工业核心菌种公司治理与内部控制方案【范文】

1、泓域/工业核心菌种公司治理与内部控制方案工业核心菌种公司治理与内部控制方案xx（集团）有限公司目录 TOC o 1-3 h z u HYPERLINK l _Toc111420175 一、 产业环境分析 PAGEREF _Toc111420175 h 4 HYPERLINK l _Toc111420176 二、 提升产业链现代化水平 PAGEREF _Toc111420176 h 4 HYPERLINK l _Toc111420177 三、 必要性分析 PAGEREF _Toc111420177 h 5 HYPERLINK l _Toc111420178 四、 发展与创新阶段 PAGEREF

2、_Toc111420178 h 6 HYPERLINK l _Toc111420179 五、 起步和探索阶段 PAGEREF _Toc111420179 h 8 HYPERLINK l _Toc111420180 六、 公司治理与内部控制的区别 PAGEREF _Toc111420180 h 10 HYPERLINK l _Toc111420181 七、 公司治理与内部控制的联系 PAGEREF _Toc111420181 h 11 HYPERLINK l _Toc111420182 八、 目标设定的含义 PAGEREF _Toc111420182 h 14 HYPERLINK l _Toc1

3、11420183 九、 内部控制目标的设定 PAGEREF _Toc111420183 h 18 HYPERLINK l _Toc111420184 十、 风险的概念及其分类 PAGEREF _Toc111420184 h 21 HYPERLINK l _Toc111420185 十一、 风险的分类和评估 PAGEREF _Toc111420185 h 23 HYPERLINK l _Toc111420186 十二、 SASNO.55：内部环境的形成 PAGEREF _Toc111420186 h 25 HYPERLINK l _Toc111420187 十三、 我国的借鉴与创新 PAGERE

4、F _Toc111420187 h 26 HYPERLINK l _Toc111420188 十四、 组织架构 PAGEREF _Toc111420188 h 28 HYPERLINK l _Toc111420189 十五、 企业文化 PAGEREF _Toc111420189 h 34 HYPERLINK l _Toc111420190 十六、 反舞弊机制 PAGEREF _Toc111420190 h 37 HYPERLINK l _Toc111420191 十七、 举报人保护制度 PAGEREF _Toc111420191 h 49 HYPERLINK l _Toc111420192 十

5、八、 信息的含义与分类 PAGEREF _Toc111420192 h 52 HYPERLINK l _Toc111420193 十九、 信息与沟通的作用 PAGEREF _Toc111420193 h 55 HYPERLINK l _Toc111420194 二十、 公司概况 PAGEREF _Toc111420194 h 56 HYPERLINK l _Toc111420195 公司合并资产负债表主要数据 PAGEREF _Toc111420195 h 57 HYPERLINK l _Toc111420196 公司合并利润表主要数据 PAGEREF _Toc111420196 h 57 H

6、YPERLINK l _Toc111420197 二十一、 发展规划 PAGEREF _Toc111420197 h 58 HYPERLINK l _Toc111420198 二十二、 法人治理结构 PAGEREF _Toc111420198 h 64 HYPERLINK l _Toc111420199 二十三、 项目风险分析 PAGEREF _Toc111420199 h 78 HYPERLINK l _Toc111420200 二十四、 项目风险对策 PAGEREF _Toc111420200 h 81产业环境分析实现“十三五”时期的发展目标，必须全面贯彻“创新、协调、绿色、开放、共享、转

7、型、率先、特色”的发展理念。机遇千载难逢，任务依然艰巨。只要全市上下精诚团结、拼搏实干、开拓创新、奋力进取，就一定能够把握住机遇乘势而上，就一定能够加快实现全面提档进位、率先绿色崛起。提升产业链现代化水平推进产业基础高级化。利用产业基础再造工程，围绕基础材料、零部件、软件、工艺、元器件和产业技术基础，加快补齐轻工产业短板。推进轻工业计量测试体系建设，加快计量测试技术、方法和装备的研制与应用，提升整体测量能力和水平。深入实施重点产品、工艺“一条龙”应用计划，促进成果创新示范应用。大力开发塑料制品、家用电器、食品等行业高端专用装备。加快产业链补链强链。编制家用电器、塑料制品、化妆品、乳制品等领域产

8、业链图谱，建立风险技术和产品清单，推动补链固链强链。建立监测预警机制，加强风险评估，提供信息服务。发挥工业互联网平台和标识解析体系作用，推动产业链上下游加强合作。支持乳制品、罐头、酿酒、粮油等行业建设优质原料基地。深入实施数字化转型。引导企业综合应用新一代数字技术，逐步实现研发、设计、制造、营销、服务全链条数字化、网络化、智能化。支持龙头企业构建智能制造平台，争创国家级工业互联网、两化融合项目。在家用电器、家具、皮革、造纸、塑料制品、缝制机械、五金制品、洗涤用品、食品等行业推广一批智能制造优秀场景，推动网络安全分类分级管理，培育一批网络安全示范标杆。培育数字“三品”示范城市。发展服务型制造新模

9、式。推进轻工业与现代服务业深度融合，加快培育发展服务型制造新业态新模式，促进轻工业提质增效。引导轻工行业完善服务型制造评价体系。鼓励企业建立客户体验中心、在线设计中心等机构，分析客户需求信息，增强用户参与设计能力。必要性分析1、现有产能已无法满足公司业务发展需求作为行业的领先企业，公司已建立良好的品牌形象和较高的市场知名度，产品销售形势良好，产销率超过 100%。预计未来几年公司的销售规模仍将保持快速增长。随着业务发展，公司现有厂房、设备资源已不能满足不断增长的市场需求。公司通过优化生产流程、强化管理等手段，不断挖掘产能潜力，但仍难以从根本上缓解产能不足问题。通过本次项目的建设，公司将有效克服

10、产能不足对公司发展的制约，为公司把握市场机遇奠定基础。2、公司产品结构升级的需要随着制造业智能化、自动化产业升级，公司产品的性能也需要不断优化升级。公司只有以技术创新和市场开发为驱动，不断研发新产品，提升产品精密化程度，将产品质量水平提升到同类产品的领先水准，提高生产的灵活性和适应性，契合关键零部件国产化的需求，才能在与国外企业的竞争中获得优势，保持公司在领域的国内领先地位。发展与创新阶段2006年至今为我国企业内部控制的发展与创新发展阶段。随着2002年SOX法案的颁布，各国相应出台了有关内部控制的相关政策，我国也不例外。2006年6月，国资委发布了中央企业全面风险管理指引。2006年7月1

11、5日，由财政部发起成立了全国内部控制标准委员会；2006年7月，为加强上市公司内部控制，促进上市公司规范运作和健康发展，保护投资者合法权益，上海证券交易所发布了上海证券交易所上市公司内部控制指引；2006年9月，深圳证券交易所发布了深圳证券交易所上市公司内部控制指引；2007年3月，财政部内部控制标准委员会发布了企业内部控制基本规范和17项企业内部控制基本规范具体规范的征求意见稿。2008年6月，财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范发布会暨首届内部控制高层论坛，会议发布了企业内部控制基本规范。同月，还发布了企业内部控制基本规范相关配套指引的征求意见稿。201

12、0年4月，五部委联合发布企业内部控制基本规范及配套指引，包括内部控制应用指引、内部控制评价指引、内部控制审计指引。根据企业内部控制基本规范相关规定，内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。内部控制的目标是合理保证经营的合法合规，资产安全，财务报告及相关信息的真实完整，提高经营的效率、效果，促进企业实现发展战略。内部控制的构成包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。这些都参照了国际上已颁布的关于内部控制的相关法律法规。同时企业内部控制基本规范还规定了建立和实施内部控制的基本原则，即全面性原则、重要性原则、制衡性原则、适应性原则、成本

13、效益原则。配套指引还规定自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行：在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，并出具审计报告。目前，我国内部控制的内容和结构呈现以下特点：内部控制内容范围广泛，不仅包括会计控制也涉及管理控制和风险管理，行业特色比较明显；内部控制结构不尽相同，主要呈现出三种类型，第一种是实务型，直接针对内

14、部控制的实务操纵进行规范，第二种是框架型结构，采用内部控制要素的形式构建内部控制的整体框架体系，类似于COSO的内部控制框架，第三种是框架与实务结合型，既描述内部控制的框架结构，又描述内部控制的实务操作，两者相结合；在构成要素结构上，基本上都与COSO内部控制框架的结构和要素相同，但具体内容上又存在一些差别。起步和探索阶段19491978年是中华人民共和国成立后经济发展的第一阶段，在此期间，企业会计规范建设由于种种原因没能取得理想的效果。这一时期的企业会计规范建设具有以下特点：企业会计规范都属于行政制度，未能形成一个完整的体系；企业会计规范经历了由分部门制定到按照国民经济分类统一制定，由所有企

15、业适用一套会计制度到不同规模、不同性质的企业执行不同会计制度的过程；企业会计规范的内容由单独的会计业务核算规范发展到会计业务核算和会计人员职责的规范。除了1963年1月国务院颁布的会计人员的职权试行条例对会计人员的职责、权限以及会计人员的任免和奖惩做出的具体规定和企业内部会计控制有点关系之外，更多的规定是关于会计核算制度的。1984年4月，财政部出台了会计人员工作规则对建立会计人员岗位责任制、使用会计科目、填制会计凭证、登记跨级账簿、编制会计报表、管理会计档案和办理会计交接进行了详细规定；1996年，财政部颁布了会计基础工作规范，主要在会计机构和会计人员、会计核算、会计监督、内部会计管理制度等

16、方面进行了明确的规定。全国人民代表大会常务委员会制定并于1985年1月21日通过了中华人民共和国会计法（简称会计法），自1985年5月1日起施行，会计法对会计核算、会计监督、会计机构和会计人员、法律责任等问题做了明确规定，从法律的高度规定了企业内部控制的基本内容；全国人民大表大会常务委员会1993年第一次修改并颁布了会计法，修改后的会计法明确了违法责任人、执法人以及内部会计控制的相关问题，区分了违法程度；2000年7月，全国人民代表大会常务委员会修正了会计法，修正后的会计法包括总则、会计核算、公司、企业会计核算制度的特别规定、会计监督、会计机构和会计人员、法律责任等主要内容。1997年1月，中

17、国注册会计师协会制定了独立审计具体准则第9号企业内部控制与审计风险，主要规范内部控制与审计风险等内容。公司治理与内部控制的区别1、两者的具体目标不同公司治理的目的是保证经济运行系统中的公平和效率，具体地说，就是在所有者（股东）、管理人和其他利益关系人之间建立起合乎公平和效率的经济机制。在这个机制之下，所有者必须提供企业生产经营所需要的基本资金，并享有对企业的最终控制权和剩余分配权；管理者必须尽责工作，不能利用职务之便侵害投资人的利益；企业在追求自身利益的同时不能损害其他利益关系人的权益。而内部控制的目的则是为了保证企业资产安全、会计信息真实完整和经营效率的提高。2、两者的控制主体不同公司治理的

18、主体是股东、董事会、经理层以及其他利益关系人（债权人、社区、政府），包括企业内、外部各有关方面；而内部控制的主体主要是董事会、经理层以及其他员工等，控制主体仅限于公司内部，而且控制重点主要集中于CEO及其之下的业务系统。3、两者所涉及的管理内容不同公司治理的管理内容主要涉及股东、董事会、监事会、总经理之间的委托代理合同关系、控制权的配置（股权结构安排）、剩余分配权的安排等；而内部控制的管理内容主要是环境控制、风险评估、控制活动、信息沟通、内部监督等。4、两者所使用的手段不同公司治理的手段主要有监督和激励两种；而内部控制的手段侧重于职务分离、授权审批、会计系统、财产保护、全面预算、运营分析、绩效

19、考评等控制措施。公司治理在管理思想上重视行为和动机的抑制与激励；而内部控制在管理思想上重视流程控制。5、两者所归属的法规体系不同公司治理的内容主要体现在公司法、证监会颁布的上市公司治理准则、交易所的上市公司治理规则以及企业章程之中；而内部控制则主要体现于会计法和五部委颁布的企业内部控制基本规范、内部控制配套指引以及企业内部控制制度之中。公司治理与内部控制的联系公司治理和内部控制两者之间存在着很多相同点和大部分的相互交叉与重叠区域，在企业的管理实践中，两者存在着一定的关联性。具体在以下几个方面。（一）具有同源性公司治理与内部控制都与现代公司两权分离所引发的代理问题密切相关。由于交易信息的不对称性

20、，以及契约的不完备性直接导致了“委托代理问题”的出现，因而公司治理与内部控制在一定程度上来说具有同源性。两权分离之后，如果所有决策相关信息在委托代理双方之间的分布是均衡的，那么不论经营者与所有者的目标函数一致与否，经营者都不敢做出违背所有者利益的行为。然而现实的情况是信息双方总是处于不对称地位，委托人对代理人的行为、决策并不十分清楚，代理人的行为选择往往会偏离委托人的目标，甚至会严重损害委托人利益。因此，客观上要求有一整套相应的制度安排来解决这种利益冲突，公司治理便应运而生。而内部控制作为一种系统的制约机制，其产生根源同样是所有者与经营者间、企业内部上下级间的信息不对称，当委托人授权代理人从事

21、某项活动时，为了保证代理人的行为能够符合委托人利益最大化的要求，客观上就要求有相应的措施和手段来加以控制。公司治理的核心是要有效地解决在契约不完备时企业剩余控制权和剩余索取权的分配问题，而内部控制在本质上也是为了在节约交易费用的同时增强企业契约的完备性，进而保证企业剩余控制权和剩余索取权能实现最大化。在契约不完备的情况下，对企业控制权优化配置的共同追求，本身也说明了公司治理与内部控制具有同源性。（二）具有共同载体公司治理机制与内部控制制度作为一系列制度安排，要想发挥其作用就必须依附于一定的组织载体。脱离企业这个组织，公司治理与内部控制就好比是“镜中花，水中月”，不论公司治理结构多么完善，也不管

22、内部控制多么健全，都只是凭空而论，不能发挥实际作用，更谈不上实现企业的目标。从另外一个角度看，公司治理的完善与企业内部控制的加强也必须依靠会计信息这个共同载体。真实、完整、及时的会计信息既是实施内部控制的必要前提，也是公司治理发挥作用的基本条件；而只有公司治理机制有效，内部控制健全，才能保证会计信息的真实、完整和及时，两者相辅相成。总之，企业组织和会计信息是公司治理与内部控制的两个共有载体。组织为公司治理与内部控制提供了依附的实体，而会计信息则为依附在组织身上的两种制度安排提供了沟通和交流的平台。两者缺一不可，共同为公司治理与内部控制的互动提供了先决条件。（三）存在着交叉区域首先，控制主体存在

23、交叉性。公司治理的主体是“股东董事会总经理”委托代理链上的各个节点。如吴敬琏教授把公司治理结构定义为由所有者、董事会和高级管理人员组成的一种组织结构。其中董事会是核心，而内部控制的主体是“董事会总经理职能经理执行岗位”委托代理链中的节点，核心在于总经理。因此，董事会和总经理既是公司治理结构的主体，也是内部控制的主体。其次，适用对象的交叉性。在三种基本企业形式中，独资企业和合伙企业只有管理和控制问题，没有治理问题，因为其所有权与控制权通常是合一的。但是对公司制企业来说，公司治理和内部控制问题都存在，需要同时解决治理问题和控制问题，并需要注意两者的有效对接。再次，总目标的一致性。两者的具体目标统一

24、于企业目标之下，即最终实现企业价值最大化。内部控制的目标是公司治理结构目标的进一步延伸和具体化；公司治理结构所追求的公平和效率目标，是建立在内部控制的目标即信息真实、资产安全和效益提高基础上的。否则，在一个虚假信息泛滥、资产被盗严重、管理效率低下的企业中，去实现公司治理的目标无异于痴人说梦。最后，两者在内容上存在关联性。在公司治理结构三种权力的实施过程中，除了监督权主要由股东、监事会行使而独立于企业的业务系统外，决策权和执行权都要落实到具体的部门、岗位和个人，并通过内部控制制度加以规范和管理。目标设定的含义我国内部控制基本规范第二十条规定，企业应当根据设定的控制目标，全面、系统、持续地收集相关

25、信息，结合实际情况，及时进行风险评估。目标设定是风险识别、风险分析和风险应对的前提。在管理当局识别和分析风险并采取行动来管理风险之前，首先必须有目标，确定与目标相关的风险，目标设定是风险评估的前提。目标设定分为三个层次，首先在企业既定的使命或愿景指导下，管理层制定企业的战略目标；其次根据战略目标制定业务层面的目标，并在企业内层层分解和落实；最后根据设定的目标合理确定企业整体风险承受能力和具体业务层次上可接受的风险水平。企业应当按照战略目标，设定相关的经营目标、财务报告目标、合规性目标与资产安全目标，并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。1、战略目标战略

26、目标反映了管理层就主体如何努力为其利益相关者创造价值所做出的选择，是高层次的目标，与其使命相关联并支撑其使命。企业在考虑实现战略目标的各种方案时，必须考虑与各种战略相伴的风险及其影响。战略目标方面的关注点主要包括：（1）对企业绩效现状进行的评估（2）对内部和外部环境的监测分析；（3）战略目标体系（4）战略选择遵循必要的流程，以及获得了充分的讨论；（5）对目标实现与现有资源状况之间的匹配程度进行的评估；（6）设定战略目标可接受程度；（7）就战略目标与企业内部员工和外部相关利益集团之间的沟通。2、经营目标经营目标与企业经营的效率与效果有关，包括业绩和盈利目标的实现，需要反映企业运营所处的特定经营、

27、行业和经济环境。经营目标来自公司的战略目标和战略计划，并与之紧密联系，是随着具体对象和不同时段制订的，这些目标应针对每个重要业务活动并与其他业务活动保持一致。经营目标方面的关注点主要包括以下几点：（1）经营目标与公司战略目标及战略计划一致；（2）经营目标适应公司所处的特定经营环境、行业和经济环境等；（3）各个业务活动目标之间保持一致；（4）所有重要业务流程与业务活动目标相关；（5）适当的资源及有效配置（6）管理层制定的公司经营目标及其对目标的负责程度。3、报告目标报告目标与财务报告及其相关信息的真实完整有关。可靠的报告能够为管理层提供适合其既定目标的准确而完整的信息，支持管理层的决策，并对主体

28、活动和业绩实施有效监控。报告目标方面的关注点主要包括以下几点：（1）管理层决策及对公司活动、业绩监控的准确、及时、完整的信息的对内报告；（2）满足投资者、监管部门及其他相关信息需求者真实、可靠、完整的信息的对外报告；（3）反映信息的全面性，包括财务信息与非财务信息。4、资产安全目标资产安全目标是内部控制的基本目标，包括：防止企业无效率经营，损失资产；防止员工舞弊；防止公司资产被盗等。资产的安全与完整对于我国企业尤其是国有企业具有非常重要的现实意义，近年来国有资产流失的案件屡有发生，内部控制应该把资产安全作为一个重要的目标来加以实现。资产安全目标方面的关注点主要包括以下几点：（1）关注企业日常经

29、营活动的效率；（2）提高企业的生产力和竞争力；（3）防止资产缩水；（4）关注资产使用及处置的授权情况。5、合规目标合规目标与企业各项活动的合法性有关。企业进行内部控制建设必须符合相关的法律和法规。企业需要根据相关的法律法规制定最低的行为标准并作为企业的遵循目标，企业的合规记录可能对它在社会上的声誉产生极大的正面或负面影响。合规目标方面的关注点主要包括：公司的各项活动符合法律法规的要求，通常涉及知识产权、市场、价格、税收、环境、员工福利以及国际贸易等。内部控制目标的设定（一）制订战略目标企业的战略目标一般是稳定的，但与其相关的业务层面的目标具有动态性，会随着内部和外部的条件而调整。在企业风险管理

30、目标的设计过程中，首先要确定企业层面的目标，即战略目标。战略目标需要通过董事会及员工的相互沟通后确定，同时还要有支持其实现的资金预算及战略计划。战略目标的制订需要经过如下5个阶段。（1）明确企业发展目标。企业在长期规划中应明确自身的发展目标和发展方向，通过培训、发放宣传手册、领导讲话等方式将企业层面的目标清晰地传达给员工。（2）制订实现目标的战略规划。企业通过SWOT分析，在了解自身的优势、劣势、机会和威胁的基础上制订帮助企业实现目标的战略规划。（3）制订年度计划及资金预算。企业根据制订的中长期战略规划，编制年度经营计划。该年度经营计划应符合企业中长期战略规划的效益目标、投资方向和投资结构。（

31、4）企业编制年度预算。企业应按照上下结合、分级编制、逐级汇总的原则编制全面预算，将战略目标进一步分解、细化与落实。（5）企业编制企业预算管理办法，明确编制预算的基本原则、内容、编制依据等。（二）确定业务层面目标业务层面目标包括合规目标、资产目标、报告目标和经营目标它来自企业战略目标及战略规划，并制约或促进企业战略目标的实现。业务层面的目标应具体并具有可衡量性，并且与重要业务流程密切相关。业务层面目标的制订需要经过如下四个阶段。（1）设定业务层面目标。企业的总目标及战略目标规划为业务层面目标的设定指明了方向，业务层面根据自身的实际情况及总体目标的要求提出本单位的目标，通过上下不断沟通最终确定。（

32、2）根据企业的发展变化，定期更新业务活动的目标。（3）配置资源以保证业务层面目标的顺利实现。企业在确定各业务单位的目标之后，将人、财、物等资源合理分配下去，以保证各业务单位有实现其目标的资源。（4）分解业务目标并下达。企业确定业务层面的目标后，再将其分解至各具体的业务活动中，明确相应岗位的目标。（三）合理确定风险承受能力为了合理地确定风险承受能力，在目标设定阶段，企业必须解决以下3个基本问题。（1）风险偏好。风险偏好是指企业在实现其目标的过程中愿意接受的风险程度。可以采用定性和定量两种方法对风险偏好加以度量。风险偏好与企业的战略直接相关，在战略制定阶段，企业应进行风险管理，考虑将该战略的既定收

33、益与企业的风险偏好结合起来，目的是帮助企业的管理者在不同的战略之间选择与企业的风险偏好相一致的战略。（2）风险容忍度。风险容忍度是指在企业目标实现的过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可容忍限度。企业风险管理（2016）将风险容忍度确定为可接受的绩效变动区间，该定义更加明确和可度量，有助于组织在给定绩效目标下量化可以承受的风险边界。（3）风险组合观。风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施，以使企业所承受的风险在风险偏好的范围内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体

34、来看，总风险可以超过企业总体的风险偏好范围。因此，应以企业总体的风险组合的观点看待风险。风险的概念及其分类古人说：“宜未雨而绸缪，毋临渴而掘井。”企业在生产经营的过程中，面临着诸多的风险，如果我们没有妥善地处理，风险事故一旦发生，轻则影响生产经营稳定和企业经济效益，重则危及企业的生存。因此风险评估的目的是为了给企业造就一个安全稳定的生产经营环境，这有助于增加领导层经营管理决策的正确性，进而提高企业的经济效益。（一）风险的概念企业在经营活动中，会遇到各种不确定性事件，这些事件发生的概率及其影响程度是无法事先预知的，进而影响企业目标的实现。所谓风险，就是在一定环境下和一定限期内客观存在的、影响企业

35、目标实现的各种不确定性事件。或者说，风险就是指在一个特定的时间内和一定的环境条件下，人们所期望的目标与实际结果之间的差异程度。因此，风险是一个事项将会发生并给目标实现带来负面影响的可能性。风险具有客观性、普遍性、潜在性、必然性、可识别性、可控性、损失性和不确定性等特点，风险与机会同在。COSO企业风险管理新框架（2016）指出风险是指事项发生并影响战略和业务目标之实现的可能性。该定义兼顾了正面和负面的影响，这和国际风险管理标准ISO31000及中国风险管理标准GBT24353是一致的。为了与我国内部控制规范一致，本书采用COSO04的定义。（二）风险的构成要素风险一般包括以下三项构成要素。1、

36、风险因素风险因素是指促使某一特定风险事故发生或增加其发生的可能性或扩大其损失程度的原因或条件。它是风险事故发生的潜在原因，是造成损失的内在或间接原因。例如，对于建筑物而言，风险因素是指其所使用的建筑材料的质量、建筑结构的稳定性等；对于人而言，则是指健康状况和年龄等；对于企业而言，风险因素则包括企业人员因素、结构因素、外部环境因素等。2、风险事故风险事故也称风险事件，是指造成伤害或财产损失的偶发事件是造成损失的直接的或外在的原因，是损失的媒介物，即风险只有通过风险事故的发生才能导致损失。就某一事件来说，如果它是造成损失的直接原因，那么它就是风险事故；而在其他条件下，如果它是造成损失的间接原因，它

37、便成为风险因素。例如，对于企业而言，发生仓库货物被盗是风险事故，而安保系统不健全是风险因素。3、损失在风险管理中，损失是指非故意的、非预期的、非计划的经济价值的减少。通常可以将损失分为两种形态，即直接损失和间接损失。直接损失是指风险事故导致的财产本身损失和人身伤害，这类损失又称为实质损失：间接损失则是指由直接损失引起的其他损失，包括额外费用损失、收入损失和责任损失。风险的分类和评估（一）风险的分类企业所面临的风险从来源上分，有企业内部和外部两个方面。外部风险包括：科技发展带来的企业技术、管理、信息等方面的风险；顾客需求或预期改变；竞争的存在；自然灾害；政治事件；经济环境的改变等。内部风险主要有

38、：员工的素质和能力；经理人的责任改变；董事会或监督委员会的责任履行情况等。从企业能否对风险进行控制来分，风险分为可控风险和不可控风险两种。（二）风险评估风险评估是一个比较宽泛的概念，在有的内部控制或风险管理标准中，风险评估就是风险管理，包括了风险管理的全过程，可以说是风险管理的代名词。而在有的内部控制或风险管理标准中，风险评估是全面风险管理的一个步骤，包括内容有多有少，如目标确定、风险识别、风险分析、风险评价以及风险应对等。1、COSO92关于风险评估概念COSO内部控制整体框架把风险评估列为内部控制的五要素之内部控制整体框架认为，风险评估是指单位为实现其目标而确认的相关风险，以构成进行风险管

39、理的基础。单位风险可能来自于：（1）经营环境的变化；（2）聘用新的员工；（3）采用新的或改良的信息系统（4）迅猛的发展速度；（5）新技术的运用（6）新的行业、产业或经营活动的开发；（7）企业改组；（8）海外经营；（9）新的会计方法的采用。2、COSO04关于风险评估概念企业风险管理整体框架指出风险评估要对识别的风险进行分析，以便确定对他们进行管理的依据。强调风险评估是风险管理的一个步骤，相当于我国企业内部控制基本规范的风险分析。3、我国企业内部控制基本规范关于风险评估概念我国企业内部控制基本规范借鉴企业风险管理整体框架，认为风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险

40、，从而合理确定风险应对策略。即为识别、分析、管理与企业活动相关的市场风险、政策风险、法律风险、汇率风险、经营风险等各种风险而建立的机制。该概念沿用COSO92的要素理念，是相对宽泛的概念，包括COSO04目标设定、事项识别、风险评估和风险应对四大要素的组合。SASNO.55：内部环境的形成1988年，美国注册会计师协会（AICPA）发布审计准则公告第55号（简称SASNO.55），第一次正式将控制环境纳入内部控制范畴，控制环境从此成为内部控制理论研究的重要方面。该公告首次提出“内部控制结构”的概念，指出控制环境是对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素，这些因素包括经营管理理

41、念、组织结构、董事会、授权与分配责任的方法、管理控制方法、内部审计、人力资源政策与实务等。SASNO.55强调了内部环境中最关键的因素是与有效控制政策和程序制定、实施密切相关的管理层和董事会对控制的态度；并将“内部审计”作为环境因素，以强化监控。在要素的排列上，“组织结构”是受“经营管理理念”影响的，管理层决定了组织结构的安排；将“人力资源政策与实务”排在最后，作为保障性、支持性影响因素，这一思路一直影响到现在。我国的借鉴与创新2008年，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范。基本规范参照国际良好实践，结合我国企业具体情况对内部环境做了规定。内部环境是企业实施内

42、部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。总体来说，基本规范借鉴了SASNO.55的表述方式，同时融入COSO92的先进理念。我国企业市场化发展起步较晚，内部控制成熟度较低，内部环境整体还处于低层次。在内部环境构成因素中，需要健全治理结构、完善机构设置。治理结构作为我国企业内部环境的首要因素是长期、正确的战略考虑，完善治理结构是上市公司的迫切任务，也是现阶段相关部门监管的重点。为强化内部监督，针对我国企业内部审计弱化、形同虚设的特点，参照美国早期的做法，基本规范将内部审计作为内部环境构成因素，要求企业保持内部审计在机构设置、人员和工作上的独立性。在

43、企业成长、发展过程中，企业文化是必不可少的重要环境因素。从中西方内部环境影响因素排列顺序来看，COSO两个报告都将文化因素排在前列，我国却将其排在最后。权衡制度管理与人本管理的关系，在没有良好制度的前提下，文化作为环境因素是相当脆弱的。我们认为，西方的人本管理是其制度管理的回归，在我国，制度管理是根本，人本管理是补充，我国企业需要补制度管理的课。但是，基本规范中相关因素的表述尚未达到西方良好实践的高度，如在管理哲学（方法）和经营风格（模式）方面未做基本概念的约定；权责分配因素采用权在前、责在后的中国式表述方式，不符合国际先进理念，按照COSO报告“目标责任权力”的思路，首先明确部门、人员目标，

44、目标如果不能实现应承担责任，为避免风险的发生（责任的承担）才赋予一定的权力，保持责权对等；在人力资源方面只强调“政策”制定，不强调政策的“执行（或实务）”。事实上，人力资源建设关键在于执行。组织架构在我国内部控制框架中，组织架构、发展战略、人力资源、社会责任和企业文化均属于企业层面的控制（环境控制或基础控制），其风险及应对有别于业务层面的控制（应用控制）。（一）组织架构的内涵及风险应对1、组织架构影响因素分析2010年，五部委联合发布了企业内部控制配套指引。18个企业内部控制应用指引（简称应用指引）中有5个属于企业层面的内部环境类指引，包括组织架构、发展战略、人力资源、社会责任和企业文化。应用

45、指引中内部环境类指引与基本规范中内部环境构成因素一一对应，同时，丰富了基本规范的内涵并提升了我国内部环境构成因素体系的层次。组织架构指引认为组织架构是一项制度安排，明确了股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求，主要包括治理结构和内部机构设置。机构设置与权责分配互为因果，内部审计本身就属于组织的内部机构，因此，组织架构应包括治理结构、机构设置、权责分配和内部审计四个因素。在治理结构上，将股东大会纳入内部环境范畴（如发展战略方案需经股东会批准实施）。内部环境类指引紧扣发展战略做文章，企业要实施发展战略，必须要有科学的组织架构，履行一定的

46、社会责任，配置合理的人力资源，形成积极向上的企业文化。从发展战略角度看，企业的根本目的不是利润最大，也不仅仅是企业价值最大，而是更广义的社会责任最大。企业应履行社会责任，实现战略目标。2、组织架构的主要风险组织架构的风险主要来自两方面。（1）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能发生经营失败（2）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失，运行效率低下。3、组织架构风险的主要应对措施针对以上风险采取的主要应对措施有以下几个。（1）企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和

47、监督相互分离，形成制衡机制。同时企业在重大决策、重大事项、重要人事任免及大额资金支付业务等（即通常所说的“三重一大”）方面，应当按照规定的权限和程序实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策意见。（2）企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。（3）企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机制等符合现代

48、企业制度要求。（4）拥有子公司的企业，应当建立科学的投资管控制度，通过合法有效的形式履行出资人职责、维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。对子公司控制一直是企业集团层面关注的一个重要问题，组织架构应用指引在综合调研的基础上提出此项要求，对实务操作具有重要指导作用。（二）治理结构公司制企业中股东大会（权力机构）、董事会（决策机构）、监事会（监督机构）、总经理层（日常管理机构）这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但并不能满足内

49、部控制对企业组织结构的要求，内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。企业内部控制基本规范第十四条规定：企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。因此，企业应当根据国家有关法律法规，结合企业自身股权关系和股权结构，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序；确保决策、执行和监督相互分离、有机协调；确保董事会、监事会和经理层能够按照法律、法规和企业章程的规定行使职权。企业应当在企业章程中规定股东大会对董事会的授权原则，授权内容应当明确

50、具体。（三）机构设置及责权分配任何企业要达成其整体目标，必须构建一定的组织机构。企业的组织机构提供了计划、执行、控制和监督活动的框架，确立了适当的沟通和协调渠道，保证了组织中成员具有与其所履行职责相适应的知识、经验和能力。对于企业而言，要根据公司的具体发展战略确定组织结构。企业内部控制基本规范第十四条要求企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权力与责任落实到各责任单位。组织机构是通过提供完整的架构作用于组织实现其目标的能力；是规定组织内部责任与授权的线型结构；是确认责任分配和授权的关键领域；功能是确认报告路径：机构设置必须覆盖计划、执行、控制、监督等组织活动的全部，其

51、中，控制与监督的区别是，控制是保证正确执行计划的组织安排，而监督是控制有效的组织安排；组织结构设计的哲学意义是“是什么”“做什么”“如何做”；机构设置要保证合理的流水线模式，部门设置少一个不够用、多一个又冗余，部门功能必须是线型的、支持的，而非拦截的。关键回答三个问题：所有的事是否都有人做？行为者是否充分授权行事？所有行为是否有人承担责任？组织结构设计不确定：对权力定义不清或定义错误，导致权力的涣散。权力与责任不对称，权力结构不稳定，权力成为公开招标物导致权力者互相冲突和耍政治手腕。企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权力与责任落实到各责任单位。企业应当通过编制内部

52、管理手册，使全体员工了解内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。按照基本规范的要求，机构设置及内控职责分工如下：（1）监事会对董事会建立与实施内部控制进行监督。（2）监事会对董事会建立与实施内部控制进行监督。（3）经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。（4）审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。（四）内部审计内部审计是公司内部的一种独立客观

53、的监督、评价和咨询活动，通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议，促进改善公司运行的效率效果、实现公司发展目标。企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。企业文化企业文化是指企业在生产经营实践中逐步形成的、被整个团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。良好的企业文化对

54、企业有直接的促进作用。根据经验得知，各项制度都有失效的时候，而当制度失效的时候，企业经营靠的就是企业文化。它作为一个企业的中枢神经，支配着人们的思维方式、行为方式。建设企业文化，培育积极向上的价值观、诚实守信的经营理念、为社会创造财富并积极履行社会责任的企业精神，可以增强员工对企业的认同感，增强企业的竞争力。企业内部控制基本规范第十八条规定，企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。在我国，关于企业文化的表现形式最流行的观点是将其划分为4个方面：物质文化、行为文化、制度文化和精神文化。企业物质文化是指

55、以客观物体及其相应组合为表现形式的文化。它由企业的物质环境、生产设备、最终产品与包装设计等构成。由于物质文化的表现形式相对直观、容易“触摸”，所以，物质文化也被称为“表层文化”。如日本丰田汽车表现出的是省油“小型”“质量可靠”的文化；IBM计算机表现出的则是“经典”“可靠”“性能优异”的文化。企业行为文化是指企业员工在生产经营、学习娱乐中产生的活动文化。它包括企业经营、教育宣传、人际关系活动、文娱体育活动中产生的文化现象。它是企业经营作风、精神面貌、人际关系的动态体现，也是企业精神、企业价值观的折射。行为文化比物质文化“隐藏”得相对深一些。但也比较容易观察与感知，所以它仍然属于“浅层文化”。如

56、海尔的售后服务人员及时、快速、优质的售后服务行为，所表现出的“真诚到永远”的文化。企业制度文化是由企业制度形态、组织形态和管理形态构成的外显文化，一般包括企业的经营制度和企业的管理制度。一方面，它是精神文化这一抽象东西的具体体现；另一方面，它也是指导和约束员工行为文化和物质文化建设的纲领性东西。制度文化是精神文化与物质文化的“中介”，属于“中层文化”。企业精神文化是指在内外部环境的影响下，企业在长期的生产经营过程中形成的精神成果和文化观念。它主要由经营哲学、道德观念以及企业价值观等因素构成。它是企业各种活动的指导思想，属于“核心文化”。企业文化是企业的灵魂，渗透于企业的一切经营管理活动之中，是

57、推动企业持续发展的不竭动力。（一）企业文化的主要风险企业应当明确企业文化面临的主要风险，以及这些风险可能导致的后果。（1）企业缺乏积极向上的企业文化，导致员工丧失对企业的信心和认同感，缺乏凝聚力和竞争力。（2）缺乏开拓创新、团队协作和风险意识，导致企业发展目标难以实现，影响可持续发展。（3）企业缺乏诚实守信的经营理念，导致舞弊事件的发生，造成企业损失，影响企业信誉。（二）企业文化风险的应对措施针对上述风险及影响，企业采取的应对措施包括以下几个方面。（1）积极培育具有自身特色的企业文化，充分体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神，以及团队协

58、作和风险防范意识，以此引导和规范员工行为，打造以主业为核心的企业品牌，形成整体团队的向心力，促进企业长远发展。这项应对措施同时也表明，打造企业主业品牌应当作为企业文化建设中的重要内容。（2）重视并购重组后的企业文化建设，平等对待被并购方的员工，促进并购双方的文化融合。这是基于当前企业并购实务中企业文化融合问题特别提供的指引，应引起相关企业的高度重视。（3）要求董事、监事、经理和其他高级管理人员在企业文化建设中发挥主导和垂范作用，以自身的优秀品格和脚踏实地的工作作风，带动影响整个团队，共同营造积极向上的企业文化环境。这充分说明，企业文化建设既要注重“上下结合”，更应注重企业治理层和经理层的示范作

59、用。（4）要求企业加强企业文化的宣传贯彻，促进文化建设在内部各层级的有效沟通，并确保全体员工共同遵守；同时，要求企业文化建设融入生产经营全过程，切实做到文化建设与发展战略的有机结合，增强员工的责任感和使命感，规范员工行为方式，使员工自身价值在企业发展中得到充分体现。也就是说，企业文化建设不能停留在企业最高层，不能停留在文本上，不能停留在泛泛的宣贯上，不能脱离生产经营过程，不能背离发展战略，而应融入企业的肌体、汇入企业的血脉。反舞弊机制（一）反舞弊机制的概念反舞弊机制指为了防止舞弊，加强公司治理和内部控制，降低企业风险，规范经营行为，维护企业合法权益，确保经营目标的实现和企业持续、稳定、健康发展

60、，保护股东合法权益，根据经营目标及法律、法规，结合企业的实际情况，制定的用以规范企业中高级管理人员及所有员工的职业行为的一种制度。企业应当建立反舞弊机制，坚持“惩防并举、重在预防”的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。通过反舞弊机制的建立，企业要将反舞弊工作的重点放在重点领域和关键环节，防范舞弊行为的发生并及时发现发生的舞弊行为。在所建立的反舞弊机制中，要规范相应的舞弊案件查处程序，以便对舞弊案件及时进行处理和纠正，并在反舞弊过程中不断完善内部控制体系。（二）反舞弊机制的重点企业内部控制基本规范第四十二条规