危险化学品公司内部控制报告【范文】.docx

《危险化学品公司内部控制报告【范文】.docx》由会员分享，可在线阅读，更多相关《危险化学品公司内部控制报告【范文】.docx（95页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、泓域/危险化学品公司内部控制报告危险化学品公司内部控制报告xxx有限公司目录一、 产业环境分析4二、 基本原则4三、 必要性分析6四、 公司简介6五、 风险的分类和评估7六、 风险的概念及其分类9七、 风险应对概述11八、 风险应对策略12九、 内部控制的相关比较22十、 企业内部控制规范的基本内容25十一、 内部牵制37十二、 内部控制39十三、 反舞弊机制42十四、 举报人保护制度54十五、 信息控制57十六、 沟通控制67十七、 信息与沟通的概念70十八、 信息与沟通的作用72十九、 项目风险分析74二十、 项目风险对策76二十一、 法人治理结构77SWOT分析说明89（一）优势分析（S

2、）891、公司具有技术研发优势，创新能力突出89公司在研发方面投入较高，持续进行研究开发与技术成果转化，形成企业核心的自主知识产权。公司产品在行业中的始终保持良好的技术与质量优势。此外，公司目前主要生产线为使用自有技术开发而成。89一、 产业环境分析综合考虑未来发展趋势和条件，围绕提前实现“两个翻番”，在全面建成小康社会进程中走在前列，今后五年我省经济社会发展的主要目标是：综合实力迈上新台阶。经济保持中高速增长，产业迈向中高端水平，在提高发展平衡性、包容性、可持续性的基础上，提前实现经济总量和城乡居民人均收入比2010年翻一番，城乡居民收入增幅超过地区生产总值增幅，农村居民收入增幅超过城镇居民

3、收入增幅。地区生产总值年均增长7.5%左右，人均达到1.5万美元。转方式调结构取得突破进展。创新驱动发展动力更加强劲，创新型省份建设达到更高水平，信息化支撑能力显著增强，发展质量效益明显提高，形成以现代农业为基础、先进制造业为支柱、战略性新兴产业为引领、服务业为主导的现代产业新体系。人民生活水平和质量普遍提高。基本公共服务均等化水平稳步提高，教育现代化加快推进，就业比较充分，中等收入人口比重上升，脱贫攻坚任务顺利完成，社会保障体系更加健全完善，防灾减灾救灾能力显著提高，平安山东建设取得重大进展，人民群众幸福感获得感明显增强。二、 基本原则理念引领，标本兼治。坚持安全发展理念，把安全发展贯穿化工

4、产业发展全过程和各领域，立足我国实际，借鉴国际经验，发挥独特优势，强化专项整治，严格源头准入，持续夯实基础，构筑长效机制，坚决遏制防范重特大事故，推动危险化学品安全生产形势稳定好转，以高水平安全服务高质量发展。构建体系，系统治理。坚持系统观念，把防范危险化学品系统性安全风险作为主攻方向，突出企业主体责任，规范化工园区建设和安全管理，统筹加强安全责任、隐患排查、预防控制、本质安全、人员培训、基础支撑等体系建设，构建与化学品制造大国相适应的危险化学品安全治理体系。加大投入，本质安全。坚持安全第一，把本质安全提升作为核心任务，突出化工园区安全提质、大型油气储存基地安全防控、企业安全改造、从业人员培训

5、、“工业互联网+危化安全生产”等重点方向，实施一批本质安全提升工程。创新突破，注重协同。坚持目标导向、问题导向、效果导向，把创新实践作为破解危险化学品安全难题的关键抓手，推动安全管理数字化转型智能化升级，强化危险化学品全生命周期、油气开采储运、烟花爆竹等领域各环节安全风险管控，聚焦重大危险源、重点行业和重点区域，加强上下联动、部门协作，形成企业主体、市县落实、省负总责、国家指导的工作机制，在关键环节上守住安全底线。三、 必要性分析1、提升公司核心竞争力项目的投资，引入资金的到位将改善公司的资产负债结构，补充流动资金将提高公司应对短期流动性压力的能力，降低公司财务费用水平，提升公司盈利能力，促进

6、公司的进一步发展。同时资金补充流动资金将为公司未来成为国际领先的产业服务商发展战略提供坚实支持，提高公司核心竞争力。四、 公司简介（一）公司基本信息1、公司名称：xxx有限公司2、法定代表人：金xx3、注册资本：580万元4、统一社会信用代码：xxxxxxxxxxxxx5、登记机关：xxx市场监督管理局6、成立日期：2016-6-87、营业期限：2016-6-8至无固定期限8、注册地址：xx市xx区xx（二）公司简介公司满怀信心，发扬“正直、诚信、务实、创新”的企业精神和“追求卓越，回报社会” 的企业宗旨，以优良的产品服务、可靠的质量、一流的服务为客户提供更多更好的优质产品及服务。公司不断建设

7、和完善企业信息化服务平台，实施“互联网+”企业专项行动，推广适合企业需求的信息化产品和服务，促进互联网和信息技术在企业经营管理各个环节中的应用，业通过信息化提高效率和效益。搭建信息化服务平台，培育产业链，打造创新链，提升价值链，促进带动产业链上下游企业协同发展。五、 风险的分类和评估（一）风险的分类企业所面临的风险从来源上分，有企业内部和外部两个方面。外部风险包括：科技发展带来的企业技术、管理、信息等方面的风险；顾客需求或预期改变；竞争的存在；自然灾害；政治事件；经济环境的改变等。内部风险主要有：员工的素质和能力；经理人的责任改变；董事会或监督委员会的责任履行情况等。从企业能否对风险进行控制来

8、分，风险分为可控风险和不可控风险两种。（二）风险评估风险评估是一个比较宽泛的概念，在有的内部控制或风险管理标准中，风险评估就是风险管理，包括了风险管理的全过程，可以说是风险管理的代名词。而在有的内部控制或风险管理标准中，风险评估是全面风险管理的一个步骤，包括内容有多有少，如目标确定、风险识别、风险分析、风险评价以及风险应对等。1、COSO92关于风险评估概念COSO内部控制整体框架把风险评估列为内部控制的五要素之内部控制整体框架认为，风险评估是指单位为实现其目标而确认的相关风险，以构成进行风险管理的基础。单位风险可能来自于：（1）经营环境的变化；（2）聘用新的员工；（3）采用新的或改良的信息系

9、统（4）迅猛的发展速度；（5）新技术的运用（6）新的行业、产业或经营活动的开发；（7）企业改组；（8）海外经营；（9）新的会计方法的采用。2、COSO04关于风险评估概念企业风险管理整体框架指出风险评估要对识别的风险进行分析，以便确定对他们进行管理的依据。强调风险评估是风险管理的一个步骤，相当于我国企业内部控制基本规范的风险分析。3、我国企业内部控制基本规范关于风险评估概念我国企业内部控制基本规范借鉴企业风险管理整体框架，认为风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，从而合理确定风险应对策略。即为识别、分析、管理与企业活动相关的市场风险、政策风险、法律风险、汇率风

10、险、经营风险等各种风险而建立的机制。该概念沿用COSO92的要素理念，是相对宽泛的概念，包括COSO04目标设定、事项识别、风险评估和风险应对四大要素的组合。六、 风险的概念及其分类古人说：“宜未雨而绸缪，毋临渴而掘井。”企业在生产经营的过程中，面临着诸多的风险，如果我们没有妥善地处理，风险事故一旦发生，轻则影响生产经营稳定和企业经济效益，重则危及企业的生存。因此风险评估的目的是为了给企业造就一个安全稳定的生产经营环境，这有助于增加领导层经营管理决策的正确性，进而提高企业的经济效益。（一）风险的概念企业在经营活动中，会遇到各种不确定性事件，这些事件发生的概率及其影响程度是无法事先预知的，进而影

11、响企业目标的实现。所谓风险，就是在一定环境下和一定限期内客观存在的、影响企业目标实现的各种不确定性事件。或者说，风险就是指在一个特定的时间内和一定的环境条件下，人们所期望的目标与实际结果之间的差异程度。因此，风险是一个事项将会发生并给目标实现带来负面影响的可能性。风险具有客观性、普遍性、潜在性、必然性、可识别性、可控性、损失性和不确定性等特点，风险与机会同在。COSO企业风险管理新框架（2016）指出风险是指事项发生并影响战略和业务目标之实现的可能性。该定义兼顾了正面和负面的影响，这和国际风险管理标准ISO31000及中国风险管理标准GBT24353是一致的。为了与我国内部控制规范一致，本书采

12、用COSO04的定义。（二）风险的构成要素风险一般包括以下三项构成要素。1、风险因素风险因素是指促使某一特定风险事故发生或增加其发生的可能性或扩大其损失程度的原因或条件。它是风险事故发生的潜在原因，是造成损失的内在或间接原因。例如，对于建筑物而言，风险因素是指其所使用的建筑材料的质量、建筑结构的稳定性等；对于人而言，则是指健康状况和年龄等；对于企业而言，风险因素则包括企业人员因素、结构因素、外部环境因素等。2、风险事故风险事故也称风险事件，是指造成伤害或财产损失的偶发事件是造成损失的直接的或外在的原因，是损失的媒介物，即风险只有通过风险事故的发生才能导致损失。就某一事件来说，如果它是造成损失的

13、直接原因，那么它就是风险事故；而在其他条件下，如果它是造成损失的间接原因，它便成为风险因素。例如，对于企业而言，发生仓库货物被盗是风险事故，而安保系统不健全是风险因素。3、损失在风险管理中，损失是指非故意的、非预期的、非计划的经济价值的减少。通常可以将损失分为两种形态，即直接损失和间接损失。直接损失是指风险事故导致的财产本身损失和人身伤害，这类损失又称为实质损失：间接损失则是指由直接损失引起的其他损失，包括额外费用损失、收入损失和责任损失。七、 风险应对概述我国企业内部控制基本规范第二十五条规定：企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准

14、确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。风险应对就是在风险评估的基础上，针对企业所存在的风险因素，根据风险评估的原则和标准，运用现代科学技术知识和风险管理方面的理论与方法，提出各种风险解决方案，经过分析论证与评价从中选择最优方案并予以实施，来达到降低风险目的的过程。风险应对可以从改变风险后果的性质、风险发生的概率和风险后果3个方面提出多种策略，对不同的风险可用不同的处置方法和策略。企业所面临的各种风险都可以综合运用各种策略进行处理。企业内部控制基本规范第二十六条规定：企业应当综合运用风险规避、风险降低、风险分担和

15、风险承受等风险应对策略，实现对风险的有效控制。八、 风险应对策略风险应对的策略有风险规避、风险降低、风险分担和风险承受4类。（一）风险规避风险规避是指企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险规避是各种风险管理技术中最简单、最为消极的一种。例如，一个经销家庭日用品的企业在其经销的产品有导致小儿麻痹症的情况出现时，决定终止这种经销活动，以免引致产品责任索赔案。企业通过中断风险源，将避免可能产生的潜在损失或不确定性，但企业同时失去了从风险源中获得收益的可能性。企业在采用规避方法来处理风险时必须考虑以下几个方面的因素。第一，风险要想真正避免也许不可

16、能。对企业而言，有些基本风险如世界性的经济危机、能源危机等难以避免。第二，风险得以避免在经济上也许不适当。对某些风险即使可以避免，但就经济效益而言也许不合适。在成本和效益的比较分析下，如果企业避免风险所花费的成本高于避免风险所产生的经济效益时，仍然采取避免风险的方法，经济上可谓不适当。第三，风险规避使企业失去了从中获益的可能性。第四，避免了某一风险可能产生另外新的风险，新风险产生的可能性和危害程度可能更甚于先前的风险。1、风险规避的适用范围当企业面临下列两种情况时最适合采用风险规避策略：某种特定风险导致的发生概率和产生损失程度相当大；应用其他风险处理技术的成本超过其产生的收益，采取风险规避法可

17、以使企业所受损失为零。2、风险规避的方式（1）完全放弃，是指企业拒绝承担这种风险，根本不从事可能产生某些特定风险的活动。（2）中途放弃，是指企业在项目进行的过程中终止承担某种风险。例如，公司研发一种新产品，在市场上试销后发现市场前景惨淡，于是中途停止这种产品的生产与上市，防止产生更大的新产品的开发风险。这种风险规避通常与环境的较大变化和风险因素的变动有关。由于发生了新的不利情况，经权衡后，认为得不偿失，故而放弃。（3）改变条件，是指改变生产活动的性质，改变生产流程或是工作方法等。其中，生产性质的改变属于根本的变化。简单的风险规避是一种最消极的风险处理办法，因为投资主体在放弃风险行为的同时，往往

18、也放弃了潜在的目标收益。所以一般只有在以下情况才会采用这种方法：投资主体对风险极端厌恶；存在可实现同样目标的其他方案，其风险更低；投资主体无能力消除或转移风险；投资主体无能力承担该风险或承担风险得不到足够的补偿。（二）风险降低风险降低是企业在权衡成本效益后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险降低的目的是要降低风险发生的概率，或者减少风险造成的损失，或者两者兼而有之。风险降低可以积极改善风险的特性，使其能为企业所接受，而又使企业不丧失获利的机会。风险降低的方法一般与控制措施相衔接，包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预

19、算控制、运营分析控制、绩效考评控制和合同控制等。降低风险主要通过两种途径实现：风险预防和减少风险。其中，风险预防即采取各种措施防止风险事件的发生，做到事先防范，也就是消除或减少风险因素，以便降低损失发生的概率。企业实行风险降低策略应符合成本效益原则。预防风险涉及一个现时成本与潜在损失比较的问题：若潜在损失远大于采取预防措施所支出的成本，就应采用预防风险手段。以兴修堤坝为例，虽然施工成本很高，但与洪水泛滥造成的巨大灾害相比，就显得微不足道。此外，还应考虑到一旦预防措施不成功，风险发生后应采取补救措施以减少损失，从而使风险损失最小化。人们从事的许多活动都面临着风险，对于那些厌恶风险者来说如何应付所

20、面临的风险呢？有两种常用的办法可以降低可能发生的风险，这两种方法是多样化和获取更多的信息。1、多样化多样化是指在从事的活动将要面临风险的情况下，人们可以采取多样化的活动，以便降低风险。例如，投资者可以以多种形式持有资产，以免持有单一化的资产发生风险；商品推销人员为了保证销售收入，可以同时推销多种商品，以免在只推销一种商品的情况下，一旦产品推销不出，发生一点收入也得不到的风险。2、获取更多的信息在不确定的情况下，消费者的决策是建立在有限信息基础之上的。如果消费者可以获得更多的信息，将会降低决策的风险。然而获得的信息不是没有代价的。例如，要想通过销售活动获得尽可能多的利润，商品销售人员必须进行市场

21、调查与研究，以便获得较多的商品需求信息，减少决策的风险；要进行市场调查研究，就必须花费一定的费用。如果不亲自进行市场调查，而向他人购买信息，也可以减少决策的风险。这说明信息是有价值的。（三）风险分担风险分担是指企业准备借助他人的力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险分担是一种事前的风险管理措施，即在风险发生之前，通过各种交易活动，把可能发生的风险转移给其他人承担，避免承担全部风险损失。其主要措施包括业务分包、保险、出售、开脱责任合同以及合同中的转移责任条款。风险分担的方式主要可以分为财务型非保险转移、控制型非保险转移和保险转移。1、财务型非保

22、险转移财务型非保险转移是指受补偿的人将风险所导致损失的财务负担转移给补偿的人（其中保险人除外）的一种风险管理技术。财务型非保险转移的实施方式主要有以下四种。（1）中和。中和是将损失机会与获利机会平衡的一种方法，通常被用于处理投机风险。担心原材料价格变化的制造商所进行的套购，以及受外汇汇率变动影响的出口商进行的期货买卖都属于中和方法。所谓套购，就是通过买卖双方交易的相互约定，使可能的价格涨落损益彼此抵消。通常，商业机构、生产商、加工商和投资者利用期货价格和现货价格波动方向上的趋同性，通过在期货市场上买进或卖出与现货市场上方向相反但数量相同的商品，而把自身承受的价格风险转移给投机者，以达到现货与期

23、货盈亏互补的目的。（2）免责约定。免责约定是指合同的一方通过合同条款，对合同中发生的对他人人身伤害和财产损失的责任转移给另一方承担，即通过主要针对其他事项的合同中的条款来实现风险转移。需要指出的是，免责约定不同于责任保险。免责约定所转移的风险其受让人而不是保险人，而且所提到的财产损失责任是以合同责任下的损失为限的。（3）保证合同。保证合同是指由保证人对被保证人因其行为不忠实或不履行某种明确的义务而导致权利人损失予以赔偿的一种书面合同。这里有保证人、被保证人和权利人三方当事人，借助保证书，权利人可将被保证人违约的风险转移给保证人。保证的目的在于担保被保证人对权利人的忠实和有关义务的履行，否则由保

24、证人赔偿损失。保证书通常用于以下“明确的义务”：清偿债务，在规定的期限内提供一定数量的产品，按要求的日期完成一项工程等。如果被保证人没有履行义务，保证人必须自己履行这项义务，或者按保证书的规定支付一定的罚金。然后，保证人可以向被保证人追偿其损失。有时，保证人在签发保证书时，要求被保证人用现金或政府债券等作为担保物，以备自己索赔。即使被保证人得不到任何保障，他们也要签署这种保证书。需要指出，保证书不同于保险合同（尤指财产保险合同），其差别如下。保证书的当事人有三方，即保证人、被保证人和权利人，而保险合同一般只有两方，即保险人和投保人（被保险人）。保证书中，被保证人通常得到担保并付出担保费，而权利

25、人得到保障（不过，有时被保证人可通过成本包括在所提供的服务的价格里，而将这种成本转移给权利人），而被保险人则通常是购买保险来保障自己。保证书中的损失有可能是由被保证人故意引起的，而保险损失对被保险人而言则必须是意外的。理想状况下，保证书中的担保不会有损失。因为如果有任何损失的可能性，保证人就不会签署这种保证书，况且保证人自己会在调查中发现潜在的损失。而保险人则清楚地知道在被保险的群体中间会有一些损失一期望损失值。理想状况下，保证书的担保费不应该包括任何期望损失作为备抵，所以这种担保费只需包括保证人的调查费和其他费用，并提供一定的利润和一定的意外准备金。而保险费则必须补偿期望损失。在实践中，保证

26、人也会发生一些损失，因为他们的调查并不完全准确，但这样的损失在担保费中所占的比例远低于在保险费中所占的比例。如果损失确实发生，保证人可以向被保证人求得补偿，但保险人对于被保险人则没有这种权利。尽管如此，有些保证书与保险合同极为相似，例如诚实保证。实践中，许多保证书的保证人是保险（4）公司化。有的企业通过发行公司股票，将企业经营的风险转移给多数股东承担。这种转移实际上只是分散了原有股东的风险，增强了企业抵抗风险的能力，并不能转移企业遇到的具体风险。2、控制型非保险风险转移控制型非保险风险转移是指借助减低风险单位的损失频率和缩小其损失幅度的手段将损失的法律责任转移给非保险业的另一经济单位的管理技术

27、。控制型非保险风险转移的具体形式有以下3种。（1）出售或租赁。通过买、卖契约将风险单位转移给他人或其他单位。这一方式的特点是将财产所有权和与之有关的风险同时转移给受让人。如一批货物，从工厂主转移给买主后，与这批货物有关的风险（可能遭受火灾、盗窃、市场价格暴跌等）也一同转移给买主了。（2）分包。转让人通过分包合同，将他认为风险较大的工程转移给非保险业的其他人。显然，风险单位通过风险转移，其承担的风险将会减少。例如，对于一般的建筑施工队来说，高空作业风险较大，因此，他们可将风险大的高空作业转移给专业的高空作业工程队。对这种专业工程队来说，他们无论在经验、设备、技术等各方面都较强，故相对来说，风险较

28、小。（3）开脱责任合同。通过这种合同，风险承受者免除转移者对承受者承受损失的责任。如外科医生在给病人动手术之前，往往要求病人（或家属）签字同意，若手术不成功，医生不负责任。在这份契约中，风险承受者（病人）免除了转移者（医生）对承受者（病人）承受损失的法律责任，在这种形式中，通过开脱责任合同，风险本身被消除了。控制型风险转移与风险回避所不同的是，风险回避是放弃或中止存在的风险单位，而此风险转移技术容许风险单位继续存在，然而将损失的法律责任转移给自己以外的第三者（保险业除外）。控制型风险转移与损失控制不同的是，损失控制直接对风险所致的损失频率和幅度加以改善，而此风险转移技术将风险转移给别人而间接达

29、成减低损失频率和减小损失幅度的目的。3、保险转移保险是指投保人根据合同约定，向保险人支付保险费，保险人对于合同约定的可能发生的事故因其发生所造成的财产损失承担赔偿保险金责任，或者当被保险人死亡、伤残、疾病或者达到合同约定的年龄、期限时承担给付保险金责任的商业保险行为。采用保险方式，一方面，风险转移到保险公司之前，投保人必须履行其义务，有责任缴纳保险金。另一方面，当损失出现时，保险公司将会代替投保人承受因风险变化所带来的损失。（四）风险承受风险承受是指企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。风险承受的前提是自留风险可能导致的损失比转移风险所需

30、要的费用小。风险承受是最省事的风险规避方法，在许多情况下也是最省钱的。但企业也应考虑到，若仅从降低成本、节省费用出发，将风险承受作为一种主动积极的方式应用时，可能会由于风险意外扩大，而使企业面临严重的损失后果。九、 内部控制的相关比较（一）目标的比较内部控制是一个管理系统而非技术系统，是一个防守系统而不是进攻系统，因此，内部控制要实现企业的价值最大化目标，无法依靠利益的增加而只能通过减少支出。内部控制的目标，通常指内部控制所要达到的预期效果和所要完成的控制任务。从理论上说，内部控制的目标主要取决于内部控制本身所具有的功能和人们在设计、执行内部控制时的主观需要。内部控制的目标限于内部控制功能和人

31、们的主观需求之间，不可能高于其本身的客观功能，当然，也不能低于主观需求。1、国内外相关报告的内部控制目标比较内部控制的目标并非单一的，是由几个目标组成的目标结构或体系，并且，各目标之间存在着相互联系。目前内部控制学关于目标的阐述有“三目标论”“四目标论”“五目标论”，这些目标深入具有不同的层次，但有一个共同的目标指向，即降低各种风险带来的损失。对内部控制整体框架、企业风险管理框架与我国企业内部控制基本规范中所规定的内部控制目标进行的比较。标准或规范对内部控制目标的规定有所差异，主要是因为第一，确定控制目标的设定基础。有的以内部会计控制为基础设定（如1949年的定义），有的以内部控制为基础来设定

32、，有的以风险管理为基础设定；第二，颁布这些标准或规范的机构不同。有的从企业层面颁布，有的从行业层面颁布，有的从监管层面颁布。反观我国基本规范，相较于企业风险管理框架，多了一个资产安全目标，资产安全是企业展开各种经济活动的物质前提，但是从目标的排列次序上可以看出，我国的基本规范中规定的次序恰恰与企业风险管理报告要求的相反，这是结合我国基本实情的具体规定。一般认为，首先，企业应当在合规合法的前提下开展活动，违背了这项原则，其他目标再好也是纸上谈兵。其次，保证合规合法目标实现的基础之上，资产作为企业经济活动的物质前提，应当保证实现资产安全的目标。再次，企业应当保证财务报告及相关信息的真实完整，以便于

33、利益相关者做出决策。与此同时，企业应当回归到日常经营管理活动当中来，提高企业的经营效率和效果，提高经营业绩是企业的大势所趋。最后，在上述四个目标实现的基础上，提出了企业的发展战略。2、我国内部控制目标演进过程我国的相关法规制度对内部控制目标的界定也是一个不断演进的过程，我国相关法规、制度对内部控制目标的界定，可以分为三个发展演进阶段。第一阶段，外部化阶段。强调内部会计控制，突出财务报告的真实完整，主要表现在独立审计具体准则第9号内部控制和审计风险（体现内部控制为审计服务）、财政部内部会计控制规范一基本规范等。第二阶段，内部化阶段。强调内部控制，在保证财务报告真实完整的前提下提高经营的效率和效果

34、，主要表现在中国注册会计师审计准则第1211号（体现风险导向的审计内涵）、上交所上市公司内部控制指引、深交所上市公司内部控制指引等。第三阶段，风险管理阶段。强调企业风险管理，主要表现在五部委企业内部控制基本规范。以上三个阶段说明我国内部控制目标的发展是在借鉴国外最佳实践的基础上，关于内部控制理念与实践的提升。（二）内部控制要素的比较纵观内部控制的历史演进可以发现，从最早的内部控制“一要素”阶段内部牵制阶段，“二要素”阶段一内部控制制度阶段，“三要素”阶段一内部控制结构阶段，到“五要素”阶段内部控制整合框架阶段，再到“八要素”阶段一风险管理整合框架阶段，内部控制的发展历史实际上也是内部控制要素不

35、断充实和丰富的过程。内部控制基本要素反映了内部控制的内容，这些要素及其构成方式与整个控制过程整合在一起，决定着控制的内容与形式。企业风险管理框架在内部控制整体框架的基础上，将风险评估分解为目标制定、事项识别、风险评估和风险应对四个要素，纳入风险管理流程，突出了风险管理的重要性。而基本规范是五要素的体系结构，一方面继承内部控制整体框架的理论成果，另一方面适当体现企业风险管理框架的先进理念，结合我国国情的基础上将两者有效结合。十、 企业内部控制规范的基本内容我国企业内部控制规范的基本框架，可以概括为五大目标、五大原则和五大要素。（一）内部控制的目标内部控制是围绕目标展开的，因此明确目标至关重要。内

36、部控制的目标，应是整个控制系统的出发点，决定了系统运行的方式和方向。企业内部控制基本规范中对内部控制提出了合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果以及促进企业实现发展战略的五大目标，简称为合规目标、资产安全目标、报告目标、经营目标和战略目标。内部控制五大目标是一个完整的目标体系，由于各大目标在控制体系中的层级不同，其在整个目标体系中的地位和作用也有所差异。1、合规目标合规目标要求企业或其他组织完全遵循国家的法律法规和监管要求，是企业成功运营的必要保证，与企业活动的合法性相关。企业生存于社会这个大环境下，必须遵守社会的基本规范，包括法律规范和道德规范，必须在社会允许的范

37、围内展开各项活动，即“小制度不能大于大法”。因此，遵守法规、制度是企业一切活动的前提，也是首先要保证完成的目标。国家有关法律、制度的落实必将依靠内部控制的有效执行加以保证。一个违反国家法律法规、丧失道德底线的企业，必然会将自身置于高风险的环境中，从而对自身的生存和发展造成巨大的威胁，后果可想而知。合规目标方面的关注点主要包括：公司的各项活动符合法律法规确定的要求，通常涉及知识产权、市场、价格、税收、环境、员工福利以及国际贸易等。2、资产安全目标虽然在COSO框架中没有将保护资产安全作为一个主要目标，而是作为主要目标中的一个子目标，但是我国的企业内部控制基本规范中重新将其作为内部控制目标的一个部

38、分，这是基于我国的国情和现状做出的必然选择，是有一定用意的。我国普遍存在产权多元化现象，而且国有资产流失现象极其严重，保护资产安全和完整对资产所有者来说具有特别重大的意义。资产安全与否实际上是内部控制的一个过程控制结果，是实现其他目标的物质前提。因此，该目标要求内部控制能够保护主体所有资产的安全和完整。资产安全目标方面的关注点主要包括：关注企业日常经营活动的效率，提高企业的生产力和竞争力，防止资产缩水，关注资产使用及处置的授权情况。3、报告目标报告目标指内部控制应合理保证企业提供了真实、可靠的财务报告及其他信息。报告目标有助于组织向投资者、债权人等利益相关者以及内部管理层提供真实、可靠、完整的

39、信息，具体包括内部和外部、财务与非财务信息，它是内部控制目标体系的基础目标。企业报告包括内部报告和外部报告，报告目标的提出更多地满足了企业外部的需求。对于外部使用者来说，真实、可靠和完整的财务报告能够公允地反映企业的财务状况和经营成果，从而有利于信息使用者做出决策。当然，非财务信息的重要性也是不言而喻的。可靠的报告既为管理层提供了适合其既定目的的准确和完整的信息，也是外部监管的要求。报告目标方面的关注点主要包括以下几个部分。（1）管理层决策及对公司活动、业绩监控的准确、及时、完整的信息的对内报告；（2）用于满足投资者、监管部门及其他相关信息需求者的真实、可靠、完整信息的对外报告；（3）信息的全

40、面性，而不仅仅是财务信息。4、经营目标经营目标旨在有效和高效地使用企业有限的资源，提高经营的效率和效果，实现良好的运营。经营目标是企业实现其战略目标的核心和关键所在，战略目标与企业的使命相关联，战略目标只有通过分解和细化成经营目标才能得以落实。因此，没有经营目标，战略目标再好也无任何意义。经营目标需要反映特定企业自身及所处特定经济环境的特点，全面考虑产品质量的竞争压力、产品的生产周期和与技术变化相关的其他因素。一般来说，经营目标引导企业的资源流向，经营目标不成熟或不明确，会造成企业资源的浪费。通常情况下，良好的内部控制能够提高企业的经营效率和效果，提高单位时间产量，优化产品质量，从而提高企业的

41、核心竞争力。管理层必须确保经营目标反映现实的市场需求，并且有明确的绩效衡量指标。经营目标方面的关注点主要包括以下几点。（1）经营目标与公司战略目标及战略计划一致；（2）经营目标适应公司所处的特定经营环境、行业和经济环境等（3）各个业务活动目标之间保持一致；（4）所有重要业务流程与业务活动目标相关；（5）适当的资源及有效配置；（6）管理层制定的公司经营目标及他们对目标的负责程度。5、战略目标战略目标是基于组织整体视角的最高层次目标，其他目标都应与战略目标协调一致并服务于战略目标。战略目标与企业的目标紧密相关，并且是支持企业目标实现的基础。管理者为实现企业价值最大化这一根本目标，针对内外部环境，评

42、估与目标实现相关的风险，根据风险偏好，做出一系列的反应和选择。一个企业为实现其战略目标，首要的任务是在分析内外部环境的基础上制订战略，明确战略目标；其次，对风险进行识别和评估，并在制订相应风险应对措施的基础上形成战略规划；最后，将战略目标逐步分解成若干子目标，再将子目标层层分解至各个业务部门、行政部门和各生产过程。上述过程为企业实现其战略目标提供了合理保证。战略目标反映了管理层就主体如何努力为其利益相关者创造价值所做出的选择，是最高层次的目标，与其使命相关并支撑其使命。战略是实现企业目标的全面性、方向性的行动计划。企业在考虑实现战略目标的各种方案时，必须考虑与各种战略相伴的风险及其影响，对于同

43、样的战略目标可以选择不同的战略加以实现，而不同的战略则具有不同的风险。因此，企业在战略选择之前，有必要对当前的经营状况进行评估，分析内、外部环境因素，明确公司在行业中所处的位置及面临的机遇和挑战，不断审视当前的目标与使命。战略目标方面的关注点主要包括以下几点。（1）管理层对企业绩效现状进行的评估，是前期战略进行监控的基础，也是企业新战略制订的基础（2）对内部和外部环境的监测分析；（3）战略目标体系；（4）战略选择遵循了必要的流程，并获得了充分地讨论；（5）企业对目标实现与现有资源状况之间的匹配程度进行的评估；（6）设定战略目标可接受程度；（7）就战略目标与企业内部员工和外部相关利益集团之间进行

44、沟通。（二）内部控制的原则企业建立内部控制应遵循一定的原则，没有正确的原则指导，内部控制的设计就难免存在先天性不足的问题，其执行效率难免大打折扣。内部控制的基本原则是建立和实施各种内部控制应遵循的具有普遍性和指导性的法则和原则，它所要解决的问题是，为了实现内部控制的目标，基于内部控制的基本假设，根据内部控制的理论基础，应当如何科学地设计和执行内部控制的问题。企业内部控制基本规范明确指出，企业建立与实施内部控制，应当遵循全面性、重要性、制衡性、适应性、成本效益五大原则。这五个原则形成一个整体，设计企业的内部控制应做到统筹兼顾，不可偏废。1、全面性原则全面性原则是指内部控制应该贯穿决策、执行和监督

45、全过程，覆盖企业及其所属单位的各种业务和事项。全面性原则要求内部控制覆盖全部业务活动和每项业务活动的全过程，在层次上应当涵盖企业董事会、管理层和全体员工；在对象上应当覆盖企业各项业务和管理活动；在流程上应当渗透到决策、执行、监督、反馈等各个环节，避免内部控制出现空白和漏洞。具体而言，全面性原则，首先要求企业进行全过程控制，即对整个经营管理活动过程进行全面、全方位、全时段的控制，其中包括企业管理部门用以授权与指导、进行购货、生产等经营管理活动的各种方式方法，以及核算、审核、分析各种信息及进行报告的程序与步骤等。其次，内部控制对全体员工都有约束力，企业应当进行全员控制。企业的每一位成员既是内控的主

46、体，又是内控的客体，内部控制制度应保证每一位员工包括高层管理人员到基层执行操作人员都受到相应的控制。2、重要性原则重要性原则是指内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。对重要业务经济活动进行重点控制时，对一项经济业务活动的关键环节实行重点控制。对关键控制点的选择，应统筹考虑会影响整个企业经营运行过程的重要操作与事项以及其是否能在重大损失出现之前显示差异，以便有利于对问题做出及时、灵敏的反应。例如，在设计与执行同存货相关的内部控制制度时，可以借鉴存货ABC管理方法，根据存货数量占比和资金占比，对其中的A类存货进行重点控制。在理解上，应将全面性原则和重要性原则联系起来，不能片

47、面、分立地理解。重要性是在全面性基础上的考虑，即重要业务事项一个都不能少。这是内部控制合理保证目标实现以及确定控制点的前提也是成本效益原则的体现。3、制衡性原则制衡性原则是指内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。内部控制的本质之一是制衡，制衡性原则是内部控制的一个灵魂性原则，是内部控制有效性的具体判断标准。企业的机构、岗位设置和权责分配应当科学合理并且符合内部控制的基本要求，确保不同部门、岗位之间的权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得凌驾于内部控制之上。制衡性原则要求人们

48、在办理具有固定风险的经济业务事项，对涉及的不相容职务应该严格加以分离，不得由一个人或一个部门包办到底。组织行为理论强调授权和权力制衡的重要性，因此通过科学合理地设置机构、岗位和分配权责，能够实现权力的相互制衡，进而实现组织的各项目标。此外，不串通假设也为该原则地遵循奠定了基础。因此，制衡性原则是建立内部控制应当遵循的又一个重要的基本原则。4、适应性原则适应性原则是指内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。适应性原则是成本效益原则的保证。组织行为理论强调人们应该重视环境的变化，“因地制宜”地设计、“因材施教”地执行内部控制。企业在性质、行业、规模、组织形式和内部管理体制及管理要求等方面存在差异，这构成了企业不同的特点以及同一行业在不同