助焊剂公司治理与内部控制

《助焊剂公司治理与内部控制》由会员分享，可在线阅读，更多相关《助焊剂公司治理与内部控制（90页珍藏版）》请在装配图网上搜索。

1、泓域/助焊剂公司治理与内部控制助焊剂公司治理与内部控制xxx（集团）有限公司目录一、 公司简介4二、 项目基本情况5三、 内部监督的内容7四、 内部监督比较14五、 内部控制缺陷的认定15六、 内部控制评价的组织与实施17七、 沟通控制27八、 信息控制30九、 举报投诉制度40十、 举报人保护制度44十一、 企业内部控制规范体系的结构48十二、 企业内部控制规范的基本内容49十三、 内部控制的重要性60十四、 内部控制的局限性64十五、 内部牵制67十六、 企业风险管理70十七、 产业环境分析79十八、 微电子焊接材料行业应用环节发展状况80十九、 必要性分析81二十、 项目风险分析82二十

2、一、 项目风险对策84发展规划86（一）公司发展规划861、战略目标与发展规划86公司致力于为多产业的多领域客户提供高质量产品、技术服务与整体解决方案，为成为百亿级产业领军企业而努力奋斗。86一、 公司简介（一）公司基本信息1、公司名称：xxx（集团）有限公司2、法定代表人：夏xx3、注册资本：1330万元4、统一社会信用代码：xxxxxxxxxxxxx5、登记机关：xxx市场监督管理局6、成立日期：2012-10-277、营业期限：2012-10-27至无固定期限8、注册地址：xx市xx区xx（二）公司简介公司自成立以来，坚持“品牌化、规模化、专业化”的发展道路。以人为本，强调服务，一直秉承

3、“追求客户最大满意度”的原则。多年来公司坚持不懈推进战略转型和管理变革，实现了企业持续、健康、快速发展。未来我司将继续以“客户第一，质量第一，信誉第一”为原则，在产品质量上精益求精，追求完美，对客户以诚相待，互动双赢。未来，在保持健康、稳定、快速、持续发展的同时，公司以“和谐发展”为目标，践行社会责任，秉承“责任、公平、开放、求实”的企业责任，服务全国。二、 项目基本情况（一）项目投资人xxx（集团）有限公司（二）建设地点本期项目选址位于xx。（三）项目选址本期项目选址位于xx，占地面积约21.00亩。（四）项目实施进度本期项目建设期限规划24个月。（五）投资估算本期项目总投资包括建设投资、建

4、设期利息和流动资金。根据谨慎财务估算，项目总投资9392.08万元，其中：建设投资7516.33万元，占项目总投资的80.03%；建设期利息149.16万元，占项目总投资的1.59%；流动资金1726.59万元，占项目总投资的18.38%。（六）资金筹措项目总投资9392.08万元，根据资金筹措方案，xxx（集团）有限公司计划自筹资金（资本金）6347.89万元。根据谨慎财务测算，本期工程项目申请银行借款总额3044.19万元。（七）经济评价1、项目达产年预期营业收入（SP）：18200.00万元。2、年综合总成本费用（TC）：14733.92万元。3、项目达产年净利润（NP）：2530.61

5、万元。4、财务内部收益率（FIRR）：19.63%。5、全部投资回收期（Pt）：6.08年（含建设期24个月）。6、达产年盈亏平衡点（BEP）：7625.44万元（产值）。（八）主要经济技术指标主要经济指标一览表序号项目单位指标备注1占地面积14000.00约21.00亩1.1总建筑面积26609.24容积率1.901.2基底面积8540.00建筑系数61.00%1.3投资强度万元/亩344.732总投资万元9392.082.1建设投资万元7516.332.1.1工程费用万元6527.502.1.2工程建设其他费用万元816.662.1.3预备费万元172.172.2建设期利息万元149.16

6、2.3流动资金万元1726.593资金筹措万元9392.083.1自筹资金万元6347.893.2银行贷款万元3044.194营业收入万元18200.00正常运营年份5总成本费用万元14733.926利润总额万元3374.147净利润万元2530.618所得税万元843.539增值税万元766.1810税金及附加万元91.9411纳税总额万元1701.6512工业增加值万元5796.6313盈亏平衡点万元7625.44产值14回收期年6.08含建设期24个月15财务内部收益率19.63%所得税后16财务净现值万元2860.62所得税后三、 内部监督的内容（一）内部监督及其职能企业内部监督一般应

7、由内部审计承担。内部审计作为企业内部控制的一部分，能够协调管理层更有效地履行其责任，提高企业的运作效率并增强其活动的附加值。内部审计是由被审计单位内部的机构或人员，对其内部控制的有效性、财务信息的真实完整性以及经营活动的效率和效果等开展的一种评价活动，是与独立审计、政府审计并列的三种审计类型之一。它的目的是发现并预防错误和舞弊，提高企业的运作效率，为企业增加价值。它采取系统化、规范化的方法对企业的内部控制、风险管理进行检查和评价，并提供建议等咨询服务，来提高他们的效率，从而帮助实现企业的目标。企业内部审计的职能如下。（1）监督职能。监督职能是内部审计的基本职能。（2）控制职能。内部审计机构是集

8、团的一个重要职能部门，它独立于其他各部门和其他控制系统，是对其他控制的一种再控制，与其他控制形式相比，更具有独立性、权威性和全面性。内部审计又是内部控制的特殊构成要素，是对内部控制实施的再控制。（3）评价职能。通过内部审计可以熟悉子公司的生产经营情况和财务状况，并且由于内部审计部门独立于子公司，更能客观、公正地评价子公司的管理情况和运行业绩。（4）服务职能。内部审计可以通过事前、事中和事后控制为管理当局的决策、计划、控制提供依据，这些都充分体现了内部审计的服务职能。企业制定内部审计规范，明确审计的范围、责任和计划，以此为基础合理配置审计人员，并要求他们遵守企业职业道德规范及内部审计规范；内部审

9、计部门应具有适当的地位并有足够的资源履行其职责；内部审计部门根据授权可以参加有关经营及财务管理的决策会议，对管理中存在的薄弱环节、违反国家法律法规的行为、内部控制管理漏洞，向管理层及时提出调整意见。（二）内部监督的程序我国企业内部控制基本规范第四十五条规定：企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。因此，企业应强化内部监督，保证内部控制持续有效。1、制定内部控制缺陷标准（1）内部控制缺陷的相关概念内部控制缺陷，是指内部控制的设计存在漏洞，不能有效防范错误与舞弊，或者内部控制的

10、运行存在弱点和偏差，不能及时发现并纠正错误与舞弊的情形。内部控制的缺陷包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标，包括内部控制不健全、内部控制制度不适当。例如，“未建立定期的现金盘点程序”即属于控制设计问题。运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。比较常见的例子就是企业内部控制制度设计健全，但工作人员我行我素，并不按照制度执行。例如，“物资采购申请金额已超过其采购权限，却未向上级公司申请安排大宗物品采购”，这是存在权限管理规定，却未在实际操作中按照执行

11、。（2）内部控制缺陷的分类企业根据内部控制缺陷影响整体控制目标实现的严重程度，将内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。主要考虑如下因素：影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷；针对同一细化控制目标所采取的不同控制活动之间的相互作用；针对同一细化控制目标是否存在其他补偿性控制活动。例如，有关控制漏洞为企业带来重大的损失或造成企业财务报表重大的错报、漏报。又如，凭证连续编号可以保证所有业务活动都得到记录和反映，如果凭证没有连续编号的话，为了避免

12、遗漏重大的业务事项，采用严格的凭证之间、账证之间、账账之间的核对就是保证业务记录完整性的补偿性控制。重要缺陷是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，需引起企业管理层关注。例如，有关缺陷造成的负面影响在部分区域流传，为公司声誉带来损害。一般缺陷是指以上两种缺陷之外的缺陷。（三）内部监督的方法内部监督的方法有两种，包括日常监督和专项监督。内部控制体系日常监督的有效性程度越高，对专项监督的需要程度就越低。管理层为了合理确认内部控制体系的有效性所必须进行的个别评估的频率取决于管理层的判断。通常情况下，日常监督和专项监督的合并

13、使用在某种程度上将会保证内部控制体系随着时间的变化而保持有效性。1、日常监督日常监督是指企业对建立和实施内部控制的整体情况所进行的连续的、全面的、系统的、动态的监督。日常监督是在及时的基础上执行的，能对环境的改变做出动态的反应，它存在于单位的日常管理活动之中，能及时地发现问题。日常监督的范围和频率越大，其有效性就越高，则企业所需的日常监督就越少。日常监督活动的重要环节主要包括以下几方面。（1）获得内部控制执行的证据。获得内部控制执行的证据是指企业员工在实施日常生产经营生活时，取得必要的、相关的证据证明内部控制系统发挥功能的程度。（2）外部反映对内部信息的印证程度。即与外界各方的沟通能够印证内部

14、生成的信息或揭示问题。（3）定期核对财务系统数据与实物资产。也就是说，将信息系统所记录的数据与实物资产相比较，做到账实相符。（4）内外部审计定期提供建议。审计人员评估内部控制的设计以及测试其有效性，识别潜在的缺陷，并向管理层建议采取替代方案，为决策提供有用的信息。（5）管理层对内部控制执行的监督。管理层可以通过以下渠道进行监督：审计委员会接收、保留及处理各种投诉及举报，并保证其保密性；管理层通过培训、会议了解内部控制的执行情况；管理层认真审核员工提出的各项合理建议，并不断完善建议机制。（6）定期考核员工。内部监督部门和人力资源管理部门根据公司管理层的授权定期要求企业员工明确说明他们是否理解并遵

15、守员工行为准则，是否遵守员工职业道德规范，并汇报控制活动的开展情况等。（7）内部审计活动的有效性。适当的组织结构以及监督活动可促进内部控制职能的执行，识别内部控制的缺陷。2、专项监督专项监督又称个别评估，是指企业对内部控制建立与实施的某一方面或者某些方面的情况进行的不定期、有针对性的监督检查。专项监督的范围和频率应根据风险评估结果以及日常监督的有效性等予以确定。一般来说，风险水平较高并且重要的控制，对其进行专项监督的频率应较高。通常，专项监督采用自我评估形式，即负责某一单位或职责的人，员对受其控制的活动的有效性进行评价。专项监督主要关注以下两个方面。（1）高风险且重要的项目。审计部门依据持续监

16、督的结果，对风险较高且重要的项目要进行个别评估。考虑到成本效益原则，对风险很高但不重要的项目或很重要但是风险很小的项目可以减少个别评估的次数。应该将高风险且重要的项目作为专项监督对象。（2）内部环境变化。当内控环境发生变化时，要进行专项监督，以确定内部控制是否还能适应新的内控环境。日常监督和专项监督应当有机结合。前者是后者的基础，后者是前者的有效补充。日常监督的程度越高，其有效性也越高，则企业所需的专项监督次数就越少。如果发现专项监督需要经常性地进行，企业就有必要将其纳入日常监督中，进行日常持续的监控。通常情况下，两种监督有效组合能确保企业内部控制在一定时期内保持有效性。四、 内部监督比较内部

17、控制制度的有效实施，依赖于有效的内部监督系统。内部监督作为内部控制的基本要素之一，对于内部控制的有效运行，以及内部控制的不断完善起着重要的作用。内部监督是对企业内部控制整体运行情况的跟踪、监测和调节。内部监督是在尽可能不影响企业正常经营管理活动的情况下，对内部控制实施情况进行评价，及时纠正企业发生的错误和舞弊，将内部控制制度的缺陷和改进意见反馈给管理者，对发现的内部控制缺陷及时予以弥补。COSO的企业内部控制整体框架和企业风险管理框架中都规定监督为其构成要素。COSO报告与我国企业内部控制基本规范在内部监督的定义、内容与组织机构方面进行了比较。我国企业内部控制基本规范指出内部监督是企业对内部控

18、制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进，内部监督的主要内容包括日常监督和专项监督、缺陷报告、档案记录与验证，内部监督的主要进行机构为内部审计机构（或经授权的其他监督机构）。五、 内部控制缺陷的认定1、内部控制缺陷的分类对于内部控制缺陷的分类，在第一节“内部监督”中已做相关阐述，这里不再赘述。需要强调的是，企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门或机构进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。对于按严重程度分类的内部控制，内部控制评价部门或机构和管理层应当合理确

19、定相关目标发生偏差的可容忍水平，从而对严重偏离的情形予以确定。2、内部控制认定程序与整改如果评价工作人员在实施测试中发现控制差异，应分析差异是否属于控制缺陷并评价其严重程度。如果审查了解控制差异的起因和结果后，断定控制目标未能达到。同时，评价工作组人员不能通过增加其他测试程序证明已发现的差异不能代表所有内控的情况，将形成缺陷的结论。管理层应评价其严重程度并在其年度自我评价报告中披露，同时，有责任对有关控制缺陷进行整改，做出补救措施。由于控制缺陷可以分为设计缺陷和执行缺陷，因此，整改方案应根据缺陷的不同类别制定不同的整改方法。对于需整改的内控设计缺陷，企业需在已有的内控管理制度体系中补充相关规定

20、或修改原有规定，按照企业既定的管理制度报批程序对做出的补充或修改进行审批。对于需整改的内控执行缺陷，企业需加强内控的执行力度，要求控制执行人严格按照相关规定执行。对于重大缺陷和重要缺陷的整改方案，应向董事会（审计委员会）、监事会或经理层报告，并由董事会、监事会或经理层审定。如果出现不适合向经理层报告的情形，例如，存在与管理层舞弊相关的内部控制缺陷，内部控制评价组应当直接向董事会（审计委员会）、监事会报告。重要缺陷并不影响企业内部控制的整体有效性，但是应当引起董事会和管理层的重视。对于一般缺陷，可以向企业管理层报告，并视情况考虑是否需要向董事会（审计委员会）、监事会报告。六、 内部控制评价的组织

21、与实施内部控制评价是由企业董事会和管理层实施的。进行评价的具体内容应围绕企业内部控制基本规范中提及的内部控制五个要素即内部环境、风险评估、控制活动、信息与沟通、内部监督，以及企业内部控制基本规范及企业内部控制应用指引中的内容。在确定具体内容后，企业应制定内部控制评价程序，对内部控制有效性进行全面评价，包括财务报告内部控制有效性和非财务报告内部控制有效性；同时为内部评价工作形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、关键风险点、采取的控制措施、有关证据资料以及认定结果等；企业还应在评价工作中明确内部控制缺陷的认定准则；完成评价后，企业应当准备一份内部控制自我评价报告，在其年报中进

22、行披露：企业董事会应当对内部控制评价报告的真实性负责。（一）内部控制评价的相关概念内部控制评价一般是指由专门的机构或人员，通过对单位内部控制系统的了解、测试和分析，对其完整性、合理性及有效性提出意见，并进行报告，以利于单位进一步健全和完善内部控制体系。我国企业内部控制基本规范第四十六条指出：企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。（二）内部控制评价应当遵循的原则根据企业内部控制评价指引第三条的规定，内部控制评价应遵循以下3个原则。

23、1、全面性原则评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。2、重要性原则评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。3、客观性原则评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。（三）内部控制评价的内容根据企业内部控制评价指引的要求，内部控制评价涉及以下7个方面。（1）企业应当根据企业内部控制基本规范、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。（2）企业组织开展内部环境评价，应当以组

24、织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。（3）企业组织开展风险评估机制评价，应当以企业内部控制基本规范有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。（4）企业组织开展控制活动评价，应当以企业内部控制基本规范和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。（5）企业组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关应用指引

25、为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。（6）企业组织开展内部监督评价，应当以企业内部控制基本规范有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。（7）内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底

26、稿应当设计合理、证据充分、简便易行、便于操作。（四）内部控制评价的程序根据企业内部控制评价指引第十二条的要求，企业应按照内部控制评价办法规定程序，有序开展内部控制评价工作。内部控制评价程序一般包括制订评价控制方案、组成评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。在这里重点讲解制订评价控制方案、组成评价工作组、实施评价工作与测试、汇总评价结果四个环节。1、制订评价控制方案企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。承担内部控制评价的部门或机构应具备以下条件。（1）能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；（2）具备与监督和

27、评价内部控制系统相适应的专业胜任能力和职业道德素养；（3）与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约；（4）能够得到企业董事会和经理层的支持，通常直接接受董事会及其审计委员会的领导和监事会的监督，有足够的权威性来保证内部控制评价工作的顺利开展。内部控制评价部门或机构应根据内部监督情况和要求，制订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权审批后实施。这是一个进行内部控制评估前的全面计划，提供内部控制评价的效率和效果。2、组成评价工作组内部控制评价部门或机构在评价方案获得批准后，需要组织评价工作组

28、，具体承担内部控制检查评价任务。评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。企业可根据自身的条件建立内部控制培训机制，为评价工作组成员提供培训，使其尽快掌握内部控制知识，熟悉企业业务流程及应关注重点、评价工作流程、方法以及工作底稿准备的要求。对于拥有内部审计部门的企业来说，内审部门很有可能也同样地担当内部控制评价组的工作。但如果企业决定利用外聘会计师事务所为其提供内部控制评价服务，根据企业内部控制基本规范的要求，则该事务所不应同时为企业提供内部控制的审计服务。3、实施评价工作与测试评价工作组需通过了解企业层面基本情况

29、、各业务层面的主要流程，识别有关主要风险后，才能开展实施及测试设计和运行有效性的内部控制工作。（1）了解公司层面基本情况。评价工作组与被评价单位进行充分沟通，了解其经营业务范围、企业文化、发展战略、组织结构、人力资源等内部环境及内部控制内容中五个要素的运作情况。（2）了解各业务层面的主要流程及风险。在这一阶段，评价工作组把工作重点放在主要业务流程上，如资金管理流程、销售流程和采购流程等。为支持评估工作与相关测试有效进行，企业应建立全面文档记录。文档记录可以帮助评价工作组了解各个主要业务领域的流程，识别相关的风险关注点及可能存在的内部控制措施。评价工作组可审阅的内控流程文档可能有以下几种。风险控

30、制矩阵文档。关注点在于复核风险流程的合理性，例如，文档是否包含了流程面临的所有风险、列示的风险是否得到定期或及时的更新、对于各项风险的重要性水平分析是否合理，以及复核控制点的识别，关键控制点、重要控制点、一般控制点的判断是否合适。流程图文档。关注点在于流程图是否与实际操作及风险控制矩阵描述相符合，流程图是否清楚地标示所有风险点及控制点，流程图中责任部门、岗位以及其他管理机构是否表述清晰、表述的流程路径是否清晰、是否存在交叉，以及内容是否涵盖所有流程实际操作及相应的控制活动。审批权限表文档。关注点在于部门及岗位的描述是否准确、权限的划分和设置是否合理。评价工作组应识别业务流程中的关键业务或固有风

31、险，提出对于每一重大流程在交易过程中“可能出错”而产生重大错误的问题在这些控制点上识别降低风险的控制，这些控制应当能够为防止发生重要的错误或者能发现并更正错误提供合理保证。有些控制可能并不显而易见，可能是电子化或者是人工的，并且同时是高层及基层实施。这些关注点将是评价工作组进行设计或运行有效性并做出结论的地方。例如，银行账户管理中，银行账户的开立、变更及撤销未经合理的审批及授权，对于该风险点应该采取相应控制措施，提交给银行的开立账户申请书需要经过公司总经理书面批准（签章），提交给银行的变更账户申请需要经过财务经理和总经理审批，提交给银行的撤销账户申请需要经过财务经理和总经理审批。再以资金管理流

32、程为例，企业面临的一个关键业务风险可能是客户需求的波动，当客户需求下降时，企业收入减少，进而发生资金的短缺并增加对营运资金需求的压力，资金需求将会直接导致银行融资或企业债券融资的增加进而导致企业的财务费用成本增加。固有风险是指假设不存在相关的内部控制，某一业务风险事项发生的可能性。例如，某企业所处行业的性质决定该类企业资金、在建工程与固定资产的交易比存货（通常为一些低值易耗品）的交易更容易出现差错。一些产生经营风险的外部因素也可能影响固有风险，如“节能减排”的目标要求企业投资建立高效率、低消耗的新型生产线，并对旧装备进行技术改造，这些都会影响资金流。在各重要流程中，管理层可能已实施不同程度的控

33、制以应对风险。例如，在资金管理流程、银行账户的开立的风险点中，可能有的控制措施是要求提交给银行的开立账户申请书需要经过公司总经理书面批准或签章。（3）确定检查评价范围和重点。评价工作组根据掌握的情况确定评价范围、检查重点和抽样数量，进行分工与测试。评价范围、方式、程序和频率，将因企业经营业务调整、经营环境、风险水平等因素而异。（4）开展现场检查测试。评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法，收集被评价单位内部控制设计与运行是否有效的证据，按照要求填写工作底稿、记录有关测试结果。如果发现内部控制出现缺陷，则需与管理层沟通，对有关缺陷进行认定并

34、进行记录。个别访谈。评价工作组人员可以个别访谈企业或被评价单位的不同人员，了解公司内部控制的现状与运行。个别访谈通常用于企业层面与业务层面评价的阶段。调查问卷。调查问卷多用于企业层面的评价，通过扩大对象范围，如企业中的全体员工，收集简单结果，如对公司企业文化的认同。专题讨论。这是一种集合企业中有关专业人员就内部控制执行情况或控制问题进行的分析和讨论。穿行测试。穿行测试是指在流程中任意选取一项交易为样本，获取原始单据，跟踪交易从最初起源，到会计处理、信息系统和财务报告编制，直到这项交易在财务报表中报告出来的全过程。通过执行“穿行测试”，评价工作人员可获取对一个流程的了解，查找潜在的内控设计问题并

35、识别出相关控制。实地查验。这是一个用于业务层面评价的方法。例如，评价工作人员进行实地盘点以测试企业记录存货的数量，或有关控制的有效性。抽样。抽样方法可以分为随机抽样和其他抽样法。随机抽样一般被认为是最具有代表性或是基于统计学的取样方式，从样本库中抽取一定数量的样本，进行控制测试，以获取有关控制的运行状况。随机选取通常是采用计算机来完成。其他抽样如分层抽样、整群抽样及系统抽样等。比较分析。这是一种通过数据分析，识别评价关注点的方法。例如，通过比较月度的销售情况，识别异常区间，进行检查。审阅与检查。这也是在业务层面评价的常用方法，通过核对有关证据而获取有关控制的运行状况，如选择某些调节表上的差异，

36、追溯到相应的单据记录（如银行对账单）或检查调节表是否有相关负责人签字。4、汇总评价结果评价工作组人员应当在其工作底稿中，记录评价所实施的程序及有关结果。企业内部控制评价工作组应当建立评价质量交叉复核制度，有关评价报告应由评价工作组负责人严格审核确认；与被评价单位进行通报，在提交内部控制评价部门或机构前得到被评价单位相关责任人签字确认。如果在评价工作中发现所有差异，如穿行测试及控制测试中发现的与访谈结果的差异、与流程手册的差异，也应在汇总中适当地记录。企业内部控制评价部门或机构应编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式

37、和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。七、 沟通控制在一个组织中，沟通是指组织内部以及组织和外部组织间旨在完成组织目标而进行的信息交换。沟通交换了有意义、有价值的各种信息，从而使团队合作、组织协调、企业战略制定等企业组织功能得以实现。可以看出，沟通的对象并不局限于管理者与被管理者之间，员工与员工、员工与管理层、管理层与管理层之间需要沟通，企业内部与外部也需要沟通。沟通是信息系统所固有的功能，信息系统

38、必须将其信息提供给相关人员，以使其能够合理地履行相关的职责。信息应在更为广泛的范围内自上而下、自下而上地在整个企业内外进行沟通。信息沟通按沟通的对象可以分为内部信息沟通和外部信息沟通。内部信息沟通指的是企业经营、管理所需的内部信息、外部信息在企业内部的传递和共享外部信息沟通是指企业与利益相关者之间信息的沟通。（一）内部信息沟通一个健康的企业需要长期保持系统上下开放式的沟通交流。开放式沟通能够避免和消除误解，并使信息得到最好的利用。一个企业或组织要协调全体员工实现某项目标，必须使每个员工都明确其目标，这就需要某种形式的沟通。缺乏沟通，其员工将如一盘散沙，因为所有的协调活动都是在一定形式的沟通下进

39、行的，缺乏有效的交流、沟通，就无法协调。通过组织内部的沟通，可以了解各部门的生产或工作进度、各部门之间的关系、各部门员工的士气以及管理的效能等，从而做出如何协调的决定。充分的内部沟通对于企业控制环境、控制作业、风险评估等各方面都起着至关重要的作用，企业所采取的沟通方式要能够达到顺畅沟通的目的，使员工们了解自己应承担的责任、应实现的目标以及这些目标对企业的影响。有效的信息沟通需要合理考虑来自不同部门和岗位、不同渠道的相关信息，并进行合理筛选和相互核对。企业应当采取互联网、电子邮件、电话传真、信息快报、例行会议、专项报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息和外部信

40、息在企业内部准确及时地传递和共享，从而确保董事会、管理层和员工之间的有效沟通。（二）外部信息沟通企业有责任建立良好的外部沟通渠道，对外部有关方面的建议、投诉和收到的其他信息进行记录，并及时予以处理、反馈。有效的外部沟通既可以扩大企业的影响力，还可以获得很多有效内部控制的重要信息。外部沟通应当重点关注以下方面。1、与投资者和债权人的沟通企业应当根据中华人民共和国公司法中华人民共和国证券法等法律法规、企业规章的规定，通过股东大会、投资者会议、定向信息报告等方式，及时向投资者和债权人报告企业的战略规划、经营方针、投融资计划、年度预算、经营成果、财务状况、利润分配方案以及重大担保、合并分立、资产重组等

41、方面的信息，听取投资者和债权人的意见和要求，妥善处理企业与投资者和债权人之间的关系。2、与客户的沟通企业可以通过客户座谈会、走访客户等多种形式，定期听取客户对消费偏好、销售策略、产品质量、售后服务、货款结算等方面的意见和建议，收集客户需求和客户的意见，妥善解决可能存在的控制不当问题。3、与供应商的沟通企业可以通过供需见面会、订货会、业务洽谈会等多种形式与供应商就供货渠道、产品质量、技术性能、交易价格、信用政策等问题进行沟通，及时发现可能存在的控制不当问题。4、与监管机构的沟通企业应当及时向监管机构了解监管政策和监管要求及其变化，并相应完善自身的管理制度；同时，认真了解自身存在的问题，积极反映诉

42、求和建议，努力加强与监管机构的协调。5、与外部审计师的沟通企业应当定期与外部审计师进行会语，听取外部审计师有关财务报表审计、内部控制等方面的建议，以保证内部控制的有效运行以及双方工作的协调。八、 信息控制（一）信息的收集与整理企业内部控制基本规范第三十九条规定：企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，以提高信息的有用性。1、信息收集的含义信息收集是指通过各种方式获取所需要的信息。信息的收集是信息得以利用、传递的第一步，也是关键的一步。信息收集工作的好坏，直接关系到信息与沟通的质量。信息可以分为原始信息和加工信息两大类，原始信息是指在企业管理中直接产生或获取的数据、概念、

43、知识、经验及其总结，是未经加工的信息；加工信息则是对原始信息经过加工、分析、改编和重组而形成的具有新形式、新内容的信息。根据企业内部控制基本规范第三十九条的规定，企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；外部信息的收集渠道主要有行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等。2、信息收集的原则为了保证信息收集的质量，应坚持以下原则。（1）准确性原则。该原则要求所收集到的信息要真实可靠。当然，这个原则是信息收集工作最基本的要求。为达到这样的要求，信息收集者就必须对收集到的信息反复核实、不断检验，力

44、求把误差减少到最低限度。（2）全面性原则。该原则要求所收集到的信息要广泛、全面完整。只有广泛、全面地收集信息，才能完整地反映管理活动和决策对象发展的全貌，为决策的科学性提供保障。当然，实际所收集到的信息不可能做到绝对的全面完整，因此，如何在不完整、不完备的信息下做出科学的决策就是一个非常值得探讨的问题。（3）时效性原则。信息的利用价值取决于该信息是否能及时地提供，即信息的时效性。信息只有及时、迅速地提供给它的使用者才能有效地发挥作用。特别是决策对信息的要求是“事前”的消息和情报，而不是“马后炮”。所以，只有信息是“事前”的，对决策才是有效的。3、信息收集的范围信息收集的范围可从3个角度来划分。

45、（1）内容范围。内容范围是指根据信息内容与信息收集目标和需求相关性特征所确定的范围，包括本身内容范围和环境内容范围。本身内容范围是由事物本身信息相关内容特征组成的范围；环境内容范围是由事物周边、与事物相关的信息的内容特征组成的范围。（2）时间范围。时间范围是指在信息发生的时间上，根据与信息收集目标和需求具有一定相关性的特征所确定的范围，这是由信息的历史性和时效性所决定的。（3）地域范围。地域范围是指在信息发生的地点上，根据与信息收集目标和需求具有一定相关性的特征所确定的范围。这是由信息的地域分布特征和信息收集的相关性要求所决定的。4、信息收集的方法（1）调查法。调查法一般分为普查和抽样调查两大

46、类。普查是调查有限总体中每个个体的有关指标值。抽样调查是按照一定的科学原理和方法，从事物的总体中抽取部分称为样本的个体进行调查，用所得到的调查数据推断总体。抽样调查是较常用的调查方法，也是统计学研究的主要内容。抽样调查的关键是样本抽样方法、样本量大小的确定等。样本抽样方法，又称抽样组织的方式，决定样本集合的选择方式，直接影响信息收集的质量。抽样方法一般分为非随机抽样、随机抽样和综合抽样。常用的调查方法主要有访问调查法、问卷调查法、观察调查法、实验调查法、文案调查法等，这里主要介绍访问调查法和问卷调查法。访问调查法又称采访法，是通过访问信息收集对象，与之直接交谈而获得有关信息的方法。它又分为座谈

47、采访、会议采访以及电话采访和信函采访等方式。采访需要做好充分准备，认真选择调查对象了解调查对象，收集有关业务资料和相关的背景资料。其主要优点是可以就问题进行深入的讨论，获得高质量的信息；缺点是费用高，采访对象不可能很多，因此受访问者要具有代表性。它对采访者的语言交际素质要求较高。问卷调查法是一种包含统计调查和定量分析的信息收集方法。这种方法主要考虑的问题是：所收集信息的内容范围和数量，所选定的调查对象的代表性和数量，问卷的精心设计，问卷的回收率控制等。其具有调查面广、费用低的特点，但对调查对象无法控制，问卷回收率一般都不高，回答的质量也较差，受访者的态度具有决定性影响。（2）观察法。观察法主要

48、通过开会、深入现场、参加生产和经营、实地采样等方法进行现场观察并准确记录（包括测绘、录音、录像、拍照、笔录等）调研情况、收集信息。主要包括两个方面：一是对人的行为的观察，二是对客观事物的观察。观察法应用很广泛，常与询问法、实物搜集结合使用，以提高所收集信息的可靠性。（3）实验方法。实验方法能通过实验过程获取其他手段难以获得的信息或结论。实验者通过主动控制实验条件，包括对参与者类型的恰当限定、对信息产生条件的恰当限定和对信息产生过程的合理设计，可以获得在真实状况下用调查法或观察法无法获得的、某些重要的、能客观反映事物运动表征的有效信息，还可以在一定程度上直接观察、研究某些参量之间的相互关系，有利

49、于对事物本质的研究。实验方法也有多种形式，如实验室实验、现场实验、计算机模拟实验、计算机网络环境下人机结合实验等。现代管理科学中新兴的管理实验、现代经济学中正在形成的实验经济学中的经济实验，实质上就是通过实验获取与管理或经济相关的信息。（4）文献检索。文献检索就是从浩繁的文献中检索出所需的信息的过程。文献检索分为手工检索和计算机检索。手工检索主要是通过信息服务部门收集和建立的文献目录、索引、文摘、参考指南和文献综述等来查找有关的文献信息。计算机文献检索，是文献检索的计算机实现，其特点是检索速度快、信息量大，是当前收集文献信息的主要方法。文献检索过程一般包括分析研究课题和制定检索策略、利用检索工

50、具查找文献线索、根据文献出处索取原始文献三个阶段。文献根据加工深度的不同可分为四个级别：零次文献、一次文献、二次文献和三次文献，所获取的相应信息分别是零次信息、一次信息、二次信息和三次信息。零次文献是指未经出版社发行的或未进入社会交流的最原始的文献，如私人笔记、考察笔记等，内容新颖，但不成熟，因不公开交流而难以获得；一次文献是以作者本人取得的成果为依据而创作的论文、报告等经公开发表或出版的各种文献，如期刊论文、科技报告等，其特点是内容新颖丰富、叙述详尽以及参考价值大，但数量庞大而且分散；二次文献是指报道和查找一次文献的检索工具书刊，如各种目录、题录、文摘和索引等。二次文献是按照特定目的对一定范

51、围和学科领域内的一次文献进行鉴别、筛选、分析、归纳和加工整理后，使之有序化后出版的。其主要功能是检索、控制一次文献，帮助人们较快地获取所需的信息，具有汇集性、工具性、综合性和交流性等特点：三次文献是根据二次文献提供的线索选用大量的一次文献的内容，经过筛选、分析、综合和浓缩而再度出版的文献，包括专题评述、年鉴、百科全书、词典、导读与文献服务目录、工具书目录等。（5）网络信息收集。网络信息是指通过计算机网络发布、传递和存储的各种信息。收集网络信息的最终目标是给广大用户提供网络信息资源服务，整个过程经过网络信息搜索、整合、保存和服务四个步骤，网络信息搜索是基于网络信息收集系统自动完成的。网络信息搜索

52、系统首先按照用户指定的信息需求或主题，调用各种搜索引擎进行网页搜索和数据挖掘，将搜索的信息经过滤等处理过程别除无关信息，从而完成网络信息资源的“收集”；然后通过计算机自动搜索、重排等处理过程，剔除重复信息，再根据不同类别或主题自动进行信息的分类，从而完成网络信息的“整合”；分类整合后的网络信息采用元数据方案进行索引编目，并采用数据压缩及数据传输技术实现本地化的海量数据存储，从而完成网络信息的“保存”，当然要通过网络及时更新；经过索引编目组织的网络信息正式发布后，即可通过检索为读者提供网络信息资源的“服务”5、信息的整理信息的整理就是对收集到的原始信息，通过筛选、核对以及整合，在数量上加以浓缩，

53、在品质上加以提高，在形式上给予表现，使之便于传递、利用和贮存。信息整理是整个信息处理工作的核心。内部控制活动所需要的信息来自于企业内部及外部的、与企业经营管理相关的财务及非财务信息。即，内部控制中的信息收集活动涵盖了企业内部及外部、主观及客观、正式与非正式，并影响企业内部环境、风险评估、控制活动及内部监督的信息。因此，确定信息的收集内容时，应在内部控制覆盖的信息范围内，强化对信息需求的分析。即在与内控相关的信息范围内，根据不同的信息需求收集不同的信息。（二）信息的传递信息传递是指人们通过声音、文字或图像相互交流信息的过程。信息传递研究的是什么人向谁表达，用什么方式表达，通过什么途径表达，达到什

54、么目的。信息传递程序中有三个基本环节。第一个环节是传达人为了把信息传达给接受人，必须把信息“译出”，成为接受人所能懂得的语言或图像等。第二个环节是接受人要把信息转化为自己所能理解的解释，称为“译进”。第三个环节是接受人对信息的反应，要再传递给传达人，称为反馈。企业内部控制基本规范第四十条指出：企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息与沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。内部信息传递，一方面要完善信息向下传递机制，

55、使企业内部参与经营活动的各个方面和全体人员了解企业实现经营目标方面的信息，明确各自职责，了解自身在内部控制体系中的地位和作用；另一方面要完善信息向上传递机制，使企业员工能够及时将其在企业经营活动中所了解的重要信息向管理层及董事会等方面传递。此外，还需建立信息横向传递机制，特别是要使信息在管理层与企业董事会及其委员会之间进行传递。（三）信息系统与内部控制企业内部控制基本规范第四十一条规定：企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。1、

56、信息技术与信息集成随着信息技术的快速发展，企业所面临的竞争环境不断变化，信息已经成为一种资源，能够给企业带来现实的或者潜在的利益。那么，我们应如何使自己尽快适应这种变化？一个关键的工作就是对企业内外部的各种信息进行集成管理，以便被企业有效利用。就大多数企业的现状来看，出于组织结构的设计、实际工作流程的需要等原因，各企业都存在多个不同的信息系统，它们分别关注企业某一方面的信息，具有不同的信息结构和收集、处理渠道，类似于一个个信息孤岛，从而使信息无法得到有效整合。这对企业的管理者来说是非常不利的，尤其是高层管理者在做战略决策时，需要大量相关的信息单一部门的信息系统根本不能满足其需求。这时，就需要对

57、各部门的信息进行有效的整合和集成。有效整合的信息将对管理者决策提供极大的帮助。信息系统的出现在一定程度上解决了这个问题。2、信息技术与内部控制随着企业信息集成与共享的实现，企业价值链中各环节的资源得到了有效的利用，同时信息技术对内部控制与风险管理也将产生重大的影响。企业的内部控制系统也必然随着信息技术的更新而发生改变，例如数据挖掘技术的发展，使得企业有条件实现信息的实时、动态控制和反馈，相对于过去利用汇总的文件进行检查和评估的事后控制模式，此时的控制模式可以实现事前、事中、事后的全过程控制。内部控制制度与计算机程序实现融合，对于内控制度的设计提出了更高的要求，常用的控制手段为访问权限的设置、操

58、作口令的管理等。内部控制内容的变化主要体现为信息技术相关的控制范围的增加，如计算机硬软件安全性的控制、信息系统管理人员职责的控制等。信息集成下的内部控制系统能及时发现内部控制的薄弱环节并及时反馈，因此有必要对此类关键的薄弱环节专门设置控制措施，健全内部控制系统，使内部控制差错带来的损失最小。信息逐渐被人们当作一种战略资源，企业内部各部门之间以及企业之间都会发生大规模的信息交换，不同部门或不同企业间的信息需要协同，因此信息系统的重要性日益增加。随着整个社会信息化进程的加快，企业的日常经营管理活动越来越离不开信息系统的支持。完善的信息系统是企业建立有效的内部控制体系的前提。九、 举报投诉制度企业内

59、部控制基本规范第四十三条规定：企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。投诉是信息沟通的重要手段之一，是信息自下而上沟通的重要形式。企业员工处于经营活动的第一线，能够及时发现经营活动及内部控制实施过程中存在的不足、问题和缺陷以及舞弊行为，并能就完善内部控制体系提出合理化建议和改进意见。为此，企业应当建立举报投诉制度，设置举报专线明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。（一）投诉举报范围及管理职责

60、归属1、投诉举报范围投诉举报范围主要包括以下几个方面。（1）收受贿赂或回扣；（2）将正常情况下可以使企业合法获利的交易事项转移给他人；（3）故意隐瞒、错报交易事项，使信息披露存在虚假记载、误导性陈述或重大遗漏；（4）贪污、挪用、盗窃企业资产；（5）伪造、变造会计记录或凭证，提供虚假财务报告；（6）泄露公司的商业机密、技术秘密；（7）董事、监事、经理及其他高管人员以权谋私；（8）其他损害公司经济利益或谋取不正当利益的经济行为以及使员工个人的正当利益受到损害的行为。2、管理职责归属一般而言，企业内部审计、监察等部门是投诉及举报人保护的管理部门，具体职责如下。（1）负责管理投诉举报电话、电子邮箱，接

61、收实名或匿名投诉举报，并根据需要公布投诉举报电话号码、电子邮箱、通信地址等；（2）书面记录举报内容并及时向管理层或董事会报告；（3）对接受的投诉举报进行调查并将调查结果向管理层或董事会报告；（4）对投诉举报和调查处理后的报告材料及时立卷归档。（二）投诉举报方式投诉举报人可以采用书面、电子邮件、电话等形式进行投诉举报。投诉举报时应当说明事情的基本经过，被投诉举报对象的名称、地址、具体当事人、投诉举报人的姓名、联系方式、投诉举报人的具体投诉要求，并应同时提供投诉举报人利益或公司利益受到侵害的证据，以及与投诉举报事项相关的其他材料。企业应提倡实名投诉举报。凡实名投诉举报的，审计、监察部门将严格保密并

62、以适当的方式将处理结果反馈给投诉举报人。（三）投诉举报处理程序投诉举报的处理程序主要包括以下几个方面。（1）投诉举报时投诉举报人应当如实提供情况，审计、监察部门接收工作人员应对投诉举报内容进行记录。投诉举报人捏造事实伪造证据，利用投诉举报诬告、陷害他人的，应当承担相应的责任。（2）对涉及普通员工及中级管理人员（包括控股子公司管理层）的实名投诉举报，审计、监察部门自接到投诉举报后两个工作日内报总经理；对涉及普通员工及中级管理人员（包括控股子公司管理层）的匿名投诉举报，审计、监察部门进行初步评估后报总经理。由总经理决定是否接受该投诉举报。（3）对投诉举报牵涉到公司高级管理人员的，审计、监察部门自接

63、到投诉举报后一定（如两个）工作日内报公司董事会，由董事会决定是否接受该投诉举报。董事会在接受投诉举报后，视需要可聘请外部审计师或其他机构协助调查。（4）接受投诉举报事项后，审计、监察部门对其展开调查，对涉及普通员工及中级管理人员（包括控股子公司管理层）的调查结果上报总经理并形成处理意见，对牵涉到高级管理人员的调查结果上报董事会并形成处理意见。（5）接受投诉举报事项后，审计、监察部门应在规定期限内将调查情况或处理结果告知投诉举报人。具体分为以下几种情况。对属于职权范围内的，自收到举报后一定时期（如2个月）内，将调查情况或处理结果告知投诉举报人；逾期不能告知的，应当向投诉举报人说明原因。对不属于职权范围内的，自收到投诉举报后一定时期（如10日）内，将不予接受的原因告知投诉举报人，并告知受理机关；需要代转或送交有关部门办理的，应告知投诉举报人所转送部门和转办时间。投诉举报人未署真实姓名、地址，无法告知的，不适用前两款规定。（6）投诉举报人认为接收、办