一、《企业内部控制基本规范》第二条规定：

本规范适用于中华人民共和国境内的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。

二、内部控制的目标：

基本规范将内部控制定义为：“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”。基本规范内部控制的目标归纳为五个方面：

（一）合理保证企业经营管理合法合规。守法和诚信是单位健康发展的基石。逾越法律的短期发展终将付出沉重的代价。内部控制要求单位必须将发展置于国家法律法规允许的基本框架之下，在守法的基础上实现自身的发展。

（二）合理保证资产安全。资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题，是单位可持续发展的物质基础，良好的内部控制，应当为资产安全提供扎实的制度保障。

（三）合理保证企业财务报告及相关信息真实完整。可靠的信息报告能够为单位管理层提供适合其既定目的的准确而完整的信息、支持管理层的决策和对营运活动及业绩的监督。同时，保证对外披露的信息报告的真实、完整，有利于提升单位的诚信度和公信力，维护单位良好的声誉和形象。

（四）提高经营效率和效果。要求单位结合自身所处的特定的经营、行业和经济环境、通过健全的内部控制，不断提高营运活动的盈利能力和管理效率。

（五）促进企业实现发展战略，这是内部控制的终极目标，它要求单位将近期利益与长远利益结合起来，在单位经营管理中，努力做出符合战略要求，有利于提升可持续发展能力和创造长久价值的策略选择。

三、内部控制的原则和实施体系。

建立和实施内部控制应当遵循5项原则，即全面性、重要性、制衡性、适应性和成本效益原则。

内部控制的实施体系：

（1）以法制为推动。强调要研究制定内部控制的规范体系。国务院有关部门也可以根据法律法规、本规范及其配套办法制定有关政策性文件，明确贯彻实施本规范的具体要求。

（2）以企业实施为主体。企业应当根据有关法律法规、本规范及其配套办法，制定本企业的内部控制制度并组织实施。

（3）以政府兼管和社会评价为保障。为推动企业有效实施内部规范，政府有关部门应对企业建立与实施内部控制的情况进行监督检查，会计是由事务所应对企业内部控制的有效性进行审计，并出具审计报告。

四、内部控制的要素：

基本规范将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督五大方面。

（一）内部环境

内部环境规定单位的纪律与架构，影响经营管理目标的制定，塑造单位文化并影响员工的控制意识，是实施内部控制的基础。它通常包括下列方面：

1、单位的治理结构，比如董事会，监事会，管理层的分工制衡及其在内部控制中的职责权限，审计委员会职能的发挥等。

2、单位的内部机构设置及权责分配，尽管没有统一模式，但所采用的组织结构应当有利于提升管理效能，并保证信息通畅流动。

3、内部审计机构，包括内部审计机构设置、人员配备、工作开展及其独立性的保证等。

4、单位的人力资源政策，比如关键岗位员工的强制休假制度和定期岗位轮换制度，对掌握国家秘密或重要商业秘密的员工离岗的限制性的规定等。

5、单位文化，包括单位整体的风险意识和风险管理理念、董事会、经理层的诚信和道德价值观，单位全体员工的法制观念等。一般而言，董事会及单位负责人在塑造良好的内部环境中发挥关键作用。

（二）风险评估

风险是指一个潜在事项的发生对目标实现产生的影响。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。风险与可能被影响的控制目标相关联。单位必须制定与生产、销售、财务等业务相关的目标，设立可辨认、分析和管理相关风险的机制，以了解单位所面临的来自内部和外部的各种不同风险。这些风险通常表现为和各种潜在事项和因素，包括经济因素、自然环境因素、法律因素、社会因素、科学技术因素等各种外部因素以及人力资源、管理、自主创新、财务、安全环保等内部因素。在充分识别各种潜在风险因素后，要对固有风险，即不采取任何防范措施可能造成的损失程度进行评估。同时，重点评估剩余风险，即采取了相应应对措施之后仍可能造成损失的程度。确保数字来源的可靠性是评估风险的基础。因此，进行行业纵向和横向比较是风险评估中的常用方法。

常用的风险应对策略有：风险规避、风险降低、风险分担、风险承受等。

（三）控制活动。控制活动是企业根据风险评估结果，采取相应的控制措施，将风险控制在可承受度之内。控制措施包括7个方面。即不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。同时规定企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案，明确再作人员，规范处罚程序，确保突发事件得到及时妥善处理。

（四）信息与沟通

信息与沟通是企业及时、准确搜集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，是实施内部控制的重要条件。信息与沟通的主要环节有：确认、计量、记录有效的经济业务；在财务报告中恰当提示财务状况、经营成果和现金流量；保证管理层与内部、外部的顺畅沟通。包括与利益相关者、监管部门、注册会计师、供应商等的沟通。信息与沟通的方式是灵活多样的，但无论那种方式，都应当保证信息的真实性、及时性和有用性。

（五）内部监督

内部监督是企业对内部控制建立与实施情况监督检查、评价内部控制的有效性，发现内部控制缺陷，并及时加以改进，是实施内部控制的重要保证。内部监督包括日常监督和专项监督。监督情况应当形成书面报告，并在报告中揭示内部控制的重要缺陷。内部监督形成的报告应当有畅通的报告渠道，确保发现的重要问题能送达治理层；同时，应当建立内部控制缺陷纠正，改进机制，充分发挥内部监督效力。