導讀：從我國的現實情況來看，企業(yè)內部控制普遍比較薄弱，有關挪用、侵占或詐騙企業(yè)財產的新聞亦屢見不鮮，企業(yè)資產和股東權利得不到應有保護，甚至給企業(yè)造成災難性損失導致經營陷入困境。本文結合實際案例歸納企業(yè)內部控制常見的十大問題。

內部控制的權威人士Adrian Cadbury爵士曾經說過“公司的敗績都是由內部控制失敗引起的”，這一點從眾多的企業(yè)失敗案例都得到了驗證。

本文作者結合眾多內控失敗案例和內控咨詢工作的經驗，歸納了我國企業(yè)內部控制常見的十大問題，希望管理人員引以為戒，有則改之，無則加勉。

一、出納領取銀行對賬單、編制銀行存款余額調節(jié)表。

之所以把這個問題列在十大問題之首，是因為它非常普遍且后果嚴重，但遺憾的是，直到今天，仍有很多單位根本沒有意識到這一問題，或雖然意識到了卻不以為然，低估了其可能造成的嚴重后果。

不相容職務分離是內部控制的一個基本原理，通常需要分離的不相容職務包括授權與執(zhí)行、執(zhí)行與審核、執(zhí)行與記錄、保管與記錄，所謂“管錢不管賬，管賬不管錢”就是不相容職務分離原理的一個典型運用。

貨幣資金是最容易出現舞弊的一項資產，如果由出納來負責領取銀行對賬單、編制銀行存款余額調節(jié)表，出納就有可能挪用或侵占公司貨幣資金，并通過偽造對賬單或在余額調節(jié)表上做手腳來掩蓋自己的舞弊行為。

國家自然科學基金委會計卞中從1995年到2003年的八年期間里，利用掌管國家基礎科學研究的專項資金下撥權，采用謊稱支票作廢、偷蓋印鑒、削減撥款金額、偽造銀行進賬單和信匯憑證、編造銀行對賬單等手段貪污、挪用公款人民幣兩億余元。

卞中擔負著資金收付的出納職能，同時所有的銀行單據和銀行對賬單也都由他一手經辦，使得他得以作案長達八年都沒有引起過懷疑。

2003年春節(jié)剛過，基金委財務局經費管理處剛來的一名大學生上班伊始便到定點銀行拿對賬單，以往這一工作由會計卞中負責。

一筆金額為2090萬的支出引起了這名大學生注意，在其印象里他沒有聽說此項開支。這個初入社會的大學生找到卞中刨根問底，這樁涉案金額超過2億元的大案也因此浮出水面。

從筆者了解的情況看，80%以上的企業(yè)存在出納領取銀行對賬單、編制余額調節(jié)表的現象，究其原因，主要從工作方便角度出發(fā)，由于出納經常跑銀行，辦理各種收付款，于是便“順理成章”地領取銀行對賬單、編制余額調節(jié)表。

殊不知這種習慣做法存在巨大風險隱患，其實要防范這種風險并不難，只要改由出納以外的人來負責銀行對賬單領取和賬面銀行存款余額核實工作即可，關鍵是要從思想意識上重視起來。

二、領導“一只筆”審批，缺乏完善內控制度和流程保障。

領導“一只筆”，表明看起來似乎控制很嚴格，不容易出問題，但事實上這種“一只筆”控制反映了單位內部控制方式的落后。

首先，事無巨細都由領導來審批，囿于時間和精力，領導最后可能疲于應付，分不清主次，審批“一只筆”變成簽字“一只筆”而已，控制流于形式。

其次，如果缺乏相關支撐信息，領導無法對收支合理性進行判斷，“一只筆”就會失去控制作用，例如經辦人員申請購買某種設備，而領導沒有該設備經濟可行性、價格合理性的相關數據，審批就會演變成一種過場。

第三，領導“一只筆”會造成高度集權，不利于對領導的制約和監(jiān)督，可能導致fu敗。因此，合理的內部控制應當按照重要性程度大小，適當分層授權，逐級審批。

三、過于依賴業(yè)務人員，企業(yè)資源掌握在個人手中，企業(yè)對業(yè)務開展失去控制。

企業(yè)業(yè)務資源完全掌握在業(yè)務員個人手中，對企業(yè)來說是一件非常危險的事情，現實中經?？梢钥吹?，不少企業(yè)的業(yè)務員一旦跳槽或離職，原有的客戶和業(yè)務關系也被隨之帶走，形成企業(yè)對業(yè)務人員過于依賴的局面。

更有甚者，有的企業(yè)業(yè)務員明地里使用單位各項資源，暗地里為自己或親友開拓業(yè)務、謀取私利，嚴重損害了企業(yè)利益。

針對這種現象，企業(yè)應通過完善制度設計，例如采取建立統(tǒng)一的客戶檔案和客戶關系管理系統(tǒng)、同一筆業(yè)務有兩人以上共同參與、適當進行工作輪換和加強財務對業(yè)務過程的控制等措施，將業(yè)務員手中的客戶資源轉化為企業(yè)資源，讓客戶認的是企業(yè)本身而不是認個人，這樣企業(yè)的業(yè)務就不會依賴于某一兩個人，從而保持持續(xù)穩(wěn)定的發(fā)展。

2003年初，花旗銀行臺灣區(qū)總經理陳圣德率領二十多位主管集體跳槽，但在經歷短暫的人事地震以后，花旗銀行在短短兩三個月內就基本恢復了業(yè)務正常開展，當年業(yè)績并未受到大的影響，盈利反而創(chuàng)下歷史新高，靠的就是花旗銀行內部已經形成完整的制度和流程，用制度來保障業(yè)務開展，而不是依賴于某個業(yè)務人員或主管。

四、內部控制制度文字描述性東西較多，清晰的流程圖和配套表單較少。

很多單位有這樣一種現象，員工在某個崗位工作久了后變得駕輕就熟，經驗老到，工作起來游刃有余，而一旦這個員工因有事調離或辭職，后面接替的人員則需要花很長時間來熟悉情況，重新摸索工作方法。

造成這種現象的原因是企業(yè)制度主要是文字性東西，缺乏清晰的崗位說明和工作流程圖，執(zhí)行的人往往憑自己的經驗和別人“言傳身教” 來做事，崗位新手在開始階段工作不知從何入手，通常需要很長一段學習和熟悉過程。

因此，一套完整的企業(yè)制度應包括三部分：

（1）文字描述的支撐制度文件；

（2）工作流程圖或流程的文字描述；

（3）相關憑證、表單、文件的樣式匯總。

通過繪制清晰的工作流程圖，可以讓每個人都能一目了然地知道辦事程序、涉及的部門、人員和規(guī)章制度，而且能夠將工作形成的好經驗固化下來，并且通過流程圖能比較容易發(fā)現內部控制中的不足之處和風險點，從而有助于企業(yè)內部控制的持續(xù)改進。

五、內部控制制度“救火式”的較多，制度體系缺乏系統(tǒng)性和完整性，甚至政出多門，相互打架。

很多企業(yè)的內部控制制度都是在發(fā)展中逐步建立起來，經常是發(fā)現管理中出現了某種問題，于是相應地出臺一個制度來規(guī)范。

例如今天發(fā)現電話費高了，就制定一個通訊費管理辦法，明天發(fā)現辦公用品浪費嚴重，就擬定出辦公用品采購與使用辦法。

這種“救火式”的制度往往只能防范已發(fā)生過的風險，而對未發(fā)生的風險則考慮不足。此外，這樣的制度體系無論在內容上還是形式上，都缺乏系統(tǒng)性和完整性，沒有科學合理的分類，甚至不同制度之間存在矛盾或重疊的現象。有的單位還有不同部門根據自身需要制定制度現象，政出多門，相互打架。

筆者曾經接觸過一個單位，僅是購買電腦一項，既可以通過信息科購買，因為信息科負責整個單位的計算機軟硬件系統(tǒng)；也可以通過行政辦公室，因為電腦屬于辦公用品，而辦公用品歸辦公室管理；還可以通過負責管理固定資產的設備科購買，因為電腦是一種固定資產。

為此，企業(yè)應有一套規(guī)范的制度制定程序和形式規(guī)范，包括制度的編號、格式、分類、內容、審批程序、執(zhí)行及其他應注意事項進行統(tǒng)一的規(guī)范化管理，并以書面形式予以約束。

六、員工臨時休假或出差時，缺乏明確的工作交接制度。

任何一個崗位，總會出現員工因急事、生病或出差等原因不能正常上班的情形，很多單位在制度設計時都沒有考慮到員工暫時離崗時工作由誰接替的問題。

實際操作中，在遇到員工臨時休假或出差時，便臨時指派一位相關人員來兼任，但事實上，這種急時抱佛腳的做法，稍有不當，可能會給企業(yè)帶來風險。

企業(yè)正常的工作安排中通常會將不相容職務由兩個以上的人來擔任，以便相互牽制，而臨時指派某人兼任做法，可能會導致不相容職務由同一人擔任。

例如支票印鑒平常一般都由兩人分別保管，如果因其中一人臨時有事而指派另一人暫時兼任，由一人掌握所有空白支票和印鑒的話，盜用支票的風險就會大大增加。

因此，企業(yè)有必要明確規(guī)定一些重要崗位的工作交接制度，防止員工臨時休假或出差時留下內部控制“真空”的現象。

七、人員招聘時注重筆試和面試的考察，忽視背景調查。如果雇傭了不誠實的人，那么即使是最良好的控制也無法防范舞弊。

如果企業(yè)不仔細地篩選應聘者，并因此而雇傭了不誠實的員工，則很有可能遭受損害。很多企業(yè)在招聘過程中也非常強調應聘者的誠信，但較多注重于筆試或面試的考察。

“然而，誰能知道在一份漂亮的簡歷背后又隱藏著什么？”，背景調查則能有效發(fā)現應聘者有無虛構個人信息、是否存在不誠信記錄、在以前雇主處工作情況，從而能幫助企業(yè)甄別應聘者，防止將不合格人員招進來。

而且背景調查本身并不需要復雜的技術，只需要向應聘者以前工作過單位打幾個電話或發(fā)封函件就能夠了解一些非常有用的信息，實施成本也比較低。

曾經被稱為北京市醫(yī)療系統(tǒng)頭號女貪、案發(fā)前為北京腫瘤醫(yī)院住院部主任的石巧玲，四年時間貪污挪用1000多萬元，檢察官辦案時發(fā)現她自己在不同表格上填寫的出生日期就有三個版本，而在填寫工作簡歷時她又玩上了花樣：

在1979年 5月石巧玲親自填寫的《工作人員履歷表》中，前頁寫“售貨員”，后頁則寫在“工商局工作”；

1995年12月25日填寫的腫瘤醫(yī)院《干部任免呈報表》中，石巧玲的工作簡歷又變成了“1967——1978年，北京商業(yè)局會計”。

對石巧玲來講，嚴肅的履歷表成了可隨意填寫的“草紙”。其實，這些問題通過對應聘者簡歷的認真審核和相應背景調查是不難發(fā)現的。

八、關鍵崗位無強制輪換或帶薪休假制度。

企業(yè)員工在某一崗位工作時間長了，會比較熟悉內部控制漏洞所在，實施舞弊的可能性更大?，F實中，有不少挪用或貪污等舞弊現象都是在工作交接時被發(fā)現的。

2005年4月，儀征化纖公司在工作交接過程中發(fā)現營銷部一會計挪用資金5000多萬元，該會計19***畢業(yè)后被分配至儀征化纖從事財務工作。

十六年來他的崗位和職務一直都沒有變化，由于在這個崗位上的時間很長，規(guī)律摸得非常透，他知道什么時候將款項交給單位，也清楚什么時候要進行財務檢查或審計，總能找到新的款項填補以前的漏洞，自1999年開始挪用資金，作案時間長達六年，期間一直未露蛛絲馬跡，直到2005年因單位內部人事改革他被迫交接工作時才敗露。

過去我們比較強調“螺絲釘”精神，殊不知，“螺絲釘”在一個地方時間擰長了也會容易生銹的。

通過強制輪換，或者帶薪休假，在休假期間工作由別人暫時接替，由于員工離崗時的工作交接會受到他人監(jiān)督，那么他實施并掩蓋舞弊的機會將大大減少。

美國貨幣管理局要求全美的銀行雇員每年休假一周，在雇員休假期間，安排其他接替人員做他的工作，就是為了防止員工長期在同一崗位工作可能產生舞弊。

對我國企業(yè)來說，對一些關鍵崗位，例如財務、采購中的部分崗位，通過建立強制輪換和帶薪休假制度，既可以提升員工的工作能力，同時是防范和發(fā)現舞弊的一項有效措施。

九、過分強調控制成本，經常將效率作為弱化或逾越內部控制的理由。

實施內部控制無疑需要成本，并且在一定程度上會影響到運行效率。于是， 一些單位管理人員便常常以影響效率為由，反對內部控制措施的推行。

事實上，如果將各項職能都交給某一個部門或某一個人去執(zhí)行，沒有必要的授權批準和審核，在效率上可能會很高，但由此產生的風險也急劇上升。

因此，為了防止一些重大風險給企業(yè)帶來災難性損失，犧牲一定程度的效率是控制風險所必須付出的成本。

現實中經常碰到的情形是，在企業(yè)推行新的內部控制制度，往往會涉及到原有利益格局的打破和調整，這時一些管理人員便表面上以影響效率為由來反對內部控制新舉措推行，實際是由于個人或部門利益受到影響。

因為內部控制制度不完善帶來的損失可能是關系到企業(yè)存亡問題，而效率則是影響企業(yè)發(fā)展的快慢，作為企業(yè)的領導者，不能過分強調成本因素而忽視內部控制制度的建設，應當合理權衡內部控制的成本和效率的關系。

十、說一套，做一套，制度放空炮。

內部控制制度是否得到有效執(zhí)行是個老生常談的問題，卻又不得不談，很多出問題的案例往往都不是因為制度缺乏規(guī)定，而恰恰是制度有明文規(guī)定卻未能遵照執(zhí)行。

以中航油（新加坡）為例，盡管公司有完整的風險管理規(guī)章制度，是由國際“四大”之一的安永會計師事務所制定的；

在風險管理委員會設置、風險控制流程等各方面制度都比較完備按照規(guī)定，公司的風險管理基本結構是從交易員，到風險管理委員會，到內審部，到首席執(zhí)行官，再到董事會層層上報；每名交易員虧損20萬美元時，要向風險管理委員會報告，虧損達37.5 萬美元時向首席執(zhí)行官匯報，虧損50萬美元時，必須斬倉。

但遺憾的公司這些制度并未得到有效執(zhí)行，公司內部風險管理內控系統(tǒng)形同虛設，最終給公司造成了超過5億美元的災難性損失。

內部控制制度不能有效執(zhí)行原因主要有二：

一是制度本身制定得不合理，或過于理想化，或隨著新情況出現，原有制度已不能適應卻沒有及時修改，從而使得制度不具可操作性，自然也就不會被執(zhí)行；

二是缺乏保證制度執(zhí)行的機制，一些單位對內部控制執(zhí)行情況既沒有檢查監(jiān)督，又沒有相應的獎懲措施，內部控制制度成為墻上擺設和一紙空文也就不奇怪了。

為此，企業(yè)一方面需要提高制度可操作性，另一方面要加強制度執(zhí)行力，不能為制度而制度。

每個企業(yè)都會遇到內控問題，這個問題永遠都不會過時，你要自己對照一下，這個企業(yè)是否做到，是否存在重大和重要的缺陷。

內部控制原則

內部控制原則是企業(yè)建立與實施內部控制應當遵循的基本指針。企業(yè)建立與實施內部控制應當遵循5項原則，即全面性、重要性、制衡性、適應性和成本效益原則。

（一）全面性原則

內部控制應當貫穿決策、執(zhí)行和監(jiān)督全過程，覆蓋企業(yè)及其所屬單位的各種業(yè)務和事項實現全過程、全員性控制，不存在內部控制空白點。

（二）重要性原則

內部控制應當在全面控制的基礎上，關注重要業(yè)務事項和高風險領域，并采取更為嚴格的控制措施，確保不存在重大缺陷。重要性原則的應用需要一定的職業(yè)判斷，企業(yè)應當根據所處行業(yè)環(huán)境和經營特點，從業(yè)務事項的性質和涉及金額兩方面來考慮是否及如何實行重點控制。

（三）制衡性原則

內部控制應當在治理結構、機構設置及權責分配、業(yè)務流程等方面形成相互制約、相互監(jiān)督，同時兼顧運營效率。制衡性原則要求企業(yè)完成某項工作必須經過互不隸屬的兩個或兩個以上的崗位和環(huán)節(jié)；同時，還要求履行內部控制監(jiān)督職責的機構或人員具有良好的獨立性。

（四）適應性原則

內部控制應當與企業(yè)經營規(guī)模、業(yè)務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化加以調整。適應性原則要求企業(yè)建立與實施內部控制應當具有前瞻性，適時地對內部控制系統(tǒng)進行評估，發(fā)現可能存在的問題，并及時采取措施予以補救。

（五）成本效益原則

內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。成本效益原則要求企業(yè)內部控制建設必須統(tǒng)籌考慮投入成本和產出效益之比。對成本效益原則的判斷需要從企業(yè)整體利益出發(fā)，盡管某些控制會影響工作效率，但可能會避免整個企業(yè)面臨更大損失，此時仍應實施相應控制。

內部控制要素

借鑒COSO（Committee of Sponsoring Organizations of the Treadway Commission,全美反欺詐財務報告委員會下屬的發(fā)起人委員會，該委員會于1992年頒布了《內部控制—整體框架》，提出了五要素的觀點。

COSO內部控制框架是美國證券交易委員會唯一推薦使用的內部控制框架，同時《薩班斯法案》第404 條款的「最終細則」也明確表明 COSO內部控制框架可以作為評估企業(yè)內部控制的標準。）報告框架，我國《企業(yè)內部控制基本規(guī)范》將內部控制的要素歸納為內部環(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督5大方面。

（一）內部環(huán)境包括

1.治理結構

公司治理結構指的是內部治理結構，又稱法人治理結構，是根據權力機構、決策機構、執(zhí)行機構和監(jiān)督機構相互獨立、權責明確、相互制衡的原則實現對公司的治理。

治理結構是由股東大會、董事會、監(jiān)事會和管理層組成的，決定公司內部決策過程和利益相關者參與公司治理的辦法，主要作用在于協(xié)調公司內部不同產權主體之間的經濟利益矛盾，減少代理成本。

2.機構設置與權責分配

公司制企業(yè)中股東大會（權力機構）、董事會（決策機構）、監(jiān)事會（監(jiān)督機構）、總經理層（日常管理機構）這四個法定剛性機構為內部控制機構的建立、職責分工與制約提供了基本的組織框架，但并不能滿足內部控制對企業(yè)組織結構的要求，

內部控制機制的運作還必須在這一組織框架下設立滿足企業(yè)生產經營所需要的職能機構。所采用的組織結構應當有利于提升管理效能，并保證信息通暢流動。

3.內部審計機制

內部審計控制是內部控制的一種特殊形式。根據中國內部審計協(xié)會的解釋，內部審計是指組織內部的一種獨立客觀的監(jiān)督和評價活動，它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。

內部審計的范圍主要包括財務會計、管理會計和內部控制檢查。內部審計機制的設立包括內部審計機構設置、人員配備、工作開展及其獨立性的保證等。

4.人力資源政策

人力資源政策是影響企業(yè)內部環(huán)境的關鍵因素，它所包括的雇用、培訓、評價、考核、晉升、獎懲等業(yè)務，向員工傳達著有關誠信、道德行為和勝任能力的期望水平方面的信息，這些業(yè)務都與公司員工密切相關，而員工正是公司中執(zhí)行內部控制的主體。

一個良好的人力資源政策，能夠有效地促進內部控制在企業(yè)中的順利實施，并保證其實施的質量。

5.企業(yè)文化

企業(yè)文化體現為人本管理理論的最高層次。企業(yè)文化重視人的因素，強調精神文化的力量，希望用一種無形的文化力量形成一種行為準則、價值觀念和道德規(guī)范，凝聚企業(yè)員工的歸屬感、積極性和創(chuàng)造性，引導企業(yè)員工為企業(yè)和社會的發(fā)展而努力，并通過各種渠道對社會文化的大環(huán)境產生作用。

（二）風險評估

風險評估是企業(yè)及時識別、科學分析經營活動中與實現控制目標相關的風險，合理確定風險應對策略，是實施內部控制的重要環(huán)節(jié)。風險評估主要包括目標設定、風險識別、風險分析和風險應對。

1.目標設定

風險是指一個潛在事項的發(fā)生對目標實現產生的影響。風險與可能被影響的控制目標相關聯。企業(yè)必須制定與生產、銷售、財務等業(yè)務相關的目標，設立可辨認、分析和管理相關風險的機制，以了解企業(yè)所面臨的來自內部和外部的各種不同風險。

企業(yè)開展風險評估，應當準確識別與實現控制目標相關的內部風險與外部風險，確定相應的風險承受度。風險承受度是企業(yè)能夠承擔的風險限度，包括整體風險承受能力和業(yè)務層面的可接受風險水平。

2.風險識別

風險識別實際上是收集有關損失原因、危險因素及其損失暴露等方面信息的過程。風險識別作為風險評估過程的重要環(huán)節(jié)，主要回答的問題是：存在哪些風險，哪些風險應予以考慮，引起風險的主要因素是什么，這些風險所引起的后果及嚴重程度如何，風險識別的方法有哪些等。

而其中企業(yè)在風險評估過程中，更應當關注引起風險的主要因素，應當準確識別與實現控制目標有關的內部風險和外部風險。

3.風險分析

風險分析是在風險識別的基礎上對風險發(fā)生的可能性、影響程度等進行描述、分析、判斷，并確定風險重要性水平的過程。企業(yè)應當在充分識別各種潛在風險因素的基礎上，對固有風險，即不采取任何防范措施可能造成的損失程度進行分析，同時，重點分析剩余風險，即采取了相應應對措施之后仍可能造成的損失程度。

企業(yè)應當采用定性與定量相結合的方法，按照風險發(fā)生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優(yōu)先控制的風險。

4.風險應對

企業(yè)應當在分析相關風險的可能性和影響程度基礎上，結合風險承受度，權衡風險與收益，確定風險應對策略。企業(yè)應合理分析、準確掌握董事、經理及其他高級管理人員、關鍵崗位員工的風險偏好，采取適當的控制措施，避免因個人風險偏好給企業(yè)經營帶來重大損失。

企業(yè)管理層在評估了相關風險的可能性和后果，以及成本效益之后要選擇一系列策略使剩余風險處于期望的風險容限以內。

常用的風險應對策略有：

（1）風險規(guī)避。

風險規(guī)避，即改變或回避相關業(yè)務，不承擔相應風險，是企業(yè)對超出風險承受度的風險，通過放棄或者停止與該風險相關的業(yè)務活動以避免和減輕損失的策略。例如：由于雨雪天氣，航空公司取消某次航班；企業(yè)拒絕與不守信用的廠商有業(yè)務來往；新產品在試制階段發(fā)現問題而果斷地停止研發(fā)。

（2）風險承受。

風險承受，即比較風險與收益后，愿意無條件承擔全部風險，是企業(yè)在權衡成本效益之后，對風險承受度之內的風險，不準備采取控制措施降低風險或者減輕損失的策略。

例如：企業(yè)設有一個小型倉庫，平時就存放一些待處理的設備（市場價值很?。?，如果為了防止這些設備被盜偷而專門雇傭一個保管員，那么這時支付保管員的費用要遠高于設備的價值，顯然，不符合成本效益原則，因此，對于這種存在的失竊風險企業(yè)就應該采用風險承受策略。

（3）風險降低。

風險降低，即采取一切措施降低發(fā)生不利后果的可能性,是企業(yè)在權衡成本效益之后，準備采取適當的控制措施降低風險或者減輕損失，將風險控制在風險承受度之內的策略，包括兩類措施：風險預防和風險抑制。

（4）風險分擔。

風險分擔，即通過購買保險、外包業(yè)務等方式來分擔一部分風險,是企業(yè)準備借助他人力量，采取業(yè)務分包、購買保險等方式和適當的控制措施，將風險控制在風險承受度之內的策略。常見的措施有業(yè)務分包、購買保險等。

例如：大學里學生宿舍的管理外包給物業(yè)公司負責，這是由于大學本身不具有物業(yè)管理的能力，通過外包的方式轉移了與物業(yè)相關的風險；公司給某些關鍵設備購買財產保險來轉移風險。

風險應對策略往往是結合運用的。同時企業(yè)應當結合不同發(fā)展階段和業(yè)務拓展情況，持續(xù)收集與風險變化相關的信息，進行風險識別和風險分析，及時調整風險應對策略。

（三）控制活動

控制活動是指企業(yè)根據風險應對策略，采用相應的控制措施，將風險控制在可承受度之內，是實施內部控制的具體方式。常見的控制措施有：不相容職務分離控制、授權審批控制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。企業(yè)應當結合風險評估結果，通過手工控制與自動控制、預防性控制與檢查性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內。

1.不相容職務分離控制

所謂不相容職務，是指那些如果由一個人擔任既可能發(fā)生錯誤和舞弊行為，又可能掩蓋其錯誤和舞弊行為的職務。

2.授權審批控制

授權批準是指企業(yè)在辦理各項經濟業(yè)務時，必須經過規(guī)定程序的授權批準。授權審批控制要求企業(yè)根據常規(guī)授權和特別授權的規(guī)定，明確各崗位辦理業(yè)務和事項的權限范圍、審批程序和相應責任。

3.會計系統(tǒng)控制

會計作為一個信息系統(tǒng)，對內能夠向管理層提供經營管理的諸多信息，對外可以向投資者、債權人等提供用于投資等決策的信息。會計系統(tǒng)控制主要是通過對會計主體所發(fā)生的各項能用貨幣計量的經濟業(yè)務進行記錄、歸集、分類、編報等進行的控制。

4.財產保護控制

財產保護控制是指為了確保企業(yè)財產物資安全、完整所采用的各種方法和措施。財產是企業(yè)資金、財物及民事權利義務的總和，按是否具有實物形態(tài)，分為有形財產（如資金、財物）和無形財產（如著作權、發(fā)明權），按民事權利義務，分為積極財產（如金錢、財物及各種權益）和消極財產（如債務）。財產是企業(yè)開展各項生產經營活動的物質基礎，企業(yè)應采取有效措施，加強對企業(yè)財產物資的保護。

5.預算控制

預算是企業(yè)未來一定時期內經營、資本、財務等各方面的收入、支出、現金流的總體計劃。預算控制是內部控制中使用得較為廣泛的一種控制措施。通過預算控制，使得企業(yè)的經營目標轉化為各部門、各個崗位以至個人的具體行為目標，作為各責任企業(yè)的約束條件，能夠從根本上保證企業(yè)經營目標的實現。

6.運營分析控制

運營活動分析，曾被稱為經營活動分析，但實際上運營活動是比經營活動范疇更廣，更能夠全面涵蓋企業(yè)活動的提法。運營分析是對企業(yè)內部各項業(yè)務、各類機構的運行情況進行獨立分析或綜合分析，進而掌握企業(yè)運營的效率和效果，為持續(xù)的優(yōu)化調整奠定基礎。

企業(yè)運營活動分析的方法包括定性分析法和定量分析法。定性分析法可以有專家建議法、專家會議法、主觀概率法和特爾菲法（通過函詢的方式收集專家意見，對未來進行直觀預測的一種定性方法）。定量分析法可以有對比分析法、趨勢分析法、因素分析法和比率分析法。

運營分析控制要求企業(yè)建立運營情況分析制度，綜合運用生產、購銷、投資、籌資、財務等方面的信息，通過因素分析、對比分析、趨勢分析等方面，定期開展運營情況分析，發(fā)現存在的問題，及時查明原因并加以改進。

7.績效考評控制

績效考評是對所屬企業(yè)及個人占有、使用、管理與配置企業(yè)經濟資源的效果進行的評價。績效考評是一個過程，即首先明確企業(yè)要做什么（目標和計劃），然后找到衡量工作做得好壞的標準進行監(jiān)測（構建指標體系并進行監(jiān)測），發(fā)現做得好的（績效考核），進行獎勵（激勵機制），使其繼續(xù)保持或者做得更好，能夠完成更高的目標。

更為重要的是，發(fā)現不好的地方，通過分析找到問題所在，進行改正，使得工作做得更好（績效改進）。這個過程就是績效考評過程。企業(yè)為了完成這個管理過程所構建起來的管理體系，就是績效考評體系。

（四）信息與溝通

信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通，是實施內部控制的重要條件。企業(yè)應當建立信息與溝通制度，明確內部控制相關信息的收集、處理和傳遞程序，確保信息及時溝通，促進內部控制有效運行。信息與溝通的要件主要包括：信息質量、溝通制度、信息系統(tǒng)、反舞弊機制。

1.信息質量

信息是企業(yè)各類業(yè)務事項屬性的標識，是確保企業(yè)經營管理活動順利開展的基礎。企業(yè)日常生產經營需要收集各種內部信息和外部信息，并對這些信息進行合理篩選、核對、整合，提高信息的有用性。

企業(yè)可以通過財務會計資料、經營管理資料、調研報告、專項信息、內部刊物、辦公網絡等渠道，獲取內部信息；還可以通過行業(yè)協(xié)會組織、社會中介機構、業(yè)務往來企業(yè)、市場調查、來信來訪、網絡媒體以及有關監(jiān)管部門等渠道，獲取外部信息。

2.溝通制度

信息的價值必須通過傳遞和使用才能體現。企業(yè)應當建立信息溝通制度，將內部控制相關信息在企業(yè)內部各管理級次、責任企業(yè)、業(yè)務環(huán)節(jié)之間，以及企業(yè)與外部投資者、債權人、客戶、供應商、中介機構和監(jiān)管部門等有關方面之間進行溝通和反饋。信息溝通過程中發(fā)現的問題，應當及時報告并加以解決。重要信息須及時傳遞給董事會、監(jiān)事會和經理層。

3.信息系統(tǒng)

為提高控制效率，企業(yè)可以運用信息技術加強內部控制，建立與經營管理相適應的信息系統(tǒng)，促進內部控制流程與信息系統(tǒng)的有機結合，實現對業(yè)務和事項的自動控制，減少或消除人為操縱因素。企業(yè)利用信息技術對信息進行集成和共享的同時，還應加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行。

4.反舞弊機制

舞弊是指企業(yè)董事、監(jiān)事、經理、其他高級管理人員、員工或第三方使用欺騙手段獲取不當或非法利益的故意行為，它是需要企業(yè)重點加以控制的領域之一。企業(yè)應當建立反舞弊機制，堅持懲防并舉、重在預防的原則，明確反舞弊工作的重點領域、關鍵環(huán)節(jié)和有關機構在反舞弊工作中的職責權限，規(guī)范舞弊案件的舉報、調查、處理、報告和補救程序。

反舞弊工作的重點包括：

（1）未經授權或者采取其他不法方式侵占、挪用企業(yè)資產，牟取不當利益；

（2）在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等；

（3）董事、監(jiān)事、經理及其他高級管理人員濫用職權；

（4）相關機構或人員串通舞弊。

為確保反舞弊工作落到實處，企業(yè)應當建立舉報投訴制度和舉報人保護制度，設置舉報專線，明確舉報投訴處理程序、辦理時限和辦理要求，確保舉報、投訴成為企業(yè)有效掌握信息的重要途徑。舉報投訴制度和舉報人保護制度應當及時傳達至全體員工。

信息與溝通的方式是靈活多樣的，但無論哪種方式，都應當保證信息的真實性、及時性和有用性。

（五）內部監(jiān)督

內部監(jiān)督是企業(yè)對內部控制建立與實施情況監(jiān)督檢查，評價內部控制的有效性，對于發(fā)現的內部控制缺陷及時加以改進，是實施內部控制的重要保證。從定義出發(fā)，內部監(jiān)督主要有兩個方面的意義：

第一，發(fā)現內控缺陷，改善內部控制體系，促進企業(yè)內部控制的健全性、合理性；第二，提高企業(yè)內部控制施行的有效性。除此之外，內部監(jiān)督也是外部監(jiān)管的有力支撐。最后，內部監(jiān)督機制可以減少代理成本，保障股東的利益。

1.企業(yè)應當制定內部控制監(jiān)督制度，明確內部審計機構（或經授權的其他監(jiān)督機構）和其他內部機構在內部監(jiān)督中的職責權限，規(guī)范內部監(jiān)督的程序、方法和要求。

2.內部監(jiān)督包括日常監(jiān)督和專項監(jiān)督。

（1）日常監(jiān)督是指企業(yè)對建立與實施內部控制的情況進行常規(guī)、持續(xù)的監(jiān)督檢查。日常監(jiān)督的常見方式包括：在日常生產經營活動中獲得能夠判斷內部控制設計與運行情況的信息；

在與外部有關方面溝通過程中獲得有關內部控制設計與運行情況的驗證信息；在與員工溝通過程中獲得內部控制是否有效執(zhí)行的證據；通過賬面記錄與實物資產的檢查比較對資產的安全性進行持續(xù)監(jiān)督；通過內部審計活動對內部控制有效性進行持續(xù)監(jiān)督。

（2）專項監(jiān)督是指在企業(yè)發(fā)展戰(zhàn)略、組織結構、經營活動、業(yè)務流程、關鍵崗位員工等發(fā)生較大調整或變化的情況下，對內部控制的某一或某些方面進行有針對性的監(jiān)督檢查。專項監(jiān)督的范圍和頻率根據風險評估結果以及日常監(jiān)督的有效性等予以確定。

專項監(jiān)督應當與日常監(jiān)督有機結合，日常監(jiān)督是專項監(jiān)督的基礎，專項監(jiān)督是日常監(jiān)督的補充，如果發(fā)現某專項監(jiān)督需要經常性地進行，企業(yè)有必要將其納入日常監(jiān)督之中。

3.日常監(jiān)督和專項監(jiān)督情況應當形成書面報告，并在報告中揭示存在的內部控制缺陷。內部監(jiān)督形成的報告應當有暢通的報告渠道，確保發(fā)現的重要問題能及時送達至治理層和經理層；同時，應當建立內部控制缺陷糾正、改進機制，充分發(fā)揮內部監(jiān)督效力。

4.企業(yè)應當在日常監(jiān)督和專項監(jiān)督的基礎上，定期對內部控制的有效性進行自我評價，出具自我評價報告。內部控制自我評價的方式、范圍、程序和頻率，除法律法規(guī)有特別規(guī)定的，一般由企業(yè)根據經營業(yè)務調整、經營環(huán)境變化、業(yè)務發(fā)展狀況、實際風險水平等自行確定。

以上就是關于公司內部控制的全部內容。內部控制是為實現經營管理目標、組織內部經營活動而建立的各職能部門之間對業(yè)務活動進行組織、制約、考核和調節(jié)的方法、程序和措施。

中小企業(yè)發(fā)展迅速，但內控管理不容樂觀。中小企業(yè)需要結合自身特點，優(yōu)化控制環(huán)境，明確控制目標，改善控制技術，并不斷完善內部控制系統(tǒng)，提高內部控制的效果。

而這不僅需要企業(yè)自身的努力，一家專業(yè)靠譜的機構也是非常有必要的。