聚烯煌公司

內部控制方案

目錄

一、公司治理與內部控制的融合.....................................3

二、公司治理與內部控制的聯系.....................................6

三、委托代理理論..................................................9

四、交易成本理論.................................................11

五、內部控制評價的組織與實施....................................14

六、內部控制缺陷的認定...........................................24

七、評價控制缺陷與報告...........................................26

八、審計工作計劃與實施..........................................30

九、風險的概念及其分類..........................................35

十、風險的分類和評估............................................37

十一、風險分析方法的選擇........................................39

十二、風險圖譜...................................................40

十三、目標設定的含義............................................41

十四、內部控制目標的設定........................................45

十五、產業環境分析...............................................48

十六、聚丙烯催化劑的發展不斷深入................................49

十七、必要性分析.................................................50

十八、公司簡介...................................................51

十九、SWOT分析說明.............................................52

二十、項目風險分析..................................................63

二十一、項目風險對策................................................65

發展規劃.............................................................67

(一)公司發展規劃..................................................67

1、發展計劃..........................................................67

(1)發展戰略........................................................67

作為高附加值產業的重要技術支撐，正在轉變發展思路，由〃高速增長階段〃

向"高質量發展〃邁進。公司順應產業的發展趨勢，以“科技、創新〃為經營理

念，以技術創新、智能制造、產品升級和節能環保為重點，致力于構造技術

密集、資源節約、環境友好、品質優良、持續發展的新型企業，推進公司高

質量可持續發展。....................................................67

一、公司治理與內部控制的融合

公司治理與內部控制既有不同點，也有相同點，既有分離區域，

也有交叉領域。離開公司治理結構，內部控制就沒有完整性，當然也

就不可能取得風險管理方面的成功；同時，公司治理結構同樣也離不

開內部控制制度，如果沒有完善的內部控制做支撐，公司治理結構所

追求的公平與效率的目標也必然會落空。可以看到，公司治理與內部

控制實質上是一種互動關系，即有效的公司治理對完善內部控制至關

重要；反過來，健全有效的內部控制通過產生高質量的會計信息也能

優化公司治理機制。

1、內部控制與公司治理不是主體與環境的關系

迄今為止，公司治理和內部控制的關系在理論上仍未有統一定論。

AICPA的《審計準則第55號》和COSO的《內部控制——整體框架》這

兩個研究報告均把董事會及其對待內部控制的態度認定為內部控制的

控制環境，由于董事會是現行公司治理結構的核心，所以很多人認為

公司治理結構是內部控制的環境要素，內部控制框架與公司治理機制

是內部管理監控系統與制度環境的關系。這種認識是否正確也是值得

商榷的°首先，根據哲學環境論的有關知識，環境是與主體相對應并

外在于主體的。如果將兩者的關系定義為環境論，那么就意味著公司

治理與內部控制是兩個完全獨立的沒有重疊和交叉的主體。其次，環

境論降低了公司治理對于內部控制所具有的重要意義。按照哲學內外

因理論，內因是事物發展變化的根本原因，外因只起一定的促進作用。

環境作為非決定性的外部影響因素，其需要通過內部因素的轉化才能

起作用。這樣人們就會有意或者無意地把公司治理結構的影響及其意

義縮小。最后，環境論也忽視了內部控制對公司治理的重要性，或者

說沒有看到內部控制對公司治理具有一定的反向促進作用。公司治理

與內部控制并非完全獨立，存在著聯系與區別。因此，內部控制與公

司治理不是主體與環境的關系，而是“你中有我、我中有你”的相互

包含、相互融合的關系。

2、離開公司治理結構，內部控制就沒有完整性

公司治理機制有效，才能保證不同層次控制目標的一致性，只有

從源頭實施內部控制，才能維護各利益相關者的利益；公司治理不能

很好地解決所有者和經營者之間的代理問題，則企業管理當局就沒有

足夠的動力去改進內部控制，再好的內部控制也無法提供“合理保

證”。內部控制與公司治理不能割裂，需將內部控制納入公司治理路

徑之上。兩權合一時，股東和股東會直接實施內部控制；兩權分離時,

利益相關者通過董事會或監事會間接控制，由股東會或董事會設計監

控制度，考核、評價經理層績效。公司治理機制有效，才能保證不同

層次控制目標的一致性；只有從源頭實施內部控制，才能維護各利益

相關者的權益。有效的內部控制應當能夠維護所有利益相關者的合法

權益，而不是維護某一類或少數利益相關者的權益。

3、有效的內部控制是完善公司治理的重要保障

從公司治理角度認識內部控制，是正確認識內部控制的本質、發

揮內部控制作用的前提，企業內部控制內涵和外延得以升華正是內部

治理結構作用的結果。內部控制是在公司治理解決了股東、董事會、

監事會、經理之間的權、責、利劃分之后，作為經營者的董事會和經

理為了保證受托責任的履行，而做出的主要面向次級管理人員的控制。

有效的內部控制是完善公司治理的重要保障，如果內部控制失效，其

提供的會計信息也就無法真實反映企業的財務狀況和經營成果，企業

的經營者就無法進行正確的決策。健全有效的內部控制能夠確保公司

管理行為符合國家法律法規，有利于董事會行使控制權從而提高公司

治理效率。健全有效的內部控制可以提供真實可靠的財務信息，有利

于所有者和管理者之間的制衡，有利于保障債權人等利益相關者利益,

實現共同治理。在我國，事實上企業控制權相當大程度轉移到管理者

手中，良好的內部控制是公司法人主體正確處理各個利益相關者關系、

實現公司治理目標的重要保證。

總之，如果內部控制不能與公司治理兼容，將導致治理成本驟增;

如果沒有健全的內部控制，公司治理留下的空間將導致機會主義行為,

由此可能演變為制約公司發展的頑疾。

二、公司治理與內部控制的聯系

公司治理和內部控制兩者之間存在著很多相同點和大部分的相互

交叉與重疊區域，在企業的管理實踐中，兩者存在著一定的關聯性。

具體在以下幾個方面。

（一）具有同源性

公司治理與內部控制都與現代公司兩權分離所引發的代理問題密

切相關。由于交易信息的不對稱性，以及契約的不完備性直接導致了

“委托代理問題”的出現，因而公司治理與內部控制在一定程度上來

說具有同源性。兩權分離之后，如果所有決策相關信息在委托代理雙

方之間的分布是均衡的，那么不論經營者與所有者的目標函數一致與

否，經營者都不敢做出違背所有者利益的行為。然而現實的情況是信

息雙方總是處于不對稱地位，委托人對代理人的行為、決策并不十分

清楚，代理人的行為選擇往往會偏離委托人的目標，甚至會嚴重損害

委托人利益。因此，客觀上要求有一整套相應的制度安排來解決這種

利益沖突，公司治理便應運而生。而內部控制作為一種系統的制約機

制，其產生根源同樣是所有者與經營者間、企業內部上下級間的信息

不對稱，當委托人授權代理人從事某項活動時，為了保證代理人的行

為能夠符合委托人利益最大化的要求，客觀上就要求有相應的措施和

手段來加以控制。公司治理的核心是要有效地解決在契約不完備時企

業剩余控制權和剩余索取權的分配問題，而內部控制在本質上也是為

了在節約交易費用的同時噌強企業契約的完備性，進而保證企業剩余

控制權和剩余索取權能實現最大化。在契約不完備的情況下，對企業

控制權優化配置的共同追求，本身也說明了公司治理與內部控制具有

同源性。

（二）具有共同載體

公司治理機制與內部控制制度作為一系列制度安排，要想發揮其

作用就必須依附于一定的組織載體。脫離企業這個組織，公司治理與

內部控制就好比是“鏡口花，水中月”，不論公司治理結構多么完善,

也不管內部控制多么健全，都只是憑空而論，不能發揮實際作用，更

談不上實現企業的目標。從另外一個角度看，公司治理的完善與企業

內部控制的加強也必須依靠會計信息這個共同載體。真實、完整、及

時的會計信息既是實施內部控制的必要前提，也是公司治理發揮作用

的基本條件；而只有公司治理機制有效，內部控制健全，才能保證會

計信息的真實、完整和及時，兩者相輔相成。總之，企業組織和會計

信息是公司治理與內部控制的兩個共有載體。組織為公司治理與內部

控制提供了依附的實體，而會計信息則為依附在組織身上的兩種制度

安排提供了溝通和交流的平臺。兩者缺一不可，共同為公司治理與內

部控制的互動提供了先決條件。

（三）存在著交叉區域

首先，控制主體存在交叉性。公司治理的主體是“股東一董事會

一總經理”委托代理鏈上的各個節點。如吳敬璉教授把公司治理結構

定義為由所有者、董事會和高級管理人員組成的一種組織結構。其中

董事會是核心，而內部控制的主體是“董事會一總經理一職能經理一

執行崗位”委托代理鏈中的節點，核心在于總經理。因此，董事會和

總經理既是公司治理結構的主體，也是內部控制的主體。其次，適用

對象的交叉性。在三種基本企業形式中，獨資企業和合伙企業只有管

理和控制問題，沒有治理問題，因為其所有權與控制權通常是合一的。

但是對公司制企業來說，公司治理和內部控制問題都存在，需要同時

解決治理問題和控制問題，并需要注意兩者的有效對接。再次，總目

標的一致性。兩者的具體目標統一于企業目標之下，即最終實現企業

價值最大化。內部控制的目標是公司治理結構目標的進一步延伸和具

體化；公司治理結構所追求的公平和效率目標，是建立在內部控制的

目標即信息真實、資產安全和效益提高基礎上的。否則，在一個虛假

信息泛濫、資產被盜嚴重、管理效率低下的企業中，去實現公司治理

的目標無異于癡人說夢。最后，兩者在內容上存在關聯性。在公司治

理結構三種權力的實施過程中，除了監督權主要由股東、監事會行使

而獨立于企業的業務系統外，決策權和執行權都要落實到具體的部門、

崗位和個人，并通過內部控制制度加以規范和管理。

三、委托代理理論

20世紀70年代，面對美國公司經濟下滑而經理層卻牢牢掌握公司

控制權的事實，一批學者開始將矛頭指向公司經理層，把美國公司經

濟的下滑歸罪于公司管理層，委托代理理論應運而生。

（一）所有者與管理層之間的利益沖突界定為企業的代理問題

委托代理理論認為，公司治理問題是伴隨著委托代理問題的出現

而產生的。由于現代股份有限公司股權日益分散，經營管理的復雜性

與專業化程度不斷增加，公司的所有者一股東通常不再直接作為公司

的經營者，而是作為委托人，將公司的經營權委托給職業經理人；職

業經理人作為代理人接受股東的委托，代理經營企業，股東與經理層

之間的委托代理關系由此產生。由于公司的所有者和經營者之間存在

委托代理關系，兩者之間因利益不一致而產生代理成本，并可能最終

導致公司經營成本增加的問題，就稱為代理問題。

（二）所有者與管理層之間的利益沖突將引發代理成本

現代公司治理問題在于剩余風險承擔者一股東或“委托人”不能

確定公司管理者或“代理人”是否根據股東的利益行事。由此產生的

成本，以及為防止這種行為而進行的監督和約束費用被稱為“代理成

本”。代理成本主要包括代理人的選聘費用、代理人的報酬、監督成

本、代理人的職務消費和經營損失等，與此對應的自理成本包括學習

管理知識的成本、因為經營不專業造成的損失等。代理問題及代理成

本存在的條件包括：（1）委托人與代理人的利益不一致一一由于代理

人的利益可能與公司的利益不一致，代理人最大化自身利益的行為可

能會損害公司的整體利益；（2）信息不對稱一一委托人無法完全掌握

代理人所擁有的全部信息，因此委托人必須花費監督成本，如建立機

構和雇用第三者對代理人進行監督，盡管如此，有時委托人還是難以

評價代理人的技巧和努力程度；（3）不確定性一一由于公司的業績除

了取決于代理人的能力及努力程度之外，還受到許多其他外生的、難

以預測事件的影響，因此委托人通常很難單純根據公司的業績對代理

人進行獎懲，而且這樣做對代理人也很不公平。

（三）代理問題的解決或降低代理成本需要以公司內部的激勵問

題為代價

公司治理的主要任務是尋找有助于減輕股去與管理者之間的代理

問題的結構和機制。委托代理理論視域中的公司治理是如何緩解公司

所有者與經營者之間的代理問題，降低代理成本，其目標是通過公司

治理結構與治理機制來協調所有者與經營者之間的利益沖突，使經營

者的行為盡可能地符合股東利益，從而實現股東價值的最大化。尤金

法瑪和邁克爾?詹森認為，公司制企業繁榮興旺的原因在于其能夠促

成決策管理與風險剩余承擔相分離，實現公司經濟風險的最優分配。

風險分配的好處是以公司內部的激勵問題為代價的，決策管理與剩余

風險承擔是相互分離和專業化的，這導致了決策者與剩余索取者之間

的代理問題。

四、交易成本理論

交易費用或稱“交易成本”的概念最早是由科斯(1937)在其論

文《企業的性質》中提出的。但科斯并沒有對“交易費用”這一概念

下定義，他只是對其做出了描述性分析。科斯認為，市場價格機制的

運轉是有代價的，市場交易存在著成本，這種成本包括發現交易對象、

發現相對價格、討價還儕、訂立契約以及執行契約等所發生的費用。

“通過形成一個組織，并允許某個權威(一個‘企業家')來支配資源,

就能節約某些市場運行成本。”企業作為市場的替代物，是一種不同

于市場的資源配置機制，這正是企業的本質。但是，企業不能完全替

代市場，企業內部交易也存在成本，企業降低交易成本的能力是有限

的。

（一）資產專用性、交易頻率和不確定性是交易（契約）屬性的

三個基本維度

追隨科斯的交易費用思想，威廉姆森在其代表作《資本主義經濟

制度》一書中引入了刻畫交易（契約）屬性的資產專用性、交易頻率

和不確定性三個基本維度，尤其是對資產專用性屬性的重視，極大拓

展了科斯的交易費用思想，使其成為“交易費用經濟學”的集大成者。

交易費用經濟學的邏輯思路是把每種交易都視為不同的契約，擁有不

同的屬性，進而由不同屬性的契約引申出需要不同的治理結構或機制

安排，來最大限度地節約交易費用，其研究的邏輯可用“交易一契約

一治理結構機制”來概括。資產專用性的程度可以分為絕對專用、非

專用和混合式三類。交易頻率即交易的頻繁程度，可分為一次性契約、

偶然契約和經常性契約，主要從買方來定義。不確定性主要是指由于

代理人的機會主義行為所導致的對未來情況的不可預測。一旦刻畫交

易的維度確定了，實際上就確定了交易費用的度量。依據交易屬性的

三個基本維度，借鑒麥克里爾的思路，威廉姆森將契約分為古典契約、

新古典契約和關系契約三類，指出不存在資產專用性的契約屬于古典

契約，由市場治理；資產專用性程度很高、交易頻繁且不確定性很高

的契約屬于某種關系契約，由企業治理；處于兩者之間的屬于新古典

契約和另一種關系契約，由混合形式治理（三方治理或雙方治理）。

（二）董事會是作為保護股東投資的一種治理結構而存在的

根據交易費用最小化的原則，不同性質的交易或契約分別與市場、

混合形式或企業這三種不同的治理結構相匹配。威廉姆森指出公司的

治理問題在于分析哪些“利益集團”應當進入董事會。他認，為，股

東作為資金的供給者受制于兩種風險：第一，他們提供的只是一般的

購買力，但這種購買力可能會被挪用或吞食；第二，這些資金可以用

來支持專用投資。盡管企業的其他專用投入品（如勞動力、原材料、

中間產品）的供給者也會遇到第二種風險，但他們遇到的第一種風險

通常只限于短期貸款風險。從風險承擔的角度來看，股東承擔的風險

最大，因而需要發明出一種治理結構，使股權持有者把它作為抵制侵

蝕、防止極其拙劣的管理的一種手段。董事會作為保護投資者的一種

手段，就這樣應運而生了。

可見，在交易費用經濟學理論視域中，由于股東一旦與企業簽約,

其投資將成為企業的專有資金而無法直接從企業索回，并易受管理者

機會主義行為的侵害，承擔著公司盈虧的風險，而其他利益相關者

（債權人、雇員和供應商等）都可以通過簽訂受法律保護的契約來得

到約定的回報，因而，董事會是作為保護股東投資的一種治理結構而

存在的。企業剩余分配應傾向于承擔風險最大的股東，這樣不僅能夠

保護投資人的利益，整體經濟也將表現不俗。

五、內部控制評價的組織與實施

內部控制評價是由企業董事會和管理層實施的。進行評價的具體

內容應圍繞《企業內部控制基本規范》中提及的內部控制五個要素即

內部環境、風險評估、控制活動、信息與溝通、內部監督，以及《企

業內部控制基本規范》及《企業內部控制應用指引》中的內容。在確

定具體內容后，企業應制定內部控制評價程序，對內部控制有效性進

行全面評價，包括財務報告內部控制有效性和非財務報告內部控制有

效性：同時為內部評價工作形成工作底稿，詳細記錄企業執行評價工

作的內容，包括評價要素、關鍵風險點、采取的控制措施、有關證據

資料以及認定結果等；企業還應在評價工作中明確內部控制缺陷的認

定準則；完成評價后，企業應當準備一份內部控制自我評價報告，在

其年報中進行披露：企業董事會應當對內部控制評價報告的真實性負

責。

（一）內部控制評價的相關概念

內部控制評價一般是指由專門的機構或人員，通過對單位內部控

制系統的了解、測試和分析，對其完整性、合理性及有效性提出意見,

并進行報告，以利于單位進一步健全和完善內部控制體系。

我國《企業內部控制基本規范》第四十六條指出：企業應當結合

內部監督情況，定期對內部控制的有效性進行自我評價，出具內部控

制自我評價報告。內部控制自我評價的方式、范圍、程序和頻率，由

企業根據經營業務調整、經營環境變化、業務發展狀況、實際風險水

平等自行確定。

（二）內部控制評價應當遵循的原則

根據《企業內部控制評價指引》第三條的規定，內部控制評價應

遵循以下3個原則。

1、全面性原則

評價工作應當包括內部控制的設計與運行，涵蓋企業及其所屬單

位的各種業務和事項。

2、重要性原則

評價工作應當在全面評價的基礎上，關注重要業務單位、重大業

務事項和高風險領域。

3、客觀性原則

評價工作應當準確地揭示經營管理的風險狀況，如實反映內部控

制設計與運行的有效性。

（三）內部控制評價的內容

根據《企業內部控制評價指引》的要求，內部控制評價涉及以下7

個方面。

(1)企業應當根據《企業內部控制基本規范》、應用指引以及本

企業的內部控制制度，圍繞內部環境、風險評估、控制活動、信息與

溝通、內部監督等要素，確定內部控制評價的具體內容，對內部控制

設計與運行情況進行全面評價。

(2)企業組織開展內部環境評價，應當以組織架構、發展戰略、

人力資源、企業文化、社會責任等應用指引為依據，結合本企業的內

部控制制度，對內部環境的設計及實際運行情況進行認定和評價。

(3)企業組織開展風險評估機制評價，應當以《企業內部控制基

本規范》有關風險評估的要求，以及各項應用指引中所列主要風險為

依據，結合本企業的內部控制制度，對日常經營管理過程中的風險識

別、風險分析、應對策略等進行認定和評價。

(4)企業組織開展控制活動評價，應當以《企業內部控制基本規

范》和各項應用指引中的控制措施為依據，結合本企業的內部控制制

度，對相關控制措施的設計和運行情況進行認定和評價。

(5)企業組織開展信息與溝通評價，應當以內部信息傳遞、財務

報告、信息系統等相關應用指引為依據，結合本企業的內部控制制度,

對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務報告

的真實性、信息系統的安全性，以及利用信息系統實施內部控制的有

效性等進行認定和評價。

(6)企業組織開展內部監督評價，應當以《企業內部控制基本規

范》有關內部監督的要求，以及各項應用指引中有關日常管控的規定

為依據，結合本企業的內部控制制度，對內部監督機制的有效性進行

認定和評價，重點關注監事會、審計委員會、內部審計機構等是否在

內部控制設計和運行中有效發揮監督作用。

(7)內部控制評價工作應當形成工作底稿，詳細記錄企業執行評

價工作的內容，包括評價要素、主要風險點、采取的控制措施、有關

證據資料以及認定結果等。評價工作底稿應當設計合理、證據充分、

簡便易行、便于操作。

(四)內部控制評價的程序

根據《企業內部控制評價指引》第十二條的要求，企業應按照內

部控制評價辦法規定程序，有序開展內部控制評價工作。內部控制評

價程序一般包括制訂評價控制方案、組成評價工作組、實施評價工作

與測試、認定控制缺陷、匯總評價結果及編報評價報告等環節。在這

里重點講解制訂評價控制方案、組成評價工作組、實施評價工作與測

試、匯總評價結果四個環節。

1、制訂評價控制方案

企業可以授權審計部門或專門機構負責內部控制評價組織的實施

工作。承擔內部控制評價的部門或機構應具備以下條件。

(1)能夠獨立行使對內部控制系統建立與運行過程及結果進行監

督的權力；

(2)具備與監督和評價內部控制系統相適應的專業勝任能力和職

業道德素養；

(3)與企業其他職能機構就監督與評價內部控制系統方面應當保

持協調一致，在工作中相互配合、相互制約；

(4)能夠得到企業董事會和經理層的支持，通常直接接受董事會

及其審計委員會的領導和監事會的監督，有足夠的權威性來保證內部

控制評價工作的順利開展。

內部控制評價部門或機構應根據內部監督情況和要求，制訂評價

工作方案，明確評價范圍、工作任務、人員組織、進度安排和費用預

算等相關內容，報經董事會或其授權審批后實施。這是一個進行內部

控制評估前的全面計劃，提供內部控制評價的效率和效果。

2、組成評價工作組

內部控制評價部門或機構在評價方案獲得批準后，需要組織評價

工作組，具體承擔內部控制檢查評價任務。評價工作組成員應具備獨

立性、業務勝任能力和職業道德素養及吸收企業內部相關機構熟悉情

況、參與日常監控的負責人或業務骨干參加。

企業可根據自身的條件建立內部控制培訓機制，為評價工作組成

員提供培訓I,使其盡快掌握內部控制知識，熟悉企業業務流程及應關

注重點、評價工作流程、方法以及工作底稿準備的要求。對于擁有內

部審計部門的企業來說，內審部門很有可能也同樣地擔當內部控制評

價組的工作。但如果企業決定利用外聘會計師事務所為其提供內部控

制評價服務，根據《企業內部控制基本規范》的要求，則該事務所不

應同時為企業提供內部控制的審計服務。

3、實施評價工作與測試

評價工作組需通過了解企業層面基本情況、各業務層面的主要流

程，識別有關主要風險后，才能開展實施及測試設計和運行有效性的

內部控制工作。

(1)了解公司層面基本情況。評價工作組與被評價單位進行充分

溝通，了解其經營業務范圍、企業文化、發展戰略、組織結構、人力

資源等內部環境及內部控制內容中五個要素的運作情況。

(2)了解各業務層面的主要流程及風險。在這一階段，評價工作

組把工作重點放在主要業務流程上，如資金管理流程、銷售流程和采

購流程等。為支持評估工作與相關測試有效進行，企業應建立全面文

檔記錄。文檔記錄可以智助評價工作組了解各個主要業務領域的流程,

識別相關的風險關注點及可能存在的內部控制措施。評價工作組可審

閱的內控流程文檔可能有以下幾種。

①風險控制矩陣文檔。關注點在于復核風險流程的合理性，例如,

文檔是否包含了流程面臨的所有風險、列示的風險是否得到定期或及

時的更新、對于各項風險的重要性水平分析是否合理，以及復核控制

點的識別，關鍵控制點、重要控制點、一般控制點的判斷是否合適°

②流程圖文檔。關注點在于流程圖是否與實際操作及風險控制矩

陣描述相符合，流程圖是否清楚地標示所有風險點及控制點，流程圖

中責任部門、崗位以及其他管理機構是否表述清晰、表述的流程路徑

是否清晰、是否存在交叉，以及內容是否涵蓋所有流程實際操作及相

應的控制活動。

③審批權限表文檔。關注點在于部門及崗位的描述是否準確、權

限的劃分和設置是否合理。

評價工作組應識別業務流程中的關鍵業務或固有風險，提出對于

每一重大流程在交易過程中“可能出錯”而產生重大錯誤的問題在這

些控制點上識別降低風險的控制，這些控制應當能夠為防止發生重要

的錯誤或者能發現并更正錯誤提供合理保證。有些控制可能并不顯而

易見，可能是電子化或者是人工的，并且同時是高層及基層實施。這

些關注點將是評價工作組進行設計或運行有效性并做出結論的地方。

例如，銀行賬戶管理中，銀行賬戶的開立、變更及撤銷未經合理的審

批及授權，對于該風險點應該采取相應控制措施，提交給銀行的開立

賬戶申請書需要經過公司總經理書面批準（簽章），提交給銀行的變

更賬戶申請需要經過財務經理和總經理審批，提交給銀行的撤銷賬戶

申請需要經過財務經理和總經理審批。再以資金管理流程為例，企業

面臨的一個關鍵業務風險可能是客戶需求的波動，當客戶需求下降時,

企業收入減少，進而發生資金的短缺并增加對營運資金需求的壓力，

資金需求將會直接導致銀行融資或企業債券融資的增加進而導致企業

的財務費用成本增加。

固有風險是指假設不存在相關的內部控制，某一業務風險事項發

生的可能性。例如，某企業所處行業的性質決定該類企業資金、在建

工程與固定資產的交易比存貨（通常為一些低值易耗品）的交易更容

易出現差錯。一些產生經營風險的外部因素也可能影響固有風險，如

“節能減排”的目標要求企業投資建立高效率、低消耗的新型生產線,

并對舊裝備進行技術改造，這些都會影響資金流。

在各重要流程中，管理層可能已實施不同程度的控制以應對風險。

例如，在資金管理流程、銀行賬戶的開立的風險點中，可能有的控制

措施是要求提交給銀行的開立賬戶申請書需要經過公司總經理書面批

準或簽章。

(3)確定檢查評價戒圍和重點。評價工作組根據掌握的情況確定

評價范圍、檢查重點和抽樣數量，進行分工與測試。評價范圍、方式、

程序和頻率，將因企業經營業務調整、經營環境、風險水平等因素而

異。

(4)開展現場檢查測試。評價工作組可綜合運用個別訪談、調查

問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等評價方法,

收集被評價單位內部控制設計與運行是否有效的證據，按照要求填寫

工作底稿、記錄有關測試結果。如果發現內部控制出現缺陷，則需與

管理層溝通，對有關缺陷進行認定并進行記錄。

①個別訪談。評價工作組人員可以個別訪談企業或被評價單位的

不同人員，了解公司內部控制的現狀與運行。個別訪談通常用于企業

層面與業務層面評價的階段。

②調查問卷。調查問卷多用于企業層面的評價，通過擴大對象范

圍，如企業中的全體員工，收集簡單結果，如對公司企業文化的認同。

③專題討論。這是一種集合企業中有關專業人員就內部控制執行

情況或控制問題進行的分析和討論。

④穿行測試。穿行測試是指在流程中任意選取一項交易為樣本，

獲取原始單據，跟蹤交易從最初起源，到會計處理、信息系統和財務

報告編制，直到這項交易在財務報表中報告出來的全過程。通過執行

“穿行測試”，評價工作人員可獲取對一個流程的了解，查找潛在的

內控設計問題并識別出相關控制。

⑤實地查驗。這是一個用于業務層面評價的方法。例如，評價

工作人員進行實地盤點以測試企業記錄存貸的數量，或有關控制

的有效性。

⑥抽樣。抽樣方法可以分為隨機抽樣和其他抽樣法。隨機抽樣一

般被認為是最具有代表性或是基于統計學的取樣方式，從樣本庫中抽

取一定數量的樣本，進行控制測試，以獲取有關控制的運行狀況。隨

機選取通常是采用計算機來完成。其他抽樣如分層抽樣、整群抽樣及

系統抽樣等。

⑦比較分析。這是一種通過數據分析，識別評價關注點的方法。

例如，通過比較月度的銷售情況，識別異常區間，進行檢查。

⑧審閱與檢查。這也是在業務層面評價的常用方法，通過核對有

關證據而獲取有關控制的運行狀況，如選擇某些調節表上的差異，追

溯到相應的單據記錄（如銀行對賬單）或檢查調節表是否有相關負責

人簽字。

4、匯總評價結果

評價工作組人員應當在其工作底稿中，記錄評價所實施的程序及

有關結果。企業內部控制評價工作組應當建立評價質量交叉復核制度,

有關評價報告應由評價工作組負責人嚴格審核確認；與被評價單位進

行通報，在提交內部控制評價部門或機構前得到被評價單位相關責任

人簽字確認。如果在評價工作中發現所有差異，如穿行測試及控制測

試中發現的與訪談結果的差異、與流程手冊的差異，也應在匯總中適

當地記錄。

企業內部控制評價部門或機構應編制內部控制缺陷認定匯總表，

結合日常監督和專項監督發現的內部控制缺陷及其持續改進情況，對

內部控制缺陷及其成因、表現形式和影響程度進行綜合分析和全面復

核，提出認定意見，并以適當的形式向董事會、監事會或者經理層報

告。重大缺陷應當由董事會予以最終認定。企業對于認定的重大缺陷,

應當及時采取應對策略，切實將風險控制在可承受度之內，并追究有

關部門或相關人員的責任。

六、內部控制缺陷的認定

1、內部控制缺陷的分類

對于內部控制缺陷的分類，在第一節“內部監督”中已做相關闡

述，這里不再贅述。

需要強調的是，企業對內部控制缺陷的認定，應當以日常監督和

專項監督為基礎，結合年度內部控制評價，由內部控制評價部門或機

構進行綜合分析后提出認定意見，按照規定的權限和程序進行審核后

予以最終認定。

對于按嚴重程度分類的內部控制，內部控制評價部門或機構和管

理層應當合理確定相關目標發生偏差的可容忍水平，從而對嚴重偏離

的情形予以確定。

2、內部控制認定程序與整改

如果評價工作人員在實施測試中發現控制差異，應分析差異是否

屬于控制缺陷并評價其嚴重程度。如果審查了解控制差異的起因和結

果后，斷定控制目標未能達到。同時，評價工作組人員不能通過增加

其他測試程序證明已發現的差異不能代表所有內控的情況，將形成缺

陷的結論。管理層應評價其嚴重程度并在其年度自我評價報告中披露,

同時，有責任對有關控制缺陷進行整改，做出補救措施。由于控制缺

陷可以分為設計缺陷和執行缺陷，因此，整改方案應根據缺陷的不同

類別制定不同的整改方法。對于需整改的內控設計缺陷，企業需在已

有的內控管理制度體系中補充相關規定或修改原有規定，按照企業既

定的管理制度報批程序對做出的補充或修改進行審批。對于需整改的

內控執行缺陷，企業需加強內控的執行力度，要求控制執行人嚴格按

照相關規定執行。

對于重大缺陷和重要缺陷的整改方案，應向董事會（審計委員

會）、監事會或經理層報告，并由董事會、監事會或經理層審定。如

果出現不適合向經理層報告的情形，例如，存在與管理層舞弊相關的

內部控制缺陷，內部控制評價組應當直接向董事會（審計委員會）、

監事會報告。重要缺陷并不影響企業內部控制的整體有效性，但是應

當引起董事會和管理層的重視。對于一般缺陷，可以向企業管理層報

告，并視情況考慮是否需要向董事會（審計委員會）、監事會報告。

七、評價控制缺陷與報告

（一）評價控制缺陷

注冊會計師需要評價其注意到的各項控制缺陷的嚴重程度，以確

定這些缺陷單獨或組合起來，是否構成重大缺陷。但是，在計劃和實

施審計工作時，不要求注冊會計師尋找單獨或組合起來不構成重大缺

陷的控制缺陷。

企業內部控制可能存在重大缺陷情形有：（1）注冊會計師發現董

事、監事和高級管理人員舞弊；（2）企業更正已經公布的財務報表；

（3）注冊會計師發現當期財務報表存在重大錯報，而內部控制在運行

過程中未能發現該錯報；（4）企業審計委員會和內部審計機構對內部

控制的監督無效。

財務報告內部控制缺陷的嚴重程度取決于：控制缺陷導致賬戶余

額或列報錯報的可能性；因一個或多個控制缺陷的組合導致潛在錯報

的金額大小。

控制缺陷的嚴重程度與賬戶余額或列報是否發生錯報無必然對應

關系，而取決于控制缺陷是否可能導致錯報。評價控制缺陷時，注冊

會計師需要根據財務報表審計中確定的重要性水平，支持對財務報告

控制缺陷重要性的評價。注冊會計師需要運用職業判斷，考慮并衡量

定量和定性因素，同時要對整個思考判斷過程進行記錄，尤其是詳細

記錄關鍵判斷和得出結論的理由。而且，對于“可能性”和“重大錯

報”的判斷，在評價控制缺陷嚴重性的記錄中，注冊會計師需要給予

明確的考量和陳述。

（二）內部控制缺陷的報告

1、對內報告

內部控制缺陷報告應當采取書面形式。對于一般缺陷和重要缺陷,

通常向企業經理層報告，并視情況考慮是否需要向董事會及其審計委

員會、監事會報告；對于重大缺陷，應當及時向董事會及其審計委員

會、監事會和經理層報告。如果出現不適合向經理層報告的情形，如

存在與經理層舞弊相關的內部控制缺陷，或存在經理層凌駕于內部控

制之上的情形等，應當直接向董事會及其審計委員會、監事會報告。

企業應根據內部控制缺陷的影響程度合理確定內部控制缺陷報告的時

限，一般缺陷、重要缺陷應定期報告，重大缺陷即時報告。

2、對外報告

我國《企業內部控制審計指引》第四條規定：注冊會計師應當對

財務報告內部控制的有效性發表審計意見，并對內部控制審計過程中

注意到的非財務報告內部控制的重大缺陷，在內部控制審計報告中增

加“非財務報告內部控制重大缺陷描述段”予以披露。

內部控制信息披露服務于投資者的權益保護以及投資者對企業投

資回報的預期。財務報告之所以是投資決策的重要依據，原因在于它

有助于投資者評估企業未來產生現金流量的金額、時間和不確定性從

而服務于投資決策。但是，依據財務數據對企業前景的預期能否成為

現實、差異的波動方向取決于對未來不確定因素的管控。內部控制的

有效性以及缺陷的嚴重程度決定著它管控未來風險的能力以及預期變

為現實的可靠程度。對外披露內控缺陷信息是企業必須承擔的義務。

但是，無論從法律賦予管理層的義務層面講，還是受托者對委托者承

擔的道義責任層面講，并不是所有的內部控制缺陷都必須對外披露。

對外披露的缺陷應該是對投資者制定投資決策、修正以往投資決策產

生影響的缺陷信息。缺陷的披露實際上起風險提示的作用，只有較大

可能偏離目標且危害程度較嚴重的缺陷才有必要對外披露。

3、注冊會計師內部控制審計意見類型

企業內部控制審計意見包括無保留意見、否定意見和無法表示意

見三種類型。具體又可分為無保留意見、帶強調段的無保留意見、否

定意見和無法表示意見四種類型。

(1)無保留審計意見。發表無保留審計意見必須同時符合兩個條

件：①企業按照內部控制有關法律法規以及企業內部控制制度要求，

在所有重大方面建立并實施有效的內部控制；②注冊會計師按照有關

內部控制審計準則的要求計劃和實施審計工作，在審計過程未受到限

制。

(2)帶強調段的無保留意見。注冊會計師認為財務報告內部控制

雖不存在重大缺陷，但仍有一項或者多項重大事項需要提請審計報告

使用者注意的，應在審計報告中增加強調事項段予以說明。該段內容

僅用于提醒內部控制審計報告使用者關注，并不影響對財務報告內部

控制發表的審計意見。

(3)否定意見。注冊會計師認為財務報告內部控制存在一項或多

項重大缺陷的，除非審計范圍受到限制，否則應對財務報告內部控制

發表否定意見。注冊會計師出具否定意見的內部控制審計報告中需包

括重大缺陷的定義、重大缺陷的性質及其對財務報告內部控制的影響

程度等內容。

(4)無法表示意見。注冊會計師審計范圍受到限制的，應當解除

業務約定或出具無法表示意見的內部控制審計報告，在報告中指明審

計范圍受到限制，無法對內部控制有效性發表意見。注冊會計師在已

執行的有效程序中發現內部控制存在重大缺陷的，應當在“無法表示

意見”的審計報告中對已發現的重大缺陷做出詳細說明。

八、審計工作計劃與實施

(一)審計工作計劃

《企業內部審計指引》第六條的規定：注冊會計師應該恰當地計

劃內部控制審計工作，配備具有專業勝任能力的項目組，并對助理人

員進行適當的督導。

《企業內部審計指引》第七條的規定：在計劃審計工作時，注冊

會計師應當評?價下列事項對內部控制、財務報表以及審計工作的影響:

與企業相關的風險；相關法律法規和行業概況；企業組織結構和經營

特點、資本結構等相關事項；企業內部控制最近發生變化的程度：與

企業溝通過的內部控制缺陷；重要性、風險等與確定內部控制重大缺

陷相關的因素對內部控制有效性的初步判斷；可獲取的、與內部控制

有效性相關的證據的類型和范圍。

注冊會計師應當以風險評估為基礎，選擇擬測試的控制，確定測

試所需收集的證據。內部控制的特定領域存在重大缺陷的風險越高，

給予該領域的審計關注就越多。

注冊會計師應當對企業內部控制自我評價工作進行評估，判斷是

否利用內部審計人員、內部控制評價人員和其他相關人員的工作以及

可利用的程度，相應減少本應由注冊會計師執行的工作。注冊會計師

利用企業內部審計人員、內部控制評價人員和其他相關人員的工作，

應當對其專業勝任能力和客觀性進行充分評價。

注冊會計師應當對發表的審計意見獨立承擔責任，其責任不因為

利用企業內部審計人員、內部控制評價人員和其他相關人員的工作而

減輕。

（二）審計工作實施

《企業內部審計指引》第十條規定：注冊會計師應當按照自上而

下的方法實施審計工作。自上而下的方法是注冊會計師識別風險，選

擇擬測試控制的基本思路。注冊會計師在實施審計工作時，可以將企

業層面控制和業務層面控制的測試結合進行。

“自上而下”的方法始于財務報表層次，以注冊會計師對財務報

告內部控制整體風險的了解開始，然后注冊會計師將關注重點放在企

業層面的控制上，并將工作逐漸下移至重大賬戶、列報及相關的認定。

1、識別企業層面控制

通過了解企業與財務報告相關的整體風險，注冊會計師可以識別

出為保持有效的財務報告內部控制而必需的企業層面內部控制。注冊

會計師測試企業層面控制，應當把握重要性原則，至少應當關注以下

幾方面。

(1)與內部環境相關的控制。內部環境，即控制環境，包括治理

職能和管理職能，以及治理層和管理層對內部控制及其重要性的態度、

認識和措施。在評價控制環境的設計時，注冊會計師應當考慮構成控

制環境的下列要素，以及這些要素如何被納入企業業務流程：①對誠

信和道德價值觀念的溝通與落實；②對勝任能力的重視；③治理層的

參與程度：④管理層的理念和經營風格；⑤組織結構；6職權與責任的

分配；①人力資源政策與落實。

(2)針對董事會、經理層凌駕于控制之上的風險而設計的控制。

注冊會計師可以根據對企業舞弊風險的評估做出判斷，選擇相關的企

業層面控制進行測試，并評價這些控制能否有效應對管理層凌駕于控

制之上的風險。注冊會計師應當特別關注由于管理層凌駕于賬戶記錄

控制之上，或規避控制行為而產生的重大錯報風險，并考慮企業如何

糾正不正確的交易處理。

(3)企業的風險評估過程。包括識別與財務報告相關的經營風險

和其他經營管理風險，以及針對這些風險采取的措施。注冊會計師在

對企業整體層面的風險評估過程進行了解和評估時，考慮的主要因素

可能包括：企業是否已建立并溝通其整體目標，并輔以具體策略和業

務流程層面的計劃；是否已建立風險評估過程，包括識別風險，估計

風險的重大性，評估風險發生的可能性以及確定需要采取的應對措施;

是否已建立某種機制，識別和應對可能對企業產生重大且普遍影響的

變化；會計部門是否建立了某種流程，以識別會計準則的重大變化；

業務操作發生變化并影響交易記錄的流程時，是否存在溝通渠道以通

知會計部門；風險管理部門是否建立了某種流程，以識別經營環境，

包括監管環境發生的重大變化。

(4)對內部信息傳遞和財務報告流程的控制。注冊會計師應當從

下列方面了解與財務報告相關的信息系統：對財務報表具有重大影響

的各類交易；在信息技術和人工系統中，交易生成、記錄、處理和報

告的程序；與交易生成、記錄、處理和報告有關的會計記錄、支持性

信息和財務報表中的特定項目；信息系統如何獲取除各類交易之外的

對財務報表具有重大影響的事項和情況；企業編制財務報告的過程，

包括做出的重大會計估計和披露。財務報告流程的控制可以確保管理

層按照適當的會計準則編制合理、可靠的財務報告并對外報告。

(5)對控制有效性的內部監督和自我評價。企業對控制有效性的

內部監督和自我評價可以在企業層面上實施，也可以在業務流程層面

上實施，包括對運行報告的復核和核對、與外部人士的溝通、對其他

未參與控制執行人員的監控活動，以及將信息系統記錄數據與實物資

產進行核對等。

2、識別業務層面控制

注冊會計師測試業務層面控制，應當把握重要性原則，結合企業

實際內部控制各項應用指引的要求和企業層面控制的測試情況，重點

對生產經營活動中的重要業務與事項的控制進行測試。

注冊會計師應首先確定企業的重要業務流程和影響重大賬戶的重

要交易類別，了解重要交易從發生到記入賬目的整個流程，與重大賬

戶及其相關認定相結合，在重要交易整個流程中確定錯報可能會在什

么環節發生，即確定相應的控制目標；然后根據確定的審計測試策略、

計劃對內部控制進行進一步了解和評估，對重要交易流程中設計的防

止或發現并糾正可能錯報的相關控制加以識別；再通過執行穿行測試,

來證實對重要交易流程和相關控制的了解，并確定相關控制是否得到

執行；最后對相關控制的設計和是否得到執行進行評價，以確定進一

步的審計程序。

九、風險的概念及其分類

古人說：“宜未雨而綢繆，毋臨渴而掘井。”企業在生產經營的

過程中，面臨著諸多的風險，如果我們沒有妥善地處理，風險事故一

旦發生，輕則影響生產經營穩定和企業經濟效益，重則危及企業的生

存。因此風險評估的目的是為了給企業造就一個安全穩定的生產經營

環境，這有助于增加領導層經營管理決策的正確性，進而提高企業的

經濟效益。

(一)風險的概念

企業在經營活動中，會遇到各種不確定性事件，這些事件發生的

概率及其影響程度是無法事先預知的，進而影響企業目標的實現。所

謂風險，就是在一定環境下和一定限期內客觀存在的、影響企業目標

實現的各種不確定性事件。或者說，風險就是指在一個特定的時間內

和一定的環境條件下，人們所期望的目標與實際結果之間的差異程度。

因此，風險是一個事項將會發生并給目標實現帶來負面影響的可能性。

風險具有客觀性、普遍性、潛在性、必然性、可識別性、可控性、損

失性和不確定性等特點，風險與機會同在。

COSO企業風險管理新框架(2016)指出風險是指事項發生并影響

戰略和業務目標之實現的可能性。該定義兼顧了正面和負面的影響，

這和國際風險管理標準IS031000及中國風險管理標準GB—T24353是

一致的。為了與我國內部控制規范一致，本書采用COS004的定義。

（二）風險的構成要素

風險一般包括以下三項構成要素。

1、風險因素

風險因素是指促使某一特定風險事故發生或增加其發生的可能性

或擴大其損失程度的原因或條件。它是風險事故發生的潛在原因，是

造成損失的內在或間接原因。例如，對于建筑物而言，風險因素是指

其所使用的建筑材料的質量、建筑結構的穩定性等；對于人而言，則

是指健康狀況和年齡等；對于企業而言，風險因素則包括企業人員因

素、結構因素、外部環境因素等。

2、風險事故

風險事故也稱風險事件，是指造成傷害或財產損失的偶發事件是

造成損失的直接的或外在的原因，是損失的媒介物，即風險只有通

過風險事故的發生才能導致損失。就某一事件來說，如果它是造

成損失的直接原因，那么它就是風險事故；而在其他條件下，如果它

是造成損失的間接原因，它便成為風險因素。例如，對于企業而言，

發生倉庫貨物被盜是風險事故，而安保系統不健全是風險因素。

3、損失

在風險管理中，損失是指非故意的、非預期的、非計劃的經濟價

值的減少。通常可以將損失分為兩種形態，即直接損失和間接損失。

直接損失是指風險事故導致的財產本身損失和人身傷害，這類損失又

稱為實質損失：間接損失則是指由直接損失引起的其他損失，包括額

外費用損失、收入損失和責任損失。

十、風險的分類和評估

（一）風險的分類

企業所面臨的風險從來源上分，有企業內部和外部兩個方面。外

部風險包括：科技發展帶來的企業技術、管理、信息等方面的風險；

顧客需求或預期改變；競爭的存在；自然災害；政治事件；經濟環境

的改變等。內部風險主要有：員工的素質和能力；經理人的責任改變;

董事會或監督委員會的責任履行情況等。

從企業能否對風險進行控制來分，風險分為可控風險和不可控風

險兩種。

（二）風險評估

風險評估是一個比較寬泛的概念，在有的內部控制或風險管理標

準中，風險評估就是風險管理，包括了風險管理的全過程，可以說是

風險管理的代名詞。而在有的內部控制或風險管理標準中，風險評估

是全面風險管理的一個步驟，包括內容有多有少，如目標確定、風險

識別、風險分析、風險評價以及風險應對等。

1、C0S092關于風險評估概念

COSO內部控制整體框架把風險評估列為內部控制的五要素之一

《內部控制整體框架》認為，風險評估是指單位為實現其目標而確認

的相關風險，以構成進行風險管理的基礎。單位風險可能來自于：

(1)經營環境的變化；

(2)聘用新的員工；

(3)采用新的或改良的信息系統

(4)迅猛的發展速度；

(5)新技術的運用

(6)新的行業、產業或經營活動的開發；

(7)企業改組；

(8)海外經營；

(9)新的會計方法的采用。

2、C0S004關于風險評估概念

《企業風險管理整體框架》指出風險評估要對識別的風險進行分

析，以便確定對他們進行管理的依據。強調風險評估是風險管理的一

個步驟，相當于我國《企業內部控制基本規范》的風險分析。

3、我國《企業內部控制基本規范》關于風險評估概念

我國《企業內部控制基本規范》借鑒《企業風險管理整體框架》，

認為風險評估是企業及時識別、系統分析經營活動中與實現內部控制

目標相關的風險，從而合理確定風險應對策略。即為識別、分析、管

理與企業活動相關的市場風險、政策風險、法律風險、匯率風險、經

營風險等各種風險而建立的機制。該概念沿用C0S092的要素理念，是

相對寬泛的概念，包括C0S004目標設定、事項識別、風險評估和風險

應對四大要素的組合。

十一、風險分析方法的選擇

選擇風險分析的方法和判斷標準，應考慮行業自身特點，區別它

們各自的關注點，靈活確定風險分析過程和分析方法。例如，對于金

融行業來說，丟失數據風險的損失比短時間業務停頓的風險所帶來的

損失更為嚴重：而對于通信行業來說，業務停頓風險帶來的損失比少

量數據丟失的風險更難以接受。與定量分析相比較，定性分析的準確

性稍好但精確性不夠，定量分析則相反；定性分析沒有定量分析那樣

繁多的計算負擔，但卻要求分析者具備一定的經驗和能力；定量分析

依賴大量的統計數據，而定性分析沒有這方面的要求；定性分析較為

主觀，定量分析基于客觀；此外，定量分析的結果很直觀，容易理解,

而定性分析的結果則很難有統一的解釋。

企業可以根據自身的具體情況來選擇定性或定量的分析方法。當

前最常用的分析方法一般都是定量和定性的混合方法，對一些可以明

確賦予數值的要素直接賦予數值，對難于賦值的要素使用定性方法，

這樣不僅更清晰地分析了資產的風險情況，也極大簡化了分析的過程,

加快了分析進度。

十二、風險圖譜

風險圖譜是風險分析的重要工具，通過分析公司的風險圖譜，可

以直觀地看到公司的風險分布情況，從而確定風險管理的重要控制點

和風險管理解決方案。風險圖譜從風險發生的可能性和影響程度兩方

面對風險進行評級，風險評級要從固有風險、目標剩余風險和實際剩

余風險三個層級進行。

風險圖譜被兩條“等風險線”分隔為“紅燈區”“黃燈區”和

“綠燈區”

(1)“紅燈區”的風險大多集中在笫一象限，其發生的概率和影

響程度均較高。公司應該根據風險的屬性和風險偏好來選擇風險管理

方案；

(2)“黃燈區”的風險，有兩種情況：

①處于第二象限的風險更多的是一些非常事件，但影響程度較大。

對于這類風險，公司應該在采取防范措施的同時，制訂應急計劃;

②處于第四象限的風險，其影響程度不是很高而發生概率偏高，

這往往與日常經營和遵守法律方面的問題有關，這些風險的累計影響

不可低估。對于這類風險要注意日常的管理和監控。

（3）“綠燈區”的風險大多集中在第三象限，是指那些發生概率

和影響程度均不太高的風險，通常在目前可以接受。公司可以取消與

此風險相關的、多余的風險控制措施，從而減少成本和資源消耗以便

管理更重要的風險。

風險圖譜不是一成不變的，公司應該定期評估風險，動態地對風

險圖譜進行調整和更新。

十三、目標設定的含義

我國《內部控制基本規范》第二十條規定，企業應當根據設定的

控制目標，全面、系統、持續地收集相關信息，結合實際情況，及時

進行風險評估。

目標設定是風險識別、風險分析和風險應對的前提。在管理當局

識別和分析風險并采取行動來管理風險之前，首先必須有目標，確定

與目標相關的風險，目標設定是風險評估的前提。目標設定分為三個

層次，首先在企業既定的使命或愿景指導下，管理層制定企業的戰略

目標；其次根據戰略目標制定業務層面的目標，并在企業內層層分解

和落實；最后根據設定的目標合理確定企業整體風險承受能力和具體

業務層次上可接受的風險水平。

企業應當按照戰略目標，設定相關的經營目標、財務報告目標、

合規性目標與資產安全目標，并根據設定的目標合理確定企業整體風

險承受能力和具體業務層次上的可接受的風險水平。

1、戰略目標

戰略目標反映了管理層就主體如何努力為其利益相關者創造價值

所做出的選擇，是高層次的目標，與其使命相關聯并支撐其使命。企

業在考慮實現戰略目標的各種方案時，必須考慮與各種戰略相伴的風

險及其影響。

戰略目標方面的關注點主要包括：

(1)對企業績效現狀進行的評估

(2)對內部和外部環境的監測分析；

(3)戰略目標體系

(4)戰略選擇遵循必要的流程，以及獲得了充分的討論；

(5)對目標實現與現有資源狀況之間的匹配程度進行的評估；

(6)設定戰略目標可接受程度；

(7)就戰略目標與企業內部員工和外部相關利益集團之間的溝通。

2、經營目標

經營目標與企業經營的效率與效果有關，包括業績和盈利目標的

實現，需要反映企業運營所處的特定經營、行業和經濟環境。經營目

標來自公司的戰略目標和戰略計劃，并與之緊密聯系，是隨著具體對

象和不同時段制訂的，這些目標應針對每個重要業務活動并與其他業

務活動保持一致。

經營目標方面的關注點主要包括以下幾點：

(1)經營目標與公司戰略目標及戰略計劃一致；

(2)經營目標適應公司所處的特定經營環境、行業和經濟環境等;

(3)各個業務活動目標之間保持一致；

(4)所有重要業務流程與業務活動目標相關；

(5)適當的資源及有效配置

(6)管理層制定的公司經營目標及其對目標的負責程度。

3、報告目標

報告目標與財務報告及其相關信息的真實完整有關。可靠的報告

能夠為管理層提供適合其既定目標的準確而完整的信息，支持管理層

的決策，并對主體活動和業績實施有效監控。

報告目標方面的關注點主要包括以下幾點：

(1)管理層決策及對公司活動、業績監控的準確、及時、完整的

信息的對內報告;

（2）滿足投資者、監管部門及其他相關信息需求者真實、可靠、

完整的信息的對外報告；

（3）反映信息的全面性，包括財務信息與非財務信息。

4、資產安全目標

資產安全目標是內部控制的基本目標，包括：防止企業無效率經

營，損失資產；防止員工舞弊；防止公司資產被盜等。

資產的安全與完整對于我國企業尤其是國有企業具有非常重要的

現實意義，近年來國有資產流失的案件屢有發生，內部控制應該

把資產安全作為一個重要的目標來加以實現。

資產安全目標方面的關注點主要包括以下幾點：

（1）關注企業日常經營活動的效率；

（2）提高企業的生產力和競爭力；

（3）防止資產縮水；

（4）關注資產使用及處置的授權情況。

5、合規目標

合規目標與企業各項活動的合法性有關。企業進行內部控制建設

必須符合相關的法律和法規。企業需要根據相關的法律法規制定最低

的行為標準并作為企業的遵循目標，企業的合規記錄可能對它在社會

上的聲譽產生極大的正面或負面影響。

合規目標方面的關注點主要包括：公司的各項活動符合法律法規

的要求，通常涉及知識產權、市場、價格、稅收、環境、員工福利以

及國際貿易等。

十四、內部控制目標的設定

(一)制訂戰略目標

企業的戰略目標一般是穩定的，但與其相關的業務層面的目標具

有動態性，會隨著內部和外部的條件而調整。在企業風險管理目標的

設計過程中，首先要確定企業層面的目標，即戰略目標。

戰略目標需要通過董事會及員工的相互溝通后確定，同時還要有

支持其實現的資金預算及戰略計劃。戰略目標的制訂需要經過如下5

個階段。

(1)明確企業發展目標。企業在長期規劃中應明確自身的發展巨

標和發展方向，通過培訓、發放宣傳手冊、領導講話等方式將企業層

面的目標清晰地傳達給員工。

(2)制訂實現目標的戰略規劃。企業通過SWOT分析，在了解自

身的優勢、劣勢、機會和威脅的基礎上制訂幫助企業實現目標的戰略

規劃。

（3）制訂年度計劃及資金預算°企業根據制訂的中長期戰略規劃,

編制年度經營計劃。該年度經營計劃應符合企業中長期戰略規劃的效

益目標、投資方向和投資結構。

（4）企業編制年度預算。企業應按照上下結合、分級編制、逐級

匯總的原則編制全面預算，將戰略目標進一步分解、細化與落實。

（5）企業編制《企業預算管理辦法》，明確編制預算的基本原則、

內容、編制依據等。

（二）確定業務層面目標

業務層面目標包括合規目標、資產目標、報告目標和經營目標它

來自企業戰略目標及戰略規劃，并制約或促進企業戰略目標的實現。

業務層面的目標應具體并具有可衡量性，并且與重要業務流程密切相

關。業務層面目標的制訂需要經過如下四個階段。

（1）設定業務層面目標。企業的總目標及戰略目標規劃為業務層

面目標的設定指明了方向，業務層面根據自身的實際情況及總體目標

的要求提出本單位的目標，通過上下不斷溝通最終確定。

（2）根據企業的發展變化，定期更新業務活動的目標。

（3）配置資源以保證業務層面目標的順利實現。企業在確定各業

務單位的目標之后，將人、財、物等資源合理分配下去，以保證各業

務單位有實現其目標的資源。

(4)分解業務目標并下達。企業確定業務層面的目標后，再將其

分解至各具體的業務活動中，明確相應崗位的目標。

(三)合理確定風險承受能力

為了合理地確定風險承受能力，在目標設定階段，企業必須解決

以下3個基本問題。

(1)風險偏好。風險偏好是指企業在實現其目標的過程中愿意接

受的風險程度。可以采生定性和定量兩種方法對風險偏好加以度量。

風險偏好與企業的戰略直接相關，在戰略制定階段，企業應進行風險

管理，考慮將該戰略的既定收益與企業的風險偏好結合起來，目的是

幫助企業的管理者在不同的戰略之間選擇與企業的風險偏好相一致的

戰略。

(2)風險容忍度。風險容忍度是指在企業目標實現的過程中對差

異的可接受程度，是企業在風險偏好的基礎上設定的對相關目標實現

過程中所出現的差異的可容忍限度。企業風險管理(2016)將風險容

忍度確定為可接受的績效變動區間，該定義更加明確和可度量，有助

于組織在給定績效目標下量化可以承受的風險邊界。

(3)風險組合觀。風險管理要求企業管理者以風險組合的觀點看

待風險，對相關的風險進行識別并采取措施，以使企業所承受的風險

在風險偏好的范圍內。對企業內每個單位而言，其風險可能落在該單

位的風險容忍度范圍內，但從企業總體來看，總風險可以超過企業總

體的風險偏好范圍。因此，應以企業總體的風險組合的觀點看待風險。

十五、產業環境分析

“十三五”時期，國際國內環境顯著變化。世界經濟在深度調整

中曲折復蘇，國際環境復雜多變。我國經濟發展進入新常態，呈現速

度變化、結構優化、動力轉換三大特點，經濟韌性好、潛力足、回旋

余地大的基本特征沒有變，經濟發展長期向好的基本面沒有變，仍處

于可以大有作為的重要戰略機遇期。創新、協調、綠色、開放、共享

等五大理念，為適應引領新常態指明了方向。

“十三五”時期，是武漢率先全面建成小康社會決勝階段，是推

進經濟總量“萬億倍增”、建設國家中心城市的關鍵階段。一些結構

性矛盾、功能性缺陷、體制性障礙、周期性問題與外部環境的不確定

不穩定因素相互交織并集中體現，呈現爬坡過坎、滾石上坡的階段性

特征。經濟下行壓力較大，經濟發展方式亟待轉變；交通擁堵、環境

污染、空間擁擠等“城市病”加劇，城市發展方式亟待轉變；社會不

穩定因素和風險增多，社會治理方式亟待轉變。適應國家中心城市建

設的交通樞紐功能、產業帶動功能、要素聚集功能和綜合服務管理創

新功能亟待增強。尚存在著產業創新能力不足、民營經濟發展不夠、

居民收入水平不高的問題，公共服務和產品依然呈現結構性短缺，弱

勢群體和困難群體數量規模還較大，補短板、兜底線任務仍較繁重。

“十三五”時期，多重國家戰略機遇疊加，保持持續較快發展的

支撐條件沒有變：一是長江經濟帶戰略賦予武漢建設長江中游航運中

心和引領長江中游城市群發展的重任，有利于加快高端要素集聚，提

升輻射帶動功能，在推動形成區域協同發展增長極中發揮更大作用。

二是全面創新改革試驗和國家創新型城市建設，有利于強化體制創新

和有效供給，加快改造傳統增長引擎，促進大眾創業、萬眾創新，超

前布局支撐城市未來發展的產業體系和創新體系。三是國家新型城鎮

化綜合試點、武漢城市圈科技金融改革創新等國家戰略推進實施，有

利于發揮內需前沿陣地優勢，拓展新的消費、投資空間，是武漢率先

全面建成小康社會、打造創新驅動型經濟的重要支撐。

十六、聚丙烯催化劑的發展不斷深入

催化劑是聚丙烯工業發展的主要驅動力，多種催化劑共同發展。

聚丙烯是丙烯通過加聚反應而成的聚合物。在丙烯聚合工藝中，催化

劑起著至關重要的作用，催化劑的結構性質決定了聚丙烯產品的宏微

觀結構以及它們的力學性能和使用性能。因此，催化劑的開發不斷推

陳出新，目前形成了Z-N、茂金屬和非茂金屬三種催化劑共同發展的局

面，一起推動聚丙烯工業的進步。

傳統Z-N催化劑使用最為廣泛，經歷四次更新換代。Z-N催化劑是

最早使用的聚丙烯催化劑，自20世紀50年代問世以來，經過了不斷

的改進和創新，目前已經發展到了第四代，催化劑的活性已從最初的

幾十倍提高到幾萬倍，PP的等規指數已達到98%以上，生產工藝也大

為簡化。如今Z-N催化劑的使用依舊最為普遍，且仍是研發的熱點，

在高活性、高定向性的基礎上向系列化、高性能化、專用化方向發展。

茂金屬是第五代催化劑，茂金屬和非茂金屬成為新研究熱點。90

年代開發的茂金屬催化劑是第五代聚丙烯催化劑，茂金屬催化劑生成

聚合物具有分子量分布窄、聚合物結構可控、可對聚合物進