企业内部控制与价值创造

1企业内部控制与价值创造

林斌2011年8月25日2简历1997年，毕业于厦门大学会计系，获经济学（会计学）博士学位。现任中山大学会计系教授(2001)、博士生导师(2002)、会计系主任(2000)、MPAcc中心主任(2006)，中山大学企业与非营利组织内部控制研究中心主任，兼任财政部企业内部控制标准委员会专家咨询组成员、广东省内部审计协会副会长、广东省审计学会副会长。广州白云机场等多家上市公司独立董事。曾在美国德州大学管理学院、哈佛大学商学院进修、学习。主要研究领域：内部控制与风险管理、战略管理会计、资本市场与会计信息等。

Tel-mail:chinalinbin@3目录理念法规实务4学习要点和目标1、内部控制与企业风险管理模型——了解企业内部控制与风险管理的重要性；学习内部控制与风险管理模型；掌握企业内部控制与风险管理的要点。2、内部控制与全面风险管理法规——系统地学习财政部等五部委的内部控制基本规范及其配套指引；熟悉和掌握国资委的全面风险管理指引及相关文件。3、内部控制与风险管理实务——了解基于价值创造的内部控制与风险管理实践；清楚CFO的内部控制责任，灵活应用COSO和ERM模型、相关法规来分析和评价企业的内部控制和风险管理实务；关注企业内部控制与风险管理的成功关键因素。5一、企业内控模型与理念CFO与企业价值创造企业内控的必要性企业内控、ERM与Cobit模型与理念6Kelly升官记What’sSouthwest’ssecret?SouthwestAirlinestoday(24/7/08)reportswhatalmostcertainlywillbeits69thconsecutiveprofit,astringdatingbackto1991It’ssuccesshingesonfuelhedgesCostadvantage(overitsrivals)GrayKelly:SouthwestCEO(nowbutCFOin1994)7Southwest’successThechampionoilpricehedgeramongairlinesworldwideSince1998,ithassaved$3.5billionoverwhatitwouldhavespentifithadtheindustry’saveragepriceforjetfuel.That’sequaltoabout83%ofthecompany’sprofitoverthelast9years.8CFO与企业价值创造2008年国航因燃油套期保值合约亏损高达74.72亿元

ST东航2008年亏损的139亿元中，由于燃油套保产生的浮亏高达62亿元思考:中国的CFO为什么难变成CEO？9企业核心竞争力从何而来？10企业企业是由人所组成的，这意味着什么呢？一群“心怀鬼胎(各有所需)”的人凑在一条船上这些人为什么要上“船”？比较理想的状况：企业与员工共同成长比较差的状况：企业成长是建立在员工的代价之上最差的状况：员工以企业利益为代价企业：一群自利经济人的联合体11企业如何管理用人皇权为什么要世袭？家族企业为什么大行其道？晋商票号是如何实现控制的？用信仰马俊仁用制度内部控制（制度）？？？12晋商的信用体系学徒：从本地找，要有保人管理者：主要从内部产生掌柜：考察祖宗几代人员工：在本地娶妻身股：激励与约束机制关公：保平安、监督商会：情感交流网、约束网归宿：落叶归根，光宗耀祖13公司治理、内部控制与企业管理公司治理内部控制企业管理我们希望内部控制能够很好地将公司治理与企业管理连接起来。一方面不使公司治理落空；另一方面又不会让企业管理失控。14对内控的误解15加强企业内控与ERM的必要性16小案例分析防线1检票处“没买门票，从入口的栏杆下钻进去的。”防线2清场 “我就躲在一个小屋里面，一直等到没人了。”防线3斋宫安保系统“砸了一扇窗户，就进去了。”防线4保卫人员巡查防线5密布的电子眼防线6

10米高墙“从房顶上爬到围墙，直接跳下去。”

17小案例（续）18故宫建福宫成顶级富豪私人会所

5月18日上午，一则消息再次将故宫推上了舆论的风口浪尖——据称，因怀疑泄露故宫建福宫修建豪华会所的机密是内部人所为，北京故宫宫廷文化发展有限公司开除了所有员工。从“失窃门”到“错字门”再到昨天再次将故宫推上风口浪尖的“解雇门”，这一场场“闹剧”让整个故宫在漩涡里越陷越深……19两办的《规定》《党政主要领导干部和国有企业领导人员经济责任审计规定》

2010年12月，中共中央办公厅、国务院办公厅近日印发经济责任审计对象扩大至省部级明确规定将审计结果作为考核、任免、奖惩被审计领导干部的重要依据20两办的《规定》(续)审计内容被审计领导干部所在单位财政财务收支的真实、合法和效益情况固定资产的管理和使用情况重要投资项目的建设和管理情况内部控制制度的建立和执行情况以及被审计领导干部对下属单位财政财务收支以及有关经济活动的管理和监督情况等21中石化内控评价与考核检查评价总部每年统一组织内控执行情况综合检查，根据各单位适用的业务流程及控制点分值，量化内控的有效性评价结果。结合定期测试、自查和日常内控执行情况，综合计算各单位内控有效性的总得分。22中石化内控评价与考核（续）检查评价（续）根据风险评价结果对总得分进行修正。风险评价分为４个等级：一般风险、重大风险、显著缺陷、实质性漏洞，分别扣减综合得分的5%、10%、50%、100%。23中石化内控评价与考核（续）考核兑现在高层管理人员业绩奖金考核和各单位经营目标考核体系中设置“内部控制执行情况”指标，考核结果将直接与领导人员年度业绩奖金和各单位效益工资兑现。24内部监控与风险管理25企业内控、ERM与Cobit模型与理念内部牵制内部控制结构内部控制的完整框架（旧COSO报告）全面风险管理（新COSO报告）Cobit模型26晋商的内部控制票号的号章号规不准接眷外出不准在外娶小纳妾不准宿娼赌博不准在外自开商店不准染习不良嗜好不准蓄私放贷不准用号款借与亲友不准投机取巧，买空卖空不准懈怠号事，苟且偷安不准向号中相与之家浮挪晢借。《山西金融志》（上册）山西省地方志编纂委员会办公室，1984年7月，P3827内部牵制1905年，L.R.Dicksee最早提出内部牵制（InternalCheck）的概念职责分工会计记录人员轮换28内部控制结构(1988)控制环境会计系统控制程序29内部控制结构（续）组织内部的内部控制组织外部的内部控制席尔宾斯基三角

30什么是内部控制？31什么是内部控制？（续）32内部控制手册举列33内部控制手册举列（续）34内部控制的完整框架1992年，COSO提出了著名的“内部控制的完整框架”的研究报告，1994年进行了增补。COSO报告提出内部控制的目标有三个：提高经营效率，取得好的经营效果合理保证财务报告的可靠性遵循有关的法规制度35内部控制的完整框架（续）内部控制的要素内部环境风险评估控制活动信息与沟通监督3637控制环境内部环境评估关注要点诚信与道德价值观胜任能力董事会或审计委员会管理层的理念和经营风格组织结构责任的分配和授权人力资源政策和实践38ERM模型2003年7月美国COSO颁布了企业风险管理框架的讨论稿，并于2004年4月颁布正文。同1992年的COSO报告相比，新的COSO报告增加了一个观念、一个目标、两个概念和三个要素39ERM的定义企业风险管理的定义一个由企业的董事会、管理层

和其他员工共同参与的，应用

于企业战略制定和企业内部各

个层次和部门的，用于识别可

能对企业造成潜在影响的事项

并在其风险偏好范围内管理风

险的，为企业目标的实现提供

合理保证的过程.40企业风险管理41中海壳牌风险评估矩阵结果

可能性

严重性人员环境成本(美元)工期声誉ABCDE在行业中从未发生过单经在石油工业中发生单纯在股东企业发生每年在股东企业发生几次每年在当地发生几次概率小于1%概率小于10%有可能在每个项目中发生每个项目发生多于一次<0.1%<1%<10%<100%>100%1轻微轻微<200.000<3小时轻微

2中度

(RWC)小的单元的影响0.2-2million3-24小时有限影响

持续改进

3重大伤害

LTI区域内影响2-20million1-10天相当的影响

联合改进措施尽量降低

4PTD/单个死亡区域外大的影响20–200million10天-3月国内影响

寻求替代措施立即采取措施5群死重大影响>200million>3月国际影响

42企业的层级企业的层级，包括整个企业、各职能部门、各条业务线及下属各个子公司企业风险管理三个维度的关系是全面风险管理的八个要素都是为企业的四个目标服务的企业各个层级都要坚持服从企业的四个目标每个层级都必须从以上八个方面进行风险管理，该框架适合各种类型的企业或机构的风险管理43COBIT4.1COBITControlObjectivesforInformationandRelatedTechnology(信息与相关技术的控制目标)ISACA(信息系统审计与控制协会)1967年设立1992年发布最初版本2003年发布第三个版本2005年11月发布第四个版本（cobit4.0）2007年COBIT4.144COBIT4.145COBIT的三维框架图COBIT框架的功能IT4个领域、34个IT流程、318个控制目标7类信息标准管理指南当中的衡量标准、关键成功因素和成熟度模型、审计指南当中的通用审计方法IT过程、IT目标与IT资源关系汇总表（NEXT，P：主要的；S：次要的；√：涉及）46域IT过程IT目标IT资源有效性效率性机密性完整性可用性遵循性可靠性应用信息设备人员规划与组织P01P02P03P04P05P06P07P08P09P010定义IT战略规划定义信息体系结构确定技术方向定义IT流程、组织与关系管理IT投资通讯管理目标与方向管理IT人力资源质量管理评估与管理IT风险项目管理

PSSPSPPPPPPPSPSPPPPSSSSPPPSSPP√√√√√√√√√√√√√√√√√√√√√√√√√√获取与实施A11A12A13A14A15A16A17确定自动化的解决方案获取与维护应用程序软件获取与维护技术基础设施授权操作与使用获取IT资源改变管理系统的安装与鉴定及改变PSPPSSSPSPPSSSSSPSPPPPSPSSS√√√√√√√√√√√√√√√√√√√交付与支持DS1DS2DS3DS4DS5DS6DS7DS8DS9DS10DS11DS12DS13定义并管理服务水平第三方服务管理性能与容量管理确保服务的持续性确保系统安全确定并分配成本教育和培训用户服务台与突发事件管理配置管理问题管理数据管理物理环境管理操作管理PPSSSSSPPSSSSSPPSPSPPPSSSPPPSPPPSSSPPSPPPPPPSS√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√监控ME1ME2ME3ME4IT绩效监督与评价内部控制监督与评价确保法则的遵循提供IT治理PPSSSSSPPSSSSSPSPPSSSSS√√√√√√√√√√√√√√√√47二、企业内部控制法规布什在SOX新闻发布会上“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”公司内部治理及风险管理水平的提升，也是对投资者利益的保护（会给资方带来溢价，尤其是机构投资者）SOX有助于（SOX的目的）强投资者的信心提升透明度改革会计行业48404条款公司的年报中必须包括一份“内部控制报告”该报告要明确指出公司管理层对建立和保持一套完整的、与财务报告相关的内部控制系统所负有的责任，并要求管理层在财务年度期末，对公司财务报告相关的内部控制体系作出有效性的评估；会计事务所的审计师需要对管理层所作的有效性评估发表意见．

49企业内部控制标准基本规范具体规范（应用指引）控制手段类指引控制活动类指引内部环境类指引合同管理财务报告内部信息传递组织构架发展战略人力资源企业文化社会责任评价指引审计指引全面预算信息系统业务外包工程项目研究与开发销售业务采购业务资产管理资金活动担保业务50企业内部控制基本规范（续）总则内部控制的目标、要素与原则内部环境风险评估控制活动信息与沟通监督检查附则内控规范51总则内部控制由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程内部控制的目标

合理保证企业经营管理合法合规资产安全财务报告及相关信息的真实完整提高经营效率和效果促进企业实现发展战略52总则（续）建立与实施内部控制的原则全面性原则重要性原则制衡性原则适应性原则成本效益原则内部控制的要素

内部环境风险评估控制活动信息与沟通监督检查

53内部环境内部环境影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础治理结构组织机构设置与权责分配内部审计人力资源政策企业文化54治理结构治理结构规范运行企业应当制定股东会、董事会、监事会的议事规则，明确界定决策、执行、监督各层面的地位、职责与任务，形成有效的分工和制衡机制审计委员会设立及其独立性审计委员会职责55内部环境（续）机构设置与权限分配设置内部机构，明确职责权限编制内部管理手册内部审计 内部审计的作用内部审计机构设置与人员配备56人力资源政策人力资源政策内容员工的聘用、培训、辞退与辞职员工的薪酬、考核、晋升与奖惩关键岗位员工的强制休假制度和定期岗位轮换制度对掌握国家秘密和重要商业秘密的员工离岗的限制性规定企业应将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准企业应切实加强员工培训和继续教育57企业文化企业文化的概念和内容企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。企业员工应当遵守员工行为守则，认真履行岗位职责企业应当加强法制教育58企业内部控制基本规范（续）风险评估企业应及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略风险识别风险分析风险应对59风险识别内部风险董事、监事、经理及其他高级管理人员职业操守、员工专业胜任能力、团队精神等人力资源因素组织结构、经营方式、资产管理、业务流程设计、财务报告编制与信息披露等管理因素研究开发、技术投入、信息技术运用等自主创新因素财务状况、经营成果、现金流量等财务因素营运安全、员工健康、环境污染等安全环保因素

60风险识别（续）外部风险经济形势、产业政策、资源供给、利率调整、汇率变动、融资环境、市场竞争等经济因素法律法规、监管要求等法律因素文化传统、社会信用、教育基础、消费者行为等社会因素技术进步、工艺改进、电子商务等技术因素自然灾害、环境状况等自然环境因素61风险分析企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险

企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性

62风险应对企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略63风险应对（续）风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略64企业内部控制基本规范（续）控制活动企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

65控制活动概念及其分类企业应当结合风险应对策略，采取人工控制与自动控制、预防性控制与发现性控制相结合的控制措施，运用相应的控制措施，将风险控制在可承受度之内。控制措施通常包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业应当建立重大风险预警机制和突发事件应急处理机制。

66企业内部控制基本规范（续）信息与沟通企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。信息的采集机制企业内、外部之间信息沟通机制信息技术在信息与沟通中的作用企业应当建立反舞弊机制企业应当建立举报投诉制度和举报人保护制度67反舞弊机制反舞弊机制的作用企业防范、发现和处理舞弊行为、优化内部环境的重要制度安排

企业反舞弊工作至少应当关注未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等董事、监事、经理及其他高级管理人员滥用职权相关机构或人员串通舞弊68企业内部控制基本规范（续）内部监督企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。日常监督专项监督69小结法律法规，使之不敢；内部控制，使之不能；职业道德，使之不愿。70内部控制与企业价值创造合同管理内部控制案例及要点分析业务外包内部控制案例及要点分析信息系统一般控制案例及要点分析总结与思考三、企业内部控制实务71内部环境与企业价值创造企业文化在生产经营实践中逐步形成的、为整体团队认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。兰德公司研究表明 世界500强之所以强，固然受多种因素的影响，但关键在于以文化力制胜企业并购重组中的文化整合中大整合与文化思科联想并购IBM，柳传志“文化磨合决定收购成败”（评估收购风险主要有市场流失、员工流失、文化磨合与业务整合）7273内部环境与企业价值创造(续)社会责任企业在经营发展过程中应履行的社会职责和义务，主要包括安全生产产品质量（含服务）环境保护资源节约促进就业员工权益保护产学研用相结合支持慈善事业等74内部环境与企业价值创造(续)CSR（续）企业如何履行社会责任负责人高度重视建立和完善履行社会责任的体制和运行机制建立责任危机处理机制建立企业社会责任报告制度75内部环境与企业价值创造(续)发展战略制定发展战略宏观环境分析（经济、政治与法律、社会和文化、技术）行业环境及竞争对手分析（行业新进入者的威胁、供应商的议价能力、购买商的议价能力、替代产品的威胁、同业竞争者的竞争强度）经营环境分析（市场及竞争地位、消费者消费状况、融资者、劳力力市场状况等）实施发展战略实现发展战略的优化调整与转型76目标制定每个企业都要面临来自企业内部和外部的各种风险，设定目标是企业进行有效地事项识别、风险评估和风险对策的前提；设定目标应区分不同的管理层次和内部结构，目标应当建立在战略的高度，为企业的运营目标、财务报告目标和遵循目标建立一个基础；设定目标还应当与企业风险偏好保持一致．77ObjectiveSettingLevelsVisionMissionCorporateobjectivesUnitobjectivesCategoriesStrategicOperationalReportingCompliance78Vision,Mission,CorporateobjectivesandUnitobjectives愿景（Vision）是对企业期望成为什么样子的描述，从广义来讲，就是企业最终想实现什么；简单、易记；愿景是一幅充满激情的“巨大的画面”，帮助人们意识到在组织中他们应该去做的事情；愿景反映了企业的价值观和渴望，并且借助愿景抓住每一位雇员的心，最好也能影响其他的利益相关者。一家企业的愿景比较持久，而企业的使命会根据为断变化的外部条件而发生变化.愿景的表述必须清晰地与企业的内外部环境条件紧密联系。79Vision,Mission,CorporateobjectivesandUnitobjectivesMission企业的愿景是其使命的基础。它指明了一家企业意图参与竞争的一个或多个业务的个性，以及所要服务的顾客。企业的使命比其愿景更加具体。与愿景一样，使命要建立企业的个性，与所有的利益相关者有关，并且能鼓舞人心。超额利润是企业努力实现其愿景与使命过程中结出的果实Acommercialcompanyintheleisureindustrymighthaveamissionofimprovingthequalityofpeople’slives,byprovidingthemwithalltheleisureactivitiestheywant.80Vision,Mission,CorporateobjectivesandUnitobjectivesCorporateobjectivesThosewhichareconcernedwiththefirmasawhole.Objectivesshouldbeexplicit,quantifiableandcapableofbeingachieved.Thecorporateobjectivesoutlinetheexpectationsofthefirmandthestrategicplanningprocessisconcernedwiththemeansofachievingtheobjectives.81CorporateobjectivesObjectivesshouldrelatetotheKeyfactorsforbusinesssuccess,whicharetypicallyasfollowsProfitability(returnoninvestment)MarketshareGrowthCashflowCustomersatisfactionThequalityofthefirm’sproductsIndustrialrelationsAddedvalue82Vision,Mission,CorporateobjectivesandUnitobjectivesUnitobjectivesObjectivesthatarespecifictoindividualunitsofanorganization,andareoften“operational”objectives.ExamplesFormthecommercialsectorIncreasingthenumberofcustomersbyX%(anobjectiveofasalesdepartment)Reducingthenumberofrejectsby50%(anobjectivesofaproductiondepartment)Producingmonthlyreportsmorequickly,within5workingdaysoftheendofeachmonth(anobjectiveofthemanagementdepartment)83校训、战略与企业文化Vision企业决定想要成为什么Mission为谁服务以及怎样服务于那些个人和群体CorporateobjectivesUnitobjectives校训与V/M传承一种人文精神,简单、易记企业的成功（包括品牌）：把握了产业的本质世界银行项目FR·FA·MIS中山大学课题组84校训、战略与企业文化（续）校训哈佛：与柏拉图为友，与亚里士多德为友，更要与真理为友(AmicusPlato,AmicusAristotle,sedAmicusVERITAS)清华：自强不息，厚德载物厦大：自强不息，止于至善再看国家会计学院、其他高校、单位……运动品牌阿迪达斯：一切皆有可能（没有不可能）耐克：释放潜能李宁：中国新一代的希望、运动之美世界共享、我运动我存在、把精彩留给自己、出色源自本色、因为专业，一切皆有可能、MakeTheChange85校训、战略与企业文化（续）86内部环境与企业价值创造(续)人力资源引进:公开、平等、竞争、择优开发：职业技能、职业品质、员工潜质，促自我实现使用：“凭贡献、讲业绩、论才干”的考核激励机制退出：激发内在动力，保持企业活力87内部环境与企业价值创造(续)组织机构设计和运行中的主要风险治理结构层面内部机构层面“三大一重”（重大决策、重大事项、重要人事任免和大额资金支付业务）必须按规定的权限和程序实行集体决策审批或者联签制度88预防贪腐内部制度建设（深圳的实践）决策、执行、监督权相互分离，相互制约

《关于加强党政正职监督的暂行规定》凡配偶和子女非因工作需要在国或境外定居、或加入外国国籍、或取得国外境外永久居留权的，不得担任党政正职和重要部门的班子成员（裸官）

《党政领导班干部问责暂行规定》“一把手”不具体直管人事、财务、审批、执法等事项，由班子其他成员协助正职分管，领导班子中的经（工）委书记、纪检组长或纪检（监察）派驻组组长也不能分管人事、财务、审批、执法等事项89风险导向审计方法89了解企业业务目标了解业务战略了解企业商业模式了解战略组织结构了解战略的关键成功因素分析风险来源和如何威胁企业达成战略目标评估风险对达成战略目标的影响评估风险发生可能性了解风险的性质了解管理层对风险的反应和责任评估企业内部控制框架分析剩余风险审计项目排优分配资源到风险领域获得审计委员会批准分析业务流程评估内部控制设计识别内部控制设计可改进的领域识别关键控制点测试关键控制点果效记录审计结果向管理层报告提出建议及分析管理层的回应评估管理层整改计划向审计委员会报告识别关键整改计划跟踪关键整改工作是否完成向管理层和审计委员会报告风险分析图

及

风险登记册审计计划审计报告战略分析企业风险评估制定内部审计计划执行内部审计审计报告跟踪解决问题使风险受控制企业层面内部控制框架结构分析流程/营业场所/交易层面战略分析备忘录审计记录90DevelopingkeyriskindicatorstostrengthenERM91ERM92KRIstoInformAboutRiskofDebtCovenantDefault93KRIsFacilitateProactiveManagementofEmergingRisks94Example95KRICommunicationandReporting96KRICommunicationandReporting97控制活动与企业价值创造控制活动 控制活动的设计控制措施足以覆盖企业重要风险，不存在控制缺失、控制过度控制活动的运行被控制活动符合控制措施规定（针对各类业务事项的主要风险和关键环节所制定的各类控制方法和控制措施是否得以有效实施）98通过信息与沟通创造价值信息与沟通信息收集处理和传递及时、准备、适用数据建设与挖掘知识管理基于价值创造的会计信息系统反舞弊机制健全沟通顺畅利用信息化程度99通过信息与沟通创造价值（续）财务报告计划矩阵会计报表项目年月日真实性相关内控流程完整性相关内控流程权力和义务相关内控流程估价或分摊相关内控流程表达和披露相关内控流程准确性相关内控流程资产负债表10.11.11.15.21.11.51.19.6

货币资金利润表

营业收入披露

高管薪酬100监督与持续改进内部监督内部监督能够覆盖并监控企业日常业务活动内部控制缺陷认定科学、客观、合理，且报送机制健全内部控制建设与评价文档妥善保管内部审计一种独立、客观的保证工作与咨询活动，其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法来评价和改进风险管理、控制和治理程序的效果，帮助组织实现其目标。101某电网电力设备销售项目

可行性分析报告项目背景与意义

A在多年电力行业信息化系统集成的过程中，通过深入的调研了解，针对性的提出了符合电力行业信息系统特点及运营需求的数据中心(IDC机房)解决方案，为电力行业用户提供以技术服务为核心的全方位设计、咨询、IT机房基础建设以及运营维护服务,在结合行业特色及运用国际先进技术﹑标准与产品的基础上,为客户提供新一代数据中心整体解决方案。

A在电力行业精耕细作多年，2010年开始进入某电网输、配电设备供应市场，并成立B自动化科技有限公司，A占有B55％股权，从事电气自动化、电力设备的研发、设计、生产、销售代理以及服务，专注于电力行业，力争在电力行业拥有自主品牌产品。某电网对于L是个空白的业务市场，借此机会进入这个全新的业务领域，成为政企业务中的优质客户。同时也符合广通服针对重点行业客户业务拓展的指导要求，对于优化企业的政企业务结构有益。102某电网电力设备销售项目

可行性分析报告（续）项目内容和商业模式L在此项目中所负责的工作采购工作：B在某电网中标后，B向我司下单，由我司向上游生产厂家采购货物，对应的上游厂家是国际几大知名电气电力产品制造厂家，如：阿海珐、ABB、施耐德、西门子、APC、Superconductors、GE、LS，参与某电网项目：L直接参与某电网项目投标，B负责客户关系运作，中标后我司与某电网签合同、结算；采购结算方式：向阿海珐、ABB、施耐德、西门子等厂家采购，支付3-6个月银行承兑汇票。销售结算方式：LVSB≤120天收回货款

LVS某电网90－120天收回货款103某电网电力设备销售项目

可行性分析报告（续）业务模式图阿海珐，施耐德，ABB，西门子等厂家LB某电网阿海珐，施耐德，ABB，西门子等厂家LB某电网104某电网电力设备销售项目

可行性分析报告（续）项目预期目标和收益年销售目标：6000万毛利率≥4%年收益≥240万；收益组成：销售毛利项目参与所需的基本条件与资源支撑资金：2000－2500万银承额度支持；人员：1名业务人员，1名商务人员105某电网电力设备销售项目

可行性分析报告（续）市场分析市场现状：A近3年在电力行业项目完成情况项目名称项目规模广东电网公司电力科学研究院粤电大厦实验中心建筑智能化系统改造工程2065万华能国际电力股份有限公司广东分公司海门电厂信息化工程1645万广东省电力设计研究院-中山电力调度新大楼专业机房工程总承包EPC项目1555万广东电网公司韶关供电局通信机房、自动化机房、数据机房、图象／集控中心、DTS室智能化工程1252万广东省电力设计研究院-河源局数据中心机房改造工程580万广东省电力设计研究院-河源局数据中心机房改造工程广电电网公司汕头供电局广东电网公司视频监控项目552万广东省电力设计研究院科学城办公基地机房工程461万广东省电力设计研究院-梅州供电局数据处理与存储中心工程391万106某电网电力设备销售项目

可行性分析报告（续）市场分析（续）市场规模某电网云南公司2010年断路器等产品采购规模为10亿，B预计能拿下15％市场份额，即1.5亿。竞争力分析在电力行业，以广东市场为核心，从产能的华能广东分公司到供电的广东电网公司及其各分公司到各电力设计院，电力研究院，覆盖了整个电力系统各个环节。107某电网电力设备销售项目

可行性分析报告（续）法律评估与风险分析风险因素识别B资金回笼风险风险防范对策公司担保或者个人连带责任担保；签订债权转让协议，应收账款质押；客户提供每月银行的流水账单，了解客户资金收支情况。战略分析108企业内控

配套指引合同管理贯穿企业经营、投资和筹资活动的始终，对防范风险和降低合同风险、促进长期可持续发展意义重大。109合同管理控制目标

确保合同遵循相关法律、法规；避免合同条款不规范、不完整；避免合同越权审批；有效防范合同纠纷，努力做到零诉讼，以有效降低公司经营风险，实现利益最大化；确保合同管理规范。110合同管理(续)主要风险未及时签订合同，导致利益受损时缺乏法律保护依据合同未遵循相关法律法规，导致合同无效或无法履行合同签订范围的风险合同条款不规范、不完整，显失公允，损害我方利益合同主体的资格风险与能力风险有关单位、部门越权审批或签订合同，增加公司经营风险未及时履行合同规定的相关义务，导致法律诉讼风险合同缺乏管理，导致合同文本的遗失111合同管理(续)流程图112合同管理(续)控制点113114115116内控配套指引（续）业务外包研发资信调查可行性研究委托加工物业管理客户服务IT服务等

业务外包基本流程图117业务分包内控控制目标确保业务分包活动遵循当地国家法律法规，避免遭受外部处罚、经济损失和信誉损失；规范业务分包活动，提高业务分包的运营效率，有效实现业务分包目标；对业务分包活动进行正确的会计处理，确保与业务分包相关的财务报告信息的真实性。118业务分包内控（续）主要风险业务分包违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失业务分包未经适当审核或超越授权审批，可能因重大差错、舞弊、欺诈而导致企业相关人员涉案和财产损失业务分包策略不科学、承包方选择不合理，可能导致企业核心资产遭受损失业务分包流程未恰当履行或监控不当，可能导致企业分包战略失败或经营效率低下，难以发挥业务分包的优势业务分包信息保护措施不当，导致企业商业秘密泄露业务分包会计处理不当，可能导致财务报告信息失真119业务分包

内控（续）流程图承包方入围与考核管理流程120分包项目实施管理流程121业务分包内控（续）控制点122分包业务的风险分析风险5—其他风险风险4--农民工工资发放风险风险3--安全、质量风险风险2—以包代管的风险风险1—主体方面的风险分包涉及的主要风险点123分包业务的风险分析（续）风险1—主体方面的风险分包涉及的主要风险点分包单位由于主体资格、资质或履约能力方面的问题如无营业执照、无总公司的授权而无签约资格、无相应的专业资质或劳务资质、注册资本低或财务状况差等引起的风险。民事责任：连带赔偿责任、用工主体责任。行政处罚：没收非法所得、罚款、降低或吊销资质等。124分包业务的风险分析（续）风险1—主体方面的风险分包涉及的主要风险点公司这方面存在的问题对分包单位的评审未能严格执行公司相关管理办法，只是对对方营业执照、资质、业绩等资料进行形式审查，并未进行实质性审查，如财务状况等；

多数分包单位不具备相应的专业资质或劳务资质，有资质的实力雄厚的分包单位较少。部分单位在实际的分包过程中存在分包给无资质的个人的现象；对分包单位的考核标准不完善，未能分包单位进行严格的考核及动态管理；

对分包单位缺乏统筹管理，分包项目过分集中在少数分包单位当中，而部分分包单位注册资本不高，但合作的项目合同总额却很大（具体情况见下页），一旦分包单位资金链断裂，公司将承担很大的风险（如固得公司）。1234125合作单位承包的合同及其注册资本情况2010年到目前为止，公司合作的分包单位当中，合同金额超过100万元的有53家。其中超过1000万的有6家；100万元以上，1000万元以下的有47家。但大部分公司的注册资本却不高。126分包业务的风险分析（续）风险1—主体方面的风险分包涉及的主要风险点应对措施：从主体资格、资质、财务状况等多方面对分包单位进行评审，考虑要求分包商提供履约保函或保证金，在该保函中应载明保证的范围及保证金额、保证的方式及期间、承担保证责任的方式及代偿的安排；在项目分包过程中，避免违法分包，尽量分包给有营业执照及相关专业资质或劳务资质的分包单位，达到真正规避风险的目的；坚决杜绝将项目分包给个人；建立和完善分包单位考核及信誉评价体系，并加强对分包商分级、动态管理，做到“有进有出”，使分包单位形成有序的竞争。对项目分包应统筹思考，不应将项目过于集中在几家分包单位。127分包业务的风险分析（续）风险2—以包代管的风险分包涉及的主要风险点在分包管理中，不少分包单位总体实力较弱、队伍素质参差不齐且普遍不高、人员构成复杂且流动性较大、管理水平相对较低，如果忽视分包管理，工程极易出现安全和质量事故，风险巨大。（近期公司因分包单位出现安全事故，被受伤雇工起诉，要求承担连带赔偿责任就是以包代管风险的例证。）公司目前以包代管的情况比较严重，对分包项目的管理不够重视，特别是挂靠项目和业主指定分包项目。128分包业务的风险分析（续）风险2—以包代管的风险分包涉及的主要风险点应对措施：对参与施工的分包队伍，应作为管理单元来对待的，将其内部组织机构、制度体系建设、驻地布局和视觉形象、人员教育培训、设施设备管理、安全生产等纳入管理体系中进行统一管理。对分包单位施工全过程进行跟踪控制管理，接受上级监督检查，杜绝以包代管现象。同时必须对分包单位明确各项考核目标、指标，制定奖惩措施，兑现奖罚承诺，形成良性竞争氛围，充分调动分包单位积极性；129分包业务的风险分析（续）风险3—安全、质量风险分包涉及的主要风险点因违法分包，承担安全、质量连带责任；国务院下发了《国务院关于进一步加强企业安全生产工作的通知》，从2011年开始工亡标准翻了一番，全国平均一次性工亡补助金为34.35万元，加上同时实行的葬补助金和供养亲属抚恤金（按供养2位亲属测算），三项合计约为61.8万元；住房和城乡建设部下发了《关于加强建筑市场资质资格动态监管，完善企业和人员准入清出制度指导意见》，实行质量安全事故“一票否决制”。一旦发生质量安全，企业将面临被降低或吊销资质的处罚。130分包业务的风险分析（续）风险3—安全、质量风险分包涉及的主要风险点公司这方面存在的问题因对分包单位缺乏必要的管理，特别是省外的项目，就2010年以来，省外就因为分包单位发生安全事故，被分包单位受伤的雇员起诉的案子就有3起。

很多分包单位未为其雇工购买保险或者购买金额太低，一旦发生意外伤亡，公司将面临被追究连带责任的风险；

对分包的单位的安全、技术交底、安全培训及考核流于形式，缺乏实质的效果；123131分包业务的风险分析（续）风险3—安全、质量风险分包涉及的主要风险点应对措施：严格执行项目管理体系中提出的三级质检及安全检查机制；督促分包单位为其雇员购买保险，根据法律法规的变化适时提高购买的额度；进一步加强安全生产工作，加强对分包单位安全生产检查的力度，并将安全生产、工程质量纳入考核体系，并与工程款支付直接挂钩；可以考虑在工程款支付时，预留结算价款的一定比例作为安全施工保证金。工程结束无任何安全事故，安全保证金再全额返还分包单位。132分包业务的风险分析（续）风险4—农民工工资发放风险分包涉及的主要风险点部分项目由于分包商的资金实力不足或者因为项目层层分包，分包单位或者下游包工头拖欠农民工工资，使公司作为总包单位面临着先行垫付的风险，影响公司的现金流。近期，在《刑法修正案（八）》（草案）将“恶意欠薪”正式入罪，日后拖欠农民工工资可能面临刑法处罚。问题：1、公司目前对分包单位的农民工工资发放的监督管理还不完善，近期发生的固得公司拖欠工资事件就是一个例证；2、部分分包单位由于承包的项目总金额过大，资金周转出现问题，存在一时无法支付农民工工资的风险。133分包业务的风险分析（续）风险4—农民工工资发放风险分包涉及的主要风险点应对措施：建议相关单位对分包单位农民工工资发放进行一次清理，了解相关情况；选择有资质、履约能力强、信誉好的施工企业作为分包队伍。这样，不仅工程施工质量、进度有保障，而且，也意味着其承担民事责任的能力有保障；应监督分包单位农民工工资发放，在合同条款中增加约定履约保证金或保函，对工程款支付进行控制，严禁超付资金，监管分包方资金流向；加强项目收款，及时与业主办理结算，从源头解决资金紧张造成工程款支付不及时。134分包业务的风险分析（续）风险5—分包涉及的其他风险分包涉及的主要风险点合同签订的风险，未能充分理解承接合同的内容背靠背地在分包合同中约定。如西南成品油光缆项目。部分分包单位对外以我公司的名义进行工程建设或业务联系，可能造成因“表见代理”所带来的风险，如某分公司的合作单位员工对外以公司的名义进行施工，并欠某包工头工程款，并有签字，我公司也因此被诉承担相应的责任（对方因缺乏足够的证据，我公司一审胜诉）。其他：入真假分包、分包模式不合理、分包比例过大的等。135分包业务的风险分析（续）风险5—分包涉及的其他风险分包涉及的主要风险点应对措施：充分理解承接合同的条款内容，背靠背地在分包合同当中作出相应的约定；加强所有印章的管理，建立严格的用印审批和备案制度;禁止出借、出让公章，或给他人出具盖有印章的空白合同或介绍信;作废的印章要及时销毁并作公告声明。禁止分包单位施工队伍以公司的名义进行业务联系;注意企业内部的一些文件材料、会议纪要、结算文书等勿流失到分包队伍手中，以免被冒用身份。136企业内部控制配套指引（续）信息系统企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。

战略规划开发建设运行维护系统终结输入控制处理控制输出控制日常运行维护变更管理安全管理一般控制应用控制信息系统内部控制信息系统内部控制框架137开始提供测试参考资料（需求分析报告、软件设计说明书、）程序源代码、用户初步使用手册资料是否规范、是滞满足需求分配人员建立环境测试制定测试进度评估风险编写测试大纲编写测试用例测试设计评审评审通过测试用例执行错误记录结果确认测试报告软件测试总结测试工作总结是否符合需求是否需要其他类型用例再测试结束是是是否根据具体要求修改否否修改相关文档修改相应软件修改测试用例是否文档测试测试计划测试设计测试实施测试总结信息系统测试环节流程138信息系统一般控制信息系统

利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称企业信息化部门

企业内对信息化规划、实施与维护负有责任的部门，在具体企业中可能根据具体职责的不同而进行分工

139140程序开发控制目标确保公司管理层有充分的控制保证新的应用系统及硬件基础架构的开发和采购是经过适当级别的企业信息化部门管理层和公司管理层的审批对于涉及财务、运营等关键数据的系统程序，确保公司建立和施行适当的控制，以保证有合适的程序开发方法，并在开发和实施过