内部控制培训讲义

一、做好内部控制的依据

做好内部控制的依据是国家相关法律、法规及规范性文件，内部控制相关理论性的知识很多，但都是参考性和指导性的，部门发布的规范性文件不但具有理论指导意义，还有约束性要求。认真学习理解以下规范性文件，对做好内部控制工作有重要意义。按照法规、文件工作办事，在我们国企是一个非常重要的工作方法，在座的各位都是国企的领导或骨干人员，在这方面的理解和体会肯定比我深得多，所以说，下面说的几个规范性文件的重要性我就不多说了，这些文件可以说是我们做好内部控制工作的法宝。

1、《企业内部控制基本规范》 （财会[2008]7号） 

2008年6月28日，财政部、、审计署、银监会、联合发布，自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。 

2、《企业内部控制配套指引》（财会[2010]11号）

2010年4月15日五部委联合发布《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。（这个是发文时通知的原文，目前实施范围不详）

3、《小企业内部控制规范(试行)》 （财会[ 2017] 21号）　 

2017年6月29日财政部发布，自2018年1月1日起小企业参照执行 

4、《行政事业单位内部控制规范（试行）》（财会〔2012〕21号）

2012年11月29日财政部发布，自2014年1月1日起在国家机关、事业单位施行。 

上述四个文件，分别规范了上市公司及大中型企业、小企业、国家机关及事业单位的内部控制工作。前两个文件是重点学习内容，学会了，理解透了，对做好企业内部控制工作很有帮助，后两个文件相对简单，容易学习，只要前面两个文件学会了，后面两个文件可以轻松理解。

今天主要和大家探讨学习前面两个文件，即《企业内部控制基本规范》及其配套指引，通过对这两个文件主要内容的解读，结合我们企业的具体情况，探讨一下如何做好内部控制工作。

二、企业内部控制基本规范及其配套指引

   什么是内部控制？内部控制的目标是什么？内部控制的五个原则？这些内容今天就不讨论了，过于理论化，不容易记忆，如果有参加高级会计师考试的，要熟悉一下在书上的位置，考试时能快速翻到那一页。这是高会考试的一个考点，经常会考个一分题。强调一点，内部控制的目标不是仅仅防止差错和舞弊，好多人都认为内部控制是为了防范风险，降低工作中出现差错，防止舞弊，但是《基本规范》中明确了“内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略”，所以说内部控制的范围很广，涵盖了公司的整体方面，也就是五要素（内部环境、风险评估、控制活动、信息与沟通、内部监督）

内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

实施内部控制，应当遵循下列原则：全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则。

 下面重点讲一下内部控制五要素，《企业内部控制基本规范》一共七章，第一章总则，第七章附则，中间五章分别是内部控制五要素。《企业内部控制基本规范配套指引》共有三个指引，第一个是《企业内部控制应用指引》，一共18个（1-18号），主要指导规范实施前4个内控要素、第二个是《企业内部控制评价指引》，主要是指导规范实施第五个要素，第三个是《企业内部控制审计指引》，主要是规范注册会计师对企业内部控制进行审计的。这五个要素都很重要（财政部联合四部委发布的文件，应该是每句话都很重要），但是，如果要划重点的话，我个人认为前三个比较重要。下面先和大家共同探讨一下第一个要素：

三、内部环境

（一）概念

内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源、企业文化等。

（二）治理结构

企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

 四个关键词：国家有关法律法规、企业章程、公司治理结构、议事规则

我理解的治理结构是两个方面的内容：第一，企业设立时要符合国家的有关法律法规，第二，依法设立后，企业章程、公司治理结构、议事规则要符合国家的有关法律法规。当然，章程是企业成立之前必须有的，这就要求制定企业章程时要符合相关法律法规。

1、依法设立：比如，有的企业设立登记之前，要取得前置许可；有的特殊行业设立要符合国家的相关文件的规定。

例一：创业投资企业的设立，国家联合9部委（共10部委联合）发布的《创业投资企业管理暂行办法》对创业投资企业的设立有特殊规定，一是要备案，工商登记后5日内要备案（在国家工商行政管理部门注册登记的创业投资企业，向管理部门申请备案。在省级及省级以下工商行政管理部门注册登记的创业投资企业，向所在地省级（含副省级城市）管理部门申请备案。），国家发展改革委《关于促进股权投资企业规范发展的通知》（发改办财金[2011]28号）文件规定：完成工商登记后的1个月内，申请到相应管理部门备案；二是经营范围有固定要求；三是对实收资本、出资方式、投资人数等都有要求。（实收资本不低于3000万元人民币，或者首期实收资本不低于1000万元人民币且全体投资者承诺在注册后的5年内补足不低于3000万元人民币实收资本。投资者不得超过200人。其中，以有限责任公司形式设立创业投资企业的，投资者人数不得超过50人。单个投资者对创业投资企业的投资不得低于100万元人民币。所有投资者应当以货币形式出资。）

例二：股权投资基金企业的设立：河南省（豫发改财金[2011] 1315号）文《关于促进我省股权投资基金业发展的通知》中对设立股权投资基金企业的要求：“一是股权投资基金企业注册资本不低于1亿元，首期缴付不少于5000万元，法律法规规定不能分期缴付的除外。投资者应以货币方式出资，单个投资者出资不低于500万元。二﹑是以股份有限公司形式设立的，发起人数不得少于2人、最高不得超过200人；以有限责任公司形式设立的，股东人数不得超过50人；以合伙制形式设立的，合伙人数不少于2人、最高不得超过50人”。

2、企业章程

企业章程要符合《公司法》、《合伙企业法》等法律法规及规范性文件的要求

例一：公司法中规定股东会行使职权的职权（11条），不能在章程中规定成董事会的职权，公司法中规定股东会对公司增加或者减少注册资本作出决议，不能在章程规定为董事会对公司增加或者减少注册资本作出决议；

例二：公司法中规定股东会会议作出修改公司章程、增加或者减少注册资本的决议，以及公司合并、分立、解散或者变更公司形式的决议，必须经代表三分之二以上表决权的股东通过，不能在章程中规定为经二分之一以上表决权的股东通过。

例三：公司法规定国有独资公司的合并、分立、解散、增加或者减少注册资本和发行公司债券，必须由国有资产监督管理机构决定，不能在章程中规定有董事会决定。

例四：合伙企业法规定有限合伙人不执行合伙事务，不得对外代表有限合伙企业。不能在合伙协议中约定有限合伙人执行合伙事务。

3、公司治理结构

也叫法人治理结构，是一个企业完整的组织架构体系，主要有：股东会、董事会、监事会、经理层、审计委员会、内部机构、内部审计机构等。

 公司治理机构必须完整，一般是股东会为最高权力机构，董事会为经营决策机构，经理层即总经理负责日常生产经营，审计委员会对董事会负责（不能是对总经理负责），内部机构即各职能部门，各企业类型不同设置的职能部门不同，内部审计机构对审计委员会负责（不能是对总经理负责）。

如果说一个企业的组织架构不完整，内部控制就是存在重大缺陷。上述组织架构中，最复杂的是内部机构的设置，其他都是规定好的，只有各职能部门因企业类型不同而设置不同，因此，这个环节也是最不容易做好的内部控制工作。机构设置及权责分配属于内部环境内容，但是另外两个因素密切相关（风险评估和控制活动），企业一般根据风险评估的结果采取相应的控制活动，控制活动就要求企业设置相应的职能部门，赋予其相应的职责权限进行控制。

例：企业如果不设立人资部（人事部等类似机构）的话，人员招聘、薪酬体系建设工作没有人负责，将会带来无人可用或人员流失的结果，势必使企业持续经营带来巨大风险，这就要求企业必须设立类似职能部门并赋予其相应权限，以控制相关风险。

因此，机构设置及权责分配内容将穿插在风险评估及控制活动内容中探讨。

 4、内部审计

   只有一句话：内部审计机构对审计委员会负责，不能是对总经理负责。内部审计机构要保持其性。

5、人力资源

《基本规范》中列举了五项，除最后一条兜底条款外都很重要。《控制应用指引第3号—人力资源》中对人力资源的管理控制描述的非常详细。主要看看企业的人力资源管理有没有以下管理制度且是否有效运行：

员工的聘用、培训、辞退与辞职、员工的薪酬、考核、晋升与奖惩、关键岗位员工的强制休假制度和定期岗位轮换制度、掌握国家秘密或重要商业秘密的员工离岗的性规定、员工退出机制，公司保密制度等。涉及到这一块业务的主要看《基本规范》第十六条和《控制应用指引第3号—人力资源》内容。

6、企业文化

 一句话，加分项。企业文化做得好，不但使员工有自豪感和归属感，增强企业凝聚力，还能提高企业形象。

四、风险评估

我理解基本规范中说的风险评估，应该是风险管理。

风险管理是一门系统的、成熟的理论，百度中风险管理的过程包括风险识别、风险估测、风险评价、选择风险管理技术和评估风险管理效果等。

我个人理解的比较简单，认为风险管理主要是风险识别、风险评估、风险应对、风险评价。

有句话叫“捣着瞎子摸电线”，不知道摸的是电线，这就可怕了（风险识别），因为电线是有可能带电的，会电死人的（风险评估），如果知道摸的是电线有可能电死人，采取一些措施，断开电源或拿个绝缘物体去接触（风险应对），摸完以后总结一下，我是先断开了电源才摸的，干得不错。（风险评价）

（一）风险识别

风险识别就是要意识到风险，如果不能识别风险，意识不到风险，就无从谈防范了。因为意识到风险，才会进行评估和应对，意识不到就等着风险发生了，完全看运气了。

例1：电动车充电，多层飞线充电和高层楼道充电，这些人分两种情况，一种人认为没有风险，很安全，一种人认为有危险，但小心点就没事了。第一种人就没有意识到风险，也就是说他对充电这个行为没有进行风险识别；第二种人进行了风险识别。

例2：有的公司财务部人员比较少，每个月的银行余额调节表都是有出纳自行编制，就是银行存款余额和财务账套余额的核对工作，有出纳编制有没有风险？这个就是风险识别，很显然，这个是有风险的，出纳如果舞弊就不能及时发现。

风险识别需要“敏感”，敏锐的嗅觉或者应有的谨慎或者高度的警惕。当然丰富的经验和知识也很重要，对某一行业不懂就无从谈起了。

例3：比如我们的股权基金企业找企业投资这个业务，大家肯定会一致认为有风险，这就是风险识别。但是，我们在设立、经营过程中有许多法律法规的约束，比如说公司法、合伙企业法、相关部门出台的规范性文件，如果我们没有去认真学习，应该就算没有进行风险识别，这些法规文件规定的非常详细，只有去学习了才可能具备风险识别的能力。不了解相关规定，就有可能给经营带来风险，比如河南省发布的《关于促进我省股权投资基金业发展的通知》，规定募集资本方式不能向不特定人群发布广告、举办研讨会，在商业银行、证券公司、信托投资公司等机构的柜台投放招股说明等，如果我们不知道这些规定，就有可能通过这些方式募集资本。再比如，规定不得向投资者承诺确保收回投资本金或获得固定回报，如果我们书面承诺投资人保本或固定回报，就会给企业经营带来合规经营风险。

（二）风险评估

风险评估包含两方面内容，一是进行评估，二是根据评估结果制定相应的应对策略

1、风险评估

识别风险后，就要对风险进行评估，以便于根据评估结果采取相应的应对措施。

例1：电动车充电的风险，经过评估，这个风险有，但是很低，如果采取措施得当是可以防范的，这就是对风险的一个评估结果，下来就是制定相应的应对策略，采取哪一种策略来应对这个风险。

例2：出纳编制银行余额调节表，经过评估，这是个家族企业，夫妻占股100%，出纳是老板娘，那舞弊的可能性就很小，风险可以忽略，可以不采取相应控制措施；如果是上市公司，不说舞弊了，岗位设置就违反了不相容业务规定，存在制度缺陷，这个风险就要采取相应措施进行纠正了。

例3：上面讲的股权基金募集资本的规定，文件规定不能做，如果这样做有可能被处以巨额罚款或吊销营业执照，这个风险就很大了。这种风险应对措施一般是风险规避，不做这些事（下面的应对策略会讲这些）

例4 ：股权基金找目标企业进行投资的风险，这个肯定很大，多数股权基金的理念是全面撒网，十个投资项目成功一个就挣钱了，说明啥，高风险高收益，风险肯定是高级别的（十个成一个，十分之一的成功率），我们就会评估出这个业务是个高风险业务。

2、风险应对策略

采取何种态度去应对风险，从风险管理理论来说就是风险应对策略，风险应对的策略有四种：风险规避、风险降低、风险分担和风险承受。也就是你准备应对风险的四种态度。

风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。也就是说做经过评估认为风险无法承受，放弃做这件事。

风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。也就是说做经过评估认为采取一些措施后，可以做这件事。

风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。也就是说找个合伙人共同做这件事，出事后让合伙人给自己分担部分损失。

风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。也就是说明知山有虎偏向虎山行，硬着头皮上，完全接受所带来的后果，当然，不是说这种风险应对策略不对，对于评估风险很小的事是完全可以采用这种策略的。

拿前面的几个例子解释一下：

例1 ：如摸电线，如果感觉风险太大不能做，坚决不去摸，这就是风险规避；如果感觉有风险，但是断开电源或者带个绝缘手套拿个老虎钳子之类的再去摸，这就是风险降低；如果怕电出毛病或丧命，可以要求让你去摸电线保证，电住了或电死了陪你多少钱，或者提前买个意外保险啥的，万一电住了可以赔钱，这就是风险分担；如果认为没事电不死直接上去就摸，这就是风险承受，完全接受徒手摸电线带来的后果。

例2 ：电动车充电的风险，应对方法有：一是坚决不飞线充电或楼道充电，二是充电过程中一直看着，灭火器放在随手可拿到的地方随时准备灭火；三是到物业的车子棚内充电；四是我就冲，我任性。

例3 ：股权基金募集资本违反规范性文件募集资本，这个风险很大，如果评估认为监管部门不会处罚，或者处罚很轻，与收到的处罚相比收益更大，就是风险承受策略，如果评估认为风险很大不能承受，不去做这件事，就是风险规避策略。

例4 ：股权基金找目标企业进行投资的风险，经评估这个业务风险很大（十分一的成功率），咋办？不做这件事吗？如果采取风险规避的策略，那成立股权基金的目的是什么呢？这个问题是这样的，如果评估做这行的风险很大，直接不干这行，这就叫风险规避；既然干这一行了，就是风险承受策略，准备决定接受干这行带来的风险，但可以通过采取必要的控制措施来降低做业务的风险，这又是风险降低策略。

重复一遍，在选择干不干这一行之前，风险应对策略可以是风险规避（不干），风险接受（干）；一旦我们注册了企业，对于找目标企业投资这个业务，就没有风险规避一说了，只有风险降低，风险分担、风险承受了。当然，最佳策略是风险降低策略，找人分担有难度，风险承受是不可取的，会导致破产清算的。

五、控制活动

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内

做内部控制最怕的是啥，是风险识别，不知道风险点最可怕。如果知道了风险点，相对来说好办多了，办法总比困难多。我们首先对识别出来的风险进行评估，根据评估结果制定相应的风险应对策略（就是前面讲的风险规避、风险降低、风险分担和风险承受）去应对风险，根据既定的策略采取的具体控制措施和手段，在这里就叫控制活动（我是这样理解的）

《基本规范》第二十原文“控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。”前面讲的两个要素（内部环境、风险评估）都是大的方面，好讲，企业基本都是通用的，这个不好讲，实践中更是不好执行，具体企业的控制措施，控制重点是不同的，并且差异很大。建议大家回头学习一下《基本规范》第四章控制活动，每句话都很重要。

这里先强调一个我认为比较重要的方面：授权审批制度：一是必须明确授权范围，不能谁想干啥就干啥？二是企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。当然，在我们国企里面，这个可能是执行的最好的，但这个是很多民营企业尤其是家族企业最需要重视的。

 举个例子，比如说施工企业的投标及签施工合同，这在施工企业里是非常重要的一项工作。投标时有谁来定投标金额及中标后签订合同中涉及企业重大利益的条款内容，可以是设置一个授权权限，授权级别可以是中层领导、主管副总、总经理。也可以是召开合同评审会议，集体决策。

再举个例子：报销费用，像餐费、出租车票、住宿等，有的企业是规定相应级别可以自主报销相应金额的费用，没有自主报销权限的事前必须报请领导审批，按照批准的限额报销。有的企业是不加控制只要贴票就可以报销。

最后再探讨一下从技术上如何进行控制活动，控制活动很多都是技术活，只有具备相应的专业能力才有可能做好控制活动。

例如，股权基金对目标企业进行尽职调查，进行哪些活动才能将风险控制到可承受的范围，如果采取的控制活动不到位，可能得出错误的风险评估结果。我个人认为，尽职调查要进行一下工作（包括但不限于）：

1、所处行业，是否朝阳产业或国家鼓励的行业，在行业中所处地位。

2、企业设立无瑕疵，股权明晰。

3、核实企业真实的经营效益：（1）现场核实近三年银行账户流水数据；（2）现场核实近三年纳税申报系统数据；（3）现场核实企业财务账套数据；（4）现场核实企业近三年签订购销合同原件，并事后抽查一定比例的销售客户和供应商了解购销情况；（5）现场观察企业生产情况和库存产成品、原材料情况。不能仅靠审计报告来评估企业的经营效益。

4、关联方情况：包括股东、母公司、子公司情况（企查查）。

5、企业及关联方涉诉情况。（相关网站，互联网）

6、实际控制人情况。

六、如何进行内部控制审计

内部审计就是内部控制五要素中的内部监督，包含两个方面：一是企业内部设立的审计机构对企业的内部控制有效性进行评价，一是集团公司审计机构对下属企业的内部控制有效性进行评价。这都属于内部监督的范畴也可以叫内部审计。外部审计一般指会计师事务所对企业的内部控制进行审计。

（一）内部控制审计的主要工作内容：

《企业内部控制评价指引》第五条中明确指出“企业应当根据 《企业内部控制基本规范》、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。”

第一，内部控制审计的范围是内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面，如果只对其中某一方面进行审计，内部控制审计工作就不完整了。

第二，针对这五个方面，有没有制定相应的管理制度、管理办法或业务流程，制定的管理制度、管理办法或业务流程有没有有效运行。

（二）内部环境审计

1、组织架构：

企业的设立是否合法合规，设立过程中有无瑕疵

 《企业章程》、《合伙协议》内容有无瑕疵（与法律法规有无冲突、与投资协议有无冲突）

  组织架构是否完整，部门设置是否合理

2、发展战略：企业有没有指定发展战略，制定的发展战略是否符合企业实际情况

3、人力资源：

是否有符合企业情况的薪酬体系，考勤制度

是否有关键重要岗位签订保密协议的制度

是否有员工培训制度（岗前培训和日常工作培训）

是否有员工退出（辞职、辞退、退休等）机制

4、社会责任：

是否有专门的安全生产部门，安排专职的安全负责人员，制定了相应的安全管理制度

是否制定保证产品质量的制度体系

环境保护与资源节约

是否依法签订用工合同、办理员工社会保险，足额缴纳社会保险费，是否存在无故克扣、拖欠员工工资情况

5、企业文化：

是否有企业文化相关资料，企业文化是否积极向上

（三）风险评估审计

被审计企业能否识别本企业存在的重大风险

被审计企业对识别出的重大风险采取的应对策略是什么

（四）控制活动审计

对企业经营活动及财务管理的各方面进行审计，各项制度是否健全，是否有效运行。涵盖了企业从采购、生产、销售、财务会计、全面预算、资产管理、资金管理、合同管理、投融资业务、对外担保、信息系统管理等等。

以上统一加一句话：不但要有相关制度，还要审查相关制度是否有效运行。如果制度只是挂在墙上，没有有效落实，内部控制就是存在缺陷。（设计和运行）

内部控制审计不是仅仅审计财务部门，而是涵盖了企业从股东会、董事会到各职能部门的所有单位。公司的相关重要文件、规章制度是否完善，是否有效运行。

单个企业的内部控制评价，可以是培训内容，也可以是咨询内容。掌握了进行内部控制评价的基本思路和方法，对单一企业进行审计时，根据企业的经营特点，制定专门的评价重点开展工作。