立体车库公司治理总结（参考）

《立体车库公司治理总结（参考）》由会员分享，可在线阅读，更多相关《立体车库公司治理总结（参考）（94页珍藏版）》请在装配图网上搜索。

1、泓域/立体车库公司治理总结立体车库公司治理总结xxx集团有限公司目录一、 公司治理的特征4二、 公司治理的定义6三、 公司治理原则的内容13四、 公司治理原则的概念19五、 风险的分类和评估20六、 风险的概念及其分类22七、 目标设定的含义24八、 内部控制目标的设定28九、 风险图谱31十、 风险分析的方法32十一、 组织架构39十二、 人力资源45十三、 内部环境如何发挥作用49十四、 控制的层级制度50十五、 企业内部控制规范体系的结构52十六、 内部控制的相关比较53十七、 内部控制57十八、 企业风险管理60十九、 产业环境分析69二十、 必要性分析72二十一、 项目基本情况73二

2、十二、 组织架构分析78劳动定员一览表79二十三、 法人治理结构80二十四、 发展规划91一、 公司治理的特征广义地讲，公司治理是公司运作的全部准则，包括法律指引、社会标准、道德行为的普遍标准及利益相关者之间的关系。公司治理的核心是在创造财富所需的效率最大化和确保控制方对利益相关者尽职这两者之间取得复杂的平衡模式。（一）公司治理的动态性公司治理的动态性有两个方面的含义：其一是指一个具体的公司在不同的发展阶段有与它相适应的公司治理机制；其二是指不同时代的公司治理也有那个时代独有的特点与内容。到目前为止，公司治理理念经历了四个阶段：20世纪70年代管理层中心主义阶段、80年代股东会中心主义阶段、9

3、0年代董事会中心主义阶段和21世纪利益平衡/风险控制阶段。（二）公司治理的合约性公司治理的合约性是指公司各利益关系人通过签订合约来规定各自的权、责、利。公司治理是一种合约关系，但是由于各利益关系人的行为具有有限理性和机会主义的特征，所以这些合约不可能是完全合约，只能是一种关系合约。所谓关系合约是指合约各方并不要求对行为的详细内容达成协议，而是对总目标、总原则、遇到问题时的决策规则、分享决策权以及解决可能出现的争议的机制等达成协议，从而节约了不断谈判、不断缔约的成本。公司治理以公司法和公司章程为依据，在本质上就是这种关系合约。它以简约的方式规范公司各利益相关人的关系，约束他们之间的交易，来实现公

4、司交易成本的比较优势。（三）公司治理的法治性国家为保护公司各利益关系人的利益，往往通过制定有关法律法规来规范公司的治理。我国也通过公司法证券法中国上市公司治理准则和其他有关法律法规来规范我国的公司治理。公司各利益关系人的权、责、利需要在有关法律的基础上加以明确。公司治理机制完善与否，取决于国家有关法律法规完善与否。在现阶段，我国尤其应重视对大股东、董事、监事、高级管理人员法律责任的研究，这是我国公司治理的关键内容之一。（四）公司治理的制约性公司治理强调公司股东、董事会、监事会、经理人员之间的责、权、利配置及相互制衡。在公司治理中，所有者将自己的资产交给公司董事会托管。公司董事会是公司的决策机构

5、。高级经理人员受雇于董事会，组成在董事会领导下的执行机构，在董事会的授权范围内经营企业。监事会同时对董事会、经理人员进行监督。公司治理的制约性不仅体现在公司内部要相互制约，而且在公司外部也还有社会审计、政府有关机构等社会力量对公司内部人员进行监督。（五）公司治理的价值导向性公司的本质是进行价值创造，公司治理的好坏不能仅以是否实现有效制衡作为衡量的标准，而更应看它促进公司价值创造活动的有效性。公司治理的价值导向性主要是指合理的公司治理要能保证公司对市场的适应性，公司应根据产品市场、资本市场、人才市场、技术市场等市场的变化，较快地调整公司管理策略和投资策略，使公司在市场竞争中居于有利位置，实现公司

6、价值最大化。（六）公司治理的地域性公司治理的地域性是指由于不同国家或地区具有不同的政治、经济、法律、文化等背景，公司治理也会存在不同的模式。目前国外就存在着英美模式、德国模式、日本模式、东亚模式等不同的公司治理模式。随着社会的进步、各国的经济文化交流的加强，公司治理有趋同的特点，但是各国经济文化发展的不均衡性及各国原有文化基因的不同特点，仍然会使各国的公司治理保持一定的特色。二、 公司治理的定义（一）公司治理概念的文献回顾在不同的背景下，从不同的角度观察，公司治理有着诸多含义，加之机构和个人在实践中也形成了对公司治理的不同理解，因此如何定义公司治理，诸多学者和机构的看法见仁见智。比较典型的观点

7、有以下几种。迈克尔詹森和威廉麦克林1976年提出，由于股东和经理人员存在目标不一致性公司治理的目的就是为了协调经理人员和股东的诱因和动机，并使经理人员的自利行为产生的总成本降到最低。另一种对公司治理基本问题的解释是科克伦和沃特克提出的。他们在1988年发表的公司治理一文献回顾一文中指出：公司治理问题包括高级管理层、股东、董事会和公司其他利害相关者的相互作用中产生的具体问题。构成公司治理问题的核心是：（1）谁从公司决策和高级管理层的行动中受益？（2）谁应该从公司决策高级管理者的行动中受益？一旦“是什么”与“应该是什么”之间存在不一致，则一个公司的治理问题即会出现。为了进一步解释公司治理所包含的问

8、题，他们将公司治理分为四个要素，其中每个要素中的问题均由与高层管理者和其他利益相关者（或利益相关集团）相互作用有关的“是什么”与“应该是什么”之间的不一致引起的。具体而言，表现在管理者有优先控制权，董事过分屈从于管理者，工人在公司管理上没有发言权以及政府注册规定过于宽容，而每个要素关注的对象则是利益相关者（或利益相关集团）中的一个，例如股东、董事会、工人与政府，对于这些问题，可以通过加强股东的参与、重构董事会、扩大工人民主以及严格政府管理来解决。英国牛津大学管理学院院长柯林梅耶1995年将公司治理解释为一种制度安排，他在市场经济和过渡经济的企业治理机制一文中，把公司治理定义为“公司赖以代表和服

9、务于他的投资者的一种组织安排。它包括从公司董事会到执行经理人员激励计划的一切东西公司治理的需求随市场经济中现代股份有限公司所有权和控制权相分离而产生”。奥利弗哈特1995年提出了一个公司治理理论的分析框架，其认为，只要存在两个条件，则公司治理问题必然会在一个组织中产生：第一个条件是代理问题，确切地说是组织成员（可能是所有者、工人或消费者）之间存在利益冲突；第二个条件是交易成本最大使得代理问题不可能通过合约解决。公司治理可以被看作一种机制安排，用于制定那些事先未能做出的决策，治理机制分配公司非人力资本的剩余控制权，即资产使用权如果在初始合约中未做出安排，治理结构决定其将如何使用。钱颖一教授199

10、5年认为，所谓公司治理结构，是指一套制度安排，用以支配若干在公司中有重大利害关系的团体一一投资者（股东与贷款人）、经理人员、职工之间的关系，并从这些联盟中实现经济利益，其中包括如何配置与行使控制权，如何监督与评价董事会、经理人员及职工，以及如何设计与实施激励机制。一般而言，良好的公司治理结构能够利用这些制度安排的互补性质，并选择一种结构来降低代理成本。张维迎教授也认为，公司治理是一种制度安排，是指有关公司董事会的功能、结构，股东的权力等方面的制度安排，是有关公司控制权和剩余索取权分配的一整套法律、文化和制度性安排。李维安教授认为，狭义的公司治理，是指所有者（主要是股东）对经营者的一种监督与制衡

11、机制，其主要特点是通过股东大会、董事会、监事会及管理层所构成的公司治理结构的内部治理；广义的公司治理则是通过一套包括正式或非正式的、内部或外部的制度或机制来协调公司与所有利益相关者（股东、债权人、供应者、雇员、政府、社区）之间的利益关系。吴敬琏教授在现代公司与企业改革一书中指出，所谓的公司治理结构是指由所有者、董事会和高级执行人员（即高级经理人，员）三者组成的一种组织结构。在这种结构中，上述三者之间形成一定的制衡关系。诸多国际组织也对公司治理进行了定义和说明，其中以英国卡德伯利报告和经济合作与发展组织出台的公司治理原则最具代表性。英国伦敦证券交易所在1991年成立了专门负责调研和研究公司治理问

12、题的卡德伯利委员会。该委员会于1992年提交了一份卡德伯利报告。该报告认为，公司有效管理的一个重要方面就是实现公司的内部控制。报告建议董事们对公司内部控制的有效性进行描述，同时规定建立审计委员会，并对公司的内部控制声明进行复核。OECD公司治理原则（2004）指出，公司治理是一种对工商业公司进行管理和控制的体系，该体系包含管理层、董事会、股东和其他利益相关者的一整套关系。它明确规定了公司的各个参与者的责任和权力分布，详细描述了决策公司事务时所应遵循的规则和程序，还提供了设置和实现公司目标和监控运营的手段，决定了公司的架构。良好的公司治理应该能形成适当激励，使董事会和管理层能够做出有益于股东和其

13、他利益相关者的决策，并能够发挥有效的监督作用，更好地利用公司所属资源。针对2008年金融危机暴露出来的公司治理存在的问题以及机构投资者由于投资链拉长、被动投资等对参与公司治理的消极影响，在2015年颁布的G20/OECD公司治理原则（以下简称OECD新原则）中，对OECD公司治理原则（2004）中提出的机构投资者的作用做了进一步的强调，在体例上新增了第三章“机构投资者、证券交易所和其他中介机构”。第三章的7条规定中有4条是关于机构投资者参与公司治理的规范。OECD新原则第三章的导语开宗明义地提出“公司治理框架应当在投资链条的每一环节中都提供健全的激励因素”，就是针对投资链拉长的情况，强化投资链

14、上各个责任主体的职责履行，倡导建立激励兼容的制度安排。（二）对公司治理概念的理解一般来说，公司治理可以分为狭义和广义两种。狭义的公司治理是指对公司董事会的功能、结构、股东的权力等方面所做的制度安排，关注于解决公司内部的所有权安排、激励机制，股东大会、董事会、监事会结构等内部管理问题。广义的公司治理是指有关公司控制权和剩余索取权分配的一套法律、文化和制度性安排，既包含公司内部治理所涉及的公司所有权结构、控制权结构、内部治理机构和激励机制，又包含由外部市场机制、政府机制和社会机制等共同构成的公司外部治理。公司治理涉及的各利益相关者，包括股东、债权人、供应商、雇员、政府和社区等与公司有利益关系的集团

15、，是一个多层次的概念，且随着社会经济的发展和公司内涵的发展而变化。综上所述，我们认为，所谓公司治理，就是基于公司所有权与控制权分离而形成的公司的所有者、董事会和高级经理人员及公司利益相关者之间的一种权力和利益分配与制衡关系的制度安排。其包括公司治理结构与公司治理机制两部分。（1）公司治理是研究企业诸多利益相关者的一门科学。企业利益相关者就是任何可能影响企业目标或被企业目标影响的个人或集团，包括所有者（股东）、董事会、经理层、债权人与债务人、员工、供应商与客户、政府与社会等，这些利益关系决定企业的发展方向和业绩。（2）公司治理是研究企业权力安排和利益分配的一门科学。从，狭义角度上理解，是基于企业

16、控制权层次，研究如何授权给职业经理人并针对职业经理人履行职务行为行使监管职能的科学。企业控制权划分为特定控制权和剩余控制权。特定控制权是指那种能在事前通过契约加以明确界定的权力，剩余控制权是指那种事前没有在契约中明确界定如何使用的权力，是决定资产在最终契约所限定的特殊用途之外如何被使用的权力。股东对公司的所有权包含了剩余索取权和剩余控制权，前者是以股权比例反映的收益权。（3）公司治理是研究企业各利益主体在权力和利益之间相互制衡的一门科学。制衡是公司治理最重要的机制，公司治理就是要使各利益主体在权利、义务、责任和利益间建立相互制衡的制度，共同对公司和全体股东负责。然而，公司治理的目的并不是相互制

17、衡，制衡只是保证公司科学决策的方式和途径。三、 公司治理原则的内容针对公司治理，经济合作与发展组织早在1999年就出台了公司治理准则，旨在帮助其成员及非成员评估和改善其经济法律法规和制度体系，以提高公司治理水平。中国各级监管部门也相应出台了相关指引和要求，包括中国证券监督管理委员会和国家经济贸易委员会于2002年1月联合发布的上市公司治理准则，以推动上市公司建立和完善现代企业制度，规范公司运作，完善公司治理。为了满足机构投资者对公司治理质量的关注，各国与各组织纷纷推出了公司治理原则。直以来，OECD公司治理原则（以下简称原则）都被认为是全球范围内政策制定者、投资人、公司和其他利益相关者的国际标

18、准。2002年，OECD公司治理指导小组对原则进行了重新审议，目前的原则是体现各成员及非成员公司治理挑战及经验的范本。原则是一个灵活的工具，提供了适用于各个国家和地区特殊情况的非约束性标准、良好实践和实施指南。（一）确保有效公司治理框架的基础为了确保一个有效的公司治理框架，需要建立一套适当且行之有效的法律、监管和制度基础，以便所有的市场参与者都能够在此基础上建立其私有的契约关系。这种公司治理框架，通常是以一国特殊的自身环境、历史状况以及传统习惯为基础建立的一套由法律、监管、自律安排、自愿承诺和商业实践等要素所构成的体系。其具体要求如下。（1）建立公司治理框架应该考虑到它对整体经济绩效的影响、市

19、场的信誉度的提高、由它而产生的对市场参与者的激励机制以及对市场透明度和效率的促进。（2）在一个法域内，影响公司治理实践的那些法律的和监管的要求应符合法治原则，并且是透明和可执行的。（3）一个法域内各管理部门间责任的划分应该明确衔接，并保证公共利益得到妥善保护。（4）监督、监管和执行部门应当拥有相关的权力、操守和资源，以专业、客观的方式行使职责，对它们的决定应给予及时、透明和全面的解释。（二）股东权利与关键所有权功能公司治理框架应该保护和促进股东权利的行使。在此方面除了确保股东基本权利的行使外，还应当获得有效参加股东大会与涉及公司重大变化的决定，并得到相关方面的通知。此外，公司应当披露特定股东获

20、得与其股票所有权不成比例的控制权的资本结构和安排，允许公司控制权市场以有效和透明的方式运行，为所有股东行使所有权创造有利条件。（三）平等对待股东资本市场的一个重要因素是，投资者确信其所提供的资本会受到保护以及不受公司管理者、董事或控制性股东滥用或不当挪用。公司治理框架应当确保所有股东（包括少数股东和外国股东）受到平等对待。当其权利受到侵害时，所有股东应能够获得有效赔偿。原则中规定，合理的公司治理结构原则应当在此方面实现：（1）同类同级的所有股东都应享有同等待遇；（2）应禁止内部人交易和滥用权力的自我交易；（3）应要求董事和主要执行人员向董事会披露，他们是否在任何直接影响公司的交易或事务中有直接

21、、间接或代表第三方的实质性利益。（四）利益相关者在公司治理中的作用公司治理的一个关键方面是关于确保外部资本以权益和债务两种形式流入公司，因此公司治理框架应承认利益相关者的各项经法律或共同协议而确立的权利，并鼓励公司与利益相关者之间在创造财富和工作岗位以及促进企业财务的持续稳健性等方面展开积极合作。（五）信息披露与透明度公司治理框架应确保及时准确地披露公司所有重要事务的信息，包括财务状况、绩效、所有权和公司的治理。一个健全的信息披露制度能够推动真正透明的产生，这是以市场为基础公司监控的关键特征，也是股东得以在充分信息的基础上行使股东权利的核心。一个健全的信息披露制度有助于资本市场吸引资本和保持信

22、心。信息披露也有助于加强公众对企业的组织和活动、公司政策和绩效以及公司与所在社会关系的理解。（1）应当披露的重大信息。应当披露的重大信息至少包括：公司的财务状况及经营成果；公司目标；主要的股份所有权和投票权；董事和主要执行人员，以及他们的报酬；重要可预见的风险因素；与雇员和其他利益相关者有关的重要问题；治理结构和政策。公司应报告在实际工作中其怎样运用相关的公司治理结构原则。管理结构和公司政策的披露，特别是股东、经理层和董事会成员之间权力的划分，对评估公司的治理结构是很重要的。（2）应根据高质量的会计标准、金融和非金融披露及审计标准，对信息进行准备、审计和披露。（3）在准备和提交财务报表时，为提

23、供外部和客观的保证，年审应由独立审计员进行。（4）信息传播渠道应当使用户公正、及时、费用合理地获得有关信息。（六）董事会的责任董事会是在股东大会上由全体股东选出的董事所组成、代表股东的利益和意志、执行公司业务的常设权力机构，董事会对股东会或股东大会负责，向股东会或股东大会报告工作。董事会是公司治理结构中的一个重要因素，甚至可以说是中心组成部分。董事会的运作方式和效率直接决定了公司治理的质量。论及董事会的责任，必然涉及董事会向谁负责的问题。传统观点认为，董事会应向股东负责。董事会是由股东选举和任命的、接受全体股东的委托、承担受托责任的权力机构，董事会当然要向委托人负责。从另一方面来看，股东是公司

24、的唯一所有者，作为公司的权力机构也应向其所有者负责。从法律角度考察，以“董事会应向公司负责”的表述更为恰当。其一，董事会绝不仅仅是一个受托机构，董事会是公司的决策机构和权力机构，董事会承担着设定公司目标，制定公司战略、计划和政策等责任。如果董事会仅向股东负责，当出现股东利益与公司利益不一致时，董事会的决策可能会使公司丧失良好的发展机会或失败。美国在20世纪80年代出现的恶性并购就是一个恰当的说明。其二，企业是一系列契约的联结，“在法律意义上，股东并不是公司的所有者，公司与全体股份有所不同”。1909年，英国上诉法院在关于留声机和打字机有限责任公司诉斯坦利的判决中明确规定，公司既不是股东的代理人

25、，也不是他们的托管人。大法官巴克利勋爵否决了认为在实践中股东可以被视为其公司的观点。同时，他认为：“董事不是服从某个作为个人的股东发出的指令的仆人，而是按照规定被授予公司控制权的人；一旦被授予权力，只有达到或超过足以修改公司章程的决定多数股东的否决，他们才会失去控制权。即使所有股东都作为个人行动时发出同一指令，董事们也没有义务服从这个指令。”公司治理框架应确保董事会对公司的战略指导和对管理层的有效监督，确保董事会对公司和股东的受托责任。公司董事会成员应在全面了解情况的基础上，诚实、尽职、谨慎地开展工作，最大限度地维护公司和股东的利益。尽管世界上并不存在单一的良好的公司治理模式，但是许多经济组织

26、和研究机构（如OECD等）认为，良好的公司治理是构建在一些共同要素基础之上的。因此，构建在这些共同要素之上并且包容已有的各种不同模式的公司治理原则，是有相当的实用价值的。它既是改善公司治理的标准和方针政策，也是公司管理层次的实务原则，对政府的政策制定和市场参与者的实务操作都有重要的参考作用。四、 公司治理原则的概念广义的公司治理原则包括有关公司治理的准则、报告、建议、指导方针和最佳做法等，它通过一系列规则建立一套具体的公司治理运作机制，维护投资者和其他利害相关者的利益，促进公司健康发展实现公司的有效治理。公司治理原则可以帮助政府对本国公司治理方面的法律、制度和管理机制框架进行评估、改进，也可以

27、为上市公司（甚至是非上市公司）建立良好的公司治理提供指导、借鉴，还对股票交易所、投资者和其他在建立良好的公司治理中起作用的机构提供了参考和建议。公司治理原则不具有强制约束力，其目的不在于制定详细的国家立法，而是为人们提供某种参考。比如政策制定者在审查并制定反映本国特定的经济、社会、法律和文化环境特色的有关公司治理的法律和监管框架时，可以公司治理原则为参考；再如市场参与者，可以参考公司治理原则制定自身的公司治理制度。公司治理原则是不断发展的，因此应根据环境的重大变化不断重新对其进行审查。为了在这个不断变化的世界中保持竞争地位，公司必须不断创新并使自己的公司治理状况适应变化了的环境，这样才能使公司

28、不断满足新的需求，抓住新的机遇。同样，政府有义务制定一个有效的规范框架，保持足够的灵活性，使市场能够有效地发挥作用并能对股东和利益相关者的期望做出反应。政府和市场参与者可以根据成本与收益的比例，自己决定是否采纳这些原则。五、 风险的分类和评估（一）风险的分类企业所面临的风险从来源上分，有企业内部和外部两个方面。外部风险包括：科技发展带来的企业技术、管理、信息等方面的风险；顾客需求或预期改变；竞争的存在；自然灾害；政治事件；经济环境的改变等。内部风险主要有：员工的素质和能力；经理人的责任改变；董事会或监督委员会的责任履行情况等。从企业能否对风险进行控制来分，风险分为可控风险和不可控风险两种。（二

29、）风险评估风险评估是一个比较宽泛的概念，在有的内部控制或风险管理标准中，风险评估就是风险管理，包括了风险管理的全过程，可以说是风险管理的代名词。而在有的内部控制或风险管理标准中，风险评估是全面风险管理的一个步骤，包括内容有多有少，如目标确定、风险识别、风险分析、风险评价以及风险应对等。1、COSO92关于风险评估概念COSO内部控制整体框架把风险评估列为内部控制的五要素之内部控制整体框架认为，风险评估是指单位为实现其目标而确认的相关风险，以构成进行风险管理的基础。单位风险可能来自于：（1）经营环境的变化；（2）聘用新的员工；（3）采用新的或改良的信息系统（4）迅猛的发展速度；（5）新技术的运用

30、（6）新的行业、产业或经营活动的开发；（7）企业改组；（8）海外经营；（9）新的会计方法的采用。2、COSO04关于风险评估概念企业风险管理整体框架指出风险评估要对识别的风险进行分析，以便确定对他们进行管理的依据。强调风险评估是风险管理的一个步骤，相当于我国企业内部控制基本规范的风险分析。3、我国企业内部控制基本规范关于风险评估概念我国企业内部控制基本规范借鉴企业风险管理整体框架，认为风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，从而合理确定风险应对策略。即为识别、分析、管理与企业活动相关的市场风险、政策风险、法律风险、汇率风险、经营风险等各种风险而建立的机制。该概念

31、沿用COSO92的要素理念，是相对宽泛的概念，包括COSO04目标设定、事项识别、风险评估和风险应对四大要素的组合。六、 风险的概念及其分类古人说：“宜未雨而绸缪，毋临渴而掘井。”企业在生产经营的过程中，面临着诸多的风险，如果我们没有妥善地处理，风险事故一旦发生，轻则影响生产经营稳定和企业经济效益，重则危及企业的生存。因此风险评估的目的是为了给企业造就一个安全稳定的生产经营环境，这有助于增加领导层经营管理决策的正确性，进而提高企业的经济效益。（一）风险的概念企业在经营活动中，会遇到各种不确定性事件，这些事件发生的概率及其影响程度是无法事先预知的，进而影响企业目标的实现。所谓风险，就是在一定环境

32、下和一定限期内客观存在的、影响企业目标实现的各种不确定性事件。或者说，风险就是指在一个特定的时间内和一定的环境条件下，人们所期望的目标与实际结果之间的差异程度。因此，风险是一个事项将会发生并给目标实现带来负面影响的可能性。风险具有客观性、普遍性、潜在性、必然性、可识别性、可控性、损失性和不确定性等特点，风险与机会同在。COSO企业风险管理新框架（2016）指出风险是指事项发生并影响战略和业务目标之实现的可能性。该定义兼顾了正面和负面的影响，这和国际风险管理标准ISO31000及中国风险管理标准GBT24353是一致的。为了与我国内部控制规范一致，本书采用COSO04的定义。（二）风险的构成要素

33、风险一般包括以下三项构成要素。1、风险因素风险因素是指促使某一特定风险事故发生或增加其发生的可能性或扩大其损失程度的原因或条件。它是风险事故发生的潜在原因，是造成损失的内在或间接原因。例如，对于建筑物而言，风险因素是指其所使用的建筑材料的质量、建筑结构的稳定性等；对于人而言，则是指健康状况和年龄等；对于企业而言，风险因素则包括企业人员因素、结构因素、外部环境因素等。2、风险事故风险事故也称风险事件，是指造成伤害或财产损失的偶发事件是造成损失的直接的或外在的原因，是损失的媒介物，即风险只有通过风险事故的发生才能导致损失。就某一事件来说，如果它是造成损失的直接原因，那么它就是风险事故；而在其他条件

34、下，如果它是造成损失的间接原因，它便成为风险因素。例如，对于企业而言，发生仓库货物被盗是风险事故，而安保系统不健全是风险因素。3、损失在风险管理中，损失是指非故意的、非预期的、非计划的经济价值的减少。通常可以将损失分为两种形态，即直接损失和间接损失。直接损失是指风险事故导致的财产本身损失和人身伤害，这类损失又称为实质损失：间接损失则是指由直接损失引起的其他损失，包括额外费用损失、收入损失和责任损失。七、 目标设定的含义我国内部控制基本规范第二十条规定，企业应当根据设定的控制目标，全面、系统、持续地收集相关信息，结合实际情况，及时进行风险评估。目标设定是风险识别、风险分析和风险应对的前提。在管理

35、当局识别和分析风险并采取行动来管理风险之前，首先必须有目标，确定与目标相关的风险，目标设定是风险评估的前提。目标设定分为三个层次，首先在企业既定的使命或愿景指导下，管理层制定企业的战略目标；其次根据战略目标制定业务层面的目标，并在企业内层层分解和落实；最后根据设定的目标合理确定企业整体风险承受能力和具体业务层次上可接受的风险水平。企业应当按照战略目标，设定相关的经营目标、财务报告目标、合规性目标与资产安全目标，并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。1、战略目标战略目标反映了管理层就主体如何努力为其利益相关者创造价值所做出的选择，是高层次的目标，与其使命

36、相关联并支撑其使命。企业在考虑实现战略目标的各种方案时，必须考虑与各种战略相伴的风险及其影响。战略目标方面的关注点主要包括：（1）对企业绩效现状进行的评估（2）对内部和外部环境的监测分析；（3）战略目标体系（4）战略选择遵循必要的流程，以及获得了充分的讨论；（5）对目标实现与现有资源状况之间的匹配程度进行的评估；（6）设定战略目标可接受程度；（7）就战略目标与企业内部员工和外部相关利益集团之间的沟通。2、经营目标经营目标与企业经营的效率与效果有关，包括业绩和盈利目标的实现，需要反映企业运营所处的特定经营、行业和经济环境。经营目标来自公司的战略目标和战略计划，并与之紧密联系，是随着具体对象和不同

37、时段制订的，这些目标应针对每个重要业务活动并与其他业务活动保持一致。经营目标方面的关注点主要包括以下几点：（1）经营目标与公司战略目标及战略计划一致；（2）经营目标适应公司所处的特定经营环境、行业和经济环境等；（3）各个业务活动目标之间保持一致；（4）所有重要业务流程与业务活动目标相关；（5）适当的资源及有效配置（6）管理层制定的公司经营目标及其对目标的负责程度。3、报告目标报告目标与财务报告及其相关信息的真实完整有关。可靠的报告能够为管理层提供适合其既定目标的准确而完整的信息，支持管理层的决策，并对主体活动和业绩实施有效监控。报告目标方面的关注点主要包括以下几点：（1）管理层决策及对公司活动

38、、业绩监控的准确、及时、完整的信息的对内报告；（2）满足投资者、监管部门及其他相关信息需求者真实、可靠、完整的信息的对外报告；（3）反映信息的全面性，包括财务信息与非财务信息。4、资产安全目标资产安全目标是内部控制的基本目标，包括：防止企业无效率经营，损失资产；防止员工舞弊；防止公司资产被盗等。资产的安全与完整对于我国企业尤其是国有企业具有非常重要的现实意义，近年来国有资产流失的案件屡有发生，内部控制应该把资产安全作为一个重要的目标来加以实现。资产安全目标方面的关注点主要包括以下几点：（1）关注企业日常经营活动的效率；（2）提高企业的生产力和竞争力；（3）防止资产缩水；（4）关注资产使用及处置

39、的授权情况。5、合规目标合规目标与企业各项活动的合法性有关。企业进行内部控制建设必须符合相关的法律和法规。企业需要根据相关的法律法规制定最低的行为标准并作为企业的遵循目标，企业的合规记录可能对它在社会上的声誉产生极大的正面或负面影响。合规目标方面的关注点主要包括：公司的各项活动符合法律法规的要求，通常涉及知识产权、市场、价格、税收、环境、员工福利以及国际贸易等。八、 内部控制目标的设定（一）制订战略目标企业的战略目标一般是稳定的，但与其相关的业务层面的目标具有动态性，会随着内部和外部的条件而调整。在企业风险管理目标的设计过程中，首先要确定企业层面的目标，即战略目标。战略目标需要通过董事会及员工

40、的相互沟通后确定，同时还要有支持其实现的资金预算及战略计划。战略目标的制订需要经过如下5个阶段。（1）明确企业发展目标。企业在长期规划中应明确自身的发展目标和发展方向，通过培训、发放宣传手册、领导讲话等方式将企业层面的目标清晰地传达给员工。（2）制订实现目标的战略规划。企业通过SWOT分析，在了解自身的优势、劣势、机会和威胁的基础上制订帮助企业实现目标的战略规划。（3）制订年度计划及资金预算。企业根据制订的中长期战略规划，编制年度经营计划。该年度经营计划应符合企业中长期战略规划的效益目标、投资方向和投资结构。（4）企业编制年度预算。企业应按照上下结合、分级编制、逐级汇总的原则编制全面预算，将战

41、略目标进一步分解、细化与落实。（5）企业编制企业预算管理办法，明确编制预算的基本原则、内容、编制依据等。（二）确定业务层面目标业务层面目标包括合规目标、资产目标、报告目标和经营目标它来自企业战略目标及战略规划，并制约或促进企业战略目标的实现。业务层面的目标应具体并具有可衡量性，并且与重要业务流程密切相关。业务层面目标的制订需要经过如下四个阶段。（1）设定业务层面目标。企业的总目标及战略目标规划为业务层面目标的设定指明了方向，业务层面根据自身的实际情况及总体目标的要求提出本单位的目标，通过上下不断沟通最终确定。（2）根据企业的发展变化，定期更新业务活动的目标。（3）配置资源以保证业务层面目标的顺

42、利实现。企业在确定各业务单位的目标之后，将人、财、物等资源合理分配下去，以保证各业务单位有实现其目标的资源。（4）分解业务目标并下达。企业确定业务层面的目标后，再将其分解至各具体的业务活动中，明确相应岗位的目标。（三）合理确定风险承受能力为了合理地确定风险承受能力，在目标设定阶段，企业必须解决以下3个基本问题。（1）风险偏好。风险偏好是指企业在实现其目标的过程中愿意接受的风险程度。可以采用定性和定量两种方法对风险偏好加以度量。风险偏好与企业的战略直接相关，在战略制定阶段，企业应进行风险管理，考虑将该战略的既定收益与企业的风险偏好结合起来，目的是帮助企业的管理者在不同的战略之间选择与企业的风险偏

43、好相一致的战略。（2）风险容忍度。风险容忍度是指在企业目标实现的过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可容忍限度。企业风险管理（2016）将风险容忍度确定为可接受的绩效变动区间，该定义更加明确和可度量，有助于组织在给定绩效目标下量化可以承受的风险边界。（3）风险组合观。风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施，以使企业所承受的风险在风险偏好的范围内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总风险可以超过企业总体的风险偏好范围。因此，应以企业总体的风险组合的观点看待风

44、险。九、 风险图谱风险图谱是风险分析的重要工具，通过分析公司的风险图谱，可以直观地看到公司的风险分布情况，从而确定风险管理的重要控制点和风险管理解决方案。风险图谱从风险发生的可能性和影响程度两方面对风险进行评级，风险评级要从固有风险、目标剩余风险和实际剩余风险三个层级进行。风险图谱被两条“等风险线”分隔为“红灯区”“黄灯区”和“绿灯区”（1）“红灯区”的风险大多集中在第一象限，其发生的概率和影响程度均较高。公司应该根据风险的属性和风险偏好来选择风险管理方案；（2）“黄灯区”的风险，有两种情况：处于第二象限的风险更多的是一些非常事件，但影响程度较大。对于这类风险，公司应该在采取防范措施的同时，制

45、订应急计划；处于第四象限的风险，其影响程度不是很高而发生概率偏高，这往往与日常经营和遵守法律方面的问题有关，这些风险的累计影响不可低估。对于这类风险要注意日常的管理和监控。（3）“绿灯区”的风险大多集中在第三象限，是指那些发生概率和影响程度均不太高的风险，通常在目前可以接受。公司可以取消与此风险相关的、多余的风险控制措施，从而减少成本和资源消耗以便管理更重要的风险。风险图谱不是一成不变的，公司应该定期评估风险，动态地对风险图谱进行调整和更新。十、 风险分析的方法风险分析的方法一般包括定量分析方法和定性分析方法。但当前最常用的分析方法一般都是定量和定性的混合方法，对一些可以明确赋予数值的要素直接

46、赋予数值，对难于赋值的要素使用定性方法，这样不仅可以清晰地分析企业资产的风险情况，而且也极大地简化了分析的过程，加快了风险分析的进度。（一）定量分析法定量分析法就是对风险的程度用直观的数据表示出来，其主要思路是对构成风险的各个要素和潜在损失的程度赋予数值或货币金额这样风险分析的整个过程和结果都可以被量化了。在度量风险的所有要素（资产价值、脆弱性级别等）中，风险分析人员计算资产暴露程度，计算控制成本以及确定所有其他值时，应尽量具有相同的客观性。风险大小的判断可以根据风险暴露的大小乘以风险发生的概率加以确定。目前比较常用的定量分析方法有：MPY（年度可能最大损失）值估计法、情景分析法、VAR（风险

47、价值）法、敏感性分析等。1、MPY值估计法MPY值估计法是评估一般危害性风险的方法，是指在某一特定年度中，单一风险单位或多个风险单位遭受一种或多种事故所致的最大总损失。年度最大可信总损失与年度预期总损失不同，年度预期损失是平均损失，而年度可信总损失与风险管理人员的主观判断有关。2、情景分析法情景分析法是通过假设、预测、模拟等手段生成未来情景，并分析其对目标产生影响的一种分析方法。该方法根据发展趋势的多样性，通过对系统内外相关问题的系统分析，设计出多种可能的未来前景，然后用类似于撰写电影剧本的手法，对系统发展态势做出详细的情景和画面的描述。当一个项目持续的时间较长时，往往要考虑各种技术、经济和社

48、会因素的影响，可用情景分析法来预测和识别其关键风险因素及其影响程度。情景分析法对以下情况特别有用：提醒决策者注意某种措施或政策可能引起的风险或危机性的后果；建议需要进行监视的风险范围；研究某些关键性因素对未来过程的影响；提醒人们注意某种技术的发展会给人们带来哪些风险。3、VAR法VAR法即风险价值法，是指在正常的市场条件和给定的置信度内，某种投资组合在既定时期内所面临的市场风险大小和可能遭受的潜在最大价值损失。VAR把对预期的未来损失的大小和该损失发生的可能性结合起来，不仅让投资者知道发生损失的规模，而且知道其发生的可能性，是一种数量化市场风险的重要度量工具。VAR法利用统计技术来度量投资风险

49、，对某个有价证券，在市场条件下，对给定的时间区间的置信水平a，VAR给出了该有价证券最大可能的预期损失，即可以保证损失不会超过VAR的概率为1a。计算VAR常用的方法主要有3种。（1）历史模拟法。该方法是借助于计算过去一段时间内的资产组合风险收益的频度分布，通过找到历史上一段时间内的平均收益以及在既定置信水平a下的最低收益率，计算资产组合的VAR值。（2）方差一协方差法。该方法的基本思路为：首先，利用历史数据计算资产组合的收益的方差、标准差、协方差；其次，假定资产组合收益是正态分布，可求出在一定置信水平下，反映了分布偏离均值程度的临界值；最后，建立与风险损失的联系，推导VAR值。（3）蒙特卡罗

50、模拟法。它是基于历史数据和既定分布假定的参数特征，借助随机产生的方法模拟出大量的资产组合收益的数值，再计算VAR值。4、敏感分析法敏感分析法是指通过对项目各种不确定因素在未来发生变化时对经济效果指标影响程度的比较，找出敏感因素，提出相应对策。它是在项目评价的不确定分析中被广泛运用的主要方法之一。在项目计算期内可能发生变化的因素主要有建设投资、产品产量、产品售价、主要原材料供应及价格、劳动力价格、建设工期及外汇汇率等。敏感性分析就是要分析预测这些因素单独变化或多因素变化时对项目内部收益率、静态投资回收期和借款偿还期等的影响。这些影响应是用数字、图表或曲线的形式进行描述，使决策者了解不确定因素对项

51、目评价的影响程度，确定不确定性因素变化的临界值，以便采取防范措施，从而提高决策的准确性和可靠性。各因素的变化都会引起效益指标的一定变化，但其影响程度却各不相同。有些因素小幅度变化，就能引起经济评价指标发生较大幅度的波动；而另一类因素即使发生了较大幅度的变化，对经济效益指标的影响也不是很大。一般把前一类因素称为敏感性因素，后一类称为非敏感性因素。敏感性分析的目的就是要筛选敏感性因素和非敏感性因素。敏感性分析的步骤如下。（1）确定敏感性分析指标。投资项目经济评价有一整套指标体系，在进行敏感性分析时，应选择最能反映项目经济效益的一个或几个主要指标进行分析。最基本的分析指标是内部收益率，根据项目的实际

52、情况也可选择净现值或投资回收期等指标，必要时可同时针对两个或两个以上的指标进行敏感性分析。（2）选择敏感性分析的不确定因素。影响项目经济效益指标的因素很多，如产品产量、价格、经营成本、投资额、建设期和生产期等。在实际的敏感性分析中，没有必要也不可能对所有因素进行分析。根据项目特点，结合经验判断选择对项目影响效益较大且重要的不确定因素进行分析。经验表明，应主要对销售收入、产品价格、产量、经营成本、建设投资等不确定因素进行敏感性分析。（3）确定不确定因素的变化范围。在选择不确定因素分析基础上，还要进一步分析不确定因素的可能变动范围。一般选择不确定因素变化的百分率为+5%、+10%、土15%、土20

53、%等，对于不便用百分数表示的因素，可采用延长一段时间表示，如延长一年。（4）计算敏感性分析指标。为较准确反映项目评价指标对不确定因素的敏感程度，分析不确定因素的变化使项目由可行变为不可行的临界数值，应计算敏感度系数和临界点指标。敏感度系数。敏感度系数指项目评价指标变化的百分率与不确定因素变化的百分率之比。敏感度系数高，表示项目效益对该不确定因素敏感程度高。临界点。临界点是指不确定性因素的变化使项目由可行变为不可行的临界数值，可采用不确定性因素相对基本方案的变化率或相对应的具体数值表示。当该不确定性因素为费用科目时，即为其增加的百分率，当其为效益科目时为降低的百分率。临界点也可用该百分率对应的具

54、体数值表示。当不确定因素的变化超过了临界点所表示的不确定因素的极限变化时，项目将由可行变为不可行。临界点的高低与计算临界点指标的初始值有关。若选取基准收益率为计算临界点的指标，对于同一个项目，随着设定基准收益率的提高，临界点就会变低；而在一定的基准收益率下，临界点越低，说明该因素对项目评价指标影响越大，项目对该因素就越敏感。从根本上说，临界点计算是使用插值法，也可以借助于计算机的相关软件，由于项目评价指标的变化与不确定因素变化之间不是直线关系，当通过直线图求解时也会存在一定的误差。（二）定性分析法定性分析法与定量分析法的区别在于不需要对资产及各相关要素的分配确定数值，而是赋予一个相对值。在风险

55、管理过程中，风险分析是最困难的。风险经理往往陷入两难的境地，即为了追求准确，就必须应用复杂的概率计算方法和采用精度较高的模型，但是限于资料的稀缺和时间的紧迫，这种方法或模型就被迫放弃。大多数的风险经理宁愿放弃准确度的较高要求而采用定性的预测方法，即将风险的概率估计予以主观量化。据统计，75%的项目经理采用的风险分析方法是专家调查打分法。例如，通过问卷、面谈及研讨会的形式进行数据收集和风险分析，这个方法涉及各业务部门的人员，这个过程带有一定的主观性，往往需要凭借专业咨询人员的经验和直觉，或者业界的标准和惯例，因此，为风险各相关要素（资产价值、威胁、脆弱性等）的大小或高低程度定等级时，可以运用定性

56、分析方法将风险分为高、中、低三个等级。通过这样的方法，对风险的各个分析要素赋值后，可以定性地区分这些风险的严重等级，避免了复杂的赋值过程简单且又易于操作。定性分析法的步骤一般如下。第一步，确定风险因素（或称威胁）发生的可能性。假定把威胁的可能性定为五级。第二步，通过风险分析对风险确定等级。风险等级一般可以分为高、中、低三个等级，也可以分为四级或者五级。第三步，根据上面两张表编制风险矩阵表。企业管理层肯定不能接受H，对M要根据具体情况考虑是否应采取相应的对策来减少这种风险，对L应当能接受，但需要加强对风险的控制，不使其损失面扩大。定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi方法

57、）、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。十一、 组织架构在我国内部控制框架中，组织架构、发展战略、人力资源、社会责任和企业文化均属于企业层面的控制（环境控制或基础控制），其风险及应对有别于业务层面的控制（应用控制）。（一）组织架构的内涵及风险应对1、组织架构影响因素分析2010年，五部委联合发布了企业内部控制配套指引。18个企业内部控制应用指引（简称应用指引）中有5个属于企业层面的内部环境类指引，包括组织架构、发展战略、人力资源、社会责任和企业文化。应用指引中内部环境类指引与基本规范中内部环境构成因素一一对应，同时，丰

58、富了基本规范的内涵并提升了我国内部环境构成因素体系的层次。组织架构指引认为组织架构是一项制度安排，明确了股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求，主要包括治理结构和内部机构设置。机构设置与权责分配互为因果，内部审计本身就属于组织的内部机构，因此，组织架构应包括治理结构、机构设置、权责分配和内部审计四个因素。在治理结构上，将股东大会纳入内部环境范畴（如发展战略方案需经股东会批准实施）。内部环境类指引紧扣发展战略做文章，企业要实施发展战略，必须要有科学的组织架构，履行一定的社会责任，配置合理的人力资源，形成积极向上的企业文化。从发展战略角

59、度看，企业的根本目的不是利润最大，也不仅仅是企业价值最大，而是更广义的社会责任最大。企业应履行社会责任，实现战略目标。2、组织架构的主要风险组织架构的风险主要来自两方面。（1）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能发生经营失败（2）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失，运行效率低下。3、组织架构风险的主要应对措施针对以上风险采取的主要应对措施有以下几个。（1）企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡机制。同时企业在重大决策、重大事项、重要人事

60、任免及大额资金支付业务等（即通常所说的“三重一大”）方面，应当按照规定的权限和程序实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策意见。（2）企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。（3）企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。（4）拥有子公司的企业，应当建立科学的投资管控制度，

61、通过合法有效的形式履行出资人职责、维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。对子公司控制一直是企业集团层面关注的一个重要问题，组织架构应用指引在综合调研的基础上提出此项要求，对实务操作具有重要指导作用。（二）治理结构公司制企业中股东大会（权力机构）、董事会（决策机构）、监事会（监督机构）、总经理层（日常管理机构）这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但并不能满足内部控制对企业组织结构的要求，内部控制机制的运作还必须在这一组织框架

62、下设立满足企业生产经营所需要的职能机构。企业内部控制基本规范第十四条规定：企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。因此，企业应当根据国家有关法律法规，结合企业自身股权关系和股权结构，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序；确保决策、执行和监督相互分离、有机协调；确保董事会、监事会和经理层能够按照法律、法规和企业章程的规定行使职权。企业应当在企业章程中规定股东大会对董事会的授权原则，授权内容应当明确具体。（三）机构设置及责权分配任何企业要达成其整体目标，必须构建一

63、定的组织机构。企业的组织机构提供了计划、执行、控制和监督活动的框架，确立了适当的沟通和协调渠道，保证了组织中成员具有与其所履行职责相适应的知识、经验和能力。对于企业而言，要根据公司的具体发展战略确定组织结构。企业内部控制基本规范第十四条要求企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权力与责任落实到各责任单位。组织机构是通过提供完整的架构作用于组织实现其目标的能力；是规定组织内部责任与授权的线型结构；是确认责任分配和授权的关键领域；功能是确认报告路径：机构设置必须覆盖计划、执行、控制、监督等组织活动的全部，其中，控制与监督的区别是，控制是保证正确执行计划的组织安排，而监督是

64、控制有效的组织安排；组织结构设计的哲学意义是“是什么”“做什么”“如何做”；机构设置要保证合理的流水线模式，部门设置少一个不够用、多一个又冗余，部门功能必须是线型的、支持的，而非拦截的。关键回答三个问题：所有的事是否都有人做？行为者是否充分授权行事？所有行为是否有人承担责任？组织结构设计不确定：对权力定义不清或定义错误，导致权力的涣散。权力与责任不对称，权力结构不稳定，权力成为公开招标物导致权力者互相冲突和耍政治手腕。企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权力与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工了解内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。按照基本规范的要求，机构设置及内控职责分工如下：（1）监事会对董事会建立与实施内部控制进行监督。（2）监事会对董事会建立与实施内部控制进行监督。（3）经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织