企业内部控制(郭致星)

1《企业内部控制》模块考试大纲

CERM

注册企业风险管理师培训专用课件一、考试目的本模块测试考生对企业内部控制基本理论和专业知识的掌握情况，考核考生运用内部控制这一企业风险管理措施与手段支持和落实企业风险治理对策的能力，考核考生在综合分析诊断企业全面和系统性风险问题时运用企业内部控制管理基本知识的能力，以及在一定程度上考核考生设计、实施和评价企业内部控制体系的专业水平。2二、考试基本要求2.1掌握以下内容2.1.1内部控制概述1.内部控制相关概念2.内部控制目标3．内部控制的原则4.内部控制类型、要点、措施和方法5.内部控制的范围6.良好的内部控制特征7.内部控制的地位与作用8.企业内部控制框架3二、考试基本要求2.1.2内部控制的五大要素1.控制环境2.风险评估3.控制活动4.信息与沟通5.监控2.1.3内部控制体系设计、实施与评价1.内部控制体系设计考虑要点2.内部控制体系设计基本方法3．关键业务控制设计实务要点4.内部控制体系建立与实施5.内部控制体系评价要点二、考试基本要求2.1.4内部控制与相关管理实践的关系1.内部控制与公司治理2.内部控制目标与平衡计分卡3.内部控制与流程管理4.内部控制与操作风险管理及合规风险管理的关系5.内部控制在企业全面风险管理中的作用6.内部控制体系与其他管理体系的关系二、考试基本要求2.2了解以下内容2.2.1了解内部控制发展历史与未来发展趋势2.2.2了解本地区与国际范围内部控制理论与实践2.2.3了解内部控制的局限性2.2.4了解有关内部控制重要的国际准则（例如COSO标准、萨班斯法案、ISO31000等）2.2.5了解管理控制与财务控制的不同2.2.6内部控制人员素质要求三、要点内容3.1内部控制概述3.2内部控制的五大要素的描述与实施要点3.3内部控制体系设计、实施与评价3.4内部控制与相关管理实践的关系3.5了解内部控制发展历史与未来发展趋势3.1.1.内部控制相关概念。1.管理：管理是指导和控制企业的协调活动。管理活动通常包括：制定企业的战略（包括企业发展的方针、政策、目标等），以及相关的策划、控制、保证和改进活动（亦有表述为“计划、组织、协调、控制、指挥”等活动）。2.控制：控制是管理活动/职能的一部分，控制的目的是为了致力于实现相关目标、满足相关要求。3.内部控制：依照ISO/IEC导则73《风险管理—术语》，内部控制是一类控制风险的措施，是一种风险治理的解决方案，旨在最小化风险。内部控制包括所有相关的政策、手段措施、实践和其他策划好的行动等。依照目前COSO的定义，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。从COSO—内部控制框架延伸而来，目前一般用内部控制要素和内部控制目标来描述内部控制的主体框架。内部控制包括控制环境、风险评估、控制活动、信息及交流、内部监督等五个相互关联的过程要素。内部控制的目标包括：战略目标、经营目标、报告目标和合规目标。3.1.1.内部控制相关概念。4.内部控制政策：被企业决策高层批准的所有风险控制目标和风险控制方向。有关于内部控制政策的进一步解释请看后文。5.内部控制活动：是指确保管理层的要求得以实施的政策及程序。6.内部控制体系：内部控制体系是企业为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、分析、评价、控制、监测和改进的动态过程和机制。7.内部控制自我评估：内部控制自我评估（ControlSelf—Assessment,CSA）系由企业操作人员/管理人员/审计人员开展的、用以评估内部控制有效性的过程。其目的是对达成所有经营管理目标提供合理的保证（assurance）。内部控制自我评估亦称“风险控制自我评估”或“CRSA”。实施内部控制自我评估的方法一般包括：问卷调查、流程图、检查表等方法。8.内部控制评价：内部控制评价是指对企业内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。内部控制评价包括过程评价和结果评价。过程评价是对内部控制的控制环境、风险评估、控制活动、信息与交流、监督管理等体系要素的评价。3.1.2内部控制目标内部控制目标一般包括战略目标、经营目标、报告目标和合规目标，是合理保证企业经营管理合法合规、资产安全、财务报告报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。企业内部控制的基本目标是通过风险管理和内部控制来实现价值持续增加的经营目标。1．战略目标2．经营目标3．报告目标4．合规目标

3.1.2内部控制目标此外，由于企业管理控制源自于企业财务控制的率先实践，因此从财务审计标准的角度来看，企业内部控制（例如其中的财务控制内容）的具体目标设定可参照以下八个方面：1．保护资产（safeguardingofassets）2．保护会计记录的可靠性（reliabilityofaccounting—record）

3．及时提供可靠的财务信息（timelypreparationofreliablefinancialinformation）

4．盈利和尽量减少不必要的花费（profitabilityandminimizationofunnecessarycosts）

5．避免无意识地面临风险敞口（avoidanceofunintentionalexposuretorisk）

6．预防和查明错误和不正常现象（preventionordetectionoferrorsandirregularities）

7．保证授予的职责得到正确履行（assurancethatdelegatedresponsibilityhavebeenproperlydischarged）

8．履行法律责任（dischargeofstatutoryresponsibilities）3.1.3内部控制的原则1.全面性原则2.重要性原则3.制衡性4.适应性原则5.成本效益原则6.预防性原则7.持续改进原则8.合规性原则3.1.3内部控制的原则9．有效性原则10．独立性原则11．权威性和优先性原则12．可控性原则13．与管理过程相结合原则14．风险评估先导性原则3.1.4内部控制类型、要点、措施和方法1．控制类型按照控制过程顺序分类：环境和结构控制、政策控制、预防性控制、操作控制（例如流程和程序）、发现性控制、纠错性控制。按照控制目的分类，有以下四类：⑴预防型：以防止发生不良事态为目的的控制。较探测型控制而言，这种控制因为避免了错误、省去了纠错费用而具有更大的成本效益。⑵引导型：引发或促使某一良性事态发生的控制。这种类型的控制同样具备成本效益，并有助于防止错误的产生。⑶探测型：发现已经发生的不良事态。尽管总体上比前两种类型开支更大，但探测型控制能够衡量预防型和引导型控制的有效性，并能够发现通过预防制度不能有效控制的错误。⑷纠错型：确保已经发生过的不良事态不会再度发现的控制。3.1.4内部控制类型、要点、措施和方法2．控制要点⑴对于可能导致偏离内部控制政策、目标的运行情况，应建立并保持书面程序和要求，并在程序中规定人员适任条件要求、授权要求、操作要求和控制标准。⑵对于重要活动应考虑采用诸如“四眼原则”的制衡机制；实施连续记录和监督检查。⑶在可能的情况下，应考虑运用计算机系统进行控制。⑷对于采购或外包的设施、设备、系统和服务中已识别的风险，应建立并保持控制程序，并将有关程序和要求通报供方，确保其遵守企业相关的控制要求。⑸对于产品、组织结构、流程、计算机系统的设计过程，应建立有效的控制程序。3.1.4内部控制类型、要点、措施和方法3．内部控制措施控制措施所涉及的范围一般可包括（但不限于此）：目标控制、指标和标准控制、决策控制、预防控制、政策及制度控制、组织与结构控制、员工素质控制、信息控制、流程控制、程序控制、关键风险点强化控制、计划和预算控制、预测和预警控制、监测检查及监督控制、审计控制、记录控制、报告控制、追踪控制、纠错控制、试点控制、绩效考核控制等。

3.1.4内部控制类型、要点、措施和方法以下为一些通常采用的控制措施具体举例：⑴检查控制。⑵行为控制。⑶实物控制。⑷风险暴露限制的审查。⑸审批与授权。⑹验证与核实。⑺不兼容岗位的适当分离。3.1.4内部控制类型、要点、措施和方法4．控制方法⑴前馈控制（ForwardControl）：活动开始之前所作出的控制。这种方法属于预防性控制，是事前之控制用以阻止错误的发生。⑵实时性控制（ConcurrentControl）：在活动进行中加以控制，让发生问题和矫正行动之时间间隔降至最低。⑶回馈控制（FeedbackControl）：在活动发生后所采取的控制行动。3.1.5内部控制的范围本考试大纲本模块依照战略、操作、财务和声誉四大板块思路绘制出企业应设置内部控制的领域分布图（如下图），供参考。3.1.6良好的内部控制特征1．及时――内部控制体系应及早发现潜在或实际偏差以期减少损失。管理人员应对潜在问题作出预测，确保一旦出现问题就能够采取有效控制措施加以阻止并（或）予以确认和纠正。2．节约――内部控制体系应作出“合理保证”，即以合理的较低费用实现预期的控制目标。可以实施绝对控制，但有可能得不偿失。内部控制体系应通过减少追加资金以外的开支及潜在损失来支付自身费用。因此，管理部门应将需要防止、查实或纠正的开支与相关控制制度的费用进行比较；效率与节约必须与控制的有效性一并考虑。然而，如果出于对安全、环境、敏感问题或提高信誉的考虑，某些控制应予以批准。3．责任感――内部控制体系应促使员工对所肩负的任务表现出责任感。管理人员需要内部控制体系以使其尽职尽责，因此，他们应谙悉内部控制的目的及操作。4．配置――内部控制措施应配置于最能发挥效力之处，如适当地置于关键过程之前、当中或结束时。5．灵活性――内部控制体系应能够适应因时间关系所引起的程序变化，必须经过修订才能继续有效的内部控制体系则不足取。6．确认起因――如果控制不但能发现问题，而且还能追本溯源，则有助于迅速实施纠正措施。7．恰当――控制应符合管理之需要及目标。3.1.7内部控制的地位与作用3.1.8企业内部控制的框架1．目前企业内部控制框架的实施状况本考试大纲目前建议的企业内部控制框架（三维）：目标层面：战略目标、运营目标、报告目标（修正之出强调风险报告）和合规目标要素层面：控制环境、风险评估、控制活动、信息与沟通、监控结构层面：企业整体层面、分支机构、业务单位、子公司2．未来企业内部控制框架的发展3.2内部控制的五大要素的描述与实施要点

内部控制具体包括：控制环境、风险评估、控制活动、信息与沟通、监控等五大要素。3.2.1控制环境1.内部环境要素描述内部控制环境是企业实施内部控制的基础，影响着组织中员工的控制意识。控制环境是其他内部控制因素的基础，为内部控制界定了规则和结构。一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。3.2.1控制环境2.内部环境要素实施要点⑴公司治理⑵机构与管理职能⑶内部控制政策内部控制政策应：与企业的经营宗旨和发展战略相一致；体现持续改进内部控制的要求；符合现行法律法规要求；规范内部控制实施的结构框架和过程框架；描述企业的风险偏好与风险容忍度，体现出侧重控制的风险类型；体现出对不同地区、行业、产品的风险控制要求；传达给适用岗位的员工，指导员工实施风险控制措施；可为风险相关方所获取，并寻求互利合作；定期进行评审，确保其持续的适宜性和有效性。3.2.1控制环境⑷企业文化⑸人力资源人力资源政策（主要包括但不限于）：员工的聘用、培训、辞退与辞职。员工的薪酬、考核、晋升与奖惩。关键岗位员工的强制休假制度和定期岗位轮换制度。掌握重要商业秘密的员工离岗的限制性规定。有关人力资源管理的其他政策。⑹风险管理⑺内部审计⑻管理手册3.2.2风险评估1.风险评估要素描述企业科学系统识别、分析和评价影响企业各级目标实现的所有风险因素、局部风险因素或特定领域风险因素的这一过程被称为风险评估。风险评估是企业了解风险和确定风险控制目标的依据，是企业识别控制环节和控制关键点的依据，是企业实施内部控制过程管理不可逾越的关键步骤，是企业实施全面风险管理的方法论支撑基础。每个组织（企业）都要面对需要评估的各种内部和外部的风险。风险评估的一个前提条件是要确立与不同级别相联系并内在统一的目标。风险评估就是要识别并分析影响组织（企业）目标实现的相关风险，并为决定如何管理和控制这些风险提供决策依据。由于经济、行业、法规和经营条件等的不断变化，相应的机制和风险也会产生改变，从而也要求风险评估的实施必须是及时的和周期持续的。3.2.2风险评估2．风险评估要素实施要点⑴风险评估相关概念和原则①风险控制目标②固有风险、剩余风险和当前风险水平③风险忍受度风险忍受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。④关键风险⑤风险评估技术和方法3.2.2风险评估⑵风险识别①内部风险识别关注因素—董事、监事、经理及其他高级管理人员的职业操守和决策水平/风格。—员工专业胜任能力等人力资源因素。—组织机构、经营方式、资产管理、业务流程等管理因素。—研究开发、技术投入、信息技术运用等自主创新因素。—财务状况、经营成果、现金流量等财务因素。—营运质量和安全、员工健康、环境保护等安全环保因素。—信息的有效性、内部控制的有效性和公司治理有效性等识别。—合规风险的识别。

—其他有关内部风险因素。3.2.2风险评估②外部风险识别关注因素—经济形势、产业政策、投融资环境、市场竞争、资源供给等经济因素。—法律法规、监管要求等法律因素。—安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。—技术进步、工艺改进等科学技术因素。—自然灾害、环境状况等自然环境因素。—外部突发事件影响。—其他有关外部风险因素。3.2.2风险评估⑶风险分析风险分析是为了更多或更精确地了解风险的特征，企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析。另外，在风险分析时还往往对风险的敏感性和不确定性等特征实施分析。⑷风险评价⑸风险治理对策①风险规避②移走滋生风险的根源③改善风险的特征④风险分担/风险转移⑤风险承受⑥风险应对⑹选择内部控制这一风险改善对策的落实措施3.2.3控制活动1．控制活动要素描述2．控制活动要素实施要点⑴企业应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。⑵企业制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。⑶企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。⑷控制活动是体现控制政策的程序或行动，往往是控制措施的组合。前文有关于企业控制措施的相关内容已给出了基本的概念。以下是一些可称之为常见的体现在企业各项控制活动中的内控措施，包括：①授权;②报告;③批准;④问责;⑤审计检查;⑥考核评价;⑦重大风险预警;⑧法律顾问;⑨制衡，明确规定不相容职责的分离。3.2.4信息与沟通1．信息与沟通要素描述2．信息与沟通要素实施要点⑴信息与沟通制度⑵信息收集⑶信息传递和沟通⑷以信息为基础的控制措施⑸文件信息控制⑹信息技术3.2.5监控1．监控要素描述监控是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并提议改进。2．监控要素实施要点⑴内部控制监控制度企业应当根据相关规范制定内部控制监控制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监控中的职责权限，规范内部监控的措施类别、程序、方法和要求。内部监控分为日常监督和专项监控。3.2.5监控

⑵内部控制缺陷认定企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。⑶内部控制自我评价企业应当结合内部监控情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。

3.2.5监控

⑷监控报告监控报告（除非就某一监控方面监管机构提出特别要求）因企业不同和因监控的目标任务不同而不同。一般监控报告应报告监控发现的事实和监控发现的潜在问题，有时也报告目标实现的可能性评估，如有必要也可给出就发现问题的应对建议。⑸记录控制应建立相关文档的保存和记录制度，以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。记录应保持清晰、易于识别和检索，以提供符合要求和内部控制体系有效运行的证据，并可追溯到相关的活动。

3.3内部控制体系设计、实施与评价3.3.1内部控制体系设计考虑要点企业在实施内部控制的设计时要考虑内部控制的目标和政策，要体现企业内部控制管理的总体原则（本考试大纲本模块的前文中已陈述了这一原则），要考虑内部控制的成本许可与实施的可行性，应征求企业利益相关者的建议并与他们实施充分的沟通和协商。3.3.1内部控制体系设计考虑要点具体来讲，企业的内部控制体系的设计，一般可主要考虑以下要点：1.企业战略的澄清及确认，以及企业目标管理体系的建立；2.企业内部控制政策的制订。内部控制政策一般包括企业的组织结构，运营模式，部门及岗位职责、授权、报告路线，与目标相关的风险偏好及风险容忍度，风险管理基本对策；3.企业管理及业务流程（程序）的梳理、整合与优化；4.了解和确认企业的风险管理目标和内部控制目标，遵循内部控制政策；5.在遵循内部控制的原则基础上，识别、评估、监测、报告、控制和改进相关风险。3.3.1内部控制体系设计考虑要点

在设计企业内部控制时，在基于上述要点的基础上，还应进一步考虑以下内容：—有关控制指标界定或标准确定—内部控制要识别和考虑企业关键业务、关键业绩、关键流程与关键控制点—预警考虑—考虑合规要求—考虑风险评估结果建议—评价现有风险控制水平和风险控制能力—识别和确定企业所接受的风险控制水平—考虑控制成本—评价控制措施与非控制措施的风险应对效果和成本，进而做出控制措施选择—基于企业关键风险控制点的内部控制的流程和程序设计—确定控制措施、程序和控制活动—从制度着手的内部控制—从标准化和规范化角度着手的内部控制—确定应急措施—确定控制资源—考虑常规控制和非常规控制，考虑风险控制的压力极限—提出企业风险控制能力的建设和提升目标，设计合理的企业风险控制能力3.3.2内部控制体系设计的基本方法企业应建立以企业经营管理目标为指针，以流程管理和风险管理为基础的，以“业务条线及管理职能、风险管理、审计”三道防线为机制，以内部控制五要素为框架的文件化的内部控制体系。企业内部控制体系的设计应至少体现以下主要方法：1.原则为本的方法(Principle—BasedApproach)2.绩效为本的方法(Performance—BasedApproach)3.流程为本的方法(Process—BasedApproach)4.职责为本的方法(Responsibility—BasedApproach)5.风险为本的方法(Risk—BasedApproach)6.体系为本的方法(System—BasedApproach)3.3.3关键业务控制设计实务要点企业内部控制的设计应包括战略、操作、报告、合规等几个层面。然而，在企业中最为关注的内控焦点仍然是基于关键业务、关键业绩、关键流程和关键风险点的内部控制的设计和有效运行的问题。由于内部控制的发展历经了几个重要时期的沿革，似乎每一个企业都感到自身在内部控制管理方面都或多或少的按照传统内控的某些理念做过一些工作（例如制订了各种制度），然而当如今企业需要在ERM的框架下重新梳理内部控制体系时却感到不知从何下手！原因是因为尚不能准确定位ERM时代内部控制设计的发展改进方向，不全面了解当代“管理控制”发展的最新设计思路和设计视角，也不十分清晰在ERM框架下实施“管理控制”的具科学性的程序和步骤。针对这一问题，为增加对内部控制学科实用性的指导力度，本考试大纲本模块特选择以“关键业务内部控制设计”为解说点，以陈述本模块所推介的有关该设计的程序或步骤，供读者或考生们参考。3.3.3关键业务控制设计实务要点风险指标确认（考虑风险偏好、风险容忍度以及考虑合规）风险评估（包括风险识别、风险分析和风险评价三个阶段）在风险评估的评价阶段，评价内控水平：（1）确认关键风险点（2）评估目前的内控水平状况（可适度测试）（3）确定适合于企业状况的内控应有水平（4）内控资源评价3.3.3关键业务控制设计实务要点4.基于风险评估的结果，为所选定的关键业务制订内部控制的框架方案其中这一方案中应列出对已识别出来的每一个关键风险的控制措施，例如包括：在这一关键业务中，围绕着某一被识别出来的关键风险点，可采用的控制行动包括：（1）在遵从企业整体风险的管理政策的基础之上，为该关键风险制定风险管理政策（例如其中声明风险容忍度，合规要求，声明该关键风险的控制责任等）（2）制定风险管理计划（例如，该计划陈述落实风险管理政策的安排，并且还应包括应急计划预案等）（3）考虑和设置预警（如有必要，或者有可能）（4）恰当的制定或修订管理制度（5）以该关键风险治理和控制为思维出发点，考虑相关风险的关联性或可能的叠加效果（6）围绕着关键风险点，设计合理与充足的各类控制活动（7）将该关键风险的控制并入到所关注业务的流程控制中去，实施控制平衡（8）围绕关键风险点，结合各类控制活动，设定总体控制程序（9）为关键风险设置监控机制和报告机制（10）为关键风险设计周期性评价机制3.3.3关键业务控制设计实务要点5、实施关键风险的控制框架6、监督上述框架的实施7、不断改进这一框架3.3.4内部控制体系的建立与实施建立和实施内部控制体系的方法包括以下步骤：1.确定企业各相关方的需求和期望；2.澄清及确认组织的战略和经营管理目标；3.确定实现企业经营管理目标必需的组织机构、职责、权限，以及报告路线；4.制订相关的内部控制政策、管理程序、业务流程；5.识别相关风险，并制订相关控制措施；6.确定和提供实现经营管理目标必需的资源；7.规定测量（检查或考核）每个业务及管理过程和风险的方法；8.识别与评估所产生的风险，并采取相应的控制措施改进管理并使剩余风险处于可接受水平；9.建立和应用持续改进内部控制体系的过程，尤其包括自我评价、风险评估与报告、审计等；10.不断优化控制环境，并与企业全面风险管理的大环境相吻合与协调。3.3.5内部控制体系评价要点1.内部环境⑴内部环境评价原则企业董事会应负责审批企业的策略和政策；了解企业运作的风险（特别是关键性风险），确定企业对这些风险的承受力，并确保高级管理层采取必要措施识别、监管和控制这些风险；审批企业机构的框架，确保高级管理层对内部控制体系的有效性实行监管。高级管理层有责任执行企业董事会审批的策略；制定合适的内部控制政策；监管内部控制体系的有效性。企业董事会和高级管理层有责任提高自身的职业道德与廉洁自律的标准，在机构内部形成一种文化氛围，向各级人员说明并强调内部控制体系的重要性。企业的各级人员都应了解其自身的岗责，都应具备完成其岗责的能力，都应了解他们在内部控制程序中所分配的角色和应起的作用，并应在这一程序中全力以赴履行各自的职责。企业应建立健全全面风险管理体系，为企业内部控制的有效实施提供基础性、体系性和全面性的支持环境。3.3.5内部控制体系评价要点⑵内部环境评价要点①诚信与伦理价值观管理层必须让雇员了解，诚信与伦理价值观是不能妥协的，雇员必须接受和理解这一点。管理层必须通过言行表现出对高尚道德标准的承诺。●行为规范及有关经营行为、利益冲突，伦理道德标准的政策是否存在并得到实施。●“高层基调”（包括明确什么是对、什么是错的道德规范）是否已经建立。它在整个机构的交流程度如何。●处理与雇员、供应商、客户、投资商、贷款方、保险公司、竞争对手、稽核人员等的关系。●对不遵守公司政策、程序和违反行为规范的行为是否采取了恰当的补救措施。补救措施在多大程度上得以实施，并使企业内每位员工都能了解。●管理层对干预和超越内部控制的态度。●实现不现实的经营目标（特别是达到短期效果）的压力。达到这些经营自标后，存在的报酬奖励范围。3.3.5内部控制体系评价要点②对员工能力的承诺管理层必须明确规定每项具体工作对职员能力的要求，并将这些能力要求以所需的知识与技能的方式表达。●对每项工作是否制定了正式或非正式的工作要求，或用其他方式对工作加以描述。●正确分析从事某项工作所需的知识与技能3.3.5内部控制体系评价要点③董事会与审计委员会一个活跃、有效的董事会将发挥重要的监督功能，因为管理层很可能凌驾于内部控制之上。董事会在保证内部控制的有效性方面将发挥重要作用。●监督工作独立于管理层之外是非常必要的，即便很难做到，显得过于追根究底，还是应该提出问题。●如果有必要对具体事务给予更深刻、更直接的关注，董事会是否能发挥应有作用，董事会的知识及经验●与财务会计主管、内部稽核员和外部审计师召开会议的频率和及时性●向董事会和稽核委员会成员提供的信息是否充分和及时，以使管理层的且标、战略、公司的财务状况、经营业绩、重要协议的条款得到监督。●董事会和稽核委员会处理敏感信息、调查不当行为的有效性与及时性。●是否监督高级官员和内部稽核主管制定了奖惩政策和对他们的任免制度●建立恰当“高层基调”作用●董事会或稽核委员会是否根据其发现的问题采取行动，包括必要时进行的特别调查。3.3.5内部控制体系评价要点④管理层经营理念与运作风格管理层的运作风格对企业经常会产生广泛的影响。当然有些影响是无形的，但是人们还是能看到积极或消极的迹象。●能承受的经营风险的性质，如管理层是否经常涉足高风险领域，还是在承受风险方面过于保守。●主要职位上的人员变迁，如经营、会计、数据处理、内部稽核等职位。●管理层对数据处理和会计部门的态度，以及对财务报表和财产保全的可靠性的关注。●高级管理层与经营管理层联系的频率，尤其是当经营部门是按照地理范围分布时的联系频率。●对财务报告采取的态度和行动、包括应用会计原则所引致的纠纷。3.3.5内部控制体系评价要点⑤组织结构组织结构不应过于简单，以避免不能很好地监督企业的沽动；同时也不应过于复杂，以避免阻碍必要的信息交流，管理人员应充分理解其内部控制责任并具备与其职位相称的经验及知识水平。●企业机构结构的合理性；是否能够提供必要的信息交流以便对经营活动进行管理。●主要管理人员的职责定义，经理对其职责的理解是否充分。●主要管理人员是否具备与其职责相称的知识与经验。●是否具有恰当的报告关系。●如果情况改变，机构结构在多大程度上能得到调整。●企业是否具备足够的职员，特别是管理和监督岗上是否具备足够的职员。3.3.5内部控制体系评价要点⑥职权及分配职责的委任、授权和相关政策的建立为责任制和控制提供了基础，并决定了个人的不同作用。●职责的委托、授权用以实现机构目标和目的，处理经营活动和遵循管理制度，包括对信息系统和授权的改变做出反映。●与控制有关的标准及程序，包括对雇员的工作要求是否恰当。●企业是否具有足够的员工，特别是数据处理和会计人员，是否具备与公司规模、活动及制度复杂性相应的能力。●授权范围与委任职责是否相互符合⑦人力资源政策与实践人力资源政策是选拔和吸引人才、实施企业计划及目标的关键。●聘用、培训、提升、酬赏雇员的政策措施在多大程度上到位。●雇员在多大程度上了解其职责和管理层对其工作的要求●对违反公司规定及办事程序的行为，是否采取恰当的补救措施。●人事管理应就道德及伦理标准规定的明确程序对人员进行考核。●对应聘者的背景调查是否充分，特别是审查其以往是否有过本企业无法接受的行为或举动。●是否制定充分的保留、晋升雇员的标准和信息收集技术（如工作业绩评价），以及与行为准则或其他行为规范有关的制度是否有恰当标准。3.3.5内部控制体系评价要点2．风险评估⑴风险评估评价原则高级管理层应确保能够识别和评价可能对企业目标的实现产生不利影响的内部及外部风险因素。这种评价应包括企业所面临的各种风险，如战略风险、财务风险、信用风险、市场风险、运作风险、法律风险、信誉风险和合规风险等。高级管理层应确保对影响企业实现其策略和目标的风险进行及时评估、连续评估或周期性实施评估，这可能需要对内部控制体系加以改进，以便有效地控制任何新的或以前未加以控制的风险，以便有效监控剩余风险的变化。高级管理层应确保企业实施风险评估的方法正确、科学和得当，评估结果可信。尽可能提高风险评估标准化的程度。3.3.5内部控制体系评价要点⑵风险评估评价要点①企业组织的总体目标●企业的总体目标是否就企业的目的和指导原则作了有效规定，同时这些规定又能与企业的经营直接联系起来。●雇员和董事会是否了解企业的总体目标。●企业策略与企业总体目标的关系及一致性●企业经营计划和预算与企业总体目标、策略计划和目前状况是否一致。②经营目标●经营目标及总体目标、策略计划之间是否存在联系。●经营目标之间是否相互联系●经营目标同所有的重大业务是否具有相关性●经营目标的具体化●是否具有实现目标所需要的资源●确定与实现总体目标相关的关键目标（重要成功因素）●各级管理层在目标制定过程中的参与程度，及他们对待这些目标的严肃性。3.3.5内部控制体系评价要点③风险评估过程和方法评价风险评估方法的科学性和风险评估过程的组织方式等均影响到风险评估控制要素所产生结果的可信度，进而影响到整个企业内部控制体系的建设基础和相应的资源配置。因此，应对企业风险评估结果的可信性实施评价和校正。●风险评估过程中对风险关联性的考虑程度与合适度●是否具有恰当的发现内部风险的机制●企业是否具备适当机制来发现外部风险●企业参与风险评估的人员素质评价●风险识别的透彻性评价，特别指识别与实现企业重大经营目标有关的重要风险，是否识别的透彻和无明显遗漏●风险分析过程的完整性、科学性和相关性，包括对风险大小的估计，对其发生的可能性分析并决定需要采取何种行动。●风险评估方法的科学性评价，风险评估结果的可信性评价3.3.5内部控制体系评价要点④管理变化状况评价经济、行业管理环境在不断变化，企业也在发展，因此需要有某种机制发现这些变化并对变化的情况作出反应。●是否存在某种机制对日常事务或影响经营和总体目标实现的其他活动进行预测、识别和采取适当措施（如果某项活动很容易受环境变化的影响，那么这种机制就应由负责这项活动的经理来管理）。●是否存在某种机制，识别可能对整个企业产生重大全面影响的变化并对之作出反应，从而引最高管理层的重视。●新雇员●新的或重新设计的信息系统●迅速发展●新技术●新方法、新产品、新经营活动、收购新公司●公司重组●跨国经营3.3.5内部控制体系评价要点

3．控制活动⑴控制活动评价原则⑵控制活动评价要点①是否为企业的每一次经营活动都制定相应政策及实施程序②现有控制活动是否得到充分实施③围绕着企业每一个关键风险点的控制活动分派是否完善和充足。4．信息与沟通⑴信息与沟通评价原则高级管理层应确保掌握充分的、综合的有关企业战略、经营、合规和财务等信息，以及掌握有关影响决策的事件和条件的外部市场信息。这些信息应及时、可靠、有深度、充分并具有连续性。3.3.5内部控制体系评价要点⑵信息与沟通评价要点①信息—信息由信息系统发现、捕捉、