第一章 企业内控规范出台的背景和特点

《第一章 企业内控规范出台的背景和特点》由会员分享，可在线阅读，更多相关《第一章 企业内控规范出台的背景和特点（61页珍藏版）》请在装配图网上搜索。

1、第一章 企业内控规范出台的背景和特点第一节 企业内控规范的发布 企业内部控制基本规范已2008年5月22日正式发布； 企业内部控制配套指引（20项）于2010年4月26日正式发布。 企业内部控制规范的框架体系 （1）基本规范：处于最高层次，起统驭作用，是制定配套指引的的基本依据。 （2）应用指引：处于主体地位，是为企业建立健全内部控制体系提供的指引。 （3）评价指引：是为企业管理层对本企业内部控制有效性进行自我评价提供的指引。 （4）审计指引：是为注册会计师执行内部审计业务提供执业准则。 （5）解读（讲解）：是为宣传、领会、把握和运用配套指引的背景分析、释疑解惑与具体细节示范。 第二节 实施范

2、围与要求 企业内部控制基本规范要求自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。企业内部控制配套指引的实施范围和要求： （1）2011年1月1日起-在境内外同时上市的公司施行； （2）2012年1月1日起-在上交所和深交所主板上市的公司施行； （3）在此基础上，择机在中小板和创业板上市公司施行；（4）鼓励非上市大中型企业提前执行； （5）执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告； （6）同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。 上市公司聘请的会计师事务所应当具有证券、期货业务资格。

3、非上市大中型企业聘请的会计师事务所不要求一定具备证券、期货业务资格。第三节 出台背景（一） 为什么要出台跟实施这些内部控制？有些企业会有这样的误解：国家要跟企业作对！ 到学习了内部控制之后，运用到企业管理之中，就会发现：刚开始国家要求你搞企业内部控制，到后面演变成企业自己要搞。 学习企业内部控制的三大需求：（1）企业生存发展壮大之需。 为什么企业不能生存发展？根本原因是企业内部控制没有做好！只有企业的强大才有国家的强大，所以国家才会出台内部控制规范让企业实施。企业的生存发展之路充满了不确定性，充满了未知的危机。危机，危中有机，机中有危。内部控制做的好，危机也就是一个挑战的机会；反之，机会所带来

4、的危险会让企业陷进瘫痪。 俗话说：只有错买的没有错卖的。在现代社会，这句话已经不是一成不变的真理。就拿身边的股票来说，卖错股票的人和企业太多太多了。谁知道现在买进的股票将来就不会好呢！原来本分的人开始不老实了，放心的人开始给你捅了个大娄子等等，这些现象发生的根本原因都是内部控制没有做好。 美国国际公司AIG07年盈利达60亿美元，但08年第四季度单个季度亏损617亿美元，创了单季亏损的最低记录。全面亏损达990亿美元。第四节 出台背景（二） 09年4月30日，具有85年历史的美国第三大汽车商克莱斯勒公司宣布申请破产保护；09年6月1日，具有101年历史的全球汽车巨头美国通用公司向法院申请破产保

5、护。 调查统计表明：国际跨国公司的平均寿命达40年，而中国企业平均寿命，走出去的企业平均寿命为20年（跟国际接轨，接触较多先进管理方法）；一搬的企业平均为10年；而民营企业平均为2.9年。这些都跟企业的内部控制有关。 2010年7月，中石油在大连一个企业的码头出现去油管道爆炸造成火灾的重大事件。此次事件给社会带来的影响，给企业带来的损失，给环境造成的污染是难以估计的。据统计，企业每天处理事故花费达2200万元，短短几天就花了数亿元人民币。事后调查表明：这个事故是人为操作失误造成的。如果严格按照规范执行了，内部控制规范到位了，这个事故是可以避免的。 08年三鹿奶粉事件。第五节 出台背景（三）（2

6、）资本市场健康稳定发展之需。 资本主义市场对国家来讲非常重要，尤其是市场经济国家，如果没有资本市场的支撑，那么这个国家没有市场经济。企业可以通过资本市场筹集资金，增加自己的知名度等等。 那么如何做到资本市场健康稳定发展呢？只有从企业内部控制抓起，制定市场规则，使企业健康发展，才能保证资本市场健康发展。 中石化原董事长陈同海，利用职位之便，在企业经营转让土地方面为他人打开方便之门，收取1.95亿人民币，因受贿罪被判处死刑，缓期两年执行，剥夺政治权利终身。此次事件让股民对企业治理产生怀疑，对整个市场的信息有极大的影响。 08年金融风暴。 这些都说明企业内部控制没有做好，导致资本市场经济的发展不稳定

7、。因此要从企业内部控制入手，让资本市场健康稳定地发展。第六节 出台背景（四）（3）国际通行惯例之需。 在西方国家，尤其是以美国为代表的西方国家，已经在企业中实行内部控制自我评价，并把评价报告进行审批。以此来取信于民，取信于国家。 中国要走出去，必须遵循国家惯例，实行内部控制；中国要引进来，就要改善我们国家的软环境，也必须向国际惯例靠拢，实行内部控制。第七节 主要特点（一）（一）涵盖范围广泛 涵盖三大领域，即应用、评价与审计 覆盖四大流：资金流、物流、信息流和人力资源流（二）融入全新理念 由制约观念到发展观念； 由结果控制到过程控制； 由执行层面到决策层面； 由会计控制到综合控制；(由查错防弊到

8、全面风控） 由借鉴国际到自主创新； 由条块分割到一体化推进； 由强制遵循到内化融合； 由宽松披露到双重评价。 换句话说，该规范体系全面吸收了世界领域的先进观念与研究成果，充分体现了基本规范中的“四个五”的要求，真正将我国企业内部控制规范提高到了一个新的高度。 五个全（全方位、全时限、全过程、全方法和全人员）第八节 主要特点（二）（三）务实可行有效（1）该规范体系是在调研中形成，足迹遍布大江南北和世界各地。是在与广大企业高管和一线产销、投融资、内审乃至一般员工进行交流和磨砺的结果，是与国内外专家、学者进行讨论与碰撞的结晶。（2）按调研起草-形成初稿-再调研-再修改的循环，指引先后10易其稿，充分

9、体现了实事求是的作风。再最终稿形成前，工作组还分批封闭在北京一家宾馆长达45天，对于涉及把握不准的问题，还多次咨询企业老总和总会计师。（3）实用可行，能提供合理有效保障。尽管指引还有些粗（偏原则性的），但抓住了各个方面的主要矛盾（风险），且控制要求符合实际，严格按此执行能确保企业不出大的问题，实现控制目标。（四）地位影响特殊（1）由五大部委联合制定并发布。这在世界上独一无二。（2）世界第一套由政府主导的完整的内部控制规范体系。在境外国家或地区少有，如有，要么不完整、要么不系统，且均为民间组织制定的。（3）同时以两种文字发布，实际上也是向全世界发布。意在让世界了解中国此方面的进展，还有扩大中国内

10、部控制在世界范围话语权与影响的目的（中国版的报告）。世界银行高级财务管理专家陈楠希女士、国际会计准则理事会主席戴维泰迪爵士、国际会计师联合会理事乔伊斯林莫顿女士、香港会计师公会会长冯英伟、澳门财政局局长期容光亮在发布上对中国企业内部控制规范体系给予了很高的评价。美国COSO委员会主席戴维兰迪思特先生发来的贺信，对中国这套企业内部控制规范体系给予了高度肯定和祝贺。第二章 企业内部控制基本规范-观念碰撞与误区辨析第一节 关于内部控制的目标（一）目标决定策略、规划和行动传统观念：三大目标（1）保护资产的安全完整（2）保证会计信息的质量（3）确保有关法律法规和规章制度的贯彻执行第二节 关于内部控制的目

11、标（二）我国“内部会计控制规范基本规范”（2001.6.22起试行）内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。新的观念：四大主要目标（1）战略目标。即合理保证企业发展战略的合理性。第三节 关于内部控制的目标（三）（2）经营目标。即合理保证企业经营的有效性和效率。（3）报告目标。即合理保证企业报告的有效性。（4）合法性目标。即合理保证企业的生产经营活动符合相关的法律和法规。发展战略是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划 。企业发展战略与企

12、业的任务和预期相联系，事关企业的发展方向甚至生死存亡，不容有误。企业发展战略的特点：全局性、长远性、指导性、竞争性、风险性。即合理保证企业发展战略的合理性。企业发展战略：从过程看，包括战略方向、战略目标、战略规划、战略实施。 从范围看，包括总体战略、具体战略。从内容看，包括竞争战略、合作战略、组织战略、营销战略、人力资源战略、财务战略、生产战略、研发/技术战略、跨国 经营战略、产品战略、投资战略、防守战略、文化战略等。 实行发展战略首先必须明确战略方向，明确在相当长的战略时期中，企业准备做什麽。例如： （1）提供什么产品或服务？ （2）采用什么技术？ （3）面向什么客户群？ （4）满足客户什么

13、需求？ （5）经营范围多大？ （6）是否实行多元化经营？ （7）企业要对社会经济发展承担哪些责任？等 这些方向性的决策多由企业高层决策部门作出，无不充斥着风险，均需要内部控制提供合理保证。“规范”指明了企业制定与实施发展战略至少应当关注的风险（第2号应用指引-发展战略）（1）缺乏明确的发展战略或发展战略实施不到位 可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。如铁矿石；地震翻身；俄罗斯石油天然气管道。（2）发展战略过于激进 脱离企业实际能力或偏离主业，可能导致企业过度扩张甚至经营失败。（3）发展战略因主观原因频繁变动 可能导致资源浪费，甚至危及企业的生存和持续发展。明确化解发展战

14、略中的风险的主要方略： （1）规范设立和运行战略委员会； （2）明确要求在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标；(亚细亚扩张、长飞光纤光缆的专业经营） （3）强调战略规划应当根据发展目标制定，明确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径；(国美、石油天然气、人才战略；） （4）要求董事会从全局性、长期性和可行性等维度，严格审议战略委员会提交的发展战略方案，之后再报经股东（大）会批准实施； （5）要求企业根据发展战略，制定年度工作计划，编制全面预算，将年度目标分解、落实，确保发展战略有效实施； （6）设立了发展战略实施后评估制度。 要求实时监

15、控，定期收集和分析相关信息，对确需对发展战略作出调整的情形，明确要求企业要遵循规定的权限和程序调整发展战略。（外向型战略？两头在外战略？） 我国“企业内部控制基本规范”（财政部、 证监会 、审计署 、银监会、 保监会 2008.5.22联合发布，2009.7.1先在上市公司施行) 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 即将“资产安全”单独突出出来，形成第五大目标。第四节 关于内部控制的时空范围（一）传统观念或误区： （1）空间上是对会计、审计所涉范围的控制 （2）时间上是对事中和事后的控制新的观念与认识：

16、 （1）空间上是全方位的 （2）时间上是全时限的 事前、事中、事后第五节 关于内部控制的时空范围（二）产生误区的原因： （1）与内部控制的发展历史有关 内部控制的发展与会计和审计的发展关系紧密 内部控制曾在历史上就划分为内部会计控制和内部管理控制 （2）与“会计法”有关 会计法“第二十七条 各单位应当建立、健全本单位内部会计监督制度。”（3）与前几年财政部为加速内部控制建设的举措有关 （4）与人们的传统思维习惯有关 人们常常将内部控制、会计监督、会计监管混为一谈 只要关乎企业价值创造和价值最大化的所有领域和事项，均属于其控制的范围。包括： 战略性的和战术性的 文化的和非文化的 可量化的和非量化

17、的 道德的和非道德的 理性的和非与理性的 也就是说，内部控制的空间范围遍布内部控制各大要素所触及的方方面面，即企业上上下下、 左左右右所有大大小小的事项，大到公司治理结构，重大对内对外决策，小到一笔现金的支付，或者一张“对账单”的索取。第六节 关于内部控制的现实可行性（一） 误解：高深莫测、难以驾驭、难以实施、难有作为。 正解：局部确有难度、有反复、但总体上完全能够驾驭。 内部控制实际就在我们身边，只要我们有心，就可为，有可为。生活中随处可见内部控制 的士司机的“古怪”行为” 超市里的内部控制 医院“就医卡”内部控制效用 手机里的控制第七节 关于内部控制的现实可行性（二） 公交车中的内部控制

18、成都被烧公交车中逝去的“生灵”与内控制意第八节 关于内部控制的现实可行性（三）其他常见的内控现象： 令人不爽的告示牌： 财经重地，非请莫入 库房重地，闲人免进 令人烦恼的手续： 请你签字（或留下指纹） 请输入你的密码 令人熟悉的说法和作法： 一支笔 一人为私，二人为公 得控则强、失控则弱、无控则乱第九节 关于内部控制的主客体（一）传统观念或误区： （1）主体管理层、会计与审计人员 （2）客体各项能以货币计量的经济活动新的观念与认识： （1）主体企业董事会、监事会、经理层和全体员工 （2）客体与实现控制目标有关的所有活动 2004年9月29日COSO颁布的正式研究报告（企业风险管理整体框架） 企

19、业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。第十节 关于内部控制的主客体（二） 我国“企业内部控制基本规范”（财政部、 证监会 、审计署 、银监会、 保监会2008.5.22联合发布，2009.7.1先在上市公司施行) 第三条本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 当然这里有一个责任分工问题。“基本规范”的相关规定： 第十二条 董事会负责内部控制的建立健全和有效实施。监事会对董

20、事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。第十一节 关于内部控制的主客体（三） 内部控制天生就应是个“一把手工程”。 2004年春节，联想所有员工都收到董事长杨元庆的一封信狼性的呼唤，这是杨元庆激活联想文化，构建联想内控环境的檄文。呼唤员工的“危机意识”、“责任意识”和“团队意识”。 微软前总裁比尔.盖茨讲：微软离破产只有180天；海尔总裁张瑞敏讲“每天都是战战兢兢，如履薄冰”；华为总裁任正非每天都不忘危机管理。 华为总裁任正非在至新员工书中写道：“华为的企业文化是建立在国家优良传统文化基础上的企业文化，这个企业文化粘合全体员工团结合作，走群体奋斗的道路。有了这

21、个平台，你的聪明才智方能很好发挥，并有所成就。没有责任心，不善于合作，不能群体奋斗的人，等于丧失了在华为进步的机会。”华为非常厌恶的是个人英雄主义，主张的是团队作战，“胜则举杯相庆，败则拼死相救。”第十二节 关于内部控制建设的过程（一） 误解：是静止的、一劳永逸。 正解：是一个动态的、与时俱进的、不断总结与完善的过程。 从大的来说，内部控制发展经历的五个发展阶段就是例证。 从小的来说，每一个控制点的控制举措也需在不断碰撞中修正。第十三节 关于内部控制建设的过程（二） 下面给大家讲一个故事内部控制产生与发展的五个阶段第十四节 关于内部控制的要素（一）误区： 1）我国坚持的是传统的五要素； 2）C

22、OSO主张的八要素较之我国的五要素先进。辨析： 1）我国内部控制的现状就连五要素都不具备； 2）我国08年5月发布的“基本规范”中的五要素实际上与COSO的八要素实质相同。我国内部控制的要素五要素 企业内部控制基本规范第五条：企业建立与实施有效的内部控制，应当包括下列要素： （一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化、法制观念等。（通用总裁斯通看望职工病妻）第十五节 关于内部控制的要素（二） （二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。 （三）控制活动

23、。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。 （四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。（建立反舞弊机制和举报制度） （五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。通用公司别出心裁的“信息与沟通、监督”通用公司还别用心裁地要求每位雇员写一份“施政报告”，从1983年起每周星期三由基层员工轮流当一天“厂长”。“一日厂长” 9点上班，先听取各部门主管汇报，对全厂营运有了全盘了解后，即陪同厂长巡视部门和

24、车间。“一日厂长”的意见，都详细记载在工作日记上。 各部门、车间的主管得依据其意见，随时改进自己的工作，并在干部会上提出改进后的成果报告，获得认可后方能结案。各部门、车间或员工送来的报告，需经“一日厂长”签批后再呈报厂长。厂长在裁决公文时，“一日厂长”可申诉自己的意见供其参考。 这项管理制度实行以来，成效显著。第一年施行后，节约生产成本就达200万美元，并将节约额的提成部分作为员工们的奖金，全厂上下皆大欢喜。五大要素的关系控制环境为基础，风险评估为依据，控制活动为手段（抓手），信息与沟通为载体（条件），内部监督为保证。 企业风险管理框架报告中认为风险管理包括八个组成要素: 内部环境 目标设定

25、事件识别 风险评估 风险对策 控制活动 信息与沟通 监督第十七节 关于内部控制的方法（二） 3、会计系统控制 4、岗位轮换控制 5、实物控制 6、预算控制 7、内部报告控制第十八节 关于内部控制的方法（三） 8、电子信息技术控制 9、内部审计控制 10、运营分析控制 11、绩效考证控制 12、档案管理控制 各自功能有别，适用对象各异、产生效果不尽相同，不能指望其中一两个方法实现全覆盖，必须借助它们的联合效应，进行多层面、多支撑、流程化和规范化控制。第十九节 关于内部控制与风险管理传统观念或误区： 1）风险是恶魔，意味着损失和灾难 2）风险管理就是控制风险，控制风险就是识别并回避风险（或实现风险

26、最小化） 3）风险管理的范围是企业的重大财务与经营事项 4）风险管理是内部控制的方法之一新的观念与认识： 广义的风险是指事项预期结果的不确定性，既包括具负面效应的不确定性，同时也包括具正面效应的不确定性。 1）风险无处不在，无所不有，客观存在于大小现存的和潜在的事项之中。 这个世界已经变得很“疯狂”，过去常说的“只有错买的，没有错卖的”，现在也不灵验了。 2）风险存在明显在不同时空条件下其程度不同，有时可相互转化。 3）狭义的风险主要指事项具负面效应的不确定性。但其不等于就是恶魔、损失和灾难。 4）风险有别于“危险”，危险专指高负面效应，风险概念比危险广泛，危险是风险的一部分。 5）内部控制的

27、风险管理更倾向于狭义的风险管理。 风险管理针对企业所有对控制目标实现有影响的事项，而非局限于重大的财务和经营事项。 风险控制不是一味地回避风险，或一味追求风险最小化的过程，而是一个在特定环境中通过设定目标、识别风险、应对风险，将风险控制在自己可承受的范围的过程。 风险应对的策略或回避、或降低、或分担和或承受风险。第二十节 关于内部控制的效用误区: 其一，内部控制是灵丹妙药，无所不能 其二，内部控制无用论正确的思想态度： (1)既非“仙丹”亦非“花瓶”，风险管理和内部控制仅对目标实现提供合理保证，无法提供绝对保障。 (2)风险管理和内部控制过程，可能会受到客观和主观的、外部的和内部的、可预知的和

28、不可预知的因素的干扰，使其管理与控制效果难以达到预期，对此必须有足够的思想和行动上准备。 (3)贵在坚持。 会计与出纳由一个人兼任隐藏的是风险还是危险，是需要讨论是以回避还是降低还是分担还是承受来管理的问题吗？思考：对外担保的风险应对的四种情形？ 风险回避不进行某项担保； 风险降低提供有条件的担保，如反担保、有抵押担保； 风险分担联合担保、再担保； 风险承受无条件、无对应措施的提供某项担保。 内部控制与风险管理的关系 COSO认为内部控制与风险管理的关系是:内部控制是企业风险管理不可分割的部分。风险管理涵盖了内部控制，但并不是对内部控制框架的取代。 但我国理论界与实务界并不完全接受。 较为普遍

29、认同的看法：现代内部控制即是以风险管理为主线、为主调或导向的控制过程，无所谓谁涵盖谁，谁包容谁的问题。第三部分 企业内部控制应用指引第19号 第三章 企业内部控制应用指引第1号组织架构 第四章 企业内部控制应用指引第2号发展战略 第五章 企业内部控制应用指引第3号人力资源 第六章 企业内部控制应用指引第4号社会责任 第七章 企业内部控制应用指引第5号企业文化 第八章 企业内部控制应用指引第6号资金活动 第九章 企业内部控制应用指引第7号采购业务 第十章 企业内部控制应用指引第8号资产管理 第十一章 企业内部控制应用指引第9号销售业务企业内部控制应用指引的主要内容学习与应用范式。 （1）为什么要

30、规范? （2）至少应关注哪些风险？ （3）如何控制风险？ 控制点与关键控制点是哪些？（一般与决策流程或业务流程相关） 控制风险的目标是什么？ 如何达到目标？第三章 企业内部控制应用指引第1号组织架构第一节 该指引的现实与长远意义一、意义 一个企业主要靠什么才能长久保持成功呢？ 主要靠制度！ 这个制度就是现代企业制度。 它是以完善的企业法人制度为基础，以有限责任制度为保证，以公司制企业为主要形式，以产权清晰、权责明确、政企分开、管理科学为条件的现代企业制度。1、现代企业制度的核心是组织架构问题 （1）一个实施现代企业制度的企业，应当具备科学完善的组织架构。 （2）组织架构是企业内部环境的有机组成

31、部分，也是企业开展风险评估、实施控制活动、促进信息沟通、强化内部监督的基础设施和平台载体。 （3）所以从某种意义上也可以说，建立现代企业制度必须从组织架构开始。2、那么什么是组织架构？ 组织架构是指企业按照国家有关法律法规、股东（大）会决议、企业章程，结合本企业实际，明确董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。 换句话说，一个现代企业，无论是处于新建、重组改制还是存续状态，要实现发展战略，就必须把建立和完善组织架构放在首位或重中之重。 否则，其他方面（现代企业制度、防范化解风险与实现企业战略等）都无从谈起。第二节 组织架构设计运行的主要

32、风险组织架构的核心是公司治理结构和内部机构的设计和运行问题。1、治理结构即企业治理层面的组织架构。 （1）它是企业成为可以与外部主体发生各项经济关系的法人所必备的组织基础。 主要表现为法人治理的体制，即股东会或者股东大会、董事会、监事会及经理层之间的相互关系。 （2）它是企业得以拥有特定权利、履行相应义务，保障各利益相关方的基本权益的法律许可的框架。2、内部机构则是企业内部机构层面的组织架构。 （1）即为企业业务开展、发展战略实现提供组织机构的支撑平台。 （2）具体表现为不同层次的内部部门、相应的管理人员、各专业人员组成的管理团队等。 （3）内部机构依其功能行使决策、计划、执行、监督、评价等权

33、力并承担相应的义务。所以，组织架构指引要求企业至少应重点关注以下二个方面的主要风险（一）治理结构层面的主要风险 治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。治理结构层面风险具体表现为十方面： （1）股东大会不能规范而有效地召开，股东不能通过之行使自己的权利； （2）企业与控股股东不能在资产、财务及人员等方面实现相互独立，企业与控股股东的关联交易不能贯彻平等、公开、自愿的原则； （3）对与控股股东相关的信息不能根据规定及时完整地披露； （4）企业不能对中小股东权益采取了必要的保护措施，譬如不能和大股东同等条件参加股东大会，获得一致的信息，行使相应

34、的权利； （5）董事会不能独立于经理层和大股东，董事会及其审计委员会中独立董事存在数量不适当或不能有效发挥作用； （6）董事不“懂事”，不知自身的权利和责任，无足够的知识、经验和时间来勤勉、诚信、尽责地履行职责； （7）董事会不能够保证企业建立并实施有效的内部控制； 无法审批企业发展战略和重大决策并定期检查、评价其执行情况，不能督促经理层对内部控制有效性进行监督和评价； （8）监事会的构成不能够保证其独立性，监事能力与相关领域不相匹配； （9）监事会不能够规范而有效地运行； 不能监督董事会、经理层正确履行职责并纠正损害企业利益的行为； （10）对经理层的权力未能建立必要的监督和约束机制。（二）

35、内部机构层的主要风险 内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮、运行效率低下。内部机构层看主要风险具体表现为八个方面： （1）企业内部组织机构未考虑经营业务的性质，按照适当集中或分散的管理方式设置；（扁平） （2）企业对内部组织机构设置、各职能部门的职责权限、组织的运行流程等无明确的书面说明和规定，存在关键职能缺位或职能交叉的现象； （3）企业内部组织机构不能支持发展战略的实施，不能根据环境变化及时作出调整； （4）企业内部组织机构的设计与运行不适应信息沟通的要求，不利于信息的上传、下达和在各层级、各业务活动间的传递，不利于员工履行相应职权； （5）关键岗

36、位员工自身权责不明，胜任能力差，未建立关键岗位员工轮换制度和强制休假制度； （6）企业未对董事、监事、高级管理人员及全体员工的权限有明确的制度规定，对授权情况无正式的记录； （7）企业未对岗位职责进行恰当的描述和说明，存在不相容职务未分离的情况； （8）企业未对权限的设置和履行情况进行审核和监督，对于越权或权限缺位的行为不能及时予以纠正和处理。第三节 组织架构的设计风险控制（一） 组织架构设计主要是针对按公司法新设立企业，以及公司法颁布前存在的企事业单位转为公司制企业而言的。组织架构设计原则 至少应当遵循以下原则: 一要依据法律法规； 二要有助于实现发展战略； 三要符合管理控制要求； 四要能够

37、适应内外环境变化。 既要能够保证企业高效运营，又要能适应内部控制环境的需要进行相应的调整和变革。（一）企业治理结构的设计、企业治理结构设计关键是“三会一层”的关系设计 (1)股东（大）会、董事会、监事会和经理层； (2)企业应当根据国家有关法律法规的规定； (3)遵循决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则； (4)明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序等。 组织架构指引明确，董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。第四节 组织架构的设计风险控制（二）存在的设计缺陷现象 (1)部分上市

38、公司“三会”制衡形同虚设； (2)部分上市公司在董事会下没有设立“真正意义上”的专业委员会（如审计委员会)，其成员只是“形式上”符合有关法律法规的要求，难以胜任工作。 (3)有些上市公司董事长在上市改制出于形式、照顾等方面因素让某人作一“象征”，而实际上公司总经理才是幕后真正的“董事长”。 (4)部分上市公司监事会成员，或多或少地与上市董事长存在某种关系，难以秉公办事，直接或间接损害了股东尤其是小股东的合法权益。值得思考的德国模式 (1)在德国公司中，设股东大会、董事会、监事会，股东大会选举产生监事会，监事会任命董事会成员，监督董事执行业务，并在公司利益需要时召集股东会会议。 (2)德国监事会

39、最大的特点是监事会与董事会之间并非平行机构，监事会为公司的最高权力机关。 (3)监事会的成员分别由职工委员会和股东大会推选的代表对等组成，监事会除选举管理董事外，还对管理董事会及其成员的行为实施监控。上市公司治理结构设计的特殊要求 上市公司治理结构的设计，应当充分反映其“公众性”。其特殊之处主要表现在：一是建立独立董事制度。 (1)上市公司董事会应当设立独立董事，独立董事应独立于所受聘的公司及其主要股东。 (2)独立董事不得在上市公司担任除独立董事外的其他任何职务。独立董事应按照有关法律法规和公司章程的规定，认真履行职责，维护公司整体利益，尤其要关注中小股东的合法权益不受损害。 (3)独立董事

40、应独立履行职责，不受公司主要股东、实际控制人以及其他与上市公司存在利害关系的单位或个人的影响。二是对董事会专门委员会的特殊要求。 (1)上市公司董事会下设的审计委员会、薪酬与考核委员会中，独立董事应当占多数并担任负责人，审计委员会中至少还应有一名独立董事是会计专业人士。 (2)在董事会各专业委员会中，审计委员会对内部控制的建立健全和有效实施尤其发挥着重要作用。 (3)审计委员会对董事会负责并代表董事会对经理层进行监督。 侧重加强对经理层提供的财务报告和内部控制评价报告的监督，同时通过指导和监督内部审计和外部审计工作，提高内部审计和外部审计的独立性，在信息披露、内部审计和外部审计之间建立起了一个

41、独立的监督和控制机制。三是设立董事会秘书。 (1)上市公司应当设立董事会秘书。 (2)董事会秘书为上市公司的高级管理人员，直接对董事会负责，并由董事长提名，董事会负责任免。 (3)在上市公司实务中，董事会秘书是一个重要的角色，其负责公司股东大会和董事会会议的筹备，文件保管以及公司股东资料的管理，办理信息披露事务等事宜。3国有独资企业治理结构设计的特殊要求 国有独资企业是我国比较独特的企业群体，其治理结构设计应充分反映其特色。主要表现在：一是国有资产监督管理机构代行股东（大）会职权。 (1)国有独资企业不设股东（大）会，由国有资产监督管理机构行使股东（大）会职权。 (2)国有独资企业董事会可以根

42、据授权部分行使股东（大）会的职权，决定公司的重大事项，但公司的合并、分立、解散、增加或者减少注册资本和发行公司债券，必须由国有资产监督管理机构决定。二是国有独资企业董事会成员中应当包括公司职工代表。 (1)董事会成员由国有资产监督管理机构委派； (2)但是，董事会成员中的职工代表由公司职工代表大会选举产生。 (3)国有独资企业董事长、副董事长由国有资产监督管理机构从董事会成员中指定产生。三是国有独资企业监事会成员由国有资产监督管理机构委派。 (1)但是监事会成员中的职工代表由公司职工代表大会选举产生。 (2)监事会主席由国有资产监督管理机构从监事会成员中指定产生。四是外部董事由国有资产监督管理

43、机构提名推荐，由任职公司以外的人员担任。 (1)外部董事在任期内，不得在任职企业担任其他职务。 (2)外部董事制度对于规范国有独资公司治理结构、提高决策科学性、防范重大风险具有重要意义。第五节 组织架构的设计风险控制（三）（二）内部机构的设计 内部机构的设计是组织架构设计的关键环节。 只有切合企业经营业务特点和内部控制要求的内部机构，才能为实现企业发展目标发挥积极促进作用。 具体而言： （1）企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限。 避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责

44、、相互制约、相互协调的工作机制。 （2）企业应当对各机构的职能进行科学合理的分解，确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系。 应当体现不相容岗位相分离原则，努力识别出不相容职务，并根据相关的风险评估结果设立内部牵制机制； 特别是在涉及重大或高风险业务处理程序时，必须考虑建立各层级、各部门、各岗位之间的分离和牵制； 对因机构人员较少且业务简单而无法分离处理某些不相容职务时，企业应当制定切实可行的替代控制措施。 （3）企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。 就内部机

45、构设计而言，建立权限指引和授权机制非常重要的。 有了权限指引，不同层级的员工就知道该如何行使并承担相应责任，也利于事后考核评价。 “授权”表明的是，企业各项决策和业务必须由具备适当权限的人员办理，这一权限通过公司章程约定或其他适当方式授予。 企业内部各级员工必须获得相应的授权，才能实施决策或执行业务，严禁越权办理。 按照授权对象和形式的不同，授权分为常规授权和特别授权。（三）对“三重一大”的特殊考虑 “三重一大”，即“重大决策、重大事项、重要人事任免及大额资金使用”。 在实务中，无论是上市公司还是其他企业发生的重大经济案件中，不少都牵涉到“三重一大”问题。 为化解“三重一大”的风险，应当按照规

46、定的权限和程序实行集体决策审批或者联签制度。 任何个人不得单独进行决策或者擅自改变集体决策意见。 此项要求是我国部分企业优秀管理经验的总结，可以有效避免“一言堂”、“一支笔”现象，有利于促进国有企业完善治理结构和健全现代企业制度。第六节 组织架构的运行风险控制 组织机构运行涉及新企业治理结构和内部机构的运行，也涉及对存续企业组织架构的全面梳理。总体要求： 企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。如何梳理？（一）从治理结构层面梳理一是关注董事、监事、经理及其他高级管理人员的任职资格和履职情况。 （

47、1）就任职资格而言，重点关注行为能力、道德诚信、经营管理素质、任职程序等方面。 （2）就履职情况而言，着重关注合规、业绩以及履行忠实、勤勉义务等方面。二是关注董事会、监事会和经理层的运行效果。这方面要着重关注： （1）董事会是否能履行其职能作用 是否按时定期或不定期召集股东大会并向股东大会报告；是否严格认真地执行了股东大会的所有决议；是否合理地聘任或解聘经理及其他高级人员等。 （2）监事会是否能履行其职能作用 是否按照规定对董事、高级管理人员行为进行监督；在发现违反相关法律法规或损害公司利益时，是否能够对其提出罢免建议或制止纠正其行为等。 （3）经理层是否能履行其职能作用 是否认真有效地组织实

48、施董事会决议；是否认真有效地组织实施董事会制定的年度生产经营计划和投资方案；是否能够完成董事会确定的生产经营计划和绩效目标等。（二）从内部机构层面看应着力关注内部机构设置的合理性和运行的高效性。从合理性角度梳理，应重点关注内部机构设置： （1）是否适应内外部环境的变化； （2）是否以发展目标为导向； （3）是否满足专业化的分工和协作，有助于企业提高劳动生产率； （4）是否明确界定各机构和岗位的权利和责任，不存在权责交叉重叠； 有无只有权利而没有相对应的责任和义务的情况等。企业内部结构的变革趋势更多企业转向-“扁平型组织结构” A公司是一家年销售额在2亿元左右的生产制造企业。 原组织结构：总经理

49、副总经理制造部经理制造分部经理车间班组。 组织扁平化变革后，由于部门细化，责任明确，公司业务额比原来增加了30%，公司利润则增加了50%多。 通用汽车国际许多大公司如通用、丰田都对组织结构进行了扁平化改造，并在市场竞争中取得了不菲的成绩。 吉利汽车的扁平化改造也较成功。（1）扁平型组织结构优点：有利于缩短上下级距离，密切上下级关系，信息纵向流快，管理费用低，而且由于管理幅度较大，被管理者有较大的自主性、积性、满足感，同时也有利于更好地选择和培训下层人员； 缺点：由于不能严密监督下级，上下级协调较差，管理宽度的加大，也加重了同级间相互沟通络的困难。（2）瘦长型组织结构 优点：具有管理严密、分工明

50、确、上下级易于协调的特点。 缺点：由于层次增多，带来的问题也越多。这是因为层次越多，需要从事管理的人员迅增加，彼此之间的协调工作也急剧增加，互相扯皮的事会层出不穷。管理层次增多之后，在管理层次上所花费的设备和开支，所浪费的精力和时间也然增加。管理层次的增加，会使上下的意见沟通和交流受阻，最高层主管员所要求实现的目标，所制定的政策和计划，不是下层不完全了解，就是层传达到基层之后变了样。管理层次增多后，上层管理者对下层的控制变困难，易造成一个单位整体性的破裂；同时由于管理严密，而影响下级人的主动性和创造性。从运行的高效性角度梳理，应重点关注： （1）内部各机构的职责分工是否针对市场环境的变化作出及

51、时调整。 特别是当企业面临重要事件或重大危机时，各机构间表现出的职责分工协调性，可以较好地检验内部机构运行的效率。 （2）关注权力制衡的效率评估，包括机构权力是否过大并存在监督漏洞；机构权力是否被架空；机构内部或各机构之间是否存在权力失衡等。 （3）关注内部机构运行是否有利于保证信息的及时顺畅流通，在各机构间达到快捷沟通的目的。 评估内部机构运行中的信息沟通效率，一般包括信息在内部机构间的流通是否通畅，是否存在信息阻塞；信息在现有组织架构下流通是否及时，是否存在信息滞后；信息在组织架构中的流通是否有助提高效率，是否存在沟通舍近求远。（三）集团公司组织架构运行状况梳理当企业发展壮大为集团公司时，

52、对组织架构进行梳理应给予足够重视。组织架构指引强调： 企业拥有子公司的，应当建立科学的投资管控制度。 通过合法有效的形式履行出资人职责、维护出资人权益。 重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。 这一方面是呼应组织架构设计的要求，同时也是现行企业实务中特别值得注意的问题。（四）运行梳理后的处理企业在对治理结构和内部机构进行全面梳理的基础上，还应当定期对组织架构设计和运行的效率与效果进行综合评价；其目的在于发现可能存在的缺陷，及时优化调整，使公司的组织架构始终处于高效运行状态。 总

53、之，只有不断健全公司法人治理结构，持续优化内部机构设置，才能为风险管理奠定扎实基础，才能提升经营管理效能，才能在当今激烈的国内外市场经济竞争中保持健康可持续发展。第四章 企业内部控制应用指引第2号-发展战略第一节 为什么要制定和实施发展战略 什么都可以出错，战略不能出错；什么都可以失败，战略不能失败。 战略的失败是最彻底的失败！ 无论是一个国家、一个地区和一个行业，还是一个微观组织，乃至一个人，都面临发展战略控制的问题。 作为一个现代企业，“三年发展靠机遇，十年发展靠战略”。 如果没有明确可行的发展战略，就不可能在当今激烈的市场竞争和国际化浪潮冲击下求得长远发展。 发展战略可以帮助企业找准市场

54、定位、建立行动指南、确立内控目标。 第二节 企业战略制定与实施的风险（一） 发展战略是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划。企业制定与实施发展战略至少应当关注下列风险： （1）缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。 （2）发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。 （3）发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。战略失控案例 （1）铁矿石价格失控第三节 企业战略制定与实施的风险（二） （2）我国稀土乱采

55、及廉价出口 （3）俄乌石油天然气管道摩擦 （4）地震翻身第五节 如何制定企业发展战略（二）2、要综合分析评价影响发展战略的内外部因素 影响发展战略制定的关键因素：企业外部环境、内部资源等因素。 企业应当综合考虑的具体因素： 宏观经济政策 国内外市场需求变化 技术发展趋势 行业及竞争对手状况 可利用的资源水平 自身优势与劣势等等。（1）分析外部环境，发现机会和威胁。 包括企业所处的宏观环境、行业环境及竞争对手、经营环境等。（2）分析内部资源，识别优势和劣势。 包括企业资源、企业能力、核心竞争力等各种有形和无形资源。 企业资源分析应着重对企业现有资源的数量和利用效率，以及资源的应变能力等方面的分析

56、。（日本稀土) 企业能力是企业有形资源、无形资源和组织资源等各种资源有机组合的结果。 主要包括：研发能力分析、生产能力分析、营销能力分析、财务能力分析、组织管理能力分析等。 核心竞争力是指能为企业带来相对于竞争对手存在竞争优势的资源和能力。 能够有助于企业构建核心竞争力的资源主要包括：稀缺资源、不可模仿的资源、不可替代的资源、持久的资源等。第六节 如何制定企业发展战略（三）3、要科学编制发展战略 发展战略可以分为发展目标和战略规划两个层次。 第一、发展目标是企业发展战略的核心和基本内容 是在最重要的经营领域对企业使命的具体化。 它表明企业在未来一段时期内所要努力的方向和所要达到的水平。 譬如，

57、五年目标是什么、十年目标是什么？ 海尔发展方向创中国的世界名牌。2005年底，海尔进入第四个战略阶段全球化品牌战略阶段。 第二、战略规划是为了实现发展目标而制定的具体规划 表明企业在每个发展阶段的具体目标、工作任务和实施路径。（1）制定发展目标。 企业发展目标作为指导企业生产经营活动的准绳，通常包括：盈利能力、生产效率、市场竞争地位、技术领先程度、生产规模、组织结构、人力资源、用户服务、社会责任等。 关于发展目标的编制，有几点值得注意： 第一，发展目标应当突出主业。 在编制发展目标时突出主业，将其做精做强，以增强核心竞争力，是许多成功的跨国公司的经验之谈。 我国少数大型企业存在盲目投资非主业的

58、现象。 譬如：东星航空特别是一些非地产主业的央企投资房地产。 第二，发展目标不能过于激进 不能盲目追逐市场热点，不能脱离企业实际，否则可能导致企业过度扩张或经营失败。 为追求“超常规”、“跨越式”发展，有些企业转而制定激进的发展目标。在这种浮躁心态的驱使下，这些企业盲目做大，不惜成本，急于“铺摊子”，试图在短期内就打造成为巨型企业。 这种所谓“跨越式”发展，在内部管理能力难以跟上、风险管理水平不匹配的情况下，一旦遇到外部环境“风吹草动”，企业很可能倾刻间“灰飞烟灭”，迅速走向衰败。 第三，发展目标不能过于保守 否则会丧失发展机遇和动力。在过于保守的战略引导下，企业由于发展目标易实现而沾沾自喜，久而久之，在激烈的市场竞争中往往不能及时抓住市场机会，导致发展滞后，最终难以逃脱被淘汰的命运。第七节 如何制定企业发展战略（四）（2）编制战略规划。 发展目标确定后，就要考虑使用何种手段、采取何种措施、运用何种方法来达到目标，即编制战略规划（绘制蓝图）。 战略规划应当明确企业发展的阶段性和发展程度，制定每个发展阶段的具体目标和工作任务，以及达到发展目标必经的实施路径。 武钢铁矿石供应 我国大飞机项目发展 我国清洁能源发展规划 我国人才发展规划纲要 国美电器的发展战略 中商、武商、中百和汉商的发展战略（3）严格审议和批准发展战略。 发展战略拟订后，应当按照规定的权限和程序对发展