口腔修复材料公司治理与内部控制规划

泓域/口腔修复材料公司治理与内部控制规划口腔修复材料公司治理与内部控制规划目录一、 项目简介 3二、 发展与创新阶段 7三、 学习与借鉴阶段 9四、 内部控制的演进 10五、 内部控制的起源 24六、 举报投诉制度 26七、 举报人保护制度 30八、 信息控制 33九、 沟通控制 43十、 公司治理与公司管理的关系 47十一、 公司治理模式趋同论 48十二、 英美模式的产生 54十三、 英美模式的主要内容 55十四、 公司基本情况 60十五、 SWOT分析说明 62十六、 项目风险分析 72十七、 项目风险对策 75十八、 组织机构、人力资源分析 77劳动定员一览表 78十九、 法人治理 79一、 项目简介（一）项目单位项目单位：xxx（集团）有限公司（二）项目建设地点本期项目选址位于xx，占地面积约44.00亩项目拟定建设区域地理位置优越，交通便利，规划电力、给排水、通讯等公用设施条件完备，非常适宜本期项目建设三）建设规模该项目总占地面积29333.00㎡（折合约44.00亩），预计场区规划总建筑面积42127.33㎡其中：主体工程28838.32㎡，仓储工程5364.89㎡，行政办公及生活服务设施5553.78㎡，公共工程2370.34㎡。

四）项目建设进度结合该项目建设的实际工作情况，xxx（集团）有限公司将项目工程的建设周期确定为12个月，其工作内容包括：项目前期准备、工程勘察与设计、土建工程施工、设备采购、设备安装调试、试车投产等五）项目提出的理由1、不断提升技术研发实力是巩固行业地位的必要措施公司长期积累已取得了较丰富的研发成果随着研究领域的不断扩大，公司产品不断往精密化、智能化方向发展，投资项目的建设，将支持公司在相关领域投入更多的人力、物力和财力，进一步提升公司研发实力，加快产品开发速度，持续优化产品结构，满足行业发展和市场竞争的需求，巩固并增强公司在行业内的优势竞争地位，为建设国际一流的研发平台提供充实保障2、公司行业地位突出，项目具备实施基础公司自成立之日起就专注于行业领域，已形成了包括自主研发、品牌、质量、管理等在内的一系列核心竞争优势，行业地位突出，为项目的实施提供了良好的条件在生产方面，公司拥有良好生产管理基础，并且拥有国际先进的生产、检测设备；在技术研发方面，公司系国家高新技术企业，拥有省级企业技术中心，并与科研院所、高校保持着长期的合作关系，已形成了完善的研发体系和创新机制，具备进一步升级改造的条件；在营销网络建设方面，公司通过多年发展已建立了良好的营销服务体系，营销网络拓展具备可复制性。

参考美国、日本、韩国的齿科消费情况，我国人均口腔消费支出与发达国家仍有较大差距2020年，美国、日本、韩国的人均口腔消费均超过1,500元人民币，而我国人均口腔消费仅为136元，远低于发达国家人均口腔消费水平伴随我国居民收入水平的逐步抬升，预计我国口腔医疗市场将迎来黄金期六）建设投资估算1、项目总投资构成分析本期项目总投资包括建设投资、建设期利息和流动资金根据谨慎财务估算，项目总投资14807.94万元，其中：建设投资12255.45万元，占项目总投资的82.76%；建设期利息121.77万元，占项目总投资的0.82%；流动资金2430.72万元，占项目总投资的16.41%2、建设投资构成本期项目建设投资12255.45万元，包括工程费用、工程建设其他费用和预备费，其中：工程费用10870.69万元，工程建设其他费用1053.94万元，预备费330.82万元七）项目主要技术经济指标1、财务效益分析根据谨慎财务测算，项目达产后每年营业收入30100.00万元，综合总成本费用23959.17万元，纳税总额2911.85万元，净利润4491.95万元，财务内部收益率22.71%，财务净现值7322.88万元，全部投资回收期5.39年。

2、主要数据及技术指标表主要经济指标一览表序号项目单位指标备注1占地面积㎡29333.00约44.00亩1.1总建筑面积㎡42127.33容积率1.441.2基底面积㎡16426.48建筑系数56.00%1.3投资强度万元/亩270.882总投资万元14807.942.1建设投资万元12255.452.1.1工程费用万元10870.692.1.2工程建设其他费用万元1053.942.1.3预备费万元330.822.2建设期利息万元121.772.3流动资金万元2430.723资金筹措万元14807.943.1自筹资金万元9837.703.2银行贷款万元4970.244营业收入万元30100.00正常运营年份5总成本费用万元23959.17""6利润总额万元5989.27""7净利润万元4491.95""8所得税万元1497.32""9增值税万元1262.97""10税金及附加万元151.56""11纳税总额万元2911.85""12工业增加值万元9746.65""13盈亏平衡点万元11317.25产值14回收期年5.39含建设期12个月15财务内部收益率22.71%所得税后16财务净现值万元7322.88所得税后二、 发展与创新阶段2006年至今为我国企业内部控制的发展与创新发展阶段。

随着2002年《SOX法案》的颁布，各国相应出台了有关内部控制的相关政策，我国也不例外2006年6月，国资委发布了《中央企业全面风险管理指引》2006年7月15日，由财政部发起成立了全国内部控制标准委员会；2006年7月，为加强上市公司内部控制，促进上市公司规范运作和健康发展，保护投资者合法权益，上海证券交易所发布了《上海证券交易所上市公司内部控制指引》；2006年9月，深圳证券交易所发布了《深圳证券交易所上市公司内部控制指引》；2007年3月，财政部内部控制标准委员会发布了《企业内部控制基本规范》和17项《企业内部控制基本规范——具体规范》的征求意见稿2008年6月，财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范发布会暨首届内部控制高层论坛，会议发布了《企业内部控制基本规范》同月，还发布了企业内部控制基本规范相关配套指引的征求意见稿2010年4月，五部委联合发布《企业内部控制基本规范及配套指引》，包括内部控制应用指引、内部控制评价指引、内部控制审计指引根据《企业内部控制基本规范》相关规定，内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。

内部控制的目标是合理保证经营的合法合规，资产安全，财务报告及相关信息的真实完整，提高经营的效率、效果，促进企业实现发展战略内部控制的构成包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素这些都参照了国际上已颁布的关于内部控制的相关法律法规同时《企业内部控制基本规范》还规定了建立和实施内部控制的基本原则，即全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则配套指引还规定自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行：在此基础上，择机在中小板和创业板上市公司施行同时，鼓励非上市大中型企业提前执行执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，并出具审计报告目前，我国内部控制的内容和结构呈现以下特点：内部控制内容范围广泛，不仅包括会计控制也涉及管理控制和风险管理，行业特色比较明显；内部控制结构不尽相同，主要呈现出三种类型，第一种是实务型，直接针对内部控制的实务操纵进行规范，第二种是框架型结构，采用内部控制要素的形式构建内部控制的整体框架体系，类似于COSO的内部控制框架，第三种是框架与实务结合型，既描述内部控制的框架结构，又描述内部控制的实务操作，两者相结合；在构成要素结构上，基本上都与COSO内部控制框架的结构和要素相同，但具体内容上又存在一些差别。

三、 学习与借鉴阶段从我国内部控制发展与形成过程可以看出，我国内部控制理论与实践起步较晚、进展不顺利我国内部控制建设过程是学习与借鉴的过程，是不断学习国际内部控制先进理念、借鉴国外内部控制成功经验的过程在这一过程中，发挥主导作用的部门主要有全国人民代表大会常务委员会（立法机构）、财政部（主管全国会计工作）、中国注册会计师协会（注册会计师的行业组织）、中国证券监督管理委员会和银监会（之前为人民银行）除全国人民代表大会常务委员会制定的《会计法》为国家法律之外，其他部门颁布的内部控制法规都具有非常强的行业特色和部门特色主要表现在：财政部颁布的内部控制法规主要针对全国会计人员和企业（如内部会计控制规范）；中国注册会计师协会颁布的内部控制法规主要是为注册会计师的审计业务服务；中国证监会发布的内部控制指引、规则主要是针对证券公司的；中国人民银行以及银监会发布的内部控制指导原则、指引主要是针对商业银行的从2001年财政部颁布《内部会计控制规范—一基本规范》开始，截至2005年12月，我国相关部门正式颁布的关于内部控制的法规与指南汇总这一阶段的内部控制规范与实践，主要强调内部会计控制，内部控制为会计、审计服务。

以《内部会计控制规范》为例，该规范整个制订过程中存在的问题是：控制理念比较落后，只是强制会计控制问题而忽视了管理控制；制订的组织机构不是很完整，主要是财政部和会计界在制订，其他领域参与者很少；控制规范的体系性、完整性比较差只有11个控制规范，而且也没有相应的实施指南等；时间太长，没有计划性，影响了实施效果；制订程序也比较差，不严密、不科学四、 内部控制的演进内部控制起源于内部牵制，其发展演进过程经历了内部控制制度、制度分野、内部控制结构、内部控制整体框架和企业风险管理框架5个阶段一）内部控制制度1、内部会计控制概念的提出1929～1933年的世界性经济危机后，美国于1934年颁布了《证券交易法》，在《证券交易法》中首先提出了“内部会计控制”的概念1936年，美国会计师协会在其发布的《注册会计师对财务报表的审查》公告中首次提出审计师在制定审计程序时，应审查企业的内部牵制和控制并且从财务审计的角度把内部控制定义为“保护公司现金和其他资产，检查账簿记录事务的准确性，而在公司内部采用的手段和方法”这是第一次对内部控制进行定义，这里明确规定了内部控制只是作为“会计资料准确性”的保障措施这反映了作为会计职业界对内部控制工作应解决问题的关注层面，与人们对“内部控制”的理解及当时内部控制的实务是有一定的差距的。

因此，这一定义未能为人们所广泛接受，也未引起会计职业界对内部控制应有的重视2、夯实在评价内部控制基础上的抽样审计1939年1月，美国证券交易委员会对罗宾斯公司审计案做出了结论，指出当时的审计标准（即《注册会计师对财务报表审查》）是不适当的，审计方法的使用连表面的目的也达不到这个结论促使美国注册会计师协会建立了审计程序委员会，并于1939年5月提出了名为《审计程序的扩展》的文件，对当时的审计程序做了修订，其中把强化内部控制制度审计作为主要内容1941年，美国社会各界已普遍意识到企业内部控制的重要性，认为企业经营范围和规模的变化使得管理必须依靠大量的反映经济活动的分析资料和报告；健全的内部控制有助于防止工作人员出现差错，减少发生不合规现象的可能性；审计部门在审计费用的严格限制下，如果不依靠客户的内部控制系统，那么对大部分企业进行审计是不可能的在理论上明确了内部控制的主要目标是“防错纠弊”，没有内部控制的企业就不具备基本的审计条件，第一次把内部控制作为现代审计的一个必要前提但是，有关内部控制至此尚未形成一个权威的定义3、历史上第一个被广泛接受的内部控制权威定义1949年，美国注册会计师协会所属的审计程序委员会，在其公布的《内部控制：一个协调的系统要素及其对管理层和独立公共会计师的重要性》的研究报告中，对内部控制做了专门的定义。

这个定义成为人类社会有史以来第一个被广泛接受的权威定义，内部控制包括组织的计划和企业为了保护资产、检查会计数据的准确性和可靠性、提高经营效率以及促使遵循既定的管理方针等所采用的所有方法和措施该报告是从企业经营管理的角度来定义内部控制的，内容不局限于与会计和财务部门直接有关的控制，还包括预算控制、成本控制、定期报告、统计分析、培训计划和内部审计以及技术与其他领域的经营活动，从理论上给出了内部控制的宽泛内涵该定义得到了公司经理们的普遍赞同，也就是说，审计界给出的内部控制定义从当时管理者的角度来说也是适用的然而，1949年美国注册会计师协会把内部控制定义为保证目标实现的方法和措施，这是一个理想化的概念，这个定义把内部控制看成万能的工具，即只要实施了内部控制，目标就一定能实现另外，在财务报表审计中，注册会计师应对内部控制检查到什么程度，该定义在这些方面提供的指导却很少，使得很多从业者对这个近乎无限的内部控制定义感到无所适从二）制度分野1、内部控制分为会计控制和管理控制审计界提出内部控制概念的目的是为了满足财务审计的需要，与管理人员对内部控制的理解不一致，因此，审计人员认为1949年的定义内容过于宽泛，超出了他们评价被审计单位所应承担的责任。

迫于这种压力，也为了满足审计人员在审计中对内部控制进行检查的业务需要，美国注册会计师协会所属的审计程序委员会于1953年颁发了《审计程序说明》第19号，对内部控制定义做了正式修正，把内部控制分为会计控制和管理控制，会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此相关的方法和程序构成会计控制包括授权与批准制度，记账、编制财务报表、保管财务资产等职务分离，财产的实物控制以及内部审计等控制管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻或与此直接有关的方法和程序构成管理控制的方法和程序通常只与财务记录发生间接的关系，包括统计分析、时效研究、经营报告、雇员培训计划和质量控制等把内部控制分为会计控制和管理控制，目的是为了明确注册会计师审查企业内部控制的范围2、注册会计师应主要关注会计有关控制1963年，审计程序委员会在《审计程序说明》第33号中进一步指出，“注册会计师应主要检查会计控制会计控制一般对财务记录产生直接的、重要的影响，审计人员必须对它做出评价管理控制通常只对财务记录产生间接影响，因此审计人员可以不对其做评价，只是在足以影响财务记录可靠性时才予以审计。

这次修正后的内部控制定义，大大缩小了注册会计师的责任范围，但对于“会计控制”的保护资产和保证财务记录可靠性仍然缺乏统一的认识为了消除这种认识分歧带来的对审计责任问题的模糊认识，1972年，美国注册会计师协会对会计控制又提出并通过了一个较为严格的定义：会计控制是组织计划和所有与下面直接相关的方法和程序：保护资产，即在业务处理和固定资产处置过程中，保护资产免遭过失错误、故意致错或舞弊造成的损失；保证对外界报告的财务资料的可靠性3、对会计控制和管理控制的重新定义1973年的《审计程序公告第1号》对会计控制和管理控制再一次做了重新定义：“管理控制包括但不限于组织的计划以及与导致管理层批准交易的决策过程相关的程序和记录交易的批准是一种直接和实现组织目标的责任相联系的管理职能，是对经济业务进行会计控制的起点会计控制由组织的计划以及与保障资产和财务记录的可靠性相关，为以下各点提供合理保证而制定的程序和记录组成：经济业务的执行符合管理部门的一般授权或特殊授权的要求；经济业务的记录必须有利于按照公认会计原则或其他标准编制财务报表落实资产责任：只有在得到管理部门批准的情况下，才能接触资产；按照适当的间隔期限，将财产的账面记录与实物资产进行对比，一经发现差异，应采取相应的补救措施。

值得注意的是，内部控制以交易为主要对象，使内部控制具有可操作性与1949年的定义相比，这些定义过于消极，仅仅从财务审计的实际出发，范围过于狭隘，把过多的精力和目标放在了查错防弊上，人为地限制了内部控制理论与实践的发展，最终的结果是审计师与管理者对内部控制的认识和理解出现了分歧和差异，分化出了审计视角的内部控制和管理视角的内部控制，这一阶段即为制度分野阶段三）内部控制结构随着内部控制活动在实践中的运用，人们发现内部控制并非神丹妙药20世纪70年代初，美国政府在对水门事件的调查中，发现某些公司为了做成贸易和保持贸易关系，竞贿赂某些外国政府官员和政党而为了掩盖这些不合法支出，他们往往伪造会计记录，或另设账外记录有鉴于此，1977年后，美国政府就将“每个公司必须设计和建立有效的内部控制制度”以立法形式在《反国外行贿法》中予以颁布这是第一次强制性地将建立内部控制制度纳入法律管辖的范围同时，审计人员在短时间内，要对被审计单位的财务状况和经营情况做出正确评价，也需要依赖被审计单位相关的内部控制制度否则，审计风险将难以控制因此，审计与内部控制联系日趋紧密1985年，反虚假财务报告委员会（通常称为Treadway委员会）成立，1987年，Treadway委员会提交了研究报告，在报告中指出防止虚假财务报告需从报告产生的环境着手，即从最高管理当局开始；所有上市公司需保持良好内部控制，以发现和防范虚假财务报告行为。

该委员会还建议，其赞助机构成立COSO委员会，专门研究内部控制问题四）内部控制整体框架20世纪90年代，随着美国财务破产事件发生概率的增加和财务舞弊调查的不断深入，内部控制研究取得了新的进展1992年，COSO委员会提出《内部控制一整体框架》，并于1994年进行了修订这就是著名的“COSO报告（简称COSO92）”，它被称为是最广泛认可的关于内部控制整体框架的国际标准在COSO委员会出具这个报告之前，不同的人对内部控制有不同的见解，由于内部控制内涵的广泛性和多样性使得难以对内部控制有一个公认的了解，这就造成了经商人员、立法者、监管机构和其他有关方的困惑，同时导致企业由于沟通有误和期望不同产生问题所以COSO内部控制框架是建立在考虑管理层和其他方面的需求和期望的基础上，把对内部控制不同的概念整合到一个框架当中，从而达成对内部控制的共识，确定内部控制的构成要素，试图提供一个标准，无论公司规模大小、公众的还是私人的、营利的还是非营利的业务和企业，都可以参考此标准评估他们的控制系统及如何改进，从而帮助公司和企业管理层更好地控制组织的活动1、内部控制定义与目标COSO认为“内部控制是由董事会、管理当局和其他职员实施的一个过程，旨在为经营的效率和效果、财务报告的可靠性、相关法令的遵循提供合理保证”。

内部控制服务于很多重要目标，人们要求越来越好的内部控制系统和内部控制的相关报告内部控制也越来越被视为解决各种潜在问题的有效方法COSO报告指出，内部控制是为实现以下三类目标提供合理保证的：经营的效率和效果、财务报告的可靠性、相关法令的遵循性第一类目标针对企业的基本业务目标，包括业绩和盈利目标及资产的安全性；第二类目标关注于企业公开发布的财务报告，包括中期和简要财务报表；第三类目标涉及企业所适用的法律及法规的遵循相互有别、又有交叉的分类满足了不同的需要，表明了不同执行人员的直接责任，此分类也便于区分从每一类内部控制中得到我们所期望的东西达到这些目标在很大程度上依赖于外部各方标准的设定，取决于企业如何控制其内部行为，但是经营目标的取得，并不完全在公司的控制范围之内，内部控制不能避免错误地判断或决定或者可能导致经营目标无法实现的外部事件对于这些目标，内部控制系统只有在管理层和董事会在监督职责的范围内及时地指导公司向目标迈进的时候，才能提供合理的保证内部控制是对企业的整个经营管理活动进行监督与控制的过程，企业的经营活动是永不停止的，企业的内部控制过程也因此不会停止企业内部控制不是一项制度或一个机械的规定，而是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。

2、内部控制因素内部控制包括5个互相关联的构成要素，它们来自管理层经营企业的方式，并贯穿于管理过程之中这些构成要素包括控制环境、风险评估、控制活动、信息与沟通和监控1）控制环境所有业务的核心都是人员及他们开展经营所处，的环境，包括员工的诚实和职业道德、员工的胜任能力、董事会及监事会的参与、组织机构、权力和责任的规定等它是由管理层倡导的一种正直、伦理道德风气、管理宗旨、经营方式和人力资源政策，使职员自觉管理其活动和履行他们的责任管理部门应通过文字描述和范例以及采取相应的监控措施来影响全体职员，以提高他们的伦理道德水准控制环境是所有事情赖以生存的基础2）风险评估企业为实现其目的而确认分析相关风险，已构成进行风险管理的基础通常风险来自经营环境的变化、新员工聘用、采用新的信息系统、新技术的应用、企业改组、新会计方法的采用等管理当局应对目标完成期间与企业相关的风险进行识别、预见，并采取相应避险的管理控制措施风险评估应测定风险对货币项目及对会计主题形象或信誉方面的重要性、风险发生的概率、如何减轻风险至可以承受的水平不过，内部控制只能防范风险，不能转嫁、承担、化解或分散风险所以必须设定目标，整合销售、生产、营销、财务和其他活动，以便使组织协调一致地运行。

3）控制活动控制活动是为实现内部控制目标提供合理保证而制定的各项政策、程序和规定，对所确认的风险采取必要措施，以保证单位目标实现的程序它包括业绩评价、信息处理控制、实物控制、职务分离等4）信息与沟通围绕在这些活动周围的信息与沟通系统，能及时反馈各程序执行过程中遇到的问题，使员工能够获得和交换那些执行、管理和控制其经营活动所需要的信息，从而保证控制活动的正常运行5）监控监控是为保证内部控制的适当性和有效性而进行的日常和定期监督、检查根据内部控制具体实施的机制，内部控制通常又可以分为两个层面：第一个层面是企业的管理制度，又称为“管理控制系统”，它是建立在公司治理基础上，通过检查和改进有关管理政策和程序，有效控制企业运行，不断提高企业的经营效率和效益，实现投资人投入资本的保值增值；第二个层面是企业的会计制度，又称为“会计控制系统”，通过适当的业务权限设置和授权、准确的会计记录、及时的实物盘点，以及公允的报告等程序和方法，保证企业经营和财务状况信息的可靠性，保障投资人财产安全这一层内部控制制度可以认为是最具体的控制因而会计信息的存在与有效传递，影响到控制制度有效性地发挥五）企业风险管理框架1、产生背景自COSO92发布以来，内部控制框架已经被世界上许多企业采用，但理论界和实务界也纷纷对该框架提出改进建议，认为其对风险强调不够，使得内部控制无法与企业风险管理相结合。

因此，2001年，COSO开展了一个项目，委托普华永道开发一个对于管理当局评价和改进他们所在组织的风险管理的简便易行的框架正是在开发这个框架的期间，2001年12月，美国能源巨头安然公司突然申请破产保护，此后上市公司和证券公司丑闻不断，特别是2002年6月的世界通信公司会计丑闻事件，彻底打击了投资者对资本市场的信心安然、环球电讯、世界通信、施乐等一批企业纷纷承认存在财务舞弊在国际资本市场上引起轩然大波，这些失败案例在很多方面值得深思例如，管理层僭越控制、利益冲突、缺乏职责分离、透明度不足或欠缺、风险管理未加统一协调、董事会监督无效，以及会导致职能失调、渎职行为的薪酬结构失衡等，都会对企业产生影响2、基本概念2003年，COSO发布了名为《企业风险管理框架（草稿）》的报告，来征求意见2004年9月，COSO委员会在借鉴以往有关内部控制研究报告的基本精神的基础上，结合《萨班斯一奥克斯利法案》在财务报告方面的具体要求，正式公布《企业风险管理—整体框架》，简称ERM框架或COSO04ERM框架在COSO92的基础上进行了适当的补充和拓展，主要包括概要、ERM的意义、框架概览、要素、局限性、相关责任等章节。

该报告指出，企业风险管理是一个过程，由一个企业的董事管理当局和其他人员实施，应用于战略制定并贯穿于企业当中，旨在识别可能影响企业的潜在事项，并将风险控制在企业可接受范围之内，为企业目标的实现提供合理保证这个定义反映了几个基本要素，它表明企业风险管理是：（1）一个过程，它持续地流动于主体之内；（2）由组织中各个层级的人员实施；（3）应用于战略制订；（4）贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；（5）旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；（6）能够向一个主体的管理当局和董事会提供合理保证（7）力求实现一个或多个不同类型但相互交叉的目标这个定义比较宽泛它抓住了对于公司和其他组织如何管理风险至关重要的概念，为不同组织形式、行业和部门的应用提供了基础第一，突出“企业”的重要性内部控制是企业自己的事，是企业内部积极的需求，而非外部强加的压力，它直接关注特定主体既定目标的实现，并为界定企业风险管理的有效性提供了依据，这是对COSO92内部控制思想的重大突破；第二，突出“风险”的重要性强调风险管理理念、风险文化、风险偏好（风险承受度），用于制定战略之中，并贯穿于整个企业；第三，突出“管理”的重要性。

实现从控制到管理的转变，引入战略观念，同时提升了董事会在战略决策中的地位和作用3、基本框架企业风险管理包含四大目标、八个相互关联的构成要素以及贯穿于企业的各个层级和单元应用在主体既定的使命或愿景范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标企业风险管理框架力求实现主体的战略、经营、报告和合规四种类型的目标企业风险管理的构成要素来源于管理当局经营企业的方式，并与管理过程结合在一起，包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控这8个要素并不是简单的并列关系，它们之间存在着一定的逻辑关系，内部控制是企业风险管理的前提；从目标设定到事项识别、风险评估、风险应对、控制活动，是一个风险管理的过程；信息与沟通、监控是企业风险管理的基础根据COSO的这份研究报告，内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一体系同时，对内部控制的要素的进一步细分和充实，使内部控制与风险管理日益融合，拓展了内部控制五、 内部控制的起源在人类社会经济发展的长河中，早已融入了内部控制的基本思想根据史料记载，远在公元前3600年前的美索不达米亚文化时代，就存在着极简单的内部控制实践。

例如，古埃及在法老统治时期，就设有监督官负责对全国各级机构和官吏是否忠实履行受托事项、财政收支记录是否准确无误等加以监督但是，由于社会生产力处于手工劳动阶段，技术水平低下，交通不便，人与人之间社会联系的成本高、有效性低，经济组织和社会活动一般以家庭为基本单位进行，规模小、结构简单因此，当时的管理是建立在个人观察、判断和直观基础上的传统经验管理，没有形成系统的管理理论，也不可能提出“内部控制”的概念，这一时期的内部控制实践仅仅是人们无意识的行为15世纪末，借贷复式记账法在意大利出现自此开始对管理钱、财、物的不同岗位进行分离设立，并利用其钩稽关系进行交互核对这种方法直到19世纪末期，都还一直被认为是保证所有钱物和账目正确无误的理想牵制方法20世纪初期，西方资本主义经济得到了较大发展，股份有限公司的规模不断扩大，生产资料的所有者和经营者相互分离一些企业在非常激烈的竞争中，逐步摸索出了一些组织、调节、制约和检查企业生产活动的办法，即按照人们的主观设想，建立内部牵制制度，以防范和揭露错误这种设想认为，两个或两个以上的人或部门，无意识地犯同样错误的可能性很小；两个或两个以上的人或部门，有意识地合伙舞弊的可能性也大大低于单独一个人或一个部门舞弊的可能性。

这个时期的内部控制主要以差错防弊、保证资产安全为目的，以钱、财、物三分管为主要控制理念按照这种设想建立起来的会计工作制度，就是内部牵制制度从内容上看，内部牵制主要包括四项职能：实物牵制，如把保险柜的钥匙交给两个或者两个以上的人保管，这样如果不同时使用两把以上的钥匙，保险柜就无法打开；物理牵制，如仓库的门不按正确的程序操作就打不开，甚至还会自动报警；分权控制，如把每项业务都分别由不同的人或者部门去处理，以预防舞弊或者错误的发生；簿记控制，如定期将明细账和总账进行核对作为一种管理制度，内部牵制几乎不涉及信息的真实性和工作效率的提高问题，因此，其范围和管理作用都比较有限到20世纪40年代末期，生产的社会化程度空前提高，所有权和经营权分离，股份有限公司迅速发展，市场竞争进一步加剧为了在激烈的竞争中生存发展，企业迫切需要在管理上采用更为完善、有效的控制方法为了适应股份日益分散的实际和保护社会公众投资者的利益，西方国家纷纷以法律的形式要求企业披露会计信息，这样对会计信息的真实性就提出了更高的要求因此，传统的内部牵制制度已经无法满足上述企业管理和会计信息披露的需要，现代意义上的内部控制的产生已经成为一种必然。

六、 举报投诉制度《企业内部控制基本规范》第四十三条规定：企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径举报投诉制度和举报人保护制度应当及时传达至全体员工投诉是信息沟通的重要手段之一，是信息自下而上沟通的重要形式企业员工处于经营活动的第一线，能够及时发现经营活动及内部控制实施过程中存在的不足、问题和缺陷以及舞弊行为，并能就完善内部控制体系提出合理化建议和改进意见为此，企业应当建立举报投诉制度，设置举报专线明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径一）投诉举报范围及管理职责归属1、投诉举报范围投诉举报范围主要包括以下几个方面1）收受贿赂或回扣；（2）将正常情况下可以使企业合法获利的交易事项转移给他人；（3）故意隐瞒、错报交易事项，使信息披露存在虚假记载、误导性陈述或重大遗漏；（4）贪污、挪用、盗窃企业资产；（5）伪造、变造会计记录或凭证，提供虚假财务报告；（6）泄露公司的商业机密、技术秘密；（7）董事、监事、经理及其他高管人员以权谋私；（8）其他损害公司经济利益或谋取不正当利益的经济行为以及使员工个人的正当利益受到损害的行为。

2、管理职责归属一般而言，企业内部审计、监察等部门是投诉及举报人保护的管理部门，具体职责如下1）负责管理投诉举报电话、电子邮箱，接收实名或匿名投诉举报，并根据需要公布投诉举报电话号码、电子邮箱、通信地址等；（2）书面记录举报内容并及时向管理层或董事会报告；（3）对接受的投诉举报进行调查并将调查结果向管理层或董事会报告；（4）对投诉举报和调查处理后的报告材料及时立卷归档二）投诉举报方式投诉举报人可以采用书面、电子邮件、电话等形式进行投诉举报投诉举报时应当说明事情的基本经过，被投诉举报对象的名称、地址、具体当事人、投诉举报人的姓名、联系方式、投诉举报人的具体投诉要求，并应同时提供投诉举报人利益或公司利益受到侵害的证据，以及与投诉举报事项相关的其他材料企业应提倡实名投诉举报凡实名投诉举报的，审计、监察部门将严格保密并以适当的方式将处理结果反馈给投诉举报人三）投诉举报处理程序投诉举报的处理程序主要包括以下几个方面1）投诉举报时投诉举报人应当如实提供情况，审计、监察部门接收工作人员应对投诉举报内容进行记录投诉举报人捏造事实伪造证据，利用投诉举报诬告、陷害他人的，应当承担相应的责任2）对涉及普通员工及中级管理人员（包括控股子公司管理层）的实名投诉举报，审计、监察部门自接到投诉举报后两个工作日内报总经理；对涉及普通员工及中级管理人员（包括控股子公司管理层）的匿名投诉举报，审计、监察部门进行初步评估后报总经理。

由总经理决定是否接受该投诉举报3）对投诉举报牵涉到公司高级管理人员的，审计、监察部门自接到投诉举报后一定（如两个）工作日内报公司董事会，由董事会决定是否接受该投诉举报董事会在接受投诉举报后，视需要可聘请外部审计师或其他机构协助调查4）接受投诉举报事项后，审计、监察部门对其展开调查，对涉及普通员工及中级管理人员（包括控股子公司管理层）的调查结果上报总经理并形成处理意见，对牵涉到高级管理人员的调查结果上报董事会并形成处理意见5）接受投诉举报事项后，审计、监察部门应在规定期限内将调查情况或处理结果告知投诉举报人具体分为以下几种情况①对属于职权范围内的，自收到举报后一定时期（如2个月）内，将调查情况或处理结果告知投诉举报人；逾期不能告知的，应当向投诉举报人说明原因②对不属于职权范围内的，自收到投诉举报后一定时期（如10日）内，将不予接受的原因告知投诉举报人，并告知受理机关；需要代转或送交有关部门办理的，应告知投诉举报人所转送部门和转办时间③投诉举报人未署真实姓名、地址，无法告知的，不适用前两款规定6）投诉举报人认为接收、办理投诉举报的工作人员与被投诉举报人是近亲属或有利害关系，可能影响举报事项客观、公正处理的，有权提出回避要求。

情况属实的，有关人员必须回避7）投诉举报人对处理结果有异议或多次投诉举报不予接受的，可以向董事会陈述意见，并由董事会在一定时期（如30日）内将办理情况答复投诉举报人七、 举报人保护制度1、举报人保护制度的主要内容企业应建立专门的举报人保护制度，如举报人信息的保密制度、举报人面临人身威胁与财产损失时的救济制度、用于补助与鼓励举报人的基金制度等主要包括以下内容1）妥善保管和使用举报材料，不得私自摘抄、复制、扣押、销毁举报材料；（2）严禁泄露举报人的姓名、部门、住址等情况；严禁将举报情况透露给被举报人或有可能对举报人产生不利后果的其他部门和员工；（3）调查核实情况时，不得出示举报材料原件或复印件，不得暴露举报人的身份；（4）对匿名的举报书信、材料及电话录音，不得鉴定笔迹和声音2、投诉举报过程中的违规行为及处理任何单位和个人不得干扰和妨碍办理投诉举报的工作人员查处投诉举报事项接收及办理投诉举报事项的工作人员，应遵守下列工作准则1）接收当面投诉举报应当在能够保密的场所进行，专人接谈，无关人员不得旁听和询问2）投诉举报信件的收发、拆阅、登记、转办、保管和面述或者电话举报的接待、接听、记录、录音等工作，应当严格遵循保密原则，严防泄露举报内容和遗失举报材料。

3）投诉举报材料不准私自摘抄和复制4）调查被投诉举报人或被投诉举报单位的情况时，应在做好保密工作、不暴露投诉举报人身份的情况下进行，不得出示投诉举报材料5）不得将本单位办理投诉举报的内部研究情况透露给投诉举报人，不得与无关人员谈论投诉举报内容6）不得扣压、隐匿或私自销毁投诉举报材料7）不得刁难、威胁投诉举报人建立举报人保护制度关键在于对于举报人的信息必须严格保密，控制知晓者的范围，并明确知晓者所承担的保密义务；当举报人遭到打击报复时，应该及时干预，并给予严格惩处当然，对借投诉或举报之名故意捏造虚假事实，诬告、陷害他人，或以投诉举报为名制造事端、干扰正常工作的，将依照有关规定严肃处理；构成犯罪的移送司法机关处理3、投诉举报人保护措施（1）保护投诉举报人应当遵循保密、奖励和其合法权益不受侵犯的原则2）各部门及子公司都必须正确对待投诉举报人依法举报的行为，不得以任何借口打击报复投诉举报人3）严禁将投诉举报人的姓名、单位、住址等有关情况和投诉举报内容透露给被投诉举报人和被投诉举报单位：被投诉举报人是单位负责人的，不得将投诉举报材料转给该负责人所在单位违反前款规定的，应追究相应的责任，经司法机关认定触犯法律的，送交司法机关处理。

4）对投诉举报有功人员，应按有关规定给予表彰、奖励在宣传报道和奖励举报有功人员时，除征得投诉举报人的同意外，不得公开投诉举报人的姓名和单位5）投诉举报人受到打击报复时，有权向负责单位或上级主管反映所谓打击报复，是指被投诉举报人及其单位实施的侵害投诉举报人及其亲属的人身权利以及其他合法权利的行为6）对投诉举报人打击报复的应追究相应的法律责任，经司法机关认定触犯法律的，送交司法机关处理对投诉举报人打击报复行为包括纵容、包底或收买、指使他人对投诉举报人打击报复7）投诉举报人因投诉举报而受到纪律处分以及其他不公正待遇的，应按照管辖权限予以纠正，或建议做出处理决定的单位及其上级单位予以纠正投诉举报人的人身安全受到威胁时，有关部门应及时采取保护措施因投诉举报造成投诉举报人及其亲属的名誉、财产受到侵害的，应要求侵权人停止侵害、赔礼道歉、赔偿损失投诉举报人也可向法院起诉八、 信息控制（一）信息的收集与整理《企业内部控制基本规范》第三十九条规定：企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，以提高信息的有用性1、信息收集的含义信息收集是指通过各种方式获取所需要的信息信息的收集是信息得以利用、传递的第一步，也是关键的一步。

信息收集工作的好坏，直接关系到信息与沟通的质量信息可以分为原始信息和加工信息两大类，原始信息是指在企业管理中直接产生或获取的数据、概念、知识、经验及其总结，是未经加工的信息；加工信息则是对原始信息经过加工、分析、改编和重组而形成的具有新形式、新内容的信息根据《企业内部控制基本规范》第三十九条的规定，企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；外部信息的收集渠道主要有行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等2、信息收集的原则为了保证信息收集的质量，应坚持以下原则1）准确性原则该原则要求所收集到的信息要真实可靠当然，这个原则是信息收集工作最基本的要求为达到这样的要求，信息收集者就必须对收集到的信息反复核实、不断检验，力求把误差减少到最低限度2）全面性原则该原则要求所收集到的信息要广泛、全面完整只有广泛、全面地收集信息，才能完整地反映管理活动和决策对象发展的全貌，为决策的科学性提供保障当然，实际所收集到的信息不可能做到绝对的全面完整，因此，如何在不完整、不完备的信息下做出科学的决策就是一个非常值得探讨的问题。

3）时效性原则信息的利用价值取决于该信息是否能及时地提供，即信息的时效性信息只有及时、迅速地提供给它的使用者才能有效地发挥作用特别是决策对信息的要求是“事前”的消息和情报，而不是“马后炮”所以，只有信息是“事前”的，对决策才是有效的3、信息收集的范围信息收集的范围可从3个角度来划分1）内容范围内容范围是指根据信息内容与信息收集目标和需求相关性特征所确定的范围，包括本身内容范围和环境内容范围本身内容范围是由事物本身信息相关内容特征组成的范围；环境内容范围是由事物周边、与事物相关的信息的内容特征组成的范围2）时间范围时间范围是指在信息发生的时间上，根据与信息收集目标和需求具有一定相关性的特征所确定的范围，这是由信息的历史性和时效性所决定的3）地域范围地域范围是指在信息发生的地点上，根据与信息收集目标和需求具有一定相关性的特征所确定的范围这是由信息的地域分布特征和信息收集的相关性要求所决定的4、信息收集的方法（1）调查法调查法一般分为普查和抽样调查两大类普查是调查有限总体中每个个体的有关指标值抽样调查是按照一定的科学原理和方法，从事物的总体中抽取部分称为样本的个体进行调查，用所得到的调查数据推断总体。

抽样调查是较常用的调查方法，也是统计学研究的主要内容抽样调查的关键是样本抽样方法、样本量大小的确定等样本抽样方法，又称抽样组织的方式，决定样本集合的选择方式，直接影响信息收集的质量抽样方法一般分为非随机抽样、随机抽样和综合抽样常用的调查方法主要有访问调查法、问卷调查法、观察调查法、实验调查法、文案调查法等，这里主要介绍访问调查法和问卷调查法访问调查法又称采访法，是通过访问信息收集对象，与之直接交谈而获得有关信息的方法它又分为座谈采访、会议采访以及电话采访和信函采访等方式采访需要做好充分准备，认真选择调查对象了解调查对象，收集有关业务资料和相关的背景资料其主要优点是可以就问题进行深入的讨论，获得高质量的信息；缺点是费用高，采访对象不可能很多，因此受访问者要具有代表性它对采访者的语言交际素质要求较高问卷调查法是一种包含统计调查和定量分析的信息收集方法这种方法主要考虑的问题是：所收集信息的内容范围和数量，所选定的调查对象的代表性和数量，问卷的精心设计，问卷的回收率控制等其具有调查面广、费用低的特点，但对调查对象无法控制，问卷回收率一般都不高，回答的质量也较差，受访者的态度具有决定性影响2）观察法。

观察法主要通过开会、深入现场、参加生产和经营、实地采样等方法进行现场观察并准确记录（包括测绘、录音、录像、拍照、笔录等）调研情况、收集信息主要包括两个方面：一是对人的行为的观察，二是对客观事物的观察观察法应用很广泛，常与询问法、实物搜集结合使用，以提高所收集信息的可靠性3）实验方法实验方法能通过实验过程获取其他手段难以获得的信息或结论实验者通过主动控制实验条件，包括对参与者类型的恰当限定、对信息产生条件的恰当限定和对信息产生过程的合理设计，可以获得在真实状况下用调查法或观察法无法获得的、某些重要的、能客观反映事物运动表征的有效信息，还可以在一定程度上直接观察、研究某些参量之间的相互关系，有利于对事物本质的研究实验方法也有多种形式，如实验室实验、现场实验、计算机模拟实验、计算机网络环境下人机结合实验等现代管理科学中新兴的管理实验、现代经济学中正在形成的实验经济学中的经济实验，实质上就是通过实验获取与管理或经济相关的信息4）文献检索文献检索就是从浩繁的文献中检索出所需的信息的过程文献检索分为手工检索和计算机检索手工检索主要是通过信息服务部门收集和建立的文献目录、索引、文摘、参考指南和文献综述等来查找有关的文献信息。

计算机文献检索，是文献检索的计算机实现，其特点是检索速度快、信息量大，是当前收集文献信息的主要方法文献检索过程一般包括分析研究课题和制定检索策略、利用检索工具查找文献线索、根据文献出处索取原始文献三个阶段文献根据加工深度的不同可分为四个级别：零次文献、一次文献、二次文献和三次文献，所获取的相应信息分别是零次信息、一次信息、二次信息和三次信息零次文献是指未经出版社发行的或未进入社会交流的最原始的文献，如私人笔记、考察笔记等，内容新颖，但不成熟，因不公开交流而难以获得；一次文献是以作者本人取得的成果为依据而创作的论文、报告等经公开发表或出版的各种文献，如期刊论文、科技报告等，其特点是内容新颖丰富、叙述详尽以及参考价值大，但数量庞大而且分散；二次文献是指报道和查找一次文献的检索工具书刊，如各种目录、题录、文摘和索引等二次文献是按照特定目的对一定范围和学科领域内的一次文献进行鉴别、筛选、分析、归纳和加工整理后，使之有序化后出版的其主要功能是检索、控制一次文献，帮助人们较快地获取所需的信息，具有汇集性、工具性、综合性和交流性等特点：三次文献是根据二次文献提供的线索选用大量的一次文献的内容，经过筛选、分析、综合和浓缩而再度出版的文献，包括专题评述、年鉴、百科全书、词典、导读与文献服务目录、工具书目录等。

5）网络信息收集网络信息是指通过计算机网络发布、传递和存储的各种信息收集网络信息的最终目标是给广大用户提供网络信息资源服务，整个过程经过网络信息搜索、整合、保存和服务四个步骤，网络信息搜索是基于网络信息收集系统自动完成的网络信息搜索系统首先按照用户指定的信息需求或主题，调用各种搜索引擎进行网页搜索和数据挖掘，将搜索的信息经过滤等处理过程别除无关信息，从而完成网络信息资源的“收集”；然后通过计算机自动搜索、重排等处理过程，剔除重复信息，再根据不同类别或主题自动进行信息的分类，从而完成网络信息的“整合”；分类整合后的网络信息采用元数据方案进行索引编目，并采用数据压缩及数据传输技术实现本地化的海量数据存储，从而完成网络信息的“保存”，当然要通过网络及时更新；经过索引编目组织的网络信息正式发布后，即可通过检索为读者提供网络信息资源的“服务”5、信息的整理信息的整理就是对收集到的原始信息，通过筛选、核对以及整合，在数量上加以浓缩，在品质上加以提高，在形式上给予表现，使之便于传递、利用和贮存信息整理是整个信息处理工作的核心内部控制活动所需要的信息来自于企业内部及外部的、与企业经营管理相关的财务及非财务信息。

即，内部控制中的信息收集活动涵盖了企业内部及外部、主观及客观、正式与非正式，并影响企业内部环境、风险评估、控制活动及内部监督的信息因此，确定信息的收集内容时，应在内部控制覆盖的信息范围内，强化对信息需求的分析即在与内控相关的信息范围内，根据不同的信息需求收集不同的信息二）信息的传递信息传递是指人们通过声音、文字或图像相互交流信息的过程信息传递研究的是什么人向谁表达，用什么方式表达，通过什么途径表达，达到什么目的信息传递程序中有三个基本环节第一个环节是传达人为了把信息传达给接受人，必须把信息“译出”，成为接受人所能懂得的语言或图像等第二个环节是接受人要把信息转化为自己所能理解的解释，称为“译进”第三个环节是接受人对信息的反应，要再传递给传达人，称为反馈《企业内部控制基本规范》第四十条指出：企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈信息与沟通过程中发现的问题，应当及时报告并加以解决重要信息应当及时传递给董事会、监事会和经理层内部信息传递，一方面要完善信息向下传递机制，使企业内部参与经营活动的各个方面和全体人员了解企业实现经营目标方面的信息，明确各自职责，了解自身在内部控制体系中的地位和作用；另一方面要完善信息向上传递机制，使企业员工能够及时将其在企业经营活动中所了解的重要信息向管理层及董事会等方面传递。

此外，还需建立信息横向传递机制，特别是要使信息在管理层与企业董事会及其委员会之间进行传递三）信息系统与内部控制《企业内部控制基本规范》第四十一条规定：企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用企业应当加强对信息系统开发与维护、访问与变更、数。