内部控制概念要素原则方法

内部控制是指一个单位的各级管理层，为了保护其经济资源的安全、完整，确保经济和会计信息的正确可靠，协调经济行为，控制经济活动，利用单位内部分工而产生的相互制约，相互联系的关系，形成一系列具有控制职能的方法、措施、程序，并予以规范化，系统化，使之成为一个严密的、较为完整的体系.是用来协调经济行为、控制经济活动，从而形成一系列具有控制职能的方法、措施、程序，并予以规范化，系统化，使之成为一个严密的、较为完整的体系。它有几项构成要素构成。

内部控制的构成要素包括以下几项：

一、内部环境

内部环境是内部控制存在和发展的空间，

是内部控制赖以生存的土壤，

控制环境的好坏

直接决定着其他控制要素能否发挥作用。内部环境包括了：

1、董事会;

2、监事会;

3、组织结构;

4、授权和分配责任的方法;

5、审计委员会及内部审计;

6、人力资源政策和实务;

7、员工;

8、企业文化。

二、风险评估

风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

常用的方法主要包括：

1、风险因素分析法

风险因素分析法是指对可能导致风险发生的因素进行评价分析，从而确定风险发生概率大小的风险评估方法。

其一般思路是：

调查风险源→识别风险转化条件→确定转化条件是否

具备→估计风险发生的后果→风险评价。

2、模糊综合评价法

3、内部控制评价法

内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关，因而这种方法主要在控制风险的评估中使用。注册会计师对于企业内部控制所做出的研究和评价可分为三个步骤：

4、分析性复核法

分析性复核法是注册会计师对被审计单位主要比率或趋势进行分析，包括调查异常变动以及这些重要比率或趋势与预期数额和相关信息的差异，以推测会计报表是否存在重要错报或漏报可能性。常用的方法有比较分析法、比率分析法、趋势分析法三种。

5、定性风险评价法

定性风险评价法是指那些通过观察、调查与分析，并借助注册会计师的经验、专业标准和判断等能对审计风险进行定性评估的方法。它具有便捷、有效的优点，适合评估各种审计风险。主要方法有：观察法、调查了解法、逻辑分析法、类似估计法。

6、风险率风险评价法

风险率风险评价法是定量风险评价法中的一种。

它的基本思路是：先计算出风险率，然后把风险率与风险安全指标相比较，若风险率大于风险安全指标，则系统处于风险状态，两数据相差越大，风险越大。

三、控制活动

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。《基本规范》将控制活动或控制措施概括为7个方面，即不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。同时规定企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制订应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

四、信息与沟通

信息沟通是指可解释的信息由发送人传递到接收人的过程。具体地说，它是人与人之间思想、感情、观念、态度的交流过程，是情报相互交换的过程。信息沟通的作用在于使组织内的每一个成员都能够做到在适当的时候，将适当的信息，用适当的方法，传给适当的人，从而形成一个健全的迅速的有效的信息传递系统，以有利于组织目标的实现。

五、内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。《基本规范》主要针对内部监督的类型和方式、内部控制自我评价和缺陷认定机制、内部控制记录制度等进行规定。

内部控制原则

内部控制原则是企业建立与实施内部控制应当遵循的基本指针。企业建立与实施内部控制应当遵循5项原则，即全面性、重要性、制衡性、适应性和成本效益原则。

（一）全面性原则

内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项实现全过程、全员性控制，不存在内部控制空白点。

（二）重要性原则

内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域，并采取更为严格的控制措施，确保不存在重大缺陷。重要性原则的应用需要一定的职业判断，企业应当根据所处行业环境和经营特点，从业务事项的性质和涉及金额两方面来考虑是否及如何实行重点控制。

（三）制衡性原则

内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节；同时，还要求履行内部控制监督职责的机构或人员具有良好的独立性。

（四）适应性原则

内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化加以调整。适应性原则要求企业建立与实施内部控制应当具有前瞻性，适时地对内部控制系统进行评估，发现可能存在的问题，并及时采取措施予以补救。

（五）成本效益原则

内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。对成本效益原则的判断需要从企业整体利益出发，尽管某些控制会影响工作效率，但可能会避免整个企业面临更大损失，此时仍应实施相应控制。

内部控制要素

（一）内部环境包括1.治理结构

公司治理结构指的是内部治理结构，又称法人治理结构，是根据权力机构、决

策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则实现对公司的治理。

治理结构是由股东大会、董事会、监事会和管理层组成的，决定公司内部决策过程和利益相关者参与公司治理的办法，主要作用在于协调公司内部不同产权主体之间的经济利益矛盾，减少代理成本。

2.机构设置与权责分配

公司制企业中股东大会（权力机构）、董事会（决策机构）、监事会（监督机构）、总经理层（日常管理机构）这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但并不能满足内部控制对企业组织结构的要求，内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。

所采用的组织结构应当有利于提升管理效能，并保证信息通畅流动。

3.内部审计机制

内部审计控制是内部控制的一种特殊形式。根据中国内部审计协会的解释，内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。

内部审计的范围主要包括财务会计、管理会计和内部控制检查。内部审计机制的设立包括内部审计机构设置、人员配备、工作开展及其独立性的保证等。

4.人力资源政策

人力资源政策是影响企业内部环境的关键因素，它所包括的雇用、培训、评价、考核、晋升、奖惩等业务，向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息，这些业务都与公司员工密切相关，而员工正是公司中执行内部控制的主体。 一个良好的人力资源政策，能够有效地促进内部控制在企业中的顺利实施，并保证其实施的质量。

5.企业文化

企业文化体现为人本管理理论的最高层次。企业文化重视人的因素，强调精神文化的力量，希望用一种无形的文化力量形成一种行为准则、价值观念和道德规范，凝聚企业员工的归属感、积极性和创造性，引导企业员工为企业和社会的发展而努力，并通过各种渠道对社会文化的大环境产生作用。

（二）风险评估

风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。

1.目标设定

风险是指一个潜在事项的发生对目标实现产生的影响。风险与可能被影响的控制

目标相关联。企业必须制定与生产、销售、财务等业务相关的目标，设立可辨认、分析和管理相关风险的机制，以了解企业所面临的来自内部和外部的各种不同风险。

企业开展风险评估，应当准确识别与实现控制目标相关的内部风险与外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

2.风险识别

风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节，主要回答的问题是：存在哪些风险，哪些风险应予以考虑，引起风险的主要因素是什么，这些风险所引起的后果及严重程度如何，风险识别的方法有哪些等。而其中企业在风险评估过程中，更应当关注引起风险的主要因素，应当准确识别与实现控制目标有关的内部风险和外部风险。

3.风险分析

风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断，并确定风险重要性水平的过程。企业应当在充分识别各种潜在风险因素的基础上，对固有风险，即不采取任何防范措施可能造成的损失程度进行分析，同时，重点分析剩余风险，即采取了相应应对措施之后仍可能造成的损失程度。企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

4.风险应对

企业应当在分析相关风险的可能性和影响程度基础上，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。 企业管理层在评估了相关风险的可能性和后果，以及成本效益之后要选择一系列策略使剩余风险处于期望的风险容限以内。常用的风险应对策略有：

（1）风险规避。

风险规避，即改变或回避相关业务，不承担相应风险，是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。例如：由于雨雪天气，航空公司取消某次航班；企业拒绝与不守信用的厂商有业务来往；新产品在试制阶段发现问题而果断地停止研发。

（2）风险承受。

风险承受，即比较风险与收益后，愿意无条件承担全部风险，是企业在权衡成本效益之后，对风险承受度之内的风险，不准备采取控制措施降低风险或者减轻损失的策略。例如：企业设有一个小型仓库，平时就存放一些待处理的设备（市场价值很小），如果为了防止这些设备被盗偷而专门雇佣一个保管员，那么这时支付保管员的费用要远高于设备的价值，显然，不符合成本效益原则，因此，对于

这种存在的失窃风险企业就应该采用风险承受策略。

（3）风险降低。

风险降低，即采取一切措施降低发生不利后果的可能性,是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略，包括两类措施：风险预防和风险抑制。

（4）风险分担。

风险分担，即通过购买保险、外包业务等方式来分担一部分风险,是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。常见的措施有业务分包、购买保险等。例如：大学里学生宿舍的管理外包给物业公司负责，这是由于大学本身不具有物业管理的能力，通过外包的方式转移了与物业相关的风险；公司给某些关键设备购买财产保险来转移风险。

风险应对策略往往是结合运用的。同时企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

（三）控制活动

控制活动是指企业根据风险应对策略，采用相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。常见的控制措施有：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与检查性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。

1.不相容职务分离控制

所谓不相容职务，是指那些如果由一个人担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。

2.授权审批控制

授权批准是指企业在办理各项经济业务时，必须经过规定程序的授权批准。授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。

3.会计系统控制

会计作为一个信息系统，对内能够向管理层提供经营管理的诸多信息，对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等进行的控制。

4.财产保护控制

财产保护控制是指为了确保企业财产物资安全、完整所采用的各种方法和措施。财产是企业资金、财物及民事权利义务的总和，按是否具有实物形态，分为有形财产（如资金、财物）和无形财产（如著作权、发明权），按民事权利义务，分为积极财产（如金钱、财物及各种权益）和消极财产（如债务）。财产是企业开展各项生产经营活动的物质基础，企业应采取有效措施，加强对企业财产物资的保护。

5.预算控制

预算是企业未来一定时期内经营、资本、财务等各方面的收入、支出、现金流的总体计划。预算控制是内部控制中使用得较为广泛的一种控制措施。通过预算控制，使得企业的经营目标转化为各部门、各个岗位以至个人的具体行为目标，作为各责任企业的约束条件，能够从根本上保证企业经营目标的实现。

6.运营分析控制

运营活动分析，曾被称为经营活动分析，但实际上运营活动是比经营活动范畴更广，更能够全面涵盖企业活动的提法。运营分析是对企业内部各项业务、各类机构的运行情况进行独立分析或综合分析，进而掌握企业运营的效率和效果，为持续的优化调整奠定基础。

企业运营活动分析的方法包括定性分析法和定量分析法。定性分析法可以有专家建议法、专家会议法、主观概率法和特尔菲法（通过函询的方式收集专家意见，对未来进行直观预测的一种定性方法）。定量分析法可以有对比分析法、趋势分析法、因素分析法和比率分析法。

运营分析控制要求企业建立运营情况分析制度，综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方面，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

7.绩效考评控制

绩效考评是对所属企业及个人占有、使用、管理与配置企业经济资源的效果进行的评价。绩效考评是一个过程，即首先明确企业要做什么（目标和计划），然后找到衡量工作做得好坏的标准进行监测（构建指标体系并进行监测），发现做得好的（绩效考核），进行奖励（激励机制），使其继续保持或者做得更好，能够完成更高的目标。更为重要的是，发现不好的地方，通过分析找到问题所在，进行改正，使得工作做得更好（绩效改进）。这个过程就是绩效考评过程。企业为了完成这个管理过程所构建起来的管理体系，就是绩效考评体系。

（四）信息与沟通

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，是实施内部控制的重要条件。企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。信息与沟通的要件主要包括：信息质量、沟通制度、信息系统、反舞弊机制。

1.信息质量

信息是企业各类业务事项属性的标识，是确保企业经营管理活动顺利开展的基础。企业日常生产经营需要收集各种内部信息和外部信息，并对这些信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；还可以通过行业协会组织、社会中介机构、业务往来企业、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

2.沟通制度

信息的价值必须通过传递和使用才能体现。企业应当建立信息沟通制度，将内部控制相关信息在企业内部各管理级次、责任企业、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息须及时传递给董事会、监事会和经理层。

3.信息系统

为提高控制效率，企业可以运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。企业利用信息技术对信息进行集成和共享的同时，还应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

4.反舞弊机制

舞弊是指企业董事、监事、经理、其他高级管理人员、员工或第三方使用欺骗手段获取不当或非法利益的故意行为，它是需要企业重点加以控制的领域之一。企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

反舞弊工作的重点包括：

（1）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益；

（2）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等；

（3）董事、监事、经理及其他高级管理人员滥用职权；

（4）相关机构或人员串通舞弊。

为确保反舞弊工作落到实处，企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办理要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。信息与沟通的方式是灵活多样的，但无论哪种方式，都应当保证信息的真实性、及时性和有用性。

（五）内部监督

内部监督是企业对内部控制建立与实施情况监督检查，评价内部控制的有效性，对于发现的内部控制缺陷及时加以改进，是实施内部控制的重要保证。从定义出发，内部监督主要有两个方面的意义：第一，发现内控缺陷，改善内部控制体系，促进企业内部控制的健全性、合理性；第二，提高企业内部控制施行的有效性。除此之外，内部监督也是外部监管的有力支撑。最后，内部监督机制可以减少代理成本，保障股东的利益。

1.企业应当制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。但是内部审计机构应该独立于被监督部门。例如，它不能隶属于财务部，否则可能失去应有的独立性与谨慎性。

2.内部监督包括日常监督和专项监督。

（1）日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。日常监督的常见方式包括：在日常生产经营活动中获得能够判断内部控制设计与运行情况的信息；在与外部有关方面沟通过程中获得有关内部控制设计与运行情况的验证信息；在与员工沟通过程中获得内部控制是否有效执行的证据；通过账面记录与实物资产的检查比较对资产的安全性进行持续监督；通过内部审计活动对内部控制有效性进行持续监督。

（2）专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或某些方面进行有针对性的监督检查。

专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。 专项监督应当与日常监督有机结合，日常监督是专项监督的基础，专项监督是日常监督的补充，如果发现某专项监督需要经常性地进行，企业有必要将其纳入日常监督之中。

3.日常监督和专项监督情况应当形成书面报告，并在报告中揭示存在的内部控制缺陷。内部监督形成的报告应当有畅通的报告渠道，确保发现的重要问题能及时送达至治理层和经理层；同时，应当建立内部控制缺陷纠正、改进机制，充分发挥内部监督效力。

4.企业应当在日常监督和专项监督的基础上，定期对内部控制的有效性进行自我评价，出具自我评价报告。内部控制自我评价的方式、范围、程序和频率，除法律法规有特别规定的，一般由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。

货币资金是企业在生产经营活动中处于货币形态的那一部分资金，它包括现金和各种存款。货币资金的内部控制是企业内部控制系统的一个重要组成部分，其内部控制的主要目的是实现企业货币开支的合理、合法和货币回收的安全可靠，防止贪污舞弊行为，保证资产的安全，保证会计资料的正确，满足生产和经营的需要。货币资金的内部控制主要包括三个方面的内容：1．规定货币资金使用的职权和责任，保证权责密切结合。2．规定货币资金核算和管理的处理程序

及手续制度，使货币资金运转正常。3．健全和完善内部财务控制制度，使货币资金业务建立在相互联系和相互制约的基础上。货币资金的内部控制方法有以下几种。

1．职能分离控制

它是指将某些职务分别由两个或两个以上的部门或工作人员担任，以避免或减少发生差错和弊端而进行的控制。企业应建立严格的组织分工和货币资金业务的岗位责任制，即在制定组织组织机构方案和向工作人员分配工作时，都应考虑不相容职务的分离。应当分离的职务内容较多，一般包括；

（1）经济业务的授权者与执行者应当分离。

（2）经济业务的审核者与执行者应当分离。

（3）经济业务的记录者与执行者应当分离。

（4）财产、物资、现金、有价证券等资产的保管者与同一资产的或有关交易的记录者和报告者应当分离。

（5）资产的保管者与相关交易的批准者应当分离。

（6）交易的批准者与同一交易或相关资产的记录者和报告者应当分离。

（7）总分类账与明细分类账及日记帐的记录者应当分离。

办理货币资金业务的人员应当具备良好的职业品质，忠于职守，廉洁奉公，遵纪守法，不断提高企业会计业务素质和职业道德水平，并定期进行岗位轮换。明确相关部门和岗位的职责、权限，确保办理货币资金业务的不相容岗位分离、制约和监督，实行钱、帐、印鉴分管责任制。

2．程序、手续控制

任何货币资金的收付业务都应按其业务规律建立管理手续制度。内部财务控制就是要使这一审批手续规范化、制度化，以减少某些不必要的开支，并揭示出与货币资金业务有关的其它业务在内部控制方面的薄弱环节。

货币资金的收付都必须填制或取得合理合法的原始凭证，并经审批共复核后方可作为编制记帐凭证、登记帐簿的依据。

3．现金收支审批权控制

企业应当对货币资金业务建立严格的

授权批准制度，明确审批人对货币资金业务的授权批准方式、权限、程序、责任和相关控制措施，规定经办人办理货币资金业务的职责范围和工作要求。

一支笔审批制度是我国一些企业在财务开支审批方面实行涂一种制度，它强调企业现金支出必须只由一人或其授权审批方可执行。为了使一只笔审批制度的执行围绕企业经营的总目标有序地进行，对于金额较大的现金收支，无论常规的或是例外的，一支笔审批的权限必须分割到若干领导及职能部门分层、互相制约地行使，并且规定审批额度。这样一定程度上发挥了

互相制约的作用，但对于每一细分权限的行使还应有必要的监控。因此，企业应建立各项主要货币资金收支业务的内部控制基本程序及控制点，并明确每个控制点由三个以上分设的岗位（经办、审核、审批）互相制约地行使用权职责。每一个控制点必须经以上三个分设岗位独立地行使职责后方可转至下一个控制点。这样，审批权限、额度制度与控制流程及岗位互相牵制作用的控制点相配合，就形成了一个较为严密的货币资金内部控制体系。

4．预算控制

货币资金预算的控制就是通过对现金投资或现金使用的预算，帮助企业获得最大的收益。其主要手段是对货币资金的收支预测和对货币资金预算的编制。通过较为详细和较为远期的现金收支预测和货币资金预算来规划出期望的收入和所需的现金支出，可精确地规划企业现有闲置资金是否进行投资和经营中需要借款的额度和时间，以利充分发挥资金效用和盈利能力。通过对货币资金收支预算在执行中的调节有利于企业货币资金收支不断保持平衡，从事前对货币资金的来源和使用加以控制，使企业在预算期内保持一个合理的货币资金余额。

现金预算编制者和现金业务核算应分离开，以便更有力地控制现金业务。现金预算编制后，财务经理应认真监督预算的执行，对经营过程中实际现金收支的结果应定期同预算比较分析。如果出现重大差异，可采取必要的措施来调查现金实际的收支结果。

内部控制是指一个单位的各级管理层，为了保护其经济资源的安全、完整，确保经济和会计信息的正确可靠，协调经济行为，控制经济活动，利用单位内部分工而产生的相互制约，相互联系的关系，形成一系列具有控制职能的方法、措施、程序，并予以规范化，系统化，使之成为一个严密的、较为完整的体系.是用来协调经济行为、控制经济活动，从而形成一系列具有控制职能的方法、措施、程序，并予以规范化，系统化，使之成为一个严密的、较为完整的体系。它有几项构成要素构成。

内部控制的构成要素包括以下几项：

一、内部环境

内部环境是内部控制存在和发展的空间，

是内部控制赖以生存的土壤，

控制环境的好坏

直接决定着其他控制要素能否发挥作用。内部环境包括了：

1、董事会;

2、监事会;

3、组织结构;

4、授权和分配责任的方法;

5、审计委员会及内部审计;

6、人力资源政策和实务;

7、员工;

8、企业文化。

二、风险评估

风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

常用的方法主要包括：

1、风险因素分析法

风险因素分析法是指对可能导致风险发生的因素进行评价分析，从而确定风险发生概率大小的风险评估方法。

其一般思路是：

调查风险源→识别风险转化条件→确定转化条件是否

具备→估计风险发生的后果→风险评价。

2、模糊综合评价法

3、内部控制评价法

内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关，因而这种方法主要在控制风险的评估中使用。注册会计师对于企业内部控制所做出的研究和评价可分为三个步骤：

4、分析性复核法

分析性复核法是注册会计师对被审计单位主要比率或趋势进行分析，包括调查异常变动以及这些重要比率或趋势与预期数额和相关信息的差异，以推测会计报表是否存在重要错报或漏报可能性。常用的方法有比较分析法、比率分析法、趋势分析法三种。

5、定性风险评价法

定性风险评价法是指那些通过观察、调查与分析，并借助注册会计师的经验、专业标准和判断等能对审计风险进行定性评估的方法。它具有便捷、有效的优点，适合评估各种审计风险。主要方法有：观察法、调查了解法、逻辑分析法、类似估计法。

6、风险率风险评价法

风险率风险评价法是定量风险评价法中的一种。

它的基本思路是：先计算出风险率，然后把风险率与风险安全指标相比较，若风险率大于风险安全指标，则系统处于风险状态，两数据相差越大，风险越大。

三、控制活动

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。《基本规范》将控制活动或控制措施概括为7个方面，即不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。同时规定企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制订应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

四、信息与沟通

信息沟通是指可解释的信息由发送人传递到接收人的过程。具体地说，它是人与人之间思想、感情、观念、态度的交流过程，是情报相互交换的过程。信息沟通的作用在于使组织内的每一个成员都能够做到在适当的时候，将适当的信息，用适当的方法，传给适当的人，从而形成一个健全的迅速的有效的信息传递系统，以有利于组织目标的实现。

五、内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。《基本规范》主要针对内部监督的类型和方式、内部控制自我评价和缺陷认定机制、内部控制记录制度等进行规定。

内部控制原则

内部控制原则是企业建立与实施内部控制应当遵循的基本指针。企业建立与实施内部控制应当遵循5项原则，即全面性、重要性、制衡性、适应性和成本效益原则。

（一）全面性原则

内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项实现全过程、全员性控制，不存在内部控制空白点。

（二）重要性原则

内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域，并采取更为严格的控制措施，确保不存在重大缺陷。重要性原则的应用需要一定的职业判断，企业应当根据所处行业环境和经营特点，从业务事项的性质和涉及金额两方面来考虑是否及如何实行重点控制。

（三）制衡性原则

内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节；同时，还要求履行内部控制监督职责的机构或人员具有良好的独立性。

（四）适应性原则

内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化加以调整。适应性原则要求企业建立与实施内部控制应当具有前瞻性，适时地对内部控制系统进行评估，发现可能存在的问题，并及时采取措施予以补救。

（五）成本效益原则

内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。对成本效益原则的判断需要从企业整体利益出发，尽管某些控制会影响工作效率，但可能会避免整个企业面临更大损失，此时仍应实施相应控制。

内部控制要素

（一）内部环境包括1.治理结构

公司治理结构指的是内部治理结构，又称法人治理结构，是根据权力机构、决

策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则实现对公司的治理。

治理结构是由股东大会、董事会、监事会和管理层组成的，决定公司内部决策过程和利益相关者参与公司治理的办法，主要作用在于协调公司内部不同产权主体之间的经济利益矛盾，减少代理成本。

2.机构设置与权责分配

公司制企业中股东大会（权力机构）、董事会（决策机构）、监事会（监督机构）、总经理层（日常管理机构）这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但并不能满足内部控制对企业组织结构的要求，内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。

所采用的组织结构应当有利于提升管理效能，并保证信息通畅流动。

3.内部审计机制

内部审计控制是内部控制的一种特殊形式。根据中国内部审计协会的解释，内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。

内部审计的范围主要包括财务会计、管理会计和内部控制检查。内部审计机制的设立包括内部审计机构设置、人员配备、工作开展及其独立性的保证等。

4.人力资源政策

人力资源政策是影响企业内部环境的关键因素，它所包括的雇用、培训、评价、考核、晋升、奖惩等业务，向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息，这些业务都与公司员工密切相关，而员工正是公司中执行内部控制的主体。 一个良好的人力资源政策，能够有效地促进内部控制在企业中的顺利实施，并保证其实施的质量。

5.企业文化

企业文化体现为人本管理理论的最高层次。企业文化重视人的因素，强调精神文化的力量，希望用一种无形的文化力量形成一种行为准则、价值观念和道德规范，凝聚企业员工的归属感、积极性和创造性，引导企业员工为企业和社会的发展而努力，并通过各种渠道对社会文化的大环境产生作用。

（二）风险评估

风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。

1.目标设定

风险是指一个潜在事项的发生对目标实现产生的影响。风险与可能被影响的控制

目标相关联。企业必须制定与生产、销售、财务等业务相关的目标，设立可辨认、分析和管理相关风险的机制，以了解企业所面临的来自内部和外部的各种不同风险。

企业开展风险评估，应当准确识别与实现控制目标相关的内部风险与外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

2.风险识别

风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节，主要回答的问题是：存在哪些风险，哪些风险应予以考虑，引起风险的主要因素是什么，这些风险所引起的后果及严重程度如何，风险识别的方法有哪些等。而其中企业在风险评估过程中，更应当关注引起风险的主要因素，应当准确识别与实现控制目标有关的内部风险和外部风险。

3.风险分析

风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断，并确定风险重要性水平的过程。企业应当在充分识别各种潜在风险因素的基础上，对固有风险，即不采取任何防范措施可能造成的损失程度进行分析，同时，重点分析剩余风险，即采取了相应应对措施之后仍可能造成的损失程度。企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

4.风险应对

企业应当在分析相关风险的可能性和影响程度基础上，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。 企业管理层在评估了相关风险的可能性和后果，以及成本效益之后要选择一系列策略使剩余风险处于期望的风险容限以内。常用的风险应对策略有：

（1）风险规避。

风险规避，即改变或回避相关业务，不承担相应风险，是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。例如：由于雨雪天气，航空公司取消某次航班；企业拒绝与不守信用的厂商有业务来往；新产品在试制阶段发现问题而果断地停止研发。

（2）风险承受。

风险承受，即比较风险与收益后，愿意无条件承担全部风险，是企业在权衡成本效益之后，对风险承受度之内的风险，不准备采取控制措施降低风险或者减轻损失的策略。例如：企业设有一个小型仓库，平时就存放一些待处理的设备（市场价值很小），如果为了防止这些设备被盗偷而专门雇佣一个保管员，那么这时支付保管员的费用要远高于设备的价值，显然，不符合成本效益原则，因此，对于

这种存在的失窃风险企业就应该采用风险承受策略。

（3）风险降低。

风险降低，即采取一切措施降低发生不利后果的可能性,是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略，包括两类措施：风险预防和风险抑制。

（4）风险分担。

风险分担，即通过购买保险、外包业务等方式来分担一部分风险,是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。常见的措施有业务分包、购买保险等。例如：大学里学生宿舍的管理外包给物业公司负责，这是由于大学本身不具有物业管理的能力，通过外包的方式转移了与物业相关的风险；公司给某些关键设备购买财产保险来转移风险。

风险应对策略往往是结合运用的。同时企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

（三）控制活动

控制活动是指企业根据风险应对策略，采用相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。常见的控制措施有：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与检查性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。

1.不相容职务分离控制

所谓不相容职务，是指那些如果由一个人担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。

2.授权审批控制

授权批准是指企业在办理各项经济业务时，必须经过规定程序的授权批准。授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。

3.会计系统控制

会计作为一个信息系统，对内能够向管理层提供经营管理的诸多信息，对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等进行的控制。

4.财产保护控制

财产保护控制是指为了确保企业财产物资安全、完整所采用的各种方法和措施。财产是企业资金、财物及民事权利义务的总和，按是否具有实物形态，分为有形财产（如资金、财物）和无形财产（如著作权、发明权），按民事权利义务，分为积极财产（如金钱、财物及各种权益）和消极财产（如债务）。财产是企业开展各项生产经营活动的物质基础，企业应采取有效措施，加强对企业财产物资的保护。

5.预算控制

预算是企业未来一定时期内经营、资本、财务等各方面的收入、支出、现金流的总体计划。预算控制是内部控制中使用得较为广泛的一种控制措施。通过预算控制，使得企业的经营目标转化为各部门、各个岗位以至个人的具体行为目标，作为各责任企业的约束条件，能够从根本上保证企业经营目标的实现。

6.运营分析控制

运营活动分析，曾被称为经营活动分析，但实际上运营活动是比经营活动范畴更广，更能够全面涵盖企业活动的提法。运营分析是对企业内部各项业务、各类机构的运行情况进行独立分析或综合分析，进而掌握企业运营的效率和效果，为持续的优化调整奠定基础。

企业运营活动分析的方法包括定性分析法和定量分析法。定性分析法可以有专家建议法、专家会议法、主观概率法和特尔菲法（通过函询的方式收集专家意见，对未来进行直观预测的一种定性方法）。定量分析法可以有对比分析法、趋势分析法、因素分析法和比率分析法。

运营分析控制要求企业建立运营情况分析制度，综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方面，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

7.绩效考评控制

绩效考评是对所属企业及个人占有、使用、管理与配置企业经济资源的效果进行的评价。绩效考评是一个过程，即首先明确企业要做什么（目标和计划），然后找到衡量工作做得好坏的标准进行监测（构建指标体系并进行监测），发现做得好的（绩效考核），进行奖励（激励机制），使其继续保持或者做得更好，能够完成更高的目标。更为重要的是，发现不好的地方，通过分析找到问题所在，进行改正，使得工作做得更好（绩效改进）。这个过程就是绩效考评过程。企业为了完成这个管理过程所构建起来的管理体系，就是绩效考评体系。

（四）信息与沟通

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，是实施内部控制的重要条件。企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。信息与沟通的要件主要包括：信息质量、沟通制度、信息系统、反舞弊机制。

1.信息质量

信息是企业各类业务事项属性的标识，是确保企业经营管理活动顺利开展的基础。企业日常生产经营需要收集各种内部信息和外部信息，并对这些信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；还可以通过行业协会组织、社会中介机构、业务往来企业、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

2.沟通制度

信息的价值必须通过传递和使用才能体现。企业应当建立信息沟通制度，将内部控制相关信息在企业内部各管理级次、责任企业、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息须及时传递给董事会、监事会和经理层。

3.信息系统

为提高控制效率，企业可以运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。企业利用信息技术对信息进行集成和共享的同时，还应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

4.反舞弊机制

舞弊是指企业董事、监事、经理、其他高级管理人员、员工或第三方使用欺骗手段获取不当或非法利益的故意行为，它是需要企业重点加以控制的领域之一。企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

反舞弊工作的重点包括：

（1）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益；

（2）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等；

（3）董事、监事、经理及其他高级管理人员滥用职权；

（4）相关机构或人员串通舞弊。

为确保反舞弊工作落到实处，企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办理要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。信息与沟通的方式是灵活多样的，但无论哪种方式，都应当保证信息的真实性、及时性和有用性。

（五）内部监督

内部监督是企业对内部控制建立与实施情况监督检查，评价内部控制的有效性，对于发现的内部控制缺陷及时加以改进，是实施内部控制的重要保证。从定义出发，内部监督主要有两个方面的意义：第一，发现内控缺陷，改善内部控制体系，促进企业内部控制的健全性、合理性；第二，提高企业内部控制施行的有效性。除此之外，内部监督也是外部监管的有力支撑。最后，内部监督机制可以减少代理成本，保障股东的利益。

1.企业应当制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。但是内部审计机构应该独立于被监督部门。例如，它不能隶属于财务部，否则可能失去应有的独立性与谨慎性。

2.内部监督包括日常监督和专项监督。

（1）日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。日常监督的常见方式包括：在日常生产经营活动中获得能够判断内部控制设计与运行情况的信息；在与外部有关方面沟通过程中获得有关内部控制设计与运行情况的验证信息；在与员工沟通过程中获得内部控制是否有效执行的证据；通过账面记录与实物资产的检查比较对资产的安全性进行持续监督；通过内部审计活动对内部控制有效性进行持续监督。

（2）专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或某些方面进行有针对性的监督检查。

专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。 专项监督应当与日常监督有机结合，日常监督是专项监督的基础，专项监督是日常监督的补充，如果发现某专项监督需要经常性地进行，企业有必要将其纳入日常监督之中。

3.日常监督和专项监督情况应当形成书面报告，并在报告中揭示存在的内部控制缺陷。内部监督形成的报告应当有畅通的报告渠道，确保发现的重要问题能及时送达至治理层和经理层；同时，应当建立内部控制缺陷纠正、改进机制，充分发挥内部监督效力。

4.企业应当在日常监督和专项监督的基础上，定期对内部控制的有效性进行自我评价，出具自我评价报告。内部控制自我评价的方式、范围、程序和频率，除法律法规有特别规定的，一般由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。

货币资金是企业在生产经营活动中处于货币形态的那一部分资金，它包括现金和各种存款。货币资金的内部控制是企业内部控制系统的一个重要组成部分，其内部控制的主要目的是实现企业货币开支的合理、合法和货币回收的安全可靠，防止贪污舞弊行为，保证资产的安全，保证会计资料的正确，满足生产和经营的需要。货币资金的内部控制主要包括三个方面的内容：1．规定货币资金使用的职权和责任，保证权责密切结合。2．规定货币资金核算和管理的处理程序

及手续制度，使货币资金运转正常。3．健全和完善内部财务控制制度，使货币资金业务建立在相互联系和相互制约的基础上。货币资金的内部控制方法有以下几种。

1．职能分离控制

它是指将某些职务分别由两个或两个以上的部门或工作人员担任，以避免或减少发生差错和弊端而进行的控制。企业应建立严格的组织分工和货币资金业务的岗位责任制，即在制定组织组织机构方案和向工作人员分配工作时，都应考虑不相容职务的分离。应当分离的职务内容较多，一般包括；

（1）经济业务的授权者与执行者应当分离。

（2）经济业务的审核者与执行者应当分离。

（3）经济业务的记录者与执行者应当分离。

（4）财产、物资、现金、有价证券等资产的保管者与同一资产的或有关交易的记录者和报告者应当分离。

（5）资产的保管者与相关交易的批准者应当分离。

（6）交易的批准者与同一交易或相关资产的记录者和报告者应当分离。

（7）总分类账与明细分类账及日记帐的记录者应当分离。

办理货币资金业务的人员应当具备良好的职业品质，忠于职守，廉洁奉公，遵纪守法，不断提高企业会计业务素质和职业道德水平，并定期进行岗位轮换。明确相关部门和岗位的职责、权限，确保办理货币资金业务的不相容岗位分离、制约和监督，实行钱、帐、印鉴分管责任制。

2．程序、手续控制

任何货币资金的收付业务都应按其业务规律建立管理手续制度。内部财务控制就是要使这一审批手续规范化、制度化，以减少某些不必要的开支，并揭示出与货币资金业务有关的其它业务在内部控制方面的薄弱环节。

货币资金的收付都必须填制或取得合理合法的原始凭证，并经审批共复核后方可作为编制记帐凭证、登记帐簿的依据。

3．现金收支审批权控制

企业应当对货币资金业务建立严格的

授权批准制度，明确审批人对货币资金业务的授权批准方式、权限、程序、责任和相关控制措施，规定经办人办理货币资金业务的职责范围和工作要求。

一支笔审批制度是我国一些企业在财务开支审批方面实行涂一种制度，它强调企业现金支出必须只由一人或其授权审批方可执行。为了使一只笔审批制度的执行围绕企业经营的总目标有序地进行，对于金额较大的现金收支，无论常规的或是例外的，一支笔审批的权限必须分割到若干领导及职能部门分层、互相制约地行使，并且规定审批额度。这样一定程度上发挥了

互相制约的作用，但对于每一细分权限的行使还应有必要的监控。因此，企业应建立各项主要货币资金收支业务的内部控制基本程序及控制点，并明确每个控制点由三个以上分设的岗位（经办、审核、审批）互相制约地行使用权职责。每一个控制点必须经以上三个分设岗位独立地行使职责后方可转至下一个控制点。这样，审批权限、额度制度与控制流程及岗位互相牵制作用的控制点相配合，就形成了一个较为严密的货币资金内部控制体系。

4．预算控制

货币资金预算的控制就是通过对现金投资或现金使用的预算，帮助企业获得最大的收益。其主要手段是对货币资金的收支预测和对货币资金预算的编制。通过较为详细和较为远期的现金收支预测和货币资金预算来规划出期望的收入和所需的现金支出，可精确地规划企业现有闲置资金是否进行投资和经营中需要借款的额度和时间，以利充分发挥资金效用和盈利能力。通过对货币资金收支预算在执行中的调节有利于企业货币资金收支不断保持平衡，从事前对货币资金的来源和使用加以控制，使企业在预算期内保持一个合理的货币资金余额。

现金预算编制者和现金业务核算应分离开，以便更有力地控制现金业务。现金预算编制后，财务经理应认真监督预算的执行，对经营过程中实际现金收支的结果应定期同预算比较分析。如果出现重大差异，可采取必要的措施来调查现金实际的收支结果。