汽车越野改装件公司内部控制_参考

《汽车越野改装件公司内部控制_参考》由会员分享，可在线阅读，更多相关《汽车越野改装件公司内部控制_参考（104页珍藏版）》请在装配图网上搜索。

1、泓域/汽车越野改装件公司内部控制汽车越野改装件公司内部控制xx有限公司目录一、 项目基本情况4二、 内部控制的相关比较6三、 企业内部控制规范的基本内容9四、 企业风险管理21五、 内部牵制30六、 举报投诉制度32七、 反舞弊机制36八、 沟通控制48九、 信息控制51十、 信息与沟通的概念61十一、 信息的含义与分类63十二、 社会责任65十三、 企业文化68十四、 我国的借鉴与创新71十五、 内部控制整体框架：内部环境的发展73十六、 有效内部环境的属性74十七、 内部环境如何发挥作用78十八、 公司概况78公司合并资产负债表主要数据79公司合并利润表主要数据79十九、 发展规划分析80

2、二十、 项目风险分析83二十一、 项目风险对策85二十二、 法人治理结构86二十三、 SWOT分析97一、 项目基本情况（一）项目投资人xx有限公司（二）建设地点本期项目选址位于xx（待定）。（三）项目选址本期项目选址位于xx（待定），占地面积约10.00亩。（四）项目实施进度本期项目建设期限规划12个月。（五）投资估算本期项目总投资包括建设投资、建设期利息和流动资金。根据谨慎财务估算，项目总投资5061.86万元，其中：建设投资3958.60万元，占项目总投资的78.20%；建设期利息57.65万元，占项目总投资的1.14%；流动资金1045.61万元，占项目总投资的20.66%。（六）资金

3、筹措项目总投资5061.86万元，根据资金筹措方案，xx有限公司计划自筹资金（资本金）2708.93万元。根据谨慎财务测算，本期工程项目申请银行借款总额2352.93万元。（七）经济评价1、项目达产年预期营业收入（SP）：9600.00万元。2、年综合总成本费用（TC）：7928.00万元。3、项目达产年净利润（NP）：1220.18万元。4、财务内部收益率（FIRR）：18.11%。5、全部投资回收期（Pt）：5.95年（含建设期12个月）。6、达产年盈亏平衡点（BEP）：3870.56万元（产值）。（八）主要经济技术指标主要经济指标一览表序号项目单位指标备注1占地面积6667.00约10.

4、00亩1.1总建筑面积12862.94容积率1.931.2基底面积3933.53建筑系数59.00%1.3投资强度万元/亩379.162总投资万元5061.862.1建设投资万元3958.602.1.1工程费用万元3391.132.1.2工程建设其他费用万元438.812.1.3预备费万元128.662.2建设期利息万元57.652.3流动资金万元1045.613资金筹措万元5061.863.1自筹资金万元2708.933.2银行贷款万元2352.934营业收入万元9600.00正常运营年份5总成本费用万元7928.006利润总额万元1626.917净利润万元1220.188所得税万元406.

5、739增值税万元375.7710税金及附加万元45.0911纳税总额万元827.5912工业增加值万元2983.4713盈亏平衡点万元3870.56产值14回收期年5.95含建设期12个月15财务内部收益率18.11%所得税后16财务净现值万元1889.72所得税后二、 内部控制的相关比较（一）目标的比较内部控制是一个管理系统而非技术系统，是一个防守系统而不是进攻系统，因此，内部控制要实现企业的价值最大化目标，无法依靠利益的增加而只能通过减少支出。内部控制的目标，通常指内部控制所要达到的预期效果和所要完成的控制任务。从理论上说，内部控制的目标主要取决于内部控制本身所具有的功能和人们在设计、执行

6、内部控制时的主观需要。内部控制的目标限于内部控制功能和人们的主观需求之间，不可能高于其本身的客观功能，当然，也不能低于主观需求。1、国内外相关报告的内部控制目标比较内部控制的目标并非单一的，是由几个目标组成的目标结构或体系，并且，各目标之间存在着相互联系。目前内部控制学关于目标的阐述有“三目标论”“四目标论”“五目标论”，这些目标深入具有不同的层次，但有一个共同的目标指向，即降低各种风险带来的损失。对内部控制整体框架、企业风险管理框架与我国企业内部控制基本规范中所规定的内部控制目标进行的比较。标准或规范对内部控制目标的规定有所差异，主要是因为第一，确定控制目标的设定基础。有的以内部会计控制为基

7、础设定（如1949年的定义），有的以内部控制为基础来设定，有的以风险管理为基础设定；第二，颁布这些标准或规范的机构不同。有的从企业层面颁布，有的从行业层面颁布，有的从监管层面颁布。反观我国基本规范，相较于企业风险管理框架，多了一个资产安全目标，资产安全是企业展开各种经济活动的物质前提，但是从目标的排列次序上可以看出，我国的基本规范中规定的次序恰恰与企业风险管理报告要求的相反，这是结合我国基本实情的具体规定。一般认为，首先，企业应当在合规合法的前提下开展活动，违背了这项原则，其他目标再好也是纸上谈兵。其次，保证合规合法目标实现的基础之上，资产作为企业经济活动的物质前提，应当保证实现资产安全的目标

8、。再次，企业应当保证财务报告及相关信息的真实完整，以便于利益相关者做出决策。与此同时，企业应当回归到日常经营管理活动当中来，提高企业的经营效率和效果，提高经营业绩是企业的大势所趋。最后，在上述四个目标实现的基础上，提出了企业的发展战略。2、我国内部控制目标演进过程我国的相关法规制度对内部控制目标的界定也是一个不断演进的过程，我国相关法规、制度对内部控制目标的界定，可以分为三个发展演进阶段。第一阶段，外部化阶段。强调内部会计控制，突出财务报告的真实完整，主要表现在独立审计具体准则第9号内部控制和审计风险（体现内部控制为审计服务）、财政部内部会计控制规范一基本规范等。第二阶段，内部化阶段。强调内部

9、控制，在保证财务报告真实完整的前提下提高经营的效率和效果，主要表现在中国注册会计师审计准则第1211号（体现风险导向的审计内涵）、上交所上市公司内部控制指引、深交所上市公司内部控制指引等。第三阶段，风险管理阶段。强调企业风险管理，主要表现在五部委企业内部控制基本规范。以上三个阶段说明我国内部控制目标的发展是在借鉴国外最佳实践的基础上，关于内部控制理念与实践的提升。（二）内部控制要素的比较纵观内部控制的历史演进可以发现，从最早的内部控制“一要素”阶段内部牵制阶段，“二要素”阶段一内部控制制度阶段，“三要素”阶段一内部控制结构阶段，到“五要素”阶段内部控制整合框架阶段，再到“八要素”阶段一风险管理

10、整合框架阶段，内部控制的发展历史实际上也是内部控制要素不断充实和丰富的过程。内部控制基本要素反映了内部控制的内容，这些要素及其构成方式与整个控制过程整合在一起，决定着控制的内容与形式。企业风险管理框架在内部控制整体框架的基础上，将风险评估分解为目标制定、事项识别、风险评估和风险应对四个要素，纳入风险管理流程，突出了风险管理的重要性。而基本规范是五要素的体系结构，一方面继承内部控制整体框架的理论成果，另一方面适当体现企业风险管理框架的先进理念，结合我国国情的基础上将两者有效结合。三、 企业内部控制规范的基本内容我国企业内部控制规范的基本框架，可以概括为五大目标、五大原则和五大要素。（一）内部控制

11、的目标内部控制是围绕目标展开的，因此明确目标至关重要。内部控制的目标，应是整个控制系统的出发点，决定了系统运行的方式和方向。企业内部控制基本规范中对内部控制提出了合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果以及促进企业实现发展战略的五大目标，简称为合规目标、资产安全目标、报告目标、经营目标和战略目标。内部控制五大目标是一个完整的目标体系，由于各大目标在控制体系中的层级不同，其在整个目标体系中的地位和作用也有所差异。1、合规目标合规目标要求企业或其他组织完全遵循国家的法律法规和监管要求，是企业成功运营的必要保证，与企业活动的合法性相关。企业生存于社会这个大环境下，必须遵守社

12、会的基本规范，包括法律规范和道德规范，必须在社会允许的范围内展开各项活动，即“小制度不能大于大法”。因此，遵守法规、制度是企业一切活动的前提，也是首先要保证完成的目标。国家有关法律、制度的落实必将依靠内部控制的有效执行加以保证。一个违反国家法律法规、丧失道德底线的企业，必然会将自身置于高风险的环境中，从而对自身的生存和发展造成巨大的威胁，后果可想而知。合规目标方面的关注点主要包括：公司的各项活动符合法律法规确定的要求，通常涉及知识产权、市场、价格、税收、环境、员工福利以及国际贸易等。2、资产安全目标虽然在COSO框架中没有将保护资产安全作为一个主要目标，而是作为主要目标中的一个子目标，但是我国

13、的企业内部控制基本规范中重新将其作为内部控制目标的一个部分，这是基于我国的国情和现状做出的必然选择，是有一定用意的。我国普遍存在产权多元化现象，而且国有资产流失现象极其严重，保护资产安全和完整对资产所有者来说具有特别重大的意义。资产安全与否实际上是内部控制的一个过程控制结果，是实现其他目标的物质前提。因此，该目标要求内部控制能够保护主体所有资产的安全和完整。资产安全目标方面的关注点主要包括：关注企业日常经营活动的效率，提高企业的生产力和竞争力，防止资产缩水，关注资产使用及处置的授权情况。3、报告目标报告目标指内部控制应合理保证企业提供了真实、可靠的财务报告及其他信息。报告目标有助于组织向投资者

14、、债权人等利益相关者以及内部管理层提供真实、可靠、完整的信息，具体包括内部和外部、财务与非财务信息，它是内部控制目标体系的基础目标。企业报告包括内部报告和外部报告，报告目标的提出更多地满足了企业外部的需求。对于外部使用者来说，真实、可靠和完整的财务报告能够公允地反映企业的财务状况和经营成果，从而有利于信息使用者做出决策。当然，非财务信息的重要性也是不言而喻的。可靠的报告既为管理层提供了适合其既定目的的准确和完整的信息，也是外部监管的要求。报告目标方面的关注点主要包括以下几个部分。（1）管理层决策及对公司活动、业绩监控的准确、及时、完整的信息的对内报告；（2）用于满足投资者、监管部门及其他相关信

15、息需求者的真实、可靠、完整信息的对外报告；（3）信息的全面性，而不仅仅是财务信息。4、经营目标经营目标旨在有效和高效地使用企业有限的资源，提高经营的效率和效果，实现良好的运营。经营目标是企业实现其战略目标的核心和关键所在，战略目标与企业的使命相关联，战略目标只有通过分解和细化成经营目标才能得以落实。因此，没有经营目标，战略目标再好也无任何意义。经营目标需要反映特定企业自身及所处特定经济环境的特点，全面考虑产品质量的竞争压力、产品的生产周期和与技术变化相关的其他因素。一般来说，经营目标引导企业的资源流向，经营目标不成熟或不明确，会造成企业资源的浪费。通常情况下，良好的内部控制能够提高企业的经营效

16、率和效果，提高单位时间产量，优化产品质量，从而提高企业的核心竞争力。管理层必须确保经营目标反映现实的市场需求，并且有明确的绩效衡量指标。经营目标方面的关注点主要包括以下几点。（1）经营目标与公司战略目标及战略计划一致；（2）经营目标适应公司所处的特定经营环境、行业和经济环境等（3）各个业务活动目标之间保持一致；（4）所有重要业务流程与业务活动目标相关；（5）适当的资源及有效配置；（6）管理层制定的公司经营目标及他们对目标的负责程度。5、战略目标战略目标是基于组织整体视角的最高层次目标，其他目标都应与战略目标协调一致并服务于战略目标。战略目标与企业的目标紧密相关，并且是支持企业目标实现的基础。管

17、理者为实现企业价值最大化这一根本目标，针对内外部环境，评估与目标实现相关的风险，根据风险偏好，做出一系列的反应和选择。一个企业为实现其战略目标，首要的任务是在分析内外部环境的基础上制订战略，明确战略目标；其次，对风险进行识别和评估，并在制订相应风险应对措施的基础上形成战略规划；最后，将战略目标逐步分解成若干子目标，再将子目标层层分解至各个业务部门、行政部门和各生产过程。上述过程为企业实现其战略目标提供了合理保证。战略目标反映了管理层就主体如何努力为其利益相关者创造价值所做出的选择，是最高层次的目标，与其使命相关并支撑其使命。战略是实现企业目标的全面性、方向性的行动计划。企业在考虑实现战略目标的

18、各种方案时，必须考虑与各种战略相伴的风险及其影响，对于同样的战略目标可以选择不同的战略加以实现，而不同的战略则具有不同的风险。因此，企业在战略选择之前，有必要对当前的经营状况进行评估，分析内、外部环境因素，明确公司在行业中所处的位置及面临的机遇和挑战，不断审视当前的目标与使命。战略目标方面的关注点主要包括以下几点。（1）管理层对企业绩效现状进行的评估，是前期战略进行监控的基础，也是企业新战略制订的基础（2）对内部和外部环境的监测分析；（3）战略目标体系；（4）战略选择遵循了必要的流程，并获得了充分地讨论；（5）企业对目标实现与现有资源状况之间的匹配程度进行的评估；（6）设定战略目标可接受程度；

19、（7）就战略目标与企业内部员工和外部相关利益集团之间进行沟通。（二）内部控制的原则企业建立内部控制应遵循一定的原则，没有正确的原则指导，内部控制的设计就难免存在先天性不足的问题，其执行效率难免大打折扣。内部控制的基本原则是建立和实施各种内部控制应遵循的具有普遍性和指导性的法则和原则，它所要解决的问题是，为了实现内部控制的目标，基于内部控制的基本假设，根据内部控制的理论基础，应当如何科学地设计和执行内部控制的问题。企业内部控制基本规范明确指出，企业建立与实施内部控制，应当遵循全面性、重要性、制衡性、适应性、成本效益五大原则。这五个原则形成一个整体，设计企业的内部控制应做到统筹兼顾，不可偏废。1、

20、全面性原则全面性原则是指内部控制应该贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。全面性原则要求内部控制覆盖全部业务活动和每项业务活动的全过程，在层次上应当涵盖企业董事会、管理层和全体员工；在对象上应当覆盖企业各项业务和管理活动；在流程上应当渗透到决策、执行、监督、反馈等各个环节，避免内部控制出现空白和漏洞。具体而言，全面性原则，首先要求企业进行全过程控制，即对整个经营管理活动过程进行全面、全方位、全时段的控制，其中包括企业管理部门用以授权与指导、进行购货、生产等经营管理活动的各种方式方法，以及核算、审核、分析各种信息及进行报告的程序与步骤等。其次，内部控制对全体员工都有约

21、束力，企业应当进行全员控制。企业的每一位成员既是内控的主体，又是内控的客体，内部控制制度应保证每一位员工包括高层管理人员到基层执行操作人员都受到相应的控制。2、重要性原则重要性原则是指内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。对重要业务经济活动进行重点控制时，对一项经济业务活动的关键环节实行重点控制。对关键控制点的选择，应统筹考虑会影响整个企业经营运行过程的重要操作与事项以及其是否能在重大损失出现之前显示差异，以便有利于对问题做出及时、灵敏的反应。例如，在设计与执行同存货相关的内部控制制度时，可以借鉴存货ABC管理方法，根据存货数量占比和资金占比，对其中的A类存货进行重点控

22、制。在理解上，应将全面性原则和重要性原则联系起来，不能片面、分立地理解。重要性是在全面性基础上的考虑，即重要业务事项一个都不能少。这是内部控制合理保证目标实现以及确定控制点的前提也是成本效益原则的体现。3、制衡性原则制衡性原则是指内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。内部控制的本质之一是制衡，制衡性原则是内部控制的一个灵魂性原则，是内部控制有效性的具体判断标准。企业的机构、岗位设置和权责分配应当科学合理并且符合内部控制的基本要求，确保不同部门、岗位之间的权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的

23、独立性。任何人不得凌驾于内部控制之上。制衡性原则要求人们在办理具有固定风险的经济业务事项，对涉及的不相容职务应该严格加以分离，不得由一个人或一个部门包办到底。组织行为理论强调授权和权力制衡的重要性，因此通过科学合理地设置机构、岗位和分配权责，能够实现权力的相互制衡，进而实现组织的各项目标。此外，不串通假设也为该原则地遵循奠定了基础。因此，制衡性原则是建立内部控制应当遵循的又一个重要的基本原则。4、适应性原则适应性原则是指内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。适应性原则是成本效益原则的保证。组织行为理论强调人们应该重视环境的变化，“因地制

24、宜”地设计、“因材施教”地执行内部控制。企业在性质、行业、规模、组织形式和内部管理体制及管理要求等方面存在差异，这构成了企业不同的特点以及同一行业在不同的发展阶段表现出不同的特点。因此，企业应当根据各自的实际情况，恰当地设置适用的控制措施、手段及程序等，发挥应有的控制作用，满足管理的需要。5、成本效益原则成本效益原则是指内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。企业是以追求经济利益为目标的经济组织，内部控制的设计和实施是需要成本的。企业应当在保证有效性的前提下，合理地权衡成本与效益的关系，争取以合理的成本实现更为有效的控制。这一原则要求企业根据规模大小及具体经营管理情况设计

25、和执行内部控制制度，既要考虑到设计的经济性，又要考虑到执行的效益性，避免重复控制，浪费人力、物力和财力；应尽量精简机构和人员，减少过繁的程序和手续，提高工作效率；尽可能控制设计成本与执行成本，以达到最佳的控制效果。（三）内部控制的要素按照企业内部控制基本规范的规定，我国企业内部控制包括内部环境、风险评估、控制活动、信息与沟通、内部监督5要素。1、内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。内部环境是影响、制约内部控制建立与执行的各种因素的总称，是实施内部控制的基础。2、风险评估风险评估是指企业及时识别、系统分析经营活动中与

26、实现内部控制目标相关的风险，合理确定风险应对策略。因此，风险评估主要包括目标制定、风险识别、风险分析和风险应对四个环节。风险评估是实施内部控制的重要依据。3、控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受的范围之内。它是实施内部控制的具体手段。4、信息与沟通信息与沟通是指企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间的有效沟通和正确应用的过程。它是实施内部控制的重要组成部分。5、内部监督内部监督是指企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，一旦发现内部控制缺陷，应当及时加以改进。它是实施内部控制的重要保证

27、。总之，内部控制的目标是一个体系，按照COSO的观点，每一个目标都要有相应的控制程序，从横向的角度来看，所有的控制程序一定存在某些共性，抽出所有控制程序的共性并归类就形成了内部控制的各个构成要素，即内部控制的要素结构。四、 企业风险管理（一）企业风险管理（2004）架构1、基本框架2004年，COSO为企业风险管理确立了一个可普遍接受的定义，该定义融入众多观点并达成共识，为各组织识别风险和加强对风险的管理提供了坚实的理论基础，即企业风险管理是一个受企业董事会、管理层和其他人士影响的过程，运用于制订战略之中，并且贯穿整个企业，用以识别可能影响该企业的潜在事项，并且将风险控制在风险偏好的范围之内，

28、为达到实体目标提供合理的保证。企业风险管理（2004）框架的主要贡献就在于，其重新界定了风险管理，即由目标、要素和组织三个维度组成的有机整体。第一维度为企业的目标，即战略目标、经营目标、报告目标和合规目标。在主体既定的使命或愿景范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的战略目标、经营目标、报告目标和合规目标。战略目标与高层目标相关，和企业使命相一致，企业所有的经营管理活动必须长期有效地支持该使命。经营目标与企业运营的效果和效率相关，包括业绩和利润目标，运营变化以管理当局对结构和业绩的选择为基础，旨在使企业能够高效地使用资源。报告目标

29、与组织报告可靠性相关，包括对内报告和对外报告，涉及财务和非财务信息。合规目标层次较低，也是最基础的目标，与组织遵循相关法律法规有关。第二维度为构成要素，即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。第三维度组织是企业的层级，包括主体层次、分部、业务单元及子公司。三个维度的关系是，全面风险管理的八个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上八个方面进行风险管理。2、构成要素第二维度企业风险管理包含八个相互关联的要素。它们来源于管理当局经营企业的方式，并与管理过程整合在一起。这些构成要素的含义如下。内部环境内部环境包含

30、组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。目标设定必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。事项识别必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。风险评估一通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对管理当局选择风险应对回避、承受、降低或者分担风险采取一系

31、列行动以便把风险控制在主体的风险容忍度和风险容量以内。控制活动一制订和执行政策与程序以帮助确保风险应对得以有效实施。信息与沟通一一相关的信息以确保员工履行其职责的方式和时机，能被识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。监控对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一个构成要素都会影响其他构成要素。3、企业风险管理（2004）框架面临的问题企业风险管理（2004）框

32、架在对企业风险管理进行定义时所强调的最重要也是最独具一格的一点是“贯穿整个企业，应用于战略制定中”。而这一点在实践中却被误读，甚至被无视。COSO最初在编制ERM框架时采用了类似于内部控制框架所使用的立方体。虽然COSO对立方体右侧的内容进行了修改，删除了有关活动和流程，改为侧重于范围更广的实体和运营单位及分支机构，但许多企业依然试图在过于细微的层面实施该框架，例如运用于流程层面而非战略制定。许多组织机构将企业风险管理作为一种保证活动来实施，而不是将其视为一种更佳的企业管理方式，从而失去了治理效果。2008年金融危机以及2011年的日本海啸所引发的经济大萧条，“黑天鹅”“大变脸”事件频频爆发，

33、ERM有关问题和价值的主张便开始明朗起来，令许多企业进入危机应对模式，企业风险管理的实施也因此受到企业特别是C级高管的真正重视。6月24日，COSO委员会发布企业风险管理：风险与战略和绩效的协调，以向公众征求意见，截止日期为2016年9月30日。（二）企业风险管理（2016）框架的内容相对于企业风险管理（2004）框架，新版企业风险管理（风险与战略和绩效的协调）（2016）使用了构成元素加原则的结构，包括5个构成元素，细分为23条原则，2013年COSO组织更新了企业内部控制框架的部分内容，在文章的整体结构上就是采用的这种结构新的结构加强了新框架的可读性、可用性和一致性。新版ERM框架的五要素

34、和23个原则。新版框架对ERM的定义为：组织在创造、保存、实现价值的过程中赖以进行风险管理的，与战略制订和实施相结合的文化、能力和实践。可以看到，新版框架简化了ERM的定义以方便阅读和记忆。新定义方便的是所有读者的理解，而不只是风险管理从业者。新定义包括文化和能力而不只是过程，更加强调风险与价值的相结合，突出价值创造而不只是防止损失，这样也避免了和内部控制定义的界限不清。新版框架中，ERM被视为战略制定的重要组成和识别机遇、创造和保留价值的必要部分。新版框架中ERM不再是主体的一个额外的或是单独的活动，而是融入主体的战略和运营当中的有机部分。新版框架注意到了自旧版框架发布以来，组织在实践ERM

35、过程中遇到的一些问题，包括对风险管理工作的定位，风险管理工作的范围和目标等，新版框架定义了风险管理工作的高度，包括：战略和业务目标与使命、愿景和价值观不匹配的可能性；选定的战略所隐含的意义；执行战略过程中的风险。1、风险治理和文化风险治理和文化构成了ERM所有其他部分的基础。风险治理定下主体的基本基调，加强ERM的重要性并确立ERM的监管责任的分配；文化则是主体的价值观、行为准则和对风险的理解。（1）实现董事会对风险的监督。董事会对主体的风险监督负有首要责任。（2）建立治理和运作模式。在明确的责任分配下，组织应该建立完整的运营模式和汇报体系。（3）定义期望的组织行为。董事会和管理层通过定义其期

36、望的行为将组织核心价值和对风险的态度具体化。（4）展现对诚实和道德的承诺。组织制定基调，建立员工行为准则并对偏离准则的行为做出回应。（5）加强问责。组织确保各个层级的个体在风险管理方面的职责明确，并确保其自身在提供准则和指导方面的职责明确。（6）吸引、发展并留住优秀的个体。致力于根据战略和业务目标构筑人力资本，管理层通过在不同层面建立人力资源管理体系来吸引、培训、指导人才，评价和留住人才。2、风险、战略和目标设定ERM通过制订战略和业务目标的过程与主体的战略计划融合在一起。通过对商业环境的理解，组织可以得到对内在和外在因素的看法以及它们对风险的影响。组织在战略制订中确定其风险偏好，而业务目标使

37、得战略得以实践并形成主体日常的运营。（1）考虑风险和业务环境。组织考虑业务环境对风险图谱的潜在影响；组织要理解业务环境，考虑内部和外部的环境和不同的利益相关者。（2）定义风险偏好。组织在创造、保存和实现价值的过程中定义风险偏好。（3）评估可供选择的战略。组织评估可替代的战略和对风险状况的影响。（4）建立业务目标的同时考虑风险。组织建立不同层次的业务目标以制定和支持战略的同时考虑风险。（5）定义可接受的绩效浮动区间。可接受的绩效浮动也可以理解为风险容忍度。3、执行中的风险组织识别并评估可能影响其实现战略和业务目标的风险，结合企业的风险偏好，对风险按照其严重程度排分优先次序，组织选择风险应对的方法

38、并对绩效进行监控以做出调整。这样，企业对追求战略和业务目标时所面临的风险量建立起一个组合的观念。（1）识别执行中的风险。组织识别执行过程中影响业务目标实现的风险。（2）评估风险的严重程度。风险评估的重要工具是风险热力图，热力图从风险发生的可能性和影响程度两方面对风险进行评级。风险评价要从固有风险、目标剩余风险和实际剩余风险三个层级进行。（3）区分风险的优先次序。组织结合风险偏好，选定对风险排分优先等级的标准，然后对所有识别的风险进行排分。（4）识别并选择风险响应。这些控制活动在内部控制一整合框架中已经介绍。（5）评估执行中的风险。组织需要对绩效进行监测，如果绩效的浮动区间超出了可以接受的范围，

39、则可能需要重新考虑业务目标或战略；调整目标绩效，重新进行风险评估；重新进行风险优先级的排序；重新制定风险应对措施；重新确立风险偏好。（6）建立风险的组合观。管理层需要从组织整体角度考虑风险，将组织风险作为一个整体去和实现绩效目标所需要承受的风险进行对比，而不是将其视为一个个单独的、分散的风险。4、风险信息、沟通和报告沟通是在主体中不断迭代地取得并分享信息的过程。管理层利用从内部和外部取得的有效信息来支持企业风险管理工作，组织利用信息系统来捕捉、处理和管理数据和信息。通过利用应用于所有组成部分的信息，组织就风险、文化和绩效做出报告。（1）使用相关信息。组织利用支持企业风险管理的信息，首先考虑有哪

40、些可用的信息来源，然后衡量取得这些信息的成本，最终确定需要哪些信息来源。（2）利用信息系统。信息系统可以是正式的或者是非正式的。（3）沟通风险信息。沟通的对象既包括内部的员工，也包括董事会、股东及其他外部的利益相关者。沟通方法可以是电子信息、外部/第三方材料、非正式/口头、公共活动、培训和研讨会、内部文件。（4）对风险、文化和绩效进行报告。组织在各个层级对风险、文化和绩效做出报告。5、监控风险管理效果通过监控风险管理（ERM）的效果，组织可以判断ERM的各组成部分的长期运作是否良好并获知有哪些实质性的变化。（1）对重大变化进行监控。组织识别和评估可能对战略和业务目标的达成造成实质性影响的内部和

41、外部变化。造成这些实质性影响的变化可能来自内部的原因，如快速成长、新技术或者管理层及其他人事变动；可能来自外部环境，例如法规和经济环境的变化；还可能来自组织文化方面，例如并购和重组带来的文化冲击。（2）对ERM进行监控。组织应监控ERM的效果并随时准备对其进行效率上和实用性上的改善，组织同样要明确未来理想中的ERM状态，做到持续改进。五、 内部牵制内部牵制的概念最早在1905年由特克西提出。他认为内部牵制由3部分组成：职责分工、会计记录、人员轮换。这3部分内容在现代内部控制中都有所体现。柯勒会计词典中对内部牵制曾做出最全面的解释，它认为“内部牵制是指以提供有效的组织和经营，并防止错误和其他非法

42、业务发生的业务流程设计。其主要特点是以任何个人，或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵制得以使每项业务能完整、正确地经过规定的处理程序，而在这规定的处理程序中，内部牵制机制永远是一个不可缺少的组成部分”。由此可见，内部牵制是以查错防弊为目的，以职务分离、账目核对为手段，以钱、账、物等为主要控制对象。内部牵制按照实现机制的不同，可分为分离式牵制和合作式牵制两类。（一）分离式牵制内部牵制制度的建立主要是基于两个设想，一是两个人或两个以上的人或部门无意识地犯同样错误的机会是很小的：二是两个

43、或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。按照这样的设想，通过内部牵制机制，实现上下牵制，左右制约，相互监督，因而具有查错防弊这个主要功能。所谓的上下牵制是指，从纵向看，每项经济业务的处理，至少要经过上下级有关人员之手，使下级受上级监督，上级受下级制约，促使上下级均能忠于职守，不可疏忽大意。所谓左右制约是指，从横向看，每项经济业务的处理，至少要经过彼此不相隶属的两个部门的处理，使每一部门工作或记录受另一部门的牵制，不相隶属的不同部门均有完整的记录，使之互相制约，自动检查，防止或减少错误和弊端；同时，通过交叉核对也能及时发现错误和弊病。分离式牵制即不相容职

44、务相分离，所谓不相容职务是指那些如果由一个人或一个部门担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。不相容职务主要有授权批准、业务经办、会计记录、财产保管和稽核检查等职务，包括岗位的不相容、部门的不相容以及流程的不相容。不相容职务分离主要是指授权审批与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等不能由一个人或一个部门进行。由此可见，内部牵制主要是以不相容职务分离为主要流程设计的，是内部控制的最初形式和基本形态。其目的是为了保证财产物资的安全和完整，防止贪污、舞弊。实践证明，该设想是合理的，内部牵制确实起到了防范错弊的作用。（二）合

45、作式牵制现代内部牵制思想还包括合作式牵制。合作式牵制是指，通过合作达到相互制约、相互监督的作用。例如，会审机制，企业面对重大决策、重大业务事项、重要的人事任免以及大额资金支付时，需要领导层集体决策、集体联签，以防止个人决策的失误：又如合同会签制度，即合同在生效前不仅需要主管部门签字盖章还需要其他协作部门共同参与，会审、会签人员共同参与、共担责任，以及降低决策、合同的风险。另外，企业内部各部门之间在业务上的协助也属于合作式牵制。例如，2012年财政部颁布要求在2014年1月1日试行的行政事业单位内部控制规范中规定，重大事项需集体决策和会签。六、 举报投诉制度企业内部控制基本规范第四十三条规定：企

46、业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。投诉是信息沟通的重要手段之一，是信息自下而上沟通的重要形式。企业员工处于经营活动的第一线，能够及时发现经营活动及内部控制实施过程中存在的不足、问题和缺陷以及舞弊行为，并能就完善内部控制体系提出合理化建议和改进意见。为此，企业应当建立举报投诉制度，设置举报专线明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。（一）投诉举报范围及管理职责归属1、投诉举报范围投诉举报范围

47、主要包括以下几个方面。（1）收受贿赂或回扣；（2）将正常情况下可以使企业合法获利的交易事项转移给他人；（3）故意隐瞒、错报交易事项，使信息披露存在虚假记载、误导性陈述或重大遗漏；（4）贪污、挪用、盗窃企业资产；（5）伪造、变造会计记录或凭证，提供虚假财务报告；（6）泄露公司的商业机密、技术秘密；（7）董事、监事、经理及其他高管人员以权谋私；（8）其他损害公司经济利益或谋取不正当利益的经济行为以及使员工个人的正当利益受到损害的行为。2、管理职责归属一般而言，企业内部审计、监察等部门是投诉及举报人保护的管理部门，具体职责如下。（1）负责管理投诉举报电话、电子邮箱，接收实名或匿名投诉举报，并根据需要

48、公布投诉举报电话号码、电子邮箱、通信地址等；（2）书面记录举报内容并及时向管理层或董事会报告；（3）对接受的投诉举报进行调查并将调查结果向管理层或董事会报告；（4）对投诉举报和调查处理后的报告材料及时立卷归档。（二）投诉举报方式投诉举报人可以采用书面、电子邮件、电话等形式进行投诉举报。投诉举报时应当说明事情的基本经过，被投诉举报对象的名称、地址、具体当事人、投诉举报人的姓名、联系方式、投诉举报人的具体投诉要求，并应同时提供投诉举报人利益或公司利益受到侵害的证据，以及与投诉举报事项相关的其他材料。企业应提倡实名投诉举报。凡实名投诉举报的，审计、监察部门将严格保密并以适当的方式将处理结果反馈给投诉

49、举报人。（三）投诉举报处理程序投诉举报的处理程序主要包括以下几个方面。（1）投诉举报时投诉举报人应当如实提供情况，审计、监察部门接收工作人员应对投诉举报内容进行记录。投诉举报人捏造事实伪造证据，利用投诉举报诬告、陷害他人的，应当承担相应的责任。（2）对涉及普通员工及中级管理人员（包括控股子公司管理层）的实名投诉举报，审计、监察部门自接到投诉举报后两个工作日内报总经理；对涉及普通员工及中级管理人员（包括控股子公司管理层）的匿名投诉举报，审计、监察部门进行初步评估后报总经理。由总经理决定是否接受该投诉举报。（3）对投诉举报牵涉到公司高级管理人员的，审计、监察部门自接到投诉举报后一定（如两个）工作日

50、内报公司董事会，由董事会决定是否接受该投诉举报。董事会在接受投诉举报后，视需要可聘请外部审计师或其他机构协助调查。（4）接受投诉举报事项后，审计、监察部门对其展开调查，对涉及普通员工及中级管理人员（包括控股子公司管理层）的调查结果上报总经理并形成处理意见，对牵涉到高级管理人员的调查结果上报董事会并形成处理意见。（5）接受投诉举报事项后，审计、监察部门应在规定期限内将调查情况或处理结果告知投诉举报人。具体分为以下几种情况。对属于职权范围内的，自收到举报后一定时期（如2个月）内，将调查情况或处理结果告知投诉举报人；逾期不能告知的，应当向投诉举报人说明原因。对不属于职权范围内的，自收到投诉举报后一定

51、时期（如10日）内，将不予接受的原因告知投诉举报人，并告知受理机关；需要代转或送交有关部门办理的，应告知投诉举报人所转送部门和转办时间。投诉举报人未署真实姓名、地址，无法告知的，不适用前两款规定。（6）投诉举报人认为接收、办理投诉举报的工作人员与被投诉举报人是近亲属或有利害关系，可能影响举报事项客观、公正处理的，有权提出回避要求。情况属实的，有关人员必须回避。（7）投诉举报人对处理结果有异议或多次投诉举报不予接受的，可以向董事会陈述意见，并由董事会在一定时期（如30日）内将办理情况答复投诉举报人。七、 反舞弊机制（一）反舞弊机制的概念反舞弊机制指为了防止舞弊，加强公司治理和内部控制，降低企业风

52、险，规范经营行为，维护企业合法权益，确保经营目标的实现和企业持续、稳定、健康发展，保护股东合法权益，根据经营目标及法律、法规，结合企业的实际情况，制定的用以规范企业中高级管理人员及所有员工的职业行为的一种制度。企业应当建立反舞弊机制，坚持“惩防并举、重在预防”的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。通过反舞弊机制的建立，企业要将反舞弊工作的重点放在重点领域和关键环节，防范舞弊行为的发生并及时发现发生的舞弊行为。在所建立的反舞弊机制中，要规范相应的舞弊案件查处程序，以便对舞弊案件及时进行处理和纠正，并在反舞弊过

53、程中不断完善内部控制体系。（二）反舞弊机制的重点企业内部控制基本规范第四十二条规定：企业至少应当将下列情形作为反舞弊工作的重点：未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益；在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等：董事、监事、经理及其他高级管理人员滥用职权；相关机构或人员串通舞弊。（三）反舞弊工作的内容1、舞弊的含义舞弊是一种采取不正当和欺骗的手段，有意识地违反既定的公众认可的规则以损害或牟取组织经济利益的行为。2、舞弊的种类（1）按照舞弊主体的不同进行分类。按照舞弊主体的不同，即作弊者身份的不同，可以将舞弊划分为两类，管理舞弊与非管理舞弊。管理

54、舞弊是指管理层蓄谋的舞弊行为，是指企业最高管理当局进行的舞弊。这种舞弊隐蔽性大，难以发现，影响力也很大，舞弊者的层次越高，越难有效地进行预防与检查，危害也越大。其主要表现为财务报表舞弊。非管理舞弊也称为员工舞弊，是指企业中的职员利用内部控制的各种漏洞，采用涂改或伪造单据、账册及其他手段贪污、盗窃或挪用财产的不法行为，常常表现在将现金或其他资产窃为己有。（2）按照内部审计具体准则第6号的规定进行分类。内部审计具体准则第6号一舞弊的预防、检查与报告将舞弊分为：损害组织经济利益的舞弊行为以及谋取组织经济利益的行为。损害组织经济利益的舞弊，是指组织内外人员为谋取自身利益采用欺骗等违法违规手段使组织经济

55、利益遭受损害的不正当行为。有下列情形之一者属于损害组织经济利益的舞弊行为：收受贿赂或回扣；将正常情况下可以使组织获利的交易事项转移给他人；贪污、挪用、盗窃组织资财；使组织为虚假的交易事项支付款项；故意隐瞒、错报交易事项；泄露组织的商业秘密；其他损害组织经济利益的舞弊行为。谋取组织经济利益的舞弊，是指组织内部人员为使本组织获得不当经济利益而其自身也可能获得相关利益，采用欺骗等违法违规手段，损害国家和其他组织或个人利益的不正当行为。有下列情形之一者属于谋取组织经济利益的舞弊行为：支付贿赂或回扣；出售不存在或不真实的资产；故意错报交易事项、记录虚假的交易事项，使财务报表使用者误解而做出不适当的投融资

56、决策；隐瞒或删除应对外披露的重要信息；从事违法违规的经营活动；偷逃税款；其他谋取组织经济利益的舞弊行为。（四）反舞弊的理论研究1、舞弊GONE理论“GONE”理论（四因素论）是由Bologua等人在1993年提出的，是在美国流传最广，也是最有意思的一个企业会计舞弊与反会计舞弊的著名理论。该理论认为，舞弊由G（greed，贪婪）、0（opportunity，机会）、N（need，需要）、E（exposure，暴露）四个因子组成，它们相互作用，密不可分，没有哪一个因子比其他因子更重要。因此，它们共同决定了企业舞弊风险的程度。GONE理论实质上表达了会计舞弊产生的4个条件，即舞弊者既有贪婪之心，且又

57、十分需要钱财时，只要有机会，并被认为事后不会被发现，他就一定会舞弊，导致“Youcanconsideryourmoneygone”（被欺骗者的钱、物、权益等离他而去）。因此，产生了一种很巧妙的说法，即“在贪婪、机会、需要和暴露四因子共同作用的特定环境中，会滋生舞弊，促使被欺骗者的钱、物、权益等离他而去”GONE理论中“贪婪”和“需要”与行为人个体强相关，使个体成为潜在的犯罪者；“机会”和“暴露”则更多与组织环境有关，使组织成为潜在的受害者。组织一方面要加强制度建设，但制度并非十全十美，可能给“贪婪”“需要”的人以机会，另一方面就要对舞弊行为暴露（发现并加以查处）。2、舞弊三角理论舞弊三角理论由

58、美国注册舞弊审核师协会的创始人、曾任美国会计学会会长的史蒂文阿伯雷齐特提出，他认为，企业舞弊的产生是由压力、机会和自我合理化三要素组成，就像必须同时具备一定的热度、燃料、氧气这三要素才能燃烧一样，缺少了上述任何一项要素都不可能真正形成企业舞弊。企业舞弊产生的原因是由动机、机会和借口三要素组成的，这三者也是美国最新的反舞弊准则提醒注册会计师应该关注的舞弊产生的主要条件。（1）实施舞弊的动机或压力。舞弊者具有舞弊的动机是舞弊发生的首要条件，压力可能是经营或财务上的困境以及对资本的急切需求等。例如，高级管理人员的报酬与财务业绩或公司股票的市场表现挂钩、公司正在申请融资等情况都可能促使管理层产生舞弊的

59、动机。（2）实施舞弊的机会。舞弊者需要有舞弊的机会，舞弊才能成功。舞弊的机会一般源于内部控制在设计和运行上的缺陷，如公司对资产管理的松懈，公司管理层能够凌驾于内部控制之上而可以随意操纵会计记录等。实施舞弊的机会主要有六种情况，分别是缺乏发现企业舞弊行为的内部控制；无法判断工作的质量；缺乏惩罚措施；信息不对称；能力不足和审计制度不健全。（3）为舞弊行为寻找借口的能力。借口是指存在某种态度、性格或价值观念，使得管理层或员工能够做出不诚实的行为，或者管理层或员工所处的环境促使其能够将舞弊行为予以合理化。借口是舞弊发生的重要条件之一。只有舞弊者能够对舞弊行为予以合理化，舞弊者才可能做出舞弊行为，做出舞

60、弊行为后才能够心安理得。例如，侵占资产的员工可能认为单位对自身不公，编制虚假报告者可能认为造假不是出于个人私利而是出于公司集体利益。企业舞弊者常用的理由有：这是公司欠我的；我只是暂时借用这笔资金、肯定会归还的：我的目的是善意的，用途是正当的，等等。压力、机会和借口三要素，缺少任何一项要素都不可能真正形成企业舞弊行为。3、企业舞弊风险因子理论该理论是伯洛格那等人在GONE理论的基础上发展形成的，是迄今最为完善的关于形成企业舞弊的风险因子的学说。它把舞弊风险因子分为个别风险因子与一般风险因子。当一般风险因子与个别风险因子结合在一起，并且被舞弊者认为有利时，舞弊就会发生。（1）一般风险因子。一般风险

61、因子是指那些主要由进行自我防护的组织或实体来控制的因素，包括：潜在企业舞弊者进行舞弊的机会；企业舞弊发生时发现企业舞弊的概率；企业舞弊发现后企业舞弊者受罚的性质和程度。首先，企业舞弊发生的机会。这一因子主要指相对于企业舞弊所针对的财产或对象而言的企业舞弊者的职位。企业舞弊发生的机会因子不可能完全消除，消除机会的任何努力将是非经济性和反生产力的，只要组织存在有价值的财产，而且这些财产由其他人（包括雇员、顾客及供应商）流转、交易或控制，企业舞弊发生的机会就永远存在。将企业舞弊机会因子控制在合理水平内的企业反舞弊举措包括：对每个雇员均应明确或规定一个适当的最低舞弊机会水平；严格禁止灾难性舞弊机会水平

62、的出现。这一水平主要取决于具体环境，尤指组织规模。其次，发现舞弊的概率。在企业舞弊发生机会的既定水平下，可以通过增加发现企业舞弊的概率来降低企业舞弊风险。企业舞弊发现的可能性主要取决于内部控制制度，尽管这些控制措施不能杜绝一切企业舞弊行为，但在理论上它们应该足以防止多数重大企业舞弊行为的长期存在。最后，惩罚的性质和程度。发现企业舞弊本身并不足以威慑企业舞弊行为，还必须存在潜在的犯罪逆向结果，即应存在着会产生逆向结果的观念。虽然目前还没有惩罚与企业舞弊发生率关系的相关研究，但传统理念表明，惩罚的性质与程度在逻辑上具有威慑作用。组织或团体应当制定关于惩罚性质与程度的明确政策，并严格实施。例如，凡发

63、现舞弊者的舞弊行为，均应报告主管部门，并对此进行指控。（2）个别风险因子。个别风险因子指那些因人而异，且在组织或团体控制范围之外的因素，包括道德品质与动机两大类。首先，道德品质。该因子在这里表现了更宽泛的道德品质方面的内容，它与个性、正直、诚实等一样，与个人的内在特性息息相关。其次，动机。企业舞弊者进行企业舞弊的动机有很多，但大多数与经济需要有关。对于这类存在于雇员头脑中的黑厘子式的各种复杂动机，企业可采取的反舞弊措施包括：营造有利的环境，以减少企业雇员的舞弊动机（如坦诚对待雇员，保持沟通渠道公开化，以及建立可让雇员舒缓不满情绪的机制等）；业绩评价和奖励制度，尽量确保公平对待每个雇员；员工资助方案，包括为面临个人问题的员工提供免费咨询或其他服务，它们可以有效防止突发的企业舞弊问题；员工培训和监督。4、企业反舞弊四层次机制理论该理论首先在美国著名的特雷德维委员会的调查报告中提出，它全