丙烯酸公司内部控制方案

丙烯酸公司

内部控制方案

XX有限公司

目录

一、公司概况......................................................4

公司合并资产负债表主要数据........................................4

公司合并利润表主要数据............................................4

二、项目概况......................................................5

三、公司治理与内部控制的区别.....................................8

四、公司治理与内部控制的联系....................................10

五、公司治理原则的内容...........................................13

六、公司治理原则的概念...........................................19

七、公司治理的影响因子..........................................20

八、公司治理的特征...............................................25

九、内部环境如何发挥作用........................................27

十、控制的层级制度...............................................28

H-一、组织架构...................................................30

十二、企业文化...................................................36

十三、企业风险管理框奖：内部环境的成熟..........................40

十四、内部控制整体框架：内部环境的发展..........................41

十五、风险图谱...................................................42

十六、风险分析方法的选择........................................43

十七、风险应对概述...............................................44

十八、风险应对策略的选择........................................45

十九、目标设定的含义............................................47

二十、内部控制目标的设定........................................50

二H--、信息与沟通的作用........................................53

二十二、信息的含义与分类........................................55

二十三、信息控制.................................................57

二十四、沟通控制.................................................67

二十五、项目风险分析............................................70

二十六、项目风险对策............................................73

二十七、SWOT分析说明...........................................74

二十八、组织机构、人力资源分析...................................80

劳动定员一览表...................................................81

二十九、法人治理.................................................82

一、公司概况

（一）公司基本信息

1、公司名称：XX有限公司

2、法定代表人：金xx

3、注册资本：610万元

4、统一社会信用代码：xxxxxxxxxxxxx

5、登记机关：xxx市场监督管理局

6、成立日期：2013-8-23

7、营业期限：2013-8-23至无固定期限

8、注册地址：xx市xx区xx

（二）公司主要财务数据

公司合并资产负债表主要数据

项目2020年12月2019年12月2018年12月

资产总额5785.114628.094338.83

负债总额2383.191906.551787.39

股东权益合计3401.922721.542551.44

公司合并利润表主要数据

项目2020年度2019年度2018年度

营业收入28689.8322951.8621517.37

营业利润5694.764555.814271.07

利润总额4820.433856.343615.32

净利润3615.322819.952603.03

归属于母公司所有

3615.322819.952603.03

者的净利润

二、项目概况

（一）项目基本情况

1、承办单位名称：XX有限公司

2、项目性质：新建

3、项目建设地点：xx

4、项目联系人：金xx

（二）主办单位基本情况

未来，在保持健康、稳定、快速、持续发展的同时，公司以“和

谐发展”为目标，践行社会责任，秉承“责任、公平、开放、求实”

的企业责任，服务全国。

公司满怀信心，发扬“正直、诚信、务实、创新”的企业精神和

“追求卓越，回报社会”的企业宗旨，以优良的产品服务、可靠的质

量、一流的服务为客户提供更多更好的优质产品及服务。

当前，国内外经济发展形势依然错综复杂。从国际看，世界经济

深度调整、复苏乏力，外部环境的不稳定不确定因素增加，中小企业

外贸形势依然严峻，出口增长放缓。从国内看，发展阶段的转变使经

济发展进入新常态，经济增速从高速增长转向中高速增长，经济增长

方式从规模速度型粗放增长转向质量效率型集约增长，经济噌长动力

从物质要素投入为主转向创新驱动为主。新常态对经济发展带来新挑

战，企业遇到的困难和问题尤为突出。面对国际国内经济发展新环境,

公司依然面临着较大的经营压力，资本、土地等要素成本持续维持高

位。公司发展面临挑战的同时，也面临着重大机遇。随着改革的深化,

新型工业化、城镇化、信息化、农业现代化的推进，以及“大众创业、

万众创新”、《中国制造2025》、“互联网+”、“一带一路”等重大

战略举措的加速实施，企业发展基本面向好的势头更加巩固。公司将

把握国内外发展形势，利用好国际国内两个市场、两种资源，抓住发

展机遇，转变发展方式，提高发展质量，依靠创业创新开辟发展新路

径，赢得发展主动权，实现发展新突破。

本公司秉承“顾客至上，锐意进取”的经营理念，坚持“客户第

一”的原则为广大客户提供优质的服务。公司坚持“责任+爱心”的服

务理念，将诚信经营、诚信服务作为企业立世之本，在服务社会、方

便大众中赢得信誉、赢得市场。“满足社会和业主的需要，是我们不

懈的追求”的企业观念，面对经济发展步入快车道的良好机遇，正以

高昂的热情投身于建设宏伟大业。

（三）项目建设选址及用地规模

本期项目选址位于XX,占地面积约46.00亩。项目拟定建设区域

地理位置优越，交通便利，规划电力、给排水、通讯等公用设施条件

完备，非常适宜本期项目建设。

（四）项目总投资及资金构成

本期项目总投资包括建设投资、建设期利息和流动资金。根据谨

慎财务估算，项目总投资19449.48万元，其中：建设投资15198.97

万元，占项目总投资的78.15%；建设期利息168.04万元，占项目总投

资的0.86%；流动资金4082.47万元，占项目总投资的20.99机

（五）项目资本金筹措方案

项目总投资19449.48万元，根据资金筹措方案，xx有限公司计划

自筹资金（资本金）12590.75万元。

（六）申请银行借款方案

根据谨慎财务测算，本期工程项目申请银行借款总额6858.73万

兀O

（七）项目预期经济效益规划目标

1、项目达产年预期营业收入（SP）：43500.00万元。

2、年综合总成本费用(TC)：33556.14万元。

3、项目达产年净利润(NP)：7288.19万元。

4、财务内部收益率(FIRR)：29.88%O

5、全部投资回收期(Pt)：4.80年(含建设期12个月)。

6、达产年盈亏平衡点(BEP)：13443.95万元(产值)0

(A)项目建设进度规划

项目计划从可行性研究报告的编制到工程竣工验收、投产运营共

需12个月的时间。

三、公司治理与内部控制的区别

1、两者的具体目标不同

公司治理的目的是保证经济运行系统中的公平和效率，具体地

说，就是在所有者(股东)、管理人和其他利益关系人之间建立

起合乎公平和效率的经济机制。在这个机制之下，所有者必须提供企

业生产经营所需要的基本资金，并享有对企业的最终控制权和剩余分

配权；管理者必须尽责工作，不能利用职务之便侵害投资人的利益；

企业在追求自身利益的同时不能损害其他利益关系人的权益。而内部

控制的目的则是为了保证企业资产安全、会计信息真实完整和经营效

率的提高。

2、两者的控制主体不同

公司治理的主体是股东、董事会、经理层以及其他利益关系人

（债权人、社区、政府），包括企业内、外部各有关方面；而内部控

制的主体主要是董事会、经理层以及其他员工等，控制主体仅限于公

司内部，而且控制重点主要集中于CEO及其之下的业务系统。

3、两者所涉及的管理内容不同

公司治理的管理内容主要涉及股东、董事会、监事会、总经理之

间的委托代理合同关系、控制权的配置（股权结构安排）、剩余分配

权的安排等；而内部控制的管理内容主要是环境控制、风险评估、控

制活动、信息沟通、内部监督等。

4、两者所使用的手段不同

公司治理的手段主要有监督和激励两种；而内部控制的手段侧重

于职务分离、授权审批、会计系统、财产保护、全面预算、运营分析、

绩效考评等控制措施。公司治理在管理思想上重视行为和动机的抑制

与激励；而内部控制在管理思想上重视流程控制。

5、两者所归属的法规体系不同

公司治理的内容主要体现在《公司法》、证监会颁布的《上市公

司治理准则》、交易所的《上市公司治理规则》以及企业章程之中；

而内部控制则主要体现于《会计法》和五部委颁布的《企业内部控制

基本规范》、内部控制配套指引以及企业内部控制制度之中。

四、公司治理与内部控制的联系

公司治理和内部控制两者之间存在着很多相同点和大部分的相互

交叉与重叠区域，在企业的管理实践中，两者存在着一定的关联性。

具体在以下几个方面。

（一）具有同源性

公司治理与内部控制都与现代公司两权分离所引发的代理问题密

切相关。由于交易信息的不对称性，以及契约的不完备性直接导致了

“委托代理问题”的出现，因而公司治理与内部控制在一定程度上来

说具有同源性。两权分离之后，如果所有决策相关信息在委托代理双

方之间的分布是均衡的，那么不论经营者与所有者的目标函数一致与

否，经营者都不敢做出违背所有者利益的行为。然而现实的情况是信

息双方总是处于不对称地位，委托人对代理人的行为、决策并不十分

清楚，代理人的行为选择往往会偏离委托人的目标，甚至会严重损害

委托人利益。因此，客观上要求有一整套相应的制度安排来解决这种

利益冲突，公司治理便应运而生。而内部控制作为一种系统的制约机

制，其产生根源同样是所有者与经营者间、企业内部上下级间的信息

不对称，当委托人授权代理人从事某项活动时，为了保证代理人的行

为能够符合委托人利益最大化的要求，客观上就要求有相应的措施和

手段来加以控制。公司治理的核心是要有效地解决在契约不完备时企

业剩余控制权和剩余索取权的分配问题，而内部控制在本质上也是为

了在节约交易费用的同时增强企业契约的完备性，进而保证企业剩余

控制权和剩余索取权能实现最大化。在契约不完备的情况下，对企业

控制权优化配置的共同追求，本身也说明了公司治理与内部控制具有

同源性。

（二）具有共同载体

公司治理机制与内部控制制度作为一系列制度安排，要想发挥其

作用就必须依附于一定的组织载体。脱离企业这个组织，公司治理与

内部控制就好比是“镜口花，水中月”，不论公司治理结构多么完善,

也不管内部控制多么健全，都只是凭空而论，不能发挥实际作用，更

谈不上实现企业的目标。从另外一个角度看，公司治理的完善与企业

内部控制的加强也必须依靠会计信息这个共同载体。真实、完整、及

时的会计信息既是实施内部控制的必要前提，也是公司治理发挥作用

的基本条件；而只有公司治理机制有效，内部控制健全，才能保证会

计信息的真实、完整和及时，两者相辅相成。总之，企业组织和会计

信息是公司治理与内部控制的两个共有载体。组织为公司治理与内部

控制提供了依附的实体，而会计信息则为依附在组织身上的两种制度

安排提供了沟通和交流的平台。两者缺一不可，共同为公司治理与内

部控制的互动提供了先决条件。

（三）存在着交叉区域

首先，控制主体存在交叉性。公司治理的主体是“股东一董事会

f总经理”委托代理链上的各个节点。如吴敬琏教授把公司治理结构

定义为由所有者、董事会和高级管理人员组成的一种组织结构。其中

董事会是核心，而内部控制的主体是“董事会一总经理一职能经理一

执行岗位”委托代理链中的节点，核心在于总经理。因此，董事会和

总经理既是公司治理结构的主体，也是内部控制的主体。其次，适用

对象的交叉性。在三种基本企业形式中，独资企业和合伙企业只有管

理和控制问题，没有治理问题，因为其所有权与控制权通常是合一的。

但是对公司制企业来说，公司治理和内部控制问题都存在，需要同时

解决治理问题和控制问题，并需要注意两者的有效对接。再次，总目

标的一致性。两者的具体目标统一于企业目标之下，即最终实现企业

价值最大化。内部控制的目标是公司治理结构目标的进一步延伸和具

体化；公司治理结构所追求的公平和效率目标，是建立在内部控制的

目标即信息真实、资产安全和效益提高基础上的。否则，在一个虚假

信息泛滥、资产被盗严重、管理效率低下的企业中，去实现公司治理

的目标无异于痴人说梦。最后，两者在内容上存在关联性。在公司治

理结构三种权力的实施过程中，除了监督权主要由股东、监事会行使

而独立于企业的业务系统外，决策权和执行权都要落实到具体的部门、

岗位和个人，并通过内部控制制度加以规范和管理。

五、公司治理原则的内容

针对公司治理，经济合作与发展组织早在1999年就出台了公司治

理准则，旨在帮助其成员及非成员评估和改善其经济法律法规和制度

体系，以提高公司治理水平。中国各级监管部门也相应出台了相关指

引和要求，包括中国证券监督管理委员会和国家经济贸易委员会于

2002年1月联合发布的《上市公司治理准则》，以推动上市公司建立

和完善现代企业制度，规范公司运作，完善公司治理。为了满足机构

投资者对公司治理质量的关注，各国与各组织纷纷推出了公司治理原

则。

直以来，《OECD公司治理原则》（以下简称《原则》）都被认为

是全球范围内政策制定者、投资人、公司和其他利益相关者的国际标

准。2002年，OECD公司治理指导小组对《原则》进行了重新审议，目

前的《原则》是体现各成员及非成员公司治理挑战及经验的范本。

《原则》是一个灵活的工具，提供了适用于各个国家和地区特殊情况

的非约束性标准、良好实践和实施指南。

（一）确保有效公司治理框架的基础

为了确保一个有效的公司治理框架，需要建立一套适当且行之有

效的法律、监管和制度基础，以便所有的市场参与者都能够在此基础

上建立其私有的契约关系。这种公司治理框架，通常是以一国特殊的

自身环境、历史状况以及传统习惯为基础建立的一套由法律、监管、

自律安排、自愿承诺和藤业实践等要素所构成的体系。其具体要求如

下。

(1)建立公司治理框架应该考虑到它对整体经济绩效的影响、市

场的信誉度的提高、由它而产生的对市场参与者的激励机制以及对市

场透明度和效率的促进。

(2)在一个法域内，影响公司治理实践的那些法律的和监管的要

求应符合法治原则，并且是透明和可执行的。

(3)一个法域内各管理部门间责任的划分应该明确衔接，并保证

公共利益得到妥善保护。

(4)监督、监管和执行部门应当拥有相关的权力、操守和资源，

以专业、客观的方式行使职责，对它们的决定应给予及时、透明和全

面的解释。

(二)股东权利与关键所有权功能

公司治理框架应该保护和促进股东权利的行使。在此方面除了确

保股东基本权利的行使外，还应当获得有效参加股东大会与涉及公司

重大变化的决定，并得到相关方面的通知。此外，公司应当披露特定

股东获得与其股票所有权不成比例的控制权的资本结构和安排，允许

公司控制权市场以有效和透明的方式运行，为圻有股东行使所有权创

造有利条件。

（三）平等对待股东

资本市场的一个重要因素是，投资者确信其所提供的资本会受到

保护以及不受公司管理者、董事或控制性股东滥用或不当挪用。公司

治理框架应当确保所有股东（包括少数股东和外国股东）受到平等对

待。当其权利受到侵害时，所有股东应能够获得有效赔偿。《原则》

中规定，合理的公司治理结构原则应当在此方面实现：（1）同类同级

的所有股东都应享有同等待遇；（2）应禁止内部人交易和滥用权力的

自我交易；（3）应要求董事和主要执行人员向董事会披露，他们是否

在任何直接影响公司的交易或事务中有直接、间接或代表第三方的实

质性利益。

（四）利益相关者在公司治理中的作用

公司治理的一个关键方面是关于确保外部资本以权益和债务两种

形式流入公司，因此公司治理框架应承认利益相关者的各项经法律或

共同协议而确立的权利，并鼓励公司与利益相关者之间在创造财富和

工作岗位以及促进企业财务的持续稳健性等方面展开积极合作。

(五)信息披露与透明度

公司治理框架应确保及时准确地披露公司所有重要事务的信息，

包括财务状况、绩效、所有权和公司的治理。一个健全的信息披露制

度能够推动真正透明的产生，这是以市场为基础公司监控的关键特征,

也是股东得以在充分信息的基础上行使股东权利的核心。一个健全的

信息披露制度有助于资本市场吸引资本和保持信心。信息披露也有助

于加强公众对企业的组织和活动、公司政策和绩效以及公司与所在社

会关系的理解。

(1)应当披露的重大信息。应当披露的重大信息至少包括：公司

的财务状况及经营成果；公司目标；主要的股份所有权和投票权；董

事和主要执行人员，以及他们的报酬；重要可预见的风险因素；与雇

员和其他利益相关者有关的重要问题；治理结构和政策。公司应报告

在实际工作中其怎样运用相关的公司治理结构原则。管理结构和公司

政策的披露，特别是股东、经理层和董事会成员之间权力的划分，对

评估公司的治理结构是很重要的。

(2)应根据高质量的会计标准、金融和非金融披露及审计标准，

对信息进行准备、审计和披露。

(3)在准备和提交财务报表时，为提供外部和客观的保证，年审

应由独立审计员进行。

(4)信息传播渠道应当使用户公正、及时、费用合理地获得有关

信息。

(六)董事会的责任

董事会是在股东大会上由全体股东选出的董事所组成、代表股东

的利益和意志、执行公司业务的常设权力机构，董事会对股东会或股

东大会负责，向股东会或股东大会报告工作。董事会是公司治理结构

中的一个重要因素，甚至可以说是中心组成部分。董事会的运作方式

和效率直接决定了公司治理的质量。

论及董事会的责任，必然涉及董事会向谁负责的问题。传统观点

认为，董事会应向股东负责。董事会是由股东选举和任命的、接受全

体股东的委托、承担受托责任的权力机构，董事会当然要向委托人负

责。从另一方面来看，股东是公司的唯一所有者，作为公司的权力机

构也应向其所有者负责。

从法律角度考察，以“董事会应向公司负责”的表述更为恰当。

其一，董事会绝不仅仅是一个受托机构，董事会是公司的决策机构和

权力机构，董事会承担着设定公司目标，制定公司战略、计划和政策

等责任。如果董事会仅向股东负责，当出现股东利益与公司利益不一

致时，董事会的决策可能会使公司丧失良好的发展机会或失败。美国

在20世纪80年代出现的恶性并购就是一个恰当的说明。其二，企业

是一系列契约的联结，“在法律意义上，股东并不是公司的所有者，

公司与全体股份有所不同”。1909年，英国上诉法院在关于留声机和

打字机有限责任公司诉斯坦利的判决中明确规定，公司既不是股东的

代理人，也不是他们的托管人。大法官巴克利勋爵否决了认为在实践

中股东可以被视为其公司的观点。同时，他认为：“董事不是服从某

个作为个人的股东发出的指令的仆人，而是按照规定被授予公司控制

权的人；一旦被授予权力，只有达到或超过足以修改公司章程的决定

多数股东的否决，他们才会失去控制权。即使所有股东都作为个人行

动时发出同一指令，董事们也没有义务服从这个指令。”

公司治理框架应确保董事会对公司的战略指导和对管理层的有效

监督，确保董事会对公司和股东的受托责任。公司董事会成员应在全

面了解情况的基础上，诚实、尽职、谨慎地开展工作，最大限度地维

护公司和股东的利益。

尽管世界上并不存在单一的良好的公司治理模式，但是许多经济

组织和研究机构（如OECD等）认为，良好的公司治理是构建在一些共

同要素基础之上的。因此，构建在这些共同要素之上并且包容已有的

各种不同模式的公司治理原则，是有相当的实用价值的。它既是改善

公司治理的标准和方针政策，也是公司管理层次的实务原则，对政府

的政策制定和市场参与者的实务操作都有重要的参考作用。

六、公司治理原则的概念

广义的公司治理原则包括有关公司治理的准则、报告、建议、指

导方针和最佳做法等，它通过一系列规则建立一套具体的公司治理运

作机制，维护投资者和其他利害相关者的利益，促进公司健康发展实

现公司的有效治理。公司治理原则可以帮助政府对本国公司治理方面

的法律、制度和管理机制框架进行评估、改进，也可以为上市公司

（甚至是非上市公司）建立良好的公司治理提供指导、借鉴，还对股

票交易所、投资者和其他在建立良好的公司治理中起作用的机构提供

了参考和建议。

公司治理原则不具有强制约束力，其目的不在于制定详细的国家

立法，而是为人们提供某种参考。比如政策制定者在审查并制定反映

本国特定的经济、社会、法律和文化环境特色的有关公司治理的法律

和监管框架时，可以公司治理原则为参考；再如市场参与者，可以参

考公司治理原则制定自身的公司治理制度。

公司治理原则是不断发展的，因此应根据环境的重大变化不断重

新对其进行审查。为了在这个不断变化的世界中保持竞争地位，公司

必须不断创新并使自己的公司治理状况适应变化了的环境，这样才能

使公司不断满足新的需求，抓住新的机遇。同样，政府有义务制定一

个有效的规范框架，保持足够的灵活性，使市场能够有效地发挥作用

并能对股东和利益相关者的期望做出反应。政府和市场参与者可以根

据成本与收益的比例，自己决定是否采纳这些原则。

七、公司治理的影响因子

由于公司治理的多角度和多维性，如果将其视为一个目标函数那

么影响公司治理这一因变量的自变量主要有哪些呢？

（一）公司自身的股权结构和运行机制

根据现代企业理论的观点，一般将股权结构定义为企业剩余控制

权和剩余索取权的分布状况与匹配方式，股权结构是所有权结构在股

份制公司下的具体表现形式。而在实践中，由于经济、环境和社会体

制的差异，不同国家对于股权结构含义的理解是有所区别的。一般来

说，国外主要从数量角度和权力角度来认识股权结构，国内则主要从

股权集中度和股权属性上对股权结构进行划分。另外，公司治理的实

现主要通过内部治理机制和外部治理机制来发挥作用。股权结构正是

通过影响公司内外部治理机制，发挥正面或负面作用，从而在很大程

度上决定了公司治理的有效性。这些治理机制主要包括收购兼并、监

督机制、经营激励和代理权争夺等方面。

（二）公司控股股东的身份

从股权身份或股权维度上看，不同身份和类型的股东持有企业所

有权的成本是不同的，因为其决策能力、对风险的判断和承受能力、

对管理者的监督能力、对信息的遗选和甄别能力等方面是不完全相同

的，甚至差异很大。在我国，股东性质结构（又称所有制结构、股权

种类结构）分为国有股、法人股和个人股三个部分。国有股包括国家

股和国有法人股0法人股是企业法人以其法人财产权为基础，向其他

股份制企业投资所形成的股份，企业法人股属于法人企业的所有者。

法人股包括国有法人股和社会法人股，社会法人股中又包括一般法人

股和机构法人股。一般法人股是指非国有企业以企业法人名义购买的

股票，机构法人股是指机构投资者购买的股份。个人股则包括职工股

和社会公众股。国有股和国有法人股都是国家股，其主要区别是资金

来源不同。国家直接投资企业的资产则为国家股，非国家直接投资企

业的净资产则为国有法人股。

不同的股东身份在公司治理方面会存在差异，例如与私有企业相

比，国有企业存在以下三个特殊点。（1）企业目标多元化。企业要承

担社会福利、就业、医疗保险等社会义务，追求利润最大化不再是企

业的唯一目标。（2）财务预算软约束。银行等金融机构与国有企业存

在千丝万缕的联系，国家是其共同的所有者，国有企业能够较轻易地

从银行获取贷款，扩大融资。（3）对经理激励不足。由于企业目标多

元化，所以企业绩效无法准确评价。由此也可以看出，国有股权对公

司治理会产生一定的负面影响，在股权从国有性质转为私有的过程中,

公司治理中的激励和监督机制能够得到改善，整体效率也会得到提高。

（三）公司的发展阶段及其行业特性

公司的发展与现代企业的发展类似，总体上经历了业主制、合伙

制与公司制三个阶段。一般来说，在公司发展初期，生产规模比较小、

品种比较单一，在治理结构上，个人业主集剩余索取权、控制权及经

营管理权于一身，公司治理水平依赖业主的经营管理水平。随着公司

生产水平的逐步提高及公司发展的需求，为了扩大生产经营规模、分

散公司风险，企业的组织形式逐渐演变成了投资主体共同分享利益、

承担风险，负无限连带责任的合伙制企业。每个合伙人对所发生的经

济行为均负有限或无限的责任，这就给共同执行决策、相互监督程序

提供了充分的理由。而在公司制形式下，公司所有权与治理权相分离,

管理的责任被委托给具有专门管理技能的职业经理人，股东拥有剩余

索取权与最终的控制权。这使公司治理的产权结构更加复杂，表现为

众多财务资本产权与管理知识人力资本产权之间及其相互之间的竞争

与合作的管理，具体包括资本所有者对管理成员的选择、约束、监督

与激励，对投资者尤其是小股东、债权人的利益保护，董事会成员、

经理成员的权力、绩效评价与竞争等。一个公司制企业如同一个科层

制结构的国家，也存在集权与分权的模式。完全集权的治理模式在企

业发展的初期可以最大限度地发挥经营的灵活性，以应付市场的迅速

变化；随着企业的逐步发展，企业的规模得以迅速壮大，其他利益主

体进入企业使得权力被分解稀释，传统的完全集权治理模式已经不能

适应公司发展所需。

由于公司处于不同类型的行业，不同的风险状况、市场竞争环境

也同样影响着公司治理机制的选择。例如，处于竞争性行业的公司比

具有垄断性权力的公司面临着更为残酷的竞争环境，为了生存和发展,

这些行业的管理者对市场的变化必须做出更为及时的反应，过于僵化

或者集权的治理机制显然无法适应其要求；高新科技企业比传统企业

对管理者创新能力的要求更高，从而以股权为基础的激励机制能够在

公司治理中发挥更有效的作用。

（四）公司所处的外部市场环境

由科斯关于企业与市场的相互替代原理可知，公司治理与市场的

结构、市场的发育程度是直接相关的。市场的信用机制、信息机制、

法律机制等对公司治理会产生重要的影响，主要体现在以下几个方面。

一是资本市场的融资机制使投资者有权选择投资的对象，从而促

进了公司治理结构的改善和提高。在资本市场中有内部融资和外源融

资两种融资渠道。内部融资是指依靠公司已实现的一部分利润作为再

循环投资；外源融资又主要分为债务融资和股权融资。股权融资使得

股东通过内部的投票机制对公司的经营和治理进行监督。相对于股权

融资，债务融资可在一定程度上抑制经营者的过度投资，因为过度的

债务融资会使公司的成本上升，债务杠杆比例增大，面临还本付息的

压力，虽然股权融资没有还本付息的压力，但融资的大小会受到公司

业绩的影响。

二是资本市场的价格机制可使投资者了解公司的经营信息，降低

对管理层的监控成本，进而降低公司治理成本。市场价格机制通过公

开的公司价值信息影响股份持有人及潜在投资者。一般情况下，公司

绩效与经理人员的工作能力和努力程度正相关，所以股票价格在某种

程度上被公众视为股东（市场）对经理人员表现满意程度的一种指标。

在市场有效的前提下，股票价格能够较好地反映上市公司的业绩。股

票价格越高，表示股东对经理人员的满意度越高；如果公司股票价格

走低，则反映了股东对公司业绩和管理人员的一种不满意心理。

三是资本市场中关于控制权的争夺问题，可以强制性地提高公司

治理效率。公司控制权争夺是指在资本市场条件下，不同的利益主体

通过并购、代理权争夺等手段实现取得公司最终控制权的行为。由于

委托代理关系的存在，管理者虽然掌握着公司的控制权，但如果委托

人发生了变更，控制权也会随之发生变化。因此，依靠资本市场上不

同利益主体之间的这种并购或代理权争夺，为公司所有者提供了有效

的、低成本的监督。

八、公司治理的特征

广义地讲，公司治理是公司运作的全部准则，包括法律指引、社

会标准、道德行为的普遍标准及利益相关者之间的关系。公司治理的

核心是在创造财富所需的效率最大化和确保控制方对利益相关者尽职

这两者之间取得复杂的平衡模式。

（一）公司治理的动态性

公司治理的动态性有两个方面的含义：其一是指一个具体的公司

在不同的发展阶段有与它相适应的公司治理机制；其二是指不同时代

的公司治理也有那个时代独有的特点与内容。到目前为止，公司治理

理念经历了四个阶段：20世纪70年代管理层中心主义阶段、80年代

股东会中心主义阶段、90年代董事会中心主义阶段和21世纪利益平衡

/风险控制阶段。

（二）公司治理的合约性

公司治理的合约性是指公司各利益关系人通过签订合约来规定各

自的权、责、利。公司治理是一种合约关系，但是由于各利益关系人

的行为具有有限理性和机会主义的特征，所以这些合约不可能是完全

合约，只能是一种关系合约。所谓关系合约是指合约各方并不要求对

行为的详细内容达成协议，而是对总目标、总原则、遇到问题时的决

策规则、分享决策权以及解决可能出现的争议的机制等达成协议，从

而节约了不断谈判、不断缔约的成本。公司治理以公司法和公司章程

为依据，在本质上就是这种关系合约。它以简约的方式规范公司各利

益相关人的关系，约束他们之间的交易，来实现公司交易成本的比较

优势。

（三）公司治理的法治性

国家为保护公司各利益关系人的利益，往往通过制定有关法律法

规来规范公司的治理。我国也通过《公司法》《证券法》《中国上市

公司治理准则》和其他有关法律法规来规范我国的公司治理。公司各

利益关系人的权、责、利需要在有关法律的基础上加以明确。公司治

理机制完善与否，取决于国家有关法律法规完善与否。在现阶段，我

国尤其应重视对大股东、董事、监事、高级管理人员法律责任的研究,

这是我国公司治理的关键内容之一。

（四）公司治理的制约性

公司治理强调公司股东、董事会、监事会、经理人员之间的责、

权、利配置及相互制衡。在公司治理中，所有者将自己的资产交给公

司董事会托管。公司董事会是公司的决策机构。高级经理人员受雇于

董事会，组成在董事会领导下的执行机构，在董事会的授权范围内经

营企业。监事会同时对董事会、经理人员进行监督。公司治理的制约

性不仅体现在公司内部要相互制约，而且在公司外部也还有社会审计、

政府有关机构等社会力量对公司内部人员进行监督。

（五）公司治理的价值导向性

公司的本质是进行价值创造，公司治理的好坏不能仅以是否实现

有效制衡作为衡量的标准，而更应看它促进公司价值创造活动的有效

性。公司治理的价值导向性主要是指合理的公司治理要能保证公司对

市场的适应性，公司应根据产品市场、资本市场、人才市场、技术市

场等市场的变化，较快地调整公司管理策略和投资策略，使公司在市

场竞争中居于有利位置，实现公司价值最大化。

（六）公司治理的地域性

公司治理的地域性是指由于不同国家或地区具有不同的政治、经

济、法律、文化等背景，公司治理也会存在不同的模式。目前国外就

存在着英美模式、德国模式、日本模式、东亚模式等不同的公司治理

模式。随着社会的进步、各国的经济文化交流的加强，公司治理有趋

同的特点，但是各国经济文化发展的不均衡性及各国原有文化基因的

不同特点，仍然会使各国的公司治理保持一定的特色。

九、内部环境如何发挥作用

内部环境经常被称为公司治理的一部分，并且被视为是将那不同

的相关活动维系在一起的“胶水”。也许你正在某种环境中工作，已

经识别出无法很好开展工作的有关活动。例如，一个部门可能急需某

种产品，但无法立刻得到，因为在适当的采购计划文书完成审批之前,

采购部门不能订购相关产品°

我们举一个简单的例子来说明内部环境是如何为保证所有团队在

一起工作并为完成组织使命提供基础的。案例中是一个零售组织典型

的商业循环。该组织采购商品用于销售；采购的商品销售给客户；开

发票给客户；然后回收资金。收回的资金再次被用于重复这样的循环

周期。

内部环境有助于保证为相关的但又各自不同的活动建立重叠的控

制目标。例如，某一重叠的控制目标包括为销售给客户的所有物品开

出发票，并且不再采购那些客户不需要的物品。

十、控制的层级制度

内部控制不是在真空中存在的，它涉及人员、政策和程序，是对

组织自身的一种控制环境。内部控制是主观的，因为它依赖于管理层

认为控制有多重要，是否选择有效的战略，如何监督和实施控制。内

部控制的每一个有意义的检查都必须考虑环境。

由管理层建立的内部环境会对一个组织的控制程序与技术的有效

性产生重要的影响。控制环境的形成会受到很多因素的制约。有些因

素清晰可见，如正式的公司政策声明或内部审计职能。有些因素是无

形的，如职业胜任能力和人员的诚实性。

《国际注册内部控制师通用知识与技能指南》把内部控制视为一

个三级分类的控制层级制度。在层级制度的顶端是内部环境，即“公

司治理“另外两个层级控制措施的执行与效果。在内部环境控制之下

是系统控制，最底层的是交易处理控制。

控制措施的有效性是从内部环境开始向下移动的。换句话说，如

果环境控制是薄弱的，其他层级的控制将不会有效。例如，如果管理

层不创建一个希望员工能保护数据安全性的环境，员工或许不关心保

存密码的重要性。在一个松散的内部环境控制中，个人可能把密码标

签贴在计算机终端上。如果对系统的控制措施是薄弱的，交易处理的

控制措施将同样是薄弱的。

有效地控制是董事会和组织中每个员工的责任。管理层创建一个

内部环境是很重要的，在这一环境中每个员工都认为控制是很重要的,

并且成为控制的积极参与者，以确保那些需要控制的事项真正得到控

制。

执行管理层有责任创建有益于控制措施实施、监督控制和处罚违

反控制行为的环境。在创建控制措施并确保控制措施得到贯彻执行方

面，管理层必须提出有效的内部环境控制的属性和管理层的职责。

董事会负有监督内部环境的责任，并强调解决违反控制的行为。

董事会应当要求首席执行官提供内部环境的适当保证。所有重大的违

反控制的行为和对这些行为采取的纠正行动都应当通知董事会。为了

有助于实现这些控制职责，董事会任命独立审计师和内部审计师帮助

他们评价控制措施是否适当，并保证他们遵守控制措施。

中级管理层有责任对他们的职能领域建立控制目标。例如，信息

技术部门可能设立一个控制目标，要求所有软件在安装进入系统之前,

应接受单独的测试；应收账款管理部门可能设立一个目标，要求所有

已开发票的物品，不管是款项已收讫还是需要傕收，都应该在应收款

项中予以适当地记录。

员工有责任执行和操作控制措施。在大多数的组织内，信息技术

部门职员的工作涉及职能领域中的全体员工，这有助于信息技术部门

确定所需要控制的程度。

十一、组织架构

在我国内部控制框架中，组织架构、发展战略、人力资源、社会

责任和企业文化均属于企业层面的控制（环境控制或基础控制），其

风险及应对有别于业务层面的控制（应用控制）。

（一）组织架构的内涵及风险应对

1、组织架构影响因素分析

2010年，五部委联合发布了《企业内部控制配套指引》。18个

《企业内部控制应用指弓》（简称应用指引）中有5个属于企业层面

的内部环境类指引，包括组织架构、发展战略、人力资源、社会责任

和企业文化。应用指引中内部环境类指引与基本规范中内部环境构成

因素一一对应，同时，丰富了基本规范的内涵并提升了我国内部环境

构成因素体系的层次。

组织架构指引认为组织架构是一项制度安排，明确了股东（大）

会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、

人员编制、工作程序和相关要求，主要包括治理结构和内部机构设置。

机构设置与权责分配互为因果，内部审计本身就属于组织的内部机构,

因此，组织架构应包括治理结构、机构设置、权责分配和内部审计四

个因素。在治理结构上，将股东大会纳入内部环境范畴（如发展战略

方案需经股东会批准实施）。内部环境类指引紧扣发展战略做文章，

企业要实施发展战略，必须要有科学的组织架构，履行一定的社会责

任，配置合理的人力资源，形成积极向上的企业文化。从发展战略角

度看，企业的根本目的不是利润最大，也不仅仅是企业价值最大，而

是更广义的社会责任最大。企业应履行社会责任，实现战略目标。

2、组织架构的主要风险

组织架构的风险主要来自两方面。

（1）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力,

可能发生经营失败

（2）内部机构设计不科学，权责分配不合理，可能导致机构重叠、

职能交叉或缺失，运行效率低下。

3、组织架构风险的主要应对措施

针对以上风险采取的主要应对措施有以下几个。

（1）企业应当根据国家有关法律法规的规定，明确董事会、监事

会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、

执行和监督相互分离，形成制衡机制。同时企业在重大决策、重大事

项、重要人事任免及大额资金支付业务等（即通常所说的“三重一

大”）方面，应当按照规定的权限和程序实行集体决策审批或者联签

制度，任何个人不得单独进行决策或者擅自改变集体决策意见。

（2）企业应当按照科学、精简、高效、透明、制衡的原则，综合

考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内

部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过

于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。

（3）企业应当根据组织架构的设计规范，对现有治理结构和内部

机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行

机制等符合现代企业制度要求。

（4）拥有子公司的企业，应当建立科学的投资管控制度，通过合

法有效的形式履行出资人职责、维护出资人权益，重点关注子公司

特别是异地、境外子公司的发展战略、年度财务预决算、重大投

融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内

部控制体系建设等重要事项。对子公司控制一直是企业集团层面关注

的一个重要问题，组织架构应用指引在综合调研的基础上提出此项要

求，对实务操作具有重要指导作用。

（二）治理结构

公司制企业中股东大会（权力机构）、董事会（决策机构）、监

事会（监督机构）、总经理层（日常管理机构）这四个法定刚性机构

为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但

并不能满足内部控制对企业组织结构的要求，内部控制机制的运作还

必须在这一组织框架下设立满足企业生产经营所需要的职能机构。

《企业内部控制基本规范》第十四条规定：企业应当根据国家有

关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确

决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制

衡机制。因此，企业应当根据国家有关法律法规，结合企业自身股权

关系和股权结构，明确董事会、监事会和经理层的职责权限、任职条

件、议事规则和工作程序；确保决策、执行和监督相互分离、有机协

调；确保董事会、监事会和经理层能够按照法律、法规和企业章程的

规定行使职权。企业应当在企业章程中规定股东大会对董事会的授权

原则，授权内容应当明确具体。

（三）机构设置及责权分配

任何企业要达成其整体目标，必须构建一定的组织机构。企业的

组织机构提供了计划、执行、控制和监督活动的框架，确立了适当的

沟通和协调渠道，保证了组织中成员具有与其所履行职责相适应的知

识、经验和能力。对于企业而言，要根据公司的具体发展战略确定组

织结构。《企业内部控制基本规范》第十四条要求企业应当结合业务

特点和内部控制要求设置内部机构，明确职责权限，将权力与责任落

实到各责任单位。

组织机构是通过提供完整的架构作用于组织实现其目标的能力；

是规定组织内部责任与授权的线型结构；是确认责任分配和授权的关

键领域；功能是确认报告路径：机构设置必须覆盖计划、执行、控制、

监督等组织活动的全部，其中，控制与监督的区别是，控制是保证正

确执行计划的组织安排，而监督是控制有效的组织安排；组织结构设

计的哲学意义是“是什么”“做什么”“如何做”；机构设置要保证

合理的流水线模式，部门设置少一个不够用、多一个又冗余，部门功

能必须是线型的、支持的，而非拦截的。关键回答三个问题：所有的

事是否都有人做？行为者是否充分授权行事？所有行为是否有人承担

责任？

组织结构设计不确定：对权力定义不清或定义错误，导致权力的

涣散。权力与责任不对称，权力结构不稳定，权力成为公开招标物导

致权力者互相冲突和耍政治手腕。

企业应当结合业务特点和内部控制要求设置内部机构，明确职责

权限，将权力与责任落实到各责任单位。企业应当通过编制内部管理

手册，使全体员工了解内部机构设置、岗位职责、业务流程等情况，

明确权责分配，正确行使职权。按照基本规范的要求，机构设置及内

控职责分工如下：

(1)监事会对董事会建立与实施内部控制进行监督。

(2)监事会对董事会建立与实施内部控制进行监督。

(3)经理层负责组织领导企业内部控制的日常运行。企业应当成

立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实

施及日常工作。

(4)审计委员会负责审查企业内部控制，监督内部控制的有效实

施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。

审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜

任能力。

(四)内部审计

内部审计是公司内部的一种独立客观的监督、评价和咨询活动，

通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评

价和提出建议，促进改善公司运行的效率效果、实现公司发展目标。

企业应当加强内部审计工作，保证内部审计机构设置、人员配备

和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制

的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制

缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现

的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报

告。

十二、企业文化

企业文化是指企业在生产经营实践中逐步形成的、被整个团队所

认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的

行为规范的总称。良好的企业文化对企业有直接的促进作用。根据经

验得知，各项制度都有失效的时候，而当制度失效的时候，企业经营

靠的就是企业文化。它作为一个企业的中枢神经，支配着人们的思维

方式、行为方式。建设企业文化，培育积极向上的价值观、诚实守信

的经营理念、为社会创造财富并积极履行社会责任的企业精神，可以

增强员工对企业的认同感，增强企业的竞争力。

《企业内部控制基本规范》第十八条规定，企业应当加强文化建

设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、

开拓创新和团队协作精神，树立现代管理理念，强化风险意识。

在我国，关于企业文化的表现形式最流行的观点是将其划分为4

个方面：物质文化、行为文化、制度文化和精神文化。

企业物质文化是指以客观物体及其相应组合为表现形式的文化。

它由企业的物质环境、生产设备、最终产品与包装设计等构成。由于

物质文化的表现形式相对直观、容易“触摸”，所以，物质文化也被

称为“表层文化”。如E本丰田汽车表现出的是省油“小型”“质量

可靠”的文化；IBM计算机表现出的则是“经典”“可靠”“性能优异”

的文化。企业行为文化是指企业员工在生产经营、学习娱乐中产生的

活动文化。它包括企业经营、教育宣传、人际关系活动、文娱体育活

动中产生的文化现象。它是企业经营作风、精神面貌、人际关系的动

态体现，也是企业精神、企业价值观的折射。行为文化比物质文化

“隐藏”得相对深一些。但也比较容易观察与感知，所以它仍然属于

“浅层文化”。如海尔的售后服务人员及时、快速、优质的售后服务

行为，所表现出的“真诚到永远”的文化。企业制度文化是由企业制

度形态、组织形态和管理形态构成的外显文化，一般包括企业的经营

制度和企业的管理制度。一方面，它是精神文化这一抽象东西的具体

体现；另一方面，它也是指导和约束员工行为文化和物质文化建设的

纲领性东西。制度文化是精神文化与物质文化的“中介”，属于“中

层文化”。企业精神文化是指在内外部环境的影响下，企业在长期的

生产经营过程中形成的精神成果和文化观念。它主要由经营哲学、道

德观念以及企业价值观等因素构成。它是企业各种活动的指导思想，

属于“核心文化”。

企业文化是企业的灵魂，渗透于企业的一切经营管理活动之中，

是推动企业持续发展的不竭动力。

（一）企业文化的主要风险

企业应当明确企业文化面临的主要风险，以及这些风险可能导致

的后果。

(1)企业缺乏积极向上的企业文化，导致员工丧失对企业的信心

和认同感，缺乏凝聚力和竞争力。

(2)缺乏开拓创新、团队协作和风险意识，导致企业发展目标难

以实现，影响可持续发展。

(3)企业缺乏诚实守信的经营理念，导致舞弊事件的发生，造成

企业损失，影响企业信誉。

(二)企业文化风险的应对措施

针对上述风险及影响，企业采取的应对措施包括以下几个方面。

(1)积极培育具有自身特色的企业文化，充分体现企业特色的

发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会

责任和开拓创新的企业精神，以及团队协作和风险防范意识，以此引

导和规范员工行为，打造以主业为核心的企业品牌，形成整体团队的

向心力，促进企业长远发展。这项应对措施同时也表明，打造企业主

业品牌应当作为企业文化建设中的重要内容。

(2)重视并购重组后的企业文化建设，平等对待被并购方的员工,

促进并购双方的文化融合。这是基于当前企业并购实务中企业文化融

合问题特别提供的指引，应引起相关企业的高度重视。

(3)要求董事、监事、经理和其他高级管理人员在企业文化建设

中发挥主导和垂范作用，以自身的优秀品格和脚踏实地的工作作风,

带动影响整个团队，共同营造积极向上的企业文化环境。这充分说明,

企业文化建设既要注重“上下结合”，更应注重企业治理层和经理层

的示范作用。

(4)要求企业加强企业文化的宣传贯彻，促进文化建设在内部各

层级的有效沟通，并确保全体员工共同遵守；同时，要求企业文化建

设融入生产经营全过程，切实做到文化建设与发展战略的有机结合，

增强员工的责任感和使命感，规范员工行为方式，使员工自身价值在

企业发展中得到充分体现。也就是说，企业文化建设不能停留在企业

最高层，不能停留在文本上，不能停留在泛泛的宣贯上，不能脱离生

产经营过程，不能背离发展战略，而应融入企业的肌体、汇入企业的

血脉。

十三、企业风险管理框架：内部环境的成熟

COSO的《企业风险管理一一整体框架》用“内部环境”代替了

“控制环境”，提出内部环境包含组织的基调、营销组织中人员的风

险意识，是企业风险管理所有其他构成要素的基础，为其他要素提供

约束和结构；它影响着战略和目标如何制定、经营活动如何组织以及

如何识别、评估风险并采取行动；它还影响着控制活动、信息与沟通

体系和监控措施的设计与运行。由风险管理理念、风险文化、董事会、

操守和价值观、对胜任能力的承诺、管理方法和经营模式、风险偏好

组织结构、职责和权限分配、人力资源政策和实务9大因素构成。与

C0S092内部环境构成因素相比，C0S004虽然仅增加了两个因素、微调

了因素排列顺序、修正了部分因素的措辞，但内部环境内涵却发生了

深刻变化。第一，突出“企业”的重要性。内部环境建设是企业自己

的事，是企业内部积极的需求，而非外部强加的压力，强调企业首先

应有“风险管理理念”，并将这种理念传导、灌输给全体员工，形成

“风险文化”，这是对C0S092内部环境思想的重大突破；第二，突出

“风险”的重要性。强调风险管理理念、风险文化、风险偏好（风险

承受度），将上述内容月于制定战略之中，并贯穿于整个企业；第三,

突出“管理”的重要性。实现从控制到管理的转变，引入战略观念，

同时提升了董事会在战略决策中的地位和作用。在措辞方面，相对于

C0S092,将“诚信与道德”改为“操守和价值观”，将“素质要求”

改为“对胜任能力的承诺”，更为恰当、准确地把握了企业文化是内

部环境构成因素的精髓；将“管理哲学与经营风格”改为“管理方法

和经营模式”，更为具体且切合企业管理实际，即对管理层的要求不

仅是空洞的哲学与风格，更要拥有具体的方法与模式；“组织结构”

改为“风险偏好组织结构”，合理解释了每个企业组织结构的不同是

受风险偏好影响的缘由。

十四、内部控制整体框架：内部环境的发展

1992年，COSO发布《内部控制一整体框架》，提出控制环境是组

织的基调，主导或左右着组织成员的控制理念；控制环境是其他内部

控制要素的基础，决定着控制的边界和结果，包括诚信与道德、素质

要求、董事会与审计委员会、管理哲学与经营风格、组织结构、责任

分配与授权、人力资源政策与执行7大因素。COSO92突出了企业文化

中的核心内容一“员工的诚信与道德”以及“素质要求”，并将它们

作为控制环境要素的两个首要因素，突出了软控制的影响力；同时，

提升了董事会与审计委员会在控制环境中的重要作用和地位，强调董

事会的参与而非干预。从员工的“诚信与道德”到“人力资源政策与

执行”，形成了完整的控制环境构成因素体系，7大因素的有序组合以

及良性循环有力地推动了企业管理“车轮”滚滚向前。但是，C0S092

的视角还是立足于外人（特别是外部审计师）如何看待一个企业的控

制环境，企业进行内部环境建设仍处于被动应对状态。

十五、风险图谱

风险图谱是风险分析的重要工具，通过分析公司的风险图谱，可

以直观地看到公司的风险分布情况，从而确定风险管理的重要控制点

和风险管理解决方案。风险图谱从风险发生的可能性和影响程度两方

面对风险进行评级，风险评级要从固有风险、目标剩余风险和实际剩

余风险三个层级进行。

风险图谱被两条“等风险线”分隔为“红灯区”“黄灯区”和

“绿灯区”

（1）“红灯区''的风险大多集中在第一象限，其发生的概率和影

响程度均较高。公司应该根据风险的属性和风险偏好来选择风险管理

方案；

（2）“黄灯区”的风险，有两种情况：

①处于第二象限的风险更多的是一些非常事件，但影响程度较大。

对于这类风险，公司应该在采取防范措施的同时，制订应急计划；

②处于第四象限的风险，其影响程度不是很高而发生概率偏高，

这往往与日常经营和遵守法律方面的问题有关，这些风险的累计影响

不可低估。对于这类风险要注意日常的管理和监控。

（3）“绿灯区”的风险大多集中在第三象限，是指那些发生概率

和影响程度均不太高的风险，通常在目前可以接受。公司可以取消与

此风险相关的、多余的风险控制措施，从而减少成本和资源消耗以便

管理更重要的风险。

风险图谱不是一成不变的，公司应该定期评估风险，动态地对风

险图谱进行调整和更新。

十六、风险分析方法的选择

选择风险分析的方法和判断标准，应考虑行业自身特点，区别它

们各自的关注点，灵活确定风险分析过程和分析方法。例如，对于金

融行业来说，丢失数据风险的损失比短时间业务停顿的风险所带来的

损失更为严重：而对于通信行业来说，业务停顿风险带来的损失比少

量数据丢失的风险更难以接受。与定量分析相比较，定性分析的准确

性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样

繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析

依赖大量的统计数据，而定性分析没有这方面的要求；定性分析较为

主观，定量分析基于客观；此外，定量分析的结果很直观，容易理解,

而定性分析的结果则很难有统一的解释。

企业可以根据自身的具体情况来选择定性或定量的分析方法。当

前最常用的分析方法一般都是定量和定性的混合方法，对一些可以明

确赋予数值的要素直接赋予数值，对难于赋值的要素使用定性方法，

这样不仅更清晰地分析了资产的风险情况，也极大简化了分析的过程,

加快了分析进度。

十七、风险应对概述

我国《企业内部控制基本规范》第二十五条规定：企业应当根据

风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对

策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、

关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏

好给企业经营带来重大损失。

风险应对就是在风险评估的基础上，针对企业所存在的风险因素,

根据风险评估的原则和标准，运用现代科学技术知识和风险管理方面

的理论与方法，提出各种风险解决方案，经过分析论证与评价从中选

择最优方案并予以实施，来达到降低风险目的的过程。

风险应对可以从改变风险后果的性质、风险发生的概率和风险后

果3个方面提出多种策略，对不同的风险可住不同的处置方法和策略。

企业所面临的各种风险都可以综合运用各种策略进行处理。

《企业内部控制基本规范》第二十六条规定：企业应当综合运用

风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对

风险的有效控制。

十八、风险应对策略的选择

风险应对的4种策略是根据企业的风险偏好和风险承受度制定的,

风险规避策略在采用其他任何风险应对措施都不能将风险降低到企业

风险承受度以内的情况下适用；风险降低和风险分担策略则是通过相

关措施，使企业的剩余风险与企业的风险承受度相一致；风险承受则

意味着风险在企业可承受范围之内。企业应该结合具体情况及时调整

风险应对策略。

企业可选择的风险应对策略有风险规避、风险降低、风险分担和

风险承受，管理层可以选择一个或多个策略结合使用。

《企业内部控制基本规范》第二十七条规定：企业应当结合不同

发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风

险识别和风险分析，及时调整风险应对策略。

企业对超出整体风险承受能力或者具体业务层次上的达到不可接

受风险水平的风险，应实行风险回避；在整体风险承受能力和具体业

务层次上的可接受风险水平之内的风险，在权衡成本效益之后无意采

取进一步控制措施的，可实行风险承担；对在整体风险承受能力和具

体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后如

愿单独采取进一步的控制措施以降低风险、提高收益或者减轻损失的,

可以实行风险降低；对在整体风险承受能力和具体业务层次上的可接

受风险水平之内的风险，在权衡成本效益之后愿意借助他人力量，采

取进一步的控制措施以降低风险，提高收益或者减轻损失的可以实行

风险分担。

风险应对策略与企业的具体业务或者事项相联系，不同的业务或

事项可以采取不同的风险应对策略，同一业务或事项在不同的时期可

以采取不同的风险应对策略，同一业务或事项在同一时期也可以综合

运用风险降低和风险分担应对策略。

十九、目标设定的含义

我国《内部控制基本规范》第二十条规定，企业应当根据设定的

控制目标，全面、系统、持续地收集相关信息，结合实际情况，及时

进行风险评估。

目标设定是风险识别、风险分析和风险应对的前提。在管理当局

识别和分析风险并采取行动来管理风险之前，首先必须有目标，确定

与目标相关的风险，目标设定是风险评估的前提。目标设定分为三个

层次，首先在企业既定的使命或愿景指导下，管理层制定企业的战略

目标；其次根据战略目标制定业务层面的目标，并在企业内层层分解

和落实；最后根据设定的目标合理确定企业整体风险承受能力和具体

业务层次上可接受的风险水平。

企业应当按照战略目标，设定相关的经营目标、财务报告目标、

合规性目标与资产安全目标，并根据设定的目标合理确定企业整体风

险承受能力和具体业务层次上的可接受的风险水平。

1、战略目标

战略目标反映了管理层就主体如何努力为其利益相关者创造价值

所做出的选择，是高层次的目标，与其使命相关联并支撑其使命。企

业在考虑实现战略目标的各种方案时，必须考虑与各种战略相伴的风

险及其影响。

战略目标方面的关注点主要包括：

(1)对企业绩效现状进行的评估

(2)对内部和外部环境的监测分析；

(3)战略目标体系

(4)战略选择遵循必要的流程，以及获得了充分的讨论；

(5)对目标实现与现有资源状况之间的匹配程度进行的评估；

(6)设定战略目标可接受程度；

(7)就战略目标与企业内部员工和外部柜关利益集团之间的沟通。

2、经营目标

经营目标与企业经营的效率与效果有关，包括业绩和盈利目标的

实现，需要反映企业运营所处的特定经营、行业和经济环境。经营目

标来自公司的战略目标和战略计划，并与之紧密联系，是随着具体对

象和不同时段制订的，这些目标应针对每个重要业务活动并与其他业

务活动保持一致。

经营目标方面的关注点主要包括以下几点：

(1)经营目标与公司战略目标及战略计划一致；

(2)经营目标适应公司所处的特定经营环境、行业和经济环境等;

(3)各个业务活动目标之间保持一致；

(4)所有重要业务流程与业务活动目标相关；

（5）适当的资源及有效配置

（6）管理层制定的公司经营目标及其对目标的负责程度。

3、报告目标

报告目标与财务报告及其相