泓域/VR设备公司内部控制制度VR设备公司内部控制制度xxx集团有限公司目录一、 项目基本情况 4二、 产业环境分析 9三、 技术生态逐渐成熟,疫情催化产业发展 11四、 必要性分析 13五、 内部控制的重要性 13六、 内部控制的局限性 17七、 内部控制 20八、 企业风险管理 23九、 内部控制评价工作底稿与报告 32十、 内部控制评价的组织与实施 34十一、 审计范围与审计目标 44十二、 审计工作计划与实施 47十三、 内部监督比较 52十四、 内部监督的内容 52十五、 SASNO.55:内部环境的形成 59十六、 我国的借鉴与创新 60十七、 企业文化 61十八、 发展战略 65十九、 发展与创新阶段 69二十、 起步和探索阶段 71二十一、 公司治理的产生及动因 73二十二、 企业的演进 82二十三、 公司治理与内部控制的融合 87二十四、 公司治理与内部控制的区别 90二十五、 SWOT分析 92二十六、 组织机构、人力资源分析 99劳动定员一览表 100二十七、 法人治理结构 102二十八、 发展规划分析 117一、 项目基本情况(一)项目承办单位名称xxx集团有限公司(二)项目联系人贺xx(三)项目建设单位概况本公司秉承“顾客至上,锐意进取”的经营理念,坚持“客户第一”的原则为广大客户提供优质的服务。
公司坚持“责任+爱心”的服务理念,将诚信经营、诚信服务作为企业立世之本,在服务社会、方便大众中赢得信誉、赢得市场满足社会和业主的需要,是我们不懈的追求”的企业观念,面对经济发展步入快车道的良好机遇,正以高昂的热情投身于建设宏伟大业公司在发展中始终坚持以创新为源动力,不断投入巨资引入先进研发设备,更新思想观念,依托优秀的人才、完善的信息、现代科技技术等优势,不断加大新产品的研发力度,以实现公司的永续经营和品牌发展未来,在保持健康、稳定、快速、持续发展的同时,公司以“和谐发展”为目标,践行社会责任,秉承“责任、公平、开放、求实”的企业责任,服务全国公司秉承“以人为本、品质为本”的发展理念,倡导“诚信尊重”的企业情怀;坚持“品质营造未来,细节决定成败”为质量方针;以“真诚服务赢得市场,以优质品质谋求发展”的营销思路;以科学发展观纵观全局,争取实现行业领军、技术领先、产品领跑的发展目标 (四)项目实施的可行性1、长期的技术积累为项目的实施奠定了坚实基础目前,公司已具备产品大批量生产的技术条件,并已获得了下游客户的普遍认可,为项目的实施奠定了坚实的基础2、国家政策支持国内产业的发展近年来,我国政府出台了一系列政策鼓励、规范产业发展。
在国家政策的助推下,本产业已成为我国具有国际竞争优势的战略性新兴产业,伴随着提质增效等长效机制政策的引导,本产业将进入持续健康发展的快车道,项目产品亦随之快速升级发展根据赛迪《2021年虚拟现实产业发展白皮书》,VR产业链主要包括了硬件、软件、内容制作和分发、应用与服务四大环节1)硬件:包括核心器件、终端设备以及配套外设核心器件主要指芯片、传感器、显示屏、光学器件、通信模组;终端设备主要指PC端设备、移动端设备、一体机;配套外设主要指手柄、摄像头、体感设备等2)软件:包括了支持软件和软件开发工具包两个部分支持软件主要包含UI、OS、中间件等;软件开发工具包包括SDK、3D引擎等3)内容制作与分发:包括内容制作和分发两部分内容制造主要包括游戏、视频、直播、社交领域内VR技术能够实现的内容;分发主要依于托应用程序平台(例如steamVR)五)项目建设选址及建设规模项目选址位于xx,占地面积约57.00亩项目拟定建设区域地理位置优越,交通便利,规划电力、给排水、通讯等公用设施条件完备,非常适宜本期项目建设项目建筑面积63138.42㎡,其中:主体工程44391.60㎡,仓储工程7423.68㎡,行政办公及生活服务设施6521.46㎡,公共工程4801.68㎡。
六)项目总投资及资金构成1、项目总投资构成分析本期项目总投资包括建设投资、建设期利息和流动资金根据谨慎财务估算,项目总投资26293.20万元,其中:建设投资20068.50万元,占项目总投资的76.33%;建设期利息552.48万元,占项目总投资的2.10%;流动资金5672.22万元,占项目总投资的21.57%2、建设投资构成本期项目建设投资20068.50万元,包括工程费用、工程建设其他费用和预备费,其中:工程费用17765.73万元,工程建设其他费用1819.93万元,预备费482.84万元七)资金筹措方案本期项目总投资26293.20万元,其中申请银行长期贷款11275.00万元,其余部分由企业自筹八)项目预期经济效益规划目标1、营业收入(SP):55300.00万元2、综合总成本费用(TC):44575.38万元3、净利润(NP):7842.59万元4、全部投资回收期(Pt):5.81年5、财务内部收益率:22.66%6、财务净现值:8533.29万元九)项目建设进度规划本期项目按照国家基本建设程序的有关法规和实施指南要求进行建设,本期项目建设期限规划24个月十)项目综合评价主要经济指标一览表序号项目单位指标备注1占地面积㎡38000.00约57.00亩1.1总建筑面积㎡63138.42容积率1.661.2基底面积㎡22800.00建筑系数60.00%1.3投资强度万元/亩347.942总投资万元26293.202.1建设投资万元20068.502.1.1工程费用万元17765.732.1.2工程建设其他费用万元1819.932.1.3预备费万元482.842.2建设期利息万元552.482.3流动资金万元5672.223资金筹措万元26293.203.1自筹资金万元15018.203.2银行贷款万元11275.004营业收入万元55300.00正常运营年份5总成本费用万元44575.38""6利润总额万元10456.79""7净利润万元7842.59""8所得税万元2614.20""9增值税万元2231.85""10税金及附加万元267.83""11纳税总额万元5113.88""12工业增加值万元17267.04""13盈亏平衡点万元21239.74产值14回收期年5.81含建设期24个月15财务内部收益率22.66%所得税后16财务净现值万元8533.29所得税后二、 产业环境分析构建创新创业支撑平台,打造协作分享新经济,合理规划布局创新创业空间,营造创新创业社会氛围,形成“大众创业、万众创新”的生动局面。
一)全面推进“四众”依托互联网创新载体,拓宽创新创业的市场、社会需求对接通道推进专业空间、网络平台和企业内部众创,加强创新资源共享合作构建一批低成本、便利化、全要素、开放式的众创空间,创办一批智谷空间、创客空间等新型孵化器,建设一批创新园区推行研发创意、制造运维、知识内容和生活服务众包,推动大众参与线上生产流通分工营造公共机构支持,企业、个人互助的众扶文化,共助创业者成长稳健发展实物众筹、股权众筹和网络借贷,提供快速便捷的线上融资服务二)拓展创新发展空间提升开发区、功能区综合竞争力充分发挥东湖新技术开发区国家自主创新示范区建设和中国内陆自由贸易区政策先行先试叠加和联动优势,促进创新要素和信息技术、生命健康等新兴产业高度集聚发展,加快建设“自由创新区”推进武汉经济技术开发区加快向开放创新综合试验区转型升级,支持东风公司等企业抢占智能产品发展制高点,支撑智能制造等新兴产业高度集聚发展,打造“中国车都”升级版依托临空港经济技术开发区、汉口主城区和江北新城区部分区域,推动国家级新区“长江新区”落地,努力打造长江经济带和“一带一路”的战略承载区推动武钢、武石化、中韩石化升级改造,建设绿色低碳循环发展的一流生态化工园区。
推动东湖生态旅游风景区打造国际知名、国内一流的文化旅游生态风景名胜区拓展中心城区城市综合服务功能中心城区依托高校院所周边区域、旧厂、旧村、旧商业设施等更新改造,坚持错位发展理念,推动各区围绕科技服务、生命健康、教育服务、现代商贸、创意时尚、现代金融、文化演艺等领域,打造一批创业街区、创业生态园区增强新城区综合实力新城区结合工业园区升级和新城镇建设,提升园区智能化、集约化、循环化发展水平,打造若干产业特色鲜明、综合配套完备、生态环境优美、生活便利宜居的“创谷”三)深植创新创业文化培育科学精神,塑造工匠精神,营造尊重劳动、尊重知识、尊重人才、尊重创造的公众意识建立健全鼓励创新的容错机制,积极倡导鼓励创新、宽容失败的创新创业文化,大力培育创客文化,激发全社会创新创业活力建立和完善对创新、创业、创富的宣传、表彰、奖励机制,开展全国性和国际性的创业大赛、投资路演、创业沙龙、创业训练营等创新创业活动,推动形成崇尚科学、尊重创新的社会氛围三、 技术生态逐渐成熟,疫情催化产业发展VR,全称VirtualReality,即虚拟现实VR利用计算机生成一种虚拟环境,用户通过佩戴头部设备进入虚拟环境,通过手部设备或者其他传感器与虚拟环境进行互动,产生沉浸式体验。
1)虚拟环境生成:VR呈现的虚拟环境由计算机生成2)立体画面呈现:人的双眼看到的画面有所差别,这种差别可以通过大脑处理,让事物以立体形式呈现给人VR眼镜利用了这种视觉差别,给双眼投影不同的画面,从而产生立体效果3)与虚拟环境互动:通过各种追踪技术实现对用户动作、视线的追踪,实现虚拟场景与用户动作的统一部分VR设备实现了碰撞检测等功能,使用户与虚拟物件的接触感更真实中国信通院发布的《虚拟(增强)现实白皮书》将VR分为五个阶段:无沉浸阶段、初级沉浸阶段、部分沉浸阶段、深度沉浸阶段和完全沉浸阶段2014年Facebook收购Oculus,是VR发展的里程碑事件此前,VR也经历过一些发展,但是产品体型较大、交互能力不强、沉浸效果较差2014年以后,受益于计算机技术的进步,各公司对追踪等交互技术的探索加速,限制VR沉浸效果的技术难题被逐步攻克,VR发展较为迅速2015-2018年,多款VR产品的诞生使得VR热度增加2019年后,网络基础设施升级、VR生态内容不断积累优化、受众群体快速扩张,以及VR新品频出等利好因素共同促进了VR产业发展根据VR陀螺统计,2019年发布上市的VR设备将近30款,产品沉浸水平达到部分沉浸,部分指标达到深度沉浸水平。
VR行业进入景气周期源于技术进步、生态完善、价格下探、疫情催化等多重因素共振:1)VR技术进步,沉浸式体验效果上升2016年以来,限制VR沉浸式体验效果的诸多技术逐渐成熟,使得VR体验上升例如,屏幕刷新率的提升使得VR场景更加真实;眼球追踪、动作追踪等交互技术进步提升了VR交互体验;CPU、GPU升级换代大幅提升了渲染计算能力,提高了虚拟环境的质量2)5G网络加速普及,网速提升受4G等网络基础设施限制,网速无法满足VR的低延迟要求,存在体验延迟和眩晕等问题,不利于产品的推广5G普及、网速提升后,延迟率得以降低,VR设备的体验感得到增强3)内容生态逐步丰富,VR体验效果上升经历多年发展,VR内容生态逐步丰富,应用场景逐步增加适配VR的视频、游戏等资源的数量和质量逐步提升,部分影视、游戏平台开设VR专区,并逐步形成VR社区,为用户提供更多高质量的VR服务以VR游戏为例,目前Viveport、OculusStore、SteamVR等平台提供大量优质VR游戏作品,满足玩家VR游戏交互体验的需求4)设备价格下探,性价比提高早期VR高端设备需搭配高端主机、外部设备使用,价格较为昂贵,不适合推广新型VR一体机一般不需要搭配主机使用,且价格相对较低。
例如,PicoNeo3一体机价格为390美元,小米VR一体机价格也在两千人民币以内5)疫情催化VR产业快速发展自疫情以来,受到防疫政策的影响,远程办公、居家学习等应用场景快速普及,、电脑、VR等信息终端设备的需求上升VR设备作为新型信息终端设备,相对于电脑等传统设备,传递信息更丰富,沟通效率高,在远程办公、线上宣传、线上学习等应用前景广泛同时,VR设备提供丰富的游戏、视频资源等,能够满足用户在疫情期间的娱乐需求四、 必要性分析1、提升公司核心竞争力项目的投资,引入资金的到位将改善公司的资产负债结构,补充流动资金将提高公司应对短期流动性压力的能力,降低公司财务费用水平,提升公司盈利能力,促进公司的进一步发展同时资金补充流动资金将为公司未来成为国际领先的产业服务商发展战略提供坚实支持,提高公司核心竞争力五、 内部控制的重要性内部控制作为现代组织管理框架的重要组成部分,是一个组织持续发展的机制和重要保证现代组织理论和管理实践表明,组织的一切管理工作,都要从建立与健全内部控制制度开始;组织的一切活动,都无法游离于内部控制之外得控则强,失控则弱,无控则乱”,内部控制的重要性主要体现在以下4个方面。
一)内部控制是实现企业发展战略的基础企业的发展不能是为现在而发展,而应该是为未来而发展,必须要有一个长期的目标企业的发展战略是企业对全局的一种总体设想,是从宏观的角度对企业的未来的一种较为理想的设定它所提出的是企业整体发展的总任务和总要求,它所规定的是整体发展的根本方向因此,人们所提出的企业发展战略总是高度概括的,而且着眼于未来和长远一般认为,要实现企业长远的发展战略就要有健全有效的内部控制作为支撑实践证明,在我国经济快速发展的背景下,只有建立和实施科学的内控体系,才能提升风险防范能力,实现企业可持续发展战略在西方,内部控制提出得较早,相关的法律法规也对此有了明确的要求而在我国,具有强制性要求的内部控制基本规范形成较晚,许多企业并没有自发地认识到建设与执行内部控制的重要性,因此,在与国外企业交往的过程中,常常由于这方面的欠缺而遭到不公正的待遇企业应该意识到,内部控制及其评价制度不只是为了满足外部强制要求,而应该最终成为一种自发的行动建设和完善内部控制体系是我国企业融入国际社会和健康、可持续发展的必由之路二)内部控制是提高企业经营管理效率的保证内部控制产生于组织管理的需要,存在于组织经营管理活动之中,是组织内部管理的重要组成部分,这就决定了内部控制的主体是组织的管理部门和具体执行各项控制措施的人员,企业内部控制划分为内部管理控制与内部会计控制两大类。
内部管理控制制度是指那些对会计业务、记录和报表的可靠性没有直接影响的内部控制内部会计控制是指那些对会计业务、记录和报表的可靠性有直接影响的内部控制,通过这种控制的建立,能维护财产物资的安全、完整,保证会计信息的真实、可靠,保证经营管理活动的经济性、效率性和效果性,保证各项法律和规范的遵守内部控制贯穿于企业经营管理活动的各个方面,只要企业存在经济活动和经营管理,就需要建立、健全企业的内部控制并加强内部控制三)内部控制是提高企业信息质量的保证众所周知,在信息化时代,信息足以决定一个企业的兴衰存亡首先,高质量的报告信息将为管理当局提供准确而完整的信息,用以支持管理当局的决策和对主体活动及业绩的监控同时,高质量的对外报告和披露有助于企业的外部投资者、债权人等利益相关者以及监管当局做出正确的决策有效的内部控制系统通过职务分离、岗位轮换、内部审计等控制方法及手段对企业信息的记录和报告过程进行全面持续的监控,及时发现和纠正各种错误与舞弊,保证企业信息能够真实完整地反映企业经营活动的实际情况反思我国近年来的一系列财务舞弊案件,如红光实业、银广夏、蓝田股份等,其组织的内部控制失效负有不可推卸的责任国内外证券市场的财务丑闻,使得广大投资者蒙上厚重的心理阴影,要求规范上市公司财务报告的呼声越来越高。
有效的内部控制,对于重塑投资者的信心,维护资本市场的公平和透明,进而保护投资者利益与国家经济安全意义重大四)内部控制是加强企业制度管理的根本现代企业制度是指以市场经济为基础,以完善的企业法人制度为主体,以有限责任制度为核心,以公司企业为主要形式,以产权明晰、权责明确、政企分开、管理科学为条件的新型企业制度企业是一系列“契约的联结”,由于委托人不能直接观测到代理人选择了什么行动,委托人和代理人之间存在信息不对称,具有机会主义倾向的管理当局会利用自己的信息优势,发生偷懒、不当消费等行为,以牺牲委托人的利益为代价,使自己的利益最大化因此,企业所有者需要监督代理人,防止代理关系下的信息不对称,降低代理成本,实现公司治理目标,从而有助于最大限度地满足企业所有者的权益同时,通过不相容职务分离控制、授权审批控制、会计系统控制、资产安全控制、绩效考评控制等手段形成各司其职、各负其责、相互制约的工作机制,逐渐推动企业管理水平与会计信息质量的提升,提升经营的效率和效果六、 内部控制的局限性依据唯物辩证法的观点,任何事物都不可能尽善尽美,内部控制也有其两面性:一方面它对企业预期目标具有控制作用:另一方面也有他的不足和缺陷,存在固有的局限性。
一般而言,内部控制的局限性表现在以下几个方面1、成本限制内部控制受到成本与效益原则的限制,内部控制系统所需求的保证水平有必要根据其成本而定一般来说,控制程序的成本不能超过风险或错误可能造成的损失和浪费否则,再好的控制措施和方法也将失去意义由于存在资源稀缺问题,企业必须考虑建立控制的相应成本般而言,用于衡量控制成本与收益的标准不同控制成本量化较为容易,控制效益量化则相当复杂,难免包括主观的评估在评估潜在收益时可以考虑以下特定因素:不理想情形发生的可能性、各项活动的特性、时间价值有可能对实体造成的潜在财务或经营影响此外,成本效益决策的复杂性还在于当控制与管理或运营过程相结合,或“纳入”管理或营运过程时,很难区分哪些是控制的成本与效益,哪些是管理或营运的成本与效益同样,若干项控制措施组合在一起,在很多时候,可用以防范或减轻某一特定的风险,但对具体单项的控制成本与效益则很难估计另外,控制成本与效益的估计,也会因单位或业务性质的不同而有所侧重高风险活动明确要求进行成本收益分析,而低风险活动则可以省略2、人为失误内部控制的设计会受到设计人员经验和知识水平的限制,因而可能存在缺陷同时,执行人员的粗心大意、精力分散、判断失误以及对指令的误解等,也可能使内部控制系统失控或陷于雍疾。
例如,经营决策必须在规定的时间内,根据所掌握的信息,在经营行为的压力之下通过人为判断来做出根据事后的剖析,有些基于人为判断的决策,并不能产生预期的效果,而且可能需要做出改变3、串通舞弊两人或多人的合谋活动可能导致内部控制的失效从事犯罪或者试图隐瞒某项行为的个人,通常会设法改变财务数据或其他管理信息,使其不能为内部控制系统所识别例如,执行一项重要控制职能的员工可能会与客户、供应商或其他员工串通不同级别的销售人员或部门经理有可能合谋绕过控制,以使所报告的成果达到预算或激励目标因此,在实际工作中,如果处于不相容职务上的相关人员相互串通、相互勾结,失去了不相容职务之间相互制约的基本前提,内部控制也就很难发挥作用4、滥用职权各种控制程序是管理工具,但任何控制程序都不能发现和防止那些负责执行监督控制的管理人员滥用职权或不当用权管理权的干预直是导致许多重大舞弊发生和财务报告失真的一个重要原因在某些情况下,对于担任控制职能的人员越权管理、滥用职权,即使具有良好设计的内部控制,也不能发挥其应有的作用内部控制作为企业管理的组成部分,理所当然地要按照管理人员的意图运行,尤其是对企业负责人的决策更具有决定性的作用。
决策出了问题,贯彻决策人意图的内部控制也就失去了其应有的控制作用5、制度失效内部控制制度是针对制度制定时的经济业务设计的,内部控制可能会因经营环境、业务性质的改变而削弱或失效,可能会对不正常的或未预料到的业务类型失去控制能力企业处于经常变化的环境之中,为保持竞争力,势必要经常调整经营策略,这就会导致原有的控制制度对新增的业务内容失去控制作用的情况发生6、例外事件内部控制主要是围绕着企业正常的生产经营活动,针对经常性的业务和事项进行的控制但在现实企业中,由于复杂多变的外部环境使得企业常常会面对一些意外和偶发事件,而这些业务或事项由于其特殊性和非经常性,没有现成的规章制度可循,造成了内部控制的盲点也就是说,内部控制的一个重大缺陷在于它不能应对例外事件企业在处理这些事项时,往往更多地凭借管理层的知识和经验以及对环境变化的感知度,这就是所谓的“例外管理原则”七、 内部控制20世纪初期建立起来的内部牵制制度虽然对企业管理起到很大的作用,但随着经济的不断发展、企业规模的扩大以及对企业管理要求的逐步提高,它的不完善之处也逐渐暴露出来尤其是20世纪30年代全球性经济危机暴露出的会计失真、经济秩序混乱等问题,引起各国政府和企业的高度重视和深刻反思。
一)国外对内控概念的界定明确的内控概念的提出约有70年的历史,其每次突破性发展都是由欧美引发实施的,具体的定义归纳如下1949年定义:基于保护企业资产、检查会计数据的准确性和可靠性、提高运营效率、促进管理政策的贯彻和实施而在企业内部采取的各种方法和措施1958年定义:内部控制分为内部会计控制和内部管理控制前者是关于保护企业资产、检查会计数据的准确性和可靠性的控制;后者是关于提高运营效率、促进管理政策的贯彻和实施的控制1973年的定义:内部管理控制制度包括但不限于组织机构的计划以及与管理部门进行批准决策有关的程序与记录会计控制制度包括组织机构设计以及与财产保护和财务会计记录可信性直接相关的各种措施1988年的定义:企业内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序内部控制结构3要素为:控制环境、会计系统、控制程序1992年的定义:为实现经营效率和效果、财务报告可信性以及相关法令的遵循等目标而提供合理保证的过程内部控制的实施者为企业董事会、经理层及其他员工从各阶段内部控制的定义可以看出内部控制发展、演进和完善的过程,对我国内部控制概念的界定具有很好的借鉴作用二)我国对内部控制概念的界定对比国外发展,我国的内控规范发展独具特色:内控规范建设是由政府各部门以“准法规”形式发布实施的,权威性强,执行快速有力;我国真正意义上的内控规范是从其核心的内部会计控制即会计监管上入手,而不是由内控框架起步的。
2008年6月28日五部委颁布的《企业内部控制基本规范》,将内部控制定义为:是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略在理解此概念中,需要特别注意以下几点1)内部控制的概念不再拘泥于传统意义上的概念,而是结合我国的基本实情,形式上借鉴COSO内部控制整体框架的五要素框架,同时在内容上体现企业风险管理框架的先进理念,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证的五要素框架2)内部控制的实施者结构为“董事会、监事会、经理层和全体员工”,体现全员特征内部控制是一个受“人”影响的过程,它是由组织内部的每一层级人员共同执行,需要全体员工的共同参与它要求企业内部的每个员工均明确自己的责任和权力,以便更好地履行其职责,提高内部控制的执行力度3)内部控制是一个“过程”而非结果,不是单一制度、机械的规定,而是一个发现问题、解决问题,并且贯彻于企业管理始终的动态过程该定义没有用“合理保证”这个词,并非说明内部控制是目标的完全保证,“过程”已体现了合理保证的核心思想,控制目标一定能实现,只是需要一个过程。
而“合理保证”的内涵在内部控制五大要素之中,特别是在控制活动中得到体现八、 企业风险管理(一)企业风险管理(2004)架构1、基本框架2004年,COSO为企业风险管理确立了一个可普遍接受的定义,该定义融入众多观点并达成共识,为各组织识别风险和加强对风险的管理提供了坚实的理论基础,即企业风险管理是一个受企业董事会、管理层和其他人士影响的过程,运用于制订战略之中,并且贯穿整个企业,用以识别可能影响该企业的潜在事项,并且将风险控制在风险偏好的范围之内,为达到实体目标提供合理的保证企业风险管理(2004)框架的主要贡献就在于,其重新界定了风险管理,即由目标、要素和组织三个维度组成的有机整体第一维度为企业的目标,即战略目标、经营目标、报告目标和合规目标在主体既定的使命或愿景范围内,管理当局制订战略目标、选择战略,并在企业内自上而下设定相应的目标企业风险管理框架力求实现主体的战略目标、经营目标、报告目标和合规目标战略目标与高层目标相关,和企业使命相一致,企业所有的经营管理活动必须长期有效地支持该使命经营目标与企业运营的效果和效率相关,包括业绩和利润目标,运营变化以管理当局对结构和业绩的选择为基础,旨在使企业能够高效地使用资源。
报告目标与组织报告可靠性相关,包括对内报告和对外报告,涉及财务和非财务信息合规目标层次较低,也是最基础的目标,与组织遵循相关法律法规有关第二维度为构成要素,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控第三维度组织是企业的层级,包括主体层次、分部、业务单元及子公司三个维度的关系是,全面风险管理的八个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理2、构成要素第二维度企业风险管理包含八个相互关联的要素它们来源于管理当局经营企业的方式,并与管理过程整合在一起这些构成要素的含义如下内部环境——内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境目标设定——必须先有目标,管理当局才能识别影响目标实现的潜在事项企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符事项识别——必须识别影响主体目标实现的内部和外部事项,区分风险和机会机会被反馈到管理当局的战略或目标制订过程中。
风险评估—一通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据风险评估应立足于固有风险和剩余风险风险应对——管理当局选择风险应对—回避、承受、降低或者分担风险——采取一系列行动以便把风险控制在主体的风险容忍度和风险容量以内控制活动—一制订和执行政策与程序以帮助确保风险应对得以有效实施信息与沟通一一相关的信息以确保员工履行其职责的方式和时机,能被识别、获取和沟通有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动监控——对企业风险管理进行全面监控,必要时加以修正监控可以通过持续的管理活动、个别评价或者两者结合来完成企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素它是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都会影响其他构成要素3、企业风险管理(2004)框架面临的问题企业风险管理(2004)框架在对企业风险管理进行定义时所强调的最重要也是最独具一格的一点是“贯穿整个企业,应用于战略制定中”而这一点在实践中却被误读,甚至被无视COSO最初在编制ERM框架时采用了类似于内部控制框架所使用的立方体虽然COSO对立方体右侧的内容进行了修改,删除了有关活动和流程,改为侧重于范围更广的实体和运营单位及分支机构,但许多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非战略制定。
许多组织机构将企业风险管理作为一种保证活动来实施,而不是将其视为一种更佳的企业管理方式,从而失去了治理效果2008年金融危机以及2011年的日本海啸所引发的经济大萧条,“黑天鹅”“大变脸”事件频频爆发,ERM有关问题和价值的主张便开始明朗起来,令许多企业进入危机应对模式,企业风险管理的实施也因此受到企业特别是C级高管的真正重视6月24日,COSO委员会发布《企业风险管理:风险与战略和绩效的协调》,以向公众征求意见,截止日期为2016年9月30日二)企业风险管理(2016)框架的内容相对于企业风险管理(2004)框架,新版企业风险管理(风险与战略和绩效的协调)(2016)使用了构成元素加原则的结构,包括5个构成元素,细分为23条原则,2013年COSO组织更新了企业内部控制框架的部分内容,在文章的整体结构上就是采用的这种结构新的结构加强了新框架的可读性、可用性和一致性新版ERM框架的五要素和23个原则新版框架对ERM的定义为:组织在创造、保存、实现价值的过程中赖以进行风险管理的,与战略制订和实施相结合的文化、能力和实践可以看到,新版框架简化了ERM的定义以方便阅读和记忆新定义方便的是所有读者的理解,而不只是风险管理从业者。
新定义包括文化和能力而不只是过程,更加强调风险与价值的相结合,突出价值创造而不只是防止损失,这样也避免了和内部控制定义的界限不清新版框架中,ERM被视为战略制定的重要组成和识别机遇、创造和保留价值的必要部分新版框架中ERM不再是主体的一个额外的或是单独的活动,而是融入主体的战略和运营当中的有机部分新版框架注意到了自旧版框架发布以来,组织在实践ERM过程中遇到的一些问题,包括对风险管理工作的定位,风险管理工作的范围和目标等,新版框架定义了风险管理工作的高度,包括:战略和业务目标与使命、愿景和价值观不匹配的可能性;选定的战略所隐含的意义;执行战略过程中的风险1、风险治理和文化风险治理和文化构成了ERM所有其他部分的基础风险治理定下主体的基本基调,加强ERM的重要性并确立ERM的监管责任的分配;文化则是主体的价值观、行为准则和对风险的理解1)实现董事会对风险的监督董事会对主体的风险监督负有首要责任2)建立治理和运作模式在明确的责任分配下,组织应该建立完整的运营模式和汇报体系3)定义期望的组织行为董事会和管理层通过定义其期望的行为将组织核心价值和对风险的态度具体化4)展现对诚实和道德的承诺组织制定基调,建立员工行为准则并对偏离准则的行为做出回应。
5)加强问责组织确保各个层级的个体在风险管理方面的职责明确,并确保其自身在提供准则和指导方面的职责明确6)吸引、发展并留住优秀的个体致力于根据战略和业务目标构筑人力资本,管理层通过在不同层面建立人力资源管理体系来吸引、培训、指导人才,评价和留住人才2、风险、战略和目标设定ERM通过制订战略和业务目标的过程与主体的战略计划融合在一起通过对商业环境的理解,组织可以得到对内在和外在因素的看法以及它们对风险的影响组织在战略制订中确定其风险偏好,而业务目标使得战略得以实践并形成主体日常的运营1)考虑风险和业务环境组织考虑业务环境对风险图谱的潜在影响;组织要理解业务环境,考虑内部和外部的环境和不同的利益相关者2)定义风险偏好组织在创造、保存和实现价值的过程中定义风险偏好3)评估可供选择的战略组织评估可替代的战略和对风险状况的影响4)建立业务目标的同时考虑风险组织建立不同层次的业务目标以制定和支持战略的同时考虑风险5)定义可接受的绩效浮动区间可接受的绩效浮动也可以理解为风险容忍度3、执行中的风险组织识别并评估可能影响其实现战略和业务目标的风险,结合企业的风险偏好,对风险按照其严重程度排分优先次序,组织选择风险应对的方法并对绩效进行监控以做出调整。
这样,企业对追求战略和业务目标时所面临的风险量建立起一个组合的观念1)识别执行中的风险组织识别执行过程中影响业务目标实现的风险2)评估风险的严重程度风险评估的重要工具是风险热力图,热力图从风险发生的可能性和影响程度两方面对风险进行评级风险评价要从固有风险、目标剩余风险和实际剩余风险三个层级进行3)区分风险的优先次序组织结合风险偏好,选定对风险排分优先等级的标准,然后对所有识别的风险进行排分4)识别并选择风险响应这些控制活动在《内部控制—一整合框架》中已经介绍5)评估执行中的风险组织需要对绩效进行监测,如果绩效的浮动区间超出了可以接受的范围,则可能需要重新考虑业务目标或战略;调整目标绩效,重新进行风险评估;重新进行风险优先级的排序;重新制定风险应对措施;重新确立风险偏好6)建立风险的组合观管理层需要从组织整体角度考虑风险,将组织风险作为一个整体去和实现绩效目标所需要承受的风险进行对比,而不是将其视为一个个单独的、分散的风险4、风险信息、沟通和报告沟通是在主体中不断迭代地取得并分享信息的过程管理层利用从内部和外部取得的有效信息来支持企业风险管理工作,组织利用信息系统来捕捉、处理和管理数据和信息。
通过利用应用于所有组成部分的信息,组织就风险、文化和绩效做出报告1)使用相关信息组织利用支持企业风险管理的信息,首先考虑有哪些可用的信息来源,然后衡量取得这些信息的成本,最终确定需要哪些信息来源2)利用信息系统信息系统可以是正式的或者是非正式的3)沟通风险信息沟通的对象既包括内部的员工,也包括董事会、股东及其他外部的利益相关者沟通方法可以是电子信息、外部/第三方材料、非正式/口头、公共活动、培训和研讨会、内部文件4)对风险、文化和绩效进行报告组织在各个层级对风险、文化和绩效做出报告5、监控风险管理效果通过监控风险管理(ERM)的效果,组织可以判断ERM的各组成部分的长期运作是否良好并获知有哪些实质性的变化1)对重大变化进行监控组织识别和评估可能对战略和业务目标的达成造成实质性影响的内部和外部变化造成这些实质性影响的变化可能来自内部的原因,如快速成长、新技术或者管理层及其他人事变动;可能来自外部环境,例如法规和经济环境的变化;还可能来自组织文化方面,例如并购和重组带来的文化冲击2)对ERM进行监控组织应监控ERM的效果并随时准备对其进行效率上和实用性上的改善,组织同样要明确未来理想中的ERM状态,做到持续改进。
九、 内部控制评价工作底稿与报告(一)内部控制评价工作底稿根据《企业内部控制评价指引》第十一条的要求,内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等评价工作底稿应当设计合理、证据充分、简便易行、便于操作二)内部控制评价报告根据《企业内部控制基本规范》《企业内部控制评价指引》的相关规定,企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告1、内部控制评价报告的内容根据《企业内部控制评价指引》第二十二条的规定,内部控制评价报告至少应当披露下列内容:(1)董事会对内部控制报告真实性的声明;(2)内部控制评价工作的总体情况;(3)内部控制评价的依据;(4)内部控制评价的范围:(5)内部控制评价的程序和方法;(6)内部控制缺陷及其认定情况;(7)内部控制的整改情况及对重大缺陷拟采取的整改措施;(8)内部控制有效性的结论2、报告时间及要求内部控制评价报告应当报经董事会或类似权力机构批准后与审计报告一起对外披露企业应当以12月31日作为年度内部控制评价报告的基准日,内部控制评价报告应当在基准日后4个月内报出。
企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整十、 内部控制评价的组织与实施内部控制评价是由企业董事会和管理层实施的进行评价的具体内容应围绕《企业内部控制基本规范》中提及的内部控制五个要素即内部环境、风险评估、控制活动、信息与沟通、内部监督,以及《企业内部控制基本规范》及《企业内部控制应用指引》中的内容在确定具体内容后,企业应制定内部控制评价程序,对内部控制有效性进行全面评价,包括财务报告内部控制有效性和非财务报告内部控制有效性;同时为内部评价工作形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、关键风险点、采取的控制措施、有关证据资料以及认定结果等;企业还应在评价工作中明确内部控制缺陷的认定准则;完成评价后,企业应当准备一份内部控制自我评价报告,在其年报中进行披露:企业董事会应当对内部控制评价报告的真实性负责一)内部控制评价的相关概念内部控制评价一般是指由专门的机构或人员,通过对单位内部控制系统的了解、测试和分析,对其完整性、合理性及有效性提出意见,并进行报告,以利于单位进一步健全和完善内部控制体系。
我国《企业内部控制基本规范》第四十六条指出:企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定二)内部控制评价应当遵循的原则根据《企业内部控制评价指引》第三条的规定,内部控制评价应遵循以下3个原则1、全面性原则评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项2、重要性原则评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域3、客观性原则评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性三)内部控制评价的内容根据《企业内部控制评价指引》的要求,内部控制评价涉及以下7个方面1)企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价2)企业组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
3)企业组织开展风险评估机制评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价4)企业组织开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价5)企业组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价6)企业组织开展内部监督评价,应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本企业的内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用7)内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
评价工作底稿应当设计合理、证据充分、简便易行、便于操作四)内部控制评价的程序根据《企业内部控制评价指引》第十二条的要求,企业应按照内部控制评价办法规定程序,有序开展内部控制评价工作内部控制评价程序一般包括制订评价控制方案、组成评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节在这里重点讲解制订评价控制方案、组成评价工作组、实施评价工作与测试、汇总评价结果四个环节1、制订评价控制方案企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作承担内部控制评价的部门或机构应具备以下条件1)能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;(2)具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;(3)与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约;(4)能够得到企业董事会和经理层的支持,通常直接接受董事会及其审计委员会的领导和监事会的监督,有足够的权威性来保证内部控制评价工作的顺利开展内部控制评价部门或机构应根据内部监督情况和要求,制订评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权审批后实施。
这是一个进行内部控制评估前的全面计划,提供内部控制评价的效率和效果2、组成评价工作组内部控制评价部门或机构在评价方案获得批准后,需要组织评价工作组,具体承担内部控制检查评价任务评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加企业可根据自身的条件建立内部控制培训机制,为评价工作组成员提供培训,使其尽快掌握内部控制知识,熟悉企业业务流程及应关注重点、评价工作流程、方法以及工作底稿准备的要求对于拥有内部审计部门的企业来说,内审部门很有可能也同样地担当内部控制评价组的工作但如果企业决定利用外聘会计师事务所为其提供内部控制评价服务,根据《企业内部控制基本规范》的要求,则该事务所不应同时为企业提供内部控制的审计服务3、实施评价工作与测试评价工作组需通过了解企业层面基本情况、各业务层面的主要流程,识别有关主要风险后,才能开展实施及测试设计和运行有效性的内部控制工作1)了解公司层面基本情况评价工作组与被评价单位进行充分沟通,了解其经营业务范围、企业文化、发展战略、组织结构、人力资源等内部环境及内部控制内容中五个要素的运作情况2)了解各业务层面的主要流程及风险。
在这一阶段,评价工作组把工作重点放在主要业务流程上,如资金管理流程、销售流程和采购流程等为支持评估工作与相关测试有效进行,企业应建立全面文档记录文档记录可以帮助评价工作组了解各个主要业务领域的流程,识别相关的风险关注点及可能存在的内部控制措施评价工作组可审阅的内控流程文档可能有以下几种①风险控制矩阵文档关注点在于复核风险流程的合理性,例如,文档是否包含了流程面临的所有风险、列示的风险是否得到定期或及时的更新、对于各项风险的重要性水平分析是否合理,以及复核控制点的识别,关键控制点、重要控制点、一般控制点的判断是否合适②流程图文档关注点在于流程图是否与实际操作及风险控制矩阵描述相符合,流程图是否清楚地标示所有风险点及控制点,流程图中责任部门、岗位以及其他管理机构是否表述清晰、表述的流程路径是否清晰、是否存在交叉,以及内容是否涵盖所有流程实际操作及相应的控制活动③审批权限表文档关注点在于部门及岗位的描述是否准确、权限的划分和设置是否合理评价工作组应识别业务流程中的关键业务或固有风险,提出对于每一重大流程在交易过程中“可能出错”而产生重大错误的问题在这些控制点上识别降低风险的控制,这些控制应当能够为防止发生重要的错误或者能发现并更正错误提供合理保证。
有些控制可能并不显而易见,可能是电子化或者是人工的,并且同时是高层及基层实施这些关注点将是评价工作组进行设计或运行有效性并做出结论的地方例如,银行账户管理中,银行账户的开立、变更及撤销未经合理的审批及授权,对于该风险点应该采取相应控制措施,提交给银行的开立账户申请书需要经过公司总经理书面批准(签章),提交给银行的变更账户申请需要经过财务经理和总经理审批,提交给银行的撤销账户申请需要经过财务经理和总经理审批再以资金管理流程为例,企业面临的一个关键业务风险可能是客户需求的波动,当客户需求下降时,企业收入减少,进而发生资金的短缺并增加对营运资金需求的压力,资金需求将会直接导致银行融资或企业债券融资的增加进而导致企业的财务费用成本增加固有风险是指假设不存在相关的内部控制,某一业务风险事项发生的可能性例如,某企业所处行业的性质决定该类企业资金、在建工程与固定资产的交易比存货(通常为一些低值易耗品)的交易更容易出现差错一些产生经营风险的外部因素也可能影响固有风险,如“节能减排”的目标要求企业投资建立高效率、低消耗的新型生产线,并对旧装备进行技术改造,这些都会影响资金流在各重要流程中,管理层可能已实施不同程度的控制以应对风险。
例如,在资金管理流程、银行账户的开立的风险点中,可能有的控制措施是要求提交给银行的开立账户申请书需要经过公司总经理书面批准或签章3)确定检查评价范围和重点评价工作组根据掌握的情况确定评价范围、检查重点和抽样数量,进行分工与测试评价范围、方式、程序和频率,将因企业经营业务调整、经营环境、风险水平等因素而异4)开展现场检查测试评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法,收集被评价单位内部控制设计与运行是否有效的证据,按照要求填写工作底稿、记录有关测试结果如果发现内部控制出现缺陷,则需与管理层沟通,对有关缺陷进行认定并进行记录①个别访谈评价工作组人员可以个别访谈企业或被评价单位的不同人员,了解公司内部控制的现状与运行个别访谈通常用于企业层面与业务层面评价的阶段②调查问卷调查问卷多用于企业层面的评价,通过扩大对象范围,如企业中的全体员工,收集简单结果,如对公司企业文化的认同③专题讨论这是一种集合企业中有关专业人员就内部控制执行情况或控制问题进行的分析和讨论④穿行测试穿行测试是指在流程中任意选取一项交易为样本,获取原始单据,跟踪交易从最初起源,到会计处理、信息系统和财务报告编制,直到这项交易在财务报表中报告出来的全过程。
通过执行“穿行测试”,评价工作人员可获取对一个流程的了解,查找潜在的内控设计问题并识别出相关控制⑤实地查验这是一个用于业务层面评价的方法例如,评价工作人员进行实地盘点以测试企业记录存货的数量,或有关控制的有效性抽样方法可以分为随机抽样和其他抽样法随机抽样一般被认为是最具有代表性或是基于统计学的取样方式,从样本库中抽取一定数量的样本,进行控制测试,以获取有关控制的运。