【基本要求】

（一）掌握企业内部控制规范体系框架

（二）掌握企业内部控制的目标、原则和要素

（三）掌握资金活动等18项内部控制应用指引明确的控制目标、主要风险、关键控制点和主要控制措施

（四）掌握企业内部控制自我评价的内容、程序、方法、评价报告编制与报送要求

（五）掌握企业内部控制注册会计师审计的内容、程序、方法、审计报告编制与披露要求

（六）掌握风险的定义及分类，以及风险管理的含义、作用和风险评估的主要内容

第一节    企业内部控制规范体系框架

企业内部控制规范体系由基本规范和配套指引构成。

基本规范规定了内部控制的目标、原则、要素等基本要求，是制定配套指引的基本依据。

企业内部控制配套指引由18项应用指引《 企业内部控制评价指引》和《 企业内部控制审计指引》组成。

应用指引分为企业层面控制指引和业务层面控制指引。《 企业内部控制评价指引》为企业开展内部控制自我评价提供了自律性要求。《 企业内部控制审计指引》为会计师事务所实施内部控制审计工作提供了应用性指导。

基本规范和配套指引主要适用于大中型企业，我国的上市公司中央企业和国有大中型企业须强制执行基本规范和配套指引。小企业可以参照执行《 小企业内部控制规范（试行）》。《小企业内部控制规范（试行）》是对企业内部控制规范体系的有益补充。

一、内部控制目标

内部控制目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

二、内部控制原则

内部控制原则是企业建立与实施内部控制应当遵循的基本准绳， 包括全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。

三、  内部控制要素

（1）内部环境，主要包括治理结构、机构设置及权责分配、内部审计机制、人力资源政策、企业文化等。

（2）风险评估，主要包括目标设定、风险识别、风险分析和风险应对。

（3）控制活动，主要包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

（4）信息与沟通，主要包括信息质量、沟通制度、信息系统、反舞弊机制。

（5）内部监督，包括日常监督和专项监督。

 第二节    企业内部控制体系建设

一、企业内部控制建设的组织形式

（1）董事会对内部控制的建立健全和有效实施负责，定期召开董事会议，商讨内部控制建设中的重大问题并作出决策。

（2）董事会下设的审计委员会在内部控制中的职责一般包括：审查企业内部控制的设计、监督内部控制有效实施、领导开展内部控制自我评价、与中介机构就内部控制审计和其他相关事宜进行沟通协调等。

（3）监事会对董事会建立与实施内部控制进行监督。

（4）经理层负责组织领导企业内部控制的日常运行。

（5）企业可以根据需要成立专门的内部控制工作团队，以项目组的形式运作；也可以成立内部控制专职机构 ( 或岗位），专门负责内部控制在企业内部各部门间的组织协调和日常性事务工作。

（6）内部审计部门在评价内部控制的有效性以及提出改进建议等方面起着关键作用。

（7）财会部门在保证与财务报告相关的内部控制有效性方面发挥着十分重要的作用，在制定发展战略、分析评估风险和作出决策等环节扮演关键的助手和参谋角色。

（8）企业内部各职能部门（或业务单位）及其全体员工都应当在建立与实施内部控制过程中承担相应职责并发挥积极作用。企业可以根据需要在各职能部门 ( 或业务单位）内部设立内部控制岗位，专门负责与本部门相关的内部控制工作，并定期与内部控制职能部门进行沟通。

二、企业层面控制

企业层面控制是指对企业控制目标的实现具有重大影响，与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。企业内部控制应用指引目前规范了五类与内部环境直接相关的控制，包括组织架构、发展战略、人力资源、社会责任、企业文化

等方面的控制。

企业在建立健全上述与内部环境直接相关的控制时，应按相关内部控制应用指引的要求，确定主要风险，识别关键控制点，制定并运用相关控制措施。 具体内容参见相关内部控制应用指引。

三、业务层面控制

业务层面控制是指综合运用各种控制手段和方法，针对具体业务和事项实施的控制。

企业内部控制应用指引针对多数企业普遍存在的业务控制，规范了13项涉及业务层面的有关控制，具体包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递和 信息系统等。企业在建立健全上述业务层面控制时，应按相关内部控制应用指引的要求，确定主要风险，识别关键控制点，制定并运用相关控制措施。具体内容参见相关内部控制应用指引。

第三节    企业内部控制评价和审计

一、企业内部控制评价

企业董事会或类似权力机构应当定期对内部控制的有效性进行全面评价、形成评价结论、出具评价报告。内部控制有效性是指企业建立与实施内部控制对实现控制目标提供合理保证的程度，包括内部控制设计的有效性和内部控制运行的有效性。

（一）内部控制评价的原则

企业对内部控制设计与运行的有效性实施评价，应当遵循全面性原则、重要性原则和客观性原则。

（二）内部控制评价的内容

企业应当从内部环境、风险评估、控制活动、信息与沟通、内部监督等要素入手，结合企业业务特点和管理要求，确定内部控制评价的具体内容，建立内部控制评价的核心指标体系，对内部控制设计与运行情况进行全面评价。

（三）内部控制评价的程序

企业开展内部控制评价工作，一般程序为：设置内部控制评价部门、制订评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。

（四）内部控制评价的方法

企业在开展内部控制检查评价工作过程中，应当根据评价内容和被评价单位具体情况，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，广泛收集被评价单位内部控制设计和运行是否有效的证据。评价方法的选择应当有利于保证证据的充分性和适当性。

( 五）内部控制缺陷认定

1.内部控制缺陷的定义和分类

（1）内部控制缺陷按其成因分为设计缺陷与运行缺陷。

（2）内部控制缺陷按其表现形式分为财务报告内部控制缺陷与非财务报告内部控制缺陷。

（3）内部控制缺陷按其严重程度分为重大缺陷、重要缺陷与一般缺陷。

2.内部控制缺陷的认定标准

企业对内部控制评价过程中发现的内部控制缺陷，应当综合分析缺陷的成因、表现形式及重要程度，并按照一定的标准将各项内部控制缺陷分别认定为重大缺陷、重要缺陷和一般缺陷。

（1）财务报告内部控制缺陷的认定标准由该缺陷可能导致财务报表错报的重要程度来确定，主要取决于两方面因素：该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报；该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。

（2）企业可以根据自身的实际情况，参照财务报告内部控制缺陷的认定标准，合理确定非财务报告内部控制缺陷的定量和定性认定标准。

（3）常见的内部控制重大缺陷情形参见相关内部控制评价指引。

3.内部控制缺陷的报告和整改

（1）内部控制缺陷报告应当采取书面形式，企业应根据内部控制缺陷的严重程度向相关部门报告，还应根据内部控制缺陷的影响程度合理确定内部控制缺陷报告的时限。

（2）企业对于认定的内部控制缺陷，应当制订内部控制缺陷整改方案，按规定权限和程序审批后执行。

( 六）内部控制评价报告

1.内部控制评价报告的内容

内部控制评价报告一般包括下列内容：董事会对内部控制报告真实性的声明；内部控制评价工作的总体情况；内部控制评价的依据；内部控制评价的范围；内部控制评价的程序和方法；内部控制缺陷及其认定；内部控制缺陷的整改情况和内部控制有效性的结论。

2.内部控制评价报告的编制

（1） 内部控制评价报告按照编制时间的不同， 分为定期报告和不定期报告。

（2） 内部控制评价报告的编制主体包括单个企业和企业集团的母公司。

（3） 内部控制评价报告的编制程序包括：内部控制评价部门对工作底稿进行复核，根据内部控制缺陷判断内部控制的有效性；搜集整理编制内部控制评价报告所需的相关资料；撰写内部控制评价报告；将内部控制评价报告上报经理层审核、董事会审批后确定。

3.内部控制评价报告的报送

内部控制评价报告报经董事会批准后对外披露或报送相关主管部门，通常应于基准日后4个月内报出。

4.内部控制评价报告的使用

内部控制评价报告的使用者包括政府监管部门、投资者及其他利益相关者、中介机构和研究机构等。

二、企业内部控制审计

（一）内部控制审计的含义

内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。

内部控制审计与内部控制评价、财务报表审计既有内在的关联又有本质的区别。

（二）内部控制审计的程序

1.计划审计工作

2.实施审计工作

注册会计师按照自上而下的方法实施审计工作，将企业层面控制和业务层面控制的测试结合进行。

3.评价控制缺陷

注册会计师需评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来是否构成重大缺陷并影响其审计结论。

4.完成审计工作

完成审计工作包括取得企业签署的书面声明、与企业沟通控制缺陷、形成审计意见并出具审计报告。

（三）内部控制审计报告

1.审计报告内容

2.审计意见类型

审计意见类型包括无保留审计意见、带强调段的无保留意见、否定意见、无法表示意见。

3.审计期后事项

第四节    企业风险管理

一、风险管理概述

（一）风险的含义及其分类 

企业风险是指对企业的战略与经营目标实现产生影响的不确定性。

常见的风险分类有：

（1）按风险内容，可以分为战略风险、财务风险、市场风险、运营风险和法律风险等。

（2）按来源和范围，可分为外部风险和内部风险。

（二）风险管理的含义与作用

企业风险管理是指企业为实现风险管理目标，对风险进行有效识别、分析和应对等管理活动的过程。

企业风险管理的主要作用是：

（1）协调企业可承受的风险容忍度与战略。

（2）增进风险应对决策。

（3）抑减经营意外和损失。

（4）识别和管理贯穿于企业的风险。

（5）提供对多重风险的整体应对。

（6）抓住机会。

（7）改善资本调配。

企业风险管理能够对所有可能对利益相关者( 股东、政府、员工等）的预期造成影响的重要因素作出较详尽的分析。

( 三）风险管理与内部控制的关系

在我国内部控制规范体系下，加强内部控制是为了防范控制风险，促进企业发展目标实现，而风险管理目标也是促进企业实现发展目标，两者都要求将风险控制在可承受的范围以内，两者不是对立而是协调统一的整体。

二、目标设定与风险识别

( 一）目标设定

目标设定是风险识别、风险分析、风险应对等的前提。目标设定环节应确定企业的风险偏好和风险容忍度。

( 二）风险识别

风险识别是可能会对企业产生影响的潜在事件，并分别确定是否是机会或者会对企业成功实施战略和实现目标的能力产生负面影响。

风险识别建立在广泛的信息搜集基础上，包括影响企业目标实现产生潜在影响的外部因素和内部因素。不同时期企业所进行的事件识别的重点或关键因素是不同的，需要采用不同的应用技术进行分析。

在多数情况下，多个风险可能影响一个目标的实现，可用鱼骨图反映。

三、风险分析

风险分析是在风险识别的基础上，对风险成因和特征、风险之间的相互关系，以及风险发生的可能性、对企业目标影响程度进行分析。

风险分析需要定性、定量以及定性与定量相结合的技术。定性技术包括列举风险清单、风险评级和风险矩阵等方法；定量技术包括概率技术和非概率技术，概率技术包括风险“ 模型“ ( 风险价值、风险现金流量和风险收益）、损失分布、事后检验等，非概率技术包括敏感性分析、情景分析、压力测试、设定基准等。

风险分析对所列出的风险清单和风险评级，应分别分析发生的可能性和影响程度，并可通过绘制风险矩阵坐标图来表示。

四、风险应对

风险应对是要通过对不利事件、有利事件的分析，选择实施方案将剩余风险控制在可承受度以内。

计算风险敞口有利于了解企业实际风险水平，进而采取应对措施。风险敞口通常根据当前主要风险类别的风险情况预测得到的潜在损失，由日常运作控制中所得到的统计数字损失来确定。将各个风险类别当中的风险潜在损失加总，考虑各个风险因素之间相关性的基础上，得到总体风险敞口水平。

风险应对策略包括风险承受、风险规避、风险分担（包括风险转移、风险对冲）和风险降低（包括风险转换、风险补偿、风险控制）。