水力按摩池公司内部控制方案【范文】

泓域/水力按摩池公司内部控制方案水力按摩池公司内部控制方案xx投资管理公司目录一、 项目基本情况4二、 公司简介9三、 反舞弊机制10四、 举报投诉制度22五、 信息与沟通的作用26六、 信息与沟通的概念28七、 内部控制的相关比较29八、 企业内部控制规范体系的结构32九、 内部控制34十、 企业风险管理37十一、 内部控制的局限性46十二、 内部控制的重要性50十三、 风险的分类和评估53十四、 风险的概念及其分类55十五、 风险分析的定义和目的57十六、 风险分析方法的选择58十七、 内部控制目标的设定59十八、 目标设定的含义62十九、 项目风险分析66二十、 项目风险对策68二十一、 人力资源配置69劳动定员一览表70二十二、 法人治理结构72二十三、 发展规划分析84一、 项目基本情况（一）项目承办单位名称xx投资管理公司（二）项目联系人袁xx（三）项目建设单位概况公司在发展中始终坚持以创新为源动力，不断投入巨资引入先进研发设备，更新思想观念，依托优秀的人才、完善的信息、现代科技技术等优势，不断加大新产品的研发力度，以实现公司的永续经营和品牌发展。公司秉承“诚实、信用、谨慎、有效”的信托理念，将“诚信为本、合规经营”作为企业的核心理念，不断提升公司资产管理能力和风险控制能力。公司将依法合规作为新形势下实现高质量发展的基本保障，坚持合规是底线、合规高于经济利益的理念，确立了合规管理的战略定位，进一步明确了全面合规管理责任。公司不断强化重大决策、重大事项的合规论证审查，加强合规风险防控，确保依法管理、合规经营。严格贯彻落实国家法律法规和政府监管要求，重点领域合规管理不断强化，各部门分工负责、齐抓共管、协同联动的大合规管理格局逐步建立，广大员工合规意识普遍增强，合规文化氛围更加浓厚。公司依据公司法等法律法规、规范性文件及公司章程的有关规定，制定并由股东大会审议通过了董事会议事规则，董事会议事规则对董事会的职权、召集、提案、出席、议事、表决、决议及会议记录等进行了规范。 （四）项目实施的可行性1、不断提升技术研发实力是巩固行业地位的必要措施公司长期积累已取得了较丰富的研发成果。随着研究领域的不断扩大，公司产品不断往精密化、智能化方向发展，投资项目的建设，将支持公司在相关领域投入更多的人力、物力和财力，进一步提升公司研发实力，加快产品开发速度，持续优化产品结构，满足行业发展和市场竞争的需求，巩固并增强公司在行业内的优势竞争地位，为建设国际一流的研发平台提供充实保障。2、公司行业地位突出，项目具备实施基础公司自成立之日起就专注于行业领域，已形成了包括自主研发、品牌、质量、管理等在内的一系列核心竞争优势，行业地位突出，为项目的实施提供了良好的条件。在生产方面，公司拥有良好生产管理基础，并且拥有国际先进的生产、检测设备；在技术研发方面，公司系国家高新技术企业，拥有省级企业技术中心，并与科研院所、高校保持着长期的合作关系，已形成了完善的研发体系和创新机制，具备进一步升级改造的条件；在营销网络建设方面，公司通过多年发展已建立了良好的营销服务体系，营销网络拓展具备可复制性。从2012年到2019年美国地下泳池数量从506万增加到523万个，而地上包括可移动泳池数量从303万增加到305万个，其中包括按摩泳池和温泉泳池。虽然受疫情影响，2020年美国新建泳池数量为9.4万个，但是美国长期泳池建设中位数是每年11.3万个。随着每年的安装基数都在增加，已建成的泳池都需要定期维护。根据Hayward内部人士透露，大多数泳池组件的寿命大约在9-12年，售后服务包括泳池的维修、更换、改造，而泳池组件的售后服务为泳池和水疗设备提供商打开了更广阔的市场空间。（五）项目建设选址及建设规模项目选址位于xx（以最终选址方案为准），占地面积约67.00亩。项目拟定建设区域地理位置优越，交通便利，规划电力、给排水、通讯等公用设施条件完备，非常适宜本期项目建设。项目建筑面积76274.20，其中：主体工程53761.21，仓储工程11740.49，行政办公及生活服务设施8577.25，公共工程2195.25。（六）项目总投资及资金构成1、项目总投资构成分析本期项目总投资包括建设投资、建设期利息和流动资金。根据谨慎财务估算，项目总投资27198.11万元，其中：建设投资21700.20万元，占项目总投资的79.79%；建设期利息527.52万元，占项目总投资的1.94%；流动资金4970.39万元，占项目总投资的18.27%。2、建设投资构成本期项目建设投资21700.20万元，包括工程费用、工程建设其他费用和预备费，其中：工程费用18764.00万元，工程建设其他费用2318.51万元，预备费617.69万元。（七）资金筹措方案本期项目总投资27198.11万元，其中申请银行长期贷款10765.73万元，其余部分由企业自筹。（八）项目预期经济效益规划目标1、营业收入（SP）：49800.00万元。2、综合总成本费用（TC）：38889.91万元。3、净利润（NP）：7984.20万元。4、全部投资回收期（Pt）：5.83年。5、财务内部收益率：22.03%。6、财务净现值：11143.80万元。（九）项目建设进度规划本期项目按照国家基本建设程序的有关法规和实施指南要求进行建设，本期项目建设期限规划24个月。（十）项目综合评价主要经济指标一览表序号项目单位指标备注1占地面积44667.00约67.00亩1.1总建筑面积76274.20容积率1.711.2基底面积26353.53建筑系数59.00%1.3投资强度万元/亩314.832总投资万元27198.112.1建设投资万元21700.202.1.1工程费用万元18764.002.1.2工程建设其他费用万元2318.512.1.3预备费万元617.692.2建设期利息万元527.522.3流动资金万元4970.393资金筹措万元27198.113.1自筹资金万元16432.383.2银行贷款万元10765.734营业收入万元49800.00正常运营年份5总成本费用万元38889.916利润总额万元10645.607净利润万元7984.208所得税万元2661.409增值税万元2204.1210税金及附加万元264.4911纳税总额万元5130.0112工业增加值万元17761.4713盈亏平衡点万元16703.35产值14回收期年5.83含建设期24个月15财务内部收益率22.03%所得税后16财务净现值万元11143.80所得税后二、 公司简介（一）公司基本信息1、公司名称：xx投资管理公司2、法定代表人：袁xx3、注册资本：1220万元4、统一社会信用代码：xxxxxxxxxxxxx5、登记机关：xxx市场监督管理局6、成立日期：2012-7-107、营业期限：2012-7-10至无固定期限8、注册地址：xx市xx区xx（二）公司简介公司将依法合规作为新形势下实现高质量发展的基本保障，坚持合规是底线、合规高于经济利益的理念，确立了合规管理的战略定位，进一步明确了全面合规管理责任。公司不断强化重大决策、重大事项的合规论证审查，加强合规风险防控，确保依法管理、合规经营。严格贯彻落实国家法律法规和政府监管要求，重点领域合规管理不断强化，各部门分工负责、齐抓共管、协同联动的大合规管理格局逐步建立，广大员工合规意识普遍增强，合规文化氛围更加浓厚。公司依据公司法等法律法规、规范性文件及公司章程的有关规定，制定并由股东大会审议通过了董事会议事规则，董事会议事规则对董事会的职权、召集、提案、出席、议事、表决、决议及会议记录等进行了规范。 三、 反舞弊机制（一）反舞弊机制的概念反舞弊机制指为了防止舞弊，加强公司治理和内部控制，降低企业风险，规范经营行为，维护企业合法权益，确保经营目标的实现和企业持续、稳定、健康发展，保护股东合法权益，根据经营目标及法律、法规，结合企业的实际情况，制定的用以规范企业中高级管理人员及所有员工的职业行为的一种制度。企业应当建立反舞弊机制，坚持“惩防并举、重在预防”的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。通过反舞弊机制的建立，企业要将反舞弊工作的重点放在重点领域和关键环节，防范舞弊行为的发生并及时发现发生的舞弊行为。在所建立的反舞弊机制中，要规范相应的舞弊案件查处程序，以便对舞弊案件及时进行处理和纠正，并在反舞弊过程中不断完善内部控制体系。（二）反舞弊机制的重点企业内部控制基本规范第四十二条规定：企业至少应当将下列情形作为反舞弊工作的重点：未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益；在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等：董事、监事、经理及其他高级管理人员滥用职权；相关机构或人员串通舞弊。（三）反舞弊工作的内容1、舞弊的含义舞弊是一种采取不正当和欺骗的手段，有意识地违反既定的公众认可的规则以损害或牟取组织经济利益的行为。2、舞弊的种类（1）按照舞弊主体的不同进行分类。按照舞弊主体的不同，即作弊者身份的不同，可以将舞弊划分为两类，管理舞弊与非管理舞弊。管理舞弊是指管理层蓄谋的舞弊行为，是指企业最高管理当局进行的舞弊。这种舞弊隐蔽性大，难以发现，影响力也很大，舞弊者的层次越高，越难有效地进行预防与检查，危害也越大。其主要表现为财务报表舞弊。非管理舞弊也称为员工舞弊，是指企业中的职员利用内部控制的各种漏洞，采用涂改或伪造单据、账册及其他手段贪污、盗窃或挪用财产的不法行为，常常表现在将现金或其他资产窃为己有。（2）按照内部审计具体准则第6号的规定进行分类。内部审计具体准则第6号一舞弊的预防、检查与报告将舞弊分为：损害组织经济利益的舞弊行为以及谋取组织经济利益的行为。损害组织经济利益的舞弊，是指组织内外人员为谋取自身利益采用欺骗等违法违规手段使组织经济利益遭受损害的不正当行为。有下列情形之一者属于损害组织经济利益的舞弊行为：收受贿赂或回扣；将正常情况下可以使组织获利的交易事项转移给他人；贪污、挪用、盗窃组织资财；使组织为虚假的交易事项支付款项；故意隐瞒、错报交易事项；泄露组织的商业秘密；其他损害组织经济利益的舞弊行为。谋取组织经济利益的舞弊，是指组织内部人员为使本组织获得不当经济利益而其自身也可能获得相关利益，采用欺骗等违法违规手段，损害国家和其他组织或个人利益的不正当行为。有下列情形之一者属于谋取组织经济利益的舞弊行为：支付贿赂或回扣；出售不存在或不真实的资产；故意错报交易事项、记录虚假的交易事项，使财务报表使用者误解而做出不适当的投融资决策；隐瞒或删除应对外披露的重要信息；从事违法违规的经营活动；偷逃税款；其他谋取组织经济利益的舞弊行为。（四）反舞弊的理论研究1、舞弊GONE理论“GONE”理论（四因素论）是由Bologua等人在1993年提出的，是在美国流传最广，也是最有意思的一个企业会计舞弊与反会计舞弊的著名理论。该理论认为，舞弊由G（greed，贪婪）、0（opportunity，机会）、N（need，需要）、E（exposure，暴露）四个因子组成，它们相互作用，密不可分，没有哪一个因子比其他因子更重要。因此，它们共同决定了企业舞弊风险的程度。GONE理论实质上表达了会计舞弊产生的4个条件，即舞弊者既有贪婪之心，且又十分需要钱财时，只要有机会，并被认为事后不会被发现，他就一定会舞弊，导致“Youcanconsideryourmoneygone”（被欺骗者的钱、物、权益等离他而去）。因此，产生了一种很巧妙的说法，即“在贪婪、机会、需要和暴露四因子共同作用的特定环境中，会滋生舞弊，促使被欺骗者的钱、物、权益等离他而去”GONE理论中“贪婪”和“需要”与行为人个体强相关，使个体成为潜在的犯罪者；“机会”和“暴露”则更多与组织环境有关，使组织成为潜在的受害者。组织一方面要加强制度建设，但制度并非十全十美，可能给“贪婪”“需要”的人以机会，另一方面就要对舞弊行为暴露（发现并加以查处）。2、舞弊三角理论舞弊三角理论由美国注册舞弊审核师协会的创始人、曾任美国会计学会会长的史蒂文阿伯雷齐特提出，他认为，企业舞弊的产生是由压力、机会和自我合理化三要素组成，就像必须同时具备一定的热度、燃料、氧气这三要素才能燃烧一样，缺少了上述任何一项要素都不可能真正形成企业舞弊。企业舞弊产生的原因是由动机、机会和借口三要素组成的，这三者也是美国最新的反舞弊准则提醒注册会计师应该关注的舞弊产生的主要条件。（1）实施舞弊的动机或压力。舞弊者具有舞弊的动机是舞弊发生的首要条件，压力可能是经营或财务上的困境以及对资本的急切需求等。例如，高级管理人员的报酬与财务业绩或公司股票的市场表现挂钩、公司正在申请融资等情况都可能促使管理层产生舞弊的动机。（2）实施舞弊的机会。舞弊者需要有舞弊的机会，舞弊才能成功。舞弊的机会一般源于内部控制在设计和运行上的缺陷，如公司对资产管理的松懈，公司管理层能够凌驾于内部控制之上而可以随意操纵会计记录等。实施舞弊的机会主要有六种情况，分别是缺乏发现企业舞弊行为的内部控制；无法判断工作的质量；缺乏惩罚措施；信息不对称；能力不足和审计制度不健全。（3）为舞弊行为寻找借口的能力。借口是指存在某种态度、性格或价值观念，使得管理层或员工能够做出不诚实的行为，或者管理层或员工所处的环境促使其能够将舞弊行为予以合理化。借口是舞弊发生的重要条件之一。只有舞弊者能够对舞弊行为予以合理化，舞弊者才可能做出舞弊行为，做出舞弊行为后才能够心安理得。例如，侵占资产的员工可能认为单位对自身不公，编制虚假报告者可能认为造假不是出于个人私利而是出于公司集体利益。企业舞弊者常用的理由有：这是公司欠我的；我只是暂时借用这笔资金、肯定会归还的：我的目的是善意的，用途是正当的，等等。压力、机会和借口三要素，缺少任何一项要素都不可能真正形成企业舞弊行为。3、企业舞弊风险因子理论该理论是伯洛格那等人在GONE理论的基础上发展形成的，是迄今最为完善的关于形成企业舞弊的风险因子的学说。它把舞弊风险因子分为个别风险因子与一般风险因子。当一般风险因子与个别风险因子结合在一起，并且被舞弊者认为有利时，舞弊就会发生。（1）一般风险因子。一般风险因子是指那些主要由进行自我防护的组织或实体来控制的因素，包括：潜在企业舞弊者进行舞弊的机会；企业舞弊发生时发现企业舞弊的概率；企业舞弊发现后企业舞弊者受罚的性质和程度。首先，企业舞弊发生的机会。这一因子主要指相对于企业舞弊所针对的财产或对象而言的企业舞弊者的职位。企业舞弊发生的机会因子不可能完全消除，消除机会的任何努力将是非经济性和反生产力的，只要组织存在有价值的财产，而且这些财产由其他人（包括雇员、顾客及供应商）流转、交易或控制，企业舞弊发生的机会就永远存在。将企业舞弊机会因子控制在合理水平内的企业反舞弊举措包括：对每个雇员均应明确或规定一个适当的最低舞弊机会水平；严格禁止灾难性舞弊机会水平的出现。这一水平主要取决于具体环境，尤指组织规模。其次，发现舞弊的概率。在企业舞弊发生机会的既定水平下，可以通过增加发现企业舞弊的概率来降低企业舞弊风险。企业舞弊发现的可能性主要取决于内部控制制度，尽管这些控制措施不能杜绝一切企业舞弊行为，但在理论上它们应该足以防止多数重大企业舞弊行为的长期存在。最后，惩罚的性质和程度。发现企业舞弊本身并不足以威慑企业舞弊行为，还必须存在潜在的犯罪逆向结果，即应存在着会产生逆向结果的观念。虽然目前还没有惩罚与企业舞弊发生率关系的相关研究，但传统理念表明，惩罚的性质与程度在逻辑上具有威慑作用。组织或团体应当制定关于惩罚性质与程度的明确政策，并严格实施。例如，凡发现舞弊者的舞弊行为，均应报告主管部门，并对此进行指控。（2）个别风险因子。个别风险因子指那些因人而异，且在组织或团体控制范围之外的因素，包括道德品质与动机两大类。首先，道德品质。该因子在这里表现了更宽泛的道德品质方面的内容，它与个性、正直、诚实等一样，与个人的内在特性息息相关。其次，动机。企业舞弊者进行企业舞弊的动机有很多，但大多数与经济需要有关。对于这类存在于雇员头脑中的黑厘子式的各种复杂动机，企业可采取的反舞弊措施包括：营造有利的环境，以减少企业雇员的舞弊动机（如坦诚对待雇员，保持沟通渠道公开化，以及建立可让雇员舒缓不满情绪的机制等）；业绩评价和奖励制度，尽量确保公平对待每个雇员；员工资助方案，包括为面临个人问题的员工提供免费咨询或其他服务，它们可以有效防止突发的企业舞弊问题；员工培训和监督。4、企业反舞弊四层次机制理论该理论首先在美国著名的特雷德维委员会的调查报告中提出，它全面地阐述了企业反舞弊的防止体系。该理论建议任何组织实体可通过建立下列四道防线来防止企业舞弊：高层的管理理念、业务经营过程的内部控制、内部审计、外部独立审计。这些控制机制相辅相成，共同形成综合的、多层面性的企业反舞弊防线，能有效地检查和威慑企业舞弊。（1）高层的管理理念。企业舞弊，尤其是企业舞弊性财务报告的产生环境，在很大程度上取决于整个公司的管理思想，其具体表现形式为公司书面及非书面的管理规章等。该防线是防止企业舞弊性财务报告举足轻重的一环。为确定和宣传正确的管理思想，上层管理人员必须辨别和判断可能导致企业舞弊的各种因素，并设立内部控制制度，以合理保证防止和及早发现企业舞弊。所有公司均应制订、完善并执行有效的公司管理规章，规范员工的可为行为与不可为行为。此外，稳定的规章制度是公司防止企业舞弊的重要前提。只有建立成文的、完善的公司管理规章，才能为内部成员树立明确的道德守则，引导员工行为趋向公司利益最大化，从整体上透彻理解整个公司的目标和活动。（2）业务经营过程的内部控制。广义地讲，可将保护某一实体的资产或法定权益免受损失或虚报的任何控制方面称为一项内部控制。这一内部控制系统包括五个密切联系的组成要素：控制环境、风险评价、控制活动、信息与沟通以及监控。其中控制环境奠定了其他四个控制要素的基础，并确定整个公司的管理思想，它包含了管理哲学、经营风格、授权与责任方式、组织结构、董事会指示、员工的团结观念和竞争意识等许多因素，因而属于企业反舞弊第一道防线的范畴。其他四个控制要素，则属企业反舞弊第二道、第三道防线的内容。上述内部控制诸因素相互联系，密切配合，不可或缺，形成组织内部的有机整体。任何一种控制因素的缺乏或不足，均将导致整个控制系统目标的失败。从企业反舞弊角度出发，这些目标包括：使企业舞弊难以发生；使企业舞弊在某些场合下不可能发生；使已产生的企业舞弊易于发现，并使相关的企业舞弊责任易于确认。此外，以企业反舞弊思想为出发点的内部控制设计还强调了热线（如建立直接的举报电话等）的重要功能，使发现可疑现象的人员有机会直接将问题反映到企业监督部门或上层，而这一点往往被传统的内部控制所忽视。经营业务过程的内部控制实为企业反舞弊防线成功的重要保证是高层管理者管理思想和相关载体形式得以最终贯彻实施的基础设施，因而亦是企业反舞弊防线中更为基础的一环。（3）内部审计。有效、客观的内部审计对公司内部防止和检查企业舞弊性财务报告起着主要的作用。公司内部审计人员的资格、组织、地位、报告渠道及其与董事会下属审计委员会的关系等，均应充分保证内部审计的有效性和客观性。内部审计人员应在公司财务报告的相关联系中考查其审计结果，并在适当程度上密切配合注册会计师的工作。由于与注册会计师相比，内部审计人员与公司高层管理人员有着更为密切的联系和频繁的接触，因而容易觉察整个公司的管理思想和危险信号。他们可以通过适当授权、协调分工、交叉审核、贷款审批、定期报告及预算差异的分析等多种程序，及时避免有关差错和企业舞弊行为。内部审计人员还可以审查公司对可疑付款的调查和处理情况：审计大额的、非正常的或无充分理由的费用支出（尤其是超越授权权限的超额支出）；审查敏感性支出，诸如诉讼费用、咨询费用、广告费用以及国外销售佣金等；调查对公司的反常捐助等。这些均将增强企业反舞弊防线的防范功能，同时也增强了与内部审计人员日常事务息息相关的道德准则建设。（4）外部独立审计。外部独立审计在企业反舞弊防线中同样有着不可忽视的作用。作为企业反舞弊四道防线的最后一道，注册会计师有着不同于其他三道防线的特点与功能，首先是其客观的、公正的、独立的鉴证地位。综合四道防线而言，前三道防线均直接或间接地受管理当局的监督与控制，属于组织内部防线：而注册会计师这一道防线则独立于受审对象，乃为组织外部的防线。事实上，无论是公司管理当局还是社会公众均依赖于注册会计师所提供的客观、公正、独立的鉴证活动（审计意见）。从企业反舞弊角度而言，公司管理当局希望注册会计师发现其内部审计人员及管理当局自身未能发现的企业舞弊行为及相关内部控制系统的薄弱环节；而社会公众则希望注册会计师确保对外公布的财务报告无企业舞弊，尤其是保证管理当局没有做出误导、欺骗社会公众的报告陈述。总之，社会反舞弊的需求明确了注册会计师对企业舞弊性财务报告所承担的审计责任，亦自然将其承担的外部审计职能作为企业反舞弊防线的最后关隘。从而，外部独立审计较其他防线承担了更多的社会期望。过去由于我国一直将企业舞弊活动作为腐败现象予以惩处，而从、来没有将企业舞弊作为一项理论问题进行研究，所以，至今还没有提出比较系统的企业反舞弊理论。这不利于提高我国企业反舞弊活动的效率。虽然世界各国因具体国情不同而存在着差异，我们并不能直接套用国外发展了多年、比较成熟的企业舞弊及企业反舞弊理论，但“他山之石，可以攻玉”，我们可以从中吸取很多经验、教训，这将有利于尽快研究出适合我国国情的企业舞弊与企业反舞弊理论，以完善我国企业管理理论体系。四、 举报投诉制度企业内部控制基本规范第四十三条规定：企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。投诉是信息沟通的重要手段之一，是信息自下而上沟通的重要形式。企业员工处于经营活动的第一线，能够及时发现经营活动及内部控制实施过程中存在的不足、问题和缺陷以及舞弊行为，并能就完善内部控制体系提出合理化建议和改进意见。为此，企业应当建立举报投诉制度，设置举报专线明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。（一）投诉举报范围及管理职责归属1、投诉举报范围投诉举报范围主要包括以下几个方面。（1）收受贿赂或回扣；（2）将正常情况下可以使企业合法获利的交易事项转移给他人；（3）故意隐瞒、错报交易事项，使信息披露存在虚假记载、误导性陈述或重大遗漏；（4）贪污、挪用、盗窃企业资产；（5）伪造、变造会计记录或凭证，提供虚假财务报告；（6）泄露公司的商业机密、技术秘密；（7）董事、监事、经理及其他高管人员以权谋私；（8）其他损害公司经济利益或谋取不正当利益的经济行为以及使员工个人的正当利益受到损害的行为。2、管理职责归属一般而言，企业内部审计、监察等部门是投诉及举报人保护的管理部门，具体职责如下。（1）负责管理投诉举报电话、电子邮箱，接收实名或匿名投诉举报，并根据需要公布投诉举报电话号码、电子邮箱、通信地址等；（2）书面记录举报内容并及时向管理层或董事会报告；（3）对接受的投诉举报进行调查并将调查结果向管理层或董事会报告；（4）对投诉举报和调查处理后的报告材料及时立卷归档。（二）投诉举报方式投诉举报人可以采用书面、电子邮件、电话等形式进行投诉举报。投诉举报时应当说明事情的基本经过，被投诉举报对象的名称、地址、具体当事人、投诉举报人的姓名、联系方式、投诉举报人的具体投诉要求，并应同时提供投诉举报人利益或公司利益受到侵害的证据，以及与投诉举报事项相关的其他材料。企业应提倡实名投诉举报。凡实名投诉举报的，审计、监察部门将严格保密并以适当的方式将处理结果反馈给投诉举报人。（三）投诉举报处理程序投诉举报的处理程序主要包括以下几个方面。（1）投诉举报时投诉举报人应当如实提供情况，审计、监察部门接收工作人员应对投诉举报内容进行记录。投诉举报人捏造事实伪造证据，利用投诉举报诬告、陷害他人的，应当承担相应的责任。（2）对涉及普通员工及中级管理人员（包括控股子公司管理层）的实名投诉举报，审计、监察部门自接到投诉举报后两个工作日内报总经理；对涉及普通员工及中级管理人员（包括控股子公司管理层）的匿名投诉举报，审计、监察部门进行初步评估后报总经理。由总经理决定是否接受该投诉举报。（3）对投诉举报牵涉到公司高级管理人员的，审计、监察部门自接到投诉举报后一定（如两个）工作日内报公司董事会，由董事会决定是否接受该投诉举报。董事会在接受投诉举报后，视需要可聘请外部审计师或其他机构协助调查。（4）接受投诉举报事项后，审计、监察部门对其展开调查，对涉及普通员工及中级管理人员（包括控股子公司管理层）的调查结果上报总经理并形成处理意见，对牵涉到高级管理人员的调查结果上报董事会并形成处理意见。（5）接受投诉举报事项后，审计、监察部门应在规定期限内将调查情况或处理结果告知投诉举报人。具体分为以下几种情况。对属于职权范围内的，自收到举报后一定时期（如2个月）内，将调查情况或处理结果告知投诉举报人；逾期不能告知的，应当向投诉举报人说明原因。对不属于职权范围内的，自收到投诉举报后一定时期（如10日）内，将不予接受的原因告知投诉举报人，并告知受理机关；需要代转或送交有关部门办理的，应告知投诉举报人所转送部门和转办时间。投诉举报人未署真实姓名、地址，无法告知的，不适用前两款规定。（6）投诉举报人认为接收、办理投诉举报的工作人员与被投诉举报人是近亲属或有利害关系，可能影响举报事项客观、公正处理的，有权提出回避要求。情况属实的，有关人员必须回避。（7）投诉举报人对处理结果有异议或多次投诉举报不予接受的，可以向董事会陈述意见，并由董事会在一定时期（如30日）内将办理情况答复投诉举报人。五、 信息与沟通的作用信息与沟通的作用主要表现在以下几方面。（一）信息与沟通是有效实施内部控制的重要载体未来竞争是管理的竞争，竞争的焦点在于企业内外部的有效信息来源以及充分沟通上。经济市场化程度的提高，要求企业必须加强信息的采集、存储、处理、加工和运用。信息与沟通是内部控制体系的重要组成部分，贯穿于内部控制体系的整个过程，是有效实施内部控制的重要载体，直接影响着企业内部控制的贯彻执行以及企业经营目标乃至战略目标的实现。（二）信息与沟通是整个内部控制系统的生命线内部控制是一个动态的过程，依据环境来制定相应的措施，整个过程就是通过连续不断的信息反馈来纠正错误，并不断改进与完善。因此，信息与沟通为管理层监督各项活动并在必要时采取纠正措施提供了保证。另外，信息与沟通是保障内部控制效率和效果的重要手段，随着信息系统的广泛应用，企业内部实现了物流、资金流、信息流的集成管理，外部实现了与供应商、客户的信息共享，使得信息传递更加流畅，从而使内控运行的效率得到提高。（三）信息与沟通是实施内部控制的关键因素从纵向来看，管理层通过信息与沟通下达任务，了解业务进展情况，及时发现其中隐藏的风险。这种自上而下的沟通方式同样伴随着企业有关目标、风险、管理流程信息的传递。而员工则通过自下而上的沟通方式向管理层反映有关一线经营、生产中存在的问题，使管理层能够及时地了解相关信息，动态地优化管理及控制流程。从横向来看，不同部门、不同职责的员工之间通过有效的沟通来传达各自信息需求、信息缺口，有助于信息交流与共享，从而最大化地提高信息资源的利用效率。因此，广泛的信息沟通通过辅助决策来促进企业战略目标的实现；通过加强管理和控制来提高经营的效率和效果；通过保障内控效率和效果来保证财务报告和管理信息的真实、可靠和完整，确保资产的安全完整，以及遵循国家法律法规的要求。总的来说，有效的信息与沟通是内部控制目标实现的重要保证。六、 信息与沟通的概念企业内部控制基本规范第三十八条指出：企业应当建立信息与沟通制度，明确企业内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。信息与沟通，包括辨别取得适当的信息并加以有效沟通两个部分内容。美国COSO委员会的内部控制一整体框架要求企业以一定的形式、在一定的时间范围内识别、获取和沟通相关信息以使企业内部各层次员工能够顺利履行其职责。信息与沟通是指企业能够准确、及时并最大限度地获取和运用来自企业内外部与本企业生产经营活动有关的政策、法律、技术、市场等各方面的信息，并使信息在企业内部进行有效的传递，为企业管理者的各种决策提供强有力的支持。作为内部控制基本要素之一的信息与沟通，在内部控制中发挥着不可替代的作用，为内部控制的其他要素有效发挥作用提供了信息支撑，也为企业整个内部控制的有效运行提供了信息支持。要准确理解信息沟通的含义，需要注意以下几点：第一，信息与沟通首先是信息的传递，如果信息没有被传递，信息沟通就没有发生，信息是沟通的对象和内容，而沟通是信息传递的手段；第二，成功的信息与沟通，不仅需要信息被传递，还需要被理解；第三，信息与沟通的主体是人，即信息与沟通主要发生在人与人之间；第四，由于管理过程中各种信息相互关联、交错，所以管理者把各种信息沟通过程看成是一个整体，即管理信息系统。由于所收集的各种信息来自不同的渠道和信息源，属于零散的、非系统的，企业必须对所收集的各种内部和外部信息进行必要的筛选、整理和加工以提供给有关方面。为了提高内部控制的有效性，企业应当将相关信息在企业内部各管理级次、责任单位、业务环节之间进行内部传递。企业应当建立良好的外部沟通渠道，加强与外部投资者、客户、供应商、中介机构和监管部门等有关方面之间的沟通和反馈。七、 内部控制的相关比较（一）目标的比较内部控制是一个管理系统而非技术系统，是一个防守系统而不是进攻系统，因此，内部控制要实现企业的价值最大化目标，无法依靠利益的增加而只能通过减少支出。内部控制的目标，通常指内部控制所要达到的预期效果和所要完成的控制任务。从理论上说，内部控制的目标主要取决于内部控制本身所具有的功能和人们在设计、执行内部控制时的主观需要。内部控制的目标限于内部控制功能和人们的主观需求之间，不可能高于其本身的客观功能，当然，也不能低于主观需求。1、国内外相关报告的内部控制目标比较内部控制的目标并非单一的，是由几个目标组成的目标结构或体系，并且，各目标之间存在着相互联系。目前内部控制学关于目标的阐述有“三目标论”“四目标论”“五目标论”，这些目标深入具有不同的层次，但有一个共同的目标指向，即降低各种风险带来的损失。对内部控制整体框架、企业风险管理框架与我国企业内部控制基本规范中所规定的内部控制目标进行的比较。标准或规范对内部控制目标的规定有所差异，主要是因为第一，确定控制目标的设定基础。有的以内部会计控制为基础设定（如1949年的定义），有的以内部控制为基础来设定，有的以风险管理为基础设定；第二，颁布这些标准或规范的机构不同。有的从企业层面颁布，有的从行业层面颁布，有的从监管层面颁布。反观我国基本规范，相较于企业风险管理框架，多了一个资产安全目标，资产安全是企业展开各种经济活动的物质前提，但是从目标的排列次序上可以看出，我国的基本规范中规定的次序恰恰与企业风险管理报告要求的相反，这是结合我国基本实情的具体规定。一般认为，首先，企业应当在合规合法的前提下开展活动，违背了这项原则，其他目标再好也是纸上谈兵。其次，保证合规合法目标实现的基础之上，资产作为企业经济活动的物质前提，应当保证实现资产安全的目标。再次，企业应当保证财务报告及相关信息的真实完整，以便于利益相关者做出决策。与此同时，企业应当回归到日常经营管理活动当中来，提高企业的经营效率和效果，提高经营业绩是企业的大势所趋。最后，在上述四个目标实现的基础上，提出了企业的发展战略。2、我国内部控制目标演进过程我国的相关法规制度对内部控制目标的界定也是一个不断演进的过程，我国相关法规、制度对内部控制目标的界定，可以分为三个发展演进阶段。第一阶段，外部化阶段。强调内部会计控制，突出财务报告的真实完整，主要表现在独立审计具体准则第9号内部控制和审计风险（体现内部控制为审计服务）、财政部内部会计控制规范一基本规范等。第二阶段，内部化阶段。强调内部控制，在保证财务报告真实完整的前提下提高经营的效率和效果，主要表现在中国注册会计师审计准则第1211号（体现风险导向的审计内涵）、上交所上市公司内部控制指引、深交所上市公司内部控制指引等。第三阶段，风险管理阶段。强调企业风险管理，主要表现在五部委企业内部控制基本规范。以上三个阶段说明我国内部控制目标的发展是在借鉴国外最佳实践的基础上，关于内部控制理念与实践的提升。（二）内部控制要素的比较纵观内部控制的历史演进可以发现，从最早的内部控制“一要素”阶段内部牵制阶段，“二要素”阶段一内部控制制度阶段，“三要素”阶段一内部控制结构阶段，到“五要素”阶段内部控制整合框架阶段，再到“八要素”阶段一风险管理整合框架阶段，内部控制的发展历史实际上也是内部控制要素不断充实和丰富的过程。内部控制基本要素反映了内部控制的内容，这些要素及其构成方式与整个控制过程整合在一起，决定着控制的内容与形式。企业风险管理框架在内部控制整体框架的基础上，将风险评估分解为目标制定、事项识别、风险评估和风险应对四个要素，纳入风险管理流程，突出了风险管理的重要性。而基本规范是五要素的体系结构，一方面继承内部控制整体框架的理论成果，另一方面适当体现企业风险管理框架的先进理念，结合我国国情的基础上将两者有效结合。八、 企业内部控制规范体系的结构2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引。该配套指引包括18项企业内部控制应用指引企业内部控制评价指引和企业内部控制审计指引，连同此前发布的企业内部控制基本规范，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。我国内部控制规范体系分两个层面，一是基本规范，二是配套指引。（一）基本规范企业内部控制基本规范是内部控制建设与实施应该遵循的基本原则和总体要求，具有强制性，纳入实施范围的企业应当遵照执行。（二）配套指引企业内部控制配套指引（包括应用指引、评价指引和审计指引）是对企业内部控制基本规范相关规定的进一步补充和说明具有指导性和示范性，企业可以结合所在行业要求和企业自身特点，参照配套指引的规定开展内部控制建设与实施工作。配套指引包括应用指引、评价指引和审计指引，三者之间既相互独立，又相互联系，形成一个有机整体。1、企业内部控制应用指引应用指引是对企业按照内部控制五大原则和内部控制五大要素建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占据主体地位，主要包括控制环境类指引、控制活动类指引和控制手段类指引。2、企业内部控制评价指引评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引，用于企业董事会或类似决策机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。3、企业内部控制审计指引审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。九、 内部控制20世纪初期建立起来的内部牵制制度虽然对企业管理起到很大的作用，但随着经济的不断发展、企业规模的扩大以及对企业管理要求的逐步提高，它的不完善之处也逐渐暴露出来。尤其是20世纪30年代全球性经济危机暴露出的会计失真、经济秩序混乱等问题，引起各国政府和企业的高度重视和深刻反思。（一）国外对内控概念的界定明确的内控概念的提出约有70年的历史，其每次突破性发展都是由欧美引发实施的，具体的定义归纳如下。1949年定义：基于保护企业资产、检查会计数据的准确性和可靠性、提高运营效率、促进管理政策的贯彻和实施而在企业内部采取的各种方法和措施。1958年定义：内部控制分为内部会计控制和内部管理控制。前者是关于保护企业资产、检查会计数据的准确性和可靠性的控制；后者是关于提高运营效率、促进管理政策的贯彻和实施的控制。1973年的定义：内部管理控制制度包括但不限于组织机构的计划以及与管理部门进行批准决策有关的程序与记录。会计控制制度包括组织机构设计以及与财产保护和财务会计记录可信性直接相关的各种措施。1988年的定义：企业内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序。内部控制结构3要素为：控制环境、会计系统、控制程序。1992年的定义：为实现经营效率和效果、财务报告可信性以及相关法令的遵循等目标而提供合理保证的过程。内部控制的实施者为企业董事会、经理层及其他员工。从各阶段内部控制的定义可以看出内部控制发展、演进和完善的过程，对我国内部控制概念的界定具有很好的借鉴作用。（二）我国对内部控制概念的界定对比国外发展，我国的内控规范发展独具特色：内控规范建设是由政府各部门以“准法规”形式发布实施的，权威性强，执行快速有力；我国真正意义上的内控规范是从其核心的内部会计控制即会计监管上入手，而不是由内控框架起步的。2008年6月28日五部委颁布的企业内部控制基本规范，将内部控制定义为：是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。在理解此概念中，需要特别注意以下几点。（1）内部控制的概念不再拘泥于传统意义上的概念，而是结合我国的基本实情，形式上借鉴COSO内部控制整体框架的五要素框架，同时在内容上体现企业风险管理框架的先进理念，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证的五要素框架。（2）内部控制的实施者结构为“董事会、监事会、经理层和全体员工”，体现全员特征。内部控制是一个受“人”影响的过程，它是由组织内部的每一层级人员共同执行，需要全体员工的共同参与。它要求企业内部的每个员工均明确自己的责任和权力，以便更好地履行其职责，提高内部控制的执行力度。（3）内部控制是一个“过程”而非结果，不是单一制度、机械的规定，而是一个发现问题、解决问题，并且贯彻于企业管理始终的动态过程。该定义没有用“合理保证”这个词，并非说明内部控制是目标的完全保证，“过程”已体现了合理保证的核心思想，控制目标一定能实现，只是需要一个过程。而“合理保证”的内涵在内部控制五大要素之中，特别是在控制活动中得到体现。十、 企业风险管理（一）企业风险管理（2004）架构1、基本框架2004年，COSO为企业风险管理确立了一个可普遍接受的定义，该定义融入众多观点并达成共识，为各组织识别风险和加强对风险的管理提供了坚实的理论基础，即企业风险管理是一个受企业董事会、管理层和其他人士影响的过程，运用于制订战略之中，并且贯穿整个企业，用以识别可能影响该企业的潜在事项，并且将风险控制在风险偏好的范围之内，为达到实体目标提供合理的保证。企业风险管理（2004）框架的主要贡献就在于，其重新界定了风险管理，即由目标、要素和组织三个维度组成的有机整体。第一维度为企业的目标，即战略目标、经营目标、报告目标和合规目标。在主体既定的使命或愿景范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的战略目标、经营目标、报告目标和合规目标。战略目标与高层目标相关，和企业使命相一致，企业所有的经营管理活动必须长期有效地支持该使命。经营目标与企业运营的效果和效率相关，包括业绩和利润目标，运营变化以管理当局对结构和业绩的选择为基础，旨在使企业能够高效地使用资源。报告目标与组织报告可靠性相关，包括对内报告和对外报告，涉及财务和非财务信息。合规目标层次较低，也是最基础的目标，与组织遵循相关法律法规有关。第二维度为构成要素，即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。第三维度组织是企业的层级，包括主体层次、分部、业务单元及子公司。三个维度的关系是，全面风险管理的八个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上八个方面进行风险管理。2、构成要素第二维度企业风险管理包含八个相互关联的要素。它们来源于管理当局经营企业的方式，并与管理过程整合在一起。这些构成要素的含义如下。内部环境内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。目标设定必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。事项识别必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。风险评估一通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对管理当局选择风险应对回避、承受、降低或者分担风险采取一系列行动以便把风险控制在主体的风险容忍度和风险容量以内。控制活动一制订和执行政策与程序以帮助确保风险应对得以有效实施。信息与沟通一一相关的信息以确保员工履行其职责的方式和时机，能被识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。监控对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一个构成要素都会影响其他构成要素。3、企业风险管理（2004）框架面临的问题企业风险管理（2004）框架在对企业风险管理进行定义时所强调的最重要也是最独具一格的一点是“贯穿整个企业，应用于战略制定中”。而这一点在实践中却被误读，甚至被无视。COSO最初在编制ERM框架时采用了类似于内部控制框架所使用的立方体。虽然COSO对立方体右侧的内容进行了修改，删除了有关活动和流程，改为侧重于范围更广的实体和运营单位及分支机构，但许多企业依然试图在过于细微的层面实施该框架，例如运用于流程层面而非战略制定。许多组织机构将企业风险管理作为一种保证活动来实施，而不是将其视为一种更佳的企业管理方式，从而失去了治理效果。2008年金融危机以及2011年的日本海啸所引发的经济大萧条，“黑天鹅”“大变脸”事件频频爆发，ERM有关问题和价值的主张便开始明朗起来，令许多企业进入危机应对模式，企业风险管理的实施也因此受到企业特别是C级高管的真正重视。6月24日，COSO委员会发布企业风险管理：风险与战略和绩效的协调，以向公众征求意见，截止日期为2016年9月30日。（二）企业风险管理（2016）框架的内容相对于企业风险管理（2004）框架，新版企业风险管理（风险与战略和绩效的协调）（2016）使用了构成元素加原则的结构，包括5个构成元素，细分为23条原则，2013年COSO组织更新了企业内部控制框架的部分内容，在文章的整体结构上就是采用的这种结构新的结构加强了新框架的可读性、可用性和一致性。新版ERM框架的五要素和23个原则。新版框架对ERM的定义为：组织在创造、保存、实现价值的过程中赖以进行风险管理的，与战略制订和实施相结合的文化、能力和实践。可以看到，新版框架简化了ERM的定义以方便阅读和记忆。新定义方便的是所有读者的理解，而不只是风险管理从业者。新定义包括文化和能力而不只是过程，更加强调风险与价值的相结合，突出价值创造而不只是防止损失，这样也避免了和内部控制定义的界限不清。新版框架中，ERM被视为战略制定的重要组成和识别机遇、创造和保留价值的必要部分。新版框架中ERM不再是主体的一个额外的或是单独的活动，而是融入主体的战略和运营当中的有机部分。新版框架注意到了自旧版框架发布以来，组织在实践ERM过程中遇到的一些问题，包括对风险管理工作的定位，风险管理工作的范围和目标等，新版框架定义了风险管理工作的高度，包括：战略和业务目标与使命、愿景和价值观不匹配的可能性；选定的战略所隐含的意义；执行战略过程中的风险。1、风险治理和文化风险治理和文化构成了ERM所有其他部分的基础。风险治理定下主体的基本基调，加强ERM的重要性并确立ERM的监管责任的分配；文化则是主体的价值观、行为准则和对风险的理解。（1）实现董事会对风险的监督。董事会对主体的风险监督负有首要责任。（2）建立治理和运作模式。在明确的责任分配下，组织应该建立完整的运营模式和汇报体系。（3）定义期望的组织行为。董事会和管理层通过定义其期望的行为将组织核心价值和对风险的态度具体化。（4）展现对诚实和道德的承诺。组织制定基调，建立员工行为准则并对偏离准则的行为做出回应。（5）加强问责。组织确保各个层级的个体在风险管理方面的职责明确，并确保其自身在提供准则和指导方面的职责明确。（6）吸引、发展并留住优秀的个体。致力于根据战略和业务目标构筑人力资本，管理层通过在不同层面建立人力资源管理体系来吸引、培训、指导人才，评价和留住人才。2、风险、战略和目标设定ERM通过制订战略和业务目标的过程与主体的战略计划融合在一起。通过对商业环境的理解，组织可以得到对内在和外在因素的看法以及它们对风险的影响。组织在战略制订中确定其风险偏好，而业务目标使得战略得以实践并形成主体日常的运营。（1）考虑风险和业务环境。组织考虑业务环境对风险图谱的潜在影响；组织要理解业务环境，考虑内部和外部的环境和不同的利益相关者。（2）定义风险偏好。组织在创造、保存和实现价值的过程中定义风险偏好。（3）评估可供选择的战略。组织评估可替代的战略和对风险状