南京审计学院国际审计学院 刘世林 教授主讲 2011年10月

Presentation on theme: "南京审计学院国际审计学院 刘世林 教授主讲 2011年10月"— Presentation transcript:

1 南京审计学院国际审计学院 刘世林 教授主讲 2011年10月
内部控制设计与评价 南京审计学院国际审计学院 刘世林 教授主讲 2011年10月

2 内部控制设计与评价 第一章：内部控制概述 第二章：内部控制设计 第三章：内部控制评价

3 第一章：内部控制概述 第一节 内部控制起源和发展 第二节 内部控制概念的界定 第三节 内部控制的基本功能 第四节 内部控制的基本构架

4 第一节 内部控制起源和发展 一、内部控制制度的起源和发展 1、内部牵制阶段----内部控制的单要素 2、内部制度阶段----内部控制的双要素
3、内部结构阶段----内部控制的三要素 4、内部框架阶段----内部控制的五要素 5、风险管理阶段----内部控制的八要素

5 第一节 内部控制起源和发展 二、内部控制理论的起源和发展 1、内部控制程序论 2、内部控制业务论 3、内部控制管理论 4、内部控制系统论

6 第二节 内部控制概念的界定 一、国外内部控制概念界定 1、COSO报告（6）
COSO定义：ERM框架将全面风险管理定义为：全面风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。

7 第二节 内部控制概念的界定 一、国外内部控制概念界定 1、COSO报告（6） 内部控制包括三个维度：
第一个维度是企业的目标;企业的目标有四个，即战略目标、经营目标、报告目标和合规目标； 第二个维度是全面风险管理要素，全面风险管理要素有八个，即内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息和交流、监控； 第三个维度是企业的各个层级。企业的各个层级，包括企业层面、各职能部门、各条业务线及下属各子公司。

8 第二节 内部控制概念的界定 一、国外内部控制概念界定 1、COSO报告（6） 内部控制包括两个层面：
第一个层面是公司层面，即所有者对经营者的控制，通过一套有效的制衡机制，对经营者进行激励和约束，促使经营者科学决策、努力经营，减少逆向选择和道德风险； 第二个层面是业务层面，即经营者对生产经营活动的控制，通过对业务过程中的业务流、资金流、信息流和人员流进行监控，提高管理效益和效率，实现既定目标。

9 第二节 内部控制概念的界定 一、国外内部控制概念界定 2、加拿大CoCo委员会的控制指南（7）
《控制指南》(Guidance on Control)（简称CoCo指南），将“内部控制”的概念扩展到“控制”，其定义为“控制是一个企业中的要素集合体，包括资源、系统、过程、文化、结构和任务等，这些要素结合在一起，支持达成该企业的目标”。

10 第二节 内部控制概念的界定 一、国外内部控制概念界定 2、加拿大CoCo委员会的控制指南（7）
控制由四个基本要素构成：目标、承诺、能力、学习与监督。目标是指明确企业发展的方向及发展过程中的风险和机遇，包括任务、前景和战略计划。承诺是指企业应培育互相信任的氛围，建立和沟通以诚信为基石的伦理价值观。能力要素强调，员工应拥有设计和执行控制活动所必需的知识、资源、技术和工具，以增强企业的竞争力。学习与监督着眼于企业的发展，指从工作中持续学习和自我检查。

11 第二节 内部控制概念的界定 一、国外内部控制概念界定 2、加拿大CoCo委员会的控制指南（7）
与COSO报告相比，CoCo指南提供了更为广泛、更具前瞻性的内部控制概念。例如，CoCo指南强调对内部控制的评估应着眼于与未来业绩、机会与风险相关的信息，认为追求机会的能力与必要时快速灵活地作出反应的能力对组织发展十分必要。

12 第二节 内部控制概念的界定 一、国外内部控制概念界定 3、巴塞尔委员会的内部控制（8）
《巴塞尔框架》并没有对内部控制作出明确定义，而是规定了内部控制的五个构成要素：管理监督和控制文化、风险识别和评价、控制活动和职责分离、信息与沟通、监管和缺陷纠正，并基于五个要素提出十三条原则。

13 第二节 内部控制概念的界定 一、国外内部控制概念界定 3、巴塞尔委员会的内部控制（8）
《巴塞尔框架》基于五个要素提出十三条原则。这些原则明确指出，董事会和高管人员对内部控制建立和执行的有效性负有最终责任；要求银行对经营中的风险进行有效识别和持续评估；特别强调银行应实行恰当的职责分离制度；要求银行建立有效的信息系统与沟通渠道。

14 第二节 内部控制概念的界定 一、国外内部控制概念界定 3、巴塞尔委员会的内部控制（8）
《巴塞尔框架》吸收和借鉴了COSO报告的内容精髓，因此两者在整体结构上十分相似，但同时也存在一定差异。《巴塞尔框架》的内容更加具体、更具有可操作性。通过针对每一个要素制定相关内控建立和评估的原则，明确了主要的控制点和控制流程。《巴塞尔框架》还明确了董事会、管理层、业务部门和内部审计部门在内部控制系统的责任。

15 第二节 内部控制概念的界定 二、我国内部控制概念界定 1、我国内部控制基本规范（8）
2006年7月15日，受国务院委托，财政部牵头，由财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会；2008年6月，五部委发布《企业内部控制基本规范》（简称《基本规范》）；

16 第二节 内部控制概念的界定 二、我国内部控制概念界定 2、我国内部控制概念（8）
《基本规范》对内部控制作出如下定义：内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

17 第三节 内部控制的基本功能 一、内部控制的本质特征 1、职务分离
不相容职务----在业务活动中不同环节的运作由同一职务执行可能产生舞弊的职务，这种职务应分离为两个以上职务的人员执行。 不相容职务的分离通过分别授权来实现，包括职务层次分离和职务结构分离。

18 第三节 内部控制的基本功能 一、内部控制的本质特征 1、职务分离 职务层次分离----高层职务、中层职务、基层职务
高层职务分离----公司治理 中层职务分离----部门控制 基层职务分离----岗位控制

19 第三节 内部控制的基本功能 一、内部控制的本质特征 1、职务分离 高层职务分离----决策、执行、监督三权分离；
中层职务分离----不同业务授权不同部门执行； 基层职务分离----不同岗位职务安排不停人员担任。

20 第三节 内部控制的基本功能 一、内部控制的本质特征 2、牵制制衡
组织制衡----不同的组织和人员授予不同职权在权力平衡条件下，以权力制约权力。制衡组织之间相互独立，产生制衡动力。 制衡动力----来源：组织的独立、人员的素质、机制的完善。例如“内部人”治理缺乏动力来源；“非利益关系人”治理动力可能弱化；“利益冲突人”治理治理动力强化，但要控制非理性。

21 第三节 内部控制的基本功能 一、内部控制的本质特征 2、牵制制衡
制度牵制----不同的业务活动在业务流程中植入控制手续制度，保证业务流程的规范化，业务历程的每一环节业务手续执行的有效性。 牵制效率----程序公正与效率的关系，即公平与效率的关系。没有程序的公平，就没有效率。

22 第三节 内部控制的基本功能 二、内部控制的形式 1、组织系统 内部控制组织系统----内部控制制度运行平台。
公司治理----组织高层权力控制，如决策组织、决策执行组织、监督组织。 组织构架----组织业务部门控制，有两种控制形式，包括集中控制和分权控制。 岗位设置----组织工作人员岗位控制，员工职务控制。

23 第三节 内部控制的基本功能 二、内部控制的形式 2、制度系统 内部控制制度系统----内部控制制度运行规范。
控制制度----按照不同业务建立的各种各种制度，如决策及执行制度、人力资源管理制度、财务管理制度、采购管理制度、生产管理制度、销售管理制度等。 控制程序----按业务运行过程植入控制手续所形成的控制程序，包括控制点。 控制手续----再也无力城中植入的控制手段，包括方法、规则、规范等。

24 第三节 内部控制的基本功能 三、内部控制的目标 1、内部控制基本目标
内部控制基本目标----内部控制的总体效果目标，也是评价内部控制质量的基本标准。 内部控制基本目标----是：内部控制的有效性。他是一个目标体系，包括内部控制及安全性、内部控制遵循性、内部控制的可靠性。

25 第三节 内部控制的基本功能 三、内部控制的目标 2、内部控制流程目标
内部控制流程目标----按业务内容和控制流程目的形成的内部控制业务目标，也是评价内部控制流程质量的标准。 内部控制流程目标----是：内部控制流程对资产控制的安全性目标；内部控制流程对信息控制的可靠性目标；内部控制流程对行为控制的效率性目标；内部控制流程对资产、信息、行为控制的合法性目标等。

26 第三节 内部控制的基本功能 三、内部控制的目标 3、内部控制点目标
内部控制点----在内部控制流程中不同业务环节之间的控制连接点，例如在采购控制流程中：计划—采购—验收—核算—结算，流程中有五个控制点。内部控制点的要素：目标、手续、措施。 内部空点目标----每一个控制点要达到的预期目的。他是具体目标。

27 第三节 内部控制的基本功能 四、内部控制的基本功能 1、内部控制基本功能
舞弊控制----通过对经济活动的流程牵制，以降低财务、管理舞弊的可能性； 效率控制----通过科学的流程设计和执行，以减少业务执行中的摩擦 信息控制----通过在信息生成过程中植入规范的控制手续，以限制信息造假和泄漏。

28 第三节 内部控制的基本功能 四、内部控制的基本功能 2、内部控制延伸功能
COSO报告以后，内部控制功能向风险控制领域延伸，是内部控制具有了风险控制功能。 风险控制----通过在决策和执行过程中增加风险辨识、风险分析、风险应对、风险预警和风险制衡措施，限制风险的恶变，引导风险的良性发展。

29 第三节 内部控制的基本功能 五、内部控制的局限性 1、成本限制 2、人为错误 3、串通舞弊 4、滥用职权 5、制度失效
6、非经常性事项（23）

30 第四节 内部控制的基本构架 一、内部控制要素—内部环境 1、诚信与道德价值观
内部控制的有效性受到人的诚信和道德价值观的影响。诚信和道德价值观是一个主体内部环境的关键要素，它影响着企业内部控制其他要素的设计、管理和监控。 职业道德是指从事一定职业劳动的人们，在特定的工作和劳动中以其内心信念和特殊社会手段来维系的，以善恶进行评价的心理意识、行为原则和行为规范的总和，它是人们在从事职业的过程中形成的一种内在的、非强制性的约束机制。

31 第四节 内部控制的基本构架 一、内部控制要素—内部环境 2、员工胜任力
胜任力是指个人和公司绩效至关重要的、可辅导的、可观察的、可衡量的、以行为方式表现出来的组合，是知识、技能和品质的合成体。 品质是指个人的特质，如天分、才智或理念，可以通过教授或学习来获取，同时也可以改善。 技能是指需要获取良好的岗位业绩所需要的技能，通常是通过不断重复的培训或其他相关的经验积累获得的。 知识是一个岗位所需要的基本知识，可以是一些专业、技术或商业知识，也包括了那些通过学习和经验积累所得的事实、信息和对事物的看法。

32 第四节 内部控制的基本构架 一、内部控制要素—内部环境 3、管理哲学与经营风格
管理层的管理哲学和经营风格会影响企业的管理方式，主要包括：①对待和承担经营风险的方式；②依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通；③对财务报告的态度和所采取的措施；④对信息处理以及会计功能、人员所持的态度；⑤对现有可选择的会计准则和会计数值估计所持的谨慎或冒进态度。

33 第四节 内部控制的基本构架 一、内部控制要素—内部环境 4、组织结构
所谓组织结构是在组织理论的指导下，经过组织设计，由组织要素相互联接而成的相对稳定的结构模式，是企业生存发展的基础和有力支撑。企业组织结构的建设是企业治理结构、企业管理组织结构、企业生产运作组织结构及企业间组织结构动态平衡的发展过程，并且各子系统之间相辅相成、相互适应。

34 第四节 内部控制的基本构架 一、内部控制要素—内部环境 5、责任分配与授权
责任分配与授权强调对组织内的全部活动要合理有效地分配职责和权限，并为执行任务和承担职责的组织成员特别是关键岗位的人员，提供和配备所需的资源并确保他们的经验和知识与职责权限相匹配，要使所有员工了解他们的工作行为、职责担负形式和认可方式及其与达成组织目标的关系。

35 第四节 内部控制的基本构架 一、内部控制要素—内部环境 6、人力资源政策
人力资源政策是影响企业内部环境的关键因素。内部控制是由员工来执行的，而员工又要受到内部控制的管理，因此企业员工既是控制的主体，又是控制的客体。控制与被控制是一对矛盾,要使被控制者服从控制者的意志,达到控制的目的，必须依靠科学的规范以及公平、公开、公正、人性化的人力资源管理。唯有如此，才能调动整体团队的积极性、主动性和创造性。因此，COSO报告认为,人是控制环境中一个最活跃的控制因素。

36 第四节 内部控制的基本构架 一、内部控制要素—内部环境 7、董事会与审计委员会
从理论上说，对经营者的制约主要通过两种方式，但外部控制机制和内部控制机制对于经营者的制约能力并不完全相同。相比之下，董事会是约束经营者日常行为、实现事前帕累托最优的最合适的手段。在董事会中，必须有足够数量的独立董事，他们不但要提供合理的建议、咨询和指导，而且还要对管理层形成必要的牵制和制衡。在董事会下设立审计委员会的企业，审计委员会应当直接对董事会负责。

37 第四节 内部控制的基本构架 一、内部控制要素—内部环境 8、错弊及报告 企业反舞弊工作至少应当关注：
在财务报告和信息披露方面弄虚作假；未经授权、滥用职权或者采取其他不法方式侵占、挪用企业资产；在开展业务活动中非法使用企业资产以牟取不当利益；企业高级管理人员舞弊给企业内部控制和经营管理可能造成的重大影响；员工单独或者串通舞弊给企业造成损失。

38 第四节 内部控制的基本构架 二、内部控制要素—风险评估 1、目标设立
目标设定是风险识别、风险分析和风险应对的前提。企业应当按照战略目标，设定相关的经营目标、财务报告目标、合规性目标与资产安全目标。 战略目标反映了管理层就主体如何努力为其利益相关者创造价值所作出的选择，是高层次的目标，与其使命相关联并支撑其使命。

39 第四节 内部控制的基本构架 二、内部控制要素—风险评估 1、目标设立
经营目标----与企业经营的有效性和效率有关，包括业绩和盈利目标的实现，需要反映企业运营所处的特定经营、行业和经济环境。 报告目标----与报告的可靠性有关。企业报告包括内部和外部报告，可能涉及财务和非财务信息。可靠的报告为管理层提供适合其既定目标的准确而完整的信息，支持管理层的决策，并对主体活动和业绩实施有效监控。 合规目标----与企业活动的合法性有关。企业从事活动必须符合相关的法律和法规，并有必要采取具体措施。 资产安全目标----资产的安全与完整对于我国企业尤其是国有企业有非常重要的现实意义。

40 第四节 内部控制的基本构架 二、内部控制要素—风险评估 1、目标设立 制定战略目标—企业层级目标
战略目标通过董事会及员工的相互沟通后确定，并有支持其实现的资金预算及战略计划。其制定经过四个阶段： 明确企业发展目标。 制定实现目标的战略规划。 制定年度计划及资金预算。 明确编制预算的基本原则、内容、编制依据等。

41 第四节 内部控制的基本构架 二、内部控制要素—风险评估 1、目标设立 确定业务层面目标
业务层面目标包括如上所述的运营目标、报告目标、合规目标和资产安全目标，它来自企业战略目标及战略规划。其制定需要经过如下四个阶段： 制定业务层面目标。 根据企业的发展变化，定期更新业务活动的目标。 配置资源以保证业务层面目标的顺利实现。 分解业务目标并下达。

42 第四节 内部控制的基本构架 二、内部控制要素—风险评估 2、风险识别 风险是指对企业目标的实现可能造成负面影响的事项发生的可能性。
风险识别----是指对企业所面临的潜在风险进行判断、归类和鉴定的过程。风险识别可以发现企业的风险所在，同时还要辨认各种潜在风险的来源，分析风险性质。

43 第四节 内部控制的基本构架 二、内部控制要素—风险评估 2、风险识别
内部风险因素一般包括：高级管理人员职业操守、员工专业胜任能力、团队精神等人员素质因素；经营方式、资产管理、业务流程设计、财务报告编制与信息披露等管理因素；财务状况、经营成果、现金流量等基础实力因素；研究开发、技术投入、信息技术运用等技术因素；营运安全、员工健康、环境污染等安全环保因素。

44 第四节 内部控制的基本构架 二、内部控制要素—风险评估 2、风险识别
外部风险因素一般包括：经济形势、产业政策、资源供给、利率调整、汇率变动、融资环境、市场竞争等经济因素；法律法规、监管要求等法律因素；文化传统、社会信用、教育基础、消费者行为等社会因素；技术进步、工艺改进、电子商务等科技因素；自然灾害、环境状况等自然环境因素。

45 第四节 内部控制的基本构架 二、内部控制要素—风险评估 3、风险评价 风险评价----评估风险的可能性及其影响。
管理者在评估风险时，应当从固有风险和剩余风险两个方面进行评估。固有风险是指在管理者不采取任何风险管理措施的情况下，企业所面临的风险。剩余风险是指管理者采取相应措施应对风险后仍然存留的风险。评估风险时首先评估的是固有风险，当风险管理策略确定后，再考虑剩余风险。

46 第四节 内部控制的基本构架 二、内部控制要素—风险评估 3、风险评价 风险评估的维度 风险发生的可能性分析
假定企业不采取任何措施影响经营管理过程，将会发生风险的概率。 风险产生的影响程度分析 主要是指对目标实现的负面影响程度分析。风险影响程度大小是针对既定目标而言的，因此对于不同的目标，企业应采取不同的衡量标准。

47 第四节 内部控制的基本构架 二、内部控制要素—风险评估 4、风险应对 风险应对具体包括以下四种类型：
风险回避----即退出产生风险的活动，采用这种方案意味着所采用的应对措施不能把风险的影响和可能性降到一个可接受的水平。 风险降低----即采取措施降低风险产生的可能性或影响，风险降低应当把剩余风险降低到与期望的风险相协调的水平。降低风险有两方面:控制风险因素，降低风险发生的概率。控制风险发生的频率和降低风险的损害程度。

48 第四节 内部控制的基本构架 二、内部控制要素—风险评估 4、风险应对 风险应对具体包括以下四种类型：
风险承受----即不采取任何措施去干预风险产生的可能性或影响，采用这种方案也表明固有风险已在风险承受度之内。企业承担风险的方式可以分为无计划的单纯自留或有计划的自发保险。 风险分担----即通过转移来降低风险产生的可能性或影响，或者分担一部分风险。风险分担与风险降低类似，也要将剩余风险降低到与期望的风险相协调的水平。

49 第四节 内部控制的基本构架 三、内部控制要素—控制活动 1、职责分工
职责分工控制要求根据企业目标和职能任务，按照科学、精简、高效的原则，合理设置职能部门和工作岗位，明确各部门、各岗位的职责权限，形成各司其职、各负其责、便于考核、相互制约的工作机制。 企业组织机构有两个层面:一是法人治理结构问题，涉及董事会、监事会、经理的设置及相互关系；二是管理部门的设置及相互关系，对财务管理来说，就是如何确定财务管理的广度和深度，由此产生集权管理和分级管理的组织模式。

50 第四节 内部控制的基本构架 三、内部控制要素—控制活动 1、职责分工
不相容职务相互分离的制衡。不相容职务，是指某些如果由一名员工担任，既可以弄虚作假，又能够自己掩饰作弊行为的职务。包括：授权、批准、业务经办、会计记录、财产保管、稽核检查等。分离的职务主要有： （1）授权批准职务与执行业务职务相分离； （2）业务经办职务与审核监督职务相分离； （3）业务经办职务与会计记录职务相分离； （4）财产保管职务与会计记录职务相分离； （5）业务经办职务与财产保管职务相分离。

51 第四节 内部控制的基本构架 三、内部控制要素—控制活动 2、授权控制
授权控制要求企业根据职责分工，明确各部门、各岗位办理经济业务与事项的权限范围、审批程序和相应责任等内容。企业内部各级管理人员必须在授权范围内行使职权和承担责任，业务经办人员必须在授权范围内办理业务。 授权一般包括常规性授权和临时性授权。

52 第四节 内部控制的基本构架 三、内部控制要素—控制活动 2、授权控制 授权控制体系 确定授权批准的范围。所有经营活动都应纳入其范围。
划分授权批准的层次。根据经济活动的重要性和金额大小，确定授权批准层次，保证各管理层有权亦有责。 明确授权批准的责任。明确被授权者在履行权力时应对哪些方面负责，应避免责任不清。 规范授权批准的程序。规定每一类经济业务的审批程序，以便按程序办理审批，避免越级审批、违规审批发生。

53 第四节 内部控制的基本构架 三、内部控制要素—控制活动 3、预算控制
预算控制是解决现代企业制度下，出资者、经营者与各部门及职工之间委托—代理问题的有效途径，是规范三者关系的制约手段。。 预算控制有利于优胜劣汰机制、激励约束机制的运行。预算控制分为两个层次，即预算编制控制和预算执行控制。

54 第四节 内部控制的基本构架 三、内部控制要素—控制活动 3、预算控制
完整的预算控制体系是包括预算编制、预算执行和预算考评三个环节在内的控制系统。 预算编制控制----选择预算管理模式 以资本预算为核心的预算管理模式 以销售预算为核心的预算管理模式 以成本预算为核心的预算管理模式 以现金流量为核心的预算管理模式

55 第四节 内部控制的基本构架 三、内部控制要素—控制活动 4、财产保护控制 财产保护控制包括限制接近、财产清查及其他控制。
限制接近----是指对接近财产的限制，规定只有经过严格授权的人员才能接触财产。包括现金的限制接近、单据、证券以及易变现资产的限制。存货的限制接近。 财产清查----是会计核算工作和加强财产物资管理的一项重要制度。通过定期或不定期，全面或部分地对各项财产物资进行实物盘点和对库存现金、银行存款、债权债务进行清查核对的一种制度。

56 第四节 内部控制的基本构架 三、内部控制要素—控制活动 4、财产保护控制 其他控制
财产保险。通过对资产投保，可以增加实物受损后的补偿机会，从而保护实物的安全，如火灾险、盗窃险和责任险。 财产记录监控。企业要建立资产档案，资产增减变动应及时全面地予以记录。加强财产所有权证的管理。

57 第四节 内部控制的基本构架 三、内部控制要素—控制活动 5、会计系统控制
会计系统控制通过不相容职务的分离可以防弊查错，保护企业资产的安全、完整。会计系统控制通过每项业务处理程序、各环节的职责分工、审批稽核手续、业务处理手续等过程，促使各业务部门和人员建立有机的协作关系和制约关系，提高责任感和工作效率，从而确保会计信息的质量。会计系统控制可为财务管理、会计管理和企业管理提供真实、准确、完整的会计信息。

58 第四节 内部控制的基本构架 三、内部控制要素—控制活动 5、会计系统控制 会计系统控制的内容 选择适用的会计准则和相关的会计制度。
选择和运用恰当的会计政策。 根据企业具体情况，作出合理的会计估计。 采用业务流程图的方式编制业务流程手册。 文件和凭证连续编号。 建立和完善会计档案保管工作。 建立会计岗位制度。

59 第四节 内部控制的基本构架 三、内部控制要素—控制活动 6、内部报告控制
报告是一种传达信息的方式，用以防止和减少风险，为管理层提供目标完成情况、预算状况及各种值得关注的问题等信息。企业建立报告制度可以强化各种行为和决策的责任。  内部报告控制要求企业建立和完善内部报告制度，明确相关信息的收集、分析、报告和处理程序，及时提供业务活动中的重要信息，全面反映经济活动情况，增强内部管理的时效性和针对性。内部报告的方式通常包括例行报告、实时报告、专题报告、综合报告等。

60 第四节 内部控制的基本构架 三、内部控制要素—控制活动 6、内部报告控制 内部报告体系的构成
常用的内部报告有：(1)资金分析报告，包括资金日报、借款还款进度表、贷款担保抵押表、银行账户及印鉴管理表、资金调度表等。（2）经营分析报告。(3)费用分析报告。(4)资产分析报告。(5)投资分析报告。(6)财务分析报告等。

61 第四节 内部控制的基本构架 三、内部控制要素—控制活动 7、经济活动分析控制
经济活动分析控制要求企业综合运用生产、购销、投资、财务等方面的信息，利用比较分析、比率分析、因素分析、趋势分析等方法，定期对企业经营管理活动进行分析，发现存在的问题，查找原因，并提出改进意见和应对措施。

62 第四节 内部控制的基本构架 三、内部控制要素—控制活动 7、经济活动分析控制 经济活动分析控制的方法 比较法 比率法  因素分析法

63 第四节 内部控制的基本构架 三、内部控制要素—控制活动 8、绩效考评控制
绩效考评控制要求企业科学设置业绩考核指标体系，对照预算指标、盈利水平、投资回报率、安全生产目标等方面的业绩指标，对各部门和员工当期业绩进行考核和评价，兑现奖惩，强化对各部门和员工的激励与约束。 绩效考评制度是解决企业内部公平的必要条件。激励中的一个重要因素是个人对报酬结构是否觉得公平。在其通过努力获得自身效用最大化的同时，也使得企业获得了效用最大化，这是双赢的局面——雇员与企业之间的双赢，上司与下属之间的双赢。

64 第四节 内部控制的基本构架 三、内部控制要素—控制活动 8、绩效考评控制 绩效考评的方法 360度反馈体系 目标管理体系
关键绩效指标(KPI)评价法 图尺度评价法 平衡计分卡评价法 行为锚定等级评价法

65 第四节 内部控制的基本构架 三、内部控制要素—控制活动 9、信息系统控制 信息系统的控制包括一般控制和应用控制。 信息息系统一般控制：
信息系统的控制环境----包括企业信息技术的战略规划、信息系统管理人员的素质、用户的培训教育等。 新系统的购买、开发和实施----应对信息系统项目建立完善的项目管理文档，明确定义项目的目标、范围、计划、人员需求、组织构架及项目参与各方的职责；建立完善的审批程序，用以管理系统的购买、开发和实施；加强对外部购买和自行开发的信息系统的质量控制；做好数据转化及上线工作；做好文档记录及培训工作。

66 第四节 内部控制的基本构架 三、内部控制要素—控制活动 9、信息系统控制
现有系统的变更及维护----系统的日常维护；应对变更；通过测试实施质量控制；制定系统变更上线计划；做好文档记录及培训。 系统的安全管理----设置信息安全管理机构，以保证信息的完整；制定完整、全面的信息安全管理政策和程序，加强对员工安全意识的教育和培训；加强数据接触安全管理；加强操作系统安全管理；加强网络安全管理；加强物理安全管理等。 系统的操作及运行----信息技术部门应派专人进行日常的系统维护，对出现的问题，进行调查、分析和解决，并妥善记录。

67 第四节 内部控制的基本构架 三、内部控制要素—控制活动 9、信息系统控制 信息系统的应用控制
职务分离----要求业务活动的批准、记录、经办尽可能做到相互独立，这在信息系统的管理中尤为重要。 人工控制----系统使用人员根据控制程序以及各项规章制度判断业务活动的合理性、合法性和有效性，保证录入系统的交易活动或修改数据都经过授权。 自动控制----通过对数据类型的校验、重复输入校验、系统匹配等方式对应用系统的输入、处理和输出进行有效控制。 数据保密----在使用信息系统过程中，根据员工所承担的责任，分配其可登录查阅相关信息的权限。

68 第四节 内部控制的基本构架 三、内部控制要素—控制活动 9、信息系统控制 《萨班斯—奥克斯利法案》关于信息系统控制的规定 信息系统总体控制
（1）控制环境； （2）信息安全； （3）项目建设管理； （4）系统变更； （5）信息系统日常运作； （6）最终用户操作。

69 第四节 内部控制的基本构架 四、内部控制要素—信息与沟通 1、信息系统的概念
信息是指信息系统辨识、衡量、处理及报告的标的，来源于企业内部或外部，包括获取的行业、经济、监控，以及内部生产经营管理、财务等方面的信息。 来源于企业外部及内部的信息，包括财务及非财务的，与多个企业目标相关。内部信息主要包括会计信息、生产经营信息、资本运作信息、人员变动信息、技术创新信息、综合管理信息等。

70 第四节 内部控制的基本构架 四、内部控制要素—信息与沟通 1、信息系统的概念 信息系统的定义
广义来说，信息系统是指能够完成对信息收集、组织、存贮、加工、传递和控制等职能的系统，是人工构成或自然形成的加工信息的系统。 狭义来看，信息系统是基于计算机技术、通信技术和软件技术，且融合了各种现代管理理论、现代管理方法，多级管理人员为一体，对所有形态和所有形式的信息进行收集、组织、存贮、处理和显示，最终为管理与决策服务的一个人机结合的信息处理系统。

71 第四节 内部控制的基本构架 四、内部控制要素—信息与沟通 2、信息系统控制标准（COBIT）
Controlled Objectives for Information and Related Technology的缩写，即信息及相关技术的控制目标，2000年7月，由国际电脑稽核协会所属的信息系统审计与控制基金会修订完成。 COBIT是ISACA制定的面向过程的信息系统审计和评价的标准。对信息化建设成果的评价，按照系统属性可以划分为若干方面，如对最终成果评价、对建设过程评价、对系统架构评价等。

72 第四节 内部控制的基本构架 四、内部控制要素—信息与沟通 3、内部控制信息披露规范
内部控制信息披露就是管理层依据一定的标准定期对本单位内部控制设计和执行的有效性进行自我评估，并以某种方式提供给外部信息使用者。 内部控制信息披露可以包含在董事会报告或者其他报告中，也可以单独提供，即所谓的内部控制报告。我国目前并没有强制要求上市公司提供单独的内部控制报告，而只要求在有关报告（董事会报告、监事会报告等）中包含内部控制信息披露。

73 第四节 内部控制的基本构架 四、内部控制要素—信息与沟通 3、内部控制信息披露规范
我国上市公司内部控制信息披露主要有4种形式，它们是投资者、监管者及所有证券市场相关人士获得上市公司内部控制信息的主要渠道。 公司年度报告中的监事会报告以及管理层陈述 招股说明书中的管理层对内部控制的自我评估 注册会计师对企业内部控制评估报告及其结论性意见 上市公司所发布的单独的内部控制自我评估报告

74 第四节 内部控制的基本构架 四、内部控制要素—信息与沟通 4、内部沟通
内部沟通对于控制环境、控制作业、风险评估等起着重要作用，采取的沟通方式要能够达到顺畅沟通的目的，使员工们了解自己应承担的责任、应实现的目标以及目标对企业的影响。信息沟通需要考虑来自不同渠道的相关信息，并进行合理筛选和相互核对。 企业应当采取互联网络、电子邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时地传递和共享，确保董事会、管理层和企业员工之间有效沟通。

75 第四节 内部控制的基本构架 四、内部控制要素—信息与沟通 5、外部沟通
若要实现良好的内部控制，不但要有适当的内部沟通，外部沟通也是必不可少的。企业有责任建立良好的外部沟通渠道，对外部有关方面的建议、投诉和收到的其他信息进行记录，并及时予以处理、反馈。有效的外部沟通既可以扩大企业的影响力，又可以使企业获得很多有效内部控制的重要信息。外部沟通应当重点关注以下方面： 与投资者和债权人的沟通 与客户、供应商的沟通 与监管机构的沟通 与中介机构的沟通

76 第四节 内部控制的基本构架 五、内部控制要素—监控 1、监控方式
持续性监督检查----是指企业对建立和实施内部控制的整体情况所进行的连续的、全面的、系统的、动态的监督检查。持续监控是在及时的基础上执行的，对环境的改变作出动态的反应，它存在于单位管理活动之中，能较快地辨识问题，持续监控的程度越大，其有效性就越高，则企业所需的个别评估就越少。

77 第四节 内部控制的基本构架 五、内部控制要素—监控 2、监控方式
个别评估----又称专项监督检查，是指企业对内部控制建立与实施的某一方面或者某些方面的情况所进行的不定期的、有针对性的监督检查。 尽管持续监控程序可提供内部控制其他要素是否有效的信息，但企业有时需要直接来检查内部控制制度。这种做法也有利于考核持续监督程序是否一直有效。

78 第四节 内部控制的基本构架 五、内部控制要素—监控 2、内部审计 内部审计的定义与目标 国际内部审计师协会的界定
国际内部审计师协会（IIA，1999）把内部审计定义为：内部审计是一种独立、客观的保证与咨询活动，它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现机构目标。

79 第四节 内部控制的基本构架 五、内部控制要素—监控 2、内部审计 内部审计的定义与目标 我国内部审计协会的界定
我国内部审计协会对内部审计的定义（2003年）为：内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。该定义很大程度上借鉴了IIA的定义。

80 第四节 内部控制的基本构架 五、内部控制要素—监控 2、内部审计 内部审计模式 监事会领导模式 董事会领导模式 总经理领导模式
审计委员会领导模式 其他模式

81 第四节 内部控制的基本构架 五、内部控制要素—监控 2、内部审计 内部审计的工作程序 审计计划 审计准备 审计实施 审计报告 后续审计

82 第四节 内部控制的基本构架 五、内部控制要素—监控 2、内部审计 内部审计质量控制
内部审计质量的内涵包括：审计活动的效率，即是否按照审计计划及时、充分地完成了审计工作；审计过程的规范性，即审计过程中是否严格遵循了审计活动的规范，是否保持了审计的独立性和客观性；审计建议的可行性，即提出的审计建议是否具有可操作性；审计活动的增值性，即审计活动是否真正能够为企业增加价值，这也是审计质量的核心要素。

83 第四节 内部控制的基本构架 五、内部控制要素—监控 3、报告缺陷 内部控制缺陷的含义
内部控制缺陷，是指内部控制的设计存在漏洞，不能有效防范错误与舞弊，或者内部控制的运行存在弱点和偏差，不能及时发现并纠正错误与舞弊的情形。重大缺陷，是指业已发现的内部控制缺陷可能严重影响财务报告的真实可靠和资产的安全完整。

84 第四节 内部控制的基本构架 五、内部控制要素—监控 3、报告缺陷 内部控制缺陷报告的内容
企业应当分析内部控制缺陷产生的原因，并有针对性地提出和实施改进方案，不断健全和完善企业内部控制。企业应当结合其内部控制，对在监督检查中发现的违反内部控制规定的行为，及时通报情况和反馈信息，并严格追究相关责任人的责任，维护内部控制的严肃性和权威性。企业应当结合内部控制监督检查工作，定期对内部控制的健全性、合理性与有效性进行自我评估，形成书面评估报告。评估报告应当全面反映企业一定时期内建立与实施内部控制的总体情况。

85 第二章：内部控制设计 第一节 内部控制设计概述 第二节 内部控制组织设计 第三节 内部控制制度设计

86 第一节 内部控制设计概述 一、内部控制设计思想 1、内部控制设计理念 内部控制设计理念----是内部控制设计思想的集中反映。
目前内部控制设计理念表现为以下方面： 内部控制结构理念----内部控制程序论、内部控制制度论内部控制系统论 内部控制机制理念----内部控制管理论、内部控制制衡轮

87 第一节 内部控制设计概述 一、内部控制设计思想 1、内部控制设计理念
内部控制结构理念----认为内部控制是一个结构，这种理念下，有三种其理论：内部控制程序论、内部控制制度论内部控制系统论。 内部控制程序轮----认为内部控制是一种程序和方法； 内部控制制度论----认为内部控制是一种制度； 内部控制系统论----内部控制是由内部控制组织组织和内部控制制度构成的用以制约经营舞弊和管理风险，保证单位信息真实可靠，资产的安全完整，经营管理合理有效，并且遵循有关法律法规的控制运行系统。

88 第一节 内部控制设计概述 一、内部控制设计思想 1、内部控制设计理念
内部控制机制理念----认为内部控制是一个制衡机制，这种理念下，有二种理论：内部控制管理论、内部控制制衡论。 内部控制管理轮----认为内部控制视为管理服务的，受管理者主导的业务控制，这种理念建立在等级制是想基础之上； 内部控制制衡轮----认为内部控制是一种制衡机制，在控制系统内部人与人之间是平等的，这种理念建立在平等思想基础之上。

89 第一节 内部控制设计概述 一、内部控制设计思想 2、内部控制系统设计原则 信息化原则：
信息—指消息、情报、指令、数据、信号等有关周围环境的知识，凡是与经济活动有关的信息都是经济信息。信息是表现事物特征的一种普通形式，具有知识的秉性；信息是事物存在形式或运动状态，以及这种方式或状态的直接或间接表述；信息与物质和能量有着密切关系，信息传递以来物质，信息获取消耗能量；按其存在时间的长短，信息有长时信息、短时信息、瞬时信息。

90 第一节 内部控制设计概述 一、内部控制设计思想 2、内部控制系统设计原则 信息化原则：
信息论—包括狭义信息论、一般信息论和广义信息论三种。任何单位的管理过程都是信息传递和信息转换过程，设计内部控制系统，应注意充分运用信息方法。设计时要注意：从制度上保证有效使用信息资源；从制度上保证单位信息沟通；从制度上保证信息及时反馈。

91 第一节 内部控制设计概述 一、内部控制设计思想 2、内部控制系统设计原则 系统化原则：
系统—是一组有联系的元素组合，即是由相互联系、相互制约的若干元素组成的统一体。两个以上各不相同的元素，按照一定的顺序和内部联系而组成的为达到共同目的，具有特定功能的一个有机整体，即为系统。系统本质为“组织联系”，其一，表现为各部分信息渠道沟通，其二表现为它们动态的相互作用的结果。

92 第一节 内部控制设计概述 一、内部控制设计思想 2、内部控制系统设计原则 系统化原则：
系统论—研究系统的模式、原则和规律平对其功能进行数学描述的一门科学。新统论的基本观点是：系统总体和构成总体的各种物体相互联系。在进行内部控制设计时：根据系统哲学思想进行制度规划；根据系统管理观点进行系统规划；运用系统分析设计制度结构

93 第一节 内部控制设计概述 一、内部控制设计思想 2、内部控制系统设计原则 标准化原则：
标准化—是一种应用性原则。内部控制制度要想在特定的组织中有效应用，在设计时就应考虑一下要求：合法性要求、适用性要求、有效性要求 、合理性要求、可容性要求。

94 第一节 内部控制设计概述 二、内部控制设计程序 1、调查了解单位背景
单位历史概况、单位所有制形式、单位产权结构、单位管理体制、单位现有制度单位经营业务、单位组织状况 、资产设备状况、产品及销售状况、办公手段概况、财务状况与会计实务、重要契约与其他资料等。

95 第一节 内部控制设计概述 二、内部控制设计程序 2、主要业务问题调查
销售业务应调查的问题、生产作业应调查的问题、采购作业应调查的问题、存货控制应调查的问题、人事业务应调查的问题、固定资产管理调查的问题等。

96 第一节 内部控制设计概述 二、内部控制设计程序 3、分析研究问题 运用组织系统图、业务流程图、工作分配图、表单分送图进行分析。

97 第一节 内部控制设计概述 二、内部控制设计程序 3、提出结论与建议
对如何改进工作、如何设计新的制度有了基本构想后，就应提出研究结论；报告中建议内容：

98 第一节 内部控制设计概述 二、内部控制设计程序 4、拟定制度进行试验

99 第一节 内部控制设计概述 三、内部控制设计的方法 1、组织系统图设计
组织系统图主要描述企业内部各阶层的组织机构，显示每一个职位在企业中的地位及其上下隶属与纵横的关系。现代企业组织庞大、部门众多、层次不一、关系复杂，只有以组织系统图的方法描述出来，才能使人一目了然。（P141图8—1)是一张完整的企业组织结构图。

100 第一节 内部控制设计概述 三、内部控制设计的方法 2、职责划分设计 以图8—1中的部门为例，说明如何对岗位职责进行内控设计。 市场部的职责
技术服务部的职责 人力资源部的职责 财务部的职责

101 第一节 内部控制设计概述 三、内部控制设计的方法 3、工作说明书设计
工作说明书是描述工作性质的文件，是职工工作的说明。其表示方法是将单位的每一个工作职位，编制一份详细的说明，用来反映担任那个职位的人应该履行的职责。工作岗位说明书应包括：岗位名称、岗位要求、工作内容、薪酬标准、工作条件等等。(P143表8—1)是财务总监岗位的工作说明书。

102 第一节 内部控制设计概述 三、内部控制设计的方法 4、方针和程序手册设计
方针和程序手册，主要是指以书面形式来表达管理层的指令及同类业务处理方法的形式，也可以说是以书面形式详细描绘业务处理的方针与程序。下面以销售和收款业务为例，说明如何设计方针和程序手册。

103 第一节 内部控制设计概述 三、内部控制设计的方法 4、方针和程序手册设计 下面以销售和收款业务为例，说明如何设计方针和程序手册。
企业接受订单，同时编制销售计划 编制、审定销售实施方案和信用政策 签订销售合同 组织销售与收款 开发票及记账 销售折让及退货处理 盘点对账 合同

104 第一节 内部控制设计概述 三、内部控制设计的方法 5、业务流程图设计
业务流程图是利用图解形式描述各经营环节业务处理程序的一种图示。它显示了凭证和记录资料的产生、传递、处理、保存及其相互关系，从而直观地表达内部控制的实际情况。对于无法在图中表示的问题，可用简要的文字进行说明，作为流程图附件。(P146图8—2)是产品销售业务流程图。 所谓流程，是指企业经营过程的一个阶段，由若干项作业组成，而作业由若干项任务组成。在典型的制造企业中，其经营过程包括研究开发、设计、制造、营销、配送和售后服务等项流程。

105 第一节 内部控制设计概述 三、内部控制设计的方法 5、业务流程图设计
每项流程都包括若干项作业，如制造流程，包括材料入库，材料存储，材料搬运、加工，半成品搬运、加工，成品入库存储，成品包装发运等项作业。每项作业都包括若干项任务，如材料入库，包括卸载、验收、盘点、移动、摆放、记录等项任务。特别重要的是，任务是由组织成员经由授权完成的，授权和责任在这里可以体现出来。任务还可以细分为若干步骤。在流程设计中，就是要遵循这种相对的“流程→作业→任务→步骤”四个因素的顺序进行。

106 第一节 内部控制设计概述 三、内部控制设计的方法 5、业务流程图设计
流程设计所要解决的是如何干的问题，即既定的治理主体、内部单位和岗位如何完成各自的功能作业。只有企业把流程理顺，才能更有效地完成任务。按照内部控制的观点，任何业务的处理必须经过申请、授权、批准、执行、记录、检查等控制程序，而这些程序都应经由不同部门或人员去完成，任何一个人不能独揽业务处理的全过程。衡量一个企业的业务流程控制是否有效，主要在于考核其是否实施了严密的内部牵制，而其前提条件是要有完善的流程设计。

107 第一节 内部控制设计概述 三、内部控制设计的方法 5、业务流程图设计 业务流程图设计标准 流程设计的基本顺序及标准。 第一步，编制流程目录。
第二步，选定流程图的符号。 第三步，编制风险控制文档。 如(P147图8—3)所示的一套符号。

108 第一节 内部控制设计概述 三、内部控制设计的方法 5、业务流程图设计 业务流程目录
企业在划分业务流程时，遵循从下至上、逐层汇总的原则，即从业务流程的最低级作业层开始编制流程图，较低层级的流程图汇总形成上一层级的流程图，直至形成一级流程图。确定最低级作业层的标准是：在一张流程图中能够清晰地显示业务处理涉及的部门、关键控制点以及相关文档。所有业务流程汇总后即形成业务流程目录。（P148表8—2)是标准的关键控制业务流程目录。

109 第二节 内部控制组织设计 一、公司治理组织权衡和设计 1、公司治理结构和要素 决策、执行、监督三权分离
董事会--最大投资人，是对经营者的监督者，董事长可以兼任总经理，通过独立董事维护中小股东利益。 审计委员会--设在董事会下，为管理决策服务，实现对总经理的制约。 监事会—股东大会选举，董事不得兼任监事；

110 第二节 内部控制组织设计 一、公司治理组织权衡和设计 1、公司治理结构和要素
总经理--企业经营者，受托责任人；健全董事会对总经理的制约机制。 各部门经理—各部门在总经理领导下工作，总经理经营权的执行者。 内部审计--在经济活动的授权人委托下开展审计监督、检查和评价。

111 第二节 内部控制组织设计 一、公司治理组织权衡和设计 2、公司治理结构的权衡 流行的三种治理结构 内部人治理结构 非利益关系人的治理架构
利益冲突人治理架构 公司治理结构的利弊权衡：

112 第二节 内部控制组织设计 一、公司治理组织权衡和设计 2、公司治理结构的权衡 不同治理环境下公司治理选择： 上市公司 非上市公司 全资国有
合伙制企业 民营独资企业

113 第二节 内部控制组织设计 一、公司治理组织权衡和设计 3、公司治理的动力注入 公司内部治理的基本动力：权力制衡、利益冲突
权力制衡—将经营决策、经营管理、经营监督“三权”分离，以实现公司价值最大化为共同目标，利用分权来制约任何一个主体的利用职权损害公司目标的行为。 利益冲突—利用各个治理要素个人利益与公司目标的趋同与背离关系建立制衡机制，在对治理要素中人员的选择上，要尽可能注入治理要素间个人利益冲突机制。

114 第二节 内部控制组织设计 一、公司治理组织权衡和设计 3、公司治理的动力注入 公司内部治理动力注入要求 构建起公司治理结构的基本框架；
明确各治理要素的基本定位和功能； 具体规定各控制要素的主要任务和工作目标； 正确界定各治理要素之间的制约关系； 在各治理机制之间注入利益冲突机制。

115 第二节 内部控制组织设计 一、公司治理组织权衡和设计 4、公司治理授权和责任配置 决策机构授权和责任配置 公司董事会的目标和责任：
目标—实现企业价值最大化，即股东利益最大化； 责任—发出的财务信息真实可靠；维护企业资产安全完整；重大财务分配营运决策合法合规；经营管理活动适当有效。

116 第二节 内部控制组织设计 一、公司治理组织权衡和设计 4、公司治理授权和责任配置 执行机构授权和责任配置 公司总经理的目标和责任：
目标—实现企业价值最大化同时实现个人利益最大化； 责任—执行董事会决策； 对会计资料真实性可靠性负责；对重大财务分配营运方案负责；对日常经营管理有效性、合规性负责。

117 第二节 内部控制组织设计 一、公司治理组织权衡和设计 4、公司治理授权和责任配置 监督机构授权忽然责任配置 公司监事会的目标和责任：
目标—实现企业价值最大化，即股东利益最大化； 责任—监督董事会及其董事决策过程；评价董事会各项决策方案及效果；检查高级管理层重大财务分配营运方案；考核经营管理者日常管理责任履行。

118 第二节 内部控制组织设计 二、公司管理组织权衡和设计 1、公司管理组织授权方式 控制组织的方式：集中控制、分权控制
集中控制—由最高领导人对企业全部经济业务实行全面控制，下属各级领导人完全按照最高领导人的指示、命令开展业务活动的控制方式。 分权控制—企业最高领导人将经营管理权限分别授予不同的下级领导执掌并实行目标管理，下属领导在上级领导给定的方针政策指导下独立行使决策、经营管理权的控制方式。

119 第二节 内部控制组织设计 二、公司管理组织权衡和设计 1、公司管理组织授权方式 两种授权方式比较： 集中管理方式的优缺点：
分权管理方式的优缺点：

120 第二节 内部控制组织设计 二、公司管理组织权衡和设计 2、公司管理组织授权权衡 企业分权机制：
企业分权方式--无论是集权控制还是分权控制，其控制的范围不会发生多大变化，都必须依据控制中心建立分权控制机制。但是不同的控制方式都有分权的问题，而分权的内容又不相同：集权控制只有上下级分权；分权控制不仅有上下级的纵向分权，也有同级控制中心之间的横向分权。

121 第二节 内部控制组织设计 二、公司管理组织权衡和设计 2、公司管理组织授权权衡
集中控制--在上下级分权的结果是：上级拥有决策管理权，下级只有指令执行权；在指令执行没有责任中心，只有执行部门。 分权控制--分为纵向分权和横向分权：纵向分全即上下级分权，上级只具有战略决策权和目标管理权；下级具有相对独立的业务决策权和经营管理权 。横向分权即不同控制中心之间分权。

122 第二节 内部控制组织设计 二、公司管理组织权衡和设计 3、公司管理组织分权设计----构架设计 公司组织构架设计要求：
充分考虑企业规模和业务流程的需要； 个别部门职责要划分清楚； 各部门人员要求要清晰明了； 根部门核心工作要规划明确； 各部门一般性行政工作。

123 第二节 内部控制组织设计 二、公司管理组织权衡和设计 3、公司管理组织分权设计
控制中心—权力和责任中心，根据企业权责结构而建立的控制中心。一般企业权责结构包括：行政管理权力和责任、财务管理权力和责任、资产管理权力和责任、经营管理（包括物资采购、产品生产、商品销售）权力和责任、人力资源管理权力和责任、研究与发展权力和责任。

124 第二节 内部控制组织设计 二、公司管理组织权衡和设计 4、公司管理组织设计 集权型组织构架设计 集权型组织构架中的部门及职责：
财务部门—负责财务管理工作； 采购部门—负责物资材料的采购； 生产部门—负责产品生产加工管理； 销售部门—负责商品销售和维护等等。

125 第二节 内部控制组织设计 二、公司管理组织权衡和设计 4、公司管理组织设计 分权型组织构架设计 分权型组织构架中的部门及职责：
结算中心—制定会计核算、财务管理规章制度；编制财务计划和预算；办理筹资、投资结算；办理费用、成本结算；办理会计核算；办理分配结算；编制财务决算；变薄财务报表。

126 第二节 内部控制组织设计 二、公司管理组织权衡和设计 4、公司管理组织设计 分权型组织构架设计 分权型组织构架中的部门及职责：
采供中心—编制采购供应计划；物资采购招标、评标或谈判；物资采购合同签订；督促供货方发货；物资验收入库、储存；审查办理供货手续；对外供货发货。

127 第二节 内部控制组织设计 二、公司管理组织权衡和设计 4、公司管理组织设计 分权型组织构架设计 分权型组织构架中的部门及职责：
生产中心—接受订单；编制生产计划；委托外协加工；安排生产组织；安排劳动组织；安排产品生产；制定材料消耗定额；制定工时消耗定额；生产设备管理、维护保养。

128 第二节 内部控制组织设计 二、公司管理组织权衡和设计 4、公司管理组织设计 分权型组织构架设计 分权型组织构架中的部门及职责：
物流中心--（略）

129 第二节 内部控制组织设计 二、公司管理组织权衡和设计 4、公司管理组织设计 分权型组织构架设计 分权型组织构架中的部门及职责：
销售中心--（略）

130 第二节 内部控制组织设计 二、公司管理组织权衡和设计 4、公司管理组织设计 分权型组织构架设计 分权型组织构架中的部门及职责：
国定资产管理中心--（略）

131 第二节 内部控制组织设计 二、公司管理组织权衡和设计 4、公司管理组织设计 分权型组织构架设计 分权型组织构架中的部门及职责：
人力资源管理中心--（略）

132 第二节 内部控制组织设计 二、公司管理组织权衡和设计 4、公司管理组织设计 分权型组织构架设计 分权型组织构架中的部门及职责：
行政管理中心--（略）

133 第二节 内部控制组织设计 三、公司业务岗位权衡和设计 1、公司业务岗位设置原则和要求 岗位设置原则 精简化原则 适当性原则 资格化原则
技术化原则

134 第二节 内部控制组织设计 三、公司业务岗位权衡和设计 1、公司业务岗位设置原则和要求 岗位设计基本要求 以公司组织构架设计为基础；
依据各部门工作任务建立岗位； 充分考虑组织管理模式； 尽量避免以人设岗，又要尽可能因人设岗； 意岗位之间的职能衔接； 保证不同岗位的牵制制约。

135 第二节 内部控制组织设计 三、公司业务岗位权衡和设计 2、公司业务岗位权责配置 领导岗位权责配置 管理岗位权责配置 技术岗位权责配置
作业岗位权责配置

136 第二节 内部控制组织设计 三、公司业务岗位权衡和设计 3、公司业务岗位人员资格 领导岗位资格 管理岗位资格 技术岗位资格 作业岗位资格

137 第二节 内部控制组织设计 三、公司业务岗位权衡和设计 4、岗位设计举例
采供中心岗位设计举例：计划岗、招标岗（谈判岗）、合同岗、供货跟踪岗、榆树管理岗、审单岗、验货岗、储存岗、发货岗等。

138 第三节 内部控制制度设计 一、内部控制制度规划 1、内部控制制度规划依据 法规制度 治理结构 公司章程 业务范围

139 第三节 内部控制制度设计 一、内部控制制度规划 2、内部控制制度体系 决策制度 财务制度 人事制度 采供制度 生产制度 销售制度 其他制度

140 第三节 内部控制制度设计 一、内部控制制度规划 3、内部控制制度体系构建 内部控制制度系统框架 内部控制机制和规章 内部控制程序
内部控制手续

141 一、内部控制制度规划 4、内部控制机制和规章设计 整体计划控制设计--计划控制设计方法： 选择正确的设计程序—保守生产导向 前进生产导向
保守生产导向—以生产部门业务活动作为整个企业活动的指导中心，竞争不充分，其计划程序是：生产部门—行销部门—人事部门—财务部门；其编制计划具体过程是：生产计划—扩充计划—采购计划—销售计划—人力计划—财务计划。

142 一、内部控制制度规划 4、内部控制机制和规章设计 整体计划控制设计--计划控制设计方法： 选择正确的设计程序—保守生产导向 前进生产导向
前进生产导向—以行销部门的业务活动作为整个企业活动的指导中心。其计划程序是：行销部门—生产部门—研发部门—人事部门—财务部门；计划编制具体过程：销售预测、生产计划、行销策略与方案、人力计划—财务计划、 销售目标、研究发展计划

143 第三节 内部控制制度设计 二、内部控制流程设计 1、内部控制流程的含义

144 第三节 内部控制制度设计 二、内部控制流程设计 2、内部控制流程规划 企业主要业务流程及控制目标 物资采购业务流程—合规性、安全性
存货控制业务流程—合规性、安全性 产品生产业务流程—合规性、有效性 生产成本业务流程—合规性、可靠性 商品销售业务流程—合规性、安全性、有效性 货款结算业务流程—合规性、安全性

145 第三节 内部控制制度设计 二、内部控制流程设计 2、内部控制流程规划 业主要业务流程及控制目标 会计核算业务流程—合规性、可靠性
筹资融资业务流程—合规性、安全性 人事管理业务流程—合规性、有效性 行政管理业务流程—合规性、有效性 工程管理业务流程—合规性、安全性、有效性

146 第三节 内部控制制度设计 二、内部控制流程设计 3、企业业务流程设计步骤 选择目标 流程规划 控制点设计 控制点、关键控制点 控制手续设计

147 第三节 内部控制制度设计 二、内部控制流程设计 4、业务流程或交易循环控制设计 物资采购控制设计 控制目标：物资采购的合规性、安全性
控制点：计划、定购、验货、核算、结算 关键控制点：验货 流程经过部门：采供中心、物流中心、结算中心 控制流程：计划—定购—验货—核算—结算

148 第三节 内部控制制度设计 二、内部控制流程设计 4、业务流程或交易循环控制设计 产品生产控制流程 控制目标：产品生产合规性、安全性、有效性
控制点：计划、供料、制造、入库、核算 关键控制点：制造 流程经过部门：采供、物流、制造、结算中心 控制流程：计划--供料--制造--入库--核算

149 第三节 内部控制制度设计 二、内部控制流程设计 4、业务流程或交易循环控制设计 产品制造控制流程： 控制目标：产品制造合规性、有效性
控制点：设计、资源、加工、成品、核算 关键控制点：加工 流程经过部门：设计、物流、制造、结算中心 控制流程：设计—资源—加工—成品--核算

150 第三节 内部控制制度设计 二、内部控制流程设计 4、业务流程或交易循环控制设计 商品销售控制流程： 控制目标：物资和货款结算的合规性、安全性
控制点：计划、营销、发货、结算、核算 关键控制点：发货、结算 流程经过部门：销售中心、物流中心、结算中心 控制流程：计划—营销—发货—结算—核算

151 第三节 内部控制制度设计 二、内部控制流程设计 4、业务流程或交易循环控制设计 其他控制流程：（略）

152 第三节 内部控制制度设计 二、内部控制流程设计

153 第三节 内部控制制度设计 三、内部控制手续设计 1、内部控制手续的意义

154 第三节 内部控制制度设计 三、内部控制手续设计 2、内部控制手续与控制点的关系

155 第三节 内部控制制度设计 三、内部控制手续设计 3、内部控制手续的配置 物资采购控制手续： 计划：采集信息、编计划表、审批授权
定货：招标/邀请、评标/谈判、签订合同 验收：审验单据、点验货物、入库库存 核算：审验单据、填制凭证、登记入帐 结算：审验单据、开具支票、办理结算

156 第三节 内部控制制度设计 三、内部控制手续设计 3、内部控制手续的配置 产品生产控制手续： 计划：定购信息、制定计划、审批授权
供料：审核单据、发放材料、运输配送 制造：人员配置、制图下料、加工制造 入库：点验产品、质量检验、入库库存 核算：验单制单、成本计算、登记入帐

157 第三节 内部控制制度设计 三、内部控制手续设计 3、内部控制手续的配置 产品制造控制手续： 设计：市场调查、外观设计、产品试制、批准制造
资源：人员配置、机器配置、材料配置、动力配置 加工：制定定额、下料加工、废品控制、台帐记录 成品：成品验收、质量检验、入库库存 核算：审核单据、成本计算、登记入帐

158 第三节 内部控制制度设计 三、内部控制手续设计 3、内部控制手续的配置 商品销售控制手续： 计划：营销信息、编计划表、授权审批
营销：广告宣传、寻找客户、签订合同 发货：审核合同、开票发货、货物配送 结算：审核单据、办理收款、收取货款 核算：审核单据、编制凭证、登记入帐

159 第三节 内部控制制度设计 三、内部控制手续设计 3、内部控制手续的配置 其他控制手续（略）

160 第三节 内部控制制度设计 四、内部控制制度文件起草 1、内部控制制度文件结构 文件结构（略）

161 第三节 内部控制制度设计 四、内部控制制度文件起草 2、内部控制文件内容 文件内容（略）

162 第三节 内部控制制度设计 四、内部控制制度文件起草 3、内部控制文件格式 文件格式（略）

163 第三章：内部控制评价 第一节 内部控制评价概论 第二节 内部控制评价体系

164 第一节 内部控制评价概论 一、内部控制评价概述 1、内部控制评价的概念
内部控制评价，是通过评价主体对企业现有的内部控制系统的设计和执行的健全性和有效性进行审查、测试、分析和评价的活动。内部控制系统是由识别和分析风险、制定控制政策和方法、监督和评价、持续改进组成的闭合循环。 通过内部控制评价，可以发现企业内部控制的缺陷和薄弱环节，便于有针对性地提出改进意见和建议，从而不断改进和完善内部控制系统。

165 第一节 内部控制评价概论 一、内部控制评价概述 1、内部控制评价的概念 内部控制评价的作用 内部控制评价是提升企业内部控制效果的根本保证
内部控制评价是实现内部控制自我完善的主要途径 内部控制评价是提高管理层内部控制水平的压力机制 内部控制评价是促进内部审计职能发挥的基础

166 第一节 内部控制评价概论 一、内部控制评价概述 2、内部控制评价的理论基础
内部控制是一个整合系统，它通过某种制度安排将企业内部各种资源，融合在一起，形成真正的生产能力。 内部控制是一种控制机制，通过分析、计划、执行和评价反馈将各要素耦合在一起，使之朝着既定的目标努力。 内部控制是一个信息系统，从识别经营中的关键风险点、制定风险控制策略，到评价控制效率和效果，并反馈给相关人员，体现了信息的获取、加工和处理、传递的过程。 控制论、信息论和系统论恰好为内部控制评价的建立提供了理论上的支持。内部控制评价系统作为内部控制的子系统，其建立和发展理所当然受到上述理论的影响。

167 第一节 内部控制评价概论 一、内部控制评价概述 3、控制论与内部控制评价
从控制论的角度分析，内部控制着眼于企业内各具体组织的内部经营管理过程，每个单位发挥它们应有的管理功能，并在管理过程中实现自我调节和自我控制，最终使企业向着既定目标努力。控制使管理成为一个闭环系统。 在内部控制系统中，股东是最终控制主体，董事会、管理层和其他员工及其相互之间的信息、资金、设备、文化等要素耦合在一起。 该要素集合具体表现公司和业务两个层级。在这两个层级中，控制可以是作业的人员自我控制，也可以是上级管理者对作业人员的间接控制。

168 第一节 内部控制评价概论 一、内部控制评价概述 3、控制论与内部控制评价
控制论对内部控制评价的影响表现为：内部控制系统是管理控制系统的有机组成部分；内部控制评价系统的设计以清晰的战略目标为前提；内部控制评价系统必须与企业的组织结构相联系；内部控制评价必须采用适合不同评价对象的信息；内部控制评价标准必须客观合理；找出关键内部控制评价指标；发现偏差以后必须及时采取行动，予以纠正。

169 第一节 内部控制评价概论 一、内部控制评价概述 4、信息论与内部控制评价
信息论认为，内部控制评价有助于提高信息的可信程度，促进有效的决策。美国萨奥法案正是这一思路的体现。 萨奥法案103、404条款要求，注师对财务报告内控出具鉴证报告；管理层分别提供内部控制报告以及评价报告。投资人利用内控评价报告披露的关于内部控制健全有效性信息，分析财务报告真实可靠性，作出正确投资决策。 信息论认为，形形色色的财务舞弊案件的实质都是企业对外传递低劣虚假信息。内部控制评价是以委托代理理论为基础，对于受托方提供的信息，通过输入、加工、输出三个阶段，最终达到能够提供客观公正的信息系统的目的。

170 第一节 内部控制评价概论 一、内部控制评价概述 5、系统论与内部控制评价
系统是相互关联、相互制约、相互作用的若干要素组成的具有特定功能的有机整体。系统论研究系统、要素、环境三者的相互关系和变动的规律性。系统论认为：应该全面地，而不是局部地看问题；动态地、发展地，而不是静止地看问题；全方位地，而不是孤立地看问题；灵活地，而不是呆板地看问题。内部控制具有四个目标、八大要素和两个层次。

171 第一节 内部控制评价概论 一、内部控制评价概述 5、系统论与内部控制评价
根据系统论，这三者之间存在着一定的逻辑关系：四个目标是组织努力的方向；八大构成要素是实现这些目标所必需的条件；两个层次则是实现目标的途径。 具体说来，公司为了实现既定目标，在公司和业务两个层次按照八个方面加以控制。内部控制不是静态的制度，而是一个不断发现问题、解决问题的循环往复的动态过程。 内部控制评价系统是内部控制大系统中的子系统，其不同要素之间也是有机地联系在一起的。一个有效的内部控制评价系统包括评价目标、评价主体、评价客体、评价指标、评价标准、评价方法和评价报告等构成要素。

172 第一节 内部控制评价概论 二、国外内部控制评价的最新发展 1、内部控制评价的重要性——美国萨奥法案
2002年7月，美国国会通过的《萨班斯—奥克斯法案》首次对财务报告内部控制有效性提出了明确要求。内部控制评价同上市公司财务报告及其审计一样成为法定事项。该法案的103条款、302条款和404条款分别对财务报告内部控制评价作出了规定。

173 第一节 内部控制评价概论 二、国外内部控制评价的最新发展 1、内部控制评价的重要性——美国萨奥法案
第103款规定，注册会计师需要对管理层财务报告内部控制自我评估进行审核，评价公司的内部控制政策和程序是否包括详细、合理的记录，以准确公允地反映公司的资产交易和处置情况，内部控制是否合理保证公司对发生的交易活动进行了必要的记录，以满足财务报告编制符合公认会计原则的要求，是否合理保证公司的管理层和董事会对公司的收支活动进行了合理授权。 第302款规定，公司首席执行官和首席财务官应当对所提交的年度或季度报告签署书面证明，担保所在公司财务报告的真实性以及保证公司拥有完善的内部控制系统，能够及时发现并阻止公司欺诈及其他不当行为。

174 第一节 内部控制评价概论 二、国外内部控制评价的最新发展 1、内部控制评价的重要性——美国萨奥法案
第404款规定，所有除投资公司以外的企业，其年报中都必须包括：①管理层建立和维护适当内部控制结构和财务报告程序的责任报告；②管理层就公司内部控制结构和财务报告程序的有效性在该财政年度终了出具的评价；③注册会计师已就②中提到的管理层评价出具了鉴证报告。 萨奥法案规定，上市公司在对财务报告内部控制进行评价时，应选择被业界普遍接受的内部控制框架作为评价标准。因此，萨奥法案推荐使用COSO框架。

175 第一节 内部控制评价概论 二、国外内部控制评价的最新发展 2、内部控制评价的标准——美国COSO报告
1992年，美国COSO委员会提出了《企业内部控制——整体框架》，定义了内部控制的三个目标和五个要素组成的内部控制新框架。COSO框架的发布和广泛采用标志着内部控制在理论和实践上走出了审计领域，成为企业整个管理体系的组成部分。2003年COSO委员会在COSO报告的基础上进行了修订和补充，发布了《企业风险管理——整合框架》，企业风险管理（ERM）框架将内部控制的重点转向风险管理，在结构上扩展为四个目标和八个要素。内控框架提出后，得到了许多国家的认可，很多企业开始运用COSO框架指导内部控制构建，并将其应用于作为内部控制评价体系的标准。

176 第一节 内部控制评价概论 二、国外内部控制评价的最新发展 3、内部控制评价的方法之一——加拿大CoCo委员会的评估控制指南
加拿大特许会计师协会（CICA）下属的控制标准委员会（CoCo）继1995发布了《控制指南》后，又于1999年发布了《评估控制指南》，明确规定，为评估内部控制的有效性，企业需形成一份由十步程序和二十个具体标准构成的评估报告。该评估报告针对实体的具体情况，从目的、能力、承诺、监督与学习四个方面把评价指标设计成一系列问题，根据问题的答案来评价内部控制的有效性程度。

177 第一节 内部控制评价概论 二、国外内部控制评价的最新发展 3、内部控制评价的方法之一——加拿大CoCo委员会的评估控制指南
主要的评价问题表述如下： 在目的方面 在承诺方面 在能力方面 在监督与学习方面

178 第一节 内部控制评价概论 二、国外内部控制评价的最新发展 4、内部控制评价的方法之二——内部控制自我评价
1987年，加拿大海湾公司首次提出了“控制自我评估”（Control Self Appraisal，CSA，又称为内部控制自我评价）。这种评估方式满足了管理者将内部控制评估作为有效管理手段的要求，由传统的审计人员检查单据、实施符合性测试程序为导向，转化为在审计人员的指引下由管理部门和员工共同研讨，体现了一种新的内部控制思想，即内部控制系统是企业所有成员的事情。CSA带来了内部控制系统评价的革命，其理念得到了国际内部审计委员会等理论界及实务界的赞许和推广，目前这种方法在美国、加拿大及欧洲得到了广泛运用，是西方发达国家公司内部控制评价的一个新趋势。

179 第一节 内部控制评价概论 二、国外内部控制评价的最新发展 4、内部控制评价的方法之二——内部控制自我评价 控制自我评估的含义
国际内部审计师协会（IIA）认为，控制自我评估（CSA）是检查和评价内部控制的效率和效果的流程，其目的是为实现企业的目标提供一定程序的合理保证。简单来说，控制自我评估就是企业不定期或定期地对其内部控制系统进行评价，评价内部控制的有效性及其实施的效率、效果，以期能更好地实现内部控制的目标。控制自我评估是被用来评价企业关键经营目标、围绕该目标实现的风险和为管理该风险而设计的内部控制等的一套新兴的审计技术方法体系。

180 第一节 内部控制评价概论 二、国外内部控制评价的最新发展 4、内部控制评价的方法之二——内部控制自我评价 控制自我评估的特征
1996年，国际内部审计师协会在研究报告中总结了CSA的三个基本特征：关注业务的过程和控制的成效；由管理部门和职员共同进行；用结构化的方法开展自我评估。控制自我评估的核心理念在于“参与了风险评估的过程并进行了全过程的控制的人才有能力对控制作出有效评价”。控制自我评估（CSA）实施的普遍方法是内部审计人员与被评价单位管理人员组成一个小组，管理人员在内部审计人员的帮助下，对本部门内部控制的恰当性和有效性进行评价，然后根据评价和集体讨论来改进建议，出具报告，并由管理者实施。

181 第一节 内部控制评价概论 二、国外内部控制评价的最新发展 4、内部控制评价的方法之二——内部控制自我评价 控制自我评估的构成
完整的内部控制自我评价结构包括以下几个方面： 前期计划和前期审计工作。 组织人们在同一时间或同一地点开会 安排结构化的议事日程以使参加人员检查过程的风险和控制。 对各阶段的现场工作进行记录并处理电子投票的技术问题。 报告和实施行动计划。

182 第一节 内部控制评价概论 二、国外内部控制评价的最新发展 4、内部控制评价的方法之二——内部控制自我评价 控制自我评估的主要方法
内部控制自我评价主要采取研讨会法、问卷调查法和管理层分析法三种方法。 （1）研讨会法。 （2）问卷调查法。 （3）管理层分析法。

183 第一节 内部控制评价概论 二、国外内部控制评价的最新发展 4、内部控制评价的方法之二——内部控制自我评价 研讨会法的工作形式
研讨会分为基于控制、风险、流程和目标四种基本形式。 （1）基于控制的研讨会形式 （2）基于风险的研讨会形式 （3）基于流程的研讨会形式 （4）基于目标的研讨会形式

184 第一节 内部控制评价概论 二、国外内部控制评价的最新发展 4、内部控制评价的方法之二——内部控制自我评价 研讨会法的工作形式
控制自我评估（CSA）普遍使用研讨会法。上述四种形式，各有其关注的重点，企业可根据实际情况进行选择。以目标为基础可以突出评价的目的，通过确定目标使评价工作更具有现实指导意义，评价的结果也能较好地运用于企业经营管理中。因此，为满足企业经营管理的需要，企业开展控制自我评估（CSA）时，基于目标的形式是较好的选择。大多数情况下，研讨会由内部审计人员或高层管理者充当引导者，主持召开一系列的研讨会，通常包括计划、预备工作、单独的研讨会、系列的联席会议、报告和行为方案的实施等一系列过程。

185 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 20世纪80年代末至90代初，随着内部控制的发展，内部控制评价在我国开始受到关注。
90年代后期以来，我国政府开始重视内部控制评价的规范化建设，财政部、审计署、证监会、银监会等先后出台了关于内部控制评价方面的规范。 2004年9月，银监会颁布了《商业银行内部控制评价试行办法》。 2008年6月，财政部会同证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，2009年7月1日起率先在上市公司实施。

186 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 1、《企业内部控制基本规范》 评价主体
《企业内部控制基本规范》在总则中明确指出，国务院有关部门应对企业建立与实施内部控制的情况进行监督检查；接受企业委托从事内部控制审计的会计师事务所对企业内部控制的有效性进行审计，出具审计报告。内部控制评价的外部主体：监管部门和注册会计师，明确了相关政府监管部门对内部控制的外部监督检查和注册会计师对内部控制有效性的鉴证。

187 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 1、《企业内部控制基本规范》 评价主体
《内控规范》在“内部监督”一章中规定，企业应当结合内部监督的情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。这一规定表明，企业本身是内部控制评价的主体。由于内部控制的建立和实施是分层次进行的，因此，内部控制评价主体也应根据内部控制主体分层次设定。根据《内控规范》，企业可以由审计委员会指导内部审计部门对内部控制进行评价，监事会行使监督职责。综合来看，《内控规范》规定，内部控制评价的主体包括企业内部评价主体和企业外部的相关政府监管部门和注册会计师。

188 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 1、《企业内部控制基本规范》 评价内容
《内控规范》没有明确规定内部控制评价的内容，而是指出，“内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定”。

189 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 1、《企业内部控制基本规范》 评价内容
内控评价的目标是为了内控目标的实现。根据《内控规范》，内部控制的目标是“合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略”。为了促进企业发展战略这一终极目标的实现，首先要确定内部控制目标的实现程度，其次，经营合法合规、资产安全、财务报告及相关信息真实完整，以及经营效果和效率目标实现则取决于企业内部控制制度是否健全和适当。这就表明企业内部控制评价的内容是内部控制的设计和执行情况。

190 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 2、《企业内部控制评价指引》（征求意见稿） 评价主体
《企业内部控制评价指引》（征求意见稿）（以下简称《内控评价指引》）中将内部控制评价定义为，由企业董事会和管理层实施的，对企业内部控制的有效性进行评价，形成评价结论，出具评价报告的过程。由此可见，内部控制评价实际上是企业的自我评价，是狭义的企业内部控制评价。

191 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 2、《企业内部控制评价指引》（征求意见稿） 评价内容
《内控评价指引》规定，企业实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价。所谓内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。《内控评价指引》还指出，当企业运用信息系统加强内部控制时，应当对信息系统的有效性进行评价，包括信息系统一般控制评价和信息系统应用控制评价。

192 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 2、《企业内部控制评价指引》（征求意见稿） 评价内容
设计方面。应关注是否按照环境、风险、控制、信息、监督五个要素进行全面系统设计；是否在风险评估的基础上涵盖企业层面风险和所有重要业务层面风险；设计的方法是否适当，建设时间进度安排是否科学、阶段性工作要求是否合理。 运行方面。设计和运行的组织是否有效，人员配备、职责分工和授权是否合理；是否建立了有利于促进各项政策措施落实和问题整改机制；被评价单位是否开展了自查并上报了有关自查报告；评价期间是否出现过重大风险事故。

193 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 2、《企业内部控制评价指引》（征求意见稿） 评价原则
《内控评价指引》明确了企业内部控制自我评价中的风险导向，提出了风险导向原则。在确定评价范围时，要求企业以风险评估为基础，根据风险发生的可能性和对目标实现的影响程度按照自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。在内控缺陷认定中，应确定与实现整体控制目标相关的风险，据此认定和报告内部控制中的缺陷。

194 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 2、《企业内部控制评价指引》（征求意见稿） 评价信息披露
《内控评价指引》规定，在内部控制评价过程中，应该对内部控制缺陷分为设计缺陷和运行缺陷，并分别加以分析。 根据内部控制缺陷影响整体目标实现的严重程度，内部控制缺陷可分为一般缺陷、重要缺陷和重大缺陷。企业结合年末控制缺陷的整改结果，编制年度内部控制评价报告。企业应当定期对内部控制整体有效性进行评价、出具评价报告，并向董事会、监事会和管理层报告内部控制设计与运行环节存在的主要问题以及将要采取的整改措施。

195 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 3、《企业内部控制鉴证指引》（征求意见稿） 评价主体
《企业内部控制鉴证指引》（征求意见稿）（以下简称《内控鉴证指引》）所称的内部控制鉴证，是指会计师事务所接受委托，对企业与财务报告相关的内部控制的有效性进行鉴证，并发表鉴证意见。《内控鉴证指引》界定的企业内部控制鉴证，实际上是由注册会计师执行的内部控制评价。

196 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 3、《企业内部控制鉴证指引》（征求意见稿） 评价内容
《内控鉴证指引》将注册会计师执行的企业内部控制鉴证界定为对企业与财务报告相关的内部控制的有效性进行鉴证，使得内部控制鉴证的内涵过于狭窄。之所以如此规定，一方面是由于注册会计师专业水平的限制，缺乏内部控制的知识和技能，另一方面是由于对与财务报告相关的内部控制以外的整体内部控制进行鉴证是一项较为庞大的工程，在某种程度上属于咨询范畴，而咨询业务应该由企业选择进行，通过法律法规的形式加以规范有失妥当。从发展来看，内部控制鉴证的范围应包含整体的内部控制，而不应仅仅局限于与财务报告相关的内部控制。

197 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 3、《企业内部控制鉴证指引》（征求意见稿） 评价信息披露
《内控鉴证指引》规定，按企业内部控制存在的不足的严重程度分为缺陷、应关注缺陷和重大缺陷，并要求注册会计师在完成内部控制鉴证后，单独对内部控制出具鉴证报告。

198 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 4、《商业银行内部控制评价试行办法》 评价主体
《商业银行内部控制评价试行办法》（以下简称《办法》）明确规定，商业银行内部控制评价由银监会及其派出机构组织实施。这表明《办法》所规范的内部控制评价是企业外部监管当局的一种监管行为。但是，《办法》实施的主旨在于使商业银行认识到建立符合监管基本要求的内控体系是其自身内在的需求和责任，通过内控评价可以进一步明确监管部门的作用，有利于形成内部控制和外部监管的互动机制。

199 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 4、《商业银行内部控制评价试行办法》 评价内容
《办法》第三条对内部控制体系进行了界定，“内部控制体系是商业银行为实现经营管理目标，通过制定和实施系统化的政策、程序和方案，对风险进行识别、评估、控制、监测和改进的动态过程和机制，由内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等五个相互关联、相互作用的过程构成”。因此，过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系要素的评价。结果评价是对内部控制主要目标实现程度的评价。

200 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 4、《商业银行内部控制评价试行办法》 评价标准
《办法》对内控评价采用了定量评价标准，对过程评价和结果评价运用不同的评价方法和评价标准分别开展评价。在对内部控制过程评价时，应按照内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈五个要素的具体要求，结合上文《办法》第八条的四个方面展开，转换为具体评价问题，并根据测试情况对被评价项目进行评分。

201 第一节 内部控制评价概论 三、我国内部控制评价的发展现状 4、《商业银行内部控制评价试行办法》 评价标准
对结果评价采用指标分析，主要包括十项指标：资本利润率、资产利润率、成本收入比、大额风险集中度指标、关联方交易指标、资产质量指标、不良贷款拨备覆盖率、资本充足指标、流动性指标、案件指标。根据每项指标数值对内控结果进行评分。将过程评价和结果评价进行综合即得到内部控制评价的最终得分。

202 第一节 内部控制评价概论 四、我国内部控制审计评价涵义 1、中国内部审计协会
在我国，企业主要由内部审计部门通过实施内部审计来对内部控制状况进行评价。2003年，中国内部审计协会发布的《内部审计基本准则》中，将内部审计定义为：“内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。

203 第一节 内部控制评价概论 四、我国内部控制审计评价涵义 2、国家审计署
2005年5月1日起实施的新《审计署关于内部审计工作的规定》第二条中明确规定：“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的行为，以促进加强经济管理和实现经济目标。”从两个规范对内部审计的定义可以看出，内部审计的根本目标是为企业经营管理服务，此目标实现的重要方式就是对内部控制进行评价。

204 第一节 内部控制评价概论 四、我国内部控制审计评价涵义 3、内部控制评价的其他定义
内部审计是组织内部为检查和评价其经济活动和为本组织服务而建立的一种独立评价活动，其在内部控制中的作用在联合国公共行政和财务处编制的《发展中国家政府审计手册》中作了精辟论述。可见，内部审计既是企业内部控制的重要组成部分，又是企业内部控制的特殊方式。评价企业内部控制是内部审计与生俱来的重要职责，也是内部审计对内部控制最重要的贡献。因此，我们又将内部控制审计评价称为内部审计评价。

205 第二节 内部控制评价体系 一、内部控制评价的目标 1、内部控制评价目标的确定
内部控制评价，是通过评价主体对企业现有的内部控制系统的设计和执行的健全性和有效性进行审查、测试、分析和评价的活动。 通过内部控制评价，企业管理层能够发现内部控制是否符合企业的生产经营特点，是否在全体员工、生产的全过程中得到了贯彻执行，是否能够保证提供真实与有用的信息，是否能够及时防范和发现错误与弊端，是否能够识别经营中的风险因素，是否有助于战略目标的实现等。 内部控制评价是内部控制的再控制。

206 第二节 内部控制评价体系 一、内部控制评价的目标 2、内部控制评价的最终目标
最终目的就是为了实现内部控制目标，即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

207 第二节 内部控制评价体系 一、内部控制评价的目标 3、内部控制具体·评价目标界定
在具体界定内部控制评价目标时，不同的评价主体对内部控制评价目标的侧重有所不同。内部评价主体，如审计委员会、管理层和内部审计部门关注所有的内部控制目标，但更侧重于经营目标和战略目标，因为他们对企业内部控制的评价是出于内部管理的需要，评价企业为达到经营效果和效率所付出努力的有效性，以及合理保证企业的内部控制制度有利于企业战略目标的实现。外部评价主体，如政府监管机构和注册会计师实施的内部控制评价一般侧重于报告目标和合规目标的实现。注册会计师在管理咨询内部控制评价中还会关注经营目标的实现。

208 第二节 内部控制评价体系 二、内部控制评价的主体和客体 1、内部控制评价主体 内部评价主体 审计委员会 监事会 内审部门
国际内部审计师协会（以下简称IIA）发布的《内部审计人员胜任能力框架》研究报告，对内审人员的任职条件提出了新的要求（见P183表10—1）。

209 第二节 内部控制评价体系 二、内部控制评价的主体和客体 1、内部控制评价主体 外部评价主体
外部评价主体包括注册会计师和监管当局。监管当局实施的内部控制评价体现了对内部控制的强制性披露要求。2002年7月美国发布的《萨班斯－奥克斯法案》强制要求企业披露有关内部控制的信息，但是披露主体为企业和注册会计师。我国银监会颁布的《商业银行内部控制评价试行办法》是银监会及其派出机构自行实施的监管行为，当然，披露主体也就是评价主体。

210 第二节 内部控制评价体系 二、内部控制评价的主体和客体 2、评价客体
内部控制评价的客体是指内部控制评价的实施对象，即对什么内容进行控制。内部控制评价客体的确定原则： 全过程性原则。从时间范畴看，内部控制是一个过程，其有效性是该过程在特定时点的状态和情况，内部控制评价应贯穿于企业日常业务和企业业绩评价中。从空间范畴看，内部控制是对企业的生产经营活动全过程进行的控制，由局部的会计控制、财务控制扩展到整个企业的生产过程的控制。

211 第二节 内部控制评价体系 二、内部控制评价的主体和客体 2、评价客体
内部控制评价的客体是指内部控制评价的实施对象，即对什么内容进行控制。内部控制评价客体的确定原则： 分层次原则。COSO报告认为，内部控制体系分为公司层面和业务层面。在公司层面和业务层面都应从控制环境、风险评估、控制活动、信息与沟通和监督五个方面加以控制，但是侧重点有所不同。因此，在进行内部控制评价时，评价内容也会有所不同。以控制环境的人力资源政策与实务为例，COSO框架在公司层面内部控制的评价内容见（P185表10—2)。

212 第二节 内部控制评价体系 三、内部控制评价的标准 1、内部控制评价的一般标准
内部控制评价的一般标准，是指应用于内部控制评价的各个方面的标准，即内部控制制度整体运行应遵循和达到的目标，主要包括被评价企业内部控制的完整性、合理性及有效性。 内部控制的完整性 内部控制的合理性 内部控制的有效性

213 第二节 内部控制评价体系 三、内部控制评价的标准 2、内部控制评价的具体标准 内部控制要素评价标准 内部控制作业层次评价标准

214 第二节 内部控制评价体系 四、内部控制评价的程序和方法 1、内部控制评价的程序 调查
调查了解企业规模，组织结构，发展目标，内部控制的要素内容、设计与实施等一般情况； 重点调查了解企业是否对不相容职务进行了分离； 调查企业是否建立系统化、文件化的控制制度，是否采取标准化业务处理程序，全体员工是否按照科学的既定程序处理业务； 调查了解财务会计部门是否按标准化处理程序处理业务，员工是否有严密的组织分工，是否建立合理的业务程序，是否建立完善的会计档案管理制度，是否实施恰当的稽核和核对制度。

215 第二节 内部控制评价体系 四、内部控制评价的程序和方法 1、内部控制评价的程序 测试 健全性测试 符合性测试

216 第二节 内部控制评价体系 四、内部控制评价的程序和方法 1、内部控制评价的程序 评价 在内部控制测试的基础上进行综合评价。
合法性是指内部控制符合国家法律法规的相关规定，不能与法律法规相抵触。 完整性是指企业根据生产经营的需要，制定全面的内部控制制度，并且对生产经营活动的全过程自始至终进行内部控制。 合理性是指内部控制设计和执行既具有适用性，又符合经济性。 有效性是指企业的内部控制政策和措施在企业生产过程中能够得到有效贯彻执行。

217 第二节 内部控制评价体系 四、内部控制评价的程序和方法 1、内部控制评价的程序 报告--评价报告应包括以下内容：
从合法性、完整性、合理性和有效性四个方面说明内部控制制度设计和执行的基本情况。从整体方面对内部控制制度作基本概括。 指出企业内部控制中存在的重大缺陷。将发现的内部控制缺陷加以归类说明，指出重点问题、关键问题，并说明这些问题会给企业带来的影响。 提出企业改进内部控制的建议。评价人员应当就所提出的内部控制中的缺陷，根据其产生的不同原因及相关情况，提出合理的具有建设性和操作性的意见。 我国内部控制评价信息披露模式(见P190表10—3)。

218 第二节 内部控制评价体系 四、内部控制评价的程序和方法 2、内部控制评价方法 文字描述法
文字描述法是指评价人员对内部控制的健全程度和执行情况用文字来描述的方法。文字描述，一般是按不同的业务循环，分别写明各项职务所完成的各项工作、办理业务时所需要办理的各种手续等，还应阐明各项工作的负责人、经办人员，以及由他们编写和记录的文件凭证等。

219 第二节 内部控制评价体系 四、内部控制评价的程序和方法 2、内部控制评价方法 调查表法
调查表法是指评价人员使用内部控制调查表的形式，向企业经营管理人员或有关当事人提出若干问题，要求其书面答复，根据问题的答案，了解其内部控制是否健全、完善的一种方法。采用调查表法，评价人员应该事先进行问卷设计，确定调查范围和目标，设计出所要调查的问题，然后将调查表发给企业有关人员，要求他们如实填写有关答案，最后，评价人员汇总调查表，据以评价企业的内部控制系统。

220 第二节 内部控制评价体系 四、内部控制评价的程序和方法 2、内部控制评价方法 流程图法
流程图法就是利用符号语言，把企业的组织机构、职责分工、权限范围、文件的编制与排序、各种业务处理流程等内部控制制度的内容，用一种系统程序图的形式反映出来。

221 第二节 内部控制评价体系 四、内部控制评价的程序和方法 2、内部控制评价方法 实地观察法
实地观察法是指身临被评价企业的工作现场，实地观察有关人员的实际工作情况，以察看其规定的控制措施是否得到严格执行的方法。评价人员在实施这一方法时，应尽可能不让被评价事项的有关人员事先察觉，这样才会取得比较理想的效果。该方法有一定的局限性，在评价实际工作中一般应结合其他技术方法一并进行。

222 第二节 内部控制评价体系 四、内部控制评价的程序和方法 2、内部控制评价方法 证据检查法
证据检查法是评价人员抽取一定数量的账户、凭证等书面证据和其他有关证据，检查其是否存在控制措施线索，以判断内部控制是否得到有效贯彻执行的方法。企业的内部控制执行情况总要在资料文件等证据上表现出来，因此，抽取一定数量的书面证据，即可证明被评价企业制定的内部控制措施，是否在实际工作中得到执行。例如，差旅费用的报销，内部控制规定必须由发生此项业务支出的部门负责人和财务部负责人批准并签字才能办理，评价人员即可检查费用支出凭证上是否有负责人的核准意见及签字，来判断企业实际工作中是否执行了批准控制手续。

223 第二节 内部控制评价体系 四、内部控制评价的程序和方法 2、内部控制评价方法 穿行试验法
穿行试验法，是指评价人员在符合性测试评价中，抽取某项业务循环的几笔业务，按照内部控制规定的业务处理程序，从头到尾重新执行一遍，以检查这些经济业务在办理过程中是否执行了规定的控制措施，并通过对处理结果是否相符的对比，来判断各项控制措施能否有效发挥作用的技术方法。这种方法通常只针对特别重要的业务系统，以免造成不应有的失误。