内部控制理论与实务（ 2 ）

内部控制的基本理论
内部控制系统的运行
内部控制系统的设计
内部控制系统的评价

1
 内部控制系统的运行
 内部控制与公司治理
 内部控制与风险管理
 内部控制的运行理论
 内部控制的运行程序
 内部控制的运行方法

2
 内部控制系统的运行
 一、内部控制与公司治理
1 、公司治理的概念
公司治理产生的动因：现代公司制度下，公司所
有权和经营权分离，股东将资产委托给公司管理者经营，二
者之间存在委托代理关系。股东和管理者追求的目标不完全
一致，即股东要求企业必须以长期盈利为目标，保持持久的
获利能力；而管理者追求的主要是收入、奖金等短期个人利
益；管理者实际经营公司并掌握着充分的内部经营信息，有
条件作出有利于自己的决策，从而损害股东的长远利益。

3
 内部控制系统的运行
 一、内部控制与公司治理
1 、公司治理的概念
公司治理认识的发展： 20 世纪 90 年代早期他
还被认为是解决公司官僚管理问题方法的延伸，各方面对公
司治理理解不尽相同。 90 年代中期，公司懂事们还认为公
司治理不过是另一种管理控制程序，重点强调的是懂事对股
东的责任。例如 1992 年英国某专业委员会的报告中，还将
公司智力定义为“公司的指导和控制系统。”

4
 内部控制系统的运行
 一、内部控制与公司治理
1 、公司治理的概念
公司治理认识的发展： 20 世纪末对公司治理的
共识似乎还是为了确保企业在经营活动中遵守各项法律法规
制度、财务会计准则和履行日益增加的社会责任的前提下，
实现股东价值最大化。

5
 内部控制系统的运行
 一、内部控制与公司治理
1 、公司治理的概念
公司治理认识的发展： 2001 年美国安然公司破产
及后来发生的其他著名公司倒闭事件中，人们发现，事件的
原因不仅在于财务报告披露信息不够完全透明，对外部审计
师独立性约束不够，以致没有遵循应有的职业道德和公正原
则出具审计报告，还在于董事会没有发挥恰当的监督职能，
未能及时发现管理层的欺诈行为，未能与股东充分沟通并诚
实地报告重大事项决策。现在，管理人员和专家学者已认识
到完善董事会制度本身也是公司治理的重要组成部分，并考
虑将其纳入公司治理的范畴。

6
 内部控制系统的运行
 一、内部控制与公司治理
1 、公司治理的概念
公司治理概念表述：公司治理涉及内容广泛而复
杂，其目的是，在股东和管理者利益不完全一致，投资者和
管理者掌握公司内部经营信息不对称条件下，在公司不同层
次和方面实施控制，保证企业的经营管理活动符合股东利益
，实现股东资产的长期增值和利益最大化。公司治理涉及对
董事会的规范和对董事会、公司管理层和股东之间关系的调
整，其核心是加强公司重要决策对股东的透明度和管理者对
股东的责任。

7
 内部控制系统的运行
 一、内部控制与公司治理
2 、公司治理的原 和内容
公司治理与内部控制的关系：公司治理包括内部治
理和外部治理。
外部治理是通过各种外部控制力量对董事会实行控制
的各种措施和手段；
内部治理是通过各种内部控制措施对董事会和管理者
以及员工的管理和控制。
由此可见，内部控制是公司治理的重要组成部分，内
部控制就是公司的内部治理。

8
 内部控制系统的运行
 一、内部控制与公司治理
2 、公司治理的原 和内容
公司治理的原则：受托责任；或明晰产权；
监督制约； 政企分开；
透明公平； 制度合理；
相关责任。 管理科学。

9
 内部控制系统的运行
 一、内部控制与公司治理
2 、公司治理的原则和内容
公司治理的内容：公司治理的组织构架包括：董事会
、监事会、总经理和各职能、业务部门。
董事会，有一份正式章程； 明确董事会和管理者的分
工；设立一个能完成其职责并增加价值的董事会。
监事会，设置一个具有监督功能的监事会，以为全体
投资人负责；
总经理，聘请有经营能力的职业经理人做总经理，以
为东事会负责。

10
 内部控制系统的运行
 一、内部控制与公司治理
2 、公司治理的原 和内容
公司治理的制度：
职业道德和行为准则 : 职业道德规范 ; 行为准则
。
内部控制和风险管理 : 内部控制；风险管理。
财务信息的审核控制。薪酬制度。 重要信息沟通
。

11
 内部控制系统的运行
 一、内部控制与公司治理
3 、美国公司治理相 定
萨班斯—奥克斯莱法案的相关规定：
设立会计监督委员会；
对审计师独立性要求；
公司董事会的审计委员会；
规定定期申报财务报告的公司；
加强财务披露事项；
对违法行为严厉处罚。

12
 内部控制系统的运行
 一、内部控制与公司治理
3 、美国公司治理相 定
纽约股票交易所和纳斯达克股票交易所对上市公
司的规定：（ 1 ）要求董事会及下属各委员会大多数成员都
是独立懂事； （ 2 ）要求上市公司审计委员会、薪酬委员
会提名委员会完全由独立懂事组成； （ 3 ）对独立懂事的
认定必须由懂事会确认该懂事与公司没有重要关系；（ 4 ）
要求上市公司设立内部审计机构

13
 内部控制系统的运行
 一、内部控制与公司治理
3 、美国公司治理相 定
纽约股票交易所和纳斯达克股票交易所对上市公
司的规定：（ 5 ）要求公司采用和披露公司治理指南、业务
行为准则及审计委员会、薪酬委员会和提名委员会的章程；
（ 6 ）独立懂事定期参加管理、执行会议；（ 7 ）审计委员
会有权任命和撤消独立审计师以及批准所有的审计查帐以外
的相关审计服务。

14
 内部控制系统的运行
 二、风险管理与内部控制
1 、 的概念及要素
风险的定义：
风险的概念起源于意大利， 17 世纪由法国传入英国
， 19 世纪早期传入美国。风险在英文词典中等定义是“遭受
损失或伤害的机会或可能性”。风险的高低，取决于预计的
损失的大小和发生损失的可能性；如果预计损失很小或者发
生损失的可能性微乎其微，风险就很低。

15
 内部控制系统的运行
 二、风险管理与内部控制
1 、 的概念及要素
风险的定义：
国际内部审计师协会对风险的定义是：风险是发生某
种影响目标完成的事件的不确定性。风险的大小可用该事件
的后果和可能性来计量。因此，在有可能发生使企业单位的
经营目标不能实现的事件时，就存在着经营风险。

16
 内部控制系统的运行
 二、风险管理与内部控制
1 、 的概念及要素
风险的特点：风险的不确定性；
风险的绝对性；
风险判断的主观性。

17
 内部控制系统的运行
 二、风险管理与内部控制
1 、 的概念及要素
风险环境及其要素：
风险环境也即是风险管理环境，或称内部控制环境。
任何一个企业事业单位都是在一定的环境中开展经营管理活
动的，而这一环境存在各种不确定因素可能使单位不能实现
其经营目标，这种有风险的经营环境就是单位的风险环境。

18
 内部控制系统的运行
 二、风险管理与内部控制
1 、 的概念及要素
风险环境及其要素：
风险环境要素包括：操守及价值观；胜任能力；
董事会及监督委员会；
管理哲学和经营风格；
组织结构； 权责划分；
人力资源的政策及其评
估。

19
 内部控制系统的运行
 二、风险管理与内部控制
1 、 的概念及要素
风险的分类： -- 外部风险
法律风险—法律体系是否健全、法律的强制性和透明
度、执法的独立性；各种契约关系、侵权行为等。
政治风险—社会变革、国家行为、政府的稳定性、国
有化趋势等。
经济风险—市场竞争状况、消费者消费倾向、电子商
务、总体经济发展状况等。

20
 内部控制系统的运行
 二、风险管理与内部控制
1 、 的概念及要素
风险的分类： -- 内部风险
战略风险—单位发展战略、市场战略、投资战略、品
牌战略；
财务风险—融资风险、利率风险、汇率风险、投资回
报率；
经营风险 -- 如财产损失、信息管理风险、供货风险
；人才风险、物流风险、营运风险；
诚信风险—不法行为、舞弊、贪污、不良信用等。

21
 内部控制系统的运行
 二、风险管理与内部控制
2、 管理的内容和方法
风险管理的定义：
美国国家虚假财务报告委员会赞助机构研究小组
（ COSO ）对企业风险管理的定义是：企业风险管理是由
企业董事会、管理层和其他人员实施的、从战略层面开始的
、并贯穿整个企业的一个过程，这个过程的设计是为了及时
识别可能影响企业的潜在事件并按企业接受风险的态度管理
风险，为实现企业目标提供合理的保证。

22
 内部控制系统的运行
 二、风险管理与内部控制
2 、 管理的内容和方法
风险管理的内容：
风险管理的目的是：为了有效经营、提供可靠财务报
遵守可靠法律法规、实现单位的经营目标；
风险管理的范围是：包括传统意义上的对交易、财产
、运营的内部控制系统，还包括向董事会提供企业风险管理
方面的信息，主要是关于企业事业单位最重要的风险及管理
情况。

23
 内部控制系统的运行
 二、风险管理与内部控制
2、 管理的内容和方法
风险管理的内容：
在风险管理中，董事会负责监督管理层的风险管理系
统设计和运作，管理层负责设计和运作风险管理系统，企事
业单位所有人员都对保证风险管理措施成功实施负有责任。
根据 COSO 的分析，企业事业单位风险管理包括 7
个基本要素：控制环境，事件识别，风险评估，风险反应，
控制活动，信息和沟通，监控。

24
 内部控制系统的运行
 二、风险管理与内部控制
2、 管理的内容和方法
管理 程：

沟 风险管理环境 监
识别风险 督
分析风险 和
评估风险 检
通 查
处理风险

25
 内部控制系统的运行
 二、风险管理与内部控制
2 、 管理的内容和方法
风险管理的方法：风险环境分析；风险事件识
别；
风险评估；作出风险反应
；
采取控制措施；风险信息
沟通；
监控风险管理的有效性。

26
 内部控制系统的运行
 二、风险管理与内部控制
3 、 COSO 管理模式
COSO 是美国国家虚假财务报告委员会赞助机构研究
小组 Committee of Sponsoring Organisation of
the Treadyway Commission 的英文缩写，是该委员会
（又称杜德威委员会，以该委员会主席杜德威得名）的主办
机构于己于人 985 年自发成立的的另一个民间组织。他的
主办机构是美国五个财务会计方面的专业协会，也包括美国
会计协会、国家会计师协会（现为管理会计师协会）、美国
注册会计师协会、国际内部审计师协会和财务执行官协会。
COSO 主要由上述五个机构建立，也独立于这五个机构。

27
 内部控制系统的运行
 二、风险管理与内部控制
3 、 COSO 管理模式
COSO 报告的目的： COSO 风险管理模式从分析风险
管理的相关性开始，支出由于企业经营环境和经营决策中存
在可能带来风险也可能带来机遇的不确定因素。管理层面临
的挑战是要决定为了获得利益相关者（包括股东、企业所在
社区、员工、顾客和供应商等受企业影响各方）的价值增长
而准备接受的不确定因素的程度。利益相关者的价值只有在
企业的管理战略、增长目标、风险控制和有效地使用企业资
源四者之间达到最佳平衡点是才实现最大值。

28
 内部控制系统的运行
 二、风险管理与内部控制
3 、 COSO 管理模式
COSO 报告的目的：风险管理有助于企业识别阻碍其
实现战略目标的各种风险，并使企业价值增长、风险和投资
回报相联系，使企业战略和企业对风险的接受态度一致，加
强企业的风险反映决策，降低损失和减少发生突发事件的情
况。企业风险管理与公司治理是紧密联系的，管理层负责向
董事会提供重要风险以及如何管理风险的信息。企业风险管
理与内部控制也是紧密联系的，内部控制是企业风险管理不
可分割的一部分。

29
 内部控制系统的运行
 二、风险管理与内部控制
3 、 COSO 管理模式
COSO 报告的目的：企业风险管理的目的在于：帮助
企业实现利润目标，防止损失，提高财务报告质量；遵纪守
法，避免信誉损害等，帮助企业达到目的地并避开沿途的险
境。然而，不同的人对于风险管理有不同的理解。 COSO
企业风险管理模式的重要目的之一是整合不同的观点形成一
个框架，确定通用的定义和基本要素，为企业评估风险管理
和法律制定者制定法规提供一个起点。

30
 内部控制系统的运行
 二、风险管理与内部控制
3 、 COSO 管理模式
COSO 对风险管理的定义：
企业风险管理是由企业的董事会、管理层和其他人员
实施的，从战略层面开始并贯穿整个企业的一个过程。这个
过程的设计是为了识别可能影响企业的潜在事件并按企业接
受风险的态度管理风险，为实现企业目标提供合理保证。内
部控制是企业风险管理的一个组成部分，《内部控制：整合
性架构》的全部内容都在企业风险管理框架中。

31
 内部控制系统的运行
 二、风险管理与内部控制
3 、 COSO 管理模式
COSO 确定的企业风险管理基本要素：
控制环境、事件识别、风险评估、
风险反映、控制活动、信息和沟通、监控。
COSO 对每个部分给出了明确的解释和详细说明。

32
 内部控制系统的运行
 二、风险管理与内部控制
3 、 COSO 管理模式
风险管理与企业目标的关系： COSO 指出企业
风险管理 4 个层面的目标（战略目标、经营目标、可靠的报
告、遵守法律）中的有效性可以得到实现企业经营目标的合
理保证。评判的内容包括：了解企业战略目标实现的进度，
确定企业的报告是可靠的，相关的法律得到遵守。
COSO 指出企业四个层面的目标与这 7 个部分之间的
关系是：企业风险管理的每一个个要素都适用于四个层面的
目标，每个目标都与 7 个基本要素相关。

33
 内部控制系统的运行
 二、风险管理与内部控制
3 、 COSO 管理模式
风险管理的限制因素： COSO 指出了企业风
险管理的限制因素：经营决策者的人性弱点的现实，多个人
员合谋作弊，风险控制的高成本 \ 效益比率，控制程序没有
正常运行。管理人员超越控制程序等。因此，风险管理可以
有助于确保管理层知道企业的进展，但不能确保经营目标本
身的实现，对企业的任何目标都不能提供绝对的保证。

34
 内部控制系统的运行
 二、风险管理与内部控制
3 、 COSO 风险管理模式
相关人员在风险管理中的责任： COSO 提出了相关
责任人的角色和责任：董事会和企业首席执行官负有最终责
任，其他管理人员要支持企业的风险管理并负责职责范围内
风险控制程序的有效运作，其他人员负责执行制定的风险管
理指示。

35
 内部控制系统的运行
 二、风险管理与内部控制
3 、 COSO 风险管理模式
相关人员在风险管理中的责任： COSO 进一步详
细说明了财务执行官、风险执行官和内部审计人员的责任。
董事会负责监督企业的风险管理，外部审计师、执法人员、
顾客、供应商、商业伙伴、财务分析师、债券等级评审机构
、新闻媒体等可以提供有用的信息给企业。

36
 内部控制系统的运行
 二、风险管理与内部控制
3 、 COSO 风险管理模式
相关人员在风险管理中的责任：最后 COSO 提出
了各方应采取的行动：董事会要与管理层讨论企业风险管理
的状况并进行监督；高层管理人员、首席执行官、财务执行
官及主要部门负责人要讨论企业风险管理能力和有效性并确
保存在持续的监控程序；企业其他人员要考虑如何执行奉行
管理及加强风险管理；执法人员可以考虑采用企业风险管理
框架的定义和内容对企业管理加以规范；对财务管理、审计
等提供指导的专业组织应根据本框架的精神考虑他们的标准
和指引；教育者应考虑将本报告中的概念作为课程的内容。

37
 内部控制系统的运行
 二、风险管理与内部控制
4 、 COSO 管理模式 内部控制的影响
推动内部控制要素的变化：
内部控制的五要素向八要素变化
五要素：控制环境、风险评估、控制活动、
资讯与沟通、监督
八要素：控制环境、风险辨识、风险分析、
风险应对、风险处理、控制活动
、
资讯与沟通、监督
38
 内部控制系统的运行
 二、风险管理与内部控制
4 、 COSO 管理模式 内部控制的影响
推动内部控制理念的变化：
传统的内部控制理念：控制舞弊
主要针对业务流程
以上控下
现代的内部控制理念：舞弊和风险双重控制
针对业务流程，也
针对决策
内在治理
39
 内部控制系统的运行
 二、风险管理与内部控制
4 、 COSO 管理模式 内部控制的影响
推动内部控制模式的变化：
传统的内部控制模式：以业务流程控制为主
控制重心下压
职务分离下的授权
控制
现代的内部控制模式：以规范权力控制为主
控制重心上移
公司治理下的授权
控制 40
 内部控制系统的运行
 三、内部控制运行理论
1 、内部控制的运行 境
控制环境就是内部控制系统运行的基础 和平台，控
制环境决定着内部控制运行的质量。环境的优劣不仅直接影
响着内部控制系统的设计和评价，也直接影响着内部控制的
运行结果。
分析内部控制运行环境，主要从操守及价值观、圣人
能力、董事会及监督委员会、管理哲学及经营风格、组织结
构、权责划分、人力资源政策及实行 7 个方面入手。

41
 内部控制系统的运行
 三、内部控制运行理论
1 、内部控制的运行 境
操守及价值观：
内部控制对操守及价值观的依赖：设计依赖—全体
员工职业操守良好、价值观积极向上可简化设计；反之，亦
然。运行依赖 -- 全体员工职业操守良好、价值观积极向上运
行效果好；反之，亦然。评价依赖 -- 全体员工职业操守良好
、价值观积极向上评价风险小；反之，亦然。

42
 内部控制系统的运行
 三、内部控制运行理论
1 、内部控制的运行 境
胜任能力：
内部控制对胜任能力的依赖：设计依赖—职工的胜
任能力较强，可以优化业务岗位和流程设计；反之亦然。运
行依赖 -- 职工的胜任能力较强，可以提高内部控制的运行效
率；反之亦然。

43
 内部控制系统的运行
 三、内部控制运行理论
1 、内部控制的运行 境
董事会及监督委员会：
内部控制对董事会及监督委员会的依赖：设计依
赖 -- 董事会及监督委员会就是内部控制构架的重要组成部分
，懂事会及监督委员会健全而且充分发挥作用，对其他内部
控制的构架和制度设计具有重要决定作用；反之，依然。运
行依赖 -- 董事会及监督委员会的运行方向，规定着其他内部
控制的运行方向。

44
 内部控制系统的运行
 三、内部控制运行理论
1 、内部控制的运行 境
管理哲学和经营风格：
内部控制对管理哲学和经营风格的依赖：设计依
赖—一个正规管理的公司过多的依赖书面政策、规章制度、
经济指标，其内部控制设计是健全的、完善的；一个非正式
管理的公司侧过多的依赖面对面的接触方式，其内部控制设
计往往是不全面的。运行依赖—一个正规管理公司内部控制
的运行持续的、不间断的；一个非正式管理的公司内部控制
的运行是不连续的、间断的。

45
 内部控制系统的运行
 三、内部控制运行理论
1 、内部控制的运行 境
组织结构
内部控制对组织结构的依赖：设计依赖—内部控制制度
的设计必须考虑组织结构，即考虑公司治理结构和公司管理
结构的要求，无论集权或分权，其职能划分都要以组织结构
为依据。运行依赖—内部控制系统运行必须以公司组织结构
为基础。

46
 内部控制系统的运行
 三、内部控制运行理论
1 、内部控制的运行 境
权责划分
内部控制对权责划分的依赖：设计依赖—权责划
分是内部控制的重要内容，它既是组织结构设计的重要组成
部分，也是控制制度设计的重要内容。运行依赖—权责划分
科学合理决定着控制流程和控制手续执行的有效性；反之亦
然。

47
 内部控制系统的运行
 三、内部控制运行理论
1 、内部控制的运行 境
人力资源的政策及实行
内部控制对人力资源的政策及实行的依赖：设计依
赖
-- 人力资源的政策及实行影响着内部控制组织构架的设计
，特别对管理组织和部门、业务岗位设计有着直接影响。运
行依赖 -- 人力资源的政策及实行的好有利于提高职工素质，
提高职工职业道德和业务和技术水准，有利于提高内部控制
的运行效率，优化内部控制的运行效果；反之亦然。
48
 内部控制系统的运行
 三、内部控制运行理论
2 、舞弊控制运行
会计内部控制
控制形式：完整性控制
合法性控制
正确性控制
一致性控制

49
 内部控制系统的运行
 三、内部控制运行理论
2 、舞弊控制运行
会计内部控制
控制手段：职务分离控制（不相容职务分离）
业务授权控制（一般授权、特定授
权）
稽核检查控制

50
 内部控制系统的运行
 三、内部控制运行理论
2 、舞弊控制运行
资产内部控制
控制形式：完整性控制
安全性控制
合法性控制

51
 内部控制系统的运行
 三、内部控制运行理论
2 、舞弊控制运行
资产内部控制
控制手段：计划预算控制 发货审批控制
招标合同控制 核算记录控制
验收入库控制 盘点对帐控制

52
 内部控制系统的运行
 三、内部控制运行理论
2 、舞弊控制运行
管理内部控制
控制形式：合法性控制 经济性控制
合理性控制 效率性控制
适当性控制 效果性控制
可行性控制

53
 内部控制系统的运行
 三、内部控制运行理论
2 、舞弊控制运行
管理内部控制
控制手段：计划预算控制 作业质量控制
信息报告控制 人员素质控制
职务分离控制 业务核算控制
授权分权控制

54
 内部控制系统的运行
 三、内部控制运行理论
2 、舞弊控制运行
内部审计控制
控制形式：事前审计
事中审计
事后审计

55
 内部控制系统的运行
 三、内部控制运行理论
2 、舞弊控制运行
内部审计控制
控制手段：检查
评价
监督

56
 内部控制系统的运行
 三、内部控制运行理论
3 、 控制运行
明确企业目标
风险—目标不能实现的可能性，有目标才有风险
。
目标的种类：营运目标—绩效、获利、自产安全
； P78
财务报导目标—可靠性、允当表
达； P78
遵循目标—单位活动
遵循法令； P79 57
 内部控制系统的运行
 三、内部控制运行理论
3 、 控制运行
明确企业目标
目标达成：目标建立是内部控制的先决条件。有效
的内部控制应能合理保证单位财务报导目标和遵循法林目标
的达成；而难以保证营运目标的达成。
内部控制不能保证所有目标达成，但能合理保证目
标可能无法达成时，预先向管理层警示。

58
 内部控制系统的运行
 三、内部控制运行理论
3 、 控制运行
风险辨识
风险与目标的关系：当单位的实际绩效与目标愈
远时，其风险愈会增加；单位外部因素和内部因素都可能使
绩效的实现面临风险。无论是影响明示目标的风险，还是影
响暗示目标的风险，均应进行全面辨识。

59
 内部控制系统的运行
 三、内部控制运行理论
3 、 控制运行
风险辨识
单位层级风险影响因素：
外部因素—科技发展、顾客需求或预期改变、竞争
、新法令颁布、自然灾害、经济环境改变；
内部因素—资讯系统处理中断、雇聘员工素质、经
理人责任的改变、单位活动的性质。

60
 内部控制系统的运行
 三、内部控制运行理论
3 、 控制运行
风险辨识
作业层级风险影响因素：
采购—数量、价格、质量；
生产—计划、技术、能源、成本、质量；
销售—营销策略、广告宣传、售后服务；
研发—新材料、新工艺、新技术。

61
 内部控制系统的运行
 三、内部控制运行理论
3 、 控制运行
风险辨识
风险辨识方法：定性方法—

定量方法—

62
 内部控制系统的运行
 三、内部控制运行理论
3 、 控制运行
风险分析
估计风险的严重程度：
风险的严重程度—重大损失风险：
中等损失风险 ;
小额损失风险：

63
 内部控制系统的运行
 三、内部控制运行理论
3 、 控制运行
风险分析
评估风险发生的可能性：
风险发生的可能性 ： -- 重大损失风险发生频率；
中等损失风险发生频
率；
小额损失风险发生频
率。

64
 内部控制系统的运行
 三、内部控制运行理论
3 、 控制运行
风险应对
考虑应对风险的策略：对单位影响不重大及发生可
能性偏低的风险，单位通常不予认真考虑；对单位影响重大
及发生可能性高的风险，则一定要充分注意；介于两者之间
的个案，则应加判断，应进行仔细及合理的分析，以选择适
当的应对措施。

65
 内部控制系统的运行
 三、内部控制运行理论
3 、 控制运行
风险控制
风险控制活动种类：高层经理人员复核
直接功能管理或直接作
业管理
对资讯处理的控制
实体控制
绩效指标的使用
职责划分 P87

66
 内部控制系统的运行
 三、内部控制运行理论
3 、 控制运行
风险控制
风险控制活动要素：政策和程序
政策—规定应该做什么，是程序的基础；
程序—规定应该怎样做，使政策产生效果。
控制活动应与风险评估向结合，控制活动应是单位
为竭力达成其目标所经理过程中的一个重要组成部分，是管
理层用来达成目标的机制。

67
 内部控制系统的运行
 三、内部控制运行理论
4 、 系 控制运行
资讯与沟通
资讯系统：
资讯—借资讯系统加以辨识、取得、处理与报告，
主要是财务资讯，可以是财务的，也可以是非财务的；
资讯系统—指处理内部交易及经营活动的资料。

68
 内部控制系统的运行
 三、内部控制运行理论
4 、 系 控制运行
资讯与沟通
资讯系统：
企业全面策略与资讯系统整合—资讯系统支持策略
： P94 资讯系统与营运相结合： P94 资讯的质量：适当性、
及时性、正确性、最新度、容易度。

69
 内部控制系统的运行
 三、内部控制运行理论
4 、 系 控制运行
资讯与沟通
资讯沟通：内部沟通—向下沟通 向上沟通
管理层和董事会沟通
外部沟通—与供应商沟通、与客户
沟通
与政府沟通

70
 内部控制系统的运行
 三、内部控制运行理论
4 、 系 控制运行
资讯系统控制
一般控制：用于帮助管理层确保系统持续、适当
的运转；包括：对资料中心运作的控制、对系统软件的控制
、存取安全控制、对应用系统的发展及维护的控制。
应用控制：用于对应用软件处理的控制，其目的是
帮助确保交易的处理、授权及真实系完整与正确。

71
 内部控制系统的运行
 三、内部控制运行理论
4 、 系 控制运行
资讯系统控制
两种控制的关系：电脑系统的一般控制和应用控
制彼此关联，一般控制能确保应用控制的有效；应用控制的
功能则又系于电脑的处理。

72
 内部控制系统的运行
 三、内部控制运行理论
5 、 督控制运行
监督的方法
监督 -- 可以确保内部控制持续有效的运作，监督的
过程是由适当的人在适当及时地情况下，评估内部控制的设
计和运作，并采取必要的行动。
监督的方法有两种：持续监督或个别评估。持续监
督程度愈高，其有效性也愈高，则该单位需要的个别评估就
愈少。

73
 内部控制系统的运行
 三、内部控制运行理论
5 、 督控制运行
监督的方法
持续监督：用于监督内部控制是否有效的的活动
，在日常经营过程中包括：日常管理活动、日常监督活动、
比较调解活动、其他例行活动等。例如 P99

74
 内部控制系统的运行
 三、内部控制运行理论
5 、 督控制运行
监督的方法
个别评估：评估范围和频率—视被评估对象的风险
大小和控制的重要性而定。评估主体—有特定单位或职能的
负责人决定评估，内部审计机构是单位内部控制评估的主要
力量，管理层在考核内部控制是否有效时，还可以借用外部
审计的力量。评估过程—了解每一个作业及每一个内部控制
的组成要素；了解内部控制的实际运作情况与设计有何不同
，各种变更是否必须适当；比较与执行之间的差异，并确认
控制对已定目标的达成是否能提供合理的保证。

75
 内部控制系统的运行
 三、内部控制运行理论
5 、 督控制运行
监督的方法
个别评估：评估方法—检查清单技术、编制调查表
技术、绘制流程图技术、定量评估技术。书面记录—评估者
将自己的评估过程作成书面记录，即记录评估过程中所进行
的测试、分析及评价结果。行动计划—单位首次进行内部控
制评估时，负责评估工作的高层管理人员应制定表要的行动
计划，行动计划内容 P101 。

76
 内部控制系统的运行
 三、内部控制运行理论
5 、 督控制运行
报导缺失
缺失：泛指内部控制中值得注意的问题。通过持续监督
、个别评估及外界检查均可发现内部控制的缺失之处，一项
缺失：可能是觉察到的、潜在的或真实的缺点（风险），也
可能是一个可以强化的内部控制机会可以提高单位达成其目
标的可能性。

77
 内部控制系统的运行
 三、内部控制运行理论
5 、 督控制运行
报导缺失
资讯来源—内部控制本身。报导内容—凡是影响单
位目标达成的各种内部控制缺失，均是向能采取必要行动的
人报导的内容。报导对象—单位职工发现内部控制缺失，不
仅应向上级负责人报告，还要向该直接负责至少高一级的主
管报告。报导原则—应规定哪些事项发生时，下属应向上级
报告。

78
 内部控制系统的运行
 四、内部控制运行程序
1 、内部控制运行策略
不丧失控制授权
主要措施：当分权增加时应改变控制内容与次数
；应保留安全措施；加强自我控制；多辅导少命令；制造有
利环境。 P129

79
 内部控制系统的运行
 四、内部控制运行程序
1 、内部控制运行策略
使领导了解情况
主要措施：用建立的标准来测度工作成果；预告重大问
题；确保政策和标准方法得到遵从；提供解决例外问题的资
料；夯实进行事先批准的基础；制定长期计划和政策、为与
外界接触搜集背景资料、辅导与仲裁。 P130

80
 内部控制系统的运行
 四、内部控制运行程序
1 、内部控制运行策略
其他控制策略
在控制中使用参谋人员；
通过领导行动加强控制；
加强用于控制沟通网络的设计；
平衡控制结构；
将控制与新计划相联系。

81
 内部控制系统的运行
 四、内部控制运行程序
2 、内部控制运行基本程序
内部控制运行模式
内部控制运行一般模式图： P114

82
 内部控制系统的运行
 四、内部控制运行程序
2 、内部控制运行基本程序
内部控制运行程序
确立标准：
控制标准—用来衡量实际绩效预先确立的依据，它
代表了单位或某个部门的计划目标、规范制度等。
确立标准—一是确立目标，二是制定保证目标实现
的各项制度。

83
 内部控制系统的运行
 四、内部控制运行程序
2 、内部控制运行基本程序
内部控制运行程序
确立标准：
选择目标—选择关键业务活动作为控制目标；选择
关键资源作为控制目标；选择关键的费用或成本项目作为控
制目标。 P116

84
 内部控制系统的运行
 四、内部控制运行程序
2 、内部控制运行基本程序
内部控制运行程序
衡量结果：
衡量结果—根据已确立的标准，衡量所制定的任务
的执行轨迹和实际完成情况，以控制将来为基础。
内部控制要正确地计量结果，主要依赖于同级部门
、会计部门及业务部门的正确记录，提供完整的执行数据；
同时标准数据与执行数据要可比性。

85
 内部控制系统的运行
 四、内部控制运行程序
2 、内部控制运行基本程序
内部控制运行程序
分析差异：
差异—控制目标与实际执行结果的差额或差距。分
析时，主要找出行程差异的各种因素以及分析各种因素对差
异的影响程度。差异调查分析纠正时，应考虑其经济效果，
即分析调查差异和改正缺点的成本必须小于差异发生的成本
。

86
 内部控制系统的运行
 四、内部控制运行程序
2 、内部控制运行基本程序
内部控制运行程序
采取补救措施：
控制—应该引导出纠正措施，即根据标准衡量绩效
的方法，通过差异分析，找出客观上和主观上的原因，然后
引导出纠正的办法。
措施—如何采取：一是根据根据存在问题的性质而
定；二是根据差异程度而定；三是根据实行纠正措施的成本
而定。
87
 内部控制系统的运行
 四、内部控制运行程序
2 、内部控制运行基本程序
内部控制运行程序
综合检查和评价：
综合检查和评价—对内部控制实施的全过程的检查
与评价，即对确立目标、计量结果、分析差异、采取措施等
过程进行的全面检查和评价。包括健全性测试、符合性测试
、综合评价三个阶段。

88
 内部控制系统的运行
 五、内部控制运行方法
1 、内部控制运行 准
内部控制的一般标准
考核内部控制环境的标准：合理的保证、主体态度
合理的保证—内部控制系统必须提供应该达到该系统
目标的保证，这是体现实施内部控制根本目的的标准。考察
内部控制是否提供了合理的保证，应从以下方面测定：内部
控制措施与系统目标的密切性，其费用超过受益的危险性；
内部控制措施在经营管理方面的固有危险性；内部控制措施
是否有利于管理水平、生产效率提高和减少目标实现的危险
性。

89
 内部控制系统的运行
 五、内部控制运行方法
1 、内部控制运行 准
内部控制的一般标准
考核内部控制环境的标准：合理的保证、主体态度
主体态度—单位内的管理人员和职工对内部控制的支
持肯定或不支持、否定的态度。主体态度不仅影响完成工作
的数量和质量，最终会影响内部控制系统的运行质量。 P134

90
 内部控制系统的运行
 五、内部控制运行方法
1 、内部控制运行 准
内部控制的一般标准
考核内部控制目标的标准：考核内部控制目标，主
要考核对单位机构是否进行了正确的分组，每个分组是否又
进行了控制目标的正确分类。如有的单位对机构和其业务进
行的分类分组是：机构管理部门；财务部门；规划部门；行
政事务部门等。 P134-135

91
 内部控制系统的运行
 五、内部控制运行方法
1 、内部控制运行 准
内部控制的一般标准
考核内部控制的技术标准：内部控制技术—保证内
部控制目标实现的有效技术。对其考核，一是考核在实际应
用方面能否保证所设想的范围和经营业务的目标予以实现；
二是考核他的应用能否保证以最少的资源取得最大的效益。
具体考核标准有以下几个方面：对管理结构的考核标准；对
人员方面的考核标准；对各项措施的考核标准。 P135-136

92
 内部控制系统的运行
 五、内部控制运行方法
1 、内部控制运行 准
内部控制的具体标准
规范化考核 标准：规范化—内部控制系统、经济
业务活动和其他重大事件，必须以文件形式明确予以记录。
规范化考核标准要求：内部控制目标、方法、技术
各项责任制度、经济业务活动和其他重大事件均应有书面证
明；内部控制系统文件应包括对有关分组的鉴别、控制目标
和技术，并应在管理部门的指令、行政方针和会计手册中表
现出来。
93
 内部控制系统的运行
 五、内部控制运行方法
1 、内部控制运行 准
内部控制的具体标准
授权与处理考核标准： P137

94
 内部控制系统的运行
 五、内部控制运行方法
1 、内部控制运行 准
内部控制的具体标准
记录与报告考核标准： P137-138

95
 内部控制系统的运行
 五、内部控制运行方法
1 、内部控制运行 准
内部控制的具体标准
监察与审计考核标准： P138

96
 内部控制系统的运行
 五、内部控制运行方法
2 、内部控制运行方法
目标控制法 P118

97
 内部控制系统的运行
 五、内部控制运行方法
2 、内部控制运行方法
组织控制法 P119

98
 内部控制系统的运行
 五、内部控制运行方法
2 、内部控制运行方法
授权控制法 P120

99
 内部控制系统的运行
 五、内部控制运行方法
2 、内部控制运行方法
程序控制法 P122

100
 内部控制系统的运行
 五、内部控制运行方法
2 、内部控制运行方法
措施控制法 P124-125

101
 内部控制系统的运行
 五、内部控制运行方法
2 、内部控制运行方法
检查控制法 P126-128

102