航空物流裝備公司內(nèi)部控制

1、泓域/航空物流裝備公司內(nèi)部控制航空物流裝備公司內(nèi)部控制目錄 TOC o 1-3 h z u HYPERLINK l _Toc113498929 一、 信息的含義與分類 PAGEREF _Toc113498929 h 3 HYPERLINK l _Toc113498930 二、 信息與溝通的概念 PAGEREF _Toc113498930 h 5 HYPERLINK l _Toc113498931 三、 信息控制 PAGEREF _Toc113498931 h 6 HYPERLINK l _Toc113498932 四、 溝通控制 PAGEREF _Toc113498932 h 16 HYPER

2、LINK l _Toc113498933 五、 風險應對策略的選擇 PAGEREF _Toc113498933 h 19 HYPERLINK l _Toc113498934 六、 風險應對策略 PAGEREF _Toc113498934 h 21 HYPERLINK l _Toc113498935 七、 風險的分類和評估 PAGEREF _Toc113498935 h 30 HYPERLINK l _Toc113498936 八、 風險的概念及其分類 PAGEREF _Toc113498936 h 33 HYPERLINK l _Toc113498937 九、 風險分析的定義和目的 PAGER

3、EF _Toc113498937 h 35 HYPERLINK l _Toc113498938 十、 風險圖譜 PAGEREF _Toc113498938 h 36 HYPERLINK l _Toc113498939 十一、 運營分析控制 PAGEREF _Toc113498939 h 37 HYPERLINK l _Toc113498940 十二、 財產(chǎn)保護控制 PAGEREF _Toc113498940 h 43 HYPERLINK l _Toc113498941 十三、 控制活動類業(yè)務流程 PAGEREF _Toc113498941 h 45 HYPERLINK l _Toc113498

4、942 十四、 控制手段類業(yè)務流程 PAGEREF _Toc113498942 h 60 HYPERLINK l _Toc113498943 十五、 公司治理的產(chǎn)生及動因 PAGEREF _Toc113498943 h 66 HYPERLINK l _Toc113498944 十六、 企業(yè)的演進 PAGEREF _Toc113498944 h 76 HYPERLINK l _Toc113498945 十七、 內(nèi)部控制的演進 PAGEREF _Toc113498945 h 81 HYPERLINK l _Toc113498946 十八、 內(nèi)部控制演進過程總結(jié) PAGEREF _Toc113498

5、946 h 94 HYPERLINK l _Toc113498947 十九、 公司治理的定義 PAGEREF _Toc113498947 h 97 HYPERLINK l _Toc113498948 二十、 公司治理的特征 PAGEREF _Toc113498948 h 103 HYPERLINK l _Toc113498949 二十一、 公司概況 PAGEREF _Toc113498949 h 106 HYPERLINK l _Toc113498950 公司合并資產(chǎn)負債表主要數(shù)據(jù) PAGEREF _Toc113498950 h 106 HYPERLINK l _Toc113498951 公司

6、合并利潤表主要數(shù)據(jù) PAGEREF _Toc113498951 h 107 HYPERLINK l _Toc113498952 二十二、 項目簡介 PAGEREF _Toc113498952 h 107 HYPERLINK l _Toc113498953 二十三、 發(fā)展規(guī)劃分析 PAGEREF _Toc113498953 h 110 HYPERLINK l _Toc113498954 二十四、 法人治理結(jié)構(gòu) PAGEREF _Toc113498954 h 117 HYPERLINK l _Toc113498955 二十五、 項目風險分析 PAGEREF _Toc113498955 h 127

7、HYPERLINK l _Toc113498956 二十六、 項目風險對策 PAGEREF _Toc113498956 h 129 HYPERLINK l _Toc113498957 二十七、 SWOT分析 PAGEREF _Toc113498957 h 131信息的含義與分類（一）信息的含義信息是指來源于企業(yè)內(nèi)部或外部，與企業(yè)經(jīng)營相關的各種信息，包括獲取的行業(yè)、經(jīng)濟，以及內(nèi)部生產(chǎn)經(jīng)營管理、財務等方面的信息。企業(yè)內(nèi)部控制基本規(guī)范要求通過信息系統(tǒng)識別、獲取、處理和報告信息為管理和控制經(jīng)營活動提供信息支持。信息系統(tǒng)可以是手工信息系統(tǒng)，也可以是利用現(xiàn)代信息技術的信息系統(tǒng)，還可以是手工和信息技術相合的

8、信息系統(tǒng)；可以是正式的信息系統(tǒng)，也可以是非正式的信息系統(tǒng)。信息系統(tǒng)處理的對象既包括企業(yè)經(jīng)營活動等內(nèi)部生成的信息，也包括與經(jīng)營活動相關的外部事項、活動和環(huán)境等外部信息。信息系統(tǒng)一方面需要定期獲取和報告經(jīng)營活動各方面的信息，包括產(chǎn)品的生產(chǎn)和銷售方面的信息；另一方面需要采取措施獲取市場變化對產(chǎn)品和勞務等需求方面的信息。信息系統(tǒng)不僅要識別和獲取所需的財務信息和非財務信息，而且還必須在一定的時間內(nèi)，以有助于企業(yè)控制其經(jīng)營活動的方式處理和報告信息。信息系統(tǒng)應根據(jù)所面臨的市場變化、競爭對手的創(chuàng)新以及客戶需求的重大變化進行調(diào)整，以支持企業(yè)實現(xiàn)其經(jīng)營和戰(zhàn)略目標，并要求企業(yè)將信息系統(tǒng)的規(guī)劃、設計和執(zhí)行與企業(yè)的整體

9、戰(zhàn)略進行整合。信息系統(tǒng)作為經(jīng)營活動不可分割的組成部分，通過獲取決策所需要的信息來實施控制。對信息系統(tǒng)與經(jīng)營目標進行整合跟蹤和記錄交易，將企業(yè)的各項經(jīng)營活動包含于整合的系統(tǒng)之中，有助于對經(jīng)營活動實施控制。企業(yè)信息系統(tǒng)中信息技術的使用應當有助于企業(yè)經(jīng)營目標的實現(xiàn)而不在于使用的是否為最先進的信息技術。信息系統(tǒng)所提供的信息內(nèi)容應適當、及時、準確，并且信息必須是當前最新和可以獲取的。由于信息的質(zhì)量直接影響企業(yè)管理當局在管理和控制中的決策，信息系統(tǒng)本身成為內(nèi)部控制體系的一個組成部分，必須對其進行控制。另外，由于信息系統(tǒng)在內(nèi)部控制中的重要性，其本身又是內(nèi)部控制的對象，企業(yè)應當加強對信息系統(tǒng)的開發(fā)與維護、訪問

10、與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡安全等方面的控制保證信息系統(tǒng)安全、穩(wěn)定地運行。（二）信息的分類按照信息的來源不同，分為內(nèi)部信息和外部信息。內(nèi)部信息是指企業(yè)的各種業(yè)務報表和分析報告，有關生產(chǎn)方面、技術方面的資料以及經(jīng)營管理部門制訂的計劃、經(jīng)營決策等方面的情況。內(nèi)部信息主要包括財務信息、生產(chǎn)經(jīng)營信息、銷售信息、技術創(chuàng)新信息、綜合管理信息等。外部信息是指從企業(yè)外部所獲取的信息。外部信息主要包括國家法律法規(guī)，相關監(jiān)管機構(gòu)信息，經(jīng)濟形勢信息，客戶、供應商信息，科技進步和社會文化信息等。信息與溝通的概念企業(yè)內(nèi)部控制基本規(guī)范第三十八條指出：企業(yè)應當建立信息與溝通制度，明確企業(yè)內(nèi)部控制相關信息的收

11、集、處理和傳遞程序，確保信息及時溝通，促進內(nèi)部控制有效運行。信息與溝通，包括辨別取得適當?shù)男畔⒉⒓右杂行贤▋蓚€部分內(nèi)容。美國COSO委員會的內(nèi)部控制一整體框架要求企業(yè)以一定的形式、在一定的時間范圍內(nèi)識別、獲取和溝通相關信息以使企業(yè)內(nèi)部各層次員工能夠順利履行其職責。信息與溝通是指企業(yè)能夠準確、及時并最大限度地獲取和運用來自企業(yè)內(nèi)外部與本企業(yè)生產(chǎn)經(jīng)營活動有關的政策、法律、技術、市場等各方面的信息，并使信息在企業(yè)內(nèi)部進行有效的傳遞，為企業(yè)管理者的各種決策提供強有力的支持。作為內(nèi)部控制基本要素之一的信息與溝通，在內(nèi)部控制中發(fā)揮著不可替代的作用，為內(nèi)部控制的其他要素有效發(fā)揮作用提供了信息支撐，也為企業(yè)

12、整個內(nèi)部控制的有效運行提供了信息支持。要準確理解信息溝通的含義，需要注意以下幾點：第一，信息與溝通首先是信息的傳遞，如果信息沒有被傳遞，信息溝通就沒有發(fā)生，信息是溝通的對象和內(nèi)容，而溝通是信息傳遞的手段；第二，成功的信息與溝通，不僅需要信息被傳遞，還需要被理解；第三，信息與溝通的主體是人，即信息與溝通主要發(fā)生在人與人之間；第四，由于管理過程中各種信息相互關聯(lián)、交錯，所以管理者把各種信息溝通過程看成是一個整體，即管理信息系統(tǒng)。由于所收集的各種信息來自不同的渠道和信息源，屬于零散的、非系統(tǒng)的，企業(yè)必須對所收集的各種內(nèi)部和外部信息進行必要的篩選、整理和加工以提供給有關方面。為了提高內(nèi)部控制的有效性，

13、企業(yè)應當將相關信息在企業(yè)內(nèi)部各管理級次、責任單位、業(yè)務環(huán)節(jié)之間進行內(nèi)部傳遞。企業(yè)應當建立良好的外部溝通渠道，加強與外部投資者、客戶、供應商、中介機構(gòu)和監(jiān)管部門等有關方面之間的溝通和反饋。信息控制（一）信息的收集與整理企業(yè)內(nèi)部控制基本規(guī)范第三十九條規(guī)定：企業(yè)應當對收集的各種內(nèi)部信息和外部信息進行合理篩選、核對、整合，以提高信息的有用性。1、信息收集的含義信息收集是指通過各種方式獲取所需要的信息。信息的收集是信息得以利用、傳遞的第一步，也是關鍵的一步。信息收集工作的好壞，直接關系到信息與溝通的質(zhì)量。信息可以分為原始信息和加工信息兩大類，原始信息是指在企業(yè)管理中直接產(chǎn)生或獲取的數(shù)據(jù)、概念、知識、經(jīng)驗

14、及其總結(jié)，是未經(jīng)加工的信息；加工信息則是對原始信息經(jīng)過加工、分析、改編和重組而形成的具有新形式、新內(nèi)容的信息。根據(jù)企業(yè)內(nèi)部控制基本規(guī)范第三十九條的規(guī)定，企業(yè)可以通過財務會計資料、經(jīng)營管理資料、調(diào)研報告、專項信息、內(nèi)部刊物、辦公網(wǎng)絡等渠道，獲取內(nèi)部信息；外部信息的收集渠道主要有行業(yè)協(xié)會組織、社會中介機構(gòu)、業(yè)務往來單位、市場調(diào)查、來信來訪、網(wǎng)絡媒體以及有關監(jiān)管部門等。2、信息收集的原則為了保證信息收集的質(zhì)量，應堅持以下原則。（1）準確性原則。該原則要求所收集到的信息要真實可靠。當然，這個原則是信息收集工作最基本的要求。為達到這樣的要求，信息收集者就必須對收集到的信息反復核實、不斷檢驗，力求把誤差減

15、少到最低限度。（2）全面性原則。該原則要求所收集到的信息要廣泛、全面完整。只有廣泛、全面地收集信息，才能完整地反映管理活動和決策對象發(fā)展的全貌，為決策的科學性提供保障。當然，實際所收集到的信息不可能做到絕對的全面完整，因此，如何在不完整、不完備的信息下做出科學的決策就是一個非常值得探討的問題。（3）時效性原則。信息的利用價值取決于該信息是否能及時地提供，即信息的時效性。信息只有及時、迅速地提供給它的使用者才能有效地發(fā)揮作用。特別是決策對信息的要求是“事前”的消息和情報，而不是“馬后炮”。所以，只有信息是“事前”的，對決策才是有效的。3、信息收集的范圍信息收集的范圍可從3個角度來劃分。（1）內(nèi)容

16、范圍。內(nèi)容范圍是指根據(jù)信息內(nèi)容與信息收集目標和需求相關性特征所確定的范圍，包括本身內(nèi)容范圍和環(huán)境內(nèi)容范圍。本身內(nèi)容范圍是由事物本身信息相關內(nèi)容特征組成的范圍；環(huán)境內(nèi)容范圍是由事物周邊、與事物相關的信息的內(nèi)容特征組成的范圍。（2）時間范圍。時間范圍是指在信息發(fā)生的時間上，根據(jù)與信息收集目標和需求具有一定相關性的特征所確定的范圍，這是由信息的歷史性和時效性所決定的。（3）地域范圍。地域范圍是指在信息發(fā)生的地點上，根據(jù)與信息收集目標和需求具有一定相關性的特征所確定的范圍。這是由信息的地域分布特征和信息收集的相關性要求所決定的。4、信息收集的方法（1）調(diào)查法。調(diào)查法一般分為普查和抽樣調(diào)查兩大類。普查是

17、調(diào)查有限總體中每個個體的有關指標值。抽樣調(diào)查是按照一定的科學原理和方法，從事物的總體中抽取部分稱為樣本的個體進行調(diào)查，用所得到的調(diào)查數(shù)據(jù)推斷總體。抽樣調(diào)查是較常用的調(diào)查方法，也是統(tǒng)計學研究的主要內(nèi)容。抽樣調(diào)查的關鍵是樣本抽樣方法、樣本量大小的確定等。樣本抽樣方法，又稱抽樣組織的方式，決定樣本集合的選擇方式，直接影響信息收集的質(zhì)量。抽樣方法一般分為非隨機抽樣、隨機抽樣和綜合抽樣。常用的調(diào)查方法主要有訪問調(diào)查法、問卷調(diào)查法、觀察調(diào)查法、實驗調(diào)查法、文案調(diào)查法等，這里主要介紹訪問調(diào)查法和問卷調(diào)查法。訪問調(diào)查法又稱采訪法，是通過訪問信息收集對象，與之直接交談而獲得有關信息的方法。它又分為座談采訪、會議

18、采訪以及電話采訪和信函采訪等方式。采訪需要做好充分準備，認真選擇調(diào)查對象了解調(diào)查對象，收集有關業(yè)務資料和相關的背景資料。其主要優(yōu)點是可以就問題進行深入的討論，獲得高質(zhì)量的信息；缺點是費用高，采訪對象不可能很多，因此受訪問者要具有代表性。它對采訪者的語言交際素質(zhì)要求較高。問卷調(diào)查法是一種包含統(tǒng)計調(diào)查和定量分析的信息收集方法。這種方法主要考慮的問題是：所收集信息的內(nèi)容范圍和數(shù)量，所選定的調(diào)查對象的代表性和數(shù)量，問卷的精心設計，問卷的回收率控制等。其具有調(diào)查面廣、費用低的特點，但對調(diào)查對象無法控制，問卷回收率一般都不高，回答的質(zhì)量也較差，受訪者的態(tài)度具有決定性影響。（2）觀察法。觀察法主要通過開會、

19、深入現(xiàn)場、參加生產(chǎn)和經(jīng)營、實地采樣等方法進行現(xiàn)場觀察并準確記錄（包括測繪、錄音、錄像、拍照、筆錄等）調(diào)研情況、收集信息。主要包括兩個方面：一是對人的行為的觀察，二是對客觀事物的觀察。觀察法應用很廣泛，常與詢問法、實物搜集結(jié)合使用，以提高所收集信息的可靠性。（3）實驗方法。實驗方法能通過實驗過程獲取其他手段難以獲得的信息或結(jié)論。實驗者通過主動控制實驗條件，包括對參與者類型的恰當限定、對信息產(chǎn)生條件的恰當限定和對信息產(chǎn)生過程的合理設計，可以獲得在真實狀況下用調(diào)查法或觀察法無法獲得的、某些重要的、能客觀反映事物運動表征的有效信息，還可以在一定程度上直接觀察、研究某些參量之間的相互關系，有利于對事物本

20、質(zhì)的研究。實驗方法也有多種形式，如實驗室實驗、現(xiàn)場實驗、計算機模擬實驗、計算機網(wǎng)絡環(huán)境下人機結(jié)合實驗等?，F(xiàn)代管理科學中新興的管理實驗、現(xiàn)代經(jīng)濟學中正在形成的實驗經(jīng)濟學中的經(jīng)濟實驗，實質(zhì)上就是通過實驗獲取與管理或經(jīng)濟相關的信息。（4）文獻檢索。文獻檢索就是從浩繁的文獻中檢索出所需的信息的過程。文獻檢索分為手工檢索和計算機檢索。手工檢索主要是通過信息服務部門收集和建立的文獻目錄、索引、文摘、參考指南和文獻綜述等來查找有關的文獻信息。計算機文獻檢索，是文獻檢索的計算機實現(xiàn)，其特點是檢索速度快、信息量大，是當前收集文獻信息的主要方法。文獻檢索過程一般包括分析研究課題和制定檢索策略、利用檢索工具查找文獻

21、線索、根據(jù)文獻出處索取原始文獻三個階段。文獻根據(jù)加工深度的不同可分為四個級別：零次文獻、一次文獻、二次文獻和三次文獻，所獲取的相應信息分別是零次信息、一次信息、二次信息和三次信息。零次文獻是指未經(jīng)出版社發(fā)行的或未進入社會交流的最原始的文獻，如私人筆記、考察筆記等，內(nèi)容新穎，但不成熟，因不公開交流而難以獲得；一次文獻是以作者本人取得的成果為依據(jù)而創(chuàng)作的論文、報告等經(jīng)公開發(fā)表或出版的各種文獻，如期刊論文、科技報告等，其特點是內(nèi)容新穎豐富、敘述詳盡以及參考價值大，但數(shù)量龐大而且分散；二次文獻是指報道和查找一次文獻的檢索工具書刊，如各種目錄、題錄、文摘和索引等。二次文獻是按照特定目的對一定范圍和學科領

22、域內(nèi)的一次文獻進行鑒別、篩選、分析、歸納和加工整理后，使之有序化后出版的。其主要功能是檢索、控制一次文獻，幫助人們較快地獲取所需的信息，具有匯集性、工具性、綜合性和交流性等特點：三次文獻是根據(jù)二次文獻提供的線索選用大量的一次文獻的內(nèi)容，經(jīng)過篩選、分析、綜合和濃縮而再度出版的文獻，包括專題評述、年鑒、百科全書、詞典、導讀與文獻服務目錄、工具書目錄等。（5）網(wǎng)絡信息收集。網(wǎng)絡信息是指通過計算機網(wǎng)絡發(fā)布、傳遞和存儲的各種信息。收集網(wǎng)絡信息的最終目標是給廣大用戶提供網(wǎng)絡信息資源服務，整個過程經(jīng)過網(wǎng)絡信息搜索、整合、保存和服務四個步驟，網(wǎng)絡信息搜索是基于網(wǎng)絡信息收集系統(tǒng)自動完成的。網(wǎng)絡信息搜索系統(tǒng)首先按

23、照用戶指定的信息需求或主題，調(diào)用各種搜索引擎進行網(wǎng)頁搜索和數(shù)據(jù)挖掘，將搜索的信息經(jīng)過濾等處理過程別除無關信息，從而完成網(wǎng)絡信息資源的“收集”；然后通過計算機自動搜索、重排等處理過程，剔除重復信息，再根據(jù)不同類別或主題自動進行信息的分類，從而完成網(wǎng)絡信息的“整合”；分類整合后的網(wǎng)絡信息采用元數(shù)據(jù)方案進行索引編目，并采用數(shù)據(jù)壓縮及數(shù)據(jù)傳輸技術實現(xiàn)本地化的海量數(shù)據(jù)存儲，從而完成網(wǎng)絡信息的“保存”，當然要通過網(wǎng)絡及時更新；經(jīng)過索引編目組織的網(wǎng)絡信息正式發(fā)布后，即可通過檢索為讀者提供網(wǎng)絡信息資源的“服務”5、信息的整理信息的整理就是對收集到的原始信息，通過篩選、核對以及整合，在數(shù)量上加以濃縮，在品質(zhì)上加

24、以提高，在形式上給予表現(xiàn)，使之便于傳遞、利用和貯存。信息整理是整個信息處理工作的核心。內(nèi)部控制活動所需要的信息來自于企業(yè)內(nèi)部及外部的、與企業(yè)經(jīng)營管理相關的財務及非財務信息。即，內(nèi)部控制中的信息收集活動涵蓋了企業(yè)內(nèi)部及外部、主觀及客觀、正式與非正式，并影響企業(yè)內(nèi)部環(huán)境、風險評估、控制活動及內(nèi)部監(jiān)督的信息。因此，確定信息的收集內(nèi)容時，應在內(nèi)部控制覆蓋的信息范圍內(nèi)，強化對信息需求的分析。即在與內(nèi)控相關的信息范圍內(nèi)，根據(jù)不同的信息需求收集不同的信息。（二）信息的傳遞信息傳遞是指人們通過聲音、文字或圖像相互交流信息的過程。信息傳遞研究的是什么人向誰表達，用什么方式表達，通過什么途徑表達，達到什么目的。信

25、息傳遞程序中有三個基本環(huán)節(jié)。第一個環(huán)節(jié)是傳達人為了把信息傳達給接受人，必須把信息“譯出”，成為接受人所能懂得的語言或圖像等。第二個環(huán)節(jié)是接受人要把信息轉(zhuǎn)化為自己所能理解的解釋，稱為“譯進”。第三個環(huán)節(jié)是接受人對信息的反應，要再傳遞給傳達人，稱為反饋。企業(yè)內(nèi)部控制基本規(guī)范第四十條指出：企業(yè)應當將內(nèi)部控制相關信息在企業(yè)內(nèi)部各管理級次、責任單位、業(yè)務環(huán)節(jié)之間，以及企業(yè)與外部投資者、債權(quán)人、客戶、供應商、中介機構(gòu)和監(jiān)管部門等有關方面之間進行溝通和反饋。信息與溝通過程中發(fā)現(xiàn)的問題，應當及時報告并加以解決。重要信息應當及時傳遞給董事會、監(jiān)事會和經(jīng)理層。內(nèi)部信息傳遞，一方面要完善信息向下傳遞機制，使企業(yè)內(nèi)部

26、參與經(jīng)營活動的各個方面和全體人員了解企業(yè)實現(xiàn)經(jīng)營目標方面的信息，明確各自職責，了解自身在內(nèi)部控制體系中的地位和作用；另一方面要完善信息向上傳遞機制，使企業(yè)員工能夠及時將其在企業(yè)經(jīng)營活動中所了解的重要信息向管理層及董事會等方面?zhèn)鬟f。此外，還需建立信息橫向傳遞機制，特別是要使信息在管理層與企業(yè)董事會及其委員會之間進行傳遞。（三）信息系統(tǒng)與內(nèi)部控制企業(yè)內(nèi)部控制基本規(guī)范第四十一條規(guī)定：企業(yè)應當利用信息技術促進信息的集成與共享，充分發(fā)揮信息技術在信息與溝通中的作用。企業(yè)應當加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行。1、信息技術與

27、信息集成隨著信息技術的快速發(fā)展，企業(yè)所面臨的競爭環(huán)境不斷變化，信息已經(jīng)成為一種資源，能夠給企業(yè)帶來現(xiàn)實的或者潛在的利益。那么，我們應如何使自己盡快適應這種變化？一個關鍵的工作就是對企業(yè)內(nèi)外部的各種信息進行集成管理，以便被企業(yè)有效利用。就大多數(shù)企業(yè)的現(xiàn)狀來看，出于組織結(jié)構(gòu)的設計、實際工作流程的需要等原因，各企業(yè)都存在多個不同的信息系統(tǒng)，它們分別關注企業(yè)某一方面的信息，具有不同的信息結(jié)構(gòu)和收集、處理渠道，類似于一個個信息孤島，從而使信息無法得到有效整合。這對企業(yè)的管理者來說是非常不利的，尤其是高層管理者在做戰(zhàn)略決策時，需要大量相關的信息單一部門的信息系統(tǒng)根本不能滿足其需求。這時，就需要對各部門的信

28、息進行有效的整合和集成。有效整合的信息將對管理者決策提供極大的幫助。信息系統(tǒng)的出現(xiàn)在一定程度上解決了這個問題。2、信息技術與內(nèi)部控制隨著企業(yè)信息集成與共享的實現(xiàn)，企業(yè)價值鏈中各環(huán)節(jié)的資源得到了有效的利用，同時信息技術對內(nèi)部控制與風險管理也將產(chǎn)生重大的影響。企業(yè)的內(nèi)部控制系統(tǒng)也必然隨著信息技術的更新而發(fā)生改變，例如數(shù)據(jù)挖掘技術的發(fā)展，使得企業(yè)有條件實現(xiàn)信息的實時、動態(tài)控制和反饋，相對于過去利用匯總的文件進行檢查和評估的事后控制模式，此時的控制模式可以實現(xiàn)事前、事中、事后的全過程控制。內(nèi)部控制制度與計算機程序?qū)崿F(xiàn)融合，對于內(nèi)控制度的設計提出了更高的要求，常用的控制手段為訪問權(quán)限的設置、操作口令的管

29、理等。內(nèi)部控制內(nèi)容的變化主要體現(xiàn)為信息技術相關的控制范圍的增加，如計算機硬軟件安全性的控制、信息系統(tǒng)管理人員職責的控制等。信息集成下的內(nèi)部控制系統(tǒng)能及時發(fā)現(xiàn)內(nèi)部控制的薄弱環(huán)節(jié)并及時反饋，因此有必要對此類關鍵的薄弱環(huán)節(jié)專門設置控制措施，健全內(nèi)部控制系統(tǒng)，使內(nèi)部控制差錯帶來的損失最小。信息逐漸被人們當作一種戰(zhàn)略資源，企業(yè)內(nèi)部各部門之間以及企業(yè)之間都會發(fā)生大規(guī)模的信息交換，不同部門或不同企業(yè)間的信息需要協(xié)同，因此信息系統(tǒng)的重要性日益增加。隨著整個社會信息化進程的加快，企業(yè)的日常經(jīng)營管理活動越來越離不開信息系統(tǒng)的支持。完善的信息系統(tǒng)是企業(yè)建立有效的內(nèi)部控制體系的前提。溝通控制在一個組織中，溝通是指組織

30、內(nèi)部以及組織和外部組織間旨在完成組織目標而進行的信息交換。溝通交換了有意義、有價值的各種信息，從而使團隊合作、組織協(xié)調(diào)、企業(yè)戰(zhàn)略制定等企業(yè)組織功能得以實現(xiàn)?？梢钥闯?，溝通的對象并不局限于管理者與被管理者之間，員工與員工、員工與管理層、管理層與管理層之間需要溝通，企業(yè)內(nèi)部與外部也需要溝通。溝通是信息系統(tǒng)所固有的功能，信息系統(tǒng)必須將其信息提供給相關人員，以使其能夠合理地履行相關的職責。信息應在更為廣泛的范圍內(nèi)自上而下、自下而上地在整個企業(yè)內(nèi)外進行溝通。信息溝通按溝通的對象可以分為內(nèi)部信息溝通和外部信息溝通。內(nèi)部信息溝通指的是企業(yè)經(jīng)營、管理所需的內(nèi)部信息、外部信息在企業(yè)內(nèi)部的傳遞和共享外部信息溝通是

31、指企業(yè)與利益相關者之間信息的溝通。（一）內(nèi)部信息溝通一個健康的企業(yè)需要長期保持系統(tǒng)上下開放式的溝通交流。開放式溝通能夠避免和消除誤解，并使信息得到最好的利用。一個企業(yè)或組織要協(xié)調(diào)全體員工實現(xiàn)某項目標，必須使每個員工都明確其目標，這就需要某種形式的溝通。缺乏溝通，其員工將如一盤散沙，因為所有的協(xié)調(diào)活動都是在一定形式的溝通下進行的，缺乏有效的交流、溝通，就無法協(xié)調(diào)。通過組織內(nèi)部的溝通，可以了解各部門的生產(chǎn)或工作進度、各部門之間的關系、各部門員工的士氣以及管理的效能等，從而做出如何協(xié)調(diào)的決定。充分的內(nèi)部溝通對于企業(yè)控制環(huán)境、控制作業(yè)、風險評估等各方面都起著至關重要的作用，企業(yè)所采取的溝通方式要能夠達

32、到順暢溝通的目的，使員工們了解自己應承擔的責任、應實現(xiàn)的目標以及這些目標對企業(yè)的影響。有效的信息溝通需要合理考慮來自不同部門和崗位、不同渠道的相關信息，并進行合理篩選和相互核對。企業(yè)應當采取互聯(lián)網(wǎng)、電子郵件、電話傳真、信息快報、例行會議、專項報告、調(diào)查研究、員工手冊、教育培訓、內(nèi)部刊物等多種方式，實現(xiàn)所需的內(nèi)部信息和外部信息在企業(yè)內(nèi)部準確及時地傳遞和共享，從而確保董事會、管理層和員工之間的有效溝通。（二）外部信息溝通企業(yè)有責任建立良好的外部溝通渠道，對外部有關方面的建議、投訴和收到的其他信息進行記錄，并及時予以處理、反饋。有效的外部溝通既可以擴大企業(yè)的影響力，還可以獲得很多有效內(nèi)部控制的重要信

33、息。外部溝通應當重點關注以下方面。1、與投資者和債權(quán)人的溝通企業(yè)應當根據(jù)中華人民共和國公司法中華人民共和國證券法等法律法規(guī)、企業(yè)規(guī)章的規(guī)定，通過股東大會、投資者會議、定向信息報告等方式，及時向投資者和債權(quán)人報告企業(yè)的戰(zhàn)略規(guī)劃、經(jīng)營方針、投融資計劃、年度預算、經(jīng)營成果、財務狀況、利潤分配方案以及重大擔保、合并分立、資產(chǎn)重組等方面的信息，聽取投資者和債權(quán)人的意見和要求，妥善處理企業(yè)與投資者和債權(quán)人之間的關系。2、與客戶的溝通企業(yè)可以通過客戶座談會、走訪客戶等多種形式，定期聽取客戶對消費偏好、銷售策略、產(chǎn)品質(zhì)量、售后服務、貨款結(jié)算等方面的意見和建議，收集客戶需求和客戶的意見，妥善解決可能存在的控制不

34、當問題。3、與供應商的溝通企業(yè)可以通過供需見面會、訂貨會、業(yè)務洽談會等多種形式與供應商就供貨渠道、產(chǎn)品質(zhì)量、技術性能、交易價格、信用政策等問題進行溝通，及時發(fā)現(xiàn)可能存在的控制不當問題。4、與監(jiān)管機構(gòu)的溝通企業(yè)應當及時向監(jiān)管機構(gòu)了解監(jiān)管政策和監(jiān)管要求及其變化，并相應完善自身的管理制度；同時，認真了解自身存在的問題，積極反映訴求和建議，努力加強與監(jiān)管機構(gòu)的協(xié)調(diào)。5、與外部審計師的溝通企業(yè)應當定期與外部審計師進行會語，聽取外部審計師有關財務報表審計、內(nèi)部控制等方面的建議，以保證內(nèi)部控制的有效運行以及雙方工作的協(xié)調(diào)。風險應對策略的選擇風險應對的4種策略是根據(jù)企業(yè)的風險偏好和風險承受度制定的，風險規(guī)避策

35、略在采用其他任何風險應對措施都不能將風險降低到企業(yè)風險承受度以內(nèi)的情況下適用；風險降低和風險分擔策略則是通過相關措施，使企業(yè)的剩余風險與企業(yè)的風險承受度相一致；風險承受則意味著風險在企業(yè)可承受范圍之內(nèi)。企業(yè)應該結(jié)合具體情況及時調(diào)整風險應對策略。企業(yè)可選擇的風險應對策略有風險規(guī)避、風險降低、風險分擔和風險承受，管理層可以選擇一個或多個策略結(jié)合使用。企業(yè)內(nèi)部控制基本規(guī)范第二十七條規(guī)定：企業(yè)應當結(jié)合不同發(fā)展階段和業(yè)務拓展情況，持續(xù)收集與風險變化相關的信息，進行風險識別和風險分析，及時調(diào)整風險應對策略。企業(yè)對超出整體風險承受能力或者具體業(yè)務層次上的達到不可接受風險水平的風險，應實行風險回避；在整體風險

36、承受能力和具體業(yè)務層次上的可接受風險水平之內(nèi)的風險，在權(quán)衡成本效益之后無意采取進一步控制措施的，可實行風險承擔；對在整體風險承受能力和具體業(yè)務層次上的可接受風險水平之內(nèi)的風險，在權(quán)衡成本效益之后如愿單獨采取進一步的控制措施以降低風險、提高收益或者減輕損失的，可以實行風險降低；對在整體風險承受能力和具體業(yè)務層次上的可接受風險水平之內(nèi)的風險，在權(quán)衡成本效益之后愿意借助他人力量，采取進一步的控制措施以降低風險，提高收益或者減輕損失的可以實行風險分擔。風險應對策略與企業(yè)的具體業(yè)務或者事項相聯(lián)系，不同的業(yè)務或事項可以采取不同的風險應對策略，同一業(yè)務或事項在不同的時期可以采取不同的風險應對策略，同一業(yè)務或

37、事項在同一時期也可以綜合運用風險降低和風險分擔應對策略。風險應對策略風險應對的策略有風險規(guī)避、風險降低、風險分擔和風險承受4類。（一）風險規(guī)避風險規(guī)避是指企業(yè)對超出風險承受度的風險，通過放棄或者停止與該風險相關的業(yè)務活動以避免和減輕損失的策略。風險規(guī)避是各種風險管理技術中最簡單、最為消極的一種。例如，一個經(jīng)銷家庭日用品的企業(yè)在其經(jīng)銷的產(chǎn)品有導致小兒麻痹癥的情況出現(xiàn)時，決定終止這種經(jīng)銷活動，以免引致產(chǎn)品責任索賠案。企業(yè)通過中斷風險源，將避免可能產(chǎn)生的潛在損失或不確定性，但企業(yè)同時失去了從風險源中獲得收益的可能性。企業(yè)在采用規(guī)避方法來處理風險時必須考慮以下幾個方面的因素。第一，風險要想真正避免也許

38、不可能。對企業(yè)而言，有些基本風險如世界性的經(jīng)濟危機、能源危機等難以避免。第二，風險得以避免在經(jīng)濟上也許不適當。對某些風險即使可以避免，但就經(jīng)濟效益而言也許不合適。在成本和效益的比較分析下，如果企業(yè)避免風險所花費的成本高于避免風險所產(chǎn)生的經(jīng)濟效益時，仍然采取避免風險的方法，經(jīng)濟上可謂不適當。第三，風險規(guī)避使企業(yè)失去了從中獲益的可能性。第四，避免了某一風險可能產(chǎn)生另外新的風險，新風險產(chǎn)生的可能性和危害程度可能更甚于先前的風險。1、風險規(guī)避的適用范圍當企業(yè)面臨下列兩種情況時最適合采用風險規(guī)避策略：某種特定風險導致的發(fā)生概率和產(chǎn)生損失程度相當大；應用其他風險處理技術的成本超過其產(chǎn)生的收益，采取風險規(guī)避

39、法可以使企業(yè)所受損失為零。2、風險規(guī)避的方式（1）完全放棄，是指企業(yè)拒絕承擔這種風險，根本不從事可能產(chǎn)生某些特定風險的活動。（2）中途放棄，是指企業(yè)在項目進行的過程中終止承擔某種風險。例如，公司研發(fā)一種新產(chǎn)品，在市場上試銷后發(fā)現(xiàn)市場前景慘淡，于是中途停止這種產(chǎn)品的生產(chǎn)與上市，防止產(chǎn)生更大的新產(chǎn)品的開發(fā)風險。這種風險規(guī)避通常與環(huán)境的較大變化和風險因素的變動有關。由于發(fā)生了新的不利情況，經(jīng)權(quán)衡后，認為得不償失，故而放棄。（3）改變條件，是指改變生產(chǎn)活動的性質(zhì)，改變生產(chǎn)流程或是工作方法等。其中，生產(chǎn)性質(zhì)的改變屬于根本的變化。簡單的風險規(guī)避是一種最消極的風險處理辦法，因為投資主體在放棄風險行為的同時，

40、往往也放棄了潛在的目標收益。所以一般只有在以下情況才會采用這種方法：投資主體對風險極端厭惡；存在可實現(xiàn)同樣目標的其他方案，其風險更低；投資主體無能力消除或轉(zhuǎn)移風險；投資主體無能力承擔該風險或承擔風險得不到足夠的補償。（二）風險降低風險降低是企業(yè)在權(quán)衡成本效益后，準備采取適當?shù)目刂拼胧┙档惋L險或者減輕損失，將風險控制在風險承受度之內(nèi)的策略。風險降低的目的是要降低風險發(fā)生的概率，或者減少風險造成的損失，或者兩者兼而有之。風險降低可以積極改善風險的特性，使其能為企業(yè)所接受，而又使企業(yè)不喪失獲利的機會。風險降低的方法一般與控制措施相銜接，包括不相容職務分離控制、授權(quán)審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制

41、、預算控制、運營分析控制、績效考評控制和合同控制等。降低風險主要通過兩種途徑實現(xiàn)：風險預防和減少風險。其中，風險預防即采取各種措施防止風險事件的發(fā)生，做到事先防范，也就是消除或減少風險因素，以便降低損失發(fā)生的概率。企業(yè)實行風險降低策略應符合成本效益原則。預防風險涉及一個現(xiàn)時成本與潛在損失比較的問題：若潛在損失遠大于采取預防措施所支出的成本，就應采用預防風險手段。以興修堤壩為例，雖然施工成本很高，但與洪水泛濫造成的巨大災害相比，就顯得微不足道。此外，還應考慮到一旦預防措施不成功，風險發(fā)生后應采取補救措施以減少損失，從而使風險損失最小化。人們從事的許多活動都面臨著風險，對于那些厭惡風險者來說如何應

42、付所面臨的風險呢？有兩種常用的辦法可以降低可能發(fā)生的風險，這兩種方法是多樣化和獲取更多的信息。1、多樣化多樣化是指在從事的活動將要面臨風險的情況下，人們可以采取多樣化的活動，以便降低風險。例如，投資者可以以多種形式持有資產(chǎn)，以免持有單一化的資產(chǎn)發(fā)生風險；商品推銷人員為了保證銷售收入，可以同時推銷多種商品，以免在只推銷一種商品的情況下，一旦產(chǎn)品推銷不出，發(fā)生一點收入也得不到的風險。2、獲取更多的信息在不確定的情況下，消費者的決策是建立在有限信息基礎之上的。如果消費者可以獲得更多的信息，將會降低決策的風險。然而獲得的信息不是沒有代價的。例如，要想通過銷售活動獲得盡可能多的利潤，商品銷售人員必須進行

43、市場調(diào)查與研究，以便獲得較多的商品需求信息，減少決策的風險；要進行市場調(diào)查研究，就必須花費一定的費用。如果不親自進行市場調(diào)查，而向他人購買信息，也可以減少決策的風險。這說明信息是有價值的。（三）風險分擔風險分擔是指企業(yè)準備借助他人的力量，采取業(yè)務分包、購買保險等方式和適當?shù)目刂拼胧瑢L險控制在風險承受度之內(nèi)的策略。風險分擔是一種事前的風險管理措施，即在風險發(fā)生之前，通過各種交易活動，把可能發(fā)生的風險轉(zhuǎn)移給其他人承擔，避免承擔全部風險損失。其主要措施包括業(yè)務分包、保險、出售、開脫責任合同以及合同中的轉(zhuǎn)移責任條款。風險分擔的方式主要可以分為財務型非保險轉(zhuǎn)移、控制型非保險轉(zhuǎn)移和保險轉(zhuǎn)移。1、財務型

44、非保險轉(zhuǎn)移財務型非保險轉(zhuǎn)移是指受補償?shù)娜藢L險所導致?lián)p失的財務負擔轉(zhuǎn)移給補償?shù)娜耍ㄆ渲斜ｋU人除外）的一種風險管理技術。財務型非保險轉(zhuǎn)移的實施方式主要有以下四種。（1）中和。中和是將損失機會與獲利機會平衡的一種方法，通常被用于處理投機風險。擔心原材料價格變化的制造商所進行的套購，以及受外匯匯率變動影響的出口商進行的期貨買賣都屬于中和方法。所謂套購，就是通過買賣雙方交易的相互約定，使可能的價格漲落損益彼此抵消。通常，商業(yè)機構(gòu)、生產(chǎn)商、加工商和投資者利用期貨價格和現(xiàn)貨價格波動方向上的趨同性，通過在期貨市場上買進或賣出與現(xiàn)貨市場上方向相反但數(shù)量相同的商品，而把自身承受的價格風險轉(zhuǎn)移給投機者，以達到現(xiàn)貨

45、與期貨盈虧互補的目的。（2）免責約定。免責約定是指合同的一方通過合同條款，對合同中發(fā)生的對他人人身傷害和財產(chǎn)損失的責任轉(zhuǎn)移給另一方承擔，即通過主要針對其他事項的合同中的條款來實現(xiàn)風險轉(zhuǎn)移。需要指出的是，免責約定不同于責任保險。免責約定所轉(zhuǎn)移的風險其受讓人而不是保險人，而且所提到的財產(chǎn)損失責任是以合同責任下的損失為限的。（3）保證合同。保證合同是指由保證人對被保證人因其行為不忠實或不履行某種明確的義務而導致權(quán)利人損失予以賠償?shù)囊环N書面合同。這里有保證人、被保證人和權(quán)利人三方當事人，借助保證書，權(quán)利人可將被保證人違約的風險轉(zhuǎn)移給保證人。保證的目的在于擔保被保證人對權(quán)利人的忠實和有關義務的履行，否則

46、由保證人賠償損失。保證書通常用于以下“明確的義務”：清償債務，在規(guī)定的期限內(nèi)提供一定數(shù)量的產(chǎn)品，按要求的日期完成一項工程等。如果被保證人沒有履行義務，保證人必須自己履行這項義務，或者按保證書的規(guī)定支付一定的罰金。然后，保證人可以向被保證人追償其損失。有時，保證人在簽發(fā)保證書時，要求被保證人用現(xiàn)金或政府債券等作為擔保物，以備自己索賠。即使被保證人得不到任何保障，他們也要簽署這種保證書。需要指出，保證書不同于保險合同（尤指財產(chǎn)保險合同），其差別如下。保證書的當事人有三方，即保證人、被保證人和權(quán)利人，而保險合同一般只有兩方，即保險人和投保人（被保險人）。保證書中，被保證人通常得到擔保并付出擔保費，而

47、權(quán)利人得到保障（不過，有時被保證人可通過成本包括在所提供的服務的價格里，而將這種成本轉(zhuǎn)移給權(quán)利人），而被保險人則通常是購買保險來保障自己。保證書中的損失有可能是由被保證人故意引起的，而保險損失對被保險人而言則必須是意外的。理想狀況下，保證書中的擔保不會有損失。因為如果有任何損失的可能性，保證人就不會簽署這種保證書，況且保證人自己會在調(diào)查中發(fā)現(xiàn)潛在的損失。而保險人則清楚地知道在被保險的群體中間會有一些損失一期望損失值。理想狀況下，保證書的擔保費不應該包括任何期望損失作為備抵，所以這種擔保費只需包括保證人的調(diào)查費和其他費用，并提供一定的利潤和一定的意外準備金。而保險費則必須補償期望損失。在實踐中，

48、保證人也會發(fā)生一些損失，因為他們的調(diào)查并不完全準確，但這樣的損失在擔保費中所占的比例遠低于在保險費中所占的比例。如果損失確實發(fā)生，保證人可以向被保證人求得補償，但保險人對于被保險人則沒有這種權(quán)利。盡管如此，有些保證書與保險合同極為相似，例如誠實保證。實踐中，許多保證書的保證人是保險（4）公司化。有的企業(yè)通過發(fā)行公司股票，將企業(yè)經(jīng)營的風險轉(zhuǎn)移給多數(shù)股東承擔。這種轉(zhuǎn)移實際上只是分散了原有股東的風險，增強了企業(yè)抵抗風險的能力，并不能轉(zhuǎn)移企業(yè)遇到的具體風險。2、控制型非保險風險轉(zhuǎn)移控制型非保險風險轉(zhuǎn)移是指借助減低風險單位的損失頻率和縮小其損失幅度的手段將損失的法律責任轉(zhuǎn)移給非保險業(yè)的另一經(jīng)濟單位的管理

49、技術。控制型非保險風險轉(zhuǎn)移的具體形式有以下3種。（1）出售或租賃。通過買、賣契約將風險單位轉(zhuǎn)移給他人或其他單位。這一方式的特點是將財產(chǎn)所有權(quán)和與之有關的風險同時轉(zhuǎn)移給受讓人。如一批貨物，從工廠主轉(zhuǎn)移給買主后，與這批貨物有關的風險（可能遭受火災、盜竊、市場價格暴跌等）也一同轉(zhuǎn)移給買主了。（2）分包。轉(zhuǎn)讓人通過分包合同，將他認為風險較大的工程轉(zhuǎn)移給非保險業(yè)的其他人。顯然，風險單位通過風險轉(zhuǎn)移，其承擔的風險將會減少。例如，對于一般的建筑施工隊來說，高空作業(yè)風險較大，因此，他們可將風險大的高空作業(yè)轉(zhuǎn)移給專業(yè)的高空作業(yè)工程隊。對這種專業(yè)工程隊來說，他們無論在經(jīng)驗、設備、技術等各方面都較強，故相對來說，風

50、險較小。（3）開脫責任合同。通過這種合同，風險承受者免除轉(zhuǎn)移者對承受者承受損失的責任。如外科醫(yī)生在給病人動手術之前，往往要求病人（或家屬）簽字同意，若手術不成功，醫(yī)生不負責任。在這份契約中，風險承受者（病人）免除了轉(zhuǎn)移者（醫(yī)生）對承受者（病人）承受損失的法律責任，在這種形式中，通過開脫責任合同，風險本身被消除了?？刂菩惋L險轉(zhuǎn)移與風險回避所不同的是，風險回避是放棄或中止存在的風險單位，而此風險轉(zhuǎn)移技術容許風險單位繼續(xù)存在，然而將損失的法律責任轉(zhuǎn)移給自己以外的第三者（保險業(yè)除外）?？刂菩惋L險轉(zhuǎn)移與損失控制不同的是，損失控制直接對風險所致的損失頻率和幅度加以改善，而此風險轉(zhuǎn)移技術將風險轉(zhuǎn)移給別人而間

51、接達成減低損失頻率和減小損失幅度的目的。3、保險轉(zhuǎn)移保險是指投保人根據(jù)合同約定，向保險人支付保險費，保險人對于合同約定的可能發(fā)生的事故因其發(fā)生所造成的財產(chǎn)損失承擔賠償保險金責任，或者當被保險人死亡、傷殘、疾病或者達到合同約定的年齡、期限時承擔給付保險金責任的商業(yè)保險行為。采用保險方式，一方面，風險轉(zhuǎn)移到保險公司之前，投保人必須履行其義務，有責任繳納保險金。另一方面，當損失出現(xiàn)時，保險公司將會代替投保人承受因風險變化所帶來的損失。（四）風險承受風險承受是指企業(yè)對風險承受度之內(nèi)的風險，在權(quán)衡成本效益之后，不準備采取控制措施降低風險或者減輕損失的策略。風險承受的前提是自留風險可能導致的損失比轉(zhuǎn)移風險

52、所需要的費用小。風險承受是最省事的風險規(guī)避方法，在許多情況下也是最省錢的。但企業(yè)也應考慮到，若僅從降低成本、節(jié)省費用出發(fā)，將風險承受作為一種主動積極的方式應用時，可能會由于風險意外擴大，而使企業(yè)面臨嚴重的損失后果。風險的分類和評估（一）風險的分類企業(yè)所面臨的風險從來源上分，有企業(yè)內(nèi)部和外部兩個方面。外部風險包括：科技發(fā)展帶來的企業(yè)技術、管理、信息等方面的風險；顧客需求或預期改變；競爭的存在；自然災害；政治事件；經(jīng)濟環(huán)境的改變等。內(nèi)部風險主要有：員工的素質(zhì)和能力；經(jīng)理人的責任改變；董事會或監(jiān)督委員會的責任履行情況等。從企業(yè)能否對風險進行控制來分，風險分為可控風險和不可控風險兩種。（二）風險評估風

53、險評估是一個比較寬泛的概念，在有的內(nèi)部控制或風險管理標準中，風險評估就是風險管理，包括了風險管理的全過程，可以說是風險管理的代名詞。而在有的內(nèi)部控制或風險管理標準中，風險評估是全面風險管理的一個步驟，包括內(nèi)容有多有少，如目標確定、風險識別、風險分析、風險評價以及風險應對等。1、COSO92關于風險評估概念COSO內(nèi)部控制整體框架把風險評估列為內(nèi)部控制的五要素之內(nèi)部控制整體框架認為，風險評估是指單位為實現(xiàn)其目標而確認的相關風險，以構(gòu)成進行風險管理的基礎。單位風險可能來自于：（1）經(jīng)營環(huán)境的變化；（2）聘用新的員工；（3）采用新的或改良的信息系統(tǒng)（4）迅猛的發(fā)展速度；（5）新技術的運用（6）新的行

54、業(yè)、產(chǎn)業(yè)或經(jīng)營活動的開發(fā)；（7）企業(yè)改組；（8）海外經(jīng)營；（9）新的會計方法的采用。2、COSO04關于風險評估概念企業(yè)風險管理整體框架指出風險評估要對識別的風險進行分析，以便確定對他們進行管理的依據(jù)。強調(diào)風險評估是風險管理的一個步驟，相當于我國企業(yè)內(nèi)部控制基本規(guī)范的風險分析。3、我國企業(yè)內(nèi)部控制基本規(guī)范關于風險評估概念我國企業(yè)內(nèi)部控制基本規(guī)范借鑒企業(yè)風險管理整體框架，認為風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關的風險，從而合理確定風險應對策略。即為識別、分析、管理與企業(yè)活動相關的市場風險、政策風險、法律風險、匯率風險、經(jīng)營風險等各種風險而建立的機制。該概念沿用COSO

55、92的要素理念，是相對寬泛的概念，包括COSO04目標設定、事項識別、風險評估和風險應對四大要素的組合。風險的概念及其分類古人說：“宜未雨而綢繆，毋臨渴而掘井?！逼髽I(yè)在生產(chǎn)經(jīng)營的過程中，面臨著諸多的風險，如果我們沒有妥善地處理，風險事故一旦發(fā)生，輕則影響生產(chǎn)經(jīng)營穩(wěn)定和企業(yè)經(jīng)濟效益，重則危及企業(yè)的生存。因此風險評估的目的是為了給企業(yè)造就一個安全穩(wěn)定的生產(chǎn)經(jīng)營環(huán)境，這有助于增加領導層經(jīng)營管理決策的正確性，進而提高企業(yè)的經(jīng)濟效益。（一）風險的概念企業(yè)在經(jīng)營活動中，會遇到各種不確定性事件，這些事件發(fā)生的概率及其影響程度是無法事先預知的，進而影響企業(yè)目標的實現(xiàn)。所謂風險，就是在一定環(huán)境下和一定限期內(nèi)客觀

56、存在的、影響企業(yè)目標實現(xiàn)的各種不確定性事件?；蛘哒f，風險就是指在一個特定的時間內(nèi)和一定的環(huán)境條件下，人們所期望的目標與實際結(jié)果之間的差異程度。因此，風險是一個事項將會發(fā)生并給目標實現(xiàn)帶來負面影響的可能性。風險具有客觀性、普遍性、潛在性、必然性、可識別性、可控性、損失性和不確定性等特點，風險與機會同在。COSO企業(yè)風險管理新框架（2016）指出風險是指事項發(fā)生并影響戰(zhàn)略和業(yè)務目標之實現(xiàn)的可能性。該定義兼顧了正面和負面的影響，這和國際風險管理標準ISO31000及中國風險管理標準GBT24353是一致的。為了與我國內(nèi)部控制規(guī)范一致，本書采用COSO04的定義。（二）風險的構(gòu)成要素風險一般包括以下三

57、項構(gòu)成要素。1、風險因素風險因素是指促使某一特定風險事故發(fā)生或增加其發(fā)生的可能性或擴大其損失程度的原因或條件。它是風險事故發(fā)生的潛在原因，是造成損失的內(nèi)在或間接原因。例如，對于建筑物而言，風險因素是指其所使用的建筑材料的質(zhì)量、建筑結(jié)構(gòu)的穩(wěn)定性等；對于人而言，則是指健康狀況和年齡等；對于企業(yè)而言，風險因素則包括企業(yè)人員因素、結(jié)構(gòu)因素、外部環(huán)境因素等。2、風險事故風險事故也稱風險事件，是指造成傷害或財產(chǎn)損失的偶發(fā)事件是造成損失的直接的或外在的原因，是損失的媒介物，即風險只有通過風險事故的發(fā)生才能導致?lián)p失。就某一事件來說，如果它是造成損失的直接原因，那么它就是風險事故；而在其他條件下，如果它是造成損

58、失的間接原因，它便成為風險因素。例如，對于企業(yè)而言，發(fā)生倉庫貨物被盜是風險事故，而安保系統(tǒng)不健全是風險因素。3、損失在風險管理中，損失是指非故意的、非預期的、非計劃的經(jīng)濟價值的減少。通常可以將損失分為兩種形態(tài)，即直接損失和間接損失。直接損失是指風險事故導致的財產(chǎn)本身損失和人身傷害，這類損失又稱為實質(zhì)損失：間接損失則是指由直接損失引起的其他損失，包括額外費用損失、收入損失和責任損失。風險分析的定義和目的我國企業(yè)內(nèi)部控制基本規(guī)范第二十四條規(guī)定：企業(yè)應當采用定性定量相結(jié)合的方法，按照風險發(fā)生的可能性及影響程度等，對識別的風險進行分析和排序，確定關注重點和優(yōu)先控制的風險。企業(yè)進行風險分析應當充分吸收專

59、業(yè)人員，組成風險分析團隊，按照嚴格規(guī)范的程序開展工作，確保風險分析結(jié)果的準確性。風險分析是在風險識別的基礎上對風險發(fā)生的可能性、影響程度等進行描述、分析、判斷，并確定風險重要性水平的過程。管理層根據(jù)被識別的風險的重要性來計劃如何應對風險。風險分析應達到以下目的：（1）對各個風險進行比較，根據(jù)分析風險的不確定性和后果，確定風險的先后順序；（2）確定風險事件之間的關系，表面上看起來不相干的多個風險事件可能是由一個共同的風險源所造成的，因此應當理順風險事件之間的關系；（3）進一步量化已識別風險的發(fā)生概率和后果，減少風險發(fā)生概率和后果估計的不確定性，必要時根據(jù)形勢的變化重新評估風險發(fā)生的概率和可能的后

60、果。風險圖譜風險圖譜是風險分析的重要工具，通過分析公司的風險圖譜，可以直觀地看到公司的風險分布情況，從而確定風險管理的重要控制點和風險管理解決方案。風險圖譜從風險發(fā)生的可能性和影響程度兩方面對風險進行評級，風險評級要從固有風險、目標剩余風險和實際剩余風險三個層級進行。風險圖譜被兩條“等風險線”分隔為“紅燈區(qū)”“黃燈區(qū)”和“綠燈區(qū)”（1）“紅燈區(qū)”的風險大多集中在第一象限，其發(fā)生的概率和影響程度均較高。公司應該根據(jù)風險的屬性和風險偏好來選擇風險管理方案；（2）“黃燈區(qū)”的風險，有兩種情況：處于第二象限的風險更多的是一些非常事件，但影響程度較大。對于這類風險，公司應該在采取防范措施的同時，制訂應急