本章的主要內容包括：

一是內部控制的目標、原則與要素。

內部控制目標5個：包括促進遵循國家法律法規；促進維護資產安全、促進提高信息報告質量；促進提高經營效率和效果；促進實現發展戰略。

內部控制原則5個：包括全面性原則；重要性原則；制衡性原則；適應性原則；成本效益原則。

內部控制要素5個：包括內部環境、風險評估、控制活動、信息與溝通和內部監督。

二是企業層面和業務層面控制。

企業層面控制5項內容，包括組織架構控制、發展戰略控制、人力資源控制、社會責任控制和企業文化控制。

業務層面控制13項內容，包括資金活動控制、采購業務控制、資產管理控制、銷售業務控制、研究與開發控制、工程項目控制、擔保業務控制、業務外包控制、財務報告控制、全面預算控制、合同管理控制、內部信息傳遞控制和信息系統控制。

三是內部控制評價。內部控制評價，是指企業董事會或類似權力機構對內部控制的有效性進行全面評價、形成評價結論、出具評價報告的過程。

四是內部控制審計。內部控制審計，是指會計師事務所接受委托，對特定基準日內部控制設計與運行的有效性進行審計。

考點： 內部控制的目標、原則與要素

一、內部控制目標

內部控制的定義：內部控制是由企業董事會、監事會、經理層和全體員工共同實施的、旨在實現控制目標的過程。

○董事會：董事會是內部控制實施的主體之一，此外，董事會、董事長也應受內部控制制約。

○實施主體：董事會是決策者，經理層是執行者，監事會是監督者，他們都是內部控制實施的主體；此外，內部控制還需要全體員工的參與實施。把監事會寫進去是中國特色，因為美國公眾公司沒有監事會，但有獨立董事；德國公司設監事會。

○過程：內部控制不能凌駕于企業經營活動之上，它必須嵌入企業生產經營的整個過程；過程是動態的，適合企業的才是最好的。

內部控制的目標：是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。

（一）促進遵循國家法律法規

守法和誠信是企業健康發展的基石。逾越法律的短期發展終將付出沉重代價。內部控制要求企業必須將發展置于國家法律法規允許的基本框架之下，在守法的基礎上實現自身的發展。

（二）促進維護資產安全（不同于COSO報告）

資產安全完整是投資者、債權人和其他利益相關者普遍關注的重大問題，是企業可持續發展的物質基礎。良好的內部控制，應當為資產安全提供扎實的制度保障。

（三）促進提高信息報告質量

可靠的信息報告能夠為企業管理層提供適合其既定目的的準確而完整的信息、支持管理層的決策和對營運活動及業績的監控；同時，保證對外披露的信息報告的真實、完整，有利于提升企業的誠信度和公信力，維護企業良好的聲譽和形象。

（四）促進提高經營效率和效果

該目標要求企業結合自身所處的特定的經營、行業和經濟環境，通過健全有效的內部控制，不斷提高營運活動的盈利能力和管理效率。

（五）促進企業實現發展戰略

這是內部控制的終極目標。它要求企業將近期利益與長遠利益結合起來，在企業經營管理中努力做出符合戰略要求、有利于提升可持續發展能力和創造長久價值的策略選擇。

注意：上述目標之間有交叉。

二、內部控制原則

內部控制原則是企業建立與實施內部控制應當遵循的基本指針。企業建立與實施內部控制應當遵循5項原則，即全面性、重要性、制衡性、適應性和成本效益原則。

（一）全面性原則

內部控制應當貫穿決策、執行和監督全過程，覆蓋企業及其所屬單位的各種業務和事項實現全過程、全員性控制，不存在內部控制空白點。

（二）重要性原則

內部控制應當在全面控制的基礎上，關注重要業務事項和高風險領域，并采取更為嚴格的控制措施，確保不存在重大缺陷。重要性原則的應用需要一定的職業判斷，企業應當根據所處行業環境和經營特點，從業務事項的性質和涉及金額兩方面來考慮是否及如何實行重點控制。

（三）制衡性原則

內部控制應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督，同時兼顧運營效率。制衡性原則要求企業完成某項工作必須經過互不隸屬的兩個或兩個以上的崗位和環節；同時，還要求履行內部控制監督職責的機構或人員具有良好的獨立性。

（四）適應性原則

內部控制應當與企業經營規模、業務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化加以調整。適應性原則要求企業建立與實施內部控制應當具有前瞻性，適時地對內部控制系統進行評估，發現可能存在的問題，并及時采取措施予以補救。

（五）成本效益原則

內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。成本效益原則要求企業內部控制建設必須統籌考慮投入成本和產出效益之比。對成本效益原則的判斷需要從企業整體利益出發，盡管某些控制會影響工作效率，但可能會避免整個企業面臨更大損失，此時仍應實施相應控制。

三、內部控制要素

借鑒COSO（Committee of Sponsoring Organizations of the Treadway Commission，全美反欺詐財務報告委員會下屬的發起人委員會，該委員會于1992年頒布了《內部控制—整體框架》，提出了五要素的觀點。COSO內部控制框架是美國證券交易委員會唯一推薦使用的內部控制框架，同時《薩班斯法案》第 404 條款的【最終細則】也明確表明 COSO內部控制框架可以作為評估企業內部控制的標準。）報告框架，我國《企業內部控制基本規范》將內部控制的要素歸納為內部環境、風險評估、控制活動、信息與溝通、內部監督5大方面。

（一）內部環境

企業作為一個系統，總是在一定的環境下運行的。環境分為外部環境與內部環境，無論是制定戰略還是實施內部控制，企業都需要首先對內、外部環境進行認真深入的審視。

外部環境對企業內部控制的影響更多體現的是約束和規范，但不能把它作為內部控制系統的組成部分，因為它超出了企業的控制能力。

內部控制應當是一種內部行為，加強內部控制的原動力應當來源于企業自身，企業外部任何試圖促使企業加強內部控制的影響因素，在企業不具備原動力的情況下，都很難取得好的效果。因此，內部環境是直接造成各企業內部控制形式和內容差異的根本原因。

內部環境規定企業的紀律與架構，影響經營管理目標的制定，塑造企業文化氛圍并影響員工的控制意識，是企業建立與實施內部控制的基礎。內部環境主要包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。

1.治理結構

公司治理結構指的是內部治理結構，又稱法人治理結構，是根據權力機構、決策機構、執行機構和監督機構相互獨立、權責明確、相互制衡的原則實現對公司的治理。

治理結構是由股東大會、董事會、監事會和管理層組成的，決定公司內部決策過程和利益相關者參與公司治理的辦法，主要作用在于協調公司內部不同產權主體之間的經濟利益矛盾，減少代理成本。

2.機構設置與權責分配

公司制企業中股東大會（權力機構）、董事會（決策機構）、監事會（監督機構）、總經理層（日常管理機構）這四個法定剛性機構為內部控制機構的建立、職責分工與制約提供了基本的組織框架，但并不能滿足內部控制對企業組織結構的要求，內部控制機制的運作還必須在這一組織框架下設立滿足企業生產經營所需要的職能機構。

所采用的組織結構應當有利于提升管理效能，并保證信息通暢流動。

3.內部審計機制

內部審計控制是內部控制的一種特殊形式。根據中國內部審計協會的解釋，內部審計是指組織內部的一種獨立客觀的監督和評價活動，它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。

內部審計的范圍主要包括財務會計、管理會計和內部控制檢查。內部審計機制的設立包括內部審計機構設置、人員配備、工作開展及其獨立性的保證等。

4.人力資源政策

人力資源政策是影響企業內部環境的關鍵因素，它所包括的雇用、培訓、評價、考核、晉升、獎懲等業務，向員工傳達著有關誠信、道德行為和勝任能力的期望水平方面的信息，這些業務都與公司員工密切相關，而員工正是公司中執行內部控制的主體。

一個良好的人力資源政策，能夠有效地促進內部控制在企業中的順利實施，并保證其實施的質量。

5.企業文化

企業文化體現為人本管理理論的最高層次。企業文化重視人的因素，強調精神文化的力量，希望用一種無形的文化力量形成一種行為準則、價值觀念和道德規范，凝聚企業員工的歸屬感、積極性和創造性，引導企業員工為企業和社會的發展而努力，并通過各種渠道對社會文化的大環境產生作用。

企業應當加強文化建設，培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業、開拓創新和團隊協作精神，樹立現代管理理念，強化風險意識。董事、監事、經理及其他高級管理人員應當在企業文化建設中發揮主導作用。企業員工應當遵守員工行為守則，認真履行崗位職責。

企業應當加強法制教育，增強董事、監事、經理及其他高級管理人員和員工的法制觀念，嚴格依法決策、依法辦事、依法監督，建立健全法律顧問制度和重**律糾紛案件備案制度。

一般而言，董事會及企業負責人在塑造良好的內部環境中發揮關鍵作用。

（二）風險評估

風險評估是企業及時識別、科學分析經營活動中與實現控制目標相關的風險，合理確定風險應對策略，是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。

1.目標設定

風險是指一個潛在事項的發生對目標實現產生的影響。風險與可能被影響的控制目標相關聯。企業必須制定與生產、銷售、財務等業務相關的目標，設立可辨認、分析和管理相關風險的機制，以了解企業所面臨的來自內部和外部的各種不同風險。

企業開展風險評估，應當準確識別與實現控制目標相關的內部風險與外部風險，確定相應的風險承受度。風險承受度是企業能夠承擔的風險限度，包括整體風險承受能力和業務層面的可接受風險水平。

2.風險識別

風險識別實際上是收集有關損失原因、危險因素及其損失暴露等方面信息的過程。風險識別作為風險評估過程的重要環節，主要回答的問題是：存在哪些風險，哪些風險應予以考慮，引起風險的主要因素是什么，這些風險所引起的后果及嚴重程度如何，風險識別的方法有哪些等。而其中企業在風險評估過程中，更應當關注引起風險的主要因素，應當準確識別與實現控制目標有關的內部風險和外部風險。

3.風險分析

風險分析是在風險識別的基礎上對風險發生的可能性、影響程度等進行描述、分析、判斷，并確定風險重要性水平的過程。企業應當在充分識別各種潛在風險因素的基礎上，對固有風險，即不采取任何防范措施可能造成的損失程度進行分析，同時，重點分析剩余風險，即采取了相應應對措施之后仍可能造成的損失程度。企業應當采用定性與定量相結合的方法，按照風險發生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優先控制的風險。

4.風險應對

企業應當在分析相關風險的可能性和影響程度基礎上，結合風險承受度，權衡風險與收益，確定風險應對策略。企業應合理分析、準確掌握董事、經理及其他高級管理人員、關鍵崗位員工的風險偏好，采取適當的控制措施，避免因個人風險偏好給企業經營帶來重大損失。

企業管理層在評估了相關風險的可能性和后果，以及成本效益之后要選擇一系列策略使剩余風險處于期望的風險容限以內。常用的風險應對策略有：

（1）風險規避。

風險規避，即改變或回避相關業務，不承擔相應風險，是企業對超出風險承受度的風險，通過放棄或者停止與該風險相關的業務活動以避免和減輕損失的策略。例如：由于雨雪天氣，航空公司取消某次航班；企業拒絕與不守信用的廠商有業務來往；新產品在試制階段發現問題而果斷地停止研發。

（2）風險承受。

風險承受，即比較風險與收益后，愿意無條件承擔全部風險，是企業在權衡成本效益之后，對風險承受度之內的風險，不準備采取控制措施降低風險或者減輕損失的策略。例如：企業設有一個小型倉庫，平時就存放一些待處理的設備（市場價值很小），如果為了防止這些設備被盜偷而專門雇傭一個保管員，那么這時支付保管員的費用要遠高于設備的價值，顯然，不符合成本效益原則，因此，對于這種存在的失竊風險企業就應該采用風險承受策略。

（3）風險降低。

風險降低，即采取一切措施降低發生不利后果的可能性，是企業在權衡成本效益之后，準備采取適當的控制措施降低風險或者減輕損失，將風險控制在風險承受度之內的策略，包括兩類措施：風險預防和風險抑制。

（4）風險分擔。

風險分擔，即通過購買保險、外包業務等方式來分擔一部分風險，是企業準備借助他人力量，采取業務分包、購買保險等方式和適當的控制措施，將風險控制在風險承受度之內的策略。常見的措施有業務分包、購買保險等。例如：大學里學生宿舍的管理外包給物業公司負責，這是由于大學本身不具有物業管理的能力，通過外包的方式轉移了與物業相關的風險；公司給某些關鍵設備購買財產保險來轉移風險。

風險應對策略往往是結合運用的。同時企業應當結合不同發展階段和業務拓展情況，持續收集與風險變化相關的信息，進行風險識別和風險分析，及時調整風險應對策略。

（三）控制活動

控制活動是指企業根據風險應對策略，采用相應的控制措施，將風險控制在可承受度之內，是實施內部控制的具體方式。常見的控制措施有：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。企業應當結合風險評估結果，通過手工控制與自動控制、預防性控制與檢查性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內。

1.不相容職務分離控制

所謂不相容職務，是指那些如果由一個人擔任既可能發生錯誤和舞弊行為，又可能掩蓋其錯誤和舞弊行為的職務。

2.授權審批控制

授權批準是指企業在辦理各項經濟業務時，必須經過規定程序的授權批準。授權審批控制要求企業根據常規授權和特別授權的規定，明確各崗位辦理業務和事項的權限范圍、審批程序和相應責任。

3.會計系統控制

會計作為一個信息系統，對內能夠向管理層提供經營管理的諸多信息，對外可以向投資者、債權人等提供用于投資等決策的信息。會計系統控制主要是通過對會計主體所發生的各項能用貨幣計量的經濟業務進行記錄、歸集、分類、編報等進行的控制。

4.財產保護控制

財產保護控制是指為了確保企業財產物資安全、完整所采用的各種方法和措施。財產是企業資金、財物及民事權利義務的總和，按是否具有實物形態，分為有形財產（如資金、財物）和無形財產（如著作權、發明權），按民事權利義務，分為積極財產（如金錢、財物及各種權益）和消極財產（如債務）。財產是企業開展各項生產經營活動的物質基礎，企業應采取有效措施，加強對企業財產物資的保護。

5.預算控制

預算是企業未來一定時期內經營、資本、財務等各方面的收入、支出、現金流的總體計劃。預算控制是內部控制中使用得較為廣泛的一種控制措施。通過預算控制，使得企業的經營目標轉化為各部門、各個崗位以至個人的具體行為目標，作為各責任企業的約束條件，能夠從根本上保證企業經營目標的實現。

6.運營分析控制

運營活動分析，曾被稱為經營活動分析，但實際上運營活動是比經營活動范疇更廣，更能夠全面涵蓋企業活動的提法。運營分析是對企業內部各項業務、各類機構的運行情況進行獨立分析或綜合分析，進而掌握企業運營的效率和效果，為持續的優化調整奠定基礎。

企業運營活動分析的方法包括定性分析法和定量分析法。定性分析法可以有專家建議法、專家會議法、主觀概率法和特爾菲法（通過函詢的方式收集專家意見，對未來進行直觀預測的一種定性方法）。定量分析法可以有對比分析法、趨勢分析法、因素分析法和比率分析法。

運營分析控制要求企業建立運營情況分析制度，綜合運用生產、購銷、投資、籌資、財務等方面的信息，通過因素分析、對比分析、趨勢分析等方面，定期開展運營情況分析，發現存在的問題，及時查明原因并加以改進。

7.績效考評控制

績效考評是對所屬企業及個人占有、使用、管理與配置企業經濟資源的效果進行的評價。績效考評是一個過程，即首先明確企業要做什么（目標和計劃），然后找到衡量工作做得好壞的標準進行監測（構建指標體系并進行監測），發現做得好的（績效考核），進行獎勵（激勵機制），使其繼續保持或者做得更好，能夠完成更高的目標。更為重要的是，發現不好的地方，通過分析找到問題所在，進行改正，使得工作做得更好（績效改進）。這個過程就是績效考評過程。企業為了完成這個管理過程所構建起來的管理體系，就是績效考評體系。

（四）信息與溝通

信息與溝通是企業及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間進行有效溝通，是實施內部控制的重要條件。企業應當建立信息與溝通制度，明確內部控制相關信息的收集、處理和傳遞程序，確保信息及時溝通，促進內部控制有效運行。信息與溝通的要件主要包括：信息質量、溝通制度、信息系統、反舞弊機制。

1.信息質量

信息是企業各類業務事項屬性的標識，是確保企業經營管理活動順利開展的基礎。企業日常生產經營需要收集各種內部信息和外部信息，并對這些信息進行合理篩選、核對、整合，提高信息的有用性。企業可以通過財務會計資料、經營管理資料、調研報告、專項信息、內部刊物、辦公網絡等渠道，獲取內部信息；還可以通過行業協會組織、社會中介機構、業務往來企業、市場調查、來信來訪、網絡媒體以及有關監管部門等渠道，獲取外部信息。

2.溝通制度

信息的價值必須通過傳遞和使用才能體現。企業應當建立信息溝通制度，將內部控制相關信息在企業內部各管理級次、責任企業、業務環節之間，以及企業與外部投資者、債權人、客戶、供應商、中介機構和監管部門等有關方面之間進行溝通和反饋。信息溝通過程中發現的問題，應當及時報告并加以解決。重要信息須及時傳遞給董事會、監事會和經理層。

3.信息系統

為提高控制效率，企業可以運用信息技術加強內部控制，建立與經營管理相適應的信息系統，促進內部控制流程與信息系統的有機結合，實現對業務和事項的自動控制，減少或消除人為操縱因素。企業利用信息技術對信息進行集成和共享的同時，還應加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制，保證信息系統安全穩定運行。

4.反舞弊機制

舞弊是指企業董事、監事、經理、其他高級管理人員、員工或第三方使用欺騙手段獲取不當或非法利益的故意行為，它是需要企業重點加以控制的領域之一。企業應當建立反舞弊機制，堅持懲防并舉、重在預防的原則，明確反舞弊工作的重點領域、關鍵環節和有關機構在反舞弊工作中的職責權限，規范舞弊案件的舉報、調查、處理、報告和補救程序。

反舞弊工作的重點包括：

（1）未經授權或者采取其他不法方式侵占、挪用企業資產，牟取不當利益；

（2）在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等；

（3）董事、監事、經理及其他高級管理人員濫用職權；

（4）相關機構或人員串通舞弊。

為確保反舞弊工作落到實處，企業應當建立舉報投訴制度和舉報人保護制度，設置舉報專線，明確舉報投訴處理程序、辦理時限和辦理要求，確保舉報、投訴成為企業有效掌握信息的重要途徑。舉報投訴制度和舉報人保護制度應當及時傳達至全體員工。

信息與溝通的方式是靈活多樣的，但無論哪種方式，都應當保證信息的真實性、及時性和有用性。

（五）內部監督

內部監督是企業對內部控制建立與實施情況監督檢查，評價內部控制的有效性，對于發現的內部控制缺陷及時加以改進，是實施內部控制的重要保證。從定義出發，內部監督主要有兩個方面的意義：第一，發現內控缺陷，改善內部控制體系，促進企業內部控制的健全性、合理性；第二，提高企業內部控制施行的有效性。除此之外，內部監督也是外部監管的有力支撐。最后，內部監督機制可以減少代理成本，保障股東的利益。

1.企業應當制定內部控制監督制度，明確內部審計機構（或經授權的其他監督機構）和其他內部機構在內部監督中的職責權限，規范內部監督的程序、方法和要求。

2.內部監督包括日常監督和專項監督。

（1）日常監督是指企業對建立與實施內部控制的情況進行常規、持續的監督檢查。日常監督的常見方式包括：在日常生產經營活動中獲得能夠判斷內部控制設計與運行情況的信息；在與外部有關方面溝通過程中獲得有關內部控制設計與運行情況的驗證信息；在與員工溝通過程中獲得內部控制是否有效執行的證據；通過賬面記錄與實物資產的檢查比較對資產的安全性進行持續監督；通過內部審計活動對內部控制有效性進行持續監督。

（2） 專項監督是指在企業發展戰略、組織結構、經營活動、業務流程、關鍵崗位員工等發生較大調整或變化的情況下，對內部控制的某一或某些方面進行有針對性的監督檢查。專項監督的范圍和頻率根據風險評估結果以及日常監督的有效性等予以確定。

專項監督應當與日常監督有機結合，日常監督是專項監督的基礎，專項監督是日常監督的補充，如果發現某專項監督需要經常性地進行，企業有必要將其納入日常監督之中。

3.日常監督和專項監督情況應當形成書面報告，并在報告中揭示存在的內部控制缺陷。內部監督形成的報告應當有暢通的報告渠道，確保發現的重要問題能及時送達至治理層和經理層；同時，應當建立內部控制缺陷糾正、改進機制，充分發揮內部監督效力。

4.企業應當在日常監督和專項監督的基礎上，定期對內部控制的有效性進行自我評價，出具自我評價報告。內部控制自我評價的方式、范圍、程序和頻率，除法律法規有特別規定的，一般由企業根據經營業務調整、經營環境變化、業務發展狀況、實際風險水平等自行確定。