企业内部控制规范-张颖

2024年3月12日发(作者：)

企业内部控制新体系与设计

——《企业内部控制规范》解读与实施

华北电力大学张颖博士

授课教师简介——张颖博士

–现就职于华北电力大学，博士，注册会计师

–曾就职于北京国家会计学院，任教务部CPA中心主任，主要从事企业集团、上市公司、注册会计师培训课程设计教学管理等。

–参与多家大型企业集团和上市公司内部控制体系设计和评价、全面预算管理设计、成本控制系统设计等。

–主讲会计、财务体系课程；为多家机构和集团讲授企业内部控制、财务报表分析、战略成本管理专题。

–在《财务与会计》等经济类核心刊物发表论文多篇；合著《企业内部控制》、《企业内部控制暨全面风险管理设计》、《财务与执行》等书

讲座大纲

上：企业内部控制规范解读与实施

CH1 企业内部控制的新特点

CH2 企业内部控制五大目标

CH3 企业内部控制五大要素

CH4 企业内部控制的局限性

下：企业内部控制设计与操作

CH5企业内控设计原则/重点

CH6企业内部控制设计方法

CH7企业资产风险控制设计

CH8企业销售收款控制设计

危险的风险管理——世界内部控制的新特点

法国兴业银行的内控遗产

1

邯郸农行被盗案

•2007/4/14

•5100万元巨款，堆在一起是什么感觉？就算都是百元大钞，叠在一起也有50米高，总重量将近两吨，可是，这笔谁都没办法一下搬动的巨款，居然从河北邯郸市农业银行的金库里消失的无影无踪，这起银行盗窃大案，震惊全国，当中的种种细节波云诡异，迷雾重重，如此离奇的案件究竟是怎么发生的？

陈同海双规思考

•陈同海身为中国石油化工集团总经理的权力来源于人民，理应接受人民的监督，可事实上谁是人民，到现在俺还弄不明白，因此陈同海演变为该集团内的陈老虎也在情理之中了。听说其在集团内的霸道是出了名的。每日挥霍4万元，一个月120万，一年就是1440万元，当纪委警告他要收敛些时，他大言不惭地说，我一年上交税款200亿，这点算什么？

•去年6月，经中共中央批准，中共中央纪委、监察部对中国石油化工集团公司原总经理、党组书记陈同海严重违纪问题进行立案检查。•陈同海在担任中国石油化工集团公司副总经理、总经理和兼任中国石油化工集团股份有限公司副董事长、董事长期间，利用职务便利，为他人谋取利益，收受钱款数

额巨大；利用职权为情妇谋取巨额不正当利益；生活腐化。

内部控制的号角在全球吹响

•美国《萨班斯〃奥克斯利法案》用法律强制性手段要求上市公司以会计信息真实与完整为线索提交企业内控机制及报告体系。

•英国《公司治理综合法典》指导意见(Turnbull Guidance)的目的是帮助那些在美国证监会（SEC）注册的非美国企业应对内部控制要求，这些企业可选择采用该指导意见作为其内控框架，而SEC也认可该指南在评估内部控制有效性方面的权威性。

•加拿大安大略证券委员会之Multi-lateral Instrument 52-109（与SOX302相似）和52-111（与SOX404相似）要求企业与年报一同提交相关内部控制报告。

•银行业也在积极改善内部控制系统。2004年6月，十国集团发布了被称为“Basel II”的资本充足性框架，Basel II中744和745节要求就内部控制架构进行独立检查。

•欧盟2002年改革白皮书定义的内部控制包括以下五个方面：控制环境；业绩和风险管理；信息和沟通；控制活动，及审计和评估等；经合发展组织（OECD）以原则为基础的方法提出内控相关要求，提升透明度的举措包括足够的会计法规要求；独立外部审计和公司内部控制。

•《信息及相关技术控制目标》（Control Objectives for Information and Related Technology，COBIT）得到世界各国监管当局、上市公司审计师，财金从业人员和信息技术人员的认可。COBIT由IT治理协会制定发布，是信息技术治理方面的一个开放性标准。作为良好IT安全

2

和控制实务的标准，COBIT为管理当局、企业用户和信息系统审计、控制及安全从业人员提供了一个参考框架。

CH1 企业内部控制新特点

CH1 企业内部控制概述

1.企业内部控制定义

2.企业内部控制特点

3.企业内部控制发展

4.企业内部控制现状

1.企业内部控制定义

•内部控制是由企业董事会（决策、治理机构）、管理层和全体员工共同实施的、旨在合理保证企业战略、经营的效率和效果、财务报告及管理信息的真实、可靠和完整、资产的安全完整、遵循国家法律法规和有关监管要求的一系列控制活动。

2.企业内部控制特点——理念

•内部控制是一个不断发展、变化、完善的过程，它持续地流动于组织之中，并随着企业经营管理的新情况、新要求适时改进。

2.1企业内部控制特点——原则

•内部控制由组织中各个层级的人员共同实施，从企业负责人，到各个业务分部、职能部门的负责人，直至企业每一个普通员工，都对实施内部控制负有责任。

2.企业内部控制特点——方法

•内部控制在形式上表现为一整套相互监督、相互制约、彼此联结的控制方法、措施和程序，这些方法、措施和程序有助于及时识别和处理风险，促进企业实现战略发展目标，提高经营管理水平、信息报告质量、资产管理水平和法律遵循能力。

CH2 企业内部控制目标

1.战略目标 2.营运目标 3.报告目标 4.资产目标 5.合规目标

企业内部控制的目标1/5

•促进实现发展战略（战略目标）

•战略目标要求企业将近期利益与长远利益结合起来，在企业经营管理中努力作出符合战略要求、有利于提升可持续发展能力和创造长久价值的选择。

企业内部控制的目标2/5

3

•促进提高经营管理效果效率（营运目标）

•它要求企业结合自身所处的特定的经营、行业和经济环境，通过健全有效的内部控制，不断提高劳动活动的盈利能力和管理效率。

企业内部控制的目标3/5

•促进提高信息报告质量（报告目标）

•可靠的信息报告为企业管理层提供适合其既定目的的准确而完整的信息，支持管理层的决策和对营运活动及业绩的监控；同时，保证对外披露的信息报告的真实、完整，有利于提升企业的诚信度和公信力，维护企业良好的声誉和形象。报告目标要求企业通过内部控制，保证信息报告的真实、完整、可靠。

企业内部控制的目标4/5

•促进维护资产安全完整（资产目标）

•资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题，是企业可持续发展的物质基础。良好的内部控制，应当为资产安全完整提供扎实的制度保障。

企业内部控制的目标5/5

•促进国家法律法规有效遵循（合规目标）

•守法和诚信是企业健康发展的基石。逾越法律的短期发展终将付出沉重代价。合规性目标要求企业必须将发展臵于国家法律法规允许的基本框架之下，在守法的基础上实现自身的发展。

CH3 企业内部控制五大要素

–治理结构

–组织机构设臵

–权责分配

–企业文化

–人力资源政策

–内部审计机构设臵

企业内部控制要素1——内部环境

•内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。

1-1治理结构/内部机构设臵/权责分配

•治理结构、内部机构设臵与权责分配

（1）建立规范的人治理结构。科学界定决策、管理、执行、监督各层面的地位、职责与任务，形成有效的分工和制衡机制。

4

（2）设臵科学的内部组织机构。避免机构重叠和效率低下，减少管理层级和提高管理效能。

（3）建立合理的权责分配体系。明确高级管理人员、各职能部门和分支机构以及基层作业单位的职责权限，将权利与责任分解到具体岗位。

•规范企业治理结构、内部机构设臵与权责分配的常见制度性文件和方法有：公司章程、内部管理制度汇编、员工手册、组织结构图、业务流程图、岗位描述、权限指引等。

1-2企业文化

•企业整体价值观。高级管理人员有责任培育积极向上的整体价值观，培养社会感和遵纪守法意识，倡导爱岗敬业、进取创新、团队协作和遵规守纪精神。

•高级管理人员的管理理念和经营风格。高级管理人员应当强化风险意识，避免因个人风险偏好可能给企业带来的不利影响和损失。

•高级管理人员的职业操守。高级管理人员有责任制定并完善信息披露管理制度，不断强化为投资者、债权人和社会公众提供真实、可靠、完整的会计信息及依法应当披露的其他信息的法制意识和责任意识。

•员工行为守则。高级管理人员有责任加强员工职业道德宣传引导、教育培训和监督检查；企业员工应当加强职业道德修养和业务学习，自觉遵守与企业内部控制有关的各项规定，勤勉尽责。

1-3人力资源政策

•人力资源政策的内容。

•员工选拔和聘用的标准。企业应当将职业道德素养和专业胜任能力作为选拔和聘用员工的重要标准，并适当关注应聘者的价值取向和行为特征是否与本企业的企业文化和内部控制的有关要求相适应。

•重视并加强员工培训。企业应当制定科学、合理的培训计划，提高培训的针对性和实效性，不断提升员工的道德素养和业务素质。

•建立和完善员工激励约束机制。企业应当通过制定合理的目标、建立明确的标准、执行严格的考核和落实配套的奖惩，促进员工责、权、利的有机统一和企业内部控制的有效执行。

1-4内部审计机构设臵

（1）审计委员会

–有条件的企业应当在董事会下设审计委员会，并保证审计委员会及其成员的独立性。

–未设立审计委员会的企业，应当由董事会授权或者企业章程规定的有关机构承担上述职责。

（2）内部审计机构

–内部审计机构的设立。设立专门的内部审计机构的企业，应当保证内部审计机构具有相应的独立性，并配备与履行内部审计职能相适应的人员和工作条件。未设立内部审计机构的企业，应当由董事会授权或者企业章程规定的有关机构承担上述职责。内部审计机构原则上不得臵于财会机构的领导之下或者与财会机构合署办公。

–内部审计工作的开展。内部审计机构依照法律规定和企业授权开展审计监督，其工作范围不应受到人为限制。内部审计机构对审计过程中发

5

现的重大问题，视具体情况，可以直接向审计委员会或者董事会报告。

–内部审计工作人员任职资格。内部审计人员应当具备内审人员从业资格，拥有与工作职责相匹配的道德操守和专业胜任能力。

企业内部控制要素2——风险评估

•风险识别是指企业管理层从影响目标实现的内部或外部原因中识别潜在的风险事项。

•在进行风险识别时，管理层应当全盘考虑一系列可能带来风险的内部和外部因素。

2-1风险因素

•内部风险因素。

–高级管理人员职业操守、员工专业胜任能力、团队精神等人员素质因素；

–经营方式、资产管理、业务流程设计、财务报告编制与信息披露等管理因素；

–财务状况、经营成果、现金流量等基础实力因素；

–研究开发、技术投入、信息技术运用等技术因素；

–营运安全、员工健康、环境污染等安全环保因素。

•外部风险因素

–经济形势、产业政策、资源供给、利率调整、汇率变动、融资环境、市场竞争等经济因素；

–法律法规、监管要求等法律因素；

–文化传统、社会信用、教育基础、消费者行为等社会因素；

–技术进步、工艺改进、电子商务等科技因素；

–自然灾害、环境状况等自然环境因素。

2-2风险识别方法

•企业可以采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素

•特别应注意总结、吸取企业过去的经验教训和同行业的经验教训，加强对高危性、多发性风险因素的关注。

2-3/4风险分析

•风险分析是指分析和辨认实现有关目标可能发生的风险，以便形成确定应该如何对它们进行管理的依据。

–风险分析标准。企业应当针对已识别的风险因素，从风险发生的可能性和影响程度两个方面进行分析，并确定科学合理的定性、定量分析标准。

–风险排序。企业应当根据风险分析的结果，依据风险的重要性水平，运用专业判断，按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序，确定应当重点关注的重要风险。

2-4风险应对

6

•风险应对是指企业管理层在评估了相关风险的可能性和后果，以及成本效益之后，选择一系列措施使剩余风险处于期望的风险容限以内。

企业内部控制要素3——控制活动

•控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。

•控制措施结合企业具体业务和事项的特点与要求制定，主要包括：

–职责控制

–授权控制

–审核批准控制

–预算控制

–财产保护控制

–会计系统控制

–内部报告控制

–经济活动分析控制

–绩效考评控制

–信息技术控制。

3-1职责分工控制

•总体控制要求

–根据企业目标和职能任务，按照科学、精简、高效的原则，合理设臵职能部门和工作岗位，明确各部门、各岗位的职责权限，形成各司其职、各负其责、便于考核、相互制约的工作机制。

3-2授权控制

•总体控制要求

–企业根据职责分工，明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。企业内部各级管理人员必须在授权范围内行使职权和承担责任，业务经办人员必须在授权范围内办理业务。

3-3审核批准控制

•企业各部门、各岗位按照规定的授权和程序，对相关经济业务和事项的事实性、例规性、合理性以有关资料的完整性进行复核与审查，通过签署意见并签字或者签章，作出批准、不予批准或者作其他处理的决定。

3-4预算控制

•企业应当加强预算编制、执行、分析、考核等各环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。

7

3-5财产保护控制

•企业应当限制未经授权的人员对财产的直接接触和处臵，采取财产记录、实物保管、定期盘点、账实核对、财产保险等措施，确保财产的安全完整。

3-6会计系统控制

•企业应当依据《中华人民共和国会计法》、国家统一的会计制度，制定适合本企业的会计制度，明确会计凭证、会计账簿和财务报告以及相关信息披露的处理程序，规范会计政策的选用标准和审批程序，建立、完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能，确保企业财务报告真实、可靠和完整。

3-7内部报告控制

•企业应当建立和完善内部报告制度，明确相关信息的收集、分析、报告和处理程序，及时提供业务流动中的重要信息，全面反映经济活动情况，增强内部管理的时效性和针对性。

•内部报告方式通常包括例行报告、实时报告、专题报告、综合报告等。

3-8经济活动分析控制

•企业应当综合运用生产、购销、投资、财务等方面的信息，利用比较分析、比率分析、因素分析、趋势分析等方法，定期对企业经营管理活动进行分析，发现存在的问题，查找原因，并提出改进意见和应对措施。

3-9绩效考评控制

•企业应当科学设臵业绩考核指标体系，对照预算指标、盈利水平、投资回报率、安全生产目标等方面的业绩指标，对各部门和员工当期业绩进行考核和评价，兑现奖惩，强化对各部门和员工的激励与约束

3-10信息技术控制

•企业应当结合实际情况和计算机信息技术应用程度，建立与本企业经营管理业务相适应的信息化控制流程，提高业务处理效率，减少和消除人为操纵因素，同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全、有效运用。

企业内部控制要素4——信息与沟通

•信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。

•信息与沟通主要包括信息的收集机制以及在企业内部和外部有关方面的沟通机制等。

4-1信息收集机制

（1）内部信息

•内部信息内容。主要包括：会计信息、生产经营信息、资本运作信息、人员变动信息、技术创新信息、综合管理信息等。

8

•内部信息收集方法。企业可以通过会计资料、经营管理资料、调查研究报告、会议记录纪要、专项信息反馈、内部报刊网络等渠道和方式获取所需的内部信息。

（2）外部信息

•外部信息内容。主要包括：政策法规信息、经济形势信息、监管要求信息、市场竞争信息、进行动态信息、客户信用信息、社会文化信息、科技进步信息等。

•外部信息收集方法。企业可以通过立法监管部门、社会中介机构、行业协会组织、业务往来单位、市场调查研究、外部来信来访、新闻传播媒体等渠道和方式获取所需的外部信息。

4-2信息沟通机制

（1）内部沟通

•企业应当采取互联网络、电子邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时传递和共享，确保董事会、管理层和企业员工之间有效沟通

（2）外部沟通

–与投资者和债权人的沟通

–与客户的沟通

–与供应商的沟通

–与监管机构的沟通

–与外部审计师的沟通

–与律师的沟通

4-3反舞弊机制

•企业反舞弊工作至少应当关注：

①在财务报告和信息披露方面弄虚作假。

②未经授权、滥用职权或者采取其他不法方式侵占、挪用企业资产。

③在开展业务活动中非法使用企业资产牟取不当利益。

④企业高级管理人员舞弊给企业内部控制和经营管理可能千万的重大影响。

⑤员工单独或者串通舞弊给企业造成损失。

•完善投诉、举报管理制度。企业可以设臵舞弊举报热线，明确投诉、举报处理程序、办理时限和办理要求，确保投诉、举报成为企业反舞弊和加强内部控制的重要途径。

企业内部控制要素5——监督检查

9

•监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。

•监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。

5-1监督检查的方式

•（1）持续性监督检查

•持续性监督检查是指企业对建立和实施内部控制的整体情况所进行的连续的、全面的、系统的、动态的监督检查。

•（2）专项监督检查

•专项监督检查是指企业对内部控制建立与实施的某一方面或者某些方面的情况所进行的不定期的、有针对性的监督检查。

5-2监督检查的机构

•企业董事会所属审计委员会、内部审计机构或者实际履行内部控制监督职责的其他有关机构应当根据国家法律法规要求和企业授权，采取适当的程序和方法，对内部控制的建立与实施情况进行监督检查，形成检查结论并出具书面检查报告。

5-3内部控制缺陷

（1）内部控制缺陷的概念。内部控制缺陷是指监督检查过程中发现的内部控制的设计存在漏洞、不能有效防范错误与舞弊，或者内部控制的运行存在弱点和偏差、不能及时发现并纠正错误与舞弊的情形。

•重大缺陷，是指业已发现的内部控制缺陷可能严重影响财务报告的真实可靠和资产的安全完整。

（2）内部控制缺陷的报告。企业对在监督检查过程中发现的内部控制缺陷，应当采取适当的形式及时进行报告。对于监督检查中发现的重大缺陷或者重大风险，应当及时向董事会、审计委员会和总经理汇报。

（3）内部控制缺陷的改进。企业应当分析内部控制缺陷产生的原因，并有针对性地提出和实施改进方案。

CH4 内部控制的局限性

——“完美”内部控制是如何失效的？

人员素质不适应岗位要求，影响内部控制功能的正常发挥。人员相互串通作弊导致相关内部控制失去作用。很久之前的制度已不适用；对于不经常发生的经济业务，原有的控制可能不适用。管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制效能。成本效益原则。

5.1内部控制制度设计原则

全面性：内部控制在层次上应当涵盖企业董事会、管理层和全体员工，在对象上应当覆盖企业各项业务和管理活动，在流程上应当渗透到决策、执行、监督、反馈等各个环节。

10

重要性：内部控制应当在兼顾全面的基础上突出重点，针对重要业务与事项、高风险领域与环节采取更为严格的控制措施，确保不存在重大缺陷。

制衡性：两个层次，公司法人治理层面：股东大会、董事会好经理之间的制衡；业务层面：确保不同部门、岗位之间权责分明，有利于相互制约。

适应性：内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求

成本效益：内部控制应当在保证内部控制有效性的前提下，合理权衡成本与效益的关系，争取以合理的成本实现更为有效的控制。

5.2内部控制制度设计重点

1.组织体系建设

2.流程设计

3.信息系统设计

5.2内部控制制度设计重点1/3

•根据内部控制要求，组织体系主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。

5.2内部控制制度设计重点2/3

•所谓流程，是指企业经营过程的一个阶段，由若干项作业组成，而作业由若干项任务组成。•在典型的制造业中，其经营过程由研究开发、设计、制造、营销、配送和售后服务等项流程。•每项流程，如制造流程，包括材料入库、材料存储、材料搬运、加工、半成品搬运、加工、成品入库存储、成品包装发运等项作业。每项作业，如材料入库，包括卸载、验收、盘点、移动、摆放、记录等项任务。•特别重要的是，任务是由组织成员经由授权完成的，授权和责任在这里可以体现出来。任务还可以细分为若干步骤。•在流程设计中，就是要遵循着这种相对的“流程→作业→任务→步骤”四个因素之间的依次关系进

5.2内部控制制度设计重点3/3

•企业将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。

•企业应采取措施确保输入信息系统的风险数据的准确性、及时性、可用性，对输入的信息，未经批准不得擅自修改。

CH6 内部控制设计方法

主要内容

6-1 组织系统图设计

6-2 职责划分设计

6-3 岗位说明书设计

11

6-4 方针和程序手册设计

6-5 业务流程图设计

6-1组织系统图设计

•组织系统图主要描述企业内部各阶层的组织机构，显示每一个职位在企业中的地位及其上下隶属与纵横的关系。

•现代企业组织庞大、部门众多、层次不一、关系复杂，只有以组织系统图的方法描述出来，才能使人一目了然。

6-2 职责划分设计

•一个企业有很多业务，亦有很多部门，各个部门的职责应予详细及明确划分，使每一事项的发生都有部门负责办理，而且要做到不重复亦无遗漏。

•如果一项业务需要有两个以上部门共同完成时，对各部门应负责任的范围，也应该有明确的规定。

6-3 岗位说明书设计

•工作说明书是对工作性质的书面说明。

•其表示方法是将单位的每个工作职位，编制一份详细的说明，用来反映担任该职位的员工应该履行的责任好被赋予的权力。

6-4方针和程序手册设计

•方针和程序手册，主要是指以书面形式来表达管理当局的指令及同类业务处理方法的形式；

•以文字形式详细描绘业务处理的方针与程序。

6-5 业务流程图设计

•业务流程图是利用图解形式描述各经营环节业务处理程序的一种图式。它显示了凭证和记录资料的产生、传递、处理、保存及其相互关系，从而直观地表达内部控制的实际情况。对于无法在图中表示的问题，可用简要文字进行说明，作为流程图附件。

CH7销售与收款控制设计

案例：四川长虹应收账款败局

CH8 采购与付款控制设计

案例：一汽集中采购

12