1、泓域/AI影像輔助診斷產品公司內部控制報告AI影像輔助診斷產品公司內部控制報告xxx投資管理公司目錄 TOC o 1-3 h z u HYPERLINK l _Toc112408544 一、 組織架構 PAGEREF _Toc112408544 h 4 HYPERLINK l _Toc112408545 二、 社會責任 PAGEREF _Toc112408545 h 9 HYPERLINK l _Toc112408546 三、 有效內部環境的屬性 PAGEREF _Toc112408546 h 12 HYPERLINK l _Toc112408547 四、 控制的層級制度 PAGEREF _T

2、oc112408547 h 16 HYPERLINK l _Toc112408548 五、 企業風險管理 PAGEREF _Toc112408548 h 19 HYPERLINK l _Toc112408549 六、 內部牽制 PAGEREF _Toc112408549 h 28 HYPERLINK l _Toc112408550 七、 內部控制的相關比較 PAGEREF _Toc112408550 h 30 HYPERLINK l _Toc112408551 八、 企業內部控制規范體系的結構 PAGEREF _Toc112408551 h 34 HYPERLINK l _Toc1124085

3、52 九、 控制活動的基本原理 PAGEREF _Toc112408552 h 35 HYPERLINK l _Toc112408553 十、 內部控制的種類 PAGEREF _Toc112408553 h 37 HYPERLINK l _Toc112408554 十一、 控制活動類業務流程 PAGEREF _Toc112408554 h 41 HYPERLINK l _Toc112408555 十二、 控制手段類業務流程 PAGEREF _Toc112408555 h 57 HYPERLINK l _Toc112408556 十三、 公司治理與內部控制的聯系 PAGEREF _Toc1124

4、08556 h 63 HYPERLINK l _Toc112408557 十四、 公司治理與內部控制的融合 PAGEREF _Toc112408557 h 66 HYPERLINK l _Toc112408558 十五、 內部控制的演進 PAGEREF _Toc112408558 h 69 HYPERLINK l _Toc112408559 十六、 內部控制演進過程總結 PAGEREF _Toc112408559 h 83 HYPERLINK l _Toc112408560 十七、 起步和探索階段 PAGEREF _Toc112408560 h 85 HYPERLINK l _Toc11240

5、8561 十八、 發展與創新階段 PAGEREF _Toc112408561 h 87 HYPERLINK l _Toc112408562 十九、 公司概況 PAGEREF _Toc112408562 h 89 HYPERLINK l _Toc112408563 公司合并資產負債表主要數據 PAGEREF _Toc112408563 h 90 HYPERLINK l _Toc112408564 公司合并利潤表主要數據 PAGEREF _Toc112408564 h 90 HYPERLINK l _Toc112408565 二十、 產業環境分析 PAGEREF _Toc112408565 h 9

6、0 HYPERLINK l _Toc112408566 二十一、 市場規模 PAGEREF _Toc112408566 h 91 HYPERLINK l _Toc112408567 二十二、 必要性分析 PAGEREF _Toc112408567 h 92 HYPERLINK l _Toc112408568 二十三、 發展規劃 PAGEREF _Toc112408568 h 92 HYPERLINK l _Toc112408569 二十四、 項目風險分析 PAGEREF _Toc112408569 h 96 HYPERLINK l _Toc112408570 二十五、 項目風險對策 PAGER

7、EF _Toc112408570 h 98 HYPERLINK l _Toc112408571 二十六、 法人治理結構 PAGEREF _Toc112408571 h 100組織架構在我國內部控制框架中，組織架構、發展戰略、人力資源、社會責任和企業文化均屬于企業層面的控制（環境控制或基礎控制），其風險及應對有別于業務層面的控制（應用控制）。（一）組織架構的內涵及風險應對1、組織架構影響因素分析2010年，五部委聯合發布了企業內部控制配套指引。18個企業內部控制應用指引（簡稱應用指引）中有5個屬于企業層面的內部環境類指引，包括組織架構、發展戰略、人力資源、社會責任和企業文化。應用指引中內部環境類

8、指引與基本規范中內部環境構成因素一一對應，同時，豐富了基本規范的內涵并提升了我國內部環境構成因素體系的層次。組織架構指引認為組織架構是一項制度安排，明確了股東（大）會、董事會、監事會、經理層和企業內部各層級機構設置、職責權限、人員編制、工作程序和相關要求，主要包括治理結構和內部機構設置。機構設置與權責分配互為因果，內部審計本身就屬于組織的內部機構，因此，組織架構應包括治理結構、機構設置、權責分配和內部審計四個因素。在治理結構上，將股東大會納入內部環境范疇（如發展戰略方案需經股東會批準實施）。內部環境類指引緊扣發展戰略做文章，企業要實施發展戰略，必須要有科學的組織架構，履行一定的社會責任，配置合

9、理的人力資源，形成積極向上的企業文化。從發展戰略角度看，企業的根本目的不是利潤最大，也不僅僅是企業價值最大，而是更廣義的社會責任最大。企業應履行社會責任，實現戰略目標。2、組織架構的主要風險組織架構的風險主要來自兩方面。（1）治理結構形同虛設，缺乏科學決策、良性運行機制和執行力，可能發生經營失敗（2）內部機構設計不科學，權責分配不合理，可能導致機構重疊、職能交叉或缺失，運行效率低下。3、組織架構風險的主要應對措施針對以上風險采取的主要應對措施有以下幾個。（1）企業應當根據國家有關法律法規的規定，明確董事會、監事會和經理層的職責權限、任職條件、議事規則和工作程序，確保決策、執行和監督相互分離，形

10、成制衡機制。同時企業在重大決策、重大事項、重要人事任免及大額資金支付業務等（即通常所說的“三重一大”）方面，應當按照規定的權限和程序實行集體決策審批或者聯簽制度，任何個人不得單獨進行決策或者擅自改變集體決策意見。（2）企業應當按照科學、精簡、高效、透明、制衡的原則，綜合考慮企業性質、發展戰略、文化理念和管理要求等因素，合理設置內部職能機構，明確各機構的職責權限，避免職能交叉、缺失或權責過于集中，形成各司其職、各負其責、相互制約、相互協調的工作機制。（3）企業應當根據組織架構的設計規范，對現有治理結構和內部機構設置進行全面梳理，確保本企業治理結構、內部機構設置和運行機制等符合現代企業制度要求。（

11、4）擁有子公司的企業，應當建立科學的投資管控制度，通過合法有效的形式履行出資人職責、維護出資人權益，重點關注子公司特別是異地、境外子公司的發展戰略、年度財務預決算、重大投融資、重大擔保、大額資金使用、主要資產處置、重要人事任免、內部控制體系建設等重要事項。對子公司控制一直是企業集團層面關注的一個重要問題，組織架構應用指引在綜合調研的基礎上提出此項要求，對實務操作具有重要指導作用。（二）治理結構公司制企業中股東大會（權力機構）、董事會（決策機構）、監事會（監督機構）、總經理層（日常管理機構）這四個法定剛性機構為內部控制機構的建立、職責分工與制約提供了基本的組織框架，但并不能滿足內部控制對企業組織

12、結構的要求，內部控制機制的運作還必須在這一組織框架下設立滿足企業生產經營所需要的職能機構。企業內部控制基本規范第十四條規定：企業應當根據國家有關法律法規和企業章程，建立規范的公司治理結構和議事規則，明確決策、執行、監督等方面的職責權限，形成科學有效的職責分工和制衡機制。因此，企業應當根據國家有關法律法規，結合企業自身股權關系和股權結構，明確董事會、監事會和經理層的職責權限、任職條件、議事規則和工作程序；確保決策、執行和監督相互分離、有機協調；確保董事會、監事會和經理層能夠按照法律、法規和企業章程的規定行使職權。企業應當在企業章程中規定股東大會對董事會的授權原則，授權內容應當明確具體。（三）機構

13、設置及責權分配任何企業要達成其整體目標，必須構建一定的組織機構。企業的組織機構提供了計劃、執行、控制和監督活動的框架，確立了適當的溝通和協調渠道，保證了組織中成員具有與其所履行職責相適應的知識、經驗和能力。對于企業而言，要根據公司的具體發展戰略確定組織結構。企業內部控制基本規范第十四條要求企業應當結合業務特點和內部控制要求設置內部機構，明確職責權限，將權力與責任落實到各責任單位。組織機構是通過提供完整的架構作用于組織實現其目標的能力；是規定組織內部責任與授權的線型結構；是確認責任分配和授權的關鍵領域；功能是確認報告路徑：機構設置必須覆蓋計劃、執行、控制、監督等組織活動的全部，其中，控制與監督的

14、區別是，控制是保證正確執行計劃的組織安排，而監督是控制有效的組織安排；組織結構設計的哲學意義是“是什么”“做什么”“如何做”；機構設置要保證合理的流水線模式，部門設置少一個不夠用、多一個又冗余，部門功能必須是線型的、支持的，而非攔截的。關鍵回答三個問題：所有的事是否都有人做？行為者是否充分授權行事？所有行為是否有人承擔責任？組織結構設計不確定：對權力定義不清或定義錯誤，導致權力的渙散。權力與責任不對稱，權力結構不穩定，權力成為公開招標物導致權力者互相沖突和耍政治手腕。企業應當結合業務特點和內部控制要求設置內部機構，明確職責權限，將權力與責任落實到各責任單位。企業應當通過編制內部管理手冊，使全體

15、員工了解內部機構設置、崗位職責、業務流程等情況，明確權責分配，正確行使職權。按照基本規范的要求，機構設置及內控職責分工如下：（1）監事會對董事會建立與實施內部控制進行監督。（2）監事會對董事會建立與實施內部控制進行監督。（3）經理層負責組織領導企業內部控制的日常運行。企業應當成立專門機構或者指定適當的機構具體負責組織協調內部控制的建立實施及日常工作。（4）審計委員會負責審查企業內部控制，監督內部控制的有效實施和內部控制自我評價情況，協調內部控制審計及其他相關事宜等。審計委員會負責人應當具備相應的獨立性、良好的職業操守和專業勝任能力。（四）內部審計內部審計是公司內部的一種獨立客觀的監督、評價和咨

16、詢活動，通過對經營活動及內部控制的適當性、合法性和有效性進行審查、評價和提出建議，促進改善公司運行的效率效果、實現公司發展目標。企業應當加強內部審計工作，保證內部審計機構設置、人員配備和工作的獨立性。內部審計機構應當結合內部審計監督，對內部控制的有效性進行監督檢查。內部審計機構對監督檢查中發現的內部控制缺陷，應當按照企業內部審計工作程序進行報告；對監督檢查中發現的內部控制重大缺陷，有權直接向董事會及其審計委員會、監事會報告。社會責任企業創造利潤或實現股東財富最大化固然很重要，但在經濟社會高速發展的當今時代，尤其是我國作為發展中國家，在大力發展社會主義市場經濟的過程中，企業作為最重要的市場主體，

17、如果不顧一切地追逐利潤，是不符合科學發展觀，不利于建設和諧社會的。因此，履行社會責任是企業義不容辭的義務，是企業的光榮使命。社會責任是指企業在經營發展過程中應當履行的社會職責和義務，主要包括安全生產、產品質量（含服務）、環境保護、資源節約、促進就業、員工權益保護等。企業履行社會責任可以增加企業的安全生產意識，防止企業發生重特大安全事故，可以增強企業的環境保護意識，避免造成環境污染，導致企業巨額賠償或停產整頓。企業創造利潤和履行社會責任兩方面是統一的有機整體，相輔相成，并不矛盾。企業承擔了社會責任將有助于改善企業的形象，提高品牌美譽度，進而吸引更多的客戶，增強企業的經濟效益。企業履行社會責任是提

18、升發展質量的重要標志，是實現企業可持續長遠發展的根本所在。眾所周知，如果企業做不到安全生產，事故頻繁，造成人員傷亡，必然是欲速則不達甚至導致關閉。由此可見，企業在制定和實現發展戰略過程中，應當充分考慮履行社會責任的要求，從根本上轉變發展方式，實現長遠發展的目標。那么企業應該如何履行社會責任呢？第一，企業負責人要高度重視這項工作，樹立社會責任意識，形成履行社會責任的企業價值觀和企業文化。第二，要把履行社會責任融入企業發展戰略，落實到生產經營的各個環節，逐步建立和完善企業社會責任指標和考核體系，為企業履行社會責任提供堅實的基礎與保障。第三，建立社會責任報告制度，發布社會責任報告，讓股東、債權人、員

19、工、客戶、社會等各方面知曉自己在社會責任領域所做的工作，這樣可以增強企業的戰略管理能力，全面提高企業服務能力和水平，提高企業的品牌形象和價值。（一）社會責任的主要風險企業應當明確社會責任面臨的主要風險，以及這些風險可能導致的后果。（1）安全生產措施不到位，責任不落實，導致企業發生安全事故。（2）產品質量低劣，侵害消費者利益，導致企業巨額賠償、形象受損，甚至破產。（3）環境保護投入不足，資源耗費大，造成環境污染或資源枯竭，導致企業巨額賠償、缺乏發展后勁，甚至停業。（4）不重視就業和員工權益保護，導致員工積極性受挫，影響企業發展和社會穩定。（二）社會責任風險的應對措施針對社會責任面臨的風險及影響，

20、企業采取的應對措施包括以下幾個方面。（1）設立安全管理部門和安全監督機構，建立嚴格的安全生產管理體系、操作規范和應急預案，強化安全生產責任追究制度，切實做到安全生產。（2）規范生產流程，建立嚴格的產品質量控制和檢驗制度，嚴把質量關，嚴禁將缺乏質量保障、危害人民生命健康的產品流向社會。（3）提高員工的環境保護和資源節約意識，建立環境保護與資源節約制度，認真落實節能減排責任，積極開發和使用節能產品，發展循環經濟，降低污染物排放，提高資源綜合利用效率。（4）依法保護員工的合法權益，保障員工依法享有勞動權利和履行勞動義務，保持工作崗位相對穩定，積極促進充分就業。（5）針對目前少數企業對公益事業（如接納

21、大學生實習等）、慈善事業等漠不關心的情況，社會責任應用指引指出，企業應當按照“產學研用”相結合的社會需求，積極創建實習基地，大力支持社會有關方面培養、鍛煉社會需要的應用型人才；同時，應積極履行社會公益方面的責任和義務，關心幫助社會弱勢群體，支持慈善事業。有效內部環境的屬性組織的董事會和執行管理層構建控制環境。不過需要說明的是沒有一個絕對正確的內部環境，但存在有效的內部環境屬性。這些屬性可以采用許多不同的方法得到執行。有些屬性是共同的，但是大部分屬性將根據組織情況而選擇不同的實施方法。一個有效的內部環境的屬性主要包括以下內容。1、行為守則政策幾乎所有組織都承認制定行為守則政策的必要性。行為守則政

22、策是指管理層對行為的定義，所有員工，包括執行管理層應當證實履行了他們的日常職責。2、企業的價值觀公司確定的愿景是組織目標的理想化表述。例如Alibaba的愿景為“旨在構建未來的商務生態系統。我們的愿景是讓客戶相會、工作和生活在阿里巴巴，并持續發展最少102年”。在實現愿景方面，公司需要建立其希望融合到操作程序中的價值觀。例如，阿里巴巴集團的6個價值觀對于我們如何經營業務、招攬人才、考核員工以及決定員工報酬等方面具有指導性作用，具體包括如下內容。（1）客戶第一：客戶是衣食父母。（2）團隊合作：共享共擔，平凡人做非凡事。（3）擁抱變化：迎接變化，勇于創新。（4）誠信：誠實正直，言行坦蕩。（5）激情

23、：樂觀向上，永不言棄。（6）敬業：專業執著，精益求精。這些價值觀需要被融合到執行工作和制定決策中去。例如阿里巴巴以客戶第一為目標，馬云在2014年赴美上市前向員工發布郵件，上市后仍堅持客戶第一，員工第二，股東第三的原則。3、首席執行官成為楷模組織的高級職員應當以言傳身教的方式教導所有員工遵守行為法則。對“首席執行官成為楷模”最好的描述是首席執行官必須“言行一致”。換句話說，如果首席執行官希望員工在公務旅行中遵守財務的限制性規定，例如，出差乘坐飛機的二等艙，那么除非有一個可以不這樣做的商務理由，否則，首席執行官應當遵守規定。如果首席執行官希望公司中的每個員工根據內部控制的原則接受培訓，那么，首席

24、執行官也應當參加此類培訓。如果首席執行官想要成為一個楷模他必須以自身的表現和態度告訴組織內所有員工應該怎么做。4、組織結構（職責分離）董事會和高級管理層必須設定組織的結構，并進行適當的職責分離，以便能以高效和便捷的方式完成組織的使命。盡管不存在應用于所有組織的“正確”組織結構，然而，在COSO內部控制整合框架中所包含的指南提供了被認為是好的組織結構的指引。該指南的描述如下：組織結構應當既不能太簡單，以至于無法適當地監督企業的活動，也不能太復雜，以至于禁止必要的信息流。主管人員應當完全了解他們的控制責任，并且具有與他們職務相匹配的經驗和知識。有效組織的五個特征包括以下幾方面。（1）整個組織結構應

25、當是有能力提供管理其活動所必需的信息流；（2）應當界定主要經理們的職責和他們對這些職責的理解；（3）報告關系是適當的；（4）應當根據變化的情況對組織結構做出修正；（5）在管理和監督能力方面，有足夠的熟練技工執行組織的各項活動。5、人員的勝任能力所有的內部控制都是針對“人”這一特殊要素而設立和實施的，再好的制度也必須有人去執行，可以說，人員的品行和素質是內部控制效果的一個決定性因素。因此，人的品行和能力是決定性的內部環境因素。另外，員工的品德與能力既是決定性的內部環境因素，直接影響著內部控制其他要素的建設和運行；也是根本性的內部環境因素，影響著其他控制環境因素的優劣。企業沒有德才兼備的決策人員，

26、就不可能制定出科學合理的發展戰略；沒有德才兼備的治理人員特別是獨立董事，治理層就不可能有效地履行對內部控制的治理、指導和監督職責；沒有德才兼備的管理人員特別是高級管理人員，管理層就不可能有合理的管理理念和經營風格。在企業的各類人員中，董事和高級管理人員的品德和能力格外重要，它不僅直接影響治理層對內部控制監督與指導職責的履行，管理層對企業經營管理“基調”的設定，而且影響到他們對其他員工的招聘、任用、考核，從而影響其他員工的品德與能力。員工的品德是企業的重要資源。COSO（1992）框架認為“經營良好的企業的管理人員已越來越接受道德是值得的的觀點一道德行為是一項很好的業務”。員工品德影響著內部控制

27、其他構成要素的設計、執行和監控。“內部控制的有效性不可能脫離建立、執行和監控它們的人員的誠信和道德價值觀。”6、其他方面很多因素都會影響內部環境有效性，除了行為守則政策、企業的價值觀、首席執行官成為楷模等屬性之外，還包括職責與權力的特別委派和溝通、一般授權與責任制、內部審計、資產保護和規定的流程等。控制的層級制度內部控制不是在真空中存在的，它涉及人員、政策和程序，是對組織自身的一種控制環境。內部控制是主觀的，因為它依賴于管理層認為控制有多重要，是否選擇有效的戰略，如何監督和實施控制。內部控制的每一個有意義的檢查都必須考慮環境。由管理層建立的內部環境會對一個組織的控制程序與技術的有效性產生重要的

28、影響。控制環境的形成會受到很多因素的制約。有些因素清晰可見，如正式的公司政策聲明或內部審計職能。有些因素是無形的，如職業勝任能力和人員的誠實性。國際注冊內部控制師通用知識與技能指南把內部控制視為一個三級分類的控制層級制度。在層級制度的頂端是內部環境，即“公司治理”另外兩個層級控制措施的執行與效果。在內部環境控制之下是系統控制，最底層的是交易處理控制。控制措施的有效性是從內部環境開始向下移動的。換句話說，如果環境控制是薄弱的，其他層級的控制將不會有效。例如，如果管理層不創建一個希望員工能保護數據安全性的環境，員工或許不關心保存密碼的重要性。在一個松散的內部環境控制中，個人可能把密碼標簽貼在計算機

29、終端上。如果對系統的控制措施是薄弱的，交易處理的控制措施將同樣是薄弱的。有效地控制是董事會和組織中每個員工的責任。管理層創建一個內部環境是很重要的，在這一環境中每個員工都認為控制是很重要的，并且成為控制的積極參與者，以確保那些需要控制的事項真正得到控制。執行管理層有責任創建有益于控制措施實施、監督控制和處罰違反控制行為的環境。在創建控制措施并確保控制措施得到貫徹執行方面，管理層必須提出有效的內部環境控制的屬性和管理層的職責。董事會負有監督內部環境的責任，并強調解決違反控制的行為。董事會應當要求首席執行官提供內部環境的適當保證。所有重大的違反控制的行為和對這些行為采取的糾正行動都應當通知董事會。

30、為了有助于實現這些控制職責，董事會任命獨立審計師和內部審計師幫助他們評價控制措施是否適當，并保證他們遵守控制措施。中級管理層有責任對他們的職能領域建立控制目標。例如，信息技術部門可能設立一個控制目標，要求所有軟件在安裝進入系統之前，應接受單獨的測試；應收賬款管理部門可能設立一個目標，要求所有已開發票的物品，不管是款項已收訖還是需要催收，都應該在應收款項中予以適當地記錄。員工有責任執行和操作控制措施。在大多數的組織內，信息技術部門職員的工作涉及職能領域中的全體員工，這有助于信息技術部門確定所需要控制的程度。企業風險管理（一）企業風險管理（2004）架構1、基本框架2004年，COSO為企業風險管

31、理確立了一個可普遍接受的定義，該定義融入眾多觀點并達成共識，為各組織識別風險和加強對風險的管理提供了堅實的理論基礎，即企業風險管理是一個受企業董事會、管理層和其他人士影響的過程，運用于制訂戰略之中，并且貫穿整個企業，用以識別可能影響該企業的潛在事項，并且將風險控制在風險偏好的范圍之內，為達到實體目標提供合理的保證。企業風險管理（2004）框架的主要貢獻就在于，其重新界定了風險管理，即由目標、要素和組織三個維度組成的有機整體。第一維度為企業的目標，即戰略目標、經營目標、報告目標和合規目標。在主體既定的使命或愿景范圍內，管理當局制訂戰略目標、選擇戰略，并在企業內自上而下設定相應的目標。企業風險管理

32、框架力求實現主體的戰略目標、經營目標、報告目標和合規目標。戰略目標與高層目標相關，和企業使命相一致，企業所有的經營管理活動必須長期有效地支持該使命。經營目標與企業運營的效果和效率相關，包括業績和利潤目標，運營變化以管理當局對結構和業績的選擇為基礎，旨在使企業能夠高效地使用資源。報告目標與組織報告可靠性相關，包括對內報告和對外報告，涉及財務和非財務信息。合規目標層次較低，也是最基礎的目標，與組織遵循相關法律法規有關。第二維度為構成要素，即內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通和監控。第三維度組織是企業的層級，包括主體層次、分部、業務單元及子公司。三個維度的關系是，

33、全面風險管理的八個要素都是為企業的四個目標服務的；企業各個層級都要堅持同樣的四個目標；每個層次都必須從以上八個方面進行風險管理。2、構成要素第二維度企業風險管理包含八個相互關聯的要素。它們來源于管理當局經營企業的方式，并與管理過程整合在一起。這些構成要素的含義如下。內部環境內部環境包含組織的基調，它為主體內的人員如何認識和對待風險設定了基礎，包括風險管理理念和風險容量、誠信和道德價值觀，以及他們所處的經營環境。目標設定必須先有目標，管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取適當的程序去設定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相符。事項識別必

34、須識別影響主體目標實現的內部和外部事項，區分風險和機會。機會被反饋到管理當局的戰略或目標制訂過程中。風險評估一通過考慮風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據。風險評估應立足于固有風險和剩余風險。風險應對管理當局選擇風險應對回避、承受、降低或者分擔風險采取一系列行動以便把風險控制在主體的風險容忍度和風險容量以內。控制活動一制訂和執行政策與程序以幫助確保風險應對得以有效實施。信息與溝通一一相關的信息以確保員工履行其職責的方式和時機，能被識別、獲取和溝通。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。監控對企業風險管理進行全面監控，必要時加以修正。監控可

35、以通過持續的管理活動、個別評價或者兩者結合來完成。企業風險管理并不是一個嚴格的順次過程，一個構成要素并不是僅僅影響接下來的那個構成要素。它是一個多方向的、反復的過程，在這個過程中幾乎每一個構成要素都會影響其他構成要素。3、企業風險管理（2004）框架面臨的問題企業風險管理（2004）框架在對企業風險管理進行定義時所強調的最重要也是最獨具一格的一點是“貫穿整個企業，應用于戰略制定中”。而這一點在實踐中卻被誤讀，甚至被無視。COSO最初在編制ERM框架時采用了類似于內部控制框架所使用的立方體。雖然COSO對立方體右側的內容進行了修改，刪除了有關活動和流程，改為側重于范圍更廣的實體和運營單位及分支機

36、構，但許多企業依然試圖在過于細微的層面實施該框架，例如運用于流程層面而非戰略制定。許多組織機構將企業風險管理作為一種保證活動來實施，而不是將其視為一種更佳的企業管理方式，從而失去了治理效果。2008年金融危機以及2011年的日本海嘯所引發的經濟大蕭條，“黑天鵝”“大變臉”事件頻頻爆發，ERM有關問題和價值的主張便開始明朗起來，令許多企業進入危機應對模式，企業風險管理的實施也因此受到企業特別是C級高管的真正重視。6月24日，COSO委員會發布企業風險管理：風險與戰略和績效的協調，以向公眾征求意見，截止日期為2016年9月30日。（二）企業風險管理（2016）框架的內容相對于企業風險管理（2004

37、）框架，新版企業風險管理（風險與戰略和績效的協調）（2016）使用了構成元素加原則的結構，包括5個構成元素，細分為23條原則，2013年COSO組織更新了企業內部控制框架的部分內容，在文章的整體結構上就是采用的這種結構新的結構加強了新框架的可讀性、可用性和一致性。新版ERM框架的五要素和23個原則。新版框架對ERM的定義為：組織在創造、保存、實現價值的過程中賴以進行風險管理的，與戰略制訂和實施相結合的文化、能力和實踐。可以看到，新版框架簡化了ERM的定義以方便閱讀和記憶。新定義方便的是所有讀者的理解，而不只是風險管理從業者。新定義包括文化和能力而不只是過程，更加強調風險與價值的相結合，突出價值

38、創造而不只是防止損失，這樣也避免了和內部控制定義的界限不清。新版框架中，ERM被視為戰略制定的重要組成和識別機遇、創造和保留價值的必要部分。新版框架中ERM不再是主體的一個額外的或是單獨的活動，而是融入主體的戰略和運營當中的有機部分。新版框架注意到了自舊版框架發布以來，組織在實踐ERM過程中遇到的一些問題，包括對風險管理工作的定位，風險管理工作的范圍和目標等，新版框架定義了風險管理工作的高度，包括：戰略和業務目標與使命、愿景和價值觀不匹配的可能性；選定的戰略所隱含的意義；執行戰略過程中的風險。1、風險治理和文化風險治理和文化構成了ERM所有其他部分的基礎。風險治理定下主體的基本基調，加強ERM

39、的重要性并確立ERM的監管責任的分配；文化則是主體的價值觀、行為準則和對風險的理解。（1）實現董事會對風險的監督。董事會對主體的風險監督負有首要責任。（2）建立治理和運作模式。在明確的責任分配下，組織應該建立完整的運營模式和匯報體系。（3）定義期望的組織行為。董事會和管理層通過定義其期望的行為將組織核心價值和對風險的態度具體化。（4）展現對誠實和道德的承諾。組織制定基調，建立員工行為準則并對偏離準則的行為做出回應。（5）加強問責。組織確保各個層級的個體在風險管理方面的職責明確，并確保其自身在提供準則和指導方面的職責明確。（6）吸引、發展并留住優秀的個體。致力于根據戰略和業務目標構筑人力資本，管

40、理層通過在不同層面建立人力資源管理體系來吸引、培訓、指導人才，評價和留住人才。2、風險、戰略和目標設定ERM通過制訂戰略和業務目標的過程與主體的戰略計劃融合在一起。通過對商業環境的理解，組織可以得到對內在和外在因素的看法以及它們對風險的影響。組織在戰略制訂中確定其風險偏好，而業務目標使得戰略得以實踐并形成主體日常的運營。（1）考慮風險和業務環境。組織考慮業務環境對風險圖譜的潛在影響；組織要理解業務環境，考慮內部和外部的環境和不同的利益相關者。（2）定義風險偏好。組織在創造、保存和實現價值的過程中定義風險偏好。（3）評估可供選擇的戰略。組織評估可替代的戰略和對風險狀況的影響。（4）建立業務目標的

41、同時考慮風險。組織建立不同層次的業務目標以制定和支持戰略的同時考慮風險。（5）定義可接受的績效浮動區間。可接受的績效浮動也可以理解為風險容忍度。3、執行中的風險組織識別并評估可能影響其實現戰略和業務目標的風險，結合企業的風險偏好，對風險按照其嚴重程度排分優先次序，組織選擇風險應對的方法并對績效進行監控以做出調整。這樣，企業對追求戰略和業務目標時所面臨的風險量建立起一個組合的觀念。（1）識別執行中的風險。組織識別執行過程中影響業務目標實現的風險。（2）評估風險的嚴重程度。風險評估的重要工具是風險熱力圖，熱力圖從風險發生的可能性和影響程度兩方面對風險進行評級。風險評價要從固有風險、目標剩余風險和實

42、際剩余風險三個層級進行。（3）區分風險的優先次序。組織結合風險偏好，選定對風險排分優先等級的標準，然后對所有識別的風險進行排分。（4）識別并選擇風險響應。這些控制活動在內部控制一整合框架中已經介紹。（5）評估執行中的風險。組織需要對績效進行監測，如果績效的浮動區間超出了可以接受的范圍，則可能需要重新考慮業務目標或戰略；調整目標績效，重新進行風險評估；重新進行風險優先級的排序；重新制定風險應對措施；重新確立風險偏好。（6）建立風險的組合觀。管理層需要從組織整體角度考慮風險，將組織風險作為一個整體去和實現績效目標所需要承受的風險進行對比，而不是將其視為一個個單獨的、分散的風險。4、風險信息、溝通和

43、報告溝通是在主體中不斷迭代地取得并分享信息的過程。管理層利用從內部和外部取得的有效信息來支持企業風險管理工作，組織利用信息系統來捕捉、處理和管理數據和信息。通過利用應用于所有組成部分的信息，組織就風險、文化和績效做出報告。（1）使用相關信息。組織利用支持企業風險管理的信息，首先考慮有哪些可用的信息來源，然后衡量取得這些信息的成本，最終確定需要哪些信息來源。（2）利用信息系統。信息系統可以是正式的或者是非正式的。（3）溝通風險信息。溝通的對象既包括內部的員工，也包括董事會、股東及其他外部的利益相關者。溝通方法可以是電子信息、外部/第三方材料、非正式/口頭、公共活動、培訓和研討會、內部文件。（4）

44、對風險、文化和績效進行報告。組織在各個層級對風險、文化和績效做出報告。5、監控風險管理效果通過監控風險管理（ERM）的效果，組織可以判斷ERM的各組成部分的長期運作是否良好并獲知有哪些實質性的變化。（1）對重大變化進行監控。組織識別和評估可能對戰略和業務目標的達成造成實質性影響的內部和外部變化。造成這些實質性影響的變化可能來自內部的原因，如快速成長、新技術或者管理層及其他人事變動；可能來自外部環境，例如法規和經濟環境的變化；還可能來自組織文化方面，例如并購和重組帶來的文化沖擊。（2）對ERM進行監控。組織應監控ERM的效果并隨時準備對其進行效率上和實用性上的改善，組織同樣要明確未來理想中的ER

45、M狀態，做到持續改進。內部牽制內部牽制的概念最早在1905年由特克西提出。他認為內部牽制由3部分組成：職責分工、會計記錄、人員輪換。這3部分內容在現代內部控制中都有所體現。柯勒會計詞典中對內部牽制曾做出最全面的解釋，它認為“內部牽制是指以提供有效的組織和經營，并防止錯誤和其他非法業務發生的業務流程設計。其主要特點是以任何個人，或部門不能單獨控制任何一項或一部分業務權力的方式進行組織上的責任分工，每項業務通過正常發揮其他個人或部門的功能進行交叉檢查或交叉控制。設計有效的內部牽制得以使每項業務能完整、正確地經過規定的處理程序，而在這規定的處理程序中，內部牽制機制永遠是一個不可缺少的組成部分”。由此

46、可見，內部牽制是以查錯防弊為目的，以職務分離、賬目核對為手段，以錢、賬、物等為主要控制對象。內部牽制按照實現機制的不同，可分為分離式牽制和合作式牽制兩類。（一）分離式牽制內部牽制制度的建立主要是基于兩個設想，一是兩個人或兩個以上的人或部門無意識地犯同樣錯誤的機會是很小的：二是兩個或兩個以上的人或部門有意識地合伙舞弊的可能性大大低于單獨一個人或部門舞弊的可能性。按照這樣的設想，通過內部牽制機制，實現上下牽制，左右制約，相互監督，因而具有查錯防弊這個主要功能。所謂的上下牽制是指，從縱向看，每項經濟業務的處理，至少要經過上下級有關人員之手，使下級受上級監督，上級受下級制約，促使上下級均能忠于職守，不

47、可疏忽大意。所謂左右制約是指，從橫向看，每項經濟業務的處理，至少要經過彼此不相隸屬的兩個部門的處理，使每一部門工作或記錄受另一部門的牽制，不相隸屬的不同部門均有完整的記錄，使之互相制約，自動檢查，防止或減少錯誤和弊端；同時，通過交叉核對也能及時發現錯誤和弊病。分離式牽制即不相容職務相分離，所謂不相容職務是指那些如果由一個人或一個部門擔任既可能發生錯誤和舞弊行為，又可能掩蓋其錯誤和舞弊行為的職務。不相容職務主要有授權批準、業務經辦、會計記錄、財產保管和稽核檢查等職務，包括崗位的不相容、部門的不相容以及流程的不相容。不相容職務分離主要是指授權審批與業務經辦、業務經辦與會計記錄、會計記錄與財產保管、

48、業務經辦與稽核檢查、授權批準與監督檢查等不能由一個人或一個部門進行。由此可見，內部牽制主要是以不相容職務分離為主要流程設計的，是內部控制的最初形式和基本形態。其目的是為了保證財產物資的安全和完整，防止貪污、舞弊。實踐證明，該設想是合理的，內部牽制確實起到了防范錯弊的作用。（二）合作式牽制現代內部牽制思想還包括合作式牽制。合作式牽制是指，通過合作達到相互制約、相互監督的作用。例如，會審機制，企業面對重大決策、重大業務事項、重要的人事任免以及大額資金支付時，需要領導層集體決策、集體聯簽，以防止個人決策的失誤：又如合同會簽制度，即合同在生效前不僅需要主管部門簽字蓋章還需要其他協作部門共同參與，會審、

49、會簽人員共同參與、共擔責任，以及降低決策、合同的風險。另外，企業內部各部門之間在業務上的協助也屬于合作式牽制。例如，2012年財政部頒布要求在2014年1月1日試行的行政事業單位內部控制規范中規定，重大事項需集體決策和會簽。內部控制的相關比較（一）目標的比較內部控制是一個管理系統而非技術系統，是一個防守系統而不是進攻系統，因此，內部控制要實現企業的價值最大化目標，無法依靠利益的增加而只能通過減少支出。內部控制的目標，通常指內部控制所要達到的預期效果和所要完成的控制任務。從理論上說，內部控制的目標主要取決于內部控制本身所具有的功能和人們在設計、執行內部控制時的主觀需要。內部控制的目標限于內部控制

50、功能和人們的主觀需求之間，不可能高于其本身的客觀功能，當然，也不能低于主觀需求。1、國內外相關報告的內部控制目標比較內部控制的目標并非單一的，是由幾個目標組成的目標結構或體系，并且，各目標之間存在著相互聯系。目前內部控制學關于目標的闡述有“三目標論”“四目標論”“五目標論”，這些目標深入具有不同的層次，但有一個共同的目標指向，即降低各種風險帶來的損失。對內部控制整體框架、企業風險管理框架與我國企業內部控制基本規范中所規定的內部控制目標進行的比較。標準或規范對內部控制目標的規定有所差異，主要是因為第一，確定控制目標的設定基礎。有的以內部會計控制為基礎設定（如1949年的定義），有的以內部控制為基

51、礎來設定，有的以風險管理為基礎設定；第二，頒布這些標準或規范的機構不同。有的從企業層面頒布，有的從行業層面頒布，有的從監管層面頒布。反觀我國基本規范，相較于企業風險管理框架，多了一個資產安全目標，資產安全是企業展開各種經濟活動的物質前提，但是從目標的排列次序上可以看出，我國的基本規范中規定的次序恰恰與企業風險管理報告要求的相反，這是結合我國基本實情的具體規定。一般認為，首先，企業應當在合規合法的前提下開展活動，違背了這項原則，其他目標再好也是紙上談兵。其次，保證合規合法目標實現的基礎之上，資產作為企業經濟活動的物質前提，應當保證實現資產安全的目標。再次，企業應當保證財務報告及相關信息的真實完整

52、，以便于利益相關者做出決策。與此同時，企業應當回歸到日常經營管理活動當中來，提高企業的經營效率和效果，提高經營業績是企業的大勢所趨。最后，在上述四個目標實現的基礎上，提出了企業的發展戰略。2、我國內部控制目標演進過程我國的相關法規制度對內部控制目標的界定也是一個不斷演進的過程，我國相關法規、制度對內部控制目標的界定，可以分為三個發展演進階段。第一階段，外部化階段。強調內部會計控制，突出財務報告的真實完整，主要表現在獨立審計具體準則第9號內部控制和審計風險（體現內部控制為審計服務）、財政部內部會計控制規范一基本規范等。第二階段，內部化階段。強調內部控制，在保證財務報告真實完整的前提下提高經營的效

53、率和效果，主要表現在中國注冊會計師審計準則第1211號（體現風險導向的審計內涵）、上交所上市公司內部控制指引、深交所上市公司內部控制指引等。第三階段，風險管理階段。強調企業風險管理，主要表現在五部委企業內部控制基本規范。以上三個階段說明我國內部控制目標的發展是在借鑒國外最佳實踐的基礎上，關于內部控制理念與實踐的提升。（二）內部控制要素的比較縱觀內部控制的歷史演進可以發現，從最早的內部控制“一要素”階段內部牽制階段，“二要素”階段一內部控制制度階段，“三要素”階段一內部控制結構階段，到“五要素”階段內部控制整合框架階段，再到“八要素”階段一風險管理整合框架階段，內部控制的發展歷史實際上也是內部控

54、制要素不斷充實和豐富的過程。內部控制基本要素反映了內部控制的內容，這些要素及其構成方式與整個控制過程整合在一起，決定著控制的內容與形式。企業風險管理框架在內部控制整體框架的基礎上，將風險評估分解為目標制定、事項識別、風險評估和風險應對四個要素，納入風險管理流程，突出了風險管理的重要性。而基本規范是五要素的體系結構，一方面繼承內部控制整體框架的理論成果，另一方面適當體現企業風險管理框架的先進理念，結合我國國情的基礎上將兩者有效結合。企業內部控制規范體系的結構2010年4月26日，財政部、證監會、審計署、銀監會、保監會聯合發布了企業內部控制配套指引。該配套指引包括18項企業內部控制應用指引企業內部

55、控制評價指引和企業內部控制審計指引，連同此前發布的企業內部控制基本規范，標志著適應我國企業實際情況、融合國際先進經驗的中國企業內部控制規范體系基本建成。我國內部控制規范體系分兩個層面，一是基本規范，二是配套指引。（一）基本規范企業內部控制基本規范是內部控制建設與實施應該遵循的基本原則和總體要求，具有強制性，納入實施范圍的企業應當遵照執行。（二）配套指引企業內部控制配套指引（包括應用指引、評價指引和審計指引）是對企業內部控制基本規范相關規定的進一步補充和說明具有指導性和示范性，企業可以結合所在行業要求和企業自身特點，參照配套指引的規定開展內部控制建設與實施工作。配套指引包括應用指引、評價指引和審

56、計指引，三者之間既相互獨立，又相互聯系，形成一個有機整體。1、企業內部控制應用指引應用指引是對企業按照內部控制五大原則和內部控制五大要素建立健全本企業內部控制所提供的指引，在配套指引乃至整個內部控制規范體系中占據主體地位，主要包括控制環境類指引、控制活動類指引和控制手段類指引。2、企業內部控制評價指引評價指引是為企業管理層對本企業內部控制有效性進行自我評價提供的指引，用于企業董事會或類似決策機構對內部控制有效性進行全面評價、形成評價結論、出具評價報告的過程。3、企業內部控制審計指引審計指引是為注冊會計師和會計師事務所執行內部控制審計業務的執業準則。控制活動的基本原理企業開展經營活動的目的是有效

57、、高效地使用資源。如何保證有效、高效使用資源？一般認為，企業的資源是有限的，有限的資源一定能管控，風險應該被有效控制。如何控制？由于企業資源被各種活動（如交易、經濟事項、經營業務等）使用，因此控制了活動就管理了資源。由于活動都要進入相應流程（如資金活動流程、采購業務流程、資產管理流程、銷售業務流程、研究與開發流程等），因此，控制活動的總體思路是：通過實施流程控制，在流程中找關鍵風險點（即控制點），以達到有效管控資源的目標。控制了流程也就控制了活動，企業資源融入流程后形成了企業控制架構。控制行為（政策和程序）也并非盲目實施，我國企業內部控制基本規范規定的控制程序包括不相容職務分離控制、授權審批控

58、制、會計系統控制、財產保護控制、預算控制、運營分析控制、績效考評控制和合同控制等。不同國家、不同時期控制程序不盡相同，這是由內部控制的動態過程觀確定的。COSO報告與我國企業內部控制基本規范在控制活動內容方面的比較，通過比較可以看出，兩者之間沒有太大的區別，預算控制實際上是從授權審批控制中分離出來的政策和程序，從對授權審批控制的理解而言，預算控制屬于日常經營管理活動按照既定程序和原則實施的控制。企業應當根據內部控制目標，結合風險應對策略，依據流程控制原理，綜合運用控制程序，對各種業務和事項實施有效控制。控制行為的主要目的是降低風險，針對的是風險降低應對策略。內部控制的種類內部控制按控制內容可分

59、為一般控制和應用控制，按控制地位可分為主導性控制和補償性控制，按控制功能可分為預防性控制和發現性控制，按控制時序可分為原因控制、過程控制和結果控制。（一）按控制內容分為一般控制和應用控制1、一般控制般控制是指對企業經營活動賴以進行的內部環境所實施的總體控制，也稱基礎控制或環境控制。它包括組織控制、人員控制、業務記錄以及內部審計等內容。這類控制的特征，是并不直接地作用于企業的生產經營活動，而是通過應用控制對全部業務活動產生影響。（1）合法性控制，即用各種方法檢查所記錄的經濟業務，以保證其能夠如實反映經濟事項。在會計基礎控制方面，它主要通過由熟悉會計制度的人員審查會計文件，以確定所記錄的業務是否真

60、正發生，檢查其處理過程是否與規定的程序相一致，查明業務處理是否經過授權與批準，有無越權行事等行為，以及是否進行了嚴格的監督和審核。（2）正確性控制，即為了確保單位每筆經濟業務的發生都能夠及時用正確的金額與賬戶記載的一種控制。它通過建立發生額計算、余額計算、賬戶分類檢查、雙重核對、事先控制與分工牽制等方法來保證會計記錄的正確性。（3）完整性控制，即保證發生的一切合法的經濟業務均記入控制文件的一種控制。它主要通過憑證的連續編號、總額控制、登記賬簿、檔案管理并運用備忘錄等手段來保證記錄的完整性。現在，實行會計電算化的單位已由計算機解決部分完整性的控制工作。（4）一致性控制，即保證記錄一致性的控制。它