公司战略与风险评估管理教材

公司战略与风险评估管理教材公司战略与风险评估管理教材公司战略与风险评估管理教材第六章

公司治理

第一节

公司治理的基本理论一、公司治理的概念现有的公司治理概念可以区分为两大类别，即狭义定义或广义定义。从狭义定义看，公司治理是公司及其股东的关系，是监督和控制过程，以保证公司管理层的行为同股东的利益相一致。从广义定义看，公司治理不仅包括了监督和控制公司及其所有者之间的关系，也包括了监督和控制公司与其他广泛的利益相关者的关系，这些利益相关者包括雇员、客户、供应商、债权人，甚至社会公众等。尽管公司治理的定义存在一定的差异，但其含义至少包括了以下三个方面的基本特征：（一）公司治理是一种规范公司所有者、董事会和管理层的制度安排。公司治理是用来管理利益相关者之间的关系，决定并控制企业战略方向和业绩的一套机制。公司治理的核心是寻找各种方法确保有效地制定战略决策，管理潜在利益冲突的各方之间秩序的一种方式。公司治理是在合法、合理、可持续性的基础上实现股东价值最大化，同时确保公平对待每一个利益相关者。因此，公司治理反映了企业的文化、政策、如何处理利益相关者之间的关系及其价值观。（二）公司治理是一种对公司内部和外部的制衡体系，以保证公司对其所有的利益相关者履行受托责任，并且以一种对社会负责的方式开展各地区的业务经营活动。有效的公司治理使管理层能够成功地解决缺席的所有者和管理层之间信息不对称的矛盾。良好的公司治理创造了一个体制，确保对投入资本的恰当经管和如实报告公司的经营状况和业绩。（三）公司治理的目的是用来帮助确保公司资产的恰当经管的所有人员和所执行的所有程序和活动。良好的治理为企业长期生存和成长提供了必要的环境。企业的成长需要投资，良好的企业治理提高了公众对企业的信心，降低了投资的资本成本。二、代理理论提出“委托代理理论”，倡导所有权和经营权分离，企业所有者保留剩余索取权，而将经营权让渡。该理论现已成为现代公司治理的逻辑起点。代理理论的首要假设就是委托人和代理人的目标有冲突。代理理论的另一个重要假设是委托人想要检验、核实受托人的行为是困难的，并且这种成本也很高。詹森和麦克林将“代理成本”定义为：为设计、监督和约束利益冲突的代理人之间的一组契约所必须付出的成本，加上执行契约时成本超过利益所造成的剩余损失。具体来说，“代理成本”分为三个部分：（1）委托人的监管成本，顾名思义，即委托人用于管理代理人行为的费用。（2）代理人的约束成本，即代理人保证不采取损害委托人行为的费用。（3）剩余损失（机会成本），即由于代理人的决策和使委托人的利益最大的决策之间存在着偏差而导致委托人利益的损失。在代理理论之下，股东监管公司管理层以及帮助他们解决代理冲突的直接方式包括：作为公司的所有者，股东可以在年度股东大会上行使表决权来影响公司的运营方式；与股东表决权相关的接管机制是另外一种控制公司管理层的方式股东决议的通过，即所有的股东针对他们不满意的问题共同开展院外活动。核心机构投资者可以影响其所投资管理层的另外一种方式——“一对一”会议，即一位来自于投资方的代表和一位来自公司管理层成员之间的会议。三、利益相关者理论利益相关者管理理论是指企业的经营管理者为综合平衡各个利益相关者的利益要求而进行的管理活动。与传统的股东至上主义相比较，该理论认为任何一个公司的发展都离不开各利益相关者的投入或参与，企业追求的是利益相关者的整体利益，而不仅仅是某些主体的利益。公司与利益相关者的关系是当前政治和社会坏境中的新问题。社会和环境院外活动团体积极地鼓励公司改善对利益相关者的态度，并在商业运营中承担社会责任。鼓励公司承担社会责任的动机来自于公司完全有道德义务以遵守伦理的方式行事，并假定公司应承担社会责任，以满足所有的利益相关者的利益。四、公司治理的参与各方（一）公司内部的公司治理直接参与者执行管理层、董事会和审计委员会是主要负责公司治理的方面。它们都处在公司内部。1.执行管理层。投资者和债权人（公众公司的缺席的所有者）把公司的日常经营和活动都托付给执行管理层。管理层在考虑公司的活动和政策时，有责任按照缺席的所有者的最大利益行事。2.董事会。董事会成员直接由股东任命，以确保管理层按照缺席的所有者的最大利益行事。董事会作为管理层的重要顾问来运作，但是除了聘任和解聘高级执行官以外，它并不参与公司实际上的日常经营，而是在确定公司经营、财务和营销战略的过程中，利用其专长来帮助管理层。董事会还就沟通和财务报告向管理层提供咨询。如果运作有效，董事会就能够提供清晰、客观的指导，并监督管理层的业绩和行为。3.审计委员会。审计委员会是董事会的一个下属委员会。董事会设立审计委员会的目的是监督会计和财务报告过程，以及内部和外部审计师。（二）公司治理的促进者仍需要4个关键的促进者来恰当地执行和监控有效的公司治理。这些角色包括内部审计师、外部审计师、交易市场（包括财务分析师）和缺席的所有者。1.内部审计师。内部审计师对一个公司的财务系统提供质量控制。在一家公众公司中，内部审计师负责保证内部控制存在且有效地运行。他们在监控和管理公司的经营、信息系统、财务报告和与舞弊有关的风险方面起着重大作用。此外，调查舞弊和其他违法行为是内部审计师行使的另一项职能。如果得到恰当的实施，内部审计职能可以作为董事会、审计委员会和管理层用来保证公司的财务信息得以恰当地搜集和报告的一个主要工具。内部审计师直接向审计委员会报告最为理想。2.外部审计师。监管机构还是要求所有公众公司的财务报表都要经过独立的外部审计事务所的审计。外部审计师可以根据内部审计职能的客观和胜任程度适当地依赖内部审计师职能的工作。外部审计师的独立性和客观性有助于他们向投资者提供财务报表的保证。外部审计师由审计委员会聘任，并直接向其报告。3.分析师。证券分析师通过检查财务报告和与公众公司有关的其他信息，以及为这些公司发布盈利预测和股票投资建议（即买入、持有或卖出的具体建议），在证券市场中发挥着重要的作用。4.公司的所有者。当今，投资者和债权人需要他们所赖以获取信息的那些人承担更大的责任。一些最有实力的投资者是“机构投资者”，它们积极地跟踪公司的业绩和财务报告。它们提出严格的问题，并且有能力对董事会和管理层施加相当程度的影响。（三）证券监管机构和准则制定机构公司治理的适当推行要求各方的共同参与和合作。监管机构、监督委员会和准则制定者，将有助于确保实行公司治理所牵涉的各个方面公允、统一地参与和合作。1.证券监管机构。2.财务会计准则制定机构。3.审计准则和审计师职业道德准则制定机构。五、公司治理的基本原则有效的公司治理原则主要包括：（一）建立完善的组织结构一般涉及股东（大）会、董事会、监事会和管理层。为了奠定管理和监督的坚实基础，应该规范和披露董事会及管理层的职能。（二）明确董事会的角色和责任（三）提倡正直及道德行为如果企业明确声明董事和关键管理人员能够遵守行为守则，投资者的信心就会得到增强；此外，企业还可以披露董事、经理和员工对公司证券进行交易的政策；企业应考虑采取适当的遵守标准和程序，以促进实施上述的政策，并建立内部审查机制，以评估遵循情况和有效性。这种审查可能涉及内部审计职能。（四）维护财务报告的诚信及外部审计的独立性审计委员会应审查企业财务报告的诚信和监督外部审计师的独立性。审计委员会应当向董事会报告，报告应包括有关委员会的作用和责任的事项，包括评估外部报告和评估支持外部报告的管理程序，挑选、任命和轮换外部审计师的程序，对聘用和解聘外部审计师的建议，对外部审计师的表现和独立性的评估以及审计委员会是否对由外部审计师提供的非审计服务的独立性感到满意，对业绩和内部审计客观性的评估，对风险管理、内部遵循情况和控制系统的审查结果。保持外部审计师的独立性就是确定他们在为企业提供审计服务的同时，没有向企业提供某些可以影响其独立性的非审计服务，然而这不一定意味着外部审计师不能从事任何非审计工作。（五）及时披露信息和提高透明度（六）鼓励建立内部审计部门审计委员会应当向董事会就任免内部审计管理人员提供建议。内部审计部门应独立于外部审计师。内部审计部门应和管理层进行必要沟通，并具有从管理层获得信息和解释的权利。审计委员会应具有监督内部审计范围的权利和在管理层不在场的情况下了解内部审计职能的权利。为了提高内部审计部门的客观性和业绩，内部审计部门应该直接向董事会或者审计委员会负责。（七）尊重股东的权利（八）确认利益相关者的合法权益（九）鼓励提升业绩董事会和主要管理人员的业绩应定期通过可计量和定性的指标进行审查。提名委员会应负责评估相关的业绩。（十）公平的薪酬和责任第二节

投资者和董事会在公司治理中的作用

所有权结构与公司治理（一）公司治理应当保护和促进股东权利行使1.股东的基本权利。包括：（1）安全登记所有权的方法；（2）转让和交易股票；（3）及时、定期地从公司得到相关和真实的信息资料；（4）参加股东大会和参与投票表决；（5）选举和撤换董事会成员；（6）分享企业利润。2.股东应该具有参与权、充分告知权、有关企业重大变更的决策权。这些重大变更包括：（1）修改法规、公司章程、其他类似的公司管理文件；（2）授权增发股份；（3）特别交易，包括转让全部或大部分资产、而这将造成公司被出售的结果。3.股东应具备有效的参与机会、能够在股东大会上投票、应当被告知投票规则，包括：投票程序，这将决定股东大会的正常举行。4.股东可以亲自投票，也可以缺席投票，两者都赋予投票结果以同等效力。5.使某些股东获得与他们所有权不成比例的控制地位的资本结构和安排，应当被披露。6.公司控制权市场应被允许以有效率和高透明的方式运作。（1）用来规范在资本市场上获得公司控制权和非常规交易，如购并、公司主要资产的出售等的规则和程序，应该明确制定和披露，以便投资者理解他们的权利和追索权。交易应该在透明的价格和公平的条件下进行，以便所有股东依照他们的类别保护他们的权利。（2）反并购机制不应作为董事会和管理层免受监督的借口。（二）公司治理应当保证所有股东得到公平待遇公司治理结构应当保证所有股东的公平待遇，包括少数股东和国外的股东。所有的股东都应该在他们的权利受损时有获得有效补偿的机会。股东可执行其权利的途径之一是能够对经营管理层和董事会成员发起法律和行政诉讼程序。当少数股东有合理的依据相信他们的权利已经受到侵害，法律制度能够提供给他们提起诉讼的机制，这可以强化中小投资者的信心。提供这样的执行机制是立法者和监管者的关键职责。鼓励投资者在法庭质询公司的行为，这样的法律制度存在着一定的风险，也许会造成滥讼。1.同一类别、同一系列的股东应当得到同样的公平待遇。2.禁止内部交易和滥用的私利交易。3.在直接影响到企业的任何交易或事件中，无论董事会成员和关键经营人员直接、间接或在第三方利益上对于董事会具有实质性利益的，都应当被要求公开。二、董事会的职权及其在公司治理中的作用董事会除了指导公司战略，还主要负责监督经营管理层和确保股东回报，同时避免各种利益冲突，平衡各方需求。为了有效地完成以上职责，董事会必须具备客观独立的判断力。董事会另外的重要职责是监督确保公司运作符合现行法律法规，这些法律法规涵盖多个方面，包括税收、竞争、劳资、环境、公平发展、健康和安全等。董事会不仅要对公司和股东负责，同时有义务将其利益最大化。董事会还被寄希望于承担起兼顾和公平对待其他利益相关者利益的职责，这些利益相关者包括员工、债权人、客户、供应商和当地社会。在这个范围内，他们还必须遵守环境和社会的标准。（一）董事会成员的行为应当建立在一个充分可靠信息的基础上，忠实诚信、勤勉尽责、根据公司和股东的最大利益履行职责。董事会成员履行受托责任的两个重要方面是谨慎义务和忠诚义务。谨慎义务要求董事会成员基于完全信息，忠实、诚信、勤勉和审慎地履行职责。忠诚义务，要求董事会成员平等对待股东、监管关联交易和建立合理的关键的经营人员及董事会成员的薪酬体制。忠诚义务对在一个集团公司结构内的董事会成员也非常重要，即使一家公司被其他的企业控制，忠诚义务要求董事会成员对本公司和本公司股东负责，而非对控制方负责。（二）如果董事会的决策可能对不同的股东团体产生不同影响，董事会应平等地对待所有股东，在履行其职责时，董事会不应被视作、也不应被当作不同支持者的个别代表的集合体。尽管个别董事会成员可能确系部分股东提名选出，让董事会成员承担起他们的职责而以一个尊重所有股东的公平方式履行他们的义务，这确实是董事会工作的一个重要作用。如果控股股东存在，而他又能够在事实上选取所有董事会成员，那么该原则就尤为重要。（三）董事会应该建立高水平的伦理道德标准。它应当充分考虑到利益相关者的利益，董事会在塑造整个公司的道德伦理形象中发挥着关键性作用，他们不仅要身体力行，同时还要约束和监督关键经营人员和整个经营管理层。高水平的道德伦理标准符合公司的长远利益，它会在日常运作和长期合作中为公司贏得信誉和诚信。为了使董事会目标清楚而且切实可行，很多公司建立了基于专业标准和更广泛行为准则的规章制度。（四）董事会对公司事务应该能够行使客观独立的判断。为了执行其监督经营管理层、防止利益冲突、平衡公司内部各种需求的职能，董事会要有能力做出客观的判断。首先这意味着董事会在组成和结构上，对于经营管理层的独立性和客观性。董事会的客观性还取决于公司的所有权结构。一个控股股东在董事会和经营管理层的人事安排上有很大的影响力，然而，即使在此种情况下，董事会仍然要对整个公司和包括小股东在内的所有股东恪守尽责。1.董事会应该考虑指派足够数量的、有能力的非执行董事，对潜在的利益冲突的事项行使客观独立判断的任务。2.当董事会设立专业委员会时，他们的任命、构成和工作程序应该定义明确并由董事会公告。3.董事会成员应该承诺有效地履行他们的职责。4.为了改善董事会的运作及其成员的绩效，越来越多的公司正在鼓励培训其董事会成员，并在个别公司中鼓励董事会成员进行自我评定。（五）为了履行职责，董事会成员应该有渠道掌握准确的、关键、及时的信息。三、董事会与高级管理层的角色分离董事会与高级管理层的角色分离，基于董事会的独立性要求，以确保董事会履行独立判断的职能。在这种条件下，董事会的独立性要求有足够数量的董事会成员独立于经营管理层，董事会主席和首席执行官的角色分离，或是在不分离的条件下，指定一名非执行管理人员或外部人员为首席董事来召集董事会，以有助于董事会对于经营管理层的独立性和客观性。这种角色分离可以帮助平衡权利，强化董事会的责任和独立于经营管理层的判断能力。（一）董事会应该履行的关键职能1.审查和指导制定公司战略、重要的行动计划、风险对策、年度预算和商业计划、制定绩效目标、监督目标的执行和企业绩效的实现、监督重要的资金支出、收购和出售等行为。2.监控公司的治理实践成效，在需要的时候加以方向上的干预。3.选择、确定报酬、监控关键的经营主管人员，在必要的时候，更换关键的经营主管人员；监督更替计划。4.协调关键经营主管人员和董事会的薪酬，使之与公司和股东长期利益保持一致。5.保证董事会的选聘和任命过程的正规化、透明性。6.监管经营层、董事会成员和股东之间潜在的利益冲突，这包括公司财产的滥用和关联交易中的舞弊行为。7.确保公司的会计、财务（包括独立的审计）报告的真实性，确保恰当的控制系统到位，特别是风险管理系统、财务和运作控制，确保按照法律和相关标准执行。8.监督信息披露和对外沟通的过程。（二）董事会和管理层的作用董事会应该以书面形式明确董事会与管理层之间的权责分工，即董事会保留的职能和其授权管理层代其执行的职能。董事会保留和授权管理层的事项的性质必然取决于企业的规模、复杂程度和所有权结构，以及其传统和企业文化。董事会通常负责监督公司，包括:企业控制和问责机制 任免首席执行官（或相应职位）批准任免财务总监（或相应职位） 最终批准管理层关于企业的发展战略和业绩目标审查和批准风险管理系统以及内部遵循和控制，行为守则和法律的遵守情况 监测高管的业绩和战略的执行情况,并确保他们得到适当的资源审批和监督主要资本支出、资本管理、并购及资产剥离的过程 审批和监督财务及其他报告

（三）董事及高级管理人员个人责任的分配董事会主席负责领导董事会，以便有效地组织和行使董事会的职能，并通报董事会会议中产生的所有有关董事的问题。董事会主席应当同意并且在必要时制定董事会的议程，确保定期举行董事会议。同时，董事会主席应当确保董事在董事会会议召开前获得相关信息，使他们在进行讨论和作出决策前就能够充分了解待议事项的全部情况。董事会主席的角色还应扩展至配合独立董事的工作，促进执行董事与独立董事之间建立良好的关系，并对企业领导的责任进行明确的分工。董事会主席和首席执行官之间的分工应经过董事会的同意，并记录在一份职责声明中。首席执行官不应该兼任同一家公司的董事会主席。对于投资者及其他外部的利益相关者或委托人，董事会主席是公司的代表。董事会主席的角色包括与股东的沟通。这种沟通是以法定的年报形式进行的。在许多管辖权内，董事会主席必须每年在年度股东大会和股东特别大会上以董事会主席声明的形式向股东致函。四、独立董事、审计委员会在公司治理中的作用董事会中大部分成员应当是独立董事。独立董事是指独立于公司股东且不在公司内部任职，并与公司或公司经营管理者没有重要的业务联系或专业联系，能对公司事务做出独立判断的董事。应用在上市公司的层面上，独立董事只在上市公司担任独立董事之外不再担任该公司任何其他职务，并与上市公司及其大股东之间不存在妨碍其独立做出客观判断的利害关系的董事。（一）独立董事的独立性董事会应根据董事会成员披露的利益定期评估每个董事的独立性，以及将每个独立董事所申报的相关信息在企业年度报告的公司治理部分中作出披露。此外，每位董事的任期对于独立性的评估也是非常重要的，企业也应在年度报告中的公司治理部分披露每位董事的任期及独立董事的变动。下列情形可能会影响独立董事的独立性：1.最近5年内曾是公司或控股公司的雇员；2.最近3年曾经在与公司重要部门有直接或者间接业务联系的公司工作，或者曾在与公司有上述关系的公司担任合伙人、股东、董事或者高级管理人员；3.曾经收取过公司除董事津贴以外的额外薪酬，参与过公司的股票期权计划、绩效计划或者是公司的养老金计划的成员；4.直系亲属担任公司的顾问、董事或高级管理人员；5.与其他董事通过其他公司存在交叉任职或者有重要关系；6.代表公司的某个重要股东；7.在董事会第一次选举时起在董事会中的任职超过9年。如果董事会在某名董事在存在上述关系或环境的情况下，仍将其确定为独立董事，则董事会应当说明确定的具体原因。（二）独立董事的角色独立董事的职责可以分为四种不同的角色:1.战略角色。有权利也有责任为企业的战略成功作出贡献，从而保护股东的利益。2.监督或绩效角色。独立董事应当使执行董事对已制定的决策和企业业绩承担责任。3.风险角色。风险角色是指独立董事应当确保企业设有充分的内部控制系统和风险管理系统。4.人事管理角色。一般涉及公司董事、高级管理人员等的任命和薪酬问题，也可能包括合同或纪律方面的问题及接班人计划。（三）审计委员会在公司治理中的作用审计委员会是董事会下设的专门委员会之一，其组成成员应全部由独立、非执行董事组成，他们至少拥有相关的财务经验。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。审计委员会应承担就任命、重新任命或解聘、外聘审计师向董事会提出建议的主要责任，监督新审计师的选择过程，批准外聘审计师的业务条款及审计服务的报酬。审计委员会应复核审计师的审计工作范畴，并确信该审计范畴是充分的，并确保于每次年审开始之时已为审计制订了适当的计划。审计委员会执行审计工作完成后的复核。审计委员会还从审计师处获取信息，以维持独立性及对相关专业规定的遵守情况进行监察，包括关于轮换审计合伙人。审计委员会还应为企业制定关于由外聘审计师提供非审计服务的政策，并向董事会提出相关建议。提供非审计服务时，不得损害审计师的独立性或客观性。审计委员会应制定一项政策，明确外聘审计师不得提供的服务类型，并且说明外聘审计师能够提供的无须请示审计委员会的服务。如果董事会没有采纳审计委员会对聘用、续聘和解聘会计师事务所的意见和建议，公司应当在年度报告中作出说明，并在推荐或续聘的文件中解释董事会作出其他选择的说明。如果会计师事务所同时提供非审计服务，则应在年度报告中就如何保证注册会计师的客观性和独立性向股东作出解释说明。

五、机构投资者的行动主义与公司治理一般而言，公司所有者中的机构投资者希望获得公司较为稳定的利润分配，并不谋求控制公司的发展战略与经营政策。考虑到行使所有权的成本和收益，早期的机构投资者一般很少参与公司的经营决策过程。这是导致公司出现代理问题的一个重要原因。（一）机构投资者行动主义的内涵随着公司股东中机构投资者规模的扩大，机构投资者的所有权不再被视作是被动的，而通过参与股东大会表决参与公司的管理，这就形成了机构投资者的行动主义，从而使公司治理变得更加有效。机构投资者的行动主义内涵包括：1.机构投资者与所投资公司董事会举行一对一的例会，即参与和对话过程。2.机构投资者积极在股东大会中行使表决权。3.机构投资者积极关注所投资公司的董事会成员构成。4.机构投资者联合向公司管理层提出公司战略和经营建议。机构投资者行动主义可以有效改善公司治理。机构投资者行动主义的目的是影响所投资公司的未来发展，包括公司战略、公司经营绩效、公司兼并或转让战略、非执行董事未能使管理层准确地遵守契约和承诺、内部控制失效、未能合理地遵守公司治理原则、不恰当的薪酬计划、公司履行社会责任的方式等。（二）机构投资者行动主义改善公司治理的方式经济合作组织（OECD）建议机构投资者应按以下方式改善公司治理：1.机构投资者以受托人地位行使的表决权，应当披露他们涉及投资的全部公司治理和投票的策略，包括决定使用他们投票权的适当程序。2.机构投资者以受托人地位行使投票权，应当披露如何应对影响其行使关键表决权的利益冲突情形。3.在不滥用的情况下，大股东、机构投资者和个人投资者可以对有关股东的基本权利进行相互协商。第三节

信息披露和外部监督在公司治理中的作用一、信息披露在公司治理中的作用信息披露，是指如董事会报告、管理层讨论与分析、包括利润表、资产负债表、现金流量表、股东权益变动表以及其他规定项目在内的年度报告、还包括自发的公司与其利益相关者的沟通形式，如管理预测、分析师报告、股东大会、新闻快讯、公司网站上的信息以及其他诸如独立的环境或社会报告书等公司报告。信息披露在公司治理中的基本作用提高和改进信息披露，可以使公司向股东提供更有价值的信息，减少信息不对称，从而有效节约代理成本。在公司治理中，会计信息披露是监管公司与管理层契约的核心，成为约束管理层行为的必要手段。二、信息披露的内容信息披露的内容包括但不限于三大部分：一是财务会计信息，二是非财务会计信息，包括企业经营状况、企业目标、政策、董事会成员和关键管理人员及其薪酬、重要可预见的风险因素、公司治理结构及原则等。非财务会计信息主要被用来评价公司治理的科学性和有效性。三是审计信息，包括注册会计师的审计报告、监事会报告、内部控制制度评估等。审计信息主要被用于评价财务会计信息的可信度及公司治理制衡状况。此外，良好的公司治理披露通常还包括超过最低法定或者监管要求的自愿性披露。加强公司治理披露，可以通过下列途径实现：1.为了告知股东公司治理结构、政策和执行的力度，上市公司及大型非上市公司可在其年度报告中提供一份公司治理的声明。这份有关公司治理的声明应当在年度报告中单独列报，并给予和董事会报告同样的重视。2.为了提高董事薪酬的可比性和透明度，尤其是薪酬与企业的业绩的关联程度，应当在“绩效基础”和“非绩效基础”之间分析董事的薪酬，并披露有关董事股票期权的资料。公司应当至少披露以下重要信息:1.公司财务和业绩状况。2.公司经营目标。3.主要股权和投票权。4.对董事会成员的和关键经营人员的薪酬政策和董事会成员的信息。5.关联交易。6.可预期的风险因素。7.关于员工和其他利益相关者的问题。8.治理结构和政策，包括公司治理规范或政策的详细内容，以及它们实施的程序。三、注册会计师审计在公司治理中的作用公司治理体系中，注册会计师审计提供了一种必不可少的制衡机制，帮助股东及利益相关者有效监督公司的管理活动，从而提高公司信息披露的透明度。（一）年度审计报告应当由独立的、有能力的、有资格的注册会计师制作，以便给董事会和股东提供一个外部的客观保证，财务报告应在尊重事实的基础上公正地反映公司的财务状况和业绩。年度财务报表的注册会计师审计制度是公司治理的基石。（二）外部注册会计师应对股东负责，并对公司负有义务，在审计中具备专业审慎的素养。（三）注册会计师在审计中的独立性。四、政府及有关监管机构在公司治理中的作用政府及有关监管机构一直在公司治理中扮演着极其重要的推动和促进作用。政府及有关监管部门通常以保持和巩固它对市场诚信及经济效能的贡献为目标监控公司治理的不断完善。政府及相关监管部门通过执行已经制定的法律法规，促进公司治理的不断完善。一是通过规范董事会的运作，二是通过对公司财务报告的监管，三是执行信息披露制度。第七章风险管理框架下的内部控制第一节内部控制概述一、COSO委员会关于内部控制的定义与框架COSO委员会对内部控制的定义是“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。”COSO委员会的上述定义并特别指出：（1）内部控制是一个实现目标的程序及方法，而其本身并非目标；（2）内部控制只提供合理保证，而非绝对保证；（3）内部控制要由企业中各级人员实施与配合。内部控制的五大要素包括：控制环境（包括员工的正直、道德价值观和能力，管理当局的理念和经营风格，管理当局确立权威性和责任、组织和开发员工的方法等），风险评估（为了达成组织目标而对相关的风险所进行的辨别与分析），控制活动（为了确保实现管理当局的目标而采取的政策和程序，包括审批、授权、验证、确认、经营业绩的复核、资产安全性等），信息与沟通（为了保证员工履行职责而必须识别、获取的信息及沟通），监控（对内部控制实施质量的评价，主要包括经营过程中的持续监控，即日常管理和监督、员工履行职责的行动等，也包括个别评价，或者是两者结合）二、我国内部控制规范体系基本规范、应用指引、评价和审计指引三个类别构成一个相辅相成的整体，标志着适应我国企业实际情况，融合国际先进经验的中国企业内部控制规范体系基本建成（―）《企业内部控制基本规范》《企业内部控制基本规范》规定内部控制的目标、要素、原则、和总体要求，是内部控制的总体框架，在内部控制标准体系中起统领作用。《基本规范》要求企业建立内部控制体系时应符合以下目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整；提高经营效率和效果；促进企业实现发展战略。《基本规范》应当包括下列五个要素：（1）内部环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）内部监督。（二）《企业内部控制应用指引》《企业内部控制应用指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占主体地位。（三）《企业内部控制评价指引》和《企业内部控制审计指引》《评价指引》为企业对内部控制的有效性进行全面评价，形成评价结论、出具评价报告提供指引。《审计指引》为会计师事务所对特定基准日与财务报告相关内部控制设计与执行有效性进行审计提供指引。它明确注册会计师应对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露。第二节内部控制的要素一、控制环境（一）COSO《内部控制框架》关于控制环境要素的要求与原则COSO《内部控制框架》关于控制环境要素的要求为：控制环境决定了企业的基调，直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架，是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能；管理哲学和经营风格；权责分配方法、人事政策；董事会的经营重点和目标等。控制环境要素应当坚持以下原则：1.企业对诚信和道德价值观做出承诺。2.董事会独立于管理层，对内部控制的制定及其绩效施以监控。3.管理层在董事会的监控下，建立目标实现过程中所涉及的组织架构、报告路径以及适当的权利和责任。4.企业致力于吸引、发展和留住优秀人才，以配合企业目标达成。5.企业根据其目标，使员工各自担负起内部控制的相关责任。（二）我国《企业内部控制基本规范》关于内部环境要素的要求1.企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。2.董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。3.企业应当在董事会下设立审计委员会。4.企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。5.企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。6.企业应当制定和实施有利于企业可持续发展的人力资源政策。7.企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。8.企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。9.企业应当加强法制教育。二、风险评估（一）COSO《内部控制框架》关于风险评估要素的要求与原则COSO《内部控制框架》关于风险评估要素的要求为：每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接，保持一致。风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础。风险评估要素应当坚持以下原则：1.企业制定足够清晰的目标，以便识别和评估有关目标所涉及的风险。2.企业从全范围的角度来识别实现目标所涉及的风险，分析风险，并据此决定应如何管理这些风险。3.企业在评估影响目标实现的风险时，考虑潜在的舞弊行为。4.企业识别并评估可能会对内部控制系统产生重大影响的变更。（二）我国《企业内部控制基本规范》关于风险评估要素的要求1.企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。2.企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。3.企业识别内部风险。4.企业识别外部风险。5.企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。6.企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。7.企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。8.企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。三、控制活动（一）COSO《内部控制框架》关于控制活动要素的要求与原则COSO《内部控制框架》关于控制活动要素的要求为：控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险，实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。控制活动要素应当坚持以下原则：1.企业选择并制定有助将目标实现风险降低至可接受水平的控制活动。2.企业为用以支持目标实现的技术选择并制定一般控制政策。3.企业通过政策和程序来部署控制活动：政策用来确定所期望的目标；程序则将政策付诸于行动。（二）我国《企业内部控制基本规范》关于控制活动要素的要求1.企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。9.企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。10.企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。四、信息与沟通有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息，认真履行控制职责。员工必须理解自身在整个内控系统中的位置，理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时，与外部诸如客户、供应商、管理当局和股东之间也需要有效的沟通。信息与沟通要素应当坚持以下原则：1.企业获取或生成和使用相关的高质量信息，以支持内部控制其他要素发挥效用。2.企业用于内部沟通的内部控制信息，包括内部控制目标和职责范围，必须能够支持内部控制的其他要素发挥效用。3.企业就影响内部控制其他要素发挥效用的事项与外部相关方进行沟通。（二）我国《企业内部控制基本规范》关于信息与沟通要素的要求1.企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序确保信息及时沟通，促进内部控制有效运行。2.企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。3.企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。4.企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。5.企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调査、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点：（1）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益；（2）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等；（3）董事、监事、经理及其他高级管理人员滥用职权；（4）相关机构或人员串通舞弊。6.企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。五、监控（一）COSO《内部控制框架》关于监控要素的要求与原则COSO《内部控制框架》关于监控要素的要求为：内部控制系统需要被监控，即对该系统有效性进行评估的全过程。独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报，性质严重的应上报最高管理层和董事会。监控要素应当坚持以下原则：1.企业选择、制定并实行持续或单独的评估，以判定内部控制各要素是否存在且发挥效用。2.企业及时评估内部控制缺陷，并将有关缺陷及时通报给负责整改措施的相关方，包括高级管理层和董事会（如适当）。（二）我国《企业内部控制基本规范》关于内部监督要素的要求1.企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检査；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。2.企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。3.企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。4.企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。第三节内部控制的应用一、内部环境类指引（一）组织架构组织架构是企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。企业要实施发展战略，必须要有科学的组织架构，主要包括治理结构和内部机构设置。1.组织架构设计与运行中需关注的主要风险（1）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。（2）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。2.内部控制要求与措施（1）组织架构的设计①企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。②企业的重大决策、重大事项、重要人事任免及大额资金支付业务等（即通常所说的“三重一大”），应当按照规定的权限和程序实行集体决策审批或者联签制度；任何个人不得单独进行决策或者擅自改变集体决策意见。③企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。④企业应当对各机构的职能进行科学合理的分解，确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系。企业在确定职权和岗位分工过程中应当体现不相容职务相互分离的要求。不相容职务通常包括：可行性研究与决策审批；决策审批与执行；执行与监督检查等。⑤企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。（2）组织架构的运行①企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，企业梳理内部机构设置，应当重点关注内部机构设置的合理性和运行的高效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的，应当及时解决。②企业拥有子公司的，应当建立科学的投资管控制度，通过合法有效的形式履行出资人职责、维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。③企业应当定期对组织架构设计与运行的效率和效果进行全面评估，发现组织架构设计与运行中存在缺陷的，应当进行优化调整。企业组织架构调整应当充分听取董事、监事、高级管理人员和其他员工的意见，按照规定的权限和程序进行决策审批。（二）发展战略1.制定与实施发展战略需关注的主要风险（1）缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。（2）发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。（3）发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。2.内部控制要求与措施（1）发展战略的制定①企业应在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标，而不是靠拍脑袋，盲目制定发展战略。②战略规划应当根据企业的发展目标制定，明确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径。③企业应健全组织机构，在董事会下设立战略委员会，或指定相关机构负责发展战略管理工作。同时，战略委员会的成员素质、工作规范要符合要求。④董事会应当严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性。董事会在审议方案中如果发现重大问题，应当责成战略委员会对方案作出调整。企业的发展战略方案经董事会审议通过后，报经股东（大）会批准实施。（2）发展战略的实施①企业根据发展战略，制定年度工作计划，编制全面预算，将年度目标分解、落实；同时完善发展战略管理制度，确保发展战略有效实施。②企业应当重视发展战略的宣传工作，通过内部各层级会议和教育培训等有效方式，将发展战略及其分解落实情况传递到内部各管理层级和全体员工。③战略委员会应当加强对发展战略实施情况的监控，定期收集和分析相关信息，对于明显偏离发展战略的情况，应当及时报告。④由于经济形势、产业政策、技术进步、行业状况以及不可抗力等因素发生重大变化，确需对发展战略作出调整的，应当按照规定权限和程序调整发展战略。（三）人力资源1.人力资源管理需关注的主要风险（1）人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。（2）人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。（3）人力资源退出机制不当，可能导致法律诉讼或企业声誉受损。2.内部控制要求与措施（1）人力资源的引进与开发（2）人力资源的使用与退出（四）社会责任社会责任是指企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量（含服务，下同）、环境保护、资源节约、促进就业、员工权益保护等。企业认真履行社会责任，对于实现其与社会、环境的全面协调可持续发展具有重要促进作用。2.内部控制要求与措施（1）安全生产。（2）产品质量。（3）环境保护与资源节约。（4）促进就业与员工权益保护。（五）企业文化二、内部控制活动类指引（一）资金活动1.资金活动需关注的主要风险（1）筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机；（2）企业投资决策失误，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下；（3）资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余；（4）资金活动管控不严，可能导致资金被挪用、侵占、抽逃或遭受欺诈。（二）采购业务1.采购业务需关注的主要风险（1）采购计划安排不合理，市场变化趋势预测不准确，造成库存短缺或积压，导致企业生产停滞或资源浪费；（2）供应商选择不当，采购方式不合理，招投标或定价机制不科学，授权审批不规范，致使采购物资质次价高，出现舞弊或遭受欺诈；（3）采购验收不规范，付款审核不严，造成采购物资、资金损失或信用受损。2.内部控制要求与措施企业应当加强请购、审批、购买、验收、付款、采购后评估等环节的风险管控，确保物资采购满足企业生产经营需要：（1）购买①企业的采购业务要尽量集中，避免多头采购或分散采购。企业应当对办理采购业务的人员定期进行岗位轮换。重要和技术性较强的采购业务，应当组织相关专家进行论证，实行集体决策和审批。企业除小额零星物资或服务外，不得安排同一机构办理采购业务全过程。②企业应当建立采购申请制度，依据购买物资或接受劳务的类型，确定归口管理部门，授予相应的请购权，明确相关部门或人员的职责权限及相应的请购和审批程序。具有请购权的部门对于预算内采购项目，应当严格按照预算执行进度办理请购手续，并根据市场变化提出合理采购申请。对于超预算和预算外采购项目，应先履行预算调整程序，由具备相应审批权限的部门或人员审批后，再行办理请购手续。③企业应当建立科学的供应商评估和准入制度。企业可委托具有相应资质的中介机构对供应商进行资信调查。④企业应当根据市场情况和采购计划合理选择采购方式。大宗采购应当采用招标方式，合理确定招投标的范围、标准、实施程序和评标规则；一般物资或劳务等的采购可以采用询价或定向采购的方式并签订合同协议；小额零星物资或劳务等的采购可以采用直接购买等方式。⑤企业应当建立采购物资定价机制，采取协议采购、招标采购、谈判采购、询比价采购等多种方式合理确定采购价格。大宗采购应当采用招投标方式确定采购价格，其他商品或劳务的采购，应当根据市场行情制定最高采购限价，并对最高采购限价适时调整。⑥企业要建立严格的采购验收制度，确定检验方式，由专门的验收机构或验收人员进行验收；对于验收过程中发现异常情况，应当查明原因并及时处理。（2）付款①企业要加强采购付款的管理，明确付款审核人的责任和权利，严格审核采购预算、合同、相关单据凭证、审批程序等内容，审核无误后按照合同规定及时办理付款。②企业要建立退货管理制度，对退货条件、退货手续、货物出库、退货货款回收等作出明确规定，并在采购合同中明确退货事宜，及时收回退货货款。（三）资产管理资产，是指企业拥有或控制的存货、固定资产和无形资产。1.资产管理需关注的主要风险（1）存货积压或短缺，造成流动资金占用过量、存货价值贬损或生产中断；（2）固定资产更新改造不够、使用效能低下、维护不当、产能过剩，致使企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费；（3）无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患，导致法律纠纷、缺乏可持续发展能力。2.内部控制要求与措施（1）存货①企业应当建立存货管理岗位责任制，明确内部相关部门和岗位的职责权限，切实做到不相容岗位相互分离、制约和监督。企业内部除存货管理、监督部门及仓储人员外，其他部门和人员接触存货，应当经过相关部门特别授权。②企业应当明确存货发出和领用的审批权限，大批存货、贵重商品或危险品的发出应当实行特别授权。仓储部门应当根据经审批的销售（出库）通知单发出货物。③企业应当建立存货盘点清查制度，结合本企业实际情况确定盘点周期、盘点流程等相关内容，核查存货数量，及时发现存货减值迹象。企业至少应当于每年年度终了开展全面盘点清查，盘点清查结果应当形成书面报告。（2）固定资产①企业应当强化对生产线等关键设备运转的监控，严格操作流程，实行岗前培训和岗位许可制度，确保设备安全运转。②企业应当严格执行固定资产投保政策，对应投保的固定资产项目按规定程序进行审批，及时办理投保手续。③企业应当规范固定资产抵押管理，确定固定资产抵押程序和审批权限等。企业将固定资产用作抵押的，应由相关部门提出申请，经企业授权部门或人员批准后，由资产管理部门办理抵押手续。④企业应当建立固定资产清查制度，至少每年进行全面清查。（3）无形资产企业购入或者以支付土地出让金等方式取得的土地使用权，应当取得土地使用权有效证明文件。（四）销售业务1.销售业务需关注的主要风险（1）销售政策和策略不当，市场预测不准确，销售渠道管理不当等，可能导致销售不畅、库存积压、经营难以为继；（2）客户信用管理不到位，结算方式选择不当，账款回收不力等，可能导致销售款项不能收回或遭受欺诈；（3）销售过程存在舞弊行为，可能导致企业利益受损。（五）研究与开发1.开展研发活动需关注的主要风险（1）研究项目未经科学论证或论证不充分，可能导致创新不足或资源浪费；（2）研发人员配备不合理或研发过程管理不善，可能导致研发成本过高、舞弊或研发失败；（3）研究成果转化应用不足、保护措施不力，可能导致企业利益受损。2.内部控制要求与措施（六）工程项目1.工程项目需关注的主要风险（1）工程立项缺乏可行性研究或者可行性研究流于形式，决策不当，盲目上马，很可能导致难以实现预期效益或项目失败；（2）如果项目招标暗箱操作，存在商业贿赂，则可能导致中标人实质上难以承担工程项目、中标价格失实及“相关人员”涉案；（3）如果工程造价信息不对称，技术方案不落实，概预算脱离实际，又可能导致项目投资失控；（4）倘若工程物资质次价高，工程监理不到位，项目资金不落实，还可能导致工程质量低劣，进度延迟或中断；（5）如果竣工验收不规范，最终把关不严，还会导致工程交付使用后存在重大隐患。（七）担保业务1.办理担保业务需关注的主要风险（1）如果企业对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈；（2）如果对被担保人在担保期内出现财务困难或经营陷入困境等状况监控不力，应对措施不当，有可能会导致企业承担法律责任；（3）如果被担保人和提供担保人在担保过程中存在舞弊行为，则会导致经办审批等相关人员涉案或企业利益受损。2.内部控制要求与措施（1）调查评估与审批（2）执行与监控（八）业务外包企业应当对外包业务实施分类管理，通常划分为重大外包业务和一般外包业务。重大外包业务是指对企业生产经营有重大影响的外包业务。1.企业的业务外包需关注的主要风险（1）外包范围和价格确定不合理，承包方选择不当，可能导致企业遭受损失；（2）业务外包监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势；（3）业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案。2.内部控制要求与措施（1）承包方选择（2）业务外包实施（九）财务报告1.编制、对外提供和分析利用财务报告需关注的主要风险（1）企业财务报告的编制违反会计法律法规和国家统一的会计准则制度，导致企业承担法律责任、遭受损失和声誉受损；（2）企业提供虚假财务报告，误导财务报告使用者，造成报告使用者的决策失误，干扰市场秩序；（3）企业不能有效利用财务报告，难以及时发现企业经营管理中的问题，可能导致企业财务和经营风险失控。三、内部控制手段类指引（一）全面预算全面预算是企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。全面预算作为一种全方位、全过程、全员参与编制与实施的预算管理模式，通过将企业的资金流与实物流、信息流相整合优化了企业的资源配置，提高了资金的使用效率。然而，企业要想使全面预算管理达到预期的效果，必须要特别关注和防范预算管理中的风险。1.实行全面预算管理需关注的主要风险（1）不编制预算或预算不健全，可能导致企业经营缺乏约束或盲目发展；（2）预算目标不合理、编制不科学，可能导致企业资源浪费或发展目标难以实现；（3）预算缺乏刚性、执行不力、考核不严，可能导致预算管理流于形式。2.内部控制要求与措施企业应当加强全面预算工作的组织领导，明确预算管理体制以及各预算执行单位的职责权限、授权批准程序和工作协调机制。企业应当设立预算管理委员会履行全面预算管理职责，其成员由企业负责人及内部相关部门负责人组成。预算管理委员会主要负责拟定预算目标和预算政策，制定预算管理的具体措施和办法，组织编制、平衡预算草案，下达经批准的预算，协调解决预算编制和执行中的问题，考核预算执行情况，督促完成预算目标。预算管理委员会下设预算管理工作机构，由其履行日常管理职责。预算管理工作机构一般设在财会部门。总会计师或分管会计工作的负责人应当协助企业负责人负责企业全面预算管理工作的组织领导。（1）预算编制①企业应当建立和完善预算编制工作制度，明确编制依据、编制程序、编制方法等内容，确保预算编制依据合理、程序适当、方法科学，避免预算指标过高或过低。企业应当在预算年度开始前完成全面预算草案的编制工作。②企业应当根据发展战略和年度生产经营计划，综合考虑预算期内经济政策、市场环境等因素，按照上下结合、分级编制、逐级汇总的程序，编制年度全面预算。③企业预算管理委员会应当对预算管理工作机构在综合平衡基础上提交的预算方案进行研究论证，从企业发展全局角度提出建议，形成全面预算草案，并提交董事会。④企业董事会审核全面预算草案，应当重点关注预算科学性和可行性，确保全面预算与企业发展战略、年度生产经营计划相协调。企业全面预算应当按照相关法律法规及企业章程的规定报经审议批准。批准后，应当以文件形式下达执行。（2）预算执行（3）预算考核①企业应当建立严格的预算执行考核制度，对各预算执行单位和个人进行考核，切实做到有奖有惩、奖惩分明。②企业预算管理委员会应当定期组织预算执行情况考核。必要时，实行预算执行情况内部审计制度。③企业预算执行情况考核工作，应当坚持公开、公平、公正的原则，考核过程及结果应有完整的记录。（二）合同管理1.合同管理需关注的主要风险（1）如果企业未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈，会导致企业合法权益受到侵害；（2）如果合同未全面履行或监控不当，有可能导致企业诉讼失败，经济利益受损；（3）如果合同纠纷处理不当，则会损害企业利益、信誉和形象。（三）内部信息传递内部信息传递是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。1.内部信息传递需关注的主要风险（1）内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运行；（2）内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实；（3）内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。（四）信息系统1.利用信息系统实施内部控制需关注的主要风险（1）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；（2）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；（3）系统运行维护和安全措施不到位，可能导致信息泄露或毁损，系统无法正常运行。第四节内部控制评价与审计一、内部控制评价内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。在企业内部控制实务中，内部控制评价是极为重要的一环。（一）内部控制评价应当遵循的原则根据《评价指引》的要求，内部控制评价应遵循以下三个原则：全面性原则。2.重要性原则。3.客观性原则。（二）内部控制评价的内容企业根据《企业内部控制基本规范》、《企业内部控制评价指引》以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制有效性进行全面评价，包括财务报告内部控制有效性和非财务报告内部控制有效性。（三）内部控制评价的程序根据《评价指引》的要求，企业应按照内部控制评价办法规定程序，有序开展内部控制评价工作。内部控制评价程序一般包括：制定评价控制方案；组成评价工作组；实施评价工作与测试；认定控制缺陷；汇总评价结果；编报评价报告等环节。内部审计机构对企业内部控制的有效性进行监督检查内部控制评价部门或机构应具备以下条件：（1）能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；（2）具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；（3）与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约；（4）能够得到企业董事会和经理层的支持，通常直接接受董事会及其审计委员会的领导和监事会的监督，有足够的权威性来保证内部控制评价工作的顺利开展。2.组成评价工作组对于拥有内部审计部门的企业来说，内审部门很大可能也同样地担当内部控制评价组的工作。如果企业决定利用外聘会计师事务所为其提供内部控制评价服务，根据《基本规范》的要求，该事务所不应同时为企业提供内部控制的审计服务。3.实施评价工作与测试评价工作组需通过了解企业公司层面基本情况、各业务层面的主要流程、识别有关主要风险后，才能开展实施及测试设计和运行有效性的内部控制工作。评价工作组可审阅的内控流程文档可能有：①风险控制矩阵文档。②流程图文档。③审批权限表文档。（3）确定检査评价范围和重点。（4）开展现场检査测试。评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地査验、抽样和比较分析等评价方法，收集被评价单位内部控制设计与运行是否有效的证据，按照要求填写工作底稿、记录有关测试结果。如果发现内部控制出现缺陷，则需与管理层沟通，对有关缺陷进行认定并进行记录。4.认定内部控制缺陷（1）内部控制缺陷的分类①按照内部控制缺陷的本质分类：内部控制缺陷分为设计缺陷和运行缺陷。②按照内部控制缺陷的严重程度分类：内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。内部控制评价组需要评价其注意到的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。（2）内部控制缺陷的认定程序与整改对于重大缺陷和重要缺陷的整改方案，应向董事会（审计委员会）、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形，例如存在与管理层舞弊相关的内部控制缺陷，内部控制评价组应当直接向董事会（审计委员会）、监事会报告。重要缺陷并不影响企业内部控制的整体有效性，但是应当引起董事会和管理层的重视。对于一般缺陷，可以向企业管理层报告，并视情况考虑是否需要向董事会（审计委员会）、监事会报告。5.汇总评价结果6.编报内部控制评价报告《企业内部控制评价指引》要求，内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门，即企业董事会或类似权力机构应当对内部控制评价报告的真实性负责。企业应当以12月31日作为年度内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告。对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素，企业应当根据其性质和影响程度对评价结论进行相应调整。《企业内部控制应用指引》和《企业内部控制评价指引》只要求企业对控制缺陷尤其是重大缺陷作出说明，不涉及企业内部其他保密信息。《企业内部控制评价指引》专门对内部控制评价报告进行了规范，要求企业在评价报告中至少披露以下内容：（1）董事会对内部控制报告真实性的声明，实质就是董事会全体成员对内部控制有效性负责；（2）内部控制评价工作的总体情况，即概要说明；（3）内部控制评价的依据，一般指《企业内部控制基本规范》、《企业内部控制评价指引》及企业在此基础上制定的评价办法；（4）内部控制评价的范围，描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项；（5）内部控制评价的程序和方法；（6）内部控制缺陷及其认定情况，主要描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致，同时，根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷；（7）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；（8）内部控制有效性的结论，对不存在重大缺陷的情形，出具评价期末内部控制有效结论，对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。二、企业内部控制审计（一）内部控制的审计要求企业可聘请专业人员或会计师事务所提供有关咨询服务。应注意的是《基本规范》中表明为企业内部控制提供评价服务的会计师事务所，不得同时为同一企业提供内部控制审计服务。（二）注册会计师的责任与角色内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。《审计指引》中重申建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。而在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。注册会计师要在实施审计工作的基础上，获取充分、适当的证据，对内部控制的有效性发表意见并提供合理保证。注册会计师会对财务报告内部控制的有效性发表审计意见，如果在审计过程中注意到的非财务报告内部控制的重大缺陷，将会在其内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：1.获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见。2.获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。三、审计委员会在内部控制中的作用（一）审计委员会与内部控制一般来说，审计委员会的组成应全部由独立、非行政董事组成，他们至少拥有相关的财务经验。在一般情况下，审计委员会负责整个风险管理过程，包括确保内部控制系统是充分且有效的。就内部控制而言，审计委员会应复核企业的内部财务控制以及企业的所有内部控制和风险管理系统。审计委员会还应批准年报中有关内部控制和风险管理的陈述。审计委员会亦会收到管理层关于企业内运作的内部控制系统的有效性的报告，以及内部或外聘审计师对控制所执行测试的结论的报告。（二）审计委员会的履责方式建议审计委员会每年至少举行三次会议，并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次，讨论与审计相关的事宜，但无须管理层出席。（三）审计委员会与合规审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保公司履行了对外报告义务。审计委员会应结合企业财务报表的编制情况，对重大的财务报告事项和判断进行复核。（四）审计委员会与内部审计确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作。审计委员会需要确保内部审计部门正在有效运作。它将在四个主要方面对内部审计进行复核，即组织中的地位、职能范围、技术才能和专业应尽义务。（五）向股东报告内部控制审计委员会为了向股东汇报而执行的复核应涉及所有重大控制，包括财务、运营和合规控制以及风险管理系统。此外，年报亦应为股东提供有关审计委员会的工作信息。审计委员会主席应出席年度股东大会，并回答股东提出的关于审计委员会工作方面的问题。第五节风险管理、公司治理、内部控制三者的关系在企业风险管理整合框架下，风险管理、内部控制、公司治理三者的关系可以从以下四个方面来体现。一、管理范围的协调风险管理整合框架下的内部控制是站在企业战略层面分析、评估和管理风险，是把对企业监督控制从细节控制提升到战略层面及公司治理层面。风险管理不仅仅关注内控建立，最主要的是关注内部控制运行与评价，从企业所有内外风险的角度为公司治理层、管理层持续改进内部控制设计和运行提供思路，风险管理比内部控制的范围要广泛得多。二、前动与后动的平衡在风险管理整合框架下的内部控制既包括提前预测和评估各种现存和潜在风险，从企业整体战略的角度确定相应的内控应对措施来管理风险，达到控制的效果，又包括在问题或事件发生后采取后动反应，积极采取修复性和补救性的行为。三、治理、风险、控制的整合将治理、风险和控制作为一个整体为组织目标的实现提供保证。这一整合的过程将克服原本内部控制实施过程中内部控制与管理脱节的问题，整个组织风险管理的过程也是内部控制实施的过程，内控不再被人为地从企业整个流程中分离出来，提高了内部控制与组织的整合性和全员参与性。四、“从上到下”控制基础和“从下到上”风险基础执行模式的融合在风险管理整合框架下的内部控制既体现内部控制从上到下的贯彻执行，也强调内部控制从下到上参与设计、反馈意见以及“倒逼”机制，即从上到下控制基础和从下到上风险基础的执行模式的融合。风险管理框架下的内部控制（风险管理）既包括管理层以下的监督控制，又包括管理层以上的治理控制，按照内部控制五要素分析内部治理控制如下表所示。风险管理框架下的公司内部治理控制内部控制要素公司治理中的体现控制环境1.股东（大）会、董事会、监事会、经理的职责定位与授权；2.董事会内部职责分工与授权，如内设的战略、执行、审计、薪酬、提名、专业委员会等；3.董事会、监事会与经理团队的沟通氛围；4.股东与董事会的风险偏好；5.董事长主持董事会工作，其职业修养与专业能力将影响治理效果；6.董事、监事能力；7.独立董事的独立性。风险评估1.战略、目标、重大经营计划等决策需对内、对外风险充分评估；2.为具体治理活动设计控制措施前需要进行风险评估。控制活动1.治理结构本身的牵制机制设计，如监事会的设立、独立董事制度、审计委员会设立等；2.企业战略和目标的制定与决策程序；3.通过听取业绩报告，董事会对经理战略执行的过程控制；4.董事长对经理的决策授权与监督；5.董事、监事、经理的考核激励控制；6.公司章程，董事会及其下属委员会、监事会的议事规则；7.信息披露的控制程序。信息沟通1.股东、董事、监事履行职责时，必须适时得到充分的相关信息；2.董事会与经理团队应建立正常沟通机制，适时了解战略和目标的执行情况，及时采取行动；3.股东分散、不参与企业的经营管理，董事会应按规定适时披露相关信息，保障所有股东的合法权益。监控1.董事会（或审计委员