第一节　企业内部控制规范体系框架

三、内部控制要素（掌握）

（一）内部环境（基础——优化）

5.企业文化（软实力——灵魂）。企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识和法制观念。董事、监事、经理及其他高级管理人员应在塑造良好的企业文化中发挥关键作用。

【提示】

（1）企业文化是指企业在经营管理过程中形成的、影响企业内部环境和内部控制效力的精神、意识和理念，主要包括企业的整体价值观，高级管理人员的管理理念、经营风格与职业操守，员工的行为守则等。

（2）企业文化具体内容见《企业内部控制应用指引第5号——企业文化》

企业环境分为外部环境与内部环境。外部环境对企业内部控制的影响更多体现的是约束和规范，它超出了企业的控制能力；但企业评估风险要考虑企业外部环境风险。内部环境直接造成了各企业内部控制形式和内容的差异。

【案例分析4】某公司董事会会议一致通过了优化内部环境的决议，包括：严格规范公司治理结构，各类业务事项均应提交董事会或股东大会审核批准；调整机构设置和权责分配，做到所有不相容岗位或职务严格分离、相互制约、相互监督；完善人力资源政策，建立优胜劣汰机制，同时注重就业和员工权益保护，认真履行社会责任，加强企业文化建设，倡导诚实守信、爱岗敬业，开拓创新和团队协作精神。

要求：根据《企业内部控制基本规范》及其配套指引，指出董事会会议提出优化内部环境的决议有哪些不当之处，并简要说明理由。

【参考答案及分析】

（1）各类业务事项均应提交董事会或股东大会审核批准的观点不恰当。

理由：各类业务事项应按照规定的权限和程序进行审核批准。

或：重大业务事项才需要提交董事会或股东大会审核批准。

（2）所有不相容岗位或职务严格分离的观点不恰当。

理由：不符合适应性原则和成本效益原则的要求。

或：受公司规模、业务特点等因素影响，无法对不相容岗位或职务实现有效分离的，可不予分离。

（二）风险评估（重要环节）

风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略，实施内部控制的重要环节。风险评估主要包括：目标设定、风险识别、风险分析和风险应对。（第五章风险管理具体讲述）

（三）控制活动（重要手段）

控制活动是指企业根据风险应对策略，采用相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。常见的控制措施有下列7项。

【提示】内部控制要制度化，制度要流程化。流程是借鉴了计算机软件设计中的方法论，使工作程序化、标准化、系统化。这样不易出现漏洞，从而更加严谨。

1.不相容职务分离控制（基本上年年考）

控制活动	内容	举例
不相容职务分离控制	所谓不相容职务，是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和弊端行为的职务。它要求每项经济业务都要经过两个或两个以上的部门或人员的处理，使得单个人员或部门的工作必须与其他人员或部门的工作相一致或相联系，并受其监督和制约。企业可以通过在两个或两个以上的人员之间分配工作的方式，形成相互制约的工作机制实现这一监控目标大多数交易都可分成三类独立的职责。第一是认可或发起交易，第二是处理被交易的资产，最后是记录交易当舞弊涉及两人或两人以上的串通行为，不相容职务分离控制可能是无效的	例如，企业中负责收付现金的出纳员和记录交易的会计员应分别由不同的人员负责例如，在有效的公司治理层面上，董事会主席与首席执行官的职责应当分离，以防止一个人取得董事会的支配地位

【提示】

（1）内部控制的基本假设是：两个人有意识地犯同样错误的概率要远少于一个人；两个人有意识地合伙舞弊的可能性要远少于一个人。

（2）因资源限制等原因无法实现不相容职务分离的，企业应当采取抽查交易文档、定期资产盘点等替代性措施。

（3）不相容职务相互分离贯穿内部控制、设计、实施、运行、评价全过程，设计内部控制系统时，首先应确定哪些岗位和职务是不相容的；其次要明确规定各个机构和岗位的职责权限，使不相容岗位和职务之间能够相互监督、相互制约，形成有效的制衡机制。

【相关链接】在单位内部应加以分离的主要不相容职务有：

①授权进行某项经济业务和执行该项业务的职务要分离，如有权决定或审批材料采购的人员不能同时兼任采购员职务；

②执行某些经济业务和审核这些经济业务的职务要分离，如填写销货发票的人员不能兼任审核人员；

③执行某项经济业务和记录该项业务的职务要分离，如销货人员不能同时兼任会计记账工作；

④保管某些财产物资和对其进行记录的职务要分离，如会计部门的出纳员与记账员要分离，不能兼任；

⑤保管某些财产物资和核对实存数与账存数的职务要分离；

⑥记录明细账和记录总账的职务要分离；

⑦登记日记账和登记总账的职务要分离。

2.授权审批控制

控制活动	含义及内容
授权审批控制	授权审批是指企业在办理各项经济业务时，必须经过规定程序的授权批准。授权审批形式通常有常规授权和特别授权之分：常规授权：企业在日常经营管理活动中按照既定的职责和程序进行的授权，以规范经济业务的权力、条件和有关责任者，其时效性一般较长特别授权：企业在特殊情况、特定条件下对办理例外的非常规性交易事项的权力、条件和责任的应急性授权企业必须建立授权审批体系，编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。对于重大的业务和事项，企业应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或擅自改变集体决策例如：被授权的雇员可能开展了达到某项限制的交易，并且须为超出规定限制的交易取得批准。批准上述超出规定限制的交易时，上级必须在核实该活动符合政策及程序的基础上，才能予以批准例如：某汽车零部件企业采购业务的授权审批制度：采购预算内，采购金额在0.2万元以内的，由采购经理审批；采购金额在0.2​～1万元的，由财务总监审批；采购金额在1～10万元的，由财务总监审核，总经理审批；采购金额10万元以上的，需要实行集体决策或者联签制度

3.会计系统控制

控制活动	含义及内容
会计系统控制	会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等而进行的控制。其主要内容包括：①依法设置会计机构，配备会计从业人员，建立会计工作的岗位责任制，对会计人员进行科学合理的分工，使之相互监督和制约；②按照规定取得和填制原始凭证；③设计良好的凭证格式；④对凭证进行连续编号；⑤规定合理的凭证传递程序；⑥明确凭证的装订和保管手续责任；⑦合理设置账户，登记会计账簿，进行复式记账；⑧按照《会计法》和国家统一的会计准则制度的要求编制、报送、保管财务会计报告例如，企业应在向客户发货或批准支付前仔细检查发票上的数字，确保数字是正确的，且企业对业务处理的文件记录和凭证应编制连续号码，以避免重复记录或遗漏

4.财产保护控制

控制活动	含义及内容
财产保护控制	财产保护控制是指保护资产不被偷盗或未经许可而获得或被使用的措施和程序包括建立财产日常管理制度和定期清查制度。财产保护控制3项措施：①财产记录和实物保管。妥善保管涉及资产的各种文件资料，避免记录受损、被盗、被毁。对重要的文件资料，应当留有备份，以便在遭受意外损失或毁坏时重新恢复②定期盘点和账实核对。定期对实物资产进行盘点，并将盘点结果与会计记录进行比较③限制接近。严格限制未经授权的人员对资产的直接接触，只有经过授权批准的人员才能接触该资产。一般情况下，对货币资金、有价证券、贵重物品、存货等变现能力强的资产必须限制无关人员的直接接触例如：采用财产记录、使用保险箱储存现金和重要文件、为大楼或其内的区域设立门禁系统、对贵重资产采取双重保管方法（即必须两人同时出现才能取得某些资产）、定期对存货进行盘点、雇用保安和利用闭路电视摄像头等措施，确保财产安全

5.预算控制

预算是企业未来一定时期内经营、资本、财务等各方面的收入、支出、现金流的总体计划。预算控制内容涵盖企业经营活动全过程，企业通过预算的编制和检查预算的执行情况，可以比较、分析内部各单位未完成预算的原因，并对未完成预算的不良后果采取改进措施。

分解预算控制的主要环节有：①确定预算的项目、标准和程序；②编制和审定预算；③预算指标的下达和责任人的落实；④预算执行的授权；⑤预算执行过程的监控；⑥预算差异的分析和调整；⑦预算业绩的考核和奖惩。

【提示】预算控制具体内容见《企业内部控制应用指引第15号——全面预算》

6.运营分析控制

运营分析是对企业内部各项业务、各类机构的运行情况进行独立分析或综合分析，进而掌握企业运营的效率和效果，为持续的优化调整奠定基础。

7.绩效考评控制

绩效考评是对所属企业及个人占有、使用、管理与配置企业经济资源的效果进行的评价。企业董事会及经理层可以根据绩效考评的结果进行有效决策，引导和规范员工行为，促进实现发展战略和提高经营效率效果。

主要环节有：

①确定绩效考评目标，绩效考评目标应当具有针对性和可操作性；

②设置考核指标体系，包括定量指标（以反映评价客体的各种数量特征和定性指标（以说明各项非数量指标的影响），同时，针对不同的评价指标赋予相应的权重，体现各项评价指标对绩效考评结果的影响程度和重要程度；

③选择考核评价标准，评价标准是反映评价指标优劣的具体参照物和对比尺度，企业可以根据评价目标选用不同的评价标准，如历史标准、预算标准、行业标准等；

④形成评价结果，根据评价指标和评价标准，对企业全体员工的业绩进行定期考核和客观评价，在此基础上形成评价结论；

⑤制定奖惩措施，企业应当将绩效考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗和辞退等的依据。

对企业内部各责任单位和全体员工的绩效进行定期考核和客观评价，将考评结果作为确定员工薪酬以及晋升、评优等依据。

【案例分析5】某公司董事会议明确了公司应从以下三个方面强化控制措施：一是实施全面预算管理，将各类业务事项均纳入预算控制；二是将控制措施“嵌入”信息系统中，通过现代化手段实现自动控制；三是完善合同管理制度，所有对外发生的经济行为均应签订书面合同。

要求：根据《企业内部控制基本规范》及其配套指引，指出董事会会议提出控制活动要点有哪些不当之处，并简要说明理由。

【参考答案及分析】

（1）将各类业务事项均纳入预算控制的观点不恰当。

理由：预算控制措施一般不适用于不能量化的业务事项。

（2）所有对外发生的经济行为均须签订书面合同的观点不恰当。

理由：不符合成本效益原则的要求。

或：对于零星、即时清结等交易行为，可不签订书面合同。

（四）信息与沟通（重要条件）

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，是实施内部控制的重要条件。信息与沟通的要件主要包括：信息质量、沟通制度、信息系统、反舞弊机制。

1.信息质量。信息是企业各类业务事项属性的标识，是确保企业经营管理活动顺利开展的基础。企业日常生产经营需要收集各种内部信息和外部信息，并对这些信息进行合理筛选、核对、整合，提高信息的有用性。

2.沟通制度。信息的价值必须通过传递和使用才能体现。企业应当建立信息沟通制度，将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间，进行沟通和反馈。重要信息须及时传递给董事会、监事会和经理层。

【提示】有效的沟通必须以全方位方式进行，既有内部沟通也有外部沟通：高级管理层和员工之间、管理层与董事会及董事会下辖的委员会之间、企业与外界各方（比如股东、债权人、客户、供应商、监管机构、律师、注册会计师）之间。

3.信息系统。为提高控制效率，企业可以运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。

4.反舞弊机制。舞弊指企业董事、监事、经理、其他高级管理人员、员工或第三方使用欺骗手段获取不当或非法利益的故意行为。

反舞弊工作的重点包括：①未经授权或者采取其他不法方式侵占、挪用企业资产，谋取不当利益；②在财务会计报告和信息披露等方面存在虚假记载、误导性陈述或者重大遗漏等；③董事、监事、经理及其他高级管理人员滥用职权；④相关机构或人员串通舞弊。企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。

【案例分析6】信息与沟通。董事会会议要求公司完善信息与沟通制度。及时收集、整理与内部控制相关的内外部信息，促进信息在企业内部各层级之间，企业与外部有关方面之间的有效沟通与反馈；同时建立反舞弊机制，实施举报投诉制度和举报人保护制度，及时传达至全体中层以上员工。确保举报、投诉成为公司有效掌握信息的重要途径。

要求：根据《企业内部控制基本规范》及其配套指引，指出董事会会议提出信息与沟通要点有哪些不当之处，并简要说明理由。

【参考答案及分析】

举报投诉制度和举报人保护制度传达至全体中层以上员工的观点不恰当。

理由：举报投诉制度和举报人保护制度应传达至公司全体员工。

（五）内部监督（重要保证）

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，对于发现的内部控制缺陷，及时加以改进，是实施内部控制的重要保证。内部监督的实质是随时对内部控制构成要素的设计和运行有效进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。内部监督包括日常监督和专项监督。

1.日常监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。日常监督的常见方式包括：①在日常生产经营活动中获得能够判断内部控制设计与运行情况的信息；②在与外部有关方面沟通过程中获得有关内部控制设计与运行情况的验证信息；③在与员工沟通过程中获得内部控制是否有效执行的证据；④通过账面记录与实物资产的检查比较对资产的安全性进行持续监督；⑤通过内部审计活动对内部控制有效性进行持续监督。

2.专项监督。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一方面或某些方面进行有针对性的监督检查。日常监督是专项监督的基础，专项监督是日常监督的补充，如果发现某专项监督需要经常性地进行，企业有必要将其纳入日常监督之中。

日常监督和专项监督情况应当形成书面报告，并在报告中揭示存在的内部控制缺陷。

【提示】内部控制五大要素贯穿内部控制全过程，要与内部控制五大目标，五项原则结合起来掌握。

【案例分析7】某公司董事会会议强调，内部监督是防止内部控制流于形式的重要保证。为此，公司应当强化内部监督制度，由审计委员会和内部审计机构全权负责内部控制的监督检查，合理保证内部控制目标的实现；审计委员会和内部审计机构在内部监督中发现重大问题，有权直接向董事会和监事会报告。

要求：根据《企业内部控制基本规范》及配套指引，指出董事会会议提出内部监督要点有哪些不当之处，并简要说明理由。

【参考答案及分析】

审计委员会和内部审计机构全权负责内部控制监督检查的观点不恰当。

理由：董事会负责内部控制的建立和有效实施；除内部审计机构之外，经理层及公司其他内部机构在内部监督中也应承担相应的职责。