内部控制的测试和评价

内部控制与风险管理1.风险管理公司治理内部控制2.一、内部控制理论的演变在内部控制、预算管理和审计程序等方面，周代在古代世界是无与伦比的。——《会计思想史》迈克尔·查特菲尔德（MichaelChatfield）3.(一)制度设计和变迁的动因分析动因：内生性因素与外生性因素过程：参与人的共同认知与博弈目的：监督与制衡孰轻孰重？4.理论发展历程1949年AICPA的审计程序委员：内部牵制（职责分工、会计记录、职位轮换）1958年AICPA的审计程序委员会：内部控制制度（内部会计控制和内部管理控制分离）1988年美国AICPA：“内部控制结构”（将内部会计控制与内部管理控制融合为一体，并且明确了内部控制结构的内容为控制环境、会计控制和控制程序三个方面）（美70年代的“水门事件”、80年代的“赞美上帝俱乐部”事件）5.一体化结构阶段八十年代以来，虚假财务报表时有发生。为此，美国成立了“反虚假财务报告委员会”（即Treadway委员会），随后，由美国注册会计师协会（AICPA）、内部审计协会（IIA）、财务经理协会（FEI）、美国会计学会（AAA）、管理会计学会（IMA）等多个专业团体共同发起组成“Treadway委员会”，简称COSO，COSO从属于Treadway委员会，专门致力于内部控制研究。COSO于1992年提出了题为“内部控制——一体化结构”的研究报告，这就是著名的COSO报告。鉴于COSO报告对内部控制的认识和审计准则委员会的第55号《审计准则公告》有较大差距，审计准则委员会于1995年发布了第78号《审计准则公告》，全面接受了COSO报告的观点，该准则修改了第55号《审计准则公告》的许多内容，自1997年1月起生效。6.COSO委员会提出，内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。要素一、控制环境（基础要素）要素二、风险评估(核心要素)要素三、控制活动（预防性控制、检查性控制、人工控制、计算机控制、管理层控制等）要素四、信息和沟通要素五、监督（持续监督、定期监督和缺陷报告）该报告的其他特点：明确对内部控制的责任；强调与管理过程相结合；强调内部控制是一个动态过程；强调“人”的重要性；强调软控制的作用；强调风险意识；明确指出内部控制只能做到合理保证7.内部控制系统的整体架构*最为广泛认可的针对内部控制整合框架的国际标准*标志着内部控制理论与实践进入了整体框架的新阶段8.控制活动确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离监督不断评估内部控制系统的表现整合实时和独立的评估。管理层和监督活动。

内部审计工作。控制环境

营造单位气氛－让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估

风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础五个部分必须同时作用才能使内部控制得以产生影响

监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1COSO内部控制框架9.COSO委员会2004年9月发布的《企业风险管理框架》内部控制的五大要素风险管理的八大要素控制环境内部环境风险评估目标制定事项识别风险评估风险反应控制活动控制活动信息与沟通信息与沟通监督监督10.11.内部控制概念的发展内部牵制阶段内部控制阶段管理控制和会计控制阶段内部控制结构阶段五个阶段一体化结构阶段12.控制环境要素包括：诚信的原则和道德价值观管理哲学和经营风格高管人员的品性、操守与价值观授权与责任方式组织结构董事会和审计委员会员工的团结观念和竞争意识人力资源政策与实务人治色彩浓厚、家长制作风严重，怎么办？亚细亚的人力资源政策：以貌取人随意用人任人唯亲排斥异己长期利益与短期利益的权衡13.董事会的作用你是否相信董事会的表现已经发挥了其全部潜能？董事会的成员们是否非常了解公司所面临的重要问题？他们是否熟悉公司参与竞争的产业？他们是否清楚驱动公司业绩的主要因素及其所面临的风险？董事们的职责是否界定清楚？董事会的预期作用是什么？其运作效率如何？14.内部环境公司的组织文化以及其他影响员工风险意识的综合因素，包括员工对风险的看法、管理层风险管理理念和风险偏好、职业道德规范和工作氛围、董事会和监事会对风险的关注和指导等目标设定董事会和管理层根据公司的风险偏好设定战略目标风险事项识别董事会和管理层确认影响公司目标实现的内部和外部风险因素风险评估董事会和管理层根据风险因素发生的可能性和影响，确定风险管理的方法15.风险反应（管理策略选择）董事会和管理层根据公司风险承受能力和风险偏好选择风险管理策略控制活动为确保风险管理策略有效执行而制定的制度和程序，包括核准、授权、验证、调整、复核、定期盘点、记录核对、职责分工、资产保全、绩效考核等信息沟通产生服务于规划、执行、监督等管理活动的信息并适时向使用者提供的过程监控公司自行检查和监督内部控制运行的情况16.经营风险的分类外部经营环境风险(系统性风险）：国家政治的安全性竞争对手金融市场企业行业特性法律、政策的变动异常灾害和特大灾害股东关系17.经营风险——业务风险产品服务的缺陷资产老化和减值从业人员的资质商标品牌的过时生产效率降低健康安全管理失控工作环境不良产品开发能力降低材料供应商的波动法规的遵守生产能力降低经营失败顾客要求提高18.经营风险——职权风险能力、业绩评价基础的变异领导成员及其职权的变动权限规定不合理超越权限的控制沟通渠道不通畅对变化的适应能力降低19.经营风险——信息处理与技术风险信息地址的正确性情报和信息利用的可能性情报来源情报和技术的完整性信息处理设施的完备性20.经营风险——诚信度风险从业人员的行为企业违法违规行为管理层的违法行为社会舆论超越权限行为21.经营风险——财务风险债权债务未能履行担保责任现金流量价格变动投资价值变动金融商品的风险汇率的变动外汇交易的波动财务波动性——机会丧失22.投资决策风险——业务风险投资目的与战略的整合性经营过程的业绩确定价格设定合同和协议的执行情况23.投资决策风险——财务风险税务信息财务报告的适当反映投资判断预算计划的执行情况会计信息的偏差24.投资决策情报风险——战略风险产品的生命周期经营过程的效果企业价值的评价组织结构的有效性经营资源的分配对外部环境的判断25.各行业的前10种最主要的风险因素（德勤统计数据）次序银行/保险业/证券制造业其他1内部控制的质量内部控制的质量内部控制的质量2管理人员的能力管理人员的能力管理人员的能力3管理人员的正直程度管理人员的正直程度管理人员的正直程度4会计系统的近期变动单位的规模会计系统的近期变动5单位的规模经济环境恶化业务的复杂性6资产的流动性业务的复杂性资产的流动性7重要人员的变动重要人员的变动单位的规模8业务的复杂性会计系统的近期变动经济环境恶化9快速的增长快速的增长重要人员的变动10政府法规管理人员对完成目标的压力快速的增长26.通过对内部控制理论发展的简单回顾，我们不难看出：1、保证资产安全和会计信息真实是内部控制发展的主线。2、内部控制目标呈多元化趋势27.(2001年普华与安达信调查报告，对象：世界500强中78家企业的高层管理人员）内部控制的目标及内容构成比例目标验证财务报告的可靠性87%保护资产安全81%促使业务运营与管理政策的一致性54%提升道德品行51%内容构成内部审计78%政策及程序维护63%可靠员工的选拔与培养43%职责分离42%道德规范与行为准则48%28.制度改革的实施成本公众的反对成本制度设计成本协调成本组织实施成本试错成本（小步快跑，及时调整）监督执行成本29.我们可以预测：

内部控制未来的第六个阶段应该是在企业风险管理的基础上，进一步强调机会管理，从机会识别、机会价值评估、机会掌控等，最终形成控制导向型内部控制向价值导向型内部控制的转变。30.内部控制的种类按控制内容分一般控制应用控制按控制地位分主导性控制补偿性控制

按控制功能分预防式控制侦察式控制按控制时序分原因控制过程控制结果控制31.按照控制内容：一般控制和应用控制一般控制是指对企业经营活动赖以进行的内部环境所实施的总体控制，因而亦称基础控制或环境控制。它包括组织控制、人员控制、业务记录以及内部审计等项内容。这类控制的特征，是并不直接地作用于企业的生产经营活动，而是通过应用控制对全部业务活动产生影响。应用控制是指直接作用于企业生产经营业务活动的具体控制，因此亦称业务控制，如业务处理程序中的批准与授权、审核与复核、以及为保证资产安全而采用的限制接近等项控制。这类控制的特征，在于它们构成了生产经营业务处理程序的一部分，并都具有防止和纠正一种或几种错弊的作用。

32.按照控制地位：主导性控制和补偿性控制

主导性控制指为实现某项控制目标而首先实施的控制。如凭证连续编号可以保证所有业务活动都得到记录和反映，因此，凭证连续号对于保证业务记录的完整性就是主导性控制。在正常情况下，主导性控制能够防止错弊的发生，但如果主导性控制存在缺陷，不能正常运行时，就必须有其它的控制措施进行补充。补偿性控制指能够全部或部分弥补主导性控制缺陷的控制。就上例而言，如果凭证没有连续编号，有些业务活动就可能得不到记录。这时，实施凭证、账证、账账之间的严格核对，就可以基本上保证业务记录的完整性，避免遗漏重大的业务事项。因此，“核对”相对于凭证“连续编号”来说，就是保证业务记录完整性的一项补偿性控制。33.按照控制功能：预防式控制和侦察式控制预防式控制指为防止错误和非法行为的发生，或尽量减少其发生机会所进行的一种控制。它主要解决“如何能够在一开始就防止错弊的发生”这个问题。如对业务人员事先作出明确的指示和实施严格的现场监督，就能避免误解指令和发生错弊。侦察式控制指为及时查明已发生的错误和非法行为或增强发现错弊机会的能力所进行的各项控制。它主要是解决“如果错弊仍然发生，如何查明”的问题。例如，通过账账核对、实物盘点，以发现记账错误和货物短缺等。34.按照控制时序：原因控制、过程控制和结果控制原因控制也称事先控制，是指企业单位为防止人力、物力、财力等资源在质和量上发生偏差，而在行为发生之前所实施的内部控制。例如领取现金支票前的核准、报销费用前的审批等。过程控制也称事中控制，是指企业单位在生产经营活动过程中针对正在发生的行为所进行的控制。例如，对生产过程中使用材料的核算，对在制造产品的监督和对加工工艺的记录等。结果控制也称事后控制，是指企业单位针对生产经营活动的最终结果而采取的各项控制措施，例如对产出产品的质量进行检验，产品数量加以验收和记录等。35.中国式内部控制存在的缺陷被动的：传统国有企业的粗放经营和民营企业的人治色彩难以内生内部控制的理念，中国式内部控制的需求动力和很大程度上来源于外部的压力；借鉴的：无论法出何门，莫不以美国的内部控制为模版，但面对中国所有制形式混杂、规模不一、管理者素质层次不齐的现实时，未经过实践检验的框架模式是否会存在问题？36.政府主导的:政府对内部控制的关注首先集中在容易发生舞弊行为的金融领域，如商业银行、证券公司等，然后才由点到面，具体企业根据自身需求主动设计整体内部控制的自发性远远不足；文本的：常见的误区是内部控制就是企业的规章制度。而对其动态监控、可评价性、可修正性以及与管理软件的偶合等考虑不足；滞后的：依然停留于内部会计控制和三要素阶段。37.二、内部控制中对舞弊的考虑38.“GONE”理论“GONE”理论是G.Jack

Bologua，Robert

J.Lindquist

&

Jiseoph

T.

Wells

在1993年提出的。“G”、“O”、“N”、“E”分别代表“Greed”、“Opportunity”、“Need”和“Exposure”。“贪婪”和“需要”与行为人个体有关,“机会”和“暴露”则更多与组织环境有关,这四个因素结合在一起互相作用，决定了舞弊风险的水平。39.舞弊三角论舞弊三角理论则是W.

Steve

Albrecht在1995年提出的，他认为舞弊三角形的三个顶点是“压力、机会和自我合理化”。压力包括财务压力、恶习、与其有关的压力、其余压力；机会包括控制措施的缺乏、无法评价工作质量绩效、缺乏惩罚措施、信息不对称、无能力察觉舞弊行为、无审计轨迹；自我合理化指忠诚性，是个人的道德价值判断。40.冰山理论

冰山理论则强调舞弊产生的原因中个性化的行为方面更为危险，更需要注意。该理论认为，不仅应对内部控制、内部管理的内容进行评价，而且还需要通过职业判断从人性方面分析挖掘舞弊风险。

41.ERG理论

奥尔德弗（Aldefor）将马斯洛的五层次需要（生理、安全、外交、尊重、自我实现）加以简化，提出了ERG理论，即Exist（生存）、Relation（社会关系）和Grow（自我成长）。按照ERG三种基本分类，考虑将会计舞弊行为动机也进行以下分类：

42.（1）不良财务动机舞弊者通常是出于未能满足自身财务（经济）需要而产生不良舞弊动机。不良财务动机也可分为两种，一种是直接源于个人不合理的财务需要而引发的不良财务动机，另一种是企业管理当局为了获取企业利益的需要而引发的不良财务动机。43.（2）不良“自尊”动机这一动机是出于人类社会关系的基本需要。舞弊者自身需要结构中“自尊”需要倘若处在非常突出的状态，或者说已经发生质变，也会引发舞弊动机。例如，总经理为了得到社会或行业公认的赞誉，借助于舞弊性财务报告对外展示虚假的优良业绩，或者通过“公费旅行”等公款消费使自己的付出与回报相匹配，以找回自己的尊严。(对在职消费问题的考虑）44.（3）不良“自我实现”的动机当舞弊者为满足个人价值自我肯定、自我实现的需要，会借助于舞弊这一需要技术、智力、充满挑战性的行为去验证自己的能力。45.三、内部控制体系建设中

必须遵循的法律法规46.国内法律法规要求《中华人民共和国会计法》中华人民共和国国家审计基本准则中央企业内部审计管理暂行办法公开发行证券公司信息披露编报规则会计基础工作规范企业国有资产监督管理暂行条例2006年《中央企业全面风险管理指引》独立审计准则2006年6月上交所《上市公司内部控制指引》2006年9月深交所《上市公司内部控制指引》47.重点公司应加强对控股子公司的管理控制（包括对子公司的考核和激励、同业竞争、关联交易、财务报告及其他重大事项的报告制度等）关联交易对外担保募集资金使用重大投资信息披露48.上市地法律法规要求证券交易法萨班斯－奥克斯利法案第101条款第301条款第302条款第404条款第407条款第408条款第906条款49.萨班斯——奥克斯利法案的背景2002年，针对安然、世通等财务欺诈事件，美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作《2002年萨班斯—奥克斯利法案》（简称萨班斯法案）。法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。按照此法案规定，该法案对海外公司和中小型美国公司的生效日期为2006年7月15日。50.该法案的核心是通过立法加强对财务制度和企业内部的控制，并增加企业财务透明度和及时对各种缺陷进行修复。如果企业被认定未达到萨班斯法案的要求，将可能使企业受到严重处罚，包括高额罚款以及管理层个人刑事责任追究。51.法案执行的成本404条款是萨班斯法案中最核心的一个条款。条款规定：在美上市企业，要建立非常细化的内部控制机制，同时对重大缺陷都要予以披露。404条款涵盖企业运营的各个领域，一旦投入实施，必将引起整个企业控管流程的改变。据调查，通用电气公司为达成404条款而完善内部控制系统的花费就高达3000万美元，而大型美国公司仅在第一年建立内部控制系统的平均成本就高达430万美元，另据有关专家指出，在美国上市的中国企业投入可能会更高。52.萨奥法案第101条款：“PCAOB”的组建和职责组建上市公司会计监管委员会（PCAOB）来监督上市公司的审计和相关事项，该委员会拥有注册、检查、调查和处罚权限，保持独立运作。该委员会有权制定或采纳有关会计师职业团体建议的审计与相关鉴证准则、质量控制准则以及职业道德准则等，经美国证券交易委员会（SEC）正式批准后颁布实施，具有法律效力53.萨奥法案第301条款：审计委员会职责审计委员会每一个成员均应是董事会的成员，而且应当独立审计委员会直接负责聘用、偿付和监督会计师事务所编制、签发审计报告和其他相关工作，包括解决管理层与审计师对于财务报告的不同意见审计委员会必须建立相关程序以接受、保留和处理针对公司会计、内部控制和审计事务的投诉，并有权聘用独立法律顾问公司必须为审计委员会提供足够的资金以履行其职能禁止未遵守上述要求的公司证券在交易所上市交易54.萨奥法案第302条款：上市公司对于财务报告的责任要求向SEC提交定期报告的公司，在每一个年度或季度定期报告中，附一份由公司首席执行官和首席财务官签署的书面认证文件，表明其对建立和保持有关对外披露的内部控制负责55.萨奥法案第404条款：管理层对于内部控制的评价管理层对内部控制的评价外部审计师对管理层提供的内部控制评价进行审核和报告该条款对公司的生效时间是2006年7月15日以后结束的会计年度(后续的调整）56.萨奥法案第407条款：关于审计委员会财务专家情况的信息披露公司审计委员会成员中至少有一名财务专家如果没有，则必须对此事实进行披露并解释原因57.萨奥法案第408条款：SEC强化对上市公司定期信息披露的复核SEC每三年至少要对上市公司向SEC上报的信息披露和财务报表复核一次58.萨奥法案第906条款：高级管理人员及会计从业人员的法律责任规定了公司高级管理人员及会计从业人员的法律责任（尤其是刑事责任），要求公司高级管理人员对财务报告的真实性宣誓（签署声明），并就提交不实财务报告分别设定了10年或20年的刑事责任59.确认管理层建立及保持有效的内部控制的责任陈述管理层已经对公司的内部控制的有效性进行了评估，并说明控制标准陈述管理层并未将审计师的审计程序作为其内部控制有效性评估的基础的一部分陈述管理层依据特定日期的内部控制标准进行内控评估的结论陈述管理层已向审计师披露了其在评估中发现的内控设计或运行中的所有缺陷，包括单独向审计师披露的被认为是财务报告内控中的重要缺陷或实质性漏洞的所有缺陷描述所有重大舞弊以及不属于重大舞弊但是涉及高级管理人员，及在公司的财务报告内控中占据重要地位的管理人员或其他员工的舞弊行为陈述在以前项目中发现并向审计委员会汇报的重要缺陷及实质性漏洞是否已被解决，并特别说明没有解决的缺陷陈述在报告日后，内部控制是否发生变化，或者其他可能对内部控制产生重大影响的因素是否发生变动，包括管理层针对重要缺陷及实质性漏洞所采取的纠正措施管理层的声明60.四、控制活动与监督61.内部控制的内容和方法

1、组织规划控制（一）机构分设牵制一是法人的治理结构问题，它涉及董事会、监事会、经理的设置及相互关系；二是管理部门设置及其关系，对财务管理来说，就是如何确定财务管理的广度和深度，由此产生集权管理和分权管理的组织模式。62.（二）岗位分设牵制所谓不相容职务分离是指那些由一个人担任，既可能发生错误和弊端又可能掩盖其错误和弊端的职务。企业内部不相容职务包括：授权批准职务、业务经办职务、财产保管职务、会计记录职务和审核监督职务。这五种职务之间应实行如下分离：①授权批准与业务经办相分离；②业务经办与会计记录相分离；③会计记录与财产保管相分离；④业务经办与业务稽核相分离；⑤授权批准与监督检查相分离。63.2、授权批准控制一般授权是指对办理常规业务时权力、条件和责任的规定，一般授权时效性较长；特殊授权是对办理例外业务时权力、条件和责任的规定，一般其时效性较短。其内容包括：①授权批准的范围，通常企业的所有经营活动都应纳入其范围；②授权批准的权限，应根据经济活动的重要性和金额大小确定不同的授权批准权限，从而保证各管理层有权亦有责；③授权批准的程序，应规定每一类经济业务的审批程序，以便按程序办理审批，以避免越级审批，违规审批的情况发生；④授权批准的责任，应当明确被授权者在履行权力时应对哪些方面负责，应避免授权责任不清，一旦出现问题又难咎其责的情况发生。

64.3、会计系统控制会计系统控制的主要内容应该包括：①制定适合本单位的会计政策。尽管国家制定了统一的会计制度，但其中某些会计政策是选项，如存货计价、折旧计提等，因此，从企业内部管理要求出发，必须统一执行所确定的会计制度，以便统一核算、汇总、分析和考核，企业会计制度必须以专门文件的方式予以颁布。65.②统一会计科目。在实行国家统一一级会计科目的基础上，企业应根据经营管理需要，统一设定明细科目，特别是集团性公司更有必要统一下级公司的会计明细科目，以便统一口径，统一核算，有效分析。③记账凭证编号。企业对业务处理的凭证应编制相应的号码，凡有条件的均应事先编号，凭证编号便于业务的查询，也可避免业务记录的重复和遗漏，并在一定程度上可防范舞弊的发生。④明确会计核算程序。企业的会计核算程序应让相关人员知晓，使每个相关人员都知道本人在处理业务时所处的地位，明确各自的责任，提高工作效率。⑤实行会计人员岗位责任制。对每个财务人员的工作岗位都应有相应的书面描述，其内容应包括：岗位内容、岗位责任、岗位上下关系和岗位任职条件等。

66.授权与执行执行和审核执行和记录会计控制三要素保管和记录明细帐和总帐登记日记帐和总帐设计良好的凭证格式凭证连续编号规定凭证传递程序明确凭证的保管手续业务记录要有始有终明确授权批准的范围、权限、程序、责任业务未经授权不被执行不得随意授权和越权执行一经授权必须严格执行加强监督，防止滥用权利机制会计控制职务分离会计记录授权机制67.常见的舞弊行为：虚报冒领：以弄虚作假的手法虚报费用、冒领物资。阴阳发票：将发票的正联和副联分别填写不同的数值，以达到隐瞒贪污收入、扩大虚报支出的目的。无中生有：凭空捏造收、付款项目，进行贪污作弊侵吞不报：直接窃取商品物质或对经营收入财务少计不开发票（或假开发票）、不入帐等方式直接进行侵吞。模仿签字：模仿有关领导人员的签字以达到蒙混过关、窃取公有财产物质的目的。假公济私：借公家的名义或力量，谋取私人的利益。68.瞒天过海：将舞弊的事实真相隐藏在日常的经济业务活动中，使人不易怀疑和发现，甚至产生错觉，以达到贪污的目的。里应外合：企业内部各职能部门的工作人员之间，企业内部与外部有关人员之间利用各自的“方便”条件，躲避企业的内部控制与监督，合伙作弊，共同窃取企业资财。暗渡陈仓：采取迂回、变相的方式窃取企业资财。浑水摸鱼：借助某种意外或混乱局面获取不正当利益。偷梁换柱：暗中玩弄手法，以假乱真。张冠李戴：故意混淆会计帐户的对应关系。监守自盗：利用自己经管有关财产物质的职务之便进行贪污盗窃。69.4、全面预算控制预算管理是为数不多的几个能把组织的所有关键问题融合于一个体系之中的管理控制方法之一。——DavidOtley预算是一种系统方法，用来分配企业的财务、实物和人力资源，以实现企业既定的战略目标。企业可以通过预算来监控战略目标的实现情况，有助于控制开支，并预测企业现金流量和利润。——安达信（全球最佳实践数据库）

70.包括①预算体系的建立，预算项目、标准和程序的确立；②预算的编制和审定；③预算指标的下达及相关责任人或部门的落实；④预算执行的授权；⑤预算执行过程的监控；⑥预算差异的分析与调查；⑦预算业绩的考核。预算是一项集体性工作，需要企业内部各部门人员的相互合作，为此，有条件的企业应设立预算委员会，组织领导企业预算工作。预算之歌.doc

71.5、财产保全控制①限制接近。②定期盘点。③记录保护。应对企业各种文件资料(尤其是资产、财务、会计等资料)妥善保管，避免记录受损、被盗、被毁的可能。对某些重要资料应留有后备记录，以便在遭受意外损失或毁坏时重新恢复。④财产保险⑤财产记录

72.常见的问题是：中小企业人员编制少，库存管理是采用人工编制，相当部分的工作存在滞后现象，造成库存量控制失控，请问应如何采用简便的办法来进行库存物资的管理？商家为提高库存管理，将风险推倒制造商，实行退货，那么制造商如何面对众多运营商的退货，又怎样来提高自己的库存管理？公司中部分办公用品价值很高，对这些资产如何实行安全控制？73.存货管理中，因为企业中的采购部门、存货管理部门和财务部门是分设的，而且地位平等,所以在存货采购和管理中存在信息不能共享的问题，财务控制很可能达不到对存货的有效管理，如何解决这一问题？74.

某保管员利用公司内控设计上的漏洞侵吞自己所保管的存货，累计十余万元，后经举报得以查出，但老板没有将其开除，而是调整到另一岗位工作。

由于该物料库品种多且杂，该公司财务部不核算库存物料的数量，而是由保管员负责登记该物料库的数量金额账，月末财务部根据保管员提供的出库单汇总报告登记原材料三栏账，问题正是出在这里，财务部没有独立稽核出库单的正确性，而是以保管员提供的数据为准记账，造成保管员私自伪造出库记录、低价高出原材料，伺机将“多出库”金额占有已有。

应该说，该保管员的作假手段并不高明，从多篇发表的分析作假的文章来看，多数人对被揭露的作假者也一致惊呼：不过如此！但作假者往往能得逞数日，甚至数年，为何？盖因未防患于未然也！不过现在我想说的不是这个。

该公司专设有成本会计一职，但由于需要成本考核的部门太多，工作量过大，其便忽视了对物料库出入库记录的监督检查，事实上，他也难以对该库几百张的出入库记录（品名、规格、单价、数量、领用部门等）进行详细的审查，再专设一名稽核员？那其他仓库、其他岗位呢？是否也跟着增设一名稽核员？此是笑谈，也不符合内控设计的成本效益原则，再说了，谁又来监督稽核员呢？如此，无穷尽也！

其实，没有滴水不漏的内控制度，即使有，在公司发展的某些时期也许是不可用的。在某些因人力、物力监督不到位的岗位上，管理者应将考察重点放在就任者的基本品质方面，我想这也许是老板没有开除这个保管员的原因之一吧？75.6、职工素质控制

①建立严格招聘程序，保证应聘人员符合招聘要求；②制定员工工作规范，用以引导考核员工行为；③定期对员工进行培训，帮助其提高业务素质，更好地完成规定的任务；④加强考核和奖惩力度，应定期对职工业绩进行考核，奖惩分明；⑤对重要岗位员工(如销售、采购、出纳)应建立职业信用保险机制，如签订信用承诺书，保荐人推荐或办理商业信用保险⑥实行工作岗位轮换制，可以定期或不定期进行工作岗位轮换，通过轮换及时发现存在的错弊情况，甚至可抑制不法分子的不良动机；⑦建立晋升、淘汰机制，充分激发员工的积极性和责任感。

76.7、风险防范控制企业常有的风险控制内容包括：①筹资风险控制。如企业财务结构的确定、筹资结构的安排、筹资币种金额及期限的制定、筹资成本的估算和筹资的偿还计划都应事先评估、事中监督、事后考核。②投资风险控制。企业对各种债权投资和股权投资都要作可行性研究并根据项目和金额大小确定审批权限，对投资过程中可能出现的负面因素应制定应对预案。

77.③信用风险控制。主要是指企业应收账款回收过程中遭受损失的可能性。企业应制定客户信用评估指标体系，确定信用授予标准，规定客户信用审批程序，进行信用实施中的实时跟踪。信用活动规模大的企业，可建立独立信用部门，管理信用活动，控制信用风险。78.常见的问题：如果客户的财务报表显示其现金流非常健康，又或者该客户是一家名牌企业，是否可以断定基本没有坏账风险，可以给予赊销？当一个公司的既定的、比较宽松的赊销政策执行了多年，客户已习惯了这种政策，但公司出于风险方面的考虑，想加强信用的管理，严格控制客户的赊销，对现有的客户应采取何种具体措施才能使公司利益最大化？79.

建立信用风险管理制度，就是要从根本上改变销售和管理决策严重失控的局面，在企业内部形成科学的制约机制。以新增设的信用管理部门，掌握和评估客户资信状况，对每笔交易的价值和风险进行独立的、科学的、定量化的审核，并以此对应收账款发生和运行的各个环节进行严格的监控。这种制约机制，不仅可以使企业的交易决策权限和拖欠风险职责更加明确，以有效地控制应收账款，而且会使企业的销售管理体制从目前的以对外销员的管理为主，拓展到最终以对客户的管理为主这一现代销售模式上来。

80.建立三项基本的风险管理制度

客户资信管理制度

以客户资信管理为核心，实施一套防范和控制客户风险的管理方法，包括企业怎样全面收集管理客户信息，建立完整的数据库，进行资信调查，筛选信用良好的客户，剔除信用不良的客户。

客户授信制度

要求企业在交易决策过程中制订和执行一套科学的审批方法和程序，包括“信用申请审查制度”、“信用额度审核制度”和“交易审批制度”，避免主观、盲目决策。通过这项制度，可以明确和规范与客户间的信用关系，从而有效地降低逾期应收账款的发生率。严格执行“三查制度”则是防范信用风险的关键，即进行“事前调查”、“事中审查”、“事后跟踪检查”。

81.应收账款监控制度

按照一定程序，在出口企业内部实施专业化、规范化的应收账款跟踪管理制度，定期核查应收账款回收情况。货物一经发出，就将应收账款列入信用管理档案，进行监控；按时与客户联系，督促客户及时付款；在出现逾期账款早期积极自行追讨；在逾期后期采取有效的债权确保措施，如提起诉讼、仲裁、委托专业机构追讨等。

82.④合同风险控制。所谓合同风险是指在合同签订和履行过程中，发生的法律纠纷导致企业被诉、败诉的可能性。为防范合同风险，企业应建立合同起草、审批、签订、履行监督和违约时采取应对措施的控制程序，必要时可聘请律师参与。风险防范控制是企业一项基础性和经常性的工作，企业必要时可设置风险评估部门或岗位，专门负责有关风险的识别、规避和控制。合同的审签与税收筹划83.8、内部报告控制常用的内部报告有：①资金分析报告，包括资金日报、借款还款进度表、贷款担保抵押表、银行帐号及印鉴管理表、资金调度表等；②经营分析报告；③费用分析报告；④资产分析报告；⑤投资分析报告；⑥财务分析报告等。

一个延伸的问题是：财务人员的能力框架是什么？84.三九集团未来发展的主要产业医药与连锁金融健康与服务多经提供适时的、可以执行的以及精确的报告用来支持基于业务指标的管理决策体系，并且提供与公司战略目标相关的风险与机会的详细分析。灵活的报告系统以及对报告需求变化的快速反应能力适时的和准确的数据信息高度共享数据仓库概念的实施增强财务分析以及业绩评估(KPI)报表的生成与溯源功能多层次的报告结构,如地域,客户,产品线Ssssssssssssssssss…...各业务板块应编制相应的报表85.财务与管理报告的最佳模式财务数据准确并可以向下查询及时的数据分析以支持决策帮助预测潜在的问题和确定盈利的业务领域自动的交易处理和报表生成标准一致的数据和报表定义经营业绩的及时报告免去/减少:数据差异重复的经营与财务信息收集与加工工作繁杂的对帐过长的报表生成时间由不同数据产生的混乱Ssssssssssssssssss…...86.9、电子信息系统控制①一般控制，它主要是对电子信息系统构成(人、软件、硬件)及环境实施的控制，常用的方法有：系统组织和管理控制，系统开发和维护控制、文件资料控制、系统设备、数据、程序、网络安全的控制。②应用控制，这是对电子信息处理活动进行的控制，常用的方法有：输入控制、处理控制、输出控制。87.IT治理国际信息系统审计与控制协会（ISACA)认为：IT治理由关系和流程组成，包括信息系统、技术与连通性、商业活动、法律相关事宜以及所有的利益相关者——公司董事、高级管理人员、业务流程的执行者、IT供应商、IT使用者以及审计人员等。德勤（DeloitteTouche)对IT治理的定义：IT治理是一个含义广泛的术语，包括信息系统、技术、通信、商业、所有利益相关者、合法性和其他问题。IT治理协会认为：IT治理应关注五个领域——与战略统一、传递价值、资源管理、风险管理和绩效评估88.ERP环境下的内部控制与风险管理“ERP环境下，没有记账凭证，只有记录详细信息的原始凭证，甚至没有原始凭证的传递，因此，传统环境中有效的凭证控制功能，在信息技术环境下正逐渐弱化甚