汽车膜公司内部控制评估_参考.docx

泓域/汽车膜公司内部控制评估汽车膜公司内部控制评估xxx集团有限公司目录一、 风险识别的概念和内容4二、 企业识别风险关注的因素6三、 风险分析方法的选择7四、 风险分析的方法8五、 信息与沟通的概念15六、 信息与沟通的作用16七、 沟通控制18八、 信息控制21九、 管理层的责任31十、 高级管理人员33十一、 专门委员会36十二、 董事及其职责42十三、 监事47十四、 监事会50十五、 公司治理与内部控制的联系53十六、 公司治理与内部控制的融合56十七、 学习与借鉴阶段59十八、 起步和探索阶段60十九、 项目基本情况62二十、 公司简介64公司合并资产负债表主要数据66公司合并利润表主要数据66二十一、 人力资源配置分析67劳动定员一览表67二十二、 法人治理69二十三、 SWOT分析84一、 风险识别的概念和内容（一）风险识别的概念风险识别是指对资产当前或未来所面临的和潜在的风险加以判断、归类以及对风险性质进行鉴定的过程。其目的是确认风险的来源、风险的种类及风险的可能影响，以利于风险的有效管理和合理控制。对于风险识别的概念，可以从以下几个方面来理解。1、风险识别是一项动态的、连续不断的、系统性的重复过程风险事项识别需要针对环境的变化而持续进行，不可能一蹴而就，风险主体的风险仅凭一两次有限的识别是不可能解决问题的，许多复杂的和潜在的风险要经过多次调查和反复论证方能得到准确答案；随着主体的活动，新的风险也会不断产生，风险事项识别是一个连续不断的过程。2、风险识别是一个复杂的系统工程风险事项识别的系统性是指风险识别过程不可能局限在某一个专门部门或者专门的环节，事项识别要把企业作为系统看待，不仅要识别企业可能面临的各种风险，而且企业的各个部门都要参与并密切配合。同时风险主体应综合考虑自身的内外部环境，结合自己的特点，设计和选择适当的事项识别方法，这无疑使得事项识别工作更具有挑战性。3、风险识别是整个风险评估过程中重要的程序之一企业内部控制基本规范第三章第二十一条规定，企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险确定相应的风险承受度。风险识别是否全面、深刻直接影响风险评估的质量，风险识别的目的就是确认所有风险的来源、种类以及发生损失的可能性，为风险分析和风险应对提供依据。风险识别过程应充分体现全面性原则。（二）风险识别的内容1、感知风险事项感知风险，即通过调查和了解识别风险的存在。例如，通过调查，了解到一家运输公司面临的财产风险、人身风险和责任风险。财产风险又包括车辆财产损失、存货仓库损失、库存物损失和其他设备损失。在存货仓库损失中，可能有火灾、爆炸、洪水、暴风等多种原因形成的损失。2、分析风险事项通过归类分析，掌握风险产生的原因和条件以及风险所具有的性质。例如，存货仓库的风险因素包括洪水、暴雨、水管或其他设备破裂等；人的风险包括死亡、疾病、身体伤害、财产损失等；导致死亡的风险因素主要有自然灾害、意外事故、自杀、疾病。感知风险是识别风险的基础，分析风险是识别风险的关键。只有感知风险，才能进一步有意识、有目的地分析风险，掌握风险存在及导致风险事故发生的原因和条件。二、 企业识别风险关注的因素（一）内部风险我国企业内部控制基本规范第二十二条规定，企业识别内部风险，应当关注下列因素。（1）董事、监事、经理及其他高级管理人员的职业操守，员工专业胜任能力等人力资源因素；（2）组织机构、经营方式、资产管理、业务流程等管理因素；（3）研究开发、技术投入、信息技术运用等自主创新因素；（4）财务状况、经营成果、现金流量等财务因素；（5）营运安全、员工健康、环境保护等安全环保因素；（6）其他有关内部风险因素。（二）外部风险我国企业内部控制基本规范第二十三条规定，企业识别外部风险，应当关注下列因素。（1）经济形势、产业政策、融资环境、市场竞争等经济因素；（2）法律法规、监管要求等法律因素；（3）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；（4）技术进步、工艺改进等科学技术因素；（5）自然灾害、环境状况等自然环境因素；（6）其他有关外部风险因素。三、 风险分析方法的选择选择风险分析的方法和判断标准，应考虑行业自身特点，区别它们各自的关注点，灵活确定风险分析过程和分析方法。例如，对于金融行业来说，丢失数据风险的损失比短时间业务停顿的风险所带来的损失更为严重：而对于通信行业来说，业务停顿风险带来的损失比少量数据丢失的风险更难以接受。与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析依赖大量的统计数据，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。企业可以根据自身的具体情况来选择定性或定量的分析方法。当前最常用的分析方法一般都是定量和定性的混合方法，对一些可以明确赋予数值的要素直接赋予数值，对难于赋值的要素使用定性方法，这样不仅更清晰地分析了资产的风险情况，也极大简化了分析的过程，加快了分析进度。四、 风险分析的方法风险分析的方法一般包括定量分析方法和定性分析方法。但当前最常用的分析方法一般都是定量和定性的混合方法，对一些可以明确赋予数值的要素直接赋予数值，对难于赋值的要素使用定性方法，这样不仅可以清晰地分析企业资产的风险情况，而且也极大地简化了分析的过程，加快了风险分析的进度。（一）定量分析法定量分析法就是对风险的程度用直观的数据表示出来，其主要思路是对构成风险的各个要素和潜在损失的程度赋予数值或货币金额这样风险分析的整个过程和结果都可以被量化了。在度量风险的所有要素（资产价值、脆弱性级别等）中，风险分析人员计算资产暴露程度，计算控制成本以及确定所有其他值时，应尽量具有相同的客观性。风险大小的判断可以根据风险暴露的大小乘以风险发生的概率加以确定。目前比较常用的定量分析方法有：MPY（年度可能最大损失）值估计法、情景分析法、VAR（风险价值）法、敏感性分析等。1、MPY值估计法MPY值估计法是评估一般危害性风险的方法，是指在某一特定年度中，单一风险单位或多个风险单位遭受一种或多种事故所致的最大总损失。年度最大可信总损失与年度预期总损失不同，年度预期损失是平均损失，而年度可信总损失与风险管理人员的主观判断有关。2、情景分析法情景分析法是通过假设、预测、模拟等手段生成未来情景，并分析其对目标产生影响的一种分析方法。该方法根据发展趋势的多样性，通过对系统内外相关问题的系统分析，设计出多种可能的未来前景，然后用类似于撰写电影剧本的手法，对系统发展态势做出详细的情景和画面的描述。当一个项目持续的时间较长时，往往要考虑各种技术、经济和社会因素的影响，可用情景分析法来预测和识别其关键风险因素及其影响程度。情景分析法对以下情况特别有用：提醒决策者注意某种措施或政策可能引起的风险或危机性的后果；建议需要进行监视的风险范围；研究某些关键性因素对未来过程的影响；提醒人们注意某种技术的发展会给人们带来哪些风险。3、VAR法VAR法即风险价值法，是指在正常的市场条件和给定的置信度内，某种投资组合在既定时期内所面临的市场风险大小和可能遭受的潜在最大价值损失。VAR把对预期的未来损失的大小和该损失发生的可能性结合起来，不仅让投资者知道发生损失的规模，而且知道其发生的可能性，是一种数量化市场风险的重要度量工具。VAR法利用统计技术来度量投资风险，对某个有价证券，在市场条件下，对给定的时间区间的置信水平a，VAR给出了该有价证券最大可能的预期损失，即可以保证损失不会超过VAR的概率为1a。计算VAR常用的方法主要有3种。（1）历史模拟法。该方法是借助于计算过去一段时间内的资产组合风险收益的频度分布，通过找到历史上一段时间内的平均收益以及在既定置信水平a下的最低收益率，计算资产组合的VAR值。（2）方差一协方差法。该方法的基本思路为：首先，利用历史数据计算资产组合的收益的方差、标准差、协方差；其次，假定资产组合收益是正态分布，可求出在一定置信水平下，反映了分布偏离均值程度的临界值；最后，建立与风险损失的联系，推导VAR值。（3）蒙特卡罗模拟法。它是基于历史数据和既定分布假定的参数特征，借助随机产生的方法模拟出大量的资产组合收益的数值，再计算VAR值。4、敏感分析法敏感分析法是指通过对项目各种不确定因素在未来发生变化时对经济效果指标影响程度的比较，找出敏感因素，提出相应对策。它是在项目评价的不确定分析中被广泛运用的主要方法之一。在项目计算期内可能发生变化的因素主要有建设投资、产品产量、产品售价、主要原材料供应及价格、劳动力价格、建设工期及外汇汇率等。敏感性分析就是要分析预测这些因素单独变化或多因素变化时对项目内部收益率、静态投资回收期和借款偿还期等的影响。这些影响应是用数字、图表或曲线的形式进行描述，使决策者了解不确定因素对项目评价的影响程度，确定不确定性因素变化的临界值，以便采取防范措施，从而提高决策的准确性和可靠性。各因素的变化都会引起效益指标的一定变化，但其影响程度却各不相同。有些因素小幅度变化，就能引起经济评价指标发生较大幅度的波动；而另一类因素即使发生了较大幅度的变化，对经济效益指标的影响也不是很大。一般把前一类因素称为敏感性因素，后一类称为非敏感性因素。敏感性分析的目的就是要筛选敏感性因素和非敏感性因素。敏感性分析的步骤如下。（1）确定敏感性分析指标。投资项目经济评价有一整套指标体系，在进行敏感性分析时，应选择最能反映项目经济效益的一个或几个主要指标进行分析。最基本的分析指标是内部收益率，根据项目的实际情况也可选择净现值或投资回收期等指标，必要时可同时针对两个或两个以上的指标进行敏感性分析。（2）选择敏感性分析的不确定因素。影响项目经济效益指标的因素很多，如产品产量、价格、经营成本、投资额、建设期和生产期等。在实际的敏感性分析中，没有必要也不可能对所有因素进行分析。根据项目特点，结合经验判断选择对项目影响效益较大且重要的不确定因素进行分析。经验表明，应主要对销售收入、产品价格、产量、经营成本、建设投资等不确定因素进行敏感性分析。（3）确定不确定因素的变化范围。在选择不确定因素分析基础上，还要进一步分析不确定因素的可能变动范围。一般选择不确定因素变化的百分率为+5%、+10%、土15%、土20%等，对于不便用百分数表示的因素，可采用延长一段时间表示，如延长一年。（4）计算敏感性分析指标。为较准确反映项目评价指标对不确定因素的敏感程度，分析不确定因素的变化使项目由可行变为不可行的临界数值，应计算敏感度系数和临界点指标。敏感度系数。敏感度系数指项目评价指标变化的百分率与不确定因素变化的百分率之比。敏感度系数高，表示项目效益对该不确定因素敏感程度高。临界点。临界点是指不确定性因素的变化使项目由可行变为不可行的临界数值，可采用不确定性因素相对基本方案的变化率或相对应的具体数值表示。当该不确定性因素为费用科目时，即为其增加的百分率，当其为效益科目时为降低的百分率。临界点也可用该百分率对应的具体数值表示。当不确定因素的变化超过了临界点所表示的不确定因素的极限变化时，项目将由可行变为不可行。临界点的高低与计算临界点指标的初始值有关。若选取基准收益率为计算临界点的指标，对于同一个项目，随着设定基准收益率的提高，临界点就会变低；而在一定的基准收益率下，临界点越低，说明该因素对项目评价指标影响越大，项目对该因素就越敏感。从根本上说，临界点计算是使用插值法，也可以借助于计算机的相关软件，由于项目评价指标的变化与不确定因素变化之间不是直线关系，当通过直线图求解时也会存在一定的误差。（二）定性分析法定性分析法与定量分析法的区别在于不需要对资产及各相关要素的分配确定数值，而是赋予一个相对值。在风险管理过程中，风险分析是最困难的。风险经理往往陷入两难的境地，即为了追求准确，就必须应用复杂的概率计算方法和采用精度较高的模型，但是限于资料的稀缺和时间的紧迫，这种方法或模型就被迫放弃。大多数的风险经理宁愿放弃准确度的较高要求而采用定性的预测方法，即将风险的概率估计予以主观量化。据统计，75%的项目经理采用的风险分析方法是专家调查打分法。例如，通过问卷、面谈及研讨会的形式进行数据收集和风险分析，这个方法涉及各业务部门的人员，这个过程带有一定的主观性，往往需要凭借专业咨询人员的经验和直觉，或者业界的标准和惯例，因此，为风险各相关要素（资产价值、威胁、脆弱性等）的大小或高低程度定等级时，可以运用定性分析方法将风险分为高、中、低三个等级。通过这样的方法，对风险的各个分析要素赋值后，可以定性地区分这些风险的严重等级，避免了复杂的赋值过程简单且又易于操作。定性分析法的步骤一般如下。第一步，确定风险因素（或称威胁）发生的可能性。假定把威胁的可能性定为五级。第二步，通过风险分析对风险确定等级。风险等级一般可以分为高、中、低三个等级，也可以分为四级或者五级。第三步，根据上面两张表编制风险矩阵表。企业管理层肯定不能接受H，对M要根据具体情况考虑是否应采取相应的对策来减少这种风险，对L应当能接受，但需要加强对风险的控制，不使其损失面扩大。定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi方法）、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。五、 信息与沟通的概念企业内部控制基本规范第三十八条指出：企业应当建立信息与沟通制度，明确企业内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。信息与沟通，包括辨别取得适当的信息并加以有效沟通两个部分内容。美国COSO委员会的内部控制一整体框架要求企业以一定的形式、在一定的时间范围内识别、获取和沟通相关信息以使企业内部各层次员工能够顺利履行其职责。信息与沟通是指企业能够准确、及时并最大限度地获取和运用来自企业内外部与本企业生产经营活动有关的政策、法律、技术、市场等各方面的信息，并使信息在企业内部进行有效的传递，为企业管理者的各种决策提供强有力的支持。作为内部控制基本要素之一的信息与沟通，在内部控制中发挥着不可替代的作用，为内部控制的其他要素有效发挥作用提供了信息支撑，也为企业整个内部控制的有效运行提供了信息支持。要准确理解信息沟通的含义，需要注意以下几点：第一，信息与沟通首先是信息的传递，如果信息没有被传递，信息沟通就没有发生，信息是沟通的对象和内容，而沟通是信息传递的手段；第二，成功的信息与沟通，不仅需要信息被传递，还需要被理解；第三，信息与沟通的主体是人，即信息与沟通主要发生在人与人之间；第四，由于管理过程中各种信息相互关联、交错，所以管理者把各种信息沟通过程看成是一个整体，即管理信息系统。由于所收集的各种信息来自不同的渠道和信息源，属于零散的、非系统的，企业必须对所收集的各种内部和外部信息进行必要的筛选、整理和加工以提供给有关方面。为了提高内部控制的有效性，企业应当将相关信息在企业内部各管理级次、责任单位、业务环节之间进行内部传递。企业应当建立良好的外部沟通渠道，加强与外部投资者、客户、供应商、中介机构和监管部门等有关方面之间的沟通和反馈。六、 信息与沟通的作用信息与沟通的作用主要表现在以下几方面。（一）信息与沟通是有效实施内部控制的重要载体未来竞争是管理的竞争，竞争的焦点在于企业内外部的有效信息来源以及充分沟通上。经济市场化程度的提高，要求企业必须加强信息的采集、存储、处理、加工和运用。信息与沟通是内部控制体系的重要组成部分，贯穿于内部控制体系的整个过程，是有效实施内部控制的重要载体，直接影响着企业内部控制的贯彻执行以及企业经营目标乃至战略目标的实现。（二）信息与沟通是整个内部控制系统的生命线内部控制是一个动态的过程，依据环境来制定相应的措施，整个过程就是通过连续不断的信息反馈来纠正错误，并不断改进与完善。因此，信息与沟通为管理层监督各项活动并在必要时采取纠正措施提供了保证。另外，信息与沟通是保障内部控制效率和效果的重要手段，随着信息系统的广泛应用，企业内部实现了物流、资金流、信息流的集成管理，外部实现了与供应商、客户的信息共享，使得信息传递更加流畅，从而使内控运行的效率得到提高。（三）信息与沟通是实施内部控制的关键因素从纵向来看，管理层通过信息与沟通下达任务，了解业务进展情况，及时发现其中隐藏的风险。这种自上而下的沟通方式同样伴随着企业有关目标、风险、管理流程信息的传递。而员工则通过自下而上的沟通方式向管理层反映有关一线经营、生产中存在的问题，使管理层能够及时地了解相关信息，动态地优化管理及控制流程。从横向来看，不同部门、不同职责的员工之间通过有效的沟通来传达各自信息需求、信息缺口，有助于信息交流与共享，从而最大化地提高信息资源的利用效率。因此，广泛的信息沟通通过辅助决策来促进企业战略目标的实现；通过加强管理和控制来提高经营的效率和效果；通过保障内控效率和效果来保证财务报告和管理信息的真实、可靠和完整，确保资产的安全完整，以及遵循国家法律法规的要求。总的来说，有效的信息与沟通是内部控制目标实现的重要保证。七、 沟通控制在一个组织中，沟通是指组织内部以及组织和外部组织间旨在完成组织目标而进行的信息交换。沟通交换了有意义、有价值的各种信息，从而使团队合作、组织协调、企业战略制定等企业组织功能得以实现。可以看出，沟通的对象并不局限于管理者与被管理者之间，员工与员工、员工与管理层、管理层与管理层之间需要沟通，企业内部与外部也需要沟通。沟通是信息系统所固有的功能，信息系统必须将其信息提供给相关人员，以使其能够合理地履行相关的职责。信息应在更为广泛的范围内自上而下、自下而上地在整个企业内外进行沟通。信息沟通按沟通的对象可以分为内部信息沟通和外部信息沟通。内部信息沟通指的是企业经营、管理所需的内部信息、外部信息在企业内部的传递和共享外部信息沟通是指企业与利益相关者之间信息的沟通。（一）内部信息沟通一个健康的企业需要长期保持系统上下开放式的沟通交流。开放式沟通能够避免和消除误解，并使信息得到最好的利用。一个企业或组织要协调全体员工实现某项目标，必须使每个员工都明确其目标，这就需要某种形式的沟通。缺乏沟通，其员工将如一盘散沙，因为所有的协调活动都是在一定形式的沟通下进行的，缺乏有效的交流、沟通，就无法协调。通过组织内部的沟通，可以了解各部门的生产或工作进度、各部门之间的关系、各部门员工的士气以及管理的效能等，从而做出如何协调的决定。充分的内部沟通对于企业控制环境、控制作业、风险评估等各方面都起着至关重要的作用，企业所采取的沟通方式要能够达到顺畅沟通的目的，使员工们了解自己应承担的责任、应实现的目标以及这些目标对企业的影响。有效的信息沟通需要合理考虑来自不同部门和岗位、不同渠道的相关信息，并进行合理筛选和相互核对。企业应当采取互联网、电子邮件、电话传真、信息快报、例行会议、专项报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息和外部信息在企业内部准确及时地传递和共享，从而确保董事会、管理层和员工之间的有效沟通。（二）外部信息沟通企业有责任建立良好的外部沟通渠道，对外部有关方面的建议、投诉和收到的其他信息进行记录，并及时予以处理、反馈。有效的外部沟通既可以扩大企业的影响力，还可以获得很多有效内部控制的重要信息。外部沟通应当重点关注以下方面。1、与投资者和债权人的沟通企业应当根据中华人民共和国公司法中华人民共和国证券法等法律法规、企业规章的规定，通过股东大会、投资者会议、定向信息报告等方式，及时向投资者和债权人报告企业的战略规划、经营方针、投融资计划、年度预算、经营成果、财务状况、利润分配方案以及重大担保、合并分立、资产重组等方面的信息，听取投资者和债权人的意见和要求，妥善处理企业与投资者和债权人之间的关系。2、与客户的沟通企业可以通过客户座谈会、走访客户等多种形式，定期听取客户对消费偏好、销售策略、产品质量、售后服务、货款结算等方面的意见和建议，收集客户需求和客户的意见，妥善解决可能存在的控制不当问题。3、与供应商的沟通企业可以通过供需见面会、订货会、业务洽谈会等多种形式与供应商就供货渠道、产品质量、技术性能、交易价格、信用政策等问题进行沟通，及时发现可能存在的控制不当问题。4、与监管机构的沟通企业应当及时向监管机构了解监管政策和监管要求及其变化，并相应完善自身的管理制度；同时，认真了解自身存在的问题，积极反映诉求和建议，努力加强与监管机构的协调。5、与外部审计师的沟通企业应当定期与外部审计师进行会语，听取外部审计师有关财务报表审计、内部控制等方面的建议，以保证内部控制的有效运行以及双方工作的协调。八、 信息控制（一）信息的收集与整理企业内部控制基本规范第三十九条规定：企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，以提高信息的有用性。1、信息收集的含义信息收集是指通过各种方式获取所需要的信息。信息的收集是信息得以利用、传递的第一步，也是关键的一步。信息收集工作的好坏，直接关系到信息与沟通的质量。信息可以分为原始信息和加工信息两大类，原始信息是指在企业管理中直接产生或获取的数据、概念、知识、经验及其总结，是未经加工的信息；加工信息则是对原始信息经过加工、分析、改编和重组而形成的具有新形式、新内容的信息。根据企业内部控制基本规范第三十九条的规定，企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；外部信息的收集渠道主要有行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等。2、信息收集的原则为了保证信息收集的质量，应坚持以下原则。（1）准确性原则。该原则要求所收集到的信息要真实可靠。当然，这个原则是信息收集工作最基本的要求。为达到这样的要求，信息收集者就必须对收集到的信息反复核实、不断检验，力求把误差减少到最低限度。（2）全面性原则。该原则要求所收集到的信息要广泛、全面完整。只有广泛、全面地收集信息，才能完整地反映管理活动和决策对象发展的全貌，为决策的科学性提供保障。当然，实际所收集到的信息不可能做到绝对的全面完整，因此，如何在不完整、不完备的信息下做出科学的决策就是一个非常值得探讨的问题。（3）时效性原则。信息的利用价值取决于该信息是否能及时地提供，即信息的时效性。信息只有及时、迅速地提供给它的使用者才能有效地发挥作用。特别是决策对信息的要求是“事前”的消息和情报，而不是“马后炮”。所以，只有信息是“事前”的，对决策才是有效的。3、信息收集的范围信息收集的范围可从3个角度来划分。（1）内容范围。内容范围是指根据信息内容与信息收集目标和需求相关性特征所确定的范围，包括本身内容范围和环境内容范围。本身内容范围是由事物本身信息相关内容特征组成的范围；环境内容范围是由事物周边、与事物相关的信息的内容特征组成的范围。（2）时间范围。时间范围是指在信息发生的时间上，根据与信息收集目标和需求具有一定相关性的特征所确定的范围，这是由信息的历史性和时效性所决定的。（3）地域范围。地域范围是指在信息发生的地点上，根据与信息收集目标和需求具有一定相关性的特征所确定的范围。这是由信息的地域分布特征和信息收集的相关性要求所决定的。4、信息收集的方法（1）调查法。调查法一般分为普查和抽样调查两大类。普查是调查有限总体中每个个体的有关指标值。抽样调查是按照一定的科学原理和方法，从事物的总体中抽取部分称为样本的个体进行调查，用所得到的调查数据推断总体。抽样调查是较常用的调查方法，也是统计学研究的主要内容。抽样调查的关键是样本抽样方法、样本量大小的确定等。样本抽样方法，又称抽样组织的方式，决定样本集合的选择方式，直接影响信息收集的质量。抽样方法一般分为非随机抽样、随机抽样和综合抽样。常用的调查方法主要有访问调查法、问卷调查法、观察调查法、实验调查法、文案调查法等，这里主要介绍访问调查法和问卷调查法。访问调查法又称采访法，是通过访问信息收集对象，与之直接交谈而获得有关信息的方法。它又分为座谈采访、会议采访以及电话采访和信函采访等方式。采访需要做好充分准备，认真选择调查对象了解调查对象，收集有关业务资料和相关的背景资料。其主要优点是可以就问题进行深入的讨论，获得高质量的信息；缺点是费用高，采访对象不可能很多，因此受访问者要具有代表性。它对采访者的语言交际素质要求较高。问卷调查法是一种包含统计调查和定量分析的信息收集方法。这种方法主要考虑的问题是：所收集信息的内容范围和数量，所选定的调查对象的代表性和数量，问卷的精心设计，问卷的回收率控制等。其具有调查面广、费用低的特点，但对调查对象无法控制，问卷回收率一般都不高，回答的质量也较差，受访者的态度具有决定性影响。（2）观察法。观察法主要通过开会、深入现场、参加生产和经营、实地采样等方法进行现场观察并准确记录（包括测绘、录音、录像、拍照、笔录等）调研情况、收集信息。主要包括两个方面：一是对人的行为的观察，二是对客观事物的观察。观察法应用很广泛，常与询问法、实物搜集结合使用，以提高所收集信息的可靠性。（3）实验方法。实验方法能通过实验过程获取其他手段难以获得的信息或结论。实验者通过主动控制实验条件，包括对参与者类型的恰当限定、对信息产生条件的恰当限定和对信息产生过程的合理设计，可以获得在真实状况下用调查法或观察法无法获得的、某些重要的、能客观反映事物运动表征的有效信息，还可以在一定程度上直接观察、研究某些参量之间的相互关系，有利于对事物本质的研究。实验方法也有多种形式，如实验室实验、现场实验、计算机模拟实验、计算机网络环境下人机结合实验等。现代管理科学中新兴的管理实验、现代经济学中正在形成的实验经济学中的经济实验，实质上就是通过实验获取与管理或经济相关的信息。（4）文献检索。文献检索就是从浩繁的文献中检索出所需的信息的过程。文献检索分为手工检索和计算机检索。手工检索主要是通过信息服务部门收集和建立的文献目录、索引、文摘、参考指南和文献综述等来查找有关的文献信息。计算机文献检索，是文献检索的计算机实现，其特点是检索速度快、信息量大，是当前收集文献信息的主要方法。文献检索过程一般包括分析研究课题和制定检索策略、利用检索工具查找文献线索、根据文献出处索取原始文献三个阶段。文献根据加工深度的不同可分为四个级别：零次文献、一次文献、二次文献和三次文献，所获取的相应信息分别是零次信息、一次信息、二次信息和三次信息。零次文献是指未经出版社发行的或未进入社会交流的最原始的文献，如私人笔记、考察笔记等，内容新颖，但不成熟，因不公开交流而难以获得；一次文献是以作者本人取得的成果为依据而创作的论文、报告等经公开发表或出版的各种文献，如期刊论文、科技报告等，其特点是内容新颖丰富、叙述详尽以及参考价值大，但数量庞大而且分散；二次文献是指报道和查找一次文献的检索工具书刊，如各种目录、题录、文摘和索引等。二次文献是按照特定目的对一定范围和学科领域内的一次文献进行鉴别、筛选、分析、归纳和加工整理后，使之有序化后出版的。其主要功能是检索、控制一次文献，帮助人们较快地获取所需的信息，具有汇集性、工具性、综合性和交流性等特点：三次文献是根据二次文献提供的线索选用大量的一次文献的内容，经过筛选、分析、综合和浓缩而再度出版的文献，包括专题评述、年鉴、百科全书、词典、导读与文献服务目录、工具书目录等。（5）网络信息收集。网络信息是指通过计算机网络发布、传递和存储的各种信息。收集网络信息的最终目标是给广大用户提供网络信息资源服务，整个过程经过网络信息搜索、整合、保存和服务四个步骤，网络信息搜索是基于网络信息收集系统自动完成的。网络信息搜索系统首先按照用户指定的信息需求或主题，调用各种搜索引擎进行网页搜索和数据挖掘，将搜索的信息经过滤等处理过程别除无关信息，从而完成网络信息资源的“收集”；然后通过计算机自动搜索、重排等处理过程，剔除重复信息，再根据不同类别或主题自动进行信息的分类，从而完成网络信息的“整合”；分类整合后的网络信息采用元数据方案进行索引编目，并采用数据压缩及数据传输技术实现本地化的海量数据存储，从而完成网络信息的“保存”，当然要通过网络及时更新；经过索引编目组织的网络信息正式发布后，即可通过检索为读者提供网络信息资源的“服务”5、信息的整理信息的整理就是对收集到的原始信息，通过筛选、核对以及整合，在数量上加以浓缩，在品质上加以提高，在形式上给予表现，使之便于传递、利用和贮存。信息整理是整个信息处理工作的核心。内部控制活动所需要的信息来自于企业内部及外部的、与企业经营管理相关的财务及非财务信息。即，内部控制中的信息收集活动涵盖了企业内部及外部、主观及客观、正式与非正式，并影响企业内部环境、风险评估、控制活动及内部监督的信息。因此，确定信息的收集内容时，应在内部控制覆盖的信息范围内，强化对信息需求的分析。即在与内控相关的信息范围内，根据不同的信息需求收集不同的信息。（二）信息的传递信息传递是指人们通过声音、文字或图像相互交流信息的过程。信息传递研究的是什么人向谁表达，用什么方式表达，通过什么途径表达，达到什么目的。信息传递程序中有三个基本环节。第一个环节是传达人为了把信息传达给接受人，必须把信息“译出”，成为接受人所能懂得的语言或图像等。第二个环节是接受人要把信息转化为自己所能理解的解释，称为“译进”。第三个环节是接受人对信息的反应，要再传递给传达人，称为反馈。企业内部控制基本规范第四十条指出：企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息与沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。内部信息传递，一方面要完善信息向下传递机制，使企业内部参与经营活动的各个方面和全体人员了解企业实现经营目标方面的信息，明确各自职责，了解自身在内部控制体系中的地位和作用；另一方面要完善信息向上传递机制，使企业员工能够及时将其在企业经营活动中所了解的重要信息向管理层及董事会等方面传递。此外，还需建立信息横向传递机制，特别是要使信息在管理层与企业董事会及其委员会之间进行传递。（三）信息系统与内部控制企业内部控制基本规范第四十一条规定：企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。1、信息技术与信息集成随着信息技术的快速发展，企业所面临的竞争环境不断变化，信息已经成为一种资源，能够给企业带来现实的或者潜在的利益。那么，我们应如何使自己尽快适应这种变化？一个关键的工作就是对企业内外部的各种信息进行集成管理，以便被企业有效利用。就大多数企业的现状来看，出于组织结构的设计、实际工作流程的需要等原因，各企业都存在多个不同的信息系统，它们分别关注企业某一方面的信息，具有不同的信息结构和收集、处理渠道，类似于一个个信息孤岛，从而使信息无法得到有效整合。这对企业的管理者来说是非常不利的，尤其是高层管理者在做战略决策时，需要大量相关的信息单一部门的信息系统根本不能满足其需求。这时，就需要对各部门的信息进行有效的整合和集成。有效整合的信息将对管理者决策提供极大的帮助。信息系统的出现在一定程度上解决了这个问题。2、信息技术与内部控制随着企业信息集成与共享的实现，企业价值链中各环节的资源得到了有效的利用，同时信息技术对内部控制与风险管理也将产生重大的影响。企业的内部控制系统也必然随着信息技术的更新而发生改变，例如数据挖掘技术的发展，使得企业有条件实现信息的实时、动态控制和反馈，相对于过去利用汇总的文件进行检查和评估的事后控制模式，此时的控制模式可以实现事前、事中、事后的全过程控制。内部控制制度与计算机程序实现融合，对于内控制度的设计提出了更高的要求，常用的控制手段为访问权限的设置、操作口令的管理等。内部控制内容的变化主要体现为信息技术相关的控制范围的增加，如计算机硬软件安全性的控制、信息系统管理人员职责的控制等。信息集成下的内部控制系统能及时发现内部控制的薄弱环节并及时反馈，因此有必要对此类关键的薄弱环节专门设置控制措施，健全内部控制系统，使内部控制差错带来的损失最小。信息逐渐被人们当作一种战略资源，企业内部各部门之间以及企业之间都会发生大规模的信息交换，不同部门或不同企业间的信息需要协同，因此信息系统的重要性日益增加。随着整个社会信息化进程的加快，企业的日常经营管理活动越来越离不开信息系统的支持。完善的信息系统是企业建立有效的内部控制体系的前提。九、 管理层的责任（一）公司治理的管理职能因为存在信息不对称、潜在的利益冲突、经济理性和机会主义行为，股东缺少信任管理层的理由。管理层可能具有不同于股东的动机，并受诸如财务报告与其他公司治理参与者（董事）的关系等影响，当有机会时，管理层就可能不按公司和股东的最佳利益行动，而采取有利于自己私利的行为。因此，公司治理的一个重要任务就是建立和维护治理机制以协调管理层和股东的利益冲突，减少机会主义行为和信息不对称的程度。管理层在董事会和监事会的监督下对所有的管理职能负全部责任，包括合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略等。（二）管理层的能力和尽职公司管理层的任务包括完成上述管理框架中的使命和任务，那么管理层能否自觉有效地完成这些任务呢？答案是不肯定的。当管理层没有能力的时候或不尽职的时候，都不能做好这些工作。在现代公司治理框架中，特别强调管理层的激励和监督，原因之一就是在企业的损失中，由于管理层不尽力的损失是最为严重的损失。企业很多问题，重要原因就是管理层无能，或者是管理层有能力但不尽职所致。管理者不尽职的情况，主要是指公司的实际控制者为了一己私利，损害投资者利益的情况。具体来说，虽然职业经理追求自身利益最大化的行动，可以是与投资者受益的最大化相一致的。但在很多情况下，职业经理的利益最大化往往会与投资者的收益最大化目标完全不同。于是，管理者就会利用手中所掌握的资源为自己牟利，而不为投资者的权益努力工作，甚至以损害投资者利益的方式为自己牟利，这种情况被称为“管理腐败”。十、 高级管理人员（一）高级管理人员的定义根据2013年修订的公司法的规定，高级管理人员，是指公司的经理、副经理、财务负责人，上市公司董事会秘书和公司章程规定的其他人员。高级管理人员在现代企业中扮演了极其重要的角色。西门子创始人乔治西门子曾这样总结他的管理心得：“没有有效的高层管理，企业只不过是一堆应予拍卖的办公室家具而已。”在管理大师德鲁克看来，如果不把高层管理的任务看作是一种独特的职能、一种独特的工作，并按此进行组织，那么它就不能完成。在高管团队中，最重要的角色是经理人。经理人是指在一个所有权