②对内控系统应当进行有效和全面的内部审计。内审要独立进行，应得到适合的培训，并配备称职和得力的人员。内审作为内控系统监督评审的一部分，应当向董事会或其审计委员会直接报告工作，并向高级管理层直接报告。

③不论是经营层或是其他控制人员发现了内控的缺陷，都应当及时地向适当的管理层报告，并使其得到果断处理。应当把有关物质的内控缺陷报告给高级管理层和董事会。

以上五大组成部分与前述三大目标有机地相结合，构成了内控的完整体系。我国的企业工作者很有必要适应形势，转变观念，从内控的三大目标出发，去考察本单位上述五大组成部分的各个方面，看是否建立了健全的内控制度，而且，这些制度是否得以认真贯彻实施。审计检查的方法和评价的标准也应当沿着这条思路，按照这个有机结合的整体去设计。

三、关于内部控制与管理的关系

多数中层管理者对内控认识比较肤浅，也不了解内控与管理、内控与内审的关系。有人认为管理就是内控，抓了管理，内控自然就到位了。也有人认为内控是内审部门的工作，抓内控应该由内审部门牵头。因此，必须搞清内控与管理的关系。

1.管理的内涵及其与内控的区别

管理是管理者确立目标和战略，并通过一定的组织形式、规章制度和操作方法去实现目标的全过程。管理者要以一定的组织形式为依托，以一定的规章制度为依据，采取种种方法去实现既定的目标。管理者有责任控制局面，并解决和纠正各项经营管理活动中所发生的偏差和错误。

管理的含义比内控更为广泛，并不是所有的管理活动都是内控活动。而内控则是管理中至关重要的部分，就是要抓住管理活动中的那些对管理目标实现至关重要的部分，也就是它的主要矛盾，具体体现就是：控制要素和控制风险，这是管理者必须关注的地方。

2.风险管理与内部控制的关系

风险评估是对可能发生的不利条件或事件进行评价，并做出完整的专业性鉴定的一种系统过程。

风险是和环境、目标共存的。相对于外部环境而言，同类企业有同类风险，谁能战胜风险，风险就转化为机遇，同时也会提高其竞争能力，并直接影响其提高其产品质量与服务质量的能力。

风险是如此之重要，以至于有人认为风险管理就是内部控制，甚至风险管理包括了内控。

实质上，内控涵盖了风险管理，内控处在比风险管理更高的层次上，内控才是管理的更本质性的内容。内控所负责的是风险管理过程中间及其以后的重要活动，内部控制强调评估经营管理活动中突出的风险点，建议经营管理人员针对这些风险点实施必要的控制活动。风险管理为内控中的风险评估提供了前提条件。风险管理的全部活动都在内控的监督评审之下。

四、正确处理内控与内审的关系

有些人认为内控主要是内审部门的事，在实际工作中，内控工作往往被领导委派给内审部门去计划和安排。这种认识不仅来自高级管理层，就是内部审计人员也存在一些模糊认识。因此有必要澄清认识，转变观念，正确处理内控与内审的关系。

1.内控首先是经营管理部门的工作

内控程序涉及：工作目标的确立，风险的识别和分析，针对风险研定控制措施，对所采取的控制活动进行监督评审等等。这些控制业务显然都是各级经营管理部门的基本职责。因此，首先是经营管理部门要重视内控，只有把内控视为本职工作，才能保证各项工作任务顺利实现。其次才是内审部门独立于经营管理工作之外，才能真正起到对工作的监督和弥补作用。

2.内控主要是经营管理部门的工作

内控的大部分工作都是经营管理部门的重要职责。

首先，合乎标准的内控需要公司营造良好的“控制环境”，使员工树立正确的价值观，遵守正常的职业道德，而公司的管理层又能够以恰当的管理风格和正确的激励机制，引导员工创造一种良好的企业文化，特别是控制文化。同时，设计适应业务发展的组织结构，配备合格的经营管理人员，制定合理和严格的规章制度，确立正确的目标和战略决策系统等等，也都是加强内控的必要环境条件。

第二，“风险评估”也主要是各经营管理部门的重要职责。传统的经营管理方式忽视对风险的识别和分析，而满足于执行指令。这种方式给国有企业在转轨过程中带来了巨大的损失。风险的防范有大量工作要做，包括对内部和外部的风险进行判别和预测，分析风险发生的可能性和概率;并在此基础上研究化解风险的种种控制措施。

第三，当风险已被发现之后，经营管理者还需要调动机构和人员，切实执行所制定的“控制活动”，以便防范和化解风险，合理保证经营管理目标的实现。这方面的工作是十分细致的，包括高层检查，直接管理，信息加工，实物控制，确定指标，职责分离等等。

第四，在信息科技突飞猛进地发展的时代，“信息与交流”是经营管理中的另一不容忽视的职能。在把有关的内部和外部控制信息出来以后，经营管理者要利用可靠信息为实现目标服务，并向适当的部门和负责人进行交流。

如果把如此丰富的内控工作统统推给审计部门去做，一个直接的恶果就是削弱了经营管理部门的风险意识和控制觉悟，使他们满足于行政指令的执行方式，而无意面对复杂多变的竞争形势。另外的一个后果是使审计人员不务内审业务，而去参与经营管理活动，自然分散了审计人员的注意力，也削弱了审计的独立性。因此，控制活动是公司日常经营管理工作的不可分割的一部分。

3.对内控的检查评价主要是经营管理部门的工作

“监督评审”是内控体系的第五大重要组成部分，其主要内容是对上述内控活动，包括“控制环境”、“风险评估”、“控制活动”和“信息与交流”等内容进行严格的检查监督和客观公正的评价。这包括从整体水平上和从业务活动水平上对内控进行持续性的或分别单独的评审。重要的是认识到这种检查评价不仅首先不是，而且主要不是内审部门的工作。

对内控情况进行监督评审犹如设立一道道防线，而第一道检查监督的防线就应由经营管理部门的各级负责人监守，包括设置和执行岗位内部和岗位之间的相互牵制，进行前后台和部门之间的平衡制约等等，并应不断在日常工作中监督评审内控的整体效果。他们要对内控的情况和问题及时进行分析和研究，把大量主要的风险问题在第一道防线予以切实解决。这里，他们不仅要深刻地自我评价所开展的控制活动，还要提出改进控制和进一步化解风险的措施，并交上级主管验证。这种自我评价要规范化和制度化，必要时应实行离岗检查和交叉检查的制度。在实际中，这种工作往往被以工作忙、人手少或成本高而忽略掉了。例如把对离任负责人的评审统统推给内审部门进行“离任审计”，不仅加重了内审负担，而且常使该项工作流于形式。恰恰是疏于自我检查和评价，造成部分管理人员有章不循，一些基层单位问题成堆。

财会部门应当形成化解风险的第二道防线，财会人员负责行使后台监督的重要职能。业务的每一项收付和债权债务的发生都会在帐面上反映出来，这本身就是一种监督;会计人员在会计核算中保证这种反映的真实、准确和完整，并有责任以会计资料为依据，控制企业经济活动按预定计划目标进行，并报告所发现的违法违规的财务事件;财务主管在会计科目设置、帐务汇总和财务报表分析后也可以发现经营管理活动中的种种问题，促使企业遵守国家法律和政策，加强经济核算，改善经营管理，完善现代企业制度，提高经济效益。财会部门不仅要把第一道防线上遗漏掉的大量问题尽力查找出来，而且要从管理会计的角度，在更深层次和更大范围内(例如在跨部门乃至全单位范围)发现问题，研究对策，预测风险，并提供信息。

如果认为对内控的检查评价只是内审部门的工作，上述两道化解风险的重要防线就会被忽略甚至取消。这一方面会大大削弱各单位防范风险的意识和能力，而且另一方面会因为大大加重内审部门的工作负担，而必然降低内审工作的质量，提高内审方面的监督成本。

4.内审监察部门对内控的再监督负有极其重要的责任

如果我们把内控的“监督评审”职能视为内控“宝塔”上的最高级的部分，那么内审监察工作就应该处于内控宝塔的尖顶部位。所谓“再监督”就是在前述两道防线之后的第三道防线，每一个公司都应当设立这一战线。对于风险较高的金融机构来说，这第三道防线更是必不可少的。其重要性不仅仅在于内审已经变成了最后一道防线。尽管从监督职能的角度来看，内审监察部门的工作量应大大少于经营管理部门的自我监督检查和财会部门的管理监督，但是，内审监察部门的独立性和应有的权威性，加上其组织系统的垂直性，赋予了该部门行使对内控进行再监督和再评价的特殊重要的职能。这种重要性主要表现在稽核监察人员在严密的计划和组织之下，能够独立地按照法人要求，有选择地对内控的各方面行使其检查职能，并能够将检查评价结果直接地反映到高级管理层乃至最高级领导人，然后有权督促内审监察建议的落实。

总之，内控不仅首先不是，而且主要不是内审监察部门和人员的责任;内控的检查评价也主要不是他们的责任;但同时，对内控的再监督又是内审监察部门义不容辞的重要职责。

五、内部控制的国际发展趋势及其启示

1.强调高级领导层的控制责任。

首先，董事会充分理解公司的主要风险，正确设定风险的可接受水平;并定期督导高级管理层识别，估量，监督和控制这些风险;确保内控系统的有效性;建立独立的审计委员会帮助董事会行使这方面的职责。其次，高级管理层负责制定识别，估量，监督和控制风险的程序，通过维护某种组织结构去明确职责、权限和报告关系;确保职责的有效执行;制定有效的内控政策;并监督评审内控的充分性和有效性。

2.大力提倡和营造一种“控制文化”。

一方面董事会和高级管理层负责促进在道德和完整性方面的高标准，并在机构中建立一种文化，向各级人员强调和说明内控的重要性。另一方面企业中的所有员工都需要理解他们在内控程序中的作用，并在程序中充分发挥他们的作用。有效的内控系统的一项实质性内容就是建立强有力的控制文化。

3.企业要充分关注对全部风险的评估。

特别要明确银行是承担风险的机构，生产企业也需要不时调整内控，以便恰当地处理任何新的或过去不加控制的风险，并对企业不能够控制的风险采取正确的防范措施。

4.控制活动已被当作企业日常工作的不可分割的一部分，而不是对经营管理的额外补充。

有效的内控系统能够迅速采取应变措施，避免不必要的成本;建立适当的控制结构，明确定义各经营级别的控制活动。特别强调适当分离职责;识别和尽力缩小有潜在利益冲突的地方;并遵从谨慎的和独立的监督评审。

5.高度重视企业的信息与交流。

首先是保证信息的完整性、可靠性和可获性，并且信息应能够前后连贯一致。其次是信息系统应受到安全保护和独立的监督评审，防止突发事件;特别注意有效地控制电子信息系统和信息技术的使用。另外，建立有效的交流渠道，确保相关信息的正确传达。

6.企业应当注意加强监督评审活动，并强调缺陷的纠正。

企业经营管理人员应经常在日常工作中监督评审企业内控的总体效果和主要风险;对内控制度定期进行独立、有效和全面的内部审计，并将结果向高级领导层直接报告;及时报告并果断处理所发现的内控缺陷。

7.对内控制度的评价要成为企业内审监督部门的日常监管工作和现场检查监督工作。

内审监督部门和外部审计机构应要求企业具有有效的内控制度，充分和有效地化解企业的风险;监督部门应检查高级领导层的内控态度、内部审计部门的有关工作和外部审计的检查结果等等，对不合要求的企业采取措施。

六、内部控制的局限性

内部控制虽然重要，但不是万能的，也有其局限性。企业的内控能合理地确保基本经营目标的实现，但不能把一个本质上很坏的经营者变好。内控能确保财务报告的可靠和合法合规，但不能绝对保证做到这一点，而只能合理保证。此外，内控制度的设计还受到人、财、物等资源的约束。

以上就是关于内部控制和企业控制文化的全部内容，希望给予大家帮助。

相关推荐：

关于企业变革管理和沟通

关于企业生产方式发展探究