内部控制基本规范大全11篇

绪论：写作既是个人情感的抒发，也是对学术真理的探索，欢迎阅读由发表云整理的11篇内部控制基本规范范文，希望它们能为您的写作提供参考和启发。

《基本规范》在企业内控体系中处于最高层次,起统驭作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素等基本要求,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据。《基本规范》的颁布实施,必将对我国企业及资本市场的发展产生深远影响。

内控是为了企业的生存发展而存在的,是促成企业目标实现的一种重要方法和手段,内部控制的目的是在合理的范围内保证企业基本目标的实现。盈利是企业生存和发展的基础,如果不能盈利,就连自身的生存都难保证,其他目标更无从谈起。企业要想实现盈利,就必须控制风险,必须建立有效的内控体系。企业要改善现有的管理水平,就必须借助于内控体系,完善的内控体系是促进管理落实的手段,可以促进企业实现发展目标。

面对国际市场日趋激烈的经济竞争环境,我国企业要“走出去”,进入国际产业和资本市场投资,必须苦练内功、强化内控、防范风险,这样才能立于不败之地。可以说,企业内控体系的建立与实施,为我国企业“走出去”提供了“安全网”和“防火墙”。

实施《基本规范》对企业提出了诸多要求。

企业文化作为一种无形的精神力量与源泉,影响着企业员工的思维方式和行为活动。优秀的企业文化可以促进企业发展,防止企业衰败;不良的企业文化也可能阻碍企业发展,甚至导致企业倒闭。因此,企业必须培养自身的优良文化,将企业文化与内控制度的建立有机的结合起来,从而更好地推动企业发展。

职业道德属于非法律性质的道德范畴,不履行职业道德并不一定违法,但是职业人如不履行职业道德,必将遭到淘汰。公司应提供职业道德方面的指导,使所有员工在日常或特定的环境下能保持正常的判断;制定公司的行为准则,并传达给全体员工,将员工不诚实和不讲道德标准的动机与机会降到最低。职业道德有许多范畴,不同岗位的人员职业道德不一定相同,《国际会计职业道德准则》中对会计从业人员提出8条准则,内容包括:廉正、客观、独立、保密、技术标准、业务能力、工作胜任、道德自律。我国《会计法》第39条也规定会计人员应当遵守职业道德,提高业务素质。提高员工的职业道德特别是财务人员的职业道德将有助于企业内控制度的建立与实施。

企业内部控制体系的构建是一项重大而复杂的系统工程,在这个过程中我们要牢牢把握住正确的发展方向,实施过程中应注意以下几方面。

1.立足国情、符合实际

内部控制构建的基本前提是要从我国实际国情出发,符合我国法制意识、制度基础、风险理念、经营风格等方面特点,扎根于我国经济、社会、法律、文化环境和企业实践。我国在建立完善社会主义市场经济体制过程中,形成了有别于资本主义市场经济的成熟经验和做法。因此,我国的内部控制体系的建设应当更多地消化总结自身的成功经验,与国家有关法律法规相协调,与国家经济发展战略相协调,与企业经营管理实践相协调。只有做到立足国情,符合实际才能具有强大的生命力,才能发挥应有的积极作用。

2.把握方向、注意动态

2008年6月28日,财政部、证监会、审计署、银监会、保监会联合了我国首部《企业内部控制基本规范》(以下简称基本规范)。基本规范自2010年1月1日起首先在上市公司范围内实施,鼓励非上市的其他大中型企业执行。这意味着中国企业内部控制规范体系建设正在向国际标准靠拢。

一、会计信息系统内部控制制度包含的五要素框架

美国COSO了关于内部控制的概念界定和评价内部控制系统的指导性框架的报告,这一报告被国际社会公认为可接受的内部控制的权威性报告,对我国会计信息系统的内部控制制度的建立具有重要的参考价值。COSO报告认为内部控制系统包括5个组成要素:控制环境、风险评估、控制活动、信息与沟通、监控。相应,会计信息系统内部控制框架也对应于企业内部控制的五要素框架。因此,对会计信息系统内部控制制度的探讨也应从这5个方面进行。

(一)内部环境

内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境在企业IT领域的体现是IT的内部控制环境,主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等。在IT环境下,因为企业内部管理结构扁平化,使得内部控制的组织结构发生改变。这要求内部控制的方式与管理手段随之改变。IT经济引导着企业组织从机械式向有机式并最终向虚拟组织发展演变,要求企业的领导阶层学会在一个流动和动态的环境中发现内聚力和构造组织,既要有创新和发展,又能在不断磨合中加强内部控制和向心力。IT改变企业的架构、企业文化,并影响各成员控制意识,这要求管理层树立信息意识,更新控制观念。

(二)风险评估

风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节,也是COSO内部控制整体框架的独特之处。IT手段的不断应用,给企业带来竞争优势的同时也带来了风险,在IT环境下,虽然企业的整体目标没有改变,但是经济、产业及管理的外部环境与内部因素都发生了变化。伴随业务流程的改变,系统的开发性、信息的分散性、数据的共享性,使系统从以往封闭集中状态走向开放,给会计信息系统带来了风险。这些风险构成了内部控制的新内容,扩大了会计信息系统内部控制的范围,必须有效利用IT作为控制风险的工具。应树立信息意识,更新控制观念,改变思维定式,有效利用IT为企业服务。把IT作为防范风险的工具,与业务活动有效结合起来,建立一个控制良好的电子数据处理系统,保证企业业务处理活动严格按商业规则进行。

(三)控制措施

(四)信息与沟通

(五)监督检查

监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。在IT环境下,一些内部控制被计算机程序化并嵌入在计算机应用系统内,因此内部控制具有人工控制与程序控制相结合的特点。这些程序化的内部控制的有效性取决于应用程序,如果程序发生差错或计算机感染病毒,由于人们对计算机系统的依赖性、麻痹大意及程序运行的重复性,使得失效控制长期不被发现,甚至导致系统在特定方面发生错误或违规行为的可能性较大。所以,在IT环境下,注意对内部控制的监督,由适当的人员,在适当的时候,及时评估控制的设计和运作情况。

二、建立健全会计信息系统内部控制制度的建议

鉴于会计信息系统的特点,借助COSO框架,建立会计信息系统内部控制制度应考虑如下因素:

(一)完善企业内部控制环境

1、组织结构调整。信息技术的引入使管理幅度增大、层次减少,高耸型的组织结构逐渐趋于扁平。同时,网络使内、外部人员进行更多的沟通,内部控制由命令与控制向集中与协调转变。因此,必须进行组织结构调整才能更好地进行内部控制。企业应通过组织结构调整、建立恰当的组织机构和职责分工制度,并通过部门设置、人员分工、岗位职责的制定、权限的划分等形式进行控制,从而达到相互牵制、相互制约、防止或减少舞弊发生的目的。应设立会计岗位和系统管理岗位。会计岗位负责基本的核算及档案管理等工作;系统管理岗位负责会计信息系统的操作、管理、维护等工作。岗位的设置应遵循不相容职务分离的原则,使不同岗位之间相互监督,相互制约,以达到控制的目的。

2、培养管理人员的内部控制观念和信息观念。管理者的观念在很大程度上决定了企业的内部控制制度能否顺利实施,也大大影响着内部控制的效率和效果。在会计信息化条件下,应该注重培养管理人员的内控观念和信息观念,理解企业信息化建设、内部控制和企业发展的关系。随着企业流程重组和组织结构变革,管理人员必须更新观念,有效实施内部控制制度,注重管理实效,对企业进行现代化管理。

3、加强董事会的建设,发挥董事会的作用和职能。企业应当以董事会作为内部控制系统的核心,加强董事会建设,发挥董事会的作用和职能,完全履行其监控、引导和监督的责任,消除内部人控制现象,完善内部控制环境,保证内部控制的有效运行。

(二)正确地进行风险评估和风险分析

会计信息化后,由于会计信息系统自身的特点,增加了会计工作的风险。主要包括:第一,开发和设计中存在的风险。由于系统研发人员对会计工作的不了解或者考虑问题不全面,致使实际工作中的情况不能与系统相吻合,容易出现差错,从而导致的风险。第二,操作不规范和造成的风险。第三,计算机维护不当造成的风险。会计信息都储存在磁介质中,如果计算机维护不当,容易使会计信息丢失或被删改。第四,不可控制的风险。如突然断电、自然灾害、病毒攻击、黑客侵入等。这些都是会计信息化所带来的风险。管理者必须对这些风险进行正确的评估和分析,才能防患于未然,有效地进行内部控制。

2、系统维护控制。系统的维护是指日常为保障系统正常运行而对系统硬软件进行的安装、修正、更新、扩展、备份等方面的工作,包括硬件维护和软件维护。硬件维护主要包括定期进行检查并做好记录;在系统运行过程中出现硬件故障要及时进行故障分析并做好记录。而软件维护包括正确性维护、适应性维护和完善性维护。在软件修改、升级和硬件更换过程中,要保证实际会计数据的连续和安全,并由有关人员进行监督。

3、信息化会计档案管理的控制。会计档案管理的目标是要做到任何情况下数据都不丢失、不损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等,而数据的备份则是数据恢复与重建的基础,是一种常见的数据控制手段,采用磁性介质保存会计档案要定期进行检查和定期复制,防止由于磁性介质损坏而使会计档案丢失。网络中利用两个服务器进行双机镜像映射备份是备份的先进形式。

(三)完善IT控制措施

数据加密技术是保护信息通过公共网络传输和防止电子窃听的首选方法。现代加密技术分为对称加密(专用密钥,privatekey)和非对称加密(公开密钥,publickey)两大类。对称加密法是最传统的方式,其特点是关联双方共享一把专用密钥进行加密和解密运算,专用密钥法面临的最大难题是密钥网上分发的安全性问题。非对称加密法1976年问世,它将密钥一分为二,即一把公钥和一把私钥,具有加密钥不同于解密钥、并且在计算上不能由加密钥推出解密钥的特点,有效解决了密钥分发的管理问题,特别适合计算机网络的应用环境。譬如总公司对下属企业公开其“密钥对”中的公钥,下属企业可以用公钥对上报的报表信息加密,安全地传送给总公司,然后由总公司用其保留的私钥进行解密。

数字签名是指在Internet环境下,电子符号代替了会计数据,磁介质代替了纸介质,财务数据流动过程中的签字盖章等传统手段将完全改变,为验证对方身份、保证数据真实性和完整性,在计算机通信中采用数字签名这一安全控制手段。基于数字签名还可建立不可否认机制,也就是说,只要用户或应用程序已执行某一动作,就不能否认其行动。数字签名是上述公开密钥密码技术的另一类应用。它的主要方式如:会计信息的披露方从信息文本中通过一种信息摘要算法产生一固定长度(如128位)的摘要值,用自己的私钥对摘要值加密,来形成披露方的数字签名,连同原文一起发出;关联方首先用同样的摘要算法对报文计算摘要值,接着再用披露方一同发来的公钥对数字签名解密,如果两个摘要值相同,证明信息在发送途中未被篡改,而且报文确定来自所称的披露方。财务系统中远程处理时可用数字签名技术代替签字盖章的传统确认手段,当然这得是在国家有相应的财务制度许可的条件下。

(四)建立信息与沟通机制

企业建立健全了规章制度和业务流程之后,如何贯彻落实这就需要企业有相应的信息和沟通机制,它是整个内部控制系统的生命线,为管理层监督各项活动和在必要时采取纠正措施提供了保证,包括信息渠道和反馈机制。如:企业领导层的政策方针要通过信息渠道下达给企业员工,这是一个是自上而下逐步灌输的过程。还要有一个自下而上的反馈机制,企业员工发现风险,发现问题,要通过汇报机制逐层汇报给上级部门,这样就能避免很多问题的发生。作为内部控制的重要组成部分的会计信息系统内部控制也是如此,会计信息系统的主要目的是记录、处理、存储、归纳和交流信息,任何交易必须能够追踪其从发生到终止的过程,所有交易必须在系统中留下审计线索,为内部控制提供保证。

(五)建立健全监督检查机制

整个内部控制的过程必须施以恰当的监督检查,通过监督检查活动在必要时对其加以修正。这里所指的监督检查主要包括4个方面:职业道德的约束,公司应成立由董事长、财务总监、首席法律顾问等组成的“职业道德遵行委员会,负责调查违反行为准则的人员;通过外部审计,检查和确认财务报告的合法性、公允性和一贯性;通过内部审计,对内部各部门的财务、管理、效益进行审计;加强集团对分部的监控和分部的内部控制状况。

其中,内部审计是监督检查最常用的途径。企业应该设立内部审计部门,并定期或不定期地对企业的会计信息系统进行审计。内部审计应包括:对会计资料定期进行审计,会计信息化系统账务处理是否正确;审查机内数据与书面资料的一致性;监督数据保存方式的安全、合法性,防止发生非法修改历史数据的现象;对系统运行各环节进行审查,防止存在漏洞等。

三、结束语

《企业内部控制基本规范》的颁布实施将对我国企业的内部控制发展产生重大影响,实施会计信息化的单位应该结合信息化内部会计控制的目标和特点,提出更高的控制要求,扩大有效的控制范围,采取更好的控制方式,重新构建一套较为完善的内部会计控制体系,从而规范单位的会计行为,提高会计信息的可靠性、有用性,保证其对单位内部管理与外部信息服务的作用,以增强企业的竞争能力和生存能力,从而进一步发挥会计信息化的优势。

参考文献:

关键词企业实施内部控制基本规范现状必要性问题对策

2008年6月28日，财政部、证监会、审计署、银监会、保监会五部委联合颁布了《企业内部控制基本规范》，并于2010年4月25日了配套指引。中国证监会已在上市公司中进行试点实施，要求在2010年度报告披露时同步披露内部控制审计报告内部控制基本规范的实施，对提高企业经营管理水平和风险防范能力，防范企业经营管理失控乃至经济犯罪，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益起到一定的保障作用。

一、企业内控达标的必要性

二、企业实施内部控制基本规范存在的问题

1.思想转变过缓

部分企业实施规范后发现，真正落实规范是一件“麻烦事”，无关紧要的通过控制体系还可以落实，重要且紧急的如果仍按规范执行，会对企业的运行带来“麻烦”。可想而知，规范不能真正实施的最主要障碍就是人的思想意识跟不上时代的发展。思想转变过缓，必然会缩小新规范的应用发展空间，而且加长新规范的落实周期。

2.成本与效率问题

3.内控相对独立，脱离管理基础

自规范实施以来，部分上市公司虽然落实了规范，但其功能相对游离，另起炉灶，最终使得内控制度流于形式，成本巨大，效率低下。在内控过程中，由于董事的操控作用，使得财务部门只能根据领导的意图进行工作，无法按照内控制度办事。另外，企业内控披露时，并财务报告当成全部的内控内容，忽略其它环节的内控，而且将内控指标全部压在财务部门上，使得财务部门的责任过度膨胀，根本无法起到内控作用。

三、加强企业实施内部控制基本规范的对策

1.加速思想转变，提高综合素质

以人为本，才能快速转变陈旧思想，充分发挥人的作用，依靠提高人的综合素质、道德水准和法规意识，充分发挥控制者和被控制者的主动性、积极性和创造性，深入研究基本规范的各项要求，遵循规范提出的基本原则，并将规范中的具体要求与企业现状相结合，寻求实现企业内部控制建设的最佳途径[2]。因此，无论是领导，还是财务人员或者是其他人员都应该以企业发展为目标，从整体长远利益着眼，深入落实规范。加强宣传和培训，甩掉思想包袱，从主观意识上迎合规范，从业务上提高能力，缩短规范的落实周期。

2.简化办事程序，注重成本效益关系

3.内控实行一体化

4.内控达标是全局性工作，应通过全员协作达成目标

企业实施内部控制已经上升为企业全体员工的责任，需要全体员工的共同努力来健全内控制度，给企业真正带来价值和收益。内部控制的责任主体是各业务的责任人，应由业务全员全面协作达成。在企业内部应设有专门的部门牵头组织内控的落实，还应有内部评价部门，对内控的实施进行评估，监督其进行内控执行。由于内部牵制的要求，财务部门不宜作为内控达标的牵头部门。

参考文献：

二、《内部控制手册》目标及质量要求

表1《内部控制手册》目标与质量要求

三、《内部控制手册》与企业其他管理制度体系的关联

对所有的企业来说，其自身在以往的经营活动中往往已制定了一些规章制度，并对企业经营过程中可能出现的风险进行了制度上的防范。另有一些企业，出于自身的管理规范的需求或外部的市场需求，申请了以ISO体系为代表的标准认证，并在此基础上制定了整套与之配套的制度规范。然而，本文认为《手册》与上述管理体系（符合或者不符合外部标准）存在联系的同时，也存在明显差异，主要体现在以下几个方面：

（一）编制目标差异

（二）编制框架差异

《手册》以COSO的框架为编制的依据，在编制过程中一贯地强调对企业经营层面的所有风险的识别、分析、评估和控制，尤其强调表单和书面证据的重要性，以突出企业内部控制实施的可复核性，因而可以为内审部门提供一套有效的工作指南。

表2《内部控制手册》与其它管理体系的差异

虽然《手册》与以往的企业管理制度体系关键的不同在于理念的出发点上，但本质上他们还是存在着极为紧密的内在联系。《手册》并不是凭空制定的又一套新的制度，而是对现有制度体系的整合和提升，是从风险管理的视角对企业原有制度体系和业务流程的再梳理。

表3《内部控制手册》定位与制度协调

四、《内部控制手册》的内容构成

结合内部控制基本要求及质量特征，《手册》应梳理业务流程，找出业务循环的主要风险点和控制目标，并明确相对应的关键控制活动和基本的不相容职务分离的要求。同时通过对特定循环的流程分析，将关键控制活动对应到具体的岗位和管理制度，最后《手册》还要为内部审计提供必要的工作指引。基于这样的认识，针对特定流程，《手册》构成如下表所示：

表4《内部控制手册》构成

五、《内部控制手册》的编制框架与典型步骤

结合前文对《手册》性质以及需要具备的内容的分析，以及凭借我们给企业提供的内控服务的经验，本文提出如下的《手册》制定的框架：

图4《内部控制手册》编制框架

注：实线表示实际编制流程；虚线表示内在逻辑关系；虚线框表示逻辑范围。

本文认为，在大多数情况下，《手册》的编制可以分为4大步骤。

第一步：业务循环划分。企业应根据各自行业及所涉及业务的具体特点，将自身的运营活动划分为若干个主要业务循环，通常情况下，主要业务循环包括以下内容：（1）销货及收款环节；（2）采购及付款环节；（3）生产环节；（4）固定资产管理环节；（5）货币资金管理环节；（6）关联交易环节；（7）担保与融资环节；（8）投资环节；（9）研发环节；（10）人事管理环节；（11）信息管理环节。

因不同的业务特点的企业，其主要的业务循环所包含的内容不尽相同，故企业可以借鉴五部委即将颁布的《企业内部控制具体规范》的要求进行业务循环的划分。

2008年6月28日,财政部、证监会、审计署、银监会、保监会联合了《企业内部控制基本规范》(以下简称新《基本规范》),这是中国会计审计领域的又一重大改革举措,体现了我国的内部控制规范正在向国际接轨。

新《基本规范》虽然在形式上借鉴了美国《内部控制整合框架》(COSO-IC)的五要素框架,但内容上却充分体现了《企业风险管理――整合框架》(COSO-ERM)八要素框架的实质,始终贯穿了全面风险管理的理念,并在文字上给予了更中国化的定义和细化。

《基本规范》将审计委员会确定为监督企业内控制度制定和执行的机构,明确提出企业应当在董事会下设立审计委员会。这表明审计委员会在公司内部的作用越来越重要,其职能也在发生变化。

(一)现行内部控制的总体要求

(二)新《基本规范》对审计委员会的要求

除了这些明确的规定以外,规范中时时刻刻突出了对企业风险管理的高度重视,因此审计委员会的作用渗透到了内部控制的全过程,它能否准确地定位、明确自身的职能、有效地发挥监督作用,对企业能否真正贯彻新《基本规范》的精神内涵至关重要。

(三)新《基本规范》下审计委员会的目标和职能探索

我国引入审计委员会制度的初衷是在董事会建立一个独立、专门的治理力量以强化外部审计师的独立性,从而提高公司财务报告信息的真实性和可靠性。根据《上市公司治理准则》第五十四条对审计委员会主要职责的规定,审计委员会的职能集中在沟通外部审计、监督公司的财务体系和审查公司内控制度。但是准则没有对审计委员会的监督对象、怎样监督做出细化的规定。

2002年以来,我国的市场经济得到不断完善,上市公司的情况也发生了很大变化,公司治理结构在不断地借鉴和改善,在内部控制的重要性越来越凸显的今天,监督内控制度的重要机构――审计委员会的目标和职能也应该相应调整,以更好地解决现今上市公司存在的问题,积极配合构建企业内部控制体系。

根据中国内部审计协会会长王道成在2009年内部审计热点问题调查报告会上的发言,结合《基本规范》的精神,笔者认为审计委员会应该有以下职能:

1.监督内部控制的有效实施,发现内部控制缺陷及时向董事会、股东大会汇报。

2.以公司治理和风险管理为导向,对董事会、经理层的经营决策行为进行监督,确保他们的行为合规、合法,无行为,并审查经营决策的结果,对董事会、经理层的风险评估、风险控制行为进行评判,适时对不当的决策提出批评和建议。

3.审核公司的财务信息及其披露,确保公司财务报告的真实性和完整性。

4.加强和外部审计之间的沟通,既披露公司的内部控制状况,也听取外部审计的意见和建议,对内审工作加以改进。

5.编写年度“企业内部控制自我评价报告”。

二、影响我国企业审计委员会职能发挥的主要因素

(一)由于公司治理结构的缺陷,审计委员会的作用受到限制

(二)我国上市公司特殊的股权结构制约审计委员会发挥职能

我国上市公司的股权结构的特征是国有股、国有法人股和社会法人股的比例占65%以上,且不能流通,而占上市公司股权比例35%的流通股相当分散,从而形成非流通股股东的过分集中,即存在所谓的“一股独大”现象。上市公司的重大决策权由非流通股大股东掌握,非流通股控股股东对审计委员会的成员有实质任免权。

我国上市公司股权结构中的另一个特征是国有股、国有法人股的产权管理体制没有完全理顺,国有产权虚置,在“一股独大”的情况下,上市公司高级经理层实际控制了上市公司的重大决策权,即形成了“内部人控制”。

这样,处在董事会之下的审计委员会既被大股东所掌控,自然也被高级管理层所控制,无法实现对董事会和管理层的监督。

总之,目前我国上市公司内部控制存在的突出问题在于:即使建立了良好的内控制度,但由于公司治理结构的不完善,对公司实际控制人缺乏必要制约,董事会和管理层任意超越内部控制,最终导致内部控制成为一纸空文,在战略及经营目标实现方面的风险控制严重缺失。

(三)内部审计机构的职能发挥受到限制

按照《企业内部控制基本规范》第十五条、第四十四条的要求,企业应当根据本规范及其配套办法,制定内部控制监督制度,明确内部审计机构,规范内部监督的程序、方法和要求。内部审计机构对内部控制的有效性进行监督检查,对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。

(四)内部审计人员的能力有待提高

目前,内部审计的主要职能正在从监督型向服务型转变,审计人员从单纯的财务专家型向综合型转变,内部审计机构向更高层次转变。审计委员会要充分发挥其职能,有赖于下属的内部审计机构能够胜任对内部控制的监督工作,这对内部审计人员提出了很高的要求。

由于审计委员会和内部审计机构的责任重大,内部审计人员的素质显得非常重要,上市公司想要组建一个优秀的内部审计团体并不是一件容易的事。

三、如何更好地发挥审计委员会的职能

(一)改善公司股权结构,减少“内部人控制”的现象

建议适当扩大流通股的数量,增加机构持股,削弱超级大股东的权力。董事会和经理层严格实行职务分离,只有公司的治理机制得到改进和完善,审计委员会的权威性和独立性才能得到加强,才能更好地发挥作用。

(三)增强内部审计机构的权威性和独立性

内部审计机构的地位应该有所提高,应高于其他职能部门,直接隶属于审计委员会,对审计委员会负责。同时,内部审计机构的人员应当广泛参与到企业各个运作体系,掌握方方面面的信息,运用自己的专业知识和公正无私的视角对企业的内部控制进行监督,协助审计委员会充分发挥其职能。

(四)提高审计委员会成员的素质

加强对内部审计人员整体素质的培养,构建内部审计文化,尽量聘请通过了国际注册内部审计师考试(CIA)的专业人才,鼓励内部审计人员不断学习,加强综合素质的提高。

[1]企业内部控制基本规范[R].财政部、证监会、审计署、银监会、保监会,2006,(6).

一、中小企业的基本特征

企业的发展是通过运用科学先进的管理手段和方法，实现对生产经营过程中人、财、物的有效利用与控制，进而达到提高商品和服务质量、扩充市场占有份额、降低经营成本、增加经营效益的目的。作为社会主义经济体系中重要的组成部分——中小企业，在市场经济环境下，具有资产规模小、管理机构精练、决策过程简约、融资能力较弱、创新能力不强等共性特征，因而决定了中小企业在自身生存与发展过程中具有经营灵活、管理简捷等优势。但同时也存在着资金和人才缺乏、抗风险能力差等诸多不利因素。尤其是在资本结构简单、管理模式不够完善的中小企业，“长官作风”、“亲友团队”色彩更浓，经营决策、财务管理、成本质量控制、市场拓展、信息传递等功能不能正常发挥，难以有效地形成经营战略目标明确、决策和执行能力强劲、内部和市场控制效果优良的高效运营体系，这就需要借鉴和运用《企业内部控制基本规范》（以下简称《基本规范》）防控企业经营风险，提高企业管理水平，在市场经济中求生存谋发展。

二、中小企业加强经营管理的基本措施

三、充分发挥中小企业的生存发展优势

一、企业内部控制规范与COSO企业风险管理的不同

(一)内涵、目标不同

2008年6月28日财政部、证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》,为中国企业首次构建了一个企业内部控制的标准框架。它所指的内部控制,是指由企业董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:(1)企业战略;(2)经营的效率和效果;(3)财务报告及管理信息的真实、可靠和完整;(4)资产的安全完整;(5)遵循国家法律法规和有关监管要求。

2004年9月,COSO委员会在内部控制框架概念的基础上,提出了企业风险管理(EnterpriseRiskManagement,ERM)的概念,使内部控制的研究发展到一个新的阶段。COSO在ERM框架报告中指出企业风险管理是一个过程,它是由一个主体的董事会、管理当局和其他人员实现的,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险已使其在该主体的风险容量之内,为主体目标的实现提供合理保证。ERM框架对内部控制明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标。ERM框架提出,要力求实现四类目标:战略目标、经营目标、报告目标和合规目标。

(二)基本要素不同

1.企业内部控制规范考虑以下基本要素:

(1)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。

(2)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。

(5)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告,提出有针对性的改进措施等。

(1)内部环境。内部环境其他所有风险管理要素的基础,为其他要素提供规则和结构,也为ERM的其他组成因素提供了框架。其别是管理当局的风险偏好,决定了公司对可能出现的预料之外的事件的态度,管理当局和董事会必须明确战略及其执行过程中的风险和回报。

(2)目标设定。必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。

(3)事项识别。在对企业目标、战略和计划以及对企业所处的内部和外部环境都有深刻了解的基础上,管理层必须识别影响主体目标实现的内部和外部事项,区分风险和机会。

(4)风险评估。一般用可能性(概率)和影响结果两个维度度量风险,前者是一定的负面影响事件发生的可能性;后者是假设事件发生,对经营、财务报告以及战略产生影响的可能结果,风险评估的过程中根据不同的情况,采用定性、定量以及相结合的方法,若可以获取充足的数据,一般采用定量的评估方法;若潜在的可能性及影响结果都较小,或者无法获得数据,则一般采取定性的评估方法。

(5)风险应对。企业对每一个重要的风险及其对应的回报进行评价和平衡,结果取决于成本效益分析以及企业的风险偏好。而平衡的反应包括接受、规避或缓和这些风险,后者又包括风险分离、风险转换或者减少(包括通过控制活动)等形式。风险反应是企业风险管理的整体重要组成部分。

(7)信息与沟通。风险辨别、评估、反应和控制活动在组织的各个水平层次上产生有关风险的信息,与财务信息一样,风险信息必须以一定的形式和框架进行交流,使员工、管理层以及董事履行各自的责任。风险评估的信息系统可以产生定期或“例外基础”的报告,报告使用趋势指标、业绩矩阵及运营或财务成果的形式,这些报告能够引导出及时的决策。在公司层次,必须对各种数据和信息流进行加工,形成关于公司风险组合轮廓的统一观点,以利于交流。

(8)监控。企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。

(三)管理人员对实现企业目标的职责

1.企业内部控制基本规范对管理人员的职责规定如下:

(1)企业董事会应当充分认识自身对企业内部控制所承担的责任,加强对本企业内部控制建立和实施情况的指导和监督;

(2)董事长(或者法定代表人、代表企业行使职权的主要负责人,以下简称董事长)对本企业内部控制的建立健全和有效实施负责;

2.COSO企业风险管理将各级人员的职责分成三个层次:

(2)高层管理人员,首席执行官或总裁应对ERM负总责,各部门经理应认同企业的风险管理理念,按企业设定的风险偏好和风险容忍度管理本部门事务。首席执行官或总裁集各部门经理对企业风险管理的能力和有效性进行初步评估,以决定是否有必要对其继续进行更深入的评价;

(3)企业基层职员,有责任按照企业已确立的指令和协议实施风险管理。

二、企业内部控制基本规范的贡献

从基本规范与COSO风险管理的比较,可以看出基本规范既吸收了COSO报告的精华,又具有一定的中国特色:

1.提高了内部控制规范的地位。新规范既有类似萨班斯法案的强制力,又有与科索报告一样对内控实务的示范作用;既对中国企业建立内控制度提出了强制性要求,又为千差万别的中国企业建立健全内控制度提供了基本框架;既吸收了内控的国际先进理念,又充分体现了中国内部控制的现实环境要求。有专家认为,这一规范的出台,是中国企业按国际化标准严格自律的宣言书,更是中国企业参与国际竞争,逐步接受并自觉遵循市场经济游戏规则,不断完善企业制度、细化管理的内在要求。世人赞誉其为“中国版的萨班斯法案”。

2.统一了我国企业内部控制规范。在美国,COSO框架是美国企业以及在美国上市的外国公司的内部控制建设的标准,而在我国,长期以来内部控制规范正出多门,现实中,至少存在包括证监会、财政部、国资委、人民银行、证券交易所等部门或主管单位的关于内部控制或风险管理的规范文件。尽管有关监管部门在实际中采用了COSO的标准,但都比较局限。2008年6月28日财政部、证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》是广泛征求各监管部门意见基础制定的,统一了我国企业内部控制规范的标准,使企业可在统一的框架内建立有效的内部控制监督体系,同时为外部监管公司内部治理的设计、实施、监督、评估等奠定了基础。

3.科学界定内部控制的内涵,强调“全员控制”。基本规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,是一种全面、全员、全过程控制的理念。

5.统筹构建内部控制的要素。旧规范的范围过于狭窄,主要集中于会计领域。《会计法》、《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重于企业的会计责任方面。而本次修订的基本规范有机融合COSO全面风险管理的做法,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。

6.明确界定各控制主体职责。内部控制的有效执行有赖于全员参与,而只有企业内每个人均清楚地知道自己所拥有的责任和权力,才能认真履行自己的职责,提高内部控制的执行力度。新规范所界定的内部控制主体有四层:一是董事会,二是监事会,三是经理层,四是全体员工。董事会是加强企业内部控制的第一责任人;监事会负有对董事、经理执行公司职务时违反法律、法规或者公司章程的行为进行监督的权利,在监督投资者决策行为的同时切实履行监督投资者对经营者的监管职能的落实情况;经理层直接对企业的经营管理活动负责,尤其是企业总经理(首席执行官)承担重要责任;全体员工在实现内部控制中承担相应职责并发挥积极作用。

7.创新了体系。除基本规范之外,财政部还起草了17项具体规范,并将继续起草若干具体规范和应用指南;与此同时,还将研究、制定评价标准和配套实施办法,形成全方位、立体性推进内控体系建设的局面。我国的企业内控体系,将是一个层次分明、内容完整、衔接有序、整体互动的有机统一体。

8.强化了内部风险管理。旧规范只是强调通过风险预警、风险识别、风险评估、风险分析、风险报告等措施,对财务风险和经营风险进行全面防范和控制,而基本规范更强化了在目标设定环节就要考虑风险因素,这一条和COSO的风险管理是吻合的。

9.提出了切实可行的内部控制实施机制。基本规范建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制,要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。这充分体现了基本规范在实施过程中适当的引入了信息机制和声誉机制、强化检查监督机制,落实内控责任主体和严格问责和实施严厉的奖惩机制的特点。

三、企业内部控制基本规范实施的难点

企业内部控制规范在执行中还存在很多困难:

1.基本规范的要素中没有体现事项识别的重要性

全球经济二次探底风险加大时，浙江大中型企业面临着来自方方面面的危机。有效构造企业内部控制体系，已经成为企业管理者的首要任务之一。内部控制是建立健全企业内部科学管理制度，尤其是建立现代企业制度必不可少的重要内容，特别对企业经营效益、效率和效果至关重要，是企业生产经营活动赖以顺利进行的基础。

一、实施《企业内部控制——基本规范》（以下称《基本规范》）的背景

安然、世通等财务舞弊和会计造假案件的发生，严重冲击了美国乃至国际资本市场的正常秩序，内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。为此，许多国家通过立法强化企业内部控制，如2002年美国实施了《萨班斯一奥克利法案》。

虽然内控的重要性不言而喻，而且我国境外上市企业早已纷纷花巨资聘请海外机构设计内部控制制度，以适应上市地的监管要求。但国内很多大中型企业依然对什么是有效的内控体系，如何建立、评估和改进企业内控感到困惑。再由于长期没有统一的企业内部控制规范，一些大中型企业内部控制意识淡薄，出现了内部控制失效甚至舞弊的案件，损害投资者利益，在市场上造成恶劣影响，同时大中型企业内部控制不规范而使银行产生大量不良贷款的现象也屡见不鲜。

2008年6月28日,财政部、证监会、审计署、银监会、保监会等五部委联合了《企业内部控制——基本规范》（以下称《基本规范》），并与09年7月在上市公司范围执行，这标志着中国版“萨班斯法案”的正式启动。2010年4月26日，五部委又联合了《企业内部控制配套指引》，规定自2011年1月1日起在境内外同时上市的公司执行，2012年1月1日起在上交所、深交所主板上市公司执行。《指引》连同此前的《规范》，标志着适合我国企业内部控制规范体系已基本建成。

二、实施《基本规范》的意义

基本规范确立了我国企业建立和实施内部控制的基础框架，标志着内部控制规范体系建设取得重大突破。规范的出台在企业内部会计控制制度体系的构建过程中具有里程碑式的意义。

（一）为企业内部控制建设提供了基础性、权威性的指引

基本规范的弥补了国内一直没有统一的内控规范的状况，从制度源头来为企业内部会计控制的建设提供了保障，对企业会计信息质量的改善起到积极作用。而对浙江大中型企业来说，首先要树立正确的“内控观”，从实践层出发，加强内部控制制度建设，培育内部控制文化，推动内部控制体系的建立和持续改进。

（二）确立企业内部控制的基础框架

基本规范有机融合国际先进经验，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。

（三）强调企业全员、全过程的内部控制理念

基本规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，是一种全面、全员、全过程控制的理念。同时也表明企业内部控制应当贯穿决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项。

（四）准确定位企业内部控制的目标

基本规范从组织最根本的目标出发，充分考虑投资者、债权人、管理者的要求，以提高企业战略管理和自我引导能力为目的，判断现有的内部控制方法、控制对象与控制目标是否相容，及其之间存在的对应关系。

（五）科学界定了内部控制的含义

根据基本规范，内部控制是合理保证实现企业经营管理基本目标的一系列控制活动。这项控制活动既有收益也有成本，就有必要进行成本收益分析。换句话说，控制活动也要讲求效率。考虑到环境的复杂多变性与人类理性的有限性，内部控制应当且只能在“合理”的范围内保证上述目标的实现。

三、浙江大中型企业实施《基本规范》中的问题

（一）对《基本规范》理解不到位

（二）企业人员内控意识比较薄弱

自从美国的安然事件发生以后，国外的萨班斯法案在不断的完善过程当中，企业管理层对于内控的认识越来越高。但很多浙江大中型企业看待内控的问题，企业的人员，特别是管理层经常认为是在给企业“找事儿”做，对于内控的看法还是处于不太积极的状态。

（三）企业中专业内控人才严重缺乏

内控兴起不久，企业对于内控人才的培养也处于初级阶段，在加上人才本身管理水平的有限，对于内控的理解和看法都存在着不足，因此，全面复合型人才在浙江大中型企业中现在急剧缺少。

（四）内控实施的成本比较高;

内控的最终落点是需要IT系统的支撑，从IT的角度来看，要想做好内控，必然要有新的IT投入，而IT投入对于企业来看无疑是增加企业成本的，尤其是金融危机刚过的后危机时代，浙江大中型企业处于一个缓气的阶段，如果在进行IT投入对于企业是一笔不销的开销。

（五）业务流程管理水平很低，增加了内控管理的难度

内控是为了加强企业的经营管理与风险管理，如果是经营管理必然要改变现有的企业不合理的业务流程，现阶段业务流程管理水平不高，对于流程的梳理非常困难，同时又需要IT的环境实现流程的梳理，给企业的内控管理带来了难度。

（六）内控难以层层实施、监督

在内控实施方面，当前内控规范实施后，怎么能够让浙江大中型企业内部从高层到基层管理都清楚并自觉执行，涉及人员较多培训和监督难度都很大。同时企业控制点较多，如果全部用人工进行控制，控制成本会很高。

四、浙江大中型企业内部控制应以《基本规范》为指引发展完善

（一）提高人员素质，学习领会基本规范的实质与要求。

当然浙江大中型企业应充分发挥人的作用，依靠提高人的综合素质、道德水准和法规意识充分发挥控制者和被控制者的主动性、积极性和创造性，深入研究基本规范的各项要求，遵循规范提出的基本原则，并将规范中的具体要求与企业现状相结合，寻求实现企业内部控制建设的最佳途径。

（二）转变内控文化，健全企业内部控制，实现全面、全员、全过程控制

经调研，较多浙江大中型企业中存在着对领导个人权威过于倚重的情况，领导意志往往凌驾于内控制度之上的现象，这就需要转变广大人员的思维方式和行为习惯，不仅要注重规章制度的建立和修订，而且要重视其贯彻落实的监督制约机制的建立和完善。

1、从认识入手。认识主要在于领导层,领导层必须认识到内控的重要性。通过领导层的认识来带动普通员工认识的提高,使企业从上到下都意识到内控需要全员参与配合，实现从被约束对象到内控制度建设者的转变。树立“内控无小事，内控大家抓”的内控价值观，正确的认识对全员参与和全过程控制都能有积极的作用。

2从落实入手。在认识提高之后,必然会形成一些内控的制度措施。企业往往不缺乏制度和措施,最缺乏的是执行力,全控制制度措施一旦确立,执行就是关键的问题,由谁来执行,怎样执行,执行要达到什么效果,为了保障效果需要采取什么监督办法,等等。

（三）强化学习交流，力求内控专业人员能力素质快速提升

（四）改善管理水平，做好科学有效的内控体系建设

改善现有的管理水平，大中型企业必须借助于内控体系。完善的内控体系可以促进企业管理，实现企业的发展目标。内控首先要设计符合企业内部业务特点的管理体系，并且这个管理体系要能够根据公司业务比如组织架构调整进行及时调整。同时要把它体系形成文件，作为我们执行和审计的依据，作为监督改变的依据。

（五）突出抓好重点，符合基本规范同时考虑成本效益原则

一方面，大中型企业内部控制的有效实施可以有效防范企业风险的发生，减少企业不必要的损失，但另一方面内部控制的实施需要付出人力、物力、财力，会产生大额成本。所以《基本规范》的具体实施必须考虑实施成本，在实施过程中应遵循成本最小化下的效率最大化原则，尽量避免执行程序的冗长繁琐,避免执行规则的不经济带来的市场发展的低效率。

1、在实施过程中浙江大中型企业需要从自身的实践层面出发，树立正确的“内控观”。内部控制体系不是对现有企业管理体系的推倒重来，更不是独立于企业现有管理体系的另外一个体系，而是对现有管理体系的整合，是对企业现有管理体系职能的强化。

2、实施过程中人手少，任务重，全面开展此项工作的精力非常有限，要尽可能使有限的精力发挥出好的效益。可以遵循当今管理学界所熟知的“80/20”定律，即“马特莱法则”。分析把握好影响全局的关键因子，力求做到突出重点，抓好重要的20%因子，毕竟80%的价值来自于20%的因子。

（六）先做内控原型，不断完善以其内部控制达到持续化改进

研究国外优秀企业内控建设的经验是先做一个原型或者模型，然后逐步的填充，内控和信息化是一样，没有边界，因此，浙江大中型企业可以要先搭建内控的的框架，然后在框架中不断增加、修改，做到持续的优化。

内部控制是企业现代化管理必然产物，良好企业内控管理是成功企业必备条件。企业建立有效的内控控制体系已经成为企业可持续发展的关键，所以企业可以把《基本规范》实施作为一个改善企业业绩的契机，促使自身加强内部控制,提高企业管理水平与经济效益，促进企业实现发展战略。

面对已于2009年7月实施的《企业内部控制基本规范》，所有上市公司均急需建立一套合规的内部控制机制以满足《企业内部控制基本规范》的要求，特别是在全球资本市场上加强对上市公司的监管已经是大势所趋的情况下，中国上市保险公司若想站在世界的舞台上、参与国际市场的竞争，就更应该充分重视对自身内控体系的建设。

一、健全我国保险企业内控制度的必要性

保险公司的特殊性也决定了其必须建立完善的内部控制机制。其目的主要有三：一是保证保险人的偿付能力，防止保险经营的失败；二是保证保险交易的公平性和公正性，防止利用保险进行欺诈：三是保证保险经营的效率，提高被保险人的利益。对于保险公司而言，保险监督是一种外在的、强制的监督，而公司内部控制则是内部的、自觉的监督。从要达到保险监督的目的来看，外在的监督只有通过公司的自我约束，才能真正发挥作用。自我约束是保险公司内在的、对保证保险公司持续健康发展起决定性作用的层次，而自我约束能力又取决于及时、有效的内控管理。因此，内部控制管理与保险监督管理相辅相成，共同形成对保险企业合规性经营的促进。

二、当前我国保险企业内控制度存在的问题

(一)保险公司疏于事前防范和事中控制

目前一些保险公司的领导管理层的内部控制意识淡薄，认识简单化。在实际操作中往往重视“亡羊补牢”式的事后监督，而轻视“未雨绸缪”式的事前防范，更忽视“兵来将挡，水来土掩”式的动态事中控制，因此出现事故案件屡禁不止的现象。

(二)保险公司对业务流程的控制不足

有些保险公司的管理层认为规章制度既已制定，下面照章执行即可；还有一些管理者把内部控制与经营管理对立起来，认为加强了内部控制就会影响到业务的发展，把内部控制与公司的发展和效益的提高对立起来，缺乏把内控工作作为一项经营管理的基础性工作加以重视的意识，对业务过程疏于监控，错失把可能出现的问题控制在源头或消灭在萌芽状态的良机。

(三)保险公司的公司内部经营管理过于放松

目前一些保险公司对内部控制的认识还停留在内部牵制和内部控制制度建设阶段，甚至有人把内控看作是一种复核机制，重会计数字核算控制，尚未把内部控制作为管理的一种手段，将内部控制的有效性仅仅体现在会计数字的准确性上，而忽视业务流程控制的“防微杜渐”机能。

三、新时期完善我国保险公司内控机制的对策建议

(一)建立健全保险公司内部会计系统和内部审计控制

在会计制度框架内建立适应公司的统一会计政策，根据经营管理的需要统一下级公司的核算口径，明确财务会计报告的处理程序与方法，遵循会计制度规定的各条核算原则，同时建立内部审计，主要有财务审计、经营审计和管理审计。内部审计在企业应保持相对独立性，应独立于其他经营管理部门，最好受董事会或下属审计委员会的领导。

(二)完善全面预算和绩效评估制度，建立健全业务流程体系

(三)加强信息技术在风险管理和内部控制方面的应用

信息技术可以改变传统模式下内部控制偏重于检查性和纠正性职能的弊端，实现内部控制重心从适时控制向事前控制、实时控制转移。保险公司应尽快完成业务、财务数据的全国集中，并防止分支机构在设定的权限范围外可能出现的数据篡改和隐瞒。充分利用信息技术在内部控制中的“预警作用”：根据信息系统所涉及的业务流程的风险点、所采集的信息，设计所要控制的参数和预警指标，使系统实现自动的作业错误提示、业务舞弊防范和风险预警。

(四)着力提高公司经营管理的整体水平

保险公司的组织结构是保证公司各部门和总分支公司各司其职、有序结合、分工明确和有效运作的组织保障。围绕风险控制和增进效益两个目标，保险公司应该加强内控管理水平，增强竞争能力，在日益开放的经营环境中立于不败之地。首先，应建立高效的风险管理机制，严格控制经营风险；其次，运用高新技术手段和先进方法对风险变动趋势进行科学地预测，有效进行公司经营风险的控制和管理；最后，完善保险风险内部控制机制，对经营风险进行控制。

内部控制是公司的自律机制，它的加强和完善是保险业发展到一定阶段在管理方面的必然要求，并受到公司治理、保险监管、企业文化、市场风险和机会、技术发展等各方面因素的影响。因此，各保险公司应积极探讨在上述因素的制约下适合本公司的内控机制，促进其保险经营再上一个新台阶。

参考文献

[1]梁子君.论保险公司公司治理、风险管理与内部控制的关系[J].经济论坛，2006，(08)

doi:10.3969/j.issn.1673-0194.2012.18.021

1新旧企业内部控制基本规范的比较

2008年财政部、证监会、审计署、银监会和保监会联合了《企业内部控制基本规范》（以下简称“新基本规范”）。这是继2000年财政部的《内部会计控制规范——基本规范（试行）》（以下简称“旧基本规范”）以来，我国在会计、审计领域的又一重大变革。新基本规范为上市公司加强内部控制建设提供了基础性和权威性的借鉴，必将有利于提高上市公司经营管理水平和风险防范能力，促进资本市场持续健康发展。同时也为我国中小企业长久持续发展指明了方向，加强企业内部管理是企业长盛不衰的法宝，中小企业在条件具备的情况下应严格管理，完善内部控制。

1.1企业内部控制定位及所体现的理念

1.2企业内部控制规范的力度

在制定主体上，旧基本规范是由财政部制定的，而新基本规范是由财政部会同证监会、审计署、银监会和保监会联合制定并的，新基本规范更具代表性和权威性，更有利于其有效的实施。在适用范围上，旧基本规范适用于我国境内所有的国家机关、社会团体、公司、事业单位和其他经济组织，而新基本规范则适用于中国境内设立的大中型企业，小企业和其他单位也可以参照新基本规范建立并实施内部控制。新基本规范在上市公司范围内施行的同时，明确鼓励非上市的大中型企业参照执行。

新基本规范要求上市公司对内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘用具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。

而旧基本规范除了规定各单位应当根据国家有关法律法规和规范本身，结合部门或系统的内部会计控制规定，建立适合本单位业务特点和管理要求的内部会计控制制度并组织实施，除此之外，没有特别要求单位本身对内部控制的有效性进行自我评价并出具内部控制的自我评价报告。

2中外企业内部控制基本规范的比较

COSO的《企业风险管理——整合框架》继承了COSO于1992年的《内部控制——整合框架》的五要素框架，并在此基础上将其发展成为八要素框架，与《企业内部控制基本规范》一样，都涵盖了五要素框架，即内部环境、风险评估、控制活动、信息与沟通以及内部监督（《企业风险管理——整合框架》称之为“监控”）。

2.1形式差异

在借鉴国外的内部控制框架的同时，新的《企业内部控制基本规范》也有自己的创新，它根据我国的实际情况，在五要素的基础上做出了较大的调整，这样在内容上得到更大的充实，在表达形式上也就更符合我国法规特点、文化传统和语言习惯，使得国外提出的较为宏观、抽象的内部控制理念转变为了具有针对性、实用性的内部控制规定。这样一来，两个文件在控制活动、信息与沟通和内部监督方面的规定就基本相同了。

2.2本质差异

1企业内部控制制度体系

1.1内部控制制度

所谓内部控制制度就是指某单位在本单位内部因分工而产生的相互制约、相互联系的基础上，采取一系列具有控制作用的方法、措施和程序，并即时以规范化、系统化、制度化，由此所形成的一整套严密的控制机制，也称为内部控制系统。

1.2企业内部控制标准体系主要包括基本规范、具体规范和应用指引

基本规范规定内部控制的基本目标、基本要素、基本原则和总体要求，是制定具体规范和应用指南的基本依据，在内控标准体系中起统驭作用。我国的内部控制基本规范基本确定了企业内部控制的5个目标5个原则5个要素，总计50个项目，由5个部门。

具体规范是根据基本规范，对企业办理具体业务与事项从内部控制角度作出的具体规定。

2企业内部控制制度体系的制定背景

安然、世通等财务舞弊和会计造假案件的发生，严重冲击了美国乃至国际资本市场的正常秩序，内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。为此，许多国家通过立法强化企业内部控制，如美国的《萨班斯——奥克利法案》等，内部控制日益成为企业进入资本市场的“入门证”和“通行证”，我国境外上市企业纷纷花巨资聘请海外机构设计内部控制制度，以适应上市地的监管要求。

为了引导企业进一步加强内部控制，1999年修订的《会计法》，第一次以法律的形式对建立健全内部控制提出原则要求，财政部随即连续制定了《内部会计控制规范——基本规范》等7项内部会计控制规范。

2004年底和2005年6月，国务院领导同志连续两次就强化企业内部控制问题作出重要批示，其中，2005年6月，在财政部、国资委和证监会联合上报的《关于借鉴〈萨班斯法案〉完善我国上市公司内部控制制度的报告》上作出批示，同意“由财政部牵头，联合证监会及国资委，积极研究制定一套完整公认的企业内部控制指引”。

基本规范和17项具体规范的起草工作，大致分为五个阶段：

一是资料收集和理论研究阶段，主要是2004年底至2005年6月。

二是起草初步框架阶段，主要是2005年7月至2006年6月。在这一阶段，组织了多次小型座谈会，就拟订内部控制基本框架听取了有关监管部门和专家学者的意见，并初步勾勒出了企业内部控制基本规范的原则框架。财政部大力推进企业内部控制制度建设得到了世界银行的重视和支持，经协商，世界银行同意将内控项目纳入技术援助项目并给予一定资助。

三是全面起草阶段，主要是2006年7月至9月。2006年7月15日，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会，许多监管部门、大型企业、行业组织、中介机构、科研院所的领导和专家学者积极参与，为构建我国企业内部控制标准体系提供了组织和机制保障；与此同时，按照科学民主决策精神，公开选聘了86名咨询专家，组织开展了一系列内部控制科研课题，为构建我国内控标准体系提供技术支撑和理论支持。