1、泓域/減速器公司治理減速器公司治理xx有限公司目錄 TOC o 1-3 h z u HYPERLINK l _Toc112164933 一、 公司簡介 PAGEREF _Toc112164933 h 4 HYPERLINK l _Toc112164934 二、 信息與溝通的概念 PAGEREF _Toc112164934 h 5 HYPERLINK l _Toc112164935 三、 信息的含義與分類 PAGEREF _Toc112164935 h 6 HYPERLINK l _Toc112164936 四、 溝通控制 PAGEREF _Toc112164936 h 8 HYPERLINK

2、l _Toc112164937 五、 信息控制 PAGEREF _Toc112164937 h 11 HYPERLINK l _Toc112164938 六、 發展戰略 PAGEREF _Toc112164938 h 21 HYPERLINK l _Toc112164939 七、 組織架構 PAGEREF _Toc112164939 h 26 HYPERLINK l _Toc112164940 八、 SASNO.55：內部環境的形成 PAGEREF _Toc112164940 h 32 HYPERLINK l _Toc112164941 九、 企業風險管理框架：內部環境的成熟 PAGEREF

3、_Toc112164941 h 32 HYPERLINK l _Toc112164942 十、 評價控制缺陷與報告 PAGEREF _Toc112164942 h 34 HYPERLINK l _Toc112164943 十一、 審計范圍與審計目標 PAGEREF _Toc112164943 h 38 HYPERLINK l _Toc112164944 十二、 內部監督比較 PAGEREF _Toc112164944 h 40 HYPERLINK l _Toc112164945 十三、 內部監督的內容 PAGEREF _Toc112164945 h 41 HYPERLINK l _Toc112

4、164946 十四、 內部控制缺陷的認定 PAGEREF _Toc112164946 h 48 HYPERLINK l _Toc112164947 十五、 內部控制評價工作底稿與報告 PAGEREF _Toc112164947 h 49 HYPERLINK l _Toc112164948 十六、 項目基本情況 PAGEREF _Toc112164948 h 51 HYPERLINK l _Toc112164949 十七、 法人治理 PAGEREF _Toc112164949 h 53 HYPERLINK l _Toc112164950 十八、 項目風險分析 PAGEREF _Toc112164

5、950 h 65 HYPERLINK l _Toc112164951 十九、 項目風險對策 PAGEREF _Toc112164951 h 67 HYPERLINK l _Toc112164952 發展規劃 PAGEREF _Toc112164952 h 68 HYPERLINK l _Toc112164953 （一）公司發展規劃 PAGEREF _Toc112164953 h 68 HYPERLINK l _Toc112164954 1、公司未來發展戰略 PAGEREF _Toc112164954 h 68 HYPERLINK l _Toc112164955 公司秉承“不斷超越、追求完美、誠

6、信為本、創新為魂”的經營理念，貫徹“安全、現代、可靠、穩定”的核心價值觀，為客戶提供高性能、高品質、高技術含量的產品和服務，致力于發展成為行業內領先的供應商。 PAGEREF _Toc112164955 h 68公司簡介（一）公司基本信息1、公司名稱：xx有限公司2、法定代表人：石xx3、注冊資本：1240萬元4、統一社會信用代碼：xxxxxxxxxxxxx5、登記機關：xxx市場監督管理局6、成立日期：2012-7-137、營業期限：2012-7-13至無固定期限8、注冊地址：xx市xx區xx（二）公司簡介經過多年的發展，公司擁有雄厚的技術實力，豐富的生產經營管理經驗和可靠的產品質量保證體系

7、，綜合實力進一步增強。公司將繼續提升供應鏈構建與管理、新技術新工藝新材料應用研發。集團成立至今，始終堅持以人為本、質量第一、自主創新、持續改進，以技術領先求發展的方針。公司以負責任的方式為消費者提供符合法律規定與標準要求的產品。在提供產品的過程中，綜合考慮其對消費者的影響，確保產品安全。積極與消費者溝通，向消費者公開產品安全風險評估結果，努力維護消費者合法權益。公司加大科技創新力度，持續推進產品升級，為行業提供先進適用的解決方案，為社會提供安全、可靠、優質的產品和服務。信息與溝通的概念企業內部控制基本規范第三十八條指出：企業應當建立信息與溝通制度，明確企業內部控制相關信息的收集、處理和傳遞程序

8、，確保信息及時溝通，促進內部控制有效運行。信息與溝通，包括辨別取得適當的信息并加以有效溝通兩個部分內容。美國COSO委員會的內部控制一整體框架要求企業以一定的形式、在一定的時間范圍內識別、獲取和溝通相關信息以使企業內部各層次員工能夠順利履行其職責。信息與溝通是指企業能夠準確、及時并最大限度地獲取和運用來自企業內外部與本企業生產經營活動有關的政策、法律、技術、市場等各方面的信息，并使信息在企業內部進行有效的傳遞，為企業管理者的各種決策提供強有力的支持。作為內部控制基本要素之一的信息與溝通，在內部控制中發揮著不可替代的作用，為內部控制的其他要素有效發揮作用提供了信息支撐，也為企業整個內部控制的有效

9、運行提供了信息支持。要準確理解信息溝通的含義，需要注意以下幾點：第一，信息與溝通首先是信息的傳遞，如果信息沒有被傳遞，信息溝通就沒有發生，信息是溝通的對象和內容，而溝通是信息傳遞的手段；第二，成功的信息與溝通，不僅需要信息被傳遞，還需要被理解；第三，信息與溝通的主體是人，即信息與溝通主要發生在人與人之間；第四，由于管理過程中各種信息相互關聯、交錯，所以管理者把各種信息溝通過程看成是一個整體，即管理信息系統。由于所收集的各種信息來自不同的渠道和信息源，屬于零散的、非系統的，企業必須對所收集的各種內部和外部信息進行必要的篩選、整理和加工以提供給有關方面。為了提高內部控制的有效性，企業應當將相關信息

10、在企業內部各管理級次、責任單位、業務環節之間進行內部傳遞。企業應當建立良好的外部溝通渠道，加強與外部投資者、客戶、供應商、中介機構和監管部門等有關方面之間的溝通和反饋。信息的含義與分類（一）信息的含義信息是指來源于企業內部或外部，與企業經營相關的各種信息，包括獲取的行業、經濟，以及內部生產經營管理、財務等方面的信息。企業內部控制基本規范要求通過信息系統識別、獲取、處理和報告信息為管理和控制經營活動提供信息支持。信息系統可以是手工信息系統，也可以是利用現代信息技術的信息系統，還可以是手工和信息技術相合的信息系統；可以是正式的信息系統，也可以是非正式的信息系統。信息系統處理的對象既包括企業經營活動

11、等內部生成的信息，也包括與經營活動相關的外部事項、活動和環境等外部信息。信息系統一方面需要定期獲取和報告經營活動各方面的信息，包括產品的生產和銷售方面的信息；另一方面需要采取措施獲取市場變化對產品和勞務等需求方面的信息。信息系統不僅要識別和獲取所需的財務信息和非財務信息，而且還必須在一定的時間內，以有助于企業控制其經營活動的方式處理和報告信息。信息系統應根據所面臨的市場變化、競爭對手的創新以及客戶需求的重大變化進行調整，以支持企業實現其經營和戰略目標，并要求企業將信息系統的規劃、設計和執行與企業的整體戰略進行整合。信息系統作為經營活動不可分割的組成部分，通過獲取決策所需要的信息來實施控制。對信

12、息系統與經營目標進行整合跟蹤和記錄交易，將企業的各項經營活動包含于整合的系統之中，有助于對經營活動實施控制。企業信息系統中信息技術的使用應當有助于企業經營目標的實現而不在于使用的是否為最先進的信息技術。信息系統所提供的信息內容應適當、及時、準確，并且信息必須是當前最新和可以獲取的。由于信息的質量直接影響企業管理當局在管理和控制中的決策，信息系統本身成為內部控制體系的一個組成部分，必須對其進行控制。另外，由于信息系統在內部控制中的重要性，其本身又是內部控制的對象，企業應當加強對信息系統的開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制保證信息系統安全、穩定地運行。（二

13、）信息的分類按照信息的來源不同，分為內部信息和外部信息。內部信息是指企業的各種業務報表和分析報告，有關生產方面、技術方面的資料以及經營管理部門制訂的計劃、經營決策等方面的情況。內部信息主要包括財務信息、生產經營信息、銷售信息、技術創新信息、綜合管理信息等。外部信息是指從企業外部所獲取的信息。外部信息主要包括國家法律法規，相關監管機構信息，經濟形勢信息，客戶、供應商信息，科技進步和社會文化信息等。溝通控制在一個組織中，溝通是指組織內部以及組織和外部組織間旨在完成組織目標而進行的信息交換。溝通交換了有意義、有價值的各種信息，從而使團隊合作、組織協調、企業戰略制定等企業組織功能得以實現。可以看出，溝

14、通的對象并不局限于管理者與被管理者之間，員工與員工、員工與管理層、管理層與管理層之間需要溝通，企業內部與外部也需要溝通。溝通是信息系統所固有的功能，信息系統必須將其信息提供給相關人員，以使其能夠合理地履行相關的職責。信息應在更為廣泛的范圍內自上而下、自下而上地在整個企業內外進行溝通。信息溝通按溝通的對象可以分為內部信息溝通和外部信息溝通。內部信息溝通指的是企業經營、管理所需的內部信息、外部信息在企業內部的傳遞和共享外部信息溝通是指企業與利益相關者之間信息的溝通。（一）內部信息溝通一個健康的企業需要長期保持系統上下開放式的溝通交流。開放式溝通能夠避免和消除誤解，并使信息得到最好的利用。一個企業或

15、組織要協調全體員工實現某項目標，必須使每個員工都明確其目標，這就需要某種形式的溝通。缺乏溝通，其員工將如一盤散沙，因為所有的協調活動都是在一定形式的溝通下進行的，缺乏有效的交流、溝通，就無法協調。通過組織內部的溝通，可以了解各部門的生產或工作進度、各部門之間的關系、各部門員工的士氣以及管理的效能等，從而做出如何協調的決定。充分的內部溝通對于企業控制環境、控制作業、風險評估等各方面都起著至關重要的作用，企業所采取的溝通方式要能夠達到順暢溝通的目的，使員工們了解自己應承擔的責任、應實現的目標以及這些目標對企業的影響。有效的信息溝通需要合理考慮來自不同部門和崗位、不同渠道的相關信息，并進行合理篩選和

16、相互核對。企業應當采取互聯網、電子郵件、電話傳真、信息快報、例行會議、專項報告、調查研究、員工手冊、教育培訓、內部刊物等多種方式，實現所需的內部信息和外部信息在企業內部準確及時地傳遞和共享，從而確保董事會、管理層和員工之間的有效溝通。（二）外部信息溝通企業有責任建立良好的外部溝通渠道，對外部有關方面的建議、投訴和收到的其他信息進行記錄，并及時予以處理、反饋。有效的外部溝通既可以擴大企業的影響力，還可以獲得很多有效內部控制的重要信息。外部溝通應當重點關注以下方面。1、與投資者和債權人的溝通企業應當根據中華人民共和國公司法中華人民共和國證券法等法律法規、企業規章的規定，通過股東大會、投資者會議、定

17、向信息報告等方式，及時向投資者和債權人報告企業的戰略規劃、經營方針、投融資計劃、年度預算、經營成果、財務狀況、利潤分配方案以及重大擔保、合并分立、資產重組等方面的信息，聽取投資者和債權人的意見和要求，妥善處理企業與投資者和債權人之間的關系。2、與客戶的溝通企業可以通過客戶座談會、走訪客戶等多種形式，定期聽取客戶對消費偏好、銷售策略、產品質量、售后服務、貨款結算等方面的意見和建議，收集客戶需求和客戶的意見，妥善解決可能存在的控制不當問題。3、與供應商的溝通企業可以通過供需見面會、訂貨會、業務洽談會等多種形式與供應商就供貨渠道、產品質量、技術性能、交易價格、信用政策等問題進行溝通，及時發現可能存在

18、的控制不當問題。4、與監管機構的溝通企業應當及時向監管機構了解監管政策和監管要求及其變化，并相應完善自身的管理制度；同時，認真了解自身存在的問題，積極反映訴求和建議，努力加強與監管機構的協調。5、與外部審計師的溝通企業應當定期與外部審計師進行會語，聽取外部審計師有關財務報表審計、內部控制等方面的建議，以保證內部控制的有效運行以及雙方工作的協調。信息控制（一）信息的收集與整理企業內部控制基本規范第三十九條規定：企業應當對收集的各種內部信息和外部信息進行合理篩選、核對、整合，以提高信息的有用性。1、信息收集的含義信息收集是指通過各種方式獲取所需要的信息。信息的收集是信息得以利用、傳遞的第一步，也是

19、關鍵的一步。信息收集工作的好壞，直接關系到信息與溝通的質量。信息可以分為原始信息和加工信息兩大類，原始信息是指在企業管理中直接產生或獲取的數據、概念、知識、經驗及其總結，是未經加工的信息；加工信息則是對原始信息經過加工、分析、改編和重組而形成的具有新形式、新內容的信息。根據企業內部控制基本規范第三十九條的規定，企業可以通過財務會計資料、經營管理資料、調研報告、專項信息、內部刊物、辦公網絡等渠道，獲取內部信息；外部信息的收集渠道主要有行業協會組織、社會中介機構、業務往來單位、市場調查、來信來訪、網絡媒體以及有關監管部門等。2、信息收集的原則為了保證信息收集的質量，應堅持以下原則。（1）準確性原則

20、。該原則要求所收集到的信息要真實可靠。當然，這個原則是信息收集工作最基本的要求。為達到這樣的要求，信息收集者就必須對收集到的信息反復核實、不斷檢驗，力求把誤差減少到最低限度。（2）全面性原則。該原則要求所收集到的信息要廣泛、全面完整。只有廣泛、全面地收集信息，才能完整地反映管理活動和決策對象發展的全貌，為決策的科學性提供保障。當然，實際所收集到的信息不可能做到絕對的全面完整，因此，如何在不完整、不完備的信息下做出科學的決策就是一個非常值得探討的問題。（3）時效性原則。信息的利用價值取決于該信息是否能及時地提供，即信息的時效性。信息只有及時、迅速地提供給它的使用者才能有效地發揮作用。特別是決策對

21、信息的要求是“事前”的消息和情報，而不是“馬后炮”。所以，只有信息是“事前”的，對決策才是有效的。3、信息收集的范圍信息收集的范圍可從3個角度來劃分。（1）內容范圍。內容范圍是指根據信息內容與信息收集目標和需求相關性特征所確定的范圍，包括本身內容范圍和環境內容范圍。本身內容范圍是由事物本身信息相關內容特征組成的范圍；環境內容范圍是由事物周邊、與事物相關的信息的內容特征組成的范圍。（2）時間范圍。時間范圍是指在信息發生的時間上，根據與信息收集目標和需求具有一定相關性的特征所確定的范圍，這是由信息的歷史性和時效性所決定的。（3）地域范圍。地域范圍是指在信息發生的地點上，根據與信息收集目標和需求具有

22、一定相關性的特征所確定的范圍。這是由信息的地域分布特征和信息收集的相關性要求所決定的。4、信息收集的方法（1）調查法。調查法一般分為普查和抽樣調查兩大類。普查是調查有限總體中每個個體的有關指標值。抽樣調查是按照一定的科學原理和方法，從事物的總體中抽取部分稱為樣本的個體進行調查，用所得到的調查數據推斷總體。抽樣調查是較常用的調查方法，也是統計學研究的主要內容。抽樣調查的關鍵是樣本抽樣方法、樣本量大小的確定等。樣本抽樣方法，又稱抽樣組織的方式，決定樣本集合的選擇方式，直接影響信息收集的質量。抽樣方法一般分為非隨機抽樣、隨機抽樣和綜合抽樣。常用的調查方法主要有訪問調查法、問卷調查法、觀察調查法、實驗

23、調查法、文案調查法等，這里主要介紹訪問調查法和問卷調查法。訪問調查法又稱采訪法，是通過訪問信息收集對象，與之直接交談而獲得有關信息的方法。它又分為座談采訪、會議采訪以及電話采訪和信函采訪等方式。采訪需要做好充分準備，認真選擇調查對象了解調查對象，收集有關業務資料和相關的背景資料。其主要優點是可以就問題進行深入的討論，獲得高質量的信息；缺點是費用高，采訪對象不可能很多，因此受訪問者要具有代表性。它對采訪者的語言交際素質要求較高。問卷調查法是一種包含統計調查和定量分析的信息收集方法。這種方法主要考慮的問題是：所收集信息的內容范圍和數量，所選定的調查對象的代表性和數量，問卷的精心設計，問卷的回收率控

24、制等。其具有調查面廣、費用低的特點，但對調查對象無法控制，問卷回收率一般都不高，回答的質量也較差，受訪者的態度具有決定性影響。（2）觀察法。觀察法主要通過開會、深入現場、參加生產和經營、實地采樣等方法進行現場觀察并準確記錄（包括測繪、錄音、錄像、拍照、筆錄等）調研情況、收集信息。主要包括兩個方面：一是對人的行為的觀察，二是對客觀事物的觀察。觀察法應用很廣泛，常與詢問法、實物搜集結合使用，以提高所收集信息的可靠性。（3）實驗方法。實驗方法能通過實驗過程獲取其他手段難以獲得的信息或結論。實驗者通過主動控制實驗條件，包括對參與者類型的恰當限定、對信息產生條件的恰當限定和對信息產生過程的合理設計，可以

25、獲得在真實狀況下用調查法或觀察法無法獲得的、某些重要的、能客觀反映事物運動表征的有效信息，還可以在一定程度上直接觀察、研究某些參量之間的相互關系，有利于對事物本質的研究。實驗方法也有多種形式，如實驗室實驗、現場實驗、計算機模擬實驗、計算機網絡環境下人機結合實驗等。現代管理科學中新興的管理實驗、現代經濟學中正在形成的實驗經濟學中的經濟實驗，實質上就是通過實驗獲取與管理或經濟相關的信息。（4）文獻檢索。文獻檢索就是從浩繁的文獻中檢索出所需的信息的過程。文獻檢索分為手工檢索和計算機檢索。手工檢索主要是通過信息服務部門收集和建立的文獻目錄、索引、文摘、參考指南和文獻綜述等來查找有關的文獻信息。計算機文

26、獻檢索，是文獻檢索的計算機實現，其特點是檢索速度快、信息量大，是當前收集文獻信息的主要方法。文獻檢索過程一般包括分析研究課題和制定檢索策略、利用檢索工具查找文獻線索、根據文獻出處索取原始文獻三個階段。文獻根據加工深度的不同可分為四個級別：零次文獻、一次文獻、二次文獻和三次文獻，所獲取的相應信息分別是零次信息、一次信息、二次信息和三次信息。零次文獻是指未經出版社發行的或未進入社會交流的最原始的文獻，如私人筆記、考察筆記等，內容新穎，但不成熟，因不公開交流而難以獲得；一次文獻是以作者本人取得的成果為依據而創作的論文、報告等經公開發表或出版的各種文獻，如期刊論文、科技報告等，其特點是內容新穎豐富、敘

27、述詳盡以及參考價值大，但數量龐大而且分散；二次文獻是指報道和查找一次文獻的檢索工具書刊，如各種目錄、題錄、文摘和索引等。二次文獻是按照特定目的對一定范圍和學科領域內的一次文獻進行鑒別、篩選、分析、歸納和加工整理后，使之有序化后出版的。其主要功能是檢索、控制一次文獻，幫助人們較快地獲取所需的信息，具有匯集性、工具性、綜合性和交流性等特點：三次文獻是根據二次文獻提供的線索選用大量的一次文獻的內容，經過篩選、分析、綜合和濃縮而再度出版的文獻，包括專題評述、年鑒、百科全書、詞典、導讀與文獻服務目錄、工具書目錄等。（5）網絡信息收集。網絡信息是指通過計算機網絡發布、傳遞和存儲的各種信息。收集網絡信息的最

28、終目標是給廣大用戶提供網絡信息資源服務，整個過程經過網絡信息搜索、整合、保存和服務四個步驟，網絡信息搜索是基于網絡信息收集系統自動完成的。網絡信息搜索系統首先按照用戶指定的信息需求或主題，調用各種搜索引擎進行網頁搜索和數據挖掘，將搜索的信息經過濾等處理過程別除無關信息，從而完成網絡信息資源的“收集”；然后通過計算機自動搜索、重排等處理過程，剔除重復信息，再根據不同類別或主題自動進行信息的分類，從而完成網絡信息的“整合”；分類整合后的網絡信息采用元數據方案進行索引編目，并采用數據壓縮及數據傳輸技術實現本地化的海量數據存儲，從而完成網絡信息的“保存”，當然要通過網絡及時更新；經過索引編目組織的網絡

29、信息正式發布后，即可通過檢索為讀者提供網絡信息資源的“服務”5、信息的整理信息的整理就是對收集到的原始信息，通過篩選、核對以及整合，在數量上加以濃縮，在品質上加以提高，在形式上給予表現，使之便于傳遞、利用和貯存。信息整理是整個信息處理工作的核心。內部控制活動所需要的信息來自于企業內部及外部的、與企業經營管理相關的財務及非財務信息。即，內部控制中的信息收集活動涵蓋了企業內部及外部、主觀及客觀、正式與非正式，并影響企業內部環境、風險評估、控制活動及內部監督的信息。因此，確定信息的收集內容時，應在內部控制覆蓋的信息范圍內，強化對信息需求的分析。即在與內控相關的信息范圍內，根據不同的信息需求收集不同的

30、信息。（二）信息的傳遞信息傳遞是指人們通過聲音、文字或圖像相互交流信息的過程。信息傳遞研究的是什么人向誰表達，用什么方式表達，通過什么途徑表達，達到什么目的。信息傳遞程序中有三個基本環節。第一個環節是傳達人為了把信息傳達給接受人，必須把信息“譯出”，成為接受人所能懂得的語言或圖像等。第二個環節是接受人要把信息轉化為自己所能理解的解釋，稱為“譯進”。第三個環節是接受人對信息的反應，要再傳遞給傳達人，稱為反饋。企業內部控制基本規范第四十條指出：企業應當將內部控制相關信息在企業內部各管理級次、責任單位、業務環節之間，以及企業與外部投資者、債權人、客戶、供應商、中介機構和監管部門等有關方面之間進行溝通

31、和反饋。信息與溝通過程中發現的問題，應當及時報告并加以解決。重要信息應當及時傳遞給董事會、監事會和經理層。內部信息傳遞，一方面要完善信息向下傳遞機制，使企業內部參與經營活動的各個方面和全體人員了解企業實現經營目標方面的信息，明確各自職責，了解自身在內部控制體系中的地位和作用；另一方面要完善信息向上傳遞機制，使企業員工能夠及時將其在企業經營活動中所了解的重要信息向管理層及董事會等方面傳遞。此外，還需建立信息橫向傳遞機制，特別是要使信息在管理層與企業董事會及其委員會之間進行傳遞。（三）信息系統與內部控制企業內部控制基本規范第四十一條規定：企業應當利用信息技術促進信息的集成與共享，充分發揮信息技術在

32、信息與溝通中的作用。企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制，保證信息系統安全穩定運行。1、信息技術與信息集成隨著信息技術的快速發展，企業所面臨的競爭環境不斷變化，信息已經成為一種資源，能夠給企業帶來現實的或者潛在的利益。那么，我們應如何使自己盡快適應這種變化？一個關鍵的工作就是對企業內外部的各種信息進行集成管理，以便被企業有效利用。就大多數企業的現狀來看，出于組織結構的設計、實際工作流程的需要等原因，各企業都存在多個不同的信息系統，它們分別關注企業某一方面的信息，具有不同的信息結構和收集、處理渠道，類似于一個個信息孤島，從而使信息無法

33、得到有效整合。這對企業的管理者來說是非常不利的，尤其是高層管理者在做戰略決策時，需要大量相關的信息單一部門的信息系統根本不能滿足其需求。這時，就需要對各部門的信息進行有效的整合和集成。有效整合的信息將對管理者決策提供極大的幫助。信息系統的出現在一定程度上解決了這個問題。2、信息技術與內部控制隨著企業信息集成與共享的實現，企業價值鏈中各環節的資源得到了有效的利用，同時信息技術對內部控制與風險管理也將產生重大的影響。企業的內部控制系統也必然隨著信息技術的更新而發生改變，例如數據挖掘技術的發展，使得企業有條件實現信息的實時、動態控制和反饋，相對于過去利用匯總的文件進行檢查和評估的事后控制模式，此時的

34、控制模式可以實現事前、事中、事后的全過程控制。內部控制制度與計算機程序實現融合，對于內控制度的設計提出了更高的要求，常用的控制手段為訪問權限的設置、操作口令的管理等。內部控制內容的變化主要體現為信息技術相關的控制范圍的增加，如計算機硬軟件安全性的控制、信息系統管理人員職責的控制等。信息集成下的內部控制系統能及時發現內部控制的薄弱環節并及時反饋，因此有必要對此類關鍵的薄弱環節專門設置控制措施，健全內部控制系統，使內部控制差錯帶來的損失最小。信息逐漸被人們當作一種戰略資源，企業內部各部門之間以及企業之間都會發生大規模的信息交換，不同部門或不同企業間的信息需要協同，因此信息系統的重要性日益增加。隨著

35、整個社會信息化進程的加快，企業的日常經營管理活動越來越離不開信息系統的支持。完善的信息系統是企業建立有效的內部控制體系的前提。發展戰略企業發展戰略是指企業在對現實狀況和未來趨勢進行綜合分析和科學預測的基礎上，制訂并實施的長遠發展目標與戰略規劃。制訂明確、穩定、符合實際的發展戰略可以防止公司盲目發展、過度擴張或發展滯后。企業作為市場經濟的主體，要想求得長期生存和持續發展，關鍵在于制訂并有效實施適應外部環境變化和自身實際情況的發展戰略。發展戰略主要是由企業的最高層制訂，經過戰略議題分析，集團戰略制訂，事業部戰略制訂，戰略質詢、審批、公布再到戰略實施和最后的反饋控制，每一個環節都由戰略制訂者根據企業

36、自身的情況客觀地分析制訂。企業還應針對戰略實施過程進行動態監控與報告，并建立、健全戰略評估制度。一個現代企業，如果沒有明確的發展戰略，就不可能在當今激烈的市場競爭和國際化浪潮沖擊下求得長遠發展。（一）發展戰略階段為了加強對企業發展戰略規劃的內部控制，明確發展戰略的整個流程，企業可以將發展戰略規劃的程序大致劃分為戰略制訂、戰略實施兩個大的階段，其中戰略實施中包含了實施后的戰略評估與調整。發展戰略是公司圍繞主經營業務，在對現實狀況和未來形勢進行綜合分析和科學預測的基礎上，制訂并實施的具有長期性和根本性的發展目標與戰略規劃。1、戰略制定階段一個正確的戰略形成需要企業先提出一個合理的戰略目標。企業應當

37、在充分調查研究、科學分析預測和廣泛征求意見的基礎上制訂發展目標。企業在制訂發展目標的過程中，應該綜合考慮宏觀經濟政策、國內外市場需求變化、技術發展趨勢、行業及競爭對手狀況、可利用資源水平和自身優勢與劣勢等影響因素。根據上述因素以及企業管理層人員的經驗和專業知識擬定出一個合理的戰略目標。企業應當根據發展目標制訂戰略規劃。戰略規劃應當明確發展的階段性和發展程度，確定每個發展階段具體目標、工作任務和實施路徑。也就是說，戰略對于企業的指導是一個過程，而不是企業一下子就能達到戰略所要求的目標。所以這個過程需要一個完整、明確的規劃。企業應當在董事會下設立戰略委員會，或指定專門機構負責發展戰略管理工作，履行

38、相應職責。戰略委員會成員應當具有較強的綜合素質和實踐經驗，其任職資格應當符合有關法律法規的規定。董事會應當嚴格審議戰略委員會提交的發展戰略方案，如發現重大問題，應責成戰略委員會對方案進行調整。調整后的方案重新審議，直至通過，并上報股東大會。最后經由股東大會批準實施。2、戰略實施階段企業應當根據發展戰略，制訂年度工作計劃，編制全面預算，將年度目標分解、落實；同時，完善發展戰略管理制度，確保發展戰略有效實施。企業應當重視發展戰略的宣傳工作，通過內部各層級會議和教育培訓等有效方式，將發展戰略及其分解落實情況傳遞到內部各管理層級和全體員工。讓全體員工接受、認可，甚至形成一種企業文化。由于經濟形勢、產業

39、政策、技術進步、行業狀況以及不可抗力等因素發生重大變化，需要對發展戰略做出調整的，應當按照規定權限和程序調整發展戰略。（二）發展戰略的主要風險企業應當明確發展戰略面臨的主要風險，以及這些風險可能導致的后果。（1）缺乏明確的發展戰略或發展戰略實施不到位，導致企業盲目發展，難以形成競爭優勢，喪失發展機遇和動力。（2）發展戰略過于激進，脫離企業實際能力或偏離主業，導致企業過度擴張、經營失控甚至失敗。（3）發展戰略頻繁變動，導致企業資源嚴重浪費，最后危及企業的生存和持續發展。（三）發展戰略風險的應對措施針對上述風險及影響，企業采取的應對措施包括以下幾方面的內容。（1）企業健全組織機構，在董事會下設立戰

40、略委員會，或指定專門機構負責發展戰略管理工作。同時，對戰略委員會的成員素質、工作規范也提出相應要求。（2）應在充分調查研究、科學分析預測和廣泛征求意見的基礎上制定發展目標，而不是靠拍腦袋，盲目制定發展戰略。在制定目標過程中，應綜合考慮宏觀經濟政策、國內外市場需求變化、技術發展趨勢、行業及競爭對手狀況、可利用資源水平和自身優勢與劣勢等影響因素。（3）強調戰略規劃應當根據發展目標制定，明確發展的階段性和發展程度，確定每個發展階段的具體目標、工作任務和實施路徑。（4）董事會從全局性、長期性和可行性等維度，嚴格審議戰略委員會提交的發展戰略方案，之后再報經股東（大）會批準實施。（5）從抓實施的角度，要求

41、企業根據發展戰略，制訂年度工作計劃，編制全面預算，將年度目標分解、落實，以確保發展戰略的有效實施。（6）設立發展戰略后實施評估制度，要求戰略委員會加強對發展戰略實施情況的監控，定期收集和分析相關信息。對發現明顯偏離發展戰略的情況，要求及時報告；確需對發展戰略做出調整，企業要遵循規定的權限和程序調整發展戰略。組織架構在我國內部控制框架中，組織架構、發展戰略、人力資源、社會責任和企業文化均屬于企業層面的控制（環境控制或基礎控制），其風險及應對有別于業務層面的控制（應用控制）。（一）組織架構的內涵及風險應對1、組織架構影響因素分析2010年，五部委聯合發布了企業內部控制配套指引。18個企業內部控制應

42、用指引（簡稱應用指引）中有5個屬于企業層面的內部環境類指引，包括組織架構、發展戰略、人力資源、社會責任和企業文化。應用指引中內部環境類指引與基本規范中內部環境構成因素一一對應，同時，豐富了基本規范的內涵并提升了我國內部環境構成因素體系的層次。組織架構指引認為組織架構是一項制度安排，明確了股東（大）會、董事會、監事會、經理層和企業內部各層級機構設置、職責權限、人員編制、工作程序和相關要求，主要包括治理結構和內部機構設置。機構設置與權責分配互為因果，內部審計本身就屬于組織的內部機構，因此，組織架構應包括治理結構、機構設置、權責分配和內部審計四個因素。在治理結構上，將股東大會納入內部環境范疇（如發展

43、戰略方案需經股東會批準實施）。內部環境類指引緊扣發展戰略做文章，企業要實施發展戰略，必須要有科學的組織架構，履行一定的社會責任，配置合理的人力資源，形成積極向上的企業文化。從發展戰略角度看，企業的根本目的不是利潤最大，也不僅僅是企業價值最大，而是更廣義的社會責任最大。企業應履行社會責任，實現戰略目標。2、組織架構的主要風險組織架構的風險主要來自兩方面。（1）治理結構形同虛設，缺乏科學決策、良性運行機制和執行力，可能發生經營失敗（2）內部機構設計不科學，權責分配不合理，可能導致機構重疊、職能交叉或缺失，運行效率低下。3、組織架構風險的主要應對措施針對以上風險采取的主要應對措施有以下幾個。（1）企

44、業應當根據國家有關法律法規的規定，明確董事會、監事會和經理層的職責權限、任職條件、議事規則和工作程序，確保決策、執行和監督相互分離，形成制衡機制。同時企業在重大決策、重大事項、重要人事任免及大額資金支付業務等（即通常所說的“三重一大”）方面，應當按照規定的權限和程序實行集體決策審批或者聯簽制度，任何個人不得單獨進行決策或者擅自改變集體決策意見。（2）企業應當按照科學、精簡、高效、透明、制衡的原則，綜合考慮企業性質、發展戰略、文化理念和管理要求等因素，合理設置內部職能機構，明確各機構的職責權限，避免職能交叉、缺失或權責過于集中，形成各司其職、各負其責、相互制約、相互協調的工作機制。（3）企業應當

45、根據組織架構的設計規范，對現有治理結構和內部機構設置進行全面梳理，確保本企業治理結構、內部機構設置和運行機制等符合現代企業制度要求。（4）擁有子公司的企業，應當建立科學的投資管控制度，通過合法有效的形式履行出資人職責、維護出資人權益，重點關注子公司特別是異地、境外子公司的發展戰略、年度財務預決算、重大投融資、重大擔保、大額資金使用、主要資產處置、重要人事任免、內部控制體系建設等重要事項。對子公司控制一直是企業集團層面關注的一個重要問題，組織架構應用指引在綜合調研的基礎上提出此項要求，對實務操作具有重要指導作用。（二）治理結構公司制企業中股東大會（權力機構）、董事會（決策機構）、監事會（監督機構

46、）、總經理層（日常管理機構）這四個法定剛性機構為內部控制機構的建立、職責分工與制約提供了基本的組織框架，但并不能滿足內部控制對企業組織結構的要求，內部控制機制的運作還必須在這一組織框架下設立滿足企業生產經營所需要的職能機構。企業內部控制基本規范第十四條規定：企業應當根據國家有關法律法規和企業章程，建立規范的公司治理結構和議事規則，明確決策、執行、監督等方面的職責權限，形成科學有效的職責分工和制衡機制。因此，企業應當根據國家有關法律法規，結合企業自身股權關系和股權結構，明確董事會、監事會和經理層的職責權限、任職條件、議事規則和工作程序；確保決策、執行和監督相互分離、有機協調；確保董事會、監事會和

47、經理層能夠按照法律、法規和企業章程的規定行使職權。企業應當在企業章程中規定股東大會對董事會的授權原則，授權內容應當明確具體。（三）機構設置及責權分配任何企業要達成其整體目標，必須構建一定的組織機構。企業的組織機構提供了計劃、執行、控制和監督活動的框架，確立了適當的溝通和協調渠道，保證了組織中成員具有與其所履行職責相適應的知識、經驗和能力。對于企業而言，要根據公司的具體發展戰略確定組織結構。企業內部控制基本規范第十四條要求企業應當結合業務特點和內部控制要求設置內部機構，明確職責權限，將權力與責任落實到各責任單位。組織機構是通過提供完整的架構作用于組織實現其目標的能力；是規定組織內部責任與授權的線

48、型結構；是確認責任分配和授權的關鍵領域；功能是確認報告路徑：機構設置必須覆蓋計劃、執行、控制、監督等組織活動的全部，其中，控制與監督的區別是，控制是保證正確執行計劃的組織安排，而監督是控制有效的組織安排；組織結構設計的哲學意義是“是什么”“做什么”“如何做”；機構設置要保證合理的流水線模式，部門設置少一個不夠用、多一個又冗余，部門功能必須是線型的、支持的，而非攔截的。關鍵回答三個問題：所有的事是否都有人做？行為者是否充分授權行事？所有行為是否有人承擔責任？組織結構設計不確定：對權力定義不清或定義錯誤，導致權力的渙散。權力與責任不對稱，權力結構不穩定，權力成為公開招標物導致權力者互相沖突和耍政治

49、手腕。企業應當結合業務特點和內部控制要求設置內部機構，明確職責權限，將權力與責任落實到各責任單位。企業應當通過編制內部管理手冊，使全體員工了解內部機構設置、崗位職責、業務流程等情況，明確權責分配，正確行使職權。按照基本規范的要求，機構設置及內控職責分工如下：（1）監事會對董事會建立與實施內部控制進行監督。（2）監事會對董事會建立與實施內部控制進行監督。（3）經理層負責組織領導企業內部控制的日常運行。企業應當成立專門機構或者指定適當的機構具體負責組織協調內部控制的建立實施及日常工作。（4）審計委員會負責審查企業內部控制，監督內部控制的有效實施和內部控制自我評價情況，協調內部控制審計及其他相關事宜

50、等。審計委員會負責人應當具備相應的獨立性、良好的職業操守和專業勝任能力。（四）內部審計內部審計是公司內部的一種獨立客觀的監督、評價和咨詢活動，通過對經營活動及內部控制的適當性、合法性和有效性進行審查、評價和提出建議，促進改善公司運行的效率效果、實現公司發展目標。企業應當加強內部審計工作，保證內部審計機構設置、人員配備和工作的獨立性。內部審計機構應當結合內部審計監督，對內部控制的有效性進行監督檢查。內部審計機構對監督檢查中發現的內部控制缺陷，應當按照企業內部審計工作程序進行報告；對監督檢查中發現的內部控制重大缺陷，有權直接向董事會及其審計委員會、監事會報告。SASNO.55：內部環境的形成198

51、8年，美國注冊會計師協會（AICPA）發布審計準則公告第55號（簡稱SASNO.55），第一次正式將控制環境納入內部控制范疇，控制環境從此成為內部控制理論研究的重要方面。該公告首次提出“內部控制結構”的概念，指出控制環境是對建立、加強或削弱特定政策、程序及其效率產生影響的各種因素，這些因素包括經營管理理念、組織結構、董事會、授權與分配責任的方法、管理控制方法、內部審計、人力資源政策與實務等。SASNO.55強調了內部環境中最關鍵的因素是與有效控制政策和程序制定、實施密切相關的管理層和董事會對控制的態度；并將“內部審計”作為環境因素，以強化監控。在要素的排列上，“組織結構”是受“經營管理理念”影

52、響的，管理層決定了組織結構的安排；將“人力資源政策與實務”排在最后，作為保障性、支持性影響因素，這一思路一直影響到現在。企業風險管理框架：內部環境的成熟COSO的企業風險管理一一整體框架用“內部環境”代替了“控制環境”，提出內部環境包含組織的基調、營銷組織中人員的風險意識，是企業風險管理所有其他構成要素的基礎，為其他要素提供約束和結構；它影響著戰略和目標如何制定、經營活動如何組織以及如何識別、評估風險并采取行動；它還影響著控制活動、信息與溝通體系和監控措施的設計與運行。由風險管理理念、風險文化、董事會、操守和價值觀、對勝任能力的承諾、管理方法和經營模式、風險偏好組織結構、職責和權限分配、人力資

53、源政策和實務9大因素構成。與COSO92內部環境構成因素相比，COSO04雖然僅增加了兩個因素、微調了因素排列順序、修正了部分因素的措辭，但內部環境內涵卻發生了深刻變化。第一，突出“企業”的重要性。內部環境建設是企業自己的事，是企業內部積極的需求，而非外部強加的壓力，強調企業首先應有“風險管理理念”，并將這種理念傳導、灌輸給全體員工，形成“風險文化”，這是對COSO92內部環境思想的重大突破；第二，突出“風險”的重要性。強調風險管理理念、風險文化、風險偏好（風險承受度），將上述內容用于制定戰略之中，并貫穿于整個企業；第三，突出“管理”的重要性。實現從控制到管理的轉變，引入戰略觀念，同時提升了董

54、事會在戰略決策中的地位和作用。在措辭方面，相對于COSO92，將“誠信與道德”改為“操守和價值觀”，將“素質要求”改為“對勝任能力的承諾”，更為恰當、準確地把握了企業文化是內部環境構成因素的精髓；將“管理哲學與經營風格”改為“管理方法和經營模式”，更為具體且切合企業管理實際，即對管理層的要求不僅是空洞的哲學與風格，更要擁有具體的方法與模式；“組織結構”改為“風險偏好組織結構”，合理解釋了每個企業組織結構的不同是受風險偏好影響的緣由。評價控制缺陷與報告（一）評價控制缺陷注冊會計師需要評價其注意到的各項控制缺陷的嚴重程度，以確定這些缺陷單獨或組合起來，是否構成重大缺陷。但是，在計劃和實施審計工作時

55、，不要求注冊會計師尋找單獨或組合起來不構成重大缺陷的控制缺陷。企業內部控制可能存在重大缺陷情形有：（1）注冊會計師發現董事、監事和高級管理人員舞弊；（2）企業更正已經公布的財務報表；（3）注冊會計師發現當期財務報表存在重大錯報，而內部控制在運行過程中未能發現該錯報；（4）企業審計委員會和內部審計機構對內部控制的監督無效。財務報告內部控制缺陷的嚴重程度取決于：控制缺陷導致賬戶余額或列報錯報的可能性；因一個或多個控制缺陷的組合導致潛在錯報的金額大小。控制缺陷的嚴重程度與賬戶余額或列報是否發生錯報無必然對應關系，而取決于控制缺陷是否可能導致錯報。評價控制缺陷時，注冊會計師需要根據財務報表審計中確定的

56、重要性水平，支持對財務報告控制缺陷重要性的評價。注冊會計師需要運用職業判斷，考慮并衡量定量和定性因素，同時要對整個思考判斷過程進行記錄，尤其是詳細記錄關鍵判斷和得出結論的理由。而且，對于“可能性”和“重大錯報”的判斷，在評價控制缺陷嚴重性的記錄中，注冊會計師需要給予明確的考量和陳述。（二）內部控制缺陷的報告1、對內報告內部控制缺陷報告應當采取書面形式。對于一般缺陷和重要缺陷，通常向企業經理層報告，并視情況考慮是否需要向董事會及其審計委員會、監事會報告；對于重大缺陷，應當及時向董事會及其審計委員會、監事會和經理層報告。如果出現不適合向經理層報告的情形，如存在與經理層舞弊相關的內部控制缺陷，或存在

57、經理層凌駕于內部控制之上的情形等，應當直接向董事會及其審計委員會、監事會報告。企業應根據內部控制缺陷的影響程度合理確定內部控制缺陷報告的時限，一般缺陷、重要缺陷應定期報告，重大缺陷即時報告。2、對外報告我國企業內部控制審計指引第四條規定：注冊會計師應當對財務報告內部控制的有效性發表審計意見，并對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷，在內部控制審計報告中增加“非財務報告內部控制重大缺陷描述段”予以披露。內部控制信息披露服務于投資者的權益保護以及投資者對企業投資回報的預期。財務報告之所以是投資決策的重要依據，原因在于它有助于投資者評估企業未來產生現金流量的金額、時間和不確定性從而

58、服務于投資決策。但是，依據財務數據對企業前景的預期能否成為現實、差異的波動方向取決于對未來不確定因素的管控。內部控制的有效性以及缺陷的嚴重程度決定著它管控未來風險的能力以及預期變為現實的可靠程度。對外披露內控缺陷信息是企業必須承擔的義務。但是，無論從法律賦予管理層的義務層面講，還是受托者對委托者承擔的道義責任層面講，并不是所有的內部控制缺陷都必須對外披露。對外披露的缺陷應該是對投資者制定投資決策、修正以往投資決策產生影響的缺陷信息。缺陷的披露實際上起風險提示的作用，只有較大可能偏離目標且危害程度較嚴重的缺陷才有必要對外披露。3、注冊會計師內部控制審計意見類型企業內部控制審計意見包括無保留意見、

59、否定意見和無法表示意見三種類型。具體又可分為無保留意見、帶強調段的無保留意見、否定意見和無法表示意見四種類型。（1）無保留審計意見。發表無保留審計意見必須同時符合兩個條件：企業按照內部控制有關法律法規以及企業內部控制制度要求，在所有重大方面建立并實施有效的內部控制；注冊會計師按照有關內部控制審計準則的要求計劃和實施審計工作，在審計過程未受到限制。（2）帶強調段的無保留意見。注冊會計師認為財務報告內部控制雖不存在重大缺陷，但仍有一項或者多項重大事項需要提請審計報告使用者注意的，應在審計報告中增加強調事項段予以說明。該段內容僅用于提醒內部控制審計報告使用者關注，并不影響對財務報告內部控制發表的審計

60、意見。（3）否定意見。注冊會計師認為財務報告內部控制存在一項或多項重大缺陷的，除非審計范圍受到限制，否則應對財務報告內部控制發表否定意見。注冊會計師出具否定意見的內部控制審計報告中需包括重大缺陷的定義、重大缺陷的性質及其對財務報告內部控制的影響程度等內容。（4）無法表示意見。注冊會計師審計范圍受到限制的，應當解除業務約定或出具無法表示意見的內部控制審計報告，在報告中指明審計范圍受到限制，無法對內部控制有效性發表意見。注冊會計師在已執行的有效程序中發現內部控制存在重大缺陷的，應當在“無法表示意見”的審計報告中對已發現的重大缺陷做出詳細說明。審計范圍與審計目標內部控制作為企業中一項重要的管理活動，