（一）內(nèi)部控制程序（★）

內(nèi)部控制程序一般包括：確定控制目標（或標準），衡量控制結(jié)果，分析差異，采取補救或改善措施，綜合檢查評價。

1.確定控制目標（或標準）

控制目標（或標準）應(yīng)至少明確關(guān)鍵業(yè)務(wù)、關(guān)鍵資源、關(guān)鍵費用或成本項目?？刂祁愋陀卸繕藴屎投ㄐ詷藴?。定量標準包括實物標準、價值標準和時間標準?？刂茦藴蕬?yīng)根據(jù)外部環(huán)境變化及工作開展情況及時調(diào)整。例如，企業(yè)預(yù)算系統(tǒng)能夠較好地將經(jīng)營目標按企業(yè)不同業(yè)務(wù)單元和組織，分解成不同部分可以執(zhí)行且可以控制的預(yù)算指標。

2.衡量控制結(jié)果

衡量控制結(jié)果即通過檢查執(zhí)行記錄、實際結(jié)果與控制目標（或標準）進行比較、計量偏離目標的差異等方式來評定控制成效。

3.分析差異

對于發(fā)生的差異，應(yīng)進一步分析原因，包括差異的程度及產(chǎn)生原因、問題的性質(zhì)等。

企業(yè)實務(wù)中，經(jīng)營活動分析會、內(nèi)外部審計等方式都是較好地實現(xiàn)衡量控制結(jié)果、分析差異的控制手段。如進一步利用內(nèi)部控制的方法，有利于更為深入、全面地利用這些控制手段來分析差異。

4.采取補救或改善措施

通過分析差異，企業(yè)需要綜合考慮成本效益原則，擬定所需采取的補救或改善措施，以確保有關(guān)內(nèi)部控制有效。

5.綜合檢查評價

定期的綜合檢查評價，是在結(jié)合日常持續(xù)監(jiān)督的基礎(chǔ)上，運用一定的方法，定期對內(nèi)部控制有效性進行全面評估和整體評價，確定內(nèi)部控制的健全和有效。

（二）內(nèi)部控制要素、方法和類型（★★）

從內(nèi)部控制五要素的角度建立和評價內(nèi)部控制體系，是確保內(nèi)部控制有效性、實現(xiàn)內(nèi)部控制目標的有效方法?！镀髽I(yè)內(nèi)部控制基本規(guī)范》規(guī)定的內(nèi)部控制要素主要有：內(nèi)部環(huán)境、風(fēng)險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督。

總體框架：

1.內(nèi)部環(huán)境（基礎(chǔ)—優(yōu)化）

內(nèi)部環(huán)境規(guī)定企業(yè)的紀律與架構(gòu)，影響經(jīng)營管理目標的制定，塑造企業(yè)文化氛圍并影響員工的控制意識，是企業(yè)建立與實施內(nèi)部控制的基礎(chǔ)。內(nèi)部環(huán)境主要包括治理結(jié)構(gòu)、機構(gòu)設(shè)置及權(quán)責分配、內(nèi)部審計機制、人力資源政策、企業(yè)文化等。

（1）治理結(jié)構(gòu)。企業(yè)應(yīng)當根據(jù)國家有關(guān)法律法規(guī)和企業(yè)章程，建立規(guī)范的公司治理結(jié)構(gòu)和議事規(guī)則，明確董事會、監(jiān)事會和經(jīng)理層在決策、執(zhí)行、監(jiān)督等方面的職責權(quán)限，形成科學(xué)有效的職責分工和制衡機制。

公司治理結(jié)構(gòu)又稱法人治理結(jié)構(gòu)，是根據(jù)權(quán)力機構(gòu)、決策機構(gòu)、執(zhí)行機構(gòu)和監(jiān)督機構(gòu)相互獨立、權(quán)責明確、相互制衡的原則實現(xiàn)對公司的治理，其關(guān)系見下圖。

（2）機構(gòu)設(shè)置及權(quán)責分配。企業(yè)應(yīng)當結(jié)合業(yè)務(wù)特點和內(nèi)部控制要求設(shè)置內(nèi)部機構(gòu)，明確職責權(quán)限，將權(quán)利與責任落實到各責任單位。

企業(yè)內(nèi)部機構(gòu)設(shè)置雖然沒有統(tǒng)一的模式，但所采用的組織結(jié)構(gòu)應(yīng)當有利于提升管理效能，保證信息通暢流動。

（3）內(nèi)部審計機制。企業(yè)應(yīng)當加強內(nèi)部審計工作，保證內(nèi)部審計機構(gòu)設(shè)置、人員配備和工作的獨立性。審計委員會負責人應(yīng)當具備相應(yīng)的獨立性、良好的職業(yè)操守和專業(yè)勝任能力。

（4）人力資源政策。一般包括員工的聘用、培訓(xùn)、辭退與辭職；員工的薪酬、考核、晉升與獎懲；關(guān)鍵崗位員工的強制休假制度和定期崗位輪換制度；對掌握國家秘密或重要商業(yè)秘密的員工離崗的限制性規(guī)定等內(nèi)容。企業(yè)應(yīng)當將職業(yè)道德修養(yǎng)和專業(yè)勝任能力作為選拔和聘用員工的重要標準，切實加強員工培訓(xùn)和繼續(xù)教育，不斷提升員工素質(zhì)。

（5）企業(yè)文化（軟實力—靈魂）。企業(yè)應(yīng)當加強文化建設(shè)，培育積極向上的道德價值觀和社會責任感，倡導(dǎo)誠實守信、愛崗敬業(yè)、開拓創(chuàng)新和團隊協(xié)作精神，樹立現(xiàn)代管理理念，強化風(fēng)險意識和法制觀念。董事、監(jiān)事、經(jīng)理及其他高級管理人員應(yīng)在塑造良好的企業(yè)文化中發(fā)揮關(guān)鍵作用。

2.風(fēng)險評估（重要環(huán)節(jié)）

風(fēng)險評估是企業(yè)及時識別、科學(xué)分析經(jīng)營活動中與實現(xiàn)控制目標相關(guān)的風(fēng)險，合理確定風(fēng)險應(yīng)對策略，是實施內(nèi)部控制的重要環(huán)節(jié)。

從內(nèi)部控制的角度看應(yīng)建立流程，及時識別并評估對企業(yè)內(nèi)部控制體系可能造成重大影響的改變，以及時調(diào)整內(nèi)部控制確保其有效。

風(fēng)險評估重點關(guān)注的內(nèi)容有：①外部環(huán)境：監(jiān)管或經(jīng)濟環(huán)境等外部環(huán)境變化可能導(dǎo)致競爭壓力不斷增加、運營需求發(fā)生變化，及由此出現(xiàn)的風(fēng)險；自然災(zāi)害等物理環(huán)境的變化影響企業(yè)供應(yīng)鏈、商業(yè)合作伙伴等，導(dǎo)致企業(yè)持續(xù)經(jīng)營風(fēng)險。②商業(yè)模式：改變商業(yè)模式、重大收購和資產(chǎn)剝離、境外業(yè)務(wù)、快速增長、新技術(shù)應(yīng)用于企業(yè)生產(chǎn)、服務(wù)交付流程或支持信息系統(tǒng)等，以及由此出現(xiàn)的新風(fēng)險。③領(lǐng)導(dǎo)變更：新的高層管理人員管理哲學(xué)、對現(xiàn)有企業(yè)文化的理解等發(fā)生變化；人員高流動性、缺乏有效的培訓(xùn)和監(jiān)督都可能導(dǎo)致內(nèi)部控制失效。

3.控制活動（重要手段）

控制活動是指企業(yè)根據(jù)風(fēng)險應(yīng)對策略，采用相應(yīng)的控制措施，將風(fēng)險控制在可承受度之內(nèi)，是實施內(nèi)部控制的具體方式。常見的控制措施有下列7項。

提示：內(nèi)部控制要制度化，制度要流程化。流程是借鑒了計算機軟件設(shè)計中的方法論，使工作程序化、標準化、系統(tǒng)化。這樣不易出現(xiàn)漏洞，從而更加嚴謹。

（1）不相容職務(wù)分離控制。

提示：

①內(nèi)部控制的基本假設(shè)是：兩個人有意識地犯同樣錯誤的概率要遠少于一個人；兩個人有意識地合伙舞弊的可能性要遠少于一個人。

②不相容職務(wù)分離的核心是內(nèi)部牽制。

③因資源限制等原因無法實現(xiàn)不相容職務(wù)相分離的，企業(yè)應(yīng)當采取抽查交易文檔、定期資產(chǎn)盤點等替代性控制措施。

④不相容職務(wù)相分離貫穿內(nèi)部控制、設(shè)計、實施、運行、評價全過程。企業(yè)在設(shè)計內(nèi)部控制系統(tǒng)時，首先應(yīng)確定哪些崗位和職務(wù)是不相容的；其次要明確規(guī)定各個機構(gòu)和崗位的職責權(quán)限，使不相容崗位和職務(wù)之間能夠相互監(jiān)督、相互制約，形成有效的制衡機制。

不相容職務(wù)分離控制貫穿于企業(yè)經(jīng)營管理活動的始終，是企業(yè)防范風(fēng)險的重要手段之一。

（2）授權(quán)審批控制。

提示：“授權(quán)”表明了企業(yè)各項決策和業(yè)務(wù)必須由具備適當權(quán)限的人員辦理，這一權(quán)限通過公司章程約定或其他方式授予。（權(quán)限指引）。

授權(quán)時對事不對人、不可越權(quán)授權(quán)、要適度授權(quán)、授權(quán)后要適當?shù)谋O(jiān)督。授權(quán)時盡量采用書面形式，特別授權(quán)一般采用口頭形式；審批不得越權(quán)、不得隨意審批。

（3）會計系統(tǒng)控制。

（4）財產(chǎn)保護控制。

（5）預(yù)算控制。

預(yù)算是企業(yè)未來一定時期內(nèi)經(jīng)營、資本、財務(wù)等各方面的收入、支出、現(xiàn)金流的總體計劃。預(yù)算控制的內(nèi)容涵蓋了企業(yè)經(jīng)營活動全過程，企業(yè)通過預(yù)算的編制和檢查預(yù)算的執(zhí)行情況，可以比較、分析內(nèi)部各單位未完成預(yù)算的原因，并對未完成預(yù)算的不良后果采取改進措施。

分解預(yù)算控制的主要環(huán)節(jié)有：①確定預(yù)算的項目、標準和程序；②編制和審定預(yù)算；③預(yù)算指標的下達和責任人的落實；④預(yù)算執(zhí)行的授權(quán)；⑤預(yù)算執(zhí)行過程的監(jiān)控；⑥預(yù)算差異的分析和調(diào)整；⑦預(yù)算業(yè)績的考核和獎懲。

（6）運營分析控制。

運營分析是對企業(yè)內(nèi)部各項業(yè)務(wù)、各類機構(gòu)的運行情況進行獨立分析或綜合分析，進而掌握企業(yè)運營的效率和效果，為持續(xù)的優(yōu)化調(diào)整奠定基礎(chǔ)。

（7）績效考評控制。

績效考評是對所屬單位及個人占有、使用、管理與配置企業(yè)經(jīng)濟資源的效果進行的評價。企業(yè)董事會及經(jīng)理層可以根據(jù)績效考評的結(jié)果進行有效決策，引導(dǎo)和規(guī)范員工行為，促進實現(xiàn)發(fā)展戰(zhàn)略和提高經(jīng)營效率效果。

主要環(huán)節(jié)有：

①確定績效考評目標，績效考評目標應(yīng)當具有針對性和可操作性；

②設(shè)置考核指標體系，包括定量指標（以反映評價客體的各種數(shù)量特征）和定性指標（以說明各項非數(shù)量指標的影響），同時，針對不同的評價指標賦予相應(yīng)的權(quán)重，體現(xiàn)各項評價指標對績效考評結(jié)果的影響程度和重要程度；

③選擇考核評價標準，評價標準是反映評價指標優(yōu)劣的具體參照物和對比尺度，企業(yè)可以根據(jù)評價目標選用不同的評價標準，如歷史標準、預(yù)算標準、行業(yè)標準等；

④形成評價結(jié)果，根據(jù)評價指標和評價標準，對企業(yè)全體員工的業(yè)績進行定期考核和客觀評價，在此基礎(chǔ)上形成評價結(jié)論；

⑤制定獎懲措施，企業(yè)應(yīng)當將績效考評結(jié)果作為確定員工薪酬以及職務(wù)晉升、評優(yōu)、降級、調(diào)崗和辭退等的依據(jù)。

除上述常見控制措施外，企業(yè)還需建立重大風(fēng)險預(yù)警機制和突發(fā)事件應(yīng)急處理機制，明確風(fēng)險預(yù)警標準，對可能發(fā)生的重大風(fēng)險或突發(fā)事件，制定應(yīng)急預(yù)案，明確責任人員、規(guī)范處理程序，確保突發(fā)事件得到及時妥善的處理。

提示：

內(nèi)部控制環(huán)境與控制活動

內(nèi)部控制環(huán)境是其他四個要素的基礎(chǔ)，在企業(yè)內(nèi)部控制的建立與實施中發(fā)揮著基礎(chǔ)性作用。任何企業(yè)要有健全的治理結(jié)構(gòu)，明確機構(gòu)設(shè)置及權(quán)責分配，完善的內(nèi)部審計制度，人力資源政策，塑造良好的企業(yè)文化。應(yīng)充分體現(xiàn)企業(yè)業(yè)務(wù)模式、經(jīng)營管理的特點以及內(nèi)部控制的要求，與企業(yè)自身的規(guī)模、發(fā)展階段相適應(yīng)。

控制活動是指結(jié)合具體業(yè)務(wù)和事項，運用相應(yīng)的控制措施和程序去實施控制。也就是在風(fēng)險評估之后，企業(yè)采取相應(yīng)的控制措施以將風(fēng)險控制在可承受的范圍之內(nèi)（7項控制措施）。

4.信息與溝通（重要條件）

信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關(guān)的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通，是實施內(nèi)部控制的重要條件。信息與溝通的要件主要包括：信息質(zhì)量、溝通制度、信息系統(tǒng)、反舞弊機制。

（1）信息質(zhì)量。信息是企業(yè)各類業(yè)務(wù)事項屬性的標識，是確保企業(yè)經(jīng)營管理活動順利開展的基礎(chǔ)。企業(yè)日常生產(chǎn)經(jīng)營需要收集各種內(nèi)部信息和外部信息，并對這些信息進行合理篩選、核對、整合，提高信息的有用性。

（2）溝通制度。信息的價值必須通過傳遞和使用才能體現(xiàn)。企業(yè)應(yīng)當建立信息溝通制度，將內(nèi)部控制相關(guān)信息在企業(yè)內(nèi)部各管理級次、責任單位、業(yè)務(wù)環(huán)節(jié)之間，以及企業(yè)與外部投資者、債權(quán)人、客戶、供應(yīng)商、中介機構(gòu)和監(jiān)管部門等有關(guān)方面之間進行溝通和反饋。重要信息須及時傳遞給董事會、監(jiān)事會和經(jīng)理層。

（4）反舞弊機制。舞弊是指企業(yè)董事、監(jiān)事、經(jīng)理、其他高級管理人員、員工或第三方使用欺騙手段獲取不當或非法利益的故意行為。反舞弊工作的重點領(lǐng)域包括：①侵占、挪用企業(yè)資產(chǎn)，謀取不正當利益；②在財務(wù)會計報告和信息披露等方面存在虛假記載、誤導(dǎo)性陳述或者重大遺漏等；③董事、監(jiān)事、經(jīng)理及其他高級管理人員濫用職權(quán)；④相關(guān)機構(gòu)或人員串通舞弊。為確保反舞弊工作落到實處，企業(yè)應(yīng)當建立舉報投訴制度和舉報人保護制度，設(shè)置舉報專線，明確舉報投訴處理程序、辦理時限和辦結(jié)要求，

確保舉報、投訴成為企業(yè)有效掌握信息的重要途徑。舉報投訴制度和舉報人保護制度應(yīng)當及時傳達至全體員工。

COSO框架認為，舞弊風(fēng)險的評估需要考慮：虛假報告、資產(chǎn)損失的可能性以及各種舞弊、不當行為所導(dǎo)致的腐敗行為；各種動機和壓力；未經(jīng)授權(quán)的獲取、使用或出售資產(chǎn)、改變主體報告記錄或犯有其他不當行為等方面的機會；管理層及其他人員是如何參與不當行為并對此進行辯解的。此外，通過集中管理的職責分離可一定程度地減少舞弊的可能性。

5.內(nèi)部監(jiān)督（重要保證）

內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查，評價內(nèi)部控制的有效性，對于發(fā)現(xiàn)的內(nèi)部控制缺陷，及時加以改進，是實施內(nèi)部控制的重要保證。內(nèi)部監(jiān)督包括日常監(jiān)督和專項監(jiān)督。

（1）日常監(jiān)督。日常監(jiān)督是指企業(yè)對建立與實施內(nèi)部控制的情況進行常規(guī)、持續(xù)的監(jiān)督檢查。日常監(jiān)督的常見方式包括：①在日常生產(chǎn)經(jīng)營活動中獲得能夠判斷內(nèi)部控制設(shè)計與運行情況的信息；②在與外部有關(guān)方面溝通過程中獲得有關(guān)內(nèi)部控制設(shè)計與運行情況的驗證信息；③在與員工溝通過程中獲得內(nèi)部控制是否有效執(zhí)行的證據(jù)；④通過賬面記錄與實物資產(chǎn)的檢查比較對資產(chǎn)的安全性進行持續(xù)監(jiān)督；⑤通過內(nèi)部審計活動對內(nèi)部控制有效性進行持續(xù)監(jiān)督。

（2）專項監(jiān)督。專項監(jiān)督是指在企業(yè)發(fā)展戰(zhàn)略、組織結(jié)構(gòu)、經(jīng)營活動、業(yè)務(wù)流程、關(guān)鍵崗位員工等發(fā)生較大調(diào)整或變化的情況下，對內(nèi)部控制的某一方面或某些方面進行有針對性的監(jiān)督檢查。日常監(jiān)督是專項監(jiān)督的基礎(chǔ)，專項監(jiān)督是日常監(jiān)督的補充，如果發(fā)現(xiàn)某專項監(jiān)督需要經(jīng)常性地進行，企業(yè)有必要將其納入日常監(jiān)督之中。

日常監(jiān)督和專項監(jiān)督情況應(yīng)當形成書面報告，并在報告中揭示存在的內(nèi)部控制缺陷。

基于上述控制方法，內(nèi)部控制可以分為不同類型，按是否與業(yè)務(wù)直接相關(guān)分為企業(yè)層面控制和業(yè)務(wù)層面控制；按控制目的不同可分為會計控制和管理控制，如會計系統(tǒng)控制屬于會計控制，預(yù)算控制、運營分析控制則屬于管理控制；按控制功能不同分為預(yù)防式控制和發(fā)現(xiàn)型控制，如預(yù)算控制屬于預(yù)防式控制、績效考評控制則屬于發(fā)現(xiàn)型控制；

按控制目標不同分為財產(chǎn)物資控制、會計信息控制、財務(wù)收支控制、經(jīng)營決策控制、經(jīng)濟效益控制、經(jīng)營目標控制；按照是否信息化分為人工控制和自動控制；信息系統(tǒng)控制分為一般控制和應(yīng)用控制，開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全均屬于一般控制，而設(shè)計在信息系統(tǒng)中、有助于達到信息處理目標的控制則屬于應(yīng)用控制。

COSO框架強調(diào)，企業(yè)內(nèi)部控制有效，應(yīng)保證五要素同時存在并持續(xù)運行，并且五要素應(yīng)以整合的方式共同運行，以將影響目標實現(xiàn)的風(fēng)險降低至可接受的水平。這是因為，企業(yè)層面的失控容易導(dǎo)致業(yè)務(wù)層面的失控，但單純的業(yè)務(wù)操作失控也會給企業(yè)造成損失，如證券公司交易員的操作失誤可能導(dǎo)致證券市場巨大波動及公司損失。因此，無論忽視哪一方面導(dǎo)致的重大內(nèi)部控制缺陷，都可能給企業(yè)造成損失甚至滅頂之災(zāi)。

提示：內(nèi)部控制五大要素貫穿內(nèi)部控制全過程，要與內(nèi)部控制五大目標，五項原則結(jié)合起來掌握。

（三）內(nèi)部控制活動的基本內(nèi)容（★）

我國《內(nèi)部控制應(yīng)用指引》將內(nèi)部控制分為企業(yè)層面控制和業(yè)務(wù)層面控制。企業(yè)層面包括組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、社會責任、企業(yè)文化等5項對實現(xiàn)控制目標有重大影響，且與內(nèi)部環(huán)境、風(fēng)險評估、信息與溝通，內(nèi)部監(jiān)督直接相關(guān)的控制，業(yè)務(wù)層面包括資金、采購、資產(chǎn)、銷售、研發(fā)、工程、擔保、業(yè)務(wù)外包、財務(wù)報告、全面預(yù)算、合同、內(nèi)部信息傳遞、信息系統(tǒng)等13項具體業(yè)務(wù)和事項的控制。每項應(yīng)用指引均分析了所涉及的主要風(fēng)險和關(guān)鍵控制點及控制措施，構(gòu)成企業(yè)內(nèi)部控制活動的基本內(nèi)容。

在實務(wù)中，企業(yè)進行內(nèi)部控制體系建設(shè)時，應(yīng)在遵循內(nèi)部控制規(guī)范的基礎(chǔ)上，結(jié)合實際，綜合利用控制方法，分企業(yè)層面、業(yè)務(wù)層面分別分析風(fēng)險、制定關(guān)鍵控制點和控制措施，分別落實責任和執(zhí)行。