XXXX年会计继续教育《新企业内部控制基本规范》讲义

企业内部控制基本规范课程讲义目录企业内部控制应用指引第1号——组织架构

企业内部控制应用指引第2号——发展战略

企业内部控制应用指引第3号——人力资源

企业内部控制应用指引第4号——社会责任

企业内部控制应用指引第5号——企业文化

企业内部控制应用指引第6号——资金活动

企业内部控制应用指引第7号——采购业务

企业内部控制应用指引第8号——资产管理

企业内部控制应用指引第9号——销售业务21世纪初，根据第二次修订的《会计法》，财政部制定发布了单位内部会计控制规范，包括《内部会计控制规范——基本规范（试行）》和《内部会计控制规范——货币资金（试行）》等一系列具体规范，实施效果很好。在此基础上，结合国内国外经济发展形势变化，借鉴国际先进经验和做法，经过近十年的不断探索和完善，逐渐形成了企业内部控制规范体系，由《企业内部控制基本规范》（以下简称《基本规范》）和配套指引组成。《基本规范》在企业内部控制规范体系中处于最高层次，起统驭作用，建立了内部控制的总体框架和基本要求，是制定配套指引和完善企业内控制度的依据。配套指引是《基本规范》的具体化，包括系列应用指引、评价指引和审计指引。

《基本规范》共七章五十条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。

一、关于总则

总则既是《基本规范》的总说明，也是配套指引乃至整个内控规范体系的总要求。总则规定了企业内部控制规范体系的基本问题，包括制定与实施内部控制规范的意义、制定依据、适用范围、内控目标、原则、要素、组织实施、监督检查，以及引入注册会计师审计等制度安排。

（一）内部控制的意义和依据

《基本规范》第一条阐明了制定与实施内部控制规范的意义。

第一、加强和规范企业内部控制的需要。一般而言，各类存续企业大都建立了相应的管理制度，但是需要根据内控规范要求，对原有制度进行修改、完善和提升；对于新建企业，更需要依据内部控制规范，构建企业内控制度和管控流程。

第二、有助于全面提升企业经营管理水平和风险防范能力，促进企业可持续发展。

全面提升企业经营管理水平和风险防范能力是内控体系的核心问题，尤其是在当前我国应对国际金融危机、加快转变经济发展方式的时代背景下，内控规范体系对于提升企业核心竞争力，促进企业在后金融危机时期可持续发展，具有特别重要的现实意义和深远的历史意义。

第三、有利于维护社会主义市场经济秩序和社会公众利益。

企业尤其是上市公司是创造社会财富的市场经济主体和宏观经济的细胞。调整产业结构，转变发展方式，提升发展质量，维护市场经济秩序和社会公众利益，从企业做起至关重要。广大企业也只有不断强化内部控制，才能实现维护市场经济秩序和社会公众利益的目标。

根据《基本规范》第一条规定，制定企业内部控制规范的基本依据是《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规。企业内部控制规范体系与上述法律法规是协调一致的。从某种程度上讲，企业内控规范是贯彻落实上述法律法规，保证各类经济活动合法合规的具体制度和办法。

（二）企业内部控制规范的实施范围和时间安排

《基本规范》第二条明确规定，企业内部控制规范适用于中华人民共和国境内设立的大中型企业。

首先是上市的大中型企业，包括境内外同时上市的公司和主板上市公司。具体实施时间要求为：自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。

对非上市公司的大中型企业，包括国有企业、国有控股企业和外商投资企业等，鼓励提前执行。小企业和其他单位可以参照企业内部控制规范建立与实施内部控制。

对于其他单位包括行政事业单位和非营利组织，财政部将待企业内控规范体系建设与实施有序推开后，择机推进非企业单位的内控规范研究制定工作。

大中型企业和小企业的划分标准按照国家有关规定执行。目前一般参照国家经贸委、国家计委、财政部、国家统计局《关于印发中小企业标准暂行规定的通知》（国经贸中小企[2003]143号）的规定执行。

表1-1统计上大中小型企业划分标准行业名称指标名称计算单位大型中型小型工业企业从业人员数人2000及以上300-2000以下300以下销售额万元30000及以上3000-30000以下3000以下资产总额万元40000及以上4000-40000以下4000以下建筑业企业从业人员数人3000及以上600-3000以下600以下销售额万元30000及以上3000-30000以下3000以下资产总额万元40000及以上4000-40000以下4000以下批发业企业从业人员数人200及以上100-200以下100以下销售额万元30000及以上3000-30000以下3000以下零售业企业从业人员数人500及以上100-500以下100以下销售额万元1500及以上1000-1500以下1000以下交通运输业企业从业人员数人3000及以上500-3000以下500以下销售额万元30000及以上3000-30000以下3000以下邮政业企业从业人员数人1000及以上400-1000以下400以下销售额万元30000及以上3000-30000以下3000以下住宿和餐饮业企业从业人员数人800及以上400-800以下400以下销售额万元15000及以上3000-15000以下3000以下（三）内部控制的定义和目标

《基本规范》第三条明确指出，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

首先，这一定义强调了企业领导者尤其是董事会、监事会和经理层在建立与实施内部控制中的重要作用。如果企业领导者对于内部控制没有足够的认识和高度的重视，内部控制是难以有效实施的。

其次，明确了内部控制是全体员工的共同责任。企业的各级管理层和全体员工都应当树立现代管理理念，强化风险意识，以主人翁的姿态积极参与内部控制的建立与实施，并主动承担相应的责任，而不是被动地遵守内部控制相关规定。

最后，指明了内部控制是一个过程。内部控制是对企业生产经营过程的控制，也是对实现企业发展目标过程的控制。同时，内部控制又是一个不断优化完善的过程，只有起点，没有终点，必须坚持不懈、持之以恒地持续改进。

《基本规范》第三条第二款规定了内部控制的目标为五个方面：

一是合理保证企业经营管理合法合规；

二是维护资产安全；

三是保证财务报告及相关信息真实完整；

四是提高经营效率和效果；

五是促进企业实现发展战略。

企业经营管理合法合规，强调的是企业要在法律允许的经营范围内开展经营活动，严禁违法经营、非法获利。

资产安全主要是防止资产流失。要确保企业的各项存款等货币资金的安全，防止被挪用、转移、侵占、盗窃。同时还要保护实物资产，防止低价出售，要充分发挥资产效能，提高资产管理水平。

财务报告及相关信息反映了企业的经营业绩，乃至企业的价值增值过程。财务报告反映企业的过去与现状，并可预测企业的未来发展，是投资人进行投资决策、债权人进行信贷决策、管理者进行管理决策和宏观经济调控部门进行政策决策的重要依据。同时，财务报告作为社会公共产品，其真实完整地体现了企业履行的社会责任。

提高经营效率和效果构成企业内部控制的重要目标。企业建立和实施内部控制的内在要求之一是相互制衡、相互监督，这一要求看似与提高效率效果相矛盾，实际上是协调一致的。因为忽视控制的经营管理，将导致重大风险的发生，可能造成企业难以为继，最终降低了经营的效率效果。因此，企业必须正确认识和处理强化内部控制与提高效率效果的关系。

促进企业实现发展战略是内部控制的最高目标，也是终极目标。只要企业在内控上下工夫，切实保证经营管理合法合规、资产安全完整、财务报告及相关信息真实可靠、经营效率效果稳步提高，就一定能提高核心竞争力，促进实现发展战略。

在上述五个控制目标中，企业经营管理合法合规、资产安全完整、财务报告及相关信息真实完整是内部控制的基础目标。我国早期的内部控制是从基础目标开始的。在现代市场经济条件下，建立现代企业制度，促进企业长远发展，不仅要求企业必须围绕这3个基础目标真抓实干，而且必须在提高经营效率和效果上更上一层楼，最终促进企业实现发展战略。

（四）内部控制的原则

《基本规范》第四条规定了企业建立与实施内部控制的五项原则：

一是全面性原则；二是重要性原则；三是制衡性原则；四是适应性原则；五是成本效益原则。

全面性原则强调内部控制应当贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项。

重要性原则要求内部控制在兼顾全面的基础上，格外关注重要业务事项和高风险领域。

制衡性原则要求内部控制在治理结构、机构设置及权责分配、业务流程等方面相互制约、相互监督，同时兼顾运营效率。相互制衡是建立和实施内部控制的核心理念，更多地体现为不相容机构、岗位或人员的相互分离和制约。

适应性原则要求内部控制与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化加以调整。

成本效益原则要求实施内部控制必须权衡成本与效益，以适当的成本实现有效控制。

（五）内部控制的要素

《基本规范》第五条规定了内部控制的五要素，即内部环境、风险评估、控制活动、信息与沟通和内部监督。

内部控制五要素是立足我国国情、借鉴国际经验的产物。

1958年10月，美国会计师协会下属审计程序委员会发布《审计程序公告第29号》，将内部控制分为管理控制和会计控制。

1988年，美国注册会计师协会发布《审计准则公告第55号》，提出了“三分法”的概念，即内部控制包括控制环境、会计系统和控制程序三个部分。

1992年，美国COSO委员会发布《内部控制整体框架》（COSO报告），认为内部控制由控制环境、风险评估、控制活动、信息与沟通、监督五要素构成。

安然事件爆发后，出于全面加强风险管理的考虑，2004年美国COSO委员会制定了《企业风险管理整合框架》，在五要素的基础上，将风险评估拆分、细化为目标设定、事项识别、风险评估和风险应对，从而形成八要素的框架。

尽管如此，美国上市公司按照萨班斯法案404条款的要求进行财务报告内部控制管理层评价和注册会计师审计时，其评价和审计的依据仍是1992年COSO报告的五要素。

根据我国实际情况，《基本规范》确立的仍是内部控制的五要素，但吸收了COSO八要素的全部成分。《基本规范》与包括COSO内控框架在内的世界领先的内部控制框架在所有主要方面保持了一致。

我国内部控制规范体系的目标、对象和要素的关系，如图1所示。

图1内部控制目标、对象和要素三位一体图

（六）内部控制的组织实施

内部控制规范建设是一项系统工程，内部控制的实施更为关键。《基本规范》的第六条至第十条分别从企业、政府部门、中介机构三个不同的角度对确保企业内部控制的有效实施提出严格要求。

第一，企业建立和实施内部控制，至少要做好三个方面的工作。

一是按照《基本规范》第六条的规定，根据有关法律法规、本规范及配套指引，制定本企业的内部控制制度并组织实施。企业主要负责人应当重视内控工作，加强组织领导，成立工作组，组织专门人员，制定工作方案，结合本企业实际情况，对企业内控制度和管控流程进行全面梳理优化。

二是按照《基本规范》第七条的规定，根据修订后的企业内控制度和管控流程，组织软件专业人员对现有的信息系统进行改造升级，将优化后的流程固化到信息系统中，促进内部控制流程与信息系统的有机结合，从而实现对业务和事项的自动控制，减少或消除人为操纵因素。

三是根据《基本规范》第八条的规定，建立和完善实施内部控制的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。

第二，企业应当聘请注册会计师对内部控制的建立与实施情况进行审计，并出具审计报告。对于内部控制的设计和评价工作，企业可以聘请中介机构提供专业咨询服务，并积极做好配合工作。企业可以聘请同一家会计师事务所开展财务报告和内部控制整合审计，以促进审计资源的有效利用。

为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。

第三，强化政府有关监管部门对企业建立与实施内部控制的行政监督。根据《基本规范》第九条规定，国务院有关部门，包括财政部、审计署、证监会、银监会、保监会、国资委等政府监管部门，应当根据有关法律法规和内部控制规范，明确贯彻实施内部控制规范的具体要求，并对企业建立与实施内部控制情况进行监督检查。

二、关于内部环境

《基本规范》第五条规定，内部环境是企业建立与实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

（一）组织架构

在内部环境中居于基础地位的是组织架构，包括治理结构、内部机构设置和权责分配。企业实行现代企业制度，必须建立健全治理结构，科学设置内部机构，合理分配职责权限。

《基本规范》第十一条明确规定，企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，包括股东大会对重大事项的表决权、董事会的经营决策权、监事会的监督权、经理层的组织实施等，以形成科学有效的职责分工和制衡机制。

关于机构设置及权责分配，《基本规范》第十四条规定，企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。

《基本规范》第十二条和第十三条规定了董事会、监事会、经理层在内部控制建立与实施方面的职责权限。

一是强调了董事会对内部控制的建立健全和有效实施负责。监事会对董事会建立与实施内部控制进行监督。董事会下设立审计委员会，审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。

二是经理层负责组织领导企业内部控制的日常运行。有条件的企业应当成立专门机构，或者指定适当的机构，具体负责组织协调内部控制的建立实施及日常管理工作。

（二）人力资源

人力资源作为内部环境的重要组成部分，是指企业在建立和完善组织架构的基础上，如何充分发挥“人”的作用。

《基本规范》第十六条和第十七条规定，企业应当制定和实施有利于企业可持续发展的人力资源政策，明确了人力资源政策的主要内容，强调要将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。

（三）企业文化

《基本规范》第十八条和第十九条对企业文化建设提出了基本要求，规定企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导团队协作精神，树立现代管理理念，强化风险意识；同时，强调董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用，强调高管人员应增强法律观念和意识，严格依法决策、依法办事、依法监督。

（四）内部审计

《基本规范》第十五条规定，企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计在内部控制中的职责主要是对内部控制的有效性进行监督检查，对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

在实务中，部分企业建立了专门的内部控制机构，也有一部分企业没有建立内部控制机构，而是由内部审计机构代为履行内部控制相关职责。企业应当按照内部控制监督检查与评价独立于内部控制的设计和运行的原则，逐步建立健全权责明晰的内部控制相关机构或强化内部审计机构在内部控制监督检查与评价中的作用。

三、关于风险评估

风险评估由目标设定、风险识别、风险分析和风险应对构成。风险评估是内部控制的重要环节，在企业生产经营过程中，只有进行科学的风险评估，自觉地将风险控制在可承受范围之内，才能实现企业的可持续发展。

企业总是在应对各类风险和挑战的过程中赢得生存和发展。

（一）目标设定

《基本规范》第二十条规定，企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。这里所指的设定的控制目标主要是指总则中规定的内部控制五目标。

（二）风险识别

风险识别是在目标设定的基础上，密切关注内外部主要风险因素。

《基本规范》第二十二条和第二十三条列示了企业内外部各种风险因素。配套指引中的系列应用指引列出了企业至少应当关注的主要风险，这些风险是在企业内部控制实施过程中，通过日常或定期的评估程序与方法加以识别。这些风险因素具体化为各项应用指引中的主要风险。在企业生产经营过程中，应将各类风险进行分类整理，形成企业的风险清单。

（三）风险分析

根据《基本规范》第二十四条的规定，风险分析是指在风险识别的基础上，采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。

风险的定性分析，是指通过观察与分析，借助于经验和判断对风险进行分析的方法。该方法主要是通过问卷、面谈及研讨会等形式进行风险分析，依靠专业人员的经验和直觉，或者行业标准及惯例等，对风险相关要素的大小或高低程度进行定性分级。

风险的定量分析，是指运用一些数据分析模型，将有关风险及其影响予以量化，在此基础上判断风险重要性程度的方法，如敏感度分析法和盈亏平衡分析法等。

（四）风险应对

风险应对是指风险应对策略的选择。根据《基本规范》第二十五条的规定，企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。

风险应对策略包括风险规避、风险降低、风险分担和风险承受。

1、规避风险。通过避免受未来可能发生事件的影响而消除风险。规避风险的办法有：

通过公司政策、限制性制度和标准，阻止高风险的经营活动、交易行为、财务损失和资产风险的发生。

通过重新定义目标，调整战略及政策，或重新分配资源，停止某些特殊的经营活动。

在确定业务发展和市场扩张目标时，避免追逐“偏离战略”的机会。

审查投资方案，避免采取导致低回报、偏离战略，以及承担不可接受的高风险的行动。

通过撤出现有市场或区域，或者通过出售、清算、剥离某个产品组合或业务，规避风险。

2、接受风险。维持现有的风险水平。

不采取任何行动，将风险保持在现有水平。

根据市场情况许可等因素，对产品和服务进行重新定价，从而补偿风险成本。

通过合理设计的组合工具，抵消风险。

3、降低风险。利用政策或措施将风险降低到可接受的水平。方法有：

将金融资产、实物资产或信息资产分散放置在不同地方，以降低遭受灾难性损失的风险。

借助内部流程或行动，将不良事件发生的可能性降低到可接受的程度，以控制风险。

通过给计划提供支持性的证明文件并授权合适的人做决策，应对偶发事件。必要时，可定期对计划进行检查，边检查边执行。

4、分担风险。将风险转移给资金雄厚的独立机构。

保险。在明确的风险战略的指导下，与资金雄厚的独立机构签订保险合同。

再保险。如有必要，可与其他保险公司签订合同，以减少投资风险。

转移风险。通过结盟或合资，投资于新市场或新产品，获取回报。

补偿风险。通过与资金雄厚的独立机构签订风险分担合同，补偿风险。

以目标设定为基础，企业在进行风险识别、风险分析之后，通过实施风险应对策略，排除了风险规避、风险分担和风险承受，凸显了风险降低，需要采取相应的措施，将风险控制在可承受范围之内。

配套指引中的系列应用指引明确企业至少应当关注的风险点，并经过风险识别、分析之后，结合应对策略，重点对风险降低作出了规定，即系列应用指引提出的各项控制措施。

风险评估广泛存在于企业经营管理活动中，贯穿并体现于每一项应用指引，从而有效地解决了风险评估的操作性问题。因此，没有必要单独规定风险评估应用指引。

四、关于控制活动

控制活动是指结合具体业务和事项，运用相应的控制政策和程序，或称控制手段实施控制。

《基本规范》第二十八条规定，企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。

（一）不相容职务分离控制

《基本规范》第二十九条规定，不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。不相容职务分离是企业内部控制基本的控制手段。

不相容职务是指那些不能由一个部门或人员兼任，否则可能弄虚作假或易于掩盖其作弊行为的职务。

一般情况下，企业的经济业务活动通常可以划分为申请、审批、执行、记录四个步骤。如果每一个步骤都由相对独立的人员或部门分别实施或执行，就能够保证不相容职务的分离。

一般应当加以分离的不相容职务有：授权审批职务与执行业务职务、执行业务职务与监督审核职务、执行业务职务与相应的记录职务、财物保管职务与相应的记录职务、授权批准职务与监督检查职务等。

做到不相容职务的分离，应当考虑以下几个方面：

一是每类经济业务的发生与完成，不论是简单还是复杂，必须经过两个或两个以上的部门或人员，并保证业务循环中的有关部门和有关人员之间进行检查与核对；

二是权力与职责应当明确地授予具体的部门和人员；

三是对于重要权力的行使必须接受定期独立的检查等。

（二）授权审批控制

《基本规范》第三十条规定，授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。

基本规范将授权分为常规授权和特别授权两种，明确要求制定常规授权的权限指引，对于特别授权，更是要对其范围、权限、程序和责任等四个方面作出严格界定，防止特别授权被滥用。

对于企业重大的业务和事项，要求实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。至于对重大的业务和事项的判定，需要企业根据本企业的经济业务情况具体确定。

1.授权批准的形式

按授权批准的形式，可以分为常规授权和特别授权。

（1）常规授权是对办理常规业务时权利、条件和责任的规定，是对企业日常经营管理活动中按照既定的职责和程序进行的授权。企业对于常规授权可以通过编制岗位职责手册、权限指引等方式予以公布，提高权限的透明度，加强对权限行使的监督和管理。

（2）特别授权是指企业在特殊情况、特定条件下进行的授权，通常是临时性的，如在洽谈投资、收购兼并、对外担保等重要经济业务中需要临时作出某项承诺，以及超过常规授权限制的交易，都需要特别授权。

2.授权审批控制的内容

授权批准控制的内容一般包括：

一是授权批准的范围。授权批准的范围通常包括企业所有常规性业务活动，从业务的预算编制、执行、业绩报告以及事后的考核等，均应授权相关岗位人员办理。

二是授权批准的层次。企业应当根据经济业务的重要性和金额大小确定不同的授权批准层次。应当根据具体情况的变化，不断对有关制度进行修正，适当调整授权层次。

三是授权批准的责任。

四是授权批准的程序，即规定每一类经济业务的审批程序，以便按照程序办理审批，避免越级审批或违规审批。

3.授权审批控制的实施

任何授权都应当以法律、法规和企业规章制度为依据，一方面需要避免权限过于集中，即所谓的“一支笔”制度，另一方面也要避免盲目授权，使有关人员逃避管理责任。授权一旦确定后，企业各级管理人员应当在授权范围内行使职权和承担责任。

（三）会计系统控制

《基本规范》第三十一条规定，会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。

会计系统控制主要是对企业发生的经济业务事项进行确认、计量和报告过程所实施的控制。

财务报告及相关信息真实完整是内部控制的重要目标之一。

《基本规范》第三十一条第二、三款对会计机构和会计人员作出规定，企业应当依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。

大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职权重叠的副职。

（四）财产保护控制

保证资产安全是《基本规范》规定的内控目标之一。

《基本规范》第三十二条规定，财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。

财产记录控制是指应当妥善保管涉及资产的各种文件资料，避免记录受损、被盗、被毁。

实物保管控制主要是限制接近控制和财产保险控制。

其中，限制接近即严格限制未经授权人员对资产的接触，只有经过授权批准的人员才能接触资产，同时还包括对授权使用和处置资产的文件加以限制。

财产保险控制主要是运用财产投保（如火灾险、盗窃险等），降低财产运行风险，确保财产安全。

定期盘点是指定期对实物资产进行盘点，并将盘点结果与会计记录进行比较。企业应当建立盘点制度，明确盘点流程和责任人，确保财产安全。定期盘点控制一般包括：

（1）定期与会计记录核对。实物资产盘点与会计记录核对一致在很大程度上保证了资产的安全。

（2）进行差异调查和调整。实物盘点结果与有关记录之间的差异应由独立于保管和记录职务的人员进行调查。

（五）预算控制

《基本规范》第三十三条规定，预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

1.设置预算管理委员会——内部控制机构

预算管理委员会，其成员由各重要职能部门经理组成，并吸收高层管理人员以及董事会、监事会成员组成主席团，主席团根据企业的战略目标制定最终的预算。各部门对部门预算负责，管理层对企业总体预算负责，分别形成管理层与各部门的考核标准。

2.确定预算目标——内部控制的直接目标

预算目标是企业战略的具体体现，它可以是财务指标，如净资产收益率、经济增加值；也可以是财务指标和非财务指标的结合。不同的预算目标反映了不同的企业价值取向。

3.预算的编制与实施——事前内部控制

预算编制是预算目标的具体落实，即将其分解为责任目标下达给各子公司的过程。预算的编制应以企业的预算目标为基础，尽量做到全面、系统、完整。凡与企业经营目标有关的经济业务和事项，均应通过预算加以反映，并要注意各项预算之间的协调平衡。

4.预算的执行与监控——事中内部控制

预算的控制作用主要体现在以下两个方面：①运用预算指标对各项生产经营活动进行日常控制，保证一切活动严格按预算执行；②环境等因素的变化使得原有的预算失去存在基础时所进行的预算调整。预算编制好以后，在企业内部就具备了“法律效力”，企业的各项经营活动都应根据预算进行。同时，预算执行过程中还应做好预算执行情况的记录，进行有关预算信息的收集与反馈。

5.预算的修订与考评——内部控制绩效的评价

为了保证预算的科学性和适用性，必须建立合理的预算调节机制。一般将预算调整分为两类：目标调整和内部调整。对前者应规定严格的限制条件，除了突发的特殊事项需要进行调整以外，一般每年只调整一次；后者属于企业内部资源的调整，并不影响企业的经营目标，调整频率可以适当增减。

在考核时，企业应适应员工不同层次的要求，采用多元化的奖惩方式，采用动态评价模式，这样做可以使之成为全体员工创造价值增值的动力。

（六）运营分析控制

《基本规范》第三十四条规定，运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

1.分析对象

应包括营运能力、偿债能力、盈利能力、筹资能力等。

2.信息收集

在进行运营情况分析时，应当充分收集与分析对象相关的信息.

3.分析方法

企业应选择适当的方法对信息加以分析，全面系统地评价企业的运营状况。常见的分析方法有因素分析法、对比分析法、比率分析法、趋势分析法等。

（七）绩效考评控制

《基本规范》第三十五条规定，绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

企业应建立一个有效的绩效评估体系，该绩效评估体系应当体现：

一是与企业战略目标的一致性。

二是目标的明确性。

三是可接受性，使得绩效考评系统能够被员工接受，同时公平地对待每一位员工。

四是考评结果要与被考评者的奖惩相挂钩，定期发布考评通报，考评结果要与员工的薪酬、职务晋升、评优、降级、调岗、辞退等相挂钩，树立正确的用人导向。

（八）重大风险预警和突发事件应急处理机制

《基本规范》第三十七条规定，企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制订应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

1.重大风险预警机制

重大风险往往影响到企业的生存和发展。对于可能影响经营活动的重大风险，应该建立预警机制。

2.突发事件应急处理机制

突发事件是指突然发生，造成或者可能造成重大人员伤亡，财产损失，危及企业生产经营的紧急事件。

事前预防是指采取有效的防范措施，尽可能防止突发事件的发生，包括对可能发生的突发事件相关信息进行收集、整理和分析，并根据分析结果进行规划，作出警示。

突发事件的应急处理是指发生有关事件后，企业内部的责任人员能够迅速作出反应并采取有效措施降低事件可能造成的损失和影响。

事后处理是指在突发事件处理结束后对原有状态的恢复，以及对相关部门或人员进行奖惩。

五、关于信息与沟通

《基本规范》第三十八条规定，企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。

信息与沟通是指企业及时、准确、完整收集整理与企业经营管理相关的各种内外部信息，并借助信息技术，促使这些信息以恰当的方式在企业各个层级之间进行及时传递、有效沟通和正确使用的过程。

（一）信息与沟通的基本要求

《基本规范》第三十九条规定，企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。

信息的有用性是指在规定的时间内，将正确的信息传递到正确的人手中。具体包括：

第一，信息的内容是恰当的；

第二，企业各级管理人员能够及时获取所需的各种内外部信息；

第三，向不同级别的管理人员汇报详细程度不同的信息；

第四，信息是最新的和容易获取的。

信息收集的内容包括内部信息和外部信息。

《基本规范》第三十九条第二款规定，企业内部可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。企业外部可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

信息的质量是影响企业管理决策科学性和正确性的重要因素。信息加工是对所收集的零散的、非系统的必须信息进行必要的筛选、整理和加工，确保信息的有用性。

《基本规范》第四十条规定，企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。

（二）充分发挥信息技术在信息与沟通中的重要作用

《基本规范》第四十一条规定，企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。

（三）反舞弊

《基本规范》第四十二条规定，企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

1.明确反舞弊工作的责任归属

审计委员会或董事会授权机构负责企业反舞弊的指导工作。企业管理层负责建立反舞弊机制，并组织实施反舞弊工作。企业应指定具体组织并执行反舞弊工作的部门，可以是审计、监察、内部控制部门等。

2.明确反舞弊工作的重点领域

《基本规范》第四十二条第四款规定了企业反舞弊工作的重点领域和关键环节，包括：未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益的行为；在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等行为；董事、监事、经理及其他高级管理人员滥用职权的行为；相关机构或人员串通舞弊的行为。

3.规范舞弊案件的举报、调查和报告程序

企业应当书面记录舞弊案件举报的主要内容，以供管理层、董事会及其审计委员会检查。

涉及管理层的举报案件，应当报公司董事会及其审计委员会批准后，再进行有关调查。对于实名举报案件，无论是否立项调查，企业都应当向举报人反馈调查结果。

有关舞弊案件的调查结果和反舞弊常设机构的工作报告应当及时向管理层、董事会及其审计委员会报告。

4.舞弊的补救措施和处罚

《基本规范》第四十三条规定，企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。

（1）举报投诉制度

举报投诉制度是指企业内部建立的、鼓励员工对企业内部各类违法或不当行为进行举报，并由专门机构对举报投诉内容进行调查处理的一系列政策、程序和方法。

（2）举报人保护制度

企业应当建立举报人保护制度，采取严密的事前、事中、事后保护措施，防止出现打击报复，造成举报人受到人身伤害、名誉损害或各种损失。

六、关于内部监督

内部监督是企业内部控制得以有效实施的机制保障，在内部控制构成要素中，具有十分重要的作用。需要说明的是，受成本效益原则影响，内部监督只能对内部控制有效性的合理结论提供支持。

内部监督与内部控制其他要素相互联系、互为补充，共同促进企业实现控制目标。

第一，内部监督以内部环境为基础，并与内部环境有极强的互动关系。

第二，内部监督与风险评估、控制活动形成了三位一体的闭环控制系统。

第三，内部监督离不开信息与沟通的支持。

《基本规范》第四十四条规定，企业应当制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。

（一）内部监督的机构及职责

按照监督主体的职责和性质，内部监督机构分为：

1.专职的内部监督机构

一般情况下，企业可以授权内部审计机构具体承担内部控制监督检查的职能。专职内部监督机构根据需要开展日常监督和专项监督，对内部控制有效性作出整体评价和提出整改计划，督促其他有关机构整改。

2.其他机构的监督职责

企业应当在组织架构设计与运行环节明确内部各机构、各岗位的内部监督关系，以便于监督职能的履行。内部各机构监督应在其职责范围内，承担内部控制相关具体业务操作规程及权限设计的责任，并在日常工作中严格执行。

（二）内部监督程序

内部监督的程序一般为：

1.建立健全内部监督制度。

2.实施监督，预防和发现内部控制缺陷。对内部控制建立与实施情况进行监督检查，最直接的动机是查找出企业内部控制存在的问题和薄弱环节。

3.分析和报告内部控制缺陷。内部控制缺陷的报告对象至少应包括与该缺陷直接相关的责任单位、负责执行整改措施的人员、责任单位的上级单位。

4.对内部控制缺陷的整改。

（三）内部监督的方法

《基本规范》将内部监督分为日常监督和专项监督。

1.日常监督

日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。实务中，按照监督的主体，一般分为管理层监督、单位（机构）监督、内部控制机构监督、内部审计监督等。

（1）管理层监督

董事会召开董事会议或专业委员会会议，获取来自经理层的风险评估与控制活动信息。

经理层召开经理办公会、生产例会、经济活动分析例会等，收集、汇总内部各机构的经营管理信息，持续监督内部各机构的工作进展、风险评估和控制情况。

董事会（或授权审计委员会）、经理层组织实施内部控制评价，听取内部控制评价报告，获取内部控制设计和运行中存在的缺陷，积极采取整改措施并督促整改，促进实现内部控制目标。

（2）单位（机构）监督

企业所属单位及内部各机构召开部门例会或运营分析会等，汇集来自本单位（机构）内外部的有关信息，分析并报告存在的问题，对日常经营管理活动进行监控。

企业所属单位及内部各机构对内部控制设计与运行情况开展自我测评，至少每年检查一次。

（3）内部控制机构监督

有条件的企业，应当设置专门的内控机构。

内部控制机构还可以通过控制自我评估的方法，召集有关管理层和员工就企业内控制度设计和执行中存在的特定问题进行面谈和讨论，同时可以通过开展问卷调查和管理结果分析等方式进行监督测试。

（4）内部审计监督

制定内部审计计划，定期组织生产经营审计、内部控制专项审计和专项调查等，并向董事会或经理层提出管理建议。

内部审计机构对审计中发现的违反国家法律法规和企业章程规定的事项提出审计建议，作出审计决定，并对审计建议和审计决定的落实情况进行跟踪监督。

2.专项监督

根据《基本规范》第四十四条第二款规定，专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化的情况下，对内部控制的某一或某些方面进行有针对性的监督检查。

专项监督的范围和频率取决于以下因素：

一是风险评估的结果。

二是变化发生的性质和程度。

三是日常监督的有效性。

专项监督一般包括三个阶段：

一是计划阶段，主要任务包括规定监督的目标和范围；

二是执行阶段，主要任务包括获得对业务单元或业务流程活动的了解；

三是报告和纠正措施阶段。

需要强调的是，企业内部控制（审计）机构、财务机构和其他内部机构都有权参与专项监督工作，也可以聘请外部中介机构参与其中，但参与专项监督的人员必须具备相关专业知识和一定的工作经验，且不得参与对自身负责的业务活动的评价。

（四）内部监督的要求

1.对监督人员的要求

负责监督的人员应具有胜任能力和客观性。一般而言，客观性依自我监督、同级监督、上级监督和完全独立监督而逐级增强。

2.监督应考虑的控制和信息的适当、充足程度

企业应根据风险评估，识别内部控制中的关键控制，收集判断内部控制有效性的有说服力的信息，从而进一步明确监督程序，以及需执行的频率。

关键控制应考虑以下因素：复杂程度较高的控制；需要高度判断力的控制；已知的控制失效；相关人员缺少实施某一控制所必需的资质或经验；管理层凌驾于某一控制活动之上；某一项控制失效是重大的，且无法被及时地识别并整改。

适当的信息必须是相关的、可靠的、及时的和充分的。

按照信息的相关性，可以分为两种：一种是直接信息，可以证实控制的运行情况，另一种是间接信息，是指在控制执行中可以表明其发生改变或无效的其他所有信息，这些信息包括但不限于：控制运行的统计数据；关键风险指标；关键绩效指标；行业同比数据。

信息的可靠性是指信息应当是准确的、可验证的、客观的（即无偏见信息的程度）。

信息的及时性是指信息必须在一定的时间范围内生成并使用，从而能够预防控制缺陷，或者在这些控制缺陷产生不利影响之前，就及时发现并予以整改。

信息的充分性是指针对某一控制点的业务记录中，有多少样本纳入了监督测试的范围。

（五）内部控制缺陷及自我评价报告

1.内部控制缺陷

所谓内部控制缺陷，是指内部控制的设计存在漏洞，不能有效防范错误与舞弊，或者内部控制的运行存在弱点和偏差，不能及时发现并纠正错误与舞弊的情况。根据《基本规范》第四十五条规定，内部控制缺陷包括设计缺陷和运行缺陷。

设计缺陷是指企业缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。

运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力导致无法有效地实施控制。

企业应当根据《基本规范》第四十五条规定，制定内部控制缺陷认定标准，从定性和定量等方面进行衡量，判断是否构成设计缺陷或运行缺陷，以及缺陷是属于一般缺陷、重要缺陷还是重大缺陷。

重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标；

重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标；

一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

内部监督中发现的重大缺陷，应当追究责任单位或责任人的责任。

企业应对发现的内部控制缺陷拟定整改工作方案，明确整改的目标、内容、程序、方法和时限要求，并跟踪其实施情况。

2.自我评价报告

《基本规范》第四十六条规定，企业应当结合内部监督情况，当期（一般于年度终了）对内部控制的有效性进行自我评价，出具或披露年度自我评价报告。

（六）内部控制文档记录与保管

《基本规范》第四十七条规定，企业应当以书面或者其他适当的形式妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。也就是说，内部控制建立与实施过程应当“留有痕迹”，内部控制文档不足本身也可视作为一项控制缺陷。按照内部控制要素分类，相关文档记录包括：

1.内部环境文档，一般包括组织结构图、权限体系表、岗位职责说明、员工守则、董事会和监事会成员履历、发展战略规划、企业文化手册、人力资源政策等。

2.风险评估文档，一般包括风险评估流程、风险评估过程记录、风险评估报告、风险矩阵等。

3.控制活动文档，一般包括系列应用指引中的各项流程控制文档，具体由企业经营活动实际情况确定。

4.信息与沟通文档，一般包括客户调查问卷、财务报告、经营分析报告、董事会及专业委员会会议、经理办公会议、财务例会等重要会议纪要、举报投诉记录等。

5.内部监督文档，一般包括往来款项询证函、资产盘点报告、审计计划、审计项目计划、年度内部审计工作总结、审计报告、审计意见书、审计决定书、整改情况说明材料、员工合理化建议记录、专项监督实施方案和过程记录、专项监督报告、内部控制自我监督检查及测试记录、内部控制自我评价报告等。

按照文档形成过程进行分类，相关文档也可分为控制的设计文档、执行文档和测试文档。设计文档应该按照“谁设计、谁保留”的原则，由设计责任部门保留，内部控制机构（部门）保留企业整体层面控制设计文档，部门和单位保留操作细则和本部门岗位职责和权限指引等，保存期限一般为10年；执行文档由执行机构保留，保存期限遵从有关专业要求；测试文档按照“谁测试、谁保留”的原则，由负责测试的部门保留，保存期限为一般10年。

七、关于附则

附则主要涉及三个方面的主要内容：一是关于解释权；二是关于配套办法；三是关于基本规范的实施时间。企业内部控制应用指引第1号——组织架构《企业内部控制应用指引第1号——组织架构》（以下简称《组织架构指引》）指出，组织架构是企业按照国家有关法律法规、股东（大）会决议、企业章程，结合本企业实际，明确董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。其中，核心是完善公司治理结构、健全企业内部管理体制和运行机制。

一、建立和完善组织架构的意义

第一，建立和完善组织架构可以促进企业建立现代企业制度。

第二，建立和完善组织架构可以有效防范和化解各种舞弊风险。

第三，建立和完善组织架构可以为强化企业内部控制建设提供重要支撑。

二、《组织架构指引》的主要内容

《组织架构指引》着力解决企业如何管控组织架构设计和运行中的风险。其主要内容包括：制定指引的必要性和依据，组织架构的本质、设计和运行过程中应关注的主要风险以及如何设计和运行组织架构等，分三章共十一条。

（一）组织架构的本质

关于组织架构的本质，可从治理结构和内部机构两个层面理解。

治理结构即企业治理层面的组织架构。它是企业成为可以与外部主体发生各项经济关系的法人所必备的组织基础，具体是指企业根据相关的法律法规，设置不同层次、不同功能的法律实体及其相关的法人治理结构，从而使得企业能够在法律许可的框架下拥有特定权利、履行相应义务，以保障各利益相关方的基本权益。

内部机构则是企业内部机构层面的组织架构。它是指企业根据业务发展需要，分别设置不同层次的管理人员及其由各专业人员组成的管理团队，针对各项业务功能行使决策、计划、执行、监督、评价的权力并承担相应的义务，从而为业务顺利开展进而实现企业发展战略提供组织机构的支撑平台。企业应当根据发展战略、业务需要和控制要求，选择适合本企业的内部组织机构类型。

治理结构与内部机构之间既有联系又有区别。

一般而言，治理结构主要服务于以下内部控制目标的实现：促进企业实现发展战略、保证经营合法合规；而内部机构则主要服务于另外三类控制目标，即保证企业资产安全、保证财务报告及其相关信息真实完整、提高经营效率和效果。

（二）组织架构设计和运行中的主要风险

关于组织架构设计和运行中的主要风险，组织架构指引分别从治理结构和内部机构两个角度作了描述。

1.从治理结构层面看，主要风险在于：治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

具体表现为：

第一，股东大会是否规范而有效地召开，股东是否可以通过股东大会行使自己的权利；

第二，企业与控股股东是否在资产、财务、人员方面实现相互独立，企业与控股股东的关联交易是否贯彻平等、公开、自愿的原则；

第三，对与控股股东相关的信息是否根据规定及时完整地披露；

第四，企业是否对中小股东权益采取了必要的保护措施，使中小股东能够和大股东同等条件参加股东大会，获得与大股东一致的信息，并行使相应的权利；

第五，董事会是否独立于经理层和大股东，董事会及其审计委员会中是否有适当数量的独立董事存在且能有效发挥作用；

第六，董事对于自身的权利和责任是否有明确的认知，并且有足够的知识、经验和时间来勤勉、诚信、尽责地履行职责；

第七，董事会是否能够保证企业建立并实施有效的内部控制，审批企业发展战略和重大决策并定期检查、评价其执行情况，明确设立企业可接受的风险承受度，并督促经理层对内部控制有效性进行监督和评价；

第八，监事会的构成是否能够保证其独立性，监事能力是否与相关领域相匹配；

第九，监事会是否能够规范而有效地运行，监督董事会、经理层正确履行职责并纠正损害企业利益的行为；

第十，对经理层的权力是否存在必要的监督和约束机制。

【例1】为符合上市要求和监管规定，某公司在形式上建立了董事会、监事会，聘任了总经理班子。但其董事长由集团公司法人兼任，是典型的“控股股东当家”。该公司的11名董事中，有9名来自大股东和公司内部，经理层人员普遍兼任董事会成员，形成事实上的“内部人控制”。董事会和经理层片面追求规模与业绩的扩张，对科学决策和资金运作中的“业务流程控制”既不明白也不重视，更不愿实施，最终该公司因经营失败和会计造假被取消上市资格。

2.从内部机构层面看，主要风险在于：内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮、运行效率低下。

具体表现为：

第一，企业内部组织机构是否考虑经营业务的性质，按照适当集中或分散的管理方式设置；

第二，企业是否对内部组织机构设置、各职能部门的职责权限、组织的运行流程等有明确的书面说明和规定，是否存在关键职能缺位或职能交叉的现象；

第三，企业内部组织机构是否支持发展战略的实施，并根据环境变化及时作出调整；

第四，企业内部组织机构的设计与运行是否适应信息沟通的要求，有利于信息的上传、下达和在各层级、各业务活动间的传递，有利于为员工提供履行职权所需的信息；

第五，关键岗位员工是否对自身权责有明确的认识，有足够的胜任能力去履行权责，是否建立了关键岗位员工轮换制度和强制休假制度；

第六，企业是否对董事、监事、高级管理人员及全体员工的权限有明确的制度规定，对授权情况是否有正式的记录；

第七，企业是否对岗位职责进行了恰当的描述和说明，是否存在不相容职务未分离的情况；

第八，企业是否对权限的设置和履行情况进行了审核和监督，对于越权或权限缺位的行为是否及时予以纠正和处理。

三、组织架构的设计

（一）组织架构设计的一般原则

至少应当遵循以下原则：一要依据法律法规；二要有助于实现发展战略；三要符合管理控制要求；四要能够适应内外环境变化。

1.符合法律法规要求。治理结构的设计必须遵循《中华人民共和国公司法》等法律法规的要求

2.符合发展战略要求。组织架构设计应当以企业发展目标和战略规划为中心和出发点，有利于企业形成核心竞争力。

3.符合管理控制要求。组织架构的设计应当考虑企业内部控制的需要。

4.符合内外环境要求。组织架构设计应当与企业的市场环境、行业特征、经营规模等相适应。

（二）治理结构的设计

1.治理结构设计的一般要求

企业治理结构的设计必须符合《公司法》及其他有关法律法规的要求，一般涉及股东（大）会、董事会、监事会和经理层。

股东（大）会是股东按照法定的方法和程序，决定投资计划、经营方针、选举和更换董事与监事并决定其报酬等重大事项的权力机构。

董事会是企业最高决策机构，接受股东（大）会委托，负责企业发展战略和资产经营，并在必要时撤换不称职的经理人员。

监事会是股东（大）会领导下的专司监督的机构，与董事会并立，依法监督企业董事、经理和其他高级管理人员履职情况。

经理层包括经理和其他高级管理人员，由董事会委任，具体负责企业生产经营管理工作。

从内部控制建设角度看，新设企业或转制企业如果一开始就在治理结构设计方面存在缺陷，必然会对其后的长远发展造成严重损害。

2.上市公司治理结构设计的特殊要求

上市公司具有重大公众利益，须对投资者和社会公众负责，为此，上市公司治理结构的设计，应当充分反映“公众性”特点。其特殊之处主要表现在：

一是独立董事制度。

上市公司董事会应当设立独立董事，独立董事由与其所受聘的上市公司及其主要股东不存在可能妨碍其进行独立客观判断的人员担任。独立董事不得在上市公司担任除独立董事外的其他任何职务。独立董事对上市公司及全体股东负有诚信与勤勉义务，应当按照有关法律法规和公司章程的规定独立履行职责，独立董事应独立履行职责，不受公司主要股东、实际控制人以及其他与上市公司存在利害关系的单位或个人的影响，从而切实维护公司整体利益，尤其关注中小股东的合法权益不受损害。

二是董事会专业委员会。

上市公司董事会应当根据治理需要，按照股东大会的有关决议设立战略决策、审计、提名、薪酬与考核等专门委员会。

其中，战略决策委员会主要负责制定公司长期发展战略，监督、核实公司重大投资决策等；

审计委员会主要负责检查公司会计政策、财务状况和财务报告程序，与公司外部审计机构进行交流，对内部审计人员及其工作进行考核，对公司的内部控制进行考核，检查、监督公司存在或潜在的各种风险，检查公司遵守法律、法规的情况等；

提名委员会主要负责分析董事会构成情况，明确对董事的要求，制定董事选择的标准和程序，广泛搜寻合格的董事候选人，对股东、监事会提名的董事候选人进行形式审核，确定董事候选人提交股东大会表决等；

薪酬与考核委员会主要负责制定董事、监事与高级管理人员考核的标准并进行考核，负责制定、审查董事、监事、高级管理人员的薪酬政策与方案等。

上述董事会各专业委员会，审计委员会、薪酬与考核委员会中独立董事应当占多数并担任负责人，审计委员会中至少还应有一名独立董事是会计专业人士。

审计委员会成员应当具备下列条件：一是独立性，独立董事占多数或全部；二是专业性，具备履行职责所必需的财务、审计、法律、市场等方面的知识经验，善于沟通协调，且有足够的精力和时间；三是道德性，具有良好的职业操守，有较强的责任感和怀疑精神。

【例3】某公司具备较为丰富的海外上市经验，并在多年的经营管理实践中逐步建立了一套完善的审计委员会制度，实施效果较好。该公司的审计委员会制度由五部分组成。

第一，关于设立。该公司早在上市之初即决定在董事会下设立独立的审计委员会。

第二，关于资格。审计委员会成员由董事会从独立董事中任命，至少由3人组成。审计委员会主席由董事会直接任命，董事会秘书出任审计委员会秘书。

第三，关于会议。审计委员会会议每年应至少召开2次。如外部审计人员认为必要，也可提议召开审计委员会会议。财务董事、内部审计负责人，以及外部审计代表应当出席审计委员会会议。其他董事会成员也有出席的权利。审计委员会与外部审计人员应当在执行董事不在场的情况下至少每年会谈1次。

第四，关于授权。董事会授权审计委员会调查其职权范围内的所有活动。审计委员会有权向任何员工收集任何需要的信息，所有的员工都应配合完成审计委员会提出的所有要求。董事会授权审计委员会可以获取外部法律专家或其他独立专家的建议，如果审计委员会主席认为必要，还应保证外部专家具备相关的经验和专长。

第五，关于责任。审计委员会的职责主要包括：考虑外部审计人员的任命、审计费，以及任何与辞退和解聘有关的问题；在审计开始前与外部审计人员一起讨论审计的性质和范围，当有一家以上的审计公司包括在内时，确保他们之间的相互协调；在财务报表报送给董事会之前，复核中报和年报，特别关注会计政策的变化、主要的主观判断部分、由于审计而产生的重大调整、持续经营假设、对会计准则的遵循情况、对有关法律法规的遵守；讨论在期中和期末审计中发现的问题和疑惑，以及任何审计人员可能希望讨论的问题；复核外部审计人员的管理建议书以及公司管理人员作出的反应；在董事会签字前复核公司的内部控制系统报告；复核内部审计方案，保证内部和外部审计人员间的协调，保证内部审计功能资源配置充分并且在公司中有恰当的地位；考虑在内部检查中的主要发现和管理人员的反应；其他董事会授权的职责。

自从该公司审计委员会成立，并在内部控制建立与实施方面有效履行职责以来，注册会计师对该公司的年度财务报告连续出具标准无保留意见，市场也从未发生质疑。

三是董事会秘书。

上市公司应当设董事会秘书，及由其负责管理的信息披露事务部门（即董秘办）。董事会秘书为上市公司高级管理人员，对上市公司和董事会负责，由董事长提名，董事会任免。

3.国有独资公司治理结构设计的特殊要求

国有独资公司是我国在利用公司制对国有企业进行制度创新过程中产生的，是我国社会主义市场经济体制中较为独特的一类企业群体，为此，其治理结构的设计应充分反映自身的特色。其特殊之处主要表现在：

第一，国有资产监督管理机构代行股东（大）会职权。国有独资公司不设股东（大）会，由国有资产监督管理机构行使股东（大）会职权。国有独资公司董事会可以根据授权部分行使股东（大）会的职权。

第二，国有独资公司董事会成员中应当包含职工代表。国有独资公司董事长、副董事长由国有资产监督管理机构从董事会成员中指定产生。

第三，国有独资公司监事会成员不得少于五人，其中职工代表的比例不得低于三分之一。

第四，外部董事由国有资产监督管理机构提名推荐，由任职公司以外的人员担任。

（三）内部机构的设计

内部机构的设计是组织架构设计的重要环节。只有切合企业经营业务特点和内部控制要求的内部机构，才能为企业实现发展战略提供积极的保障。具体包括：职能机构的设置、岗位职责的划分、权限体系的分配等。

1.职能机构的设置

常见的职能机构包括：规划、设计、采购、生产、销售、会计、审计、人事、法律、后勤等。

一般而言，内部职能机构的设置不宜过于复杂，相同或类似的职能应该由同一机构负责，从而有利于业务的开展、信息的沟通和权力的制衡；但对于不相容职能，必须严格设置不同的内部职能机构。

2.岗位职责的划分

企业应当对内部各职能机构的职责进行科学合理的分解，确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系。企业在确定职权和岗位分工过程中，应当着重体现不相容职务相互分离的控制要求。

所谓不相容职务，是指如果某一职务完全由一名员工担任，很可能为该员工实施舞弊行为提供便利，并且不利于外部及时发现这些舞弊。

企业根据不相容职务相互分离的原则划分岗位职责，还应关注董事和经理人员的交叉任职现象，比如董事长和总经理为同一人，董事会成员和经理层人员重叠等。虽然《公司法》并不排斥董事会成员兼任经理，但从内部控制角度出发，交叉任职违背了制衡性原则的要求，

3.权限体系的分配

组织架构指引明确规定，企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。

按照授权对象和形式的不同，授权分为常规授权和特别授权。常规授权一般针对企业日常经营管理过程中发生的程序性和重复性工作。

特别授权一般是由董事会给经理层或经理层给内部机构及其员工授予处理某一突发事件（如法律纠纷）、作出某项重大决策、代替上级处理日常工作的临时性权力。

特别授权应当有严格的限制，当企业出现以下情况时，方可办理特别授权：

（1）有一定职位或有批准权的员工在离开办公所在地，时间较长可能影响业务正常进行时，应由其书面授权其副职人员或相关下属人员来完成自己的某些职能。

（2）有一定职位或有批准权的员工，在涉及有个人利益冲突的事情，应由其直接上级或其本人书面授权其副职人员或相关下属人员来完成自己的某些职能。

（3）有一定职位或有批准权的员工，由于各种原因不能执行其职能时，由其直接上级或其本人书面授权其副职人员或相关下属人员来完成自己的某些职能。

（4）当发生偶发事件时，如果授权人认为有必要，由其书面授权其副职人员或相关下属在自己不在时，代替自己行使相应的权力。

（5）企业发生法律诉讼或处理其他重要公共事务时，可由企业董事会或总经理代表企业给律师、法律顾问、企业发言人或紧急情况处理小组予以适当的授权。

当发生以下情形时，企业应当立即终止授权：

（1）授权表中规定的授权期限到期后，如果授权人没有授权展期通知，则该授权便自动失效。被授权人有责任向授权人汇报被授权期间的工作和授权使用状况。

（2）授权的条件与预期相比发生变化，造成授权失去意义，由授权人发出授权终止的通知。

（3）被授权人由于各种原因不能很好地处理所授事项，授权人应及时终止授权。

（4）有证据表明被授权人不能公正处理工作，由相关处理人员提出建议，由授权人办理授权终止，如授权人不在，则由授权人的直接上级以上级别（含直接上级）有处理权限的人员办理授权终止。

（5）董事会达成新的决议并发布变更对高级管理人员任命通知，原有关授权便自动失效。

（6）被授权员工在授权期内离职或提出辞职申请，该授权应自其提出辞职或离职之日起自动失效。

（7）企业成立的特别委员会或工作团队完成特定工作后，其相关授权自动失效。

（四）对“三重一大”的特殊考虑

“三重一大”问题，即“重大决策、重大事项、重要人事任免及大额资金支付业务”问题。为此，组织架构指引明确要求，企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，必须按照规定的权限和程序实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策意见。

一般而言，“三重一大”事项应当包括下列内容：

第一，重大决策，一般包括企业的发展方向、经营方针，中长期发展规划等重大战略管理事项；资产损失核销、重大资产处置、利润分配和弥补亏损、增加和减少注册资本；年度生产经营计划、企业年度工作报告，财务预算、决算，从事高风险经营，以及内部机构设置、职能调整等重大生产经营管理事项；企业改制重组、兼并、破产、合并、分立、解散或者变更公司，国（境）外注册公司、投资参股、重大收购或购买上市公司股票；企业薪酬分配，以及涉及职工重大切身利益等重大利益调配事项；需要提交股东会、董事会审议决定的事项；有关企业全局性、方向性、战略性的其他重大事项。

第二，重大事项，一般包括年度投资计划和融资、担保项目；计划外追加投资项目；重大、关键性的设备引进和重要物资设备购置等重大招投标管理项目；重大工程承发包项目，以及其他重大项目的安排。

第三，重要人事任免，一般包括对本企业中层以上经营管理人员（包括重大项目负责人和重要管理岗位人员），以及所属二级子企业领导班子成员的选聘、任免；向控股、参股企业委派或更换股东代表（包括委派高级经营管理人员），推荐董事会、监事会成员；后备人才的管理；涉及本企业中层以上经营管理人员以及所属二级子公司领导班子成员的重要奖惩；其他人事任免相关的重要事项。

第四，大额资金使用，一般包括年度计划的大额度资金使用；较大额度预算外资金使用；较大额度的非生产性资金使用，以及重大捐赠、赞助；其他大额度资金使用。

四、组织架构的运行

组织架构的运行是指企业治理结构和内部机构按照既定的设计方案，行使各自权力和履行相应责任的动态过程。对组织架构运行的控制具体包括：组织架构的全面梳理和组织架构的评估调整。

（一）组织架构的全面梳理

对组织架构运行的控制，首先涉及对新设企业和存续企业治理结构与内部机构的全面梳理。为此，组织架构指引明确提出，企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。

1.治理结构的梳理

对治理结构的梳理，应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况，以及董事会、监事会和经理层的运行效果。

2.内部机构的梳理

对内部机构的梳理，应当重点关注内部机构设置的合理性和运行的高效性。

（1）内部机构设置的合理性

从合理性角度梳理内部机构的设置情况，应当重点关注内部机构设置对内外部环境的适应性，对实现发展目标的一致性，对内部分工的协调性，以及对权责分配的对等性等方面。

（2）内部机构运行的高效性

从高效性角度梳理内部机构的运行情况，应当重点关注职责分工的效率、权力制衡的效率和信息沟通的效率。

第一，职责分工的效率。

第二，权力制衡的效率。

第三，信息沟通的效率。

3.对母子公司组织架构梳理的特殊要求

组织架构指引强调：企业拥有子公司的，应当建立科学的投资管控制度，通过合法有效的形式履行出资人职责、维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。

（二）组织架构的评估调整

企业在对治理结构和内部机构进行全面梳理的基础上，还应当定期对组织架构设计和运行的效率与效果进行综合评价，其目的在于发现可能存在的缺陷，及时优化调整，使公司的组织架构始终处于高效运行状态。

常见的组织架构调整包括以下形式：

一是股权结构调整。

二是治理结构调整。

三是内部机构调整。企业内部控制应用指引第2号——发展战略什么都可以出错，战略不能出错；什么都可以失败，战略不能失败。

《企业内部控制应用指引第2号——发展战略》阐明了制定和实施发展战略的重要意义，明确了战略管理的流程和主要风险点，制定了战略分析、制定、实施、监控与调整各环节的控制措施，旨在防范和控制企业发展战略制定与实施中的重要风险，提高企业核心竞争力，推动企业健康可持续发展。

一、制定和实施发展战略的必要性

发展战略，是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的中长期发展目标与战略规划。企业制定和实施发展战略，具有十分重要的意义。

第一，发展战略可