【正文】 公司戰(zhàn)略與風險管理 康 妮 第六章 風險管理下的內(nèi)部控制 風險 管理 下的 內(nèi)部 控制 內(nèi)部控制 基本規(guī)范 內(nèi)部控制 評價 內(nèi)部控制的目標 內(nèi)部控制原則 內(nèi)部控制的實施體系 內(nèi)部控制評價 原則 內(nèi)容 程序 審計委員會在內(nèi)部控制中的作用 缺陷認定 報告 框架結(jié)構(gòu)圖 內(nèi)部控制 應(yīng)用指引（ 18項） 風險管理、內(nèi)部 控制與公司治理 內(nèi)部控制的要素 ? 第一節(jié) 內(nèi)部控制基本規(guī)范 本節(jié)主要內(nèi)容簡介： 內(nèi)部控制的目標 內(nèi)部控制的原則 內(nèi)部控制的實施體系 內(nèi)部控制的要素 ? — 、 內(nèi)部控制的目標 （ 掌握 ） 《 基本規(guī)范 》 將內(nèi)部控制定義為： ? 由企業(yè)董事會 、 監(jiān)事會 、 經(jīng)理層和全體員工實施的 、 旨在實現(xiàn)控制目標的過程 。 ? 該定義反映了以下基本概念： 內(nèi)部控制是一個過程 ， 它是實現(xiàn)目的的手段 ， 而非目的本身； 內(nèi)部控制受人的影響 ， 它不僅僅是政策手冊和圖表 ， 而且涉及企業(yè)各層次的人員； 內(nèi)部控制只能向企業(yè)董事會和經(jīng)理層提供合理的保證 ， 而非絕對的保證； 內(nèi)部控制是為了實現(xiàn)五類既相互獨立又相互聯(lián)系的目標 。 ? 《 基本規(guī)范 》 將內(nèi)部控制的目標歸納為五個方面： （ 1） 合理保證企業(yè)經(jīng)營管理合法合規(guī)； （ 2） 合理保證企業(yè)資產(chǎn)安全； （ 有效 、 安全 、 完整 ） （ 3） 合理保證企業(yè)財務(wù)報告及相關(guān)信息真實完整； （ 4） 提高經(jīng)營效率和效果； （ 5） 促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略 。 ? 二 、 內(nèi)部控制的原則 （ 掌握 ） ? 三 、 內(nèi)部控制的實施體系 （ 掌握 ） ? （ 一 ） 以法制為推動 ? （ 二 ） 以企業(yè)實施為主體 ? （ 三 ） 以政府監(jiān)管和社會評價為保障 ? 四 、 內(nèi)部控制的要素 （ 重點掌握 ） ? （ 一 ） 內(nèi)部環(huán)境是企業(yè)實施內(nèi)部控制的基礎(chǔ) 。 ? 【 六大要素 】 ： 公司治理結(jié)構(gòu) 內(nèi)部機構(gòu)設(shè)置與職責分工 內(nèi)部審計 人力資源政策 企業(yè)文化 法制環(huán)境 ? ? 【 股東 （ 大 ） 會 】 享有法律法規(guī)和企業(yè)章程規(guī)定的合法權(quán)利 ， 依法行使企業(yè)經(jīng)營方針 、 籌資 、 投資 、 利潤分配等重大事項的表決權(quán) 。 ? 【 董事會 】 對股東 （ 大 ） 會負責 ， 依法行使企業(yè)的經(jīng)營決策權(quán) 。 ? 【 監(jiān)事會 】 對股東 （ 大 ） 會負責 ， 監(jiān)督企業(yè)董事 、 經(jīng)理和其他高級管理人員依法履行職責 。 ? 【 經(jīng)理層 】 負責組織實施股東 （ 大 ） 會 、 董事會決議事項 ， 主持企業(yè)的生產(chǎn)經(jīng)營管理工作 。 ? 與內(nèi)部控制的關(guān)系： ? 【 董事會 】 負責內(nèi)部控制的建立健全和有效實施 。 ? 【 監(jiān)事會 】 對董事會建立與實施內(nèi)部控制進行監(jiān)督 。 ? 【 經(jīng)理層 】 負責組織領(lǐng)導企業(yè)內(nèi)部控制的日常運行 。 ? 企業(yè)應(yīng)當成立專門機構(gòu)或者指定適當?shù)臋C構(gòu)具體負責組織協(xié)調(diào)內(nèi)部控制的建立實施及日常工作 。 ? ? 企業(yè)應(yīng)當結(jié)合業(yè)務(wù)特點和內(nèi)部控制要求設(shè)置內(nèi)部機構(gòu) ， 明確職責權(quán)限 ， 將權(quán)利與責任落實到各責任單位 。 ? 企業(yè)應(yīng)當通過編制內(nèi)部管理手冊 ， 使全體員工掌握內(nèi)部機構(gòu)設(shè)置 、 崗位職責 、 業(yè)務(wù)流程等情況 ， 明確權(quán)責分配 ， 正確行使職權(quán) 。 ? ? 企業(yè)應(yīng)當加強內(nèi)部審計工作 ， 保證內(nèi)部審計機構(gòu)設(shè)置 、 人員配備和工作的獨立性 。 ? 內(nèi)部審計機構(gòu)應(yīng)當結(jié)合內(nèi)部審計監(jiān)督 ， 對內(nèi)部控制的有效性進行監(jiān)督檢查 。 ? 內(nèi)部審計機構(gòu)對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制缺陷 ，應(yīng)當按照企業(yè)內(nèi)部審計工作程序進行報告 。 ? 對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制重大缺陷 ， 有權(quán)直接向董事會及其審計委員會 、 監(jiān)事會報告 。 ? ? （ 1） 員工的聘用 、 培訓 、 辭退與辭職 。 ? （ 2） 員工的薪酬 、 考核 、 晉升與獎懲 。 ? （ 3） 關(guān)鍵崗位員工的強制休假制度和定期崗位輪換制度 。 ? （ 4） 掌握國家秘密或重要商業(yè)秘密的員工離崗的限制性規(guī)定 。 ? （ 5） 有關(guān)人力資源管理的其他政策 。 ? 企業(yè)應(yīng)當將職業(yè)道德修養(yǎng)和專業(yè)勝任能力作為選拔和聘用員工的重要標準 ， 切實加強員工培訓和繼續(xù)教育 ， 不斷提升員工素質(zhì) 。 ? ? 企業(yè)應(yīng)當加強文化建設(shè) ， 培育積極向上的價值觀和社會責任感 ，倡導誠實守信 、 愛崗敬業(yè) 、 開拓創(chuàng)新和團隊協(xié)作精神 ， 樹立現(xiàn)代管理理念 ， 強化風險意識 。 ? 董事 、 監(jiān)事 、 經(jīng)理及其他高級管理人員應(yīng)當在企業(yè)文化建設(shè)中發(fā)揮主導作用 。 ? 企業(yè)員工應(yīng)當遵守員工行為守則 ， 認真履行崗位職責 。 ? ? 企業(yè)應(yīng)當加強法制教育 ， 增強董事 、 監(jiān)事 、 經(jīng)理及其他高級管理人員和員工的法制觀念 ， 嚴格依法決策 、 依法辦事 、 依法監(jiān)督 ， 建立健全法律顧問制度和重大法律糾紛案件備案制度 。 ? （ 二 ） 風險評估 ? 企業(yè)及時識別 、 系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關(guān)的風險 ，合理確定風險應(yīng)對策略 。 ? 風險評估的要素歸納為四個方面 ， 即確 定風險承受度 、 識別風險（ 包括內(nèi)部和外部風險 ） 、 風險分析和風險應(yīng)對 。 ? 企業(yè)開展風險評估 ， 應(yīng)當準確識別與實現(xiàn)控制目標相關(guān)的內(nèi)部風險和外部風險 ， 確定相應(yīng)的風險承受度 。 ? 風險承受度是企業(yè)能夠承擔的風險限度 ， 包括整體風險承受能力和業(yè)務(wù)層面的可接受風險水平 。 ? 企業(yè)應(yīng)當采用定性與定量相結(jié)合的方法 ， 按照風險發(fā)生的可能性及其影響程度等 ， 對識別的風險進行分析和排序 ， 確定關(guān)注重點和優(yōu)先控制的風險 。 ? 企業(yè)應(yīng)當合理分析 、 準確掌握董事 、 經(jīng)理及其他高級管理人員 、 關(guān)鍵崗位員工的風險偏好 ， 采取適當?shù)目刂拼胧?， 避免因個人風險偏好給企業(yè)經(jīng)營帶來重大損失 。 ? 企業(yè)應(yīng)當結(jié)合不同發(fā)展階段和業(yè)務(wù)拓展情況 ， 持續(xù)收集與風險變化相關(guān)的信息 ， 進行風險識別和風險分析 ， 及時調(diào)整風險應(yīng)對策略 。 ? （ 三 ） 控制活動 ? 企業(yè)根據(jù)風險評估結(jié)果 ， 采用相應(yīng)的控制措施 ， 將風險控制在可承受度之內(nèi) 。 ? 控制活動或控制措施概括為 7個方面 ， 即 不相容職務(wù)分離控制 、 授權(quán)審批控制 、 會計系統(tǒng)控制 、 財產(chǎn)保護控制 、 預(yù)算控制 、 運營分析控制和績效考評控制 等 。 ? （ 四 ） 信息與溝通 ? 企業(yè)及時 、 準確地收集 、 傳遞與內(nèi)部控制相關(guān)的信息 ， 確保信息在企業(yè)內(nèi)部 、 企業(yè)與外部之間 進行有效溝通 。 ? 主要圍繞內(nèi)部和外部信息的收集 、 信息在內(nèi)部和對外部相關(guān)者間的傳遞 、 信息技術(shù)平臺 、 反舞弊機制 、 舉報投訴制度和舉報人保護制度等展開 。 ? （ 五 ） 內(nèi)部監(jiān)督 ? 內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查 ， 評價內(nèi)部控制的有效性 ， 發(fā)現(xiàn)內(nèi)部控制缺陷 ， 應(yīng)當及時加以改進 。 基本規(guī)范主要針對 內(nèi)部監(jiān)督的類型和方式 、 內(nèi)部控制的自我評價和缺陷認定機制 、內(nèi)部控制記錄制度 等進行規(guī)定 。 ? 第二節(jié) 內(nèi)部控制應(yīng)用指引 ? 一 、 組織架構(gòu) ? 《 企業(yè)內(nèi)部控制應(yīng)用指引第 1號 —— 組織架構(gòu) 》 所稱組織架構(gòu) ， 是指企業(yè)按照國家有關(guān)法律法規(guī) 、 股東 （ 大 ） 會決議和企業(yè)章程 ， 結(jié)合本企業(yè)實際 ， 明確股東 （ 大 ） 會 、 董事會 、監(jiān)事會 、 經(jīng)理層和企業(yè)內(nèi)部各層級機構(gòu)設(shè)置 、 職責權(quán)限 、 人員編制 、 工作程序和相關(guān)要求的制度安排 。 ? （ 一 ） 組織架構(gòu)設(shè)計與運行中需關(guān)注的主要風險 ? 治理結(jié)構(gòu)層面的風險：治理結(jié)構(gòu)形同虛設(shè) ， 缺乏科學決策 、 良性運行機制和執(zhí)行力 ， 可能導致企業(yè)經(jīng)營失敗 ， 難以實現(xiàn)發(fā)展戰(zhàn)略 。 ? 內(nèi)部機構(gòu)層面的風險：內(nèi)部機構(gòu)設(shè)計不科學 ， 權(quán)責分配不合理 ， 可能導致機構(gòu)重疊 、 職能交叉或缺失 、 推諉扯皮 ， 運行效率低下 。 ? （ 二 ） 內(nèi)部控制要求與措施 ? （ 5條 ） （ 1） 治理結(jié)構(gòu) —— 董事會 、 監(jiān)事會 、 經(jīng)理層 （ 職責權(quán)限 、 工作程序等 ） （ 2） 企業(yè)的重大決策 、 重大事項 、 重要人事任免及大額資金支付業(yè)務(wù)等 ， 應(yīng)當按照規(guī)定的權(quán)限和程序?qū)嵭屑w決策審批或者聯(lián)簽制度 。 任何個人不得單獨進行決策或者擅自改變集體決策意見 。 （ 3） 內(nèi)部職能機構(gòu)及職責 （ 4） 工作崗位及職責 （ 不相容職務(wù)分離 ） （ 5） 企業(yè)應(yīng)當制定組織結(jié)構(gòu)圖 、 業(yè)務(wù)流程圖 、 崗 （ 職 ） 位說明書和權(quán)限指引等內(nèi)部管理制度或相關(guān)文件 。 （ 1） 全面梳理 —— 符合現(xiàn)代企業(yè)制度要求 治理結(jié)構(gòu) （ 人員任職資格和履職情況 、 運行效果 ） 組織結(jié)構(gòu) （ 設(shè)置合理性 、 運行高效性 ） （ 2） 尤其關(guān)注子公司 （ 3） 全面評估 （ 設(shè)計及運行的效率和效果 ） ? 二 、 發(fā)展戰(zhàn)略 ? 《 企業(yè)內(nèi)部控制應(yīng)用指引第 2號 —— 發(fā)展戰(zhàn)略 》 所稱發(fā)展戰(zhàn)略 ， 是指企業(yè)在對現(xiàn)實狀況和未來趨勢進行綜合分析和科學預(yù)測的基礎(chǔ)上 ， 制定并實施的長遠發(fā)展目標與戰(zhàn)略規(guī)劃 。 ? 什么都可以出錯 ， 戰(zhàn)略不能出錯； ? 什么都可以失敗 ， 戰(zhàn)略不能失敗 。 ? （ 一 ） 制定與實施發(fā)展戰(zhàn)略需關(guān)注的主要風險 ? （ 1） 缺乏明確的發(fā)展戰(zhàn)略或發(fā)展戰(zhàn)略實施不到位 ， 可能導致企業(yè)盲目發(fā)展 ， 難以形成競爭優(yōu)勢 ， 喪失發(fā)展機遇和動力 。 ? （ 2） 發(fā)展戰(zhàn)略過于激進 ， 脫離企業(yè)實際能力或偏離主業(yè) ，可能導致企業(yè)過度擴張 ， 甚至經(jīng)營失敗 。 ? （ 3） 發(fā)展戰(zhàn)略因主觀原因頻繁變動 ， 可能導致資源浪費 ，甚至危及企業(yè)的生存和持續(xù)發(fā)展 。 ? （二）內(nèi)部控制要求與措施 ? ? （ 1）企業(yè)應(yīng)當在充分調(diào)查研究、科學分析預(yù)測和廣泛征求意見的基礎(chǔ)上制定發(fā)展目標。 ? （ 2）企業(yè)應(yīng)當根據(jù)發(fā)展目標制定戰(zhàn)略規(guī)劃。 ? （ 3）企業(yè)應(yīng)當在董事會下設(shè)立戰(zhàn)略委員會，或指定相關(guān)機構(gòu)負責發(fā)展戰(zhàn)略管理工作，履行相應(yīng)職責。 ? （ 4）董事會應(yīng)當嚴格審議戰(zhàn)略委員會提交的發(fā)展戰(zhàn)略方案，重點關(guān)注其全局性、長期性和可行性。 ? 企業(yè)的發(fā)展戰(zhàn)略方案經(jīng)董事會審議通過后，報經(jīng)股東（大）會批準實施。 ? ? （ 1）發(fā)展戰(zhàn)略的分解（年度工作計劃，全面預(yù)算） ? （ 2）發(fā)展戰(zhàn)略的宣傳（發(fā)展戰(zhàn)略及其分解落實情況傳遞到內(nèi)部各管理層級和全體員工） ? （ 3）監(jiān)控 —— 戰(zhàn)略委員會 ? （ 4）調(diào)整 —— 按照規(guī)定權(quán)限和程序 ? 三、人力資源 ? 《 企業(yè)內(nèi)部控制應(yīng)用指引第 3號 —— 人力資源 》 所稱人力資源，是指企業(yè)組織生產(chǎn)經(jīng)營活動而錄（任）用的各種人員，包括董事、監(jiān)事、高級管理人員和全體員工。 ? 政治路線確定之后，干部就是決定的因素 —— 毛澤東 ? （一）人力資源管理需關(guān)注的主要風險 ? （ 1）人力資源缺乏或過剩、結(jié)構(gòu)不合理、開發(fā)機制不健全，可能導致企業(yè)發(fā)展戰(zhàn)略難以實現(xiàn)。 ? —— 企業(yè)決策層和執(zhí)行層的高管人員 ? （ 2）人力資源激勵約束制度不合理、關(guān)鍵崗位人員管理不完善，可能導致人才流失、經(jīng)營效率低下或關(guān)鍵技術(shù)、商業(yè)秘密和國家機密泄露。 ? —— 專業(yè)技術(shù)人員 ? （ 3）人力資源退出機制不當，可能導致法律訴訟或企業(yè)聲譽受損。 ? —— 企業(yè)辭退員工、解除員工勞動合同等而引發(fā)的勞動糾紛 ? （二）內(nèi)部控制要求與措施 ? ? ? 四、社會責任 ? 《 企業(yè)內(nèi)部控制應(yīng)用指引第 4號 —— 社會責任 》 所稱社會責任，是指企業(yè)在經(jīng)營發(fā)展過程中應(yīng)當履行的社會職責和義務(wù)。 ? 【 主要包括 】 安全生產(chǎn)、產(chǎn)品質(zhì)量（含服務(wù)）、環(huán)境保護、資源節(jié)約、促進就業(yè)、員工權(quán)益保護等。 ? （一）履行社會責任方面需關(guān)注的主要風險 ? （ 1）安全生產(chǎn)措施不到位，責任不落實，可能導致企業(yè)發(fā)生安全事故。 ? （ 2）產(chǎn)品質(zhì)量低劣，侵害消費者利益，可能導致企業(yè)巨額賠償、形象受損，甚至破產(chǎn)。 ? （ 3）環(huán)境保護投入不足，資源耗費大，造成環(huán)境污染或資源枯竭，可能導致企業(yè)巨額賠償、缺乏發(fā)展后勁，甚至停業(yè)。 ? （ 4）促進就業(yè)和員工權(quán)益保護不夠，可能導致員工積極性受挫，影響企業(yè)發(fā)展和社會穩(wěn)定。 ? （二）內(nèi)部控制要求與措施 ? ? ? ? ? 五、企業(yè)文化 ? 《 企業(yè)內(nèi)部控制應(yīng)用指引第 5號 —— 企業(yè)文