内控原则及五要素

内控原则及五要素 每个企业都会遇到内控问题，这个问题永远都不会过时，你要自己对照一下，这个企业是 否做到，是否存在重大和重要的缺陷。 内部控制原则 内部控制原则是企业建立与实施内部控制应当遵循的基本指针。企业建立与实施内部控制 应当遵循5项原则，即全面性、重要性、制衡性、适应性和成本效益原则。 （一）全面性原则 内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项实 现全过程、全员性控制，不存在内部控制空白点。 （二）重要性原则 内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域，并采取更为严格的 控制措施，确保不存在重大缺陷。重要性原则的应用需要一定的职业判断，企业应当根据所 处行业环境和经营特点，从业务事项的性质和涉及金额两方面来考虑是否及如何实行重点控 制。 （三）制衡性原则 内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监 督，同时兼顾运营效率。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个 以上的岗位和环节；同时，还要求履行内部控制监督职责的机构或人员具有良好的独立性。 （四）适应性原则 内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的 变化加以调整。适应性原则要求企业建立与实施内部控制应当具有前瞻性，适时地对内部控 制系统进行评估，发现可能存在的问题，并及时采取措施予以补救。 （五）成本效益原则 内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。成本效益原则要求 企业内部控制建设必须统筹考虑投入成本和产出效益之比。对成本效益原则的判断需要从企 业整体利益出发，尽管某些控制会影响工作效率，但可能会避免整个企业面临更大损失，此 时仍应实施相应控制。 内部控制要素 借鉴 COSO （Committee of Sponsoring Organizations of the Treadway Commission,全美反欺 诈财务报告委员会下属的发起人委员会，该委员会于1992年颁布了内部控制一整体框架, 提出了五要素的观点。COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制 框架，同时萨班斯法案第404条款的「最终细则」也明确表明COSO内部控制框架可 以作为评估企业内部控制的标准。）报告框架，我国企业内部控制基本规范将内部控制 的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督5大方面。 （一）内部环境包括1.治理结构 公司治理结构指的是内部治理结构，又称法人治理结构，是根据权力机构、决策机构、执 行机构和监督机构相互独立、权责明确、相互制衡的原则实现对公司的治理。 治理结构是由股东大会、董事会、监事会和管理层组成的，决定公司内部决策过程和利益 相关者参与公司治理的办法，主要作用在于协调公司内部不同产权主体之间的经济利益矛 盾，减少代理成本。 2. 机构设置与权责分配 公司制企业中股东大会（权力机构）、董事会（决策机构）、监事会（监督机构）、总经理 层（日常管理机构）这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基 本的组织框架，但并不能满足内部控制对企业组织结构的要求，内部控制机制的运作还必须 在这一组织框架下设立满足企业生产经营所需要的职能机构。 所采用的组织结构应当有利于提升管理效能，并保证信息通畅流动。 3. 内部审计机制 内部审计控制是内部控制的一种特殊形式。根据中国内部审计协会的解释，内部审计是指 组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当 性、合法性和有效性来促进组织目标的实现。 内部审计的范围主要包括财务会计、管理会计和内部控制检查。内部审计机制的设立包括 内部审计机构设置、人员配备、工作开展及其独立性的保证等。 4. 人力资源政策 人力资源政策是影响企业内部环境的关键因素，它所包括的雇用、培训、评价、考核、晋 升、奖惩等业务，向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息，这 些业务都与公司员工密切相关，而员工正是公司中执行内部控制的主体。 一个良好的人力资源政策，能够有效地促进内部控制在企业中的顺利实施，并保证其实施 的质量。 5. 企业文化 企业文化体现为人本管理理论的最高层次。企业文化重视人的因素，强调精神文化的力量， 希望用一种无形的文化力量形成一种行为准则、价值观念和道德规范，凝聚企业员工的归属 感、积极性和创造性，引导企业员工为企业和社会的发展而努力，并通过各种渠道对社会文 化的大环境产生作用。 （二）风险评估 风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风 险应对策略，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分 析和风险应对。 1. 目标设定 风险是指一个潜在事项的发生对目标实现产生的影响。风险与可能被影响的控制目标相关 联。企业必须制定与生产、销售、财务等业务相关的目标，设立可辨认、分析和管理相关风 险的机制，以了解企业所面临的来自内部和外部的各种不同风险。 企业开展风险评估，应当准确识别与实现控制目标相关的内部风险与外部风险，确定相应 的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面 的可接受风险水平。 2. 风险识别 风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识 别作为风险评估过程的重要环节，主要回答的问题是存在哪些风险，哪些风险应予以考虑, 引起风险的主要因素是什么，这些风险所引起的后果及严重程度如何，风险识别的方法有哪 些等。而其中企业在风险评估过程中，更应当关注引起风险的主要因素，应当准确识别与实 现控制目标有关的内部风险和外部风险。 3. 风险分析 风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断, 并确定风险重要性水平的过程。企业应当在充分识别各种潜在风险因素的基础上，对固 有风险，即不采取任何防范措施可能造成的损失程度进行分析，同时，重点分析剩余风险, 即采取了相应应对措施之后仍可能造成的损失程度。企业应当采用定性与定量相结合的方 法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点 和优先控制的风险。 4. 风险应对 企业应当在分析相关风险的可能性和影响程度基础上，结合风险承受度，权衡风险与收益, 确定风险应对策略。企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位 员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。 企业管理层在评估了相关风险的可能性和后果，以及成本效益之后要选择一系列策略使剩余 风险处于期望的风险容限以内。常用的风险应对策略有 1 风险规避。 风险规避，即改变或回避相关业务，不承担相应风险，是企业对超出风险承受度的风险， 通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。例如由于雨雪天气， 航空公司取消某次航班；企业拒绝与不守信用的厂商有业务来往；新产品在试制