热交换钢管公司内部控制计划

泓域/热交换钢管公司内部控制计划热交换钢管公司内部控制计划目录一、 内部控制的局限性 3二、 内部控制的重要性 6三、 内部控制 9四、 内部控制与企业风险管理的关系分析 12五、 信息控制 15六、 沟通控制 24七、 举报人保护制度 28八、 举报投诉制度 31九、 信息与沟通的概念 35十、 信息与沟通的作用 36十一、 社会责任 38十二、 企业文化 41十三、 内部环境如何发挥作用 45十四、 控制的层级制度 45十五、 公司治理的产生及动因 48十六、 企业的演进 57十七、 发展与创新阶段 62十八、 起步和探索阶段 65十九、 项目基本情况 66二十、 公司概况 71公司合并资产负债表主要数据 72公司合并利润表主要数据 72二十一、 组织机构、人力资源分析 72劳动定员一览表 73二十二、 发展规划 74二十三、 SWOT分析说明 81一、 内部控制的局限性依据唯物辩证法的观点，任何事物都不可能尽善尽美，内部控制也有其两面性：一方面它对企业预期目标具有控制作用：另一方面也有他的不足和缺陷，存在固有的局限性一般而言，内部控制的局限性表现在以下几个方面1、成本限制内部控制受到成本与效益原则的限制，内部控制系统所需求的保证水平有必要根据其成本而定。

一般来说，控制程序的成本不能超过风险或错误可能造成的损失和浪费否则，再好的控制措施和方法也将失去意义由于存在资源稀缺问题，企业必须考虑建立控制的相应成本般而言，用于衡量控制成本与收益的标准不同控制成本量化较为容易，控制效益量化则相当复杂，难免包括主观的评估在评估潜在收益时可以考虑以下特定因素：不理想情形发生的可能性、各项活动的特性、时间价值有可能对实体造成的潜在财务或经营影响此外，成本效益决策的复杂性还在于当控制与管理或运营过程相结合，或“纳入”管理或营运过程时，很难区分哪些是控制的成本与效益，哪些是管理或营运的成本与效益同样，若干项控制措施组合在一起，在很多时候，可用以防范或减轻某一特定的风险，但对具体单项的控制成本与效益则很难估计另外，控制成本与效益的估计，也会因单位或业务性质的不同而有所侧重高风险活动明确要求进行成本收益分析，而低风险活动则可以省略2、人为失误内部控制的设计会受到设计人员经验和知识水平的限制，因而可能存在缺陷同时，执行人员的粗心大意、精力分散、判断失误以及对指令的误解等，也可能使内部控制系统失控或陷于雍疾例如，经营决策必须在规定的时间内，根据所掌握的信息，在经营行为的压力之下通过人为判断来做出。

根据事后的剖析，有些基于人为判断的决策，并不能产生预期的效果，而且可能需要做出改变3、串通舞弊两人或多人的合谋活动可能导致内部控制的失效从事犯罪或者试图隐瞒某项行为的个人，通常会设法改变财务数据或其他管理信息，使其不能为内部控制系统所识别例如，执行一项重要控制职能的员工可能会与客户、供应商或其他员工串通不同级别的销售人员或部门经理有可能合谋绕过控制，以使所报告的成果达到预算或激励目标因此，在实际工作中，如果处于不相容职务上的相关人员相互串通、相互勾结，失去了不相容职务之间相互制约的基本前提，内部控制也就很难发挥作用4、滥用职权各种控制程序是管理工具，但任何控制程序都不能发现和防止那些负责执行监督控制的管理人员滥用职权或不当用权管理权的干预直是导致许多重大舞弊发生和财务报告失真的一个重要原因在某些情况下，对于担任控制职能的人员越权管理、滥用职权，即使具有良好设计的内部控制，也不能发挥其应有的作用内部控制作为企业管理的组成部分，理所当然地要按照管理人员的意图运行，尤其是对企业负责人的决策更具有决定性的作用决策出了问题，贯彻决策人意图的内部控制也就失去了其应有的控制作用5、制度失效内部控制制度是针对制度制定时的经济业务设计的，内部控制可能会因经营环境、业务性质的改变而削弱或失效，可能会对不正常的或未预料到的业务类型失去控制能力。

企业处于经常变化的环境之中，为保持竞争力，势必要经常调整经营策略，这就会导致原有的控制制度对新增的业务内容失去控制作用的情况发生6、例外事件内部控制主要是围绕着企业正常的生产经营活动，针对经常性的业务和事项进行的控制但在现实企业中，由于复杂多变的外部环境使得企业常常会面对一些意外和偶发事件，而这些业务或事项由于其特殊性和非经常性，没有现成的规章制度可循，造成了内部控制的盲点也就是说，内部控制的一个重大缺陷在于它不能应对例外事件企业在处理这些事项时，往往更多地凭借管理层的知识和经验以及对环境变化的感知度，这就是所谓的“例外管理原则”二、 内部控制的重要性内部控制作为现代组织管理框架的重要组成部分，是一个组织持续发展的机制和重要保证现代组织理论和管理实践表明，组织的一切管理工作，都要从建立与健全内部控制制度开始；组织的一切活动，都无法游离于内部控制之外得控则强，失控则弱，无控则乱”，内部控制的重要性主要体现在以下4个方面一）内部控制是实现企业发展战略的基础企业的发展不能是为现在而发展，而应该是为未来而发展，必须要有一个长期的目标企业的发展战略是企业对全局的一种总体设想，是从宏观的角度对企业的未来的一种较为理想的设定。

它所提出的是企业整体发展的总任务和总要求，它所规定的是整体发展的根本方向因此，人们所提出的企业发展战略总是高度概括的，而且着眼于未来和长远一般认为，要实现企业长远的发展战略就要有健全有效的内部控制作为支撑实践证明，在我国经济快速发展的背景下，只有建立和实施科学的内控体系，才能提升风险防范能力，实现企业可持续发展战略在西方，内部控制提出得较早，相关的法律法规也对此有了明确的要求而在我国，具有强制性要求的内部控制基本规范形成较晚，许多企业并没有自发地认识到建设与执行内部控制的重要性，因此，在与国外企业交往的过程中，常常由于这方面的欠缺而遭到不公正的待遇企业应该意识到，内部控制及其评价制度不只是为了满足外部强制要求，而应该最终成为一种自发的行动建设和完善内部控制体系是我国企业融入国际社会和健康、可持续发展的必由之路二）内部控制是提高企业经营管理效率的保证内部控制产生于组织管理的需要，存在于组织经营管理活动之中，是组织内部管理的重要组成部分，这就决定了内部控制的主体是组织的管理部门和具体执行各项控制措施的人员，企业内部控制划分为内部管理控制与内部会计控制两大类内部管理控制制度是指那些对会计业务、记录和报表的可靠性没有直接影响的内部控制。

内部会计控制是指那些对会计业务、记录和报表的可靠性有直接影响的内部控制，通过这种控制的建立，能维护财产物资的安全、完整，保证会计信息的真实、可靠，保证经营管理活动的经济性、效率性和效果性，保证各项法律和规范的遵守内部控制贯穿于企业经营管理活动的各个方面，只要企业存在经济活动和经营管理，就需要建立、健全企业的内部控制并加强内部控制三）内部控制是提高企业信息质量的保证众所周知，在信息化时代，信息足以决定一个企业的兴衰存亡首先，高质量的报告信息将为管理当局提供准确而完整的信息，用以支持管理当局的决策和对主体活动及业绩的监控同时，高质量的对外报告和披露有助于企业的外部投资者、债权人等利益相关者以及监管当局做出正确的决策有效的内部控制系统通过职务分离、岗位轮换、内部审计等控制方法及手段对企业信息的记录和报告过程进行全面持续的监控，及时发现和纠正各种错误与舞弊，保证企业信息能够真实完整地反映企业经营活动的实际情况反思我国近年来的一系列财务舞弊案件，如红光实业、银广夏、蓝田股份等，其组织的内部控制失效负有不可推卸的责任国内外证券市场的财务丑闻，使得广大投资者蒙上厚重的心理阴影，要求规范上市公司财务报告的呼声越来越高。

有效的内部控制，对于重塑投资者的信心，维护资本市场的公平和透明，进而保护投资者利益与国家经济安全意义重大四）内部控制是加强企业制度管理的根本现代企业制度是指以市场经济为基础，以完善的企业法人制度为主体，以有限责任制度为核心，以公司企业为主要形式，以产权明晰、权责明确、政企分开、管理科学为条件的新型企业制度企业是一系列“契约的联结”，由于委托人不能直接观测到代理人选择了什么行动，委托人和代理人之间存在信息不对称，具有机会主义倾向的管理当局会利用自己的信息优势，发生偷懒、不当消费等行为，以牺牲委托人的利益为代价，使自己的利益最大化因此，企业所有者需要监督代理人，防止代理关系下的信息不对称，降低代理成本，实现公司治理目标，从而有助于最大限度地满足企业所有者的权益同时，通过不相容职务分离控制、授权审批控制、会计系统控制、资产安全控制、绩效考评控制等手段形成各司其职、各负其责、相互制约的工作机制，逐渐推动企业管理水平与会计信息质量的提升，提升经营的效率和效果三、 内部控制20世纪初期建立起来的内部牵制制度虽然对企业管理起到很大的作用，但随着经济的不断发展、企业规模的扩大以及对企业管理要求的逐步提高，它的不完善之处也逐渐暴露出来。

尤其是20世纪30年代全球性经济危机暴露出的会计失真、经济秩序混乱等问题，引起各国政府和企业的高度重视和深刻反思一）国外对内控概念的界定明确的内控概念的提出约有70年的历史，其每次突破性发展都是由欧美引发实施的，具体的定义归纳如下1949年定义：基于保护企业资产、检查会计数据的准确性和可靠性、提高运营效率、促进管理政策的贯彻和实施而在企业内部采取的各种方法和措施1958年定义：内部控制分为内部会计控制和内部管理控制前者是关于保护企业资产、检查会计数据的准确性和可靠性的控制；后者是关于提高运营效率、促进管理政策的贯彻和实施的控制1973年的定义：内部管理控制制度包括但不限于组织机构的计划以及与管理部门进行批准决策有关的程序与记录会计控制制度包括组织机构设计以及与财产保护和财务会计记录可信性直接相关的各种措施1988年的定义：企业内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序内部控制结构3要素为：控制环境、会计系统、控制程序1992年的定义：为实现经营效率和效果、财务报告可信性以及相关法令的遵循等目标而提供合理保证的过程内部控制的实施者为企业董事会、经理层及其他员工从各阶段内部控制的定义可以看出内部控制发展、演进和完善的过程，对我国内部控制概念的界定具有很好的借鉴作用。

二）我国对内部控制概念的界定对比国外发展，我国的内控规范发展独具特色：内控规范建设是由政府各部门以“准法规”形式发布实施的，权威性强，执行快速有力；我国真正意义上的内控规范是从其核心的内部会计控制即会计监管上入手，而不是由内控框架起步的2008年6月28日五部委颁布的《企业内部控制基本规范》，将内部控制定义为：是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略在理解此概念中，需要特别注意以下几点1）内部控制的概念不再拘泥于传统意义上的概念，而是结合我国的基本实情，形式上借鉴COSO内部控制整体框架的五要素框架，同时在内容上体现企业风险管理框架的先进理念，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证的五要素框架2）内部控制的实施者结构为“董事会、监事会、经理层和全体员工”，体现全员特征内部控制是一个受“人”影响的过程，它是由组织内部的每一层级人员共同执行，需要全体员工的共同参与。

它要求企业内部的每个员工均明确自己的责任和权力，以便更好地履行其职责，提高内部控制的执行力度3）内部控制是一个“过程”而非结果，不是单一制度、机械的规定，而是一个发现问题、解决问题，并且贯彻于企业管理始终的动态过程该定义没有用“合理保证”这个词，并非说明内部控制是目标的完全保证，“过程”已体现了合理保证的核心思想，控制目标一定能实现，只是需要一个过程而“合理保证”的内涵在内部控制五大要素之中，特别是在控制活动中得到体现四、 内部控制与企业风险管理的关系分析内部控制和企业风险管理的目的都是为了满足企业在不同环境中对不确定性的应对管理，从而达到组织预期目的以及持续发展内部控制要对风险的不确定性在应对策略方面进行具体的分解和落实，从而发挥化解风险、控制不确定性的作用，即内部控制是风险管理的业务实施和组织保障总体来说，内部控制和风险管理学科的共同发展为企业运营提供了支持，在企业的实际需求下，两个学科的交融和切入更好地为企业解决其实际运营中的各种不确定性提供了完整的解决方案1）内部控制和风险管理各有侧重内部控制侧重制度层面，通过规章制度规避风险；风险管理侧重交易层面，通过市场化的自由竞争或市场交易规避风险。

一般来说，典型的内部控制依然是为了保证资金安全和会计信息的真实可靠，会计控制是其核心，内部控制一般限于财务及相关部门，并没有渗透到企业管理过程和整个经营系统，控制只是管理的一项职能；典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较，如银行的授信管理、汇率风险管理、利率风险管理等，它贯穿于管理过程的各个方面2）内部控制与风险管理的根本作用都是维护投资者利益、保全企业资产，并创造新的价值从理论上说，企业的内部控制是企业制度的组成部分，是在企业经营权与所有权分离的条件下对投资者利益的保护机制其目的就是保证会计信息的准确可靠，防止经营层操纵报表与欺诈，保护公司的财产安全，遵守法律以维护公司的名誉以及避免招致经济损失等企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展COSO认为，企业风险管理应用于战略制订与组织的各层次活动中它使管理者在面对不确定性时能够识别、评估和管理风险，发挥创造与保持价值的作用风险管理能够使风险偏好与战略保持一致，将风险与增值及回报统筹考虑，促进应对风险的决策，减小经营风险与损失，识别与管理企业风险，为多种风险提供整体的对策，捕捉机遇以及使资本的利用合理化。

3）做好内部控制是做好风险管理的前提风险管理的目的是要防止风险、及时地发现风险、预测风险可能造成的影响，并设法把不良影响控制在最低的程度内部控制就是企业内部采取的风险管理，内部控制制度的制定依据主要是风险，在某些极端情况下（内部控制等于风险管理）甚至完全由风险因素来决定风险越大，越有必要设置适当的内部控制措施，风险相当大时，还要设置多重内部控制措施而且，做好内部控制是做好风险管理的前提企业只有从加强内部控制做起，通过风险意识的提高，尤其是提高企业中处于关键地位的中、高层管理人员的风险意识，才能使企业安全运行，否则，处于失控状态的企业最终将被激烈的市场竞争淘汰总之，企业风险管理框架建立在内部控制整体框架的基础上，内部控制则是企业风险管理必不可少的一部分风险管理框架的范围比内部控制框架的范围更为广泛，是对内部控制框架的扩展，是一个主要针对风险的更为明确的概念企业风险管理框架强调在整个企业范围内识别和管理风险的重要性，强调企业的风险管理应针对企业目标的实现，在企业战略制订阶段就予以考虑，而企业在对其下属部门进行风险管理时，应对风险进行加总，从组织的顶端、以一种全局的风险组合观来看待风险此外，根据风险管理的需要，对企业目标进行重新分类，明确战略目标在风险管理中的地位。

五、 信息控制（一）信息的收集与整理《企业内部控制基本规范》第三十九条规定：企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，以提高信息的有用性1、信息收集的含义信息收集是指通过各种方式获取所需要的信息信息的收集是信息得以利用、传递的第一步，也是关键的一步信息收集工作的好坏，直接关系到信息与沟通的质量信息可以分为原始信息和加工信息两大类，原始信息是指在企业管理中直接产生或获取的数据、概念、知识、经验及其总结，是未经加工的信息；加工信息则是对原始信息经过加工、分析、改编和重组而形成的具有新形式、新内容的信息根据《企业内部控制基本规范》第三十九条的规定，企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；外部信息的收集渠道主要有行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等2、信息收集的原则为了保证信息收集的质量，应坚持以下原则1）准确性原则该原则要求所收集到的信息要真实可靠当然，这个原则是信息收集工作最基本的要求为达到这样的要求，信息收集者就必须对收集到的信息反复核实、不断检验，力求把误差减少到最低限度。

2）全面性原则该原则要求所收集到的信息要广泛、全面完整只有广泛、全面地收集信息，才能完整地反映管理活动和决策对象发展的全貌，为决策的科学性提供保障当然，实际所收集到的信息不可能做到绝对的全面完整，因此，如何在不完整、不完备的信息下做出科学的决策就是一个非常值得探讨的问题3）时效性原则信息的利用价值取决于该信息是否能及时地提供，即信息的时效性信息只有及时、迅速地提供给它的使用者才能有效地发挥作用特别是决策对信息的要求是“事前”的消息和情报，而不是“马后炮”所以，只有信息是“事前”的，对决策才是有效的3、信息收集的范围信息收集的范围可从3个角度来划分1）内容范围内容范围是指根据信息内容与信息收集目标和需求相关性特征所确定的范围，包括本身内容范围和环境内容范围本身内容范围是由事物本身信息相关内容特征组成的范围；环境内容范围是由事物周边、与事物相关的信息的内容特征组成的范围2）时间范围时间范围是指在信息发生的时间上，根据与信息收集目标和需求具有一定相关性的特征所确定的范围，这是由信息的历史性和时效性所决定的3）地域范围地域范围是指在信息发生的地点上，根据与信息收集目标和需求具有一定相关性的特征所确定的范围。

这是由信息的地域分布特征和信息收集的相关性要求所决定的4、信息收集的方法（1）调查法调查法一般分为普查和抽样调查两大类普查是调查有限总体中每个个体的有关指标值抽样调查是按照一定的科学原理和方法，从事物的总体中抽取部分称为样本的个体进行调查，用所得到的调查数据推断总体抽样调查是较常用的调查方法，也是统计学研究的主要内容抽样调查的关键是样本抽样方法、样本量大小的确定等样本抽样方法，又称抽样组织的方式，决定样本集合的选择方式，直接影响信息收集的质量抽样方法一般分为非随机抽样、随机抽样和综合抽样常用的调查方法主要有访问调查法、问卷调查法、观察调查法、实验调查法、文案调查法等，这里主要介绍访问调查法和问卷调查法访问调查法又称采访法，是通过访问信息收集对象，与之直接交谈而获得有关信息的方法它又分为座谈采访、会议采访以及采访和信函采访等方式采访需要做好充分准备，认真选择调查对象了解调查对象，收集有关业务资料和相关的背景资料其主要优点是可以就问题进行深入的讨论，获得高质量的信息；缺点是费用高，采访对象不可能很多，因此受访问者要具有代表性它对采访者的语言交际素质要求较高问卷调查法是一种包含统计调查和定量分析的信息收集方法。

这种方法主要考虑的问题是：所收集信息的内容范围和数量，所选定的调查对象的代表性和数量，问卷的精心设计，问卷的回收率控制等其具有调查面广、费用低的特点，但对调查对象无法控制，问卷回收率一般都不高，回答的质量也较差，受访者的态度具有决定性影响2）观察法观察法主要通过开会、深入现场、参加生产和经营、实地采样等方法进行现场观察并准确记录（包括测绘、录音、录像、拍照、笔录等）调研情况、收集信息主要包括两个方面：一是对人的行为的观察，二是对客观事物的观察观察法应用很广泛，常与询问法、实物搜集结合使用，以提高所收集信息的可靠性3）实验方法实验方法能通过实验过程获取其他手段难以获得的信息或结论实验者通过主动控制实验条件，包括对参与者类型的恰当限定、对信息产生条件的恰当限定和对信息产生过程的合理设计，可以获得在真实状况下用调查法或观察法无法获得的、某些重要的、能客观反映事物运动表征的有效信息，还可以在一定程度上直接观察、研究某些参量之间的相互关系，有利于对事物本质的研究实验方法也有多种形式，如实验室实验、现场实验、计算机模拟实验、计算机网络环境下人机结合实验等现代管理科学中新兴的管理实验、现代经济学中正在形成的实验经济学中的经济实验，实质上就是通过实验获取与管理或经济相关的信息。

4）文献检索文献检索就是从浩繁的文献中检索出所需的信息的过程文献检索分为手工检索和计算机检索手工检索主要是通过信息服务部门收集和建立的文献目录、索引、文摘、参考指南和文献综述等来查找有关的文献信息计算机文献检索，是文献检索的计算机实现，其特点是检索速度快、信息量大，是当前收集文献信息的主要方法文献检索过程一般包括分析研究课题和制定检索策略、利用检索工具查找文献线索、根据文献出处索取原始文献三个阶段文献根据加工深度的不同可分为四个级别：零次文献、一次文献、二次文献和三次文献，所获取的相应信息分别是零次信息、一次信息、二次信息和三次信息零次文献是指未经出版社发行的或未进入社会交流的最原始的文献，如私人笔记、考察笔记等，内容新颖，但不成熟，因不公开交流而难以获得；一次文献是以作者本人取得的成果为依据而创作的论文、报告等经公开发表或出版的各种文献，如期刊论文、科技报告等，其特点是内容新颖丰富、叙述详尽以及参考价值大，但数量庞大而且分散；二次文献是指报道和查找一次文献的检索工具书刊，如各种目录、题录、文摘和索引等二次文献是按照特定目的对一定范围和学科领域内的一次文献进行鉴别、筛选、分析、归纳和加工整理后，使之有序化后出版的。

其主要功能是检索、控制一次文献，帮助人们较快地获取所需的信息，具有汇集性、工具性、综合性和交流性等特点：三次文献是根据二次文献提供的线索选用大量的一次文献的内容，经过筛选、分析、综合和浓缩而再度出版的文献，包括专题评述、年鉴、百科全书、词典、导读与文献服务目录、工具书目录等5）网络信息收集网络信息是指通过计算机网络发布、传递和存储的各种信息收集网络信息的最终目标是给广大用户提供网络信息资源服务，整个过程经过网络信息搜索、整合、保存和服务四个步骤，网络信息搜索是基于网络信息收集系统自动完成的网络信息搜索系统首先按照用户指定的信息需求或主题，调用各种搜索引擎进行网页搜索和数据挖掘，将搜索的信息经过滤等处理过程别除无关信息，从而完成网络信息资源的“收集”；然后通过计算机自动搜索、重排等处理过程，剔除重复信息，再根据不同类别或主题自动进行信息的分类，从而完成网络信息的“整合”；分类整合后的网络信息采用元数据方案进行索引编目，并采用数据压缩及数据传输技术实现本地化的海量数据存储，从而完成网络信息的“保存”，当然要通过网络及时更新；经过索引编目组织的网络信息正式发布后，即可通过检索为读者提供网络信息资源的“服务”5、信息的整理信息的整理就是对收集到的原始信息，通过筛选、核对以及整合，在数量上加以浓缩，在品质上加以提高，在形式上给予表现，使之便于传递、利用和贮存。

信息整理是整个信息处理工作的核心内部控制活动所需要的信息来自于企业内部及外部的、与企业经营管理相关的财务及非财务信息即，内部控制中的信息收集活动涵盖了企业内部及外部、主观及客观、正式与非正式，并影响企业内部环境、风险评估、控制活动及内部监督的信息因此，确定信息的收集内容时，应在内部控制覆盖的信息范围内，强化对信息需求的分析即在与内控相关的信息范围内，根据不同的信息需求收集不同的信息二）信息的传递信息传递是指人们通过声音、文字或图像相互交流信息的过程信息传递研究的是什么人向谁表达，用什么方式表达，通过什么途径表达，达到什么目的信息传递程序中有三个基本环节第一个环节是传达人为了把信息传达给接受人，必须把信息“译出”，成为接受人所能懂得的语言或图像等第二个环节是接受人要把信息转化为自己所能理解的解释，称为“译进”第三个环节是接受人对信息的反应，要再传递给传达人，称为反馈《企业内部控制基本规范》第四十条指出：企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈信息与沟通过程中发现的问题，应当及时报告并加以解决。

重要信息应当及时传递给董事会、监事会和经理层内部信息传递，一方面要完善信息向下传递机制，使企业内部参与经营活动的各个方面和全体人员了解企业实现经营目标方面的信息，明确各自职责，了解自身在内部控制体系中的地位和作用；另一方面要完善信息向上传递机制，使企业员工能够及时将其在企业经营活动中所了解的重要信息向管理层及董事会等方面传递此外，还需建立信息横向传递机制，特别是要使信息在管理层与企业董事会及其委员会之间进行传递三）信息系统与内部控制《企业内部控制基本规范》第四十一条规定：企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行1、信息技术与信息集成随着信息技术的快速发展，企业所面临的竞争环境不断变化，信息已经成为一种资源，能够给企业带来现实的或者潜在的利益那么，我们应如何使自己尽快适应这种变化？一个关键的工作就是对企业内外部的各种信息进行集成管理，以便被企业有效利用就大多数企业的现状来看，出于组织结构的设计、实际工作流程的需要等原因，各企业都存在多个不同的信息系统，它们分别关注企业某一方面的信息，具有不同的信息结构和收集、处理渠道，类似于一个个信息孤岛，从而使信息无法得到有效整合。

这对企业的管理者来说是非常不利的，尤其是高层管理者在做战略决策时，需要大量相关的信息单一部门的信息系统根本不能满足其需求这时，就需要对各部门的信息进行有效的整合和集成有效整合的信息将对管理者决策提供极大的帮助信息系统的出现在一定程度上解决了这个问题2、信息技术与内部控制随着企业信息集成与共享的实现，企业价值链中各环节的资源得到了有效的利用，同时信息技术对内部控制与风险管理也将产生重大的影响企业的内部控制系统也必然随着信息技术的更新而发生改变，例如数据挖掘技术的发展，使得企业有条件实现信息的实时、动态控制和反馈，相对于过去利用汇总的文件进行检查和评估的事后控制模式，此时的控制模式可以实现事前、事中、事后的全过程控制内部控制制度与计算机程序实现融合，对于内控制度的设计提出了更高的要求，常用的控制手段为访问权限的设置、操作口令的管理等内部控制内容的变化主要体现为信息技术相关的控制范围的增加，如计算机硬软件安全性的控制、信息系统管理人员职责的控制等信息集成下的内部控制系统能及时发现内部控制的薄弱环节并及时反馈，因此有必要对此类关键的薄弱环节专门设置控制措施，健全内部控制系统，使内部控制差错带来的损失最小。

信息逐渐被人们当作一种战略资源，企业内部各部门之间以及企业之间都会发生大规模的信息交换，不同部门或不同企业间的信息需要协同，因此信息系统的重要性日益增加随着整个社会信息化进程的加快，企业的日常经营管理活动越来越离不开信息系统的支持完善的信息系统是企业建立有效的内部控制体系的前提六、 沟通控制在一个组织中，沟通是指组织内部以及组织和外部组织间旨在完成组织目标而进行的信息交换沟通交换了有意义、有价值的各种信息，从而使团队合作、组织协调、企业战略制定等企业组织功能得以实现可以看出，沟通的对象并不局限于管理者与被管理者之间，员工与员工、员工与管理层、管理层与管理层之间需要沟通，企业内部与外部也需要沟通沟通是信息系统所固有的功能，信息系统必须将其信息提供给相关人员，以使其能够合理地履行相关的职责信息应在更为广泛的范围内自上而下、自下而上地在整个企业内外进行沟通信息沟通按沟通的对象可以分为内部信息沟通和外部信息沟通内部信息沟通指的是企业经营、管理所需的内部信息、外部信息在企业内部的传递和共享﹔外部信息沟通是指企业与利益相关者之间信息的沟通一）内部信息沟通一个健康的企业需要长期保持系统上下开放式的沟通交流。

开放式沟通能够避免和消除误解，并使信息得到最好的利用一个企业或组织要协调全体员工实现某项目标，必须使每个员工都明确其目标，这就需要某种形式的沟通缺乏沟通，其员工将如一盘散沙，因为所有的协调活动都是在一定形式的沟通下进行的，缺乏有效的交流、沟通，就无法协调通过组织内部的沟通，可以了解各部门的生产或工作进度、各部门之间的关系、各部门员工的士气以及管理的效能等，从而做出如何协调的决定充分的内部沟通对于企业控制环境、控制作业、风险评估等各方面都起着至关重要的作用，企业所采取的沟通方式要能够达到顺畅沟通的目的，使员工们了解自己应承担的责任、应实现的目标以及这些目标对企业的影响有效的信息沟通需要合理考虑来自不同部门和岗位、不同渠道的相关信息，并进行合理筛选和相互核对企业应当采取互联网、电子邮件、、信息快报、例行会议、专项报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息和外部信息在企业内部准确及时地传递和共享，从而确保董事会、管理层和员工之间的有效沟通二）外部信息沟通企业有责任建立良好的外部沟通渠道，对外部有关方面的建议、投诉和收到的其他信息进行记录，并及时予以处理、反馈有效的外部沟通既可以扩大企业的影响力，还可以获得很多有效内部控制的重要信息。

外部沟通应当重点关注以下方面1、与投资者和债权人的沟通企业应当根据《中华人民共和国公司法》《中华人民共和国证券法》等法律法规、企业规章的规定，通过股东大会、投资者会议、定向信息报告等方式，及时向投资者和债权人报告企业的战略规划、经营方针、投融资计划、年度预算、经营成果、财务状况、利润分配方案以及重大担保、合并分立、资产重组等方面的信息，听取投资者和债权人的意见和要求，妥善处理企业与投资者和债权人之间的关系2、与客户的沟通企业可以通过客户座谈会、走访客户等多种形式，定期听取客户对消费偏好、销售策略、产品质量、售后服务、货款结算等方面的意见和建议，收集客户需求和客户的意见，妥善解决可能存在的控制不当问题3、与供应商的沟通企业可以通过供需见面会、订货会、业务洽谈会等多种形式与供应商就供货渠道、产品质量、技术性能、交易价格、信用政策等问题进行沟通，及时发现可能存在的控制不当问题4、与监管机构的沟通企业应当及时向监管机构了解监管政策和监管要求及其变化，并相应完善自身的管理制度；同时，认真了解自身存在的问题，积极反映诉求和建议，努力加强与监管机构的协调5、与外部审计师的沟通企业应当定期与外部审计师进行会语，听取外部审计师有关财务报表审计、内部控制等方面的建议，以保证内部控制的有效运行以及双方工作的协调。

七、 举报人保护制度1、举报人保护制度的主要内容企业应建立专门的举报人保护制度，如举报人信息的保密制度、举报人面临人身威胁与财产损失时的救济制度、用于补助与鼓励举报人的基金制度等主要包括以下内容1）妥善保管和使用举报材料，不得私自摘抄、复制、扣押、销毁举报材料；（2）严禁泄露举报人的姓名、部门、住址等情况；严禁将举报情况透露给被举报人或有可能对举报人产生不利后果的其他部门和员工；（3）调查核实情况时，不得出示举报材料原件或复印件，不得暴露举报人的身份；（4）对匿名的举报书信、材料及录音，不得鉴定笔迹和声音2、投诉举报过程中的违规行为及处理任何单位和个人不得干扰和妨碍办理投诉举报的工作人员查处投诉举报事项接收及办理投诉举报事项的工作人员，应遵守下列工作准则1）接收当面投诉举报应当在能够保密的场所进行，专人接谈，无关人员不得旁听和询问2）投诉举报信件的收发、拆阅、登记、转办、保管和面述或者举报的接待、接听、记录、录音等工作，应当严格遵循保密原则，严防泄露举报内容和遗失举报材料3）投诉举报材料不准私自摘抄和复制4）调查被投诉举报人或被投诉举报单位的情况时，应在做好保密工作、不暴露投诉举报人身份的情况下进行，不得出示投诉举报材料。

5）不得将本单位办理投诉举报的内部研究情况透露给投诉举报人，不得与无关人员谈论投诉举报内容6）不得扣压、隐匿或私自销毁投诉举报材料7）不得刁难、威胁投诉举报人建立举报人保护制度关键在于对于举报人的信息必须严格保密，控制知晓者的范围，并明确知晓者所承担的保密义务；当举报人遭到打击报复时，应该及时干预，并给予严格惩处当然，对借投诉或举报之名故意捏造虚假事实，诬告、陷害他人，或以投诉举报为名制造事端、干扰正常工作的，将依照有关规定严肃处理；构成犯罪的移送司法机关处理3、投诉举报人保护措施（1）保护投诉举报人应当遵循保密、奖励和其合法权益不受侵犯的原则2）各部门及子公司都必须正确对待投诉举报人依法举报的行为，不得以任何借口打击报复投诉举报人3）严禁将投诉举报人的姓名、单位、住址等有关情况和投诉举报内容透露给被投诉举报人和被投诉举报单位：被投诉举报人是单位负责人的，不得将投诉举报材料转给该负责人所在单位违反前款规定的，应追究相应的责任，经司法机关认定触犯法律的，送交司法机关处理4）对投诉举报有功人员，应按有关规定给予表彰、奖励在宣传报道和奖励举报有功人员时，除征得投诉举报人的同意外，不得公开投诉举报人的姓名和单位。

5）投诉举报人受到打击报复时，有权向负责单位或上级主管反映所谓打击报复，是指被投诉举报人及其单位实施的侵害投诉举报人及其亲属的人身权利以及其他合法权利的行为6）对投诉举报人打击报复的应追究相应的法律责任，经司法机关认定触犯法律的，送交司法机关处理对投诉举报人打击报复行为包括纵容、包底或收买、指使他人对投诉举报人打击报复7）投诉举报人因投诉举报而受到纪律处分以及其他不公正待遇的，应按照管辖权限予以纠正，或建议做出处理决定的单位及其上级单位予以纠正投诉举报人的人身安全受到威胁时，有关部门应及时采取保护措施因投诉举报造成投诉举报人及其亲属的名誉、财产受到侵害的，应要求侵权人停止侵害、赔礼道歉、赔偿损失投诉举报人也可向法院起诉八、 举报投诉制度《企业内部控制基本规范》第四十三条规定：企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径举报投诉制度和举报人保护制度应当及时传达至全体员工投诉是信息沟通的重要手段之一，是信息自下而上沟通的重要形式企业员工处于经营活动的第一线，能够及时发现经营活动及内部控制实施过程中存在的不足、问题和缺陷以及舞弊行为，并能就完善内部控制体系提出合理化建议和改进意见。

为此，企业应当建立举报投诉制度，设置举报专线明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径一）投诉举报范围及管理职责归属1、投诉举报范围投诉举报范围主要包括以下几个方面1）收受贿赂或回扣；（2）将正常情况下可以使企业合法获利的交易事项转移给他人；（3）故意隐瞒、错报交易事项，使信息披露存在虚假记载、误导性陈述或重大遗漏；（4）贪污、挪用、盗窃企业资产；（5）伪造、变造会计记录或凭证，提供虚假财务报告；（6）泄露公司的商业机密、技术秘密；（7）董事、监事、经理及其他高管人员以权谋私；（8）其他损害公司经济利益或谋取不正当利益的经济行为以及使员工个人的正当利益受到损害的行为2、管理职责归属一般而言，企业内部审计、监察等部门是投诉及举报人保护的管理部门，具体职责如下1）负责管理投诉举报、电子邮箱，接收实名或匿名投诉举报，并根据需要公布投诉举报号码、电子邮箱、通信地址等；（2）书面记录举报内容并及时向管理层或董事会报告；（3）对接受的投诉举报进行调查并将调查结果向管理层或董事会报告；（4）对投诉举报和调查处理后的报告材料及时立卷归档二）投诉举报方式投诉举报人可以采用书面、电子邮件、等形式进行投诉举报。

投诉举报时应当说明事情的基本经过，被投诉举报对象的名称、地址、具体当事人、投诉举报人的姓名、联系方式、投诉举报人的具体投诉要求，并应同时提供投诉举报人利益或公司利益受到侵害的证据，以及与投诉举报事项相关的其他材料企业应提倡实名投诉举报凡实名投诉举报的，审计、监察部门将严格保密并以适当的方式将处理结果反馈给投诉举报人三）投诉举报处理程序投诉举报的处理程序主要包括以下几个方面1）投诉举报时投诉举报人应当如实提供情况，审计、监察部门接收工作人员应对投诉举报内容进行记录投诉举报人捏造事实伪造证据，利用投诉举报诬告、陷害他人的，应当承担相应的责任2）对涉及普通员工及中级管理人员（包括控股子公司管理层）的实名投诉举报，审计、监察部门自接到投诉举报后两个工作日内报总经理；对涉及普通员工及中级管理人员（包括控股子公司管理层）的匿名投诉举报，审计、监察部门进行初步评估后报总经理由总经理决定是否接受该投诉举报3）对投诉举报牵涉到公司高级管理人员的，审计、监察部门自接到投诉举报后一定（如两个）工作日内报公司董事会，由董事会决定是否接受该投诉举报董事会在接受投诉举报后，视需要可聘请外部审计师或其他机构协助调查。

4）接受投诉举报事项后，审计、监察部门对其展开调查，对涉及普通员工及中级管理人员（包括控股子公司管理层）的调查结果上报总经理并形成处理意见，对牵涉到高级管理人员的调查结果上报董事会并形成处理意见5）接受投诉举报事项后，审计、监察部门应在规定期限内将调查情况或处理结果告知投诉举报人具体分为以下几种情况①对属于职权范围内的，自收到举报后一定时期（如2个月）内，将调查情况或处理结果告知投诉举报人；逾期不能告知的，应当向投诉举报人说明原因②对不属于职权范围内的，自收到投诉举报后一定时期（如10日）内，将不予接受的原因告知投诉举报人，并告知受理机关；需要代转或送交有关部门办理的，应告知投诉举报人所转送部门和转办时间③投诉举报人未署真实姓名、地址，无法告知的，不适用前两款规定6）投诉举报人认为接收、办理投诉举报的工作人员与被投诉举报人是近亲属或有利害关系，可能影响举报事项客观、公正处理的，有权提出回避要求情况属实的，有关人员必须回避7）投诉举报人对处理结果有异议或多次投诉举报不予接受的，可以向董事会陈述意见，并由董事会在一定时期（如30日）内将办理情况答复投诉举报人九、 信息与沟通的概念《企业内部控制基本规范》第三十八条指出：企业应当建立信息与沟通制度，明确企业内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。

信息与沟通，包括辨别取得适当的信息并加以有效沟通两个部分内容美国COSO委员会的《内部控制—一整体框架》要求企业以一定的形式、在一定的时间范围内识别、获取和沟通相关信息以使企业内部各层次员工能够顺利履行其职责信息与沟通是指企业能够准确、及时并最大限度地获取和运用来自企业内外部与本企业生产经营活动有关的政策、法律、技术、市场等各方面的信息，并使信息在企业内部进行有效的传递，为企业管理者的各种决策提供强有力的支持作为内部控制基本要素之一的信息与沟通，在内部控制中发挥着不可替代的作用，为内部控制的其他要素有效发挥作用提供了信息支撑，也为企业整个内部控制的有效运行提供了信息支持要准确理解信息沟通的含义，需要注意以下几点：第一，信息与沟通首先是信息的传递，如果信息没有被传递，信息沟通就没有发生，信息是沟通的对象和内容，而沟通是信息传递的手段；第二，成功的信息与沟通，不仅需要信息被传递，还需要被理解；第三，信息与沟通的主体是人，即信息与沟通主要发生在人与人之间；第四，由于管理过程中各种信息相互关联、交错，所以管理者把各种信息沟通过程看成是一个整体，即管理信息系统由于所收集的各种信息来自不同的渠道和信息源，属于零散的、非系统的，企业必须对所收集的各种内部和外部信息进行必要的筛选、整理和加工以提供给有关方面。

为了提高内部控制的有效性，企业应当将相关信息在企业内部各管理级次、责任单位、业务环节之间进行内部传递企业应当建立良好的外部沟通渠道，加强与外部投资者、客户、供应商、中介机构和监管部门等有关方面之间的沟通和反馈十、 信息与沟通的作用信息与沟通的作用主要表现在以下几方面一）信息与沟通是有效实施内部控制的重要载体未来竞争是管理的竞争，竞争的焦点在于企业内外部的有效信息来源以及充分沟通上经济市场化程度的提高，要求企业必须加强信息的采集、存储、处理、加工和运用信息与沟通是内部控制体系的重要组成部分，贯穿于内部控制体系的整个过程，是有效实施内部控制的重要载体，直接影响着企业内部控制的贯彻执行以及企业经营目标乃至战略目标的实现二）信息与沟通是整个内部控制系统的生命线内部控制是一个动态的过程，依据环境来制定相应的措施，整个过程就是通过连续不断的信息反馈来纠正错误，并不断改进与完善因此，信息与沟通为管理层监督各项活动并在必要时采取纠正措施提供了保证另外，信息与沟通是保障内部控制效率和效果的重要手段，随着信息系统的广泛应用，企业内部实现了物流、资金流、信息流的集成管理，外部实现了与供应商、客户的信息共享，使得信息传递更加流畅，从而使内控运行的效率得到提高。

三）信息与沟通是实施内部控制的关键因素从纵向来看，管理层通过信息与沟通下达任务，了解业务进展情况，及时发现其中隐藏的风险这种自上而下的沟通方式同样伴随着企业有关目标、风险、管理流程信息的传递而员工则通过自下而上的沟通方式向管理层反映有关一线经营、生产中存在的问题，使管理层能够及时地了解相关信息，动态地优化管理及控制流程从横向来看，不同部门、不同职责的员工之间通过有效的沟通来传达各自信息需求、信息缺口，有助于信息交流与共享，从而最大化地提高信息资源的利用效率因此，广泛的信息沟通通过辅助决策来促进企业战略目标的实现；通过加强管理和控制来提高经营的效率和效果；通过保障内控效率和效果来保证财务报告和管理信息的真实、可靠和完整，确保资产的安全完整，以及遵循国家法律法规的要求总的来说，有效的信息与沟通是内部控制目标实现的重要保证十一、 社会责任企业创造利润或实现股东财富最大化固然很重要，但在经济社会高速发展的当今时代，尤其是我国作为发展中国家，在大力发展社会主义市场经济的过程中，企业作为最重要的市场主体，如果不顾一切地追逐利润，是不符合科学发展观，不利于建设和谐社会的因此，履行社会责任是企业义不容辞的义务，是企业的光荣使命。

社会责任是指企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量（含服务）、环境保护、资源节约、促进就业、员工权益保护等企业履行社会责任可以增加企业的安全生产意识，防止企业发生重特大安全事故，可以增强企业的环境保护意识，避免造成环境污染，导致企业巨额赔偿或停产整顿企业创造利润和履行社会责任两方面是统一的有机整体，相辅相成，并不矛盾企业承担了社会责任将有助于改善企业的形象，提高品牌美誉度，进而吸引更多的客户，增强企业的经济效益企业履行社会责任是提升发展质量的重要标志，是实现企业可持续长远发展的根本所在众所周知，如果企业做不到安全生产，事故频繁，造成人员伤亡，必然是欲速则不达甚至导致关闭由此可见，企业在制定和实现发展战略过程中，应当充分考虑履行社会责任的要求，从根本上转变发展方式，实现长远发展的目标那么企业应该如何履行社会责任呢？第一，企业负责人要高度重视这项工作，树立社会责任意识，形成履行社会责任的企业价值观和企业文化第二，要把履行社会责任融入企业发展战略，落实到生产经营的各个环节，逐步建立和完善企业社会责任指标和考核体系，为企业履行社会责任提供坚实的基础与保障第三，建立社会责任报告制度，发布社会责任报告，让股东、债权人、员工、客户、社会等各方面知晓自己在社会责任领域所做的工作，这样可以增强企业的战略管理能力，全面提高企业服务能力和水平，提高企业的品牌形象和价值。

一）社会责任的主要风险企业应当明确社会责任面临的主要风险，以及这些风险可能导致的后果1）安全生产措施不到位，责任不落实，导致企业发生安全事故2）产品质量低劣，侵害消费者利益，导致企业巨额赔偿、形象受损，甚至破产3）环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，导致企业巨额赔偿、缺乏发展后劲，甚至停业4）不重视就业和员工权益保护，导致员工积极性受挫，影响企业发展和社会稳定二）社会责任风险的应对措施针对社会责任面临的风险及影响，企业采取的应对措施包括以下几个方面1）设立安全管理部门和安全监督机构，建立严格的安全生产管理体系、操作规范和应急预案，强化安全生产责任追究制度，切实做到安全生产2）规范生产流程，建立严格的产品质量控制和检验制度，严把质量关，严禁将缺乏质量保障、危害人民生命健康的产品流向社会3）提高员工的环境保护和资源节约意识，建立环境保护与资源节约制度，认真落实节能减排责任，积极开发和使用节能产品，发展循环经济，降低污染物排放，提高资源综合利用效率4）依法保护员工的合法权益，保障员工依法享有劳动权利和履行劳动义务，保持工作岗位相对稳定，积极促进充分就业5）针对目前少数企业对公益事业（如接纳大学生实习等）、慈善事业等漠不关心的情况，社会责任应用指引指出，企业应当按照“产学研用”相结合的社会需求，积极创建实习基地，大力支持社会有关方面培养、锻炼社会需要的应用型人才；同时，应积极履行社会公益方面的责任和义务，关心帮助社会弱势群体，支持慈善事业。

十二、 企业文化企业文化是指企业在生产经营实践中逐步形成的、被整个团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称良好的企业文化对企业有直接的促进作用根据经验得知，各项制度都有失效的时候，而当制度失效的时候，企业经营靠的就是企业文化它作为一个企业的中枢神经，支配着人们的思维方式、行为方式建设企业文化，培育积极向上的价值观、诚实守信的经营理念、为社会创造财富并积极履行社会责任的企业精神，可以增强员工对企业的认同感，增强企业的竞争力《企业内部控制基本规范》第十八条规定，企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识在我国，关于企业文化的表现形式最流行的观点是将其划分为4个方面：物质文化、行为文化、制度文化和精神文化企业物质文化是指以客观物体及其相应组合为表现形式的文化它由企业的物质环境、生产设备、最终产品与包装设计等构成由于物质文化的表现形式相对直观、容易“触摸”，所以，物质文化也被称为“表层文化”如日本丰田汽车表现出的是省油“小型”“质量可靠”的文化。