内部控制概念的发展及我国企业内控问题

内部控制概念的发展及我国企业内控问题

对内部控制的关注最初源自企业自身对规范化管理和股东掌握企业运营的准确信息的需要。此外最重要的推动因素就是外部审计师审计财务报表的要求。此后，各国政府也逐渐开始积极推动内部控制领域的进程，以期减小企业的舞弊和违规行为对市场经济秩序的消极影响。因此，内部控制理论与实践的不断发展是学术界、职业组织、大型企业及政府组织共同推动作用的结果。此外，内部控制领域的发展历程显示，一些影响巨大的公司经营失败或舞弊事件的发生，往往加速了内部控制理论研究以及实践应用的发展进程，并催生了一些里程碑式的文献和立法规定。最典型的代表莫过于美国2002年出台的《萨班斯一奥克斯利法案》。该法案的第404条款不仅要求公司管理层定期评估公司财务内控的有效性，并且要求外部审计师对管理层的评估结果和公司财务内控的有效性出具审计意见。而对于该法案的出台，世通和安然的两个巨型舞弊案件可以说是“功不可没”的。那幺，内部控制的作用究竟是什幺呢?如果用一句话概括，那就是：有效的内部控制有助于在合理的程度上提高企业运营的效果和效率、保护企业资产，确保财务报告的可靠性以及企业对法律法规的遵循。在国际经济社会日益强调企业内部控制重

要性的背景下，本文旨在回顾有关发达国家和地区在内部控制领域的探索历程，简要介绍在各内部控制权威文件中应用最为广泛的美国COSO 内部控制框架，并为我国企业加强内部控制的途径提出一些经验性的建议。

一、国际上具影响力的内部控制指南

简要回顾

关于内部控制的框架，不同机构都对其有不同的理解，其中以美国反对虚假财务报告委员会的发起组织委员会COSO发布的“COSO内部控制框架”得到最广泛的认可。除此之外，加拿大的“CoCo内部控制框架”、英国一定范围内得到了广泛的应用。

(一)COSO框架

上世纪80年代，美国企业虚假财务报告丑闻层出不穷，许多大公司突现经营失败，立法机构、政府监管机构和职业组织对虚假财务报告

问题表现出了空前的关注。在这一背景下，1985年，美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际内部审计师协会(IIA)、管理会计师协会(IMA)、财务经理协会(FEI)发起成立了一个民间组织“反对虚假财务报告委员会”，希望研究虚假财务报告的产生原因并推荐解决办法(该委员会的第一任主席为JamesTreadway，是前SEC委员，因此以后该委员会也被简称为Treadway委员会)。该委员会在调查中发现，在其研究样本中，将近50％的财务舞弊事件可以全部或部分归咎于内部控制失败。该委员会同时认为，应该建立一个统一的、可操作的内部控制框架。继而，五个发起组织成立了一个委员会，即COSO。建立之初的目的是负责研究开发一个内部控制的权威性定义和指南。

COSO在1992年9月完成了这项任务，公布了最终报告《内部控制——综合性框架》(通常被称为COSO报告)，在世界上第一次提出了一个系统的内部控制框架。

COSO将内部控制定义为：“内部控制是受企业董事会、管理层和其它职员共同作用，为实现经营效果性和效率性、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。”较之

于传统的内部控制概念，这一定义的发展在于将内部控制作为一种动态的过程而不仅是静态的制度来阐述。内部控制不应仅仅着眼于会计和财务报告，还应针对经营活动的效率、效果和遵循法律法规。这个广义的定义体现了现代意义上的全程和全面的控制理念。相应地，内部控制框架也被划分为五个内部控制要素，如：控制环境、风险评估、控制活动、信息与沟通、监控。COSO框架是世界上最早发布的权威性内部控制框架，其它若干具有影响力的控制框架很大程度上都借鉴了COSO的工作成果，加之美国首屈一指的经济影响力等因素，COSO直到现在仍是世界上应用最广泛的内部控制框架。

2001年12月2日，美国能源巨子安然公司(Enron)宣告破产，成为全球各界人士关注的焦点。此案与世通案件一起，直接导致了2002年7月30日((2002年萨班斯．奥克斯利法案》(以下简称“萨班斯法案”或“法案”)的出台。法案的第404条要求上市公司管理层需建立和维持充分的与财务报告相关的内部控制，并评估公司与财务报告相关的内部控制的有效性。美国证券交易会于2003 年6月份就萨班斯法案第404条所制定的“最终条例”明确表示COSO内部控制框架可以

作为评估企业内部控制的标准。虽然COSO内部控制框架在“最终条例”中并非唯一的指定标准，但是证交会、上市公司会计监督委员会(PCAOB)及美国注册会计师协会在其对审计标准的有关征求意见稿中曾多次提及COSO可以作为评估企业内部控制的标准。所以绝大多数美国上市公司皆采用了COSO内部控制框架作为评估公司内部控制的标准，以符合萨班斯法案的要求。

(二)加拿大的CoCo框架

在美国提出了COSO之后，加拿大特许会计师公会(CICA)成立了控制标准委员会(CoCo委员会)。CoCo委员会的工作目标是提高管理层决策质量，协助公司通过控制、风险管理和公司治理的手段提升经营业绩。CoCo在1995年11月开发出了“控制原则标准”(the Criteria of Control Principles，即“CoCo”框架)。CoCo框架包括“目标导向rpose)、致力投入(Commitment)、能力胜任(Capability)、监督与学习(Monitoring andLearning)”四大类控制标准。

CoCo在控制指南中明确声昵CoCo建立在COSO的基础上，但同时指出，CoCo提出了一些在COSO报告中并未明确阐述的概念。例如CoCo 明确指出“组织需要定期审视其设定的目标背后的假定和前提。”这一点在COSO中是没有的。

(三)英国综合守则(Combined code)的Turnbull指南

英国的综合守则是1998年由公司治理委员会(也称Hampel委员会)综合了Hamperl、Cadbury以及Greenbury报告的成果而制定的(已于2003年7月进行了修订)。综合守则为公司治理制定了标准，并且作为伦敦证券交易所上市规则的附件，对所有英国上市公司具有约束力。综合守则中涉及内部控制的条款为C2和C2．1(98年版为D2和D2．1，内容未变)，要求“董事会有责任维持一个良好的内部控制系统，以保护股东的投资和公司的资产；董事会应当至少每年一次对公司内部控制系统的有效性进行审视，并向股东报告其已经完成了此项工作。审视工作必须覆盖所有重要的控制，包括财务控制、经营控制和合规控制，以

及风险管理系统”。由于许多公司并不清楚如何操作上述规定，于是在1999年9月英格兰和威尔士特许会计师协会(The Institute ofChartered Accountants inEngland&Wales)出台了Turnbull指南，即“内部控制——综合守则的董事指南”(InternalControlGuidanceforDirectorson the Combined Code)，对如何满足综合守则的要求提出了操作性的指导，并最终成为综合守则的一部分，成为英国上市公司必须遵循的规定。

Turnbull指南的内部控制框架与COSO较为相似，也把控制分为经营、财务和合规控制，同样要求评估与COSO相似的内部控制元素。Turnbull指南的内部控制框架包括四项要素：风险评估、控制环境和控制活动、信息和沟通、监控，即将COS0框架中控制环境和控制活动两个要素合并为一个要素。Turnbull指南的特点是更加关注风险与控制的关系并更加着重阐述这种关系。

二、COSO内部控制框架简介

COSO内部控制框架是三维的。内部控制的目标(第一维)是合理确保经营的效率和效果、财务报告的可靠性以及对法律遵循。内部控制由控制环境、风险评估、控制活动、信息和沟通及监控五个元素(第二维)构成，五个元素间相辅相成，联系紧密，且必须共同发挥作用才能为企业目标实现提供合理保证。此外，对于企业内的任何业务单位或经营活动(第三维)，同样也需要五个元素共同作用，方能达到该业务单位或经营活动的相关目标。

(一)控制环境(Control environment)

控制环境提供企业纪律与架构，塑造企业文化和正确的价值观，并影响企业员工的控制意识和工作能力是所有其它内部控制组成要素的基础。控制环境的因素具体包括：正直守德的价值取向、对员工胜任能力的关注、董事会或审计委员会、管理哲学和经营风格、公司组织结构、职权和职责的分配、人力资源政策及实务。

(二)风险评价(Risk assessment)

每个企业都面临来自内部和外部的不同风险，这些风险都必须加以评价，以找出有效的应对方法。评价风险的先决条件是制定目标。风险评价就是分析和识别威胁所定目标实现的风险。经济、法律及管理的环境等内外部因素不断变化，企业主动地发现和处理由于情况变化所带来的风险是很有必要的。

(三)控制活动(Control activity)

控制活动是确保管理层的指令得以执行的政策及程序，是管理层识别和评估风险后，对控制这些风险所实行的针对性措施。政策通常回答必须做什幺事情，而程序则回答具体应该怎样做的问题。控制活动包括授权审批、核对、关键绩效指标、资产安全控制及职责分离等各种类型。企业控制活动又可以分为人工控制和信息系统控制两大类。控制活动是各控制要素中数量最大的一类，因此企业控制活动的设计必须进行成本和收益的权衡。此外，控制活动应尽可能用书面方式予以规定和沟通。

(四)信息与沟通(Informationandcommunication)

内部控制的全过程都需要高质量的信息以及顺畅的沟通。高质量信息具有内容相关、正确、提供及时以及便于获取等特征。在现代企业中，信息系统的广泛应用正是为了提高信息质量。同时，高质量的信息还应能够以适当的形式及时、准确地沟通至信息需求者。企业不仅应当致力于提升内部沟通的有效性，以便控制责任人能够履行其职责，还应关注与企业外部的沟通问题。外部沟通(如客户、供应商、审计师等)有助于管理层建立企业目标，向外传递企业理念和工作标准，并从外部了解内部控制的运行状况。

(五)监控(Monitoring)

内部控制系统需要监控。监控是由适当的人员，在适当及时的基础下，评价控制的设计和运作情况的过程。这一活动由持续监督、个别评价所组成，其可确保企业内部控制能持续有效的运作。持续监督活动在营运过程中发生，它包括例行的管理和监督活动，以及其它员工为履行

其职务所采取的行动。尽管持续监督程序可以有效地评价内部控制体系，但企业有时需要组织例外评价（即个别评价）以直接监视控制系统的有效性。这种做法更可评价持续性监督程序。评价的范围和频率，视风险的大小及控制的重要性而定。

三．我国企业的内部控制问题和解决途径

(一)企业高层管理者应加强对内部控制工作的重视

我国许多企业，尤其是民营企业在较短的时间内经历了由小到大的快速成长期。对于小型公司而言，创建者的个人控制往往非常有效。优秀的管理者能够牢牢把握企业的方向，准确掌握企业信息，并且通过集中控制，进行高效的决策和执行，排除前进道路上的各种阻碍。然而，随着企业规模和经营复杂性的不断增加，个人控制可能会变得越来越力不从心。权责的不对等、工作程序的不统一以及管理制度的严重漏洞等，导致各种错误、舞弊事件纷纷出现。这时，仍然将内部控制视为增加成本、阻碍管理效率的管理活动，而未将其视为实现企业目标的保证，则

可能导致严重的后果甚至经营失败。因此，提高中国企业高层管理者对内部控制的重视，是提升企业内部控制水平的前提条件。

(二)强化控制环境https://www.360docs.net/doc/0c18641558.html,中国最大的资料库下载

许多企业把内部控制仍然视为规章制度的制定和执行问题，却忽视了控制环境基础的建设工作。突出表现在没有树立统一的，正确的企业文化和道德标准，导致许多违法经营或不公正处理与利益相关者关系的行为。例如侵害消费者利益、篡改财务数据、不公正的对待雇员等。许多管理层人士非但不能以身作则，反而推波助澜甚至授意指使，严重损害公司的控制环境。典型的一个表现就是，我国上市公司已经披露的财务报告舞弊案例，绝大多数在于公司管理层的违法、违规操作。没有良好的控制环境，公司的其它控制要素就成为空中楼阁，注定无法有效的发挥作用。强化控制环境需要全面考虑控制环境各子元素的要求，而我国企业在这一领域的当务之急是解决以下几个问题：

1．建立公司统一的价值观和道德标准，并制定员工行为准则。价

值观的建立必须脱离盈利高于一切的思想，应认真考虑道德问题，考虑企业的社会责任，即合法、公平、公正地处理企业与利益相关各方的关系。正确价值观建立后，企业高层管理者还应从企业特定环境出发，对员工在工作中如何应用这些价值观提供进一步的指导，而这就是员工行为准则应当解决的问题。

2．建立对财务报告、内部控制和高层管理者行为的监督机制。这一点与公司治理结构的进步息息相关。企业应引入非执行董事，建立审计委员会，并为审计委员会制定工作制度及提供必要资源，以履行上述职责。

3．避免将业绩评估和激励机制建立在对能否实现短期财务指标的单一关注上。很多公司的业绩评估和激励机制仅仅关注短期财务指标，例如年度销售额的增长比例和净利润数额，而管理层的薪酬与这些指标的实现程度高度相关。换句话说，管理层无法实现这些指标的成本非常高。加上这些指标很可能制订得并不现实，这就给了管理层很强的舞弊动因。认识到这一点后，企业应当考虑改善管理层的业绩评估和激励机

制，将长短期目标结合，例如运用平衡计分卡的思路，从而分散管理层对短期财务指标的过度关注，降低舞弊的诱惑力。

4．加强岗位分析，落实控制责任。企业应对内部关键的岗位设置及岗位的职责和权限进行系统的分析和梳理。在此基础上，对特定岗位的员工学识、经验、能力和道德素质等方面的要求予以书面规定，形成岗位说明书。企业应依据岗位说明书来指导员工招聘、考核、薪酬和职位变动等人力资源管理行为，从而确保关键岗位员工能够认同公司价值观并有能力履行内部控制责任，降低关键岗位优秀员工的流失率。

(三)建立健全风险管理机制

我国企业一般对风险管理不够重视，没有设立有效的风险监控职能。企业的内部控制必须有的放矢，针对风险而设计。如果对于企业面临的风险因素及其重大程度没有准确的掌握，内部控制设计便可能存在冗余或者不足的情况，造成企业资源的浪费或者导致不利事件的发生。因此，企业必须建立健全风险管理机制，对各种内外部情况变化进行监

控，对风险因素进行识别和评估，方能在此基础上有针对性地设计合理、充分的内部控制。

择要而论，企业应当因地制宜，考虑其经营环境的特点和可利用资源情况，建立适合自己的风险管理机制。企业可以考虑建立专门的风险管理职能，例如风险管理部门，使用公认的风险管理框架(如COSO风险管理框架)，牵头管理企业的风险因素监控、风险评估和风险应对等工作，并向企业的高层管理者汇报。企业也可以有效地利用内部审计部门的工作完成重大风险的管理职能。除了集中的风险管理职能外，企业也应当强化全体员工的风险管理意识，确保各级员工能够在日常工作中有效地发现新的风险因素或者原有风险因素的变化情况，并及时向风险管理责任部门和人员汇报，最终提请相关管理层设计并实施应对措施。此外，企业不仅应当对外部环境的变化(如法律法规、竞争情况、新技术、行业趋势等)进行监控和应对，还必须关注企业内部的重大情况变化，例如关键岗位员工的变动、使用新的信息系统、公司经营规模迅速增长、公司经营模式发生变化等。对于这些内部变化所导致的风险因素，必须能够准确的掌握和详细的评估，在此基础上有预见性地制定高风险防范

加强企业内部控制管理的重要性和必要性

充分认识加强企业内部控制管理的重要意义 核电产业由“适度发展”向“积极发展”的快速增长期为企业成长带来了广阔的空间，随着企业规模的扩大和发展的深入，防范各种经营风险，提高企业内控管理逐步成为企业健康发展的重要内容。近年来，上海电气党委对加强企业内部管理、风险控制、制度完善作为纪委工作的重点工作抓，而作为世界级工厂建设的企业过程中如何充分认识企业内控管理重要性和必要性，找准企业内控管理的对策，为企业可持续发展提供有力保障。 一、企业内部控制的含义及发展 1、企业内部控制含义。 常用的定义是企业内部控制是指一个单位为了实现其经营目标，保护资产的安全完整。保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称，简称为企业内控。 从上述我们可知，内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。内部控制的目的在于改善经营管理、提高经济效益。它是因加强经济管理的需要而产生的，是随着经济的发展而发展完善的。 2、企业内部控制发展

内部控制起源于上世纪三十年代，在1934年美国的《证券交易法》中首先提出了“内部会计控制”。2001年底以来美国安然、世通、施乐等大公司的一系列会计丑闻被曝光后，2002年美国颁布了《萨班斯—奥克斯利法案》要求美国的上市公司必须建立内部控制体系。 我国的内部控制发展较晚。直到2008年和2010年，我国财政部、证监会、审计署、银监会和保监会五部委联合发布了《企业内部控制基本规范》和《企业内部控制配套指引》，共同构成了我国企业内部控制规范体系。内控规范的发布是中国在公司治理方面的一个重要里程碑，体现了中国经济与全球经济的进一步接轨和整合。企业对于内部外部的风险可以得到更系统有力的控制。内控规范为中国企业建立内部控制体系提供了一个标准的框架，在理念、实施和制度层面为企业提供了基础，即解决了什么是内控的问题，又解决了怎样开展内控的问题。 二、企业内部控制管理制度的建设重要意义 1、内部控制管理制度建设 内部控制体系要求建立统一规范的内部管理制度，在不断地加以补充和完善的过程中，使各项规章制度成为一个有机的统一体，让企业生产经营各项活动有章可循、有据可依，形成人人都能够遵循的统一完整的制度体系，达到能够使企业各项活动都能被体系涵盖并有效的控制。纪检监察工作是围绕企业生产经营的重点领域和关键步骤，通过直接参与和监督检查等形式，查找管理中的薄弱环节和漏洞，有针对性地提出整改措施和建议，督促企业有关部门加强制度建设, 及

企业内部控制基本规范解读

《企业内部控制基本规范》解读 一、内部控制概念二、内部控制规范的建设现状三、内控的内容四、内控建设方法 第一节内控的概念 内部控制是指为确保实现企业目标而实施的程序和政策。内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。（2009年度中国注册会计师全国统一考试辅导教材《公司战略与风险管理》） COSO委员会对内部控制的定义“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规”。《企业内部控制基本规范》中指出，内部控制是由企业董事会、证监会、经理层和全体员工实施的，旨在实现控制目标的过程。内部控制的目标时合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效益合效果，促进企业实现发展战略。（一）控制什么是内控思想？过去强调的是牵制，比如，会计不能兼任出纳。过去强调的是会计控制。现在，不是会计控制，而是风险为导向的控制，强调的是企业的管理层角度的管理控制，而会计控制是内部控制的一个组成部分。（二）管理 1.企业方面作为股东投资者，由于所有权和经营权进行分离。而作为投资者，要求投资获得收益，终极目的就是获得利润。因此在加强企业管理和运作中，会在方方面面有内控的思想的覆盖和渗透。内部控制不是牵制，不是会计内控。内部控制是一种管理，内控的理想状态是无需内控就可以遵守规章制度。内控是一种管理，是对风险的管理。风险无处不再，国际风险，国家风险，政府风险，企业风险，家庭个人风险，无处不在。对于企业而言，风险可能来自业务经营、合规、运营或财务方面，内部控制应当为企业的有效运营提供辅助条件，使企业有能力对最爱目标实现的重大风险作出反应。 2.事业方面在事业单位，机关财务部门作为内控重要组成部分。财务管理，预算管理。（三）流程内控是控制的一个过程，这个过程是需要全员的参与，上到董事会、管理层、监事会，下到各级员工，都需要参与进来。通过内控要实现的目标 1.企业的经营要合法合规 2.企业资产要安全完整 3.企业财务报告的信息（财务信息）和其他信息要真实可靠完整 4.通过内控提高企业的经营效率和效果。从管理要效益。

(完整版)企业内部控制的作用及意义

企业内部控制制度是指企业为了保证业务活动的有效进行，保护企业资产的安全和完整，防止、发现以及纠正错误和舞弊，保证会计资料的真实、合法和完整而制定和实施的政策与程序。内部控制的根本目的在于加强企业管理、合理分权；保证会计资料的真实合法、保护企业财产的安全完整。广义地讲，一个企业的内部控制是指企业内部管理控制系统，包括为保证企业正常经营所采取的一系列必要的管理措施。内部控制制度是现代企事业单位对经济活动进行科学管理而普遍采用的一种控制机制。贯穿于企业经营活动的各个方面，只要存在企业经营活动和经营管理，就需要有一定的内部控制制度与之相适应。 然而，从当前的实际情况看，许多中小企业内部控制制度相当不完善，存在了非常突出的问题，从而导致企业效率低下，影响了中小企业的经济效益，甚至影响了企业资产的安全性，严重阻碍了中小企业的发展，笔者试图运用专业的知识探究解决此问题的方法。 一、目前中小企业存在的内部控制问题 中小企业一般指资产规模不大，人员不多，管理幅度相对较小的企业。在具体的管理中授权方面要么过大，要么过小，甚至有一部分以家族式管理为主。该类企业数量众多，规模大小不一，组织结构多采用直线制或直线职能制——对于业务活动简单、稳定的小企业，一般采用直线制结构进行垂直管理，不设专门的职能机构，是一种最简单的集中式管理。对于中型企业，一般采用直线职能制结构进行管理，即以直线制为基础在厂长（经理）的领导下，设置相应的职能部门，厂长（经理）统一指挥与职能部门参谋、指导相结合，做到管理工作专门化。这样，既能保证统一领导，又可以发挥职能部门的作用，弥补了领导在专业知识和能力方面的不足，协助领导做出决策。但是，中小企业在内部控制方面出现了很多问题，直接或者间接的影响了企业的发展，具体表现如下： （一）内部控制制度不健全。目前，多数中小企业的内部控制制度不够全面，没有覆盖企业中所有部门和人员，没有渗透到企业各个业务领域和业务操作系统。尤其在财务部门，小企业会计工作秩序混乱，核算不实而造成的会计信息失真现象极为严重。如不少企业常规票据、印章分管制度，会计人员分工中的“内部牵 制原则”均未建立，甚至一些小企业连正规的财会部门也没有建立，会计、出纳 及财务审核一切工作均由一个人包办。原始凭证的取得和填制本身就不合法，以此为依据编制的记账凭证、登记账簿、编制的财务报表及进行的一系列财务分析等也就毫无意义。一些企业为了达到一些不可告人的目的，人为捏造会计数据、设置“小金库”、乱摊成本，隐瞒收入，虚报利润、恶意偷逃税款，为国家的宏观控制制造了相当的麻烦。究其原因，主要为以下三个方面： 1、与领导有关，领导本身就缺乏法制观念； 2、与组织结构有关； 3、与制度体系有关。从而使部门之间缺乏有效的协调和牵制，往往会造成管理脱节，产生漏洞。

《企业内部控制》练习习题答案.doc

《企业内部》习题和答案 第一章总论 （一）单项选择题 1.内部控制的基本概念是从早期（）思想的基础上逐步发展起来的。 A. 科学管理 B.内部牵制 C. 内部审计 D.管理控制 2.内部控制结构阶段又称三要素阶段，其中不包括（）要素。 A. 控制环境 B.风险评估 C. 会计系统 D.控制程序 3.COSO 著名的《内部控制——整合框架》是在（）发布的，该报告是内部控制发展历程中的一座重要里程碑。 A.20 世纪 80 年代 B.1992年 C.2002 年 D.2004年 4.（）是指主体对所确认的风险采取必要的措施，以保证其目标得以实现的政策和程序。 A. 控制环境 B.风险评估 C. 控制活动 D.信息与沟通 5.2002年美国国会通过的《萨班斯- 奥克斯利法案》第404 条款（ SOX 404 ）及相关规则采用的是（）。 A. 内部控制体系 B.内部控制结构 C. 内部控制整合框架 D.企业风险管理整合框架 6. 相对《内部控制——整合框架》，ERM框架的创新之处不包括（）。 A.新提出了一个更具有管理意义和管理层次的战略管理目标，同时还扩大了报告的范畴 B.新增加了目标制定、风险识别和风险应对三个管理要素 C.提出了两个新概念——风险偏好和风险容忍度 D.提出了风险评估概念

7.在 COSO 内部控制框架中，控制活动的类别可分为（）。 A.经营、财务报告及合规三个类别 B.经营、信息及合规三个类别 C.信息、财务报告及监察三个类别 D.经营、信息及监察三个类别 8. 代表了成熟阶段的研究成果，堪称内部控制发展史上的里程碑的是（）。 A. 美国注册会计师协会《企业准则公告第55 号》 B.英国《综合守则》 1

企业内部控制理论

内部控制理论 百科名片 1949年，美国会计师协会的审计程序委员会在《内部控制：一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中，对内部控制首次作了权威性定义：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。” 目录 内部控制的涵义 内部控制的目标 内部控制的基本假设 内部控制的基本原则 内部控制的基本内容和方法 内部控制的涵义 内部控制的目标 内部控制的基本假设 内部控制的基本原则 内部控制的基本内容和方法 内部控制的涵义 什么是内部控制？理论界存在各种观点。由于表述众多，本文仅选择几个权威定义进行分析。 1992年，美国“反对虚假财务报告委员会”下属的由美国会计学会、注册会计师协会、国际内部审计人员协会、财务经理协会和管理会计学会等组织参与的发起组织委员会（COSO）发布报告《内部控制-整体框架》（即“COSO报告”）。该报告将内部控制定义为：是受企业董事会、管理当局和其他职员的影响，目的在于取得经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程。 我国1997年开始实施的《独立审计具体准则第九号-内部控制与审计风险》的定义是：“内部控制是被审计单位为了保证业务活动的有效进行，

保护资产的安全与完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。” 上述三个定义具有几个共同特点：一是都将内部控制解释为一种政策或程序（过程）；二是都在定义中说明了内部控制的目标；三是都是从审计的角度做出的定义。笔者认为，这些定义普遍存在以下几个缺陷： 1、定义出发点过于狭隘。控制是一个应用非常广泛的概念，有生产控制、人口控制、经济控制、军事控制等，从不同的角度（学科）出发，会给出不同的控制概念。虽然内部控制与审计存在密切的联系，但是，不论从内部控制的产生，还是内部控制的现实需要来看，内部控制都应该属于管理范畴。“可以肯定地说，内部控制最初是在组织中内生的，而不是外力（外部管制、规范的要求；审计）催生的。”（方红星，2002）并且，我国建立内部控制制度，制定《内部会计控制规范》的直接目的也不是为了审计需要，而是提高会计信息质量，加强单位内部管理的迫切要求。过去，由于一直把内部控制与审计相联系，企业对建立内部控制制度缺乏积极性，甚至产生抵触心理，这在一定程度上阻碍了内部控制的建立和实施。如果我们从管理学的角度重新认识内部控制，把它作为单位内部管理的手段和方法，相信内部控制必然会得到各单位的高度重视，从而自觉地加强内部控制制度的建设。 2、没有明确内部控制的主体和客体。任何一种控制系统，都既应该有施控主体，也应该有受控对象（客体）。一般认为，内部控制的客体是人、财、物及其在经营过程中所形成的一系列组合关系和组合形式。这一点几乎没有争论。存在争论的主要是内部控制的主体问题，第一种观点认为，内部控制主体是单位经营者。但是，经营者如何界定，又存在五种观点：①包括董事长、总经理；②包括董事会成员、总经理班子；③包括董事会成员、总经理班子、党员班子；④包括董事会成员、总经理班子、党委班子、监事会成员；⑤包括董事会成员、总经理班子、党委班子、监事会成员、工会主席。第二种观点认为，单位内部经营管理者和广大职工群众在内的所有员工都构成内部控制的主体，单位中每一个员工既是内部控制的主体，同时又是内部控制的客体（课题组，2001）；第三种观点认为，内部控制主体既包括所有者（股东），也包括经营者，分为两个层次（阎达五、宋建波，2002）。但有的学者将董事会纳入所有者范畴，有的学者则将董事会作为经营者；第四种观点认为，内部控制主体包括股东、经营者、管理者和职工四个层次（郑石桥等，2000）。 笔者认为，要正确认识内部控制的主体，首先必须区分单位内部控制主体和单位外部控制主体。我们可以借鉴财务会计（外部会计）和管理会计（内部会计）的划分方法，股东（或股东大会）属于会计信息的外部使用者，只能作为单位外部的控制主体。股东、监事会、董事会和经理之间的相互关系，通过公司治理结构加以解决。不能混淆公司治理结构和内部

内部控制各章节习题概要

第一章总论 一、练习题 （一）单项选择题 1．内部控制结构阶段又称三要素阶段，其中不包括（ B ）要素。 A．控制环境 B．风险评估 C．会计系统 D．控制程序 2．COSO著名的《内部控制——整合框架》是在（ B ）发布的，该报告是内部控制发展历程中的一座重要里程碑。A．20世纪80年代 B．1992年 C．2002年 D．2004年 3．（ C ）是指主体对所确认的风险采取必要的措施，以保证其目标得以实现的政策和程序。 A．控制环境 B．风险评估 C．控制活动 D．信息与沟通 主要考虑控制活动的定义P6 4．2002年美国国会通过的《萨班斯一奥克斯利法案》第404条款（SOX404）及相关规则采用的是（ C ）。 A．内部控制体系 B．内部控制结构 C．内部控制整合框架 D．企业风险管理整合框架 5．相对《内部控制——整合框架》，ERM框架的创新之处不包括（ D ）。 A．新提出了一个更具管理意义和管理层次的战略管理目标，同时还扩大了报告的范畴 B．新增加了目标制定、风险识别和风险应对三个管理要素 C．提出了两个新概念——风险偏好和风险容忍度 D．提出了风险评估概念 6．不属于企业风险管理整合框架八要素的是（ A ）。 A．控制环境 B．事项识别 C．控制活动 D．监控 它是内部环境而不是控制环境（整合控制阶段和结构阶段的要素），此外还有目标设定、风险评估、风险应对、信息与沟通。P9 7．在COSO内部控制框架中，控制活动的类别可分为（ A ）。 A．经营、财务报告及合规三个类别 B．经营、信息及合规三个类别 C．信息、财务报告及监察三个类别 D．经营、信息及监察三个类别 8．在COSO内部控制框架中，属于其他内部因素根基的是（ C ）。 A．信息与沟通 B．监察 C．控制环境 D．控制活动 9．代表了成熟阶段的研究成果，堪称内部控制发展史上的里程碑的是（ C ）。 A．美国注册会计师协会的《企业准则公告第55号》 B．英国《综合守则》 C．COSO委员会的《内部控制一整合框架》P5 D．特恩布尔委员会的特恩布尔报告 10．内部控制的现实意义不包括（ B ）。P10-12 A．实施内部控制有助于提升企业管理水平 B．实施内部控制有助于降低企业的经营成本 C．实施内部控制有助于提高企业的风险防御能力 D．实施内部控制有助于维护社会公众的利益 11．关于我国企业内部控制规范的框架体系，下列说法错误的是（ B ）。 A．我国目前内部控制规范框架是由基本规范、应用指引、评价指引和审计指引四部分组成的P13 B．内部控制应用指引是内部控制体系的最高层次，起统驭作用 P18是《企业内部控制基本规范》是内部控制体系的最高层次，起统奴的作用。 C．内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引 D．内部控制审计指引是注册会计师和会计师事务所执行内部控制审计业务的执业准则 12．关于企业内部控制应用指引，下列说法错误的是（ D ）。 A．内部控制应用指引由三大类组成，即内部环境类指引、控制业务类指引、控制手段类指引P19 B．内部环境是企业实施内部控制的基础，包括人力资源、社会责任和企业文化等 P19包括：组织架构、发展战略、人力资源、社会责任、企业文化等。 C．控制业务类应用指引是对各项具体业务活动实施的控制，此类指引包括资金活动、采购业务、资产管理 D．控制手段类应用指引偏重于“工具”性质，往往涉及企业整体业务或管理，此类指引包括担保业务、业务外包 P19包括：全面预算、合同管理、内部信息传递和信息系统。 13．基于我国内部控制法规的发展，下列说法不正确的是（D ）。 A．1985年《会计法》对会计稽核所作出的规定，是我国首次在法律文件上对内部牵制提出的明确要求 B．2001年1月，证监会发布了《证券公司内部控制指引》，要求所有的证券公司建立和完善内部控制机制和内部控制制度 C．2005年10月，国务院批转了证监会发布的《关于提高上市公司质量意见》，要求上市公司对内部控制制度的完整性、合理性及其实施的有效性进行定期检查和评估 D．2010年出台的应用指引、评价指引和审计指引要求在上海证券交易所、深圳证券交易所主板上市的公司于2011年1月1日起施行是2012年1月1日P17 14．依据《企业风险管理——整合框架》的内容，下面有关内部控制的说法中错误的是（ B ）。 A．内部控制的思想是以风险为导向的控制

企业内部控制和管理

什么是内部控制 内部控制，是指由企业董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构，以下简称董事会）、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。 内部控制的目标 （1）企业战略； （2）经营的效率和效果； （3）财务会计报告及管理信息的真实可靠； （4）资产的安全完整； （5）遵循国家法律法规和有关监管要求。 内部控制的基本要素 1、内部环境。内部环境，是影响、制约企业内部控制制度建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等内容。 2、风险评估。风险评估，是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节和内容。风险评估主要包括目标设定、风险识别、风险分析和风险应对。 3、控制措施。控制措施，是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式和载体。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 4、信息与沟通。信息与沟通，是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。 5、监督检查。监督检查，是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包

内部控制评价的作用和意义

内部控制评价的作用和意义 陈慧（新疆财经大学会计学院） 摘要：内部控制评价是内部控制中的一个重要而且必要的系统性活动，又是评价、反馈、再评价的动态过程，能够促进内部控制的有效实施和持续改善。它同时也是一种制度性的安排，能够促使企业及其员工经常性地审视其内部控制系统，以提高企业的控制能力和管理水平。 关键词：内部控制内部控制评价内部控制评价系统 1 内部控制评价有助于发现并克服内部控制缺陷 任何企业内部控制的基本目标，都是要保证企业完成自己的任务和达到目的，其实质是由企业拥有或应建立的各种程序或秩序组成的一种制度，其目的是实现企业的目标。内部控制也是保证企业管理按其规定作用得以贯彻执行以及保证合适有用的信息的一种制度。这种制度还能使资源的使用经济有效，而且不违反法纪。但是内部控制本身是不完善的，这不仅仅有制度本身的原因，也因为制度在执行的过程中存在漏洞。这就要求我们进行内部控制评价，找出内部控制的缺陷并有针对性地进行克服。 合理有效的内部控制活动的实施的目的，是为了保证企业设置的程序和标准被严格科学地执行。内部控制系统通过划分业务循环、明确控制要点和采取相应的控制措施，促使企业里的每一个环节都按照相应的程序和标准来进行。企业应根据内部管理需要，结合生产经营特点，将各项经营活动划分为若干个业务循环，按照不同控制目标，建立各主要业务控制程序，确定处理程序，把握控制要点，使每一项经济业务从发生到完成的处理都遵循严格合理的业务程序，符合确定的业务标准，以防止差错，堵塞漏洞。而当我们对内部控制进行检查以后，就可以对其健全性与有效性进行评价，就可以确定内部控制可依赖的程度。如：评价内部控制制度是否完善，是否能保证企业能完成任务与实现目标；内部控制所设定的标准和程序是否得到了贯彻执行，是否又助于企业目标的实现；内部控制是否有助于节约于有效使用资源，是否能预防和发现错误和弊端，是否能保证提供真实有用的信息等。通过上述评价企业最高管理当局以及所属部门就十分了解本企业本部门内部控制中的缺陷所在，就能有针对性的、不断的完善本企业的内部控制制度，建立起适合本企业自身情况的内部控制制度，实现企业的目标。 2 内部控制评价有助于寻找并改善内部控制薄弱环节 我们都知道“木桶理论”，“木桶效应”在企业的销售能力、市场开发能力、服务能力、生产管理能力等方面同样适用。每一个企业都有他的薄弱环节，正是这些环节使企业许多资源闲置甚至浪费，发挥不了应有的作用。如常见的相互扯皮、决策低效、实施不力，都严重影响并制约着企业的发展。任何一个环节太薄弱都有可能使企业在竞争中处于不利位置，最终导致失败的恶果。同样的道理，内部控制中存在任何一个薄弱的环节都可能导致企业的内部控制失效，甚至引起企业的经营失败。 在我国，很多企业未能从企业整体的角度进行内部控制的设计和规划。在实务中，内部控制政策、程序的制定基本上是由执行控制的部门自己来进行的，比如采购程序由采购部门制定，合同签订与管理程序由合同管理部门制定，各部门就很可能会从本部门利益考虑而忽略内部控制全局，造成企业内部控制缺乏整体上的规划与协调。而且，目前我国企业的内部控制从总体上来看，普遍没有做

内控信息披露的定义及意义

定义：内部控制信息披露是信息披露的一个重要组成部分，那么何谓内部控制 信息披露，目前我国相关法律法规没有对内部控制信息披露的概念给出明确 的定义。 建立和维护内部控制是公司管理当局的责任,管理当局应定期根据一定 的标准对本公司内部控制设计和执行的情况进行自我评价，并将评价的结果 用报告的形式披露给外部信息使用者，使其可以一定程度上了解公司内部控 制和经营活动的情况。因此，内部控制信息披露就是上市公司管理当局根据 内部控制评价的标准对本公司内部控制的完整性、合理性和有效性进行评价, 以报告的形式出具评价意见并提供给外部信息使用者。内部控制信息披露的 方式，可以包含在董事会报告或其他报告中，也可以单独提供，即所谓的内 部控制报告。我国目前并没有要求上市公司提供单独的内部控制报告，而只 要求在有关报告(董事会报告、监事会报告)中包含有关信息披露。 内部控制信息披露是指上市公司为了保障投资者、债权人等的利益，同 时为了方便公众监督，而依照相关法律的要求，定期对企业内部控制的完整 性、合理性和有效性进行评价，并通过一定的形式对外披露，以保证投资者 在充分了解企业的情况下做出决策。内部控制信息披露是建立在管理层和董 事会对内部控制的评估基础上的，为了了解内部控制的设计是否适当，执行 是否有效，管理当局需要依据一定的标准对内部控制设计和执行的有效性进 行评估。 内部控制信息披露是对财务报告披露的财务信息的一种补充，可以有助 于管理当局提高内部控制意识，重视企业的内部控制建设。另外，内部控制 信息披露可以为投资者提供企业财务报告是否可靠的间接证据，可以使其尽 可能的避开风险，做出合理的投资决策。 意义：内部控制信息的披露对企业管理当局和外部信息需求者都具有十分重要的意义，主要表现在以下几个方面:首先，内部控制信息的披露可以为信息使用者提供额外的信息，有利于投资者、债权人等利益相关者做出正确决策。内部控制信息披露能够提供财务报告所不能提供的信息，可以使信息使用者在一定程度上了解企业的管理控制是 否有效，企业的运营是否正常，企业资产是否有保障。如果企业内部控制制度 良好目_得到有效的执行，则企业经营有序，能够有效防范经营过程中的风险; 如果企业内部控制混乱，则企业经营存在较大的风险，相关利益者在做出决策

内部控制的概念

1936年美国会计师协会(AIA)首次正式提出了内部控制的概念。此后，理论界和学术界不断推陈出新。但基本上都没有突破会计控制的范围。1992年COSO对内部控制的概念进行了突破和创新，并得到国际社会的高度认可。但COSO内部控制框架流程与内部控制目标之间存在着逻辑缺陷，致使COSO内部控制框架的概念被质疑，实践中也缺乏可操作性和普适性。实际上，COSO内部控制框架仅提供了一个较为全面的风险控制导引，各个国家和地区中的企业需要根据自身企业内部特征以及外部环境要素设计具有针对性的内部控制体系。即不同地区中的企业需要界定内部控制的边界，并基于此设计相应的内控模式、机制、方法，以实现企业的全面风险管理和高效的内部控制①。因此，无论是基于理论层面还是实物层而，重视对内部控制本质、边界和目标等基本属性的研究，是构建企业内 部控制体系的前提和基础。 既有文献针对内部控制本质及内涵的研究主要涉及两个层次的内容:一个层次是从企业系统和整体效率的视角界定内部控制的概念;另一个层次是企业内控系统的构成单元和子系统。内部控制的组成部分或子概念主要包括两个方面:一个方而是按照层级结构来分的企业治理层面的控制和企业管理控制;另一个方面是为了满足不同需要而单独界定的企业各职能部门和各层级所确立的内部控制体系，如财务报告内部控制，会一计控制等概念，I-!前比较成型和有影响力!、勺是财务报告内部控制’、「「。自华，高_立(2011)’‘在困内外相关研究的琴础_上，指出无沦从历史发展、时间考察还是理论逻辑方而看，财务报告内部控制陷入了一个为不能存在的系统寻找独立存在的理由的尴尬境地。ICI此，应该尽早用“内部拄制”取代“财务报告内部控制”。杨清香(2010) `"利用马克思认识论，对如何构建内部控制的概念框架问题进行了探讨，认为内部控制的本质是构建内部控制概念框架或理论体系的逻辑起点，内部控制的其他概念或理沦要素都是根据内部控制的木质演绛推论出来的。在此基础上，部分学者认为目标是构建内部控制概念的逻辑起点，这种观点尽管实用，Eli是犯了逻辑上的错误(李连华，2007)0 组织理论是内部控制研究范畴内的重要理论支撑，诸多文献围绕组织内部关系和契约展开对企业内部打制的研究。谢志华(2009)‘、认为，企业的两种组织关系，即契约关系和平等关系，决定了企业内部控制的本质，内部控制的木质表现为企业组织体系中各种相关的平等利益工体之问的相压制衡和各科层权利主体依_}二而F的监督。而且制衡是监督发抨效l1!的从础。李志斌(2009 ) '}"运用组织fil:会学的规则理沦解释了内部控制的规则属性。他认为内部控制在组织内部是需要强制执行的“法”，足管理权威的来源之一。而竹理权威体系既包括纵向等级制权威体系，也包括横向平行权威体系。一可以石出，卜述两者的观点具有4定的相似性。部分学者还从制度经济学的视角剖析了内部控制的本质，刘明辉，张宜t } ( 2002 ) ''认为，内部控制的本质是弥补企业契约不完备性，保i} I:企业正常运作和发展的内在机制。林钟高，徐虹，吴玉莲( 2009 )‘认为内部控制的本质属J性足种持续均衡利益关系的契约装置。 国外有关学者对内部控制与公司治理的关系研究，主要可以归纳为两个视角。这两个视角分别为:认为内部控制是公司治理的组成部分;以及认为内部控制和公司治理彼此相互影响。针对后者，又可进一步细分为三种观点，其一，公司治理影响内部控制;其二，内部控制影响公司治理;其三，内部控制与公司治理相互影响。下面针对上述本文总结的研究路径，结合具体的研究文献进行阐述。 以英国为代表的学者认为，内部控制是公司治理的组成部分。Cadbury, Hampell以及Turnbull报告共同构成了英国三个重要的公司治理、内部控制研究。英国学者指出了上述观点，即“内部控制是公司治理的组成部分”，应由董事会负责建立、维护以及评价;独立董事制及董事会下设的委员会起监督和协调作用。而美国有关学者认为内部控制和公司治理相互影响着彼此，特别是在SOX法案404条款的提出之后，利益相关者便对内部控制和公司治

内部控制概念的发展及我国企业内控问题

内部控制概念的发展及我国企业内控问题 对内部控制的关注最初源自企业自身对规范化管理和股东掌握企业运营的准确信息的需要。此外最重要的推动因素就是外部审计师审计财务报表的要求。此后，各国政府也逐渐开始积极推动内部控制领域的进程，以期减小企业的舞弊和违规行为对市场经济秩序的消极影响。因此，内部控制理论与实践的不断发展是学术界、职业组织、大型企业及政府组织共同推动作用的结果。此外，内部控制领域的发展历程显示，一些影响巨大的公司经营失败或舞弊事件的发生，往往加速了内部控制理论研究以及实践应用的发展进程，并催生了一些里程碑式的文献和立法规定。最典型的代表莫过于美国2002年出台的《萨班斯一奥克斯利法案》。该法案的第404条款不仅要求公司管理层定期评估公司财务内控的有效性，并且要求外部审计师对管理层的评估结果和公司财务内控的有效性出具审计意见。而对于该法案的出台，世通和安然的两个巨型舞弊案件可以说是“功不可没”的。那幺，内部控制的作用究竟是什幺呢?如果用一句话概括，那就是：有效的内部控制有助于在合理的程度上提高企业运营的效果和效率、保护企业资产，确保财务报告的可靠性以及企业对法律法规的遵循。在国际经济社会日益强调企业内部控制重要性的背景下，本文旨在回顾有关发达国家和地区在内部控制领域的探索历程，简要介绍在各内部控制权威文件中应用最为广泛的美国COSO内部控制框架，并为我国企业加强内部控制的途径提出一些经验性的建议。 一、国际上具影响力的内部控制指南 简要回顾 关于内部控制的框架，不同机构都对其有不同的理解，其中以美国反对虚假财务报告委员会的发起组织委员会COSO发布的“COSO内部控制框架”得到最广泛的认可。除此之外，加拿大的“CoCo内部控制框架”、英国一定范围内得到了广泛的应用。 (一)COSO框架 上世纪80年代，美国企业虚假财务报告丑闻层出不穷，许多大公司突现经营失败，立法机构、政府监管机构和职业组织对虚假财务报告问题表现出了空前的关注。在这一背景下，1985年，美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际内部审计师协会(IIA)、管理会计师协会(IMA)、财务经理协会(FEI)发起成立了一个民间组织“反对虚假财务报告委员会”，希望研究虚假财务报告的产生原因并推荐解决办法(该委员会的第一任主席为JamesTreadway，是前SEC委员，因此以后该委员会也被简称为Treadway委员会)。该委员会在调查中发现，在其研究样本中，将近50％的财务舞弊事件可以全部或部分归咎于内部控制失败。该委员会同时认为，应该建立一个统一的、可操作的内部控制框架。继而，五个发起组织成立了一个委员会，即COSO。建立之初的目的是负责研究开发一个内部控制的权威性定义和指南。COSO在1992年9月完成了这项任务，公布了最终报告《内部控制——综合性框架》(通常被称为COSO 报告)，在世界上第一次提出了一个系统的内部控制框架。 COSO将内部控制定义为：“内部控制是受企业董事会、管理层和其它职员共同作用，为实现经营效果性和效率性、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。”较之于传统的内部控制概念，这一定义的发展在于将内部控制作为一种动态的过程而不仅是静态的制度来阐述。内部控制不应仅仅着眼于会计和财务报告，还应针对经营活动的效率、效果和遵循法律法规。这个广义的定义体现了现代意义上的全程和全面的控制理念。相应地，内部控制框架也被划分为五个内部控制要素，如：控制环境、风险评估、控制活动、信息与沟通、监控。COSO框架是世界上最早发布的权威性内部控制框架，其它若干具有影响力的控制框架很大程度上都借鉴了COSO的工

内部控制的定义

内部控制的定义 2013新版的内部控制定义，沿用了1992年的内部控制的定义： 内部控制是一个由主体（一般指公司）的董事会、管理层和其他员工实施的、旨在为实现运营、报告和合规管理目标提供合理保证的 过程。 COSO内部控制整合框架·2013 这其实是一个解释性定义，解释了这项工作的实施主体和主要目标，这个定义中含有几个方面的内容，需要大家理解一下。 1、一个过程 内部控制这些工作最后落脚点为一个过程（process），当然，之前COSO 定义的风险管理也是一个过程，但是，现在有一些变化。 央企指引中将风险管理作为一种过程和方法。 ISO31000定义的风险管理是一系列控制和协调的活动。 新版COSO定义的风险管理是一种能力、文化和实践。

到目前为止，关于风险管理是侧重过程还是针对结果，还是有不同意见，我们和国内外的一些专家也还是在持续讨论。 内部控制的定义还算是比较统一，国内的内控规范也将其称为一个过程，当然这个过程是实现目标的过程。 这个过程和ISO风险管理标准中的过程强调的一样，是一个持续的、循环往复的过程。 2、全员实施 董事会、管理层和其他员工基本涵盖了公司的所有人，表明内控框架是需要将组织所有人都纳入遵守和执行范围，而不是为某一个特定人或特定团体服务。 这需要强调在我们前些年中国企业执行内部控制时，公司的高层特别是一把手会游离在内部控制之外，把内部控制作为其控制公司的手段，这样会使内部控制的有效性打折，当领导层带头突破内部控制时，为全员设立了一个不好的“基调”，为某些控制环节失效埋下了隐患。 3、以实现相应目标为宗旨

内部控制目前的实现目标的范畴定义在三个方面：运营目标、报告目标和合规目标。 运营目标——侧重提升对企业运营的效率和效果；关于对运营目标的支撑其实是内部控制的一个非常重要的功能，但西方最开始并没有明确这方面的具体要求，而中国内控体系中则一开始就对各个业务板块的内控提出了明确的应用指引。 报告目标——侧重对内外部财务和非财务报告的真实性、可靠性以及及时性。其中对外财务报告目标是其最原始的目标，也是最重要、最有效的一类目标。其余的报告目标为本次修订新增。 合规目标——遵守组织适用的法律法规（侧重外部）。COSO内控的合规目标并不是我们今天在国内谈的大合规的内容，它相对简单直接，就是针对对外部法律法规的遵从性。 所以今天很多企业在建立合规管理体系，其实其中很大一部分工作是内部控制工作，因为都是需要建立合规管理工作的制度性保障。 合规管理体系和内部控制体系两条线不应该被割裂开来开展。 4、只提供合理保证

内部控制概念 要素 原则 方法

内部控制是指一个单位的各级管理层，为了保护其经济资源的安全、完整，确保经济和会计信息的正确可靠，协调经济行为，控制经济活动，利用单位内部分工而产生的相互制约，相互联系的关系，形成一系列具有控制职能的方法、措施、程序，并予以规范化，系统化，使之成为一个严密的、较为完整的体系.是用来协调经济行为、控制经济活动，从而形成一系列具有控制职能的方法、措施、程序，并予以规范化，系统化，使之成为一个严密的、较为完整的体系。它有几项构成要素构成。 内部控制的构成要素包括以下几项： 一、内部环境 内部环境是内部控制存在和发展的空间， 是内部控制赖以生存的土壤， 控制环境的好坏 直接决定着其他控制要素能否发挥作用。内部环境包括了： 1、董事会; 2、监事会; 3、组织结构; 4、授权和分配责任的方法; 5、审计委员会及内部审计; 6、人力资源政策和实务; 7、员工; 8、企业文化。 二、风险评估 风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。 常用的方法主要包括： 1、风险因素分析法 风险因素分析法是指对可能导致风险发生的因素进行评价分析，从而确定风险发生概率大小的风险评估方法。 其一般思路是： 调查风险源→识别风险转化条件→确定转化条件是否 具备→估计风险发生的后果→风险评价。 2、模糊综合评价法 3、内部控制评价法 内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关，因而这种方法主要在控制风险的评估中使用。注册会计师对于企业内部控制所做出的研究和评价可分为三个步骤： 4、分析性复核法

《企业内部控制基本规范》解读

《企业内部控制基本规范》解读【字体：大中小】【打印】 一、内部控制概念 二、内部控制规范的建设现状 三、内控的内容 四、内控建设方法 第一节内控的概念 内部控制是指为确保实现企业目标而实施的程序和政策。内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。（2009年度中国注册会计师全国统一考试辅导教材《公司战略与风险管理》） COSO委员会对内部控制的定义“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规”。 《企业内部控制基本规范》中指出，内部控制是由企业董事会、证监会、经理层和全体员工实施的，旨在实现控制目标的过程。内部控制的目标时合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效益合效果，促进企业实现发展战略。 （一）控制 什么是内控思想？过去强调的是牵制，比如，会计不能兼任出纳。过去强调的是会计控制。 现在，不是会计控制，而是风险为导向的控制，强调的是企业的管理层角度的管理控制，而会计控制是内部控制的一个组成部分。 （二）管理 1.企业方面 作为股东投资者，由于所有权和经营权进行分离。而作为投资者，要求投资获得收益，终极目的就是获得利润。因此在加强企业管理和运作中，会在方方面面有内控的思想的覆盖和渗透。 内部控制不是牵制，不是会计内控。 内部控制是一种管理，内控的理想状态是无需内控就可以遵守规章制度。 内控是一种管理，是对风险的管理。 风险无处不再，国际风险，国家风险，政府风险，企业风险，家庭个人风险，无处不在。 对于企业而言，风险可能来自业务经营、合规、运营或财务方面，内部控制应当为企业的有效运营提供辅助条件，使企业有能力对最爱目标实现的重大风险作出反应。 2.事业方面 在事业单位，机关财务部门作为内控重要组成部分。财务管理，预算管理。 （三）流程 内控是控制的一个过程，这个过程是需要全员的参与，上到董事会、管理层、监事会，下到各级员工，都需要参与进来。 通过内控要实现的目标 1.企业的经营要合法合规 2.企业资产要安全完整 3.企业财务报告的信息（财务信息）和其他信息要真实可靠完整 4.通过内控提高企业的经营效率和效果。 从管理要效益。 从产品要效益，从营销要效益，从管理要效益（从政府要效益） 5.促成企业实现战略目标 （四）合理保证 内部控制是一种合理保证，但它也存在局限性，因此不是一种绝对保证 1.在一个企业的不同岗位之间要有内部控制措施，

内部控制的概念界定及其要素

内部控制的概念界定及其要素 摘要：内部控制在很大程度上影响着企业稳定与发展，因此内控研究有很强的必要性;内部控制不是千篇一律与一成不变的，不同类型的企业内部控制体系是不相同的，这一特殊性又决定了企业内部控制的研究，必须建立在准确的企业定位与科学的理论分析基础上。 关键词：内部控制;风险评估;控制环境 一、内部控制的概念 内部控制是企业发展和组织效率提高的产物，内部控制的内涵和外延都随着企业组织形态进化、社会环境的发展而发生了深刻的变化。本文参照《企业内部控制基本规范》的指导，将内部控制理解为：是一项整体性的工作，是企业的各个成员不分级别都应该实施和参与并努力实现本单位的内部控制目标的过程。 1.1 明确对内部控制的"责任"。内部控制的制定与实施不仅仅是领导层的义务，更是每一个员工的职责。明确"全民参与"的观点，能够使得企业员工主动的维护内控制度，而不仅仅是被动的执行。 1.2 明确内部控制应贯穿在企业经营管理过程之中。企业的经营过程是指通过规划、执行与监督等基本的管理过程对企业进行管理。作为企业经营的一部分，内部控制绝对不是凌驾于企业正常业务之上的，它作为管理的一部分，是为了监督企业生产经营能够按照预期目标有计划的进行，不能取代管理。 1.3 明确内部控制是一个"动态机制"。正如其他的经营管理活动，内部控制也是一个动态、持续的过程。内控制度制定完成后，完美的实施不是机械的执行，而是随着企业经营管理环境的变化越来越趋于完善，沿着发现问题-信息反馈-解决问题-效果评估-逐步修正循环往复的进行。 1.4 重视"软管理"。按照理论界的定义，软管理是指精神层面、无形的事物，比如管理风格、企业文化等内容。内部控制特别需要"软管理"的措施，不仅仅重视规章制度等方面，找到符合自身情况的管理风格，营造良好的企业文化都十分重要。

《企业内部控制》习题及答案

第一章总论 （一）单项选择题 1.内部控制的基本概念是从早期（）思想的基础上逐步发展起来的。 A.科学管理 B.内部牵制 C.内部审计 D.管理控制 2.内部控制结构阶段又称三要素阶段，其中不包括（）要素。 A.控制环境 B.风险评估 C.会计系统 D.控制程序 3.COSO著名的《内部控制——整合框架》是在（）发布的，该报告是内部控制发展历程中的一座重要里程碑。 A.20世纪80年代 B.1992年 C.2002年 D.2004年 4.（）是指主体对所确认的风险采取必要的措施，以保证其目标得以实现的政策和程序。 A.控制环境 B.风险评估 C.控制活动 D.信息与沟通 5.2002年美国国会通过的《萨班斯-奥克斯利法案》第404条款（SOX 404）及相关规则采用的是（）。 A.内部控制体系 B.内部控制结构 C.内部控制整合框架 D.企业风险管理整合框架 6.相对《内部控制——整合框架》，ERM框架的创新之处不包括（）。 A.新提出了一个更具有管理意义和管理层次的战略管理目标，同时还扩大了报告的范畴 B.新增加了目标制定、风险识别和风险应对三个管理要素 C.提出了两个新概念——风险偏好和风险容忍度 D.提出了风险评估概念 7.在COSO内部控制框架中，控制活动的类别可分为（）。 A.经营、财务报告及合规三个类别 B.经营、信息及合规三个类别 C.信息、财务报告及监察三个类别 D.经营、信息及监察三个类别 8.代表了成熟阶段的研究成果，堪称内部控制发展史上的里程碑的是（）。 A.美国注册会计师协会《企业准则公告第55号》

B.英国《综合守则》 C.COSO委员会的《内部控制——整合框架》 D.特恩布尔委员会的特恩布尔报告 9.关于我国企业内部控制规范的框架体系，下列说法错误的是（）。 A.我国目前内部控制规范框架是由基本规范、应用指引、评估指引和审计指引四部分组成的 B.内部控制应用指引是内部控制体系的最高层次，起统驭作用 C.内部控制评估指引是为企业管理层对本企业内部控制有效性进行自我评估提供的指引 D.内部控制审计指引是注册会计师和会计师事务所执行内部控制审计业务的执业准则 10.依据《企业风险管理——整合框架》的内容，下面有关内部控制的说法中错误的是（）。 A.内部控制的思想是以风险为导向的控制 B.内部控制是控制的一个过程，这个过程需要全员的参与，包括董事会、管理层、监事会都需要参与进来，但不包括员工 C.内部控制是一种管理，是对风险的管理 D.内部控制是一种合理保证 （二）多项选择题 1.有关内部控制的历史演进，下列说法正确的是（）。 A.内部控制理论与实践的发展大体上经历了内部牵制、内部控制结构、内部控制整合框架等四个不同的阶段，并已初步呈现向企业风险管理整合框架交融发展的趋势 B.内部控制的第二阶段为内部控制系统阶段，该阶段将内部控制一分为二，由此内部控制进入“制度二分法”或“二要素”阶段 C.1992年9月，COSO发布了著名的《内部控制——整合框架》提出了一个概念、三个目标和五个要素 D.《企业风险管理——整合框架》晚于《内部控制——整合框架》产生。目前已经替代了后者 E.风险管理整合框架阶段的显著变化是将内部控制上升至全面风险管理的高度来认识 2.下列属于内部控制整合框架构成要素的是（）。 A.控制环境 B.风险评估 C.控制活动 D.信息与沟通 E.监控 3.下列属于内部控制整合框架中提出的目标是（）。 A.战略目标 B.经营目标 C.报告目标 D.合规目标