内部控制基本规范，企业内部控制基本规范

内部控制基本规范篇1

　　【关键词】企业内部控制 基本规范

　　2008年6月28日，财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范会，会议了《企业内部控制基本规范》(以下简称《基本规范》)，自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。

　　《基本规范》在企业内控体系中处于最高层次，起统驭作用，描绘了企业建立与实施内控体系必须建立的框架结构，规定了内部控制的定义、目标、原则、要素等基本要求，是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据。《基本规范》的颁布实施，必将对我国企业及资本市场的发展产生深远影响。

　　内控是为了企业的生存发展而存在的，是促成企业目标实现的一种重要方法和手段，内部控制的目的是在合理的范围内保证企业基本目标的实现。盈利是企业生存和发展的基础，如果不能盈利，就连自身的生存都难保证，其他目标更无从谈起。企业要想实现盈利，就必须控制风险，必须建立有效的内控体系。企业要改善现有的管理水平，就必须借助于内控体系，完善的内控体系是促进管理落实的手段，可以促进企业实现发展目标。

　　同时，健全有效的内部控制，有利于提高财务信息质量，提升财务报告的有效性，这对于保证投资者对高质量财务信息的需求，体现资本市场“公开、公平、公正”的原则，保护投资者合法权益具有至关重要的意义；有利于上市公司遵守国家法律、法规、规章及其他相关规定，堵塞管理漏洞，保障公司资产的安全，有效提高公司风险防范能力，减少乃至避免舞弊事件的发生；有利于提高经营效率和效益，提升企业经营管理水平、盈利能力和持续发展能力，增强公司竞争力，从而提高上市公司质量，最大限度地回报股东和社会。

　　面对国际市场日趋激烈的经济竞争环境，我国企业要“走出去”，进入国际产业和资本市场投资，必须苦练内功、强化内控、防范风险，这样才能立于不败之地。可以说，企业内控体系的建立与实施，为我国企业“走出去”提供了“安全网”和“防火墙”。

　　实施《基本规范》对企业提出了诸多要求。

　　在以人为本的现代化企业管理中，员工的地位日趋重要，员工也越来越看重工作的环境，特别是软环境，比如：企业文化、管理理念、管理层是否关注员工的工作和日常生活以及员工的职业生涯发展等。另一方面，制度再周全也不可能凡事都规范到位，制度可以规定员工出工，但无法规定员工出力。因此，企业管理控制的核心是企业中的人及活动，只有提高了人的主观能动性，才能加强内部控制实施效果。

　　企业文化作为一种无形的精神力量与源泉，影响着企业员工的思维方式和行为活动。优秀的企业文化可以促进企业发展，防止企业衰败；不良的企业文化也可能阻碍企业发展，甚至导致企业倒闭。因此，企业必须培养自身的优良文化，将企业文化与内控制度的建立有机的结合起来，从而更好地推动企业发展。

　　职业道德属于非法律性质的道德范畴，不履行职业道德并不一定违法，但是职业人如不履行职业道德，必将遭到淘汰。公司应提供职业道德方面的指导，使所有员工在日常或特定的环境下能保持正常的判断；制定公司的行为准则，并传达给全体员工，将员工不诚实和不讲道德标准的动机与机会降到最低。职业道德有许多范畴，不同岗位的人员职业道德不一定相同，《国际会计职业道德准则》中对会计从业人员提出8条准则，内容包括：廉正、客观、独立、保密、技术标准、业务能力、工作胜任、道德自律。我国《会计法》第39条也规定会计人员应当遵守职业道德，提高业务素质。提高员工的职业道德特别是财务人员的职业道德将有助于企业内控制度的建立与实施。

　　企业内部控制体系的构建是一项重大而复杂的系统工程，在这个过程中我们要牢牢把握住正确的发展方向，实施过程中应注意以下几方面。

　　1.立足国情、符合实际

　　内部控制构建的基本前提是要从我国实际国情出发，符合我国法制意识、制度基础、风险理念、经营风格等方面特点，扎根于我国经济、社会、法律、文化环境和企业实践。我国在建立完善社会主义市场经济体制过程中，形成了有别于资本主义市场经济的成熟经验和做法。因此，我国的内部控制体系的建设应当更多地消化总结自身的成功经验，与国家有关法律法规相协调，与国家经济发展战略相协调，与企业经营管理实践相协调。只有做到立足国情，符合实际才能具有强大的生命力，才能发挥应有的积极作用。

　　2.把握方向、注意动态

　　从内部控制的发展历程来看，内部控制的发展趋势是从简单、零散的低层次阶段向完整、系统的高层阶段发展，包括的内容、涉及的范围和层面越来越多，内容越来越丰富。目前，内部控制发展的思想不再是简单的机构、业务流程上的监督、制衡，而是注重风险管理。在实务方面，推行财务报告内部控制必然是今后国际发展大势所趋。内部控制不是静止不变的，而是一个动态变化的系统。

内部控制基本规范篇2

　　摘 要 2008年6月28日，财政部、证监会等五部委联合《企业内部控制基本规范》，基本规范将于2009年7月1日起实施。本文从建筑行业入手，对基本规范的适用性、建筑行业实施的必要性、行业风险及内控重点以及内部审计的作用等方面进行了探讨。

　　关键词 内部控制 基本规范 建筑行业 风险 内部审计

　　2008年6月28日，财政部、证监会等五部委联合《企业内部控制基本规范》（以下简称“基本规范”），这是我国内控标准体系建设的可贵创新与重大突破。基本规范在立足我国国情并借鉴国际惯例的基础上，确立了我国企业建立和实施内部控制的基本框架，构筑起了中国企业经营风险的“防火墙”，标志着我国企业用以规范发展、规避风险的内部控制指南已初步建立。目前，基本规范即将实施，特定行业实施时应关注哪些方面，存在的问题，实施的效果如何等将是下一步深入贯彻基本规范需要研究的问题。本文仅从建筑行业入手探讨实施基本规范的相关问题。

　　一、基本规范的适用性

　　基本规范在立足我国国情并借鉴国际惯例的基础上，明确提出企业建立与实施有效的内部控制，应当包括以下五要素：内部环境，风险评估，控制活动，信息与沟通，内部监督。统筹构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的内部控制框架。这些内部控制要素具有普遍适用性，适用于各种行业的企业。其中，内部环境、风险评估、信息与沟通、内部监督要素基本是具备通用性的，任何企业建立内部控制都应当遵循；控制活动要素的具体内容需要根风险评估的结果确定，基本规范只能给出普遍性、概括性的指南。

　　同时，基本规范确立了企业建立与实施内部控制应当遵循的五项原则：全面性原则、重要性原则、制衡性原则、适应性原则及成本效益原则。指出内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项，并在全面控制的基础上，关注重要业务事项和高风险领域。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。因此，基本规范的实施不是生搬硬套，而是要根据特定行业、特定企业的实际情况建立与之相适应的内部控制。

　　综上，基本规范为企业建立完善内部控制提供了有力的指导，但具体实施过程中需要企业认真分析行业特征、企业实际情况、外部环境等因素，将基本规范具体化、本地化，制定适合的内部控制实施方案，这样才能达到加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展的目标。

　　二、建筑行业实施基本规范的必要性

　　由于建筑产品生产周期长，涉及面较广，因此建筑行业有别于其他制造行业，其特性有以下几点：

　　（一）政策敏感性

　　建筑业发展与宏观经济形势具有高度相关性。建筑行业的发展方向、发展速度、经营环境以及运行机制明显的受国家宏观政策的调控。国家关于建筑业的政策调整、变化较多，政策波动性较大，因此，建筑业应该时刻关注国家政策的变化与调整，以及时调整企业的经营策略。

　　（二）高风险性

　　由于建筑产品交易方式以及生产方式的特殊性，建筑业具有较大的经营风险。建筑市场交易属于期货交易，即建筑产品的交易过程在生产之前开始。这种生产和交易的分离，决定了建筑市场中的交易一出现就应该是一种信用交易方式，而信用交易方式必然面临着信用风险。

　　（三）成本具有不确定性

　　建筑工程最终产品的生产过程是最为复杂的产品生产过程，建造成本随着宏观经济环境等因素改变而变化，因此造成其成本难以控制，存在较大不确定性。

　　当前国内建筑市场竞争日趋激烈，建筑企业所处的经济环境复杂多变，经营过程中各种不确定因素增加，使施工项目微利化趋势越来越明显，各种风险进一步增大和复杂化。建立健全内部控制系统是建筑企业自身的管理需求，通过建立权责明确、管理科学的企业内部组织结构，形成科学的企业内部治理机制，建立有效的风险控制系统来有效防范风险，堵塞漏洞，消除隐患，保证企业各项财产物资的安全和完整，提高经济效益。

　　但由于建筑企业管理水平参差不齐、管理链条较长、基层人员素质较低、建筑项目情况各异等因素影响，建筑行业建立完善的内部控制系统具有较大难度，目前行业内各企业的内部控制有效性程度也存在较大差别。实施基本规范有利于规范建筑行业的内部控制要素，统一内部控制流程，完善内部控制体系。

　　三、建筑行业的风险分析及内部控制关键环节

　　建筑行业的风险主要包括以下几个方面：

　　（一）战略风险

　　战略风险是指战略目标不能实现的可能性，建筑行业战略风险主要有以下四项：

　　（l）战略规划与执行管理风险。由于对国家投资政策分析不准确，对政府和民间投资宏观未能合理预计，对未来影响企业的有关因素分析和判断把握不够充分，从而带来企业的总体战略选择环节的失误风险。

　　（2） 产业战略选择和调整的主要风险。包括：产业拓展风险，如从房建领域向基础设施领域进行跨专业拓展；进行多元化战略调整风险，如向建材生产和房地产开发拓展，以及建筑业向制造业或服务业方向实现多元化战略调整。

　　（3）企业并购所带来的管理风险。如合并、收购同行业企业，或收购、并购其他行业企业的行为；进行重大的经营区域调整等等。

　　（4）公司组织结构调整和改制等行为带来的风险。公司组织结构变革、公司的预算调研、测算、分解、执行和考核、重大事项的决策等等，这些带有方向性或给公司带有重大影响的战略性调整，具有很大风险。

　　（二）经营风险

　　经营风险是在日常生产经营活动过程中，影响具体目标实现的风险。建筑企业经营风险主要包括营销风险及项目管理风险。

　　（l）营销风险：市场调研与分析、项目信息跟踪、项目投标许可与入围、投标报价、合同谈判、工程结算等环节的风险。

　　市场调研分析包括调查工程项目所在地政治、经济、社会风俗、自然环境、税收等法律及政策规定，还应了解劳动力、设备、材料的市场价格和变化规律，分析市场的潜力与前景。

　　合同谈判主要是通过签约前谈判明确双方的责任及风险分担，以争取合理的合同条件减轻风险。

　　投标报价需要根据自身因素、业主因素、竞争对手情况和项目情况综合考虑后报出投标价。如在此过程中对某一环节未充分考虑，企业可能将面临极大的风险。

　　（2）项目管理风险：采购管理、存货管理、施工过程管理、安全控制、质量控制、工程结算管理等方面的风险。

　　工程项目作为施工企业效益的源头，是企业风险最为集中的地方。由于工程项目存在建设周期长、投资数额大、工序繁多等固有特点，各种不可预见因素多，风险相应增加，并贯穿于工程项目施工全过程。

　　鉴于建筑工程材料消耗和设备购置占总造价的比重很大，所以工程能否获利的关键点之一是采购环节。因建筑材料价格波动很大，因而不能只看目前的报价，要尽可能对过去和未来的材料价格趋势作出判断，以及时采取应对措施，减少材格上涨带来的负面影响。

　　（三）财务风险

　　财务风险包括收入、成本、费用及利润管理，现金流量，相关资产管理，投、融资管理，相关债务和净资产管理，信息披露与财务报告等方面的风险。一般认为财务风险管理应从资本结构着眼，通过对营运过程和投资等环节进行详细分析加以确定，必须着重突出对高风险项目、重要管理部位和资金流通等环节进行重点关注和管理。就建筑企业而言，采购、工程款收付、应收账款的处理和投资活动是财务风险管理的重点，较为常见的风险有甲方未按期支付工程进度款，造成资金紧张；甲方拖延结算，使应收工程款迟迟不能回收等。

　　（四）法律风险

　　法律风险主要包括印鉴、合同、诉讼事务管理等方面的风险。建筑工程时间跨度普遍较长，从签约到完工再到结算付清款项，历经十年八载也并非方夜谭。甲方拖欠施工企业，施工企业拖欠分包或材料款，容易造成多角债务关系。此外长期欠款还牵涉到法律诉讼时效的问题，如果在此期间经办人调离岗位，继任人不清晰，又没有一套严谨的制度约束，则欠款有可能无法追回。

　　针对上述风险，建筑企业建立内部控制的重点在于完善以下控制活动：重大投资决策、工程投标与合同建立、项目策划与成本预算、项目履约管理、资金链管理、安全与质量管理、项目成本管理与费用控制、印章保管与使用等。

　　公司治理机制也是内部控制重点。其重点是建立完善股东大会、董事会、监事会、经理层之间的制衡机制，切实完善公司治理、建立有效的经理层的考核和激励机制，规范企业并购、重大投资、产业战略调整、经营结构调整等重大决策流程。

　　四、内部审计如何协助企业实施基本规范

　　基本规范对内部审计也给予了足够的重视，规定：“企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应具备相应的独立性、良好的职业操守和专业胜任能力。”审计委员会成为必设机构，权力得到扩大。要求企业应当在董事会下设立审计委员会，并保证内部审计机构设置、人员配备和工作的独立性；内审机构对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。内部审计工作的职责不仅包括审计会计账目，更重要的是检查、评价内控制度是否完善和各职能部门履行职能的效率，并向企业最高管理部门报告内控制度的执行结果，从而保证内控制度更加完善和严密。在实际工作中，内部审计可以通过以下两方面职能协助企业实施基本规范：

　　一方面，内部审计是内部控制的重要环节，它是对内部控制的检查和再控制。通过内部审计人员经常和定期的审计活动，评估内部控制的有效性，达到消除隐患、改进管理、提高效益的目标，以消除影响内部控制的各种因素，它是落实内部控制的一个重要保证。一个完整的内部控制系统，必须要有内部审计来监督执行，以及时发现问题，纠正偏差，修订并完善制度。

　　另一方面，内部审计可以发挥咨询职能，为企业风险评估、控制活动构建等方面提供专业支持，确立企业的高风险领域，提出风险应对措施建议，供管理层参考，从而起到协助企业完善内部控制的作用。

　　参考文献：

　　[1]2008.企业内部控制基本规范。

　　[2]杨有红。企业内部控制框架构建与运行。浙江人民出版社。2001.

内部控制基本规范篇3

　　关键词：企业内部控制基本规范；内部控制；会计信息系统

　　2008年6月28日，财政部、证监会、审计署、银监会、保监会联合了我国首部《企业内部控制基本规范》(以下简称基本规范)。基本规范自2010年1月1日起首先在上市公司范围内实施，鼓励非上市的其他大中型企业执行。这意味着中国企业内部控制规范体系建设正在向国际标准靠拢。

　　这套适用于中国企业的内部控制体系，其基本规范借鉴了COSO(The Committee of Sponsoring Organization)报告五要素框架和风险管理八要素框架；具体范围以财务报告内部控制为主线，对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项以及与财务报表编报相关的业务活动提出具体的控制规范，并对为实现有效的财务报告内部控制的事前、事中和事后制度支持提出控制要求。本文从IT内部控制与IT风险管理的角度，阐述企业IT控制与会计信息系统内部控制之间的关系。

　　一、会计信息系统内部控制制度包含的五要素框架

　　美国COSO了关于内部控制的概念界定和评价内部控制系统的指导性框架的报告，这一报告被国际社会公认为可接受的内部控制的权威性报告，对我国会计信息系统的内部控制制度的建立具有重要的参考价值。COSO报告认为内部控制系统包括5个组成要素：控制环境、风险评估、控制活动、信息与沟通、监控。相应，会计信息系统内部控制框架也对应于企业内部控制的五要素框架。因此，对会计信息系统内部控制制度的探讨也应从这5个方面进行。

　　(一)内部环境

　　内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境在企业IT领域的体现是IT的内部控制环境，主要包括IT治理架构、IT组织与职责，IT决策机制，IT合规与IT审计等。在IT环境下，因为企业内部管理结构扁平化，使得内部控制的组织结构发生改变。这要求内部控制的方式与管理手段随之改变。IT经济引导着企业组织从机械式向有机式并最终向虚拟组织发展演变，要求企业的领导阶层学会在一个流动和动态的环境中发现内聚力和构造组织，既要有创新和发展，又能在不断磨合中加强内部控制和向心力。IT改变企业的架构、企业文化，并影响各成员控制意识，这要求管理层树立信息意识，更新控制观念。

　　(二)风险评估

　　风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节，也是COSO内部控制整体框架的独特之处。IT手段的不断应用，给企业带来竞争优势的同时也带来了风险，在IT环境下，虽然企业的整体目标没有改变，但是经济、产业及管理的外部环境与内部因素都发生了变化。伴随业务流程的改变，系统的开发性、信息的分散性、数据的共享性，使系统从以往封闭集中状态走向开放，给会计信息系统带来了风险。这些风险构成了内部控制的新内容，扩大了会计信息系统内部控制的范围，必须有效利用IT作为控制风险的工具。应树立信息意识，更新控制观念，改变思维定式，有效利用IT为企业服务。把IT作为防范风险的工具，与业务活动有效结合起来，建立一个控制良好的电子数据处理系统，保证企业业务处理活动严格按商业规则进行。

　　(三)控制措施

　　控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法与手段，是实施内部控制的具体方式，主要包括职责分工控制、授权控制、绩效评估控制、财产保护控制、会计系统控制、内部报告控制、信息技术控制等。IT的广泛应用，增强了控制手段的灵活性、高效性，加强了内部控制的预防、检查与纠正的功能，经济有效地实现内部控制的目标。IT环境下的会计信息系统控制的重点由对人的控制为主转变为对人、机共同控制为主，控制程序与计算机处理相协调适应。随着计算机使用范围的扩大，利用计算机进行贪污、舞弊、诈骗等犯罪活动有所增加。因此，也增加了IT环境下内部控制的难度与复杂性。

　　(四)信息与沟通

　　信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。IT衔接企业各职能部门实现了会计和业务的一体化处理，会计核算从事后的静态核算转变为事中的动态控制，信息需求者可以获取实时信息，使得工作在空间和时间上的接近不再是至关重要的问题。内部控制由顺序化向并行化发展，企业的设计、制造、销售、会计等人员并肩工作，共同控制企业的物流、资金流和信息流。

　　(五)监督检查

　　监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证。在IT环境下，一些内部控制被计算机程序化并嵌入在计算机应用系统内，因此内部控制具有人工控制与程序控制相结合的特点。这些程序化的内部控制的有效性取决于应用程序，如果程序发生差错或计算机感染病毒，由于人们对计算机系统的依赖性、麻痹大意及程序运行的重复性，使得失效控制长期不被发现，甚至导致系统在特定方面发生错误或违规行为的可能性较大。所以，在IT环境下，注意对内部控制的监督，由适当的人员，在适当的时候，及时评估控制的设计和运作情况。

　　二、建立健全会计信息系统内部控制制度的建议

　　鉴于会计信息系统的特点，借助COSO框架，建立会计信息系统内部控制制度应考虑如下因素：

　　(一)完善企业内部控制环境

　　1、组织结构调整。信息技术的引入使管理幅度增大、层次减少，高耸型的组织结构逐渐趋于扁平。同时，网络使内、外部人员进行更多的沟通，内部控制由命令与控制向集中与协调转变。因此，必须进行组织结构调整才能更好地进行内部控制。企业应通过组织结构调整、建立恰当的组织机构和职责分工制度，并通过部门设置、人员分工、岗位职责的制定、权限的划分等形式进行控制，从而达到相互牵制、相互制约、防止或减少舞弊发生的目的。应设立会计岗位和系统管理岗位。会计岗位负责基本的核算及档案管理等工作；系统管理岗位负责会计信息系统的操作、管理、维护等工作。岗位的设置应遵循不相容职务分离的原则，使不同岗位之间相互监督，相互制约，以达到控制的目的。

　　2、培养管理人员的内部控制观念和信息观念。管理者的观念在很大程度上决定了企业的内部控制制度能否顺利实施，也大大影响着内部控制的效率和效果。在会计信息化条件下，应该注重培养管理人员的内控观念和信息观念，理解企业信息化建设、内部控制和企业发展的关系。随着企业流程重组和组织结构变革，管理人员必须更新观念，有效实施内部控制制度，注重管理实效，对企业进行现代化管理。

　　3、加强董事会的建设，发挥董事会的作用和职能。企业应当以董事会作为内部控制系统的核心，加强董事会建设，发挥董事会的作用和职能，完全履行其监控、引导和监督的责任，消除内部人控制现象，完善内部控制环境，保证内部控制的有效运行。

　　(二)正确地进行风险评估和风险分析

　　会计信息化后，由于会计信息系统自身的特点，增加了会计工作的风险。主要包括：第一，开发和设计中存在的风险。由于系统研发人员对会计工作的不了解或者考虑问题不全面，致使实际工作中的情况不能与系统相吻合，容易出现差错，从而导致的风险。第二，操作不规范和造成的风险。第三，计算机维护不当造成的风险。会计信息都储存在磁介质中，如果计算机维护不当，容易使会计信息丢失或被删改。第四，不可控制的风险。如突然断电、自然灾害、病毒攻击、黑客侵入等。这些都是会计信息化所带来的风险。管理者必须对这些风险进行正确的评估和分析，才能防患于未然，有效地进行内部控制。

　　1、系统操作控制。由于操作系统的用户较多，加上自身的缺陷，系统面临着来自各方面的潜在威胁。因此，必须对系统操作进行严格的控制。首先，要明确规定每个用户的安全级别和身份标识，并分别定义具体的访问对象。每个岗位的人员只能按照所授予的权限对系统进行操作，不能越权使用。其次，要对进出机房的人员进行登记，对运行系统的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监视和记录，并对日志文件定期进行安全检查和评估。由于企业实行会计信息化后内部控制重点的转变，企业必须对会计数据的输入、输出和处理过程进行严格的控制。在会计核算软件中，对输入过程的控制，首先是授权控制，输入的数据必须经过授权，没有经过授权的输入应当是无效的。其次要保证输入数据的正确性，通过各种手段对输入过程进行控制。一般的软件在研发时就对相应数据的输入格式和类型进行了规定，但是为了保证数据的正确性，需要采用重复输入校验的手段进行控制，可以是同一人多次输入，也可以是不同的人各自输入进行校验。输出控制的目的是保证结果的完整性和正确性。输出的数据同样也应有授权，如对用户进行访问范围控制等，并对发送对象已经发送的数量有明确的规定和记录。对于数据在传输过程中的控制可以采用顺序编码的方式，并对数据发送和接收的时间进行记录，便于日后查询。

　　2、系统维护控制。系统的维护是指日常为保障系统正常运行而对系统硬软件进行的安装、修正、更新、扩展、备份等方面的工作，包括硬件维护和软件维护。硬件维护主要包括定期进行检查并做好记录；在系统运行过程中出现硬件故障要及时进行故障分析并做好记录。而软件维护包括正确性维护、适应性维护和完善性维护。在软件修改、升级和硬件更换过程中，要保证实际会计数据的连续和安全，并由有关人员进行监督。

　　3、信息化会计档案管理的控制。会计档案管理的目标是要做到任何情况下数据都不丢失、不损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等，而数据的备份则是数据恢复与重建的基础，是一种常见的数据控制手段，采用磁性介质保存会计档案要定期进行检查和定期复制，防止由于磁性介质损坏而使会计档案丢失。网络中利用两个服务器进行双机镜像映射备份是备份的先进形式。

　　(三)完善IT控制措施

　　针对风险评估的结果，在会计信息系统方面需要实施具体的IT控制措施，包括IT管理类控制措施，如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离，授权审批等，以及IT技术类控制措施，如数据加密、访问控制、数字签名、隧道(VPN)、防病毒、入侵检测、身份管理、权限管理等。下面将以网络会计信息系统中较为先进的数据加密技术和数字签名技术为例进行介绍。

　　数据加密技术是保护信息通过公共网络传输和防止电子窃听的首选方法。现代加密技术分为对称加密(专用密钥，private key)和非对称加密(公开密钥，public key)两大类。对称加密法是最传统的方式，其特点是关联双方共享一把专用密钥进行加密和解密运算，专用密钥法面临的最大难题是密钥网上分发的安全性问题。非对称加密法1976年问世，它将密钥一分为二，即一把公钥和一把私钥，具有加密钥不同于解密钥、并且在计算上不能由加密钥推出解密钥的特点，有效解决了密钥分发的管理问题，特别适合计算机网络的应用环境。譬如总公司对下属企业公开其“密钥对”中的公钥，下属企业可以用公钥对上报的报表信息加密，安全地传送给总公司，然后由总公司用其保留的私钥进行解密。

　　数字签名是指在Internet环境下，电子符号代替了会计数据，磁介质代替了纸介质，财务数据流动过程中的签字盖章等传统手段将完全改变，为验证对方身份、保证数据真实性和完整性，在计算机通信中采用数字签名这一安全控制手段。基于数字签名还可建立不可否认机制，也就是说，只要用户或应用程序已执行某一动作，就不能否认其行动。数字签名是上述公开密钥密码技术的另一类应用。它的主要方式如：会计信息的披露方从信息文本中通过一种信息摘要算法产生一固定长度(如128位)的摘要值，用自己的私钥对摘要值加密，来形成披露方的数字签名，连同原文一起发出；关联方首先用同样的摘要算法对报文计算摘要值，接着再用披露方一同发来的公钥对数字签名解密，如果两个摘要值相同，证明信息在发送途中未被篡改，而且报文确定来自所称的披露方。财务系统中远程处理时可用数字签名技术代替签字盖章的传统确认手段，当然这得是在国家有相应的财务制度许可的条件下。

　　(四)建立信息与沟通机制

　　企业建立健全了规章制度和业务流程之后，如何贯彻落实？这就需要企业有相应的信息和沟通机制，它是整个内部控制系统的生命线，为管理层监督各项活动和在必要时采取纠正措施提供了保证，包括信息渠道和反馈机制。如：企业领导层的政策方针要通过信息渠道下达给企业员工，这是一个是自上而下逐步灌输的过程。还要有一个自下而上的反馈机制，企业员工发现风险，发现问题，要通过汇报机制逐层汇报给上级部门，这样就能避免很多问题的发生。作为内部控制的重要组成部分的会计信息系统内部控制也是如此，会计信息系统的主要目的是记录、处理、存储、归纳和交流信息，任何交易必须能够追踪其从发生到终止的过程，所有交易必须在系统中留下审计线索，为内部控制提供保证。

　　(五)建立健全监督检查机制

　　整个内部控制的过程必须施以恰当的监督检查，通过监督检查活动在必要时对其加以修正。这里所指的监督检查主要包括4个方面：职业道德的约束，公司应成立由董事长、财务总监、首席法律顾问等组成的“职业道德遵行委员会，负责调查违反行为准则的人员；通过外部审计，检查和确认财务报告的合法性、公允性和一贯性；通过内部审计，对内部各部门的财务、管理、效益进行审计；加强集团对分部的监控和分部的内部控制状况。

　　其中，内部审计是监督检查最常用的途径。企业应该设立内部审计部门，并定期或不定期地对企业的会计信息系统进行审计。内部审计应包括：对会计资料定期进行审计，会计信息化系统账务处理是否正确；审查机内数据与书面资料的一致性；监督数据保存方式的安全、合法性，防止发生非法修改历史数据的现象；对系统运行各环节进行审查，防止存在漏洞等。

　　三、结束语

　　《企业内部控制基本规范》的颁布实施将对我国企业的内部控制发展产生重大影响，实施会计信息化的单位应该结合信息化内部会计控制的目标和特点，提出更高的控制要求，扩大有效的控制范围，采取更好的控制方式，重新构建一套较为完善的内部会计控制体系，从而规范单位的会计行为，提高会计信息的可靠性、有用性，保证其对单位内部管理与外部信息服务的作用，以增强企业的竞争能力和生存能力，从而进一步发挥会计信息化的优势。

　　参考文献：

　　1、企业内部控制课题研究组。企业内部控制基本规范解读及应用指南[M]。中国商业出版社，2009.

内部控制基本规范篇4

　　第一条 为了促进各单位内部会计控制建设，加强内部会计监督，维护社会主义市场经济秩序，根据《中华人民共和国会计法》（以下简称《会计法》）等法律法规，制定本规范。

　　第二条 本规范所称内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。

　　第三条 本规范适用于国家机关、社会团体、公司、企业、事业单位和其他经济组织（以下统称单位）。

　　第四条 国务院有关部门可以根据国家有关法律法规和本规范，制定本部门或本系统的内部会计控制规定。

　　各单位应当根据国家有关法律法规和本规范，结合部门或系统的内部会计控制规定，建立适合本单位业务特点和管理要求的内部会计控制制度，并组织实施。

　　第五条 单位负责人对本单位内部会计控制的建立健全及有效实施负责。

　　第二章 内部会计控制的目标和原则

　　第六条 内部会计控制应当达到以下基本目标：

　　（一）规范单位会计行为，保证会计资料真实、完整。

　　（二）堵塞漏洞、消除隐患，防止并及时发现、纠正错误及舞弊行为，保护单位资产的安全、完整。

　　（三）确保国家有关法律法规和单位内部规章制度的贯彻执行。

　　第七条 内部会计控制应当遵循以下基本原则：

　　（一）内部会计控制应当符合国家有关法律法规和本规范，以及单位的实际情况。

　　（二）内部会计控制应当约束单位内部涉及会计工作的所有人员，任何个人都不得拥有超越内部会计控制的权力。

　　（三）内部会计控制应当涵盖单位内部涉及会计工作的各项经济业务及相关岗位，并应针对业务处理过程中的关键控制点，落实到决策、执行、监督、反馈等各个环节。

　　（四）内部会计控制应当保证单位内部涉及会计工作的机构、岗位的合理设置及其职责权限的合理划分，坚持不相容职务相互分离，确保不同机构和岗位之间权责分明、相互制约、相互监督。

　　（五）内部会计控制应当遵循成本效益原则，以合理的控制成本达到最佳的控制效果。

　　（六）内部会计控制应随着外部环境的变化、单位业务职能的调整和管理要求的提高，不断修订和完善。

　　第三章 内部会计控制的内容

　　第八条 内部会计控制的内容主要包括：货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制。

　　第九条 单位应当对货币资金收支和保管业务建立严格的授权批准制度，办理货币资金业务的不相容岗位应当分离，相关机构和人员应当相互制约，确保货币资金的安全。

　　第十条 单位应当建立实物资产管理的岗位责任制度，对实物资产的验收入库、领用、发出、盘点、保管及处置等关键环节进行控制，防止各种实物资产被盗、毁损和流失。

　　第十一条 单位应当建立规范的对外投资决策机制和程序，通过实行重大投资决策集体审议联签等责任制度，加强投资项目立项、评估、决策、实施、投资处置等环节的会计控制，严格控制投资风险。

　　第十二条 单位应当建立规范的工程项目决策程序，明确相关机构和人员的职责权限，建立工程项目投资决策的责任制度，加强工程项目的预算、招投标、质量管理等环节的会计控制，防范决策失误及工程发包、承包、施工、验收等过程中的舞弊行为。

　　第十三条 单位应当合理设置采购与付款业务的机构和岗位，建立和完善采购与付款的会计控制程序，加强请购、审批、合同订立、采购、验收、付款等环节的会计控制，堵塞采购环节的漏洞，减少采购风险。

　　第十四条 单位应当加强对筹资活动的会计控制，合理确定筹资规模和筹资结构、选择筹资方式，降低资金成本，防范和控制财务风险，确保筹措资金的合理、有效使用。

　　第十五条 单位应当在制定商品或劳务等的定价原则、信用标准和条件、收款方式等销售政策时，充分发挥会计机构和人员的作用，加强合同订立、商品发出和账款回收的会计控制，避免或减少坏账损失。

　　第十六条 单位应当建立成本费用控制系统，做好成本费用管理的各项基础工作，制定成本费用标准，分解成本费用指标，控制成本费用差异，考核成本费用指标的完成情况，落实奖罚措施，降低成本费用，提高经济效益。

　　第十七条 单位应当加强对担保业务的会计控制，严格控制担保行为，建立担保决策程序和责任制度，明确担保原则、担保标准和条件、担保责任等相关内容，加强对担保合同订立的管理，及时了解和掌握被担保人的经营和财务状况，防范潜在风险，避免或减少可能发生的损失。

　　第四章 内部会计控制的方法

　　第十八条 内部会计控制的方法主要包括：不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制、财产保全控制、风险控制、内部报告控制、电子信息技术控制等。

　　第十九条 不相容职务相互分离控制要求单位按照不相容职务相分离的原则，合理设置会计及相关工作岗位，明确职责权限，形成相互制衡机制。

　　不相容职务主要包括：授权批准、业务经办、会计记录、财产保管、稽核检查等职务。

　　第二十条 授权批准控制要求单位明确规定涉及会计及相关工作的授权批准的范围、权限、程序、责任等内容，单位内部的各级管理层必须在授权范围内行使职权和承担责任，经办人员也必须在授权范围内办理业务。

　　第二十一条 会计系统控制要求单位依据《会计法》和国家统一的会计制度，制定适合本单位的会计制度，明确会计凭证、会计账簿和财务会计报告的处理程序，建立和完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能。

　　第二十二条 预算控制要求单位加强预算编制、执行、分析、考核等环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。

　　预算内资金实行责任人限额审批，限额以上资金实行集体审批。严格控制无预算的资金支出。

　　第二十三条 财产保全控制要求单位限制未经授权的人员对财产的直接接触，采取定期盘点、财产记录、账实核对、财产保险等措施，确保各种财产的安全完整。

　　第二十四条 风险控制要求单位树立风险意识，针对各个风险控制点，建立有效的风险管理系统，通过风险预警、风险识别、风险评估、风险分析、风险报告等措施，对财务风险和经营风险进行全面防范和控制。

　　第二十五条 内部报告控制要求单位建立和完善内部报告制度，全面反映经济活动情况，及时提供业务活动中的重要信息，增强内部管理的时效性和针对性。

　　第二十六条 电子信息技术控制要求运用电子信息技术手段建立内部会计控制系统，减少和消除人为操纵因素，确保内部会计控制的有效实施；同时要加强对财务会计电子信息系统开发与维护、数据输入与输出、文件储存与保管、网络安全等方面的控制。

　　第五章 内部会计控制的检查

　　第二十七条 单位应当重视内部会计控制的监督检查工作，由专门机构或者指定专门人员具体负责内部会计控制执行情况的监督检查，确保内部会计控制的贯彻实施。内部会计控制检查的主要职责是：

　　（一）对内部会计控制的执行情况进行检查和评价。

　　（二）写出检查报告，对涉及会计工作的各项经济业务、内部机构和岗位在内部控制上存在的缺陷提出改进建议。

　　（三）对执行内部会计控制成效显著的内部机构和人员提出表彰建议，对违反内部会计控制的内部机构和人员提出处理意见。

　　第二十八条 单位可以聘请中介机构或相关专业人员对本单位内部会计控制的建立健全及有效实施进行评价，接受委托的中介机构或相关专业人员应当对委托单位内部会计控制中的重大缺陷提出书面报告。

　　第二十九条 国务院财政部门和县级以上地方各级人民政府财政部门应当根据《会计法》和本规范，对本行政区域内各单位内部会计控制的建立和执行情况进行监督检查。

　　第六章 附 则

内部控制基本规范篇5

　　第一，建立良好的企业文化，缓解企业压力。企业文化对员工的思想和行为会产生一定的影响，企业文化的建立与否、其侧重点往往在很大程度上影响甚至改变员工的行为取向，是对员工的一种有效的特约束机制。因此，企业应建立积极、健康的企业文化，建立员工的诚信思维，强化对企业的认同感和归属感。在这个过程中，管理层的经营理念也会产生重要作用，企业领导者的良好的行为和决策也会成为积极的示范作用，反之。领导者的行为不端，则容易引起员工的效仿。在舞弊三角论中，压力是产生舞弊的根源。现代社会竞争日益激励，压力与日俱增，而与工作相关的压力以及相伴随的经济压力常常成为现代人压力的源头。这种压力的存在，在某种条件下就有可能滋生舞弊行为。因此，企业应关注员工的思想和心理状态，关心员工的生活状态，建立积极但相对宽松的工作环境，缓解员工压力。

　　第二，完善企业治理结构。管理层舞弊是指管理层所蓄谋的舞弊行为。《企业内部控制基本规范》中所述的“董事、监事、经理及其他高级管理人员”。即属于该类舞弊范畴内，除此之外，财务报表舞弊也是其主要表现形式。由于舞弊者地位较高，影响力较大，手段更加隐秘，通常更难防范。高级管理层如果凌驾于内部控制之上，就会使得内部控制失效，从而导致舞弊行为，这就表明现行内部控制定位偏低，其作用对象往往仅限于高级管理层以下。预防该类舞弊，就必须将内部控制上升到企业治理层面，完善企业治理结构则是防止该类舞弊行为的一个有力手段，可以从以下几个方面着手：首先，改善企业股权结构，健全企业治理结构的基础。股权结构代表了企业控制权的分布，决定了股权持有人以及利益相关者的权力和利益关系，同时对企业的经营方式也会产生影响。股权结构可以分为股权高度集中型、股权适度分散型、股权高度分散性。对于股权高度集中型的企业，绝对控股的大股东虽然可以积极参与企业治理，但绝对控股地位决定了其难以受到约束和制衡，舞弊行为很难发现或者控制。同时也容易产生控股大股东和管理层串通舞弊，损害中小股东利益的行为。股权高度分散型的企业，虽然可以避免上述问题，但由于股权分散，容易形成“强管理人、弱股东”的格局。在这种情况下，容易产生管理层基于自身利益而做出损害股东的行为。股权适度分散性则可以是较为合理的股权结构，保证一定的股权集中度，但没有绝对控股地位的股东，而是几个持股数量相当的大股东，从而达到制衡作用，可以规避前面两种股权结构下产生的问题。其次，加大外部董事比例，完善独立董事制度。外部董事的存在可以在一定程度上约束内部董事的行为，减少内部董事和管理者串通的可能性，使董事会更有效地监控管理活动，防范舞弊的发生。我国已经建立独立董事制度，要求上市企业董事会必须含有独立董事，但现实中，独立董事不独立的现象比较普遍，独立董事很大情况下是由大股东推选产生，其势必倾向于代表大股东的利益，不独立情况很容易发生。因此，企业应完善独立董事制度，使独立董事的作用发挥到实处。企业可以规范选聘机制，将提名权定位中小股东权利，实行大股东规避制。此外，建议建立长短期激励机制结合的薪酬机制，使独立董事重视企业的长远发展而非短期利益。最后，发挥监事会应有的作用。监事会是由股东大会选举产生并对股东大会负责，监督企业董事、经理和其他高级管理人依法履行职责。其职能的一个重要方面，就是检查企业的业务、财务及其他会计资料。因此，健全的监事会可以减少董事会和管理当局的会计舞弊行为。

　　第三，建立舞弊监督程序。通过严格的检查监督制度及时发现舞弊行为，可以将损失降到最小程度。内部审计是对舞弊的监督检查的一个主要措施。内部审计产生于企业内部，对企业的实际经营状况、财务状况更了解，容易觉察到企业的危险信号，反应也会更快捷，可以及时发现并尽早控制舞弊行为。此外，内部审计等舞弊监督程序本身的存在，也可以在一定程度对舞弊主体带来一定的威慑作用。

　　第四，加强信息沟通、建立匿名举报制度。信息交流机制包括内部交流和内外交流两个方面。内部交流是指企业内部的信息交流沟通。如果信息交流机制不通畅，就会产生信息不对称的问题，这样舞弊行为产生的机会就越大。内外交流则是指企业外的人员和企业的内部的沟通。供应商、客户这些企业外的人员也会观察到舞弊者违反内部控制、奢侈的个人消费等情形，如果内外沟通机制顺畅，他们就可以及时将信息反馈到企业内部，从而引起企业内部人员的重视，减少舞弊的发生。匿名举报制度可以减少人们由于报告舞弊而遭到报复的顾虑，从而使信息沟通更顺畅，可以及时发现舞弊行为。在现实中，很多舞弊行为都是由匿名举报而发现的，因此建立起可科学有效的信息沟通系统，包括设立匿名举报机制，对于舞弊的预防和发现都能起到很好的作用。可以由监察室归口管理匿名举报机制，处理会计、财务或审计等方面的举报，进行调查，并定期向董事会汇报。

　　第五，强化舞弊结果处理。对发现的舞弊情况如何处理，处理程度是否严格，将极大地影响员工是否做出舞弊行为。舞弊结果越严厉、越及时，员工进行舞弊的风险就越大，他们进行舞弊的可能性就越小。反之，如果企业对舞弊行为处理不及时，惩罚不严格，那么员工就会存在侥幸心理，认为舞弊的风险小于舞弊所带来的收益，进而容易导致更多的舞弊行为。严格的舞弊结果处理机制可以很好地对舞弊行为起到威慑作用。因此，企业应对舞弊行为建立起完整的处理机制，并对员工进行宣传教育，使其充分了解到舞弊行为所带来的严重后果，同时企业在发现舞弊行为之后应按照规定严格执行。

内部控制基本规范篇6

　　根据财政部等五部委的要求，《企业内部控制基本规范》（财会［2008］7号）及其配套指引已于2011年1月1日起在境内外同时上市的69家公司实施。同时，财政部、证监会又选择了200多家在境内主板上市的公司进行试点。实施一年总体进展顺利，但也存在一定问题。为推动《企业内部控制基本规范》及其配套指引的顺利实施，现对有关问题解释如下：

　　1.如何把握企业内部控制规范体系的强制性与指导性的关系？

　　答：在实施试点中，一些企业反映，《企业内部控制基本规范》及其配套指引的规定是否需要逐条执行。

　　《企业内部控制基本规范》是内部控制建设与实施应该遵循的基本原则和总体要求，具有强制性，纳入实施范围的企业应当遵照执行。《企业内部控制配套指引》（财会［2010］11号，包括18个应用指引、1个评价指引和1个审计指引）是对《企业内部控制基本规范》相关规定的进一步补充和说明，具有指导性和示范性，纳入实施范围的企业可以结合所在行业要求和企业自身特点，参照配套指引的规定开展内部控制建设与实施工作。

　　2.已经完全按照境外监管机构要求建设与实施内部控制的境内外同时上市的公司，是否需要执行我国的企业内部控制规范体系？

　　答：目前，许多国家和地区对公众公司内部控制都有相关的规定和要求。我国企业内部控制规范体系在充分借鉴国际上先进经验和做法的同时，更多地适应了我国国情，尤其是充分考虑了我国目前法律法规体系、公司治理结构、企业管理体制、风险管控实务等具体情况，提出了内部控制的目标、原则、要素等，且不局限于财务报告内部控制，更多突出全面内部控制的要求。因此，境内外同时上市的公司应当在满足境外监管机构要求的基础上，对照我国企业内部控制规范体系，特别是应当围绕《企业内部控制基本规范》提出的内部控制五目标，对相关控制措施进行适当调整或补充完善。

　　3.企业按照企业内部控制规范体系建设与实施内部控制，是否还需要遵守我国行业主管部门和市场监管部门对内部控制的有关要求？

　　答：《企业内部控制基本规范》及其配套指引是对不同行业、各类企业提出的一般性要求，具有普适性。行业主管或监管部门对所辖企业的内部控制管理规定，是不同行业内部控制的特殊要求，也是《企业内部控制基本规范》的重要补充。企业应当按照《企业内部控制基本规范》及其配套指引规定和行业管理、市场监管的要求，建设与实施内部控制。

　　4.如何协调好内部控制与风险管理的关系？

　　答：《企业内部控制基本规范》及其配套指引，充分吸收了全面风险管理的理念和方法，强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险，促进企业实现发展战略，风险管理的目标也是促进企业实现发展战略，二者都要求将风险控制在可承受范围之内。因此，内部控制与风险管理二者不是对立的，而是协调统一的整体。

　　在实际工作中，一些企业的内部控制和风险管理工作由不同机构负责。对此，企业可以对有关机构和业务进行整合，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将内部控制建设和风险管理工作有机结合起来，避免职能交叉、资源浪费、重复劳动，降低企业管理成本，提高工作效率和效果。

　　5.对于《企业内部控制配套指引》尚未规范的领域，应如何处理？

　　答：由于企业所面临的客观环境和自身的经营管理活动比较复杂，目前的《企业内部控制配套指引》仅对企业常见的、一般性生产经营过程的主要方面和环节进行了规范。在建设与实施内部控制的过程中，对于《企业内部控制配套指引》尚未规范的业务领域，企业应当遵循《企业内部控制基本规范》的原则和要求，按照内部控制建设与实施的基本原理和一般方法，从企业经营目标出发，识别和评估相关风险，梳理关键业务流程，根据风险评估的结果，制定和执行相应控制措施。

　　6.如何权衡内部控制的实施成本与预期效益？

　　答：企业按照《企业内部控制基本规范》及其配套指引的要求建设与实施内部控制，必然需要支付一定的成本，可能会发生内部控制制度和流程的设计与实施费用、聘请专业机构提供咨询服务费用、建立融入内部控制要求的信息系统费用、聘请会计师事务所开展内部控制审计费用，等等。建设与实施内部控制应当从提高企业长期效益出发，从促进企业可持续发展出发，将内部控制作为一项常规性工作，贯穿于企业管理之中，加大投入。同时，应当按照重要性原则，关注重要业务事项和高风险领域，抓住关键风险控制点。集团性企业可以采取分类试点、逐步推广的方式，选择下属不同类型的企业试点，形成范本，减少重复建设。

　　聘请会计师事务所开展内部控制审计是建设与实施内部控制的重要环节，是检验内部控制有效性的重要手段和有力保证。内部控制审计费用是企业实施内部控制规范体系应当承担的成本，企业应安排相应经费确保审计工作的及时、有效开展。内部控制审计是一项区别于财务报告审计的独立业务，企业应就该项业务与会计师事务所签订单独的业务约定书。同时，企业也应权衡审计成本与审计效益，在业务约定书中明确有关费用标准，并对会计师事务所审计资源的投入和审计质量提出明确要求。

　　7.如何协调好内部控制与其他管理体系的关系？

　　答：内部控制贯穿于整个企业管理，与其他管理体系相辅相成、密不可分，是企业管理的重要组成部分。企业现有管理体系的设计、运行以及审核认证需要遵循已经的国家标准或行业标准。这些标准与企业内部控制规范体系的原则和要求并不矛盾。在实际工作中，个别企业的内部控制体系建设与管理体系运行发生冲突，原因可能是企业采用的方式方法出现了偏差，如简单照搬内部控制应用指引的规定，没有考虑企业的实际情况，为控制而控制，导致控制设计不合理，出现控制过度或控制冗余；也可能是企业经营管理部门对内部控制的重要性认识不足，不愿意受到更多的牵制和监督，从而以影响经营效率和目标为借口，拒绝必要的内部控制；等等。对此，企业应当立足管理现状，全面梳理各项管理制度和管理体系，从管理体制、机制以及落实各级权利责任等方面，将内部控制的要求融入各项管理体系中，形成内部控制的长效机制，使内部控制真正为经营管理服务；应当从总体目标出发，通过培训教育提高企业经营管理人员对内部控制的理解和认识，将内部控制的要求纳入绩效考核体系以加强执行；可以利用信息技术固化业务流程，提高业务处理效率和信息共享水平，从而尽可能减少内部控制与其他经营管理体系的冲突。

　　8.企业如何确定内部控制缺陷的认定标准？

　　答：查找并纠正企业内部控制设计和运行中的缺陷，是开展企业内部控制评价的一项重要工作，是不断完善企业内部控制的重要手段。由于企业所处行业、经营规模、发展阶段、风险偏好等存在差异，《企业内部控制基本规范》及其配套指引没有对内部控制缺陷的认定标准进行统一规定。企业可以根据《企业内部基本规范》及其配套指引，结合企业规模、行业特征、风险水平等因素，研究确定适合本企业的内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。企业确定的内部控制缺陷标准应当从定性和定量的角度综合考虑，并保持相对稳定。通过不断的实践，总结经验，形成一套行之有效的内部控制缺陷认定方法。

　　企业在开展内部控制监督检查中，对发现的内部控制缺陷，应当及时分析缺陷性质和产生原因，并提出整改方案，采取适当形式向董事会、监事会或者管理层报告。对于重大缺陷，企业应当在内部控制评价报告中进行披露。

　　财政部将会同证监会、审计署、银监会、保监会等有关部门，根据首次执行和试点情况，分行业、分类型总结企业的内部控制缺陷认定标准，供参考。

　　9.实施《企业内部控制基本规范》及其配套指引的企业，是否需要设置专门的内部控制机构？

　　答：根据《企业内部控制基本规范》的规定，企业董事会负责内部控制的建立健全和有效实施。为便于董事会履行好企业内部控制规范体系的设计、建立、运行与改进方面的职责，董事会应当指定专门委员会负责指导内部控制建设与实施工作。一般情况下企业应当成立专门机构负责组织协调内部控制的建立实施及日常工作。

　　对于少数企业受制于岗位编制、专业人员等条件限制，目前尚不具备成立专门的内部控制管理机构的，可暂将内部控制管理职能划归现有机构。随着企业内部控制建设的持续深入和相关条件的不断成熟，企业应考虑成立专门机构，保证有足够的资源支持和协调内部控制工作的开展，确保内部控制工作的相对独立性。

　　10.如何编制和披露企业内部控制评价报告？

　　企业内部控制评价是企业董事会对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。开展内部控制评价，可以及时发现和纠正企业内部控制建设与实施中存在的问题，并持续自我完善。企业可以独立开展内部控制评价工作，也可以委托不承担本企业内部控制审计的中介机构协助开展内部控制评价工作。

内部控制基本规范篇7

　　1.如何把握企业内部控制规范体系的强制性与指导性的关系？

　　《企业内部控制基本规范》是内部控制建设与实施应该遵循的基本原则和总体要求，具有强制性，纳入实施范围的企业应当遵照执行。《企业内部控制配套指引》（财会[2010]11号，包括18个应用指引、1个评价指引和1个审计指引）是对《企业内部控制基本规范》相关规定的进一步补充和说明，具有指导性和示范性，纳入实施范围的企业可以结合所在行业要求和企业自身特点，参照配套指引的规定开展内部控制建设与实施工作。

　　2.已经完全按照境外监管机构要求建设与实施内部控制的境内外同时上市的公司，是否需要执行我国的企业内部控制规范体系？

　　3.企业按照企业内部控制规范体系建设与实施内部控制，是否还需要遵守我国行业主管部门和市场监管部门对内部控制的有关要求？

　　4.如何协调好内部控制与风险管理的关系？

　　5.对于《企业内部控制配套指引》尚未规范的领域，应如何处理？

　　6.如何权衡内部控制的实施成本与预期效益？

　　7.如何协调好内部控制与其他管理体系的关系？

　　8.企业如何确定内部控制缺陷的认定标准？

　　9.实施《企业内部控制基本规范》及其配套指引的企业，是否需要设置专门的内部控制机构？

　　10.如何编制和披露企业内部控制评价报告？

　　根据《企业内部控制基本规范》、《企业内部控制评价指引》的要求，我们制定了企业内部控制评价报告的格式，供企业编制评价报告时参考，企业也可以根据实际情况对具体的报告方式作适当调整，但有关内容原则上应体现在年度报告中。

内部控制基本规范篇8

　　【关键词】 内部控制；理论；解读

　　理论作为人们理性认识的产物，是在历史的持续中形成和发展起来的，我国内部控制理论的形成与构建同样也遵循着这样的轨迹。面临我国二十余年经济变革的沧桑，我国的内部控制理论在借鉴西方国家先进、科学的内部控制理论的基础上，结合我国实际，又不断创新和发展，逐渐地由零散的法规构筑成理论框架，历经了由不完善到完善的发展过程。在此，笔者有感于我国内部控制理论框架的构筑，对其予以解读。

　　一、我国内部控制规范源于社会经济环境的变化

　　内部控制规范的研究与其所处的社会经济环境密不可分。随着我国经济体制改革的纵深发展、计划经济逐步向市场经济转型、现代企业制度的确立和资本市场的出现，企业为了生存和发展，提高经营效率，降低各种风险，充分、有效地获得和使用各种资源，达到既定经营管理目标，必然会在其内部实施各种制约和调节的管理、计划、程序和方法。于是，“内部控制”应运而生(计划经济时期所实施的“钱账分管”的内部牵制制度只能被看作是内部控制的雏形)。但随着对“企业法人财产权”的过分强调和片面理解，企业董事长及经营管理者随机处置权扩大，他们在“利益驱动”下，致使会计信息严重失真，造成国有资产的大量流失。对于这些社会现象，我国政府颁布了有关法规，统一规范单位内部控制。

　　二、我国早期对内部控制规范的探讨

　　我国最早对内部控制规范的探讨当属1986年财政部颁布的《会计基础工作规范》，该规范对内部控制制度作了明确的规定。随后至2003年期间，财政部、中国人民银行、证监会等逐步颁布了相应的符合我国国情的内部控制规范：《独立审计准则第9号――内部控制和审计风险》、《加强金融机构内部控制的指导原则》、《证券公司内部控制指引》、《内部会计控制规范――基本规范(试行)》、《内部会计控制规范――货币资金(试行)》等。

　　我国早期对内部控制规范的研究虽然在不断地完善，但局限于会计与审计的角度，范围不够广，还没有达到西方国家倡导并行之有效的从会计控制到财务控制，到管理控制，再到风险管理的层次；尚未形成内部控制理论的整体框架(结构、内容和联系)；对内部控制规范的探讨只注重制度的文字编写，而忽略如何执行制度、判断和报告制度执行状况、矫正制度执行的偏差等；内部控制规范的总体设计思路还不够清晰。

　　三、“COSO报告”与《SOX法案》对我国内部控制理论研究的推动

　　(一)“COSO报告”

　　1992年，美国“反对虚假财务报告委员会”下属的Tread-way委员会提出了《内部控制――整体框架》(“COSO报告”)，系内部控制理论研究的一个新的突破性成果。其内容包括5个要素，即：控制环境、风险评估、控制活动、信息与沟通、监控。首先，它将内部控制从过去那种自上而下、以财务模式为特征的平固模式发展为更具有弹性的企业整体模式的立体框架。其次，它将内部控制从单一的财务报告发展为营运的效率、效果和合法合规性，拓展了内部控制的范围。再次，对内部控制输入了新的观念，将企业内外的风险识别、风险分析等管理分析深入到内部控制中。最后，强调了在控制活动中企业内外部信息的识别、捕捉与交流，强调了内部控制的监督与评价。

　　(二)《SOX法案》

　　针对2001年年底因财务舞弊事件破产的美国安然公司及为其提供审计服务的安达信会计师事务所倒闭等一系列丑闻，为了弥补核查体系的严重缺陷，恢复公众对会计师行业的信心，美国国会放弃了对依靠行业协会进行自律的观点，重新回到国家独立机构负责会计的审计工作，并于2002年7月推出了《萨班斯―奥克斯利法案》(《SOX法案》)。该法案为公众公司的外部审计师创造了一个新的监督体制，并把财务报告的内部控制作为关注的具体内容，强调上市公司必须按“COSO报告”的内容建立内部控制体系，并要求将外部审计师证实管理层报告的准确性提到重要的议事日程。

　　“COSO报告”和《SOX法案》开阔了我国在内部控制规范建设方面的视野，增强了内部控制探讨中的风险防范意识，借鉴了西方发达国家内部控制建设的精髓，对我国构筑内部控制理论起了很大的推动作用。

　　(三)借鉴“COSO报告”和《SOX法案》，构筑我国内部控制理论框架

　　2004年年底和2005年6月，国务院连续两次就强化企业内部控制作出重要批示，并对2005年6月在财政部、国资委和证监会联合上报的《关于借鉴完善我国上市公司内部控制制度的报告》上作出“同意”的重要批示。2006年6月和9月，上海证券交易所和深圳证券交易所分别结合“COSO报告”和《SOX法案》，出台了《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》，要求上市公司建立内部控制体系。这是监管层对上市公司内部控制由提倡向明确要求转变的标志性事件。之后，财政部又发起成立了企业内部控制标准委员会，这是我国在内部控制和风险管理领域进行自行创新的重大举措，预示着我国企业内部控制理论的形成及迎来类似美国“COSO报告”及《SOX法案》的标准体系。2007年3月，财政部了由企业内部控制标准委员会草拟的《企业内部控制规范――基本规范》和17项具体规范的征求意见稿。在此基础上，2008年5月22日，财政部、证监会、审计署、银监会、保监会等五部委联合《企业内部控制基本规范》。该规范引用了“COSO报告”内部控制的5个要素，并在风险评估的内容上体现了企业风险管理框架。为了保证该规范的实施，2010年4月15日，财政部等五部委又联合了《企业内部控制基本规范配套指引》。

　　至此，笔者认为，我国内部控制理论框架已基本形成。因为我国已将各种内部控制理论按照一定的关系有机结合而形成一个完整的、多层次的有机整体，并从总体上来把握内部控制理论，指明内部控制的研究方向，完善地指导和预测内部控制的实践。

　　四、对我国内部控制理论框架的解读

　　构成内部控制理论框架的诸要素，势必要按照一定的逻辑关系排列，才能构成一个逻辑严密的理论框架。因此，对我国内部控制理论框架的认识也要着眼于其逻辑起点和构成内容。

　　(一)内部控制理论的逻辑起点

　　内部控制理论的逻辑起点即构成内部控制理论的出发点，它是内部控制理论赖以推理论证的最本源、最具有决定性的前提理论。它不仅是整个内部控制理论中不可缺少的部分，而且也是整个内部控制理论框架中一切矛盾的集中表现。笔者认为，我国内部控制理论框架的逻辑起点是防范风险。在复杂多变的市场经济条件下，企业如何在同行业激烈的角逐中占有更大市场份额，实现发展战略，必须要防范各种风险。然而，如何在防范风险的同时扩大企业的经营绩效，正是内部控制理论框架所担负的历史使命。因为内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。诚然，《企业内部控制基本规范》指出内部控制的目标中从字面上并未涉及风险防范。然而，倘若企业出现不能合法合规的经营风险、资产大量流失的风险、财务报告信息失真及其他相关风险，必然会导致企业的财务风险和经营风险，企业发展战略的实现将会成为一句空话。

　　(二)内部控制理论框架的构成内容

　　1.统驭层次――《企业内部控制基本规范》

　　内部控制理论框架的基本内容分三部分：第一部分是总则，即内部控制基本规范制定的初衷、适用范围、概念、目标、应遵循的原则、五大要素、内部控制的评价等。第二部分是对内部环境、风险评估、控制活动、信息与沟通、内部监督5个要素的具体规定。在这5个要素中，它们相互联系、相互作用，内部环境是其他控制要素的基础；在规划控制活动时，必须对企业可能面临的风险有细致的了解和评估；而风险评估和控制活动必须借助企业内部信息的有效沟通；最后，实施有效的内部监督以保障内部控制的实施质量。第三部分是附则。可见，《企业内部控制基本规范》形成内部控制理论的最高层次，在内部控制理论框架中起高度概括、统驭的作用。

　　2.补充说明层次――《企业内部控制配套指引》

　　该指引具体包括《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。三者之间既相互独立，又相互联系，形成一个有机整体，既是企业内部控制理论框架的重要组成部分，又是《企业内部控制基本规范》的配套办法和必要补充。其中，《企业内部控制应用指引》是主体，是对企业按照内控原则和内控5个要素建立、健全企业内部控制，对18项具体经济业务所提供的指引；《企业内部控制评价指引》是重要环节，是为企业管理层对企业进行内部控制自我评价提供的指引和要求；《企业内部控制审计指引》是有益补充，是注册会计师和会计师事务所执行内部控制审计业务的执业规范。《企业内部控制配套指引》细化了《企业内部控制基本规范》的内容，增强了其可操作性，为我国企业实施内部控制提供了较为具体的应用指南。

　　综上所述，我国内部控制理论的研究，在借鉴西方国家内部控制制度理论体系的基础上，结合我国实际，现已形成一个较为完整的理论框架。其以防范风险为逻辑起点，以控制标准和评价标准为最高层次及主体，以具体应用范围为补充说明，框架完整、结构合理、层次分明，对我国防范企业风险、规范企业管理、提升企业管理水平、提高企业经营效率起到积极的指导作用。内部会计理论框架的构建，不仅对现实企业内部控制的实施作出科学的解释，而且更重要的是着眼于未来内部控制制度的发展，预测未来企业内部控制中可能出现的问题，并提出可行的处理方案。同时，理论转化为实践需要一个过程，提前做好理论上的准备，使内部控制理论在我国具有超前性，实际应用时才可做到胸有成竹。

　　科学的理论是在社会实践的基础上产生，并经过社会实践的检验和证明的理论。我国内部控制理论的形成和发展也恰恰遵循“实践―理论―再实践―再理论……”这一规律。然而，任何理论形成后都不是固定不变的，其发展具有螺旋式发展的趋势，内部控制理论的发展也不例外。当现行的内部控制理论对我国内部控制制度建设起到一定的指导作用后，随着社会经济环境的发展变化，必定会进一步补充、完善现有内部控制理论的不足，再待适应一定时期后，必然又会随着社会经济环境的变化，再完善、再补充，如此循环不息。

　　【参考文献】

　　[1] 中华人民共和国财政部，等。 企业内部控制规范[M]。 北京：中国财政经济出版社，2008.

　　[2] 王耕，金铭，李子雄。 财务会计[M]。上海：上海交通大学出版社，2008.

　　[3] 企业内部控制配套指引编写组。 企业内部控制配套指引[M]。上海：立信会计出版社，2010.