1、泓域/脂質體注射劑公司內部控制方案脂質體注射劑公司內部控制方案xxx集團有限公司目錄 TOC o 1-3 h z u HYPERLINK l _Toc112257044 一、 人力資源 PAGEREF _Toc112257044 h 4 HYPERLINK l _Toc112257045 二、 組織架構 PAGEREF _Toc112257045 h 7 HYPERLINK l _Toc112257046 三、 SASNO.55：內部環境的形成 PAGEREF _Toc112257046 h 13 HYPERLINK l _Toc112257047 四、 企業風險管理框架：內部環境的成熟 PA

2、GEREF _Toc112257047 h 14 HYPERLINK l _Toc112257048 五、 風險識別的方法 PAGEREF _Toc112257048 h 16 HYPERLINK l _Toc112257049 六、 企業識別風險關注的因素 PAGEREF _Toc112257049 h 22 HYPERLINK l _Toc112257050 七、 目標設定的含義 PAGEREF _Toc112257050 h 23 HYPERLINK l _Toc112257051 八、 內部控制目標的設定 PAGEREF _Toc112257051 h 27 HYPERLINK l _

3、Toc112257052 九、 風險分析的定義和目的 PAGEREF _Toc112257052 h 30 HYPERLINK l _Toc112257053 十、 風險分析的方法 PAGEREF _Toc112257053 h 31 HYPERLINK l _Toc112257054 十一、 內部監督的內容 PAGEREF _Toc112257054 h 38 HYPERLINK l _Toc112257055 十二、 內部監督比較 PAGEREF _Toc112257055 h 44 HYPERLINK l _Toc112257056 十三、 內部控制評價工作底稿與報告 PAGEREF _

4、Toc112257056 h 45 HYPERLINK l _Toc112257057 十四、 內部控制缺陷的認定 PAGEREF _Toc112257057 h 46 HYPERLINK l _Toc112257058 十五、 產業環境分析 PAGEREF _Toc112257058 h 48 HYPERLINK l _Toc112257059 十六、 近年來出現多項新型脂質體技術 PAGEREF _Toc112257059 h 50 HYPERLINK l _Toc112257060 十七、 必要性分析 PAGEREF _Toc112257060 h 52 HYPERLINK l _Toc

5、112257061 十八、 公司基本情況 PAGEREF _Toc112257061 h 52 HYPERLINK l _Toc112257062 十九、 組織架構分析 PAGEREF _Toc112257062 h 54 HYPERLINK l _Toc112257063 勞動定員一覽表 PAGEREF _Toc112257063 h 55 HYPERLINK l _Toc112257064 二十、 發展規劃分析 PAGEREF _Toc112257064 h 56 HYPERLINK l _Toc112257065 二十一、 SWOT分析 PAGEREF _Toc112257065 h 5

6、9人力資源企業的人力資源是指企業為組織生產經營活動而錄（任）用的各種人員，包括董事、監事、高級管理人員和全體員工。而內部控制的實施主體包括董事會、監事會、經理層和全體員工，涵蓋了企業幾乎所有的內部人員。因此，人力資源控制水平的高低將直接影響到企業內部環境的質量。企業內部控制基本規范第十六條要求企業應當制定和實施有利于企業可持續發展的人力資源政策。人力資源政策應當包括員工的聘用、培訓、辭退和辭職，員工的薪酬、考核、晉升與獎懲，關鍵崗位員工的強制休假制度和定期崗位輪換制度，掌握國家秘密或重要商業秘密的員工離崗的限制性規定，以及有關人力資源管理的其他政策。企業應當重視人力資源建設，根據發展戰略，結合

7、人力資源現狀和未來需求，建立人力資源發展目標，制訂人力資源總體規劃和能力框架體系，優化人力資源整體布局，明確人力資源的引進、開發、使用、培養、考核、激勵、退出等管理要求，實現人力資源的合理配置，全面提升企業核心競爭力。（一）人力資源管理操作流程為了加強人力資源的內部控制，充分調動整體團隊的積極性、主動性和創造性，全面提升企業的核心競爭力，企業一般可以根據人力資源管理操作流程分為人力資源引進與開發、人力資源的使用與退出和人力資源的評估與信息披露3個方面。1、人力資源的引進與開發首先，企業應當根據人力資源總體規劃，結合生產經營實際需求，制訂年度人力資源需求計劃，完善人力資源引進制度，規范工作流程，

8、按照計劃、制度和程序組織人力資源引進工作；其次，根據人力資源能力框架要求，明確各崗位的職責權限、任職條件和工作要求，通過公開招聘等多種方式選聘優秀人才；再次，企業應該建立嚴格的錄用審批制度，對應聘人員進行嚴格的篩選并錄用，在選聘人員之后，與其依法簽訂勞動合同；最后，對員工進行定期的培訓與教育，提高員工的素質和技能。2、人力資源的使用與退出企業應建立完善的激勵約束機制，設置科學的業績考核指標體系，對各級管理人員和全體員工進行嚴格考核與評價，以此作為確定員工薪酬、職級調整和解除勞動合同等的重要依據，確保整個團隊處于持續優化狀態。3、人力資源的評估與信息披露企業應當定期對年度人力資源計劃執行情況進行

9、評估，總結人力資源管理經驗，分析存在的主要缺陷和不足，完善人力資源政策，促進企業整體團隊充滿活力和生機。企業應該依法披露報告期末在職員工數量、專業構成、教育程度等信息，以適當的形式披露人力資源政策可能存在的重大風險因素及其應對措施。（二）人力資源的主要風險企業應當明確人力資源面臨的主要風險，以及這些風險可能導致的后果。（1）人力資源缺乏或過剩、結構不合理、開發機制不健全，導致企業發展戰略可能難以實現。（2）人力資源激勵約束制度不合理、關鍵崗位人員管理不完善，導致人才流失、經營效率低下。（3）人力資源退出機制不當，導致法律訴訟或企業聲譽受損。（三）人力資源風險的應對措施針對上述風險及影響，企業采

10、取的應對措施包括以下幾個方面。（1）企業應當根據人力資源總體規劃，結合生產經營實際需要，制訂年度人力資源需求計劃。也就是說，人力資源要符合發展戰略需要，符合生產經營對人力資源的需求，盡可能做到“不缺人手，也不養閑人”。（2）企業應當根據人力資源能力框架要求，明確各崗位的職責權限、任職條件和工作要求，通過公開招聘、競爭上崗等多種方式選聘優秀人才。這項要求實際上意在強調企業要選合適的人，要按公開、嚴格的程序去選人，防止人情招聘、暗箱操作。（3）企業確定選聘人員后，應當依法簽訂勞動合同，建立勞動用工關系：已選聘人員要進行試用和崗前培訓，試用期滿考核合格后，方可正式上崗。（4）企業應當建立和完善人力資

11、源的激勵約束機制，設置科學的業績考核指標體系，對各級管理人員和全體員工進行嚴格考核與評價，并制定與業績考核掛鉤的薪酬制度。如何留住引進來的優秀人才，對企業至關重要。（5）企業應當建立、健全員工退出（辭職、解除勞動合同、退休等）機制，明確退出的條件和程序，確保員工退出機制得到有效實施。只有退出機制健全，退出條件和程序清楚，才能夠防范和化解當前企業人力資源退出方面存在的諸多問題，使企業人力資源管理步入良性循環的軌道。組織架構在我國內部控制框架中，組織架構、發展戰略、人力資源、社會責任和企業文化均屬于企業層面的控制（環境控制或基礎控制），其風險及應對有別于業務層面的控制（應用控制）。（一）組織架構的

12、內涵及風險應對1、組織架構影響因素分析2010年，五部委聯合發布了企業內部控制配套指引。18個企業內部控制應用指引（簡稱應用指引）中有5個屬于企業層面的內部環境類指引，包括組織架構、發展戰略、人力資源、社會責任和企業文化。應用指引中內部環境類指引與基本規范中內部環境構成因素一一對應，同時，豐富了基本規范的內涵并提升了我國內部環境構成因素體系的層次。組織架構指引認為組織架構是一項制度安排，明確了股東（大）會、董事會、監事會、經理層和企業內部各層級機構設置、職責權限、人員編制、工作程序和相關要求，主要包括治理結構和內部機構設置。機構設置與權責分配互為因果，內部審計本身就屬于組織的內部機構，因此，組

13、織架構應包括治理結構、機構設置、權責分配和內部審計四個因素。在治理結構上，將股東大會納入內部環境范疇（如發展戰略方案需經股東會批準實施）。內部環境類指引緊扣發展戰略做文章，企業要實施發展戰略，必須要有科學的組織架構，履行一定的社會責任，配置合理的人力資源，形成積極向上的企業文化。從發展戰略角度看，企業的根本目的不是利潤最大，也不僅僅是企業價值最大，而是更廣義的社會責任最大。企業應履行社會責任，實現戰略目標。2、組織架構的主要風險組織架構的風險主要來自兩方面。（1）治理結構形同虛設，缺乏科學決策、良性運行機制和執行力，可能發生經營失敗（2）內部機構設計不科學，權責分配不合理，可能導致機構重疊、職

14、能交叉或缺失，運行效率低下。3、組織架構風險的主要應對措施針對以上風險采取的主要應對措施有以下幾個。（1）企業應當根據國家有關法律法規的規定，明確董事會、監事會和經理層的職責權限、任職條件、議事規則和工作程序，確保決策、執行和監督相互分離，形成制衡機制。同時企業在重大決策、重大事項、重要人事任免及大額資金支付業務等（即通常所說的“三重一大”）方面，應當按照規定的權限和程序實行集體決策審批或者聯簽制度，任何個人不得單獨進行決策或者擅自改變集體決策意見。（2）企業應當按照科學、精簡、高效、透明、制衡的原則，綜合考慮企業性質、發展戰略、文化理念和管理要求等因素，合理設置內部職能機構，明確各機構的職責

15、權限，避免職能交叉、缺失或權責過于集中，形成各司其職、各負其責、相互制約、相互協調的工作機制。（3）企業應當根據組織架構的設計規范，對現有治理結構和內部機構設置進行全面梳理，確保本企業治理結構、內部機構設置和運行機制等符合現代企業制度要求。（4）擁有子公司的企業，應當建立科學的投資管控制度，通過合法有效的形式履行出資人職責、維護出資人權益，重點關注子公司特別是異地、境外子公司的發展戰略、年度財務預決算、重大投融資、重大擔保、大額資金使用、主要資產處置、重要人事任免、內部控制體系建設等重要事項。對子公司控制一直是企業集團層面關注的一個重要問題，組織架構應用指引在綜合調研的基礎上提出此項要求，對實

16、務操作具有重要指導作用。（二）治理結構公司制企業中股東大會（權力機構）、董事會（決策機構）、監事會（監督機構）、總經理層（日常管理機構）這四個法定剛性機構為內部控制機構的建立、職責分工與制約提供了基本的組織框架，但并不能滿足內部控制對企業組織結構的要求，內部控制機制的運作還必須在這一組織框架下設立滿足企業生產經營所需要的職能機構。企業內部控制基本規范第十四條規定：企業應當根據國家有關法律法規和企業章程，建立規范的公司治理結構和議事規則，明確決策、執行、監督等方面的職責權限，形成科學有效的職責分工和制衡機制。因此，企業應當根據國家有關法律法規，結合企業自身股權關系和股權結構，明確董事會、監事會和

17、經理層的職責權限、任職條件、議事規則和工作程序；確保決策、執行和監督相互分離、有機協調；確保董事會、監事會和經理層能夠按照法律、法規和企業章程的規定行使職權。企業應當在企業章程中規定股東大會對董事會的授權原則，授權內容應當明確具體。（三）機構設置及責權分配任何企業要達成其整體目標，必須構建一定的組織機構。企業的組織機構提供了計劃、執行、控制和監督活動的框架，確立了適當的溝通和協調渠道，保證了組織中成員具有與其所履行職責相適應的知識、經驗和能力。對于企業而言，要根據公司的具體發展戰略確定組織結構。企業內部控制基本規范第十四條要求企業應當結合業務特點和內部控制要求設置內部機構，明確職責權限，將權力

18、與責任落實到各責任單位。組織機構是通過提供完整的架構作用于組織實現其目標的能力；是規定組織內部責任與授權的線型結構；是確認責任分配和授權的關鍵領域；功能是確認報告路徑：機構設置必須覆蓋計劃、執行、控制、監督等組織活動的全部，其中，控制與監督的區別是，控制是保證正確執行計劃的組織安排，而監督是控制有效的組織安排；組織結構設計的哲學意義是“是什么”“做什么”“如何做”；機構設置要保證合理的流水線模式，部門設置少一個不夠用、多一個又冗余，部門功能必須是線型的、支持的，而非攔截的。關鍵回答三個問題：所有的事是否都有人做？行為者是否充分授權行事？所有行為是否有人承擔責任？組織結構設計不確定：對權力定義不

19、清或定義錯誤，導致權力的渙散。權力與責任不對稱，權力結構不穩定，權力成為公開招標物導致權力者互相沖突和耍政治手腕。企業應當結合業務特點和內部控制要求設置內部機構，明確職責權限，將權力與責任落實到各責任單位。企業應當通過編制內部管理手冊，使全體員工了解內部機構設置、崗位職責、業務流程等情況，明確權責分配，正確行使職權。按照基本規范的要求，機構設置及內控職責分工如下：（1）監事會對董事會建立與實施內部控制進行監督。（2）監事會對董事會建立與實施內部控制進行監督。（3）經理層負責組織領導企業內部控制的日常運行。企業應當成立專門機構或者指定適當的機構具體負責組織協調內部控制的建立實施及日常工作。（4）

20、審計委員會負責審查企業內部控制，監督內部控制的有效實施和內部控制自我評價情況，協調內部控制審計及其他相關事宜等。審計委員會負責人應當具備相應的獨立性、良好的職業操守和專業勝任能力。（四）內部審計內部審計是公司內部的一種獨立客觀的監督、評價和咨詢活動，通過對經營活動及內部控制的適當性、合法性和有效性進行審查、評價和提出建議，促進改善公司運行的效率效果、實現公司發展目標。企業應當加強內部審計工作，保證內部審計機構設置、人員配備和工作的獨立性。內部審計機構應當結合內部審計監督，對內部控制的有效性進行監督檢查。內部審計機構對監督檢查中發現的內部控制缺陷，應當按照企業內部審計工作程序進行報告；對監督檢查

21、中發現的內部控制重大缺陷，有權直接向董事會及其審計委員會、監事會報告。SASNO.55：內部環境的形成1988年，美國注冊會計師協會（AICPA）發布審計準則公告第55號（簡稱SASNO.55），第一次正式將控制環境納入內部控制范疇，控制環境從此成為內部控制理論研究的重要方面。該公告首次提出“內部控制結構”的概念，指出控制環境是對建立、加強或削弱特定政策、程序及其效率產生影響的各種因素，這些因素包括經營管理理念、組織結構、董事會、授權與分配責任的方法、管理控制方法、內部審計、人力資源政策與實務等。SASNO.55強調了內部環境中最關鍵的因素是與有效控制政策和程序制定、實施密切相關的管理層和董事

22、會對控制的態度；并將“內部審計”作為環境因素，以強化監控。在要素的排列上，“組織結構”是受“經營管理理念”影響的，管理層決定了組織結構的安排；將“人力資源政策與實務”排在最后，作為保障性、支持性影響因素，這一思路一直影響到現在。企業風險管理框架：內部環境的成熟COSO的企業風險管理一一整體框架用“內部環境”代替了“控制環境”，提出內部環境包含組織的基調、營銷組織中人員的風險意識，是企業風險管理所有其他構成要素的基礎，為其他要素提供約束和結構；它影響著戰略和目標如何制定、經營活動如何組織以及如何識別、評估風險并采取行動；它還影響著控制活動、信息與溝通體系和監控措施的設計與運行。由風險管理理念、風

23、險文化、董事會、操守和價值觀、對勝任能力的承諾、管理方法和經營模式、風險偏好組織結構、職責和權限分配、人力資源政策和實務9大因素構成。與COSO92內部環境構成因素相比，COSO04雖然僅增加了兩個因素、微調了因素排列順序、修正了部分因素的措辭，但內部環境內涵卻發生了深刻變化。第一，突出“企業”的重要性。內部環境建設是企業自己的事，是企業內部積極的需求，而非外部強加的壓力，強調企業首先應有“風險管理理念”，并將這種理念傳導、灌輸給全體員工，形成“風險文化”，這是對COSO92內部環境思想的重大突破；第二，突出“風險”的重要性。強調風險管理理念、風險文化、風險偏好（風險承受度），將上述內容用于制

24、定戰略之中，并貫穿于整個企業；第三，突出“管理”的重要性。實現從控制到管理的轉變，引入戰略觀念，同時提升了董事會在戰略決策中的地位和作用。在措辭方面，相對于COSO92，將“誠信與道德”改為“操守和價值觀”，將“素質要求”改為“對勝任能力的承諾”，更為恰當、準確地把握了企業文化是內部環境構成因素的精髓；將“管理哲學與經營風格”改為“管理方法和經營模式”，更為具體且切合企業管理實際，即對管理層的要求不僅是空洞的哲學與風格，更要擁有具體的方法與模式；“組織結構”改為“風險偏好組織結構”，合理解釋了每個企業組織結構的不同是受風險偏好影響的緣由。風險識別的方法風險識別是指對企業面臨的各種風險進行確認的

25、一個動態、連續的過程。從風險產生的原因入手，通過各種識別方法發現客觀存在的不確定性，即辨識風險，下面簡要介紹幾種常用的風險識別方法。（一）風險清單法風險清單是指由專業人員設計好風險標準的表格或者問卷，全面地羅列一個企業可能面臨的風險。表格多由風險管理方面的專家提供，包含人們已經識別出的最基本的各類風險。該方法的優點是經濟方便，適合新公司或初次構建風險管理制度的公司適用，幫助他們識別最基本的風險，降低忽略重要風險源的可能性；缺點是表格的初次制作比較費時，問卷回收率可能較低，質量難以有效控制。（二）流程圖分析法流程圖分析法是指首先按企業經營過程的內在邏輯制作出作業流程圖，然后對其中的重要環節和薄弱

26、之處進行調查和分析的方法。基本步驟如下。（1）梳理單位各類經濟活動的業務流程，明確業務環節；（2）設計流程圖，把流程圖中的風險揭示出來，確定風險點；（3）解釋流程圖；（4）選擇風險應對策略。流程圖有助于識別企業經營過程中所面臨的風險。其優點是可以將復雜的生產過程或業務流程簡單化，從而發現風險；其缺點是流程圖的繪制較耗費時間，而且不可能進行定量分析從而無法判斷風險發生的可能性。（三）現場調查法現場調查法相當于對風險進行一次全面的檢查，其主要步驟如下。（1）調查前的準備工作。包括確定調查的時間，其中需要明確開始時間、結束時間和持續時間等，還要明確調查的對象，包括調查人數等。實際工作中一般應事先設計

27、好調查表格。（2）進行現場調查和訪問，由被調查人認真填寫表格，表格填寫應符合規范，避免出現不符合要求的問卷而影響調查結果。（3）將調查結果及時進行反饋，以便發現潛在的問題。現場調查法的優點是可以獲得一手的資料而不依賴他人的數據，同時在調查過程中可以與基層人員建立良好的關系。缺點是耗時過多，成本過大，在調查的過程中，可能會引起一些員工的反感。（四）財務報表分析法財務報表是反映企業一定時點的財務狀況、一定期間經營成果和現金流量的文件，因此分析財務報表有利于認識經營風險可能的來源。財務報表分析法主要是通過分析企業的資產負債表、利潤表、現金流量表和所有者權益變動表以及補充記錄來識別企業潛在的風險。財務

28、報表分析法具體又分為以下幾種主要方法。1、趨勢分析法趨勢分析法是通過對一個企業連續數期的利潤表和資產負債表的各個項目進行比較，求出金額和百分比增減變動的方向和幅度，以揭示當期財務狀況和經營狀況增減變化的性質及其趨勢。趨勢分析法通常包括橫向分析法和縱向分析法。橫向分析法又稱水平分析法，是在會計報表中用金額、百分比的形式，將各個項目的本期或多期的金額與基期的金額進行比較分析，以觀察企業經營成果與財務狀況的變化趨勢；縱向分析法又稱垂直分析法，是對會計報表中某一期的各個項目，分別與其中一個作為基期金額的特定項目進行百分比分析，借以觀察經營成果與財務狀況的變化趨勢。2、比率分析法比率分析法就是把財務報表

29、的某些項目同其他項目進行比較，這些金額或者數據可以選自一張財務報表，亦可以選自兩張財務報表。比率分析法可以分析財務報表所列示項目與項目之間的相互關系，因此運用得比較廣泛。主要有經營成果的比率分析、權益狀況的比率分析、流動資產狀況的比率分析。3、因素分析法因素分析法也是財務報表分析中常用的一種技術方法，它是指把整體分解為若干個局部的分析方法，包括比率因素分析法和差異因素分解法。比率因素分解法，是指把一個財務比率分解為若干個影響因素的方法。例如，資產收益率可以分解為資產周轉率和銷售利潤率兩個比率的乘積，財務比率是財務報表分析的特有概念。在實際的分析中，分解法和比較法是結合使用的，比較之后需要分解，

30、以深入了解差異的原因。分解之后還需要比較，以進一步認識其特征。不斷的比較和分解，構成了財務報表分析的主要過程。為了解釋比較分析中形成差異的原因，需要使用差異分解法。例如，將產品材料成本差異分解為價格差異和數量差異。差異分解法又分為定基替代法和連環替代法兩種。定基替代法是測定比較差異成因的一種定量方法。按照這種方法，需要分別用標準值（歷史的、同業企業的或預算的標準）替代實際值，以測定各個因素對財務指標的影響。連環替代法是另外一種測定比較差異成因的定量分析方法。按照這種方法，需要依次用標準值替代實際值，以測定各個因素對財務指標的影響。（五）事件樹分析法事件樹分析法又稱故障樹法，其實質是利用邏輯思維

31、的規律和形式，從宏觀的角度去分析事故形成的過程。它的理論基礎是，任何一起事故的發生，必定是一系列事件按時間順序相繼出現的結果，前一事件的出現是隨后事件發生的條件，在時間的發展過程中，每一事件有兩種可能的狀態，即成功和失敗。事件樹法從某一風險結果出發，運用邏輯推理的方法推導出引起風險的原因，遵循風險事件一中間事件一基本事件的邏輯結構。事件樹分析法的一般步驟如下：（1）定義目標，此時需要考慮影響目標的各種風險因素；（2）做出風險因果圖；（3）全面考慮各風險因素之間的相互關系，從而研究對風險所采取的對策或行動方案。事故樹法的優點是把影響企業整體目標實現的諸多因素及其因果關系一步步清楚地列示出來，有利

32、于下一步進行深入的風險分析。該方法通常用于直接經驗較少的風險識別，效果非常直觀，缺點是容易產生遺漏和錯誤。（六）可行性研究可行性研究是在項目計劃階段即對風險進行定性識別的方法。它的工作步驟如下：（1）檢查各部分原始意圖（2）發現有無偏離原始意圖的情況；（3）尋找偏離原因（4）預測偏離后果。該方法的優點是可在項目實施前就發現風險并加以處理；缺點是比較費時，需要詳細的設計系統圖的支持。（七）其他方法風險管理人員必須始終對新的、變化中的風險保持警惕，經常檢查關鍵文檔就是一個好方法。關鍵文檔包括董事會會議的詳細記錄、資金申請表、公司指南、年度報告等，這些文件提供的信息并非詳盡，卻是風險管理中使用最為頻

33、繁的信息資源。面談也是另外一個有利于風險事項識別的重要信息資源。許多信息沒有記錄在文檔文件里面，而只存在于經營管理人員和員工的頭腦里。與不同層次不同領域的員工進行面談以便增加識別潛在風險事項的信息資源。一般情況下，可以考慮和以下人員進行面談：經營部門經理、首席財務官、法律顧問、人力資源部經理、基層護理人員、工人和領班、外部人員等。與一般基層工人的談話可以發現一些不安全的設備和操作方法，這些問題在正規的報告里面是不會反映出來的而通過與高層管理者的面談，風險防范人員能夠了解最高管理層可以容忍的純粹風險程度，以及希望轉移的風險。風險識別是風險管理中最基礎的工作，從定性的經驗判斷到各種定量方法，不僅要

34、發現風險，還要進行風險因素分析，它是一個復雜的系統工程。任何一種方法都不能揭示出企業面臨的全部風險，更不可能揭示導致風險事故的所有因素，故應將多種方法結合使用。企業識別風險關注的因素（一）內部風險我國企業內部控制基本規范第二十二條規定，企業識別內部風險，應當關注下列因素。（1）董事、監事、經理及其他高級管理人員的職業操守，員工專業勝任能力等人力資源因素；（2）組織機構、經營方式、資產管理、業務流程等管理因素；（3）研究開發、技術投入、信息技術運用等自主創新因素；（4）財務狀況、經營成果、現金流量等財務因素；（5）營運安全、員工健康、環境保護等安全環保因素；（6）其他有關內部風險因素。（二）外部

35、風險我國企業內部控制基本規范第二十三條規定，企業識別外部風險，應當關注下列因素。（1）經濟形勢、產業政策、融資環境、市場競爭等經濟因素；（2）法律法規、監管要求等法律因素；（3）安全穩定、文化傳統、社會信用、教育水平、消費者行為等社會因素；（4）技術進步、工藝改進等科學技術因素；（5）自然災害、環境狀況等自然環境因素；（6）其他有關外部風險因素。目標設定的含義我國內部控制基本規范第二十條規定，企業應當根據設定的控制目標，全面、系統、持續地收集相關信息，結合實際情況，及時進行風險評估。目標設定是風險識別、風險分析和風險應對的前提。在管理當局識別和分析風險并采取行動來管理風險之前，首先必須有目標，

36、確定與目標相關的風險，目標設定是風險評估的前提。目標設定分為三個層次，首先在企業既定的使命或愿景指導下，管理層制定企業的戰略目標；其次根據戰略目標制定業務層面的目標，并在企業內層層分解和落實；最后根據設定的目標合理確定企業整體風險承受能力和具體業務層次上可接受的風險水平。企業應當按照戰略目標，設定相關的經營目標、財務報告目標、合規性目標與資產安全目標，并根據設定的目標合理確定企業整體風險承受能力和具體業務層次上的可接受的風險水平。1、戰略目標戰略目標反映了管理層就主體如何努力為其利益相關者創造價值所做出的選擇，是高層次的目標，與其使命相關聯并支撐其使命。企業在考慮實現戰略目標的各種方案時，必須

37、考慮與各種戰略相伴的風險及其影響。戰略目標方面的關注點主要包括：（1）對企業績效現狀進行的評估（2）對內部和外部環境的監測分析；（3）戰略目標體系（4）戰略選擇遵循必要的流程，以及獲得了充分的討論；（5）對目標實現與現有資源狀況之間的匹配程度進行的評估；（6）設定戰略目標可接受程度；（7）就戰略目標與企業內部員工和外部相關利益集團之間的溝通。2、經營目標經營目標與企業經營的效率與效果有關，包括業績和盈利目標的實現，需要反映企業運營所處的特定經營、行業和經濟環境。經營目標來自公司的戰略目標和戰略計劃，并與之緊密聯系，是隨著具體對象和不同時段制訂的，這些目標應針對每個重要業務活動并與其他業務活動保

38、持一致。經營目標方面的關注點主要包括以下幾點：（1）經營目標與公司戰略目標及戰略計劃一致；（2）經營目標適應公司所處的特定經營環境、行業和經濟環境等；（3）各個業務活動目標之間保持一致；（4）所有重要業務流程與業務活動目標相關；（5）適當的資源及有效配置（6）管理層制定的公司經營目標及其對目標的負責程度。3、報告目標報告目標與財務報告及其相關信息的真實完整有關。可靠的報告能夠為管理層提供適合其既定目標的準確而完整的信息，支持管理層的決策，并對主體活動和業績實施有效監控。報告目標方面的關注點主要包括以下幾點：（1）管理層決策及對公司活動、業績監控的準確、及時、完整的信息的對內報告；（2）滿足投資

39、者、監管部門及其他相關信息需求者真實、可靠、完整的信息的對外報告；（3）反映信息的全面性，包括財務信息與非財務信息。4、資產安全目標資產安全目標是內部控制的基本目標，包括：防止企業無效率經營，損失資產；防止員工舞弊；防止公司資產被盜等。資產的安全與完整對于我國企業尤其是國有企業具有非常重要的現實意義，近年來國有資產流失的案件屢有發生，內部控制應該把資產安全作為一個重要的目標來加以實現。資產安全目標方面的關注點主要包括以下幾點：（1）關注企業日常經營活動的效率；（2）提高企業的生產力和競爭力；（3）防止資產縮水；（4）關注資產使用及處置的授權情況。5、合規目標合規目標與企業各項活動的合法性有關。

40、企業進行內部控制建設必須符合相關的法律和法規。企業需要根據相關的法律法規制定最低的行為標準并作為企業的遵循目標，企業的合規記錄可能對它在社會上的聲譽產生極大的正面或負面影響。合規目標方面的關注點主要包括：公司的各項活動符合法律法規的要求，通常涉及知識產權、市場、價格、稅收、環境、員工福利以及國際貿易等。內部控制目標的設定（一）制訂戰略目標企業的戰略目標一般是穩定的，但與其相關的業務層面的目標具有動態性，會隨著內部和外部的條件而調整。在企業風險管理目標的設計過程中，首先要確定企業層面的目標，即戰略目標。戰略目標需要通過董事會及員工的相互溝通后確定，同時還要有支持其實現的資金預算及戰略計劃。戰略目

41、標的制訂需要經過如下5個階段。（1）明確企業發展目標。企業在長期規劃中應明確自身的發展目標和發展方向，通過培訓、發放宣傳手冊、領導講話等方式將企業層面的目標清晰地傳達給員工。（2）制訂實現目標的戰略規劃。企業通過SWOT分析，在了解自身的優勢、劣勢、機會和威脅的基礎上制訂幫助企業實現目標的戰略規劃。（3）制訂年度計劃及資金預算。企業根據制訂的中長期戰略規劃，編制年度經營計劃。該年度經營計劃應符合企業中長期戰略規劃的效益目標、投資方向和投資結構。（4）企業編制年度預算。企業應按照上下結合、分級編制、逐級匯總的原則編制全面預算，將戰略目標進一步分解、細化與落實。（5）企業編制企業預算管理辦法，明確

42、編制預算的基本原則、內容、編制依據等。（二）確定業務層面目標業務層面目標包括合規目標、資產目標、報告目標和經營目標它來自企業戰略目標及戰略規劃，并制約或促進企業戰略目標的實現。業務層面的目標應具體并具有可衡量性，并且與重要業務流程密切相關。業務層面目標的制訂需要經過如下四個階段。（1）設定業務層面目標。企業的總目標及戰略目標規劃為業務層面目標的設定指明了方向，業務層面根據自身的實際情況及總體目標的要求提出本單位的目標，通過上下不斷溝通最終確定。（2）根據企業的發展變化，定期更新業務活動的目標。（3）配置資源以保證業務層面目標的順利實現。企業在確定各業務單位的目標之后，將人、財、物等資源合理分配

43、下去，以保證各業務單位有實現其目標的資源。（4）分解業務目標并下達。企業確定業務層面的目標后，再將其分解至各具體的業務活動中，明確相應崗位的目標。（三）合理確定風險承受能力為了合理地確定風險承受能力，在目標設定階段，企業必須解決以下3個基本問題。（1）風險偏好。風險偏好是指企業在實現其目標的過程中愿意接受的風險程度。可以采用定性和定量兩種方法對風險偏好加以度量。風險偏好與企業的戰略直接相關，在戰略制定階段，企業應進行風險管理，考慮將該戰略的既定收益與企業的風險偏好結合起來，目的是幫助企業的管理者在不同的戰略之間選擇與企業的風險偏好相一致的戰略。（2）風險容忍度。風險容忍度是指在企業目標實現的過

44、程中對差異的可接受程度，是企業在風險偏好的基礎上設定的對相關目標實現過程中所出現的差異的可容忍限度。企業風險管理（2016）將風險容忍度確定為可接受的績效變動區間，該定義更加明確和可度量，有助于組織在給定績效目標下量化可以承受的風險邊界。（3）風險組合觀。風險管理要求企業管理者以風險組合的觀點看待風險，對相關的風險進行識別并采取措施，以使企業所承受的風險在風險偏好的范圍內。對企業內每個單位而言，其風險可能落在該單位的風險容忍度范圍內，但從企業總體來看，總風險可以超過企業總體的風險偏好范圍。因此，應以企業總體的風險組合的觀點看待風險。風險分析的定義和目的我國企業內部控制基本規范第二十四條規定：企

45、業應當采用定性定量相結合的方法，按照風險發生的可能性及影響程度等，對識別的風險進行分析和排序，確定關注重點和優先控制的風險。企業進行風險分析應當充分吸收專業人員，組成風險分析團隊，按照嚴格規范的程序開展工作，確保風險分析結果的準確性。風險分析是在風險識別的基礎上對風險發生的可能性、影響程度等進行描述、分析、判斷，并確定風險重要性水平的過程。管理層根據被識別的風險的重要性來計劃如何應對風險。風險分析應達到以下目的：（1）對各個風險進行比較，根據分析風險的不確定性和后果，確定風險的先后順序；（2）確定風險事件之間的關系，表面上看起來不相干的多個風險事件可能是由一個共同的風險源所造成的，因此應當理順

46、風險事件之間的關系；（3）進一步量化已識別風險的發生概率和后果，減少風險發生概率和后果估計的不確定性，必要時根據形勢的變化重新評估風險發生的概率和可能的后果。風險分析的方法風險分析的方法一般包括定量分析方法和定性分析方法。但當前最常用的分析方法一般都是定量和定性的混合方法，對一些可以明確賦予數值的要素直接賦予數值，對難于賦值的要素使用定性方法，這樣不僅可以清晰地分析企業資產的風險情況，而且也極大地簡化了分析的過程，加快了風險分析的進度。（一）定量分析法定量分析法就是對風險的程度用直觀的數據表示出來，其主要思路是對構成風險的各個要素和潛在損失的程度賦予數值或貨幣金額這樣風險分析的整個過程和結果都

47、可以被量化了。在度量風險的所有要素（資產價值、脆弱性級別等）中，風險分析人員計算資產暴露程度，計算控制成本以及確定所有其他值時，應盡量具有相同的客觀性。風險大小的判斷可以根據風險暴露的大小乘以風險發生的概率加以確定。目前比較常用的定量分析方法有：MPY（年度可能最大損失）值估計法、情景分析法、VAR（風險價值）法、敏感性分析等。1、MPY值估計法MPY值估計法是評估一般危害性風險的方法，是指在某一特定年度中，單一風險單位或多個風險單位遭受一種或多種事故所致的最大總損失。年度最大可信總損失與年度預期總損失不同，年度預期損失是平均損失，而年度可信總損失與風險管理人員的主觀判斷有關。2、情景分析法情

48、景分析法是通過假設、預測、模擬等手段生成未來情景，并分析其對目標產生影響的一種分析方法。該方法根據發展趨勢的多樣性，通過對系統內外相關問題的系統分析，設計出多種可能的未來前景，然后用類似于撰寫電影劇本的手法，對系統發展態勢做出詳細的情景和畫面的描述。當一個項目持續的時間較長時，往往要考慮各種技術、經濟和社會因素的影響，可用情景分析法來預測和識別其關鍵風險因素及其影響程度。情景分析法對以下情況特別有用：提醒決策者注意某種措施或政策可能引起的風險或危機性的后果；建議需要進行監視的風險范圍；研究某些關鍵性因素對未來過程的影響；提醒人們注意某種技術的發展會給人們帶來哪些風險。3、VAR法VAR法即風險

49、價值法，是指在正常的市場條件和給定的置信度內，某種投資組合在既定時期內所面臨的市場風險大小和可能遭受的潛在最大價值損失。VAR把對預期的未來損失的大小和該損失發生的可能性結合起來，不僅讓投資者知道發生損失的規模，而且知道其發生的可能性，是一種數量化市場風險的重要度量工具。VAR法利用統計技術來度量投資風險，對某個有價證券，在市場條件下，對給定的時間區間的置信水平a，VAR給出了該有價證券最大可能的預期損失，即可以保證損失不會超過VAR的概率為1a。計算VAR常用的方法主要有3種。（1）歷史模擬法。該方法是借助于計算過去一段時間內的資產組合風險收益的頻度分布，通過找到歷史上一段時間內的平均收益以

50、及在既定置信水平a下的最低收益率，計算資產組合的VAR值。（2）方差一協方差法。該方法的基本思路為：首先，利用歷史數據計算資產組合的收益的方差、標準差、協方差；其次，假定資產組合收益是正態分布，可求出在一定置信水平下，反映了分布偏離均值程度的臨界值；最后，建立與風險損失的聯系，推導VAR值。（3）蒙特卡羅模擬法。它是基于歷史數據和既定分布假定的參數特征，借助隨機產生的方法模擬出大量的資產組合收益的數值，再計算VAR值。4、敏感分析法敏感分析法是指通過對項目各種不確定因素在未來發生變化時對經濟效果指標影響程度的比較，找出敏感因素，提出相應對策。它是在項目評價的不確定分析中被廣泛運用的主要方法之一

51、。在項目計算期內可能發生變化的因素主要有建設投資、產品產量、產品售價、主要原材料供應及價格、勞動力價格、建設工期及外匯匯率等。敏感性分析就是要分析預測這些因素單獨變化或多因素變化時對項目內部收益率、靜態投資回收期和借款償還期等的影響。這些影響應是用數字、圖表或曲線的形式進行描述，使決策者了解不確定因素對項目評價的影響程度，確定不確定性因素變化的臨界值，以便采取防范措施，從而提高決策的準確性和可靠性。各因素的變化都會引起效益指標的一定變化，但其影響程度卻各不相同。有些因素小幅度變化，就能引起經濟評價指標發生較大幅度的波動；而另一類因素即使發生了較大幅度的變化，對經濟效益指標的影響也不是很大。一般

52、把前一類因素稱為敏感性因素，后一類稱為非敏感性因素。敏感性分析的目的就是要篩選敏感性因素和非敏感性因素。敏感性分析的步驟如下。（1）確定敏感性分析指標。投資項目經濟評價有一整套指標體系，在進行敏感性分析時，應選擇最能反映項目經濟效益的一個或幾個主要指標進行分析。最基本的分析指標是內部收益率，根據項目的實際情況也可選擇凈現值或投資回收期等指標，必要時可同時針對兩個或兩個以上的指標進行敏感性分析。（2）選擇敏感性分析的不確定因素。影響項目經濟效益指標的因素很多，如產品產量、價格、經營成本、投資額、建設期和生產期等。在實際的敏感性分析中，沒有必要也不可能對所有因素進行分析。根據項目特點，結合經驗判斷

53、選擇對項目影響效益較大且重要的不確定因素進行分析。經驗表明，應主要對銷售收入、產品價格、產量、經營成本、建設投資等不確定因素進行敏感性分析。（3）確定不確定因素的變化范圍。在選擇不確定因素分析基礎上，還要進一步分析不確定因素的可能變動范圍。一般選擇不確定因素變化的百分率為+5%、+10%、土15%、土20%等，對于不便用百分數表示的因素，可采用延長一段時間表示，如延長一年。（4）計算敏感性分析指標。為較準確反映項目評價指標對不確定因素的敏感程度，分析不確定因素的變化使項目由可行變為不可行的臨界數值，應計算敏感度系數和臨界點指標。敏感度系數。敏感度系數指項目評價指標變化的百分率與不確定因素變化的

54、百分率之比。敏感度系數高，表示項目效益對該不確定因素敏感程度高。臨界點。臨界點是指不確定性因素的變化使項目由可行變為不可行的臨界數值，可采用不確定性因素相對基本方案的變化率或相對應的具體數值表示。當該不確定性因素為費用科目時，即為其增加的百分率，當其為效益科目時為降低的百分率。臨界點也可用該百分率對應的具體數值表示。當不確定因素的變化超過了臨界點所表示的不確定因素的極限變化時，項目將由可行變為不可行。臨界點的高低與計算臨界點指標的初始值有關。若選取基準收益率為計算臨界點的指標，對于同一個項目，隨著設定基準收益率的提高，臨界點就會變低；而在一定的基準收益率下，臨界點越低，說明該因素對項目評價指標

55、影響越大，項目對該因素就越敏感。從根本上說，臨界點計算是使用插值法，也可以借助于計算機的相關軟件，由于項目評價指標的變化與不確定因素變化之間不是直線關系，當通過直線圖求解時也會存在一定的誤差。（二）定性分析法定性分析法與定量分析法的區別在于不需要對資產及各相關要素的分配確定數值，而是賦予一個相對值。在風險管理過程中，風險分析是最困難的。風險經理往往陷入兩難的境地，即為了追求準確，就必須應用復雜的概率計算方法和采用精度較高的模型，但是限于資料的稀缺和時間的緊迫，這種方法或模型就被迫放棄。大多數的風險經理寧愿放棄準確度的較高要求而采用定性的預測方法，即將風險的概率估計予以主觀量化。據統計，75%的

56、項目經理采用的風險分析方法是專家調查打分法。例如，通過問卷、面談及研討會的形式進行數據收集和風險分析，這個方法涉及各業務部門的人員，這個過程帶有一定的主觀性，往往需要憑借專業咨詢人員的經驗和直覺，或者業界的標準和慣例，因此，為風險各相關要素（資產價值、威脅、脆弱性等）的大小或高低程度定等級時，可以運用定性分析方法將風險分為高、中、低三個等級。通過這樣的方法，對風險的各個分析要素賦值后，可以定性地區分這些風險的嚴重等級，避免了復雜的賦值過程簡單且又易于操作。定性分析法的步驟一般如下。第一步，確定風險因素（或稱威脅）發生的可能性。假定把威脅的可能性定為五級。第二步，通過風險分析對風險確定等級。風險

57、等級一般可以分為高、中、低三個等級，也可以分為四級或者五級。第三步，根據上面兩張表編制風險矩陣表。企業管理層肯定不能接受H，對M要根據具體情況考慮是否應采取相應的對策來減少這種風險，對L應當能接受，但需要加強對風險的控制，不使其損失面擴大。定性分析的操作方法可以多種多樣，包括小組討論（例如Delphi方法）、檢查列表、問卷、人員訪談、調查等。定性分析操作起來相對容易，但也可能因為操作者經驗和直覺的偏差而使分析結果失準。內部監督的內容（一）內部監督及其職能企業內部監督一般應由內部審計承擔。內部審計作為企業內部控制的一部分，能夠協調管理層更有效地履行其責任，提高企業的運作效率并增強其活動的附加值。

58、內部審計是由被審計單位內部的機構或人員，對其內部控制的有效性、財務信息的真實完整性以及經營活動的效率和效果等開展的一種評價活動，是與獨立審計、政府審計并列的三種審計類型之一。它的目的是發現并預防錯誤和舞弊，提高企業的運作效率，為企業增加價值。它采取系統化、規范化的方法對企業的內部控制、風險管理進行檢查和評價，并提供建議等咨詢服務，來提高他們的效率，從而幫助實現企業的目標。企業內部審計的職能如下。（1）監督職能。監督職能是內部審計的基本職能。（2）控制職能。內部審計機構是集團的一個重要職能部門，它獨立于其他各部門和其他控制系統，是對其他控制的一種再控制，與其他控制形式相比，更具有獨立性、權威性和

59、全面性。內部審計又是內部控制的特殊構成要素，是對內部控制實施的再控制。（3）評價職能。通過內部審計可以熟悉子公司的生產經營情況和財務狀況，并且由于內部審計部門獨立于子公司，更能客觀、公正地評價子公司的管理情況和運行業績。（4）服務職能。內部審計可以通過事前、事中和事后控制為管理當局的決策、計劃、控制提供依據，這些都充分體現了內部審計的服務職能。企業制定內部審計規范，明確審計的范圍、責任和計劃，以此為基礎合理配置審計人員，并要求他們遵守企業職業道德規范及內部審計規范；內部審計部門應具有適當的地位并有足夠的資源履行其職責；內部審計部門根據授權可以參加有關經營及財務管理的決策會議，對管理中存在的薄弱

60、環節、違反國家法律法規的行為、內部控制管理漏洞，向管理層及時提出調整意見。（二）內部監督的程序我國企業內部控制基本規范第四十五條規定：企業應當制定內部控制缺陷認定標準，對監督過程中發現的內部控制缺陷，應當分析缺陷的性質和產生的原因，提出整改方案，采取適當的形式及時向董事會、監事會或者經理層報告。因此，企業應強化內部監督，保證內部控制持續有效。1、制定內部控制缺陷標準（1）內部控制缺陷的相關概念內部控制缺陷，是指內部控制的設計存在漏洞，不能有效防范錯誤與舞弊，或者內部控制的運行存在弱點和偏差，不能及時發現并糾正錯誤與舞弊的情形。內部控制的缺陷包括設計缺陷和運行缺陷。設計缺陷是指缺少為實現控制目標