內部控制基本規范大全11篇

緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇內部控制基本規范范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

2008年6月28日,財政部、證監會、審計署、銀監會、保監會在北京聯合召開企業內部控制基本規范會,會議了《企業內部控制基本規范》(以下簡稱《基本規范》),自2009年7月1日起先在上市公司范圍內施行,鼓勵非上市的其他大中型企業執行。

《基本規范》在企業內控體系中處于最高層次,起統馭作用,描繪了企業建立與實施內控體系必須建立的框架結構,規定了內部控制的定義、目標、原則、要素等基本要求,是制定應用指引、評價指引、鑒證指引和企業內部控制制度的基本依據。《基本規范》的頒布實施,必將對我國企業及資本市場的發展產生深遠影響。

內控是為了企業的生存發展而存在的,是促成企業目標實現的一種重要方法和手段,內部控制的目的是在合理的范圍內保證企業基本目標的實現。盈利是企業生存和發展的基礎,如果不能盈利,就連自身的生存都難保證,其他目標更無從談起。企業要想實現盈利,就必須控制風險,必須建立有效的內控體系。企業要改善現有的管理水平,就必須借助于內控體系,完善的內控體系是促進管理落實的手段,可以促進企業實現發展目標。

同時,健全有效的內部控制,有利于提高財務信息質量,提升財務報告的有效性,這對于保證投資者對高質量財務信息的需求,體現資本市場“公開、公平、公正”的原則,保護投資者合法權益具有至關重要的意義;有利于上市公司遵守國家法律、法規、規章及其他相關規定,堵塞管理漏洞,保障公司資產的安全,有效提高公司風險防范能力,減少乃至避免舞弊事件的發生;有利于提高經營效率和效益,提升企業經營管理水平、盈利能力和持續發展能力,增強公司競爭力,從而提高上市公司質量,最大限度地回報股東和社會。

面對國際市場日趨激烈的經濟競爭環境,我國企業要“走出去”,進入國際產業和資本市場投資,必須苦練內功、強化內控、防范風險,這樣才能立于不敗之地。可以說,企業內控體系的建立與實施,為我國企業“走出去”提供了“安全網”和“防火墻”。

實施《基本規范》對企業提出了諸多要求。

在以人為本的現代化企業管理中,員工的地位日趨重要,員工也越來越看重工作的環境,特別是軟環境,比如:企業文化、管理理念、管理層是否關注員工的工作和日常生活以及員工的職業生涯發展等。另一方面,制度再周全也不可能凡事都規范到位,制度可以規定員工出工,但無法規定員工出力。因此,企業管理控制的核心是企業中的人及活動,只有提高了人的主觀能動性,才能加強內部控制實施效果。

企業文化作為一種無形的精神力量與源泉,影響著企業員工的思維方式和行為活動。優秀的企業文化可以促進企業發展,防止企業衰敗;不良的企業文化也可能阻礙企業發展,甚至導致企業倒閉。因此,企業必須培養自身的優良文化,將企業文化與內控制度的建立有機的結合起來,從而更好地推動企業發展。

職業道德屬于非法律性質的道德范疇,不履行職業道德并不一定違法,但是職業人如不履行職業道德,必將遭到淘汰。公司應提供職業道德方面的指導,使所有員工在日常或特定的環境下能保持正常的判斷;制定公司的行為準則,并傳達給全體員工,將員工不誠實和不講道德標準的動機與機會降到最低。職業道德有許多范疇,不同崗位的人員職業道德不一定相同,《國際會計職業道德準則》中對會計從業人員提出8條準則,內容包括:廉正、客觀、獨立、保密、技術標準、業務能力、工作勝任、道德自律。我國《會計法》第39條也規定會計人員應當遵守職業道德,提高業務素質。提高員工的職業道德特別是財務人員的職業道德將有助于企業內控制度的建立與實施。

企業內部控制體系的構建是一項重大而復雜的系統工程,在這個過程中我們要牢牢把握住正確的發展方向,實施過程中應注意以下幾方面。

1.立足國情、符合實際

內部控制構建的基本前提是要從我國實際國情出發,符合我國法制意識、制度基礎、風險理念、經營風格等方面特點,扎根于我國經濟、社會、法律、文化環境和企業實踐。我國在建立完善社會主義市場經濟體制過程中,形成了有別于資本主義市場經濟的成熟經驗和做法。因此,我國的內部控制體系的建設應當更多地消化總結自身的成功經驗,與國家有關法律法規相協調,與國家經濟發展戰略相協調,與企業經營管理實踐相協調。只有做到立足國情,符合實際才能具有強大的生命力,才能發揮應有的積極作用。

2.把握方向、注意動態

篇（2）

2008年6月28日,財政部、證監會、審計署、銀監會、保監會聯合了我國首部《企業內部控制基本規范》(以下簡稱基本規范)。基本規范自2010年1月1日起首先在上市公司范圍內實施,鼓勵非上市的其他大中型企業執行。這意味著中國企業內部控制規范體系建設正在向國際標準靠攏。

這套適用于中國企業的內部控制體系,其基本規范借鑒了COSO(The Committee of Sponsoring Organization)報告五要素框架和風險管理八要素框架;具體范圍以財務報告內部控制為主線,對與企業財務報表項目相關的、可能會對財務報告真實可靠性產生較大影響的經濟業務事項以及與財務報表編報相關的業務活動提出具體的控制規范,并對為實現有效的財務報告內部控制的事前、事中和事后制度支持提出控制要求。本文從IT內部控制與IT風險管理的角度,闡述企業IT控制與會計信息系統內部控制之間的關系。

一、會計信息系統內部控制制度包含的五要素框架

美國COSO了關于內部控制的概念界定和評價內部控制系統的指導性框架的報告,這一報告被國際社會公認為可接受的內部控制的權威性報告,對我國會計信息系統的內部控制制度的建立具有重要的參考價值。COSO報告認為內部控制系統包括5個組成要素:控制環境、風險評估、控制活動、信息與溝通、監控。相應,會計信息系統內部控制框架也對應于企業內部控制的五要素框架。因此,對會計信息系統內部控制制度的探討也應從這5個方面進行。

(一)內部環境

內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境在企業IT領域的體現是IT的內部控制環境,主要包括IT治理架構、IT組織與職責,IT決策機制,IT合規與IT審計等。在IT環境下,因為企業內部管理結構扁平化,使得內部控制的組織結構發生改變。這要求內部控制的方式與管理手段隨之改變。IT經濟引導著企業組織從機械式向有機式并最終向虛擬組織發展演變,要求企業的領導階層學會在一個流動和動態的環境中發現內聚力和構造組織,既要有創新和發展,又能在不斷磨合中加強內部控制和向心力。IT改變企業的架構、企業文化,并影響各成員控制意識,這要求管理層樹立信息意識,更新控制觀念。

(二)風險評估

風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素并采取應對策略的過程,是實施內部控制的重要環節,也是COSO內部控制整體框架的獨特之處。IT手段的不斷應用,給企業帶來競爭優勢的同時也帶來了風險,在IT環境下,雖然企業的整體目標沒有改變,但是經濟、產業及管理的外部環境與內部因素都發生了變化。伴隨業務流程的改變,系統的開發性、信息的分散性、數據的共享性,使系統從以往封閉集中狀態走向開放,給會計信息系統帶來了風險。這些風險構成了內部控制的新內容,擴大了會計信息系統內部控制的范圍,必須有效利用IT作為控制風險的工具。應樹立信息意識,更新控制觀念,改變思維定式,有效利用IT為企業服務。把IT作為防范風險的工具,與業務活動有效結合起來,建立一個控制良好的電子數據處理系統,保證企業業務處理活動嚴格按商業規則進行。

(三)控制措施

控制措施是根據風險評估結果、結合風險應對策略所采取的確保企業內部控制目標得以實現的方法與手段,是實施內部控制的具體方式,主要包括職責分工控制、授權控制、績效評估控制、財產保護控制、會計系統控制、內部報告控制、信息技術控制等。IT的廣泛應用,增強了控制手段的靈活性、高效性,加強了內部控制的預防、檢查與糾正的功能,經濟有效地實現內部控制的目標。IT環境下的會計信息系統控制的重點由對人的控制為主轉變為對人、機共同控制為主,控制程序與計算機處理相協調適應。隨著計算機使用范圍的擴大,利用計算機進行貪污、舞弊、詐騙等犯罪活動有所增加。因此,也增加了IT環境下內部控制的難度與復雜性。

(四)信息與溝通

信息與溝通是及時、準確、完整地收集與企業經營管理相關的各種信息,并使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。IT銜接企業各職能部門實現了會計和業務的一體化處理,會計核算從事后的靜態核算轉變為事中的動態控制,信息需求者可以獲取實時信息,使得工作在空間和時間上的接近不再是至關重要的問題。內部控制由順序化向并行化發展,企業的設計、制造、銷售、會計等人員并肩工作,共同控制企業的物流、資金流和信息流。

(五)監督檢查

監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告并做出相應處理的過程,是實施內部控制的重要保證。在IT環境下,一些內部控制被計算機程序化并嵌入在計算機應用系統內,因此內部控制具有人工控制與程序控制相結合的特點。這些程序化的內部控制的有效性取決于應用程序,如果程序發生差錯或計算機感染病毒,由于人們對計算機系統的依賴性、麻痹大意及程序運行的重復性,使得失效控制長期不被發現,甚至導致系統在特定方面發生錯誤或違規行為的可能性較大。所以,在IT環境下,注意對內部控制的監督,由適當的人員,在適當的時候,及時評估控制的設計和運作情況。

二、建立健全會計信息系統內部控制制度的建議

鑒于會計信息系統的特點,借助COSO框架,建立會計信息系統內部控制制度應考慮如下因素:

(一)完善企業內部控制環境

1、組織結構調整。信息技術的引入使管理幅度增大、層次減少,高聳型的組織結構逐漸趨于扁平。同時,網絡使內、外部人員進行更多的溝通,內部控制由命令與控制向集中與協調轉變。因此,必須進行組織結構調整才能更好地進行內部控制。企業應通過組織結構調整、建立恰當的組織機構和職責分工制度,并通過部門設置、人員分工、崗位職責的制定、權限的劃分等形式進行控制,從而達到相互牽制、相互制約、防止或減少舞弊發生的目的。應設立會計崗位和系統管理崗位。會計崗位負責基本的核算及檔案管理等工作;系統管理崗位負責會計信息系統的操作、管理、維護等工作。崗位的設置應遵循不相容職務分離的原則,使不同崗位之間相互監督,相互制約,以達到控制的目的。

2、培養管理人員的內部控制觀念和信息觀念。管理者的觀念在很大程度上決定了企業的內部控制制度能否順利實施,也大大影響著內部控制的效率和效果。在會計信息化條件下,應該注重培養管理人員的內控觀念和信息觀念,理解企業信息化建設、內部控制和企業發展的關系。隨著企業流程重組和組織結構變革,管理人員必須更新觀念,有效實施內部控制制度,注重管理實效,對企業進行現代化管理。

3、加強董事會的建設,發揮董事會的作用和職能。企業應當以董事會作為內部控制系統的核心,加強董事會建設,發揮董事會的作用和職能,完全履行其監控、引導和監督的責任,消除內部人控制現象,完善內部控制環境,保證內部控制的有效運行。

(二)正確地進行風險評估和風險分析

會計信息化后,由于會計信息系統自身的特點,增加了會計工作的風險。主要包括:第一,開發和設計中存在的風險。由于系統研發人員對會計工作的不了解或者考慮問題不全面,致使實際工作中的情況不能與系統相吻合,容易出現差錯,從而導致的風險。第二,操作不規范和造成的風險。第三,計算機維護不當造成的風險。會計信息都儲存在磁介質中,如果計算機維護不當,容易使會計信息丟失或被刪改。第四,不可控制的風險。如突然斷電、自然災害、病毒攻擊、黑客侵入等。這些都是會計信息化所帶來的風險。管理者必須對這些風險進行正確的評估和分析,才能防患于未然,有效地進行內部控制。

1、系統操作控制。由于操作系統的用戶較多,加上自身的缺陷,系統面臨著來自各方面的潛在威脅。因此,必須對系統操作進行嚴格的控制。首先,要明確規定每個用戶的安全級別和身份標識,并分別定義具體的訪問對象。每個崗位的人員只能按照所授予的權限對系統進行操作,不能越權使用。其次,要對進出機房的人員進行登記,對運行系統的事件類型、用戶身份、操作時間、系統參數和狀態以及系統敏感資源進行實時監視和記錄,并對日志文件定期進行安全檢查和評估。由于企業實行會計信息化后內部控制重點的轉變,企業必須對會計數據的輸入、輸出和處理過程進行嚴格的控制。在會計核算軟件中,對輸入過程的控制,首先是授權控制,輸入的數據必須經過授權,沒有經過授權的輸入應當是無效的。其次要保證輸入數據的正確性,通過各種手段對輸入過程進行控制。一般的軟件在研發時就對相應數據的輸入格式和類型進行了規定,但是為了保證數據的正確性,需要采用重復輸入校驗的手段進行控制,可以是同一人多次輸入,也可以是不同的人各自輸入進行校驗。輸出控制的目的是保證結果的完整性和正確性。輸出的數據同樣也應有授權,如對用戶進行訪問范圍控制等,并對發送對象已經發送的數量有明確的規定和記錄。對于數據在傳輸過程中的控制可以采用順序編碼的方式,并對數據發送和接收的時間進行記錄,便于日后查詢。

2、系統維護控制。系統的維護是指日常為保障系統正常運行而對系統硬軟件進行的安裝、修正、更新、擴展、備份等方面的工作,包括硬件維護和軟件維護。硬件維護主要包括定期進行檢查并做好記錄;在系統運行過程中出現硬件故障要及時進行故障分析并做好記錄。而軟件維護包括正確性維護、適應性維護和完善性維護。在軟件修改、升級和硬件更換過程中,要保證實際會計數據的連續和安全,并由有關人員進行監督。

3、信息化會計檔案管理的控制。會計檔案管理的目標是要做到任何情況下數據都不丟失、不損毀、不泄露、不被非法侵入。通常采用的控制包括接觸控制、丟失數據的恢復與重建等,而數據的備份則是數據恢復與重建的基礎,是一種常見的數據控制手段,采用磁性介質保存會計檔案要定期進行檢查和定期復制,防止由于磁性介質損壞而使會計檔案丟失。網絡中利用兩個服務器進行雙機鏡像映射備份是備份的先進形式。

(三)完善IT控制措施

針對風險評估的結果,在會計信息系統方面需要實施具體的IT控制措施,包括IT管理類控制措施,如開發管理、項目管理、變更管理、安全管理、運營管理、職責分離,授權審批等,以及IT技術類控制措施,如數據加密、訪問控制、數字簽名、隧道(VPN)、防病毒、入侵檢測、身份管理、權限管理等。下面將以網絡會計信息系統中較為先進的數據加密技術和數字簽名技術為例進行介紹。

數據加密技術是保護信息通過公共網絡傳輸和防止電子竊聽的首選方法。現代加密技術分為對稱加密(專用密鑰,private key)和非對稱加密(公開密鑰,public key)兩大類。對稱加密法是最傳統的方式,其特點是關聯雙方共享一把專用密鑰進行加密和解密運算,專用密鑰法面臨的最大難題是密鑰網上分發的安全性問題。非對稱加密法1976年問世,它將密鑰一分為二,即一把公鑰和一把私鑰,具有加密鑰不同于解密鑰、并且在計算上不能由加密鑰推出解密鑰的特點,有效解決了密鑰分發的管理問題,特別適合計算機網絡的應用環境。譬如總公司對下屬企業公開其“密鑰對”中的公鑰,下屬企業可以用公鑰對上報的報表信息加密,安全地傳送給總公司,然后由總公司用其保留的私鑰進行解密。

數字簽名是指在Internet環境下,電子符號代替了會計數據,磁介質代替了紙介質,財務數據流動過程中的簽字蓋章等傳統手段將完全改變,為驗證對方身份、保證數據真實性和完整性,在計算機通信中采用數字簽名這一安全控制手段。基于數字簽名還可建立不可否認機制,也就是說,只要用戶或應用程序已執行某一動作,就不能否認其行動。數字簽名是上述公開密鑰密碼技術的另一類應用。它的主要方式如:會計信息的披露方從信息文本中通過一種信息摘要算法產生一固定長度(如128位)的摘要值,用自己的私鑰對摘要值加密,來形成披露方的數字簽名,連同原文一起發出;關聯方首先用同樣的摘要算法對報文計算摘要值,接著再用披露方一同發來的公鑰對數字簽名解密,如果兩個摘要值相同,證明信息在發送途中未被篡改,而且報文確定來自所稱的披露方。財務系統中遠程處理時可用數字簽名技術代替簽字蓋章的傳統確認手段,當然這得是在國家有相應的財務制度許可的條件下。

(四)建立信息與溝通機制

企業建立健全了規章制度和業務流程之后,如何貫徹落實?這就需要企業有相應的信息和溝通機制,它是整個內部控制系統的生命線,為管理層監督各項活動和在必要時采取糾正措施提供了保證,包括信息渠道和反饋機制。如:企業領導層的政策方針要通過信息渠道下達給企業員工,這是一個是自上而下逐步灌輸的過程。還要有一個自下而上的反饋機制,企業員工發現風險,發現問題,要通過匯報機制逐層匯報給上級部門,這樣就能避免很多問題的發生。作為內部控制的重要組成部分的會計信息系統內部控制也是如此,會計信息系統的主要目的是記錄、處理、存儲、歸納和交流信息,任何交易必須能夠追蹤其從發生到終止的過程,所有交易必須在系統中留下審計線索,為內部控制提供保證。

(五)建立健全監督檢查機制

整個內部控制的過程必須施以恰當的監督檢查,通過監督檢查活動在必要時對其加以修正。這里所指的監督檢查主要包括4個方面:職業道德的約束,公司應成立由董事長、財務總監、首席法律顧問等組成的“職業道德遵行委員會,負責調查違反行為準則的人員;通過外部審計,檢查和確認財務報告的合法性、公允性和一貫性;通過內部審計,對內部各部門的財務、管理、效益進行審計;加強集團對分部的監控和分部的內部控制狀況。

其中,內部審計是監督檢查最常用的途徑。企業應該設立內部審計部門,并定期或不定期地對企業的會計信息系統進行審計。內部審計應包括:對會計資料定期進行審計,會計信息化系統賬務處理是否正確;審查機內數據與書面資料的一致性;監督數據保存方式的安全、合法性,防止發生非法修改歷史數據的現象;對系統運行各環節進行審查,防止存在漏洞等。

三、結束語

《企業內部控制基本規范》的頒布實施將對我國企業的內部控制發展產生重大影響,實施會計信息化的單位應該結合信息化內部會計控制的目標和特點,提出更高的控制要求,擴大有效的控制范圍,采取更好的控制方式,重新構建一套較為完善的內部會計控制體系,從而規范單位的會計行為,提高會計信息的可靠性、有用性,保證其對單位內部管理與外部信息服務的作用,以增強企業的競爭能力和生存能力,從而進一步發揮會計信息化的優勢。

參考文獻:

篇（3）

關鍵詞 企業 實施 內部控制基本規范 現狀 必要性 問題 對策

2008年6月28日，財政部、證監會、審計署、銀監會、保監會五部委聯合頒布了《企業內部控制基本規范》，并于2010年4月25日了配套指引。中國證監會已在上市公司中進行試點實施，要求在2010年度報告披露時同步披露內部控制審計報告內部控制基本規范的實施，對提高企業經營管理水平和風險防范能力，防范企業經營管理失控乃至經濟犯罪，促進企業可持續發展，維護社會主義市場經濟秩序和社會公眾利益起到一定的保障作用。

一、企業內控達標的必要性

早在2001年，安然、世通等財務舞弊和會計造假案件的發生，嚴重沖擊了美國甚至國際資本市場的正常秩序。近幾年來，國內經濟市場不斷涌現類似案件，三鹿奶粉事件、塑化劑事件、中石化天價酒事件以及上市公司缺乏風險控制而導致的資金大量流失現象等等，這些事件的原因都是由于企業缺乏基本的內控制度或是內控不達標，對企業和個人起不到監督、風險評估的控制作用。因此，企業實施內部控制基本規范，在規定時間內達到內控指標是十分必要的。

二、企業實施內部控制基本規范存在的問題

1.思想轉變過緩

部分企業實施規范后發現，真正落實規范是一件“麻煩事”，無關緊要的通過控制體系還可以落實，重要且緊急的如果仍按規范執行，會對企業的運行帶來“麻煩”。可想而知，規范不能真正實施的最主要障礙就是人的思想意識跟不上時代的發展。思想轉變過緩，必然會縮小新規范的應用發展空間，而且加長新規范的落實周期。

2.成本與效率問題

由于規范要求企業經營活動建立全套的內部控制體系，風險評估體系、監督控制體系等一系列的企業行為，這些行為無形中增加了大量的企業成本，而且一項事務從起算、審批至完結，無論事大事小，“哪怕幾百塊錢的一筆款項，也要簽上二十個名字，需要幾個月的時間[1]”，大大降低了企業的運行效率，使得原本發展很好的企業陷入疆局。

3.內控相對獨立，脫離管理基礎

自規范實施以來，部分上市公司雖然落實了規范，但其功能相對游離，另起爐灶，最終使得內控制度流于形式，成本巨大，效率低下。在內控過程中，由于董事的操控作用，使得財務部門只能根據領導的意圖進行工作，無法按照內控制度辦事。另外，企業內控披露時，并財務報告當成全部的內控內容，忽略其它環節的內控，而且將內控指標全部壓在財務部門上，使得財務部門的責任過度膨脹，根本無法起到內控作用。

三、加強企業實施內部控制基本規范的對策

1.加速思想轉變，提高綜合素質

以人為本，才能快速轉變陳舊思想，充分發揮人的作用，依靠提高人的綜合素質、道德水準和法規意識，充分發揮控制者和被控制者的主動性、積極性和創造性，深入研究基本規范的各項要求，遵循規范提出的基本原則，并將規范中的具體要求與企業現狀相結合，尋求實現企業內部控制建設的最佳途徑[2]。因此，無論是領導，還是財務人員或者是其他人員都應該以企業發展為目標，從整體長遠利益著眼，深入落實規范。加強宣傳和培訓，甩掉思想包袱，從主觀意識上迎合規范，從業務上提高能力，縮短規范的落實周期。

2.簡化辦事程序，注重成本效益關系

企業在實施規范初期，不可避免地會額外增加企業成本，但這種成本是可以控制在企業容許范圍之內的。成本增加與效率低下都來源于人為因素，因此，企業必須以此為切入點，建立方便快捷的信息化系統，以簡化辦事程序，提高辦事效率，節省辦事成本，實現對業務和事項的自動控制，減少或消除人為操縱因素[3]。例如，在領導與財務，財務與其他部門，領導與其他部門之間建立信息化管理溝通平臺并入網，通過這個平臺，快速反饋問題，簡化辦事程序，將監督、審批、報表、溝通、預算等集中管理與操作，即使最急的事項，在網絡上就可以完成，大大提高辦事效率，真正做到降低成本。

3.內控實行一體化

2011年，中國上市企業正式邁入內控監管的時代，標志著國內企業將全面走上實質性的內控體系建設之路。這就要求企業要把內控制度融入到企業的管理制度之中，企業要將公司治理、風險管理和合規遵從三位一體進行管控體系建設，內控管理分別融入到企業的公司治理、風險管理和合規遵從之中，形成內嵌式管理方式。在這種管理控制過程中，內控手段的落實與人的作用密切相關，需要企業全員參與，共同監督。企業實行信息化管理手段，要求有信息操作痕跡，嚴格消除領導的操控作用。而且在提供披露材料時，財務報告內控是當前的重點內容但不是全面內容，因為在財務報告的控制中，應該從各部門的運行環節進行控制，企業的所有員工都有必要進行各自環節的控制權力和義務。

4.內控達標是全局性工作，應通過全員協作達成目標

企業實施內部控制已經上升為企業全體員工的責任，需要全體員工的共同努力來健全內控制度，給企業真正帶來價值和收益。內部控制的責任主體是各業務的責任人，應由業務全員全面協作達成。在企業內部應設有專門的部門牽頭組織內控的落實，還應有內部評價部門，對內控的實施進行評估，監督其進行內控執行。由于內部牽制的要求，財務部門不宜作為內控達標的牽頭部門。

參考文獻：

篇（4）

2008年6月28日我國五部委（財政部、證監會、審計署、銀監會、保監會）聯合出臺《企業內部控制基本規范》（以下簡稱《基本規范》），明確“自2009年7月1日起在上市公司范圍內施行，鼓勵非上市的大中型企業執行”。同時，該《基本規范》作為我國企業未來內部控制建設的基本框架，在內控具體操作層面提出了《內部控制手冊》這一概念，即“企業應當通過編制《內部控制手冊》（以下簡稱《手冊》），使全體員工掌握內部機構設置、崗位職責、業務流程等情況，明確權責分配，正確行使職權”。然而，究竟什么是內部控制手冊？它的基本質量要求是什么？它與企業現有的其他管理體系的差異在哪里？企業應當如何編制？這些問題在《基本規范》中并沒有給出詳盡的說明，實務界對此也存在較大的爭議。本文試圖通過對《基本規范》相關規定的分析，結合COSO框架以及部分大型企業的內控經驗，對《手冊》相關問題進行分析和闡述。

二、《內部控制手冊》目標及質量要求

根據《基本規范》對《手冊》的要求，不難發現：首先，《手冊》是在企業內部控制的范疇內提出的，其自身應該成為企業內部控制制度設計及實踐的組成部分；其次，《手冊》的內容集中于機構設置、崗位職責、流程、權責分配等內容，一方面與經營操作相關，另一方面與企業內控所關注的經營層面的主要風險相關；再者，《手冊》所面對的使用對象是公司的全體員工，因而可操作性應是需要考慮的重要因素；最后，《手冊》還應對公司的內部審計部門起到工作指導的作用，以便于公司了解自身的整體經營風險并方便審計部門對業務環節的具體操作進行審計。據此，本文提出《手冊》的編制目標及質量要求如下表：

表1 《內部控制手冊》目標與質量要求

三、《內部控制手冊》與企業其他管理制度體系的關聯

對所有的企業來說，其自身在以往的經營活動中往往已制定了一些規章制度，并對企業經營過程中可能出現的風險進行了制度上的防范。另有一些企業，出于自身的管理規范的需求或外部的市場需求，申請了以ISO體系為代表的標準認證，并在此基礎上制定了整套與之配套的制度規范。然而，本文認為《手冊》與上述管理體系（符合或者不符合外部標準）存在聯系的同時，也存在明顯差異，主要體現在以下幾個方面：

（一）編制目標差異

企業制定的管理制度往往是出于日常經營的需要，功能在于為特定的操作人員提供具體的工作指引。ISO管理體系是從產品質量的角度出發，關注如何編制制度以保證企業生產出高品質產品。ISO管理體系更多的關注企業產品質量風險，對于經營層面的整體風險關注的甚少。

與上述目標相對應，《手冊》從企業內部控制的角度出發，借助COSO框架下的風險管理的理念，對企業經營的整體風險進行關注和防范。其強調“企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果、促進企業實現發展戰略”。

（二）編制框架差異

在現階段，大量企業在制定管理制度時，往往是一種事后的亡羊補牢式的修訂，這種制度的制定常常缺乏邏輯架構和整體框架，因而難以全面應對各類風險。ISO之類的管理體系從產品質量管理的角度制定了一套完整的制度框架，但是由于缺少考慮企業經營層面的其它風險，尤其是生產循環之外的內部控制的關注。

《手冊》以COSO的框架為編制的依據，在編制過程中一貫地強調對企業經營層面的所有風險的識別、分析、評估和控制，尤其強調表單和書面證據的重要性，以突出企業內部控制實施的可復核性，因而可以為內審部門提供一套有效的工作指南。

表2 《內部控制手冊》與其它管理體系的差異

雖然《手冊》與以往的企業管理制度體系關鍵的不同在于理念的出發點上，但本質上他們還是存在著極為緊密的內在聯系。《手冊》并不是憑空制定的又一套新的制度，而是對現有制度體系的整合和提升，是從風險管理的視角對企業原有制度體系和業務流程的再梳理。

然而考慮到企業原有的制度體系在風險管理上的系統性和規范性的不同，《手冊》在編制過程中，按照是否對原有制度進行改進，可以將《手冊》劃分為具有制度創造功能和不具備制度創造功能兩個類別。如果賦予《手冊》制度創造的功能，則《手冊》中提出的控制要求即具備相關應的強制性，即如果原有制度框架未涉及此類要求，則通過《手冊》制定該要求；如果不賦予《手冊》制度創造功能，則《手冊》的主要作用在于提煉、歸納以及整合其他相關制度中的控制要求，自身并不提出新的制度要求。《手冊》不同定位，可能會導致企業面臨不同類型的制度協調問題。具體如下表：

表3 《內部控制手冊》定位與制度協調

四、《內部控制手冊》的內容構成

結合內部控制基本要求及質量特征，《手冊》應梳理業務流程，找出業務循環的主要風險點和控制目標，并明確相對應的關鍵控制活動和基本的不相容職務分離的要求。同時通過對特定循環的流程分析，將關鍵控制活動對應到具體的崗位和管理制度，最后《手冊》還要為內部審計提供必要的工作指引。基于這樣的認識，針對特定流程，《手冊》構成如下表所示：

表4 《內部控制手冊》構成

五、《內部控制手冊》的編制框架與典型步驟

結合前文對《手冊》性質以及需要具備的內容的分析，以及憑借我們給企業提供的內控服務的經驗，本文提出如下的《手冊》制定的框架：

圖4 《內部控制手冊》編制框架

注：實線表示實際編制流程；虛線表示內在邏輯關系；虛線框表示邏輯范圍。

本文認為，在大多數情況下，《手冊》的編制可以分為4大步驟。

第一步：業務循環劃分。企業應根據各自行業及所涉及業務的具體特點，將自身的運營活動劃分為若干個主要業務循環，通常情況下，主要業務循環包括以下內容：（1）銷貨及收款環節；（2）采購及付款環節；（3）生產環節；（4）固定資產管理環節；（5）貨幣資金管理環節；（6）關聯交易環節；（7）擔保與融資環節；（8）投資環節；（9）研發環節；（10）人事管理環節；（11）信息管理環節。

因不同的業務特點的企業，其主要的業務循環所包含的內容不盡相同，故企業可以借鑒五部委即將頒布的《企業內部控制具體規范》的要求進行業務循環的劃分。

第二步：流程風險分析。在明確了企（下轉P8頁）（上接P6頁）業的具體業務循環后，針對每個具體業務循環需畫出詳細的業務流程圖，并結合企業的現有制度分析該流程存在的主要風險點及相應的控制措施。改階段內容主要包括：流程的控制目標、關鍵控制活動、主要涉及的崗位職責、相關的表單流轉等。

篇（5）

2008年6月28日,財政部、證監會、審計署、銀監會、保監會聯合了《企業內部控制基本規范》(以下簡稱新《基本規范》),這是中國會計審計領域的又一重大改革舉措,體現了我國的內部控制規范正在向國際接軌。

新《基本規范》雖然在形式上借鑒了美國《內部控制整合框架》(COSO-IC)的五要素框架,但內容上卻充分體現了《企業風險管理――整合框架》(COSO-ERM)八要素框架的實質,始終貫穿了全面風險管理的理念,并在文字上給予了更中國化的定義和細化。

《基本規范》將審計委員會確定為監督企業內控制度制定和執行的機構,明確提出企業應當在董事會下設立審計委員會。這表明審計委員會在公司內部的作用越來越重要,其職能也在發生變化。

一、《企業內部控制基本規范》的相關要求

(一)現行內部控制的總體要求

《企業內部控制基本規范》提出,內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略。企業應當遵循全面性、重要性、制衡性、適應性、成本效益的原則,從內部環境、風險評估、控制活動、信息與溝通、內部監督五個要素來制定和實施企業內部控制制度。

可以看出,新《基本規范》有效地整合了公司治理結構、內部控制與風險管理的關系,將三者歸結為風險控制,提出了內部控制的關注重點。

(二)新《基本規范》對審計委員會的要求

新《基本規范》第十三條、第十五條規定,企業應當在董事會下設立審計委員會。審計委員會負責審查企業內部控制,監督內部控制的有效實施和內部控制自我評價情況,協調內部控制審計及其他相關事宜等。

除了這些明確的規定以外,規范中時時刻刻突出了對企業風險管理的高度重視,因此審計委員會的作用滲透到了內部控制的全過程,它能否準確地定位、明確自身的職能、有效地發揮監督作用,對企業能否真正貫徹新《基本規范》的精神內涵至關重要。

(三)新《基本規范》下審計委員會的目標和職能探索

我國引入審計委員會制度的初衷是在董事會建立一個獨立、專門的治理力量以強化外部審計師的獨立性,從而提高公司財務報告信息的真實性和可靠性。根據《上市公司治理準則》第五十四條對審計委員會主要職責的規定,審計委員會的職能集中在溝通外部審計、監督公司的財務體系和審查公司內控制度。但是準則沒有對審計委員會的監督對象、怎樣監督做出細化的規定。

2002年以來,我國的市場經濟得到不斷完善,上市公司的情況也發生了很大變化,公司治理結構在不斷地借鑒和改善,在內部控制的重要性越來越凸顯的今天,監督內控制度的重要機構――審計委員會的目標和職能也應該相應調整,以更好地解決現今上市公司存在的問題,積極配合構建企業內部控制體系。

筆者認為,審計委員會的目標應與企業內部控制緊密結合,可定為:監督和報告企業內控制度的制定和執行,確保董事會和經理層的行為合法合規,確保資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略。

審計委員會的職能也應該由傳統的關注公司財務收支、監督企業經濟效益而有所擴大和發展。新《基本規范》突出體現了從會計控制到全面內部控制的轉變,風險管理的重要性大大凸顯,因而審計委員會的職能也不應僅僅還停留在監督公司的財務和經濟效益上,而應對企業的機構治理和管理起到更加積極地作用。

根據中國內部審計協會會長王道成在2009年內部審計熱點問題調查報告會上的發言,結合《基本規范》的精神,筆者認為審計委員會應該有以下職能:

1.監督內部控制的有效實施,發現內部控制缺陷及時向董事會、股東大會匯報。

2.以公司治理和風險管理為導向,對董事會、經理層的經營決策行為進行監督,確保他們的行為合規、合法,無行為,并審查經營決策的結果,對董事會、經理層的風險評估、風險控制行為進行評判,適時對不當的決策提出批評和建議。

3.審核公司的財務信息及其披露,確保公司財務報告的真實性和完整性。

4.加強和外部審計之間的溝通,既披露公司的內部控制狀況,也聽取外部審計的意見和建議,對內審工作加以改進。

5.編寫年度“企業內部控制自我評價報告”。

二、影響我國企業審計委員會職能發揮的主要因素

(一)由于公司治理結構的缺陷,審計委員會的作用受到限制

我國的審計委員會隸屬于董事會,對董事會負責,難以實現對董事會的監管。美國對這一問題的解決主要是規定審計委員會委員應當全部由獨立董事組成,并且除作為董事會成員和審計委員會成員外,不得從公司中接受任何咨詢、顧問費或者其他酬金,也不得為公司或者其子公司的關聯人士。(見《薩班斯-奧克斯利法案》)。我國《上市公司治理準則》也規定審計委員會中獨立董事應占多數并擔任召集人。但是我國的獨立董事制度還不健全,并且企業的獨立董事通常由大股東、董事會推薦產生,獨立董事依附于大股東,獨立性不。另外,獨立董事因為不在企業內部擔任其他職務,對公司的相關信息了解不足,加上他們分心于其他工作,參與性不夠,難以對企業內部控制進行監督和評估。

(二)我國上市公司特殊的股權結構制約審計委員會發揮職能

我國上市公司的股權結構的特征是國有股、國有法人股和社會法人股的比例占65%以上,且不能流通,而占上市公司股權比例35%的流通股相當分散,從而形成非流通股股東的過分集中,即存在所謂的“一股獨大”現象。上市公司的重大決策權由非流通股大股東掌握,非流通股控股股東對審計委員會的成員有實質任免權。

我國上市公司股權結構中的另一個特征是國有股、國有法人股的產權管理體制沒有完全理順,國有產權虛置,在“一股獨大”的情況下,上市公司高級經理層實際控制了上市公司的重大決策權,即形成了“內部人控制”。

這樣,處在董事會之下的審計委員會既被大股東所掌控,自然也被高級管理層所控制,無法實現對董事會和管理層的監督。

總之,目前我國上市公司內部控制存在的突出問題在于:即使建立了良好的內控制度,但由于公司治理結構的不完善,對公司實際控制人缺乏必要制約,董事會和管理層任意超越內部控制,最終導致內部控制成為一紙空文,在戰略及經營目標實現方面的風險控制嚴重缺失。

(三)內部審計機構的職能發揮受到限制

按照《企業內部控制基本規范》第十五條、第四十四條的要求,企業應當根據本規范及其配套辦法,制定內部控制監督制度,明確內部審計機構,規范內部監督的程序、方法和要求。內部審計機構對內部控制的有效性進行監督檢查,對監督檢查中發現的內部控制缺陷,應當按照企業內部審計工作程序進行報告;對監督檢查中發現的內部控制重大缺陷,有權直接向董事會及其審計委員會、監事會報告。

內部審計委員會主要是由獨立董事構成,人員有限,對公司治理的參與也不多,主要依靠內部審計機構的具體工作獲取相關的信息,從而監控企業的內部控制。然而,我國上市公司的內部審計機構和其他職能部門一樣,一般都在管理層領導下工作,獨立性不強,容易被上級領導的意志所左右,再加上目前上市公司內部還沒有形成良好的內部控制環境,使內部審計工作的開展受到了許多限制。再次,基于我國社會普遍存在的“面子”、“關系”、“人脈”等復雜的人際交往環境,企業利益與內部審計人員自身利益時有沖突,難免影響審計人員的判斷和報告,降低了審計工作的客觀性。內部審計機構無法向審計委員會提供真實、有效、有用的信息,審計委員會的職能也得不到發揮。

(四)內部審計人員的能力有待提高

目前,內部審計的主要職能正在從監督型向服務型轉變,審計人員從單純的財務專家型向綜合型轉變,內部審計機構向更高層次轉變。審計委員會要充分發揮其職能,有賴于下屬的內部審計機構能夠勝任對內部控制的監督工作,這對內部審計人員提出了很高的要求。

內部審計人員除了需具備過硬的財務專業技能,還要有相關的管理學知識、金融經濟常識、法律知識儲備,以及較強的人際交往技能,能恰當地與他人進行有效的溝通。尤其是要熟悉本組織的經營活動和內部控制,對公司的資金和物流過程非常了解。

由于審計委員會和內部審計機構的責任重大,內部審計人員的素質顯得非常重要,上市公司想要組建一個優秀的內部審計團體并不是一件容易的事。

三、如何更好地發揮審計委員會的職能

(一)改善公司股權結構,減少“內部人控制”的現象

建議適當擴大流通股的數量,增加機構持股,削弱超級大股東的權力。董事會和經理層嚴格實行職務分離,只有公司的治理機制得到改進和完善,審計委員會的權威性和獨立性才能得到加強,才能更好地發揮作用。

(二)建立健全相關的法律法規

目前,我國的審計委員會制度是沒有法律保障的,缺乏一個強制性的關于審計委員會的報告制度。我國應該加緊制定相關的法律和規范,專門對審計委員會和內部審計機構的地位、目標、職責、工作方法、成員等做出規定,以更好地指導上市公司的審計委員會在監督企業內部控制方面發揮作用。

筆者認為,審計署應該成為制定審計委員會相關法規的主要發起和推動部門,借鑒美國《薩班斯法案》和其他國外相關規范,盡早建立和健全適合我國國情和上市公司治理現狀的審計委員會制度,使內部審計工作有法可依。

(三)增強內部審計機構的權威性和獨立性

內部審計機構的地位應該有所提高,應高于其他職能部門,直接隸屬于審計委員會,對審計委員會負責。同時,內部審計機構的人員應當廣泛參與到企業各個運作體系,掌握方方面面的信息,運用自己的專業知識和公正無私的視角對企業的內部控制進行監督,協助審計委員會充分發揮其職能。

(四)提高審計委員會成員的素質

加強對內部審計人員整體素質的培養,構建內部審計文化,盡量聘請通過了國際注冊內部審計師考試(CIA)的專業人才,鼓勵內部審計人員不斷學習,加強綜合素質的提高。

參考文獻:

[1]企業內部控制基本規范[R].財政部、證監會、審計署、銀監會、保監會,2006,(6).

篇（6）

中圖分類號：F270 文獻標志碼：A 文章編號：1673-291X（2012）30-0036-02

一、中小企業的基本特征

企業的發展是通過運用科學先進的管理手段和方法，實現對生產經營過程中人、財、物的有效利用與控制，進而達到提高商品和服務質量、擴充市場占有份額、降低經營成本、增加經營效益的目的。作為社會主義經濟體系中重要的組成部分——中小企業，在市場經濟環境下，具有資產規模小、管理機構精練、決策過程簡約、融資能力較弱、創新能力不強等共性特征，因而決定了中小企業在自身生存與發展過程中具有經營靈活、管理簡捷等優勢。但同時也存在著資金和人才缺乏、抗風險能力差等諸多不利因素。尤其是在資本結構簡單、管理模式不夠完善的中小企業，“長官作風”、“親友團隊”色彩更濃，經營決策、財務管理、成本質量控制、市場拓展、信息傳遞等功能不能正常發揮，難以有效地形成經營戰略目標明確、決策和執行能力強勁、內部和市場控制效果優良的高效運營體系，這就需要借鑒和運用《企業內部控制基本規范》（以下簡稱《基本規范》）防控企業經營風險，提高企業管理水平，在市場經濟中求生存謀發展。

二、中小企業加強經營管理的基本措施

建立在現代科學管理基礎之上的《基本規范》，是當今國內規范企業經營行為、建立內部控制體系、實現企業自我警示、自我監督與自我防控的綱領性文件。《基本規范》從內部環境、風險評估、控制活動、信息與溝通、內部監督五個方面明確了企業經營管理應遵循的基本原則，揭示了提高經營管理水平和風險防范能力的普遍規律，對中小企業加強管理，促進良性可持續發展，具有重要的指導作用。借鑒和運用《基本規范》加強企業經營管理的主要措施：一是治理內部環境。其核心在于對組織結構的治理，也就是通過對職務權利的制衡，使其各個管理層次和職能部門既能積極充分發揮工作職能、同時又能相互制約，杜絕或放棄管理職權的行為發生，從而確保各自在界定的權限范圍內，共同推進經營工作順利運行；二是加強風險控制。就是要認清行業內外和國際國內形勢，著力從內外兩個方面研究分析企業潛在的經營風險，確定關注重點和風險程度，有針對性地制定規避風險的措施和辦法，盡一切可能防范和降低企業潛在的危機，使經營活動始終處于相對穩定和良性運行狀態；三是強化內部控制。要通過實施內部控制的制度和措施，協調內控目標與經營業務、資產安全、崗位責任、信息傳遞等之間的相互關系，不斷完善工作機制，全面提升控制效果，從而實現以最簡捷、最有效的方法維護企業各職能部門之間的相互協作與制衡，促進各經營環節的相互配合與正常運轉；四是注重信息溝通。要建立與內部控制密切相關的信息交流和溝通體系，明確企業內部各管理經營級次、業務環節之間，以及與外部投資者、債權人、供應商、消費者、中介機構和監管部門等有關方面進行業務溝通和信息反饋的方式方法和程序，信息溝通的過程越清晰、越徹底，各相關利益方的權利和義務也就更加明確，舞弊行也就難以滋生；五是完善內部監督體系。要側重于建立和完善具有一定深度和覆蓋面的內部控制制度和內部相互牽制體系，使其能夠貫穿于經營活動全過程，從而保證每一項經濟業務能夠在按照嚴謹規范和科學的程序下進行。

三、充分發揮中小企業的生存發展優勢

篇（7）

中圖分類號:F713.50文獻標志碼:A文章編號:1673-291X(2009)29-0192-03

企業內部控制的完善和執行情況日益成為人們關注的議題。在國內,“中航油”、“銀廣廈”等多起舞弊案件都是與企業內部控制的缺失有關。德勤華永會計師事務所有限公司最新《中國上市公司內部控制調查分析報告》的調查結果顯示,大多數企業在內部控制實施方面仍然存在一定的盲目性。中國上市公司約58.82%的企業為應對金融危機而指定了專門的部門落實風險管理和內控工作,但是,僅有23.53%的企業將內控工作的重點從書面制度轉變為具體實施;僅約17.65%的企業進行了內部控制評價。可見,內部控制問題已成為上市公司的軟肋。2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合了《企業內部控制基本規范》,該規范融合了COSO 風險管理的先進經驗,又具有中國的特色,被世人贊譽其為“中國版的薩班斯法案”。那么,基本規范是否能解決上市公司的問題成為了時下理論界、實務界關注的焦點。

一、企業內部控制規范與COSO企業風險管理的不同

(一)內涵、目標不同

2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合的《企業內部控制基本規范》,為中國企業首次構建了一個企業內部控制的標準框架。它所指的內部控制,是指由企業董事會(或者由企業章程規定的經理、廠長辦公會等類似的決策、治理機構,以下簡稱董事會)、管理層和全體員工共同實施的、旨在合理保證實現以下基本目標的一系列控制活動:(1)企業戰略;(2)經營的效率和效果;(3)財務報告及管理信息的真實、可靠和完整;(4)資產的安全完整;(5)遵循國家法律法規和有關監管要求。

2004年9月,COSO委員會在內部控制框架概念的基礎上,提出了企業風險管理(Enterprise Risk Management,ERM)的概念,使內部控制的研究發展到一個新的階段。COSO在ERM框架報告中指出企業風險管理是一個過程,它是由一個主體的董事會、管理當局和其他人員實現的,應用于戰略制定并貫穿于企業之中,旨在識別可能會影響主體的潛在事項,管理風險已使其在該主體的風險容量之內,為主體目標的實現提供合理保證。ERM框架對內部控制明確了以下內容:(1)是一個過程;(2)被人影響;(3)應用于戰略制定;(4)貫穿整個企業的所有層級和單位;(5)旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險;(6)合理保證;(7)為了實現各類目標。ERM框架提出,要力求實現四類目標:戰略目標、經營目標、報告目標和合規目標。

(二)基本要素不同

1.企業內部控制規范考慮以下基本要素:

(1)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。

(2)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素并采取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。

(3)控制措施。控制措施是根據風險評估結果、結合風險應對策略所采取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批準控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。

(4)信息與溝通。信息與溝通是及時、準確、完整地收集與企業經營管理相關的各種信息,并使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。信息與溝通主要包括信息的收集機制及在企業內部和與企業外部有關方面的溝通機制等。

(5)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告并作出相應處理的過程,是實施內部控制的重要保證。監督檢查主要包括對建立并執行內部控制的整體情況進行持續性監督檢查,對內部控制的某一方面或者某些方面進行專項監督檢查,以及提交相應的檢查報告,提出有針對性的改進措施等。

2.COSO企業風險管理包括八個相互關聯的構成要素。它們來源于管理當局經營企業的方式,并與管理過程整合在一起。這些構成要素是:

(1)內部環境。內部環境其他所有風險管理要素的基礎,為其他要素提供規則和結構,也為ERM的其他組成因素提供了框架。其別是管理當局的風險偏好,決定了公司對可能出現的預料之外的事件的態度,管理當局和董事會必須明確戰略及其執行過程中的風險和回報。

(2)目標設定。必須先有目標,管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取適當的程序去設定目標,確保所選定的目標支持和切合該主體的使命,并且與它的風險容量相符。

(3)事項識別。在對企業目標、戰略和計劃以及對企業所處的內部和外部環境都有深刻了解的基礎上,管理層必須識別影響主體目標實現的內部和外部事項,區分風險和機會。

(4)風險評估。一般用可能性(概率)和影響結果兩個維度度量風險,前者是一定的負面影響事件發生的可能性;后者是假設事件發生,對經營、財務報告以及戰略產生影響的可能結果,風險評估的過程中根據不同的情況,采用定性、定量以及相結合的方法,若可以獲取充足的數據,一般采用定量的評估方法;若潛在的可能性及影響結果都較小,或者無法獲得數據,則一般采取定性的評估方法。

(5)風險應對。企業對每一個重要的風險及其對應的回報進行評價和平衡,結果取決于成本效益分析以及企業的風險偏好。而平衡的反應包括接受、規避或緩和這些風險,后者又包括風險分離、風險轉換或者減少(包括通過控制活動)等形式。風險反應是企業風險管理的整體重要組成部分。

(6)控制活動。控制活動是管理當局設計的政策和程序,為執行特定的風險緩和反應提供合理保證。控制活動包括在整個組織中使用的批準、授權、注銷、確認、觀察、查證以及對經營業績復核、資產安全、職責分離等方法。制訂和執行政策與程序以幫助確保風險應對得以有效實施。

(7)信息與溝通。風險辨別、評估、反應和控制活動在組織的各個水平層次上產生有關風險的信息,與財務信息一樣,風險信息必須以一定的形式和框架進行交流,使員工、管理層以及董事履行各自的責任。風險評估的信息系統可以產生定期或“例外基礎”的報告,報告使用趨勢指標、業績矩陣及運營或財務成果的形式,這些報告能夠引導出及時的決策。在公司層次,必須對各種數據和信息流進行加工,形成關于公司風險組合輪廓的統一觀點,以利于交流。

(8)監控。企業風險管理并不是一個嚴格的順次過程,一個構成要素并不是僅僅影響接下來的那個構成要素。它是一個多方向的、反復的過程,在這個過程中幾乎每一個構成要素都能夠、也的確會影響其他構成要素。

(三)管理人員對實現企業目標的職責

1.企業內部控制基本規范對管理人員的職責規定如下:

(1)企業董事會應當充分認識自身對企業內部控制所承擔的責任,加強對本企業內部控制建立和實施情況的指導和監督;

(2)董事長(或者法定代表人、代表企業行使職權的主要負責人,以下簡稱董事長)對本企業內部控制的建立健全和有效實施負責;

(3)經理(或者總裁、廠長,以下簡稱經理)根據法定職權、企業章程和董事會的授權,負責組織領導本企業內部控制的日常運行;

(4)總會計師(或者財務總監、分管財務會計工作的負責人,以下簡稱總會計師)在董事長和經理的領導下,主要負責與財務報告的真實可靠、資產的安全完整密切相關的內部控制的建立健全與有效執行。

2.COSO企業風險管理將各級人員的職責分成三個層次:

(1)董事會,監控企業風險管理,獲知并批準企業設定的風險偏好,與企業高層管理人員討論企業風險管理的狀態,獲知企業所面臨的重大風險、管理層擬采取的行動以及管理層確保風險管理有效性的方式,董事會還要從內部審計人員、外部審計人員和其他人員那里獲取相關信息;

(2)高層管理人員,首席執行官或總裁應對ERM 負總責,各部門經理應認同企業的風險管理理念,按企業設定的風險偏好和風險容忍度管理本部門事務。首席執行官或總裁集各部門經理對企業風險管理的能力和有效性進行初步評估,以決定是否有必要對其繼續進行更深入的評價;

(3)企業基層職員,有責任按照企業已確立的指令和協議實施風險管理。

二、企業內部控制基本規范的貢獻

從基本規范與COSO風險管理的比較,可以看出基本規范既吸收了COSO報告的精華,又具有一定的中國特色:

1.提高了內部控制規范的地位。新規范既有類似薩班斯法案的強制力,又有與科索報告一樣對內控實務的示范作用;既對中國企業建立內控制度提出了強制性要求,又為千差萬別的中國企業建立健全內控制度提供了基本框架;既吸收了內控的國際先進理念,又充分體現了中國內部控制的現實環境要求。有專家認為,這一規范的出臺,是中國企業按國際化標準嚴格自律的宣言書,更是中國企業參與國際競爭,逐步接受并自覺遵循市場經濟游戲規則,不斷完善企業制度、細化管理的內在要求。世人贊譽其為“中國版的薩班斯法案”。

2.統一了我國企業內部控制規范。在美國,COSO框架是美國企業以及在美國上市的外國公司的內部控制建設的標準,而在我國,長期以來內部控制規范正出多門,現實中,至少存在包括證監會、財政部、國資委、人民銀行、證券交易所等部門或主管單位的關于內部控制或風險管理的規范文件。盡管有關監管部門在實際中采用了COSO的標準,但都比較局限。2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合的《企業內部控制基本規范》是廣泛征求各監管部門意見基礎制定的,統一了我國企業內部控制規范的標準,使企業可在統一的框架內建立有效的內部控制監督體系,同時為外部監管公司內部治理的設計、實施、監督、評估等奠定了基礎。

3.科學界定內部控制的內涵,強調“全員控制”。基本規范強調內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程,是一種全面、全員、全過程控制的理念。

4.準確定位內部控制的目標。舊規范的目標定位,基本上是處于內部控制目標層次的最低級,只包括:保證會計資料真實、完整;保護單位資產的安全、完整;確保國家有關法律法規和單位規章制度的貫徹執行。基本規范前瞻性提出企業在保證經營管理合法合規、資產安全、財務報告及相關信息真實完整、提高經營效率和效果的基礎上,著力促進企業實現發展戰略。本次的修訂既強調了COSO全面風險管理的四大目標,又增加了對資產的安全完整的要求。這充分體現我國順應國際內部控制和風險管理日益融合的趨勢。

5.統籌構建內部控制的要素。舊規范的范圍過于狹窄,主要集中于會計領域。《會計法》、《內部會計控制規范》等法律法規主要是從會計控制的角度來規范內部控制;獨立審計準則中的定位也是著重于企業的會計責任方面。而本次修訂的基本規范有機融合COSO全面風險管理的做法,構建了以內部環境為重要基礎、以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證,相互聯系、相互促進的五要素內部控制框架。

6.明確界定各控制主體職責。內部控制的有效執行有賴于全員參與,而只有企業內每個人均清楚地知道自己所擁有的責任和權力,才能認真履行自己的職責,提高內部控制的執行力度。新規范所界定的內部控制主體有四層:一是董事會,二是監事會,三是經理層,四是全體員工。董事會是加強企業內部控制的第一責任人;監事會負有對董事、經理執行公司職務時違反法律、法規或者公司章程的行為進行監督的權利,在監督投資者決策行為的同時切實履行監督投資者對經營者的監管職能的落實情況;經理層直接對企業的經營管理活動負責,尤其是企業總經理(首席執行官)承擔重要責任;全體員工在實現內部控制中承擔相應職責并發揮積極作用。

7.創新了體系。除基本規范之外,財政部還起草了17項具體規范,并將繼續起草若干具體規范和應用指南;與此同時,還將研究、制定評價標準和配套實施辦法,形成全方位、立體性推進內控體系建設的局面。我國的企業內控體系,將是一個層次分明、內容完整、銜接有序、整體互動的有機統一體。

8.強化了內部風險管理。舊規范只是強調通過風險預警、風險識別、風險評估、風險分析、風險報告等措施,對財務風險和經營風險進行全面防范和控制,而基本規范更強化了在目標設定環節就要考慮風險因素,這一條和COSO的風險管理是吻合的。

9.提出了切實可行的內部控制實施機制。基本規范建立了以企業為主體、以政府監管為促進、以中介機構審計為重要組成部分的內部控制實施機制,要求企業實行內部控制自我評價制度,并將各責任單位和全體員工實施內部控制的情況納入績效考評體系;國務院有關監管部門有權對企業建立并實施內部控制的情況進行監督檢查;明確企業可以依法委托會計師事務所對本企業內部控制的有效性進行審計,出具審計報告。這充分體現了基本規范在實施過程中適當的引入了信息機制和聲譽機制、強化檢查監督機制,落實內控責任主體和嚴格問責和實施嚴厲的獎懲機制的特點。

三、企業內部控制基本規范實施的難點

企業內部控制規范在執行中還存在很多困難:

1.基本規范的要素中沒有體現事項識別的重要性

事項可能會帶來負面影響,也可能帶來正面影響,帶來正面影響往往意味著機會,而機會對于企業目標的實現是有重要作用的。基本規范只強調了風險的識別,而對于機會則沒有關注。

篇（8）

全球經濟二次探底風險加大時，浙江大中型企業面臨著來自方方面面的危機。有效構造企業內部控制體系，已經成為企業管理者的首要任務之一。內部控制是建立健全企業內部科學管理制度，尤其是建立現代企業制度必不可少的重要內容，特別對企業經營效益、效率和效果至關重要，是企業生產經營活動賴以順利進行的基礎。

一、實施《企業內部控制——基本規范》（以下稱《基本規范》）的背景

安然、世通等財務舞弊和會計造假案件的發生，嚴重沖擊了美國乃至國際資本市場的正常秩序，內部控制存在缺陷是導致企業經營失敗并最終鋌而走險、欺騙投資者和社會公眾的重要原因。為此，許多國家通過立法強化企業內部控制，如2002年美國實施了《薩班斯一奧克利法案》。

雖然內控的重要性不言而喻，而且我國境外上市企業早已紛紛花巨資聘請海外機構設計內部控制制度，以適應上市地的監管要求。但國內很多大中型企業依然對什么是有效的內控體系，如何建立、評估和改進企業內控感到困惑。再由于長期沒有統一的企業內部控制規范，一些大中型企業內部控制意識淡薄，出現了內部控制失效甚至舞弊的案件，損害投資者利益，在市場上造成惡劣影響，同時大中型企業內部控制不規范而使銀行產生大量不良貸款的現象也屢見不鮮。

2008年6月28日,財政部、證監會、審計署、銀監會、保監會等五部委聯合了《企業內部控制——基本規范》（以下稱《基本規范》），并與09年7月在上市公司范圍執行，這標志著中國版“薩班斯法案”的正式啟動。2010年4月26日，五部委又聯合了《企業內部控制配套指引》，規定自2011年1月1日起在境內外同時上市的公司執行，2012年1月1日起在上交所、深交所主板上市公司執行。《指引》連同此前的《規范》，標志著適合我國企業內部控制規范體系已基本建成。

二、實施《基本規范》的意義

基本規范確立了我國企業建立和實施內部控制的基礎框架，標志著內部控制規范體系建設取得重大突破。規范的出臺在企業內部會計控制制度體系的構建過程中具有里程碑式的意義。

（一）為企業內部控制建設提供了基礎性、權威性的指引

基本規范的彌補了國內一直沒有統一的內控規范的狀況，從制度源頭來為企業內部會計控制的建設提供了保障，對企業會計信息質量的改善起到積極作用。而對浙江大中型企業來說，首先要樹立正確的“內控觀”，從實踐層出發，加強內部控制制度建設，培育內部控制文化，推動內部控制體系的建立和持續改進。

（二）確立企業內部控制的基礎框架

基本規范有機融合國際先進經驗，構建了以內部環境為重要基礎、以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證，相互聯系、相互促進的五要素內部控制框架。

（三）強調企業全員、全過程的內部控制理念

基本規范強調內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程，是一種全面、全員、全過程控制的理念。同時也表明企業內部控制應當貫穿決策、執行和監督的全過程,覆蓋企業及其所屬單位的各種業務和事項。

（四）準確定位企業內部控制的目標

基本規范從組織最根本的目標出發，充分考慮投資者、債權人、管理者的要求，以提高企業戰略管理和自我引導能力為目的，判斷現有的內部控制方法、控制對象與控制目標是否相容，及其之間存在的對應關系。

（五）科學界定了內部控制的含義

根據基本規范，內部控制是合理保證實現企業經營管理基本目標的一系列控制活動。這項控制活動既有收益也有成本，就有必要進行成本收益分析。換句話說，控制活動也要講求效率。考慮到環境的復雜多變性與人類理性的有限性，內部控制應當且只能在“合理”的范圍內保證上述目標的實現。

三、浙江大中型企業實施《基本規范》中的問題

按照《基本規范》的要求對企業現行的內部控制進行系統性改造,會給公司治理帶來整體性的改善，并使企業的風險控制有了風向標。但從去年要求開始實施以來，由于實施的時間還不長，浙江大中型企業相關人員對其的理解和執行方面還不到位。而且一些企業的內部控制本身并不樂觀，在內部控制制度的制定環節、實施環節和監督反饋環節存在一定問題。

（一）對《基本規范》理解不到位

與關注財務報告真實性的薩班斯法案相比，我國的《基本規范》范圍更廣、力度更大，它不僅關注財務報告，更關注企業內部控制全過程的有效性，實施難度也更大。面對這樣一個框架性、宏觀的《基本規范》，很多浙江大中型企業都不清楚到底應該從何入手。雖然五部委在今年4月份又聯合了《企業內部控制配套指引》，但由于實施的時間不長，目前很多企業仍對《基本規范》的理解不到位。

（二）企業人員內控意識比較薄弱

自從美國的安然事件發生以后，國外的薩班斯法案在不斷的完善過程當中，企業管理層對于內控的認識越來越高。但很多浙江大中型企業看待內控的問題，企業的人員，特別是管理層經常認為是在給企業“找事兒”做，對于內控的看法還是處于不太積極的狀態。

（三）企業中專業內控人才嚴重缺乏

內控興起不久，企業對于內控人才的培養也處于初級階段，在加上人才本身管理水平的有限，對于內控的理解和看法都存在著不足，因此，全面復合型人才在浙江大中型企業中現在急劇缺少。

（四）內控實施的成本比較高;

內控的最終落點是需要IT系統的支撐，從IT的角度來看，要想做好內控，必然要有新的IT投入，而IT投入對于企業來看無疑是增加企業成本的，尤其是金融危機剛過的后危機時代，浙江大中型企業處于一個緩氣的階段，如果在進行IT投入對于企業是一筆不銷的開銷。

（五）業務流程管理水平很低，增加了內控管理的難度

內控是為了加強企業的經營管理與風險管理，如果是經營管理必然要改變現有的企業不合理的業務流程，現階段業務流程管理水平不高，對于流程的梳理非常困難，同時又需要IT的環境實現流程的梳理，給企業的內控管理帶來了難度。

（六）內控難以層層實施、監督

在內控實施方面，當前內控規范實施后，怎么能夠讓浙江大中型企業內部從高層到基層管理都清楚并自覺執行，涉及人員較多培訓和監督難度都很大。同時企業控制點較多，如果全部用人工進行控制，控制成本會很高。

四、浙江大中型企業內部控制應以《基本規范》為指引發展完善

（一）提高人員素質，學習領會基本規范的實質與要求。

《基本規范》內容實施的時間不長，有關部門應幫助企業深入理解和實施基本規范要求，協助企業及時識別、科學分析和正確評價影響企業發展的各種不確定因素，有效構筑企業經營風險的“防火墻”，提升企業經營管理水平、盈利能力和持續發展能力，增強企業的競爭力。

當然浙江大中型企業應充分發揮人的作用，依靠提高人的綜合素質、道德水準和法規意識充分發揮控制者和被控制者的主動性、積極性和創造性，深入研究基本規范的各項要求，遵循規范提出的基本原則，并將規范中的具體要求與企業現狀相結合，尋求實現企業內部控制建設的最佳途徑。

（二）轉變內控文化，健全企業內部控制，實現全面、全員、全過程控制

經調研，較多浙江大中型企業中存在著對領導個人權威過于倚重的情況，領導意志往往凌駕于內控制度之上的現象，這就需要轉變廣大人員的思維方式和行為習慣，不僅要注重規章制度的建立和修訂，而且要重視其貫徹落實的監督制約機制的建立和完善。

1、從認識入手。認識主要在于領導層,領導層必須認識到內控的重要性。通過領導層的認識來帶動普通員工認識的提高,使企業從上到下都意識到內控需要全員參與配合，實現從被約束對象到內控制度建設者的轉變。樹立“內控無小事，內控大家抓”的內控價值觀，正確的認識對全員參與和全過程控制都能有積極的作用。

2從落實入手。在認識提高之后,必然會形成一些內控的制度措施。企業往往不缺乏制度和措施,最缺乏的是執行力,全控制制度措施一旦確立,執行就是關鍵的問題,由誰來執行,怎樣執行,執行要達到什么效果,為了保障效果需要采取什么監督辦法,等等。

（三）強化學習交流，力求內控專業人員能力素質快速提升

要全面有效推行企業內部控制，建設一支高素質的內控人員隊伍至關重要。新形勢的發展對內控專業人員的素質和品德操行提出了更高的要求。不僅要掌握必備專業知識，還需熟識國家的政策要求和各項相關制度，了解經營管理、業務流程、計算機技術等綜合知識，具備良好的職業道德、較高的綜合分析能力和較強的溝通能力。

同時相關部門可以通過后續教育，培養內控人員的專業勝任能力。浙江大中型企業內部控制人員許多是“半路出家”，有正規內控學歷并經過相應工作實踐的人才很少。其中很大部分是會計出身，他們具有會計的實踐經驗，對加工對外會計報表的工作駕輕就熟，但是對企業自身很需要運用的管理會計以及控制理論與實踐、風險管理、經濟預警等方面，還顯得很不夠，其知識結構與企業需要與發展相距較遠。

（四）改善管理水平，做好科學有效的內控體系建設

改善現有的管理水平，大中型企業必須借助于內控體系。完善的內控體系可以促進企業管理，實現企業的發展目標。內控首先要設計符合企業內部業務特點的管理體系，并且這個管理體系要能夠根據公司業務比如組織架構調整進行及時調整。同時要把它體系形成文件，作為我們執行和審計的依據，作為監督改變的依據。

內控在國內應用的時間不是很長，大中型企業做內控可以參考優秀企業的內控來做。從信息化的角度來看，雖然不同的行業，不同的企業性質都不相同，但可以關注其他企業支持內控系統是如何來做的？歷史證明，參照成功實施企業內控的企業做本企業的內控無疑是一個非常好的辦法。

（五）突出抓好重點，符合基本規范同時考慮成本效益原則

一方面，大中型企業內部控制的有效實施可以有效防范企業風險的發生，減少企業不必要的損失，但另一方面內部控制的實施需要付出人力、物力、財力，會產生大額成本。所以《基本規范》的具體實施必須考慮實施成本，在實施過程中應遵循成本最小化下的效率最大化原則，盡量避免執行程序的冗長繁瑣,避免執行規則的不經濟帶來的市場發展的低效率。

1、在實施過程中浙江大中型企業需要從自身的實踐層面出發，樹立正確的“內控觀”。內部控制體系不是對現有企業管理體系的推倒重來，更不是獨立于企業現有管理體系的另外一個體系，而是對現有管理體系的整合，是對企業現有管理體系職能的強化。

2、實施過程中人手少，任務重，全面開展此項工作的精力非常有限，要盡可能使有限的精力發揮出好的效益。可以遵循當今管理學界所熟知的“80/20”定律，即“馬特萊法則”。分析把握好影響全局的關鍵因子，力求做到突出重點，抓好重要的20%因子，畢竟80%的價值來自于20%的因子。

（六）先做內控原型，不斷完善以其內部控制達到持續化改進

研究國外優秀企業內控建設的經驗是先做一個原型或者模型，然后逐步的填充，內控和信息化是一樣，沒有邊界，因此，浙江大中型企業可以要先搭建內控的的框架，然后在框架中不斷增加、修改，做到持續的優化。

企業需要不定期或定期地對自己的內部控制系統進行有效性及實施效率效果的評估，以期能更好地達成內部控制的目標。開展自我評估，用結構化的方法進行評估，密切關注業務的過程和控制的成效，了解缺陷的位置以及可能引致的后果，然后自我采取行動改進。不斷完善，以便實現持續化。

內部控制是企業現代化管理必然產物，良好企業內控管理是成功企業必備條件。企業建立有效的內控控制體系已經成為企業可持續發展的關鍵，所以企業可以把《基本規范》實施作為一個改善企業業績的契機，促使自身加強內部控制,提高企業管理水平與經濟效益，促進企業實現發展戰略。

篇（9）

面對已于2009年7月實施的《企業內部控制基本規范》，所有上市公司均急需建立一套合規的內部控制機制以滿足《企業內部控制基本規范》的要求，特別是在全球資本市場上加強對上市公司的監管已經是大勢所趨的情況下，中國上市保險公司若想站在世界的舞臺上、參與國際市場的競爭，就更應該充分重視對自身內控體系的建設。

一、健全我國保險企業內控制度的必要性

保險公司的特殊性也決定了其必須建立完善的內部控制機制。其目的主要有三：一是保證保險人的償付能力，防止保險經營的失敗；二是保證保險交易的公平性和公正性，防止利用保險進行欺詐：三是保證保險經營的效率，提高被保險人的利益。對于保險公司而言，保險監督是一種外在的、強制的監督，而公司內部控制則是內部的、自覺的監督。從要達到保險監督的目的來看，外在的監督只有通過公司的自我約束，才能真正發揮作用。自我約束是保險公司內在的、對保證保險公司持續健康發展起決定性作用的層次，而自我約束能力又取決于及時、有效的內控管理。因此，內部控制管理與保險監督管理相輔相成，共同形成對保險企業合規性經營的促進。

二、當前我國保險企業內控制度存在的問題

目前，我國保險公司的內部控制是建立在授權、轉授權制度基礎上的分層次多級管理，并未明確內部控制的構成要素，而是直接列出了內部控制的內容。即內部控制還限定在業務項目如險種或部門層次上，缺乏采用內部控制要素的觀念，按照業務循環或作業流程來設計動態的內部控制機制，往往容易造成以下問題：

(一)保險公司疏于事前防范和事中控制

目前一些保險公司的領導管理層的內部控制意識淡薄，認識簡單化。在實際操作中往往重視“亡羊補牢”式的事后監督，而輕視“未雨綢繆”式的事前防范，更忽視“兵來將擋，水來土掩”式的動態事中控制，因此出現事故案件屢禁不止的現象。

(二)保險公司對業務流程的控制不足

有些保險公司的管理層認為規章制度既已制定，下面照章執行即可；還有一些管理者把內部控制與經營管理對立起來，認為加強了內部控制就會影響到業務的發展，把內部控制與公司的發展和效益的提高對立起來，缺乏把內控工作作為一項經營管理的基礎性工作加以重視的意識，對業務過程疏于監控，錯失把可能出現的問題控制在源頭或消滅在萌芽狀態的良機。

(三)保險公司的公司內部經營管理過于放松

目前一些保險公司對內部控制的認識還停留在內部牽制和內部控制制度建設階段，甚至有人把內控看作是一種復核機制，重會計數字核算控制，尚未把內部控制作為管理的一種手段，將內部控制的有效性僅僅體現在會計數字的準確性上，而忽視業務流程控制的“防微杜漸”機能。

三、新時期完善我國保險公司內控機制的對策建議

(一)建立健全保險公司內部會計系統和內部審計控制

在會計制度框架內建立適應公司的統一會計政策，根據經營管理的需要統一下級公司的核算口徑，明確財務會計報告的處理程序與方法，遵循會計制度規定的各條核算原則，同時建立內部審計，主要有財務審計、經營審計和管理審計。內部審計在企業應保持相對獨立性，應獨立于其他經營管理部門，最好受董事會或下屬審計委員會的領導。

(二)完善全面預算和績效評估制度，建立健全業務流程體系

保險公司應抓好預算體系的建立、預算的編制和審定、預算指標的下達及相關責任人或部門的落實、預算執行的授權、預算執行過程的監控、預算差異的分析與調整、預算業績的考核等環節；公司還應建立以核保、核賠、投資風險控制為主要內容的內部控制制度，堅持“雙人勘查、交叉復核、分級核損、終審歸案”的原則，防止假賠、騙賠案的發生。嚴格控制高風險、低流動資產比例，加強資產負債匹配和現金流量管理。

(三)加強信息技術在風險管理和內部控制方面的應用

信息技術可以改變傳統模式下內部控制偏重于檢查性和糾正性職能的弊端，實現內部控制重心從適時控制向事前控制、實時控制轉移。保險公司應盡快完成業務、財務數據的全國集中，并防止分支機構在設定的權限范圍外可能出現的數據篡改和隱瞞。充分利用信息技術在內部控制中的“預警作用”：根據信息系統所涉及的業務流程的風險點、所采集的信息，設計所要控制的參數和預警指標，使系統實現自動的作業錯誤提示、業務舞弊防范和風險預警。

(四)著力提高公司經營管理的整體水平

保險公司的組織結構是保證公司各部門和總分支公司各司其職、有序結合、分工明確和有效運作的組織保障。圍繞風險控制和增進效益兩個目標，保險公司應該加強內控管理水平，增強競爭能力，在日益開放的經營環境中立于不敗之地。首先，應建立高效的風險管理機制，嚴格控制經營風險；其次，運用高新技術手段和先進方法對風險變動趨勢進行科學地預測，有效進行公司經營風險的控制和管理；最后，完善保險風險內部控制機制，對經營風險進行控制。

內部控制是公司的自律機制，它的加強和完善是保險業發展到一定階段在管理方面的必然要求，并受到公司治理、保險監管、企業文化、市場風險和機會、技術發展等各方面因素的影響。因此，各保險公司應積極探討在上述因素的制約下適合本公司的內控機制，促進其保險經營再上一個新臺階。

參考文獻

[1]梁子君.論保險公司公司治理、風險管理與內部控制的關系[J].經濟論壇，2006，(08)

篇（10）

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 18. 021

［中圖分類號］ F239.45 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）18- 0037- 03

1 新舊企業內部控制基本規范的比較

2008年財政部、證監會、審計署、銀監會和保監會聯合了《企業內部控制基本規范》（以下簡稱“新基本規范”）。這是繼2000年財政部的《內部會計控制規范——基本規范（試行）》（以下簡稱“舊基本規范”）以來，我國在會計、審計領域的又一重大變革。新基本規范為上市公司加強內部控制建設提供了基礎性和權威性的借鑒，必將有利于提高上市公司經營管理水平和風險防范能力，促進資本市場持續健康發展。同時也為我國中小企業長久持續發展指明了方向，加強企業內部管理是企業長盛不衰的法寶，中小企業在條件具備的情況下應嚴格管理，完善內部控制。

1.1 企業內部控制定位及所體現的理念

舊基本規范涉及的內部控制是指內部會計控制，在具體范圍上，主要涵蓋的是內部會計控制，同時也兼顧與會計相關的控制。對內部控制中的大部分管理控制因其與會計不相關而被排除在舊基本規范之外。舊基本規范的框架結構也是圍繞內部會計控制應遵循的目標、原則、內容、方法、監督、檢查等邏輯思路來構建的。因此，傳統的“內部控制制度二分法”（將內部控制劃分為內部會計控制和內部管理控制）思想主導了舊基本規范對內部控制的定位和規范。

新基本規范雖然以財務報告內部控制為核心，以內部控制機制為規范重點，但是定位卻是企業的全面內部控制。新基本規范還借鑒了COSO（The Committee of Sponsoring Organizations）的框架，根據我國的具體國情進行了較大的調整和改革。尤其是對全面風險管理理念的關注，幾乎體現在新基本規范的所有方面。

1.2 企業內部控制規范的力度

在制定主體上，舊基本規范是由財政部制定的，而新基本規范是由財政部會同證監會、審計署、銀監會和保監會聯合制定并的，新基本規范更具代表性和權威性，更有利于其有效的實施。在適用范圍上，舊基本規范適用于我國境內所有的國家機關、社會團體、公司、事業單位和其他經濟組織，而新基本規范則適用于中國境內設立的大中型企業，小企業和其他單位也可以參照新基本規范建立并實施內部控制。新基本規范在上市公司范圍內施行的同時，明確鼓勵非上市的大中型企業參照執行。

新基本規范要求上市公司對內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘用具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計。

此外，為了確保外部審計等監督措施能夠得以順利實施，新基本規范指出“企業應當以書面或者其他適當的形式，妥善保存內部控制建立與實施過程中的相關記錄或者資料，確保內部控制建立與實施過程的可驗證性”。

而舊基本規范除了規定各單位應當根據國家有關法律法規和規范本身，結合部門或系統的內部會計控制規定，建立適合本單位業務特點和管理要求的內部會計控制制度并組織實施，除此之外，沒有特別要求單位本身對內部控制的有效性進行自我評價并出具內部控制的自我評價報告。

2 中外企業內部控制基本規范的比較

COSO的《企業風險管理——整合框架》繼承了COSO于1992年的《內部控制——整合框架》的五要素框架，并在此基礎上將其發展成為八要素框架，與《企業內部控制基本規范》一樣，都涵蓋了五要素框架，即內部環境、風險評估、控制活動、信息與溝通以及內部監督（《企業風險管理——整合框架》稱之為“監控”）。

2.1 形式差異

在借鑒國外的內部控制框架的同時，新的《企業內部控制基本規范》也有自己的創新，它根據我國的實際情況，在五要素的基礎上做出了較大的調整，這樣在內容上得到更大的充實，在表達形式上也就更符合我國法規特點、文化傳統和語言習慣，使得國外提出的較為宏觀、抽象的內部控制理念轉變為了具有針對性、實用性的內部控制規定。這樣一來，兩個文件在控制活動、信息與溝通和內部監督方面的規定就基本相同了。

2.2 本質差異

篇（11）

 

1 企業內部控制制度體系 

1.1 內部控制制度 

所謂內部控制制度就是指某單位在本單位內部因分工而產生的相互制約、相互聯系的基礎上，采取一系列具有控制作用的方法、措施和程序，并即時以規范化、系統化、制度化，由此所形成的一整套嚴密的控制機制，也稱為內部控制系統。 

1.2 企業內部控制標準體系主要包括基本規范、具體規范和應用指引 

基本規范規定內部控制的基本目標、基本要素、基本原則和總體要求，是制定具體規范和應用指南的基本依據，在內控標準體系中起統馭作用。我國的內部控制基本規范基本確定了企業內部控制的5個目標5個原則5個要素，總計50個項目，由5個部門。 

具體規范是根據基本規范，對企業辦理具體業務與事項從內部控制角度作出的具體規定。 

應用指引是根據基本規范和相關具體規范制定的詳細解釋和說明，主要是為某些特殊行業、特殊企業、特定內控程序提供操作性強的指引。為了促進企業建立、實施和評價內部控制，規范會計師事務所內部控制審計行為，根據國家有關法律法規和《企業內部控制基本規范》（財會〔2008〕7號），財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制應用指引第1號——組織架構》等18項應用指引。 

2 企業內部控制制度體系的制定背景 

安然、世通等財務舞弊和會計造假案件的發生，嚴重沖擊了美國乃至國際資本市場的正常秩序，內部控制存在缺陷是導致企業經營失敗并最終鋌而走險、欺騙投資者和社會公眾的重要原因。為此，許多國家通過立法強化企業內部控制，如美國的《薩班斯——奧克利法案》等，內部控制日益成為企業進入資本市場的“入門證”和“通行證”，我國境外上市企業紛紛花巨資聘請海外機構設計內部控制制度，以適應上市地的監管要求。 

為了引導企業進一步加強內部控制，1999年修訂的《會計法》，第一次以法律的形式對建立健全內部控制提出原則要求，財政部隨即連續制定了《內部會計控制規范——基本規范》等7項內部會計控制規范。 

2004年底和2005年6月，國務院領導同志連續兩次就強化企業內部控制問題作出重要批示，其中，2005年6月，在財政部、國資委和證監會聯合上報的《關于借鑒〈薩班斯法案〉完善我國上市公司內部控制制度的報告》上作出批示，同意“由財政部牽頭，聯合證監會及國資委，積極研究制定一套完整公認的企業內部控制指引”。 

基本規范和17項具體規范的起草工作，大致分為五個階段： 

一是資料收集和理論研究階段，主要是2004年底至2005年6月。 

二是起草初步框架階段，主要是2005年7月至2006年6月。在這一階段，組織了多次小型座談會，就擬訂內部控制基本框架聽取了有關監管部門和專家學者的意見，并初步勾勒出了企業內部控制基本規范的原則框架。財政部大力推進企業內部控制制度建設得到了世界銀行的重視和支持，經協商，世界銀行同意將內控項目納入技術援助項目并給予一定資助。 

三是全面起草階段，主要是2006年7月至9月。2006年7月15日，財政部、國資委、證監會、審計署、銀監會、保監會聯合發起成立企業內部控制標準委員會，許多監管部門、大型企業、行業組織、中介機構、科研院所的領導和專家學者積極參與，為構建我國企業內部控制標準體系提供了組織和機制保障；與此同時，按照科學民主決策精神，公開選聘了86名咨詢專家，組織開展了一系列內部控制科研課題，為構建我國內控標準體系提供技術支撐和理論支持。