（一）內部控制程序（★）

內部控制程序一般包括：確定控制目標（或標準），衡量控制結果，分析差異，采取補救或改善措施，綜合檢查評價。

1.確定控制目標（或標準）

控制目標（或標準）應至少明確關鍵業務、關鍵資源、關鍵費用或成本項目。控制類型有定量標準和定性標準。定量標準包括實物標準、價值標準和時間標準。控制標準應根據外部環境變化及工作開展情況及時調整。例如，企業預算系統能夠較好地將經營目標按企業不同業務單元和組織，分解成不同部分可以執行且可以控制的預算指標。

2.衡量控制結果

衡量控制結果即通過檢查執行記錄、實際結果與控制目標（或標準）進行比較、計量偏離目標的差異等方式來評定控制成效。

3.分析差異

對于發生的差異，應進一步分析原因，包括差異的程度及產生原因、問題的性質等。

企業實務中，經營活動分析會、內外部審計等方式都是較好地實現衡量控制結果、分析差異的控制手段。如進一步利用內部控制的方法，有利于更為深入、全面地利用這些控制手段來分析差異。

4.采取補救或改善措施

通過分析差異，企業需要綜合考慮成本效益原則，擬定所需采取的補救或改善措施，以確保有關內部控制有效。

5.綜合檢查評價

定期的綜合檢查評價，是在結合日常持續監督的基礎上，運用一定的方法，定期對內部控制有效性進行全面評估和整體評價，確定內部控制的健全和有效。

（二）內部控制要素、方法和類型（★★）

從內部控制五要素的角度建立和評價內部控制體系，是確保內部控制有效性、實現內部控制目標的有效方法。《企業內部控制基本規范》規定的內部控制要素主要有：內部環境、風險評估、控制活動、信息與溝通、內部監督。

總體框架：

1.內部環境（基礎—優化）

內部環境規定企業的紀律與架構，影響經營管理目標的制定，塑造企業文化氛圍并影響員工的控制意識，是企業建立與實施內部控制的基礎。內部環境主要包括治理結構、機構設置及權責分配、內部審計機制、人力資源政策、企業文化等。

（1）治理結構。企業應當根據國家有關法律法規和企業章程，建立規范的公司治理結構和議事規則，明確董事會、監事會和經理層在決策、執行、監督等方面的職責權限，形成科學有效的職責分工和制衡機制。

公司治理結構又稱法人治理結構，是根據權力機構、決策機構、執行機構和監督機構相互獨立、權責明確、相互制衡的原則實現對公司的治理，其關系見下圖。

（2）機構設置及權責分配。企業應當結合業務特點和內部控制要求設置內部機構，明確職責權限，將權利與責任落實到各責任單位。

企業內部機構設置雖然沒有統一的模式，但所采用的組織結構應當有利于提升管理效能，保證信息通暢流動。

（3）內部審計機制。企業應當加強內部審計工作，保證內部審計機構設置、人員配備和工作的獨立性。審計委員會負責人應當具備相應的獨立性、良好的職業操守和專業勝任能力。

（4）人力資源政策。一般包括員工的聘用、培訓、辭退與辭職；員工的薪酬、考核、晉升與獎懲；關鍵崗位員工的強制休假制度和定期崗位輪換制度；對掌握國家秘密或重要商業秘密的員工離崗的限制性規定等內容。企業應當將職業道德修養和專業勝任能力作為選拔和聘用員工的重要標準，切實加強員工培訓和繼續教育，不斷提升員工素質。

（5）企業文化（軟實力—靈魂）。企業應當加強文化建設，培育積極向上的道德價值觀和社會責任感，倡導誠實守信、愛崗敬業、開拓創新和團隊協作精神，樹立現代管理理念，強化風險意識和法制觀念。董事、監事、經理及其他高級管理人員應在塑造良好的企業文化中發揮關鍵作用。

2.風險評估（重要環節）

風險評估是企業及時識別、科學分析經營活動中與實現控制目標相關的風險，合理確定風險應對策略，是實施內部控制的重要環節。

從內部控制的角度看應建立流程，及時識別并評估對企業內部控制體系可能造成重大影響的改變，以及時調整內部控制確保其有效。

風險評估重點關注的內容有：①外部環境：監管或經濟環境等外部環境變化可能導致競爭壓力不斷增加、運營需求發生變化，及由此出現的風險；自然災害等物理環境的變化影響企業供應鏈、商業合作伙伴等，導致企業持續經營風險。②商業模式：改變商業模式、重大收購和資產剝離、境外業務、快速增長、新技術應用于企業生產、服務交付流程或支持信息系統等，以及由此出現的新風險。③領導變更：新的高層管理人員管理哲學、對現有企業文化的理解等發生變化；人員高流動性、缺乏有效的培訓和監督都可能導致內部控制失效。

3.控制活動（重要手段）

控制活動是指企業根據風險應對策略，采用相應的控制措施，將風險控制在可承受度之內，是實施內部控制的具體方式。常見的控制措施有下列7項。

提示：內部控制要制度化，制度要流程化。流程是借鑒了計算機軟件設計中的方法論，使工作程序化、標準化、系統化。這樣不易出現漏洞，從而更加嚴謹。

（1）不相容職務分離控制。

提示：

①內部控制的基本假設是：兩個人有意識地犯同樣錯誤的概率要遠少于一個人；兩個人有意識地合伙舞弊的可能性要遠少于一個人。

②不相容職務分離的核心是內部牽制。

③因資源限制等原因無法實現不相容職務相分離的，企業應當采取抽查交易文檔、定期資產盤點等替代性控制措施。

④不相容職務相分離貫穿內部控制、設計、實施、運行、評價全過程。企業在設計內部控制系統時，首先應確定哪些崗位和職務是不相容的；其次要明確規定各個機構和崗位的職責權限，使不相容崗位和職務之間能夠相互監督、相互制約，形成有效的制衡機制。

不相容職務分離控制貫穿于企業經營管理活動的始終，是企業防范風險的重要手段之一。

（2）授權審批控制。

提示：“授權”表明了企業各項決策和業務必須由具備適當權限的人員辦理，這一權限通過公司章程約定或其他方式授予。（權限指引）。

授權時對事不對人、不可越權授權、要適度授權、授權后要適當的監督。授權時盡量采用書面形式，特別授權一般采用口頭形式；審批不得越權、不得隨意審批。

（3）會計系統控制。

（4）財產保護控制。

（5）預算控制。

預算是企業未來一定時期內經營、資本、財務等各方面的收入、支出、現金流的總體計劃。預算控制的內容涵蓋了企業經營活動全過程，企業通過預算的編制和檢查預算的執行情況，可以比較、分析內部各單位未完成預算的原因，并對未完成預算的不良后果采取改進措施。

分解預算控制的主要環節有：①確定預算的項目、標準和程序；②編制和審定預算；③預算指標的下達和責任人的落實；④預算執行的授權；⑤預算執行過程的監控；⑥預算差異的分析和調整；⑦預算業績的考核和獎懲。

（6）運營分析控制。

運營分析是對企業內部各項業務、各類機構的運行情況進行獨立分析或綜合分析，進而掌握企業運營的效率和效果，為持續的優化調整奠定基礎。

（7）績效考評控制。

績效考評是對所屬單位及個人占有、使用、管理與配置企業經濟資源的效果進行的評價。企業董事會及經理層可以根據績效考評的結果進行有效決策，引導和規范員工行為，促進實現發展戰略和提高經營效率效果。

主要環節有：

①確定績效考評目標，績效考評目標應當具有針對性和可操作性；

②設置考核指標體系，包括定量指標（以反映評價客體的各種數量特征）和定性指標（以說明各項非數量指標的影響），同時，針對不同的評價指標賦予相應的權重，體現各項評價指標對績效考評結果的影響程度和重要程度；

③選擇考核評價標準，評價標準是反映評價指標優劣的具體參照物和對比尺度，企業可以根據評價目標選用不同的評價標準，如歷史標準、預算標準、行業標準等；

④形成評價結果，根據評價指標和評價標準，對企業全體員工的業績進行定期考核和客觀評價，在此基礎上形成評價結論；

⑤制定獎懲措施，企業應當將績效考評結果作為確定員工薪酬以及職務晉升、評優、降級、調崗和辭退等的依據。

除上述常見控制措施外，企業還需建立重大風險預警機制和突發事件應急處理機制，明確風險預警標準，對可能發生的重大風險或突發事件，制定應急預案，明確責任人員、規范處理程序，確保突發事件得到及時妥善的處理。

提示：

內部控制環境與控制活動

內部控制環境是其他四個要素的基礎，在企業內部控制的建立與實施中發揮著基礎性作用。任何企業要有健全的治理結構，明確機構設置及權責分配，完善的內部審計制度，人力資源政策，塑造良好的企業文化。應充分體現企業業務模式、經營管理的特點以及內部控制的要求，與企業自身的規模、發展階段相適應。

控制活動是指結合具體業務和事項，運用相應的控制措施和程序去實施控制。也就是在風險評估之后，企業采取相應的控制措施以將風險控制在可承受的范圍之內（7項控制措施）。

4.信息與溝通（重要條件）

信息與溝通是企業及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間進行有效溝通，是實施內部控制的重要條件。信息與溝通的要件主要包括：信息質量、溝通制度、信息系統、反舞弊機制。

（1）信息質量。信息是企業各類業務事項屬性的標識，是確保企業經營管理活動順利開展的基礎。企業日常生產經營需要收集各種內部信息和外部信息，并對這些信息進行合理篩選、核對、整合，提高信息的有用性。

（2）溝通制度。信息的價值必須通過傳遞和使用才能體現。企業應當建立信息溝通制度，將內部控制相關信息在企業內部各管理級次、責任單位、業務環節之間，以及企業與外部投資者、債權人、客戶、供應商、中介機構和監管部門等有關方面之間進行溝通和反饋。重要信息須及時傳遞給董事會、監事會和經理層。

（4）反舞弊機制。舞弊是指企業董事、監事、經理、其他高級管理人員、員工或第三方使用欺騙手段獲取不當或非法利益的故意行為。反舞弊工作的重點領域包括：①侵占、挪用企業資產，謀取不正當利益；②在財務會計報告和信息披露等方面存在虛假記載、誤導性陳述或者重大遺漏等；③董事、監事、經理及其他高級管理人員濫用職權；④相關機構或人員串通舞弊。為確保反舞弊工作落到實處，企業應當建立舉報投訴制度和舉報人保護制度，設置舉報專線，明確舉報投訴處理程序、辦理時限和辦結要求，

確保舉報、投訴成為企業有效掌握信息的重要途徑。舉報投訴制度和舉報人保護制度應當及時傳達至全體員工。

COSO框架認為，舞弊風險的評估需要考慮：虛假報告、資產損失的可能性以及各種舞弊、不當行為所導致的腐敗行為；各種動機和壓力；未經授權的獲取、使用或出售資產、改變主體報告記錄或犯有其他不當行為等方面的機會；管理層及其他人員是如何參與不當行為并對此進行辯解的。此外，通過集中管理的職責分離可一定程度地減少舞弊的可能性。

5.內部監督（重要保證）

內部監督是企業對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，對于發現的內部控制缺陷，及時加以改進，是實施內部控制的重要保證。內部監督包括日常監督和專項監督。

（1）日常監督。日常監督是指企業對建立與實施內部控制的情況進行常規、持續的監督檢查。日常監督的常見方式包括：①在日常生產經營活動中獲得能夠判斷內部控制設計與運行情況的信息；②在與外部有關方面溝通過程中獲得有關內部控制設計與運行情況的驗證信息；③在與員工溝通過程中獲得內部控制是否有效執行的證據；④通過賬面記錄與實物資產的檢查比較對資產的安全性進行持續監督；⑤通過內部審計活動對內部控制有效性進行持續監督。

（2）專項監督。專項監督是指在企業發展戰略、組織結構、經營活動、業務流程、關鍵崗位員工等發生較大調整或變化的情況下，對內部控制的某一方面或某些方面進行有針對性的監督檢查。日常監督是專項監督的基礎，專項監督是日常監督的補充，如果發現某專項監督需要經常性地進行，企業有必要將其納入日常監督之中。

日常監督和專項監督情況應當形成書面報告，并在報告中揭示存在的內部控制缺陷。

基于上述控制方法，內部控制可以分為不同類型，按是否與業務直接相關分為企業層面控制和業務層面控制；按控制目的不同可分為會計控制和管理控制，如會計系統控制屬于會計控制，預算控制、運營分析控制則屬于管理控制；按控制功能不同分為預防式控制和發現型控制，如預算控制屬于預防式控制、績效考評控制則屬于發現型控制；

按控制目標不同分為財產物資控制、會計信息控制、財務收支控制、經營決策控制、經濟效益控制、經營目標控制；按照是否信息化分為人工控制和自動控制；信息系統控制分為一般控制和應用控制，開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全均屬于一般控制，而設計在信息系統中、有助于達到信息處理目標的控制則屬于應用控制。

COSO框架強調，企業內部控制有效，應保證五要素同時存在并持續運行，并且五要素應以整合的方式共同運行，以將影響目標實現的風險降低至可接受的水平。這是因為，企業層面的失控容易導致業務層面的失控，但單純的業務操作失控也會給企業造成損失，如證券公司交易員的操作失誤可能導致證券市場巨大波動及公司損失。因此，無論忽視哪一方面導致的重大內部控制缺陷，都可能給企業造成損失甚至滅頂之災。

提示：內部控制五大要素貫穿內部控制全過程，要與內部控制五大目標，五項原則結合起來掌握。

（三）內部控制活動的基本內容（★）

我國《內部控制應用指引》將內部控制分為企業層面控制和業務層面控制。企業層面包括組織架構、發展戰略、人力資源、社會責任、企業文化等5項對實現控制目標有重大影響，且與內部環境、風險評估、信息與溝通，內部監督直接相關的控制，業務層面包括資金、采購、資產、銷售、研發、工程、擔保、業務外包、財務報告、全面預算、合同、內部信息傳遞、信息系統等13項具體業務和事項的控制。每項應用指引均分析了所涉及的主要風險和關鍵控制點及控制措施，構成企業內部控制活動的基本內容。

在實務中，企業進行內部控制體系建設時，應在遵循內部控制規范的基礎上，結合實際，綜合利用控制方法，分企業層面、業務層面分別分析風險、制定關鍵控制點和控制措施，分別落實責任和執行。