财务风险与内控制度介绍

目录一、财务风险的种类及其管理方法二、内控理论及中国电信内控建设三、内控方法及对风险管理的借鉴第一页，共65页。1、财务风险及其主要来源财务风险产生于各种具有财务性质的交易之中，同时，企业内外部各种因素和环境的变化皆有可能导致财务风险的产生。销售……竞争和价格企业管理水平产品成本收购和兼并新业务法律行为借贷投资购买财务风险三个主要来源：企业在利率、汇率和商品价格等市场价格变化方面具有损失的可能性而导致财务风险；供应商、客户及衍生工具交易对方等其他企业的行为和交易导致的财务风险；企业内部行为或失误特别是人员、流程、系统方面的失误导致的财务风险。财务风险第二页，共65页。2、企业面临的主要财务风险财务风险主要包括：资金安全性风险；资金流动性风险；市场利率风险；外汇风险；商品价格风险；股票价格风险；企业信用风险；预算和计划风险；投资决策风险；人为操作风险；财务报告信息真实性风险。受多方面影响的风险以财务管理为主的风险第三页，共65页。3、财务风险管理的主要过程财务风险管理的主要过程：识别主要的财务风险，并区分优先顺序；确定合适的风险容忍度水平；实施与风险管理政策相一致的风险管理战略；对风险进行度量、报告、监控，并根据需要进行调整。例如：对于资金安全性风险：公司制定了《银行帐户管理办法》，开发上线资金管控系统等；对于资金流动性风险：公司研究制定《内部资金调度实施细则》，实行收支两条线等；对于市场利率风险：公司积极调整融资结构，优化资金成本等；对于财务报告风险：公司结合萨班斯法案404条款的要求，深入开展了内部控制建设，确保财务报告真实可靠。以下将重点介绍此部分内容。第四页，共65页。4、影响财务报告真实性的主要因素虚构或夸大收入和相关资产提前确认收入错误分类的收入和资产虚构资产或减少费用、债务高估资产或低估费用、负债遗漏或不恰当披露通过关联方交易调节利润……针对这些问题，股份公司制定了严谨的考核扣分指标，并制定了内部控制责任管理办法，对内控责任界定、追究惩处机制等进行了规范。第五页，共65页。5、财务报告风险管理的主要方法财务报告风险的闭环管理确定控制流程和措施提炼关键控制点并有效执行评估、检查，实时监控并保证控制质量发现并整改控制缺陷，不断修改完善从定量和定性角度确定重要会计科目分析判断各种内外部因素第六页，共65页。目录一、财务风险的种类及其管理方法二、内控理论及中国电信内控建设三、内控方法及对风险管理的借鉴第七页，共65页。案例一：美国安然公司(Enron)在2002年，安然是美国最大的石油和天然气企业之一2001年末，安然宣布第三季度亏损6.4亿美元，美国证监会对该公司进行调查，发现该公司在1997以来虚报利润5.8亿美元2001年末，安然申请破产保护，但在此前的10个月内，公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利企业风险大爆发1、案例:内控失效第八页，共65页。调查发现：安然的董事会及审计委员会均采取不干预(“hands-off”)的监控政策；管理高层常常藐视或推翻公司制定的内控制度；部分董事表示不太了解安然的财务状况、期货及期权的业务；安然重视短期的业绩指标，忽视企业的长远发展切记：企业必须建立内控和权力制衡的机制；管理层必须对建立和维护内控制度负主要责任；权力过分集中就很可能导致腐败的现象。第九页，共65页。案例二：美国世通公司(Worldcom)

世通是美国第二大的电信公司2002年，世通被发现利用把营运性开支反映为资本性支出等弄虚作假的方法，多年来虚报利润735亿美元世通于2002年末申请破产保护，成为美国历史上最大的破产个案；公布利润需要作出调整之后，股价由最高64美元跌至最低0.9美元；裁减员工17,000人世通的四名主管(包括公司的CEO和CFO)承认串谋讹诈，被联邦法院追究刑事责任第十页，共65页。调查发现：世通的董事会持续赋予公司的CEO(BernardEbbers)绝对的权力，让他一人独揽大权；美国证监会的调查报告指出：世通完全没有制衡机制；世通的董事会并没有负起监督管理层的责任；世通为公司高级管理层提供丰厚(不合理)的薪酬和奖金；切记：公司内部审计部门必须发挥对财务收支、内部管理制度执行情况的审计监督作用；对经营和管理过程中的偏差与失误的诊断作用；对企业风险管理和发展策略方面的咨询作用等。第十一页，共65页。国内外上市公司的会计信息失真情况越趋严重红光郑百文银广厦深圳原野安然世界通信北电网络公司治理？管理层？审计师？内控出错？内部审计？第十二页，共65页。对一个良性发展的资本市场而言，投资者最需要得到的是：

准确、可靠的财务资料和信息2、萨班斯法案的背景第十三页，共65页。《2002年萨班斯-奥克斯利法案》目标提高公司根据证券法等的要求而做出披露的准确性和可靠性加强公司治理，重建投资者的信心法案通过布什：制度出了问题，首先应该靠制度来解决法案的措施设立上市公司会计监察委员会（PCAOB）加强独立审计师的独立性强化公司的责任和审计委员会的职责更新财务披露的要求设立了犯罪惩戒条款并进一步加强了

白领犯罪的惩罚措施第十四页，共65页。美国上市公司会计监察委员会简介

法案设立“上市公司会计监察委员会”(PublicCompanyAccountingOversightBoard，“PCAOB”)以监管上市公司审计PCAOB为非盈利性组织，其职责主要包括：登记执行上市公司审计的会计师事务所制定审计相关准则和制度检查会计师事务所的执业质量调查和处罚违规的会计师事务所PCAOB受美国证券交易委员会的监管第十五页，共65页。《萨班斯法案》第404条款与公司内控项目最为密切，规定简述：上市公司在2004年6月15日及以后的年度报告、小规模企业和发行股票的外国非政府企业在2005年4月15日及以后的年度报告适用该条例的要求（由2004年2月24日美国证监会的最终条例延迟到2005年7月15日，又经过多次推迟，最终生效日定为2006年7月15日）美国证监会根据《萨班斯法案》第404条款的要求于2003年6月5日颁布“财务报告内部控制系统的管理层报告书”的最终条例。内部控制报告书的内容必须包括:管理层对财务报告内部控制系统的责任陈述；管理层就本财年财务报告内部控制系统的有效性评估；管理层采用的评估架构陈述等内容。中国电信在美国上市，必须遵守《萨班斯法案》第十六页，共65页。内部控制的思想有着悠久的历史。内部控制理论的形成和发展与股份制的发展、所有权与经营权进一步分离密切相关。作为一种理论，从20世纪初开始在西方资本主义国家研究和应用。内部控制理论属于管理应用领域，控制活动是企业管理活动的重要组成部分。企业在不同的管理阶段具有相应的内部控制特征：

风险管理框架内部控制框架内部牵制制度内部控制制度3、内部控制的发展阶段内部控制结构主要内容是账目间的相互核对，内部控制的主要方式是设不兼容岗位；以内部会计控制为核心，重点是建立健全规章制度；为合理保证企业特定目标的实现而建立的各种政策和程序，分为内控环境、会计制度和控制程序三个方面；

COSO内控框架，五个要素、三个目标；COSO－ERM框架，八个要素，四个目标第十七页，共65页。国际上具影响力的内部控制框架：

1992，美国COSO报告：内部控制——综合性框架，简称COSO；1995，加拿大COCO委员会《控制原则标准》，简称COCO原则；1999，英国Turnbull指南《内部控制——综合守则的董事指南》；2004，美国COSO委员会发布ERM，即《企业风险管理-综合性框架》；2004，香港联交所《企业管治常规守则》及《企业管治报告》。

4、国内外内部控制框架第十八页，共65页。

中国不断加强内部控制及风险管理的监管要求：

1996，财政部《独立审计具体准则第9号——内部控制和审计风险》；1997，中国人民银行《加强金融机构内部控制的指导原则》；1999，保监会《保险公司内部控制制度建设指导原则》；1999，全国人大常委会《会计法》；2001，证监会《证券公司内部控制指引》；2001，财政部《内部会计控制规范——基本规范（试行）》等；2002，中国人民银行《商业银行内部控制指引》；2006，国资委《中央企业全面风险管理指引》；2006，财政部牵头成立“中国内部控制标准委员会”；2006，财政部“新会计审计准则体系”2007，财政部“企业内部控制基本规范”及17个具体规范（征求意见稿）；2007，上交所、深交所分别颁布《内部控制指引》；…………第十九页，共65页。

COSO内部控制框架根据《萨班斯法案》第404条所制定的「最终条例」(FinalRule)明确表明COSO内部控制框架可以作为评估企业内部控制的标准。虽然COSO内部控制框架在「最终条例」中并非唯一的指定标准，但是美国证监会及美国执业会计师公会对审计标准的有关征求意见稿中曾多次提及COSO为评估企业内部控制的标准，特别是，PCAOB审计2号准则是以COSO为基础制定的相关规定。所以，作为在美国上市的公司，较适宜采用COSO内部控制框架作为记录、评估公司与财务报告相关的内部控制的标准和依据。COSO对“内部控制”的定义内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性、财务报告的可靠性以及适用法律、法规的遵循性等目标提供合理保证的一个过程。

——COSO报告5、COSO内部控制框架及基本理论第二十页，共65页。

控制环境风险评估控制活动监督COSO内控框架的五个要素有效率且有效果的使用公司资源财务报告

的可靠性遵循适用

的法律、法规目标信息与沟通信息与沟通第二十一页，共65页。内部控制根本目的：防范风险面对风险，企业通常有四个选择：避免风险降低风险——内部控制转移风险接受风险第二十二页，共65页。正直、守德的价值取向对员工胜任能力的关注董事会或审计委员会管理哲学和经营风格组织结构职权和职责的分配人力资源政策和实务COSO要素之一：控制环境从安然、世通、中航油新加坡公司等国内外企业案例来看，公司内控方面出现大的问题，首先而且主要的是内控环境出了问题。内控建设的根基或者基石是内控环境。第二十三页，共65页。

COSO要素之二：风险评估风险评估的定义:指分析和识别实现所定目标可能发生的风险。

风险分为：公司整体层面的风险具体业务活动层面的风险

风险分析的步骤：评估风险的重要性评估风险发生的可能性（或发生的频率）考虑如何管理风险，即评估应采取何种行动第二十四页，共65页。

经营环境的变化雇佣新员工使用新的或重新设计的信息系统公司经历迅速发展时期新技术的出现新的产品线、新的经营行为或并购公司重组跨国经营对应予以特别关注的环境变化保持警觉:COSO要素之二：风险评估（续）第二十五页，共65页。

COSO要素之三：控制活动政策和流程审批、联签（高层审阅）、集体决策保护实物资产异常报告制度关键绩效指标分析信息系统控制（通过系统固化关键控制点）职责分工（不相容职位分离设置、控制责任分解落实、执行情况追溯考核）第二十六页，共65页。

你已经检查过文件的正确性、完整性以及适当性你同意文件的内容你有同意的基础，即:你，或者你指派的适当人员，而非文件的编制者，已经审核了有关信息你对自己的审批负全责审批——你的批准意味着什么？第二十七页，共65页。

保护实物资产包括:实物与会计记录的定期核对把文件锁起来保护数据中心、本地局域网控制室以及工作站设备标签安全系统/警报系统设围墙配置保安工作证件隐藏的摄像镜头第二十八页，共65页。

异常情况报告: 超过还款期限的应收账款报告重复付款报告未享受到的折扣重点是发现异常情况并及时跟进第二十九页，共65页。

业绩指标:实际和预算的比较项目管理报告激励目标报告系统可利用率报告第三十页，共65页。

不同人员或部门之间的职责分工可以通过一系列检查措施降低错误的风险，并控制人为蓄意的操纵避免独立个人同时负责一项完整的交易的发生、授权和记录，或避免独立个人在保管资产的同时负责记录其变动通过岗位轮换,使更多的高级管理者参与日常运营的主要活动,以外部视角来观察各个部门的运营职责分工：第三十一页，共65页。COSO要素之四：信息与沟通公司应当建立良好的信息系统，有效地支撑企业运营。通过信息系统识别、采集、加工和汇报信息信息系统经常被认为是经营活动的一个组成部分一般控制程序开发程序变更计算机运行程序和数据的访问

终端用户计算应用控制完整性准确性真实性授权职责分离信息系统控制通常包括三个方面：公司层面信息技术控制控制环境风险评估信息和沟通监控第三十二页，共65页。信息质量

内容正确–是不是所需要的信息?提供及时–

是不是在需要时可以及时提供?实效性–是不是最新的?正确性–数据是不是正确?可获得性–是不是可以从正常渠道轻松获得?第三十三页，共65页。内部沟通每一个人都需要了解内部控制系统的相关方面，系统如何工作，以及他（她）本人在系统中的角色和职责；员工必须拥有在组织中向上沟通重要信息的方法当非预期事项发生时，应注意导致该事项发生的原因，采取补救措施，并预防再度发生。

外部沟通与外部单位的交流经常能提供履行内部控制职能所需要的重要信息监查部门例如信产部、财政部等提供的审阅或检查结果能够揭示控制的弱点与股东、监管部门、金融分析师和其他外部单位的沟通应提供与其需求相关的信息，以便其比较容易地理解企业所面临的环境和风险。第三十四页，共65页。

COSO要素之五：监控监督观察询问异常情况报告检查调节/差异分析业绩数据趋势分析审计自我评价与客户、法规制定者等沟通第三十五页，共65页。

分公司业务单元公司层面分支机构监控信息与沟通控制活动风险应对风险评估事项识别目标设立内部环境战略目标报告目标经营目标合规目标2004年COSO发布ERM，比1992年的COSO报告增加了一个观念、一个目标、两个概念和三个要素。“观念”：指风险组合观，即企业风险管理要求企业管理者以风险组合的观点看待风险，对风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。“目标”：指战略目标，即企业的目标包括战略目标，并且该目标覆盖了企业编制的所有报告。“概念”：指针对风险度量提出的风险偏好和风险容忍度的概念。风险偏好指企业在实现其目标的过程中愿意接受的风险的数量。风险容忍度指在企业目标实现过程中对差异的可接受程度。“要素”：指目标设定、事项识别和风险应对。6、COSO－ERM企业风险管理整体框架第三十六页，共65页。内部环境监控目标设定控制活动风险可接受程度风险应对信息与沟通风险应对风险评估事项识别风险目标机会固有风险评估剩余风险评估风险应对风险管理理念风险偏好第三十七页，共65页。（1）内控工作指导思想和工作目标

内控工作指导思想：以遵循美国萨班斯法案为契机，以提高企业内部管理水平为需求和动力，将先进的内控理论与公司现有的管理基础相结合，将内控工作与企业日常经营管理活动将融合，有效防范内控风险，全面提升公司管理水平。

短期的项目工作目标：以COSO框架为基础编制中国电信内部控制手册及各省实施细则，并以此为切入点启动中国电信内控体系的建设。通过有关内控制度的实施，确保对外披露财务报告的真实可靠，满足资本市场要求及公司内部管理需要。

长远的内控建设目标：通过董事会、管理层和全体员工的实施，将内部控制与风险防范、公司治理以及管理战略相结合，逐步建立分层负责、权力制衡的企业内控系统，规范企业经营管理行为，提高对外披露财务报告的真实性，清除隐患，查错防弊，保证资产的安全完整和遵循国家法律法规及企业规章制度，为公司实施精确化管理，实现战略转型提供支撑。7、中国电信内控建设第三十八页，共65页。（一）三年来内控工作的回顾与展望2003年8月股份公司内控项目正式启动2003年8月－04年初编写完成股份公司《内控手册》2004年3月－04年底编写完成省公司及总部《实施细则》2004年底股份公司第一届第十次董事会议审议通过《内控手册》和项目开展以来取得的主要工作成果，并授权公司管理层按照既定计划深入开展内控制度建设2005年3月构建良好的控制环境，制定了《审核委员会章程》、《薪酬委员会章程》、《高级管理人员职业操守守则》、《员工职业操守守则》等2005年5月管理层审议并印发《内部控制评估暂行办法》2005年7月各公司全部完成试行工作，《内控手册》、《实施细则》和部分相关配套制度基本定稿2005年8月管理层审议并印发《内部控制管理暂行办法》2005年第四季度开展了由审计部门牵头的内控自我评估工作2006年1月股份公司正式启动IT内控项目，完善与财务报告相关的信息系统内控建设2006年7月开展股份公司自我评估2006年8月制定了股份公司《内控责任管理暂行办法》2006年8、9月外部审计师进行预评估2006年10－12月股份公司进一步整改缺陷2006年年底顺利通过《萨班斯法案》内控审计！（2）三年来内控工作的回顾与展望第三十九页，共65页。（三）内控体系构建的基本方法与中国电信的实践确保证券法规的有效执行，以提高信息披露的可信性和完整性。以业务流程控制为基础进行内控实务设计的一般方法建立标准的业务流程（流程再造）与财务报告相关的公司层面控制及业务流程中国电信内控体系建设工作控制程序和具体措施定岗定责、明确权限重要的控制点和控制措施责任部门和岗位、制定相应权限财务报告的真实可靠、法律法规的遵循、经营的效率效果。《萨班斯法案》的主要宗旨COSO关于内控的三大目标管理控制（以提高运营效率、效益为主要目标）（3）内控体系构建的基本方法与中国电信的实践第四十页，共65页。《内控手册》及《实施细则》；制定《内控管理暂行办法》；初步梳理“不相容职务”；责任分解、“一岗一表”；制定《内控责任管理暂行办法》；制定《权限列表》；开展“IT内控项目”；探索流程系统固化；制定《审核委员会章程》等公司治理文件；制定《内控评估暂行办法》及《操作指南》；制定“信息申告管理办法”、建立举报机制……按照COSO内控框架建立与财务报告相关的内控制度与财务报告相关的内控工作基本管理制度不相容机构及岗位分离设置的管理制度内控执行责任分解及监督检查和考核制度有效的公司治理方面的相关制度符合现代企业制度要求的、权责明确的授权管理制度公司IT控制和管理的相关制度有效的内控信息沟通和报告制度财务报告的真实可靠；法律法规的遵循；经营的效率和效果事前、事中、事后的全过程控制；相当程度上的内控精确化管理；规范流程、科学发展；提高企业竞争力；支撑企业“转型”和持续发展公司实践内控制度体系遵循性目标长远目标（三）内控体系构建的基本方法与中国电信的实践（续）第四十一页，共65页。为了提高内控制度在设计和执行两个方面的有效性，增强公司各个管理层级和广大员工的内控责任意识，进一步完善公司内控考核机制，股份公司不断研究构建完整的内控责任体系。内控责任体系内控责任管理暂行办法授权审批和权限列表内控责任分解公司层面责任分解业务流程层面责任分解关键控制点（重中之重）第四十二页，共65页。（五）信息系统内控建设与内控自我评估 为了使公司与财务报告相关的信息系统能够进一步满足《萨班斯》法案404条款的要求，股份公司2006年全面开展了IT内控建设项目。中国电信[2006]221号文件，将IT内控手册去粗取精，向各省明确要求和指导了IT内控的主要问题文件下发后，安排了各省上报周报制度，制定了详细的汇报表格，要求各省填报重点工作的完成情况、工作计划和工作中的问题对于个别难点问题，如备份、拨打测试等，总部指导并安排了不同的省公司进行任务承担，并将具体的解决方案在其他省公司推广，提高了工作效率和质量。第一阶段：总体协调项目计划和进度；三次培训；签署合同.2006.4－2006.6第二阶段：试点及改进；第三阶段：推广、执行、评估及改进。第四十三页，共65页。制定评估实施方案内控评估体系的建立与完善股份公司内控评估工作团队下达方案部署工作开展自我评估股份公司各部门股份公司所属单位汇总本部及下属单位自评结果形成本单位自评报告报送自评报告领导小组审议审核后提交内控股份公司审计部我评估报告汇总形成自依据改进计划落实改进措施依据改进计划落实改进措施第四十四页，共65页。省公司内控项目开展过程项目前期准备现状描述及讨论（含穿行测试）制订并实施修补计划针对内控缺陷提出修改建议编写实施细则（初稿）管理层审定现状及修改建议省公司试行实施细则（初稿）省公司、股份公司检查试行情况总结汇报、完善实施细则第四十五页，共65页。综合企战规章制度市场人力运维财务网发控制环境监督风险评估控制活动信息与沟通…………梳理现状

分析缺陷

修改完善COSO框架第四十六页，共65页。确定企业现有规章制度是否符合实际情况，是否存在缺陷；以流程运作为记录对象，确保全部经济业务在财务报表上得到真实、准确的反映；确定关键控制点，为有效率的进行大规模的测试建立坚实的基础项目工作的主要方法遵循法案404条款及相关规定在最终成果方面的体现：1、财务报告中的会计科目认定及披露与中国电信内控手册及其实施细则业务流程能够完整对应。2、《萨班斯法案》404条款及其相关规定对于企业在内控体系设计方面的所有要求在手册及实施细则中得以体现。第四十七页，共65页。梳理“内控主要风险及重要控制点”修订《内控手册》及权限列表工作目标：突出重点、加强管理、提高信息质量。工作思路：依据必要的理论和经验判断，明确公司重要的内控风险并进行细化，最终落实到内控手册重要的控制点。工作目标：及时更新、体现变化、适当提高效率。工作思路：依据公司一年来业务和管理的变化、内外评估中发现的问题、流程及控制点适当的优化和改进等。两项工作结合点梳理重要控制点有利于手册修订把握重点，突出主要风险;手册修订要体现梳理重要控制点的成果。经过三年多的努力，股份公司内控工作虽然取得了一定成绩，但考虑到公司规模大、业务复杂、管理链条长等特点，工作团队认为当前内控工作的主要矛盾仍然是加强制度建设并严格执行与日益严厉的监管要求及审计风险之间的矛盾。同时考虑到内控工作应当努力支撑企业转型和发展，在形式和内容上满足不同使用者的需要，因此将适度提高内控效率定为次要矛盾。2007年主要内控工作安排第四十八页，共65页。目录一、财务风险的种类及其管理方法二、内控理论及中国电信内控建设三、内控方法及对风险管理的借鉴第四十九页，共65页。1、内部控制与风险管理的关系探讨内部控制与风险管理并无本质上的区别。企业风险管理的最终落脚点是控制，而内部控制的根本目的是防范风险。从内部控制到风险管理，是企业管理理论和实务在控制风险方面不断继承发展、逐步完善的过程，而不是断裂的、跳跃式发展。内部控制和风险管理作为企业管理的一种手段或工具，主要是目标导向的，即根据不同的定位和管理目标，虽然关注的重点有所差异，但运用的方法比较类似。因此，中国电信开展内控建设所运用的方法、取得的成果、总结的经验，都可以为下一步公司开展全面风险管理所借鉴。第五十页，共65页。中国电信内控工作向风险管理工作的过渡：A、中国电信为满足萨班斯404条款要求，按照COSO框架建立了内部控制体系，其主要目标是财务报告真实性。B、公司目前内控工作部分兼顾了经营性目标、合规性目标，能达到部分风险管理的要求及控制效果，但并非COSO内部控制的全部。C、从现有的内部控制体系直接跨越至企业风险管理，还是向COSO内部控制框架发展，逐步过渡到企业风险管理？B、公司应当建立风险管理的相关配套制度：风险判断标准、组织架构调整、风险评估体系等。404内控COSO内控ERM风险管理第五十一页，共65页。萨班斯法案与风险管理的区别萨班斯法案：★事后财务报表的真实披露★关心结果的真实性★较少关心如何做出正确决策★较为关注财务层面★解决信息不对称问题★为投资人提供均等机会★易使公司董事趋于保守★未解决利益冲突的结构性问题★目标：合规经营、高效运营、财务报告真实可靠风险管理：★事先对企业风险控制与防范★关心结果的好坏★关心科学决策的程序★关注战略层面★解决投资人的信任问题★为投资人提供长远利益★使董事会趋于理性★从体系上解决利益冲突的结构问题★目标：将风险控制在与总体目标相适应并可承受的范围内注：引自国资委企业改革局周放生副局长的讲话第五十二页，共65页。内控制度设计的基本原则设计原则相互牵制原则协调配合原则程式定位原则成本效益原则全面系统原则2、内控建设的基本方法介绍第五十三页，共65页。内控制度设计的基本要求设计的基本要求标准、有效适用、务实全局、协调及时、预见灵活、弹性第五十四页，共65页。内控制度设计的步骤拟定控制目标整合控制流程鉴别控制环节确定控制措施第五十五页，共65页。拟订控制目标控制目标：既是管理经济活动的基本要求，又是实施内部控制的最终目的，也是评价内部控制的最高标准。在实际工作中，管理人员和审计人员总是根据控制目标，建立和评价内部控制系统。因此，设计内部控制，首先应该根据经济活动的内容特点和管理要求提炼内部控制目标，然后据以选择具有相应功能的内部控制要素，组成该控制系统。内部控制的基本目标：维护财产物资的完整性；保证会计信息的准确性；保证经营决策的贯彻执行；保证生产经营活动的经济性、效率性和效果性；保证国家法律法规的遵守执行。第五十六页，共65页。整合控制流程控制流程：是依次贯穿于某项业务活动始终的基本控制步骤及相应环节。控制流程，通常与业务流程相吻合，主要由控制点组成。当企业的业务流程存在控制缺陷时，则需要根据控制目标和控制原则加以整合。货币资金支出控制流程举例（业务流程及其控制点责任分解）：支付申请支付审批支付复核办理支付用款部门审批人员会计部门出纳部门第五十七页，共65页。鉴别控制环节鉴别控制环节：实现控制目标，主要是控制容易发生偏差的业务环节。关键控制点和一般控制点：那些在业务处理过程中发挥作用最大，影响范围最广，甚至决定全局成效的控制点，对于保证整个业务活动的控制目标具有至关重要的影响，即为关键控制点（需要重点关注）。相比之下，那些只能发挥局部作用，影响特定范围的控制点，则为一般控制点。控制环节或控制点：那些可能发生错弊因而需要控制的业务环节，通常成为控制环节或是控制点。说明：关键控制点和一般控制点在一定条件下是可以互相转化的。某个控制点在此项业务活动或环境中是关键控制点，在另外一项活动或是环境中则可能是一般控制点，反之亦然。第五十八页，共65页。确定控制措施控制措施：为预防和发现错弊而在某控制点所运用的各种控制技术和手续等。举例：现金控制流程中的“审批”控制点，应至少设有：主管人员授权办理现金收支业务；经办人员在现金收支凭证上签字或是盖章；部门负责人审核该凭证并签章批准等控制措施。