内部控制基本规范精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的内部控制基本规范主题范文，仅供参考，欢迎阅读并收藏。

第1篇：内部控制基本规范范文

一、新内部控制规范目标

新内部控制规范的目标体现为企业战略；经营的效率和效果；财务报告及管理信息的真实、可靠和完整；资产的安全完整；遵循国家法律法规和有关监管要求等，并提出“有义务对外提供财务报告的企业，应当确保财务报告及管理信息的真实、可靠和完整，具备条件的，还应同时实现其他控制目标”。

旧内部控制规范的目标主要围绕会计控制展开的一系列目标制定，强调报告目标和合规性目标。而新内部控制规范则主要强调围绕经营管理和风险控制，并将内部控制上升到企业战略的高度，其中心目标是“确保财务报告及管理信息的真实、可靠和完整”，在突出重点的情况下，具体内部控制规范和指南着重就影响财务报告真实可靠的重要业务及事项进行了规范，引导企业建立健全以财务报告内部控制为核心的内部控制机制。由旧内部控制规范的报告目标、合规性目标扩展到新内部控制规范的战略目标和经营目标，体现了将关注企业长远发展、可持续发展、规避风险作为企业内部控制的基本目标。

二、新内部控制规范基本原则

新内部控制规范的基本原则有合法性原则，即内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求；全面性原则，即内部控制在层次上应当涵盖企业董事会、管理层和全体员工，在对象上应当覆盖企业各项业务和管理活动，在流程上应当渗透到决策、执行、监督、反馈等各个环节；重要性原则，即强调内部控制应当针对重要业务与事项、高风险领域与环节采取更为严格的控制措施；有效性原则，即内部控制应当能够为内部控制目标的实现提供合理保证；制衡性原则，即要求企业的机构、岗位设置和权责分配应体现权责分明和有利于相互制约、相互监督，履行内部控制监督检查职责的部门应当具有良好的独立性，任何人不得拥有凌驾于内部控制之上的特殊权力；适应性原则，即内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求，并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善；成本效益原则，即内部控制应当在保证有效性的前提下，合理权衡成本与效益的关系，争取以合理的成本实现更为有效的控制。

新内部控制规范的基本原则在涉及旧内部控制规范原则的基础上，突出强调以下内容：一是重点关注重要业务与事项、高风险领域与环节的控制措施；二是强调监督检查职责部门应当具有良好的独立性；三是任何人不得拥有凌驾于内部控制之上的特殊权力。

三、新内部控制规范基本结构及内容

新内部控制规范的基本结构如下：第一章总则；第二章内部环境，包括治理结构、内部机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等；第三章风险评估，包括目标设定、风险识别、风险分析、风险应对等内容；第四章控制措施；第五章信息与沟通；第六章监督检查；第七章组织实施；第八章附则。

新内部控制规范具体内容包括：(1)内部环境。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。(2)风险评估。风险评估主要包括目标设定、风险识别、风险分析和风险应对。(3)控制措施。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。(4)信息与沟通。信息与沟通主要包括信息的收集机制以及企业内部与企业外部有关方面的沟通机制等。(5)监督检查。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。新内部控制规范在结构上和内容上重点突出和强调公司治理、内部环境、风险控制等内容的扩展。

四、新内部控制规范方法

旧内部控制规范的方法主要包括不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制、财产保全控制、风险控制、内部报告控制、电子信息技术控制等。新内部控制规范的方法则主要是建立在内部环境和风险基础上，确保企业内部控制目标得以实现的方法和手段，所体现的内部控制措施主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。具体内容如下：

第一，职责分工控制。旧内部控制规范方法中的不相容职务相互分离控制要求单位按照不相容职务相分离的原则，合理设置会计及相关工作岗位，明确职责权限，形成相互制衡的机制。不相容职务主要包括授权批准、业务经办、会计记录、财产保管、稽核检查等职务。新内部控制规范方法中的职责分工控制要求根据企业目标和职能任务，按照科学、精简、高效的原则，合理设置职能部门和工作岗位，明确各部门、各岗位的职责权限，形成各司其职、各负其责、便于考核、相互制约的工作机制。企业在确定职责分工的过程中，应当充分考虑不相容职务相互分离的制衡要求。不相容职务通常包括授权、批准、业务经办、会计记录、财产保管、稽核检查等。

第二，授权控制。旧内部控制规范方法中的授权批准控制要求单位明确规定涉及会计以及相关工作的授权批准的范围、权限、程序、责任等内容，单位内部各级管理层必须在授权范围内行使职权和承担责任，经办人员也必须在授权范围内办理业务。新内部控制规范方法中的授权控制要求企业根据职责分工，明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。企业内部各级管理人员必须在授权范围内行使职权和承担责任，业务经办人员必须在授权范围内办理业务。新内部控制规范方法中的审核批准控制要求企业各部门、各岗位按照规定的授权和程序，对相关经济业务和事项的真实性、合规性、合理性以及有关资料的完整性进行复核与审查，通过签署意见并签字(签章)，做出批准、不予批准或者其他处理的决定。

第三，财产保护控制。旧内部控制规范中的财产保全控制要求单位限制未经授权的人员对财产的直接接触，采取定期盘点、财产记录、账实核对、财产保险等措施，确保各项财产的安全完

整。新内部控制规范中的财产保护控制要求企业限制未经授权的人员对财产的直接接触和处置，采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施，确保财产的安全完整。

第四，会计系统控制。旧内部控制规范中的会计系统控制要求单位依据《会计法》和国家统一的会计制度，制定适合本单位的会计制度，明确会计凭证、会计账簿和财务会计报告的处理程序，建立和完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能。新内部控制规范中的会计系统控制要求企业依据《会计法》以及国家统一的会计制度制定适合本企业的会计制度，明确会计凭证、会计账簿和财务报告以及相关信息披露的处理程序，规范会计政策的选用标准和审批程序，建立、完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能，确保企业财务报告真实、可靠和完整。

第五，内部报告控制。旧内部控制规范的内部报告控制要求单位建立和完善内部报告制度，全面反映经济活动情况，及时提供业务活动中的重要信息，增强内部管理的时效性和针对性。新内部控制规范的内部报告控制要求企业建立和完善内部报告制度，明确相关信息的收集、分析、报告和处理程序，及时提供业务活动中的重要信息，全面反映经济活动情况，增强内部管理的时效性和针对性。内部报告方式通常包括例行报告、实时报告、专题报告、综合报告等。

第六，经济活动分析控制和绩效考评控制。新内部控制规范的经济活动分析控制要求企业综合运用生产、购销、投资、财务等方面的信息，利用比较分析、比率分析、因素分析、趋势分析等方法，定期对企业经营管理活动进行分析，发现存在的问题，查找原因并提出改进意见和应对措施。新内部控制规范中的绩效考评控制要求企业科学设置业绩考核指标体系，对照预算指标、盈利水平、投资回报率、安全生产目标等方面的业绩指标，对各部门和员工当期业绩进行考核和评价，兑现奖惩，强化对各部门和员工的激励与约束。

第七，电子信息技术控制和信息系统控制。新内部控制规范中的电子信息技术控制要求运用电子信息技术手段建立内部会计控制系统，减少和消除人为操纵因素，确保内部会计控制的有效实施；同时要求加强对财务会计电子信息系统开发与维护、数据输入与输出、文件储存与保管、网络安全等方面的控制。新内部控制规范中的信息系统控制要求企业结合实际情况和计算机信息技术应用程度，建立与本企业经营管理业务相适应的信息化控制流程，提高业务处理效率，减少和消除人为操纵因素，同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全、有效运用。

五、新内部控制规范其他内容

一是内部控制规范实施的责任主体。旧内部控制规范指出由单位负责人对本单位内部会计控制的建立健全及有效实施负责。新内部控制规范则指出企业董事会应当充分认识自身对企业内部控制所承担的责任，加强对本企业内部控制建立和实施情况的指导和监督，并规定董事长(或者法定代表人、代表企业行使职权的主要负责人，以下简称董事长)对本企业内部控制的建立健全和有效实施负责；经理(或者总裁、厂长，以下简称经理)根据法定职权、企业章程和董事会的授权，负责组织领导本企业内部控制的日常运行；总会计师(或者财务总监、分管财务会计工作的负责人，以下简称总会计师)在董事长和经理的领导下，主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全和有效执行。内部控制的责任主体向上扩展到治理层(董事会)，向下扩展到其他员工。

第2篇：内部控制基本规范范文

第一，建立良好的企业文化，缓解企业压力。企业文化对员工的思想和行为会产生一定的影响，企业文化的建立与否、其侧重点往往在很大程度上影响甚至改变员工的行为取向，是对员工的一种有效的特约束机制。因此，企业应建立积极、健康的企业文化，建立员工的诚信思维，强化对企业的认同感和归属感。在这个过程中，管理层的经营理念也会产生重要作用，企业领导者的良好的行为和决策也会成为积极的示范作用，反之。领导者的行为不端，则容易引起员工的效仿。在舞弊三角论中，压力是产生舞弊的根源。现代社会竞争日益激励，压力与日俱增，而与工作相关的压力以及相伴随的经济压力常常成为现代人压力的源头。这种压力的存在，在某种条件下就有可能滋生舞弊行为。因此，企业应关注员工的思想和心理状态，关心员工的生活状态，建立积极但相对宽松的工作环境，缓解员工压力。

第二，完善企业治理结构。管理层舞弊是指管理层所蓄谋的舞弊行为。《企业内部控制基本规范》中所述的“董事、监事、经理及其他高级管理人员”。即属于该类舞弊范畴内，除此之外，财务报表舞弊也是其主要表现形式。由于舞弊者地位较高，影响力较大，手段更加隐秘，通常更难防范。高级管理层如果凌驾于内部控制之上，就会使得内部控制失效，从而导致舞弊行为，这就表明现行内部控制定位偏低，其作用对象往往仅限于高级管理层以下。预防该类舞弊，就必须将内部控制上升到企业治理层面，完善企业治理结构则是防止该类舞弊行为的一个有力手段，可以从以下几个方面着手：首先，改善企业股权结构，健全企业治理结构的基础。股权结构代表了企业控制权的分布，决定了股权持有人以及利益相关者的权力和利益关系，同时对企业的经营方式也会产生影响。股权结构可以分为股权高度集中型、股权适度分散型、股权高度分散性。对于股权高度集中型的企业，绝对控股的大股东虽然可以积极参与企业治理，但绝对控股地位决定了其难以受到约束和制衡，舞弊行为很难发现或者控制。同时也容易产生控股大股东和管理层串通舞弊，损害中小股东利益的行为。股权高度分散型的企业，虽然可以避免上述问题，但由于股权分散，容易形成“强管理人、弱股东”的格局。在这种情况下，容易产生管理层基于自身利益而做出损害股东的行为。股权适度分散性则可以是较为合理的股权结构，保证一定的股权集中度，但没有绝对控股地位的股东，而是几个持股数量相当的大股东，从而达到制衡作用，可以规避前面两种股权结构下产生的问题。其次，加大外部董事比例，完善独立董事制度。外部董事的存在可以在一定程度上约束内部董事的行为，减少内部董事和管理者串通的可能性，使董事会更有效地监控管理活动，防范舞弊的发生。我国已经建立独立董事制度，要求上市企业董事会必须含有独立董事，但现实中，独立董事不独立的现象比较普遍，独立董事很大情况下是由大股东推选产生，其势必倾向于代表大股东的利益，不独立情况很容易发生。因此，企业应完善独立董事制度，使独立董事的作用发挥到实处。企业可以规范选聘机制，将提名权定位中小股东权利，实行大股东规避制。此外，建议建立长短期激励机制结合的薪酬机制，使独立董事重视企业的长远发展而非短期利益。最后，发挥监事会应有的作用。监事会是由股东大会选举产生并对股东大会负责，监督企业董事、经理和其他高级管理人依法履行职责。其职能的一个重要方面，就是检查企业的业务、财务及其他会计资料。因此，健全的监事会可以减少董事会和管理当局的会计舞弊行为。

第三，建立舞弊监督程序。通过严格的检查监督制度及时发现舞弊行为，可以将损失降到最小程度。内部审计是对舞弊的监督检查的一个主要措施。内部审计产生于企业内部，对企业的实际经营状况、财务状况更了解，容易觉察到企业的危险信号，反应也会更快捷，可以及时发现并尽早控制舞弊行为。此外，内部审计等舞弊监督程序本身的存在，也可以在一定程度对舞弊主体带来一定的威慑作用。

第四，加强信息沟通、建立匿名举报制度。信息交流机制包括内部交流和内外交流两个方面。内部交流是指企业内部的信息交流沟通。如果信息交流机制不通畅，就会产生信息不对称的问题，这样舞弊行为产生的机会就越大。内外交流则是指企业外的人员和企业的内部的沟通。供应商、客户这些企业外的人员也会观察到舞弊者违反内部控制、奢侈的个人消费等情形，如果内外沟通机制顺畅，他们就可以及时将信息反馈到企业内部，从而引起企业内部人员的重视，减少舞弊的发生。匿名举报制度可以减少人们由于报告舞弊而遭到报复的顾虑，从而使信息沟通更顺畅，可以及时发现舞弊行为。在现实中，很多舞弊行为都是由匿名举报而发现的，因此建立起可科学有效的信息沟通系统，包括设立匿名举报机制，对于舞弊的预防和发现都能起到很好的作用。可以由监察室归口管理匿名举报机制，处理会计、财务或审计等方面的举报，进行调查，并定期向董事会汇报。

第五，强化舞弊结果处理。对发现的舞弊情况如何处理，处理程度是否严格，将极大地影响员工是否做出舞弊行为。舞弊结果越严厉、越及时，员工进行舞弊的风险就越大，他们进行舞弊的可能性就越小。反之，如果企业对舞弊行为处理不及时，惩罚不严格，那么员工就会存在侥幸心理，认为舞弊的风险小于舞弊所带来的收益，进而容易导致更多的舞弊行为。严格的舞弊结果处理机制可以很好地对舞弊行为起到威慑作用。因此，企业应对舞弊行为建立起完整的处理机制，并对员工进行宣传教育，使其充分了解到舞弊行为所带来的严重后果，同时企业在发现舞弊行为之后应按照规定严格执行。

第3篇：内部控制基本规范范文

论文关键词：内部控制，基本规范，现状

全球经济二次探底风险加大时，浙江大中型企业面临着来自方方面面的危机。有效构造企业内部控制体系，已经成为企业管理者的首要任务之一。内部控制是建立健全企业内部科学管理制度，尤其是建立现代企业制度必不可少的重要内容，特别对企业经营效益、效率和效果至关重要，是企业生产经营活动赖以顺利进行的基础。

一、实施《企业内部控制——基本规范》（以下称《基本规范》）的背景

安然、世通等财务舞弊和会计造假案件的发生，严重冲击了美国乃至国际资本市场的正常秩序，内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。为此，许多国家通过立法强化企业内部控制，如2002年美国实施了《萨班斯一奥克利法案》。

虽然内控的重要性不言而喻，而且我国境外上市企业早已纷纷花巨资聘请海外机构设计内部控制制度，以适应上市地的监管要求。但国内很多大中型企业依然对什么是有效的内控体系，如何建立、评估和改进企业内控感到困惑。再由于长期没有统一的企业内部控制规范，一些大中型企业内部控制意识淡薄，出现了内部控制失效甚至舞弊的案件，损害投资者利益，在市场上造成恶劣影响，同时大中型企业内部控制不规范而使银行产生大量不良贷款的现象也屡见不鲜。

2008年6月28日，财政部、证监会、审计署、银监会、保监会等五部委联合了《企业内部控制——基本规范》（以下称《基本规范》），并与09年7月在上市公司范围执行，这标志着中国版“萨班斯法案”的正式启动。2010年4月26日，五部委又联合了《企业内部控制配套指引》，规定自2011年1月1日起在境内外同时上市的公司执行，2012年1月1日起在上交所、深交所主板上市公司执行。《指引》连同此前的《规范》，标志着适合我国企业内部控制规范体系已基本建成。

二、实施《基本规范》的意义

基本规范确立了我国企业建立和实施内部控制的基础框架，标志着内部控制规范体系建设取得重大突破。规范的出台在企业内部会计控制制度体系的构建过程中具有里程碑式的意义。

（一）为企业内部控制建设提供了基础性、权威性的指引

基本规范的弥补了国内一直没有统一的内控规范的状况，从制度源头来为企业内部会计控制的建设提供了保障，对企业会计信息质量的改善起到积极作用。而对浙江大中型企业来说，首先要树立正确的“内控观”，从实践层出发，加强内部控制制度建设，培育内部控制文化，推动内部控制体系的建立和持续改进。

（二）确立企业内部控制的基础框架

基本规范有机融合国际先进经验，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。

（三）强调企业全员、全过程的内部控制理念

基本规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，是一种全面、全员、全过程控制的理念。同时也表明企业内部控制应当贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项。

（四）准确定位企业内部控制的目标

基本规范从组织最根本的目标出发，充分考虑投资者、债权人、管理者的要求，以提高企业战略管理和自我引导能力为目的，判断现有的内部控制方法、控制对象与控制目标是否相容，及其之间存在的对应关系。

（五）科学界定了内部控制的含义

根据基本规范，内部控制是合理保证实现企业经营管理基本目标的一系列控制活动。这项控制活动既有收益也有成本，就有必要进行成本收益分析。换句话说，控制活动也要讲求效率。考虑到环境的复杂多变性与人类理性的有限性，内部控制应当且只能在“合理”的范围内保证上述目标的实现。

三、浙江大中型企业实施《基本规范》中的问题

按照《基本规范》的要求对企业现行的内部控制进行系统性改造，会给公司治理带来整体性的改善，并使企业的风险控制有了风向标。但从去年要求开始实施以来，由于实施的时间还不长，浙江大中型企业相关人员对其的理解和执行方面还不到位。而且一些企业的内部控制本身并不乐观，在内部控制制度的制定环节、实施环节和监督反馈环节存在一定问题。

（一）对《基本规范》理解不到位

与关注财务报告真实性的萨班斯法案相比，我国的《基本规范》范围更广、力度更大，它不仅关注财务报告，更关注企业内部控制全过程的有效性，实施难度也更大。面对这样一个框架性、宏观的《基本规范》，很多浙江大中型企业都不清楚到底应该从何入手。虽然五部委在今年4月份又联合了《企业内部控制配套指引》，但由于实施的时间不长，目前很多企业仍对《基本规范》的理解不到位。

（二）企业人员内控意识比较薄弱

自从美国的安然事件发生以后，国外的萨班斯法案在不断的完善过程当中，企业管理层对于内控的认识越来越高。但很多浙江大中型企业看待内控的问题，企业的人员，特别是管理层经常认为是在给企业“找事儿”做，对于内控的看法还是处于不太积极的状态。

（三）企业中专业内控人才严重缺乏

内控兴起不久，企业对于内控人才的培养也处于初级阶段，在加上人才本身管理水平的有限，对于内控的理解和看法都存在着不足，因此，全面复合型人才在浙江大中型企业中现在急剧缺少。

（四）内控实施的成本比较高;

内控的最终落点是需要IT系统的支撑，从IT的角度来看，要想做好内控，必然要有新的IT投入，而IT投入对于企业来看无疑是增加企业成本的，尤其是金融危机刚过的后危机时代，浙江大中型企业处于一个缓气的阶段，如果在进行IT投入对于企业是一笔不销的开销。

（五）业务流程管理水平很低，增加了内控管理的难度

内控是为了加强企业的经营管理与风险管理，如果是经营管理必然要改变现有的企业不合理的业务流程，现阶段业务流程管理水平不高，对于流程的梳理非常困难，同时又需要IT的环境实现流程的梳理，给企业的内控管理带来了难度。

（六）内控难以层层实施、监督

在内控实施方面，当前内控规范实施后，怎么能够让浙江大中型企业内部从高层到基层管理都清楚并自觉执行，涉及人员较多培训和监督难度都很大。同时企业控制点较多，如果全部用人工进行控制，控制成本会很高。

四、浙江大中型企业内部控制应以《基本规范》为指引发展完善

（一）提高人员素质，学习领会基本规范的实质与要求。

《基本规范》内容实施的时间不长，有关部门应帮助企业深入理解和实施基本规范要求，协助企业及时识别、科学分析和正确评价影响企业发展的各种不确定因素，有效构筑企业经营风险的“防火墙”，提升企业经营管理水平、盈利能力和持续发展能力，增强企业的竞争力。

当然浙江大中型企业应充分发挥人的作用，依靠提高人的综合素质、道德水准和法规意识充分发挥控制者和被控制者的主动性、积极性和创造性，深入研究基本规范的各项要求，遵循规范提出的基本原则，并将规范中的具体要求与企业现状相结合，寻求实现企业内部控制建设的最佳途径。

（二）转变内控文化，健全企业内部控制，实现全面、全员、全过程控制

经调研，较多浙江大中型企业中存在着对领导个人权威过于倚重的情况，领导意志往往凌驾于内控制度之上的现象，这就需要转变广大人员的思维方式和行为习惯，不仅要注重规章制度的建立和修订，而且要重视其贯彻落实的监督制约机制的建立和完善。

1、从认识入手。认识主要在于领导层，领导层必须认识到内控的重要性。通过领导层的认识来带动普通员工认识的提高，使企业从上到下都意识到内控需要全员参与配合，实现从被约束对象到内控制度建设者的转变。树立“内控无小事，内控大家抓”的内控价值观，正确的认识对全员参与和全过程控制都能有积极的作用。

2从落实入手。在认识提高之后，必然会形成一些内控的制度措施。企业往往不缺乏制度和措施，最缺乏的是执行力，全控制制度措施一旦确立，执行就是关键的问题，由谁来执行，怎样执行，执行要达到什么效果，为了保障效果需要采取什么监督办法，等等。

（三）强化学习交流，力求内控专业人员能力素质快速提升

要全面有效推行企业内部控制，建设一支高素质的内控人员队伍至关重要。新形势的发展对内控专业人员的素质和品德操行提出了更高的要求。不仅要掌握必备专业知识，还需熟识国家的政策要求和各项相关制度，了解经营管理、业务流程、计算机技术等综合知识，具备良好的职业道德、较高的综合分析能力和较强的沟通能力。

同时相关部门可以通过后续教育，培养内控人员的专业胜任能力。浙江大中型企业内部控制人员许多是“半路出家”，有正规内控学历并经过相应工作实践的人才很少。其中很大部分是会计出身，他们具有会计的实践经验，对加工对外会计报表的工作驾轻就熟，但是对企业自身很需要运用的管理会计以及控制理论与实践、风险管理、经济预警等方面，还显得很不够，其知识结构与企业需要与发展相距较远。

（四）改善管理水平，做好科学有效的内控体系建设

改善现有的管理水平，大中型企业必须借助于内控体系。完善的内控体系可以促进企业管理，实现企业的发展目标。内控首先要设计符合企业内部业务特点的管理体系，并且这个管理体系要能够根据公司业务比如组织架构调整进行及时调整。同时要把它体系形成文件，作为我们执行和审计的依据，作为监督改变的依据。

内控在国内应用的时间不是很长，大中型企业做内控可以参考优秀企业的内控来做。从信息化的角度来看，虽然不同的行业，不同的企业性质都不相同，但可以关注其他企业支持内控系统是如何来做的？历史证明，参照成功实施企业内控的企业做本企业的内控无疑是一个非常好的办法。

（五）突出抓好重点，符合基本规范同时考虑成本效益原则

一方面，大中型企业内部控制的有效实施可以有效防范企业风险的发生，减少企业不必要的损失，但另一方面内部控制的实施需要付出人力、物力、财力，会产生大额成本。所以《基本规范》的具体实施必须考虑实施成本，在实施过程中应遵循成本最小化下的效率最大化原则，尽量避免执行程序的冗长繁琐，避免执行规则的不经济带来的市场发展的低效率。

1、在实施过程中浙江大中型企业需要从自身的实践层面出发，树立正确的“内控观”。内部控制体系不是对现有企业管理体系的推倒重来，更不是独立于企业现有管理体系的另外一个体系，而是对现有管理体系的整合，是对企业现有管理体系职能的强化。

2、实施过程中人手少，任务重，全面开展此项工作的精力非常有限，要尽可能使有限的精力发挥出好的效益。可以遵循当今管理学界所熟知的“80/20”定律，即“马特莱法则”。分析把握好影响全局的关键因子，力求做到突出重点，抓好重要的20%因子，毕竟80%的价值来自于20%的因子。

（六）先做内控原型，不断完善以其内部控制达到持续化改进

研究国外优秀企业内控建设的经验是先做一个原型或者模型，然后逐步的填充，内控和信息化是一样，没有边界，因此，浙江大中型企业可以要先搭建内控的的框架，然后在框架中不断增加、修改，做到持续的优化。

企业需要不定期或定期地对自己的内部控制系统进行有效性及实施效率效果的评估，以期能更好地达成内部控制的目标。开展自我评估，用结构化的方法进行评估，密切关注业务的过程和控制的成效，了解缺陷的位置以及可能引致的后果，然后自我采取行动改进。不断完善，以便实现持续化。

内部控制是企业现代化管理必然产物，良好企业内控管理是成功企业必备条件。企业建立有效的内控控制体系已经成为企业可持续发展的关键，所以企业可以把《基本规范》实施作为一个改善企业业绩的契机，促使自身加强内部控制，提高企业管理水平与经济效益，促进企业实现发展战略。

第4篇：内部控制基本规范范文

根据财政部等五部委的要求，《企业内部控制基本规范》（财会［2008］7号）及其配套指引已于2011年1月1日起在境内外同时上市的69家公司实施。同时，财政部、证监会又选择了200多家在境内主板上市的公司进行试点。实施一年总体进展顺利，但也存在一定问题。为推动《企业内部控制基本规范》及其配套指引的顺利实施，现对有关问题解释如下：

1.如何把握企业内部控制规范体系的强制性与指导性的关系？

答：在实施试点中，一些企业反映，《企业内部控制基本规范》及其配套指引的规定是否需要逐条执行。

《企业内部控制基本规范》是内部控制建设与实施应该遵循的基本原则和总体要求，具有强制性，纳入实施范围的企业应当遵照执行。《企业内部控制配套指引》（财会［2010］11号，包括18个应用指引、1个评价指引和1个审计指引）是对《企业内部控制基本规范》相关规定的进一步补充和说明，具有指导性和示范性，纳入实施范围的企业可以结合所在行业要求和企业自身特点，参照配套指引的规定开展内部控制建设与实施工作。

2.已经完全按照境外监管机构要求建设与实施内部控制的境内外同时上市的公司，是否需要执行我国的企业内部控制规范体系？

答：目前，许多国家和地区对公众公司内部控制都有相关的规定和要求。我国企业内部控制规范体系在充分借鉴国际上先进经验和做法的同时，更多地适应了我国国情，尤其是充分考虑了我国目前法律法规体系、公司治理结构、企业管理体制、风险管控实务等具体情况，提出了内部控制的目标、原则、要素等，且不局限于财务报告内部控制，更多突出全面内部控制的要求。因此，境内外同时上市的公司应当在满足境外监管机构要求的基础上，对照我国企业内部控制规范体系，特别是应当围绕《企业内部控制基本规范》提出的内部控制五目标，对相关控制措施进行适当调整或补充完善。

3.企业按照企业内部控制规范体系建设与实施内部控制，是否还需要遵守我国行业主管部门和市场监管部门对内部控制的有关要求？

答：《企业内部控制基本规范》及其配套指引是对不同行业、各类企业提出的一般性要求，具有普适性。行业主管或监管部门对所辖企业的内部控制管理规定，是不同行业内部控制的特殊要求，也是《企业内部控制基本规范》的重要补充。企业应当按照《企业内部控制基本规范》及其配套指引规定和行业管理、市场监管的要求，建设与实施内部控制。

4.如何协调好内部控制与风险管理的关系？

答：《企业内部控制基本规范》及其配套指引，充分吸收了全面风险管理的理念和方法，强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险，促进企业实现发展战略，风险管理的目标也是促进企业实现发展战略，二者都要求将风险控制在可承受范围之内。因此，内部控制与风险管理二者不是对立的，而是协调统一的整体。

在实际工作中，一些企业的内部控制和风险管理工作由不同机构负责。对此，企业可以对有关机构和业务进行整合，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将内部控制建设和风险管理工作有机结合起来，避免职能交叉、资源浪费、重复劳动，降低企业管理成本，提高工作效率和效果。

5.对于《企业内部控制配套指引》尚未规范的领域，应如何处理？

答：由于企业所面临的客观环境和自身的经营管理活动比较复杂，目前的《企业内部控制配套指引》仅对企业常见的、一般性生产经营过程的主要方面和环节进行了规范。在建设与实施内部控制的过程中，对于《企业内部控制配套指引》尚未规范的业务领域，企业应当遵循《企业内部控制基本规范》的原则和要求，按照内部控制建设与实施的基本原理和一般方法，从企业经营目标出发，识别和评估相关风险，梳理关键业务流程，根据风险评估的结果，制定和执行相应控制措施。

6.如何权衡内部控制的实施成本与预期效益？

答：企业按照《企业内部控制基本规范》及其配套指引的要求建设与实施内部控制，必然需要支付一定的成本，可能会发生内部控制制度和流程的设计与实施费用、聘请专业机构提供咨询服务费用、建立融入内部控制要求的信息系统费用、聘请会计师事务所开展内部控制审计费用，等等。建设与实施内部控制应当从提高企业长期效益出发，从促进企业可持续发展出发，将内部控制作为一项常规性工作，贯穿于企业管理之中，加大投入。同时，应当按照重要性原则，关注重要业务事项和高风险领域，抓住关键风险控制点。集团性企业可以采取分类试点、逐步推广的方式，选择下属不同类型的企业试点，形成范本，减少重复建设。

聘请会计师事务所开展内部控制审计是建设与实施内部控制的重要环节，是检验内部控制有效性的重要手段和有力保证。内部控制审计费用是企业实施内部控制规范体系应当承担的成本，企业应安排相应经费确保审计工作的及时、有效开展。内部控制审计是一项区别于财务报告审计的独立业务，企业应就该项业务与会计师事务所签订单独的业务约定书。同时，企业也应权衡审计成本与审计效益，在业务约定书中明确有关费用标准，并对会计师事务所审计资源的投入和审计质量提出明确要求。

7.如何协调好内部控制与其他管理体系的关系？

答：内部控制贯穿于整个企业管理，与其他管理体系相辅相成、密不可分，是企业管理的重要组成部分。企业现有管理体系的设计、运行以及审核认证需要遵循已经的国家标准或行业标准。这些标准与企业内部控制规范体系的原则和要求并不矛盾。在实际工作中，个别企业的内部控制体系建设与管理体系运行发生冲突，原因可能是企业采用的方式方法出现了偏差，如简单照搬内部控制应用指引的规定，没有考虑企业的实际情况，为控制而控制，导致控制设计不合理，出现控制过度或控制冗余；也可能是企业经营管理部门对内部控制的重要性认识不足，不愿意受到更多的牵制和监督，从而以影响经营效率和目标为借口，拒绝必要的内部控制；等等。对此，企业应当立足管理现状，全面梳理各项管理制度和管理体系，从管理体制、机制以及落实各级权利责任等方面，将内部控制的要求融入各项管理体系中，形成内部控制的长效机制，使内部控制真正为经营管理服务；应当从总体目标出发，通过培训教育提高企业经营管理人员对内部控制的理解和认识，将内部控制的要求纳入绩效考核体系以加强执行；可以利用信息技术固化业务流程，提高业务处理效率和信息共享水平，从而尽可能减少内部控制与其他经营管理体系的冲突。

8.企业如何确定内部控制缺陷的认定标准？

答：查找并纠正企业内部控制设计和运行中的缺陷，是开展企业内部控制评价的一项重要工作，是不断完善企业内部控制的重要手段。由于企业所处行业、经营规模、发展阶段、风险偏好等存在差异，《企业内部控制基本规范》及其配套指引没有对内部控制缺陷的认定标准进行统一规定。企业可以根据《企业内部基本规范》及其配套指引，结合企业规模、行业特征、风险水平等因素，研究确定适合本企业的内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。企业确定的内部控制缺陷标准应当从定性和定量的角度综合考虑，并保持相对稳定。通过不断的实践，总结经验，形成一套行之有效的内部控制缺陷认定方法。

企业在开展内部控制监督检查中，对发现的内部控制缺陷，应当及时分析缺陷性质和产生原因，并提出整改方案，采取适当形式向董事会、监事会或者管理层报告。对于重大缺陷，企业应当在内部控制评价报告中进行披露。

财政部将会同证监会、审计署、银监会、保监会等有关部门，根据首次执行和试点情况，分行业、分类型总结企业的内部控制缺陷认定标准，供参考。

9.实施《企业内部控制基本规范》及其配套指引的企业，是否需要设置专门的内部控制机构？

答：根据《企业内部控制基本规范》的规定，企业董事会负责内部控制的建立健全和有效实施。为便于董事会履行好企业内部控制规范体系的设计、建立、运行与改进方面的职责，董事会应当指定专门委员会负责指导内部控制建设与实施工作。一般情况下企业应当成立专门机构负责组织协调内部控制的建立实施及日常工作。

对于少数企业受制于岗位编制、专业人员等条件限制，目前尚不具备成立专门的内部控制管理机构的，可暂将内部控制管理职能划归现有机构。随着企业内部控制建设的持续深入和相关条件的不断成熟，企业应考虑成立专门机构，保证有足够的资源支持和协调内部控制工作的开展，确保内部控制工作的相对独立性。

10.如何编制和披露企业内部控制评价报告？

企业内部控制评价是企业董事会对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。开展内部控制评价，可以及时发现和纠正企业内部控制建设与实施中存在的问题，并持续自我完善。企业可以独立开展内部控制评价工作，也可以委托不承担本企业内部控制审计的中介机构协助开展内部控制评价工作。

第5篇：内部控制基本规范范文

目前，我国上市公司内部控制信息披露状况不容乐观，从沪、深两市上市公司2012年年报来看，仍有少数公司对其内部控制信息没有做任何形式的披露；虽然大多数公司随年报披露了内部控制信息，但披露内容、评价标准及报告格式不统一。鉴于此，笔者从上交所的《上海证券交易所上市公司内部控制指引》（本文简称“沪指引”）、深交所的《深圳证券交易所上市公司内部控制指引》（以下简称“深指引”）、以及财政部联合证监会、审计署、银监会与保监会等所共同的《企业内部控制基本规范》（本文简称“基本规范”）及其由《企业内部控制评价指引》、《企业内部控制审计指引》与《企业内部控制应用指引》组成的《企业内部控制配套指引》（本文简称“配套指引”）着手，对以上不同规范从内部控制内涵及责任人、内部控制自我评价规范、内部控制信息披露三方面进行对比研究，从而为我国上市公司内部控制制度的设计与执行提供依据，也为财政部、证监会等政府监管部门进一步完善内部控制法律法规、提高对上市公司监管的效率与效果提供一定的参考。

二、上市公司内部控制内涵及责任人对比研究

（一）内部控制内涵 对关于内部控制的内涵，“沪指引”有如下规定：“内部控制是一种制度安排，上市公司进行该种制度安排的最终目的是为保证公司战略目标的实现，而对涉及到公司整体战略层面上与具体经营层面上已经存在的与潜在的风险予以管理与防范，该项制度安排参与的主体囊括了上市公司高层管理者、董事会及其全体员工。”“深指引”对内部控制的内涵的理解是：“内部控制是一个为实现一系列目标（合法合规目标、提高效益目标、资产安全目标、披露真实目标）而提供合理保证的过程，参与这一过程的主体包括上市公司高层管理者、董事会、监事会及其他有关人员。”“基本规范”提出：“内部控制是一项实现合理保证企业控制目标（经营管理合法合规、提高经营效率与效果、保障资产安全、促进企业实现发展战略、财务报告及相关信息真实完整）的过程，参与主体为企业高层管理者、董事会、监事会及其全体员工。”对比“沪指引”、“深指引”与“基本规范”关于内部控制的内涵可以总结出以下不同：首先，根本区别是性质不同。“深指引”与“基本规范”认为内部控制是一个过程，而“沪指引”则认为内部控是一种制度安排；其次，目的不一致。“深指引”与“基本规范”认为内部控制是为实现一系列目标而提供的合理保证，但通过对比可以发现两者为内部控制所限定的一系列目标仍存在一些差异，“深指引”是为了实现合法合规目标、提高效益目标、资产安全目标、披露真实目标，而“基本规范”是为了实现经营管理合法合规、提高经营效率与效果、保障资产安全、促进企业实现发展战略、财务报告及相关信息真实完整目标，相比之下，“沪指引”是从“最终”目的层面站在更高的角度上对内部控制目标进行了阐释，表达也较为概括与简捷，即：“保证公司战略目标的实现”；最后，参与主体的不同，“深指引”认为内部控制的参与主体仅涉及到上市公司高层管理者、董事会、监事会及其他有关人员，而“沪指引”与“基本规范”则认为参与的主体是上市公司全体人员，范围明显较广。

（二）内部控制责任人 “沪指引”和“深指引”都明确指出内部控制的责任人为公司董事会规定“上市公司董事会应对公司内部控制制度的设计与执行负责”，“沪指引”更是强调“保证内部控制相关信息披露内容的真实、准确、完整是董事会及其全体成员的责任”。应当注意的是，虽然“基本规范”没有从字面上指明内部控制的具体责任人，一直只称“企业”，但在“配套指引”中的《企业内部控制评价指引》提到“内部控制评价报告的真实性应当由企业董事会负责”，《企业内部控制审计指引》也规定“企业董事会应当对内部控制的建立健全与有效实施，评价内部控制的有效性负责”。

三、上市公司内部控制自我评价规范对比研究

（一）内部控制自我评价涉及的基本因素 COSO（Committee of Sponsoring Organization）委员会于1992年9月了《内部控制整合框架》（COSO-IC），即著名的COSO报告，该报告可谓是集内部控制理论研究与实践应用于一体，内容丰富、体系完善，在其后得到了广泛的传播，被世界众多国家的专家学者所接受并被应用到内部控制制定与实施中，在业内倍受推崇，已然成为最具有权威性的现代内部控制体系框架。“沪指引”在对COSO-IC的内部控制8要素框架进行借鉴的基础上进行了一定的改造，如将COSO-IC中的“事项识别与风险应对”改为“风险确认与风险管理策略选择”。而“深指引”则是对COSO-IC的全面风险管理8要素框架进行了完全的借鉴。“沪指引”与“深指引”只是说明了要素的涵义，却没有对每项要素所包含的内容进行阐释。“基本规范”在形式虽然上与COSO-IC的5要素框架相类似，但在实质上体现的却是全面风险管理8要素框架思想。“基本规范”将COSO-IC的5要素框架中的“控制环境”改造为“内部环境”，它在实质上囊括了8要素框架中的“内部环境”与“目标设定”两要素，“风险评估”相当于8要素框架中的“风险识别”、“风险评估”、“风险应对”。同时，“基本规范”不仅说明了5项要素的涵义，还对每项要素所包含的内容进行了详细的阐释。

（二）内部控制自我评价所需的控制手段 企业在实施内部控制过程中，必须采用一定的措施与方法，以完成制定的控制目标，这些措施与方法的总和即为控制手段。内部控制的控制手段包括企业整体层面与具体业务层面：企业整体层面的控制手段包括信息系统、内部信息传递、合同管理、全面预算等，而具体业务层面的控制手段包括预算控制、会计系统控制、授权审批控制、财产保护控制、绩效考评控制、运营分析控制与不相容职务分离控制等。“基本规范”以具体业务层面的控制手段为主，“配套指引”从企业整体控制措施的适用条件、范围、目的、实施过程中各环节可能面临的风险及其相应的抵御措施进行了详细的规范。“沪指引”关于控制手段的内容主要体现在“专项风险的内部控制”部分，但仅对具体业务层面的控制手段进行了说明。“深指引”不仅在“重点控制活动”部分对具体业务层面的控制手段进行了介绍，还对企业整体层面的控制手段提出了明确的要求：“上市公司应在设立完善的控制框架基础上对各层级之间的控制程序进行规划与制定，从而为董事会及高级管理人员下达的指令能够被高效的执行提供保证。”

（三）内部控制自我评价中的风险管理思想 “沪指引”对风险管理的介绍较为简略，对很多类型的风险只是略述，仅对金融衍生品交易与控股子公司的风险在“专项风险的内部控制”部分作了较为详细的阐释。“深指引”与“沪指引”相似，它只在整体上进行了笼统的说明：“上市公司为持续监督、及时发现、准确评估、合理控制公司所面临的包括市场风险、财务风险、经营风险、道德风险、政策法规风险等在内的各种风险，应建立一套完整的风险评价系统。”“基本规范”不仅对企业所面临的各项内部与外部风险的识别、分析与规避从整体进行了提纲挈领式的说明，而且9项具体的指引将风险管理的思想嵌入到每个控制点之中，更符合企业内部控制的实际，深刻体现了全面风险管理的思想。

（四）内部控制自我评价对检查监督的说明 内部控制的一项基本要素即为检查监督，企业可以通过检查监督自行监测内部控制的运行状况。但是，对于检查监督的主体、目的、方法等方面“沪指引”、“深指引”与“基本规范”却有不同的说明。首先，关于检查监督的主体，“沪指引”认为应是公司的董事会，“深指引”认为应是董事会专门设定的内部审计部门，如审计委员会等，“基本规范”认为董事会或其下属的审计委员会均可。其次，关于检查监督的目的，“沪指引”为监测、发现与纠正内部控制制度所存在的缺陷与问题，“深指引”为发现内部控制的异常事项与所存在的缺陷，评估内部控制执行的效果与效率，在此基础上提出相应的改进建议；“基本规范”对检查监督的目的从日常监督与专项监督两方面进行了说明。最后，关于检查监督的方法，“沪指引”认为的检查监督的方法包括了程序与方法两方面的内容，“深指引”未对检查监督的方法进行规定，虽然“基本规范”也未对检查监督的方法进行规定，但“配套指引”对内部控制检查监督的方法进行了明确的说明，指出内部控制评价程序包括：建立评价小组、制定评价方案、现场测试、发现控制缺陷、汇总评价结果、编制评价报告等环节，在对被评价实施具体的现场测试时，可以运用询问、观察、检查、穿行测试等方法。

四、上市公司内部控制信息披露对比研究

（一）不定期内部控制信息披露 “沪指引”要求：“上市公司一旦发现本公司的内部控制存在潜在风险或重大缺陷，董事会应在第一时间向上交所报告，经上交所认定，董事会应及时针对内部控制重大缺陷的表现、后果、责任的承担以及补救措施对外公告。”“深指引”规定：“上市公司内部审计部门负责对内部控制的执行情况进行检查监督，一旦发现存在重大异常，应及时向董事会与监事会报告。董事会应就公司内部控制存在的重大缺陷与相应的应对方法及时对外披露。”“基本规范”及其“配套指引”均没有对不定期内部控制信息披露的主体与内容进行规定。

（二）定期内部控制信息披露 定期内部控制信息披露是指与上市公司年报同时披露的内部控制评价报告。“沪指引”没有涉及内部控制评价报告的格式与时间，只是对其应披露的内容作出了如下规定：“上市公司与年度报告一同披露的内部控制评价报告至少应包括内部控制的制定与执行情况、内部控制的检查监督状况、内部控制所存在的重大缺陷以及相应的应对策略、本年度内部控制计划的完成情况；下一年度关于内部控制制度的相关完善措施等”，“沪指引”还要求上市公司应随年报一起披露注册会计师对内部控制评价报告的审核意见。“深指引”也没有对内部控制评价报告的格式进行规定，关于内容的要求是：“上市公司在会计年度结束后四个月内的内部控制评价报告应包括：内部控制的制定和执行情况、内部控制是否存在缺陷、内部控制活动的自查与监督状况、内部控制缺陷的应对措施、本年度对上一年度的内部控制的改进等。”“深指引”与“沪指引”一样，也要求上市公司应随年报一起披露注册会计师对内部控制评价报告的审核意见，并规定了四个月（在会计年度结束后）的期限，即对内部控制评价报告及其注册会计师审核报告披露的期限作出了规定。“基本规范”认为内部控制评价报告的内容应囊括到以下要素：内部环境、控制活动、信息与沟通、风险评估、内部监督，同时还应披露对内部控制检查监督的过程、所发现的重大缺陷、重大缺陷的应对措施等。“基本规范”也对披露的时间作出了规定：“企业内部控制评价报告、企业的内部控制审计报告应以12月31日作为基准日，在此之后的四个月内同时披露”，这在时间上与“深指引”的要求是相同的。特别需要指出的是，在“配套指引”的参考格式中，对内部控制评价报告的格式作出了说明，即应包括标题、管理层声明、报告受众、评价标准、披露内容、结论、报告编制单位及签名、报告日期等因素。

五、结论

本文通过对比分析，发现上交所、深交所与财政部关于内部控制所的规范在整体上是一致的，但是诸多细节上略有差异。笔者认为，其原因主要有：一是我国上市公司内部控制制度起步较晚，在内部控制的本质、原因、起点、程序等问题上学术界尚未达成统一的共识；二是随着我国经济的发展与资本市场的不断完善，广大投资者对上市公司风险控制的制度设计与信息披露的要求越来越高，不同部门的规范时间不同，规范的对象也不同，内容难免会不同；三是以上部门在政策制定与执行过程中缺乏交流与沟通。上述三个政策执行后，我国上市公司内部控制的制度制定与信息披露实践并不乐观，三个部门的法规内容相互联系但又不完全相同，造成同一个上市公司可能要同时受多个内部控制规范的限定，无法在对公司内部控制进行评价时确定统一的评价依据，对上市公司内部控制制度的制定、执行的效率与效果会产生严重的不良影响。

第6篇：内部控制基本规范范文

【关键词】 内部控制； 应用指引； 层次划分

为了贯彻实施《企业内部控制基本规范》，财政部起草了《企业内部控制应用指引（征求意见稿）》（以下简称应用指引），从而形成了包括《企业内部控制基本规范》、《应用指引》、《企业内部控制评价指引》和《企业内部控制鉴证指引》在内的较完整的企业内部控制规范体系。应用指引的层次划分，旨在研究企业内部控制规范体系的层次结构，理顺该体系内部各部分之间的内在逻辑和相互关系；明确各应用指引与《企业内部控制基本规范》所界定的内部控制要素的内在联系；厘清各项应用指引在内部控制中的功能作用、控制范围和控制重点，最大限度地减少《企业内部控制基本规范》的应用盲区；有助于企业在贯彻实施《企业内部控制基本规范》时，更好地界定各部门的职责权限；结合不同层次应用指引的执行情况，便于有针对性地开展企业落实内部控制规范情况的内部评价和外部检查，并采取针对性更强的优化措施。

《企业内部控制基本规范》明确了内部控制的五要素，即：控制环境、风险评估、控制活动、信息与沟通、内部监督。从控制功能上看，内部控制又以风险防范为核心，而风险可以划分为企业层面的风险、业务层面的风险和报告层面的风险，与此相对应的风险类别可以分别表述为系统风险、经营风险和报告风险。因此，应用指引的层次划分可考虑两个维度的因素：一个维度是各应用指引与控制要素的关联程度；另一个维度是各应用指引的控制功能与三种风险类别的关联程度。按这两个维度进行交叉分类，可将应用指引划分为三个层次：第一个层次，是企业层次的应用指引，主要包括组织架构及权责分配（总分公司）、母子公司、社会责任和人力资源管理等。这一层次，主要与控制环境、风险评估和控制活动三要素相对应，其控制重点是企业层面的风险，注重企业内、外部环境的适应性和协调性。第二个层次，是业务层次的应用指引，包括除第一层次和第三层次以外的所有应用指引项目，对应的控制要素主要包括风险评估、控制活动、信息与沟通三要素。这一层次的控制与业务流程和控制过程相结合，重点控制企业业务层面的经营风险。第三个层次，是报告层次的应用指引，主要包括内部报告与信息系统、对外报告、内部审计和业绩考核等应用指引项目。这一层次对应的主要控制要素包括控制活动、信息与沟通、内部监督三要素，重点关注企业报告层面的风险。具体划分情况见立方图1。

图2中的各项应用指引所对应的内部控制要素，以深色区域表示某项应用指引与对应的内部控制要素关联程度较高，以浅色区域表示该项应用指引与对应的内部控制要素有一定的关联度。这种划分反映了各项应用指引与各内部控制要素均有一定联系，但关联程度有所不同。深色部分是相关应用指引所涉及的内部控制要素的核心部分，突出相关应用指引的控制重心，厘清应用指引与控制要素的关系，界定了各应用指引的控制范围，表明不同应用指引之间相互联系的边界，揭示了不同应用指引之间相互衔接的缝隙，形成应用指引之间的自然耦合和分工协同关系。这样的划分，不但没有割裂相关应用指引的关联关系，而且使应用指引与《企业内部控制基本规范》的衔接更加连贯、顺畅，也使应用指引各组成部分的相互关系更加清晰、明了，防范风险的侧重点更具针对性。

【主要参考文献】

[1] 企业内部控制基本规范.

第7篇：内部控制基本规范范文

内部控制是一种持续的管理活动，贯彻于决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项，实现全过程、全员性控制。为了检查监督内部控制的建立和有效运行，强化企业监督、防范企业风险，仅仅进行内部控制评价和注册会计师内部控制审计远远不能满足企业管理的现实需求，企业自身还要动态、不定期、有针对性和突击性地开展内部控制审计，以便向最高管理当局及时提供内部控制建立、运行的实际状况，查找内部控制缺陷和风险隐患，发现管理的薄弱环节，提出整改建议，促进企业持续、稳定、健康发展。

但是，《企业内部控制基本规范》及配套指引只是从外部监管的角度规范企业内部控制评价和注册会计师内部控制审计，对企业自身开展的内部控制审计并没有作具体规范，企业究竟是遵守《企业内部控制基本规范》及配套指引还是遵守《企业内部审计准则》，目前没有一个明确的说法。因此，企业自身到底如何开展内部控制审计，笔者认为可以从以下方面着手。

1 企业要根据《企业内部审计准则》的要求开展内部控制审计

企业自身开展的内部控制审计，是指由企业内部审计部门对企业内部控制设计和运行的有效性进行审计，是内部审计的一种业务类型，也是一种持续的过程审计，具有前瞻性、时效性、预防性和突击性的特点，是对内部控制的再控制。因此，既然是内部审计，就应该遵守《企业内部审计准则》，并根据《企业内部审计准则》的规定来计划和实施审计工作，出具审计报告。

2 企业要从深入业务的角度开展内部控制审计

业务活动是企业规章制度的有效载体，没有业务活动的支撑，任何规章制度都只是无本之木，都是一纸空文，《企业内部控制基本规范》及配套指引的有效实施，也应该深深扎根于企业的业务活动。而企业自身开展内部控制审计，是出于企业内部管理的需要，是为加强动态监管和管理层决策服务的，监管和决策的效果最终是通过业务活动来体现，因此，企业开展内部控制审计必须深入到业务，通过对业务活动的审查来评价内部控制设计和运行的有效性，用业务数据来说明内部控制运行情况，是一种非常有说服力的审计证据。

3 企业开展内部控制审计应该和内部控制评价有机结合

虽然企业内部控制审计和内部控制评价目的不同、责任和实施主体以及报送要求均不同，但是两者在许多方面还是有许多共同点，企业内部控制审计应该在以下方面和内部控制评价有机结合起来：

1)企业内部控制审计应该和内部控制评价一样关注企业层面和业务层面的内部控制，企业层面和业务层面是企业的两个方面，是企业的有机结合，无论是企业对内部控制审计还是进行内部控制评价，缺少其中任何一方面的内容其结果都是不完整的，都是不合要求和充满风险的。

2)企业应该结合运用审核、观察、询问、函证及分析性复核等内部审计方法和个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样及比较分析等内部控制评价方法，来获取充分、相关、可靠的审计证据，以支持审计结论和建议。

3)企业内部控制审计应该使用和内部控制自我评价相一致的缺陷认定标准。

4 企业内部控制审计可借鉴的程序和方法

第8篇：内部控制基本规范范文

一、《指引》、《基本规范》、COSO新旧报告主要内容比较

《指引》、《基本规范》、COSO新旧报告的主要内容见表1所示。

第一，定义上的比较分析。从定义上看，四者都强调了内部控制或风险管理是一个过程，而且是一个持续改进的过程，是实现目的的手段而非目的本身；都是为企业目标的实现提供“合理而非绝对”的保证。参与主体方面，《基本规范》与COSO两报告都要求 “企业董事会、管理层以及其他人员共同实施”，这既明确了参与主体，也强调了“全员控制”。而《指引》在全面风险管理定义中虽未直接指明主体，但《指引》第四十二条指出：企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构、风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。可以看出，《指引》中的全面风险管理也是“全员性”的，董事会、管理高层、各职能部门、企业员工均要全员参与。

第二，目标上的比较分析。《指引》中未涉及企业目标，但提出了风险管理的五个总体目标：确保将风险控制在与总体目标相适应并可承受的范围内；确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；确保企业遵守有关法律法规；确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

《基本规范》提出了由五个目标构成的完整目标体系，其中战略目标是内部控制最终的目的和最根本的目标。COSO新报告在原来三目标的基础上增加了战略目标，这意味着风险管理不仅仅应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。另外，COSO新报告还将报告拓展到“内部的和外部的”“财务的和非财务的报告”，该目标涵盖了企业的所有报告。

第三，要素上的比较分析。《指引》没有直接引入要素概念，仅从全面风险管理内容看，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统五个方面。《基本规范》的五要素是借鉴COSO旧报告的五要素，并根据我国实际情况作了一些调整。如《基本规范》将控制环境和监督要素限定为内部环境和内部监督，突出了内部控制的“内部”特征；在风险评估引入了风险承受度，明确了风险识别、风险分析、风险应对策略；把控制活动界定为控制措施，并提出了具体的控制措施，更具可操作性；在信息与沟通要素中加入了反舞弊机制。当然，我国《基本规范》中存在着要素划分不够清晰的问题，如将内部审计作为内部环境的构成部分，而又规定内部审计在内部监督中的职责权限，同一个内容出现在了两个不同的要素之中。与此类似，机构设置、治理结构、权责分配和人力资源政策也同时具有内部环境和控制活动的特征。COSO新报告在原有旧报告的基础上新增了三个风险管理要素――目标设定、事项识别和风险应对。另外，COSO新报告对相关要素的内涵进行了扩展。

第四，风险管理理念上的比较分析。在风险管理理念上，COSO旧报告中的内部控制强调的是对单个风险或业务单元的风险进行管理，而《指引》和《基本规范》都有风险组合观的思想，其中，《指引》还明确界定了风险偏好的概念，并定义了风险承受度。

COSO 新报告明确提出了风险组合观，要求企业管理者以风险组合的观点看待风险、从企业整体层面上总体把握风险。针对企业目标实现过程中所面临的风险，COSO新报告对企业风险管理提出了风险偏好和风险容忍度两个概念。

可见，我国《基本规范》科学地界定了内部控制的内涵，准确定位了内部控制的目标，统筹构建了内部控制的要素，同时也吸收了COSO新报告的精神实质，在一定程度上强调了内部控制与风险管理的统一，在所有重大方面基本与美国COSO报告保持一致，同时在某些地方也体现了中国特色。从内部控制与风险管理整合的角度看，《基本规范》与《指引》有很强的关联性，而相关概念和规范内容又不尽相同，两者未进行有效的统一协调，因此势必会增加国有企业实施《指引》和《基本规范》的难度和成本，影响企业实施效果。而美国COSO成功地将内部控制融入到企业风险管理之中，新报告基本涵盖了旧报告的所有合理内容。

二、我国内部控制体系建设建议

第一，积极借鉴外部经验。欧美国家，特别是美国，无论是在内部控制理论上，还是在内部控制规范化建设方面，都比我国起步要早，已经研究和制定出了一系列的规范。因此，学习和借鉴国外先进的内部控制规范是我国内控建设过程中的一个必要阶段。但我国企业在法治意识、制度基础、风险理念、经营风格等方面与欧美企业存在较大差异，因此照抄照搬的内控规范可能不适合我国国情。我国的内部控制规范比较接近于美国模式，即采用的是规则导向型的内部控制。但是，美国模式有一个前提，即：如果通过内部控制的评价和报告暴露出管理层不能履行对内部控制的责任，那么管理层会受到董事会、市场和监管部门的惩罚。但是，我国对管理层的责任追究机制远没有美国有效，因此这个前提在我国目前的情况下还没法成立，如果直接效仿美国模式，将很难看到基本规范实施的效果。所以，我国的内部控制规范可以适当采取原则导向和规则导向相结合的方式，以原则为基础，以规则为指导。

第二，加快内部控制规范创新。《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点，提供的仅仅是个原则性的框架，这就造成我国企业在具体实施的过程中面临难题――企业应当如何结合自身情况实施内部控制？所以，我国应进一步制定保护基本规范顺利实施的细则，包括企业如何有效地执行规范、如何准确评价本企业内部控制状况、中介机构如何客观评价内部控制的有效性并出具审计报告等。另外，对于《基本规范》中存在的某些问题，如：要素划分不够清晰，对内部控制整体的关注不够等，应进一步得到规范。

第三，对内部控制和风险管理进行整合。虽然新颁布的《基本规范》与《指引》有很强的关联性，但两者未进行有效的统一协调，这一问题有待迫切解决。正是因为有风险才需要控制，控制的最终目的是为了降低风险，所以，应尽快将内部控制与风险管理进行有效整合，以减少企业实施成本和监管成本。

第9篇：内部控制基本规范范文

一、会计师事务所面临的机遇

(一)增加了与企业内部控制相关的业务需求在《基本规范》后，全球四大会计师事务所之一的德勤，于2008年7月中国上市公司内部控制报告，显示44％的公司认为其已经建立了内部控制体系。而另外56％的公司没有建立或现有内部控制机制尚不完善。由于我国大部分上市公司控制环境先天不足、控制制度不健全等原因导致内部控制薄弱的原因，不符合《基本规范》的要求，必然会要求会计师事务所为其提供内部控制咨询业务，以达到规范的要求，符合上市的条件；另一方面报告显示90％的受访上市公司认为注册会计师对内部控制进行有效性审计有利于企业完善内部控制工作，通过注册会计师的独立检查，有利于帮助企业发现自身内部控制体系存在的问题，提升自身的管理水平，而目前聘请会计师事务所对内部控制进行有效性审计的上市公司不到5％。上市公司披露内部控制自我评估报告并且经会计师事务所审计是未来的发展方向，也是资本市场发展的要求。随着我国市场经济的不断发展。将会有越来越多的公司认识到内部控制的重要性，选择对内部控制的有效性进行审计。

(二)为会计师事务所开展内部控制咨询提供了统一的标准在《基本规范》之前，我国会计师事务所在进行内部控制咨询时，往往参照国际上的经验和体系(如COSO)或借鉴国内其他一些规定，并考虑一些相关部门的要求。内部控制制度的设计安排都是由会计师事务所和咨询人员根据经验判断来决定的，并不真正适合我国的国情。该规范解决了这一问题，能使内部控制咨询真正提高企业的管理水平和风险防范能力，增加企业的价值。这对会计师事务所开展内部控制咨询业务是有利的。

(三)提高会计师事务所财务报告审计的效率，降低审计风险财务报告的审计，随着企业规模的越来越大，不可能直接做实质性测试。而是首先要对被审计单位的内部控制有效性进行评估，这是审计工作的重要组成部分。因此被审计单位的内部控制情况直接关系到财务报告审计的效率和风险。《基本规范》第四十二条特别针对企业建立反舞弊机制做出了规定，如果企业按照《基本规范》的要求建立健全内部控制，就能从根源上杜绝企业内部舞弊事件的发生。而且还可以降低管理层舞弊而导致企业资产流失的风险。目前在会计信息失真主要是由舞弊造成的情况下，《基本规范》的实施更能发挥出降低审计风险、提高财务报告审计质量的作用。

二、会计师事务所面临的风险

(一)鉴证客户方面目前，我国上市公司内部控制普遍薄弱，对内部控制有效性审计面临较大的风险。德勤的报告显示超半数中国上市公司内部控制不达标，尽管我国上市公司的内部控制现状与2007年相比有些改善，但总体上看，在内部控制建设方面仍存在较大的欠缺，公司认为自身的内部控制体系尚无法完全满足监管机构的要求，并缺乏完善的内部控制体系。由于我国进入市场经济的时间较短，对内部控制认识不到位，法人治理结构不完善，管理人员对内部控制不重视，导致公司控制环境先天不足。公司大部分经营活动在内部控制不健全的情况下进行。即使有些公司建立了比较全面的内部控制制度，但仅仅只停留在纸上而没有严格执行，不能落实到实处。大部分公司的风险管理机制也不健全，事前较少实行风险防御，风险识别和风险评估机制也不完善。会计师事务所对内控如此薄弱的公司进行内部控制有效性审计，可能会面临较大的审计风险。

(二)鉴证依据方面对公司内部控制有效性审计缺乏相关的审计准则。杨有红、汪薇在《2006沪市公司内部控制披露》中对自愿进行内部控制有效性审计的24家公司研究发现：会计师事务所在对公司内部控制有效性进行审计时，有54.2％的会计师事务所依据的是2002年的《内部控制审核指导意见》，有41.7％的会计师事务所依据的是2006年的《中国注册会计师审计准则》，有4.1％的会计师事务所依据的是2006年的《上海证券交易所内部控制指引》。由此看出会计师事务所对内部控制有效性审计没有统一的依据。《内部控制审核指导意见》表面上看是针对内部控制的，但内容和最后的报告格式都仅仅针对财务报告；《中国注册会计师审计准则》中与内部控制有关的就是第1231号准则――针对评估的重大错报实施的程序，但也主要是针对在财务报表审计过程中，如何了解和测试被审计单位与财务报表有关的内部控制，而不是广义的内部控制。会计师事务所要对内部控制发表审计意见，必须有一个专门针对内部控制的统一的审计准则。规范会计师事务所如何确定审计范围、如何审计、如何取得证据、如何界定发现问题的性质等。

(三)会计师事务所自身方面会计师事务所缺乏相关具有胜任能力的人才。会计师事务所业务范围的扩大，对具有相关专业知识和丰富经验的人才的需求也大幅增加。另一方面相对财务报表审计而言，内部控制审计需要更多的职业判断。首先在企业方面，因为内部控制是为了防范风险，而风险是还没发生、不确定的，所以企业要先判断哪里有风险，然后判断风险的大小，风险的偏好，还要考虑用什么样的内部控制，将风险控制在可接受的范围内。注册会计师在审计时，也要运用大量的职业判断。因此会计师事务所在缺乏相关具有专业知识和经验的人才的情况下，盲目承接业务会面临较大的审计风险。

三、会计师事务风险防范建议

(一)建立健全内部控制和风险管理制度会计师事务所在接受客户时，要判断什么样的客户可以接受，要考察客户的控制环境。有没有蓄意欺骗的倾向等。在审计过程中，应履行严格的审验程序。记录详细的审计工作底稿，保持相应的职业谨慎。在证据充分的情况下，才可以出具签证报告。在具体承担业务分派任务时，要制定严格的政策和程序，以合理保证所有聘请的人员均能胜任所分配的任务，将工作委派给技术熟练、经验丰富的人员。考核方面应建立业务评价机制。添加绩效工资，对能力强、审计质量高、有敬业精神的员工，应给予奖励。具体审计项目中，给负责人用人权。充分调动员工的工作积极性，实现小组内的优化组合，使小组成员各司其职，最终实现优胜劣汰。对于审计失败的项目，要及时总结教训，建立责任追究制度。