内部控制概念要素原则方法

内部控制是指一个单位的各级管理层，为了保护其经济资源的安全、完整，确保经济和会计信息的正确可靠，协调经济行为，控制经济活动，利用单位内部分工而产生的相互制约，相互联系的关系，形成一系列具有控制职能的方法、措施、程序，并予以规范化，系统化，使之成为一个严密的、较为完整的体系.是用来协调经济行为、控制经济活动，从而形成一系列具有控制职能的方法、措施、程序，并予以规范化，系统化，使之成为一个严密的、较为完整的体系。它有几项构成要素构成。内部控制的构成要素包括以下几项：一、内部环境内部环境是内部控制存在和发展的空间，是内部控制赖以生存的土壤，控制环境的好坏直接决定着其他控制要素能否发挥作用。内部环境包括了：1、董事会;2、监事会;3、组织结构;4、授权和分配责任的方法;5、审计委员会及内部审计;6、人力资源政策和实务;7、员工;8、企业文化。二、风险评估风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。常用的方法主要包括：1、风险因素分析法风险因素分析法是指对可能导致风险发生的因素进行评价分析，从而确定风险发生概率大小的风险评估方法。其一般思路是：调查风险源→识别风险转化条件→确定转化条件是否具备→估计风险发生的后果→风险评价。2、模糊综合评价法3、内部控制评价法内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关，因而这种方法主要在控制风险的评估中使用。注册会计师对于企业内部控制所做出的研究和评价可分为三个步骤：4、分析性复核法分析性复核法是注册会计师对被审计单位主要比率或趋势进行分析，包括调查异常变动以及这些重要比率或趋势与预期数额和相关信息的差异，以推测会计报表是否存在重要错报或漏报可能性。常用的方法有比较分析法、比率分析法、趋势分析法三种。5、定性风险评价法定性风险评价法是指那些通过观察、调查与分析，并借助注册会计师的经验、专业标准和判断等能对审计风险进行定性评估的方法。它具有便捷、有效的优点，适合评估各种审计风险。主要方法有：观察法、调查了解法、逻辑分析法、类似估计法。6、风险率风险评价法风险率风险评价法是定量风险评价法中的一种。它的基本思路是：先计算出风险率，然后把风险率与风险安全指标相比较，若风险率大于风险安全指标，则系统处于风险状态，两数据相差越大，风险越大。三、控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。《基本规范》将控制活动或控制措施概括为7个方面，即不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。同时规定企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制订应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。四、信息与沟通信息沟通是指可解释的信息由发送人传递到接收人的过程。具体地说，它是人与人之间思想、感情、观念、态度的交流过程，是情报相互交换的过程。信息沟通的作用在于使组织内的每一个成员都能够做到在适当的时候，将适当的信息，用适当的方法，传给适当的人，从而形成一个健全的迅速的有效的信息传递系统，以有利于组织目标的实现。五、内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。《基本规范》主要针对内部监督的类型和方式、内部控制自我评价和缺陷认定机制、内部控制记录制度等进行规定。内部控制原则内部控制原则是企业建立与实施内部控制应当遵循的基本指针。企业建立与实施内部控制应当遵循5项原则，即全面性、重要性、制衡性、适应性和成本效益原则。（一）全面性原则内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项实现全过程、全员性控制，不存在内部控制空白点。（二）重要性原则内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域，并采取更为严格的控制措施，确保不存在重大缺陷。重要性原则的应用需要一定的职业判断，企业应当根据所处行业环境和经营特点，从业务事项的性质和涉及金额两方面来考虑是否及如何实行重点控制。（三）制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节；同时，还要求履行内部控制监督职责的机构或人员具有良好的独立性。（四）适应性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化加以调整。适应性原则要求企业建立与实施内部控制应当具有前瞻性，适时地对内部控制系统进行评估，发现可能存在的问题，并及时采取措施予以补救。（五）成本效益原则内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。对成本效益原则的判断需要从企业整体利益出发，尽管某些控制会影响工作效率，但可能会避免整个企业面临更大损失，此时仍应实施相应控制。内部控制要素（一）内部环境包括1.治理结构公司治理结构指的是内部治理结构，又称法人治理结构，是根据权力机构、决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则实现对公司的治理。治理结构是由股东大会、董事会、监事会和管理层组成的，决定公司内部决策过程和利益相关者参与公司治理的办法，主要作用在于协调公司内部不同产权主体之间的经济利益矛盾，减少代理成本。2.机构设置与权责分配公司制企业中股东大会（权力机构）、董事会（决策机构）、监事会（监督机构）、总经理层（日常管理机构）这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但并不能满足内部控制对企业组织结构的要求，内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。所采用的组织结构应当有利于提升管理效能，并保证信息通畅流动。3.内部审计机制内部审计控制是内部控制的一种特殊形式。根据中国内部审计协会的解释，内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。内部审计的范围主要包括财务会计、管理会计和内部控制检查。内部审计机制的设立包括内部审计机构设置、人员配备、工作开展及其独立性的保证等。4.人力资源政策人力资源政策是影响企业内部环境的关键因素，它所包括的雇用、培训、评价、考核、晋升、奖惩等业务，向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息，这些业务都与公司员工密切相关，而员工正是公司中执行内部控制的主体。一个良好的人力资源政策，能够有效地促进内部控制在企业中的顺利实施，并保证其实施的质量。5.企业文化企业文化体现为人本管理理论的最高层次。企业文化重视人的因素，强调精神文化的力量，希望用一种无形的文化力量形成一种行为准则、价值观念和道德规范，凝聚企业员工的归属感、积极性和创造性，引导企业员工为企业和社会的发展而努力，并通过各种渠道对社会文化的大环境产生作用。（二）风险评估风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。1.目标设定风险是指一个潜在事项的发生对目标实现产生的影响。风险与可能被影响的控制目标相关联。企业必须制定与生产、销售、财务等业务相关的目标，设立可辨认、分析和管理相关风险的机制，以了解企业所面临的来自内部和外部的各种不同风险。企业开展风险评估，应当准确识别与实现控制目标相关的内部风险与外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。2.风险识别风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节，主要回答的问题是：存在哪些风险，哪些风险应予以考虑，引起风险的主要因素是什么，这些风险所引起的后果及严重程度如何，风险识别的方法有哪些等。而其中企业在风险评估过程中，更应当关注引起风险的主要因素，应当准确识别与实现控制目标有关的内部风险和外部风险。3.风险分析风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断，并确定风险重要性水平的过程。企业应当在充分识别各种潜在风险因素的基础上，对固有风险，即不采取任何防范措施可能造成的损失程度进行分析，同时，重点分析剩余风险，即采取了相应应对措施之后仍可能造成的损失程度。企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。4.风险应对企业应当在分析相关风险的可能性和影响程度基础上，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。企业管理层在评估了相关风险的可能性和后果，以及成本效益之后要选择一系列策略使剩余风险处于期望的风险容限以内。常用的风险应对策略有：（1）风险规避。风险规避，即改变或回避相关业务，不承担相应风险，是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。例如：由于雨雪天气，航空公司取消某次航班；企业拒绝与不守信用的厂商有业务来往；新产品在试制阶段发现问题而果断地停止研发。（2）风险承受。风险承受，即比较风险与收益后，愿意无条件承担全部风险，是企业在权衡成本效益之后，对风险承受度之内的风险，不准备采取控制措施降低风险或者减轻损失的策略。例如：企业设有一个小型仓库，平时就存放一些待处理的设备（市场价值很小），如果为了防止这些设备被盗偷而专门雇佣一个保管员，那么这时支付保管员的费用要远高于设备的价值，显然，不符合成本效益原则，因此，对于这种存在的失窃风险企业就应该采用风险承受策略。（3）风险降低。风险降低，即采取一切措施降低发生不利后果的可能性,是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略，包括两类措施：风险预防和风险抑制。（4）风险分担。风险分担，即通过购买保险、外包业务等方式来分担一部分风险,是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。常见的措施有业务分包、购买保险等。例如：大学里学生宿舍的管理外包给物业公司负责，这是由于大学本身不具有物业管理的能力，通过外包的方式转移了与物业相关的风险；公司给某些关键设备购买财产保险来转移风险。风险应对策略往往是结合运用的。同时企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。（三）控制活动控制活动是指企业根据风险应对策略，采用相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。常见的控制措施有：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与检查性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。1.不相容职务分离控制所谓不相容职务，是指那些如果由一个人担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。2.授权审批控制授权批准是指企业在办理各项经济业务时，必须经过规定程序的授权批准。授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。3.会计系统控制会计作为一个信