企业内部控制概述-课件

企业内部控制学（第二版）企业内部控制学（第二版）企业内部控制学（第二版）1第一章内部控制概述第二章内部控制要素——内部环境第三章内部控制要素——风险评估第四章内部控制要素——控制活动第五章内部控制要素——信息与沟通第六章内部控制要素——监控第七章内部控制设计的原则与方法第八章内部控制评价概论第九章内部控制评价体系企业内部控制学（第二版）1第一章内部控制概述本章概要第一节内部控制的产生与发展第二节内部控制的概念第三节内部控制的功能与局限性第四节美国内部控制制度框架第五节我国内部控制制度框架第一章内部控制概述本章概要第一章内部控制概述第一节内部控制的产生与发展第一节内部控制的产生与发展内部控制的五个发展阶段内部控制的五个发展阶段2022/12/46内部牵制阶段（20世纪30年代及以前）（20世纪40年代——70年代）内部控制制度阶段（20世纪80年代）内部控制结构阶段（20世纪90年代）

“内部控制整体框架”阶段（21世纪开始至今）

“企业风险管理框架”阶段2022/12/36内部牵制阶段（20世纪30年代及以前）（企业内部控制学（第二版）3

一、内部牵制阶段

二、内部控制制度阶段

三、内部控制结构阶段

(1)控制环境(ControlEnvironment),是指对建立、加强或削弱特定政策与程序的效率有重大影响的各种因素,包括管理者的思想和经营作风,组织结构,董事会及其所属委员会,特别是审计委员会发挥的职能,确定职权和责任的方法,管理者监控和检查工作时所使用的控制方法,包括经营计划、预算、预测、利润计划、责任会计和内部审计,人事工作方针及其执行等,影响企业业务的各种外部关系,如由银行指定代理人的检查等。

(2)会计制度(AccountingSystem),是指为认定、分析、归类、记录、编报各项经济业务,明确资产与负债的经管责任而规定的各种方法,包括鉴定和登记一切合法的经济业务,对各项经济业务按时和适当地分类,作为编制财务报表的依据,将各项经济业务按照适当的货币价值计价,以便列入企业内部控制学（第二版）3

一、内部牵制阶段

企业内部控制学（第二版）4财务报表,确定经济业务发生的日期,以便按照会计期间进行记录,在财务报表中恰当地表述经济业务及对有关的内容进行揭示。

(3)控制程序(ControlProcedure),是指企业为保证目标的实现而建立的政策和程序,如经济业务和经济活动的适当授权;明确各个人员的职责分工,如指派不同的人员分别承担业务批准、业务记录和财产保管的职责,以防止有关人员对正常经济业务图谋不轨和隐匿各种错弊;账簿和凭证的设置、记录与使用,以保证经济业务活动得到正确的记载,如出厂凭证应事先编号,以便控制发货业务;资产及记录的限制接触,如接触电脑程序和档案资料要经过批准;已经登记的业务及其记录与复核,如常规的账面复核,存款、借款调节表的编制,账面的核对,电脑编程控制,以及管理者对明细报告的检查等。

四、内部控制框架阶段

2013年5月14日，COSO委员会发布了《内部控制——综合框架》，对五要素和内控有效性方面作了如下完善和提升。企业内部控制学（第二版）4财务报表,确定经济业务发生的日期,企业内部控制学（第二版）5

(5)强化公司治理的概念

(6)充实反舞弊和反欺诈的相关内容

五、风险管理阶段

(1)细化提出用语支持5个要素的17项原则

(2)明确“目标设定”在内部控制中的作用

(3)扩大报告目标范畴

(4)强调“企业自身的判断”企业内部控制学（第二版）5

(5)强化公司治理的概念一、内部牵制(InternalCheck)阶段(20世纪30年代以前)人类社会经济发展史中，早已存在着内部控制的基本思想和初级形式——内部牵制。一、内部牵制(InternalCheck)阶段(20世纪3远在公元前3600年的美索不达米亚文化的记载中，就可找到内部牵制的踪迹。在当时极为粗糙的财务管理活动中，记录员要核对付款清单，并在付款清单上打上“点、勾、圈”等核对符号，表明检查账目的工作已经完成。这表示简单的内部牵制措施已经出现在原始的会计实践中。当时的内部牵制活动仅是由于经济发展、管理需要产生的自觉不自觉的活动。人们从未对内部牵制本身的重要性和必要性加以认识，提出某些见解，仅是凭经验进行着最粗糙最简单的内部牵制活动。远在公元前3600年的美索不达米亚文化的记载中，就可找到内部到了13世纪末，会计上出现了复式簿记之后，内部牵制的发展有了新的进步。在当时，作为会计控制的复式簿记是以单纯的记账人与保管人相分离的职责分工为基础的。15世纪末，借贷复式记账法在意大利出现。自此，开始对管理钱财物的不同岗位进行分离，并利用其勾稽关系进行交互核对以达到互相牵制的目的。到了13世纪末，会计上出现了复式簿记之后，内部牵制的发展有了20世纪初期，西方资本主义经济得到了较大发展，股份有限公司的规模不断扩大，内部分工越来越细，生产资料所有者和经营者相互分离。为了保护资产，保证会计纪录的正确性，提高管理水平以在激烈的竞争中获胜，一些企业逐步摸索出一些组织、调节、制约和检查企业生产活动的办法，即按照人们的主观设想建立内部牵制制度，以防范和揭露错误。这里所指的所谓的内部牵制是指企业内部明确各方面的权限、职责，便于在经济活动中相互联系、相互制约、自动检验错误、防止舞弊的一种控制机制。基于该内部牵制定义建立起来的会计工作制度，就叫做内部牵制制度。至此，内部牵制开始走向成熟。20世纪初期，西方资本主义经济得到了较大发展，股份有限公司的这段时期的内部牵制，基本上是辅助会计职能，以查错防弊为目的，以职务分离和交互核对为手法。人们对上述内部牵制的基本思想——查错防弊，长期以来没有根本的异议，以致在现代的内部牵制理论中，内部牵制仍占有相当重要的地位，并成为现代内部控制理论中有关组织控制、职务分离的雏形。这段时期的内部牵制，基本上是辅助会计职能，以查错防弊为目的，根据《柯勒会计辞典》(Kohler’sDictionaryforAccountants)的解释，内部牵制是指：以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵制以使每项业务能完整正确地经过规定的处理程序，而在这规定的处理程序中，内部牵制机制永远是一个不可缺少的组成部分。内部牵制的定义1根据《柯勒会计辞典》(Kohler’sDictionaryL.R.迪克西(L.R.Dicksee)最早于1905年提出内部牵制，他认为，内部牵制由三个要素构成：职责分工；会计记录；人员轮换。内部牵制的定义2L.R.迪克西(L.R.Dicksee)最早于1905年提出1912年，R.H.蒙哥马利(RobertH.Montgomery)出版了《审计理论与实践》，后来被审计届誉为审计师“圣经”的不朽名著，书中指出，所谓内部牵制，是指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度,某位职员的业务也与另外一位职员的业务必须是相互弥补、相互牵制的关系，即必须进行组织上的责任分工和业务的交叉检查或交叉控制，以便相互牵制，防止发生错误或弊端。内部牵制的定义31912年，R.H.蒙哥马利(RobertH.Montgo1930年,乔治·E.本利特(GeorgeE.Bennett)发展了内部牵制的概念，给内部牵制下了一个完整的定义：内部牵制是账户和程序组成的协作系统，这个系统使得员工在从事本职工作时，独立地对其他员工的工作进行连续性的检查，以确定其舞弊的可能性。内部牵制的定义41930年,乔治·E.本利特(GeorgeE.Bennet案例：“全能”会计中天集团是一家大型企业，设有自己的财务公司并在内部设立分支机构。财务公司在上海的分公司是由一位名叫马庆的人同时兼任资金调拨、制单、记账、印鉴等多项业务。2003年9月30日，马庆没有经过经理的授权批准，就按该企业上海某开户银行的“要求”(据事后调查，银行是为了满足存款期末余额的考核指标)，通过银行转账支票将分公司在该行活期账户上的3000万元转成在该银行的定期存款，同时该行给分公司开具了大额定期存款单据。10月8日，该银行又将这笔3000万元定期存款转回到活期存款账户。最后经追查，银行给该笔业务开具的定期单利率为零，并且活期存款也少支付8天利息共1.38万元。案例：“全能”会计中天集团是一家大型企业，设有自己的财务公司从本案可以看出，马庆一人同时兼任资金调拨、制单、记账、印签等多项不相容岗位工作，违背了内部牵制的基本原则，以至于内部缺乏相互制约以防范风险的机制，结果使资金管理出现了漏洞，从而带来较大风险隐患，发生款项挪用也就在所难免了。从本案可以看出，马庆一人同时兼任资金调拨、制单、记账、印签等内部牵制基于两个设想：第一，两个或两个以上的人或部门无意识地犯同样错误的机会是很小的；第二，两个或两以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或一个部门舞弊的可能性。内部牵制理念的科学性内部牵制基于两个设想：内部牵制理念的科学性现实生活中内部牵制的形式实物牵制：如钥匙交两个以上的人持有物理牵制：如银库大门按非正确手续操作就会报警分权牵制：每项业务由不同的人或部门去执行簿记牵制：明细账与总账定期核对现实生活中内部牵制的形式实物牵制：如钥匙交两个以上的人持有二、内部控制(InternalControl)制度阶段(20世纪40年代～70年代)内部牵制基本是以查错防弊为目的，以职务分离和账目核对为手法，以钱、账、物等会计事项为主要控制对象。内部控制作为一个专用名词和完整概念，直到20世纪40年代才被人们提出、认识和接受，但核心是内部会计控制。二、内部控制(InternalControl)制度阶段(21.最早提出内部会计控制系统的是1934年美国发布的《证券交易法》。该法规定：证券发行人应设计并维护一套能为下列目的提供合理保证的内部会计控制系统：(1)交易的记录必须满足公认的会计准则或其他适当标准编制财务报表和落实资产责任的需要；(2)交易依据管理部门的一般和特殊授权执行；(3)接触资产必须经过管理部门的一般授权和特殊授权；(4)按照适当时间间隔要将财产的账面记录与实物资产核对，并对差异采取适当的补救措施。1.最早提出内部会计控制系统的是1934年美国发布的《证券交2.1949年，美国注册会计师协会(AICPA)所属的审计程序委员会发表了一份题为《内部控制：系统协调的要素及其对管理部门和独立公共会计师的重要性》的特别报告。该报告首次正式对内部控制提出了权威性的定义：内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。2.1949年，美国注册会计师协会(AICPA)所属的审计程3.1958年，美国注册会计师协会的审计程序委员会在其发布的《审计程序公告第29号》对内部控制的定义作了进一步的说明，并首次将内部控制划分为内部会计控制和内部管理控制。由此，内部控制进入“制度二分法”或“二要素”阶段。3.1958年，美国注册会计师协会的审计程序委员会在其发布的内部会计控制包括与财产安全和会计记录的准确性、可靠性有直接联系的所有方法和程序，如授权与批准控制、从事财物记录与审核的职务及从事经营与财产保管的职务实行分离控制、实物控制和内部审计等。内部管理控制主要是与贯彻管理方针和提高经营效率有关的所有方法和程序，一般与财务会计只是间接相关，如统计分析、业绩报告、员工培训、质量控制等。内部会计控制包括与财产安全和会计记录的准确性、可靠性有直接联4.1972年，美国审计准则委员会(ASB)在《审计准则公告》(第1号)中，重新并且更加明确地阐述了内部会计控制和内部管理控制的定义。内部会计控制包括(但不限于)组织规划、保护资产安全以及与财务报表可靠性有关的程序和记录。内部管理控制包括(但不限于)组织规划及与管理当局进行经济业务授权的决策过程有关的程序和记录。4.1972年，美国审计准则委员会(ASB)在《审计准则公告三、内部控制结构(InternalControlStructure)阶段(20世纪80年代)1988年，美国注册会计师协会发布《审计准则公告第55号》(SAS55)，并规定从1990年1月起取代1972年发布的《审计准则公告第l号》。该公告首次以“内部控制结构”代替“内部控制制度”，明确“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”。该公告认为，内部控制结构由控制环境、会计制度和控制程序三个要素组成。三、内部控制结构(InternalControlStru控制环境是指对建立、加强或削弱特定政策与程序的效率有重大影响的各种因素。具体包括：①管理者的思想和经营作风；②组织结构；③董事会及其所属委员会，特别是审计委员会发挥的职能；④确定职权和责任的方法；⑤管理者监控和检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计；⑥人事工作方针及其执行；⑦影响本企业业务的各种外部关系，如与银行的关系等。1.控制环境控制环境是指对建立、加强或削弱特定政策与程序的效率有重大影响会计制度是指为确认、归类、分析、登记和编报各项经济业务，明确资产和负债的经管责任而规定的各种方法。也就是要建立企业内部的会计制度。健全的会计制度应实现下列目标：①鉴定和登记一切合法的经济业务；②对各项经济业务按时进行适当分类，作为编制财务报表的依据；③将各项经济业务按适当的货币价值计价，以使列入财务报表；④确定经济业务发生的日期，以便按照会计期间进行记录；⑤在财务报表中恰当地表述经济业务以及对有关内容进行揭示。2.会计制度会计制度是指为确认、归类、分析、登记和编报各项经济业务，明确控制程序指管埋当局所制订的用以保证达到一定目的的方法和程序。包括：①经济业务和经济活动的批准权；②明确各个员工的职责分工；③资产和记录的接触控制；④业务的独立审核等。3.控制程序控制程序指管埋当局所制订的用以保证达到一定目的的方法和程序。1.控制环境首次被纳入内部控制的范畴。2.不再区分会计控制和管理控制而统一以要素来表述。内部控制融会计控制和管理控制于一体，从“制度二分法”阶段步入“结构分析法”阶段即“三要素阶段”，这是内部控制发展史上的一次重要改变。内部控制结构理论的特点1.控制环境首次被纳入内部控制的范畴。内部控制结构理论的特点四、内部控制整合框架阶段(InternalControlIntegratedFramework)20世纪90年代后，人类进入了信息经济时代，快捷的信息传递速度为资本流动创造了便利条件，但也带来了更多的经营风险。1985年美国为了遏制日益猖獗的会计舞弊活动，成立了一个反财务舞弊委员会(TheCommitteeofSponsoringOrganizationsoftheTreadwayCommission，COSO委员会)，也称Treadway委员会，调查导致会计舞弊活动的原因，并提出了解决方案。四、内部控制整合框架阶段(InternalControlCOSO的来历COSO(CommitteeofSponsoringOrganizations)是Treadway委员会的发起组织委员会的简称。Treadway委员会即反欺诈财务报告全国委员会(NationalCommissiononFraudulentFinacialReporting)，由于其首任主席的姓名而通常被称之为Treadway委员会。该委员会由美国注册会计师协会(AICPA)、美国会计协会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)等5个组织于1985年发起设立。1987年，Treadway委员会发布一份报告，建议其发起组织沟通协作，整合各种内部控制的概念和定义。COSO的来历COSO(CommitteeofSpons1992年9月，COSO发布了著名的《内部控制——整合框架》(InternalControl——IntegratedFramework，简称COSO报告)，并于1994年进行了修订。该报告系内部控制发展历程中的一座重要里程碑，其对内部控制的发展所做出的贡献可以用三句话十二个字概括，那就是“一个定义、三项目标、五种要素”。1992年9月，COSO发布了著名的《内部控制——整合框架》企业内部控制概述-课件合规目标报告目标经营目标COSO定义COSO委员会在COSO报告中，将内部控制定义为：“内部控制是董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现由企业而提供合理保证的过程”。合规目标报告目标经营目标COSO定义COSO委员会在COSOCOSO报告将内部控制的组成分成五个相互独立而又相互联系的五个要素：控制环境(ControlEnvironment)风险评估(RiskAppraisal)控制活动(ControlActivity)信息与沟通(InformationandCommunication)监控(Monitoring)内部控制整体框架的提出标志着内部控制理论发展到一个崭新的阶段，它是内部控制发展史上的又一里程碑。内部控制五要素COSO报告将内部控制的组成分成五个相互独立而又相互联系的五企业内部控制整体框架图1-1COSO的企业内部控制整体框架图企业内部控制整体框架图1-1COSO的企业内部控制整体框架1．控制环境控制环境主要指企业内部的文化、价值观、组织结构、管理理念和风格等。这些因素是企业内部控制的基础，将对企业内部控制的运行及效果产生广泛而深远的影响。具体来说，控制环境包括员工的忠诚和职业道德、人员胜任能力、管理者的管理哲学和经营风格、董事会及审计委员会、组织机构、权责划分、人力资源政策及执行等方面。1．控制环境控制环境主要指企业内部的文化、价值观、组织结构、2．风险评估风险评估是指识别和分析与实现目标相关的风险，并采取相应的行动措施加以控制。这一过程包括风险识别和风险分析两个部分。通常，企业的风险主要来自于外部环境和内部条件的变化。风险识别包括对外部因素(如技术发展、竞争、经济变化)和内部因素(如员工素质、公司活动性质、信息系统处理的特点)进行检查。风险分析则涉及估计风险的重大程度、风险发生的可能性、如何控制风险等。2．风险评估风险评估是指识别和分析与实现目标相关的风险，并采3．控制活动控制活动是指企业对所确认的风险采取必要的措施，以保证企业目标得以实现的政策和程序。一般来说，与内部控制相关的控制活动包括职务分离、实物控制、信息处理控制、业绩评价等。3．控制活动控制活动是指企业对所确认的风险采取必要的措施，以职务分离是指为了防止单个雇员舞弊或隐藏不正当行为而进行的职责划分。一般来说，应该分离的职责有：业务授权与业务执行、业务执行与业务记录、业务记录与业务稽核等。实物控制指对企业的具体实物所进行的控制行为，如针对现金、存货、固定资产、有价证券等所进行的控制。信息处理控制可分为两类：一般控制和应用控制。一般控制通常与信息系统的设计和管理有关。应用控制则与个别数据在信息系统中处理的方式有关。业绩评价是指将实际业绩与业绩标准进行比较，以便确定业绩的完成程度和质量。职务分离是指为了防止单个雇员舞弊或隐藏不正当行为而进行的职责4．信息与沟通信息与沟通是指为了使管理者和员工能执行其职责，企业各个部门及员工之间必须沟通与交流相关的信息。这些信息既有外部的信息，也有内部的信息。通常而言，信息与沟通包括确认记录有效的经济业务、采用恰当的货币价值计量、在财务报告中恰当揭示。沟通的目的主要是让员工了解其职责，了解其在工作中如何与他人相联系，如何向上级报告例外情况。沟通的方式一般有政策手册、财务报告手册、备查簿，口头交流或管理示例等。4．信息与沟通信息与沟通是指为了使管理者和员工能执行其职责，5．监督监督是指评价内部控制的质量，也就是评价内部控制制度的设计与执行情况，包括日常的监督活动、内部审计等。监督活动通常是由内部审计、财务会计、人力资源等部门执行。他们定期或不定期地对内部控制制度的设计与执行情况进行检查和评估，与有关人员交流内部控制有效与否的信息，并提出改进意见，以保证内部控制能够随环境的变化而不断改进。5．监督监督是指评价内部控制的质量，也就是评价内部控制制度的和以前的内部控制理论相比，COSO报告提出了许多新的、有价值的观点。①明确了对内部控制的责任。②强调内部控制应该与企业的经营管理过程相结合。③强调内部控制是一个“动态过程”。④强调“人”的重要性。⑤强调“软控制”的作用。⑥强调风险意识。⑦揉合了管理与控制的界限。⑧强调内部控制的分类及目标。⑨明确指出内部控制只能做到“合理”保证。⑩强调成本与效益原则。和以前的内部控制理论相比，COSO报告提出了许多新的、有价值五、风险管理阶段2004年9月，COSO委员会在借鉴以往有关内部控制研究报告的基本精神的基础上，结合《萨班斯一奥克斯利法案》在财务报告方面的具体要求，发表了新的研究报告——《企业风险管理框架》(EnterpriseRiskManagementFramework，简称ERM框架)。五、风险管理阶段2004年9月，COSO委员会在借鉴以往有关《企业风险管理框架》指出：“全面风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于企业战略制定并贯穿于企业各种经营活动之中，目的是识别可能会影响企业价值的潜在事项，管理风险于企业的风险容量之内，并为企业目标的实现提供保证。”这一阶段的显著变化是将内部控制上升至全面风险管理的高度来认识。《企业风险管理框架》指出：“全面风险管理是一个过程，它由一个所谓“萨班斯-奥克斯利法案”，是指2002年6月18日美国国会参议院银行委员会以17票赞成对4票反对通过由奥克斯利和参议院银行委员会主席萨班斯联合提出的会计改革法案——《2002上市公司会计改革与投资者保护法案》。这一议案在美国国会参众两院投票表决通过后，由布什总统在2002年7月30日签署成为正式法律，称作《2002年萨班斯-奥克斯利法案》。萨班斯-奥克斯利法案所谓“萨班斯-奥克斯利法案”，是指2002年6月18日美国国设立独立的上市公司会计监管委员会，负责监管执行上市公司审计的会计师事务所；特别加强执行审计的会计师事务所的独立性；特别强化了公司治理结构并明确了公司的财务报告责任及大幅增强了公司的财务披露义务；大幅加重了对公司管理层违法行为的处罚措施；增加经费拨款，强化美国证券交易委员会(SEC)的预算以及职能。“萨班斯法案”主要内容设立独立的上市公司会计监管委员会，负责监管执行上市公司审计的“萨班斯法案”素以条款严苛而著称，其中的404条款则是该法案中最难操作、最复杂、耗费成本最高的一个条款。这一令人生畏的404条款规定：所有在美上市企业都要建立内部控制体系，其中包括控制环境、风险评估、控制活动、信息沟通以及监督5个部分。而且，法案对企业建立的内部控制活动的记录作了许多详细而严格的细节上的规定。如此一来，404条款就成为外国公司迈入美国股市的“高门槛”。404条款“萨班斯法案”素以条款严苛而著称，其中的404条款则是该法案条款如此严苛，惩戒又如此严厉的法案自然令大批在美上市的外国公司不寒而栗。据悉，在美上市的中国企业共有46家，其中不乏像网通、移动、百度这样的行业巨头。但是，中国企业此前从未经历过这样严厉的“美国规则”的考验。据有关专家估算，此次中国在美国上市的46家公司在应对萨班斯法案方面的直接投入总共高达10亿元人民币，而大型央企由于公司治理方面相对较弱，其在人力、时间、资源方面的投入更高。条款如此严苛，惩戒又如此严厉的法案自然令大批在美上市的外国公有报道称，国际财务执行官组织对321家企业的调查显示，每家遵守萨法的美国大型企业第一年实施404条款总成本平均超过460万美元，大名鼎鼎的通用电气公司更是花费了高达3000万美元的巨款来完善内部控制系统以符合404条款的要求。有报道称，国际财务执行官组织对321家企业的调查显示，每家遵ERM框架提出了战略目标、经营目标、报告目标和合规目标四类目标，并将内部控制的要素进一步扩展为内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等八个要素。企业风险管理框架(ERM框架)ERM框架提出了战略目标、经营目标、报告目标和合规目标四类目图1-2企业风险管理整合框架图企业风险管理整合框架(ERM框架)图1-2企业风险管理整合框架图企业风险管理整合框架(ERM1.内部环境：内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观以及他们所处的经营环境。2.目标制定：必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。1.内部环境：内部环境包含组织的基调，它为主体内的人员如何认3.事项识别：必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会应被反馈到管理当局的战略或目标制订过程中。4.风险评估：通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。5.风险应对：管理当局选择风险应对、回避、承受、降低或者分担风险，采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。3.事项识别：必须识别影响主体目标实现的内部和外部事项，区分6.控制活动：制订和执行政策与程序以帮助确保风险应对得以有效实施。7.信息与沟通：确保有关员工履行其职责的信息得以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。8.监控：对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。6.控制活动：制订和执行政策与程序以帮助确保风险应对得以有效1.从目标上看，ERM框架不仅涵盖了内部控制框架中的经营性、财务报告可靠性和合法性三个目标，而且还新提出了一个更具管理意义和管理层次的战略管理目标，同时还扩大了报告的范畴。2.从内容上看，ERM框架除了包括内部控制整体框架中的五个要素外，还增加了目标制定、风险识别和风险应对三个管理要素。3.从概念上看，ERM框架提出了两个新概念——风险偏好和风险容忍度。4.从观念上看，ERM框架提出了一个新的观念——风险组合观。ERM框架的创新1.从目标上看，ERM框架不仅涵盖了内部控制框架中的经营性、需要说明的是，《企业风险管理框架》虽然较晚于《内部控制——整体框架》产生，但是它并不是要完全替代《内部控制——整体框架》。在企业管理实践中，内部控制是基础，风险管理只是建立在内部控制基础之上的、具有更高层次和更有综合意义的控制活动。如果离开良好的内部控制系统，所谓的风险管理只能是一句空话而已。需要说明的是，《企业风险管理框架》虽然较晚于《内部控制——整内部控制、风险管理的起源、发展与继承示意图如下：内部控制、风险管理的起源、发展与继承示意图如下：案例：“中航油事件”引发的内控新思考中航油新加坡公司于2001年底获批在新加坡上市，在取得中国航油集团公司授权后，自2003年开始做油品套期保值业务。但在此期间，总裁陈久霖擅自扩大业务范围，从事石油衍生品期权交易。2004年12月，中航油新加坡公司因从事投机性石油衍生品交易，亏损5.54亿美元，不久就向新加坡证券交易所申请停牌，并向当地法院申请破产保护，成为继巴林银行破产以来最大的投机丑闻。案例：“中航油事件”引发的内控新思考中航油新加坡公司于2002005年3月，新加坡普华永道在种种猜疑下提交了针对此亏损事件所做的第一期调查报告。报告中认为，中航油新加坡公司的巨额亏损由诸多因素造成，主要包括：2003年第四季度对未来油价走势的错误判断；公司未能根据行业标准评估期权组合价值；缺乏推行基本的对期权投机的风险管理措施；对期权交易的风险管理规则和控制，管理层也没有做好执行的准备等。2005年3月，新加坡普华永道在种种猜疑下提交了针对此亏损事2002年中航油的年报显示其当年的投机交易盈利，2002年下半年，中航油开始进行石油期权交易，到年底也收益颇多，此时就面临着事项识别中的识别机会与风险问题。当我们看到该事项为公司赚取了大量利润的同时，应该也清醒地认识到，其可能产生巨大风险。但是，中航油的决策者风险意识淡薄，判断、控制和驾驭风险的能力明显偏弱。如果管理当局在赚取巨额利润的同时，能认清形势，清醒地意识到可能产生的风险，或许中航油的事件就不会发生。2002年中航油的年报显示其当年的投机交易盈利，2002年下第二节内部控制的概念

第二节内部控制的概念

企业内部控制学（第二版）6

一、内部控制的含义

1.内部控制由企业内部全体人员参与

2.内部控制的实施范围覆盖企业所有内部事务

3.内部控制以相互牵制为核心,通过组织结构的制衡安排和控制政策的标准化得以实现

4.内部控制是一个实施过程

二、内部控制的分类

(一)按内部控制主体分类

(二)按控制实施方式分类

(三)按控制目标分类企业内部控制学（第二版）6

一、内部控制的含义企业内部控制学（第二版）7

三、内部控制与法人治理及内部审计

(一)内部控制与法人治理

1.内部控制与法人治理的区别内控：实现企业目标法人治理：实现各相关主体权责利的对等

2.内部控制与法人治理的联系

(1)法人治理与内部控制都统一于实现企业的目标

(2)良好的内部控制将促进法人治理的完善

(3)健全的法人治理又是内部控制有效运行的保证

(二)内部控制与内部审计企业内部控制学（第二版）7

三、内部控制与法人治理及企业内部控制学（第二版）8图1—1内部控制与内部审计的关系企业内部控制学（第二版）8图1—1内部控制与内部审计的关系

第三节内部控制的功能与局限性

第三节内部控制的功能与局限性

企业内部控制学（第二版）9

一、内部控制的功能

(一)有效抵御风险,实现持续健康发展

(二)保障资产安全、完整

(三)提高会计信息质量

1.会计信息是企业契约机制的核心内容

2.会计信息是企业利益相关者进行决策的信息基础

3.会计信息是资本市场正常运转的必备条件企业内部控制学（第二版）9

一、内部控制的功能

企业内部控制学（第二版）24

二、内部控制的局限性

(一)成本限制

(二)人为错误

(三)串通舞弊

(四)滥用职权

(五)制度失效(六)非经常性事项企业内部控制学（第二版）24

二、内部控制的局限性

第四节美国内部控制制度框架

第四节美国内部控制制度框架企业内部控制学（第二版）25

一、萨奥法案出台的背景

二、萨奥法案的主要内容

三、萨奥法案的核心:404条款

1.规则要求

(1)表明公司管理层有建立和维持财务报告内部控制系统及相关控制程序充分效的职责。

(2)包含管理层在最近一个财政年度年底对财务报告内部控制系统及程序有效进行评估的结果。

2.内部控制评估与报告

四、实务界执行萨奥法案的反馈企业内部控制学（第二版）25

一、萨奥法案出台的背景

第五节我国内部控制制度框架

第五节我国内部控制制度框架企业内部控制学（第二版）26

一、我国内部控制制度框架体系企业内部控制学（第二版）26

一、我国内部控制制企业内部控制学（第二版）27图1—2我国企业内部控制规范体系企业内部控制学（第二版）27图1—2我国企业内部控制规范体企业内部控制学（第二版）26

二、企业内部控制基本规范企业内部控制学（第二版）26

二、企业内部控制基企业内部控制学（第二版）28表1—2《企业内部控制基本规范》与萨奥法案的区别

《企业内部控制基本规范》萨奥法案适用范围除上市公司外,还鼓励非上市公司与其他大中型

企业加强企业内部控制管理只限于上市公司具体规定原则性规定详细严厉程度没有规定未达标如何处罚企业必须达到法案要求,否则要受到严厉惩罚企业内部控制学（第二版）28表1—2《企业内部控制基本规范》

(一)内部控制的目标

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略。上述五个目标是一个完整的内部控制目标体系的不可或缺的组成部分，即通过内部控制，要保证企业在合法经营的前提下，保障资产的安全完整，提供真实可靠的财务报告及其他信息，保证其经营既有效果又有效率，从而实现其战略目标。

(一)内部控制的目标

内部控制的目标是合理保证企业企业内部控制学（第二版）30表1—3COSO、ERM、基本规范中控制目标的比较

内部控制——整合框架企业风险管理——整体框架企业内部控制基本规范目标经营的效率效果性财务报告的可靠性法律和法规的遵从性战略目标经营目标报告目标合法目标经营管理合法合规资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略企业内部控制学（第二版）30表1—3COSO、ERM、基本规（1）战略目标战略目标在这个目标体系中是最高层次的,其他目标都应当与战略目标协调一致,都在为战略目标服务。公司战略：单一经营、多元化经营业务战略：成本优势、产品差异战略（1）战略目标战略目标在这个目标体系中是最高层次的,其他目（2）经营目标经营目标是企业实现战略目标的核心和关键，战略目标是与企业使命有关的总括性目标，它的实现需要通过分解和细化为经营目标才能得以落实，没有经营目标，战略目标制定的再好也没有任何意义。（2）经营目标经营目标是企业实现战略目标的核心和关键，战略目（3）报告目标报告目标即内部控制要合理保证企业提供了真实可靠的财务报告及其他信息。它是内部控制目标体系的基础目标。企业报告包括内部报告和外部报告。如果说战略目标和经营目标是站在企业自身的视角下提出的，那么报告目标则是更多地基于企业外部的需求。对外部使用者来说,真实可靠的财务报告能够公允地反映企业的财务状况和经营成果,从而有利于信息使用者的决策。当然非财务信息的重要性也是不言而喻的。蓝田事件（3）报告目标报告目标即内部控制要合理保证企业提供了真实可靠（4）合规目标合规目标与企业活动的合法性有关。合规目标即内部控制要确保企业遵循了国家有关法律法规的规定，不得违法经营。（4）合规目标（5）资产安全目标保护资产一直是内部会计控制的一个主要目标，在COSO框架中没有将保护资产作为一个主要目标,而是作为控制程序组成要素的一个子集。我国的《企业内部控制基本规范》重新将其作为内部控制目标的一部分是有其特殊用意的。我国是一个产权多元化的国家，国有资产流失现象严重，保护资产安全与完整,对资产所有者来说具有特别紧迫的现实意义。资产安全目标是实现其他目标的物质前提。（5）资产安全目标保护资产一直是内部会计控制的一个主要目标，图内部控制目标关系图内部控制目标关系图图内部控制目标关系图内部控制目标关系图企业内部控制学（第二版）31

(二)内部控制的要素

1.内部环境

2.风险评估

3.控制活动

4.信息与沟通

5.内部监督

三、应用指引

(一)内部环境类指引

1.组织架构

2.发展战略

3.人力资源企业内部控制学（第二版）31

(二)内部控制的要素企业内部控制学（第二版）32

5.企业文化

(二)控制活动类指引

(1)资金活动。

(2)采购业务。

(3)资产管理。

(4)销售业务。

(5)研究与开发。

(6)工程项目。

(7)担保业务。

(8)业务外包。

(9)财务报告。

(三)控制手段类指引

4.社会责任企业内部控制学（第二版）32

5.企业文化

企业内部控制学（第二版）33

2.合同管理

3.内部信息传递

4.信息系统

四、内部控制评价指引

1.内部控制评价的内容

2.内部控制评价的组织

3.内部控制缺陷的认定

4.内部控制评价报告

5.内部控制评价报告的披露或报送

1.全面预算企业内部控制学（第二版）33

2.合同管理

企业内部控制学（第二版）34

3.整合审计

4.利用被审计单位人员的工作

5.审计方法

6.评价控制缺陷

7.出具审计报告

五、内部控制审计指引

1.审计责任划分

2.审计范围企业内部控制学（第二版）34

3.整合审计

ThankYou!ThankYou!我国内部控制的相关法规《会计法》有关内部会计监督的规定审计署有关内部控制的规定银监会有关内部控制的规定保监会有关内部控制的规定证监会有关内部控制的规定国资委有关内部控制的规定财政部《企业内部控制基本规范》及其配套指引我国内部控制的相关法规《会计法》有关内部会计监督的规定一、《会计法》有关内部会计监督的规定1999年颁布的新《会计法》是我国第一部体现内部会计控制要求的法律，该法将企业(单位)内部控制制度当做保障会计信息“真实和完整”的基本手段之一。1985年1月21日颁布《会计法》1993年12月29日第一次修订《会计法》1999年10月31日再次修订的《会计法》于2000年7月1日起正式施行一、《会计法》有关内部会计监督的规定1999年颁布的新《会计1999年颁布的新《会计法》第27条规定：各单位应当建立、健全本单位内部会计监督制度。单位内部会计监督制度应当符合下列要求：(1)记帐人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确，并相互分离、相互制约；(2)重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确；(3)财产清查的范围、期限和组织程序应当明确；(4)对会计资料定期进行内部审计的办法和程序应当明确。”这是对各单位建立内部会计监督制度问题作出的原则性规定。1999年颁布的新《会计法》第27条规定：各单位应当建立、健1999年颁布的新《会计法》第27条虽然没有直接提到内部控制，但其具体监督内容都符合内部控制的基本要求。这是我国对内部控制的最高法律规范。但是因为是《会计法》，规范的内容局限于内部会计控制的要求，没有涉及全部内部控制的内容。1999年颁布的新《会计法》第27条虽然没有直接提到内部控制二、审计署有关内部控制的规定2004年，为了规范审计人员在审计过程中对被审计单位内部控制的测评行为，保证审计工作质量，根据《中华人民共和国国家审计基本准则》，制定《审计机关内部控制测评准则》，并规定2004年2月1日起施行。该准则共24条，主要是规定了内部控制测评的程序与方法。二、审计署有关内部控制的规定2004年，为了规范审计人员在审三、银监会有关内部控制的规定2004年8月20日，中国银行业监督管理委员会(简称银监会)第25次主席会议通过《商业银行内部控制评价试行办法》，自2005年2月1日起施行。2007年7月26日，银监会发布《商业银行内部控制指引》，首次以法规形式明确商业银行内部控制。三、银监会有关内部控制的规定2004年8月20日，中国银行业四、保监会有关内部控制的规定早在1999年，中国保险监督管理委员会(简称保监会)就颁布了《保险公司内部控制制度建设指导原则》，该《指导原则》对于推动保险公司加强内控建设起到了积极的作用。但由于缺乏相应的配套措施，公司落实情况不尽如人意。2006年1月10日,保监会颁布《寿险公司内部控制评价办法(试行)》，旨在通过加强并规范内部控制评价工作，最终推动寿险公司完善内部控制。四、保监会有关内部控制的规定早在1999年，中国保险监督管理五、证监会有关内部控制的规定1999年，中国证监会发布《关于上市公司做好各项资产减值准备等有关事项的通知》，开始要求上市公司建立内部控制。2000年11月，证监会发布《公开发行证券公司信息披露编报规则》，要求商业银行、保险公司、证券公司必须建立健全内部控制，并对内部控制的完整性、合理性和有效性做出说明。五、证监会有关内部控制的规定1999年，中国证监会发布《关于2001年1月31日，证监会发布《证券公司内部控制指引》，要求证券公司健全内部控制机制，完善内部控制，以规范公司经营行为；要求证券公司应当按照指引的要求，建立运行高效，制定科学合理、切实有效的内部控制。2002年12月19日，证监会发布《证券投资基金管理公司企业内部控制指导意见》，首次系统地提出基金公司企业内部控制的目标和要求。2001年1月31日，证监会发布《证券公司内部控制指引》，要2006年5月17日，证监会发布《首次公开发行股票并上市管理办法》第29条规定“发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告”这是中国首次对上市公司内部控制提出具体的要求。2006年5月17日，证监会发布《首次公开发行股票并上市管理2006年6月5日，上海证券交易所正式对外发布了《上海证券交易所上市公司内部控制指引》，并要求从2006年7月1日起正式实施。这是我国首部指导上市公司建立健全内控机制的规范性文件。2006年9月28日，深圳证券交易所发布了《深圳证券交易所上市公司内部控制指引》，要求深市主板上市公司自今日至2007年6月30日期间建立起完备的内部控制制度，并从2007年年报开始，按照《内控指引》的要求披露内控制度制定和实施情况。2006年6月5日，上海证券交易所正式对外发布了《上海证券交六、国资委有关内部控制的规定2006年６月6日，国务院国有资产监督管理委员会，简称国资委)出台了《中央企业全面风险管理指引》。该指引共10章70条，借鉴了发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法，以及国内有关内控机制建设方面的规定，对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述。六、国资委有关内部控制的规定2006年６月6日，国务院国有资七、财政部《企业内部控制基本规范》及其配套指引从2001年6月22日财政部印发《内部会计控制规范——基本规范(试行)》及《内部会计控制规范——货币资金(试行)》的通知(财会字〔2001〕41号)以后，财政部陆续发布了内部会计控制规范――采购与付款、销售与收款、工程项目、担保、对外投资等５个会计内控规范，另外发布成本费用、预算２个会计内控规范征求意见稿。七、财政部《企业内部控制基本规范》及其配套指引从2001年6原《内部会计控制规范——基本规范(试行)》包括六章，具体结构包括总则、内部会计控制的目标和原则、内部会计控制的内容、内部会计控制的方法、内部会计控制的检查、附则。2001年的内部会计控制规范其内容涉及货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制。内部会计控制规范的适用范围为所有单位。但企业与国家机关、社会团体、事业单位和其他经济组织在业务流程上有很大的不同，甚至是完全不同，其内控很难规定一致，该会计内控体系执行起来也出现困难。因此该套规范体系并没有在实践中得到普遍的应用。整合我国有关内部控制规章制度制定并出台统一的内部控制规范显然迫在眉睫。原《内部会计控制规范——基本规范(试行)》包括六章，具体结构总理语录引进借鉴国外先进管理经验，规范公司治理结构，完善内控机制与管理制度，推进制度创新。

——温家宝总理在十届全国人大四次会议上的政府工作报告，2006年3月5日总理语录引进借鉴国外先进管理经验，规范公司治理结构，完善内控各上市公司和相关企业的总经理、总会计师和其他高级管理人员，要进一步强化法制意识、风险意识和责任观念，主动关心、亲身参与、大力支持内控规范的学习培训和贯彻执行，自愿担当起本单位内控制度建设的推动者和实践者，确保内控规范在本单位的顺利实施。

——企业内部控制标准委员会秘书长、财政部会计司司长刘玉廷，2010各上市公司和相关企业的总经理、总会计师和其他高级管理人员，要2005年6月，国务院领导在财政部、国资委和证监会联合上报的《关于借鉴<萨班斯法案>完善我国上市公司内部控制制度的报告》上作出批示，同意“由财政部牵头，联合证监会及国资委，积极研究制定一套完整公认的企业内部控制制度指引”。2006年7月15日，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立具有广泛代表性的企业内部控制标准委员会，由财政部副部长王军任委员会主席，财政部会计司司长刘玉廷任秘书长，共同研究推进企业内部控制规范体系建设问题。2005年6月，国务院领导在财政部、国资委和证监会联合上报的2007年3月2日，财政部公布《企业内部控制规范(征求意见稿)》。颁布的规范征求意见稿共有18个规范，其中1个基本规范、17个具体规范。2008年6月12日，财政部发布了《企业内部控制应用指引》(征求意见稿，以下简称“应用指引”)、《企业内部控制评价指引》(征求意见稿，以下简称“评价指引”)、《企业内部控制审计指引》(征求意见稿，以下简称“审计指引”)。2007年3月2日，财政部公布《企业内部控制规范(征求意见稿2008年6月28日，《企业内部控制规范——基本规范》正式发布。基本规范的印发，标志着企业内部控制规范体系建设取得重大突破。2010年4月26日，财政部会同证监会、审计署、银监会、保监会联合制定了《企业内部控制配套指引第1号——组织构架》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》(以下简称“企业内部控制配套指引”)。2008年6月28日，《企业内部控制规范——基本规范》正式发2010年颁布的企业内部控制配套指引与2008年颁布的内部控制基本规范，共同构建了中国企业内部控制规范体系，标志着“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体”的企业内部控制建设与应用体系已经建成。企业内部控制配套指引和基本规范自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在沪深主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。

2010年颁布的企业内部控制配套指引与2008年颁布的内部控我国企业内部控制标准体系图我国企业内部控制标准体系我国企业内部控制标准体系图我国企业内部控制标准体系我国的企业内部控制体系，是在总结我国企业管理实践经验、借鉴国际先进成果的基础上形成的，为大中型企业建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系提供了很好的指引，是企业建立健全并有效实施内控制度的标准指南。2007年至2010年企业内部控制体系变化如下图。我国企业内部控制的发展变化我国的企业内部控制体系，是在总结我国企业管理实践经验、借鉴国2007年企业内部控制体系2007年企业内部控制体系2008年企业内部控制体系2008年企业内部控制体系2010年企业内部控制体系2010年企业内部控制体系内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。是任何企业的核心，是企业的人以及它所处的环境提供了企业纪律与架构，塑造了企业文化，并影响企业员工的控制意识是推动企业的引擎，也是其他要素的基础

内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置内部环境－治理结构企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。内部环境－治理结构企业应当根据国家有关法律法规和企业章程，建内部环境－机构设置及权责分配企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。制衡原则权责利相对等机构部门与岗位内部环境－机构设置及权责分配企业应当结合业务特点和内部控制要内部环境－内部审计企业应当在董事会下设立审计委员会，并加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性，内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部环境－内部审计企业应当在董事会下设立审计委员会，并加强内当前内审机构的设置财务会计部纪委或监察室总经理监事会董事会当前内审机构的设置内部审计机构的独立性机构设置机构与人员保持独立性人员任免制定章程内部审计机构的独立性内部环境－人力资源政策企业应当制定和实施有利于企业可持续发展的人力资源政策，并应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。内部环境－人力资源政策企业应当制定和实施有利于企业可持续发展内容员工的聘用、培训、辞退与辞职员工的薪酬、考核、晋升与奖惩关键岗位员工的强制休假制度和定期岗位轮换制度掌握国家秘密或重要商业秘密的员工离岗的限制性规定其他内容内部环境－企业文化指企业在经营管理过程中形成的、影响企业内部环境和内部控制效力的精神、意识和理念，主要包括企业的整体价值观，高级管理人员的管理理念、经营哲学与职业操守，员工的行为守则等。内部环境－企业文化指企业在经营管理过程中形成的、影响企业内部风险评估(riskassessment)

定义：风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。评估风险的先决条件，是建立风险评估体系三步骤：风险确认识别；风险分析与评估；风险控制与报告。风险评估(riskassessment)定义：风险评估是

第二十二条企业识别内部风险，应当关注下列因素：

（一）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。

（二）组织机构、经营方式、资产管理、业务流程等管理因素。

（三）研究开发、技术投入、信息技术运用等自主创新因素。

（四）财务状况、经营成果、现金流量等财务因素。

（五）营运安全、员工健康、环境保护等安全环保因素。

（六）其他有关内部风险因素。

第二十二条企业识别内部风险，应当关注下列因素：

（一

第二十三条企业识别外部风险，应当关注下列因素：

（一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。

（二）法律法规、监管要求等法律因素。

（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。

（四）技术进步、工艺改进等科学技术因素。

（五）自然灾害、环境状况等自然环境因素。

（六）其他有关外部风险因素。

第二十三条企业识别外部风险，应当关注下列因素：

第二十四条企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。第二十五条企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。

企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。

第二十四条企业应当采用定性与定量相结合的方法，按照风险发

第二十六条企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。

风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。

风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。

风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。

第二十六条企业应当综合运用风险规避、风险降低、风险分担和第二十七条企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。论改进我国企业内部控制--由亚细亚失败引发的思考第二十七条企业应当结合不同发展阶段和业务拓展情况，持续收集控制活动所谓控制活动指企业对所确认的风险采取必要的措施，以保证企业目标得以实现的政策和程序。有关控制活动包括：业绩评价信息处理：包括一般控制与应用控制职责分离：包括业务授权与业务执行；业务执行与业务记录；业务记录与业务稽核实物控制：现金、存货、固定资产、有价证券

控制活动控制措施一般包括：1.不相容职务相互分离控制2.授权审批控制3.会计系统控制4.财产保护控制5.预算控制6.运营分析控制7.绩效考评控制8.重大风险预警机制和突发事件应急处理机制控制措施一般包括：信息与沟通

信息与沟通是及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业外部之间进行有效沟通。重要信息应当及时传递给董事会、监事会和经理层。企业必须识别、捕捉、交流外部和内部信息沟通使员工了解其职责，保持对财务报告的控制1.信息质量2.沟通制度3.信息系统4.反舞弊机制信息与沟通

信息与沟通是及时、准确地收集、传递与内部控制相关内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。内部监督分为日常监督和专项监督：日常性监控，如企业管理层、部门主管及相关岗位的职员。特设内部审计机构的监控，保证内部审计机构的独立性、权威性。

内部监督

内部监督是企业对内部控制建立与实施情况进日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监案例引入英国巴林银行倒闭案

巴林银行(BaringsBank)创建于1763年，由于经营灵活变通、富于创新，巴林银行很快就在国际金融领域获得了巨大的成功。20世纪初，巴林银行荣幸地获得了一个特殊客户：英国王室。由于巴林银行的卓越贡献，巴林家族先后获得了五个世袭的爵位。这一世界记录奠定了巴林银行显赫地位的基础。然而，这一具有233年历史、在全球范围内掌控270多亿英镑资产的巴林银行，竟毁于一个年龄只有28岁的毛头小子尼克•李森（NickLeeson）之手。李森未经授权在新加坡国际货币交易所（SIMEX）从事东京证券交易所日经225股票指数期货合约交易失败，致使巴林银行产生了高达6亿英镑的亏损，这一数字远远超出了该行的资本总额（3.5亿英镑）。案例引入英国巴林银行倒闭案巴林银行(Bari1995年2月26日，英国中央银行英格兰银行宣布：巴林银行不得继续从事交易活动并应申请资产清理。10天后，这家拥有233年历史的银行以1英镑的象征性价格被荷兰国际集团收购。这意味着巴林银行的彻底倒闭。巴林银行事件引发了人们的思考，从表面上看，交易员的违规操作直接导致了巴林银行的灭亡。然而，隐藏在背后的内部控制失效才是巴林银行倒闭的根本原因。

什么是内部控制呢？1995年2月26日，英国中央银行英格兰银行宣布：巴林为什么要进行内部控制经营回报公司管理层风险为什么要进行内部控制经营回报公司管理层风险什么是风险？风险是某一事件或行为对企业经济利益可能的威胁商业风险和管理风险什么是风险？管理风险管理风险习惯上分为以下五类：财务和经营信息不足政策、计划、程序、法律和标准贯彻失败资产流失资源浪费和无效使用不能达到企业的目的和目标管理风险管理风险习惯上分为以下五类：财务和经营信息不足风险的后果竞争失败（企业由于竞争失败会遭受诸多的不利）经营中断（企业的目标将无法达到）法律诉讼（会给企业带来损失和信誉的破坏等）商业欺诈（会给企业带来损失）无益开支（使得企业的收益能力下降）资产损失（。。。）决策失误（。。。）风险的后果竞争失败（企业由于竞争失败会遭受诸多的不利）风险如何最小化？

风险最小化加强系统的内部控制对可能的损失投保当可能的风险较大时，寻求较大的回报风险如何最小化？风险最小化加强系统的内部控制对可能的损失投内部控制如何降低风险？

暴露的金额发生的可能性风险的大小内部控制降低内部控制如何降低风险？暴露的金额发生的风险的大成功内部控制的重要性有效的内部控制风险与经营回报的良好平衡成功内部控制的重要性有效的风险与经营回报的良好平衡内控对于企业的意义快速增长阶段组织转型阶段稳定增长阶段初步形成服务线保证服务质量建立基础客户群成功的关键形成规范的管理控制体系服务线重心转移地域扩张提供高质量高附加值服务维护并发展核心能力研发开发新服务投入必要资源保证公司增长市场环境和业务结构的变化给企业管理结构带来影响,同时企业效率成为问题竞争的焦点逐步集中于成本、质量和服务水平未能建立有效的管理控制体系以巩固早期的成功无法维持早期在业务上取得的成功设计并实施新的管理控制体系以适应环境变化和实现企业战略目标内控对于企业的意义快速增长阶段组织转型阶段稳定增长阶段初步形企业内部控制学（第二版）企业内部控制学（第二版）企业内部控制学（第二版）1第一章内部控制概述第二章内部控制要素——内部环境第三章内部控制要素——风险评估第四章内部控制要素——控制活动第五章内部控制要素——信息与沟通第六章内部控制要素——监控第七章内部控制设计的原则与方法第八章内部控制评价概论第九章内部控制评价体系企业内部控制学（第二版）1第一章内部控制概述本章概要第一节内部控制的产生与发