1、泓域/曲普瑞林微球公司治理與內部控制分析曲普瑞林微球公司治理與內部控制分析目錄 TOC o 1-3 h z u HYPERLINK l _Toc112410534 一、 項目簡介 PAGEREF _Toc112410534 h 3 HYPERLINK l _Toc112410535 二、 評價控制缺陷與報告 PAGEREF _Toc112410535 h 6 HYPERLINK l _Toc112410536 三、 審計工作計劃與實施 PAGEREF _Toc112410536 h 10 HYPERLINK l _Toc112410537 四、 內部監督比較 PAGEREF _Toc11241

2、0537 h 15 HYPERLINK l _Toc112410538 五、 內部監督的內容 PAGEREF _Toc112410538 h 16 HYPERLINK l _Toc112410539 六、 風險的概念及其分類 PAGEREF _Toc112410539 h 22 HYPERLINK l _Toc112410540 七、 風險的分類和評估 PAGEREF _Toc112410540 h 24 HYPERLINK l _Toc112410541 八、 目標設定的含義 PAGEREF _Toc112410541 h 26 HYPERLINK l _Toc112410542 九、 內部

3、控制目標的設定 PAGEREF _Toc112410542 h 30 HYPERLINK l _Toc112410543 十、 風險識別的方法 PAGEREF _Toc112410543 h 33 HYPERLINK l _Toc112410544 十一、 風險識別的概念和內容 PAGEREF _Toc112410544 h 39 HYPERLINK l _Toc112410545 十二、 監事會 PAGEREF _Toc112410545 h 42 HYPERLINK l _Toc112410546 十三、 監事 PAGEREF _Toc112410546 h 45 HYPERLINK l

4、_Toc112410547 十四、 管理層的責任 PAGEREF _Toc112410547 h 48 HYPERLINK l _Toc112410548 十五、 管理腐敗的類型 PAGEREF _Toc112410548 h 49 HYPERLINK l _Toc112410549 十六、 產業環境分析 PAGEREF _Toc112410549 h 52 HYPERLINK l _Toc112410550 十七、 微球制劑優勢明顯，需求持續增長 PAGEREF _Toc112410550 h 53 HYPERLINK l _Toc112410551 十八、 必要性分析 PAGEREF _T

5、oc112410551 h 53 HYPERLINK l _Toc112410552 十九、 人力資源分析 PAGEREF _Toc112410552 h 54 HYPERLINK l _Toc112410553 勞動定員一覽表 PAGEREF _Toc112410553 h 54 HYPERLINK l _Toc112410554 二十、 發展規劃 PAGEREF _Toc112410554 h 56 HYPERLINK l _Toc112410555 二十一、 SWOT分析說明 PAGEREF _Toc112410555 h 63 HYPERLINK l _Toc112410556 二十二

6、、 項目風險分析 PAGEREF _Toc112410556 h 69 HYPERLINK l _Toc112410557 二十三、 項目風險對策 PAGEREF _Toc112410557 h 72項目簡介（一）項目單位項目單位：xxx有限責任公司（二）項目建設地點本期項目選址位于xx（以最終選址方案為準），占地面積約71.00畝。項目擬定建設區域地理位置優越，交通便利，規劃電力、給排水、通訊等公用設施條件完備，非常適宜本期項目建設。（三）建設規模該項目總占地面積47333.00（折合約71.00畝），預計場區規劃總建筑面積84316.59。其中：主體工程52826.48，倉儲工程16878

7、.58，行政辦公及生活服務設施6814.36，公共工程7797.17。（四）項目建設進度結合該項目建設的實際工作情況，xxx有限責任公司將項目工程的建設周期確定為12個月，其工作內容包括：項目前期準備、工程勘察與設計、土建工程施工、設備采購、設備安裝調試、試車投產等。（五）項目提出的理由1、長期的技術積累為項目的實施奠定了堅實基礎目前，公司已具備產品大批量生產的技術條件，并已獲得了下游客戶的普遍認可，為項目的實施奠定了堅實的基礎。2、國家政策支持國內產業的發展近年來，我國政府出臺了一系列政策鼓勵、規范產業發展。在國家政策的助推下，本產業已成為我國具有國際競爭優勢的戰略性新興產業，伴隨著提質增效

8、等長效機制政策的引導，本產業將進入持續健康發展的快車道，項目產品亦隨之快速升級發展。中國藥典（2010年版）將微球制劑單獨歸為一種新劑型。微球將藥物包埋或者吸附在聚合物分子表面，通過皮下注射或者深部肌肉注射進入人體內，經載體表面快速釋放、藥物擴散、聚合物溶蝕降解等方式，實現增加載藥量、提升包封率、或者實現靶向精準用藥等效果。根據其結構形式的不同，微球制劑可分大致為成孔性微球制劑、雙層微球制劑、磁性微球制劑。（六）建設投資估算1、項目總投資構成分析本期項目總投資包括建設投資、建設期利息和流動資金。根據謹慎財務估算，項目總投資35263.38萬元，其中：建設投資27172.08萬元，占項目總投資的

9、77.05%；建設期利息268.36萬元，占項目總投資的0.76%；流動資金7822.94萬元，占項目總投資的22.18%。2、建設投資構成本期項目建設投資27172.08萬元，包括工程費用、工程建設其他費用和預備費，其中：工程費用23354.83萬元，工程建設其他費用3028.67萬元，預備費788.58萬元。（七）項目主要技術經濟指標1、財務效益分析根據謹慎財務測算，項目達產后每年營業收入66000.00萬元，綜合總成本費用53653.40萬元，納稅總額5999.77萬元，凈利潤9019.42萬元，財務內部收益率18.42%，財務凈現值6287.13萬元，全部投資回收期5.94年。2、主要

10、數據及技術指標表主要經濟指標一覽表序號項目單位指標備注1占地面積47333.00約71.00畝1.1總建筑面積84316.59容積率1.781.2基底面積26979.81建筑系數57.00%1.3投資強度萬元/畝361.182總投資萬元35263.382.1建設投資萬元27172.082.1.1工程費用萬元23354.832.1.2工程建設其他費用萬元3028.672.1.3預備費萬元788.582.2建設期利息萬元268.362.3流動資金萬元7822.943資金籌措萬元35263.383.1自籌資金萬元24310.003.2銀行貸款萬元10953.384營業收入萬元66000.00正常運營

11、年份5總成本費用萬元53653.406利潤總額萬元12025.897凈利潤萬元9019.428所得稅萬元3006.479增值稅萬元2672.5910稅金及附加萬元320.7111納稅總額萬元5999.7712工業增加值萬元20458.9113盈虧平衡點萬元26615.65產值14回收期年5.94含建設期12個月15財務內部收益率18.42%所得稅后16財務凈現值萬元6287.13所得稅后評價控制缺陷與報告（一）評價控制缺陷注冊會計師需要評價其注意到的各項控制缺陷的嚴重程度，以確定這些缺陷單獨或組合起來，是否構成重大缺陷。但是，在計劃和實施審計工作時，不要求注冊會計師尋找單獨或組合起來不構成重大

12、缺陷的控制缺陷。企業內部控制可能存在重大缺陷情形有：（1）注冊會計師發現董事、監事和高級管理人員舞弊；（2）企業更正已經公布的財務報表；（3）注冊會計師發現當期財務報表存在重大錯報，而內部控制在運行過程中未能發現該錯報；（4）企業審計委員會和內部審計機構對內部控制的監督無效。財務報告內部控制缺陷的嚴重程度取決于：控制缺陷導致賬戶余額或列報錯報的可能性；因一個或多個控制缺陷的組合導致潛在錯報的金額大小?？刂迫毕莸膰乐爻潭扰c賬戶余額或列報是否發生錯報無必然對應關系，而取決于控制缺陷是否可能導致錯報。評價控制缺陷時，注冊會計師需要根據財務報表審計中確定的重要性水平，支持對財務報告控制缺陷重要性的評價

13、。注冊會計師需要運用職業判斷，考慮并衡量定量和定性因素，同時要對整個思考判斷過程進行記錄，尤其是詳細記錄關鍵判斷和得出結論的理由。而且，對于“可能性”和“重大錯報”的判斷，在評價控制缺陷嚴重性的記錄中，注冊會計師需要給予明確的考量和陳述。（二）內部控制缺陷的報告1、對內報告內部控制缺陷報告應當采取書面形式。對于一般缺陷和重要缺陷，通常向企業經理層報告，并視情況考慮是否需要向董事會及其審計委員會、監事會報告；對于重大缺陷，應當及時向董事會及其審計委員會、監事會和經理層報告。如果出現不適合向經理層報告的情形，如存在與經理層舞弊相關的內部控制缺陷，或存在經理層凌駕于內部控制之上的情形等，應當直接向董

14、事會及其審計委員會、監事會報告。企業應根據內部控制缺陷的影響程度合理確定內部控制缺陷報告的時限，一般缺陷、重要缺陷應定期報告，重大缺陷即時報告。2、對外報告我國企業內部控制審計指引第四條規定：注冊會計師應當對財務報告內部控制的有效性發表審計意見，并對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷，在內部控制審計報告中增加“非財務報告內部控制重大缺陷描述段”予以披露。內部控制信息披露服務于投資者的權益保護以及投資者對企業投資回報的預期。財務報告之所以是投資決策的重要依據，原因在于它有助于投資者評估企業未來產生現金流量的金額、時間和不確定性從而服務于投資決策。但是，依據財務數據對企業前景的

15、預期能否成為現實、差異的波動方向取決于對未來不確定因素的管控。內部控制的有效性以及缺陷的嚴重程度決定著它管控未來風險的能力以及預期變為現實的可靠程度。對外披露內控缺陷信息是企業必須承擔的義務。但是，無論從法律賦予管理層的義務層面講，還是受托者對委托者承擔的道義責任層面講，并不是所有的內部控制缺陷都必須對外披露。對外披露的缺陷應該是對投資者制定投資決策、修正以往投資決策產生影響的缺陷信息。缺陷的披露實際上起風險提示的作用，只有較大可能偏離目標且危害程度較嚴重的缺陷才有必要對外披露。3、注冊會計師內部控制審計意見類型企業內部控制審計意見包括無保留意見、否定意見和無法表示意見三種類型。具體又可分為無

16、保留意見、帶強調段的無保留意見、否定意見和無法表示意見四種類型。（1）無保留審計意見。發表無保留審計意見必須同時符合兩個條件：企業按照內部控制有關法律法規以及企業內部控制制度要求，在所有重大方面建立并實施有效的內部控制；注冊會計師按照有關內部控制審計準則的要求計劃和實施審計工作，在審計過程未受到限制。（2）帶強調段的無保留意見。注冊會計師認為財務報告內部控制雖不存在重大缺陷，但仍有一項或者多項重大事項需要提請審計報告使用者注意的，應在審計報告中增加強調事項段予以說明。該段內容僅用于提醒內部控制審計報告使用者關注，并不影響對財務報告內部控制發表的審計意見。（3）否定意見。注冊會計師認為財務報告內

17、部控制存在一項或多項重大缺陷的，除非審計范圍受到限制，否則應對財務報告內部控制發表否定意見。注冊會計師出具否定意見的內部控制審計報告中需包括重大缺陷的定義、重大缺陷的性質及其對財務報告內部控制的影響程度等內容。（4）無法表示意見。注冊會計師審計范圍受到限制的，應當解除業務約定或出具無法表示意見的內部控制審計報告，在報告中指明審計范圍受到限制，無法對內部控制有效性發表意見。注冊會計師在已執行的有效程序中發現內部控制存在重大缺陷的，應當在“無法表示意見”的審計報告中對已發現的重大缺陷做出詳細說明。審計工作計劃與實施（一）審計工作計劃企業內部審計指引第六條的規定：注冊會計師應該恰當地計劃內部控制審計

18、工作，配備具有專業勝任能力的項目組，并對助理人員進行適當的督導。企業內部審計指引第七條的規定：在計劃審計工作時，注冊會計師應當評價下列事項對內部控制、財務報表以及審計工作的影響：與企業相關的風險；相關法律法規和行業概況；企業組織結構和經營特點、資本結構等相關事項；企業內部控制最近發生變化的程度：與企業溝通過的內部控制缺陷；重要性、風險等與確定內部控制重大缺陷相關的因素對內部控制有效性的初步判斷；可獲取的、與內部控制有效性相關的證據的類型和范圍。注冊會計師應當以風險評估為基礎，選擇擬測試的控制，確定測試所需收集的證據。內部控制的特定領域存在重大缺陷的風險越高，給予該領域的審計關注就越多。注冊會計

19、師應當對企業內部控制自我評價工作進行評估，判斷是否利用內部審計人員、內部控制評價人員和其他相關人員的工作以及可利用的程度，相應減少本應由注冊會計師執行的工作。注冊會計師利用企業內部審計人員、內部控制評價人員和其他相關人員的工作，應當對其專業勝任能力和客觀性進行充分評價。注冊會計師應當對發表的審計意見獨立承擔責任，其責任不因為利用企業內部審計人員、內部控制評價人員和其他相關人員的工作而減輕。（二）審計工作實施企業內部審計指引第十條規定：注冊會計師應當按照自上而下的方法實施審計工作。自上而下的方法是注冊會計師識別風險，選擇擬測試控制的基本思路。注冊會計師在實施審計工作時，可以將企業層面控制和業務層

20、面控制的測試結合進行。“自上而下”的方法始于財務報表層次，以注冊會計師對財務報告內部控制整體風險的了解開始，然后注冊會計師將關注重點放在企業層面的控制上，并將工作逐漸下移至重大賬戶、列報及相關的認定。1、識別企業層面控制通過了解企業與財務報告相關的整體風險，注冊會計師可以識別出為保持有效的財務報告內部控制而必需的企業層面內部控制。注冊會計師測試企業層面控制，應當把握重要性原則，至少應當關注以下幾方面。（1）與內部環境相關的控制。內部環境，即控制環境，包括治理職能和管理職能，以及治理層和管理層對內部控制及其重要性的態度、認識和措施。在評價控制環境的設計時，注冊會計師應當考慮構成控制環境的下列要素

21、，以及這些要素如何被納入企業業務流程：對誠信和道德價值觀念的溝通與落實；對勝任能力的重視；治理層的參與程度：管理層的理念和經營風格；組織結構；6職權與責任的分配；人力資源政策與落實。（2）針對董事會、經理層凌駕于控制之上的風險而設計的控制。注冊會計師可以根據對企業舞弊風險的評估做出判斷，選擇相關的企業層面控制進行測試，并評價這些控制能否有效應對管理層凌駕于控制之上的風險。注冊會計師應當特別關注由于管理層凌駕于賬戶記錄控制之上，或規避控制行為而產生的重大錯報風險，并考慮企業如何糾正不正確的交易處理。（3）企業的風險評估過程。包括識別與財務報告相關的經營風險和其他經營管理風險，以及針對這些風險采取

22、的措施。注冊會計師在對企業整體層面的風險評估過程進行了解和評估時，考慮的主要因素可能包括：企業是否已建立并溝通其整體目標，并輔以具體策略和業務流程層面的計劃；是否已建立風險評估過程，包括識別風險，估計風險的重大性，評估風險發生的可能性以及確定需要采取的應對措施；是否已建立某種機制，識別和應對可能對企業產生重大且普遍影響的變化；會計部門是否建立了某種流程，以識別會計準則的重大變化；業務操作發生變化并影響交易記錄的流程時，是否存在溝通渠道以通知會計部門；風險管理部門是否建立了某種流程，以識別經營環境，包括監管環境發生的重大變化。（4）對內部信息傳遞和財務報告流程的控制。注冊會計師應當從下列方面了解

23、與財務報告相關的信息系統：對財務報表具有重大影響的各類交易；在信息技術和人工系統中，交易生成、記錄、處理和報告的程序；與交易生成、記錄、處理和報告有關的會計記錄、支持性信息和財務報表中的特定項目；信息系統如何獲取除各類交易之外的對財務報表具有重大影響的事項和情況；企業編制財務報告的過程，包括做出的重大會計估計和披露。財務報告流程的控制可以確保管理層按照適當的會計準則編制合理、可靠的財務報告并對外報告。（5）對控制有效性的內部監督和自我評價。企業對控制有效性的內部監督和自我評價可以在企業層面上實施，也可以在業務流程層面上實施，包括對運行報告的復核和核對、與外部人士的溝通、對其他未參與控制執行人員

24、的監控活動，以及將信息系統記錄數據與實物資產進行核對等。2、識別業務層面控制注冊會計師測試業務層面控制，應當把握重要性原則，結合企業實際內部控制各項應用指引的要求和企業層面控制的測試情況，重點對生產經營活動中的重要業務與事項的控制進行測試。注冊會計師應首先確定企業的重要業務流程和影響重大賬戶的重要交易類別，了解重要交易從發生到記入賬目的整個流程，與重大賬戶及其相關認定相結合，在重要交易整個流程中確定錯報可能會在什么環節發生，即確定相應的控制目標；然后根據確定的審計測試策略、計劃對內部控制進行進一步了解和評估，對重要交易流程中設計的防止或發現并糾正可能錯報的相關控制加以識別；再通過執行穿行測試，

25、來證實對重要交易流程和相關控制的了解，并確定相關控制是否得到執行；最后對相關控制的設計和是否得到執行進行評價，以確定進一步的審計程序。內部監督比較內部控制制度的有效實施，依賴于有效的內部監督系統。內部監督作為內部控制的基本要素之一，對于內部控制的有效運行，以及內部控制的不斷完善起著重要的作用。內部監督是對企業內部控制整體運行情況的跟蹤、監測和調節。內部監督是在盡可能不影響企業正常經營管理活動的情況下，對內部控制實施情況進行評價，及時糾正企業發生的錯誤和舞弊，將內部控制制度的缺陷和改進意見反饋給管理者，對發現的內部控制缺陷及時予以彌補。COSO的企業內部控制整體框架和企業風險管理框架中都規定監督

26、為其構成要素。COSO報告與我國企業內部控制基本規范在內部監督的定義、內容與組織機構方面進行了比較。我國企業內部控制基本規范指出內部監督是企業對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷，應當及時加以改進，內部監督的主要內容包括日常監督和專項監督、缺陷報告、檔案記錄與驗證，內部監督的主要進行機構為內部審計機構（或經授權的其他監督機構）。內部監督的內容（一）內部監督及其職能企業內部監督一般應由內部審計承擔。內部審計作為企業內部控制的一部分，能夠協調管理層更有效地履行其責任，提高企業的運作效率并增強其活動的附加值。內部審計是由被審計單位內部的機構或人員，對其內部控制

27、的有效性、財務信息的真實完整性以及經營活動的效率和效果等開展的一種評價活動，是與獨立審計、政府審計并列的三種審計類型之一。它的目的是發現并預防錯誤和舞弊，提高企業的運作效率，為企業增加價值。它采取系統化、規范化的方法對企業的內部控制、風險管理進行檢查和評價，并提供建議等咨詢服務，來提高他們的效率，從而幫助實現企業的目標。企業內部審計的職能如下。（1）監督職能。監督職能是內部審計的基本職能。（2）控制職能。內部審計機構是集團的一個重要職能部門，它獨立于其他各部門和其他控制系統，是對其他控制的一種再控制，與其他控制形式相比，更具有獨立性、權威性和全面性。內部審計又是內部控制的特殊構成要素，是對內部

28、控制實施的再控制。（3）評價職能。通過內部審計可以熟悉子公司的生產經營情況和財務狀況，并且由于內部審計部門獨立于子公司，更能客觀、公正地評價子公司的管理情況和運行業績。（4）服務職能。內部審計可以通過事前、事中和事后控制為管理當局的決策、計劃、控制提供依據，這些都充分體現了內部審計的服務職能。企業制定內部審計規范，明確審計的范圍、責任和計劃，以此為基礎合理配置審計人員，并要求他們遵守企業職業道德規范及內部審計規范；內部審計部門應具有適當的地位并有足夠的資源履行其職責；內部審計部門根據授權可以參加有關經營及財務管理的決策會議，對管理中存在的薄弱環節、違反國家法律法規的行為、內部控制管理漏洞，向管

29、理層及時提出調整意見。（二）內部監督的程序我國企業內部控制基本規范第四十五條規定：企業應當制定內部控制缺陷認定標準，對監督過程中發現的內部控制缺陷，應當分析缺陷的性質和產生的原因，提出整改方案，采取適當的形式及時向董事會、監事會或者經理層報告。因此，企業應強化內部監督，保證內部控制持續有效。1、制定內部控制缺陷標準（1）內部控制缺陷的相關概念內部控制缺陷，是指內部控制的設計存在漏洞，不能有效防范錯誤與舞弊，或者內部控制的運行存在弱點和偏差，不能及時發現并糾正錯誤與舞弊的情形。內部控制的缺陷包括設計缺陷和運行缺陷。設計缺陷是指缺少為實現控制目標所必需的控制，或現存控制設計不適當，即使正常運行也難

30、以實現控制目標，包括內部控制不健全、內部控制制度不適當。例如，“未建立定期的現金盤點程序”即屬于控制設計問題。運行缺陷是指現存設計完好的控制沒有按設計意圖運行，或執行者沒有獲得必要授權或缺乏勝任能力以有效地實施控制。比較常見的例子就是企業內部控制制度設計健全，但工作人員我行我素，并不按照制度執行。例如，“物資采購申請金額已超過其采購權限，卻未向上級公司申請安排大宗物品采購”，這是存在權限管理規定，卻未在實際操作中按照執行。（2）內部控制缺陷的分類企業根據內部控制缺陷影響整體控制目標實現的嚴重程度，將內部控制缺陷分為重大缺陷、重要缺陷和一般缺陷。重大缺陷是指一個或多個一般缺陷的組合，可能嚴重影響

31、內部整體控制的有效性，進而導致企業無法及時防范或發現嚴重偏離整體控制目標的情形。主要考慮如下因素：影響整體控制目標實現的多個一般缺陷的組合是否構成重大缺陷；針對同一細化控制目標所采取的不同控制活動之間的相互作用；針對同一細化控制目標是否存在其他補償性控制活動。例如，有關控制漏洞為企業帶來重大的損失或造成企業財務報表重大的錯報、漏報。又如，憑證連續編號可以保證所有業務活動都得到記錄和反映，如果憑證沒有連續編號的話，為了避免遺漏重大的業務事項，采用嚴格的憑證之間、賬證之間、賬賬之間的核對就是保證業務記錄完整性的補償性控制。重要缺陷是指一個或多個一般缺陷的組合，其嚴重程度低于重大缺陷，但導致企業無法

32、及時防范或發現偏離整體控制目標的嚴重程度依然重大，需引起企業管理層關注。例如，有關缺陷造成的負面影響在部分區域流傳，為公司聲譽帶來損害。一般缺陷是指以上兩種缺陷之外的缺陷。（三）內部監督的方法內部監督的方法有兩種，包括日常監督和專項監督。內部控制體系日常監督的有效性程度越高，對專項監督的需要程度就越低。管理層為了合理確認內部控制體系的有效性所必須進行的個別評估的頻率取決于管理層的判斷。通常情況下，日常監督和專項監督的合并使用在某種程度上將會保證內部控制體系隨著時間的變化而保持有效性。1、日常監督日常監督是指企業對建立和實施內部控制的整體情況所進行的連續的、全面的、系統的、動態的監督。日常監督是

33、在及時的基礎上執行的，能對環境的改變做出動態的反應，它存在于單位的日常管理活動之中，能及時地發現問題。日常監督的范圍和頻率越大，其有效性就越高，則企業所需的日常監督就越少。日常監督活動的重要環節主要包括以下幾方面。（1）獲得內部控制執行的證據。獲得內部控制執行的證據是指企業員工在實施日常生產經營生活時，取得必要的、相關的證據證明內部控制系統發揮功能的程度。（2）外部反映對內部信息的印證程度。即與外界各方的溝通能夠印證內部生成的信息或揭示問題。（3）定期核對財務系統數據與實物資產。也就是說，將信息系統所記錄的數據與實物資產相比較，做到賬實相符。（4）內外部審計定期提供建議。審計人員評估內部控制的

34、設計以及測試其有效性，識別潛在的缺陷，并向管理層建議采取替代方案，為決策提供有用的信息。（5）管理層對內部控制執行的監督。管理層可以通過以下渠道進行監督：審計委員會接收、保留及處理各種投訴及舉報，并保證其保密性；管理層通過培訓、會議了解內部控制的執行情況；管理層認真審核員工提出的各項合理建議，并不斷完善建議機制。（6）定期考核員工。內部監督部門和人力資源管理部門根據公司管理層的授權定期要求企業員工明確說明他們是否理解并遵守員工行為準則，是否遵守員工職業道德規范，并匯報控制活動的開展情況等。（7）內部審計活動的有效性。適當的組織結構以及監督活動可促進內部控制職能的執行，識別內部控制的缺陷。2、專

35、項監督專項監督又稱個別評估，是指企業對內部控制建立與實施的某一方面或者某些方面的情況進行的不定期、有針對性的監督檢查。專項監督的范圍和頻率應根據風險評估結果以及日常監督的有效性等予以確定。一般來說，風險水平較高并且重要的控制，對其進行專項監督的頻率應較高。通常，專項監督采用自我評估形式，即負責某一單位或職責的人，員對受其控制的活動的有效性進行評價。專項監督主要關注以下兩個方面。（1）高風險且重要的項目。審計部門依據持續監督的結果，對風險較高且重要的項目要進行個別評估?？紤]到成本效益原則，對風險很高但不重要的項目或很重要但是風險很小的項目可以減少個別評估的次數。應該將高風險且重要的項目作為專項監

36、督對象。（2）內部環境變化。當內控環境發生變化時，要進行專項監督，以確定內部控制是否還能適應新的內控環境。日常監督和專項監督應當有機結合。前者是后者的基礎，后者是前者的有效補充。日常監督的程度越高，其有效性也越高，則企業所需的專項監督次數就越少。如果發現專項監督需要經常性地進行，企業就有必要將其納入日常監督中，進行日常持續的監控。通常情況下，兩種監督有效組合能確保企業內部控制在一定時期內保持有效性。風險的概念及其分類古人說：“宜未雨而綢繆，毋臨渴而掘井?！逼髽I在生產經營的過程中，面臨著諸多的風險，如果我們沒有妥善地處理，風險事故一旦發生，輕則影響生產經營穩定和企業經濟效益，重則危及企業的生存。

37、因此風險評估的目的是為了給企業造就一個安全穩定的生產經營環境，這有助于增加領導層經營管理決策的正確性，進而提高企業的經濟效益。（一）風險的概念企業在經營活動中，會遇到各種不確定性事件，這些事件發生的概率及其影響程度是無法事先預知的，進而影響企業目標的實現。所謂風險，就是在一定環境下和一定限期內客觀存在的、影響企業目標實現的各種不確定性事件?；蛘哒f，風險就是指在一個特定的時間內和一定的環境條件下，人們所期望的目標與實際結果之間的差異程度。因此，風險是一個事項將會發生并給目標實現帶來負面影響的可能性。風險具有客觀性、普遍性、潛在性、必然性、可識別性、可控性、損失性和不確定性等特點，風險與機會同在。

38、COSO企業風險管理新框架（2016）指出風險是指事項發生并影響戰略和業務目標之實現的可能性。該定義兼顧了正面和負面的影響，這和國際風險管理標準ISO31000及中國風險管理標準GBT24353是一致的。為了與我國內部控制規范一致，本書采用COSO04的定義。（二）風險的構成要素風險一般包括以下三項構成要素。1、風險因素風險因素是指促使某一特定風險事故發生或增加其發生的可能性或擴大其損失程度的原因或條件。它是風險事故發生的潛在原因，是造成損失的內在或間接原因。例如，對于建筑物而言，風險因素是指其所使用的建筑材料的質量、建筑結構的穩定性等；對于人而言，則是指健康狀況和年齡等；對于企業而言，風險因

39、素則包括企業人員因素、結構因素、外部環境因素等。2、風險事故風險事故也稱風險事件，是指造成傷害或財產損失的偶發事件是造成損失的直接的或外在的原因，是損失的媒介物，即風險只有通過風險事故的發生才能導致損失。就某一事件來說，如果它是造成損失的直接原因，那么它就是風險事故；而在其他條件下，如果它是造成損失的間接原因，它便成為風險因素。例如，對于企業而言，發生倉庫貨物被盜是風險事故，而安保系統不健全是風險因素。3、損失在風險管理中，損失是指非故意的、非預期的、非計劃的經濟價值的減少。通?？梢詫p失分為兩種形態，即直接損失和間接損失。直接損失是指風險事故導致的財產本身損失和人身傷害，這類損失又稱為實質損

40、失：間接損失則是指由直接損失引起的其他損失，包括額外費用損失、收入損失和責任損失。風險的分類和評估（一）風險的分類企業所面臨的風險從來源上分，有企業內部和外部兩個方面。外部風險包括：科技發展帶來的企業技術、管理、信息等方面的風險；顧客需求或預期改變；競爭的存在；自然災害；政治事件；經濟環境的改變等。內部風險主要有：員工的素質和能力；經理人的責任改變；董事會或監督委員會的責任履行情況等。從企業能否對風險進行控制來分，風險分為可控風險和不可控風險兩種。（二）風險評估風險評估是一個比較寬泛的概念，在有的內部控制或風險管理標準中，風險評估就是風險管理，包括了風險管理的全過程，可以說是風險管理的代名詞。

41、而在有的內部控制或風險管理標準中，風險評估是全面風險管理的一個步驟，包括內容有多有少，如目標確定、風險識別、風險分析、風險評價以及風險應對等。1、COSO92關于風險評估概念COSO內部控制整體框架把風險評估列為內部控制的五要素之內部控制整體框架認為，風險評估是指單位為實現其目標而確認的相關風險，以構成進行風險管理的基礎。單位風險可能來自于：（1）經營環境的變化；（2）聘用新的員工；（3）采用新的或改良的信息系統（4）迅猛的發展速度；（5）新技術的運用（6）新的行業、產業或經營活動的開發；（7）企業改組；（8）海外經營；（9）新的會計方法的采用。2、COSO04關于風險評估概念企業風險管理整體

42、框架指出風險評估要對識別的風險進行分析，以便確定對他們進行管理的依據。強調風險評估是風險管理的一個步驟，相當于我國企業內部控制基本規范的風險分析。3、我國企業內部控制基本規范關于風險評估概念我國企業內部控制基本規范借鑒企業風險管理整體框架，認為風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險，從而合理確定風險應對策略。即為識別、分析、管理與企業活動相關的市場風險、政策風險、法律風險、匯率風險、經營風險等各種風險而建立的機制。該概念沿用COSO92的要素理念，是相對寬泛的概念，包括COSO04目標設定、事項識別、風險評估和風險應對四大要素的組合。目標設定的含義我國內部控制基

43、本規范第二十條規定，企業應當根據設定的控制目標，全面、系統、持續地收集相關信息，結合實際情況，及時進行風險評估。目標設定是風險識別、風險分析和風險應對的前提。在管理當局識別和分析風險并采取行動來管理風險之前，首先必須有目標，確定與目標相關的風險，目標設定是風險評估的前提。目標設定分為三個層次，首先在企業既定的使命或愿景指導下，管理層制定企業的戰略目標；其次根據戰略目標制定業務層面的目標，并在企業內層層分解和落實；最后根據設定的目標合理確定企業整體風險承受能力和具體業務層次上可接受的風險水平。企業應當按照戰略目標，設定相關的經營目標、財務報告目標、合規性目標與資產安全目標，并根據設定的目標合理確

44、定企業整體風險承受能力和具體業務層次上的可接受的風險水平。1、戰略目標戰略目標反映了管理層就主體如何努力為其利益相關者創造價值所做出的選擇，是高層次的目標，與其使命相關聯并支撐其使命。企業在考慮實現戰略目標的各種方案時，必須考慮與各種戰略相伴的風險及其影響。戰略目標方面的關注點主要包括：（1）對企業績效現狀進行的評估（2）對內部和外部環境的監測分析；（3）戰略目標體系（4）戰略選擇遵循必要的流程，以及獲得了充分的討論；（5）對目標實現與現有資源狀況之間的匹配程度進行的評估；（6）設定戰略目標可接受程度；（7）就戰略目標與企業內部員工和外部相關利益集團之間的溝通。2、經營目標經營目標與企業經營的

45、效率與效果有關，包括業績和盈利目標的實現，需要反映企業運營所處的特定經營、行業和經濟環境。經營目標來自公司的戰略目標和戰略計劃，并與之緊密聯系，是隨著具體對象和不同時段制訂的，這些目標應針對每個重要業務活動并與其他業務活動保持一致。經營目標方面的關注點主要包括以下幾點：（1）經營目標與公司戰略目標及戰略計劃一致；（2）經營目標適應公司所處的特定經營環境、行業和經濟環境等；（3）各個業務活動目標之間保持一致；（4）所有重要業務流程與業務活動目標相關；（5）適當的資源及有效配置（6）管理層制定的公司經營目標及其對目標的負責程度。3、報告目標報告目標與財務報告及其相關信息的真實完整有關?？煽康膱蟾婺?/p>

46、夠為管理層提供適合其既定目標的準確而完整的信息，支持管理層的決策，并對主體活動和業績實施有效監控。報告目標方面的關注點主要包括以下幾點：（1）管理層決策及對公司活動、業績監控的準確、及時、完整的信息的對內報告；（2）滿足投資者、監管部門及其他相關信息需求者真實、可靠、完整的信息的對外報告；（3）反映信息的全面性，包括財務信息與非財務信息。4、資產安全目標資產安全目標是內部控制的基本目標，包括：防止企業無效率經營，損失資產；防止員工舞弊；防止公司資產被盜等。資產的安全與完整對于我國企業尤其是國有企業具有非常重要的現實意義，近年來國有資產流失的案件屢有發生，內部控制應該把資產安全作為一個重要的目標

47、來加以實現。資產安全目標方面的關注點主要包括以下幾點：（1）關注企業日常經營活動的效率；（2）提高企業的生產力和競爭力；（3）防止資產縮水；（4）關注資產使用及處置的授權情況。5、合規目標合規目標與企業各項活動的合法性有關。企業進行內部控制建設必須符合相關的法律和法規。企業需要根據相關的法律法規制定最低的行為標準并作為企業的遵循目標，企業的合規記錄可能對它在社會上的聲譽產生極大的正面或負面影響。合規目標方面的關注點主要包括：公司的各項活動符合法律法規的要求，通常涉及知識產權、市場、價格、稅收、環境、員工福利以及國際貿易等。內部控制目標的設定（一）制訂戰略目標企業的戰略目標一般是穩定的，但與其相

48、關的業務層面的目標具有動態性，會隨著內部和外部的條件而調整。在企業風險管理目標的設計過程中，首先要確定企業層面的目標，即戰略目標。戰略目標需要通過董事會及員工的相互溝通后確定，同時還要有支持其實現的資金預算及戰略計劃。戰略目標的制訂需要經過如下5個階段。（1）明確企業發展目標。企業在長期規劃中應明確自身的發展目標和發展方向，通過培訓、發放宣傳手冊、領導講話等方式將企業層面的目標清晰地傳達給員工。（2）制訂實現目標的戰略規劃。企業通過SWOT分析，在了解自身的優勢、劣勢、機會和威脅的基礎上制訂幫助企業實現目標的戰略規劃。（3）制訂年度計劃及資金預算。企業根據制訂的中長期戰略規劃，編制年度經營計劃

49、。該年度經營計劃應符合企業中長期戰略規劃的效益目標、投資方向和投資結構。（4）企業編制年度預算。企業應按照上下結合、分級編制、逐級匯總的原則編制全面預算，將戰略目標進一步分解、細化與落實。（5）企業編制企業預算管理辦法，明確編制預算的基本原則、內容、編制依據等。（二）確定業務層面目標業務層面目標包括合規目標、資產目標、報告目標和經營目標它來自企業戰略目標及戰略規劃，并制約或促進企業戰略目標的實現。業務層面的目標應具體并具有可衡量性，并且與重要業務流程密切相關。業務層面目標的制訂需要經過如下四個階段。（1）設定業務層面目標。企業的總目標及戰略目標規劃為業務層面目標的設定指明了方向，業務層面根據自

50、身的實際情況及總體目標的要求提出本單位的目標，通過上下不斷溝通最終確定。（2）根據企業的發展變化，定期更新業務活動的目標。（3）配置資源以保證業務層面目標的順利實現。企業在確定各業務單位的目標之后，將人、財、物等資源合理分配下去，以保證各業務單位有實現其目標的資源。（4）分解業務目標并下達。企業確定業務層面的目標后，再將其分解至各具體的業務活動中，明確相應崗位的目標。（三）合理確定風險承受能力為了合理地確定風險承受能力，在目標設定階段，企業必須解決以下3個基本問題。（1）風險偏好。風險偏好是指企業在實現其目標的過程中愿意接受的風險程度。可以采用定性和定量兩種方法對風險偏好加以度量。風險偏好與企

51、業的戰略直接相關，在戰略制定階段，企業應進行風險管理，考慮將該戰略的既定收益與企業的風險偏好結合起來，目的是幫助企業的管理者在不同的戰略之間選擇與企業的風險偏好相一致的戰略。（2）風險容忍度。風險容忍度是指在企業目標實現的過程中對差異的可接受程度，是企業在風險偏好的基礎上設定的對相關目標實現過程中所出現的差異的可容忍限度。企業風險管理（2016）將風險容忍度確定為可接受的績效變動區間，該定義更加明確和可度量，有助于組織在給定績效目標下量化可以承受的風險邊界。（3）風險組合觀。風險管理要求企業管理者以風險組合的觀點看待風險，對相關的風險進行識別并采取措施，以使企業所承受的風險在風險偏好的范圍內。

52、對企業內每個單位而言，其風險可能落在該單位的風險容忍度范圍內，但從企業總體來看，總風險可以超過企業總體的風險偏好范圍。因此，應以企業總體的風險組合的觀點看待風險。風險識別的方法風險識別是指對企業面臨的各種風險進行確認的一個動態、連續的過程。從風險產生的原因入手，通過各種識別方法發現客觀存在的不確定性，即辨識風險，下面簡要介紹幾種常用的風險識別方法。（一）風險清單法風險清單是指由專業人員設計好風險標準的表格或者問卷，全面地羅列一個企業可能面臨的風險。表格多由風險管理方面的專家提供，包含人們已經識別出的最基本的各類風險。該方法的優點是經濟方便，適合新公司或初次構建風險管理制度的公司適用，幫助他們識

53、別最基本的風險，降低忽略重要風險源的可能性；缺點是表格的初次制作比較費時，問卷回收率可能較低，質量難以有效控制。（二）流程圖分析法流程圖分析法是指首先按企業經營過程的內在邏輯制作出作業流程圖，然后對其中的重要環節和薄弱之處進行調查和分析的方法。基本步驟如下。（1）梳理單位各類經濟活動的業務流程，明確業務環節；（2）設計流程圖，把流程圖中的風險揭示出來，確定風險點；（3）解釋流程圖；（4）選擇風險應對策略。流程圖有助于識別企業經營過程中所面臨的風險。其優點是可以將復雜的生產過程或業務流程簡單化，從而發現風險；其缺點是流程圖的繪制較耗費時間，而且不可能進行定量分析從而無法判斷風險發生的可能性。（三

54、）現場調查法現場調查法相當于對風險進行一次全面的檢查，其主要步驟如下。（1）調查前的準備工作。包括確定調查的時間，其中需要明確開始時間、結束時間和持續時間等，還要明確調查的對象，包括調查人數等。實際工作中一般應事先設計好調查表格。（2）進行現場調查和訪問，由被調查人認真填寫表格，表格填寫應符合規范，避免出現不符合要求的問卷而影響調查結果。（3）將調查結果及時進行反饋，以便發現潛在的問題?，F場調查法的優點是可以獲得一手的資料而不依賴他人的數據，同時在調查過程中可以與基層人員建立良好的關系。缺點是耗時過多，成本過大，在調查的過程中，可能會引起一些員工的反感。（四）財務報表分析法財務報表是反映企業一

55、定時點的財務狀況、一定期間經營成果和現金流量的文件，因此分析財務報表有利于認識經營風險可能的來源。財務報表分析法主要是通過分析企業的資產負債表、利潤表、現金流量表和所有者權益變動表以及補充記錄來識別企業潛在的風險。財務報表分析法具體又分為以下幾種主要方法。1、趨勢分析法趨勢分析法是通過對一個企業連續數期的利潤表和資產負債表的各個項目進行比較，求出金額和百分比增減變動的方向和幅度，以揭示當期財務狀況和經營狀況增減變化的性質及其趨勢。趨勢分析法通常包括橫向分析法和縱向分析法。橫向分析法又稱水平分析法，是在會計報表中用金額、百分比的形式，將各個項目的本期或多期的金額與基期的金額進行比較分析，以觀察企

56、業經營成果與財務狀況的變化趨勢；縱向分析法又稱垂直分析法，是對會計報表中某一期的各個項目，分別與其中一個作為基期金額的特定項目進行百分比分析，借以觀察經營成果與財務狀況的變化趨勢。2、比率分析法比率分析法就是把財務報表的某些項目同其他項目進行比較，這些金額或者數據可以選自一張財務報表，亦可以選自兩張財務報表。比率分析法可以分析財務報表所列示項目與項目之間的相互關系，因此運用得比較廣泛。主要有經營成果的比率分析、權益狀況的比率分析、流動資產狀況的比率分析。3、因素分析法因素分析法也是財務報表分析中常用的一種技術方法，它是指把整體分解為若干個局部的分析方法，包括比率因素分析法和差異因素分解法。比率

57、因素分解法，是指把一個財務比率分解為若干個影響因素的方法。例如，資產收益率可以分解為資產周轉率和銷售利潤率兩個比率的乘積，財務比率是財務報表分析的特有概念。在實際的分析中，分解法和比較法是結合使用的，比較之后需要分解，以深入了解差異的原因。分解之后還需要比較，以進一步認識其特征。不斷的比較和分解，構成了財務報表分析的主要過程。為了解釋比較分析中形成差異的原因，需要使用差異分解法。例如，將產品材料成本差異分解為價格差異和數量差異。差異分解法又分為定基替代法和連環替代法兩種。定基替代法是測定比較差異成因的一種定量方法。按照這種方法，需要分別用標準值（歷史的、同業企業的或預算的標準）替代實際值，以測

58、定各個因素對財務指標的影響。連環替代法是另外一種測定比較差異成因的定量分析方法。按照這種方法，需要依次用標準值替代實際值，以測定各個因素對財務指標的影響。（五）事件樹分析法事件樹分析法又稱故障樹法，其實質是利用邏輯思維的規律和形式，從宏觀的角度去分析事故形成的過程。它的理論基礎是，任何一起事故的發生，必定是一系列事件按時間順序相繼出現的結果，前一事件的出現是隨后事件發生的條件，在時間的發展過程中，每一事件有兩種可能的狀態，即成功和失敗。事件樹法從某一風險結果出發，運用邏輯推理的方法推導出引起風險的原因，遵循風險事件一中間事件一基本事件的邏輯結構。事件樹分析法的一般步驟如下：（1）定義目標，此時

59、需要考慮影響目標的各種風險因素；（2）做出風險因果圖；（3）全面考慮各風險因素之間的相互關系，從而研究對風險所采取的對策或行動方案。事故樹法的優點是把影響企業整體目標實現的諸多因素及其因果關系一步步清楚地列示出來，有利于下一步進行深入的風險分析。該方法通常用于直接經驗較少的風險識別，效果非常直觀，缺點是容易產生遺漏和錯誤。（六）可行性研究可行性研究是在項目計劃階段即對風險進行定性識別的方法。它的工作步驟如下：（1）檢查各部分原始意圖（2）發現有無偏離原始意圖的情況；（3）尋找偏離原因（4）預測偏離后果。該方法的優點是可在項目實施前就發現風險并加以處理；缺點是比較費時，需要詳細的設計系統圖的支持

60、。（七）其他方法風險管理人員必須始終對新的、變化中的風險保持警惕，經常檢查關鍵文檔就是一個好方法。關鍵文檔包括董事會會議的詳細記錄、資金申請表、公司指南、年度報告等，這些文件提供的信息并非詳盡，卻是風險管理中使用最為頻繁的信息資源。面談也是另外一個有利于風險事項識別的重要信息資源。許多信息沒有記錄在文檔文件里面，而只存在于經營管理人員和員工的頭腦里。與不同層次不同領域的員工進行面談以便增加識別潛在風險事項的信息資源。一般情況下，可以考慮和以下人員進行面談：經營部門經理、首席財務官、法律顧問、人力資源部經理、基層護理人員、工人和領班、外部人員等。與一般基層工人的談話可以發現一些不安全的設備和操作