内部控制的基本理论

内部控制的基本理论
 一、内部控制的演进
1、内部控制的历史事实
公元 3600 年前，美索布达文化时期，简单的内部牵制实践；（纪录元核对付款清单）
古埃及法老统治时期，三名记录官，一名监督官，一名记录，一名在库顶观察记录，一名
对记录核对；
公元 600 年，古埃及在记录官、出纳官和监督官之间就建立起了比较完善的内部牵制制度；
古代罗马帝国宫廷库房采用“双人记账制”每一笔财产收付要有两个记账员同时记载；
2000 多年前古稀拉的雅典城邦，在官吏任期干结时，要对经手的钱财进行稽考交接；
13 世纪初，地中海沿岸各城市商业发达，在佛罗伦萨市一些企业按借主、贷主设账，复式
记账法产生；
我国西周时期，上计制度已萌芽，秦代的上计制度和御史制度已实行；
西汉时期，上计制度有了进一步完善，宋太祖时期，围绕着中央集权制，实行了“官职
分离”、“职差分离”；等。
2、内部控制的演进过程
近代内部控制产生于 18 世纪产业革命以后，18 世纪末期，美国铁路公司为了控制、考核
各方的客货运业务，采用了内部稽核制度；
20 世纪初期，西方资本主义经济得到了较大发展，资产所有者与经营者分离，建立了“内
部牵制制度”;
20 世纪 30 年代世界性经济大危机，企业内部牵制有了进一步发展，深入道企业所有部门
和整个业务活动；
1936 年，美会计师协会在其发布的《注册会计师对财务报表的审查》文告中首次正式使用
了”内部控制”；
1939 年，在其公布的《审计程序文告第一号》中，首次增加了内部控制审计的内容；
20 世纪 40 年代初期，美国成立了内部稽核协会，内部控制形成了最初模式， 1949 年，
美国职业会计师协会所属的审计程序委员会第一次提出了内部控制的概念：
“内部控制包括经济组织的计划及经济组织为为保护其财产、检查会计资料的准确性和可靠
性，提高经营效率、保证既定的经营政策得以实施而采取得所有方法和措施”。认为内部控
制已远远超出了财务、会计的范围。
20 世纪 50 年代以后，世界竞争激化，内部审计不仅是一切审计工作的基础，也是一切管
理工作的基础，管理部门都不愿意看到由于错误、舞弊或根据不可靠得住财务信息做出决策
而遭受损失；
1950 年，美国国会在其指定的预算计会计程序法案中规定“各级机关应负责对各种款项、
财产及其他资产的有效控制，会计记载等应经由适当的内部稽核”（世界上第一次将内部
控制列入政府法规）。
 二、内部控制的概念
1、内部控制概念的变化
自 1949 年美国职业会计师协会所属的审计程序委员会第一次提出了内部控制的概念
以来，内部控制的概念随着经济形势、管理理论的不断发展，也经历了空前的发展。
1949 年，美国职业会计师协会所属的审计程序委员会第一次提出了内部控制的概念：
“内部控制包括经济组织的计划及经济组织为为保护其财产、检查会计资料的准确性和
可靠性，提高经营效率、保证既定的经营政策得以实施而采取得所有方法和措施”。认为内
部控制已远远超出了财务、会计的范围
1950 年，美国国会在其指定的预算计会计程序法案中规定“各级机关应负责对各种
款项、财产及其他资产的有效控制，会计记载等应经由适当的内部稽核”，世界上第一次将
内部控制列入政府法规；
1963 年，美国审计程序委员会在其发布的《审计程序地三十三号文件》中对内部控制
的定义作乐进一步说明，并将内部控制分为会计控制和管理控制两个部分。
1973 年，该组织在其发布的《审计标准文件第一号》中，又为会计控制和管理控制下
了新的定义，定义中说明:会计控制主要与资产保护和财务信息的可信赖性有关；管理控制
主要与有效经营和执行管理方针有关。
1988 年，该组织在其《审计标准说明书第 55 号》中又把内部控制定义为：“为了实现
特定公司目标提供合理的保证，而建立一系列政策和程序”。并认为控制环境、会计系统、控
制程序为内部控制组成的三要素。
美国会计、审计界一直重视对内部研究 1985 年 6 月，美国正式成立了虚假财务报告全
国委员会，该组织的后援组织委员会 ----杜德威小组（COSO），COSO 是为专门研究内部
控制有关问题设置的组织，有美国会计师协会、美国会计学会、内部稽核协会、管理会计人员
协会、财务负责人协会组成。1992 年 9 月公布了题为《内部控制—整体构架》报告，简称
COSO 报告。
1996 年底，美国审计程序委员会在其《审计准则说明书第 78 号》中，对第 55 号进行
了修订，认可了 COSO 报告的研究成果，认为内部控制整体框架由控制环境、风险评估、控
制活动、资讯与沟通、监督五要素构成。
2、内部控制概念的比较：
《世界最高审计机关组织内部控制准则》中规定：内部控制系为达成管理目标，提供合
理保证的工具。其控制目标是：保护资源，以避免因浪费、舞弊、管理不当、错误、欺诈及其他
违法事件遭受损失；配合组织任务，使各项作业均能有条不紊且更经济有效运行，并提高
产品与服务质量；遵循法律、规章及各项管理作业规定；提供值得信赖的财务及管理资料，
并能适时恰当地揭露有关资料。
世界最高审计机关组织内部控制概念中：内部控制包括组织计划、管理态度、方法程序、
评价措施等。
美国 COSO 报告认为：内部控制系为达成末些特定目标而设计的过程。即是由管理层
设计、由董事会、管理层和其他人执行为达成营运的效果及效率，财务报导的可靠性和相关
法令的遵循提供合理保证的过程。该定义反映出的理念是：内部控制是一个过程，是一个由
人执行、受人影响的过程；内部控制只为管理层、董事会提供合理的保证，而不是全部；内
部控制由制约舞弊向控制风险方面提升。
COSO 报告认为：内部控制系为达成末些特定目标而设计的过程。即是由管理层设计、
由董事会、管理层和其他人执行为达成营运的效果及效率，财务报导的可靠性和相关法令的
遵循提供合理保证的过程。该定义反映出的理念是：内部控制是一个过程，是一个由人执行、
受人影响的过程；内部控制只为管理层、董事会提供合理的保证，而不是全部；内部控制由
制约舞弊向控制风险方面提升。
中国内部审计协会发布的《内部审计具体准则第 5 号—内部控制审计》第二条：
内部控制是指组织内部为实现经营目标，保护资产安全完整，保证遵循国家法律法
规，提高组织营运的效率及效果，而采取的各种政策和程序。
3、内部控制的定义
主要从内部控制的范围、内部控制的手段、内部控制的目第三个方面进行定义：
从内部控制范围看：部分控制论、全部控制论
从内部控制手段看：牵制论、组织方法论
从内部控制目的看：三目的论、四目的论 P4
 三、内部控制的功能
1、内部控制的原理
控制论 —伺服理论 P29
调节方式：平衡偏差调节
补偿干扰调节
排除干扰调节 P30
控制方式：闭环控制
开环控制
预防控制 P34
控制方法：分级控制
程序控制
目标控制
适应控制
最优控制 P36
2、内部控制的功能
内部控制的特征：全面性
经常性
潜在性
关联性
内部控制的功能：防护功能
调节功能
反馈功能
内部控制的功能：纠错防弊
控制风险
提高效率
内部控制的作用 :统合作用
制约作用
激励作用
促进作用
3、内部控制的性质
内部控制工作的特质：
以参谋顾问的身份协助单位健全政策、执行政策；
以管理者的眼光了解研究监督对象和监督部门；
以发展的视角检讨过去，为策划未来准备充分资料；
以简洁的语言交流方式将情报资料提供给需要的人；
以专业的方法从关联推论或趋势分析了解单位真实动向 P43
内部控制与行政管理
—内部控制是保证管理目标实现的手段；
内部控制与外部审核
--内部控制是外部审核工作的基础；
内部控制与内部审计
--内部控制是内部审计的主要对象。
 四、内部控制的目标
1、内部控制的方式
内部控制系统—包括组织、制度系统
组织系统：高层内部治理结构
中层部门组织构架
业务工作岗位设置
制度系统：各种章程、规章、制度；
业务控制流程；
业务控制手续
2、内部控制的范围
内部控制对象范围：行政控制
（按内部控制性质）业务控制
技术控制
监督控制
内部控制内容范围：内部会计控制
（按内部控制的领域）资产管理控制
决策管理控制
经营管理控制
内部审计
3、内部控制的目标
《国际审计准则 6》内部控制目标：
依据标准完成经济业务；
依据公认会计准则编制财务资料并保持对资产的责任；
只有根据管理人的批准方可动用资产；
对资产作出适当的记录并及时调整资产的差异。
《世界最高审计机关内部控制准则》内部控制目标：
配合组织任务，是各项作业有条不紊而且有效，并提高产品与服务质量；
保证资源，以避免因浪费、舞弊、管理不当、错误、欺诈及其他违法事件而
遭受损失；
遵循法律、规章及各项管理作业管理规定；
提供值得信赖的财务管理资料，能适时允当地揭露有关资料。
有关专家提出的内部控制目标：
增进及确保会计与经营资料的正确性与可靠性；
维护单位资产的安全、避免资产的浪费、失窃与使用上的无效率；
贯彻单位目标，确保单位的政策及规定被确实执行；
提高经营效率，评估各部门的绩效作为持续改善的基础。
内部控制目标：
真实性、可靠性 —被控资料；
安全性、完整性 —被控资产；
适当性、有效性 —被控活动；
合规性、合法性 —被控领域。
 五、内部控制的要素
1、内部控制要素的变迁
单要素论：内部牵制；
两要素论：内部会计控制、内部管理控制；
三要素论：控制环境、会计系统、控制程序；
五要素论：控制环境、风险评估、控制活动、资讯与沟通、监督。
八要素论：控制环境、风险辨识、风险评估、风险反映、风险应对、控制
活动、信息和沟通、监控。
2、内部控制的三要素—控制环境
控制环境是对企业控制的建立和实施有重大影响的多种因素的统称。控制环境的好坏直接
影响到被审计单位特定控制程序的有效性。
通常，与控制环境有关的主要因素包括：经营管理的观念、方式和风格；组织结构和权力、
职责的划分方法；控制系统。
经营管理的观念、方式和风格
企业管理当局在建立一个有利的控制环境中起着关键性的作用。极大影响控制环境的方面：
管理当局对待经营风险态度和控制经营风险的方法；为实现预算、利润和其他财务及经营目
标，企业对管理的重视程度；管理当局对会计报表所持的态度和所采取的行动。
组织结构和权力、职责的划分方法
组织结构是指企业计划、协调和控制经营活动的整体框架。设置合理的组织结构，有助于建
立良好的内部控制环境。组织结构的要素一般包括：组织单位的存在形式和性质；各个组成
部分的管理、经营职能；隶属关系和报告程序；组织内部职责和权利的划分方式。
控制系统
控制系统指管理当局制定和实施的各种管理控制方法、内部审计职能、人事聘用政策与实务
等。
管理控制方法是管理当局对其他人的授权使用情况直接控制和对整个企业的活动实行监督
的方法的总称，包括经营计划、预算、预测、利润计划、责任会计等。
2、内部控制的三要素—会计系统（制度）
会计系统（制度）是指被审计单位用于确认、计量、记录和报告其交易和事项的财务信息系
统。
“审计轨迹”（audit trail）或“交易轨迹”：是指通过编码、交叉索引和连接账户余额与
原始交易数据的书面资料所提供的一连串的迹象。
有效的会计系统应能达到以下目标：确认并记录一切真实的交易和事项；及时对各项交易
和事项进行适当的分类，作为编制会计报表的依据将各项交易和事项按适当的货币价值计
价，以便列入会计报表；确定交易和事项发生的日期，以便记录在适当的会计期间；在会
计报表中适当地表达交易和事项以及披露相关内容。
2、内部控制的三要素—控制程序
控制程序是指被审计单位管理当局为了实现其特定的管理目标而制定的除控制环境
以外的各项政策和程序。
控制程序可以分为以下五类：
交易授权、职责划分、凭证与记录、资产接触与记录使用、独立稽核
交易授权
保证每笔交易或每项业务活动都经过适当授权。
授权有一般授权和特别授权之分。
职责划分
是指对某交易涉及的各项职责进行合理划分，使每一个人的工作能自动地相互检
查另一个人或更多人的工作。
主要目的：避免任何职员担任不相容职务，预防和及时发现在执行所分配的职
责时所产生的错误或舞弊行为。
包括：经营责任与会计责任相分离；资产保管与会计相分离；授权与执行、保管、
审查、记录相分离。
凭证与记录
被审计单位必须设计和使用适当的凭证和记录，以确保各种交易和事项得以全面、
完整、准确地记录。
原始凭证要预先编号
资产接触与记录使用
主要是指被审计单位对接触、使用资产和记录，应当有适当的防护措施，未经授
权，不相关人员或部门不得接触和使用资产与记录，以保证资产和记录的安全。
独立稽核
是指验证由另一个人或部门执行的工作和验证所记录金额估价的正确性。
3、内部控制的五要素
COSO 报告提出内部控制包括五大要素：
控制环境、风险管理、控制活动、信息与沟通、监督；
内部控制的要素也是风险管理的要素；
风险管理是内部控制的一个重要要素。
董事会 —内部控制环境的核心；
董事会、管理者的素质；管理者的经营理念；管理层倡导的组织文化；各项职责
分工及相应人员的能力；人力资源政策及其执行。
3、内部控制的五要素 --风险管理：
风险管理的 7 大要素：
风险环境分析；风险事件识别；风险评估；作出风险反应；采取控制措施；风
险信息沟通；监控风险管理的有效性。
3、内部控制的五要素 --控制活动：
所有经营活动应有适当授权；不相容职务应当分离；有效控制凭证和记录的真
实性；资产和记录的接近限制；独立的业务审核。
3、内部控制的五要素—资讯与沟通
单位资讯系统能产生各种报告，包括营运、财务及遵循法令有关的资料和信息；
资讯系统不仅处理单位内部产生的资讯，同时也应处理与外部事项、活动及环境等有
关的资讯。
有效的沟通摆阔组织内部上下沟通及横向沟通，也包括与外界沟通。
3、内部控制的五要素—监督
监督是一种随着时间的经过而评估内部控制制度执行质量的过程，监督的方式
包括 :持续监督、个别评估、综合监督。
持续监督— 营运过程中的监督；
个别评估— 对个别事项的评估；
综合监督— 持续监督和个别评估一起进行。
内部控制系统的运行
 一、内部控制与公司治理
1、公司治理的概念
公司治理产生的动因：现代公司制度下，公司所有权和经营权分离，股东将资产委托
给公司管理者经营，二者之间存在委托代理关系。股东和管理者追求的目标不完全一致，即
股东要求企业必须以长期盈利为目标，保持持久的获利能力；而管理者追求的主要是收入、
奖金等短期个人利益；管理者实际经营公司并掌握着充分的内部经营信息，有条件作出有
利于自己的决策，从而损害股东的长远利益。
公司治理认识的发展：20 世纪 90 年代早期他还被认为是解决公司官僚管理问题方法
的延伸，各方面对公司治理理解不尽相同。90 年代中期，公司懂事们还认为公司治理不过
是另一种管理控制程序，重点强调的是懂事对股东的责任。例如 1992 年英国某专业委员会
的报告中，还将公司智力定义为“公司的指导和控制系统。”
公司治理认识的发展：20 世纪末对公司治理的共识似乎还是为了确保企业在经营活动
中遵守各项法律法规制度、财务会计准则和履行日益增加的社会责任的前提下，实现股东价
值最大化。
公司治理认识的发展：2001 年美国安然公司破产及后来发生的其他著名公司倒闭事
件中，人们发现，事件的原因不仅在于财务报告披露信息不够完全透明，对外部审计师独
立性约束不够，以致没有遵循应有的职业道德和公正原则出具审计报告，还在于董事会没
有发挥恰当的监督职能，未能及时发现管理层的欺诈行为，未能与股东充分沟通并诚实地
报告重大事项决策。现在，管理人员和专家学者已认识到完善董事会制度本身也是公司治理
的重要组成部分，并考虑将其纳入公司治理的范畴。
公司治理概念表述：公司治理涉及内容广泛而复杂，其目的是，在股东和管理者利益
不完全一致，投资者和管理者掌握公司内部经营信息不对称条件下，在公司不同层次和方
面实施控制，保证企业的经营管理活动符合股东利益，实现股东资产的长期增值和利益最
大化。公司治理涉及对董事会的规范和对董事会、公司管理层和股东之间关系的调整，其核
心是加强公司重要决策对股东的透明度和管理者对股东的责任。
2、公司治理的原则和内容
公司治理与内部控制的关系：公司治理包括内部治理和外部治理。
外部治理是通过各种外部控制力量对董事会实行控制的各种措施和手段；
内部治理是通过各种内部控制措施对董事会和管理者以及员工的管理和控制。
由此可见，内部控制是公司治理的重要组成部分，内部控制就是公司的内部治理。
公司治理的原则：受托责任；或明晰产权；监督制约；政企分开；透明公平；制度合理；
相关责任；管理科学。
公司治理的内容：公司治理的组织构架包括：董事会、监事会、总经理和各职能、业务部门。
董事会，有一份正式章程；明确董事会和管理者的分工；设立一个能完成其职责
并增加价值的董事会。
监事会，设置一个具有监督功能的监事会，以为全体投资人负责；
总经理，聘请有经营能力的职业经理人做总经理，以为东事会负责。
公司治理的制度：
职业道德和行为准则:职业道德规范; 行为准则。
内部控制和风险管理:内部控制；风险管理。
财务信息的审核控制。薪酬制度。重要信息沟通。
3、美国公司治理相关规定
萨班斯—奥克斯莱法案的相关规定：
设立会计监督委员会；
对审计师独立性要求；
公司董事会的审计委员会；
规定定期申报财务报告的公司；
加强财务披露事项；
对违法行为严厉处罚。
纽约股票交易所和纳斯达克股票交易所对上市公司的规定：（1）要求董事会及下属各委
员会大多数成员都是独立懂事；（2）要求上市公司审计委员会、薪酬委员会提名委员会
完全由独立懂事组成；（3）对独立懂事的认定必须由懂事会确认该懂事与公司没有重要
关系；（4）要求上市公司设立内部审计机构
纽约股票交易所和纳斯达克股票交易所对上市公司的规定：（5）要求公司采用和披露公
司治理指南、业务行为准则及审计委员会、薪酬委员会和提名委员会的章程；（6）独立懂
事定期参加管理、执行会议；（7）审计委员会有权任命和撤消独立审计师以及批准所有的
审计查帐以外的相关审计服务。
 二、风险管理与内部控制
1、风险的概念及要素
风险的定义：
风险的概念起源于意大利，17 世纪由法国传入英国，19 世纪早期传入美国。风险在英文词
典中等定义是“遭受损失或伤害的机会或可能性”。风险的高低，取决于预计的损失的大小
和发生损失的可能性；如果预计损失很小或者发生损失的可能性微乎其微，风险就很低。
国际内部审计师协会对风险的定义是：风险是发生某种影响目标完成的事件的不确定性。风
险的大小可用该事件的后果和可能性来计量。因此，在有可能发生使企业单位的经营目标不
能实现的事件时，就存在着经营风险。
风险的特点：风险的不确定性；
风险的绝对性；
风险判断的主观性。
风险环境及其要素：
风险环境也即是风险管理环境，或称内部控制环境。任何一个企业事业单位都是在一定
的环境中开展经营管理活动的，而这一环境存在各种不确定因素可能使单位不能实现其经
营目标，这种有风险的经营环境就是单位的风险环境。
风险环境及其要素：
风险环境要素包括：操守及价值观；胜任能力；董事会及监督委员会；管理哲学和经营
风格；组织结构；权责划分；人力资源的政策及其评估。
风险的分类：--外部风险
法律风险—法律体系是否健全、法律的强制性和透明度、执法的独立性；各种契约
关系、侵权行为等。
政治风险—社会变革、国家行为、政府的稳定性、国有化趋势等。
经济风险—市场竞争状况、消费者消费倾向、电子商务、总体经济发展状况等。
风险的分类：--内部风险
战略风险—单位发展战略、市场战略、投资战略、品牌战略；
财务风险—融资风险、利率风险、汇率风险、投资回报率；
经营风险--如财产损失、信息管理风险、供货风险；人才风险、物流风险、营运风险；
诚信风险—不法行为、舞弊、贪污、不良信用等。
2、风险管理的内容和方法
风险管理的定义：
美国国家虚假财务报告委员会赞助机构研究小组（COSO）对企业风险管理的定义是：
企业风险管理是由企业董事会、管理层和其他人员实施的、从战略层面开始的、并贯穿整个企
业的一个过程，这个过程的设计是为了及时识别可能影响企业的潜在事件并按企业接受风
险的态度管理风险，为实现企业目标提供合理的保证。
风险管理的内容：
风险管理的目的是：为了有效经营、提供可靠财务报遵守可靠法律法规、实现单位的经
营目标；
风险管理的范围是：包括传统意义上的对交易、财产、运营的内部控制系统，还包括向
董事会提供企业风险管理方面的信息，主要是关于企业事业单位最重要的风险及管理情况。
风险管理的内容：
在风险管理中，董事会负责监督管理层的风险管理系统设计和运作，管理层负责设计
和运作风险管理系统，企事业单位所有人员都对保证风险管理措施成功实施负有责任。
根据 COSO 的分析，企业事业单位风险管理包括 7 个基本要素：控制环境，事件识别，
风险评估，风险反应，控制活动，信息和沟通，监控。
风险管理过程：
风险管理环境监
沟识别风险督
通分析风险和
评估风险检
处理风险查
风险管理的方法：风险环境分析；风险事件识别；风险评估；作出风险反应；采取控制措
施；风险信息沟通；监控风险管理的有效性。
3、 COSO 风险管理模式
COSO 是美国国家虚假财务报告委员会赞助机构研究小组 Committee of
Sponsoring Organisation of the Treadyway Commission 的英文缩写，是该委员
会（又称杜德威委员会，以该委员会主席杜德威得名）的主办机构于己于人 985 年自发成
立的的另一个民间组织。他的主办机构是美国五个财务会计方面的专业协会，也包括美国会
计协会、国家会计师协会（现为管理会计师协会）、美国注册会计师协会、国际内部审计师协
会和财务执行官协会。COSO 主要由上述五个机构建立，也独立于这五个机构。
COSO 报告的目的： COSO 风险管理模式从分析风险管理的相关性开始，支出由于
企业经营环境和经营决策中存在可能带来风险也可能带来机遇的不确定因素。管理层面临的
挑战是要决定为了获得利益相关者（包括股东、企业所在社区、员工、顾客和供应商等受企业
影响各方）的价值增长而准备接受的不确定因素的程度。利益相关者的价值只有在企业的管
理战略、增长目标、风险控制和有效地使用企业资源四者之间达到最佳平衡点是才实现最大
值。
风险管理有助于企业识别阻碍其实现战略目标的各种风险，并使企业价值增长、风险和
投资回报相联系，使企业战略和企业对风险的接受态度一致，加强企业的风险反映决策，
降低损失和减少发生突发事件的情况。企业风险管理与公司治理是紧密联系的，管理层负责
向董事会提供重要风险以及如何管理风险的信息。企业风险管理与内部控制也是紧密联系的，
内部控制是企业风险管理不可分割的一部分。
企业风险管理的目的在于：帮助企业实现利润目标，防止损失，提高财务报告质量；
遵纪守法，避免信誉损害等，帮助企业达到目的地并避开沿途的险境。然而，不同的人对于
风险管理有不同的理解。COSO 企业风险管理模式的重要目的之一是整合不同的观点形成
一个框架，确定通用的定义和基本要素，为企业评估风险管理和法律制定者制定法规提供
一个起点。
COSO 对风险管理的定义：
企业风险管理是由企业的董事会、管理层和其他人员实施的，从战略层面开始并贯穿整
个企业的一个过程。这个过程的设计是为了识别可能影响企业的潜在事件并按企业接受风险
的态度管理风险，为实现企业目标提供合理保证。内部控制是企业风险管理的一个组成部分，
《内部控制：整合性架构》的全部内容都在企业风险管理框架中。
COSO 确定的企业风险管理基本要素：
控制环境、事件识别、风险评估、
风险反映、控制活动、信息和沟通、监控。
COSO 对每个部分给出了明确的解释和详细说明。
风险管理与企业目标的关系： COSO 指出企业风险管理 4 个层面的目标（战略目标、
经营目标、可靠的报告、遵守法律）中的有效性可以得到实现企业经营目标的合理保证。评判
的内容包括：了解企业战略目标实现的进度，确定企业的报告是可靠的，相关的法律得到
遵守。
COSO 指出企业四个层面的目标与这 7 个部分之间的关系是：企业风险管理的每一个
个要素都适用于四个层面的目标，每个目标都与 7 个基本要素相关。
风险管理的限制因素： COSO 指出了企业风险管理的限制因素：经营决策者的人性
弱点的现实，多个人员合谋作弊，风险控制的高成本\效益比率，控制程序没有正常运行。
管理人员超越控制程序等。因此，风险管理可以有助于确保管理层知道企业的进展，但不能
确保经营目标本身的实现，对企业的任何目标都不能提供绝对的保证。
相关人员在风险管理中的责任：COSO 提出了相关责任人的角色和责任：董事会和企
业首席执行官负有最终责任，其他管理人员要支持企业的风险管理并负责职责范围内风险
控制程序的有效运作，其他人员负责执行制定的风险管理指示。
相关人员在风险管理中的责任： COSO 进一步详细说明了财务执行官、风险执行官
和内部审计人员的责任。董事会负责监督企业的风险管理，外部审计师、执法人员、顾客、供
应商、商业伙伴、财务分析师、债券等级评审机构、新闻媒体等可以提供有用的信息给企业。
相关人员在风险管理中的责任：最后 COSO 提出了各方应采取的行动：董事会要与管
理层讨论企业风险管理的状况并进行监督；高层管理人员、首席执行官、财务执行官及主要
部门负责人要讨论企业风险管理能力和有效性并确保存在持续的监控程序；企业其他人员
要考虑如何执行奉行管理及加强风险管理；执法人员可以考虑采用企业风险管理框架的定
义和内容对企业管理加以规范；对财务管理、审计等提供指导的专业组织应根据本框架的精
神考虑他们的标准和指引；教育者应考虑将本报告中的概念作为课程的内容。
4、 COSO 风险管理模式对内部控制的影响
推动内部控制要素的变化：
内部控制的五要素向八要素变化
五要素：控制环境、风险评估、控制活动、资讯与沟通、监督
八要素：控制环境、风险辨识、风险分析、风险应对、风险处理、控制活动、资
讯与沟通、监督
推动内部控制理念的变化：
传统的内部控制理念：控制舞弊、主要针对业务流程、以上控下
现代的内部控制理念：舞弊和风险双重控制、针对业务流程，也针对决策内在
治理
推动内部控制模式的变化：
传统的内部控制模式：以业务流程控制为主
控制重心下压
职务分离下的授权控制
现代的内部控制模式：以规范权力控制为主
控制重心上移
公司治理下的授权控制
 三、内部控制运行理论
1、内部控制的运行环境
控制环境就是内部控制系统运行的基础和平台，控制环境决定着内部控制运行的质量。环
境的优劣不仅直接影响着内部控制系统的设计和评价，也直接影响着内部控制的运行结果。
分析内部控制运行环境，主要从操守及价值观、圣人能力、董事会及监督委员会、管理哲学及
经营风格、组织结构、权责划分、人力资源政策及实行 7 个方面入手。
操守及价值观：
内部控制对操守及价值观的依赖：设计依赖—全体员工职业操守良好、价值观积极向上可简
化设计；反之，亦然。运行依赖--全体员工职业操守良好、价值观积极向上运行效果好；反
之，亦然。评价依赖--全体员工职业操守良好、价值观积极向上评价风险小；反之，亦然。
胜任能力：
内部控制对胜任能力的依赖：设计依赖—职工的胜任能力较强，可以优化业务岗位和流程
设计；反之亦然。运行依赖--职工的胜任能力较强，可以提高内部控制的运行效率；反之亦
然。
董事会及监督委员会：
内部控制对董事会及监督委员会的依赖：设计依赖--董事会及监督委员会就是内部控制构
架的重要组成部分，懂事会及监督委员会健全而且充分发挥作用，对其他内部控制的构架
和制度设计具有重要决定作用；反之，依然。运行依赖--董事会及监督委员会的运行方向，
规定着其他内部控制的运行方向。
管理哲学和经营风格：
内部控制对管理哲学和经营风格的依赖：设计依赖—一个正规管理的公司过多的依赖书面
政策、规章制度、经济指标，其内部控制设计是健全的、完善的；一个非正式管理的公司侧过
多的依赖面对面的接触方式，其内部控制设计往往是不全面的。运行依赖—一个正规管理公
司内部控制的运行持续的、不间断的；一个非正式管理的公司内部控制的运行是不连续的、
间断的。
组织结构
内部控制对组织结构的依赖：设计依赖—内部控制制度的设计必须考虑组织结构，
即考虑公司治理结构和公司管理结构的要求，无论集权或分权，其职能划分都要以
组织结构为依据。运行依赖—内部控制系统运行必须以公司组织结构为基础。
权责划分
内部控制对权责划分的依赖：设计依赖—权责划分是内部控制的重要内容，它既是
组织结构设计的重要组成部分，也是控制制度设计的重要内容。运行依赖—权责划分
科学合理决定着控制流程和控制手续执行的有效性；反之亦然。
人力资源的政策及实行
内部控制对人力资源的政策及实行的依赖：设计依赖
--人力资源的政策及实行影响着内部控制组织构架的设计，特别对管理组织和部门、
业务岗位设计有着直接影响。运行依赖 --人力资源的政策及实行的好有利于提高职工
素质，提高职工职业道德和业务和技术水准，有利于提高内部控制的运行效率，优
化内部控制的运行效果；反之亦然。
2、舞弊控制运行
会计内部控制
控制形式：完整性控制
合法性控制
正确性控制
一致性控制
控制手段：职务分离控制（不相容职务分离）
业务授权控制（一般授权、特定授权）
稽核检查控制
资产内部控制
控制形式：完整性控制
安全性控制
合法性控制
控制手段：计划预算控制发货审批控制
招标合同控制核算记录控制
验收入库控制盘点对帐控制
管理内部控制
控制形式：合法性控制经济性控制
合理性控制效率性控制
适当性控制效果性控制
可行性控制
控制手段：计划预算控制作业质量控制
信息报告控制人员素质控制
职务分离控制业务核算控制
授权分权控制
内部审计控制
控制形式：事前审计
事中审计
事后审计
控制手段：检查
评价
监督
3、风险控制运行
明确企业目标
风险—目标不能实现的可能性，有目标才有风险。
目标的种类：营运目标—绩效、获利、自产安全；P78
财务报导目标—可靠性、允当表达；P78
遵循目标—单位活动遵循法令；P79
明确企业目标
目标达成：目标建立是内部控制的先决条件。有效的内部控制应能合理保证单位财务报导目
标和遵循法林目标的达成；而难以保证营运目标的达成。
内部控制不能保证所有目标达成，但能合理保证目标可能无法达成时，预先向管理层警示。
风险辨识
风险与目标的关系：当单位的实际绩效与目标愈远时，其风险愈会增加；单位外部因素和
内部因素都可能使绩效的实现面临风险。无论是影响明示目标的风险，还是影响暗示目标的
风险，均应进行全面辨识。
单位层级风险影响因素：
外部因素—科技发展、顾客需求或预期改变、竞争、新法令颁布、自然灾害、经济环境改变；
内部因素—资讯系统处理中断、雇聘员工素质、经理人责任的改变、单位活动的性质。
作业层级风险影响因素：
采购—数量、价格、质量；
生产—计划、技术、能源、成本、质量；
销售—营销策略、广告宣传、售后服务；
研发—新材料、新工艺、新技术。
风险辨识方法：定性方法—
定量方法—
风险分析
估计风险的严重程度：
风险的严重程度—重大损失风险：
中等损失风险;
小额损失风险：
评估风险发生的可能性：
风险发生的可能性：--重大损失风险发生频率；
中等损失风险发生频率；
小额损失风险发生频率。
风险应对
考虑应对风险的策略：对单位影响不重大及发生可能性偏低的风险，单位通常
不予认真考虑；对单位影响重大及发生可能性高的风险，则一定要充分注意；介于两者之
间的个案，则应加判断，应进行仔细及合理的分析，以选择适当的应对措施。
风险控制
风险控制活动种类：高层经理人员复核
直接功能管理或直接作业管理
对资讯处理的控制
实体控制
绩效指标的使用
职责划分 P87
风险控制活动要素：政策和程序
政策—规定应该做什么，是程序的基础；
程序—规定应该怎样做，使政策产生效果。
控制活动应与风险评估向结合，控制活动应是单位为竭力达成其目标所经理过程
中的一个重要组成部分，是管理层用来达成目标的机制。
4、资讯系统控制运行
资讯与沟通
资讯系统：
资讯—借资讯系统加以辨识、取得、处理与报告，主要是财务资讯，可以是财务的，也可以
是非财务的；
资讯系统—指处理内部交易及经营活动的资料。
企业全面策略与资讯系统整合—资讯系统支持策略：P94 资讯系统与营运相结合：P94
资讯的质量：适当性、及时性、正确性、最新度、容易度。
资讯沟通：内部沟通—向下沟通向上沟通管理层和董事会沟通外部沟通—与供应商沟
通、与客户沟通与政府沟通
资讯系统控制
一般控制：用于帮助管理层确保系统持续、适当的运转；包括：对资料中心运作的控制、对
系统软件的控制、存取安全控制、对应用系统的发展及维护的控制。
应用控制：用于对应用软件处理的控制，其目的是帮助确保交易的处理、授权及真实系完整
与正确。
两种控制的关系：电脑系统的一般控制和应用控制彼此关联，一般控制能确保应用控制的
有效；应用控制的功能则又系于电脑的处理。
5、监督控制运行
监督的方法
监督--可以确保内部控制持续有效的运作，监督的过程是由适当的人在适当及时地情况下，
评估内部控制的设计和运作，并采取必要的行动。
监督的方法有两种：持续监督或个别评估。持续监督程度愈高，其有效性也愈高，则该单位
需要的个别评估就愈少。
持续监督：用于监督内部控制是否有效的的活动，在日常经营过程中包括：日常管理活动、
日常监督活动、比较调解活动、其他例行活动等。例如 P99
监督的方法
个别评估：评估范围和频率—视被评估对象的风险大小和控制的重要性而定。评估主体—有
特定单位或职能的负责人决定评估，内部审计机构是单位内部控制评估的主要力量，管理
层在考核内部控制是否有效时，还可以借用外部审计的力量。评估过程—了解每一个作业及
每一个内部控制的组成要素；了解内部控制的实际运作情况与设计有何不同，各种变更是
否必须适当；比较与执行之间的差异，并确认控制对已定目标的达成是否能提供合理的保
证。
个别评估：评估方法—检查清单技术、编制调查表技术、绘制流程图技术、定量评估技术。书
面记录—评估者将自己的评估过程作成书面记录，即记录评估过程中所进行的测试、分析及
评价结果。行动计划—单位首次进行内部控制评估时，负责评估工作的高层管理人员应制定
表要的行动计划，行动计划内容 P101。
报导缺失
缺失：泛指内部控制中值得注意的问题。通过持续监督、个别评估及外界检查均可发现内部
控制的缺失之处，一项缺失：可能是觉察到的、潜在的或真实的缺点（风险），也可能是一
个可以强化的内部控制机会可以提高单位达成其目标的可能性。
资讯来源—内部控制本身。报导内容—凡是影响单位目标达成的各种内部控制缺失，均是向
能采取必要行动的人报导的内容。报导对象—单位职工发现内部控制缺失，不仅应向上级负
责人报告，还要向该直接负责至少高一级的主管报告。报导原则—应规定哪些事项发生时，
下属应向上级报告。
 四、内部控制运行程序
1、内部控制运行策略
不丧失控制授权
主要措施：当分权增加时应改变控制内容与次数；应保留安全措施；加强自我控制；多辅
导少命令；制造有利环境。P129
使领导了解情况
主要措施：用建立的标准来测度工作成果；预告重大问题；确保政策和标准方法得到遵从；
提供解决例外问题的资料；夯实进行事先批准的基础；制定长期计划和政策、为与外界接触
搜集背景资料、辅导与仲裁。P130
其他控制策略
在控制中使用参谋人员；
通过领导行动加强控制；
加强用于控制沟通网络的设计；
平衡控制结构；
将控制与新计划相联系。
2、内部控制运行基本程序
内部控制运行模式
内部控制运行一般模式图：P114
内部控制运行程序
确立标准：
控制标准—用来衡量实际绩效预先确立的依据，它代表了单位或某个部门的计
划目标、规范制度等。
确立标准—一是确立目标，二是制定保证目标实现的各项制度。
选择目标—选择关键业务活动作为控制目标；选择关键资源作为控制目标；选择关键的费
用或成本项目作为控制目标。P116
衡量结果：
衡量结果—根据已确立的标准，衡量所制定的任务的执行轨迹和实际完成情况，
以控制将来为基础。
内部控制要正确地计量结果，主要依赖于同级部门、会计部门及业务部门的正确
记录，提供完整的执行数据；同时标准数据与执行数据要可比性。
分析差异：
差异—控制目标与实际执行结果的差额或差距。分析时，主要找出行程差异的各
种因素以及分析各种因素对差异的影响程度。差异调查分析纠正时，应考虑其经济效果，即
分析调查差异和改正缺点的成本必须小于差异发生的成本。
采取补救措施：
控制—应该引导出纠正措施，即根据标准衡量绩效的方法，通过差异分析，找
出客观上和主观上的原因，然后引导出纠正的办法。
措施—如何采取：一是根据根据存在问题的性质而定；二是根据差异程度而定；
三是根据实行纠正措施的成本而定。
综合检查和评价：
综合检查和评价—对内部控制实施的全过程的检查与评价，即对确立目标、计量
结果、分析差异、采取措施等过程进行的全面检查和评价。包括健全性测试、符合性测试、综合
评价三个阶段。
 五、内部控制运行方法
1、内部控制运行标准
内部控制的一般标准
考核内部控制环境的标准：合理的保证、主体态度
合理的保证—内部控制系统必须提供应该达到该系统目标的保证，这是体现实施
内部控制根本目的的标准。考察内部控制是否提供了合理的保证，应从以下方面测定：内部
控制措施与系统目标的密切性，其费用超过受益的危险性；内部控制措施在经营管理方面
的固有危险性；内部控制措施是否有利于管理水平、生产效率提高和减少目标实现的危险性。
考核内部控制环境的标准：合理的保证、主体态度
主体态度—单位内的管理人员和职工对内部控制的支持肯定或不支持、否定的态
度。主体态度不仅影响完成工作的数量和质量，最终会影响内部控制系统的运行质量。P134
考核内部控制目标的标准：考核内部控制目标，主要考核对单位机构是否进行了正确的分
组，每个分组是否又进行了控制目标的正确分类。如有的单位对机构和其业务进行的分类分
组是：机构管理部门；财务部门；规划部门；行政事务部门等。P134-135
考核内部控制的技术标准：内部控制技术—保证内部控制目标实现的有效技术。对其考核，
一是考核在实际应用方面能否保证所设想的范围和经营业务的目标予以实现；二是考核他
的应用能否保证以最少的资源取得最大的效益。具体考核标准有以下几个方面：对管理结构
的考核标准；对人员方面的考核标准；对各项措施的考核标准。P135-136
内部控制的具体标准
规范化考核标准：规范化—内部控制系统、经济业务活动和其他重大事件，必须以文件形
式明确予以记录。
规范化考核标准要求：内部控制目标、方法、技术各项责任制度、经济业务活动和其他重大事
件均应有书面证明；内部控制系统文件应包括对有关分组的鉴别、控制目标和技术，并应在
管理部门的指令、行政方针和会计手册中表现出来。
授权与处理考核标准：P137
记录与报告考核标准：P137-138
监察与审计考核标准：P138
2、内部控制运行方法
目标控制法 P118
组织控制法 P119
授权控制法 P120
程序控制法 P122
措施控制法 P124-125
检查控制法 P126-128
内部控制系统的设计
 一、内部控制设计思想
1、内部控制系统的涵义
内部控制系统：
内部控制组织和内部控制制度构成的用以制约单位经营舞弊和管理风险，保证
单位内部信息真实可靠，资产的安全完整，经营管理合理有效，并且在经营目标实现过程
中遵循有关法律法规的控制运行系统。
包括内部控制组织系统、内部控制制度系统、内部控制流程系统。
内部控制系统的作用;p169
内部控制系统的特征;p171
2、内部控制系统设计原则
信息化原则：
信息—指消息、情报、指令、数据、信号等有关周围环境的知识，凡是与经济活动
有关的信息都是经济信息。信息是表现事物特征的一种普通形式，具有知识的秉性；信息是
事物存在形式或运动状态，以及这种方式或状态的直接或间接表述；信息与物质和能量有
着密切关系，信息传递以来物质，信息获取消耗能量；按其存在时间的长短，信息有长时
信息、短时信息、瞬时信息。
信息论—包括狭义信息论、一般信息论和广义信息论三种。任何单位的管理过程都是信息传
递和信息转换过程，设计内部控制系统，应注意充分运用信息方法。设计时要注意：从制度
上保证有效使用信息资源；从制度上保证单位信息沟通；从制度上保证信息及时反馈。
系统化原则：
系统—是一组有联系的元素组合，即是由相互联系、相互制约的若干元素组成的
统一体。两个以上各不相同的元素，按照一定的顺序和内部联系而组成的为达到共同目的，
具有特定功能的一个有机整体，即为系统。系统本质为“组织联系”，其一，表现为各部分
信息渠道沟通，其二表现为它们动态的相互作用的结果。
系统论—研究系统的模式、原则和规律平对其功能进行数学描述的一门科学。新统论的基本
观点是：系统总体和构成总体的各种物体相互联系。在进行内部控制设计时：根据系统哲学
思想进行制度规划；根据系统管理观点进行系统规划；运用系统分析设计制度结构。
标准化原则：
标准化—是一种应用性原则。内部控制制度要想在特定的组织中有效应用，在设
计时就应考虑一下要求：
合法性要求适用性要求
有效性要求合理性要求
可容性要求
3、内部控制系统设计程序
内部控制设计范围和主体
内部控制设计范围：
全面设计—对全部内部控制的设计 P178
局部设计—对部分内部控制的设计 P179
内部控制设计主体：
最高管理当局组织设计；
单位管理当局全面负责、认真研究具体施行；
由不同具体设计主体设计。
内部控制设计主体：
单位人员自行设计—在单位主要负责人领导下，由总经济师、总工程师及有关部
门负责人组成的设计小组进行设计。P179
聘请外界专家设计—在国外优质业会计师、管理顾问公司、制度专家和事务所及表
单供应厂商从事会计制度和管理制度的的设计和咨询工作。
内部控制设计步骤
了解单位背景—单位历史概况单位经营业务
单位组织状况资产设备状况
产品及销售状况办公手段概况
财务状况与会计实务
重要契约与其他资料
主要业务调查—销售业务应调查的问题 P182
生产作业应调查的问题 P183
采购作业应调查的问题 P183
存货控制应调查的问题 P184
人事业务应调查的问题 P184
固定资产管理调查的问题 P185
分析研究问题—运用组织系统图、业务流程图、工作分配图、表单分送图进行分析。
提出结论与建议—对如何改进工作、如何设计新的制度有了基本构想后，就应提
出研究结论；报告中建议内容：P186
拟定制度进行试验—P186
4、内部控制系统设计方法
内部控制设计重点
内部控制设计重点--以预防控制为主；
注重体制牵制；
注重程序制约；
注重责任牵制。
内部牵制组织
内部牵制目的：寓牵制与处理之中；确定并记录已经发生的事实；促进各种业务
顺利处理；使错误与弊端减至最小程度。
内部牵制种类：实物牵制、机械牵制、体制牵制、簿记牵制。
内部牵制设计
设计程序，正确分段；
基本原则—不相容职务分离。不相容职务 P192
一般程序—一般分段：计划申请阶段审核报批阶段
办理手续阶段实施执行阶段
记录登记阶段帐实核对阶段
设计程序，正确分段
输入
前段转后段的全部资料
处理
1、核对前段作业
2、处理本段作业
输出
1 总结前段与本段作业
2 转移后段资料
控制
1、自动牵制
2、稽核检查
明确各阶层管理内涵：
各阶层管理内涵—一般高阶层管理，以单位或部门整体为对象，工作范围较广，
已策划与巨册为主具有创造性；中层管理则以控制为主要职能，以其所主管或负责的单位
或业务为主，呈上启下，具有责任性和管制性；低层管理工作单纯，按章办事，应具有效
性与效率性。参阅 P194 图表 5-4
充分考虑限制条件：P194-195
5、内部控制的总体框架
内部控制组织系统—硬件、平台
公司治理结构—高层控制
内部组织机构—部门控制
业务执行岗位—人员控制
内部控制制度系统—软件
各项规章制度—部门、层次、人员分工；各项业务程序规定及操作规程；
各项业务流程—业务程序、控制点；
业务执行手续
 二、内部控制组织系统设计
1、内部控制组织框架
内部控制组织构架
公司治理—
组织管理—
业务管理—
公司治理和控制要素：
董事会--最大投资人，是对经营者的监督者，董事长可以兼任总经理，通过独
立董事维护中小股东利益。
审计委员会--设在董事会下，为管理决策服务，实现对总经理的制约。
监事会—股东大会选举，董事不得兼任监事；
总经理--企业经营者，受托责任人；健全董事会对总经理的制约机制。
各部门经理—各部门在总经理领导下工作，总经理经营权的执行者。
内部审计--在经济活动的授权人委托下开展审计监督、检查和评价。
内部控制组织框架构建原理
公司内部治理的基本动力：权力制衡、利益冲突
权力制衡—将经营决策、经营管理、经营监督“三权”分离，以实现公司价值最
大化为共同目标，利用分权来制约任何一个主体的利用职权损害公司目标的行为。
利益冲突—利用各个治理要素个人利益与公司目标的趋同与背离关系建立制衡
机制，在对治理要素中人员的选择上，要尽可能注入治理要素间个人利益冲突机制。
2、公司内部治理结构设计
公司内部治理结构设计的一般要求
构建起公司治理结构的基本框架；
明确各治理要素的基本定位和功能；
具体规定各控制要素的主要任务和工作目标；
正确界定各治理要素之间的制约关系；
在各治理机制之间注入利益冲突机制。
2、公司内部治理结构设计
公司治理要素的目标和责任
公司董事会的目标和责任：
目标—实现企业价值最大化，即股东利益最大化；
责任—发出的财务信息真实可靠；
维护企业资产安全完整；
重大财务分配营运决策合法合规；
经营管理活动适当有效。
公司监事会的目标和责任：
目标—实现企业价值最大化，即股东利益最大化；
责任—监督董事会及其董事决策过程；
评价董事会各项决策方案及效果；
检查高级管理层重大财务分配营运方案；
考核经营管理者日常管理责任履行。
公司总经理的目标和责任：
目标—实现企业价值最大化同时实现个人利益最大化；
责任—执行董事会决策；
对会计资料真实性可靠性负责；
对重大财务分配营运方案负责；
对日常经营管理有效性、合规性负责。
公司内部审计的目标和责任：
目标—实现企业价值最大化维护股东利益最大化；
责任—评价董事会制定的制度、决策德有效性；
检查会计资料真实性可靠性；
考核重大财务分配营运方案的合规性；
监督日常经营管理有效性、合规性。
私人独资公司内部治理结构设计（略）
国有股份公司内部治理结构设计（略）
民营合伙公司内部治理结构设计（略）
大型上市公司内部治理结构设计（略）
跨国集团公司内部治理结构设计（略）
3、公司组织构架设计
公司组织构架设计原理
控制组织的方式：集中控制、分权控制
集中控制—由最高领导人对企业全部经济业务实行全面控制，下属各级领导人完全按
照最高领导人的指示、命令开展业务活动的控制方式。
集中控制的优缺点：P142
分权控制—企业最高领导人将经营管理权限分别授予不同的下级领导执掌并实行目标管理，
下属领导在上级领导给定的方针政策指导下独立行使决策、经营管理权的控制方式。
分权控制的优缺点：P143
企业分权机制：
控制中心—权力和责任中心，根据企业权责结构而建立的控制中心。一般企业权责结
构包括：行政管理权力和责任、财务管理权力和责任、资产管理权力和责任、经营管理（包括
物资采购、产品生产、商品销售）权力和责任、人力资源管理权力和责任、研究与发展权力和
责任。
企业分权方式--无论是集权控制还是分权控制，其控制的范围不会发生多大变化，都必须
依据控制中心建立分权控制机制。但是不同的控制方式都有分权的问题，而分权的内荣又不
相同：集权控制只有上下级分权；分权控制不仅有上下级的纵向分权，也有同级控制中心
之间的横向分权。
集中控制--在上下级分权的结果是：上级拥有决策管理权，下级只有指令执行权；在指令
执行没有责任中心，只有执行部门。分权控制--分为纵向分权和横向分权：纵向分全即上下
级分权，上级只具有战略决策权和目标管理权；下级具有相对独立的业务决策权和经营管
理权。横向分权即不同控制中心之间分权。
公司组织构架设计要求：
充分考虑企业规模和业务流程的需要；
个别部门职责要划分清楚；
各部门人员要求要清晰明了；
根部门核心工作要规划明确；
各部门一般性行政工作。
集权型组织构架设计
集权型组织构架（图略）
集权型组织构架中的部门及职责：
财务部门—负责财务管理工作；
采购部门—负责物资材料的采购；
生产部门—负责产品生产加工管理；
销售部门—负责商品销售和维护等等。
分权型组织构架设计
分权型组织构架（图略）
分权型组织构架中的部门及职责：
结算中心—制定会计核算、财务管理规章制度；编制财务计划和预算；办理筹资、投资
结算；办理费用、成本结算；办理会计核算；办理分配结算；编制财务决算；变薄财务报表。
采供中心—编制采购供应计划；物资采购招标、评标或谈判；物资采购合同签订；督
促供货方发货；物资验收入库、储存；审查办理供货手续；对外供货发货。
生产中心—接受订单；编制生产计划；委托外协加工；安排生产组织；安排劳动组织；
安排产品生产；制定材料消耗定额；制定工时消耗定额；生产设备管理、维护保养。
物流中心--（略）
销售中心--（略）
国定资产管理中心--（略）
人力资源管理中心--（略）
行政管理中心--（略）
研究发展中心--（略）
4、企业业务岗位设计
岗位设计基本要求
以公司组织构架设计为基础；依据各部门工作任务建立岗位；充分考虑组织管理模
式；尽量避免以人设岗，又要尽可能因人设岗；注意岗位之间的职能衔接；保证不同岗位
的牵制制约。
岗位设计举例
采供中心岗位设计举例：计划岗、招标岗（谈判岗）、合同岗、供货跟踪岗、榆树管理
岗、审单岗、验货岗、储存岗、发货岗等。
生产中心岗位设计举例（略）销售中心岗位设计举例（略）结算中心岗位设计举例
（略）人力资源中心岗位设计举例（略）
 三、内部控制制度系统设计
内部控制制度系统框架
内部控制机制和规章内部控制程序内部控制手续
选择正确的设计程序—保守生产导向前进生产导向
前进生产导向— 以行销部门的业务活动作为整个企业活动的指导中心。其
计划程序是：行销部门— 生产部门 —研发部门—人事部门—财务部门；计划编制具
体过程：
销售预测生产计划行销策略与方案人力计划—财务计划销售目标研究发
展计划
1、内部控制机制和规章设计
整体计划控制设计 --计划控制设计方法：
选择正确的设计程序—保守生产导向前进生产导向
保守生产导向—以生产部门业务活动作为整个企业活动的指导中心，竞争不充
分，其计划程序是：生产部门—行销部门—人事部门— 财务部门；其编制计划具体过
程是：生产计划—扩充计划—采购计划— 销售计划 —人力计划—财务计划。
重视中长期计划编制：
长期计划中期计划短期计划
建立整体计划预算制度—主要包括三个过程：P223
策划—主要指对目标、方针、政策的斟酌考虑；
规划—以确定贯彻目标、方针、政策的执行方案；
预算—在策划、规划基础上进行详细的经费预算。
加强授权管理：
计划--要有利于最高主管把决策权，经由“责任中心”体制分别授予各级主管，
使其可能有效地发挥策划、执行、控制的机能。
注意信息系统的建立：
计划控制制度的设计除了遵循一定的设计原则，还应遵循一定的步骤：估量机会；
确定目标；预测环境；明确抉择方案；评价抉择方案；选定抉择方案；拟定；经营计划；
编制预算。
目标设计—企业或单位目标是一个既有总目标又有具体目标的目标网；企业或单
位都有一个社会赋予的基本职能和任务，这就是设立单位总目标与使命的依据。一定时期的
目标或各项具体目标都是单位经营活动所要实现的结果，目标具有等级层次性和网络性。
P226
设计目标又两种方法—传统方法、目标管理法 P227
战略设计—包括策略、政策和经营计划设计
策略—将单位置于有利的环境之中作出最基本的和具有深远意义的计划，是为全
面实现目标而部署的工作重点和资源利用的方法。
政策—指决策的指导方针。P228
经营计划—为了达到某种特定目标采取的手段，综合经营计划也叫规划，包括目
标、政策、程序、规划、任务、步骤、资源等。经营计划的类型有：程序、规则、预算。
决策设计—若干个抉择方案的选择；制定方案；评价方案；抉择方案。P230
组织人事控制设计
组织机构设计—职能组织
产品组织
区域组织
客户为中心组织
矩阵组织 P234
协调关系设计—纵向协调
横向协调
参谋协调
职权协调
影响力 P238
工作设计—P239
人事控制设计—选择设计
用人设计
领导控制设计
领导十个方面的素质—P246
领导方式—以职权为基础：专职独裁式、职工参与式、目标管理式；以领导风格为
基础：“以人为中心”式、“以任务为中心”式、权变式。P246
领导者的管理方法—压榨和权威式的方法、开明和权威式的方法、协商式的方法、
集体性参与方法。P247-250
培训开发设计 P244
授权控制设计
授权—上级主管或权力者委授予下属以一定的责任与事权，使之在其监督下的一
自主地处理和行动。授权者对被授权者保持有智慧与监督之权；被授权者对授权者负有报告
与完成之责。授权的种类：按授权性质，可分为一般授权和特殊授权；按授权内容，可分为
利润中心、成本中心、责任中心授权等。
授权时要注意：根据明确的隶属关系授权，不越级授权；明确授予权责，具体规
定其目标范围；适当控制，避免造成授权过度或不足；量力授权，根据部属能力授权；授
权者保留部分权责，以免导致放弃权力；相互信赖，主管不得干预部属的独立决定；适时
授权。
激励机制设计
激励—创造和保持一种有利环境，促使人们发挥作用，帮助单位或部门完成其组
织任务和目标。激励因素即是能诱惑一个人作出成绩来的事物，主要包括物质和精神两个因
素。人们工作除了获得报酬以需要外，还需要从工作中获得成就感和安全感。其激励的主要
手法是：P253
信息沟通机制设计
信息沟通—组织中构成人员之间观念和信息的传达与了解过程。其目的是：了解
彼此之间的需要，发挥整体合作力量，提高组织工作效率，避免意外事件，有效达成组织
使命。信息沟通又正式沟通和非正式沟通两大类。依据信息沟通的方向还可分为上行、下行、
平行三方面沟通。信息沟通要素：发送者、沟通程序、沟通程式。P254-255
2、业务流程或交易循环控制设计
企业主要业务流程及控制目标
物资采购业务流程—合规性、安全性
存货控制业务流程—合规性、安全性
产品生产业务流程—合规性、有效性
生产成本业务流程—合规性、可靠性
商品销售业务流程—合规性、安全性、有效性
货款结算业务流程—合规性、安全性
会计核算业务流程—合规性、可靠性
筹资融资业务流程—合规性、安全性
人事管理业务流程—合规性、有效性
行政管理业务流程—合规性、有效性
工程管理业务流程—合规性、安全性、有效性
企业业务流程设计步骤
选择目标
流程规划
控制点设计控制点、关键控制点
控制手续设计
物资采购控制设计
物资采购控制流程：
控制目标：物资采购的合规性、安全性
控制点：计划、定购、验货、核算、结算
关键控制点：验货
流程经过部门：采供中心、物流中心、结算中心
控制流程：计划—定购—验货—核算—结算
物资采购控制手续：
计划：采集信息、编计划表、审批授权
定货：招标/邀请、评标/谈判、签订合同
验收：审验单据、点验货物、入库库存
核算：审验单据、填制凭证、登记入帐
结算：审验单据、开具支票、办理结算
物资库存控制设计
物资库存控制流程（略）
物资库存控制手续（略）
产品生产控制设计
产品生产控制流程
控制目标：产品生产合规性、安全性、有效性
控制点：计划、供料、制造、入库、核算
关键控制点：制造
流程经过部门：采供、物流、制造、结算中心
控制流程：计划--供料--制造--入库--核算
产品生产控制手续：
计划：定购信息、制定计划、审批授权
供料：审核单据、发放材料、运输配送
制造：人员配置、制图下料、加工制造
入库：点验产品、质量检验、入库库存
核算：验单制单、成本计算、登记入帐
产品制造控制设计
产品制造控制流程：
控制目标：产品制造合规性、有效性
控制点：设计、资源、加工、成品、核算
关键控制点：加工
流程经过部门：设计、物流、制造、结算中心
控制流程：设计—资源—加工—成品--核算
产品制造控制手续：
设计：市场调查、外观设计、产品试制、批准制造
资源：人员配置、机器配置、材料配置、动力配置
加工：制定定额、下料加工、废品控制、台帐记录
成品：成品验收、质量检验、入库库存
核算：审核单据、成本计算、登记入帐
产品成本控制设计
产品成本控制流程（略）
产品成本控制手续（略）
商品销售控制设计
商品销售控制流程：
控制目标：物资和货款结算的合规性、安全性
控制点：计划、营销、发货、结算、核算
关键控制点：发货、结算
流程经过部门：销售中心、物流中心、结算中心
控制流程：计划—营销—发货—结算—核算
商品销售控制手续：
计划：营销信息、编计划表、授权审批
营销：广告宣传、寻找客户、签订合同
发货：审核合同、开票发货、货物配送
结算：审核单据、办理收款、收取货款
核算：审核单据、编制凭证、登记入帐
应收帐款控制设计
应收帐款控制流程（略）
应收帐款控制手续（略）
3、内部控制表格设计（略）
内部控制系统的评价
 一、内部控制评价方式
1、内部控制评价要素
内部控制评价的意义
内部控制评价的主体
美国有关部门规定：内部控制评价，应由单位的行政领导来执行；从内部控制
评价的效率性考虑，应由单位内部审计部门来执行。
内部控制的建立与执行，由单位行政领导组织、主持，而内部控制的日常检查和
评价，应由专职内部审计机构和人员来进行。
内部控制评价的目标
健全性评价目标：
符合性评价目标：
有效性评价目标：
内部控制评价的对象
内部控制要素—控制环境、风险评估、控制活动、资讯与沟通、监督
内部控制组织—公司治理、组织结构、业务岗位
内部控制制度—控制制度、业务流程、控制手续
2、内部控制评价步骤
制度基础审计步骤
内部控制评价步骤--内部控制调查健全性测试
符合性测试综合评价评价报告
--
制度基础审计步骤内部控制调查健全性测试
符合性测试综合评价
评价报告实质性检查
内部控制项目审计步骤
内部控制评价步骤--内部控制调查健全性测试
符合性测试可信度评价
实质性测试综合评价
审计评价报告后续审计
3、内部控制测试
内部控制健全性测试
健全性测试：通过对内部控制的调查与描述评价其应有的内部控制环节是否也已齐全。
其主要做法是：
确定理想的控制模式：设计理想的内部控制流程图或调查表；描述内部控制
组织和制度：在已设计好的流程图或调查表上进行描述；现行模式与理想模式比较：用
流程图或调查表。
内部控制符合性测试
符合性测试：检查现行制度是否充分有效或能否取得预定效果。一般测试程序如下：
业务测试—检查人员按照业务对每个类型编号，对单位重要经济业务所作的检查，以
明确内部控制中不应缺少的内部控制业务是否确实存在。
功能测试—对内部控制功能所做的抽样检查，也是对关键控制点作用发挥情况的检查，
以查明关键控制是否确实存在。P376-377
4、内部控制评价
内部控制综合评价初评和总评
初评：内部控制制度健全性测试以后进行，主要目的是为了决定是否需要进行符合性
测试。
总评：或称进一步评价、再评价、综合评价；在初评的基础上，根据符合性测试的结果，
评价单位内部控制的可靠性。
内部控制综合评价
无论是初评还是总评，都要针对具体制度或具体问题评价。都要抓住以下重点进行评
价：
（1）--（9）P378
内部控制结果报告
传达改进建议的两种方式：口头传达书面传达
内部控制评价报告：P379
 二、内部控制的评价方法
1、制度调查法
调查内容的确定
制度调查的内容应包括：
单位概况；行政领导制度；固定资产内部控制；经营政策；生产管理制度；物资采购内
部控制；单位组织功能；销售控制制度；物资储存内部控制计划预算制度；现金内部
控制；运输内部控制；组织人事制度；银行存款内部控制；
成本费用内部控制；债权债务内部控制；
专项基金内部控制；技术更新项目内部控制；
利润内部控制；电子数据处理内部控制；
情报资料处理内部控制；质量控制；
内部审计控制会计、统计、业务内部控制。
任何单位确定的调查内容都不是一样的，在具体确定时应考虑以下两点要求：
一是内部控制的理想模式；
二是被评价单位的实际情况。
制度调查技术
审阅法—P383
询问法—P383
观察法—P383
调查表法—P384
2、制度描述法
文字说明法
文字说明法—P387--390
制表法
制表法—P390--391
3、制度初评法
制度初评法的概念
制度初评法—对内部控制调查和描述以后，评价人员将现行制度文件与其所设
想的理想模式进行比较，通过比较，对现行的制度的有效性及其控制进行评估。
制度初评中—应对你不控制的强弱作出判断的方面：P392—394
内部控制评价中心是控制效果评价，以保证制度能经济而有效地完成目
标。
制度初评法的阶段
制度初评法—评价过程的三个阶段
第一阶段：明确理想的控制模式。在这一阶段，包括明确控制目标和理想的控制
模式特征。为了完成任务，审计人员可以使用的资料是：任何制度的总体控制目标；一般采
用的评价标准；管理上规定的成绩标准；法定的义务和规定；健全的财务和管理控制所公
认的原则。
第二阶段：明确现行内部控制“是什么”。在这一阶段，通常将内部控制做成流
程图，用图表的形式将内部控制加以图解。
第三阶段：将两者进行比较，以决定是否存在必要和足够的控制。如果认为已有
足够的控制，审计人员就必须了解他认为可以依赖的控制的内部机制，这就是关键控制；
如果认为不存在足够的控制，审计人员就不会依赖这种制度。
4、符合性测试方法
符合性测试的意义
测试—抽查整体中的一部分叫测试。通过调查、描述、与比较，评价人员对内部控
制系统、功能及优点有了初步了解，并据此决定大概可信赖的程度，为健全性测试；评价人
员根据规定的内部控制制度对世纪的生产、技术、经营或是会计、采务活动进行检查，以确定
这些控制环节是否确实存在、是否始终相符，看有无失控制处，即为符合性测试。
符合性测试的因素与计划
符合性测试—旨在检查现行制度是否有效执行或能否取得预定结果。评价人员在测试
时：
要考虑如下因素—时间因素
种类因素
范围因素 P398-399
符合性测试计划的内容：测试目的；测试时间；测试的性质，要考虑两个因素：一是
特定步骤，二是适当证据；选侧证据的方法；政局数量。
符合性测试的重点和业务类型：测试重点，要根据业务性质与控制目的的重要性而定；
测试主要类型：业务测试、功能测试两类。
符合性测试程度的确定方法
测试程度—即指能够控制的执行情况作出评价时的测试数量极限。测试数量太多增大
工作量，太少达不到预期目的。具体确定业务量可用两种方法：
统计抽样法—按照估计差错率、允许误差大小、应达到保证程度、总体业务量的多少运
用公式计算或查表确定。
经验估计法—审计人员凭经验按制度执行次数来估计应抽查的业务量。测试数量确定
表见下页。
内部控制制度的执行次数年度应抽查的建议数量
抽查凭证数重新处理数
每月执行一次 2--4 1--2
每周执行一次 4--10 2--4
每日执行一次 10--25 4--10
每日执行数次
其中：全年在 1000 以下 25--50 10--15
全年在 1000 以上 50--100 15--20
符合性测试具体测试技术

具体测试方法：
检查证据法—又称结合会计资料检查法，即测试人员通过对抽取的部分资料的审核检
查，查明应有的内部控制措施是否存在，是否发挥作用的的方法。
重新处理法—又称重做或重复执行，即指测试人员根据有关资料和业务处理程序，重
复做一遍已经完成的业务，并比较处理结果，从而判明内部控制是否有效的方法。
实地观察法—即指测试人员到现场察看某些业务的处理是否与制度的要求相符，从而
判明内部控制是否有效的方法。
4、符合性测试方法符合性测试方法的应用
测试方法与控制类型
控制类型测试方法
检测证据法重新处理法实地观察法
实物控制 S（提供审计证据的次要 N/A（不适用）P（提供审计证据的主要方法）

方法）
批准于授权 P S N/A
稽核 P S N/A
职务分离 S N/A P
符合性测试方法的应用

基础控制符合性测试—采用审查证据和重做法，默写场合也可采用观察方法；
实施会计程序和内部控制分工的符合性测试—采用观察或审查证据法；
监督控制的符合性测试—主要是审查证据和观察；
实物控制的符合性测试—包括观察会计处理程序以及安全措施，并审查控制实物进出
的批准文件等证据。
5、综合评价方法
评价的重点内容 P403
可信赖程度评价
评价内容：内部控制是否健全，能否纠错防弊；如果出现失控，可能户造成什
么样的错弊；查不出错弊可能对控制目标产生什么样的影响；内部控制是否能以合理的偏
差水平令人满意地发挥作用。
评价分类：分为四类：优秀、良好、一般、差
分为三类：可信程度高、中、低 P403
薄弱环节评价
评价内容：国外一般较易损部门评价，主要对控制不足或存在缺陷、容易造成损
失浪费的部门进行分析研究。
评价时应注意的三个方面的问题：
对部门内部控制的研究；
对发现缺陷的分析；
发现的缺陷的影响。
 三、内部控制要素评价
1、控制环境评估
评估内容
操守及价值观评估：员工行为守则；高层道德指引；管理层交往行为；对违反
行为的惩罚；对介入或逾越控制的态度；诱惑与奖励。
执行能力评估：分析职务说明书；分析所需技能。
董事会及监事会评估：独立与质疑；各专业委员会；董事的知识与经验；董事
会与相关方联系；资讯获取；资讯评估；重要决定的监督；高层道德观念的树立；董事会
的监督行为。
管理哲学和经营风格评估：承担风险的态度；关键员工的流动；对重要功能的
态度；主管间的互动情况；会计政策的选择
组织结构的评估：组织结构的合适性；主管应负责任的适当性；报告关系的适
当性；组织结构改变；人数充足程度。
权责分配评估：权责授予；准则及程序的适当性；劳动力的适当性；权力责任
的对称性。
人力资源政策及实行评估：人力资源政策；了解责任与期望；违规及补救；强
调道德准则；员工背景调查；留任与晋升。
2、风险评估
目标制定
整体目标制定—整体目标及特定性；整体目标的传达；策略与整体目标的关系；
计划预算与目标策略的关系。
作业层及目标制定—作业层级目标与整体目标间的关系；各作业层级目标的一致
性；作业层级目标与重大业务间相关性；作业层级目标的明确性；实现目标所需资源的适
当性；辨识作业层级目标的重要性；管理阶层参与及承诺。
风险分析
风险辨识：
外部风险辨识；
内部风险辨识：
作业目标风险辨识：
风险分析程序。
风险分类：
风险分类—重大风险、一般风险、轻微风险
风险发生频率或风险发生可能性估计；
就具体风险事件加以定性；
判断风险事件的类别性质。
风险应对：
在判断风险大小的基础上—
决定是否对风险事件采取相应的措施；
在决定采取措施的前提下明确采取哪些措施；
提出改进管理和内部控制的建议方案。
对改变的管理
设置辨认改变的机制；最高管理阶层应注意的重大改变—改变的营运环境；
新进员工；新设计出的资讯系统；快速成长；新的技术；新增生产线、新产品，新设置的作
业及新买入的资产；改变单位组织；海外分支机构。
3、控制活动评价
控制活动评价内容
控制活动评价—主要评价管理层针对各项风险采取的控制作业，即为限制和降
低风险而采取的必要的政策和程序。
控制活动评价内容：包括操作作业适当性评价；作业执行适当性评价。
控制作业适当性评价
控制活动建立的适当性；
控制活动对风险的识别和规避；
控制活动对组织目标实现的作用；
控制活动执行的有效性。
作业执行适当性评价
单位规定的控制作业是否真的在做，是否按要求去做；
对违反规定的例外事项是否已及时采取适当的行动；
负监督责任的员工是否符合控制功能发挥情况。
4、资讯与沟通评价
资讯与沟通评价内容
资讯评价内容：
如何取得内外资讯；
如何提供资讯；
资讯系统的建立与修正；
管理阶层的支持。
资讯与沟通评价内容
沟通评价内容：
如何告诉员工；沟通报道不当行为的的渠道；管理阶层接纳改善建议的能力；
沟通的适当性；建立开放性与外界沟通的渠道；外界团体了解本单位的程度；追查行动的
及时性。
5、监督评价
监督评价内容
持续性监督：
证实控制功能发挥程度；借外部资讯判断内部资讯的正误；记录金额与实际资
产比对；回应审计建议的程度；管理阶层获知控制程度；定期询问职工；内部审计作业的
有效性。
个别评估：
个别评估范围和次数；评估程序的适当性；评估方法的适当性；书面记录的适
当性。
缺失报道：
缺失汇集和报道；缺失报道的适当性；追查行动的适当性。
 四、内部控制作业评价
1、组织运行评价
公司治理运行评价
治理结构及功能评价
董事会功能评价
监事会功能评价
总经理功能评价
内部审计功能评价
组织部门运行评价
部门设置及功能评价
主要职能部门的功能评价
主要业务部门的功能评价
主要服务部门的功能评价
业务岗位运行评价
岗位设置及功能评价
管理岗位功能评价
作业岗位功能评价
2、主要作业评价
进货作业评价
设计评价--流程设计评价；控制点设计评价；控制手续设计评价。
运行评价—P465
营运作业评价
运行评价—P468--468
出货作业评价
运行评价—P470--473
销售作业评价
运行评价—P473--475
顾客服务评价
运行评价—P475--476
3、基础作业评价
采购作业评价
运行评价—P477--479
科技发展作业评价
运行评价—P479--480
人力资源作业评价
运行评价—P480--482
4、管理作业评价
企业活动管理评价
运行评价—P483--484
资讯科技管理评价
运行评价—P485--487
企业风险管理评价
运行评价—P487--489
5、控制作业评价
应付帐款处理作业评价
运行评价—P492--493
应收帐款处理作业评价
运行评价—P491--484
资金处理作业评价
运行评价—P493--496
固定资产处理作业评价
运行评价—P496--497
薪酬处理作业评价
运行评价—P498--499
税务事项处理作业评价
运行评价—P500
生产成本处理作业评价
运行评价—P500--502

内部控制的基本理论

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

内部控制的基本理论

Uploaded by

Copyright:

Available Formats

内部控制的基本理论

每月执行一次 2--4 1--2

每周执行一次 4--10 2--4

每日执行一次 10--25 4--10

其中：全年在 1000 以下 25--50 10--15

全年在 1000 以上 50--100 15--20

符合性测试具体测试技术

实物控制 S（提供审计证据的次要 N/A（不适用）P（提供审计证据的主要方法）

符合性测试方法的应用

You might also like

内部控制的基本理论

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

内部控制的基本理论

Uploaded by

Copyright:

Available Formats

内部控制的基本理论

每月执行一次 2--4 1--2

每周执行一次 4--10 2--4

每日执行一次 10--25 4--10

其中：全年在 1000 以下 25--50 10--15

全年在 1000 以上 50--100 15--20

符合性 测试具体 测试技术

实物控制 S（提供审计证据的次要 N/A（不适用）P（提供审计证据的主要方法）

符合性 测试方法 的应用

You might also like

符合性测试具体测试技术

符合性测试方法的应用