《湿电子化学品公司治理【参考】.docx》由会员分享,可在线阅读,更多相关《湿电子化学品公司治理【参考】.docx(74页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、泓域/湿电子化学品公司治理湿电子化学品公司治理xx(集团)有限公司目录一、 控制活动的基本原理4二、 内部控制的种类5三、 绩效考评控制10四、 不相容职务分离控制12五、 风险识别的概念和内容15六、 风险识别的方法17七、 风险分析的定义和目的24八、 风险分析方法的选择25九、 信息的含义与分类26十、 信息与沟通的作用28十一、 举报人保护制度29十二、 反舞弊机制33十三、 公司简介45十四、 产业环境分析46十五、 壮大平台赋能体系50十六、 必要性分析52十七、 法人治理结构53十八、 项目风险分析65十九、 项目风险对策67发展规划68(一)公司发展规划681、公司未来发展战略
2、68公司秉承“不断超越、追求完美、诚信为本、创新为魂”的经营理念,贯彻“安全、现代、可靠、稳定”的核心价值观,为客户提供高性能、高品质、高技术含量的产品和服务,致力于发展成为行业内领先的供应商。68一、 控制活动的基本原理企业开展经营活动的目的是有效、高效地使用资源。如何保证有效、高效使用资源?一般认为,企业的资源是有限的,有限的资源一定能管控,风险应该被有效控制。如何控制?由于企业资源被各种活动(如交易、经济事项、经营业务等)使用,因此控制了活动就管理了资源。由于活动都要进入相应流程(如资金活动流程、采购业务流程、资产管理流程、销售业务流程、研究与开发流程等),因此,控制活动的总体思路是:通
3、过实施流程控制,在流程中找关键风险点(即控制点),以达到有效管控资源的目标。控制了流程也就控制了活动,企业资源融入流程后形成了企业控制架构。控制行为(政策和程序)也并非盲目实施,我国企业内部控制基本规范规定的控制程序包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制和合同控制等。不同国家、不同时期控制程序不尽相同,这是由内部控制的动态过程观确定的。COSO报告与我国企业内部控制基本规范在控制活动内容方面的比较,通过比较可以看出,两者之间没有太大的区别,预算控制实际上是从授权审批控制中分离出来的政策和程序,从对授权审批控制的理解而言,预算控制属
4、于日常经营管理活动按照既定程序和原则实施的控制。企业应当根据内部控制目标,结合风险应对策略,依据流程控制原理,综合运用控制程序,对各种业务和事项实施有效控制。控制行为的主要目的是降低风险,针对的是风险降低应对策略。二、 内部控制的种类内部控制按控制内容可分为一般控制和应用控制,按控制地位可分为主导性控制和补偿性控制,按控制功能可分为预防性控制和发现性控制,按控制时序可分为原因控制、过程控制和结果控制。(一)按控制内容分为一般控制和应用控制1、一般控制般控制是指对企业经营活动赖以进行的内部环境所实施的总体控制,也称基础控制或环境控制。它包括组织控制、人员控制、业务记录以及内部审计等内容。这类控制
5、的特征,是并不直接地作用于企业的生产经营活动,而是通过应用控制对全部业务活动产生影响。(1)合法性控制,即用各种方法检查所记录的经济业务,以保证其能够如实反映经济事项。在会计基础控制方面,它主要通过由熟悉会计制度的人员审查会计文件,以确定所记录的业务是否真正发生,检查其处理过程是否与规定的程序相一致,查明业务处理是否经过授权与批准,有无越权行事等行为,以及是否进行了严格的监督和审核。(2)正确性控制,即为了确保单位每笔经济业务的发生都能够及时用正确的金额与账户记载的一种控制。它通过建立发生额计算、余额计算、账户分类检查、双重核对、事先控制与分工牵制等方法来保证会计记录的正确性。(3)完整性控制
6、,即保证发生的一切合法的经济业务均记入控制文件的一种控制。它主要通过凭证的连续编号、总额控制、登记账簿、档案管理并运用备忘录等手段来保证记录的完整性。现在,实行会计电算化的单位已由计算机解决部分完整性的控制工作。(4)一致性控制,即保证记录一致性的控制。它主要通过实地盘存、对内对外账实核对、差异分析、调账等方法来保证会计记录的一致性。2、应用控制应用控制是指直接作用于企业生产经营业务活动的具体控制,也称业务控制,如业务处理程序中的批准与授权、审核与复核以及为保证资产安全而采用的限制接近等控制。这类控制的特征,在于它们构成了生产经营业务处理程序的一部分,并都能够防止和纠正一种或几种错弊。(二)按
7、控制地位分为主导性控制和补偿性控制1、主导性控制主导性控制是指为实现某项控制目标而首先实施的控制。如凭证连续编号可以保证所有业务活动都得到记录和反映,因此,凭证连续号对于保证业务记录的完整性就是主导性控制;为实现组织的战略目标,管理层要根据组织规划指导各项生产及经营管理工作,并组织专门机构和人员进行定期或不定期的检查,对于发现的偏差进行分析,找出问题的成因、采取措施、予以纠正。这里,管理层的组织专门机构和人员开展的定期或不定期检查活动对于发现偏差就是主导性控制。预防性控制和发现性控制则是为了预防、检查和纠正不利的结果,在正常情况下,主导性控制能够防止错误和舞弊的发生,但如果主导性控制存在缺陷,
8、不能正常运行时,就必须由其他的控制措施进行补充。2、补偿性控制补偿性控制就是针对某些环节的不足或缺陷而采取的控制措施能够全部或部分弥补主导性控制的缺陷,主要是为了把风险暴露限制在一定的范围内。如果凭证没有连续编号,有些业务活动就可能得不到记录。这时,实施凭证、账证、账账之间的严格核对,就可以基本上保证业务记录的完整性,避免遗漏重大的业务事项。因此,“核对”相对于凭证“连续编号”来说,就是保证业务记录完整性的一项补偿性控制。由独立于银行存款收支业务的人员进行银行存款的核对和调整,是对收支业务中存在的薄弱环节的一种补偿性控制。一项控制和其他控制之间存在一定联系,当该项控制存在控制缺陷的时候如果其他
9、控制执行有效,可以有效地降低该缺陷导致财务报告错报的影响程度,而且所影响金额也可以明确,那么其他控制就是该控制的补偿性控制。从上述分析可见,主导性控制与预防性控制存在密切的联系,都是在实现有利结果的同时,避免不利结果的发生。但是,两者也有一定的差别。(三)按控制功能分为预防性控制和发现性控制1、预防性控制预防性控制是指为防止错误和非法行为的发生,或尽量减少其发生机会所进行的一种控制。它主要解决“如何能够在一开始就防止错弊的发生”这个问题。预防性控制是由不同人员或职能部门在履行各自职责的过程中实施的,属于操作性的控制。预防性控制措施主要包括职务分离、监督性检查、双重检查、编辑校验、合理性校验、完
10、整性校验以及正确性校验等。2、发现性控制发现性控制是指为及时查明已发生的错误和非法行为或增强企业发现错弊机会的能力所进行的各项控制。它主要是解决“如果错弊仍然发生,如何查明”的问题。如果缺乏发现性控制,当预防性控制实施存在困难时,有关人员就会为所欲为,使控制失败:更为严重的是由于组织难以及时发现存在的问题及影响,从而不能及时采取措施加以解决,从而加大损失影响范围及程度。一般认为,预防性控制优于发现性控制,因为预防性控制能够在事前防止损失的发生,降低风险。但是,真正全面地采取预防性控制是相当困难的,实际工作中风险很难百分之百地预防,所以必须将两者结合起来控制。(四)按控制时序分为原因控制、过程控
11、制和结果控制1、原因控制原因控制也称事先控制,是指企业单位为防止人力、物力、财力等资源在质和量上发生偏差,而在行为发生之前所实施的内部控制。2、过程控制过程控制也称事中控制,是指企业单位在生产经营活动过程中针对正在发生的行为所进行的控制。3、结果控制结果控制也称事后控制,是指企业单位针对生产经营活动的最终结果而采取的各项控制措施。三、 绩效考评控制我国内部控制基本规范第三十五条规定:绩效考评控制要求企业建立和实施绩效考评制度,科学设置考评指标体系,对企业内部各责任单位和全体员工的业绩进行定期考评和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。绩效考评控制是保
12、证企业内部公平的必要条件。一个成功的绩效考评制度可以有效地甄别出员工对企业的贡献并予以相应的激励,有利于企业改进组织绩效,提高经济效益。所以,每个企业都应建立一套完善合理的内部控制绩效考评制度,对企业内部各责任单位和全体员工的执行内部控制情况进行定期考评和客观评价。因此,企业应该科学地设置绩效考评指标,合理确定考评主体及类型。在设定了科学的绩效考评指标的基础上,企业应根据这些指标进行客观公正的考评。(一)绩效考评指标绩效考评指标是指对员工绩效进行考核与评价的项目,必须将员工内部控制执行情况作为绩效考评的主要指标或指标体系的主要内容。指标定义要明确,具有可测量性,且必须与战略目标保持一致。绩效考
13、评指标通常分为三类,分别为业绩考评指标、能力考评指标、态度考评指标。业绩考评指标就是考评工作行为所产生的结果,如销售额、市场份额增长率等。业绩考评指标反映了绩效管理的最终目的,即提高企业的整体绩效以实现既定的目标。能力考评指标是指考评员工与岗位或内容相关的工作技能。能力考评指标有利于鼓励员工提高与工作相关的工作能力。态度考评指标,是指不考虑员工的业绩和能力,只考评他们对工作的精神状态。将工作态度也作为考评指标是因为态度往往决定一切,即便某些员工工作能力比较强,但如果他们的工作态度不正确,其工作业绩也往往不理想。因此,为了引导员工积极向上的工作态度,从而达到绩效管理目标,将工作态度纳入绩效考评范
14、围是十分有必要的。(二)绩效考评主体考评主体即由谁进行考评,考评主体的确定应遵循一个原则,那就是考评者对被考评者的工作性质、岗位要求、工作状态等必须有一定的了解。即便如此,企业也应对考评主体进行必要的培训,包括道德、纪律、考评资料收集、考评体系等方面的培训,力求使考评主体具有良好的考评技能、公正的考评心理,从而进行有效的绩效考评。(三)绩效考评的类型绩效考评按时间可以分为定期与不定期考评,按考评性质可分为定性和定量考评,按考评主体又可分为上级考评、专业机构考评、自我考评等。四、 不相容职务分离控制我国企业内部控制基本规范第二十九条规定:不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所
15、涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。(一)不相容职务分离的含义所谓不相容职务是指那些不能由一个人兼任,否则既可弄虚作假,又能掩盖其舞弊行为的职务。不相容职务分离就是这些职务由两人或两人以上担任,从而达到相互制约、相互监督的目的,即所谓“四只眼”原则或双人控制原则。不相容职务的分离基于两个假设,一是两个或两个以上的人或部门无意识地犯同种错误的概率要低于一个人或一个部门犯该种错误的概率;二是两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于一个人或一个部门舞弊的可能性。(二)不相容职务分离的内容不相容职务分为不相容部门、不相容岗位和不相容流程。根
16、据大部分企业的经营管理特点和一般业务性质,需要分离的不相容职务一般包括:授权批准职务、业务经办职务、会计记录职务、财产保管职务、稽核检查职务,具体内容如下。1、授权批准职务与业务经办职务分离按照授权批准职务与业务经办职务分离控制的要求,请购与审批、采购与审批、采购合同的订立与审批、销售商品与审批、筹资计划编制与审批、对外投资预算的编制与审批、投资或筹资的决策与执行等职务必须分离,以利于决策、审批人从独立的立场来评判业务行为的合理性、科学性与可行性,从而防范舞弊。2、业务经办职务与稽核检查职务分离按照业务经办职务与稽核检查职务分离控制的要求,现金出纳、会计与稽核职务相分离,采购员与库管员职务相分
17、离,库管员与盘点稽核人员职务相分离,预算编制、执行与检查职务相分离等。这些职务相分离使相关业务执行人员都受到应有的监督,同时也应使稽核、审计人员处于相对客观、独立、公正的地位,保证监督质量。3、业务经办职务与会计记录职务分离业务经办职务与会计记录职务分离是企业实施内部控制最基本的要求。销售部门和销售人员必须专职独立,不得兼记会计部门销售收入账和应收账款账;企业的会计不能兼任采购员。如果不进行业务经办与会计记录职务分离,业务执行的过程和结果就缺乏了在记录时所应该进行的复核和确认。4、财产保管职务与会计记录职务分离会计和出纳相分离就是一个最基本的不相容职务分离,也就是钱账分管制度,即管钱的不管账,
18、管账的不管钱,出纳专职负责货币资金的收支业务,除现金和银行存款日记账外,不得兼记总账和债权债务等明细账,不负责汇总记账凭证,不抄寄各种往来结算账户对账单。5、业务经办职务与财产保管职务分离企业财产物资的保管职务应该与实物核对和财务盘存职务相分离。如果一个企业的材料采购员既负责材料采购又负责入库保管,那么这样身兼数职的行为,由于缺乏内部牵制和监督,就有可能给经办人员创造舞弊的机会,形成职务犯罪的隐患,给企业造成损失。(三)不相容职务分离控制程序不相容职务分离的核心在于实现牵制、制衡。企业在设计内部控制制度时,首先要确定哪些岗位和职务是不相容的;其次是要明确规定各个机构和岗位的职责、权限。控制不相
19、容职务的方法,就是从组织设计以及职务安排上进行分离,将不相容职务分别安排给不同人员,甚至不同部门,以形成一个可以相互监督、相互牵制、相互核查的业务机制。要做好不相容职务相分离控制,以下两个程序是关键。(1)设立管理控制机构,企业可以根据自身的经营特点设立审计委员会、价格委员会、报酬委员会等,通过这些机构的设置来监督不相容职务分离实施的过程和效果,对不完善的地方及时做出调整。(2)推行职务不相容制度,用制度约束不相容职务的兼任对企业来讲是一种有效的办法,通过制度在企业中的制定和实施,杜绝高层管理人员交叉任职,从而可以避免关键人物大权独揽或徇私舞弊。同时,需要坚决贯彻不相容职务相分离的要求。所有经
20、济业务的控制,必须按照不相容分离的要求,合理设计相关岗位,明确职责权限,形成内部牵制、内部制衡机制。五、 风险识别的概念和内容(一)风险识别的概念风险识别是指对资产当前或未来所面临的和潜在的风险加以判断、归类以及对风险性质进行鉴定的过程。其目的是确认风险的来源、风险的种类及风险的可能影响,以利于风险的有效管理和合理控制。对于风险识别的概念,可以从以下几个方面来理解。1、风险识别是一项动态的、连续不断的、系统性的重复过程风险事项识别需要针对环境的变化而持续进行,不可能一蹴而就,风险主体的风险仅凭一两次有限的识别是不可能解决问题的,许多复杂的和潜在的风险要经过多次调查和反复论证方能得到准确答案;随
21、着主体的活动,新的风险也会不断产生,风险事项识别是一个连续不断的过程。2、风险识别是一个复杂的系统工程风险事项识别的系统性是指风险识别过程不可能局限在某一个专门部门或者专门的环节,事项识别要把企业作为系统看待,不仅要识别企业可能面临的各种风险,而且企业的各个部门都要参与并密切配合。同时风险主体应综合考虑自身的内外部环境,结合自己的特点,设计和选择适当的事项识别方法,这无疑使得事项识别工作更具有挑战性。3、风险识别是整个风险评估过程中重要的程序之一企业内部控制基本规范第三章第二十一条规定,企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险确定相应的风险承受度。风险识别是否全面、
22、深刻直接影响风险评估的质量,风险识别的目的就是确认所有风险的来源、种类以及发生损失的可能性,为风险分析和风险应对提供依据。风险识别过程应充分体现全面性原则。(二)风险识别的内容1、感知风险事项感知风险,即通过调查和了解识别风险的存在。例如,通过调查,了解到一家运输公司面临的财产风险、人身风险和责任风险。财产风险又包括车辆财产损失、存货仓库损失、库存物损失和其他设备损失。在存货仓库损失中,可能有火灾、爆炸、洪水、暴风等多种原因形成的损失。2、分析风险事项通过归类分析,掌握风险产生的原因和条件以及风险所具有的性质。例如,存货仓库的风险因素包括洪水、暴雨、水管或其他设备破裂等;人的风险包括死亡、疾病
23、、身体伤害、财产损失等;导致死亡的风险因素主要有自然灾害、意外事故、自杀、疾病。感知风险是识别风险的基础,分析风险是识别风险的关键。只有感知风险,才能进一步有意识、有目的地分析风险,掌握风险存在及导致风险事故发生的原因和条件。六、 风险识别的方法风险识别是指对企业面临的各种风险进行确认的一个动态、连续的过程。从风险产生的原因入手,通过各种识别方法发现客观存在的不确定性,即辨识风险,下面简要介绍几种常用的风险识别方法。(一)风险清单法风险清单是指由专业人员设计好风险标准的表格或者问卷,全面地罗列一个企业可能面临的风险。表格多由风险管理方面的专家提供,包含人们已经识别出的最基本的各类风险。该方法的
24、优点是经济方便,适合新公司或初次构建风险管理制度的公司适用,帮助他们识别最基本的风险,降低忽略重要风险源的可能性;缺点是表格的初次制作比较费时,问卷回收率可能较低,质量难以有效控制。(二)流程图分析法流程图分析法是指首先按企业经营过程的内在逻辑制作出作业流程图,然后对其中的重要环节和薄弱之处进行调查和分析的方法。基本步骤如下。(1)梳理单位各类经济活动的业务流程,明确业务环节;(2)设计流程图,把流程图中的风险揭示出来,确定风险点;(3)解释流程图;(4)选择风险应对策略。流程图有助于识别企业经营过程中所面临的风险。其优点是可以将复杂的生产过程或业务流程简单化,从而发现风险;其缺点是流程图的绘
25、制较耗费时间,而且不可能进行定量分析从而无法判断风险发生的可能性。(三)现场调查法现场调查法相当于对风险进行一次全面的检查,其主要步骤如下。(1)调查前的准备工作。包括确定调查的时间,其中需要明确开始时间、结束时间和持续时间等,还要明确调查的对象,包括调查人数等。实际工作中一般应事先设计好调查表格。(2)进行现场调查和访问,由被调查人认真填写表格,表格填写应符合规范,避免出现不符合要求的问卷而影响调查结果。(3)将调查结果及时进行反馈,以便发现潜在的问题。现场调查法的优点是可以获得一手的资料而不依赖他人的数据,同时在调查过程中可以与基层人员建立良好的关系。缺点是耗时过多,成本过大,在调查的过程
26、中,可能会引起一些员工的反感。(四)财务报表分析法财务报表是反映企业一定时点的财务状况、一定期间经营成果和现金流量的文件,因此分析财务报表有利于认识经营风险可能的来源。财务报表分析法主要是通过分析企业的资产负债表、利润表、现金流量表和所有者权益变动表以及补充记录来识别企业潜在的风险。财务报表分析法具体又分为以下几种主要方法。1、趋势分析法趋势分析法是通过对一个企业连续数期的利润表和资产负债表的各个项目进行比较,求出金额和百分比增减变动的方向和幅度,以揭示当期财务状况和经营状况增减变化的性质及其趋势。趋势分析法通常包括横向分析法和纵向分析法。横向分析法又称水平分析法,是在会计报表中用金额、百分比
27、的形式,将各个项目的本期或多期的金额与基期的金额进行比较分析,以观察企业经营成果与财务状况的变化趋势;纵向分析法又称垂直分析法,是对会计报表中某一期的各个项目,分别与其中一个作为基期金额的特定项目进行百分比分析,借以观察经营成果与财务状况的变化趋势。2、比率分析法比率分析法就是把财务报表的某些项目同其他项目进行比较,这些金额或者数据可以选自一张财务报表,亦可以选自两张财务报表。比率分析法可以分析财务报表所列示项目与项目之间的相互关系,因此运用得比较广泛。主要有经营成果的比率分析、权益状况的比率分析、流动资产状况的比率分析。3、因素分析法因素分析法也是财务报表分析中常用的一种技术方法,它是指把整
28、体分解为若干个局部的分析方法,包括比率因素分析法和差异因素分解法。比率因素分解法,是指把一个财务比率分解为若干个影响因素的方法。例如,资产收益率可以分解为资产周转率和销售利润率两个比率的乘积,财务比率是财务报表分析的特有概念。在实际的分析中,分解法和比较法是结合使用的,比较之后需要分解,以深入了解差异的原因。分解之后还需要比较,以进一步认识其特征。不断的比较和分解,构成了财务报表分析的主要过程。为了解释比较分析中形成差异的原因,需要使用差异分解法。例如,将产品材料成本差异分解为价格差异和数量差异。差异分解法又分为定基替代法和连环替代法两种。定基替代法是测定比较差异成因的一种定量方法。按照这种方
29、法,需要分别用标准值(历史的、同业企业的或预算的标准)替代实际值,以测定各个因素对财务指标的影响。连环替代法是另外一种测定比较差异成因的定量分析方法。按照这种方法,需要依次用标准值替代实际值,以测定各个因素对财务指标的影响。(五)事件树分析法事件树分析法又称故障树法,其实质是利用逻辑思维的规律和形式,从宏观的角度去分析事故形成的过程。它的理论基础是,任何一起事故的发生,必定是一系列事件按时间顺序相继出现的结果,前一事件的出现是随后事件发生的条件,在时间的发展过程中,每一事件有两种可能的状态,即成功和失败。事件树法从某一风险结果出发,运用逻辑推理的方法推导出引起风险的原因,遵循风险事件一中间事件
30、一基本事件的逻辑结构。事件树分析法的一般步骤如下:(1)定义目标,此时需要考虑影响目标的各种风险因素;(2)做出风险因果图;(3)全面考虑各风险因素之间的相互关系,从而研究对风险所采取的对策或行动方案。事故树法的优点是把影响企业整体目标实现的诸多因素及其因果关系一步步清楚地列示出来,有利于下一步进行深入的风险分析。该方法通常用于直接经验较少的风险识别,效果非常直观,缺点是容易产生遗漏和错误。(六)可行性研究可行性研究是在项目计划阶段即对风险进行定性识别的方法。它的工作步骤如下:(1)检查各部分原始意图(2)发现有无偏离原始意图的情况;(3)寻找偏离原因(4)预测偏离后果。该方法的优点是可在项目
31、实施前就发现风险并加以处理;缺点是比较费时,需要详细的设计系统图的支持。(七)其他方法风险管理人员必须始终对新的、变化中的风险保持警惕,经常检查关键文档就是一个好方法。关键文档包括董事会会议的详细记录、资金申请表、公司指南、年度报告等,这些文件提供的信息并非详尽,却是风险管理中使用最为频繁的信息资源。面谈也是另外一个有利于风险事项识别的重要信息资源。许多信息没有记录在文档文件里面,而只存在于经营管理人员和员工的头脑里。与不同层次不同领域的员工进行面谈以便增加识别潜在风险事项的信息资源。一般情况下,可以考虑和以下人员进行面谈:经营部门经理、首席财务官、法律顾问、人力资源部经理、基层护理人员、工人
32、和领班、外部人员等。与一般基层工人的谈话可以发现一些不安全的设备和操作方法,这些问题在正规的报告里面是不会反映出来的而通过与高层管理者的面谈,风险防范人员能够了解最高管理层可以容忍的纯粹风险程度,以及希望转移的风险。风险识别是风险管理中最基础的工作,从定性的经验判断到各种定量方法,不仅要发现风险,还要进行风险因素分析,它是一个复杂的系统工程。任何一种方法都不能揭示出企业面临的全部风险,更不可能揭示导致风险事故的所有因素,故应将多种方法结合使用。七、 风险分析的定义和目的我国企业内部控制基本规范第二十四条规定:企业应当采用定性定量相结合的方法,按照风险发生的可能性及影响程度等,对识别的风险进行分
33、析和排序,确定关注重点和优先控制的风险。企业进行风险分析应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断,并确定风险重要性水平的过程。管理层根据被识别的风险的重要性来计划如何应对风险。风险分析应达到以下目的:(1)对各个风险进行比较,根据分析风险的不确定性和后果,确定风险的先后顺序;(2)确定风险事件之间的关系,表面上看起来不相干的多个风险事件可能是由一个共同的风险源所造成的,因此应当理顺风险事件之间的关系;(3)进一步量化已识别风险的发生概率和后果,减少风险发生概率和后
34、果估计的不确定性,必要时根据形势的变化重新评估风险发生的概率和可能的后果。八、 风险分析方法的选择选择风险分析的方法和判断标准,应考虑行业自身特点,区别它们各自的关注点,灵活确定风险分析过程和分析方法。例如,对于金融行业来说,丢失数据风险的损失比短时间业务停顿的风险所带来的损失更为严重:而对于通信行业来说,业务停顿风险带来的损失比少量数据丢失的风险更难以接受。与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反;定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据,而定性分析没有这方面的要求;定性分析较为主观,定量分析基于客观;此
35、外,定量分析的结果很直观,容易理解,而定性分析的结果则很难有统一的解释。企业可以根据自身的具体情况来选择定性或定量的分析方法。当前最常用的分析方法一般都是定量和定性的混合方法,对一些可以明确赋予数值的要素直接赋予数值,对难于赋值的要素使用定性方法,这样不仅更清晰地分析了资产的风险情况,也极大简化了分析的过程,加快了分析进度。九、 信息的含义与分类(一)信息的含义信息是指来源于企业内部或外部,与企业经营相关的各种信息,包括获取的行业、经济,以及内部生产经营管理、财务等方面的信息。企业内部控制基本规范要求通过信息系统识别、获取、处理和报告信息为管理和控制经营活动提供信息支持。信息系统可以是手工信息
36、系统,也可以是利用现代信息技术的信息系统,还可以是手工和信息技术相合的信息系统;可以是正式的信息系统,也可以是非正式的信息系统。信息系统处理的对象既包括企业经营活动等内部生成的信息,也包括与经营活动相关的外部事项、活动和环境等外部信息。信息系统一方面需要定期获取和报告经营活动各方面的信息,包括产品的生产和销售方面的信息;另一方面需要采取措施获取市场变化对产品和劳务等需求方面的信息。信息系统不仅要识别和获取所需的财务信息和非财务信息,而且还必须在一定的时间内,以有助于企业控制其经营活动的方式处理和报告信息。信息系统应根据所面临的市场变化、竞争对手的创新以及客户需求的重大变化进行调整,以支持企业实
37、现其经营和战略目标,并要求企业将信息系统的规划、设计和执行与企业的整体战略进行整合。信息系统作为经营活动不可分割的组成部分,通过获取决策所需要的信息来实施控制。对信息系统与经营目标进行整合跟踪和记录交易,将企业的各项经营活动包含于整合的系统之中,有助于对经营活动实施控制。企业信息系统中信息技术的使用应当有助于企业经营目标的实现而不在于使用的是否为最先进的信息技术。信息系统所提供的信息内容应适当、及时、准确,并且信息必须是当前最新和可以获取的。由于信息的质量直接影响企业管理当局在管理和控制中的决策,信息系统本身成为内部控制体系的一个组成部分,必须对其进行控制。另外,由于信息系统在内部控制中的重要
38、性,其本身又是内部控制的对象,企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制保证信息系统安全、稳定地运行。(二)信息的分类按照信息的来源不同,分为内部信息和外部信息。内部信息是指企业的各种业务报表和分析报告,有关生产方面、技术方面的资料以及经营管理部门制订的计划、经营决策等方面的情况。内部信息主要包括财务信息、生产经营信息、销售信息、技术创新信息、综合管理信息等。外部信息是指从企业外部所获取的信息。外部信息主要包括国家法律法规,相关监管机构信息,经济形势信息,客户、供应商信息,科技进步和社会文化信息等。十、 信息与沟通的作用信息与沟通的作用
39、主要表现在以下几方面。(一)信息与沟通是有效实施内部控制的重要载体未来竞争是管理的竞争,竞争的焦点在于企业内外部的有效信息来源以及充分沟通上。经济市场化程度的提高,要求企业必须加强信息的采集、存储、处理、加工和运用。信息与沟通是内部控制体系的重要组成部分,贯穿于内部控制体系的整个过程,是有效实施内部控制的重要载体,直接影响着企业内部控制的贯彻执行以及企业经营目标乃至战略目标的实现。(二)信息与沟通是整个内部控制系统的生命线内部控制是一个动态的过程,依据环境来制定相应的措施,整个过程就是通过连续不断的信息反馈来纠正错误,并不断改进与完善。因此,信息与沟通为管理层监督各项活动并在必要时采取纠正措施
40、提供了保证。另外,信息与沟通是保障内部控制效率和效果的重要手段,随着信息系统的广泛应用,企业内部实现了物流、资金流、信息流的集成管理,外部实现了与供应商、客户的信息共享,使得信息传递更加流畅,从而使内控运行的效率得到提高。(三)信息与沟通是实施内部控制的关键因素从纵向来看,管理层通过信息与沟通下达任务,了解业务进展情况,及时发现其中隐藏的风险。这种自上而下的沟通方式同样伴随着企业有关目标、风险、管理流程信息的传递。而员工则通过自下而上的沟通方式向管理层反映有关一线经营、生产中存在的问题,使管理层能够及时地了解相关信息,动态地优化管理及控制流程。从横向来看,不同部门、不同职责的员工之间通过有效的
41、沟通来传达各自信息需求、信息缺口,有助于信息交流与共享,从而最大化地提高信息资源的利用效率。因此,广泛的信息沟通通过辅助决策来促进企业战略目标的实现;通过加强管理和控制来提高经营的效率和效果;通过保障内控效率和效果来保证财务报告和管理信息的真实、可靠和完整,确保资产的安全完整,以及遵循国家法律法规的要求。总的来说,有效的信息与沟通是内部控制目标实现的重要保证。十一、 举报人保护制度1、举报人保护制度的主要内容企业应建立专门的举报人保护制度,如举报人信息的保密制度、举报人面临人身威胁与财产损失时的救济制度、用于补助与鼓励举报人的基金制度等。主要包括以下内容。(1)妥善保管和使用举报材料,不得私自
42、摘抄、复制、扣押、销毁举报材料;(2)严禁泄露举报人的姓名、部门、住址等情况;严禁将举报情况透露给被举报人或有可能对举报人产生不利后果的其他部门和员工;(3)调查核实情况时,不得出示举报材料原件或复印件,不得暴露举报人的身份;(4)对匿名的举报书信、材料及电话录音,不得鉴定笔迹和声音。2、投诉举报过程中的违规行为及处理任何单位和个人不得干扰和妨碍办理投诉举报的工作人员查处投诉举报事项。接收及办理投诉举报事项的工作人员,应遵守下列工作准则。(1)接收当面投诉举报应当在能够保密的场所进行,专人接谈,无关人员不得旁听和询问。(2)投诉举报信件的收发、拆阅、登记、转办、保管和面述或者电话举报的接待、接
43、听、记录、录音等工作,应当严格遵循保密原则,严防泄露举报内容和遗失举报材料。(3)投诉举报材料不准私自摘抄和复制。(4)调查被投诉举报人或被投诉举报单位的情况时,应在做好保密工作、不暴露投诉举报人身份的情况下进行,不得出示投诉举报材料。(5)不得将本单位办理投诉举报的内部研究情况透露给投诉举报人,不得与无关人员谈论投诉举报内容。(6)不得扣压、隐匿或私自销毁投诉举报材料。(7)不得刁难、威胁投诉举报人。建立举报人保护制度关键在于对于举报人的信息必须严格保密,控制知晓者的范围,并明确知晓者所承担的保密义务;当举报人遭到打击报复时,应该及时干预,并给予严格惩处。当然,对借投诉或举报之名故意捏造虚假
44、事实,诬告、陷害他人,或以投诉举报为名制造事端、干扰正常工作的,将依照有关规定严肃处理;构成犯罪的移送司法机关处理。3、投诉举报人保护措施(1)保护投诉举报人应当遵循保密、奖励和其合法权益不受侵犯的原则。(2)各部门及子公司都必须正确对待投诉举报人依法举报的行为,不得以任何借口打击报复投诉举报人。(3)严禁将投诉举报人的姓名、单位、住址等有关情况和投诉举报内容透露给被投诉举报人和被投诉举报单位:被投诉举报人是单位负责人的,不得将投诉举报材料转给该负责人所在单位。违反前款规定的,应追究相应的责任,经司法机关认定触犯法律的,送交司法机关处理。(4)对投诉举报有功人员,应按有关规定给予表彰、奖励。在
45、宣传报道和奖励举报有功人员时,除征得投诉举报人的同意外,不得公开投诉举报人的姓名和单位。(5)投诉举报人受到打击报复时,有权向负责单位或上级主管反映。所谓打击报复,是指被投诉举报人及其单位实施的侵害投诉举报人及其亲属的人身权利以及其他合法权利的行为。(6)对投诉举报人打击报复的应追究相应的法律责任,经司法机关认定触犯法律的,送交司法机关处理。对投诉举报人打击报复行为包括纵容、包底或收买、指使他人对投诉举报人打击报复。(7)投诉举报人因投诉举报而受到纪律处分以及其他不公正待遇的,应按照管辖权限予以纠正,或建议做出处理决定的单位及其上级单位予以纠正。投诉举报人的人身安全受到威胁时,有关部门应及时采
46、取保护措施。因投诉举报造成投诉举报人及其亲属的名誉、财产受到侵害的,应要求侵权人停止侵害、赔礼道歉、赔偿损失。投诉举报人也可向法院起诉。十二、 反舞弊机制(一)反舞弊机制的概念反舞弊机制指为了防止舞弊,加强公司治理和内部控制,降低企业风险,规范经营行为,维护企业合法权益,确保经营目标的实现和企业持续、稳定、健康发展,保护股东合法权益,根据经营目标及法律、法规,结合企业的实际情况,制定的用以规范企业中高级管理人员及所有员工的职业行为的一种制度。企业应当建立反舞弊机制,坚持“惩防并举、重在预防”的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、
47、处理、报告和补救程序。通过反舞弊机制的建立,企业要将反舞弊工作的重点放在重点领域和关键环节,防范舞弊行为的发生并及时发现发生的舞弊行为。在所建立的反舞弊机制中,要规范相应的舞弊案件查处程序,以便对舞弊案件及时进行处理和纠正,并在反舞弊过程中不断完善内部控制体系。(二)反舞弊机制的重点企业内部控制基本规范第四十二条规定:企业至少应当将下列情形作为反舞弊工作的重点:未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益;在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等:董事、监事、经理及其他高级管理人员滥用职权;相关机构或人员串通舞弊。(三)反舞弊工作的内容1、舞弊的含
48、义舞弊是一种采取不正当和欺骗的手段,有意识地违反既定的公众认可的规则以损害或牟取组织经济利益的行为。2、舞弊的种类(1)按照舞弊主体的不同进行分类。按照舞弊主体的不同,即作弊者身份的不同,可以将舞弊划分为两类,管理舞弊与非管理舞弊。管理舞弊是指管理层蓄谋的舞弊行为,是指企业最高管理当局进行的舞弊。这种舞弊隐蔽性大,难以发现,影响力也很大,舞弊者的层次越高,越难有效地进行预防与检查,危害也越大。其主要表现为财务报表舞弊。非管理舞弊也称为员工舞弊,是指企业中的职员利用内部控制的各种漏洞,采用涂改或伪造单据、账册及其他手段贪污、盗窃或挪用财产的不法行为,常常表现在将现金或其他资产窃为己有。(2)按照内部审计具体准则第6号的规定进行分类。内部审计具体准则第6号一舞弊的预防、检查与报告将舞弊分为:损害组织经济利益的舞弊行为以