《内部控制与风险管理》(第二版)大纲

企业内部控制与风险管理（第二版）

第一章内部控制概论

第一节内部控制的产生和发展

一、国外内部控制的发展历程P3-13

（-）内部牵制阶段

一般来说，内部牵制的执行大致可分为以下四类：一是实物牵制。例如把保险

柜的钥匙交给两个以上的工作人员持有。非同时使用这两把以上的钥匙，保险柜就

打不开。二是机械牵制。例如，保险柜的大门若非按正确程序操作就打不开。三是

体制牵制。采用双重控制预防错误和舞弊的发生。四是簿记牵制。定期将明细账与

总账进行核对。在现代内部控制理论中，内部牵制仍占有重要地位，成为有关组织

机构控制和职务分离控制的基础。

内部牵制是基于以下两个基本设想：（1）两个或以上的人或部门无意识地犯同

样错误的机会是很小的；（2）两个或以上的人或部门有意识地合伙舞弊的可能性大

大低于单独一个人或部门舞弊的可能性。

（二）内部控制阶段

（=）管理控制和会计控制阶段

（四）内部控制结构阶段

（五）内部控制整体框架阶段

精心整理

进入20世纪90年代后，人们对会计控制的研究进入了一个全新的阶段。

它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、

监督五项要素构成。

同以往的内部控制理论及研究成果相比，COSO报告提出了许多新的、有价值的

观点。体现在：p7

1、明确制定与实施内部控制的“责任”。

2、指明内部控制应与经营管理相结合。

3、指明内部控制是一个循环往复的过程。

4、强调思想、观念更新的重要性。

5、要求管理层关注企业各层次的风险。

6、指明内部控制的分类及目标。

7、指出内部控制只能做到“合理”保证。

8、强调要考虑成本与效益原则。

（六）内部控制整体框架一一风险管理阶段

企业风险管理包括八个相互关联的要素，各要素贯穿在企业的管理过程之中。

1、内部环境

2、目标制定

3、事项识别

精心整理

4、风险评估

5、风险反应

6、控制活动

7、信息和沟通

8、监控

相对于内部控制框架而言，新的COSO报告新增加了一个观念、一个目标、两

个概念和三个要素，即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”

的概念以及“目标制定”、“事项识别”和“风险反应”要素。

1、提出一个新的观念---风险组合观(AnEntity—LevelPortfolioViewofRisk)

2、增加一类目标一一战略目标，并扩大了报告目标的范畴

3、针对风险度量提出两个新概念一一风险偏好(RiskAppetite)和风险容忍度

(RiskTolerances)

4、增加了三个风险管理要素，扩大了相关要素的范围

企业风险管理框架新增了三个风险管理要素一一“目标制定”、“事项识别”和

“风险反应

二、中国内部控制与风险管理的发展

1999年修订的《中华人民共和国会计法》，第一次以法律形式对建立健全内部控

制提出了原则要求，财政部随即连续制定发布了包括《内部会计控制规范一一基本

规范》在内的七项内部会计控制规范。

精心整理

(-)五部委的《企业内部控制基本规范》及《配套指引》P13

1、《企业内部控制基本规范》

根据《企业内部控制基本规范》，企业建立内部控制应当包括五个要素：内部环

境、风险评估、控制活动、信息与沟通、内部监督。

2、《企业内部控制应用指引》

《企业内部控制应用指引》在企业内部控制规范体系中处于主体地位。

《企业内部控制应用指弓I》由18项具体应用指引组成，具体包括的内容：已发

布的针对企业具体业务或事项的18项应用指引，内容涵盖组织架构、发展战略、人

力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究

与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部

信息传递和信息系统等企业最常见、最基本、迫切需要加强控制的环节和领域。

《企业内部控制应用指弓I》可以划分为三类，即内部环境类指弓I、控制活动类

指引、控制手段类指引，基本涵盖了企业资金流、实物流、人力流和信息流等各项

业务和事项。其中，内部环境类指引包括组织架构、发展战略、人力资源、社会责

任、企业文化5个指引；控制活动类指引包括资金活动、采购业务、资产管理、销

售业务、研究与开发、工程项目、担保业务、业务外包、财务报告9个指引；控制

手段类指引包括全面预算、合同管理、内部信息传递、信息系统4个指引。

3、《企业内部控制评价指引》

内部控制评价是企业内部控制中非常重要的一环。

4、《企业内部控制审计指弓I》

精心整理

内部控制审计是指会计师事务所接受委托，对特定基）隹日内部控制设计和运行

的有效性进行审计

（二）国资委的《中央企业全面风险管理指引》

2006年6月，国务院国资委根据《企业国有资产监督管理暂行条例》（国务院令

第378号）关于“国有及国有控股企业应当加强内部监督和风险控制”的要求，出

台了《中央企业全面风险管理指引》，旨在进一步加强和完善国有资产监管工作，深

化国有企业改革，加强风险管理，促进企业持续、稳定、健康发展。

《中央企业全面风险管理指引》对全面风险管理的定义是：围绕企业总体经营

目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良

好的全面风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理

财措施、风险管理组织体系、风险管理信息系统和内部控制系统，从而为实现风险

管理总体目标提供合理保证的过程和方法。

1、全面风险管理目标

全面风险管理的控制目标包括五个，分别是：战略目标、报告目标、合规目标、

经营目标、减灾目标。战略目标是确保将风险控制在与总体目标相适应并可承受的

范围内；报告目标是确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟

通，包括编制和提供真实、可靠的财务报告；合规目标是指企业应当遵守有关法律

法规；经营目标是确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻

执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的

不确定性；减灾目标是确保企业建立各助重大风险发生后的危机处理计划，保护企

业不因灾害性风险或人为失误而遭受重大损失。

精心整理

2、全面风险管理环境

全面风险管理环境包括风险管理文化、风险管理组织体系、风险管理信息系统。

其中，风险管理文化包括对员工进行风险态度、行为的宣导，进一步深化风险管理

“一把手负责制”，建立符合公同战略目标的风险偏好，完善公司风险政策，以增强

企业全员的风险意识；风险管理组织体系由三道风险管理防线组成，第一道是业务

职能部门，第二道是风险管理职能部门，第三道是内部审计部门和董事会下设的审

计委员会；风险管理信息系统是对风险管理体系设计方法和结果进行固化和标准化,

并实现对风险的事前、事中和事后控制，以及对风险管理体系的运行绩效和有效性

进行监督检查及改善。

3、全面风险管理基本流程

全面风险管理的基本流程包括：建立初始信息框架、风险评估、制定风险管理

策略、提出和实施风险管理解决方案、风险管理的监督与改进，在此过程中，信息

与沟通贯穿始终。

（三）银监会的《商业银行内部控制指引》

商业银行内部控制的目标包含以下几点：一是确保国家法律规定和商业银行内部规

章制度的贯彻执行；二是确保商业银行发展战略和经营目标的全面实施和充分实现;

三是确保风险管理体系的有效性；四是确保业务记录、财务信息和其他管理信息的

及时、真实和完整。

第二节内部控制的概念、目标和内容

一、内部控制的概念

精心整理

P18内部控制可理解为：内部控制是组织内部的主体，为了保证经济资源的安全

完整，确保经济信息的正确可靠，协调经济行为，控制经济活动，规避经营风险，

利用组织内部因分工而产生的相互制约、相互联系的关系，形成一系列具有控制职

能的方法、措施、程序，并予以规范化、系统化，使之组成一个严密的、较为完整

的体系。

二、建立内部控制的必要性P19

(-)科学管理的要求

(-)法律、法规的要求

(三)成本一效益原则的要求

P20客观上要求企业加强内部控制的因素有：

(1)避免违规。企业面临的潜在违规风险包括环境保护、职工安全等。如果企

业事先设置了这相关内部控制程序，可能就会避免这种损失。

(2)降低惩罚。有些法律在对企业犯罪量刑时，依据犯罪的严重程度与企业内

部控制的有效程度来决定对企业的惩罚。如果企业设有能够预防和发现违法行为的

有效内部控制制度，则可以大大降低对企业的责罚。

(3)减少欺诈。近年来，企业发生的外部欺诈案件和内部欺诈案件呈上升趋势。

在这些发生内、外部欺诈的公司中，内部控制薄弱是其共同特征。如果企业设有有

效的内部控制制度，则可以大大减少对企业的欺诈。

(4)管理跨国公司风险。在海外经营的跨国企业会面临不同于国内的政治、经

济、文化风险，由于交易活动的复杂性还会产生国际税收、汇率波动等风险，这就

精心整理

要求企业专门设立管理这些风险的内部控制。

(5)树立良好社会形象。由于信息透明度的增大，企业一旦发生欺诈行为、管

理不善或违反法规、被处罚款，就会引起社会新闻媒介的广泛关注，从而造成公同

股票价格的剧烈波动，甚至给公众留下公同“管理失控”的不良印象。内部控制有

助于预防此类问题的发生，并且在问题发生时能够提供与新闻界妥善处理的补救程

序。

(6)加强政府管制。2001年美国Enron公同及之后的一系列公司财务舞弊案件,

引致了2002年《萨班斯―奥克斯利法案》公布实施，其中第404号条款要求在美国

证券交易委员会(SEC)备案的上市公司必须提交年度内部控制报告，作为向SEC

提交的财务报告的组成部分。在这份内部控制报告中，要求管理层报告公同当前内

部控制的质量，并要求负责财务报表审计的会计师事务所对内部控制报告加以证实。

三、内部控制的目标

1992年COSO报告在得到各界普遍认可的内部控制概念中提出的目标有三大

类：一种是营运目标(Operations):与企业资源使用的效率和效果有关，包括绩效

和获利目标，以及保障资产的安全，使其免受损失。二是财务报告目标

(FinancialReporting):与编制对外公布的财务报表的可靠性有关，包括防止对外公

布财务报告的不实。三是遵循目标(Compliance):与企业遵循相关法律法规有关，

它们受外界因素，如环境保护法等影响。这些法令规定了企业的最低行为标准。

下面从COSO内部控制目标的三个方面分别讨论：

1、运营的效果和效率

精心整理

2、财务报告的可靠性

3、符合相关的法律和法规

2008年中国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部

控制基本规范》，提出内部控制的目标主要包括：P21

1、确保企业战略的实现

2、运营的效果和效率

3、财务报告的可靠性

4、资产的安全、完整

5、符合相关的法律和法规

四、内部控制的内容

由于每个单位的性质、业务、规模等方面不同，内部控制系统的具体内容也不

尽相同。概括起来，内部控制的构成内容可从如下方面来考察：P22-24

（一）合规、合法性控制

（二）授权、分权控制

（三）不相容职务控制

1、经济业务处理的分工。

2、资产记录与保管的分工。

3、各职能部门具有相对独立性。

精心整理

（四）业务程序标准化控制

（五）复查核对控制

（六）人员素质控制

第三节计算机环境下的内部控制

二、计算机环境下的内部控制P25-28

计算机系统的内部控制制度，从计算机会计系统的建立和运行过程来看，可分

为对系统开发和实施的系统发展控制、对计算机会计系统各个部门的管理控制、对

计算机会计系统日常运行过程的日常控制。

第四节《萨班斯―奥克斯利法案》对内部控制的影响

美国参众两院在2002年迅速出台并通过了《公众公司会计改革与投资者保护法

案》，即《萨班斯―奥克斯利法案》。该法案对1933年证券法和1934年证券交易法进

行了大幅修订，被认为是美国自20世纪30年代经济大萧条以来涉及范围最广、处罚

措施最严厉、影响力最大的上市公司法案。

一、《萨班斯―奥克斯利法案》的主要内容p29

《萨班斯―奥克斯利法案》共分11章。与美国已有的证券法规相比，《萨班斯

一奥克斯利法案》突出了以下内容：设立独立的上市公同会计监管委员会，负责监

管执行上市公司审计的会计师事务所；特别加强执行审计的会计师事务所的独立性；

特别强化了公司治理结构并明确了公司的财务报告责任及大幅增强了公司的财务披

露义务；大幅加重了对公司管理层违法行为的处罚措施；增加经费拨款，强化美国

证券交易委员会SEC的预算以及职能。其中，最为要害的就是第302号条款和

精心整理

第404号条款。

第302号条款主要是强调上市公同财务报告的真实性。这种强调来自于上市

公司首席执行官（CEO）和首席财务官（CFO）必须对公同财务报告的真实性

负责并宣誓。

第404号条款是《萨班斯―奥克斯利法案》中最难操作、最复杂的一个条款。

条款规定：在美上市企业，要建立内部控制体系，其中包括控制环境、风险评估、

控制活动、信息沟通以及监督5个部分。内部控制活动的记录不仅要细化到像产品

付款时间这样的细节，而且对重大缺陷都要予以披露。内部控制活动的记录不仅要

细化到诸如产品付款时间之类的细节，而且对重大缺陷都必须予以披露。它涵盖企

业运营的各个领域，一旦投入实施，必将引起整个企业控管流程的改变。

从2006年7月15日起，但凡年销售收入在5亿美元以上的在美国上市的外国公

同，都必须开始执行《萨班斯―奥克斯利法案》。

二、《萨班斯―奥克斯利法案》对内部控制的影响

对于许多企业而言，《萨班斯―奥克斯利法案》要求建立严密内部控制的高昂成

本已经超出了它们所能承受的范围，因此，退出资本市场无疑成为最明智的选择。

问题的严重性在于，在全球证券交易所争夺上市资源日趋激烈的情况下，许多

原来）隹备到美国上市的国外公同最后到了其他市场，而且这种情况可能会愈演愈烈。

《萨班斯―奥克斯利法案》的产生将使得中国内地在美上市企业受到以下冲击：

第一也是最重要的冲击是，中国企业在美上市的维持成本将大幅升高。

对于已经在美国上市的中国企业而言，必须直面实施《萨班斯―奥克斯利法案》

精心整理

所造成的内控成本上升和诉讼风险增大的影响。

因此，这些企业还有两点需要注意：一是充分保持审计委员会的独立性、赋予

审计委员会真正的权利，让审计委员会充分发挥在内控体系中的重要作用；二是延

揽熟悉美国证券法律，特别是《萨班斯―奥克斯利法案》的专业人才，积累在美应

诉的宝贵经验，为招来的潜在诉讼做好应对准备。

准备赴美国上市的中国公司，尽管全方位完善公司的内部控制、提交评估报告

会带来巨大的执行成本，但在高昂的成本和复杂的操作背后，将看到内部控制健全

的公同强大的企业竞争力。

第五节内部控制促进企业发展案例

第二章内部控制设计

第一节财务报告内部控制

一、内部控制对财务报告的影响

从经济业务的发生到形成账簿、报表需要一系列的控制活动

由此可见，业务控制程序和活动并不是单独存在的，而是渗透于生产经营管理

活动中。有效的内部控制能确保会计核算系统中确认、计量、记录、报告各步骤都

具有真实合法的凭据，并减少核算中的差错，最终提供真实可靠的财务报告。无论

哪一个控制环节出现问题，都可能会产生记录核算错误或者给不法分子以可乘之机,

诱发舞弊，造成虚假的财务报告。

除了业务控制程序和活动外，内部控制其他组成部分也制约着财务报告的真实

性、可靠性。要使业务控制程序和活动能够得到有效执行以保证会计信息的真实可

精心整理

靠，离不开组织结构的好坏和人员素质的高低。

二、财务报告内部控制的含义

财务报告内部控制的目的是确保公同设计的控制程序能为下列事项提供合理的

保证：公司的业务活动经过合理的授权；保护公同的资产，避免未经授权或不恰当

的使用；业务活动被恰当的记录并报告，从而保证上市公同的财务报告符合公认会

计原则的编报要求。

根据SEC2003年6月正式发布的最终规则中的定义，财务报告内部控制是指由

公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的，受到

公司的董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的

财务报告编制的符合公认会计原则提供合理保证的控制程序，具体包括以下控制政

策和程序。P35

1、保持详细程度合理的会计记录，准确公允地反映资产的交易和处置情况。

2、为下列事项提供合理的保证：公同对发生的交易进行必要的记录，从而使财

务报告的编制满足公认会计原则的要求；公同所有的收支活动经过管理层和董事会

的合理授权。

3、为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证，这

种未经授权的取得、使用和处置资产的行为可能对财务报告产生重要影响。

由此可见，财务报告内部控制是专为合理保证财务报告的可靠性这一目标而提

出的，既然将财务报告内部控制这一概念单独从内部控制中分离出来，说明在保证

财务报告可靠性方面，内部控制的确发挥着不可忽视的作用。

精心整理

三、内部控制要素与财务报告认定的关系

财务报告中所包含的有关管理当局的认定有：P36

1、存在或发生。所有资产、负债和所有者权益在资产及债表项目中必须存在，

并且所有利润表中的收入、费用、盈利都必须在当期发生。

2、完整性。财务报告包括“所有的”交易、资产、负债和所有者权益。

3、权利和义务。在财务报告中，企业拥有资产的权利和偿还负责的义务。

4、估价或分摊。财务报告中的资产、负债、所有者权益、收入、费用、利润和

亏损是根据公认的会计准则来确定的。

5、表达与披露。财务报告中记录的数据按照公认的会计准则被合理地分类和披

1=1=1

特定的内部控制要素与财务报告认定的关系，主要有：

1、控制环境与财务报告认定的关系

2、风险评估与财务报告认定的关系

3、控制活动与财务报告认定的关系

4、信息与沟通与财务报告认定的关系

5、监控与财务报告认定的关系

第二节内部控制的设计

一、内部控制设计的指导思想

精心整理

设计内部控制要遵循科学性、合规性、合理性、成本与效益等基本原则，还要

按照控制论、系统和信息论的基本理论和方法加以应用。

1、控制论对内部控制设计的指导

从控制论的观点看，控制就是按照一定的条件和预定的目标，对一个过程或系

统施加影响，使其按照预定的轨道运行，并达到预期目标的一种有组织的行动。

2、系统论对内部控制设计的指导

系统在不同程度上具有稳定性、动态性和适应性的特征。

3、信息论对内部控制设计的指导

从信息论的观点看，会计系统是提供资金运动状况即资金流的一个信息系统。

二、内部控制设计的基本思路

内部控制系统总体设计的思路：

一个现代化企业的内部控制系统在总体上说，应该是项目、组织和流程三个方

面的综合，形成一个完整的系统。

1、内部控制项目。所谓内部控制项目，是指内部制度的基本单位。

2、内部控制组织。所谓内部控制组织，是指具有共同行动目标的人类群体。

3、内部控制流程。所谓内部控制流程，是指企业经营过程的一个阶段，由若干

项目作业组成，而作业由若干项任务组成。

在内部控制流程设计中，就是遵循着这种相对的“流程一作业一任务”三个因

素之间的依次关系进行的。P40

精心整理

三、单项内部控制的设计思路

所谓单项内部控制的设计就是指对内部控制项目的设计，设计的思路可以按部

门进行设计，也可以按项目设计，还可以按流程进行设计。

1、按部门设计单项内部控制

2、按每个项目设计单项内部控制

3、按流程设计单项内部控制

第三节财务报告内部控制的设计

一、财务报告内部控制的设计思路

企业的业务循环是指处理某一类经济业务的工作程序和先后顺序。

二、财务报告内部控制设计的程序

P43-44财务报告内部控制的设计程序为：为确保财务报告可靠性的目标评估财

务报告重大错报风险；根据财务报告重大错报风险评估设计内部控制系统；由相关

部门和人员执行内部控制系统；依据标准对内部控制设计的科学性和执行的有效性

进行测试和评价；分析差异及例外事项；采取适当的改进措施。

(-)财务报告内部控制的设计

设计财务报告内部控制系统应考虑的问题主要有：

1、根据组织规模、经营特征，确定哪些业务采取一般控制方式，哪些业务采取

特殊控制方式，系统应反映出企业的形态特征。

2、根据企业组织机构设置与人员数量素质情况，确定哪些业务采取综合部门控

精心整理

制，哪些业务采用业务部门控制，或实行两方面结合控制，系统应反映出组织机构

中所采取措施的责任所在。―I

3、根据具体业务性质及涉及面、复杂程度与危险程度，确定是进行程序控制，

还是进行纪律控制、监督检查控制，或者是采用综合控制，特别要注意预防方式、

自检与纠正控制的设计。

4、根据方便使用的需要，哪些系统用文字说明形式表态，哪些制度用组织系统

图或业务流程图表达，或图文并用。|

5、注意系统设计的适当性、可操作性、经济性与有效性，尽量避免繁杂、不适

用、低能和浪费。

（二）财务报告内部控制的执行

要特别注意以下问题：

1、财务报告内部控制的有效执行特别需要一个良好的控制环境，所以，要在企

业内部营造一种深厚的控制氛围。

2、制定贯彻执行的切实措施，除宣传教育外，还要进行培训和模拟实验，使每

个岗位的人员都清楚自己遵循的制度和规定，明白遵守与违反的界限，并提高自我

监督与对他人监督的意识，克服执行制度的随意性。

3、组织各阶层管理人员，特别是高层管理者要自觉遵守与自己有关的各项控制

制度，要自觉接受违反制度后的应有惩罚，大事化小、小事化了会破坏制度的严肃

性和权威性。

4、注意财务报告内部系统执行中的检查与调节工作，一旦发现违反制度的行为,

精心整理

应按规定进行严肃处理，绝不能姑息迁就，绝不拖延，否则就会一发不可收拾。执

行中如发现不协调的环节，应及时调整，保证整个财务报告内部系统执行畅通无阻。

（三）财务报告内部控制的评价

财务报告内部控制评价根据评价的主体不同，可以分为外部评价和内部评价两

种。外部评价主要是指会计师事务所的注册会计师的评价或有关检查部门的评价；

内部评价主要是指内部审计人员的评价，或有关管理部门的自我评价。

财务报告内部控制评价既可以进行单项评价，又可以综合评价。其评价一般为

检查、分析与评定三个阶段。

（四）财务报告内部控制的持续改进

三、信息技术对财务报告内部控制的影响

第四节内部控制的局限性及其弥补

一、内部控制的局限性

P48-49企业内部控制系统存在一些固有的局限性，归纳起来主要有以下几方面:

1、受成本与效益原则的制约

2、受经济活动的不断变化的影响

3、受企业环境的影响

4、受企业文化的影响

5、受串通舞弊的冲击

6、受人为错误的影响

精心整理

7、受管理者越权的冲击

8、受企业人员素质的影响

二、内部控制局限性的弥补

1、不断完善内部控制系统

2、不断调整内部控制系统

3、加强对内部控制实施的检查

4、明确实施内部控制的责任人

5、加强与内部控制相配套的制度建设

6、优化实施内部控制的外部环境

第五节内部控制设计案例

第三章内部控制评价

P60对于企业内部控制的评价，可以分为两个步骤：一是通过对内部控制的了解,

描述内部控制情况，并做出相应的记录；二是评价内部控制的有效性，确定企业内

部控制薄弱的领域，并提出改进的意见和建议。

第一节对内部控制系统的了解

一、了解内部控制系统的主要目的与内容

通常出于以下原因需要了解企业的内部控制系统：

1、确认可能发生的潜在错报、舞弊的种类以及导致发生这些错报与舞弊的因素。

精心整理

2、充分了解企业的信息披露系统以确认其内部的有关凭证、报告、文件和其他

可能的信息载体，并表明在审计测试和其他测试中招需要运用的信息或数据。

3、如果对企业管理当局的正直性持有怀疑，或其信息载体贫乏以至于很难取得

足够有效的证据，那么通过对内部控制系统的了解，可以发现和确定企业的内部控

制系统是否有必要作进一步的测试与评估，确定其财务报告是否具有可审性。

一般来说，在所有审计中，审计人员都应该了解与审计测试有关的内部控制政

策与程序的设计是否有效，以及这些政策和程序是否得到有效执行。因而对内部控

制系统进行了解的主要内容包括两个方面，即内部控制的政策与程序在设计上是否

有效，设计良好的内部控制政策与程序在实际中是否得到有效执行。

二、了解内部控制系统的方法与技术

(-)了解内部控制的方法和技术

1、询问内部控制相关人员，并查阅相关内部控制文件。

2、检查内部控制生成的文件和记录。

3、观察内部控制相关的业务活动。

4、选择若干具有代表性的交易事项进行“穿行测试”。穿行测试是指每类交易

循环中选择一笔或几笔业务进行流程测试，以验证所记录的内部控制情况是否客观

和真实。

(二)对内部控制系统了解情况进行记录

通常审计人员有三种方式来记录对内部控制系统进行了解所获得的情况，即文

字叙述方式、内部控制调查问卷方式，以及绘制内部控制系统流程图的方式。

精心整理

(=)评价现有内部控制系统以确定是否存在潜在控制弱点

一般来说，需要审计人员记录的内部控制缺陷信息，应该包括缺陷、补偿控制

措施、该缺陷可能带来的潜在错报和舞弊可能，以及它对某种控制类型整体和财务

报告可靠性的影响程度。

(四)报告所发现的内部控制缺陷

如果内部控制缺陷造成的潜在影响很大，那么审计人员就应该及时将发现的结

果以书面的形式告知有关当事人，要求他们建立应急控制措施，防止控制缺陷带来

的后果进一步恶化。当然，最理想的情况是，内部控制缺陷报告应该提交给直接负

责该项职责的人或积极参与某个职能，并且能够有权力采取纠正措施的人员。为较

快解决问题，在向直接责任人员提交控制缺陷报告的同时，还应该至少将该报告提

交给直接责任者的上一级管理层面，这样，可以协助与受纠正措施影响的企业中的

其他人员进行沟通。最后，审计人员就应该将发现的内部控制缺陷汇总，以书面的

形式向董事会下属的审计委员会报告。

第二节内部控制的描述

P62内部控制描述的方法通常有三种：文字表达法、调查表法和流程图法。

一、文字表述法

文字表述法是指评审人员对企业内部控制健全程度和执行情况的文字叙述。

文字表述法的优点是比较灵活，可对被审计单位内部控制的各个环节做出比较

深入和具体的描述，不受任何限制。但文字表述法也有其缺点：对内部控制的描述,

有时很难用简明易懂的语言来详细说明各个细节，因而有时使用文字表述显得比较

精心整理

冗赘，不利于为有效地进行内部控制评价和控制风险评价提供直接的依据。文字表

述法几乎适用于任何类型、任何规模的单位，特别适用于内部控制不健全、内部控

制程序比较简单和比较容易描述的小企业。

二、调查表法

调查表法是）捋那些与保证会计记录的正确性和可靠性以及与保证财产物资的完

整性有密切关系的事项列作调查对象，同评审人员设计成标准化的调查表，并利用

表格形式，通过征询来了解内部控制的强弱程度。

调查表法的最大优点：一是简便易行，即使没有较高的专业知识和专业技能的

人员也能操作；二是能对所调查的对象提供一个概括的说明，有利于评审人员作进

一步分析评价；三是编制调查表省时省力，可在评审项目初期就较快地编制完成，

可以节省审计人员的工作量；四是调查表“否”栏集中反映内部控制存在的问题，

能引起审计人员的高度重视。但是，调查表也有一定的缺陷，表现在：对企业某一

环节的内部控制只能按所提问题分别考查，往往难于提供一个完整的、系统的、全

面的分析评价；由于调查表格式固定，缺乏弹性，对于不同行业的企业或是特殊情

况，往往“不适用”栏填得太多，而使调查表法显得不太适用；此外，审计人员机

械地脂表提问，往往会使被审计人员漫不经心，易流于形式，失去调查表的意义。

三、流程图法

流程图法是指用特定的符号和图形，将控制中各种业务处理手续，以及各种文

件或凭证的传递流程，用图解的形式直观地表现内部控制的实际情况。

绘制流程图一般有两种方法：一种是纵向流程图；另一种是横向流程图。

精心整理

用流程图法描述内部控制，其主要优点有：流程图从整体的角度，以简明的形

式描绘内部控制的实际情况，便于较快地检查出内部控制逻辑上的薄弱环节，也便

于评审；流程图便于表达内部控制的特征，同时便于修改，在下次评审时，只要根

据修改后的内部控制实际情况，稍微变动几根线条、几个符号，就能更新整个流程

图。当然，像任何其他方法一样，流程图法也有其不足之处：编制流程图需具备较

娴熟的技术和较丰富的工作经验，同时颇费时间；流程图法不能将内部控制中的控

制弱点，明显地标明，故评价时，往往需要与其他两种方法相结合。

第三节内部控制评价

P672010年财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控

制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评

价指引》和《企业内部控制审计指引》，并规定自2011年1月1日起在境内外同时上

市的公司执行，2012年1月1日起在上海证券交易所、深圳证券交易所主板上市的

公司执行。

P67内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全

面评价、形成评价结论、出具评价报告的过程。

一、内部控制评价的原则

企业实施内部控制评价应当遵循下列原则：

1、全面性原则。

2、重要性原则。

3、客观性原则。

精心整理

4、企业应当根据评价指引，结合内部控制设计与运行的实际情况，制定具体的

内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等，明确相关

机构或岗位的职责权限，落实责任制，按照规定的办法、程序和要求，有序开展内

部控制评价工作。

二、内部控制评价的内容P67-68

1、内部环境评价。

2、风险评估机制评价。

3、控制活动评价。

4、信息与沟通评价。

5、内部监督评价。

三、内部控制评价的程序p68

企业内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施

现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。

第四节内部控制评价报告案例

第四章内部控制审计

P77企业内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设

计与运行的有效性进行审计。

建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。

按照《企业内部控制审计指弓I》的要求，在实施审计工作的基础上对内部控制的有

精心整理

效性发表审计意见，是注册会计师的责任。

注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审

计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非

财务报告内部控制重大缺陷描述段”予以披露。

企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。

第一节内部控制审计的产生和发展

一、国外内部控制审计的产生和发展

二、中国内部控制审计的产生和发展

《企业内部控制基本规范》及企业内部控制配套指引的发布，标志着我国在上

市公司中强制实施内部控制审计的开始。

（-）自愿性内部控制审计为主的阶段

（二）强制性内部控制审计阶段

第二节内部控制审计的对象

（-）内部控制审计的对象是财务报告内部控制

（二）内部控制审计是对企业特定时点内部控制的有效性发表审计意见

（三）内部控制审计是基于责任方认定的鉴证业务

第三节内部控制审计程序

内部控制审计程序，主要包括:

精心整理

（-）计划审计工作

（二）实施审计工作

（三）评价控制缺陷

P83内部控制缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺

陷、重要缺陷和一般缺陷。

注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷

单独或组合起来，是否构成重大缺陷。

在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注

册会计师应当评价补偿性控制（替代性控制）的影响。企业执行的补偿性控制应当

具有同样的效果。

P83表明内部控制可能存在重大缺陷的迹象，主要包括：

1、注册会计师发现董事、监事和高级管理人员舞弊。

2、企业更正已经公布的财务报表。

3、注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能

发现该错报。

4、企业审计委员会和内部审计机构对内部控制的监督无效。

（四）完成审计工作

P84注册会计师对在审计过程中注意到的非财务报告内部控制缺陷，应当区别具

体情况予以处理:

精心整理

1、注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟

通，提醒企业加以改进，但无须在内部控制审计报告中说明。

2、注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与

企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。

3、注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与

企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增

加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目

标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。

（五）出具审计报告

（六）关注期后事项

（七）记录审计工作

第四节内部控制审计报告

P86注册会计师应根据对内部控制有效性的审计结论，出具下列内部控制审计意

见之一的审计报告：

1、无保留意见。

2、带强调事项段的无保留意见。

3、否定意见。

4、无法表不意见。

在内部控制审计意见中没有保留意见，主要是保留意见的信息含量较低，且与

精心整理

否定意见的区分度不清晰，所以在国际上都没有保留意见的内部控制审计报告。

（-）无保留意见的内部控制审计报告

符合下列所有条件的，注册会计师应当对财务报告内部控制出具无保留意见的

内部控制审计报告：

1、企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部

控制评价指引》以及企业自身内部控制制度的要求，在所有重大方面保持了有效的

内部控制。

2、注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,

在审计过程中未受到限制。

（二）带强调事项段的无保留意见内部控制审计报告

注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重

大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加

强调事项段予以说明。

注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部控制审计报告

使用者关注，并不影响对财务报告内部控制发表的审计意见。

（三）否定意见内部控制审计报告

注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围

受到限制，应当对财务报告内部控制发表否定意见。

注册会计师出具否定意见的内部控制审计报告，还应当包括下列内容：

精心整理

1、重大缺陷的定义。

2、重大缺陷的性质及其对财务报告内部控制的影响程度。

(四)无法表示意见内部控制审计报告

注册会计师审计范围受到限制的，应当解除业务约定或出具无法表示意见的内

部控制审计报告，并就审计范围受到限制的情况，以书面形式与董事会进行沟通。

注册会计师在出具无法表示意见的内部控制审计报告时，应当在内部控制审计

报告中指明审计范围受到限制，无法对内部控制的有效性发表意见。

第五节内部控制审计案例

第五章内部控制与公司治理

第一节公司治理的含义及不同模式

一、公同治理的含义

P95公同治理，是指所有者，主要是股东对经营者的一种监督与制衡机制。即通

过一种制度安排，来合理地配置所有者与经营者之间的权利与责任关系。公司治理

的目标是保证股东利益的最大化，防止经营者对所有者利益的背离。其主要特点是

通过股东大会、董事会、监事会及管理层所构成的公司治理结构的内部治理。

衡量一个公司的治理水)隹需要关注治理模式(GovernanceModel)、控制方式

(ControlMechanism),透明程度(Transparency)三个层次。

二、公司治理的不同模式

在西方国家，公司治理，特别是股东和经营者在股份有限公司治理结构中的地

精心整理

位和作用，经历了一个从管理层中心到股东会中心，再到董事会中心的变化过程。

但是董事会的出现，并没有解决公司所有权与控制权分离而产生的委托一代理问题。

根据公司治理的基本原则和各国政治、经济与文化的不同特点，国际上形成了三种

典型的公司治理模式。

(-)以英美为代表的外部监控型公司的治理模式

1、公同股权较为分散和有较强的流动性

2、公司治理以董事会为核心

3、市场机制发达

4、以高薪制、高奖金特别是股票期权作为激励经理人员的主要手段

5、英美公司治理模式优缺点分析

(1)英美公司治理模式优点

①经营权力高度集中，有利于经营者集中精力、排除干扰搞好经营。

②股权流动性强，使投资者可以方便地避免投资风险，保护自身利益，也有利

于证券市场的健康发展。

③在市场机制完善健全的前提下，股东通过在证券市场上“用脚投票”，和给经

营者带来的并购接管压力足以使其为股东的利益搞好经营。

④主要依靠外部市场力量进行激励、约束与监督，可以大大减少企业的相关成

本，使其治理结构更加精干高效，也有利于经营者创造力的发挥。

⑤对银行、企业持有股份的限制，有利于避免由于一家企业经菅不善或环境变

精心整理

化等原因带来连锁反应。

(2)英美公同治理模式缺点

①股权高度分散以及机构投资者的消极表现，使股东难以对公同进行有效监督。

②董事会被经营者控制，内外部董事角色定位不清，使得董事会也很难实施有

效的监督。

③近年来频频出现的大公司会计信息造假丑闻，说明依靠外部力量进行监督的

效果是可疑的。

④由于缺乏有效监督，高层经理人员玩忽职守和以权谋私问题日益突出。

⑤高度分散的股权结构造成了经营者的短期行为。

⑥股权高度流动性使公司资本结构稳定性差，很容易造成企业被兼并接管的动

荡。

(二)以日德为代表的内部监控型公司治理模式

(1)公司股权集中持有，集团成员起重要作用；

(2)银行参与公司治理；

(3)资本流通性较弱，证券市场相对不十分活跃。

具体而言，日本和德国的情况略有不同。

1、日本的公司治理模式

以日本而言，主要特点表现为:

精心整理

(1)日本公同的股权结构以法人(主要是金融机构和实业公司)持股为主，而

且很少是单方面的，大多数是通过持有对方股份实现相互控制，而且成为安定股东;

(2)在主银行体系下，日本公同以间接融资为主、直接融资为辅；

(3)日本虽然有重要的股票市场，但并没有起到配置资源的作用，由于终身雇

佣制，经理人市场与劳动力市场也相对稳定，因而市场机制的作用较为有限；

(4)公司治理组织采用“股东大会一董事会(监事)一高级经理层”形式。公

司设立监事，由股东大会选举产生，监督董事会和经理层，但不设立监事会，权力

构造与英美完全不同；

(5)经营者激励以终身雇用为主；

(6)经营者约束采用公同间相互持股而形成的相互约束和主银行约束。

2、德国的公同治理模式

德国的情形稍有差异，公司治理的基本特点表现：

(1)股权集中，(外部)企业和家族(个人)大量持股；

(2)股东权力的行使以“用手投票”为主，通过银行或自行主动行使权力，主

要依靠内部机构实施公同治理；

(3)公同治理架构实行双层董事会制(监事会和理事会)，业务执行职能和监

督职能分开，监事会由股东代表和职工代表组成，“是一个实实在在的股东行使控制

与监督权力的机构”；

(4)银行在公司治理中发挥重要作用;

精心整理

(5)员工参与公司治理，员工代表参加监事会和理事会。

3、日德公同治理模式优缺点分析

(1)日德公同治理模式优点。

①由于银行作为大股东参与企业治理，使股东的监督较为有力。

②股权结构稳定，使公司的长远发展较有保证；

③严密的内部控制机制对经营者与员工形成有效的激励与约束；

④银行与企业的特殊关系使得企业债务融资成本低；

⑤法人持股把众多分散的企业凝聚成一个整体，促使它们内部形成稳定的交易

关系，有利于降低企业经营成本和提高抗御风险的能力。

(2)日德公司治理模式缺点。

①证券市场发展长期滞后；

②特殊的银企关系造成“泡沫经济”；

③“企业绑在银行上”造成银行巨额坏账和企业巨额负债，进而影响整个国民

经济发展；

④有特殊关系的合作企业之间不等于没有利益冲突，这种冲突仅仅靠内部治理

很难解决。

(三)以东亚为代表的家族监控模式

1、东亚公司治理模式的特色

精心整理

在东亚家族监控型公司治理模式下，公司所有权与经营权没有实现分离，公司

与家族合一，公司的主要控制权在家族成员中配置，表现为高度的集权模式；公司

决策家长化，公司的重大决策都由家族中同时也是公司创办的人的家长做出；经营

者的激励和约束来自家族利益和亲情，道德风险和利己的个人主义倾向发生的可能

性较非家族公司为低，制度的约束和规范相对显得没那么重要；公司与政府关系密

切，在发展过程中受政府政治、经济、法律等方面的影响和制约较大；融资来源渠

道多元化，银行等金融机构对企业的外部监督较弱；虽设有“股东大会一董事会一

总经理”三级结构的公司治理架构，但由于股权的家族控制，小股东难以对公司的

经营管理活动实施必要的监督和控制，家族外相关利益者的监督力度较弱，董事会

形同虚设，很难发挥作用。

2、东亚公司治理模式的优缺点分析

(1)东亚公司治理模式的优点。

①内部凝聚力强；

②企业稳定性高；

③决策迅速；

④发展速度快；

⑤通过变革逐步走向成熟。

(2)东亚公司治理模式的缺点。

①社会化、公开化程度低，社会形象不佳，融资困难；

②治理机制不健全，难以实现科学决策，不利于企业的长远发展;

精心整理

③随着企业规模实力的扩大，内部矛盾不断激化，由于治理机制不健全而很难

解决。

(四)公司治理模式的发展P100

1、环境的变化促使治理模式进行改革

(1)英美国家公司经理人员的高薪酬引发不满；

(2)中小股东和其他利益相关者的权利保护问题日益突出；

(3)全球金融危机的爆发，加强政府监管的呼声日益高涨；

(4)公同会计丑闻的出现促使有关各方要求加强公司监督机制的完善；

(5)经济全球化推动了治理模式的不断融合；

(6)人力资本地位的提高，知识经济时代的到来，要求公司完善激励与约束机

制。

2、英美公司治理模式的变革

(1)放松银行持有公司股票的限制；

(2)法人持股比例日益上升，且具有相当的安定性；

(3)强化内部监控体制。

3、日德公司治理模式的变革

(1)强调个人股东的利益，加速证券市场的发展；

(2)公司负债呈下降趋势;

精心整理

(3)银行大量抛售所持股份，与公司关系出现松动，对公司的控制力减弱；

(4)法人持股比例下降。

4、东亚家族公司治理模式的变革

(1)股权公开化和社会化；

(2)经营管理权由家族成员与非家族成员共同控制；

(3)外部股东、合资者、合作者对企业的制约与监督不断增强。

5、结论

(1)公司治理的不同模式是不同国情与社会条件的产物。

(2)现代公司治理机制正在随着环境的变化而发展。

(3)现成的、放之于四海而皆准的公司治理模式是不存在的。

三、中国《公同法》对公同治理的规定

我国公司实行类似德国模式的“双层会制”，由股东会、董事会、监事会组成，

实行双层监督(独立董事、监事会)制。

我国公司治理模式的主要特点表现为：

1、公同的股权集中，以大股东持股为主，而且成为较为稳定的股东；

2、股东权力的行使以“用手投票”为主，通过自行主动行使权力，主要依靠内

部机构实施公司治理；

3、公司以间接融资为主、直接融资为辅;

精心整理

4、公司治理组织采用“股东大会一董事会一监事会一高级经理层”形式；

5、员工参与公同治理，员工代表参加监事会；

6、在上市公司及相关公同中实行独立董事制度。

P101从实际运作效果来看，中国模式仍存在比较严重的缺陷，需要及时予以改

进和完善。

1、大股东操纵股东会。

2、董事会形同虚设。

3、独立董事“不独立乙

4、监事会“不监事”。

第二节公司治理与内部控制的关系

一、公同治理和内部控制的发展历史

1、将内部控制置于公向治理的框架之下阶段

2、董事会应对内部控制系统进行报告阶段

3、董事会对公司的内部控制负责阶段

二、公同治理与内部控制的关系

(-)公同治理与内部控制关系的不同观点

1、层次论。

2、包含论。

精心整理

(―)公司治理与内部控制的异同分析plO5

1、公司治理与内部控制产生的基础都是委托一代理关系。

2、公同治理与内部控制都重视权、责、利的制度建设。

3、公司治理与内部控制都追求企业价值最大化目标。

4、公司治理与内部控制都遵循互相牵制和制衡的原则。

5、公同治理与内部控制相辅相成、相互促进。

6、公司治理与内部控制的具有不同的内容。

综上所述，公司治理与内部控制是密不可分的，一个健全的内部控制机制要有

完善的公司治理结构的支撑；内部控制的创新和深化，也将促使公司治理结构的完

善和现代企业制度的建立。

第三节公司治理与内部控制的良性互动

公司治理与内部控制不但有内在的联系与外在的差异，而且是相互制约、相互

促进的。

一、公同治理与内部控制的互动

(-)公司治理对内部控制的影响

1、公司治理是内部控制有效运行的基础

2、公司治理是良好内部控制的组织保障

(二)内部控制对公司治理的影响

精心整理

1、有效的内部控制能实现利益相关方的制衡

2、有效的内部控制能保障董事会控制权的行使

3、有效的内部控制能保护中小股东的利益

二、加强公司治理，建立健全内部控制机制

1、完善公司治理机制，积极推进内部控制外部化进程

2、公同治理应对内部控制机制的构建提出基本要求

3、加强董事会的独立性和在内部控制中的核心地位

4、发挥内部审计为内部控制保驾护航的独特作用

5、建立符合公司治理和内部控制要求的激励与约束机制

6、发挥全体员工参与公司治理与内部控制建设的积极性

三、加强公司治理与内部控制建设应注意的问题

1、公司治理和内部控制建设要与特定的环境、文化相适应

2、公司治理和内部控制建设的重点落实到风险管理上来

3、公司治理和内部控制建设要加快与信息技术的融合

4、我国公司治理和内部控制现状所带来的影响和挑战

我国公司制改革中形成的“内部人控制”现状，给公司治理和内部控制建设带

来了重大的影响和挑战。

精心整理

第四节内部控制制度建设案例

第六章内部控制与内部审计

第一节内部审计概论

一、内部审计的含义

PH8内部审计是指由部门或单位内部相对独立的审计机构和审计人员对本部门

或本单位的财政财务收支、经营管理活动及其经济效益进行审核和评价，查明其真

实性、正确性、合法性、合规性和有效性，提出意见和建议的一种专门经济监督活

动。其主要目的是通过审计健全内部控制系统，严肃财经纪律，查错揭弊，改善经

营管理，提高经济效益。

由以上含义可见：内部审计是一种独立管理的保证与咨询活动，目的是为组织

增加价值并提高组织的运作效率。

二、内部审计的职能

由此可见，企业内部审计执行的是管理活动中的检查活动、评价活动和咨询活

动，所具有的职能应为检查职能、评价职能和咨询职能。

企业经营管理对内部审计的客观需求是内部审计职能的外在决定因素。这种客

观需求因需求者的身份不同可分为两类：第一类是董事会和监事会对内部审计的需

求；第二类是高级管理层对内部审计的需求。

(-)董事会和监事会对内部审计职能的需求

1、检查管理者对企业的发展战略和各项目标的贯彻、执行情况;

精心整理

2、检查和评价管理者履行职责的合法合规性，包括对国家和行业的各项法律、

法规、规章和规范的遵循情况，以及对企业制定的各项政策、制度、程序的遵循情

况；

3、检查企业的财务状况、经营成果和现金流量情况，审核企业编制的对内、对

外财务报告的合法性、公允性，以及财务信息对外披露形式的恰当性；

4、检查和评价企业内部控制系统的有效性，风险管理过程的客观性、合理性，

发现并预防各种形式的错误和舞弊，并提出进一步改进的咨询建议；

5、评价企业董事会制定的经理人员的业绩，提供反映经理人员业绩的相关信息,

以供董事会对其做出业绩考核；

6、根据需要提供专项的咨询服务。

（二）管理层对内部审计职能的需求

1、检查和评价内部控制系统和风险管理过程的设计是否合理、健全，运行是否

正常、有效，对存在的缺陷，提供完善和改进的咨询服务；

2、检查和评价各经营单位和员工对内部控制系统和风险管理过程的遵循情况，

并注重查错防弊；

3、关注各项经营活动的效率性和效果性，为提高各部门和企业整体经营活动的

效果性和效率性“出谋划策”；

4、按管理者的要求，提供一些临时的、专项的咨询服务。

（三）内部审计职能的具体界定

精心整理

三、内部审计制度的作用

(-)制约作用

(二)防护作用

(三)鉴证作用

第二节内部控制与内部审计的关系

一、内部控制与内部审计的关系

1、内部控制与内部审计相互并存论

2、内部控制与内部审计相互促进论

3、内部控制与内部审计相互补充论

二、内部审计对内部控制的促进作用

(-)内部审计是内部控制的重要组成部分

(二)内部控制是内部审计的工作对象

(=)内部审计造就良好的内部控制环境

三、内部控制对内部审计的推动作用

1、内部控制发展融合了内部审计的发展

2、内部控制推动了内部审计的发展

3、内部控制目标与内部审计目标的一致性

精心整理

第三节内部审计的职责权限及发展

一、内部审计机构及其特征

(-)内部审计机构

我国的内部审计机构是根据审计法规和其他财经法规的规定设置的，主要包括

部门内部审计机构和单位内部审计机构。

(二)内部审计的特征

我国内部审计一般具有如下特征：

1、服务上的内向性。

2、审查范围的广泛性。

3、作用的稳定性。

4、微观监督与宏观监督的统一性。

二、内部审计机构的职责权限

(-)内部审计机构的职责

内部审计机构按照本单位董事会下设的审计委员会或者主要负责人的要求，履

行下列职责：

1、对本单位及所属单位(含占控股地位或者主导地位的单位，下同)的财政收

支、财务收支及其有关的经济活动进行审计。

2、对本单位及所属单位预算内、预算外资金的管理和使用情况进行审计。

精心整理

3、对本单位内设机构及所属单位领导人员的任期经济责任进行审计。

4、对本单位及所属单位固定资产投资项目进行审计。

5、对本单位及所属单位内部控制系统的健全性和有效性以及风险管理进行评

审。

6、对本单位及所属单位经济管理和效益情况进行审计。

7、法律、法规规定以及本单位主要负责人或者权力机构要求办理的其他审计事

项。

（二）内部审计机构的联权

1、要求被审计单位按时报送生产、经营、财务收支计划，预算执行情况，决算,

财务会计报告和其他有关文件、资料。

2、参加本单位有关会议，召开与审计事项有关的会议。

3、参与研究制定有关的规章制度，提出内部审计规章制度，由单位审定公布后

施行。

4、检查有关生产、经营和财务活动的资料、文件和现场勘察实物。

5、检查有关的计算机系统及其电子数据和资料。

6、对与审计事项有关的问题向有关单位和个人进行调查，并取得证明材料。

7、对正在进行的严重违法违规、严重损失浪费行为作出临时制止决定。

8、对可能转移、隐匿、篡改、毁弃会计凭证、会计账簿、财务会计报告以及与

经济活动有关的资料，经本单位董事会下设的审计委员会或者主要负责人批准，有

精心整理

权予以暂时封存。

9、提出纠正、处理违法违规行为的意见以及改进经济管理、提高经济效益的建

议。

10、对违法违规以及造成损失浪费的单位和人员，给予通报批评或者提出追究

责任的建议。

单位董事会下设的审计委员会或者主要负责人在管理权限范围内，授予内部审

计机构必要的处理、处罚权：

1、被审计单位不配合内部审计工作、拒绝审计或者提供资料、提供虚假资料、

拒不执行审计结论或者报复陷害内部审计人员的，单位董事会下设的审计委员会或

者主要负责人应当及时予以处理；构成犯罪的，移交司法机关追究刑事责任。

2、被审计单位无正当理由拒不执行审计结论的，内部审计机构应当责令其限期

改正；拒不改正的，报请本单位董事会下设的审计委员会或主要负责人依照有关规

定予以处理。

3、对被审计单位违反财经法规、造成严重损失浪费行为负有直接责任的主管人

员和其他直接责任人员，构成犯罪的，依法追究刑事责任；不构成犯罪的，依照有

关规定予以处理。

4、报复陷害内部审计人员，构成犯罪的，依法追究刑事责任；不构成犯罪的，

依照有关规定予以处理。

三、国际内部审计机构

四、内部审计职责的发展趋势

精心整理

（-）实施信息安全审计的新职责

（二）开拓风险管理的新领域

（三）深入介入内部控制评价

（四）推动更有效的公司治理

第四节内部审计制度建设案例

第七章企业风险管理概述

第一节企业风险管理的基本概念

一、风险的定义

（-）风险的内涵

因此，目前尚无一个适用于各个领域的公认的定义。这些定义概括起来主要有

以下几种：

1、风险的一般定义

2、经济学领域的定义

3、社会学领域的定义

4、其他学术领域中的定义

尽管对风险的定义描述不一，但我们不难提炼出一些风险共同的特征：第一，

结果具有不确定性；第二，结果的不确定性可能是损失，也可能是收益，但令人关

注的是损失；第三，客观存在性，但在一定程度上可以用概率和统计学工具进行预

精心整理

测；第四，风险评估的过程受诸多主观因素的影响。

（二）风险的分类P142

1、根据风险是否由社会经济变动划分

风险按照是否由于社会经济变动而引起，可以分为静态风险和动态风险。

2、根据风险获利机会划分

风险按是否有获利机会为标准，可以分为纯粹风险、投机风险和收益风险。

3、根据风险来源划分

大致可以将风险分为外部风险和内部风险。继续划分，就可以衍生出许多具体

的类别。这种具体的划分方式在风险管理中具有很大的实用性，方便企业进行风险

识别。例如，外部风险包括经济风险、法律风险、社会风险、科技风险、自然风险

等。内部风险包括人员风险、管理风险、经营风险、技术风险、安全环保风险等。

4、根据风险是否可以分散划分

可以将风险分为系统风险和非系统风险。

5、根据风险是否可控划分

按照企业风险可控与否，可以符风险分为不可控风险和可控风险。

6、根据风险形成的原因划分

风险按照形成损失的原因分类，可以分成自然风险、社会风险、经济风险和政

治风险。

7、根据风险融入企业经营划分

精心整理

我们把各种各样的风险融入企业的实际经营中去就形成了企业经营所面临的各

种风险，具体来看，主要包括以下几类风险。

(1)战略风险。

(2)财务风险。

(3)法律风险。

(4)市场风险。

(5)运营风险。

(6)技术风险。

(7)政治风险。

二、企业风险管理的内涵

本书将企业风险管理的内涵概括为：企业风险管理是企业全体员工共同采用的

所有针对各种风险的管理活动的总称，它通过科学合理的方法识别、分析、整合、

沟通、评价、应对以及监控风险，选择最佳风险管理措施对风险予以处理，以较少

的成本将各类不确定因素产生的结果控制在预期可接受范围内，从而最大限度地减

少风险损失，提高经营效益，为企业最终目标的实现提供合理保障。P146

对于这个内涵，可以从以