導讀：從我國的現(xiàn)實情況來看，企業(yè)內(nèi)部控制普遍比較薄弱，有關(guān)挪用、侵占或詐騙企業(yè)財產(chǎn)的新聞亦屢見不鮮，企業(yè)資產(chǎn)和股東權(quán)利得不到應有保護，甚至給企業(yè)造成災難性損失導致經(jīng)營陷入困境。本文結(jié)合實際案例歸納企業(yè)內(nèi)部控制常見的十大問題。

內(nèi)部控制的權(quán)威人士Adrian Cadbury爵士曾經(jīng)說過“公司的敗績都是由內(nèi)部控制失敗引起的”，這一點從眾多的企業(yè)失敗案例都得到了驗證。

本文作者結(jié)合眾多內(nèi)控失敗案例和內(nèi)控咨詢工作的經(jīng)驗，歸納了我國企業(yè)內(nèi)部控制常見的十大問題，希望管理人員引以為戒，有則改之，無則加勉。

一、出納領(lǐng)取銀行對賬單、編制銀行存款余額調(diào)節(jié)表。

之所以把這個問題列在十大問題之首，是因為它非常普遍且后果嚴重，但遺憾的是，直到今天，仍有很多單位根本沒有意識到這一問題，或雖然意識到了卻不以為然，低估了其可能造成的嚴重后果。

不相容職務分離是內(nèi)部控制的一個基本原理，通常需要分離的不相容職務包括授權(quán)與執(zhí)行、執(zhí)行與審核、執(zhí)行與記錄、保管與記錄，所謂“管錢不管賬，管賬不管錢”就是不相容職務分離原理的一個典型運用。

貨幣資金是最容易出現(xiàn)舞弊的一項資產(chǎn)，如果由出納來負責領(lǐng)取銀行對賬單、編制銀行存款余額調(diào)節(jié)表，出納就有可能挪用或侵占公司貨幣資金，并通過偽造對賬單或在余額調(diào)節(jié)表上做手腳來掩蓋自己的舞弊行為。

國家自然科學基金委會計卞中從1995年到2003年的八年期間里，利用掌管國家基礎(chǔ)科學研究的專項資金下?lián)軝?quán)，采用謊稱支票作廢、偷蓋印鑒、削減撥款金額、偽造銀行進賬單和信匯憑證、編造銀行對賬單等手段貪污、挪用公款人民幣兩億余元。

卞中擔負著資金收付的出納職能，同時所有的銀行單據(jù)和銀行對賬單也都由他一手經(jīng)辦，使得他得以作案長達八年都沒有引起過懷疑。

2003年春節(jié)剛過，基金委財務局經(jīng)費管理處剛來的一名大學生上班伊始便到定點銀行拿對賬單，以往這一工作由會計卞中負責。

一筆金額為2090萬的支出引起了這名大學生注意，在其印象里他沒有聽說此項開支。這個初入社會的大學生找到卞中刨根問底，這樁涉案金額超過2億元的大案也因此浮出水面。

從筆者了解的情況看，80%以上的企業(yè)存在出納領(lǐng)取銀行對賬單、編制余額調(diào)節(jié)表的現(xiàn)象，究其原因，主要從工作方便角度出發(fā)，由于出納經(jīng)常跑銀行，辦理各種收付款，于是便“順理成章”地領(lǐng)取銀行對賬單、編制余額調(diào)節(jié)表。

殊不知這種習慣做法存在巨大風險隱患，其實要防范這種風險并不難，只要改由出納以外的人來負責銀行對賬單領(lǐng)取和賬面銀行存款余額核實工作即可，關(guān)鍵是要從思想意識上重視起來。

二、領(lǐng)導“一只筆”審批，缺乏完善內(nèi)控制度和流程保障。

領(lǐng)導“一只筆”，表明看起來似乎控制很嚴格，不容易出問題，但事實上這種“一只筆”控制反映了單位內(nèi)部控制方式的落后。

首先，事無巨細都由領(lǐng)導來審批，囿于時間和精力，領(lǐng)導最后可能疲于應付，分不清主次，審批“一只筆”變成簽字“一只筆”而已，控制流于形式。

其次，如果缺乏相關(guān)支撐信息，領(lǐng)導無法對收支合理性進行判斷，“一只筆”就會失去控制作用，例如經(jīng)辦人員申請購買某種設(shè)備，而領(lǐng)導沒有該設(shè)備經(jīng)濟可行性、價格合理性的相關(guān)數(shù)據(jù)，審批就會演變成一種過場。

第三，領(lǐng)導“一只筆”會造成高度集權(quán)，不利于對領(lǐng)導的制約和監(jiān)督，可能導致fu敗。因此，合理的內(nèi)部控制應當按照重要性程度大小，適當分層授權(quán)，逐級審批。

三、過于依賴業(yè)務人員，企業(yè)資源掌握在個人手中，企業(yè)對業(yè)務開展失去控制。

企業(yè)業(yè)務資源完全掌握在業(yè)務員個人手中，對企業(yè)來說是一件非常危險的事情，現(xiàn)實中經(jīng)常可以看到，不少企業(yè)的業(yè)務員一旦跳槽或離職，原有的客戶和業(yè)務關(guān)系也被隨之帶走，形成企業(yè)對業(yè)務人員過于依賴的局面。

更有甚者，有的企業(yè)業(yè)務員明地里使用單位各項資源，暗地里為自己或親友開拓業(yè)務、謀取私利，嚴重損害了企業(yè)利益。

針對這種現(xiàn)象，企業(yè)應通過完善制度設(shè)計，例如采取建立統(tǒng)一的客戶檔案和客戶關(guān)系管理系統(tǒng)、同一筆業(yè)務有兩人以上共同參與、適當進行工作輪換和加強財務對業(yè)務過程的控制等措施，將業(yè)務員手中的客戶資源轉(zhuǎn)化為企業(yè)資源，讓客戶認的是企業(yè)本身而不是認個人，這樣企業(yè)的業(yè)務就不會依賴于某一兩個人，從而保持持續(xù)穩(wěn)定的發(fā)展。

2003年初，花旗銀行臺灣區(qū)總經(jīng)理陳圣德率領(lǐng)二十多位主管集體跳槽，但在經(jīng)歷短暫的人事地震以后，花旗銀行在短短兩三個月內(nèi)就基本恢復了業(yè)務正常開展，當年業(yè)績并未受到大的影響，盈利反而創(chuàng)下歷史新高，靠的就是花旗銀行內(nèi)部已經(jīng)形成完整的制度和流程，用制度來保障業(yè)務開展，而不是依賴于某個業(yè)務人員或主管。

四、內(nèi)部控制制度文字描述性東西較多，清晰的流程圖和配套表單較少。

很多單位有這樣一種現(xiàn)象，員工在某個崗位工作久了后變得駕輕就熟，經(jīng)驗老到，工作起來游刃有余，而一旦這個員工因有事調(diào)離或辭職，后面接替的人員則需要花很長時間來熟悉情況，重新摸索工作方法。

造成這種現(xiàn)象的原因是企業(yè)制度主要是文字性東西，缺乏清晰的崗位說明和工作流程圖，執(zhí)行的人往往憑自己的經(jīng)驗和別人“言傳身教” 來做事，崗位新手在開始階段工作不知從何入手，通常需要很長一段學習和熟悉過程。

因此，一套完整的企業(yè)制度應包括三部分：

（1）文字描述的支撐制度文件；

（2）工作流程圖或流程的文字描述；

（3）相關(guān)憑證、表單、文件的樣式匯總。

通過繪制清晰的工作流程圖，可以讓每個人都能一目了然地知道辦事程序、涉及的部門、人員和規(guī)章制度，而且能夠?qū)⒐ぷ餍纬傻暮媒?jīng)驗固化下來，并且通過流程圖能比較容易發(fā)現(xiàn)內(nèi)部控制中的不足之處和風險點，從而有助于企業(yè)內(nèi)部控制的持續(xù)改進。

五、內(nèi)部控制制度“救火式”的較多，制度體系缺乏系統(tǒng)性和完整性，甚至政出多門，相互打架。

很多企業(yè)的內(nèi)部控制制度都是在發(fā)展中逐步建立起來，經(jīng)常是發(fā)現(xiàn)管理中出現(xiàn)了某種問題，于是相應地出臺一個制度來規(guī)范。

例如今天發(fā)現(xiàn)電話費高了，就制定一個通訊費管理辦法，明天發(fā)現(xiàn)辦公用品浪費嚴重，就擬定出辦公用品采購與使用辦法。

這種“救火式”的制度往往只能防范已發(fā)生過的風險，而對未發(fā)生的風險則考慮不足。此外，這樣的制度體系無論在內(nèi)容上還是形式上，都缺乏系統(tǒng)性和完整性，沒有科學合理的分類，甚至不同制度之間存在矛盾或重疊的現(xiàn)象。有的單位還有不同部門根據(jù)自身需要制定制度現(xiàn)象，政出多門，相互打架。

筆者曾經(jīng)接觸過一個單位，僅是購買電腦一項，既可以通過信息科購買，因為信息科負責整個單位的計算機軟硬件系統(tǒng)；也可以通過行政辦公室，因為電腦屬于辦公用品，而辦公用品歸辦公室管理；還可以通過負責管理固定資產(chǎn)的設(shè)備科購買，因為電腦是一種固定資產(chǎn)。

為此，企業(yè)應有一套規(guī)范的制度制定程序和形式規(guī)范，包括制度的編號、格式、分類、內(nèi)容、審批程序、執(zhí)行及其他應注意事項進行統(tǒng)一的規(guī)范化管理，并以書面形式予以約束。

六、員工臨時休假或出差時，缺乏明確的工作交接制度。

任何一個崗位，總會出現(xiàn)員工因急事、生病或出差等原因不能正常上班的情形，很多單位在制度設(shè)計時都沒有考慮到員工暫時離崗時工作由誰接替的問題。

實際操作中，在遇到員工臨時休假或出差時，便臨時指派一位相關(guān)人員來兼任，但事實上，這種急時抱佛腳的做法，稍有不當，可能會給企業(yè)帶來風險。

企業(yè)正常的工作安排中通常會將不相容職務由兩個以上的人來擔任，以便相互牽制，而臨時指派某人兼任做法，可能會導致不相容職務由同一人擔任。

例如支票印鑒平常一般都由兩人分別保管，如果因其中一人臨時有事而指派另一人暫時兼任，由一人掌握所有空白支票和印鑒的話，盜用支票的風險就會大大增加。

因此，企業(yè)有必要明確規(guī)定一些重要崗位的工作交接制度，防止員工臨時休假或出差時留下內(nèi)部控制“真空”的現(xiàn)象。

七、人員招聘時注重筆試和面試的考察，忽視背景調(diào)查。如果雇傭了不誠實的人，那么即使是最良好的控制也無法防范舞弊。

如果企業(yè)不仔細地篩選應聘者，并因此而雇傭了不誠實的員工，則很有可能遭受損害。很多企業(yè)在招聘過程中也非常強調(diào)應聘者的誠信，但較多注重于筆試或面試的考察。

“然而，誰能知道在一份漂亮的簡歷背后又隱藏著什么？”，背景調(diào)查則能有效發(fā)現(xiàn)應聘者有無虛構(gòu)個人信息、是否存在不誠信記錄、在以前雇主處工作情況，從而能幫助企業(yè)甄別應聘者，防止將不合格人員招進來。

而且背景調(diào)查本身并不需要復雜的技術(shù)，只需要向應聘者以前工作過單位打幾個電話或發(fā)封函件就能夠了解一些非常有用的信息，實施成本也比較低。

曾經(jīng)被稱為北京市醫(yī)療系統(tǒng)頭號女貪、案發(fā)前為北京腫瘤醫(yī)院住院部主任的石巧玲，四年時間貪污挪用1000多萬元，檢察官辦案時發(fā)現(xiàn)她自己在不同表格上填寫的出生日期就有三個版本，而在填寫工作簡歷時她又玩上了花樣：

在1979年 5月石巧玲親自填寫的《工作人員履歷表》中，前頁寫“售貨員”，后頁則寫在“工商局工作”；

1995年12月25日填寫的腫瘤醫(yī)院《干部任免呈報表》中，石巧玲的工作簡歷又變成了“1967——1978年，北京商業(yè)局會計”。

對石巧玲來講，嚴肅的履歷表成了可隨意填寫的“草紙”。其實，這些問題通過對應聘者簡歷的認真審核和相應背景調(diào)查是不難發(fā)現(xiàn)的。

八、關(guān)鍵崗位無強制輪換或帶薪休假制度。

企業(yè)員工在某一崗位工作時間長了，會比較熟悉內(nèi)部控制漏洞所在，實施舞弊的可能性更大。現(xiàn)實中，有不少挪用或貪污等舞弊現(xiàn)象都是在工作交接時被發(fā)現(xiàn)的。

2005年4月，儀征化纖公司在工作交接過程中發(fā)現(xiàn)營銷部一會計挪用資金5000多萬元，該會計19***畢業(yè)后被分配至儀征化纖從事財務工作。

十六年來他的崗位和職務一直都沒有變化，由于在這個崗位上的時間很長，規(guī)律摸得非常透，他知道什么時候?qū)⒖铐椊唤o單位，也清楚什么時候要進行財務檢查或?qū)徲?，總能找到新的款項填補以前的漏洞，自1999年開始挪用資金，作案時間長達六年，期間一直未露蛛絲馬跡，直到2005年因單位內(nèi)部人事改革他被迫交接工作時才敗露。

過去我們比較強調(diào)“螺絲釘”精神，殊不知，“螺絲釘”在一個地方時間擰長了也會容易生銹的。

通過強制輪換，或者帶薪休假，在休假期間工作由別人暫時接替，由于員工離崗時的工作交接會受到他人監(jiān)督，那么他實施并掩蓋舞弊的機會將大大減少。

美國貨幣管理局要求全美的銀行雇員每年休假一周，在雇員休假期間，安排其他接替人員做他的工作，就是為了防止員工長期在同一崗位工作可能產(chǎn)生舞弊。

對我國企業(yè)來說，對一些關(guān)鍵崗位，例如財務、采購中的部分崗位，通過建立強制輪換和帶薪休假制度，既可以提升員工的工作能力，同時是防范和發(fā)現(xiàn)舞弊的一項有效措施。

九、過分強調(diào)控制成本，經(jīng)常將效率作為弱化或逾越內(nèi)部控制的理由。

實施內(nèi)部控制無疑需要成本，并且在一定程度上會影響到運行效率。于是， 一些單位管理人員便常常以影響效率為由，反對內(nèi)部控制措施的推行。

事實上，如果將各項職能都交給某一個部門或某一個人去執(zhí)行，沒有必要的授權(quán)批準和審核，在效率上可能會很高，但由此產(chǎn)生的風險也急劇上升。

因此，為了防止一些重大風險給企業(yè)帶來災難性損失，犧牲一定程度的效率是控制風險所必須付出的成本。

現(xiàn)實中經(jīng)常碰到的情形是，在企業(yè)推行新的內(nèi)部控制制度，往往會涉及到原有利益格局的打破和調(diào)整，這時一些管理人員便表面上以影響效率為由來反對內(nèi)部控制新舉措推行，實際是由于個人或部門利益受到影響。

因為內(nèi)部控制制度不完善帶來的損失可能是關(guān)系到企業(yè)存亡問題，而效率則是影響企業(yè)發(fā)展的快慢，作為企業(yè)的領(lǐng)導者，不能過分強調(diào)成本因素而忽視內(nèi)部控制制度的建設(shè)，應當合理權(quán)衡內(nèi)部控制的成本和效率的關(guān)系。

十、說一套，做一套，制度放空炮。

內(nèi)部控制制度是否得到有效執(zhí)行是個老生常談的問題，卻又不得不談，很多出問題的案例往往都不是因為制度缺乏規(guī)定，而恰恰是制度有明文規(guī)定卻未能遵照執(zhí)行。

以中航油（新加坡）為例，盡管公司有完整的風險管理規(guī)章制度，是由國際“四大”之一的安永會計師事務所制定的；

在風險管理委員會設(shè)置、風險控制流程等各方面制度都比較完備按照規(guī)定，公司的風險管理基本結(jié)構(gòu)是從交易員，到風險管理委員會，到內(nèi)審部，到首席執(zhí)行官，再到董事會層層上報；每名交易員虧損20萬美元時，要向風險管理委員會報告，虧損達37.5 萬美元時向首席執(zhí)行官匯報，虧損50萬美元時，必須斬倉。

但遺憾的公司這些制度并未得到有效執(zhí)行，公司內(nèi)部風險管理內(nèi)控系統(tǒng)形同虛設(shè)，最終給公司造成了超過5億美元的災難性損失。

內(nèi)部控制制度不能有效執(zhí)行原因主要有二：

一是制度本身制定得不合理，或過于理想化，或隨著新情況出現(xiàn)，原有制度已不能適應卻沒有及時修改，從而使得制度不具可操作性，自然也就不會被執(zhí)行；

二是缺乏保證制度執(zhí)行的機制，一些單位對內(nèi)部控制執(zhí)行情況既沒有檢查監(jiān)督，又沒有相應的獎懲措施，內(nèi)部控制制度成為墻上擺設(shè)和一紙空文也就不奇怪了。

為此，企業(yè)一方面需要提高制度可操作性，另一方面要加強制度執(zhí)行力，不能為制度而制度。

每個企業(yè)都會遇到內(nèi)控問題，這個問題永遠都不會過時，你要自己對照一下，這個企業(yè)是否做到，是否存在重大和重要的缺陷。

內(nèi)部控制原則

內(nèi)部控制原則是企業(yè)建立與實施內(nèi)部控制應當遵循的基本指針。企業(yè)建立與實施內(nèi)部控制應當遵循5項原則，即全面性、重要性、制衡性、適應性和成本效益原則。

（一）全面性原則

內(nèi)部控制應當貫穿決策、執(zhí)行和監(jiān)督全過程，覆蓋企業(yè)及其所屬單位的各種業(yè)務和事項實現(xiàn)全過程、全員性控制，不存在內(nèi)部控制空白點。

（二）重要性原則

內(nèi)部控制應當在全面控制的基礎(chǔ)上，關(guān)注重要業(yè)務事項和高風險領(lǐng)域，并采取更為嚴格的控制措施，確保不存在重大缺陷。重要性原則的應用需要一定的職業(yè)判斷，企業(yè)應當根據(jù)所處行業(yè)環(huán)境和經(jīng)營特點，從業(yè)務事項的性質(zhì)和涉及金額兩方面來考慮是否及如何實行重點控制。

（三）制衡性原則

內(nèi)部控制應當在治理結(jié)構(gòu)、機構(gòu)設(shè)置及權(quán)責分配、業(yè)務流程等方面形成相互制約、相互監(jiān)督，同時兼顧運營效率。制衡性原則要求企業(yè)完成某項工作必須經(jīng)過互不隸屬的兩個或兩個以上的崗位和環(huán)節(jié)；同時，還要求履行內(nèi)部控制監(jiān)督職責的機構(gòu)或人員具有良好的獨立性。

（四）適應性原則

內(nèi)部控制應當與企業(yè)經(jīng)營規(guī)模、業(yè)務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化加以調(diào)整。適應性原則要求企業(yè)建立與實施內(nèi)部控制應當具有前瞻性，適時地對內(nèi)部控制系統(tǒng)進行評估，發(fā)現(xiàn)可能存在的問題，并及時采取措施予以補救。

（五）成本效益原則

內(nèi)部控制應當權(quán)衡實施成本與預期效益，以適當?shù)某杀緦崿F(xiàn)有效控制。成本效益原則要求企業(yè)內(nèi)部控制建設(shè)必須統(tǒng)籌考慮投入成本和產(chǎn)出效益之比。對成本效益原則的判斷需要從企業(yè)整體利益出發(fā)，盡管某些控制會影響工作效率，但可能會避免整個企業(yè)面臨更大損失，此時仍應實施相應控制。

內(nèi)部控制要素

借鑒COSO（Committee of Sponsoring Organizations of the Treadway Commission,全美反欺詐財務報告委員會下屬的發(fā)起人委員會，該委員會于1992年頒布了《內(nèi)部控制—整體框架》，提出了五要素的觀點。

COSO內(nèi)部控制框架是美國證券交易委員會唯一推薦使用的內(nèi)部控制框架，同時《薩班斯法案》第404 條款的「最終細則」也明確表明 COSO內(nèi)部控制框架可以作為評估企業(yè)內(nèi)部控制的標準。）報告框架，我國《企業(yè)內(nèi)部控制基本規(guī)范》將內(nèi)部控制的要素歸納為內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督5大方面。

（一）內(nèi)部環(huán)境包括

1.治理結(jié)構(gòu)

公司治理結(jié)構(gòu)指的是內(nèi)部治理結(jié)構(gòu)，又稱法人治理結(jié)構(gòu)，是根據(jù)權(quán)力機構(gòu)、決策機構(gòu)、執(zhí)行機構(gòu)和監(jiān)督機構(gòu)相互獨立、權(quán)責明確、相互制衡的原則實現(xiàn)對公司的治理。

治理結(jié)構(gòu)是由股東大會、董事會、監(jiān)事會和管理層組成的，決定公司內(nèi)部決策過程和利益相關(guān)者參與公司治理的辦法，主要作用在于協(xié)調(diào)公司內(nèi)部不同產(chǎn)權(quán)主體之間的經(jīng)濟利益矛盾，減少代理成本。

2.機構(gòu)設(shè)置與權(quán)責分配

公司制企業(yè)中股東大會（權(quán)力機構(gòu)）、董事會（決策機構(gòu)）、監(jiān)事會（監(jiān)督機構(gòu)）、總經(jīng)理層（日常管理機構(gòu)）這四個法定剛性機構(gòu)為內(nèi)部控制機構(gòu)的建立、職責分工與制約提供了基本的組織框架，但并不能滿足內(nèi)部控制對企業(yè)組織結(jié)構(gòu)的要求，

內(nèi)部控制機制的運作還必須在這一組織框架下設(shè)立滿足企業(yè)生產(chǎn)經(jīng)營所需要的職能機構(gòu)。所采用的組織結(jié)構(gòu)應當有利于提升管理效能，并保證信息通暢流動。

3.內(nèi)部審計機制

內(nèi)部審計控制是內(nèi)部控制的一種特殊形式。根據(jù)中國內(nèi)部審計協(xié)會的解釋，內(nèi)部審計是指組織內(nèi)部的一種獨立客觀的監(jiān)督和評價活動，它通過審查和評價經(jīng)營活動及內(nèi)部控制的適當性、合法性和有效性來促進組織目標的實現(xiàn)。

內(nèi)部審計的范圍主要包括財務會計、管理會計和內(nèi)部控制檢查。內(nèi)部審計機制的設(shè)立包括內(nèi)部審計機構(gòu)設(shè)置、人員配備、工作開展及其獨立性的保證等。

4.人力資源政策

人力資源政策是影響企業(yè)內(nèi)部環(huán)境的關(guān)鍵因素，它所包括的雇用、培訓、評價、考核、晉升、獎懲等業(yè)務，向員工傳達著有關(guān)誠信、道德行為和勝任能力的期望水平方面的信息，這些業(yè)務都與公司員工密切相關(guān)，而員工正是公司中執(zhí)行內(nèi)部控制的主體。

一個良好的人力資源政策，能夠有效地促進內(nèi)部控制在企業(yè)中的順利實施，并保證其實施的質(zhì)量。

5.企業(yè)文化

企業(yè)文化體現(xiàn)為人本管理理論的最高層次。企業(yè)文化重視人的因素，強調(diào)精神文化的力量，希望用一種無形的文化力量形成一種行為準則、價值觀念和道德規(guī)范，凝聚企業(yè)員工的歸屬感、積極性和創(chuàng)造性，引導企業(yè)員工為企業(yè)和社會的發(fā)展而努力，并通過各種渠道對社會文化的大環(huán)境產(chǎn)生作用。

（二）風險評估

風險評估是企業(yè)及時識別、科學分析經(jīng)營活動中與實現(xiàn)控制目標相關(guān)的風險，合理確定風險應對策略，是實施內(nèi)部控制的重要環(huán)節(jié)。風險評估主要包括目標設(shè)定、風險識別、風險分析和風險應對。

1.目標設(shè)定

風險是指一個潛在事項的發(fā)生對目標實現(xiàn)產(chǎn)生的影響。風險與可能被影響的控制目標相關(guān)聯(lián)。企業(yè)必須制定與生產(chǎn)、銷售、財務等業(yè)務相關(guān)的目標，設(shè)立可辨認、分析和管理相關(guān)風險的機制，以了解企業(yè)所面臨的來自內(nèi)部和外部的各種不同風險。

企業(yè)開展風險評估，應當準確識別與實現(xiàn)控制目標相關(guān)的內(nèi)部風險與外部風險，確定相應的風險承受度。風險承受度是企業(yè)能夠承擔的風險限度，包括整體風險承受能力和業(yè)務層面的可接受風險水平。

2.風險識別

風險識別實際上是收集有關(guān)損失原因、危險因素及其損失暴露等方面信息的過程。風險識別作為風險評估過程的重要環(huán)節(jié)，主要回答的問題是：存在哪些風險，哪些風險應予以考慮，引起風險的主要因素是什么，這些風險所引起的后果及嚴重程度如何，風險識別的方法有哪些等。

而其中企業(yè)在風險評估過程中，更應當關(guān)注引起風險的主要因素，應當準確識別與實現(xiàn)控制目標有關(guān)的內(nèi)部風險和外部風險。

3.風險分析

風險分析是在風險識別的基礎(chǔ)上對風險發(fā)生的可能性、影響程度等進行描述、分析、判斷，并確定風險重要性水平的過程。企業(yè)應當在充分識別各種潛在風險因素的基礎(chǔ)上，對固有風險，即不采取任何防范措施可能造成的損失程度進行分析，同時，重點分析剩余風險，即采取了相應應對措施之后仍可能造成的損失程度。

企業(yè)應當采用定性與定量相結(jié)合的方法，按照風險發(fā)生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關(guān)注重點和優(yōu)先控制的風險。

4.風險應對

企業(yè)應當在分析相關(guān)風險的可能性和影響程度基礎(chǔ)上，結(jié)合風險承受度，權(quán)衡風險與收益，確定風險應對策略。企業(yè)應合理分析、準確掌握董事、經(jīng)理及其他高級管理人員、關(guān)鍵崗位員工的風險偏好，采取適當?shù)目刂拼胧?，避免因個人風險偏好給企業(yè)經(jīng)營帶來重大損失。

企業(yè)管理層在評估了相關(guān)風險的可能性和后果，以及成本效益之后要選擇一系列策略使剩余風險處于期望的風險容限以內(nèi)。

常用的風險應對策略有：

（1）風險規(guī)避。

風險規(guī)避，即改變或回避相關(guān)業(yè)務，不承擔相應風險，是企業(yè)對超出風險承受度的風險，通過放棄或者停止與該風險相關(guān)的業(yè)務活動以避免和減輕損失的策略。例如：由于雨雪天氣，航空公司取消某次航班；企業(yè)拒絕與不守信用的廠商有業(yè)務來往；新產(chǎn)品在試制階段發(fā)現(xiàn)問題而果斷地停止研發(fā)。

（2）風險承受。

風險承受，即比較風險與收益后，愿意無條件承擔全部風險，是企業(yè)在權(quán)衡成本效益之后，對風險承受度之內(nèi)的風險，不準備采取控制措施降低風險或者減輕損失的策略。

例如：企業(yè)設(shè)有一個小型倉庫，平時就存放一些待處理的設(shè)備（市場價值很小），如果為了防止這些設(shè)備被盜偷而專門雇傭一個保管員，那么這時支付保管員的費用要遠高于設(shè)備的價值，顯然，不符合成本效益原則，因此，對于這種存在的失竊風險企業(yè)就應該采用風險承受策略。

（3）風險降低。

風險降低，即采取一切措施降低發(fā)生不利后果的可能性,是企業(yè)在權(quán)衡成本效益之后，準備采取適當?shù)目刂拼胧┙档惋L險或者減輕損失，將風險控制在風險承受度之內(nèi)的策略，包括兩類措施：風險預防和風險抑制。

（4）風險分擔。

風險分擔，即通過購買保險、外包業(yè)務等方式來分擔一部分風險,是企業(yè)準備借助他人力量，采取業(yè)務分包、購買保險等方式和適當?shù)目刂拼胧瑢L險控制在風險承受度之內(nèi)的策略。常見的措施有業(yè)務分包、購買保險等。

例如：大學里學生宿舍的管理外包給物業(yè)公司負責，這是由于大學本身不具有物業(yè)管理的能力，通過外包的方式轉(zhuǎn)移了與物業(yè)相關(guān)的風險；公司給某些關(guān)鍵設(shè)備購買財產(chǎn)保險來轉(zhuǎn)移風險。

風險應對策略往往是結(jié)合運用的。同時企業(yè)應當結(jié)合不同發(fā)展階段和業(yè)務拓展情況，持續(xù)收集與風險變化相關(guān)的信息，進行風險識別和風險分析，及時調(diào)整風險應對策略。

（三）控制活動

控制活動是指企業(yè)根據(jù)風險應對策略，采用相應的控制措施，將風險控制在可承受度之內(nèi)，是實施內(nèi)部控制的具體方式。常見的控制措施有：不相容職務分離控制、授權(quán)審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評控制等。企業(yè)應當結(jié)合風險評估結(jié)果，通過手工控制與自動控制、預防性控制與檢查性控制相結(jié)合的方法，運用相應的控制措施，將風險控制在可承受度之內(nèi)。

1.不相容職務分離控制

所謂不相容職務，是指那些如果由一個人擔任既可能發(fā)生錯誤和舞弊行為，又可能掩蓋其錯誤和舞弊行為的職務。

2.授權(quán)審批控制

授權(quán)批準是指企業(yè)在辦理各項經(jīng)濟業(yè)務時，必須經(jīng)過規(guī)定程序的授權(quán)批準。授權(quán)審批控制要求企業(yè)根據(jù)常規(guī)授權(quán)和特別授權(quán)的規(guī)定，明確各崗位辦理業(yè)務和事項的權(quán)限范圍、審批程序和相應責任。

3.會計系統(tǒng)控制

會計作為一個信息系統(tǒng)，對內(nèi)能夠向管理層提供經(jīng)營管理的諸多信息，對外可以向投資者、債權(quán)人等提供用于投資等決策的信息。會計系統(tǒng)控制主要是通過對會計主體所發(fā)生的各項能用貨幣計量的經(jīng)濟業(yè)務進行記錄、歸集、分類、編報等進行的控制。

4.財產(chǎn)保護控制

財產(chǎn)保護控制是指為了確保企業(yè)財產(chǎn)物資安全、完整所采用的各種方法和措施。財產(chǎn)是企業(yè)資金、財物及民事權(quán)利義務的總和，按是否具有實物形態(tài)，分為有形財產(chǎn)（如資金、財物）和無形財產(chǎn)（如著作權(quán)、發(fā)明權(quán)），按民事權(quán)利義務，分為積極財產(chǎn)（如金錢、財物及各種權(quán)益）和消極財產(chǎn)（如債務）。財產(chǎn)是企業(yè)開展各項生產(chǎn)經(jīng)營活動的物質(zhì)基礎(chǔ)，企業(yè)應采取有效措施，加強對企業(yè)財產(chǎn)物資的保護。

5.預算控制

預算是企業(yè)未來一定時期內(nèi)經(jīng)營、資本、財務等各方面的收入、支出、現(xiàn)金流的總體計劃。預算控制是內(nèi)部控制中使用得較為廣泛的一種控制措施。通過預算控制，使得企業(yè)的經(jīng)營目標轉(zhuǎn)化為各部門、各個崗位以至個人的具體行為目標，作為各責任企業(yè)的約束條件，能夠從根本上保證企業(yè)經(jīng)營目標的實現(xiàn)。

6.運營分析控制

運營活動分析，曾被稱為經(jīng)營活動分析，但實際上運營活動是比經(jīng)營活動范疇更廣，更能夠全面涵蓋企業(yè)活動的提法。運營分析是對企業(yè)內(nèi)部各項業(yè)務、各類機構(gòu)的運行情況進行獨立分析或綜合分析，進而掌握企業(yè)運營的效率和效果，為持續(xù)的優(yōu)化調(diào)整奠定基礎(chǔ)。

企業(yè)運營活動分析的方法包括定性分析法和定量分析法。定性分析法可以有專家建議法、專家會議法、主觀概率法和特爾菲法（通過函詢的方式收集專家意見，對未來進行直觀預測的一種定性方法）。定量分析法可以有對比分析法、趨勢分析法、因素分析法和比率分析法。

運營分析控制要求企業(yè)建立運營情況分析制度，綜合運用生產(chǎn)、購銷、投資、籌資、財務等方面的信息，通過因素分析、對比分析、趨勢分析等方面，定期開展運營情況分析，發(fā)現(xiàn)存在的問題，及時查明原因并加以改進。

7.績效考評控制

績效考評是對所屬企業(yè)及個人占有、使用、管理與配置企業(yè)經(jīng)濟資源的效果進行的評價。績效考評是一個過程，即首先明確企業(yè)要做什么（目標和計劃），然后找到衡量工作做得好壞的標準進行監(jiān)測（構(gòu)建指標體系并進行監(jiān)測），發(fā)現(xiàn)做得好的（績效考核），進行獎勵（激勵機制），使其繼續(xù)保持或者做得更好，能夠完成更高的目標。

更為重要的是，發(fā)現(xiàn)不好的地方，通過分析找到問題所在，進行改正，使得工作做得更好（績效改進）。這個過程就是績效考評過程。企業(yè)為了完成這個管理過程所構(gòu)建起來的管理體系，就是績效考評體系。

（四）信息與溝通

信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關(guān)的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通，是實施內(nèi)部控制的重要條件。企業(yè)應當建立信息與溝通制度，明確內(nèi)部控制相關(guān)信息的收集、處理和傳遞程序，確保信息及時溝通，促進內(nèi)部控制有效運行。信息與溝通的要件主要包括：信息質(zhì)量、溝通制度、信息系統(tǒng)、反舞弊機制。

1.信息質(zhì)量

信息是企業(yè)各類業(yè)務事項屬性的標識，是確保企業(yè)經(jīng)營管理活動順利開展的基礎(chǔ)。企業(yè)日常生產(chǎn)經(jīng)營需要收集各種內(nèi)部信息和外部信息，并對這些信息進行合理篩選、核對、整合，提高信息的有用性。

企業(yè)可以通過財務會計資料、經(jīng)營管理資料、調(diào)研報告、專項信息、內(nèi)部刊物、辦公網(wǎng)絡等渠道，獲取內(nèi)部信息；還可以通過行業(yè)協(xié)會組織、社會中介機構(gòu)、業(yè)務往來企業(yè)、市場調(diào)查、來信來訪、網(wǎng)絡媒體以及有關(guān)監(jiān)管部門等渠道，獲取外部信息。

2.溝通制度

信息的價值必須通過傳遞和使用才能體現(xiàn)。企業(yè)應當建立信息溝通制度，將內(nèi)部控制相關(guān)信息在企業(yè)內(nèi)部各管理級次、責任企業(yè)、業(yè)務環(huán)節(jié)之間，以及企業(yè)與外部投資者、債權(quán)人、客戶、供應商、中介機構(gòu)和監(jiān)管部門等有關(guān)方面之間進行溝通和反饋。信息溝通過程中發(fā)現(xiàn)的問題，應當及時報告并加以解決。重要信息須及時傳遞給董事會、監(jiān)事會和經(jīng)理層。

3.信息系統(tǒng)

為提高控制效率，企業(yè)可以運用信息技術(shù)加強內(nèi)部控制，建立與經(jīng)營管理相適應的信息系統(tǒng)，促進內(nèi)部控制流程與信息系統(tǒng)的有機結(jié)合，實現(xiàn)對業(yè)務和事項的自動控制，減少或消除人為操縱因素。企業(yè)利用信息技術(shù)對信息進行集成和共享的同時，還應加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行。

4.反舞弊機制

舞弊是指企業(yè)董事、監(jiān)事、經(jīng)理、其他高級管理人員、員工或第三方使用欺騙手段獲取不當或非法利益的故意行為，它是需要企業(yè)重點加以控制的領(lǐng)域之一。企業(yè)應當建立反舞弊機制，堅持懲防并舉、重在預防的原則，明確反舞弊工作的重點領(lǐng)域、關(guān)鍵環(huán)節(jié)和有關(guān)機構(gòu)在反舞弊工作中的職責權(quán)限，規(guī)范舞弊案件的舉報、調(diào)查、處理、報告和補救程序。

反舞弊工作的重點包括：

（1）未經(jīng)授權(quán)或者采取其他不法方式侵占、挪用企業(yè)資產(chǎn)，牟取不當利益；

（2）在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等；

（3）董事、監(jiān)事、經(jīng)理及其他高級管理人員濫用職權(quán)；

（4）相關(guān)機構(gòu)或人員串通舞弊。

為確保反舞弊工作落到實處，企業(yè)應當建立舉報投訴制度和舉報人保護制度，設(shè)置舉報專線，明確舉報投訴處理程序、辦理時限和辦理要求，確保舉報、投訴成為企業(yè)有效掌握信息的重要途徑。舉報投訴制度和舉報人保護制度應當及時傳達至全體員工。

信息與溝通的方式是靈活多樣的，但無論哪種方式，都應當保證信息的真實性、及時性和有用性。

（五）內(nèi)部監(jiān)督

內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況監(jiān)督檢查，評價內(nèi)部控制的有效性，對于發(fā)現(xiàn)的內(nèi)部控制缺陷及時加以改進，是實施內(nèi)部控制的重要保證。從定義出發(fā)，內(nèi)部監(jiān)督主要有兩個方面的意義：

第一，發(fā)現(xiàn)內(nèi)控缺陷，改善內(nèi)部控制體系，促進企業(yè)內(nèi)部控制的健全性、合理性；第二，提高企業(yè)內(nèi)部控制施行的有效性。除此之外，內(nèi)部監(jiān)督也是外部監(jiān)管的有力支撐。最后，內(nèi)部監(jiān)督機制可以減少代理成本，保障股東的利益。

1.企業(yè)應當制定內(nèi)部控制監(jiān)督制度，明確內(nèi)部審計機構(gòu)（或經(jīng)授權(quán)的其他監(jiān)督機構(gòu)）和其他內(nèi)部機構(gòu)在內(nèi)部監(jiān)督中的職責權(quán)限，規(guī)范內(nèi)部監(jiān)督的程序、方法和要求。

2.內(nèi)部監(jiān)督包括日常監(jiān)督和專項監(jiān)督。

（1）日常監(jiān)督是指企業(yè)對建立與實施內(nèi)部控制的情況進行常規(guī)、持續(xù)的監(jiān)督檢查。日常監(jiān)督的常見方式包括：在日常生產(chǎn)經(jīng)營活動中獲得能夠判斷內(nèi)部控制設(shè)計與運行情況的信息；

在與外部有關(guān)方面溝通過程中獲得有關(guān)內(nèi)部控制設(shè)計與運行情況的驗證信息；在與員工溝通過程中獲得內(nèi)部控制是否有效執(zhí)行的證據(jù)；通過賬面記錄與實物資產(chǎn)的檢查比較對資產(chǎn)的安全性進行持續(xù)監(jiān)督；通過內(nèi)部審計活動對內(nèi)部控制有效性進行持續(xù)監(jiān)督。

（2）專項監(jiān)督是指在企業(yè)發(fā)展戰(zhàn)略、組織結(jié)構(gòu)、經(jīng)營活動、業(yè)務流程、關(guān)鍵崗位員工等發(fā)生較大調(diào)整或變化的情況下，對內(nèi)部控制的某一或某些方面進行有針對性的監(jiān)督檢查。專項監(jiān)督的范圍和頻率根據(jù)風險評估結(jié)果以及日常監(jiān)督的有效性等予以確定。

專項監(jiān)督應當與日常監(jiān)督有機結(jié)合，日常監(jiān)督是專項監(jiān)督的基礎(chǔ)，專項監(jiān)督是日常監(jiān)督的補充，如果發(fā)現(xiàn)某專項監(jiān)督需要經(jīng)常性地進行，企業(yè)有必要將其納入日常監(jiān)督之中。

3.日常監(jiān)督和專項監(jiān)督情況應當形成書面報告，并在報告中揭示存在的內(nèi)部控制缺陷。內(nèi)部監(jiān)督形成的報告應當有暢通的報告渠道，確保發(fā)現(xiàn)的重要問題能及時送達至治理層和經(jīng)理層；同時，應當建立內(nèi)部控制缺陷糾正、改進機制，充分發(fā)揮內(nèi)部監(jiān)督效力。

4.企業(yè)應當在日常監(jiān)督和專項監(jiān)督的基礎(chǔ)上，定期對內(nèi)部控制的有效性進行自我評價，出具自我評價報告。內(nèi)部控制自我評價的方式、范圍、程序和頻率，除法律法規(guī)有特別規(guī)定的，一般由企業(yè)根據(jù)經(jīng)營業(yè)務調(diào)整、經(jīng)營環(huán)境變化、業(yè)務發(fā)展狀況、實際風險水平等自行確定。

以上就是關(guān)于公司內(nèi)部控制的全部內(nèi)容。內(nèi)部控制是為實現(xiàn)經(jīng)營管理目標、組織內(nèi)部經(jīng)營活動而建立的各職能部門之間對業(yè)務活動進行組織、制約、考核和調(diào)節(jié)的方法、程序和措施。

中小企業(yè)發(fā)展迅速，但內(nèi)控管理不容樂觀。中小企業(yè)需要結(jié)合自身特點，優(yōu)化控制環(huán)境，明確控制目標，改善控制技術(shù)，并不斷完善內(nèi)部控制系統(tǒng)，提高內(nèi)部控制的效果。

而這不僅需要企業(yè)自身的努力，一家專業(yè)靠譜的機構(gòu)也是非常有必要的。