1、泓域/化學原料藥公司治理評估化學原料藥公司治理評估目錄 TOC o 1-3 h z u HYPERLINK l _Toc112059489 一、 企業內部控制規范體系的結構 PAGEREF _Toc112059489 h 3 HYPERLINK l _Toc112059490 二、 企業內部控制規范的基本內容 PAGEREF _Toc112059490 h 4 HYPERLINK l _Toc112059491 三、 內部控制的重要性 PAGEREF _Toc112059491 h 15 HYPERLINK l _Toc112059492 四、 內部控制的局限性 PAGEREF _Toc112

2、059492 h 18 HYPERLINK l _Toc112059493 五、 控制的層級制度 PAGEREF _Toc112059493 h 22 HYPERLINK l _Toc112059494 六、 有效內部環境的屬性 PAGEREF _Toc112059494 h 24 HYPERLINK l _Toc112059495 七、 企業風險管理框架：內部環境的成熟 PAGEREF _Toc112059495 h 28 HYPERLINK l _Toc112059496 八、 我國的借鑒與創新 PAGEREF _Toc112059496 h 29 HYPERLINK l _Toc1120

3、59497 九、 決策機制 PAGEREF _Toc112059497 h 31 HYPERLINK l _Toc112059498 十、 監督機制 PAGEREF _Toc112059498 h 35 HYPERLINK l _Toc112059499 十一、 債權人治理機制 PAGEREF _Toc112059499 h 39 HYPERLINK l _Toc112059500 十二、 經理人市場 PAGEREF _Toc112059500 h 43 HYPERLINK l _Toc112059501 十三、 產業環境分析 PAGEREF _Toc112059501 h 48 HYPERL

4、INK l _Toc112059502 十四、 行業面臨的機遇 PAGEREF _Toc112059502 h 49 HYPERLINK l _Toc112059503 十五、 必要性分析 PAGEREF _Toc112059503 h 52 HYPERLINK l _Toc112059504 十六、 公司簡介 PAGEREF _Toc112059504 h 53 HYPERLINK l _Toc112059505 十七、 發展規劃 PAGEREF _Toc112059505 h 54 HYPERLINK l _Toc112059506 十八、 人力資源分析 PAGEREF _Toc11205

5、9506 h 62 HYPERLINK l _Toc112059507 勞動定員一覽表 PAGEREF _Toc112059507 h 62 HYPERLINK l _Toc112059508 十九、 項目風險分析 PAGEREF _Toc112059508 h 64 HYPERLINK l _Toc112059509 二十、 項目風險對策 PAGEREF _Toc112059509 h 66企業內部控制規范體系的結構2010年4月26日，財政部、證監會、審計署、銀監會、保監會聯合發布了企業內部控制配套指引。該配套指引包括18項企業內部控制應用指引企業內部控制評價指引和企業內部控制審計指引，連

6、同此前發布的企業內部控制基本規范，標志著適應我國企業實際情況、融合國際先進經驗的中國企業內部控制規范體系基本建成。我國內部控制規范體系分兩個層面，一是基本規范，二是配套指引。（一）基本規范企業內部控制基本規范是內部控制建設與實施應該遵循的基本原則和總體要求，具有強制性，納入實施范圍的企業應當遵照執行。（二）配套指引企業內部控制配套指引（包括應用指引、評價指引和審計指引）是對企業內部控制基本規范相關規定的進一步補充和說明具有指導性和示范性，企業可以結合所在行業要求和企業自身特點，參照配套指引的規定開展內部控制建設與實施工作。配套指引包括應用指引、評價指引和審計指引，三者之間既相互獨立，又相互聯系

7、，形成一個有機整體。1、企業內部控制應用指引應用指引是對企業按照內部控制五大原則和內部控制五大要素建立健全本企業內部控制所提供的指引，在配套指引乃至整個內部控制規范體系中占據主體地位，主要包括控制環境類指引、控制活動類指引和控制手段類指引。2、企業內部控制評價指引評價指引是為企業管理層對本企業內部控制有效性進行自我評價提供的指引，用于企業董事會或類似決策機構對內部控制有效性進行全面評價、形成評價結論、出具評價報告的過程。3、企業內部控制審計指引審計指引是為注冊會計師和會計師事務所執行內部控制審計業務的執業準則。企業內部控制規范的基本內容我國企業內部控制規范的基本框架，可以概括為五大目標、五大原

8、則和五大要素。（一）內部控制的目標內部控制是圍繞目標展開的，因此明確目標至關重要。內部控制的目標，應是整個控制系統的出發點，決定了系統運行的方式和方向。企業內部控制基本規范中對內部控制提出了合法合規、資產安全、財務報告及相關信息真實完整、提高經營效率和效果以及促進企業實現發展戰略的五大目標，簡稱為合規目標、資產安全目標、報告目標、經營目標和戰略目標。內部控制五大目標是一個完整的目標體系，由于各大目標在控制體系中的層級不同，其在整個目標體系中的地位和作用也有所差異。1、合規目標合規目標要求企業或其他組織完全遵循國家的法律法規和監管要求，是企業成功運營的必要保證，與企業活動的合法性相關。企業生存于

9、社會這個大環境下，必須遵守社會的基本規范，包括法律規范和道德規范，必須在社會允許的范圍內展開各項活動，即“小制度不能大于大法”。因此，遵守法規、制度是企業一切活動的前提，也是首先要保證完成的目標。國家有關法律、制度的落實必將依靠內部控制的有效執行加以保證。一個違反國家法律法規、喪失道德底線的企業，必然會將自身置于高風險的環境中，從而對自身的生存和發展造成巨大的威脅，后果可想而知。合規目標方面的關注點主要包括：公司的各項活動符合法律法規確定的要求，通常涉及知識產權、市場、價格、稅收、環境、員工福利以及國際貿易等。2、資產安全目標雖然在COSO框架中沒有將保護資產安全作為一個主要目標，而是作為主要

10、目標中的一個子目標，但是我國的企業內部控制基本規范中重新將其作為內部控制目標的一個部分，這是基于我國的國情和現狀做出的必然選擇，是有一定用意的。我國普遍存在產權多元化現象，而且國有資產流失現象極其嚴重，保護資產安全和完整對資產所有者來說具有特別重大的意義。資產安全與否實際上是內部控制的一個過程控制結果，是實現其他目標的物質前提。因此，該目標要求內部控制能夠保護主體所有資產的安全和完整。資產安全目標方面的關注點主要包括：關注企業日常經營活動的效率，提高企業的生產力和競爭力，防止資產縮水，關注資產使用及處置的授權情況。3、報告目標報告目標指內部控制應合理保證企業提供了真實、可靠的財務報告及其他信息

11、。報告目標有助于組織向投資者、債權人等利益相關者以及內部管理層提供真實、可靠、完整的信息，具體包括內部和外部、財務與非財務信息，它是內部控制目標體系的基礎目標。企業報告包括內部報告和外部報告，報告目標的提出更多地滿足了企業外部的需求。對于外部使用者來說，真實、可靠和完整的財務報告能夠公允地反映企業的財務狀況和經營成果，從而有利于信息使用者做出決策。當然，非財務信息的重要性也是不言而喻的?？煽康膱蟾婕葹楣芾韺犹峁┝诉m合其既定目的的準確和完整的信息，也是外部監管的要求。報告目標方面的關注點主要包括以下幾個部分。（1）管理層決策及對公司活動、業績監控的準確、及時、完整的信息的對內報告；（2）用于滿足

12、投資者、監管部門及其他相關信息需求者的真實、可靠、完整信息的對外報告；（3）信息的全面性，而不僅僅是財務信息。4、經營目標經營目標旨在有效和高效地使用企業有限的資源，提高經營的效率和效果，實現良好的運營。經營目標是企業實現其戰略目標的核心和關鍵所在，戰略目標與企業的使命相關聯，戰略目標只有通過分解和細化成經營目標才能得以落實。因此，沒有經營目標，戰略目標再好也無任何意義。經營目標需要反映特定企業自身及所處特定經濟環境的特點，全面考慮產品質量的競爭壓力、產品的生產周期和與技術變化相關的其他因素。一般來說，經營目標引導企業的資源流向，經營目標不成熟或不明確，會造成企業資源的浪費。通常情況下，良好的

13、內部控制能夠提高企業的經營效率和效果，提高單位時間產量，優化產品質量，從而提高企業的核心競爭力。管理層必須確保經營目標反映現實的市場需求，并且有明確的績效衡量指標。經營目標方面的關注點主要包括以下幾點。（1）經營目標與公司戰略目標及戰略計劃一致；（2）經營目標適應公司所處的特定經營環境、行業和經濟環境等（3）各個業務活動目標之間保持一致；（4）所有重要業務流程與業務活動目標相關；（5）適當的資源及有效配置；（6）管理層制定的公司經營目標及他們對目標的負責程度。5、戰略目標戰略目標是基于組織整體視角的最高層次目標，其他目標都應與戰略目標協調一致并服務于戰略目標。戰略目標與企業的目標緊密相關，并且

14、是支持企業目標實現的基礎。管理者為實現企業價值最大化這一根本目標，針對內外部環境，評估與目標實現相關的風險，根據風險偏好，做出一系列的反應和選擇。一個企業為實現其戰略目標，首要的任務是在分析內外部環境的基礎上制訂戰略，明確戰略目標；其次，對風險進行識別和評估，并在制訂相應風險應對措施的基礎上形成戰略規劃；最后，將戰略目標逐步分解成若干子目標，再將子目標層層分解至各個業務部門、行政部門和各生產過程。上述過程為企業實現其戰略目標提供了合理保證。戰略目標反映了管理層就主體如何努力為其利益相關者創造價值所做出的選擇，是最高層次的目標，與其使命相關并支撐其使命。戰略是實現企業目標的全面性、方向性的行動計

15、劃。企業在考慮實現戰略目標的各種方案時，必須考慮與各種戰略相伴的風險及其影響，對于同樣的戰略目標可以選擇不同的戰略加以實現，而不同的戰略則具有不同的風險。因此，企業在戰略選擇之前，有必要對當前的經營狀況進行評估，分析內、外部環境因素，明確公司在行業中所處的位置及面臨的機遇和挑戰，不斷審視當前的目標與使命。戰略目標方面的關注點主要包括以下幾點。（1）管理層對企業績效現狀進行的評估，是前期戰略進行監控的基礎，也是企業新戰略制訂的基礎（2）對內部和外部環境的監測分析；（3）戰略目標體系；（4）戰略選擇遵循了必要的流程，并獲得了充分地討論；（5）企業對目標實現與現有資源狀況之間的匹配程度進行的評估；（

16、6）設定戰略目標可接受程度；（7）就戰略目標與企業內部員工和外部相關利益集團之間進行溝通。（二）內部控制的原則企業建立內部控制應遵循一定的原則，沒有正確的原則指導，內部控制的設計就難免存在先天性不足的問題，其執行效率難免大打折扣。內部控制的基本原則是建立和實施各種內部控制應遵循的具有普遍性和指導性的法則和原則，它所要解決的問題是，為了實現內部控制的目標，基于內部控制的基本假設，根據內部控制的理論基礎，應當如何科學地設計和執行內部控制的問題。企業內部控制基本規范明確指出，企業建立與實施內部控制，應當遵循全面性、重要性、制衡性、適應性、成本效益五大原則。這五個原則形成一個整體，設計企業的內部控制應

17、做到統籌兼顧，不可偏廢。1、全面性原則全面性原則是指內部控制應該貫穿決策、執行和監督全過程，覆蓋企業及其所屬單位的各種業務和事項。全面性原則要求內部控制覆蓋全部業務活動和每項業務活動的全過程，在層次上應當涵蓋企業董事會、管理層和全體員工；在對象上應當覆蓋企業各項業務和管理活動；在流程上應當滲透到決策、執行、監督、反饋等各個環節，避免內部控制出現空白和漏洞。具體而言，全面性原則，首先要求企業進行全過程控制，即對整個經營管理活動過程進行全面、全方位、全時段的控制，其中包括企業管理部門用以授權與指導、進行購貨、生產等經營管理活動的各種方式方法，以及核算、審核、分析各種信息及進行報告的程序與步驟等。其

18、次，內部控制對全體員工都有約束力，企業應當進行全員控制。企業的每一位成員既是內控的主體，又是內控的客體，內部控制制度應保證每一位員工包括高層管理人員到基層執行操作人員都受到相應的控制。2、重要性原則重要性原則是指內部控制應當在全面控制的基礎上，關注重要業務事項和高風險領域。對重要業務經濟活動進行重點控制時，對一項經濟業務活動的關鍵環節實行重點控制。對關鍵控制點的選擇，應統籌考慮會影響整個企業經營運行過程的重要操作與事項以及其是否能在重大損失出現之前顯示差異，以便有利于對問題做出及時、靈敏的反應。例如，在設計與執行同存貨相關的內部控制制度時，可以借鑒存貨ABC管理方法，根據存貨數量占比和資金占比

19、，對其中的A類存貨進行重點控制。在理解上，應將全面性原則和重要性原則聯系起來，不能片面、分立地理解。重要性是在全面性基礎上的考慮，即重要業務事項一個都不能少。這是內部控制合理保證目標實現以及確定控制點的前提也是成本效益原則的體現。3、制衡性原則制衡性原則是指內部控制應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督，同時兼顧運營效率。內部控制的本質之一是制衡，制衡性原則是內部控制的一個靈魂性原則，是內部控制有效性的具體判斷標準。企業的機構、崗位設置和權責分配應當科學合理并且符合內部控制的基本要求，確保不同部門、崗位之間的權責分明和有利于相互制約、相互監督。履行內部控制監督

20、檢查職責的部門應當具有良好的獨立性。任何人不得凌駕于內部控制之上。制衡性原則要求人們在辦理具有固定風險的經濟業務事項，對涉及的不相容職務應該嚴格加以分離，不得由一個人或一個部門包辦到底。組織行為理論強調授權和權力制衡的重要性，因此通過科學合理地設置機構、崗位和分配權責，能夠實現權力的相互制衡，進而實現組織的各項目標。此外，不串通假設也為該原則地遵循奠定了基礎。因此，制衡性原則是建立內部控制應當遵循的又一個重要的基本原則。4、適應性原則適應性原則是指內部控制應當與企業經營規模、業務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調整。適應性原則是成本效益原則的保證。組織行為理論強調人們

21、應該重視環境的變化，“因地制宜”地設計、“因材施教”地執行內部控制。企業在性質、行業、規模、組織形式和內部管理體制及管理要求等方面存在差異，這構成了企業不同的特點以及同一行業在不同的發展階段表現出不同的特點。因此，企業應當根據各自的實際情況，恰當地設置適用的控制措施、手段及程序等，發揮應有的控制作用，滿足管理的需要。5、成本效益原則成本效益原則是指內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。企業是以追求經濟利益為目標的經濟組織，內部控制的設計和實施是需要成本的。企業應當在保證有效性的前提下，合理地權衡成本與效益的關系，爭取以合理的成本實現更為有效的控制。這一原則要求企業根據規

22、模大小及具體經營管理情況設計和執行內部控制制度，既要考慮到設計的經濟性，又要考慮到執行的效益性，避免重復控制，浪費人力、物力和財力；應盡量精簡機構和人員，減少過繁的程序和手續，提高工作效率；盡可能控制設計成本與執行成本，以達到最佳的控制效果。（三）內部控制的要素按照企業內部控制基本規范的規定，我國企業內部控制包括內部環境、風險評估、控制活動、信息與溝通、內部監督5要素。1、內部環境內部環境是企業實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。內部環境是影響、制約內部控制建立與執行的各種因素的總稱，是實施內部控制的基礎。2、風險評估風險評估是指企業及

23、時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。因此，風險評估主要包括目標制定、風險識別、風險分析和風險應對四個環節。風險評估是實施內部控制的重要依據。3、控制活動控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受的范圍之內。它是實施內部控制的具體手段。4、信息與溝通信息與溝通是指企業及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間的有效溝通和正確應用的過程。它是實施內部控制的重要組成部分。5、內部監督內部監督是指企業對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，一旦發現內部控制缺陷，應當及時加以改進

24、。它是實施內部控制的重要保證?？傊瑑炔靠刂频哪繕耸且粋€體系，按照COSO的觀點，每一個目標都要有相應的控制程序，從橫向的角度來看，所有的控制程序一定存在某些共性，抽出所有控制程序的共性并歸類就形成了內部控制的各個構成要素，即內部控制的要素結構。內部控制的重要性內部控制作為現代組織管理框架的重要組成部分，是一個組織持續發展的機制和重要保證?，F代組織理論和管理實踐表明，組織的一切管理工作，都要從建立與健全內部控制制度開始；組織的一切活動，都無法游離于內部控制之外。“得控則強，失控則弱，無控則亂”，內部控制的重要性主要體現在以下4個方面。（一）內部控制是實現企業發展戰略的基礎企業的發展不能是為現在

25、而發展，而應該是為未來而發展，必須要有一個長期的目標。企業的發展戰略是企業對全局的一種總體設想，是從宏觀的角度對企業的未來的一種較為理想的設定。它所提出的是企業整體發展的總任務和總要求，它所規定的是整體發展的根本方向。因此，人們所提出的企業發展戰略總是高度概括的，而且著眼于未來和長遠。一般認為，要實現企業長遠的發展戰略就要有健全有效的內部控制作為支撐。實踐證明，在我國經濟快速發展的背景下，只有建立和實施科學的內控體系，才能提升風險防范能力，實現企業可持續發展戰略。在西方，內部控制提出得較早，相關的法律法規也對此有了明確的要求。而在我國，具有強制性要求的內部控制基本規范形成較晚，許多企業并沒有自

26、發地認識到建設與執行內部控制的重要性，因此，在與國外企業交往的過程中，常常由于這方面的欠缺而遭到不公正的待遇。企業應該意識到，內部控制及其評價制度不只是為了滿足外部強制要求，而應該最終成為一種自發的行動。建設和完善內部控制體系是我國企業融入國際社會和健康、可持續發展的必由之路。（二）內部控制是提高企業經營管理效率的保證內部控制產生于組織管理的需要，存在于組織經營管理活動之中，是組織內部管理的重要組成部分，這就決定了內部控制的主體是組織的管理部門和具體執行各項控制措施的人員，企業內部控制劃分為內部管理控制與內部會計控制兩大類。內部管理控制制度是指那些對會計業務、記錄和報表的可靠性沒有直接影響的內

27、部控制。內部會計控制是指那些對會計業務、記錄和報表的可靠性有直接影響的內部控制，通過這種控制的建立，能維護財產物資的安全、完整，保證會計信息的真實、可靠，保證經營管理活動的經濟性、效率性和效果性，保證各項法律和規范的遵守。內部控制貫穿于企業經營管理活動的各個方面，只要企業存在經濟活動和經營管理，就需要建立、健全企業的內部控制并加強內部控制。（三）內部控制是提高企業信息質量的保證眾所周知，在信息化時代，信息足以決定一個企業的興衰存亡。首先，高質量的報告信息將為管理當局提供準確而完整的信息，用以支持管理當局的決策和對主體活動及業績的監控。同時，高質量的對外報告和披露有助于企業的外部投資者、債權人等

28、利益相關者以及監管當局做出正確的決策。有效的內部控制系統通過職務分離、崗位輪換、內部審計等控制方法及手段對企業信息的記錄和報告過程進行全面持續的監控，及時發現和糾正各種錯誤與舞弊，保證企業信息能夠真實完整地反映企業經營活動的實際情況。反思我國近年來的一系列財務舞弊案件，如紅光實業、銀廣夏、藍田股份等，其組織的內部控制失效負有不可推卸的責任。國內外證券市場的財務丑聞，使得廣大投資者蒙上厚重的心理陰影，要求規范上市公司財務報告的呼聲越來越高。有效的內部控制，對于重塑投資者的信心，維護資本市場的公平和透明，進而保護投資者利益與國家經濟安全意義重大。（四）內部控制是加強企業制度管理的根本現代企業制度是

29、指以市場經濟為基礎，以完善的企業法人制度為主體，以有限責任制度為核心，以公司企業為主要形式，以產權明晰、權責明確、政企分開、管理科學為條件的新型企業制度。企業是一系列“契約的聯結”，由于委托人不能直接觀測到代理人選擇了什么行動，委托人和代理人之間存在信息不對稱，具有機會主義傾向的管理當局會利用自己的信息優勢，發生偷懶、不當消費等行為，以犧牲委托人的利益為代價，使自己的利益最大化。因此，企業所有者需要監督代理人，防止代理關系下的信息不對稱，降低代理成本，實現公司治理目標，從而有助于最大限度地滿足企業所有者的權益。同時，通過不相容職務分離控制、授權審批控制、會計系統控制、資產安全控制、績效考評控制

30、等手段形成各司其職、各負其責、相互制約的工作機制，逐漸推動企業管理水平與會計信息質量的提升，提升經營的效率和效果。內部控制的局限性依據唯物辯證法的觀點，任何事物都不可能盡善盡美，內部控制也有其兩面性：一方面它對企業預期目標具有控制作用：另一方面也有他的不足和缺陷，存在固有的局限性。一般而言，內部控制的局限性表現在以下幾個方面。1、成本限制內部控制受到成本與效益原則的限制，內部控制系統所需求的保證水平有必要根據其成本而定。一般來說，控制程序的成本不能超過風險或錯誤可能造成的損失和浪費。否則，再好的控制措施和方法也將失去意義。由于存在資源稀缺問題，企業必須考慮建立控制的相應成本。般而言，用于衡量控

31、制成本與收益的標準不同?？刂瞥杀玖炕^為容易，控制效益量化則相當復雜，難免包括主觀的評估。在評估潛在收益時可以考慮以下特定因素：不理想情形發生的可能性、各項活動的特性、時間價值有可能對實體造成的潛在財務或經營影響。此外，成本效益決策的復雜性還在于當控制與管理或運營過程相結合，或“納入”管理或營運過程時，很難區分哪些是控制的成本與效益，哪些是管理或營運的成本與效益。同樣，若干項控制措施組合在一起，在很多時候，可用以防范或減輕某一特定的風險，但對具體單項的控制成本與效益則很難估計。另外，控制成本與效益的估計，也會因單位或業務性質的不同而有所側重。高風險活動明確要求進行成本收益分析，而低風險活動則可

32、以省略。2、人為失誤內部控制的設計會受到設計人員經驗和知識水平的限制，因而可能存在缺陷。同時，執行人員的粗心大意、精力分散、判斷失誤以及對指令的誤解等，也可能使內部控制系統失控或陷于雍疾。例如，經營決策必須在規定的時間內，根據所掌握的信息，在經營行為的壓力之下通過人為判斷來做出。根據事后的剖析，有些基于人為判斷的決策，并不能產生預期的效果，而且可能需要做出改變。3、串通舞弊兩人或多人的合謀活動可能導致內部控制的失效。從事犯罪或者試圖隱瞞某項行為的個人，通常會設法改變財務數據或其他管理信息，使其不能為內部控制系統所識別。例如，執行一項重要控制職能的員工可能會與客戶、供應商或其他員工串通。不同級別

33、的銷售人員或部門經理有可能合謀繞過控制，以使所報告的成果達到預算或激勵目標。因此，在實際工作中，如果處于不相容職務上的相關人員相互串通、相互勾結，失去了不相容職務之間相互制約的基本前提，內部控制也就很難發揮作用。4、濫用職權各種控制程序是管理工具，但任何控制程序都不能發現和防止那些負責執行監督控制的管理人員濫用職權或不當用權。管理權的干預直是導致許多重大舞弊發生和財務報告失真的一個重要原因。在某些情況下，對于擔任控制職能的人員越權管理、濫用職權，即使具有良好設計的內部控制，也不能發揮其應有的作用。內部控制作為企業管理的組成部分，理所當然地要按照管理人員的意圖運行，尤其是對企業負責人的決策更具有

34、決定性的作用。決策出了問題，貫徹決策人意圖的內部控制也就失去了其應有的控制作用。5、制度失效內部控制制度是針對制度制定時的經濟業務設計的，內部控制可能會因經營環境、業務性質的改變而削弱或失效，可能會對不正常的或未預料到的業務類型失去控制能力。企業處于經常變化的環境之中，為保持競爭力，勢必要經常調整經營策略，這就會導致原有的控制制度對新增的業務內容失去控制作用的情況發生。6、例外事件內部控制主要是圍繞著企業正常的生產經營活動，針對經常性的業務和事項進行的控制。但在現實企業中，由于復雜多變的外部環境使得企業常常會面對一些意外和偶發事件，而這些業務或事項由于其特殊性和非經常性，沒有現成的規章制度可循

35、，造成了內部控制的盲點。也就是說，內部控制的一個重大缺陷在于它不能應對例外事件。企業在處理這些事項時，往往更多地憑借管理層的知識和經驗以及對環境變化的感知度，這就是所謂的“例外管理原則”。控制的層級制度內部控制不是在真空中存在的，它涉及人員、政策和程序，是對組織自身的一種控制環境。內部控制是主觀的，因為它依賴于管理層認為控制有多重要，是否選擇有效的戰略，如何監督和實施控制。內部控制的每一個有意義的檢查都必須考慮環境。由管理層建立的內部環境會對一個組織的控制程序與技術的有效性產生重要的影響?？刂骗h境的形成會受到很多因素的制約。有些因素清晰可見，如正式的公司政策聲明或內部審計職能。有些因素是無形的

36、，如職業勝任能力和人員的誠實性。國際注冊內部控制師通用知識與技能指南把內部控制視為一個三級分類的控制層級制度。在層級制度的頂端是內部環境，即“公司治理”另外兩個層級控制措施的執行與效果。在內部環境控制之下是系統控制，最底層的是交易處理控制?？刂拼胧┑挠行允菑膬炔凯h境開始向下移動的。換句話說，如果環境控制是薄弱的，其他層級的控制將不會有效。例如，如果管理層不創建一個希望員工能保護數據安全性的環境，員工或許不關心保存密碼的重要性。在一個松散的內部環境控制中，個人可能把密碼標簽貼在計算機終端上。如果對系統的控制措施是薄弱的，交易處理的控制措施將同樣是薄弱的。有效地控制是董事會和組織中每個員工的責任

37、。管理層創建一個內部環境是很重要的，在這一環境中每個員工都認為控制是很重要的，并且成為控制的積極參與者，以確保那些需要控制的事項真正得到控制。執行管理層有責任創建有益于控制措施實施、監督控制和處罰違反控制行為的環境。在創建控制措施并確?？刂拼胧┑玫截瀼貓绦蟹矫?，管理層必須提出有效的內部環境控制的屬性和管理層的職責。董事會負有監督內部環境的責任，并強調解決違反控制的行為。董事會應當要求首席執行官提供內部環境的適當保證。所有重大的違反控制的行為和對這些行為采取的糾正行動都應當通知董事會。為了有助于實現這些控制職責，董事會任命獨立審計師和內部審計師幫助他們評價控制措施是否適當，并保證他們遵守控制措施

38、。中級管理層有責任對他們的職能領域建立控制目標。例如，信息技術部門可能設立一個控制目標，要求所有軟件在安裝進入系統之前，應接受單獨的測試；應收賬款管理部門可能設立一個目標，要求所有已開發票的物品，不管是款項已收訖還是需要催收，都應該在應收款項中予以適當地記錄。員工有責任執行和操作控制措施。在大多數的組織內，信息技術部門職員的工作涉及職能領域中的全體員工，這有助于信息技術部門確定所需要控制的程度。有效內部環境的屬性組織的董事會和執行管理層構建控制環境。不過需要說明的是沒有一個絕對正確的內部環境，但存在有效的內部環境屬性。這些屬性可以采用許多不同的方法得到執行。有些屬性是共同的，但是大部分屬性將根

39、據組織情況而選擇不同的實施方法。一個有效的內部環境的屬性主要包括以下內容。1、行為守則政策幾乎所有組織都承認制定行為守則政策的必要性。行為守則政策是指管理層對行為的定義，所有員工，包括執行管理層應當證實履行了他們的日常職責。2、企業的價值觀公司確定的愿景是組織目標的理想化表述。例如Alibaba的愿景為“旨在構建未來的商務生態系統。我們的愿景是讓客戶相會、工作和生活在阿里巴巴，并持續發展最少102年”。在實現愿景方面，公司需要建立其希望融合到操作程序中的價值觀。例如，阿里巴巴集團的6個價值觀對于我們如何經營業務、招攬人才、考核員工以及決定員工報酬等方面具有指導性作用，具體包括如下內容。（1）客

40、戶第一：客戶是衣食父母。（2）團隊合作：共享共擔，平凡人做非凡事。（3）擁抱變化：迎接變化，勇于創新。（4）誠信：誠實正直，言行坦蕩。（5）激情：樂觀向上，永不言棄。（6）敬業：專業執著，精益求精。這些價值觀需要被融合到執行工作和制定決策中去。例如阿里巴巴以客戶第一為目標，馬云在2014年赴美上市前向員工發布郵件，上市后仍堅持客戶第一，員工第二，股東第三的原則。3、首席執行官成為楷模組織的高級職員應當以言傳身教的方式教導所有員工遵守行為法則。對“首席執行官成為楷?！弊詈玫拿枋鍪鞘紫瘓绦泄俦仨殹把孕幸恢隆?。換句話說，如果首席執行官希望員工在公務旅行中遵守財務的限制性規定，例如，出差乘坐飛機的二等

41、艙，那么除非有一個可以不這樣做的商務理由，否則，首席執行官應當遵守規定。如果首席執行官希望公司中的每個員工根據內部控制的原則接受培訓，那么，首席執行官也應當參加此類培訓。如果首席執行官想要成為一個楷模他必須以自身的表現和態度告訴組織內所有員工應該怎么做。4、組織結構（職責分離）董事會和高級管理層必須設定組織的結構，并進行適當的職責分離，以便能以高效和便捷的方式完成組織的使命。盡管不存在應用于所有組織的“正確”組織結構，然而，在COSO內部控制整合框架中所包含的指南提供了被認為是好的組織結構的指引。該指南的描述如下：組織結構應當既不能太簡單，以至于無法適當地監督企業的活動，也不能太復雜，以至于禁

42、止必要的信息流。主管人員應當完全了解他們的控制責任，并且具有與他們職務相匹配的經驗和知識。有效組織的五個特征包括以下幾方面。（1）整個組織結構應當是有能力提供管理其活動所必需的信息流；（2）應當界定主要經理們的職責和他們對這些職責的理解；（3）報告關系是適當的；（4）應當根據變化的情況對組織結構做出修正；（5）在管理和監督能力方面，有足夠的熟練技工執行組織的各項活動。5、人員的勝任能力所有的內部控制都是針對“人”這一特殊要素而設立和實施的，再好的制度也必須有人去執行，可以說，人員的品行和素質是內部控制效果的一個決定性因素。因此，人的品行和能力是決定性的內部環境因素。另外，員工的品德與能力既是決

43、定性的內部環境因素，直接影響著內部控制其他要素的建設和運行；也是根本性的內部環境因素，影響著其他控制環境因素的優劣。企業沒有德才兼備的決策人員，就不可能制定出科學合理的發展戰略；沒有德才兼備的治理人員特別是獨立董事，治理層就不可能有效地履行對內部控制的治理、指導和監督職責；沒有德才兼備的管理人員特別是高級管理人員，管理層就不可能有合理的管理理念和經營風格。在企業的各類人員中，董事和高級管理人員的品德和能力格外重要，它不僅直接影響治理層對內部控制監督與指導職責的履行，管理層對企業經營管理“基調”的設定，而且影響到他們對其他員工的招聘、任用、考核，從而影響其他員工的品德與能力。員工的品德是企業的重

44、要資源。COSO（1992）框架認為“經營良好的企業的管理人員已越來越接受道德是值得的的觀點一道德行為是一項很好的業務”。員工品德影響著內部控制其他構成要素的設計、執行和監控?！皟炔靠刂频挠行圆豢赡苊撾x建立、執行和監控它們的人員的誠信和道德價值觀?！?、其他方面很多因素都會影響內部環境有效性，除了行為守則政策、企業的價值觀、首席執行官成為楷模等屬性之外，還包括職責與權力的特別委派和溝通、一般授權與責任制、內部審計、資產保護和規定的流程等。企業風險管理框架：內部環境的成熟COSO的企業風險管理一一整體框架用“內部環境”代替了“控制環境”，提出內部環境包含組織的基調、營銷組織中人員的風險意識，是

45、企業風險管理所有其他構成要素的基礎，為其他要素提供約束和結構；它影響著戰略和目標如何制定、經營活動如何組織以及如何識別、評估風險并采取行動；它還影響著控制活動、信息與溝通體系和監控措施的設計與運行。由風險管理理念、風險文化、董事會、操守和價值觀、對勝任能力的承諾、管理方法和經營模式、風險偏好組織結構、職責和權限分配、人力資源政策和實務9大因素構成。與COSO92內部環境構成因素相比，COSO04雖然僅增加了兩個因素、微調了因素排列順序、修正了部分因素的措辭，但內部環境內涵卻發生了深刻變化。第一，突出“企業”的重要性。內部環境建設是企業自己的事，是企業內部積極的需求，而非外部強加的壓力，強調企業

46、首先應有“風險管理理念”，并將這種理念傳導、灌輸給全體員工，形成“風險文化”，這是對COSO92內部環境思想的重大突破；第二，突出“風險”的重要性。強調風險管理理念、風險文化、風險偏好（風險承受度），將上述內容用于制定戰略之中，并貫穿于整個企業；第三，突出“管理”的重要性。實現從控制到管理的轉變，引入戰略觀念，同時提升了董事會在戰略決策中的地位和作用。在措辭方面，相對于COSO92，將“誠信與道德”改為“操守和價值觀”，將“素質要求”改為“對勝任能力的承諾”，更為恰當、準確地把握了企業文化是內部環境構成因素的精髓；將“管理哲學與經營風格”改為“管理方法和經營模式”，更為具體且切合企業管理實際，

47、即對管理層的要求不僅是空洞的哲學與風格，更要擁有具體的方法與模式；“組織結構”改為“風險偏好組織結構”，合理解釋了每個企業組織結構的不同是受風險偏好影響的緣由。我國的借鑒與創新2008年，財政部、證監會、審計署、銀監會、保監會聯合發布了企業內部控制基本規范?；疽幏秴⒄諊H良好實踐，結合我國企業具體情況對內部環境做了規定。內部環境是企業實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。總體來說，基本規范借鑒了SASNO.55的表述方式，同時融入COSO92的先進理念。我國企業市場化發展起步較晚，內部控制成熟度較低，內部環境整體還處于低層次。在內部環境

48、構成因素中，需要健全治理結構、完善機構設置。治理結構作為我國企業內部環境的首要因素是長期、正確的戰略考慮，完善治理結構是上市公司的迫切任務，也是現階段相關部門監管的重點。為強化內部監督，針對我國企業內部審計弱化、形同虛設的特點，參照美國早期的做法，基本規范將內部審計作為內部環境構成因素，要求企業保持內部審計在機構設置、人員和工作上的獨立性。在企業成長、發展過程中，企業文化是必不可少的重要環境因素。從中西方內部環境影響因素排列順序來看，COSO兩個報告都將文化因素排在前列，我國卻將其排在最后。權衡制度管理與人本管理的關系，在沒有良好制度的前提下，文化作為環境因素是相當脆弱的。我們認為，西方的人本

49、管理是其制度管理的回歸，在我國，制度管理是根本，人本管理是補充，我國企業需要補制度管理的課。但是，基本規范中相關因素的表述尚未達到西方良好實踐的高度，如在管理哲學（方法）和經營風格（模式）方面未做基本概念的約定；權責分配因素采用權在前、責在后的中國式表述方式，不符合國際先進理念，按照COSO報告“目標責任權力”的思路，首先明確部門、人員目標，目標如果不能實現應承擔責任，為避免風險的發生（責任的承擔）才賦予一定的權力，保持責權對等；在人力資源方面只強調“政策”制定，不強調政策的“執行（或實務）”。事實上，人力資源建設關鍵在于執行。決策機制（一）決策機制的概念決策機制是通過建立和實施公司內部監督和

50、激勵機制，來促使經營者努力經營、科學決策，從而實現委托人預期收益最大化。公司內部決策機制要能夠實施，信息充分是必要前提；優化決策方案是關鍵；決策民主化是科學決策的保障。公司治理結構由股東大會、董事會、監事會和經理層構成。決策機制解決的就是，公司權力在上述機構中如何能夠科學、合理地分配。決策機制是公司治理機制的核心。因此，為了便于決策者更好地行使指揮權，在企業中必須建立完善的決策系統，包括決策支持系統、決策咨詢系統、決策評價系統、決策監督及決策反饋系統。只有完善以上五個系統，才能使決策機制趨于完善。（二）公司內部決策機制設計原理決策活動分工與層級式決策是公司內部決策機制設計的原理。在決策產生的模

51、式中。一種是英雄式領導的個人決策，一種是決策委員會式的集體決策。一人制的老板決策通常比較常見，公司擁有一個英雄式的超能干的老板，老板既是決策人又是執行人，在決策上往往憑一己之力，經常會做出拍腦袋的決策，而不是經過充分論證的。當然一個人根據自己的經驗和直覺拍腦袋決策并不總是無效，任何決策都不是百分之百的精準，所以憑個人的拍腦袋決策也有撞上大運的時候，但這明顯增大了決策的風險，整個組織的行動方向寄托在一個人的拍腦袋上，這是非常危險的。畢竟一個人的知識和經驗是有限的，尤其在涉及到多學科復雜性問題時人是很難完成的。所以決策層面上如何建構成一個更有知識，更聰明的全能型“頭腦”至關重要，這就需要多個頭腦的

52、“集成”來實現。整合更多的不同專業背景的頭腦形成專業化分工，再整合集成形成一個超能的遠大于個人的頭腦。層級式決策機制是指在一個決策者的轄區內，決策權的層級分配和層級行使。其優點在于：第一，可以發揮集體決策的優勢以彌補個人決策的不足；第二，組織內部的分工與協調使交易費用大大降低從而形成對市場交易的替代。其缺點：一是由于信息的縱向傳輸和整理，容易給最高決策者的決策帶來失誤：二是這種決策機制是一種自上而下的行政性領導過程，所以難免出現各層級決策的動力不足，以及由此而產生的偷懶和“搭便車”行為。（三）公司內部決策機制的主要內容1、股東大會的決策（1）股東大會決策權的基本內容。股東大會是公司的最高權力機

53、關，擁有選擇經營者、重大經營管理和資產受益等終極的決策權。從多數國家的公司立法規定來看，股東年會的決策權主要內容為：決定股息分配方案；批準公司年度報告、資產負債表、損益表以及其他會計報表；決定公司重要的人事任免；增減公司的資本；修改公司章程；討論并通過公司股東提出的各種決議草案。（2）股東大會的決策程序。股東大會行使決策權是通過不同種類和類別的股東大會來實現的。一般地說，股東大會主要分為普通年會和特別會議兩類。此外，根據公司發行股票類別的不同，存在類別股東大會。（3）股東大會的決策方式。股東大會的決策是以投票表決的方式來實現的，表決的基礎是按資分配，所有投票者一律平等，每股一票。具體的表決方式

54、有直接投票、累積投票、分類投票、偶爾投票和不按比例投票五種。2、董事會的決策（1）董事會決策權的基本內容。在股東大會閉會期間，董事會是公司的最高決策機關，是公司的法定代表。除了股東大會擁有或授予其他機構擁有的權力以外，公司的一切權力由董事會行使或授權行使。董事會的重大決策權，不同國家的立法有一些區別，但主要的或者類似的決策權包括：制訂公司的經營目標、重大方針和管理原則；挑選、聘任和監督經理層人員，并決定高級經理人員的報酬與獎懲；提出盈利分配方案供股東大會審議；通過、修改和撤銷公司內部規章制度；決定公司財務原則和資金的周轉；決定公司的產品和服務價格、工資、勞資關系；代表公司簽訂各種合同；決定公司

55、的整個福利待遇；召集股東大會。（2）董事會的決策程序。董事會的決策權是以召開董事會并形成會議決議的方式來行使的。如果董事會決議與股東大會的決議發生沖突，應以股東大會決議為準，股東大會有權否決董事會決議，甚至改造董事會。董事會會議又分為普通會議和特殊會議。參加董事會會議的人數必須符合法定人數要求，只要由出席會議的董事法定人數中的多數通過的決議，就應當視為整個董事會的決議，但是公司章程中有特別規定的除外。（3）董事會的決策方式。董事會會議決議是以投票表決的方式做出的，表決采取每人一票的方式，在投票時萬一出現僵局，董事長往往有權行使裁決權，即投決定性的一票。對于公司治理的決策機制，從另一方面說，公司

56、決策是一個從分歧、磋商、妥協到形成統一認識的過程。除了上述決策權的分配外，按照程序來決策是所有層面決策有序進行的前提和先決條件，決策程序一般可以分為決策準備、決策方案的產生、決策方案的討論和最終決定（形成決議）4個相互銜接的階段。監督機制（一）監督機制的概念監督機制是指公司的利益相關者針對公司經營者的經營成果、經營行為或決策所進行的一系列客觀而及時的審核、監察與督導的行動。公司內部權力的分立與制衡原理是設計和安排公司內部監督機制的一般原理。公司內部的監督機制包括股東大會和董事會對經理人員的監督和制約，也包括它們之間權力的相互制衡與監督。（二）公司內部監督機制的設計原理現代公司作為所有權與控制權

57、分離的典型企業組織形式，其最大特點就是公司財產的原始所有者遠離對公司經營者的控制。為了保護所有者的利益，現代公司以法律的形式確立了一套權力分立與制衡的法人治理結構，這種權力的相互制衡實際上是權力的相互監督。公司內部權力的分立、監督與制衡原理主要應當包括以下幾個方面。首先，由于所有權與控制權的分離，作為財產的最終所有者的股東不能直接從事公司經營管理。股東遠離公司的直接治理而又不能不關心公司經營績效，作為出資者表達其意志的公司權力機關一股東大會的成立旨在對公司管理層進行約束與監督，確保股東利益。其次，股東大會在保留重大方針政策決策權的同時，將其他決策權交由股東大會選舉產生的董事組成的董事會行使，這

58、樣公司治理權力出現第一次分工。董事會在公司治理結構中權力巨大，對內是決策者和指揮者，對外是公司的代表和權力象征。當董事會將公司具體經營業務和行政管理交其聘任的經理人員負責時，董事會作為經營者的權力出現了分離，公司權力出現了第二次分工。董事會為了保證其決策的貫徹，必然對經理人員進行約束與監督（包括罷免經理人員），防止其行為損害和偏離公司的經營方向。最后，盡管董事會擁有任免經理層的權力，但經理層的權力一旦形成，可能會事實上控制董事會甚至任命自己為董事長或CEO。此外，還可能存在董事與經理人員合謀的道德風險問題。因此有些公司成立了出資者代表的專職監督機關一監事會，以便對公司董事會和經理層進行全面的、

59、獨立的和強有力的監督。（三）公司內部監督機制的主要內容1、股東與股東大會的監督機制（1）股東的監督。股東的監督表現為“用手投票”和“用腳投票”兩種形式。用手投票，即在股東大會上通過投票否決董事會的提案或其他決議案，或者通過決議替換不稱職的或者對現有虧損承擔責任的董事會成員，從而促使經理層人員的更換。用腳投票，即在預期收益下降時，通過股票市場或其他方式拋售或者轉讓股票。股東的監督具有明顯的局限性：一方面，股東的極端分散性使得眾多中小股東的個人投票微不足道，任憑大股東操縱董事會；另一方面，由于眾多小股東從證券市場獲取信息成本高昂，他們往往對公司經營及財務報告不夠關心，“用腳投票”時往往帶有很大的盲

60、目性。（2）股東大會的監督。股東大會是公司的最高權力機構，股東大會的監督是公司最高權力機構的監督，理論上說具有最高的權威性和最大的約束性。但是，股東大會不是常設機關，其監督權的行使往往交給專事監督職能的監事會或者部分地交給董事會，僅保留對公司經營結果的審查權和決定權。具體地說，股東大會對公司經營活動及董事、經理的監督表現為：選舉和罷免公司的董事和監事；對玩忽職守、未能盡到受托責任的董事提起訴訟；對公司董事會經理人員的經營活動及有關的賬目文件具有閱覽權，以了解和監督公司的經營，此即知情權和監察權；通過公司的監事會對董事會和經理層進行監督。2、董事會的監督機制董事會和股東大會在職權上的關系，實際上