高级会计实务—企业内部控制

应试精华网高级会计实务第七章 企业内部控制主讲: 方 燕副教授、注册会计师2010年8月第七章 企业内部控制中国企业内部控制规范体系：2010年4月发布企业内部控制配套指引企业内部控制评价指引（四节）控制手段类指引（三节） 企业内部控制审计指引（五节）自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。第一节 内部控制的目标、原则与要素内部控制是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。一、内部控制目标(掌握)内部控制的目标是合理保证（1）企业经营管理合法合规、（2）资产安全、（3）财务报告及相关信息真实完整，（4）提高经营效率和效果，（5）促进企业实现发展战略。 二、内部控制原则 企业建立与实施内部控制应当遵循5项原则，即全面性、重要性、制衡性、适应性和成本效益原则。 (一)全面性原则 内部控制应当贯穿决策、执行和监督全过程（纵向），覆盖企业及其所属单位的各种业务和事项实现全过程、全员性控制（横向），不存在内部控制空白点。 (二)重要性原则 内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域，确保不存在重大缺陷。 (三)制衡性原则 内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节；同时，还要求履行内部控制监督职责的机构或人员具有良好的独立性。 (四)适应性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化加以调整。 (五)成本效益原则 内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。对成本效益原则的判断需要从企业整体利益出发，尽管某些控制会影响工作效率，但可能会避免整个企业面临更大损失，此时仍应实施相应控制。 三、内部控制要素（重点掌握）（一）内部环境是其他内部控制组成要素的基础，董事会及单位负责人在塑造良好的内部控制环境中发挥关键作用。内部环境包括5个方面：1.单位的治理结构：四个法定刚性机构股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东（大）会负责，依法行使企业的经营决策权。董事会负责监督内部控制的建立健全和有效实施。监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。监事会对董事会建立与实施的内部控制进行监督。经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。经理层负责组织领导企业内部控制的日常运行。2.机构设置及权责分配（1）企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。(2)企业内部机构设置虽然没有统一模式，但所采用的组织结构应当有利于提升管理效能，并保证信息通畅流动。3.内部审计机制企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。4、人力资源政策企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：（1）员工的聘用、培训、辞退与辞职。（2）员工的薪酬、考核、晋升与奖惩。（3）关键岗位员工的强制休假制度和定期岗位轮换制度。（4）掌握国家秘密或重要商业秘密的员工离岗的限制性规定。（5）有关人力资源管理的其他政策。企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。5、企业文化企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则，认真履行岗位职责。企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。 (二)风险评估 风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。主要包括：目标设定、风险识别、风险分析和风险应对。1、 目标设定企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。2、风险识别企业在风险评估过程中，更应当关注引起风险的主要因素，应当准确识别与实现控制目标有关的内部风险和外部风险。企业识别内部风险，应当关注下列因素：董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。组织机构、经营方式、资产管理、业务流程等管理因素。研究开发、技术投入、信息技术运用等自主创新因素。财务状况、经营成果、现金流量等财务因素。营运安全、员工健康、环境保护等安全环保因素。其他有关内部风险因素。企业识别外部风险，应当关注下列因素：经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。法律法规、监管要求等法律因素。安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。技术进步、工艺改进等科学技术因素。自然灾害、环境状况等自然环境因素。其他有关外部风险因素。3、风险分析企业应当在充分识别各种潜在风险因素的基础上，对固有风险（即不采取任何防范措施可能造成的损失程度）进行分析，同时，重点分析剩余风险（即采取了相应应对措施之后仍可能造成的损失程度）。企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。4、风险应对企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。 (三)控制活动控制活动是指企业根据风险应对策略，采用相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与检查性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。 1不相容职务分离控制 企业在设计内部控制系统时，首先应确定哪些岗位和职务是不相容,其次要明确规定各个机构和岗位的职责权限，使不相容岗位和职务之间能够相互监督、相互制约，形成有效的制衡机制。 2授权审批控制授权批准是指企业在办理各项经济业务时，必须经过规定程序的授权批准。授权审批控制要求企业根据常规授权和特别授权的规定。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。 企业各级管理人员应当在授权范围内行使职权和承担责任。 企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。 3.会计系统控制(针对财务报告及相关信息真实完整性的控制目标)会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。企业应当依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职权重叠的副职。 4财产保护控制(针对资产安全的控制目标) 财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。 5预算控制 预算控制要求企业实施全面预算管理制度，明确各责任企业在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。 6运营分析控制 运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。7绩效考评控制绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。 8重大风险预警机制和突发事件应急处理机制 企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，保证突发事件得到及时妥善处理。 (四)信息与沟通 信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，是实施内部控制的重要条件。信息与沟通的要件主要包括：信息质量、沟通制度、信息系统、反舞弊机制。 1信息质量 信息是企业各类业务事项属性的标识，是确保企业经营管理活动顺利开展的基础。企业日常生产经营需要收集各种内部信息和外部信息，并对这些信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；还可以通过行业协会组织、社会中介机构、业务往来企业、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。 2沟通制度 信息的价值必须通过传递和使用才能体现。企业应当建立信息沟通制度，将内部控制相关信息在企业内部各管理级次、责任企业、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息须及时传递给董事会、监事会和经理层。 3信息系统 企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。 企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。 4反舞弊机制企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则。企业至少应当将下列情形作为反舞弊工作的重点：（1）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。（2）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。（3）董事、监事、经理及其他高级管理人员滥用职权。（4）相关机构或人员串通舞弊。企业应当建立举报投诉制度和举报人保护制度，并及时传达至全体员工。 (五)内部监督1.企业应当制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。2内部监督包括日常监督和专项监督。专项监督应当与日常监督有机结合，日常监督是专项监督的基础，专项监督是日常监督的补充， 3日常监督和专项监督情况应当形成书面报告，并在报告中揭示存在的内部控制缺陷。内部监督形成的报告应当有畅通的报告渠道，确保发现的重要问题能及时送达至治理层和经理层；同时，应当建立内部控制缺陷纠正、改进机制，充分发挥内部监督效力。 4企业应当在日常监督和专项监督的基础上，定期对内部控制的有效性进行自我评价，出具自我评价报告。 四、内部控制的组织实施 (一)内部控制的组织形式 内部控制建设是一项系统工程，需要企业董事会、监事会、经理层及内部各职能部门共同参与并承担相应的职责。 1董事会 董事会对内部控制的建立健全和有效实施负责，定期召开董事会议，商讨内部控制建设中的重大问题并作出决策。内部控制建立与实施对企业组织架构最直接的影响就是加大了董事会及其全体董事的责任，其在内部控制中的重要职责为：(1)科学选择经理层并对其实施有效监督；(2)清晰了解企业内部控制的范围；(3)就企业的最大风险承受度形成一致意见；(4)及时知悉企业最重大的风险以及经理层是否恰当地予以应对。 2审计委员会 审计委员会是董事会下设的专业委员会，内部控制建立与实施对审计委员会的人员构成、议事规则、报告机制等均有重要影响，要求审计委员会负责人及其成员必须具备相应的独立性、良好的职业操守和专业胜任能力。审计委员会在内部控制中的职责一般包括： (1)审查内部控制的设计； (2)监督内部控制有效实施； (3)领导开展内部控制自我评价； (4)与中介机构就内部控制审计和其他相关事宜进行沟通协调。 3监事会监事会对董事会建立与实施内部控制进行监督。监事会监督不同于审计委员会对经理层监督，是一种层次更高、独立性更高的再监督。 4. 经理层 经理层由董事会委任，是公司的代理人，经理层负责组织领导企业内部控制的日常运行。 5内部控制部门 企业建立与实施内部控制，可以根据需要成立专门的内部控制工作团队，以项目组的形式运作；也可以成立内部控制专职机构(或岗位)，专门负责内部控制在企业内部各部门间的组织协调和日常性事务工作。内部控制专职机构的职责一般包括：制定内部控制手册并组织落实；确定各职能部门或业务单元对于内部控制的权利和义务；指导内部控制与其他经营计划和管理活动的整合；向董事会及其审计委员会或经理层报告内部控制建设进展情况和存在的问题等。 6内部审计部门 内部审计部门在评价内部控制的有效性，以及提出改进建议等方面起着关键作用。企业应当授予内部审计部门适当的权力以确保其独立地履行审计职责；对内部审计部门负责人的任免应当慎重；内部审计部门负责人与董事会或审计委员会应保持畅通沟通；应当赋予内部审计部门追查异常情况的权力和提出处理处罚建议的权力。 7财会部门 财会部门在保证与财务报告相关的内部控制有效性方面，发挥着十分重要的作用。企业的财务活动应当贯穿单位经营管理全过程，企业开展内部控制工作，要求财会部门不能将眼光仅仅局限于财务活动，而应贯穿企业经营管理的全过程，在制定发展战略、分析评估风险和作出决策等环节扮演好关键的助手和参谋角色。为此，企业经理层应当赋予财会部门负责人参与相应决策的权力，并支持和指导其关注经营管理的更广范畴。 8其他职能部门 企业内部各职能部门(或业务单位)及其全体员工都应当在建立与实施内部控制过程中承担相应职责并发挥积极作用。企业可以根据需要在各职能部门(或业务单位)内部设立内部控制岗位，专门负责与本部门相关的内部控制工作，并定期与内部控制职能部门进行沟通。除上述之外，所有员工都在实现内部控制中承担相应职责并发挥积极作用。企业经理层应当重视员工的作用，并为员工反映诉求提供信息通道。 (二)内部控制的设计程序 1对企业内部结构和外部环境进行深入细致的调查;2按照系统理论和方法的要求划分企业内部结构;3确定所属系统活动过程中的关键环节;4形成内部控制制度的文本规定 运用计算机信息技术手段实施内部控制的企业，在建立健全本企业内部控制时，应当充分考虑手工控制与计算机信息技术控制的特点和差异，但不得因实行计算机信息技术控制而免除或减少必要的控制程序。 (三)内部控制的实施体系 内部控制的实施体系由三个层面构成：1以标准建设为推动2以企业实施为主体3以政府监管和社会评价为补充第二节 企业层面控制 企业层面控制，是指对企业控制目标的实现具有重大影响，与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。在此，侧重介绍与内部环境直接相关的有关控制。 一、组织架构控制 组织架构，是指企业按照国家有关法律法规、股东(大)会决议和企业章程，结合本企业实际，明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。其中，核心是完善公司治理结构、管理体制和运行机制问题。 (一)组织架构设计与运行中的主要风险1治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。2内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。 (二)组织架构设计环节的关键控制点及控制措施 企业在设计组织架构时，至少应当遵循以下原则：一要依据法律法规；二要有助于实现发展战略；三要符合管理控制要求；四要能够适应内外环境变化。 1企业各级的职责 董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序等应当根据国家有关法律法规的规定予以明确，企业的决策权、执行权和监督权应当相互分离，形成制衡。其中： （1）董事会对股东(大)会负责，依法行使企业的经营决策权，可按照股东(大)会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。（2）监事会对股东(大)会负责，监督企业董事、经理和其他高级管理人员依法履行职责。（3）经理层对董事会负责，主持企业的生产经营管理工作。经理和其他高级管理人员的职责分工应当明确。董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。 2组织架构设计的要求 (1) 对“三重一大”的特殊考虑企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。重大决策、重大事项、重要人事任免及大额资金支付业务具体标准由企业自行确定。 (2) 合理设置内部职能机构 企业应当综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。 (3)明确岗位职责企业应当制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。 (4)不相容职务分离 组织架构中的不相容职务通常包括：可行性研究与决策审批；决策审批与执行；执行与监督检查等。 (三)组织架构运行环节的关键控制点及控制措施 1全面梳理治理结构和内部机构 企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。(1)在梳理治理结构的过程中，应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况，以及董事会、监事会和经理层的运行效果。治理结构存在问题的，应当采取有效措施加以改进。 (2)在梳理内部机构设置过程中，应当重点关注内部机构设置的合理性和运行的高效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的，应当及时解决。 2对子公司的监控 企业拥有子公司的，应当建立科学的投资管控制度，通过合法有效的形式履行出资人职责、维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。 3及时全面评估组织架构 企业应当定期对组织架构设计与运行的效率和效果进行全面评估，发现组织架构设计与运行中存在缺陷的，应当进行优化调整。企业组织架构调整应当充分听取董事、监事、高级管理人员和其他员工的意见，按照规定的权限和程序进行决策审批。 二、发展战略控制发展战略，是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划。发展战略可以为企业找准市场定位，发展战略是企业执行层行动的指南，发展战略为内部控制设定了最高目标。(一)发展战略制定与实施中的主要风险 1缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。 2发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。 3发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。 (二)发展战略制定环节的关键控制点及控制措施1. 企业应当在充分调查研究、科学分析预测和广泛征求意见的基础上，综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素，制定发展目标。企业发展目标作为指导企业生产经营活动的准绳，通常包括：盈利能力、生产效率、市场竞争地位、技术领先程度、生产规模、组织结构、人力资源、用户服务、社会责任等。关于发展目标的编制，有几点值得注意：第一，发展目标应当突出主业。第二，发展目标不能过于激进。第三，发展目标不能过于保守，否则会丧失发展机遇和动力。2.企业应当根据发展目标制定战略规划，明确企业发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径。 3.企业应当在董事会下设立战略委员会，或指定相关机构负责发展战略管理工作，履行相应职责。战略委员会成员应当具有较强的综合素质和实践经验，其任职资格和选任程序应当符合有关法律法规和企业章程的规定。战略委员会对董事会负责，委员包括董事长和其他董事。战略委员会主席应当由董事长担任；委员中应当有一定数量的独立董事，以保证委员会更具独立性和专业性。如果由于专业能力不足，战略委员会可以借助中介机构和外部专家的力量为其履行职责提供专业咨询意见。战略委员会应当组织有关部门对发展目标和战略规划进行可行性研究和科学论证，形成发展战略建议方案。4董事会应当严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性。董事会在审议方案中如果发现重大问题，应当责成战略委员会对方案作出调整。 企业的发展战略方案经董事会审议通过后，报经股东(大)会批准实施。小结：发展战略制定环节的流程发展目标-战略规划-战略委员制定发展战略建议方案董事会审议股东(大)会批准实施。 依据 注意3点 每个发展阶段的 对发展目标和战略规划进 关注其全局性、 具体目标、任务 行可行性研究和科学论证 长期性和可行性 和实施路径 (三)发展战略实施环节的关键控制点及控制措施1.着力加强对发展战略实施的领导，企业经理层应当担当发展战略实施的领导者。2.着力将发展战略分解落实，企业应当根据发展战略，制定年度工作计划，编制全面预算，将年度目标分解、落实；同时完善发展战略管理制度，确保发展战略有效实施。3.着力保障发展战略有效实施企业应当采取组织结构调整、人员调配、财务安排、薪酬分配、信息沟通、管理和技术变革等配套保障措施，确保发展战略的有效实施。4. 着力做好发展战略宣传培训工作企业应当重视发展战略的宣传工作，通过内部各层级会议和教育培训等有效方式，将发展战略及其分解落实情况传递到内部各管理层级和全体员工。 5发展战略的动态监控、评估与报告 企业应当加强对发展战略实施情况的监控和评估，定期收集和分析相关信息，对于明显偏离发展战略的情况，应当及时进行内部报告。6发展战略的调整 企业发展战略应当保持相对稳定。企业在开展战略评估过程中，由于经济形势、产业政策、技术进步、行业状况以及不可抗力等因素发生重大变化，确需对发展战略作出调整的，应当按照规定权限和程序调整发展战略，促进企业内部资源能力和外部环境条件的动态平衡。 三、人力资源控制 人力资源，是指企业组织生产经营活动而录(任)用的各种人员，包括董事、监事、高级管理人员和全体员工。企业应当重视人力资源建设，根据发展战略，结合人力资源现状和未来需求预测，制定人力资源总体规划和能力框架体系，优化人力资源整体布局，明确人力资源的引进、开发、使用、培养、考核、激励、退出等管理要求，实现人力资源的合理配置，全面提升企业核心竞争力。 (一)人力资源管理中的主要风险1 人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。2人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。3人力资源退出机制不当，可能导致法律诉讼或企业声誉受损。 (二)人力资源引进与开发环节的关键控制点及控制措施 遵循德才兼备、以德为先和公开、公平、公正的原则，通过公开招聘、竞争上岗等多种方式选聘优秀人才，重点关注选聘对象的价值取向和责任意识。 企业确定选聘人员后，应当依法签订劳动合同。企业对于在产品技术、市场、管理等方面掌握或涉及关键技术、知识产权、商业秘密或国家机密的工作岗位，应当与该岗位员工签订有关岗位保密协议，明确保密义务。企业应当建立选聘人员试用期和岗前培训制度。应当重视人力资源开发工作，建立员工培训长效机制。 (三)人力资源使用与退出环节的关键控制点及控制措施 1人力资源的使用 企业应当建立和完善人力资源的激励约束机制。企业要建立以绩效为核心的分配激励制度。 企业应当制定各级管理人员和关键岗位员工定期轮岗制度。 2人力资源的退出 企业应当按照有关法律法规规定，结合企业实际，建立健全员工退出(辞职、解除劳动合同、退休等)机制。企业应当与退出员工依法约定保守关键技术、商业秘密、国家机密和竞业限制的期限，确保知识产权、商业秘密和国家机密的安全。企业关键岗位人员离职前，应当根据有关法律法规的规定进行工作交接或离任审计。应当定期对年度人力资源计划执行情况进行评估，总结人力资源管理经验，分析存在的主要缺陷和不足，完善人力资源政策，促进企业整体团队充满生机和活力。 四、社会责任控制 社会责任，是指企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量(含服务)、环境保护、资源节约、促进就业、员工权益保护等。 (一)履行社会责任中的主要风险 1安全生产措施不到位，责任不落实，可能导致企业发生安全事故。 2产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。 3环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业。 4促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。 (二)安全生产环节的关键控制点及控制措施1.企业应当根据国家有关安全生产的规定，结合本企业实际情况，建立严格的安全生产管理体系、操作规范和应急预案，强化安全生产责任追究制度，切实做到安全生产。2.企业应当设立安全管理部门和安全监督机构，负责企业安全生产的日常监督管理工作。 3企业应当重视安全生产投入，在人力、物力、资金、技术等方面提供必要的保障，健全检查监督机制，确保各项安全措施落实到位，不得随意降低保障标准和要求。 4贯彻以预防为主的原则，采用多种形式增强员工安全意识，重视岗位培训，对于特殊岗位实行资格认证制度，同时加强生产设备的经常性维护管理，及时排除安全隐患。 5企业如果发生生产安全事故，企业应当按照安全生产管理制度妥善处理，排除故障，减轻损失，追究责任。重大生产安全事故应当启动应急预案，同时按照国家有关规定及时报告，严禁迟报、谎报和瞒报。 (三)产品质量环节的关键控制点及控制措施 1建立健全产品质量标准体系。2建立严格质量控制和检验制度。 3加强产品售后服务。 (四)环境保护与资源节约环节的关键控制点及控制措施 企业应当按照国家有关环境保护与资源节约的规定，结合本企业实际情况，建立环境保护与资源节约制度。企业应当重视生态保护，加大对环保工作的人力、物力、财力的投入和技术支持，不断改进工艺流程，降低能耗和污染物排放水平，实现清洁生产。企业应当加强对废气、废水、废渣的综合治理，建立废料回收和循环利用制度。应当重视资源节约和资源保护，重视国家产业结构相关政策，特别关注产业结构调整的发展要求，加快高新技术开发和传统产业改造，切实转变发展方式，实现低投入、低消耗、低排放和高效率。建立环境保护和资源节约的监控制度，定期开展监督检查，发现问题，及时采取措施予以纠正。污染物排放超过国家有关规定的，企业应当承担治理或相关法律责任。发生紧急、重大环境污染事件时，应当启动应急机制，及时报告和处理，并依法追究相关责任人的责任。 (五)促进就业与员工权益保护环节的关键控制点及控制措施 企业应当依法保护员工的合法权益，贯彻人力资源政策，保护员工依法享有劳动权利和履行劳动义务，保持工作岗位相对稳定，积极促进充分就业，切实履行社会责任同时应避免在正常经营情况下批量辞退员工，增加社会负担。 企业与员工签订并履行劳动合同，应遵循按劳分配、同工同酬的原则，建立科学的员工薪酬制度和激励机制，不得克扣或无故拖欠员工薪酬。应建立高级管理人员与员工薪酬的正常增长机制，切实保持合理水平，维护社会公平。 在社保方面，企业应及时办理员工社会保险，足额缴纳社会保险费，预防、控制和消除职业危害；按期对员工进行非职业性健康监护，对从事有职业危害作业的员工进行职业性健康监护；同时企业应遵守法定的劳动时间和休息休假制度，确保员工的休息休假权利。 企业应当加强职工代表大会和工会组织建设，维护员工合法权益。企业应当按照产学研用相结合的社会需求，积极创建实习基地，大力支持社会有关方面培养、锻炼社会需要的应用型人才。 五、企业文化控制企业文化，是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。 (一)企业文化建设中的主要风险 1缺乏积极向上的企业文化，可能导致员工丧失对企业的信心和认同感，企业缺乏凝聚力和竞争力。 2缺乏开拓创新、团队协作和风险意识，可能导致企业发展目标难以实现，影响可持续发展。 3缺乏诚实守信的经营理念，可能导致舞弊事件的发生，造成企业损失，影响企业信誉。 4忽视企业间的文化差异和理念冲突，可能导致并购重组失败。 (二)企业文化培育环节的关键控制点及控制措施1企业应当积极培育具有自身特色的企业文化。 2企业应当培育体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神，以及团队协作和风险防范意识。3企业应当根据发展战略和自身特点，总结优良传统，挖掘文化底蕴，提炼核心价值，确定文化建设的目标和内容，形成企业文化规范，使其构成员工行为守则的重要组成部分。 4董事、监事、经理和其他高级管理人员应当在企业文化建设中发挥主导和垂范作用，以自身的优秀品格和脚踏实地的工作作风，带动影响整个团队，共同营造积极向上的企业文化氛围。企业应当促进文化建设在内部各层级的有效沟通，加强企业文化的宣传贯彻，确保全体员工共同遵守。 5企业文化建设应当融入生产经营过程，切实做到文化建设与发展战略的有机结合，增强员工的责任感和使命感，促使员工自身价值在企业发展中得到充分体现。 6企业应当重视并购重组过程中的文化建设，平等对待被并购方的员工，促进并购双方的文化融合。 (三)企业文化评估环节的关键控制点及控制措施 1.企业应当建立企业文化评估制度。 2.企业文化评估，应当重点关注董事、监事、经理和其他高级管理人员在企业文化建设中的责任履行情况、全体员工对企业核心价值观的认同感、企业经营管理行为与企业文化的一致性、企业品牌的社会影响力、参与企业并购重组各方文化的融合度，以及员工对企业未来发展的信心。 3. 企业应当重视企业文化的评估结果，巩固和发扬文化建设成果，针对评估过程中发现的问题，研究影响企业文化建设的不利因素，分析深层次的原因，及时采取措施加以改进。