对内部控制的理解范文

对于企业内控管理而言，正确运用财务管理手段并加强财务管理手段的运用，是做好企业内控管理的重要措施。结合企业内控管理实际，在企业内控管理过程中，财务管理不但具有事前控制的作用，同时还具有为内部控制提供事后监督的作用，与此同时，财务管理还能够为企业的全面管理奠定良好基础，使企业的内控管理能够在针对性和实效性方面得到有效的提升。因此，我们应当认识到财务管理的作用，并且在企业内控管理过程中有效的运用财务管理手段，使企业内控管理在整体效果上得到有效的提升，推动企业内控管理不断向前发展。

二、财务在企业内部控制管理中具有事前控制的作用

1.完善的财务制度有利于企业内部控制风险的管控。基于对目前企业内部控制的了解，在企业内部控制管理过程中，企业内部控制存在风险，做好企业内部控制风险的有效管控，对于企业内部控制能否取得预期效果具有重要作用。按照企业内部控制的发展实际，财务管理以及财务制度是影响企业内部控制管理的重要因素，其中完善的财务管理制度能够实现对企业内部控制风险的有效管控，对于企业内控管理而言具有重要作用。因此，在内部控制过程中，强化财务管理的有效性，并且根据内部控制的实际需要对财务制度进行完善，是财务制度能够更好地为企业内部控制风险管控服务的关键。

2.精准的财务预测有利于内控风险的识别评估。在财务管理过程中，精准的财务预测能够为企业的财务管理和内控管理提供完善的信息和数据支持，保证企业的内部控制能够达到预期目标，使内部控制风险能够得到有效的识别和评估。基于这一特点，在企业内部控制过程中，应当采取精准的财务流程，更好地为内控风险识别和评估提供方法，实现对内部控制风险的管控。所以，根据内控风险的种类采取有针对性的措施，对提高企业内部控制管理的有效性和保证企业内部管理能够取得积极进展具有重要的推动和促进作用。

3.财务预算是企业内部控制风险防范的重要手段。从企业财务管理过程来看，财务预算是企业财务管理主要手段，利用财务预算可以实现对企业内部控制风险的有效控制，使企业内部资金流转过程能够得到有效的监控，做到根据企业的实际需求控制企业的资金支出。这一方式对于企业管理过程和管理方式有着重要影响。因此，根据企业内部控制风险防范的实际要求，采取必要的财务预算，对进行有效的内部控制是十分重要的，也是做好内部控制风险防控和有效降低内部控制风险的重要措施。在此基础上，我们应认识到财务预算的作用，将其作为企业内部控制风险防范的主要手段来看待。

三、财务在企业内部控制管理中具有事中控制的作用

1.预算控制可以保障内部控制活动的执行。在内部控制过程中，预算控制是十分重要的。做好预算控制不但能够为财务管理等各项工作以及企业内部控制活动提供有效的约束，同时还能使内部控制活动能够在执行过程中，按照预算管理的实际要求进行资金的管控，避免内部控制活动偏离预期目标。在内部控制活动进行过程中，预算控制是一种重要的管理手段，可以强化对内部控制活动的干预。内部控制能否在开展过程中取得实效，在于内部控制是否在预算管理的框架下得到有效的约束。只有做好这一工作，才能提高预算管理的整体效果，满足内部控制的实际需要，解决内部控制中出现的各种问题，使内部控制能够在规范框架下得到有效的开展。

2.财务控制是内部控制事中控制的重要控制方法。财务控制对企业的内部控制有着重要的影响。基于财务控制的要求，财务控制能够实现对企业内部控制整个流程的有效控制，特别是在事中控制中能够取得实效。基于对内部控制的了解以及企业内部控制的现实需求，在企业内部控制中，利用财务控制手段是提高企业内部控制效果的关键，同时还应加强对内部控制的了解，加强内部控制过程中财务控制手段的运用，保证内控制度能够取得实效，提高控制的整体性和实效性，使内部控制能够在事中控制中获得有效的控制方法支持，保证财务控制能够更好的发挥内部控制作用，提高内部控制的准确性。

四、财务在企业内部控制管理中具有事后监督的作用

1.财务报告是内控管理运行的直接体现。在企业内部控制管理过程中，如何查看内部控制的效果是关系到内部管理运行的重要因素。基于对企业内部管理过程的了解，财务报告是内部管理运行结果的最直接体现。从财务报告中可以看出内部控制是否得到有效的开展，以及内部控制的开展效果是否达到了预期目标。从这一点来看，财务报告对内控管理运行有着重要的影响，做好财务报告的编制并且将控制的结果在财务报告中有效的体现，是发挥财务报告作用和做好内部控制管理的重要措施，对做好企业内部控制管理和事后监督具有重要作用。因此，我们应该认识到财务报告的作用。

2.财务分析与评价是内控事后监督的重要手段。除了上述手段之外，财务分析评价也是内控事后监督的重要手段之一。基于对财务分析与评价的了解，在内控管理运行过程中，财务分析与评价可以对财务管理的实效性以及财务管理过程进行有效的分析和评价，通过这一评价，能够得出财务管理是否有效的结论，这一过程对内控事后监督有着重要的影响。因此，我们应当在内部控制和事后监督过程中有效地运用财务分析与评价手段，使财务分析与评价能够更好地为内控管理过程服务，提高内控管理的整体性会和有效性，保证财务分析与评价能够更好的为内部管理服务。

对内部控制的理解范文1篇2

一、国有企业内部控制存在的问题

1.部分国企管理者对内部控制缺乏足够的认识

当今，一些国有企业的管理者对内部控制管理缺乏足够的认识和全面的理解。部分国企管理者将内部控制理解为各部门间的相互牵制；一些管理者将内部控制的发展与企业效益直接对立起来，仅注重抓企业效益，却忽视对企业风险的关注；还有些管理者认为内部控制就是各项规章制度的简单汇总，不必制定系统的控制程序，致使企业内部控制无法得到落实；还有部分管理者将内部控制与内部监督等同起来。

2.国企内部控制的信息技术手段过于落后

在我国，一些国有企业并没有完善的信用、投资管理系统，这些国企也未建立采购、销售及物流等方面的管理系统，对企业授信额度、投资决策、资金预警、折让额度等方面缺乏有效的控制手段，因而无法对资金流和物流进行有效跟踪与控制，使得业务信息得不到及时的沟通。技术手段落后，导致企业的内部控制效果大幅度降低，同时还增加了主观人为或客观人为的犯错可能性。

二、国有企业对文化建设不够重视

现阶段，国有企业中的文化建设已经取得了很大的成绩，但真正将企业文化发挥出来的却很少。国企承担着巨大的责任，如果员工有不忠诚、不敬业及不奉献等负面思想作祟，则会影响到国企工作的正常运转，因此，国有企业应该注重对企业文化的建设，摒除传统的国企文化中存在的弊端文化。

三、加强国有企业内部控制的对策

1.加强内部控制的环境建设

优化国企内部控制的首要环节是加强环境建设，国有企业应重视形成正确的内部控制理念，一方面需要树立起主动内控思想，将内部控制真正当做国企经营管理的必要举措和重要环节，进而更加有力地开展内部控制的管理工作。另一方面应该科学把握企业的内部控制内涵，国企管理者要将内部控制网络管理的框架建立于制度与头脑当中，对内部控制与企业管理之间的联系进行深入的了解和认识，把内控思想渗透入企业管理的方方面面，进而形成企业内控的统筹管理。另外，要优化企业内控制度的建设，在保证企业内控制度合理性和灵活性的同时，强化内控制度的系统完善性，增加实质的内部控制内容，使制度更具操作性。根据业务开展和经营管理之间的变化情况来适时更新内部控制制度，从而促进内控制度和管理环境的协调发展。

2.提高内部控制的执行效率

保证内部控制的程序和措施得以实施的前提是其自身具有科学性与正确性，国有企业应该结合内部管理的实际来确定内部控制的执行程序和各项措施，通过征求内控执行人员的意见制定出全面合理的实施建议，促使内控方案和执行环境相互协调。其次，内部控制的策略应该按照规范程序来执行。提高内控执行人员的工作效率和思想觉悟是保证企业内控执行效率的关键所在，因此，内控执行人员应自觉加强掌握企业的内控策略，将重要控制点正确贯彻并履行到位。另外，加强内部信息的传递与交流，是实现内控执行的必要条件。企业可以通过信息技术平台建立系统的内控联络体系，使各层级间的信息得以贯通，并形成一定程度的竞争意识，从而提高企业内控信息的传达效率。

3.加强国有企业的文化建设

国有企业的文化建设关系到企业在职员工的行为方式与思维方式，好的企业文化具有很强的鼓舞力和凝聚力。国企文化的建设也对企业内部控制产生了重要的影响，加强国有企业的文化建设有利于培养良好的文化氛围，进而提升企业的内部控制效率。企业应该培养一种健康积极的自身文化，将企业文化和战略目标统一结合起来，使企业文化规划贴近企业的实际情况，密切联系企业员工的生活状态与工作情况。在企业文化的不断熏陶下，强化员工的内控管理意识，进而提高自身的内控执行效率和自我价值取向。

对内部控制的理解范文篇3

转变经营观念，增强控制意识，提高管理水平，是我国企业迎接市场竞争的基本前提。只在宏观经济范围提控制还不够，也不能在微观经济中片面以改革取代控制。其实，变革本身就意味着一定的风险。片面强调改革组织结构的重要性，忽视了控制方式的跟进和强化，就使公司的改革同微观治理机制相脱离。

强化企业的内部控制已经成为发达国家治理公司的重要手段，在国际上的研究已日渐成熟。三大目标和五大组成部分构造了内控系统的整体框架，帮助人们更全面和更深刻地理解内控及其控制对象，使企业能够以内控为有力武器，从控制环境、风险评估、控制活动、信息与交流和监督评审五方面开展工作，为实现各项操作性目标、信息性目标和遵从性目标而自觉奋斗。

国际先进内控理论和实践的发展启示我们：要正确理解内控与管理的关系、内控与风险管理的关系和内控与内部审计的关系。我们要呼唤企业的控制意识，理直气壮地强化企业的内部控制。

经过二十年的改革实践，人们逾来逾感到强化管理的重要，也在积极探索如何才能加强管理。内部控制的概念被国际同仁所强调，引起了中国金融界，特别是银行界的关注。自从1997年人民银行发出“加强金融机构内部控制的指导原则”以来，各商业银行和非银行金融机构普遍开展了整章建制的工作。这一工作已取得了初步成绩，但是新形势下的内控工作尚处于起步阶段，这项工作又常被误解为仅仅是金融机构的事，生产企业的管理层对内部控制缺乏认识。其实，所有制及其组织结构并不是现代企业最本质的东西，最本质的是企业内部的控制文化和控制机制，中国国营企业的根本出路在于强化其内部控制。在这方面发达国家已经研究和创造出了一套比较完整的理论和方法，中国企业界的迫切任务是运用先进的内控理论和方法，强化内部控制，提高管理水平。

本文通过对部分国际先进内控理论和原则的分析，阐明内控的内涵及其与管理和内部审计（稽核）的关系，分析内控对公司治理的重要作用，以便促使经营管理者加强有效控制。

一、转变观念

转变经营观念，增强控制意识，提高管理水平，是我国企业界进行市场竞争的必要条件，也是金融机构向商业化金融机构演变的基本前提。

1．体制改革的作用是有限度的：近二十年来，举国上下议论最多的话题莫过于改革了。“以改革带动发展”也被一些地方当作战略口号指导各项工作。我们一直批评计划经济制度管得太严太死，却淡漠了经济活动内部的至关重要的控制机制，特别是微观领域的经济单元（包括金融与非金融企业）的自我控制意识逐渐淡化。且不说国际理论界对计划经济和市场经济的争论尚未休止，倒是应该指出，并非一切进步都只是靠了改革才取得的。如果政治的稳定和宏观经济的控制不是同改革并驾齐驱，中国的局面远不会象今天这样好。许多问题的解决又是改革本身力所未能及的。突出的一个例子就是国营企业的经营管理。是我们对企业改革重视得不够吗？从中央到地方，从政府到企业，不知为改善企业倾注了多少人力、物力和财力。是改革的力度不够吗？从利改税到企业转制，从破产兼并到减员增效，各项法规和措施层出不穷。为什么许多企业始终建立不起自我约束的机制？用经济学家的话来说，也就是不能硬化企业的“预算约束”。显然，只在宏观经济范围提控制还不够，也不能在微观经济中片面以改革取代控制。其实，体制改革不是万能的，变革本身就意味着一定的风险。

2．转变经营管理观念：内部控制在不同的经济体制下有不同的内涵，尽管其中的某些内容会有一致性。在计划经济体制下，国有企业的控制模式为实现国家计划服务。由于国家计划规避了大部分市场风险，国营企业的控制方式具有浓厚的行政管理色彩。现在，企业的控制模式为社会主义市场经济服务，在新的形势下有两种倾向值得注意：一是一部分人习惯于甚至满足于传统的经营管理方式，认为只要能够规范化操作就行了，不必考虑是否先进。这就混淆了不同性质经济中的企业在服务对象和控制方式上的不同。二是虽然大家意识到改革的必要性，但是容易片面强调改革组织结构的重要性，忽视了控制方式的跟进和强化。这就使公司的改革同微观治理机制相脱离。不论是维持传统的经营管理方式，还是片面以改革取代控制的观念，都已经被实践证明是有害的。

3．转变对内控目的的认识：搞清内控的含义，并理解内控的目的，对经营管理和内审都有直接的指导意义。内部控制的概念经过了由“部分控制论”向“全部控制论”的发展。“部分控制论”认为内控包括：1）经济业务的有关内部会计控制；或者，2）内部牵制（会计）和内部审计两部分。这种认识的一个缺陷是，内控只与资产管理有关，而与行政、业务管理无关。“全部控制论”克服了这个缺陷，认为控制内容已超越会计和财务范围，渗透到经营的各个方面和管理的全过程。

内控目的论的发展也经过了下述阶段：1）“三目的论”认为，内控是为了保护单位的财产，会计记录的准确可靠和及时提供可靠的财务信息。2）“四目的论”认为，内控除了保全资产和检查财务资料的准确可靠性以外，更重要的是执行管理政策，提高经营效益和效率。

上述发展的启示在于，对内控的检查评价应有别于传统的思路，并且目的要明确和全面，检评要完整和深入。

4．跟上国际内控研究的步伐：同计划经济相比，市场经济的发展更加仰仗于微观机制的作用。发达的市场经济国家非常重视对公司治理的研究，大大促进了公司治理结构趋向合理化。公司治理理论研究的是资金的供给者如何采取措施，确保其投资取得回报。强化内控已经成为发达国家治理公司的重要手段。

国际上比较有名的内控模式有英国的Cadbury、美国的COSO和加拿大的COCO。它们从不同的角度剖析公司的经营管理活动，为营造良好的内控框架提供了一系列的趋于一致的政策和建议。其中尤以美国的COSO模式从理论到操作方法上阐述了一整套完整的内控框架。巴塞尔银行监管委员会（Basle）又在这些先进模式和实际经验的基础上，于1998年提出了建设银行内控系统框架的十三项原则。我国银行和非银行金融机构以及大量的非金融性企业在经济体制改革以来的许多失控的教训表明，跟上国际内控研究和发展的步伐，不断完善自身的内控机制，是十分必要的。

二、充分理解内部控制的内涵

内部控制有其科学的定义和丰富的内容。只有深刻理解内控的内涵才能明确如何强化内控。

1．准确理解内部控制的定义：不同部门的人从不同的角度对内控会有不同的看法。现代内控理论试图提出能被普遍接受的内控定义，以便满足不同单位的需要。美国审计权威机构COSO（1994）的定义是：内控是一个受某单位不同层次的人影响的过程，而设计这一过程是为了实现下述三大目标提供合理的保证：经营的效果和效率；财会报告的可靠性；对现行法规的遵守。

巴塞尔银行监管委员会参照各国的有关理论，在内控定义中进一步强调董事会和高级管理层对内控的影响，组织中的所有各级人员都必须参加内控过程，对内控产生影响。巴塞尔委员会把内控的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动，而且包括其他各种活动；在信息性目标中还把管理信息包括了进来，明确要求实现财务和管理信息的可靠性、完整性和及时性。

表1关于内部控制的三大目标的表述

COSO的内控目标

Basle的内控目标

1

经营的效果和效率

操作性目标：各种活动的效果和效率

2

财会报告的可靠性

信息性目标：财务和管理目标的可靠性、完整性和及时性

3

对现行法规的遵守

遵从性目标：遵从现行法律和规章制度

资料来源：美国COSO（1994）；巴塞尔银行监管委员会（1998）。

这三大目标满足不同的需要，又相互交叉。显然，内控是保证各项业务发展的，而不是妨碍其发展的。在操作性目标中，经营的“效果”是根据实际产出与预期计划的产出比较而言的；经营的“效率”是根据实际产出与实际投入比较而言的。此外，公司或银行不能为实现经营性目而不遵从法规，也不能为实现遵从性目标或操作性目标而违反财务和管理信息的可靠性、完整性和及时性。

这是一种“全部控制论”的概念。良好的内控系统应能够确保上述三大目标的实现。上述内控定义说明：

1）内控是一种程序，它意味着向某一终点努力，但不是终点本身；

2）内控是用来取得一种或多种互相区分而又紧密联系的目标；

3）内控受人的影响，而不只是政策、守则或表格；

4）只能期待内控为公司管理层提供合理的保证，而不是绝对的保证。

内控的明确而科学的定义为各种单位提供了比较一致的标准，以便各单位能够评价其控制系统和决定如何加强控制。经营管理部门和内审部门应该参照有关法规和实施细则，设定一些具体的标准，认真考察被检查单位的内控系统，看其是否合理地确保了这些目标的实现。如果不能，总是可以从内控的某些方面找出问题的。一家银行或公司内控抓得好不好，可以从上述三大目标加以总体考核：它的董事会和高级管理层是否合理地确保了他们理解该单位实现其操作性目标的程度？它的财务报告和各项管理信息是不是可靠、完整和及时地被草拟和提供了？它的各项活动是否遵从了现行的法律和规章制度？这些方向性的标准无疑是对一个单位比较有力的鞭策。细化这些标准，对内控的深入考核更有益处。

由此可见，审计部门以往所提的“合规性审计（稽核）”、“效益性审计（稽核）”和帐务检查等等都属于专项审计，也都有一定的片面性。审计（稽核）工作的重心应当转向对内部控制的审计再监督，而对内控的检查评价有别于传统的审计思路，其目的要明确和全面，检评要完整和深入。

2．从总体上把握内部控制系统的框架：重要的是，现代内控理论赋予了内控广范的职能，把内控置于很高的层面上，从而强化了内控的作用。1994年COSO认为内部控制涵盖了五大组成部分的丰富内容：控制环境、风险评估、控制活动、信息与交流和监督评审。而1998年巴塞尔委员会则在控制环境中强调了管理层的督促（oversight）和控制文化；在风险评估方面将风险的识别和风险的评估并举；在控制活动方面又突出了职责分离的重要性；该委员会特别对信息与交流作了更多的解释；除了监督评审活动之外，还把缺陷的纠正这种被COSO认为并非内控的活动也归纳为内控活动。巴塞尔委员会还在上述内控的五大组成部分之外，增加了监管当局对内控的检查和评价，把它作为内控的另一不可忽视的内容。

表2关于内部控制的五大组成部分的表述

#COSO的分析

Basle的分析

1

控制活动

管理层的督促与控制文化

2

风险评估

风险的识别与评估

3

控制活动

控制活动与职责分离

4

信息与交流

信息与交流

5

监督评审

监督评审活动与缺陷的纠正

资料来源：同上。

不论是COSO还是巴塞尔委员会都跳出了传统的平面式的简单思维方式，而把内控视为多维立体的空间，促使人们全面深入地理解控制和控制对象，分析解决管理控制中存在的复杂问题。其中还引出了“全息论”的概念：这五大组成部分和三大目标是紧密相联的，就象一个人体的细胞包含了人体的各种信息那样，一个组织中的任何一个机构、一项业务或一位成员都包含或反映出该组织中的三大目标和五大组成部分等各种信息。

三大目标和五大组成部分构造了内控系统的整体框架，现代内控理论对内控日臻完善的描述帮助人们更全面和更深刻地理解内控及其控制对象，使人们能够以内控为有力武器，为实现三大目标自觉奋斗。

3．全面理解内控五大组成部分的内容：内控已经被COSO从理论上分析成为下述完整的有机结合的整体，并且得到了巴塞尔委员会的认同和发展。

1）控制环境：控制环境是推动控制工作的发动机，是所有其他内控组成部分的基础。它奠定组织的风纪和结构，并且涉及到所有活动的核心—人，特别是人的控制觉悟，还反映政府、银行、非银行金融机构以及生产性企业的各级管理层对内控的要求。

控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。主要的问题是管理层要充分说明内控的完整性；公司要有积极的控制环境，使整个组织中的员工具有控制觉悟和自觉的控制态度，特别是高级管理层要积极地进行控制；员工的能力与其责任要相匹配。巴塞尔委员会有关管理监督和控制文化方面的原则包括：

1．董事会应当负责批准并定期审查整个经营战略和重大政策；理解经营的主要风险，确定这些风险的可接受水平，保证高级管理层采取必要步骤，识别，衡量，评审和控制风险；批准组织的结构；并确保高级管理层不断评审内控系统的有效性。在确保建立和维护充分和有效的内控系统方面，董事会负有最终的责任。

2．高级管理层负责执行由董事会批准的战略和政策，维护一种组织结构，能够明确责任、授权和报告关系；确保所委派的责任能有效地执行；确定适当的内控政策；并监督评审内控系统的充分性和有效性。

3．董事会和高级管理层负责按照高标准促进员工的职业道德（ethics）和完整性（integrity），在机构中建立一种控制文化（controlculture），在各级人员中强调和说明内控的重要性。公司机构中的所有人员都需要理解和发挥他们在内控程序中的作用。

2）风险评估：是识别和分析那些妨碍实现经营管理目标的困难因素的活动，对风险的分析评估构成风险管理决策的基础。

风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。

有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险（如银行要面对信贷风险、国家和转移风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉（reputation）风险）。需要不时调整内控，以便恰当地处理任何新的或过去不加控制的风险。

3）控制活动：是为了合理地保证经营管理目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序，包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。

在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性（尤其是对信息系统的控制）等等。有关控制活动和职责分离的原则包括：

1．控制活动应当是公司日常工作的不可分割的一部分。有效的内控系统需要建立适当的控制结构，明确定义各经营级别的控制活动。这些活动应当包括高层审查；对不同部门或处室的活动的适当控制；物理控制；检查对敞口限额的遵从情况；对违规经营的跟进情况;批准和授权制度；查证核实与对帐（reconciliation）制度。

2．有效的内控系统需要适当分离职责。人员的安排不能发生责任冲突（conflictingresponsibilities）。要识别和尽力缩小有潜在利益冲突（conflictsofinterest）的地方，并遵从谨慎的和独立的监督评审。

4）信息与交流：存在于所有经营管理活动中，使员工得以搜集和交换为开展经营、从事管理和进行控制等活动所需要的信息，包括管理者对员工的工作业绩的经常性评价。

在信息方面要注意内部信息和外部信息的搜集和整理；在交流方面也要注意内部和外部信息的交流渠道和方式；在信息技术的发展中注意控制信息系统。有关的原则包括：

1．一个有效的内控系统需要充分的和全面的内部财务、经营和遵从性方面的数据，以及关于外部市场中与决策相关的事件和条件的信息。这些信息应当可靠、及时、可获（accessible），并能以前后一致的形式规范地提供使用。

2．有效的内控需要建立可靠的信息系统，涵盖公司的全部重要活动。这些系统，包括那些以某种电子形式存储和使用的数据的系统，都必须受到安全保护和独立的监督评审，并通过对突发事件的充分安排加以支持。

3．有效的内控系统需要有效的交流渠道，确保所有员工充分理解和坚持现行的政策和程序，影响他们的职责，并确保其他的相关信息传达到应被传达到的人员。

5）监督评审：是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。

监督评审可以是持续性的或分别单独的，也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等等。在监督评审活动和缺陷的纠正方面应当遵循下述原则：

1．应当不断地在日常工作中监督评审内控的总体效果。对主要风险的监督评审应当是公司日常活动的一部分，并且各级经营层和内部审计人员应当定期予以评价。

2．对内控系统应当进行有效和全面的内部审计。内审要独立进行，应得到适合的培训，并配备称职和得力的人员。内审作为内控系统监督评审的一部分，应当向董事会或其审计委员会直接报告工作，并向高级管理层直接报告。

3．不论是经营层或是其他控制人员发现了内控的缺陷，都应当及时地向适当的管理层报告，并使其得到果断处理。应当把有关物质的内控缺陷报告给高级管理层和董事会。

此外，巴塞尔委员会还针对监管当局对内控系统的评价提出，银行的监管人员应当要求所有的银行，不论其规模如何，都具有有效的内控系统，而且其内控系统符合他们的表内外活动的性质、复杂性和内在的风险；内控制度应当随银行所处环境和条件的改变而得到调整。凡监管者确定某银行的内控系统不能充分或有效地针对银行的具体风险内容（例如，不能涵盖巴塞尔委员会内控文件所载的全部原则），监管者应当采取适当的行动。

以上五大组成部分与前述三大目标有机地相结合，构成了内控的完整体系。COSO是为各行各业提出这一思路的。尽管巴塞尔委员会的内控原则主要是针对银行业的，国内外的金融和非金融机构在体制结构上也有所区别，我国的企业工作者仍然很有必要适应形势，转变观念，从内控的三大目标出发，去考察本单位上述五大组成部分的各个方面，看是否建立了健全的内控制度，而且，这些制度是否得以认真贯彻实施。审计检查的方法和评价的标准也应当沿着这条思路，按照这个有机结合的整体去设计。

三、关于内部控制与管理的关系

不了解内控与管理的关系，就不可能充分加强内控工作。内审或审计人员在检查监督的过程中，时常发现被查单位的管理层对内控认识比较肤浅，也不甚了解内控与管理、内控与内审是什么关系。有人认为管理就是内控，抓了管理，内控自然就到位了，因而也没有必要特别强调内控。也有人认为内控是内审（稽核）部门的工作，抓内控应该由内审部门牵头。有些内部或外部的审计人员在进行内控检查的时候，也因认识模糊而无从下手。因此，很有必要搞清内控与管理的关系。

1．管理的内涵及其与内控的同异

从广义上讲，管理是管理者确立目标和战略，并通过一定的组织形式、规章制度和操作方法去实现目标的全过程。管理者要执行聘用合同，为公司或银行的所有者的利益确定明确的管理目标，包括全局整体性目标和各项业务活动水平上的目标，然后制定各种战略和实施计划。管理者要以一定的组织形式为依托，以一定的规章制度为依据，采取种种方法去实现既定的目标。管理者有责任控制局面，并解决和纠正在监督检查各项经营管理活动中所发现的问题和错误，包括对有问题责任人的追究和处罚。由于所定的目标和战略计划会对管理单位（如企业）的行为产生影响，管理科学运用科学的原则和分析性方法，研究企业的行为。在发达国家，不论学术界还是实业界都日益重视公司治理结构的研究，以求实现投资者应得的回报。先进正确的管理方法加上计算机的广泛运用，大大促进了管理的合理化和效率。

广义上的管理涵盖比内控更为广泛的内容，并不是所有的管理活动都是内控活动，也并不是说非内控性的管理活动就都不重要了。比如，设定目标的决策就是一种很重要的管理责任，为内控提供了前提条件。在国外，公司的所有者代表（董事会）也要参与甚至领导这种决策。但是，重大目标的最初设定并不是在内控的工作范围之内。同样，许多管理方面的具体决策和一般性活动并不都代表内控。

然而，问题的关键并不在这里，而在于内控是管理中至关重要的部分（criticalcomponents）。管理的学问就在于抓住管理活动中的那些对实现目标至关重要的部分，也就是所说的“研究任何过程……要用全力找出它的主要矛盾”。比如，COSO等理论所描述的内控内容中都列举了许多控制要素和风险，这些都是管理者必须关注的地方。又如，尽管COSO认为错误的纠正行动不应属于内控活动，但是巴塞尔委员会却将其列为内控的范围。原因很显然，纠正错误已成为管理的一项重要内容，直接影响到目标的实现。同理，战略计划和风险管理这些本来被COSO视为非内控性活动，却被巴塞尔委员会分析为内控范围之内的活动了。尽管目标的最初设定是内控的前提条件，但是内控并没有完全放弃对这方面的关注，内控的重要职能之一又是监督目标的设定和实现过程。至于业务活动水平上的目标的设立，虽然也被COSO视为非内控性的活动，但在COSO提出的内控操作方法中（例如在其《参考手册》和《内部控制与风险评估工作表》中），这些目标都是内控所关注的重要内容。下表仅从一个侧面说明了这个问题：

资料来源：同上。

2．风险管理与内部控制的关系

风险是针对目标而言的。风险实际上就是可能妨碍目标实现的种种问题和困难。这样看来，风险的概念就扩大了。比如，一个武士在张弓搭箭，射向猎物的时候，他的目标是射中猎物，而他的风险就存在于他射击猎物的全过程。首先，他本人的素质，他的精、气、神，他的体力和视力。其次，他的弓箭的质量。再次，猎物的大小、距离和移动速度。此外，狩猎时的环境、气候条件（风速）等外部干扰因素，也构成对击中目标的风险。对一家公司而言，风险既预示着机遇，又会影响其竞争能力，并影响其维持融资的能力以及保持和提高其产品与服务质量的能力。

风险是如此之广泛，以至于有人认为风险管理就是内部控制，甚至风险管理包括了内控。把两者混淆的问题在于没有看到内控是管理的更本质性的内容（essentialpart）。

诚然，风险管理是整个管理活动系列的重要组成部分。一般可指风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等等。风险管理的一系列具体活动并不都是内控要做的。特别是内控并不负责风险管理目标的具体设立，这是管理过程起始阶段的活动。风险评估是对可能发生的不利条件或事件进行评价，并做出完整的专业性鉴定的一种系统过程。当然，风险评估首先要注意目标问题，因为，没有明确的目标，也谈不上目标实现的风险。但是在目标方面，内部控制并不是目标的制定活动，而是对目标制定的评价工作，特别是对目标和战略计划制定当中风险的评估，风险管理目标的设立为内控中的风险评估提供了前提条件。内控所负责的是风险管理过程中间及其以后的重要活动，比如，对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。

内部控制强调评估经营管理活动中突出的风险点（当然，这些风险点不是固定不变的），建议经营管理人员针对这些风险点实施必要的控制活动。这里所评估的既有内部的风险，又有外部的风险。那种以为内控只是控制某单位的内部风险的观点是有片面性的。COSO和巴塞尔委员会都认为，内控的过程涵盖了公司所面对的，并在公司内由各级人员所经营的所有的内部和外部的风险。

然而现实中的风险管理却很实在，巴塞尔委员会指出，风险管理不同于内控之处在于，典型的风险管理比较关注特定业务的战略的评审，旨在通过比较不同公司业务领域内的风险与报酬来使收益最大化。在我国一些银行里，风险管理往往被狭义地理解为授信或部分业务（如信贷）的授权管理；广义的风险不仅有信贷风险，还包括国家与转移风险、市场风险、利率风险、流动性风险、操作风险、法律风险和信誉风险等等。而广义的风险管理又似乎难以真正落实到银行的某一具体业务或管理部门，成为它的责任。其结果，我国的银行实业界尚不存在广义的风险管理的概念。不少银行不能对各种风险进行总体研究和控制，甚至连统一授信都难以在一些银行里真正实现。

不过，现实情况中的风险管理一方面有其特有的内涵和现实的范畴，另一方面也在某些内容上与内控相交叉。在上节中，COSO认为风险管理不属于内控的范围，而是非内控性的管理活动，这种分析也是有片面性的。特别是风险管理在“风险的识别与评估”和“控制活动与职责分离”等内控内容中，与内控相交叉，属于内控强化过程中的管理活动。

然而，内部控制还包括“管理层的监督与控制文化”、“信息与交流”和“监督评审与缺陷的纠正”等重要的内容。在现实中，管理层的监督并不是没有，而是远远没有强调到某种“控制文化”的程度。“信息与交流”和“监督评审与缺陷的纠正”这两大内容的内控也没有达到现代内控原理的要求。特别应该指出，风险管理的全部活动都在内控的监督评审之下，不外乎一些国内外专家认为，内控涵盖了风险管理。内控的确处在比风险管理更高的层次上，尽管内控并没有超出广义管理的大范围。下图从现实考察的角度勾略了内控同广义的管理和现实的风险管理的关系。

图2内部控制同广义的管理和现实的风险管理的关系

四、正确处理内控与内审的关系

各商业银行和非银行金融机构在开展整章建制的工作中曾经出现过一些问题，有些问题反映在处理内控与稽核的关系上。例如，认为内控主要是稽核部门的事，应该由稽核部门牵头此项工作。有的银行干脆在稽核部门内设立了“整章建制处”，负责领导全行的整章建制工作。有些认识往往来自高级管理层。稽核人员也存在一些模糊认识。生产性企业也同样会遇到此类问题。澄清认识，转变观念，正确处理内控与内审的关系，对于加强企业内控实属必要。

1．内控首先是经营管理部门的工作

内部控制是公司（包括金融机构和非金融企业）合理保证其各项目标实现的动态过程。内控程序涉及工作目标的确立，风险的识别和分析，针对风险研定控制措施，并对所采取的控制活动进行监督评审等等。这些控制业务显然首先是各级经营管理部门的基本职责。本文所指的经营管理部门有别于内审监察部门。后者尽管也是内控组织体系的重要环节，但是独立于前者之外。

在实际工作中，内控工作往往被领导委派给内审（稽核）部门去计划和安排，原因是多方面的。首先，金融系统的内控文件是由人民银行原来的稽核监督部门下达的。一些单位在接到文件后，没有注意区别商业机构和央行在职能上的本职区别，也没有理解内控工作的内涵，而简单地把内控任务交办给本单位的稽核系统。其次，具体业务部门有重业务经营，轻管理控制的传统倾向。有些业务和管理部门习惯于执行各种业务的“硬指标”，而把内控（例如整章建制工作）作为“软任务”推给“综合部门”去应付。第三，尽管各经济实体中都存在内控制度和控制机制，但是其控制系统有不同程度的缺陷。例如，在控制的组织结构上，的确缺少一个专司内控的综合管理部门；而也确有文件把稽核部门称为“内控综合管理部门”。第四，在专业银行体制下，稽核部门曾经是缺乏权威性的比较薄弱的部门，银行在商业化的过程中虽然提高了该部门的地位，但在许多单位里仍显现不出稽核部门足够的重要性。在一些综合部门相互踢皮球的情况下，任务也难免被分派到稽核部门。这些问题在生产企业里也存在。

经营管理部门首先要重视内控，只有把内控视为本身的基本职责，才能把这项工作当作硬任务去安排。因此，在整章建制中，人民银行曾明确指示各金融机构，组成专门的领导班子（如内部控制委员会）去领导和组织这项系统工程。而内审部门应当独立于这项领导工作之外，才能真正起到对工作的监督作用。

2．内控主要是经营管理部门的工作

内控作为一项系统工程，已经在发达国家形成了一套完整的有机结合的理论体系和严谨的操作方法，很值得我国在国营企业（特别是国有金融机构）改制和再造其内部治理结构时予以借鉴。

内控的大部分工作都是经营管理部门的重要职责。首先，合乎标准的内控需要公司营造良好的“控制环境”，使员工树立正确的价值观，遵守正常的职业道德，而公司的管理层又能够以恰当的管理风格和正确的激励机制，引导员工创造一种良好的企业文化，特别是控制文化。同时，设计适应业务发展的组织结构，配备合格的经营管理人员，制定合理和严格的规章制度，确立正确的目标和战略决策系统等等，也都是加强内控的必要环境条件。

第二，“风险评估”也主要是各经营管理部门的重要职责。传统的经营管理方式忽视对风险的识别和分析，而满足于执行指令。这种方式给国营企业和金融机构在转轨过程中带来了巨大的损失。金融系统近年来存在秩序混乱，案件频频，经营亏损的现象，其重要原因之一就是风险管理落后。风险的防范有大量工作要做，包括对内部和外部的风险进行判别和预测，分析风险发生的可能性和概率；并在此基础上研究化解风险的种种控制措施。

第三，当风险已被发现之后，经营管理者还需要调动机构和人员，切实执行所制定的“控制活动”，以便防范和化解风险，合理保证经营管理目标的实现。这方面的工作是十分细致的，包括高层检查，直接管理，信息加工，实物控制，确定指标，职责分离等等。

第四，在信息科技突飞猛进地发展的时代，“信息与交流”是经营管理中的另一不容忽视的职能。在把有关的内部和外部控制信息搜集整理出来以后，经营管理者要利用可靠信息为实现目标服务，并向适当的部门和负责人进行交流。

如果把如此丰富的内控工作统统推给审计或稽核部门去做，一个直接的恶果就是削弱了经营管理部门的风险意识和控制觉悟，使他们满足于计划经济体制下的行政指令的执行方式，而无意面对复杂多变的竞争形势。另外的一个后果是使审计人员不务内审业务，而去参与经营管理活动，自然分散了审计人员的注意力，也削弱了审计的独立性。因此，控制活动是公司日常经营管理工作的不可分割的一部分。

3．对内控的检查评价主要是经营管理部门的工作

“监督评审”是内控体系的第五大重要组成部分，其主要内容是对上述内控活动，包括“控制环境”、“风险评估”、“控制活动”和“信息与交流”等内容进行严格的检查监督和客观公正的评价。这包括从整体水平上和从业务活动水平上对内控进行持续性的或分别单独的评审。重要的是认识到这种检查评价不仅首先不是，而且主要不是内审（稽核）部门的工作。

对内控情况进行监督评审犹如设立一道道防线，而第一道检查监督的防线就应由经营管理部门的各级负责人监守，包括设置和执行岗位内部和岗位之间的相互牵制，进行前后台和部门之间的平衡制约等等，并应不断在日常工作中监督评审内控的整体效果。他们要对内控的情况和问题及时进行分析和研究，把大量主要的风险问题在第一道防线予以切实解决。这里，他们不仅要深刻地自我评价所开展的控制活动，还要提出改进控制和进一步化解风险的措施，并交上级主管验证。这种自我评价要规范化和制度化，必要时应实行离岗检查和交叉检查的制度。在实际中，这种工作往往被以工作忙、人手少或成本高而忽略掉了。例如把对离任负责人的评审统统推给内审（稽核）部门进行“离任稽核”，不仅加重了内审负担，而且常使该项工作流于形式。恰恰是疏于自我检查和评价，造成部分管理人员有章不循，一些基层单位问题成堆。

财会部门应当形成化解风险的第二道防线，财会人员负责行使后台监督的重要职能。业务的每一项收付和债权债务的发生都会在帐面上反映出来，这本身就是一种监督；会计人员在会计核算中保证这种反映的真实、准确和完整，并有责任以会计资料为依据，控制企业经济活动按预定计划目标进行，并报告所发现的违法违规的财务事件；财务主管在会计科目设置、帐务汇总和财务报表分析后也可以发现经营管理活动中的种种问题，促使企业遵守国家法律和政策，加强经济核算，改善经营管理，完善现代企业制度，提高经济效益。财会部门不仅要把第一道防线上遗漏掉的大量问题尽力查找出来，而且要从管理会计的角度，在更深层次和更大范围内（例如在跨部门乃至全单位范围）发现问题，研究对策，预测风险，并提供信息。目前，财会部门在金融系统中的权威性是有的，不过，一些财会部门忙于一般性会计核算，加上种种原因造成责任心不强，尚未充分发挥会计监督的职能和管理会计的职能。

如果认为对内控的检查评价只是内审（稽核）部门的工作，上述两道化解风险的重要防线就会被忽略甚至取消。这一方面会大大削弱各单位防范风险的意识和能力，而且另一方面会因为大大加重内审部门的工作负担，而必然降低内审工作的质量，提高内审方面的监督成本。

4．内审监察部门对内控的再监督负有极其重要的责任

如果我们把内控的“监督评审”职能视为内控“宝塔”上的最高级的部分，那么内审（稽核）监察工作就应该处于内控宝塔的尖顶部位。所谓“再监督”就是在前述两道防线之后的第三道防线，每一个公司都应当设立这一战线。对于风险较高的金融机构来说，这第三道防线更是必不可少的。其重要性不仅仅在于内审（稽核）已经变成了最后一道防线。尽管从监督职能的角度来看，内审监察部门的工作量应大大少于经营管理部门的自我监督检查和财会部门的管理监督，但是，内审监察部门的独立性和应有的权威性，加上其组织系统的垂直性，赋予了该部门行使对内控进行再监督和再评价的特殊重要的职能。这种重要性主要表现在稽核监察人员在严密的计划和组织之下，能够独立地按照法人要求，有选择地对内控的各方面行使其检查职能，并能够将检查评价结果直接地反映到高级管理层乃至最高级领导人，然后有权督促内审监察建议的落实。为了强化内审监察部门的监督职能，许多西方的金融机构都成立了独立于经营管理活动之外的内部审计（稽核）委员会。

改革开放之后，企业面临种种风险。在经济生活日益货币化和证卷化的过程中，国有专业银行也正在商业化，同时，各种金融机构象雨后春笋般地涌现出来。新的形势要求金融机构和生产企业的内审工作从传统的以对帐目和会计凭证进行核查为主，转向以对内控制度及其执行情况进行检查为主的审计方式上来。审计人员应认识到这一带根本性的变革，具有对现代内控理论和方法的超前认知，并把对内控水平不高的单位和内控意识不强的人员（特别是管理层）进行咨询服务作为内审工作职责和应尽的义务，帮助这些单位和人员转变观念，加强内部控制。

有人认为内审（稽核）部门在经营管理部门的内控制度尚不健全的情况下去进行内控检查评价是“皇帝不急，急死太监”。这种认识忽视了审计部门有促进被检查单位完善其内控制度的重要作用。其实，大多数单位都有内控制度，只是其完善程度不同和执行情况不同。虽然内控水平的提高要靠经营管理部门进行大量实实在在的工作，但是，审计人员不能等待被检查单位的内控制度完善之后再去审计，而检查评价本身就是在促进被审计单位完善其内控制度，提高内控水平。现在，越来越多的经营管理者认识到加强内控的重要性，审计人员的任务就是要多在这方面提供咨询服务，以先进有效的内控检评方法，有计划和有重点地对各级经营管理部门（包括人事部门和行政部门）的内控制度及其执行情况进行再监督检查。这里，检查的方法要规范，力求采用先进技术手段，并将检查评价结果独立地和及时地报告有关负责人和部门。同时，审计人员应向被审计单位提出改进内控的建设性意见，督促这些单位改进内控状况。

当然，在组织结构上内审监察部门并非独立于内控的整体框架之外，内审监察部门也属于控制环境的一部分，其本身也需要对自身的各种内部和外部的风险进行评估，并相应采取认真的自我控制措施，在进行信息与交流的同时加强自我检查和评价。在稽核人员和内审部门比较薄弱的单位尤其要注意这方面的工作。

总之，内控不仅首先不是，而且主要不是内审监察部门和人员的责任；内控的检查评价也主要不是他们的责任；但同时，对内控的再监督又是内审监察部门义不容辞的重要职责。今后，中央银行在向金融机构（特别是商业银行）布置内控任务的时候，应该区别它们的经营管理部门和内审监察部门的不同职能；而金融机构本身在接受央行指示或任务时，也应理解两者之间的区别,并在执行中注意保持内审工作的独立性。正确认识内控与内审的关系会推动各单位（特别是金融机构）的整章建制等内控制度建设工作，进一步加强各项业务的内控，从而提高经济效益和在市场上的竞争力。

五、内部控制的国际发展趋势及其启示

巴塞尔委员会制定的银行内部控制的十三项原则反映了在内控建设方面的下述国际发展趋势：

1．强调高级领导层的控制责任（Tuneatthetop）。首先，董事会充分理解公司的主要风险，正确设定风险的可接受水平；并定期督导高级管理层识别，估量，监督和控制这些风险；确保内控系统的有效性；建立独立的审计委员会帮助董事会行使这方面的职责。其次，高级管理层负责制定识别，估量，监督和控制风险的程序，通过维护某种组织结构去明确职责、权限和报告关系；确保职责的有效执行；制定有效的内控政策；并监督评审内控的充分性和有效性。

2．大力提倡和营造一种“控制文化”。一方面董事会和高级管理层负责促进在道德和完整性方面的高标准，并在机构中建立一种文化，向各级人员强调和说明内控的重要性。另一方面企业中的所有员工都需要理解他们在内控程序中的作用，并在程序中充分发挥他们的作用。有效的内控系统的一项实质性内容就是建立强有力的控制文化。

3．企业要充分关注对全部风险的评估。特别要明确银行是承担风险的机构，生产企业也需要不时调整内控，以便恰当地处理任何新的或过去不加控制的风险，并对企业不能够控制的风险采取正确的防范措施。

4．控制活动已被当作企业日常工作的不可分割的一部分，而不是对经营管理的额外补充。有效的内控系统能够迅速采取应变措施，避免不必要的成本；建立适当的控制结构，明确定义各经营级别的控制活动。特别强调适当分离职责；识别和尽力缩小有潜在利益冲突的地方；并遵从谨慎的和独立的监督评审。

5．发达国家非常强调企业的信息与交流。首先是保证信息的完整性、可靠性和可获性，并且信息应能够前后连贯一致。其次是信息系统应受到安全保护和独立的监督评审，防止突发事件；特别注意有效地控制电子信息系统和信息技术的使用。另外，建立有效的交流渠道，确保相关信息的正确传达。

6．企业应当注意加强监督评审活动，并强调缺陷的纠正。企业经营管理人员应不断地而不是间断性地在日常工作中监督评审企业内控的总体效果和主要风险；对内控制度定期进行独立、有效和全面的内部审计，并将结果向高级领导层直接报告；及时报告并果断处理所发现的内控缺陷。

7．对内控制度的评价已成为企业内审监督门的日常监管工作和现场检查监督的一部分。内审监督部门和外部审计机构应要求企业具有有效的内控制度，充分和有效地化解企业的风险（特别是主要风险）；监督部门应检查高级领导层的内控态度、内部审计部门的有关工作和外部审计的检查结果等等，对不合要求的企业采取措施。

当然，内部控制既有重要作用，又不是万能的，也有其固有的局限性。例如，1。企业的内控应能合理地确保基本经营目标的实现；但不能把一个本质上很坏的经营者变好，不能左右政府政策和计划的改变，以及竟争对手的行为和客观经济条件的变化。2。内控应能确保财务报告的可靠和合法合规，但不能绝对保证做到这一点，而只能合理保证。这些目标的实现受到内控制度内在的限制，包括决策者失误和决策错误导致的经营中断。控制还可能被两个或两个以上的人合谋制约。管理层也有能力践踏内控制度。此外，内控制度的设计还受到人、财、物等资源的约束。

国际先进内控理论与实践的发展起码给了我国企业界三点重要的启示：

1．要正确理解内控与管理的关系，进一步认识并高度重视内控在管理活动中的重要地位，由公司决策层和部门领导带头，动员各级员工营造良好的控制文化，在内控理论与实践相结合的基础上形成共识和共同语言，按照内控的三大目标和五大组成部分，以规范的内控操作方法，实行对经营管理中各种风险的逐级控制，提高经营管理水平。

2．要正确理解内控与风险管理的关系，进一步确立内控在整体管理中的重要地位，按照国际规范的内控原则和系统框架，尽快建立适合中国国情的企业内控组织结构，如建设内控的执行系统（内部控制委员会）和监督系统（内部审计委员会），尽快在体制上明确高级管理层在这方面的责任，加强对内、外部所有风险的总体研究和控制。

3.要正确理解内控与内部审计的关系，明确内控主要是经营管理部门的责任，对内控的检查评价也主要是经营管理部门的责任；同时，内部审计部门要把工作的重点尽快转向对经营管理的内控系统进行有效的和全面的审计再监督，并在监督评审中注意保持独立性，建议和敦促经营管理部门纠正控制的缺陷。

当前，我们迫切需要呼唤企业的内部控制意识，需要理直气壮地在微观经济中加强管理和控制。要让人们明白：改革不是万能的，企业应下大决心，花大力气，整章建制，严肃纪律，把控制的水平提起来，让改革和控制一同成为企业化解风险，创造效益的武器。

常有意义的是，内部控制还有一套系统的和操作性很强的方法，作者已经发表文章作了介绍，本文不再赘述。

参考资料：

巴塞尔银行监管委员会（1997）“有效银行监管的核心原则”，《金融时报》，7月30日。

巴塞尔银行监管委员会（1998）《银行金融机构内部控制系统的框架》，9月，英特网。

人民银行（1997）“加强金融机构内部控制的指导原则”。

CommitteeofSponsoringOrganizationoftheTreadwayCommission（COSO）(1994):InternalControl

-IntegratedFramework,intwovolumes.

李凤鸣（1998）《内部控制设计》，经济管理出版社。

杨树滋（1997）“关于内部控制系统评审的几个问题”，《金融稽核监督研究》，总第7期。

HaiqunYang(1995):BankingandFinancialControlinReformingPlannedEconomies,MacmillanPress.

杨海群（1995）“论银行的控制与被控制”，《经济研究》，第5期。

杨海群（1999）“稽核评价金融机构内部控制状况”，《金融稽核监督研究》，第1期。

对内部控制的理解范文篇4

1企业内部会计控制的重要性

经济、政治以及科技文化的飞速发展方便社会生产生活的同时也带来一些不良的影响后果以及问题，知识经济近年来带来了极大的生产力，企业发展也迎来了新的更有利的契机。但是要想企业在经济发展的浪潮中稳步前进，必须加强对企业内部会计控制的管理，确保企业的资产安全，确保企业运行良好。企业内部会计控制在企业人员管理，提高生产率及工作效率等方面都发挥着重要的不可替代的作用。因此，企业必须发现了解内部会计控制中存在的易被忽视的问题，提出具体的有效的解决措施，对企业内部会计控制不断改进完善，是保障企业不断发展前进的基础。

2企业内部会计控制的现状及问题

21企业相关认知匮乏

就目前而言，对于企业内部会计控制，一部分企业仍然持观望态度。建立这项制度会消耗很大的人力以及财力，对于企业而言，在没有对一件新生事物或者制度进行准确的价值和收益估算之前，不会轻易尝试。除此之外，企业的领导者对内部的会计控制不是特别重视，缺乏主动性以及相应的积极性，而员工为了保持和领导的共识，也不愿意过多地去接触企业内部会计控制，最终，使得企业内部会计控制无法良好地运用到企业管理上。

22法人治理形同虚设

将我国的社会经济发展实际和当前企业发展状况结合，对企业内部会计控制进行具体的研究分析，可以发现，许多企业的法人治理机制形同虚设，例如：很多企业的董事长可以身兼数职，这样一来，董事长兼职的那个职位就很难发挥其作用。如果董事长兼职的还有监督部门的工作，那么，这个企业的监督部分就很难发挥相应的职能。其直接后果就是：因为一人的身兼数职，很多职位都等于形同虚设，不能很好地发挥其作用，相应的独断专权随之产生。企业内部会计控制也只是多了个部门，完全发挥不到应有的作用。

23企业内部控制不合理

很多企业虽然已经建立了企业内部会计控制，却在内容上不完整，在制度上也不太完善。提到企业内部会计控制，许多人会想到内部监督，却没有充分地从企业管理的整体性上来看内部会计控制。企业员工都不了解，内部会计控制也不能发挥良好的作用。往往在生产、经营上，没能及时地评估、控制，使得在有风险事宜之际，不能做出相应的调整和整合，以避免风险的发生。会计控制的基础就是结合企业的实际资产情况，不能过高地估计自身情况，也不能过于贬低企业自身的能力，否则会对企业进行资产整理、风险预估造成很大的偏差，影响企业发展。一些企业内部会计控制严重偏离现实生活，脱离现有目标，最终问题发生时，难以解决，对企业内部会计控制也失去了信心。使会计控制的作用发挥不出，形同虚设。

24会计人员自身水平有限

如今，在现有的实行内部会计控制的企业，因其从事会计的人员素质不高，缺乏一定的会计知识，对企业内会计工作，不能很好地执行。同时，也不能正确地理解内部会计控制的重要性。在自身控制范围内滥用职权，做一些有损企业利益的事情，如一些会计人员为了达到私人利益，与出纳的相关人员串通一气，侵占公司财产，严重损害企业的利益，给企业带来重大损失。除此之外，一些会计人员的专业水平不足，对会计工作的实质以及内容的理解有限，不能较好地完成领导的工作指示，耽误工作进度，影响工作效率。

3对会计控制问题的改进措施

31管理者提高认知

一项工作得以很好的开展，管理者的态度有很大的影响。如果管理者能充分重视，普通员工也会跟着重视。因此，培训工作必不可少。首先，要让管理者和企业员工认识到内部会计控制的原理、作用及对企业管理的重要性，在企业内部形成良好的气氛。员工们自愿了解、掌握，并严格执行。另外，管理者要加大培训力度，员工可以有模糊不清的时候，但是，管理者必须时刻警惕。只有从根本上认识，从意识上接受，从行动上执行内部会计控制，才会真正地在工作中发挥作用，从而解决企业相关认知匮乏的问题。

32合理改善法人治理机制

法人治理越是规范，越是完善，企业内部会计控制就越能很好地执行。对于企业内部会计控制，部分的管理者是?炔炕峒瓶刂频闹魈搴投韵螅?对内部会计控制能否良好地执行至关重要。所以，董事会的建立必须经过严格的规范准则，突出董事会的重要性。强调在法人治理机制中的重要作用及地位。然后，要建立独立的董事制度，可以根据企业的自身情况，适当地对董事会进行外部发展，具体的做法就是引入外部的，对本企业有利的，可以充分信任的独立董事。这样一来，可以对董事会成员形成监督，可以最大化地体现公平公正，维护股东们的权利。最后，权利一定要准确细化。建立相应的专门委员会，实现严谨的内部分工，这样就可以最大限度地避免法人治理方式的不完善及带来的众多不利后果。

33企业内部完善会计控制

没有规律不成方圆，没有规范的制度，企业也不能很好地发展。因此，企业内部会计控制体系要根据企业内部发展情况，建立健全相关机制，并在此基础上进行完善，发展，以达到内部控制。企业要立足于自身的发展状况，采取有利于自身发展的企业内部控制方案，强化对产品的采购、票据的开发，以及相关的印章等的管理，严格控制、把关。企业内部发展情况，做到客观了解，一目了然。同时，制度在前，发展在后，这样对于即将出现的状况可以提前进行预警。对外投资活动，通过企业内部会计控制进行审核，评估，最终做出有利于企业发展的决策。

34提高会计人员素质

企业要想获得长足发展，必须重视个人的作用。企业内部会计控制对企业生产、管理、经营等各个方面进行展开的有效管理制度。它对每位员工都有很高的要求，特别是财务会计方面，需要不断提高相关人员的能力及水平，才能适应企业的发展，提高会计人员素质及企业人员的综合能力迫在眉睫。因此，企业要不断地开展各种相关的培训，员工形成自觉自愿的学习意识，形成新的知识体系。同时，不断提高自己的业务操作能力，承担起企业会计的重任。所以，企业要建立科学有效的，合理的培训方式，通过选拔人才提高企业人员的积极性。加强会计从业人员的个人道德修养，集体主义价值观，诚心价值观等，培养出综合素质高的财会人员以适应企业发展需要。

对内部控制的理解范文篇5

（一）对内部控制工作的认识不足

当前医院管理人员都能够认识到医院内部控制工作的重要性，但是作为计划经济的产物，医院缺乏相关内部控制的经验，很多医院将企业内部控制照搬过来，这种生硬的嫁接难以达到好的内部控制效果，甚至失效。由于开展医院内部控制的时间短，并且不同于企业等经济实体具有特有的运行管理特点和需要，医院管理人员对怎样在医院开展内部控制还存于探索初期，内部控制效果较难保证。

（二）相关人员之间协调不够

当前医院内部控制工作虽然得到了医院管理者的重视，但是由于内部控制制度是一项系统而复杂的工程，需要工作人员的有效配合和协作，而当前医院相关管理人员对内部控制工作经验不足，仍在探索阶段，使得内部控制工作常常出现脱节或者前后不协调的情况，进而严重影响了内部控制工作的成效。同时在医改的过程中医院为了适应新形势的管理需要，需要对内部管理体制进行调整，而这个过程需要一定时间，进而使得管理体制在一定时间内和管理需要存在差距。

（三）风险评估意识薄弱

当前正处于医疗体制改革的关键时期，中国医院的会计系统还处于发展初期，连贯性、可操作性、科学性还有待提升，仍需建立内控系统和程序。当前很多医院没有依照控制程序对重大经营性决策的确定、大型医疗设备的购置和基建投入进行论证和考核，进而使得使用率不高的资产和设备被购置回来，进而浪费了这些资产和设备，并降低了医院经营成本效率。科学合理的预算机制和投资防线评估机制还没有在医院获得有效建立，导致对内对外的投资风险的增加，并使医院的经济效益受到影响。

（四）内部控制人员培训机制不完善

医院内部实现有效地控制以各种控制手段和技术的科学运用为基础。然而随着社会和科技的进步，相应的内部控制方法和技术也在不断更新，医院财务人员缺乏相应的学习和提升的途径，使得在工作中只能运用陈旧的控制方法和技术，进而影响了医院内部控制的效果。因此医院应当采取各项有效措施为财务人员提供学习新知识的途径，使他们能够有效掌握和运用新方法、新技术，进而保证内部控制工作的顺利高效进行。具体操作中医院可以邀请专家开展专题讲座；派内部控制工作骨干人员参加高校进修；组织财务人员进行交流学习。

二、解决医院内部控制缺失的途径

（一）提升医内部控制人员对内部控制工作的认识

医院应当强化内部控制人员对内部控制工作的认识。首先医院应当将内部控制制度进行完善，对相关内部控制责任进行明确。医院管理者应当在内部控制制度中有效明确相关工作人员的责任，落实相关工作内容。保证每个内部控制人员了解自己该做什么、没有完成或完成不好应该负什么责任。同时设立相应的奖惩制度，为了有效的提升内部控制人员工作的积极性，应当对内部控制中表现良好的工作人员进行奖励，对出现问题或完成不好的工作人员进行惩罚，通过明确的奖惩制度激发内部控制工作人员工作的积极性和主动性。

（二）强化内部控制人员的协调

内部控制是一项系统而复杂的工作，相关人员的有效协调是有效完成工作的前提和基础。针对内部控制工作人员“各自为政”的情况，医院管理人员应当对内部控制工作的各个衔接环节进行明确，对相关的沟通协调责任主体进行明确，进而为各项工作的衔接提供保证。同时对于一些连贯性比较强的内部控制工作，医院管理人员应当安排具有相应能力一位工作人员来完成，避免因沟通不畅导致的工作偏差。最后医院管理者可以安排一至两名内部控制人员专门负责内部控制工作各个环节的协调和连接，并对协调连接中的问题进行及时解决，进而为有效的内部控制工作提供保障。

（三）强化对内部控制行为主体的控制

人是所有内部控制行为的主体，医院内部控制的缺失会引发会计、经营风险。只有实现医院纵向和横向的有效沟通，形成对相关人员行为、动机、思想的有效把握，才能保证医院内部控制工作的有效实现。内部控制管理主体应当起到示范带头作用，并且定期分析医院重点岗位人员的行为和思想，对他们是否存在经商、炒股、进行着重了解，进而对有关人员犯罪的外因进行了解，进而采取措施防范和控制他们违法违规行为。另外医院应当对会计人员进行岗前培训，对在职会计人员则应当采取定期培训和不定期交流学习结合的方式，为会计工作的正确规范进行提供保证。最后应当强化对会计人员业绩的考评，并更换考评不合格者。考核中应当将思想操守、道德品质作为重点，使得会计人员能够以端正的态度和优秀的专业技能投入到工作中。

（四）完善内部控制人员的培训机制

医院应当对内部控制人员的培训机制进行建立健全，使得相关人员能够有效完成岗位工作。具体操作中医院管理者应当定期组织对内部控制人员的专业培训，培训内容需根据岗位实际需求而定，同时应当在培训中强化内部控制人员的知识转化能力，进而保证在工作中他们能够将相关知识转化为高效任务操作。同时医院还应当和高校以及科研单位开展人才培养合作，通过高校针对性的培养，使得学生既具有内部管理控制能力，又了解在内部控制中涉及的医院相关知识，进而能够在未来的工作中事半功倍。同时医院还应当安排有发展潜力的内部控制人员参加交流学习活动，通过交流学习掌握其他医院有效内部控制方法和经验，取长补短，最终实现医院内部控制水平的提升。

（五）对内部审计规章制度进行建立健全

医院内部审计工作水平的提升有赖于审计工作中相关法律法规的有效贯彻。所以医院内部审计机构应当从国家的审计法规和国家的财经法规出发，对内部审计规章制度进行建立健全，各项审计工作的开展应当坚持内部审计规范的方法和程序，促进内部审计工作的规范化、制度化、法制化的实现。具体操作中应当从以下两点出发，首先定期培训内部审计机构人员，使得相关法律法规能够被工作人员熟练掌握。其次对内部审计的责任制度、激励机制、控制制度进行建立健全，对内部审计机构和人员的行为进行有效规范，从根本上一些内部控制人员随意工作、盲目工作的现象，保证内部审计工作的严格执行。

三、结语

对内部控制的理解范文篇6

关键词：财务内控；建设

1企业风险的分类

萨班斯法案的实施和企业进行内控制度建设的主要目的就是使企业各项生产经营活动的效率和效果能够与企业发展的长远战略相一致，并实现短期业务目标，同时保证生产经营活动的合法合规性，保证财务信息的真实性，避免违法违规事项对企业经营造成不利影响，通过加强内部控制来改进公司治理状况，最终加强公司的责任。因此，首选必须了解影响财务信息真实的潜在风险。风险可以分为如下几类：

（1）财务报告失真风险：企业未完全按会计准则、制度等规定组织会计核算和披露信息，导致财务报告在完整性、准确性等方面存在问题。要保证会计信息真实、完整，要特别注意遵守会计信息的一般性原则，主要包括：

①信息的一贯性；

②信息的真实客观性；

③信息的相关性；

④信息的及时性；

（2）资产安全受到威胁：指管理制度不健全或执行不到位，企业实物资产如设备、存货、证券、资金和其他资产的安全受到威胁。

（3）营私舞弊风险：以故意的行为获得不公平或非法的收益。

（4）经营决策风险：影响决策的时效、依据和质量等。

（5）违反法律法规风险：没有全面执行国家法律、法规和政策规定所带来的风险。

2内控建设的目标

（1）建立有效的内部控制环境。控制环境是推动内控工作的发动机，是所有其他内控组成部分的基础。公司要有积极的控制环境，使整个组织中的员工具有控制觉悟和自觉的控制态度，要建立对风险进行事前防范、事中控制、事后监督的内部控制环境，由单一的执行制度转变为体系的整体运转与企业文化引导。

（2）建立风险评估与防范机制。风险评估是识别和分析那些妨碍实现经营管理目标的困难因素的活动，对风险的分析评估构成风险管理决策的基础。风险评估主要关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。

（3）建立控制活动及控制文档。控制活动是为了合理地保证经营管理目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序。对控制活动过程中发生的重要内容要留下实施控制的痕迹，形成控制文档，由以往的结果管理转变为过程管控。实施控制活动和控制文档制度，建立内控工作底稿，是实现企业管理系统化、制度化、流程化的重要手段。

（4）建立信息及沟通机制。信息的沟通和交流需贯穿于整个经营管理活动中，确保所有部门和员工充分理解和坚持现行的政策和程序，确保相关信息能及时传达到应被传达到的人员。

（5）建立严密的内控监督机制。建立监督机制就是要形成经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的机制。通过日常工作中监督评审内控的效果，不断发现内控缺陷，持续改进。

3内控制度控制活动设计的原则

（1）合规、合法性原则：内控应当符合国家的法律法规，并符合企业实际，同时满足上市的法律监管要求。

（2）全员性原则：内控涉及单位内部全体员工，并对全体员工具有约束力。

（3）全面性原则：内控应涵盖单位内部各项经济业务及相关岗位，并针对业务处理过程中的关键控制点，落实到决策、执行、监督、反馈等各个环节。

（4）内部牵制原则：内控应保证机构、岗位的合理设置及其职责权限的合理划分，坚持不相容职务相互分离，确保不同机构和岗位之间权责分明、相互制约、相互监督。

（5）成本效益原则：内控应遵循成本效益原则，以合理的控制成本达到最佳的控制效益。

（6）适应性原则：内控应随着外部环境的变化、单位业务职能的调整和管理要求的提高，不断修订和完善。

4确保财务信息真实的内部控制实施措施

（1）完善内控环境，加强制度建设控制，构筑严密的企业内部控制体系。

①切实提高单位负责人对建立和完善内部控制制度重要性的认识。单位负责人作为财务信息真实的第一责任人，对内控制度建设的认识和态度至关重要，只有提高单位负责人对内部会计控制的认识，取得单位负责人对内部会计控制的理解和支持，才能保证本单位内部会计控制的合理设置和有效执行。

②注重对内部会计控制制度执行人员的选用和培养。内部会计控制的作用主要体现在其执行上，要最大限度地发挥内部会计控制的作用，发现并制止各种不合理、不合规定情况的出现与存在，就必须重视对内部会计控制制度执行人员的选用、培训和考核，提高内控制度执行人员的素质。

③制定科学、规范的内部控制文档。内控制度设计中，务必保证流程步骤路径要流畅，风险点标注要准确，控制点要到位，风险控制文档和程序文件对流程图的描述要详实，控制证据、文件要齐全。

④明确内部会计控制制度设计的主体。为了保证企业内部会计控制制度的权威性，内部会计控制制度设计的组织者必须是企业管理层，并成立专门的项目组、内控办。只有由管理当局牵头组织设计，才有可能在会计信息处理系统之外，在整个单位营造一个顺畅的真实会计信息生成环境，才有可能有效建立和运作会计内控制度。

⑤全员培训，全员参予。要确保将内控制度、控制措施、控制责任层层落实至各级单位、各个岗位、各个员工，要由落实责任转变为全员管理。

⑥构筑严密的企业内控体系。将企业内部控制体系分解为“防、堵、查”三个层次，贯彻落实到整个生产经营活动中，具体来讲就是在企业的生产一线——各营业窗口建立相互牵制、相互制约的制度，建立以“防”为主的监控防线。在财务部门、业务管理部门建立稽核组，对生产经营一线的各项业务、各项报表进行日常性和周期性的稽核检查，建立以“堵”为主的监控防线。第三个层次是以内控办、审计、纪律检查部门为基础的审计小组，定期或不定期的抽查，建立有效的以“查”为主的监督防线。以上三个层次构筑的内部控制体系对企业发生的经济业务和会计部门进行“防、堵、查”监督控制，再配合上级公司的监督检查，对于及时发现问题，防范和化解企业经营风险和会计风险将具有重要的作用。

(2)落实风险责任控制。建立业务、营账系统、计费信息系统和财务各个环节的信息生成责任制度，形成跨部门协调机制，确保从输入到输出整个流程处理的正确性。完善财务报告制度及报告责任，逐级对财务报告签署《声明函》，承诺所报告信息已经本人认真审核，保证其真实、完整，对上报报表承担责任。强化会计监督、财务检查及责任追究制度，通过执行对财务信息的真实及会计制度的定期检查，防范财务信息失真的风险。

（3）强化财务管理控制。实行资金收、支两条线的管理办法，建立集团总部、省分公司、地市分公司、县级分公司逐级财务工作考核制度，从会计信息质量、资金资产安全、财务预算控制、资金结算纪律、遵守财经法规情况等各方面进行逐级考核、监控，从而强化整个集团公司财务管理控制力度，确保各项法规、制度得到有效遵守和落实。

（4）推进信息化手段控制。将业务控制要求嵌入到会计信息系统中，同时加强对会计信息系统本身的控制，全集团使用统一的会计帐务处理系统，统一会计科目、会计政策，使用统一的财务报表系统，统一财务报表格式，从而使得整个集团的会计处理和会计信息的形成均遵循统一的口径和原则，避免会计人员理解偏差和科目混乱的现象的发生，促进会计信息质量的提升。（5）强化对内部会计控制制度实施情况的监督、检查与考核，并建立有效的激励机制。实施各责任部门的内控自我评估和内控办定期或不定期检查的办法，及时了解、跟踪内控制度执行情况，将内控评价及改进建议及时通过评价报告的形式反馈给公司管理层及管理部门。通过自查和检查的方式，通过建立内部会计控制监督、检查和考核评价机制，改变监督不及时、不到位和手段滞后的状况，贯彻事前、事中和广泛监督的原则，以制度为保障，促使内部控制工作真正落到实处、收到成效。

5内控实施中应处理好的关系

(1)内控与生产经营的协同关系：一项好的内部控制，其控制触角应涉及企业经营的各个环节和各个方面，没有控制死角，确保企业的各项经营管理活动均纳入了内部控制范围。同时，内部控制既要保证满足外部信息批露要求，也要保证企业正常运营，企业的内控应能合理地确保基本经营目标的实现，内控不能成为经营管理的绊脚石，必须处理好内控流程与生产经营流程的协同问题。同时，内控活动需要人力、物力、时间资源的投入，在重要的、关键的环节必须控制的同时，还要衡量各项投入成本，是否能从控制活动带来的风险减少或经济利益增加中得到弥补，否则内控活动就会得不偿失。因此，内控活动必须讲求成本效益原则和重要性原则。

对内部控制的理解范文篇7

为了论述方便，首先简要分析一下内部控制审计的分类。经济组织内部进行内部控制审计，不可能都针对整个内部控制系统进行，更多情况是对其中部分展开。按照涉及内部控制的范围，大致可分为如下三类：1、业务循环内部控制审计，所谓业务循环内部控制是指对某个业务循环实施的控制，这种审计按照经济组织的业务纵向展开，专门审计业务循环内部控制；2、非独立部门内部控制审计，这种审计专门针对某个不独立的部门或机构所涉及的内部控制，所谓不独立，是指财务上不独立，没有独立的财务机构，也不单独核算；3、独立单位内部控制审计，这种审计是对经济组织所属的独立单位的内部控制进行审计，独立单位是指财务上独立的，可以是投资中心或利润中心，也可以是子公司，单独设置财务机构的分公司，它们自己本身可能有一套内部控制，同时还要执行经济组织作为整体的内部控制。这三类审计各有各的特点，但在审计程序上，由于独立单位内部控制审计相对较复杂，程序最全面，因此以下即以其为蓝本讨论。

内部控制审计程序与其他审计中作为审计程序的内部控制评价应该有相似之处，因为毕竟两者都是以内部控制为焦点而展开，但由于服务的目标不一致，在程序上也有差别。内部控制评价程序一般是：1、了解与记录内部控制；2、初步评价控制风险；3、实施符合性测试；4、评价内部控制的强弱。作为一种单独开展的审计，了解经济组织的基本情况这些准备工作是必须的，因为对内部控制需求越强烈的经济组织，其规模越大，这是必然的；在大规模的组织里，管理高层、各个下属机构的诸多具体的基本情况内部审计人员不可能都熟悉。了解基本情况是开展内部控制审计的基本条件，否则无从下手。同样大规模的组织内既存在针对整个组织的控制，也存在针对某个部分或某个下属机构的控制，内部审计人员也不可能都熟悉，因此了解内部控制也是必须的。在了解内部控制阶段，还必须初步分析所了解信息，以初步确定内部控制的健全性和有效性，规划要实施的符合性测试程序。接下来与内部控制评价程序一样，实施符合性测试，以获得遵循性的评价，同时最终确定健全性和有效性。最后归纳总结审计结果，提出审计报告。

总结上述，本文认为内部控制审计程序为：1、了解基本情况；2、了解内部控制；3、实施符合性测试；4、提出审计报告。下面即以该程序为主线展开讨论，其中提出审计报告在内部审计报告中讨论。

（二）了解基本情况

了解基本情况，是了解所要审计内部控制所涉及单位的基本情况，这些情况是展开审计的必要准备和基本条件，影响着整个审计的过程和结果。这些基本情况包括：1、单位所属的行业和历史沿革（着重于管理沿革）；2、单位组织结构、各机构的人员规模和岗位结构；3、单位资产规模、生产经营或专业服务的特点规模；4、主营业务及辅助业务类别、业务量；5、财务会计机构及其工作组织；等等。这些基本情况可以通过询问管理人员、查阅相关文件、会计和统计资料等方法来获得。

基本情况获得后，审计人员就要适当利用自己专业判断，确定以下内容：1、业务循环及其大致内容；2、必须控制的重要或经常发生的业务；3、内部控制应有的严谨程度；4、审计应该投入的人力及分工和时间预算。确定业务循环及其大致内容实际是划分业务循环的过程，确定的是审计展开的主线；重要或经常发生的业务是必须控制的，确定它们就是确定审计的重点；内部控制的严谨程度是与独立单位的规模相关的，规模较小的单位内部控制程度就相应较低，衡量标准就不能太高，实际这就是确定衡量标准的问题，提出设计意见时必须考虑；确定投入的人力和时间预算是为了保证整个审计过程有条不紊地进行，保证审计质量。

下一步工作是制定审计总体计划，其主要内容就是上述基本情况获得后审计人员所确定的内容，主要包括审计的范围，即业务循环及内容，审计的重点，即必须控制的重要或经常发生的业务，审计组人员构成、分工和时间预算。这个计划在以后审计过程中还要适时调整。

需要特别说明的是业务循环的划分。业务循环的划分是将若干个关联的经济业务或管理活动组合在一起。2001年财政部的《内部会计控制基本规范》（征求意见稿）中提出，“内部控制的内容主要包括对货币资金、筹资、采购与付款、实物资产、成本费用、销售与收款、工程项目、对外投资、担保等经济业务活动的控制”，其中这些经济业务就是基本的业务循环划分，但目前有多样化的趋势，国际内部审计师协会就提出预算管理、资讯管理等管理作业。业务循环是以后审计程序展开的主线，了解内部控制和符合性测试都按照它来组织，因此划分业务循环影响到整个审计的组织、效率和质量。一般来说业务循环应按下列原则来划分：1、覆盖单位所有业务及其各个环节；2、每个业务循环能反映出所涉及业务的共同性质特点及其全部过程；3、有利于审计的组织安排。

（三）了解内部控制

了解内部控制的内容

要了解内部控制，首先要解决内部控制的构架问题。1988年美国AICPA提出内部控制结构即控制环境、控制结构和会计系统，我国独立审计准则即采用这种观点。1994年COSO报告提出内部控制要素即控制环境、风险评估、控制作业、信息与沟通、监控。内部控制要素是内部控制结构的纵深发展，在内容上进一步完善，在内部环境上更注重员工的素质，增加风险评估强调要实现目标就必须分析相关风险，构成风险管理的基础，将会计系统扩大为信息与沟通，更强调信息的内部传达，增加监控要素将内部控制的执行纳入进来。由于COSO报告提供出的内部控制理论很全面，更加接近内部控制的本质认识，而内部控制的建设要以先进理论为指导，与实际情况相结合，因此本文认为，在我们目前的条件下，我们应采用COSO报告的观点，以它的框架为指导，同时鉴于我国目前内部控制落后的情况，应更加注重控制作业和监控，即如何建立起健全有效的控制程序与政策以及它们的实际执行，在控制作业完善的带动下，风险评估和信息与沟通也逐步完善，同时逐步转变管理观念，提高员工素质，建立起合理的法人治理结构和具体组织结构，使控制环境得以改善。

由于内部审计充当监控的主要角色，内部控制审计就是履行监控的职责，因此了解内部控制阶段对监控的了解可以置于次要地位；又由于风险评估的风险是管理层和作业层控制目标因内外部风险因素影响而不能实现的风险，对它进行评估后设置相应的控制作业来控制，而内部控制审计要做的一部分工作就是评价控制作业是否能控制住风险，实现控制目标，实际就是风险评估过程，因此风险评估不做了解，而在接下来的分析工作中进行。由于控制作业实际就是控制程序与政策，为了理解直观起见，本文就称其为控制程序与政策；由于内外部信息和它们在单位内外部、内部各部门各成员之间的流动可以构成一个系统，因此信息与沟通可以合称为信息系统。总结上述，本文认为内部控制审计要了解的内部控制要素为控制环境、控制程序与政策及信息系统。

如上所述，了解内部控制以业务循环为主线展开的，即按业务循环逐个循环了解，这些循环构成单位整体，这是横向的；同时针对每个循环的控制，分别去了解它控制环境、控制程序与程序、信息系统，这是每个循环的控制的纵向构成，是纵向的了解。横向纵向的交叉了解构成了解内部控制程序的骨架。

了解控制环境是了解影响内部控制其他要素的因素，提供内部控制构成基础好坏的证据，同时为分析内部控制健全性有效性和遵循性好坏的原因提供证据素材。了解控制环境的内容实际就是控制环境的内容，按照COSO报告，控制环境包括：1）、员工的诚实性和道德观；2）、员工的胜任能力；3）、董事会或审计委员会；4）、管理哲学和经营方式；5）、组织结构；6）、授权和分配责任的方式；7）、人力资源政策。这里主要是针对各个业务循环所涉及的部门、人员、方法来说的，其中第3点是针对整个单位，实际在了解基本情况程序中就已进行。

了解控制程序与政策，就是了解控制目标实现风险所采取的措施，它是了解内部控制要素中最重要的部分。每个业务循环都可分为若干个作业，而每个作业都要设置若干控制程序和政策来控制，我们本文把这些作业称为控制点。比如制造业的销售与收款循环可分为接受定单、核准信用、发运商品、开具发票、应收账款与记录、收款、退货及客诉处理等作业。在业务循环的划分阶段，已经取得了业务循环大致内容的了解，在了解控制程序与政策阶段，应进一步了解，去获得足够信息来进一步确定业务循环内的各个作业，然后针对每个作业，去了解所采取的控制程序与政策。

了解信息系统只要是了解单位内外部信息记录载体，以及沟通方式。外部信息载体包括记录市场份额、法规要求和客户反映等信息的资料，内部信息载体包括业务申请审批报告、各种分析报告、进行控制作业形成单据、会计资料等等。沟通方式包括政策手册、财务报告手册、备查簿、口头交流、管理示例等。

进行内部控制的了解可采取的方法与内部控制评价程序中的一样，大致查阅控制文件和控制信息记录载体、询问有关人员、观察作业的进行和内部控制的运行情况等等。

初步分析健全性和有效性

在对内部控制获得了解后，就可以对其健全性和有效性进行初步分析，以规划将要实施的符合性测试程序。初步健全性分析主要是分析哪些重要或经常发生的业务或作业应该设置控制而未设置。这些业务在了解基本情况中已获悉，而重要或经常发生的作业则在了解控制程序与政策中已了解，通过了解控制程序与政策能知道它们是否设置控制。

初步有效性分析主要是针对控制程序与政策而实施的。这实际就是初步的风险评估。初步有效性分析首先要分析确定各个业务循环、各个作业的控制目标，然后再分析所了解到的控制程序与政策，看它们是否能实现控制目标。对于控制有缺陷的可以提出初步的改进意见。

初步的健全性和有效性分析后就可以规划将要实施的符合性测试。一般来说对于以下情况就可以不进行测试：1）对业务循环或关键控制点的控制初步评价为无效；2）在了解内部控制的过程中已知对某业务循环或关键控制点的控制未得到遵循；3）在了解单位内部控制的过程中已知对某业务循环或关键控制点的控制得到很好遵循；4）虽对业务循环或关键控制点设置控制但未发生相关业务。而以下情况就可以考虑进行大范围的测试：1）相关业务大量发生的业务循环或关键控制点的控制；2）相关业务虽不大量发生但涉及金额相对较大的业务循环或关键控制点的控制；3）控制程序相对复杂的控制。规划结果应记入审计计划，并对审计计划做相应调整。

记录内部控制

制度基础审计理论中记录内部控制的方法主要有：文字叙述，调查表，核对表，流程图。本文认为作为记录方法内部控制审计可以采用。对于控制环境的记录，一般是文字叙述，按照上述控制环境的几个方面来记录。了解基本情况程序也采用文字叙述的方法记录。记录要形成审计工作底稿。

记录内部控制主要是记录控制程序与政策和信息系统。采用的方法以上四种都可以采用，但以调查表最为常用。在本文中，即讨论调查表改进和特殊运用。

一般，调查表的调查内容是有审计人员根据自己的经验和被审计单位的情况自行设计的，但对于内部控制审计，本文认为，鉴于我国目前内部控制薄弱和人们对内部控制该如何知之甚少的情况，调查表应该引入标准内部控制作为导引，以配合政府推动内部控制的建设。标准内部控制是指针对某个业务或作业由权威部门设计的标准控制。比如2001年财政部的《加强货币资金内部控制的若干规定》（征求意见稿），就是标准的内部控制。对于各类型单位共有的业务或作业，如货币资金业务、固定资产业务融投资业务等可由财政部门制订统一标准；对于具有行业特性的业务或作业，如生产循环、销售及收款等主要针对制造业，则由行业主管部门或行业协会分别制订，供不同行业采用。在调查表中引入标准内部控制，要从权威部门制订的针对各业务或作业的标准内部控制中，按业务或作业内部若干个控制点抽取提炼出对控制点的标准控制程序和政策，作为调查表的调查内容。调查控制程序和政策时就循其进行。同时由于引入了标准内部控制，对单位特殊的控制程序和政策可能就无法调查得到，而那些控制也是很重要的，因此有必要将调查表与文字叙述结合起来，加入单位实际做法的叙述。结合的方式就是在每个控制点控制调查内容下面单设一行，用来记录单位的特殊做法。

（四）符合性测试

1、符合性测试的实施

符合性测试包括设计测试和执行测试，设计测试即健全性和有效性测试，执行测试即遵循性测试。健全性和有效性在了解内部控制程序中已做过初步分析，但由于了解阶段获得的信息可能不彻底，如通过询问得知对投资业务的控制，但是讲述人所述是否真是如此，是否全面，需深入了解，还由于有效性健全性初步分析结果需进一步获得证据确证，如通过分析认为对某控制点设置的控制能达到控制目标，但这个判断是否正确，还需要进一步了解实际情况，因此需要通过测试进一步获得更全面的信息证据来确证。执行测试是符合性测试的主体，主要是检查内部控制是怎样执行的。

进行内部控制设计测试，主要要做如下工作：1）更深层次地了解单位的内部控制，作出更准确的健全性和有效性评价；2）获得进一步支持健全性和有效性初步评价结果的证据；3）检验在了解和初步评价内部控制阶段所作的重要专业判断和分析。进行内部控制执行测试，要特别注意如下事项：1）对业务循环和关键控制点设计的控制是如何具体组织应用于实际的；2）控制是否一贯执行；3）是否由控制规定职务的人来执行，其中后两个是重中之中。

《独立审计准则第5号——内部控制与审计风险》中提供了三种符合性测试方法，即检查交易和事项的凭证、询问并实地观察未留下审计轨迹的内部控制的运行情况、重新执行相关内部控制，三种方法可单独或合并使用。本文认为符合性测试方法应以检查为主，同时辅以观察和询问。因为控制执行一贯、规定职务人执行是重中之重，而控制执行中留下的审计轨迹亦即控制信息载体能反映出这两者，检查控制信息载体就能了解到这两者，在检查的同时通过观察和询问获得控制具体应用的证据。检查控制信息载体，即针对每个业务循环所涉及的单证、报告、合同等控制信息载体，抽取其中部分，检查执行各个控制点下各个控制程序与政策留下的记录，推断出是否得到全面一贯的执行。抽取工作采取属性抽样技术来进行，基本与内部控制评价中的相同。样本量的大小根据了解内部控制阶段的规划确定，样本采用随机选样或系统选样的办法选取。

2、遵循性评价

遵循性评价主要针对控制点控制内的各项控制措施。内部控制的实际遵循情况是个程度概念，遵循与不遵循只是它的两个极端，本文认为对遵循性的评价应采取评级的办法，以更好的反映遵循程度。遵循性级别最好分为四个到六个等级，等级太少难于准确衡量遵循程度，等级太多难于把握等级之间的差别，由审计人员根据具体情况确定级别；每个级别还应确定应提的审计意见，如遵循性分为A、B、C、D四个级别，被评为A级的，提出执行较好的意见，B级提出应加强的意见，C级提出应重点加强的意见，D级提出特别提示加强的意见。评级时审计人员主要根据属性抽样结果，同时综合考虑通过观察询问得到的控制应用于实际的情况，运用自己的专业判断，评判其遵循性级别。

本文认为，评定级别只是一种手段，重要的是要实现内部控制审计目标。进行评级提出各种加强意见是为了实现督促内部控制执行的审计目标，而发现控制具体应用于实际中存在的问题，以及发现因控制未很好执行而导致财产损失、信息失真、效益下降等问题则是为了检查内部控制执行。对遵循情况评级后评价时更应注重建设性意见的提出。

3、健全性和有效性评价

通过设计测试既可能获得健全性和有效性初步评价须修正的补充证据，又可能获得确证初步评价结果的证据，因此这个阶段的评价主要工作一是综合了解和测试两阶段所获得所有资料，对健全性有效性作出最终评价；二是针对不健全和控制无效或有缺陷的地方提出审计意见。

健全性评价主要针对重要或经常发生的业务或作业，主要应注意三种情况：1、控制文件中没有规定控制，测试程序中也未发现实施了控制；2、控制文件中没有规定控制，经询问相关人员得知设置了控制，但经测试没有实施控制；3、没有控制文件，其他了解方法也不能得知是否设置控制，但经测试已实施控制。前两种情况就应对相应业务或作业提出控制不健全的意见，后一种应认为实际是健全的，但应提出健全控制文件的建议。

有效性的评价主要是针对未采用标准内部控制而实施特殊控制的情况，对采用了标准内部控制的也要做简要分析，因为标准内部控制可能不适于单位，而且一些控制政策需要按照标准结合自己的实际自行制定。有效性评价首先要分析确定对各控制点实施控制应达到的目标，本文认为可以在内部控制系统目标的指导下结合控制点的具体情况分析确定，如对现金收入的控制程序，根据保证资产的安全完整目标，分析确定其目标为保证现金收入以真实金额真正流入单位，根据保证信息记录的真实完整确定控制目标为保证现金收入都真实无误的加以记录，根据提高运营效率确定目标为提高现金流入单位的速度，根据保证遵守国家法律规章确定目标为遵守《现金管理暂行条例》相关规定。各个控制点控制目标不一定与控制系统目标一一对应，有些系统目标对某些控制点可能不适用，如采购验收这一控制点的控制目标就与“保证遵守国家法律规章”无关，根据具体情况采用。目标确定后再分析控制点控制的各项措施是否能达到控制目标。

对测试过程中发现的重大财产损失、效率低下、违法事件等问题，应特别注意分析其控制健全性和有效性原因，如果是因健全性和有效性导致的，那么这些问题既是健全性有效性初步分析的确证，又是分析评价和提出建设意见的重点。

健全性有效性评价的重点在意见的提出，是为了实现补充完善、再生内部控制的审计目标。对有效性的评价实际上是有效性分析和改进意见形成的混合体，分析的过程中意见也就可以有针对地提出，而且改进意见是目的。健全性的评价实际是确定未控制的业务或作业和针对其建立内部控制的过程，主要工作在后者。可以看出有效性评价和健全性评价在基本方法上是一致的，都是内部控制建立的方法，因为有效性分析和改进意见的提出实际也是在确定控制目标、分析风险、提出控制措施。因此内部控制建立方法是健全性和有效性评价、对实现审计目标的要件。

关于内部控制建立的具体方法本文不再详述，只提出一点意见。本文认为，在健全意见和有效性改进意见提出的过程中，应特别注意标准内部控制和内部控制方法的运用。标准内部控制前已述及，为配合政府推动内部控制建设，对于特定业务或作业，应注意运用相应的标准内部控制，并与自己的实际情况结合起来，以提出更具建设性的意见。这对健全性意见的提出更具实际意义。内部控制方法在前述2001年我国财政部《内部会计控制基本规范》（征求意见稿）中有规定，它们是：1）组织规划控制，包括合理的组织机构设置和不相容职务设置，不相容职务为授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与业务稽核、授权批准与监督检查；2）授权批准控制，包括确立合理的授权批准范围、层次、责任和程序；3）文件记录控制，包括机构职能和授权批准权责文件、岗位说明书、业务程序手册、业务处理凭证、会计资料系统，或类似的文件，以及这些文件的宣传认知；4）预算控制，包括预算体系的建立、编制和审定、指标的下达和落实、执行授权、执行过程控制、预算差异的研究和反馈、预算的考核及奖罚体系；5）财产保全控制，包括限制接近、定期盘点和核对、记录保护、财产记录控制、财产保险；6）职工素质控制，包括职工聘用、培训、考核、轮岗、奖惩、晋升、解聘；7）风险抵御控制，包括筹资风险、投资风险、合同风险、信用风险的评估与控制；8）内部报告控制，包括生产报告、经营报告、财务报告、特殊事件报告，以及报告的处理；9）电子信息系统控制，包括系统组织和管理、系统开发与维护、文件资料、数据、网络安全控制，输入输出控制、处理控制。这些方法对建立和改进意见的提出能发挥出指导和衡量的作用。

(五)内部审计报告

与其他审计报告一样，内部控制审计报告也是对审计结果的总结。在提出审计报告前，审计人员应重新检查在审计过程中获得的资料，做如下一些分析：1、是否了解研究了单位所有重要控制；2、所作分析判断是否得到了测试的证实或有足够的证据支持；3、是否遗漏了其他需要考虑的影响最终评价的客观事实；4、最后的健全性有效性遵循性评价是否适当，有足够的证据支持；5、出现了那些因内部控制导致的重大问题，哪些人员严重违反内部控制且已致严重后果；等等。审计项目负责人还要复核审计底稿，之后就着手准备撰写审计报告。

内部审计报告应突出重点，一些细节问题只要通知当事人或主管人员就可以，不必在审计报告中反映，还应便于理解，一些有关内部控制的专业术语尽量用易懂的词句代替。关于报告内容本人认为应包括如下：1、单位基本情况简介；2、内部控制体系介绍；3、内部控制健全性有效性遵循性评价及具体意见；4、因内部控制导致的重大问题及有关人员严重违反内部控制且已致严重后果的事实和处理意见。其中关于健全性有效性遵循性评价及具体意见只反映存在问题的各个控制，运行良好的不必反映。报告格式本文认为无须固定，只要能充分反映出上述内容即可。

对内部控制的理解范文1篇8

关键词：国有企业；内部控制；问题；建议；

一、国有企业内部控制存在问题

（一）内部控制环境不够理想

企业的核心是企业中的人及其活动，人的活动在环境中进行。企业控制环境决定其他控制要素能否发挥作用,是内部控制其他要素发挥作用的基础,直接影响到企业内部控制的贯彻和执行以及企业内部控制目标的实现,是企业内部控制的核心。

1、国有企业部分管理者对内部控制认识不足

国有企业管理者在建立一个有利的控制环境中起着关键性的作用。企业管理者的经营管理的观念、方式和风格,都会极大地影响控制环境。当今国有企业管理者对内部控制的认识不够,对内部控制理解比较片面,未能理解企业内部控制系统的全面含义。部分管理者认为内部控制就是相互牵制,不设置内部控制机构,有的管理者甚至把内部控制与发展和效益对立起来,只注意抓效益而对风险关注不够,有的管理者认为内部控制即是各种规章制度简单的汇总,没有制定必要的控制程序,使得内部控制得不到落实,有的管理者认为内部控制就是内部监督。

2、企业部分员工的内部控制素养较低

目前国有企业员工普遍对内部控制认识不足,内部控制素养比较低,导致内部控制缺乏企业员工的支持和理解,甚至对起约束作用的内部控制产生抵触心理,不利于企业的内部控制建设。因此,急切需要加强各级员工的素质,使他们清楚的认识到自己在企业、在内部控制系统中的位置和角色,并协调一致,才能使内部控制发挥作用。

3、公司治理结构不完善

内部控制与公司治理结构有着紧密的联系，是互相保证和促进的关系。公司治理结构实际上是实行内部控制的制度环境，是促使内部控制有效运行、保证内部控制功能正常发挥的前提和基础。而内部控制在公司治理结构中担当的是内部管理监控系统的角色，是有利于企业管理者实现企业经营管理目标、完成目标管理的一种手段。

在我国的经济体制转轨过程中,国有企业也正在逐步建立现代公司制度。由于公司治理结构不够完善,所有权主体不明确,法人治理结构不健全,缺乏对企业经营者有效的激励与约束机制,使得企业经营者缺乏重视内部管理和控制的动力,影响了企业内部控制的建立与执行。国有企业目前公司治理机制不完善,有些根本未设立董事会、监事会,已经设立了的也没有完全起到应有的作用,基本由股东(国资委)在监管。

（二）内部控制活动不够完善

从国有企业的主要业务来看,主要有以下两方面的缺陷:：

一是各具体业务层面,公司对具体经营业务层面上的业务流程的关键控制点没有进行系统的归纳和有针对性的设计控制措施。

二是内部控制制度体系还不健全,制度体系的层次性、规划性不强。

（三）内部控制监督需要加强

在监督方面,国有企业目前还没有形成有效的内部控制监督机制。没有建立定期的评估机制,日常监督没有得到良好的贯彻执行,导致企业内部控制方面存在的缺陷问题不能及时被发现,影响企业的健康运转。有的国有企业虽设立有审计监察部门，但内部审计局限于传统的“财务监督”与偏重纪检监察角色,对内部控制制度进行评价、检查和提出管理建议方面依赖中介机构的管理建议书。

二、完善国有企业内部控制建设的几点建议

（一）加强国有企业内部控制环境的建设

注重国有企业内部控制环境的建设，使构成企业内部控制环境的因素能有效地发挥其功能。完善企业法人治理制度、加强企业组织结构建设。国有企业改革的方向是建立现代企业制度,完善公司法人治理结构。国企要加快建立与市场经济相适应的公司法人治理机制,整合监管力量,完善监管体系，使国有资产的利益真正得到保护。改善会计环境,有效地实施内部控制,健全财务监督体系。我国加入世贸组织后,社会主义市场经济改革和国有企业体制改革进一步深化,国有企业面临的经营风险和压力也越来越大，要求国有企业必须加强内部控制,以防范和化解经营风险在市场经济条件下，必须健全企业内部控制约束系统和保障机制，适应企业监管的要求，保证国企改革顺利进行。

（二）完善国有企业内部控制风险机制,强化内部控制措施

国有企业应将风险评估系统化，通过风险评估识别企业内部所有重要业务流程，不断完善重要业务流程风险数据库。通过利用各种风险分析技术，采取恰当的方法降低经营风险。国有企业应完善内部管理，推行计划指标化管理，定期召开高层管理者参加的计划审题会,把经营过程纳入计划轨道,着重加强物品采购、价格制定等经营关键点的控制。国有企业应选择多种控制方法和内部控制措施,从授权审批、会计系统、财产保全等方面,加强内部控制。

（三）加强信息沟通机制，健全内部审计机制

先进的信息系统,可以极大地解决信息不对称带来的负面影响。国有企业安全生产、经营管理的信息化系统应强化企业经营者的内部控制意识，督促其不断完善内部控制。结合国有企业实际情况，充分发挥内部监督作用，较好地弥补内部公司治理监督和约束机制的空缺。内部审计是监督内部控制其他各环节的主要力量，不仅能够科学有效地监督和制约财产物资的采购、计量、验收等各个环节，而且能够有效纠正各种损失的发生。能够提高内部审计的地位,确保其权威性和独立性，随时发现问题并及时解决和纠正。同时,构建强有力的外部监督系统,实现对国有企业内部控制的规范和监督。

（四）建立科学的财务管理体系

国有企业财务人员的工资发放、绩效考核由上级财务负责人考核，实行集中管理，统一委派管理，对上级财务负责人实行实线管理。公司的财务部门建立预算编制的单元，合理划分财务内部职能。财务部门内部设置各级小组负责公司的财务管理，对企业的财务核算，财务制度的制定，资金管理账户管理，投资、资产的管理,经营收入计划、成本计划和收入、成本的分析等进行控制管理。从保证企业资产安全完整和会计信息可靠着手，做好基础工作,建立覆盖生产、经营管理的财务管理体系，规范企业会计行为，保证会计资料真实完整。

参考文献：

对内部控制的理解范文篇9

随着医疗事业的不断发展，医院遭遇的内部与外部风险也是无可避免的，这时医院必须发挥风险导向审计在医院内部控制的作用，对医院内部进行自我监督、自我约束，使风险导向审计在医院内部发挥应有的作用。笔者在本文着重介绍了风险导向审计与医院内部控制的关系及风险导向审计在医院内部控制中的应用。

一、风险导向审计与医院内部控制的关系

风险导向审计是医院内部控制的重要组成部分，风险导向审计是对内部控制的再控制。医院虽然可以通过专业人士的评价、外部行政管理部门的监督检查、外聘中介机构等进行监督检查，但要想对日常事务进行全方位多层次的检查，只有内部审计可以做到。风险导向审计对医院内部控制系统的充分性、有效性发挥着重要作用，内部审计及时根据实际情况的变化而进行医院各部门的调整，为内部机制的有序运行提供保障。同样，内部控制搞好了，对于审计工作的顺利开展也有很大帮助：一方面可以提高审计效率，为审计制定合理的程序，另一方面也有助于确定审计的方法与范围，为审计提供依据，最后对于审计的质量也有了保证。

二、风险导向审计在医院内部控制中的应用

依据国家审计协会的《内部审计实务标准》，风险导向审计主要应用在编制审计计划时、确定审计范围时、编制审计方案时、实施审计过程中、编制审计报告时等，从风险导向审计与内部控制的关系来看，可以得出结论，医院风险导向审计离不开医院内部控制，采用风险导向审计办法，必须建立在对医院的风险管理与内部控制有一定了解的基础上，只有了解了这些基本情况，才能对内部控制实现再控制，合理配置审计资源，提高审计效率。

1.了解单位基本情况，进行应用思路的部署

进行风险导向审计的应用，必须要了解应用单位的基本情况，对于风险导向审计在医院内部控制中应用进行分析，必须要了解医院年总收入情况、固定资产、拥有病床数、相关背景、工作人员方面全方位的内容，然后进行运用思路的部署。为了实施风险导向审计，首先必须要对医院内部进行风险监测、分析、与预警，提高医院整体的风险防范意识，其次需建立健全医院内部控制制度，降低控制风险。通过对医院风险的分析与内部控制的评估，最后按风险的高低制定审计方案，开展审计工作。由审计风险模式可以看出，审计风险与重大错报风险和检查风险相关，其中重大错报风险很大层面上与医院的风险管理体制不严格、风险监测不严密相关。因此，应用风险导向审计的第一步便是完善风险管理体系。

2.建立与完善医院风险管理体系

医疗体制的改革，医疗卫生事业的迅速发展，使医院面临的风险越来越多且越来越大，建立与完善医院风险管理体系已经势在必行，为了促进医院管理体制的发展，根据相关文献与实践经验提出计划与控制系统应用于风险管理体系，如何实现计划与控制系统是需要深思的一个问题，我们必须要从组织保证、工作重点、具体措施三方面入手。在组织保证方面，需要明确的是要想实现计划与控制目标，必须要建立相应的机构来实现，这时，计划控制委员会的成立是必要的，其工作的内容是先制定医院的战略部署与总体的工作计划，再对工作的总体进程进行控制，最后对计划的内容进行评价，来决定计划与控制管理中的问题。

单独成立计划控制委员会无法对工作进行直接部署，在其下级需要成立发展计划部，计划部的组成人员可以有管理人员、医疗人员、文秘人员。该部门的主要任务是对医院各种相关情报进行收集整理分析，对于可能发生的风险提出提前预警方案，协助领导进行全院的计划与控制工作，为计划与控制委员会提出具有建设意义的方案，并且对计划的合理性进行审查与调划，成为计划与控制的桥梁。

依据其它企事业单位的实践与研究及相关研究资料表明，该部门的工作内容含有拟定实施计划与各项草案，审查设定的计划在医院风险管理以及内部控制中的运用情况，并对运用过程进行监督，对于在此过程中出现的问题给出评估，并给出相应的解决措施，对医院的内外部环境进行综合分析，对于潜在风险要进行日常管理。

医院要把全面风险管理的思想贯穿于计划与控制的整个过程，把此作为计划与控制管理工作的重点，以此为思路进行医院内部计划控制与管理，有助于计划实施的有步骤、有条理，从而实现医院的发展目标。

3.完善的系统控制降低风险

为完善医院的内部控制系统，实现风险导向在医院内部控制中的应用，要在以下几个方面进行相关研究。要点之一便是要通过监察审计室来进行内部控制的评价与估测，监察室有了对内部控制方案的基本了解后，明确各科室在内部控制中的职责，了解风险导向审计部门在对内部控制进行监督与评价时的责任与义务。依据相关文献与国家颁布的法律政策，实现评估与审计内部控制而采取的措施和政策有以下几项：审查医院的内部控制制度是否符合国家规定的有关法规以及企业制订规章制度、办法、程序等；审计医院内部控制系统是否具有真实性完整性、系统性全面性等特点。

要点之二便是排查风险，完善医院内部控制制度，这一点要求各部门对自己部门内部的各个程序所存在的风险进行一一排查与估算，对风险划分相应的等级，按照等级制定相应的应对与填补漏洞措施，完善内部控制，通过对风险点的排查，有效地降低风险的发生概率，对于风险导向审计在内部控制中的应用提供有效指导作用。

通过前两个要点对内部控制系统的完善可以有效地降低风险发生的可能性，要点三和四是对一和二的补充与拓展，要点三是开展内部风险评价试点，对内部风险进行量化评价，依据各风险点的影响与后果，划分风险等级，依据风险等级划分审计资源，节省人力、物力、财力，在有效的分配资源中降低了内部控制的风险等级。

要点四是制定和完善内部控制方法，内部控制的重要组成部分之一就是要对内部控制系统进行监督评价，因此，必须要形成有效的监督与评价体系，对医院内部各部门的风险等级进行明确划分，明确评价内容。具体评价内容包括内部控制环境、风险评估、制度建设、岗位设置与管理、权限控制、计划管理、计算机信息系统控制、应急机制等，把等级与内容相结合。

对内部控制的理解范文篇10

论文摘要:商业银行的内部控制是商业银行的一种自律行为,它以商业银行全部的经营活动或业务运作为客体,以规范并有效控制各类业务活动为基本特征。从商业银行成立时起,陆续出台了一些管理措施和文件,内控制度建设迈出可喜的一步,对化解风险、确保依法合规经营起到了很大的作用。但是,近年来,随着改革的不断深入,出现许多新情况、新问题,由银行内部引发的案件屡见不鲜,内部控制制度建设被提到新的高度。文章指出,面对复杂的社会环境和激烈的同业竞争,如何建立起一套行之有效的内部控制系统,并在实际工作中加以应用,是我们面临的重要课题。

一、银行内控的理论依据

1.国际金融界对内部控制问题的重视。《巴塞尔协议》以银行业风险监管为核心,包含银行业内控思想。1999年10月,巴塞尔委员会发表“有效银行监管的核心原则”共25条,其中专门有两条谈及内部控制,指出“稽核应具有适当的独立性,在行内有一定地位”,“应有合格训练有素的工作人员进行有效的全面的内部稽查”,“内部稽核应形成直接向银行董事会或银行稽核委员会报告的机制”。世界银行金融市场发展局对金融监管及稽核机构的能力有一个评价。它们认为:“稽查机构的能力包括两部分:一是权力,二是能力。权力包括稽查制度的先进性、独立性,查账权力范围,对有问题的金融部门采取法律行为的权力,关闭和重组机构的权力。能力包括稽查机构人员的奖励机制、内部管理制度,人员数目和素质,稽查机构与被稽查机构的关系。”

2.人行监管的现实需要与商业银行的现行稽查制度。中国人民银行1997年5月16日颁布的《加强金融机构内部控制的指导原则》中第22条指出:内部稽查部门要实行综合性内部监督职责,实行对一级法人负责,以保证其独立地履行监督检查职能。建立制度规章,保证内部稽查部门独立性和权威性,按“下查一级”要求实行“派驻制”。在各商业银行都普遍设立一个副行级的“总稽核”职位,保证稽核工作相对的权威性与独立性。

二、如何建立内部控制制度

重新构建金融机构约组织管理体系,搞好整体协作,发挥整体功能。合理的内部组织结构既是内部控制有效运作的组织保障,又是内部控制的重要组成部分。商业银行的组织机构通常应遵循相对独立,强化内部监督职能,实行由行长领导、总稽核负责,各个部门具体操作执行的机制,并成立决策领导小组,对经营中的重大问题进行决策,从而使经营风险最小化。

完善人事管理制度,建立起行之有效的员工管理方式。一要树立员工的权责意识,从而使他们能坚守自己的岗位,对自己的岗位负责,从而避免内控机制中的违规操作,避免风险;二要普遍推行岗位轮换制,它不但使有关人员发展成为业务多面手和综合管理人才,也可以避免因长期负责一个部门或一个岗位而产生的各种弊端;三要建立优胜劣汰的人才使用机制,充分提高全体员工的工作积极性,使人才资源得到最佳配置。具体措施如下:

1.梳理工作流程,建立岗位责任制。银行的各项业务活动都可以分解为不同的环节,分设不同岗位,由不同的人员负责办理。合理有效的岗位分工是实施内部控制制度的基础。岗位分工是根据劳动组织形式来确定,对于一些不相容的岗位,必须实行岗位分离,以达到相互制约,预防风险的目的。岗位责任制就是明确每个岗位工作人员的工作范围、职责和权限,实现定岗、定人、定责,使他们各司其责,各负其责,分工协作,互相监督,人员的安排不能发生责任冲突。要识别和尽力缩小有潜在利益冲突的地方,并遵从谨慎的和独立的监督评审。

2.突出重点岗位,实施重点监控。选择对在一个业务流程中起着重要作用的控制环节,进行重点监控。

3.实行授权授信控制。授权授信是指各部门在处理经济业务时,必须经过授权授信批准,以便进行控制。其中包括:(1)授权批准的范围,即经营活动范围;(2)授权批准的层次,应根据经济活动的重要性和金额大小确定不同的授权批准层次,从而保证各个管理层有权又有责;(3)授权批准的责任,应当明确被授权者在履行权力时应对哪些方面负责,应避免授权责任不清,一旦出现问题又难究其责的情况发生;(4)授权批准的程序,应规定每一类业务的审批程序,以便按程序办理审批,避免越级或违规审批的情况发生。

4.建立事前、事中、事后监督体系。为了能够对前台业务出现差错及时发现和纠正,建立事前、事中、事后监督体系。事中、事后监督不能面面俱到,要有选择、有重点对重点岗位进行补偿性控制,以保证内部控制机制的高效性和可靠性。

5.文件记录控制。对要求进行内部控制的各个环节和措施,要形成文字材料,有章可查。其主要内容有:(1)建立全员岗位说明书,对每个岗位都应有相应的书面材料,内容包括岗位职责、岗位上下关系和岗位任职条件等等;(2)业务操作规程手册,每位员工必须了解本人在处理业务时所处的位置,前后作业环节;(3)建立授权审批权限文件。

6.建立内控监督机构,加强内控队伍建设。内控监督机构对每个岗位、每个部门和各项业务实施全面监督反馈制度,实现与行政管理交叉控制。

(1)内控监督机构必须在形式上和实质上保持独立。形式上独立是指稽核人员应独立于本行业务和管理人员,不能自己监督自己;实质上监督是指站在党的政策和全行利益上实施稽核。

(2)稽核工作要制定科学、合理、统一的监督审计程序,要有一定的稽核覆盖率和稽核频率,涵盖主要业务和重要风险点。

(3)内控监督机构人员应由熟悉业务、有责任心、作风正派的人员构成。

7.建立违规必究的处罚机制。建立对事不对人的处罚标准,在同一支行内实行统一标准。防止重检查轻整改,必须树立规章制度的权威,对于违反规定的要坚决按标准处罚,对屡查屡犯的应从重处罚,同时给予通报批评。

8.加大科技投入,提高内控技术含量。科学技术的迅速发展,特别是计算机在银行业务中应用的不断深入,为我们进行内部控制提供了新的武器。通过软件开发,将内部控制的一些规定编入程序,由软件程序进行控制,可以起到人控、物控控不了的作用。人控、物控只能解决不想违和不敢违问题,但解决不了个别人想违而不能违问题,要真正解决不能违问题则需要程序控制。

三、国外商业银行经验借鉴

1.强调高级领导层的控制责任。首先,董事会充分理解公司的主要风险,正确设定风险的可接受水平;并定期督导高级管理层识别、估量、监督和控制这些风险;确保内控系统的有效性;建立独立的审计委员会帮助董事会行使这方面的职责。其次,高级管理层负责制定识别、估量、监督和控制风险的程序,通过维护某种组织结构去明确职责、权限和报告关系;确保职责的有效执行;制定有效的内控政策;并监督评审内控的充分性和有效性。

2.大力提倡和营造一种“控制文化”。一方面董事会和高级管理层负责促进在道德和完整性方面的高标准,并在机构中建立一种文化,向各级人员强调和说明内控的重要性。另一方面企业中的所有员工都需要理解他们在内控程序中的作用,并在程序中充分发挥自己的作用。有效的内控系统的一项实质性内容就是建立强有力的控制文化。

3.企业要充分关注对全部风险的评估。特别是明确银行是承担风险的机构,生产企业也需要不时调整内控,以便恰当地处理任何新的或过去不加控制的风险,并对企业不能够控制的风险采取正确的防范措施。

4.控制活动已被当作企业日常工作中不可分割的一部分,而不是对经营管理的额外补充。有效的内控系统能够迅速采取应变措施,避免不必要的成本;建立适当的控制结构,明确定义各经营级别的控制活动。特别强调适当分离职责,识别和尽力缩小有潜在利益冲突的地方,并遵从谨慎的和独立的监督评审。

5.发达国家非常强调企业的信息与交流。首先是保证信息的完整性、可靠性和可获性,并且信息应能够前后连贯一致。其次是信息系统应受到安全保护和独立的监督评审,防止突发事件,特别注意有效地控制电子信息系统和信息技术的使用。另外,建立有效的交流渠道,确保相关信息的正确传达。

6.企业应当注意加强监督评审活动,并强调缺陷的纠正。企业经营管理人员应不断地而不是间断性地在日常工作中监督评审企业内控的总体效果和主要风险;对内控制度定期进行独立、有效和全面的内部审计,并将结果向高级领导层直接报告;及时报告并果断处理所发现的内控缺陷。

7.对内控制度的评价已成为企业内审监督部门的日常监管工作和现场检查监督的一部分。内审监督部门和外部审计机构应要求企业具有有效的内控制度,充分和有效地化解企业的风险(特别是主要风险);监督部门应检查高级领导层的内控态度、内部审计部门的有关工作等等,对不合要求的企业采取措施。

对内部控制的理解范文篇11

1.制度执行不到位。虽然相比一般的上市公司,上市保险公司对相关制度的遵循总体还是较好的,但分析其历年披露的内控信息,发现上市保险公司对制度的执行或多或少都有不到位之处。如中国平安2011年的内控评价报告,并没有遵照上交所的规定报送附件,披露格式指引规定以外的公司内部控制的相关情况。中国人寿在2011年之前的内控信息披露都很简单,并没有按上交所或保监会的要求披露更具体的内控信息。另外在执行相关制度时,保险公司也会带选择性地执行某些制度要求,而不是全面遵照执行。

2.制度执行标准不统一。由于我国内控信息披露制度起步较晚,相关制度也处在不断建设与完善中,梳理现有的与上市保险公司内控信息披露相关的制度,主要有证监会、财政部及保监会的规范,政出多门,规范要求不统一,这样导致不同的上市保险公司选择执行不同的制度要求,内控信息的可比性大大降低。如中国平安内控报告2007年遵照的是上交所指引的要求,2008年遵照的是保险公司内部审计指引的要求;而中国太保内控报告2008年、2009年遵照的是保险公司内部审计指引的要求,2010年遵照的是保险公司内部控制基本准则的要求;2011年则与上交所2011年的格式指引要求一致。

3.有用信息不足,内控信息质量亟待提升。内控评估报告形式上是越来越规范了,但有用信息却并没有增加,甚至还有减少,信息使用者真正关心的问题不披露或披露较少,比如企业内控缺陷的认定标准。内部控制缺陷认定标准的确立是内控评价中的基础性和关键性问题,对于确定内控缺陷,进而对内控缺陷进行整改都有着非常重要的影响。内控规范体系将内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷,要求上市公司根据自身情况和关注的重点,确定的具体认定标准并披露,只有中国人寿在2011年的报告中对此进行了详细披露。

4.信息披露不全面,披露的基本上是正面信息。对于信息使用者关注的内控缺陷,却不愿详细说明公司存在哪些具体内控缺陷,这些缺陷会给企业带来哪些影响,企业针对缺陷采取哪些改进措施等等。再如《保险公司内部控制基本准则》要求公司在评估报告中披露上一年度发生的违规行为和风险事件及其处理结果,但并没有一家公司披露过,当然这并不是因为它们没有违规行为。

5.信息冗余,无用信息过多。如年报中公司治理结构部分对公司内部内部控制制度的建立和健全情况的披露,不同的公司有不同的理解,不仅没有可比性,更重要的是形式多于内容,多提供的是信息使用者不关心的工作总结似的内容。内控评估报告中对内控五要素的披露,文字过长,无用信息过多,妨碍了有效信息的传递。

6.保险公司对内部控制的认识与理解需要提升。2004年COSO颁布《企业风险管理———整体框架》,风险管理有八个要素组成:内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。从将风险评估作为一个要素到进行风险管理整体框架研究,可以看出内部控制与风险管理的趋同性和风险这一因素在内部控制中的作用和地位越来越重要。而从上市保险公司披露的内控信息来看,大多公司还未建立以风险为导向的内部控制体系,对内控的认识甚至还停留在合规性层面,没有认识到内控对于提高经营效率效果、促进企业实现发展战略的作用。

二、完善上市保险公司内控信息披露的建议

(一)企业层面

1.提高企业对内部控制建设与内部控制信息披露的认识。高质量的内部控制信息披露是建立在企业良好的内部控制体系基础上的。保险公司内控建设中存在有首要问题是领导不重视,企业管理层对内控的理解停留在应付相关监管部门的检查上,没有真正理解内部控制提高经营效率效果、促进企业实现发展战略的目标。没有企业高层领导的身体力行,企业不可能形成良好的内控环境与文化,更不可能配备适当的资源,为企业内控建设提供强有力的组织保障。因此提升保险企业公司治理水平,在公司治理层面保障内控制度的建设与执行,逐渐建立企业高层对内控的战略意识,克服企业短期业绩模式,从理念上重视内部控制对企业持续经营的作用。

2.建立适合企业的内控评价体系。科学合理的内控评价体系是内控体系建设至关重要的一环。不论是理论研究还是企业实务操作,内控评价在我国起步较晚,方法体系都处在摸索阶段。虽然五部委颁布了内控评价指引,但该指引只是一些原则性的规定,并未提供给企业一套完整的方法体系,企业必须在内控建设过程中,针对企业实际情况,结合行业性质与业务特点,遵从《企业内部控制基本规范》,明确企业内控的评价目标、评价标准、评价内容、评价程序、评价方法及评价结果的认定,从而建立起适合自身的内控评价工作的组织和方法体系。

3.加强保险业内控人才建设与培养。内部控制专业人才的缺乏是保险公司内控建设的一大障碍。保险公司的内控建设是一项的系统工程,需要既了解保险行业特点、熟悉公司的运营情况及面临的风险,又具备内控专业知识的综合性人才。因此企业需要建立适合企业自身的内部培养内控人才的机制,加强内控业务培训,切实提高人员技能素质,重点培训企业高级管理人员。

(二)制度层面

对内部控制的理解范文

反洗钱内部控制审计就是对每项控制设计和运行的有效性进行评价。在评价时，应当充分考虑是否针对洗钱风险设置了合理的细化控制目标，是否针对细化控制目标设置了对应的控制活动，相关控制活动是如何运行的，相关控制活动是否得到了持续一致的运行，实施相关控制活动的人员是否具备必需的权限和能力。注册会计师应采用自上而下的方法选择拟测试的控制。首先，从被审计单位环境开始，对反洗钱内部控制整体风险有一定的把握；其次，将关注重点放在管理层面的控制上，并将审计工作逐渐下移到对重要客户和产品控制的了解上；然后，找出可能出问题的控制点，进行反洗钱内部控制测试。

（一）计划审计工作阶段

在计划审计工作中，注册会计师应当首先制定一个总体、恰当的计划，然后选取有专业胜任能力的人员进入项目组，要客观评价反洗钱内部控制以及对审计工作有影响的事项。

1．签订审计业务约定书

注册会计师应当在反洗钱内部控制审计业务开始前，与被审计单位就审计业务约定条款达成一致意见，并签订反洗钱内部控制审计业务约定书，以避免双方对审计业务的理解产生分歧。

2．了解被审计单位反洗钱内部控制环境并确定整体风险

首先，了解被审计单位的反洗钱法律法规和行业概况。了解反洗钱法律法规以及违反法律法规的行为可能导致的罚款、诉讼等，识别因违反反洗钱法律法规的行为而导致的重大风险。其次，了解被审计单位组织结构、经营特点和相关风险等重要事项。应考虑的因素包括但不限于：管理层对反洗钱工作的重视程度、反洗钱工作人员专业素质、反洗钱规章制度的完整性和操作性、反洗钱内部审计发现的问题等。第三，被审计单位反洗钱内部控制最近发生的变化。内部控制的变化将会直接影响到注册会计师审计程序的性质、时间和范围，包括新增的业务流程，原有业务流程的更新，反洗钱领导小组成员、反洗钱联络员变更等。第四，与被审计单位沟通过的反洗钱内部控制缺陷。注册会计师应当了解被审计单位对以前年度审计中发现的反洗钱内部控制缺陷所采取的整改措施及整改结果，并相应调整本年的反洗钱内部控制审计计划。最后，对反洗钱内部控制有效性做出初步判断。注册会计师结合上述考虑以及借鉴以前年度的审计结果，形成对反洗钱内部控制有效性的初步判断。

3．设定重要性

审计重要性是在特定的环境中，注册会计师从金额、性质两个方面运用一定的评估方法所作的一种专业判断，其运用目的是提高审计效能，避免审计风险和降低审计成本。运用重要性就是将审计重点放在高洗钱风险业务或产品和可疑交易报告工作的内部控制上。如果这项反洗钱内部控制缺陷连同其他缺陷可以影响外部对被审计单位的反洗钱工作认识，那么该项缺陷就是重大的。在执行反洗钱内部控制审计时，注册会计师应该考虑重要性与审计风险的关系，注册会计师应当运用职业判断确定重要性。

（二）实施审计工作阶段

在实施审计工作中,注册会计师应当对管理层和业务层进行控制测试。在测试时,要把握重要性,以评价内部控制是否足以应对洗钱风险。

1．识别、了解和测试管理层控制

注册会计师应当识别、了解和测试对内部控制有效性有重要影响的管理层控制。注册会计师对管理层的评价，可能会增加或减少本应对其他控制进行的测试。在注册会计师测试管理层控制时，至少应当关注：

（1）与控制环境相关的控制。控制环境设定了被审计单位的反洗钱内部控制基调，影响员工对反洗钱内部控制的认识和态度，主要包括管理层的反洗钱管理理念和风格、反洗钱部门设置和责权分配、反洗钱制度建设、反洗钱人力资本投入等。注册会计师应关注被审计单位管理层对反洗钱内部控制的重视程度及是否按照风险管理思想建立健全反洗钱内部控制，设立反洗钱专门机构的情况及反洗钱工作人员是否具备相应的履职能力，反洗钱内部控制的建设情况及是否根据政策变化及时更新制度，业务条线反洗钱资源配置情况及是否按照指定的政策和工作流程进行反洗钱工作，反洗钱宣传培训的情况及是否将反洗钱知识准确地传达给员工和客户。

（2）被审计单位的风险评估过程。风险评估是被审计单位根据反洗钱内部控制目标，贯彻风险为本的反洗钱策略，结合实际情况及时识别风险和评价洗钱风险发生的可能性和影响程度而采取应对措施的过程。注册会计师应关注被审计单位反洗钱内部控制是否在风险评估的基础上涵盖了管理层面的风险和所有重要业务层的风险。在评价被审计单位洗钱风险评估的设计和执行时，注册会计师首先应评估某项业务面临的洗钱风险点，其次评估被审计单位对该项业务洗钱风险控制措施的有效性，最后根据风险点和措施的有效性进行综合评估。

（3）对信息传递的控制。信息传递包括内部信息传递和外部信息传递。内部信息传递是指反洗钱职能部门与业务条线、上下级机构之间进行的反洗钱信息传递与共享。外部信息传递是指被审计单位与反洗钱监管机构、行业协会组织、同行业机构以及客户群等外部渠道进行的反洗钱信息沟通。注册会计师在了解信息传递的控制中，至少需要了解被审计单位信息传递的主要机制。如果传递机制与被审计单位环境不相适应时，需要考虑此种情况是否会影响其对内部环境的评价。

（4）对控制有效性的内部监督。反洗钱内部监督机制是确保反洗钱内部控制能够持续有效运行的保证，主要是通过内部审计、管理层督查、工作考核等形式对反洗钱内部控制进行评价及监督。注册会计师应该了解相关的内部监督控制，并对控制的设计和运行的有效性进行评价，重点关注被审计单位是否开展反洗钱内部控制自查并上报有关自查报告，是否建立有利于促进反洗钱内部控制各项政策措施落实和问题整改的机制。

2．识别和了解反洗钱业务层控制

注册会计师在进行反洗钱业务层控制测试时，应结合被审计单位实际，重点对其经营活动中的重要业务或产品的控制进行测试。

（1）了解反洗钱工作主要流程。反洗钱工作流程包括客户风险等级划分、对高风险业务或产品的识别及风险管理、客户身份识别及持续识别、客户身份资料和交易记录保存、大额交易和可疑交易的识别和报告、反洗钱信息系统技术支持等。注册会计师需要判断被审计单位的反洗钱工作流程及相关控制活动是否得到有效运行。

（2）识别内部控制可能出现问题的环节。注册会计师不需要识别出所有可能出问题的环节，而是结合重要性确定对反洗钱内部控制有重大影响的环节。例如，内部机构设置不合理，主要表现为：岗位设置不合理，设置的反洗钱人员大多为兼职人员，除反洗钱工作外还承担着其他大量业务工作，导致反洗钱工作不到位；或者虽然明确反洗钱人员的岗位职责，但职责内容较为简单，缺乏具体和细化的操作程序。再如，反洗钱检测系统开发不完善，主要表现在：系统不能及时、完整提取相关数据，可疑交易指标设置不合理导致可疑交易数据量过大；或者系统没有与客户风险等级划分系统及其他业务条线系统有效衔接。

3．选择拟测试的控制

针对反洗钱工作流程中容易发生洗钱风险的环节，注册会计师应当确定被审计单位是否建立了有效控制以防止或发现这类风险，是否遗漏了必要的控制。注册会计师在对反洗钱内部控制进行测试时，并不需要测试反洗钱工作流程中所有的控制点，而是应该把握重要性，选择适当的控制点进行测试，以获取充分、适当的审计证据支持其对反洗钱内部控制有效性的评价。选择适当的控制进行测试需要注册会计师的职业判断。对于每个控制要素对应的每个可能风险点，只需要选择一个控制进行测试。

4．设计并实施控制测试

注册会计师应当根据反洗钱内部控制相关的风险，确定拟实施审计程序的范围、时间和方法，以获取充分、适当的审计证据。

（1）审计范围。在确定审计范围时需考虑如下因素：一是与控制相对应的洗钱风险的严重程度。对于反洗钱工作影响重大的控制，注册会计师应扩大审计范围以确定其运行的有效性。二是反洗钱控制运行的频率。控制运行的频率越高，所需测试的范围越广泛。三是业务或反洗钱控制的复杂性。被控制的业务越复杂，或控制的运行越复杂，注册会计师的测试范围就越广泛。

（2）审计时间。反洗钱内部控制审计应该尽量安排在接近被审计单位内部控制自我评价基准日的时间前后，并且实施的测试需要涵盖足够长的期间。注册会计师应该收集足够多的证据证明被审计单位反洗钱内部控制在基准日前足够长的期间内都有效运行。注册会计师需要运用职业判断来决定控制测试的时间以及涵盖的期间。

（3）审计方法。注册会计师可以通过询问适当人员、观察反洗钱业务工作、检查相关文件、重新执行、穿行测试等方法对反洗钱内部控制设计与运行的有效性进行判断。

5．评价内部控制缺陷

如果某项反洗钱内部控制的设计或运行不能防止或发现洗钱行为，就表明该内部控制存在缺陷，具体包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现反洗钱控制目标所必需的控制，或现有控制设计不恰当，即使正常运行也难实现预期的控制目标。运行缺陷是指设计适当的反洗钱内部控制没有按设计意图运行，或执行人员没有获得必要授权或缺乏胜任能力，无法有效地实施反洗钱内部控制。缺陷主要包括系统缺陷、环境缺陷、信息缺陷、管理缺陷、人力资源缺陷。注册会计师需要对发现的反洗钱内部控制缺陷进行分析评价，判断其严重程度。

（三）完成审计工作阶段

在完成审计工作中，注册会计师要取得经被审计单位签署的书面声明，如果拒绝提供或者以不正当理由回避，则应当视为审计范围受限，应该解除业务约定或出具无法表示意见的内控审计报告。注册会计师要以书面形式与董事会和经理层沟通识别出来的所有重大缺陷和重要缺陷，以及认为内部审计机构对内部控制的无效监督。最后出具对反洗钱内部控制有效性的意见。

二、对审计结果的应用