内部控制概念 要素 原则 方法

内部控制是指一个单位的各级管理层，为了保护其经济资源的安全、完整，确保经济和会计信息的正确可靠，协调经济行为，控制经济活动，利用单位内部分工而产生的相互制约，相互联系的关系，形成一系列具有控制职能的方法、措施、程序，并予以规范化，系统化，使之成为一个严密的、较为完整的体系.是用来协调经济行为、控制经济活动，从而形成一系列具有控制职能的方法、措施、程序，并予以规范化，系统化，使之成为一个严密的、较为完整的体系。它有几项构成要素构成。

内部控制的构成要素包括以下几项：

一、内部环境

内部环境是内部控制存在和发展的空间，

是内部控制赖以生存的土壤，

控制环境的好坏

直接决定着其他控制要素能否发挥作用。内部环境包括了：

1、董事会;

2、监事会;

3、组织结构;

4、授权和分配责任的方法;

5、审计委员会及内部审计;

6、人力资源政策和实务;

7、员工;

8、企业文化。

二、风险评估

风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

常用的方法主要包括：

1、风险因素分析法

风险因素分析法是指对可能导致风险发生的因素进行评价分析，从而确定风险发生概率大小的风险评估方法。

其一般思路是：

调查风险源→识别风险转化条件→确定转化条件是否

具备→估计风险发生的后果→风险评价。

2、模糊综合评价法

3、内部控制评价法

内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关，因而这种方法主要在控制风险的评估中使用。注册会计师对于企业内部控制所做出的研究和评价可分为三个步骤：

4、分析性复核法

分析性复核法是注册会计师对被审计单位主要比率或趋势进行分析，包括调查异常变动以及这些重要比率或趋势与预期数额和相关信息的差异，以推测会计报表是否存在重要错报或漏报可能性。常用的方法有比较分析法、比率分析法、趋势分析法三种。

5、定性风险评价法

定性风险评价法是指那些通过观察、调查与分析，并借助注册会计师的经验、专业标准和判断等能对审计风险进行定性评估的方法。它具有便捷、有效的优点，适合评估各种审计风险。主要方法有：观察法、调查了解法、逻辑分析法、类似估计法。

6、风险率风险评价法

风险率风险评价法是定量风险评价法中的一种。

它的基本思路是：先计算出风险率，然后把风险率与风险安全指标相比较，若风险率大于风险安全指标，则系统处于风险状态，两数据相差越大，风险越大。三、控制活动

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。《基本规范》将控制活动或控制措施概括为7个方面，即不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。同时规定企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制订应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

四、信息与沟通

信息沟通是指可解释的信息由发送人传递到接收人的过程。具体地说，它是人与人之间思想、感情、观念、态度的交流过程，是情报相互交换的过程。信息沟通的作用在于使组织内的每一个成员都能够做到在适当的时候，将适当的信息，用适当的方法，传给适当的人，从而形成一个健全的迅速的有效的信息传递系统，以有利于组织目标的实现。

五、内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。《基本规范》主要针对内部监督的类型和方式、内部控制自我评价和缺陷认定机制、内部控制记录制度等进行规定。

内部控制原则

内部控制原则是企业建立与实施内部控制应当遵循的基本指针。企业建立与实施内部控制应当遵循5项原则，即全面性、重要性、制衡性、适应性和成本效益原则。

（一）全面性原则

内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项实现全过程、全员性控制，不存在内部控制空白点。

（二）重要性原则

内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域，并采取更为严格的控制措施，确保不存在重大缺陷。重要性原则的应用需要一定的职业判断，企业应当根据所处行业环境和经营特点，从业务事项的性质和涉及金额两方面来考虑是否及如何实行重点控制。

（三）制衡性原则

内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节；同时，还要求履行内部控制监督职责的机构或人员具有良好的独立性。

（四）适应性原则

内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化加以调整。适应性原则要求企业建立与实施内部控制应当具有前瞻性，适时地对内部控制系统进行评估，发现可能存在的问题，并及时采取措施予以补救。

（五）成本效益原则

内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。对成本效益原则的判断需要从企业整体利益出发，尽管某些控制会影响工作效率，但可能会避免整个企业面临更大损失，此时仍应实施相应控制。

内部控制要素

（一）内部环境包括1.治理结构

公司治理结构指的是内部治理结构，又称法人治理结构，是根据权力机构、决

策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则实现对公司的治理。

治理结构是由股东大会、董事会、监事会和管理层组成的，决定公司内部决策过程和利益相关者参与公司治理的办法，主要作用在于协调公司内部不同产权主体之间的经济利益矛盾，减少代理成本。

2.机构设置与权责分配

公司制企业中股东大会（权力机构）、董事会（决策机构）、监事会（监督机构）、总经理层（日常管理机构）这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但并不能满足内部控制对企业组织结构的要求，内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。

所采用的组织结构应当有利于提升管理效能，并保证信息通畅流动。

3.内部审计机制

内部审计控制是内部控制的一种特殊形式。根据中国内部审计协会的解释，内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。

内部审计的范围主要包括财务会计、管理会计和内部控制检查。内部审计机制的设立包括内部审计机构设置、人员配备、工作开展及其独立性的保证等。

4.人力资源政策

人力资源政策是影响企业内部环境的关键因素，它所包括的雇用、培训、评价、考核、晋升、奖惩等业务，向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息，这些业务都与公司员工密切相关，而员工正是公司中执行内部控制的主体。一个良好的人力资源政策，能够有效地促进内部控制在企业中的顺利实施，并保证其实施的质量。

5.企业文化

企业文化体现为人本管理理论的最高层次。企业文化重视人的因素，强调精神文化的力量，希望用一种无形的文化力量形成一种行为准则、价值观念和道德规范，凝聚企业员工的归属感、积极性和创造性，引导企业员工为企业和社会的发展而努力，并通过各种渠道对社会文化的大环境产生作用。

（二）风险评估

风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。

1.目标设定

风险是指一个潜在事项的发生对目标实现产生的影响。风险与可能被影响的控制

目标相关联。企业必须制定与生产、销售、财务等业务相关的目标，设立可辨认、分析和管理相关风险的机制，以了解企业所面临的来自内部和外部的各种不同风险。

企业开展风险评估，应当准确识别与实现控制目标相关的内部风险与外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

2.风险识别

风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节，主要回答的问题是：存在哪些风险，哪些风险应予以考虑，引起风险的主要因素是什么，这些风险所引起的后果及严重程度如何，风险识别的方法有哪些等。而其中企业在风险评估过程中，更应当关注引起风险的主要因素，应当准确识别与实现控制目标有关的内部风险和外部风险。

3.风险分析

风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断，并确定风险重要性水平的过程。企业应当在充分识别各种潜在风险因素的基础上，对固有风险，即不采取任何防范措施可能造成的损失程度进行分析，同时，重点分析剩余风险，即采取了相应应对措施之后仍可能造成的损失程度。企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

4.风险应对

企业应当在分析相关风险的可能性和影响程度基础上，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。

企业管理层在评估了相关风险的可能性和后果，以及成本效益之后要选择一系列策略使剩余风险处于期望的风险容限以内。常用的风险应对策略有：

（1）风险规避。

风险规避，即改变或回避相关业务，不承担相应风险，是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。例如：由于雨雪天气，航空公司取消某次航班；企业拒绝与不守信用的厂商有业务来往；新产品在试制阶段发现问题而果断地停止研发。

（2）风险承受。

风险承受，即比较风险与收益后，愿意无条件承担全部风险，是企业在权衡成本效益之后，对风险承受度之内的风险，不准备采取控制措施降低风险或者减轻损失的策略。例如：企业设有一个小型仓库，平时就存放一些待处理的设备（市场价值很小），如果为了防止这些设备被盗偷而专门雇佣一个保管员，那么这时支付保管员的费用要远高于设备的价值，显然，不符合成本效益原则，因此，对于

这种存在的失窃风险企业就应该采用风险承受策略。

（3）风险降低。

风险降低，即采取一切措施降低发生不利后果的可能性,是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略，包括两类措施：风险预防和风险抑制。

（4）风险分担。

风险分担，即通过购买保险、外包业务等方式来分担一部分风险,是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。常见的措施有业务分包、购买保险等。例如：大学里学生宿舍的管理外包给物业公司负责，这是由于大学本身不具有物业管理的能力，通过外包的方式转移了与物业相关的风险；公司给某些关键设备购买财产保险来转移风险。

风险应对策略往往是结合运用的。同时企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

（三）控制活动

控制活动是指企业根据风险应对策略，采用相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。常见的控制措施有：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与检查性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。

1.不相容职务分离控制

所谓不相容职务，是指那些如果由一个人担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。

2.授权审批控制

授权批准是指企业在办理各项经济业务时，必须经过规定程序的授权批准。授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。

3.会计系统控制

会计作为一个信息系统，对内能够向管理层提供经营管理的诸多信息，对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等进行的控制。

4.财产保护控制

财产保护控制是指为了确保企业财产物资安全、完整所采用的各种方法和措施。财产是企业资金、财物及民事权利义务的总和，按是否具有实物形态，分为有形财产（如资金、财物）和无形财产（如著作权、发明权），按民事权利义务，分为积极财产（如金钱、财物及各种权益）和消极财产（如债务）。财产是企业开展各项生产经营活动的物质基础，企业应采取有效措施，加强对企业财产物资的保护。

5.预算控制

预算是企业未来一定时期内经营、资本、财务等各方面的收入、支出、现金流的总体计划。预算控制是内部控制中使用得较为广泛的一种控制措施。通过预算控制，使得企业的经营目标转化为各部门、各个岗位以至个人的具体行为目标，作为各责任企业的约束条件，能够从根本上保证企业经营目标的实现。

6.运营分析控制

运营活动分析，曾被称为经营活动分析，但实际上运营活动是比经营活动范畴更广，更能够全面涵盖企业活动的提法。运营分析是对企业内部各项业务、各类机构的运行情况进行独立分析或综合分析，进而掌握企业运营的效率和效果，为持续的优化调整奠定基础。

企业运营活动分析的方法包括定性分析法和定量分析法。定性分析法可以有专家建议法、专家会议法、主观概率法和特尔菲法（通过函询的方式收集专家意见，对未来进行直观预测的一种定性方法）。定量分析法可以有对比分析法、趋势分析法、因素分析法和比率分析法。

运营分析控制要求企业建立运营情况分析制度，综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方面，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

7.绩效考评控制

绩效考评是对所属企业及个人占有、使用、管理与配置企业经济资源的效果进行的评价。绩效考评是一个过程，即首先明确企业要做什么（目标和计划），然后找到衡量工作做得好坏的标准进行监测（构建指标体系并进行监测），发现做得好的（绩效考核），进行奖励（激励机制），使其继续保持或者做得更好，能够完成更高的目标。更为重要的是，发现不好的地方，通过分析找到问题所在，进行改正，使得工作做得更好（绩效改进）。这个过程就是绩效考评过程。企业为了完成这个管理过程所构建起来的管理体系，就是绩效考评体系。

（四）信息与沟通

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，是实施内部控制的重要条件。企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。信息与沟通的要件主要包括：信息质量、沟通制度、信息系统、反舞弊机制。

1.信息质量

信息是企业各类业务事项属性的标识，是确保企业经营管理活动顺利开展的基础。企业日常生产经营需要收集各种内部信息和外部信息，并对这些信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；还可以通过行业协会组织、社会中介机构、业务往来企业、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

2.沟通制度

信息的价值必须通过传递和使用才能体现。企业应当建立信息沟通制度，将内部控制相关信息在企业内部各管理级次、责任企业、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息须及时传递给董事会、监事会和经理层。

3.信息系统

为提高控制效率，企业可以运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。企业利用信息技术对信息进行集成和共享的同时，还应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

4.反舞弊机制

舞弊是指企业董事、监事、经理、其他高级管理人员、员工或第三方使用欺骗手段获取不当或非法利益的故意行为，它是需要企业重点加以控制的领域之一。企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

反舞弊工作的重点包括：

（1）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益；（2）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等；

（3）董事、监事、经理及其他高级管理人员滥用职权；

（4）相关机构或人员串通舞弊。

为确保反舞弊工作落到实处，企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办理要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。信息与沟通的方式是灵活多样的，但无论哪种方式，都应当保证信息的真实性、及时性和有用性。

（五）内部监督

内部监督是企业对内部控制建立与实施情况监督检查，评价内部控制的有效性，对于发现的内部控制缺陷及时加以改进，是实施内部控制的重要保证。从定义出发，内部监督主要有两个方面的意义：第一，发现内控缺陷，改善内部控制体系，促进企业内部控制的健全性、合理性；第二，提高企业内部控制施行的有效性。除此之外，内部监督也是外部监管的有力支撑。最后，内部监督机制可以减少代理成本，保障股东的利益。

1.企业应当制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。但是内部审计机构应该独立于被监督部门。例如，它不能隶属于财务部，否则可能失去应有的独立性与谨慎性。

2.内部监督包括日常监督和专项监督。

（1）日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。日常监督的常见方式包括：在日常生产经营活动中获得能够判断内部控制设计与运行情况的信息；在与外部有关方面沟通过程中获得有关内部控制设计与运行情况的验证信息；在与员工沟通过程中获得内部控制是否有效执行的证据；通过账面记录与实物资产的检查比较对资产的安全性进行持续监督；通过内部审计活动对内部控制有效性进行持续监督。

（2）专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或某些方面进行有针对性的监督检查。

专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。专项监督应当与日常监督有机结合，日常监督是专项监督的基础，专项监督是日常监督的补充，如果发现某专项监督需要经常性地进行，企业有必要将其纳入日常监督之中。

3.日常监督和专项监督情况应当形成书面报告，并在报告中揭示存在的内部控制缺陷。内部监督形成的报告应当有畅通的报告渠道，确保发现的重要问题能及时送达至治理层和经理层；同时，应当建立内部控制缺陷纠正、改进机制，充分发挥内部监督效力。

4.企业应当在日常监督和专项监督的基础上，定期对内部控制的有效性进行自我评价，出具自我评价报告。内部控制自我评价的方式、范围、程序和频率，除法律法规有特别规定的，一般由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。

货币资金是企业在生产经营活动中处于货币形态的那一部分资金，它包括现金和各种存款。货币资金的内部控制是企业内部控制系统的一个重要组成部分，其内部控制的主要目的是实现企业货币开支的合理、合法和货币回收的安全可靠，防止贪污舞弊行为，保证资产的安全，保证会计资料的正确，满足生产和经营的需要。货币资金的内部控制主要包括三个方面的内容：1．规定货币资金使用的职权和责任，保证权责密切结合。2．规定货币资金核算和管理的处理程序

及手续制度，使货币资金运转正常。3．健全和完善内部财务控制制度，使货币资金业务建立在相互联系和相互制约的基础上。货币资金的内部控制方法有以下几种。

1．职能分离控制

它是指将某些职务分别由两个或两个以上的部门或工作人员担任，以避免或减少发生差错和弊端而进行的控制。企业应建立严格的组织分工和货币资金业务的岗位责任制，即在制定组织组织机构方案和向工作人员分配工作时，都应考虑不相容职务的分离。应当分离的职务内容较多，一般包括；

（1）经济业务的授权者与执行者应当分离。

（2）经济业务的审核者与执行者应当分离。

（3）经济业务的记录者与执行者应当分离。

（4）财产、物资、现金、有价证券等资产的保管者与同一资产的或有关交易的记录者和报告者应当分离。

（5）资产的保管者与相关交易的批准者应当分离。

（6）交易的批准者与同一交易或相关资产的记录者和报告者应当分离。

（7）总分类账与明细分类账及日记帐的记录者应当分离。

办理货币资金业务的人员应当具备良好的职业品质，忠于职守，廉洁奉公，遵纪守法，不断提高企业会计业务素质和职业道德水平，并定期进行岗位轮换。明确相关部门和岗位的职责、权限，确保办理货币资金业务的不相容岗位分离、制约和监督，实行钱、帐、印鉴分管责任制。

2．程序、手续控制

任何货币资金的收付业务都应按其业务规律建立管理手续制度。内部财务控制就是要使这一审批手续规范化、制度化，以减少某些不必要的开支，并揭示出与货币资金业务有关的其它业务在内部控制方面的薄弱环节。

货币资金的收付都必须填制或取得合理合法的原始凭证，并经审批共复核后方可作为编制记帐凭证、登记帐簿的依据。

3．现金收支审批权控制

企业应当对货币资金业务建立严格的

授权批准制度，明确审批人对货币资金业务的授权批准方式、权限、程序、责任和相关控制措施，规定经办人办理货币资金业务的职责范围和工作要求。

一支笔审批制度是我国一些企业在财务开支审批方面实行涂一种制度，它强调企业现金支出必须只由一人或其授权审批方可执行。为了使一只笔审批制度的执行围绕企业经营的总目标有序地进行，对于金额较大的现金收支，无论常规的或是例外的，一支笔审批的权限必须分割到若干领导及职能部门分层、互相制约地行使，并且规定审批额度。这样一定程度上发挥了

互相制约的作用，但对于每一细分权限的行使还应有必要的监控。因此，企业应建立各项主要货币资金收支业务的内部控制基本程序及控制点，并明确每个控制点由三个以上分设的岗位（经办、审核、审批）互相制约地行使用权职责。每一个控制点必须经以上三个分设岗位独立地行使职责后方可转至下一个控制点。这样，审批权限、额度制度与控制流程及岗位互相牵制作用的控制点相配合，就形成了一个较为严密的货币资金内部控制体系。

4．预算控制

货币资金预算的控制就是通过对现金投资或现金使用的预算，帮助企业获得最大的收益。其主要手段是对货币资金的收支预测和对货币资金预算的编制。通过较为详细和较为远期的现金收支预测和货币资金预算来规划出期望的收入和所需的现金支出，可精确地规划企业现有闲置资金是否进行投资和经营中需要借款的额度和时间，以利充分发挥资金效用和盈利能力。通过对货币资金收支预算在执行中的调节有利于企业货币资金收支不断保持平衡，从事前对货币资金的来源和使用加以控制，使企业在预算期内保持一个合理的货币资金余额。

现金预算编制者和现金业务核算应分离开，以便更有力地控制现金业务。现金预算编制后，财务经理应认真监督预算的执行，对经营过程中实际现金收支的结果应定期同预算比较分析。如果出现重大差异，可采取必要的措施来调查现金实际的收支结果。

美国COSO内控框架(2013)的六大变化

美国COSO内控框架（2013）的六大变化 2011年12月，美国科索委员会（COSO）发布了新版内控框架的征求意见稿，面向全球公开征求意见。2013年5月，COSO正式发布新内控框架。 新COSO内控框架的主要变化 新COSO内控框架共包括4部分内容：一是内容摘要，对新框架进行高度总结，包括内部控制的定义、目标、原则、内部控制的有效性和局限性等，使用对象为首席执行官和其他高级管理层、董事会成员和监管者。二是框架内容和附录，包括内部控制的组成部分及相关的原则和关注点，并为各级管理层在设计、实施内部控制和评估其有效性方面提供了指导。三是评估内部控制系统有效性的解释性工具，为管理层在应用框架特别是评估有效性方面提供了模板和行动方案。四是外部财务报告内部控制：方案和示例摘要，在准备外部财务报告过程中为应用框架中的要素和原则提供了实际的方案和示例。 新COSO内控框架在内部控制的定义、内部控制五要素、评估内控体系有效性的标准等方面与旧框架保持了一致。与旧框架相比，新框架的变化主要表现在以下几个方面：细化了内控框架的结构内容。新框架最显著的变化是在旧框架的基础上，提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则组合起来就构成了内部控制的标准，适用于所有的组织。每一项总体原则又由代表其重要特征的多个关注点所支持。这些关注点旨在为管理层提供具体的指引，协助其设计、实施和执行内控，以及评估相关原则是否存在和发挥效用。每个关注点都与17个原则中的某个原则相对应，而每一项原则也都与五要素中的某个要素相对应。 扩大了报告目标的范畴。新内控框架在报告对象和报告内容两个维度上对报告目标进行了扩展。在报告对象上，既要面向外部投资者、债权人和监管部门，确保报告符合有关监管要求；又要面向董事会和经理层，满足企业经营管理决策的需要。 在报告内容上，除了包括传统的财务报告，还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。归纳起来，新COSO内控框架共有四类报告目标：内部财务报告、内部非财务报告、外部财务报告以及外部非财务报告。新框架对报告目标的扩展与我国内控规范体系中对报告范畴的有关规定基本相同。 强调管理层判断的使用。新COSO框架对五要素的分解不是按照子要素来进行的，而是作为“原则”来呈现的，即强调“基于原则”的内控实施和管理层判断的使用。新框架并未要求对17项原则及其关注点进行单独评估以确定其是否存在或有效。管理层可以自由判断新框架所提供关注点的合适度或相关度，然后根据企业的具体情况，来选择和考虑与某一特定原则密切相关的关注点。可以说，在这一点上，COSO新框架吸取了《萨班斯法案》通过以后旧框架实施成本高的教训，使内控实施更加灵活，同时节省了实施成本。 强化公司治理的理念。新框架包括了更多公司治理中有关董事会及其下属专门委员会的内容，强调董事会的监督对内部控制有效性的重要作用。这与我国《企业内部控制基本规范》及《组织架构》应用指引中有关公司治理的规定相一致。

企业内部控制基本规范解读

《企业内部控制基本规范》解读 一、内部控制概念二、内部控制规范的建设现状三、内控的内容四、内控建设方法 第一节内控的概念 内部控制是指为确保实现企业目标而实施的程序和政策。内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。（2009年度中国注册会计师全国统一考试辅导教材《公司战略与风险管理》） COSO委员会对内部控制的定义“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规”。《企业内部控制基本规范》中指出，内部控制是由企业董事会、证监会、经理层和全体员工实施的，旨在实现控制目标的过程。内部控制的目标时合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效益合效果，促进企业实现发展战略。（一）控制什么是内控思想？过去强调的是牵制，比如，会计不能兼任出纳。过去强调的是会计控制。现在，不是会计控制，而是风险为导向的控制，强调的是企业的管理层角度的管理控制，而会计控制是内部控制的一个组成部分。（二）管理 1.企业方面作为股东投资者，由于所有权和经营权进行分离。而作为投资者，要求投资获得收益，终极目的就是获得利润。因此在加强企业管理和运作中，会在方方面面有内控的思想的覆盖和渗透。内部控制不是牵制，不是会计内控。内部控制是一种管理，内控的理想状态是无需内控就可以遵守规章制度。内控是一种管理，是对风险的管理。风险无处不再，国际风险，国家风险，政府风险，企业风险，家庭个人风险，无处不在。对于企业而言，风险可能来自业务经营、合规、运营或财务方面，内部控制应当为企业的有效运营提供辅助条件，使企业有能力对最爱目标实现的重大风险作出反应。 2.事业方面在事业单位，机关财务部门作为内控重要组成部分。财务管理，预算管理。（三）流程内控是控制的一个过程，这个过程是需要全员的参与，上到董事会、管理层、监事会，下到各级员工，都需要参与进来。通过内控要实现的目标 1.企业的经营要合法合规 2.企业资产要安全完整 3.企业财务报告的信息（财务信息）和其他信息要真实可靠完整 4.通过内控提高企业的经营效率和效果。从管理要效益。

COSO内部控制整体框架简介

COSO内部控制整体框架简介 1992年美国反虚假财务报告委员会管理组织（COSO）发布了《内部控制—综合框架》以帮助企业和其他实体评估并加强内部控制系统。此后，《内部控制—综合框架》被首席执行官、理事会成员、监管者、准则制定者、职业组织以及其他人士视为内部控制方面合理的综合框架。 同时，财务报告和相关立法以及监管环境也发生了变革。值得注意的是，2002年美国颁布了《萨班斯法案》。其中，《萨班斯法案》第404号条款要求公众公司管理层每年对其财务报告内部控制的效果进行评估和报告。 随着情况的发展和时间的推移，这项框架到今天仍然是有效的，遵从《萨班斯法案》第404号条款的各种规模的公众公司管理层仍继续沿用。然而，较小型公众公司在面对执行第404号条款的挑战时，承受了意料之外的成本。为了指导较小型公众公司执行第404条款，美国反虚假财务报告委员会管理组织于2006年发布了《较小型公众公司财务报告内部控制指南》（以下简称《指南》）。 《指南》并非是对《内部控制—综合框架》的取代亦或修改，而是就如何应用提供了指导。就如何按照成本效率原则使用《内部控制—综合框架》设计和执行财务报告内部控制方面，《指南》为较小型公众公司提供了指导（当然《指南》也同样适用于大型公司）。尽管《指南》本意上是为了帮助管理层建立和维持财务

报告内部控制的有效性而制定的，但它同样有助于管理层按照监管者的评估要求对内部控制效果进行更有效率地评估。 《指南》分为三部分，第一部分是概要，向公司董事会和高层管理人员介绍了整个文件的主要内容。 第二部分介绍了较小型公众公司在财务报告内部控制方面的主要观点，其中描述了公司的特征，这些特征是如何影响内部控制的、较小型公众公司面临的挑战以及管理层如何使用《内部控制—综合框架》。此外，还从《内部控制—综合框架》中提炼了20个基本原则，并介绍了较小型公众公司以符合成本效率的方式应用这些原则的相关态度、方法和实例。 第三部分提供了解释性工具以帮助管理层对内部控制进行评估。管理者可能会使用这些解释性工具以确定公司是否已有效地应用了这些原则。 高层管理人员将对第一部分“概要”和第二部分“主要观点”的概述章节比较感兴趣，并在必要的情形下参考第二部分的其它章节，而其他管理人员将把第二部分“主要观点”和第三部分“解释性工具”作为指导其具体工作的指南。 一、“较小型”公众公司的特征 尽管人们希望能够在小型、中型和大型公司之间划定一条的“清晰的界限”，但《指南》并未提供此类定义。它使用了“较小型公众公司”而非“小型公众公司”，这意味着《指南》适用于更大范围内的公司。《指南》对“较小型公众公司”的特征作

《企业内部控制》练习习题答案.doc

《企业内部》习题和答案 第一章总论 （一）单项选择题 1.内部控制的基本概念是从早期（）思想的基础上逐步发展起来的。 A. 科学管理 B.内部牵制 C. 内部审计 D.管理控制 2.内部控制结构阶段又称三要素阶段，其中不包括（）要素。 A. 控制环境 B.风险评估 C. 会计系统 D.控制程序 3.COSO 著名的《内部控制——整合框架》是在（）发布的，该报告是内部控制发展历程中的一座重要里程碑。 A.20 世纪 80 年代 B.1992年 C.2002 年 D.2004年 4.（）是指主体对所确认的风险采取必要的措施，以保证其目标得以实现的政策和程序。 A. 控制环境 B.风险评估 C. 控制活动 D.信息与沟通 5.2002年美国国会通过的《萨班斯- 奥克斯利法案》第404 条款（ SOX 404 ）及相关规则采用的是（）。 A. 内部控制体系 B.内部控制结构 C. 内部控制整合框架 D.企业风险管理整合框架 6. 相对《内部控制——整合框架》，ERM框架的创新之处不包括（）。 A.新提出了一个更具有管理意义和管理层次的战略管理目标，同时还扩大了报告的范畴 B.新增加了目标制定、风险识别和风险应对三个管理要素 C.提出了两个新概念——风险偏好和风险容忍度 D.提出了风险评估概念

7.在 COSO 内部控制框架中，控制活动的类别可分为（）。 A.经营、财务报告及合规三个类别 B.经营、信息及合规三个类别 C.信息、财务报告及监察三个类别 D.经营、信息及监察三个类别 8. 代表了成熟阶段的研究成果，堪称内部控制发展史上的里程碑的是（）。 A. 美国注册会计师协会《企业准则公告第55 号》 B.英国《综合守则》 1

企业内部控制理论

内部控制理论 百科名片 1949年，美国会计师协会的审计程序委员会在《内部控制：一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中，对内部控制首次作了权威性定义：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。” 目录 内部控制的涵义 内部控制的目标 内部控制的基本假设 内部控制的基本原则 内部控制的基本内容和方法 内部控制的涵义 内部控制的目标 内部控制的基本假设 内部控制的基本原则 内部控制的基本内容和方法 内部控制的涵义 什么是内部控制？理论界存在各种观点。由于表述众多，本文仅选择几个权威定义进行分析。 1992年，美国“反对虚假财务报告委员会”下属的由美国会计学会、注册会计师协会、国际内部审计人员协会、财务经理协会和管理会计学会等组织参与的发起组织委员会（COSO）发布报告《内部控制-整体框架》（即“COSO报告”）。该报告将内部控制定义为：是受企业董事会、管理当局和其他职员的影响，目的在于取得经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程。 我国1997年开始实施的《独立审计具体准则第九号-内部控制与审计风险》的定义是：“内部控制是被审计单位为了保证业务活动的有效进行，

保护资产的安全与完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。” 上述三个定义具有几个共同特点：一是都将内部控制解释为一种政策或程序（过程）；二是都在定义中说明了内部控制的目标；三是都是从审计的角度做出的定义。笔者认为，这些定义普遍存在以下几个缺陷： 1、定义出发点过于狭隘。控制是一个应用非常广泛的概念，有生产控制、人口控制、经济控制、军事控制等，从不同的角度（学科）出发，会给出不同的控制概念。虽然内部控制与审计存在密切的联系，但是，不论从内部控制的产生，还是内部控制的现实需要来看，内部控制都应该属于管理范畴。“可以肯定地说，内部控制最初是在组织中内生的，而不是外力（外部管制、规范的要求；审计）催生的。”（方红星，2002）并且，我国建立内部控制制度，制定《内部会计控制规范》的直接目的也不是为了审计需要，而是提高会计信息质量，加强单位内部管理的迫切要求。过去，由于一直把内部控制与审计相联系，企业对建立内部控制制度缺乏积极性，甚至产生抵触心理，这在一定程度上阻碍了内部控制的建立和实施。如果我们从管理学的角度重新认识内部控制，把它作为单位内部管理的手段和方法，相信内部控制必然会得到各单位的高度重视，从而自觉地加强内部控制制度的建设。 2、没有明确内部控制的主体和客体。任何一种控制系统，都既应该有施控主体，也应该有受控对象（客体）。一般认为，内部控制的客体是人、财、物及其在经营过程中所形成的一系列组合关系和组合形式。这一点几乎没有争论。存在争论的主要是内部控制的主体问题，第一种观点认为，内部控制主体是单位经营者。但是，经营者如何界定，又存在五种观点：①包括董事长、总经理；②包括董事会成员、总经理班子；③包括董事会成员、总经理班子、党员班子；④包括董事会成员、总经理班子、党委班子、监事会成员；⑤包括董事会成员、总经理班子、党委班子、监事会成员、工会主席。第二种观点认为，单位内部经营管理者和广大职工群众在内的所有员工都构成内部控制的主体，单位中每一个员工既是内部控制的主体，同时又是内部控制的客体（课题组，2001）；第三种观点认为，内部控制主体既包括所有者（股东），也包括经营者，分为两个层次（阎达五、宋建波，2002）。但有的学者将董事会纳入所有者范畴，有的学者则将董事会作为经营者；第四种观点认为，内部控制主体包括股东、经营者、管理者和职工四个层次（郑石桥等，2000）。 笔者认为，要正确认识内部控制的主体，首先必须区分单位内部控制主体和单位外部控制主体。我们可以借鉴财务会计（外部会计）和管理会计（内部会计）的划分方法，股东（或股东大会）属于会计信息的外部使用者，只能作为单位外部的控制主体。股东、监事会、董事会和经理之间的相互关系，通过公司治理结构加以解决。不能混淆公司治理结构和内部

COSO内部控制管理框架(详细版)

COSO内部控制管理框架 一、控制环境 Control Environment是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。 构成控制环境的要素: (一)董事会及审计委员会 董事会是公司内部控制系统的核心，对内部控制而言，一个积极、主动参与的董事会是相当重要的。 ●如何评价？ 1. 董事会或审计委员会是独立于管理层的，这样必要时能够提出有挑战性甚至审查式的问题。 2. 建立董事会专门委员会以特别关注和处理相关重要事件。 3. 董事的知识和经验 4. 与内、外部审计师等的会面频率和接触 5. 为董事会或专门委员会委员提供信息的及时性和充分性，以便及时监督管理层的目标和战略、公司的财 务状况和经营成果、以及重大协议的条款等。 6. 为董事会或审计委员会提供充分、及时的信息，以便及时获知敏感信息、调查、不当行为（例如：监管 机构调查、贪污、挪用公款、滥用公司财产、违反内部人员交易法规、非法支付等）。 7. 监督高级管理人员的薪酬，聘用和解聘高级管理人员。 8. 建立“高层管理基调” 9. 董事会或审计委员会依据其发现采取行动，包括特殊调查。 (二)管理者的品行及管理哲学和经营风格 ①企业承受经营风险的种类 ②管理者对法规的看法 ③对企业财务的重视程度 ④对人力资源的看法 ●如何评价？ 1. 接受的业务风险的性质，例如：管理层是否经常介入特别高风险的业务，还是在接受风险方面非 常保守。 2. 在关键职能部门的人员流动率，例如：经营、会计和数据处理部门等。 3. 管理层对数据处理和会计职能的态度，以及对财务报告和资产安全可靠性的关心。 4. 高级管理层和业务部门管理层相互交流的频率，特别是双方处于不同的地域时。 5. 对财务报告的态度和行动，包括对采取的会计处理的争议（例如：采取保守的还是激进的会计政 策；会计原则是否被滥用了；关键的财务信息没有被披露；或会计记录被粉饰或篡改了）。 (三)管理者的素质 管理者往往是内部控制设计和执行的关系人，他的素质(知识、技能、操守、道德观、价值观)影响内部 控制的效率和效果。 ●如何评价？ 1. 存在行为准则及其他相关可接受的商业行为、利益冲突、伦理的道德标准等的政策，并有效执行。 2. “高层管理基调”的建立－－包括明确的道德指导（什么是对的和错的）。 3. 和在公司范围内进行沟通的程度的指导。与员工、供应商、客户、投资人、债权人、保险人、竞争 对象和审计师等的关系。（例如：管理层进行商业行为时，是否非常关注道德标准，是否也要求其他人 遵守道德标准，还是根本不关注道德问题。） 4. 针对违反政策和道德准则的情况采取适当的措施。采取措施的范围在公司内进行沟通。

内部控制各章节习题概要

第一章总论 一、练习题 （一）单项选择题 1．内部控制结构阶段又称三要素阶段，其中不包括（ B ）要素。 A．控制环境 B．风险评估 C．会计系统 D．控制程序 2．COSO著名的《内部控制——整合框架》是在（ B ）发布的，该报告是内部控制发展历程中的一座重要里程碑。A．20世纪80年代 B．1992年 C．2002年 D．2004年 3．（ C ）是指主体对所确认的风险采取必要的措施，以保证其目标得以实现的政策和程序。 A．控制环境 B．风险评估 C．控制活动 D．信息与沟通 主要考虑控制活动的定义P6 4．2002年美国国会通过的《萨班斯一奥克斯利法案》第404条款（SOX404）及相关规则采用的是（ C ）。 A．内部控制体系 B．内部控制结构 C．内部控制整合框架 D．企业风险管理整合框架 5．相对《内部控制——整合框架》，ERM框架的创新之处不包括（ D ）。 A．新提出了一个更具管理意义和管理层次的战略管理目标，同时还扩大了报告的范畴 B．新增加了目标制定、风险识别和风险应对三个管理要素 C．提出了两个新概念——风险偏好和风险容忍度 D．提出了风险评估概念 6．不属于企业风险管理整合框架八要素的是（ A ）。 A．控制环境 B．事项识别 C．控制活动 D．监控 它是内部环境而不是控制环境（整合控制阶段和结构阶段的要素），此外还有目标设定、风险评估、风险应对、信息与沟通。P9 7．在COSO内部控制框架中，控制活动的类别可分为（ A ）。 A．经营、财务报告及合规三个类别 B．经营、信息及合规三个类别 C．信息、财务报告及监察三个类别 D．经营、信息及监察三个类别 8．在COSO内部控制框架中，属于其他内部因素根基的是（ C ）。 A．信息与沟通 B．监察 C．控制环境 D．控制活动 9．代表了成熟阶段的研究成果，堪称内部控制发展史上的里程碑的是（ C ）。 A．美国注册会计师协会的《企业准则公告第55号》 B．英国《综合守则》 C．COSO委员会的《内部控制一整合框架》P5 D．特恩布尔委员会的特恩布尔报告 10．内部控制的现实意义不包括（ B ）。P10-12 A．实施内部控制有助于提升企业管理水平 B．实施内部控制有助于降低企业的经营成本 C．实施内部控制有助于提高企业的风险防御能力 D．实施内部控制有助于维护社会公众的利益 11．关于我国企业内部控制规范的框架体系，下列说法错误的是（ B ）。 A．我国目前内部控制规范框架是由基本规范、应用指引、评价指引和审计指引四部分组成的P13 B．内部控制应用指引是内部控制体系的最高层次，起统驭作用 P18是《企业内部控制基本规范》是内部控制体系的最高层次，起统奴的作用。 C．内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引 D．内部控制审计指引是注册会计师和会计师事务所执行内部控制审计业务的执业准则 12．关于企业内部控制应用指引，下列说法错误的是（ D ）。 A．内部控制应用指引由三大类组成，即内部环境类指引、控制业务类指引、控制手段类指引P19 B．内部环境是企业实施内部控制的基础，包括人力资源、社会责任和企业文化等 P19包括：组织架构、发展战略、人力资源、社会责任、企业文化等。 C．控制业务类应用指引是对各项具体业务活动实施的控制，此类指引包括资金活动、采购业务、资产管理 D．控制手段类应用指引偏重于“工具”性质，往往涉及企业整体业务或管理，此类指引包括担保业务、业务外包 P19包括：全面预算、合同管理、内部信息传递和信息系统。 13．基于我国内部控制法规的发展，下列说法不正确的是（D ）。 A．1985年《会计法》对会计稽核所作出的规定，是我国首次在法律文件上对内部牵制提出的明确要求 B．2001年1月，证监会发布了《证券公司内部控制指引》，要求所有的证券公司建立和完善内部控制机制和内部控制制度 C．2005年10月，国务院批转了证监会发布的《关于提高上市公司质量意见》，要求上市公司对内部控制制度的完整性、合理性及其实施的有效性进行定期检查和评估 D．2010年出台的应用指引、评价指引和审计指引要求在上海证券交易所、深圳证券交易所主板上市的公司于2011年1月1日起施行是2012年1月1日P17 14．依据《企业风险管理——整合框架》的内容，下面有关内部控制的说法中错误的是（ B ）。 A．内部控制的思想是以风险为导向的控制

企业内部控制和管理

什么是内部控制 内部控制，是指由企业董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构，以下简称董事会）、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。 内部控制的目标 （1）企业战略； （2）经营的效率和效果； （3）财务会计报告及管理信息的真实可靠； （4）资产的安全完整； （5）遵循国家法律法规和有关监管要求。 内部控制的基本要素 1、内部环境。内部环境，是影响、制约企业内部控制制度建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等内容。 2、风险评估。风险评估，是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节和内容。风险评估主要包括目标设定、风险识别、风险分析和风险应对。 3、控制措施。控制措施，是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式和载体。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 4、信息与沟通。信息与沟通，是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。 5、监督检查。监督检查，是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包

美国COSO内控框架(2013)的主要变化

2011年12月，美国科索委员会（COSO）发布了新版内控框架的征求意见稿，面向全球公开征求意见。2013年5月，COSO正式发布新内控框架。美国COSO内控框架都有哪些新变化呢？ 新COSO内控框架在内部控制的定义、内部控制五要素、评估内控体系有效性的标准等方面与旧框架保持了一致。 与旧框架相比：细化了内控框架的结构内容。新框架最显著的变化是在旧框架的基础上，提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则组合起来就构成了内部控制的标准，适用于所有的组织。 扩大了报告目标的范畴。新内控框架在报告对象和报告内容两个维度上对报告目标进行了扩展。在报告对象上，既要面向外部投资者、债权人和监管部门，确保报告符合有关监管要求；又要面向董事会和经理层，满足企业经营管理决策的需要。 在报告内容上，除了包括传统的财务报告，还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。 强调管理层判断的使用。新COSO框架对五要素的分解不是按照子要素来进行的，而是作为“原则”来呈现的，即强调“基于原则”的内控实施和管理层判断的使用。 新框架并未要求对17项原则及其关注点进行单独评估以确定其是否存在或有效。管理层可以自由判断新框架所提供关注点的合适度或相关度，然后根据企业的具体情况，来选择和考虑与某一特定原则密切相关的关注点。 强化公司治理的理念。新框架包括了更多公司治理中有关董事会及其下属专门委员会的内容，强调董事会的监督对内部控制有效性的重要作用。这与我国《企业内部控制基本规范》及《组织架构》应用指引中有关公司治理的规定相一致。 增加了反舞弊与反腐败的内容。与旧框架相比，新框架包含了更多关于舞弊与欺诈的内容，并且把管理层评估舞弊风险作为内部控制的17项总体原则之一，重点加以阐述。这与我国内部控制规范体系在反腐败工作中的重要作用不谋而合。 充分考虑了不同商业模式和组织结构的内部控制。随着经济全球化的发展、技术的不断进步和人才竞争的加剧，企业在运营过程中更多地使用第三方提供的产品或服务，管理层更加关注包括供应商和客户在内的价值链管理。 新框架并没有改变旧框架关于内部控制的基本概念和核心内容，而是对旧框架的某些概念和指引进行更新和改进，以期反映近年来企业经营环境的演变、监管机构的要求和其他利益相关者的期望。

内控信息披露的定义及意义

定义：内部控制信息披露是信息披露的一个重要组成部分，那么何谓内部控制 信息披露，目前我国相关法律法规没有对内部控制信息披露的概念给出明确 的定义。 建立和维护内部控制是公司管理当局的责任,管理当局应定期根据一定 的标准对本公司内部控制设计和执行的情况进行自我评价，并将评价的结果 用报告的形式披露给外部信息使用者，使其可以一定程度上了解公司内部控 制和经营活动的情况。因此，内部控制信息披露就是上市公司管理当局根据 内部控制评价的标准对本公司内部控制的完整性、合理性和有效性进行评价, 以报告的形式出具评价意见并提供给外部信息使用者。内部控制信息披露的 方式，可以包含在董事会报告或其他报告中，也可以单独提供，即所谓的内 部控制报告。我国目前并没有要求上市公司提供单独的内部控制报告，而只 要求在有关报告(董事会报告、监事会报告)中包含有关信息披露。 内部控制信息披露是指上市公司为了保障投资者、债权人等的利益，同 时为了方便公众监督，而依照相关法律的要求，定期对企业内部控制的完整 性、合理性和有效性进行评价，并通过一定的形式对外披露，以保证投资者 在充分了解企业的情况下做出决策。内部控制信息披露是建立在管理层和董 事会对内部控制的评估基础上的，为了了解内部控制的设计是否适当，执行 是否有效，管理当局需要依据一定的标准对内部控制设计和执行的有效性进 行评估。 内部控制信息披露是对财务报告披露的财务信息的一种补充，可以有助 于管理当局提高内部控制意识，重视企业的内部控制建设。另外，内部控制 信息披露可以为投资者提供企业财务报告是否可靠的间接证据，可以使其尽 可能的避开风险，做出合理的投资决策。 意义：内部控制信息的披露对企业管理当局和外部信息需求者都具有十分重要的意义，主要表现在以下几个方面:首先，内部控制信息的披露可以为信息使用者提供额外的信息，有利于投资者、债权人等利益相关者做出正确决策。内部控制信息披露能够提供财务报告所不能提供的信息，可以使信息使用者在一定程度上了解企业的管理控制是 否有效，企业的运营是否正常，企业资产是否有保障。如果企业内部控制制度 良好目_得到有效的执行，则企业经营有序，能够有效防范经营过程中的风险; 如果企业内部控制混乱，则企业经营存在较大的风险，相关利益者在做出决策

内部控制的概念

1936年美国会计师协会(AIA)首次正式提出了内部控制的概念。此后，理论界和学术界不断推陈出新。但基本上都没有突破会计控制的范围。1992年COSO对内部控制的概念进行了突破和创新，并得到国际社会的高度认可。但COSO内部控制框架流程与内部控制目标之间存在着逻辑缺陷，致使COSO内部控制框架的概念被质疑，实践中也缺乏可操作性和普适性。实际上，COSO内部控制框架仅提供了一个较为全面的风险控制导引，各个国家和地区中的企业需要根据自身企业内部特征以及外部环境要素设计具有针对性的内部控制体系。即不同地区中的企业需要界定内部控制的边界，并基于此设计相应的内控模式、机制、方法，以实现企业的全面风险管理和高效的内部控制①。因此，无论是基于理论层面还是实物层而，重视对内部控制本质、边界和目标等基本属性的研究，是构建企业内 部控制体系的前提和基础。 既有文献针对内部控制本质及内涵的研究主要涉及两个层次的内容:一个层次是从企业系统和整体效率的视角界定内部控制的概念;另一个层次是企业内控系统的构成单元和子系统。内部控制的组成部分或子概念主要包括两个方面:一个方而是按照层级结构来分的企业治理层面的控制和企业管理控制;另一个方面是为了满足不同需要而单独界定的企业各职能部门和各层级所确立的内部控制体系，如财务报告内部控制，会一计控制等概念，I-!前比较成型和有影响力!、勺是财务报告内部控制’、「「。自华，高_立(2011)’‘在困内外相关研究的琴础_上，指出无沦从历史发展、时间考察还是理论逻辑方而看，财务报告内部控制陷入了一个为不能存在的系统寻找独立存在的理由的尴尬境地。ICI此，应该尽早用“内部拄制”取代“财务报告内部控制”。杨清香(2010) `"利用马克思认识论，对如何构建内部控制的概念框架问题进行了探讨，认为内部控制的本质是构建内部控制概念框架或理论体系的逻辑起点，内部控制的其他概念或理沦要素都是根据内部控制的木质演绛推论出来的。在此基础上，部分学者认为目标是构建内部控制概念的逻辑起点，这种观点尽管实用，Eli是犯了逻辑上的错误(李连华，2007)0 组织理论是内部控制研究范畴内的重要理论支撑，诸多文献围绕组织内部关系和契约展开对企业内部打制的研究。谢志华(2009)‘、认为，企业的两种组织关系，即契约关系和平等关系，决定了企业内部控制的本质，内部控制的木质表现为企业组织体系中各种相关的平等利益工体之问的相压制衡和各科层权利主体依_}二而F的监督。而且制衡是监督发抨效l1!的从础。李志斌(2009 ) '}"运用组织fil:会学的规则理沦解释了内部控制的规则属性。他认为内部控制在组织内部是需要强制执行的“法”，足管理权威的来源之一。而竹理权威体系既包括纵向等级制权威体系，也包括横向平行权威体系。一可以石出，卜述两者的观点具有4定的相似性。部分学者还从制度经济学的视角剖析了内部控制的本质，刘明辉，张宜t } ( 2002 ) ''认为，内部控制的本质是弥补企业契约不完备性，保i} I:企业正常运作和发展的内在机制。林钟高，徐虹，吴玉莲( 2009 )‘认为内部控制的本质属J性足种持续均衡利益关系的契约装置。 国外有关学者对内部控制与公司治理的关系研究，主要可以归纳为两个视角。这两个视角分别为:认为内部控制是公司治理的组成部分;以及认为内部控制和公司治理彼此相互影响。针对后者，又可进一步细分为三种观点，其一，公司治理影响内部控制;其二，内部控制影响公司治理;其三，内部控制与公司治理相互影响。下面针对上述本文总结的研究路径，结合具体的研究文献进行阐述。 以英国为代表的学者认为，内部控制是公司治理的组成部分。Cadbury, Hampell以及Turnbull报告共同构成了英国三个重要的公司治理、内部控制研究。英国学者指出了上述观点，即“内部控制是公司治理的组成部分”，应由董事会负责建立、维护以及评价;独立董事制及董事会下设的委员会起监督和协调作用。而美国有关学者认为内部控制和公司治理相互影响着彼此，特别是在SOX法案404条款的提出之后，利益相关者便对内部控制和公司治

COSO内部控制

内部控制是衡量现代企业管理的重要标志，通过实践得出的结论是：得控则强，失控则弱，无控则乱。加强和完善企业内部控制制度，已成为当前理论界和实务界最为关注的话题之一。保证财务报告可靠性，防止会计信息失真始终是内部控制的一项重要目标。因此完善企业内部控制制度，保证会计信息的质量，对于完善公司治理结构和信息披露制度，保护投资者的合法权益并保证资本市场的有效运行有着非常重要的意义。 COSO内部控制 COSO内部控制框架不是唯一的内部控制框架, 其他类似框架中最著名的是加 拿大注册会计师公会所属的控制基准委员会COCO，于1995年11月发行《控制指导纲要》。COCO提出了—种更精简、更具动态，使用更多管理术语的内部控制基本架构。COCO报告从四个方面：目的、承诺、能力、监督与学习，提出20项控制基准。 但是COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架，同时《萨班斯法案》第404 条款的「最终细则」也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。作为纽约证交所上市的公司，需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，满足法案的要求。 COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示. 1. 控制环?br> 控制环境是所有其他组成要素的基础，包括了以下要素： 1) 诚信和道德价值观； 2) 致力于提高员工工作能力及促进员工职业发展的承诺； 3) 董事会和审计委员会。包括的因素有董事会与审计委员会与管理者之间的独立性，成员的经验和身份，参与和监督活动的程度，行为的适当性； 4) 管理层的理念和经营风格； 5) 组织结构。包括了定义授权和责任的关键领域以及建立适当的报告流程； 6) 权限及职责分配。经营活动的权限和权责分配以及建立报告关系和授权协议。它包括了： a) 被激励主动发现问题并解决问题以及被授予权限的程度； b) 也描述适当的经营实践，关键人员的知识和经验，提供给执行责任的资源政策； c) 确保所有人理解公司目标。每个人知道他的行为与目标实现的关联和贡献的重要程度。 7) 人力资源政策及程序。 2. 风险评估 首先，风险评估的前提条件是设立目标。只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。设立目标是管理过程重要的一部分。尽管其并非内部控制要素，但它是内部控制得以实施的先决条件。 其次，识别与上述目标相关的风险。

内部控制概念的发展及我国企业内控问题

内部控制概念的发展及我国企业内控问题 对内部控制的关注最初源自企业自身对规范化管理和股东掌握企业运营的准确信息的需要。此外最重要的推动因素就是外部审计师审计财务报表的要求。此后，各国政府也逐渐开始积极推动内部控制领域的进程，以期减小企业的舞弊和违规行为对市场经济秩序的消极影响。因此，内部控制理论与实践的不断发展是学术界、职业组织、大型企业及政府组织共同推动作用的结果。此外，内部控制领域的发展历程显示，一些影响巨大的公司经营失败或舞弊事件的发生，往往加速了内部控制理论研究以及实践应用的发展进程，并催生了一些里程碑式的文献和立法规定。最典型的代表莫过于美国2002年出台的《萨班斯一奥克斯利法案》。该法案的第404条款不仅要求公司管理层定期评估公司财务内控的有效性，并且要求外部审计师对管理层的评估结果和公司财务内控的有效性出具审计意见。而对于该法案的出台，世通和安然的两个巨型舞弊案件可以说是“功不可没”的。那幺，内部控制的作用究竟是什幺呢?如果用一句话概括，那就是：有效的内部控制有助于在合理的程度上提高企业运营的效果和效率、保护企业资产，确保财务报告的可靠性以及企业对法律法规的遵循。在国际经济社会日益强调企业内部控制重要性的背景下，本文旨在回顾有关发达国家和地区在内部控制领域的探索历程，简要介绍在各内部控制权威文件中应用最为广泛的美国COSO内部控制框架，并为我国企业加强内部控制的途径提出一些经验性的建议。 一、国际上具影响力的内部控制指南 简要回顾 关于内部控制的框架，不同机构都对其有不同的理解，其中以美国反对虚假财务报告委员会的发起组织委员会COSO发布的“COSO内部控制框架”得到最广泛的认可。除此之外，加拿大的“CoCo内部控制框架”、英国一定范围内得到了广泛的应用。 (一)COSO框架 上世纪80年代，美国企业虚假财务报告丑闻层出不穷，许多大公司突现经营失败，立法机构、政府监管机构和职业组织对虚假财务报告问题表现出了空前的关注。在这一背景下，1985年，美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际内部审计师协会(IIA)、管理会计师协会(IMA)、财务经理协会(FEI)发起成立了一个民间组织“反对虚假财务报告委员会”，希望研究虚假财务报告的产生原因并推荐解决办法(该委员会的第一任主席为JamesTreadway，是前SEC委员，因此以后该委员会也被简称为Treadway委员会)。该委员会在调查中发现，在其研究样本中，将近50％的财务舞弊事件可以全部或部分归咎于内部控制失败。该委员会同时认为，应该建立一个统一的、可操作的内部控制框架。继而，五个发起组织成立了一个委员会，即COSO。建立之初的目的是负责研究开发一个内部控制的权威性定义和指南。COSO在1992年9月完成了这项任务，公布了最终报告《内部控制——综合性框架》(通常被称为COSO 报告)，在世界上第一次提出了一个系统的内部控制框架。 COSO将内部控制定义为：“内部控制是受企业董事会、管理层和其它职员共同作用，为实现经营效果性和效率性、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。”较之于传统的内部控制概念，这一定义的发展在于将内部控制作为一种动态的过程而不仅是静态的制度来阐述。内部控制不应仅仅着眼于会计和财务报告，还应针对经营活动的效率、效果和遵循法律法规。这个广义的定义体现了现代意义上的全程和全面的控制理念。相应地，内部控制框架也被划分为五个内部控制要素，如：控制环境、风险评估、控制活动、信息与沟通、监控。COSO框架是世界上最早发布的权威性内部控制框架，其它若干具有影响力的控制框架很大程度上都借鉴了COSO的工

COSO内部控制整体框架(5要素)简介

COSO内部控制整体框架 水门事件后，内部控制理论引起了美国各界的广泛重视。然而，对内部控制的理解分歧却由来已久，立法者、监管者和商人的不同利益决定了各自不同的立场。90年代初成立的COSO(Committee of Sponsoring Organization)，开创性地提出了一套成体系的内部控制整体框架，这标志内部控制理论发展到新的阶段,赢得了各方的好评。 一、COSO内部控制整体框架的诞生 1997年，美国国会通过了《反国外贿赂法》(FCPA)，在反贿赂条款之外，又规定了与会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》。随后，在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。财务经理人员协会(FEI)发布了《美国公司的内部控制：现状》。美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。 1985年，由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务报告委员会(National Commission On Fraudulent Financial Reporting)，即tread－way委员会。Tread－way委员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内部控制不健全的问题。Tread－way委员会就内部控制问题提出了许多有价值的建议，并倡议建立一个专门研究内部控制问题的委员会。因此，Tread－way委员会的赞助机构成立了私人性质的COSO，其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。1992年，COSO提出了《内部控制整体框架》报告，并在1994年进行了增补。 二、COSO内部控制整体框架的内容该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点，超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。 报告认为，内部控制是由董事、管理层及其他人员在公司内进行的，旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。实际上，内部控制是为了确保组织的最高层参与到整个机构的运作中，以实现组织目标。而所谓的可靠性则指财务报告的一致性、可比性以及选择适当的会计处理方法。 为了实现内部控制的有效性，需要下列五个方面的要素支持：控制环境(Control environment)、风险评估(Riskassessment)、控制活动(Control activities)、信息与交流(Information and communication)和监测(Monitoring)。 控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。其特征是先明确定义机构的目标和政策，再以战略计划和预算过程进行支持；然后，清晰定义利于划分职责和汇报路径的组织结构，确立基于合理年度风险评估的风险接受政策；最后，向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性，同时，高级领导层需对文件控制系统作出承诺。 风险评估是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。虽然，多年来，美国银行一直使用复杂的模型技术(诸如“紧张检验”、“Monte Carlo模拟”和“风险价值”法)测算风险，但把风险评估作为要素引入到内控领域，这还是第一次。 相比之下，控制活动则是人们较早关注的方面，它包括确保管理层指令得以实施的政策

内部控制的定义

内部控制的定义 2013新版的内部控制定义，沿用了1992年的内部控制的定义： 内部控制是一个由主体（一般指公司）的董事会、管理层和其他员工实施的、旨在为实现运营、报告和合规管理目标提供合理保证的 过程。 COSO内部控制整合框架·2013 这其实是一个解释性定义，解释了这项工作的实施主体和主要目标，这个定义中含有几个方面的内容，需要大家理解一下。 1、一个过程 内部控制这些工作最后落脚点为一个过程（process），当然，之前COSO 定义的风险管理也是一个过程，但是，现在有一些变化。 央企指引中将风险管理作为一种过程和方法。 ISO31000定义的风险管理是一系列控制和协调的活动。 新版COSO定义的风险管理是一种能力、文化和实践。

到目前为止，关于风险管理是侧重过程还是针对结果，还是有不同意见，我们和国内外的一些专家也还是在持续讨论。 内部控制的定义还算是比较统一，国内的内控规范也将其称为一个过程，当然这个过程是实现目标的过程。 这个过程和ISO风险管理标准中的过程强调的一样，是一个持续的、循环往复的过程。 2、全员实施 董事会、管理层和其他员工基本涵盖了公司的所有人，表明内控框架是需要将组织所有人都纳入遵守和执行范围，而不是为某一个特定人或特定团体服务。 这需要强调在我们前些年中国企业执行内部控制时，公司的高层特别是一把手会游离在内部控制之外，把内部控制作为其控制公司的手段，这样会使内部控制的有效性打折，当领导层带头突破内部控制时，为全员设立了一个不好的“基调”，为某些控制环节失效埋下了隐患。 3、以实现相应目标为宗旨

内部控制目前的实现目标的范畴定义在三个方面：运营目标、报告目标和合规目标。 运营目标——侧重提升对企业运营的效率和效果；关于对运营目标的支撑其实是内部控制的一个非常重要的功能，但西方最开始并没有明确这方面的具体要求，而中国内控体系中则一开始就对各个业务板块的内控提出了明确的应用指引。 报告目标——侧重对内外部财务和非财务报告的真实性、可靠性以及及时性。其中对外财务报告目标是其最原始的目标，也是最重要、最有效的一类目标。其余的报告目标为本次修订新增。 合规目标——遵守组织适用的法律法规（侧重外部）。COSO内控的合规目标并不是我们今天在国内谈的大合规的内容，它相对简单直接，就是针对对外部法律法规的遵从性。 所以今天很多企业在建立合规管理体系，其实其中很大一部分工作是内部控制工作，因为都是需要建立合规管理工作的制度性保障。 合规管理体系和内部控制体系两条线不应该被割裂开来开展。 4、只提供合理保证