2023年企业内部控制规范

企业内部控制规范

前序

21世纪初，由于美国出现的大量的财务丑闻，致使用国会2002年草

拟并通过了《萨班斯一一奥克斯利法案》即（SOX法案），对企业内部控制

作出了相应的规定，2006年美国国会正式启动该法案，要求在美国上市的

公司必须在2006年7月15日开始执行，也就是在当天，我国财政部别有

深意地发起了一个由财政部、证监会、审计署、银监会、保监会联合发起

共同参与的“企业内部控制标准委员会”（委员会主席是当时的财政部副部

长王军，成员包括来自监管部门、实务界和理论界的31位专家学者），标

志着我国内部控制国际化时代的到来，“中国版的SOX法案”即将出炉。

企业内部控制标准委员会于2007年3月2日公布了《企业内部控制

规范》（征求意见稿）；2008年6月28日，财政部等5部委公布了《企业内

部控制基本规范》,规定自2009年7月1日起先在上市公司范围内实施行，

鼓励其他非上市公司的大中型企业执行。随后又发发布了三个配套指引，

分别为《内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制

审计指引》内部控制基本规范及配套指引目录.docx。《基本规范》的发布，

标志着我国企业内部控制规范体系建设取得重大突破，被视为经企业会计

准则、审计准则之后的第三个重大里程碑。实施企业内部控制基本规范的

意义：

1、确立我国企业内部控制的基础框架。基本规范坚持立足我国国情、

借鉴国际惯例，科学界定了内部控制的内涵、目标、原则、要素，对企业

贯彻落实科学发展观、走长期可持续发展道路、促进经济健康运行、规范

资本市场秩序、完善现代企业制度起到提携全局的作用，也是是完善我国

会计法规制度、推动我国会计与国际市场的趋同的必然发展。

2、有利于提高财务信息质量，提升财务报告的有效性。健全的内部

控制，可以保证会计信息的采集、归类、记录和汇总过程，从而真实地反

映企业的生产经营活动的实际情况，并及时发现和纠正各种错误，从而保

证会计信息的真实性和准确性，体现资本市场“公开、公平、公正”的原

则、保护投资者合法权益具。

3、有效地防范企业经营风险。在企业的生产经营活动中，企业要达

到生存发展的目标，就必须对各类风险进行有效的预防和控制，内部控制

作为企业管理的中枢环节，是防范企业风险最为行之有效的一种手段。它

通过对企业风险的有效评估，不断加强对企业经营薄弱环节的控制，把企

业的各种风险消灭在萌芽之中，是企业风险防范的一种最佳方法。

4维护财产和资源的安全完整。健全和完善内部控制，能够科学有效

地监督和制约财产、物资的采购、计量、验收等各个环节，从而确保财产

物资的安全完整。同时，可以利用会计、统计、业务等各部门的规划及有

关报告，把企业的生产、营销、财务等部门的工作结合在一起，从而使各

部门密切配合，充分发挥整体作用，以顺利达到企业的经营目标。

5、促进企业提高经营效率和效益。健全有效的内部控制，可以利用

会计、统计、业务等各部门的制度规划及有关报告，把企业的生产、营销、

财务等各部门及其工作结合在一起，从而使各部门密切配合，充分发挥整

体的作用，同时，由于严密的监督与考核，能真实地反映工作实绩，再配

合合理的奖惩制度，便能激发员工的工作热情及潜能，从而提升企业经营

管理水平、盈利能力和持续发展能力，提高整个企业经营效率，增强公司

竞争力。

第一章总则

一、内部控制概述

（-）内部控制的定义

1、内部控制的一般定义

一般讲，内部控制是指企、事业单位和机关团体等为提高经营效率，充

分有效地获取和使用各种资源，达到既定的管理目标，而在内部实施组织管

理、计划管理和程序管理，促使各个经营环切充分发挥其相互制约、相互调

节作用的一种先进管理方法。其内容包括五个方面：（1）内部控制的主体（2）

内部控制的客体（3）内部控制的目标（4）内部控制的方法和手段（5）内

部控制的本质。

2、《企业内部控制基本规范》的定义（《基本规范》第三条）

内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实

现控制目标的过程。

（二）内部控制的目标

1、合法合规性；

2、资产安全性；

3、财务信息的真实完整性；

4、效率效果性；

5、战略实现性

（三）企业内部控制规范的适用范围（《基本规范》第二条）

凡是在中华人民共和国境内设立的大中型企业都必须遵照本规范建立

和实施内部控制。小企业和其他单位可以参照本规范建立与实施内部控制，

不作强制要求。

关于企业的划分标准，工信部、国家统计局、发展改革委、财政部研究

制定了《中小企业划型标准规定》。各行业划型标准.docx

二、企业内部控制的原则（《基本规范》第四条）

（一）全面性原则

（二）重要性原则

（三）制衡性原则

1、治理结构的制衡

2、机构设置及权责分配的制衡

3、业务流程的制衡

（四）适应性原则

（五）成本效益原则

三、企业内部控制的要素（《基本规范》第五条）

（一）内部环境

内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及

权责分配、内部审计、人力资源政策、企业文化等。

1、治理结构、机构人员设置及权责分配

（1）治理结构（2）机构人员设置及权责分配（3）议事规则（4）独

立董事制度。

2、内部审计

（1）审计委员会（2）内部审计机构设置和人员配备（3）内部审计机

构的职权（4）内部审计工作的独立性（5）内部审计机构与董事会或最高管

理层的关系（6）内部审计机构的管理。

3、人力资源政策

（1）岗位职责与人力资源需求计划（2）招聘、培训与离职（3）人力

资源考核政策（4）薪酬及激励政策。

4、企业文化

（1）现代管理理念和经营哲学（2）价值观和社会责任感（3）风险意

识（4）高级管理人员的职业操守和员工的行为守则。

5、法制观念

（1）法制教育（2）法律顾问制度（3）重大法律纠结案件备案制度。

（二）风险评估

风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相

关的风险，合理确定风险应对策略。

（三）控制活动

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制

在可承受度之内。

（四）信息与沟通

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，

确保信息在企业内部、企业与外部之间进行有效沟通。

（五）内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控

制的有效性，发现内部控制缺陷，应当及时加以改进。

四、企业内部控制的实施

（-）企业内部控制建立的思路（《基本规范》第六条）

企业应当根据有关法律法规、本规范及其配套办法，制定本企业的内部

控制制度并组织实施。

1、内控制度设计的步骤：

（1）分析流程；（2）分解流程；（3）分解作业；（4）风险评估；（5）

根据任务及风险评估结果，确定控制与控制点；（6）将任务落实到人，把握

授权制度；（7）运行、评价并修正。

2、内部控制制度总体设计思路：

（1）内部控制制度的设计应首先考虑企业的背景、战略和目标。

（2）实现内控制度目标的第一步是对内控制度执行进行计量或测试。

（3）内控目标的第二步是将内控制度执行情况计量或测试的结果与内

控制度进行比较，然后作出三项判断。

（4）设计时特别注意的两个问题

（5）控制者依据测试报告采取纠偏行动

（二）企业内部控制实施的配套措施

1、信息技术的运用和信息系统的建立（《基本规范》第七条）

企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系

统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控

制，减少或消除人为操纵因素。

2、激励约束机制的实施（《基本规范》第八条）

企业应当建立内部控制实施的激励约束机制，将各责任单位和全体员工

实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。

3、建立和实施监督检查和外部审计（《基本规范》第九、十条）

第九条规定：国务院有关部门可以根据法律法规、本规范及其配套办法，

明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监

督检查。

第十条规定：接受企业委托从事内部控制审计的会计师事务所，应当根

据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计,

出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审

计意见负责。

为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内

部控制审计服务。

第二章内制环境

一、内部环境概述

企业内部控制的内部环境包括公司的治理结构和议事规则、审计委员会、

内部机构设置、岗位职责、业务流程、内部审计、人力资源政策、职业道德

修养和专业胜任能力、企业文化、价值观和社会责任感、法制观念等。

二、治理结构、机构人员设置与权责分配

（-）治理结构（《基本规范》第十一条）

企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构

和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职

责分工和制衡机制。

1、股东（大）会

股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业

经营方针、筹资、投资、利润分配等重大事项的表决权。

2、董事会

董事会对股东（大）会负责，依法行使企业的经营决策权。

3、监事会

监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员

依法履行职责。

4、经理

经理负责组织、实施股东（大）会、董事会决议事项，主持企业的生

产经营管理工作，经理由董事会决定聘任或者解骋

（二）机构人员设置与权责分配（《基本规范》第十四条）

企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限,

将权利与责任落实到各责任单位。

企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位

职责、业务流程等情况，明确权责分配，正确行使职权。

1、机构人员设置的概述

企业的机构和人员设置是否科学合理将直接影响内部控制目标的实现,

所以机构和人员设置要坚持权责明确、相互制衡的原则。

2、权责分配概述

权现分配是在机构设置的基础上，设立授权方式，明确各机构部门和人

员的权利和所承担的责任。

3、机构设置与权责分配

企业应当根据经营目标、职能划分和管理要求，结合业务特点和内部控

制要求设置内部机构，明确各职能部门和分支机构以及基层作业单位的职责

权限，将权利和责任落实到责任单位，为内部控制的有效实施创造良好条件。

企业设置内部机构和岗位时，要实现不同机构和岗位之间的制衡。

(1)董事会

董事会负责内部控制的建立健全和有效实施，加强对本企业内部控制建

立和实施情况的指导和监督。

(2)监事会

监事会对董事会建立与实施内部控制进行监督。

(3)董事会专门委员会

上市公司董事会可能按照股东大会的有关决议，设立战略、审计、提名、

薪酬与考核等专门委员会。

(4)日常内部控制管理机构

经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构

或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。

4、人员设置与权责分配

企业应当根据经营目标、职能划分和管理要求，明确高级管理人员的职

责权限，将权利和责任分解到具体岗位，为内部控制的有效实施创造良好条

件。高级管理人员是指对企业决策、经营、管理负有领导职责的人员，包括

董事长、董事会成员、经理、副经理、总会计师等。

5、内部控制管理手册

企业应当通过编制内部管理手册、内部管理制度汇编、员工操作手册、

组织机构图、业务流程图、岗位描述和权限指引等适当方式，使全体员工了

解和掌握内部机构设置、岗位职责、业务流程等情况，促进企业各层级员工

明确职责分工，正确行使职权，并加强对权责履行的监督。

（三）议事规则

企业应当根据国家有关法律法规的规定，结合企业章程和实际情况，建

立规范的议事规则，促进企业内部控制的有效运行。

1、股东会议事规则

2、董事会议事规则

3、监事会议事规则

三、内部审计

（一）内部审计概述

国际内部审计师协会对内部审计的定义：“内部审计是一个组织内部建

立的一种独立评价活活动，并作为对该组织的活动进行审查和评价的一种服

务。”内部审计通过审查和评价经营活动及内部控制的真实性、合法性和有

效性来促使组织目标的实现。内部审计的主要目的是评价组织控制以确保揭

露组织潜在的风险和经浊高效地达到组织的目标和目的。

健全的内部审计机构、加强内部审计监督是营造守法、公平、正直的内

部环境的重要保证。内部审计机构是企业各项经济业务活动的检察官，他对

各项活动加以检查监督，可以有效防范风险。（《基本规范》第十五条）规定：

企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独

立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督

检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部

审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接

向董事会及其审计委员会、监事会报告。

（二）内部审计机构设置和人员配备

1、审计委员会

企业应当在董事会下设立审计委员会，并赋予审计委员会监督企业内部

控制建立和实施情况的相应职权。

2、内部审计机构设置和人员配备

企业的内部审计机构的组织领导体制，应依照法律规定和企业章程规定。

设立专门的内部审计机构的企业应当配备一定数量有执业资格的内部审计

人员与履行内部审计职能相适应的工作条件。未设立内部审计机构的企业，

应当由董事会授权或者企业章程规定的有关机构承担内部审计职责。

（三）内部审计工作的独立性

内部审计机构的独立性是指内部审计机构和人员在进行内部审计活动

时，不存影响内部审计客观性的利益冲突的状态。

1、内部审计机构应隶属公司董事会或最高管理层，接受其指导和监督

并取得其支持。

2、内部审计机构和人员应保持独立性，不得负责公司经营活动和内部

控制的决策和执行。

3、内部审计机构负责人的任免应由董事会或最高管理层经过适当的程

序确定，内部审计机构负责人应直接向董事会或最高管理层负责。

4、内部审计机构应制定内部审计章程，明确其职责和权限范围，并报

经董事会或最高管理层批准，以确保内部审计活动不受到公司内其他部门的

干涉和限制。

（四）内部审计机构的职权

1、内部审计机构的职权

内部审计机构应当依照法律规定和企业授权，结合内部审计监督，对内

部控制的有效性开展审计监督，进行监督检查。内部审计机构的工作范围不

应受到人为限制。

内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审

计工作程序进行报告；对监督检查中发现的内部控制重大缺陷或重大问题,

有权视具体情况直接向董事会及审计委员、监事会报告。

2、审计报告

审计报告是指内部审计人员根据审计计划对被审计单位实施必要的审

计程序后，就被审计单位经营活动和内部控制的适当性、合法性、有效性出

具的书面文件，也是对被审计单位经营活动及内部控制的适当性、合法性、

有效性所做出的相对保证。内部审计人员应在审计工作结束后，以经过核实

的审计证据为依据，形成审计结论和建议，出具审计报告。

四、人力资源政策

内部控制是由人来进行并受人的因素影响，保证组织所有成员具有一定

水准的诚信、道德观和能力的人力资源方针与实践，是内部控制有效的关键

因素之一。

人力资源政策包括岗位职责、人力资源计划、招聘、培训、离职、考核、

薪酬等一系列有关人事的活动和程序，旨在通过有形的具体的制度和措施来

影响并约束职工的行为方式。

《基本规范》第十六、十七条规定：企业应当制定和实施有利于企业可

持续发展的人力资源政策。企业应当将职业道德修养和专业胜任能力作为选

拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素

质。

(一)人力资源政策概述

1、人力资源政策的内容

企业的人力资源政策应当科学、规范、公平、公开、公正，有利于调动

员工在内部控制和经营管理活动中的积极性、主动性和创造性。人力资源政

策应当包括下列内容：

(1)员工的聘用、培训、辞退与辞职。

(2)员工的薪酬、考核、晋升与奖惩。

(3)关键岗位员工的强制休假制度和定期岗位轮换制度。

(4)掌握国家秘密或重要商业秘密的员工离岗的限制性规定。

(5)有关人力资源管理的其他政策。

2、选拔和聘用员工的重要标准

企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要

标准，并适当关注应聘者的价值取向和行为特征是否与本企业的企业文化和

内部控制的有关要求相适应。

3、员工培训和继续教育

企业应当重视并切实加强员工培训和继续教育，制定科学、合理的培训

计划，提高培训的针对性和实效性，不断提升员工的道德素养和业务素质。

4、激励约束机制

企业应当建立和完善针对各层级员工的激励约束机制，通过制定合理的

目标、建立明确的标准、执行严格的考核和落实配套的奖惩，促进员工责、

权、利的有机统一和企业内部控制的有效执行。

5、人力资源政策控制措施

(1)岗位职责和任职要求应当明确，人力资源需求计划应当合理；

(2)招聘及离职程序应当规范，培训工作应当以提高员工道德素养和

专业胜任能力为目标；

(3)人力资源考核制度应当科学合理，应能引导员工实现企业经营目

标；

(4)薪酬制度应当能保持和吸引优秀人才，薪酬发放标准和程序应当

规范。

(二)岗位职责与人力资源计划

1、岗位职责

(1)岗位说明制度

企业应当建立岗位说明制度，明确所有岗位的主要职责、资历、经验要

求等，并定期组织内部各单位、各部门人员对工作岗位进行分析，确保各岗

位配备胜任的人员，避免因人设岗。

(2)岗位责任制

企业应当按照权责一致的原则，建立并实行定岗、定人、定责、定奖

罚的岗位责任制，明确岗位职责及其分工情况，确保不相容岗位相互分离、

制约和监督。

(3)岗位保密协议

对于在产品技术、市场、经济、管理等方面涉及或掌握企业知识产权、

专有技术、商业秘密等的工作岗位，如有必要，企业可以与该岗位工作人员

签订有关岗位保密协议，明确其特殊的权利和义务。

(4)人力资源政策反映渠道

企业还应建立良好的人力资源政策反映渠道，确保有关人力资源政策建

议得以传递和落实，保证人力资源运用效率的提高和人员任用的公平合理。

(5)轮岗制度或强制休假制度

企业可以根据自身经营管理实践经验，对某些控制薄弱、易发生舞弊行

为的岗位实行轮岗位制度或强制休假制度。

2、人力资源计划

人力资源计划有狭义和广义之分。狭义的人力资源计划是指提供具体的

人力资源的行动计划。广义的人力资源计划包括预测企业未来的人力资源供

求状况、制定行动计划及控制和评估计划。企业的人力资源计划的目标是确

保企业在需要的时候和需要的岗位上能及时得到各种需要的人才，使企业人

才在数量、质量、层次和结构上均达到最优。

(三)招聘、培训与离职

企业应当规范招聘及离职的程序，应当以提高员工道德素养和专业胜任

能力为目标开展培训工作。企业应当净职业道德素养和专业胜任能力作为选

拔和聘用员工的重要标准，并适当关注应聘者的价值取向和行为特征是否与

本企业的企业文化和内部控制的有关要求相适应，并应当重视和加强员工培

训计划，提高培训的针对性和实效性，不断提升员工的道德素养和业务素质。

企业员工在工作过程中因个人原因提出辞职申请时，应当根据劳动合同

规定的时间要求提前向有关部门或人员提交辞职报告，并按照企业要求和技

术保密协议规定办理有关离职交接手续。企业董事、经理、总会计师等高级

管理人员提出的辞职申请，企业董事会应当组织离任审计小组对其进行离任

审计，对于其他管理人员的离任审计由企业经理根据实际需要确定。

（四）人力资源考核政策

人力资源考核政策应当科学合理、应能引导员工实现企业经营目标。企

业应当制定科学合理的人力资源考核制度，对员工履行职责、完成任务的情

况实施全面、公正、准确的考核，客观评价员工的工作表现，引导员工实现

企业经营目标。企业应当对各层级员工建立明确的标准，执行严格考核和落

实配套的奖惩，促进员工责、权、利的有机统一和企业内部控制的有效执行。

（五）薪酬及激励政策

企业的薪酬及激励政策的合理性在吸引人才、留住人才、激励人才、满

足组织需要等方面具有十分重要的作用。企业应当规范薪酬发放标准和程序,

建立和完善针对各层级员工的激励约束机制，促进员工责、权、利的有机统

一和企业内部控制的有效执行。

1、薪酬制度设计原则

（1）按劳分配原则；（2）激励适度原则；（3）互促互进原则。

2、薪酬组成

（1）基本工资；（2）绩效工资；（3）年终奖励；（4）其他薪酬。

3、薪酬发放审核制度

企业应当根据有关法律法规、国家统一会计制度的规定，准确确认、计

量并发放员工薪酬，并对薪酬发放的真实性、合规性和准确性进行严格审核,

以防虚报冒领等行为。在发入薪酬的同时，企业应当向员工提供薪酬清单,

供员工核对确认。

4、薪酬制度评价机制

企业应当制定薪酬制度评价机制，及时对薪酬制度的合理性及执行效果

进行评价，并根据评价结果修订完善。

五、企业文化

企业文化是指企业在经营管理过程中形成的、影响企业内部环境和内部

控制制度效力的精神、意识和理念，主要包括企业整体价值观、高级管理人

员的管理理念、经营哲学和职业操守，员工的行为守则等。

一个企业的企业文化、价值观和社会责任感是影响企业决策和企业活动

的最基础的要素，它影响企业所有的活动，更影响企业的内部控制，是内部

控制的重要内部环境。《基本规范》第十八条规定：企业应当加强文化建设，

培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新

和团队协作精神，树立现代管理理念，强化风险意识。董事、监事、经理及

其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守

员工行为守则，认真履行岗位职责。

(-)企业文化概述

企业文化是企业在一定的社会历史条件下，在长期的生产经营和管理活

动中创造出来的具有本企业特色的精神财富和物质形态。它包括价值观念、

社会责任感、企业精神、管理理念、经营哲学与道德规范等，内容极为丰富。

企业文化的核心是企业的价值观。

企业文化是企业的灵魂，是推动企业发展的不竭动力，企业文化也是企

业的美德所在，具有鲜明的的企业特色

（二）价值观和社会责任感

1、价值观和企业价值观

价值观简单地说，就是关于价值的观念，它是客观的价值体系在人们主

观意识中的反映，是价值主体对自身需要的理解以及对价值客体的意义和重

要性的总的看法和根本观点。

企业价值观：企业的行为和人的行为一样要受价值观的支配，这就是企

业价值观。企业价值观是一种以企业为主体的价值观，是企业人格化的产物,

它是企业在经营过程中，全体员工一致认同、推崇和奉行的基本信念和基本

行为准则，是企业进行价值评价、决定价值取向的内在依据，体现着一个

企业的基本理念和信仰，反映企业内部衡量事物重要程度及是非优劣的根本

标准，因而当之无愧地成为企业文化的核心。

2、社会责任感

在当代社会中，企业实际上已经成为多种社利益的交汇点，直接影响着

社的稳定与发展。企业不能只谋取自身利益，还要肩负兼顾各方面利益的社

会责任。

责任是一种担当，责任更是一种力量。责任不仅能够推动一个企业的成

长和壮大，更将推动一个民族的发展和进步。

3、诚实守信、爱岗敬业、开拓创新和团队协作精神

（三）风险意识

1、企业风险和风险意识

企业风险是指企业在其进行生产经营过程中，由于不确定因素和经营失

误的影响，而遭受损失的程度与可能性。从产生角度来说分为内部风险和外

部风险。

由于企业风险具有突发性、多变性、和无形性，因此企业风险的的发生

往往会给企业的生产经营带来巨大影响，并可能造成难衡量和弥补的损失。

由于企业风险是客观存在的，企业的风险意识就是企业对风险的客观性和普

遍性的警醒和觉悟.，它来自企业对经营环境的真实认知，是一个成功企业不

可缺失文化基因。

2、企业强化风险意识的措施

（1）将风险意识变成企业上下共同的理念；（2）建立风险管理培训制

度。

（四）高级管理人员的职业操守和员工的行为守则

高级管理人员应当恪守以诚实守信为核心的职业操守，不得损害投资者、

债权人、客户、员工和社会公众的利益。

企业员工应当遵守员工行为守则，加强职业道德修养和业务学习，自觉

遵守与企业内部控制有关的各项规定，勤勉尽责。

六、法制观念

《基本规范》第十九条规定：企业应当加强法制教育，增强董事、监事、

经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依

法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。

（一）法制教育

企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和

员工的法制观念，严格依法决策、依法办事、依法监督。高级管理人员有责

任在企业范围内培育遵规守纪精神。

（二）法律顾问制度

法律顾问制度对于维护企业的合法权益，促进企业依法经营管理、加强

内部监督和风险控制都有重大影响和重要意义。

（三）重大法律纠纷案件备案制度

企业应当依法独立处理法律纠纷案件，加强重大法律纠纷案件的管理,

建立健全有关规章制度和有效防范法律风险的机制。

第三章风险评估

每个企业都面临来自内部和外部的不同风险，内部控制的目的就是要控

制这些风险。管控风险首要的就是要对这些风险加识别、评估，在评估的基

础上进行风险应对策略。

《基本规范》第二十条规定企业应当根据设定的控制目标，全面系统持

续地收集相关信息，结合实际情况，及时进行风险评估。

《基本规范》第二十七条规定企业应当结合不同发展阶段和业务拓展情

况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整

风险应对策略。

一、风险评估概述

（一）风险

1、风险的含义

风险是指在一定的客观情形之下，在某一特定期间内，那些可能发生的

结果之间的差异。这种差异是实际结果与预期结果的变动程度。所谓风险大,

应是这种变动程度大；风险小，就是指这种变动程度小。基本规范涉及的风

险是指对实现内部控制目标可能产生负面影响的不确定因素。

内部控制有三大主要目标：运营的效率和效果、财务报告的可靠性及法

律法规的遵循性。内部环境、风险评估、控制措施、信息与沟通以及监督检

查均服务于三大目标。

2、风险的特征：偶然性、可变性、客观性

(二)风险评估

风险评估是指及时识别、科学分析影响企业内部控制目标实现的各种确

定因素，同时采取应对策略的过程。要对识别的风险进行分析，形成风险管

理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也

要对剩余风险进行评估，评估要考虑到风险的可能性和影响。

风险评估要按照一定的程序进行，有目标设定、风险识别、风险分析、

风险应对四个步骤。

二、控制目标

《基本规范》第二十条规定企业应当根据设定的控制目标，全面系统持

续地收集相关信息，结合实际情况，及时进行风险评估。目标设定是进行其

他程序的前提。在管理当局识别和分析风险并采取行动管理风险之前，首先

必须有目标，目标是有层级的，可以分为战略目标和具体目标。

(-)战略目标

战略目标明确了企业存在的意义和价值，所以管理当局设定战略目标,

进行战略规划，并为组织确定具体目标。

（二）具体目标

1、财务报告目标

一份可靠的财务报告为管理者提供适合既定目标的准确而完整的信息。

它支管理者的决策并对主体活动进行监控。

2、经营目标

经营目标与企业经营的有效性相关，设立经营目标的目的在于在推动主

体实现最终目标的过程中提高经营的有效性和效率。经营目标需要反映主体

所处的特定的经营、行业和经济环境。

3、合规性目标

法律法规确定了最低的行为准则，企业从事活动必须符合相关的法律和

法规，同时企业的合规记录可能会对它在市场和社会上的声誉产生极大的正

面或负面影响。

三、风险识别

（一）内险识别的必要性

企业要进行风险管理，首先必须明确风险在哪里。倘若不能准确地确认

风险所在，就无法分析及预测企业危机，当然也无从制定对策以控制风险。

因此，风险识别是风险管理的第一个步骤。

《基本规范》第二十一条规定，企业开展风险评估，应当准确识别与实

现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受

度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受

风险水平。

(二)风险识别及其内外部因素

1、风险识别的含义

风险识别是指识别所有可能对组织产生负面影响的损失风险，即找出影

响预目标实现的主要风险。识别过程包括两个阶段：首先是风险的辨识，找

出各种风险及其存在之处；其次是对风险进行分析，主要分析引起风险的各

咱原因和可能结果。

风险识别的主要目的不仅要帮助企业认识和发现风险，还要为企业提供

如何管理风险的思路。具体而言，就是要发现潜在的风险隐患，使企业能及

时采取措施，防患于未然；充分了解和认识造成风险隐患的原因和过程，便

于企业采取适当的技术和手段控制风险损失发生或者降低损失的程度；初步

判断这些隐患对企业造成的影响，便于管理层引起重视并做出决策：是否应

采取恰当的、有效的措施来控制风险。只有充分地识别风险，才能有效地控

制风险。

2、风险识别的内部因素

《基本规范》第二十二条规定企业识别内部风险应当考虑下列因素:

(1)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜

任能力等人力资源因素。

(2)组织机构、经营方式、资产管理、业务流程等管理因素。

(3)研究开发、技术投入、信息技术运用等自主创新因素。

(4)财务状况、经营成果、现金流量等财务因素。

(5)营运安全、员工健康、环境保护等安全环保因素。

（6）其他有关内部风险因素。

2、风险识别的外部因素

《基本规范》第二十三条规定企业识别外部风险应当考虑下列因素:

（1）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因

素。

(2)法律法规、监管要求等法律因素。

(3)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会

因素。

（4）技术进步、工艺改进等科学技术因素。

（5）自然灾害、环境状况等自然环境因素。

（6）其他有关外部风险因素。

（三）风险识别的基本原则

在风险识别的过程中，需要遵循系统性、连续性、全面性的原则。

（四）风险识别的方法

1、基本方法：风险清单法

风险清单是指由专业人员设计好的标准表格和问卷，上面非常全面地列

出了一企业可能面临的风险。

优点：经济方便，适合新公司、初次想构建风险管理制度的公司或缺乏

专业风险管理人员的公司使用，这些表格可能帮助他们系统地识别出最基本

的风险，并除降低忽略重要风险源的可能性。

局限：（1）针对性较差；（2）未涉及投机风险。

2、辅助方法：（1）财务报表分析法；（2）流程图分析法；（3）事故树

分析法；（4）现场调查法；（5）问卷调查法；（6）组织图分析法；（7）因果

图分析法。

（五）如何准确识别影响企业内控目标实现的风险因素

1、内部因素：（1）人力资源因素；（2）管理因素；（3）自主创新因素;

（4）财务因素；（5）安全环保因素。

2、外部因素：（1）经济因素；（2）法律因素；（3）社会因素；（4）科

学技术因素。

四、风险评估

（一）风险评估概述

风险评估是在风险识别的基础上对风险进行计量、分析、判断、排序的

过程一，是风险应对主要依据。

《基本规范》第二十四条规定，企业应当采用定性与定量相结合的方法,

按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确

定关注重点和优先控制的风险。

企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照

严格规范的程序开展工作，确保风险分析结果的准确性。

（二）风险评估方法

在风险评估过程中，不同阶段所使用的风险评估方法也不同，不论采用

何种方法来进行风险评估，无论是基于固有风险还是剩余风险的评估，都主

要从损失频率（可能性）以及损失程度（影响）两个方面进行。

1、损失频率（可能性）的评估方法：定性分级法和概率测算法。

2、损失和度的评估方法：损失程度衡量实际是就是对损失的严重性进

行估算。公司在确定损失的严重程度时，必须考虑第一特定风险可能造成

的各类损失及其对企业财务及总体经营的最终影响，既要评估潜在的直接损

失，也要估计潜在的间接损失。

（三）几种常见的企业风险

1、人身风险

2、财产风险：分动产和不动产两种

3、责任损失风险

五、风险应对

（一）风险应对概述

在风险识别、风险评估之后，接下去就是要研究如何有效地控制这些风

险，以达到减少事故发生的概率和降低损失程度的目的。风险应对就是在风

险识别和风险衡量的基础上，针对企业所存在的风险因素，对已经识别的风

险进行定性分析、定量分析和进行风险排序，制定相应的应对措施和整体策

略，以消除风险因素或减少风险因素的危险性。在事故发生前，降低事故的

发生概率；在事故发生后，将损失减少到最低限度，从而达到降低风险单位

预期财产损失的目的。因此风险应对的本质是减少损失概率或降低损失程度。

《基本规范》第二十五条规定，企业应当根据风险分析的结果，结合风

险承受度，权衡风险与收益，确定风险应对策略。

企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗

位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营

带来重大损失。

（二）风险应对的策略

《基本规范》第二十六条规定，企业应当综合运用风险规避、风险降低、

风险分担和风险承受等风险应对策略，实现对风险的有效控制。

1、风险规避

(1)风险规避的内涵：风险规避是企业对超出风险承受度的风险，通

过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。其实质

是退出会产生风险的活动

(2)风险规避的适用性。

企业在采用风险规避来处风险时必须考虑的几个因素：第一，欲避免某

种风险也许不可能，对企业而言，有些风险如世界性的经济危机、能源危机

绝对难以避免；第二、采用避免风险在经济上也不适当，对某些风险即使可

以避免，但就经济效益而言也许不合适；第三，避免了某一风险有可能另外

产生新的风险。

基于上述因素，最适合采用风险规避办法的情况有两种：第一、某种特

定风险所致的损失概率和损失程度相当大；第二，应用其他风险处理技术的

成本超过其产生的效益，采用风险规避方法可使用企业受损失的可能性等于

零。

2、风险降低

(1)风险降低的涵义

所谓风险降低是指企业对不愿放弃也不愿转移的风险，通过降低其损失

发生的概率，缩小其损失程度来达到控制目的的各类控制技术和方法。

基本规范规定：风险降低是企业在权衡成本效益之后，准备采取适当的

控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。

(2)风险降低的分类

A、依目的不同可划分为损失预防和损失抑制两种；

B、依所采取的措施性质划分可分为工程物理法和人们行为法两种；

C、按照执行时间划分可分为损失发生前、损失发生时、损失发生后三

种。

3、风险分担

(1)风险分担的涵义

风险分担是指通过转移来降低风险的可能性或影响，或者分担一部分风

险。

基本规范规定：风险分担是企业准备借助他人力量，采取业务分包、购

买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。

(2)风险分担的分类：财务型风险转移和非财务型风险转移

4、风险承受

风险承受又叫风险承担，是指经济单位自己承担由风险事故所造成的损

失。

基本规范规定：风险承受是企业对风险承受度之内的风险，在权衡成本

效益之后，不准备采取控制措施降低风险或者减轻损失的策略。

5、风险利用

第四章控制活动

一、控制活动概述

（一）控制活动

控制活动是指企业根据风险评估结果，结合风险应对策略，确保内部控

制目标是以实现的方法和手段。

（二）风险控制

风险控制就是使用风险降低到企业可以接受的程度，当风险发生时，不

至于影响企业的正常业务运作。

（三）《基本规范》对企业内部控制活动的要求

《基本规范》第二十八条规定，企业应当结合风险评估结果，通过手工

控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制

措施，将风险控制在可承受度之内。

控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控

制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

《基本规范》第三十六条规定，企业应当根据内部控制目标，结合风险

应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

《基本规范》第三十七条规定，企业应当建立重大风险预警机制和突发

事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件,

制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善

处理。

二、不相容职务分离控制

（-）不相容职务分离的含义

不相容职务是指集中于一人办理时发生差错或舞弊的可能性就会增加

的两项或几项职务。

《基本规范》第二十九条规定，不相容职务分离控制要求企业全面系统

地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成

各司其职、各负其责、相互制约的工作机制。

(二)不相容职务分离控制

不相容职务分离是企业内部控制最基本的要求，是保证提高经营效率、

保护财产安全以及增强会计数据可靠性的重要条件。

(三)企业中的不相容职务分离

1、企业中不相容职务一般包括：授权审批职务与申请职务、授权审批

职务与执行业务职务、执行业务职务与监督审核职务、执行与会计记录业务

职务、财务保管与会计记录职务、明细账与总账记录职务、执行业务职务与

财产保管职务、财产保管职务与财产核查职务等。

2、企业经济业务活动中常见的几种不相容职务分离

(1)经济业务处理的分工；

(2)资产记录与保管的分工；

(3)各个职能部门具有相对独立性。

三、授权审批控制

(一)授权审批

授权审批是指企业在处理经济业务时，必须经过授权批准才能执行，以

便进行控制。授权批准按其形式可分为常规性授权和物特别授权。

(-)授权审批控制

1、《基本规范》对企业授权审批控制的要求

《基本规范》第三十条规定，授权审批控制要求企业根据常规授权和特

别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责

任。

企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序

和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中按照

既定的职责和程序进行的授权。

特别授权是指企业在特殊情况、特定条件下进行的授权。

企业各级管理人员应当在授权范围内行使职权和承担责任。

企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任

何个人不得单独进行决策或者擅自改变集体决策。

2、授权审批控制的内容：（1）授权批准的范围；（2）授权批准的层次;

（3）授权批准的责任；（4）授权批准的程序。

（三）企业在执行授权审批制度时应遵循的原则

1、有关事项必须经过授权批准，且在业务发生之前；

2、授权批准责任一定要明确；

3、所有过程都必须有书面证明；

4、对于越权行为一定要有相应的惩罚制度。

四、会计系统控制

（一）会计系统控制概述

会计系统是一企业管理系统的核心之一，首先，它通过记录和报告历史

经济业务来反映企业的财务状况、经营成果和现金流量情况；其次，这些信

息为企业经营决策和与企业利益相关的外部使用者的投资决策提供依据。真

实、完整的会计信息对企业来说是非常重要的，它是企业能否进行有效经济

分析和准确预测和决策的基础。

内部控制是会计信息真实、可靠的制度保障和前提。

（二）《基本规范》对企业会计系统控制的要求

《基本规范》第三十一条规定，会计系统控制要求企业严格执行国家统

一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会

计报告的处理程序，保证会计资料真实完整。

（三）会计系统内部控制的目标

会计系统内部控制的目标是通过对财产物资保管和会计信息等控制对

象制定一系列控制方法、措施和程序所要达到的最终目的和要求，它是建立、

完善会计系统内部控制，以及有效实施会计系统内部控制的指南。会计系统

内部控制应达到的基本目标：

1、规范企业会计行为，保证会计资料的真实完整性；

2、堵塞漏洞、消除隐患，防止并及时发现、纠正错误及舞弊行为，保

护企业的资产安全、完整；

3、确保企业贯彻执行国家有关法律法规和企业的规章制度。

（四）会计系统内部控制的原则

1、合法性与实用性相结合；

2、全面约束与权利控制结合；

3、全面控制与关键点控制相结合；

4、岗位职责与不相容职务分离相结合；

5、控制成本与控制效果相结合。

（五）企业就依法设置会计机构并配备合格的会计人员

《基本规范》第三十一条规定，企业应当依法设置会计机构，配备会计

从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负

责人应当具备会计师以上专业技术职务资格。

大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职

权重叠的副职。

（六）会计系统控制的主要方法

1、会计凭证控制

会计凭证控制内容主要包括：（1）严格审查；（2）设计科学的凭证格式;

（3）连续编号；（4）规定合理的凭证传递程序；（5）明确凭证装订与保管

手续。

2、会计账簿控制

具体内容包括：（1）按照规定设置会计账簿；（2）启用会计账簿时要填

写“启用表”；（3）会计凭证必须经过审核无误后才能够登记入账；（4）对

会计账簿中的账页或账户连续编号；（5）会计账簿应按照规定的方法和程序

进行登记并进行错误更正；（6）按照规定的方法与时间结账。

3、财务报告控制

具体内容包括：（1）按照规定的方法与时间编制及报送财务报告；（2）

编制的会计报表必须由单位负责人、总会计师以及会计主管人员审阅、签名

并盖章。（3）对报送给各有关部门的会计报表要装订成册，加盖公章。

4、会计复核控制

五、财产保护控制

（一）财产保护控制概述

企业的财产可以分为两大类，有形资产和无形资产。

《基本规范》第三十二条规定，财产保护控制要求企业建立财产日常管

理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等

措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。

（二）企业财产保护控制制度：资产收发制度、资产保管制度、定期盘

点制度、资产处置制度。

六、预算控制

（一）预算控制的概述

预算控制是内部控制的重要组成部分，其内容涵盖企业活动的全过程,

预算控制是指对单位各项经济业务编制详细的预算或计划，并通过授权，由

有关部门对预算或计划执行情况进行控制。

《基本规范》第三十三条规定，预算控制要求企业实施全面预算管理制

度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下

达和执行程序，强化预算约束。

（二）预算控制的基本要求

1、所编制的预算必须体现单位的经营管理目标，并明确责权；

2、预算在执行中应当允许经过授权批准对预算进行调整，以使预算更

加符合实际；

3、应当及时或定期反馈预算执行情况。

（三）预算控制的主要内容

1、岗位分工与授权批准

2、预算编制控制

3、预算执行控制

4、预算调整控制

5、预算分析与考核控制

七、运营分析控制

(-)运营分析控制概述

运营分析控制就是通过对企业购销、生产、仓储、运输、融投资等运营

活动的信息加以分析、从中发现偏离目标的方向，有针对性地采取措施加以

控制。

《基本规范》第三十四条规定，运营分析控制要求企业建立运营情况分

析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，

通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现

存在的问题，及时查明原因并加以改进。

(二)明确运营分析控制的对象

1、筹资能力

筹资能力是指企业筹集生产经营所需资金的能力，包括内部筹资能力和

外部筹资能力。

2、偿债能力

偿债能力是指企业偿还各种到期债务的能力，主要包括短期偿债能力和

长期偿债能力。

3、营运能力

营运能力反映了企业的资金周转状况。

4、资产管理水平

资产管理水平是指企业资产的利用状况。

5、盈利能力

盈利能力就是企业赚取利润的能力。

6、综合分析

7、趋势分析

（三）收集充分的信息

（四）选择适当的分析方法

1、因素分析法

2、对比分析法

3、比率分析法

4、趋势分析法

5、综合分析法

（五）选择合适的执行主体（建立一个分析小组）

八、绩效考评控制

（一）绩效考评控制概述

绩效考评是指运用科学方法，对企业或其各分支机构一定经营期间的生

产经营状况、资本运营效益、经营者业绩等进行定量与定性的考核、分析，

作出客观、公正的综合一应评价。

《基本规范》第三十五条规定，绩效考评控制要求企业建立和实施绩效

考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业

绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、

评优、降级、调岗、辞退等的依据。

（二）科学设置绩效考核指标

绩效考核指标必须包括三个要素：（1）指标名称，即考核的内容和对象;

（2）指标量度；（3）指标定义，即对指标的内在性质及范围等面的内容进

行界定和说明，避免考评双方理解上差异。

1、设定绩效考核指标时应遵循的原则

（1）与战略目标一致

（2）定议明确

（3）可测量性

（4）界限分明

（5）针对性

（6）定性与定量相结合

（7）公平

（8）因地制宜

2、绩效考核指标的分类：（1）业绩考核指标；（2）能力考核指标；（3）

态度考核指标。

（三）合理确定考核主体

合理考核主体包括两层意思：一是由谁进行考核；二是有多少人进行考

核。确定考核主体时应遵循的一个原则：就是考核者对被考核者的工作性质、

岗位要求、工作状况等必须有一定的了解，否则考核者很难合理评价被考核

者的工作成果。另外参入考核的考核者通常不少于两名。

（四）有效进行绩效考核

1、绩效考核的分类：按考核时间分定期和不定期考核；按考核性质分

定性和定量考核。

2、绩效考核的原则：（1）公开化原则（2）客观公正性原则（3）定期

化和制度化原则（4）可行性与实用性原则（5）差别化原则（6）反馈与调

整原则。

九、综合运用控制措施

（一）《基本规范》对综合运用控制措施的要求

《基本规范》第三十六条规定，企业应当根据内部控制目标，结合风险

应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

（二）剩余风险及综合运用措施的有效执行

剩余风险是指企业采取控制措施之后仍可能发生的风险。控制措施的运

用并不能保证企业可以杜绝全部风险，但可以合理保证将剩余风险控制在可

接受水平之内，合理保证企业不出现内部控制的重大缺陷，保证企业内部控

制目标的实现。

十、重大风险预警机制和突发事件应急处理机制

（一）概述

外部经营环境的不确定性，以及企业内部经营决策的失误或者无法预料

的突发事件，往往使企业处于危机之中，面临巨大的风险。应对这种情况,

最有效的方法就是建立应急管理机制。

《基本规范》第三十七条规定，企业应当建立重大风险预警机制和突发

事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件,

制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善

处理。

（-）应急管理的根本任务

应急管理的根本任务是对突发事件做出快速有效的反应。

（三）应急管理体系的目标及其建立的原则

1、应急管理体系的目标：“统一智慧、分工协作、预发为主、平战结合、

及时灵活、科学有效”地处置突发事件。

2、应急管理体系建立的原则：（1）全面性；2）层次性；（3）可重构性;

（4）高可靠性；（5）可操作性。

（四）应急管理过程

1、对事件的预警

2、预案管理

3、对突发事件的处理

4、事后处理

（五）构建应急管理机制

企业制定的应急管理机制至少应包括应急预案、责任人员、处理程序等

内容。

（六）预警机制

1、预警信号

预警是根据系统外部环境及内部条件的变化，对系统未来的不利事件或

风险进行预测和报警。象经济危机、行业危机等外部危机通常是不可能预防

的，但企业更注重发觉内部的危机预警信号，通常有：（1）销售额与利润（2）

财务指标（3）危险客户（4）企业处于更迭期。

2、预警评价指标体系

预警评价指标体系建立应遵循的原则：（1）先导性原则（2）完备性原

则（3）定性与定量指标相结合原则（4）近因原则（5）重要性原则。

（七）危机管理

绝大多数突发事件会企业陷入危机之中，而危机的存在又使企业面临巨

大的风险，因此危机管理应是突发事件应急管理和风险管理的重要内容之一。

危机的特点：（1）隐蔽性（2）公开性（3）危机的连带性（4）危机的

复杂性（5）危机的双重性。

（八）各种类别的危险及其预警信号和防范措施

危机按起源可分为外部危机和内部危机，内部危机可细分为：

1、公共关系危机

2、营销危机

3、人力资源危机

4、信用危机

5、财务危机

6、速度危机

7、创新危机

第五章信息与沟通

一、信息与沟通概述

《基本规范》第三十八条规定，企业应当建立信息与沟通制度，明确内

部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控

制有效运行。

二、信息

（一）《基本规范》对信息获得和处理的要求

《基本规范》第三十九条规定，企业应当对收集的各种内部信息和外部

信息进行合理筛选、核对、整合，提高信息的有用性。

企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内

部刊物、办公网络等渠道，获取内部信息。

企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、

来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

（-）信息的分类：按来源分内部信息和外部信息

（三）信息收集

1、信息收集的含义

信息收集就是将企业内部和外部的原始数据收集起来，简单加工成企业

需要的信息。信息收集是信息处理和传递的基础，是整个企业信息工作的源

头。

2、信息收集的内容：财务会计资料和非财务会计资料。非财务会计资

料主要包括：（1）生产调度记录；（2）统计报表；（3）市场调查；（4）调研

报告；（5）内部刊物；（6）政府出版物；

（四）信息处理

信息处理就是将收集到的信息经过专业化的加工，使之成为内部控制需

要的信息。

三、沟通

（-）《基本规范》对沟通的要求

《基本规范》第四十条规定，企业应当将内部控制相关信息在企业内部

各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、

客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息

沟通过程中发现的问题，应当及时报告并加以解决。

重要信息应当及时传递给董事会、监事会和经理层。

（二）沟通的概念

沟通是指组织成员之间、组织成员与外部公众或社会组织之间旨在完成

组织目标而进行信息发送、接收与反馈的全过程。

（三）沟通的分类

1、按沟通在组织中运行途径的不同，沟通审核员分为正式沟通和非正

式沟通；

2、根据信息载体的不同，沟通可分为语言沟通和非语言沟通；

3、按其所所涉及的范围，沟通可分为人际沟通、群体沟通和组际沟通；

4、按沟通的方向分，沟通可分为向上沟通、向下沟通和水平沟通。

（四）沟通的控制

企业必须按照某种形式在某个时间之内辨别、获取有效信息，并加以沟

通，使企业内部每一个员工能够顺利履行其职责。

四、信息系统

（-）《基本规范》对信息系统的要求

《基本规范》第四十一条规定，企业应当利用信息技术促进信息的集成

与共享，充分发挥信息技术在信息与沟通中的作用。

企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、

文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

（二）信息系统的概念

系统是一个有机整体，由为实现某个目的或者目标而共同工作的若干相

互影响的部分组成。系统有三要素：输入、处理和输出。信息系统就是一个

帮助人们实现决策目标，由对数据的收集、输入、处理、存储、管理和控制

所构成的人造系统。信息系统如想对内部控制起到很好的作用，就必须同时

满足及时性和准确性要求。

（三）信息系统开发的条件

1、信息系统开始需要领导的重视；

2、需要各个部门的支持；

3、需要组建一支专业化的开发队伍；

4、企业要具备一定的资金实力。

（四）开发方式的选择

开发方式有自行开发、委托开发、合作开发、咨询开发和外购软件等

（五）信息系统的维护

系统维护是指在系统运行过程中，为了适应系统环境的变化，满足新需

要，使系统能够持续、正常地运行而从事的各项管理活动。

（六）信息系统的安全控制

1、物理安全控制

2、权限控制

3、操作系统的安全准则

4、文档的安全管理

5、数据加密

6、防病毒和黑客

五、反舞弊机制

(-)《基本规范》对反舞弊机制的要求

建立反舞弊机制是保障内部控制有效的基础。

《基本规范》第四十二条规定，企业应当建立反舞弊机制，坚持惩防并

举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在

反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救

程序。

企业至少应当将下列情形作为反舞弊工作的重点：

(-)未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当

利益。

(二)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述

或者重大遗漏等。

(三)董事、监事、经理及其他高级管理人员滥用职权。

(四)相关机构或人员串通舞弊。

(-)舞弊控制机制

1、舞弊的含义

舞弊是指组织内外人员采用欺骗等违法手段，损害或谋取组织经济利益,

同时可能为个人带来不正当利益的行为。

2、舞弊的分类

(1)损害组织经济利益的舞弊

（2）谋取组织经济利益的舞弊

（三）信息披露

1、信息披露的含义

信息披露是指企业根据国家法律法规及有关监管规则，结合自身经营管

理需要，强制或自愿披露所有重要事件和交易事项信息。企业需要披露的信

息可以分财务信息和非财务信息。

2、当前企业信息披露存在的问题

（1）披露的信息不真实；（2）披露不充分；（3）披露不连续不及时。

3、信息披露的内部控制

信息披露的内部控制最基本的措施就是建立岗位责任制和授权审批制

度，明确职和权限。

（四）职务分离

（1）授权与执行要分离；（2）执行与审批要分离；（3）执行与记录要

分离；（4）保管与记录要分离；（5）执行与保管要分离。

同时职务分离在执行过程中要注意回避原则。

六、举报投诉制度和举报人保护制度

（一）《基本规范》对举报投诉制度和举报人保护制度的要求

《基本规范》第四十三条规定，企业应当建立举报投诉制度和举报人保

护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确

保举报、投诉成为企业有效掌握信息的重要途