提升机公司内部控制分析_参考

泓域/提升机公司内部控制分析提升机公司内部控制分析xxx有限公司目录一、 公司概况4公司合并资产负债表主要数据4公司合并利润表主要数据4二、 产业环境分析5三、 有利因素6四、 必要性分析6五、 公司治理原则的概念7六、 公司治理的框架8七、 内部控制的演进12八、 内部控制演进过程总结26九、 公司治理与内部控制的区别28十、 公司治理与内部控制的融合30十一、 内部控制评价的组织与实施33十二、 内部控制缺陷的认定43十三、 审计范围与审计目标45十四、 审计工作计划与实施48十五、 反舞弊机制52十六、 举报人保护制度64十七、 信息与沟通的作用67十八、 信息与沟通的概念69十九、 我国的借鉴与创新71二十、 内部控制整体框架：内部环境的发展72二十一、 控制的层级制度73二十二、 内部环境如何发挥作用75二十三、 项目概况76二十四、 SWOT分析78二十五、 组织机构管理89劳动定员一览表89二十六、 法人治理结构91一、 公司概况（一）公司基本信息1、公司名称：xxx有限公司2、法定代表人：林xx3、注册资本：1450万元4、统一社会信用代码：xxxxxxxxxxxxx5、登记机关：xxx市场监督管理局6、成立日期：2015-8-87、营业期限：2015-8-8至无固定期限8、注册地址：xx市xx区xx（二）公司主要财务数据公司合并资产负债表主要数据项目2020年12月2019年12月2018年12月资产总额12708.4510166.769531.34负债总额4562.803650.243422.10股东权益合计8145.656516.526109.24公司合并利润表主要数据项目2020年度2019年度2018年度营业收入38887.3131109.8529165.48营业利润8533.546826.836400.16利润总额7471.135976.905603.35净利润5603.354370.614034.41归属于母公司所有者的净利润5603.354370.614034.41二、 产业环境分析全年地区生产总值增长xx%。投资、消费、进出口额分别增长xx%、xx%和xx%。登记失业率为xx%。居民消费价格上涨xx%。落实大规模减税降费政策，一般公共预算收入完成xx亿元，下降xx%（剔除政策性减收影响，可比增长xx%）。紧扣全面建成小康社会目标任务，坚持稳中求进工作总基调，坚持新发展理念，坚持以供给侧结构性改革为主线，坚持以改革开放为动力，推动高质量发展，坚决打赢三大攻坚战，统筹推进稳增长、促改革、调结构、惠民生、防风险、保稳定，进一步解放思想、整顿作风、优化环境，激发干事创业内生动力，确保全面建成小康社会和“十三五”规划圆满收官。主要预期目标是：地区生产总值增长xxxx%；固定资产投资增长xx%左右；城镇和农村居民人均可支配收入与经济增长同步。三、 有利因素1、国家产业政策支持矿山机械制造业是国民经济的支柱产业，是衡量一个国家工业实力的重要标志之一。2021年工程部发布工程机械行业“十四五”发展规划，到2025年，我国工程机械行业规模目标为9000亿元，出口额目标为280亿元，对应国际市场占有率为12%。在存量更新和新增需求双重因素驱动下，“十四五”期间工程机械仍具备成长性。2、市场需求较大我国目前正处于扩大内需、加快产业转型升级的关键时期。在国内需求拉动与国际产业转移的双重动力带动下，我国装备制造业将进入稳定增长的发展时期，与此同时，将促进矿山机械制造行业的发展。四、 必要性分析1、现有产能已无法满足公司业务发展需求作为行业的领先企业，公司已建立良好的品牌形象和较高的市场知名度，产品销售形势良好，产销率超过 100%。预计未来几年公司的销售规模仍将保持快速增长。随着业务发展，公司现有厂房、设备资源已不能满足不断增长的市场需求。公司通过优化生产流程、强化管理等手段，不断挖掘产能潜力，但仍难以从根本上缓解产能不足问题。通过本次项目的建设，公司将有效克服产能不足对公司发展的制约，为公司把握市场机遇奠定基础。2、公司产品结构升级的需要随着制造业智能化、自动化产业升级，公司产品的性能也需要不断优化升级。公司只有以技术创新和市场开发为驱动，不断研发新产品，提升产品精密化程度，将产品质量水平提升到同类产品的领先水准，提高生产的灵活性和适应性，契合关键零部件国产化的需求，才能在与国外企业的竞争中获得优势，保持公司在领域的国内领先地位。五、 公司治理原则的概念广义的公司治理原则包括有关公司治理的准则、报告、建议、指导方针和最佳做法等，它通过一系列规则建立一套具体的公司治理运作机制，维护投资者和其他利害相关者的利益，促进公司健康发展实现公司的有效治理。公司治理原则可以帮助政府对本国公司治理方面的法律、制度和管理机制框架进行评估、改进，也可以为上市公司（甚至是非上市公司）建立良好的公司治理提供指导、借鉴，还对股票交易所、投资者和其他在建立良好的公司治理中起作用的机构提供了参考和建议。公司治理原则不具有强制约束力，其目的不在于制定详细的国家立法，而是为人们提供某种参考。比如政策制定者在审查并制定反映本国特定的经济、社会、法律和文化环境特色的有关公司治理的法律和监管框架时，可以公司治理原则为参考；再如市场参与者，可以参考公司治理原则制定自身的公司治理制度。公司治理原则是不断发展的，因此应根据环境的重大变化不断重新对其进行审查。为了在这个不断变化的世界中保持竞争地位，公司必须不断创新并使自己的公司治理状况适应变化了的环境，这样才能使公司不断满足新的需求，抓住新的机遇。同样，政府有义务制定一个有效的规范框架，保持足够的灵活性，使市场能够有效地发挥作用并能对股东和利益相关者的期望做出反应。政府和市场参与者可以根据成本与收益的比例，自己决定是否采纳这些原则。六、 公司治理的框架公司治理主要包括治理结构和治理机制两部分（见本书第二章、第三章的内容），根本目的是提高治理效率。治理结构是从静态考虑，公司治理是一种政治化、法律化的安排，具有制度性和结构性的特点，具体表现为：有关收益和风险的制度安排，有关权力分立和制衡的结构安排和组织安排。治理机制是从动态考虑，指公司治理系统中持续互动的管控关系、功能和运行原理，包括监督机制、激励机制、决策机制和外部治理，表现出系统的无限开放性。按照机制设计或实施所利用资源的来源，公司治理可以简单区分为公司外部治理系统与公司内部治理系统。（一）外部治理系统外部治理系统指的是尽管机制的实施超出了公司资源的计划范围，但仍然可以用于实现公司治理目标的各种公司治理机制的总称它包括公司治理的法律和政治环境、公司控制权市场、产品和要素市场、外部代理人市场。主要目的在于权力制约和平衡，实现利益相关者利益最大化。1、公司治理的法律和政治环境公司治理是一个经济问题，但它同时也是一个法律和政治问题。公司治理的法律途径在公司治理机制中处于基础性位置。各国在股权结构、资本市场和公共政策上的差异与投资者在法律上所受到的保护程度密切相关。在市场经济国家，公司治理的政治途径多是借助法律途径来实现的。2、资本市场和公司控制权市场资本市场不仅为投资者提供了一种分散风险的保险机制，还为投资者提供了关于公司业绩状况的信号。随着市场流动性的提高，其监督功能也加强，当然，资本市场对公司治理的最重要的贡献是创造了控制权市场。从该理论可以推知，公司并购后，被收购企业的管理者将被更换，然而经验表明并非如此。接管市场的存在将限制公司总经理忽视利润和所有者回报的行为，从而会约束总经理营造公司帝国的梦想。接管市场的批评者认为，接管的收益来自享受的税收优惠，与原公司经理人、雇员终止合同，以及非效率的资本市场在价值评估中的错误。3、产品和要素市场产品市场是指供人们消费的最终产品和服务的交换场所及其交换关系的总称。要素市场也即生产要素市场包括生产资料市场、金融（资金）市场、劳动力市场、房地产市场、技术市场、信息市场、产权市场等。产品（要素）市场竞争不仅是市场经济条件下改善整体经济效率的十分强大的力量，同时，它在公司治理方面也发挥着重要作用。但是正如Jensen（1996）所指出的那样，产品和要素市场的监督力量对于新的和存在大量经济租或准租的活动而言十分微弱。4、外部代理人市场尤金法玛认为，如果一个企业被看成一组合约，那么企业的所有制就不重要了，完善的经理人市场可以自动约束经理人的行为，并解决由所有权和控制权的分离而产生的激励问题。Gibbon和Murphy（1992）研究了当工人关注未来职业时最优的激励合约设计。他们证明，最优的激励合约将最大化包括来自职业关注的隐性激励和来自报酬合约的显性激励在内的总的激励。（二）内部治理系统内部治理系统指的是机制的设计或实施在一个企业资源计划范围内用来实现企业治理目标的各种治理机制的总称。它包括所有权结构与公司治理、董事会、大股东治理、激励报酬合约等。1、所有权结构与公司治理代理成本的存在否定了MM定理的合理性。债务的代理成本会产生两种相反的效应，第一种效应主要表现为债券会导致经理倾向于投资高风险高收益的项目；另一种效应表现为，由于从声誉角度出发考虑问题，公司或经理倾向于选择相对安全、能保证还清债务的项目，而不是真正价值最大化的项目。2、董事会董事会可以理解为一个内生决定的用来缓解代理问题的制度安排，成为仍处在发展早期的董事会理论文献中揭示董事会存在原因的正式模型。按照上述模型，董事会的有效性受到其独立性的影响，而董事会的独立性则取决于已有的董事与CEO在关于CEO薪金与增补董事会人选等问题上的讨价还价。3、大股东治理法律不能给小股东以有效的保护时，大股东能获得有效的控制权，所以在世界各国大股东持股很普遍。大股东会牺牲其他投资者的利益来满足自己的偏好，尤其是当他们掌握的控制权大于其现金流量权时更是倾向于追求控制权的私人收益，或“准租金”。因此，在理论上应研究大股东特征、大股东监督、大股东侵害行为、大股东控制权及合作关系问题。4、激励报酬合约在激励报酬合约的实际设计过程中需要注意以下两个问题。第在强调合约的绩效衡量的可证实性时，不要忽视关系性合约。第二，当经理人的努力是多维，且对经理人绩效的衡量不完备时，如何协调不同激励方向的冲突问题。协调激励冲突的一般原则是，在提高某种任务的激励时，可以增加该项任务本身的回报，或者通过降低另一种任务的回报实现。七、 内部控制的演进内部控制起源于内部牵制，其发展演进过程经历了内部控制制度、制度分野、内部控制结构、内部控制整体框架和企业风险管理框架5个阶段。（一）内部控制制度1、内部会计控制概念的提出19291933年的世界性经济危机后，美国于1934年颁布了证券交易法，在证券交易法中首先提出了“内部会计控制”的概念。1936年，美国会计师协会在其发布的注册会计师对财务报表的审查公告中首次提出审计师在制定审计程序时，应审查企业的内部牵制和控制并且从财务审计的角度把内部控制定义为“保护公司现金和其他资产，检查账簿记录事务的准确性，而在公司内部采用的手段和方法”。这是第一次对内部控制进行定义，这里明确规定了内部控制只是作为“会计资料准确性”的保障措施。这反映了作为会计职业界对内部控制工作应解决问题的关注层面，与人们对“内部控制”的理解及当时内部控制的实务是有一定的差距的。因此，这一定义未能为人们所广泛接受，也未引起会计职业界对内部控制应有的重视。2、夯实在评价内部控制基础上的抽样审计1939年1月，美国证券交易委员会对罗宾斯公司审计案做出了结论，指出当时的审计标准（即注册会计师对财务报表审查）是不适当的，审计方法的使用连表面的目的也达不到。这个结论促使美国注册会计师协会建立了审计程序委员会，并于1939年5月提出了名为审计程序的扩展的文件，对当时的审计程序做了修订，其中把强化内部控制制度审计作为主要内容。1941年，美国社会各界已普遍意识到企业内部控制的重要性，认为企业经营范围和规模的变化使得管理必须依靠大量的反映经济活动的分析资料和报告；健全的内部控制有助于防止工作人员出现差错，减少发生不合规现象的可能性；审计部门在审计费用的严格限制下，如果不依靠客户的内部控制系统，那么对大部分企业进行审计是不可能的。在理论上明确了内部控制的主要目标是“防错纠弊”，没有内部控制的企业就不具备基本的审计条件，第一次把内部控制作为现代审计的一个必要前提。但是，有关内部控制至此尚未形成一个权威的定义。3、历史上第一个被广泛接受的内部控制权威定义1949年，美国注册会计师协会所属的审计程序委员会，在其公布的内部控制：一个协调的系统要素及其对管理层和独立公共会计师的重要性的研究报告中，对内部控制做了专门的定义。这个定义成为人类社会有史以来第一个被广泛接受的权威定义，内部控制包括组织的计划和企业为了保护资产、检查会计数据的准确性和可靠性、提高经营效率以及促使遵循既定的管理方针等所采用的所有方法和措施。该报告是从企业经营管理的角度来定义内部控制的，内容不局限于与会计和财务部门直接有关的控制，还包括预算控制、成本控制、定期报告、统计分析、培训计划和内部审计以及技术与其他领域的经营活动，从理论上给出了内部控制的宽泛内涵。该定义得到了公司经理们的普遍赞同，也就是说，审计界给出的内部控制定义从当时管理者的角度来说也是适用的。然而，1949年美国注册会计师协会把内部控制定义为保证目标实现的方法和措施，这是一个理想化的概念，这个定义把内部控制看成万能的工具，即只要实施了内部控制，目标就一定能实现。另外，在财务报表审计中，注册会计师应对内部控制检查到什么程度，该定义在这些方面提供的指导却很少，使得很多从业者对这个近乎无限的内部控制定义感到无所适从。（二）制度分野1、内部控制分为会计控制和管理控制审计界提出内部控制概念的目的是为了满足财务审计的需要，与管理人员对内部控制的理解不一致，因此，审计人员认为1949年的定义内容过于宽泛，超出了他们评价被审计单位所应承担的责任。迫于这种压力，也为了满足审计人员在审计中对内部控制进行检查的业务需要，美国注册会计师协会所属的审计程序委员会于1953年颁发了审计程序说明第19号，对内部控制定义做了正式修正，把内部控制分为会计控制和管理控制，会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此相关的方法和程序构成。会计控制包括授权与批准制度，记账、编制财务报表、保管财务资产等职务分离，财产的实物控制以及内部审计等控制。管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的关系，包括统计分析、时效研究、经营报告、雇员培训计划和质量控制等。把内部控制分为会计控制和管理控制，目的是为了明确注册会计师审查企业内部控制的范围。2、注册会计师应主要关注会计有关控制1963年，审计程序委员会在审计程序说明第33号中进一步指出，“注册会计师应主要检查会计控制。”会计控制一般对财务记录产生直接的、重要的影响，审计人员必须对它做出评价。管理控制通常只对财务记录产生间接影响，因此审计人员可以不对其做评价，只是在足以影响财务记录可靠性时才予以审计。这次修正后的内部控制定义，大大缩小了注册会计师的责任范围，但对于“会计控制”的保护资产和保证财务记录可靠性仍然缺乏统一的认识。为了消除这种认识分歧带来的对审计责任问题的模糊认识，1972年，美国注册会计师协会对会计控制又提出并通过了一个较为严格的定义：会计控制是组织计划和所有与下面直接相关的方法和程序：保护资产，即在业务处理和固定资产处置过程中，保护资产免遭过失错误、故意致错或舞弊造成的损失；保证对外界报告的财务资料的可靠性。3、对会计控制和管理控制的重新定义1973年的审计程序公告第1号对会计控制和管理控制再一次做了重新定义：“管理控制包括但不限于组织的计划以及与导致管理层批准交易的决策过程相关的程序和记录。交易的批准是一种直接和实现组织目标的责任相联系的管理职能，是对经济业务进行会计控制的起点。会计控制由组织的计划以及与保障资产和财务记录的可靠性相关，为以下各点提供合理保证而制定的程序和记录组成：经济业务的执行符合管理部门的一般授权或特殊授权的要求；经济业务的记录必须有利于按照公认会计原则或其他标准编制财务报表落实资产责任：只有在得到管理部门批准的情况下，才能接触资产；按照适当的间隔期限，将财产的账面记录与实物资产进行对比，一经发现差异，应采取相应的补救措施。”值得注意的是，内部控制以交易为主要对象，使内部控制具有可操作性。与1949年的定义相比，这些定义过于消极，仅仅从财务审计的实际出发，范围过于狭隘，把过多的精力和目标放在了查错防弊上，人为地限制了内部控制理论与实践的发展，最终的结果是审计师与管理者对内部控制的认识和理解出现了分歧和差异，分化出了审计视角的内部控制和管理视角的内部控制，这一阶段即为制度分野阶段。（三）内部控制结构随着内部控制活动在实践中的运用，人们发现内部控制并非神丹妙药。20世纪70年代初，美国政府在对水门事件的调查中，发现某些公司为了做成贸易和保持贸易关系，竞贿赂某些外国政府官员和政党。而为了掩盖这些不合法支出，他们往往伪造会计记录，或另设账外记录。有鉴于此，1977年后，美国政府就将“每个公司必须设计和建立有效的内部控制制度”以立法形式在反国外行贿法中予以颁布。这是第一次强制性地将建立内部控制制度纳入法律管辖的范围。同时，审计人员在短时间内，要对被审计单位的财务状况和经营情况做出正确评价，也需要依赖被审计单位相关的内部控制制度。否则，审计风险将难以控制。因此，审计与内部控制联系日趋紧密。1985年，反虚假财务报告委员会（通常称为Treadway委员会）成立，1987年，Treadway委员会提交了研究报告，在报告中指出防止虚假财务报告需从报告产生的环境着手，即从最高管理当局开始；所有上市公司需保持良好内部控制，以发现和防范虚假财务报告行为。该委员会还建议，其赞助机构成立COSO委员会，专门研究内部控制问题。（四）内部控制整体框架20世纪90年代，随着美国财务破产事件发生概率的增加和财务舞弊调查的不断深入，内部控制研究取得了新的进展。1992年，COSO委员会提出内部控制一整体框架，并于1994年进行了修订。这就是著名的“COSO报告（简称COSO92）”，它被称为是最广泛认可的关于内部控制整体框架的国际标准。在COSO委员会出具这个报告之前，不同的人对内部控制有不同的见解，由于内部控制内涵的广泛性和多样性使得难以对内部控制有一个公认的了解，这就造成了经商人员、立法者、监管机构和其他有关方的困惑，同时导致企业由于沟通有误和期望不同产生问题。所以COSO内部控制框架是建立在考虑管理层和其他方面的需求和期望的基础上，把对内部控制不同的概念整合到一个框架当中，从而达成对内部控制的共识，确定内部控制的构成要素，试图提供一个标准，无论公司规模大小、公众的还是私人的、营利的还是非营利的业务和企业，都可以参考此标准评估他们的控制系统及如何改进，从而帮助公司和企业管理层更好地控制组织的活动。1、内部控制定义与目标COSO认为“内部控制是由董事会、管理当局和其他职员实施的一个过程，旨在为经营的效率和效果、财务报告的可靠性、相关法令的遵循提供合理保证”。内部控制服务于很多重要目标，人们要求越来越好的内部控制系统和内部控制的相关报告。内部控制也越来越被视为解决各种潜在问题的有效方法。COSO报告指出，内部控制是为实现以下三类目标提供合理保证的：经营的效率和效果、财务报告的可靠性、相关法令的遵循性。第一类目标针对企业的基本业务目标，包括业绩和盈利目标及资产的安全性；第二类目标关注于企业公开发布的财务报告，包括中期和简要财务报表；第三类目标涉及企业所适用的法律及法规的遵循。相互有别、又有交叉的分类满足了不同的需要，表明了不同执行人员的直接责任，此分类也便于区分从每一类内部控制中得到我们所期望的东西。达到这些目标在很大程度上依赖于外部各方标准的设定，取决于企业如何控制其内部行为，但是经营目标的取得，并不完全在公司的控制范围之内，内部控制不能避免错误地判断或决定或者可能导致经营目标无法实现的外部事件。对于这些目标，内部控制系统只有在管理层和董事会在监督职责的范围内及时地指导公司向目标迈进的时候，才能提供合理的保证。内部控制是对企业的整个经营管理活动进行监督与控制的过程，企业的经营活动是永不停止的，企业的内部控制过程也因此不会停止。企业内部控制不是一项制度或一个机械的规定，而是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。2、内部控制因素内部控制包括5个互相关联的构成要素，它们来自管理层经营企业的方式，并贯穿于管理过程之中。这些构成要素包括控制环境、风险评估、控制活动、信息与沟通和监控。（1）控制环境。所有业务的核心都是人员及他们开展经营所处，的环境，包括员工的诚实和职业道德、员工的胜任能力、董事会及监事会的参与、组织机构、权力和责任的规定等。它是由管理层倡导的一种正直、伦理道德风气、管理宗旨、经营方式和人力资源政策，使职员自觉管理其活动和履行他们的责任。管理部门应通过文字描述和范例以及采取相应的监控措施来影响全体职员，以提高他们的伦理道德水准。控制环境是所有事情赖以生存的基础。（2）风险评估。企业为实现其目的而确认分析相关风险，已构成进行风险管理的基础。通常风险来自经营环境的变化、新员工聘用、采用新的信息系统、新技术的应用、企业改组、新会计方法的采用等。管理当局应对目标完成期间与企业相关的风险进行识别、预见，并采取相应避险的管理控制措施。风险评估应测定风险对货币项目及对会计主题形象或信誉方面的重要性、风险发生的概率、如何减轻风险至可以承受的水平。不过，内部控制只能防范风险，不能转嫁、承担、化解或分散风险。所以必须设定目标，整合销售、生产、营销、财务和其他活动，以便使组织协调一致地运行。（3）控制活动。控制活动是为实现内部控制目标提供合理保证而制定的各项政策、程序和规定，对所确认的风险采取必要措施，以保证单位目标实现的程序。它包括业绩评价、信息处理控制、实物控制、职务分离等。（4）信息与沟通。围绕在这些活动周围的信息与沟通系统，能及时反馈各程序执行过程中遇到的问题，使员工能够获得和交换那些执行、管理和控制其经营活动所需要的信息，从而保证控制活动的正常运行。（5）监控。监控是为保证内部控制的适当性和有效性而进行的日常和定期监督、检查。根据内部控制具体实施的机制，内部控制通常又可以分为两个层面：第一个层面是企业的管理制度，又称为“管理控制系统”，它是建立在公司治理基础上，通过检查和改进有关管理政策和程序，有效控制企业运行，不断提高企业的经营效率和效益，实现投资人投入资本的保值增值；第二个层面是企业的会计制度，又称为“会计控制系统”，通过适当的业务权限设置和授权、准确的会计记录、及时的实物盘点，以及公允的报告等程序和方法，保证企业经营和财务状况信息的可靠性，保障投资人财产安全。这一层内部控制制度可以认为是最具体的控制。因而会计信息的存在与有效传递，影响到控制制度有效性地发挥。（五）企业风险管理框架1、产生背景自COSO92发布以来，内部控制框架已经被世界上许多企业采用，但理论界和实务界也纷纷对该框架提出改进建议，认为其对风险强调不够，使得内部控制无法与企业风险管理相结合。因此，2001年，COSO开展了一个项目，委托普华永道开发一个对于管理当局评价和改进他们所在组织的风险管理的简便易行的框架。正是在开发这个框架的期间，2001年12月，美国能源巨头安然公司突然申请破产保护，此后上市公司和证券公司丑闻不断，特别是2002年6月的世界通信公司会计丑闻事件，彻底打击了投资者对资本市场的信心。安然、环球电讯、世界通信、施乐等一批企业纷纷承认存在财务舞弊在国际资本市场上引起轩然大波，这些失败案例在很多方面值得深思。例如，管理层僭越控制、利益冲突、缺乏职责分离、透明度不足或欠缺、风险管理未加统一协调、董事会监督无效，以及会导致职能失调、渎职行为的薪酬结构失衡等，都会对企业产生影响。2、基本概念2003年，COSO发布了名为企业风险管理框架（草稿）的报告，来征求意见。2004年9月，COSO委员会在借鉴以往有关内部控制研究报告的基本精神的基础上，结合萨班斯一奥克斯利法案在财务报告方面的具体要求，正式公布企业风险管理整体框架，简称ERM框架或COSO04。ERM框架在COSO92的基础上进行了适当的补充和拓展，主要包括概要、ERM的意义、框架概览、要素、局限性、相关责任等章节。该报告指出，企业风险管理是一个过程，由一个企业的董事管理当局和其他人员实施，应用于战略制定并贯穿于企业当中，旨在识别可能影响企业的潜在事项，并将风险控制在企业可接受范围之内，为企业目标的实现提供合理保证。这个定义反映了几个基本要素，它表明企业风险管理是：（1）一个过程，它持续地流动于主体之内；（2）由组织中各个层级的人员实施；（3）应用于战略制订；（4）贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；（5）旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；（6）能够向一个主体的管理当局和董事会提供合理保证（7）力求实现一个或多个不同类型但相互交叉的目标。这个定义比较宽泛。它抓住了对于公司和其他组织如何管理风险至关重要的概念，为不同组织形式、行业和部门的应用提供了基础。第一，突出“企业”的重要性。内部控制是企业自己的事，是企业内部积极的需求，而非外部强加的压力，它直接关注特定主体既定目标的实现，并为界定企业风险管理的有效性提供了依据，这是对COSO92内部控制思想的重大突破；第二，突出“风险”的重要性。强调风险管理理念、风险文化、风险偏好（风险承受度），用于制定战略之中，并贯穿于整个企业；第三，突出“管理”的重要性。实现从控制到管理的转变，引入战略观念，同时提升了董事会在战略决策中的地位和作用。3、基本框架企业风险管理包含四大目标、八个相互关联的构成要素以及贯穿于企业的各个层级和单元应用。在主体既定的使命或愿景范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的战略、经营、报告和合规四种类型的目标。企业风险管理的构成要素来源于管理当局经营企业的方式，并与管理过程结合在一起，包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。这8个要素并不是简单的并列关系，它们之间存在着一定的逻辑关系，内部控制是企业风险管理的前提；从目标设定到事项识别、风险评估、风险应对、控制活动，是一个风险管理的过程；信息与沟通、监控是企业风险管理的基础。根据COSO的这份研究报告，内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一体系。同时，对内部控制的要素的进一步细分和充实，使内部控制与风险管理日益融合，拓展了内部控制。八、 内部控制演进过程总结从内部控制概念及理论演变的过程上分析可以推断出以下几点。1、内部控制的目标范围由小到大，目标层次由低到高早期的内部牵制关注于资产的安全与完整、财务信息的可靠性以防弊为主要目标。而制度二分法及结构分析法则在此基础上把内部控制目标延伸到了提高业务效率，促进经营方针、组织计划的贯彻，以防弊和兴利为共同目标。内部控制整体框架则明确提出了内部控制为经营效率、财务信息可靠、遵循性三个方面提供合理保证。ERM框架将目标分为战略目标、经营目标、报告目标及遵循性目标四种类型。在内部控制整体框架基础上增加了战略目标，并将报告目标扩展为企业所有对内和对外报告。ERM框架明确提出终极目标为增加利益相关者的价值。由此可见，内部控制目标日益扩展，层次由管理的业务层上升到自战略层而下的整个管理过程。2、内部控制的架构由一维的扁平结构演变为三维的立体架构制度二分法将内部控制划分为内部管理控制制度与内部会计控制制度，这是一种简单的“扁平式”的分类。内部控制结构首次提出了“结构”的概念，认为内部控制由三个要素组成了一个三角结构。内部控制整体框架在此基础上丰富了要素，并且明确了要素之间的关系和相互作用。ERM框架则提出了立方体的三维结构。四个目标代表水平面，八个要素代表垂直面，企业整体层、部门、经营单元及附属公司代表纵深面。3、内部控制要素由模糊变为清晰且细化内部控制结构首次提出了构成要素，包括控制环境、控制程序及会计制度。内部控制整体框架扩大了要素内容，包括控制环境、控制活动、风险评估、监控以及信息与沟通五大要素，提出了许多之前没有包括的要素，如风险评估及监控。ERM框架对整合框架进行了细化，提出了内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通及监控八个要素。4、内部控制与公司管理的边界越来越融合从内部控制的演变过程可以看到，内部控制从公司管理的职能之一演变为与公司管理逐渐融合。传统的内部控制职能中，内部牵制承担的是控制的一小部分职责，内部会计控制在保护财产安全及财务信息可靠方面发挥控制职能，内部管理控制则注重于与组织计划的相符以及业务效率等方面。演变后的内部控制结构首次提出了控制环境的要素，在控制环境中包括董事会及其专门委员会、管理思想及经营作风，已涉入战略管理的层次，只是被动反映其静态内容。内部控制整体框架除此以外提及的风险评估要素，要求识别对组织目标能产生影响的各种风险进行评估其影响程度及发生的可能性，对以风险为导向的战略管理的相关内容进行初探。ERM框架则全面反映了公司风险管理的具体内容，从战略目标设定时考虑风险一直到风险识别、风险评估、风险应对以及具体的控制活动，该框架隐含的控制已和公司管理相融合，涉及公司管理的所有层次，控制与管理的职能和界限已经模糊。九、 公司治理与内部控制的区别1、两者的具体目标不同公司治理的目的是保证经济运行系统中的公平和效率，具体地说，就是在所有者（股东）、管理人和其他利益关系人之间建立起合乎公平和效率的经济机制。在这个机制之下，所有者必须提供企业生产经营所需要的基本资金，并享有对企业的最终控制权和剩余分配权；管理者必须尽责工作，不能利用职务之便侵害投资人的利益；企业在追求自身利益的同时不能损害其他利益关系人的权益。而内部控制的目的则是为了保证企业资产安全、会计信息真实完整和经营效率的提高。2、两者的控制主体不同公司治理的主体是股东、董事会、经理层以及其他利益关系人（债权人、社区、政府），包括企业内、外部各有关方面；而内部控制的主体主要是董事会、经理层以及其他员工等，控制主体仅限于公司内部，而且控制重点主要集中于CEO及其之下的业务系统。3、两者所涉及的管理内容不同公司治理的管理内容主要涉及股东、董事会、监事会、总经理之间的委托代理合同关系、控制权的配置（股权结构安排）、剩余分配权的安排等；而内部控制的管理内容主要是环境控制、风险评估、控制活动、信息沟通、内部监督等。4、两者所使用的手段不同公司治理的手段主要有监督和激励两种；而内部控制的手段侧重于职务分离、授权审批、会计系统、财产保护、全面预算、运营分析、绩效考评等控制措施。公司治理在管理思想上重视行为和动机的抑制与激励；而内部控制在管理思想上重视流程控制。5、两者所归属的法规体系不同公司治理的内容主要体现在公司法、证监会颁布的上市公司治理准则、交易所的上市公司治理规则以及企业章程之中；而内部控制则主要体现于会计法和五部委颁布的企业内部控制基本规范、内部控制配套指引以及企业内部控制制度之中。十、 公司治理与内部控制的融合公司治理与内部控制既有不同点，也有相同点，既有分离区域，也有交叉领域。离开公司治理结构，内部控制就没有完整性，当然也就不可能取得风险管理方面的成功；同时，公司治理结构同样也离不开内部控制制度，如果没有完善的内部控制做支撑，公司治理结构所追求的公平与效率的目标也必然会落空。可以看到，公司治理与内部控制实质上是一种互动关系，即有效的公司治理对完善内部控制至关重要；反过来，健全有效的内部控制通过产生高质量的会计信息也能优化公司治理机制。1、内部控制与公司治理不是主体与环境的关系迄今为止，公司治理和内部控制的关系在理论上仍未有统一定论。AICPA的审计准则第55号和COSO的内部控制一整体框架这两个研究报告均把董事会及其对待内部控制的态度认定为内部控制的控制环境，由于董事会是现行公司治理结构的核心，所以很多人认为公司治理结构是内部控制的环境要素，内部控制框架与公司治理机制是内部管理监控系统与制度环境的关系。这种认识是否正确也是值得商榷的。首先，根据哲学环境论的有关知识，环境是与主体相对应并外在于主体的。如果将两者的关系定义为环境论，那么就意味着公司治理与内部控制是两个完全独立的没有重叠和交叉的主体。其次，环境论降低了公司治理对于内部控制所具有的重要意义。按照哲学内外因理论，内因是事物发展变化的根本原因，外因只起一定的促进作用。环境作为非决定性的外部影响因素，其需要通过内部因素的转化才能起作用。这样人们就会有意或者无意地把公司治理结构的影响及其意义缩小。最后，环境论也忽视了内部控制对公司治理的重要性，或者说没有看到内部控制对公司治理具有一定的反向促进作用。公司治理与内部控制并非完全独立，存在着联系与区别。因此，内部控制与公司治理不是主体与环境的关系，而是“你中有我、我中有你”的相互包含、相互融合的关系。2、离开公司治理结构，内部控制就没有完整性公司治理机制有效，才能保证不同层次控制目标的一致性，只有从源头实施内部控制，才能维护各利益相关者的利益；公司治理不能很好地解决所有者和经营者之间的代理问题，则企业管理当局就没有足够的动力去改进内部控制，再好的内部控制也无法提供“合理保证”。内部控制与公司治理不能割裂，需将内部控制纳入公司治理路径之上。两权合一时，股东和股东会直接实施内部控制；两权分离时，利益相关者通过董事会或监事会间接控制，由股东会或董事会设计监控制度，考核、评价经理层绩效。公司治理机制有效，才能保证不同层次控制目标的一致性；只有从源头实施内部控制，才能维护各利益相关者的权益。有效的内部控制应当能够维护所有利益相关者的合法权益，而不是维护某一类或少数利益相关者的权益。3、有效的内部控制是完善公司治理的重要保障从公司治理角度认识内部控制，是正确认识内部控制的本质、发挥内部控制作用的前提，企业内部控制内涵和外延得以升华正是内部治理结构作用的结果。内部控制是在公司治理解决了股东、董事会、监事会、经理之间的权、责、利划分之后，作为经营者的董事会和经理为了保证受托责任的履行，而做出的主要面向次级管理人员的控制。有效的内部控制是完善公司治理的重要保障，如果内部控制失效，其提供的会计信息也就无法真实反映企业的财务状况和经营成果，企业的经营者就无法进行正确的决策。健全有效的内部控制能够确保公司管理行为符合国家法律法规，有利于董事会行使控制权从而提高公司治理效率。健全有效的内部控制可以提供真实可靠的财务信息，有利于所有者和管理者之间的制衡，有利于保障债权人等利益相关者利益，实现共同治理。在我国，事实上企业控制权相当大程度转移到管理者手中，良好的内部控制是公司法人主体正确处理各个利益相关者关系、实现公司治理目标的重要保证。总之，如果内部控制不能与公司治理兼容，将导致治理成本骤增；如果没有健全的内部控制，公司治理留下的空间将导致机会主义行为，由此可能演变为制约公司发展的顽疾。十一、 内部控制评价的组织与实施内部控制评价是由企业董事会和管理层实施的。进行评价的具体内容应围绕企业内部控制基本规范中提及的内部控制五个要素即内部环境、风险评估、控制活动、信息与沟通、内部监督，以及企业内部控制基本规范及企业内部控制应用指引中的内容。在确定具体内容后，企业应制定内部控制评价程序，对内部控制有效性进行全面评价，包括财务报告内部控制有效性和非财务报告内部控制有效性；同时为内部评价工作形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、关键风险点、采取的控制措施、有关证据资料以及认定结果等；企业还应在评价工作中明确内部控制缺陷的认定准则；完成评价后，企业应当准备一份内部控制自我评价报告，在其年报中进行披露：企业董事会应当对内部控制评价报告的真实性负责。（一）内部控制评价的相关概念内部控制评价一般是指由专门的机构或人员，通过对单位内部控制系统的了解、测试和分析，对其完整性、合理性及有效性提出意见，并进行报告，以利于单位进一步健全和完善内部控制体系。我国企业内部控制基本规范第四十六条指出：企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。（二）内部控制评价应当遵循的原则根据企业内部控制评价指引第三条的规定，内部控制评价应遵循以下3个原则。1、全面性原则评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。2、重要性原则评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。3、客观性原则评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。（三）内部控制评价的内容根据企业内部控制评价指引的要求，内部控制评价涉及以下7个方面。（1）企业应当根据企业内部控制基本规范、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。（2）企业组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。（3）企业组织开展风险评估机制评价，应当以企业内部控制基本规范有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。（4）企业组织开展控制活动评价，应当以企业内部控制基本规范和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。（5）企业组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。（6）企业组织开展内部监督评价，应当以企业内部控制基本规范有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。（7）内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。（四）内部控制评价的程序根据企业内部控制评价指引第十二条的要求，企业应按照内部控制评价办法规定程序，有序开展内部控制评价工作。内部控制评价程序一般包括制订评价控制方案、组成评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。在这里重点讲解制订评价控制方案、组成评价工作组、实施评价工作与测试、汇总评价结果四个环节。1、制订评价控制方案企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。承担内部控制评价的部门或机构应具备以下条件。（1）能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；（2）具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；（3）与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约；（4）能够得到企业董事会和经理层的支持，通常直接接受董事会及其审计委员会的领导和监事会的监督，有足够的权威性来保证内部控制评价工作的顺利开展。内部控制评价部门或机构应根据内部监督情况和要求，制订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权审批后实施。这是一个进行内部控制评估前的全面计划，提供内部控制评价的效率和效果。2、组成评价工作组内部控制评价部门或机构在评价方案获得批准后，需要组织评价工作组，具体承担内部控制检查评价任务。评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。企业可根据自身的条件建立内部控制培训机制，为评价工作组成员提供培训，使其尽快掌握内部控制知识，熟悉企业业务流程及应关注重点、评价工作流程、方法以及工作底稿准备的要求。对于拥有内部审计部门的企业来说，内审部门很有可能也同样地担当内部控制评价组的工作。但如果企业决定利用外聘会计师事务所为其提供内部控制评价服务，根据企业内部控制基本规范的要求，则该事务所不应同时为企业提供内部控制的审计服务。3、实施评价工作与测试评价工作组需通过了解企业层面基本情况、各业务层面的主要流程，识别有关主要风险后，才能开展实施及测试设计和运行有效性的内部控制工作。（1）了解公司层面基本情况。评价工作组与被评价单位进行充分沟通，了解其经营业务范围、企业文化、发展战略、组织结构、人力资源等内部环境及内部控制内容中五个要素的运作情况。（2）了解各业务层面的主要流程及风险。在这一阶段，评价工作组把工作重点放在主要业务流程上，如资金管理流程、销售流程和采购流程等。为支持评估工作与相关测试有效进行，企业应建立全面文档记录。文档记录可以帮助评价工作组了解各个主要业务领域的流程，识别相关的风险关注点及可能存在的内部控制措施。评价工作组可审阅的内控流程文档可能有以下几种。风险控制矩阵文档。关注点在于复核风险流程的合理性，例如，文档是否包含了流程面临的所有风险、列示的风险是否得到定期或及时的更新、对于各项风险的重要性水平分析是否合理，以及复核控制点的识别，关键控制点、重要控制点、一般控制点的判断是否合适。流程图文档。关注点在于流程图是否与实际操作及风险控制矩阵描述相符合，流程图是否清楚地标示所有风险点及控制点，流程图中责任部门、岗位以及其他管理机构是否表述清晰、表述的流程路径是否清晰、是否存在交叉，以及内容是否涵盖所有流程实际操作及相应的控制活动。审批权限表文档。关注点在于部门及岗位的描述是否准确、权限的划分和设置是否合理。评价工作组应识别业务流程中的关键业务或固有风险，提出对于每一重大流程在交易过程中“可能出错”而产生重大错误的问题在这些控制点上识别降低风险的控制，这些控制应当能够为防止发生重要的错误或者能发现并更正错误提供合理保证。有些控制可能并不显而易见，可能是电子化或者是人工的，并且同时是高层及基层实施。这些关注点将是评价工作组进行设计或运行有效性并做出结论的地方。例如，银行账户管理中，银行账户的开立、变更及撤销未经合理的审批及授权，对于该风险点应该采取相应控制措施，提交给银行的开立账户申请书需要经过公司总经理书面批准（签章），提交给银行的变更账户申请需要经过财务经理和总经理审批，提交给银行的撤销账户申请需要经过财务经理和总经理审批。再以资金管理流程为例，企业面临的一个关键业务风险可能是客户需求的波动，当客户需求下降时，企业收入减少，进而发生资金的短缺并增加对营运资金需求的压力，资金需求将会直接导致银行融资或企业债券融资的增加进而导致企业的财务费用成本增加。固有风险是指假设不存在相关的内部控制，某一业务风险事项发生的可能性。例如，某企业所处行业的性质决定该类企业资金、在建工程与固定资产的交易比存货（通常为一些低值易耗品）的交易更容易出现差错。一些产生经营风险的外部因素也可能影响固有风险，如“节能减排”的目标要求企业投资建立高效率、低消耗的新型生产线，并对旧装备进行技术改造，这些都会影响资金流。在各重要流程中，管理层可能已实施不同程度的控制以应对风险。例如，在资金管理流程、银行账户的开立的风险点中，可能有的控制措施是要求提交给银行的开立账户申请书需要经过公司总经理书面批准或签章。（3）确定检查评价范围和重点。评价工作组根据掌握的情况确定评价范围、检查重点和抽样数量，进行分工与测试。评价范围、方式、程序和频率，将因企业经营业务调整、经营环境、风险水平等因素而异。（4）开展现场检查测试。评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法，收集被评价单位内部控制设计与运行是否有效的证据，按照要求填写工作底稿、记录有关测试结果。如果发现内部控制出现缺陷，则需与管理层沟通，对有关缺陷进行认定并进行记录。个别访谈。评价工作组人员可以个别访谈企业或被评价单位的不同人员，了解公司内部控制的现状与运行。个别访谈通常用于企业层面与业务层面评价的阶段。调查问卷。调查问卷多用于企业层面的评价，通过扩大对象范围，如企业中的全体员工，收集简单结果，如对公司企业文化的认同。专题讨论。这是一种集合企业中有关专业人员就内部控制执行情况或控制问题进行的分析和讨论。穿行测试。穿行测试是指在流程中任意选取一项交易为样本，获取原始单据，跟踪交易从最初起源，到会计处理、信息系统和财务报告编制，直到这项交易在财务报表中报告出来的全过程。通过执行“穿行测试”，评价工作人员可获取对一个流程的了解，查找潜在的内控设计问题并识别出相关控制。实地查验。这是一个用于业务层面评价的方法。例如，评价工作人员进行实地盘点以测试企业记录存货的数量，或有关控制的有效性。抽样。抽样方法可以分为随机抽样和其他抽样法。随机抽样一般被认为是最具有代表性或是基于统计学的取样方式，从样本库中抽取一定数量的样本，进行控制测试，以获取有关控制的运行状况。随机选取通常是采用计算机来完成。其他抽样如分层抽样、整群抽样及系统抽样等。比较分析。这是一种通过数据分析，识别评价关注点的方法。例如，通过比较月度的销售情况，识别异常区间，进行检查。审阅与检查。这也是在业务层面评价的常用方法，通过核对有关证据而获取有关控制的运行状况，如选择某些调节表上的差异，追溯到相应的单据记录（如银行对账单）或检查调节表是否有相关负责人签字。4、汇总评价结果评价工作组人员应当在其工作底稿中，记录评价所实施的程序及有关结果。企业内部控制评价工作组应当建立评价质量交叉复核制度，有关评价报告应由