一、内部控制的目标、原则与要素（P84）（比较粗的谈企业内部控制）1、内部控制目标（P84）：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

2、内部控制原则（P84）：1、全面性原则：贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项，实现全过程、全员性控制，不存在内部控制空白点。

2、重要性原则：在兼顾全面的基础上，关注重要业务事项和高风险领域，并采取更为严格的控制措施，确保不存在重大缺陷。

3、制衡性原则：应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制，同时坚固运营效率。

（它要求企业完成某项工作必须经过互不隶属的两个基本点或两个以上的岗位和环节；同时，还要求旅行内部控制监督职责的机构或人员具有良好的独立性）4、适应性原则：应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化加以调整。

（要求企业建立与实施内部控制应当具有前瞻性，适时地对内部控制系统进行评估，发现可能存在的问题，并及时采取措施不救）5、成本效益原则：应当权衡实施成本与预期效益，以适当的成本实现有效控制。

（要求企业内部控制建设必须统筹考虑投入成本和铲除效益之比）3、内部控制要素（P85）：1、内部控制环境：内部控制环境规定企业的纪律与架构，影响经营管理目标的制定，塑造企业文化分为并影响员工的控制意识，是企业建立与实施内部控制的基础。

主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

1、治理结构：企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确董事会、监事会和经理层在决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

2、机构设置及权责分配：企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。

（组织结构应当有利于提升管理效能，保证信息通畅流动）3、内部审计机制：应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。

4、人力资源政策：人力资源政策应当有利于企业可持续发展，一般包括。

企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。

5、企业文化：董事、监事、经理及其他高级管理人员在塑造良好的企业文化中发挥关键作用。

2、风险评估（P86）：是企业及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略，实施内部控制的重要环节。

主要包括目标设定、风险识别、风险分析和风险应对。

1、目标设定：企业必须制定与生产、销售、财务等业务相关的目标，设立辨认、分析和关系相关风险的机制，以了解企业所面临的来自内部和外部的各种不同风险。

2、风险识别：不仅要识别内部风险，还要识别与控制目标相关的各类外部风险。

（企业识别内部风险，一般关注。

方面，识别外部风险一般关注。

方面）3、风险分析：分析不采取任何防范措施可能造成的损失程度，同时，重点分析剩余风险，即采取了相应应对措施后仍可能造成的损失程度。

定性定量方法相结合，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和有限控制的风险。

4、风险应对：风险应对策略需结合应用，风险策略常用的有风险规避、风险降低、风险分但。

营业应合理分析和掌握董事、经理及其他高级管理人员、关键党委员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。

3、控制活动（P86）：控制活动是指企业根据风险应对策略，采用响应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。

常见的控制措施有：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

1、不相容职务分离控制：不相容职务指那些如果由一个人担任既可能发生措施和舞弊行为，又可能掩盖其错误和舞弊行为的职务。

不相容职务一般包括授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等。

不相容职务分离的核心是“内部牵制”。

使不相容岗位和职务之间能够相互监督、相互制约。

2、授权审批控制：通常有常规授权和特别授权之分。

企业必须建立授权审批体系，编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。

对于重大的业务和事项，企业应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或擅自改变集体决策。

3、会计系统控制：通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等而进行的控制。

4、财产保护控制（P87）：财产登记与实物盘点、定期盘点和账实核对、限制接近。

5、预算控制（P88）：就是说要编制预算。

事后结合预算进行评价。

6、运营分析控制：运营分析控制要求企业建立运营情况分析制度，综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方面，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

7、绩效考评控制：就是考评具体应该怎么做，或者步骤有哪些。

（P88）8、企业需建立重大风险预警机制和突发时间应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案，明确责任人员、规范处理程序，确保突发事件得到及时妥善处理。

4、信息与沟通（P88）：信息与沟通的要件主要包括：信息质量、沟通制度、信息系统、反舞弊机制。

1、信息质量：日常生产经营需要收集各种内部信息和外部新，并对这些信息进行合理筛选、核对、整合，提高信息的有用性。

（企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；还可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。

2、沟通制度：企业应当建立信息沟通制度，将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。

重要信息须及传递给董事会、监事会和经理层。

3、信息系统：企业可以运用信息技术加强内部控制。

4、反舞弊机制：企业应当建立反舞弊机制，坚持惩防并举、重在预防的远在，明确反无比工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和不救程序。

反舞弊工作的重点包括：（P89）5、内部监督：包括时常监督和专项监督。

1、日常监督：指企业对建立与实施内部控制的情况进行常规、持续的监督检查。

常见方式包括：1、在日常生产工具经营活动中获得能够判断内部控制设计与运行情况的信息；1、在与外部有关方面沟通过程中获得有关内部控制设计与运行情况的严正信息；3、在与员工沟通过程中获得内部控制是否有效执行的证据；4、通过账面记录与实物资产的检查比较对资产的安全性进行持续监督；5、通过内部审计活动对内部控制有效性进行持续监督。

2、专项监督：专项监督应当与日常监督有机结合，日常监督是专项监督的基础，专项监督是补充，如果发现某专项监督需要经常性地尽心，企业有必要将其纳入日常监督之中。

日常监督和专项监督情况应当形成书面报告，并在报告中揭示存在的内部控制缺陷。

内部监督形成的报告应当有畅通的报告渠道，确保发现的重要问题能及时送达至治理层和经理层；同时，应当建立内部控制缺陷纠正、改进机制，充分发挥内部监督效力。

企业应当在日常监督和专项监督的基础上，定期对内部控制的有效性进行自我评价，出具自我评价报告。

4、内部控制的组织实施（P90）1、企业内部控制的组织形式：内部控制建设是一项系统工程，需要企业董事会、监事会、经理层及内部各只能部门共同参与并承担响应的职责。

1、董事会：对内部控制的建立健全和有效实施负责，定期召开董事会议，商讨内部控制建设中的重大问题并作出决定。

具体包括（P90）。

2、审计委员会：是董事会下设的专业委员会。

要求审计委员会负责人及其成员必须具备响应的独立性、良好的职业操守和专业胜任能力。

职责主要包括：审查企业内部控制的设计；监督内部控制有效实施；领导开展内部控制自我评价；与中介机构就内部控制审计和其他相关事宜尽心沟通协调等。

3、监事会：对董事会建立与实施内部控制进行监督。

（监事会主席及其成员应当定期参加董事会及其审计委员会召开的涉及内部控制的会议，如对董事会及其审计委员会有关内部控制的决策持有异议，或认为董事会和经理层成员存在舞弊行为，还可提议召开独立的监事会议）4、经理层：负责组织领导企业内部控制的日常运行。

（职责主要包括：贯彻董事会及其审计委员会对内部控制的决策意见；为其他高级管理人员提供内部控制方面的领导和指引；定期与采购、生产、营销、财务、人事等主要只能部门和业务单位的负责人进行会谈，对他们控制风险的措施及效果进行独到和核查等）5、内部控制部门：可以根据需要成立专门的内部控制工作团队，以项目组的形式运作；也可以成立内部控制专职机构（或岗位），专门负责内部控制在企业内部各部门间的组织协调和日常性事务工作。

6、财会部门：要求财会部门不能将眼光仅仅局限于财务活动，而应贯穿企业经营管理的全过程，在制定发展战略、分析评估风险和作出决策等环节扮演好关键的助手句参谋角色。

（为此，企业经理层应当赋予财会部门负责人参与响应决策的权力，并支持和指导其关注经营管理的更广范畴）7、其他只能部门：企业内部各只能部门（或业务单位）及其全体员工都应当在建立与实施内部控制过程中承担相应职责并发挥积极作用。

2、内部控制的设计程序：就是内部控制具体设计（P91）。

3、内部控制的实施体系：（P92）二、企业层面控制（P92）（更具体的从组织结构方面谈企业内部控制）企业层面控制，指对企业控制目标的实现具有重大影响，与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。

1、组织架构控制：组织架构，是指企业按照估价有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

（说白了就是各个部门具体负责哪些内部控制）1、组织架构设计与运行中的主要风险（P92）2、组织架构设计环节的关键控制点及控制措施（P92）3、组织架构运行环节的关键控制点及控制措施（P93）2、发展战略控制1、发展战略制定与实施中的主要风险（P94）2、发展战略制定环节的关键控制点及控制措施（P94）3、发展战略实施环节的关键控制点及控制措施（P94）3、人力资源控制1、人力资源管理中的主要风险（P95）2、人力资源引进与开发环节的关键控制点及控制措施（P95）3、人力资源使用与推出环节的关键控制点及控制措施（P95）4、社会责任控制1、履行社会责任中的主要风险（P96）2、安全生产环节得的关键控制点及控制措施（P96）3、产品质量环节的关键控制点及控制措施（P97）4、环境保护与资源节约环节的关键控制点及控制措施（P97）5、促进就业与员工权益保护环节的关键控制点及控制措施（P97）5、企业文化控制1、企业文化建设中的主要风险（P98）2、企业文化培育环节的关键控制点及控制措施（P98）3、企业文化评估环节的关键控制点及控制措施（P99）三、业务层面控制（谈按业务分类的内部控制，更具体了）1、资金活动控制：企业应当科学确定投融资战略目标和规划，建立和完善严格的资金授权、批准、审验等相关管理制度，加强资金活动的集中归口管理，明确筹资、投资、营运等各环节的职责权限和防卫分离要求，定期或不定期检查和评价资金活动情况，落实责任追究制度，确保资金安全和有效运行。