分子诊断试剂公司治理与内部控制评估（参考）

文档格式：DOCX| 91 页|大小 77.16KB|积分 50|2022-12-20 发布|文档ID：175895274

下载文档

下载文档到电脑，查找使用更方便还剩页未读，继续阅读>>

侵权申诉举报

1 / 91

此文档下载收益归作者所有下载文档

版权提示

文本预览

常见问题

泓域/分子诊断试剂公司治理与内部控制评估分子诊断试剂公司治理与内部控制评估xxx有限公司目录一、产业环境分析 4二、我国分子诊断行业发展趋势 6三、必要性分析 8四、风险的分类和评估 9五、风险的概念及其分类 11六、风险分析的定义和目的 13七、风险分析的方法 14八、风险应对策略 21九、风险应对概述 31十、组织架构 32十一、发展战略 38十二、内部环境如何发挥作用 42十三、控制的层级制度 43十四、独立董事及其职责 45十五、董事及其职责 50十六、监事会 55十七、监事 58十八、管理腐败的类型 61十九、管理层的责任 63二十、项目基本情况 64二十一、法人治理结构 69二十二、组织机构、人力资源分析 81劳动定员一览表 82二十三、发展规划 84一、产业环境分析制造业是长沙经济的基础支撑，也是长沙参与区域竞争的比较优势制造强则长沙强十三五”期间，长沙要抢抓工业4.0发展机遇，以智能制造为统领，坚持产品装备智能化和工艺流程智能化齐头并进，进一步筑强制造业“骨骼”、壮实制造业“肌肉”，推动“长沙制造”向“长沙智造”升级，实现制造业由大变强的新跨越。

着力实施新型工业化“13518”工程，构建一个现代工业新体系，形成三个梯次发展层级，围绕五大发展目标，完善一个政策支撑体系，制定八大专项行动计划，推进新型工业化进程，加快迈入全国制造强市先进行列到2020年，全部工业总产值达到1.8万亿元，规模工业增加值达到5000亿元以上1、打造具有国际竞争力的先进制造业基地全面对接“中国制造2025”，引导制造业朝分工细化、协作紧密方向发展大力实施制造业强基工程，支持企业在核心基础零部件(元器件)、先进基础工艺、关键基础材料、产业技术基础等“四基”领域加强突破，进一步提升产业核心竞争力支持互联网、云计算、大数据等信息技术在企业全生命周期和全产业链的综合集成应用，着力提高工艺流程的稳定性，促进工业设计的自动化，推动产品质量的大提升推进产业链细分，实现制造业企业由加工制造环节向研发设计、品牌营销等上下游延伸健全国产首台(套)重大技术装备市场应用机制，支持企业研发和推广应用重大创新产品到2020年，制造业重点领域智能化水平显著提升，试点示范项目运营成本降低30%以上，产品生产周期缩短30%，形成先进装备制造、汽车及零部件、食品加工、烟草工业、智能家电等优势产业集群，培育30家制造业领军企业、30个具有较强影响力的制造业知名品牌。

2、打造全国重要的战略性新兴产业基地把培育发展战略性新兴产业作为我市产业结构升级、提升经济长远竞争力的关键抓手，集中力量发展壮大新材料、电子信息、新能源与节能环保、生物产业、移动互联网等基础好、潜力大、带动强的战略性新兴产业，加快推动产业规模化、集群式发展大力优化新兴产业发展环境，依托国家战略性新兴产业区域集聚发展试点优势，充分发挥产业政策导向作用和产业投资基金作用，创新财政资金支持方式，构建符合战略性新兴产业发展需要的信贷制度，加大对新兴产业关键技术攻关、重大项目建设、收购兼并等方面的支持力度推进重点园区硬件设施和服务体系的专业化升级，突出抓好移动互联网、节能环保、生物医药、电子信息等省级特色“园中园”建设，显著提升集聚战略性新兴产业的能力到2020年，战略性新兴产业增加值占地区生产总值比重达20%3、打造中部地区未来产业发展的先行区瞄准未来科技革命和市场需求，着眼有质量的稳定增长和可持续的全面发展，着力发展北斗导航、航空航天装备、3D打印、机器人等一批有优势、有潜力的未来产业，构建梯次发展的产业结构和新一轮产业竞争的先发优势大力支持未来产业强化自主创新能力，加快突破关键核心技术支持组建未来产业联盟，鼓励提供公共技术研发、检测认证、知识产权与标准化等服务，积极推动未来产业新技术、新产品的示范应用，鼓励有条件的企业积极向未来产业领域转型发展。

十三五”期间，未来产业增加值年均增速达20%4、提升传统产业市场竞争力以品牌建设为重点，大力推动技术进步、联合重组和特色发展，让符合产业发展政策、有生命力的传统产业“老树发新芽”，形成新的市场竞争力支持烟花爆竹产业向安全、优质、环保方向发展，鼓励新工艺、新技术的研发和产业化，建立较为完整的机械化、自动化标准体系，创建国家级出口烟花爆竹质量安全示范区推动建材化工产业大力发展符合绿色建筑要求的新型建材及制品支持服装家纺产业瞄准国内中高档市场和国外新兴市场，大力拓展高端设计、个性化订制等领域，进一步拉长产业链，建设中部地区重要的服装家纺制造和贸易基地二、我国分子诊断行业发展趋势1、应用领域不断拓展分子诊断起初从实验室和研究机构进入临床市场主要应用领域集中在传染病、移植配型检测领域随着技术的不断发展，分子诊断领域转移到肿瘤伴随诊断、遗传病筛查与诊断、药物代谢基因组学等领域未来，分子诊断技术的应用领域将进一步拓宽至疾病易感性检测、肿瘤早筛早诊、肿瘤个性化治疗和预后评估、药物基因组学检测、出生缺陷检测、出入境检疫和司法鉴定等领域，推动分子诊断从疾病诊治向生命全过程健康监测转移，从而刺激分子诊断市场不断发展。

2、国内企业在全球市场占有率逐步提高分子诊断产业链中高端领域一直以来由国外巨头主导，国产化程度较低并且进程缓慢国内产品由于价格、销售渠道等因素，目前在中低端或细分市场上具有一定优势但近几年来，国家鼓励创新和进口替代政策不断出台，一批掌握核心技术、了解中国市场的国内领先企业纷纷加强产业布局、规模投入和技术研发投入，带来了国内分子诊断行业的技术革新和产业升级，行业内呈现国内企业市场占有率不断提升的行业发展趋势中国分子诊断行业发展迅速，检验产品的种类迅速增加，国内外的技术差距正在缩小随着国内众多企业纷纷抢占分子诊断市场，国产分子诊断产品供给能力和产品多样性将会有较大改善，在国际行业竞争力有望持续增强3、未来一段时间内PCR仍为临床分子诊断主流技术PCR诊断技术相对于其他技术具有灵敏度高、特异性好、操作简单、成本低廉等优势，是目前及未来一段时间内临床分子诊断的主流技术之一三、必要性分析1、现有产能已无法满足公司业务发展需求作为行业的领先企业，公司已建立良好的品牌形象和较高的市场知名度，产品销售形势良好，产销率超过 100%预计未来几年公司的销售规模仍将保持快速增长随着业务发展，公司现有厂房、设备资源已不能满足不断增长的市场需求。

公司通过优化生产流程、强化管理等手段，不断挖掘产能潜力，但仍难以从根本上缓解产能不足问题通过本次项目的建设，公司将有效克服产能不足对公司发展的制约，为公司把握市场机遇奠定基础2、公司产品结构升级的需要随着制造业智能化、自动化产业升级，公司产品的性能也需要不断优化升级公司只有以技术创新和市场开发为驱动，不断研发新产品，提升产品精密化程度，将产品质量水平提升到同类产品的领先水准，提高生产的灵活性和适应性，契合关键零部件国产化的需求，才能在与国外企业的竞争中获得优势，保持公司在领域的国内领先地位四、风险的分类和评估（一）风险的分类企业所面临的风险从来源上分，有企业内部和外部两个方面外部风险包括：科技发展带来的企业技术、管理、信息等方面的风险；顾客需求或预期改变；竞争的存在；自然灾害；政治事件；经济环境的改变等内部风险主要有：员工的素质和能力；经理人的责任改变；董事会或监督委员会的责任履行情况等从企业能否对风险进行控制来分，风险分为可控风险和不可控风险两种二）风险评估风险评估是一个比较宽泛的概念，在有的内部控制或风险管理标准中，风险评估就是风险管理，包括了风险管理的全过程，可以说是风险管理的代名词。

而在有的内部控制或风险管理标准中，风险评估是全面风险管理的一个步骤，包括内容有多有少，如目标确定、风险识别、风险分析、风险评价以及风险应对等1、COSO92关于风险评估概念COSO内部控制整体框架把风险评估列为内部控制的五要素之—《内部控制整体框架》认为，风险评估是指单位为实现其目标而确认的相关风险，以构成进行风险管理的基础单位风险可能来自于：（1）经营环境的变化；（2）聘用新的员工；（3）采用新的或改良的信息系统（4）迅猛的发展速度；（5）新技术的运用（6）新的行业、产业或经营活动的开发；（7）企业改组；（8）海外经营；（9）新的会计方法的采用2、COSO04关于风险评估概念《企业风险管理整体框架》指出风险评估要对识别的风险进行分析，以便确定对他们进行管理的依据强调风险评估是风险管理的一个步骤，相当于我国《企业内部控制基本规范》的风险分析3、我国《企业内部控制基本规范》关于风险评估概念我国《企业内部控制基本规范》借鉴《企业风险管理整体框架》，认为风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，从而合理确定风险应对策略即为识别、分析、管理与企业活动相关的市场风险、政策风险、法律风险、汇率风险、经营风险等各种风险而建立的机制。

该概念沿用COSO92的要素理念，是相对宽泛的概念，包括COSO04目标设定、事项识别、风险评估和风险应对四大要素的组合五、风险的概念及其分类古人说：“宜未雨而绸缪，毋临渴而掘井企业在生产经营的过程中，面临着诸多的风险，如果我们没有妥善地处理，风险事故一旦发生，轻则影响生产经营稳定和企业经济效益，重则危及企业的生存因此风险评估的目的是为了给企业造就一个安全稳定的生产经营环境，这有助于增加领导层经营管理决策的正确性，进而提高企业的经济效益一）风险的概念企业在经营活动中，会遇到各种不确定性事件，这些事件发生的概率及其影响程度是无法事先预知的，进而影响企业目标的实现所谓风险，就是在一定环境下和一定限期内客观存在的、影响企业目标实现的各种不确定性事件或者说，风险就是指在一个特定的时间内和一定的环境条件下，人们所期望的目标与实际结果之间的差异程度因此，风险是一个事项将会发生并给目标实现带来负面影响的可能性风险具有客观性、普遍性、潜在性、必然性、可识别性、可控性、损失性和不确定性等特点，风险与机会同在COSO企业风险管理新框架（2016）指出风险是指事项发生并影响战略和业务目标之实现的可能性该定义兼顾了正面和负面的影响，这和国际风险管理标准ISO31000及中国风险管理标准GB—T24353是一致的。

为了与我国内部控制规范一致，本书采用COSO04的定义二）风险的构成要素风险一般包括以下三项构成要素1、风险因素风险因素是指促使某一特定风险事故发生或增加其发生的可能性或扩大其损失程度的原因或条件它是风险事故发生的潜在原因，是造成损失的内在或间接原因例如，对于建筑物而言，风险因素是指其所使用的建筑材料的质量、建筑结构的稳定性等；对于人而言，则是指健康状况和年龄等；对于企业而言，风险因素则包括企业人员因素、结构因素、外部环境因素等2、风险事故风险事故也称风险事件，是指造成伤害或财产损失的偶发事件是造成损失的直接的或外在的原因，是损失的媒介物，即风险只有通过风险事故的发生才能导致损失就某一事件来说，如果它是造成损失的直接原因，那么它就是风险事故；而在其他条件下，如果它是造成损失的间接原因，它便成为风险因素例如，对于企业而言，发生仓库货物被盗是风险事故，而安保系统不健全是风险因素3、损失在风险管理中，损失是指非故意的、非预期的、非计划的经济价值的减少通常可以将损失分为两种形态，即直接损失和间接损失直接损失是指风险事故导致的财产本身损失和人身伤害，这类损失又称为实质损失：间接损失则是指由直接损失引起的其他损失，包括额外费用损失、收入损失和责任损失。

六、风险分析的定义和目的我国《企业内部控制基本规范》第二十四条规定：企业应当采用定性定量相结合的方法，按照风险发生的可能性及影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险企业进行风险分析应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断，并确定风险重要性水平的过程管理层根据被识别的风险的重要性来计划如何应对风险风险分析应达到以下目的：（1）对各个风险进行比较，根据分析风险的不确定性和后果，确定风险的先后顺序；（2）确定风险事件之间的关系，表面上看起来不相干的多个风险事件可能是由一个共同的风险源所造成的，因此应当理顺风险事件之间的关系；（3）进一步量化已识别风险的发生概率和后果，减少风险发生概率和后果估计的不确定性，必要时根据形势的变化重新评估风险发生的概率和可能的后果七、风险分析的方法风险分析的方法一般包括定量分析方法和定性分析方法但当前最常用的分析方法一般都是定量和定性的混合方法，对一些可以明确赋予数值的要素直接赋予数值，对难于赋值的要素使用定性方法，这样不仅可以清晰地分析企业资产的风险情况，而且也极大地简化了分析的过程，加快了风险分析的进度。

一）定量分析法定量分析法就是对风险的程度用直观的数据表示出来，其主要思路是对构成风险的各个要素和潜在损失的程度赋予数值或货币金额这样风险分析的整个过程和结果都可以被量化了在度量风险的所有要素（资产价值、脆弱性级别等）中，风险分析人员计算资产暴露程度，计算控制成本以及确定所有其他值时，应尽量具有相同的客观性风险大小的判断可以根据风险暴露的大小乘以风险发生的概率加以确定目前比较常用的定量分析方法有：MPY（年度可能最大损失）值估计法、情景分析法、VAR（风险价值）法、敏感性分析等1、MPY值估计法MPY值估计法是评估一般危害性风险的方法，是指在某一特定年度中，单一风险单位或多个风险单位遭受一种或多种事故所致的最大总损失年度最大可信总损失与年度预期总损失不同，年度预期损失是平均损失，而年度可信总损失与风险管理人员的主观判断有关2、情景分析法情景分析法是通过假设、预测、模拟等手段生成未来情景，并分析其对目标产生影响的一种分析方法该方法根据发展趋势的多样性，通过对系统内外相关问题的系统分析，设计出多种可能的未来前景，然后用类似于撰写电影剧本的手法，对系统发展态势做出详细的情景和画面的描述当一个项目持续的时间较长时，往往要考虑各种技术、经济和社会因素的影响，可用情景分析法来预测和识别其关键风险因素及其影响程度。

情景分析法对以下情况特别有用：提醒决策者注意某种措施或政策可能引起的风险或危机性的后果；建议需要进行监视的风险范围；研究某些关键性因素对未来过程的影响；提醒人们注意某种技术的发展会给人们带来哪些风险3、VAR法VAR法即风险价值法，是指在正常的市场条件和给定的置信度内，某种投资组合在既定时期内所面临的市场风险大小和可能遭受的潜在最大价值损失VAR把对预期的未来损失的大小和该损失发生的可能性结合起来，不仅让投资者知道发生损失的规模，而且知道其发生的可能性，是一种数量化市场风险的重要度量工具VAR法利用统计技术来度量投资风险，对某个有价证券，在市场条件下，对给定的时间区间的置信水平a，VAR给出了该有价证券最大可能的预期损失，即可以保证损失不会超过VAR的概率为1—a计算VAR常用的方法主要有3种1）历史模拟法该方法是借助于计算过去一段时间内的资产组合风险收益的频度分布，通过找到历史上一段时间内的平均收益以及在既定置信水平a下的最低收益率，计算资产组合的VAR值2）方差一协方差法该方法的基本思路为：首先，利用历史数据计算资产组合的收益的方差、标准差、协方差；其次，假定资产组合收益是正态分布，可求出在一定置信水平下，反映了分布偏离均值程度的临界值；最后，建立与风险损失的联系，推导VAR值。

3）蒙特卡罗模拟法它是基于历史数据和既定分布假定的参数特征，借助随机产生的方法模拟出大量的资产组合收益的数值，再计算VAR值4、敏感分析法敏感分析法是指通过对项目各种不确定因素在未来发生变化时对经济效果指标影响程度的比较，找出敏感因素，提出相应对策它是在项目评价的不确定分析中被广泛运用的主要方法之一在项目计算期内可能发生变化的因素主要有建设投资、产品产量、产品售价、主要原材料供应及价格、劳动力价格、建设工期及外汇汇率等敏感性分析就是要分析预测这些因素单独变化或多因素变化时对项目内部收益率、静态投资回收期和借款偿还期等的影响这些影响应是用数字、图表或曲线的形式进行描述，使决策者了解不确定因素对项目评价的影响程度，确定不确定性因素变化的临界值，以便采取防范措施，从而提高决策的准确性和可靠性各因素的变化都会引起效益指标的一定变化，但其影响程度却各不相同有些因素小幅度变化，就能引起经济评价指标发生较大幅度的波动；而另一类因素即使发生了较大幅度的变化，对经济效益指标的影响也不是很大一般把前一类因素称为敏感性因素，后一类称为非敏感性因素敏感性分析的目的就是要筛选敏感性因素和非敏感性因素敏感性分析的步骤如下。

1）确定敏感性分析指标投资项目经济评价有一整套指标体系，在进行敏感性分析时，应选择最能反映项目经济效益的一个或几个主要指标进行分析最基本的分析指标是内部收益率，根据项目的实际情况也可选择净现值或投资回收期等指标，必要时可同时针对两个或两个以上的指标进行敏感性分析2）选择敏感性分析的不确定因素影响项目经济效益指标的因素很多，如产品产量、价格、经营成本、投资额、建设期和生产期等在实际的敏感性分析中，没有必要也不可能对所有因素进行分析根据项目特点，结合经验判断选择对项目影响效益较大且重要的不确定因素进行分析经验表明，应主要对销售收入、产品价格、产量、经营成本、建设投资等不确定因素进行敏感性分析3）确定不确定因素的变化范围在选择不确定因素分析基础上，还要进一步分析不确定因素的可能变动范围一般选择不确定因素变化的百分率为+5%、+10%、土15%、土20%等，对于不便用百分数表示的因素，可采用延长一段时间表示，如延长一年4）计算敏感性分析指标为较准确反映项目评价指标对不确定因素的敏感程度，分析不确定因素的变化使项目由可行变为不可行的临界数值，应计算敏感度系数和临界点指标①敏感度系数敏感度系数指项目评价指标变化的百分率与不确定因素变化的百分率之比。

敏感度系数高，表示项目效益对该不确定因素敏感程度高②临界点临界点是指不确定性因素的变化使项目由可行变为不可行的临界数值，可采用不确定性因素相对基本方案的变化率或相对应的具体数值表示当该不确定性因素为费用科目时，即为其增加的百分率，当其为效益科目时为降低的百分率临界点也可用该百分率对应的具体数值表示当不确定因素的变化超过了临界点所表示的不确定因素的极限变化时，项目将由可行变为不可行临界点的高低与计算临界点指标的初始值有关若选取基准收益率为计算临界点的指标，对于同一个项目，随着设定基准收益率的提高，临界点就会变低；而在一定的基准收益率下，临界点越低，说明该因素对项目评价指标影响越大，项目对该因素就越敏感从根本上说，临界点计算是使用插值法，也可以借助于计算机的相关软件，由于项目评价指标的变化与不确定因素变化之间不是直线关系，当通过直线图求解时也会存在一定的误差二）定性分析法定性分析法与定量分析法的区别在于不需要对资产及各相关要素的分配确定数值，而是赋予一个相对值在风险管理过程中，风险分析是最困难的风险经理往往陷入两难的境地，即为了追求准确，就必须应用复杂的概率计算方法和采用精度较高的模型，但是限于资料的稀缺和时间的紧迫，这种方法或模型就被迫放弃。

大多数的风险经理宁愿放弃准确度的较高要求而采用定性的预测方法，即将风险的概率估计予以主观量化据统计，75%的项目经理采用的风险分析方法是专家调查打分法例如，通过问卷、面谈及研讨会的形式进行数据收集和风险分析，这个方法涉及各业务部门的人员，这个过程带有一定的主观性，往往需要凭借专业咨询人员的经验和直觉，或者业界的标准和惯例，因此，为风险各相关要素（资产价值、威胁、脆弱性等）的大小或高低程度定等级时，可以运用定性分析方法将风险分为高、中、低三个等级通过这样的方法，对风险的各个分析要素赋值后，可以定性地区分这些风险的严重等级，避免了复杂的赋值过程简单且又易于操作定性分析法的步骤一般如下第一步，确定风险因素（或称威胁）发生的可能性假定把威胁的可能性定为五级第二步，通过风险分析对风险确定等级风险等级一般可以分为高、中、低三个等级，也可以分为四级或者五级第三步，根据上面两张表编制风险矩阵表企业管理层肯定不能接受H，对M要根据具体情况考虑是否应采取相应的对策来减少这种风险，对L应当能接受，但需要加强对风险的控制，不使其损失面扩大定性分析的操作方法可以多种多样，包括小组讨论（例如Delphi方法）、检查列表、问卷、人员访谈、调查等。

定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准八、风险应对策略风险应对的策略有风险规避、风险降低、风险分担和风险承受4类一）风险规避风险规避是指企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略风险规避是各种风险管理技术中最简单、最为消极的一种例如，一个经销家庭日用品的企业在其经销的产品有导致小儿麻痹症的情况出现时，决定终止这种经销活动，以免引致产品责任索赔案企业通过中断风险源，将避免可能产生的潜在损失或不确定性，但企业同时失去了从风险源中获得收益的可能性企业在采用规避方法来处理风险时必须考虑以下几个方面的因素第一，风险要想真正避免也许不可能对企业而言，有些基本风险如世界性的经济危机、能源危机等难以避免第二，风险得以避免在经济上也许不适当对某些风险即使可以避免，但就经济效益而言也许不合适在成本和效益的比较分析下，如果企业避免风险所花费的成本高于避免风险所产生的经济效益时，仍然采取避免风险的方法，经济上可谓不适当第三，风险规避使企业失去了从中获益的可能性第四，避免了某一风险可能产生另外新的风险，新风险产生的可能性和危害程度可能更甚于先前的风险。

1、风险规避的适用范围当企业面临下列两种情况时最适合采用风险规避策略：某种特定风险导致的发生概率和产生损失程度相当大；应用其他风险处理技术的成本超过其产生的收益，采取风险规避法可以使企业所受损失为零2、风险规避的方式（1）完全放弃，是指企业拒绝承担这种风险，根本不从事可能产生某些特定风险的活动2）中途放弃，是指企业在项目进行的过程中终止承担某种风险例如，公司研发一种新产品，在市场上试销后发现市场前景惨淡，于是中途停止这种产品的生产与上市，防止产生更大的新产品的开发风险这种风险规避通常与环境的较大变化和风险因素的变动有关由于发生了新的不利情况，经权衡后，认为得不偿失，故而放弃3）改变条件，是指改变生产活动的性质，改变生产流程或是工作方法等其中，生产性质的改变属于根本的变化简单的风险规避是一种最消极的风险处理办法，因为投资主体在放弃风险行为的同时，往往也放弃了潜在的目标收益所以一般只有在以下情况才会采用这种方法：投资主体对风险极端厌恶；存在可实现同样目标的其他方案，其风险更低；投资主体无能力消除或转移风险；投资主体无能力承担该风险或承担风险得不到足够的补偿二）风险降低风险降低是企业在权衡成本效益后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。

风险降低的目的是要降低风险发生的概率，或者减少风险造成的损失，或者两者兼而有之风险降低可以积极改善风险的特性，使其能为企业所接受，而又使企业不丧失获利的机会风险降低的方法一般与控制措施相衔接，包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制和合同控制等降低风险主要通过两种途径实现：风险预防和减少风险其中，风险预防即采取各种措施防止风险事件的发生，做到事先防范，也就是消除或减少风险因素，以便降低损失发生的概率企业实行风险降低策略应符合成本效益原则预防风险涉及一个现时成本与潜在损失比较的问题：若潜在损失远大于采取预防措施所支出的成本，就应采用预防风险手段以兴修堤坝为例，虽然施工成本很高，但与洪水泛滥造成的巨大灾害相比，就显得微不足道此外，还应考虑到一旦预防措施不成功，风险发生后应采取补救措施以减少损失，从而使风险损失最小化人们从事的许多活动都面临着风险，对于那些厌恶风险者来说如何应付所面临的风险呢？有两种常用的办法可以降低可能发生的风险，这两种方法是多样化和获取更多的信息1、多样化多样化是指在从事的活动将要面临风险的情况下，人们可以采取多样化的活动，以便降低风险。

例如，投资者可以以多种形式持有资产，以免持有单一化的资产发生风险；商品推销人员为了保证销售收入，可以同时推销多种商品，以免在只推销一种商品的情况下，一旦产品推销不出，发生一点收入也得不到的风险2、获取更多的信息在不确定的情况下，消费者的决策是建立在有限信息基础之上的如果消费者可以获得更多的信息，将会降低决策的风险然而获得的信息不是没有代价的例如，要想通过销售活动获得尽可能多的利润，商品销售人员必须进行市场调查与研究，以便获得较多的商品需求信息，减少决策的风险；要进行市场调查研究，就必须花费一定的费用如果不亲自进行市场调查，而向他人购买信息，也可以减少决策的风险这说明信息是有价值的三）风险分担风险分担是指企业准备借助他人的力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略风险分担是一种事前的风险管理措施，即在风险发生之前，通过各种交易活动，把可能发生的风险转移给其他人承担，避免承担全部风险损失其主要措施包括业务分包、保险、出售、开脱责任合同以及合同中的转移责任条款风险分担的方式主要可以分为财务型非保险转移、控制型非保险转移和保险转移1、财务型非保险转移财务型非保险转移是指受补偿的人将风险所导致损失的财务负担转移给补偿的人（其中保险人除外）的一种风险管理技术。

财务型非保险转移的实施方式主要有以下四种1）中和中和是将损失机会与获利机会平衡的一种方法，通常被用于处理投机风险担心原材料价格变化的制造商所进行的套购，以及受外汇汇率变动影响的出口商进行的期货买卖都属于中和方法所谓套购，就是通过买卖双方交易的相互约定，使可能的价格涨落损益彼此抵消通常，商业机构、生产商、加工商和投资者利用期货价格和现货价格波动方向上的趋同性，通过在期货市场上买进或卖出与现货市场上方向相反但数量相同的商品，而把自身承受的价格风险转移给投机者，以达到现货与期货盈亏互补的目的2）免责约定免责约定是指合同的一方通过合同条款，对合同中发生的对他人人身伤害和财产损失的责任转移给另一方承担，即通过主要针对其他事项的合同中的条款来实现风险转移需要指出的是，免责约定不同于责任保险免责约定所转移的风险其受让人而不是保险人，而且所提到的财产损失责任是以合同责任下的损失为限的3）保证合同保证合同是指由保证人对被保证人因其行为不忠实或不履行某种明确的义务而导致权利人损失予以赔偿的一种书面合同这里有保证人、被保证人和权利人三方当事人，借助保证书，权利人可将被保证人违约的风险转移给保证人保证的目的在于担保被保证人对权利人的忠实和有关义务的履行，否则由保证人赔偿损失。

保证书通常用于以下“明确的义务”：清偿债务，在规定的期限内提供一定数量的产品，按要求的日期完成一项工程等如果被保证人没有履行义务，保证人必须自己履行这项义务，或者按保证书的规定支付一定的罚金然后，保证人可以向被保证人追偿其损失有时，保证人在签发保证书时，要求被保证人用现金或政府债券等作为担保物，以备自己索赔即使被保证人得不到任何保障，他们也要签署这种保证书需要指出，保证书不同于保险合同（尤指财产保险合同），其差别如下①保证书的当事人有三方，即保证人、被保证人和权利人，而保险合同一般只有两方，即保险人和投保人（被保险人）②保证书中，被保证人通常得到担保并付出担保费，而权利人得到保障（不过，有时被保证人可通过成本包括在所提供的服务的价格里，而将这种成本转移给权利人），而被保险人则通常是购买保险来保障自己③保证书中的损失有可能是由被保证人故意引起的，而保险损失对被保险人而言则必须是意外的④理想状况下，保证书中的担保不会有损失因为如果有任何损失的可能性，保证人就不会签署这种保证书，况且保证人自己会在调查中发现潜在的损失而保险人则清楚地知道在被保险的群体中间会有一些损失—一期望损失值理想状况下，保证书的担保费不应该包括任何期望损失作为备抵，所以这种担保费只需包括保证人的调查费和其他费用，并提供一定的利润和一定的意外准备金。

而保险费则必须补偿期望损失在实践中，保证人也会发生一些损失，因为他们的调查并不完全准确，但这样的损失在担保费中所占的比例远低于在保险费中所占的比例⑤如果损失确实发生，保证人可以向被保证人求得补偿，但保险人对于被保险人则没有这种权利尽管如此，有些保证书与保险合同极为相似，例如诚实保证实践中，许多保证书的保证人是保险（4）公司化有的企业通过发行公司股票，将企业经营的风险转移给多数股东承担这种转移实际上只是分散了原有股东的风险，增强了企业抵抗风险的能力，并不能转移企业遇到的具体风险2、控制型非保险风险转移控制型非保险风险转移是指借助减低风险单位的损失频率和缩小其损失幅度的手段将损失的法律责任转移给非保险业的另一经济单位的管理技术控制型非保险风险转移的具体形式有以下3种1）出售或租赁通过买、卖契约将风险单位转移给他人或其他单位这一方式的特点是将财产所有权和与之有关的风险同时转移给受让人如一批货物，从工厂主转移给买主后，与这批货物有关的风险（可能遭受火灾、盗窃、市场价格暴跌等）也一同转移给买主了2）分包转让人通过分包合同，将他认为风险较大的工程转移给非保险业的其他人显然，风险单位通过风险转移，其承担的风险将会减少。

例如，对于一般的建筑施工队来说，高空作业风险较大，因此，他们可将风险大的高空作业转移给专业的高空作业工程队对这种专业工程队来说，他们无论在经验、设备、技术等各方面都较强，故相对来说，风险较小3）开脱责任合同通过这种合同，风险承受者免除转移者对承受者承受损失的责任如外科医生在给病人动手术之前，往往要求病人（或家属）签字同意，若手术不成功，医生不负责任在这份契约中，风险承受者（病人）免除了转移者（医生）对承受者（病人）承受损失的法律责任，在这种形式中，通过开脱责任合同，风险本身被消除了控制型风险转移与风险回避所不同的是，风险回避是放弃或中止存在的风险单位，而此风险转移技术容许风险单位继续存在，然而将损失的法律责任转移给自己以外的第三者（保险业除外）控制型风险转移与损失控制不同的是，损失控制直接对风险所致的损失频率和幅度加以改善，而此风险转移技术将风险转移给别人而间接达成减低损失频率和减小损失幅度的目的3、保险转移保险是指投保人根据合同约定，向保险人支付保险费，保险人对于合同约定的可能发生的事故因其发生所造成的财产损失承担赔偿保险金责任，或者当被保险人死亡、伤残、疾病或者达到合同约定的年龄、期限时承担给付保险金责任的商业保险行为。

采用保险方式，一方面，风险转移到保险公司之前，投保人必须履行其义务，有责任缴纳保险金另一方面，当损失出现时，保险公司将会代替投保人承受因风险变化所带来的损失四）风险承受风险承受是指企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略风险承受的前提是自留风险可能导致的损失比转移风险所需要的费用小风险承受是最省事的风险规避方法，在许多情况下也是最省钱的但企业也应考虑到，若仅从降低成本、节省费用出发，将风险承受作为一种主动积极的方式应用时，可能会由于风险意外扩大，而使企业面临严重的损失后果九、风险应对概述我国《企业内部控制基本规范》第二十五条规定：企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失风险应对就是在风险评估的基础上，针对企业所存在的风险因素，根据风险评估的原则和标准，运用现代科学技术知识和风险管理方面的理论与方法，提出各种风险解决方案，经过分析论证与评价从中选择最优方案并予以实施，来达到降低风险目的的过程。

风险应对可以从改变风险后果的性质、风险发生的概率和风险后果3个方面提出多种策略，对不同的风险可用不同的处置方法和策略企业所面临的各种风险都可以综合运用各种策略进行处理《企业内部控制基本规范》第二十六条规定：企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制十、组织架构在我国内部控制框架中，组织架构、发展战略、人力资源、社会责任和企业文化均属于企业层面的控制（环境控制或基础控制），其风险及应对有别于业务层面的控制（应用控制）一）组织架构的内涵及风险应对1、组织架构影响因素分析2010年，五部委联合发布了《企业内部控制配套指引》18个《企业内部控制应用指引》（简称应用指引）中有5个属于企业层面的内部环境类指引，包括组织架构、发展战略、人力资源、社会责任和企业文化应用指引中内部环境类指引与基本规范中内部环境构成因素一一对应，同时，丰富了基本规范的内涵并提升了我国内部环境构成因素体系的层次组织架构指引认为组织架构是一项制度安排，明确了股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求，主要包括治理结构和内部机构设置。

机构设置与权责分配互为因果，内部审计本身就属于组织的内部机构，因此，组织架构应包括治理结构、机构设置、权责分配和内部审计四个因素在治理结构上，将股东大会纳入内部环境范畴（如发展战略方案需经股东会批准实施）内部环境类指引紧扣发展战略做文章，企业要实施发展战略，必须要有科学的组织架构，履行一定的社会责任，配置合理的人力资源，形成积极向上的企业文化从发展战略角度看，企业的根本目的不是利润最大，也不仅仅是企业价值最大，而是更广义的社会责任最大企业应履行社会责任，实现战略目标2、组织架构的主要风险组织架构的风险主要来自两方面1）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能发生经营失败（2）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失，运行效率低下3、组织架构风险的主要应对措施针对以上风险采取的主要应对措施有以下几个1）企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡机制同时企业在重大决策、重大事项、重要人事任免及大额资金支付业务等（即通常所说的“三重一大”）方面，应当按照规定的权限和程序实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策意见。

2）企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制3）企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求4）拥有子公司的企业，应当建立科学的投资管控制度，通过合法有效的形式履行出资人职责、维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项对子公司控制一直是企业集团层面关注的一个重要问题，组织架构应用指引在综合调研的基础上提出此项要求，对实务操作具有重要指导作用二）治理结构公司制企业中股东大会（权力机构）、董事会（决策机构）、监事会（监督机构）、总经理层（日常管理机构）这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但并不能满足内部控制对企业组织结构的要求，内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。

《企业内部控制基本规范》第十四条规定：企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制因此，企业应当根据国家有关法律法规，结合企业自身股权关系和股权结构，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序；确保决策、执行和监督相互分离、有机协调；确保董事会、监事会和经理层能够按照法律、法规和企业章程的规定行使职权企业应当在企业章程中规定股东大会对董事会的授权原则，授权内容应当明确具体三）机构设置及责权分配任何企业要达成其整体目标，必须构建一定的组织机构企业的组织机构提供了计划、执行、控制和监督活动的框架，确立了适当的沟通和协调渠道，保证了组织中成员具有与其所履行职责相适应的知识、经验和能力对于企业而言，要根据公司的具体发展战略确定组织结构《企业内部控制基本规范》第十四条要求企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权力与责任落实到各责任单位组织机构是通过提供完整的架构作用于组织实现其目标的能力；是规定组织内部责任与授权的线型结构；是确认责任分配和授权的关键领域；功能是确认报告路径：机构设置必须覆盖计划、执行、控制、监督等组织活动的全部，其中，控制与监督的区别是，控制是保证正确执行计划的组织安排，而监督是控制有效的组织安排；组织结构设计的哲学意义是“是什么”“做什么”“如何做”；机构设置要保证合理的流水线模式，部门设置少一个不够用、多一个又冗余，部门功能必须是线型的、支持的，而非拦截的。

关键回答三个问题：所有的事是否都有人做？行为者是否充分授权行事？所有行为是否有人承担责任？组织结构设计不确定：对权力定义不清或定义错误，导致权力的涣散权力与责任不对称，权力结构不稳定，权力成为公开招标物导致权力者互相冲突和耍政治手腕企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权力与责任落实到各责任单位企业应当通过编制内部管理手册，使全体员工了解内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权按照基本规范的要求，机构设置及内控职责分工如下：（1）监事会对董事会建立与实施内部控制进行监督2）监事会对董事会建立与实施内部控制进行监督3）经理层负责组织领导企业内部控制的日常运行企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作4）审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力四）内部审计内部审计是公司内部的一种独立客观的监督、评价和咨询活动，通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议，促进改善公司运行的效率效果、实现公司发展目标。

企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告十一、发展战略企业发展战略是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制订并实施的长远发展目标与战略规划制订明确、稳定、符合实际的发展战略可以防止公司盲目发展、过度扩张或发展滞后企业作为市场经济的主体，要想求得长期生存和持续发展，关键在于制订并有效实施适应外部环境变化和自身实际情况的发展战略发展战略主要是由企业的最高层制订，经过战略议题分析，集团战略制订，事业部战略制订，战略质询、审批、公布再到战略实施和最后的反馈控制，每一个环节都由战略制订者根据企业自身的情况客观地分析制订企业还应针对战略实施过程进行动态监控与报告，并建立、健全战略评估制度一个现代企业，如果没有明确的发展战略，就不可能在当今激烈的市场竞争和国际化浪潮冲击下求得长远发展一）发展战略阶段为了加强对企业发展战略规划的内部控制，明确发展战略的整个流程，企业可以将发展战略规划的程序大致划分为战略制订、战略实施两个大的阶段，其中战略实施中包含了实施后的战略评估与调整。

发展战略是公司围绕主经营业务，在对现实状况和未来形势进行综合分析和科学预测的基础上，制订并实施的具有长期性和根本性的发展目标与战略规划1、战略制定阶段一个正确的战略形成需要企业先提出一个合理的战略目标企业应当在充分调查研究、科学分析预测和广泛征求意见的基础上制订发展目标企业在制订发展目标的过程中，应该综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素根据上述因素以及企业管理层人员的经验和专业知识拟定出一个合理的战略目标企业应当根据发展目标制订战略规划战略规划应当明确发展的阶段性和发展程度，确定每个发展阶段具体目标、工作任务和实施路径也就是说，战略对于企业的指导是一个过程，而不是企业一下子就能达到战略所要求的目标所以这个过程需要一个完整、明确的规划企业应当在董事会下设立战略委员会，或指定专门机构负责发展战略管理工作，履行相应职责战略委员会成员应当具有较强的综合素质和实践经验，其任职资格应当符合有关法律法规的规定董事会应当严格审议战略委员会提交的发展战略方案，如发现重大问题，应责成战略委员会对方案进行调整调整后的方案重新审议，直至通过，并上报股东大会。

最后经由股东大会批准实施2、战略实施阶段企业应当根据发展战略，制订年度工作计划，编制全面预算，将年度目标分解、落实；同时，完善发展战略管理制度，确保发展战略有效实施企业应当重视发展战略的宣传工作，通过内部各层级会议和教育培训等有效方式，将发展战略及其分解落实情况传递到内部各管理层级和全体员工让全体员工接受、认可，甚至形成一种企业文化由于经济形势、产业政策、技术进步、行业状况以及不可抗力等因素发生重大变化，需要对发展战略做出调整的，应当按照规定权限和程序调整发展战略二）发展战略的主要风险企业应当明确发展战略面临的主要风险，以及这些风险可能导致的后果1）缺乏明确的发展战略或发展战略实施不到位，导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力2）发展战略过于激进，脱离企业实际能力或偏离主业，导致企业过度扩张、经营失控甚至失败3）发展战略频繁变动，导致企业资源严重浪费，最后危及企业的生存和持续发展三）发展战略风险的应对措施针对上述风险及影响，企业采取的应对措施包括以下几方面的内容1）企业健全组织机构，在董事会下设立战略委员会，或指定专门机构负责发展战略管理工作同时，对战略委员会的成员素质、工作规范也提出相应要求。

2）应在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标，而不是靠拍脑袋，盲目制定发展战略在制定目标过程中，应综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素3）强调战略规划应当根据发展目标制定，明确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径4）董事会从全局性、长期性和可行性等维度，严格审议战略委员会提交的发展战略方案，之后再报经股东（大）会批准实施5）从抓实施的角度，要求企业根据发展战略，制订年度工作计划，编制全面预算，将年度目标分解、落实，以确保发展战略的有效实施6）设立发展战略后实施评估制度，要求战略委员会加强对发展战略实施情况的监控，定期收集和分析相关信息对发现明显偏离发展战略的情况，要求及时报告；确需对发展战略做出调整，企业要遵循规定的权限和程序调整发展战略十二、内部环境如何发挥作用内部环境经常被称为公司治理的一部分，并且被视为是将那不同的相关活动维系在一起的“胶水”也许你正在某种环境中工作，已经识别出无法很好开展工作的有关活动例如，一个部门可能急需某种产品，但无法立刻得到，因为在适当的采购计划文书完成审批之前，采购部门不能订购相关产品。

我们举一个简单的例子来说明内部环境是如何为保证所有团队在一起工作并为完成组织使命提供基础的案例中是一个零售组织典型的商业循环该组织采购商品用于销售；采购的商品销售给客户；开发票给客户；然后回收资金收回的资金再次被用于重复这样的循环周期内部环境有助于保证为相关的但又各自不同的活动建立重叠的控制目标例如，某一重叠的控制目标包括为销售给客户的所有物品开出发票，并且不再采购那些客户不需要的物品十三、控制的层级制度内部控制不是在真空中存在的，它涉及人员、政策和程序，是对组织自身的一种控制环境内部控制是主观的，因为它依赖于管理层认为控制有多重要，是否选择有效的战略，如何监督和实施控制内部控制的每一个有意义的检查都必须考虑环境由管理层建立的内部环境会对一个组织的控制程序与技术的有效性产生重要的影响控制环境的形成会受到很多因素的制约有些因素清晰可见，如正式的公司政策声明或内部审计职能有些因素是无形的，如职业胜任能力和人员的诚实性《国际注册内部控制师通用知识与技能指南》把内部控制视为一个三级分类的控制层级制度在层级制度的顶端是内部环境，即“公司治理”另外两个层级控制措施的执行与效果在内部环境控制之下是系统控制，最底层的是交易处理控制。

控制措施的有效性是从内部环境开始向下移动的换句话说，如果环境控制是薄弱的，其他层级的控制将不会有效例如，如果管理层不创建一个希望员工能保护数据安全性的环境，员工或许不关心保存密码的重要性在一个松散的内部环境控制中，个人可能把密码标签贴在计算机终端上如果对系统的控制措施是薄弱的，交易处理的控制措施将同样是薄弱的有效地控制是董事会和组织中每个员工的责任管理层创建一个内部环境是很重要的，在这一环境中每个员工都认为控制是很重要的，并且成为控制的积极参与者，以确保那些需要控制的事项真正得到控制执行管理层有责任创建有益于控制措施实施、监督控制和处罚违反控制行为的环境在创建控制措施并确保控制措施得到贯彻执行方面，管理层必须提出有效的内部环境控制的属性和管理层的职责董事会负有监督内部环境的责任，并。

点击阅读更多内容