精細化工產品

公司治理與內部控制方案

XX有限公司

目錄

一、產業環境分析...................................................4

二、行業競爭格局...................................................4

三、必要性分析.....................................................6

四、公司概況.......................................................6

公司合并資產負債表主要數據.........................................7

公司合并利潤表主要數據.............................................7

五、利益導向.......................................................7

六、公司治理的力量源泉............................................9

七、公司治理與公司管理的關系.....................................11

八、公司治理模式差異論...........................................13

九、英美模式的主要內容...........................................16

十、英美模式的產生................................................21

十一、風險圖譜....................................................22

十二、風險分析方法的選擇.........................................24

十三、風險的概念及其分類.........................................24

十四、風險的分類和評估...........................................27

十五、內部控制的重要性...........................................29

十六、內部控制的局限性...........................................32

十七、內部牽制....................................................35

十八、企業風險管理................................................38

十九、內部控制的相關比較.........................................47

二十、企業內部控制規范體系的結構.................................51

二十一、公司治理與內部控制的聯系.................................52

二十二、公司治理與內部控制的融合.................................56

二十三、企業的演進................................................59

二十四、公司治理的產生及動因.....................................64

二十五、學習與借鑒階段...........................................73

二十六、起步和探索階段...........................................75

二十七、法人治理結構.............................................76

二十八、項目風險分析.............................................90

二十九、項目風險對策.............................................92

三十、發展規劃分析................................................94

一、產業環境分析

“十二五”以來的五年是常州發展史上綜合實力奮力提升的五年,

也是轉型步伐明顯加快、城鄉面貌明顯變化、改革開放明顯突破的五

年，更是人民群眾得到實惠最多的五年。當前和今后一個時期，我們

仍處于可以大有作為的重要戰略機遇期。經濟全球化的趨勢不會改變,

新一輪科技革命和產業變革蓄勢待發，為我市對接國際高端產業、推

動創新驅動發展提供了難得機遇；“一帶一路”、長江經濟帶等一系

列國家戰略實施，長三角區域發展一體化進程加速，為我們融入全方

位開放格局、更大范圍參與地區協調發展打開了新的窗口；經歷“十

二五”發展，常州站在了新的歷史起點，發展基礎更為扎實、發展優

勢更為彰顯，新的增長動力正在加速形成，蘇南國家自主創新示范區

建設、產城融合綜合改革試點機遇疊加，這些都為“十三五”發展提

供了有利環境和條件。

二、行業競爭格局

全球絕大部分草甘瞬由美國孟山都（現屬拜耳）和中國企業生產,

拜耳、中國草甘瞬企業幾乎占有了草甘麟原藥市場。根據信達證券統

計數據顯示：截至2021年末，全球草甘麟行業的產能約為110萬噸，

其中拜耳的年產能約為37萬噸，剩余的草甘瞬產能均在中國。

現階段，草甘麟主要有兩種生產工藝，分別為甘氨酸法和IDA法。

目前最為流行的草甘瞬生產工藝為甘氨酸法，主要原因是生產過程較

為簡單，原料來源廣，具有成本優勢，其原材料包括甲醇、燒堿、液

氯、醋酸、三氯化磷、多聚甲醛等，通過氨基乙酸、亞磷酸二甲酯、

多聚甲醛經過合成、縮合、水解制備而成。國內主要采用的即為甘氨

酸法，主要采用甘氨酸法工藝路線的企業包括：四川省樂山市福華通

達農藥科技有限公司、湖北興發化工集團股份有限公司、浙江新安化

工集團股份有限公司、安徽廣信農化股份有限公司、紅東方等企業。

IDA法生產草甘瞬的主要原材料為亞氨基二乙揩，黃磷、液氯、甲

醛、雙氧水等，是利用二乙醇胺在催化劑作用下進行脫氫反應制備亞

氤基二乙酸（IDA）最終得到草甘瞬原藥。此種方法成本高，對二乙醇

胺的質量要求較高，原材料一般需要進口且與國際原油價格關聯性較

高，但是較為環保。德國拜耳采用IDA法進行草甘麟生產，國內采用

IDA法進行草甘瞬生產的企業主要包括：江蘇好收成韋恩股份有限公司、

四川和邦生物科技股份有限公司、南通江山農藥化工股份有限公司、

江蘇揚農化工股份有限公司等。

經過了多年企業并購、行業整合、產業結構調整，同時伴隨著環

保督察與供給側改革，國內中小草甘瞬企業逐漸退出了歷史舞臺，行

業格局向好。未來，草甘瞬行業的競爭將從原來的粗放式、盲目式的

產能擴張轉變為以研發能力、工藝技術、產品品質、環保安全和產業

鏈延伸為核心的市場競爭，企業生產線越接近原材料，其在市場競爭

中的優勢將越發明顯。

三、必要性分析

1、提升公司核心競爭力

項目的投資，引入資金的到位將改善公司的資產負債結構，補充

流動資金將提高公司應對短期流動性壓力的能力，降低公司財務費用

水平，提升公司盈利能力，促進公司的進一步發展。同時資金補充流

動資金將為公司未來成為國際領先的產業服務商發展戰略提供堅實支

持，提高公司核心競爭力。

四、公司概況

（一）公司基本信息

1、公司名稱：XX有限公司

2、法定代表人：史xx

3、注冊資本：930萬元

4、統一社會信用代碼：XXXXXXXXXXXXX

5、登記機關：xxx市場監督管理局

6、成立日期:2012-12-15

7、營業期限：2012-12-15至無固定期限

8、注冊地址：xx市xx區xx

（二）公司主要財務數據

公司合并資產負債表主要數據

項目2020年12月2019年12月2018年12月

資產總額8740.856992.686555.64

負債總額3806.953045.562855.21

股東權益合計4933.903947.123700.42

公司合并利潤表主要數據

項目2020年度2019年度2018年度

營業收入28791.5123033.2121593.63

營業利潤5479.334383.464109.50

利潤總額4691.353753.083518.51

凈利潤3518.512744.442533.33

歸屬于母公司所有

3518.512744.442533.33

者的凈利潤

五、利益導向

公司成立的目的在于追求利益，但到底追求誰的利益或以誰的利

益為主，理論界有著不同的看法，從過去的股東利益最大化到利益相

關者利益統一，再到利益相關者有主次之分，公司治理的模式也分成

股東治理模式、利益相關者治理模式和利益相關者主次治理模式。

（一）股東治理模式

該模式認為股東是公司的所有者，公司存續的目的是實現股東利

益的最大化，繼而公司治理的中心就是確保股東的利益，確保治本供

給者得到理所當然的投資回報。公司的權力機構都要以股東的意志和

利益為出發點，股東大會是代表股東意志的最高決策機構，董事會由

股東大會選舉產生并接受股東委托在公司決策中發揮主導作用。

金融模式公司應按股東的利益來管理，試圖促使經理人員對股東

利益更負有責任。主張通過政策激勵和采取最大化短期股票價格的行

為是為股東利益服務的最佳形式。其理論基礎是“有效市場理論”并

主張擴大股東的權力。

市場短視派認為金融市場的壓力使公司經理只關注短期利益，這

樣會對公司的長期管理產生一種經營決策上的偏誤，從而降低公司長

期資產的價值。

金融模式希望增加股東對公司的監督和影響，市場短視派則希望

公司治理可以在股東壓力下，特別是短期股票價格業績中保護經理人,

或替代性地通過阻止交易和鼓勵長期持有股票來實現股東的利益。但

兩者都認為股東利益的最大化可以導致整個社會的利益最大化。

（二）利益相關者治理模式

利益相關者治理模式認為企業是一個責任主體，公司治理不能單

純以實現股東利益為目標，因為企業是所有相關利益者（出資者、債

權人、董事會、經理、員工、政府及社區居民、供應商等）的企業，

各利益相關者都對企業進行了專用資產的投資，并承擔了企業的風險,

企業應為利益相關者服務。

（三）利益相關者主次治理模式

利益相關者主次治理模式認為公司治理必須以股東利益為主導，

同時在此基礎上恰當地界定包括股東在內的利益相關者的關系，解決

好由此而產生的利益相關者的利益問題。克拉克遜（1998）根據與企

業聯系的緊密程度將利益相關者分為主要的利益相關者和次要的利益

相關者。前者是指若沒有這些群體（包括股東、雇員、顧客、供應商

等）的參與，企業就無法生存，后者是指間接影響運作或受到企業的

間接影響的群體，雖然他們對企業的生存起不到根本性的作用，但也

不能忽視。這種觀點實質上是對上述兩種觀點的調和，但從強調利益

相關者的利益來看，這種觀點與“利益相關者治理模式”并沒有實質

性的區別。

六、公司治理的力量源泉

公司治理的實質在于治理主體對治理客體的監督與制衡，以解決

因信息不對稱而產生的逆向選擇和道德風險問題。從公司治理的力量

源泉來看，公司治理模式可以分為：外部控制主導型公司治理模式、

內部控制主導型公司治理模式和家族控制主導型公司治理模式。

（一）外部控制主導型公司治理模式

外部控制主導型公司治理模式又稱市場導向型公司治理，是指外

部市場在公司治理中起著主要作用。雖然該種模式中董事會作為公司

治理的核心同樣兼有決策和監督雙重職能，非執行董事也承擔一定的

監督職能，但這種治理主要是以大型流通性資本市場為基本特征，公

司大都在股票交易所上市。其存在的具體外部環境是：非常發達的金

融市場、股份所有權廣泛分散的開放型公司、活躍的公司控制權市場。

在這些外部條件確立的情況下，公司控制權的競爭在股票市場上是相

當普遍的現象。公司經營者的業績大幅下降，公司股票價格就會隨之

下跌，當實力集團認為有利可圖時，就會出現股票市場上的收購現象,

持股比例的變化帶來公司控制主體的變化，公司股東和高層管理人員

的地位也會隨之改變，這種約束和激勵的形式被稱為接管機制。這種

機制是來自外部的對企業經營者約束和激勵的核心。

（二）內部控制主導型公司治理模式

內部控制主導型公司治理模式又稱為網絡導向型公司治理模式,

是指股東（法人股東）、銀行（一般也是股東）和內部經理人員

在公司治理中起著主要作用，資本流通性相對較弱，外部證券市場不

十分活躍。金融機構及個人通過給公司巨額貸款或持有公司巨額股份

而對公司及代理人進行實際控制，依其對公司的長期貸款與直接持股

而實現對公司重大決策的參與，使公司及代理人決策受到其支配。

（三）家族控制主導型公司治理模式

家族控制主導型公司治理模式是指家庭占有公司股權的相對多數,

企業所有權與經營權不分離，家族在公司中起著主導作用的一種治理

模式。該種公司治理機制以血緣為紐帶，以對家庭成員內的權力分配

和制衡為核心。由于血緣關系的存在，這種家族關系能在一定程度上

減少以代理成本為代表的治理成本。家族中的信任和忠誠在一定程度

上克服了由利己主義引起的代理成本，從而減少了股權成本。正如加

里?貝克爾所說，“家庭內部的配置大部分是通過利他主義和有關的

義務確定的，而廠商內部的配置大部分通過隱含的或明顯的契約確

定”。這樣，家族企業在一定程度上消除了代理成本的根源，這應該

有助于公司治理作用的發揮。也是因為家庭的原因，董事會、監事會

和股東會同時設立，但公司的重要決策仍是以企業家的家人為決策方

式為主，私營企業主獨攬大權，有關機構的設立并未發揮應有的作用。

七、公司治理與公司管理的關系

公司治理關心的是“公司應走向何方“，而公司管理關心的是

“公司怎樣到達那里“。公司治理的核心是確定公司的目標并保證決

策的科學性，公司管理的核心是確定實現目標的途徑。管理是運營公

司，治理是確保這種運營處于正確的軌道。兩者都是針對同樣的終極

目標，即實現財富的有效創造，只是扮演的角色不同，公司治理通過

建立權力制衡的機制而實現其機能，公司管理是對組織資源進行有效

整合以達成既定目標。KennethDayton認為，治理與管理是“一個硬幣

的兩個面“，誰也不能脫離誰而存在。治理規定了整個企業運作的基

本網絡框架，管理則是在這個既定的框架下駕馭企業奔向目標。缺乏

良好治理模式的公司，就像一座地基不牢固的大廈一一沒有公司管理

體系的暢通，單純的治理模式也只能是一個美好的藍圖，缺乏實際的

內容。縱觀管理理論的發展，從泰勒的科學管理思想、梅奧的人際關

系理論、波特的競爭戰略研究到哈默的企業再造理論，企業管理理論

與相應的管理實踐范圍由小到大，由剛性的管理措施逐步發展到注重

組織、個體行為的柔性管理理念，由企業的作業管理層次發展到從戰

略到作業的全方位管理。早期的公司管理注重作業層，與公司治理幾

乎是分割的。進入20世紀80年代后，由于競爭的激烈，制訂戰略成

為企業發展首要考慮的問題，公司管理的重心轉向戰略管理，這一轉

變使公司管理與公司治理開始有了共同的領域，并日益融合。戰略管

理一般包括兩個部分，即戰略規劃和戰略實施，其過程又可分為提議、

批準、貫徹和監督四個階段。戰略管理一般由總經理提出戰略動議，

經過董事會（股東大會）批準認可，然后再由總經理組織分解、貫徹

和實施，同時此過程又受到董事會等的監督和控制。因此，戰略管理

的參與者即是公司治理、公司管理中各個層次的集合體，治理層負責

批準和監督，管理層負責提議和實施。由此，公司治理與公司管理之

間的連接點在于公司的戰略管理層次，特里克對兩者的關系做了形象

的圖示分析。

八、公司治理模式差異論

根據新古典綜合學派的效率理論可知，不同的公司其治理機制的

效率也是不同的。不同的經濟任務、不同的經濟環境必然也將產生不

同的公司治理結構，迄今為止，沒有任何一種公司治理模式被證明放

之四海而皆準，那么，這種公司治理模式之間的差異就必將存在著。

幾種公司治理模式的產生都是與其具體的市場條件和政治、歷史因素

密切聯系的。治理模式差異論認為，由于經濟、政治、文化等方面的

差異以及歷史傳統和發展水平的不同，致使世界上很難存在唯一最佳

的公司治理模式。

（一）歷史傳統

哈佛大學教授盧西恩?伯查克和馬克?羅伊共同發現路徑依賴理

論，即一國的公司治理模式不可避免地受到先前存在的公司制治理結

構的影響，也不可避免地沿著先前的公司治理結構的基本軌跡與方向

發展，由此導致了各國在先前由于其不同的環境甚至是歷史條件而形

成不同的公司治理模式。因為：第一，怎樣建立有效的公司治理模式

通常是有章可循的；第二，現有的公司治理模式缺陷會隨著公司運營

逐漸顯現，但公司內部既得利益者為了維護其自身利益，會阻上對公

司治理模式進行變革，維護其既得利益。由此可知，即使競爭效率的

壓力和全球趨同化仍然存在，但公司治理結構的不同不可能消失。

（二）經濟條件

經濟條件上，“外部控制型”的英美公司治理模式，主要依賴于

完善的外部資本市場來對經理層進行有效的監控，而“內部控制型”

的德日公司治理體制，則依賴于公司內部監控機制作用的發揮。如果

德國模式迎接敵意收購和股東導向型董事會，那么，德國就會出現既

沒有勞工影響的董事會，也沒有契約和勞動力市場的保護監控磯制，

這樣的治理模式將會是不可想象的。在制度的選擇過程之中，國家利

益以及政治選擇等因素都影響公司治理模式的選擇。例如，美國政府

對財產權實施了較為充分的保護，所以在美國就形成了外部治理的機

制和市場導向型模式；而韓國政府對公司的監管和對貸款的分配，則

形成了家族導向型和政治管制型模式。經濟條件上的巨大差異，導致

各國在對公司治理體制上所做選擇的巨大差異。一國經濟體制在某一

時點所擁有的規則依賴于并且反映該經濟體制最初擁有的所有灰結構

和治理結構。總之，各種治理模式的存在和發展在一定程度上體現了

各國的特色和適應了本國經濟的發展，雖然近年來，以英國、美國為

代表的外部控制模式和以德國、日本為代表的內部控制模式這兩種典

型的模式都發生了顯著變化，呈現出一定程度上的趨同。但是，這種

趨同僅僅是相對的，各種模式在變革的過程中都沒有完全偏離各自原

先的軌道。公司治理模式不會因為經濟全球化而完全趨同。

（三）政治影響

哈佛大學教授馬克?羅伊認為政治因素的主導作用是造成各國公

司治理模式差異性的主要成因。在《強管理者，弱所有者：美國公司

財務的政治根源》中，他指出，政治影響產生了美國大中型公司的不

緊密的股權模式。究其根本原因是美國政府本著政治利益，力主弱化

金融資本的影響力，據此來束縛金融機構的規模和經營范圍。接下來

羅伊教授又在《公司治理中的政治決定因素》這本書中接著提到，歐

洲本土的治理結構與美國公司不同，主要決定于是否存在“社會民主”

的政治傳統，個人本位和平民思想比較重。因此，分散的股權結構會

凸顯其高效。在歐洲本土根深蒂固的民主傳統下，注重整體利益，看

重的是分配，如果出現雇員利益和股東權益相沖突時，高層一般會向

前者傾斜。所以，在政治社會民主前提下，大眾公司相較私人公司產

生股東和管理層的代理成本的風險更大。這種風險的防范措施即是集

中持股一一通過相對比較保密的會計制度直接對管理層進行監督，大

股東能夠防范將公司資源應用于其他利益相關者的壓力一一這也是歐

洲本土缺少公共公司的原因所在。

如若試圖對制度正行改革，則必須至少考慮到兩個因素：一是新

制度必須更加有效率；二是新制度的效率必須足以使制度轉型的收益

大于成本。只有在保證新制度效率和新制度能夠取得更大收益的前提

下，才能考慮制度的轉型，否則現有利益控制者就會拒絕這種轉型。

因此，轉型必須在能夠產生相當大的利益的情況下才會發生。

九、英美模式的主要內容

（一）形式上的股東大會

從公司治理理論上講，股東大會是公司的最高權力機構，但是，

英美模式公司股份高度分散、高度流動，而且相當一部分股東只擁有

少量股份，其實施治理成本較高，且由于外部股東信息不對稱，難以

直接對公司管理層進行有效的監督，因此，不可能將股東大會作為公

司的常設機構，或經常就公司發展的重大事宜召開股東代表大會，做

出有關決策。公司的股東大會早已喪失其作為公司最高權力機溝應有

的權威性而僅流于形式。在這種情況下，除了聽信于市場信息，股東

還將其決策權委托給一部分大股東或有權威的人，并由其組成董事會。

由董事組成的董事會負責公司日常決策，而董事會則向股東承諾使公

司健康經營并獲得滿意的利潤。

（二）獨特的董事會設計

在股份高度分散、股東喪失控股地位的情況下，公司內部治理更

注重發揮董事會的作用，形成了以董事會為中心、以外部董事制度為

核心的內部治理機制，其主要特點如下。

第一，在董事會內設不同的委員會。一般而言，英美公司的董事

會大多附設執行委員會、任免委員會、報酬委員會、審計委員會等一

些委員會。這些委員會一般都是由董事長直接領導，有的實際上行使

了董事會的大部分決策職能。因為有的公司董事太多，如果按正常程

序進行決策，則很難應付千變萬化的市場環境，也有可能因為決策者

既是董事長同時也是最大的股東，對于公司事務有著巨大的影響力，

而執行委員會又成為董事會的常設機構。除這樣一些具有明顯管理決

策職能的委員會外，還設有一些輔助性委員會，如審計委員會，主要

是幫助董事會加強其對有關法律和公司內部審計的了解，使董事會中

的非執行董事把注意力轉向財務控制和存在的問題，從而使財務管理

真正起到一種機制的作用，增進董事會對財務報告和選擇性會計原則

的了解；報酬委員會，主要是決定公司高級人才的報酬問題；董事長

的直屬委員會，由董事長隨時召集討論特殊問題并向董事會提交會議

記錄和建議的委員會，盡管它是直屬于董事長的，但它始終是對整個

董事會負責，而并不只是按董事長的意圖行事。近年來，美國的有些

公司又成立了公司治理委員會，用以解決專門的公司治理問題。

第二，董事分為內部董事和外部董事。為了平衡經理人員與所有

者權力，防止公司經理在經營決策中獨斷專行，維護廣大股東的利益,

美國創立了外部董事制度。根據法律規定大公司的董事會都必須由兩

部分董事組成，一部分是內部董事，主要由公司現在或過去的職員及

與公司保持著重要商業聯系的人員組成，他們負責公司各主要職能部

門的經營和管理。還有一部分是外部董事，他們的主要構成：是與本

公司有著緊密業務和私人聯系的外部人員；二是本公司聘請的擁有各

種專業知識和技能的外部人員；三是其他公司的經理人員。20世紀70

年代以后，兩類董事的比例不斷變化，總的趨勢是外部董事的比例不

斷提高。但目前英美大公司存在的一個普遍現象是公司首席執行官兼

任董事會主席，這種雙重身份實際上使董事會喪失了獨立性其結果是

董事會難以發揮監督職能。

（三）高度分散且流動的股權結構

依靠發達的資本市場，機構投資者和個人是公司的基本持股者，

且隨著公司規模的不斷擴大，公司股權越來越分散。在英美國家中，

據不完全統計，1952年美國人口中約有650萬人口直接持有股票，而

到20世紀80年代初，直接持有股票的人口上升至3200萬人，到90

年代末，美國人口中有過半數以上的人直接或者間接持有股票。在英

國，個人持股比重也相當高，達到總人口的30%以上。在最近幾十年間,

為了適應企業外部融資的需求，英美國家的非銀行性金融機構迅速發

展起來，股份持有者的性質則發生了很大的變化，機構投資者開始取

代之前的個人投資者成為主要的股份持有者。從20世紀末開始為了追

求遠遠高于債券收益的股票收益，養老基金及其他投資機構也開始大

量轉向股票市場投資，英國的機構投資者所持股權已經超過了60%；而

在美國的大公司中，機構投資者的持股比例也已超過了50虬雖然投資

主體發生了變化，但機構投資者持股仍是一種較分散的證券投資行為。

盡管機構投資者的數量很多，包括各種養老基金、互助基金、人壽保

險、大學基金、慈善團體等，投資的資產規模很大，持股總量也很大,

但出于分散投資風險的需要和有關法律的限制，一般都以分散持有多

家公司股份的方式來進行股票投資：在一個特定公司中持有的股份約

占某一公司股份總額的0.5%?3虬美國的《投資公司法》規定，人壽

保險公司和互助基金所持的股票必須分散化，而且不得派代表進入公

司董事會。法律還規定，保險公司在任何一家公司所持股票不能超過

公司股票總值的5%,養老基金會和互助基金會不能超過10%,否則將

處以重稅。

另外，不論是個人投資還是機構投資，投資都不穩定且一般不以

介入公司經營為目標。由于無論是個人直接投資還是機構投資，它們

的終極受益人均是關注短期投資收益的分散的個人投資者，機閡投資

者只不過是作為這些分散的個人投資者的代表進行股票投資，因而他

們的行為動機與個人投資者并沒有本質區別，持有股份的目的主要在

于追求短期股票投資利益最大化，股票被更多地用于短期買賣，而非

作為長期投資。可見，由機構股東的純粹投資動機所決定，機閡投資

者取代個人投資者也未能改變美國公司股份持有的高度流動性特征。

無論股份持有者的性質是以個人投資者為主，還是以機構投資者

為主，股份持有的高度分散和高度流動，始終是英美國家公司所有制

結構的基本特征。

（四）以直接融資為主

與其他治理模式相比，英美公司模式的融資方式主要是直接融資,

也就是說公司主要通過發行股票和債券的方式從證券市場上直接籌措

長期資本，而不是依殞銀行貸款。英美國家的證券市場有悠久的歷史,

以股權為主導的外部市場治理機制如職業經理人市場、控制權市場和

證券市場以及專業服務中介組織等高度發達。銀行不能直接持有公司

股票，只能作為純粹的存款機構和短期的資金提供者，為客戶提供短

期的融資需要。比如，美國1863年的《國家銀行法》和1977年的

《麥克遜登法案》規定，銀行不得跨州設立分行，由此產生的分散化

的銀行體系就不可能形成大的銀行集團。同時，美國的投資組合法規、

反網絡化法規以及1933年的《格拉斯-斯蒂格爾法》都禁止銀行持有

公司的股票或禁止銀行在全國范圍內經營。且在保證競爭有序存在，

保持經濟活力的同時，國家法律也越來越多地限制企業界和金融界的

結合。法律規定，銀行對某一客戶的貸款不得超過該銀行資本的15%,

而德日模式下的日本和德國有關銀行貸款的限額分別是30%和50%o進

而在美國絕大多數企業中，由股東持股的股份公司占公司總數的95%以

上，其資產負債率大大低于德國與日本，一般在35%?40%。

十、英美模式的產生

在英美國家由于較早受產業革命影響，科學技術發展導致經濟規

模的迅速擴大，將充足的勞動力和資本集中在一起形成一個富有成效

的實體顯得尤為重要。在這種背景下，股份公司成為最適當的形式。

在股份公司發展的初期，所有權與經營權的分離是不可避免的。尤其

隨著經濟的發展，公司經營規模、范圍的擴大，專業化經理人的出現,

更加快了所有者和經營者的分離速度。公司所有者追求公司利益的最

大化，而經營者可能為了滿足自身利益的最大化，濫用權力損害公司

的利益，進而損害公司所有者的利益。所有者與經營者的這種利益沖

突可以說是公司治理形成的內在因素，也是各種公司治理模式共同的

產生原因。產業革命又促進了專業化管理與風險分散相結合的現代化

股份制的推行，股份高度分散的公眾上市公司成為這些國家經濟領域

中最主要的組織形式。在美國，最大的400家公司99%都在股票交易所

上市交易；在英國，100家最大的公司大部分也都是上市公司。而在歐

洲大陸國家，股票上市公司比例平均只有54%。

在主要依靠股份融資快速擴大規模的企業擴張方式根深蒂固的影

響下，這些國家逐漸形成了股份高度分散化、股票高度流動性、金融

市場十分發達的公司制度，在此基礎上形戌了被稱為市場導向型公司

治理模式的以經理人控制為特征的控制權結構。由于普通法系國家奉

行股東主權至上，公司以股東利益最大化為目標，而且其融資方式以

股份融資為主，借貸融資比重較低，因而其公司治理一般不考慮利益

相關人的作用，因此又屬于利益相關人排斥型公司治理。

十一、風險圖譜

風險圖譜是風險分析的重要工具，通過分析公司的風險圖譜，可

以直觀地看到公司的風險分布情況，從而確定風險管理的重要控制點

和風險管理解決方案。風險圖譜從風險發生的可能性和影響程度兩方

面對風險進行評級，風險評級要從固有風險、目標剩余風險和實際剩

余風險三個層級進行。

風險圖譜被兩條“等風險線”分隔為“紅燈區”“黃燈區”和

“綠燈區”

(1)“紅燈區”的風險大多集中在第一象限，其發生的概率和影

響程度均較高。公司應該根據風險的屬性和風險偏好來選擇風險管理

方案；

(2)“黃燈區”的風險，有兩種情況：

①處于第二象限的風險更多的是一些非常事件，但影響程度較大。

對于這類風險，公司應該在采取防范措施的同時，制訂應急計劃；

②處于第四象限的風險，其影響程度不是很高而發生概率偏高，

這往往與日常經營和遵守法律方面的問題有關，這些風險的累計影響

不可低估。對于這類風險要注意日常的管理和監控。

(3)“綠燈區”的風險大多集中在第三象限，是指那些發生概率

和影響程度均不太高的風險，通常在目前可以接受。公司可以取消與

此風險相關的、多余的風險控制措施，從而減少成本和資源消耗以便

管理更重要的風險。

風險圖譜不是一成不變的，公司應該定期評估風險，動態地對風

險圖譜進行調整和更新。

十二、風險分析方法的選擇

選擇風險分析的方法和判斷標準，應考慮行業自身特點，區別它

們各自的關注點，靈活確定風險分析過程和分析方法。例如，對于金

融行業來說，丟失數據風險的損失比短時間業務停頓的風險所帶來的

損失更為嚴重：而對于通信行業來說，業務停頓風險帶來的損失比少

量數據丟失的風險更難以接受。與定量分析相比較，定性分析的準確

性稍好但精確性不夠，定量分析則相反；定性分析沒有定量分析那樣

繁多的計算負擔，但卻要求分析者具備一定的經驗和能力；定量分析

依賴大量的統計數據，而定性分析沒有這方面的要求；定性分析較為

主觀，定量分析基于客觀；此外，定量分析的結果很直觀，容易理解,

而定性分析的結果則很難有統一的解釋。

企業可以根據自身的具體情況來選擇定性或定量的分析方法。當

前最常用的分析方法一般都是定量和定性的混合方法，對一些可以明

確賦予數值的要素直接賦予數值，對難于賦值的要素使用定性方法，

這樣不僅更清晰地分析了資產的風險情況，也極大簡化了分析的過程,

加快了分析進度。

十三、風險的概念及其分類

古人說：“宜未雨而綢繆，毋臨渴而掘井。”企業在生產經營的

過程中，面臨著諸多的風險，如果我們沒有妥善地處理，風險事故一

旦發生，輕則影響生產經營穩定和企業經濟效益，重則危及企業的生

存。因此風險評估的目的是為了給企業造就一個安全穩定的生產經營

環境，這有助于增加領導層經營管理決策的正確性，進而提高企業的

經濟效益。

(一)風險的概念

企業在經營活動中，會遇到各種不確定性事件，這些事件發生的

概率及其影響程度是無法事先預知的，進而影響企業目標的實現。所

謂風險，就是在一定環境下和一定限期內客觀存在的、影響企業目標

實現的各種不確定性事件。或者說，風險就是指在一個特定的時間內

和一定的環境條件下，人們所期望的目標與實際結果之間的差異程度。

因此，風險是一個事項將會發生并給目標實現帶來負面影響的可能性。

風險具有客觀性、普遍性、潛在性、必然性、可識別性、可控性、損

失性和不確定性等特點，風險與機會同在。

COSO企業風險管理新框架(2016)指出風險是指事項發生并影響

戰略和業務目標之實現的可能性。該定義兼顧了正面和負面的影響，

這和國際風險管理標準IS031000及中國風險管理標準GB—T24353是

一致的。為了與我國內部控制規范一致，本書采用C0S004的定義。

（二）風險的構成要素

風險一般包括以下三項構成要素。

1、風險因素

風險因素是指促使某一特定風險事故發生或增加其發生的可能性

或擴大其損失程度的原因或條件。它是風險事故發生的潛在原因，是

造成損失的內在或間接原因。例如，對于建筑物而言，風險因素是指

其所使用的建筑材料的質量、建筑結構的穩定性等；對于人而言，則

是指健康狀況和年齡等；對于企業而言，風險因素則包括企業人員因

素、結構因素、外部環境因素等。

2、風險事故

風險事故也稱風險事件，是指造成傷害或財產損失的偶發事件是

造成損失的直接的或外在的原因，是損失的媒介物，即風險只有通

過風險事故的發生才能導致損失。就某一事件來說，如果它是造

成損失的直接原因，那么它就是風險事故；而在其他條件下，如果它

是造成損失的間接原因，它便成為風險因素。例如，對于企業而言，

發生倉庫貨物被盜是風險事故，而安保系統不健全是風險因素。

3、損失

在風險管理中，損失是指非故意的、非預期的、非計劃的經濟價

值的減少。通常可以將損失分為兩種形態，即直接損失和間接員失。

直接損失是指風險事故導致的財產本身損失和人身傷害，這類求失又

稱為實質損失：間接損失則是指由直接損失引起的其他損失，包括額

外費用損失、收入損失和責任損失。

十四、風險的分類和評估

（一）風險的分類

企業所面臨的風險從來源上分，有企業內部和外部兩個方面。外

部風險包括：科技發展帶來的企業技術、管理、信息等方面的風險；

顧客需求或預期改變；競爭的存在；自然災害；政治事件；經濟環境

的改變等。內部風險主要有：員工的素質和能力；經理人的責任改變;

董事會或監督委員會的責任履行情況等。

從企業能否對風險進行控制來分，風險分為可控風險和不可控風

險兩種。

（二）風險評估

風險評估是一個比較寬泛的概念，在有的內部控制或風險管理標

準中，風險評估就是風險管理，包括了風險管理的全過程，可以說是

風險管理的代名詞。而在有的內部控制或風險管理標準中，風險評估

是全面風險管理的一個步驟，包括內容有多有少，如目標確定、風險

識別、風險分析、風險評價以及風險應對等。

1、C0S092關于風險評估概念

COSO內部控制整體框架把風險評估列為內部控制的五要素之一

《內部控制整體框架》認為，風險評估是指單位為實現其目標而確認

的相關風險，以構成進行風險管理的基礎。單位風險可能來自于：

(1)經營環境的變化；

(2)聘用新的員工；

(3)采用新的或改良的信息系統

(4)迅猛的發展速度；

(5)新技術的運用

(6)新的行業、產業或經營活動的開發；

(7)企業改組；

(8)海外經營;

(9)新的會計方法的采用。

2、C0S004關于風險評估概念

《企業風險管理整體框架》指出風險評估要對識別的風險進行分

析，以便確定對他們進行管理的依據。強調風險評估是風險管理的一

個步驟，相當于我國《企業內部控制基本規范》的風險分析。

3、我國《企業內部控制基本規范》關于風險評估概念

我國《企業內部控制基本規范》借鑒《企業風險管理整體框架》，

認為風險評估是企業及時識別、系統分析經營活動中與實現內部控制

目標相關的風險，從而合理確定風險應對策略。即為識別、分析、管

理與企業活動相關的市場風險、政策風險、法律風險、匯率風險、經

營風險等各種風險而建立的機制。該概念沿用C0S092的要素理念，是

相對寬泛的概念，包括C0S004目標設定、事項識別、風險評估和風險

應對四大要素的組合。

十五、內部控制的重要性

內部控制作為現代組織管理框架的重要組成部分，是一個組織持

續發展的機制和重要保證。現代組織理論和管理實踐表明，組織的一

切管理工作，都要從建立與健全內部控制制度開始；組織的一切活動,

都無法游離于內部控制之外。“得控則強，失控則弱，無控則亂”，

內部控制的重要性主要體現在以下4個方面。

（一）內部控制是實現企業發展戰略的基礎

企業的發展不能是為現在而發展，而應該是為未來而發展，必須

要有一個長期的目標c企業的發展戰略是企業對全局的一種總體設想,

是從宏觀的角度對企業的未來的一種較為理想的設定。它所提出的是

企業整體發展的總任務和總要求，它所規定的是整體發展的根本方向。

因此，人們所提出的企業發展戰略總是高度概括的，而且著眼于未來

和長遠。一般認為，要實現企業長遠的發展戰略就要有健全有效的內

部控制作為支撐。實踐證明，在我國經濟快速發展的背景下，只有建

立和實施科學的內控體系，才能提升風險防范能力，實現企業可持續

發展戰略。在西方，內部控制提出得較早，相關的法律法規也對此有

了明確的要求。而在我國，具有強制性要求的內部控制基本規范形成

較晚，許多企業并沒有自發地認識到建設與執行內部控制的重要性，

因此，在與國外企業交往的過程中，常常由于這方面的欠缺而遭到不

公正的待遇。企業應該意識到，內部控制及其評價制度不只是為了滿

足外部強制要求，而應該最終成為一種自發的行動。建設和完善內部

控制體系是我國企業融入國際社會和健康、可持續發展的必由之路。

（二）內部控制是提高企業經營管理效率的保證

內部控制產生于紐織管理的需要，存在于組織經營管理活動之中,

是組織內部管理的重要組成部分，這就決定了內部控制的主體是組織

的管理部門和具體執行各項控制措施的人員，企業內部控制劃分為內

部管理控制與內部會計控制兩大類。內部管理控制制度是指那些對會

計業務、記錄和報表的可靠性沒有直接影響的內部控制。內部會計控

制是指那些對會計業務、記錄和報表的可靠性有直接影響的內部控制,

通過這種控制的建立，能維護財產物資的安全、完整，保證會計信息

的真實、可靠，保證經營管理活動的經濟性、效率性和效果性，保證

各項法律和規范的遵守。內部控制貫穿于企業經營管理活動的各個方

面，只要企業存在經濟活動和經營管理，就需要建立、健全企業的內

部控制并加強內部控制。

（三）內部控制是提高企業信息質量的保證

眾所周知，在信息化時代，信息足以決定一個企業的興衰存亡。

首先，高質量的報告信息將為管理當局提供準確而完整的信息，用以

支持管理當局的決策和對主體活動及業績的監控。同時，高質量的對

外報告和披露有助于企業的外部投資者、債權人等利益相關者以及監

管當局做出正確的決策。有效的內部控制系統通過職務分離、崗位輪

換、內部審計等控制方法及手段對企業信息的記錄和報告過程進行全

面持續的監控，及時發現和糾正各種錯誤與舞弊，保證企業信息能夠

真實完整地反映企業經營活動的實際情況。反思我國近年來的一系列

財務舞弊案件，如紅光實業、銀廣夏、藍田股份等，其組織的內部控

制失效負有不可推卸的責任。國內外證券市場的財務丑聞，使得廣大

投資者蒙上厚重的心理陰影，要求規范上市公司財務報告的呼聲越來

越高。有效的內部控制，對于重塑投資者的信心，維護資本市場的公

平和透明，進而保護投資者利益與國家經濟安全意義重大。

（四）內部控制是加強企業制度管理的根本

現代企業制度是指以市場經濟為基礎，以完善的企業法人制度為

主體，以有限責任制度為核心，以公司企業為主要形式，以產權明晰、

權責明確、政企分開、管理科學為條件的新型企業制度。企業是一系

列“契約的聯結”，由于委托人不能直接觀測到代理人選擇了什么行

動，委托人和代理人之間存在信息不對稱，具有機會主義傾向的管理

當局會利用自己的信息優勢，發生偷懶、不當消費等行為，以犧牲委

托人的利益為代價，使自己的利益最大化。因此，企業所有者需要監

督代理人，防止代理關系下的信息不對稱，降低代理成本，實現公司

治理目標，從而有助于最大限度地滿足企業所有者的權益。同時，通

這不相容職務分離控制、授權審批控制、會計系統控制、資產安全控

制、績效考評控制等手段形成各司其職、各負其責、相互制約的工作

機制，逐漸推動企業管理水平與會計信息質量的提升，提升經營的效

率和效果。

十六、內部控制的局限性

依據唯物辯證法的觀點，任何事物都不可能盡善盡美，內部控制

也有其兩面性：一方面它對企業預期目標具有控制作用：另一方面也

有他的不足和缺陷，存在固有的局限性。一般而言，內部控制的局限

性表現在以下幾個方面。

1、成本限制

內部控制受到成本與效益原則的限制，內部控制系統所需求的保

證水平有必要根據其成本而定。一般來說，控制程序的成本不能超過

風險或錯誤可能造成的損失和浪費。否則，再好的控制措施和方法也

將失去意義。

由于存在資源稀缺問題，企業必須考慮建立控制的相應成本。般

而言，用于衡量控制成本與收益的標準不同。控制成本量化較為容易,

控制效益量化則相當復雜，難免包括主觀的評估。在評估潛在收益時

可以考慮以下特定因素：不理想情形發生的可能性、各項活動的特性、

時間價值有可能對實體造成的潛在財務或經營影響。

此外，成本效益決策的復雜性還在于當控制與管理或運營過程相

結合，或“納入”管理或營運過程時，很難區分哪些是控制的成本與

效益，哪些是管理或營運的成本與效益。同樣，若干項控制措施組合

在一起，在很多時候，可用以防范或減輕某一特定的風險，但對具體

單項的控制成本與效益則很難估計。另外，控制成本與效益的估計，

也會因單位或業務性質的不同而有所側重。高風險活動明確要求進行

成本收益分析，而低風險活動則可以省略。

2、人為失誤

內部控制的設計會受到設計人員經驗和知識水平的限制，因而可

能存在缺陷。同時，執行人員的粗心大意、精力分散、判斷失誤以及

對指令的誤解等，也可能使內部控制系統失控或陷于雍疾。例如，經

營決策必須在規定的時間內，根據所掌握的信息，在經營行為的壓力

之下通過人為判斷來做出。根據事后的剖析，有些基于人為判斷的決

策，并不能產生預期的效果，而且可能需要做出改變。

3、串通舞弊

兩人或多人的合謀活動可能導致內部控制的失效。從事犯罪或者

試圖隱瞞某項行為的個人，通常會設法改變財務數據或其他管理信息,

使其不能為內部控制系統所識別。例如，執行一項重要控制職能的員

工可能會與客戶、供應商或其他員工串通。不同級別的銷售人員或部

門經理有可能合謀繞過控制，以使所報告的成果達到預算或激勵目標。

因此，在實際工作中，如果處于不相容職務上的相關人員相互串通、

相互勾結，失去了不相容職務之間相互制約的基本前提，內部控制也

就很難發揮作用。

4、濫用職權

各種控制程序是管理工具，但任何控制程序都不能發現和防止那

些負責執行監督控制的管理人員濫用職權或不當用權。管理權的干預

直是導致許多重大舞弊發生和財務報告失真的一個重要原因。在某些

情況下，對于擔任控制職能的人員越權管理、濫用職權，即使具有良

好設計的內部控制，也不能發揮其應有的作用。內部控制作為企業管

理的組成部分，理所當然地要按照管理人員的意圖運行，尤其是對企

業負責人的決策更具有決定性的作用。決策出了問題，貫徹決策人意

圖的內部控制也就失去了其應有的控制作用。

5、制度失效

內部控制制度是針對制度制定時的經濟業務設計的，內部控制可

能會因經營環境、業務性質的改變而削弱或失效，可能會對不正常的

或未預料到的業務類型失去控制能力。企業處于經常變化的環境之中,

為保持競爭力，勢必要經常調整經營策略，這就會導致原有的控制制

度對新增的業務內容失去控制作用的情況發生。

6、例外事件

內部控制主要是圍繞著企業正常的生產經營活動，針對經常性的

業務和事項進行的控制。但在現實企業中，由于復雜多變的外部環境

使得企業常常會面對一些意外和偶發事件，而這些業務或事項由于其

特殊性和非經常性，沒有現成的規章制度可循，造成了內部控制的盲

點。也就是說，內部控制的一個重大缺陷在于它不能應對例外事件。

企業在處理這些事項時，往往更多地憑借管理層的知識和經驗以及對

環境變化的感知度，這就是所謂的“例外管理原則”。

十七、內部牽制

內部牽制的概念最早在1905年由特克西提出。他認為內部牽制由

3部分組成：職責分工、會計記錄、人員輪換。這3部分內容在現代內

部控制中都有所體現。《柯勒會計詞典》中對內部牽制曾做出最全面

的解釋，它認為“內部牽制是指以提供有效的組織和經營，并防止錯

誤和其他非法業務發生的業務流程設計。其主要特點是以任何個人，

或部門不能單獨控制任何一項或一部分業務權力的方式進行組織上的

責任分工，每項業務通過正常發揮其他個人或部門的功能進行交叉檢

查或交叉控制。設計有效的內部牽制得以使每項業務能完整、正確地

經過規定的處理程序，而在這規定的處理程序中，內部牽制機制永遠

是一個不可缺少的組成部分”。由此可見，內部牽制是以查錯防弊為

目的，以職務分離、賬目核對為手段，以錢、賬、物等為主要控制對

象。

內部牽制按照實現機制的不同，可分為分離式牽制和合作式牽制

兩類。

（一）分離式牽制

內部牽制制度的建立主要是基于兩個設想，一是兩個人或兩個以

上的人或部門無意識地犯同樣錯誤的機會是很小的：二是兩個或兩個

以上的人或部門有意識地合伙舞弊的可能性大大低于單獨一個人或部

門舞弊的可能性。按照這樣的設想，通過內部牽制機制，實現上下牽

制，左右制約，相互監督，因而具有查錯防弊這個主要功能。所謂的

上下牽制是指，從縱向看，每項經濟業務的處理，至少要經過上下級

有關人員之手，使下級受上級監督，上級受下級制約，促使上下級均

能忠于職守，不可疏忽大意。所謂左右制約是指，從橫向看，每項經

濟業務的處理，至少要經過彼此不相隸屬的兩個部門的處理，使每一

部門工作或記錄受另一部門的牽制，不相隸屬的不同部門均有完整的

記錄，使之互相制約，自動檢查，防止或減少錯誤和弊端；同時，通

過交叉核對也能及時發現錯誤和弊病。

分離式牽制即不相容職務相分離，所謂不相容職務是指那些如果

由一個人或一個部門擔任既可能發生錯誤和舞弊行為，又可能掩蓋其

錯誤和舞弊行為的職務。不相容職務主要有授權批準、業務經辦、會

計記錄、財產保管和稽核檢查等職務，包括崗位的不相容、部門的不

相容以及流程的不相容。不相容職務分離主要是指授權審批與業務經

辦、業務經辦與會計記錄、會計記錄與財產保管、業務經辦與稽核檢

查、授權批準與監督檢查等不能由一個人或一個部門進行。

由此可見，內部牽制主要是以不相容職務分離為主要流程設計的,

是內部控制的最初形式和基本形態。其目的是為了保證財產物費的安

全和完整，防止貪污、舞弊。實踐證明，該設想是合理的，內部牽制

確實起到了防范錯弊的作用。

（二）合作式牽制

現代內部牽制思想還包括合作式牽制。合作式牽制是指，通過合

作達到相互制約、相互監督的作用。例如，會審機制，企業面對重大

決策、重大業務事項、重要的人事任免以及大額資金支付時，需要領

導層集體決策、集體聯簽，以防止個人決策的失誤：又如合同會簽制

度，即合同在生效前不僅需要主管部門簽字蓋章還需要其他協作部門

共同參與，會審、會簽人員共同參與、共擔責任，以及降低決策、合

同的風險。另外，企業內部各部門之間在業務上的協助也屬于合作式

牽制。例如，2012年財政部頒布要求在2014年1月1日試行的《行政

事業單位內部控制規范》中規定，重大事項需集體決策和會簽。

十八、企業風險管理

(一)企業風險管理(2004)架構

1、基本框架

2004年，COSO為企業風險管理確立了一個可普遍接受的定義，該

定義融入眾多觀點并達成共識，為各組織識別風險和加強對風險的管

理提供了堅實的理論基礎，即企業風險管理是一個受企業董事會、管

理層和其他人士影響的過程，運用于制訂戰略之中，并且貫穿整個企

業，用以識別可能影響該企業的潛在事項，并且將風險控制在風險偏

好的范圍之內，為達到實體目標提供合理的保證。

企業風險管理(2004)框架的主要貢獻就在于，其重新界定了風

險管理，即由目標、要素和組織三個維度組成的有機整體。

第一維度為企業的目標，即戰略目標、經營目標、報告目標和合

規目標。在主體既定的使命或愿景范圍內，管理當局制訂戰略目標、

選擇戰略，并在企業內自上而下設定相應的目標。企業風險管理框架

力求實現主體的戰略目標、經營目標、報告目標和合規目標。戰略目

標與高層目標相關，和企業使命相一致，企業所有的經營管理活動必

須長期有效地支持該使命。經營目標與企業運營的效果和效率相關，

包括業績和利潤目標，運營變化以管理當局對結構和業績的選擇為基

砧，旨在使企業能夠高效地使用資源。報告目標與組織報告可靠性相

關，包括對內報告和對外報告，涉及財務和非財務信息。合規目標層

次較低，也是最基礎的目標，與組織遵循相關法律法規有關。

第二維度為構成要素，即內部環境、目標設定、事項識別、風險

評估、風險應對、控制活動、信息與溝通和監控。

第三維度組織是企業的層級，包括主體層次、分部、業務單元及

子公司。

三個維度的關系是，全面風險管理的八個要素都是為企業的四個

目標服務的；企業各個層級都要堅持同樣的四個目標；每個層次都必

須從以上八個方面進行風險管理。

2、構成要素

第二維度企業風險管理包含八個相互關聯的要素。它們來源于管

理當局經營企業的方式，并與管理過程整合在一起。這些構成要素的

含義如下。

內部環境一一內部環境包含組織的基調，它為主體內的人員如何

認識和對待風險設定了基礎，包括風險管理理念和風險容量、誠信和

道德價值觀，以及他們所處的經營環境。

目標設定一一必須先有目標，管理當局才能識別影響目標實現的

潛在事項。企業風險管理確保管理當局采取適當的程序去設定目標，

確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相

符。

事項識別一一必須識別影響主體目標實現的內部和外部事項，區

分風險和機會。機會被反饋到管理當局的戰略或目標制訂過程中。

風險評估一一通過考慮風險的可能性和影響來對其加以分析，并

以此作為決定如何進行管理的依據。風險評估應立足于固有風險和剩

余風險。

風險應對一一管理當局選擇風險應對一回避、承受、降低或者分

擔風險一一采取一系列行動以便把風險控制在主體的風險容忍度和風

險容量以內。

控制活動一一制廣和執行政策與程序以幫助確保風險應對得以有

效實施。

信息與溝通一一相關的信息以確保員工履行其職責的方式和時機,

能被識別、獲取和溝通。有效溝通的含義比較廣泛，包括信息在主體

中的向下、平行和向上流動。

監控一一對企業風險管理進行全面監控，必要時加以修正。監控

彳以通過持續的管理活動、個別評價或者兩者結合來完成。

企業風險管理并不是一個嚴格的順次過程，一個構成要素并不是

僅僅影響接下來的那個構成要素。它是一個多方向的、反復的過程，

在這個過程中幾乎每一個構成要素都會影響其他構成要素。

3、企業風險管理(2004)框架面臨的問題

企業風險管理(2004)框架在對企業風險管理進行定義時所強調

的最重要也是最獨具一格的一點是“貫穿整個企業，應用于戰略制定

中“o而這一點在實踐中卻被誤讀，甚至被無視。C0S0最初在編制

ERM框架時采用了類似于內部控制框架所使用的立方體。雖然COSO對

立方體右側的內容進行了修改，刪除了有關活動和流程，改為側重于

范圍更廣的實體和運營單位及分支機構，但許多企業依然試圖在過于

細微的層面實施該框架，例如運用于流程層面而非戰略制定。許多組

織機構將企業風險管理作為一種保證活動來實施，而不是將其視為一

種更佳的企業管理方式，從而失去了治理效果。

2008年金融危機以及2011年的日本海嘯所引發的經濟大蕭條，

“黑天鵝”“大變臉”事件頻頻爆發，ERM有關問題和價值的主張便開

始明朗起來，令許多企業進入危機應對模式，企業風險管理的實施也

因此受到企業特別是C級高管的真正重視。6月24日，C0S0委員會發

布《企業風險管理：風險與戰略和績效的協調》，以向公眾征求意見,

截止日期為2016年9月30日。

（二）企業風險管理（2016）框架的內容

相對于企業風險管理（2004）框架，新版企業風險管理（風險與

戰略和績效的協調）（2016）使用了構成元素加原則的結構，包括5

個構成元素，細分為23條原則，2013年COSO組織更新了企業內部控

制框架的部分內容，在文章的整體結構上就是采用的這種結構新的結

構加強了新框架的可讀性、可用性和一致性。新版ERM框架的五要素

和23個原則。

新版框架對ERM的定義為：組織在創造、保存、實現價值的過程

中賴以進行風險管理的，與戰略制訂和實施相結合的文化、能力和實

踐。可以看到，新版框架簡化了ERM的定義以方便閱讀和記憶。新定

義方便的是所有讀者的理解，而不只是風險管理從業者。新定義包括

文化和能力而不只是過程，更加強調風險與價值的相結合，突出價值

創造而不只是防止損失，這樣也避免了和內部控制定義的界限不清。

新版框架中，ERM被視為戰略制定的重要組成和識別機遇、創造和保留

價值的必要部分。新版框架中ERM不再是主體的一個額外的或是單獨

的活動，而是融入主體的戰略和運營當中的有機部分。

新版框架注意到了自舊版框架發布以來，組織在實踐ERM過程中

遇到的一些問題，包括對風險管理工作的定位，風險管理工作的范圍

和目標等，新版框架定義了風險管理工作的高度，包括：戰略和業務

目標與使命、愿景和價值觀不匹配的可能性；選定的戰略所隱含的意

義；執行戰略過程中的風險。

1、風險治理和文化

風險治理和文化構成了ERM所有其他部分的基礎。風險治理定下

主體的基本基調，加強ERM的重要性并確立ERM的監管責任的分配；

文化則是主體的價值觀、行為準則和對風險的理解。

(1)實現董事會對風險的監督。董事會對主體的風險監督負有首

要責任。

(2)建立治理和運作模式。在明確的責任分配下，組織應該建立

完整的運營模式和匯報體系。

(3)定義期望的組織行為。董事會和管理層通過定義其期望的行

為將組織核心價值和對風險的態度具體化。

(4)展現對誠實和道德的承諾。組織制定基調，建立員工行為準

則并對偏離準則的行為做出回應。

(5)加強問責。組織確保各個層級的個體在風險管理方面的職責

明確，并確保其自身在提供準則和指導方面的職責明確。

(6)吸引、發展并留住優秀的個體。致力于根據戰略和業務目標

構筑人力資本，管理層通過在不同層面建立人力資源管理體系來吸弓1、

培訓、指導人才，評價和留住人才。

2、風險、戰略和目標設定

ERM通過制訂戰略和業務目標的過程與主體的戰略計劃融合在一起。

通過對商業環境的理解，組織可以得到對內在和外在因素的看法以及

它們對風險的影響。組織在戰略制訂中確定其風險偏好，而業務目標

使得戰略得以實踐并形成主體日常的運營。

(1)考慮風險和業務環境。組織考慮業務環境對風險圖譜的潛在

影響；組織要理解業務環境，考慮內部和外部的環境和不同的利益相

關者。

(2)定義風險偏好。組織在創造、保存和實現價值的過程中定義

風險偏好。

(3)評估可供選擇的戰略。組織評估可替代的戰略和對風險狀況

的影響。

(4)建立業務目標的同時考慮風險。組織建立不同層次的業務目

標以制定和支持戰略的同時考慮風險。

(5)定義可接受的績效浮動區間。可接受的績效浮動也可以理解

為風險容忍度。

3、執行中的風險

組織識別并評估可能影響其實現戰略和業務目標的風險，結合企

業的風險偏好，對風險按照其嚴重程度排分優先次序，組織選擇風險

應對的方法并對績效進行監控以做出調整。這樣，企業對追求戰略和

業務目標時所面臨的風險量建立起一個組合的觀念。

(1)識別執行中的風險。組織識別執行過程中影響業務目標實現

的風險。

(2)評估風險的嚴重程度。風險評估的重要工具是風險熱力圖，

熱力圖從風險發生的可能性和影響程度兩方面對風險進行評級。風險

評價要從固有風險、目標剩余風險和實際剩余風險三個層級進行。

(3)區分風險的優先次序。組織結合風險偏好，選定對風險排分

優先等級的標準，然后對所有識別的風險進行排分。

（4）識別并選擇風險響應。這些控制活動在《內部控制一一整合

框架》中已經介紹。

（5）評估執行中的風險。組織需要對績效進行監測，如果績效的

浮動區間超出了可以接受的范圍，則可能需要重新考慮業務目標或戰

略；調整目標績效，重新進行風險評估；重新進行風險優先級的排序;

重新制定風險應對措施；重新確立風險偏好。

（6）建立風險的組合觀。管理層需要從組織整體角度考慮風險，

將組織風險作為一個整體去和實現績效目標所需要承受的風險進行對

比，而不是將其視為一個個單獨的、分散的風險。

4、風險信息、溝通和報告

溝通是在主體中不斷迭代地取得并分享信息的過程。管理層利用

從內部和外部取得的有效信息來支持企業風險管理工作，組織利用信

息系統來捕捉、處理和管理數據和信息。通過利用應用于所有組成部

分的信息，組織就風險、文化和績效做出報告。

（1）使用相關信息。組織利用支持企業風險管理的信息，首先考

慮有哪些可用的信息來源，然后衡量取得這些信息的成本，最終確定

需要哪些信息來源。

（2）利用信息系統。信息系統可以是正式的或者是非正式的。

(3)溝通風險信息。溝通的對象既包括內部的員工，也包括董事

會、股東及其他外部的利益相關者。溝通方法可以是電子信息、外部/

第三方材料、非正式/口頭、公共活動、培訓和研討會、內部文件。

(4)對風險、文化和績效進行報告。組織在各個層級對風險、文

化和績效做出報告。

5、監控風險管理效果

通過監控風險管理(ERM)的效果，組織可以判斷ERM的各組成部

分的長期運作是否良好并獲知有哪些實質性的變化。

(1)對重大變化進行監控。組織識別和評估可能對戰略和業務目

標的達成造成實質性影響的內部和外部變化。造成這些實質性影響的

變化可能來自內部的原因，如快速成長、新技術或者管理層及其他人

事變動；可能來自外部環境，例如法規和經濟環境的變化；還可能來

自組織文化方面，例如并購和重組帶來的文化沖擊。

(2)對ERM進行監控。組織應監控ERM的效果并隨時準備對其進

行效率上和實用性上的改善，組織同樣要明確未來理想中的ERM狀態,

做到持續改進。

十九、內部控制的相關比較

(一)目標的比較

內部控制是一個管理系統而非技術系統，是一個防守系統而不是

進攻系統，因此，內部控制要實現企業的價值最大化目標，無法依靠

利益的增加而只能通過減少支出。內部控制的目標，通常指內部控制

所要達到的預期效果和所要完成的控制任務。從理論上說，內部控制

的目標主要取決于內部控制本身所具有的功能和人們在設計、水行內

部控制時的主觀需要。內部控制的目標限于內部控制功能和人們的主

觀需求之間，不可能高于其本身的客觀功能，當然，也不能低于主觀

需求。

1、國內外相關報告的內部控制目標比較

內部控制的目標并非單一的，是由幾個目標組成的目標結構或體

系，并且，各目標之間存在著相互聯系。目前內部控制學