企业内部控制关键漏洞、主要原则和基础要素，附152个常见财务内控问题对照表

前言：内部控制的权威人士曾经说过“公司的败绩都是由内部控制失败引起的”，这一点从众多的企业失败案例都得到了验证。从我国的现实情况来看，企业内部控制普遍比较薄弱，有关挪用、侵占或诈骗企业财产的新闻亦屡见不鲜，企业资产和股东权利得不到应有保护，甚至给企业造成灾难性损失导致经营陷入困境。财税研究员先生结合众多内控失败案例和从事内控咨询工作朋友的经验，归纳了我国企业内部控制常见问题，希望给大家有所帮助……如需跟财税研究员进行交流，可扫码微信联系

一、十大关键漏洞

（一）出纳领取银行对账单、编制银行存款余额调节表

之所以把这个问题列在十大问题之首，是因为它非常普遍且后果严重，但遗憾的是，直到今天，仍有很多单位根本没有意识到这一问题，或虽然意识到了却不以为然，低估了其可能造成的严重后果。

不相容职务分离是内部控制的一个基本原理，通常需要分离的不相容职务包括授权与执行、执行与审核、执行与记录、保管与记录，所谓“管钱不管账，管账不管钱”就是不相容职务分离原理的一个典型运用。

货币资金是最容易出现舞弊的一项资产，如果由出纳来负责领取银行对账单、编制银行存款余额调节表，出纳就有可能挪用或侵占公司货币资金，并通过伪造对账单或在余额调节表上做手脚来掩盖自己的舞弊行为。

国家自然科学基金委会计卞中从1995年到2003年的八年期间里，利用掌管国家基础科学研究的专项资金下拨权，采用谎称支票作废、偷盖印鉴、削减拨款金额、伪造银行进账单和信汇凭证、编造银行对账单等手段贪污、挪用公款人民币两亿余元。

卞中担负着资金收付的出纳职能，同时所有的银行单据和银行对账单也都由他一手经办，使得他得以作案长达八年都没有引起过怀疑。

2003年春节刚过，基金委财务局经费管理处刚来的一名大学生上班伊始便到定点银行拿对账单，以往这一工作由会计卞中负责。

一笔金额为2090万的支出引起了这名大学生注意，在其印象里他没有听说此项开支。这个初入社会的大学生找到卞中刨根问底，这桩涉案金额超过2亿元的大案也因此浮出水面。

从笔者了解的情况看，80%以上的企业存在出纳领取银行对账单、编制余额调节表的现象，究其原因，主要从工作方便角度出发，由于出纳经常跑银行，办理各种收付款，于是便“顺理成章”地领取银行对账单、编制余额调节表。

殊不知这种习惯做法存在巨大风险隐患，其实要防范这种风险并不难，只要改由出纳以外的人来负责银行对账单领取和账面银行存款余额核实工作即可，关键是要从思想意识上重视起来。

（二）审批“一只笔”，缺乏完善内控制度和流程保障

领导“一只笔”，表明看起来似乎控制很严格，不容易出问题，但事实上这种“一只笔”控制反映了单位内部控制方式的落后。

首先，事无巨细都由领导来审批，囿于时间和精力，领导最后可能疲于应付，分不清主次，审批“一只笔”变成签字“一只笔”而已，控制流于形式。

其次，如果缺乏相关支撑信息，领导无法对收支合理性进行判断，“一只笔”就会失去控制作用，例如经办人员申请购买某种设备，而领导没有该设备经济可行性、价格合理性的相关数据，审批就会演变成一种过场。

第三，领导“一只笔”会造成高度集权，不利于对领导的制约和监督，可能导致fu败。因此，合理的内部控制应当按照重要性程度大小，适当分层授权，逐级审批。

（三）过于依赖业务人员，企业资源掌握在个人手中，企业对业务开展失去控制

企业业务资源完全掌握在业务员个人手中，对企业来说是一件非常危险的事情，现实中经常可以看到，不少企业的业务员一旦跳槽或离职，原有的客户和业务关系也被随之带走，形成企业对业务人员过于依赖的局面。

更有甚者，有的企业业务员明地里使用单位各项资源，暗地里为自己或亲友开拓业务、谋取私利，严重损害了企业利益。

针对这种现象，企业应通过完善制度设计，例如采取建立统一的客户档案和客户关系管理系统、同一笔业务有两人以上共同参与、适当进行工作轮换和加强财务对业务过程的控制等措施，将业务员手中的客户资源转化为企业资源，让客户认的是企业本身而不是认个人，这样企业的业务就不会依赖于某一两个人，从而保持持续稳定的发展。

2003年初，花旗银行台湾区总经理陈圣德率领二十多位主管集体跳槽，但在经历短暂的人事地震以后，花旗银行在短短两三个月内就基本恢复了业务正常开展，当年业绩并未受到大的影响，盈利反而创下历史新高，靠的就是花旗银行内部已经形成完整的制度和流程，用制度来保障业务开展，而不是依赖于某个业务人员或主管。

（四）内部控制制度文字描述性东西较多，清晰的流程图和配套表单较少

很多单位有这样一种现象，员工在某个岗位工作久了后变得驾轻就熟，经验老到，工作起来游刃有余，而一旦这个员工因有事调离或辞职，后面接替的人员则需要花很长时间来熟悉情况，重新摸索工作方法。

造成这种现象的原因是企业制度主要是文字性东西，缺乏清晰的岗位说明和工作流程图，执行的人往往凭自己的经验和别人“言传身教” 来做事，岗位新手在开始阶段工作不知从何入手，通常需要很长一段学习和熟悉过程。

因此，一套完整的企业制度应包括三部分：

（1）文字描述的支撑制度文件；

（2）工作流程图或流程的文字描述；

（3）相关凭证、表单、文件的样式汇总。

通过绘制清晰的工作流程图，可以让每个人都能一目了然地知道办事程序、涉及的部门、人员和规章制度，而且能够将工作形成的好经验固化下来，并且通过流程图能比较容易发现内部控制中的不足之处和风险点，从而有助于企业内部控制的持续改进。

（五）内部控制制度“救火式”的较多，制度体系缺乏系统性和完整性，甚至政出多门，相互打架

很多企业的内部控制制度都是在发展中逐步建立起来，经常是发现管理中出现了某种问题，于是相应地出台一个制度来规范。

例如今天发现电话费高了，就制定一个通讯费管理办法，明天发现办公用品浪费严重，就拟定出办公用品采购与使用办法。

这种“救火式”的制度往往只能防范已发生过的风险，而对未发生的风险则考虑不足。此外，这样的制度体系无论在内容上还是形式上，都缺乏系统性和完整性，没有科学合理的分类，甚至不同制度之间存在矛盾或重叠的现象。有的单位还有不同部门根据自身需要制定制度现象，政出多门，相互打架。

笔者曾经接触过一个单位，仅是购买电脑一项，既可以通过信息科购买，因为信息科负责整个单位的计算机软硬件系统；也可以通过行政办公室，因为电脑属于办公用品，而办公用品归办公室管理；还可以通过负责管理固定资产的设备科购买，因为电脑是一种固定资产。

为此，企业应有一套规范的制度制定程序和形式规范，包括制度的编号、格式、分类、内容、审批程序、执行及其他应注意事项进行统一的规范化管理，并以书面形式予以约束。

（六）员工临时休假或出差时，缺乏明确的工作交接制度

任何一个岗位，总会出现员工因急事、生病或出差等原因不能正常上班的情形，很多单位在制度设计时都没有考虑到员工暂时离岗时工作由谁接替的问题。

实际操作中，在遇到员工临时休假或出差时，便临时指派一位相关人员来兼任，但事实上，这种急时抱佛脚的做法，稍有不当，可能会给企业带来风险。

企业正常的工作安排中通常会将不相容职务由两个以上的人来担任，以便相互牵制，而临时指派某人兼任做法，可能会导致不相容职务由同一人担任。

例如支票印鉴平常一般都由两人分别保管，如果因其中一人临时有事而指派另一人暂时兼任，由一人掌握所有空白支票和印鉴的话，盗用支票的风险就会大大增加。

因此，企业有必要明确规定一些重要岗位的工作交接制度，防止员工临时休假或出差时留下内部控制“真空”的现象。

（七）人员招聘时注重笔试和面试的考察，忽视背景调查。如果雇佣了不诚实的人，那么即使是最良好的控制也无法防范舞弊

如果企业不仔细地筛选应聘者，并因此而雇佣了不诚实的员工，则很有可能遭受损害。很多企业在招聘过程中也非常强调应聘者的诚信，但较多注重于笔试或面试的考察。

“然而，谁能知道在一份漂亮的简历背后又隐藏着什么？”，背景调查则能有效发现应聘者有无虚构个人信息、是否存在不诚信记录、在以前雇主处工作情况，从而能帮助企业甄别应聘者，防止将不合格人员招进来。

而且背景调查本身并不需要复杂的技术，只需要向应聘者以前工作过单位打几个电话或发封函件就能够了解一些非常有用的信息，实施成本也比较低。

曾经被称为北京市医疗系统头号女贪、案发前为北京肿瘤医院住院部主任的石巧玲，四年时间贪污挪用1000多万元，检察官办案时发现她自己在不同表格上填写的出生日期就有三个版本，而在填写工作简历时她又玩上了花样：

在1979年 5月石巧玲亲自填写的《工作人员履历表》中，前页写“售货员”，后页则写在“工商局工作”；

1995年12月25日填写的肿瘤医院《干部任免呈报表》中，石巧玲的工作简历又变成了“1967——1978年，北京商业局会计”。

对石巧玲来讲，严肃的履历表成了可随意填写的“草纸”。其实，这些问题通过对应聘者简历的认真审核和相应背景调查是不难发现的。

（八）关键岗位无强制轮换或带薪休假制度

企业员工在某一岗位工作时间长了，会比较熟悉内部控制漏洞所在，实施舞弊的可能性更大。现实中，有不少挪用或贪污等舞弊现象都是在工作交接时被发现的。

2005年4月，仪征化纤公司在工作交接过程中发现营销部一会计挪用资金5000多万元，该会计19***毕业后被分配至仪征化纤从事财务工作，十六年来他的岗位和职务一直都没有变化，由于在这个岗位上的时间很长，规律摸得非常透，他知道什么时候将款项交给单位，也清楚什么时候要进行财务检查或审计，总能找到新的款项填补以前的漏洞，自1999年开始挪用资金，作案时间长达六年，期间一直未露蛛丝马迹，直到2005年因单位内部人事改革他被迫交接工作时才败露。

过去我们比较强调“螺丝钉”精神，殊不知，“螺丝钉”在一个地方时间拧长了也会容易生锈的。

通过强制轮换，或者带薪休假，在休假期间工作由别人暂时接替，由于员工离岗时的工作交接会受到他人监督，那么他实施并掩盖舞弊的机会将大大减少。

美国货币管理局要求全美的银行雇员每年休假一周，在雇员休假期间，安排其他接替人员做他的工作，就是为了防止员工长期在同一岗位工作可能产生舞弊。

对我国企业来说，对一些关键岗位，例如财务、采购中的部分岗位，通过建立强制轮换和带薪休假制度，既可以提升员工的工作能力，同时是防范和发现舞弊的一项有效措施。

(九)过分强调控制成本，经常将效率作为弱化或逾越内部控制的理由

实施内部控制无疑需要成本，并且在一定程度上会影响到运行效率。于是， 一些单位管理人员便常常以影响效率为由，反对内部控制措施的推行。

事实上，如果将各项职能都较给某一个部门或某一个人去执行，没有必要的授权批准和审核，在效率上可能会很高，但由此产生的风险也急剧上升。

因此，为了防止一些重大风险给企业带来灾难性损失，牺牲一定程度的效率是控制风险所必须付出的成本。

现实中经常碰到的情形是，在企业推行新的内部控制制度，往往会涉及到原有利益格局的打破和调整，这时一些管理人员便表明上以影响效率为由来反对内部控制新举措推行，实际是由于个人或部门利益受到影响。

因为内部控制制度不完善带来的损失可能是关系到企业存亡问题，而效率则是影响企业发展的快慢，作为企业的领导者，不能过分强调成本因素而忽视内部控制制度的建设，应当合理权衡内部控制的成本和效率的关系。

(十）制度不能得到有效落实

内部控制制度是否得到有效执行是个老生常谈的问题，却又不得不谈，很多出问题的案例往往都不是因为制度缺乏规定，而恰恰是制度有明文规定却未能遵照执行。

以中航油（新加坡）为例，尽管公司有完整的风险管理规章制度，是由国际“四大”之一的安永会计师事务所制定的，在风险管理委员会设置、风险控制流程等各方面制度都比较完备按照规定，公司的风险管理基本结构是从交易员，到风险管理委员会，到内审部，到首席执行官，再到董事会层层上报；每名交易员亏损20万美元时，要向风险管理委员会报告，亏损达37.5 万美元时向首席执行官汇报，亏损50万美元时，必须斩仓。

但遗憾的公司这些制度并未得到有效执行，公司内部风险管理内控系统形同虚设，最终给公司造成了超过5亿美元的灾难性损失。

内部控制制度不能有效执行原因主要有二：

一是制度本身制定得不合理，或过于理想化，或随着新情况出现，原有制度已不能适应却没有及时修改，从而使得制度不具可操作性，自然也就不会被执行；

二是缺乏保证制度执行的机制，一些单位对内部控制执行情况既没有检查监督，又没有相应的奖惩措施，内部控制制度成为墙上摆设和一纸空文也就不奇怪了。

为此，企业一方面需要提高制度可操作性，另一方面要加强制度执行力，不能为制度而制度。

     每个企业都会遇到内控问题，这个问题永远都不会过时，你要自己对照一下，这个企业是否做到，是否存在重大和重要的缺陷。

二、五大内部控制原则　

    内部控制原则是企业建立与实施内部控制应当遵循的基本指针。企业建立与实施内部控制应当遵循5项原则，即全面性、重要性、制衡性、适应性和成本效益原则。　　

（一）全面性原则　　内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项实现全过程、全员性控制，不存在内部控制空白点。　　

（二）重要性原则　　内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域，并采取更为严格的控制措施，确保不存在重大缺陷。重要性原则的应用需要一定的职业判断，企业应当根据所处行业环境和经营特点，从业务事项的性质和涉及金额两方面来考虑是否及如何实行重点控制。　　

（三）制衡性原则　　内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节；同时，还要求履行内部控制监督职责的机构或人员具有良好的独立性。　　

（四）适应性原则　　内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化加以调整。适应性原则要求企业建立与实施内部控制应当具有前瞻性，适时地对内部控制系统进行评估，发现可能存在的问题，并及时采取措施予以补救。　　

（五）成本效益原则　　内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。对成本效益原则的判断需要从企业整体利益出发，尽管某些控制会影响工作效率，但可能会避免整个企业面临更大损失，此时仍应实施相应控制。

三、五大基础要素

　  借鉴COSO（Committee of Sponsoring Organizations of the Treadway Commission,全美反欺诈财务报告委员会下属的发起人委员会，该委员会于1992年颁布了《內部控制—整体框架》，提出了五要素的观点。COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架，同时《萨班斯法案》第404 条款的「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。）报告框架，我国《企业内部控制基本规范》将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督5大方面。

（一）内部环境包括1.治理结构　　　

公司治理结构指的是内部治理结构，又称法人治理结构，是根据权力机构、决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则实现对公司的治理。　　

治理结构是由股东大会、董事会、监事会和管理层组成的，决定公司内部决策过程和利益相关者参与公司治理的办法，主要作用在于协调公司内部不同产权主体之间的经济利益矛盾，减少代理成本。　　2.机构设置与权责分配　　公司制企业中股东大会（权力机构）、董事会（决策机构）、监事会（监督机构）、总经理层（日常管理机构）这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但并不能满足内部控制对企业组织结构的要求，

内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。　　所采用的组织结构应当有利于提升管理效能，并保证信息通畅流动。　　

3.内部审计机制　　内部审计控制是内部控制的一种特殊形式。根据中国内部审计协会的解释，内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。　　

内部审计的范围主要包括财务会计、管理会计和内部控制检查。内部审计机制的设立包括内部审计机构设置、人员配备、工作开展及其独立性的保证等。　　

4.人力资源政策　　人力资源政策是影响企业内部环境的关键因素，它所包括的雇用、培训、评价、考核、晋升、奖惩等业务，向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息，这些业务都与公司员工密切相关，而员工正是公司中执行内部控制的主体。　　

一个良好的人力资源政策，能够有效地促进内部控制在企业中的顺利实施，并保证其实施的质量。　　

5.企业文化　　企业文化体现为人本管理理论的最高层次。企业文化重视人的因素，强调精神文化的力量，希望用一种无形的文化力量形成一种行为准则、价值观念和道德规范，凝聚企业员工的归属感、积极性和创造性，引导企业员工为企业和社会的发展而努力，并通过各种渠道对社会文化的大环境产生作用。     

（二）风险评估

　　风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。　　

1.目标设定　　

风险是指一个潜在事项的发生对目标实现产生的影响。风险与可能被影响的控制目标相关联。企业必须制定与生产、销售、财务等业务相关的目标，设立可辨认、分析和管理相关风险的机制，以了解企业所面临的来自内部和外部的各种不同风险。　　企业开展风险评估，应当准确识别与实现控制目标相关的内部风险与外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。　　

2.风险识别　　

风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节，主要回答的问题是：存在哪些风险，哪些风险应予以考虑，引起风险的主要因素是什么，这些风险所引起的后果及严重程度如何，风险识别的方法有哪些等。而其中企业在风险评估过程中，更应当关注引起风险的主要因素，应当准确识别与实现控制目标有关的内部风险和外部风险。　　

3.风险分析　　

风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断，并确定风险重要性水平的过程。企业应当在充分识别各种潜在风险因素的基础上，对固有风险，即不采取任何防范措施可能造成的损失程度进行分析，同时，重点分析剩余风险，即采取了相应应对措施之后仍可能造成的损失程度。企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。　　

4.风险应对　　

企业应当在分析相关风险的可能性和影响程度基础上，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。　　企业管理层在评估了相关风险的可能性和后果，以及成本效益之后要选择一系列策略使剩余风险处于期望的风险容限以内。

常用的风险应对策略有：　　

（1）风险规避。　　

风险规避，即改变或回避相关业务，不承担相应风险，是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。例如：由于雨雪天气，航空公司取消某次航班；企业拒绝与不守信用的厂商有业务来往；新产品在试制阶段发现问题而果断地停止研发。　　

（2）风险承受。　　

风险承受，即比较风险与收益后，愿意无条件承担全部风险，是企业在权衡成本效益之后，对风险承受度之内的风险，不准备采取控制措施降低风险或者减轻损失的策略。例如：企业设有一个小型仓库，平时就存放一些待处理的设备（市场价值很小），如果为了防止这些设备被盗偷而专门雇佣一个保管员，那么这时支付保管员的费用要远高于设备的价值，显然，不符合成本效益原则，因此，对于这种存在的失窃风险企业就应该采用风险承受策略。　　

（3）风险降低。　　

风险降低，即采取一切措施降低发生不利后果的可能性,是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略，包括两类措施：风险预防和风险抑制。　　

（4）风险分担。　　

风险分担，即通过购买保险、外包业务等方式来分担一部分风险,是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。常见的措施有业务分包、购买保险等。例如：大学里学生宿舍的管理外包给物业公司负责，这是由于大学本身不具有物业管理的能力，通过外包的方式转移了与物业相关的风险；公司给某些关键设备购买财产保险来转移风险。　　风险应对策略往往是结合运用的。同时企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。　　

（三）控制活动　　

控制活动是指企业根据风险应对策略，采用相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。常见的控制措施有：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与检查性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。　　

1.不相容职务分离控制　　所谓不相容职务，是指那些如果由一个人担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。　　

2.授权审批控制　　授权批准是指企业在办理各项经济业务时，必须经过规定程序的授权批准。授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。　　

3.会计系统控制　　会计作为一个信息系统，对内能够向管理层提供经营管理的诸多信息，对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等进行的控制。　　

4.财产保护控制　　财产保护控制是指为了确保企业财产物资安全、完整所采用的各种方法和措施。财产是企业资金、财物及民事权利义务的总和，按是否具有实物形态，分为有形财产（如资金、财物）和无形财产（如著作权、发明权），按民事权利义务，分为积极财产（如金钱、财物及各种权益）和消极财产（如债务）。财产是企业开展各项生产经营活动的物质基础，企业应采取有效措施，加强对企业财产物资的保护。　　

5.预算控制　　预算是企业未来一定时期内经营、资本、财务等各方面的收入、支出、现金流的总体计划。预算控制是内部控制中使用得较为广泛的一种控制措施。通过预算控制，使得企业的经营目标转化为各部门、各个岗位以至个人的具体行为目标，作为各责任企业的约束条件，能够从根本上保证企业经营目标的实现。　　

6.运营分析控制　　

运营活动分析，曾被称为经营活动分析，但实际上运营活动是比经营活动范畴更广，更能够全面涵盖企业活动的提法。运营分析是对企业内部各项业务、各类机构的运行情况进行独立分析或综合分析，进而掌握企业运营的效率和效果，为持续的优化调整奠定基础。　　企业运营活动分析的方法包括定性分析法和定量分析法。定性分析法可以有专家建议法、专家会议法、主观概率法和特尔菲法（通过函询的方式收集专家意见，对未来进行直观预测的一种定性方法）。定量分析法可以有对比分析法、趋势分析法、因素分析法和比率分析法。　　运营分析控制要求企业建立运营情况分析制度，综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方面，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。　　

7.绩效考评控制　　

绩效考评是对所属企业及个人占有、使用、管理与配置企业经济资源的效果进行的评价。绩效考评是一个过程，即首先明确企业要做什么（目标和计划），然后找到衡量工作做得好坏的标准进行监测（构建指标体系并进行监测），发现做得好的（绩效考核），进行奖励（激励机制），使其继续保持或者做得更好，能够完成更高的目标。更为重要的是，发现不好的地方，通过分析找到问题所在，进行改正，使得工作做得更好（绩效改进）。这个过程就是绩效考评过程。企业为了完成这个管理过程所构建起来的管理体系，就是绩效考评体系。 　　

（四）信息与沟通　　

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，是实施内部控制的重要条件。企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。信息与沟通的要件主要包括：信息质量、沟通制度、信息系统、反舞弊机制。　　

1.信息质量　　

信息是企业各类业务事项属性的标识，是确保企业经营管理活动顺利开展的基础。企业日常生产经营需要收集各种内部信息和外部信息，并对这些信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；还可以通过行业协会组织、社会中介机构、业务往来企业、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。　　

2.沟通制度　　

信息的价值必须通过传递和使用才能体现。企业应当建立信息沟通制度，将内部控制相关信息在企业内部各管理级次、责任企业、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息须及时传递给董事会、监事会和经理层。　　

3.信息系统　　

为提高控制效率，企业可以运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。企业利用信息技术对信息进行集成和共享的同时，还应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。　　

4.反舞弊机制　　

舞弊是指企业董事、监事、经理、其他高级管理人员、员工或第三方使用欺骗手段获取不当或非法利益的故意行为，它是需要企业重点加以控制的领域之一。企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。　　

反舞弊工作的重点包括：　　

（1）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益；　　

（2）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等；　　

（3）董事、监事、经理及其他高级管理人员滥用职权；　　

（4）相关机构或人员串通舞弊。　　为确保反舞弊工作落到实处，企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办理要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。　　信息与沟通的方式是灵活多样的，但无论哪种方式，都应当保证信息的真实性、及时性和有用性。　　

（五）内部监督　　内部监督是企业对内部控制建立与实施情况监督检查，评价内部控制的有效性，对于发现的内部控制缺陷及时加以改进，是实施内部控制的重要保证。从定义出发，内部监督主要有两个方面的意义：第一，发现内控缺陷，改善内部控制体系，促进企业内部控制的健全性、合理性；第二，提高企业内部控制施行的有效性。除此之外，内部监督也是外部监管的有力支撑。最后，内部监督机制可以减少代理成本，保障股东的利益。　　

1.企业应当制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。　　

2.内部监督包括日常监督和专项监督。　

（1）日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。日常监督的常见方式包括：在日常生产经营活动中获得能够判断内部控制设计与运行情况的信息；在与外部有关方面沟通过程中获得有关内部控制设计与运行情况的验证信息；在与员工沟通过程中获得内部控制是否有效执行的证据；通过账面记录与实物资产的检查比较对资产的安全性进行持续监督；通过内部审计活动对内部控制有效性进行持续监督。　　

（2） 专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或某些方面进行有针对性的监督检查。专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。　　

专项监督应当与日常监督有机结合，日常监督是专项监督的基础，专项监督是日常监督的补充，如果发现某专项监督需要经常性地进行，企业有必要将其纳入日常监督之中。　　

3.日常监督和专项监督情况应当形成书面报告，并在报告中揭示存在的内部控制缺陷。内部监督形成的报告应当有畅通的报告渠道，确保发现的重要问题能及时送达至治理层和经理层；同时，应当建立内部控制缺陷纠正、改进机制，充分发挥内部监督效力。　　

4.企业应当在日常监督和专项监督的基础上，定期对内部控制的有效性进行自我评价，出具自我评价报告。内部控制自我评价的方式、范围、程序和频率，除法律法规有特别规定的，一般由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。

152个常见财务内控问题及成因对照表

序号	不当之处	项目	原因
1	将实现企业经济效益最大化作为内部控制体系建设的唯一目标	目标	内部控制的目标包括合规，资产安全、报告、经营和战略目标。
2	某公司经理：将内部控制作为任期内第一目标	目标	合理保证企业经营管理合法合规、资产安全、财务报告及相关信息完整，提高经营效率和效果，促进企业实现发展战略。
3	内部控制目标定位于保证经营管理合法合规、资产安全的观点	目标	内部控制目标不仅包括合理保证经营合法合规、资产安全，还包括财务报告及相关信息真实完整目标、经营效率和效果目标、促进实现发展战略的目标。
4	内部控制可以杜绝财务欺诈、串通舞弊、违法违纪等现象发生	内控作用	内部控制由于其固有的局限性以及出于成本效益的考虑，只能合理保证有关目标的实现，不能完全杜绝上述现象的发生
5	财务部经理兼任内审部经理	管理层	内审部应对企业内控进行监督，应保持相对独立性，财务部兼，使内控执行与监督混为一体，失去独立性。
6	财务总监管辖内审机构，并对总经理负责	管理层	为提高审计机构的独立性，最好由董事会下设的审计委员会管理。
7	董事会下设审计委员会主任由总会计师兼任	管理层	审计委员会主席应当由独立董事担任，独立性。
8	集团董事长兼任子公司董事长	管理层	身兼数职，治理结构形同虚设，缺乏科学决策良性运行机制和执行力，会导致经营失败难以实现发展战略。
9	建议内控机构直接对集团总经理负责	管理层	内控机构，应对董事会或审计委员会负责
10	经理层对内部控制有效性负全责	管理层	董事会对建立键全和有效实施内部控制负责
11	内部审计部门负责人由公司首席执行官任命，并负责向管理层直接定期报告。	管理层	公司内部审计部门的主管应由公司审计委员会批准，同时，内部审计师或内部审计的管理者应直接且定期向董事会报告。
12	审计部经理兼任审计委员会主席	管理层	审计委员会主席应当由独立董事担任
13	审计部审定内部控制重大缺陷	管理层	董事会负责审定内部控制重大缺陷
14	总工程师任总会计师	管理层	从事会计工作必须有会计证，会计机构负责人应具备会计师以上专业技术资格
15	总会计师全权负责建立健全和有效实施集团内控	管理层	董事会负责内控的建立健全和有效实施
16	总经理建议设立战略委员会，由其任领导	管理层	董事会下设战略委员会。
17	董事长关于请总经理组织起草修改公司章程议案，报董事会审议通过后实施	审批	根据《公司法》有关规定，由股东大会[或：股东会；或：股东]修改公司章程
18	发展战略建议经董事会批准实施	审批	应有董事会审议发展战略委员会提交的战略建议方案，报股东大会批准实施
19	各类业务事项均应提交董事会或股东大会审核批准	审批	各类业务事项应按规定的权限和程序进行审核批准，对于重大业务事项才需要提交董事会审核批准。
20	建议简化投资审批程序，重大投资项目经投资部门论证并直接报董事长审批后即可实施	审批	重大投资项目，应当按照规定的权限和程序实行集体决策或联签制度。
21	信息系统建设和升级整体规划经本公司信息网络中心批准后实施	审批	该项工作应当按照规定权限和程序进行审核批准。
22	子公司的重大事项决策、重要项目安排、重要人事任免及大额资金支付等，均由公司董事会集体统一决策	审批	子公司是一级法人，具有独立的决策权
23	技术性强的岗位不用轮岗	控制活动	关键岗位轮岗是一项内控措施，可发现和揭露关键岗位的舞弊行为，轮岗前应培训员工使其水平能够胜任。
24	将全体员工实施内控情况作为绩效考评的参考指标	控制活动	将全体员工实施内控情况作为绩效考评的依据。
25	内部审计部门发现问题不能向审计委员会、董事会报告	控制活动	内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查，内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。
26	内审人员参与制定企业各项管理规章制度	控制活动	根据责任分工，内审人员的职责是监督内控的实施，对内控有效性进行评价。
27	所有不相容岗位或职务严格分离	控制活动	不符合成本效益原则、适应性原则
28	由审计委员会聘请会计师事务所进行审计	控制活动	公司聘用承办公司审计业务的会计师事务所，依照公司章程的规定，由股东大会或董事会决定。
29	子公司设立内部审计结构对总经理负责	控制活动	内控机构，应对董事会或审计委员会负责，不能由经营者直接负责，应保持独立性
30	子公司总经理、总会计师有集团统一任命，对集团董事会负责	控制活动	应由子公司董事会任命并对其负责，接受集团董事会监督。
31	对验收过程中发现的异常情况，负责验收的部门或人员应当立即查明原因，及时处理	采购	不正确，对验收过程中发现的异常情况，负责验收的部门或人员应当立即向有关部门报告；有关部门应当查明原因，及时处理。
32	由各子公司技术部全权办理固定资产采购业务	采购	违背了不相容职务相互分离的要求
33	负责人因得到某种好处就直接指定丙公司为供应商	采购与付款	企业应当建立科学的供应商准入制度,对于大宗采购应当采用招标方式。
34	会计部门根据附发票的付款凭证登记原材料及应付账款	采购与付款	会计部门应同时核对验收单、订购单，核查材料采购真实性。
35	突发较大金额采购，由总经理单独审批或采购经理预批准，总经理补批	采购与付款	对于例外情况下的突发采购业务，可以制度特殊采购处理程序，但不能有总经理一人审批，或在业务后总经理补批。易出现虚假采购或不恰当采购行为。
36	未对采购设备进行实地考察和技术测试	采购与付款	设备是否符合质量和规格要求,需要考察人员进行实地考察,并采用技术测试的方式对设备的运行情况进行了解。
37	有采购部某人员进行询价并确定供应商	采购与付款	不相容职务，应分离。
38	资产验收控制存在缺陷,未组织独立的验收部门或指定专人对所购设备进行验收	采购与付款	企业应当建立严格的采购验收制度,确定检验方式,由专门的验收机构或验收人员对购买的物资进行验收,出具验收证明
39	出纳付款登记现金银行帐并编制银行存款余额调节表	出纳与付款	不相容职务，应分离。
40	出纳人员不得兼任财务登记等工作	出纳与付款	按照内部控制制度的要求，出纳人员只是不得兼任收入、支出、费用、债权债务账目的登记工作，但可以兼任现金日记账等账目登记工作。
41	出纳人员可以同时从事银行对账单的获取、银行存款余额调节表的编制等工作	出纳与付款	不正确，出纳人员一般不得同时从事银行对账单的获取、银行存款余额调节表的编制等工作。
42	会计兼出纳	出纳与付款	会计和出纳岗位属于不相容的岗位，B公司由张某一人兼任会计和出纳工作不符合内部控制有关“不相容职务相互分离控制”的要求。
43	仓库保管员负责保管存货，并有处理破损商品的权限	存货控制	保管和处置存货是不相容岗位，分离
44	重要资产没有特别管理	存货控制	对关键部件应额外控制，确保保管调用转移经过批准；同环节两人或以上经办
45	担保企业应当建立担保事项明细账，详细记录担保对象、金额、期限、用于抵押和质押的物品、权利和其他有关事项	担保	不正确，担保事项台账。
46	甲公司未对乙公司的资产质量、财务状况、经营情况等进行必要的评估,	担保	甲公司未对乙公司的资产质量、财务状况、经营情况等进行必要的评估,对不符合国家法律法规和本企业担保政策的,不应当提供担保。
47	亲属关系,为乙公司提供担保	担保	企业应当制定担保政策,明确担保的对象、范围、方式、条件、程序、担保限额和禁止担保的事项,甲公司董事长与乙公司总经理是亲属关系,不应为乙公司提供担保
48	由B一人办理担保业务的全过程	担保	不符合不相容岗位互相分离的要求
49	由不熟悉担保业务的李某负责办理担保业务，	担保	不符合控制环境中有关员工胜任能力的要求。
50	财会部在明知没有签订投资合同的情况下仍支付对外投资资金	对外投资	资产投出环节的控制存在缺陷，财会部在明知没有签订投资合同的情况下仍支付对外投资资金，把关不严。
51	采购部全权负责投资项目	对外投资	对外投资不相容岗位包括：项目可行与评估；决策与执行；处置审批与执行；绩效评估与执行。员工全权负责未分离决策与执行
52	投资处置审批由股东大会决定，具体执行由董事会执行	对外投资	授权不当，股东大会、董事会为决策机构不应过多介入业务执行，容易缺乏监督
53	投资决策与执行有董事会完成	对外投资	职责分工与授权批准控制不清楚，投资决策和执行不相容。
54	投资项目可行性研究与评估由总经理及财务总监完成	对外投资	职责分工与授权批准控制不清楚，可行性研究和评估不相容。
55	投资业务审批人的授权有公司股东大会做出	对外投资	对于内控人员授权，属于公司内控的日常运行，应有管理层负责，并不属于股东大会职责范围。建立健全和完善内控是董事会的责任；管理层负责领导企业内控的日常运行；股东大会享有的是依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权
56	为实现内部控制牵制目的，增加投资部门人员	对外投资	应考虑成本效益，不能一味的追求内部牵制，而无限制的提高内控成本
57	未对重大项目做充分可行性研究就轻易决策	对外投资	应加强对外投资可行性研究、投资与决策的控制，做出明确规定，确保对外投资合法、科学、合理。
58	发展战略的实施要注重内外结合，加大社会舆论宣传	发展战略	发展战略的实现靠本企业全体员工，企业应重视发展战略的宣传工作，通过内部各层级会议和教育培训等有效方式，将发展战略及其分解落实情况传递到内部各管理层级和全体员工。
59	建议重点转向与业务无关的房地产	发展战略	发展战略过于激进，贸然进入非主营业业务风险较大的房地产可能导致过度扩张经营失败。
60	对于风险事项应采取一切措施予以回避	风险	风险策略的选择包括风险规避/承受/降低/分担，根据风险评估结果、风险承受和成本效益选择。
61	经营风险控制中，对客户一律现款交易不得赊销	风险	企业应当对销售中的风险进行评估，针对不同客户坏账风险的大小，分别采用不同的销售策略，而不能一律回避赊销。
62	外部风险不是内部控制问题	风险	内部控制所称风险识别不仅包括内部风险，还包括外部风险。
63	在财务风险控制上，原则上不进行外部融资	风险	外部筹资是企业资金的一个重要来源，应根据外部筹资的风险分析结果，结合风险承受度，权衡风险与收益，确定风险应对策略，采用外部融资与自有资金相结合，充分利用财务杠杆，保证企业资金需要。
64	主要采取风险规避策略应对风险	风险	企业应当综合运用风险规避、风险降低、风险分担、风险承受等应对策略。
65	出售-售后服务	风险分担
66	工程检测、验收	风险分担	是风险分担中的业务分包方法。
67	公司计划采用购买保险来回避风险	风险分担	购买保险为分担风险，不是回避风险
68	公司计划采用联营和增发新股来回避风险	风险分担	风险策略的选择包括风险规避/承受/降低/分担，联营增发为分担风险，不是回避风险
69	签合同转移、承担损失	风险分担	属于风险分担中转移责任条款应对策略
70	坚决不为任何往来单位提供担保，降低风险	风险规避	风险策略的选择包括风险规避/承受/降低/分担，不提供合作为规避风险，不是降低风险。
71	坚决不与有技术差的单位合作，降低风险	风险规避	风险策略的选择包括风险规避/承受/降低/分担，不提供任何担保为规避风险，不是降低风险。
72	对设备检修	风险降低	是风险降低中的风险预防方法。
73	公司计划采用多种经营来回避风险	风险降低	多种经营为降低风险，不是回避风险
74	原则上不开发新产品，只采用引进	风险-开发	新产品开发是企业持续发展的保证，是企业核心竞争力之所在。企业应当根据本企业的风险控制目标和资金实力，将自行开发与引进相结合，不断提高企业产品竞争能力。
75	不惜一切代价消除评估的风险	风险评估	要考虑成本效益原则，以适当成本实现有效控制，风险不可能消除，但可以降低。
76	单纯采用定性分析方法进行风险评估	风险评估	开展风险分析，应采用定性与定量相结合的分析方法。
77	对外部风险忽略不计、重点识别和分析内部风险	风险评估	企业在开展风险评估时，应准确识别与实现控制目标相关的内部风险和外部风险
78	对外捐助属于履行社会责任，不需要评估风险。	风险评估	公司应当对赞助和捐赠事项履行风险评估程序。
79	风险评估内容	风险评估	目标设定、风险识别、风险分析、风险应对
80	风险评估是建立和实施内部控制的基础	风险评估	内部环境是建立和实施内部控制的基础
81	梳理流程、完善制度主要围绕风险评估和控制活动展开	风险五要素	仅围绕风险评估和控制活动展开不符合全面性原则的要求。
82	内部控制的制定，可以回避和避免一切风险存在	风险-作用	有效内部控制的制定和执行可以有效的控制风险，但是并不能够回避和避免一切风险
83	确保公司经营管理过程不存在任何风险	风险-作用	内部控制的任务是将风险控制在可承受度范围内，提供的是合理保证而非绝对保证。
84	工程变更追加预算由张某一人签字批准	工程	工程变更追加预算应经过董事会等决策机构的批准，不能仅由张某一人签字批准
85	工会主席私自决定施工单位	工程	工会主席私自决定施工单位，表明该公司授权批准程序存在缺陷。
86	公司董事会授权工会主席张某全权负责工程项目实施和工程价款支付的审批	工程	公司董事会授权工会主席张某全权负责工程项目实施和工程价款支付的审批，属于授权批准不当。
87	竣工验收仅由工会人员进行竣工验收	工程	竣工验收控制不严，不应仅由工会人员进行竣工验收。
88	由工会有关人员进行可行性研究	工程	工程项目的可行性研究存在缺陷，不应仅由工会有关人员进行可行性研究
89	对于影响重大、涉及较高专业技术或法律关系复杂的合同，应当组织法律、技术、财会等专业人员参与谈判，必要时可聘请外部专家参与相关工作。	合同	正确
90	所有对外发生的经济行为均须签订书面合同	合同	不符合成本效益原则，零星或即时清结等交易行为可不签订合同。
91	没有百分之百把握不要签订合同	合同-风险	在生产经营中处处充满风险，对于风险，企业应进行目标设定、风险识别、分析、应对，无法承受的风险，实行风险回避，不签订合同；对可以承受但风险较大的事项，应采取风险降低、风险分担等方法，将风险降低到可承受范围内，而不是百分之百有把握才签订合同。
92	将员工实施内部控制的情况仅作为绩效考评的参考指标	绩效考核	企业应将员工实施内部控制的情况纳入绩效考评体系，作为绩效考评的考核指标
93	把开展专项监督摆在首要位置	监督	内部监督包括日常监督和专项监督，二者应统筹兼顾、综合应用。
94	内部监督本身不作为评价对象	监督	内部监督是内控五要素之一，应该作为评价对象，从是否建立内部监督制度等内容上进行评价。
95	缺乏监督检查制度	监督	建立健全内部监督检查机制，发现问题应报告相关部门并由该部门处理。
96	审计委员会和内部审计机构全权负责内部控制监督检查	监督	董事会负责内部控制的建立和有效实施；除内部审计机构之外，经理层及公司其他内部机构在内部监督中也须承担相应的职责。
97	由财会部对本公司及下属分、子公司的会计资料进行审计	监督	内部审计应当有相对独立性，A公司决定由财会部对本公司及下属分、子公司的会计资料进行审计有违这一原则。
98	主要将与财务会计工作密切相关的业务环节和控制流程纳入监督范围	监督	内部监督应当将企业所有重要业务事项和高风险领域纳入监督范围。
99	建立反舞弊机制，及时传达中层以上人员	监督-举报	举报投诉制度和举报人保护制度应传达至公司全体员工。
100	企业应当建立逾期应收账款催收制度，会计部门应当负责应收账款的催收	监督-资金	不正确， 销售部门应当负责应收账款的催收。
101	授权财务部负责内部控制体系建立与实施的全部工作	建设培训	内部控制建设是一项系统工程，需要企业董事会、监事会、经理层及内部各职能部门共同参与（或：需要企业全体员工共同参与）并承担相应职责，而非仅仅一个财务部就能完成此项工作。
102	中层以上干部必须完成内控培训，基层员工没必要	建设培训	内部控制是全员参与的过程，只有全体员工都掌握内控知识和理念才能真正促进内部控制有效实施，只有**介入是不可能的。
103	董事会同意不将与该系统有关的内部控制纳入2011年度内部控制有效性评价的范围	评价	：内部控制评价应当体现全面性原则
104	对于重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据规范要求自行确定。（对	评价
105	对于重大缺陷及其整改情况，只进行内部通报，不对外披露	评价	对重大缺陷及其整改情况，必须对外披露。
106	会计师事务所的内部控制审计重点审计该公司内部控制评价的范围、内容、程序和方法等。	评价	内部控制审计不是对内部控制评价进行审计，而视对特定基准日内部控制设计与运行的有效性进行审计。
107	会计师事务所在审计过程中发现的非财务报告内部控制重大缺陷，不在审计报告中披露	评价	会计师事务所在审计过程中发现的非财务报告内部控制重大缺陷，应当在审计报告中增加描述段，对重大缺陷的性质及其对实现控制目标的影响程度进行披露
108	会计师事务所在审计过程中发现的非财务报告内部控制重大缺陷，应当在审计报告中增加描述段，对重大缺陷的性质及其对实现控制目标的影响程度进行披露	评价	注册会计师知悉对企业会计师事务所在审计过程中发现的非财务报告内部控制重大缺陷，应当在审计报告中增加描述段，对重大缺陷的性质及其对实现控制目标的影响程度进行披露内部控制评价基准日财务报告内部控制有效性有重大负面影响的期后事项的，应对财务报告内部控制发表否定意见（0.5分）。注册会计师不能确定期后事项对内部控制有效性的影响程度的，应当出具无法表示意见的审计报告（1分）。
109	检查工作仅限于内部控制制度的运行情况	评价	内部控制自我评价应当综合评价内部控制的设计与运行情况。
110	经理层应出具内部控制自我评价报告	评价	董事会应当定期对内部控制的有效性进行全面评价、形成评价结论、出具内部控制评价报告，而非由经理层出具内部控制评价报告
111	内部控制评价方案应报总经理办公室批准后实施	评价	内部控制评价方案应报董事会批准后方可实施。
112	审计部审定内部控制重大缺陷	评价	董事会负责审定内部控制重大缺陷
113	为了减轻评价工作对正常经营活动的影响，在本次内部控制评价中，仅采用调查问卷法和专题讨论法实施测试和评价	评价	评价过程中应按照有利于收集内部控制设计、运行是否有效的证据的原则、充分考虑所收集证据的适当性与充分性，综合运用评价方法。
114	现场评价报告无须和被评价单位沟通	评价	现场评价报告应向被评价单位通报（或：与被评价单位沟通）
115	现场评价报告只需评价工作组负责人审核、签字确认后报审计部。	评价	现场评价报告经评价工作组负责人审核、签字确认后，应由被评价单位相关责任人签字确认后，再提交审计部（或：内部控制评价部门）
116	在实施业务层面评价时，主要评价上海证券交易所重点关注的对外担保，关联交易和信息披露等业务。	评价	业务层面的评价应当涵盖公司各种业务和事项（或：体现全面性原则）。而不能仅限于证券交易所关注的少数重点业务事项来展开评价。
117	组织架构相关内容不纳入公司层面评价范围	评价	组织架构是内部环境的重要组成部分，直接影响内部控制的建立键全和有效实施、应当纳入公司层面评价范围。
118	出纳人员为财务主管的女儿	亲属	会计机构负责人的直系亲属不得担任本单位出纳人员。
119	董事会委托A会计师事务所对内部控制评价报告进行修改完善，并支付咨询费用	事务所	为企业提供内部控制审计的会计师事务所，不得同时为同一家企业提供内部控制评价服务。
120	会计师事务所应当对发表的内部控制审计意见负责，但签字的从业人员不对发表的内部控制审计意见负责。	事务所	不正确，会计师事务所及其签字的从业人员均应当对发表的内部控制审计意见负责
121	将内部控制咨询和审计工作一并委托会计师事务所完成	事务所	为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制咨询服务。
122	审计的重点是审计该公司内部控制评价的范围、内容、程序和方法等。	事务所	内部控制审计不是对内部控制评价进行审计，而是对特定基准日内部控制设计与运行的有效性进行审计。
123	同时聘请B会计师事务所从事内部控制咨询和内部控制审计。	事务所	为企业提供内部控制咨询服务的会计师事务所，不得同时为同一企业提供内部控制审计。
124	同时聘请会计师事务所开展内部控制审计	事务所	内部控制咨询服务与内部控制审计不相容
125	为企业内部控制提供审计的会计师事务所，不得同时为同一企业提供内部控制审计服务	事务所	不正确，为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。
126	相关人员工作的利用可以减轻注册会计师对审计意见的责任	事务所	注册会计师对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。
127	上市公司的内部控制评价报告不向社会披露	事务所-评价	上市公司为接受社会监督，为投资者和社会公众决策提供依据，其内部控制评价报告必须向社会披露。基准日后4个月内报出。
128	投资绩效评估和执行委托提供报表审计事务所完成	事务所-投资	不能为同一家，影响独立性
129	董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥[size=+0]全面负责[size=+0]的作用	文化	不正确，董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用
130	企业文化方面不必投入太多的人力物力	文化	企业文化是内控环境因素的重要组成部分，良好的企业文化可以促进内控机制的有效运作
131	企业文化是无形的，难以量化，且已制定并计划宣传贯彻《员工行为守则》，说明文化有效。	文化	企业文化贯彻落实的有效性应当获取充分的证据支持。
132	树立企业利益最大化的价值观	文化	企业文化应树立积极向上的价值观，以使全体员工对企业核心价值观的认同
133	一般员工不参加脱产培训	文化	提高专业技能、保持良好的职业道德是全体员工的事，每个员工都有权利有必要参加各种形式的学习培训，包括脱产
134	以专业胜任能力作为选人用人的标准	文化	应将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准
135	授予分公司销售定价的制定权和对外投资的制定权	销售-监督	公司属于非独立法人，A公司授予其销售定价权和对外投资权，属于授权不当，不符合“授权批准控制”的有关要求。
136	由销售部负责办理销售业务的全过程	销售-监督	办理销售、发货、收款三项业务的部门应分别设立，A公司决定由销售部负责办理销售业务的全过程，违背了“不相容职务相互分离控制”的要求
137	销售人员可以直接收取货款，公司审计部门应当定期或不定期进行核查。	销售-特定销售	虽然特定商品的销售和收款未完全分离，但公司采取了必要的补偿性控制措施，符合适应性原则和成本效益原则的要求。
138	认为运用信息技术、实现自动控制就能杜绝错误和舞弊	信息	内部控制只能为实现控制目标提供合理保证，信息系统本身也存在风险，需要加强控制。
139	信息系统建设和升级整体规划经本公司信息网络中心批准后实施	信息	该项工作应当按照规定权限和程序进行审核批准
140	信息交流是信息系统的一部分，是组织中的沟通。沟通是组织结构的核心，是组织存在的基础，没有沟通就没有组织。因此信息的沟通是组织稳定的基础，对一个组织的发展具有重要作用。	信息系统	不正确，沟通是信息系统的一部分，是组织中的信息交流。信息交流是组织结构的核心，是组织存在的基础，没有信息交流就没有组织。因此信息的沟通是组织稳定的基础，对一个组织的发展具有重要作用。
141	信息系统是最有效的信息传递系统，传递速度快。	信息系统	正确
142	所有风险信息均经由总经理向董事会报告	信息与沟通	重大信息应及时传递给董事会、监事会和管理层。
143	对外包承包商选择是外包决策顺利实施的重要保证,该环节的缺失是众多外包案例失败的重要原因	业务外包	不正确，对外包活动进行监督和控制是外包决策顺利实施的重要保证,该环节的缺失是众多外包案例失败的重要原因
144	为降低成本，提高竞争力，企业应当将核心业务实施外包	业务外包	不正确，综合考虑成本效益原则，避免将核心业务外包
145	法定代表人不在期间，由财务主管代为保管印章	印章	严禁一人保管支付款项所需的全部印章
146	由总会计师统一保管银行预留印鉴	印章	规定由总会计师统一保管银行预留印鉴等不符合货币资金控制有关“银行预留印鉴管理”的要求
147	对超预算的支出一律不予批准	预算控制	特殊情况下，根据业务工作需要，经履行审批手续后，可以调整工程项目预算
148	将各类业务事项均纳入预算控制的观点不恰当	预算控制	预算控制措施不适用于不能量化的业务事项
149	18 项应用指引没有涵盖的业务不纳入公司内部控制体系建设范畴	原则	不符合全面性和重要性原则
150	对公司经营面临的所有风险和所有业务单位、经济事项进行全面测试和评价	原则	不符合重要性原则、成本效益原则
151	建立健全内部控制可以消除、杜绝欺诈、舞弊等现象	原则	内部控制由于其特有的局限性和出于成本效益考虑，只能合理保证有关目标，不能消除舞弊，杜绝全部风险
152	内部控制制度不可更改	原则	据适应性原则，内控是一个不断发展变化完善的过程，应随着企业情况变化加以调整，使管理更加完善