第一章  企业内部控制概论







通过本章学习，应达到以下学习目标： 
1. 理解什么是内部控制； 
2. 掌握企业内部控制的目标、内部控制要素、内部控制原则和内部控制的方法； 
3. 熟悉我国企业内部控制体系的构成内容。



【引导案例】
十分钟的悲剧案例来源： 冯武勇.德国国家发展银行操作失误往雷曼兄弟黑洞送钱［EB/OL］.http://finance.sina.com.cn/world/gjjj/20080919/15075322914.shtml,20080919.

2008年9月15日上午10:00，拥有158年历史的美国第四大投资银行——雷曼兄弟公司向法院申请破产保护，消息转瞬间通过电视、广播和网络传遍地球的各个角落。令人匪夷所思的是，在如此明朗的情况下，德国国家发展银行10点10分，居然按照外汇掉期协议的交易，通过计算机自动付款系统，向雷曼兄弟公司即将冻结的银行账户转入了3亿欧元。
转账风波曝光后，德国社会舆论哗然。销量最大的《图片报》在9月18日头版的标题中，指责德国国家发展银行是迄今“德国最愚蠢的银行”。法律事务所的调查员先后询问了银行各个部门的数十名职员，几天后，他们向国会和财政部递交了一份调查报告。报告并不复杂深奥，只是记载了被询问人员在这10分钟内忙了些什么。
首席执行官乌尔里奇·施罗德： 我知道今天要按照协议约定转账，至于是否撤销这笔巨额交易，应该让董事会讨论决定。董事长保卢斯： 我们还没有得到风险评估报告，无法及时做出正确的决策。董事会秘书史里芬： 我打电话给国际业务部催要风险评估报告，可那里总是占线，我想还是隔一会儿再打吧。国际业务部经理克鲁克： 星期五晚上准备带上全家人去听音乐会，我得提前打电话预订门票。国际业务部副经理伊梅尔曼： 忙于其他事情，没有时间去关心雷曼兄弟公司的消息。负责处理与雷曼兄弟公司业务的高级经理希特霍芬： 我让文员上网浏览新闻，一旦有雷曼兄弟公司的消息就立即报告，现在我要去休息室喝杯咖啡了。文员施特鲁克： 10点03分，我在网上看到了雷曼兄弟公司向法院申请破产保护的新闻，马上就跑到希特霍芬的办公室，可是他不在，我就写了张便条放在办公桌上，他回来后会看到的。结算部经理德尔布吕克： 今天是协议规定的交易日子，我没有接到停止交易的指令，那就按照原计划转账吧。结算部自动付款系统操作员曼斯坦因： 德尔布吕克让我执行转账操作，我什么也没问就做了。信贷部经理莫德尔： 我在走廊里碰到了施特鲁克，他告诉我雷曼兄弟公司破产的消息，但是我相信希特霍芬和其他职员的专业素养，一定不会犯低级错误，因此也没必要提醒他们。公关部经理贝克： 雷曼兄弟公司破产是板上钉钉的事，我想跟乌尔里奇·施罗德谈谈这件事，但上午要会见几个克罗地亚客人，等下午再找他也不迟，反正不差这几个小时。
德国经济评论家哈恩说，在这家银行，上到董事长，下到操作员，没有一个人是愚蠢的。可悲的是，几乎在同一时间，每个人都开了点小差，加在一起就创造出了“德国最愚蠢的银行”。实际上，只要当中有一个人认真负责一点，那么这场悲剧就不会发生。演绎一场悲剧，短短10分钟就已足够。


第一节企业内部控制概述

一、 建立企业内部控制制度的意义

(一) 为了有效防范企业风险并实现持续健康发展

在市场经济条件下，企业在生产经营过程中会面临各种各样的风险，风险无处不在。如果企业不能有效地防范风险，轻则会影响企业持续健康发展，重则会导致企业倒闭。1996年美国《财富》杂志对评出的500强公司分析，发现其中80%已被淘汰，例如埃克森美孚石油公司便是其中之一。被淘汰的公司普遍存在两个问题： 第一是它们缺乏持续创新能力； 第二是它们未能有效地管理风险。从国外的巴林集团、美国安然公司、雷曼兄弟，国内的中航油等昔日的明星企业，虽然也曾辉煌一时，但由于漠视风险，风险管理失效，缺乏有效的内部控制机制，导致企业走上了毁灭之路。




著名财经作家吴晓波在其《大败局——十年中国知名公司成败经验对比》一书中说： 在中国每分钟就有两家企业破产。中国民营企业的平均寿命只有3~7年，中国每年约有100万家民营企业破产倒闭。


因此，企业要持续健康地发展，就必须加强风险的防范，建立一个健全有效的内部控制制度。内部控制制度由预防机制、纠错机制和激励机制构成。内部控制立足于预防机制，内部控制制度是企业的防范风险的免疫系统，是一道有效的风险“防火墙”。内部控制通过不相容职务分离、授权审批等制衡机制，可以防止企业生产经营中的重大失误，防止员工利用职务之便舞弊。纠错机制是风险管控的第二道防线，如果预防机制失效，就可以启动纠错机制，对已经发生的失控事件进行制止，并采用相应的补救措施以防类似的事件再次发生。纠错机制主要通过监督来实现。为了实现内部控制的全面性，全员参与，要通过归口管理、考核评价等一系列的制度进行奖惩，即建立激励机制。
(二) 提升内部管理的需要
企业内部控制就是企业内部管理制度，它涉及企业管理的方方面面，如采购、生产、销售、资产、工程、合同、财务管理、人力资源管理、企业文化、组织架构等。公司治理也成为内部控制的控制环境。实施内部控制是对企业各项管理制度的整合。一个企业内部控制水平直接反映了企业的综合管理水平。因此，建立内部控制度的核心是全面提升企业管理水平，提高企业核心竞争力。因为，企业的核心竞争力取决于两个方面，一是技术，二是管理。现代企业管理制度必须以风险管理为导向。内部管理的核心也是提高经营效率和控制经营风险。内部控制作为一种制度安排，可以将企业业务部门与会计联结起来，将各业务部门有机地联结起来。内部控制通过流程化和一系列的程序和方法将企业的各项管理制度有机地联结起来。目前，我国企业的内部管理还存在诸多问题，由于缺乏有效的内部控制制度，致使企业投资失误、损失浪费严重、资产使用效率低下，虚假交易造成会计信息严重失真。因此，亟须建立有效的内部控制制度，提升企业的内部管理水平。千万不能将内控游离于企业内部管理之外，这样的内控只是流于形式。
(三) 内部控制与风险管理已成为一个国际性话题
2002年，美国“安然事件”发生后，国际审计公司安达信公司倒闭，一系列的后果导致美国国会通过并出台萨班斯法案。其中“404条款”要求公司在年报中披露内部控制评价报告，并聘请注册会计师对公司财务报告内控有效性出具审计报告。2008年全球性的经济危机使人们更加关注风险管理和内部控制。
欧盟随着统一市场的建立和资本流动的加速，要求改善市场效率和有效性的呼声不断高涨，促使欧盟进一步关注公司内部控制问题，并在其改革白皮书中予以确认。英格兰与威尔士特许会计师协会发布了《内部控制——关于“联合规则”的董事指南》，要求公司董事会检查内部控制制度的有效性，完善风险应对机制。法国和日本也分别颁布相关法规对企业实施内部控制自我评估提出明确要求。我国建立内部控制自我评价与社会中介进行鉴证的制度也是为了顺应国际化的要求，贯彻中央“走出去”的要求，为我国企业“走出去”提供“安全网”和“防火墙”。
二、 企业内部控制的产生与发展
从理论上讲，人类自从有了群体活动，就有了一定意义上的控制，任何一个组织都有不同程度的内部控制制度。如远在公元前3600年前的美索不达米亚文化时期，就有极简单的内部牵制机制。当时，经手钱财的人要为付出的款项提出付款清单，并且由记录员将这些清单汇总报告，在汇总报告时，记录员要核对付款清单，并在付款清单上打上“点、钩、圈”等核对符号。古埃及在法老统治时期，就设有监督官负责对全国各级机构和官吏是否忠实地履行受托事项，财政收支记录是否准确无误加以间接管理和监督。但真正的“内部控制”产生于20世纪40年代以后。它是产业革命以后，企业大规模化及资本大众化的产物。一般而言，内部控制经历了从内部牵制、内部控制制度、内部控制结构、内部控制整体框架以及风险管理整合框架等五个不同阶段的演变过程。
(一) 内部牵制阶段
内部牵制思想产生于20世纪40年代以前，这是内部控制的最初形式。根据《柯勒会计辞典》的解释，内部牵制是指： “以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。”
内部牵制机制的提出主要是基于两个设想： 其一，因为相互有了制衡，在经办一项交易或事项时，两个或两个以上人员或部门无意识地犯同样错误的概率远小于一个人或部门； 其二，两个或两个以上人员或部门有意识地合伙舞弊的可能性要远低于一个人或部门。由此可见，内部牵制是以不相容职务分离为主要内容的流程设计，是内部控制的最初形式和基本形态。
内部牵制是顺应这一阶段的时代背景而产生的。这一阶段社会生产力相对落后，大规模商品生产尚不发达，内部控制主要表现为对会计账目和会计工作实施岗位分离和相互牵制，使任何一个部门或人员都不能独立地控制会计账目，并且使两个或两个以上的部门和人员能够对会计账目实现交叉检查或交叉控制。其目的主要是保证财产物资安全和会计记录真实。
尽管随着经济社会的发展，内部控制日益超越内部牵制的范畴，但内部牵制的基本理念在内部控制中仍然发挥着重要作用。正如《柯勒会计辞典》所言，“设计有效的内部牵制以使每项业务能完整正确地经过规定的处理程序，而在这个规定的处理程序中，内部牵制机制永远是一个不可缺少的组成部分。”当然，这一阶段的不足之处，在于人们还没有意识到内部控制的整体性，内部控制体系相对单一，只强调内部牵制是其唯一要素，不够完善。
(二) 内部控制制度阶段
内部控制的第二阶段为内部控制制度阶段，主要是在20世纪40年代至80年代。适应这一时期资本主义商品经济快速发展、所有权与经营权进一步分离的特点，在注册会计师行业的推动下，内部控制由早期的比较单一的内部牵制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制制度体系。在这一阶段，建立健全内部控制制度开始上升为法律要求； 同时，适应注册会计师评价单位内部控制状况的需要，一些国家开始将内部控制划分为内部会计控制和内部管理控制。其中，内部会计控制主要是针对会计记录系统和相关的资产保护实施的控制，内部管理控制主要是针对经济决策、交易授权和组织规划等实施的控制。
以美国为例，1949年由美国注册会计师学会(AICPA)首次正式阐述了内部控制的定义，即“内部控制包括组织机构的设计和企业内部采取的所有协调方法和措施，旨在保护资产、检查会计信息的准确性和可靠性，提高经营效率，促进既定管理政策的贯彻执行”，这就形成了内部控制制度思想。这一定义强调内部控制“制度”不局限于与会计和财务部门相关的控制方面，而且还包括预算控制、成本控制、定期报告、统计分析和内部审计等。但是由于审计人员认为该定义过于宽泛，因此AICPA于1953年在其颁布的《审计程序说明》第19号文件中，对内部控制定义做了正式修正，并将内部控制的类型按其特点分为会计控制和管理控制两个部分，前者在于保护企业资产、检查会计数据的准确性和可靠性； 后者在于提高经营效率，促使有关人员遵守既定的管理方针。这种划分是为了规范内部控制检查和评价的范围，目的在于缩小注册会计师的责任范围。总之，这一阶段的内部控制正式被纳入制度体系之中，同时管理控制成为内部控制的一个重要组成部分。
(三) 内部控制结构阶段
内部控制结构阶段主要是在20世纪80年代至90年代。在这一阶段，内部控制由偏重研究具体的控制程序和方法，发展为对内部控制系统的全方位研究。其突出的变化和重要的成果是日益重视对控制环境的研究。美国于1988年由AICPA在其颁布的《审计准则公告》第55号文件中对内部控制进行了重新定义，提出了内部控制结构的概念，即认为“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”，并指出内部控制结构由控制环境、会计系统和控制程序三个要素组成。其中，控制环境包括组织结构设置、职责权限确定、管理者的经营风格和员工的素质等，在内部控制中居于基础环节； 会计系统包括对各项经济业务的确认、计量、记录和报告等； 控制程序包括授权批准、不相容职务相互分离、对资产的限制接触和对经济业务的独立审核等。
这一阶段的内部控制具有两个明显的特点： 其一，不再区分会计控制和管理控制，而统一以要素来表述。之所以提出内部控制结构，是因为人们发现内部会计控制和管理控制在实践中是相互联系、难以分割的。此时的内部控制已融会计控制和管理控制于一体。其二，控制环境被纳入内部控制的范围。没有良好的控制环境作为内部控制的前提与基础，内部控制的其他要素也就难以顺利运行。此后的内部控制几个阶段都将控制环境作为内部控制的重要组成部分。
(四) 内部控整体制框架阶段
内部控制整体框架阶段主要是在20世纪90年代。这一阶段的标志性成果，是美国COSO委员会于1992年提交的研究报告——《内部控制——整体框架》(以下简称ICIF)，该报告在1994年进行了增补。COSO委员会隶属于“反对虚假财务报告全国委员会”(National of Commission Fraudulent Financial Reporting），通常根据其首任主席的姓名而称为Treadway委员会，它由美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)等5个组织于1985年发起设立。在ICIF报告中，COSO委员会指出“内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程”。COSO报告认为内部控制“构成要素应该来源于管理阶层经营企业的方式，并与管理的过程相结合”，并且指出企业所设定的目标是一个企业努力的方向，而内部控制组成要素则是为实现或达成该目标所必需的条件，两者之间存在直接的关系，因此与企业目标相适应，该报告将内部控制的组成分成五个相互独立而又相互联系的五个要素： 控制环境、风险评估、控制活动、信息与沟通和监督。
通过仔细分析可以发现这些要素都不再仅仅局限于纠错防弊，而更多是为了保障组织根本目标实现、提高组织管理水平。内部控制是存在于企业并为企业管理服务的一种工具和手段，其内容和形式不仅有利于管理人员的管理，而且应该为管理人员所理解。内部控制的建设和完善不仅应该包括内部管理控制，而且应该以内部管理控制为核心，而不是仅仅局限于从外部审计的角度强调内部会计控制的建立和完善。
这一阶段内部控制研究的突破，一是强调风险评估在内部控制中的重要作用； 二是强调信息与沟通是强化内部控制的重要途径； 三是强调对内部控制系统本身的监控是内部控制发挥作用的关键环节。由于ICIF发表后得到美国审计总署(GAO)、证券交易委员会(SEC)等的认可，其在美国乃至其他许多国家都产生了广泛影响。
(五) 风险管理整合框架阶段
风险管理整合框架阶段，主要是在20世纪90年代末至今。这一阶段的标志性成果，是COSO于2004年9月发布的研究报告——ERMIF。该框架指出，“全面风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。这一阶段的显著变化是将内部控制上升至全面风险管理的高度来认识。基于这一认识，COSO提出了战略目标、运营目标、报告目标和合规目标等四类目标，并指出风险管理包括八个相互关联的构成要素： 内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。根据COSO的这份研究报告，内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一体系； 同时，对内部控制要素的进一步细分和充实，使内部控制与风险管理日益融合，拓展了内部控制。
第一，从目标上看，ERMIF不仅涵盖了内部控制框架中的经营性、财务报告可靠性和合法性三个目标，而且还新提出了一个更具管理意义和管理层次的战略管理目标，同时还扩大了报告的范畴。ERMIF指出，企业风险管理应贯穿于战略目标的制定、分解和执行过程，从而为战略目标的实现提供合理保证。报告范畴的扩大表现在内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而企业风险管理框架中的财务报告范围有很大的扩展，覆盖了企业编制的所有报告。
第二，从内容上看，ERMIF除了包括内部控制整体框架中的五个要素外，还增加了目标制定、风险识别和风险应对三个管理要素，目标制定、风险识别、风险评估与风险应对四个要素环环相扣，共同构成了风险管理的完整过程。此外，对原有要素也进行了深化和拓展，如引入了风险偏好和风险文化，将原有的“控制环境”改为“内部环境”。
第三，从概念上看，ERMIF提出了两个新概念——风险偏好和风险容忍度。风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略目标直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的管理者风险偏好结合起来。风险容忍度是指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的在目标实现过程中对差异的可接受程度和可容忍限度。
第四，从观念上看，ERMIF提出了一个新的观念——风险组合观。企业风险管理要求企业管理者以风险组合的观念看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业每个单位而言，其风险可能在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业整体的角度评估风险。
需要说明的是，ERMIF虽然较晚于《内部控制——整体框架》产生，但是它并不是要完全替代《内部控制——整体框架》。在企业管理实践中，内部控制是基础，风险管理只是建立在内部控制基础之上的，具有更高层次和更有综合意义的控制活动。如果离开良好的内部控制系统，所谓的风险管理只能是一句空话而已。
我国内部控制制度建设并非一日之功，在改革开放的三十余年中，我国的内部控制制度建设经历了不同的阶段，走过了新兴经济体独有的内部控制制度建设历程。
我国对内部控制规定的起步始于1985年1月我国颁布的《中华人民共和国会计法》。其中规定： “会计机构内部应当建立稽核制度。出纳人员不得兼管稽核、会计档案保管和收入、费用、债权债务账目的登记工作。”首次在法律文件上对内部牵制提出了明确要求。
1996年12月，中国注册会计师协会发布了第二批《中国注册会计师独立审计准则》，其中《独立审计准则第8号——错误与舞弊》要求被审计单位建立健全内部控制，《独立审计具体准则第9号——内部控制与审计风险》对内部控制的定义和内容都有具体规定，并要求注册会计师从制度基础审计的角度审查企业的内部控制，进行企业内部控制评价。
1997年5月，我国专门针对内部控制的第一个行政规定出台，中国人民银行颁布了《加强金融机构内部控制的指导原则》，要求金融机构建立健全有效的内部控制运行机制。
2001年6月，财政部发布了《内部会计控制——基本规范(试行)》和《内部会计控制基本规范——货币资金(试行)》。2002年12月，财政部发布了《内部会计控制规范——采购与付款(试行)》和《内部会计控制规范——销售与收款(试行)》。之后相继发布《内部会计控制规范——担保(征求意见稿)》、《内部会计控制规范——成本费用(征求意见稿)》。2003年10月，财政部发布了《内部会计控制——工程项目(试行)》。这些规定明确了单位建立和完善内部会计控制体系的基本框架和要求，以及货币资金、销售与收款和工程项目等业务内部控制的要求。
2004年底和2005年6月，国务院领导就强化我国企业内部控制问题作出重要批示，要求“由财政部牵头，联合有关部委，积极研究制定一套完整公认的企业内部控制指引”。2006年7月，受国务院委托，财政部牵头，由财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会，秘书处设在财政部会计司，旨在研究制定“具有统一性、公认性和科学性的企业内部控制规范体系”。
2008年5月，财政部等五部委联合发布了《企业内部控制基本规范》，2010年4月15日，财政部等五部委出台了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》，要求2011年1月1日起在境内外同时上市的公司实行，在上海证券交易所、深圳证券交易所主板上市公司2012年1月1日起施行，并择机在中小板和创业板上市公司施行，同时也鼓励非上市大中型企业提前执行。
三、 企业内部控制的概念
任何一个组织都需要控制，控制乃驾驭、支配之意，当这种控制在组织系统内部实施时，通常称其为内部控制(internal control)。关于内部控制的含义，国内外有多种表述。内部控制的起源通常与独立审计师的需求联系在一起，当初作为一种审计方法的内部控制源于“内部牵制”。所谓内部牵制(internal check)，是以账目间的相互核对为主要内容并实施岗位分离，以确保所有账目正确无误的一种控制机制。如机构分离、职务分离、钱账分离、物账分离等。内部控制经历了从内部牵制、内部会计控制到现代内部控制的发展过程。内部控制的第一个正式概念是1949年美国会计师协会(AIA)在《内部控制： 一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中，首先对内部控制制度给出了明确定义： “内部控制包括组织机构的设计和企业内部采取的所有相关的方法和措施。这些方法和措施目的在于保护企业的财产，检查会计数据的准确性，提高经营效率，促进企业执行既定的管理政策。”在其后的50多年间又不断对其修订，1973年进一步规定了会计控制和管理控制的含义。1988年在其第55号《审计准则说明书》(SAS55)中把内部控制定义为： “为了对实现特定公司目标提供合理保证而建立的一系列政策和程序。”1992年，ＣＯＳＯ委员会在其研究报告《内部控制——整体框架》中，将内部控制定义为： “由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。” 2008年6月，我国财政部、审计署、证监会、银监会和保监会等五部委联合发布的《企业内部控制基本规范》中，把内部控制定义为由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。无论对内部控制怎样定义，就内部控制的基本内涵来说，其差别并不大。关键是如何理解内部控制的本质。我们认为内部控制的本质特征是它的制衡性和流程化。
1. 制衡性
相互制衡是建立和实施内部控制的核心理念。通过不相容职务分离、授权批准控制等方法达到相互制衡的目的，从而实现控制目标。内部控制的基本假设是： 两个人有意识地犯同样错误的概率要远少于一个人； 两个人有意识地合伙舞弊的可能性要远少于一个人。这些制衡原则都散见于企业的内部管理制度中，通过内部控制这条线将这些管理制度整合起来。所以，内部控制制度并不是孤立的一项制度，凡是具有制衡内容的管理制度都属于内部控制制度，将这种制衡机理运用于管理当中就形成内部控制制度。对一个组织而言，内控是in，而不是on。内控是分散在各项管理制度中、嵌入到公司的各项管理当中。
2. 流程化
流程化是内部控制区别于其他管理制度的又一重要特征，内部控制是将各项业务活动通过流程化进行管理，并画出流程图。流程图是借鉴了信息化系统中的方法论，使工作程序化、标准化、系统化。通过流程把规章制度中的相关控制要求放在流程上面进行关联和链接，从而能够支持按岗位、按流程的控制要求进行检索。将所有的业务活动按流程进行风险分析，并按风险点制定管控措施。这样不易出现漏洞，而且更加严谨。就像现代工厂的生产线一样，通过系统来控制产品质量，而不再依赖个人的技能。内部控制就像一条生产线，将分散的管理制度有机地连接起来，通过内部控制系统保证各项管理制度有效实施、相互协调。
内部控制在技术层面主要解决两个问题，一是控制标准，二是控制手段。所谓控制标准是各项制度和规章，内部控制标准要将国家、省、市以及各行业的规章转化为本单位的制度，并形成各项控制指南，如采购业务控制指南、差旅费控制指南、会议费控制指南等。
所谓控制手段就是控制方法，如不相容职务分离、授权审批控制、财产保护控制、会计系统控制、预算控制、营运分析控制、绩效考核控制、归口管理、单据控制、信息化技术等手段。
目前我国部分企业单位内控流于形式、无成效的主要原因之一就是缺乏标准，二是没有有效的手段。没有标准就会造成评价和监督无法可依。如在实施过程中内部控制自我评价和内部控制审计缺少具体的可操作的评价标准，造成中介机构无所适从，大部分内部控制评价报告和内控审计流于形式。




2010年，在我国沪深交易所A股上市的2105家公司中，1618家上市公司披露了内部控制自我评价报告，而99%以上的上市公司认为自身的内部控制体系是有效的，284家试点公司全部出具了标准的审计报告。2011年，有1844家上市公司披露了内部控制评价报告，占比78.80%，496家上市公司未披露内部控制评价报告，占比21.20%。在1844家披露了内部控制评价报告的上市公司中，1841家公司出具的内部控制评价结论有效，占比99.84%。2012年，共有2244家上市公司披露了内部控制评价报告，占沪、深交易所2492家上市公司的比例为90.05%。共有1532家上市公司披露了内部控制审计报告，占沪、深交易所2492家上市公司的比例为61.48%。其中，内部控制审计结论为标准无保留意见的上市公司为1506家，占比98.30%。


第二节企业内部控制的目标、原则与要素

一、 企业内部控制的目标

《企业内部控制基本规范》将企业内部控制目标规定了五个方面，即合理保证企业经营管理合法合规、维护资产安全、保证财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略。
(一) 合理保证企业经营管理合法合规
国家的各项法律法规是为了保护各方利益不受损害，维护正常的交易秩序而制定的，违法、违规经营是企业最大的风险。由于利益的驱动，在企业的经营活动中，总是存在违反法规和制度的现象。因此，国家法规和制度的落实必须靠内部控制的有效执行来保证，用一种制度保证另一种制度的实施，正是制度管理的精髓所在。所以，内部控制的第一个目的就是合理保证企业经营管理合法合规。它强调的是企业要在法律允许的经营范围内开展经营活动，严禁违法经营、非法获利。
(二) 维护资产安全
保护资产的安全完整是内部控制产生的最原始的动因。在企业的生产经营过程中，资产会因盗窃、挪用、侵占、转移而遭受损失。在内部控制实施过程中，不相容业务的分离使授权人与执行人分开，执行人与记账人分开，出纳与会计分开，总账与明细账分开等，从而形成一种相互牵制的关系； 同时加上内部定期盘点、核对制度等管理规定，在企业财产管理的各个环节中建立了一个严密的控制系统和监督链条。可以有效地防止各种贪污舞弊行为，制止各种浪费，确保企业资产的安全完整，提高资产效能。由于这种制衡机制还可以有效防止管理人员滥用职权、权钱交易，从某种意义上形成了一种免疫系统，起到了保护干部的作用。
(三) 保证财务报告及相关信息真实完整
保证财务报告真实可靠是管理当局的首要责任，也是内部控制的重要目标。保证会计信息质量要建立高质量的会计准则，主要解决技术标准和操作指南的问题，防止出现非人为性的虚假会计信息。但它不能防止故意造假的行为。目前虚假会计信息主要来自于故意造假，出于某种利益考虑不遵守会计准则。对于这种情况，只有依靠内部控制制度来加以防范。内部控制制度可以通过不相容岗位的分离、对账制度、惩罚制度等防止提供虚假会计信息，尤其是对虚假交易具有较好的抑制作用。
(四) 提高经营效率和效果
内部控制不仅仅要保证资产的安全，更重要是要提高资产的使用效率，提高企业的经营效率和效果。有人误认为，内部控制增加了许多管理制度和审批程序，会影响企业的工作效率，其实不然，内部控制要求组织精简、权责清晰，优化流程，从而使各部门和环节密切配合、协调一致，从整体上提高工作效率。另外，内部控制有良好的信息和沟通体系，从而会提高经济决策和反应效率。
(五) 促进企业实现发展战略
促进企业实现发展战略是内部控制的最高目标，也是终极目标。企业内部控制最终所追求的是如何通过强化风险管控促进企业实现发展战略,实现发展战略必须通过建立和健全内部控制体系提供保证。内部控制不是为了束缚企业，也不仅仅是为了专门规范企业，其终极目的是为了企业的发展。企业发展是要冒风险的，风险无处不在，不能为了避免风险而放弃发展。内部控制不是为了不冒风险，而是为了预先发现风险，并把风险控制在可以控制的限度内。




企业内部控制五大目标之间是否有相关的逻辑关系？是否能按照某种规律进行重要性排列？

二、 企业内部控制的原则
《企业内部控制基本规范》第四条规定了企业建立与实施内部控制的五项原则： 全面性原则； 重要性原则； 制衡性原则； 适应性原则； 成本效益原则。
(一) 全面性原则
内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。所谓全面性主要体现在三个方面： 一是全过程控制，企业内部控制应当贯穿决策、执行和监督全过程； 二是全方位控制，企业内部控制应当覆盖企业及其所属单位的各种业务和事项； 三是全员控制，内部控制的关键是对人的控制，是对企业全体员工进行控制，保证每一位员工包括高层管理人员及基层执行操作人员都受到相应的控制。