1、泓域/人力資源服務公司內部控制報告人力資源服務公司內部控制報告xxx（集團）有限公司目錄 TOC o 1-3 h z u HYPERLINK l _Toc113607306 一、 內部控制的相關比較 PAGEREF _Toc113607306 h 4 HYPERLINK l _Toc113607307 二、 企業內部控制規范體系的結構 PAGEREF _Toc113607307 h 7 HYPERLINK l _Toc113607308 三、 內部控制與企業風險管理的關系分析 PAGEREF _Toc113607308 h 8 HYPERLINK l _Toc113607309 四、 企業風險

2、管理 PAGEREF _Toc113607309 h 11 HYPERLINK l _Toc113607310 五、 內部控制的局限性 PAGEREF _Toc113607310 h 20 HYPERLINK l _Toc113607311 六、 內部控制的重要性 PAGEREF _Toc113607311 h 24 HYPERLINK l _Toc113607312 七、 英美模式的產生 PAGEREF _Toc113607312 h 27 HYPERLINK l _Toc113607313 八、 英美模式的主要內容 PAGEREF _Toc113607313 h 28 HYPERLINK

3、l _Toc113607314 九、 公司治理模式差異論 PAGEREF _Toc113607314 h 33 HYPERLINK l _Toc113607315 十、 公司治理模式趨同論 PAGEREF _Toc113607315 h 36 HYPERLINK l _Toc113607316 十一、 董事會模式 PAGEREF _Toc113607316 h 42 HYPERLINK l _Toc113607317 十二、 公司治理的力量源泉 PAGEREF _Toc113607317 h 47 HYPERLINK l _Toc113607318 十三、 授權審批控制 PAGEREF _To

4、c113607318 h 49 HYPERLINK l _Toc113607319 十四、 運營分析控制 PAGEREF _Toc113607319 h 52 HYPERLINK l _Toc113607320 十五、 控制活動類業務流程 PAGEREF _Toc113607320 h 58 HYPERLINK l _Toc113607321 十六、 控制手段類業務流程 PAGEREF _Toc113607321 h 73 HYPERLINK l _Toc113607322 十七、 控制活動的基本原理 PAGEREF _Toc113607322 h 79 HYPERLINK l _Toc113

5、607323 十八、 內部控制的種類 PAGEREF _Toc113607323 h 80 HYPERLINK l _Toc113607324 十九、 產業環境分析 PAGEREF _Toc113607324 h 85 HYPERLINK l _Toc113607325 二十、 行業基本風險特征 PAGEREF _Toc113607325 h 91 HYPERLINK l _Toc113607326 二十一、 必要性分析 PAGEREF _Toc113607326 h 93 HYPERLINK l _Toc113607327 二十二、 公司簡介 PAGEREF _Toc113607327 h

6、93 HYPERLINK l _Toc113607328 二十三、 SWOT分析說明 PAGEREF _Toc113607328 h 94 HYPERLINK l _Toc113607329 二十四、 項目風險分析 PAGEREF _Toc113607329 h 103 HYPERLINK l _Toc113607330 二十五、 項目風險對策 PAGEREF _Toc113607330 h 105 HYPERLINK l _Toc113607331 法人治理結構 PAGEREF _Toc113607331 h 106 HYPERLINK l _Toc113607332 （一）股東權利及義務

7、PAGEREF _Toc113607332 h 106 HYPERLINK l _Toc113607333 1、公司召開股東大會、分配股利、清算及從事其他需要確認股東身份的行為時，由董事會或股東大會召集人確定股權登記日，股權登記日收市后登記在冊的股東為享有相關權益的股東。 PAGEREF _Toc113607333 h 106內部控制的相關比較（一）目標的比較內部控制是一個管理系統而非技術系統，是一個防守系統而不是進攻系統，因此，內部控制要實現企業的價值最大化目標，無法依靠利益的增加而只能通過減少支出。內部控制的目標，通常指內部控制所要達到的預期效果和所要完成的控制任務。從理論上說，內部控制的

8、目標主要取決于內部控制本身所具有的功能和人們在設計、執行內部控制時的主觀需要。內部控制的目標限于內部控制功能和人們的主觀需求之間，不可能高于其本身的客觀功能，當然，也不能低于主觀需求。1、國內外相關報告的內部控制目標比較內部控制的目標并非單一的，是由幾個目標組成的目標結構或體系，并且，各目標之間存在著相互聯系。目前內部控制學關于目標的闡述有“三目標論”“四目標論”“五目標論”，這些目標深入具有不同的層次，但有一個共同的目標指向，即降低各種風險帶來的損失。對內部控制整體框架、企業風險管理框架與我國企業內部控制基本規范中所規定的內部控制目標進行的比較。標準或規范對內部控制目標的規定有所差異，主要是

9、因為第一，確定控制目標的設定基礎。有的以內部會計控制為基礎設定（如1949年的定義），有的以內部控制為基礎來設定，有的以風險管理為基礎設定；第二，頒布這些標準或規范的機構不同。有的從企業層面頒布，有的從行業層面頒布，有的從監管層面頒布。反觀我國基本規范，相較于企業風險管理框架，多了一個資產安全目標，資產安全是企業展開各種經濟活動的物質前提，但是從目標的排列次序上可以看出，我國的基本規范中規定的次序恰恰與企業風險管理報告要求的相反，這是結合我國基本實情的具體規定。一般認為，首先，企業應當在合規合法的前提下開展活動，違背了這項原則，其他目標再好也是紙上談兵。其次，保證合規合法目標實現的基礎之上，資

10、產作為企業經濟活動的物質前提，應當保證實現資產安全的目標。再次，企業應當保證財務報告及相關信息的真實完整，以便于利益相關者做出決策。與此同時，企業應當回歸到日常經營管理活動當中來，提高企業的經營效率和效果，提高經營業績是企業的大勢所趨。最后，在上述四個目標實現的基礎上，提出了企業的發展戰略。2、我國內部控制目標演進過程我國的相關法規制度對內部控制目標的界定也是一個不斷演進的過程，我國相關法規、制度對內部控制目標的界定，可以分為三個發展演進階段。第一階段，外部化階段。強調內部會計控制，突出財務報告的真實完整，主要表現在獨立審計具體準則第9號內部控制和審計風險（體現內部控制為審計服務）、財政部內部

11、會計控制規范一基本規范等。第二階段，內部化階段。強調內部控制，在保證財務報告真實完整的前提下提高經營的效率和效果，主要表現在中國注冊會計師審計準則第1211號（體現風險導向的審計內涵）、上交所上市公司內部控制指引、深交所上市公司內部控制指引等。第三階段，風險管理階段。強調企業風險管理，主要表現在五部委企業內部控制基本規范。以上三個階段說明我國內部控制目標的發展是在借鑒國外最佳實踐的基礎上，關于內部控制理念與實踐的提升。（二）內部控制要素的比較縱觀內部控制的歷史演進可以發現，從最早的內部控制“一要素”階段內部牽制階段，“二要素”階段一內部控制制度階段，“三要素”階段一內部控制結構階段，到“五要素

12、”階段內部控制整合框架階段，再到“八要素”階段一風險管理整合框架階段，內部控制的發展歷史實際上也是內部控制要素不斷充實和豐富的過程。內部控制基本要素反映了內部控制的內容，這些要素及其構成方式與整個控制過程整合在一起，決定著控制的內容與形式。企業風險管理框架在內部控制整體框架的基礎上，將風險評估分解為目標制定、事項識別、風險評估和風險應對四個要素，納入風險管理流程，突出了風險管理的重要性。而基本規范是五要素的體系結構，一方面繼承內部控制整體框架的理論成果，另一方面適當體現企業風險管理框架的先進理念，結合我國國情的基礎上將兩者有效結合。企業內部控制規范體系的結構2010年4月26日，財政部、證監會

13、、審計署、銀監會、保監會聯合發布了企業內部控制配套指引。該配套指引包括18項企業內部控制應用指引企業內部控制評價指引和企業內部控制審計指引，連同此前發布的企業內部控制基本規范，標志著適應我國企業實際情況、融合國際先進經驗的中國企業內部控制規范體系基本建成。我國內部控制規范體系分兩個層面，一是基本規范，二是配套指引。（一）基本規范企業內部控制基本規范是內部控制建設與實施應該遵循的基本原則和總體要求，具有強制性，納入實施范圍的企業應當遵照執行。（二）配套指引企業內部控制配套指引（包括應用指引、評價指引和審計指引）是對企業內部控制基本規范相關規定的進一步補充和說明具有指導性和示范性，企業可以結合所在

14、行業要求和企業自身特點，參照配套指引的規定開展內部控制建設與實施工作。配套指引包括應用指引、評價指引和審計指引，三者之間既相互獨立，又相互聯系，形成一個有機整體。1、企業內部控制應用指引應用指引是對企業按照內部控制五大原則和內部控制五大要素建立健全本企業內部控制所提供的指引，在配套指引乃至整個內部控制規范體系中占據主體地位，主要包括控制環境類指引、控制活動類指引和控制手段類指引。2、企業內部控制評價指引評價指引是為企業管理層對本企業內部控制有效性進行自我評價提供的指引，用于企業董事會或類似決策機構對內部控制有效性進行全面評價、形成評價結論、出具評價報告的過程。3、企業內部控制審計指引審計指引是

15、為注冊會計師和會計師事務所執行內部控制審計業務的執業準則。內部控制與企業風險管理的關系分析內部控制和企業風險管理的目的都是為了滿足企業在不同環境中對不確定性的應對管理，從而達到組織預期目的以及持續發展。內部控制要對風險的不確定性在應對策略方面進行具體的分解和落實，從而發揮化解風險、控制不確定性的作用，即內部控制是風險管理的業務實施和組織保障。總體來說，內部控制和風險管理學科的共同發展為企業運營提供了支持，在企業的實際需求下，兩個學科的交融和切入更好地為企業解決其實際運營中的各種不確定性提供了完整的解決方案。（1）內部控制和風險管理各有側重。內部控制側重制度層面，通過規章制度規避風險；風險管理側

16、重交易層面，通過市場化的自由競爭或市場交易規避風險。一般來說，典型的內部控制依然是為了保證資金安全和會計信息的真實可靠，會計控制是其核心，內部控制一般限于財務及相關部門，并沒有滲透到企業管理過程和整個經營系統，控制只是管理的一項職能；典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益的比較，如銀行的授信管理、匯率風險管理、利率風險管理等，它貫穿于管理過程的各個方面。（2）內部控制與風險管理的根本作用都是維護投資者利益、保全企業資產，并創造新的價值。從理論上說，企業的內部控制是企業制度的組成部分，是在企業經營權與所有權分離的條件下對投資者利益的保護機制。其目的就是保證會計信息的準確

17、可靠，防止經營層操縱報表與欺詐，保護公司的財產安全，遵守法律以維護公司的名譽以及避免招致經濟損失等。企業風險管理則是在新的技術與市場條件下對內部控制的自然擴展。COSO認為，企業風險管理應用于戰略制訂與組織的各層次活動中。它使管理者在面對不確定性時能夠識別、評估和管理風險，發揮創造與保持價值的作用。風險管理能夠使風險偏好與戰略保持一致，將風險與增值及回報統籌考慮，促進應對風險的決策，減小經營風險與損失，識別與管理企業風險，為多種風險提供整體的對策，捕捉機遇以及使資本的利用合理化。（3）做好內部控制是做好風險管理的前提。風險管理的目的是要防止風險、及時地發現風險、預測風險可能造成的影響，并設法把

18、不良影響控制在最低的程度。內部控制就是企業內部采取的風險管理，內部控制制度的制定依據主要是風險，在某些極端情況下（內部控制等于風險管理）甚至完全由風險因素來決定。風險越大，越有必要設置適當的內部控制措施，風險相當大時，還要設置多重內部控制措施。而且，做好內部控制是做好風險管理的前提。企業只有從加強內部控制做起，通過風險意識的提高，尤其是提高企業中處于關鍵地位的中、高層管理人員的風險意識，才能使企業安全運行，否則，處于失控狀態的企業最終將被激烈的市場競爭淘汰。總之，企業風險管理框架建立在內部控制整體框架的基礎上，內部控制則是企業風險管理必不可少的一部分。風險管理框架的范圍比內部控制框架的范圍更為

19、廣泛，是對內部控制框架的擴展，是一個主要針對風險的更為明確的概念。企業風險管理框架強調在整個企業范圍內識別和管理風險的重要性，強調企業的風險管理應針對企業目標的實現，在企業戰略制訂階段就予以考慮，而企業在對其下屬部門進行風險管理時，應對風險進行加總，從組織的頂端、以一種全局的風險組合觀來看待風險。此外，根據風險管理的需要，對企業目標進行重新分類，明確戰略目標在風險管理中的地位。企業風險管理（一）企業風險管理（2004）架構1、基本框架2004年，COSO為企業風險管理確立了一個可普遍接受的定義，該定義融入眾多觀點并達成共識，為各組織識別風險和加強對風險的管理提供了堅實的理論基礎，即企業風險管理

20、是一個受企業董事會、管理層和其他人士影響的過程，運用于制訂戰略之中，并且貫穿整個企業，用以識別可能影響該企業的潛在事項，并且將風險控制在風險偏好的范圍之內，為達到實體目標提供合理的保證。企業風險管理（2004）框架的主要貢獻就在于，其重新界定了風險管理，即由目標、要素和組織三個維度組成的有機整體。第一維度為企業的目標，即戰略目標、經營目標、報告目標和合規目標。在主體既定的使命或愿景范圍內，管理當局制訂戰略目標、選擇戰略，并在企業內自上而下設定相應的目標。企業風險管理框架力求實現主體的戰略目標、經營目標、報告目標和合規目標。戰略目標與高層目標相關，和企業使命相一致，企業所有的經營管理活動必須長期

21、有效地支持該使命。經營目標與企業運營的效果和效率相關，包括業績和利潤目標，運營變化以管理當局對結構和業績的選擇為基礎，旨在使企業能夠高效地使用資源。報告目標與組織報告可靠性相關，包括對內報告和對外報告，涉及財務和非財務信息。合規目標層次較低，也是最基礎的目標，與組織遵循相關法律法規有關。第二維度為構成要素，即內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通和監控。第三維度組織是企業的層級，包括主體層次、分部、業務單元及子公司。三個維度的關系是，全面風險管理的八個要素都是為企業的四個目標服務的；企業各個層級都要堅持同樣的四個目標；每個層次都必須從以上八個方面進行風險管理。2

22、、構成要素第二維度企業風險管理包含八個相互關聯的要素。它們來源于管理當局經營企業的方式，并與管理過程整合在一起。這些構成要素的含義如下。內部環境內部環境包含組織的基調，它為主體內的人員如何認識和對待風險設定了基礎，包括風險管理理念和風險容量、誠信和道德價值觀，以及他們所處的經營環境。目標設定必須先有目標，管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取適當的程序去設定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相符。事項識別必須識別影響主體目標實現的內部和外部事項，區分風險和機會。機會被反饋到管理當局的戰略或目標制訂過程中。風險評估一通過考慮風險的可能性

23、和影響來對其加以分析，并以此作為決定如何進行管理的依據。風險評估應立足于固有風險和剩余風險。風險應對管理當局選擇風險應對回避、承受、降低或者分擔風險采取一系列行動以便把風險控制在主體的風險容忍度和風險容量以內。控制活動一制訂和執行政策與程序以幫助確保風險應對得以有效實施。信息與溝通一一相關的信息以確保員工履行其職責的方式和時機，能被識別、獲取和溝通。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。監控對企業風險管理進行全面監控，必要時加以修正。監控可以通過持續的管理活動、個別評價或者兩者結合來完成。企業風險管理并不是一個嚴格的順次過程，一個構成要素并不是僅僅影響接下來的那個構成

24、要素。它是一個多方向的、反復的過程，在這個過程中幾乎每一個構成要素都會影響其他構成要素。3、企業風險管理（2004）框架面臨的問題企業風險管理（2004）框架在對企業風險管理進行定義時所強調的最重要也是最獨具一格的一點是“貫穿整個企業，應用于戰略制定中”。而這一點在實踐中卻被誤讀，甚至被無視。COSO最初在編制ERM框架時采用了類似于內部控制框架所使用的立方體。雖然COSO對立方體右側的內容進行了修改，刪除了有關活動和流程，改為側重于范圍更廣的實體和運營單位及分支機構，但許多企業依然試圖在過于細微的層面實施該框架，例如運用于流程層面而非戰略制定。許多組織機構將企業風險管理作為一種保證活動來實施

25、，而不是將其視為一種更佳的企業管理方式，從而失去了治理效果。2008年金融危機以及2011年的日本海嘯所引發的經濟大蕭條，“黑天鵝”“大變臉”事件頻頻爆發，ERM有關問題和價值的主張便開始明朗起來，令許多企業進入危機應對模式，企業風險管理的實施也因此受到企業特別是C級高管的真正重視。6月24日，COSO委員會發布企業風險管理：風險與戰略和績效的協調，以向公眾征求意見，截止日期為2016年9月30日。（二）企業風險管理（2016）框架的內容相對于企業風險管理（2004）框架，新版企業風險管理（風險與戰略和績效的協調）（2016）使用了構成元素加原則的結構，包括5個構成元素，細分為23條原則，20

26、13年COSO組織更新了企業內部控制框架的部分內容，在文章的整體結構上就是采用的這種結構新的結構加強了新框架的可讀性、可用性和一致性。新版ERM框架的五要素和23個原則。新版框架對ERM的定義為：組織在創造、保存、實現價值的過程中賴以進行風險管理的，與戰略制訂和實施相結合的文化、能力和實踐。可以看到，新版框架簡化了ERM的定義以方便閱讀和記憶。新定義方便的是所有讀者的理解，而不只是風險管理從業者。新定義包括文化和能力而不只是過程，更加強調風險與價值的相結合，突出價值創造而不只是防止損失，這樣也避免了和內部控制定義的界限不清。新版框架中，ERM被視為戰略制定的重要組成和識別機遇、創造和保留價值的

27、必要部分。新版框架中ERM不再是主體的一個額外的或是單獨的活動，而是融入主體的戰略和運營當中的有機部分。新版框架注意到了自舊版框架發布以來，組織在實踐ERM過程中遇到的一些問題，包括對風險管理工作的定位，風險管理工作的范圍和目標等，新版框架定義了風險管理工作的高度，包括：戰略和業務目標與使命、愿景和價值觀不匹配的可能性；選定的戰略所隱含的意義；執行戰略過程中的風險。1、風險治理和文化風險治理和文化構成了ERM所有其他部分的基礎。風險治理定下主體的基本基調，加強ERM的重要性并確立ERM的監管責任的分配；文化則是主體的價值觀、行為準則和對風險的理解。（1）實現董事會對風險的監督。董事會對主體的風

28、險監督負有首要責任。（2）建立治理和運作模式。在明確的責任分配下，組織應該建立完整的運營模式和匯報體系。（3）定義期望的組織行為。董事會和管理層通過定義其期望的行為將組織核心價值和對風險的態度具體化。（4）展現對誠實和道德的承諾。組織制定基調，建立員工行為準則并對偏離準則的行為做出回應。（5）加強問責。組織確保各個層級的個體在風險管理方面的職責明確，并確保其自身在提供準則和指導方面的職責明確。（6）吸引、發展并留住優秀的個體。致力于根據戰略和業務目標構筑人力資本，管理層通過在不同層面建立人力資源管理體系來吸引、培訓、指導人才，評價和留住人才。2、風險、戰略和目標設定ERM通過制訂戰略和業務目標

29、的過程與主體的戰略計劃融合在一起。通過對商業環境的理解，組織可以得到對內在和外在因素的看法以及它們對風險的影響。組織在戰略制訂中確定其風險偏好，而業務目標使得戰略得以實踐并形成主體日常的運營。（1）考慮風險和業務環境。組織考慮業務環境對風險圖譜的潛在影響；組織要理解業務環境，考慮內部和外部的環境和不同的利益相關者。（2）定義風險偏好。組織在創造、保存和實現價值的過程中定義風險偏好。（3）評估可供選擇的戰略。組織評估可替代的戰略和對風險狀況的影響。（4）建立業務目標的同時考慮風險。組織建立不同層次的業務目標以制定和支持戰略的同時考慮風險。（5）定義可接受的績效浮動區間。可接受的績效浮動也可以理解

30、為風險容忍度。3、執行中的風險組織識別并評估可能影響其實現戰略和業務目標的風險，結合企業的風險偏好，對風險按照其嚴重程度排分優先次序，組織選擇風險應對的方法并對績效進行監控以做出調整。這樣，企業對追求戰略和業務目標時所面臨的風險量建立起一個組合的觀念。（1）識別執行中的風險。組織識別執行過程中影響業務目標實現的風險。（2）評估風險的嚴重程度。風險評估的重要工具是風險熱力圖，熱力圖從風險發生的可能性和影響程度兩方面對風險進行評級。風險評價要從固有風險、目標剩余風險和實際剩余風險三個層級進行。（3）區分風險的優先次序。組織結合風險偏好，選定對風險排分優先等級的標準，然后對所有識別的風險進行排分。（

31、4）識別并選擇風險響應。這些控制活動在內部控制一整合框架中已經介紹。（5）評估執行中的風險。組織需要對績效進行監測，如果績效的浮動區間超出了可以接受的范圍，則可能需要重新考慮業務目標或戰略；調整目標績效，重新進行風險評估；重新進行風險優先級的排序；重新制定風險應對措施；重新確立風險偏好。（6）建立風險的組合觀。管理層需要從組織整體角度考慮風險，將組織風險作為一個整體去和實現績效目標所需要承受的風險進行對比，而不是將其視為一個個單獨的、分散的風險。4、風險信息、溝通和報告溝通是在主體中不斷迭代地取得并分享信息的過程。管理層利用從內部和外部取得的有效信息來支持企業風險管理工作，組織利用信息系統來捕

32、捉、處理和管理數據和信息。通過利用應用于所有組成部分的信息，組織就風險、文化和績效做出報告。（1）使用相關信息。組織利用支持企業風險管理的信息，首先考慮有哪些可用的信息來源，然后衡量取得這些信息的成本，最終確定需要哪些信息來源。（2）利用信息系統。信息系統可以是正式的或者是非正式的。（3）溝通風險信息。溝通的對象既包括內部的員工，也包括董事會、股東及其他外部的利益相關者。溝通方法可以是電子信息、外部/第三方材料、非正式/口頭、公共活動、培訓和研討會、內部文件。（4）對風險、文化和績效進行報告。組織在各個層級對風險、文化和績效做出報告。5、監控風險管理效果通過監控風險管理（ERM）的效果，組織可

33、以判斷ERM的各組成部分的長期運作是否良好并獲知有哪些實質性的變化。（1）對重大變化進行監控。組織識別和評估可能對戰略和業務目標的達成造成實質性影響的內部和外部變化。造成這些實質性影響的變化可能來自內部的原因，如快速成長、新技術或者管理層及其他人事變動；可能來自外部環境，例如法規和經濟環境的變化；還可能來自組織文化方面，例如并購和重組帶來的文化沖擊。（2）對ERM進行監控。組織應監控ERM的效果并隨時準備對其進行效率上和實用性上的改善，組織同樣要明確未來理想中的ERM狀態，做到持續改進。內部控制的局限性依據唯物辯證法的觀點，任何事物都不可能盡善盡美，內部控制也有其兩面性：一方面它對企業預期目標

34、具有控制作用：另一方面也有他的不足和缺陷，存在固有的局限性。一般而言，內部控制的局限性表現在以下幾個方面。1、成本限制內部控制受到成本與效益原則的限制，內部控制系統所需求的保證水平有必要根據其成本而定。一般來說，控制程序的成本不能超過風險或錯誤可能造成的損失和浪費。否則，再好的控制措施和方法也將失去意義。由于存在資源稀缺問題，企業必須考慮建立控制的相應成本。般而言，用于衡量控制成本與收益的標準不同。控制成本量化較為容易，控制效益量化則相當復雜，難免包括主觀的評估。在評估潛在收益時可以考慮以下特定因素：不理想情形發生的可能性、各項活動的特性、時間價值有可能對實體造成的潛在財務或經營影響。此外，成

35、本效益決策的復雜性還在于當控制與管理或運營過程相結合，或“納入”管理或營運過程時，很難區分哪些是控制的成本與效益，哪些是管理或營運的成本與效益。同樣，若干項控制措施組合在一起，在很多時候，可用以防范或減輕某一特定的風險，但對具體單項的控制成本與效益則很難估計。另外，控制成本與效益的估計，也會因單位或業務性質的不同而有所側重。高風險活動明確要求進行成本收益分析，而低風險活動則可以省略。2、人為失誤內部控制的設計會受到設計人員經驗和知識水平的限制，因而可能存在缺陷。同時，執行人員的粗心大意、精力分散、判斷失誤以及對指令的誤解等，也可能使內部控制系統失控或陷于雍疾。例如，經營決策必須在規定的時間內，

36、根據所掌握的信息，在經營行為的壓力之下通過人為判斷來做出。根據事后的剖析，有些基于人為判斷的決策，并不能產生預期的效果，而且可能需要做出改變。3、串通舞弊兩人或多人的合謀活動可能導致內部控制的失效。從事犯罪或者試圖隱瞞某項行為的個人，通常會設法改變財務數據或其他管理信息，使其不能為內部控制系統所識別。例如，執行一項重要控制職能的員工可能會與客戶、供應商或其他員工串通。不同級別的銷售人員或部門經理有可能合謀繞過控制，以使所報告的成果達到預算或激勵目標。因此，在實際工作中，如果處于不相容職務上的相關人員相互串通、相互勾結，失去了不相容職務之間相互制約的基本前提，內部控制也就很難發揮作用。4、濫用職

37、權各種控制程序是管理工具，但任何控制程序都不能發現和防止那些負責執行監督控制的管理人員濫用職權或不當用權。管理權的干預直是導致許多重大舞弊發生和財務報告失真的一個重要原因。在某些情況下，對于擔任控制職能的人員越權管理、濫用職權，即使具有良好設計的內部控制，也不能發揮其應有的作用。內部控制作為企業管理的組成部分，理所當然地要按照管理人員的意圖運行，尤其是對企業負責人的決策更具有決定性的作用。決策出了問題，貫徹決策人意圖的內部控制也就失去了其應有的控制作用。5、制度失效內部控制制度是針對制度制定時的經濟業務設計的，內部控制可能會因經營環境、業務性質的改變而削弱或失效，可能會對不正常的或未預料到的業

38、務類型失去控制能力。企業處于經常變化的環境之中，為保持競爭力，勢必要經常調整經營策略，這就會導致原有的控制制度對新增的業務內容失去控制作用的情況發生。6、例外事件內部控制主要是圍繞著企業正常的生產經營活動，針對經常性的業務和事項進行的控制。但在現實企業中，由于復雜多變的外部環境使得企業常常會面對一些意外和偶發事件，而這些業務或事項由于其特殊性和非經常性，沒有現成的規章制度可循，造成了內部控制的盲點。也就是說，內部控制的一個重大缺陷在于它不能應對例外事件。企業在處理這些事項時，往往更多地憑借管理層的知識和經驗以及對環境變化的感知度，這就是所謂的“例外管理原則”。內部控制的重要性內部控制作為現代組

39、織管理框架的重要組成部分，是一個組織持續發展的機制和重要保證。現代組織理論和管理實踐表明，組織的一切管理工作，都要從建立與健全內部控制制度開始；組織的一切活動，都無法游離于內部控制之外。“得控則強，失控則弱，無控則亂”，內部控制的重要性主要體現在以下4個方面。（一）內部控制是實現企業發展戰略的基礎企業的發展不能是為現在而發展，而應該是為未來而發展，必須要有一個長期的目標。企業的發展戰略是企業對全局的一種總體設想，是從宏觀的角度對企業的未來的一種較為理想的設定。它所提出的是企業整體發展的總任務和總要求，它所規定的是整體發展的根本方向。因此，人們所提出的企業發展戰略總是高度概括的，而且著眼于未來和

40、長遠。一般認為，要實現企業長遠的發展戰略就要有健全有效的內部控制作為支撐。實踐證明，在我國經濟快速發展的背景下，只有建立和實施科學的內控體系，才能提升風險防范能力，實現企業可持續發展戰略。在西方，內部控制提出得較早，相關的法律法規也對此有了明確的要求。而在我國，具有強制性要求的內部控制基本規范形成較晚，許多企業并沒有自發地認識到建設與執行內部控制的重要性，因此，在與國外企業交往的過程中，常常由于這方面的欠缺而遭到不公正的待遇。企業應該意識到，內部控制及其評價制度不只是為了滿足外部強制要求，而應該最終成為一種自發的行動。建設和完善內部控制體系是我國企業融入國際社會和健康、可持續發展的必由之路。（

41、二）內部控制是提高企業經營管理效率的保證內部控制產生于組織管理的需要，存在于組織經營管理活動之中，是組織內部管理的重要組成部分，這就決定了內部控制的主體是組織的管理部門和具體執行各項控制措施的人員，企業內部控制劃分為內部管理控制與內部會計控制兩大類。內部管理控制制度是指那些對會計業務、記錄和報表的可靠性沒有直接影響的內部控制。內部會計控制是指那些對會計業務、記錄和報表的可靠性有直接影響的內部控制，通過這種控制的建立，能維護財產物資的安全、完整，保證會計信息的真實、可靠，保證經營管理活動的經濟性、效率性和效果性，保證各項法律和規范的遵守。內部控制貫穿于企業經營管理活動的各個方面，只要企業存在經濟

42、活動和經營管理，就需要建立、健全企業的內部控制并加強內部控制。（三）內部控制是提高企業信息質量的保證眾所周知，在信息化時代，信息足以決定一個企業的興衰存亡。首先，高質量的報告信息將為管理當局提供準確而完整的信息，用以支持管理當局的決策和對主體活動及業績的監控。同時，高質量的對外報告和披露有助于企業的外部投資者、債權人等利益相關者以及監管當局做出正確的決策。有效的內部控制系統通過職務分離、崗位輪換、內部審計等控制方法及手段對企業信息的記錄和報告過程進行全面持續的監控，及時發現和糾正各種錯誤與舞弊，保證企業信息能夠真實完整地反映企業經營活動的實際情況。反思我國近年來的一系列財務舞弊案件，如紅光實業

43、、銀廣夏、藍田股份等，其組織的內部控制失效負有不可推卸的責任。國內外證券市場的財務丑聞，使得廣大投資者蒙上厚重的心理陰影，要求規范上市公司財務報告的呼聲越來越高。有效的內部控制，對于重塑投資者的信心，維護資本市場的公平和透明，進而保護投資者利益與國家經濟安全意義重大。（四）內部控制是加強企業制度管理的根本現代企業制度是指以市場經濟為基礎，以完善的企業法人制度為主體，以有限責任制度為核心，以公司企業為主要形式，以產權明晰、權責明確、政企分開、管理科學為條件的新型企業制度。企業是一系列“契約的聯結”，由于委托人不能直接觀測到代理人選擇了什么行動，委托人和代理人之間存在信息不對稱，具有機會主義傾向的

44、管理當局會利用自己的信息優勢，發生偷懶、不當消費等行為，以犧牲委托人的利益為代價，使自己的利益最大化。因此，企業所有者需要監督代理人，防止代理關系下的信息不對稱，降低代理成本，實現公司治理目標，從而有助于最大限度地滿足企業所有者的權益。同時，通過不相容職務分離控制、授權審批控制、會計系統控制、資產安全控制、績效考評控制等手段形成各司其職、各負其責、相互制約的工作機制，逐漸推動企業管理水平與會計信息質量的提升，提升經營的效率和效果。英美模式的產生在英美國家由于較早受產業革命影響，科學技術發展導致經濟規模的迅速擴大，將充足的勞動力和資本集中在一起形成一個富有成效的實體顯得尤為重要。在這種背景下，股

45、份公司成為最適當的形式。在股份公司發展的初期，所有權與經營權的分離是不可避免的。尤其隨著經濟的發展，公司經營規模、范圍的擴大，專業化經理人的出現，更加快了所有者和經營者的分離速度。公司所有者追求公司利益的最大化，而經營者可能為了滿足自身利益的最大化，濫用權力損害公司的利益，進而損害公司所有者的利益。所有者與經營者的這種利益沖突可以說是公司治理形成的內在因素，也是各種公司治理模式共同的產生原因。產業革命又促進了專業化管理與風險分散相結合的現代化股份制的推行，股份高度分散的公眾上市公司成為這些國家經濟領域中最主要的組織形式。在美國，最大的400家公司99%都在股票交易所上市交易；在英國，100家最

46、大的公司大部分也都是上市公司。而在歐洲大陸國家，股票上市公司比例平均只有54%。在主要依靠股份融資快速擴大規模的企業擴張方式根深蒂固的影響下，這些國家逐漸形成了股份高度分散化、股票高度流動性、金融市場十分發達的公司制度，在此基礎上形成了被稱為市場導向型公司治理模式的以經理人控制為特征的控制權結構。由于普通法系國家奉行股東主權至上，公司以股東利益最大化為目標，而且其融資方式以股份融資為主，借貸融資比重較低，因而其公司治理一般不考慮利益相關人的作用，因此又屬于利益相關人排斥型公司治理。英美模式的主要內容（一）形式上的股東大會從公司治理理論上講，股東大會是公司的最高權力機構，但是，英美模式公司股份高

47、度分散、高度流動，而且相當一部分股東只擁有少量股份，其實施治理成本較高，且由于外部股東信息不對稱，難以直接對公司管理層進行有效的監督，因此，不可能將股東大會作為公司的常設機構，或經常就公司發展的重大事宜召開股東代表大會，做出有關決策。公司的股東大會早已喪失其作為公司最高權力機構應有的權威性而僅流于形式。在這種情況下，除了聽信于市場信息，股東還將其決策權委托給一部分大股東或有權威的人，并由其組成董事會。由董事組成的董事會負責公司日常決策，而董事會則向股東承諾使公司健康經營并獲得滿意的利潤。（二）獨特的董事會設計在股份高度分散、股東喪失控股地位的情況下，公司內部治理更注重發揮董事會的作用，形成了以

48、董事會為中心、以外部董事制度為核心的內部治理機制，其主要特點如下。第一，在董事會內設不同的委員會。一般而言，英美公司的董事會大多附設執行委員會、任免委員會、報酬委員會、審計委員會等一些委員會。這些委員會一般都是由董事長直接領導，有的實際上行使了董事會的大部分決策職能。因為有的公司董事太多，如果按正常程序進行決策，則很難應付千變萬化的市場環境，也有可能因為決策者既是董事長同時也是最大的股東，對于公司事務有著巨大的影響力，而執行委員會又成為董事會的常設機構。除這樣一些具有明顯管理決策職能的委員會外，還設有一些輔助性委員會，如審計委員會，主要是幫助董事會加強其對有關法律和公司內部審計的了解，使董事會

49、中的非執行董事把注意力轉向財務控制和存在的問題，從而使財務管理真正起到一種機制的作用，增進董事會對財務報告和選擇性會計原則的了解；報酬委員會，主要是決定公司高級人才的報酬問題；董事長的直屬委員會，由董事長隨時召集討論特殊問題并向董事會提交會議記錄和建議的委員會，盡管它是直屬于董事長的，但它始終是對整個董事會負責，而并不只是按董事長的意圖行事。近年來，美國的有些公司又成立了公司治理委員會，用以解決專門的公司治理問題。第二，董事分為內部董事和外部董事。為了平衡經理人員與所有者權力，防止公司經理在經營決策中獨斷專行，維護廣大股東的利益，美國創立了外部董事制度。根據法律規定大公司的董事會都必須由兩部分

50、董事組成，一部分是內部董事，主要由公司現在或過去的職員及與公司保持著重要商業聯系的人員組成，他們負責公司各主要職能部門的經營和管理。還有一部分是外部董事，他們的主要構成：是與本公司有著緊密業務和私人聯系的外部人員；二是本公司聘請的擁有各種專業知識和技能的外部人員；三是其他公司的經理人員。20世紀70年代以后，兩類董事的比例不斷變化，總的趨勢是外部董事的比例不斷提高。但目前英美大公司存在的一個普遍現象是公司首席執行官兼任董事會主席，這種雙重身份實際上使董事會喪失了獨立性其結果是董事會難以發揮監督職能。（三）高度分散且流動的股權結構依靠發達的資本市場，機構投資者和個人是公司的基本持股者，且隨著公司

51、規模的不斷擴大，公司股權越來越分散。在英美國家中，據不完全統計，1952年美國人口中約有650萬人口直接持有股票，而到20世紀80年代初，直接持有股票的人口上升至3200萬人，到90年代末，美國人口中有過半數以上的人直接或者間接持有股票。在英國，個人持股比重也相當高，達到總人口的30%以上。在最近幾十年間，為了適應企業外部融資的需求，英美國家的非銀行性金融機構迅速發展起來，股份持有者的性質則發生了很大的變化，機構投資者開始取代之前的個人投資者成為主要的股份持有者。從20世紀末開始為了追求遠遠高于債券收益的股票收益，養老基金及其他投資機構也開始大量轉向股票市場投資，英國的機構投資者所持股權已經超

52、過了60%；而在美國的大公司中，機構投資者的持股比例也已超過了50%。雖然投資主體發生了變化，但機構投資者持股仍是一種較分散的證券投資行為。盡管機構投資者的數量很多，包括各種養老基金、互助基金、人壽保險、大學基金、慈善團體等，投資的資產規模很大，持股總量也很大，但出于分散投資風險的需要和有關法律的限制，一般都以分散持有多家公司股份的方式來進行股票投資：在一個特定公司中持有的股份約占某一公司股份總額的0.5%3%。美國的投資公司法規定，人壽保險公司和互助基金所持的股票必須分散化，而且不得派代表進入公司董事會。法律還規定，保險公司在任何一家公司所持股票不能超過公司股票總值的5%，養老基金會和互助基

53、金會不能超過10%，否則將處以重稅。另外，不論是個人投資還是機構投資，投資都不穩定且一般不以介入公司經營為目標。由于無論是個人直接投資還是機構投資，它們的終極受益人均是關注短期投資收益的分散的個人投資者，機構投資者只不過是作為這些分散的個人投資者的代表進行股票投資，因而他們的行為動機與個人投資者并沒有本質區別，持有股份的目的主要在于追求短期股票投資利益最大化，股票被更多地用于短期買賣，而非作為長期投資。可見，由機構股東的純粹投資動機所決定，機構投資者取代個人投資者也未能改變美國公司股份持有的高度流動性特征。無論股份持有者的性質是以個人投資者為主，還是以機構投資者為主，股份持有的高度分散和高度流

54、動，始終是英美國家公司所有制結構的基本特征。（四）以直接融資為主與其他治理模式相比，英美公司模式的融資方式主要是直接融資，也就是說公司主要通過發行股票和債券的方式從證券市場上直接籌措長期資本，而不是依賴銀行貸款。英美國家的證券市場有悠久的歷史，以股權為主導的外部市場治理機制如職業經理人市場、控制權市場和證券市場以及專業服務中介組織等高度發達。銀行不能直接持有公司股票，只能作為純粹的存款機構和短期的資金提供者，為客戶提供短期的融資需要。比如，美國1863年的國家銀行法和1977年的麥克遜登法案規定，銀行不得跨州設立分行，由此產生的分散化的銀行體系就不可能形成大的銀行集團。同時，美國的投資組合法規

55、、反網絡化法規以及1933年的格拉斯一斯蒂格爾法都禁止銀行持有公司的股票或禁止銀行在全國范圍內經營。且在保證競爭有序存在，保持經濟活力的同時，國家法律也越來越多地限制企業界和金融界的結合。法律規定，銀行對某一客戶的貸款不得超過該銀行資本的15%，而德日模式下的日本和德國有關銀行貸款的限額分別是30%和50%。進而在美國絕大多數企業中，由股東持股的股份公司占公司總數的95%以上，其資產負債率大大低于德國與日本，一般在35%40%。公司治理模式差異論根據新古典綜合學派的效率理論可知，不同的公司其治理機制的效率也是不同的。不同的經濟任務、不同的經濟環境必然也將產生不同的公司治理結構，迄今為止，沒有任

56、何一種公司治理模式被證明放之四海而皆準，那么，這種公司治理模式之間的差異就必將存在著。幾種公司治理模式的產生都是與其具體的市場條件和政治、歷史因素密切聯系的。治理模式差異論認為，由于經濟、政治、文化等方面的差異以及歷史傳統和發展水平的不同，致使世界上很難存在唯一最佳的公司治理模式。（一）歷史傳統哈佛大學教授盧西恩伯查克和馬克羅伊共同發現路徑依賴理論，即一國的公司治理模式不可避免地受到先前存在的公司制治理結構的影響，也不可避免地沿著先前的公司治理結構的基本軌跡與方向發展，由此導致了各國在先前由于其不同的環境甚至是歷史條件而形成不同的公司治理模式。因為：第一，怎樣建立有效的公司治理模式通常是有章可

57、循的；第二，現有的公司治理模式缺陷會隨著公司運營逐漸顯現，但公司內部既得利益者為了維護其自身利益，會阻止對公司治理模式進行變革，維護其既得利益。由此可知，即使競爭效率的壓力和全球趨同化仍然存在，但公司治理結構的不同不可能消失。（二）經濟條件經濟條件上，“外部控制型”的英美公司治理模式，主要依賴于完善的外部資本市場來對經理層進行有效的監控，而“內部控制型”的德日公司治理體制，則依賴于公司內部監控機制作用的發揮。如果德國模式迎接敵意收購和股東導向型董事會，那么，德國就會出現既沒有勞工影響的董事會，也沒有契約和勞動力市場的保護監控機制，這樣的治理模式將會是不可想象的。在制度的選擇過程之中，國家利益以

58、及政治選擇等因素都影響公司治理模式的選擇。例如，美國政府對財產權實施了較為充分的保護，所以在美國就形成了外部治理的機制和市場導向型模式；而韓國政府對公司的監管和對貸款的分配，則形成了家族導向型和政治管制型模式。經濟條件上的巨大差異，導致各國在對公司治理體制上所做選擇的巨大差異。一國經濟體制在某一時點所擁有的規則依賴于并且反映該經濟體制最初擁有的所有權結構和治理結構。總之，各種治理模式的存在和發展在一定程度上體現了各國的特色和適應了本國經濟的發展，雖然近年來，以英國、美國為代表的外部控制模式和以德國、日本為代表的內部控制模式這兩種典型的模式都發生了顯著變化，呈現出一定程度上的趨同。但是，這種趨同

59、僅僅是相對的，各種模式在變革的過程中都沒有完全偏離各自原先的軌道。公司治理模式不會因為經濟全球化而完全趨同。（三）政治影響哈佛大學教授馬克羅伊認為政治因素的主導作用是造成各國公司治理模式差異性的主要成因。在強管理者，弱所有者：美國公司財務的政治根源中，他指出，政治影響產生了美國大中型公司的不緊密的股權模式。究其根本原因是美國政府本著政治利益，力主弱化金融資本的影響力，據此來束縛金融機構的規模和經營范圍。接下來羅伊教授又在公司治理中的政治決定因素這本書中接著提到，歐洲本土的治理結構與美國公司不同，主要決定于是否存在“社會民主”的政治傳統，個人本位和平民思想比較重。因此，分散的股權結構會凸顯其高效

60、。在歐洲本土根深蒂固的民主傳統下，注重整體利益，看重的是分配，如果出現雇員利益和股東權益相沖突時，高層一般會向前者傾斜。所以，在政治社會民主前提下，大眾公司相較私人公司產生股東和管理層的代理成本的風險更大。這種風險的防范措施即是集中持股通過相對比較保密的會計制度直接對管理層進行監督，大股東能夠防范將公司資源應用于其他利益相關者的壓力一一這也是歐洲本土缺少公共公司的原因所在。如若試圖對制度進行改革，則必須至少考慮到兩個因素：一是新制度必須更加有效率；二是新制度的效率必須足以使制度轉型的收益大于成本。只有在保證新制度效率和新制度能夠取得更大收益的前提下，才能考慮制度的轉型，否則現有利益控制者就會拒