展，我国非常有必要尽早出台与国际趋同的内部控制规范体系。

（二）政府履行宏观经济管理职能的内在要求

保证企业高效、合规的生产经营是内部控制的重要目标。而这一目标恰好与政府宏观经济管理的职能不谋而合，所以，内部控制体系的完善不可能仅是企业自身的事务，它必然会映射出政府管理职能对其产生的影响。^[3]政府为了履行经济管理职能，更好地运用宏观手段管理企业经营，会不断地出台宏观政策加以指导，其中不乏关于内部控制的规定。纵观各国内部控制的发展，政府对内部控制外部化的促进作用集中体现在对内部控制制度的制定上。绝大多数国家都针对内部控制问题由政府机关或其他机构制定相关的原则性规定，内部控制的实施必须严格以此为纲领。例如，美国政府为了完善内部控制制度先后多次将民间机构制定的有关规定纳入法律条文，或者通过其他形式进行加强。

（三）会计审计改革的必由之路

贯彻实施会计审计两大准则体系、提高会计信息质量和注册会计师审计质量的前提和重要保证是规范内部控制体系。2006年2月15日，在国务院各部门和公众的支持下，财政部发布了适应我国市场经济发展需要、与国际惯例趋同的企业会计准则体系和注册会计师审计准则体系，这是我国会计审计改革进程中的又一座里程碑。两大准则体系在国内外都产生了良好的反响。准则好，更要执行好。如何保证执行好？中外专家普遍认为有四条途径：一是健全的内部控制；二是有效的外部监管；三是良好的市场约束；四是会计审计人员的整体素质和对准则的把握程度。这四者中，内部控制、内部治理是基础和前提，因为这是扎根于企业的深层次、全方位的制度安排，与企业发展休戚相关、血脉相连。一个企业如果管理混乱、内部控制乏力、治理无方，很难想象它能把国家的法规政策培训到位、学习到位、执行到位、评价到位。因此，加强企业内部控制标准体系建设，对促进会计审计准则体系顺利实施，对从源头上、根本上遏制会计信息失真和注册会计师审计失败，具有重要意义。同时，这对加强会计行业管理，进一步强化会计在企业管理中的地位和作用，充分发挥会计管理监督职能，扩大会计人员和注册会计师乃至整个会计行业在内外经济体系发展中的地位作用，具有深远影响。

（四）促进资本市场健康稳定发展、维护社会公众利益的重要举措

资本市场与企业的内部控制存在很紧密的联系。一方面，资本市场直接影响着企业内部控制的利益趋向和控制中心选择。比如在股市比较发达的英国和美国，企业资本大部分来自于股市，从而70%以上的企业经理人认为股东的利益是第一位的；而德国和日本，企业的资本主要来自于银行和其他非金融机构，绝大多数的企业经理则认为企业的存在是为所有的利益集团服务的。所以，在英国和美国，内部控制的目标就是尽可能地使股东利益最大化，而日本、德国则强调为所有相关利益集团的利益服务。另一方面，企业内部控制对资本市场也会产生反作用。如果内部控制强调保护投资者的利益，就更能够促进资本市场的发育和发展，融资更加方便，更有利于企业的“新陈代谢”，从而推动经济发展，否则就会导致资本市场和经济的衰退。中外资本市场发展的历程表明：企业守信，投资者就充满信心，资本市场就风和日丽；反之，投资者就心有余悸，资本市场就人气凋敝。安然和安达信事件，一度使美国公众谈“股”色变；银广夏和中天勤事件，也曾让许多国民黯然神伤。所以，从社会经济的持续发展和企业的长远利益来看，企业的内部控制应当重视保护投资者的利益，以形成企业内部控制和资本市场相互促进的良性循环。^[4]

（五）企业生存发展壮大的重要保障

企业是市场经济的主体，企业的竞争能力、盈利能力和可持续发展能力是体现一个国家综合国力和国际竞争力的重要指标。放眼当今世界，凡是经济发达国家，都有一大批支柱产业、支柱企业做坚强后盾。党的十六届五中全会和“十一五”规划纲要均指出，要完善公司治理，健全内部控制机制，支持企业做大做强和“走出去”。企业做大做强和“走出去”的过程，在一定意义上也是企业不断面临新风险、应对新风险、控制新风险、战胜新风险的过程。同时，“走出去”的企业不仅需要“走出去”，更要“走进去”、“走上去”。这些都要求企业必须强化内部控制，夯实基础管理，促进企业经营机制的脱胎换骨和管理体系的“凤凰涅槃”。但从现实情况看，我国许多企业在一定程度上还存在管理松弛、内部控制弱化等问题，导致风险频发、资产流失、营私舞弊、损失浪费等情况，离发展战略的要求还有相当差距，迫切需要进一步强化内部控制，为打造“百年老店”奠定坚实的制度基础。

第二节　企业内部控制基本规范的理论溯源

一、内部控制理论的发展阶段^[5]

根据COSO内部控制整体框架的定义，内部控制，是企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。内部控制理论已有较长的发展历程，内部控制的界定也经历了几次变迁。其发展历程大概可以分为内部牵制、内部控制制度、内部控制结构、内部控制整体框架和企业风险管理框架五个阶段。

（一）内部牵制阶段

20世纪初期，随着资本主义经济的发展，公司等组织形式出现，出现了所有者与经营者的分离。为了保护投资者和债权人的利益，各级管理人员开始了全面企业管理的探索。尤其在泰罗的科学管理理论指导下，以组织结构、职务分离、业务程序、处理手续等因素构成的内部牵制制度出现了。内部牵制机能主要分为实物牵制、机械牵制、体制牵制和簿记牵制四类。这一时期的内部控制主要以查错防弊为目的，以钱、财、物等会计事项为主要控制对象。

（二）内部控制制度阶段

在第二次世界大战后，科学技术和生产自动化迅速发展，企业规模不断扩大，巨型股份公司登上舞台。这些都对企业管理提出了建立健全人员条件、检查标准和内部审计等控制措施的要求，并促使内部控制从对单独经济活动进行独立控制为主向对全部经济活动进行系统控制为主发展。内部控制完成了其主体内容的构建过程。1949年美国会计师协会首次对内部控制做出了权威定义：“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性，提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。”在1958年，美国会计师协会又对内部控制定义进行了重新表述，将内部控制划分为会计控制和管理控制。内部会计控制是保护企业资产、检查会计数据的准确性和可靠性。内部管理控制是提高经营效率，促使有关人员遵守既定的管理方针。

（三）内部控制结构阶段

20世纪80年代，美国许多财务机构破产。调查中发现大多案例中审计人员不能发现公司舞弊的情况。1985年，美国成立了虚假财务报告全国委员会，旨在考察财务报告舞弊在多大程度上削弱了财务报告的完整性及注册会计师的责任。1988年，美国注册会计师委员会（AICPA）发布了《审计准则公告第5号》（SAS No.5），公告首次以内部控制结构代替内部控制，认为内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序。内部控制结构包括三个要素，即控制环境、会计制度和控制程序。内部控制结构定义将内部控制环境纳入内部控制的范畴，并且不再区分会计控制和管理控制，使内部控制的内涵得到扩展。

（四）内部控制整体框架阶段

1992年，美国“反对虚假财务报告委员会”下属的COSO委员会发布报告“内部控制——整体框架”，该委员会又在1994年对“内部控制——整体框架”进行了修订，将内部控制定义为是由一个企业的董事长、管理层和其他人员实现的过程，旨在为财务报告的可靠性、经营的效果和效率、符合适用的法律和法规等三大目标提供合理保证的过程，并将内部控制分为五大要素，即控制环境、风险评估、控制活动、信息与沟通、监控。

（五）企业风险管理框架阶段

从2001年美国安然、世通等公司破产及会计丑闻事件以来，诚信危机成为大众的关注焦点。美国政府为了提高民众对资本市场的信心，出台了《萨班斯法案》。这是一项旨在加强会计监督、强化信息披露、完善公司治理、防止内幕交易的法案。作为对《萨班斯法案》的响应，2002年，美国COSO委员会在内部控制整体框架概念的基础上，提出了企业风险管理框架（以下简称ERM）的概念，并于2004年4月颁布了正式稿，将企业风险管理定义为是一个过程，受企业的董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果，财务报告的可靠性以及现行法规的遵循提供合理保证。同时，COSO委员会将企业风险管理框架的构成要素定义为八个，即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。该框架的范围比内部控制框架的范围更为广泛，是对内部控制框架的扩展，提出了风险组合观，增加了新的战略目标，且战略目标的层次定位比其他三个目标更高。ERM框架强调在整个企业范围内识别和管理风险的重要性，强调企业的风险管理应针对企业目标的实现在企业战略制定阶段就予以考虑，明确了战略目标在风险管理中的地位。

二、内部控制定义

明确的内控概念的提出还不到60年历史，且其每次突破性发展都是由欧美引发实施的。具体如表1－2所示：

表1－2　内部控制定义的演进

续表

续表

三、内部控制目标

《国际审计准则第6号》中规定内部控制是单位的管理人员为帮助达到管理人员的目标而采用组织计划和全部方法与程序，在尽可能实行的范围内保证其业务经营的顺序和有效性，包括严格遵守管理政策，保护资产，预防和揭发舞弊和错误，保持准确和完整的会计记录，以及适时编制可靠的财务资料。内部控制具体目标有以下四个方面：①依据管理人员一般的或特殊的标准来完成经济业务。②在完成经济业务的会计期间，将全部经济业务以正确的数额及时记入适当的账户，从而完成允许的公认会计政策范围内编制的财务资料并保持对资产应负的责任。③只有根据管理人员的批准方可动用资产。④对资产做出负责的记录，在合理的间隔时间与现存的资产相比较，并对发生的任何差异采取适当的行动。

《世界最高审计机关组织内部控制准则》中规定，内部控制目标主要有以下四个方面：①配合组织任务，使各项作业均能有条不紊且更经济有效地运作，并提高产品与服务的质量。②保证资源，以避免因浪费、舞弊、管理不当、错误、欺诈及其他违法事件而遭受损失。③遵循法律、规章及各项管理作业规定。④提供值得信赖的财务管理资料，并能适时适当地揭露有关资料。

有些专家认为：内部控制的基本目的在于促进单位组织的有效营运；推行内部控制的主要目的，为确保各部门均能充分发挥其应有功能。具体地说有以下四个方面的目标：①增进及确保会计与经营资料的正确性与可靠性。②维护单位资产的安全，避免资产的浪费、失窃与使用上的无效率。③贯彻单位目标，并确保单位的政策及规定被确实执行。④提高经营效率，并评估各部门绩效作为持续改善的基础。

有人认为上述第①、②项系为会计控制的目标；而第③、④项系为管理控制的目标。但也有人认为：第①项属于会计控制；第②项中维护资产安全是否适当属于会计控制，而维护资产安全是否有效属于管理控制；第③项属于管理控制；第④项中增进业务效率是否适当属于会计控制，增进业务效率是否有效属于管理控制。也有人认为：内部会计控制的目的是保护资产安全，提高会计信息的可靠性与完整性；而内部管理控制的目的是增进经营效率，遵守管理政策及达成预期目的。

在1994年COSO的《内部控制——整体框架》中，内部控制有三个目标：经营的效果和效率、财务报告的可靠性和法律法规的遵循性。2004年COSO的《企业风险管理——总体框架》（ERM框架）中除了经营目标和合法性目标与内部控制整体框架相似以外，对可靠性目标进行了扩展，即将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表，包括中期和简要财务报表，以及从这些财务报表中摘出的数据，如利润分配数据”。ERM框架则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”，该目标涵盖了企业的所有报告。另外，ERM框架提出了一类新的目标——战略目标。该目标的层次比其他三个目标更高，强调企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。

虽然对内部控制的目标有多种多样的提法，但最为主要的有以下六个方面：①维护资产的安全、完整及有效使用。②保证各种管理信息的存在、可靠与及时提供。③尽量减少不必要的成本、费用，以求盈利。④保证下放的各种职责得到圆满履行，提高各项工作作业的效益或效率。⑤预防或查明错误和弊端，为管理政策的制定寻找依据。⑥履行各种法律义务。

因此，在综合各方观点，考虑我国实际情况之后，《企业内部控制基本规范》第三条指出内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。即明确提出内部控制目标是合法性目标、资产安全目标、真实性目标、经营性目标和战略性目标五大目标。

四、内部控制要素

（一）《企业内部控制基本规范》规定的内控要素

按照《企业内部控制基本规范》的规定，我国企业内部控制应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五要素。这与美国COSO报告（1992）中规定的五要素基本相同。

内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

（二）美国审计准则公告第29号（1949年）两要素：会计控制与管理控制

1958年美国会计师协会所属审计程序委员会发布第29号审计程序公告《独立审计人员评价内部控制的范围》对内部控制定义重新进行了表述，将内部控制分为会计控制（Internal Accounting Control）和管理控制（Internal Administrative Control）。其中前者涉及与财产安全和会计记录的准确性、可靠性有直接联系的方法和程序，后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。这一提法也是现在我们所熟知的内部控制“制度二分法”的由来。

（三）美国审计准则公告第55号三要素：控制环境、会计制度与控制程序

1988年，美国注册会计师协会发布第55号审计准则公告《会计报表审计中对内部控制结构的关注》，拓展了审计师在财务报表审计中考虑内部控制的责任，用“内部控制结构”取代了“内部控制”，指出“企业的内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序”，并指出内部控制结构包括控制环境、会计控制和控制程序三个要素。

控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。具体包括：管理哲学和经营作风、组织结构、董事会及审计委员会的职能、人事政策和程序、确定职权和责任的方法、管理者监控和检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计等。

会计系统规定了各项经济业务的确认、归集、分类、分析、登记和编报方法，明确了各项资产和负债的经营管理责任。健全的会计系统应实现下列目标：鉴定和登记一切合法的经济业务；对各项经济业务适当进行分类，作为编制报表的依据；确定经济业务发生的时间，以确保它记录在适当的会计期间；在财务报表中恰当地表述经济业务及对有关内容进行揭示。

控制程序是指管理当局所制定的用以保证达到一定目的的方针和程序。它包括：经济业务和活动的批准权；明确各员工的职责分工；充分的凭证、账单设置和记录；资产和记录的接触控制；业务的独立审核等。

（四）美国审计准则公告第78号肯定了五要素模型

由于内部控制结构只是在新环境下，基于企业管理对内部控制的需求同会计职业界对内部控制研究成果相融合的初步尝试，很快就被更完善的理论所代替，这就是COSO委员会的《内部控制——整体框架》。COSO的报告得到美国审计署（GAO）和注册会计师协会（AICPA）的全面认可，美国注册会计师协会于1995年据之发布第78号审计准则公告，以内部控制整体框架的概念取代第55号审计准则公告中内部控制结构的概念。新准则对内部控制的定义与COSO的定义基本相同，表述为“由一个企业的董事长、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效果和效率；遵守适用的法律和法规”。

COSO认为内部控制整体框架包括：控制环境、风险评估、控制活动、信息与沟通、监督。它是以控制环境为基础，风险评估为依据，控制活动为手段，信息与沟通为载体，监督为保证。

控制环境是指所有控制方式与方法赖以存在与运行环境，包括诚信、道德价值观和企业员工的竞争力；管理哲学和经营风格；管理阶层的授权方式及职责分配；董事会提供的关注和指导。

风险评估是指管理层识别并采取相应行动来管理对经营、财务报告、符合性目标有影响的内部或外部风险，包括风险识别和风险分析。

控制活动是指确保管理阶层确定的针对风险以实现企业目标的行动被有效执行的各种政策和程序。控制活动存在于整个组织的所有层次和所有职能部门中，包括一系列不同的活动。例如，对经营活动的审批、授权、确认、核对、审核，对资产的保护，职责分离等。

信息与沟通是指按照一定的方式和时间规定，识别和取得相关信息，并加以沟通，以便于员工更好履行其职责。

监督是指随着时间的推移而评估内部控制制度执行质量的过程。

（五）COCO的内部控制四要素

1992年加拿大特许会计师协会（CICA）成立了COCO委员会，该委员会的使命是发布有关内部控制系统设计、评估和报告的指导性文件。COCO委员会报告指出：在任何一个企业中，控制均包括目的、承诺、能力、监控和学习四个最基本的要素。

目的是对企业发展方向的描述，它包括企业的目标、面临的风险和机遇、经营方针、计划、业绩目标及其评价指标等。

承诺是对企业特质（Identity）的描述，它涉及企业的道德标准、人力资源政策、权力和责任的分配以及员工之间的相互信任等。

能力是指企业相对于给定任务的胜任程度（Competence），它涉及知识、技能和工具、信息及信息的传递、协调和控制活动。

监控和学习则着眼于企业的发展，它包括对企业内、外部环境的考察、对经营业绩的考核、对相关假设的质疑、对信息需求与信息系统的重新评价、追踪调查及后续行动程序的建立以及对控制有效性的评估。

COCO委员会认为：企业员工在执行企业所指派的任务时，将以他对企业目的的理解为指南，并以其能力（包括所拥有的信息、资源、技能、工具等）作为支撑。员工的承诺或者说对企业的忠诚是员工在长时期内充分发挥自己能力和保持最优努力水平的保证。此外，员工必须对自身的工作业绩和外部环境进行监控以便及时采取适当的后续行动，并在调整自身行动以适应环境变化的过程中学会更好地完成工作。

（六）ERM的八要素模型^[6]

在内部控制综合框架五个要素的基础上，COSO的企业风险管理框架将内部控制的构成要素增加到八个：①内部环境；②目标设定；③事项识别；④风险评估；⑤风险应对；⑥控制活动；⑦信息与沟通；⑧监控。八个要素相互关联，贯穿于企业风险管理的过程中。

内部环境包含组织基调，是组织内人员如何看待风险、对待风险的基础，包括风险管理理念、风险承受能力、正直和道德价值观及工作环境。它是其他所有风险管理要素的基础，为其他要素提供规则和结构。

目标设定是将企业的目标分为以下四个：战略目标、经营目标、报告目标和合规目标。

事项识别是指，由于不确定性的存在，使得企业的管理者需要并首先对这些不确定事项进行识别。企业管理者必须识别影响组织目标实现的内外事件，分清风险和机会。

风险评估是分析风险，考虑其可能性和影响，在此基础上决定应如何管理风险。

风险应对是指可控风险反应，分为规避风险、减少风险、共担风险和接受风险四类。

控制活动是指保证风险反应方案得到正确执行的相关政策和程序。

信息与沟通是指来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行好各自的职责。有效的沟通也是广义上的沟通，包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关各方的有效沟通和交换，如企业与客户、供应商、政府行政管理部门和股东等的沟通。

对企业风险管理的监控是指评估风险管理要素的内容及运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控，即持续监控和个别评估。

五、内部控制方法

内部控制的方法是实现控制目标、发挥控制效能的技术手段，在控制体系中占据着重要地位。内部控制方法，随着现代管理手段的发展也越来越多。由财政部颁发的《内部会计控制规范——基本规范》中对内部会计控制方法进行了阐述，提出了八种基本方法：不相容职务分离控制、授权批准控制、会计系统控制、预算控制、财务保全控制、风险控制、内部报告控制、电子信息技术控制。但是上述控制方法主要是从会计控制的角度出发，其范围仅局限于内部会计控制。若从组织全面控制的角度出发，控制方法涉及的范围更加广泛。因此，内部控制的主要方法应包括目标控制法、组织控制法、授权控制法、程序控制法、职务分离控制法、检查控制法、风险控制法、预算控制法、内部控制法等。

（一）目标控制法

目标控制是一种事前控制方法，指一个单位内部的管理工作应遵循控制目标，分期对生产、经营销售、财务、成本等方面制订切实可行的计划，并对其执行情况进行控制的方法。目标是指所要达到的境地和标准。内部控制目标不仅是管理经济活动、实施内部控制所要达到的标准，也是监督、检查、评价企业内部控制系统的重要依据。

实行目标性控制，就是要使一个单位的活动不仅要达到近期目标，而且逐步实现其创建目标。首先要确定目标，并提出达到目标的具体措施，这样更有助于达到预期目的；其次不仅要对计划指标的执行情况控制，而且对于组织管理活动中的每一道环节都要施以监督，做到层层把关；再次要连续不断地对所取得的成果进行测查，将实际同计划目标进行比较，及时揭示实际与目标之间的差异及其原因进行定性、定量分析和做出客观的评估，并把结论反馈给有关的管理人员，以便修改原定的计划或采取有效的补救措施。

目标控制的内容很多，以制造业为例，应着重对财务成本、财务成果等方面进行目标控制。在财务方面的控制目标有目标销售额、目标利润额、流动资金周转计划天数等；成本方面的控制目标有原材料消耗定额、工资定额（或工时定额）、产品计划单位成本、期间费用预算等；在财务成果方面的控制目标有毛利、利润总额、净利等。

总之，为了搞好目标控制，必须做到以下几点：确定目标、健全目标体系、保持各种目标的一致性、建立有效的奖励制度、建立完善的反馈系统。

（二）组织控制法

机构设置以后，必须要进行职责的划分，并明确规定每一层次、每一机构的任务和应负的职责，还要规定相互配合与制约的方法，这就是所指的组织控制方法。组织控制法，也是一种事前控制方法，是建立授权控制、实施程序与牵制控制的基础，也是决定内部控制是否有效的关键。

职能实行分离，确保专业、职业和技术的专门化，实现内部管理控制所要求的职能独立，以利于工作效率的提高。只要有可能，单位的业务包括交易的发生在内，工作人员的经营，特别是资财保管与控制以及会计分管等职责均应分离。职责和范围应有明确规定，并为每个职工所知晓，以保证谁都不能包揽一项交易的始终或所有重要环节，以减少差错、浪费或未察觉的不法行为的危险性。如授权、批准和记录交易、资财的签发和接受、款项支付、检查或审计经营业务等重要责任，应有计划地授予若干部门或个人，以保证检查和结算的有效进行。内部控制措施应与业务流程融为一体，以保证在不增加费用或设立新的职位或新的经营机构的情况下，在现有的职工中进行职责分配和分离，以提高可靠性，并避免滋长官僚主义。在小单位中，如无法用划分责任来实现完全的控制，则可采取经常进行内部审计等其他措施来加以控制。

在实施组织控制时，应遵循以下原则：①分清职责，杜绝一个部门或者个人控制交易的全过程；②每个执行部门都有权采取果断的决策行动来切实履行职责；③明确规定个人职责，防止逃避责任、超越职权、文过饰非和推卸责任的事情发生；④负责分配职责和权力的主管人员，要进行追踪检查，考核下级是否切实执行命令；⑤被授权者应按规定期限经营业务，如无特殊情况，上级一般不予检查，因此要求职工具有识别异常现象的能力；⑥每个工作人员应向上级汇报其履行职责和所取得成果的情况；⑦应该确认单位有关授权法规的要求；⑧机构应具有弹性及可塑性，以便适应经营计划、方针和目标的变化；⑨职能、责任和职权的分配，应避免重叠、重复和冲突；⑩应避免职权分工过细，而导致行动迟缓、职务虚设和效率低下，力求精简机构。

（三）授权控制法

所谓授权控制法，是指各项业务的办理，必须由被批准和被授权人去执行，也就是说单位的各级人员必须获得批准或授权，才能执行正常的或特殊的业务。授权控制同样是一种事前控制方法。内部控制要求进行交易和经营活动时，要有授权批准制度，以确立完善的工作程序。授权控制的基本技巧：

1．进行授权控制

要求单位内部要有授权环节和明确各环节的授权者。一个组织的根本大权在其领导和其管理班子成员，管理当局应依次将职权授予具体人员或部门。

2．授权级别应与授权者地位相适应

如低层次主管人员只能进行提议、批准和执行日常工作，做较小的经营和交易方面的授权；高层次主管人员可以进行重大的非同寻常的经营业务和交易事项方面的授权。除特别重要的或巨额的交易进行特殊授权外，单位主要负责人应以书面形式授予下属官员以批准和经营业务的权力。

3．要求被授权人应该是称职的人员，对于不胜任的人不得授权

授权控制其实质是人事控制，更侧重于对职工使用方面的控制。总体要求是：根据管理人员及广大职工的资历、能力、经验分配其适当的工作，不分配给力所不能及的任务，不授予力所不能及的职位或权力。

4．严格要求各级人员按所授的权限办事

不得随意超越权限。如拒不执行应提出适当的理由，上级领导或部门主要负责人不能越俎代庖，不要统揽下属工作。

5．无论采取什么样的授权、批准形式，都应有文件记录，用书面授权为主，方便以后查考

6．注意“一般授权”和“特定授权”区别对待

“一般授权”是指对正常业务范围内的授权，也即规定处理正常性业务的标准。这种授权是在涉及鉴别一般条件时遇到的，它是一种经常性的、连续性的授权。例如，授权给采购人员可在一定金额范围内购买常用材料，如果他超限额采购或采购不常用的材料，他也就逾越了权限，必须得到“特定授权”，否则不得办理。

“特定授权”是指对非正常业务处理的授权。这种授权是给予严格条件与所涉及的特殊个人的授权，是在遇到特殊情况，超过了一般条件才使用。因此，它是无连续性授权或为一次性授权，一旦业务完成，授权也就自行撤销。例如，某一组织要削价销售不属于一般销售范围的一大批呆滞材料，这就需要组织领导特别批准授权才能进行处理，如严格规定削价幅度、处理对象和数量等。

（四）程序控制法（也叫标准化控制）

它是对重复出现的业务，按客观要求，规定其处理的标准化程序作为行动的准则。进行程序控制，有助于单位按规范处理同类业务，有科学的程序、标准可依，避免业务工作无章可循或有章不循，避免职责不清等；有利于及时处理业务和提高工作效率；有利于减少差错，有利于暴露或查明差错；有利于追究有关责任人的应负责任；有利于及时地处理和解决问题等。

实行程序控制，需要将单位各项业务处理过程，用文字的说明方式或用流程图的方式表示出来，以形成制度颁发执行。如制定现金管理制度，材料采购、核算、领用办法，固定资产管理办法，产品成本计算规程及各种业务操作方法，等等。

程序控制也是典型的事前控制方法，它不仅要求按照牵制的原则进行程序设置，而且要求所有的主要业务活动都要建立切实可行的办理程序。任何业务的处理程序都要与单位的机构设置、人员配置相吻合；任何业务程序都要有助于制约错误和弊端；同时，还要注意程序的经济性与有效性，既不能繁琐与重复，也不能过于简单或存在漏洞。

（五）职务分离控制

程序控制法的关键是实行职务分离控制，是将一些不相容的职务由几个人分别办理的一种控制。例如，在一个组织经营过程中，把经济业务分为不同环节，由业务部门员工签订合同并办理采购或销售业务；财会部门负责收付款项并记录发生的业务；仓储部门负责保管财产物资等。

职务分离控制法一般包括以下五方面内容：

（1）某项经济业务的授权批准职务与执行职务实行分管。如审批支付货款的人员不能同时担任出纳，有权审批材料的人员不能同时担任仓库保管员。

（2）货币资金出纳职务与总分类账记录职务实行分管。出纳员只处理货币资金的收支及保管，记现金出纳备查账，而现金日记账、银行日记账和总分类账，应由其他人员登记，以便相互制约，杜绝舞弊，如果出纳人员兼管现金、银行存款日记账，则总分类账必须由别人登记，并要对日记账进行经常性的检查。

（3）物资的保管职务与物资的记账职务分管。如仓库的保管人员不能担任材料明细账的工作，否则就会伪造账目、进行贪污舞弊，不能做到“账实相符”。

（4）财物保管职务与财物、账实核对职务实行分管。如财产清查的账实核对工作不能由财产保管者担任，银行存款调节表的核对不能由银行日记账经手人担任。

（5）经济业务的执行者与经济业务的记账职务应实行分管。如会计部门与经济业务部门分别设置，采购员、售货员不能兼任记账工作。

（六）检查控制法

检查控制法是指对内部控制制度贯彻、执行情况所进行的监督检查方法。各单位在执行内部控制制度中，要认真做好检查工作，具体包括对内部控制的执行情况进行检查和评价，写出检查报告；对各方面经济业务中出现的缺陷提出改进意见；对执行内部控制检查工作的人员根据工作绩效实行奖惩等。其目的是保证内部控制功能的充分发挥，促成既定政策的贯彻和管理目标的实现。任何组织的领导如果不实行严格的检查监督控制，就会陷入盲目轻信，就会放纵下属玩忽职守或贻误工作。因此，每个组织必须实行专业检查和自我检查等制度，具体包括：

（1）建立内部检查或内部审计机构，实行专业检查；

（2）内部检查机构应独立于业务部门之外，直属单位主要负责人领导；

（3）内部检查机构应事先制订检查监督计划、工作程序，报请单位领导批准后实施；

（4）内部检查机构应严格检查和如实报告检查结果，要确保报告的客观性和可靠性；

（5）内部检查机构应根据检查中发现的偏差，建议领导采取纠正措施，并监督有关部门及时改进工作。

（七）风险控制法

任何组织生产经营中都可能面临各种风险，如何避免或降低风险，提高经济效益，是组织内部控制的重要方法之一。风险控制法就是在组织内部各种控制活动中认真分析可能面临的风险，研究风险与收益的关系，避免风险或减少风险的途径或措施；或者在一定风险存在的基础上，如何防范风险并提高经济效益。

风险控制法的要求是：树立风险意识，针对各风险控制点，建立有效的风险处理系统，通过风险预警、风险识别、风险评估、风险分析、风险报告等制度，最终达到抵御风险和降低风险的目的。

（八）预算控制法

预算是计划的量化表述形式，即以货币的形式将组织决策目标所涉及的经济资源具体地、系统地反映出来。预算控制法，是指各单位事先确定各经济事项的预算指标，要求单位内部各部门和人员严格执行，最终按照预算指标对照实际完成指标情况作为绩效考核的依据。

预算控制的具体要求是：首先，预算控制应包括组织的各项活动。各单位要以组织的总体目标为前提，以销售预算为起点，依次对生产、成本、现金收支等各方面进行预测，并在此基础上编制最终的现金预算表、预计利润表、预计资产负债表等。其次，预算控制应是全过程的控制。在编制全面预算的同时，还应加强各项预算的执行、分析、考核等环节管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。在预算执行过程中，预算内资金实行责任人限额审批，限额以上资金实行集体审批。严格控制无预算的资金支出。

（九）内部控制法

内部控制方法还有多种分类形式，如经营控制，包括制订计划、编制预算、建立会计和信息系统、制定证明文件、授权、制定政策和程序、建立秩序等控制。人事控制，包括招聘和选择合适的员工、定向培训和发展、监督等控制。定期检查，包括对员工的检查、对经营和项目的内部检查、外部检查和同行业检查等控制，还有设备和设施的控制。

内部控制功能具体体现在积极获取各项经营管理活动中出现的偏差信息，积极采取有力措施，限制偏差积累，即将实际绩效与计划目标加以比较，发现潜在的和现实的错误或问题并进行处理，有利于确保组织实现预计的目标。内部控制的一般模式是：应具体规定和明确阐述应予实现的目标或目的；根据目标或目的规定并阐述计划和程序；将实际绩效与目标计划比较；抽查和分析差异及例外事项；向管理部门反映比较、分析的结果；采取必要的改进措施，或者修订计划目标，或者采取补救措施，如比较结果未发现任何差异，原制度无须加以修订，照常继续执行。任何事项的内部控制制度都是一个连续不断的动态过程，既无起点，也无终点，专为监测现存状况，评估“是”与“应该是”之间的区别，必要时进行适当调节。控制目标是控制工作得以开展的前提，是检查和衡量实际工作的依据和尺度。如果没有控制目标，便无法衡量实际工作，控制也就失去了目的性。标准是一种作为规范而建立起来的测量标尺或尺度。控制标准是控制目标的表现形式，是测定实际工作绩效的基础。对照控制标准，管理人员可以对工作绩效好坏做出判断。没有一套完整的控制标准，衡量绩效和纠正偏差就会失去客观的依据。因此，制定控制标准是控制工作的起点。

六、内部控制作用

恰当地运用内部控制，有利于减少疏忽、错误与违纪违法行为；有利于改善经营活动，以提高工作效率与经济效益；有利于安定人心，激励进取，使单位健康地发展。内部控制是否健全，能否严格执行，是单位经营成败的一个关键，其主要作用有以下四个方面：

（一）统合作用

所有机构和所有活动及其具体环节，由点到线、由线到面、逐级结合、统驭整体。在一个经营单位中，虽有不同的作业单位，但要达到经营目标，必须全面配合，以发挥整体作用。内部控制正是基于这种指导思想，利用会计、统计、业务、审计等部门的制度、规定及有关信息报告等作为基本依据，以实现统合与控制的双重目的。也就是说，内部控制应该把单位的生产、营销、物资、计划、财务、人事等部门及其工作结合在一起，同时又对它们进行必要的控制。各部门的业务虽有单独的系统，但其个别作业与整体业务是相联系的，必然要受其他部门作业的牵制和监督。因此，内部控制具有统合整体的作用。

（二）约束与激励作用

内部控制着眼于各项业务的执行是否符合单位利益及既定的规范标准，而予以督查评价及适当的控制，使单位的各项经营活动做到活而有序，获得预期效果。由此可见，内部控制对管理活动能发挥制约作用；严密的监督与考核，能真实地反映工作实际，并可以稳定员工的工作情绪，激发他们的工作热情及潜能，从而提高工作效率。

内部控制的根本目的是实现既定目标。因此，要对执行过程中的影响因素造成的偏差进行调节，并控制具体影响因素的发生。本着这一原理，内部控制设计了约束机制和防范措施。执行者必须依据单位的既定计划或政策目标，按照一定的规律，对其全部活动加以注意，了解其职能与各部门之间的相互关系，并对其各项业务进行公正的检查和合理的评估。换句话说，就是要了解业务部门的实际工作动态，及时发挥控制的影响力，使之扬长避短，如期达到管理目标。因此，内部控制具有促进作用。

（三）反馈与监督作用

反馈是调节和控制科学中的基本概念，是指系统输出信息返回输入端，经处理，再对系统输出施加影响的过程。内部控制利用这一原理，通过会计信息的传递，对经营过程正确反映并对控制目标的完成和各部分行为是否偏离内部控制的要求进行监督，从而及时调整不利的行为。

（四）完善治理结构

在我国，公司治理结构的建立和完善是个长期的工作，因此，内部控制的作用还表现在对完善公司治理结构的贡献上。公司治理结构作为内部控制环境要素的构成内容之一，对内部控制的建立与执行有影响作用，反过来，有效的内部控制对公司治理结构的完善同样具有促进作用。有效的内部控制能够正确处理企业的利益相关者之间的关系。

七、内部控制的本质

（一）内部控制是一种机制

内部控制是为了保护其经济资源的安全与完整、防范管理漏洞、保证会计信息的真实可靠，利用企业内部分工而产生的相互制约、相互联系的具有控制职能的方式、措施及程序，是企业管理活动中的一种自我调整和制约的手段。内部控制的根本目的在于加强企业管理，提高经济效益；其基础是企业内部分工，核心是一系列具有控制职能的方式、措施及程序。它是现代企、事业单位在对经济活动进行管理时所普遍采用的一种控制机制。

（二）内部控制是一个动态过程

内部控制不是单一的制度、机械的规定，而是一个发现问题、解决问题的动态过程。这个过程循环往复，又各具独特内容，因此在实施过程中必须明确树立责任意识，树立风险意识，强调以人为本，调动全体员工的积极性，明确界定管理和控制的关系。建立内部控制要遵循有效、审慎、全面、及时和相对独立原则。内部控制目标要细化，微观控制要与宏观管理相结合。

（三）内部控制是一种科学方法

内部控制是现代企业的一种科学管理方法，它不但可以帮助单位实现预期目标，还能为外部审计提供可靠的依据。内部控制是在一个单位中，为实现经营目标、维护资产完整、保证会计及其他资料正确和财务收支合法，贯彻经营决策、方针和政策以及保证经济活动的经济性、效率性和效果性而形成的一种自我调节、制约和控制。单位内部控制通常表现为一个完整的体系或形成一种经常性的制度。

总之，内部控制制度是现代企业管理的重要组成部分，也是企业经营活动得以顺利进行的基础。随着经济的全球化，市场竞争将日趋激烈，企业要提高其核心竞争力，提高经济效益，势必要强化内部控制。内部控制制度是现代企业管理的重要手段。不断完善企业内部控制制度，对于防范舞弊，减少损失，提高资本的获利能力具有积极的意义。

第三节　企业建立与实施内部控制的基本原则

企业内部控制制度是企业内部控制的集中体现，应当以国家的法律法规和政策为依据，结合各个单位内部的实际情况，充分考虑面临的外部环境，建立适合企业特点的内部控制模式。《企业内部控制基本规范》第四条规定了企业建立与实施内部控制应当遵循的基本原则。

一、全面性原则

全面性原则是指内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。

全面性包含两层含义：

一是指内部控制制度涉及单位各项业务过程和各个操作环节，覆盖所有的部门和岗位。由于内部控制贯穿于单位整个经济活动，是对单位整个经营管理活动进行控制，因此制定内部控制制度要求全面。

二是指内部控制制度对全体员工都有约束力，即制度面前人人平等，也指在设计过程中，充分听取和吸收执行人员的意见和建议，发挥员工的积极性，使员工自觉执行制度。由于单位是一个普遍联系的整体，因此，制度设计要有系统论的观点，即把单位作为一个整体来考虑。要将各部门和各岗位形成既相互制约又具有纵横交错关系的统一整体，以保证各部门和各岗位均能按照单位的目标相互协调地发挥作用。同时，各内部控制制度要相互衔接，目标统一，从而发挥制度的总体功能，实现内部控制的总体目标。在设计内部控制制度时，可以运用系统论的观点与系统方法的整体性、全面性、层次性、相关性和动态平衡性等特征，设计出纵横交错的内部控制网络与点面结合的控制系统。

二、重要性原则

重要性原则是指内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。对重要经济业务活动要进行重点控制，对一项经济业务活动的关键环节实行重点控制。对关键控制点的选择，应统筹考虑会影响整个企业经营运行过程的重要操作与事项以及能在重大损失出现之前显示差异的事项，有利于对问题做出及时、灵敏的反应。注意能反映单位主要目标的时间与空间分布均衡的控制点。

三、制衡性原则

制衡性原则是指内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

这一点主要体现在内部牵制上。即在部门与部门、员工与员工及各岗位间建立互相验证、互相制约的关系，其主要特征是将有关责任进行分配，使单独的一个人或一个部门对任何一项或多项经济业务活动无完全的处理权，必须要经过其他部门或人员的查证核对。从纵向来说，至少要经过上、下两级，使下级受上级的监督，上级受下级的牵制，各有顾忌，不敢随意妄为；从横向来说，至少要经过两个互相不隶属的部门或岗位，使一个部门的工作或记录受另一部门工作或记录的牵制，借以相互制约。在设计内部控制制度的过程中，一项经济业务活动各项环节尽量由不同部门处理，也可以委托社会中介组织，发挥其比较客观、公正的作用。比如，在工程项目业务中，委托具有相应资质和专业能力的社会中介组织编报项目建议书等；在销售业务活动中，发票开具环节由财务部门的人员处理而不是由销售部门的人员处理，目的在于增强牵制作用。坚持相互制衡的原则，需要明确各单位和部门的职能与性质，明确各部门及人员应承担的责任范围，赋予其相应的权限，职责与权力必须尽可能以规范文件的方式明确地授予具体的部门、岗位和人员，以免发生越权或在出现错误或舞弊时相互推诿扯皮。

四、适应性原则

适应性原则是指内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

单位的内部控制制度要与时俱进，不断修订和完善以始终保证内部控制的适应力和活力。同时，由于各个单位的内部实际情况是不断变化、发展的，面临的外部环境也是随着社会进步而变化和发展的，但是，内部控制制度又是相对稳定的，既要符合现时需要，又要与未来发展相结合，保证在一定时期内的适应力和活力，所以，在设计时要有一定的前瞻性。

五、成本效益原则

成本效益原则是指内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。实行内部会计控制制度本身就是通过完善的内部控制，降低成本和人为因素，最大限度地提高单位的经济效益。如果实行这项制度所花费的成本大于其本身所能带来的效益，就不存在实行内部控制的必要性。选择关键控制点是实现少花费而高效率控制的重要途径。

第四节　实施企业内部控制基本规范应注意的问题

一、基本规范的适用范围

财政部、审计署、中国保险监督管理委员会、中国银行业监督管理委员会、中国证券监督管理委员会对中直管理局，铁道部、国管局，总后勤部、武警总部，各省、自治区、直辖市、计划单列市财政厅（局）、审计厅（局），新疆生产建设兵团财务局、审计局，中国证监会各省、自治区、直辖市、计划单列市监管局，中国证监会上海、深圳专员办，各保监局、保险公司，各银监局、政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、资产管理公司，各省级农村信用联社，银监会直接管理的信托公司、财务公司、租赁公司等有关中央管理企业发文，印发《企业内部控制基本规范》，要求自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。

同时，执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。

因此，基本规范适用的时间范围是自2009年7月1日开始，空间范围是适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。

二、内部控制自我评价

内部控制评价是对企业现有的内部控制系统的设计和执行的有效性进行调查、测试、分析和评价的活动。它是内部控制中的一个必要的系统性活动，是内部控制设计、实施、评价、反馈、改进等连续的动态过程中重要的环节。^[7]

一般情况下，内部控制管理层会对自己的内部管理制度作一个自我评价，并出具自我评价报告。该报告出发点是管理层对内控制度找出差距。

基本规范规定：企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。

有鉴于我国内部控制基本规范与美国《萨班斯法案》的相似之处，我们将会计师事务所等中介机构针对《萨班斯法案》遵循性要求提出的进行财务报告内部控制评价的操作指引介绍给读者。KPMG会计师事务所的报告^[8]认为管理层对内部控制的评估可以分四个步骤来完成，即计划、设计有效性评价、执行有效性评价、评估和报告。

（一）计划阶段

对管理层进行相关法律条款教育，使之了解财务报告内部控制有效性评价的特殊要求对即将开展的财务报告内部控制评价设定一张时间表，进行合理分工，并就确定的重要控制编制文件，做好准备工作等。

（二）设计有效性评价

根据确定的标准，对内部控制设计有效性进行评价，检查现存的内部控制档案，并确定需要改进的内部控制。

（三）执行有效性评价

对内部控制的执行有效性实施监控程序，并对其执行有效性进行评价，对发现的重大控制缺陷和重要控制弱点采取对策，并将执行的程序和评价的结果形成文件，向审计委员会和外部审计人员报告对发现的重大控制缺陷和重要控制弱点采取对策。

（四）评估与报告

与外部审计人员沟通，并对评价结果进行报告，签署管理层声明。

三、信息技术与内部控制

企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。

随着信息技术的发展，许多传统上由人来做的工作可以由计算机来代替，自动控制处理代替了分离的人的角色，从而消除了一个人执行两项不相容的工作的风险。然而，计算机环境下也要有职责分离，例如，一旦某种软件被安装并用于执行某项功能以后，它的编码、运行和维护职责就必须相分离。应当说，职责分离仍然是形成内部控制的重要程序，但在信息技术背景下，这个程序的适用方式发生了变化。所以，当环境发生变化时，专业人员应凭借信息技术来评估内部控制的有效性及相关风险，根据评估结果及时修订内部控制规则。

因此，管理者在建立内部控制制度时，应充分考虑信息技术的能力，打破传统上独立的、反映的和检查性的模式，建立具备“实时”的控制思想：即利用信息技术将控制嵌入到会计信息系统中，在更广泛的信息技术环境中来利用内部控制；针对关键控制点制定相应的控制手段，强调预防、业务操作和对规章制度的遵守情况，广泛地使用信息技术来支持决策和改善业务与信息过程。

一是建立与信息时代相适应的内部控制制度，满足管理者的需要。如随着计算机、网络等信息技术在会计中的广泛应用，一些传统的核对、计算、存储等内部会计控制方式都被计算机这个新型内部控制方式轻而易举地替代。但任何先进手段都是被人所指挥、所掌握，这时首先应培养组织中人员的信息观念，保证组织内所有成员具有一定水准的诚信，并将道德规范、行为准则、能力素质的建设直接纳入内部控制结构的内容，注重培养组织中人员的信息观念，理解信息化建设和管理改革、内部控制创新之间的关系。

二是把握对内部控制人员授权的度，提高被控制对象的受控程度，尽可能杜绝利用高新技术和电脑舞弊犯罪之类的活动。

四、激励约束机制与内部控制

《企业内部控制基本规范》要求企业建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。

绩效考评是组织依照预先确定的标准和一定的考核程序，运用科学的考核方法，按照考核的内容和标准，对考核对象的工作能力、工作成绩进行定期或不定期的考查和评价。企业的绩效考评一般是指对照工作目标或绩效标准，采用一定的考评方法，评定员工的工作任务完成情况、员工的工作职责履行程度和员工的发展情况，并将上述评定结果反馈给员工的过程。绩效考评是绩效考核和评价的总称。绩效考评是企业管理者与员工之间的一项管理沟通活动。绩效考评的结果可以直接影响到薪酬调整、奖金发放及职务升降等诸多员工的切身利益。绩效考评是企业人事管理的重要内容，更是企业管理强有力的手段之一。绩效考评的目的是通过考核提高每个个体的效率，最终实现企业的目标。

绩效考评的重要意义包括：给员工提供了自我评价和提升的机会；使各级主管明确了解下属的工作状况；有利于多种人群之间的沟通；有利于将个人目标和企业组织的整体目标加以协调和相互联系，推进企业目标的实现。

通过企业内部控制绩效考评检查企业内部控制制度的建立和执行情况，是顺利实施内部控制基本规范的重要保证。首先，要对照内部控制相应规范，并结合企业的实际情况，来检查内部控制制度建立的情况是否科学合理，可操作性是否强，是否能够充分地符合企业目前的发展现状，是否能够为企业未来的可持续发展作贡献。结合上述的因素，给予相应的评分和意见，并指定相应的部门及时地做出修改。其次，要明确企业内部控制对象的责任和义务并进行绩效考评。根据内部控制基本规范要求，董事会、管理人员、内部审计人员以及组织中的每个人都对内部控制负有责任。由于我国国有企业的治理结构有其特殊性，还应明确政府出资人、董事会、监事会、经营者等各方的职责和责任，更好地推动企业内部控制机制的完善。最后，要定期检查内部控制制度的执行情况。为了保证企业内部控制制度能有效地发挥作用，并使之不断地得到完善，企业必须定期对内部控制制度的执行情况进行检查与考核，看企业内部控制制度是否得到有效遵循，执行中有何成绩，出现了什么问题，为什么某项内部控制制度不能执行或不完全执行，估计可能产生或已经造成什么后果，从而为下一步企业战略的制定打下基础。^[9]

五、内部控制的外部监督

《企业内部控制基本规范》对企业内部控制建立与实施情况的外部监督权做出了明确的规定。一是规定了政府部门的外部监督权。国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监督检查。二是规定了注册会计师的外部监督权。接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。

对内部控制实行外部监督非常有必要，是由内部控制固有的缺陷决定的。

内部控制是由企业管理当局为实现诸管理目标而建立的一系列规则、政策和组织实施程序，企业管理当局对内部控制制度的制定和执行负责。但政策的制定者是政策的受益者，管理当局不愿意制定和执行限制自身权力、约束自身行为的政策制度，即使有这样的制度，也可能因不具体、缺乏可操作性而流于形式，或者很容易被管理当局超越。因此，内部控制难以防止管理当局的舞弊。

内部控制有三个目标，即经营目标、可靠性目标和合法性目标，管理当局对这三个目标的重视程度是不同的，通常更重视经营目标而无视另两个目标，而使相关内部控制薄弱或被认为逾越。

企业的内部审计部门对本企业的内部控制的健全性、合理性和有效性进行检查和评价，但是内部审计本身就是内部控制的一个组成部分，这种监督作用能否发挥直接受管理当局的影响，独立性较差。内部审计对那些规范和制约管理当局行为的内部控制的制定和执行情况实施有效的监督检查会受到很多因素的制约，如：①组织机构设置是否合理；②董事会、监事会和审计委员会是否能正常开展工作；③高级管理层对待经营风险的态度和控制经营风险的方法，为实现预算、利润和其他财务及经营目标，企业对管理的重视程度以及管理当局对财务报告所持的态度和所采取的措施；④责任分配和授权是否明确和合理等。

因此，没有外部监督的内部控制难以防止、发现和纠正管理当局的差错与舞弊行为，导致企业经营目标无法实现，股东利益受损，危害公共利益。^[10]

第五节　案例分析

一、设计符合企业特点的内部控制制度

随着《企业内部控制基本规范》的实施日期日益临近，对众多企业而言遵从基本规范的规定，完善自身内部控制体系，建立完整有效并与国际接轨的内部控制体系，已经迫在眉睫。在这个崭新的课题面前，考虑到我国内部控制基本规范与COSO内部控制框架实质趋同的实际情况，中国网通的设计案例具有一定的参考价值。

公司内部控制体系探析——来自中国网通的案例^[11]

（一）中国网通内部控制影响因素与框架

1．影响内部控制效果的因素

内部控制系统受固有局限的影响，首先是判断或操作失误。多数的工作都离不开执行人的主观判断和实际操作，可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而导致设计得很完善的内部控制失效。其次是管理层的越权。内部控制系统的效果取决于负责其运行的人员。即便在有效控制的单位中，管理层也可能越过内部控制。管理层的越权是指为了不合法的目的而不遵守既定的规定和程序以获取私人的利益，或夸大企业的财务状况或合法地位。公司中层或者高级管理层成员可能会出于各种目的而越过控制制度，如增加报告中的收入来掩盖市场份额始料不及的下跌、增加报告中的盈利以符合不现实的预算、为了满足盈利计划支持与业绩相联系的分红、想掩盖对债务合同的违反或者遮盖对法规的违反。越权行为包括对银行、律师、会计或供应商有意做出不正确表达或有意提供错误的文件，如订货单和销售发票。再次是合伙同谋。两人或更多人的合伙同谋行为会导致控制的失效，一些合伙违法的人会以控制机构不能识别的方式更改财务信息或其他的管理层的信息。如可能在一名行使重要控制职能的雇员同一位顾客、供应商或另一名雇员之间存在着同谋。不同的部门、不同的销售人员或部门经理，可能会同谋使控制失效以使报告的结果满足预算或满足激励的目标。最后是成本效益原则。资源总是有限的，因此企业必须考虑与建立控制相关的开支和收益。在决定是否应该建立一个控制时，控制失败的风险及其对于企业潜在的影响应该和与建立一个新的控制相关的支出放在一起来考虑。关键是要找到内部控制的合适平衡。过分的控制是浪费和低效的，控制不足也带来控制失效风险。

2．中国网通内部控制框架模型

内部控制框架模型总体上应遵循COSO报告，但应根据企业实际情况和特点，进行修改、完善、补充或局部加强。网通公司以COSO框架为指引进行内部控制体系建设，具体包括公司层面和流程层面两部分。公司层面控制是指那些确保管理层设置在公司内部各个领域、各个业务层面的控制机制得以有效运转的机制。公司层面控制对流程、交易或实施层面的内部控制具有深刻的影响，并且为管理层提供一个机制以支持其监督和维护完善的内部控制体系。借鉴国际上通用的内部控制框架即COSO框架，内部控制包括三个目标：经营的效率与效果、财务报告的可靠性、法律法规的遵循性；五个要素：控制环境、风险评价、控制活动、信息与沟通及监控等；同一网络：内部控制要求覆盖到企业所有责任单位、责任人及业务活动，任何单位和个人不能游离于企业控制体系之外。根据会计科目对财务报告的影响程度和披露事项的重要性确定了与财务报告相关的业务流程，包括收入—市场、收入—网络运营维护、收入—计费、人力资源与人工成本管理、采购及支出、存货管理、固定资产及在建工程、一般会计处理和报告流程、预算管理、税务管理、资金管理、信息系统基本控制——IT和通信设备（计费相关）基础维护。

（二）中国网通内部控制的影响要素控制分析

1．控制环境要素控制要点

按照控制环境包括的七个要素确定控制要点。如图1－1所示。

图1－1　控制环境要素控制关键点示意图

2．风险评估要素控制要点

第一，建立公司层面战略目标（包括经营目标、财务报告目标和遵循性目标）、战略规划（包括IT战略规划）及相应的业务计划。在确定过程中通过预算咨询会方式，获得管理层及公司员工对公司目标的反馈信息。

第二，通过编制3～5年规划和按年滚动调整方式，保持公司战略计划与战略目标的一致性。并通过预算调整程序，保持业务计划、预算目标与公司战略及经营环境的一致性，如预算调整程序。

第三，管理层对内部风险因素，如舞弊因素、信息系统、财务（融资风险）、员工关系（包括薪酬在行业的竞争性）等风险因素建立职责并进行适当的分析报告。

第四，在日常管理活动通过非正式的风险评估程序，如生产经营综合分析形式，对公司面临风险因素的重要性程序及发生的可能性进行分析。

第五，建立生产经营综合分析制度，管理层通过季度综合分析、月度综合分析和专题分析等生产经营分析会形式对公司生产经营状况、财务状况、预算执行情况、网络能力、计划建设、人力资源等方面进行综合分析。生产经营综合分析由财务部牵头，市场经营部、网络运维部、计划建设部、人力资源部等部门配合共同完成，为各级管理层决策提供支持，同时，对公司年度目标和经营计划的执行情况进行评估与更新。

3．控制活动要素控制要点

第一，通过办公会议或公司领导专题办公会研究制定公司发展战略、发展规划、年度计划及其他重大决策，各部门根据公司的业务活动的特点和风险评估的结果，制定了必要的政策和程序。

第二，制定明确的部门职责，对各单位的考核实行月度工作分析、季度考核和年度考核相结合的方式，不断完善绩效考核机制。

第三，对各种业务活动和运营情况制定监督、检查、分析评价和通报机制，对重要事项按照“统一归口、分工负责、协调配合”的原则规定承办、督办要求。同时通过公司自检、定期上报和公司不定期抽查等方式，对执行情况定期进行通报，并纳入公司的考核体系。

第四，制定业务稽核管理办法，建立业务稽核管理体系，定期对资源、业务量、营收业务、计费业务、账务业务进行稽核，对差错和问题及时纠正。

第五，建立财务会计信息披露制度，要求按照集团公司统一的编制基础、编制依据、编制原则和编制方法编报财务会计报告，保障财务报告的真实性、完整性和及时性。对期末结账程序以及财务会计报告职能要与遵循职能相结合评估是否其与法律遵循披露与准则的要求一致。

第六，组织人员对年度财务报告和中期财务报告进行审核，根据审核结果对各单位年度和半年度财务决算进行考评。公司建立有关法律和遵循部门复核和确认对有关信息披露的事项政策。

第七，制定信息系统的政策与程序，关注信息安全、计算机操作、变更管理及程序开发实施与维护等。企业信息化部制定包括信息安全、计算机操作、变更管理、程序开发实施与维护等方面的政策和程序，定期审阅和更新这些政策制度，并以下发文件方式传达至员工。

第八，建立敏感数据安全风险定期评估的政策与程序。各业务部门评估敏感数据的安全风险，并据此合理确立数据分类标准（包括安全等级）及其安全维护规范。系统管理员必须定期对客户数据和重要网络服务的数据进行数据备份。

第九，制定针对于不同应用系统、数据库和操作系统的系统权限和访问控制的计算机网络维护规程，并定期复核，以保证各种数据的保密性、准确性、完整性和安全性。

第十，法律事务部门建立法律法规文件库，设立政策法规专栏，内容包括最新法律、基本法律、工作动态、法制信息、电信法规，并定期更新，及时向管理层和员工宣告。

最后，建立法律遵循事项监督制度，对公司重大决策、与合同签订、内部交易、销售实务及可疑活动等方面进行检查，对发现的违反法律行为予以监督。

4．信息与沟通要素控制要点

第一，制定全面预算管理制度，在公司内上下级之间、同一级的各职能部门之间建立顺畅的沟通协调机制。

第二，建立生产经营综合分析制度，并召开月度和季度的生产经营分析会，对公司经营计划和预算的执行情况进行评估，并对目标实际执行中出现偏差采取应对措施。

第三，公司通过传真电报、通知等文件下发形式，或通过办公系统，将公司相关的政策和程序传达至各个业务分部和各职能部门。

第四，制定员工岗位说明书或指导手册，对岗位职责及任职资格条件做出说明。

第五，公司建立员工的投诉举报热线、电子邮箱等沟通渠道。

第六，管理层应建立有效的与外部关系方的信息沟通渠道。公司可以通过国家部委和外部监管方的文件、期刊、中介机构、互联网、广播、电视、公司采购及销售部门收集的市场和价格信息、外部来信来访、参加行业会议、座谈交流等渠道获取外部信息，并使这些信息在公司与客户、供应商、监管者等外部环境之间有效的传递。

第七，明确规定客户投诉处理程序，建立与客户开放的和有效的沟通渠道和投诉处理机制；明确规定供应商投诉处理程序，建立与供应商开放的和有效的沟通渠道和投诉处理机制。

第八，成立企业信息化领导小组或专业部门作为企业信息化工作的领导机构，负责企业信息化工作的统筹安排、协调及重大决策。

第九，制定档案归档及管理制度，对文件材料（包括电子文档）的归档责任、归档办法和质量要求做出明确规定，对档案的收集整理、查阅、借阅、密级档案查阅办法做出明确要求。

最后，成立保密委员会或专业部门，负责文件保密、计算机网络保密和保密技术的管理等工作。

5．监控要素控制要点

第一，各个业务部门将生产经营数据与财务数据核对，如财务部在每月结算时进行发票核对、稽核计费系统与财务部门核对、网运部建立统计台账与会计账核对等。

第二，财务部在编制会计报告前，核对账证、账账、账表是否一致，对差异情况进行调整，对账表不符属非正常原因的进行警告或通报。

第三，各业务部门将生产经营数据与外部关系方数据进行核对，如业务部门与外部结算方核对、市场部进行网间结算的核对、财务部跟关联方核对关联交易和关联往来、财务部与供应商在年终函证对账。

第四，制定书面的实物资产管理制度，对资产、记录及文档的接触限制。

第五，通过下发年度、半年度财务会计报告的编报制度，要求各部门进行全面资产清查和债权债务核实。

第六，制定有关实物盘点的流程及政策。相关部门负责对实物资产的记录、保护和定期核对。如采购与物流中心对存货、账销案存等实物资产建立备查簿，定期盘点；财务部对银行存款、现金日清月结，定期对账。

第七，通过生产经营分析会的形式对生产经营活动进行综合分析，分析生产经营中出现的问题，下发经营分析通报；或者通过召开总经理办公会议和公司领导专题办公会议制定内部管理体制、听取下级单位的汇报，讨论决策重要事项。

第八，通过组织内部流程质量审核，评价流程体系的适宜性、充分性和有效性，并对不适宜的部分进行调整。

第九，通过效能监察等工作，检查各部门落实企业内部制度和实施管理活动的情况，发现问题，提出整改意见或建议，纠正违规违纪行为。

第十，内部审计及独立第三方检查时保持其独立性与客观性，如实施审计派驻制，集团公司审计部向下派驻审计分部、大区审计处、室。各级审计机构受上级机构与驻地单位双重领导，业务以上级审计机构领导为主；分部人员任命由驻地公司推荐人选，报审计部批准认可。大区审计处人员任命由驻地公司聘任。其他人员的任命由驻地单位推荐，审计分部同意，驻地单位聘任管理。

最后，执行质量保证制度并实施检查程序，保证审计工作的质量，包括工作底稿编制审核、审计报告审核、内部检查及客户调查等方式；建立重要事项报告制度，明确各级机构的报告渠道和报告方式；管理层每年对公司内部控制进行审核，对公司内部控制的重大缺陷进行分析并提出改进措施。

（三）中国网通的反舞弊机制建立

从《萨班斯法案》出台背景、目的和法案内容看，主要针对的是管理人员舞弊行为，特别是会计造假，而反舞弊的机制贯穿于COSO框架的各个要素。建立良好的内部控制并认真遵循和执行，固然可以减少错弊的出现，但管理人员舞弊可以使内部控制失效或制度执行效果下降。因此，对于舞弊这种明显带有主观故意的行为，内部控制框架设计时有必要特别予以关注。反舞弊机制在内部控制报告中应当有专门的阐述。中国网通反舞弊机制主要针对内部控制度的局限，应从以下五个方面着眼：

第一，营造反舞弊控制环境。建立高级管理人员和员工的道德及行为准则，定期检查和复核道德守则和行为准则遵守情况，并对发现的未能遵循情形予以通报。

第二，建立预防、识别公司舞弊风险的内部控制措施与程序。运用风险评估的测试方法，对舞弊风险进行评估测试。另外，管理层建立相应措施积极关注舞弊信号，对舞弊多发领域和环节设置更多的内部控制关注点。

第三，建立有效投诉举报渠道。建立并畅通电话、电子邮件、信函等多种举报渠道，包括内部员工或外部供应商、客户、其他关联方等利益相关方的举报，使有关舞弊的信息得到有效传递。同时，有效举报渠道的存在也是对舞弊行为的一种威慑和控制，因为它可以使舞弊的成本和被发现的概率增加。

第四，对舞弊或违法行为采取必要的措施，并建立报告渠道。对发现的可能舞弊或违法行为采取必要的跟进措施，包括调查人员的组成、实施必要的调查程序。建立对可能舞弊行为的报告渠道，将发现的内部控制中的重大缺陷或者实质性漏洞汇报给高层管理层，特别注意报告的时效性。

第五，针对舞弊反映出的内部控制缺陷进行评估改进。公司管理层定期对舞弊行为情况或者可能舞弊举报情况进行汇总、分析，在此基础上重新评估内部控制，试图发现内部控制重大缺陷，并提出具体改进措施。

（四）中国网通内部审计及公司治理

1．健全以董事会为中心的公司内部审计机制

公司治理包括三大机制，即决策机制、激励机制和监督约束机制，公司内部审计机制则是监督约束机制的核心组成部分，并对其他机制运行产生一定影响。中国网通目前内部审计机制主要为经营层服务，强调组织效率和审计独立性，总部对下属单位实行内部审计派驻制。由于在英美公司法治理体系下，不设立监事会，应选择以董事会为中心的架构改造内部审计监督机制。首先，增强董事会的审计权。增强董事会的事前、事中、事后审计权，特别是事前审计和事中审计权，需从三个方面着手：一是财务审计权，二是战略审计权，三是代理人绩效审计权。董事会作为治理主体必须具有这些权力。公司内部审计制度应当经董事会批准后实施，审计负责人向董事会负责并报告工作。其次，改善董事会审计信息质量。董事会拥有足够的高质量信息，才能监督、控制各个系统，完成以股东为首的利益相关者赋予的职责。由于独立董事的工作时间有限，提供给他们的信息必须简捷而准确。所以需要对各类信息及其来源进行鉴别，由审计委员会负责审查公司财务活动及相关信息，同时提供审计信息。如果审计委员会成员缺乏足够的时间和精力，审计信息质量就难以保证。通过限制审计委员会成员的兼职、强化内部审计师职责和外部审计师责任，可以使其更好地完成信息收集、审计工作，提出审计建议。再次，评价董事和董事会绩效。通过董事和董事会绩效评价，明确董事个人与董事会的集体作用及责任，可以使董事会更有效率。对董事会与经理层绩效进行评价，是独立董事的主要职责之一。独立董事组成的审计委员会或公司治理委员会、提名委员会（均称为绩效评价委员会）代表所有利益相关者对董事和董事会绩效进行评价。绩效评价委员会根据董事的能力确定责任，如战略规划的责任、选择经营者的责任、作为监督者的责任、风险管理责任等；根据责任确定董事的相应目标，并对目标实现程度进行评价；评价结果由绩效评价委员会提交股东会。中国网通已经建立了较为完善的董事会绩效评价制度，但内部审计机制对其支撑还有待完善。

2．完善公司治理

内部控制与公司治理的关系是内部管理监控系统与制度环境的关系。只有在完善的公司治理环境中良好的内部控制系统才能真正发挥作用，提高企业的经营效率与效果，并加强信息披露的真实性；反之，若没有科学有效的公司治理结构，无论是多么优秀、设计如何有效的内部控制制度也会流于形式而难以收到既定效果。公司治理的内容与内部控制存在交叉，公司治理结构分为通过市场竞争形成的外部治理机构和股东大会、董事会、管理层组成等内部治理结构，而内部治理结构是所有者对管理者实施监督的控制机制。中国网通也清楚地认识到了这些，在完善公司治理方面一直在努力创新，不断尝试：一是建立以董事会为核心的现代公司治理机构。中国网通按照海外证券监管法律，以上市公司最佳实践为参考，建立一系列的董事会、管理层运行机制。如公司董事会成员共有13人，其中外部董事9人，包括独立非执行董事5人。董事会下设审核委员会、提名与薪酬委员会、战略规划委员会、公司治理委员会等，初步建立了比较符合国际惯例的委员会制度，很多委员会实际上是由独立董事拥有多数表决权。二是调整制度安排以促进内部控制体系建设。不断协调原有制度安排与新机制间的关系，提出创新方案，促进内部控制体系的完善。如在董事会专门设立监督委员会，协调所有监督机制，并专门负责对于董事、管理层人员在绩效考核、道德规范、商业贿赂、腐败、内幕交易等行为方面的监督，使得内部控制在公司治理层面有了更充分的体现，也弥补了审核委员会仅仅关注财务舞弊等控制方面的不足。

二、内部控制自我评价报告

2003年度中国石油化工股份有限公司内部控制管理层自我评价报告突出反映了管理层的自我评价意见，具有代表性。该报告内容详尽，值得研究。有关内部控制管理层自我评价报告详细内容和结构如下：

中国石油化工股份有限公司内部控制管理层自我评价报告^[12]

董事长、副董事长及各位董事：

2002年7月，美国颁布了《萨班斯法案》，对在美国上市的公司内部控制及其披露做出了规定。中国财政部、证监会、上海证券交易所、香港交易所对上市公司加强内部控制亦均有规范。作为境内外四地上市公司，中国石化管理层对此高度重视，认为建立和有效实施内部控制制度既是遵循境内外有关监管法律法规的要求，更是企业自身防范风险、提高管理水平的内在需要。董事长、总裁和财务总监亲自领导，公司于2003年5月成立了内部控制领导小组，设专职内部控制办公室，组织、协调内部控制制度建设和实施的相关工作。经过清理修订相关的内部管理制度，测试、培训和一年多的试运行，2004年10月31日公司第二届董事会第十二次会议通过了《内部控制手册》，并于2005年1月1日起在公司正式实施。通过两年的实施和修订，内部控制范围逐步扩大，《内部控制手册》不断完善，具备了实用性。此外，公司制定“员工行为守则”，增强全体员工“守法纪、讲诚信”的意识，努力营造良好的内部环境。为保证内部控制制度有效实施，公司按照外部监管要求和内部考核要求，制定了内部统一的自我检查程序和评价标准——《股份公司内部控制检查评价与考核暂行办法》。2006年8～11月，内部控制领导小组在2005年全面检查的基础上，组织对总部和87家分（子）公司内部控制包括IT控制执行情况检查测试，公司审计部独立参与了内部控制检查测试。经公司内部控制办公室跟踪复查，检查中发现的所有与财务报表相关的未有效执行的控制点，都已整改落实，并已体现在2006年度财务报告中，其他管理方面问题也基本整改或有整改措施。公司认为，本报告期内公司与财务报告相关的内部控制及IT控制有效，编制的财务报告符合境内外上市地会计准则所有披露信息符合监管要求。有关情况报告如下：

（一）基本情况

1．内部控制组织机构

公司总部及其所属分（子）公司均设立了内部控制管理机构和工作机构。总部设内部控制领导小组，总裁兼任组长，财务总监任副组长，各部门负责人为成员。领导小组设专职内部控制办公室，由财务副总监、财务部主任兼任办公室主任，在财务部设置内部管理处，配备专职工作人员7人，全部具备大学本科及以上学历。其中博士研究生1名，硕士研究生及同等学历4名，大学本科2名。具体负责内部控制的日常监管，《内部控制手册》更新和内部检查评价的组织、协调工作。各分（子）公司也相应成立内部控制领导小组，组长均由经理兼任，80%的企业内部控制办公室主任由财务部门负责人兼任。各企业配备专职内部控制管理人员45名，兼职人员718名。

2．内部控制制度建立健全情况

自2003年起，公司内部控制领导小组组织各部门编制了《内部控制手册》，主要内容包括总则、业务流程、权限指引等。其主要特点是按业务分类进行流程控制，对业务执行过程中重要步骤或环节的记录要求、责任、授权、不相容职务分离检查测试等进行规范，内容涉及生产经营活动的几乎所有方面。《内部控制手册》适用总部和各分（子）公司，考虑到不同板块分（子）公司的业务差异，业务流程执行的范围有所不同。各分（子）公司按照适用的业务流程，结合实际，按照“更严更细、更具体”的原则，制定相应的实施细则，增强针对性和操作性，构建了股份公司两级内部控制制度体系。

2005年正式实施内部控制制度以来，根据各企业在执行过程中反映的问题和建议，以及一些业务管理要求的变化，结合外部监管要求和审计师的建议，内部控制领导小组2005年、2006年两次组织了对《内部控制手册》年度更新，分别经公司第二届董事会第二十三次会议，第三届董事会第七次会议审议通过并颁布实施。经过两次较大幅度的修订，内部控制制度更加完善。更新后的《内部控制手册》确定了53个业务流程，内容涵盖了采购、成本、费用支出、销售、资金、资本支出、资产、关联交易、合并报表、重大事项、信息、生产运行、安全环保、税务管理、监督检查等15大类。为了确保业务流程记录覆盖到财务报告中重要会计科目相关的所有认定，包括存在性、完整性、准确性、估价与分摊、权利与义务及表达与披露等，降低会计信息质量风险，公司内部控制办公室还编制了统一的《控制矩阵》。公司在不断完善《内部控制手册》的同时，对总部相关的内部管理制度进行了全面梳理，目前《内部控制手册》共引用有文号的制度和管理文件204项，已经出版了《〈内部控制手册〉配套规章制度汇编》下发到各企业。

各分（子）公司均能严格按照总部要求，每年修订内部控制实施细则，梳理、完善各项规章制度，一些企业还结合实际增加了内部控制业务流程和控制点。内部控制制度及时修订和不断完善，为内部控制的有效实施提供了制度保障。

（1）内部控制宣传与培训。公司内部控制专职人员参加了国外国内举办的《萨班斯法案》及相关指引、内部控制及风险管理理论以及中国会计准则、国际会计准则、美国会计准则的培训，定期登录国内外相关网站，掌握有关内部控制的最新信息。公司在2003年、2005年先后两次专门召开全系统内部控制工作电视电话会议，集团公司党组、总裁班子多次召开会议听取内部控制工作汇报，部署工作。公司内部控制办公室利用《中国石化报》、《中国石化财会》设置“内部控制专栏”，发表文章，多渠道宣传内部控制理念和知识。2003年以来，总部共组织集中培训15次，培训各级领导干部3000多人次。公司内部控制办公室还派员赴各企业开展各种形式的宣传、培训和指导。

各分（子）公司也积极开展了全方位、多层次的内部控制培训工作，举办了各类培训班，充分利用电视、报刊、墙报和网络等形式宣传内部控制。有73家企业专门召开公司级内部控制工作会议，74家企业开展了各种形式的宣传工作。各分（子）公司参加内部控制培训近13万人次。多层次、多形式的宣传培训，进一步提高了各级管理层和员工对内部控制制度的认识，拓宽了广大员工的内部控制知识，内部控制基础管理工作得到加强。

（2）内部控制日常管理。公司内部控制办公室负责指导、监督股份公司内部控制制度实施工作，定期向内部控制领导小组汇报内部控制工作进展情况，对内部控制年度综合检查评价、《内部控制手册》修订等重大事项专门向集团公司党组、股份公司董事会报告。总部各部门每半年对分管责任流程进行测试并参与公司年度综合检查。审计部每年独立对20家企业进行内部控制检查评价。

各企业通过内部控制例会、内部控制专题会议、生产调度会、月度经营活动分析会、年度工作会议等，安排部署内部控制工作，协调解决执行中遇到的问题，建立内部控制工作机制。企业在内部控制制度实施过程中，对于《内部控制手册》未明确规定的特殊事项，上报公司内部控制办公室，逐级汇报后批复执行。企业各部门按照分工的责任流程每季度进行穿行测试，内部控制办每半年组织一次本企业全面内部控制检查，企业内审部门独立检查5～20个业务流程。为指导企业自查测试工作符合总部要求，公司内部控制办公室发布了完善分（子）公司自查的指导意见。建立内部控制日常管理机制，完善了内部控制信息沟通渠道，推动日常内部控制工作的顺利开展。

（二）2006年度内部控制检查评价

1．制定方案，组织内部控制综合检查测试

检查范围。为全面落实内部控制制度，股份公司内部控制领导小组确定对总部及87家分（子）公司进行全面检查。其中，审计部独立检查评价15家，公司内部控制办公室组织对总部各部门和72家企业检查。

人员分组。自2006年8月3日至11月20日，总部共抽调近500名部门和企业专业人员，组成28个检查小组，平均每组17人（其中IT专业4人），负责检查3～4家企业。考虑每组搭配不同专业人员和检查独立性，将来自不同部门、企业的人员分配在不同的组内且不能检查本单位，检查小组组长由总部部门主任（副主任或总会计师）担任，每组设副组长2名，分别由总部机关处长和企业处长担任，配联络员1名，由总部机关业务骨干担任。

总部各有关部门在公司内部控制办公室指导下自查，自查结果由内部控制办公室复核后提出整改要求，检查培训。为保证检查质量，公司内部控制办公室组织编写了培训教材，并联合信息系统管理部、审计部在检查前举办了三场培训，参加培训人数共计1000多人次，所有参检人员接受了内部控制检查评价培训。公司内部控制办公室还对负责填写“业务流程检查工作底稿”及“财务报告相关控制点抽样记录表”的各检查成员提供了充足的培训，并提供了《内部控制检查评价指南》及“潜在错报率对照表”，指导检查人员现场评价。

2．内部控制检查评价方法

评价要素。按照《内部控制手册》和《内部控制检查评价暂行办法》规定，总部检查小组以“内部控制环境评价表”、“IT一般性控制检查评价办法”、“控制矩阵”、“财务报告相关控制点抽样记录表”、“业务流程检查工作底稿”及“自查情况评价表”为依据，对内部控制环境、风险评估、内部控制行为、内部沟通及监管五大要素进行评价。

抽样方法。根据“财务报告相关控制点抽样记录表”，检查人员随机抽取样本作测试的基准。每年发生一次抽取1个样本，每季度或每月发生一次抽取2个样本，每周发生一次抽取5个样本，每日发生一次抽取15个样本，每日发生多次抽取30个样本。该基准考虑了控制点的性质、频率及其重要性，所测试的样本量充分足够，符合外部监管要求。对于非财务报告相关的控制点，规定检查人员至少应抽取3个样本测试，样本量至少3个时则需全部抽取。检查人员还要依据被检查单位二级单位的核算、数量、规模等情况，结合业务流程，选择一定数量的二级单位抽查；对被检查单位所属全资子公司、控股子公司原则上要全部检查，无法全部检查的要对影响大、规模大的子公司重点抽查。

风险认定。检查小组根据“内部控制缺陷评价框架”，对会计信息质量风险、IT控制风险及重大事故事件风险进行判定。主要利用公司《内部控制手册》及控制矩阵等方法对各分（子）公司相对的财务比重及存在重大错报的风险，包括辨认任何一种特殊的风险，做出评估。公司内部控制办公室负责评估内部控制的设计及执行有效性。所有被发现的缺陷依据其所属的重要会计科目、披露及COSO的所属元素，按照金额及性质，从各分（子）公司归类汇总至公司总部层面，并将缺陷分类为：①实质漏洞，是严重缺陷的汇总，可导致有一定可能性不能防止或发现年度或中期财务报表的重大错报；②严重缺陷，是一般控制缺陷的集合，会影响公司按照公认会计原则可靠地初始化处理、授权、记录、处理或对外报告财务数据的能力，以致有可能导致不能防止或发现对公司年度或中期财务报表大量不重要的错报；③一般控制缺陷，个别或归类汇总后均不能形成实质性漏洞或严重缺陷，按照缺陷性质及影响数额的大小又划分为一般风险和重大风险。

检查结果确认。现场检查完成后，检查小组须与被检查单位交换意见，通报检查结果。现场检查全面结束后，公司内部控制办公室统一复核各类风险评价结果，跟踪为执行控制点的整改落实情况，确认各单位的最后评分，作为考核各企业的依据。

检查资料要求。在业务流程的检查中，要求检查人员至少对一笔业务穿行测试，复印留存所有穿行测试样本，对所有“未执行”控制点及风险评价情况，要复印留存样本资料及相关证明材料。有效执行控制点及ERP上检查的控制点无须复印留存相关资料。各单位的业务检查工作底稿或访谈记录要由被检查单位流程责任部门负责人签字确认。有关检查评价报告、各类附表、工作底稿、抽样记录以及复印留存的相关资料等统一采用A4纸打印装订。检查样本及相关资料统一编号，并与检查工作底稿填列内容一致。按照《上海证券交易所上市公司内部控制指引》的全部检查工作资料至少保存10年的要求，公司内部控制办公室对所有检查评价资料统一分类保存。

3．内部控制综合检查结果

内部控制手册执行良好。2006年版《内部控制手册》49个业务流程、998个控制点，与财务报告相关的36个业务流程、279个控制点。在本次检查中，共发现15家分（子）公司有22个会计信息质量风险和1个IT控制风险，均为一般控制缺陷。共涉及44个业务流程、435个控制点未有效执行。其中，与财务报告相关32个业务流程、135个控制点未有效执行。84家企业（不含3家中外合资公司）累计未执行控制点1189个次，控制点执行率为96%，其中财务报告相关控制点累计未执行412个次。IT控制检查主要集中在总部和企业的整体控制层面、ERP系统、^[13]财务系统、IC加油卡系统和信息基础设施。

报告管理层检查结果。公司内部控制办公室、审计部汇总整理内部控制综合检查结果后，将发现的各类问题于11月30日、12月5日、12月19日分别向内部控制领导小组、公司总裁班子、集团公司党组汇报。管理层拟定了各项整改措施，并已将检查中发现的所有内部控制缺陷告知毕马威会计师事务所相关内部控制内审人员。

整改落实情况。检查中发现的22个会计信息质量风险中，有20个风险已经得到了整改或视同整改（其中5个风险已有替代方案，视同整改）。在1189个次未执行控制点中，986个次已得到整改，6个次有替代控制措施，148个次已制订了整改方案，未整改的49个次控制点，并未影响公司财务报表数据。信息系统管理部也在2006年12月31日前组织对IT控制检查发现的问题进行了整改。对总部部门自查中发现的内部往来对账，关联交易和会计核算等方面的问题，公司内部控制办公室要求各部门逐一整改。公司内部控制办公室在2007年1月，已经对内部控制和控制整改落实情况进行了复查，整改情况较好，整改工作已经于2006年12月31日之前完成，并已落实到2006年度财务报告。

4．内部控制有效性评价

内部控制环境。中国石化管理层持续推行和弘扬“竞争，规范，诚信”的企业文化，提高职业道德操守方面的指导和培训，增强全体员工“守法纪，讲诚信”的意识。《内部控制手册》中每一个程序都遵循了法律法规的要求，公司内部已通过“员工行为守则”规范全体员工应有的道德标准和品行政策以及可被接受的商业行为，利益冲突的处理原则，营造良好的内部控制环境。总部各部门及各分（子）公司均能围绕公司整体战略目标和经营目标开展工作，在经营管理过程中重视内部控制，树立合法、诚信的经营理念和积极向上的价值取向，重视员工思想政治工作和道德品质教育，上下信息沟通渠道畅通。检查中发现公司不存在商业欺诈行为。组织机构设置基本合理，适应管理及改革发展需要，明确了关键岗位人员素质要求。建立了激励与约束机制，并通过教育培训，不断提高员工素质和工作胜任能力。

风险评估。按照公司持续发展的目标，针对日常经营各项业务的经营风险、财务报告风险、遵循内外部法律法规的合规性风险、财产安全风险、经营过程中的舞弊风险等，公司建立健全以内部控制制度为基础的风险评估和风险控制体系。根据业务流程记录要求，公司分析了对经营目标和财务报告目标有重大影响的关键环节，结合近几年的内部审计检查中发现的问题和不足，并参考外部审计师提供的历年审计记录，进行全面风险评估。根据评估结果，公司制定了统一的《内部控制手册》，加强内部监控及完善相关的内部管理制度。各分（子）公司结合本单位各项风险评估，补充制定实施细则。《内部控制手册》每年予以更新，并经过董事会批准。这些措施对财务报告防止内部舞弊，保证财产安全以及规范等提供了合理的保障。公司每月召开经营活动分析会议，持续对以下风险进行评估，制定对策和措施，并在公司年度报告和中期报告（由董事会审议通过）中对外披露风险因素及其评价结果。①宏观政策风险，包括商品价格风险、税收风险。②市场或业务经营风险，包括与本公司业务有关的风险，与石油及石化行业有关的风险，与中国有关的风险。③财务风险，包括外币汇率风险和利率风险。此外，为有效防范和降低经营财务风险，公司还围绕中期、长期战略目标，编制3年滚动预算、5年规划，并向董事会汇报，由各位董事和战略发展委员会委员审阅把关。

防止、监察舞弊及资产保全控制。公司采用控制矩阵方法确定防止及监察舞弊和职责分工的控制。控制矩阵对控制点负责人及相关职责分工进行了明确的规定，参照控制矩阵，设计出各种模板以评价各控制设计和执行的有效性。在内部控制检查过程中，检查人员询问相关人员对控制流程的理解，以确保员工实施控制所具备必要的知识、专业技能、职业资格和独立性，防止及监察舞弊的发生。公司已在控制矩阵里记录了相关要求，控制的设计和运行的有效性的测试结果也记录在相关模板（检查工作底稿）内。公司在监察部设置了包括内部控制问题的举报电话，并制定举报事项处理程序。

信息沟通。公司大力发展和改善IT系统，积极推行信息化管理，提高工作效率和效果。现已建成并使用电子商务系统，浪潮财务管理信息系统，SAP系统^[14]等。公司制定了一系列管理办法和业务流程对使用信息系统进行规范，信息系统管理部负责对所有信息系统的控制和维护。公司明确了财务报告的沟通机制《内部控制手册》和内部会计制度，规定了所有涉及财务报告的职责，财务总监与所有部门、财务部与各分（子）公司财务部门沟通顺畅。公司管理层与外部及部门之间、部门与企业之间、公司管理层与董事会之间沟通顺畅。公司监事会与审计委员会审核对外披露的财务报表和其他财务信息。作为境内外四地上市的公司，中国石化保持与股东和监管机构的沟通，按照外部监管法规制定了信息披露的规则和流程定期对外披露信息。公司接受了中国证监会、国有资产监督管理委员会、国务院外派监事会、国家审计署等监管机构的检查。

监督。公司管理层每月召开经营活动分析会，对经营成果及关键财务指标进行审核和分析。财务部分析各板块预算执行偏差，各事业部跟踪监控各分（子）公司预算执行情况。公司管理层每季度向董事会汇报季度经营成果，所有董事对公司和石化行业有着丰富的经验，并获知财务报表和相关信息，包括管理层分析与讨论以及各事业部等生产经营部门的主要数据统计分析。审计部定期独立审查分（子）公司。公司董事会设立了审计委员会，该委员会由3名成员组成（包括所有独立董事），并由一名独立非执行董事担任主席。审计委员会审查财务报告的程序和内部控制。年度报告和内部审计报告须经审计委员会审核批准。公司内部控制办公室和审计部组织内部控制检查评价，外部审计师内部控制评价情况已经与公司管理层进行沟通及反馈。公司对已知的诉讼案件，登记造册，详细记录，跟踪监控。

公司认为，总部及分（子）公司自2005年全面实施内部控制以来，内部控制制度不断完善。2006年内部控制检查测试的书面记录充分，符合外部监管的法律法规。本报告期内，管理层有充分的证据证明公司内部控制体系设计合理和执行有效。公司并无在评价日以后并购任何重大的需合并或按比例合并的企业，也无在评价日以后购入任何重大的以权益法核算的企业。

（三）2007年内部控制工作计划

2007年，公司将致力于促进规范管理、防范各类风险，努力搭建以内部控制制度为核心的制度化管理体系框架。

（1）针对自我检查中发现的薄弱环节，从财务基础工作入手，统一和规范工作标准，包括如何确认固定资产，如何进行存货盘点、内外部对账和计提各项减值准备等，并制作相关规范的凭证、表单和文档资料样式。

（2）建立总部内部控制业务流程联系人制度和完善内部控制工作日常沟通机制，将内部控制要求融入公司日常经营管理工作，建立内部控制长效机制。

（3）不断完善内部控制制度。公司将总结各分（子）公司先进的管理经验，选择较为成熟的内容逐步推广，尽可能落实到《内部控制手册》中或制度层面，同时对适用性、可操作性存在问题的业务流程进行专门评论，提出改进方案，不断完善内部控制手册。公司将进一步完善内部控制评价办法，组织好2007年度内部控制自我检查评价工作。

本章小结

本章主要介绍了五个方面的内容。

第一部分归纳了我国内部控制发展的主要阶段，整理了我国内部控制相关的法律法规，介绍了《企业内部控制基本规范》出台的背景。我国内部控制发展经历了行业自控阶段、内部会计控制阶段、内部控制系统化阶段等三个阶段，涉及的主要法律法规14项之多。此次出台基本规范主要有五个方面的重大作用：一是适应国际内部控制发展的新趋势，二是政府履行宏观经济管理职能的内在要求，三是促进会计审计改革的顺利实施，四是促进资本市场健康稳定发展、维护社会公众利益，五是企业生存发展壮大的重要保障。

第二部分讲述了企业内部控制的基本理论。内部控制理论发展历程可以分为内部牵制、内部控制制度、内部控制结构、内部控制整体框架和企业风险管理框架五个阶段。内部控制的定义由最初的一种协调制度要素到与风险管理相结合的框架，经历了一要素、二要素、三要素、五要素、八要素的发展过程，内部控制的目标由经营性、合法性、财务报告目标三个目标发展为四个目标即增加战略性目标。内部控制形成了主要的控制方法包括目标控制法、组织控制法、授权控制法、程序控制法、检查控制法、风险控制法、预算控制法等。

第三部分讲解了《企业内部控制基本规范》中规定的企业建立与实施内部控制的五项基本原则，即全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则的基本含义。

第四部分解释了实施企业内部控制基本规范应注意的问题。一是解释了基本规范的适用范围是自2009年7月1日开始，适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。二是企业管理层对内部控制的评估的基本步骤。三是如何正确运用信息技术、绩效考评机制和外部监督来促进内部控制的实施。

第五部分结合本章介绍的主要内容，精选了中国网通和中国石化两个案例帮助读者理解内部控制制度的设计和内部控制的评价具体操作方法。

本章的重点与难点：内部控制基本规范出台的重大意义，内部控制理论的基本发展阶段和定义、目标、要素的发展过程，企业建立和实施内部控制的基本原则，企业内部控制评价的基本步骤。

复习思考题

1．请叙述我国《企业内部控制基本规范》与美国《萨班斯法案》的相互联系。

2．请简要说明内部控制要素的构成。

3．我国内部控制目标的特点是什么？简述我国内部控制要素与ERM框架要素的异同点。

4．建立和实施内部控制的基本原则是什么？

5．内部控制有哪些基本方法？

6．内部控制的实质是什么？

7．内部控制有何作用？

【注释】

[1]王梅、吴昊昊：《会计、审计与内部控制发展历程》，《经济理论研究》，2007年第7期。

[2]企业内部控制标准委员会秘书处编：《内部控制理论研究与实践》，中国财政经济出版社，2008。

[3]王湛：《内部控制外部化的思考》，《内部控制理论研究与实践》，中国财政经济出版社，2008。

[4]刘明辉、张宜霞：《内部控制的经济学思考》，《内部控制理论研究与实践》，中国财政经济出版社，2008。

[5]肖玉金：《企业内部控制评价研究》，暨南大学硕士论文，2007。

[6]王如燕：《内部控制理论与实务》，中国时代经济出版社，2008。

[7]肖玉金：《企业内部控制评价研究》，暨南大学硕士论文，2007。

[8]朱荣恩、应维、袁敏：《美国财务报告内部控制评价的发展及对我国的启示》，《会计研究》，2003年第8期。

[9]王坤：《关于企业内部控制中实施绩效考核制度的几点看法》，《民营科技》，2008年第11期。

[10]程晓陵、王怀明：《论内部控制的外部监督》，《生产力研究》，2007年第6期。

[11]叶陈刚、翟健勇：《公司内部控制体系探析——来自中国网通的案例》，《财会通讯》（学术），2008年第4期。

[12]王如燕：《内部控制理论与实务》，中国时代经济出版社，2008。

[13]ERP是英文Enterprise Resource Planning（企业资源计划）的简称。ERP系统是指建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平台。

[14]SAP（Systems，Application，and Products in Data processing）是一个领先的ERP软件，由SAP公司生产。