企业内部控制资料要点汇总.docx

1、企业内部控制资料要点汇总企业内部控制资料要点汇总内部控制历来是包括企业在内的所有组织和机构正常运转的制度基础。它是为了保证企业信息质量，保护资料的安全和完整，确保有关法律、法规和规章贯彻执行而制定和实施的控制系统。内部控制是企业各项管理工作的基础，是企业持续健康发展的保证。实践证明，企业的一切管理工作都是从建立和健全内部控制开始的，企业的一切决策都应统驭在完善的内部控制体系之下，企业的一切活动都无法游离于内部控制之外。得控则强，失控则弱，无控则乱。为了配合公司的战略发展和规范运作，现对企业的“内部控制资料要点”进行了汇总，希此类研究成果与大家分享。旨在提高各部门强化内部控制的自觉性，为（集团）

2、股份公司将进行的“内控建设”达标验收工作及综合测试奠定基础。一、对内部控制的理解内部控制被定义为一个过程，这个过程受企业董事会、管理层及其他人员的影响。设计这个过程是为达成下列目标提供合理的保证：营运的效果和效率，财务报告的可靠性，相关法令的遵循。按照这个定义，企业的内部控制框架包括：控制环境、风险评估、控制活动、信息与沟通和监控五个相互联系的要素。其中控制环境包括员工的诚实性和道德观、员工的胜任能力、董事会或审计委员会的管理理念和经营方式、组织结构、权责划分、人力资源政策和实施等。风险评估包括风险识别和风险分析。控制活动包括职务分离、实物控制、信息处理控制、业绩评价等。信息与沟通包括确认记录

3、有效的经济业务、采用恰当的货币价值计量，在财务报告中恰当揭示。监控包括日常的管理监督活动，内部审计及单位外部进行信息交流的控制等。上述“三个目标”和“五个要素”组成了企业内部控制的整体框架，得到董事会、管理层、投资人、债权人、审计人员和专家学者的普遍认可，是迄今为止最权威的内部控制概念。根据上述概念，可以把内部控制理解为：1、内部控制是一种授权体系和责任体系。从一定意义上讲，委托代理关系的产生必然产生内部控制。委托过程实际上是授权和指派责任的过程。从委托人的立场看，内部控制是一种授权体系，而从代理人的立场看内部控制是一种责任体系。随着组织规模的增大，控制的间接性越强，授权体系和责任体系越复杂。

4、2、内部控制是一种最优化、最简捷和最理性（合乎逻辑）的作业方式或作业标准。组织的运营过程由一系列作业组成，而一项作业又由若干任务组成，若干个作业又可以组成一个流程。将内部控制与作业概念联系起来，就是将最先进的管理理论和方法以及计算机技术引进到内部控制领域。其中包括流程再造或优化、企业资源规划（ERP）、计算机一体化的制造系统、作业成本、作业预算和作业管理等。实施内部控制，绝对不是搞“繁琐哲学”。相反，正是通过内部控制的强化，使企业经营过程成本低、质量高、时间省和富有创造性。3、内部控制包括若干个具有独立功能且彼此配合的子系统。内部控制可作为一个完整独立的系统来运行，也可以将其分拆为若干个子系统

5、（如采购控制、生产控制、销售控制等系统），每个系统都有自身的控制目标，一些控制目标是独立的，另一些控制则是相互关联的，只有相关的控制配合起来，才能达到一定的控制目标。另外，一项控制本身的力量会加强或减弱另一项控制的有效性。良好的内部控制依赖于各控制子系统的健全与完善和各控制子系统之间的协调与配合。4、内部控制包括会计（财务）控制、管理控制、业务控制和法规执行控制。会计（财务）控制的目标是保证财务报告的可靠性。管理控制的目标是保证管理效率与效果的实现。法规执行控制是保证法规的贯彻和执行。业务控制会与会计控制或管理控制重叠，但会计或管理控制都不能涵盖业务控制。另外，会计控制的对象是货币及与货币有关

6、的物。管理控制的对象是人。业务控制的对象也是物。法规执行控制是其它三项控制的基本前提条件，企业所有内部控制活动的出发点是让企业的业务活动合法和合规。从内部控制的相互关系看：业务控制强调流程，会计控制强调牵制，管理控制则在于绩效和利益的结合。如果实现内部有效控制是企业内控的总目标，则控制始于对流程的控制，对流程运转的控制属于业务控制。会计控制是利用牵制手段来实现业务控制，体现在执行内控制度时采取不相容任务的分离，从根本上杜绝舞弊现象。而管理控制则是利用绩效和利益来激励人们更好地完成各项作业和任务，以达到对内部控制的自我驱动，也可利用执行时利益主体之间的利益冲突或排斥达到控制目的。在以流程为起点的

7、业务控制上，会计控制和管理控制应实现一体化、达到统一。5、内部控制是衡量组织风险的基础。市场经济环境越完善，企业面临的情况越复杂多变，各种风险和危机也随时可能发生或出现。企业的目标是使企业的经济活动平稳运行，尽量避免不确定性。如果把组织的持续稳定健康发展作为期望值，内控制度就是一种标准，一种衡量尺度，风险就是对标准的偏离程度。企业将内控制度设计的越符合实际，有利于运行，内控测试及反馈机制越健全，组织偏离期望值的风险越小。评估企业的内部控制是通过评价企业有无内控制度，内控制度是否健全、有无内控制度制定主体、有无修改制度、内控有无反馈和测试机制等，来评估企业的总体风险。但内控制度必须和法律、道德一

8、起发挥作用，集威慑、预防、觉悟于一身，使行为合法、合规、合理。二、对内控制度设计和执行的理解内控制度一开始就存在如何设计问题。企业作为内控制度的直接对应体，应该明确设计思路。根据对相关资料的理解，提出如下思路供各部门参考。1、内控制度是项目、组织和流程的综合（1）项目是指在既定资料和要求的约束下，为实现企业目的而相互联系的一次性工作任务。它是内控制度的基本单位（即内控项目的数量）。在确定内控项目数量时应充分考虑：企业愿景、战略和经营目标的要求；企业的管理方式；涵盖会计控制、管理控制、业务控制和法规执行控制，系统的体现内控理念。（2）组织是具有共同行动目标的群体，它可以分成高层、中层、基层和现场

9、四个层级，每个层级由若干单位组成，每个单位有若干成员。从组织的角度应该考虑企业的控制目标、控制环境和控制方式，进而确定企业的管理跨度和组织层级。最终使每个层级，每个单位乃至每个成员都与内控制度相关，都参与内控活动。（3）流程是企业经营过程的某个阶段，它是若干项作业的集合，而作业又是若干项任务的集合，任务是组织成员授权完成的，授权和责任在这里得到体现。任务还可细分为若干步骤。在设计企业内控流程时，应遵循“流程作业任务步骤”四个因素之间的依次关系，按价值链或供应链来决定企业的具体业务流程。继而由流程决定企业的组织机构配置，并辅之以相应的控制制度，决定内控项目的数量。2、执行内控制度应达到的要求（1

10、）内控制度要能够实现企业的愿景、战略和目标。对控制者来说，最重要的是实现内控制度的目标（如前面题头所称的三项目标），执行内控制度只是达到目标的手段。（2）内控制度应能够对执行情况进行计量或测试。全部内控制度的项目可以分成执行结果可计量和不可计量两类。可计量的情况通常从会计核算、结算和统计等途径取得。不可计量的情况一般通过测试表来取得。为便于操作在进行综合测试时，都用测试表的方式对内控制度的执行情况进行计量和测试。其测试表的结构按照内控的五个要素设计。（3）内控制度执行情况或测试结果能够与内控制度进行比较。比较要依据三个步骤进行：测试结果是否与内控制度相符？如果相符，控制者不做任何干预，由执行者

11、或被控制者照常继续执行。如果不相符，则过渡到下一个判断；偏差是否可以接受？如果可以接受，控制者不做任何干预，由执行者或被控制者继续照常执行。如果不能接受，则过渡到下一个判断；内控制度是否符合实际？如果相符，偏差则导源于执行者，应进一步分析产生偏差的原因，拟定纠偏措施，并向控制者提供测试报告，由控制者采取纠偏行动，干预执行者的执行过程。如果不相符，偏差则导源于内控制度，控制者应采取修正或补充内控制度的行动。（4）内控制度执行情况的测试报告要把控制者和执行者巧妙的连接起来。在日常工作中应把测试报告至少分成两种：第一种是明细报告，它按照测试表的结构和内控建设的整体框架，对每个要素（控制环境、风险评估

12、、控制活动、信息与沟通、监控）的测试结果进行评估和详细分析，说明造成制度与执行情况之间偏差的原因。这种形式的报告留在内控部门备查，作为持续改进的参考。第二种是简式报告，它是在明细报告基础上编制的报告。这种形式的报告是定期报送给总经理的。（5）控制者采取纠偏行动常用的两种方式。第一种方式是直接干预，即控制者直接或强制性地要求执行者按指定的行动方式来取代原有的行动方式。第二种方式是间接干预，即控制者制定和坚持行之有效地激励制度，通过激励制度“准自动化”地矫正执行者的行为。三、内控制度需要涵盖的项目和每个内控项目应包括的内容1、内控制度需要涵盖的项目（1）综合项目：主要包括程序文件的编制和颁发、资料

13、与记录的保存、企业文化建设、环境保护、压力容器管理程序、印鉴管理、职工健康和安全等。（2）组织机构：主要包括组织机构和岗位设置、岗位职责描述和人员配置、授权管理、分支机构管理等。（3）安全保卫：主要包括工厂消防、厂区安全保卫等。（4）法律法规：主要包括合同管理、诉讼与仲裁、危机处理程序等。（5）公共事务：主要包括广告宣传管理、公共关系、信息发布等。（6）内部控制：主要包括内部控制管理、审计管理制度、审计操作手册、内控调查问卷、管理风险评估、利益冲突调查、内控培训、贪污舞弊报告程序等。（7）信息安全和电子商务：主要包括信息安全政策、计算机安全管理、信息备份和灾害恢复计划、计算机安全操作程序、桌面

14、清理政策等。（8）财务管理：主要包括财务预算及预测、银行帐户管理、现金和支票管理、票据和有价证券管理、付款管理、应付帐款管理、备用金管理、应收帐款管理、信用政策、发票管理、价格管理、成本管理、公务费用及报销、贷款及担保和信用证管理、关联交易、保险管理、会计和报告、帐务调节、会计档案管理等。（9）投资管理：主要包括投资管理程序、固定资产管理、固定资产编号办法等。（10）资本管理：主要包括资本管理、资本清算等。（11）采购管理：主要包括采购政策、采购计划、采购申请程序、询价及确定货源程序、签订采购合同、供应商评审、选择和开发程序、供应商管理程序等。（12）物流管理：主要包括收货管理、存货管理、运输

15、管理、废品废料处理、客户管理、危险品管理等。（13）销售管理：主要包括发货申请及批准程序、销售计划编制、订单管理、客户管理、营销费用管理、退货管理、客户投诉管理、销售合同管理、销售台帐建立程序、销售人员工作日志管理等。（14）人事行政管理：主要包括员工行为手册、人员招聘程序、保密协议、员工培训、员工离职、劳动合同管理、休假管理、企业车辆管理、员工绩效评估、奖惩管理程序、工资与福利等。（15）生产和质量管理：主要包括基础管理、生产计划的编制、生产管理、安全管理和装备管理等。随着企业规模的扩大，委托代理关系的延长，需要不断完善内控项目。2、每个内控项目应包括的内容根据内控审计的要求，每个内控项目都

16、应该成为既相对独立又相互联系的内控制度，而每个内控制度一般应包括如下内容：（1）目的：主要描述设立这个内控制度的目的。（2）范围：主要说明其内控制度适用于哪些部门或单位。（3）职责：主要说明某内控制度需要涉及的部门或单位，以及所涉及的部门或单位在本内控制度中应该履行的职责。（4）政策（或要求）：是某内控制度的核心和关键，需要分流程或事件把每一个环节应该规定的内容讲明白，以便执行者在实际操作过程中遵循。（5）职责图：主要描述本内控制度的主要活动，每项活动涉及到的职责部门、由谁批准这项职责、支持该活动的部门是谁、该内控制度需要通知的部门、以及由谁进行监督和咨询（评估）等。（6）文件与记录：主要列示

17、该内控制度的附件目录（如流程图、表单、模板等）。（7）参考资料：主要列示支持该内控制度的其它文件目录。上述内容除文件与记录和参考资料两项内容需要根据内控制度需要予以增减外，其余内容项目均是必备的。四、对“内控建设“相关内容的理解1、术语或定义（1）控制环境：“高层基调”，即公司的诚信和道德价值，包括行为准则，董事会的参与及设立其它公司基调的行动。（2）风险评估：管理层用于识别可能导致财务报告错报的潜在风险及采取行动来处理这些风险的流程。（3）控制活动：通常指的是“内部控制”，是用于保护资产，使公司可以及时可靠地进行财务报表的事项，其中包括职责划分、帐户调节和信息处理控制。（4）信息和沟通：是内

18、部和外部报告流程，包括对科技环境的评估。（5）监督：是评估一段时间内公司内控的质量，并采取必要措施确保它可以继续处理公司的风险。（6）风险：是某一事件或行为对企业经济利益可能产生的威胁。（7）管理风险：包括财务和经营信息不足；政策、计划、程序、法律和标准贯彻失败；资产流失；资源浪费和无效使用；不能达到企业目的和目标。（8）内部控制：是一个过程，这个过程受企业董事会、经理层及其它人员的影响。设计这个过程是为达成营运的效果和效率、财务报告的可靠性及相关法令的遵循提供合理的保证。2、执行“内控建设”的长远益处（1）透明：简单化和标准化的信息使得更容易被理解和接受。管理层要直接看到推动业务的相关因素。

19、对内控和业务流程进行评估，不仅能够改善公司的内控结构从而降低风险，还可以协助公司管理层识别无效或低效的流程，并消除多余的控制和流程，从而减少成本并提高生产力。（2）精确：提供的数据客观形象地表示了公司的业绩、财务报表更改的情况将很少发生。对财务报告进行有效地内部控制，可以提高公司管理层、董事会和审计委员会对股东和利益相关方的责任感，提高财务报告的可靠性。（3）及时：随着时间的推移，信息将快速的产生。能够快速的提供给投资者相关信息。（4）可预测：业绩将更接近原有的预测。持续的计划给管理层和投资者提供的数据用于公司应对商业环境的变化。这是公司在行业中领先的标志，也是遵循“内控”所创造的价值。3、执

20、行“内控建设”企业必须落实的工作（1）成立独立的合格的董事会审计委员会。（2）全面记录内部控制/披露程序。（3）具备遵从这些控制所需的审计能力。（4）记录主要控制的设计方法。（5）评估控制的设计和效力。（6）识别随之而来的控制问题并监控相应的修复措施。（7）记录流程和控制的变化，发现任何相关问题。（8）记录控制设计效力测试的结果。（9）披露任何主要缺陷（即实质性缺陷）。（10）获取外部审计公司的审核以证明相关报告。4、执行“内控”公司管理层必须关注的重点（1）评估重大错报风险。（2）识别对公司层面的控制，包括对欺诈预防的控制。（3）识别重要会计帐目和披露内容。（4）识别财务报表的相关认定。（5

21、）识别重要的流程和子流程。（6）明确评估应包含的地区和业务单位。（7）记录控制的设计方案，使用恰当的框架。（8）明确应检测的控制领域。（9）评估控制设计方案的有效性。（10）检测和记录控制操作的有效性。（11）评估内控缺陷，是否存在实质性漏洞，弥补控制上的差距并对整体有效性进行总结。（12）向审计委员会和审计师传达各种发现。（13）记录评估内控的流程。5、我们公司目前应该对照检讨和必须重视、解决的问题：（1）控制环境1 工作效率低的审计委员会2 缺乏涵盖全公司行政驱使的内控管理计划3 缺乏反欺诈的举报计划4 缺乏现有、统一、完整记录的和发布的会计政策和程序5 对记录非常规性、复杂性或异常交易的

22、控制不当。（2）风险评估6 缺乏一个正式企业风险管理流程/计划（3）控制活动7 缺乏公司层面的控制程序、操作及记录8 低效率的财务报告和披露的准备流程9 对分所或分支机构地区的管制无力。（4）信息与沟通10 缺乏对信息技术/信息系统环境的有效控制。11 缺乏对最终用户应用（如电子制表）和用于财务报告的资料控制。（5）监督12 董事会和审计委员会对风险和控制的理解不充分。13 工作效率低的内审部。14 缺乏对结帐流程的非正式控制或监督控制。15 无法评估和检测对流程的控制。（6）文件记录16 缺乏全面的文件记录17 缺乏支持控制工作已执行的证据。（7）管理层的证明过程18 客户认定小组的专业/经

23、验不足19 管理层认定的范围不充分20 检测流程/程序不足。7、执行“内控”财务应该发挥的作用（1）与最佳同类机构和其它同伴相比，财务应具备成本效益的财务运营及控制职能。（2）财务的角色如何与首席执行官及董事会的期望相统一。（3）财务如何简化它的财务报告流程。（4）如何确保它向公司提供的信息，是使公司及时做出有远见的决策所需要的。（5）财务必须建立一个有前瞻性的战略和转变计划并涵盖财务的各方面。使财务成为首席执行官及行政人员的战略顾问，并为企业增值。8、执行“内控”IT应该发挥的作用（1）提供有效的辅助工具，达到内控建设对内部控制、报告、披露和归档等方面的要求，并以此为契机在长期战略上改进内部

24、控制。（2）IT工具在“内控建设“遵循过程中要具有透明性和问责制的作用透明性：是指IT工具提供了完善的文档管理系统，它可以在最短的时间内让有权限的用户看到制定的文档。其中包括企业管理层、会计师事务所、审计委员会、投资人等，增加企业的透明度。问责制：是指IT工具制定了完善的权限管理系统，不同角色的人员只能看到与自己本身相关的内容。在系统中所有人员的操作动作都被记录，每个人的职责被明确划分，每个人的工作被清晰记录。五、结束语贯彻“内控建设”，完善内部控制对公司来说是一个十分重要的课题。为实现三年上市的宏伟目标，公司需要立即进行“内控建设”的导入，但由于对“内控建设”的理解还十分有限，再加上惯性思维可能存在的影响，导入工作将任重而道远，制度和流程在运营中的全面执行十分关键。这个“要点汇总”若能对公司管理层在加强内控建设方面有所“参考”，并对“内控建设”的导入有所“帮助”，公司管理层加强内部控制的自觉性有所“提高”，也就达到了这次资料汇集的目的。