本书共分七章。第一章从国内外内控失效的案例出发，分析建立内部控制的必要性；第二章剖析了各国内部控制的法规要求以及中国主要内部控制法规及各行业内控法规，为企业的法规遵循提供指导；第三章至第五章，通过三章的篇幅，详细介绍了内部控制的理论框架、内部控制的原则和目标、内部控制建设的基本步骤等，并通过以某大型企业内部控制建设项目为例，对内部控制搭建中的每个步骤和环节进行分析和解释；第六章介绍了企业进行内部控制评价的标准和方法；第七章介绍了外部机构如何对内部控制进行审计和监督。

希望本书能帮助企业管理者开拓构建内部控制体系的思路，为咨询服务机构协助企业建设内部控制提供参考，并为相关专业的学术研究人员提供内控实务的研究素材。

企业如何在竞争中顺利生存并进一步发展？

企业如何根据自身的实际情况，因地制宜地建设适用于本企业的内部控制体系？

本书作者根据多年为各类企业，尤其是国有大型企业集团提供的风险管理和内部控制服务实践中总结出，把风险防范落实到内部控制措施中，构建与完善风险导向的内部控制体系，能够在很高的程度上确保企业达成既定目标，从而保证企业健康发展。

本书从实际操作的角度出发，系统地介绍风险导向的内部控制体系的精髓，并以实例详细说明构建内部控制体系的每一步骤，努力将作者多年来对内部控制体系构建工作的经验完整地奉献给读者。

第一章　风险导向内部控制概述

　第一节　风险导向内部控制的含义

　第二节　国内外相关案例的启示

　第三节　中国企业所处的环境和面临的挑战

第二章 内部控制法定监管要求

　第一节　国外内部控制相关监管要求

　第二节　国内内部控制相关监管要求

第三章　风险导向的内部控制体系的构建

　第一节　风险导向的内部控制体系的框架

　第二节　内部控制建设的目标和原则

　第三节　内部控制体系的一般内容

　第四节　构建风险导向的内部控制体系

第四章 内部控制体系构建的步骤

　第一节　内部控制体系构建的计划阶段

　第二节　内部控制体系构建的评估阶段

　第三节　内部控制体系构建的推广阶段

　第四节　内部控制体系构建的测试阶段

　第五节　内部控制体系构建项目的报告与总结

　第六节　不同规模企业内部控制体系构建的特点

第五章 内部控制体系的维护

　第一节　内部控制体系维护的组织和制度基础

　第二节　内部控制体系维护的执行保障

　第三节 内部控制体系维护的外部推动力

第六章 内部控制体系的内部评价

 第一节　内部控制体系评价的机构与人员

 第二节 内部控制体系评价的标准与内容

 第三节　内部控制体系评价的方法

 第四节　内部控制评价报告

第七章 内部控制体系的外部监督

 第一节 内部控制外部监督与内部评价的关系

 第二节　内部控制的外部审计

 第三节　内部控制的其他外部监督

后记

第一节　风险导向内部控制的含义

我们讨论风险导向的内部控制，首先要从风险的含义说起。一般来说，风险可以被认定为一种可以识别的不确定性，这种不确定性能够对企业经济利益或其他利益造成有利或不利影响，这种不确定性的来源可以是技术、人员、经验、外部竞争对手、商业环境、经济法律环境等。有些风险的影响是负面的，而有些则会导致正面的影响，比如企业的机遇，或者是可以降低企业负面影响的事项。通常情况下，企业管理者都会对可能带来负面影响的事项有所警惕，因为风险带来的负面后果都是对企业具有破坏力的，包括：

·资产流失。

·竞争失败。

·经营中断。

·法律诉讼。

·商业欺诈。

·无益开支。

·资产损失。

·决策失误。

对于这些影响企业经营发展的不确定因素，企业的管理者不仅要提高警惕，还要对其进行科学和严密的评估及控制。风险意识是一切风险评估和控制过程的出发点，提高风险意识的目的是促使企业人员都能：

·积极主动地为公司识别主要风险。

·严肃认真地思考自身所负责的风险以及会产生的后果。

·上传下达识别出的主要风险，以引起相关人员的注意和重视。

1992年的COSO内部控制整合框架指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在为财务报告的可靠性、经营的效果和效率以及对现行法规的遵循性提供合理保证。COSO内部控制框架包括控制环境、风险评估、控制活动、信息与沟通、监控5个要素。其中风险评估要求应充分考虑对机构目标的实现可能造成不利影响的内外部因素，真正认识到这些风险，然后根据风险的评价确认经营活动过程中的关键控制点，从而针对关键控制点进一步采取相应的控制活动，最终将风险降低到可控且可接受的范围内。许多企业的管理层认为，公司建立了一整套管理制度，大到战略决策，小到文具领用，应有尽有，这些制度的贯彻与执行就是内部控制的所有内容。其实，企业的管理者都能真切地体会到企业的资源是有限的，控制需要成本，如果将企业主要精力放在所有细小的，或微不足道的控制上，显然不符合成本效益原则。假如企业文具领用的规定长达数十页，极其烦琐，表面上控制得很好，但浪费了许多管理资源，还可能忽视企业面临的重大风险。所谓风险导向的内部控制就是以风险识别和评估为基础，管理风险，继而分析、设计和实施内部控制的过程，旨在降低风险以实现企业的既定目标。风险导向的内部控制要求董事会与管理层将主要精力放在可能产生重大风险的环节上，而不是关注企业管理的所有细小环节。如图1-1所示，企业可以对不同重要性水平的风险采取不同的态度和措施。

企业一般采用风险热力图来分析风险，从而评估出风险的重要性水平，区别“一般”、“中等”、“重要”等级的风险，企业可以有重点地投入资源加以应对和控制。

尽管有效的内部控制有助于在合理的程度上提高企业的运营效率与效果，保护企业资产安全完整，确保财务报告的可靠性以及企业对法律法规的遵循性，但内部控制也有一定的局限性。一方面，内部控制体系是从企业战略目标出发，但战略目标如果制定得不明确，会导致无法准确把握企业的关键风险领域，影响内部控制的设计与执行，内部控制体系难以发挥其应有的作用。一直以来，企业也存在一些关于牺牲效益实施内部控制的争论。的确，在内部控制体系建设与实施的各个阶段，都需要企业人力、物力的投人，必然分散了经营方面的资源。因此，需要特别关注成本效益原则，从建设内部控制体系的长远意义和作用来衡量其成本，采用科学成熟的方法来行动，从而将成本投入降到最低。

另一方面，我们也必须了解，内部控制具有固有限制，再完美的内部控制都无法完全消除舞弊风险，尽管内部控制体系将经营管理的各项权责合理分配给了不同的人，而串通舞弊会减弱甚至消除控制的效力，直接影响企业利益。对于这些人为因素，企业必须更加关注控制环境的健全，以文化理念及道德准则去教育和影响企业的每一个人，从而减少舞弊的可能性。P1-4

过去的2008年，风雪冰冻灾害、汶川特大地震以及席卷全球的金融危机，让整个中国及所有中国企业都经历了前所未有的考验。面对突如其来的自然灾害和百年不遇的经济困境，越来越多的企业管理者开始深刻地意识到自己的企业正处在何等复杂和残酷的环境中。在这种环境中，容不得企业对任何一个风险的半点怠慢和疏忽，日常管理中看似微不足道的失误将很有可能给企业带来巨大的损失。2009年的经济环境依然严峻，我们此时讨论内部控制对企业而言也具有了新的意义。

“内部控制”是近几年来企业管理者常提及的热点词语，人们在互联网上可以很轻松地找到成千上万条关于“内部控制”的解释和相关的新闻，但是，与此形成鲜明对比的是，在我们所接触的企业中，包括一些大型企业，许多管理者依然依赖经验和习惯进行管理，对企业风险缺乏积极应对和管理的能力，企业监督体制薄弱，人员被动执行制度或不严格执行制度，这些现象表明内部控制体系在部分企业并未真正发挥作用。

对于许多国外的企业来说，内部控制体系的健全和发展在一定程度得益于国家法律法规的强制推动。著名的美国2002年《萨班斯-奥克斯利法案》(Sarbanes-Oxley Act，简称“萨班斯法案”)，是在安然、世通等一系列大公司丑闻爆发之后，为重塑公众对上市企业的信心应运而生的。该法案对美国上市企业的内部控制提出了严格的要求。与之类似，日本于2006年颁布了《金融工具与交易法》，被业内人士称为“J-SOX”，即“日本版萨班斯法案”，将日本上市公司的内部控制要求提升至了法律的高度。这些法案的产生都为国外上市公司加强公司治理和内部控制监控力度起到了积极的作用。

值得一提的是，中国监管机构在对公司治理和内部控制方面的政策要求并不落后于发达国家。早在2001年，财政部就发布了《内部会计控制规范——基本规范(试行)》，要求加强企业的内部会计及与会计相关的控制，形成内部牵制和监督制约机制。为规范上市公司的内部控制建设，保护投资者的合法权益，提高上市公司质量，引导资本市场健康发展，证监会在2005年颁布了《关于提高上市公司质量意见》的通知，明确要求加强上市公司的内部控制。2006年上海证券交易所和深圳证券交易所也分别颁布了上市公司内部控制指引，提出了对中国上市公司健全内部控制的指导意见和要求。2008年的6月28日，财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制基本规范》，形成了符合中国国情的权威内部控制框架和技术标准，为企业建立内部控制体系提供了更具操作性的指导。

内外部环境的日趋复杂和监管要求的逐步加强，使越来越多的企业管理者将内部控制的建设提上了议事日程。德勤北京企业风险服务组曾经多次参与不同类型中国企业的内部控制建设项目，在项目进行过程中，我们充分感受到了企业对国内外内控理论以及法规知识的强烈需求，以及对内部控制实务操作技术的渴望。正是基于此，本书希望为中国企业的内部控制体系建设尽微薄之力，与企业分享对内部控制法规和理论的理解，以及德勤企业风险服务组多年来从事内部控制体系建设的经验。

本书共分七章，将依次介绍风险导向内部控制的含义和意义、内部控制法定监管要求、风险导向内部控制体系的构建、内部控制体系构建的步骤、内部控制体系的维护、内部控制体系的内部评价以及内部控制体系的外部监督。

第一章从国内外内控失效的案例出发，分析建立内部控制的必要性；第二章剖析了各国内部控制的法规要求以及中国主要内部控制法规及各行业内控法规，为企业的法规遵循提供指导；第三章至第五章，通过三章的篇幅，详细介绍了内部控制的理论框架、内部控制的原则和目标、内部控制建设的基本步骤等，并通过以某大型企业内部控制建设项目为例，对内部控制搭建中的每个步骤和环节进行分析和解释；第六章介绍了企业进行内部控制评价的标准和方法；第七章介绍了外部机构如何对内部控制进行审计和监督。

我们在编写的过程中，考虑到企业实际运用的方便，还提供了大量的内控工具，包括内控设计和测试过程中使用的各种文档模版等。

希望本书能帮助企业管理者开拓构建内部控制体系的思路，为咨询服务机构协助企业建设内部控制提供参考，并为相关专业的学术研究人员提供内控实务的研究素材。

在本书的最后，我们想提醒读者的是，内部控制与其说是一套制度、一套文档或一系列程序，不如说是一种理念、一种意识。企业花费巨大的人力、物力建立起来的内部控制体系得以长期发挥效用的前提，是企业全体员工对内部控制的深刻认识。如果仅为满足外部法规要求而盲目追求表面效果的话，无论所谓的内部控制体系看起来有多么完善、多么健全，也只能说是对企业资源的一种浪费和滥用。

对于大多数的中国本土企业来说，传统的管理模式无论对于管理层还是普通员工，已经在人们的脑海中根深蒂固了。在我们所经历的许多内部控制项目中，最令人头疼的事情并不是内部控制构建程序本身，而是如何将内部控制的理念植入企业的文化中。

如果站在这个角度，我们必须承认中国企业的内部控制之路还很漫长和艰难。国外的内部控制理论和经验固然先进也已经相当成熟，但生搬硬套地采用“拿来主义”对中国企业是行不通的。

可喜的是，正如本书所介绍的，中国自己的内控法规体系已经在逐步地健全和细化中，这将为中国企业的内控体系发展指明方向。

作为内部控制的专业服务机构，我们将持续进行内部控制的理论和实务研究，并非常乐意与中国企业一起，继续探索中国特色的内部控制之路。