商用类无人机公司治理计划

《商用类无人机公司治理计划》由会员分享，可在线阅读，更多相关《商用类无人机公司治理计划（94页珍藏版）》请在装配图网上搜索。

1、泓域/商用类无人机公司治理计划商用类无人机公司治理计划xx有限公司目录一、 项目概况4二、 公司概况7公司合并资产负债表主要数据7公司合并利润表主要数据8三、 企业风险管理8四、 内部控制17五、 企业内部控制规范体系的结构20六、 内部控制的相关比较22七、 信息的含义与分类25八、 信息与沟通的概念27九、 信息控制29十、 沟通控制39十一、 举报投诉制度42十二、 举报人保护制度46十三、 公司治理模式差异论50十四、 公司治理与公司管理的关系53十五、 英美模式的产生54十六、 英美模式的主要内容55十七、 产业环境分析60十八、 构建梯次企业集群61十九、 强化基础设施保障62二十

2、、 加快产业融合应用64二十一、 必要性分析66二十二、 发展规划67二十三、 人力资源配置分析75劳动定员一览表75二十四、 项目风险分析77二十五、 项目风险对策79二十六、 法人治理结构80一、 项目概况（一）项目基本情况1、承办单位名称：xx有限公司2、项目性质：技术改造3、项目建设地点：xx（以最终选址方案为准）4、项目联系人：程xx（二）主办单位基本情况公司坚持提升企业素质，即“企业管理水平进一步提高，人力资源结构进一步优化，人员素质进一步提升，安全生产意识和社会责任意识进一步增强，诚信经营水平进一步提高”，培育一批具有工匠精神的高素质企业员工，企业品牌影响力不断提升。未来，在保持

3、健康、稳定、快速、持续发展的同时，公司以“和谐发展”为目标，践行社会责任，秉承“责任、公平、开放、求实”的企业责任，服务全国。当前，国内外经济发展形势依然错综复杂。从国际看，世界经济深度调整、复苏乏力，外部环境的不稳定不确定因素增加，中小企业外贸形势依然严峻，出口增长放缓。从国内看，发展阶段的转变使经济发展进入新常态，经济增速从高速增长转向中高速增长，经济增长方式从规模速度型粗放增长转向质量效率型集约增长，经济增长动力从物质要素投入为主转向创新驱动为主。新常态对经济发展带来新挑战，企业遇到的困难和问题尤为突出。面对国际国内经济发展新环境，公司依然面临着较大的经营压力，资本、土地等要素成本持续维

4、持高位。公司发展面临挑战的同时，也面临着重大机遇。随着改革的深化，新型工业化、城镇化、信息化、农业现代化的推进，以及“大众创业、万众创新”、中国制造2025、“互联网+”、“一带一路”等重大战略举措的加速实施，企业发展基本面向好的势头更加巩固。公司将把握国内外发展形势，利用好国际国内两个市场、两种资源，抓住发展机遇，转变发展方式，提高发展质量，依靠创业创新开辟发展新路径，赢得发展主动权，实现发展新突破。公司注重发挥员工民主管理、民主参与、民主监督的作用，建立了工会组织，并通过明确职工代表大会各项职权、组织制度、工作制度，进一步规范厂务公开的内容、程序、形式，企业民主管理水平进一步提升。围绕公司

5、战略和高质量发展，以提高全员思想政治素质、业务素质和履职能力为核心，坚持战略导向、问题导向和需求导向，持续深化教育培训改革，精准实施培训，努力实现员工成长与公司发展的良性互动。（三）项目建设选址及用地规模本期项目选址位于xx（以最终选址方案为准），占地面积约86.00亩。项目拟定建设区域地理位置优越，交通便利，规划电力、给排水、通讯等公用设施条件完备，非常适宜本期项目建设。（四）项目总投资及资金构成本期项目总投资包括建设投资、建设期利息和流动资金。根据谨慎财务估算，项目总投资40467.72万元，其中：建设投资32389.15万元，占项目总投资的80.04%；建设期利息426.58万元，占项目

6、总投资的1.05%；流动资金7651.99万元，占项目总投资的18.91%。（五）项目资本金筹措方案项目总投资40467.72万元，根据资金筹措方案，xx有限公司计划自筹资金（资本金）23056.37万元。（六）申请银行借款方案根据谨慎财务测算，本期工程项目申请银行借款总额17411.35万元。（七）项目预期经济效益规划目标1、项目达产年预期营业收入（SP）：80900.00万元。2、年综合总成本费用（TC）：65454.11万元。3、项目达产年净利润（NP）：11282.97万元。4、财务内部收益率（FIRR）：20.36%。5、全部投资回收期（Pt）：5.70年（含建设期12个月）。6、达

7、产年盈亏平衡点（BEP）：33890.88万元（产值）。（八）项目建设进度规划项目计划从可行性研究报告的编制到工程竣工验收、投产运营共需12个月的时间。二、 公司概况（一）公司基本信息1、公司名称：xx有限公司2、法定代表人：程xx3、注册资本：1270万元4、统一社会信用代码：xxxxxxxxxxxxx5、登记机关：xxx市场监督管理局6、成立日期：2013-6-287、营业期限：2013-6-28至无固定期限8、注册地址：xx市xx区xx（二）公司主要财务数据公司合并资产负债表主要数据项目2020年12月2019年12月2018年12月资产总额18253.3614602.6913690.0

8、2负债总额7769.416215.535827.06股东权益合计10483.958387.167862.96公司合并利润表主要数据项目2020年度2019年度2018年度营业收入58418.3446734.6743813.75营业利润10562.788450.227922.09利润总额8872.007097.606654.00净利润6654.005190.124790.88归属于母公司所有者的净利润6654.005190.124790.88三、 企业风险管理（一）企业风险管理（2004）架构1、基本框架2004年，COSO为企业风险管理确立了一个可普遍接受的定义，该定义融入众多观点并达成共识，

9、为各组织识别风险和加强对风险的管理提供了坚实的理论基础，即企业风险管理是一个受企业董事会、管理层和其他人士影响的过程，运用于制订战略之中，并且贯穿整个企业，用以识别可能影响该企业的潜在事项，并且将风险控制在风险偏好的范围之内，为达到实体目标提供合理的保证。企业风险管理（2004）框架的主要贡献就在于，其重新界定了风险管理，即由目标、要素和组织三个维度组成的有机整体。第一维度为企业的目标，即战略目标、经营目标、报告目标和合规目标。在主体既定的使命或愿景范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的战略目标、经营目标、报告目标和合规目标。战

10、略目标与高层目标相关，和企业使命相一致，企业所有的经营管理活动必须长期有效地支持该使命。经营目标与企业运营的效果和效率相关，包括业绩和利润目标，运营变化以管理当局对结构和业绩的选择为基础，旨在使企业能够高效地使用资源。报告目标与组织报告可靠性相关，包括对内报告和对外报告，涉及财务和非财务信息。合规目标层次较低，也是最基础的目标，与组织遵循相关法律法规有关。第二维度为构成要素，即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。第三维度组织是企业的层级，包括主体层次、分部、业务单元及子公司。三个维度的关系是，全面风险管理的八个要素都是为企业的四个目标服务的；企业各个层

11、级都要坚持同样的四个目标；每个层次都必须从以上八个方面进行风险管理。2、构成要素第二维度企业风险管理包含八个相互关联的要素。它们来源于管理当局经营企业的方式，并与管理过程整合在一起。这些构成要素的含义如下。内部环境内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。目标设定必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。事项识别必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会

12、被反馈到管理当局的战略或目标制订过程中。风险评估一通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对管理当局选择风险应对回避、承受、降低或者分担风险采取一系列行动以便把风险控制在主体的风险容忍度和风险容量以内。控制活动一制订和执行政策与程序以帮助确保风险应对得以有效实施。信息与沟通一一相关的信息以确保员工履行其职责的方式和时机，能被识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。监控对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。企业风险管

13、理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一个构成要素都会影响其他构成要素。3、企业风险管理（2004）框架面临的问题企业风险管理（2004）框架在对企业风险管理进行定义时所强调的最重要也是最独具一格的一点是“贯穿整个企业，应用于战略制定中”。而这一点在实践中却被误读，甚至被无视。COSO最初在编制ERM框架时采用了类似于内部控制框架所使用的立方体。虽然COSO对立方体右侧的内容进行了修改，删除了有关活动和流程，改为侧重于范围更广的实体和运营单位及分支机构，但许多企业依然试图在过于细微的层面实施该框架，例如运用于

14、流程层面而非战略制定。许多组织机构将企业风险管理作为一种保证活动来实施，而不是将其视为一种更佳的企业管理方式，从而失去了治理效果。2008年金融危机以及2011年的日本海啸所引发的经济大萧条，“黑天鹅”“大变脸”事件频频爆发，ERM有关问题和价值的主张便开始明朗起来，令许多企业进入危机应对模式，企业风险管理的实施也因此受到企业特别是C级高管的真正重视。6月24日，COSO委员会发布企业风险管理：风险与战略和绩效的协调，以向公众征求意见，截止日期为2016年9月30日。（二）企业风险管理（2016）框架的内容相对于企业风险管理（2004）框架，新版企业风险管理（风险与战略和绩效的协调）（2016

15、）使用了构成元素加原则的结构，包括5个构成元素，细分为23条原则，2013年COSO组织更新了企业内部控制框架的部分内容，在文章的整体结构上就是采用的这种结构新的结构加强了新框架的可读性、可用性和一致性。新版ERM框架的五要素和23个原则。新版框架对ERM的定义为：组织在创造、保存、实现价值的过程中赖以进行风险管理的，与战略制订和实施相结合的文化、能力和实践。可以看到，新版框架简化了ERM的定义以方便阅读和记忆。新定义方便的是所有读者的理解，而不只是风险管理从业者。新定义包括文化和能力而不只是过程，更加强调风险与价值的相结合，突出价值创造而不只是防止损失，这样也避免了和内部控制定义的界限不清。

16、新版框架中，ERM被视为战略制定的重要组成和识别机遇、创造和保留价值的必要部分。新版框架中ERM不再是主体的一个额外的或是单独的活动，而是融入主体的战略和运营当中的有机部分。新版框架注意到了自旧版框架发布以来，组织在实践ERM过程中遇到的一些问题，包括对风险管理工作的定位，风险管理工作的范围和目标等，新版框架定义了风险管理工作的高度，包括：战略和业务目标与使命、愿景和价值观不匹配的可能性；选定的战略所隐含的意义；执行战略过程中的风险。1、风险治理和文化风险治理和文化构成了ERM所有其他部分的基础。风险治理定下主体的基本基调，加强ERM的重要性并确立ERM的监管责任的分配；文化则是主体的价值观、

17、行为准则和对风险的理解。（1）实现董事会对风险的监督。董事会对主体的风险监督负有首要责任。（2）建立治理和运作模式。在明确的责任分配下，组织应该建立完整的运营模式和汇报体系。（3）定义期望的组织行为。董事会和管理层通过定义其期望的行为将组织核心价值和对风险的态度具体化。（4）展现对诚实和道德的承诺。组织制定基调，建立员工行为准则并对偏离准则的行为做出回应。（5）加强问责。组织确保各个层级的个体在风险管理方面的职责明确，并确保其自身在提供准则和指导方面的职责明确。（6）吸引、发展并留住优秀的个体。致力于根据战略和业务目标构筑人力资本，管理层通过在不同层面建立人力资源管理体系来吸引、培训、指导人才

18、，评价和留住人才。2、风险、战略和目标设定ERM通过制订战略和业务目标的过程与主体的战略计划融合在一起。通过对商业环境的理解，组织可以得到对内在和外在因素的看法以及它们对风险的影响。组织在战略制订中确定其风险偏好，而业务目标使得战略得以实践并形成主体日常的运营。（1）考虑风险和业务环境。组织考虑业务环境对风险图谱的潜在影响；组织要理解业务环境，考虑内部和外部的环境和不同的利益相关者。（2）定义风险偏好。组织在创造、保存和实现价值的过程中定义风险偏好。（3）评估可供选择的战略。组织评估可替代的战略和对风险状况的影响。（4）建立业务目标的同时考虑风险。组织建立不同层次的业务目标以制定和支持战略的同

19、时考虑风险。（5）定义可接受的绩效浮动区间。可接受的绩效浮动也可以理解为风险容忍度。3、执行中的风险组织识别并评估可能影响其实现战略和业务目标的风险，结合企业的风险偏好，对风险按照其严重程度排分优先次序，组织选择风险应对的方法并对绩效进行监控以做出调整。这样，企业对追求战略和业务目标时所面临的风险量建立起一个组合的观念。（1）识别执行中的风险。组织识别执行过程中影响业务目标实现的风险。（2）评估风险的严重程度。风险评估的重要工具是风险热力图，热力图从风险发生的可能性和影响程度两方面对风险进行评级。风险评价要从固有风险、目标剩余风险和实际剩余风险三个层级进行。（3）区分风险的优先次序。组织结合风

20、险偏好，选定对风险排分优先等级的标准，然后对所有识别的风险进行排分。（4）识别并选择风险响应。这些控制活动在内部控制一整合框架中已经介绍。（5）评估执行中的风险。组织需要对绩效进行监测，如果绩效的浮动区间超出了可以接受的范围，则可能需要重新考虑业务目标或战略；调整目标绩效，重新进行风险评估；重新进行风险优先级的排序；重新制定风险应对措施；重新确立风险偏好。（6）建立风险的组合观。管理层需要从组织整体角度考虑风险，将组织风险作为一个整体去和实现绩效目标所需要承受的风险进行对比，而不是将其视为一个个单独的、分散的风险。4、风险信息、沟通和报告沟通是在主体中不断迭代地取得并分享信息的过程。管理层利用

21、从内部和外部取得的有效信息来支持企业风险管理工作，组织利用信息系统来捕捉、处理和管理数据和信息。通过利用应用于所有组成部分的信息，组织就风险、文化和绩效做出报告。（1）使用相关信息。组织利用支持企业风险管理的信息，首先考虑有哪些可用的信息来源，然后衡量取得这些信息的成本，最终确定需要哪些信息来源。（2）利用信息系统。信息系统可以是正式的或者是非正式的。（3）沟通风险信息。沟通的对象既包括内部的员工，也包括董事会、股东及其他外部的利益相关者。沟通方法可以是电子信息、外部/第三方材料、非正式/口头、公共活动、培训和研讨会、内部文件。（4）对风险、文化和绩效进行报告。组织在各个层级对风险、文化和绩效

22、做出报告。5、监控风险管理效果通过监控风险管理（ERM）的效果，组织可以判断ERM的各组成部分的长期运作是否良好并获知有哪些实质性的变化。（1）对重大变化进行监控。组织识别和评估可能对战略和业务目标的达成造成实质性影响的内部和外部变化。造成这些实质性影响的变化可能来自内部的原因，如快速成长、新技术或者管理层及其他人事变动；可能来自外部环境，例如法规和经济环境的变化；还可能来自组织文化方面，例如并购和重组带来的文化冲击。（2）对ERM进行监控。组织应监控ERM的效果并随时准备对其进行效率上和实用性上的改善，组织同样要明确未来理想中的ERM状态，做到持续改进。四、 内部控制20世纪初期建立起来的内

23、部牵制制度虽然对企业管理起到很大的作用，但随着经济的不断发展、企业规模的扩大以及对企业管理要求的逐步提高，它的不完善之处也逐渐暴露出来。尤其是20世纪30年代全球性经济危机暴露出的会计失真、经济秩序混乱等问题，引起各国政府和企业的高度重视和深刻反思。（一）国外对内控概念的界定明确的内控概念的提出约有70年的历史，其每次突破性发展都是由欧美引发实施的，具体的定义归纳如下。1949年定义：基于保护企业资产、检查会计数据的准确性和可靠性、提高运营效率、促进管理政策的贯彻和实施而在企业内部采取的各种方法和措施。1958年定义：内部控制分为内部会计控制和内部管理控制。前者是关于保护企业资产、检查会计数据

24、的准确性和可靠性的控制；后者是关于提高运营效率、促进管理政策的贯彻和实施的控制。1973年的定义：内部管理控制制度包括但不限于组织机构的计划以及与管理部门进行批准决策有关的程序与记录。会计控制制度包括组织机构设计以及与财产保护和财务会计记录可信性直接相关的各种措施。1988年的定义：企业内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序。内部控制结构3要素为：控制环境、会计系统、控制程序。1992年的定义：为实现经营效率和效果、财务报告可信性以及相关法令的遵循等目标而提供合理保证的过程。内部控制的实施者为企业董事会、经理层及其他员工。从各阶段内部控制的定义可以看出内部控制发展、演进和

25、完善的过程，对我国内部控制概念的界定具有很好的借鉴作用。（二）我国对内部控制概念的界定对比国外发展，我国的内控规范发展独具特色：内控规范建设是由政府各部门以“准法规”形式发布实施的，权威性强，执行快速有力；我国真正意义上的内控规范是从其核心的内部会计控制即会计监管上入手，而不是由内控框架起步的。2008年6月28日五部委颁布的企业内部控制基本规范，将内部控制定义为：是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。在理解此概念中，需要特别注意以下几

26、点。（1）内部控制的概念不再拘泥于传统意义上的概念，而是结合我国的基本实情，形式上借鉴COSO内部控制整体框架的五要素框架，同时在内容上体现企业风险管理框架的先进理念，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证的五要素框架。（2）内部控制的实施者结构为“董事会、监事会、经理层和全体员工”，体现全员特征。内部控制是一个受“人”影响的过程，它是由组织内部的每一层级人员共同执行，需要全体员工的共同参与。它要求企业内部的每个员工均明确自己的责任和权力，以便更好地履行其职责，提高内部控制的执行力度。（3）内部控制是一个“过程”而非

27、结果，不是单一制度、机械的规定，而是一个发现问题、解决问题，并且贯彻于企业管理始终的动态过程。该定义没有用“合理保证”这个词，并非说明内部控制是目标的完全保证，“过程”已体现了合理保证的核心思想，控制目标一定能实现，只是需要一个过程。而“合理保证”的内涵在内部控制五大要素之中，特别是在控制活动中得到体现。五、 企业内部控制规范体系的结构2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引。该配套指引包括18项企业内部控制应用指引企业内部控制评价指引和企业内部控制审计指引，连同此前发布的企业内部控制基本规范，标志着适应我国企业实际情况、融合国际先进经验的中国

28、企业内部控制规范体系基本建成。我国内部控制规范体系分两个层面，一是基本规范，二是配套指引。（一）基本规范企业内部控制基本规范是内部控制建设与实施应该遵循的基本原则和总体要求，具有强制性，纳入实施范围的企业应当遵照执行。（二）配套指引企业内部控制配套指引（包括应用指引、评价指引和审计指引）是对企业内部控制基本规范相关规定的进一步补充和说明具有指导性和示范性，企业可以结合所在行业要求和企业自身特点，参照配套指引的规定开展内部控制建设与实施工作。配套指引包括应用指引、评价指引和审计指引，三者之间既相互独立，又相互联系，形成一个有机整体。1、企业内部控制应用指引应用指引是对企业按照内部控制五大原则和内

29、部控制五大要素建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占据主体地位，主要包括控制环境类指引、控制活动类指引和控制手段类指引。2、企业内部控制评价指引评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引，用于企业董事会或类似决策机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。3、企业内部控制审计指引审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。六、 内部控制的相关比较（一）目标的比较内部控制是一个管理系统而非技术系统，是一个防守系统而不是进攻系统，因此，内部控制要实现企业的价值最大化目标，无法依靠利益的增加而

30、只能通过减少支出。内部控制的目标，通常指内部控制所要达到的预期效果和所要完成的控制任务。从理论上说，内部控制的目标主要取决于内部控制本身所具有的功能和人们在设计、执行内部控制时的主观需要。内部控制的目标限于内部控制功能和人们的主观需求之间，不可能高于其本身的客观功能，当然，也不能低于主观需求。1、国内外相关报告的内部控制目标比较内部控制的目标并非单一的，是由几个目标组成的目标结构或体系，并且，各目标之间存在着相互联系。目前内部控制学关于目标的阐述有“三目标论”“四目标论”“五目标论”，这些目标深入具有不同的层次，但有一个共同的目标指向，即降低各种风险带来的损失。对内部控制整体框架、企业风险管理

31、框架与我国企业内部控制基本规范中所规定的内部控制目标进行的比较。标准或规范对内部控制目标的规定有所差异，主要是因为第一，确定控制目标的设定基础。有的以内部会计控制为基础设定（如1949年的定义），有的以内部控制为基础来设定，有的以风险管理为基础设定；第二，颁布这些标准或规范的机构不同。有的从企业层面颁布，有的从行业层面颁布，有的从监管层面颁布。反观我国基本规范，相较于企业风险管理框架，多了一个资产安全目标，资产安全是企业展开各种经济活动的物质前提，但是从目标的排列次序上可以看出，我国的基本规范中规定的次序恰恰与企业风险管理报告要求的相反，这是结合我国基本实情的具体规定。一般认为，首先，企业应当

32、在合规合法的前提下开展活动，违背了这项原则，其他目标再好也是纸上谈兵。其次，保证合规合法目标实现的基础之上，资产作为企业经济活动的物质前提，应当保证实现资产安全的目标。再次，企业应当保证财务报告及相关信息的真实完整，以便于利益相关者做出决策。与此同时，企业应当回归到日常经营管理活动当中来，提高企业的经营效率和效果，提高经营业绩是企业的大势所趋。最后，在上述四个目标实现的基础上，提出了企业的发展战略。2、我国内部控制目标演进过程我国的相关法规制度对内部控制目标的界定也是一个不断演进的过程，我国相关法规、制度对内部控制目标的界定，可以分为三个发展演进阶段。第一阶段，外部化阶段。强调内部会计控制，突

33、出财务报告的真实完整，主要表现在独立审计具体准则第9号内部控制和审计风险（体现内部控制为审计服务）、财政部内部会计控制规范一基本规范等。第二阶段，内部化阶段。强调内部控制，在保证财务报告真实完整的前提下提高经营的效率和效果，主要表现在中国注册会计师审计准则第1211号（体现风险导向的审计内涵）、上交所上市公司内部控制指引、深交所上市公司内部控制指引等。第三阶段，风险管理阶段。强调企业风险管理，主要表现在五部委企业内部控制基本规范。以上三个阶段说明我国内部控制目标的发展是在借鉴国外最佳实践的基础上，关于内部控制理念与实践的提升。（二）内部控制要素的比较纵观内部控制的历史演进可以发现，从最早的内部

34、控制“一要素”阶段内部牵制阶段，“二要素”阶段一内部控制制度阶段，“三要素”阶段一内部控制结构阶段，到“五要素”阶段内部控制整合框架阶段，再到“八要素”阶段一风险管理整合框架阶段，内部控制的发展历史实际上也是内部控制要素不断充实和丰富的过程。内部控制基本要素反映了内部控制的内容，这些要素及其构成方式与整个控制过程整合在一起，决定着控制的内容与形式。企业风险管理框架在内部控制整体框架的基础上，将风险评估分解为目标制定、事项识别、风险评估和风险应对四个要素，纳入风险管理流程，突出了风险管理的重要性。而基本规范是五要素的体系结构，一方面继承内部控制整体框架的理论成果，另一方面适当体现企业风险管理框架

35、的先进理念，结合我国国情的基础上将两者有效结合。七、 信息的含义与分类（一）信息的含义信息是指来源于企业内部或外部，与企业经营相关的各种信息，包括获取的行业、经济，以及内部生产经营管理、财务等方面的信息。企业内部控制基本规范要求通过信息系统识别、获取、处理和报告信息为管理和控制经营活动提供信息支持。信息系统可以是手工信息系统，也可以是利用现代信息技术的信息系统，还可以是手工和信息技术相合的信息系统；可以是正式的信息系统，也可以是非正式的信息系统。信息系统处理的对象既包括企业经营活动等内部生成的信息，也包括与经营活动相关的外部事项、活动和环境等外部信息。信息系统一方面需要定期获取和报告经营活动各

36、方面的信息，包括产品的生产和销售方面的信息；另一方面需要采取措施获取市场变化对产品和劳务等需求方面的信息。信息系统不仅要识别和获取所需的财务信息和非财务信息，而且还必须在一定的时间内，以有助于企业控制其经营活动的方式处理和报告信息。信息系统应根据所面临的市场变化、竞争对手的创新以及客户需求的重大变化进行调整，以支持企业实现其经营和战略目标，并要求企业将信息系统的规划、设计和执行与企业的整体战略进行整合。信息系统作为经营活动不可分割的组成部分，通过获取决策所需要的信息来实施控制。对信息系统与经营目标进行整合跟踪和记录交易，将企业的各项经营活动包含于整合的系统之中，有助于对经营活动实施控制。企业信

37、息系统中信息技术的使用应当有助于企业经营目标的实现而不在于使用的是否为最先进的信息技术。信息系统所提供的信息内容应适当、及时、准确，并且信息必须是当前最新和可以获取的。由于信息的质量直接影响企业管理当局在管理和控制中的决策，信息系统本身成为内部控制体系的一个组成部分，必须对其进行控制。另外，由于信息系统在内部控制中的重要性，其本身又是内部控制的对象，企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制保证信息系统安全、稳定地运行。（二）信息的分类按照信息的来源不同，分为内部信息和外部信息。内部信息是指企业的各种业务报表和分析报告，有关生产方面、技

38、术方面的资料以及经营管理部门制订的计划、经营决策等方面的情况。内部信息主要包括财务信息、生产经营信息、销售信息、技术创新信息、综合管理信息等。外部信息是指从企业外部所获取的信息。外部信息主要包括国家法律法规，相关监管机构信息，经济形势信息，客户、供应商信息，科技进步和社会文化信息等。八、 信息与沟通的概念企业内部控制基本规范第三十八条指出：企业应当建立信息与沟通制度，明确企业内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。信息与沟通，包括辨别取得适当的信息并加以有效沟通两个部分内容。美国COSO委员会的内部控制一整体框架要求企业以一定的形式、在一定的时间范围内识

39、别、获取和沟通相关信息以使企业内部各层次员工能够顺利履行其职责。信息与沟通是指企业能够准确、及时并最大限度地获取和运用来自企业内外部与本企业生产经营活动有关的政策、法律、技术、市场等各方面的信息，并使信息在企业内部进行有效的传递，为企业管理者的各种决策提供强有力的支持。作为内部控制基本要素之一的信息与沟通，在内部控制中发挥着不可替代的作用，为内部控制的其他要素有效发挥作用提供了信息支撑，也为企业整个内部控制的有效运行提供了信息支持。要准确理解信息沟通的含义，需要注意以下几点：第一，信息与沟通首先是信息的传递，如果信息没有被传递，信息沟通就没有发生，信息是沟通的对象和内容，而沟通是信息传递的手段

40、；第二，成功的信息与沟通，不仅需要信息被传递，还需要被理解；第三，信息与沟通的主体是人，即信息与沟通主要发生在人与人之间；第四，由于管理过程中各种信息相互关联、交错，所以管理者把各种信息沟通过程看成是一个整体，即管理信息系统。由于所收集的各种信息来自不同的渠道和信息源，属于零散的、非系统的，企业必须对所收集的各种内部和外部信息进行必要的筛选、整理和加工以提供给有关方面。为了提高内部控制的有效性，企业应当将相关信息在企业内部各管理级次、责任单位、业务环节之间进行内部传递。企业应当建立良好的外部沟通渠道，加强与外部投资者、客户、供应商、中介机构和监管部门等有关方面之间的沟通和反馈。九、 信息控制（

41、一）信息的收集与整理企业内部控制基本规范第三十九条规定：企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，以提高信息的有用性。1、信息收集的含义信息收集是指通过各种方式获取所需要的信息。信息的收集是信息得以利用、传递的第一步，也是关键的一步。信息收集工作的好坏，直接关系到信息与沟通的质量。信息可以分为原始信息和加工信息两大类，原始信息是指在企业管理中直接产生或获取的数据、概念、知识、经验及其总结，是未经加工的信息；加工信息则是对原始信息经过加工、分析、改编和重组而形成的具有新形式、新内容的信息。根据企业内部控制基本规范第三十九条的规定，企业可以通过财务会计资料、经营管理资料、调研

42、报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；外部信息的收集渠道主要有行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等。2、信息收集的原则为了保证信息收集的质量，应坚持以下原则。（1）准确性原则。该原则要求所收集到的信息要真实可靠。当然，这个原则是信息收集工作最基本的要求。为达到这样的要求，信息收集者就必须对收集到的信息反复核实、不断检验，力求把误差减少到最低限度。（2）全面性原则。该原则要求所收集到的信息要广泛、全面完整。只有广泛、全面地收集信息，才能完整地反映管理活动和决策对象发展的全貌，为决策的科学性提供保障。当然，实际所收集到的信息不可

43、能做到绝对的全面完整，因此，如何在不完整、不完备的信息下做出科学的决策就是一个非常值得探讨的问题。（3）时效性原则。信息的利用价值取决于该信息是否能及时地提供，即信息的时效性。信息只有及时、迅速地提供给它的使用者才能有效地发挥作用。特别是决策对信息的要求是“事前”的消息和情报，而不是“马后炮”。所以，只有信息是“事前”的，对决策才是有效的。3、信息收集的范围信息收集的范围可从3个角度来划分。（1）内容范围。内容范围是指根据信息内容与信息收集目标和需求相关性特征所确定的范围，包括本身内容范围和环境内容范围。本身内容范围是由事物本身信息相关内容特征组成的范围；环境内容范围是由事物周边、与事物相关的

44、信息的内容特征组成的范围。（2）时间范围。时间范围是指在信息发生的时间上，根据与信息收集目标和需求具有一定相关性的特征所确定的范围，这是由信息的历史性和时效性所决定的。（3）地域范围。地域范围是指在信息发生的地点上，根据与信息收集目标和需求具有一定相关性的特征所确定的范围。这是由信息的地域分布特征和信息收集的相关性要求所决定的。4、信息收集的方法（1）调查法。调查法一般分为普查和抽样调查两大类。普查是调查有限总体中每个个体的有关指标值。抽样调查是按照一定的科学原理和方法，从事物的总体中抽取部分称为样本的个体进行调查，用所得到的调查数据推断总体。抽样调查是较常用的调查方法，也是统计学研究的主要内

45、容。抽样调查的关键是样本抽样方法、样本量大小的确定等。样本抽样方法，又称抽样组织的方式，决定样本集合的选择方式，直接影响信息收集的质量。抽样方法一般分为非随机抽样、随机抽样和综合抽样。常用的调查方法主要有访问调查法、问卷调查法、观察调查法、实验调查法、文案调查法等，这里主要介绍访问调查法和问卷调查法。访问调查法又称采访法，是通过访问信息收集对象，与之直接交谈而获得有关信息的方法。它又分为座谈采访、会议采访以及电话采访和信函采访等方式。采访需要做好充分准备，认真选择调查对象了解调查对象，收集有关业务资料和相关的背景资料。其主要优点是可以就问题进行深入的讨论，获得高质量的信息；缺点是费用高，采访对

46、象不可能很多，因此受访问者要具有代表性。它对采访者的语言交际素质要求较高。问卷调查法是一种包含统计调查和定量分析的信息收集方法。这种方法主要考虑的问题是：所收集信息的内容范围和数量，所选定的调查对象的代表性和数量，问卷的精心设计，问卷的回收率控制等。其具有调查面广、费用低的特点，但对调查对象无法控制，问卷回收率一般都不高，回答的质量也较差，受访者的态度具有决定性影响。（2）观察法。观察法主要通过开会、深入现场、参加生产和经营、实地采样等方法进行现场观察并准确记录（包括测绘、录音、录像、拍照、笔录等）调研情况、收集信息。主要包括两个方面：一是对人的行为的观察，二是对客观事物的观察。观察法应用很广

47、泛，常与询问法、实物搜集结合使用，以提高所收集信息的可靠性。（3）实验方法。实验方法能通过实验过程获取其他手段难以获得的信息或结论。实验者通过主动控制实验条件，包括对参与者类型的恰当限定、对信息产生条件的恰当限定和对信息产生过程的合理设计，可以获得在真实状况下用调查法或观察法无法获得的、某些重要的、能客观反映事物运动表征的有效信息，还可以在一定程度上直接观察、研究某些参量之间的相互关系，有利于对事物本质的研究。实验方法也有多种形式，如实验室实验、现场实验、计算机模拟实验、计算机网络环境下人机结合实验等。现代管理科学中新兴的管理实验、现代经济学中正在形成的实验经济学中的经济实验，实质上就是通过实

48、验获取与管理或经济相关的信息。（4）文献检索。文献检索就是从浩繁的文献中检索出所需的信息的过程。文献检索分为手工检索和计算机检索。手工检索主要是通过信息服务部门收集和建立的文献目录、索引、文摘、参考指南和文献综述等来查找有关的文献信息。计算机文献检索，是文献检索的计算机实现，其特点是检索速度快、信息量大，是当前收集文献信息的主要方法。文献检索过程一般包括分析研究课题和制定检索策略、利用检索工具查找文献线索、根据文献出处索取原始文献三个阶段。文献根据加工深度的不同可分为四个级别：零次文献、一次文献、二次文献和三次文献，所获取的相应信息分别是零次信息、一次信息、二次信息和三次信息。零次文献是指未经

49、出版社发行的或未进入社会交流的最原始的文献，如私人笔记、考察笔记等，内容新颖，但不成熟，因不公开交流而难以获得；一次文献是以作者本人取得的成果为依据而创作的论文、报告等经公开发表或出版的各种文献，如期刊论文、科技报告等，其特点是内容新颖丰富、叙述详尽以及参考价值大，但数量庞大而且分散；二次文献是指报道和查找一次文献的检索工具书刊，如各种目录、题录、文摘和索引等。二次文献是按照特定目的对一定范围和学科领域内的一次文献进行鉴别、筛选、分析、归纳和加工整理后，使之有序化后出版的。其主要功能是检索、控制一次文献，帮助人们较快地获取所需的信息，具有汇集性、工具性、综合性和交流性等特点：三次文献是根据二次

50、文献提供的线索选用大量的一次文献的内容，经过筛选、分析、综合和浓缩而再度出版的文献，包括专题评述、年鉴、百科全书、词典、导读与文献服务目录、工具书目录等。（5）网络信息收集。网络信息是指通过计算机网络发布、传递和存储的各种信息。收集网络信息的最终目标是给广大用户提供网络信息资源服务，整个过程经过网络信息搜索、整合、保存和服务四个步骤，网络信息搜索是基于网络信息收集系统自动完成的。网络信息搜索系统首先按照用户指定的信息需求或主题，调用各种搜索引擎进行网页搜索和数据挖掘，将搜索的信息经过滤等处理过程别除无关信息，从而完成网络信息资源的“收集”；然后通过计算机自动搜索、重排等处理过程，剔除重复信息，

51、再根据不同类别或主题自动进行信息的分类，从而完成网络信息的“整合”；分类整合后的网络信息采用元数据方案进行索引编目，并采用数据压缩及数据传输技术实现本地化的海量数据存储，从而完成网络信息的“保存”，当然要通过网络及时更新；经过索引编目组织的网络信息正式发布后，即可通过检索为读者提供网络信息资源的“服务”5、信息的整理信息的整理就是对收集到的原始信息，通过筛选、核对以及整合，在数量上加以浓缩，在品质上加以提高，在形式上给予表现，使之便于传递、利用和贮存。信息整理是整个信息处理工作的核心。内部控制活动所需要的信息来自于企业内部及外部的、与企业经营管理相关的财务及非财务信息。即，内部控制中的信息收集

52、活动涵盖了企业内部及外部、主观及客观、正式与非正式，并影响企业内部环境、风险评估、控制活动及内部监督的信息。因此，确定信息的收集内容时，应在内部控制覆盖的信息范围内，强化对信息需求的分析。即在与内控相关的信息范围内，根据不同的信息需求收集不同的信息。（二）信息的传递信息传递是指人们通过声音、文字或图像相互交流信息的过程。信息传递研究的是什么人向谁表达，用什么方式表达，通过什么途径表达，达到什么目的。信息传递程序中有三个基本环节。第一个环节是传达人为了把信息传达给接受人，必须把信息“译出”，成为接受人所能懂得的语言或图像等。第二个环节是接受人要把信息转化为自己所能理解的解释，称为“译进”。第三个

53、环节是接受人对信息的反应，要再传递给传达人，称为反馈。企业内部控制基本规范第四十条指出：企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息与沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。内部信息传递，一方面要完善信息向下传递机制，使企业内部参与经营活动的各个方面和全体人员了解企业实现经营目标方面的信息，明确各自职责，了解自身在内部控制体系中的地位和作用；另一方面要完善信息向上传递机制，使企业员工能够及时将其在企业经营活动中所了解的重

54、要信息向管理层及董事会等方面传递。此外，还需建立信息横向传递机制，特别是要使信息在管理层与企业董事会及其委员会之间进行传递。（三）信息系统与内部控制企业内部控制基本规范第四十一条规定：企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。1、信息技术与信息集成随着信息技术的快速发展，企业所面临的竞争环境不断变化，信息已经成为一种资源，能够给企业带来现实的或者潜在的利益。那么，我们应如何使自己尽快适应这种变化？一个关键的工作就是对企业内外部的各种

55、信息进行集成管理，以便被企业有效利用。就大多数企业的现状来看，出于组织结构的设计、实际工作流程的需要等原因，各企业都存在多个不同的信息系统，它们分别关注企业某一方面的信息，具有不同的信息结构和收集、处理渠道，类似于一个个信息孤岛，从而使信息无法得到有效整合。这对企业的管理者来说是非常不利的，尤其是高层管理者在做战略决策时，需要大量相关的信息单一部门的信息系统根本不能满足其需求。这时，就需要对各部门的信息进行有效的整合和集成。有效整合的信息将对管理者决策提供极大的帮助。信息系统的出现在一定程度上解决了这个问题。2、信息技术与内部控制随着企业信息集成与共享的实现，企业价值链中各环节的资源得到了有效

56、的利用，同时信息技术对内部控制与风险管理也将产生重大的影响。企业的内部控制系统也必然随着信息技术的更新而发生改变，例如数据挖掘技术的发展，使得企业有条件实现信息的实时、动态控制和反馈，相对于过去利用汇总的文件进行检查和评估的事后控制模式，此时的控制模式可以实现事前、事中、事后的全过程控制。内部控制制度与计算机程序实现融合，对于内控制度的设计提出了更高的要求，常用的控制手段为访问权限的设置、操作口令的管理等。内部控制内容的变化主要体现为信息技术相关的控制范围的增加，如计算机硬软件安全性的控制、信息系统管理人员职责的控制等。信息集成下的内部控制系统能及时发现内部控制的薄弱环节并及时反馈，因此有必要

57、对此类关键的薄弱环节专门设置控制措施，健全内部控制系统，使内部控制差错带来的损失最小。信息逐渐被人们当作一种战略资源，企业内部各部门之间以及企业之间都会发生大规模的信息交换，不同部门或不同企业间的信息需要协同，因此信息系统的重要性日益增加。随着整个社会信息化进程的加快，企业的日常经营管理活动越来越离不开信息系统的支持。完善的信息系统是企业建立有效的内部控制体系的前提。十、 沟通控制在一个组织中，沟通是指组织内部以及组织和外部组织间旨在完成组织目标而进行的信息交换。沟通交换了有意义、有价值的各种信息，从而使团队合作、组织协调、企业战略制定等企业组织功能得以实现。可以看出，沟通的对象并不局限于管理

58、者与被管理者之间，员工与员工、员工与管理层、管理层与管理层之间需要沟通，企业内部与外部也需要沟通。沟通是信息系统所固有的功能，信息系统必须将其信息提供给相关人员，以使其能够合理地履行相关的职责。信息应在更为广泛的范围内自上而下、自下而上地在整个企业内外进行沟通。信息沟通按沟通的对象可以分为内部信息沟通和外部信息沟通。内部信息沟通指的是企业经营、管理所需的内部信息、外部信息在企业内部的传递和共享外部信息沟通是指企业与利益相关者之间信息的沟通。（一）内部信息沟通一个健康的企业需要长期保持系统上下开放式的沟通交流。开放式沟通能够避免和消除误解，并使信息得到最好的利用。一个企业或组织要协调全体员工实现

59、某项目标，必须使每个员工都明确其目标，这就需要某种形式的沟通。缺乏沟通，其员工将如一盘散沙，因为所有的协调活动都是在一定形式的沟通下进行的，缺乏有效的交流、沟通，就无法协调。通过组织内部的沟通，可以了解各部门的生产或工作进度、各部门之间的关系、各部门员工的士气以及管理的效能等，从而做出如何协调的决定。充分的内部沟通对于企业控制环境、控制作业、风险评估等各方面都起着至关重要的作用，企业所采取的沟通方式要能够达到顺畅沟通的目的，使员工们了解自己应承担的责任、应实现的目标以及这些目标对企业的影响。有效的信息沟通需要合理考虑来自不同部门和岗位、不同渠道的相关信息，并进行合理筛选和相互核对。企业应当采取

60、互联网、电子邮件、电话传真、信息快报、例行会议、专项报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息和外部信息在企业内部准确及时地传递和共享，从而确保董事会、管理层和员工之间的有效沟通。（二）外部信息沟通企业有责任建立良好的外部沟通渠道，对外部有关方面的建议、投诉和收到的其他信息进行记录，并及时予以处理、反馈。有效的外部沟通既可以扩大企业的影响力，还可以获得很多有效内部控制的重要信息。外部沟通应当重点关注以下方面。1、与投资者和债权人的沟通企业应当根据中华人民共和国公司法中华人民共和国证券法等法律法规、企业规章的规定，通过股东大会、投资者会议、定向信息报告等方式，及时

61、向投资者和债权人报告企业的战略规划、经营方针、投融资计划、年度预算、经营成果、财务状况、利润分配方案以及重大担保、合并分立、资产重组等方面的信息，听取投资者和债权人的意见和要求，妥善处理企业与投资者和债权人之间的关系。2、与客户的沟通企业可以通过客户座谈会、走访客户等多种形式，定期听取客户对消费偏好、销售策略、产品质量、售后服务、货款结算等方面的意见和建议，收集客户需求和客户的意见，妥善解决可能存在的控制不当问题。3、与供应商的沟通企业可以通过供需见面会、订货会、业务洽谈会等多种形式与供应商就供货渠道、产品质量、技术性能、交易价格、信用政策等问题进行沟通，及时发现可能存在的控制不当问题。4、与

62、监管机构的沟通企业应当及时向监管机构了解监管政策和监管要求及其变化，并相应完善自身的管理制度；同时，认真了解自身存在的问题，积极反映诉求和建议，努力加强与监管机构的协调。5、与外部审计师的沟通企业应当定期与外部审计师进行会语，听取外部审计师有关财务报表审计、内部控制等方面的建议，以保证内部控制的有效运行以及双方工作的协调。十一、 举报投诉制度企业内部控制基本规范第四十三条规定：企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。投诉是信息沟通的重要手段

63、之一，是信息自下而上沟通的重要形式。企业员工处于经营活动的第一线，能够及时发现经营活动及内部控制实施过程中存在的不足、问题和缺陷以及舞弊行为，并能就完善内部控制体系提出合理化建议和改进意见。为此，企业应当建立举报投诉制度，设置举报专线明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。（一）投诉举报范围及管理职责归属1、投诉举报范围投诉举报范围主要包括以下几个方面。（1）收受贿赂或回扣；（2）将正常情况下可以使企业合法获利的交易事项转移给他人；（3）故意隐瞒、错报交易事项，使信息披露存在虚假记载、误导性陈述或重大遗漏；（4）贪污、挪用、盗窃企业资产；（5）伪

64、造、变造会计记录或凭证，提供虚假财务报告；（6）泄露公司的商业机密、技术秘密；（7）董事、监事、经理及其他高管人员以权谋私；（8）其他损害公司经济利益或谋取不正当利益的经济行为以及使员工个人的正当利益受到损害的行为。2、管理职责归属一般而言，企业内部审计、监察等部门是投诉及举报人保护的管理部门，具体职责如下。（1）负责管理投诉举报电话、电子邮箱，接收实名或匿名投诉举报，并根据需要公布投诉举报电话号码、电子邮箱、通信地址等；（2）书面记录举报内容并及时向管理层或董事会报告；（3）对接受的投诉举报进行调查并将调查结果向管理层或董事会报告；（4）对投诉举报和调查处理后的报告材料及时立卷归档。（二）投诉举报方式