企业内部控制基本规范标准.docx

企业内部控制基本规范标准.docx

《企业内部控制基本规范标准.docx》由会员分享，可在线阅读，更多相关《企业内部控制基本规范标准.docx（133页珍藏版）》请在冰豆网上搜索。

企业内部控制基本规范标准

企业内部控制基本规范》解读上

一、内部控制概念

二、内部控制规范的建设现状

三、内控的内容

四、内控建设方法

第一节内控的概念

内部控制是指为确保实现企业目标而实施的程序和政策。

内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。

（2009年度中国注册会计师全国统一考试辅导教材《公司战略与风险管理》）

COSO委员会对内部控制的定义“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：

运营的效益和效率，财务报告的可靠性和遵守适用的法律法规”。

《企业内部控制基本规范》中指出，内部控制是由企业董事会、证监会、经理层和全体员工实施的，旨在实现控制目标的过程。

内部控制的目标时合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效益合效果，促进企业实现发展战略。

（一）控制

什么是内控思想？

过去强调的是牵制，比如，会计不能兼任出纳。

过去强调的是会计控制。

现在，不是会计控制，而是风险为导向的控制，强调的是企业的管理层角度的管理控制，而会计控制是内部控制的一个组成部分。

（二）管理

1.企业方面

作为股东投资者，由于所有权和经营权进行分离。

而作为投资者，要求投资获得收益，终极目的就是获得利润。

因此在加强企业管理和运作中，会在方方面面有内控的思想的覆盖和渗透。

内部控制不是牵制，不是会计内控。

内部控制是一种管理，内控的理想状态是无需内控就可以遵守规章制度。

内控是一种管理，是对风险的管理。

风险无处不再，国际风险，国家风险，政府风险，企业风险，家庭个人风险，无处不在。

对于企业而言，风险可能来自业务经营、合规、运营或财务方面，内部控制应当为企业的有效运营提供辅助条件，使企业有能力对最爱目标实现的重大风险作出反应。

2.事业方面

在事业单位，机关财务部门作为内控重要组成部分。

财务管理，预算管理。

（三）流程内控是控制的一个过程，这个过程是需要全员的参与，上到董事会、管理层、监事会，下到各级员工，都需要参与进来。

通过内控要实现的目标

1.企业的经营要合法合规

2.企业资产要安全完整

3.企业财务报告的信息（财务信息）和其他信息要真实可靠完整

4.通过内控提高企业的经营效率和效果。

从管理要效益。

从产品要效益，从营销要效益，从管理要效益（从政府要效益）

5.促成企业实现战略目标

（四）合理保证

内部控制是一种合理保证，但它也存在局限性，因此不是一种绝对保证

1.在一个企业的不同岗位之间要有内部控制措施，如：

签订合同VS管理合同，会计VS出纳，但这种岗

位间的内控措施无法防止由于人员的串通导致的内控实效

2.内控是一个管理制度管理是一个由上到下的管理，而管理者的控制相对较弱，同时管理者自己的情况也会决定管理制度的实施。

只需州官放火，不许百姓点灯。

3.大型或小型企业在建立内部控制系统时，均可能存在资源受限的问题。

第二节内部控制规范的建设现状

一、我国内控建设的理论方面我国有些企业的内部控制建设还比较到位，但总体上，我国企业的内控还比较薄弱。

1995年，财政部，《会计法》，单位应该“加强内部会计监督”。

2001年，财政部，陆续发布《内部会计控制规范—基本规范》等7项内部会计控制规范。

包括货币资金、采购与付款、销售与收款、工程项目、担保、对外投资等六个具体控制规范。

2002年，中国人民银行，《商业银行内部控制指引》

2005年，银监会，《商业银行内部控制评价试行办法》

（未完待续）

2006年，财政部、国资委、证监会、审计署、银监会

和保监会联合发起成立企业内部控制标准委员会

2006年，11月8日，企业内部控制标准委员会发布了《企业内部控制规范—基本规范》和17个具体规范的征求意见稿

2008年6月28日，五部委（没有国资委）联合发布了我国首部《企业内部控制基本规范》，将于2009年7月1日起首先在上市公司范围内实施。

二、实务工作的情况美国的安然、世通、朗讯等公司相继爆出丑闻美国立即出台《萨班斯法案》最重要的，404条款

1.公司的CEO/CFO应当对内部控制有效性进行保证，并向股东出示披露

2.审计师要确保审计的真实有效我国上市公司（含在美国上市）的公司，其相继爆出的问题，其中绝大多数都与管理不善、内控缺失直接相关。

三、内控的建设任重而道远

1.领导观念不能及时转变，而不是标准无法建立很多领导者认为内控是一种束缚，而不愿意搞内控。

企业经不起折腾，财务准则的变化等等，人员的落伍和淘汰

2.管理是否能够到位只有内控到位了，会计准则才能更容易实施到位。

这种管理制度，不仅仅要适用于一般的企业，还应当适

用于事业单位。

总则和附则

《企业内部控制基本规范》由总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则7章，共50条组成。

其中核心内容就是内部控制要素：

内部环境、风险评估、控制活动、信息与沟通、内部监督。

一、条款和结构

《企业内部控制基本规范》（以下简称《基本规范》）总则和附则共有13条规定，概括起来主要明确了以下几个方面的内容：

（一）《基本规范》第1条，明确了企业内部控制基本规范的立法依据。

（二）《基本规范》第2条、第50条，明确了企业内部控制基本规范的适用范围和开始执行时间。

（三）《基本规范》第3、第4条，明确了企业内部控制的目标和原则。

（四）《基本规范》第5条，明确了企业内部控制的5要素。

（五）《基本规范》第6条、第7条、第8条、第48条、第49条，明确了企业在建立和实施内部控制的过程中同时应该依据相关的法律法规的规定。

六）《基本规范》第9条、第10条，明确了国务院有关部门对企业建立和实施的内部控制承担监督职责，并明确了企业需要委托会计师事务所对内部控制的有效性发表意见。

二、新旧变化分析

2008年发布的《企业内部控制基本规范》，是根据2006年11月8日企业内部控制标准委员会发布的《企业内部控制规范——基本规范》征求意见稿确定的，与2001年财政部发布的《内部会计控制规范——基本规范（试行）》（简称《基本规范（试行）》比较而言，主要存在以下变化：

（一）发文机构变化

《基本规范（试行）》发文机构为财政部。

《基本规范》为财政部、证监会、审计署、银监会、保监会联合发文。

（二）立法宗旨有所变化，法律依据进一步明确《基本规范（试行）》是仅仅针对内部会计控制而言，所以立法宗旨为促进各单位内部会计控制建设、加强内部会计监督，维护社会主义市场经济秩序。

《基本规范》是针对企业内部控制而言的，所以立法宗旨企业内部控制整体出发，为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益。

《基本规范（试行）》依据《中华人民共和国会计法》

制定，《基本规范》根据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》制定。

（三）适用范围变化

《基本规范（试行）》适用于国家机关、社会团体、公司、企业、事业单位和其他经济组织。

《基本规范》适用于中华人民共和国境内设立的大中型企业。

小企业和其他单位可以参照建立与实施内部控制。

（四）定义和目标不同

《基本规范（试行）》中内部会计控制是指单位为了提高会计信息质量、保护资产的安全、完整、确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。

《基本规范（试行）》中内部会计控制的目标：

规范单位会计行为，保证会计资料真实、完整；堵塞漏洞、消除隐患，防止并同时发现、纠正错误及舞弊行为，保护单位资产的安全、完整；确保国家有关法律法规和单位内部规章制度的贯彻执行。

《基本规范》中内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

（五）承担内部控制责任者的变化基本规范（试行）》中，单位负责人对本单位内部会

计控制的建立健全及有效实施负责。

《基本规范》中，董事会负责单位内部控制的建立健全和有效实施。

（六）建立和实施内部控制原则的变化

个基

《基本规范（试行）》中内部会计控制应遵循的6本原则为：

内部会计控制应当符合国家有关法律法规和本规范，以及单位的实际情况；内部会计控制应当约束单位内部涉及会计工作的所有人员，任何个人都不得拥有超越内部会计控制的权力；内部会计控制应当涵盖单位内部涉及会计工作的各项经济业务及相关岗位，并应针对业务处理过程中的关键控制点，落实到决策、执行、监督、反馈等各个环节；内部会计控制应当保证单位内部涉及会计工作的机构、岗位的合理设置及其职责权限的合理划分，坚持不相容职务相互分离，确保不同机构和岗位之间权责分明、相互制约、相互监督；内部会计控制应当遵循成本效益原则，以合理的控制成本达到最佳的控制效果；内部会计控制应随着外部环境的变化、单位业务职能的调整和管理要求的提高，不断修订和宀¥完善。

《基本规范》中企业建立和实施内部控制，应遵循的原

则为：

全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则。

（七）内容和要素的变化

《基本规范（试行）》中将内部会计控制的内容划分为货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制。

在企业内部控制规范中将其作为应用指引的内容划分为22个方面，在基本规范中并未提及，而是从内部控制的5个组成要素方面进行了说明，即内部环境、风险评估、控制活动、信息与沟通、内部监督。

（八）结构的变化

《基本规范（试行）》中单独作为一章中说明的内部会计控制的方法。

在《基本规范》中作为5个要素之一的控制活动中的控制措施进行了阐述，具体的内容也发生了变化。

《基本规范（试行）》中内部会计控制的方法：

不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制、财产保全控制、风险控制、内部报告控制、电子信息技术控制等。

《基本规范》中控制活动的控制措施一般包括：

不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

（九）监督权限的提高

《基本规范（试行）》中承担监督检查职责的机构是国务院财政部门和县级以上地方各级人民政府财政部门。

基本规范》中承担监督检查职责的是国务院有关部门

（十）中介机构对企业内部控制进行审计要求的变化《基本规范（试行）》中提出企业可以聘请中介机构或相关的专业人员对内部会计控制进行评价，并对重大缺陷提出书面报告。

《基本规范》中明确接受委托的中介机构为会计师事务所，并要求事务所对内部控制的有效性发表意见，对上市公司的内部控制评价报告必须同时提供会计师事务所出具的鉴证报告。

三、重点条款解读

（一）《基本规范》适用的范围

《企业内部控制基本规范》第2条规定：

“本规范适用于中华人民共和国境内设立的大中型企业。

小企业和其他单位可以参照本规范建立与实施内部控制。

大中型企业和小企业的划分标准根据国家有关规定执行。

”

（二）内部控制的目标

基本规范将内部控制定义为：

“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

”

基本规范将内部控制的目标归纳为5个方面：

1.合理保证企业经营管理合法合规。

2.合理保证企业资产安全。

资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题，是单位可持续发展的物质基础。

良好的内部控制，应当为资产安全提供扎

实的制度保障。

3.合理保证企业财务报告及相关信息真实完整。

4.提高经营效率和效果。

要求单位结合自身所处的特定的经营、行业和经济环境，通过健全有效的内部控制，不断提高营运活动的盈利能力和管理效率。

5.促进企业实现发展战略。

（三）内部控制的原则和实施体系基本规范提出，建立与实施内部控制应当遵循5项原则，即全面性、重要性、制衡性、适应性和成本效益原则。

同时规定了内部控制的实施体系：

（1）以法制为推动。

（2）以企业实施为主体。

（3）以政府监管和社会评价为保障。

为推动企业有效实施内控规范，政府有关部门应对企业建立与实施内部控制的情况进行监督检查，会计师事务所应对企业内部控制的有效性进行审计，并出具内部控制审核报告。

（四）内部控制的要素

借鉴COSO框架，基本规范将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督5大方面。

（五）内部控制的执行

从实践看，企业在内部控制制度的设计上存在很多问题，而制度的执行力更值得关注，制度设计缺位和执行不到位、制度执行不力、流于形式的现象比较严重，因此，需要重视和着力提升企业内部控制制度执行力。

为此需要：

1.提高制度的透明度。

一要探索更容易被员工理解、更加透明的制度表现形式，尤其是善于使用流程图和控制表的表达方式；二是要借助网络等平台，增加制度在制定和宣传上的透明度；三是做好制度的讲解辅导工作，使员工能够理解制度和制度执行的重要性。

2.强化制度执行力的考核。

企业应将制度执行力纳入企业内部绩效考核体系。

《企业内部控制基本规范》第8条规定：

“企业应当建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。

”对制度执行情况的考核，关键在于考核指标的设计。

3.发挥政府部门的监管作用。

《企业内部控制基本规范》第9条规定：

“国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监督检查。

”

政府监督检查的必要性

（1）内部控制的固有缺陷

内部控制只能“合理保证”企业目标的实现，即企业目标达成的可能性受制于制度本身的固有缺陷。

（2）企业内部监督的局限性目前有很多企业主要依靠内部审计部门来对本企业的内部控制的健全性、合理性和有效性进行检查和评价，而有些企业的内审部门隶属于财务部门，与财务部同属一人领导，内部审计在形式上就缺乏应有的独立性另外，在内审的职能上，很多企业的内部审计工作仅仅是审核会计账目，而在内部稽查、评价内部控制制度是否完善和企业内各组织机构执行指定职能的效率等方面，却未能充分发挥应有的作用。

政府监督检查的开展需要对内部控制进行监督检查的企业包括：

大中型国有及国有控股企业（未上市）、上市公司、商业银行及非银行金融机构、规模以上的民营企业等。

就目前而言，首先重点监督商业银行及证券公司、大型国有企业（如垄断性公司）上市公司、欠大量银行贷款的民营、私营企业。

在监督检查过程中，以下几点值得注意：

（1）充分利用社会中介机构的专业力量。

（2）协调运作国家监督方式，使其形成监督合力。

（3）监督检查结束后，还应对有关单位的整改情况予以重点关注。

4.发挥社会中介机构的促进作用。

《企业内部控制基本规范》第十条规定：

“接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。

会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。

”

（1）内部控制鉴证是一项专门鉴证业务注册会计师在执行财务报表审计时，注册会计师在整个审计期间都要考虑内部控制的有效性。

如果不准备审计某些领域，则无须确定这些领域的控制风险水平。

而注册会计师执行内部控制鉴证业务则是一项专门鉴证业务，应当事先与委托人就内部控制鉴证范围达成一致意见。

凡是业务约定书确定的内部控制鉴证范围，注册会计师都要进行鉴证。

（2）内部控制鉴证的范围限于特定日期与财务报表相关的内部控制

通常，注册会计师对特定日期的内部控制进行鉴证。

如果注册会计师对某特定期间的内部控制进行鉴证，应对该期间的内部控制进行了解和测试，并对该期间的内部控制的有效性发表鉴证意见，出具长式鉴证报告。

（3）被鉴证单位管理层应当就内部控制的有效性提供书面认定

被鉴证单位管理层就内部控制的有效性提供书面认定，其作用类似于财务报表，它用于明确被鉴证单位管理建立健

全内部控制并保持其有效性的责任。

内部控制要素解读

重要条款解读

一、内部环境

内部环境处于内部控制五大要素之首。

内部环境包含组织基调，具体内容包括：

治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

内部环境的主要构成要素分析

1.治理结构（是源头的问题，一开始就要把它做好）

企业内部控制基本规范》第11条明确了股东（大）

会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。

董事会对股东（大）会负责，依法行使企业的经营决策权。

监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。

治理结构是由股东大会、董事会、监事会和管理层组成的，决定公司内部决策过程和利益相关者参与公司治理的办法，主要作用在于协调公司内部不同产权主体之间的经济利益矛盾，克服或减少代理成本。

2.机构设置及权责分配我国相关法规反映出董事会在公司管理中居于核心地位，董事会应该对公司内部控制的建立、完善和有效运行负责。

监事会对董事会建立与实施内部控制进行监督。

公司管理层对内部控制制度的有效执行承担责任，其中处于不同层级的管理者掌握着不同的控制权力并承担相应的责任，同时相邻层级之间存在着控制和被控制的关系。

3.内部审计

《企业内部控制基本规范》第15条规定，企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。

内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。

内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

内部审计控制是内部控制的一种特殊形式。

其范围主要包括财务会计、管理会计和内部控制检查。

内部审计主要具有监督、评价、控制和服务4种职能。

其作用主要是防护性作用和建设性作用，防护性作用是通过内部审计的检查和评价企业内部的各项经济活动，发现那些不利于本企业目标实现的环节和方面，防止给企业造成不良后果。

建设性作用是通过对审查活动的检查和评价，针对管理和控制中存在的问题和不足，提出富有建设性的意见和改进方案，从而协助企业改善经营管理，提高经济效益，以最好的方式实现组织的目标。

4.人力资源政策（良好的人力资源是企业不竭的源泉）良好的人力资源政策对更好地贯彻和执行内部控制有很大的帮助，还能确保执行企业政策和程序的人员具有胜任能力和正直品行。

《企业内部控制基本规范》第16条规定，企业应当制定和实施有利于企业可持续发展的人力资源政策。

人力资源政策应当包括下列内容：

员工的聘用、培训、辞退与辞职；员工的薪酬、考核、晋升与奖惩；关键岗位员工的强制休假制度和定期岗位轮换制度；掌握国家秘密或重要商业秘密的员工离岗的限制性规定；有关人力资源管理的其他政策。

从某种意义上说，企业内部控制的成效取决于员工素质的合格程度。

因为任何内部控制制度的成效取决于其设计水平和高素质的人员的贯彻执行。

因此，员工素质控制是内部控制的一个重要因素。

员工素质控制包括企业在招聘、培训、考核、晋升与奖励等方面对员工素质的控制。

《企业内部控制基本规范》第17条规定企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。

员工素质是内部控制得以有效实施的关键所在，员工的素质控制是内部环境的重要组成部分。

培训则是保证和提高员工职业素质和专业胜任能力的重要方式。

培训原则主要有激励、因材施教、实践、明确目标和统筹安排、合理规划等原则。

当然培训完成后，培训评估是不可缺少的环节，即依据培训目标、应用科学的评估方法来评价培训的效果，只有这样，企业才能知道培训是否达到了目的。

5.企业文化（核心价值的建立）企业文化是一切从事经济活动的组织之中形成的组织文化，是企业在长期的经营实践中形成的共同思想、作风、价值观念和行为准则，是一种具有企业个性的信念和行为方式。

企业文化包含四个要素：

制度文化、物质文化、行为文化、精神文化。

这四者相互影响、相互作用，共同构成企业文化的完整体系。

因此《企业内部控制基本规范》第18条明确了企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。

6.法律环境企业如果不具有较强的法律意识，不能充分认识到法律风险的存在，并对其进行有效控制，轻则给企业带来经济损失，重则会给企业带来灭顶之灾。

因此《企业内部控制基本规范》第19条规定企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。

二、风险评估辨认风险，经营风险，决策过程方面（目标导向下的风险评估）

风险评估是组织辨认和分析与目标实现有关的风险的过程。

风险评估提供了控制风险的基础。

内部控制中的风险评估过程必须判明企业完成既定目标存在的外部风险与内部风险，分析各种风险的类型和程度。

此处的风险评估是一个比较宽泛的概念，包括了风险管理的全过程，即设置目标、风险识别、风险分析、风险应对。

（一）设置目标

《企业内部控制基本规范》第21条规定企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。

风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

所以企业只有根据设定的风险承受度，才能全面系统持续地收集相关信息，最后结合实际情况，及时进行风险评估。

（二）风险识别风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。

风险识别作为风险评估过程的重要环节，主要回答的问题是：

存在哪些风险，哪些风险应予以考虑，引起风险的主要因素是什么，这些风险所引起的后果及严重程度如何，风险识别的方法有哪些等。

而其中企业在风险评估过程中，更应当关注引起风险的主要因素，应当准确识别与实现控制目标有关的内部风险和外部风险。

企业的内部风险因素主要有：

①董事、监事、经理及其

他高级管理人员的职业操守、员工专业胜任能力等人力资源

因素。

②组织机构、经营方式、资产管理、业务流程等管理因素。

③研究开发、技术投入、信息技术运用等自主创新因素。

④财务状况、经营成果、现金流量等财务因素。

⑤营运安全、员工健康、环境保护等安全环保因素以及其他因素。

企业的外部风险因素主要有：

①经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。

②法律法规、监管要求等法律因素。

③安全稳定、文化传统、社会信用、教育水平、消费者行为