吳彥龍，李景芝，吳南慧

(1.黑龍江省審計廳，哈爾濱150001;2.中國石油哈爾濱石化分公司，哈爾濱150056;3.哈爾濱工業(yè)大學，哈爾濱150006)

一、“薩—奧法案”的要求與內部控制的提出

美國于2002年頒布實施了“薩—奧法案”，對上市公司建立并保持內部控制作出了明確、具體的規(guī)定，即“所有在美國上市的公司必須對公司內控制度作出評價和規(guī)范、并接受審計”，以提高民眾對美國金融市場及政府經濟政策的信心。研究結果表明，內部控制存在缺陷是導致企業(yè)經營失敗并最終鋌而走險、欺騙投資者和社會公眾的重要原因。為此，許多國家通過立法強化企業(yè)內部控制，日益成為企業(yè)進入資本市場的“入門證”和“通行證”。

為了引導企業(yè)加強內部控制，1999年修訂的《會計法》第一次以法律的形式對建立健全內部控制提出原則要求，財政部也于2001年6月起連續(xù)制定發(fā)布了《內部會計控制規(guī)范——基本規(guī)范》等7項內部會計控制規(guī)范，審計署、國資委、證監(jiān)會、銀監(jiān)會、保監(jiān)會以及上海、深圳證券交易所等也從不同角度對加強內部控制提出明確要求。

2006年7月15日，根據(jù)國務院領導指示精神，財政部會同有關部門發(fā)起成立企業(yè)內部控制標準委員會(財會［2006］11號)，研究制定我國企業(yè)內部控制規(guī)范，旨在引導和推動企業(yè)建立健全內部控制，提高企業(yè)內部控制與經營管理水平，促進企業(yè)健康可持續(xù)發(fā)展，維護社會主義市場經濟秩序和社會公眾利益。

2008年6月28日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內部控制基本規(guī)范》，于2009年7月1日起先在上市公司范圍內施行，鼓勵非上市的其他大中型企業(yè)執(zhí)行。

2010年4月26日，財政部會同證監(jiān)會、審計署、國資委、銀監(jiān)會、保監(jiān)會等部門發(fā)布了《企業(yè)內部控制配套指引》，與《企業(yè)內部控制基本規(guī)范》共同構建了我國企業(yè)內控規(guī)范體系，自2011年1月1日起首先在境內外同時上市的公司施行，自2012年1月1日起擴大到在滬、深交易所主板上市的公司施行。在此基礎上，擇機在中小板和創(chuàng)業(yè)板上市公司施行。同時，鼓勵非上市大中型企業(yè)提前執(zhí)行。這是全面提升上市公司和非上市大中型企業(yè)經營管理水平的重要舉措，也是我國應對國際金融危機的重要制度安排。

針對當前一些央企存在的治理結構不健全、決策機制不完善、戰(zhàn)略不清晰、內控機制存在缺陷、授權與責任不清晰等問題，國資委要求要轉變內審功能，將出臺多項舉措加強央企內控制度建設，如制定《中央企業(yè)內部控制建設指導意見》。

總之，研究制定企業(yè)內控規(guī)范是經濟社會發(fā)展的迫切要求，是新形勢下監(jiān)管部門落實科學發(fā)展觀、服務企業(yè)改革與發(fā)展的重要舉措。毋庸置疑，內部控制是企業(yè)發(fā)展到一定階段的必然選擇，是確保企業(yè)穩(wěn)健發(fā)展不可或缺的“穩(wěn)定器”。它雖不是醫(yī)治企業(yè)病癥的靈丹妙藥，但確是抑止企業(yè)病癥萌發(fā)和擴散的一劑良方。

二、“薩—奧法案”的宗旨與COSO框架

(一)“薩—奧法案”的宗旨

“薩—奧法案”以維護廣大投資者利益為宗旨，對懲治公司財務欺詐、規(guī)范企業(yè)行為和加強資本市場監(jiān)管作出了規(guī)定，其內容主要包括:明確公司管理層的責任，加強會計監(jiān)管，完善公司內部和外部審計制度，強化上市公司信息披露的監(jiān)控，突出舞弊防范，嚴厲法律制裁，規(guī)范美國公司行為，保護廣大投資者利益，等等。該法案以法律為后盾推進市場誠信，公司主管誠信宣誓意味著增加了他們的法律責任。同時，成立上市公司會計監(jiān)管委員會加強會計監(jiān)管，將會計行業(yè)由專門的機構統(tǒng)一監(jiān)管，這有利于規(guī)范會計行業(yè)運作，而且法案對審計的獨立性做了強制要求，這將有助于減少上市公司與審計機構合謀。此外，該法案還規(guī)定增加美國證券交易委員會的資源，有助于加強監(jiān)管工作。

按法案要求，2003年6月5日，美國證券交易委員會頒布了“財務報告內部控制系統(tǒng)的管理層報告書”的“最終條例”作為“薩—奧法案”404條款的執(zhí)行細則。2004年3月9日，美國上市公司會計監(jiān)管委員會最終確定了內控“審計標準”作為404條款的審計細則?！白罱K條例”和“審計標準”均明確提到COSO提出的內控框架可以作為企業(yè)內控體系建立的標準。

“薩—奧法案”要求在美上市的公司必須建立內控體系;建立、運行、評估、披露內控體系的責任在管理層;美國證券交易委員會和美國上市公司會計監(jiān)管委員會都推薦COSO框架作為企業(yè)建立內控體系的標準。

(二)COSO框架

現(xiàn)代內控理論認為，內部控制是一個系統(tǒng)化的框架，它建立在風險管理的基礎上，包括內控環(huán)境、風險分析、內控活動、信息與溝通、監(jiān)督五大要素。

1.COSO內控框架的產生和發(fā)展過程

內部控制理論的發(fā)展是一個逐步演變的過程，大致可以區(qū)分為內部牽制、內控制度、內控結構與內控整體框架四個階段。在內部牽制階段，賬目間的相互核對是內控的主要內容，設定崗位分離是內控的主要方式，這在早期被認為是確保所有賬目正確無誤的一種理想控制方法;在內控制度階段，內控的重點是建立健全規(guī)章制度;在內控結構階段，內控被認為是為合理保證企業(yè)特定目標的實現(xiàn)而建立的各種政策和程序，分為內控環(huán)境、會計制度和控制程序三個方面。

1973—1976年對水門事件的調查使得立法機關與行政機關開始注意到內控問題。針對調查的結果，美國國會于1979年通過了《反國外賄賂法》。1985年，由美國注冊會計師協(xié)會等5個協(xié)會聯(lián)合創(chuàng)建了反虛假財務報告委員會，該委員會旨在探討財務報告中的舞弊產生的原因，并尋找解決措施。兩年后，該委員會提出了很多有價值的建議?；谠撐瘑T會的建議，其贊助機構成立COSO委員會，專門研究內控問題。1992年9月，COSO委員會提出了報告《內部控制整體框架》，1994年進行了增補，形成COSO內控框架，標志著內控理論發(fā)展到新的階段，對企業(yè)完善和優(yōu)化內部控制、增強風險防范能力具有十分重要的意義。

2.COSO內控框架的組成要素

COSO內控框架認為，內控系統(tǒng)是由內控環(huán)境、風險評估、內控活動、信息與溝通和監(jiān)督五要素組成，它們取決于管理層經營企業(yè)的方式，并融入管理過程本身，所有的五個部分必須同時作用才能使內部控制得以產生影響。其相互關系見圖1所示:

圖1 企業(yè)內控系統(tǒng)的要素組成

(1)控制環(huán)境?？刂骗h(huán)境是指對建立、加強或削弱特定政策和程序效率發(fā)生影響的各種因素，企業(yè)的基調、氛圍直接影響企業(yè)員工的控制意識。包括管理者的經營風格和經營理念，董事會、組織結構與權責分派體系、管理控制方法及人力資源政策與實務等?？刂骗h(huán)境構成一個組織的氛圍，它對企業(yè)內部控制的建立和實施有重大影響，其好壞直接決定了企業(yè)內控整體框架實施的效果?？刂骗h(huán)境反映了董事會、總經理階層、其他人員對內部控制的態(tài)度、認識和行動。環(huán)境要素是推動企業(yè)發(fā)展的引擎，也是其他一切要素的核心，決定了其他控制要素能否發(fā)揮作用，是內部控制其他要素作用的基礎。良好的控制環(huán)境需要企業(yè)管理者依靠長期不懈的努力來建立和維持，它是內控狀況的綜合反映，需要一系列健全有效的內控制度和一套完整的激勵機制?？梢哉f人及其人進行的活動是任何企業(yè)的核心，是構成內控環(huán)境的重要要素，又與環(huán)境相互影響、相互作用。

(2)風險評估。風險評估是識別、分析相關風險以實現(xiàn)既定目標，是風險管理的基礎。COSO報告認為，任何企業(yè)都時刻面臨來自組織內外部的各種風險。風險是指事件本身的不確定性，它具有客觀性。在現(xiàn)代市場經濟條件下，企業(yè)之間的競爭日趨激烈，企業(yè)所面臨的經營風險不斷提高，內部控制的實施也深受影響。可以說，一切違背管理原則的管理行為或不完善的內部控制，不健全或無效的控制制度就是風險存在的信號。風險分析與評估活動外國企業(yè)比較重視，如有些企業(yè)利用“SWTO”等分析法，通過分析和評價企業(yè)內部的優(yōu)勢與劣勢、長處與短處、外界的機會與威脅。風險評估一般須經過辨別、分析、管理、控制等過程。確定和分析風險的過程是一個持續(xù)的過程，是有效內部控制的一個關鍵性因素。

(3)控制活動。控制活動是針對風險采取的控制措施，是內部控制的重要因素之一，是指管理者為了確保管理指令能夠得到有效實施而制定并實行的各種政策、程序和辦法，目的是保證組織目標實現(xiàn)，避免風險的發(fā)生，減少非必要的損失?？刂苹顒迂灤┯谡麄€企業(yè)內部的各個階層和所有的職能部門，包括授權、權責分配、審查、檢查、監(jiān)督、資產保護、職責分工、各種政策、程序和辦法中規(guī)定的各種控制行為等。

(4)信息與溝通。信息與溝通是指企業(yè)經營管理所需信息必須被識別、獲得并以一定形式及時傳遞，以便員工履行職責，是企業(yè)內部控制的一項要素。一個組織中，有一個良好的信息溝通系統(tǒng)，能保證信息在企業(yè)內部自上而下、自下而上、橫向以及與外界有效的傳遞，這有助于提高內部控制的效率和效果。通過溝通渠道各級管理者可以知道在自己負責管理范圍之內，工作進展情況，人員的行為及態(tài)度，以及與組織目標相脫離的大部分偏差，從而確保對自己責任范圍的控制;每位員工也能清楚自己在內控制度中所扮演的角色、所負擔的責任及其地位和作用，并能將實施中存在的問題及時反饋給管理層，使下級領會管理的意圖，上級也能夠及時了解經營活動的進展情況，以便管理者及時掌握和了解內部控制中的潛在薄弱環(huán)節(jié)，并能及時采取相應的預防措施。

(5)監(jiān)督。監(jiān)督是對內控系統(tǒng)有效性進行評估的過程，是企業(yè)內控框架的特殊構成要素，它相對獨立于各項具體的生產經營活動之外。它能夠在不影響或盡可能小地影響企業(yè)經營管理活動的情況下，通過對內控制度的運行與實施情況進行評價，對企業(yè)已經發(fā)生的錯弊及時予以糾正，將企業(yè)內控的缺陷及改進意見不斷反饋給管理者，并能在一定程度上對發(fā)現(xiàn)的內控缺陷及時予以彌補，對發(fā)生的新的經濟業(yè)務進行必要的調整。監(jiān)控也是對企業(yè)其他內控程序和措施的一種再控制。監(jiān)控可以分為內部監(jiān)督(包括管理部門的監(jiān)控、內部審計機構的監(jiān)控)和外部有關部門或團體對企業(yè)的外部監(jiān)控。內部監(jiān)督是指由企業(yè)管理者、各級管理人員或財務會計部門以外的部門或人員對本企業(yè)的財務會計工作進行監(jiān)督檢查的一種制度。在內部監(jiān)督過程中，通常有自我控制和內部審計兩種方式。外部監(jiān)督是指由中介機構、監(jiān)管機構等部門對企業(yè)會計信息質量進行監(jiān)督和檢查。兩種方式達到的效果可以找出內控的薄弱環(huán)節(jié)，揭示企業(yè)內控制度的不足或不完善之處，幫助管理者改善企業(yè)經營管理，提高經營效率，從而提高企業(yè)的經濟效益。

3.五要素之間的關系

可以這樣理解內控體系五要素之間的關系:企業(yè)的核心是人，人的誠信、道德價值觀和勝任能力構成了企業(yè)的內控環(huán)境，這是企業(yè)發(fā)展的基礎。每個企業(yè)都有自己的發(fā)展目標，為了目標的實現(xiàn)，必須分析影響因素，即進行風險評估。針對風險評估的結果需要采取相應的內控活動來控制和減少風險。同時與內控環(huán)境、風險評估和內控活動相關的信息應及時被獲取、加工整理，并在企業(yè)內部傳遞，這就是信息與溝通，信息與溝通系統(tǒng)圍繞在內控活動周圍，反映企業(yè)各項管理活動的運轉情況。為了保證內控體系的正常運轉，還需要對整個內控過程進行監(jiān)督。

內部控制五要素之間的配合和聯(lián)系，組成了一個完整的系統(tǒng)，可以靈活地隨條件變化而變化。但各要素之間并非是一項要素影響下一項要素的順序過程，任何一個要素的變化都可以影響其他要素，例如，對風險的評估不僅僅影響內控活動，還可能影響信息和溝通、監(jiān)督行為等。

三、我國企業(yè)內控系統(tǒng)的構建

(一)確立內控框架

1.控制環(huán)境優(yōu)化策略

(1)培養(yǎng)誠信與道德觀念，如制定道德準則，包括《高級管理人員職業(yè)與道德規(guī)范》、《企業(yè)文化建設綱要》、《員工手冊》、《職工職業(yè)與道德規(guī)范》和《職工職業(yè)與道德建設制度》等;與利益相關方的關系，如要求在對外交往中遵循《高級管理人員職業(yè)與道德規(guī)范》，強調公平對待員工、客戶、供應商等，企業(yè)召開年度職工代表大會，收集員工各方面的意見，定期向員工進行反饋;實現(xiàn)目標的壓力，如制定《中層及以下管理人員業(yè)績考核指導意見》、《操作服務人員績效考核指導意見》、管理層換屆、調整、升職與業(yè)績考核相關聯(lián)。

(2)培養(yǎng)勝任能力，包括崗位職責描述，如修訂完善《員工崗位職責描述》;分析勝任工作所需要的知識和技能，如《員工崗位職責描述》明確對崗位所需能力和知識的要求、制定《員工教育培訓工作暫行規(guī)定》;通過年度考核，測評員工知識和技能的符合程度。

(3)建立審計委員會，包括獨立性，如審計委員會的構成及獨立性應符合國內和國外相關法規(guī);信息及時性和充分性，如建立《審計委員會章程》;加強審計委員會的監(jiān)督作用，如建立反舞弊風險數(shù)據(jù)庫，監(jiān)督管理層對審計發(fā)現(xiàn)的跟進。

(4)培養(yǎng)管理理念和經營風格，包括業(yè)務風險的接受程度，如采取集權管理、歸口管理和經理辦公會議決策制度等控制風險，制定業(yè)務授權表;關鍵人員的更換頻率，如管理層和監(jiān)督層人員基本穩(wěn)定，財務、信息系統(tǒng)無頻繁更換現(xiàn)象;管理層對會計職能、財務報告的態(tài)度，如財務部承擔財務管理和監(jiān)督職能，對所選會計制度進行披露，制定《安全保密制度》等。

(5)建立組織結構，如組織設計適應信息流通和權利集中程度，即按照《公司法》要求建立法人治理結構，制定《企業(yè)機構設置方案》和《企業(yè)機關部門職能、職責范圍》等。

(6)明確權利和責任，包括責任分配與授權，如制定《機關部門職能和專業(yè)公司職責范圍》、《員工崗位職責描述》、《授權表》;控制標準及流程，如制定《員工崗位職責描述》;數(shù)據(jù)、會計等職員技能的充分性，如制定《勞動定員定額標準化管理暫行辦法》、《加強領導班子建設辦法》、《企業(yè)崗位競聘辦法》，等等。

2.風險評估優(yōu)化策略

(1)設計描述業(yè)務流程與目錄，制定業(yè)務流程描述標準和模板，按業(yè)務流程描述標準和模板繪制業(yè)務流程圖和編制流程說明。

(2)確定重要會計科目和披露事項，如制定確認重要會計科目和披露事項的標準和方法，按照上述標準和方法確定重要會計科目和披露事項，確定重要會計科目和披露事項可能出現(xiàn)重大錯報的原因。

(3)規(guī)定重要會計科目、披露事項與業(yè)務流程。

(4)對重要業(yè)務流程進行風險評估，建立風險評估制度體系，如風險識別。通過對業(yè)務風險、固有風險和舞弊風險等進行評估，建立重要業(yè)務流程標準風險數(shù)據(jù)庫，確定重要風險點;分析風險重要性程度、評估風險發(fā)生的可能性或頻率、如何管理風險;確定風險類別與風險評估方法。

3.控制活動優(yōu)化策略

(1)建立經營活動分析評價制度，如建立經營活動分析評價制度，側重于階段性經營成果和影響成果的因素分析。重點對財務報表中影響利潤指標的價格因素、銷量因素、成本因素及其他費用的變化進行分析，同時對財務報表的真實性進行核實等。增加投資管理的相關內容，形成企業(yè)統(tǒng)一的生產經營分析制度，開展日常經營活動分析和生產經營分析評價。

(2)對控制現(xiàn)狀進行描述與分析，如建立控制分析文檔編制標準和模板，對重要業(yè)務流程，結合相關風險，描述控制現(xiàn)狀，并與控制制度對應，發(fā)現(xiàn)制度缺失和差異。

(3)建立關鍵控制，如建立重要業(yè)務流程的關鍵控制確認標準;按照關鍵控制確認標準，確定重要業(yè)務流程關鍵控制;整理關鍵控制文檔。

(5)編制內控制度文件索引，如制定內控制度文件索引標準，將相關控制(特別是關鍵控制)與制度文件進行對應。

4.信息與溝通

(1)建立信息溝通制度體系，如建立統(tǒng)一的信息系統(tǒng)總體控制制度，包含信息技術控制環(huán)境、程序開發(fā)、程序更改、程序和數(shù)據(jù)的訪問、計算機操作五個領域，實現(xiàn)財務、資產、人力資源、采購、統(tǒng)計信息系統(tǒng)統(tǒng)一到操作層面，培訓、推廣和實施信息系統(tǒng)總體控制制度，檢查各層面實施和運行的情況，進一步完善總體控制制度，制定本單位的信息系統(tǒng)總體控制計劃并有效實施。

(2)建立區(qū)域數(shù)據(jù)中心，如進行信息系統(tǒng)設備物理集中。

(3)統(tǒng)一管理應用系統(tǒng)，即FMIS系統(tǒng)(財務管理信息系統(tǒng))、AMS系統(tǒng)(資產管理信息系統(tǒng))、人事資源管理系統(tǒng)、采購管理系統(tǒng)和統(tǒng)計信息五個系統(tǒng)的統(tǒng)一。

5.監(jiān)督

(1)內控體系的維護運行，如建立包括歸口管理、流程變更報告、測試結果動態(tài)、體系維護的計劃和實施等相關內容的內控體系運行管理制度，完善內控體系、體系運行狀況的監(jiān)督和維護、體系的自我評估。

(2)開展內審測試，如確定測試程序、組織方式、測試文檔模板及編制標準，確定測試結果分析的內容和報告模板，提交內審測試報告。

綜上所述，培美曲塞聯(lián)合順鉑治療晚期非鱗非小細胞肺癌應用能降低血清腫瘤標志物CEA表達水平與提高ApoA1表達水平，提高治療療效，且不會增加毒副反應的發(fā)生，從而延長患者的生存期。

(3)實施管理層審核，如針對內審測試報告中的內控缺陷，根據(jù)體系運行狀況提出相關的改進措施，提出管理層報告。

(二)確定業(yè)務流程

控制活動是內控體系優(yōu)化的重要內容，一套清晰順暢的工作流程、完整的管理制度和符合實際的崗位規(guī)范，能夠約束企業(yè)的行為，使每個員工都能做到各司其職、各負其責。同時，依靠制度的科學性、嚴密性、連續(xù)性和可操作性，使企業(yè)的管理思想、管理方式不因人的變化而隨意變化，最大限度地減少人為因素對企業(yè)管理水平的影響。

企業(yè)流程應包括規(guī)劃和計劃、建設過程、生產過程、物資采購、服務采購、產品銷售、存貨管理、投資管理、人力資源、信息系統(tǒng)、健康安全環(huán)保、技術發(fā)展、財務資產、內部審計、合同與糾紛等一級流程，并對每個一級流程進行細化，制定了基本流程目錄，將公司重要業(yè)務囊括其中。優(yōu)化業(yè)務流程主要關注的不僅是財務報告流程，而且也要關注與其相關業(yè)務流程。這主要是從追溯財務報告的形成過程及其面臨的風險上考慮，因為形成財務報告的信息產生于業(yè)務過程，如成本信息全部來自于生產過程，在生產過程中形成的領料單、發(fā)料單、原料消耗報告等將直接被財務人員運用于材料成本核算過程中，如果任何一個環(huán)節(jié)的記錄有誤或向財務人員傳遞的信息不完整，都將造成資產負債表中的存貨和利潤表中的成本數(shù)據(jù)失真。因此，對于財務報表的內部控制不僅需要制定財務報告流程，也需要制定詳細的業(yè)務流程，這就要求對公司的主要業(yè)務進行描述，建立基本業(yè)務流程。

流程控制的最大好處是對業(yè)務發(fā)生的全過程進行控制，設置一個完整的業(yè)務流程往往要涉及多個工作步驟，涉及多個部門和崗位。所以，定義流程的關鍵在于打破部門和崗位的概念。如合同審批審查流程只是一個具體的末級流程，業(yè)務要涉及合同承辦部門、技術部門、財務部門、法律部門以及公司領導等多個層面、多個部門，此流程包括了三個職能帶(企業(yè)主管領導、相關職能部門、承辦單位)、六個步驟(合同計劃管理)→合同承辦單位(選擇相對人組織談判或招投標)→合同承辦單位(編制提交合同，簽約審查審批表)→技術經濟審查→合同管理崗法律審查→主管領導審批→合同簽訂管理，四個風險點(合同承辦單位、技術經濟審查、法律審查、主管領導審批)、兩個關鍵控制點(選擇相對人組織談判或招投標、編制提交合同)。

在實際流程的設置中，安排合同的主管部門負責流程的整體描述，但并不意味著這個部門將對流程每個步驟負責，它需要其他相關部門的配合和幫助才能完成整個流程描述。委派一個統(tǒng)領部門是保證流程描述的一致性與完整性，這個統(tǒng)領部門應該對整個流程有更多的全局考慮。如果各部門在進行流程描述時只關注自身業(yè)務，不能對整個流程有全局的考慮，那么，流程描述可能會變成部門職責描述，使流程缺少邏輯性和連貫性。這樣，就會出現(xiàn)流程的斷層、重復或遺漏，造成業(yè)務接口不明確，而影響整個控制的質量。因此，流程設置要注意各部門互相配合，不能忽略整個流程的連貫與完整。

(三)建立風險數(shù)據(jù)庫

風險管理是建立內控體系的關鍵，企業(yè)可以根據(jù)國資委《中央企業(yè)全面風險管理指引》，參照《COSO企業(yè)風險管理整體框架》，通過小組討論、訪談、頭腦風暴、問卷調查等方式，建立企業(yè)的風險數(shù)據(jù)庫，編制企業(yè)層面風險分類、風險評估評分標準，識別重大風險，確定風險控制對策。制定權限指引并使之與授權文件、崗位職責的一致性核對。如銀行存款及賬戶管理流程，首先，要分析流程潛在風險，編制銀行存款及賬戶管理風險數(shù)據(jù)庫，其業(yè)務流程包括財務資產、資金管理、銀行存款及賬戶管理;其次，要分析相關風險，包括未經授權的人員處理銀行存款業(yè)務及賬戶管理，未得到適當授權的人員進行網上銀行交易，開戶、銷戶未經過適當審批，銀行印鑒和票據(jù)未妥善保管造成資金損失，銀行存款的原始交易記錄不完整、不準確(如銀行對賬單丟失)，會計記錄不正確(如科目、金額、記賬期間等不正確)，銀行存款余額賬實不符(如私設小金庫、虛列存款、資金被盜用);最后，確定控制目標的類型，具體分為完整性、準確性、有效性和接觸性四類。

由于優(yōu)化內控關注與財務報告相關性強的風險，因此，需要以是否影響到財務報告錯報、是否關系資產安全受到威脅、是否存在舞弊等事項為標準，按重要程度將風險劃分為一般風險和重要風險，對風險數(shù)據(jù)庫中的風險進行篩選，形成公司的重要風險數(shù)據(jù)庫。

(四)提煉關鍵控制

重要風險一般與關鍵控制相對應，關鍵控制是公司制定的重要的、最有影響力的一項或多項控制。如果缺少這些控制，將會在很大程度上產生財務報表錯報、資產安全受到威脅和舞弊的風險。為了使關鍵控制具有統(tǒng)一性、規(guī)范性，充分體現(xiàn)管理規(guī)定和內控要求，企業(yè)組織相關管理部門的業(yè)務骨干集中編審關鍵控制，通過小組編寫、集中評審等形式，保證關鍵控制的可操作性，對整理好的關鍵控制向相關部門征求意見，并邀請管理專家、內控專家、學者，對關鍵控制管理文件進行全面評審。縝密嚴格審查增強了關鍵控制的可靠性。

(五)差異分析

差異分析是在前期基本流程、風險數(shù)據(jù)庫、關鍵控制已經建立的基礎上，以流程為單位將風險對應的控制現(xiàn)狀與關鍵控制相對比，查找現(xiàn)有控制與關鍵控制差異、分析原因的過程。差異分析一般采取編制對比表格的方式實現(xiàn)，將風險、現(xiàn)有控制措施、關鍵控制措施、差異等要素逐一進行列表，清晰反映差異分析結果，這種文檔被稱作風險控制文檔，簡稱“RCD”，包括風險描述，如有沒有將租賃費用記入正確的會計期間;控制目標描述，如是否完整、及時地記錄了租賃費用;現(xiàn)有控制措施，如所屬單位資產管理科是否定期審查了租賃合同履行報告;控制方法，如人工控制;控制類型，如發(fā)現(xiàn)性控制;控制實施證據(jù)，如合同履行報告;控制不充分，如無法保證租賃費用及時入賬;控制存在的問題，如規(guī)章制度缺失或不完善。

差異分析不是最終目的，關鍵在于針對差異形成整改措施，完善規(guī)章制度，按照改進后的規(guī)章制度運行，實現(xiàn)落實關鍵控制、規(guī)避風險的目標，讓制度成為控制措施的保障。

(六)進行內控測試

測試是驗證內控體系優(yōu)化成果的重要手段，測試的范圍應包括內控體系框架內的所有要素，其中，控制環(huán)境主要關注管理理念和經營風格、組織結構、權利和責任的分配等九個方面內容;風險評估主要關注財務報表認定、確認重要流程、對重要業(yè)務流程進行風險評估等方面;控制活動主要關注控制現(xiàn)狀描述與分析、關鍵控制等方面;信息與溝通主要關注建設與完善信息系統(tǒng)總體及應用控制體系、建立信息溝通體系等方面;監(jiān)督主要關注獨立評估、缺陷報告等方面。

關鍵控制是內控體系優(yōu)化的核心部分，也是內控體系驗收檢查的重要內容之一。關鍵控制測試是以關鍵控制管理文件為標準，檢查重要流程及關鍵控制建立的規(guī)范性，并通過抽取樣本，對關鍵控制執(zhí)行的有效性進行測試。對關鍵控制測試主要采取詢問、觀察、檢查和再執(zhí)行方法。在實際操作中可以采取四個測試步驟:一是同相關業(yè)務人員進行訪談，了解業(yè)務人員是否理解所執(zhí)行控制的內容，對業(yè)務人員的勝任情況作出判斷。二是按照測試計劃表要求的樣本總體、樣本數(shù)量抽取樣本進行測試。三是計算樣本量和例外事項數(shù)量。四是測試結果匯總分析，主要分四步進行，即例外事項分析:將存在例外事項的關鍵控制點及其所在流程的相關信息進行匯總;一般缺陷分析:對確定為存在控制缺陷的關鍵控制點，根據(jù)調整影響水平、一般性水平及補充和補償性控制的影響，并結合定性因素，確定該控制缺陷為一般缺陷或重要缺陷;對于重要缺陷，要計算重要性水平，將調整影響水平與重要性水平進行對比，再綜合分析定性因素后，確定是否為實質性漏洞或是重要缺陷;匯總評估結果。上述工作完成后，對測試中發(fā)現(xiàn)的控制缺陷進行初步匯總，分析判斷企業(yè)整體內部控制水平。

總之，內部控制是一個“過程”，而且是一個動態(tài)的過程。優(yōu)化的內控體系應隨著企業(yè)經營形式與方式的轉化不斷完善、持續(xù)改進，實現(xiàn)管理水平的螺旋式上升。應堅持成本與效益配比、風險與效率兼顧、簡潔性與適用性、實質重于形式等基本原則，堅持加大宣傳力度，強化管理意識;堅持以人為本，優(yōu)化內控環(huán)境;強化內部監(jiān)督，發(fā)揮內審作用，充分利用現(xiàn)有人力資本，廣泛開展內控管理調研，不斷強化業(yè)務流程管理，狠抓風險控制的落實，強化審計部門的有效監(jiān)督，進一步優(yōu)化內控制度。

［1］鄭洪濤.企業(yè)內部控制暨全面風險管理設計操作指南［M］.北京:中國財經出版社，2007.

［2］胡向麗，鐘 亮.《薩班斯法案》對我國企業(yè)內部控制建設的啟示［J］.財政監(jiān)督，2007，(2).

［3］翟 浩，李小燕，蘇天浚.薩班斯法案背景下公司內控制度理論發(fā)展和治理結構變遷［J］.財會月刊，2007，(9).

［4］程靜萍.企業(yè)應如何按照《企業(yè)內部控制配套指引》要求做好內控［J］.中國總會計師，2010，(12).

［5］王文博.關于審計向檢查內控制度延伸的若干探討［J］.新會計，2011，(2).