大数据分析公司内部控制

1、泓域/大数据分析公司内部控制大数据分析公司内部控制目录 TOC o 1-3 h z u HYPERLINK l _Toc113055938 一、 产业环境分析 PAGEREF _Toc113055938 h 3 HYPERLINK l _Toc113055939 二、 行业基本情况 PAGEREF _Toc113055939 h 4 HYPERLINK l _Toc113055940 三、 必要性分析 PAGEREF _Toc113055940 h 5 HYPERLINK l _Toc113055941 四、 公司简介 PAGEREF _Toc113055941 h 5 HYPERLINK l

2、 _Toc113055942 公司合并资产负债表主要数据 PAGEREF _Toc113055942 h 7 HYPERLINK l _Toc113055943 公司合并利润表主要数据 PAGEREF _Toc113055943 h 7 HYPERLINK l _Toc113055944 五、 内部控制的相关比较 PAGEREF _Toc113055944 h 7 HYPERLINK l _Toc113055945 六、 企业内部控制规范体系的结构 PAGEREF _Toc113055945 h 11 HYPERLINK l _Toc113055946 七、 内部控制与企业风险管理的关系分析

3、PAGEREF _Toc113055946 h 12 HYPERLINK l _Toc113055947 八、 内部牵制 PAGEREF _Toc113055947 h 15 HYPERLINK l _Toc113055948 九、 社会责任 PAGEREF _Toc113055948 h 18 HYPERLINK l _Toc113055949 十、 组织架构 PAGEREF _Toc113055949 h 21 HYPERLINK l _Toc113055950 十一、 有效内部环境的属性 PAGEREF _Toc113055950 h 27 HYPERLINK l _Toc1130559

4、51 十二、 内部环境如何发挥作用 PAGEREF _Toc113055951 h 31 HYPERLINK l _Toc113055952 十三、 风险应对策略的选择 PAGEREF _Toc113055952 h 31 HYPERLINK l _Toc113055953 十四、 风险应对概述 PAGEREF _Toc113055953 h 33 HYPERLINK l _Toc113055954 十五、 风险的概念及其分类 PAGEREF _Toc113055954 h 34 HYPERLINK l _Toc113055955 十六、 风险的分类和评估 PAGEREF _Toc113055

5、955 h 36 HYPERLINK l _Toc113055956 十七、 SWOT分析说明 PAGEREF _Toc113055956 h 38 HYPERLINK l _Toc113055957 十八、 组织机构及人力资源配置 PAGEREF _Toc113055957 h 49 HYPERLINK l _Toc113055958 劳动定员一览表 PAGEREF _Toc113055958 h 49产业环境分析从国际看，全球经济在再平衡中实现艰难复苏。全球经济版图深度调整，经济重心持续向亚太地区移动，中国国际地位快速提升。全球科技和产业变革孕育新的突破，新一轮产业转移渐次展开。国际环境总

6、体有利于苏州实施创新驱动发展战略，有利于深层次转变经济发展方式，实现经济社会转型发展。同时，全球经济依然处于后危机时代，全球投资贸易规则主导权争夺日益加剧，发达经济体加速推进的TPP、TTIP、BIT等投资贸易协议谈判将引发世界经贸格局发生新一轮调整。发达国家实施工业4.0和再工业化战略，贸易保护主义抬头，绿色低碳经济正在开启一个新的时代。外部环境更趋复杂，对兼具外贸依存度高、工业经济为支柱和高碳结构的苏州，可能产生较大的压力和难以估量的不利影响。面对发达国家和其他发展中国家“双向挤压”的严峻挑战，苏州必须放眼全球，加紧战略转型，加快固本培元，化挑战为机遇，抢占新一轮竞争制高点。从国内看，中国

7、经济步入新常态，经济增长从高速转为中高速，“三期叠加”矛盾凸显，投资和出口增速明显放缓，全要素生产率出现下滑，产能过剩有所加剧，社会矛盾逐步累积，苏州整个经济社会发展的压力也将不断增大。在此背景下，提出了“一带一路”、京津冀协同发展、长江经济带等重大战略举措；同时，提出中国制造2025、“互联网”行动计划、“大众创业、万众创新”等行动纲领，这将进一步推动体制机制变革，深层次激发市场活力。苏州只有紧跟国家战略步伐，才能推动经济社会发展迈上新台阶。从全局看，苏州已经具备转型升级的坚实基础和先导优势。进入改革发展新的关键时期，苏州所具有的战略区位优势、国际制造优势、开放平台优势、历史人文优势、生态本

8、底优势等方面的核心优势将进一步体现，为成功谋求“二次创业”发挥积极作用。但同时也必须清醒的看到，苏州经济社会发展中仍存在不少瓶颈制约和突出问题。创新驱动内生乏力，经济增长支撑不足，城市功能有待提升，空间结构亟待优化，人口老龄化程度加剧，社会矛盾压力增大，各种要素对经济增长的约束进一步显现。所有这些表明，传统发展模式已不可持续，保增长、调结构、转方式、促创新任务仍然艰巨，因此，深刻把握国际国内发展基本趋势，谋划战略转型新定位、新目标将是致胜关键。行业基本情况大宗商品信息服务行业是基于对大宗商品行业的持续深入理解和经验积累，以及对先进的互联网和电信技术的应用，通过采集大宗商品交易数据和资讯信息，经

9、过集中处理、深度挖掘和全面分析，制作出契合客户需求的信息产品，最终满足大宗商品市场各类客户的及时性、准确性、有效性的信息需求。大宗商品信息服务内容主要包括：资讯服务、行业深度研究及咨询、宣传推广、现场商务活动等。必要性分析1、现有产能已无法满足公司业务发展需求作为行业的领先企业，公司已建立良好的品牌形象和较高的市场知名度，产品销售形势良好，产销率超过 100%。预计未来几年公司的销售规模仍将保持快速增长。随着业务发展，公司现有厂房、设备资源已不能满足不断增长的市场需求。公司通过优化生产流程、强化管理等手段，不断挖掘产能潜力，但仍难以从根本上缓解产能不足问题。通过本次项目的建设，公司将有效克服产

10、能不足对公司发展的制约，为公司把握市场机遇奠定基础。2、公司产品结构升级的需要随着制造业智能化、自动化产业升级，公司产品的性能也需要不断优化升级。公司只有以技术创新和市场开发为驱动，不断研发新产品，提升产品精密化程度，将产品质量水平提升到同类产品的领先水准，提高生产的灵活性和适应性，契合关键零部件国产化的需求，才能在与国外企业的竞争中获得优势，保持公司在领域的国内领先地位。公司简介（一）基本信息1、公司名称：xx投资管理公司2、法定代表人：宋xx3、注册资本：570万元4、统一社会信用代码：xxxxxxxxxxxxx5、登记机关：xxx市场监督管理局6、成立日期：2014-3-157、营业期限

11、：2014-3-15至无固定期限8、注册地址：xx市xx区xx（二）公司简介本公司秉承“顾客至上，锐意进取”的经营理念，坚持“客户第一”的原则为广大客户提供优质的服务。公司坚持“责任+爱心”的服务理念，将诚信经营、诚信服务作为企业立世之本，在服务社会、方便大众中赢得信誉、赢得市场。“满足社会和业主的需要，是我们不懈的追求”的企业观念，面对经济发展步入快车道的良好机遇，正以高昂的热情投身于建设宏伟大业。公司坚持诚信为本、铸就品牌，优质服务、赢得市场的经营理念，秉承以人为本，始终坚持 “服务为先、品质为本、创新为魄、共赢为道”的经营理念，遵循“以客户需求为中心，坚持高端精品战略，提高最高的服务价值

12、”的服务理念，奉行“唯才是用，唯德重用”的人才理念，致力于为客户量身定制出完美解决方案，满足高端市场高品质的需求。（三）公司主要财务数据公司合并资产负债表主要数据项目2020年12月2019年12月2018年12月资产总额8487.476789.986365.60负债总额2799.042239.232099.28股东权益合计5688.434550.744266.32公司合并利润表主要数据项目2020年度2019年度2018年度营业收入30862.3724689.9023146.78营业利润5918.344734.674438.76利润总额5377.464301.974033.10净利润4033

13、.103145.822903.83归属于母公司所有者的净利润4033.103145.822903.83内部控制的相关比较（一）目标的比较内部控制是一个管理系统而非技术系统，是一个防守系统而不是进攻系统，因此，内部控制要实现企业的价值最大化目标，无法依靠利益的增加而只能通过减少支出。内部控制的目标，通常指内部控制所要达到的预期效果和所要完成的控制任务。从理论上说，内部控制的目标主要取决于内部控制本身所具有的功能和人们在设计、执行内部控制时的主观需要。内部控制的目标限于内部控制功能和人们的主观需求之间，不可能高于其本身的客观功能，当然，也不能低于主观需求。1、国内外相关报告的内部控制目标比较内部控

14、制的目标并非单一的，是由几个目标组成的目标结构或体系，并且，各目标之间存在着相互联系。目前内部控制学关于目标的阐述有“三目标论”“四目标论”“五目标论”，这些目标深入具有不同的层次，但有一个共同的目标指向，即降低各种风险带来的损失。对内部控制整体框架、企业风险管理框架与我国企业内部控制基本规范中所规定的内部控制目标进行的比较。标准或规范对内部控制目标的规定有所差异，主要是因为第一，确定控制目标的设定基础。有的以内部会计控制为基础设定（如1949年的定义），有的以内部控制为基础来设定，有的以风险管理为基础设定；第二，颁布这些标准或规范的机构不同。有的从企业层面颁布，有的从行业层面颁布，有的从监管

15、层面颁布。反观我国基本规范，相较于企业风险管理框架，多了一个资产安全目标，资产安全是企业展开各种经济活动的物质前提，但是从目标的排列次序上可以看出，我国的基本规范中规定的次序恰恰与企业风险管理报告要求的相反，这是结合我国基本实情的具体规定。一般认为，首先，企业应当在合规合法的前提下开展活动，违背了这项原则，其他目标再好也是纸上谈兵。其次，保证合规合法目标实现的基础之上，资产作为企业经济活动的物质前提，应当保证实现资产安全的目标。再次，企业应当保证财务报告及相关信息的真实完整，以便于利益相关者做出决策。与此同时，企业应当回归到日常经营管理活动当中来，提高企业的经营效率和效果，提高经营业绩是企业的

16、大势所趋。最后，在上述四个目标实现的基础上，提出了企业的发展战略。2、我国内部控制目标演进过程我国的相关法规制度对内部控制目标的界定也是一个不断演进的过程，我国相关法规、制度对内部控制目标的界定，可以分为三个发展演进阶段。第一阶段，外部化阶段。强调内部会计控制，突出财务报告的真实完整，主要表现在独立审计具体准则第9号内部控制和审计风险（体现内部控制为审计服务）、财政部内部会计控制规范一基本规范等。第二阶段，内部化阶段。强调内部控制，在保证财务报告真实完整的前提下提高经营的效率和效果，主要表现在中国注册会计师审计准则第1211号（体现风险导向的审计内涵）、上交所上市公司内部控制指引、深交所上市公

17、司内部控制指引等。第三阶段，风险管理阶段。强调企业风险管理，主要表现在五部委企业内部控制基本规范。以上三个阶段说明我国内部控制目标的发展是在借鉴国外最佳实践的基础上，关于内部控制理念与实践的提升。（二）内部控制要素的比较纵观内部控制的历史演进可以发现，从最早的内部控制“一要素”阶段内部牵制阶段，“二要素”阶段一内部控制制度阶段，“三要素”阶段一内部控制结构阶段，到“五要素”阶段内部控制整合框架阶段，再到“八要素”阶段一风险管理整合框架阶段，内部控制的发展历史实际上也是内部控制要素不断充实和丰富的过程。内部控制基本要素反映了内部控制的内容，这些要素及其构成方式与整个控制过程整合在一起，决定着控制

18、的内容与形式。企业风险管理框架在内部控制整体框架的基础上，将风险评估分解为目标制定、事项识别、风险评估和风险应对四个要素，纳入风险管理流程，突出了风险管理的重要性。而基本规范是五要素的体系结构，一方面继承内部控制整体框架的理论成果，另一方面适当体现企业风险管理框架的先进理念，结合我国国情的基础上将两者有效结合。企业内部控制规范体系的结构2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引。该配套指引包括18项企业内部控制应用指引企业内部控制评价指引和企业内部控制审计指引，连同此前发布的企业内部控制基本规范，标志着适应我国企业实际情况、融合国际先进经验的中国

19、企业内部控制规范体系基本建成。我国内部控制规范体系分两个层面，一是基本规范，二是配套指引。（一）基本规范企业内部控制基本规范是内部控制建设与实施应该遵循的基本原则和总体要求，具有强制性，纳入实施范围的企业应当遵照执行。（二）配套指引企业内部控制配套指引（包括应用指引、评价指引和审计指引）是对企业内部控制基本规范相关规定的进一步补充和说明具有指导性和示范性，企业可以结合所在行业要求和企业自身特点，参照配套指引的规定开展内部控制建设与实施工作。配套指引包括应用指引、评价指引和审计指引，三者之间既相互独立，又相互联系，形成一个有机整体。1、企业内部控制应用指引应用指引是对企业按照内部控制五大原则和内

20、部控制五大要素建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占据主体地位，主要包括控制环境类指引、控制活动类指引和控制手段类指引。2、企业内部控制评价指引评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引，用于企业董事会或类似决策机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。3、企业内部控制审计指引审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。内部控制与企业风险管理的关系分析内部控制和企业风险管理的目的都是为了满足企业在不同环境中对不确定性的应对管理，从而达到组织预期目的以及持续发展。内部控制要对风险的不确定

21、性在应对策略方面进行具体的分解和落实，从而发挥化解风险、控制不确定性的作用，即内部控制是风险管理的业务实施和组织保障。总体来说，内部控制和风险管理学科的共同发展为企业运营提供了支持，在企业的实际需求下，两个学科的交融和切入更好地为企业解决其实际运营中的各种不确定性提供了完整的解决方案。（1）内部控制和风险管理各有侧重。内部控制侧重制度层面，通过规章制度规避风险；风险管理侧重交易层面，通过市场化的自由竞争或市场交易规避风险。一般来说，典型的内部控制依然是为了保证资金安全和会计信息的真实可靠，会计控制是其核心，内部控制一般限于财务及相关部门，并没有渗透到企业管理过程和整个经营系统，控制只是管理的一

22、项职能；典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较，如银行的授信管理、汇率风险管理、利率风险管理等，它贯穿于管理过程的各个方面。（2）内部控制与风险管理的根本作用都是维护投资者利益、保全企业资产，并创造新的价值。从理论上说，企业的内部控制是企业制度的组成部分，是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠，防止经营层操纵报表与欺诈，保护公司的财产安全，遵守法律以维护公司的名誉以及避免招致经济损失等。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。COSO认为，企业风险管理应用于战略制订与组织的各层次活动中。它使

23、管理者在面对不确定性时能够识别、评估和管理风险，发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致，将风险与增值及回报统筹考虑，促进应对风险的决策，减小经营风险与损失，识别与管理企业风险，为多种风险提供整体的对策，捕捉机遇以及使资本的利用合理化。（3）做好内部控制是做好风险管理的前提。风险管理的目的是要防止风险、及时地发现风险、预测风险可能造成的影响，并设法把不良影响控制在最低的程度。内部控制就是企业内部采取的风险管理，内部控制制度的制定依据主要是风险，在某些极端情况下（内部控制等于风险管理）甚至完全由风险因素来决定。风险越大，越有必要设置适当的内部控制措施，风险相当大时，还要设置

24、多重内部控制措施。而且，做好内部控制是做好风险管理的前提。企业只有从加强内部控制做起，通过风险意识的提高，尤其是提高企业中处于关键地位的中、高层管理人员的风险意识，才能使企业安全运行，否则，处于失控状态的企业最终将被激烈的市场竞争淘汰。总之，企业风险管理框架建立在内部控制整体框架的基础上，内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制框架的范围更为广泛，是对内部控制框架的扩展，是一个主要针对风险的更为明确的概念。企业风险管理框架强调在整个企业范围内识别和管理风险的重要性，强调企业的风险管理应针对企业目标的实现，在企业战略制订阶段就予以考虑，而企业在对其下属部门进行风险管

25、理时，应对风险进行加总，从组织的顶端、以一种全局的风险组合观来看待风险。此外，根据风险管理的需要，对企业目标进行重新分类，明确战略目标在风险管理中的地位。内部牵制内部牵制的概念最早在1905年由特克西提出。他认为内部牵制由3部分组成：职责分工、会计记录、人员轮换。这3部分内容在现代内部控制中都有所体现。柯勒会计词典中对内部牵制曾做出最全面的解释，它认为“内部牵制是指以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人，或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有

26、效的内部牵制得以使每项业务能完整、正确地经过规定的处理程序，而在这规定的处理程序中，内部牵制机制永远是一个不可缺少的组成部分”。由此可见，内部牵制是以查错防弊为目的，以职务分离、账目核对为手段，以钱、账、物等为主要控制对象。内部牵制按照实现机制的不同，可分为分离式牵制和合作式牵制两类。（一）分离式牵制内部牵制制度的建立主要是基于两个设想，一是两个人或两个以上的人或部门无意识地犯同样错误的机会是很小的：二是两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。按照这样的设想，通过内部牵制机制，实现上下牵制，左右制约，相互监督，因而具有查错防弊这个主要功能。所谓的上

27、下牵制是指，从纵向看，每项经济业务的处理，至少要经过上下级有关人员之手，使下级受上级监督，上级受下级制约，促使上下级均能忠于职守，不可疏忽大意。所谓左右制约是指，从横向看，每项经济业务的处理，至少要经过彼此不相隶属的两个部门的处理，使每一部门工作或记录受另一部门的牵制，不相隶属的不同部门均有完整的记录，使之互相制约，自动检查，防止或减少错误和弊端；同时，通过交叉核对也能及时发现错误和弊病。分离式牵制即不相容职务相分离，所谓不相容职务是指那些如果由一个人或一个部门担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。不相容职务主要有授权批准、业务经办、会计记录、财产保管和稽核检查等职务

28、，包括岗位的不相容、部门的不相容以及流程的不相容。不相容职务分离主要是指授权审批与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等不能由一个人或一个部门进行。由此可见，内部牵制主要是以不相容职务分离为主要流程设计的，是内部控制的最初形式和基本形态。其目的是为了保证财产物资的安全和完整，防止贪污、舞弊。实践证明，该设想是合理的，内部牵制确实起到了防范错弊的作用。（二）合作式牵制现代内部牵制思想还包括合作式牵制。合作式牵制是指，通过合作达到相互制约、相互监督的作用。例如，会审机制，企业面对重大决策、重大业务事项、重要的人事任免以及大额资金支付时，需要领导层

29、集体决策、集体联签，以防止个人决策的失误：又如合同会签制度，即合同在生效前不仅需要主管部门签字盖章还需要其他协作部门共同参与，会审、会签人员共同参与、共担责任，以及降低决策、合同的风险。另外，企业内部各部门之间在业务上的协助也属于合作式牵制。例如，2012年财政部颁布要求在2014年1月1日试行的行政事业单位内部控制规范中规定，重大事项需集体决策和会签。社会责任企业创造利润或实现股东财富最大化固然很重要，但在经济社会高速发展的当今时代，尤其是我国作为发展中国家，在大力发展社会主义市场经济的过程中，企业作为最重要的市场主体，如果不顾一切地追逐利润，是不符合科学发展观，不利于建设和谐社会的。因此，

30、履行社会责任是企业义不容辞的义务，是企业的光荣使命。社会责任是指企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量（含服务）、环境保护、资源节约、促进就业、员工权益保护等。企业履行社会责任可以增加企业的安全生产意识，防止企业发生重特大安全事故，可以增强企业的环境保护意识，避免造成环境污染，导致企业巨额赔偿或停产整顿。企业创造利润和履行社会责任两方面是统一的有机整体，相辅相成，并不矛盾。企业承担了社会责任将有助于改善企业的形象，提高品牌美誉度，进而吸引更多的客户，增强企业的经济效益。企业履行社会责任是提升发展质量的重要标志，是实现企业可持续长远发展的根本所在。众所周知，如果

31、企业做不到安全生产，事故频繁，造成人员伤亡，必然是欲速则不达甚至导致关闭。由此可见，企业在制定和实现发展战略过程中，应当充分考虑履行社会责任的要求，从根本上转变发展方式，实现长远发展的目标。那么企业应该如何履行社会责任呢？第一，企业负责人要高度重视这项工作，树立社会责任意识，形成履行社会责任的企业价值观和企业文化。第二，要把履行社会责任融入企业发展战略，落实到生产经营的各个环节，逐步建立和完善企业社会责任指标和考核体系，为企业履行社会责任提供坚实的基础与保障。第三，建立社会责任报告制度，发布社会责任报告，让股东、债权人、员工、客户、社会等各方面知晓自己在社会责任领域所做的工作，这样可以增强企业

32、的战略管理能力，全面提高企业服务能力和水平，提高企业的品牌形象和价值。（一）社会责任的主要风险企业应当明确社会责任面临的主要风险，以及这些风险可能导致的后果。（1）安全生产措施不到位，责任不落实，导致企业发生安全事故。（2）产品质量低劣，侵害消费者利益，导致企业巨额赔偿、形象受损，甚至破产。（3）环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，导致企业巨额赔偿、缺乏发展后劲，甚至停业。（4）不重视就业和员工权益保护，导致员工积极性受挫，影响企业发展和社会稳定。（二）社会责任风险的应对措施针对社会责任面临的风险及影响，企业采取的应对措施包括以下几个方面。（1）设立安全管理部门和安全监督机构

33、，建立严格的安全生产管理体系、操作规范和应急预案，强化安全生产责任追究制度，切实做到安全生产。（2）规范生产流程，建立严格的产品质量控制和检验制度，严把质量关，严禁将缺乏质量保障、危害人民生命健康的产品流向社会。（3）提高员工的环境保护和资源节约意识，建立环境保护与资源节约制度，认真落实节能减排责任，积极开发和使用节能产品，发展循环经济，降低污染物排放，提高资源综合利用效率。（4）依法保护员工的合法权益，保障员工依法享有劳动权利和履行劳动义务，保持工作岗位相对稳定，积极促进充分就业。（5）针对目前少数企业对公益事业（如接纳大学生实习等）、慈善事业等漠不关心的情况，社会责任应用指引指出，企业应当

34、按照“产学研用”相结合的社会需求，积极创建实习基地，大力支持社会有关方面培养、锻炼社会需要的应用型人才；同时，应积极履行社会公益方面的责任和义务，关心帮助社会弱势群体，支持慈善事业。组织架构在我国内部控制框架中，组织架构、发展战略、人力资源、社会责任和企业文化均属于企业层面的控制（环境控制或基础控制），其风险及应对有别于业务层面的控制（应用控制）。（一）组织架构的内涵及风险应对1、组织架构影响因素分析2010年，五部委联合发布了企业内部控制配套指引。18个企业内部控制应用指引（简称应用指引）中有5个属于企业层面的内部环境类指引，包括组织架构、发展战略、人力资源、社会责任和企业文化。应用指引中内

35、部环境类指引与基本规范中内部环境构成因素一一对应，同时，丰富了基本规范的内涵并提升了我国内部环境构成因素体系的层次。组织架构指引认为组织架构是一项制度安排，明确了股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求，主要包括治理结构和内部机构设置。机构设置与权责分配互为因果，内部审计本身就属于组织的内部机构，因此，组织架构应包括治理结构、机构设置、权责分配和内部审计四个因素。在治理结构上，将股东大会纳入内部环境范畴（如发展战略方案需经股东会批准实施）。内部环境类指引紧扣发展战略做文章，企业要实施发展战略，必须要有科学的组织架构，履行一定的社会责任

36、，配置合理的人力资源，形成积极向上的企业文化。从发展战略角度看，企业的根本目的不是利润最大，也不仅仅是企业价值最大，而是更广义的社会责任最大。企业应履行社会责任，实现战略目标。2、组织架构的主要风险组织架构的风险主要来自两方面。（1）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能发生经营失败（2）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失，运行效率低下。3、组织架构风险的主要应对措施针对以上风险采取的主要应对措施有以下几个。（1）企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互

37、分离，形成制衡机制。同时企业在重大决策、重大事项、重要人事任免及大额资金支付业务等（即通常所说的“三重一大”）方面，应当按照规定的权限和程序实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策意见。（2）企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。（3）企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度

38、要求。（4）拥有子公司的企业，应当建立科学的投资管控制度，通过合法有效的形式履行出资人职责、维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。对子公司控制一直是企业集团层面关注的一个重要问题，组织架构应用指引在综合调研的基础上提出此项要求，对实务操作具有重要指导作用。（二）治理结构公司制企业中股东大会（权力机构）、董事会（决策机构）、监事会（监督机构）、总经理层（日常管理机构）这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但并不能满足内部控制对

39、企业组织结构的要求，内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。企业内部控制基本规范第十四条规定：企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。因此，企业应当根据国家有关法律法规，结合企业自身股权关系和股权结构，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序；确保决策、执行和监督相互分离、有机协调；确保董事会、监事会和经理层能够按照法律、法规和企业章程的规定行使职权。企业应当在企业章程中规定股东大会对董事会的授权原则，授权内容应当明确具体。（

40、三）机构设置及责权分配任何企业要达成其整体目标，必须构建一定的组织机构。企业的组织机构提供了计划、执行、控制和监督活动的框架，确立了适当的沟通和协调渠道，保证了组织中成员具有与其所履行职责相适应的知识、经验和能力。对于企业而言，要根据公司的具体发展战略确定组织结构。企业内部控制基本规范第十四条要求企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权力与责任落实到各责任单位。组织机构是通过提供完整的架构作用于组织实现其目标的能力；是规定组织内部责任与授权的线型结构；是确认责任分配和授权的关键领域；功能是确认报告路径：机构设置必须覆盖计划、执行、控制、监督等组织活动的全部，其中，控制

41、与监督的区别是，控制是保证正确执行计划的组织安排，而监督是控制有效的组织安排；组织结构设计的哲学意义是“是什么”“做什么”“如何做”；机构设置要保证合理的流水线模式，部门设置少一个不够用、多一个又冗余，部门功能必须是线型的、支持的，而非拦截的。关键回答三个问题：所有的事是否都有人做？行为者是否充分授权行事？所有行为是否有人承担责任？组织结构设计不确定：对权力定义不清或定义错误，导致权力的涣散。权力与责任不对称，权力结构不稳定，权力成为公开招标物导致权力者互相冲突和耍政治手腕。企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权力与责任落实到各责任单位。企业应当通过编制内部管理手册

42、，使全体员工了解内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。按照基本规范的要求，机构设置及内控职责分工如下：（1）监事会对董事会建立与实施内部控制进行监督。（2）监事会对董事会建立与实施内部控制进行监督。（3）经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。（4）审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。（四）内部审计内部审计是公司内部的一种独立客观的监督、

43、评价和咨询活动，通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议，促进改善公司运行的效率效果、实现公司发展目标。企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。有效内部环境的属性组织的董事会和执行管理层构建控制环境。不过需要说明的是没有一个绝对正确的内部环境，但存在有效的内部环境属性。这些属性可以采用许多不同的方法得到执行

44、。有些属性是共同的，但是大部分属性将根据组织情况而选择不同的实施方法。一个有效的内部环境的属性主要包括以下内容。1、行为守则政策几乎所有组织都承认制定行为守则政策的必要性。行为守则政策是指管理层对行为的定义，所有员工，包括执行管理层应当证实履行了他们的日常职责。2、企业的价值观公司确定的愿景是组织目标的理想化表述。例如Alibaba的愿景为“旨在构建未来的商务生态系统。我们的愿景是让客户相会、工作和生活在阿里巴巴，并持续发展最少102年”。在实现愿景方面，公司需要建立其希望融合到操作程序中的价值观。例如，阿里巴巴集团的6个价值观对于我们如何经营业务、招揽人才、考核员工以及决定员工报酬等方面具有

45、指导性作用，具体包括如下内容。（1）客户第一：客户是衣食父母。（2）团队合作：共享共担，平凡人做非凡事。（3）拥抱变化：迎接变化，勇于创新。（4）诚信：诚实正直，言行坦荡。（5）激情：乐观向上，永不言弃。（6）敬业：专业执着，精益求精。这些价值观需要被融合到执行工作和制定决策中去。例如阿里巴巴以客户第一为目标，马云在2014年赴美上市前向员工发布邮件，上市后仍坚持客户第一，员工第二，股东第三的原则。3、首席执行官成为楷模组织的高级职员应当以言传身教的方式教导所有员工遵守行为法则。对“首席执行官成为楷模”最好的描述是首席执行官必须“言行一致”。换句话说，如果首席执行官希望员工在公务旅行中遵守财务

46、的限制性规定，例如，出差乘坐飞机的二等舱，那么除非有一个可以不这样做的商务理由，否则，首席执行官应当遵守规定。如果首席执行官希望公司中的每个员工根据内部控制的原则接受培训，那么，首席执行官也应当参加此类培训。如果首席执行官想要成为一个楷模他必须以自身的表现和态度告诉组织内所有员工应该怎么做。4、组织结构（职责分离）董事会和高级管理层必须设定组织的结构，并进行适当的职责分离，以便能以高效和便捷的方式完成组织的使命。尽管不存在应用于所有组织的“正确”组织结构，然而，在COSO内部控制整合框架中所包含的指南提供了被认为是好的组织结构的指引。该指南的描述如下：组织结构应当既不能太简单，以至于无法适当地

47、监督企业的活动，也不能太复杂，以至于禁止必要的信息流。主管人员应当完全了解他们的控制责任，并且具有与他们职务相匹配的经验和知识。有效组织的五个特征包括以下几方面。（1）整个组织结构应当是有能力提供管理其活动所必需的信息流；（2）应当界定主要经理们的职责和他们对这些职责的理解；（3）报告关系是适当的；（4）应当根据变化的情况对组织结构做出修正；（5）在管理和监督能力方面，有足够的熟练技工执行组织的各项活动。5、人员的胜任能力所有的内部控制都是针对“人”这一特殊要素而设立和实施的，再好的制度也必须有人去执行，可以说，人员的品行和素质是内部控制效果的一个决定性因素。因此，人的品行和能力是决定性的内部

48、环境因素。另外，员工的品德与能力既是决定性的内部环境因素，直接影响着内部控制其他要素的建设和运行；也是根本性的内部环境因素，影响着其他控制环境因素的优劣。企业没有德才兼备的决策人员，就不可能制定出科学合理的发展战略；没有德才兼备的治理人员特别是独立董事，治理层就不可能有效地履行对内部控制的治理、指导和监督职责；没有德才兼备的管理人员特别是高级管理人员，管理层就不可能有合理的管理理念和经营风格。在企业的各类人员中，董事和高级管理人员的品德和能力格外重要，它不仅直接影响治理层对内部控制监督与指导职责的履行，管理层对企业经营管理“基调”的设定，而且影响到他们对其他员工的招聘、任用、考核，从而影响其他

49、员工的品德与能力。员工的品德是企业的重要资源。COSO（1992）框架认为“经营良好的企业的管理人员已越来越接受道德是值得的的观点一道德行为是一项很好的业务”。员工品德影响着内部控制其他构成要素的设计、执行和监控。“内部控制的有效性不可能脱离建立、执行和监控它们的人员的诚信和道德价值观。”6、其他方面很多因素都会影响内部环境有效性，除了行为守则政策、企业的价值观、首席执行官成为楷模等属性之外，还包括职责与权力的特别委派和沟通、一般授权与责任制、内部审计、资产保护和规定的流程等。内部环境如何发挥作用内部环境经常被称为公司治理的一部分，并且被视为是将那不同的相关活动维系在一起的“胶水”。也许你正在

50、某种环境中工作，已经识别出无法很好开展工作的有关活动。例如，一个部门可能急需某种产品，但无法立刻得到，因为在适当的采购计划文书完成审批之前，采购部门不能订购相关产品。我们举一个简单的例子来说明内部环境是如何为保证所有团队在一起工作并为完成组织使命提供基础的。案例中是一个零售组织典型的商业循环。该组织采购商品用于销售；采购的商品销售给客户；开发票给客户；然后回收资金。收回的资金再次被用于重复这样的循环周期。内部环境有助于保证为相关的但又各自不同的活动建立重叠的控制目标。例如，某一重叠的控制目标包括为销售给客户的所有物品开出发票，并且不再采购那些客户不需要的物品。风险应对策略的选择风险应对的4种策

51、略是根据企业的风险偏好和风险承受度制定的，风险规避策略在采用其他任何风险应对措施都不能将风险降低到企业风险承受度以内的情况下适用；风险降低和风险分担策略则是通过相关措施，使企业的剩余风险与企业的风险承受度相一致；风险承受则意味着风险在企业可承受范围之内。企业应该结合具体情况及时调整风险应对策略。企业可选择的风险应对策略有风险规避、风险降低、风险分担和风险承受，管理层可以选择一个或多个策略结合使用。企业内部控制基本规范第二十七条规定：企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。企业对超出整体风险承受能力或者具体业务层次上的达

52、到不可接受风险水平的风险，应实行风险回避；在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后无意采取进一步控制措施的，可实行风险承担；对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后如愿单独采取进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险降低；对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意借助他人力量，采取进一步的控制措施以降低风险，提高收益或者减轻损失的可以实行风险分担。风险应对策略与企业的具体业务或者事项相联系，不同的业务或事项可以采取不同的风险应对策略，同一业务或事

53、项在不同的时期可以采取不同的风险应对策略，同一业务或事项在同一时期也可以综合运用风险降低和风险分担应对策略。风险应对概述我国企业内部控制基本规范第二十五条规定：企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。风险应对就是在风险评估的基础上，针对企业所存在的风险因素，根据风险评估的原则和标准，运用现代科学技术知识和风险管理方面的理论与方法，提出各种风险解决方案，经过分析论证与评价从中选择最优方案并予以实施，来达到降低风险目的的

54、过程。风险应对可以从改变风险后果的性质、风险发生的概率和风险后果3个方面提出多种策略，对不同的风险可用不同的处置方法和策略。企业所面临的各种风险都可以综合运用各种策略进行处理。企业内部控制基本规范第二十六条规定：企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。风险的概念及其分类古人说：“宜未雨而绸缪，毋临渴而掘井。”企业在生产经营的过程中，面临着诸多的风险，如果我们没有妥善地处理，风险事故一旦发生，轻则影响生产经营稳定和企业经济效益，重则危及企业的生存。因此风险评估的目的是为了给企业造就一个安全稳定的生产经营环境，这有助于增加领导层经营管理决策的正确

55、性，进而提高企业的经济效益。（一）风险的概念企业在经营活动中，会遇到各种不确定性事件，这些事件发生的概率及其影响程度是无法事先预知的，进而影响企业目标的实现。所谓风险，就是在一定环境下和一定限期内客观存在的、影响企业目标实现的各种不确定性事件。或者说，风险就是指在一个特定的时间内和一定的环境条件下，人们所期望的目标与实际结果之间的差异程度。因此，风险是一个事项将会发生并给目标实现带来负面影响的可能性。风险具有客观性、普遍性、潜在性、必然性、可识别性、可控性、损失性和不确定性等特点，风险与机会同在。COSO企业风险管理新框架（2016）指出风险是指事项发生并影响战略和业务目标之实现的可能性。该定

56、义兼顾了正面和负面的影响，这和国际风险管理标准ISO31000及中国风险管理标准GBT24353是一致的。为了与我国内部控制规范一致，本书采用COSO04的定义。（二）风险的构成要素风险一般包括以下三项构成要素。1、风险因素风险因素是指促使某一特定风险事故发生或增加其发生的可能性或扩大其损失程度的原因或条件。它是风险事故发生的潜在原因，是造成损失的内在或间接原因。例如，对于建筑物而言，风险因素是指其所使用的建筑材料的质量、建筑结构的稳定性等；对于人而言，则是指健康状况和年龄等；对于企业而言，风险因素则包括企业人员因素、结构因素、外部环境因素等。2、风险事故风险事故也称风险事件，是指造成伤害或财

57、产损失的偶发事件是造成损失的直接的或外在的原因，是损失的媒介物，即风险只有通过风险事故的发生才能导致损失。就某一事件来说，如果它是造成损失的直接原因，那么它就是风险事故；而在其他条件下，如果它是造成损失的间接原因，它便成为风险因素。例如，对于企业而言，发生仓库货物被盗是风险事故，而安保系统不健全是风险因素。3、损失在风险管理中，损失是指非故意的、非预期的、非计划的经济价值的减少。通常可以将损失分为两种形态，即直接损失和间接损失。直接损失是指风险事故导致的财产本身损失和人身伤害，这类损失又称为实质损失：间接损失则是指由直接损失引起的其他损失，包括额外费用损失、收入损失和责任损失。风险的分类和评估

58、（一）风险的分类企业所面临的风险从来源上分，有企业内部和外部两个方面。外部风险包括：科技发展带来的企业技术、管理、信息等方面的风险；顾客需求或预期改变；竞争的存在；自然灾害；政治事件；经济环境的改变等。内部风险主要有：员工的素质和能力；经理人的责任改变；董事会或监督委员会的责任履行情况等。从企业能否对风险进行控制来分，风险分为可控风险和不可控风险两种。（二）风险评估风险评估是一个比较宽泛的概念，在有的内部控制或风险管理标准中，风险评估就是风险管理，包括了风险管理的全过程，可以说是风险管理的代名词。而在有的内部控制或风险管理标准中，风险评估是全面风险管理的一个步骤，包括内容有多有少，如目标确定、

59、风险识别、风险分析、风险评价以及风险应对等。1、COSO92关于风险评估概念COSO内部控制整体框架把风险评估列为内部控制的五要素之内部控制整体框架认为，风险评估是指单位为实现其目标而确认的相关风险，以构成进行风险管理的基础。单位风险可能来自于：（1）经营环境的变化；（2）聘用新的员工；（3）采用新的或改良的信息系统（4）迅猛的发展速度；（5）新技术的运用（6）新的行业、产业或经营活动的开发；（7）企业改组；（8）海外经营；（9）新的会计方法的采用。2、COSO04关于风险评估概念企业风险管理整体框架指出风险评估要对识别的风险进行分析，以便确定对他们进行管理的依据。强调风险评估是风险管理的一个

60、步骤，相当于我国企业内部控制基本规范的风险分析。3、我国企业内部控制基本规范关于风险评估概念我国企业内部控制基本规范借鉴企业风险管理整体框架，认为风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，从而合理确定风险应对策略。即为识别、分析、管理与企业活动相关的市场风险、政策风险、法律风险、汇率风险、经营风险等各种风险而建立的机制。该概念沿用COSO92的要素理念，是相对宽泛的概念，包括COSO04目标设定、事项识别、风险评估和风险应对四大要素的组合。SWOT分析说明（一）优势分析（S）1、工艺技术优势公司一直注重技术进步和工艺创新，通过引入国际先进的设备，不断加大自主技术研