PHBV公司内部控制方案

PHBV公司

内部控制方案

目录

一、产业环境分析..................................................3

二、保障措施......................................................4

三、必要性分析....................................................5

四、内部控制与企业风险管理的关系分析.............................6

五、内部牵制......................................................8

六、企业内部控制规范体系的结构...................................11

七、企业内部控制规范的基本内容...................................13

八、内部控制的重要性............................................24

九、内部控制的局限性............................................27

十、企业风险管理框架：内部环境的成熟............................30

十一、内部控制整体框契：内部环境的发展..........................31

十二、社会责任...................................................32

十三、发展战略...................................................35

十四、控制的层级制度............................................40

十五、有效内部环境的属性........................................42

十六、公司治理与公司管理的关系...................................46

十七、公司治理模式差异论........................................47

十八、利益导向...................................................50

十九、公司治理的力量源泉........................................52

二十、起步和探索阶段............................................54

二十一、发展与创新阶段..........................................56

二十二、公司治理的产生及动因....................................58

二十三、企业的演进...............................................68

二十四、项目基本情况............................................73

二十五、法人治理.................................................75

二十六、发展规划分析............................................86

二十七、人力资源分析............................................89

劳动定员一览表...................................................90

一、产业环境分析

当前和今后一个时期，我们仍处于可以大有作为的重要战略机遇

期。经济全球化的趋势不会改变，新一轮科技革命和产业变革蓄势待

发，为我市对接国际高端产业、推动创新驱动发展提供了难得机遇；

“一带一路”、长江经济带等一系列国家战略实施，长三角区域发展

一体化进程加速，为我们融入全方位开放格局、更大范围参与地区协

调发展打开了新的窗口；经历“十二五”发展，常州站在了新的历史

起点，发展基础更为扎实、发展优势更为彰显，新的增长动力正在加

速形成，苏南国家自主创新示范区建设、产城融合综合改革试点机遇

叠加，这些都为“十三五”发展提供了有利环境和条件。

在看到机遇的同时必须清醒认识到，我们还处于全面深化改革的

攻坚期、经济转型升级的决战期，常州总体发展环境、发展条件和发

展动力已经并将继续发生深刻变化，诸多矛盾的叠加要求我们统筹化

解，风险隐患的增多需要我们未雨绸缪。当前世界经济仍在深度调整,

市场需求复苏乏力，新兴经济体增长普遍放缓，发展的国际环境更具

复杂性和不确定性。“三期叠加”的经济新常态下，常州自身存在的

发展不平衡、不协调、不可持续的问题较为突出。传统产业大而不强,

新兴产业尚在培育，稳增长、调结构、增效益的压力并存。我们必须

准确把握战略机遇期内涵的深刻变化，准确把握国际国内发展的基本

趋势，准确把握常州发展的阶段性特征，增强机遇意识、忧患意识，

坚持问题导向、民意导向，以改革的办法解决前进中的新问题，以创

新的思路探索发展的新路径。

二、保障措施

（一）强化政策支持引导。准确定位化纤工业鼓励和限制领域，

加大对高性能纤维、生物基化学纤维、再生化学纤维及可降解纤维材

料等领域支持力度。鼓励科研院所、高校、企业联合申报国家专项，

加快技术研发和成果转化，支持企业建设国家级重点实验室等创新平

台。

（二）加大财政金融支持。统筹现有渠道，加大对化纤技术创新、

绿色发展、数字化转型、公共服务等方面支持力度。引导银行业金融

机构按风险可控、商业可持续原则，加大对化纤企业贷款支持力度。

发挥国家产融合作平台作用，构建产业信息对接合作服务网络。推进

高技术型化纤企业上市融资，支持符合条件的化纤企业发行债券融资。

（三）完善公共服务体系。充分发挥政府、集群、企业、协会等

机构合力，提升公共服务水平和能力。培育产业技术基础公共服务平

台，提升试验检测、成果转化及产业化等支撑能力，构建知识产权保

护运用公共服务平台，激发创新活力。引导企业建设数字化服务平台,

创新服务方式。

（四）优化人才队伍结构。依托重大科研和产业化项目，培养学

术、技术和经营管理领军人物。支持行业开展杰出人才评选等活动，

壮大高技能人才队伍。支持行业培养具备技术、经贸、管理等知识的

复合型人才，建立化纤人才智库，鼓励科技人员参与国际合作。

（五）发挥行业协会作用。支持行业协会协调推动指导意见贯彻

落实，开展实施效果评估，为政府部门提供支撑。鼓励行业协会加强

信息发布，引导企业资金投向，促进行业规范发展。鼓励行业协会加

强行业自律、平台建设、品牌培育、技术交流、人才培训等方面工作,

促进行业健康发展。

三、必要性分析

1、现有产能已无法满足公司业务发展需求

作为行业的领先企业，公司已建立良好的品牌形象和较高的市场

知名度，产品销售形势良好，产销率超过100%o预计未来几年公司的

销售规模仍将保持快速增长。

随着业务发展，公司现有厂房、设备资源已不能满足不断增长的

市场需求。公司通过优化生产流程、强化管理等手段，不断挖掘产能

潜力，但仍难以从根本上缓解产能不足问题。通过本次项目的建设，

公司将有效克服产能不足对公司发展的制约，为公司把握市场机遇奠

定基础。

2、公司产品结构升级的需要

随着制造业智能化、自动化产业升级，公司产品的性能也需要不

断优化升级。公司只有以技术创新和市场开发为驱动，不断研发新产

品，提升产品精密化程度，将产品质量水平提升到同类产品的领先水

准，提高生产的灵活性和适应性，契合关键零部件国产化的需求，才

能在与国外企业的竞争n获得优势，保持公司在领域的国内领先地位。

四、内部控制与企业风险管理的关系分析

内部控制和企业风险管理的目的都是为了满足企业在不同环境中

对不确定性的应对管理，从而达到组织预期目的以及持续发展。内部

控制要对风险的不确定性在应对策略方面进行具体的分解和落实，从

而发挥化解风险、控制不确定性的作用，即内部控制是风险管理的业

务实施和组织保障。总体来说，内部控制和风险管理学科的共同发展

为企业运营提供了支持，在企业的实际需求下，两个学科的交融和切

入更好地为企业解决其实际运营中的各种不确定性提供了完整的解决

方案。

(1)内部控制和风险管理各有侧重。内部控制侧重制度层面，通

过规章制度规避风险；风险管理侧重交易层面，通过市场化的自由竞

争或市场交易规避风险。一般来说，典型的内部控制依然是为了保证

资金安全和会计信息的真实可靠，会计控制是其核心，内部控制一般

限于财务及相关部门，并没有渗透到企业管理过程和整个经营系统，

控制只是管理的一项职能；典型的风险管理关注特定业务中与战略选

择或经营决策相关的风险与收益的比较，如银行的授信管理、汇率风

险管理、利率风险管理等，它贯穿于管理过程的各个方面。

(2)内部控制与风险管理的根本作用都是维护投资者利益、保全

企业资产，并创造新的价值。从理论上说，企业的内部控制是企业制

度的组成部分，是在企业经营权与所有权分离的条件下对投资者利益

的保护机制。其目的就是保证会计信息的准确可靠，防止经营层操纵

报表与欺诈，保护公司的财产安全，遵守法律以维护公司的名誉以及

避免招致经济损失等。企业风险管理则是在新的技术与市场条件下对

内部控制的自然扩展。COSO认为，企业风险管理应用于战略制订与组

织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和

管理风险，发挥创造与保持价值的作用。风险管理能够使风险偏好与

战略保持一致，将风险与增值及回报统筹考虑，促进应对风险的决策,

减小经营风险与损失，识别与管理企业风险，为多种风险提供整体的

对策，捕捉机遇以及使资本的利用合理化。

(3)做好内部控制是做好风险管理的前提。风险管理的目的是要

防止风险、及时地发现风险、预测风险可能造戌的影响，并设法把

不良影响控制在最低的程度。内部控制就是企业内部采取的风险

管理，内部控制制度的制定依据主要是风险，在某些极端情况下（内

部控制等于风险管理）甚至完全由风险因素来决定。风险越大，越有

必要设置适当的内部控制措施，风险相当大时，还要设置多重内部控

制措施。而且，做好内部控制是做好风险管理的前提。企业只有从加

强内部控制做起，通过风险意识的提高，尤其是提高企业中处于关键

地位的中、高层管理人员的风险意识，才能使企业安全运行，否则，

处于失控状态的企业最终将被激烈的市场竞争淘汰。

总之，企业风险管理框架建立在内部控制整体框架的基础上，内

部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比

内部控制框架的范围更为广泛，是对内部控制框架的扩展，是一个主

要针对风险的更为明确的概念。企业风险管理框架强调在整个企业范

围内识别和管理风险的重要性，强调企业的风险管理应针对企业目标

的实现，在企业战略制订阶段就予以考虑，而企业在对其下属部门进

行风险管理时，应对风险进行加总，从组织的顶端、以一种全局的风

险组合观来看待风险。此外，根据风险管理的需要，对企业目标进行

重新分类，明确战略目标在风险管理中的地位。

五、内部牵制

内部牵制的概念最早在1905年由特克西提出。他认为内部牵制由

3部分组成：职责分工、会计记录、人员轮换。这3部分内容在现代内

部控制中都有所体现。《柯勒会计词典》中对内部牵制曾做出最全面

的解释，它认为“内部牵制是指以提供有效的组织和经营，并防止错

误和其他非法业务发生的业务流程设计。其主要特点是以任何个人，

或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的

责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检

查或交叉控制。设计有效的内部牵制得以使每项业务能完整、正确地

经过规定的处理程序，而在这规定的处理程序中，内部牵制机制永远

是一个不可缺少的组成部分，，。由此可见，内部牵制是以查错防弊为

目的，以职务分离、账目核对为手段，以钱、账、物等为主要控制对

象。

内部牵制按照实现机制的不同，可分为分离式牵制和合作式牵制

两类。

（一）分离式牵制

内部牵制制度的建立主要是基于两个设想，一是两个人或两个以

上的人或部门无意识地犯同样错误的机会是很小的：二是两个或两个

以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部

门舞弊的可能性。按照这样的设想，通过内部牵制机制，实现上下牵

制，左右制约，相互监督，因而具有查错防弊这个主要功能。所谓的

上下牵制是指，从纵向看，每项经济业务的处理，至少要经过上下级

有关人员之手，使下级受上级监督，上级受下级制约，促使上下级均

能忠于职守，不可疏忽大意。所谓左右制约是指，从横向看，每项经

济业务的处理，至少要经过彼此不相隶属的两个部门的处理，使每一

部门工作或记录受另一部门的牵制，不相隶属的不同部门均有完整的

记录，使之互相制约，自动检查，防止或减少错误和弊端；同时，通

过交叉核对也能及时发现错误和弊病。

分离式牵制即不相容职务相分离，所谓不相容职务是指那些如果

由一个人或一个部门担任既可能发生错误和舞弊行为，又可能掩盖其

错误和舞弊行为的职务。不相容职务主要有授权批准、业务经办、会

计记录、财产保管和稽核检查等职务，包括岗位的不相容、部门的不

相容以及流程的不相容。不相容职务分离主要是指授权审批与业务经

办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检

查、授权批准与监督检查等不能由一个人或一个部门进行。

由此可见，内部牵制主要是以不相容职务分离为主要流程设计的,

是内部控制的最初形式和基本形态。其目的是为了保证财产物资的安

全和完整，防止贪污、舞弊。实践证明，该设想是合理的，内部牵制

确实起到了防范错弊的作用。

（二）合作式牵制

现代内部牵制思想还包括合作式牵制。合作式牵制是指，通过合

作达到相互制约、相互监督的作用。例如，会审机制，企业面对重大

决策、重大业务事项、重要的人事任免以及大额资金支付时，需要领

导层集体决策、集体联签，以防止个人决策的失误：又如合同会签制

度，即合同在生效前不仅需要主管部门签字盖章还需要其他协作部门

共同参与，会审、会签人员共同参与、共担责任，以及降低决策、合

同的风险。另外，企业内部各部门之间在业务上的协助也属于合作式

牵制。例如，2012年财政部颁布要求在2014年1月1日试行的《行政

事业单位内部控制规范》中规定，重大事项需集体决策和会签。

六、企业内部控制规范体系的结构

2010年4月260,财政部、证监会、审计署、银监会、保监会联

合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内

部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计

指引》，连同此前发布的《企业内部控制基本规范》，标志着适应我

国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基

本建成。我国内部控制规范体系分两个层面，一是基本规范，二是配

套指引。

（一）基本规范

《企业内部控制基本规范》是内部控制建设与实施应该遵循的基

本原则和总体要求，具有强制性，纳入实施范围的企业应当遵照执行。

（二）配套指引

《企业内部控制配套指引》（包括应用指引、评价指引和审计指

引）是对《企业内部控制基本规范》相关规定的进一步补充和说明具

有指导性和示范性，企业可以结合所在行业要求和企业自身特点，参

照配套指引的规定开展内部控制建设与实施工作。配套指引包括应用

指引、评价指引和审计指引，三者之间既相互独立，又相互联系，形

成一个有机整体。

1、企业内部控制应用指引

应用指引是对企业按照内部控制五大原则和内部控制五大要素建

立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制

规范体系中占据主体地位，主要包括控制环境类指引、控制活动类指

引和控制手段类指引。

2、企业内部控制评价指引

评价指引是为企业管理层对本企业内部控制有效性进行自我评价

提供的指引，用于企业董事会或类似决策机构对内部控制有效性进行

全面评价、形成评价结论、出具评价报告的过程。

3、企业内部控制审计指引

审计指引是为注册会计师和会计师事务所执行内部控制审计业务

的执业准则。

七、企业内部控制规范的基本内容

我国企业内部控制规范的基本框架，可以概括为五大目标、五大

原则和五大要素。

（一）内部控制的目标

内部控制是围绕目标展开的，因此明确目标至关重要。内部控制

的目标，应是整个控制系统的出发点，决定了系统运行的方式和方向。

《企业内部控制基本规范》中对内部控制提出了合法合规、资产安全、

财务报告及相关信息真实完整、提高经营效率和效果以及促进企业实

现发展战略的五大目标，简称为合规目标、资产安全目标、报告目标、

经营目标和战略目标。内部控制五大目标是一个完整的目标体系，由

于各大目标在控制体系中的层级不同，其在整个目标体系中的地位和

作用也有所差异。

1、合规目标

合规目标要求企业或其他组织完全遵循国家的法律法规和监管要

求，是企业成功运营的必要保证，与企业活动的合法性相关。企业生

存于社会这个大环境下，必须遵守社会的基本规范，包括法律规范和

道德规范，必须在社会允许的范围内展开各项活动，即“小制度不能

大于大法”。因此，遵守法规、制度是企业一切活动的前提，也是首

先要保证完成的目标。国家有关法律、制度的落实必将依靠内部控制

的有效执行加以保证。一个违反国家法律法规、丧失道德底线的企业,

必然会将自身置于高风险的环境中，从而对自身的生存和发展造成巨

大的威胁，后果可想而知。

合规目标方面的关注点主要包括：公司的各项活动符合法律法规

确定的要求，通常涉及知识产权、市场、价格、税收、环境、员工福

利以及国际贸易等。

2、资产安全目标

虽然在COSO框架中没有将保护资产安全作为一个主要目标，而是

作为主要目标中的一个子目标，但是我国的《企业内部控制基本规范》

中重新将其作为内部控制目标的一个部分，这是基于我国的国情和现

状做出的必然选择，是有一定用意的。我国普遍存在产权多元化现象,

而且国有资产流失现象极其严重，保护资产安全和完整对资产所有者

来说具有特别重大的意义。资产安全与否实际上是内部控制的一个过

程控制结果，是实现其他目标的物质前提。因此，该目标要求内部控

制能够保护主体所有资产的安全和完整。

资产安全目标方面的关注点主要包括：关注企业日常经营活动的

效率，提高企业的生产力和竞争力，防止资产缩水，关注资产使用及

处置的授权情况。

3、报告目标

报告目标指内部控制应合理保证企业提供了真实、可靠的财务报

告及其他信息。报告目标有助于组织向投资者、债权人等利益相关者

以及内部管理层提供真实、可靠、完整的信息，具体包括内部和外部、

财务与非财务信息，它是内部控制目标体系的基础目标。企业报告包

括内部报告和外部报告，报告目标的提出更多地满足了企业外部的需

求。对于外部使用者来说，真实、可靠和完整的财务报告能够公允地

反映企业的财务状况和经营成果，从而有利于信息使用者做出决策。

当然，非财务信息的重要性也是不言而喻的。

可靠的报告既为管理层提供了适合其既定目的的准确和完整的信

息，也是外部监管的要求。报告目标方面的关注点主要包括以下几个

部分。

(1)管理层决策及对公司活动、业绩监控的准确、及时、完整的

信息的对内报告；

(2)用于满足投资考、监管部门及其他相关信息需求者的真实、

可靠、完整信息的对外报告;

(3)信息的全面性，而不仅仅是财务信息。

4、经营目标

经营目标旨在有效和高效地使用企业有限的资源，提高经营的效

率和效果，实现良好的运营。经营目标是企业实现其战略目标的核心

和关键所在，战略目标与企业的使命相关联，战略目标只有通过分解

和细化成经营目标才能得以落实。因此，没有经营目标，战略目标再

好也无任何意义。

经营目标需要反映特定企业自身及所处特定经济环境的特点，全

面考虑产品质量的竞争压力、产品的生产周期和与技术变化相关的其

他因素。一般来说，经营目标引导企业的资源流向，经营目标不成熟

或不明确，会造成企业资源的浪费。通常情况下，良好的内部控制能

够提高企业的经营效率和效果，提高单位时间产量，优化产品质量，

从而提高企业的核心竞争力。管理层必须确保经营目标反映现实的市

场需求，并且有明确的绩效衡量指标。

经营目标方面的关注点主要包括以下几点。

(1)经营目标与公司战略目标及战略计划一致；

(2)经营目标适应公司所处的特定经营环境、行业和经济环境等

(3)各个业务活动目标之间保持一致；

(4)所有重要业务流程与业务活动目标相关；

(5)适当的资源及有效配置；

(6)管理层制定的公司经营目标及他们对目标的负责程度。

5、战略目标

战略目标是基于组织整体视角的最高层次目标，其他目标都应与

战略目标协调一致并服务于战略目标。战略目标与企业的目标紧密相

关，并且是支持企业目标实现的基础。管理者为实现企业价值最大化

这一根本目标，针对内外部环境，评估与目标实现相关的风险，根据

风险偏好，做出一系列的反应和选择。一个企业为实现其战略目标，

首要的任务是在分析内外部环境的基础上制订战略，明确战略目标；

其次，对风险进行识别和评估，并在制订相应风险应对措施的基础上

形成战略规划；最后，将战略目标逐步分解成若干子目标，再将子目

标层层分解至各个业务部门、行政部门和各生产过程。上述过程为企

业实现其战略目标提供了合理保证。

战略目标反映了管理层就主体如何努力为其利益相关者创造价值

所做出的选择，是最高层次的目标，与其使命相关并支撑其使命。战

略是实现企业目标的全面性、方向性的行动计划。企业在考虑实现战

略目标的各种方案时，必须考虑与各种战略相伴的风险及其影响，对

于同样的战略目标可以选择不同的战略加以实现，而不同的战略则具

有不同的风险。因此，企业在战略选择之前，有必要对当前的经营状

况进行评估，分析内、外部环境因素，明确公司在行业中所处的位置

及面临的机遇和挑战，不断审视当前的目标与使命。

战略目标方面的关注点主要包括以下几点。

(1)管理层对企业绩效现状进行的评估，是前期战略进行监控的

基础，也是企业新战略制订的基础

(2)对内部和外部环境的监测分析；

(3)战略目标体系；

(4)战略选择遵循了必要的流程，并获得了充分地讨论；

(5)企业对目标实现与现有资源状况之间的匹配程度进行的评估;

(6)设定战略目标可接受程度；

(7)就战略目标与企业内部员工和外部相关利益集团之间进行沟

通。

(二)内部控制的原则

企业建立内部控制应遵循一定的原则，没有正确的原则指导，内

部控制的设计就难免存在先天性不足的问题，其执行效率难免大打折

扣。内部控制的基本原则是建立和实施各种内部控制应遵循的具有普

遍性和指导性的法则和原则，它所要解决的问题是，为了实现内部控

制的目标，基于内部控制的基本假设，根据内部控制的理论基础，应

当如何科学地设计和执行内部控制的问题。《企业内部控制基本规范》

明确指出，企业建立与实施内部控制，应当遵循全面性、重要性、制

衡性、适应性、成本效益五大原则。这五个原则形成一个整体，设计

企业的内部控制应做到统筹兼顾，不可偏废。

1、全面性原则

全面性原则是指内部控制应该贯穿决策、执行和监督全过程，覆

盖企业及其所属单位的各种业务和事项。全面性原则要求内部控制覆

盖全部业务活动和每项业务活动的全过程，在层次上应当涵盖企业董

事会、管理层和全体员工；在对象上应当覆盖企业各项业务和管理活

动；在流程上应当渗透到决策、执行、监督、反馈等各个环节，避免

内部控制出现空白和漏洞。

具体而言，全面性原则，首先要求企业进行全过程控制，即对整

个经营管理活动过程进行全面、全方位、全时段的控制，其中包括企

业管理部门用以授权与指导、进行购货、生产等经营管理活动的各种

方式方法，以及核算、串核、分析各种信息及进行报告的程序与步骤

等。其次，内部控制对全体员工都有约束力，企业应当进行全员控制。

企业的每一位成员既是内控的主体，又是内控的客体，内部控制制度

应保证每一位员工包括高层管理人员到基层执行操作人员都受到相应

的控制。

2、重要性原则

重要性原则是指内部控制应当在全面控制的基础上，关注重要业

务事项和高风险领域。对重要业务经济活动进行重点控制时，对一项

经济业务活动的关键环节实行重点控制。对关键控制点的选择，应统

筹考虑会影响整个企业经营运行过程的重要操作与事项以及其是否能

在重大损失出现之前显示差异，以便有利于对问题做出及时、灵敏的

反应。例如，在设计与执行同存货相关的内部控制制度时，可以借鉴

存货ABC管理方法，根据存货数量占比和资金占比，对其中的A类存

货进行重点控制。

在理解上，应将全面性原则和重要性原则联系起来，不能片面、

分立地理解。重要性是在全面性基础上的考虑，即重要业务事项一个

都不能少。这是内部控制合理保证目标实现以及确定控制点的前提也

是成本效益原则的体现。

3、制衡性原则

制衡性原则是指内出控制应当在治理结构、机构设置及权责分配、

业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。内部

控制的本质之一是制衡，制衡性原则是内部控制的一个灵魂性原则，

是内部控制有效性的具体判断标准。企业的机构、岗位设置和权责分

配应当科学合理并且符合内部控制的基本要求，确保不同部门、岗位

之间的权责分明和有利于相互制约、相互监督。履行内部控制监督检

查职责的部门应当具有良好的独立性。任何人不得凌驾于内部控制之

上。

制衡性原则要求人们在办理具有固定风险的经济业务事项，对涉

及的不相容职务应该严格加以分离，不得由一个人或一个部门包办到

底。组织行为理论强调授权和权力制衡的重要性，因此通过科学合理

地设置机构、岗位和分配权责，能够实现权力的相互制衡，进而实现

组织的各项目标。此外，不串通假设也为该原则地遵循奠定了基础。

因此，制衡性原则是建立内部控制应当遵循的又一个重要的基本原则。

4、适应性原则

适应性原则是指内部控制应当与企业经营规模、业务范围、竞争

状况和风险水平等相适应，并随着情况的变化及时加以调整。适应性

原则是成本效益原则的保证。组织行为理论强调人们应该重视环境的

变化，“因地制宜”地设计、“因材施教”地执行内部控制。

企业在性质、行业、规模、组织形式和内部管理体制及管理要求

等方面存在差异，这构成了企业不同的特点以及同一行业在不同的发

展阶段表现出不同的特点。因此，企业应当根据各自的实际情况，恰

当地设置适用的控制措施、手段及程序等，发挥应有的控制作用，满

足管理的需要。

5、成本效益原则

成本效益原则是指内部控制应当权衡实施成本与预期效益，以适

当的成本实现有效控制。企业是以追求经济利益为目标的经济组

织，内部控制的设计和实施是需要成本的。企业应当在保证有效性的

前提下，合理地权衡成本与效益的关系，争取以合理的成本实现更为

有效的控制。

这一原则要求企业根据规模大小及具体经营管理情况设计和执行

内部控制制度，既要考虑到设计的经济性，又要考虑到执行的效益性,

避免重复控制，浪费人力、物力和财力；应尽量精简机构和人员，减

少过繁的程序和手续，提高工作效率；尽可能控制设计成本与执行成

本，以达到最佳的控制效果。

（三）内部控制的要素

按照《企业内部控制基本规范》的规定，我国企业内部控制包括

内部环境、风险评估、控制活动、信息与沟通、内部监督5要素。

1、内部环境

内部环境是企业实施内部控制的基础，一般包括治理结构、机构

设置及权责分配、内部审计、人力资源政策、企业文化等。内部环境

是影响、制约内部控制建立与执行的各种因素的总称，是实施内部控

制的基础。

2、风险评估

风险评估是指企业及时识别、系统分析经营活动中与实现内部控

制目标相关的风险，合理确定风险应对策略。因此，风险评估主要包

括目标制定、风险识别、风险分析和风险应对四个环节。风险评估是

实施内部控制的重要依据。

3、控制活动

控制活动是企业根据风险评估结果，采用相应的控制措施，将风

险控制在可承受的范围之内。它是实施内部控制的具体手段。

4、信息与沟通

信息与沟通是指企业及时、准确地收集、传递与内部控制相关的

信息，确保信息在企业内部、企业与外部之间的有效沟通和正确应用

的过程。它是实施内部控制的重要组成部分。

5、内部监督

内部监督是指企业对内部控制建立与实施情况进行监督检查，评

价内部控制的有效性，一旦发现内部控制缺陷，应当及时加以改进。

它是实施内部控制的重要保证。

总之，内部控制的目标是一个体系，按照COSO的观点，每一个巨

标都要有相应的控制程序，从横向的角度来看，所有的控制程序一定

存在某些共性，抽出所有控制程序的共性并归类就形成了内部控制的

各个构成要素，即内部控制的要素结构。

八、内部控制的重要性

内部控制作为现代组织管理框架的重要组成部分，是一个组织持

续发展的机制和重要保证。现代组织理论和管理实践表明，组织的一

切管理工作，都要从建立与健全内部控制制度开始；组织的一切活动,

都无法游离于内部控制之外。“得控则强，失控则弱，无控则乱”，

内部控制的重要性主要体现在以下4个方面。

（一）内部控制是实现企业发展战略的基础

企业的发展不能是为现在而发展，而应该是为未来而发展，必须

要有一个长期的目标。企业的发展战略是企业对全局的一种总体设想,

是从宏观的角度对企业的未来的一种较为理想的设定。它所提出的是

企业整体发展的总任务和总要求，它所规定的是整体发展的根本方向。

因此，人们所提出的企业发展战略总是高度概括的，而且着眼于未来

和长远。一般认为，要实现企业长远的发展战略就要有健全有效的内

部控制作为支撑。实践证明，在我国经济快速发展的背景下，只有建

立和实施科学的内控体系，才能提升风险防范能力，实现企业可持续

发展战略。在西方，内部控制提出得较早，相关的法律法规也对此有

了明确的要求。而在我国，具有强制性要求的内部控制基本规范形成

较晚，许多企业并没有自发地认识到建设与执行内部控制的重要性，

因此，在与国外企业交往的过程中，常常由于这方面的欠缺而遭到不

公正的待遇。企业应该意识到，内部控制及其评价制度不只是为了满

足外部强制要求，而应该最终成为一种自发的行动。建设和完善内部

控制体系是我国企业融入国际社会和健康、可持续发展的必由之路。

（二）内部控制是提高企业经营管理效率的保证

内部控制产生于组织管理的需要，存在于组织经营管理活动之中,

是组织内部管理的重要组成部分，这就决定了内部控制的主体是组织

的管理部门和具体执行各项控制措施的人员，企业内部控制划分为内

部管理控制与内部会计控制两大类。内部管理控制制度是指那些对会

计业务、记录和报表的可靠性没有直接影响的内部控制。内部会计控

制是指那些对会计业务、记录和报表的可靠性有直接影响的内部控制,

通过这种控制的建立，能维护财产物资的安全、完整，保证会计信息

的真实、可靠，保证经营管理活动的经济性、效率性和效果性，保证

各项法律和规范的遵守。内部控制贯穿于企业经营管理活动的各个方

面，只要企业存在经济活动和经营管理，就需要建立、健全企业的内

部控制并加强内部控制。

（三）内部控制是提高企业信息质量的保证

众所周知，在信息化时代，信息足以决定一个企业的兴衰存亡。

首先，高质量的报告信息将为管理当局提供准确而完整的信息，用以

支持管理当局的决策和对主体活动及业绩的监控。同时，高质量的对

外报告和披露有助于企业的外部投资者、债权人等利益相关者以及监

管当局做出正确的决策。有效的内部控制系统通过职务分离、岗位轮

换、内部审计等控制方法及手段对企业信息的记录和报告过程进行全

面持续的监控，及时发现和纠正各种错误与舞弊，保证企业信息能够

真实完整地反映企业经营活动的实际情况。反思我国近年来的一系列

财务舞弊案件，如红光实业、银广夏、蓝田股份等，其组织的内部控

制失效负有不可推卸的责任。国内外证券市场的财务丑闻，使得广大

投资者蒙上厚重的心理阴影，要求规范上市公司财务报告的呼声越来

越高。有效的内部控制，对于重塑投资者的信心，维护资本市场的公

平和透明，进而保护投资者利益与国家经济安全意义重大。

（四）内部控制是加强企业制度管理的根本

现代企业制度是指以市场经济为基础，以完善的企业法人制度为

主体，以有限责任制度为核心，以公司企业为主要形式，以产权明晰、

权责明确、政企分开、管理科学为条件的新型企业制度。企业是一系

列“契约的联结”，由于委托人不能直接观测到代理人选择了什么行

动，委托人和代理人之间存在信息不对称，具有机会主义倾向的管理

当局会利用自己的信息优势，发生偷懒、不当消费等行为，以牺牲委

托人的利益为代价，使自己的利益最大化。因此，企业所有者需要监

督代理人，防止代理关系下的信息不对称，降低代理成本，实现公司

治理目标，从而有助于最大限度地满足企业所有者的权益。同时，通

过不相容职务分离控制、授权审批控制、会计系统控制、资产安全控

制、绩效考评控制等手段形成各司其职、各负其责、相互制约的工作

机制，逐渐推动企业管理水平与会计信息质量的提升，提升经营的效

率和效果。

九、内部控制的局限性

依据唯物辩证法的观点，任何事物都不可能尽善尽美，内部控制

也有其两面性：一方面它对企业预期目标具有控制作用：另一方面也

有他的不足和缺陷，存在固有的局限性。一般而言，内部控制的局限

性表现在以下几个方面。

1、成本限制

内部控制受到成本与效益原则的限制，内部控制系统所需求的保

证水平有必要根据其成本而定。一般来说，控制程序的成本不能超过

风险或错误可能造成的损失和浪费。否则，再好的控制措施和方法也

将失去意义。

由于存在资源稀缺问题，企业必须考虑建立控制的相应成本。般

而言，用于衡量控制成不与收益的标准不同。控制成本量化较为容易,

控制效益量化则相当复杂，难免包括主观的评估。在评估潜在收益时

可以考虑以下特定因素：不理想情形发生的可能性、各项活动的特性、

时间价值有可能对实体造成的潜在财务或经营影响。

此外，成本效益决策的复杂性还在于当控制与管理或运营过程相

结合，或“纳入”管理或营运过程时，很难区分哪些是控制的成本与

效益，哪些是管理或营运的成本与效益。同样，若干项控制措施组合

在一起，在很多时候，可用以防范或减轻某一特定的风险，但对具体

单项的控制成本与效益则很难估计。另外，控制成本与效益的估计，

也会因单位或业务性质的不同而有所侧重。高风险活动明确要求进行

成本收益分析，而低风险活动则可以省略。

2、人为失误

内部控制的设计会受到设计人员经验和知识水平的限制，因而可

能存在缺陷。同时，执行人员的粗心大意、精力分散、判断失误以及

对指令的误解等，也可能使内部控制系统失控或陷于雍疾。例如，经

营决策必须在规定的时间内，根据所掌握的信息，在经营行为的压力

之下通过人为判断来做出。根据事后的剖析，有些基于人为判断的决

策，并不能产生预期的效果，而且可能需要做出改变。

3、串通舞弊

两人或多人的合谋活动可能导致内部控制的失效。从事犯罪或者

试图隐瞒某项行为的个人，通常会设法改变财务数据或其他管理信息,

使其不能为内部控制系统所识别。例如，执行一项重要控制职能的员

工可能会与客户、供应商或其他员工串通。不同级别的销售人员或部

门经理有可能合谋绕过控制，以使所报告的成果达到预算或激励目标。

因此，在实际工作中，如果处于不相容职务上的相关人员相互串通、

相互勾结，失去了不相容职务之间相互制约的基本前提，内部控制也

就很难发挥作用。

4、滥用职权

各种控制程序是管理工具，但任何控制程序都不能发现和防止那

些负责执行监督控制的管理人员滥用职权或不当用权。管理权的干预

直是导致许多重大舞弊发生和财务报告失真的一个重要原因。在某些

情况下，对于担任控制职能的人员越权管理、滥用职权，即使具有良

好设计的内部控制，也不能发挥其应有的作用。内部控制作为企业管

理的组成部分，理所当然地要按照管理人员的意图运行，尤其是对企

业负责人的决策更具有决定性的作用。决策出了问题，贯彻决策人意

图的内部控制也就失去了其应有的控制作用。

5、制度失效

内部控制制度是针对制度制定时的经济业务设计的，内部控制可

能会因经营环境、业务性质的改变而削弱或失效，可能会对不正常的

或未预料到的业务类型失去控制能力。企业处于经常变化的环境之中,

为保持竞争力，势必要经常调整经营策略，这就会导致原有的控制制

度对新增的业务内容失去控制作用的情况发生。

6、例外事件

内部控制主要是围绕着企业正常的生产经营活动，针对经常性的

业务和事项进行的控制。但在现实企业中，由于复杂多变的外部环境

使得企业常常会面对一些意外和偶发事件，而这些业务或事项由于其

特殊性和非经常性，没有现成的规章制度可循，造成了内部控制的盲

点。也就是说，内部控制的一个重大缺陷在于它不能应对例外事件。

企业在处理这些事项时，往往更多地凭借管理层的知识和经验以及对

环境变化的感知度，这就是所谓的“例外管理原则”。

十、企业风险管理框架：内部环境的成熟

COSO的《企业风险管理一一整体框架》用“内部环境”代替了

“控制环境”，提出内部环境包含组织的基调、营销组织中人员的风

险意识，是企业风险管理所有其他构成要素的基础，为其他要素提供

约束和结构；它影响着战略和目标如何制定、经营活动如何组织以及

如何识别、评估风险并采取行动；它还影响着控制活动、信息与沟通

体系和监控措施的设计与运行。由风险管理理念、风险文化、董事会、

操守和价值观、对胜任能力的承诺、管理方法和经营模式、风险偏好

组织结构、职责和权限分配、人力资源政策和实务9大因素构成。与

C03092内部环境构成因蓑相比，C0S004虽然仅增加了两个因素、微调

了因素排列顺序、修正了部分因素的措辞，但内部环境内涵却发生了

深刻变化。第一，突出“企业”的重要性。内部环境建设是企业自己

的事，是企业内部积极的需求，而非外部强加的压力，强调企业首先

应有“风险管理理念”，并将这种理念传导、灌输给全体员工，形成

“风险文化”，这是对C0S092内部环境思想的重大突破；第二，突出

“风险”的重要性。强调风险管理理念、风险文化、风险偏好（风险

承受度），将上述内容月于制定战略之中，并贯穿于整个企业；第三,

突出“管理”的重要性。实现从控制到管理的转变，引入战略观念，

同时提升了董事会在战略决策中的地位和作用。在措辞方面，相对于

C0S092,将“诚信与道德”改为“操守和价值观”，将“素质要求”

改为“对胜任能力的承诺”，更为恰当、准确地把握了企业文化是内

部环境构成因素的精髓；将“管理哲学与经营风格”改为“管理方法

和经营模式”，更为具体且切合企业管理实际，即对管理层的要求不

仅是空洞的哲学与风格，更要拥有具体的方法与模式；“组织结构”

改为“风险偏好组织结构”，合理解释了每个企业组织结构的不同是

受风险偏好影响的缘由。

十一、内部控制整体框架：内部环境的发展

1992年，COSO发布《内部控制一整体框架》，提出控制环境是组

织的基调，主导或左右着组织成员的控制理念；控制环境是其他内部

控制要素的基础，决定着控制的边界和结果，包括诚信与道德、素质

要求、董事会与审计委员会、管理哲学与经营风格、组织结构、责任

分配与授权、人力资源政策与执行7大因素。COSO92突出了企业文化

中的核心内容一“员工的诚信与道德”以及“素质要求”，并将它们

作为控制环境要素的两个首要因素，突出了软控制的影响力；同时，

提升了董事会与审计委员会在控制环境中的重要作用和地位，强调董

事会的参与而非干预。从员工的“诚信与道德”到“人力资源政策与

执行”，形成了完整的控制环境构成因素体系，7大因素的有序组合以

及良性循环有力地推动了企业管理“车轮”滚滚向前。但是，C0S092

的视角还是立足于外人（特别是外部审计师）如何看待一个企业的控

制环境，企业进行内部环境建设仍处于被动应对状态。

十二、社会责任

企业创造利润或实现股东财富最大化固然很重要，但在经济社会

高速发展的当今时代，尤其是我国作为发展中国家，在大力发展社会

主义市场经济的过程中，企业作为最重要的市场主体，如果不顾一切

地追逐利润，是不符合科学发展观，不利于建设和谐社会的。因此，

履行社会责任是企业义不容辞的义务，是企业的光荣使命。

社会责任是指企业在经营发展过程中应当履行的社会职责和义务,

主要包括安全生产、产品质量（含服务）、环境保护、资源节约、促

进就业、员工权益保护等。企业履行社会责任可以增加企业的安全生

产意识，防止企业发生重特大安全事故，可以增强企业的环境保护意

识，避免造成环境污染，导致企业巨额赔偿或停产整顿。

企业创造利润和履行社会责任两方面是统一的有机整体，相辅相

成，并不矛盾。企业承担了社会责任将有助于改善企业的形象，提高

品牌美誉度，进而吸引更多的客户，增强企业的经济效益。企业履行

社会责任是提升发展质量的重要标志，是实现企业可持续长远发展的

根本所在。众所周知，如果企业做不到安全生产，事故频繁，造成人

员伤亡，必然是欲速则不达甚至导致关闭。由此可见，企业在制定和

实现发展战略过程中，应当充分考虑履行社会责任的要求，从根本上

转变发展方式，实现长远发展的目标。

那么企业应该如何履行社会责任呢？第一，企业负责人要高度重

视这项工作，树立社会责任意识，形成履行社会责任的企业价值观和

企业文化。第二，要把履行社会责任融入企业发展战略，落实到生产

经营的各个环节，逐步建立和完善企业社会责任指标和考核体系，为

企业履行社会责任提供坚实的基础与保障。第三，建立社会责任报告

制度，发布社会责任报告，让股东、债权人、员工、客户、社会等各

方面知晓自己在社会责任领域所做的工作，这样可以增强企业的战略

管理能力，全面提高企业服务能力和水平，提高企业的品牌形象和价

值。

（一）社会责任的主要风险

企业应当明确社会责任面临的主要风险，以及这些风险可能导致

的后果。

（1）安全生产措施不到位，责任不落实，导致企业发生安全事故。

（2）产品质量低劣，侵害消费者利益，导致企业巨额赔偿、形象

受损，甚至破产。

（3）环境保护投入不足，资源耗费大，造成环境污染或资源枯竭,

导致企业巨额赔偿、缺乏发展后劲，甚至停业。

（4）不重视就业和员工权益保护，导致员工积极性受挫，影响企

业发展和社会稳定。

（二）社会责任风险的应对措施

针对社会责任面临的风险及影响，企业采取的应对措施包括以下

几个方面。

（1）设立安全管理部门和安全监督机构，建立严格的安全生产管

理体系、操作规范和应急预案，强化安全生产责任追究制度，切实做

到安全生产。

（2）规范生产流程，建立严格的产品质量控制和检验制度，严把

质量关，严禁将缺乏质量保障、危害人民生命健康的产品流向社会。

（3）提高员工的环境保护和资源节约意识，建立环境保护与资源

节约制度，认真落实节能减排责任，积极开发和使用节能产品，发展

循环经济，降低污染物排放，提高资源综合利用效率。

（4）依法保护员工的合法权益，保障员工依法享有劳动权利和履

行劳动义务，保持工作岗位相对稳定，积极促进充分就业。

（5）针对目前少数企业对公益事业（如接纳大学生实习等）、慈

善事业等漠不关心的情况，社会责任应用指引指出，企业应当按照

“产学研用”相结合的社会需求，积极创建实习基地，大力支持社会

有关方面培养、锻炼社会需要的应用型人才；同时，应积极履行社会

公益方面的责任和义务，关心帮助社会弱势群体，支持慈善事业。

十三、发展战略

企业发展战略是指企业在对现实状况和未来趋势进行综合分析和

科学预测的基础上，制订并实施的长远发展目标与战略规划。制订明

确、稳定、符合实际的发展战略可以防止公司盲目发展、过度扩张或

发展滞后。企业作为市场经济的主体，要想求得长期生存和持续发展,

关键在于制订并有效实施适应外部环境变化和自身实际情况的发展战

略。发展战略主要是由企业的最高层制订，经过战略议题分析，集团

战略制订，事业部战略制订，战略质询、审批、公布再到战略实施和

最后的反馈控制，每一个环节都由战略制订者根据企业自身的情况客

观地分析制订。企业还应针对战略实施过程进行动态监控与报告，并

建立、健全战略评估制度。

一个现代企业，如果没有明确的发展战略，就不可能在当今激烈

的市场竞争和国际化浪潮冲击下求得长远发展。

（一）发展战略阶段

为了加强对企业发展战略规划的内部控制，明确发展战略的整个

流程，企业可以将发展战略规划的程序大致划分为战略制订、战略实

施两个大的阶段，其中战略实施中包含了实施后的战略评估与调整。

发展战略是公司围绕主经营业务，在对现实状况和未来形势进行综合

分析和科学预测的基础上，制订并实施的具有长期性和根本性的发展

目标与战略规划。

1、战略制定阶段

一个正确的战略形成需要企业先提出一个合理的战略目标。企业

应当在充分调查研究、科学分析预测和广泛征求意见的基础上制订发

展目标。企业在制订发展目标的过程中，应该综合考虑宏观经济政策、

国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用

资源水平和自身优势与劣势等影响因素。根据上述因素以及企业管理

层人员的经验和专业知识拟定出一个合理的战略目标。

企业应当根据发展目标制订战略规划。战略规划应当明确发展的

阶段性和发展程度，确定每个发展阶段具体目标、工作任务和实施路

径。也就是说，战略对于企业的指导是一个过程，而不是企业一下子

就能达到战略所要求的目标。所以这个过程需要一个完整、明确的规

划。

企业应当在董事会下设立战略委员会，或指定专门机构负责发展

战略管理工作，履行相应职责。战略委员会成员应当具有较强的综合

素质和实践经验，其任职资格应当符合有关法律法规的规定。

董事会应当严格审议战略委员会提交的发展战略方案，如发现重

大问题，应责成战略委员会对方案进行调整。调整后的方案重新审议,

直至通过，并上报股东大会。最后经由股东大会批准实施。

2、战略实施阶段

企业应当根据发展战略，制订年度工作计划，编制全面预算，将

年度目标分解、落实；同时，完善发展战略管理制度，确保发展战略

有效实施。

企业应当重视发展战略的宣传工作，通过内部各层级会议和教育

培训等有效方式，将发展战略及其分解落实情况传递到内部各管理层

级和全体员工。让全体员工接受、认可，甚至形成一种企业文化。

由于经济形势、产业政策、技术进步、行业状况以及不可抗力等

因素发生重大变化，需要对发展战略做出调整的，应当按照规定权限

和程序调整发展战略。

（二）发展战略的主要风险

企业应当明确发展战略面临的主要风险，以及这些风险可能导致

的后果。

（1）缺乏明确的发展战略或发展战略实施不到位，导致企业盲目

发展，难以形成竞争优势，丧失发展机遇和动力。

（2）发展战略过于激进，脱离企业实际能力或偏离主业，导致企

业过度扩张、经营失控甚至失败。

（3）发展战略频繁变动，导致企业资源严重浪费，最后危及企业

的生存和持续发展。

（三）发展战略风险的应对措施

针对上述风险及影响，企业采取的应对措施包括以下几方面的内

容。

(1)企业健全组织机构，在董事会下设立战略委员会，或指定专

门机构负责发展战略管理工作。同时，对战略委员会的成员素质、工

作规范也提出相应要求。

(2)应在充分调查研究、科学分析预测和广泛征求意见的基础上

制定发展目标，而不是靠拍脑袋，盲目制定发展战略。在制定目标过

程中，应综合考虑宏观经济政策、国内外市场需求变化、技术发展趋

势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影

响因素。

(3)强调战略规划应当根据发展目标制定，明确发展的阶段性和

发展程度，确定每个发展阶段的具体目标、工作任务和实施路径。

(4)董事会从全局性、长期性和可行性等维度，严格审议战略委

员会提交的发展战略方案，之后再报经股东(大)会批准实施。

(5)从抓实施的角度，要求企业根据发展战略，制订年度工作计

划，编制全面预算，将年度目标分解、落实，以确保发展战略的有效

实施。

(6)设立发展战略后实施评估制度，要求战略委员会加强对发展

战略实施情况的监控，定期收集和分析相关信息。对发现明显偏离发

展战略的情况，要求及时报告；确需对发展战略做出调整，企业要遵

循规定的权限和程序调整发展战略。

十四、控制的层级制度

内部控制不是在真空中存在的，它涉及人员、政策和程序，是对

组织自身的一种控制环境。内部控制是主观的，因为它依赖于管理层

认为控制有多重要，是否选择有效的战略，如何监督和实施控制。内

部控制的每一个有意义的检查都必须考虑环境。

由管理层建立的内部环境会对一个组织的控制程序与技术的有效

性产生重要的影响。控制环境的形成会受到很多因素的制约。有些因

素清晰可见，如正式的公司政策声明或内部审计职能。有些因素是无

形的，如职业胜任能力和人员的诚实性。

《国际注册内部控制师通用知识与技能指南》把内部控制视为一

个三级分类的控制层级制度。在层级制度的顶端是内部环境，即“公

司治理”另外两个层级控制措施的执行与效果。在内部环境控制之下

是系统控制，最底层的是交易处理控制。

控制措施的有效性是从内部环境开始向下移动的。换句话说，如

果环境控制是薄弱的，其他层级的控制将不会有效。例如，如果管理

层不创建一个希望员工能保护数据安全性的环境，员工或许不关心保

存密码的重要性。在一个松散的内部环境控制中，个人可能把密码标

签贴在计算机终端上。如果对系统的控制措施是薄弱的，交易处理的

控制措施将同样是薄弱的。

有效地控制是董事会和组织中每个员工的责任。管理层创建一个

内部环境是很重要的，在这一环境中每个员工都认为控制是很重要的,

并且成为控制的积极参与者，以确保那些需要控制的事项真正得到控

制。

执行管理层有责任创建有益于控制措施实施、监督控制和处罚违

反控制行为的环境。在创建控制措施并确保控制措施得到贯彻执行方

面，管理层必须提出有效的内部环境控制的属性和管理层的职责。

董事会负有监督内部环境的责任，并强调解决违反控制的行为。

董事会应当要求首席执行官提供内部环境的适当保证。所有重大的违

反控制的行为和对这些行为采取的纠正行动都应当通知董事会。为了

有助于实现这些控制职责，董事会任命独立审计师和内部审计师帮助

他们评价控制措施是否适当，并保证他们遵守控制措施。

中级管理层有责任对他们的职能领域建立控制目标。例如，信息

技术部门可能设立一个控制目标，要求所有软件在安装进入系统之前,

应接受单独的测试；应收账款管理部门可能设立一个目标，要求所有

已开发票的物品，不管是款项已收讫还是需要傕收，都应该在应收款

项中予以适当地记录。

员工有责任执行和操作控制措施。在大多数的组织内，信息技术

部门职员的工作涉及职能领域中的全体员工，这有助于信息技术部门

确定所需要控制的程度。

十五、有效内部环境的属性

组织的董事会和执行管理层构建控制环境。不过需要说明的是没

有一个绝对正确的内部环境，但存在有效的内部环境属性。这些属性

可以采用许多不同的方法得到执行。有些属性是共同的，但是大部分

属性将根据组织情况而选择不同的实施方法。

一个有效的内部环境的属性主要包括以下内容。

1、行为守则政策几乎所有组织都承认制定行为守则政策的必要性。

行为守则政策是指管理层对行为的定义，所有员工，包括执行管

理层应当证实履行了他们的日常职责。

2、企业的价值观

公司确定的愿景是组织目标的理想化表述。例如Alibaba的愿景

为“旨在构建未来的商务生态系统。我们的愿景是让客户相会、工作

和生活在阿里巴巴，并持续发展最少102年”。在实现愿景方面，公

司需要建立其希望融合到操作程序中的价值观。例如，阿里巴巴集团

的6个价值观对于我们如何经营业务、招揽人才、考核员工以及决定

员工报酬等方面具有指导性作用，具体包括如下内容。

（1）客户第一：客户是衣食父母。

（2）团队合作：共享共担，平凡人做非凡事。

（3）拥抱变化：迎接变化，勇于创新。

（4）诚信：诚实正直，言行坦荡。

（5）激情：乐观向上，永不言弃。

（6）敬业：专业执着，精益求精。

这些价值观需要被融合到执行工作和制定决策中去。例如阿里巴

巴以客户第一为目标，马云在2014年赴美上市前向员工发布邮件，上

市后仍坚持客户第一，员工第二，股东第三的原则。

3、首席执行官成为楷模

组织的高级职员应当以言传身教的方式教导所有员工遵守行为法

则。对“首席执行官成为楷模”最好的描述是首席执行官必须“言行

一致”。换句话说，如果首席执行官希望员工在公务旅行中遵守财务

的限制性规定，例如，出差乘坐飞机的二等舱，那么除非有一个可以

不这样做的商务理由，否则，首席执行官应当遵守规定。如果首席执

行官希望公司中的每个员工根据内部控制的原则接受培训I,那么，首

席执行官也应当参加此类培训。如果首席执行官想要成为一个楷模他

必须以自身的表现和态度告诉组织内所有员工应该怎么做。

4、组织结构（职责分离）

董事会和高级管理层必须设定组织的结构，并进行适当的职责分

离，以便能以高效和便捷的方式完成组织的使命。尽管不存在应用于

所有组织的“正确”组织结构，然而，在COSO内部控制整合框架中所

包含的指南提供了被认为是好的组织结构的指引。

该指南的描述如下：组织结构应当既不能太简单，以至于无法适

当地监督企业的活动，也不能太复杂，以至于禁止必要的信息流。主

管人员应当完全了解他们的控制责任，并且具有与他们职务相匹配的

经验和知识。有效组织的五个特征包括以下几方面。

(1)整个组织结构应当是有能力提供管理其活动所必需的信息流;

(2)应当界定主要经理们的职责和他们对这些职责的理解；

(3)报告关系是适当的；

(4)应当根据变化的情况对组织结构做出修正；

(5)在管理和监督能力方面，有足够的熟练技工执行组织的各项

活动。

5、人员的胜任能力

所有的内部控制都是针对“人”这一特殊要素而设立和实施的，

再好的制度也必须有人去执行，可以说，人员的品行和素质是内部控

制效果的一个决定性因素。因此，人的品行和能力是决定性的内部环

境因素。另外，员工的品德与能力既是决定性的内部环境因素，直接

影响着内部控制其他要素的建设和运行；也是根本性的内部环境因素,

影响着其他控制环境因素的优劣。企业没有德才兼备的决策人员，就

不可能制定出科学合理的发展战略；没有德才兼备的治理人员特别是

独立董事，治理层就不可能有效地履行对内部控制的治理、指导和监

督职责；没有德才兼备的管理人员特别是高级管理人员，管理层就不

可能有合理的管理理念和经营风格。在企业的各类人员中，董事和高

级管理人员的品德和能力格外重要，它不仅直接影响治理层对内部控

制监督与指导职责的履行，管理层对企业经营管理“基调”的设定，

而且影响到他们对其他员工的招聘、任用、考核，从而影响其他员工

的品德与能力。员工的品德是企业的重要资源。COSO(1992)框架认

为“经营良好的企业的管理人员已越来越接受'道德是值得的'的观点

一一道德行为是一项很好的业务”。员工品德影响着内部控制其他构

成要素的设计、执行和监控。“内部控制的有效性不可能脱离建立、

执行和监控它们的人员的诚信和道德价值观。”

6、其他方面

很多因素都会影响内部环境有效性，除了行为守则政策、企业的

价值观、首席执行官成为楷模等属性之外，还包括职责与权力的特别

委派和沟通、一般授权与责任制、内部审计、资产保护和规定的流程

等。

十六、公司治理与公司管理的关系

公司治理关心的是“公司应走向何方“，而公司管理关心的是

“公司怎样到达那里“。公司治理的核心是确定公司的目标并保证决

策的科学性，公司管理的核心是确定实现目标的途径。管理是运营公

司，治理是确保这种运营处于正确的轨道。两者都是针对同样的终极

目标，即实现财富的有效创造，只是扮演的角色不同，公司治理通过

建立权力制衡的机制而实现其机能，公司管理是对组织资源进行有效

整合以达成既定目标。KennethDayton认为，治理与管理是“一个硬币

的两个面”，谁也不能脱离谁而存在。治理规定了整个企业运作的基

本网络框架，管理则是在这个既定的框架下驾驭企业奔向目标。缺乏

良好治理模式的公司，就像一座地基不牢固的大厦一一没有公司管理

体系的畅通，单纯的治理模式也只能是一个美好的蓝图，缺乏实际的

内容。纵观管理理论的发展，从泰勒的科学管理思想、梅奥的人际关

系理论、波特的竞争战略研究到哈默的企业再造理论，企业管理理论

与相应的管理实践范围由小到大，由刚性的管理措施逐步发展到注重

组织、个体行为的柔性管理理念，由企业的作业管理层次发展到从战

略到作业的全方位管理。早期的公司管理注重作业层，与公司治理几

乎是分割的。进入20世纪80年代后，由于竞争的激烈，制订战略成

为企业发展首要考虑的问题，公司管理的重心转向战略管理，这一转

变使公司管理与公司治理开始有了共同的领域，并日益融合。战略管

理一般包括两个部分，即战略规划和战略实施，其过程又可分为提议、

批准、贯彻和监督四个阶段。战略管理一般由总经理提出战略动议，

经过董事会（股东大会）批准认可，然后再由总经理组织分解、贯彻

和实施，同时此过程又受到董事会等的监督和控制。因此，战略管理

的参与者即是公司治理、公司管理中各个层次的集合体，治理层负责

批准和监督，管理层负责提议和实施。由此，公司治理与公司管理之

间的连接点在于公司的战略管理层次，特里克对两者的关系做了形象

的图示分析。

十七、公司治理模式差异论

根据新古典综合学派的效率理论可知，不同的公司其治理机制的

效率也是不同的。不同的经济任务、不同的经济环境必然也将产生不

同的公司治理结构，迄今为止，没有任何一种公司治理模式被证明放

之四海而皆准，那么，这种公司治理模式之间的差异就必将存在着。

几种公司治理模式的产生都是与其具体的市场条件和政治、历史因素

密切联系的。治理模式差异论认为，由于经济、政治、文化等方面的

差异以及历史传统和发展水平的不同，致使世界上很难存在唯一最佳

的公司治理模式。

（一）历史传统

哈佛大学教授卢西恩•伯查克和马克•罗伊共同发现路径依赖理

论，即一国的公司治理模式不可避免地受到先前存在的公司制治理结

构的影响，也不可避免地沿着先前的公司治理结构的基本轨迹与方向

发展，由此导致了各国在先前由于其不同的环境甚至是历史条件而形

成不同的公司治理模式。因为：第一，怎样建立有效的公司治理模式

通常是有章可循的；第二，现有的公司治理模式缺陷会随着公司运营

逐渐显现，但公司内部既得利益者为了维护其自身利益，会阻止对公

司治理模式进行变革，维护其既得利益。由此可知，即使竞争效率的

压力和全球趋同化仍然存在，但公司治理结构的不同不可能消失。

（二）经济条件

经济条件上，“外部控制型”的英美公司治理模式，主要依赖于

完善的外部资本市场来对经理层进行有效的监控，而“内部控制型”

的德日公司治理体制，则依赖于公司内部监控机制作用的发挥。如果

德国模式迎接敌意收购和股东导向型董事会，那么，德国就会出现既

没有劳工影响的董事会，也没有契约和劳动力市场的保护监控机制，

这样的治理模式将会是不可想象的。在制度的选择过程之中，国家利

益以及政治选择等因素都影响公司治理模式的选择。例如，美国政府

对财产权实施了较为充分的保护，所以在美国就形成了外部治理的机

制和市场导向型模式；而韩国政府对公司的监管和对贷款的分配，则

形成了家族导向型和政治管制型模式。经济条件上的巨大差异，导致

各国在对公司治理体制上所做选择的巨大差异。一国经济体制在某一

时点所拥有的规则依赖于并且反映该经济体制最初拥有的所有权结构

和治理结构。总之，各种治理模式的存在和发展在一定程度上体现了

各国的特色和适应了本国经济的发展，虽然近年来，以英国、美国为

代表的外部控制模式和以德国、日本为代表的内部控制模式这两种典

型的模式都发生了显著变化，呈现出一定程度上的趋同。但是，这种

趋同仅仅是相对的，各种模式在变革的过程中都没有完全偏离各自原

先的轨道。公司治理模式不会因为经济全球化而完全趋同。

（三）政治影响

哈佛大学教授马克•罗伊认为政治因素的主导作用是造成各国公

司治理模式差异性的主要成因。在《强管理者，弱所有者：美国公司

财务的政治根源》中，他指出，政治影响产生了美国大中型公司的不

紧密的股权模式。究其根本原因是美国政府