内部控制与风险管理历年简答重点整理详细版

1内部控制的目标是什么？内部控制的目标可以分为两个层次。1第一层：战略层次，战略目标。反映了管理层就主体如何努力为其利益相关者创造价值作出的选择。2第二层次：业务层次；包括四个目标，经营目标：包括业绩和盈利目标的实现，需要反映企业运营所处的特定经营、行业和经济环境。报告目标：与报告的可靠性有关，企业报告包括内部和外部报告，可能涉及财务和非财务信息。合规目标：与企业活动的合法性有关，企业从事活动必须符合相关的法律和法规，并有必要采取具体措施。资产目标：资产的安全完整目标是我国内部控制体系在COSO框架基础上结合国情的创新

2内部控制产生和发展的基础1受托责任机制是内部控制产生的根源：1） 现代企业制度下，企业所有权和经营权的分离。2）受托责任制产生的新问题——代理问题2工业化生产是内部控制产生的经济基础：作为现代意义上的内部控制，它是工业化革命和机器大生产的结果3竞争加剧是内部控制发展的外在要求1）外部环境的不确定性大大增加2）内部管理要求不断提高4其他科学理论是内部控制发展的技术支撑 3内部控制的功能有哪些？1有效抵御风险，实现持续健康发展：首先内部控制有一个强有力的运行机制，为企业抵御风险、实现健康持续发展提供合理保证。其次，内部控制作为一种制度安排，可以将各种资源有机的结合在，为企业创造价值2保证资产安全、完整3提高会计信息质量

4内部控制的局限性成本限制，人为错误、串通舞弊、滥用职权、制度失效、非经常性事项。 5西方内部控制理论的发展经历了哪几个阶段？1内部牵制：实物牵制、物理牵制、分权牵制、簿记牵制 2内部控制制度：会计控制、管理控制3内部控制结构：控制环境：是指企业为其雇员创造的工作氛围。会计系统、控制程序4内部控制整体框架：COSO控制框架包括控制环境、风险评估、控制活动、信息与沟通、监控5基于企业风险管理整合框架的内部控制 6内部牵制的含义是什么？内部牵制的职能有哪些？ 内部牵制是指两个或者两个以上的个人或者部门无意识地犯同样错误的可能性很小；两个或者两个以上的个人或者部门有意识地串通舞弊的可能性大为低于一个人或者部门舞弊的可能性。 （2）、职能（实物牵制、物理牵制、分权牵制、薄记牵制） 7、COSO是个什么组织？1COSO 是美国国家反虚假财务报告委员会发起机构委员会的首字母缩写语。COSO是一个民间组织，通过商务道德规范、有效的内部控制和公司治理致力于改进财务报告的质量。2COSO 的组织成员:AICPA —— 美国注册会计师协会 AAA —— 美国的会计学会 FEI —— 美国财务主管协会 IIA —— 国际内部审计师协会 IMA —— 美国管理会计师协会 8、《萨班斯法案》的主要内容是什么？1《萨班斯法案》对会计行业的监管、审计独立性、财务信息披露、公司责任、证券分析师行为、证券交易委员会的权利和职责、法律责任等诸多方面作出规定。包括1）专门成立5人委员组成的公众公司会计监督委员会，专事会计行业的注册、调查、监管、惩戒等；2）、限制会计师事务所向审计客户提供的非审计服务；3）、要求公司首席执行官和首席财务官对公司财务报告是否公允地反映了公司财务状况和经营成果作出保证；4）对故意提供虚假财务报告、故意销毁、隐匿、伪造财务报告、证券欺诈等犯罪行为处以重典。2最重要的两个条款是302条款和404条款。302条款要求公司首席执行官和首席财务官在提交定期财务公告的时候，提交一份个人签署的书面认证

文件和对财务报告的真实性负责的一份声明。404条款则是要求在提交定期财务报告之后，由公司出具一份内部控制评估报告。 9根据我国《企业内部控制基本规范》，内部控制包括哪几方面的内容？包括5个要素：（1）、内部环境。内部环境使企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 （2）、风险评估；风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。 （3）、控制活动。是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。 （4）、信息与沟通。是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、外部进行有效沟通。 （5）、内部监督。是企业对内部控制的建立与实施情况进行的监督检查，通过评价内部控制的有效性，发现内部控制缺陷，促使企业及时加以改进。 10、如何理解管理哲学和经营风格在内部控制中的作用？如何树立？1管理层的管理哲学和经营风格会影响企业的管理方式，主要包括：1）对待和承担经营风险的方式2）依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通3）对财务报告的态度和所采取的措施4）对信息处理以及管理功能所持的态度5）对现有可选择的会计准则和会计数值估计所持有的严谨或冒进的态度。

2管理哲学与经营风格表现为管理者的各种偏好，它影响着企业的行为，影响着企业的内部控制环境，进而影响着企业内部控制的效率和效果。 可以从以下几个方面来树立企业的管理哲学和经营风格。：1）风险接受程度。企业应对风险时采取的措施包括以下几点：a企业实行资金集中管理b企业实行债务集中管理c企业对重大合同或需由企业名义签订的合同实行统一授权、分级管理。D重大决策由总裁办公室听取相关部门或专家意见后，集体和议形成，报董事会审批。2）管理层对财务的态度a财务管理b会计政策选择c资产安全管理3）人员的交流与更替 11、员工胜任能力的测评方法有哪些？1.归纳法：是一种通过特定员工群体中的个人特质的发掘和归纳形成胜任力模型的方法。 运用的最主要的咨询工具当属“行为事件访谈”（Behavioral Event Interview，BEI）。

基本假设是每个岗位上的员工的工作方式不同带来的绩效也不同，通过研究员工间的差异可以发现高效者身上的特质。

2.演绎法：这是一种通过从企业使命、愿景、战略以及价值观中推导特定员工群体所需的核心胜任力的方法。

演绎法的实质是一个逻辑推导过程，基本步骤如下：1）澄清组织愿景、使命、战略和核心价值观2）推导关键岗位角色和职责3）推导核心价值观。 3.限定选项法：通常由专业顾问根据对组织的初步了解，提出一组相当数量的胜任力项目，然后通过相关人员集体讨论的方式进行几轮的筛选和调整，最终确定一套胜任力项目作为胜任力模型 12、董事会在内部环境中有什么功能？COSO报告把内部环境作为其他内部控制组成要素的基础，尤其把董事会对风险的态度和认识作为内部环境的首要内容，凸现出人特别是高层人员在内部控制中的重要地位。对经营者的约束，理论上有

两种方式：一是以资本市场、产品市场及法规制度为主体的外部控制机制；二是以董事会为主体的内部控制机制。董事会是约束经营者日常行为、实现事前帕累托最优最合适的手段。 13、不相容的责任有哪些？1）授权批准职务与执行业务职务分离2）业务经办职务与审核监督职务分离3）业务经办职务与会计记录职务分离4）财产保管职务与会计记录职务分离5）业务经办职务与财产保管职务分离

14、财产保护控制的方法有哪些？1．限制接近。规定只有经过严格授权的人员才能接触财产，旨在划清责任、减少舞弊的发生。1）现金的限制接近。现金与有关现金的记账人员相分离2）单据、证券以及易变现资产的限制。支票、汇票、发票、收据等非现金财产3）存货的限制接近。

2．财产清查。概念、修订的《会计法》在内部会计监督制度中对财产清查的规定：1）确定财产清查范围。2）定期清查和抽查相结合。财产清查是账实、账款核对，检查其一致性。财产清查的时间3）财产清查的程序。 3．财产保险 。资产投保——实物受损后的补偿机会、 4．财产记录监控 。对企业要建立资产档案，资产增减变动应及时全面予以记录，加强财产所有权证的管理 15全面预算管理有什么意义？企业全面预算管理是解决现代企业制度下，出资者、经营者与各部门及职工之间委托代理问题的有效途径，是规范三者关系的制约手段；全面预算管理在保护财产的安全完整方面是高效的。企业要确保资产安全完整，仅仅依靠单一的资产管理法规和制度显然不够，必须辅之以预算手段。 全面预算管理有利于优胜劣汰机制、激励约束机制的运行。任何一个预算管理松懈的企业必然难寻降本增效之源，难以摆脱低效率、高成本的困扰。全面预算管理分为两个层次，即预算编制控制和预算执行控制。

16信息系统的一般控制和应用控制包括哪些内容？信息系统的一般控制有助于确保系统持续、适当的运行，主要包括以下几方面内容：信息系统的控制环境；系统的购买、开发和实施；系统的变更及维护；系统的安全管理；系统的操作及运行。

信息系统控制环境

信息系统的控制环境包括企业信息技术的战略规划、信息系统管理人员素质、用户的培训教育等。

1、企业根据业务需求，制定信息技术战略规划，并以此为基础开展信息系统建设工作；

2、企业应完善汇报审查机制，加强信息系统内部控制工作，明确岗位职责，加强培训；

3、企业应注重信息分类，数据及系统责任人认定，完善信息应用的制度建设、信息技术风险评估工作、监控工作及信息服务工作。 （二）信息系统的购买、开发和实施

1.企业应对信息系统项目建立完善的项目管理文档，明确定义项目的目标、范围、计划、人员需求、组织构架及项目参与各方的职责；

2.建立完善的审批程序用以管理系统的购买、开发和实施 3.加强对外部购买和自行开发的信息系统的质量控制； 4.数据转化及上线； 5.文档记录及培训。

（三）现有系统的变更及维护

企业在不断发展变化，信息系统也应随着企业的变化而不断更新。企业对于系统的变更及维护做好如下几个方面的工作：①系统的日常维护；②应对变更；③通过测试实施质量控制；④制定系统变更上线计划；⑤文档记录及培训。 （四）、系统的安全管理

系统的安全管理是要保证企业信息的完整性，具体包括以下六个方面： 1.企业应设置信息安全管理机构，以保证信息的完整； 2.企业应制定完整、全面的信息安全管理政策和程序，加强对员工安全意识的教育和培训；

3.加强数据接触安全管理； 4.加强操作系统安全管理； 5.加强网络安全管理； 6.加强物理安全管理。 （五）系统的操作及运行

信息技术部门派专人执行日常系统的维护，对出现的问题，进行调查、分析和解决，并妥善记录。

信息系统的应用控制主要关注数据的获取和处理的完整性以及授权的有效性。为了能够达到以上目标，企业应采取以下措施： 职责分离

内部控制的关键就在于不相容职务的分离，职责分离的基本要求就是业务活动的批准、记录、经办尽可能做到相互独立，在信息系统的管理中，尤为重要。 人工控制

人工控制最首要的一点就是有效授权和职责分离，系统使用人员根据控制程序、各项规章制度判断业务活动的合理性、合法性和有效性，保证录入系统的交易活动或修改数据都经过授权；其次是对系统应用人员的培训，使他们能够熟练、准确、有效的使用系统。 （三）自动控制

信息系统通过对数据类型的校验、重复输入校验、系统匹配等方式对应用系统的输入、处理和输出进行有效控制。 （四）数据保密

在使用信息系统过程中，企业可根据员工所承担的责任，分配其登录查阅相关信息的权限。 17员工绩效考核的原则是什么？绩效考核是定期考察和评价个人或部门工作业绩的一种制度。好的绩效考核制度能够起到鼓励先进、鞭策落后的目的，但是一旦有失公允就会挫伤员工的积极性。在内部控制中，制定一种科学有效的绩效评价制度对于人力资源管理至关重要。在绩效考评中应遵循以下原则： 1.公开透明原则：要求最大限度消除考核者和被考核者之间对考核的神秘感。因此，考核方法、考核标准、考核程序、考核责任、考核结果，都应当公开，要使员工对考核产生信任感。 2.客观考评原则 3.与工作相关原则

4.注重反馈原则：在考核结束后，应当将考核的结果，如考核得分、考核等级、考核评语等，反馈给被考核者本人，并进行面谈讨论，否则就起不到考核的真正作用。

5.差别与公平原则：要求考核结果的等级之间应当有明显的界线，针对不同的考

核结果，在待遇上应当有明显的差别，使考核具有激励作用。但需要注意的是防止出现“鞭打快牛”现象。即绩效好的员工反而获得低回报，或者因为级小号，下期对其提出难以达到的更高要求。这些不公平的做法往往会挫伤员工的积极性。

6.可行性与实用性原则：可行性应当考虑：绩效目标的可实现性，不要把根本达不到的目标强加于人；与考核相关的信息来源，既要考虑信息的易取性，也要考虑信息取得的成本；预测在考核过程中可能发生的问题、困难和障碍，准备应变措施。

实用性应当考虑：考核的手段是否有助于组织目标的实现；考核的方法和手段是否与相应的岗位以及考核的目的相适应。 7.参与原则 18如何提高内部审计质量？ 1．加强内部审计的组织保证 建立科学的组织架构、清晰的业务和行政报告关系，保证内部审计部门的独立性。 内审部门在组织中的地位：取得最高管理层的支持 2．不断提高内部审计人员素质

除了要熟练掌握内部审计的方法、技能、工具外，内审人员需要具备的关键素质还包括：良好的人际沟通技能、敏锐的风险意识、良好的自我学习能力、良好的整合能力等。

3．认真做好审计前的准备工作 详细的审计计划

4．注意审计方法、技术、工具的合理运用 审计测试技术

审计测试是审计人员为达到审计目的，采用一定的方法对被审项目的部分内容进行试验，以获取审计证据，据以判断被审项目是否可以接受的一种审计程序 5．强化审计规范和工作底稿管理

通过建立详细的内部审计标准和内部审计指引，规范内部审计人员的工作行为，保证审计过程中的独立性和客观性。对审计过程的每一个步骤，都要求有完成的工作底稿。

6．做好审计报告

阶段性的审计报告和最终审计报告。 7．沟通、沟通、再沟通 8．内部审计质量评估制度化 19员工培训的意义是什么？ 首先，通过培训员工可以获得企业对于自身岗位要求的各种信息，包括清楚企业期望自己承担哪些责任，达到那些目标，应具备何种知识和技能，如何完成分配的任务。其次，培训可以加深员工对企业的了解，产生认同感。对于新晋员工而言，这一点尤为重要。只有通过培训，员工才能获知企业的理念、企业文化、企业价值体系。第三，培训是推行管理制度的重要途径。通过培训，员工可以明确企业的经营目标、战略规划和各项规章制度，这样有利于制度的有效贯彻。 例如，企业在构建内部控制过程中，必须依靠培训使员工了解内部控制的基本要求、基本程序和流程、基本制度和方法。第四，培训可以提高员工专业技能，使之胜任所在岗位。 20什么是相互牵制原则？

两种方式：一是以资本市场、产品市场及法规制度为主体的外部控制机制；二是以董事会为主体的内部控制机制。董事会是约束经营者日常行为、实现事前帕累托最优最合适的手段。 13、不相容的责任有哪些？1）授权批准职务与执行业务职务分离2）业务经办职务与审核监督职务分离3）业务经办职务与会计记录职务分离4）财产保管职务与会计记录职务分离5）业务经办职务与财产保管职务分离

14、财产保护控制的方法有哪些？1．限制接近。规定只有经过严格授权的人员才能接触财产，旨在划清责任、减少舞弊的发生。1）现金的限制接近。现金与有关现金的记账人员相分离2）单据、证券以及易变现资产的限制。支票、汇票、发票、收据等非现金财产3）存货的限制接近。

2．财产清查。概念、修订的《会计法》在内部会计监督制度中对财产清查的规定：1）确定财产清查范围。2）定期清查和抽查相结合。财产清查是账实、账款核对，检查其一致性。财产清查的时间3）财产清查的程序。 3．财产保险 。资产投保——实物受损后的补偿机会、 4．财产记录监控 。对企业要建立资产档案，资产增减变动应及时全面予以记录，加强财产所有权证的管理 15全面预算管理有什么意义？企业全面预算管理是解决现代企业制度下，出资者、经营者与各部门及职工之间委托代理问题的有效途径，是规范三者关系的制约手段；全面预算管理在保护财产的安全完整方面是高效的。企业要确保资产安全完整，仅仅依靠单一的资产管理法规和制度显然不够，必须辅之以预算手段。 全面预算管理有利于优胜劣汰机制、激励约束机制的运行。任何一个预算管理松懈的企业必然难寻降本增效之源，难以摆脱低效率、高成本的困扰。全面预算管理分为两个层次，即预算编制控制和预算执行控制。

16信息系统的一般控制和应用控制包括哪些内容？信息系统的一般控制有助于确保系统持续、适当的运行，主要包括以下几方面内容：信息系统的控制环境；系统的购买、开发和实施；系统的变更及维护；系统的安全管理；系统的操作及运行。

信息系统控制环境

信息系统的控制环境包括企业信息技术的战略规划、信息系统管理人员素质、用户的培训教育等。

1、企业根据业务需求，制定信息技术战略规划，并以此为基础开展信息系统建设工作；

2、企业应完善汇报审查机制，加强信息系统内部控制工作，明确岗位职责，加强培训；

3、企业应注重信息分类，数据及系统责任人认定，完善信息应用的制度建设、信息技术风险评估工作、监控工作及信息服务工作。 （二）信息系统的购买、开发和实施

1.企业应对信息系统项目建立完善的项目管理文档，明确定义项目的目标、范围、计划、人员需求、组织构架及项目参与各方的职责；

2.建立完善的审批程序用以管理系统的购买、开发和实施 3.加强对外部购买和自行开发的信息系统的质量控制； 4.数据转化及上线； 5.文档记录及培训。

（三）现有系统的变更及维护

企业在不断发展变化，信息系统也应随着企业的变化而不断更新。企业对于系统的变更及维护做好如下几个方面的工作：①系统的日常维护；②应对变更；③通过测试实施质量控制；④制定系统变更上线计划；⑤文档记录及培训。 （四）、系统的安全管理

系统的安全管理是要保证企业信息的完整性，具体包括以下六个方面： 1.企业应设置信息安全管理机构，以保证信息的完整； 2.企业应制定完整、全面的信息安全管理政策和程序，加强对员工安全意识的教育和培训；

3.加强数据接触安全管理； 4.加强操作系统安全管理； 5.加强网络安全管理； 6.加强物理安全管理。 （五）系统的操作及运行

信息技术部门派专人执行日常系统的维护，对出现的问题，进行调查、分析和解决，并妥善记录。

信息系统的应用控制主要关注数据的获取和处理的完整性以及授权的有效性。为了能够达到以上目标，企业应采取以下措施： 职责分离

内部控制的关键就在于不相容职务的分离，职责分离的基本要求就是业务活动的批准、记录、经办尽可能做到相互独立，在信息系统的管理中，尤为重要。 人工控制

人工控制最首要的一点就是有效授权和职责分离，系统使用人员根据控制程序、各项规章制度判断业务活动的合理性、合法性和有效性，保证录入系统的交易活动或修改数据都经过授权；其次是对系统应用人员的培训，使他们能够熟练、准确、有效的使用系统。 （三）自动控制

信息系统通过对数据类型的校验、重复输入校验、系统匹配等方式对应用系统的输入、处理和输出进行有效控制。 （四）数据保密

在使用信息系统过程中，企业可根据员工所承担的责任，分配其登录查阅相关信息的权限。 17员工绩效考核的原则是什么？绩效考核是定期考察和评价个人或部门工作业绩的一种制度。好的绩效考核制度能够起到鼓励先进、鞭策落后的目的，但是一旦有失公允就会挫伤员工的积极性。在内部控制中，制定一种科学有效的绩效评价制度对于人力资源管理至关重要。在绩效考评中应遵循以下原则： 1.公开透明原则：要求最大限度消除考核者和被考核者之间对考核的神秘感。因此，考核方法、考核标准、考核程序、考核责任、考核结果，都应当公开，要使员工对考核产生信任感。 2.客观考评原则 3.与工作相关原则

4.注重反馈原则：在考核结束后，应当将考核的结果，如考核得分、考核等级、考核评语等，反馈给被考核者本人，并进行面谈讨论，否则就起不到考核的真正作用。

5.差别与公平原则：要求考核结果的等级之间应当有明显的界线，针对不同的考

核结果，在待遇上应当有明显的差别，使考核具有激励作用。但需要注意的是防止出现“鞭打快牛”现象。即绩效好的员工反而获得低回报，或者因为级小号，下期对其提出难以达到的更高要求。这些不公平的做法往往会挫伤员工的积极性。

6.可行性与实用性原则：可行性应当考虑：绩效目标的可实现性，不要把根本达不到的目标强加于人；与考核相关的信息来源，既要考虑信息的易取性，也要考虑信息取得的成本；预测在考核过程中可能发生的问题、困难和障碍，准备应变措施。

实用性应当考虑：考核的手段是否有助于组织目标的实现；考核的方法和手段是否与相应的岗位以及考核的目的相适应。 7.参与原则 18如何提高内部审计质量？ 1．加强内部审计的组织保证 建立科学的组织架构、清晰的业务和行政报告关系，保证内部审计部门的独立性。 内审部门在组织中的地位：取得最高管理层的支持 2．不断提高内部审计人员素质

除了要熟练掌握内部审计的方法、技能、工具外，内审人员需要具备的关键素质还包括：良好的人际沟通技能、敏锐的风险意识、良好的自我学习能力、良好的整合能力等。

3．认真做好审计前的准备工作 详细的审计计划

4．注意审计方法、技术、工具的合理运用 审计测试技术

审计测试是审计人员为达到审计目的，采用一定的方法对被审项目的部分内容进行试验，以获取审计证据，据以判断被审项目是否可以接受的一种审计程序 5．强化审计规范和工作底稿管理

通过建立详细的内部审计标准和内部审计指引，规范内部审计人员的工作行为，保证审计过程中的独立性和客观性。对审计过程的每一个步骤，都要求有完成的工作底稿。

6．做好审计报告

阶段性的审计报告和最终审计报告。 7．沟通、沟通、再沟通 8．内部审计质量评估制度化 19员工培训的意义是什么？ 首先，通过培训员工可以获得企业对于自身岗位要求的各种信息，包括清楚企业期望自己承担哪些责任，达到那些目标，应具备何种知识和技能，如何完成分配的任务。其次，培训可以加深员工对企业的了解，产生认同感。对于新晋员工而言，这一点尤为重要。只有通过培训，员工才能获知企业的理念、企业文化、企业价值体系。第三，培训是推行管理制度的重要途径。通过培训，员工可以明确企业的经营目标、战略规划和各项规章制度，这样有利于制度的有效贯彻。 例如，企业在构建内部控制过程中，必须依靠培训使员工了解内部控制的基本要求、基本程序和流程、基本制度和方法。第四，培训可以提高员工专业技能，使之胜任所在岗位。 20什么是相互牵制原则？ 相互牵制原则，是指一项完整的经济业务活动，必须分配给具有互相制约关系的两个或两个以上的职位，分别完成。

相互牵制原则包括横向和纵向两个方面：在横向关系上，至少要由彼此独立的两个部门或人员办理，以使该部门或人员的工作接受另一个部门或人员的检查和制约；在纵向关系上，至少要经过互不隶属的两个或两个以上的岗位和环节，以使下级受上级监督，上级受下级牵制。 21成本效益原则 成本效益原则是指为进行控制而花费的成本与缺乏控制时所遭受的损失比较，当控制的效益大于成本时，则该项控制措施才是可行的，否则就是不可行的。 22授权控制原则 授权控制原则，是指企业单位应该根据各岗位业务性质和人员要求，相应地赋予作业任务和职责权限，规定操作规程和处理手续，明确纪律规则和检查标准，以使职、责、权、利相结合。授权控制原则在实际工作中以岗位工作程式化的方式来体现，要求做到事事有人管，人人有专职，办事有标准，工作有检查，以此定奖罚，以增加每个人的事业心和责任感，提高工作质量和效率。 23内部控制设计的方法 内部控制设计的方法包括组织系统图设计、职责划分设计、工作说明书设计、方针和程序手册设计。

组织系统图主要描述企业内部各阶层的组织机构，显示每一个职位在企业中的地位及其上下隶属与纵横的关系。

职责划分设计如果一项业务需要有两个以上部门共同完成时，对各部门应负责任的范围也应该有明确的规定。

工作说明书是描述工作性质的文件，是职工工作的说明。其表示方法是将单位的每一个工作职位，编制一份详细的说明，用来反映担任那个职位的人应该履行的职责。

方针和程序手册主要是指以书面形式来表达管理当局的指令及同类业务的处理方法，也可以说是以书面形式详细描绘业务处理的方针与程序。 业务流程图是利用图解形式描述各经营环节处理程序的一种图式。它显示了凭证和记录资料的产生、传递、处理、保存及其相互关系，从而直观地表达内部控制的实际情况。对于无法在图中表示的问题，可用简要的文字进行说明，作为流程图附件。 24举例说明各职能部门的职责 （1）、市场部的职责 A实现企业销售目标b制定与实施销售计划c销售管理、销售政策的制定与实行d市场调研与市场预测e策划f销售工作的检查与评估。 内部控制设计的原则 合法性原则、适应性原则、全面性原则、相互牵制原则、协调性原则、有效性原则、成本效益原则、授权控制原则、可容性原则、独立性原则、预防为主原则、电子信息技术基础原则。 25内部控制信息披露的形式 内部控制信息披露形式主要涉及单独披露还是随财务报告一并披露、由谁披露以及强制披露还是自愿披露三个问题。

是否单独披露：内部控制信息披露，可以单独提供，也可以包含在其他载体中，例如管理层讨论、董事会报告等。如何随同其他信息一并披露，其优点在于一方

面使信息使用者在阅读财务报告、董事会报告的同时了解内部控制相关信息，另一方面，也便于使用者的理解，提高他们的工作效率，同时，也降低了企业提供此类信息的成本。其缺点在于弱化内部控制信息在企业信息披露体系中的作用。单独披露与此恰恰相反。它可以大大提高人们对内部控制的关注。

由谁披露：在单独披露方式下，涉及由谁提供内部控制相关信息的问题。目前，我国采取企业管理当局和注册会计师共同披露的方式。 26内部控制信息披露的内容 1）企业内部控制制度设计和执行的基本情况，从合法性、完整性、合理性和有效性四个方面加以说明。从整体方面对企业内部控制制度做基本概括，使阅读者对企业的情况有一个基本的了解。 2）指出企业内部控制中存在的重大缺陷。将发现的内部控制缺陷加以归类说明，指出重点问题、关键问题，并说明这些问题会给企业带来的影响。 3）提出企业改进内部控制的建议。评价人员应当就所提出的内部控制中的缺陷，根据其产生的不同原因及相关情况，提出合理的具有建设性和操作性的意见。 27内部控制评价的作用1内部控制评价是提升企业内部控制效果的根本保证 2内部控制评价是实现内部控制自我完善的主要途径3内部控制评价是提高管理当局内部控制水平的压力机制 4内部控制评价是促进内部审计职能发挥的基础 28内部控制自我评价的方法 1.研讨会法 ：是一种从代表组织不同层次尤其是风险薄弱环节的工作组中收集内部控制信息，召集尽可能多的业务人员共同分享信息、讨论问题的方法。 研讨会法不进行任何决策，只提供评价及改进意见。 研讨会一般没有高级管理人员参与，避免参与者因为有高级人员在场而怯于发表意见。 引导师

2.问卷调查法 ：是一种用于只需回答“是/否”或者“有/无”的调查工具。业务流程的具体操作者使用调查结果去评估他们的控制结构。

3.管理层分析法 ：管理层分析法是任何不使用上述两种方法的方法。通过该方法，管理层可生成一种业务流程的全员研究。CSA专家（可能是内部审计师）将研究结果与其他经理和关键人物收集的信息结合起来。

29内部控制社会评价的内容和标准内部控制社会评价是外部主体对企业内部控制健全性和有效性作出的评价。一般指注册会计师的评价。 1）评价内容：《内控审计指引》要求，注册会计师对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

2）评价标准：对内部控制评价，必须依据内部控制标准和内部控制执业标准。 内部控制标准是指导企业设计和实施相关内部控制的基本依据，是注册会计师据以评价企业内部控制是否完善的基本依据。注册会计师执行对企业内部控制进行的业务，必须具有相应的职业规范，否则，注册会计师执行该类业务将无所适从。 30.内部审计的模式有哪几种？ 1．监事会领导模式。内部审计部门直接由监事会领导，在监事会领导下对公司财务状况和董事、经理的经济行为和经济责任进行审计。由于监事不能兼任公司的经营管理职务，没有经营管理权，所以该模式最大的不足是不能直接服务于经营决策，难以实现通过审计促进企业改善经营管理和提高经营效益的主要任务和

目的。

2．董事会领导模式。内部审计部门直接由董事会领导，在董事会领导下对公司经营状况、计划执行情况以及经理职责履行情况进行审计。不足之处在于该领导模式势必削弱公司经营的直接领导人和直接责任人（即总经理）对公司经营情况的监督。

3．总经理领导模式：内部审计部门直接由总经理领导，在总经理领导下对公司整体经营情况和内部控制制度执行情况进行审计。总经理对公司的整体情况对董事会和股东会负责，总经理应当了解公司发生的每一项业务，限于公司经济活动的复杂性和总经理个人精力和能力的有限性，仅仅依靠个人的力量，总经理难以对公司经营全过程实行监督，而内部审计部门作为总经理职能的延伸对公司整体经营情况发挥监督评价作用是很合理的。

31.内部审计的活动有哪些？内部审计的活动可以归纳为以下几类：

1）风险分析 ：企业需要系统的过程来识别风险，从而控制不利结果的出现。审计人员不可能对每一个事项进行审查，风险分析可以帮助审计人员判断哪些领域应该优先审计。

2）信息系统的安全和可靠性测试：企业的大部分信息都保存在计算机系统里，也有一部分信息打印存档。许多企业的经营系统已经通过企业资源规划系统（ERP）紧密结合起来，要求经常测试计算机信息系统。内部审计人员利用各种技术来执行信息安全性测试，确保信息系统的安全和可靠性。

3）控制有效性测试：一个独立的客观的内部审计部门通过对风险管理过程、内部控制和经营有效性的独立评估来帮助管理层。内部审计人员通常也对控制文件的有效性进行测试，这些文件可以为内部控制质量提供保证。内部审计人员关注业务流程是否有效执行，也关注银行存款余额调节或订购单处理是否合理等。 4）经营审计：经营审计是对企业经济活动效率、效果和经济性所做的评估。经营审计不局限于符合会计记录，其目的在于评估业务活动的质量和效率，识别改进的机会以及改进意见。审计人员、管理人员和审计委员会将经营审计目标建立在风险分析与企业发展机会联系的基础上，风险越高，所接受的审计就越多。 5）符合性审计：符合性审计是一种针对经营活动和会计处理是否与管理政策以及相关法律法规想一致的审计，符合性审计可以改善经营效率并为企业遵守相关法律法规提供保证，能够增加企业的价值。

6）内部审计报告 ：在现场审计结束后，审计部门应与企业管理层一起讨论审计结论，研究审计人员是否忽略了某些重要的审计领域，对审计意见是否存在误解。管理层可能会提出一些改进意见，这些改进意见应当包含在审计报告中。

32.美国监管体系中内部控制的监管主体是谁？20世纪90年代以前，美国关于内部控制制度的研究分散于不同的组织机构。从1991年开始，由一个独立的机构COSO委员会专门进行内部控制方面的研究。2002年开始，PCAOB成立专门负责内部控制规范的制订以及对内部控制建立和评价执行状况的监管与处罚。PCAOB由SEC监管，增强了监管主体的权威性。 33.我国监管体系中内部控制的监管主体是谁？ 国资委管国有大中型企业；证监会管上市公司的信息披露；财政部管全国所有企业的财务与会计工作，并负责会计准则与制度的制定；审计署管全国的审计工作，并负责审计准则的制定；银监会和保监会负责其行业内企业的内部控制建立和评价的监管。许多企业分属多个监管部门管理，一方面加大了监管部门的工作量，另一方面也造成了多头监管，削弱了监管的权威性，令企业无所适从。

1内部控制的目标是什么？内部控制的目标可以分为两个层次。1第一层：战略层次，战略目标。反映了管理层就主体如何努力为其利益相关者创造价值作出的选择。2第二层次：业务层次；包括四个目标，经营目标：包括业绩和盈利目标的实现，需要反映企业运营所处的特定经营、行业和经济环境。报告目标：与报告的可靠性有关，企业报告包括内部和外部报告，可能涉及财务和非财务信息。合规目标：与企业活动的合法性有关，企业从事活动必须符合相关的法律和法规，并有必要采取具体措施。资产目标：资产的安全完整目标是我国内部控制体系在COSO框架基础上结合国情的创新

2内部控制产生和发展的基础1受托责任机制是内部控制产生的根源：1） 现代企业制度下，企业所有权和经营权的分离。2）受托责任制产生的新问题——代理问题2工业化生产是内部控制产生的经济基础：作为现代意义上的内部控制，它是工业化革命和机器大生产的结果3竞争加剧是内部控制发展的外在要求1）外部环境的不确定性大大增加2）内部管理要求不断提高4其他科学理论是内部控制发展的技术支撑 3内部控制的功能有哪些？1有效抵御风险，实现持续健康发展：首先内部控制有一个强有力的运行机制，为企业抵御风险、实现健康持续发展提供合理保证。其次，内部控制作为一种制度安排，可以将各种资源有机的结合在，为企业创造价值2保证资产安全、完整3提高会计信息质量

4内部控制的局限性成本限制，人为错误、串通舞弊、滥用职权、制度失效、非经常性事项。 5西方内部控制理论的发展经历了哪几个阶段？1内部牵制：实物牵制、物理牵制、分权牵制、簿记牵制 2内部控制制度：会计控制、管理控制3内部控制结构：控制环境：是指企业为其雇员创造的工作氛围。会计系统、控制程序4内部控制整体框架：COSO控制框架包括控制环境、风险评估、控制活动、信息与沟通、监控5基于企业风险管理整合框架的内部控制 6内部牵制的含义是什么？内部牵制的职能有哪些？ 内部牵制是指两个或者两个以上的个人或者部门无意识地犯同样错误的可能性很小；两个或者两个以上的个人或者部门有意识地串通舞弊的可能性大为低于一个人或者部门舞弊的可能性。 （2）、职能（实物牵制、物理牵制、分权牵制、薄记牵制） 7、COSO是个什么组织？1COSO 是美国国家反虚假财务报告委员会发起机构委员会的首字母缩写语。COSO是一个民间组织，通过商务道德规范、有效的内部控制和公司治理致力于改进财务报告的质量。2COSO 的组织成员:AICPA —— 美国注册会计师协会 AAA —— 美国的会计学会 FEI —— 美国财务主管协会 IIA —— 国际内部审计师协会 IMA —— 美国管理会计师协会 8、《萨班斯法案》的主要内容是什么？1《萨班斯法案》对会计行业的监管、审计独立性、财务信息披露、公司责任、证券分析师行为、证券交易委员会的权利和职责、法律责任等诸多方面作出规定。包括1）专门成立5人委员组成的公众公司会计监督委员会，专事会计行业的注册、调查、监管、惩戒等；2）、限制会计师事务所向审计客户提供的非审计服务；3）、要求公司首席执行官和首席财务官对公司财务报告是否公允地反映了公司财务状况和经营成果作出保证；4）对故意提供虚假财务报告、故意销毁、隐匿、伪造财务报告、证券欺诈等犯罪行为处以重典。2最重要的两个条款是302条款和404条款。302条款要求公司首席执行官和首席财务官在提交定期财务公告的时候，提交一份个人签署的书面认证

文件和对财务报告的真实性负责的一份声明。404条款则是要求在提交定期财务报告之后，由公司出具一份内部控制评估报告。 9根据我国《企业内部控制基本规范》，内部控制包括哪几方面的内容？包括5个要素：（1）、内部环境。内部环境使企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 （2）、风险评估；风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。 （3）、控制活动。是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。 （4）、信息与沟通。是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、外部进行有效沟通。 （5）、内部监督。是企业对内部控制的建立与实施情况进行的监督检查，通过评价内部控制的有效性，发现内部控制缺陷，促使企业及时加以改进。 10、如何理解管理哲学和经营风格在内部控制中的作用？如何树立？1管理层的管理哲学和经营风格会影响企业的管理方式，主要包括：1）对待和承担经营风险的方式2）依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通3）对财务报告的态度和所采取的措施4）对信息处理以及管理功能所持的态度5）对现有可选择的会计准则和会计数值估计所持有的严谨或冒进的态度。

2管理哲学与经营风格表现为管理者的各种偏好，它影响着企业的行为，影响着企业的内部控制环境，进而影响着企业内部控制的效率和效果。 可以从以下几个方面来树立企业的管理哲学和经营风格。：1）风险接受程度。企业应对风险时采取的措施包括以下几点：a企业实行资金集中管理b企业实行债务集中管理c企业对重大合同或需由企业名义签订的合同实行统一授权、分级管理。D重大决策由总裁办公室听取相关部门或专家意见后，集体和议形成，报董事会审批。2）管理层对财务的态度a财务管理b会计政策选择c资产安全管理3）人员的交流与更替 11、员工胜任能力的测评方法有哪些？1.归纳法：是一种通过特定员工群体中的个人特质的发掘和归纳形成胜任力模型的方法。 运用的最主要的咨询工具当属“行为事件访谈”（Behavioral Event Interview，BEI）。

基本假设是每个岗位上的员工的工作方式不同带来的绩效也不同，通过研究员工间的差异可以发现高效者身上的特质。

2.演绎法：这是一种通过从企业使命、愿景、战略以及价值观中推导特定员工群体所需的核心胜任力的方法。

演绎法的实质是一个逻辑推导过程，基本步骤如下：1）澄清组织愿景、使命、战略和核心价值观2）推导关键岗位角色和职责3）推导核心价值观。 3.限定选项法：通常由专业顾问根据对组织的初步了解，提出一组相当数量的胜任力项目，然后通过相关人员集体讨论的方式进行几轮的筛选和调整，最终确定一套胜任力项目作为胜任力模型 12、董事会在内部环境中有什么功能？COSO报告把内部环境作为其他内部控制组成要素的基础，尤其把董事会对风险的态度和认识作为内部环境的首要内容，凸现出人特别是高层人员在内部控制中的重要地位。对经营者的约束，理论上有

两种方式：一是以资本市场、产品市场及法规制度为主体的外部控制机制；二是以董事会为主体的内部控制机制。董事会是约束经营者日常行为、实现事前帕累托最优最合适的手段。 13、不相容的责任有哪些？1）授权批准职务与执行业务职务分离2）业务经办职务与审核监督职务分离3）业务经办职务与会计记录职务分离4）财产保管职务与会计记录职务分离5）业务经办职务与财产保管职务分离

14、财产保护控制的方法有哪些？1．限制接近。规定只有经过严格授权的人员才能接触财产，旨在划清责任、减少舞弊的发生。1）现金的限制接近。现金与有关现金的记账人员相分离2）单据、证券以及易变现资产的限制。支票、汇票、发票、收据等非现金财产3）存货的限制接近。

2．财产清查。概念、修订的《会计法》在内部会计监督制度中对财产清查的规定：1）确定财产清查范围。2）定期清查和抽查相结合。财产清查是账实、账款核对，检查其一致性。财产清查的时间3）财产清查的程序。 3．财产保险 。资产投保——实物受损后的补偿机会、 4．财产记录监控 。对企业要建立资产档案，资产增减变动应及时全面予以记录，加强财产所有权证的管理 15全面预算管理有什么意义？企业全面预算管理是解决现代企业制度下，出资者、经营者与各部门及职工之间委托代理问题的有效途径，是规范三者关系的制约手段；全面预算管理在保护财产的安全完整方面是高效的。企业要确保资产安全完整，仅仅依靠单一的资产管理法规和制度显然不够，必须辅之以预算手段。 全面预算管理有利于优胜劣汰机制、激励约束机制的运行。任何一个预算管理松懈的企业必然难寻降本增效之源，难以摆脱低效率、高成本的困扰。全面预算管理分为两个层次，即预算编制控制和预算执行控制。

16信息系统的一般控制和应用控制包括哪些内容？信息系统的一般控制有助于确保系统持续、适当的运行，主要包括以下几方面内容：信息系统的控制环境；系统的购买、开发和实施；系统的变更及维护；系统的安全管理；系统的操作及运行。

信息系统控制环境

信息系统的控制环境包括企业信息技术的战略规划、信息系统管理人员素质、用户的培训教育等。

1、企业根据业务需求，制定信息技术战略规划，并以此为基础开展信息系统建设工作；

2、企业应完善汇报审查机制，加强信息系统内部控制工作，明确岗位职责，加强培训；

3、企业应注重信息分类，数据及系统责任人认定，完善信息应用的制度建设、信息技术风险评估工作、监控工作及信息服务工作。 （二）信息系统的购买、开发和实施

1.企业应对信息系统项目建立完善的项目管理文档，明确定义项目的目标、范围、计划、人员需求、组织构架及项目参与各方的职责；

2.建立完善的审批程序用以管理系统的购买、开发和实施 3.加强对外部购买和自行开发的信息系统的质量控制； 4.数据转化及上线； 5.文档记录及培训。

（三）现有系统的变更及维护

企业在不断发展变化，信息系统也应随着企业的变化而不断更新。企业对于系统的变更及维护做好如下几个方面的工作：①系统的日常维护；②应对变更；③通过测试实施质量控制；④制定系统变更上线计划；⑤文档记录及培训。 （四）、系统的安全管理

系统的安全管理是要保证企业信息的完整性，具体包括以下六个方面： 1.企业应设置信息安全管理机构，以保证信息的完整； 2.企业应制定完整、全面的信息安全管理政策和程序，加强对员工安全意识的教育和培训；

3.加强数据接触安全管理； 4.加强操作系统安全管理； 5.加强网络安全管理； 6.加强物理安全管理。 （五）系统的操作及运行

信息技术部门派专人执行日常系统的维护，对出现的问题，进行调查、分析和解决，并妥善记录。

信息系统的应用控制主要关注数据的获取和处理的完整性以及授权的有效性。为了能够达到以上目标，企业应采取以下措施： 职责分离

内部控制的关键就在于不相容职务的分离，职责分离的基本要求就是业务活动的批准、记录、经办尽可能做到相互独立，在信息系统的管理中，尤为重要。 人工控制

人工控制最首要的一点就是有效授权和职责分离，系统使用人员根据控制程序、各项规章制度判断业务活动的合理性、合法性和有效性，保证录入系统的交易活动或修改数据都经过授权；其次是对系统应用人员的培训，使他们能够熟练、准确、有效的使用系统。 （三）自动控制

信息系统通过对数据类型的校验、重复输入校验、系统匹配等方式对应用系统的输入、处理和输出进行有效控制。 （四）数据保密

在使用信息系统过程中，企业可根据员工所承担的责任，分配其登录查阅相关信息的权限。 17员工绩效考核的原则是什么？绩效考核是定期考察和评价个人或部门工作业绩的一种制度。好的绩效考核制度能够起到鼓励先进、鞭策落后的目的，但是一旦有失公允就会挫伤员工的积极性。在内部控制中，制定一种科学有效的绩效评价制度对于人力资源管理至关重要。在绩效考评中应遵循以下原则： 1.公开透明原则：要求最大限度消除考核者和被考核者之间对考核的神秘感。因此，考核方法、考核标准、考核程序、考核责任、考核结果，都应当公开，要使员工对考核产生信任感。 2.客观考评原则 3.与工作相关原则

4.注重反馈原则：在考核结束后，应当将考核的结果，如考核得分、考核等级、考核评语等，反馈给被考核者本人，并进行面谈讨论，否则就起不到考核的真正作用。

5.差别与公平原则：要求考核结果的等级之间应当有明显的界线，针对不同的考

核结果，在待遇上应当有明显的差别，使考核具有激励作用。但需要注意的是防止出现“鞭打快牛”现象。即绩效好的员工反而获得低回报，或者因为级小号，下期对其提出难以达到的更高要求。这些不公平的做法往往会挫伤员工的积极性。

6.可行性与实用性原则：可行性应当考虑：绩效目标的可实现性，不要把根本达不到的目标强加于人；与考核相关的信息来源，既要考虑信息的易取性，也要考虑信息取得的成本；预测在考核过程中可能发生的问题、困难和障碍，准备应变措施。

实用性应当考虑：考核的手段是否有助于组织目标的实现；考核的方法和手段是否与相应的岗位以及考核的目的相适应。 7.参与原则 18如何提高内部审计质量？ 1．加强内部审计的组织保证 建立科学的组织架构、清晰的业务和行政报告关系，保证内部审计部门的独立性。 内审部门在组织中的地位：取得最高管理层的支持 2．不断提高内部审计人员素质

除了要熟练掌握内部审计的方法、技能、工具外，内审人员需要具备的关键素质还包括：良好的人际沟通技能、敏锐的风险意识、良好的自我学习能力、良好的整合能力等。

3．认真做好审计前的准备工作 详细的审计计划

4．注意审计方法、技术、工具的合理运用 审计测试技术

审计测试是审计人员为达到审计目的，采用一定的方法对被审项目的部分内容进行试验，以获取审计证据，据以判断被审项目是否可以接受的一种审计程序 5．强化审计规范和工作底稿管理

通过建立详细的内部审计标准和内部审计指引，规范内部审计人员的工作行为，保证审计过程中的独立性和客观性。对审计过程的每一个步骤，都要求有完成的工作底稿。

6．做好审计报告

阶段性的审计报告和最终审计报告。 7．沟通、沟通、再沟通 8．内部审计质量评估制度化 19员工培训的意义是什么？ 首先，通过培训员工可以获得企业对于自身岗位要求的各种信息，包括清楚企业期望自己承担哪些责任，达到那些目标，应具备何种知识和技能，如何完成分配的任务。其次，培训可以加深员工对企业的了解，产生认同感。对于新晋员工而言，这一点尤为重要。只有通过培训，员工才能获知企业的理念、企业文化、企业价值体系。第三，培训是推行管理制度的重要途径。通过培训，员工可以明确企业的经营目标、战略规划和各项规章制度，这样有利于制度的有效贯彻。 例如，企业在构建内部控制过程中，必须依靠培训使员工了解内部控制的基本要求、基本程序和流程、基本制度和方法。第四，培训可以提高员工专业技能，使之胜任所在岗位。 20什么是相互牵制原则？ 相互牵制原则，是指一项完整的经济业务活动，必须分配给具有互相制约关系的两个或两个以上的职位，分别完成。

相互牵制原则包括横向和纵向两个方面：在横向关系上，至少要由彼此独立的两个部门或人员办理，以使该部门或人员的工作接受另一个部门或人员的检查和制约；在纵向关系上，至少要经过互不隶属的两个或两个以上的岗位和环节，以使下级受上级监督，上级受下级牵制。 21成本效益原则 成本效益原则是指为进行控制而花费的成本与缺乏控制时所遭受的损失比较，当控制的效益大于成本时，则该项控制措施才是可行的，否则就是不可行的。 22授权控制原则 授权控制原则，是指企业单位应该根据各岗位业务性质和人员要求，相应地赋予作业任务和职责权限，规定操作规程和处理手续，明确纪律规则和检查标准，以使职、责、权、利相结合。授权控制原则在实际工作中以岗位工作程式化的方式来体现，要求做到事事有人管，人人有专职，办事有标准，工作有检查，以此定奖罚，以增加每个人的事业心和责任感，提高工作质量和效率。 23内部控制设计的方法 内部控制设计的方法包括组织系统图设计、职责划分设计、工作说明书设计、方针和程序手册设计。

组织系统图主要描述企业内部各阶层的组织机构，显示每一个职位在企业中的地位及其上下隶属与纵横的关系。

职责划分设计如果一项业务需要有两个以上部门共同完成时，对各部门应负责任的范围也应该有明确的规定。

工作说明书是描述工作性质的文件，是职工工作的说明。其表示方法是将单位的每一个工作职位，编制一份详细的说明，用来反映担任那个职位的人应该履行的职责。

方针和程序手册主要是指以书面形式来表达管理当局的指令及同类业务的处理方法，也可以说是以书面形式详细描绘业务处理的方针与程序。 业务流程图是利用图解形式描述各经营环节处理程序的一种图式。它显示了凭证和记录资料的产生、传递、处理、保存及其相互关系，从而直观地表达内部控制的实际情况。对于无法在图中表示的问题，可用简要的文字进行说明，作为流程图附件。 24举例说明各职能部门的职责 （1）、市场部的职责 A实现企业销售目标b制定与实施销售计划c销售管理、销售政策的制定与实行d市场调研与市场预测e策划f销售工作的检查与评估。 内部控制设计的原则 合法性原则、适应性原则、全面性原则、相互牵制原则、协调性原则、有效性原则、成本效益原则、授权控制原则、可容性原则、独立性原则、预防为主原则、电子信息技术基础原则。 25内部控制信息披露的形式 内部控制信息披露形式主要涉及单独披露还是随财务报告一并披露、由谁披露以及强制披露还是自愿披露三个问题。

是否单独披露：内部控制信息披露，可以单独提供，也可以包含在其他载体中，例如管理层讨论、董事会报告等。如何随同其他信息一并披露，其优点在于一方

面使信息使用者在阅读财务报告、董事会报告的同时了解内部控制相关信息，另一方面，也便于使用者的理解，提高他们的工作效率，同时，也降低了企业提供此类信息的成本。其缺点在于弱化内部控制信息在企业信息披露体系中的作用。单独披露与此恰恰相反。它可以大大提高人们对内部控制的关注。

由谁披露：在单独披露方式下，涉及由谁提供内部控制相关信息的问题。目前，我国采取企业管理当局和注册会计师共同披露的方式。 26内部控制信息披露的内容 1）企业内部控制制度设计和执行的基本情况，从合法性、完整性、合理性和有效性四个方面加以说明。从整体方面对企业内部控制制度做基本概括，使阅读者对企业的情况有一个基本的了解。 2）指出企业内部控制中存在的重大缺陷。将发现的内部控制缺陷加以归类说明，指出重点问题、关键问题，并说明这些问题会给企业带来的影响。 3）提出企业改进内部控制的建议。评价人员应当就所提出的内部控制中的缺陷，根据其产生的不同原因及相关情况，提出合理的具有建设性和操作性的意见。 27内部控制评价的作用1内部控制评价是提升企业内部控制效果的根本保证 2内部控制评价是实现内部控制自我完善的主要途径3内部控制评价是提高管理当局内部控制水平的压力机制 4内部控制评价是促进内部审计职能发挥的基础 28内部控制自我评价的方法 1.研讨会法 ：是一种从代表组织不同层次尤其是风险薄弱环节的工作组中收集内部控制信息，召集尽可能多的业务人员共同分享信息、讨论问题的方法。 研讨会法不进行任何决策，只提供评价及改进意见。 研讨会一般没有高级管理人员参与，避免参与者因为有高级人员在场而怯于发表意见。 引导师

2.问卷调查法 ：是一种用于只需回答“是/否”或者“有/无”的调查工具。业务流程的具体操作者使用调查结果去评估他们的控制结构。

3.管理层分析法 ：管理层分析法是任何不使用上述两种方法的方法。通过该方法，管理层可生成一种业务流程的全员研究。CSA专家（可能是内部审计师）将研究结果与其他经理和关键人物收集的信息结合起来。

29内部控制社会评价的内容和标准内部控制社会评价是外部主体对企业内部控制健全性和有效性作出的评价。一般指注册会计师的评价。 1）评价内容：《内控审计指引》要求，注册会计师对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

2）评价标准：对内部控制评价，必须依据内部控制标准和内部控制执业标准。 内部控制标准是指导企业设计和实施相关内部控制的基本依据，是注册会计师据以评价企业内部控制是否完善的基本依据。注册会计师执行对企业内部控制进行的业务，必须具有相应的职业规范，否则，注册会计师执行该类业务将无所适从。 30.内部审计的模式有哪几种？ 1．监事会领导模式。内部审计部门直接由监事会领导，在监事会领导下对公司财务状况和董事、经理的经济行为和经济责任进行审计。由于监事不能兼任公司的经营管理职务，没有经营管理权，所以该模式最大的不足是不能直接服务于经营决策，难以实现通过审计促进企业改善经营管理和提高经营效益的主要任务和

目的。

2．董事会领导模式。内部审计部门直接由董事会领导，在董事会领导下对公司经营状况、计划执行情况以及经理职责履行情况进行审计。不足之处在于该领导模式势必削弱公司经营的直接领导人和直接责任人（即总经理）对公司经营情况的监督。

3．总经理领导模式：内部审计部门直接由总经理领导，在总经理领导下对公司整体经营情况和内部控制制度执行情况进行审计。总经理对公司的整体情况对董事会和股东会负责，总经理应当了解公司发生的每一项业务，限于公司经济活动的复杂性和总经理个人精力和能力的有限性，仅仅依靠个人的力量，总经理难以对公司经营全过程实行监督，而内部审计部门作为总经理职能的延伸对公司整体经营情况发挥监督评价作用是很合理的。

31.内部审计的活动有哪些？内部审计的活动可以归纳为以下几类：

1）风险分析 ：企业需要系统的过程来识别风险，从而控制不利结果的出现。审计人员不可能对每一个事项进行审查，风险分析可以帮助审计人员判断哪些领域应该优先审计。

2）信息系统的安全和可靠性测试：企业的大部分信息都保存在计算机系统里，也有一部分信息打印存档。许多企业的经营系统已经通过企业资源规划系统（ERP）紧密结合起来，要求经常测试计算机信息系统。内部审计人员利用各种技术来执行信息安全性测试，确保信息系统的安全和可靠性。

3）控制有效性测试：一个独立的客观的内部审计部门通过对风险管理过程、内部控制和经营有效性的独立评估来帮助管理层。内部审计人员通常也对控制文件的有效性进行测试，这些文件可以为内部控制质量提供保证。内部审计人员关注业务流程是否有效执行，也关注银行存款余额调节或订购单处理是否合理等。 4）经营审计：经营审计是对企业经济活动效率、效果和经济性所做的评估。经营审计不局限于符合会计记录，其目的在于评估业务活动的质量和效率，识别改进的机会以及改进意见。审计人员、管理人员和审计委员会将经营审计目标建立在风险分析与企业发展机会联系的基础上，风险越高，所接受的审计就越多。 5）符合性审计：符合性审计是一种针对经营活动和会计处理是否与管理政策以及相关法律法规想一致的审计，符合性审计可以改善经营效率并为企业遵守相关法律法规提供保证，能够增加企业的价值。

6）内部审计报告 ：在现场审计结束后，审计部门应与企业管理层一起讨论审计结论，研究审计人员是否忽略了某些重要的审计领域，对审计意见是否存在误解。管理层可能会提出一些改进意见，这些改进意见应当包含在审计报告中。

32.美国监管体系中内部控制的监管主体是谁？20世纪90年代以前，美国关于内部控制制度的研究分散于不同的组织机构。从1991年开始，由一个独立的机构COSO委员会专门进行内部控制方面的研究。2002年开始，PCAOB成立专门负责内部控制规范的制订以及对内部控制建立和评价执行状况的监管与处罚。PCAOB由SEC监管，增强了监管主体的权威性。 33.我国监管体系中内部控制的监管主体是谁？ 国资委管国有大中型企业；证监会管上市公司的信息披露；财政部管全国所有企业的财务与会计工作，并负责会计准则与制度的制定；审计署管全国的审计工作，并负责审计准则的制定；银监会和保监会负责其行业内企业的内部控制建立和评价的监管。许多企业分属多个监管部门管理，一方面加大了监管部门的工作量，另一方面也造成了多头监管，削弱了监管的权威性，令企业无所适从。

本文来源：https://www.bwwdw.com/article/1nw8.html