企業(yè)內部控制基本規(guī)范企業(yè)職業(yè)培訓講座系列之一：----學習講解學習內容：

企業(yè)內部控制規(guī)范體系建設與實施的重要意義

企業(yè)內控規(guī)范體系的建設與實施的漸進發(fā)展過程

企業(yè)內控規(guī)范體系的框架結構

企業(yè)內部控制基本規(guī)范----講解前言2008年5月22日，財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會等五部委(以下簡稱五部委)聯合發(fā)布了《企業(yè)內部控制基本規(guī)范》(財會[2008]7號，以下簡稱《基本規(guī)范》)。2010年4月15日，五部委聯合發(fā)布了《企業(yè)內部控制配套指引》(財會[2010]1l號，以下簡稱《配套指引》)，自2011年1月1日起首先在境內外同時上市的公司施行，自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行，在此基礎上，擇機在中小板和創(chuàng)業(yè)板上市公司施行。同時，鼓勵非上市大中型企業(yè)提前執(zhí)行。中國企業(yè)內部控制規(guī)范體系的建設與實施，對完善社會主義市場經濟體制、深化企業(yè)改革、提升企業(yè)抗風險能力和可持續(xù)發(fā)展能力必將產生十分重要的作用和深遠的影響，也是中國對世界范圍內企業(yè)內部控制領域的重要貢獻。一、企業(yè)內部控制規(guī)范體系建設與實施的重要意義

1．建設與實施企業(yè)內控規(guī)范體系，是促進我國企業(yè)防范重大風險、實現可持續(xù)發(fā)展戰(zhàn)略的必然要求

近年來，企業(yè)改革日益成為整個經濟體制改革的中心環(huán)節(jié)。通過聯合重組、合并兼并、主輔分離等行之有效的改革措施，我國大中型企業(yè)的整體素質、運行質量、創(chuàng)新能力和國際競爭力有了大幅度提升。來自英國《金融時報》的資料顯示，躋身“全球企業(yè)500強”的中國企業(yè)，在2008年已增加到25家。同時也應當看到，伴隨著我國企業(yè)較快的增速和迅猛發(fā)展，各種潛在的風險也曰益顯現，類似中航油新加坡公司因內部控制缺失或失效引發(fā)的巨額資產損失、財務舞弊、會計造假、經營失敗、破產倒閉等案例時有發(fā)生。事實證明，在我國經濟快速增長的背景下，內部控制盡管不是萬能的，但沒有內部控制是萬萬不能的。只有建立和實施科學的內控體系，才能提升風險防范能力，實現企業(yè)可持續(xù)發(fā)展戰(zhàn)略。中國是世界上最大的發(fā)展中國家，同時也正在形成全球第三大經濟體，新型和轉型成為中國經濟現階段的重要特征。改革開放30年來，我國經濟社會發(fā)生了翻天覆地的變化，特別是加入世界貿易組織、完成五年過渡期后，經濟增長方式正由原來的資本輸入逐步向資本輸出轉變。在這一背景下，大中型企業(yè)進入國際產業(yè)和資本市場投資已成為不可逆轉的趨勢。面對國際市場經濟競爭日趨激烈的環(huán)境，我國企業(yè)要“走出去”，必須苦練內功、強化內控、防范風險，才能立于不敗之地。企業(yè)內控規(guī)范體系的建立與實施，為我國企業(yè)“走出去”提供了“安全網”和“防火墻”。2．貫徹中央“走出去”戰(zhàn)略，促進我國企業(yè)進入國際市場、參與國際競爭，必須建立與實施嚴格的內部控制體系安然事件發(fā)生后，美國迅速制定薩班斯法案，在其302和404條款中對強化企業(yè)內部控制提出了嚴格要求，并建立了國會立法推動、政府監(jiān)管跟進、民間完善指引、企業(yè)組織實施、中介進行審計、社會提供咨詢的聯動機制。美國COSO委員會發(fā)布的COSO報告在其中發(fā)揮了重要作用。在歐盟，隨著統(tǒng)一市場的建立和資本流動的加速，要求改善市場效率和有效性的呼聲不斷高漲，促使歐盟進一步關注公司內部控制問題，并在其改革白皮書中予以確認。根據倫敦股票交易所制定的《聯合規(guī)則》，英格蘭與威爾士特許會計師協(xié)會發(fā)布了《內部控制——關于“聯合規(guī)則”的董事指南》，要求公司董事會檢查內部控制制度的有效性，完善風險應對機制。法國商法和金融證券法對公司財務報告內部控制程序作出規(guī)定，金融銀行委員會條例對信貸企業(yè)實施內部控制自我評估提出明確要求，金融市場管理局還制定了《內部控制條例——參考框架》予以推廣。

3．公司治理與內部控制是當今世界企業(yè)發(fā)展永恒的主題，世界各國都在為此積極探索，作出應有的貢獻中國的內控體系吸收了世界各國的理論與實踐經驗，同時緊密結合中國實際，在內控的目標、原則、要素和組織實施等諸多方面，實現了若干重大創(chuàng)新。比如，由財政部等五個主要政府監(jiān)管部門以法規(guī)形式聯合發(fā)布基本規(guī)范，這在全世界尚屬首例，這使中國內控體系具有強制性的特點。又如，中國內控基本規(guī)范明確了企業(yè)內控自我評價與社會中介進行鑒證的制度安排，自我評價與社會鑒證不局限于財務報告真實性審計，而是對實現內控目標全過程的評價和鑒證。隨著內控體系建設的完成和實施，必將形成中國的“品牌”，在世界范圍內產生重要影響，從而在國際上對企業(yè)內控領域有所作為、有所貢獻。企業(yè)內控規(guī)范體系建設是適應經濟社會不同發(fā)展進程而逐漸形成的，大體經歷了內部牽制、內部會計控制和全面風險控制三個發(fā)展階段：第一階段：內部牽制（1978—1985年）1978年9月12日，國務院頒布《會計人員職權條例》，明確要求“企業(yè)的生產、技改、基建等計劃和重要經濟合同，應由總會計師會簽”；1984年4月24日，財政部發(fā)布《會計人員工作規(guī)則》，要求各單位“建立會計人員崗位責任制，切實做到事事有人管，人人有專責，辦事有要求，工作有檢查；會計人員崗位責任制要同本單位的經濟(經營)責任制相聯系，以責定權，責權明確，嚴格考核，有獎有懲”；“出納人員不得兼管收入、費用、債權、債務賬簿的登記工作以及稽核工作和會計檔案保管工作”；1985年1月21日，第六屆全國人民代表大會常務委員會第九次會議通過《中華人民共和國會計法》，重申了會計崗位責任制的要求。二、企業(yè)內控規(guī)范體系的建設與實施的漸進發(fā)展過程第二階段：會計控制（1996—2004年）20世紀90年代，經濟社會加速轉型，建立現代企業(yè)制度和市場經濟體制開始起步。1996年6月17日，財政部發(fā)布(會計基礎工作規(guī)范》，要求各單位進一步建立健全包括但不限于內部牽制割度的內部會計管理制度。1999年10月31日，第九屆全國人民代表大會常務委員會第十二次會議修訂通過《會計法》，在其第二十七條規(guī)定：“各單位應當建立、健全本單位內部會計監(jiān)督制度。單位內部會計監(jiān)督制度應當符合下列要求：(一)記賬人員與經濟業(yè)務事項和會計事項的審批人員、經辦人員、財物保管人員的職責權限應當明確，并相互分離、相互制約；（二)重大對外投資、資產處置、資金調度和其他重要經濟業(yè)務事項的決策和執(zhí)行的相互監(jiān)督、相互制約程序應當明確；(三)財產清查的范圍、期限和組織程序應當明確；(四)對會計資料定期進行內部審計的辦法和程序應當明確?！鄙鲜黾訌妴挝粌炔繒嫳O(jiān)督的法律要求，體現了內部會計控制的本質。這一時期，財政部依法啟動了內部會計控制規(guī)范的研究制定工作。2001年6月22日，財政部以財會[2001]41號文件正式發(fā)布《內部會計控制規(guī)范——基本規(guī)范(試行)》和《內部會計控制規(guī)范——貨幣資金(試行)》。此后至2004年底，財政部連續(xù)發(fā)布采購與付款、銷售與收款、工程項目、對外投資和擔保等5項內部會計控制規(guī)范，并印發(fā)了固定資產、存貨、籌資、預算、成本費用等5項征求意見稿。內部會計控制規(guī)范作為會計法的配套規(guī)章，在社會上引起較大反響，成為各單位建立與實施內部控制的重要依據。第三階段：全面風險控制（2005—至今）進入21世紀至今，完善社會主義市場經濟體制、貫徹實施中央“走出去”戰(zhàn)略成為時代的主流。在汲取美國安然等一系列內部控制失敗案例教訓、總結會計控制經驗的基礎上，針對國內國際兩個市場，需要更好地應對日益復雜的各種風險，推動會計控制向全面風險控制發(fā)展。2004年底和2005年6月，國務院連續(xù)就強化企業(yè)內部控制問題作出重要批示，明確要求“由財政部牽頭，聯合證監(jiān)會及國資委，積極研究制定一套完整公認的企業(yè)內部控制指引”。2005年7月20日，溫家寶總理主持召開國務院常務會議，在聽取監(jiān)事會2004年對中央企業(yè)監(jiān)督檢查情況及2005年工作安排的匯報時強調，“要特別解決好資產質量不高、管理方式粗放、內控機制不完善等問題”。同年7月，財政部會計司，中國證監(jiān)會會計部、上市部和國資委企業(yè)改革局等召開聯席會議，研究貫徹落實國務院領導批示精神、加快推進企業(yè)內部控制制度建設相關事宜。2006年7月15日，財政部、證監(jiān)會、國資委、審計署、銀監(jiān)會、保監(jiān)會聯合發(fā)起成立我國企業(yè)內部控制標準委員會，來自監(jiān)管部門、大型企業(yè)、行業(yè)組織、中介機構、科研院所的領導和專家學者積極參與，為構建我國企業(yè)內部控制規(guī)范體系提供了組織和機制保障。經過不懈努力，在各方面的積極配合和大力支持下，由財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會以財會[2008]7號文件的形式聯合發(fā)布了《企業(yè)內部控制基本規(guī)范》，取得了內控體系建設的重要階段性成果。三、企業(yè)內控規(guī)范體系的框架結構本著立足我國實際、借鑒國際慣例的原則，初步搭建了我國企業(yè)內控體系的框架結構，主要由一項基本規(guī)范、系列應用指引、評價指引、鑒證指引和企業(yè)內部控制制度構成。1．基本規(guī)范基本規(guī)范在內控規(guī)范體系中處于最高層次，起統(tǒng)馭作用，描繪了企業(yè)建立與實施內控體系必須建立的框架結構，規(guī)定了內部控制的定義、目標、原則、要素等基本要求，是制定應用指引、評價指引、鑒證指引和企業(yè)內部控制制度的基本依據。基本規(guī)范共七章五十條，各章分別是：總則、內部環(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督和附則。

(1)內部控制的目標?；疽?guī)范指出，內部控制是由企業(yè)董事會、監(jiān)事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制目標定位于五個方面，包括：合理保證企業(yè)經營管理合法合規(guī)、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業(yè)實現發(fā)展戰(zhàn)略。內部控制的目標定位，是在結合中國企業(yè)實際、比較其他國家和經濟體企業(yè)內控目標之后作出的科學選擇。(2)內部控制的原則?；疽?guī)范確立了企業(yè)建立并實施內部控制的五項基本原則：一是全面性原則，要求內部控制應當貫穿決策、執(zhí)行和監(jiān)督全過程，覆蓋企業(yè)及其所屬單位的各種業(yè)務和事項；二是重要性原則，要求內部控制應當重點關注重要業(yè)務事項和高風險領域，切實防范重大風險；三是制衡性原則，要求內部控制應當在治理結構、機構設置及權責分配、業(yè)務流程等方面形成相互制約、相互監(jiān)督，同時兼顧運營效率；四是適應性原則，要求內部控制應當與企業(yè)經營規(guī)模、業(yè)務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化加以調整；五是成本效益原則，要求內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。(3)內部控制的要素。基本規(guī)范確立了五要素的內控框架：第一，內部環(huán)境，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等，這是企業(yè)實施內部控制的重要基礎，表明企業(yè)實施內部控制，應先從治理結構等入手，現代企業(yè)如果沒有良好的治理結構，內部控制就會形同虛設。第二，風險評估，是指企業(yè)及時識別、系統(tǒng)分析經營活動中與實現內部控制目標相關的風險、合理確定風險應對策略的過程，這是企業(yè)實施內部控制的重要環(huán)節(jié)。第三，控制活動，是指企業(yè)根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內，這是企業(yè)實施內部控制的重要手段。第四，信息與溝通，是指企業(yè)應及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通，這是企業(yè)實施內部控制的重要條件。第五，內部監(jiān)督，是指企業(yè)應對內部控制建立與實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現內部控制缺陷，應當及時加以改進，這是企業(yè)實施內部控制的重要保證。2．應用指引應用指引在內控體系中居于主體地位，主要包括兩方面的內容：一是針對企業(yè)主要業(yè)務與事項的應用指引，基本涵蓋了組織架構、發(fā)展戰(zhàn)略、人力資源、社會責任、企業(yè)文化、資金活動、采購業(yè)務、資產管理、銷售業(yè)務、研究與開發(fā)、工程項目、擔保業(yè)務、業(yè)務外包、財務報告、全面預算、合同管理、內部信息傳遞、信息系統(tǒng)等，這些都是企業(yè)最為常見、帶有普遍性、迫切需要加強風險控制的業(yè)務環(huán)節(jié)和領域。二是針對特殊企業(yè)或者行業(yè)的應用指引，比如，商業(yè)銀行、保險公司、證券公司、信托公司、基金公司、期貨公司等金融類企業(yè)，由于其經營業(yè)務特殊，涉及金融風險，與經濟發(fā)展和金融安全關系重大，在內部控制方面，除遵循一般內部控制要求外，有必要規(guī)定特殊應用指引，構成應用指引的組成部分。3．評價指引評價指引是為企業(yè)管理層對本企業(yè)進行內部控制自我評價提供的指引和要求，包括評價內容和標準、評價程序和方法、評價報告的出具和披露等?；疽?guī)范規(guī)定，企業(yè)應當結合內部監(jiān)督情況，定期對內部控制的有效性進行自我評價，出具內部控制自我評價報告。內部控制自我評價的方式、范圍、程序和頻率，由企業(yè)根據經營業(yè)務調整、經營環(huán)境變化、業(yè)務發(fā)展狀況、實際風險水平等自行確定，但國家有關法律法規(guī)另有規(guī)定的除外。4．審計指引審計指引是會計師事務所執(zhí)行內部控制審計業(yè)務的執(zhí)業(yè)準則?；疽?guī)范要求，接受委托從事內部控制鑒證的會計師事務所，應當根據基本規(guī)范及其配套辦法和相關執(zhí)業(yè)準則，對企業(yè)內部控制的有效性進行審計，出具審計報告。負責內部控制咨詢的中介機構，不得同時為同一企業(yè)提供內部控制審計服務。需要強調的是，我國企業(yè)內部控制審計指引，不同于美國公眾公司會計監(jiān)管委員會(PCAOB)公布的第五號審計準則。美國內控審計的定位仍在于財務報告的真實性。就我國企業(yè)而言，這種定位失去了建立與實施內控體系的本質意義。內控審計的目標，應當與內部控制的目標相協(xié)調，財務報告真實性只是內控審計的目標之一，切實防范重大風險、促進企業(yè)實現發(fā)展戰(zhàn)略才是內控審計的根本出發(fā)點。5．企業(yè)內部控制制度我國內控規(guī)范體系總體而言仍屬于通用性框架體系。在具體實施中，企業(yè)的情況千差萬別，各種因素十分復雜，各企業(yè)還必須根據基本規(guī)范和配套指引，結合企業(yè)經營特點和管理要求，建立健全本企業(yè)的內部控制制度，只有這樣，才能把企業(yè)內控規(guī)范體系落到實處。第一章

總則總則既是《基本規(guī)范》的總說明，也是配套指引乃至整個內控規(guī)范體系的總要求?？倓t規(guī)定了企業(yè)內部控制規(guī)范體系的基本問題，包括制定與實施內部控制規(guī)范的意義、制定依據、適用范圍、內控目標、原則、要素、組織實施、監(jiān)督檢查，以及引入注冊會計師審計等制度安排。第一條

為了加強和規(guī)范企業(yè)內部控制，提高企業(yè)經營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展，維護社會主義市場經濟秩序和社會公眾利益，根據《中華人民共和國公司法》、《中華人民共和國證券法》、《中華人民共和國會計法》和其他有關法律法規(guī)，制定本規(guī)范?！痘疽?guī)范》第一條闡明了制定與實施內部控制規(guī)范的意義。一是加強和規(guī)范企業(yè)內部控制的需要。各類企業(yè)需要根據內控規(guī)范要求，對原有制度進行修改、完善和提升；構建企業(yè)內控制度和管控流程。二是有助于全面提升企業(yè)經營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展。在當前我國應對國際金融危機、加快轉變經濟發(fā)展方式的時代背景下，內控規(guī)范體系對于提升企業(yè)核心競爭力，促進企業(yè)在后金融危機時期可持續(xù)發(fā)展，具有特別重要的現實意義和深遠的歷史意義。三是有利于維護社會主義市場經濟秩序和社會公眾利益。調整產業(yè)結構，轉變發(fā)展方式，提升發(fā)展質量，維護市場經濟秩序和社會公眾利益，從企業(yè)做起至關重要。廣大企業(yè)也只有不斷強化內部控制，才能實現維護市場經濟秩序和社會公眾利益的目標。四、企業(yè)內部控制基本規(guī)范----講解第二條本規(guī)范適用于中華人民共和國境內設立的大中型企業(yè)。小企業(yè)和其他單位可以參照本規(guī)范建立與實施內部控制。大中型企業(yè)和小企業(yè)的企業(yè)劃分標準根據國家有關規(guī)定執(zhí)行。《基本規(guī)范》第二條明確規(guī)定，企業(yè)內部控制規(guī)范適用于中華人民共和國境內設立的大中型企業(yè)。首先是上市的大中型企業(yè)，包括境內外同時上市的公司和主板上市公司。具體實施時間要求為：自2011年1月1日起在境內外同時上市的公司施行，自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行；在此基礎上，擇機在中小板和創(chuàng)業(yè)板上市公司施行。對非上市公司的大中型企業(yè)，包括國有企業(yè)、國有控股企業(yè)和外商投資企業(yè)等，鼓勵提前執(zhí)行。小企業(yè)和其他單位可以參照企業(yè)內部控制規(guī)范建立與實施內部控制。對于其他單位包括行政事業(yè)單位和非營利組織，財政部將待企業(yè)內控規(guī)范體系建設與實施有序推開后，擇機推進非企業(yè)單位的內控規(guī)范研究制定工作。第三條本規(guī)范所稱內部控制，是由企業(yè)董事會、監(jiān)事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業(yè)經營管理合法合規(guī)、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業(yè)實現發(fā)展戰(zhàn)略。這一定義強調了企業(yè)領導者尤其是董事會、監(jiān)事會和經理層在建立與實施內部控制中的重要作用。如果企業(yè)領導者對于內部控制沒有足夠的認識和高度的重視，內部控制是難以有效實施的。其次，明確了內部控制是全體員工的共同責任。企業(yè)的各級管理層和全體員工都應當樹立現代管理理念，強化風險意識，以主人翁的姿態(tài)積極參與內部控制的建立與實施，并主動承擔相應的責任，而不是被動地遵守內部控制相關規(guī)定。最后，指明了內部控制是一個過程。內部控制是對企業(yè)生產經營過程的控制，也是對實現企業(yè)發(fā)展目標過程的控制。同時，內部控制又是一個不斷優(yōu)化完善的過程，只有起點，沒有終點，必須堅持不懈、持之以恒地持續(xù)改進。第二款規(guī)定了內部控制的目標為五個方面。一是合理保證企業(yè)經營管理合法合規(guī)；二是維護資產安全；三是保證財務報告及相關信息真實完整；四是提高經營效率和效果；五是促進企業(yè)實現發(fā)展戰(zhàn)略。第四條企業(yè)建立與實施內部控制，應當遵循下列原則：（一）全面性原則。內部控制應當貫穿決策、執(zhí)行和監(jiān)督全過程，覆蓋企業(yè)及其所屬單位的各種業(yè)務和事項。（二）重要性原則。內部控制應當在全面控制的基礎上，關注重要業(yè)務事項和高風險領域。（三）制衡性原則。內部控制應當在治理結構、機構設置及權責分配、業(yè)務流程等方面形成相互制約、相互監(jiān)督，同時兼顧運營效率。（四）適應性原則。內部控制應當與企業(yè)經營規(guī)模、業(yè)務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調整。（五）成本效益原則。內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。第五條企業(yè)建立與實施有效的內部控制，應當包括下列要素：（一）內部環(huán)境。內部環(huán)境是企業(yè)實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等。（二）風險評估。風險評估是企業(yè)及時識別、系統(tǒng)分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。（三）控制活動。控制活動是企業(yè)根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。（四）信息與溝通。信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通。（五）內部監(jiān)督。內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現內部控制缺陷，應當及時加以改進。第六條企業(yè)應當根據有關法律法規(guī)、本規(guī)范及其配套辦法，制定本企業(yè)的內部控制制度并組織實施。企業(yè)主要負責人應當重視內控工作，加強組織領導，成立工作組，組織專門人員，制定工作方案，結合本企業(yè)實際情況，對企業(yè)內控制度和管控流程進行全面梳理優(yōu)化。第七條企業(yè)應當運用信息技術加強內部控制，建立與經營管理相適應的信息系統(tǒng)，促進內部控制流程與信息系統(tǒng)的有機結合，實現對業(yè)務和事項的自動控制，減少或消除人為操縱因素。根據修訂后的企業(yè)內控制度和管控流程，組織軟件專業(yè)人員對現有的信息系統(tǒng)進行改造升級，將優(yōu)化后的流程固化到信息系統(tǒng)中，促進內部控制流程與信息系統(tǒng)的有機結合，從而實現對業(yè)務和事項的自動控制，減少或消除人為操縱因素。第八條企業(yè)應當建立內部控制實施的激勵約束機制，將各責任單位和全體員工實施內部控制的情況納入績效考評體系，促進內部控制的有效實施。第九條國務院有關部門可以根據法律法規(guī)、本規(guī)范及其配套辦法，明確貫徹實施本規(guī)范的具體要求，對企業(yè)建立與實施內部控制的情況進行監(jiān)督檢查。第十條接受企業(yè)委托從事內部控制審計的會計師事務所，應當根據本規(guī)范及其配套辦法和相關執(zhí)業(yè)準則，對企業(yè)內部控制的有效性進行審計，出具審計報告。會計師事務所及其簽字的從業(yè)人員應當對發(fā)表的內部控制審計意見負責。為企業(yè)內部控制提供咨詢的會計師事務所，不得同時為同一企業(yè)提供內部控制審計服務。第二章內部環(huán)境第十一條企業(yè)應當根據國家有關法律法規(guī)和企業(yè)章程，建立規(guī)范的公司治理結構和議事規(guī)則，明確決策、執(zhí)行、監(jiān)督等方面的職責權限，形成科學有效的職責分工和制衡機制。股東（大）會享有法律法規(guī)和企業(yè)章程規(guī)定的合法權利，依法行使企業(yè)經營方針、籌資、投資、利潤分配等重大事項的表決權。董事會對股東（大）會負責，依法行使企業(yè)的經營決策權。監(jiān)事會對股東（大）會負責，監(jiān)督企業(yè)董事、經理和其他高級管理人員依法履行職責。經理層負責組織實施股東（大）會、董事會決議事項，主持企業(yè)的生產經營管理工作。從內部控制角度來講，決策權和經營權相分離，體現了內部控制理念。董事會和經理層應當厘清定位，履行各自相應的職責。董事會應更多地從戰(zhàn)略角度對企業(yè)發(fā)展的重大問題進行決策，經理層應落實董事會決議，更多地抓好決策執(zhí)行。第十四條企業(yè)應當結合業(yè)務特點和內部控制要求設置內部機構，明確職責權限，將權利與責任落實到各責任單位。企業(yè)應當通過編制內部管理手冊，使全體員工掌握內部機構設置、崗位職責、業(yè)務流程等情況，明確權責分配，正確行使職權。第十五條企業(yè)應當加強內部審計工作，保證內部審計機構設置、人員配備和工作的獨立性。內部審計機構應當結合內部審計監(jiān)督，對內部控制的有效性進行監(jiān)督檢查。內部審計機構對監(jiān)督檢查中發(fā)現的內部控制缺陷，應當按照企業(yè)內部審計工作程序進行報告；對監(jiān)督檢查中發(fā)現的內部控制重大缺陷，有權直接向董事會及其審計委員會、監(jiān)事會報告。鑒于治理結構、機構設置及權責分配問題在內部控制建立與實施方面的基礎性作用，財政部等五部委在配套指引中單獨制定了《企業(yè)內部控制應用指引第l號——組織架構》，明確了組織架構方面的主要風險點及相關內部控制措施。

第十六條企業(yè)應當制定和實施有利于企業(yè)可持續(xù)發(fā)展的人力資源政策。人力資源政策應當包括下列內容：（一）員工的聘用、培訓、辭退與辭職。（二）員工的薪酬、考核、晉升與獎懲。（三）關鍵崗位員工的強制休假制度和定期崗位輪換制度。（四）掌握國家秘密或重要商業(yè)秘密的員工離崗的限制性規(guī)定。（五）有關人力資源管理的其他政策。

第十七條企業(yè)應當將職業(yè)道德修養(yǎng)和專業(yè)勝任能力作為選拔和聘用員工的重要標準，切實加強員工培訓和繼續(xù)教育，不斷提升員工素質。人力資源作為內部環(huán)境的重要組成部分，是指企業(yè)在建立和完善組織架構的基礎上，如何充分發(fā)揮“人”的作用。“人”是企業(yè)中最重要最活躍的因素，是企業(yè)發(fā)展的源泉和動力，也是某些風險的制造者和內部控制的實施者。再好的制度，也需要“人”去執(zhí)行。好的制度必須配備結構合理的優(yōu)秀人力資源?！痘疽?guī)范》第十六條和第十七條規(guī)定，企業(yè)應當制定和實施有利于企業(yè)可持續(xù)發(fā)展的人力資源政策，明確了人力資源政策的主要內容，強調要將職業(yè)道德修養(yǎng)和專業(yè)勝任能力作為選拔和聘用員工的重要標準，切實加強員工培訓和繼續(xù)教育，不斷提升員工素質。通常情況下，人力資源管理最應關注的是留住、用好“人才”，首先是管理團隊，其次是專業(yè)技術團隊，然后是企業(yè)全體員工。因此，在配套指引中單獨制定了《企業(yè)內部控制應用指引第3號——人力資源》，全面論述了人力資源在企業(yè)發(fā)展中的重要作用，提出了人力資源管理中的主要風險點及控制措施。第十八條企業(yè)應當加強文化建設，培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業(yè)、開拓創(chuàng)新和團隊協(xié)作精神，樹立現代管理理念，強化風險意識。董事、監(jiān)事、經理及其他高級管理人員應當在企業(yè)文化建設中發(fā)揮主導作用。企業(yè)員工應當遵守員工行為守則，認真履行崗位職責。第十九條企業(yè)應當加強法制教育，增強董事、監(jiān)事、經理及其他高級管理人員和員工的法制觀念，嚴格依法決策、依法辦事、依法監(jiān)督，建立健全法律顧問制度和重大法律糾紛案件備案制度。企業(yè)文化作為軟實力，其在企業(yè)經營發(fā)展中的深層次影響和決定性作用日益顯現出來?！痘疽?guī)范》第十八條和第十九條對企業(yè)文化建設提出了基本要求，規(guī)定企業(yè)應當加強文化建設，培育積極向上的價值觀和社會責任感，倡導團隊協(xié)作精神，樹立現代管理理念，強化風險意識；同時，強調董事、監(jiān)事、經理及其他高級管理人員應當在企業(yè)文化建設中發(fā)揮主導作用，強調高管人員應增強法律觀念和意識，嚴格依法決策、依法辦事、依法監(jiān)督。因此，在企業(yè)內部控制配套指引中單獨制定了《企業(yè)內部控制應用指引第5號——企業(yè)文化》，明確了企業(yè)文化建設的風險點及主要管控措施。第三章風險評估風險評估由目標設定、風險識別、風險分析和風險應對構成。風險評估是內部控制的重要環(huán)節(jié)，在企業(yè)生產經營過程中，只有進行科學的風險評估，自覺地將風險控制在可承受范圍之內，才能實現企業(yè)的可持續(xù)發(fā)展。第二十條企業(yè)應當根據設定的控制目標，全面系統(tǒng)持續(xù)地收集相關信息，結合實際情況，及時進行風險評估。第二十一條企業(yè)開展風險評估，應當準確識別與實現控制目標相關的內部風險和外部風險，確定相應的風險承受度。風險承受度是企業(yè)能夠承擔的風險限度，包括整體風險承受能力和業(yè)務層面的可接受風險水平。實現企業(yè)經營的合法合規(guī)，需要進行風險評估；實現資產安全目標，需要進行風險評估；實現財務報告及相關信息真實完整，需要進行風險評估；實現提高經營效率和效果，需要進行風險評估；實現企業(yè)發(fā)展戰(zhàn)略，需要進行風險評估。所以風險評估首先要設定目標。目標設定后，要根據既定目標有計劃地全面、系統(tǒng)、持續(xù)地收集內外部相關信息。企業(yè)可以利用信息化手段，加大信息收集量，提高信息的準確性和及時性，以使企業(yè)結合實際情況，及時進行風險評估。

第二十二條企業(yè)識別內部風險，應當關注下列因素：（一）董事、監(jiān)事、經理及其他高級管理人員的職業(yè)操守、員工專業(yè)勝任能力等人力資源因素。（二）組織機構、經營方式、資產管理、業(yè)務流程等管理因素。（三）研究開發(fā)、技術投入、信息技術運用等自主創(chuàng)新因素。（四）財務狀況、經營成果、現金流量等財務因素。（五）營運安全、員工健康、環(huán)境保護等安全環(huán)保因素。（六）其他有關內部風險因素。第二十三條企業(yè)識別外部風險，應當關注下列因素：（一）經濟形勢、產業(yè)政策、融資環(huán)境、市場競爭、資源供給等經濟因素。（二）法律法規(guī)、監(jiān)管要求等法律因素。（三）安全穩(wěn)定、文化傳統(tǒng)、社會信用、教育水平、消費者行為等社會因素。（四）技術進步、工藝改進等科學技術因素。（五）自然災害、環(huán)境狀況等自然環(huán)境因素。（六）其他有關外部風險因素。

風險識別是在目標設定的基礎上，密切關注內外部主要風險因素?！痘疽?guī)范》第二十二條和第二十三條列示了企業(yè)內外部各種風險因素。配套指引中的系列應用指引列出了企業(yè)至少應當關注的主要風險，這些風險是在企業(yè)內部控制實施過程中，通過日?；蚨ㄆ诘脑u估程序與方法加以識別。這些風險因素具體化為各項應用指引中的主要風險。在企業(yè)生產經營過程中，應將各類風險進行分類整理，形成企業(yè)的風險清單。第二十四條企業(yè)應當采用定性與定量相結合的方法，按照風險發(fā)生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優(yōu)先控制的風險。企業(yè)進行風險分析，應當充分吸收專業(yè)人員，組成風險分析團隊，按照嚴格規(guī)范的程序開展工作，確保風險分析結果的準確性。風險分析是指在風險識別的基礎上，采用定性與定量相結合的方法，按照風險發(fā)生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優(yōu)先控制的風險。企業(yè)進行風險分析，應當充分吸收專業(yè)人員，組成風險分析團隊，按照嚴格規(guī)范的程序開展工作，確保風險分析結果的準確性。風險的定性分析，是指通過觀察與分析，借助于經驗和判斷對風險進行分析的方法。定性分析一般不需要運用大量的統(tǒng)計資料，使用起來簡單易行。該方法主要是通過問卷、面談及研討會等形式進行風險分析，依靠專業(yè)人員的經驗和直覺，或者行業(yè)標準及慣例等，對風險相關要素的大小或高低程度進行定性分級。在不需要進行量化時，或者進行定量分析需要的數據無法取得，以及出于成本效益原則考慮采用定量分析方法不經濟時，一般應采用定性分析。風險的定量分析，是指運用一些數據分析模型，將有關風險及其影響予以量化，在此基礎上判斷風險重要性程度的方法，如敏感度分析法和盈虧平衡分析法等。定量分析需要對構成風險的各個要素和潛在損失程度賦予數值或貨幣金額，使風險分析的整個過程和結果均被量化。定量分析的方法通常能夠提供更高的精確度，往往應用在復雜的經濟活動分析中，是對定性分析方法的補充。

第二十五條企業(yè)應當根據風險分析的結果，結合風險承受度，權衡風險與收益，確定風險應對策略。企業(yè)應當合理分析、準確掌握董事、經理及其他高級管理人員、關鍵崗位員工的風險偏好，采取適當的控制措施，避免因個人風險偏好給企業(yè)經營帶來重大損失。第二十六條企業(yè)應當綜合運用風險規(guī)避、風險降低、風險分擔和風險承受等風險應對策略，實現對風險的有效控制。風險規(guī)避是企業(yè)對超出風險承受度的風險，通過放棄或者停止與該風險相關的業(yè)務活動以避免和減輕損失的策略。風險降低是企業(yè)在權衡成本效益之后，準備采取適當的控制措施降低風險或者減輕損失，將風險控制在風險承受度之內的策略。風險分擔是企業(yè)準備借助他人力量，采取業(yè)務分包、購買保險等方式和適當的控制措施，將風險控制在風險承受度之內的策略。風險承受是企業(yè)對風險承受度之內的風險，在權衡成本效益之后，不準備采取控制措施降低風險或者減輕損失的策略。第二十七條企業(yè)應當結合不同發(fā)展階段和業(yè)務拓展情況，持續(xù)收集與風險變化相關的信息，進行風險識別和風險分析，及時調整風險應對策略。

風險應對是指風險應對策略的選擇。根據《基本規(guī)范》第二十五條的規(guī)定，企業(yè)應當根據風險分析的結果，結合風險承受度，權衡風險與收益，確定風險應對策略。風險應對策略包括風險規(guī)避、風險降低、風險分擔和風險承受。以目標設定為基礎，企業(yè)在進行風險識別、風險分析之后，通過實施風險應對策略，排除了風險規(guī)避、風險分擔和風險承受，凸顯了風險降低，需要采取相應的措施，將風險控制在可承受范圍之內。配套指引中的系列應用指引明確企業(yè)至少應當關注的風險點，并經過風險識別、分析之后，結合應對策略，重點對風險降低作出了規(guī)定，即系列應用指引提出的各項控制措施。風險評估廣泛存在于企業(yè)經營管理活動中，貫穿并體現于每一項應用指引，從而有效地解決了風險評估的操作性問題。因此，沒有必要單獨規(guī)定風險評估應用指引。第四章控制活動第二十八條企業(yè)應當結合風險評估結果，通過手工控制與自動控制、預防性控制與發(fā)現性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內?？刂拼胧┮话惆ǎ翰幌嗳萋殑辗蛛x控制、授權審批控制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。

控制活動是指結合具體業(yè)務和事項，運用相應的控制政策和程序，或稱控制手段實施控制?！痘疽?guī)范》第二十八條規(guī)定，企業(yè)應當結合風險評估結果，通過手工控制與自動控制、預防性控制與發(fā)現性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內?？刂拼胧┮话惆ǎ翰幌嗳萋殑辗蛛x控制、授權審批控制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分析控制、績效考評控制等。第二十九條不相容職務分離控制要求企業(yè)全面系統(tǒng)地分析、梳理業(yè)務流程中所涉及的不相容職務，實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制。不相容職務是指那些不能由一個部門或人員兼任，否則可能弄虛作假或易于掩蓋其作弊行為的職務。不相容職務分離措施的理念基礎是兩個或兩個以上的部門或人員無意識地犯有同樣錯誤的可能性很小，而有意識地合伙作弊的可能性低于一個部門或人員舞弊的可能性。企業(yè)應首先根據各項經濟業(yè)務與事項的流程和特點，系統(tǒng)完整地分析、梳理該經濟業(yè)務與事項涉及的不相容職務，并結合崗位職責分工采取分離措施?？梢越柚嬎銠C信息技術系統(tǒng)，通過權限設定等方式實現不相容職務的相互分離。企業(yè)的經濟業(yè)務活動通?？梢詣澐譃樯暾?、審批、執(zhí)行、記錄四個步驟。如果每一個步驟都由相對獨立的人員或部門分別實施或執(zhí)行，就能夠保證不相容職務的分離。一般應當加以分離的不相容職務有：授權審批職務與執(zhí)行業(yè)務職務、執(zhí)行業(yè)務職務與監(jiān)督審核職務、執(zhí)行業(yè)務職務與相應的記錄職務、財物保管職務與相應的記錄職務、授權批準職務與監(jiān)督檢查職務等。做到不相容職務的分離，一是每類經濟業(yè)務的發(fā)生與完成，不論是簡單還是復雜，必須經過兩個或兩個以上的部門或人員，并保證業(yè)務循環(huán)中的有關部門和有關人員之間進行檢查與核對；二是權力與職責應當明確地授予具體的部門和人員；三是對于重要權力的行使必須接受定期獨立的檢查等。在實務中，如何判斷什么樣的職務必須分離，分離的度如何把握，應當要由具有豐富經驗的專業(yè)人員從發(fā)生錯誤或舞弊的可能性及其影響程度來綜合判斷。第三十條授權審批控制要求企業(yè)根據常規(guī)授權和特別授權的規(guī)定，明確各崗位辦理業(yè)務和事項的權限范圍、審批程序和相應責任。企業(yè)應當編制常規(guī)授權的權限指引，規(guī)范特別授權的范圍、權限、程序和責任，嚴格控制特別授權。常規(guī)授權是指企業(yè)在日常經營管理活動中按照既定的職責和程序進行的授權。特別授權是指企業(yè)在特殊情況、特定條件下進行的授權。企業(yè)各級管理人員應當在授權范圍內行使職權和承擔責任。企業(yè)對于重大的業(yè)務和事項，應當實行集體決策審批或者聯簽制度，任何個人不得單獨進行決策或者擅自改變集體決策。授權審批控制要求企業(yè)各級人員必須經過適當的授權才能執(zhí)行有關經濟業(yè)務，未經授權和批準不得處理有關業(yè)務。授權審批控制應當實現：一是企業(yè)所有人員未經授權，不能行使相應權力；二是企業(yè)的所有業(yè)務未經授權不能執(zhí)行；三是對于審批人超越授權范圍的審批業(yè)務，經辦人員有權拒絕辦理，并向上級授權部門報告。1．授權批準的形式按授權批準的形式，可以分為常規(guī)授權和特別授權。(1)常規(guī)授權是對辦理常規(guī)業(yè)務時權利、條件和責任的規(guī)定，是對企業(yè)日常經營管理活動中按照既定的職責和程序進行的授權。一般表現為由管理層制定整個組織應當遵循的相關制度，內部員工在日常業(yè)務處理過程中，按照規(guī)定的權限范圍和崗位職責自行辦理或執(zhí)行各項業(yè)務。比如主管采購的副經理負責審批1000萬元以上的大額采購、采購部門負責人負責審批500萬～1000萬元的采購，等等。企業(yè)對于常規(guī)授權可以通過編制崗位職責手冊、權限指引等方式予以公布，提高權限的透明度，加強對權限行使的監(jiān)督和管理。(2)特別授權是指企業(yè)在特殊情況、特定條件下進行的授權，通常是臨時性的，如在洽談投資、收購兼并、對外擔保等重要經濟業(yè)務中需要臨時作出某項承諾，以及超過常規(guī)授權限制的交易，都需要特別授權。2．授權審批控制的內容授權批準控制的內容一般包括：一是授權批準的范圍。授權批準的范圍通常包括企業(yè)所有常規(guī)性業(yè)務活動，從業(yè)務的預算編制、執(zhí)行、業(yè)績報告以及事后的考核等，均應授權相關崗位人員辦理。二是授權批準的層次。企業(yè)應當根據經濟業(yè)務的重要性和金額大小確定不同的授權批準層次。授權批準在層次上應當考慮連續(xù)性，要將可能發(fā)生的情況全面納入授權批準體系。同時，應當根據具體情況的變化，不斷對有關制度進行修正，適當調整授權層次。三是授權批準的責任。應當明確被授權者在履行權利時應當對哪些方面負責，避免授權責任不清，出現問題后無法追究責任的情況發(fā)生。四是授權批準的程序，即規(guī)定每一類經濟業(yè)務的審批程序，以便按照程序辦理審批，避免越級審批或違規(guī)審批。如對于貨幣資金業(yè)務，企業(yè)通常應當建立的授權審批程序包括：支付申請、支付審批、支付復核和辦理支付等。3．授權審批控制的實施任何授權都應當以法律、法規(guī)和企業(yè)規(guī)章制度為依據，一方面需要避免權限過于集中，即所謂的“一支筆’’制度，另一方面也要避免盲目授權，使有關人員逃避管理責任。企業(yè)的各項授權應予書面化，并通知到所有流程中的相關人員，以確保業(yè)務按照授權執(zhí)行，避免在企業(yè)內部由于個別人員比較強勢而導致授權混亂或“有法不依”的情況。授權一旦確定后，企業(yè)各級管理人員應當在授權范圍內行使職權和承擔責任。

第三十一條會計系統(tǒng)控制要求企業(yè)嚴格執(zhí)行國家統(tǒng)一的會計準則制度，加強會計基礎工作，明確會計憑證、會計賬簿和財務會計報告的處理程序，保證會計資料真實完整。企業(yè)應當依法設置會計機構，配備會計從業(yè)人員。從事會計工作的人員，必須取得會計從業(yè)資格證書。會計機構負責人應當具備會計師以上專業(yè)技術職務資格。大中型企業(yè)應當設置總會計師。設置總會計師的企業(yè)，不得設置與其職權重疊的副職。會計系統(tǒng)控制主要是對企業(yè)發(fā)生的經濟業(yè)務事項進行確認、計量和報告過程所實施的控制。從企業(yè)日常會計核算工作的內容來看，主要包括會計機構的設置、填制會計憑證的控制、合理設置和登記會計賬簿的控制以及依法編制財務報告的控制等。財務報告作為會計信息系統(tǒng)運行的最后一個環(huán)節(jié)，擔負著滿足會計信息使用者需要的重任。財務報告及相關信息真實完整是內部控制的重要目標之一，因此，在配套指引中專門針對財務報告制定了應用指引，指出財務報告環(huán)節(jié)的風險、明確財務會計報告的處理程序及在資產清查、結賬、財務報告編制方案、對外提供及分析等環(huán)節(jié)的控制措施，保證會計資料真實完整。在會計機構內部應分別設置會計、出納，根據憑證傳遞和處理程序、賬簿登記和報表編制的流程區(qū)分不相容崗位，確保原始憑證與記賬憑證、會計憑證與賬簿、賬簿與報表之間的核對?？倳嫀煈M織領導本單位的財務管理、成本管理、預算管理、會計核算和會計監(jiān)督等方面的工作，參與本單位重要經濟問題的分析和決策，總會計師還應具體組織本單位執(zhí)行國家有關的財經法律、法規(guī)等。第三十二條財產保護控制要求企業(yè)建立財產日常管理制度和定期清查制度，采取財產記錄、實物保管、定期盤點、賬實核對等措施，確保財產安全。企業(yè)應當嚴格限制未經授權的人員接觸和處置財產。

財產記錄控制是指應當妥善保管涉及資產的各種文件資料，避免記錄受損、被盜、被毀。首先，應嚴格限制接近記錄的人員，以保持保管、批準和記錄職務分離的有效性。其次，各種記錄應妥善保存，盡可能減少記錄受損、被盜或被毀的可能性。最后，某些重要資料，應當留存?zhèn)浞萦涗?，以便在遭受意外損失或毀壞時重新恢復。實物保管控制主要是限制接近控制和財產保險控制。其中，限制接近即嚴格限制未經授權人員對資產的接觸，只有經過授權批準的人員才能接觸資產，同時還包括對授權使用和處置資產的文件加以限制。主要包括：對貨幣資金、有價證券、存貨等變現能力較強的資產，限制無關人員的直接接觸，保證存放的安全；限制接近未使用票據并按規(guī)定正確注銷已使用的票據；限制接近計算機，終端代碼和數據庫等。財產保險控制主要是運用財產投保(如火災險、盜竊險等)，降低財產運行風險，確保財產安全。定期盤點是指定期對實物資產進行盤點，并將盤點結果與會計記錄進行比較。企業(yè)應當建立盤點制度，明確盤點流程和責任人，確保財產安全。定期盤點控制一般包括：

(1)定期與會計記錄核對。實物資產盤點與會計記錄核對一致在很大程度上保證了資產的安全。盤點流程通常應先盤點實物，再核對賬冊，以防止盤盈資產的流失。典型的盤點和復核方法有：定期審核現金記錄、定期核對銀行存款余額調節(jié)表、債權債務明細和與對方單位的對賬記錄、定期盤點票據、復核永續(xù)盤存記錄與定期清點結果等。

(2)進行差異調查和調整。實物盤點結果與有關記錄之間的差異應由獨立于保管和記錄職務的人員進行調查。盤點結果如與會計記錄不一致，應通過詳細調查分析原因、查明責任，并根據資產性質、差異數額及產生原因等，采取保護性控制。第三十三條預算控制要求企業(yè)實施全面預