公司戰略與風險評估管理教材公司戰略與風險評估管理教材公司戰略與風險評估管理教材第六章

公司治理

第一節

公司治理的基本理論一、公司治理的概念現有的公司治理概念可以區分為兩大類別，即狹義定義或廣義定義。從狹義定義看，公司治理是公司及其股東的關系，是監督和控制過程，以保證公司管理層的行為同股東的利益相一致。從廣義定義看，公司治理不僅包括了監督和控制公司及其所有者之間的關系，也包括了監督和控制公司與其他廣泛的利益相關者的關系，這些利益相關者包括雇員、客戶、供應商、債權人，甚至社會公眾等。盡管公司治理的定義存在一定的差異，但其含義至少包括了以下三個方面的基本特征：（一）公司治理是一種規范公司所有者、董事會和管理層的制度安排。公司治理是用來管理利益相關者之間的關系，決定并控制企業戰略方向和業績的一套機制。公司治理的核心是尋找各種方法確保有效地制定戰略決策，管理潛在利益沖突的各方之間秩序的一種方式。公司治理是在合法、合理、可持續性的基礎上實現股東價值最大化，同時確保公平對待每一個利益相關者。因此，公司治理反映了企業的文化、政策、如何處理利益相關者之間的關系及其價值觀。（二）公司治理是一種對公司內部和外部的制衡體系，以保證公司對其所有的利益相關者履行受托責任，并且以一種對社會負責的方式開展各地區的業務經營活動。有效的公司治理使管理層能夠成功地解決缺席的所有者和管理層之間信息不對稱的矛盾。良好的公司治理創造了一個體制，確保對投入資本的恰當經管和如實報告公司的經營狀況和業績。（三）公司治理的目的是用來幫助確保公司資產的恰當經管的所有人員和所執行的所有程序和活動。良好的治理為企業長期生存和成長提供了必要的環境。企業的成長需要投資，良好的企業治理提高了公眾對企業的信心，降低了投資的資本成本。二、代理理論提出“委托代理理論”，倡導所有權和經營權分離，企業所有者保留剩余索取權，而將經營權讓渡。該理論現已成為現代公司治理的邏輯起點。代理理論的首要假設就是委托人和代理人的目標有沖突。代理理論的另一個重要假設是委托人想要檢驗、核實受托人的行為是困難的，并且這種成本也很高。詹森和麥克林將“代理成本”定義為：為設計、監督和約束利益沖突的代理人之間的一組契約所必須付出的成本，加上執行契約時成本超過利益所造成的剩余損失。具體來說，“代理成本”分為三個部分：（1）委托人的監管成本，顧名思義，即委托人用于管理代理人行為的費用。（2）代理人的約束成本，即代理人保證不采取損害委托人行為的費用。（3）剩余損失（機會成本），即由于代理人的決策和使委托人的利益最大的決策之間存在著偏差而導致委托人利益的損失。在代理理論之下，股東監管公司管理層以及幫助他們解決代理沖突的直接方式包括：作為公司的所有者，股東可以在年度股東大會上行使表決權來影響公司的運營方式；與股東表決權相關的接管機制是另外一種控制公司管理層的方式股東決議的通過，即所有的股東針對他們不滿意的問題共同開展院外活動。核心機構投資者可以影響其所投資管理層的另外一種方式——“一對一”會議，即一位來自于投資方的代表和一位來自公司管理層成員之間的會議。三、利益相關者理論利益相關者管理理論是指企業的經營管理者為綜合平衡各個利益相關者的利益要求而進行的管理活動。與傳統的股東至上主義相比較，該理論認為任何一個公司的發展都離不開各利益相關者的投入或參與，企業追求的是利益相關者的整體利益，而不僅僅是某些主體的利益。公司與利益相關者的關系是當前政治和社會壞境中的新問題。社會和環境院外活動團體積極地鼓勵公司改善對利益相關者的態度，并在商業運營中承擔社會責任。鼓勵公司承擔社會責任的動機來自于公司完全有道德義務以遵守倫理的方式行事，并假定公司應承擔社會責任，以滿足所有的利益相關者的利益。四、公司治理的參與各方（一）公司內部的公司治理直接參與者執行管理層、董事會和審計委員會是主要負責公司治理的方面。它們都處在公司內部。1.執行管理層。投資者和債權人（公眾公司的缺席的所有者）把公司的日常經營和活動都托付給執行管理層。管理層在考慮公司的活動和政策時，有責任按照缺席的所有者的最大利益行事。2.董事會。董事會成員直接由股東任命，以確保管理層按照缺席的所有者的最大利益行事。董事會作為管理層的重要顧問來運作，但是除了聘任和解聘高級執行官以外，它并不參與公司實際上的日常經營，而是在確定公司經營、財務和營銷戰略的過程中，利用其專長來幫助管理層。董事會還就溝通和財務報告向管理層提供咨詢。如果運作有效，董事會就能夠提供清晰、客觀的指導，并監督管理層的業績和行為。3.審計委員會。審計委員會是董事會的一個下屬委員會。董事會設立審計委員會的目的是監督會計和財務報告過程，以及內部和外部審計師。（二）公司治理的促進者仍需要4個關鍵的促進者來恰當地執行和監控有效的公司治理。這些角色包括內部審計師、外部審計師、交易市場（包括財務分析師）和缺席的所有者。1.內部審計師。內部審計師對一個公司的財務系統提供質量控制。在一家公眾公司中，內部審計師負責保證內部控制存在且有效地運行。他們在監控和管理公司的經營、信息系統、財務報告和與舞弊有關的風險方面起著重大作用。此外，調查舞弊和其他違法行為是內部審計師行使的另一項職能。如果得到恰當的實施，內部審計職能可以作為董事會、審計委員會和管理層用來保證公司的財務信息得以恰當地搜集和報告的一個主要工具。內部審計師直接向審計委員會報告最為理想。2.外部審計師。監管機構還是要求所有公眾公司的財務報表都要經過獨立的外部審計事務所的審計。外部審計師可以根據內部審計職能的客觀和勝任程度適當地依賴內部審計師職能的工作。外部審計師的獨立性和客觀性有助于他們向投資者提供財務報表的保證。外部審計師由審計委員會聘任，并直接向其報告。3.分析師。證券分析師通過檢查財務報告和與公眾公司有關的其他信息，以及為這些公司發布盈利預測和股票投資建議（即買入、持有或賣出的具體建議），在證券市場中發揮著重要的作用。4.公司的所有者。當今，投資者和債權人需要他們所賴以獲取信息的那些人承擔更大的責任。一些最有實力的投資者是“機構投資者”，它們積極地跟蹤公司的業績和財務報告。它們提出嚴格的問題，并且有能力對董事會和管理層施加相當程度的影響。（三）證券監管機構和準則制定機構公司治理的適當推行要求各方的共同參與和合作。監管機構、監督委員會和準則制定者，將有助于確保實行公司治理所牽涉的各個方面公允、統一地參與和合作。1.證券監管機構。2.財務會計準則制定機構。3.審計準則和審計師職業道德準則制定機構。五、公司治理的基本原則有效的公司治理原則主要包括：（一）建立完善的組織結構一般涉及股東（大）會、董事會、監事會和管理層。為了奠定管理和監督的堅實基礎，應該規范和披露董事會及管理層的職能。（二）明確董事會的角色和責任（三）提倡正直及道德行為如果企業明確聲明董事和關鍵管理人員能夠遵守行為守則，投資者的信心就會得到增強；此外，企業還可以披露董事、經理和員工對公司證券進行交易的政策；企業應考慮采取適當的遵守標準和程序，以促進實施上述的政策，并建立內部審查機制，以評估遵循情況和有效性。這種審查可能涉及內部審計職能。（四）維護財務報告的誠信及外部審計的獨立性審計委員會應審查企業財務報告的誠信和監督外部審計師的獨立性。審計委員會應當向董事會報告，報告應包括有關委員會的作用和責任的事項，包括評估外部報告和評估支持外部報告的管理程序，挑選、任命和輪換外部審計師的程序，對聘用和解聘外部審計師的建議，對外部審計師的表現和獨立性的評估以及審計委員會是否對由外部審計師提供的非審計服務的獨立性感到滿意，對業績和內部審計客觀性的評估，對風險管理、內部遵循情況和控制系統的審查結果。保持外部審計師的獨立性就是確定他們在為企業提供審計服務的同時，沒有向企業提供某些可以影響其獨立性的非審計服務，然而這不一定意味著外部審計師不能從事任何非審計工作。（五）及時披露信息和提高透明度（六）鼓勵建立內部審計部門審計委員會應當向董事會就任免內部審計管理人員提供建議。內部審計部門應獨立于外部審計師。內部審計部門應和管理層進行必要溝通，并具有從管理層獲得信息和解釋的權利。審計委員會應具有監督內部審計范圍的權利和在管理層不在場的情況下了解內部審計職能的權利。為了提高內部審計部門的客觀性和業績，內部審計部門應該直接向董事會或者審計委員會負責。（七）尊重股東的權利（八）確認利益相關者的合法權益（九）鼓勵提升業績董事會和主要管理人員的業績應定期通過可計量和定性的指標進行審查。提名委員會應負責評估相關的業績。（十）公平的薪酬和責任第二節

投資者和董事會在公司治理中的作用

所有權結構與公司治理（一）公司治理應當保護和促進股東權利行使1.股東的基本權利。包括：（1）安全登記所有權的方法；（2）轉讓和交易股票；（3）及時、定期地從公司得到相關和真實的信息資料；（4）參加股東大會和參與投票表決；（5）選舉和撤換董事會成員；（6）分享企業利潤。2.股東應該具有參與權、充分告知權、有關企業重大變更的決策權。這些重大變更包括：（1）修改法規、公司章程、其他類似的公司管理文件；（2）授權增發股份；（3）特別交易，包括轉讓全部或大部分資產、而這將造成公司被出售的結果。3.股東應具備有效的參與機會、能夠在股東大會上投票、應當被告知投票規則，包括：投票程序，這將決定股東大會的正常舉行。4.股東可以親自投票，也可以缺席投票，兩者都賦予投票結果以同等效力。5.使某些股東獲得與他們所有權不成比例的控制地位的資本結構和安排，應當被披露。6.公司控制權市場應被允許以有效率和高透明的方式運作。（1）用來規范在資本市場上獲得公司控制權和非常規交易，如購并、公司主要資產的出售等的規則和程序，應該明確制定和披露，以便投資者理解他們的權利和追索權。交易應該在透明的價格和公平的條件下進行，以便所有股東依照他們的類別保護他們的權利。（2）反并購機制不應作為董事會和管理層免受監督的借口。（二）公司治理應當保證所有股東得到公平待遇公司治理結構應當保證所有股東的公平待遇，包括少數股東和國外的股東。所有的股東都應該在他們的權利受損時有獲得有效補償的機會。股東可執行其權利的途徑之一是能夠對經營管理層和董事會成員發起法律和行政訴訟程序。當少數股東有合理的依據相信他們的權利已經受到侵害，法律制度能夠提供給他們提起訴訟的機制，這可以強化中小投資者的信心。提供這樣的執行機制是立法者和監管者的關鍵職責。鼓勵投資者在法庭質詢公司的行為，這樣的法律制度存在著一定的風險，也許會造成濫訟。1.同一類別、同一系列的股東應當得到同樣的公平待遇。2.禁止內部交易和濫用的私利交易。3.在直接影響到企業的任何交易或事件中，無論董事會成員和關鍵經營人員直接、間接或在第三方利益上對于董事會具有實質性利益的，都應當被要求公開。二、董事會的職權及其在公司治理中的作用董事會除了指導公司戰略，還主要負責監督經營管理層和確保股東回報，同時避免各種利益沖突，平衡各方需求。為了有效地完成以上職責，董事會必須具備客觀獨立的判斷力。董事會另外的重要職責是監督確保公司運作符合現行法律法規，這些法律法規涵蓋多個方面，包括稅收、競爭、勞資、環境、公平發展、健康和安全等。董事會不僅要對公司和股東負責，同時有義務將其利益最大化。董事會還被寄希望于承擔起兼顧和公平對待其他利益相關者利益的職責，這些利益相關者包括員工、債權人、客戶、供應商和當地社會。在這個范圍內，他們還必須遵守環境和社會的標準。（一）董事會成員的行為應當建立在一個充分可靠信息的基礎上，忠實誠信、勤勉盡責、根據公司和股東的最大利益履行職責。董事會成員履行受托責任的兩個重要方面是謹慎義務和忠誠義務。謹慎義務要求董事會成員基于完全信息，忠實、誠信、勤勉和審慎地履行職責。忠誠義務，要求董事會成員平等對待股東、監管關聯交易和建立合理的關鍵的經營人員及董事會成員的薪酬體制。忠誠義務對在一個集團公司結構內的董事會成員也非常重要，即使一家公司被其他的企業控制，忠誠義務要求董事會成員對本公司和本公司股東負責，而非對控制方負責。（二）如果董事會的決策可能對不同的股東團體產生不同影響，董事會應平等地對待所有股東，在履行其職責時，董事會不應被視作、也不應被當作不同支持者的個別代表的集合體。盡管個別董事會成員可能確系部分股東提名選出，讓董事會成員承擔起他們的職責而以一個尊重所有股東的公平方式履行他們的義務，這確實是董事會工作的一個重要作用。如果控股股東存在，而他又能夠在事實上選取所有董事會成員，那么該原則就尤為重要。（三）董事會應該建立高水平的倫理道德標準。它應當充分考慮到利益相關者的利益，董事會在塑造整個公司的道德倫理形象中發揮著關鍵性作用，他們不僅要身體力行，同時還要約束和監督關鍵經營人員和整個經營管理層。高水平的道德倫理標準符合公司的長遠利益，它會在日常運作和長期合作中為公司贏得信譽和誠信。為了使董事會目標清楚而且切實可行，很多公司建立了基于專業標準和更廣泛行為準則的規章制度。（四）董事會對公司事務應該能夠行使客觀獨立的判斷。為了執行其監督經營管理層、防止利益沖突、平衡公司內部各種需求的職能，董事會要有能力做出客觀的判斷。首先這意味著董事會在組成和結構上，對于經營管理層的獨立性和客觀性。董事會的客觀性還取決于公司的所有權結構。一個控股股東在董事會和經營管理層的人事安排上有很大的影響力，然而，即使在此種情況下，董事會仍然要對整個公司和包括小股東在內的所有股東恪守盡責。1.董事會應該考慮指派足夠數量的、有能力的非執行董事，對潛在的利益沖突的事項行使客觀獨立判斷的任務。2.當董事會設立專業委員會時，他們的任命、構成和工作程序應該定義明確并由董事會公告。3.董事會成員應該承諾有效地履行他們的職責。4.為了改善董事會的運作及其成員的績效，越來越多的公司正在鼓勵培訓其董事會成員，并在個別公司中鼓勵董事會成員進行自我評定。（五）為了履行職責，董事會成員應該有渠道掌握準確的、關鍵、及時的信息。三、董事會與高級管理層的角色分離董事會與高級管理層的角色分離，基于董事會的獨立性要求，以確保董事會履行獨立判斷的職能。在這種條件下，董事會的獨立性要求有足夠數量的董事會成員獨立于經營管理層，董事會主席和首席執行官的角色分離，或是在不分離的條件下，指定一名非執行管理人員或外部人員為首席董事來召集董事會，以有助于董事會對于經營管理層的獨立性和客觀性。這種角色分離可以幫助平衡權利，強化董事會的責任和獨立于經營管理層的判斷能力。（一）董事會應該履行的關鍵職能1.審查和指導制定公司戰略、重要的行動計劃、風險對策、年度預算和商業計劃、制定績效目標、監督目標的執行和企業績效的實現、監督重要的資金支出、收購和出售等行為。2.監控公司的治理實踐成效，在需要的時候加以方向上的干預。3.選擇、確定報酬、監控關鍵的經營主管人員，在必要的時候，更換關鍵的經營主管人員；監督更替計劃。4.協調關鍵經營主管人員和董事會的薪酬，使之與公司和股東長期利益保持一致。5.保證董事會的選聘和任命過程的正規化、透明性。6.監管經營層、董事會成員和股東之間潛在的利益沖突，這包括公司財產的濫用和關聯交易中的舞弊行為。7.確保公司的會計、財務（包括獨立的審計）報告的真實性，確保恰當的控制系統到位，特別是風險管理系統、財務和運作控制，確保按照法律和相關標準執行。8.監督信息披露和對外溝通的過程。（二）董事會和管理層的作用董事會應該以書面形式明確董事會與管理層之間的權責分工，即董事會保留的職能和其授權管理層代其執行的職能。董事會保留和授權管理層的事項的性質必然取決于企業的規模、復雜程度和所有權結構，以及其傳統和企業文化。董事會通常負責監督公司，包括:企業控制和問責機制 任免首席執行官（或相應職位）批準任免財務總監（或相應職位） 最終批準管理層關于企業的發展戰略和業績目標審查和批準風險管理系統以及內部遵循和控制，行為守則和法律的遵守情況 監測高管的業績和戰略的執行情況,并確保他們得到適當的資源審批和監督主要資本支出、資本管理、并購及資產剝離的過程 審批和監督財務及其他報告

（三）董事及高級管理人員個人責任的分配董事會主席負責領導董事會，以便有效地組織和行使董事會的職能，并通報董事會會議中產生的所有有關董事的問題。董事會主席應當同意并且在必要時制定董事會的議程，確保定期舉行董事會議。同時，董事會主席應當確保董事在董事會會議召開前獲得相關信息，使他們在進行討論和作出決策前就能夠充分了解待議事項的全部情況。董事會主席的角色還應擴展至配合獨立董事的工作，促進執行董事與獨立董事之間建立良好的關系，并對企業領導的責任進行明確的分工。董事會主席和首席執行官之間的分工應經過董事會的同意，并記錄在一份職責聲明中。首席執行官不應該兼任同一家公司的董事會主席。對于投資者及其他外部的利益相關者或委托人，董事會主席是公司的代表。董事會主席的角色包括與股東的溝通。這種溝通是以法定的年報形式進行的。在許多管轄權內，董事會主席必須每年在年度股東大會和股東特別大會上以董事會主席聲明的形式向股東致函。四、獨立董事、審計委員會在公司治理中的作用董事會中大部分成員應當是獨立董事。獨立董事是指獨立于公司股東且不在公司內部任職，并與公司或公司經營管理者沒有重要的業務聯系或專業聯系，能對公司事務做出獨立判斷的董事。應用在上市公司的層面上，獨立董事只在上市公司擔任獨立董事之外不再擔任該公司任何其他職務，并與上市公司及其大股東之間不存在妨礙其獨立做出客觀判斷的利害關系的董事。（一）獨立董事的獨立性董事會應根據董事會成員披露的利益定期評估每個董事的獨立性，以及將每個獨立董事所申報的相關信息在企業年度報告的公司治理部分中作出披露。此外，每位董事的任期對于獨立性的評估也是非常重要的，企業也應在年度報告中的公司治理部分披露每位董事的任期及獨立董事的變動。下列情形可能會影響獨立董事的獨立性：1.最近5年內曾是公司或控股公司的雇員；2.最近3年曾經在與公司重要部門有直接或者間接業務聯系的公司工作，或者曾在與公司有上述關系的公司擔任合伙人、股東、董事或者高級管理人員；3.曾經收取過公司除董事津貼以外的額外薪酬，參與過公司的股票期權計劃、績效計劃或者是公司的養老金計劃的成員；4.直系親屬擔任公司的顧問、董事或高級管理人員；5.與其他董事通過其他公司存在交叉任職或者有重要關系；6.代表公司的某個重要股東；7.在董事會第一次選舉時起在董事會中的任職超過9年。如果董事會在某名董事在存在上述關系或環境的情況下，仍將其確定為獨立董事，則董事會應當說明確定的具體原因。（二）獨立董事的角色獨立董事的職責可以分為四種不同的角色:1.戰略角色。有權利也有責任為企業的戰略成功作出貢獻，從而保護股東的利益。2.監督或績效角色。獨立董事應當使執行董事對已制定的決策和企業業績承擔責任。3.風險角色。風險角色是指獨立董事應當確保企業設有充分的內部控制系統和風險管理系統。4.人事管理角色。一般涉及公司董事、高級管理人員等的任命和薪酬問題，也可能包括合同或紀律方面的問題及接班人計劃。（三）審計委員會在公司治理中的作用審計委員會是董事會下設的專門委員會之一，其組成成員應全部由獨立、非執行董事組成，他們至少擁有相關的財務經驗。審計委員會負責人應當具備相應的獨立性、良好的職業操守和專業勝任能力。審計委員會應承擔就任命、重新任命或解聘、外聘審計師向董事會提出建議的主要責任，監督新審計師的選擇過程，批準外聘審計師的業務條款及審計服務的報酬。審計委員會應復核審計師的審計工作范疇，并確信該審計范疇是充分的，并確保于每次年審開始之時已為審計制訂了適當的計劃。審計委員會執行審計工作完成后的復核。審計委員會還從審計師處獲取信息，以維持獨立性及對相關專業規定的遵守情況進行監察，包括關于輪換審計合伙人。審計委員會還應為企業制定關于由外聘審計師提供非審計服務的政策，并向董事會提出相關建議。提供非審計服務時，不得損害審計師的獨立性或客觀性。審計委員會應制定一項政策，明確外聘審計師不得提供的服務類型，并且說明外聘審計師能夠提供的無須請示審計委員會的服務。如果董事會沒有采納審計委員會對聘用、續聘和解聘會計師事務所的意見和建議，公司應當在年度報告中作出說明，并在推薦或續聘的文件中解釋董事會作出其他選擇的說明。如果會計師事務所同時提供非審計服務，則應在年度報告中就如何保證注冊會計師的客觀性和獨立性向股東作出解釋說明。

五、機構投資者的行動主義與公司治理一般而言，公司所有者中的機構投資者希望獲得公司較為穩定的利潤分配，并不謀求控制公司的發展戰略與經營政策。考慮到行使所有權的成本和收益，早期的機構投資者一般很少參與公司的經營決策過程。這是導致公司出現代理問題的一個重要原因。（一）機構投資者行動主義的內涵隨著公司股東中機構投資者規模的擴大，機構投資者的所有權不再被視作是被動的，而通過參與股東大會表決參與公司的管理，這就形成了機構投資者的行動主義，從而使公司治理變得更加有效。機構投資者的行動主義內涵包括：1.機構投資者與所投資公司董事會舉行一對一的例會，即參與和對話過程。2.機構投資者積極在股東大會中行使表決權。3.機構投資者積極關注所投資公司的董事會成員構成。4.機構投資者聯合向公司管理層提出公司戰略和經營建議。機構投資者行動主義可以有效改善公司治理。機構投資者行動主義的目的是影響所投資公司的未來發展，包括公司戰略、公司經營績效、公司兼并或轉讓戰略、非執行董事未能使管理層準確地遵守契約和承諾、內部控制失效、未能合理地遵守公司治理原則、不恰當的薪酬計劃、公司履行社會責任的方式等。（二）機構投資者行動主義改善公司治理的方式經濟合作組織（OECD）建議機構投資者應按以下方式改善公司治理：1.機構投資者以受托人地位行使的表決權，應當披露他們涉及投資的全部公司治理和投票的策略，包括決定使用他們投票權的適當程序。2.機構投資者以受托人地位行使投票權，應當披露如何應對影響其行使關鍵表決權的利益沖突情形。3.在不濫用的情況下，大股東、機構投資者和個人投資者可以對有關股東的基本權利進行相互協商。第三節

信息披露和外部監督在公司治理中的作用一、信息披露在公司治理中的作用信息披露，是指如董事會報告、管理層討論與分析、包括利潤表、資產負債表、現金流量表、股東權益變動表以及其他規定項目在內的年度報告、還包括自發的公司與其利益相關者的溝通形式，如管理預測、分析師報告、股東大會、新聞快訊、公司網站上的信息以及其他諸如獨立的環境或社會報告書等公司報告。信息披露在公司治理中的基本作用提高和改進信息披露，可以使公司向股東提供更有價值的信息，減少信息不對稱，從而有效節約代理成本。在公司治理中，會計信息披露是監管公司與管理層契約的核心，成為約束管理層行為的必要手段。二、信息披露的內容信息披露的內容包括但不限于三大部分：一是財務會計信息，二是非財務會計信息，包括企業經營狀況、企業目標、政策、董事會成員和關鍵管理人員及其薪酬、重要可預見的風險因素、公司治理結構及原則等。非財務會計信息主要被用來評價公司治理的科學性和有效性。三是審計信息，包括注冊會計師的審計報告、監事會報告、內部控制制度評估等。審計信息主要被用于評價財務會計信息的可信度及公司治理制衡狀況。此外，良好的公司治理披露通常還包括超過最低法定或者監管要求的自愿性披露。加強公司治理披露，可以通過下列途徑實現：1.為了告知股東公司治理結構、政策和執行的力度，上市公司及大型非上市公司可在其年度報告中提供一份公司治理的聲明。這份有關公司治理的聲明應當在年度報告中單獨列報，并給予和董事會報告同樣的重視。2.為了提高董事薪酬的可比性和透明度，尤其是薪酬與企業的業績的關聯程度，應當在“績效基礎”和“非績效基礎”之間分析董事的薪酬，并披露有關董事股票期權的資料。公司應當至少披露以下重要信息:1.公司財務和業績狀況。2.公司經營目標。3.主要股權和投票權。4.對董事會成員的和關鍵經營人員的薪酬政策和董事會成員的信息。5.關聯交易。6.可預期的風險因素。7.關于員工和其他利益相關者的問題。8.治理結構和政策，包括公司治理規范或政策的詳細內容，以及它們實施的程序。三、注冊會計師審計在公司治理中的作用公司治理體系中，注冊會計師審計提供了一種必不可少的制衡機制，幫助股東及利益相關者有效監督公司的管理活動，從而提高公司信息披露的透明度。（一）年度審計報告應當由獨立的、有能力的、有資格的注冊會計師制作，以便給董事會和股東提供一個外部的客觀保證，財務報告應在尊重事實的基礎上公正地反映公司的財務狀況和業績。年度財務報表的注冊會計師審計制度是公司治理的基石。（二）外部注冊會計師應對股東負責，并對公司負有義務，在審計中具備專業審慎的素養。（三）注冊會計師在審計中的獨立性。四、政府及有關監管機構在公司治理中的作用政府及有關監管機構一直在公司治理中扮演著極其重要的推動和促進作用。政府及有關監管部門通常以保持和鞏固它對市場誠信及經濟效能的貢獻為目標監控公司治理的不斷完善。政府及相關監管部門通過執行已經制定的法律法規，促進公司治理的不斷完善。一是通過規范董事會的運作，二是通過對公司財務報告的監管，三是執行信息披露制度。第七章風險管理框架下的內部控制第一節內部控制概述一、COSO委員會關于內部控制的定義與框架COSO委員會對內部控制的定義是“公司的董事會、管理層及其他人士為實現以下目標提供合理保證而實施的程序：運營的效益和效率，財務報告的可靠性和遵守適用的法律法規。”COSO委員會的上述定義并特別指出：（1）內部控制是一個實現目標的程序及方法，而其本身并非目標；（2）內部控制只提供合理保證，而非絕對保證；（3）內部控制要由企業中各級人員實施與配合。內部控制的五大要素包括：控制環境（包括員工的正直、道德價值觀和能力，管理當局的理念和經營風格，管理當局確立權威性和責任、組織和開發員工的方法等），風險評估（為了達成組織目標而對相關的風險所進行的辨別與分析），控制活動（為了確保實現管理當局的目標而采取的政策和程序，包括審批、授權、驗證、確認、經營業績的復核、資產安全性等），信息與溝通（為了保證員工履行職責而必須識別、獲取的信息及溝通），監控（對內部控制實施質量的評價，主要包括經營過程中的持續監控，即日常管理和監督、員工履行職責的行動等，也包括個別評價，或者是兩者結合）二、我國內部控制規范體系基本規范、應用指引、評價和審計指引三個類別構成一個相輔相成的整體，標志著適應我國企業實際情況，融合國際先進經驗的中國企業內部控制規范體系基本建成（―）《企業內部控制基本規范》《企業內部控制基本規范》規定內部控制的目標、要素、原則、和總體要求，是內部控制的總體框架，在內部控制標準體系中起統領作用。《基本規范》要求企業建立內部控制體系時應符合以下目標：合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整；提高經營效率和效果；促進企業實現發展戰略。《基本規范》應當包括下列五個要素：（1）內部環境；（2）風險評估；（3）控制活動；（4）信息與溝通；（5）內部監督。（二）《企業內部控制應用指引》《企業內部控制應用指引》是對企業按照內部控制原則和內部控制“五要素”建立健全本企業內部控制所提供的指引，在配套指引乃至整個內部控制規范體系中占主體地位。（三）《企業內部控制評價指引》和《企業內部控制審計指引》《評價指引》為企業對內部控制的有效性進行全面評價，形成評價結論、出具評價報告提供指引。《審計指引》為會計師事務所對特定基準日與財務報告相關內部控制設計與執行有效性進行審計提供指引。它明確注冊會計師應對財務報告內部控制的有效性發表審計意見，并對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷予以披露。第二節內部控制的要素一、控制環境（一）COSO《內部控制框架》關于控制環境要素的要求與原則COSO《內部控制框架》關于控制環境要素的要求為：控制環境決定了企業的基調，直接影響企業員工的控制意識。控制環境提供了內部控制的基本規則和構架，是其他四要素的基礎。控制環境包括員工的誠信度、職業道德和才能；管理哲學和經營風格；權責分配方法、人事政策；董事會的經營重點和目標等。控制環境要素應當堅持以下原則：1.企業對誠信和道德價值觀做出承諾。2.董事會獨立于管理層，對內部控制的制定及其績效施以監控。3.管理層在董事會的監控下，建立目標實現過程中所涉及的組織架構、報告路徑以及適當的權利和責任。4.企業致力于吸引、發展和留住優秀人才，以配合企業目標達成。5.企業根據其目標，使員工各自擔負起內部控制的相關責任。（二）我國《企業內部控制基本規范》關于內部環境要素的要求1.企業應當根據國家有關法律法規和企業章程，建立規范的公司治理結構和議事規則，明確決策、執行、監督等方面的職責權限，形成科學有效的職責分工和制衡機制。2.董事會負責內部控制的建立健全和有效實施。監事會對董事會建立與實施內部控制進行監督。經理層負責組織領導企業內部控制的日常運行。企業應當成立專門機構或者指定適當的機構具體負責組織協調內部控制的建立實施及日常工作。3.企業應當在董事會下設立審計委員會。4.企業應當結合業務特點和內部控制要求設置內部機構，明確職責權限，將權利與責任落實到各責任單位。企業應當通過編制內部管理手冊，使全體員工掌握內部機構設置、崗位職責、業務流程等情況，明確權責分配，正確行使職權。5.企業應當加強內部審計工作，保證內部審計機構設置、人員配備和工作的獨立性。6.企業應當制定和實施有利于企業可持續發展的人力資源政策。7.企業應當將職業道德修養和專業勝任能力作為選拔和聘用員工的重要標準，切實加強員工培訓和繼續教育，不斷提升員工素質。8.企業應當加強文化建設，培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業、開拓創新和團隊協作精神，樹立現代管理理念，強化風險意識。9.企業應當加強法制教育。二、風險評估（一）COSO《內部控制框架》關于風險評估要素的要求與原則COSO《內部控制框架》關于風險評估要素的要求為：每個企業都面臨諸多來自內部和外部的有待評估的風險。風險評估的前提是使經營目標在不同層次上相互銜接，保持一致。風險評估指識別、分析相關風險以實現既定目標，從而形成風險管理的基礎。風險評估要素應當堅持以下原則：1.企業制定足夠清晰的目標，以便識別和評估有關目標所涉及的風險。2.企業從全范圍的角度來識別實現目標所涉及的風險，分析風險，并據此決定應如何管理這些風險。3.企業在評估影響目標實現的風險時，考慮潛在的舞弊行為。4.企業識別并評估可能會對內部控制系統產生重大影響的變更。（二）我國《企業內部控制基本規范》關于風險評估要素的要求1.企業應當根據設定的控制目標，全面系統持續地收集相關信息，結合實際情況，及時進行風險評估。2.企業開展風險評估，應當準確識別與實現控制目標相關的內部風險和外部風險，確定相應的風險承受度。風險承受度是企業能夠承擔的風險限度，包括整體風險承受能力和業務層面的可接受風險水平。3.企業識別內部風險。4.企業識別外部風險。5.企業應當采用定性與定量相結合的方法，按照風險發生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優先控制的風險。企業進行風險分析，應當充分吸收專業人員，組成風險分析團隊，按照嚴格規范的程序開展工作，確保風險分析結果的準確性。6.企業應當根據風險分析的結果，結合風險承受度，權衡風險與收益，確定風險應對策略。7.企業應當綜合運用風險規避、風險降低、風險分擔和風險承受等風險應對策略，實現對風險的有效控制。8.企業應當結合不同發展階段和業務拓展情況，持續收集與風險變化相關的信息，進行風險識別和風險分析，及時調整風險應對策略。三、控制活動（一）COSO《內部控制框架》關于控制活動要素的要求與原則COSO《內部控制框架》關于控制活動要素的要求為：控制活動指那些有助于管理層決策順利實施的政策和程序。控制行為有助于確保實施必要的措施以管理風險，實現經營目標。控制行為體現在整個企業的不同層次和不同部門中。它們包括諸如批準、授權、查證、核對、復核經營業績、資產保護和職責分工等活動。控制活動要素應當堅持以下原則：1.企業選擇并制定有助將目標實現風險降低至可接受水平的控制活動。2.企業為用以支持目標實現的技術選擇并制定一般控制政策。3.企業通過政策和程序來部署控制活動：政策用來確定所期望的目標；程序則將政策付諸于行動。（二）我國《企業內部控制基本規范》關于控制活動要素的要求1.企業應當結合風險評估結果，通過手工控制與自動控制、預防性控制與發現性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內。控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。9.企業應當根據內部控制目標，結合風險應對策略，綜合運用控制措施，對各種業務和事項實施有效控制。10.企業應當建立重大風險預警機制和突發事件應急處理機制，明確風險預警標準，對可能發生的重大風險或突發事件，制定應急預案、明確責任人員、規范處置程序，確保突發事件得到及時妥善處理。四、信息與溝通有效的溝通從廣義上說是信息的自上而下、橫向以及自下而上的傳遞。所有員工必須從管理層得到清楚的信息，認真履行控制職責。員工必須理解自身在整個內控系統中的位置，理解個人行為與其他員工工作的相關性。員工必須有向上傳遞重要信息的途徑。同時，與外部諸如客戶、供應商、管理當局和股東之間也需要有效的溝通。信息與溝通要素應當堅持以下原則：1.企業獲取或生成和使用相關的高質量信息，以支持內部控制其他要素發揮效用。2.企業用于內部溝通的內部控制信息，包括內部控制目標和職責范圍，必須能夠支持內部控制的其他要素發揮效用。3.企業就影響內部控制其他要素發揮效用的事項與外部相關方進行溝通。（二）我國《企業內部控制基本規范》關于信息與溝通要素的要求1.企業應當建立信息與溝通制度，明確內部控制相關信息的收集、處理和傳遞程序確保信息及時溝通，促進內部控制有效運行。2.企業應當對收集的各種內部信息和外部信息進行合理篩選、核對、整合，提高信息的有用性。3.企業應當將內部控制相關信息在企業內部各管理級次、責任單位、業務環節之間，以及企業與外部投資者、債權人、客戶、供應商、中介機構和監管部門等有關方面之間進行溝通和反饋。信息溝通過程中發現的問題，應當及時報告并加以解決。重要信息應當及時傳遞給董事會、監事會和經理層。4.企業應當利用信息技術促進信息的集成與共享，充分發揮信息技術在信息與溝通中的作用。5.企業應當建立反舞弊機制，堅持懲防并舉、重在預防的原則，明確反舞弊工作的重點領域、關鍵環節和有關機構在反舞弊工作中的職責權限，規范舞弊案件的舉報、調査、處理、報告和補救程序。企業至少應當將下列情形作為反舞弊工作的重點：（1）未經授權或者采取其他不法方式侵占、挪用企業資產，牟取不當利益；（2）在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等；（3）董事、監事、經理及其他高級管理人員濫用職權；（4）相關機構或人員串通舞弊。6.企業應當建立舉報投訴制度和舉報人保護制度，設置舉報專線，明確舉報投訴處理程序、辦理時限和辦結要求，確保舉報、投訴成為企業有效掌握信息的重要途徑。舉報投訴制度和舉報人保護制度應當及時傳達至全體員工。五、監控（一）COSO《內部控制框架》關于監控要素的要求與原則COSO《內部控制框架》關于監控要素的要求為：內部控制系統需要被監控，即對該系統有效性進行評估的全過程。獨立評估活動的廣度和頻度有賴于風險預估和日常監控程序的有效性。內部控制的缺陷應該自下而上進行匯報，性質嚴重的應上報最高管理層和董事會。監控要素應當堅持以下原則：1.企業選擇、制定并實行持續或單獨的評估，以判定內部控制各要素是否存在且發揮效用。2.企業及時評估內部控制缺陷，并將有關缺陷及時通報給負責整改措施的相關方，包括高級管理層和董事會（如適當）。（二）我國《企業內部控制基本規范》關于內部監督要素的要求1.企業應當根據本規范及其配套辦法，制定內部控制監督制度，明確內部審計機構（或經授權的其他監督機構）和其他內部機構在內部監督中的職責權限，規范內部監督的程序、方法和要求。內部監督分為日常監督和專項監督。日常監督是指企業對建立與實施內部控制的情況進行常規、持續的監督檢査；專項監督是指在企業發展戰略、組織結構、經營活動、業務流程、關鍵崗位員工等發生較大調整或變化的情況下，對內部控制的某一或者某些方面進行有針對性的監督檢查。專項監督的范圍和頻率應當根據風險評估結果以及日常監督的有效性等予以確定。2.企業應當制定內部控制缺陷認定標準，對監督過程中發現的內部控制缺陷，應當分析缺陷的性質和產生的原因，提出整改方案，采取適當的形式及時向董事會、監事會或者經理層報告。內部控制缺陷包括設計缺陷和運行缺陷。企業應當跟蹤內部控制缺陷整改情況，并就內部監督中發現的重大缺陷，追究相關責任單位或者責任人的責任。3.企業應當結合內部監督情況，定期對內部控制的有效性進行自我評價，出具內部控制自我評價報告。內部控制自我評價的方式、范圍、程序和頻率，由企業根據經營業務調整、經營環境變化、業務發展狀況、實際風險水平等自行確定。國家有關法律法規另有規定的，從其規定。4.企業應當以書面或者其他適當的形式，妥善保存內部控制建立與實施過程中的相關記錄或者資料，確保內部控制建立與實施過程的可驗證性。第三節內部控制的應用一、內部環境類指引（一）組織架構組織架構是企業按照國家有關法律法規、股東（大）會決議和企業章程，結合本企業實際，明確股東（大）會、董事會、監事會、經理層和企業內部各層級機構設置、職責權限、人員編制、工作程序和相關要求的制度安排。企業要實施發展戰略，必須要有科學的組織架構，主要包括治理結構和內部機構設置。1.組織架構設計與運行中需關注的主要風險（1）治理結構形同虛設，缺乏科學決策、良性運行機制和執行力，可能導致企業經營失敗，難以實現發展戰略。（2）內部機構設計不科學，權責分配不合理，可能導致機構重疊、職能交叉或缺失、推諉扯皮，運行效率低下。2.內部控制要求與措施（1）組織架構的設計①企業應當根據國家有關法律法規的規定，明確董事會、監事會和經理層的職責權限、任職條件、議事規則和工作程序，確保決策、執行和監督相互分離，形成制衡。②企業的重大決策、重大事項、重要人事任免及大額資金支付業務等（即通常所說的“三重一大”），應當按照規定的權限和程序實行集體決策審批或者聯簽制度；任何個人不得單獨進行決策或者擅自改變集體決策意見。③企業應當按照科學、精簡、高效、透明、制衡的原則，綜合考慮企業性質、發展戰略、文化理念和管理要求等因素，合理設置內部職能機構，明確各機構的職責權限，避免職能交叉、缺失或權責過于集中，形成各司其職、各負其責、相互制約、相互協調的工作機制。④企業應當對各機構的職能進行科學合理的分解，確定具體崗位的名稱、職責和工作要求等，明確各個崗位的權限和相互關系。企業在確定職權和崗位分工過程中應當體現不相容職務相互分離的要求。不相容職務通常包括：可行性研究與決策審批；決策審批與執行；執行與監督檢查等。⑤企業應當制定組織結構圖、業務流程圖、崗（職）位說明書和權限指引等內部管理制度或相關文件，使員工了解和掌握組織架構設計及權責分配情況，正確履行職責。（2）組織架構的運行①企業應當根據組織架構的設計規范，對現有治理結構和內部機構設置進行全面梳理，企業梳理內部機構設置，應當重點關注內部機構設置的合理性和運行的高效性等。內部機構設置和運行中存在職能交叉、缺失或運行效率低下的，應當及時解決。②企業擁有子公司的，應當建立科學的投資管控制度，通過合法有效的形式履行出資人職責、維護出資人權益，重點關注子公司特別是異地、境外子公司的發展戰略、年度財務預決算、重大投融資、重大擔保、大額資金使用、主要資產處置、重要人事任免、內部控制體系建設等重要事項。③企業應當定期對組織架構設計與運行的效率和效果進行全面評估，發現組織架構設計與運行中存在缺陷的，應當進行優化調整。企業組織架構調整應當充分聽取董事、監事、高級管理人員和其他員工的意見，按照規定的權限和程序進行決策審批。（二）發展戰略1.制定與實施發展戰略需關注的主要風險（1）缺乏明確的發展戰略或發展戰略實施不到位，可能導致企業盲目發展，難以形成競爭優勢，喪失發展機遇和動力。（2）發展戰略過于激進，脫離企業實際能力或偏離主業，可能導致企業過度擴張，甚至經營失敗。（3）發展戰略因主觀原因頻繁變動，可能導致資源浪費，甚至危及企業的生存和持續發展。2.內部控制要求與措施（1）發展戰略的制定①企業應在充分調查研究、科學分析預測和廣泛征求意見的基礎上制定發展目標，而不是靠拍腦袋，盲目制定發展戰略。②戰略規劃應當根據企業的發展目標制定，明確發展的階段性和發展程度，確定每個發展階段的具體目標、工作任務和實施路徑。③企業應健全組織機構，在董事會下設立戰略委員會，或指定相關機構負責發展戰略管理工作。同時，戰略委員會的成員素質、工作規范要符合要求。④董事會應當嚴格審議戰略委員會提交的發展戰略方案，重點關注其全局性、長期性和可行性。董事會在審議方案中如果發現重大問題，應當責成戰略委員會對方案作出調整。企業的發展戰略方案經董事會審議通過后，報經股東（大）會批準實施。（2）發展戰略的實施①企業根據發展戰略，制定年度工作計劃，編制全面預算，將年度目標分解、落實；同時完善發展戰略管理制度，確保發展戰略有效實施。②企業應當重視發展戰略的宣傳工作，通過內部各層級會議和教育培訓等有效方式，將發展戰略及其分解落實情況傳遞到內部各管理層級和全體員工。③戰略委員會應當加強對發展戰略實施情況的監控，定期收集和分析相關信息，對于明顯偏離發展戰略的情況，應當及時報告。④由于經濟形勢、產業政策、技術進步、行業狀況以及不可抗力等因素發生重大變化，確需對發展戰略作出調整的，應當按照規定權限和程序調整發展戰略。（三）人力資源1.人力資源管理需關注的主要風險（1）人力資源缺乏或過剩、結構不合理、開發機制不健全，可能導致企業發展戰略難以實現。（2）人力資源激勵約束制度不合理、關鍵崗位人員管理不完善，可能導致人才流失、經營效率低下或關鍵技術、商業秘密和國家機密泄露。（3）人力資源退出機制不當，可能導致法律訴訟或企業聲譽受損。2.內部控制要求與措施（1）人力資源的引進與開發（2）人力資源的使用與退出（四）社會責任社會責任是指企業在經營發展過程中應當履行的社會職責和義務，主要包括安全生產、產品質量（含服務，下同）、環境保護、資源節約、促進就業、員工權益保護等。企業認真履行社會責任，對于實現其與社會、環境的全面協調可持續發展具有重要促進作用。2.內部控制要求與措施（1）安全生產。（2）產品質量。（3）環境保護與資源節約。（4）促進就業與員工權益保護。（五）企業文化二、內部控制活動類指引（一）資金活動1.資金活動需關注的主要風險（1）籌資決策不當，引發資本結構不合理或無效融資，可能導致企業籌資成本過高或債務危機；（2）企業投資決策失誤，引發盲目擴張或喪失發展機遇，可能導致資金鏈斷裂或資金使用效益低下；（3）資金調度不合理、營運不暢，可能導致企業陷入財務困境或資金冗余；（4）資金活動管控不嚴，可能導致資金被挪用、侵占、抽逃或遭受欺詐。（二）采購業務1.采購業務需關注的主要風險（1）采購計劃安排不合理，市場變化趨勢預測不準確，造成庫存短缺或積壓，導致企業生產停滯或資源浪費；（2）供應商選擇不當，采購方式不合理，招投標或定價機制不科學，授權審批不規范，致使采購物資質次價高，出現舞弊或遭受欺詐；（3）采購驗收不規范，付款審核不嚴，造成采購物資、資金損失或信用受損。2.內部控制要求與措施企業應當加強請購、審批、購買、驗收、付款、采購后評估等環節的風險管控，確保物資采購滿足企業生產經營需要：（1）購買①企業的采購業務要盡量集中，避免多頭采購或分散采購。企業應當對辦理采購業務的人員定期進行崗位輪換。重要和技術性較強的采購業務，應當組織相關專家進行論證，實行集體決策和審批。企業除小額零星物資或服務外，不得安排同一機構辦理采購業務全過程。②企業應當建立采購申請制度，依據購買物資或接受勞務的類型，確定歸口管理部門，授予相應的請購權，明確相關部門或人員的職責權限及相應的請購和審批程序。具有請購權的部門對于預算內采購項目，應當嚴格按照預算執行進度辦理請購手續，并根據市場變化提出合理采購申請。對于超預算和預算外采購項目，應先履行預算調整程序，由具備相應審批權限的部門或人員審批后，再行辦理請購手續。③企業應當建立科學的供應商評估和準入制度。企業可委托具有相應資質的中介機構對供應商進行資信調查。④企業應當根據市場情況和采購計劃合理選擇采購方式。大宗采購應當采用招標方式，合理確定招投標的范圍、標準、實施程序和評標規則；一般物資或勞務等的采購可以采用詢價或定向采購的方式并簽訂合同協議；小額零星物資或勞務等的采購可以采用直接購買等方式。⑤企業應當建立采購物資定價機制，采取協議采購、招標采購、談判采購、詢比價采購等多種方式合理確定采購價格。大宗采購應當采用招投標方式確定采購價格，其他商品或勞務的采購，應當根據市場行情制定最高采購限價，并對最高采購限價適時調整。⑥企業要建立嚴格的采購驗收制度，確定檢驗方式，由專門的驗收機構或驗收人員進行驗收；對于驗收過程中發現異常情況，應當查明原因并及時處理。（2）付款①企業要加強采購付款的管理，明確付款審核人的責任和權利，嚴格審核采購預算、合同、相關單據憑證、審批程序等內容，審核無誤后按照合同規定及時辦理付款。②企業要建立退貨管理制度，對退貨條件、退貨手續、貨物出庫、退貨貨款回收等作出明確規定，并在采購合同中明確退貨事宜，及時收回退貨貨款。（三）資產管理資產，是指企業擁有或控制的存貨、固定資產和無形資產。1.資產管理需關注的主要風險（1）存貨積壓或短缺，造成流動資金占用過量、存貨價值貶損或生產中斷；（2）固定資產更新改造不夠、使用效能低下、維護不當、產能過剩，致使企業缺乏競爭力、資產價值貶損、安全事故頻發或資源浪費；（3）無形資產缺乏核心技術、權屬不清、技術落后、存在重大技術安全隱患，導致法律糾紛、缺乏可持續發展能力。2.內部控制要求與措施（1）存貨①企業應當建立存貨管理崗位責任制，明確內部相關部門和崗位的職責權限，切實做到不相容崗位相互分離、制約和監督。企業內部除存貨管理、監督部門及倉儲人員外，其他部門和人員接觸存貨，應當經過相關部門特別授權。②企業應當明確存貨發出和領用的審批權限，大批存貨、貴重商品或危險品的發出應當實行特別授權。倉儲部門應當根據經審批的銷售（出庫）通知單發出貨物。③企業應當建立存貨盤點清查制度，結合本企業實際情況確定盤點周期、盤點流程等相關內容，核查存貨數量，及時發現存貨減值跡象。企業至少應當于每年年度終了開展全面盤點清查，盤點清查結果應當形成書面報告。（2）固定資產①企業應當強化對生產線等關鍵設備運轉的監控，嚴格操作流程，實行崗前培訓和崗位許可制度，確保設備安全運轉。②企業應當嚴格執行固定資產投保政策，對應投保的固定資產項目按規定程序進行審批，及時辦理投保手續。③企業應當規范固定資產抵押管理，確定固定資產抵押程序和審批權限等。企業將固定資產用作抵押的，應由相關部門提出申請，經企業授權部門或人員批準后，由資產管理部門辦理抵押手續。④企業應當建立固定資產清查制度，至少每年進行全面清查。（3）無形資產企業購入或者以支付土地出讓金等方式取得的土地使用權，應當取得土地使用權有效證明文件。（四）銷售業務1.銷售業務需關注的主要風險（1）銷售政策和策略不當，市場預測不準確，銷售渠道管理不當等，可能導致銷售不暢、庫存積壓、經營難以為繼；（2）客戶信用管理不到位，結算方式選擇不當，賬款回收不力等，可能導致銷售款項不能收回或遭受欺詐；（3）銷售過程存在舞弊行為，可能導致企業利益受損。（五）研究與開發1.開展研發活動需關注的主要風險（1）研究項目未經科學論證或論證不充分，可能導致創新不足或資源浪費；（2）研發人員配備不合理或研發過程管理不善，可能導致研發成本過高、舞弊或研發失敗；（3）研究成果轉化應用不足、保護措施不力，可能導致企業利益受損。2.內部控制要求與措施（六）工程項目1.工程項目需關注的主要風險（1）工程立項缺乏可行性研究或者可行性研究流于形式，決策不當，盲目上馬，很可能導致難以實現預期效益或項目失敗；（2）如果項目招標暗箱操作，存在商業賄賂，則可能導致中標人實質上難以承擔工程項目、中標價格失實及“相關人員”涉案；（3）如果工程造價信息不對稱，技術方案不落實，概預算脫離實際，又可能導致項目投資失控；（4）倘若工程物資質次價高，工程監理不到位，項目資金不落實，還可能導致工程質量低劣，進度延遲或中斷；（5）如果竣工驗收不規范，最終把關不嚴，還會導致工程交付使用后存在重大隱患。（七）擔保業務1.辦理擔保業務需關注的主要風險（1）如果企業對擔保申請人的資信狀況調查不深，審批不嚴或越權審批，可能導致企業擔保決策失誤或遭受欺詐；（2）如果對被擔保人在擔保期內出現財務困難或經營陷入困境等狀況監控不力，應對措施不當，有可能會導致企業承擔法律責任；（3）如果被擔保人和提供擔保人在擔保過程中存在舞弊行為，則會導致經辦審批等相關人員涉案或企業利益受損。2.內部控制要求與措施（1）調查評估與審批（2）執行與監控（八）業務外包企業應當對外包業務實施分類管理，通常劃分為重大外包業務和一般外包業務。重大外包業務是指對企業生產經營有重大影響的外包業務。1.企業的業務外包需關注的主要風險（1）外包范圍和價格確定不合理，承包方選擇不當，可能導致企業遭受損失；（2）業務外包監控不嚴、服務質量低劣，可能導致企業難以發揮業務外包的優勢；（3）業務外包存在商業賄賂等舞弊行為，可能導致企業相關人員涉案。2.內部控制要求與措施（1）承包方選擇（2）業務外包實施（九）財務報告1.編制、對外提供和分析利用財務報告需關注的主要風險（1）企業財務報告的編制違反會計法律法規和國家統一的會計準則制度，導致企業承擔法律責任、遭受損失和聲譽受損；（2）企業提供虛假財務報告，誤導財務報告使用者，造成報告使用者的決策失誤，干擾市場秩序；（3）企業不能有效利用財務報告，難以及時發現企業經營管理中的問題，可能導致企業財務和經營風險失控。三、內部控制手段類指引（一）全面預算全面預算是企業對一定期間經營活動、投資活動、財務活動等作出的預算安排。全面預算作為一種全方位、全過程、全員參與編制與實施的預算管理模式，通過將企業的資金流與實物流、信息流相整合優化了企業的資源配置，提高了資金的使用效率。然而，企業要想使全面預算管理達到預期的效果，必須要特別關注和防范預算管理中的風險。1.實行全面預算管理需關注的主要風險（1）不編制預算或預算不健全，可能導致企業經營缺乏約束或盲目發展；（2）預算目標不合理、編制不科學，可能導致企業資源浪費或發展目標難以實現；（3）預算缺乏剛性、執行不力、考核不嚴，可能導致預算管理流于形式。2.內部控制要求與措施企業應當加強全面預算工作的組織領導，明確預算管理體制以及各預算執行單位的職責權限、授權批準程序和工作協調機制。企業應當設立預算管理委員會履行全面預算管理職責，其成員由企業負責人及內部相關部門負責人組成。預算管理委員會主要負責擬定預算目標和預算政策，制定預算管理的具體措施和辦法，組織編制、平衡預算草案，下達經批準的預算，協調解決預算編制和執行中的問題，考核預算執行情況，督促完成預算目標。預算管理委員會下設預算管理工作機構，由其履行日常管理職責。預算管理工作機構一般設在財會部門。總會計師或分管會計工作的負責人應當協助企業負責人負責企業全面預算管理工作的組織領導。（1）預算編制①企業應當建立和完善預算編制工作制度，明確編制依據、編制程序、編制方法等內容，確保預算編制依據合理、程序適當、方法科學，避免預算指標過高或過低。企業應當在預算年度開始前完成全面預算草案的編制工作。②企業應當根據發展戰略和年度生產經營計劃，綜合考慮預算期內經濟政策、市場環境等因素，按照上下結合、分級編制、逐級匯總的程序，編制年度全面預算。③企業預算管理委員會應當對預算管理工作機構在綜合平衡基礎上提交的預算方案進行研究論證，從企業發展全局角度提出建議，形成全面預算草案，并提交董事會。④企業董事會審核全面預算草案，應當重點關注預算科學性和可行性，確保全面預算與企業發展戰略、年度生產經營計劃相協調。企業全面預算應當按照相關法律法規及企業章程的規定報經審議批準。批準后，應當以文件形式下達執行。（2）預算執行（3）預算考核①企業應當建立嚴格的預算執行考核制度，對各預算執行單位和個人進行考核，切實做到有獎有懲、獎懲分明。②企業預算管理委員會應當定期組織預算執行情況考核。必要時，實行預算執行情況內部審計制度。③企業預算執行情況考核工作，應當堅持公開、公平、公正的原則，考核過程及結果應有完整的記錄。（二）合同管理1.合同管理需關注的主要風險（1）如果企業未訂立合同、未經授權對外訂立合同、合同對方主體資格未達要求、合同內容存在重大疏漏和欺詐，會導致企業合法權益受到侵害；（2）如果合同未全面履行或監控不當，有可能導致企業訴訟失敗，經濟利益受損；（3）如果合同糾紛處理不當，則會損害企業利益、信譽和形象。（三）內部信息傳遞內部信息傳遞是指企業內部各管理層級之間通過內部報告形式傳遞生產經營管理信息的過程。1.內部信息傳遞需關注的主要風險（1）內部報告系統缺失、功能不健全、內容不完整，可能影響生產經營有序運行；（2）內部信息傳遞不通暢、不及時，可能導致決策失誤、相關政策措施難以落實；（3）內部信息傳遞中泄露商業秘密，可能削弱企業核心競爭力。（四）信息系統1.利用信息系統實施內部控制需關注的主要風險（1）信息系統缺乏或規劃不合理，可能造成信息孤島或重復建設，導致企業經營管理效率低下；（2）系統開發不符合內部控制要求，授權管理不當，可能導致無法利用信息技術實施有效控制；（3）系統運行維護和安全措施不到位，可能導致信息泄露或毀損，系統無法正常運行。第四節內部控制評價與審計一、內部控制評價內部控制評價是指企業董事會或類似權力機構對內部控制有效性進行全面評價、形成評價結論、出具評價報告的過程。在企業內部控制實務中，內部控制評價是極為重要的一環。（一）內部控制評價應當遵循的原則根據《評價指引》的要求，內部控制評價應遵循以下三個原則：全面性原則。2.重要性原則。3.客觀性原則。（二）內部控制評價的內容企業根據《企業內部控制基本規范》、《企業內部控制評價指引》以及本企業的內部控制制度，圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督等要素，對內部控制有效性進行全面評價，包括財務報告內部控制有效性和非財務報告內部控制有效性。（三）內部控制評價的程序根據《評價指引》的要求，企業應按照內部控制評價辦法規定程序，有序開展內部控制評價工作。內部控制評價程序一般包括：制定評價控制方案；組成評價工作組；實施評價工作與測試；認定控制缺陷；匯總評價結果；編報評價報告等環節。內部審計機構對企業內部控制的有效性進行監督檢查內部控制評價部門或機構應具備以下條件：（1）能夠獨立行使對內部控制系統建立與運行過程及結果進行監督的權力；（2）具備與監督和評價內部控制系統相適應的專業勝任能力和職業道德素養；（3）與企業其他職能機構就監督與評價內部控制系統方面應當保持協調一致，在工作中相互配合、相互制約；（4）能夠得到企業董事會和經理層的支持，通常直接接受董事會及其審計委員會的領導和監事會的監督，有足夠的權威性來保證內部控制評價工作的順利開展。2.組成評價工作組對于擁有內部審計部門的企業來說，內審部門很大可能也同樣地擔當內部控制評價組的工作。如果企業決定利用外聘會計師事務所為其提供內部控制評價服務，根據《基本規范》的要求，該事務所不應同時為企業提供內部控制的審計服務。3.實施評價工作與測試評價工作組需通過了解企業公司層面基本情況、各業務層面的主要流程、識別有關主要風險后，才能開展實施及測試設計和運行有效性的內部控制工作。評價工作組可審閱的內控流程文檔可能有：①風險控制矩陣文檔。②流程圖文檔。③審批權限表文檔。（3）確定檢査評價范圍和重點。（4）開展現場檢査測試。評價工作組可綜合運用個別訪談、調查問卷、專題討論、穿行測試、實地査驗、抽樣和比較分析等評價方法，收集被評價單位內部控制設計與運行是否有效的證據，按照要求填寫工作底稿、記錄有關測試結果。如果發現內部控制出現缺陷，則需與管理層溝通，對有關缺陷進行認定并進行記錄。4.認定內部控制缺陷（1）內部控制缺陷的分類①按照內部控制缺陷的本質分類：內部控制缺陷分為設計缺陷和運行缺陷。②按照內部控制缺陷的嚴重程度分類：內部控制缺陷分為重大缺陷、重要缺陷和一般缺陷。內部控制評價組需要評價其注意到的各項控制缺陷的嚴重程度，以確定這些缺陷單獨或組合起來，是否構成重大缺陷。（2）內部控制缺陷的認定程序與整改對于重大缺陷和重要缺陷的整改方案，應向董事會（審計委員會）、監事會或經理層報告并審定。如果出現不適合向經理層報告的情形，例如存在與管理層舞弊相關的內部控制缺陷，內部控制評價組應當直接向董事會（審計委員會）、監事會報告。重要缺陷并不影響企業內部控制的整體有效性，但是應當引起董事會和管理層的重視。對于一般缺陷，可以向企業管理層報告，并視情況考慮是否需要向董事會（審計委員會）、監事會報告。5.匯總評價結果6.編報內部控制評價報告《企業內部控制評價指引》要求，內部控制評價報告應當報經董事會或類似權力機構批準后對外披露或報送相關部門，即企業董事會或類似權力機構應當對內部控制評價報告的真實性負責。企業應當以12月31日作為年度內部控制評價報告的基準日，并于基準日后4個月內報出內部控制評價報告。對于基準日至內部控制評價報告發出日之間發生的影響內部控制有效性的因素，企業應當根據其性質和影響程度對評價結論進行相應調整。《企業內部控制應用指引》和《企業內部控制評價指引》只要求企業對控制缺陷尤其是重大缺陷作出說明，不涉及企業內部其他保密信息。《企業內部控制評價指引》專門對內部控制評價報告進行了規范，要求企業在評價報告中至少披露以下內容：（1）董事會對內部控制報告真實性的聲明，實質就是董事會全體成員對內部控制有效性負責；（2）內部控制評價工作的總體情況，即概要說明；（3）內部控制評價的依據，一般指《企業內部控制基本規范》、《企業內部控制評價指引》及企業在此基礎上制定的評價辦法；（4）內部控制評價的范圍，描述內部控制評價所涵蓋的被評價單位，以及納入評價范圍的業務事項；（5）內部控制評價的程序和方法；（6）內部控制缺陷及其認定情況，主要描述適用本企業的內部控制缺陷具體認定標準，并聲明與以前年度保持一致，同時，根據內部控制缺陷認定標準，確定評價期末存在的重大缺陷、重要缺陷和一般缺陷；（7）內部控制缺陷的整改情況及重大缺陷擬采取的整改措施；（8）內部控制有效性的結論，對不存在重大缺陷的情形，出具評價期末內部控制有效結論，對存在重大缺陷的情形，不得作出內部控制有效的結論，并需描述該重大缺陷的成因、表現形式及其對實現相關控制目標的重要程度。二、企業內部控制審計（一）內部控制的審計要求企業可聘請專業人員或會計師事務所提供有關咨詢服務。應注意的是《基本規范》中表明為企業內部控制提供評價服務的會計師事務所，不得同時為同一企業提供內部控制審計服務。（二）注冊會計師的責任與角色內部控制審計是指會計師事務所接受委托，對特定基準日內部控制設計與運行的有效性進行審計。《審計指引》中重申建立健全和有效實施內部控制，評價內部控制的有效性是企業董事會的責任。而在實施審計工作的基礎上對內部控制的有效性發表審計意見，是注冊會計師的責任。注冊會計師要在實施審計工作的基礎上，獲取充分、適當的證據，對內部控制的有效性發表意見并提供合理保證。注冊會計師會對財務報告內部控制的有效性發表審計意見，如果在審計過程中注意到的非財務報告內部控制的重大缺陷，將會在其內部控制審計報告中增加“非財務報告內部控制重大缺陷描述段”予以披露。注冊會計師可以單獨進行內部控制審計，也可將內部控制審計與財務報表審計整合進行。在整合審計中，注冊會計師應當對內部控制設計與運行的有效性進行測試，以同時實現下列目標：1.獲取充分、適當的證據，支持其在內部控制審計中對內部控制有效性發表的意見。2.獲取充分、適當的證據，支持其在財務報表審計中對控制風險的評估結果。三、審計委員會在內部控制中的作用（一）審計委員會與內部控制一般來說，審計委員會的組成應全部由獨立、非行政董事組成，他們至少擁有相關的財務經驗。在一般情況下，審計委員會負責整個風險管理過程，包括確保內部控制系統是充分且有效的。就內部控制而言，審計委員會應復核企業的內部財務控制以及企業的所有內部控制和風險管理系統。審計委員會還應批準年報中有關內部控制和風險管理的陳述。審計委員會亦會收到管理層關于企業內運作的內部控制系統的有效性的報告，以及內部或外聘審計師對控制所執行測試的結論的報告。（二）審計委員會的履責方式建議審計委員會每年至少舉行三次會議，并于審計周期的主要日期舉行。審計委員會應每年至少與外聘及內部審計師會面一次，討論與審計相關的事宜，但無須管理層出席。（三）審計委員會與合規審計委員會的主要活動之一是核查對外報告規定的遵守情況。審計委員會一般有責任確保公司履行了對外報告義務。審計委員會應結合企業財務報表的編制情況，對重大的財務報告事項和判斷進行復核。（四）審計委員會與內部審計確保充分且有效的內部控制是審計委員會的義務，其中包括負責監督內部審計部門的工作。審計委員會需要確保內部審計部門正在有效運作。它將在四個主要方面對內部審計進行復核，即組織中的地位、職能范圍、技術才能和專業應盡義務。（五）向股東報告內部控制審計委員會為了向股東匯報而執行的復核應涉及所有重大控制，包括財務、運營和合規控制以及風險管理系統。此外，年報亦應為股東提供有關審計委員會的工作信息。審計委員會主席應出席年度股東大會，并回答股東提出的關于審計委員會工作方面的問題。第五節風險管理、公司治理、內部控制三者的關系在企業風險管理整合框架下，風險管理、內部控制、公司治理三者的關系可以從以下四個方面來體現。一、管理范圍的協調風險管理整合框架下的內部控制是站在企業戰略層面分析、評估和管理風險，是把對企業監督控制從細節控制提升到戰略層面及公司治理層面。風險管理不僅僅關注內控建立，最主要的是關注內部控制運行與評價，從企業所有內外風險的角度為公司治理層、管理層持續改進內部控制設計和運行提供思路，風險管理比內部控制的范圍要廣泛得多。二、前動與后動的平衡在風險管理整合框架下的內部控制既包括提前預測和評估各種現存和潛在風險，從企業整體戰略的角度確定相應的內控應對措施來管理風險，達到控制的效果，又包括在問題或事件發生后采取后動反應，積極采取修復性和補救性的行為。三、治理、風險、控制的整合將治理、風險和控制作為一個整體為組織目標的實現提供保證。這一整合的過程將克服原本內部控制實施過程中內部控制與管理脫節的問題，整個組織風險管理的過程也是內部控制實施的過程，內控不再被人為地從企業整個流程中分離出來，提高了內部控制與組織的整合性和全員參與性。四、“從上到下”控制基礎和“從下到上”風險基礎執行模式的融合在風險管理整合框架下的內部控制既體現內部控制從上到下的貫徹執行，也強調內部控制從下到上參與設計、反饋意見以及“倒逼”機制，即從上到下控制基礎和從下到上風險基礎的執行模式的融合。風險管理框架下的內部控制（風險管理）既包括管理層以下的監督控制，又包括管理層以上的治理控制，按照內部控制五要素分析內部治理控制如下表所示。風險管理框架下的公司內部治理控制內部控制要素公司治理中的體現控制環境1.股東（大）會、董事會、監事會、經理的職責定位與授權；2.董事會內部職責分工與授權，如內設的戰略、執行、審計、薪酬、提名、專業委員會等；3.董事會、監事會與經理團隊的溝通氛圍；4.股東與董事會的風險偏好；5.董事長主持董事會工作，其職業修養與專業能力將影響治理效果；6.董事、監事能力；7.獨立董事的獨立性。風險評估1.戰略、目標、重大經營計劃等決策需對內、對外風險充分評估；2.為具體治理活動設計控制措施前需要進行風險評估。控制活動1.治理結構本身的牽制機制設計，如監事會的設立、獨立董事制度、審計委員會設立等；2.企業戰略和目標的制定與決策程序；3.通過聽取業績報告，董事會對經理戰略執行的過程控制；4.董事長對經理的決策授權與監督；5.董事、監事、經理的考核激勵控制；6.公司章程，董事會及其下屬委員會、監事會的議事規則；7.信息披露的控制程序。信息溝通1.股東、董事、監事履行職責時，必須適時得到充分的相關信息；2.董事會與經理團隊應建立正常溝通機制，適時了解戰略和目標的執行情況，及時采取行動；3.股東分散、不參與企業的經營管理，董事會應按規定適時披露相關信息，保障所有股東的合法權益。監控1.董事會（或審計委員