无纺布公司内部控制方案

无纺布公司

内部控制方案

目录

一、项目概况.......................................................3

二、风险的分类和评估...............................................5

三、风险的概念及其分类.............................................7

四、企业识别风险关注的因素........................................10

五、风险识别的方法................................................11

六、目标设定的含义................................................17

七、内部控制目标的设定............................................21

八、内部控制的局限性..............................................24

九、内部控制的重要性..............................................27

十、企业风险管理..................................................30

十一、内部牵制....................................................39

十二、企业内部控制规范体系的结构.................................42

十三、内部控制的相关比较..........................................44

十五、公司治理的主体..............................................49

十六、家族治理模式的主要内容......................................51

十七、家族治理模式的评价..........................................55

十八、公司治理原则的概念.........................................56

十九、公司治理的框架.............................................57

二十、起步和探索阶段..............................................61

二十一、发展与创新阶段............................................63

二十二、内部控制的演进............................................65

二十三、内部控制的起源............................................79

二十四、产业环境分析..............................................81

二十五、必要性分析................................................83

二十六、发展规划分析..............................................83

二十七、法人治理结构..............................................86

SWOT分析说明.....................................................97

（一）优势分析（S）...............................................................................................97

1、工艺技术优势....................................................97

公司一直注重技术进步和工艺创新，通过引入国际先进的设备，不断加大自

主技术研发和工艺改进力度，形成较强的工艺技术优势。公司根据客户受托

产品的品种和特点，制定相应的工艺技术参数，以满足客户需求，已经积累

了丰富的工艺技术。经过多年的技术改造和工艺研发，公司已经建立了丰富

完整的产品生产线，配备了行业先进的设备，形成了门类齐全、品种丰富的

工艺，可为客户提供一体化综合服务。...............................97

一、项目概况

（一）项目基本情况

1、承办单位名称：XX投资管理公司

2、项目性质：扩建

3、项目建设地点；xxx

4、项目联系人：梁xx

（二）主办单位基本情况

公司以负责任的方式为消费者提供符合法律规定与标准要求的产

品。在提供产品的过程中，综合考虑其对消费者的影响，确俣产品安

全。积极与消费者沟通，向消费者公开产品安全风险评估结果，努力

维护消费者合法权益。公司加大科技创新力度，持续推进产品升级，

为行业提供先进适用的解决方案，为社会提供安全、可靠、优质的产

品和服务。

公司秉承“以人为本、品质为本”的发展理念，倡导“诚信尊重”

的企业情怀；坚持“品质营造未来，细节决定成败”为质量方针；以

“真诚服务赢得市场，以优质品质谋求发展”的营销思路；以科学发

展观纵观全局，争取实现行业领军、技术领先、产品领跑的发展目标°

公司不断建设和完善企业信息化服务平台，实施“互联网+”企业

专项行动，推广适合企业需求的信息化产品和服务，促进互联网和信

息技术在企业经营管理各个环节中的应用，业通过信息化提高效率和

效益。搭建信息化服务平台，培育产业链，打造制新链，提升价值链,

促进带动产业链上下游企业协同发展。

面对宏观经济增速放缓、结构调整的新常态，公司在企业法人治

理机构、企业文化、质量管理体系等方面着力探索，提升企业综合实

力，配合产业供给侧结构改革。同时，公司注重履行社会责任所带来

的发展机遇，积极践行“责任、人本、和谐、感恩”的核心价值观。

多年来，公司一直坚持坚持以诚信经营来赢得信任C

（三）项目建设选址及用地规模

本期项目选址位于XXX,占地面积约23.00亩。项目拟定建设区域

地理位置优越，交通便利，规划电力、给排水、通讯等公用设施条件

完备，非常适宜本期项目建设。

（四）项目总投资及资金构成

本期项目总投资包括建设投资、建设期利息和流动资金。根据谨

慎财务估算，项目总投资10284.50万元，其中：建设投资8260.86万

元，占项目总投资的80.32如建设期利息169.92万元,占项目总投资

的1.65%；流动资金1853.72万元，占项目总投资的18.02虬

（五）项目资本金筹措方案

项目总投资10284.50万元，根据资金筹措方案，xx投资管理公司

计划自筹资金（资本金）6816.64万元。

（六）申请银行借款方案

根据谨慎财务测算，本期工程项目申请银行借款总额3467.86万

7IJ©

（七）项目预期经济效益规划目标

1、项目达产年预期营业收入（SP）：21600.00万元。

2、年综合总成本费用（TC）：17296.09万元。

3、项目达产年净利润（NP）：3148.77万元。

4、财务内部收益率（FTRR）；22.94%。

5、全部投资回收期（Pt）:5.71年（含建设期24个月）。

6、达产年盈亏平衡点（BEP）；7660.71万元（产值）。

（A）项目建设进度规划

项目计划从可行性研究报告的编制到工程竣工验收、投产运营共

需24个月的时间。

二、风险的分类和评估

（一）风险的分类

企业所面临的风险从来源上分，有企业内部和外部两个方面。外

部风险包括：科技发展带来的企业技术、管理、信息等方面的风险；

顾客需求或预期改变；竞争的存在；自然灾害；政治事件；经济环境

的改变等。内部风险主要有：员工的素质和能力；经理人的责任改变;

董事会或监督委员会的责任履行情况等。

从企业能否对风险进行控制来分，风险分为可控风险和不可控风

险两种。

(二)风险评估

风险评估是一个比较宽泛的概念，在有的内部控制或风险管理标

准中，风险评估就是风险管理，包括了风险管理的全过程，可以说是

风险管理的代名词。而在有的内部控制或风险管理标准中，风险评估

是全面风险管理的一个步骤，包括内容有多有少，如目标确定、风险

识别、风险分析、风险评价以及风险应对等。

1、C0S092关于风险评估概念

COSO内部控制整体框架把风险评估列为内部控制的五要素之一

《内部控制整体框架》认为，风险评估是指单位为实现其目标而确认

的相关风险，以构成进行风险管理的基础。单位风险可能来自于：

(1)经营环境的变化；

(2)聘用新的员工；

(3)采用新的或改良的信息系统

(4)迅猛的发展速度；

(5)新技术的运用

(6)新的行业、产业或经营活动的开发；

(7)企业改组；

(8)海外经营；

(9)新的会计方法的采用。

2、C0S004关于风险评估概念

《企业风险管理整体框架》指出风险评估要对识别的风险进行分

析，以便确定对他们进行管理的依据。强调风险评估是风险管理的一

个步骤，相当于我国《企业内部控制基本规范》的风险分析。

3、我国《企业内部控制基本规范》关于风险评估概念

我国《企业内部控制基本规范》借鉴《企业风险管理整体框架》，

认为风险评估是企业及时识别、系统分析经营活动中与实现内部控制

目标相关的风险，从而合理确定风险应对策略。即为识别、分析、管

理与企业活动相关的市场风险、政策风险、法律风险、汇率风险、经

营风险等各种风险而建立的机制。该概念沿用C0S092的要素理念，是

相对宽泛的概念，包括COS004目标设定、事项识别、风险评估和风险

应对四大要素的组合。

三、风险的概念及其分类

古人说：“宜未雨而绸缪，毋临渴而掘井。”企业在生产经营的

过程中，面临着诸多的风险，如果我们没有妥善地处理，风险事故一

旦发生，轻则影响生产经营稳定和企业经济效益，重则危及企业的生

存。因此风险评估的目的是为了给企业造就一个安全稳定的生产经营

环境，这有助于增加领导层经营管理决策的正确性，进而提高企业的

经济效益。

(一)风险的概念

企业在经营活动中，会遇到各种不确定性事件，这些事件发生的

概率及其影响程度是无法事先预知的，进而影响企业目标的实现。所

谓风险，就是在一定环境下和一定限期内客观存在的、影响企业目标

实现的各种不确定性事件。或者说，风险就是指在一个特定的时间内

和一定的环境条件下，人们所期望的目标与实际结果之间的差异程度。

因此，风险是一个事项将会发生并给目标实现带来负面影响的可能性。

风险具有客观性、普遍性、潜在性、必然性、可识别性、可控性、损

失性和不确定性等特点，风险与机会同在。

COSO企业风险管理新框架(2016)指出风险是指事项发生并影响

战略和业务目标之实现的可能性。该定义兼顾了正面和负面的影响，

这和国际风险管理标准IS031000及中国风险管理标准GB—T24353是

一致的。为了与我国内部控制规范一致，本书采用C0S004的定义。

（二）风险的构成要素

风险一般包括以下三项构成要素。

1、风险因素

风险因素是指促使某一特定风险事故发生或增加其发生的可能性

或扩大其损失程度的原因或条件。它是风险事故发生的潜在原因，是

造成损失的内在或间接原因。例如，对于建筑物而言，风险因素是指

其所使用的建筑材料的质量、建筑结构的稳定性等；对于人而言，则

是指健康状况和年龄等；对于企业而言，风险因素则包括企业人员因

素、结构因素、外部环境因素等。

2、风险事故

风险事故也称风险事件，是指造成伤害或财产损失的偶发事件是

造成损失的直接的或外在的原因，是损失的媒介物，即风险只有通

过风险事故的发生才能导致损失。就某一事件来说，如果它是造

成损失的直接原因，那么它就是风险事故；而在其他条件下，如果它

是造成损失的间接原因，它便成为风险因素。例如，对于企业而言，

发生仓库货物被盗是风险事故，而安保系统不健全是风险因素。

3、损失

在风险管理中，损失是指非故意的、非预期的、非计划的经济价

值的减少。通常可以将损失分为两种形态，即直接损失和间接损失。

直接损失是指风险事故导致的财产本身损失和人身伤害，这类损失又

称为实质损失；间接损失则是指由直接损失引起的其他损失，包括额

外费用损失、收入损失和责任损失Q

四、企业识别风险关注的因素

(一)内部风险

我国《企业内部控制基本规范》第二十二条规定，企业识别内部

风险，应当关注下列因素。

(1)董事、监事、经理及其他高级管理人员的职业操守，员工专

业胜任能力等人力资源因素；

(2)组织机构、经营方式、资产管理、业务流程等管理因素；

(3)研究开发、技术投入、信息技术运用等自主创新因素；

(4)财务状况、经营成果、现金流量等财务因素；

(5)营运安全、员工健康、环境保护等安全环保因素；

(6)其他有关内部风险因素。

(二)外部风险

我国《企业内部控制基本规范》第二十三条规定，企业识别外部

风险，应当关注下列因素。

(1)经济形势、产业政策、融资环境、市场竞争等经济因素；

(2)法律法规、监管要求等法律因素；

(3)安全稳定、文化传统、社会信用、教育水平、消费者行为等

社会因素；

(4)技术进步、工艺改进等科学技术因素；

(5)自然灾害、环境状况等自然环境因素；

(6)其他有关外部风险因素。

五、风险识别的方法

风险识别是指对企业面临的各种风险进行确认的一个动态、连续

的过程。从风险产生的原因入手，通过各种识别方法发现客观存在的

不确定性，即辨识风险，下面简要介绍几种常用的风险识别方法。

(一)风险清单法

风险清单是指由专业人员设计好风险标准的表格或者问卷，全面

地罗列一个企业可能面临的风险。表格多由风险管理方面的专家提供,

包含人们已经识别出的最基本的各类风险。

该方法的优点是经济方便，适合新公司或初次构建风险管理制度

的公司适用，帮助他们识别最基本的风险，降低忽咯重要风险源的可

能性；缺点是表格的初次制作比较费时，问卷回收率可能较低，质量

难以有效控制。

(二)流程图分析法

流程图分析法是指首先按企业经营过程的内在逻辑制作出作业流

程图，然后对其中的重要环节和薄弱之处进行调查知分析的方法。基

本步骤如下Q

(1)梳理单位各类经济活动的业务流程，明确业务环节；

(2)设计流程图，把流程图中的风险揭示出来，确定风险点；

(3)解释流程图；

(4)选择风险应对策略。

流程图有助于识别企业经营过程中所面临的风险。其优点是可以

将复杂的生产过程或业务流程简单化，从而发现风险；其缺点是流程

图的绘制较耗费时间，而且不可能进行定量分析从而无法判断风险发

生的可能性。

(三)现场调查法

现场调查法相当于对风险进行一次全面的检查，其主要步骤如下。

(1)调查前的准备工作。包括确定调查的时间，其中需要明确开

始时间、结束时间和持续时间等，还要明确调查的对象，包括调查人

数等。实际工作中一般应事先设计好调查表格。

(2)进行现场调查和访问，由被调查人认真填写表格，表格填写

应符合规范，避免出现不符合要求的问卷而影响调查结果。

(3)将调查结果及时进行反馈，以便发现潜在的问题。

现场调查法的优点是可以获得一手的资料而不依赖他人的数据，

同时在调查过程中可以与基层人员建立良好的关系。缺点是耗时过多,

成本过大，在调查的过程中，可能会引起一些员工的反感。

（四）财务报表分析法

财务报表是反映企业一定时点的财务状况、一定期间经营成果和

现金流量的文件，因此分析财务报表有利于认识经营风险可能的来源。

财务报表分析法主要是通过分析企业的资产负债表、利润表、现金流

量表和所有者权益变动表以及补充记录来识别企业潜在的风险。

财务报表分析法具体又分为以下几种主要方法。

1、趋势分析法

趋势分析法是通过对一个企业连续数期的利润表和资产负债表的

各个项目进行比较，求出金额和百分比增减变动的方向和幅度，以揭

示当期财务状况和经营状况增减变化的性质及其趋势。

趋势分析法通常包括横向分析法和纵向分析法。横向分析法又称

水平分析法，是在会计报表中用金额、百分比的形式，将各个项目的

本期或多期的金额与基期的金额进行比较分析，以观察企业经营成果

与财务状况的变化趋势；纵向分析法又称垂直分析法，是对会计报表

中某一期的各个项目，分别与其中一个作为基期金额的特定项目进行

百分比分析，借以观察经营成果与财务状况的变化趋势。

2、比率分析法

比率分析法就是把财务报表的某些项目同其他项目进行比较，这

些金额或者数据可以选自一张财务报表，亦可以选自两张财务报表Q

比率分析法可以分析财务报表所列示项目与项目之间的相互关系，因

此运用得比较广泛。主要有经营成果的比率分析、权益状况的比率分

析、流动资产状况的比率分析。

3、因素分析法

因素分析法也是财务报表分析中常用的一种技术方法，它是指把

整体分解为若干个局部的分析方法，包括比率因素分析法和差异因素

分解法。比率因素分解法，是指把一个财务比率分解为若干个影响因

素的方法。例如，资产收益率可以分解为资产周转率和销售利润率两

个比率的乘积，财务比率是财务报表分析的特有概念。在实际的分析

中，分解法和比较法是结合使用的，比较之后需要分解，以深入了解

差异的原因。分解之后还需要比较，以进一步认识其特征。不断的比

较和分解，构成了财务报表分析的主要过程。为了解释比较分析中形

成差异的原因，需要使用差异分解法。例如，将产品材料成本差异分

解为价格差异和数量差异。差异分解法又分为定基替代法和连环替代

法两种。定基替代法是测定比较差异成因的一种定量方法。按照这种

方法，需要分别用标准值（历史的、同业企业的或预算的标准）替代

实际值，以测定各个因素对财务指标的影响。连环替代法是另外一种

测定比较差异成因的定量分析方法。按照这种方法，需要依次用标准

值替代实际值，以测定各个因素对财务指标的影响C

(五)事件树分析法

事件树分析法又称故障树法，其实质是利用逻辑思维的规律和形

式，从宏观的角度去分析事故形成的过程。它的理论基础是，任何一

起事故的发生，必定是一系列事件按时间顺序相继出现的结果，前一

事件的出现是随后事件发生的条件，在时间的发展过程中，每一事件

有两种可能的状态，即成功和失败。

事件树法从某一风险结果出发，运用逻辑推理的方法推导出引起

风险的原因，遵循风险事件一中间事件一基本事件的逻辑结构。事件

树分析法的一般步骤如下；

(1)定义目标，此时需要考虑影响目标的各种风险因素；

(2)做出风险因果图；

(3)全面考虑各风险因素之间的相互关系，从而研究对风险所采

取的对策或行动方案。

事故树法的优点是把影响企业整体目标实现的诸多因素及其因果

关系一步步清楚地列示出来，有利于下一步进行深入的风险分析。该

方法通常用于直接经验较少的风险识别，效果非常直观，缺点是容易

产生遗漏和错误。

（六）可行性研究

可行性研究是在项目计划阶段即对风险进行定性识别的方法。它

的工作步骤如下：

（1）检查各部分原始意图

（2）发现有无偏离原始意图的情况；

（3）寻找偏离原因

（4）预测偏离后果。

该方法的优点是可在项目实施前就发现风险并加以处理；缺点是

比较费时，需要详细的设计系统图的支持。

（七）其他方法

风险管理人员必须始终对新的、变化中的风险保持警惕，经常检

查关键文档就是一个好方法。关键文档包括董事会会议的详细记录、

资金申请表、公司指南、年度报告等，这些文件提供的信息并非详尽,

却是风险管理中使用最为频繁的信息资源。

面谈也是另外一个有利于风险事项识别的重要信息资源。许多信

息没有记录在文档文件里面，而只存在于经营管理人员和员工的头脑

里。与不同层次不同领域的员工进行面谈以便增加识别潜在风险事项

的信息资源。一般情况下，可以考虑和以下人员进行面谈：经营部门

经理、首席财务官、法律顾问、人力资源部经理、基层护理人员、工

人和领班、外部人员等。与一般基层工人的谈话可以发现一些不安全

的设备和操作方法，这些问题在正规的报告里面是不会反映出来的而

通过与高层管理者的面谈，风险防范人员能够了解最高管理层可以容

忍的纯粹风险程度，以及希望转移的风险。

风险识别是风险管理中最基础的工作，从定性的经验判断到各种

定量方法，不仅要发现风险，还要进行风险因素分析，它是一个复杂

的系统工程。任何一种方法都不能揭示出企业面临的全部风险，更不

可能揭示导致风险事故的所有因素，故应将多种方法结合使用。

六、目标设定的含义

我国《内部控制基本规范》第二十条规定，企业应当根据设定的

控制目标，全面、系统、持续地收集相关信息，结合实际情况，及时

进行风险评估。

目标设定是风险识别、风险分析和风险应对的前提。在管理当局

识别和分析风险并采取行动来管理风险之前，首先必须有目标，确定

与目标相关的风险，目标设定是风险评估的前提。目标设定分为三个

层次，首先在企业既定的使命或愿景指导下，管理层制定企业的战略

目标；其次根据战略目标制定业务层面的目标，并在企业内层层分解

和落实；最后根据设定的目标合理确定企业整体风险承受能力和具体

业务层次上可接受的风险水平。

企业应当按照战略目标，设定相关的经营目标、财务报告目标、

合规性目标与资产安全目标，并根据设定的目标合理确定企业整体风

险承受能力和具体业务层次上的可接受的风险水平C

1、战略目标

战略目标反映了管理层就主体如何努力为其利益相关者创造价值

所做出的选择，是高层次的目标，与其使命相关联并支撑其使命。企

业在考虑实现战略目标的各种方案时，必须考虑与各种战略相伴的风

险及其影响。

战略目标方面的关注点主要包括：

(1)对企业绩效现状进行的评估

(2)对内部和外部环境的监测分析；

(3)战略目标体系

(4)战略选择遵循必要的流程，以及获得了充分的讨论；

(5)对目标实现与现有资源状况之间的匹配程度进行的评估；

(6)设定战略目标可接受程度；

(7)就战略目标与企业内部员工和外部相关利益集团之间的沟通。

2、经营目标

经营目标与企业经营的效率与效果有关，包括业绩和盈利目标的

实现，需要反映企业运营所处的特定经营、行业和经济环境。经营目

标来自公司的战略目标和战略计划，并与之紧密联系，是随着具体对

象和不同时段制订的，这些目标应针对每个重要业务活动并与其他业

务活动保持一致。

经营目标方面的关注点主要包括以下几点：

(1)经营目标与公司战略目标及战略计划一致；

(2)经营目标适应公司所处的特定经营环境、行业和经济环境等;

(3)各个业务活动目标之间保持一致；

(4)所有重要业务流程与业务活动目标相关；

(5)适当的资源及有效配置

(6)管理层制定的公司经营目标及其对目标的负责程度。

3、报告目标

报告目标与财务报告及其相关信息的真实完整有关。可靠的报告

能够为管理层提供适合其既定目标的准确而完整的信息，支持管理层

的决策，并对主体活动和业绩实施有效监控。

报告目标方面的关注点主要包括以下几点：

(1)管理层决策及对公司活动、业绩监控的准确、及时、完整的

信息的对内报告;

（2）满足投资者、监管部门及其他相关信息需求者真实、可靠、

完整的信息的对外报告；

（3）反映信息的全面性，包括财务信息与非财务信息。

4、资产安全目标

资产安全目标是内部控制的基本目标，包括：防止企业无效率经

营，损失资产；防止员工舞弊；防止公司资产被盗等。

资产的安全与完整对于我国企业尤其是国有企业具有非常重要的

现实意义，近年来国有资产流失的案件屡有发生，内部控制应该

把资产安全作为一个重要的目标来加以实现。

资产安全目标方面的关注点主要包括以下几点：

（1）关注企业日常经营活动的效率；

（2）提高企业的生产刀和竞争力；

（3）防止资产缩水；

（4）关注资产使用及处置的授权情况。

5、合规目标

合规目标与企业各项活动的合法性有关。企业进行内部控制建设

必须符合相关的法律和法规。企业需要根据相关的法律法规制定最低

的行为标准并作为企业的遵循目标，企业的合规记录可能对它在社会

上的声誉产生极大的正面或负面影响。

合规目标方面的关注点主要包括；公司的各项活动符合法律法规

的要求，通常涉及知识产权、市场、价格、税收、环境、员工福利以

及国际贸易等Q

七、内部控制目标的设定

(一)制订战略目标

企业的战略目标一般是稳定的，但与其相关的业务层面的目标具

有动态性，会随着内部和外部的条件而调整。在企业风险管理目标的

设计过程中，首先要确定企业层面的目标，即战略目标。

战略目标需要通过董事会及员工的相互沟通后确定，同时还要有

支持其实现的资金预算及战略计划。战略目标的制订需要经过如下5

个阶段6

(1)明确企业发展目标。企业在长期规划中应明确自身的发展目

标和发展方向，通过培训、发放宣传手册、领导讲话等方式将企业层

面的目标清晰地传达给员工。

(2)制订实现目标的战略规划。企业通过SWOT分析，在了解自

身的优势、劣势、机会和威胁的基础上制订帮助企业实现目标的战略

规划。

(3)制订年度计划及资金预算。企业根据制订的中长期战略规划,

编制年度经营计划。该年度经营计划应符合企业中长期战略规划的效

益目标、投资方向和投资结构Q

(4)企业编制年度预算。企业应按照上下结合、分级编制、逐级

汇总的原则编制全面预算，将战略目标进一步分解、细化与落实。

(5)企业编制《企业预算管理办法》，明确编制预算的基本原则、

内容、编制依据等。

(二)确定业务层面目标

业务层面目标包括合规目标、资产目标、报告目标和经营目标它

来目企业战略目标及战略规划，并制约或促进企业战略目标的实现。

业务层面的目标应具体并具有可衡量性，并且与重要业务流程密切相

关。业务层面目标的制订需要经过如下四个阶段。

(1)设定业务层面目标。企业的总目标及战略目标规划为业务层

面目标的设定指明了方向，业务层面根据自身的实际情况及总体目标

的要求提出本单位的目标，通过上下不断沟通最终确定。

(2)根据企业的发展变化，定期更新业务活动的目标。

(3)配置资源以保证业务层面目标的顺利实现。企业在确定各业

务单位的目标之后，将人、财、物等资源合理分配下去，以保证各业

务单位有实现其目标的资源。

(4)分解业务目标并下达。企业确定业务层面的目标后，再将其

分解至各具体的业务活动中，明确相应岗位的目标C

(三)合理确定风险承受能力

为了合理地确定风险承受能力，在目标设定阶段，企业必须解决

以下3个基本问题。

(1)风险偏好。风险偏好是指企业在实现其目标的过程中愿意接

受的风险程度。可以采用定性和定量两种方法对风险偏好加以度量。

风险偏好与企业的战略直接相关，在战略制定阶段，企业应进行风险

管理，考虑将该战略的既定收益与企业的风险偏好结合起来，目的是

帮助企业的管理者在不同的战略之间选择与企业的风险偏好相一致的

战略。

(2)风险容忍度。风险容忍度是指在企业目标实现的过程中对差

异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现

过程中所出现的差异的可容忍限度。企业风险管理(2016)将风险容

忍度确定为可接受的绩效变动区间，该定义更加明确和可度量，有助

于组织在给定绩效目标下量化可以承受的风险边界C

(3)风险组合观。风险管理要求企业管理者以风险组合的观点看

待风险，对相关的风险进行识别并采取措施，以使企业所承受的风险

在风险偏好的范围内。对企业内每个单位而言，其风险可能落在该单

位的风险容忍度范围内，但从企业总体来看，总风险可以超过企业总

体的风险偏好范围。因此，应以企业总体的风险组合的观点看待风险。

八、内部控制的局限性

依据唯物辩证法的观点，任何事物都不可能尽善尽美，内部控制

也有其两面性：一方面它对企业预期目标具有控制作用：另一方面也

有他的不足和缺陷，存在固有的局限性。一般而言，内部控制的局限

性表现在以下几个方面。

1、成本限制

内部控制受到成本与效益原则的限制，内部控制系统所需求的保

证水平有必要根据其成本而定。一般来说，控制程序的成本不能超过

风险或错误可能造成的损失和浪费。否则，再好的控制措施和方法也

将失去意义。

由于存在资源稀缺问题，企业必须考虑建立控制的相应成本。般

而言，用于衡量控制成本与收益的标准不同。控制成本量化较为容易,

控制效益量化则相当复杂，难免包括主观的评估°在评估潜在收益时

可以考虑以下特定因素：不理想情形发生的可能性、各项活动的特性、

时间价值有可能对实体造成的潜在财务或经营影响C

此外，成本效益决策的复杂性还在于当控制与管理或运营过程相

结合，或“纳入”管理或营运过程时，很难区分哪些是控制的成本与

效益，哪些是管理或营运的成本与效益。同样，若干项控制措施组合

在一起，在很多时候，可用以防范或减轻某一特定的风险，但对具体

单项的控制成本与效益则很难估计Q另外，控制成本与效益的估计，

也会因单位或业务性质的不同而有所侧重。高风险活动明确要求进行

成本收益分析，而低风险活动则可以省略。

2、人为失误

内部控制的设计会受到设计人员经验和知识水平的限制，因而可

能存在缺陷。同时，执行人员的粗心大意、精力分散、判断失误以及

对指令的误解等，也可能使内部控制系统失控或陷于雍疾。例如，经

营决策必须在规定的时间内，根据所掌握的信息，在经营行为的压力

之下通过人为判断来做出。根据事后的剖析，有些基于人为判断的决

策，并不能产生预期的效果，而且可能需要做出改变。

3、串通舞弊

两人或多人的合谋活动可能导致内部控制的失效。从事犯罪或者

试图隐瞒某项行为的个人，通常会设法改变财务数据或其他管理信息,

使其不能为内部控制系统所识别。例如，执行一项重要控制职能的员

工可能会与客户、供应商或其他员工串通。不同级别的销售人员或部

门经理有可能合谋绕过控制，以使所报告的成果达到预算或激励目标。

因此，在实际工作中，如果处于不相容职务上的相关人员相互串通、

相互勾结，失去了不相容职务之间相互制约的基本前提，内部控制也

就很难发挥作用。

4、滥用职权

各种控制程序是管理工具，但任何控制程序都不能发现和防止那

些负责执行监督控制的管理人员滥用职权或不当用权。管理权的干预

直是导致许多重大舞弊发生和财务报告失真的一个重要原因。在某些

情况下，对于担任控制职能的人员越权管理、滥用职权，即使具有良

好设计的内部控制，也不能发挥其应有的作用。内部控制作为企业管

理的组成部分，理所当然地要按照管理人员的意图运行，尤其是对企

业负责人的决策更具有决定性的作用。决策出了问题，贯彻决策人意

图的内部控制也就失去了其应有的控制作用。

5、制度失效

内部控制制度是针对制度制定时的经济业务设计的，内部控制可

能会因经营环境、业务性质的改变而削弱或失效，可能会对不正常的

或未预料到的业务类型失去控制能力。企业处于经常变化的环境之中,

为保持竞争力，势必要经常调整经营策略，这就会导致原有的控制制

度对新增的业务内容失去控制作用的情况发生。

6、例外事件

内部控制主要是围绕着企业正常的生产经营活动，针对经常性的

业务和事项进行的控制。但在现实企业中，由于复杂多变的外部环境

使得企业常常会面对一些意外和偶发事件，而这些业务或事项由于其

特殊性和非经常性，没有现成的规章制度可循，造成了内部控制的盲

点。也就是说，内部控制的一个重大缺陷在于它不能应对例外事件。

企业在处理这些事项时，往往更多地凭借管理层的知识和经验以及对

环境变化的感知度，这就是所谓的“例外管理原则”。

九、内部控制的重要性

内部控制作为现代组织管理框架的重要组成部分，是一个组织持

续发展的机制和重要保证。现代组织理论和管理实践表明，组织的一

切管理工作，都要从建立与健全内部控制制度开始；组织的一切活动,

都无法游离于内部控制之外。“得控则强，失控则弱，无控则乱”，

内部控制的重要性主要体现在以下4个方面。

（一）内部控制是实现企业发展战略的基础

企业的发展不能是为现在而发展，而应该是为未来而发展，必须

要有一个长期的目标。企业的发展战略是企业对全局的一种总体设想,

是从宏观的角度对企业的未来的一种较为理想的设定。它所提出的是

企业整体发展的总任务和总要求，它所规定的是整体发展的根本方向。

因此，人们所提出的企业发展战略总是高度概括的，而且着眼于未来

和长远。一般认为，要实现企业长远的发展战略就要有健全有效的内

部控制作为支撑。实践证明，在我国经济快速发展的背景下，只有建

立和实施科学的内控体系，才能提升风险防范能力，实现企业可持续

发展战略。在西方，内部控制提出得较早，相关的法律法规也对此有

了明确的要求。而在我国，具有强制性要求的内部控制基本规范形成

较晚，许多企业并没有自发地认识到建设与执行内部控制的重要性，

因此，在与国外企业交往的过程中，常常由于这方面的欠缺而遭到不

公正的待遇。企业应该意识到，内部控制及其评价制度不只是为了满

足外部强制要求，而应该最终成为一种自发的行动c建设和完善内部

控制体系是我国企业融入国际社会和健康、可持续发展的必由之路。

（二）内部控制是提高企业经营管理效率的保证

内部控制产生于组织管理的需要，存在于组织经营管理活动之中,

是纽织内部管理的重要组成部分，这就决定了内部控制的主体是组织

的管理部门和具体执行各项控制措施的人员，企业内部控制划分为内

部管理控制与内部会计控制两大类。内部管理控制制度是指那些对会

计业务、记录和报表的可靠性没有直接影响的内部控制。内部会计控

制是指那些对会计业务、记录和报表的可靠性有直接影响的内部控制,

通过这种控制的建立，能维护财产物资的安全、完整，保证会计信息

的真实、可靠，保证经营管理活动的经济性、效率性和效果性，保证

各项法律和规范的遵守。内部控制贯穿于企业经营管理活动的各个方

面，只要企业存在经济活动和经营管理，就需要建立、健全企业的内

部控制并加强内部控制。

（三）内部控制是提高企业信息质量的保证

众所周知，在信息化时代，信息足以决定一个企业的兴衰存亡。

首先，高质量的报告信息将为管理当局提供准确而完整的信息，用以

支持管理当局的决策和对主体活动及业绩的监控。同时，高质量的对

外投告和披露有助于企业的外部投资者、债权人等利益相关者以及监

管当局做出正确的决策。有效的内部控制系统通过职务分离、岗位轮

换、内部审计等控制方法及手段对企业信息的记录知报告过程进行全

面持续的监控，及时发现和纠正各种错误与舞弊，保证企业信息能够

真实完整地反映企业经营活动的实际情况。反思我国近年来的一系列

财务舞弊案件，如红光实业、银广夏、蓝田股份等，其组织的内部控

制失效负有不可推卸的责任。国内外证券市场的财务丑闻，使得广大

投资者蒙上厚重的心理阴影，要求规范上市公司财务报告的呼声越来

越高。有效的内部控制，对于重塑投资者的信心，维护资本市场的公

平和透明，进而保护投资者利益与国家经济安全意义重大。

（四）内部控制是加强企业制度管理的根本

现代企业制度是指以市场经济为基础，以完善的企业法人制度为

主体，以有限责任制度为核心，以公司企业为主要形式，以产权明晰、

权责明确、政企分开、管理科学为条件的新型企业制度Q企业是一系

列“契约的联结”，由于委托人不能直接观测到代理人选择了什么行

动，委托人和代理人之间存在信息不对称，具有机会主义倾向的管理

当局会利用自己的信息优势，发生偷懒、不当消费等行为，以牺牲委

托人的利益为代价，使自己的利益最大化。因此，企业所有者需要监

督代理人，防止代理关系下的信息不对称，降低代理成本，实现公司

治理目标，从而有助于最大限度地满足企业所有者的权益。同时，通

过不相容职务分离控制、授权审批控制、会计系统控制、资产安全控

制、绩效考评控制等手段形成各司其职、各负其责、相互制约的工作

机制，逐渐推动企业管理水平与会计信息质量的提升，提升经营的效

率和效果。

十、企业风险管理

(一)企业风险管理(2004)架构

1、基本框架

2004年，COSO为企业风险管理确立了一个可普遍接受的定义，该

定义融入众多观点并达成共识，为各组织识别风险知加强对风险的管

理提供了坚实的理论基础，即企业风险管理是一个受企业董事会、管

理层和其他人士影响的过程，运用于制订战略之中，并且贯穿整个企

业，用以识别可能影响该企业的潜在事项，并且将风险控制在风险偏

好的范围之内，为达到实体目标提供合理的保证。

企业风险管理(2004)框架的主要贡献就在于，其重新界定了风

险管理，即由目标、要素和组织三个维度组成的有机整体。

第一维度为企业的目标，即战略目标、经营目标、报告目标和合

规目标。在主体既定的使命或愿景范围内，管理当局制订战略目标、

选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架

力求实现主体的战略目标、经营目标、报告目标和合规目标。战略目

标与高层目标相关，和企业使命相一致，企业所有的经营管理活动必

须长期有效地支持该使命。经营目标与企业运营的效果和效率相关，

包括业绩和利润目标，运营变化以管理当局对结构知业绩的选择为基

础，旨在使企业能够高效地使用资源。报告目标与组织报告可靠性相

关，包括对内报告和对外报告，涉及财务和非财务信息。合规目标层

次较低，也是最基础的目标，与组织遵循相关法律法规有关。

第二维度为构成要素，即内部环境、目标设定、事项识别、风险

评估、风险应对、控制活动、信息与沟通和监控。

第三维度组织是企业的层级，包括主体层次、分部、业务单元及

子公司。

三个维度的关系是，全面风险管理的八个要素都是为企业的四个

目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必

须从以上八个方面进行风险管理。

2、构成要素

第二维度企业风险管理包含八个相互关联的要素。它们来源于管

理当局经营企业的方式，并与管理过程整合在一起c这些构成要素的

含义如下。

内部环境一一内部环境包含组织的基调，它为主体内的人员如何

认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和

道德价值观，以及他们所处的经营环境。

目标设定一一必须先有目标，管理当局才能识别影响目标实现的

潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，

确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相

符。

事项识别一一必须识别影响主体目标实现的内部和外部事项，区

分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。

风险评估一一通过考虑风险的可能性和影响来对其加以分析，并

以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩

余风险。

风险应对一一管理当局选择风险应对一回避、承受、降低或者分

担风险一一采取一系列行动以便把风险控制在主体的风险容忍度和风

险容量以内Q

控制活动一一制订和执行政策与程序以帮助确保风险应对得以有

效实施。

信息与沟通一一相关的信息以确保员工履行其职责的方式和时机,

能被识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体

中的向下、平行和向上流动。

监控一一对企业风险管理进行全面监控，必要时加以修正。监控

可以通过持续的管理活动、个别评价或者两者结合来完成。

企业风险管理并不是一个严格的顺次过程，一个构成要素并不是

仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程，

在这个过程中几乎每一个构成要素都会影响其他构成要素。

3、企业风险管理(2004)框架面临的问题

企业风险管理(2004)框架在对企业风险管理进行定义时所强调

的最重要也是最独具一格的一点是“贯穿整个企业，应用于战略制定

中”。而这一点在实践中却被误读，甚至被无视。C0S0最初在编制

ERM框架时采用了类似于内部控制框架所使用的立方体。虽然COSO对

立方体右侧的内容进行了修改，删除了有关活动和流程，改为侧重于

范国更广的实体和运营单位及分支机构，但许多企业依然试图在过于

细微的层面实施该框架，例如运用于流程层面而非战略制定。许多组

织机构将企业风险管理作为一种保证活动来实施，而不是将其视为一

种更佳的企业管理方式，从而失去了治理效果。

2008年金融危机以及2011年的日本海啸所引发的经济大萧条，

“黑天鹅”“大变脸”事件频频爆发，ERM有关问题和价值的主张便开

始明朗起来，令许多企业进入危机应对模式，企业风险管理的实施也

因此受到企业特别是C级高管的真正重视。6月24日，C0S0委员会发

布《企业风险管理：风险与战略和绩效的协调》，以向公众征求意见,

截止日期为2016年9月30日。

（二）企业风险管理（2016）框架的内容

相对于企业风险管理（2004）框架，新版企业风险管理（风险与

战略和绩效的协调）（2016）使用了构成元素加原则的结构，包括5

个构成元素，细分为23条原则，2013年COSO组织更新了企业内部控

制框架的部分内容，在文章的整体结构上就是采用的这种结构新的结

构加强了新框架的可读性、可用性和一致性。新版ERM框架的五要素

和23个原则。

新版框架对ERM的定义为：组织在创造、保存、实现价值的过程

中赖以进行风险管理的，与战略制订和实施相结合的文化、能力和实

践。可以看到，新版框架简化了ERM的定义以方便阅读和记忆。新定

义方便的是所有读者的理解，而不只是风险管理从业者。新定义包括

文化和能力而不只是过程，更加强调风险与价值的用结合，突出价值

创造而不只是防止损失，这样也避免了和内部控制定义的界限不清。

新版框架中，ERM被视为战略制定的重要组成和识别机遇、创造和保留

价值的必要部分。新版框架中ERM不再是主体的一个额外的或是单独

的活动，而是融入主体的战略和运营当中的有机部分。

新版框架注意到了自旧版框架发布以来，组织在实践ERM过程中

遇到的一些问题，包括对风险管理工作的定位，风险管理工作的范围

和目标等，新版框架定义了风险管理工作的高度，包括：战略和业务

目标与使命、愿景和价值观不匹配的可能性；选定的战略所隐含的意

义；执行战略过程中的风险。

1、风险治理和文化

风险治理和文化构成了ERM所有其他部分的基础。风险治理定下

主体的基本基调，加强ERM的重要性并确立ERM的监管责任的分配；

文化则是主体的价值观、行为准则和对风险的理解C

（1）实现董事会对风险的监督。董事会对主体的风险监督负有首

要责任。

(2)建立治理和运作模式。在明确的责任分配下，组织应该建立

完整的运营模式和汇报体系。

(3)定义期望的组织行为°董事会和管理层通过定义其期望的行

为将组织核心价值和对风险的态度具体化。

(4)展现对诚实和道德的承诺。组织制定基调，建立员工行为准

则并对偏离准则的行为做出回应。

(5)加强问责。组织确保各个层级的个体在风险管理方面的职责

明确，并确保其自身在提供准则和指导方面的职责明确。

(6)吸引、发展并留住优秀的个体。致力于根据战略和业务目标

构筑人力资本，管理层通过在不同层面建立人力资源管理体系来吸弓1、

培训、指导人才，评价和留住人才。

2、风险、战略和目标设定

ERM通过制订战略和业务目标的过程与主体的战略计划融合在一起。

通过对商业环境的理解，组织可以得到对内在和外在因素的看法以及

它们对风险的影响。组织在战略制订中确定其风险偏好，而业务目标

使得战略得以实践并形成主体日常的运营。

(1)考虑风险和业务环境。组织考虑业务环境对风险图谱的潜在

影响；组织要理解业务环境，考虑内部和外部的环境和不同的利益相

关者。

(2)定义风险偏好。组织在创造、保存和实现价值的过程中定义

风险偏好。

(3)评估可供选择的战略。组织评估可替代的战略和对风险状况

的影响。

(4)建立业务目标的同时考虑风险。组织建立不同层次的业务目

标以制定和支持战略的同时考虑风险。

(5)定义可接受的绩效浮动区间。可接受的绩效浮动也可以理解

为风险容忍度。

3、执行中的风险

组织识别并评估可能影响其实现战略和业务目标的风险，结合企

业的风险偏好，对风险按照其严重程度排分优先次序，组织选择风险

应对的方法并对绩效进行监控以做出调整。这样，企业对追求战略和

业务目标时所面临的风险量建立起一个组合的观念c

(1)识别执行中的风险。组织识别执行过程中影响业务目标实现

的风险。

(2)评估风险的严重程度。风险评估的重要工具是风险热力图，

热力图从风险发生的可能性和影响程度两方面对风险进行评级。风险

评价要从固有风险、目标剩余风险和实际剩余风险三个层级进行。

(3)区分风险的优先次序。组织结合风险偏好，选定对风险排分

优先等级的标准，然后对所有识别的风险进行排分C

(4)识别并选择风险响应°这些控制活动在《内部控制一一整合

框柒》中已经介绍。

(5)评估执行中的风险。组织需要对绩效进行监测，如果绩效的

浮动区间超出了可以接受的范围，则可能需要重新考虑业务目标或战

略；调整目标绩效，重新进行风险评估；重新进行风险优先级的排序;

重新制定风险应对措施；重新确立风险偏好。

(6)建立风险的组合观。管理层需要从组织整体角度考虑风险，

将纽织风险作为一个整体去和实现绩效目标所需要承受的风险进行对

比，而不是将其视为一个个单独的、分散的风险。

4、风险信息、沟通和报告

沟通是在主体中不断迭代地取得并分享信息的过程。管理层利用

从内部和外部取得的有效信息来支持企业风险管理工作，组织利用信

息系统来捕捉、处理和管理数据和信息。通过利用应用于所有组成部

分的信息，组织就风险、文化和绩效做出报告。

(1)使用相关信息。组织利用支持企业风险管理的信息，首先考

虑有哪些可用的信息来源，然后衡量取得这些信息的成本，最终确定

需要哪些信息来源。

(2)利用信息系统。信息系统可以是正式的或者是非正式的。

(3)沟通风险信息。沟通的对象既包括内部的员工，也包括董事

会、股东及其他外部的利益相关者。沟通方法可以是电子信息、外部/

第三方材料、非正式/口头、公共活动、培训和研讨会、内部文件。

(4)对风险、文化和绩效进行报告。组织在各个层级对风险、文

化和绩效做出报告。

5、监控风险管理效果

通过监控风险管理(ERM)的效果，组织可以判断ERM的各组成部

分的长期运作是否良好并获知有哪些实质性的变化C

(1)对重大变化进行监控。组织识别和评估可能对战略和业务目

标的达成造成实质性影响的内部和外部变化。造成这些实质性影响的

变化可能来自内部的原因，如快速成长、新技术或者管理层及其他人

事变动；可能来自外部环境，例如法规和经济环境的变化；还可能来

自组织文化方面，例如并购和重组带来的文化冲击C

(2)对ERM进行监控。组织应监控ERM的效果并随时准备对其进

行效率上和实用性上的改善，组织同样要明确未来理想中的ERM状态,

做到持续改进。

十一、内部牵制

内部牵制的概念最早在1905年由特克西提出。他认为内部牵制由

3部分组成：职责分工、会计记录、人员轮换。这3部分内容在现代内

部控制中都有所体现°《柯勒会计词典》中对内部牵制曾做出最全面

的解释，它认为“内部牵制是指以提供有效的组织而经营，并防止错

误和其他非法业务发生的业务流程设计。其主要特点是以任何个人，

或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的

责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检

查或交叉控制。设计有效的内部牵制得以使每项业务能完整、正确地

经过规定的处理程序，而在这规定的处理程序中，内部牵制机制永远

是一个不可缺少的组成部分“o由此可见，内部牵制是以查错防弊为

目的，以职务分离、账目核对为手段，以钱、账、物等为主要控制对

象。

内部牵制按照实现机制的不同，可分为分离式牵制和合作式牵制

两类。

（一）分离式牵制

内部牵制制度的建立主要是基于两个设想，一是两个人或两个以

上的人或部门无意识地犯同样错误的机会是很小的：二是两个或两个

以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部

门舞弊的可能性。按照这样的设想，通过内部牵制机制，实现上下牵

制，左右制约，相互监督，因而具有查错防弊这个主要功能。所谓的

上下牵制是指，从纵向看，每项经济业务的处理，至少要经过上下级

有关人员之手，使下级受上级监督，上级受下级制约，促使上下级均

能忠于职守，不可疏忽大意。所谓左右制约是指，从横向看，每项经

济业务的处理，至少要经过彼此不相隶属的两个部门的处理，使每一

部门工作或记录受另一部门的牵制，不相隶属的不同部门均有完整的

记录，使之互相制约，自动检查，防止或减少错误知弊端；同时，通

过交叉核对也能及时发现错误和弊病。

分离式牵制即不相容职务相分离，所谓不相容职务是指那些如果

由一个人或一个部门担任既可能发生错误和舞弊行为，又可能掩盖其

错误和舞弊行为的职务。不相容职务主要有授权批准、业务经办、会

计记录、财产保管和稽核检查等职务，包括岗位的不相容、部门的不

相容以及流程的不相容。不相容职务分离主要是指授权审批与业务经

办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检

查、授权批准与监督检查等不能由一个人或一个部门进行。

由此可见，内部牵制主要是以不相容职务分离为主要流程设计的,

是内部控制的最初形式和基本形态。其目的是为了保证财产物资的安

全和完整，防止贪污、舞弊。实践证明，该设想是合理的，内部牵制

确实起到了防范错弊的作用。

（二）合作式牵制

现代内部牵制思想还包括合作式牵制。合作式牵制是指，通过合

作达到相互制约、相互监督的作用Q例如，会审机制，企业面对重大

决策、重大业务事项、重要的人事任免以及大额资金支付时，需要领

导层集体决策、集体联签，以防止个人决策的失误：又如合同会签制

度，即合同在生效前不仅需要主管部门签字盖章还需要其他协作部门

共同参与，会审、会签人员共同参与、共担责任，以及降低决策、合

同的风险。另外，企业内部各部门之间在业务上的协助也属于合作式

牵制。例如，2012年财政留颁布要求在2014年1月1日试行的《行政

事业单位内部控制规范》中规定，重大事项需集体决策和会签。

十二、企业内部控制规范体系的结构

2010年4月26日，财政部、证监会、审计署、银监会、保监会联

合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内

部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计

指引》，连同此前发布的《企业内部控制基本规范》，标志着适应我

国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基

本建成。我国内部控制规范体系分两个层面，一是基本规范，二是配

套指引。

（一）基本规范

《企业内部控制基本规范》是内部控制建设与实施应该遵循的基

本原则和总体要求，具有强制性，纳入实施范围的企业应当遵照执行。

（二）配套指引

《企业内部控制配套指引》（包括应用指引、评价指引和审计指

引）是对《企业内部控制基本规范》相关规定的进一步补充和说明具

有指导性和示范性，企业可以结合所在行业要求和企业自身特点，参

照配套指引的规定开展内部控制建设与实施工作。配套指引包括应用

指引、评价指引和审计指引，三者之间既相互独立，又相互联系，形

成一个有机整体。

1、企业内部控制应用指引

应用指引是对企业按照内部控制五大原则和内部控制五大要素建

立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制

规范体系中占据主体地位，主要包括控制环境类指引、控制活动类指

引和控制手段类指引。

2、企业内部控制评价指引

评价指引是为企业管理层对本企业内部控制有效性进行自我评价

提供的指引，用于企业董事会或类似决策机构对内部控制有效性进行

全面评价、形成评价结论、出具评价报告的过程。

3、企业内部控制审计指引

审计指引是为注册会计师和会计师事务所执行内部控制审计业务

的执业准则。

十三、内部控制的相关比较

（一）目标的比较

内部控制是一个管理系统而非技术系统，是一个防守系统而不是

进攻系统，因此，内部控制要实现企业的价值最大化目标，无法依靠

利益的增加而只能通过减少支出。内部控制的目标，通常指内部控制

所要达到的预期效果和所要完成的控制任务。从理论上说，内部控制

的目标主要取决于内部控制本身所具有的功能和人们在设计、执行内

部控制时的主观需要。内部控制的目标限于内部控制功能和人们的主

观需求之间，不可能高于其本身的客观功能，当然，也不能低于主观

需求。

1、国内外相关报告的内部控制目标比较

内部控制的目标并非单一的，是由几个目标组成的目标结构或体

系，并且，各目标之间存在着相互联系°目前内部控制学关于目标的

阐述有“三目标论”“四目标论”“五目标论”，这些目标深入具有

不同的层次，但有一个共同的目标指向，即降低各种风险带来的损失。

对内部控制整体框架、企业风险管理框架与我国《企业内部控制基本

规范》中所规定的内部控制目标进行的比较。

标准或规范对内部控制目标的规定有所差异，主要是因为第一，

确定控制目标的设定基础。有的以内部会计控制为基础设定（如1949

年的定义），有的以内部控制为基础来设定，有的以风险管理为基础

设定；第二，颁布这些标准或规范的机构不同。有的从企业层面颁布,

有的从行业层面颁布，有的从监管层面颁布。

反观我国基本规范，相较于企业风险管理框架，多了一个资产安

全目标，资产安全是企业展开各种经济活动的物质前提，但是从目标

的排列次序上可以看出，我国的基本规范中规定的次序恰恰与企业风

险管理报告要求的相反，这是结合我国基本实情的具体规定。一般认

为，首先，企业应当在合规合法的前提下开展活动，违背了这项原则,

其他目标再好也是纸上谈兵。其次，保证合规合法目标实现的基础之

上，资产作为企业经济活动的物质前提，应当保证实现资产安全的目

标。再次，企业应当保证财务报告及相关信息的真实完整，以便于利

益相关者做出决策。与此同时，企业应当回归到日常经营管理活动当

中来，提高企业的经营效率和效果，提高经营业绩是企业的大势所趋。

最后，在上述四个目标实现的基础上，提出了企业的发展战略。

2、我国内部控制目标演进过程

我国的相关法规制度对内部控制目标的界定也是一个不断演进的

过程，我国相关法规、制度对内部控制目标的界定，可以分为三个发

展演进阶段Q

第一阶段，外部化阶段。强调内部会计控制，突出财务报告的真

实完整，主要表现在《独立审计具体准则第9号一一内部控制和审计

风险》（体现内部控制为审计服务）、财政部《内部会计控制规范一

基本规范》等。

第二阶段，内部化阶段。强调内部控制，在保证财务报告真实完

整的前提下提高经营的效率和效果，主要表现在《中国注册会计师审

计准则第1211号》（体现风险导向的审计内涵）、上交所《上市公司

内部控制指引》、深交所《上市公司内部控制指引》等。

第三阶段，风险管理阶段。强调企业风险管理，主要表现在五部

委《企业内部控制基本规范》。

以上三个阶段说明我国内部控制目标的发展是在借鉴国外最佳实

践的基础上，关于内部控制理念与实践的提升。

（二）内部控制要素的比较

纵观内部控制的历史演进可以发现，从最早的内部控制“一要素”

阶段一一内部牵制阶段，“二要素”阶段一一内部控制制度阶段，

“三要素”阶段一一内部控制结构阶段，到“五要素”阶段一一内部

控制整合框架阶段，再到“八要素”阶段一一风险管理整合框架阶段,

内部控制的发展历史实际上也是内部控制要素不断充实和丰富的过程。

内部控制基本要素反映了内部控制的内容，这些要素及其构成方式与

整人控制过程整合在一起，决定着控制的内容与形式。

企业风险管理框架在内部控制整体框架的基础上，将风险评估分

解为目标制定、事项识别、风险评估和风险应对四个要素，纳入风险

管理流程，突出了风险管理的重要性。而基本规范是五要素的体系结

构，一方面继承内部控制整体框架的理论成果，另一方面适当体现企

业风险管理框架的先进理念，结合我国国情的基础上将两者有效结合。

十四、利益导向

公司成立的目的在于追求利益，但到底追求谁的利益或以谁的利

益为主，理论界有着不同的看法，从过去的股东利益最大化到利益相

关者利益统一，再到利益相关者有主次之分，公司治理的模式也分成

股东治理模式、利益相关者治理模式和利益相关者主次治理模式。

（一）股东治理模式

该模式认为股东是公司的所有者，公司存续的目的是实现股东利

益的最大化，继而公司治理的中心就是确保股东的利益，确保资本供

给者得到理所当然的投资回报。公司的权力机构都要以股东的意志和

利益为出发点，股东大会是代表股东意志的最高决策机构，董事会由

股东大会选举产生并接受股东委托在公司决策中发挥主导作用。

金融模式公司应按股东的利益来管理，试图促使经理人员对股东

利益更负有责任。主张通过政策激励和采取最大化短期股票价格的行

为是为股东利益服务的最佳形式。其理论基础是“有效市场理论”并

主张扩大股东的权力。

市场短视派认为金融市场的压力使公司经理只关注短期利益，这

样会对公司的长期管理产生一种经营决策上的偏误，从而降低公司长

期资产的价值。

金融模式希望增加股东对公司的监督和影响，市场短视派则希望

公司治理可以在股东压力下，特别是短期股票价格业绩中保护经理人,

或替代性地通过阻止交易和鼓励长期持有股票来实现股东的利益。但

两者都认为股东利益的最大化可以导致整个社会的利益最大化。

（二）利益相关者治理模式

利益相关者治理模式认为企业是一个责任主体，公司治理不能单

纯以实现股东利益为目标，因为企业是所有相关利益者（出资者、债

权人、董事会、经理、员工、政府及社区居民、供应商等）的企业，

各利益相关者都对企业进行了专用资产的投资，并承担了企业的风险,

企业应为利益相关者服务。

（三）利益相关者主次治理模式

利益相关者主次治理模式认为公司治理必须以股东利益为主导,

同时在此基础上恰当地界定包括股东在内的利益相关者的关系，解决

好由此而产生的利益相关者的利益问题。克