会计继续教育《新企业内部控制基本规范》讲义

可修改欢送下载精品Word可修改欢送下载精品Word可修改欢送下载精品Word课程讲义目录

21世纪初，根据第二次修订的会计法，财政部制定发布了单位内部会计控制标准，包括内部会计控制标准——根本标准〔试行〕和内部会计控制标准——货币资金〔试行〕等一系列具体标准，实施效果很好。在此根底上，结合国内国外经济开展形势变化，借鉴国际先进经验和做法，经过近十年的不断探索和完善，逐渐形成了企业内部控制标准体系，由企业内部控制根本标准〔以下简称根本标准〕和配套指引组成。根本标准在企业内部控制标准体系中处于最高层次，起统驭作用，建立了内部控制的总体框架和根本要求，是制定配套指引和完善企业内控制度的依据。配套指引是根本标准的具体化，包括系列应用指引、评价指引和审计指引。

根本标准共七章五十条，各章分别是：总那么、内部环境、风险评估、控制活动、信息与沟通、内部监督和附那么。

一、关于总那么

总那么既是根本标准的总说明，也是配套指引乃至整个内控标准体系的总要求。总那么规定了企业内部控制标准体系的根本问题，包括制定与实施内部控制标准的意义、制定依据、适用范围、内控目标、原那么、要素、组织实施、监督检查，以及引入注册会计师审计等制度安排。

〔一〕内部控制的意义和依据

根本标准第一条说明了制定与实施内部控制标准的意义。

第一、加强和标准企业内部控制的需要。一般而言，各类存续企业大都建立了相应的管理制度，但是需要根据内控标准要求，对原有制度进行修改、完善和提升；对于新建企业，更需要依据内部控制标准，构建企业内控制度和管控流程。

第二、有助于全面提升企业经营管理水平和风险防范能力，促进企业可持续开展。

全面提升企业经营管理水平和风险防范能力是内控体系的核心问题，尤其是在当前我国应对国际金融危机、加快转变经济开展方式的时代背景下，内控标准体系对于提升企业核心竞争力，促进企业在后金融危机时期可持续开展，具有特别重要的现实意义和深远的历史意义。

第三、有利于维护社会主义市场经济秩序和社会公众利益。

企业尤其是上市公司是创造社会财富的市场经济主体和宏观经济的细胞。调整产业结构，转变开展方式，提升开展质量，维护市场经济秩序和社会公众利益，从企业做起至关重要。广阔企业也只有不断强化内部控制，才能实现维护市场经济秩序和社会公众利益的目标。

根据根本标准第一条规定，制定企业内部控制标准的根本依据是中华人民共和国公司法、中华人民共和国证券法、中华人民共和国会计法和其他有关法律法规。企业内部控制标准体系与上述法律法规是协调一致的。从某种程度上讲，企业内控标准是贯彻落实上述法律法规，保证各类经济活动合法合规的具体制度和方法。

根本标准第二条明确规定，企业内部控制标准适用于中华人民共和国境内设立的大中型企业。

对非上市公司的大中型企业，包括国有企业、国有控股企业和外商投资企业等，鼓励提前执行。小企业和其他单位可以参照企业内部控制标准建立与实施内部控制。

对于其他单位包括行政事业单位和非营利组织，财政部将待企业内控标准体系建设与实施有序推开后，择机推进非企业单位的内控标准研究制定工作。

大中型企业和小企业的划分标准按照国家有关规定执行。目前一般参照国家经贸委、国家计委、财政部、国家统计局关于印发中小企业标准暂行规定的通知〔行业名称指标名称计算单位大型中型小型工业企业从业人员数人2000及以上300-2000以下300以下销售额万元30000及以上3000-30000以下3000以下资产总额万元40000及以上4000-40000以下4000以下建筑业企业从业人员数人3000及以上600-3000以下600以下销售额万元30000及以上3000-30000以下3000以下资产总额万元40000及以上4000-40000以下4000以下批发业企业从业人员数人200及以上100-200以下100以下销售额万元30000及以上3000-30000以下3000以下零售业企业从业人员数人500及以上100-500以下100以下销售额万元1500及以上1000-1500以下1000以下交通运输业企业从业人员数人3000及以上500-3000以下500以下销售额万元30000及以上3000-30000以下3000以下邮政业企业从业人员数人1000及以上400-1000以下400以下销售额万元30000及以上3000-30000以下3000以下住宿和餐饮业企业从业人员数人800及以上400-800以下400以下销售额万元15000及以上3000-15000以下3000以下〔三〕内部控制的定义和目标

根本标准第三条明确指出，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

首先，这一定义强调了企业领导者尤其是董事会、监事会和经理层在建立与实施内部控制中的重要作用。如果企业领导者对于内部控制没有足够的认识和高度的重视，内部控制是难以有效实施的。

最后，指明了内部控制是一个过程。内部控制是对企业生产经营过程的控制，也是对实现企业开展目标过程的控制。同时，内部控制又是一个不断优化完善的过程，只有起点，没有终点，必须坚持不懈、持之以恒地持续改进。

根本标准第三条第二款规定了内部控制的目标为五个方面：

一是合理保证企业经营管理合法合规；

二是维护资产平安；

四是提高经营效率和效果；

五是促进企业实现开展战略。

企业经营管理合法合规，强调的是企业要在法律允许的经营范围内开展经营活动，严禁违法经营、非法获利。

资产平安主要是防止资产流失。要确保企业的各项存款等货币资金的平安，防止被挪用、转移、侵占、盗窃。同时还要保护实物资产，防止低价出售，要充分发挥资产效能，提高资产管理水平。

提高经营效率和效果构成企业内部控制的重要目标。企业建立和实施内部控制的内在要求之一是相互制衡、相互监督，这一要求看似与提高效率效果相矛盾，实际上是协调一致的。因为无视控制的经营管理，将导致重大风险的发生，可能造成企业难以为继，最终降低了经营的效率效果。因此，企业必须正确认识和处理强化内部控制与提高效率效果的关系。

〔四〕内部控制的原那么

根本标准第四条规定了企业建立与实施内部控制的五项原那么：

一是全面性原那么；二是重要性原那么；三是制衡性原那么；四是适应性原那么；五是本钱效益原那么。

全面性原那么强调内部控制应当贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项。

制衡性原那么要求内部控制在治理结构、机构设置及权责分配、业务流程等方面相互制约、相互监督，同时兼顾运营效率。相互制衡是建立和实施内部控制的核心理念，更多地表达为不相容机构、岗位或人员的相互别离和制约。

适应性原那么要求内部控制与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化加以调整。

本钱效益原那么要求实施内部控制必须权衡本钱与效益，以适当的本钱实现有效控制。

〔五〕内部控制的要素

根本标准第五条规定了内部控制的五要素，即内部环境、风险评估、控制活动、信息与沟通和内部监督。

内部控制五要素是立足我国国情、借鉴国际经验的产物。

1958年10月，美国会计师协会下属审计程序委员会发布审计程序公告第29号，将内部控制分为管理控制和会计控制。

1988年，美国注册会计师协会发布审计准那么公告第55号，提出了“三分法〞的概念，即内部控制包括控制环境、会计系统和控制程序三个局部。

1992年，美国COSO委员会发布内部控制整体框架〔COSO报告〕，认为内部控制由控制环境、风险评估、控制活动、信息与沟通、监督五要素构成。

安然事件爆发后，出于全面加强风险管理的考虑，2004年美国COSO委员会制定了企业风险管理整合框架，在五要素的根底上，将风险评估拆分、细化为目标设定、事项识别、风险评估和风险应对，从而形成八要素的框架。

尽管如此，美国上市公司按照萨班斯法案404条款的要求进行财务报告内部控制管理层评价和注册会计师审计时，其评价和审计的依据仍是1992年COSO报告的五要素。

根据我国实际情况，根本标准确立的仍是内部控制的五要素，但吸收了COSO八要素的全部成分。根本标准与包括COSO内控框架在内的世界领先的内部控制框架在所有主要方面保持了一致。

我国内部控制标准体系的目标、对象和要素的关系，如图1所示。

图1内部控制目标、对象和要素三位一体图

〔六〕内部控制的组织实施

内部控制标准建设是一项系统工程，内部控制的实施更为关键。根本标准的第六条至第十条分别从企业、政府部门、中介机构三个不同的角度对确保企业内部控制的有效实施提出严格要求。

第一，企业建立和实施内部控制，至少要做好三个方面的工作。

一是按照根本标准第六条的规定，根据有关法律法规、本标准及配套指引，制定本企业的内部控制制度并组织实施。企业主要负责人应当重视内控工作，加强组织领导，成立工作组，组织专门人员，制定工作方案，结合本企业实际情况，对企业内控制度和管控流程进行全面梳理优化。

二是按照根本标准第七条的规定，根据修订后的企业内控制度和管控流程，组织软件专业人员对现有的信息系统进行改造升级，将优化后的流程固化到信息系统中，促进内部控制流程与信息系统的有机结合，从而实现对业务和事项的自动控制，减少或消除人为操纵因素。

三是根据根本标准第八条的规定，建立和完善实施内部控制的鼓励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。

第二，企业应当聘请注册会计师对内部控制的建立与实施情况进行审计，并出具审计报告。对于内部控制的设计和评价工作，企业可以聘请中介机构提供专业咨询效劳，并积极做好配合工作。企业可以聘请同一家会计师事务所开展财务报告和内部控制整合审计，以促进审计资源的有效利用。

为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计效劳。

第三，强化政府有关监管部门对企业建立与实施内部控制的行政监督。根据根本标准第九条规定，国务院有关部门，包括财政部、审计署、证监会、银监会、保监会、国资委等政府监管部门，应当根据有关法律法规和内部控制标准，明确贯彻实施内部控制标准的具体要求，并对企业建立与实施内部控制情况进行监督检查。

二、关于内部环境

根本标准第五条规定，内部环境是企业建立与实施内部控制的根底，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

〔一〕组织架构

在内部环境中居于根底地位的是组织架构，包括治理结构、内部机构设置和权责分配。企业实行现代企业制度，必须建立健全治理结构，科学设置内部机构，合理分配职责权限。

根本标准第十一条明确规定，企业应当根据国家有关法律法规和企业章程，建立标准的公司治理结构和议事规那么，明确决策、执行、监督等方面的职责权限，包括股东大会对重大事项的表决权、董事会的经营决策权、监事会的监督权、经理层的组织实施等，以形成科学有效的职责分工和制衡机制。

关于机构设置及权责分配，根本标准第十四条规定，企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。

根本标准第十二条和第十三条规定了董事会、监事会、经理层在内部控制建立与实施方面的职责权限。

一是强调了董事会对内部控制的建立健全和有效实施负责。监事会对董事会建立与实施内部控制进行监督。董事会下设立审计委员会，审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。

二是经理层负责组织领导企业内部控制的日常运行。有条件的企业应当成立专门机构，或者指定适当的机构，具体负责组织协调内部控制的建立实施及日常管理工作。

〔二〕人力资源

人力资源作为内部环境的重要组成局部，是指企业在建立和完善组织架构的根底上，如何充分发挥“人〞的作用。

根本标准第十六条和第十七条规定，企业应当制定和实施有利于企业可持续开展的人力资源政策，明确了人力资源政策的主要内容，强调要将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。

〔三〕企业文化

根本标准第十八条和第十九条对企业文化建设提出了根本要求，规定企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导团队协作精神，树立现代管理理念，强化风险意识；同时，强调董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用，强调高管人员应增强法律观念和意识，严格依法决策、依法办事、依法监督。

〔四〕内部审计

根本标准第十五条规定，企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计在内部控制中的职责主要是对内部控制的有效性进行监督检查，对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

三、关于风险评估

风险评估由目标设定、风险识别、风险分析和风险应对构成。风险评估是内部控制的重要环节，在企业生产经营过程中，只有进行科学的风险评估，自觉地将风险控制在可承受范围之内，才能实现企业的可持续开展。

企业总是在应对各类风险和挑战的过程中赢得生存和开展。

〔一〕目标设定

〔二〕风险识别

〔三〕风险分析

风险的定量分析，是指运用一些数据分析模型，将有关风险及其影响予以量化，在此根底上判断风险重要性程度的方法，如敏感度分析法和盈亏平衡分析法等。

〔四〕风险应对

风险应对是指风险应对策略的选择。根据根本标准第二十五条的规定，企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。

风险应对策略包括风险躲避、风险降低、风险分担和风险承受。

1、躲避风险。通过防止受未来可能发生事件的影响而消除风险。躲避风险的方法有：

通过公司政策、限制性制度和标准，阻止高风险的经营活动、交易行为、财务损失和资产风险的发生。

通过重新定义目标，调整战略及政策，或重新分配资源，停止某些特殊的经营活动。

在确定业务开展和市场扩张目标时，防止追逐“偏离战略〞的时机。

审查投资方案，防止采取导致低回报、偏离战略，以及承当不可接受的高风险的行动。

通过撤出现有市场或区域，或者通过出售、清算、剥离某个产品组合或业务，躲避风险。

2、接受风险。维持现有的风险水平。

不采取任何行动，将风险保持在现有水平。

根据市场情况许可等因素，对产品和效劳进行重新定价，从而补偿风险本钱。

通过合理设计的组合工具，抵消风险。

3、降低风险。利用政策或措施将风险降低到可接受的水平。方法有：

将金融资产、实物资产或信息资产分散放置在不同地方，以降低遭受灾难性损失的风险。

借助内部流程或行动，将不良事件发生的可能性降低到可接受的程度，以控制风险。

4、分担风险。将风险转移给资金雄厚的独立机构。

保险。在明确的风险战略的指导下，与资金雄厚的独立机构签订保险合同。

再保险。如有必要，可与其他保险公司签订合同，以减少投资风险。

转移风险。通过结盟或合资，投资于新市场或新产品，获取回报。

补偿风险。通过与资金雄厚的独立机构签订风险分担合同，补偿风险。

以目标设定为根底，企业在进行风险识别、风险分析之后，通过实施风险应对策略，排除了风险躲避、风险分担和风险承受，凸显了风险降低，需要采取相应的措施，将风险控制在可承受范围之内。

风险评估广泛存在于企业经营管理活动中，贯穿并表达于每一项应用指引，从而有效地解决了风险评估的操作性问题。因此，没有必要单独规定风险评估应用指引。

四、关于控制活动

控制活动是指结合具体业务和事项，运用相应的控制政策和程序，或称控制手段实施控制。

根本标准第二十八条规定，企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。

〔一〕不相容职务别离控制

根本标准第二十九条规定，不相容职务别离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的别离措施，形成各司其职、各负其责、相互制约的工作机制。不相容职务别离是企业内部控制根本的控制手段。

不相容职务是指那些不能由一个部门或人员兼任，否那么可能弄虚作假或易于掩盖其作弊行为的职务。

一般情况下，企业的经济业务活动通常可以划分为申请、审批、执行、记录四个步骤。如果每一个步骤都由相对独立的人员或部门分别实施或执行，就能够保证不相容职务的别离。

做到不相容职务的别离，应当考虑以下几个方面：

一是每类经济业务的发生与完成，不管是简单还是复杂，必须经过两个或两个以上的部门或人员，并保证业务循环中的有关部门和有关人员之间进行检查与核对；

二是权力与职责应当明确地授予具体的部门和人员；

三是对于重要权力的行使必须接受定期独立的检查等。

对于企业重大的业务和事项，要求实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。至于对重大的业务和事项的判定，需要企业根据本企业的经济业务情况具体确定。

〔三〕会计系统控制

根本标准第三十一条规定，会计系统控制要求企业严格执行国家统一的会计准那么制度，加强会计根底工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。

会计系统控制主要是对企业发生的经济业务事项进行确认、计量和报告过程所实施的控制。

根本标准第三十一条第二、三款对会计机构和会计人员作出规定，企业应当依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。

大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职权重叠的副职。

〔四〕财产保护控制

保证资产平安是根本标准规定的内控目标之一。

财产记录控制是指应当妥善保管涉及资产的各种文件资料，防止记录受损、被盗、被毁。

实物保管控制主要是限制接近控制和财产保险控制。

财产保险控制主要是运用财产投保〔如火灾险、盗窃险等〕，降低财产运行风险，确保财产平安。

定期盘点是指定期对实物资产进行盘点，并将盘点结果与会计记录进行比拟。企业应当建立盘点制度，明确盘点流程和责任人，确保财产平安。定期盘点控制一般包括：

〔1〕定期与会计记录核对。实物资产盘点与会计记录核对一致在很大程度上保证了资产的平安。

〔2〕进行差异调查和调整。实物盘点结果与有关记录之间的差异应由独立于保管和记录职务的人员进行调查。

〔五〕预算控制

根本标准第三十三条规定，预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，标准预算的编制、审定、下达和执行程序，强化预算约束。

1.设置预算管理委员会——内部控制机构

预算管理委员会，其成员由各重要职能部门经理组成，并吸收高层管理人员以及董事会、监事会成员组成主席团，主席团根据企业的战略目标制定最终的预算。各部门对部门预算负责，管理层对企业总体预算负责，分别形成管理层与各部门的考核标准。

2.确定预算目标——内部控制的直接目标

预算目标是企业战略的具体表达，它可以是财务指标，如净资产收益率、经济增加值；也可以是财务指标和非财务指标的结合。不同的预算目标反映了不同的企业价值取向。

3.预算的编制与实施——事前内部控制

预算编制是预算目标的具体落实，即将其分解为责任目标下达给各子公司的过程。预算的编制应以企业的预算目标为根底，尽量做到全面、系统、完整。凡与企业经营目标有关的经济业务和事项，均应通过预算加以反映，并要注意各项预算之间的协调平衡。

4.预算的执行与监控——事中内部控制

预算的控制作用主要表达在以下两个方面：①运用预算指标对各项生产经营活动进行日常控制，保证一切活动严格按预算执行；②环境等因素的变化使得原有的预算失去存在根底时所进行的预算调整。预算编制好以后，在企业内部就具备了“法律效力〞，企业的各项经营活动都应根据预算进行。同时，预算执行过程中还应做好预算执行情况的记录，进行有关预算信息的收集与反响。

5.预算的修订与考评——内部控制绩效的评价

为了保证预算的科学性和适用性，必须建立合理的预算调节机制。一般将预算调整分为两类：目标调整和内部调整。对前者应规定严格的限制条件，除了突发的特殊事项需要进行调整以外，一般每年只调整一次；后者属于企业内部资源的调整，并不影响企业的经营目标，调整频率可以适当增减。

在考核时，企业应适应员工不同层次的要求，采用多元化的奖惩方式，采用动态评价模式，这样做可以使之成为全体员工创造价值增值的动力。

〔六〕运营分析控制

根本标准第三十四条规定，运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、比照分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

1.分析对象

应包括营运能力、偿债能力、盈利能力、筹资能力等。

2.信息收集

3.分析方法

企业应选择适当的方法对信息加以分析，全面系统地评价企业的运营状况。常见的分析方法有因素分析法、比照分析法、比率分析法、趋势分析法等。

〔七〕绩效考评控制

根本标准第三十五条规定，绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

企业应建立一个有效的绩效评估体系，该绩效评估体系应当表达：

一是与企业战略目标的一致性。

二是目标的明确性。

三是可接受性，使得绩效考评系统能够被员工接受，同时公平地对待每一位员工。

四是考评结果要与被考评者的奖惩相挂钩，定期发布考评通报，考评结果要与员工的薪酬、职务晋升、评优、降级、调岗、辞退等相挂钩，树立正确的用人导向。

〔八〕重大风险预警和突发事件应急处理机制

根本标准第三十七条规定，企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制订应急预案、明确责任人员、标准处置程序，确保突发事件得到及时妥善处理。

1.重大风险预警机制

重大风险往往影响到企业的生存和开展。对于可能影响经营活动的重大风险，应该建立预警机制。

2.突发事件应急处理机制

突发事件是指突然发生，造成或者可能造成重大人员伤亡，财产损失，危及企业生产经营的紧急事件。

突发事件的应急处理是指发生有关事件后，企业内部的责任人员能够迅速作出反响并采取有效措施降低事件可能造成的损失和影响。

五、关于信息与沟通

〔一〕信息与沟通的根本要求

根本标准第三十九条规定，企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。

第一，信息的内容是恰当的；

第二，企业各级管理人员能够及时获取所需的各种内外部信息；

第三，向不同级别的管理人员汇报详细程度不同的信息；

第四，信息是的和容易获取的。

信息收集的内容包括内部信息和外部信息。

根本标准第三十九条第二款规定，企业内部可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。企业外部可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

信息的质量是影响企业管理决策科学性和正确性的重要因素。信息加工是对所收集的零散的、非系统的必须信息进行必要的筛选、整理和加工，确保信息的有用性。

〔二〕充分发挥信息技术在信息与沟通中的重要作用

根本标准第四十一条规定，企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。

〔三〕反舞弊

根本标准第四十二条规定，企业应当建立反舞弊机制，坚持惩防并举、重在预防的原那么，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，标准舞弊案件的举报、调查、处理、报告和补救程序。

1.明确反舞弊工作的责任归属

2.明确反舞弊工作的重点领域

3.标准舞弊案件的举报、调查和报告程序

企业应当书面记录舞弊案件举报的主要内容，以供管理层、董事会及其审计委员会检查。

涉及管理层的举报案件，应当报公司董事会及其审计委员会批准后，再进行有关调查。对于实名举报案件，无论是否立项调查，企业都应当向举报人反响调查结果。

有关舞弊案件的调查结果和反舞弊常设机构的工作报告应当及时向管理层、董事会及其审计委员会报告。

4.舞弊的补救措施和处分

根本标准第四十三条规定，企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。

〔1〕举报投诉制度

举报投诉制度是指企业内部建立的、鼓励员工对企业内部各类违法或不当行为进行举报，并由专门机构对举报投诉内容进行调查处理的一系列政策、程序和方法。

〔2〕举报人保护制度

企业应当建立举报人保护制度，采取严密的事前、事中、事后保护措施，防止出现打击报复，造成举报人受到人身伤害、名誉损害或各种损失。

六、关于内部监督

内部监督是企业内部控制得以有效实施的机制保障，在内部控制构成要素中，具有十分重要的作用。需要说明的是，受本钱效益原那么影响，内部监督只能对内部控制有效性的合理结论提供支持。

内部监督与内部控制其他要素相互联系、互为补充，共同促进企业实现控制目标。

第一，内部监督以内部环境为根底，并与内部环境有极强的互动关系。

第二，内部监督与风险评估、控制活动形成了三位一体的闭环控制系统。

第三，内部监督离不开信息与沟通的支持。

〔一〕内部监督的机构及职责

按照监督主体的职责和性质，内部监督机构分为：

1.专职的内部监督机构

2.其他机构的监督职责

〔二〕内部监督程序

内部监督的程序一般为：

1.建立健全内部监督制度。

2.实施监督，预防和发现内部控制缺陷。对内部控制建立与实施情况进行监督检查，最直接的动机是查找出企业内部控制存在的问题和薄弱环节。

4.对内部控制缺陷的整改。

〔三〕内部监督的方法

根本标准将内部监督分为日常监督和专项监督。

1.日常监督

日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。实务中，按照监督的主体，一般分为管理层监督、单位〔机构〕监督、内部控制机构监督、内部审计监督等。

〔1〕管理层监督

董事会召开董事会议或专业委员会会议，获取来自经理层的风险评估与控制活动信息。

经理层召开经理办公会、生产例会、经济活动分析例会等，收集、汇总内部各机构的经营管理信息，持续监督内部各机构的工作进展、风险评估和控制情况。

〔2〕单位〔机构〕监督

企业所属单位及内部各机构召开部门例会或运营分析会等，聚集来自本单位〔机构〕内外部的有关信息，分析并报告存在的问题，对日常经营管理活动进行监控。

企业所属单位及内部各机构对内部控制设计与运行情况开展自我测评，至少每年检查一次。

〔3〕内部控制机构监督

有条件的企业，应当设置专门的内控机构。

内部控制机构还可以通过控制自我评估的方法，召集有关管理层和员工就企业内控制度设计和执行中存在的特定问题进行面谈和讨论，同时可以通过开展问卷调查和管理结果分析等方式进行监督测试。

〔4〕内部审计监督

制定内部审计方案，定期组织生产经营审计、内部控制专项审计和专项调查等，并向董事会或经理层提出管理建议。

内部审计机构对审计中发现的违反国家法律法规和企业章程规定的事项提出审计建议，作出审计决定，并对审计建议和审计决定的落实情况进行跟踪监督。

2.专项监督

根据根本标准第四十四条第二款规定，专项监督是指在企业开展战略、组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化的情况下，对内部控制的某一或某些方面进行有针对性的监督检查。

专项监督的范围和频率取决于以下因素：

一是风险评估的结果。

二是变化发生的性质和程度。

三是日常监督的有效性。

专项监督一般包括三个阶段：

一是方案阶段，主要任务包括规定监督的目标和范围；

二是执行阶段，主要任务包括获得对业务单元或业务流程活动的了解；

三是报告和纠正措施阶段。

〔四〕内部监督的要求

1.对监督人员的要求

负责监督的人员应具有胜任能力和客观性。一般而言，客观性依自我监督、同级监督、上级监督和完全独立监督而逐级增强。

2.监督应考虑的控制和信息的适当、充足程度

企业应根据风险评估，识别内部控制中的关键控制，收集判断内部控制有效性的有说服力的信息，从而进一步明确监督程序，以及需执行的频率。

信息的可靠性是指信息应当是准确的、可验证的、客观的〔即无偏见信息的程度〕。

信息的充分性是指针对某一控制点的业务记录中，有多少样本纳入了监督测试的范围。

〔五〕内部控制缺陷及自我评价报告

1.内部控制缺陷

所谓内部控制缺陷，是指内部控制的设计存在漏洞，不能有效防范错误与舞弊，或者内部控制的运行存在弱点和偏差，不能及时发现并纠正错误与舞弊的情况。根据根本标准第四十五条规定，内部控制缺陷包括设计缺陷和运行缺陷。

设计缺陷是指企业缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。

企业应当根据根本标准第四十五条规定，制定内部控制缺陷认定标准，从定性和定量等方面进行衡量，判断是否构成设计缺陷或运行缺陷，以及缺陷是属于一般缺陷、重要缺陷还是重大缺陷。

重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标；

重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标；

一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

内部监督中发现的重大缺陷，应当追究责任单位或责任人的责任。

企业应对发现的内部控制缺陷拟定整改工作方案，明确整改的目标、内容、程序、方法和时限要求，并跟踪其实施情况。

2.自我评价报告

根本标准第四十六条规定，企业应当结合内部监督情况，当期〔一般于年度终了〕对内部控制的有效性进行自我评价，出具或披露年度自我评价报告。

〔六〕内部控制文档记录与保管

1.内部环境文档，一般包括组织结构图、权限体系表、岗位职责说明、员工守那么、董事会和监事会成员履历、开展战略规划、企业文化手册、人力资源政策等。

2.风险评估文档，一般包括风险评估流程、风险评估过程记录、风险评估报告、风险矩阵等。

3.控制活动文档，一般包括系列应用指引中的各项流程控制文档，具体由企业经营活动实际情况确定。

4.信息与沟通文档，一般包括客户调查问卷、财务报告、经营分析报告、董事会及专业委员会会议、经理办公会议、财务例会等重要会议纪要、举报投诉记录等。

5.内部监督文档，一般包括往来款项询证函、资产盘点报告、审计方案、审计工程方案、年度内部审计工作总结、审计报告、审计意见书、审计决定书、整改情况说明材料、员工合理化建议记录、专项监督实施方案和过程记录、专项监督报告、内部控制自我监督检查及测试记录、内部控制自我评价报告等。

七、关于附那么

一、建立和完善组织架构的意义

第一，建立和完善组织架构可以促进企业建立现代企业制度。

第二，建立和完善组织架构可以有效防范和化解各种舞弊风险。

第三，建立和完善组织架构可以为强化企业内部控制建设提供重要支撑。

二、组织架构指引的主要内容

〔一〕组织架构的本质

关于组织架构的本质，可从治理结构和内部机构两个层面理解。

内部机构那么是企业内部机构层面的组织架构。它是指企业根据业务开展需要，分别设置不同层次的管理人员及其由各专业人员组成的管理团队，针对各项业务功能行使决策、方案、执行、监督、评价的权力并承当相应的义务，从而为业务顺利开展进而实现企业开展战略提供组织机构的支撑平台。企业应当根据开展战略、业务需要和控制要求，选择适合本企业的内部组织机构类型。

治理结构与内部机构之间既有联系又有区别。

〔二〕组织架构设计和运行中的主要风险

关于组织架构设计和运行中的主要风险，组织架构指引分别从治理结构和内部机构两个角度作了描述。

1.从治理结构层面看，主要风险在于：治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现开展战略。

具体表现为：

第一，股东大会是否标准而有效地召开，股东是否可以通过股东大会行使自己的权利；

第二，企业与控股股东是否在资产、财务、人员方面实现相互独立，企业与控股股东的关联交易是否贯彻平等、公开、自愿的原那么；

第四，企业是否对中小股东权益采取了必要的保护措施，使中小股东能够和大股东同等条件参加股东大会，获得与大股东一致的信息，并行使相应的权利；

第五，董事会是否独立于经理层和大股东，董事会及其审计委员会中是否有适当数量的独立董事存在且能有效发挥作用；

第七，董事会是否能够保证企业建立并实施有效的内部控制，审批企业开展战略和重大决策并定期检查、评价其执行情况，明确设立企业可接受的风险承受度，并催促经理层对内部控制有效性进行监督和评价；

第九，监事会是否能够标准而有效地运行，监督董事会、经理层正确履行职责并纠正损害企业利益的行为；

第十，对经理层的权力是否存在必要的监督和约束机制。

【例1】为符合上市要求和监管规定，某公司在形式上建立了董事会、监事会，聘任了总经理班子。但其董事长由集团公司法人兼任，是典型的“控股股东当家〞。该公司的11名董事中，有9名来自大股东和公司内部，经理层人员普遍兼任董事会成员，形成事实上的“内部人控制〞。董事会和经理层片面追求规模与业绩的扩张，对科学决策和资金运作中的“业务流程控制〞既不明白也不重视，更不愿实施，最终该公司因经营失败和会计造假被取消上市资格。

2.从内部机构层面看，主要风险在于：内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮、运行效率低下。

第一，企业内部组织机构是否考虑经营业务的性质，按照适当集中或分散的管理方式设置；

第二，企业是否对内部组织机构设置、各职能部门的职责权限、组织的运行流程等有明确的书面说明和规定，是否存在关键职能缺位或职能交叉的现象；

第三，企业内部组织机构是否支持开展战略的实施，并根据环境变化及时作出调整；

第四，企业内部组织机构的设计与运行是否适应信息沟通的要求，有利于信息的上传、下达和在各层级、各业务活动间的传递，有利于为员工提供履行职权所需的信息；

第五，关键岗位员工是否对自身权责有明确的认识，有足够的胜任能力去履行权责，是否建立了关键岗位员工轮换制度和强制休假制度；

第七，企业是否对岗位职责进行了恰当的描述和说明，是否存在不相容职务未别离的情况；

第八，企业是否对权限的设置和履行情况进行了审核和监督，对于越权或权限缺位的行为是否及时予以纠正和处理。

三、组织架构的设计

〔一〕组织架构设计的一般原那么

至少应当遵循以下原那么：一要依据法律法规；二要有助于实现开展战略；三要符合管理控制要求；四要能够适应内外环境变化。

1.符合法律法规要求。治理结构的设计必须遵循中华人民共和国公司法等法律法规的要求

2.符合开展战略要求。组织架构设计应当以企业开展目标和战略规划为中心和出发点，有利于企业形成核心竞争力。

3.符合管理控制要求。组织架构的设计应当考虑企业内部控制的需要。

4.符合内外环境要求。组织架构设计应当与企业的市场环境、行业特征、经营规模等相适应。

〔二〕治理结构的设计

1.治理结构设计的一般要求

企业治理结构的设计必须符合公司法及其他有关法律法规的要求，一般涉及股东〔大〕会、董事会、监事会和经理层。

股东〔大〕会是股东按照法定的方法和程序，决定投资方案、经营方针、选举和更换董事与监事并决定其报酬等重大事项的权力机构。

董事会是企业最高决策机构，接受股东〔大〕会委托，负责企业开展战略和资产经营，并在必要时撤换不称职的经理人员。

监事会是股东〔大〕会领导下的专司监督的机构，与董事会并立，依法监督企业董事、经理和其他高级管理人员履职情况。

经理层包括经理和其他高级管理人员，由董事会委任，具体负责企业生产经营管理工作。

从内部控制建设角度看，新设企业或转制企业如果一开始就在治理结构设计方面存在缺陷，必然会对其后的长远开展造成严重损害。

2.上市公司治理结构设计的特殊要求

上市公司具有重大公众利益，须对投资者和社会公众负责，为此，上市公司治理结构的设计，应当充分反映“公众性〞特点。其特殊之处主要表现在：

一是独立董事制度。

二是董事会专业委员会。

上市公司董事会应当根据治理需要，按照股东大会的有关决议设立战略决策、审计、提名、薪酬与考核等专门委员会。

其中，战略决策委员会主要负责制定公司长期开展战略，监督、核实公司重大投资决策等；

审计委员会主要负责检查公司会计政策、财务状况和财务报告程序，与公司外部审计机构进行交流，对内部审计人员及其工作进行考核，对公司的内部控制进行考核，检查、监督公司存在或潜在的各种风险，检查公司遵守法律、法规的情况等；

提名委员会主要负责分析董事会构成情况，明确对董事的要求，制定董事选择的标准和程序，广泛搜寻合格的董事候选人，对股东、监事会提名的董事候选人进行形式审核，确定董事候选人提交股东大会表决等；

薪酬与考核委员会主要负责制定董事、监事与高级管理人员考核的标准并进行考核，负责制定、审查董事、监事、高级管理人员的薪酬政策与方案等。

上述董事会各专业委员会，审计委员会、薪酬与考核委员会中独立董事应当占多数并担任负责人，审计委员会中至少还应有一名独立董事是会计专业人士。

【例3】某公司具备较为丰富的海外上市经验，并在多年的经营管理实践中逐步建立了一套完善的审计委员会制度，实施效果较好。该公司的审计委员会制度由五局部组成。

第一，关于设立。该公司早在上市之初即决定在董事会下设立独立的审计委员会。

第二，关于资格。审计委员会成员由董事会从独立董事中任命，至少由3人组成。审计委员会主席由董事会直接任命，董事会秘书出任审计委员会秘书。

第三，关于会议。审计委员会会议每年应至少召开2次。如外部审计人员认为必要，也可提议召开审计委员会会议。财务董事、内部审计负责人，以及外部审计代表应当出席审计委员会会议。其他董事会成员也有出席的权利。审计委员会与外部审计人员应当在执行董事不在场的情况下至少每年会谈1次。

自从该公司审计委员会成立，并在内部控制建立与实施方面有效履行职责以来，注册会计师对该公司的年度财务报告连续出具标准无保存意见，市场也从未发生质疑。

三是董事会秘书。

上市公司应当设董事会秘书，及由其负责管理的信息披露事务部门〔即董秘办〕。董事会秘书为上市公司高级管理人员，对上市公司和董事会负责，由董事长提名，董事会任免。

3.国有独资公司治理结构设计的特殊要求

国有独资公司是我国在利用公司制对国有企业进行制度创新过程中产生的，是我国社会主义市场经济体制中较为独特的一类企业群体，为此，其治理结构的设计应充分反映自身的特色。其特殊之处主要表现在：

第二，国有独资公司董事会成员中应当包含职工代表。国有独资公司董事长、副董事长由国有资产监督管理机构从董事会成员中指定产生。

第三，国有独资公司监事会成员不得少于五人，其中职工代表的比例不得低于三分之一。

第四，外部董事由国有资产监督管理机构提名推荐，由任职公司以外的人员担任。

〔三〕内部机构的设计

内部机构的设计是组织架构设计的重要环节。只有切合企业经营业务特点和内部控制要求的内部机构，才能为企业实现开展战略提供积极的保障。具体包括：职能机构的设置、岗位职责的划分、权限体系的分配等。

1.职能机构的设置

常见的职能机构包括：规划、设计、采购、生产、销售、会计、审计、人事、法律、后勤等。

一般而言，内部职能机构的设置不宜过于复杂，相同或类似的职能应该由同一机构负责，从而有利于业务的开展、信息的沟通和权力的制衡；但对于不相容职能，必须严格设置不同的内部职能机构。

2.岗位职责的划分

企业应当对内部各职能机构的职责进行科学合理的分解，确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系。企业在确定职权和岗位分工过程中，应当着重表达不相容职务相互别离的控制要求。

所谓不相容职务，是指如果某一职务完全由一名员工担任，很可能为该员工实施舞弊行为提供便利，并且不利于外部及时发现这些舞弊。

3.权限体系的分配

〔四〕对“三重一大〞的特殊考虑

“三重一大〞问题，即“重大决策、重大事项、重要人事任免及大额资金支付业务〞问题。为此，组织架构指引明确要求，企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，必须按照规定的权限和程序实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策意见。

一般而言，“三重一大〞事项应当包括以下内容：

第一，重大决策，一般包括企业的开展方向、经营方针，中长期开展规划等重大战略管理事项；资产损失核销、重大资产处置、利润分配和弥补亏损、增加和减少注册资本；年度生产经营方案、企业年度工作报告，财务预算、决算，从事高风险经营，以及内部机构设置、职能调整等重大生产经营管理事项；企业改制重组、兼并、破产、合并、分立、解散或者变更公司，国〔境〕外注册公司、投资参股、重大收购或购置上市公司股票；企业薪酬分配，以及涉及职工重大切身利益等重大利益调配事项；需要提交股东会、董事会审议决定的事项；有关企业全局性、方向性、战略性的其他重大事项。

第二，重大事项，一般包括年度投资方案和融资、担保工程；方案外追加投资工程；重大、关键性的设备引进和重要物资设备购置等重大招投标管理工程；重大工程承发包工程，以及其他重大工程的安排。

第四，大额资金使用，一般包括年度方案的大额度资金使用；较大额度预算外资金使用；较大额度的非生产性资金使用，以及重大捐赠、赞助；其他大额度资金使用。

四、组织架构的运行

组织架构的运行是指企业治理结构和内部机构按照既定的设计方案，行使各自权力和履行相应责任的动态过程。对组织架构运行的控制具体包括：组织架构的全面梳理和组织架构的评估调整。

〔一〕组织架构的全面梳理

对组织架构运行的控制，首先涉及对新设企业和存续企业治理结构与内部机构的全面梳理。为此，组织架构指引明确提出，企业应当根据组织架构的设计标准，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。

1.治理结构的梳理

2.内部机构的梳理

〔1〕内部机构设置的合理性

〔2〕内部机构运行的高效性

第一，职责分工的效率。

第二，权力制衡的效率。

第三，信息沟通的效率。

3.对母子公司组织架构梳理的特殊要求

〔二〕组织架构的评估调整

企业在对治理结构和内部机构进行全面梳理的根底上，还应当定期对组织架构设计和运行的效率与效果进行综合评价，其目的在于发现可能存在的缺陷，及时优化调整，使公司的组织架构始终处于高效运行状态。

常见的组织架构调整包括以下形式：

一是股权结构调整。

二是治理结构调整。

三是内部机构调整。什么都可以出错，战略不能出错；什么都可以失败，战略不能失败。

企业内部控制应用指引第2号——开展战略说明了制定和实施开展战略的重要意义，明确了战略管理的流程和主要风险点，制定了战略分析、制定、实施、监控与调整各环节的控制措施，旨在防范和控制企业开展战略制定与实施中的重要风险，提高企业核心竞争力，推动企业健康可持续开展。

一、制定和实施开展战略的必要性

开展战略，是指企业在对现实状况和未来趋势进行综合分析和科学预测的根底上，制定并实施的中长期开展目标与战略规划。企业制定和实施开展战略，具有十分重要的意义。

第一，开展战略可以为企业找准市场定位。市场定位就是要在剧烈的市场竞争环境中找准位置。从这个角度讲，制定开展战略，就是为企业进行市场定位。